太原理工大學(xué)信息安全實(shí)驗(yàn)報(bào)告

1、實(shí)驗(yàn)由本人當(dāng)時(shí)親自完成僅供參考，希望可以幫助大家本科實(shí)驗(yàn)報(bào)告課程名稱： 信息安全技術(shù)b 實(shí)驗(yàn)項(xiàng)目： 信息安全技術(shù)實(shí)驗(yàn) 實(shí)驗(yàn)地點(diǎn)： 專業(yè)班級(jí)： 0000 學(xué)號(hào)： 0000000000 學(xué)生姓名： 氣宇軒昂 指導(dǎo)教師： 2013年 13 月 13 日實(shí)驗(yàn)一、常用網(wǎng)絡(luò)安全命令1、 實(shí)驗(yàn)?zāi)康暮鸵竽康模罕緦?shí)驗(yàn)的目的是使學(xué)生通過對常用網(wǎng)絡(luò)安全命令使用，熟練掌握常用網(wǎng)絡(luò)安全命令，加深對常用網(wǎng)絡(luò)安全命令執(zhí)行結(jié)果的理解，在培養(yǎng)良好的工程素養(yǎng)同時(shí)，為今后工作實(shí)踐中能夠運(yùn)用科學(xué)理論和技術(shù)手段分析并解決工程問題的能力。要求：由于常用網(wǎng)絡(luò)安全命令功能強(qiáng)大、參數(shù)眾多，在有限時(shí)間內(nèi)不可能對所有命令參數(shù)進(jìn)行實(shí)驗(yàn)。但要求每個(gè)

2、命令至少選擇兩個(gè)參數(shù)進(jìn)行實(shí)驗(yàn)，命令參數(shù)可以任意選擇。命令執(zhí)行后將執(zhí)行結(jié)果復(fù)制到實(shí)驗(yàn)報(bào)告中，并對命令執(zhí)行結(jié)果進(jìn)行解釋。二、實(shí)驗(yàn)內(nèi)容和原理1. ipconfig命令主要功能：顯示本地主機(jī)ip地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、mac地址等。2. ping命令主要功能：目標(biāo)主機(jī)的可達(dá)性、名稱、ip地址、路由跳數(shù)、往返時(shí)間等。3. tracert命令主要功能：路由跟蹤、節(jié)點(diǎn)ip地址、節(jié)點(diǎn)時(shí)延、域名信息等。4. netstat命令主要功能：顯示協(xié)議統(tǒng)計(jì)信息和當(dāng)前tcp/ip網(wǎng)絡(luò)連接。5. nbtstat命令主要功能：顯示使用nbt （netbios over tcp/ip）的協(xié)議統(tǒng)計(jì)和當(dāng)前tcp/ip網(wǎng)絡(luò)連接信息

3、，可獲得遠(yuǎn)程或本機(jī)的組名和機(jī)器名。6. net命令主要功能：網(wǎng)絡(luò)查詢、在線主機(jī)、共享資源、磁盤映射、開啟服務(wù)、關(guān)閉服務(wù)、發(fā)送消息、建立用戶等。net命令功能十分強(qiáng)大，輸入net help command可獲得command的具體功能及使用方法。3、 主要儀器設(shè)備pc機(jī)一臺(tái)四、實(shí)驗(yàn)結(jié)果與分析1. ipconfig命令，在dos下輸入ipconfig/all，如下圖：說明：內(nèi)容很多，只截出一部分。2. ping命令，在dos下輸入ping ，如下圖：3. tracert命令，在dos下輸入tracert ，如下圖：4. netstat命令，在dos下輸入netstat -a，netstat -n如

4、下圖：5. nbtstat命令，在dos下輸入nbtstat -a 9，如下圖：6. net命令1 在dos下輸入net use 63/ipc$ “” /user:guest(首先確認(rèn)另一臺(tái)計(jì)算機(jī)打開guset用戶，密碼為空，并且設(shè)定在網(wǎng)絡(luò)上可以訪問此用戶，這樣才能順利執(zhí)行)如下圖：2 在dos下輸入net view得到了局域網(wǎng)中的計(jì)算機(jī)主機(jī)名3 在dos下輸入net time 63在命令提示符下輸出了另一臺(tái)計(jì)算機(jī)的時(shí)間五、討論、心得本次試驗(yàn)主要是熟悉dos下各種基于網(wǎng)絡(luò)的命令，在做的過程中，除了最后一個(gè)費(fèi)了很長時(shí)間外其它實(shí)

5、驗(yàn)進(jìn)行的還是非常順利，最后一個(gè)net命令由于在實(shí)驗(yàn)指導(dǎo)書中某些關(guān)鍵步驟沒有寫進(jìn)去，所以導(dǎo)致沒有正確結(jié)果，比如在win7下早已取消了net send命令，還有在用net的其他/她命令是得先用net use，不過最后通過網(wǎng)上查找各種資料還是完成了，給我最大的收獲還是計(jì)算機(jī)可以隨意互聯(lián)，雖然計(jì)算機(jī)互聯(lián)已經(jīng)是很普遍的事情了，但是一般的互聯(lián)都沒有感覺，而這次的互聯(lián)則是物理上的，并且通過本次實(shí)驗(yàn)對tcp/ip協(xié)議又有了一定的了解。實(shí)驗(yàn)二、端口掃描與安全審計(jì)一、實(shí)驗(yàn)?zāi)康暮鸵竽康? 本實(shí)驗(yàn)的目的是使學(xué)生通過對nmap掃描軟件的使用，掌握nmap中常用命令方式，在加深理解nmap端口掃描結(jié)果的基礎(chǔ)上，使用nm

6、ap不同掃描方式來分析系統(tǒng)漏洞掃描的基本原理。在培養(yǎng)良好的工程素養(yǎng)同時(shí)，為今后工作實(shí)踐中能夠運(yùn)用科學(xué)理論和技術(shù)手段分析并解決工程問題的能力。要求:由于nmap掃描功能強(qiáng)大、命令參數(shù)眾多，在有限時(shí)間內(nèi)不可能對所有命令參數(shù)進(jìn)行實(shí)驗(yàn)。但實(shí)驗(yàn)內(nèi)容中列舉的掃描命令必須完成，也可以任意選擇其他命令參數(shù)進(jìn)行實(shí)驗(yàn)。命令執(zhí)行后將執(zhí)行結(jié)果復(fù)制到實(shí)驗(yàn)報(bào)告中，并對命令執(zhí)行結(jié)果進(jìn)行解釋。二、實(shí)驗(yàn)內(nèi)容和原理1. 安裝nmap-4.01-setup.exe軟件注意事項(xiàng)：采用nmap-4.01-setup.exe時(shí)將自動(dòng)安裝winpcap分組捕獲庫，采用解壓縮nmap-4.01-win32.zip時(shí)需事先安裝winpcap

7、分組捕獲庫。2. 局域網(wǎng)主機(jī)發(fā)現(xiàn)列表掃描：nmap -sl 局域網(wǎng)地址3. 掃描目標(biāo)主機(jī)端口連續(xù)掃描目標(biāo)主機(jī)端口：nmap r目標(biāo)主機(jī)ip地址或名稱4. 服務(wù)和版本檢測目標(biāo)主機(jī)服務(wù)和版本檢測：nmap -sv目標(biāo)主機(jī)ip地址或名稱5. 操作系統(tǒng)檢測目標(biāo)主機(jī)操作系統(tǒng)檢測：nmap -o目標(biāo)主機(jī)ip地址或名稱6. 端口掃描組合應(yīng)用nmap -v -a nmap -v -sp /16 /8nmap -v -ir 10000 -p0 -p 80三、主要儀器設(shè)備pc一臺(tái)四、實(shí)驗(yàn)結(jié)果與分析1. 安裝nmap-4.01-setup.exe軟

8、件，由于安裝很簡單，所以這里不再敘述。2. 局域網(wǎng)主機(jī)發(fā)現(xiàn)，在dos下先改變執(zhí)行路徑，改到e:programnmap,然后輸入nmap -sl 63，結(jié)束之后再輸入nmap -sl ，如下圖為操作結(jié)果：3. 掃描目標(biāo)主機(jī)端口輸入nmap -r 63，結(jié)束之后再輸入nmap -r ，如下圖為操作結(jié)果：不知道和第一個(gè)命令的區(qū)別，感覺都一樣，也許是掃描不到。4. 服務(wù)和版本檢測，輸入nmap -sv 63，結(jié)束之后再輸入nmap -sv ，如下圖為操作結(jié)果：的確不知道這幾個(gè)命令有什么區(qū)別.5. 操作系統(tǒng)檢測，輸入nmap -o

9、63，結(jié)束之后再輸入nmap -o ，如下圖為操作結(jié)果：也許沒有什么漏洞，檢測不出。6. 端口掃描組合應(yīng)用nmap -v -a nmap -v -sp /16 /8真心不知道這是干嘛的nmap -v -ir 10000 -p0 -p 80五、討論、心得說句真實(shí)的感受就是不知道實(shí)在干什么，基本上都掃描不出來，也許自己對nmap的理解根本不到位，它所提供的功能根本沒有達(dá)到預(yù)期的目的，也許現(xiàn)在的產(chǎn)品做的越來越完善了，漏洞很小了，在本地計(jì)算機(jī)上還是可以掃描出一些東西的。實(shí)驗(yàn)三、網(wǎng)絡(luò)入侵跟蹤與分析一、實(shí)驗(yàn)?zāi)康暮鸵?/p>

10、求目的：本實(shí)驗(yàn)的目的是使學(xué)生通過使用ethereal開放源碼的網(wǎng)絡(luò)分組捕獲與協(xié)議分析軟件，分析一個(gè)沖擊波蠕蟲病毒捕獲文件win2000-blaster.cap，在加深理解ethereal協(xié)議分析基礎(chǔ)上，掌握ethereal分組捕獲與協(xié)議分析功能，為今后工作實(shí)踐中能夠運(yùn)用科學(xué)理論和技術(shù)手段分析并解決工程問題的培養(yǎng)工程素養(yǎng)。要求：由于ethereal分組捕獲與協(xié)議分析功能強(qiáng)大，在一個(gè)實(shí)驗(yàn)單元時(shí)間內(nèi)不可能熟練掌握ethereal的使用。但至少應(yīng)掌握捕獲菜單和統(tǒng)計(jì)菜單的使用，也可以選擇其他菜單命令進(jìn)行實(shí)驗(yàn)。練習(xí)使用ethereal分組捕獲與協(xié)議分析的顯示結(jié)果不要復(fù)制到實(shí)驗(yàn)報(bào)告，實(shí)驗(yàn)報(bào)告只回答沖擊波蠕蟲

11、病毒攻擊過程分析中提出的問題及問題解答過程。二、實(shí)驗(yàn)內(nèi)容和原理1. ethereal-setup-0.10.14.exe軟件安裝注意事項(xiàng)：ethereal-setup-0.10.14.exe將自動(dòng)安裝winpcap分組捕獲庫，不必事先安裝winpcap 分組捕獲庫。2. 沖擊波蠕蟲病毒攻擊分析沖擊波蠕蟲病毒攻擊原理沖擊波蠕蟲病毒w32.blaster.worm利用windows 2000/xp/2003等操作系統(tǒng)中分布式組件對象模型dcom（distributed component object model）和遠(yuǎn)程過程調(diào)用 (rpc（remote procedure call）通信協(xié)議漏洞進(jìn)

12、行攻擊，感染沖擊波蠕蟲病毒的計(jì)算機(jī)隨機(jī)生成多個(gè)目標(biāo)ip地址掃描tcp/135（epmap）、udp/135（epmap）、tcp/139、udp/139、tcp/445、udp/445、tcp/593、udp/593端口尋找存在dcom rpc漏洞的系統(tǒng)。感染沖擊波蠕蟲病毒的計(jì)算機(jī)具有系統(tǒng)無故重啟、網(wǎng)絡(luò)速度變慢、office軟件異常等癥狀，有時(shí)還對windows自動(dòng)升級(jí)（）進(jìn)行拒絕服務(wù)攻擊，防止感染主機(jī)獲得dcom rpc漏洞補(bǔ)丁。根據(jù)沖擊波蠕蟲病毒攻擊原理可知，計(jì)算機(jī)感染沖擊波蠕蟲病毒需要具備三個(gè)基本條件。一是存在隨機(jī)生成ip地址的主機(jī)；二是windows 2000/xp/2003操作系統(tǒng)開

13、放了rpc調(diào)用的端口服務(wù)；三是操作系統(tǒng)存在沖擊波蠕蟲病毒可以利用的dcom rpc漏洞。三、主要儀器設(shè)備pc四、實(shí)驗(yàn)結(jié)果與分析沖擊波蠕蟲病毒攻擊過程分析用ethereal “open capture file”(打開捕獲文件)對話框打開沖擊波蠕蟲病毒捕獲文件win2000-blaster.cap，通過協(xié)議分析回答下列問題（僅限于所捕獲的沖擊波蠕蟲病毒）：（a） 感染主機(jī)每次隨機(jī)生成多少個(gè)目標(biāo)ip地址？答：感染主機(jī)每次隨機(jī)生成20個(gè)目標(biāo)ip地址。（b）掃描多個(gè)端口還是一個(gè)端口？如果掃描一個(gè)端口，是那一個(gè)rpc調(diào)用端口？答：掃描一個(gè)端口，是135端口。（c）分別計(jì)算第二組與第一組掃描、第三組與第二

14、組掃描之間的間隔時(shí)間，掃描間隔時(shí)間有規(guī)律嗎？答：沒有時(shí)間規(guī)律。（d）共發(fā)送了多少個(gè)試探攻擊分組？（提示：端點(diǎn)統(tǒng)計(jì)或規(guī)則tcp.flags.syn=1顯示syn=1的分組）答：共發(fā)送了6008條試探攻擊分組。（e）有試探攻擊分組攻擊成功嗎？如攻擊成功，請給出感染主機(jī)的ip地址。如沒有攻擊成功的實(shí)例，說明為什么沒有攻擊成功？（提示：tcp報(bào)文段syn=1表示連接請求，syn=1和ack=1表示端口在監(jiān)聽，rst=1表示拒絕連接請求。使用顯示過濾規(guī)則tcp.flags.syn=1&tcp.flags.ack=1確定是否有端口監(jiān)聽。）答：沒有試探攻擊分組攻擊成功。五、討論、心得如果說前兩個(gè)實(shí)驗(yàn)是用來連

15、接其它主機(jī)，并且獲得其它主機(jī)的一些相關(guān)信息的話，本次實(shí)驗(yàn)則是其它主機(jī)發(fā)送到包到本主機(jī)的檢測、分析，當(dāng)然我是明白了這一點(diǎn)，并且還利用ethereal去試探了自己本機(jī)接收包的情況，并且用實(shí)驗(yàn)已掃描的沖擊波蠕蟲病毒進(jìn)行了分析，雖然有很多地方還是很不明確，但是至少明白了這個(gè)工具但第十干什么用的。實(shí)驗(yàn)四、網(wǎng)絡(luò)入侵檢測系統(tǒng)一、實(shí)驗(yàn)?zāi)康暮鸵竽康模罕緦?shí)驗(yàn)的目的是使學(xué)生通過對基于誤用檢測的網(wǎng)絡(luò)入侵檢測系統(tǒng)開放源碼snort軟件的使用，掌握snort中常用命令方式，在加深理解snort報(bào)警與日志功能、snort分組協(xié)議分析、snort入侵檢測規(guī)則的基礎(chǔ)上，分析snort網(wǎng)絡(luò)入侵檢測的基本原理。在培養(yǎng)良好的工程素

16、養(yǎng)同時(shí)，為今后工作實(shí)踐中培養(yǎng)能夠運(yùn)用科學(xué)理論和技術(shù)手段分析并解決工程問題的能力。要求：由于snort入侵檢測系統(tǒng)功能強(qiáng)大、命令參數(shù)眾多，在有限時(shí)間內(nèi)不可能對所有命令參數(shù)進(jìn)行實(shí)驗(yàn)。可根據(jù)自己對snort的熟悉程度，從實(shí)驗(yàn)內(nèi)容中選擇部分實(shí)驗(yàn)，但至少應(yīng)完成snort報(bào)警與日志功能測試、ping檢測、tcp connect()掃描檢測實(shí)驗(yàn)內(nèi)容。也容許選擇其他命令參數(shù)或檢測規(guī)則進(jìn)行實(shí)驗(yàn)，命令執(zhí)行后將一條完整的記錄或顯示結(jié)果復(fù)制到實(shí)驗(yàn)報(bào)告中，并對檢測結(jié)果進(jìn)行解釋。請不要復(fù)制重復(fù)的記錄或顯示結(jié)果！二、實(shí)驗(yàn)內(nèi)容和原理1. snort-2_0_0.exe的安裝與配置2. snort報(bào)警與日志功能測試3. 分組協(xié)

17、議分析4. 網(wǎng)絡(luò)入侵檢測三、主要儀器設(shè)備pc四、實(shí)驗(yàn)結(jié)果與分析1. snort-2_0_0.exe的安裝與配置本實(shí)驗(yàn)除安裝snort-2_0_0.exe之外，還要求安裝nmap-4.01-setup.exe網(wǎng)絡(luò)探測和端口掃描軟件。nmap用于掃描實(shí)驗(yàn)合作伙伴的主機(jī)，snort用于檢測實(shí)驗(yàn)合作伙伴對本機(jī)的攻擊。用寫字板打開snortetcsnort.conf文件對snort進(jìn)行配置。將var home_net any中的any配置成本機(jī)所在子網(wǎng)的cidr地址；將規(guī)則路徑變量rule_path定義為e:programsnortrules；將分類配置文件路徑修改為 include e:program

18、snortetcclassification.config；將引用配置文件路徑修改為include e:programsnortetcreference.config。其余使用snort配置文件中的默認(rèn)設(shè)置，這里假設(shè)所有snort命令都在c盤根目錄下執(zhí)行。我的snort在e:program中安裝的，配置以修改完畢，如下圖：2. snort報(bào)警與日志功能測試用寫字板打開e:programsnortruleslocal.rules規(guī)則文件，添加snort報(bào)警與日志功能測試規(guī)則：alert tcp any any - any any (msg:tcp traffic;)。執(zhí)行命令：e:snortbi

19、nsnort -c snortetcsnort.conf -l snortlog -i 2在e:progransnortlog目錄中存在alert.ds3. 分組協(xié)議分析1）tcp/udp/icmp/ip首部信息輸出到屏幕上：e:programsnortbinsnort v -i 2；e: programsnortbinsnort -vd -i 2或e: programsnortbinsnort -v d -i 2；（命令選項(xiàng)可以任意結(jié)合，也可以分開（3）將捕獲的首部信息記錄到指定的snortlog目錄，在log目錄下將自動(dòng)生成以主機(jī)ip地址命名的目錄；e:programsnortbinsnort -v -l snortlog -i 2；（4）采用tcpdump二進(jìn)制格式將捕獲的首部信息和應(yīng)用數(shù)據(jù)記錄到指定