网络安全课程设计3优质资料

网络安全课程设计3优质资料(可以直接使用，可编辑优质资料，欢迎下载）

网络安全课程设计3优质资料(可以直接使用，可编辑优质资料，欢迎下载）课程名称:物联网信息安全管理设计题目:基于TCP协议的网络攻击学院(直属系):计算机学院年级/专业/班:物联网工程学生姓名:指导教师:魏正曦老师摘要本课程是物联网工程专业所开设的一门重要实践课程，主要要求掌握网络安全原理和技术在实践中的应用。本课程设计的目的是在理论学习的基础上，动手实践网络安全的相关理论，通过应用所学习的知识，来解决一些实际的网络安全应用问题。在此基础上，真正理解和掌握网络安全的基本原理，具备网络安全方面的分析和动手能力。在网络攻防实验环境中完成TCP/IP协议栈中TCP层重点协议的攻击实验。包括TCPRST攻击、TCP会话劫持和TCPSYNFlood攻击。关键字：TCPRST攻击、TCP会话劫持和TCPSYNFlood攻击课题分工宋涌：TCP会话劫持，和编写课程设计胡坤：TCPRST攻击，和参考资料查询。周礼佟：TCPSYNFlood攻击，和课程设计分工摘要2一引言4二实验原理5三设计过程83.1TCPRST攻击83.2TCP会话劫持123.3TCPSYNFlood攻击22四总结与体会25参考文献26一引言源于Unix的网络协议TCP/IP随着Internet的飞迅发展,已被越来越多的人所使用.然而由于TCP/IP协议族在设计时并没有过多的考虑网络安全问题,黑客事件不断发生,使如电子商务等Internet应用存在着许多不安全因素.欲防网络攻击,必应先知其攻击原理,才可正确实施安全策略.下面是网络内部或外部人员常用的几种网络攻击方式:·密码猜测(PasswordGuessing):主要通过穷举的办法来试探被攻击系统的密码,为下一步攻击做好准备.·窥探(Sniffing):主要通过劫获网络上的数据包来获得被攻击系统的认证信息或其它有价值的信息.·电子欺骗(Spoofing):通过假冒合法用户的身份来进行网络攻击,从而达到掩盖攻击者真实身份,嫁祸他人的目的.·信息剽窃(InformationTheft):这是网络攻击的主要目的之一.攻击者通过获得访问被攻击主机的许可权而窃取主机上的重要信息.·让主机拒绝服务(DenialofService):是网络攻击的主要目的之一.这种攻击使主机或网络不能为合法用户提供服务.例如攻击者可以用TCP的SYN信号淹没的方法来实现这一攻击.·信息破坏(InformationDestruction):这也是网络攻击的主要目的之一.通过篡改或毁坏被攻击主机上的信息达到破坏的目的.以上这些攻击主要是利用TCP/IP协议本身的漏洞而对TCP/IP协议进行攻击实现的,下面分析了几种对TCP/IP的攻击的实现方式未来的高技术战争是信息网络战,以网络中心信息为主的联合作战正在取代传统的平台中心战。TCP/IP协议使得世界上不同体系结构的计算机网络互连在一起形成一个全球性的广域网络Internet,实现海、陆、空、天立体战埸信息共享。因此开展TCP/IP协议的分析和研究,寻求其簿弱环节,能否攻其一点,而瘫痪一片,即以小的投入达到大的产出,是有效实施计算机网络对抗的关键。在以TCP/IP为协议的通信计算机网络中,通常将每台计算机称为主机,在Internet中的每一台计算机可以访问Internet上的其它任意一台计算机,好像它们在一个局域网内用双绞线或同轴电缆直接连接起来一样(不同之处是速度比局域网的慢)。TCP/IP通信计算机网络结构如图所示。图1.1我们把计算机网络之间相连的设备称为路由器。各主机之间可以通过数据链连接,也可以通过路由器间接相连。TCP/IP协议使用“包”(packet)这个数据单位来发送信息,图中用箭头指向描述了从主机C向主机J发送信息包的路径。二实验原理TCP是在IP网络层之上的传输层协议，用于提供port到port面向连接的可靠的字节流传输。我来用土语解释下上面的几个关键字：port到port：IP层只管数据包从一个IP到另一个IP的传输，IP层之上的TCP层加上端口后，就是面向进程了，每个port都可以对应到用户进程。可靠：TCP会负责维护实际上子虚乌有的连接概念，包括收包后的确认包、丢包后的重发等来保证可靠性。由于带宽和不同机器处理能力的不同，TCP要能控制流量。字节流：TCP会把应用进程传来的字节流数据切割成许多个数据包，在网络上发送。IP包是会失去顺序或者产生重复的，TCP协议要能还原到字节流本来面目。TCP(TransmissionControlProtocol传输控制协议)是一种面向连接(连接导向)的、可靠的、基于IP的传输层协议。TCP在IP报文的协议号是6。TCP是一个超级麻烦的协议，而它又是互联网的基础，也是每个程序员必备的基本功。首先来看看OSI的七层模型:图2.1OSI的七层模型我们需要知道TCP工作在网络OSI的七层模型中的第四层——Transport层，IP在第三层——Network层，ARP在第二层——DataLink层;在第二层上的数据，我们把它叫Frame，在第三层上的数据叫Packet，第四层的数据叫Segment。同时，我们需要简单的知道，数据从应用层发下来，会在每一层都会加上头部信息，进行封装，然后再发送到数据接收端。这个基本的流程你需要知道，就是每个数据都会经过数据的封装和解封装的过程。在OSI七层模型中，每一层的作用和对应的协议如下：图2.2OSI七层模型中，每一层的作用和对应的协议TCP是一个协议，那这个协议是如何定义的，它的数据格式是什么样子的呢?要进行更深层次的剖析，就需要了解，甚至是熟记TCP协议中每个字段的含义。图2.3OSI含义上面就是TCP协议头部的格式，由于它太重要了，是理解其它内容的基础，下面就将每个字段的信息都详细的说明一下。SourcePort和DestinationPort:分别占用16位，表示源端口号和目的端口号;用于区别主机中的不同进程，而IP地址是用来区分不同的主机的，源端口号和目的端口号配合上IP首部中的源IP地址和目的IP地址就能唯一的确定一个TCP连接;SequenceNumber:用来标识从TCP发端向TCP收端发送的数据字节流，它表示在这个报文段中的的第一个数据字节在数据流中的序号;主要用来解决网络报乱序的问题;AcknowledgmentNumber:32位确认序列号包含发送确认的一端所期望收到的下一个序号，因此，确认序号应当是上次已成功收到数据字节序号加1。不过，只有当标志位中的ACK标志(下面介绍)为1时该确认序列号的字段才有效。主要用来解决不丢包的问题;Offset:给出首部中32bit字的数目，需要这个值是因为任选字段的长度是可变的。这个字段占4bit(最多能表示15个32bit的的字，即4*15=60个字节的首部长度)，因此TCP最多有60字节的首部。然而，没有任选字段，正常的长度是20字节;TCPFlags:TCP首部中有6个标志比特，它们中的多个可同时被设置为1，主要是用于操控TCP的状态机的，依次为URG，ACK，PSH，RST，SYN，FIN。每个标志位的意思如下：URG：此标志表示TCP包的紧急指针域(后面马上就要说到)有效，用来保证TCP连接不被中断，并且督促中间层设备要尽快处理这些数据;ACK：此标志表示应答域有效，就是说前面所说的TCP应答号将会包含在TCP数据包中;有两个取值：0和1，为1的时候表示应答域有效，反之为0;PSH：这个标志位表示Push操作。所谓Push操作就是指在数据包到达接收端以后，立即传送给应用程序，而不是在缓冲区中排队;RST：这个标志表示连接复位请求。用来复位那些产生错误的连接，也被用来拒绝错误和非法的数据包;SYN：表示同步序号，用来建立连接。SYN标志位和ACK标志位搭配使用，当连接请求的时候，SYN=1，ACK=0;连接被响应的时候，SYN=1，ACK=1;这个标志的数据包经常被用来进行端口扫描。扫描者发送一个只有SYN的数据包，如果对方主机响应了一个数据包回来，就表明这台主机存在这个端口;但是由于这种扫描方式只是进行TCP三次握手的第一次握手，因此这种扫描的成功表示被扫描的机器不很安全，一台安全的主机将会强制要求一个连接严格的进行TCP的三次握手;FIN：表示发送端已经达到数据末尾，也就是说双方的数据传送完成，没有数据可以传送了，发送FIN标志位的TCP数据包后，连接将被断开。这个标志的数据包也经常被用于进行端口扫描。Window:窗口大小，也就是有名的滑动窗口，用来进行流量控制三设计过程3.1TCPRST攻击RST攻击原理：图3.1从上面TCP协议图可以看到，标志位共有六个，其中RST位就在TCP异常时出现通过三次握手建立连接下面我通过A向B建立TCP连接来说明三次握手怎么完成的。图3.2为了能够说清楚下面的RST攻击，需要结合上图说说：SYN标志位、序号、滑动窗口大小。建立连接的请求中，标志位SYN都要置为1，在这种请求中会告知MSS段大小，就是本机希望接收TCP包的最大大小。发送的数据TCP包都有一个序号。它是这么得来的：最初发送SYN时，有一个初始序号，根据RFC的定义，各个操作系统的实现都是与系统时间相关的。之后，序号的值会不断的增加，比如原来的序号是100，如果这个TCP包的数据有10个字节，那么下次的TCP包序号会变成110。滑动窗口用于加速传输，比如发了一个seq=100的包，理应收到这个包的确认ack=101后再继续发下一个包，但有了滑动窗口，只要新包的seq与没有得到确认的最小seq之差小于滑动窗口大小，就可以继续发。滑动窗口毫无疑问是用来加速数据传输的。TCP要保证“可靠”，就需要对一个数据包进行ack确认表示接收端收到。有了滑动窗口，接收端就可以等收到许多包后只发一个ack包，确认之前已经收到过的多个数据包。有了滑动窗口，发送端在发送完一个数据包后不用等待它的ack，在滑动窗口大小内可以继续发送其他数据包。四次握手的正常TCP连接关闭：图3.3FIN标志位也看到了，它用来表示正常关闭连接。图的左边是主动关闭连接方，右边是被动关闭连接方，用netstat命令可以看到标出的连接状态。FIN是正常关闭，它会根据缓冲区的顺序来发的，就是说缓冲区FIN之前的包都发出去后再发FIN包，这与RST不同。RST表示复位，用来异常的关闭连接，在TCP的设计中它是不可或缺的。就像上面说的一样，发送RST包关闭连接时，不必等缓冲区的包都发出去（不像上面的FIN包），直接就丢弃缓存区的包发送RST包。而接收端收到RST包后，也不必发送ACK包来确认。TCP处理程序会在自己认为的异常时刻发送RST包。例如，A向B发起连接，但B之上并未监听相应的端口，这时B操作系统上的TCP处理程序会发RST包。又比如，AB正常建立连接了，正在通讯时，A向B发送了FIN包要求关连接，B发送ACK后，网断了，A通过若干原因放弃了这个连接（例如进程重启）。网通了后，B又开始发数据包，A收到后表示压力很大，不知道这野连接哪来的，就发了个RST包强制把连接关了，B收到后会出现connectresetbypeer错误。RST攻击：A和服务器B之间建立了TCP连接，此时C伪造了一个TCP包发给B，使B异常的断开了与A之间的TCP连接，就是RST攻击了。实际上从上面RST标志位的功能已经可以看出这种攻击如何达到效果了。那么伪造什么样的TCP包可以达成目的呢？我们至顶向下的看。假定C伪装成A发过去的包，这个包如果是RST包的话，毫无疑问，B将会丢弃与A的缓冲区上所有数据，强制关掉连接。如果发过去的包是SYN包，那么，B会表示A已经发疯了（与OS的实现有关），正常连接时又来建新连接，B主动向A发个RST包，并在自己这端强制关掉连接。这两种方式都能够达到复位攻击的效果。似乎挺恐怖，然而关键是，如何能伪造成A发给B的包呢？这里有两个关键因素，源端口和序列号。一个TCP连接都是四元组，由源IP、源端口、目标IP、目标端口唯一确定一个连接。所以，如果C要伪造A发给B的包，要在上面提到的IP头和TCP头，把源IP、源端口、目标IP、目标端口都填对。这里B作为服务器，IP和端口是公开的，A是我们要下手的目标，IP当然知道，但A的源端口就不清楚了，因为这可能是A随机生成的。当然，如果能够对常见的OS如windows和linux找出生成sourceport规律的话，还是可以搞定的。序列号问题是与滑动窗口对应的，伪造的TCP包里需要填序列号，如果序列号的值不在A之前向B发送时B的滑动窗口内，B是会主动丢弃的。所以我们要找到能落到当时的AB间滑动窗口的序列号。这个可以暴力解决，因为一个sequence长度是32位，取值范围0-4294967296，如果窗口大小像上图中我抓到的windows下的65535的话，只需要相除，就知道最多只需要发65537（4294967296/65535=65537）个包就能有一个序列号落到滑动窗口内。RST包是很小的，IP头＋TCP头也才40字节，算算我们的带宽就知道这实在只需要几秒钟就能搞定。那么，序列号不是问题，源端口会麻烦点，如果各个操作系统不能完全随机的生成源端口，或者黑客们能通过其他方式获取到sourceport，RST攻击易如反掌，后果很严重图3.4防御：对付这种攻击也可以通过防火墙简单设置就可以了。建议使用防火墙将进来的包带RST位的包丢弃就可以了。RST攻击只能针对tcp。对udp无效。RST用于复位因某种原因引起出现的错误连接，也用来拒绝非法数据和请求。如果接收到RST位时候，通常发生了某些错误。假设有一个合法用户()已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户再发送合法数据，服务器就已经没有这样的连接了，该用户就必须重新开始建立连接。对付这种攻击也可以通过防火墙简单设置就可以了。3.2TCP会话劫持会话劫持原理：例如你Telnet到某台主机，这就是一次Telnet会话;你浏览某个网站，这就是一次会话。而会话劫持(SessionHijack)，就是结合了嗅探以及欺骗技术在内的攻击手段。例如，在一次正常的会话过程当中，攻击者作为第三方参与到其中，他可以在正常数据包中插入恶意数据，也可以在双方的会话当中进行监听，甚至可以是代替某一方主机接管会话。我们可以把会话劫持攻击分为两种类型:1)中间人攻击(ManInTheMiddle，简称MITM)，2)注射式攻击(Injection);并且还可以把会话劫持攻击分为两种形式:1)被动劫持，2)主动劫持;被动劫持实际上就是在后台监视双方会话的数据流，从中获得敏感数据;而主动劫持则是将会话当中的某一台主机"踢"下线，然后由攻击者取代并接管会话，这种攻击方法危害非常大，攻击者可以做很多事情，比如"catetc/master.passwd"(FreeBSD下的Shadow文件)。会话劫持利用了TCP/IP工作原理来设计攻击。TCP使用端到端的连接，即TCP用(源IP，源TCP端口号，目的IP，目的TCP端号)来唯一标识每一条已经建立连接的TCP链路。另外，TCP在进行数据传输时，TCP报文首部的两个字段序号(seq)和确认序号(ackseq)非常重要。序号(seq)和确认序号(ackseq)是与所携带TCP数据净荷(payload)的多少有数值上的关系:序号字段(seq)指出了本报文中传送的数据在发送主机所要传送的整个数据流中的顺序号，而确认序号字段(ackseq)指出了发送本报文的主机希望接收的对方主机中下一个八位组的顺序号。因此，对于一台主机来说，其收发的两个相临TCP报文之间的序号和确认序号的关系为:它所要发出的报文中的seq值应等于它所刚收到的报文中的ackseq的值，而它所要发送报文中ackseq的值应为它所收到报文中seq的值加上该报文中所发送的TCP净荷的长度。TCP会话劫持的攻击方式可以对基于TCP的任何应用发起攻击，如、FTP、Telnet等。对于攻击者来说，所必须要做的就是窥探到正在进行TCP通信的两台主机之间传送的报文，这样攻击者就可以得知该报文的源IP、源TCP端口号、目的IP、目的TCP端号，从而可以得知其中一台主机对将要收到的下一个TCP报文段中seq和ackseq值的要求。这样，在该合法主机收到另一台合法主机发送的TCP报文前，攻击者根据所截获的信息向该主机发出一个带有净荷的TCP报文，如果该主机先收到攻击报文，就可以把合法的TCP会话建立在攻击主机与被攻击主机之间。带有净荷的攻击报文能够使被攻击主机对下一个要收到的TCP报文中的确认序号(ackseq)的值的要求发生变化，从而使另一台合法的主机向被攻击主机发出的报文被被攻击主机拒绝。TCP会话劫持攻击方式的好处在于使攻击者避开了被攻击主机对访问者的身份验证和安全认证，从而使攻击者直接进入对被攻击主机的的访问状态，因此对系统安全构成的威胁比较严重。攻击过程：1找到一个活动的会话会话劫持的第一步要求攻击者找到一个活动的会话。这要求攻击者嗅探在子网上的通讯。攻击者将寻找诸如FTP之类的一个已经建立起来的TCP会话。如果这个子网使用一个集线器，查找这种会话是很容易的。一个交换的网络需要攻击者破坏地址解析协议。2猜测正确的序列号码下一步，攻击者必须能够猜测正确的序列号码。请记住，一个基本的TCP协议设计是传输的数据的每一个字节必须要有一个序列号码。这个序列号用来保持跟踪数据和提供可靠性。最初的序列号码是在TCP协议握手的第一步生成的。目的地系统使用这个值确认发出的字节。这个序列号字段长度有32个字节。这就意味着可能有大约4,294,967,295个序列号。一旦这个序列号一致，这个账户就会随着数据的每一个字节逐步增加。3把合法的用户断开一旦确定了序列号，攻击者就能够把合法的用户断开。这个技术包括拒绝服务、源路由或者向用户发送一个重置命令。无论使用哪一种技术，这个目的都是要让用户离开通讯路径并且让服务器相信攻击者就是合法的客户机。如果这些步骤取得成功，攻击者现在就可以控制这个会话。只要这个会话能够保持下去，攻击者就能够通过身份验证进行访问。这种访问能够用来在本地执行命令以便进一步利用攻击者的地位。图3.5上机：TCP会话劫持数据分析：首先用Ethereal打开telnet1_hijacked.cap文件。在分组1和分组2中可以看到SYN和SYNACK标志。分组1是从IP地址为03的客户端发送到IP地址为01服务器的。打开Ethernet可以看到客户端的MAC地址为00:06:5b:d5:1e:e7,服务器端的MAC地址为：00:00:c0:29:36:e8。在SYNACK分组中，源地址和目的地址则正好相反。图3.6分析分组1和分组2数据这个TCP连接可用如下显示过滤器分离出来：(ip.addreq03andip.addreq01)and(tcp.porteq1073andtcp.porteq23)的TCP连接中总共有98125个分组。当使用一下修改过滤规则后只有98123个分组。为了找到丢失的两个分组。将过滤规则改为：!(eth.srceq00:00:c0:29:36:e8)and!(eth.srceq00:06:5b:d5:1e:e7)（如图）图3.7排除非客户端的MAC数据可以发现，这两个分组的发送方的IP地址都为客户端（03）。但是以太网帧的源地址为00:01:03:87:a8:eb，而客户端的MAC地址00:06:5b:d5:1e:e7。第一个伪造分组的序号为233，含有10个字节的数据。10个字节的数据代表10个ASCII码字符，前8个ASCII码为0x08字符，后面2个ASCII为0x0a字符。ASCII码0x08代表退格符，ASCII码0x0a代表换行符。当这个分组加入TCP数据流后，服务器会认为用户键入退格符8次，然后回车符两次。虽然看起来可能不会有太大的危害，它的目的仅仅是清空合法用户的输入，然后显示一个空白命令行给用户。但是，这个可以帮组确保攻击者构造的下一组所能实现的功能，不再是简单地在合法用户输入的任何命令行末尾添加一些信息。如图所示图3.8分组1数据信息第二个伪造分组的序号为243，含有37个字节的数据。主要包括以下的命令：echo“echoHACKED”>>$HOME/.profile。这个命令后紧跟着一个ASCII码为0x0a的字符，提示换行输入新的命令。这个命令会把“echoHACKED”字符添加到用户的根目录下名为.profile的文件中。在一些命令行shell中，用户登录后首先读取：profile文件并执行其中所有命令。用户通常都根据需要为创建他们的工作环境而执行一些列命令。将这些命令放置到.profile文件中意味着用户在每次登录后都不用手动地执行这些设置命令。通过在.profile文件中添加“echoHACKED”命令，当用户下次登录时，他会在屏幕上看见“HACKED”字符串。如图所示图3.9分组2数据信息TCP会话终止数据分析：在telnet1_hijacked.cap文件中，攻击者成功地加入了实现其自身的“hijack”会话，同时使合法客户端和服务器无法通信。在telnet2_fin.cap文件中，攻击者发送了含有它自己的分组535。这次攻击者是伪装为服务器向客户端发送伪造的分组。客户端用它自己分组538中的FIN位作为响应。而对于真正的服务器，它是第一次接收到客户端关闭连接的分组，这样它会认为客户端希望断开连接，并以一个分组540中的FIN位作为响应。客户端接收到这个分组后，服务器和客户端的连接已经断开，客户端会发送一个窗口位为0和RST位置的分组。这样，就完全断开了客户端和服务器的连接。如图所示图3.10FIN攻击telnet3_rst.cap文件中，攻击者向客户段发送了一个RST位置位的分组339。攻击者再次伪装服务器，并向客户端发送伪造的分组。客户端会立刻直接关闭与服务器的连接，而不是按通常的三次握手的步骤来关闭连接。而此时真正的服务器并不知道发生了这些，它会继续向客户端发送分组340。当分组到达客户端后，客户端会响应连接已经关闭的信息。如图所示图3.11RST攻击在attacker_ftp.cap文件，攻击者使用通过网络嗅探到用户口令来与服务器建立一个FTP连接，并获取服务器文件。在这个连接中，攻击者不需要进行IP欺骗，它可以简单的使用自己的IP地址：00。捕捉口令可以完全获得用户账户的访问权限，而不再仅仅是插入一些命令到数据流中。如图所示图3.12ftp攻击结果分析：在TCP会话劫持中，只有攻击者发送的是接受者所期望的序号的分组，就可以成功地实现“会话窃用”。在“会话窃取”成功后，导致正常主机和服务器两边一直僵持状态。在TCP会话终止中，攻击者发送了一个带FIN或RST位的信息到目标主机，他会成功关闭这次连接。但是它没有获得非法途径访问资源，能阻止合法用户访问资源。然而攻击者通过网络嗅探到的用户口令与服务器建立一个FTP连接，并获取服务器文件。预防：处理会话劫持问题有两种机制:预防和检测。预防措施包括限制入网的连接和设置你的网络拒绝假冒本地地址从互联网上发来的数据包。加密也是有帮助的。如果你必须要允许来自可信赖的主机的外部连接，你可以使用Kerberos或者IPsec工具。使用更安全的协议，FTP和Telnet协议是最容易受到攻击的。SSH是一种很好的替代方法。SSH在本地和远程主机之间建立一个加密的频道。通过使用IDS或者IPS系统能够改善检测。交换机、SSH等协议和更随机的初始序列号的使用会让会话劫持更加困难。此外，网络管理员不应该麻痹大意，有一种安全感。虽然会话劫持不像以前那样容易了，但是，会话劫持仍是一种潜在的威胁。允许某人以经过身份识别的身份连接到你的一个系统的网络攻击是需要认真对付的。3.3TCPSYNFlood攻击攻击原理问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYNTimeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYNFlood攻击通常主机A与主机B的每一次TP连接都要经过三次握手的过程第一次握手主机A向主机B发送SYN请求主机A将它随机产生的初始序列号ISN传送给主机B请求建立TP连接。第二次握手主机B向主机A回应SYN+AK主机B接收到来自主机A的带有SYN标志的ISN后将自己的随机的初始序列号ISN连同应答信息AK一同返回给主机A。第三次握手主机A向主机B回应SYN十AK主机A再将主机B传送来ISN及应答信息AK返回给主机B。通过以上三次握手就建立了主机A与B的TP连接在TcP的三次握手中当主机B接收到主机A中的SYN请求时即第一次握手与第二次握手之间的连接称为半开连接。如果计算机有限的内存缓冲区中充满了虚假的半开连接信息该计算机就会对接下来的连接停止响应直到缓冲区里的连接企图超时。根据TCP连接的漏洞恶意的主机A想攻击主机B,A可以使用发包软件在短时间用伪造的不存在的IP地址作为源地址不断地向防火墙发送具有SYN请求的TCP数据包。主机B在收到SYN请求后会向请求SYN数据包的源地址发送一个SYN十ACK据包。由于源地址是一个伪造的地址主机B不可能收到伪造IP地址的SYN+ACK回应数据包。主机B在短时间内有大量的连接请求等待确认。由于主机B的内存缓冲区是有限的当主机B中未释放的连接请求数量超过主机B的限制时候主机B就无法再对新的连接请求进行响应就算是正常的连接请求也不会被主机B接受这时主机B受到了TCPSYNFlood攻击。SYN攻击实现起来非常的简单在互联网上有大量现成的SYN攻击工具。如运行Windows系统下的SYN工具synkill.exe选择随机的源地址和源端口并填写目标机器地址和选择允许访问的TP端口通常Windows系统开放TP139端口UNIX系统开放TCP7、21、23等端口激活运行很快就会发现目标系统运行缓慢。检测TCPSYNFlood攻击对于受到TCPSYNFlood攻击的计算机检测SYN攻击比较容易。当服务器上有大量的半连接状态时特别是源IP地址是随机的则可以断定这是一次TCPSYNFlood攻击。在Linux系统中使用netstat工具可显示网络连接、路由表和网络接口信息通过简单的分析可判断是否遭受了SYN攻击可以发现很多连接处于SYN_RECV状态Windows系统中是SYN_RECEIVED状态源IP地址都是随机的表明这是一带有IP欺骗的TCPSYNFlood攻击。实验过程：测试平台的网络拓扑结构如图所示。1用软件xdos.exe对目标计算机进行拒绝服务攻击并测试攻击效果。在B机打开SnifferPortable，配置好捕捉从任意主机发送给本机的IP数据包并启动捕捉进程如图所示。未攻击前与B机连接的主机数2在A机上访问://可以迅速打开工资查询站点。3在A机上访问://可以迅速打开工资查询站点。如图所示。xdos攻击端4此时B机处理速度明显下降甚至瘫痪死机再访问://将出错如图所示说明攻击效果已显现。在SnifferPortable的“传输地图”中看到大量伪造IP的主机请求与B机建立连接。如图所示。无法访问网站攻击时与B机建立的连接5停止攻击后B机恢复快速响应。打开捕捉的数据包可以看到有大量伪造IP地址的主机请求与B机连接的数据包且都是只请求不应答。以至于B机保持有大量的半开连接。如图所示。捕捉到攻击的数据包防御：从防御角度来说，有几种简单的解决方法：第一种是缩短SYNTimeout时间，由于SYNFlood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度xSYNTimeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间，例如设置为20秒以下（过低的SYNTimeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷。第二种方法是设置SYNCookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被丢弃。可是上述的两种方法只能对付比较原始的SYNFlood攻击，缩短SYNTimeout时间仅在对方攻击频度不高的情况下生效，SYNCookie更依赖于对方使用真实的IP地址，如果攻击者以数万/秒的速度发送SYN报文，同时利用SOCK_RAW随机改写IP报文中的源地址，以上的方法将毫无用武之地。四总结与体会随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。我们需要在理论学习的基础上，动手实践网络安全的相关理论，通过应用所学习的知识，来解决一些实际的网络安全应用问题。在此基础上，真正理解和掌握网络安全的基本原理，具备网络安全方面的分析和动手能力。在网络攻防实验环境中完成TCP/IP协议栈中TCP层重点协议的攻击实验。包括TCPRST攻击、TCP会话劫持和TCPSYNFlood攻击。这次课程设计增强了我们对核心理论知识的分析理解和实际转化能力。培养了理论联系实际和初步的独立工作能力。课程设计作为一次团队设计，通过分工协作，增强大家的团队精神。同时，通过实践小组成员进一步理解掌握了tcp的基本理论、方法、技术和基本知识，培养了方案设计与验证的能力以及实践软件开发的过程和步骤，初步具有了中小型软件项目的需求分析、设计、编码、测试和维护的能力。参考文献1段云所魏仕民唐礼用陈钟《信息安全概论》高等教育出版社2021.52韩松.卫星TCP/IP数据传输技术.现代电信科技,2000;(2):11-153村山公保.TCP/IP网络工具篇.北京:科学出版社,20034贾铁军《网络安全技术及应用》机械工业出版社2021.2网络安全课程设计实验报告班级：信息安全三班学号:0905030326姓名：指导老师:完成时间：2021年9月20日目录第一部分常规实验实验一Windows基本常用网络命令···············3实验二网络扫描与监听（NetBScanner)··············11第二部分编程与设计任务一漏洞入侵························15任务二UDP和Dos攻击与防范··················21任务三木马的攻击与防范····················28总结·····························36参考文献····························36、‘实验一Windows基本常用网络命令一、实验目的1、了解或掌握一些网络常用命令2、掌握Ping、IPConfig、Arp、Netstat、Net、Tracert、Nslookup、At等命令、参数及意义3、能应用上述命令进行网络连通、网络状态、网络配置等查看网络问题二、实验原理(此处只详述本人于课程设计中用的较多的Ping和Netstat命令)1、Ping命令的使用技巧Ping是个使用频率极高的实用程序,用于确定本地主机是否能与另一台主机交换（发送与接受)数据包。Ping是一个测试程序,如果Ping运行正确，我们大体上就可以排除网络访问层、网卡、MODEM的输入输出线路、电缆和路由器等存在的故障，从而减小为问题的范围。也因此,网络安全扫描技术中就包括有Ping扫射。2、Netstat命令的使用技巧Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。如果你的计算机有时候接收到的数据报导致出错数据或故障,你不必感到奇怪,TCP/IP可以容许这些类型的错误，并能够自动重发数据报。但如果累计的出错情况数目占到所接收的IP数据报相当大的百分比，或者它的数目正迅速增加，那么你就应该使用Netstat查一查为什么会出现这些情况了。三、实验过程与步骤1、Ping命令、参数及意义（仅部分详细解释）pingip地址或主机号：显示4个回显包后停止ping。（缺省的）pingip地址或主机号—t：对如10.129。4。22这个IP地址不断地发送ICMP数据包,可查看网络是否连通。要中途查看并继续发送数据包，按control+Break键；要停止发送数据包,按control+c键。pingip地址或主机号-ncount:显示count个回显包后停止ping。(count可以根据你的需要任意指定）ping—aip地址：将ip地址有对应的主机号表示出来，并显示3个回显包后停止ping。Netstat命令、参数及意义netstat–s:按照各个协议分别显示其统计数据。如果某应用程序(如Web浏览器）运行速度比较慢，或者不能显示Web页之类的数据，那么就可以用本选项来查看一下所显示的信息。需要仔细查看统计数据的各行，找到出错的关键字，进而确定问题所在。netstat–e：用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、单播的数量、广播的数量、丢弃（删除）数、错误数和未知协议的数量.这些统计数据既有发送的数据报数量,也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量。netstat–r:显示关于路由表的信息，类似于使用routeprint命令时看到的信息。除了显示有效路由外，还显示当前有效的连接。netstat–a：显示一个所有的有效连接信息列表，包括已建立的连接(ESTABLISHED）,也包括监听连接请求（LISTENING）的那些连接，断开连接（CLOSE_WAIT)或者处于联机等待状态的（TIME_WAIT）等。netstat–n：显示所有已建立的有效连接.分析与结论一下为本人在实验操作过程碰到或想到的并于最后通过请教同学或网上查询等的方法解决了的一些问题：1）一台接入Internet的主机出现无法访问的情况，怎样诊断原因？答：先试着测下本机是否和网关之间联通性正常.现在在主机cmd下输入ping127.0。01如果不能得到回复说明你的pc没有装tcp/ip或是坏掉了,在网上另下一个安装下。如果回复正常的可以继续以下操作：还是在cmd命令行下ipconfig/all,查看到本机ip情况,然后找到dhcp、gateway(网关）的ip地址，然后在cmd中输入命令:ping...。。.(此处为查看得到的dhcp、gateway的ip地址)。如果是得到正常回复,并有ttl值,说明正常，则可能是网关路由与外部的故障.如果不能得到正常回复，则说明你的主机到网关路由之间线路有故障。2)假如已经通过缓冲区溢出攻击获得一台主机的shell，怎样将木马程序运行起来？答：缓冲区溢出是一种相当普遍的缺陷,也是一种非常危险的缺陷,在各种系统软件、应用软件中广泛存在。缓冲区溢出可以导致程序运行失败、系统死机等后果.如果攻击者利用缓冲区溢出使计算机执行预设的非法程序，则可能获得系统特权,执行各种非法操作。缓冲区溢出攻击的基本原理是向缓冲区中写入超长的、预设的内容,导致缓冲区溢出,覆盖其他正常的程序或数据，然后让计算机转去运行这行预设的程序，达到执行非法操作、实现攻击的目的。运行木马的步骤:计划任务、VS脚本、自动运行、开机运行等.实验二网络扫描和监听一、实验目的网络扫描是对整个目标网络或单台主机进行全面、快速、准确的获取信息的必要手段.通过网络扫描发现对方,获取对方的信息是进行网络攻防的前提。该实验使学生了解网络扫描的内容，通过主机漏洞扫描发现目标主机存在的漏洞，通过端口扫描发现目标主机的开放端口和服务，通过操作系统类型扫描判断目标主机的操作系统类型。通过该实验，了解网络扫描的作用，掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法,能够通过网络扫描发现对方的信息和是否存在漏洞.要求能够综合使用以上的方法来获取目标主机的信息。而网络监听可以获知被监听用户的敏感信息。通过实验了解网络监听的实现原理，掌握网络监听软件的使用方法，以及对网络中可能存在的嗅探结点进行判断的原理.掌握网络监听工具的安装、使用，能够发现监听数据中的有价值信息，了解网络中是否存在嗅探结点的判断方法及其使用。二、实验要求基本要求了解网络扫描的作用，掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法，能够通过网络扫描发现对方的信息和是否存在漏洞.掌握网络监听工具的安装、使用，能够发现监听数据中的有价值信息等。提高要求能够对网络中可能存在的嗅探结点进行判断的方法及工具使用等.三、过程与步骤1）下载网络扫描软件NetBScanner和网络监听工具Ethereal以及Nmap和WinPcap驱动安装包并安装。2）打开NetBScanner。3）点击其中绿色的开始按钮，软件自动开始对地址在同一域中的目标主机或目标网络的扫描。4)不久，NerBScanner中的停止按钮会变红并扫描完毕，就可以得到同一域中所有目标主机的扫描结果，结果界面中包括有所有有关目标主机的IPAddress(主机IP地址）、ComputerName（主机名）、Workgroup（工作组)、MACAddress（主机物理地址)、NetworkAdapterCompany（网络适配器公司）和MasterBrowser（主浏览器)等信息，由此可看出所有有关目标主机的开放端口和服务.下图是扫描结果的部分内容.5）安装好WinPcap_4_0_beta3和Ethereal等软件。6）打开软件，开始抓包。选“Caputer--〉option”进入下一界面,默认设置直接点确定，软件开始抓包，出现如下界面：7)一小会时间后点击“stop"停止抓包.8）获取不同抓包类型，解析如下图：分析与结论以下是本人于实验过程中所思考的问题:1、网络扫描与网络监听的区别与比较？答：网络扫描：如果你对目标机进行网络扫描是指扫描出该机所有已经打开或者可用的端口以便于攻击或者查看是否打开某些不允许开启的软件所以如果你是网络管理员你可以对网络进行扫描如果发现有的机子的某个端口打开,而该端口是某个限制使用的下载工具使用的端口那么你就可以知道该机上使用了该软件。网络监听：是指你目标已经明确对某端口进行监听可以及时发现端口打开或者关闭，一般如果你给别人植入木马后便会使用监听如果成功则你监听对象的某个你要使用的端口变会被打开这个时侯用网络监听便很方便了。端口漏洞分析：我们发现被扫描主机及自己主机开放的端口，有些开放的端口是极其不安全的,若是对被扫描主机的漏洞进行攻击，或于自己主机的开放端口上做好防护，就达到了我们扫描的目的。下面列举部分端口极其可能存在的威胁如下：端口21：FTP端口，攻击者可能利用用户名和密码过于简单，甚至可以匿名登录的漏洞登录到目标主机上,并上传木马或者病毒而控制目标主机。端口23:Telnet端口，如果目标主机开放23端口，但用户名和密码过于简单，攻击者破解后就可以登录主机并查看任何信息，甚至控制目标主机。端口80：端口,此端口开放没有太大的危险,但如果目标主机有SQL注入的漏洞，攻击者就可能利用端口80进行攻击。端口139:NETBIOS会话服务段开口,主要用于提供Windows文件和打印机共享以及Unix中的Samda服务。139端口可以被攻击者利用,建立IPC连接入侵目标主机，然后获得目标主机的root权限并放置木马。端口443：网页浏览端口，主要用于S服务，是提供加密和通过安全端口传输的另一种。S服务一般是通过SSL来保证安全性的，但是SSL漏洞可能会受到黑客的攻击，比如可以黑掉在线银行系统、盗取信用卡账号等。端口3389：这个端口的开放使安装了终端服务和全拼输入法的Windows2000服务器(sql之前的版本）存在着远程者很容易的拿到Administrator组权限。任务一漏洞入侵一、实验目的漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以是攻击者能够在未授权的情况下访问或破坏系统。而入侵是指在未授权的情况下，试图存取信息、处理信息或破坏系统以使系统不可靠、不可用的故意行为。则漏洞入侵就是指攻击者通过硬件、软件、协议的具体实现或系统安全策略上的缺陷在未授权的情况下访问或破坏系统.该实验使学生了解漏洞入侵的内容，必先通过主机漏洞扫描发现目标主机存在的漏洞，在利用这些漏洞来破坏主机或从中窃取有用信息.而网络监听可以获知被监听用户的敏感信息。通过实验了解网络监听的实现原理，掌握网络监听软件的使用方法，以及对网络中可能存在的嗅探结点进行判断的原理。掌握网络监听工具的安装、使用,能够发现监听数据中的有价值信息，了解网络中是否存在嗅探结点的判断方法及其使用。二、实验要求基本要求了解漏洞入侵的作用,掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法，能够通过网络漏洞扫描发现对方的信息和是否存在漏洞。掌握网络监听工具的安装、使用，能够发现监听数据中的有价值信息等.提高要求能够对网络中可能存在的嗅探结点进行判断的方法及工具使用和掌握漏洞入侵工具的使用等.三、过程与步骤1)、下载漏洞入侵需使用的工具--—啊D注入工具2）、打开啊D注入工具,并在其网址栏中输入：：//www。baidu/gaoji/advanced。html，点击“浏览网页"出现如下界面:、在搜索结果的第一个框中输入inurl:（asp=数字)【如inurl:(asp=3486?)】，并现则搜索结果显示的条数为“每页显示100条”，其他默认设置，用来批量搜索注入点的语句，如下图：、设置完后点“百度一下”出现如图:、将上图地址栏中的地址复制并粘贴到啊D注入工具中的地址栏中,点击“扫描注入点”，再点击地址栏右侧的第一个小按钮，之后开始等待,出现界面如下：以下为之后在宿舍再完善部分截图、看到扫描出来的“可用注入点”后【难题一：此处是经常会遇到问题的地方，我在输入inurl:（asp=数字）时有尝试过很多不同的数字即注入点，常常在到达这一步后可能扫描出来的“可用注入点”为0，需要耐心多次尝试使用不同的数字做注入点,才能成功】，于其中任选一个，用右键放在上面单击“注入连接”，当该注入点出现在嘴上的注入连接框中后，点击该框后的“检测”按钮【难题二：此处也常常会出现“这个连接不能SQL注入，请试别的连接”这也是需要自己耐心的多次尝试的】,等待检测表段亮了之后，点击“检测表段”，再度等待至该框中出现如“vote、admin、user、news”等表段后，左键单击“admin"选中,点击“检测字段",等待至出现“username、password、id”等检测字段，在这三个字段的前面方框打上勾，然后单击“检测内容”，继续等待，出现如下图:此时我们检测出了管理员的用户名和密码等这些信息,接下来我们就是要找到他们的后台。、点击啊D注入工具左侧的“管理入口检测”后,啊D地址栏中会出现对应网站地址，在点击该框后面的“检测管理入口”按钮，出现界面如下图：四、实验结果检测出来的后台网址，我们用浏览器打开出现了界面如下图：输入前面检测到的管理员用户名、密码等信息便登录进去了。接下来上传个ASP木马,这个我没在进行下去了。五、分析与结论啊D注入工具注入点关键字搜集:inurl:CompHonorBig。asp？id=（等号后面填任意数字)inurl:asp常州inurl:Article_Class2。asp?inurl:detail.php?CompHonorBig。asp？id=（括号里填任意数字）inurl：show.asp？使用啊D注入工具进行漏洞入侵过程中碰到的问题很多,如无法检测到可用注入点、检测到的可用注入点连接不能SQL注入及选择检测表段时当同类特多的时候不知道选哪个等难题时，需要的就是耐心和不放弃的态度，这些东西本就需要多次尝试的。任务二UDPDos攻击与防范一、实验目的通过联系使用DoS/DDoS攻击工具对目标主机进行攻击；理解DoS/DDoS攻击的原理和实施过程;掌握检测和防范DoS/DDoS攻击的措施。二、实验原理DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，它的攻击方法说白了就是单挑,是比谁的机器性能好、速度快.当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高时，他的效果是明显的。但随着计算机处理能力的迅速增长,内存大大增加，CPU运算能力越来越强大，这使得DoS攻击的困难程度加大了.被攻击者对恶意攻击包的抵抗能力加强的不少。这时候分布式的拒绝服务攻击手段就应运而生了。所谓分布式拒绝服务（DDoS）攻击是指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击，从而成倍的提高拒绝服务攻击的威力.过程与步骤及结果分析进行UDPDos攻击与防范需要下载阿拉丁UDP洪水攻击器和Ddoser攻击器,这两个软件均不需要安装，只需配置便可运行并得以攻击。1、UDP-Flood攻击实践：（它是一种采用Dos攻击方式的软件，它可以向特定的IP地址和端口发送UDP包）1）、打开阿拉丁UDP洪水攻击器，在目标IP栏于端口栏里填入需要攻击的目标主机IP及所使用的端口，如下图：（填入机房局域网内目标主机IP为10.1。13。340的主机作为攻击对象，通过端口80即端口攻击)、选择自己想要的强度,以达到自己想要的效果【难题一：起初我选用的是中等强度,但指示灯一直是红的,后来换成了高强度，指示灯才变绿，就是说高强度时我试验才攻击成功】，如下图:3）、接下来,在被攻击的目标主机上打开Ethereal抓包软件,选“Caputer——〉option”进入下一界面，默认设置直接点确定，软件开始抓包,出现如下界面：【结果分析】可以发现计算机受到大量的UDP数据包，积极秒就接近10万个UDP数据包,与此同时目标机明显变得有点卡了。抓包类型也分析如下图：DDoSer攻击实践：（它是一个DDoS攻击工具,程序运行后自动装入系统，并在以后随系统启动，自动对实现设定好的目标进行攻击)软件分为生成器和DDoS攻击者程序两部分，下载安装以后是没有DDoS攻击者程序的，只有生成器，生成时可以自定义一些设置，如攻击目标的域名后IP地址、端口等。DDoS攻击者程序默认的文件名是DDsSer。Exe，可以在生成时任意改名.DDoSer攻击程序类似于木马软件的服务器端程序，程序运行后不会显示任何界面，看上去像没反应一样，其实它已经将自己复制到系统里面了,并且每次开机将自动运行,此时可以将考过去的安装程序删除。它运行时唯一会做的是不断的对事先设定好的目标进行攻击。DDoSer使用的攻击手段是SYNFlood方式。1）、打开DDoS攻击者生成器，将目标主机设置为域名为418—03—8的主机,通过端口80即端口攻击，生成器主界面如下：【难题一:在生成前要先进行必要的设置，其中：“目标主机的域名或IP地址"：这里建议使用域名，因为IP地址是经常变换的,而域名是不会变的。“端口"：就是要攻击的端口,这里指的是TCP端口,因为本软件只能攻击基于TCP的服务。80就是攻击服务，21就是攻击FTP服务，25就是攻击SMTP服务，110就是攻击POP3服务等等。“并发连接线程数":就是同时并发多少个线程去连接这个指定的端口，当然此值越大对服务器的压力越大，当然占用本机资源也越大，这里我建议使用默认值:10个线程。“最大TCP连接数”：当连接上服务器后，如果立即断开这个连接显然不会对服务器造成什么压力，而是先保持这个连接一段时间，当本机的连接数大于此值时，就会开始断开以前的连接，从而保证本机与服务器的连接数不会超过此值。同样，此值越大对服务器的压力越大,当然占用本机资源也越大，同样建议使用默认值:1000个连接。“注册表启动项键名"：就是在注册表里写入的自己的启动项键名，当然是越隐蔽越好。“服务端程序文件名”：就是在Windows系统目录里自己的文件名,同样也是越隐蔽越好。“DDoS攻击者程序保存为”：就是生成的DDoS攻击者程序保存在哪里，它的文件名是什么。】、点击“生成”按钮，出现界面如下：3）、确定好配置是正确的，点击“是”按钮，出现如下界面:4）、DDoS攻击者程序生成完毕，攻击者开始攻击,此时打开Ethereall抓包软件,选“Caputer-—〉option"进入下一界面，默认设置直接点确定，软件开始抓包，出现如下界面：【结果分析】此时会看到抓包类型如下图：同时，在主机上运行DDoSer.exe后，418-03—8这台主机就成了攻击者的代理服务器，主机会自动发送大量的半连接SYN请求，在命令提示符下输入netstat来查看网络状态，如下图：可以看到，主机自动的向目标服务器发起了大量的SYN请求，这说明主机开始利用SYNFlood攻击目标了。通过上面对DoS/DDoS攻击原理的研究与几个软件的使用可知，如果发现本地计算机的网络通信量突然急剧增加，超过平常的极限值，就要提高警惕，检测是否遭受DoS/DDoS的攻击。四、分析与结论对于DDoS攻击的防范包括:对于Smurf类型DDoS攻击的防范，对于SYN类型DDoS攻击的防范.通过翻看书本,查阅资料，回忆上课内容，对DoS攻击以及DDoS攻击的攻击原理有了一定的把握，能够比较清楚的对其工作原理进行描述,了解其攻击工作机制；对TCP/IP协议下的网络安全形势有了一定了解。而对于DDoS攻击的防范也进行了一些了解，能做到自己不会成为被控制的傀儡机，保护自己所在局域网不会有人发起Smurf攻击，以及如果作为网络管理员该如何应对DDoS攻击。任务三木马的攻击与防范实验目的通过对木马的练习，使读者理解和掌握木马传播和运行的机制;通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。实验原理一般木马都采用c/s运行模式，原理是，木马服务器程序在主机目标上执行后，一般会打开一个默认端口进行监听，当客户端主动提出链接请求，服务器的木马就会自动运行，来应答客服端的请求，从而建立连接。过程与步骤及结果（实验是后面别处做的,所以可能IP不一样）攻击1）、把冰河木马植入虚拟机，并运行.入侵目标主机，首先运行G_Client.exe，扫描主机。从上图可以看出,搜索结果中，每个IP前都是ERR。地址前面的“ERR:”表示这台计算机无法控制.所以，为了能够控制该计算机，我们就必须要让其感染冰河木马.、远程连接:使用Dos命令,netuse\\ip\ipc＄,如下图所示：、磁盘映射：本实验将目标主机的C盘映射为本地主机上的X盘，如下图所示:将本地主机上的G_Server。exe拷贝到目标主机的磁盘中，并使其自动运行。如下图所示：上图中，目标主机的C盘中没有G_Server。exe程序存在.4）、此时，目标主机的C盘中已存在冰河的G_Server.exe程序，使用Dos命令添加启动事件，如下图所示:首先，获取目标主机上的系统时间，然后根据该时间设置启动事件。此时，在目标主机的Dos界面下，使用at命令,可看到:下图为设定事件到达之前（即G_Server.exe执行之前）的注册表信息，可以看到在注册表下的:HKEY_LOCAL_MACHINE\Sofware\Windows\CurrentVersion\Run，其默认值并无任何值。当目标主机的系统时间到达设定时间之后，G_Server。exe程序自动启动，且无任何提示。从上图可以看到,HKEY_LOCAL_MACHINE\Sofware\Microsoft\Windows\CurrentVersion\Run的默认值发生了改变。变成了：C:\WINDOWS\\SYSTEM\\Kenel32.exe这就说明冰河木马安装成功,拥有G_Client。exe的计算机都可以对此计算机进行控制了.此时，再次使用G_Client.exe搜索计算机，可得结果如下图所示：从搜索结果可以看到，我们刚安装了冰河木马的计算机的IP地址前变成了“OK",而不是之前的“ERR”。下面对该计算机进行连接控制：难题一：上图显示,连接失败了,为什么呢？因为冰河木马是访问口令的,且不同的版本的访问口令不尽相同,本实验中，我们使用的是冰河V2。2版，其访问口令是05181977，当我们在访问口令一栏输入该口令（或右击“文件管理器”中的该IP，“修改口令"），并点击应用，即可连接成功。连接成功了，我们就可以在“命令控制台”下对该计算机进行相关的控制操作了。2、防范与清除冰河当冰河的G_SErver。exe这个服务端程序在计算机上运行时，它不会有任何提示，而是在windows/system下建立应用程序“kernel32.exe"和“Sysexplr。exe"。若试图手工删除，“Sysexplr.exe”可以删除，但是删除“kernel32。exe”时提示“无法删除kernel32.exe:指定文件正在被windows使用”，按下“Ctrl+Alt+Del"时也不可能找到“kernel32.exe"，先不管它，重新启动系统，一查找，“Sysexplr.exe”一定会又出来的。可以在纯DOS模式下手工删除掉这两个文件.再次重新启动，你猜发生了什么？再也进不去Windows系统了。重装系统后，再次运行G_Server.exe这个服务端程序，在“开始”→“运行"中输入“regedit”打开注册表，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下面发现@="C：\\WINDOWS\\SYSTEM\\Kernel32.exe"的存在,说明它是每次启动自动执行的。下图为卸载冰河木马前的注册表信息:卸载清除：1、远程把被攻击者机器上的冰河木马卸载掉。步骤如下图：2、木马删除。步骤如下:下图为清除冰河木马之后的注册表信息:四、总结分析（包括问题和解决方法、心得体会、应用网络安全原理对实验中的现象与问题进行解释等）对于计算机木马的概念，我们都还局限在很窄的层面，通过对冰河木马的学习并使用它完成本次实验，认识到木马是怎样侵入到我们的计算机并获得所需要的信息的。本次实验，我们是利用IPC$漏洞进行攻击的。不过，事实上，仅仅使用IPC＄漏洞扫描器并不太容易找到存在漏洞可供植入病毒的主机，通过其他途径（下载运行隐藏病毒文件）更容易使远程主机中木马病毒。对木马病毒的防护建议：及时下载系统补丁，修补系统漏洞。提高防范意识，不要打开陌生人的可以邮件和附件，其中可能隐藏病毒。如果电脑出现无故重启、桌面异常、速度变慢等情况，注意检查是否已中病毒.使用杀毒软件和防火墙，配置好运行规则。参考文献：［1］网络技术[M].北京：高等教育出版社,2004：58—64［2]罗跃川。计算机网络技术及应用[M］。北京：航空工业出版社，2001：34—63[3］天极网。拒绝服务攻击完全解析[EB/OL]。[4］郑彬.黑客攻防与入门进阶.第1版北京/清华大学出版社，2021年。［5]刘建伟、张卫东安全网络实验教程第1版北京清华大学出版社，2007年.［6］崔宝江，周亚建等信息安全试验指导第一版北京国防工业出版社2005年题目：校园网络规划与设计姓名：韦小娜院(系）：信息工程学院专业班级：14级计算机科学与技术学号：1401110229指导教师：聂燕柳时间：2021年2月27日至2021年5月12日摘要综合布线系统(PremisesDistributionSystem，PDS）是一个用于音频、数据、视频传输的标准结构化布线系统，它是整个网络系统的灵魂和骨干,主要包括计算机网络布线、通信、卫星接收和有线电视的布线.结构化综合布线系统是一个模块化、灵活性、安全性较高的智慧型布线网络，它通过延伸到每个区域的信息点,将、计算机、服务器、网络设备以及各种楼宇控制与管理设备连接为一个整体，高速传输语音、数据和图像，从而为管理者和使用者提供综合服务。当今的世界正从工业化社会向信息化社会转变。快速、高效的传播和利用信息资源是21世纪的基本特征。掌握丰富的计算机及网络信息知识不仅仅是素质教育的要求而且也是学生掌握现代化学习与工作手段的要求。Internet及WWW应用的迅猛发展,极大的改变着我们的生活方式。信息通过网络，以不可逆转之势，迅速打破了地域和时间的界限，为更多的人共享。学校作为信息化进程中极其重要的基础环节,如何通过网络充分发挥其教育功能，已成为当今的热门话题。随着学校教育手段的现代化，很多学校已经逐渐开始将学校的管理和教学过程向电子化方向发展，校园网的有无以及水平的高低也将成为评价学校及学生选择学校的新的标准之一,此时，校园网上的应用系统就显得尤为重要。学校目前正加紧对信息化教育的规划和建设.开展的校园网络建设,旨在推动学校信息化建设，其最终建设目标是将建设成为一个借助信息化教育和管理手段的高水平的智能化、数字化的教学园区网络，最终完成统一软件资源平台的构建,实现统一网络管理、统一软件资源系统,为用户提供高速接入网络，并实现网络远程教学、在线服务、教育资源共享等各种应用;利用现代信息技术从事管理、教学和科学研究等工作。最终达到在网络方面，更好的对众多网络使用及数据资源的安全控制，同时具有高性能，高效率，不间断的服务,方便的对网络中所有设备和应用进行有效的时事控制和管理。目录TOC\o”1-3"\h\u_Toc482282151”1.项目需求分析1HYPERLINK\l”_Toc482282152"1.1校园网功能1_Toc482282154”1。3校园网对主机系统的要求1_Toc482282157”2。1设计原则32.2项目总体目标3HYPERLINK\l”_Toc482282159"2.3设计范围及要求4HYPERLINK\l”_Toc482282160”2。3。1设计范围4设计要求4HYPERLINK\l”_Toc482282162”2。4设计依据及标准4HYPERLINK\l”_Toc482282163”2。5系统结构52.5.1校园网平面图5_Toc482282166”2。5。3网络拓扑结构6_Toc482282171”4.1设计要点14HYPERLINK\l”_Toc482282172"4.2Internet连接14HYPERLINK\l”_Toc48228217