网络安全课程设计报告

本文格式为Word版，下载可任意编辑——网络安全课程设计报告湖南科技大学计算机科学与工程学院

网络安全课程设计试验报告

班级：信息安全三班学号：0905030326姓名：曾化丽指导老师：李署红

完成时间：2023年9月20日

目录

第一部分常规试验

试验一Windows基本常用网络命令···············3试验二网络扫描与监听（NetBScanner）··············11

其次部分编程与设计

任务一漏洞入侵························15任务二UDP和Dos攻击与防范··················21任务三木马的攻击与防范····················28总结·····························36

2、Netstat命令、参数及意义

netstat–s：依照各个协议分别显示其统计数据。假使某应用程序（如Web浏览器）运行速度比较慢，或者不能显示Web页之类的数据，那么就可以用本选项来查看一下所显示的信息。需要细心查看统计数据的各行，找到出错的关键字，进而确定问题所在。

netstat–e：用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、单播的数量、广播的数量、丢弃（删除）数、错误数和未知协议的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量。

netstat–r：显示关于路由表的信息，类似于使用routeprint命令时看到的信息。除了显示有效路由外，还显示当前有效的连接。

netstat–a：显示一个所有的有效连接信息列表，包括已建立的连接（ESTABLISHED），也包括监听连接请求（LISTENING）的那些连接，断开连接（CLOSE_WAIT）或者处于联机等待状态的（TIME_WAIT）等。

netstat–n：显示所有已建立的有效连接。

四、分析与结论

一下为本人在试验操作过程碰见或想到的并于最终通过请教同学或网上查询等的方法解决了的一些问题：

1)一台接入Internet的主机出现无法访问的状况，怎样诊断原因？答：先试着测下本机是否和网关之间联通性正常。现在在主机cmd下输入ping127.0.01假使不能得到回复说明你的pc没有装tcp/ip或是坏掉了，在网上另下一个安装下。假使回复正常的可以继续以下操作：还是在cmd命令行下ipconfig/all，查看到本机ip状况，然后找到dhcp、gateway（网关）的ip地址，然后在cmd中输入命令：ping(此处为查看得到的dhcp、gateway的ip地址)。假使是得到正常回复，并有ttl值，说明正常，则可能是网关路由与外部的故障。假使不能得到正常回复，则说明你的主机到网关路由之间线路有故障。

2)假使已经通过缓冲区溢出攻击获得一台主机的shell，怎样将木马程序运行起来？

答：缓冲区溢出是一种相当普遍的缺陷，也是一种十分危险的缺陷，在各种系统软件、应用软件中广泛存在。缓冲区溢出可以导致程序运行失败、系统死机等后果。假使攻击者利用缓冲区溢出访计算机执行预设的非法程序，则可能获得系统特权，执行各种非法操作。缓冲区溢出攻击的基本原理是向缓冲区中写入超长的、预设的内容，导致缓冲区溢出，覆盖其他正常的程序或数据，然后让计算机转去运行这行预设的程序，达到执行非法操作、实现攻击的目的。运行木马的步骤：计划任务、VS脚本、自动运行、开机运行等。

试验二网络扫描和监听

一、试验目的

网络扫描是对整个目标网络或单台主机进行全面、快速、确凿的获取信息的必要手段。通过网络扫描发现对方，获取对方的信息是进行网络攻防的前提。该试验使学生了解网络扫描的内容，通过主机漏洞扫描发现目标主机存在的漏洞，通过端口扫描发现目标主机的开放端口和服务，通过操作系统类型扫描判断目标主机的操作系统类型。

通过该试验，了解网络扫描的作用，把握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法，能够通过网络扫描发现对方的信息和是否存在漏洞。要求能够综合使用以上的方法来获取目标主机的信息。

而网络监听可以获知被监听用户的敏感信息。通过试验了解网络监听的实现原理，把握网络监听软件的使用方法，以及对网络中可能存在的嗅探结点进行判断的原理。把握网络监听工具的安装、使用，能够发现监听数据中的有价值信息，了解网络中是否存在嗅探结点的判断方法及其使用。二、试验要求

基本要求了解网络扫描的作用，把握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法，能够通过网络扫描发现对方的信息和是否存在漏洞。把握网络监听工具的安装、使用，能够发现监听数据中的有价值信息等。提高要求能够对网络中可能存在的嗅探结点进行判断的方法及工具使用等。三、过程与步骤

1）下载网络扫描软件NetBScanner和网络监听工具Ethereal以及Nmap和WinPcap驱动安装包并安装。

2）开启NetBScanner。

3）点击其中绿色的开始按钮，软件自动开始对地址在同一域中的目标主机或目标网络的扫描。

4）不久，NerBScanner中的中止按钮会变红并扫描完毕，就可以得到同一域中所有目标主机的扫描结果，结果界面中包括有所有有关目标主机的IPAddress（主机IP地址）、ComputerName（主机名）、Workgroup（工作组）、MACAddress（主机物理地址）、NetworkAdapterCompany（网络适配器公司）和MasterBrowser（主浏览器）等信息，由此可看出所有有关目标主机的开放端口和服务。下图是扫描结果的部分内容。

5)安装好WinPcap_4_0_beta3和Ethereal等软件。

6)开启软件，开始抓包。选“Caputer-->option〞进入下一界面，默认设置直接点确定，软件开始抓包，出现如下界面：

7)一小会时间后点击“stop〞中止抓包。8)获取不同抓包类型，解析如下图：

四、分析与结论

以下是本人于试验过程中所思考的问题：

1、网络扫描与网络监听的区别与比较？

答：网络扫描：假使你对目标机进行网络扫描是指扫描出该机所有已经开启或者可用的端口以便于攻击或者查看是否开启某些不允许开启的软件

所以假使你是网络管理员你可以对网络进行扫描假使发现有的机子的某个端口开启，而该端口是某个限制使用的下载工具使用的端口那么你就可以知道该机上使用了该软件。

网络监听：是指你目标已经明确对某端口进行监听可以及时发现端口开启或者关闭，一般假使你给别人植入木马后便会使用监听假使成功则你监听对象的某个你要使用的端口变会被开启这个时侯用网络监听便很便利了。

2、端口漏洞分析：我们发现被扫描主机及自己主机开放的端口，有些开放的端口是极其担忧全的，若是对被扫描主机的漏洞进行攻击，或于自己主机的开放端口上做好防护，就达到了我们扫描的目的。下面列举部分端口极其可能存在的要挟如下：

端口21：FTP端口，攻击者可能利用用户名和密码过于简单，甚至可以匿名登录的漏洞登录到目标主机上，并上传木马或者病毒而控制目标主机。

端口23：Telnet端口，假使目标主机开放23端口，但用户名和密码过于简单，攻击者破解后就可以登录主机并查看任何信息，甚至控制目标主机。

端口80：HTTP端口，此端口开放没有太大的危险，但假使目标主机有SQL注入的漏洞，攻击者就可能利用端口80进行攻击。

端口139：NETBIOS会话服务段开口，主要用于提供Windows文件和打印机共享以及Unix中的Samda服务。139端口可以被攻击者利用，建立IPC连接入侵目标主机，然后获得目标主机的root权限并放置木马。

端口443：网页浏览端口，主要用于HTTPS服务，是提供加密和通过安全端口传输的另一种HTTP。HTTPS服务一般是通过SSL来保证安全性的，但是SSL漏洞可能会受到黑客的攻击，譬如可以黑掉在线银行系统、盗取信用卡账号等。

端口3389：这个端口的开放使安装了终端服务和全拼输入法的Windows2000服务器（sql之前的版本）存在着远程者很简单的拿到Administrator组权限。

任务一漏洞入侵

一、试验目的

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以是攻击者能够在未授权的状况下访问或破坏系统。而入侵是指在未授权的状况下，试图存取信息、处理信息或破坏系统以使系统不可靠、不可用的有意行为。则漏洞入侵就是指攻击者通过硬件、软件、协议的具体实现或系统安全策略上的缺陷在未授权的状况下访问或破坏系统。该试验使学生了解漏洞入侵的内容，必先通过主机漏洞扫描发现目标主机存在的漏洞，在利用这些漏洞来破坏主机或从中窃取有用信息。

而网络监听可以获知被监听用户的敏感信息。通过试验了解网络监听的实现原理，把握网络监听软件的使用方法，以及对网络中可能存在的嗅探结点进行判断的原理。把握网络监听工具的安装、使用，能够发现监听数据中的有价值信息，了解网络中是否存在嗅探结点的判断方法及其使用。

二、试验要求

基本要求了解漏洞入侵的作用，把握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法，能够通过网络漏洞扫描发现对方的信息和是否存在漏洞。把握网络监听工具的安装、使用，能够发现监听数据中的有价值信息等。提高要求能够对网络中可能存在的嗅探结点进行判断的方法及工具使用和把握漏洞入侵工具的使用等。

三、过程与步骤1）、下载漏洞入侵需使用的工具啊D注入工具

2）、开启啊D注入工具，并在其网址栏中输入：http：

//.http://.//gaoji/advanced.html，点击“浏览网页〞出现如下界面：

3）、在探寻结果的第一个框中输入inurl:(asp=数字)，并现则探寻结果显示的条数为“每页显示100条〞，其他默认设置，用来批量探寻注入点的语句，如下图：

4）、设置完后点“百度一下〞出现如图：

5）、将上图地址栏中的地址复制并粘贴到啊D注入工具中的地址栏中，点击“扫描注入点〞，再点击地址栏右侧的第一个小按钮，之后开始等待，出现界面如下：

以下为之后在宿舍再完善部分截图

6）、看到扫描出来的“可用注入点〞后，于其中任选一个，用右键放在上面单击“注入连接〞，当该注入点出现在嘴上的注入连接框中后，点击该框后的“检测〞按钮，等待检测表段亮了之后，点击“检测表段〞，再度等待至该框中出现如“vote、admin、user、news〞等表段后，左键单击“admin〞选中，点击“检测字段〞，等待至出现“username、password、id〞等检测字段，在这三个字段的前面方框打上勾，然后单击“检测内容〞，继续等待，出现如下图：

此时我们检测出了管理员的用户名和密码等这些信息，接下来我们就是要找到他们的后台。

7）、点击啊D注入工具左侧的“管理入口检测〞后，啊D地址栏中会出现对应网站地址，在点击该框后面的“检测管理入口〞按钮，出现界面如下图：

四、试验结果

检测出来的后台网址，我们用浏览器开启出现了界面如下图：

输入前面检测到的管理员用户名、密码等信息便登录进去了。接下来上传个ASP木马，这个我没在进行下去了。

五、分析与结论

啊D注入工具注入点关键字搜集：

inurl:CompHonorBig.asp?id=（等号后面填任意数字）inurl:asp

常州inurl:Article_Class2.asp?inurl:detail.php?

CompHonorBig.asp?id=（括号里填任意数字）inurl:show.asp?

使用啊D注入工具进行漏洞入侵过程中碰见的问题好多，如无法检测到可用注入点、检测到的可用注入点连接不能SQL注入及选择检测表段时当同类特多的时候不知道选哪个等难题时，需要的就是耐心和不放弃的态度，这些东西本就需要屡屡尝试的。

任务二UDPDos攻击与防范

一、试验目的

通过联系使用DoS/DDoS攻击工具对目标主机进行攻击；理解DoS/DDoS攻击的原理和实施过程；把握检测和防范DoS/DDoS攻击的措施。

二、试验原理

DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，它的攻击方法说白了就是单挑，是比谁的机器性能好、速度快。当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高时，他的效果是明显的。但随着计算机处理能力的迅速增长，内存大大增加，CPU运算能力越来越强大，这使得DoS攻击的困难程度加大了。被攻击者对恶意攻击包的抗争能力加强的不少。这时候分布式的拒绝服务攻击手段就应运而生了。

所谓分布式拒绝服务（DDoS）攻击是指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍的提高拒绝服务攻击的威力。

三、过程与步骤及结果分析

进行UDPDos攻击与防范需要下载阿拉丁UDP洪水攻击器和Ddoser攻击器，这两个软件均不需要安装，只需配置便可运行并得以攻击。

1、UDP-Flood攻击实践：（它是一种采用Dos攻击方式的软件，它可以向特定的IP地址和端口发送UDP包）

1）、开启阿拉丁UDP洪水攻击器，在目标IP栏于端口栏里填入需要攻击的目标主机IP及所使用的端口，如下图：（填入机房局域网内目标主机IP为40的主机作为攻击对象，通过端口80即HTTP端口攻击）

2）、选择自己想要的强度，以达到自己想要的效果，如下图：

3）、接下来，在被攻击的目标主机上开启Ethereal抓包软件，选“Caputer-->option〞进入下一界面，默认设置直接点确定，软件开始抓包，出现如下界面：

可以发现计算机受到大量的UDP数据包，积极秒就接近10万个UDP数据包，与此同时目标机明显变得有点卡了。抓包类型也分析如下图：

2、DDoSer攻击实践：（它是一个DDoS攻击工具，程序运行后自动装入系统，并在以后随系统启动，自动对实现设定好的目标进行攻击）

软件分为生成器和DDoS攻击者程序两部分，下载安装以后是没有DDoS攻击者程序的，只有生成器，生成时可以自定义一些设置，如攻击目标的域名后IP地址、端口等。DDoS攻击者程序默认的文件名是DDsSer。Exe，可以在生成时任意改名。DDoSer攻击程序类似于木马软件的服务器端程序，程序运行后不会显示任何界面，看上去像没反应一样，其实它已经将自己复制到系统里面了，并且每次开机将自动运行，此时可以将考过去的安装程序删除。它运行时唯一会做的是不断的对事先设定好的目标进行攻击。DDoSer使用的攻击手段是SYNFlood方式。

1）、开启DDoS攻击者生成器

，将目标主机设置为域名

为418-03-8的主机，通过端口80即HTTP端口攻击，生成器主界面如下：

2）、点击“生成〞按钮，出现界面如下：

3）、确定好配置是正确的，点击“是〞按钮，出现如下界面：

4）、DDoS攻击者程序生成完毕，攻击者开始攻击，此时开启Ethereall抓包软件，选“Caputer-->option〞进入下一界面，默认设置直接点确定，软件开始抓包，出现如下界面：

此时会看到抓包类型如下图：

同时，在主机上运行DDoSer.exe后，418-03-8这台主机就成了攻击者的代理服务器，主机遇自动发送大量的半连接SYN请求，在命令提醒符下输入netstat来查看网络状态，如下图：

可以看到，主机自动的向目标服务器发起了大量的SYN请求，这说明主机开始利用SYNFlood攻击目标了。

通过上面对DoS/DDoS攻击原理的研究与几个软件的使用可知，假使发现本地计算机的网络通信量突然急剧增加，超过平常的极限值，就要提高警惕，检测是否遭遇DoS/DDoS的攻击。

四、分析与结论

对于DDoS攻击的防范包括：对于Smurf类型DDoS攻击的防范，对于SYN类型DDoS攻击的防范。通过翻看书本，查阅资料，回忆上课内容，对DoS攻击以及DDoS攻击的攻击原理有了一定的把握，能够比较明白的对其工作原理进行描述，了解其攻击工作机制；对TCP/IP协议下的网络安全形势有了一定了解。而对于DDoS攻击的防范也进行了一些了解，能做到自己不会成为被控制的傀儡机，保护自己所在局域网不会有人发起Smurf攻击，以及假使作为网络管理员该如何应对DDoS攻击。

任务三木马的攻击与防范

一、试验目的

通过对木马的练习，使读者理解和把握木马传播和运行的机制；通过手动删除木马，把握检查木马和删除木马的技巧，学会防卫木马的相关知识，加深对木马的安全防范意识。

二、试验原理

一般木马都采用c/s运行模式，原理是，木马服务器程序在主机目标上执行后，一般会开启一个默认端口进行监听，当客户端主动提出链接请求，服务器的木马就会自动运行，来应答客服端的请求，从而建立连接。

三、过程与步骤及结果（试验是后面别处做的，所以可能IP不一样）

1、攻击1）、把冰河木马植入虚拟机，并运行。入侵目标主机，首先运行G_Client.exe，扫描主机。

从上图可以看出，探寻结果中，每个IP前都是ERR。地址前面的“ERR：〞表示这台计算机无法控制。

所以，为了能够控制该计算机，我们就必需要让其感染冰河木马。

2）、远程连接：使用Dos命令，netuse\\\\ip\\ipc$,如下图所示：

3）、磁盘映射：本试验将目标主机的C盘映射为本地主机上的X盘，如下图所示：

将本地主机上的G_Server.exe拷贝到目标主机的磁盘中，并使其自动运行。如下图所示：

上图中，目标主机的C盘中没有G_Server.exe程序存在。

4）、此时，目标主机的C盘中已存在冰河的G_Server.exe程序，使用Dos命令添加启动事件，如下图所示：

首先，获取目标主机上的系统时间，然后根据该时间设置启动事件。

此时，在目标主机的Dos界面下，使用at命令，可看到:

下图为设定事件到达之前（即G_Server.exe执行之前）的注册表信息，可以看到在注册表下的：HKEY_LOCAL_MACHINE\\Sofware\\Windows\\CurrentVersion\\Run，其默认值并无任何值。

当目标主机的系统时间到达设定时间之后，G_Server.exe程序自动启动，且无任何提醒。

从上图可以看到，HKEY_LOCAL_MACHINE\\Sofware\\Microsoft\\Windows\\CurrentVersion\\Run的默认值发生了改变。变成了：C:\\WINDOWS\\\\SYSTEM\\\\Kenel32.exe这就说明冰河木马安装成功，拥有G_Client.exe的计算机都可以对此计算机进行控制了。此时，再次使用G_Client.exe探寻计算机，可得结果如下图所示：

从探寻结果可以看到，我们刚安装了冰河木马的计算机的IP地址前变成了“OK〞，而不是之前的“ERR〞。

下面对该计算机进行连接控制：

难题一：上图显示，连接失败了，为什么呢？由于冰河木马是访问口令的，且不同的版本的访问口令不尽一致，本试验中，我们使用的是冰河V2.2版，其访问口令是05181977，当我们在访问口令一栏输入该口令（或右击“文件管理器〞中的该IP，“修改口令〞），并点击应用，即可连接成功。

连接成功了，我们就可以在“命令控制台〞下对该计算机进行相关的控制操作了。

2、防范与清除冰河

当冰河的G_SErver.exe这个服务端程序在计算机上运行时，它不会有任何提醒，而是在windows/system下建立应用程序“kernel32.exe〞和“Sysexplr.exe〞。若试图手工删除，“Sysexplr.exe〞可以删除，但是删除“kernel32.exe〞时提醒“无法删除kernel32.exe:指定文件正在被windows使用〞，按下“Ctrl+Alt+Del〞时也不可能找到“kernel32.exe〞，先不管它，重新启动系统，一查找，“Sysexplr.exe〞一定会又出来的。可以在纯DOS模式下手工删除掉这两个文件。再次重新启动，你猜发生了什么？再也进不去Windows系统了。

重装系统后，再次运行G_