《计算机网络安全教程》实验.doc

琼州学院课 程 实 验 报 告(2011 2012年度第二学期)专业 软件工程 课程 计算机网络安全教程 班级 09软件工程 姓名 学号 教师 琼州学院电子信息工程学院制实验报告填写说明、填写一律用钢笔或圆珠笔填写或打印，要求字迹工整，条理清晰。、“实验题目”可以填写章节名称或用文字表述。、“实验目的”要逐条列出，“实验内容”以简练的文字进行概括。、“附注”处填写实验注意事项或调试过程，以及实验中出现的异常情况和解决方法。、“教师批阅”处由课任老师填写评语，给出实验成绩，并作为平时成绩，参与期末成绩总评。目 录实验一 基本网络测试命令的使用1实验二 简单的主机渗透8实验三 利用Sniffer Pro进行网络分析及数据捕获12实验四 设计一个中间人攻击截获账户19实验五 “冰河”木马和网络后门24实验六 Windows Server 2003安全设置30实验七 CA证书中心的配置38实验一 基本网络测试命令的使用 2012年2月28日实验项目：基本网络测试命令的使用 实验一实验目的：通过实训了解基本网络测试命令的操作，并熟悉系统返回信息的含义。通过系统返回信息，了解网络运行状况，简单判断网络故障的原因。实验仪器：一台Windows7系统的主机；IP：1；MAC： 47-87-fc-d7-ef-c0；主机上装有虚拟机，虚拟机装有windows Server 2003系统。实验步骤（或程序清单：）1.使用ping命令查看Windows系统中的TTL的初始值。图1.1如图1.1，在同一个局域网中Ping其他主机的IP，不出局域网的通信不会超过TTL初始值，所以，由图可见两者Windows中TTL初始值为1282.给出ping命令和tracert命令的工作原理。 ping一个地址，写出提供了哪些信息；查看一个数据包经过的路径。答：ping命令工作原理：向对方主机发一些数据包，看对方的回复情况来查看与对方主机的连通性。tracert命令工作原理：利用IP生存时间(TTL)字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由。图2.1如图2.1，在每一段回复信息中包含了：回复主机的IP地址，数据包大小，时间长度，存活时间，数据包发送数，数据包接收数，数据包丢失数(丢失百分比)数据包传送的最大时间，最短时间，平均时间等。图2.2 查看一个数据包经过的路径3.确定本机与远程主机之间的路由数目。共经过了11跳，所以路由数目有11个4.查看的ip地址Ip地址为：385.查看本机的网络配置参数。图5.1本机的网络配置6.查看一下本机开放的端口。图6.1本机开放端口7.查看本机的arp表，并清空arp表，静态绑定网关的IP地址和mac地址。图7.1 本机arp表和清空本机arp表图7.3 查看网关IP地址对应的Mac地址图7.4静态绑定MAC地址8.利用net命令创建用户，删除用户，更改用户密码，提升用户的权限。图8.1 创建用户和删除用户图8.3更改用户密码，对一个已存在的用户更改密码：图8.4提升用户的权限。9.利用net 命令建立本机和虚拟机的连接，并在虚拟机上设定一个关机任务。图9.1用net 命令建立本机和虚拟机的连接图9.2 使用at命令设定一个关机任务。实验结果分析：通过本次实验，掌握了如何使用基本命令如ping、tracert、net、at等，完成一些基本操作如测试两台主机的连通性，查看数据包经过路径，创建用户，提升权限，与对方主机建立连接，给对方主机建立任务。教师批阅：实验二 简单的主机渗透 2012年3月14日实验项目：简单的主机渗透 实验二实验目的：了解主机渗透原理实验仪器：一台Windows7系统的主机；IP：35；MAC： 00-50-56-C0-00-08；主机上装有虚拟机，虚拟机装有windows Server 2003系统。实验步骤（或程序清单：）一、设计渗透方案（步骤）1、利用X-scan软件对对方的端口号，用户名和密码进行扫描，重要的是139端口，只有139端口开放才可以用net命令登陆对方主机。2、使用net命令加上扫描出的账户密码与对方主机连接，前提是虚拟机139端口开放。3、连接后，给对方上传、下载文件。二、 步骤实施1、 用X-scan软件扫描虚拟机中Windows Server 2003系统的开放端口和弱账户、弱口令。图1.1 扫描出139端口开放图1.2 未扫描出弱口令2、 使用net命令加上扫描出的用户名密码进行与对方主机连接，如下：图2.1 使用net命令与对方主机连接3、实现利用DOS命令将自己的文件拷贝到对方主机中，如下：图3.14、 利用dos命令将需要的文件从对方的主机中copy到自己主机上并查看结果，如下：图4.1实验结果分析：通过本次试验，学会了扫描软件的基本用法和net use等命令，对对方实行简单的主机渗透等。教师批阅：实验三 利用Sniffer Pro进行网络分析及数据捕获 2012年3月27日实验项目：利用Sniffer Pro进行网络分析及数据捕获 实验三实验目的：掌握Sniffer Pro软件的使用方法，主要了解Sniffer Pro软件的多种监测模式的使用，利用它的图示和数据掌握网络运行状况。抓取数据，分析和了解数据包的头部信息。实验仪器：一台Windows7系统的主机；IP：35；MAC： 00-50-56-C0-00-08；主机上装有虚拟机，虚拟机装有windows Server 2003系统；主机上装有windows Server 2003系统虚拟机，IP：22； Sinffer Pro软件第4和5个实验是在实验室做的，配置如下：windows XP系统的主机、IP：8；MAC： 44-87-FC-D8-E8-18，主机上装有windows Server 2003系统虚拟机，IP：48； Sinffer Pro软件实验步骤（或程序清单：）一. 向虚拟机不停的发送超大数据包，查看网络的流量状态。分析出发送数据包的主机。图1.1 使用Ping命令从主机向被监控的虚拟机发送超大数据包图1.2 查看到主机（IP：35）和虚拟机（IP：22）都在接收和发送异常的大量数据图1.3 用柱状图查看，发现主机（IP：35）和虚拟机（IP：22）目前是发送和接收数据最多的两台主机图1.4 进一步查看，发现主机（IP：35）和虚拟机（IP：22）正在发送和接收大量数据二. 查看本主机与其他主机的通信情况。图2.1 本主机和其他主机的通信情况三. 抓取本机到虚拟机的数据包1.抓取IP数据包，分析IP数据包的头部信息和ICMP数据包的头部信息。利用Ping命令，来抓去IP数据包和ICMP数据包：图3.1.1 IP数据包头部信息分析：IP数据包头部信息中一些重要的信息如下：Version= 4（表示是IPV4）总长度 = 1476 字节(超大数据包被分片)头长度=20字节TTL = 64(是主机的TTL)协议 = 1（ICMP协议）源地址 = 35目的地址 =图3.1.2 ICMP数据包头部信息分析：IP数据包头部信息中一些重要的信息如下：类型 = 8（Echo）即是Ping命令2.抓取TCP数据包，分析TCP数据包的头部信息解析：利用网络层上的http服务进行抓取TCP数据包如下：图3.2.1 TCP数据包头部信息分析：TCP数据包头部信息中一些重要的信息如下：源主机端口 = 50627目的主机端口 = 80（http服务端口）3.抓取UDP数据包，分UDP析数据包的头部信息解析：利用网络层的Web()服务的NetBios协议来抓去UDP数据包如下：图3.1 抓取到UDP数据包头部信息分析：源主机的端口号=137(表现的服务是NetBIOS-ns服务)目的主机的端口号=137(表现的服务是NetBIOS-ns服务)UDP长度 = 584.截取ftp的数据包，分析出用户名和密码。图 4.1登陆远程FTP(登录用户名和密码均为abc)登陆成功图4.7 抓取到数据包，TCP的三次握手建立连接图4.8 抓取到用户名为：abc，密码为：abc，与原来输入的用户名密码一致5.截取telnet数据包，分析用户名和密码。分析：使用网络层的telnet服务来抓取telnet数据包，注：必须是对方的telnet服务已经开启。图5.1 登陆虚拟机的telnet，输入账号和密码，登陆虚拟机的telnet图5.2 登陆成功图5.3 查看抓取到的数据包，三次握手成功建立连接图5.4 抓取到账号为administrator图5.5 抓取到密码为 123456思考：（4，5，中的用户名和密码是否能截取到，如果能，数据包有什么特点，如果不能数据包有什么特点） 解答：如果去抓取他人的登陆FTP和Telnet的用户名密码，则难以抓到，因为数据包没经过自己的网卡。只有经过自己网卡的数据包才能被抓到，所以抓取不到别人的登陆FTP和Telnet的用户名和密码实验结果分析： 掌握了如何抓取各种数据包，以及分析各种数据包。教师批阅：实验四 设计一个中间人攻击截获账户 2012年5月11日实验项目：设计一个中间人攻击截获账户 实验四实验目的：使用网络安全工具Cain&Abel对目标主机进行中间人攻击，截获账户，再利用网络监听软件进行数据包的抓取分析，了解中间人攻击的原理。实验仪器：一台WindowsXP系统的主机；IP：；MAC： 44-87-FC-D4-F3-77；主机上装有windows Server 2003系统虚拟机，IP：01；MAC：00-0C-29-8D-F1-74一台Windows7系统的主机；IP：35；MAC： 00-50-56-C0-00-08；主机上装有windows Server 2003系统虚拟机，IP：22；MAC：00-0C-29-39-0E-1F（注：该实验的前两个小实验是在实验室做的，后两个是在宿舍做的）实验步骤（或程序清单：）一、 利用Cain&Abel进行ARP中毒1. 在Cain&Abel主界面打开嗅探器，点击主机窗口，设置扫描范围（-54）并进行MAC扫描，扫描结果如图：2设置arp中毒的两台主机，点击左上角的按钮，开始arp中毒，如下图：图2.3 arp正在对主机进行arp中毒图2.4 IP=的主机的MAC地址被篡改成自己的主机MAC地址二、 抓获账户用主机登录虚拟机的telnet服务，进行抓取。1. 根据前面的设置，启动arp中毒，用telnet登录时确保虚拟机的telnet服务已开启，具体登陆截图如下：2. 登陆成功后，查看获取的结果，如图：图4.3 抓取结果三、 Sniffer pro 抓包分析原理为了清晰，将抓包过滤器定义为arp协议进行实验。1. 抓取与主机arp数据包（虚拟机的MAC地址是：00-0C-29-39-0E-1F），如图：图5.2 第一次arp欺骗分析：数据包内容是，虚拟机冒充97这台主机向35主机发送一条arp数据包，并将97的真实MAC地址替换成自己的MAC地址（00-0C-29-39-0E-1F）。图5.3 第二次arp欺骗分析：数据包内容是，虚拟机冒充35这台主机向97主机发送一条arp数据包，并将35的真实MAC地址替换成自己的MAC地址（00-0C-29-39-0E-1F）。2. 由图5.2和图5.3看出，两个假冒的MAC地址是同一个MAC地址，即虚拟机的MAC地址，查看虚拟机MAC地址，与以上两个相同的MAC地址相同，如图：3. 结论：arp中毒，就是攻击方不断给要欺骗的两台主机发送arp欺骗数据包，而自己作为中间人来截获两台主机之间通信的数据。四、 设计相应的防御方案 防御方案：进行加密通信。实验结果分析： 通过实验，知道了中间人攻击方式主要是通过与目标机器建立连接并在目标机器间传递信息来发动攻击。在这种情况下，用户会认为自己正在与另一名用户直接通信，而实际上，通过主机的通信流量正在对用户执行攻击。最终结果是，攻击主机不仅能截取重要信息，而且能够注入数据流来进一步控制受害用户。通过实验也明白了数据通信中数据加密的重要性。教师批阅：实验五 “冰河”木马和网络后门 2012年5月15日实验项目：“冰河”木马和网络后门 实验五实验目的：了解冰河木马程序的使用，从而掌握木马病毒的工作原理。掌握创建网络后门的方式，重点掌握超级隐藏用户的创建方法。实验仪器：一台Windows7系统的主机；IP：35；MAC： 00-50-56-C0-00-08；主机上装有windows Server 2003系统虚拟机，IP：22；MAC：00-0C-29-39-0E-1F实验步骤（或程序清单：）一、 在虚拟机上种植冰河木马，利用本机对虚拟机进行入侵1、 将配置好的服务器(即win32.exe)复制到虚拟机内，并双击运行，在主机中再次打开Y_Client.exe程序，设置本机对虚拟机的监控：2、 点击界面上方工具栏左边的标志，添加主机，进入监控虚拟机的设置，设置要监控的主机再客户端中显示名称、目标主机的IP地址、访问口令(既之前设置过的访问口令)、监听端口(必须和之前设置的端口一致，这里选择默认的7626端口)3、 利用软件中的“控制屏幕”菜单操控对方主机，此时就可以在别人电脑里干任何事，如图：查看虚拟机的C盘文件图1 查看虚拟机的桌面4、 点击屏幕控制后，进入到虚拟机的屏幕，可直接控制虚拟机了，如图：图 1 进入了虚拟的屏幕控制5、 在对方的屏幕上创建一个具有管理员权限的用号，并隐藏：3.1、 在对方的命令提示符下 利用net user命令创建 用户名为 wangshuailing$ (后置$符号的用号可以在命令行下查询用号时时不可见)密码为1的用户，如图：3.2、进入“我的电脑-管理-本地用户和组-用户”菜单下查看所有用户，发现刚才创建的用户（wangshuailing$）是可见的，没有达到隐藏的目的，如图：图 3.2.1 在本地用户和组 查看用户3.3、通过“开始”菜单中的“运行”，输入regedit，点击“确定”后就打开了注册表编辑器。依次展开子键HKEY_LOCAL_MACHINESAMSAM，由于一般用户不具有SYSTEM一样的超级权限，所以SAM的键值对一般用户是不可见的，解决办法：用鼠标右键单击，在弹出的快捷菜单中选择“权限”项。将当前用户对于SAM的权限改成完全控制，如图：图 3.3.1更改当前用户对SAM的权限为：完全控制3.4、 点击查看菜单的刷新，就可以完全看到SAM的键值对了，依次展开SAMDomainsAccountUsersNames目录，可以看见各个用户名和对应的权限，如图：图3.4.1 在注册表中查看各用户3.5、 将刚才创建的用户权限修改成Administrator一样的用户权限：查看 Administrator 对应的权限键值对，名为0x1f4，然后再000001F4中查看Administrator的权限，并复制，粘贴到要赋予管理员权限的用中去。将要隐身的用户及其权限信息键值导出注册表，并删除其键值对，再次进入“我的电脑-管理-本地用户和组-用户”菜单下查看所有用户，发现刚才创建的用户（wangshuailing$）是不可见的，达到隐藏的目的，如图：再将刚才导出的两个键值对，双击导入到注册表中，如图：导入到注册表再次进入“我的电脑-管理-本地用户和组-用户”菜单下查看所有用户，刷新，发现刚才创建的用户（wangshuailing$）再次出现，如图：实验结果分析： 通过这次实验，学会了“冰河”木马的基本工作原理和防范措施，还学会了如何在网络中种植后门和网络隐身，实验过程中有些问题，总是操作不顺利，通过和同学讨论，最终解决，完成实验。教师批阅：实验六 Windows Server 2003安全设置 2012年6月7日实验项目：Windows Server 2003安全设置 实验六实验目的：了解系统的安全配置实验仪器：一台Windows7系统的主机；IP：35；MAC： 00-50-56-C0-00-08；主机上装有windows Server 2003系统虚拟机，IP：22；MAC：00-0C-29-39-0E-1F实验步骤（或程序清单：）一、 关闭不必要的端口：如23，139、21、80、3389等找到端口号对应的服务名，关闭相应的服务即可，以23端口为例，23端口对应telnet服务，操作如下：图1.1 关闭23端口关闭其他端口也是一样的命令，只需更改对应的服务即可，不再赘述。二、 关闭不必要的服务：Remote registry service 、Message等步骤：开始控制面板管理工具服务中关闭相应的服务即可。三、 关闭系统上的默认共享首先，关闭分区默认共享(如C$、D$、E$)：1. 点击“开始”菜单“运行”，在弹出的“运行”对话框中输入“regedit”后回车，打开注册表编辑器2. 在注册表中依次展开注册表项： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanserverparameters3. 双击右窗格中的“AutoShareServer”，将它的键值改为“0”即可，如果没有 AutoShareServer项，可自己新建一个再改键值。其次，关闭管理默认共享(ADMIN$)：1. 点击“开始”菜单“运行”，在弹出的“运行”对话框中输入“regedit”后回车，打开注册表编辑器2. 在注册表中依次展开注册表项：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanserverparameters3. 双击右窗格中的“AutoShareWks”，将它的键值改为“0”即可最后，关闭IPC$默认共享:1. 点击“开始”菜单“运行”，在弹出的“运行”对话框中输入“regedit”后回车，打开注册表编辑器2. 展开HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa注册表项3. 双击restrictanonymous，将其键值设为“1”即可(注意，不是“0”，是“1”)四、 对新建一个账号，对其设置密码策略在开始控制面板管理工具本地安全策略-账户策略-密码策略中修改里面的属性设置即可。五、 开启审计策略，并查看日志记录在开始控制面板管理工具本地安全策略-本地策略-审核策略中把所有的审核改成，成功、失败审核，即可，如图：图5.1 开启审计策略六、 建立文件夹no-del权限设定为不允许删除、创建文件夹no-read权限设定为不允许读、创建文件夹no-write权限设定为不允许写入、创建文件夹no-copy权限设定为不允许拷贝、创建文件夹audit-copy权限设定为在拷贝时记入日志。（附注：以下实验是在实验室winXP计算机上做的）a) 建立no-del文件夹并将权限设定为不允许删除，然后删除该文件夹，结果如图：图6.1 拒绝删除no-delb) 建立no-read文件夹并将权限设定为不允许读，然后去访问，结果如图：图6.2 拒绝访问no-readc) 建立no-write文件夹并将权限设定为不允许写入，然后在里面建文件，结果如图：图6.3 拒绝向no-write文件夹里写入文件d) 建立no-copy文件夹并将权限设定为不允许拷贝，然后复制该文件，粘贴时弹出警告信息，如图：图6.4 拒绝复制no-copye) 建立audit-copy文件夹并将权限设定为在拷贝时记入日志，然后复制该文件夹，然后查看事件详细信息，如图：图6.5 复制成功日志图6.6 复制失败日志七、 创建一个文件（以自己的学号命名），加密此文件，利用新建的账号去访问，看是否成功访问。 实验全过程截图如下：1、创建文件夹09241069然后加密，加密后字体显绿色，如下图：2、用Administrator访问该文