网络安全实验报告

实验项目列表序号实验项目名称成绩指导教师1常用网络攻防命令使用2网络扫描器使用和分析3ARP欺骗工具及原理分析4DoS/DDoS攻击与防范5入侵检测技术67891011121314151617181920福建农林大学计算机与信息学院信息工程类实验报告系： 计算机与信息学院 专业： 网络工程 年级： 09级 姓名： 刘建凯 学号： 实验课程： 网络安全 实验室号：_田513_ 实验设备号： 37 实验时间： 指导教师签字： 成绩： 实验名称：常用网络攻防命令使用一实验目的和要求 目的： 1.了解网络访问的大致步骤和方法 2.熟练使用PsTools中的相关程序，能够使用该套工具进行基本访问和 日志清除 3.掌握NET命令组的使用方法，能够使用NET命令组进行基本的访问4.学会使用Radmin进行文件上传和下载 要求： 第一阶段：1.熟悉PsTools工具使用方法. 2.熟悉本章介绍的各种常用DOS命令. 3.学会使用Radmin进行文件上传下载. 第二阶段：1.已知某台Windows操作系统的计算机管理用户名 (csadmin)和密码(testadmin).使用如下方法入侵该计算 机(获得Shell，在对方计算机中安装远程控制程序进行 屏幕控制):A.仅使用Windows的自带命令和远程控制程 序;B.仅使用PsTools中的相关工具和远程控制程序. 2.获得对方每个盘的详细目录结构，并使用TFTP传到本 地. 3.从传回本地的详细目录结构中找到文件security.dat 所在位置，并传回本地. 第三阶段：1.卸载对方系统中的远程控制程序 2.完成选择题二实验原理 网络攻击原理及方法概要： 三主要仪器设备（实验用的软硬件环境） PsTools工具: 一个命令行下的Windows NT/2000/XP/2003 远程或者局域系统管理工具包.Radmin工具: 一个将远程控制、外包服务组件、以及网络监控结合到一个系统里的远程控制软件. cshell实验所需工具 PC机两台四.实验内容与步骤 1、基于Windows命令的远程访问本次远程访问简介已知一台电脑的管理员用户及密码,最简单的远程访问莫过于基于建立ipc连接的远程访问.在建立ipc连接之后,我们可以很方便的复制文件到远程主机 ,运行已复制的软件,从而达到远程访问的目的.本次远程访问步骤：第一步:建立ipc连接第二步:将被远程访问电脑的C盘映射为本地的Z盘或者直接复制文件至被远程访问电脑的C盘.将被远程访问电脑的C盘映射为本地的Z盘(建议使用).直接把cshell.exe复制至被远程访问电脑的C盘下.第三步:远程运行cshell.exe,作业设定的是在10：25运行已复制在29电脑上的cshell.exe文件.在cmd命令中输入telnet 29 1234(没有引号),完成远程访问.截至此处,本次实验目的达到.获得被远程访问者的Shell之后,访问并没有结束,为了下次访问方便,或者利用此电脑访问其他电脑, 一般都会在已访问的电脑建立后门.下一节实验是用PsTools工具进行访问,用Radmin进行屏幕控制.在本次访问 之后,我们先做一些准备工作,将Radmin的服务端复制到已访问电脑.Radmin服务端包括:r_server.exe,raddrv.dll,AdmDLL.dll.在本地电脑的C盘根目录下放着，现在将它们复制到IP为01, 账号为csadmin，密码为testadmin的电脑中.输入复制r_server.exe文件命令(已建立IPC连接):copy c:r_server.exe 8c$2、基于PsTools和Radmin的远程访问本次远程访问简介利用PsTools中的psexec.exe程序将cshell.exe复制至远程主机并运行,然后获得Shell,利用上次实验已复制好的Radmin服务端,把Radmin安装在被访问电脑 上,进行屏幕控制.本次远程访问步骤：第一步:将cshell.exe复制至远程主机并运行.在建立ipc连接之后,我们使用psexec.exe就不要输入远程电脑的账号密码,较为方便.输入建立ipc连接命令:net use 01ipc$ testadmin /user:csadmin利用psexec.exe复制cshell.exe至03并运行.我们在使用psexec.exe时,通常在命令行后面加上-d参数,表示不等待程序执行结束就返回.把cshell.exe复制到03并运行.在本地电脑输入telnet 03 1234,成功.第二步:在01上面安装Radmin服务端.运用psexec工具进入远程电脑的cmd命令工具安装Radmin的服务端并启动服务.随后我们就可以在Radmin客户端上,点击新建连接,在其中输入已植入Radmin服务端,安装并开启服务电脑的IP地址(01), 在连接模式中选择需要类型,然后双击已建立的连接,就可以进行控制了.进行连接：连接后，对方的桌面图：3、寻找并传回目标文件security.dat本次远程访问目的到现在,我们已经熟悉了两种远程访问的方法,并且在两次访问中已经把Radmin这个强大的远程控制软件安装完成,接下来要做的就是 寻找被访问电脑上的security.dat(正确的security.dat内容为this is the right for the test,无引号),并将其传回本地.本次远程访问步骤：第一步:查找security.dat存放的位置方法一:Radmin工具利用Radmin工具将被访问电脑文件夹选项修改为显示所有文件和文件夹.然后用搜索选项搜索security.dat.用连接模式中的完全控制连接被访问电脑,双击被访问电脑的图标,在被访问电脑的我的电脑-工具-文件夹选项-查看中修改.在被访问电脑的我的电脑-搜索选项中搜索security.dat,通过直接查看文件,找到正确的security.dat.方法二:dir命令进入被访问电脑的cmd命令行工具.在cmd命令行中输入dir c:security.dat /a/s来查找目标文件./a/s表示显示当前目录下所有文件,包括隐藏文件和子目录下的所有文件.dir命令能够详细的显示查找的文件大小,由目标文件的内容可知其大小是30字节,不需要查看文件内容就可以找到正确的目标文件,降低风险.第二步:将已查找到的正确的security.dat文件利用Radmin传回本地.把Radmin的连接模式改为文件管理,双击被远程访问电脑图标进入文件管理模式.进入正确的security.dat文件目录,选择拷贝目录到另外的计算机,传回目标文件成功(由于目标文件属性是隐藏,所以传回的文件也是隐藏属性,需要在本地 电脑把文件夹选项修改为显示所有文件和文件夹,此过程省略).用记事本打开传回本地的security.dat文件,确认是自己想要查找的目标文件.截至此处,本次实验目的已经达到.4、卸载被远程访问电脑的远程控制程序本次实验目的卸载被远程访问电脑中的Radmin服务,并删除Radmin的服务端安装程序及cshell.exe.本次实验步骤第一步:卸载远程电脑中的Radmin服务.进入远程电脑cmd,停止Radmin服务(使用psexec之前,已建立ipc连接).卸载远程电脑Radmin服务(最后一行命令是检验Radmin服务是否被成功卸载).第二步:关闭r_server服务的进程.用pslist命令查看r_server进程的pid.用pskill命令关闭r_server进程.第三步:删除Radmin服务端安装程序及cshell.exe.将远程电脑的C盘映射为本地的Z盘.进入本地Z盘即远程电脑C盘,删除Radmin服务端安装程序及cshell.exe.截至此处,本次实验目的已达到.五.实验总结 通过本次实验，我学会了远程控制对方的主机，学会使用远程控制的相关工具，为后面进行攻击做好基础准备。六质疑、建议、问题讨论有哪些方法可以防止受到本实验中提到的类似攻击？ 答：保护好自己的密码，密码等级可设级别高一点，防止被人破解，要开启防火墙。关闭本地电脑ipc$共享关闭本地电脑ipc$共享,远程电脑与本地电脑建立ipc连接的时候,远程电脑的cmd命令中会提示:发生系统错误67,找不到网络名.关闭本地电脑的ipc$共享远程电脑欲和本地电脑建立ipc连接,提示:发生系统错误67,找不到网络名需要的时候打开ipc$共享福建农林大学计算机与信息学院信息工程类实验报告系： 计算机与信息学院 专业： 网络工程 年级： 09级 姓名： 刘建凯 学号： 实验课程： 网络安全 实验室号：_田513_ 实验设备号： 38 实验时间： 指导教师签字： 成绩： 实验名称：网络扫描器使用和分析一实验目的和要求通过使用网络扫描软件，了解目标主机端口和服务的开放情况，从而进一步获取信息，找出系统安全漏洞。通过抓包软件的使用，捕获一些敏感数据（如密码）。 通过本次实验，可以了解到端口与服务开放的风险，增强在网络安全防护方面的意识，还可以捕获局域网中用户的账号和密码。实验具体要求如下：1.熟悉网络数据包捕获工具的使用2.熟悉扫描程序（漏洞、端口）的使用3.能够利用抓包工具分析扫描程序的具体原理二实验原理Wireshark简介及使用原理：Wireshark（前称Ethereal）是一个网络封包分析软件，不是入侵侦测软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。网络封包分析软件的功能可想像成电工技师使用电表来量测电流、电压、电阻的工作 - 只是将场景移植到网络上，并将电线替换成网络线。 对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。 Wireshark本身也不会送出封包至网络上。Xscan简介及使用原理：Xscan采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式，扫描内容包括：远程服务类型、操作系统类型及版本，各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。nmap简介及使用原理：nmap是Linux,FreeBSD,UNIX,Windows下的网络扫描和嗅探工 具包，其基本功能有三个，一是探测一组主机是否在线；其次是扫描 主机端口，嗅探所提供的网络服务；还可以推断主机所用的操作系统 。Nmap可用于扫描仅有两个节点的LAN，直至500个节点以上的网络。Nmap 还允许用户定制扫描技巧。通常，一个简单的使用ICMP协议的ping操 作可以满足一般需求；也可以深入探测UDP或者TCP端口，直至主机所 使用的操作系统；还可以将所有探测结果记录到各种格式的日志中， 供进一步分析操作。三主要仪器设备（实验用的软硬件环境）1.要求实验室内网络是连通的，组内每台计算机均可以访问另外一台计算机。2.下载相关工具和软件包(wireshark,Xscan,nmap)。3.在计算机中安装相应的软件四.实验内容与步骤1、利用WireShark捕获数据包在VOA网站（/)上注册一个会员号，利用WireShark捕获数据包，对捕获到的数据包进行分析，找到用户名和密码。1. 打开VOA网站，进入会员登录界面。2. 输入相应的用户名和密码。3. 起动WireShark应用程序，点击Capture - Interfaces - Options,将Capture Filter设置为tcp port http,再点击Start起动。4. 在捕获的包中查找相应的用户名和密码。捕获的用户名为： 捕获的密码为：141b 0a09741c710baca8 经过加密2、利用Xscan扫描主机和局域网中的开放端口和漏洞1. 安装并运行Xscan，设置扫描的参数。在指定IP地址范围时，将IP改为；然后再设置检测范围，选择所需要的扫描内容。扫描参数设置完毕后，开始扫描。扫描完成后，扫描结果如下：(1) 扫描的漏洞如图所示： (2) 扫描的内容如图所示：2. 将IP地址范围改为-54，扫描范围不变，再重新扫描一次。重新设置完毕后，开始扫描，扫描后的结果如下：(1) 扫描的漏洞如图所示：(2) 扫描的内容如图所示：3、利用nmap对局域网中的主机进行扫描1. 下载安装好nmap后，运行cmd，将目录打开到装nmap的文件夹下，然后输入：nmap -sP -254，用于探测局域网中开放的主机。扫描完成后输出的结果包括目标的主机的IP地址和MAC地址，如图所示：2. 扫描完局域网中存活的主机后，选择其中的一个，输入命令：nmap -O 29，用于探测目标主机的操作系统。扫描完成后输出的结果包括目标的主机的操作系统和开放端口，如图所示：3. 用nmap对目标主机扫描后，对目标主机的操作系统，MAC地址，开放端口有了一定的了解，可以对这些信息作为一定的依据，再利用一些攻击性软件，即可对目标主机实施攻击。五.实验总结 通过本次实验，我了解并掌握了，攻击前关于目标主机的信息收集，针对目标主机的漏洞，端口进行扫描的技巧，为攻击做好准备。六质疑、建议、问题讨论 思考题一： 在使用wireshark捕获目标主机用户名和密码时，试着捕获一下目标主机的网易邮箱，看是否可以捕获到邮箱的用户名和密码。如果不能，思考一下不能捕获的原因？ 答：不能，因为其密码有加密，不能显示其原密码，必须要经过破解还原密码。思考题二： 在使用Xscan扫描局域网内主机的开放端口与漏洞信息时，为什么发现有些主机存活，却不能扫描？答：有可能对方主机开启了安全卫士等一些安全软件，限制了我们扫瞄。思考题三： 在使用nmap扫描目标主机后，可以得知目标主机的许多的有用信息，如何利用这些信息做进一步的攻击？答：如扫描到其开放端口，则就可以针对该端口发起进攻，如ddos等。福建农林大学计算机与信息学院信息工程类实验报告系： 计算机与信息学院 专业： 网络工程 年级： 09级 姓名： 刘建凯 学号： 实验课程： 网络安全 实验室号：_田513_ 实验设备号： 38 实验时间： 指导教师签字： 成绩： 实验名称：ARP欺骗工具及原理分析一实验目的和要求1.熟悉ARP欺骗攻击工具的使用 2.熟悉ARP欺骗防范工具的使用 3.熟悉ARP欺骗攻击的原理二实验原理ARP及ARP欺骗原理： ARP（Address Resolution Protocol）即地址解析协议，是一种将IP地址转化成物理地址的协议。不管网络层使用什么协议，在网络链路上传送数据帧时，最终还是必须使用硬件地址的。而每台机器的MAC地址都是不一样的，具有全球唯一性，因此可以作为一台主机或网络设备的标识。目标主机的MAC地址就是通过ARP协议获得的。 ARP欺骗原理则是通过发送欺骗性的ARP数据包致使接收者收到数据包后更新其ARP缓存表，从而建立错误的IP与MAC对应关系，源主机发送数据时数据便不能被正确地址接收。 ARPsniffer使用原理： 在使用该工具时，它会将网络接口设置为混杂模式，该模式下工具可以监听到网络中传输的所有数据帧，而不管数据帧的目的地是自己还是其他网络接口的地址。嗅探器会对探测到的每一个数据帧产生硬件数据中断，交由操作系统处理，这样就实现了数据截获。 局域网终结者使用原理： 一个主机接收到与自已相同IP发出的ARP请求就会弹出一个IP冲突框来。利用局域网终结者可以伪造任一台主机的IP向局域网不停地发送ARP请求，同时自已的MAC也是伪造的，那么被伪造IP的主机便会不停地收到IP冲突提示，致使该主机无法上网。这便构成了局域网终结者的攻击原理。 网络执法官使用原理： 网络执法官原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地址，使其找不到网关真正的MAC地址。 三主要仪器设备（实验用的软硬件环境）1.要求实验室内网络是连通的，组内每台计算机均可以访问另外一台计算机。 2.下载相关工具和软件包(ARP攻击检测工具，局域网终结者，网络执法官，ARPsniffer嗅探工具)。四.实验内容与步骤1、利用ARPsniffer嗅探数据实验须先安装winpcap.exe它是arpsniffer.exe运行的条件，接着在arpsniffer.exe同一文件夹下新建记事本，输入Start cmd.exe ,保存为cmd.bat。ARPsniffer有很多种欺骗方式，下面的例子是其中的一种。1.运行cmd.exe,依次输入以下命令：arpsf.exe -sniffall -o f:sniffer.txt -g 54 -t 8（其中IP地址：54是局域网网关的地址，8是被欺骗主机的IP地址，试验获取的数据将会被输入到F盘的sniffer.txt文件中。）按回车键运行，出现如下图所示的选项，选1，接着选0，回车，程序便开始监听了。2. 停止运行，打开F盘的sniffer.txt文件，在文件中查找，可以发现被欺骗主机的一些敏感信息，如下图：可以发现被欺骗主机注册某网站时的信息：username=netsec password=等。五.实验总结 通过本次实验，我学会了ARP欺骗技术，以及一些相关软件的使用，通过ARP欺骗可以截取一些呗被欺骗主机的敏感信息。六质疑、建议、问题讨论 思考问题1.实验中的工具软件是利用什么实现其功能的 2.如何防范此类攻击答：ARP欺骗攻击工具是利用ARP欺骗的手段实现其功能的，它的使用对用户隐私，以及某些敏感信息的保密具有极大威胁。我们可以通过将MAC地址与IP地址绑定的方法以避免遭到ARP欺骗。福建农林大学计算机与信息学院信息工程类实验报告系： 计算机与信息学院 专业： 网络工程 年级： 09级 姓名： 刘建凯 学号： 实验课程： 网络安全 实验室号：_ 田513_ 实验设备号： 38 实验时间： 指导教师签字： 成绩： 实验名称：DoS/DDoS攻击与防范一实验目的和要求通过本实验对DoS/DDoS攻击的深入介绍和实验操作，了解DoS/DDoS攻击的原理和危害，并且具体掌握利用TCP、UDP、ICMP等协议的DoS/DDoS攻击原理。了解针对DoS/DDoS攻击的防范措施和手段。实验具体目的如下: 1.了解SYN-FLOOD攻击的原理、特点 2.了解UDP-FLOOD攻击的原理、特点 3.了解DDoS攻击的原理、特点 4.了解针对DoS/DDoS攻击的防御手段二实验原理DoS攻击：DoS是Denial of Service的简称，即拒绝服务，目的是使计算机或网络无法提供正常的服务。其攻击方式众多，常见的有SYN-FLOOD，UDP-FLOOD。 A.SYN-FLOOD攻击:标准的TCP连接要经过三次握手的过程，首先客户端向服务器发送一个SYN消息，服务器收到SYN后，会向客户端返回一个SYN-ACK消息表示确认，当客户端受到SYN-ACK后，再向服务器发送一个ACK消息，这样就建立了一次TCP连接。SYN-FLOOD则是利用TCP协议实现上的一个缺陷，SYN-FLOOD攻击器向服务器发送洪水一样大量的请求，当服务器受到SYN消息后，回送一个SYN-ACK消息，但是由于客户端SYN-FLOOD攻击器采用源地址欺骗等手段，即发送请求的源地址都是伪造的，所以服务器就无法受到客户端的ACK回应，这样一来，服务端会在一段时间内处于等待客户端ACK消息的状态，而对于每台服务器而言，可用的TCP连接队列空间是有限的，当SYN-FLOOD攻击器不断的发送大量的SYN请求包时，服务端的TCP连接队列就会被占满，从而使系统可用资源急剧减少，网络可用带宽迅速缩小，导致服务器无法为其他合法用户提供正常的服务。B.UDP-FLOOD攻击:UDP-FLOOD攻击也是DDoS攻击的一种常见方式。UDP协议是一种无连接的服务，它不需要用某个程序建立连接来传输数据UDP-FLOOD攻击是通过开放的UDP端口针对相关的服务进行攻击。UDP-FLOOD攻击器会向被攻击主机发送大量伪造源地址的小UDP包，冲击DNS服务器或者Radius认证服务器、流媒体视频服务器，甚至导致整个网段瘫痪。DDoS攻击：DDoS是Distributed Denial of Service的简称，即分布式拒绝服务。DDoS攻击是在DoS攻击的基础上产生的，它不再像DoS那样采用一对一的攻击方式，而是利用控制的大量肉鸡共同发起攻击，肉鸡数量越多，攻击力越大。一个严格和完善的DDoS攻击一般由四个部分组成:攻击端,控制端,代理端,受害者。 三主要仪器设备（实验用的软硬件环境）1.要求实验室内网络是连通的，组内每台计算机均可以访问另外一台计算机。 2.下载相关工具和软件包 ：a.wireshark b.SuperDDoS c.UDPFLOOD d.独裁者DDoS e.Tomcat f.java_jdk 3.在计算机中安装相应的软件。四.实验内容与步骤1、SYN-FLOOD攻击演示和分析1.本次实验需要两台网络连通，可以互相访问的计算机，分别记作A、B。首先在A，B上分别关闭防火墙和杀毒软件，并在A上启动Tomcat服务器（把A作为服务器）。Tomcat服务器启动图如下：2. 在B上打开Supper DDoS，输入A的ip和一个开放服务的端口，我这里因为Tomcat开放的端口是80，所以端口就填80，而Protocol(协议)默认是TCP，点击Attack。3.打开安装在A上的wireshark，在Options-Capture Filter框中填入tcp，表明所要抓的包是tcp包，点击Start，开始抓包，并保存抓到的结果。从这张在被攻击服务器上的抓包图中我们可以看到大量的TCP数据包，这些数据包的源IP是由Super DDoS用IP欺诈等手段伪造的，这些IP实际是不存在的。我们还可以看出大量的SYN包没有ACK回应。4. 打开A的命令行窗口输入netstat -an或者netstat -n -p tcp命令，可以看到有大量的ip和本机建立了SYN-RECEIVED状态的TCP二次握手连接，这些ip地址都是随机的，是Supper DDos伪造的。大量IP与服务器停留在半连接状态，一旦这种连接数量超过服务器的半连接队列数，服务器的资源就会被耗竭，从而无法再处理其他合法用户的请求了。5.防御和抵制SYN-FLOOD攻击的措施1.根据SYNdrome-FLOOD攻击的原理可知SYN-FlOOD攻击效果取决于服务器上设置的SYN半连接数（半连接数=SYN攻击频度 * SYN Timeout），所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，会使得SYN半连接数减少（但是也不能把SYN Timeout设置得过低，这是为什么大家可以思考一下），从而降低服务器的负荷。2.给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。3.利用网关型防火墙，让客户机与服务器之间并没有真正的TCP连接，所有数据交换都是通过防火墙代理，外部的DNS解析也同样指向防火墙，使攻击转向防火墙，只要防火墙的性能足够高，就能抵挡相当强度的SYNFLOOD攻击。2、UDP-FLOOD攻击演示和原理分析1.本次实验需要两台网络连通并可以互相访问的电脑，记作A，B，这里用的工具是UDP FLOOD攻击器。与SYN-FLOOD攻击一样，我们首先要关闭A，B两台电脑的防火墙和杀毒软件，并且在A上打开Tomcat服务器。2.然后我们在B上打开UDP FLOOD攻击器,在这个攻击器上填上A的IP和一个开放的端口（可以通过在命令行下输入netstat -an查看开放的端口）。 这个攻击器可以设定攻击的时间（Max duration （secs）和发送的最大UDP包数（Max packets ）以及发送UDP包的速度（Speed），还可以选择发送包的数据大小和类型（Data）3.点击Go开始攻击，我们在A，B两台机上分别抓包来观察分析。这是在服务器A上捕捉到的两幅图，我们可以发现udp包在8080端口一侧大量出现，并且每个udp包的大小基本相同，这里看到的两个都为83bytes这是在B上对ICMP的抓包结果，当受害系统接收到一个UDP 数据包的时候，它会确定目的端口正在等待中的应用程序。当它发现该端口中并不存在正在等待的应用程序，它就会产生一个目的地址无法连接的 ICMP 数据包发送给该伪造的源地址。这里可以明显的看出A向B回送了很多ICMP包，但是端口却是unreachable3防御和抵制UDP-FLOOD攻击的措施我们都知道UDP协议是一种无连接的服务，所以对UDP-FLOOD攻击的防御和抵制比较困难。一般我们通过分析受到攻击时捕获的非法数据包特征，定义特征库，过滤那些接收到的具有相关特征的数据包。例如针对UDP-FLOOD攻击，我们可以根据UDP最大包长设置UDP最大包大小以过滤异常流量。在极端的情况下，我们可以尝试丢弃所有UDP数据包。3、DDoS攻击演示和原理分析1.本次实验需要三台网络连通，可以互相访问的计算机，假设分别记作A(作为服务器和被攻击主机)、B(作为被控制主机)、C(作为攻击主机)。首先在A、B、C上分别关闭防火墙和杀毒软件，并在A上启动Tomcat服务器。2.接着要将B变成C控制的肉鸡，并把独裁者DDoS的Server.exe（服务端），MSWINSCK.OCX，RICHTX32.OCX这三个文件植入B中，并运行Server.exe。这里要用到radmin，pstools等工具以及一些net的控制命令（当然也可以用其他的方法），这块内容在实验一中有详细的讲解，在此不再赘述。我们可以在C上来验证独裁者DDoS的服务端是否在B上成功运行，在C中打开IE浏览器，在地址栏中输入Http:/B的IP地址:8535/，若回车看到如下图所示，则说明就说明独裁者DDoS的服务端在肉鸡B上成功运行了。3.接着我们来通过C控制B对A发动DDoS攻击，我们在打开C中打开DDoS客户端Client.exe（界面如下）。首先我们先要添加主机，这里的主机是指你控制被植入独裁者服务端的肉鸡，这里即B，添加时输入B的IP就行了。4.添加完后最好按检查状态来检测添加的主机是否有效，如图03这段IP是无效的，设置好攻击目标的IP和开放的端口，伪造的源IP和端口可以自己设置也可以由攻击器随机设置，有四种攻击方式供我们选择，这里我选择我们熟悉的SYN攻击,检查文件按钮可以检测服务端文件的情况，信使服务可以向被攻击机发送文字信息。5. 点击开始攻击，C就控制B开始向A发动SYN攻击.可想而知这种攻击的效果和SYNFLOOD的攻击效果是一致的，在这个实验里并没有很好的体现DDoS的攻击效果，因为只控制了一台肉鸡，所以这样的攻击相当于一对一的DoS攻击，攻击效果较差。并且这是一种简易的DDoS攻击，因为这里只有攻击端、被控制端、受害者，而一个完整的DDoS攻击应该是攻击端、控制端、代理端和受害者组成的。所以现在的攻击就存在一个弊端，就是攻击者的隐蔽性不高，容易被受害者查到攻击源。而完整的DDoS攻击是由控制端对代理端发出攻击命令的，这样一来就很好地隐蔽了攻击端，也就是使得真正的攻击者身份很难被发现。6.防御和抵制DDoS攻击的措施DDoS攻击的类型和DoS攻击相近，只是攻击的方式有很大的改进，因此防御和抵制DDoS攻击的措施也和DoS攻击相似。这里介绍一种新的方法：一般发动DoS攻击或者DDoS攻击，都是针对一个确定的IP，而且在攻击过程中，不会改变攻击的对象。利用DoS和DDoS攻击的这一缺陷，我们如果在发现服务器受到攻击时，迅速更换自己的IP地址，那么攻击者就在对一个空的IP地址进行攻击，服务器不会受到任何影响。作为防御方只要将DNS解析更改到新的IP地址就能在很短时间内恢复用户通过域名进行正常访问。五.实验总结 通过本次实验，我学会了基本的攻击手段，知道如何攻击一目标主机，和一些防御和抵制类似攻击的措施，基本掌握了攻击的基本原理。通过实践，加深了对攻击原理的理解。六质疑、建议、问题讨论思考题一：DoS攻击和DDoS攻击一般是针对服务器发动攻击，而对PC机攻击没有多大意义，你知道这是为什么吗？答：攻击原理是通过使网络过载来干扰甚至阻断正常的网络通讯。通过向服务器提交大量请求，使服务器超负荷。阻断某一用户访问服务器阻断某服务与特定系统或个人的通讯。因此这种技术一般是针对于服务器攻击，而PC一般很少用作服务器。思考题二： Timeout越小越有利于抵御SYN-FLOOD攻击，但这个值却不能太小，你知道这是什么原因吗？ 答：值太小，丢失机率就会增加，这样对于攻击效果不佳，因此不能太小。思考题三： 你知道为什么在收到UDP攻击后，受害主机会回送一个ICMP包？ 答：受害主机接收到一个 UDP 数据包的时候，它会确定目的端口正在等待中的应用程序。当它发现该端口中并不存在正在等待的应用程序，它就会产生一个目的地址无法连接的 ICMP 数据包发送给该伪造的源地址。思考题四： 在用独裁者DDoS攻击器进行攻击时，在我们把三个文件植入肉鸡后，我们已经可以通过浏览器控制肉鸡发动攻击了，为什么还要用攻击机上的独裁者客户端来发动攻击？ 答：用客户端来控制发起攻击，如果一台机器就开一个IE，不但控制上不方便，窗口开太多，自己也吃不消啊，因此要用客户端发起攻击。福建农林大学计算机与信息学院信息工程类实验报告系： 计算机与信息学院 专业： 网络工程 年级： 09级 姓名： 刘建凯 学号： 实验课程： 网络安全 实验室号：_ _田513 实验设备号： 38 实验时间： 指导教师签字： 成绩： 实验五：入侵检测技术一实验目的和要求 实验目的通过实验深入理解入侵检测系统的原理和工作方式，熟悉入侵检测系统的配置和使用。实验具体要求如下：1.理解入侵检测的作用和原理 2.理解误用检测和异常检测的区别 3.掌握Snort的安装、配置和使用等实用技术入侵检测概念及其功能入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测系统(intrusion detection system,IDS)是完成入侵检测功能的软件和硬件的集合。入侵检测的功能主要体现在以下几个方面：1. 监视并分析用户和系统的活动。2. 核查系统配置和漏洞。3. 识别已知的攻击行为并报警。4. 统计分析异常行为。5. 评估系统关键资源和数据文件的完整性。6. 操作系统的审计跟踪管理，并识别违反安全策略的用户行为。入侵检测的分类根据IDS检测对象和工作方式的不同，可以将IDS分为基于网络的IDS(简称NIDS)和基于主机的IDS(简称HIDS)。NIDS和HIDS互为补充，两者的结合使用使得IDS有了更强的检测能力。1. 基于主机的入侵检测系统。HIDS历史最久，最早用于审计用户的活动，比如用户登录、命令操作、应用程序使用资源情况等。HIDS主要使用主机的审计记录和日志文件作为输入，某些HIDS也会主动与主机系统进行交互以获得不存在于系统日志的信息。 HIDS所收集的信息集中在系统调用和应用层审计上，试图从日志寻找滥用和入侵事件的线索。HIDS用于保护单台主机不受网络攻击行为的侵害，需要安装在保护的主机上。2. 基于网络的入侵检测系统。NIDS是在网络中的某一点被动地监听网络上传输的原始流量，并通过协议分析、特征、统计分析等分析手段发现当前发生的攻击行为。NIDS通过对流量分析提取牲模式，再与已知攻击牲相匹配或与正常网络行为原形相比较来识别攻击事件。二实验原理 入侵检测系统1. 入侵检测系统的特点：入侵检测系统(Intrusion Detection System)是对防火墙有益的补充，它对网络和主机行为进行检测，提供对内部攻击、外部攻击和误操作的实时监控，增强了网络的安全性。在安全防范方面，入侵检测系统可以实现事前警告、事中防护和事后取证。入侵检测系统能够在入侵攻击行为对网络系统造成危害前，及时检测到入侵攻击的发生，并进行报警；入侵攻击发生时，入侵检测系统可以通过与防火墙联动等方式进行报警及动态防护；被入侵攻击后，入侵检测系统可以提供详细的攻击信息日志，便于取证分析。 相对于防火墙提供的静态防护而言，入侵检测系统侧重于提供动态实时检测防护，因此防火墙和入侵检测系统的结合，能够给网络带来更全面的防护2. 入侵检测系统的实现原理：入侵检测系统的实现技术可以简单地分为两大类：基于特征的检测和基于异常的检测。基于特征的检测技术主要包括模式匹配和协议分析两种主要检测方法。模式匹配就是将已知入侵事件悼念到网络入侵和系统误用知识库中，对入侵检测系统悼念的信息和知识库中的规则进行比较，以发现入侵行为。协议分析技术则对数据包进行协议解析后进行分析。这种技术需要首先捕捉数据包，然后对数据包进行解析，包括网络协议分析和命令解析，即使在高负载的调整网络上，也能逐个分析所有的数据包。基于牲的检测技术只需收集相关的数据，和所维护的知识库规则比较就能进行判断，检测准确率和效率较高。但是，该技术需要不断进行知识库规则的升级以对付不断出现的新攻击手法，而且，它不能检测未知攻击手段。3. 入侵检测系统的部署原则：NIDS总的来说包括探测器和控制台两大部分。探测器是专用的硬件设备，负责网络数据流的捕获、分析检测和报警等功能。控制台是管理探测器的工具，它负责接收探测器的检测日志数据，并提供数据查询和报告生成等功能，一个控制台可以管理多个探测器。HIDS安装在被保护的机器上，在主机系统的审计日志或操作中查找信息源进行智能分析和判断，例如操作系统日志、系统进程、文件访问和注册表访问等信息。由于HIDS安装在需要保护的主机系统上，这将影响应用系统的运行效率。HIDS对主机系统固有的日志与监视能力有很高的依赖性，它一般针对其所在的系统进行检测。Snort简介及使用原理：1. Snort是一款免费的NIDS，具有小巧灵便、易于配置、检测效率高等特性，常被称为轻量级的IDS。Snort具有实时数据流量分析和IP数据包日志分析能力，具有跨平台特征，能够进行协议分析和对内容的搜索或匹配。Snort能够检测不同的攻击行为，如缓冲区溢出、端口扫描和拒绝服务攻击等，并进行实时报警。Snort可以根据用户事先定义的一些规则分析网络数据流，并根据检测结果采取一定的行动。Snort有3种工作模式，即嗅探器、数据包记录器和NIDS。嗅探器模式仅从网络上读取数据包并作为连续不断的数据流显示在终端上；数据包记录器模式把数据包记录到硬盘上，以备分析之用；NIDS模式功能强大，可以通过配置实现。2. Snort的结构由四大软件模块组成：(1)数据包嗅探模块。负责监听网络数据包，对网络进行分析。(2)预处理模块。该模块用相应的插件来检查原始数据包，从中发现原始数据的行为。(3)检测模块。该模块是Snort的核心模块。当数据包从预处理器送过来后，检测引擎依据预先设置的规则检查数据包，一旦发现数据包中的内容和某条规则相匹配，就通知报警模块。(4)报警/日志模块。经检测引擎检查后的Snort数据需要以某种方式输出。如果检测引擎中的某条规则被匹配，则会触发一条报警。3. Snort规则。Snort的每条规则逻辑上都可以分成规则头部和规则选项。规则头部包括规则行为、协议、源或目的IP地址、子网掩码、源端口和目的端口；规则选项包含报警信息和异常包的信息（特征码），基于特征码决定是否采取规则规定的行动。对于每条规则来说，规则选项不是必需的，只是为了更加详细地定义应该收集或者报警的数据包。 只有匹配所有选项的数据包，Snort都会执行其规则行为。如果许多选项组合在一起，它们之间是“逻辑与“的关系。三主要仪器设备（实验用的软硬件环境） 硬件：两台PC；软件：snort，WinPcap，rules，snort.conf；四.实验内容与步骤1、Windows平台下Snort的安装与配置由于需要对网络底层进行操作，安装Snort前需要预先安装WinpCap（WIN32平台上网络分析和捕获数据包的链接库）。1. 下载Windows平台下的Snort安装程序，选择安装目录为c:Snort。进行到选择日志文件存放方式时，为简单起见，选择不需要数据库支持或者Snort默认的MySQL和ODBC数据库支持的方式。 (即选择I do not plan to log to a database,or I am planning to log to one of the databases listed above.)2. 单击“开始”菜单，选择“运行”命令，输入cmd并按Enter键，在命令行方式下输入如下命令c:cd c:Snortbin，然后输入c:Snortbinsnort -W。如果Snort安装成功，系统将显示如下图所示信息。3. 从返回的结果可知主机上有哪个物理网卡正在工作及该网卡的详细信息。其中第五个是具有物理地址的网卡。输入snort -v -i5命令启用Snort。其中，-v表示使用Verbose模式，把信息包打印在屏幕上；-i5表示监听第五个网卡。如下图所示：4. 为了进一步查看Snort的运行状况，可以人为制造一些ICMP网络流量。在局域网段中的另一台主机上使用Ping指令，探测运行Snort的主机。5. 回到运行Snort的主机，发现Snort已经记录了这次探测的数据包，Snort在屏幕上输出了局域网中另一台主机到本主机的ICMP数据包头。6. 打开c:Snortetcsnort.conf(先用下载的snort.conf代替原来的snort.conf)，设置Snort的内部和外部网络检测范围。将Snort.conf文件中的var HOME_NET any语句中的Any改为自己所在的子网地址，即将Snort监测的内部网络设置为本机所在的局域网。 如本地IP为00，则将Any改为/24。将var HOME_NET any语句中的HOME_NET的值改为本地网络的标识，即/247. 配置网段内提供网络服务的IP地址，只需要把