网络安全与技术实验报告

网络安全技术与应用课程实验 专业班级： 计算机11-3班 学 号： 2011101592 学生姓名： 孟益 指导教师： 张辉 实验一 常用网络安全命令一、命令帮助与窗口文本复制1. 显示 MS-DOS 命令帮助（1）打开命令提示符窗口；（2）在命令提示符下，键入想获得帮助的命令名，后接 /?，例如，键入ping/?可获得ping命令的帮助信息。2. 从命令提示符窗口中复制文本（1）右键单击命令提示符窗口的标题栏，指向“编辑”，然后单击“标记”； （2）单击要复制文本的起点；（3）按住 SHIFT 键，然后单击要复制文本的结尾（或者通过单击并拖动光标来选择文本）；（4）右键单击标题栏，指向“编辑”，然后单击“复制”；（5）将光标放在要插入文本的位置，在基于 Windows 的程序中，单击“编辑”菜单，然后单击“粘贴”。二、实验内容1. ipconfig命令主要功能：显示本地主机IP地址、子网掩码、默认网关、MAC地址等。例1：C: ipconfig/all2. ping命令主要功能：目标主机的可达性、名称、IP地址、路由跳数、往返时间等。例2：C:ping or target_name3. tracert命令主要功能：路由跟踪、节点IP地址、节点时延、域名信息等。例3：C:tracert or 4. netstat命令主要功能：显示协议统计信息和当前TCP/IP网络连接。例4：C:netstat a；C:netstat n；5. nbtstat命令主要功能：显示使用NBT （NetBIOS over TCP/IP）的协议统计和当前TCP/IP网络连接信息，可获得远程或本机的组名和机器名。例5：C:nbtstat a ；C:nbtstat n6. net命令主要功能：网络查询、在线主机、共享资源、磁盘映射、开启服务、关闭服务、发送消息、建立用户等。net命令功能十分强大，输入net help command可获得command的具体功能及使用方法。例5：C: net view；C: net view target_name；net send /domain: 计算机名（*为域内广播）消息三、实验要求由于常用网络安全命令功能强大、参数众多，在有限时间内不可能对所有命令参数进行实验。但要求每个命令至少选择两个参数进行实验，命令参数可以任意选择。命令执行后将执行结果复制到实验报告表格中，并对命令执行结果进行解释。四、实验报告文档要求常用网络安全命令实验报告要求提交纸质打印文档，实验报告以班为单位提交给实验指导教师。实验二 端口扫描与安全审计一、Nmap简介1. 基本功能与目标端口状态说明Nmap（Network Mapper）是开放源码的网络探测和端口扫描工具，具有主机发现、端口扫描、操作系统检测、服务和版本检测、逃避放火墙及入侵检测系统等功能。可从网站/nmap/下载不同操作系统版本的源代码和可执行程序，而且提供了详细的中文使用手册（/nmap/man/zh/）。Nmap以表格形式输出扫描目标的端口号、协议、服务名称和状态，端口状态分别用开放（open）、关闭（closed）、已过滤（filtered）和未过滤（unfiltered）表示。其中“开放”表示应用程序正在该端口监听连接或分组；“关闭”表示没有应用程序在该端口监听；“已过滤”表示防火墙或其他过滤器封锁了该端口，Nmap无法知道该端口的状态；“未过滤”表示端口对Nmap探测有响应，但Nmap不能确定端口是开放还是关闭。Nmap有时也可能输出open|filtered或closed|filtered的状态组合，表示不能正确识别端口处于其中那一个状态。2. 命令格式与帮助Nmap命令格式：nmap Scan Type . Options target specification Nmap命令帮助：C:nmap（不带命令参数运行nmap）3. 常用扫描类型（1）-sT (TCP connect() 端口扫描)；（2）-sS (TCP SYN 同步扫描)；（3）-sU (UDP端口扫描)；（4）-sN (Null扫描 ) ；（5）-sF 扫描 (FIN)（6）-sP（Ping扫描）；（7）-sX (Xmas扫描 )；（8）-sA (TCP ACK扫描，探测端口是否被过滤，open和closed端口返回RST报文，表示unfiltered，否则为filtered） （9）-sM (TCP Maimon扫描， Maimon发现BSD系统探测报文FIN-ACK，响应RST ) ；（10）-scanflags (定制TCP标志位URG， ACK，PSH， RST，SYN，和FIN的任何组合设计扫描探测报文 ) （11）-sW (TCP窗口扫描) ；-sI (Idlescan盲扫描) ；-sO (IP协议扫描) 等，详细内容参考Nmap手册；（12）未指定扫描类型，默认扫描类型为TCP SYN 同步扫描。4. 命令参数选项（1）主机发现参数（也称ping扫描，但与ping 命令发送ICMP不同）-sL (列表扫描) 、-sP (Ping扫描) 、-P0 (无ping) 、-PS portlist (TCP SYN Ping) 、-PA portlist (TCP ACK Ping) 、-PU portlist (UDP Ping) 、-PR (ARP Ping)等。（2）端口说明参数-p仅扫描指定端口。例如，-p22;-p1-65535;-pU:53,111,137,T:21-25,80,139,8080（其中U、T分别指定UDP和TCP端口）（3）服务和版本探测参数-sV (版本探测) 、-sR (RPC扫描) （4）操作系统探测参数nmap-os-fingerprints文件包含了 1500多个已知操作系统的指纹信息。-O (操作系统检测) 、-A（同时启用操作系统和服务版本检测）（5）输出格式参数Nmap具有交互、标准、XML等5种不同输出格式，默认为交互式输出。-v (详细输出) 5. 目标地址规范Nmap支持多种目标地址规范，包括单个目标IP地址、主机名称和网络地址。例如：（1）nmap -sP ，对目标主机 ping扫描；（2）nmap -sT ，对目标主机进行TCP connect()扫描；（3）nmap -v /24，扫描至55之间的256台目标主机，其中输出参数-v表示显示详细信息verbose；（4）nmap -v 10.0.0-255.1-254，扫描至54之间的所有IP地址；（5）nmap -v 0-255.0-255.13.37，扫描Internet所有以13.37结束的IP地址；（6）nmap -v -iR 1000 -P0 -p 80，随机选择1000个目标主机扫描，其中-P0 表示无ping扫描。随机地址扫描格式为-iR ，其中-iR表示随机地址扫描，num hosts表示随机地址数。二、实验内容1. 安装nmap-4.01-setup.exe软件注意事项：采用nmap-4.01-setup.exe时将自动安装WinPcap分组捕获库，采用解压缩nmap-4.01-win32.zip时需事先安装WinPcap 分组捕获库。2. 局域网主机发现列表扫描：nmap -sL 局域网地址3. 扫描目标主机端口连续扫描目标主机端口：nmap r目标主机IP地址或名称4. 服务和版本检测目标主机服务和版本检测：nmap -sV目标主机IP地址或名称5. 操作系统检测目标主机操作系统检测：nmap -O目标主机IP地址或名称6. 端口扫描组合应用nmap -v -A nmap -sP -v /24 4/33 nmap -v -iR 10000 -P0 -p 80图2.1：nmap sV 30图2.2：nmap v -iR10 P0 p80 实验三 网络入侵跟踪与分析一、Ethereal网络协议分析软件1. 简介Ethereal是开放源码的网络分组捕获与协议分析软件，具有网络分组捕获及分组细节显示功能。Ethereal不仅可协助网络管理员、安全工程师、软件开发人员解决各自所关心的网络管理、安全威胁和协议调试等问题，也是深入学习网络协议的优秀工具。可以从网站/download.html下载不同操作系统版本的源代码和可执行程序，而且提供了不同文本格式的用户使用手册Ethereal Users Guide，Ethereal-0.10.14版本支持725种网络协议。2. 主界面Ethereal主界面采用分组跟踪列表框、协议层次框和原始分组框的形式，显示捕获分组的详细协议信息。分组跟踪列表框按照分组捕获的先后时间顺序显示分组跟踪记录号、捕获时间、源IP地址、目标IP地址、协议等信息。选中分组跟踪列表框中的一个分组后，协议层次框按照TCP/IP协议层次结构显示指定分组的物理层、数据链路层、网络层、传输层和应用层协议的详细信息；原始分组框分别以十六进制和ASCII码形式显示指定分组的字节数据。3. 捕获菜单简要说明（Capture）启动Ethereal，用Capture Options菜单命令设定分组捕获参数。（1）捕获框Capture frame（a）Interfaces： 在下拉菜单中选择捕获分组的网络接口；（b）IP address：显示设定网络接口的IP地址；（c）Link-layer header type：在下拉菜单中选择解析链路层首部类型的标准，除非有特殊要求，保持默认值Ethernet即可；（d）Buffer size：输入捕获分组时使用的操作系统缓冲区大小，Buffer size 只适用于Windows操作系统平台；（e）Capture packets in promiscuous mode：混杂模式可以捕获共享网络上的所有分组；（f）Limit each packet to n bytes：将分组限制在n字节之内，如果不打算捕获分组封装的数据，输入分组首部字节数；（g）Capture Filter：分组捕获过滤器，指定分组捕获过滤规则，Ethereal只捕获满足过滤规则的分组。单击Capture Filter按钮，Ethereal将弹出捕获规则对话框，方便用户选择或生成分组捕获过滤规则。（2）捕获文件框Capture File(s) frame（a）Capture Files：指定保存分组文件的名称与路径，单击Browse按钮可以选择保存分组文件的路径；（b）Use multiple files：将捕获分组保存到多个文件；（c）Next file every：达到规定的byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s)后，切换到下一个文件，仅在Use multiple files下有效；（d）Next file every：达到规定的second(s)/minutes(s)/hours(s)/days(s)后，切换到下一个文件，仅在Use multiple files下有效；（e）Ring buffer with：使用环型缓冲，将分组捕获到多个文件；仅在Use multiple files下有效；（f）Stop capture after：达到规定的n个文件之后停止捕获，仅在Use multiple files下有效；（g）Stop capture after：n个文件之后停止捕获，仅在Use multiple files下有效；（3）停止捕获框Stop Capture frame（a）after n packet(s)：达到指定的分组数目后，停止捕获；（b）after n megabytes(s)：达到指定的byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s)容量后，停止捕获；（c）after n minute(s)：达到规定的second(s)/minutes(s)/hours(s)/days(s)时间后，停止捕获；（4）显示选择框Display Options frame（a）Update list of packets in real time：实时更新显示分组列表，否则，在停止捕获以前，Ethereal不显示任何分组；（b）Automatic scrolling in live capture：自动滚动显示新捕获的分组；（c）Hide capture info dialog：隐藏捕获信息对话框；（5）名称解析对话框Name Resolution frame（a）Enable MAC name resolution：解析MAC地址厂商名称；（b）Enable network name resolution：解析网络地址的域名或主机名称；（c）Enable transport name resolution：将应用协议翻译成端口号；（6）启动分组捕获如果对捕获选项（Capture Options）对话框中的捕获参数设定不熟悉，在多数情况下可以使用Ethereal的默认值。单击OK按钮启动分组捕获，单击Cancel 按钮取消分组捕获。4. 统计菜单简要说明（Statistics）（1）汇总统计Summary汇总统计窗口显示有关文件（File）、时间（Time）、捕获（Capture）、流量（Traffic）方面的一般统计信息。（a）File：捕获文件的一般信息；（b）Time：捕获第一个分组、最后一个分组以及两者之间的时间；（c）Capture：捕获分组时的接口、丢失分组和捕获过滤器信息，仅在网络捕获分组时有效；（d）Traffic：网络流量统计信息；（2）协议层次统计Protocol Hierarchy协议层次统计窗口以树状结构显示有关协议名称（Protocol）、协议分组百分比（% Packets）、协议分组数（Packets）、字节数（Bytes）、带宽（MBit/s）等方面的统计信息。（3）会话统计Conversations网络会话泛指两个特定端点（MAC address、IP address、TCP ports、UDP ports）之间的流量，例如，IP会话就是两个IP地址之间的网络流量。会话统计窗口以协议选项卡方式显示网络会话统计信息。（4）端点统计Endpoints端点统计窗口以协议选项卡方式显示捕获端点的统计信息。例如，Ethernet:5表示捕获了5个MAC 地址端点。（5）IO图示统计IO GraphsIO图示统计窗口按照用户定义的色彩显示捕获分组的统计信息。二、实验内容1. ethereal-setup-0.10.14.exe软件安装注意事项：ethereal-setup-0.10.14.exe将自动安装WinPcap分组捕获库，不必事先安装WinPcap 分组捕获库。2. 冲击波蠕虫病毒攻击分析（1）冲击波蠕虫病毒攻击原理冲击波蠕虫病毒W32.Blaster.Worm利用Windows 2000/XP/2003等操作系统中分布式组件对象模型DCOM（Distributed Component Object Model）和远程过程调用 (RPC（Remote Procedure Call）通信协议漏洞进行攻击，感染冲击波蠕虫病毒的计算机随机生成多个目标IP地址扫描TCP/135（epmap）、UDP/135（epmap）、TCP/139、UDP/139、TCP/445、UDP/445、TCP/593、UDP/593端口寻找存在DCOM RPC漏洞的系统。感染冲击波蠕虫病毒的计算机具有系统无故重启、网络速度变慢、Office软件异常等症状，有时还对Windows自动升级（）进行拒绝服务攻击，防止感染主机获得DCOM RPC漏洞补丁。根据冲击波蠕虫病毒攻击原理可知，计算机感染冲击波蠕虫病毒需要具备三个基本条件。一是存在随机生成IP地址的主机；二是Windows 2000/XP/2003操作系统开放了RPC调用的端口服务；三是操作系统存在冲击波蠕虫病毒可以利用的DCOM RPC漏洞。（2）冲击波蠕虫病毒攻击过程分析用Ethereal打开冲击波蠕虫病毒捕获文件Win2000-blaster.cap，通过协议分析回答下列问题（仅限于所捕获的冲击波蠕虫病毒）：（a）感染主机每次随机生成多少个目标IP地址？（b）扫描多个端口还是一个端口？如果扫描一个端口，是那一个RPC调用端口？（c）分别计算第二组与第一组扫描、第三组与第二组扫描之间的间隔时间，扫描间隔时间有规律吗？（d）共发送了多少个试探攻击分组？（提示：端点统计或规则tcp.flags.syn=1显示SYN=1的分组）（e）有试探攻击分组攻击成功吗？如攻击成功，请给出感染主机的IP地址。如没有攻击成功的实例，说明为什么没有攻击成功？（提示：TCP报文段SYN=1表示连接请求，SYN=1和ACK=1表示端口在监听，RST=1表示拒绝连接请求。使用显示过滤规则tcp.flags.syn=1&tcp.flags.ack=1确定是否有端口监听。）三、实验要求由于Ethernet分组捕获与协议分析功能强大，在一个实验单元时间内不可能熟练掌握Ethernet的使用。但至少应掌握捕获菜单和统计菜单的使用，也可以选择其他菜单命令进行实验。练习使用Ethernet分组捕获与协议分析的显示结果不要复制到实验报告，实验报告只回答冲击波蠕虫病毒攻击过程分析中提出的问题及问题解答过程。四、实验记录：通过Ethereal协议分析回答下列问题（仅限于所捕获的Win2000-blaster.cap文件）：（a）感染主机每次随机生成多少个目标IP地址？20（b）扫描多个端口还是一个端口？如果扫描一个端口，是那一个RPC调用端口？Filter: ip.src = 91 and tcp.dstport = 135 （见（d）：135 2002（c）分别计算第二组与第一组扫描、第三组与第二组扫描之间的间隔时间，扫描间隔时间有规律吗？第二组与第一组扫描间隔时间：678.168ms第三组与第二组扫描间隔时间：528.105ms扫描间隔时间有规律。（d）共发送了多少个试探攻击分组？Filter: ip.src = 91 2006 Filter: ip.src = 91 and tcp.dstport = 135或tcp.flags.syn=1 2002Filter: ip.src = 91 and tcp.dstport != 135 4 不是攻击分组 6008（e）有试探攻击分组攻击成功吗？如攻击成功，请给出感染主机的IP地址。如没有攻击成功的实例，说明为什么没有攻击成功？ 无攻击成功。因为：Filter：tcp.flags.syn=1&tcp.flags.ack=1 Display: 0 被攻击主机无正确响应。实验四 网络入侵检测系统一、网络入侵检测系统Snort软件1. 简介Snort是当前国际上非常著名的基于误用检测的网络入侵检测系统开放源码软件，采用规则匹配机制检测网络分组是否违反了事先配置的安全策略。安装在一台主机上就可以监测整个共享网段，一旦发现入侵和探测行为，具有将报警信息发送到系统日志、报警文件或控制台屏幕等多种实时报警方式。Snort不仅能够检测各种网络攻击，还具有网络分组采集、分析和日志记录功能。相对于昂贵与庞大的商用产品而言，Snort具有系统规模小、容易安装、容易配置、规则灵活和插件（plug-in）扩展等诸多优点。源代码和不同操作系统版本的可执行程序可从 网站免费下载。2. Snort系统组成Snort主要由分组协议分析器、入侵检测引擎、日志记录和报警模块组成。协议分析器的任务就是对协议栈上的分组进行协议解析，以便提交给入侵检测引擎进行规则匹配。入侵检测引擎根据规则文件匹配分组特征，当分组特征满足检测规则时，触发指定的响应操作。日志记录将解析后的分组以文本或Tcpdump二进制格式记录到日志文件，文本格式便于分组分析，二进制格式提高记录速度。报警信息可以发送到系统日志；也可以采用文本或Tcpdump二进制格式发送到报警文件；也容许选择关闭报警操作。记录到报警文件的报警信息有完全和快速两种方式，完全报警记录分组首部所有字段信息和报警信息，而快速报警只记录分组首部部分字段信息。3. Win32 snort-2_0_0.exe安装双击snort-2_0_0.exe在安装目录下将自动生成snort文件夹，其中包含bin、etc、log、rules、doc、contrib文件夹和snort-2_0_0.exe卸载程序Uninstall.exe。bin文件夹保存snort.exe可执行程序；snort配置文件snort.conf位于etc；日志文件和报警文件位于log；各种类型的规则检测文件位于rules；snort使用手册位于doc；contrib为snort支持者提供的各种辅助应用文件。注意事项：在安装snort-2_0_0.exe之前，应事先安装WinPcap 分组捕获库。4. Snort配置在使用snort之前，需要根据保护网络环境和安全策略对snort进行配置，主要包括网络变量、预处理器、输出插件及规则集的配置，位于etc的snort配置文件snort.conf可用任意文本编辑器打开。除内部网络环境变量HOME_NET之外，在大多数情况下，可以使用snort.conf的默认配置。用文本编辑器打开Snortetcsnort.conf文件，在设置网络变量步骤（Step #1: Set the network variables:）注释下找到“var HOME_NET any”，将any更换成自己机器所在子网的CIDR地址。例如，假设本机IP地址为23，将“var HOME_NET any” 更换成“var HOME_NET /24”或特定的本机地址“var HOME_NET 23/32”。假设在C盘根目录下执行Snort命令，找到规则文件路径变量“var RULE_PATH rules”，将其修改为var RULE_PATH C:snortrules；找到“include classification.config”，将classification.config文件的路径修改为 include C:snortetcclassification.config；找到“include reference.config”，将reference.config文件的路径修改为 include C:snortetcreference.config。5. Snort命令格式与帮助Snort命令格式：C:snortbinsnort -Options Snort命令帮助：C: snortbinsnort -?特别注意：Snort在Windows操作系统下要求给出命令执行的完整路径。6. Snort主要命令参数选项（1）-A alert：设置snort快速（fast）、完全（full）、控制台（console）或无（none）报警模式，alert取值full、fast、console或none其中之一。-A fast：快速报警模式仅记录时间戳（timestamp）、报警信息（alert message）、源IP地址、目标IP地址、源端口和目标端口；-A full：完全报警是snort默认的报警模式，记录分组或报文首部所有字段信息和报警信息；-A console：控制台报警模式将分组或报文首部和报警信息发送到控制台屏幕；-A none：关闭报警。（2）-c snort.conf：使用snort配置文件snort.conf；（3）-b：采用Tcpdump二进制格式将分组记录到日志文件；（4）-d：显示应用数据；（5）-e：显示数据链路层的首部信息；（6）-h ：指定本地网络（Home Network）IP地址；（7）-l ：将日志记录到指定的目录directory，默认日志目录是Snortlog；（8）-i ：在指定的网络接口上监听；（9）-r ：从Tcpdump文件中读取分组处理，而不监测网络分组；（10）-s：将报警信息发送到系统日志；（11）-v：详细输出（Be verbose）；（12）-V：显示Snort版本号；（13）-W：列出本机可用的网络接口（仅在Windows下有效）；（14）-w：显示IEEE802.11 WLAN的管理帧与控制帧；（15）-?：显示snort 的简要命令帮助。7. Snort入侵检测规则位于rules目录中的规则文件是Snort检测系统的入侵模式库，可以使用任意文本编辑器对规则文件进行修改。检测规则由规则头（Rule Header）和规则选项（Rule Option）组成，规则头定义了规则匹配行为、协议类型、源IP地址、源端口、目标IP地址和目标端口等信息，规则选项定义了入侵特征和报警信息的内容。Snort检测规则的格式与语法参看计算机网络安全技术与应用教材第196页。二、实验内容1. snort-2_0_0.exe的安装与配置本实验除安装snort-2_0_0.exe之外，还要求安装nmap-4.01-setup.exe网络探测和端口扫描软件。Nmap用于扫描实验合作伙伴的主机，Snort用于检测实验合作伙伴对本机的攻击。用写字板打开Snortetcsnort.conf文件对Snort进行配置。将var HOME_NET any中的any配置成本机所在子网的CIDR地址；将规则路径变量RULE_PATH定义为C:snortrules；将分类配置文件路径修改为 include C:snortetcclassification.config；将引用配置文件路径修改为include C:snortetcreference.config。其余使用Snort配置文件中的默认设置，这里假设所有Snort命令都在C盘根目录下执行。2. Snort报警与日志功能测试用写字板打开C:Snortruleslocal.rules规则文件，添加Snort报警与日志功能测试规则：alert tcp any any - any any (msg:TCP traffic;)。执行命令：C:snortbinsnort -c snortetcsnort.conf -l snortlog -i 1如果在C:Snortlog目录中生成alert.ids报警文件和IP地址命名的日志文件，表明Snort配置正确，能够实施入侵报警和日志记录功能。特别提醒：测试Snort报警与日志功能以后，一定要删除掉添加的测试规则或在该规则前加#号变为注释！否则，随后的实验不能获得正确结果。3. 分组协议分析（1）TCP/UDP/ICMP/IP首部信息输出到屏幕上：C: snortbinsnort v -i n；n=1/2/3/4/5（2）TCP/UDP/ICMP/IP首部信息和应用数据输出