第一篇:网络安全实验报告
实验一:网络扫描实验
【实验目的】
了解扫描的基本原理,掌握基本方法,最终巩固主机安全
【实验内容】
1、学习使用Nmap的使用方法
2、学习使用漏洞扫描工具
【实验环境】
1、硬件 PC机一台。
2、系统配置:操作系统windows XP以上。
【实验步骤】
1、端口扫描
1)解压并安装ipscan15.zip,扫描本局域网内的主机 2)解压nmap-4.00-win32.zip,安装WinPcap
运行cmd.exe,熟悉nmap命令(详见“Nmap详解.mht”)。3)试图做以下扫描:
扫描局域网内存活主机,扫描某一台主机或某一个网段的开放端口 扫描目标主机的操作系统
试图使用Nmap的其他扫描方式,伪源地址、隐蔽扫描等
2、漏洞扫描
解压X-Scan-v3.3-cn.rar,运行程序xscan_gui.exe,将所有模块选择扫描,扫描本机,或局域网内某一台主机的漏洞
【实验背景知识】
1、扫描及漏洞扫描原理见
第四章黑客攻击技术.ppt
2、NMAP使用方法
扫描器是帮助你了解自己系统的绝佳助手。象Windows 2K/XP这样复杂的操作系统支持应用软件打开数百个端口与其他客户程序或服务器通信,端口扫描是检测服务器上运行了哪些服务和应用、向Internet或其他网络开放了哪些联系通道的一种办法,不仅速度快,而且效果也很不错。
Nmap被开发用于允许系统管理员察看一个大的网络系统有哪些主机以及其上运行何种服务。它支持多种协议的扫描如UDP,TCP connect(),TCP SYN(half open), ftp proxy(bounce attack),Reverse-ident, ICMP(ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep,1 和Null扫描。可以从SCAN TYPES一节中察看相关细节。Nmap还提供一些实用功能如通过tcp/ip来甄别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的PING侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择以及端口的描述。
1)安装Nmap
Nmap要用到一个称为―Windows包捕获库‖的驱动程序WinPcap——如果你经常从网上下载流媒体电影,可能已经熟悉这个驱动程序——某些流媒体电影的地址是加密的,侦测这些电影的真实地址就要用到WinPcap。WinPcap的作用是帮助调用程序(即这里的Nmap)捕获通过网卡传输的原始数据。WinPcap的最新版本在http://netgroup-serv.polito.it/winpcap,支持XP/2K/Me/9x全系列操作系统,下载得到的是一个执行文件,双击安装,一路确认使用默认设置就可以了,安装好之后需要重新启动。
接下来下载Nmap。下载好之后解开压缩,不需要安装。除了执行文件nmap.exe之外,它还有下列参考文档:
㈠ nmap-os-fingerprints:列出了500多种网络设备和操作系统的堆栈标识信息。
㈡ nmap-protocols:Nmap执行协议扫描的协议清单。
㈢ nmap-rpc:远程过程调用(RPC)服务清单,Nmap用它来确定在特定端口上监听的应用类型。
㈣ nmap-services:一个TCP/UDP服务的清单,Nmap用它来匹配服务名称和端口号。
除了命令行版本之外,www.xiexiebang.com还提供了一个带GUI的Nmap版本。和其他常见的Windows软件一样,GUI版本需要安装,图一就是GUI版Nmap的运行界面。GUI版的功能基本上和命令行版本一样,鉴于许多人更喜欢用命令行版本,本文后面的说明就以命令行版本为主。
图一
2)常用扫描类型
解开Nmap命令行版的压缩包之后,进入Windows的命令控制台,再转到安装Nmap 2 的目录(如果经常要用Nmap,最好把它的路径加入到PATH环境变量)。不带任何命令行参数运行Nmap,Nmap显示出命令语法,如图二所示。
图二
下面是Nmap支持的四种最基本的扫描方式:
⑴ TCP connect()端口扫描(-sT参数)。
⑵ TCP同步(SYN)端口扫描(-sS参数)。
⑶ UDP端口扫描(-sU参数)。
⑷ Ping扫描(-sP参数)。
如果要勾画一个网络的整体情况,Ping扫描和TCP SYN扫描最为实用。Ping扫描通过发送ICMP(Internet Control Message Protocol,Internet控制消息协议)回应请求数据包和TCP应答(Acknowledge,简写ACK)数据包,确定主机的状态,非常适合于检测指定网段内正在运行的主机数量。
TCP SYN扫描一下子不太好理解,但如果将它与TCP connect()扫描比较,就很容易看出这种扫描方式的特点。在TCP connect()扫描中,扫描器利用操作系统本身的系统调用打开一个完整的TCP连接——也就是说,扫描器打开了两个主机之间的完整握手过程(SYN,SYN-ACK,和ACK)。一次完整执行的握手过程表明远程主机端口是打开的。
TCP SYN扫描创建的是半打开的连接,它与TCP connect()扫描的不同之处在于,TCP SYN扫描发送的是复位(RST)标记而不是结束ACK标记(即,SYN,SYN-ACK,或RST):如果远程主机正在监听且端口是打开的,远程主机用SYN-ACK应答,Nmap发送一个RST;如果远程主机的端口是关闭的,它的应答将是RST,此时Nmap转入下一个端口。
图三是一次测试结果,很明显,TCP SYN扫描速度要超过TCP connect()扫描。采用默认计时选项,在LAN环境下扫描一个主机,Ping扫描耗时不到十秒,TCP SYN扫描需要大约十三秒,而TCP connect()扫描耗时最多,需要大约7分钟。
图三
Nmap支持丰富、灵活的命令行参数。例如,如果要扫描192.168.7网络,可以用192.168.7.x/24或192.168.7.0-255的形式指定IP地址范围。指定端口范围使用-p参数,如果不指定要扫描的端口,Nmap默认扫描从1到1024再加上nmap-services列出的端口。
如果要查看Nmap运行的详细过程,只要启用verbose模式,即加上-v参数,或者加上-vv参数获得更加详细的信息。例如,nmap-sS 192.168.7.1-255-p 20,21,53-110,30000--v命令,表示执行一次TCP SYN扫描,启用verbose模式,要扫描的网络是192.168.7,检测20、21、53到110以及30000以上的端口(指定端口清单时中间不要插入空格)。再举一个例子,nmap-sS 192.168.7.1/24-p 80扫描192.168.0子网,查找在80端口监听的服务器(通常是Web服务器)。
有些网络设备,例如路由器和网络打印机,可能禁用或过滤某些端口,禁止对该设备或跨越该设备的扫描。初步侦测网络情况时,-host_timeout<毫秒数>参数很有用,它表示超时时间,例如nmap sS host_timeout 10000 192.168.0.1命令规定超时时间是10000毫秒。
网络设备上被过滤掉的端口一般会大大延长侦测时间,设置超时参数有时可以显著降低扫描网络所需时间。Nmap会显示出哪些网络设备响应超时,这时你就可以对这些设备个别处理,保证大范围网络扫描的整体速度。当然,host_timeout到底可以节省多少扫描时间,最终还是由网络上被过滤的端口数量决定。
Nmap的手册(man文档)详细说明了命令行参数的用法(虽然man文档是针对UNIX版Nmap编写的,但同样提供了Win32版本的说明)。
3)注意事项
也许你对其他端口扫描器比较熟悉,但Nmap绝对值得一试。建议先用Nmap扫描一个熟悉的系统,感觉一下Nmap的基本运行模式,熟悉之后,再将扫描范围扩大到其他系统。首先扫描内部网络看看Nmap报告的结果,然后从一个外部IP地址扫描,注意防火墙、入侵检测系统(IDS)以及其他工具对扫描操作的反应。通常,TCP connect()会引起IDS系统的反应,但IDS不一定会记录俗称―半连接‖的TCP SYN扫描。最好将Nmap扫描网络的报告整理存档,以便随后参考。
如果你打算熟悉和使用Nmap,下面几点经验可能对你有帮助:
㈠ 避免误解。不要随意选择测试Nmap的扫描目标。许多单位把端口扫描视为恶意行为,所以测试Nmap最好在内部网络进行。如有必要,应该告诉同事你正在试验端口扫描,因为扫描可能引发IDS警报以及其他网络问题。
㈡ 关闭不必要的服务。根据Nmap提供的报告(同时考虑网络的安全要求),关闭不必要的服务,或者调整路由器的访问控制规则(ACL),禁用网络开放给外界的某些端口。
㈢ 建立安全基准。在Nmap的帮助下加固网络、搞清楚哪些系统和服务可能受到攻击之后,下一步是从这些已知的系统和服务出发建立一个安全基准,以后如果要启用新的服务或者服务器,就可以方便地根据这个安全基准执行。
【实验报告】
一、说明程序设计原理。
1.TCP connect扫描
利用TCP连接机制,通过系统提供的connect()调用,可以用来与任何一个感兴趣的目标计算机的端口进行连接。如果目标端口开放,则会响应扫描主机的ACK连接请求并建立连接,如果目标端口处于关闭状态,则目标主机会向扫描主机发送RST的响应。
2.TCP SYN扫描
扫描程序发送一个SYN数据包,好像准备打开一个实际的连接并等待反应一样。一个SYN/ACK的返回信息表示端口处于侦听状态,一个RST返回,表示端口没有处于侦听状态。
3.UDP端口扫描
扫描主机向一个未打开的UDP端口发送一个数据包时,会返回一个ICMP_PORT_UNREACH错误,通过这个就能判断哪个端口是关闭的。
4.Ping扫描
扫描程序向目标主机发送一个ICMP回声请求报文,若主机存活,则会返回一个ICMP的回声应答报文。可以判断主机的存活性。
二、提交运行测试结果。
1.TCP connec扫描结果显示
2.TCP SYN扫描结果显示
3.Ping扫描结果显示
实验二:计算机病毒及恶意代码
【实验目的】
练习木马程序安装和攻击过程,了解木马攻击原理,掌握手工查杀木马的基本方法,提高自己的安全意识。
【实验内容】
安装木马程序NetBus,通过冰刃iceberg、autoruns.exe了解木马的加载及隐藏技术
【实验步骤】
1、木马安装和使用
1)在菜单运行中输入cmd打开dos命令编辑器 2)安装netbus软件
3)在DOS命令窗口启动进程并设置密码
4)打开木马程序,连接别人主机
5)控制本地电脑打开学院网页
6)查看自己主机
7)查看任务管理器进程 移除木马控制程序进程
查看任务管理器(注意:Patch.exe进程已经关闭)
2、木马防御实验
在木马安装过程可以运行一下软件查看主机信息变化:
1)使用autoruns.exe软件,查看windows程序启动程序的位置,了解木马的自动加载技术。如自动运行进程(下图所示)、IE浏览器调运插件、任务计划等:
2)查看当前运行的进程,windows提供的任务管理器可以查看当前运行的进程,但其提供的信息不全面。利用第三方软件可以更清楚地了解当前运行进程的信息。这里procexp.exe为例
启动procexp.exe程序,查看当前运行进程所在位置,如图所示:
3)木马综合查杀练习
使用冰刃IceSword查看木马可能修改的位置: 主要进行以下练习:
1)查看当前通信进程开放的端口。
木马攻击
2)查看当前启动的服务
3)练习其他功能,如强制删除其他文件,SPI、内核模块等。
【背景知识】
NetBus由两部分组成:客户端程序(netbus.exe)和服务器端程序(通常文件名为:patch.exe)。要想―控制‖远程机器,必须先将服务器端程序安装到远程机器上--这一般是通过远程机器的主人无意中运行了带有NetBus的所谓特洛伊木马程序后完成的。
NetBus服务器端程序是放在Windows的系统目录中的,它会在Windows启动时自动启动。该程序的文件名是patch.exe,如果该程序通过一个名为whackamole.exe的游戏安装潜伏的话,文件名应为explore.exe(注意:不是explorer.exe!)或者简单地叫game.exe。同时,你可以检查Windows系统注册表,NetBus会在下面路径中加入其 自身的启动项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun NetBus通过该注册项实现Windows启动时的自动启动。但如果你按Ctrl+Alt+Del,在任务列表中是看不到它的存在的。正确的去除方法如下:
1、运行regedit.exe;
2、找到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun;
3、将patch项删除(或者explore项);
4、重新启动机器后删除Windows系统目录下的patch.exe(或者explore.exe)即可。
【实验原理】
1、分析木马传播、自启动、及隐藏的原理。
木马常用的隐藏技术: 3.1合并端口法
使用特殊的手段,在一个端口上同时绑定两个TCP 或者UDP 连接(比如80 端口的HTTP),以达到隐藏端口的目的。
3.2修改ICMP 头法
根据ICMP 协议进行数据的发送,原理是修改ICMP 头的构造,加入木马的控制字段。这样的木马具备很多新特点,如不占用端口、使用户难以发觉等。同时,使用ICMP 协议可以穿透一些防火墙,从而增加了防范的难度。
木马常用的自启动技术:
为了达到长期控制目标主机的目的,当主机重启之后必须让木马程序再次运行,这样就需要木马具有一定的自启动能力。下面介绍几种常见的方法。
3.3加载程序到启动组
我们需要关注“开始” 菜单中的启动项,对应的文件夹是c:Documents and Settings 用户名「开始」菜单 程序 启动。
3.4在注册表中加载自启动项
下面仅列举几个木马常用的自启动注册表项:
3.4.1 Run 注册表项
Run 是木马常用的自启动注册表项,位置在:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
3.4.2RunOnce 注册表项
RunOnce 也是木马常用的自启动注册表项,位置在:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurerntVersionRunOnce HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce 在Windows XP 系统中还有:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx 此外,木马的自启动注册表项还有RunServices 注册表项、RunServicesOnce 注册表项、Winlogon 注册表项、Load 注册表项等。
3.5修改文件关联
以文本文件的“文件关联”为例,正常情况下,其对应的注册表项和项值分别为:HKEY_CLASSES_ROOTtxtfileshellopencommand与%SystemRoot%system32NOTEPAD.EXE%1但是某些木马在安装阶段将项值改为“木马程序路径 木马程序名称%l”的形式,这样,当用户打开任何一个文本文件时,就启动了木 马程序。
实验三:防火墙实验
【实验目的】
掌握个人防火墙的使用及规则的设置
【实验内容】
防火墙设置,规则的设置,检验防火墙的使用。
【实验环境】
1、硬件 PC机一台。
2、系统配置:操作系统windows XP以上。
【实验步骤】
(有两种可选方式,1、以天网防火墙为例,学习防火墙的规则设置,2、通过winroute防火墙学习使用规则设置,两者均需安装虚拟机)
1、虚拟机安装与配置
验证virtual PC是否安装在xp操作系统之上,如果没有安装,从获取相关软件并安装; 从教师机上获取windows 2000虚拟机硬盘
2、包过滤防火墙winroute配置(可选)
1)从教师机上获取winroute安装软件并放置在windows 2000上安装 2)安装默认方式进行安装,并按提示重启系统 3)登陆虚拟机,打开winroute 以管理员的身份登录,打开开始>WinRoute Pro>WinRoute Administration,输入IP地址或计算机名,以及WinRoute管理员帐号(默认为Admin)、密码(默认为空)
4)打开菜单
Setting>Advanced>Packet Filter 5)在Packet Filter对话框中,选中Any interface并展开 双击No Rule图标,打开Add Item对话框
在Protocol下拉列表框中选择ICMP,开始编辑规则
配置Destination:type为Host,IP Address为192.168.1.1(x为座位号)6)在ICMP Types中,选中All复选项 在Action区域,选择Drop项
在Log Packet区域选中Log into Window 其他各项均保持默认值,单击OK 单击OK,返回主窗口
7)合作伙伴间ping对方IP,应该没有任何响应
打开菜单View>Logs>Security Log ,详细查看日志记录
禁用或删除规则
8)用WinRoute控制某个特定主机的访问(选作)
要求学生在虚拟机安装ftp服务器。
a)打开WinRoute,打开菜单Settings>Advanced>Packet Filter选择,Outgoing标签 b)选择Any Interface并展开,双击No Rule,然后选择TCP协议
c)配置Destination 框:type为 Host,IP Address为192.168.1.2(2为合作伙伴座位号)d、在Source框中:端口范围选择Greater than(>),然后输入1024 e 以21端口作为 Destination Port值 f)在Action区域,选择Deny选项 g)选择Log into window选项 h)应用以上设置,返回主窗口
i)合作伙伴间互相建立到对方的FTP连接,观察失败信息 j)禁用或删除FTP过滤
3、三、包过滤天网防火墙配置(可选)
1)安装
解压,单击安装文件SkynetPFW_Retail_Release_v2.77_Build1228.EXE 安装按缺省的设置安装,注:破解
A)将两个文件[Cr-PFW.exe]和[PFW.bak]一起复制到软件安装目录中
B)运行破解补丁[Cr-PFW.exe],覆盖原主程序即可 2)熟悉防火墙规则
启动防火墙并‖单击自定义规则‖如图
熟悉规则的设置:
双击如下选项:
“允许自己用ping命令探测其他机器 “防止别人用ping命令探测”
“禁止互联网上的机器使用我的共享资源” “防止互联网上的机器探测机器名称”等选项,熟悉其中的IP地址、方向,协议类型、端口号、控制位等项的设置。试总结规则设置的顺序,3)增加设置防火墙规则
开放部分自己需要的端口。下图为对话框,各部分说明:
A)新建IP规则的说明部分,可以取有代表性的名字,如―打开BT6881-6889端口‖,说明详细点也可以。还有数据包方向的选择,分为接收,发送,接收和发送三种,可以根据具体情况决定。
B)就是对方IP地址,分为任何地址,局域网内地址,指定地址,指定网络地址四种。
C)IP规则使用的各种协议,有IP,TCP,UDP,ICMP,IGMP五种协议,可以根据具体情况选用并设置,如开放IP地址的是IP协议,QQ使用的是UDP协议等。D)比较关键,就是决定你设置上面规则是允许还是拒绝,在满足条件时是通行还是拦截还是继续下一规则,要不要记录,具体看后面的实例。
试设置如下规则:
A)禁止局域网的某一台主机和自己通信通信 B)禁止任何大于1023的目标端口于本机连接,C)允许任何新来的TCP与主机192.168.0.1的SMTP连接 4)查看各个程序使用及监听端口的情况
可以查看什么程序使用了端口,使用哪个端口,是不是有可疑程序在使用网络资源,如木马程序,然后可以根据要求再自定义IP规则里封了某些端口以及禁止某些IP访问自己的机子等等。
【实验原理】
1、说明包过滤放火墙的工作原理。
包过滤是所有防火墙中最核心的功能,与代理服务器相比,其优势是传输信息是时不占用网络带宽。包过滤防火墙根据一组过滤规则集,逐个检查IP数据包,确定是否允许该数据包通过。
包过滤防火墙使用的过滤方法可分为:
1.简单包过滤技术
简单包过滤技术在检查数据包报头时,只是根据定以好的过滤规则集来检查所有进出防火墙的数据包报头信息,并根据检查结果允许或拒绝数据包,并不关心服务器和客户机之间的连接状态。
2.状态检测包过滤技术
状态检测包过滤防火墙除了有一个过滤规则集外,还要跟踪通过自身的每一个连接,提取有关的通信和应用程序的状态信息,构成当前连接的状态列表。该列表中至少包括源和目的IP地址、源和目的端口号、TCP序列号信息,以及与该特定会话相关的每条TCP/UDP连接的附加标记。
实验四:入侵检测系统安装和使用
【实验目的】
通过安装并运行一个snort系统,了解入侵检测系统的作用和功能
【实验内容】
安装并配置appahe,安装并配置MySQL,安装并配置snort;服务器端安装配置php脚本,通过IE浏览器访问IDS
【实验环境】
硬件 PC机一台。
系统配置:操作系统windows XP以上。
【实验步骤】
1、安装appache服务器
安装的时候注意,本机的80 端口是否被占用,如果被占用则关闭占用端口的程序。选择定制安装,安装路径修改为c:apache 安装程序会自动建立c:apache2 目录,继续以完成安装。
添加Apache 对PHP 的支持
1)解压缩php-5.2.6-Win32.zip至c:php 2)拷贝php5ts.dll文件到%systemroot%system32
3)拷贝php.ini-dist(修改文件名)至%systemroot%php.ini 修改php.ini
extension=php_gd2.dll
extension=php_mysql.dll
同时拷贝c:phpextension下的php_gd2.dll与php_mysql.dll 至%systemroot%
4)添加gd库的支持在C:apacheApache2confhttpd.conf中添加: LoadModule php5_module “c:/php5/php5apache2.dll”
AddType application这一行下面加入下面两行:
AddType application/x-httpd-php.php.phtml.php3.php4 AddType application/x-httpd-php-source.phps
5)添加好后,保存http.conf文件,并重新启动apache服务器。现在可以测试php脚本:
在c:apache2htdocs 目录下新建test.php
test.php 文件内容:
〈?phpinfo();?〉
使用http://localhost/test.php 测试php 是否安装成功
2、安装配置snort
安装程序WinPcap_4_0_2.exe;缺省安装即可 安装Snort_2_8_1_Installer.exe;缺省安装即可
将snortrules-snapshot-CURRENT目录下的所有文件复制(全选)到c:snort目录下。将文件压缩包中的snort.conf覆盖C:Snortetcsnort.conf
3、安装MySql配置mysql
解压mysql-5.0.51b-win32.zip,并安装。采取默认安装,注意设置root帐号和其密码 J检查是否已经启动mysql服务 在安装目录下运行命令:(一般为c:mysqlbin)mysql-u root –p 输入刚才设置的root密码
运行以下命令
c:>mysql-D mysql-u root-p < c:snort_mysql(需要将snort_mysql复制到c盘下,当然也可以复制到其他目录)运行以下命令:
c:mysqlbinmysql-D snort-u root-p < c:snortschemascreate_mysql
c:mysqlbinmysql-D snort_archive-u root-p < c:snortschemascreate_mysql
4、安装其他工具
1)安装adodb,解压缩adodb497.zip到c:phpadodb 目录下
2)安装jpgrapg 库,解压缩jpgraph-1.22.1.tar.gz到c:phpjpgraph,并且修改C:phpjpgraphsrcjpgraph.php,添加如下一行: DEFINE(“CACHE_DIR”,“/tmp/jpgraph_cache/”);
3)安装acid,解压缩acid-0.9.6b23.tar.gz 到c:apachehtdocsacid 目录下,并将C:Apachehtdocsacidacid_conf.php文件的如下各行内容修改为: $DBlib_path = “c:phpadodb”;$alert_dbname = “snort”;$alert_host = “localhost”;$alert_port = “3306”;$alert_user = “acid”;
$alert_password = “acid”;
$archive_dbname = “snort_archive”;$archive_host = “localhost”;$archive_port = “3306”;$archive_user = “acid”;
$archive_password = “acid”;
$ChartLib_path = “c:phpjpgraphsrc”;
4)、通过浏览器访问http:/127.0.0.1/acid/acid_db_setup.php,在打开页面中点取―Create ACID AG‖按钮,让系统自动在mysql中建立acid 运行必须的数据库
5、启动snort 测试snort是否正常:
c:>snort-dev,能看到一只正在奔跑的小猪证明工作正常 查看本地网络适配器编号: c:>snort-W 正式启动snort;
snort-c “c:snortetcsnort.conf”-i 2-l “c:snortlogs”-deX(注意其中-i 后的参数为网卡编号,由snort –W 察看得知)这时通过http://localhost/acid/acid_main.php 可以察看入侵检测的结果
4)利用扫描实验的要求扫描局域网,查看检测的结果
【实验原理】
1、简单分析网络入侵检测snort的分析原理
1、..入侵检测系统简介
..入侵检测系统通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
2、..入侵检测系统的分类
..入侵检测系统可分为主机型和网络型..主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。
..网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式(promiscmode),监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。
3、..入侵检测的实现技术..可分为两类:一种基于标志(signature-based),另一种基于异常情况(anomaly-based)。..对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是
否在所收集到的数据中出现。此方法非常类似杀毒软件。
..而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等,然后将系统运行时的
数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。
4、..Snort
..Snort是一个免费的、跨平台的软件包,用作监视小型TCP/IP网的嗅探器、日志记录、侵入探测器。
..Snort有三种主要模式:信息包嗅探器、信息包记录器或成熟的侵入探测系统。..实验中涉及较多mysql数据库服务器以及Snort规则的配置。其中mysql数据库的配置要在Windows命令行方式下进行。默认的用户 名为root,无密码。连接命令如下:
mysql–h 主机地址–u 用户名–p 用户密码
可通过数据库管理命令创建、使用、删除数据库,以及创建、使用、删除表。
..Snort的配置及使用也需在Windows命令行中进行。要启动snort需要指定配置文件和日志文件;配置文件包含了监测规则、内外网IP 范围等。
5.Appach启动动命令:
apache-k install | apache-k start
第二篇:网络安全实验报告(定稿)
长江大学
网络安全实验报告
实验名称:利用PGP实施非对称加密 院 系: 国际教育学院 班 级: 计专71301 学生姓名: 学 号:
指导老师: 黄艳娟 时 间:
一、实验目的及要求
1、实验目的
1)掌握保护文件在通过互联网传输时不被其它人看到,即对机密性保护方法;
2)能对保护文件在通过互联网传输时的不被修改或破坏,即提供完整性保护方法;
3)接收者能确认出发送此文件的人是谁,即为源认证提供保护; 4)能合理选用加密算法,区分对称与非对称加密。了解不同加密算法的应用场合。
2、实验要求
1)对两种加密算法的理解、分析与对比,能对两种加密算法的综合运用提出自己的观点。学会数据的机密性、完整性与源认证进行保护方法;2)能利用PGP软件,生成密钥对,并能导入导出公钥,正确对文档进行加密与签名处理,实现对数据的机密性、完整性与源认证进行保护;3)对文档加密与签名的安全防护措施有效并符合标准与规范;4)能够采用正确的方法对加密措施进行检查,并能说明查验过程中的各步骤理论依据。
二、实验设备(环境)及要求
1、系统:Windows 10 x64
2、加密软件:PGP
三、实验内容
加密是指将数据进行编码,使它成为一种按常规不可理解的形式,这种不可理解的内容叫密文。解密是加密的逆过程,即将密文还原成原来可理解的形式。
数据加密技术的关键元素包括加密算法和密钥。加密算法是一组打乱和恢复数据的指令集或一个数学公式。密钥则是算法中的可变参数。
对同样的明文,可使用不同的加密算法。即使使用相同的加密算法,如果使用的密钥不同也会得出不同的密文。
四、实验步骤
1、安装 PGP 选择英语。
同意,下一步。
等待安装。
重启计算机,yes。
2、创建新密钥
打开PGP后,file-新建PGP密钥。
下一步
3、加密文字内容
选中加密内容,复制。
选中加密内容后,右键右下方任务栏PGP的图标,选择如图。
粘贴如图,加密后内容。
4、签名文字内容
选中要签名的内容,复制。
复制后,右键电脑右下角任务栏PGP图标,操作如图。
粘贴结果,如图
五、实验结果及分析
实验结果:使用PGP成功加密和签名了所选文本。成功的进行了解密与验证,并成功的检验了它的有效性。
实验分析:对称密钥加密体制的优点是加密处理简单,加密解密速度快。通常算法的特点决定对称加密比非对称加密算法要简单,在硬件加密的实现上也较容易,成本也较低。例如思科的VPN集中器低端产品采用的是软件加密,但对大用户需求的网络中,要采用基于硬件加密设计的高端思科的VPN集中器产品。缺点是密钥管理困难。举例说明:如果有N个人,要想两两间进行加密通信,则每一方至少要有保管N-1个密钥。当然数量上的差别并不是主要的,最重要的是密钥的维护与管理上。
非对称密钥加密体制的优点是解决了密钥管理问题,通过特有的密钥发放体制,使得当用户数大幅度增加时,密钥也不会向外扩散;由于密钥已事先分配,不需要在通信过程中传输密钥,安全性大大提高;具有很高的加密强度。缺点是加密、解密的速度慢。
第三篇:网络安全实验报告
中南大学
网络安全 实验报告
学生姓名 学 院 信息科学与工程学院 专业班级 完成时间
《网络安全》实验
目录
1.实验1:CA证书与SSL连接..................................................................................3 1.1 应用场景.........................................................................................................3 1.2 实验目标.........................................................................................................3 1.3 实验过程.........................................................................................................3 2.实验2.1 :配置和管理主机防火墙.......................................................................18 2.1 应用场景.......................................................................................................18 2.2 实验目标.......................................................................................................18 2.3 实验过程.......................................................................................................19 3.实验2.2 :综合扫描实验.......................................................................................27 3.1 应用场景.......................................................................................................27 3.2 实验目标.......................................................................................................27 3.3 实验过程.......................................................................................................28 4.实验4 :WIFI钓鱼................................................................................................36 4.1 应用场景.......................................................................................................36 4.2 实验目标.......................................................................................................36 4.3 实验过程.......................................................................................................36 5.实验5 :网络ARP攻击........................................................................................39 5.1 应用场景.......................................................................................................39 5.2 实验目标.......................................................................................................40 5.3 实验过程.......................................................................................................40 6.总结.........................................................................................................................46
《网络安全》实验
网络安全
1.实验1:CA证书与SSL连接
1.1 应用场景
在访问Web 站点时,如果没有较强的安全措施,用户访问的数据是可以使用网络工具捕获并分析出来的。在Web 站点的身份验证中,有一种基本身份验证,要求用户访问输入用户名和密码时,是以明文形式发送密码的,蓄意破坏安全性的人可以使用协议分析程序破译出用户名和密码。那我们该如果避免呢?可利用SSL 通信协议,在Web 服务器上启用安全通道以实现高安全性。
SSL 协议位于TCP/IP 协议与各种应用层协议之间,为数据通讯提供安全支持。SSL 协议可分为两层: SSL 记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL 握手协议(SSL Handshake Protocol):它建立在SSL 记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。每一个Windows Server 2003 证书颁发机构都有可供用户和管理员使用的网页。
1.2 实验目标
(1)掌握在Windows Server 2003 下独立根CA 的安装和使用;(2)使用WEB 方式申请证书和安装证书;(3)建立SSL 网站;
(4)分析SSL 网站的数据包特点。
1.3 实验过程
环境配置:
按照实验指导书上所示配置实验拓扑图。
《网络安全》实验
任务一:windows server 2003 环境下独立根CA 的安装及使用
1、启动Windows Server 2003 和Windows XP,配置其IP,使其在同一局域网网段;
《网络安全》实验
2、在Windows Server 2003 中,选择【开始】|【控制面板】|【添加和删除程序】,在弹出窗口中选择【添加和删除windows 组件】,在【组件】列表框中选择【证书服务】,再单击【下一步】按钮,如下图所示。
3、在弹出的窗口中选择【独立根CA】单选按钮,单击【下一步】按钮,在弹出窗口中按要求依次填入CA 所要求的信息,单击【下一步】按钮,如下图所示。
《网络安全》实验
4、继续选择【证书数据库】、【数据库日志】和配置信息的安装、存放路径,如下图所示,单击【下一步】按钮。安装的时候,可能会弹出如下窗口,为了实验方便,已经把I386 文件夹复制到C:下,选择【浏览】,选择文件夹“C:I386”,点【确定】,完成安装。
《网络安全》实验
5、选择【开始】|【程序】|【管理工具】,可以找到【证书颁发机构】,说明CA 的安装已经完成,如下图所示。
6、从同一局域网中的另外一台XP 开启IE 浏览器,输入http://windows2003 的IP/certsrv/,选中【申请一个证书】,如下图所示,在弹出的页面中选择【web 浏览器证书】。
7、在弹出窗口中填写用户的身份信息,完成后进行【提交】。此种情况下,IE 浏览器采用默认的加密算法生成公钥对,私钥保存在本地计算机中,公钥和用户身份信息按照标准的格式发给CA 服务器,如图所示,单击【是】,进入下一步。CA 服务器响应后,弹出证书申请成功页面,如下图所示。
《网络安全》实验
8、在根CA 所在的计算机上,选择【开始】|【程序】|【管理工具】|【证书颁发机构】,上面申请的证书便会出现在窗口右边,选择证书单击右键,选择【所有任务】|【颁发】,进行证书颁发,如下图所示。证书颁发后将从【挂起的申请】文件夹转入【颁发的证书】文件夹中,表示证书颁发完成。
9、在申请证书的计算机上打开IE,输入http://windows2003 的IP/certsrv/,进入证书申请页面,选择【查看挂起的证书申请状态】,弹出的页面中选择一个已经提交的证书申请,如下图所示。选择安装此证书。
《网络安全》实验
10、现在验证此CA 系统颁发的新证书是否可信,为此需要安装CA 系统的根证书,进入证书申请主页面,选择当前的CA 证书进行下载,并保存到合适路径,如下图所示。
11、下载完毕之后,在证书的保存目录中查看证书信息,单击【安装证书】按钮,进入证书导入向导,按照默认的配置完成证书的导入,导入成功后,单击【确定】按钮,之后完成。
《网络安全》实验
任务二:基于Web 的SSL 连接设置
1、在XP 中,左下角【开始】,打开【Wireshark】,并点击开始抓包的按钮。打开IE 浏览器,输入网址http://windows2003 的IP/?id=1(比如:http://192.168.1.130/?id=1),然后保存Wireshark的抓包结果1。
2、选择【开始】|【程序】|【管理工具】|【IIS(Internet 信息服务)管理器】,在弹出窗口右键单击【默认网站】,弹出的快捷菜单中选择【属性】选项,如下图所示。
3、在弹出窗口内选择【目录安全性】标签,单击【安全通信】中的【服务器证书】按钮,如下图所示。
《网络安全》实验
4、弹出【IIS 证书向导】窗口,选中【新建证书】复选项,一直单击【下一步】按钮,输入自定义的名称,如下图所示。填写相应的信息后,单击【下一步】按钮。
5、弹出【请求文件摘要】窗口,确认后单击【下一步】按钮,接着单击【完成】按钮,完成服务器端证书配置,如下图所示。
《网络安全》实验
6、打开IE 浏览器(windows2003 中的),进入证书申请主界面,如下图所示。
7、在出现的网页中选择【高级证书申请】,如图所示,在出现的网页中单击
《网络安全》实验
8、回到首页,选择【查看挂起的证书申请状态】,弹出的页面中选择一个已经提交的证书申请,如下图所示。选择【Base 64 编码】,点击【下载证书】,【保存】certnew.cer 文件到桌面。
《网络安全》实验
9、选择【开始】|【程序】|【管理工具】|【IIS(Internet 信息服务)管理器】,在弹出窗口右键单击【默认网站】,弹出的快捷菜单中选择【属性】选项,在弹出窗口内选择【目录安全性】标签,选择【服务器证书】,选择【下一步】,【处理挂起的请求并安装证书】选择【下一步】,【浏览】选择刚才保存的certnew.cer 文件,如下图所示。【下一步】【下一步】【完成】。
10、还是在【目录安全性】下,选择【安全通信】下的【编辑】,在下如图所示的弹出窗口中选中【要求安全通道(SSL)】复选项,并在【客户端证书】栏中选中【接受客户端证书】复选项,再单击【确定】按钮。返回【目录安全性】面板,单击【应用】按钮及【确定】按钮,完成配置。
《网络安全》实验
11、在XP 系统打开浏览器,输入服务器IP 地址,进入证书申请主页面,此时会显示错误信息页面,要求采用https 的方式连接服务器,如图所示。
12、把http 改成https 继续访问,此时浏览器提示你要安装证书,安装完证书后,就可以正常使用了。
《网络安全》实验、再次打开Wireshark,并点击开始抓包的按钮。打开IE 浏览器,输入网址https://windows2003 的IP/?id=1(比如:https://192.168.1.130/?id=1),然后
《网络安全》实验
保存Wireshark 的抓包结果2。
14、分析比较抓包结果1 和抓包结果2 中,对IP/?id=1 请求处理的差异。
《网络安全》实验
2.实验2.1 :配置和管理主机防火墙
2.1 应用场景
对于 Internet 上的系统,不管是什么情况首先我们要明确一点:网络安全是不安全的。因此,虽然创建一个防火墙并不能保证系统 因此,虽然创建一个防火墙并不能保证系统 因此,虽然创建一个防火墙并不能保证系统100% 安全,但却是绝对必要的。和社会上其它任何事物一样,Internet经常会受到一些无聊的或者别有用心的人的干扰,防火墙目的就是将这类人挡在你的网络之外,同时使你仍然可以完成自己工作。
那么构筑怎样的Linux 防火墙系统才算是足够安全呢?这一个很难回答的问题,因为不同的应用环境对安全要求不一样。用一句比较恰当而且简单话来回答这个问题:用户了解自己的Linux系统和设置,并且可以很好地保护自己的数据机密文件安全系统和设置,并且可以很好地保护自己的数据和机密文件的安全,这对于该计算机用户来说就可以称之为他的有足够的安全性。
那么到底什么是防火墙呢?防火墙是一个或一组系统,它在网络之间执行访问控制策略。实现防火墙的实际方式各不相同,但是在原则上,防火墙可以被认为是这样一对机制:一种机制是阻拦传输流通行,另一种机制是允许传输流通过。一些防火墙偏重阻拦传输流的通行,而另一些防火墙则偏重允许传输流通过。了解有关防火墙的最重要的概念就是它实现了一种访问控制策略。
一般来说,防火墙在配置上是防止来自“外部”世界未经授权的交互式登录的。这大大有助于防止破坏者登录到你网络中的计算机上。一些设计更为精巧的防火墙可以防止来自外部的传输流进入内部,但又允许用户可以自由地与外部通信。如果你切断防火墙的话部的传输流进入内,但又允许用户可以自由地与外通信。如果你切断防火墙的话,它可以保护你免受网络上任何类型的攻击。防火墙另一个非常重要特性是可以提供单独的“拦阻点”,在“拦阻点”上设置安全和审计检查。与算机系统正受到某些人利用调制解器拨入攻击的情况不同,防火墙可以发挥一种有效“电话监听”和跟踪工具的作用。防火墙提供了一种重要的记录和审计功能;它们经常可以向管理员些情况概要,提供有关通过防火墙的传输流的类型和数量,以及有多少次试图闯入防火墙的企图等信息。
因此本实验将介绍如何配置Linux防火墙。
2.2 实验目标
1.掌握linux下基本的 iptables iptables知识; 2.学会配置iptables。
《网络安全》实验
2.3 实验过程
环境配置:
按照实验指导书上所示配置实验拓扑图。
一.Iptables的规则表、链结构
1.规则表(iptables管理 4个不同的规则表,其功能由独立内核模块实现)
filter表:包含三个链INPUT、OUTPUT、FORWARD; nat表:PREROUTING、POSTROTING、OUTPUT; mangle表:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD; raw表:OUTPUT、PREROUTING。2.规则链
INPUT链:当收到访问防火墙本机的数据包(入站)时,应用此链; OUTPUT链:当防火墙本机向外发送数据包(出站)时,应用此链;
FORWARD链 收到需要通过防火墙发送给其他地址的数据包,应用此链; PREROUTING链:做路由选择之前,应用此链;
POSTROUTING链:对数据包做出路由选择之后,应用此链。二.数据包的匹配流程 1.规则表之间的优先级
raw mangle nat filter 2.规则链之间的优先级
入站数据流向:来自外界的包到达防火墙,首先PREROUTING规则链处理(是否被修改地址),之后会进行路由选择(判断该数据包应发往何处),如果数据包的目标地址是防火墙本机,那么内核将其传递给 址是防火墙本机,那么内核将其传递给INPUT链进行处理,通过以后再交给上次的应用程序进行响应。
转发数据流向:来自外界的包到达防火墙后,首先被 PREROUTING规则链处理,之后进行路由选择,如果数据包的目标地址是其他外部地址,则内核将传
《网络安全》实验
递给FPRWARD链进行处理,然后再交给POSTROUTIING规则链(是否修改数据包的地址等)进行处理。
出站数据流向:防火墙本身向外部地址发送包,首先被 OUTPUT规则链处理,之后进行路由选择,然后交给POSTROUTING规则链(是否修改数据包的地址等)进行处 规则链(是否修改数据包的地址等)进行处 规则链(是否修改数据包的地址等)进行处理。
3.规则链内部各防火墙之间的优先顺序
依次按
《网络安全》实验
3.设置规则链的默认策略
# iptables-t filter-P FORWARD DROP //将filter表中FORWARD规则的默认策略设为DROP # iptables-P OUTPUT ACCEPT //将filter表中OUTPUT规则的默认策略设为ACCEPT
《网络安全》实验
四.条件匹配
1.通用(general)条件匹配(直接使用,而不依赖于其他的条件匹配及扩展)协议匹配(允许使用的名包含在/etc/protocols文件中)
# iptables-A INPUT-p icmp-j REJECT //拒绝进入防火墙的所有icmp数据包
地址匹配
拒绝转发来自192.168.1.11主机的数据,允许转发来自192.168.0./24网段的数据 # iptables-A FORWARD-s 192.168.1.11-j REJECT
《网络安全》实验
2.隐含(implicit)条件匹配(需要指定的协议为前提,其对应功能由iptables自动(隐含)的装载入内核),如果无匹配条件,默认为 动REJECT。端口匹配
仅允许系统管理员从 202.13.0.0/16网段使用SSH方式远程登录防火墙主机 # iptables-A INPUT-p tcp--dport 22-s 202.13.0.0/16-j ACCEPT # iptables-A INPUT-p tcp--dport 22-j DROP
《网络安全》实验
五.在进行了上述规则讲解与熟悉后,接下来的步骤进行防火墙规则配置与测试
禁止Windows主机ping防火墙linux主机,但是允许从防火墙上ping其他主机(允许接受ICMP回应数据)
1.配置linux防火墙主机ip地址,如下图所示 :
《网络安全》实验
2.配置windows主机ip地址,如下图所示:
3.配置linux主机防火墙规则,如下图所示:
4.在此在windows主机和linux主机上进行相互ping测试,结果如下图所示:
《网络安全》实验
windows主机无法ping通linux防火墙主机,但是linux主机可以ping通 windows主机。
《网络安全》实验
3.实验2.2 :综合扫描实验
3.1 应用场景
随着计算机网络的普及和发展,人们利用网络可以方便快捷地进行各种信息处理,例如,网上办公、电子商务、分布式数据处理等。但网络也存在不容忽视的问题,例如,用户的数据被篡改、合法用户被冒充、通信被中断等。面临着大量的网络入侵事件,就必须要求在一个开放式的计算机网络物理环境中构造一个封闭的逻辑环境来保障敏感信息和密数据不受到攻击。为此迫切需要对网络安全作分类研究,把各种问题清楚有序地组织起来,从而构建一个合理、安全高效的网络防御体系。
网络安全保护的核心是如何在网络环境下保证数据本身的秘密性、完整与操作的正确性、合法性与不可否认性。而网络攻击的目正相反,其立足于以各种方式通过破坏数据的秘密性和完整性或进行某些非法操作。
网络及其应用的广泛发展,安全威胁呈现出攻击种类、方法和总体数量越来多、破坏性和系统恢复难度也越来大。这就要求我们对攻击方法有更进一步的研究;对安全策略 有更完善的发展,建立起一个全面的、可靠的、高效的安全体系。
漏洞扫描程序对于每个都有自己的探测并以插件形式来调用,用户可根据需要扫描的漏洞来调度相应探测程序。探测程序的来源有两种:首先是提炼漏洞的特征码构造发送数据包,其次是直接采用一些安全站点公布的漏洞试探程序。其本质就是模拟黑客的入侵过程,但是在程度上加以限制,防止侵害到目标主机。可看出要恰好处的控探入侵程度是非常关键并具有较大难度的。因为程度太浅就无法保证探测的准确性,程度太深就会变成黑客入侵工具。有效的探测程序不仅取决于漏洞特征码提炼是否精确而且受到漏洞本身特性的影响。例如对缓冲区溢出漏探测,黑客攻击通常是发送精心构造一串字符串到目标主机没有加以边界判别的缓冲区,作为探测程序,为了模拟这个过程,我们可以同样发送一串很长但没有任何意义的字符串,查看目标主机有没有报错应答。如果有,说明对该缓冲区的边界长度越作出了判断,但是如果没有回应,作为探测程序无法再继续发送精心构造的字符串来查看对方应答,因为这样可能导致入侵的发生。其后处理式一种是认定对方存在这漏洞,一种是交给用户去判断,因为可能尽管目标主机没有报错但是实际上已经进行了处理。
3.2 实验目标
(1)掌握漏洞扫描技术原理;
(2)了解常见的系统漏洞及防范方法;(3)掌握典型的综合扫描工具。
《网络安全》实验
3.3 实验过程
环境配置:
按照实验指导书上所示配置实验拓扑图。
启动虚拟机,并设置虚拟机的IP地址,以综合扫描服务端为目标主机进行攻防试验。个别实验学生可以以2人一组的形式,互为攻击方和被攻击方来做实验。
一. 设置X-Scan 参数。
1.打开综合扫描客户端运行界面进行设置,点击菜单栏“设置”中的参数设置进入参数设置界面如下:
《网络安全》实验
“地址簿”可将预先添加好的各个地址直接加入到ip地址内。
2.全局设置:此模块包含所有性扫描选项。
(1)扫描模块:主要包含一些服务和协议弱口令等信息的扫描,根据字典探测机各种服务的开启情况及相应弱口令,对应到每一项都有相应的说明,如图所示的远程操作系统。
《网络安全》实验
(2)并发扫描:主要是对扫描的并发数量进行设置,包括最大并发主机数、最大并发线程数和各插件最大并发量的设置。
(3)扫描报告:对主机进行扫描完成后的报告生成情况进行设定。
《网络安全》实验
(4)其它设置:主要是对扫描过程中进度的显示和附加一些设置,可根据教学需要进行设置。
3.插件设置:此模块包含各扫描插件的相关设置。
(1)端口相关设置:主要设置想要扫描的各个端口、检测方式和预设的各个服务协议的端口等内容:
《网络安全》实验
(2)SNMP相关设置:主要检测SNMP 的相关信息:
(3)NETBIOS相关设置:主要设置检测NETBIOS的相关信息:
《网络安全》实验
(4)漏洞检测脚本设置:主要是针对于各个漏洞编写的检测脚本进行筛选,选择需要利用的脚本,为方便起见一般设置为全选,也可格局自己需要选择:
(5)CGI相关设置:对CGI的一些参数进行设置:
《网络安全》实验
(6)字典文件设置:主要是对扫描过程中所需用到的进行选取,也可自己手动进行添加数据字典:
二. 进行扫描:
设置完成后点击绿色按钮或菜单中文件->开始扫描进行探测,此的扫描速度
《网络安全》实验
与网络环境情况和本机配置等有关,不尽相同:
1.报告生成:
扫描完成后会根据报告设置中自动生成报告项生成报告:
2.根据探测扫描报告取得的信息进行漏洞测试:
由扫描结果可知,该计算机无漏洞。
采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能。扫描内容包括:远程服务类型、操作系统及版本,各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等。
《网络安全》实验
4.实验4 :WIFI钓鱼
4.1 应用场景
用智能手机上网,手机可以自动搜索到附近的Wi-Fi网络账号,有时甚至有多个账号供选择登录上网,多数WiFi网络账号需要登录密码,而在机场咖啡店等公共场所,WiFi网络一般是不需要密码的,部分商家把免费WiFi网络作为招揽人气的手段,但也给“钓鱼WiFi”窃取账号、密码的机会,无论使用电脑、iPad,还是手机,通过WiFi上网时,只要用户正确操作,黑客都无法获取网银和支付宝。
用户通过手机客户端程序使用手机银行时,通过WAP(为无线应用协议,是一项全球性的网络通信协议)方式与银行系统建立联系,并进行账户查询、转账、缴费付款、消费支付等金融服务。与一般上网方式不同,WAP方式中手机银行的账户信息是经过静态加密处理的,更加安全。
手机银行的认证手段也能有效防范他人冒用账号和密码。认证手段是审查接收数据的人是否为授权用户、数据是否篡改,用来保证数据是真实可靠的,使用者是被授权的。
当通过工商银行进行涉及账户资金变动的操作时,输入账号和密码后,银行会提示输入特定的电子口令,这些方法都能有效杜绝账号被盗后的使用。
个人网上银行则会采用https的加密协议来保障交易安全。当用户在电脑上使用个人网上银行时,页面跳转到账户信息输入,网址栏就由http变为https,而且在最后还多了一只“小挂锁”,这表示只有银行方面才能正确解密。同样的用电脑通过https方式访问个人网上银行时,也有认证手段的保护,例如口令卡和U盾。
4.2 实验目标
了解WiFi钓鱼的步骤,学会防范WiFi钓鱼。
4.3 实验过程
步骤一 共享WIFI
工具:电脑、WIN7 系统、无线网卡 步骤:
1.开始菜单-->命令提示符(cmd)-->右键,以管理员身份运行 2.运行以下命令启用虚拟网卡
netsh wlan set hostednetwork mode=allow ssid=(这里写无线网名字)key=(这里是密码)
《网络安全》实验
3.网络共享中心-->更改高级适配器设置-->右键已连接到Internet 的网络连接-->属性-->切换到“共享”选项卡,选中其中的复选框,并选择允许其共享Internet 的网络连接,这里即我们的虚拟WIFI 网卡
4.开启无线网络,继续在命令提示符中运行以下命令: netsh wlan start hostednetwork 即可开启我们之前设置好的无线网络(相当于打开路由器的无线功能)
步骤二WIFI 钓鱼
工具:其他笔记本或手机、Wareshark 步骤
1.搜索到刚刚设置的WIFI,连接上(密码为刚刚设置的key:12345678)
《网络安全》实验
2.在笔记本上打开wareshark,选择capture-->interfaces
3.选择Packets 最多的项,点击start 按钮
《网络安全》实验
4.在手机或笔记本上打开中南大学邮箱网站:http://mail.csu.edu.cn/,在主机上用wareshark 捕捉http 的包(这里大家可以自由实验,能监控到连接到该WIFI 的机器的所有包的情况)
5.在手机或笔记本上输入用户名和密码,点击登录
6.在主机上用wareshark 捕捉到刚刚post 提交的http 包,右键选择Follow tcp stream 7.可以看到刚刚提交的用户名和密码,且是未经过加密的
5.实验5 :网络ARP攻击
5.1 应用场景
由于局域网的络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址主机上被改变成一个不存在的MAC地址,这样就会造成网络不通,这就是一个简单的ARP欺骗,在该ARP欺骗中,我们实
《网络安全》实验
施的过程包括包捕获,包修改,包植入三个阶段;通过该过程理解ARP欺骗的过程及原理。
5.2 实验目标
(1)能够通过包编辑器构造虚假ARP数据包;(2)能够向目标主机发起ARP欺骗攻击;(3)了解ARP欺骗的原理;
(4)能够根据原理思考并设计实验内容。
5.3 实验过程
环境配置:
按照实验指导书上所示配置实验拓扑图。启动Windows Server 2003为服务器角色 在客户端通过ping命令对服务器ip进行检测 在客户端运行arp-a查看arp缓存,获得服务器的MAC地址
《网络安全》实验 在客户端的C:Program FilesProgramIris中启动Iris,运行DAMN_Iris3809文件生成Iris所需要信息。
《网络安全》实验 在Iris中进行网卡配置。选择左侧的Adapters。在右侧选择要进行捕获的网卡。点击确定。点击Iris左侧的Filters设置过滤器 选择ARP和反向ARP,从而对网络中的ARP数据包进行监听
《网络安全》实验 确定之后点击开始,开始捕获网络中的数据包 禁用服务器端网卡。再启用服务器端网卡,使之产生ARP报文。
会捕获到网卡状态变化引起的arp消息 在其中随意选择右边一个ARP请求的数据包,左侧的包编辑器中打开展开细项。
《网络安全》实验 点击MAC头中的Destination选项,将该数据包MAC头信息中目的MAC改为欲攻击服务器的MAC(服务器MAC地址通过在客户端运行arp –a查看)并且将ARP头部的发送MAC修改为虚假MAC(虚假MAC随意指定,建议改变真MAC的后两位)发送IP与欲攻击的服务器IP一致(这里服务器ip 是10.1.1.90)
《网络安全》实验 目标MAC和目标MAC需要按被攻击的服务器进行设定。目标地址改为被攻击服务端的mac。目标ip改成被攻击服务端ip地址 设定后,将该数据包保存
《网络安全》实验 在网络上连续不断发送此数据包 19 如下图所示选择持续发送。服务端报错,并且该对话框不间断弹出无法正常提供服务。
6.总结
实验课让我对网络安全的认识进一步加深,理论结合实际使我明白了很多课本上学不到的东西,不仅进一步学会了网络安全知识的概念,以及初步掌握了防范和攻击的技能,懂得了软件的运用和原理,为了以后计算机安全方面多了一分经验和能力。积累网络安全实践经验具有非常重要的意义。
我想学习的目的不在于考试获得学分,而是为了获取知识,获取工作技能,为了能适应社会的需求,通过学习保证完成将来的工作。通过本课程,我明白了“细节决定成败”“一份耕耘,一份收获”的道理。
第四篇:网络安全实验报告
络 信 息 安 全》实 验 报 告
学 校:江苏科技大学
专 业:12级计算机科学与技术(中法)导 师:李永忠 学 号: 学员姓名: 2014-6-4
《网
实验一 DES算法应用
一、实验目的
1.学会并实现DES 算法
2.理解对称密码体制的基本思想 3.掌握数据加密和解密的基本过程
二、实验内容
根据DES 加密标准,用C++设计编写符合DES 算法思想的加、解密程序,能够实现
对字符串和数组的加密和解密。
三、实验的原理
美国IBM 公司W.Tuchman 和 C.Meyer 1971-1972 年研制成功。1967 年美国Horst Feistel 提出的理论。美国国家标准局(NBS)1973 年5 月到1974 年8 月两次发布通告,公开征求用于电子
计算机的加密算法。经评选从一大批算法中采纳了IBM 的LUCIFER 方案。DES 算法1975 年3 月公开发表,1977 年1 月15 日由美国国家标准局颁布为联邦数
据加密标准(Data Encryption Standard),于1977 年7 月15 日生效。为二进制编码数据设计的,可以对计算机数据进行密码保护的数学运算。DES 的保密
性仅取决于对密钥的保密,而算法是公开的。64 位明文变换到64 位密文,密钥64 位,实际可用密钥长度为56 位。
运行结果是:
四、思考
1.影响DES密码体制安全的因素主要是密钥的健壮性。
2.DES密码体制中加密算法和解密算法流程相同,区别在于解密使用的子密钥和加密的子密钥相反
实验
二、操作系统安全配置
一. 实验目的
1.熟悉Windows NT/XP/2000系统的安全配置 2.理解可信计算机评价准则
二. 实验内容 1.Windows系统注册表的配置
点击“开始运行”选项,键入“regedit”命令打开注册表编辑器,学习并修改有关网络及安全的一些表项
2.Windows系统的安全服务
a.打开“控制面板管理工具本地安全策略”,查阅并修改有效项目的设置。
b.打开“控制面板管理工具事件查看器”,查阅并理解系统日志,选几例,分析并说明不同类型的事件含义。3.IE浏览器安全设置
打开Internet Explorer菜单栏上的“工具Internet选项”,调整或修改“安全”、“隐私”、“内容”等栏目的设置,分析、观察并验证你的修改。4.Internet 信息服务安全设置
打开“控制面板管理工具Internet 信息服务”,修改有关网络及安全的一些设置,并启动www.xiexiebang.com 遇到错误“无法启动服务,原因可能是已被禁用或与其相关联的设备没有启动。”,试图以参数“”启动服务 wuauserv 以运行服务器: {9B1F122C-2982-4E91-AA8B-E071D54F2A4D}
3.IE浏览器安全设计
打开Internet Explorer菜单栏上的“工具Internet选项”,调整或修改“安全”、“隐私”、“内容”等栏目的设置,分析、观察并验证你的修改。
首先打开internet选项,看安全项:
在这一项中可以设计受信任站点和不信任站点,选项中可以设定,你在上网浏览网页的安全级别,对应的安全级别它可以控制你在网上,获取内容的范围,很多的恶意站点可以用这个种基础的办法来屏蔽,假设将www.xiexiebang.com(202.117.216.94):(The 1657 ports scanned but not shown below are in state: closed)PORT
STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 1025/tcp open NFS-or-IIS 3306/tcp open mysql 5000/tcp open UPnP MAC Address: 00:0A:E6:EC:16:DF(Elitegroup Computer System Co.(EC
Nmap finished: 1 IP address(1 host up)scanned in 0.774 seconds 可见202.117.216.94这台机器的135、139、445、1025、3306、5000端口是开放状态,提供的服务从Service列表中可以读出,而且都是支持TCP协议的。(2)、windump抓包
运行参数为:windump [-aAdDeflnNOpqRStuvxX] [-B size] [-c count] [-C file_size ] [-F file ] [-i interface ] [-r file ] [-s snaplen ] [-T type ] [-w file ] [-E algo:secret ] [ expression ] 实验用windump来监听三次握手,结果如下:
看第二幅图的第五和六行。其中18:07:40.606784表示时间;202.117.216.94为源IP地址,端口1525,就是我自己的这台电脑;202.117.216.148是目的地址,端口23,S2352945221:2352945221(0)表示我的电脑主动发起了一个SYN请求,这是第一步握手,2352945221是请求端的初始序列号;win 16384表示发端通告的窗口大小;mss 1460表示由发端指明的最大报文段长度。这两行所表示的含义是IP地址为202.117.216.94的电脑向IP地址为202.117.216.148的电脑发起一个TCP的连接请求。
然后看第第七和八行,源IP地址为202.117.216.148,而目的IP地址变为202.117.216.94;后面是S2987805145:2987805145(0)ack 2352945222,这是第二步握手,2987805145是服务器端所给的初始序列号,ack 2352945222是确认序号,是对第五行中客户端发起请求的初始序列号加1。该行表示服务器端接受客户端发起的TCP连接请求,并发出自己的初始序列号。
看第九和十行,这是三步握手的最后一步,客户端发送ack 1,表示三步握手已经正常结束,下面就可以传送数据了。
使用了-n的参数,表示源地址和目的地址不采用主机名的形式显示而采用IP地址的形式。
从上图可以看到数据包的头部是DLC层协议的内容:标明了第一个FRAME到达的时间、FRAME的大小、源的数据链路层的号(例如我可以看到我自己的数据链路层号为:000AE6EC16DF,目的主机的数据链路层号为:000A8A99BB80,www.xiexiebang.com)、Ethertype=0800(IP)。
可见IP头部的内容中包含了协议的版本(我们现在用的版本一般都是IPV4)、包总长度为48bytes,源地址的IP(202.117.55.94)、目的端的IP(202.117.1.13)、FRAME的总长度、头校验和(8B88(CORRECT))等内容。
上图是TCP协议的头信息,其中包含了源端口号(1058)、目的端的端口号(80)、初始序列号(4236954999)、下一个希望得到的包的序列号(4236955000)、校验和(Checksum=0654(correct))、标志位Flags=02、数据offset=28bytes等信息。
最后是详细的http协议的内容,其中包含了HTTP版本号(1.1)等信息。
三、实验结论:
扫描网络可以知道别人的一举一动,可以提高自己的安全意识,在以后的学习中更加注意加强安全意识。通过这次实验熟悉了windump操作及sniffer软件的使用,实验最后结果符合要求,达到了这次实验的目的。
实验
四、PGP软件应用
一、实验目的
1.熟悉并掌握PGP软件的使用
2.进一步理解加密与数字签名的过程和作用
二、实验内容
1.GP软件的相关资料:
PGP(Pretty Good Privacy)是一个可以让您的电子邮件(E-Mail)拥有保密功能的程式。藉此您可以将您的邮件加密(Encrypt),除了您希望的人看得到以外,没有其它人可以解读。一旦加密后,讯息看起来是一堆无意义的乱码(Random Characters)。PGP 提供了极强的保护功能,即使是最先进的解码分析技术也无法解读(Decrypt)加密后的文字。2.PGP软件界面:
3.生成钥匙的详细信息:
4.对文件加密:
加密后文件图象:
解密:
5.数字签名
结果:
Validity灯是绿色的,说明已经添加了对我的公钥的信任,并且被签名文件没有被修改。
5.我的公钥:
第五篇:网络安全实验报告
网络安全实验
学生:张守军
实验目的
1、一、:我要搭建网络安全实验环境。
配置良好的实验环境时进行网络安全实验的基础工作。1.VMware虚拟机的安装和配置。
首先在一台计算机上安装一套操作系统,然后安装虚拟软件VMware。分别在虚拟机下安装3套操作系统:Vista ,windows Server 2003 和ubntu 9.04。windows server 2003操作系统主要作为网络安全的攻击对象。虚拟机上操作系统可以通过虚拟网卡和实际主机的操作系统进行通信
2.安装虚拟机的操作系统。
注意的是安装完vista、window server 2003、Ubuntu 9.04后要使用 ping命令来测试主机和虚拟机能否通信。如主机和虚拟机已经连通,这样一个虚拟的网络环境就配置好了。
二、操作系统的安全配置实验
1、操作系统的安全是整个操作系统安全策略的核心,其目的是从系统根源构筑安全防护体系,通过用户和密码管理、共享设置、端口管理和过滤、系统服务管理、本地安全策略、外部工具使用等手段,形成一套有效的系统安全策略。【我认为系统安全不安全,主要是看使用者的使用方法,同样的操作系统不同的人使用会有不同的安全效果。】
2、我以windows操作系统安全配置实验为例。实验目的
1、掌握安全策略设置方法,了解安全策略的制订准则。
2、掌握利用管理工具管理本地用户的方法,了解windows帐户的命名规则和口令要求。
3、掌握windows下审核策略的设置方法,了解审核策略的制订准则。
4、Windows server 2003操作系统环境网络服务和端口的安全管理技术。安全设备及环境
1、windows xp 操作系统。
2、windows server 2003操作系统(虚拟机)实验任务及内容
1、安全策略配置
2、访问计算机的用户、授权用户使用计算机上的那些资源,是否在事件日志中记录用户或组的操作。
3、Windows 用户管理
4、系统安全审核
5、网络服务和端口管理
实验报告:我通过本次实验详细记录了加入本地用户的过程,并且使用该用户登录系统进行权限测试。根据实际需要找出了本系统不需要的服务,把这些服务端口关闭。
分析讨论:了解了各个密码安全策略的主要作用,审核,密码策略和帐户策略的含义,系统审核在系统安全中的作用。
网络侦察
所谓网络侦察就是对网络资源的探测、扫描与监听。网络扫描时一种网络安全攻击技术,目的是利用各种工具对攻击目标的IP地址或地址段的主机查找漏洞。扫描采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查,目标可以使PC、服务器、交换机、路由器和数据库应用等。根据扫描结果向扫描者或管理员提供周密可靠的分析报告。网络监听的目的是截获通信的内容,监听的手段主要是通过嗅探器捕获数据包对协议进行分析。常见的嗅探器除了著名的Sniffer Pro以外,还有一些常用的监听软件,如协议分析器、嗅探经典、密码监听工具和非交换环境局域网的fssniffer等。实验目的:
1)了解网络扫描的原理,掌握使用端口扫描器的技术。2)掌握Windows下口令攻击技术、方法,以及防御措施 3)熟练利用网络扫描工具扫描目标计算机安全漏洞 4)熟练利用网络嗅探工具进行网络监听 实验设备及环境 1)Windows XP操作系统
2)Windows Server 2003操作系统
3)工具软件:L0phtCrack、PortScan、Shed、X-Scan、Sniffer Pro、pswmonitor.实验任务及内容:
本实验的主要内容是利用常见的网络扫描工具、嗅探工具,扫描系统账号、开放端口、共享目录,探测网络系统的安全漏洞。1.网络扫描
(1)系统账号扫描及口令破解
L0phtCrack简称LC,是一款网络管理员必备的工具,可以用来检测Windows NT/2003/XP/UNIX管理员账号密码破解工具。事实证明,简单的或容易遭受破解的管理员密码是最大的安全威胁之一,因为攻击者往往以合法的身份登录计算机系统而不被察觉。L0phtCrack能直接从注册表、文件系统、备份磁盘,或是在网络传输的过程中找到的口令。L0phtCrack卡是破解的第一步是精简操作系统存储加密口令的哈希列表。之后才开始口令的破解,这个过程称为是cracking。它采用以下3中不同的方法来实现。
1)字典攻击。LophtCrack将字典中的词逐个与口令哈希表中的词作比较。当发现匹配的词时,显示结果,即用户口令。LophtCrack自带一个小型词库。如果需要其他字典资源可以从互联网上获得。这种破解方法,使用的字典容量越大,破解效果越好。
2)Hybrid方法。这是建立在字典破解基础上的。现在血多用户选择口令不再单单只是由字母组成的,常会使用诸如“mytest11”或“abcddd!”等添加了符号和数字的字符串作为口令。这类口令复杂了一些,但通过口令过滤器和一些方法,破解也不是很困难,Hybird就能快速地对这类口令进行破解。
3)最后一种也是最有效地方法就是“暴力破解”。现在所谓复杂的口令一般都能被破解,只是时间长短问题,且破解口令时间远远小于管理员设置的口令有效期。使用这种方法也能了解一个口令的安全使用期限。
LophtCrack5的主界面,利用该工具可以对计算机上用户进行账号扫描和破解。
首先选择【Session】--【Import】,选择右边的【Add】,输入虚拟机的IP地址(172.18.25.98),单击【OK】。然后,选择【Session】--【Bein Audit】,开始扫描用户和破解密码。在扫描结果中有Administrator权限的账号YJ和密码1234567,这样就得到了系统的权限。这种方法的缺点是,如果对方用户密码设置比较长而且怪,需要破解很长时间。
(2)开放端口扫描
获得对方开放了那些端口也是扫描的重要内容。使用工具软件PortScan可以到得到对方计算机开放了哪些端口。
对Windows Server 2003系统进行端口扫描,在Scan文本中输入IP地址,单击按钮【START】。
利用网络端口扫描工具软件可以将所有端口的开放情况做一探测,获知对方开放了哪些网络服务,进而对某些服务的漏洞进行攻击。(3)漏洞扫描
漏洞扫描时主动式防御策略的网络扫描,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。X-S惨。3是一款适用于Windows NT/2003/XP/2000系统的常见漏洞扫描软件。该软件采用多线程方式对制定IP地址段进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式。扫描内容包括:远程操作系统类型以及版本;标准端口状态及端口Banner信息;SNMP信息,CGI漏洞,IIS漏洞,RPC漏洞,SSL漏洞;SQL-SERVER、FTP-SERVER、POP3-SERRVER;NT-SERVER弱口令用户,NT服务器NETBIOS信息;注册表信息等。扫描结果保存在/log/目录中,index_*.htm为扫描结果索引文件。1)选择菜单栏设置下的菜单项【扫描模块】。
2)利用X-Scan3.3可以对常用的网络以及系统的漏洞进行全面的扫描,选中复选框后,单击【确定】即可。3)确定要扫描主机的IP地址或者IP地址段。选择菜单栏设置下的菜单项【扫描参数】,若扫描一台主机,在指定IP范围框中输入:172.18.25.97。
4)设置完毕后,进行漏洞扫描,单击工具栏上的图标【开始】,开始对目标主机进行扫描。
结果显示发现了血多系统漏洞,利用这些漏洞可以试试系统入侵。选择【查看】--【扫描报告】,可以看到前面扫描的详细报告。
除了这些扫描工具外,比较著名的工具软件还有:活动主机探测程序QckPing、扫描全才scanlock、扫描经典工具【流光】及其他的一些扫描工具。
2.网络监听
利用监听工具Sniffer Pro进行网络监听。
1)进入Sniffer主界面,捕获数据包之前必须首先设置所要捕获的数据包类型。选择主菜单【Capture】下的【Define Filter】菜单。2)在捕获数据包的过滤器窗口中,选择【Address】选项卡,窗口中需要修改两个地方:在Address下拉列表中,选择数据包的类型为IP,在Station 1下面输入主机的IP地址,主机的IP 地址是172.18.25.99;在与之对应的Station 2下面输入虚拟机的IP 地址,虚拟机的IP地址是172.18.25.98.3)设置完毕后,单击该窗口的【Advanced】选项卡,拖动滚动条找到IP项,将IP和ICMP选中。4)这样的Sniffer的过滤器就设置完毕了。选择菜单栏【Capture】下【start】菜单项,启动捕获数据包;然后,在主机的DOS窗口中ping虚拟机。5)Ping指令执行完毕后,单击工具栏上的【停止并分析】按钮,在出现的窗口选择【Decode】选项卡,可以看到数据包在两台计算机间的传递过程。
实验报告:
1)描述使用网络扫描工具对系统进行系统账号扫描、网络端口扫描、共享目录扫描以及漏洞扫描的过程,分析扫描结果;并分析各自的技术原理和优缺点。
实验5 ARP欺骗攻击
ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。ARP协议并不只发送了ARP请求才接受ARP应答。当计算机接受到ARP应答数据包时,就会对本地的ARP缓存进行更新,将鹰大厦中IP和MAC地址存储在ARP混村中。因此,当局域网中的某台机器B向A发送一个自己伪造的ARP应答,而如果这个应答时B冒充C而伪造的,即IP地址为C的IP,而MAC地址是伪造的,则当A接受到B伪造的ARP应答后,就会更新本地的ARP缓存,这样在A看来C的IP地址没有变,而它的MAC地址已经不是原来的那个了。由于局域网的数据流并不是根据IP地址进行,而是按照MAC地址进行传输的。所以,那个伪造出来的MAC地址在A上呗改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能ping通C!这就是一个简单的ARP欺骗。实验目的:
1)了解欺骗攻击的原理和防范措施
2)理解ARP协议的工作原理,了解ARP欺骗攻击的实现过程。3)掌握利用工具软件实现ARP欺骗的方法 实验设备及环境: 1)Windows XP操作系统
2)Windows Server 2003操作系统 3)工具软件:NefFuke 实验任务及内容:
本实验使用NetFuke实现,并需要Winpap的支持。NetFuke是一款ARP欺骗工具,它的主要功能有:ARP欺骗、支持单向和双向欺骗、支持MAC指定、ICMP欺骗等。1.主机的ARP欺骗
1)首先配置NetFucke。选择【设置】--【嗅探设置】,打开【嗅探设置】对话框,选择网卡,并选择【启用ARP欺骗】和【主动转发】。
2)选择【设置】--【ARP欺骗】,打开【ARP欺骗设置】对话框,在其中设置各项参数
目标IP就是被欺骗主机的IP;来源IP指的就是NetFuke主机所伪装成的主机IP。在双向欺骗模式下,目标IP和来源IP没有区别,它们是通信的双方,被NetFuke主机进行中间人欺骗。中间人IP默认就是NetFuke主机的IP。3)在欺骗开始之前,先在来源主机分别ping目标IP和中间IP,然后通过arp命令获取目标机和中间人的IP地址。4)单击【开始】按钮,这时,程序的左侧将会出现已经设置好的配置信息,并且开始ARP欺骗。在欺骗开始之后,再在来源主机分别ping目标IP和中间IP,然后通过arp命令获取目标机和中间人的IP地址。
5)单击【停止】按钮,然后单击操作菜单中的【回显缓冲区】按钮。这是,程序右侧的列表当中就会显示出NetFuke主机向受骗双方发送的ARP数据包。
2.防范ARP欺骗
对于ARP欺骗攻击,有效地防范方法就是将IP地址与MAC地址进行静态绑定。
(1)将内网主机的IP与MAC地址进行绑定。
先进行静态绑定,然后再查看ARP欺骗的结果。在来源主机的命令行模式下,执行以下命令: 1)arp –d//清空arp缓存表
2)arp –s 172.18.25.98 00-1b-b9-70-40-73//将IP地址与MAC地址绑定 3)arp –a 这时,目标主机的MAC地址将又会变回00-1b-b9-70-40-73,并且状态变为静态。再重新开始一次相同的攻击,观察目标主机的MAC地址是否会再次因为ARP欺骗攻击而改变。
(2)对内网网关的IP与MAC地址进行绑定
1)在命令行下运行“ipconfig/all”命令,获取网关的IP地址;
2)运行“arp –a网关IP”,获取网关的MAC地址; 3)运行“arp –d”“arp –s 网关IP网关MAC”; 4)将第三部中的两个命令编辑保存到一个批处理文件中,文件类型为.bat文件; 5)打开注册表编辑器,找到【HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCirremtVersopmRun】,在其中使用邮件添加“字符串值”,命令后双击该键,在【数值数据】框中添加该bat文件的全路径,就可实现开机时网关IP和网关MAC的自动绑定。
实验报告:
1)利用NetFuke对虚拟机进行ARP欺骗,然后通过Sniffer捕获数据包分析通信过程和ARP的欺骗过程。
在主机上编辑批处理文件,实现开机启动时自动实现IP和MAC的静态绑定,防范ARP欺骗攻击。入侵检测系统的搭建与配置 入侵检测系统是一种对网络传输进行及时监视,在发现可以传输时发出警报或者采取主动反应措施的挽留过安全设施。与其他网络安全设施不同,IDS是一种积极主动的安全防护措施。一个合格的入侵检测系统能大大地简化管理员的工作,保证网络安全运行。目前,IDS发展迅速,已有人宣称IDS可以完全取代防火墙。笨实验主要介绍在Ubuntu平台上,如何部署入侵检测工具OSSEC HIDS来实现入侵检测系统的方法。实验目的:
1)了解入侵检测系统的定义、功能、必要性和局限性 2)了解常见的入侵检测系统
3)掌握利用工具软件搭建和配置入侵检测系统的方法 实验设备及环境:
1)Ubuntu9.04 操作系统 2)Windows XP操作系统 3)OSSEC HIDS入侵检测系统 实验任务及内容:
笨实验通过在Ubuntu平台上部署入侵检测工具OSSEC HIDS来实现入侵检测。OSSEC是一款开源的入侵检测系统,包括了日志分析、全面检测、rook-kit检测。作为一款HIDS,OSSEC应该被安装在一台实施监控的系统中。如果有多台计算机都安装了OSSEC,那么久可以采用客户机/服务器模式来运行。客户机通过客户端程序将数据发回到服务器端进行分析。
OSSEC最大的有事在于它几乎可以运行在任何一种操作系统上,比如Windows、Linux、OpenBSD/FreeNSD以及MacOS。不过运行在Windows上的客户机无法实现root-kit检测,而其他系统上的客户机则没问题。1)首先,暂时获取root权限,在终端运行命令:#sudo su 2)下载最新版本的OSSEC源文件,在终端运行命令:#wget http://www.xiexiebang.comand yes to using my SMTP server;Yes to integrity check daemon;Yes to rootcheck;Active response enabled;Firewall-drop response enabled;No additions to the whitelist。设定好之后,OSSEC的编译就可以顺利进行了。安装脚本会自动检测到Ubuntu并建立正确的初始化脚本,下面测试OSSEC。6)首先建立新的系统用户user2,这个操作可以被立即检测到,打开OSSEC下的报警日志
7)输入错误的密码来测试SSHD检测功能:用su命令从用户yj切换到user1,输入错误的密码,这个操作也立刻检测到,并记录到报警日志去 实验报告:
从主机对虚拟机进行开放端口扫描的结果,观察OSSEC HIDS系统的反应,并做记录。
实验6 防火墙的安装与配置
防火墙是设置在呗保护网络与外部网络之间的一道屏障,实现网络的安全保护,以防止发生不可预测的、潜在的破坏性入侵。防火墙本身具有较强的抗攻击能力,它是提供网络安全服务、实现网络安全的基础设施。严峻的网络安全形势,促进了防火墙技术的不断发展,防火墙安全产品非常多。该实验主要讲解利用工具软件例如天网防火墙,搭建和配置防火墙安全策略的方法。实验目的:
1)了解防火墙的定义、功能、必要性和局限性 2)掌握利用工具软件搭建和配置防火墙安全策略的方法 实验设备及环境: 1)Windows XP操作系统
2)Windows Server 2003操作系统 3)天网防火墙软件 实验任务及内容:
天网防火墙个人版是由天网安全实验室面向个人计算机用户研究的网络安全工具。它根据系统管理者设定的安全规则把守网络,提供强大得访问控制、信息过滤等功能,抵挡网络入侵和攻击。天网防火墙把网络分为本地网和互联网,可以针对来自不同网络的信息,设置不同的安全方案,适合于任何方式连接上网的个人用户。1.对应用程序的安全设置
1)在Windows Server 2003 操作系统中安装天网防火墙。通过【应用程序】按钮可以设定与外网进行连接的应用程序。2)单击工具栏中的【应用程序】按钮,出现【应用程序访问网络权限设置】界面,在界面中添加的应用程序,防火墙允许其与外网的连接,未添加的应用程序,不允许与外网连接。如果通过防火墙阻断了木马程序的外连请求,则计算机肿了木马也不会被远程控制。
3)对应用程序访问网络的规则做具体设置。2.包过滤规则的设置
包过滤规则作用在网络层和传输层,根据数据包报头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤规则的数据包才被转发到相应的目的地端口,其余的数据包则从数据流中丢弃。
1)单击工具栏中的【IP规则管理】按钮,出现【自定义IP规则】界面,在此界面中有大量安装时默认设置的IP规则。此处有【修改IP规则】和【添加IP规则】按钮
2)新建一条规则,用来禁止外部主机用ping命令连接本机。3)在虚拟机上安装一个FTP软件并启用FTP,然后修改原规则中的【禁止所有连接】,将其改为【禁止所有人访问本机FTP】,设置FTP相关的端口。确定之后,从主机尝试登陆虚拟机的FTP服务,将被拒绝。
4)最后,新建一条规则,禁止所有人连接其他程序的端口。它将与前两条规则联合作用,禁止外部计算机连接本机未经授权程序打开的端口。
以上三条规则在防火墙中必须按照上述顺序配置,才能发挥应有的作用;如果顺序不对,则不能实现上述的正常安全需求。
实验报告:
1)根据实验过程,描述配置天网防火墙的安全规则
2)配置一实验访问规则:允许本机访问外网的某一台FTP服务器,但不允许本机访问此计算机其他服务,以及不允许本机访问外网Web服务器。
![下载网络安全实验报告[共五篇]word格式文档](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
点击咨询 