信息安全实验报告ych

1、本科试验报告课程名称： 信息平安技术与应用 试验地点： 试验机房110 专业班级： 计Z1303 学 号： 2013002040 同学姓名： 杨朝辉 指导老师： 张辉 成 绩： 2016年6月5日欢迎下载太原理工高校同学试验报告学院名称计算机科学与技术学院专业班级计Z1303学号2013002040同学姓名杨朝辉试验日期5月31日成果课程名称信息平安技术与应用试验题目试验一 常用网络平安命令1、 试验目的和要求1. 生疏并把握使用常用网络平安命令2. 由于常用网络平安命令功能强大、参数众多，在有限时间内不行能对全部命令参数进行试验。但要求每个命令至少选择两个参数进行试验，命令参数可以任意选择。

2、命令执行后将执行结果复制到试验报告表格中，并对命令执行结果进行解释。2、 试验内容1. ipconfig命令主要功能：显示本地主机IP地址、子网掩码、默认网关、MAC地址等。例1：C:> ipconfig/all2. ping命令主要功能：目标主机的可达性、名称、IP地址、路由跳数、来回时间等。例2：C:>ping or target_name3. tracert命令主要功能：路由跟踪、节点IP地址、节点时延、域名信息等。例3：C:>tracert or 4. netstat命令主要功能：显示协议统计信息和当前TCP/IP网络连接

3、。例4：C:>netstat a；C:>netstat n；5. nbtstat命令主要功能：显示使用NBT （NetBIOS over TCP/IP）的协议统计和当前TCP/IP网络连接信息，可获得远程或本机的组名和机器名。例5：C:>nbtstat a ；C:>nbtstat n6. net命令主要功能：网络查询、在线主机、共享资源、磁盘映射、开启服务、关闭服务、发送消息、建立用户等。net命令功能格外强大，输入net help command可获得command的具体功能及使用方法。例5：C: >net view；C: >net

4、view target_name；net send /domain: 计算机名（*为域内广播）消息3、 主要仪器设备 Win7OS的PC4、 试验步骤 依据试验内容进行5、 试验结果1.ipconfig命令2. ping命令3. tracert命令4. netstat命令5. nbtstat命令6. net命令试验地点试验机房110指导老师张辉太原理工高校同学试验报告学院名称计算机科学与技术学院专业班级计Z1303学号2013002040同学姓名杨朝辉试验日期5月31日成果课程名称信息平安技术与应用试验题目试验二 端口扫描与平安审计一、试验目的和要求1. 把握使用nmap软件来进行端口扫描和平

5、安审计的操作2. 由于Nmap扫描功能强大、命令参数众多，在有限时间内不行能对全部命令参数进行试验。但试验内容中列举的扫描命令必需完成，也可以任意选择其他命令参数进行试验。命令执行后将执行结果复制到试验报告表格中，并对命令执行结果进行解释。二、试验内容和原理1. 安装nmap-4.01-setup.exe软件留意事项：接受nmap-4.01-setup.exe时将自动安装WinPcap分组捕获库，接受解压缩nmap-4.01-win32.zip时需事先安装WinPcap 分组捕获库。2. 局域网主机发觉列表扫描：nmap -sL 局域网地址3. 扫描目标主机端口连续扫描目标主机端口：nmap

6、r目标主机IP地址或名称4. 服务和版本检测目标主机服务和版本检测：nmap -sV目标主机IP地址或名称5. 操作系统检测目标主机操作系统检测：nmap -O目标主机IP地址或名称6. 端口扫描组合应用nmap -v -A nmap -v -sP /16 /8nmap -v -iR 10000 -P0 -p -80 3、 主要仪器设备 Win7OS的PC4、 试验步骤 依据试验内容进行五、试验结果1.列表扫描nmap -sL 092. 连续扫描目标主机端口nmap r 093. 目

7、标主机服务和版本检测nmap -sV 004. nmap -O 085.nmap -v -A nmap -v -sP /16 /8nmap -v -iR 10000 -P0 -p -805-2.注：其次条命令由于扫描IP地址过多电脑无法承受导致软件多次崩溃，故修改此条命令为： nmap -v -sP /24 /24中间略过遍历端口5-3.注：第三行代码同其次行代码一样消灭多次软件卡顿无法正常得出运行结果故修改命令为：nmap -v -iR 10

8、-P0 -p -80试验地点试验机房110指导老师张辉 太原理工高校同学试验报告学院名称计算机科学与技术学院专业班级计Z1303学号2013002040同学姓名杨朝辉试验日期5月31日成果课程名称 信息平安技术与应用试验题目试验三 网络入侵跟踪与分析1、 试验目的和要求1. 由于Ethernet分组捕获与协议分析功能强大，在一个试验单元时间内不行能娴熟把握Ethernet的使用。但至少应把握捕获菜单和统计菜单的使用，也可以选择其他菜单命令进行试验。二、试验内容和原理 1. ethereal-setup-0.10.14.exe软件安装留意事项：ethereal-setup-0.10.14.exe

9、将自动安装WinPcap分组捕获库，不必事先安装WinPcap 分组捕获库。2. 冲击波蠕虫病毒攻击分析（1）冲击波蠕虫病毒攻击原理冲击波蠕虫病毒W32.Blaster.Worm利用Windows 2000/XP/2003等操作系统中分布式组件对象模型DCOM（Distributed Component Object Model）和远程过程调用 (RPC（Remote Procedure Call）通信协议漏洞进行攻击，感染冲击波蠕虫病毒的计算机随机生成多个目标IP地址扫描TCP/135（epmap）、UDP/135（epmap）、TCP/139、UDP/139、TCP/445、UDP/445

10、、TCP/593、UDP/593端口查找存在DCOM RPC漏洞的系统。感染冲击波蠕虫病毒的计算机具有系统无故重启、网络速度变慢、Office软件特别等症状，有时还对Windows自动升级（）进行拒绝服务攻击，防止感染主机获得DCOM RPC漏洞补丁。依据冲击波蠕虫病毒攻击原理可知，计算机感染冲击波蠕虫病毒需要具备三个基本条件。一是存在随机生成IP地址的主机；二是Windows 2000/XP/2003操作系统开放了RPC调用的端口服务；三是操作系统存在冲击波蠕虫病毒可以利用的DCOM RPC漏洞。（2）冲击波蠕虫病毒攻击过程分析用Ethereal打开冲击波蠕虫病毒捕获文件Win2000-bl

11、aster.cap，通过协议分析回答下列问题（仅限于所捕获的冲击波蠕虫病毒）：（a）感染主机每次随机生成多少个目标IP地址？（b）扫描多个端口还是一个端口？假如扫描一个端口，是那一个RPC调用端口？（c）分别计算其次组与第一组扫描、第三组与其次组扫描之间的间隔时间，扫描间隔时间有规律吗？（d）共发送了多少个摸索攻击分组？（提示：端点统计或规章tcp.flags.syn=1显示SYN=1的分组）（e）有摸索攻击分组攻击成功吗？如攻击成功，请给出感染主机的IP地址。如没有攻击成功的实例，说明为什么没有攻击成功？（提示：TCP报文段SYN=1表示连接恳求，SYN=1和ACK=1表示端口在监听，RST

12、=1表示拒绝连接恳求。使用显示过滤规章tcp.flags.syn=1&&tcp.flags.ack=1确定是否有端口监听。）三、主要仪器设备 Win7OS的PC、ethereal软件4、 试验步骤 依据试验内容进行五、试验结果（a）感染主机每次随机生成多少个目标IP地址？感染主机每次随机生成20个目标IP地址（b）扫描多个端口还是一个端口？假如扫描一个端口，是那一个RPC调用端口？扫描一个端口，端口135。（c）分别计算其次组与第一组扫描、第三组与其次组扫描之间的间隔时间，扫描间隔时间有规律吗？没有时间规律（d）共发送了多少个摸索攻击分组？（提示：端点统计或规章tcp.flag

13、s.syn=1显示SYN=1的分组）共发送了6008条摸索攻击分组（e）有摸索攻击分组攻击成功吗？如攻击成功，请给出感染主机的IP地址。如没有攻击成功的实例，说明为什么没有攻击成功？（提示：TCP报文段SYN=1表示连接恳求，SYN=1和ACK=1表示端口在监听，RST=1表示拒绝连接恳求。使用显示过滤规章tcp.flags.syn=1&&tcp.flags.ack=1确定是否有端口监听。） 没有摸索攻击分组攻击成功试验地点试验机房110指导老师张辉太原理工高校同学试验报告学院名称计算机科学与技术学院专业班级计Z1303学号2013002040同学姓名杨朝辉试验日期5月31日成

14、果课程名称信息平安技术与应用试验题目试验四 网络入侵检测系统一、试验目的和要求1.由于Snort入侵检测系统功能强大、命令参数众多，在有限时间内不行能对全部命令参数进行试验。可依据自己对Snort的生疏程度，从试验内容中选择部分试验，但至少应完成Snort报警与日志功能测试、ping检测、TCP connect()扫描检测试验内容。二、试验内容和原理1. snort-2_0_0.exe的安装与配置本试验除安装snort-2_0_0.exe之外，还要求安装nmap-4.01-setup.exe网络探测和端口扫描软件。Nmap用于扫描试验合作伙伴的主机，Snort用于检测试验合作伙伴对本机的攻击。

15、用写字板打开Snortetcsnort.conf文件对Snort进行配置。将var HOME_NET any中的any配置成本机所在子网的CIDR地址；将规章路径变量RULE_PATH定义为C:snortrules；将分类配置文件路径修改为 include C:snortetcclassification.config；将引用配置文件路径修改为include C:snortetcreference.config。其余使用Snort配置文件中的默认设置，这里假设全部Snort命令都在C盘根名目下执行。2. Snort报警与日志功能测试用写字板打开C:>Snortruleslocal.rul

16、es规章文件，添加Snort报警与日志功能测试规章：alert tcp any any -> any any (msg:"TCP traffic")。执行命令：C:>snortbinsnort -c snortetcsnort.conf -l snortlog -i 2假如在C:>Snortlog名目中生成alert.ids报警文件和IP地址命名的日志文件，表明Snort配置正确，能够实施入侵报警和日志记录功能。特殊提示：测试Snort报警与日志功能以后，肯定要删除掉添加的测试规章或在该规章前加#号变为注释！否则，随后的试验不能获得正确结果。3. 分组协议

17、分析（1）TCP/UDP/ICMP/IP首部信息输出到屏幕上：C:> snortbinsnort v -i n；n=1/2/3/4/5（2）TCP/UDP/ICMP/IP首部信息和应用数据输出到屏幕上：C:> snortbinsnort -vd -i n 或C:> snortbinsnort -v d -i n；（命令选项可以任意结合，也可以分开）（3）将捕获的首部信息记录到指定的Snortlog名目，在log名目下将自动生成以主机IP地址命名的名目；C:> snortbinsnort -v -l snortlog -i n；n=1/2/3/4/5（4）接受Tcpdum

18、p二进制格式将捕获的首部信息和应用数据记录到指定的Snortlog名目，在log名目下将自动生成snort.log日志文件，可以使用Ethereal或Tcpdump协议分析软件打开snort.log文件，也可以通过-r snort.log选项用Snort输出到屏幕上。C:> snortbinsnort -b -l snortlog -i n；n=1/2/3/4/54. 网络入侵检测（1）试验合作伙伴相互ping对方的主机，利用Snort检测对本机的ping探测，在snortlog名目下将生成报警文件alert.ids：C:>snortbinsnort -d -c snortetcs

19、nort.conf -l snortlog -i n n=1/2/3/4/5    （2）试验合作伙伴利用“nmap -sT 目标主机IP地址或名称”命令TCP connect()扫描对方主机，以文本格式记录日志的同时，将报警信息发送到把握台屏幕（console）：C:>snortbinsnort -c snortetcsnort.conf -l snortlog -A console -i n n=1/2/3/4/5（3）试验合作伙伴利用“nmap -O目标主机IP地址或名称”命令探测目标主机操作系统，以Tcpdump二进制格式记录日志的同时，将报警信息发

20、送到把握台屏幕（console）：C:>snortbinsnort -c snortetcsnort.conf -b -l snortlog -A console -i n n=1/2/3/4/5    （4）试验合作伙伴远程登录Telnet对方主机，利用Snort检测对本机Telnet服务的非法访问，文本格式记录日志的同时，将报警信息发送到把握台屏幕（console）：假设您的主机IP地址为23，用写字板打开C:>Snortruleslocal.rules规章文件，添加检测Telnet服务非法访问的规章：alert tcp an

21、y any -> 23/32 23 (msg: "Someone attempts to access my telnet server")C:>snortbinsnort -c snortetcsnort.conf -l snortlog -A console -i n n=1/2/3/4/5三、主要仪器设备 Win7OS的PC、ethereal软件四、试验步骤 依据试验内容进行五、试验结果1.Snort配置键入规章命令行执行2. 分组协议分析（1）TCP/UDP/ICMP/IP首部信息输出到屏幕上：C:> snortbinsnor

22、t v -i 2（2）TCP/UDP/ICMP/IP首部信息和应用数据输出到屏幕上：C:> snortbinsnort -vd -i 2 或C:> snortbinsnort -v d -i 2；（命令选项可以任意结合，也可以分开）（3）将捕获的首部信息记录到指定的Snortlog名目，在log名目下将自动生成以主机IP地址命名的名目；C:> snortbinsnort -v -l snortlog -i 2（4）接受Tcpdump二进制格式将捕获的首部信息和应用数据记录到指定的Snortlog名目，在log名目下将自动生成snort.log日志文件，可以使用Ethereal或Tcpdump协议分析软件打开snort.log文件，也可以通过-r snort.log选项用Snort输出到屏幕上。C:> snortbinsnort -b -l snortlog -i 23. 网络入侵检测（1）试验合作伙伴相互ping对方的主机，利用Snort检测对本机的ping探测，在snortlog名目下将生成报警文件alert.ids：C:>snortbinsnort -d -c snortetc