网络安全技术与应用报告

太原理工大学现代科技学院

网络安全技术与应用 课程 实验报告

实验地点: 南区机房 专业班级 学 号 姓 名

指导教师 张 辉

实验一、常用网络安全命令 ---------------------------------------------------------------------------------- - 3 -

一、实验目的和要求 ---------------------------------------------------------------------------------------- - 3 - 二、实验内容和原理 ---------------------------------------------------------------------------------------- - 3 - 三、主要仪器设备 ------------------------------------------------------------------------------------------- - 4 - 四、实验结果与分析 ---------------------------------------------------------------------------------------- - 4 - 五、讨论、心得 ---------------------------------------------------------------------------------------------- - 6 -

实验二、端口扫描与安全审计 ------------------------------------------------------------------------------- - 7 -

一、实验目的和要求 ---------------------------------------------------------------------------------------- - 7 - 二、实验内容和原理 ---------------------------------------------------------------------------------------- - 7 - 三、主要仪器设备 ------------------------------------------------------------------------------------------- - 8 - 四、实验结果与分析 ---------------------------------------------------------------------------------------- - 8 - 五、讨论、心得 -------------------------------------------------------------------------------------------- - 10 -

实验三、网络入侵跟踪与分析 ----------------------------------------------------------------------------- - 11 -

一、实验目的和要求 --------------------------------------------------------------------------------------- - 11 - 二、实验内容和原理 --------------------------------------------------------------------------------------- - 11 - 三、主要仪器设备 ----------------------------------------------------------------------------------------- - 12 - 四、实验结果与分析 -------------------------------------------------------------------------------------- - 12 - 五、讨论、心得 -------------------------------------------------------------------------------------------- - 14 -

实验四、网络入侵检测系统 -------------------------------------------------------------------------------- - 15 - 一、实验目的和要求 ----------------------------------------------------------------------------------------- - 15 -

二、实验内容和原理 -------------------------------------------------------------------------------------- - 15 - 三、主要仪器设备 ----------------------------------------------------------------------------------------- - 15 - 四、实验结果与分析 -------------------------------------------------------------------------------------- - 15 - 五、讨论、心得 -------------------------------------------------------------------------------------------- - 20 -

- 2 -

实验一、常用网络安全命令

一、实验目的和要求

本实验的目的是使学生通过对常用网络安全命令使用，熟练掌握常用网络安全命令，加深对常用网络安全命令执行结果的理解，在培养良好的工程素养同时，为今后工作实践中能够运用科学理论和技术手段分析并解决工程问题的能力。

由于常用网络安全命令功能强大、参数众多，在有限时间内不可能对所有命令参数进行实验。但要求每个命令至少选择两个参数进行实验，命令参数可以任意选择。命令执行后将执行结果复制到实验报告中，并对命令执行结果进行解释。

二、实验内容和原理

1. ipconfig命令

主要功能：显示本地主机IP地址、子网掩码、默认网关、MAC地址等。 2. ping命令

主要功能：目标主机的可达性、名称、IP地址、路由跳数、往返时间等。 3. tracert命令

主要功能：路由跟踪、节点IP地址、节点时延、域名信息等。 4. netstat命令

主要功能：显示协议统计信息和当前TCP/IP网络连接。 5. nbtstat命令

主要功能：显示使用NBT （NetBIOS over TCP/IP）的协议统计和当前TCP/IP网络连

接信息，可获得远程或本机的组名和机器名。

6. net命令

主要功能：网络查询、在线主机、共享资源、磁盘映射、开启服务、关闭服务、发送消息、建立用户等。net命令功能十分强大，输入net help command可获得command的具体功能及使用方法。

- 3 -

三、主要仪器设备

Pc机一台

四、实验结果与分析

1. ipconfig命令，在dos下输入ipconfig/all，如下图：

2. ping命令，在dos下输入ping 192.168.1.63，如下图：

3. tracert命令，在dos下输入tracert 192.168.1.63，如下图：

- 4 -

4. netstat命令，在dos下输入netstat -a，netstat -n如下图：

5. nbtstat命令，在dos下输入nbtstat -a 192.168.1.63,nbtstat -n，如下图：

- 5 -

6. net命令

① 在dos下输入net view得到了局域网中的计算机主机名

② 在dos下输入net send /domain: 计算机名（*为域内广播）消息

五、讨论、心得

本次试验主要内容是熟悉dos下各种基于网络的命令，在做的过程中，除了最后一个遇到一些问题费了很长时间外其它实验进行的还是非常顺利，最后一个net命令由于在实验指导书中某些关键步骤没有写进去，所以导致没有正确结果，不过最后通过网上查找各种资料还是完成了，给我最大的收获还是计算机可以随意互联，虽然计算机互联已经是很普遍的事情了，但是一般的互联都没有感觉，而这次的互联则是物理上的，并且通过本次实验对tcp/ip协议又有了一定的了解。

- 6 -

实验二、端口扫描与安全审计

一、实验目的和要求

本实验的目的是使学生通过对Nmap扫描软件的使用，掌握Nmap中常用命令方式，在加深理解Nmap端口扫描结果的基础上，使用Nmap不同扫描方式来分析系统漏洞扫描的基本原理。在培养良好的工程素养同时，为今后工作实践中能够运用科学理论和技术手段分析并解决工程问题的能力。

由于Nmap扫描功能强大、命令参数众多，在有限时间内不可能对所有命令参数进行实验。但实验内容中列举的扫描命令必须完成，也可以任意选择其他命令参数进行实验。命令执行后将执行结果复制到实验报告中，并对命令执行结果进行解释。

二、实验内容和原理

1. 安装nmap-4.01-setup.exe软件

注意事项：采用nmap-4.01-setup.exe时将自动安装WinPcap分组捕获库，采用解压缩nmap-4.01-win32.zip时需事先安装WinPcap 分组捕获库。

2. 局域网主机发现

列表扫描：nmap -sL 局域网地址 3. 扫描目标主机端口

连续扫描目标主机端口：nmap –r目标主机IP地址或名称 4. 服务和版本检测

目标主机服务和版本检测：nmap -sV目标主机IP地址或名称 5. 操作系统检测

目标主机操作系统检测：nmap -O目标主机IP地址或名称

6. 端口扫描组合应用 nmap -v -A scanme.nmap.org

nmap -v -sP 192.168.0.0/16 10.0.0.0/8 nmap -v -iR 10000 -P0 -p 80

- 7 -

三、主要仪器设备

Pc一台

四、实验结果与分析

1. 安装nmap-4.01-setup.exe软件，由于安装很简单，所以这里不再叙述。 2. 局域网主机发现输入nmap -sL 192.168.1.0，如下图

3. 扫描目标主机端口输入nmap -r 192.168.1.63如下图：

4. 服务和版本检测，输入nmap –sV 192.168.1.63如下图：

- 8 -

5. 操作系统检测，输入nmap -O 192.168.1.63 如下图：

6. 端口扫描组合应用nmap -v -A scanme.nmap.org

nmap -v -sP 192.168.1.24/32 192.168.1.0/24

- 9 -

nmap -v -iR 10 -P0 -p 80

五、讨论、心得

说句真实的感受就是不知道实在干什么，基本上都扫描不出来，也许自己对nmap的理解根本不到位，它所提供的功能根本没有达到预期的目的，也许现在的产品做的越来越完善了，漏洞很小了，在本地计算机上还是可以扫描出一些东西的。

- 10 -

实验三、网络入侵跟踪与分析

一、实验目的和要求

本实验的目的是使学生通过使用Ethereal开放源码的网络分组捕获与协议分析软件，分析一个冲击波蠕虫病毒捕获文件Win2000-blaster.cap，在加深理解Ethereal协议分析基础上，掌握Ethereal分组捕获与协议分析功能，为今后工作实践中能够运用科学理论和技术手段分析并解决工程问题的培养工程素养。

由于Ethereal分组捕获与协议分析功能强大，在一个实验单元时间内不可能熟练掌握Ethereal的使用。但至少应掌握捕获菜单和统计菜单的使用，也可以选择其他菜单命令进行实验。练习使用Ethereal分组捕获与协议分析的显示结果不要复制到实验报告，实验报告只回答冲击波蠕虫病毒攻击过程分析中提出的问题及问题解答过程。

二、实验内容和原理

1. ethereal-setup-0.10.14.exe软件安装

注意事项：ethereal-setup-0.10.14.exe将自动安装WinPcap分组捕获库，不必事先安装WinPcap 分组捕获库。

2. 冲击波蠕虫病毒攻击分析

冲击波蠕虫病毒攻击原理

冲击波蠕虫病毒W32.Blaster.Worm利用Windows 2000/XP/2003等操作系统中分布式组件对象模型DCOM（Distributed Component Object Model）和远程过程调用 (RPC（Remote Procedure Call）通信协议漏洞进行攻击，感染冲击波蠕虫病毒的计算机随机生成多个目标IP地址扫描TCP/135（epmap）、UDP/135（epmap）、TCP/139、UDP/139、TCP/445、UDP/445、TCP/593、UDP/593端口寻找存在DCOM RPC漏洞的系统。感染冲击波蠕虫病毒的计算机具有系统无故重启、网络速度变慢、Office软件异常等症状，有时还对Windows自动升级（windowsupdate.com）进行拒绝服务攻击，防止感染主机获得DCOM RPC漏洞补丁。

根据冲击波蠕虫病毒攻击原理可知，计算机感染冲击波蠕虫病毒需要具备三个基本条件。一是存在随机生成IP地址的主机；二是Windows 2000/XP/2003操作系统开放了RPC

- 11 -

调用的端口服务；三是操作系统存在冲击波蠕虫病毒可以利用的DCOM RPC漏洞。

三、主要仪器设备

Pc机

四、实验结果与分析

冲击波蠕虫病毒攻击过程分析

用Ethereal “Open Capture File”(打开捕获文件)对话框打开冲击波蠕虫病毒捕获文件Win2000-blaster.cap，通过协议分析回答下列问题（仅限于所捕获的冲击波蠕虫病毒）：

（a）感染主机每次随机生成多少个目标IP地址？

答：感染主机每次随机生成20个目标IP地址。

（b）扫描多个端口还是一个端口？如果扫描一个端口，是那一个RPC调用端口？

答：扫描一个端口，是135端口。

- 12 -

（c）分别计算第二组与第一组扫描、第三组与第二组扫描之间的间隔时间，扫描间隔时间有规律吗？

答：第二组与第一组扫描间隔时间：678.168ms 第三组与第二组扫描间隔时间：528.105ms 扫描间隔时间有规律。

（d）共发送了多少个试探攻击分组？（提示：端点统计或规则tcp.flags.syn==1显示SYN=1的分组）

答：Filter: ip.src == 128.153.22.191 2006

ip.src == 128.153.22.191 and tcp.dstport == 135 or tcp.flags.syn==1 2002

ip.src == 128.153.22.191 and tcp.dstport != 135 4 不是攻击分组 - 13 -

（e）有试探攻击分组攻击成功吗？如攻击成功，请给出感染主机的IP地址。如没有攻击成功的实例，说明为什么没有攻击成功？（提示：TCP报文段SYN=1表示连接请求，SYN=1和ACK=1表示端口在监听，RST=1表示拒绝连接请求。使用显示过滤规则tcp.flags.syn==1&&tcp.flags.ack==1确定是否有端口监听。）

答：没有试探攻击分组攻击成功。

五、讨论、心得

如果说前面两个实验是用来连接其它主机，并且获得其它主机的一些相关信息的话，那么本次实验则是其它主机发送到包到本主机的检测、分析，并利用Ethereal去试探了本机接收包的情况，并且已扫描的冲击波进行了分析，虽然有很多地方自己还是很不清楚为什么，但是我至少明白了这个工具是干什么用的，明白了冲击波蠕虫病毒的攻击原理。

- 14 -

实验四、网络入侵检测系统

一、实验目的和要求

本实验的目的是使学生通过对基于误用检测的网络入侵检测系统开放源码Snort软件的使用，掌握Snort中常用命令方式，在加深理解Snort报警与日志功能、Snort分组协议分析、Snort入侵检测规则的基础上，分析Snort网络入侵检测的基本原理。在培养良好的工程素养同时，为今后工作实践中培养能够运用科学理论和技术手段分析并解决工程问题的能力。

由于Snort入侵检测系统功能强大、命令参数众多，在有限时间内不可能对所有命令参数进行实验。可根据自己对Snort的熟悉程度，从实验内容中选择部分实验，但至少应完成Snort报警与日志功能测试、ping检测、TCP connect()扫描检测实验内容。也容许选择其他命令参数或检测规则进行实验，命令执行后将一条完整的记录或显示结果复制到实验报告中，并对检测结果进行解释。请不要复制重复的记录或显示结果！

二、实验内容和原理

1. snort-2_0_0.exe的安装与配置 2. Snort报警与日志功能测试 3. 分组协议分析 4. 网络入侵检测

三、主要仪器设备

Pc机

四、实验结果与分析

1. snort-2_0_0.exe的安装与配置

双击snort-2_0_0.exe在安装目录下将自动生成snort文件夹，其中包含bin、etc、log、rules、doc、contrib文件夹和snort-2_0_0.exe卸载程序Uninstall.exe。bin文件

- 15 -

夹保存snort.exe可执行程序；snort配置文件snort.conf位于etc；日志文件和报警文件位于log；各种类型的规则检测文件位于rules；snort使用手册位于doc；contrib为snort支持者提供的各种辅助应用文件。

注意事项：在安装snort-2_0_0.exe之前，应事先安装WinPcap 分组捕获库。 在使用snort之前，需要根据保护网络环境和安全策略对snort进行配置，主要包括网络变量、预处理器、输出插件及规则集的配置，位于etc的snort配置文件snort.conf可用任意文本编辑器打开。除内部网络环境变量HOME_NET之外，在大多数情况下，可以使用snort.conf的默认配置。

用文本编辑器打开Snort\\etc\\snort.conf文件，在设置网络变量步骤（Step #1: Set the network variables:）注释下找到“var HOME_NET any”，将any更换成自己机器所在子网的CIDR地址。例如，假设本机IP地址为192.168.6.123，将“var HOME_NET any” 更换成“var HOME_NET 192.168.6.0/24”或特定的本机地址“var HOME_NET 192.168.6.123/32”。

假设在C盘根目录下执行Snort命令，找到规则文件路径变量“var RULE_PATH ••rules”，将其修改为var RULE_PATH C:\\snort\\rules；找到“include classification.config”，将

classification.config

文

件

的

路

径

修

改

为

include

C:\\snort\\etc\\classification.config；找到“include reference.config”，将reference.config文件的路径修改为 include C:\\snort\\etc\\reference.config。 配置以修改完毕，如下图：

- 16 -

2. Snort报警与日志功能测试

用写字板打开C:\\>Snort\\rules\\local.rules规则文件，添加Snort报警与日志功能测试规则：alert tcp any any -> any any (msg:\"TCP traffic\";)。

执行命令： C:\\>snort\\bin\\snort -c \\snort\\etc\\snort.conf -l \\snort\\log -i 1

- 17 -

在C:\\Snort\\log目录中存在alert..ds

3. 分组协议分析

1）TCP/UDP/ICMP/IP首部信息输出到屏幕上：C:\\> snort\\bin\\snort –v -i 2

（2）TCP/UDP/ICMP/IP首部信息和应用数据输出到屏幕上：

C:\\> snort\\bin\\snort -vd -i n 或C:\\> snort\\bin\\snort -v –d -i n；

- 18 -

（3）将捕获的首部信息记录到指定的Snort\\log目录，在log目录下将自动生成以主机IP地址命名的目录；C:\\> snort\\bin\\snort -v -l \\snort\\log -i n；n=1/2/3/4/5

（4）采用Tcpdump二进制格式将捕获的首部信息和应用数据记录到指定的Snort\\log目录，在log目录下将自动生成snort.log日志文件，可以使用Ethereal或Tcpdump协议分析软件打开snort.log文件，也可以通过-r snort.log选项用Snort输出到屏幕上。

C:\\> snort\\bin\\snort -b -l \\snort\\log -i n；n=1/2/3/4/5

4. 网络入侵检测

- 19 -

（1）实验合作伙伴相互ping对方的主机，利用Snort检测对本机的ping探测，在snort\\log目录下将生成报警文件alert.ids：

C:\\>snort\\bin\\snort -d -c \\snort\\etc\\snort.conf -l \\snort\\log -i 2

执行此命令后没有得到预想的结果，在alert.ids中没有任何内容！

（2）实验合作伙伴利用“nmap -sT 目标主机IP地址或名称”命令TCP connect()扫描对方主机，以文本格式记录日志的同时，将报警信息发送到控制台屏幕（console）：

C:\\>snort\\bin\\snort -c \\snort\\etc\\snort.conf -l \\snort\\log -A console -i 1

五、讨论、心得

这个实验带给我的收获不仅仅是检测，而是刚开始进行的各种配置，由于自己对网络入侵检测不是很清楚，对于一些问题不能很好的回答，对课本上的一些知识有了进一步的了解。我会在以后的学习中更加努力学习，争取早日掌握其基本原理。

- 20 -