网络安全实验报告.doc

精品文档学号成绩实验报告网络安全实验姓 名：班 级：指导教师：实验时间：2018.06哈尔滨工程大学2018年06月目 录实验一、网络分析器应用实验4一、实验目的4二、实验仪器与器材4三、实验原理4四、实验过程与测试数据4五、实验分析4六、实验体会4实验二、远程控制实验6一、实验目的6二、实验仪器与器材6三、实验原理6四、实验过程与测试数据6五、实验分析6六、实验体会6实验三、入侵检测系统分析与应用10一、实验目的10二、实验仪器与器材10三、实验原理10四、实验过程与测试数据10五、实验分析10六、实验体会10实验四、虚拟蜜罐分析与实践12一、实验目的12二、实验仪器与器材12三、实验原理12四、实验过程与测试数据12五、实验分析12六、实验体会12综合成绩13考核要求14实验一、网络分析器应用实验一、实验目的1. 下载Wireshark并进行安装；2. 掌握Wireshark的基本用法与设置：（1） 了解捕获选项的相关设置；（2） 学习使用过滤器显示符合过滤条件的数据包；（3） 学习使用着色规则；（4） 学习使用基本图表进行网络分析；3. 掌握使用Wireshark捕获流量数据包并保存至本地4. 使用Wireshark分析ARP协议的请求报文。二、实验仪器与器材WiresharkWindows 10三、实验原理Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包， 并尝试显示包的尽可能详细的情况。网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具，Wireshark 是最好的开源网络分析软件。Wireshark的主要应用如下：（1）网络管理员用来解决网络问题（2）网络安全工程师用来检测安全隐患（3）开发人员用来测试协议执行情况（4）用来学习网络协议（5）除了上面提到的，Wireshark还可以用在其它许多场合。Wireshark的主要特性（1）支持UNIX和Windows平台（2）在接口实时捕捉包（3）能详细显示包的详细协议信息（4）可以打开/保存捕捉的包（5）可以导入导出其他捕捉程序支持的包数据格式（6）可以通过多种方式过滤包（7）多种方式查找包（8）通过过滤以多种色彩显示包（9）创建多种统计分析四、实验过程与测试数据1Wireshark的安装及界面（1）Wireshark的安装（2）Wireshark的界面启动Wireshark之后，主界面如图：2. Wireshark的基本用法与设置2.1捕获选项的相关设置1）启动Wireshark以后，选择菜单Capature-Interfaces,选择捕获的网卡，单击Capture开始捕获2）当停止抓包时，按一下stop，抓的包就会显示在面板中，并且已经分析好了。Wireshark界面窗口被分成三个部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。2.2使用过滤器显示符合过滤条件的数据包Interface：指定在哪个接口（网卡）上抓包。Limit each packet：限制每个包的大小。Capture packets in promiscuous mode：是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。Filter：过滤器，只抓取满足过滤规则的包。File：如果需要将抓到的包写到文件中，在这里输入文件名称。use ring buffer：是否使用循环缓冲。2.3使用着色规则2.4使用基本图表进行网络分析3.使用Wireshark捕获流量数据包并保存至本地五、实验分析使用WireShark对ARP协议进行分析（1）启动WireShark（2）捕获数据（3） 停止抓包并分析ARP请求报文将Filter过滤条件设为arp，回车开始抓包 （4）ARP请求报文分析第一行：帧基本信息分析Frame Number（帧的编号）：18Frame Length(帧的大小)：60字节。（以太网的帧最小64个字节，而这里只有60个字节，应该是没有把四个字节的CRC计算在里面）Arrival Time(帧被捕获的日期和时间):Jun 25, 2018 19:02:57.728234000 中国标准时间Time delta from previous captured frame(帧距离前一个帧的捕获时间差): 0.347616000 secondsTime since reference or first frame(帧距离第一个帧的捕获时间差): 5.341389000 secondsProtocols in frame(帧装载的协议)：eth:arp第二行：数据链路层：Destination：Broadcast(ff:ff:ff:ff:ff:ff) Destination（目的地址）: Broadcast (ff:ff:ff:ff:ff:ff) （这是一个广播的MAC地址）Source（源地址）: Pegatron_fe:b1:a7 (78:f2:9e:fe:b1:a7)帧中封装的协议类型：ARP(0x0806)（这个是ARP协议的类型编号）Padding：是协议中填充的数据，为了保证帧最少有64字节。第三行：ARP协议Hardware type（硬件类型）：Ethernet(1)Protocol type（协议类型）： IPv4(0x0800)Hardware size(硬件信息在帧中占的字节数)：6Protocol size(协议信息在帧中占的字节数)：4opcode（操作码）：request(1)Sender MAC address（发送方的地址）：Pegatron_fe:b1:a7 (78:f2:9e:fe:b1:a7)Sender IP address（发送方的IP地址）：8Target MAC address（目标的地址）： 00:00:00_00:00:00(00:00:00:00:00:00)Target IP address（目标的IP地址）：5六、实验体会通过本次实验使用wireshark并分析抓包结果，和对获得的ARP报文的分析，我熟悉了wireshark的使用，并更加深入了解了ARP报文的传输过程。实验二、远程控制实验一、实验目的1.掌握远程控制技术的有关内容；2.掌握pcAnywhere软件的操作方法；3.掌握远程控制原理及基本协议、远程控制技术概念及原理等知识；4.利用pcAnywhere软件对远程计算机进行控制。二、实验仪器与器材pcAnywhere软件系统VM ware:Windows 7Windows 10三、实验原理1.远程控制原理所谓远程控制，是指管理人员在异地通过计算机网络联通被控制的计算机，将被控计算机的桌面环境显示到自己的计算机上，通过本地计算机对远端计算机进行配置、软件安装和文件编辑等工作。当操作者使用主控计算机控制被控端计算机时，可以启动被控端计算机的应用程序，使用被控端的文件资料，甚至可以利用被控端计算机的外部设备和通信设备来进行工作。远程控制必须通过网络才能进行。位于本地的计算机是操纵指令的发出端，称为主控端或客户端，非本地的被控制的计算机称为被控端或服务器端。2.远程控制技术随着网络的快速发展以及计算机管理和技术支持的需要，远程操作及控制技术越来越引起人们的关注。远程控制支持多种网络方式：LAN、WAN、拨号方式及互联网方式。此外，远程控制还支持通过串口、并口和红外端口来对目标主机进行控制。传统的远程控制技术一般使用NETBEUI、NETBIOS、IPX/SPX和TCP/IP等协议来实现，此外，还支持Java技术，以实现不同操作系统下的远程控制。远程控制由两部分组成：客户端（Client）程序和服务器端（Server）程序。在进行远程控制前，需要事先将客户端程序安装到主控端计算机上，服务器端程序安装到被控端计算机上。远程控制的过程是：先在主控端计算机上执行客户端程序，向被控端计算机中的服务器端程序发出信号，建立一个特殊的远程服务；通过这个远程服务，使用远程控制功能发送远程控制命令，控制被控端计算机运行。3.远程控制方式远程控制的实现方式通常有两种：点对点方式和点对多点方式。点对点控制指的是一个远程客户端的程序在同一时间内只能连接并控制唯一一台远程计算机。点对点控制程序以客户端控制服务器端的模式工作，这也是远程访问控制中运用得最普遍的情况。点对点的访问控制主要应用于对远程主机进行具体控制和监控的需求。一些专业软件，如远程控制软件pcAnywhere，可以借助局域网的优势用一台计算机控制多台计算机，实现对远程主机的多点控制。点对多点的访问控制可以在同一时间内对一台或多台远程计算机进行控制。点对多点的访问控制流程和点对点相反，首先由每个客户端程序向服务器端程序发出连接请求，建立连接之后，服务器端就可以对多台远程计算机的客户端程序发出指令并由客户端程序执行指令。点对多点的访问控制主要应用于控制大范围计算机领域，如定时、收费和监督等。远程控制在计算机网络管理与维护中应用相当普遍，网络管理员可以通过接入局域网中的任意一台计算机，通过远程控制方式对网内服务器等设备进行管理和维护，实现在服务器上进行软件安装、系统升级、数据备份以及日志查看等功能。四、实验过程与测试数据1.pcAnywhere软件的安装与使用。安装成功后，双击桌面上的图标Symantec pcAnywhere，打开软件运行界面，“转到高级视图”。2. 配置被控端（hosts）。通过选择主机下的添加功能自定义配置被控端计算机。3.配置主控端（Remotes）。在向导中输入被控端计算机的IP地址。设置完毕后，右击主控端，在快捷菜单中选择“开始远程控制”命令，即可自动连接至远程主机的桌面，实现安全的桌面远程操作。作为被控端，在“主机”中双击新建主机（AAA）即可，任务栏的右下角会有图标提示。作为主控端，选中“远程”中的“AAA”，单击左侧的“启动连接”，或者双击AAA，出现如图4.3.4所示的界面。用户名就是登录名BBB，密码就是登录密码1234。连接成功后将按要求进入远程控制界面或者文件传送界面，可以在远程控制界面中遥控被控计算机。如图，主控端出现了被控端的桌面窗口。4.远程控制扩展实验（1）单击工具栏中的“改为全屏显示”按钮，可全屏显示从机的桌面而隐藏主机的“开始”菜单和工具栏。单击工具栏中的“文件传送”按钮，左边显示的是主机资源，右边为从机资源，利用鼠标的拖放功能可实现文件的双机互相复制.（2）单击工具栏中的“查看修改联机选项”按钮，设置锁定从机键盘，单击工具栏中的“结束远程控制对话”按钮。五、实验分析本实验中，以pcAnywhere为例，进行了基于主机（实体机）和从机（虚拟机）的远程控制实验实现。作为一款独特的集成解决方案，pcAnywhere结合了远程控制、远程管理、高级文件传输功能和强健的安全性。实验过程中，通过在Windows 10 系统上安装pcAnywhere主控端并进行远程登录的信息配置，在Windows 7 系统上安装pcAnywhere被控端并进行主机的信息设置以及对于远程控制的选项设置，配置完成后进行远程控制的登录以及控制过程，并最终通过远程操纵计算机、文件传输等功能的实现，加深对远程控制的理解与应用。在本实验中，应注意的问题主要包括对于远程主机登录信息的配置环节中，对于登录账户、域信息以及密码需要与在主控端中的配置完全一致，保证最终连接的成功。六、实验体会远程操作及控制技术在当下的用途越来越广泛，而远程控制安全作为网络安全中的一个重要组成部分，也应当引起我们更多的关注。通过远程控制，可以便利日常的生活学习以及工作，大大提高工作的效率以及设备的利用率。我们在了解远程控制技术的基础上，应该进行进一步的深入研究，做到合理而又安全地使用远程控制，发挥其最大的优势。实验三、入侵检测系统分析与应用一、实验目的l1.了解入侵检测系统l2.熟悉运用入侵检测软件二、实验仪器与器材Vm ware：Ubuntu16.04三、实验原理1.入侵检测系统入侵检测系统（intrusion detection system,IDS）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。IDS是计算机的监视系统，它通过实时监视系统，一旦发现异常情况就发出警告。以信息来源的不同和检测方法的差异分为几类：根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和误用入侵检测。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。这些位置通常是：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。入侵检测系统根据入侵检测的行为分为两种模式：异常检测和误用检测。前者先要建立一个系统访问正常行为的模型，凡是访问者不符合这个模型的行为将被断定为入侵；后者则相反，先要将所有可能发生的不利的不可接受的行为归纳建立一个模型，凡是访问者符合这个模型的行为将被断定为入侵。对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标志（signature-based），另一种基于异常情况（anomaly-based）。对于基于标志的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。2.Suricata入侵检测工具Suricata是一款高性能的网络IDS、IPS和网络安全监控引擎。它是由the Open Information Security Foundation开发，是一款开源的系统。在所有目前可用的IDS/IPS系统中，Suricata最能够与Snort相抗衡。该系统有一个类似Snort的架构，依赖于像Snort等的签名，甚至可以使用VRT Snort规则和Snort本身使用的相同的Emerging Threat规则集。四、实验过程与测试数据1.工具安装获取最新的个人软件包档案源，将其添加至当前apt库中。系统升级以及软件安装。安装完成后启动软件并查看相关帮助。2.入侵检测：查看当前网卡使用情况。查看内置snort规则列表，配置自定义规则test.rules，并利用此条规则启动suricata。启动后，在浏览器打开百度页面。Suricata软件会把记录保存在/var/log/suricata中，在此文件夹中打开log文件查看记录。首先打开stats.log文件，根据记录的时间可以进行查看刚刚进程的记录，可以看出tcp握手的过程。打开suricata.log文件，此文件存储软件检测日志，可以查看suricata软件使用过程中所有的提示，包括错误、警告等。打开文件eve.json，发现其中以json格式记录着所有的数据，包括源IP和目标IP等。五、实验分析Suricata软件可以利用snort的规则，通过规则的编写可以实现自己想要的结果。软件安装前需要安装必要的库文件，而且没有采用通过源码进行安装，保证了安装的准确性和软件使用的可靠性。Suricata可以通过选定某个网络接口来进行监听，并将监听过程中所监听到的信息都记录在日志中，以便于查看分析是否被入侵。通过合理使用snort规则，可以实现对单独事件、单独网络协议和某些木马攻击等都可以实现单独的检测，从而对于特定的目标实现特定的检测方案。六、实验体会通过此次实验，我对入侵检测系统的原理和两种入侵检测行为的模式有了一个初步的认识和了解。Suricata是一种高性能的入侵检测工具，堪比目前应用最为广泛的Snort。通过Suricata的使用，编写简单的snort规则，可以实现简单的入侵监控。实验四、虚拟蜜罐分析与实践一、实验目的l1.掌握虚拟蜜网的定义、结构及具体搭建步骤。l2.利用蜜网工具进行网络行为分析。2、 实验仪器与器材lVM ware：Ubuntu 64，honeynet工具包lVM ware：Windows 7, Trap-sever蜜罐模拟工具三、实验原理1.蜜罐原理蜜罐honeypot的定义，“蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。”蜜罐的设计初衷就是让黑客入侵，借此收集相关证据，并隐藏真实的服务器地址。蜜罐一般具有以下功能：发现攻击、产生警告、强大的记录能力、欺骗、协助调查。蜜罐的另一个用途是拖延攻击者对其真正目标的攻击，让攻击者在蜜罐上浪费时间，与此同时，最初的攻击目标受到了保护，真正有价值的内容将不受侵犯。根据管理员的需要不同，蜜罐的系统和漏洞设置要求也不同，蜜罐是多种多样的，包括实系统蜜罐、伪系统蜜罐。2.虚拟蜜罐网络Honeynet虚拟蜜罐网络Honeynet是honeypot的一种形式。Honeypot是用来让人攻击，存在安全风险的资源。而Honeynet是一种交互性很高的Honeypot。这种高度的交互性能够使我们了解入侵者怎样攻破系统，怎样联系和为什么要入侵系统的一切东西。Honeynets是通过构建一个网络系统来实现这个目的的。这个网络是高度集成的，所有流入和流出的数据都会被控制和捕捉，在这个网络中的每一个系统都是一个真正的Honeypot，每个系统都是为了诱导攻击者的攻击而设计。Honeyd是一种低交互的蜜罐。Honeyd 是一个小的防护程序，它能够产生虚拟的主机，这些主机能够被配置以提供任意的服务，系统特征也是与之相适应，以至于使之看起来像真实的系统在运行。在一个局域网的网络仿真中，Honeyd能够使单个主机拥有许多IP（多达65536个）。通过提供对威胁探测和评估的机制，增强了计算机的安全性，通过隐藏真实的系统在虚拟的系统中，也达到了阻止敌手的目的。启动honeyd前有时必须先启动arpd.启动arpd有2种方式：arpd IP；%arpd IP(%表示arpd的路径，因为系统本身有个arpd，有时需要指定自己安装的那个arpd的路径)。3.Trap-sever蜜罐模拟工具Trap Server是一款WEB服务器蜜罐软件，它可以模拟很多不同的服务器，例如：Apache HTTP Server、Microsoft IIS等。Trap Server蜜罐运行时就会开放一个伪装的WEB服务器，虚拟服务器将对这个服务器的访问情况进行监视，并把所有对该服务器的访问记录下来，包括IP地址，访问文件等。通过这些对黑客的入侵行为进行简单的分析。四、实验过程与测试数据1.虚拟蜜罐网络Honeynet在ubuntu上的搭建 （1）系统库安装:需要安装flex、bison和libedit-dev，为Honeynet的搭建提供支持。（2）依赖库、honeyd和arpd安装安装时，先将压缩包解压到主文件目录下，再在文件中用./configure命令，对即将安装的软件进行配置，检查当前的环境是否满足要安装软件的依赖关系，使用make工具对文件中所有源代码进行自动编译，最后使用sudo make install 命令来进行安装。对所有压缩包按照如下的顺序执行上面的操作(根据版本可能安装包有所不同)：1.libevent-1.4.14b-stable.tar.gz2.libdnet-1.12.tgz3.libpcap-1.3.0.tar.gz4.zlib-1.2.8.zip5.honeyd-1.5c.tar.gz6. arpd-0.2.tar在安装honeyd时，在检查时还会出现另外一个错误：无法获取libc，我们此时需要使用cp命令来获取libc：sudo cp /lib/x86_64-linux-gnu/libc.so.6 /usr/lib/安装aprd工具时，在检查的时候会报错，是由于其中一个文件出现问题，需要在arpd/arpd.c文件中添加 #define _FUNCTION_。在启动honeyd的时候发现报错，是由于虽然已经安装了honeyd所依赖的共享库，但是在调用该共享库时，程序按照默认共享路径找不到该共享文件。进行一系列修改，最后在root权限下启动成功。2.honeyd的简单使用首先用aprd工具虚拟出两台主机。在局域网中选择一个未被使用的IP地址，启动arpd，此处选择的是。然后在此空闲的ip上构建虚拟蜜罐并进行监听。3. Trap-sever蜜罐模拟工具的使用将Trap-sever蜜罐模拟工具安装在win7系统下，安装完成后启动软件。在主界面点击“开始监听”按钮，开启蜜罐服务。此记录表示，Trap Server开始侦听服务器的80端口。在本机浏览器输入自己自己服务器的ip,访问访问用Trap Server模拟的WEB服务。这时，在Trap Server主界面里就会自动监听并显示攻击者的访问操作记录。另外，在遭受攻击时如果不知道攻击者的真实IP地址