太原理工大学信息安全实验报告

1、实验由本人当时亲自完成仅供参考，希望可以帮助大家本科实验报告课程名称：信息安全技术B实验项目：信息安全技术实验实验地点：专业班级：0000学号： 0000000000学生姓名：氣宇軒昂指导教师：2013年13月13日实验一、常用网络安全命令一、实验目的和要求目的：本实验的目的是使学生通过对常用网络安全命令使用，熟练掌握常用网络安全命令，加深对常用网络安全命令执行结果的理解， 在培养良好的工程素养同时， 为今后工作实践中能够运用科学理论和技术手段分析并解决工程问题的能力。要求：由于常用网络安全命令功能强大、参数众多，在有限时间内不可能对所有命令参数进行实验。但要求每个命令至少选择两个参数进行实验

2、，命令参数可以任意选择。 命令执行后将执行结果复制到实验报告中，并对命令执行结果进行解释。二、实验内容和原理1. ipconfig命令主要功能：显示本地主机IP 地址、子网掩码、默认网关、MAC地址等。2. ping命令主要功能：目标主机的可达性、名称、IP 地址、路由跳数、往返时间等。3. tracert命令主要功能：路由跟踪、节点IP 地址、节点时延、域名信息等。4. netstat命令主要功能：显示协议统计信息和当前TCP/IP 网络连接。5. nbtstat命令主要功能：显示使用 NBT （ NetBIOS over TCP/IP）的协议统计和当前 TCP/IP 网络连接信息，可获得远

3、程或本机的组名和机器名。6. net命令主要功能：网络查询、在线主机、 共享资源、磁盘映射、开启服务、关闭服务、发送消息、建立用户等。 net 命令功能十分强大，输入 net help command 可获得 command的具体功能及使用方法。三、主要仪器设备Pc 机一台四、实验结果与分析1. ipconfig命令，在 dos 下输入 ipconfig/all，如下图：说明：内容很多，只截出一部分。2. ping 命令，在 dos 下输入 ping ，如下图：3. tracert命令，在 dos 下输入 tracert ，如下图：4. netstat命令，在 dos 下输入 netstat

4、-a，netstat -n如下图：5. nbtstat命令，在 dos 下输入 nbtstat -a 9，如下图：6. net 命令在 dos 下输入 net use63/ipc$“” /user:guest(首先确认另一台计算机打开 guset 用户，密码为空，并且设定在网络上可以访问此用户，这样才能顺利执行)如下图：在 dos 下输入 net view得到了局域网中的计算机主机名在 dos 下输入 net time63在命令提示符下输出了另一台计算机的时间五、讨论、心得本次试验主要是熟悉dos 下各种基于网络的命令，在做

5、的过程中，除了最后一个费了很长时间外其它实验进行的还是非常顺利，最后一个net 命令由于在实验指导书中某些关键步骤没有写进去，所以导致没有正确结果，比如在 win7 下早已取消了 net send 命令，还有在用 net 的其他 / 她命令是得先用 net use ，不过最后通过网上查找各种资料还是完成了，给我最大的收获还是计算机可以随意互联，虽然计算机互联已经是很普遍的事情了，但是一般的互联都没有感觉，而这次的互联则是物理上的，并且通过本次实验对tcp/ip协议又有了一定的了解。实验二、端口扫描与安全审计一、实验目的和要求目的 :本实验的目的是使学生通过对Nmap扫描软件的使用，掌握Nmap

6、中常用命令方式，在加深理解 Nmap端口扫描结果的基础上， 使用 Nmap不同扫描方式来分析系统漏洞扫描的基本原理。在培养良好的工程素养同时， 为今后工作实践中能够运用科学理论和技术手段分析并解决工程问题的能力。要求 :由于 Nmap扫描功能强大、命令参数众多，在有限时间内不可能对所有命令参数进行实验。但实验内容中列举的扫描命令必须完成， 也可以任意选择其他命令参数进行实验。 命令执行后将执行结果复制到实验报告中，并对命令执行结果进行解释。二、实验内容和原理1.安装 nmap-4.01-setup.exe软件注意事项：采用 nmap-4.01-setup.exe 时将自动安装 WinPcap

7、分组捕获库，采用解压缩 nmap-4.01-win32.zip 时需事先安装 WinPcap 分组捕获库。2. 局域网主机发现列表扫描： nmap -sL 局域网地址3. 扫描目标主机端口连续扫描目标主机端口：nmap r 目标主机 IP 地址或名称4. 服务和版本检测目标主机服务和版本检测：nmap -sV 目标主机 IP 地址或名称5. 操作系统检测目标主机操作系统检测：nmap -O 目标主机 IP 地址或名称6. 端口扫描组合应用nmap -v -A nmap -v -sP /16 /8nmap -v -iR 1000

8、0 -P0 -p 80三、主要仪器设备Pc 一台四、实验结果与分析1. 安装 nmap-4.01-setup.exe 软件，由于安装很简单，所以这里不再叙述。2. 局域网主机发现，在 dos 下先改变执行路径，改到 E:programnmap, 然后输入 nmap-sL63 ，结束之后再输入 nmap -sL ，如下图为操作结果：3.扫描 目标 主机 端 口输 入nmap -r63，结束之后再输入nmap -r，如下图为操作结果：不知道和第一个命令的区别，感觉都一样，也许是扫描不到。4. 服务和 版本 检测 ，输 入 nmap -sV 169.2

9、54.31.163 ，结 束之后 再输入 nmap -sV ，如下图为操作结果：的确不知道这几个命令有什么区别.5. 操作系统检测，输入 nmap-O 63 ，结束之后再输入 nmap-O ，如下图为操作结果：也许没有什么漏洞，检测不出。6. 端口扫描组合应用nmap -v -A nmap -v -sP /16 /8真心不知道这是干嘛的nmap -v -iR 10000 -P0 -p 80五、讨论、心得说句真实的感受就是不知道实在干什么，基本上都扫描不出来，也许自己对nmap的理解根本不到位，它所提供的

10、功能根本没有达到预期的目的，也许现在的产品做的越来越完善了，漏洞很小了，在本地计算机上还是可以扫描出一些东西的。实验三、网络入侵跟踪与分析一、实验目的和要求目的：本实验的目的是使学生通过使用Ethereal开放源码的网络分组捕获与协议分析软件，分析一个冲击波蠕虫病毒捕获文件Win2000-blaster.cap，在加深理解Ethereal协议分析基础上，掌握 Ethereal分组捕获与协议分析功能，为今后工作实践中能够运用科学理论和技术手段分析并解决工程问题的培养工程素养。要求：由于 Ethereal分组捕获与协议分析功能强大，在一个实验单元时间内不可能熟练掌握Ethereal的使用。但至少应

11、掌握捕获菜单和统计菜单的使用，也可以选择其他菜单命令进行实验。练习使用Ethereal分组捕获与协议分析的显示结果不要复制到实验报告，实验报告只回答冲击波蠕虫病毒攻击过程分析中提出的问题及问题解答过程。二、实验内容和原理1. ethereal-setup-0.10.14.exe软件安装注意事项： ethereal-setup-0.10.14.exe将自动安装 WinPcap分组捕获库， 不必事先安装WinPcap 分组捕获库。2. 冲击波蠕虫病毒攻击分析冲击波蠕虫病毒攻击原理冲击波蠕虫病毒W32.Blaster.Worm 利用 Windows 2000/XP/2003 等操作系统中分布式组件对

12、象模型DCOM（ Distributed Component Object Model）和远程过程调用(RPC （ RemoteProcedure Call）通信协议漏洞进行攻击，感染冲击波蠕虫病毒的计算机随机生成多个目标IP 地址扫描 TCP/135（ epmap）、UDP/135（ epmap）、TCP/139、UDP/139、TCP/445、 UDP/445、TCP/593、UDP/593端口寻找存在 DCOMRPC漏洞的系统。感染冲击波蠕虫病毒的计算机具有系统无故重启 、网络速 度变慢、 Office 软件异常等症状，有时 还对 Windows 自动升 级（ ）进行拒绝服务攻击，防止感

13、染主机获得DCOM RPC漏洞补丁。根据冲击波蠕虫病毒攻击原理可知，计算机感染冲击波蠕虫病毒需要具备三个基本条件。一是存在随机生成IP 地址的主机；二是 Windows2000/XP/2003 操作系统开放了 RPC调用的端口服务；三是操作系统存在冲击波蠕虫病毒可以利用的DCOM RPC漏洞。三、主要仪器设备pc四、实验结果与分析冲击波蠕虫病毒攻击过程分析用 Ethereal “Open Capture File ”( 打开捕获文件 ) 对话框打开冲击波蠕虫病毒捕获文件Win2000-blaster.cap，通过协议分析回答下列问题（仅限于所捕获的冲击波蠕虫病毒）：（a）感染主机每次随机生成多

14、少个目标IP 地址？答：感染主机每次随机生成20 个目标 IP 地址。（b）扫描多个端口还是一个端口？如果扫描一个端口，是那一个RPC调用端口？答：扫描一个端口，是135 端口。（c ）分别计算第二组与第一组扫描、第三组与第二组扫描之间的间隔时间，扫描间隔时间有规律吗？答：没有时间规律。（d）共发送了多少个试探攻击分组？（提示：端点统计或规则tcp.flags.syn=1显示SYN=1的分组）答：共发送了 6008 条试探攻击分组。（e）有试探攻击分组攻击成功吗？如攻击成功，请给出感染主机的IP 地址。如没有攻击成功的实例，说明为什么没有攻击成功？（提示：TCP报文段 SYN=1表示连接请求，

15、 SYN=1和ACK=1表示端口在监听，RST=1表示拒绝连接请求。使用显示过滤规则tcp.flags.syn=1&tcp.flags.ack=1确定是否有端口监听。）答：没有试探攻击分组攻击成功。五、讨论、心得如果说前两个实验是用来连接其它主机，并且获得其它主机的一些相关信息的话，本次实验则是其它主机发送到包到本主机的检测、分析，当然我是明白了这一点，并且还利用Ethereal去试探了自己本机接收包的情况，并且用实验已扫描的冲击波蠕虫病毒进行了分析，虽然有很多地方还是很不明确，但是至少明白了这个工具但第十干什么用的。实验四、网络入侵检测系统一、实验目的和要求目的：本实验的目的是使学生通过对基

16、于误用检测的网络入侵检测系统开放源码Snort软件的使用，掌握 Snort 中常用命令方式，在加深理解 Snort 报警与日志功能、 Snort 分组协议分析、 Snort 入侵检测规则的基础上，分析 Snort 网络入侵检测的基本原理。在培养良好的工程素养同时，为今后工作实践中培养能够运用科学理论和技术手段分析并解决工程问题的能力。要求：由于 Snort 入侵检测系统功能强大、 命令参数众多， 在有限时间内不可能对所有命令参数进行实验。可根据自己对 Snort 的熟悉程度，从实验内容中选择部分实验， 但至少应完成 Snort 报警与日志功能测试、 ping 检测、 TCP connect()

17、 扫描检测实验内容。也容许选择其他命令参数或检测规则进行实验， 命令执行后将一条完整的记录或显示结果复制到实验报告中， 并对检测结果进行解释。请不要复制重复的记录或显示结果！二、实验内容和原理1. snort-2_0_0.exe的安装与配置2. Snort 报警与日志功能测试3. 分组协议分析4. 网络入侵检测三、主要仪器设备pc四、实验结果与分析1. snort-2_0_0.exe的安装与配置本实验除安装 snort-2_0_0.exe之外，还要求安装 nmap-4.01-setup.exe网络探测和端口扫描软件。 Nmap用于扫描实验合作伙伴的主机，Snort 用于检测实验合作伙伴对本机的

18、攻击。用写字板打开 Snortetcsnort.conf文件对 Snort 进行配置。将 var HOME_NET any中的any 配 置 成 本 机 所 在 子 网 的 CIDR地址；将规则路径变量 RULE_PATH定义为E:programsnortrules； 将 分 类配 置 文 件 路 径 修 改 为includeE:programsnortetcclassification.config； 将 引 用配 置文 件 路径 修改 为 includeE:programsnortetcreference.config。其余使用 Snort 配置文件中的默认设置，这里假设所有 Snort

19、命令都在 C盘根目录下执行。我的 snort 在 E:program 中安装的，配置以修改完毕，如下图：2.Snort 报警与日志功能测试用写字板打开 E:programSnortruleslocal.rules规则文件，添加功能测试规则： alert tcp any any - any any (msg:TCP traffic;)。Snort报警与日志执行命令： E:snortbinsnort -c snortetcsnort.conf -l snortlog -i 2在 E:progranSnortlog目录中存在alert.ds3. 分组协议分析1）TCP/UDP/ICMP/IP首部信息输出到屏幕上：E:programsnortbinsnortv -i 2；E: programsnortbinsnort -vd -i 2或 E: programsnortbinsnort -vd -i 2；（命令选项可以任意结合，也可以分开（3）将捕获的首部信息记录到指定的Snortlog目录，在 log 目录下将自动生成以主机IP 地址命名的目录；E:programsnortbinsnort -v -l snortlog -i 2；（ 4）采用 Tcpdump二进制格式将捕获的首部信息和应用