信息安全實(shí)驗(yàn)報(bào)告ych

1、本科試驗(yàn)報(bào)告課程名稱： 信息平安技術(shù)與應(yīng)用 試驗(yàn)地點(diǎn)： 試驗(yàn)機(jī)房110 專業(yè)班級(jí)： 計(jì)Z1303 學(xué) 號(hào)： 2013002040 同學(xué)姓名： 楊朝輝 指導(dǎo)老師： 張輝 成 績(jī)： 2016年6月5日歡迎下載太原理工高校同學(xué)試驗(yàn)報(bào)告學(xué)院名稱計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院專業(yè)班級(jí)計(jì)Z1303學(xué)號(hào)2013002040同學(xué)姓名楊朝輝試驗(yàn)日期5月31日成果課程名稱信息平安技術(shù)與應(yīng)用試驗(yàn)題目試驗(yàn)一 常用網(wǎng)絡(luò)平安命令1、 試驗(yàn)?zāi)康暮鸵?. 生疏并把握使用常用網(wǎng)絡(luò)平安命令2. 由于常用網(wǎng)絡(luò)平安命令功能強(qiáng)大、參數(shù)眾多，在有限時(shí)間內(nèi)不行能對(duì)全部命令參數(shù)進(jìn)行試驗(yàn)。但要求每個(gè)命令至少選擇兩個(gè)參數(shù)進(jìn)行試驗(yàn)，命令參數(shù)可以任意選擇。

2、命令執(zhí)行后將執(zhí)行結(jié)果復(fù)制到試驗(yàn)報(bào)告表格中，并對(duì)命令執(zhí)行結(jié)果進(jìn)行解釋。2、 試驗(yàn)內(nèi)容1. ipconfig命令主要功能：顯示本地主機(jī)IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、MAC地址等。例1：C:> ipconfig/all2. ping命令主要功能：目標(biāo)主機(jī)的可達(dá)性、名稱、IP地址、路由跳數(shù)、來回時(shí)間等。例2：C:>ping or target_name3. tracert命令主要功能：路由跟蹤、節(jié)點(diǎn)IP地址、節(jié)點(diǎn)時(shí)延、域名信息等。例3：C:>tracert or 4. netstat命令主要功能：顯示協(xié)議統(tǒng)計(jì)信息和當(dāng)前TCP/IP網(wǎng)絡(luò)連接

3、。例4：C:>netstat a；C:>netstat n；5. nbtstat命令主要功能：顯示使用NBT （NetBIOS over TCP/IP）的協(xié)議統(tǒng)計(jì)和當(dāng)前TCP/IP網(wǎng)絡(luò)連接信息，可獲得遠(yuǎn)程或本機(jī)的組名和機(jī)器名。例5：C:>nbtstat a ；C:>nbtstat n6. net命令主要功能：網(wǎng)絡(luò)查詢、在線主機(jī)、共享資源、磁盤映射、開啟服務(wù)、關(guān)閉服務(wù)、發(fā)送消息、建立用戶等。net命令功能格外強(qiáng)大，輸入net help command可獲得command的具體功能及使用方法。例5：C: >net view；C: >net

4、view target_name；net send /domain: 計(jì)算機(jī)名（*為域內(nèi)廣播）消息3、 主要儀器設(shè)備 Win7OS的PC4、 試驗(yàn)步驟 依據(jù)試驗(yàn)內(nèi)容進(jìn)行5、 試驗(yàn)結(jié)果1.ipconfig命令2. ping命令3. tracert命令4. netstat命令5. nbtstat命令6. net命令試驗(yàn)地點(diǎn)試驗(yàn)機(jī)房110指導(dǎo)老師張輝太原理工高校同學(xué)試驗(yàn)報(bào)告學(xué)院名稱計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院專業(yè)班級(jí)計(jì)Z1303學(xué)號(hào)2013002040同學(xué)姓名楊朝輝試驗(yàn)日期5月31日成果課程名稱信息平安技術(shù)與應(yīng)用試驗(yàn)題目試驗(yàn)二 端口掃描與平安審計(jì)一、試驗(yàn)?zāi)康暮鸵?. 把握使用nmap軟件來進(jìn)行端口掃描和平

5、安審計(jì)的操作2. 由于Nmap掃描功能強(qiáng)大、命令參數(shù)眾多，在有限時(shí)間內(nèi)不行能對(duì)全部命令參數(shù)進(jìn)行試驗(yàn)。但試驗(yàn)內(nèi)容中列舉的掃描命令必需完成，也可以任意選擇其他命令參數(shù)進(jìn)行試驗(yàn)。命令執(zhí)行后將執(zhí)行結(jié)果復(fù)制到試驗(yàn)報(bào)告表格中，并對(duì)命令執(zhí)行結(jié)果進(jìn)行解釋。二、試驗(yàn)內(nèi)容和原理1. 安裝nmap-4.01-setup.exe軟件留意事項(xiàng)：接受nmap-4.01-setup.exe時(shí)將自動(dòng)安裝WinPcap分組捕獲庫，接受解壓縮nmap-4.01-win32.zip時(shí)需事先安裝WinPcap 分組捕獲庫。2. 局域網(wǎng)主機(jī)發(fā)覺列表掃描：nmap -sL 局域網(wǎng)地址3. 掃描目標(biāo)主機(jī)端口連續(xù)掃描目標(biāo)主機(jī)端口：nmap

6、r目標(biāo)主機(jī)IP地址或名稱4. 服務(wù)和版本檢測(cè)目標(biāo)主機(jī)服務(wù)和版本檢測(cè)：nmap -sV目標(biāo)主機(jī)IP地址或名稱5. 操作系統(tǒng)檢測(cè)目標(biāo)主機(jī)操作系統(tǒng)檢測(cè)：nmap -O目標(biāo)主機(jī)IP地址或名稱6. 端口掃描組合應(yīng)用nmap -v -A nmap -v -sP /16 /8nmap -v -iR 10000 -P0 -p -80 3、 主要儀器設(shè)備 Win7OS的PC4、 試驗(yàn)步驟 依據(jù)試驗(yàn)內(nèi)容進(jìn)行五、試驗(yàn)結(jié)果1.列表掃描nmap -sL 092. 連續(xù)掃描目標(biāo)主機(jī)端口nmap r 093. 目

7、標(biāo)主機(jī)服務(wù)和版本檢測(cè)nmap -sV 004. nmap -O 085.nmap -v -A nmap -v -sP /16 /8nmap -v -iR 10000 -P0 -p -805-2.注：其次條命令由于掃描IP地址過多電腦無法承受導(dǎo)致軟件多次崩潰，故修改此條命令為： nmap -v -sP /24 /24中間略過遍歷端口5-3.注：第三行代碼同其次行代碼一樣消滅多次軟件卡頓無法正常得出運(yùn)行結(jié)果故修改命令為：nmap -v -iR 10

8、-P0 -p -80試驗(yàn)地點(diǎn)試驗(yàn)機(jī)房110指導(dǎo)老師張輝 太原理工高校同學(xué)試驗(yàn)報(bào)告學(xué)院名稱計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院專業(yè)班級(jí)計(jì)Z1303學(xué)號(hào)2013002040同學(xué)姓名楊朝輝試驗(yàn)日期5月31日成果課程名稱 信息平安技術(shù)與應(yīng)用試驗(yàn)題目試驗(yàn)三 網(wǎng)絡(luò)入侵跟蹤與分析1、 試驗(yàn)?zāi)康暮鸵?. 由于Ethernet分組捕獲與協(xié)議分析功能強(qiáng)大，在一個(gè)試驗(yàn)單元時(shí)間內(nèi)不行能嫻熟把握Ethernet的使用。但至少應(yīng)把握捕獲菜單和統(tǒng)計(jì)菜單的使用，也可以選擇其他菜單命令進(jìn)行試驗(yàn)。二、試驗(yàn)內(nèi)容和原理 1. ethereal-setup-0.10.14.exe軟件安裝留意事項(xiàng)：ethereal-setup-0.10.14.exe

9、將自動(dòng)安裝WinPcap分組捕獲庫，不必事先安裝WinPcap 分組捕獲庫。2. 沖擊波蠕蟲病毒攻擊分析（1）沖擊波蠕蟲病毒攻擊原理沖擊波蠕蟲病毒W(wǎng)32.Blaster.Worm利用Windows 2000/XP/2003等操作系統(tǒng)中分布式組件對(duì)象模型DCOM（Distributed Component Object Model）和遠(yuǎn)程過程調(diào)用 (RPC（Remote Procedure Call）通信協(xié)議漏洞進(jìn)行攻擊，感染沖擊波蠕蟲病毒的計(jì)算機(jī)隨機(jī)生成多個(gè)目標(biāo)IP地址掃描TCP/135（epmap）、UDP/135（epmap）、TCP/139、UDP/139、TCP/445、UDP/445

10、、TCP/593、UDP/593端口查找存在DCOM RPC漏洞的系統(tǒng)。感染沖擊波蠕蟲病毒的計(jì)算機(jī)具有系統(tǒng)無故重啟、網(wǎng)絡(luò)速度變慢、Office軟件特別等癥狀，有時(shí)還對(duì)Windows自動(dòng)升級(jí)（）進(jìn)行拒絕服務(wù)攻擊，防止感染主機(jī)獲得DCOM RPC漏洞補(bǔ)丁。依據(jù)沖擊波蠕蟲病毒攻擊原理可知，計(jì)算機(jī)感染沖擊波蠕蟲病毒需要具備三個(gè)基本條件。一是存在隨機(jī)生成IP地址的主機(jī)；二是Windows 2000/XP/2003操作系統(tǒng)開放了RPC調(diào)用的端口服務(wù)；三是操作系統(tǒng)存在沖擊波蠕蟲病毒可以利用的DCOM RPC漏洞。（2）沖擊波蠕蟲病毒攻擊過程分析用Ethereal打開沖擊波蠕蟲病毒捕獲文件Win2000-bl

11、aster.cap，通過協(xié)議分析回答下列問題（僅限于所捕獲的沖擊波蠕蟲病毒）：（a）感染主機(jī)每次隨機(jī)生成多少個(gè)目標(biāo)IP地址？（b）掃描多個(gè)端口還是一個(gè)端口？假如掃描一個(gè)端口，是那一個(gè)RPC調(diào)用端口？（c）分別計(jì)算其次組與第一組掃描、第三組與其次組掃描之間的間隔時(shí)間，掃描間隔時(shí)間有規(guī)律嗎？（d）共發(fā)送了多少個(gè)摸索攻擊分組？（提示：端點(diǎn)統(tǒng)計(jì)或規(guī)章tcp.flags.syn=1顯示SYN=1的分組）（e）有摸索攻擊分組攻擊成功嗎？如攻擊成功，請(qǐng)給出感染主機(jī)的IP地址。如沒有攻擊成功的實(shí)例，說明為什么沒有攻擊成功？（提示：TCP報(bào)文段SYN=1表示連接懇求，SYN=1和ACK=1表示端口在監(jiān)聽，RST

12、=1表示拒絕連接懇求。使用顯示過濾規(guī)章tcp.flags.syn=1&&tcp.flags.ack=1確定是否有端口監(jiān)聽。）三、主要儀器設(shè)備 Win7OS的PC、ethereal軟件4、 試驗(yàn)步驟 依據(jù)試驗(yàn)內(nèi)容進(jìn)行五、試驗(yàn)結(jié)果（a）感染主機(jī)每次隨機(jī)生成多少個(gè)目標(biāo)IP地址？感染主機(jī)每次隨機(jī)生成20個(gè)目標(biāo)IP地址（b）掃描多個(gè)端口還是一個(gè)端口？假如掃描一個(gè)端口，是那一個(gè)RPC調(diào)用端口？掃描一個(gè)端口，端口135。（c）分別計(jì)算其次組與第一組掃描、第三組與其次組掃描之間的間隔時(shí)間，掃描間隔時(shí)間有規(guī)律嗎？沒有時(shí)間規(guī)律（d）共發(fā)送了多少個(gè)摸索攻擊分組？（提示：端點(diǎn)統(tǒng)計(jì)或規(guī)章tcp.flag

13、s.syn=1顯示SYN=1的分組）共發(fā)送了6008條摸索攻擊分組（e）有摸索攻擊分組攻擊成功嗎？如攻擊成功，請(qǐng)給出感染主機(jī)的IP地址。如沒有攻擊成功的實(shí)例，說明為什么沒有攻擊成功？（提示：TCP報(bào)文段SYN=1表示連接懇求，SYN=1和ACK=1表示端口在監(jiān)聽，RST=1表示拒絕連接懇求。使用顯示過濾規(guī)章tcp.flags.syn=1&&tcp.flags.ack=1確定是否有端口監(jiān)聽。） 沒有摸索攻擊分組攻擊成功試驗(yàn)地點(diǎn)試驗(yàn)機(jī)房110指導(dǎo)老師張輝太原理工高校同學(xué)試驗(yàn)報(bào)告學(xué)院名稱計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院專業(yè)班級(jí)計(jì)Z1303學(xué)號(hào)2013002040同學(xué)姓名楊朝輝試驗(yàn)日期5月31日成

14、果課程名稱信息平安技術(shù)與應(yīng)用試驗(yàn)題目試驗(yàn)四 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)一、試驗(yàn)?zāi)康暮鸵?.由于Snort入侵檢測(cè)系統(tǒng)功能強(qiáng)大、命令參數(shù)眾多，在有限時(shí)間內(nèi)不行能對(duì)全部命令參數(shù)進(jìn)行試驗(yàn)。可依據(jù)自己對(duì)Snort的生疏程度，從試驗(yàn)內(nèi)容中選擇部分試驗(yàn)，但至少應(yīng)完成Snort報(bào)警與日志功能測(cè)試、ping檢測(cè)、TCP connect()掃描檢測(cè)試驗(yàn)內(nèi)容。二、試驗(yàn)內(nèi)容和原理1. snort-2_0_0.exe的安裝與配置本試驗(yàn)除安裝snort-2_0_0.exe之外，還要求安裝nmap-4.01-setup.exe網(wǎng)絡(luò)探測(cè)和端口掃描軟件。Nmap用于掃描試驗(yàn)合作伙伴的主機(jī)，Snort用于檢測(cè)試驗(yàn)合作伙伴對(duì)本機(jī)的攻擊。

15、用寫字板打開Snortetcsnort.conf文件對(duì)Snort進(jìn)行配置。將var HOME_NET any中的any配置成本機(jī)所在子網(wǎng)的CIDR地址；將規(guī)章路徑變量RULE_PATH定義為C:snortrules；將分類配置文件路徑修改為 include C:snortetcclassification.config；將引用配置文件路徑修改為include C:snortetcreference.config。其余使用Snort配置文件中的默認(rèn)設(shè)置，這里假設(shè)全部Snort命令都在C盤根名目下執(zhí)行。2. Snort報(bào)警與日志功能測(cè)試用寫字板打開C:>Snortruleslocal.rul

16、es規(guī)章文件，添加Snort報(bào)警與日志功能測(cè)試規(guī)章：alert tcp any any -> any any (msg:"TCP traffic")。執(zhí)行命令：C:>snortbinsnort -c snortetcsnort.conf -l snortlog -i 2假如在C:>Snortlog名目中生成alert.ids報(bào)警文件和IP地址命名的日志文件，表明Snort配置正確，能夠?qū)嵤┤肭謭?bào)警和日志記錄功能。特殊提示：測(cè)試Snort報(bào)警與日志功能以后，肯定要?jiǎng)h除掉添加的測(cè)試規(guī)章或在該規(guī)章前加#號(hào)變?yōu)樽⑨?！否則，隨后的試驗(yàn)不能獲得正確結(jié)果。3. 分組協(xié)議

17、分析（1）TCP/UDP/ICMP/IP首部信息輸出到屏幕上：C:> snortbinsnort v -i n；n=1/2/3/4/5（2）TCP/UDP/ICMP/IP首部信息和應(yīng)用數(shù)據(jù)輸出到屏幕上：C:> snortbinsnort -vd -i n 或C:> snortbinsnort -v d -i n；（命令選項(xiàng)可以任意結(jié)合，也可以分開）（3）將捕獲的首部信息記錄到指定的Snortlog名目，在log名目下將自動(dòng)生成以主機(jī)IP地址命名的名目；C:> snortbinsnort -v -l snortlog -i n；n=1/2/3/4/5（4）接受Tcpdum

18、p二進(jìn)制格式將捕獲的首部信息和應(yīng)用數(shù)據(jù)記錄到指定的Snortlog名目，在log名目下將自動(dòng)生成snort.log日志文件，可以使用Ethereal或Tcpdump協(xié)議分析軟件打開snort.log文件，也可以通過-r snort.log選項(xiàng)用Snort輸出到屏幕上。C:> snortbinsnort -b -l snortlog -i n；n=1/2/3/4/54. 網(wǎng)絡(luò)入侵檢測(cè)（1）試驗(yàn)合作伙伴相互ping對(duì)方的主機(jī)，利用Snort檢測(cè)對(duì)本機(jī)的ping探測(cè)，在snortlog名目下將生成報(bào)警文件alert.ids：C:>snortbinsnort -d -c snortetcs

19、nort.conf -l snortlog -i n n=1/2/3/4/5    （2）試驗(yàn)合作伙伴利用“nmap -sT 目標(biāo)主機(jī)IP地址或名稱”命令TCP connect()掃描對(duì)方主機(jī)，以文本格式記錄日志的同時(shí)，將報(bào)警信息發(fā)送到把握臺(tái)屏幕（console）：C:>snortbinsnort -c snortetcsnort.conf -l snortlog -A console -i n n=1/2/3/4/5（3）試驗(yàn)合作伙伴利用“nmap -O目標(biāo)主機(jī)IP地址或名稱”命令探測(cè)目標(biāo)主機(jī)操作系統(tǒng)，以Tcpdump二進(jìn)制格式記錄日志的同時(shí)，將報(bào)警信息發(fā)

20、送到把握臺(tái)屏幕（console）：C:>snortbinsnort -c snortetcsnort.conf -b -l snortlog -A console -i n n=1/2/3/4/5    （4）試驗(yàn)合作伙伴遠(yuǎn)程登錄Telnet對(duì)方主機(jī)，利用Snort檢測(cè)對(duì)本機(jī)Telnet服務(wù)的非法訪問，文本格式記錄日志的同時(shí)，將報(bào)警信息發(fā)送到把握臺(tái)屏幕（console）：假設(shè)您的主機(jī)IP地址為23，用寫字板打開C:>Snortruleslocal.rules規(guī)章文件，添加檢測(cè)Telnet服務(wù)非法訪問的規(guī)章：alert tcp an

21、y any -> 23/32 23 (msg: "Someone attempts to access my telnet server")C:>snortbinsnort -c snortetcsnort.conf -l snortlog -A console -i n n=1/2/3/4/5三、主要儀器設(shè)備 Win7OS的PC、ethereal軟件四、試驗(yàn)步驟 依據(jù)試驗(yàn)內(nèi)容進(jìn)行五、試驗(yàn)結(jié)果1.Snort配置鍵入規(guī)章命令行執(zhí)行2. 分組協(xié)議分析（1）TCP/UDP/ICMP/IP首部信息輸出到屏幕上：C:> snortbinsnor

22、t v -i 2（2）TCP/UDP/ICMP/IP首部信息和應(yīng)用數(shù)據(jù)輸出到屏幕上：C:> snortbinsnort -vd -i 2 或C:> snortbinsnort -v d -i 2；（命令選項(xiàng)可以任意結(jié)合，也可以分開）（3）將捕獲的首部信息記錄到指定的Snortlog名目，在log名目下將自動(dòng)生成以主機(jī)IP地址命名的名目；C:> snortbinsnort -v -l snortlog -i 2（4）接受Tcpdump二進(jìn)制格式將捕獲的首部信息和應(yīng)用數(shù)據(jù)記錄到指定的Snortlog名目，在log名目下將自動(dòng)生成snort.log日志文件，可以使用Ethereal或Tcpdump協(xié)議分析軟件打開snort.log文件，也可以通過-r snort.log選項(xiàng)用Snort輸出到屏幕上。C:> snortbinsnort -b -l snortlog -i 23. 網(wǎng)絡(luò)入侵檢測(cè)（1）試驗(yàn)合作伙伴相互ping對(duì)方的主機(jī)，利用Snort檢測(cè)對(duì)本機(jī)的ping探測(cè)，在snortlog名目下將生成報(bào)警文件alert.ids：C:>snortbinsnort -d -c snortetc