实验02-主机存活性判断

课程编写类别内容实验课题名称主机存活性判断实验目的与要求了解主机连通性探测的工作原理掌握ping命令能够使用工具判断主机存活性，以及发现目标网段内的存活主机实验环境VPC1(虚拟PC）WindowsXP（攻击者）VPC1连接要求与VPC2相连VPC2(虚拟PC）WindowsServer2000SP0(靶机)VPC2连接要求与VPC1相连实验环境描述PC1与PC2直接相连，组成一个小局域网预备知识通过调用ping命令来判断一台计算机是否存活是最基本的方法。而如果想知道此时网络上哪些主机正在运行，可以通过向指定的网络内的每个IP地址发送ICMPecho请求数据包，而扫描程序就可以完成这项任务。如果主机正在运行就会作出响应。然而，一些站点会阻塞ICMPecho请求数据包。在这种情况下扫描器也能够向80端口发送TCPack包，如果能收到一个RST包，就表示主机正在运行。扫描器通常还会使用的另一种技术是：发送一个SYN包，然后等待一个RST或者SYN/ACK包。扫描器在默认的任何情况下都会进行ping扫描，但是也可以强制关闭ping扫描。非ping扫描使用connect()方法,这是最基本的TCP扫描，实现方法最简单，直接连到目标端口并完成一个完整的三次握手过程(SYN，SYN／ACK和ACK)。SocketAPI提供的Connect()系统调用，用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态，那么Connect()就能成功。否则，这个端口是不能用的，即没有提供服务。这个技术的一个最大优点是不需要任何权限，系统中的任何用户都可以使用这个调用。另一个好处就是速度。如果对每个目标端口以线性的方式，使用单独的Connect()调用，那么将会花费相当长的时间，你可以通过同时打开多个套接字，从而加速扫描。这种扫描方法的缺点是很容易被目标系统检测到，并且被过滤掉。目前的系统会对连接进行记录，因此目标计算机的日志文件会显示大量密集的连接和连接出错的消息记录，并且能很快地使它关闭。如：TCPWrapper监测程序通常用来进行监测，可以对连接请求进行控制，所以它可以用来阻止来自不明主机的全连接扫描。实验内容介绍主机生存性探测的原理ping命令的常见用法Windows环境下使用Nmap的多种探测方式实验步骤1、学生打开相应虚拟机进入实验场景。2、分别输入默认账号administrator，密码mima1234，进入目标主机桌面。Windows环境下3、（1）Ping命令的使用Ping命令是一种TCP/IP实用工具，在Windows和Linux系统下都有此命令，它由源主机向目标主机发送一个回显请求数据包，要求对方回馈一个同样大小的数据包来确定两者之间是否连接，由此确定目标主机是否可达。步骤1：在pc1中，打开“开始菜单”-“运行”-“cmd”-“ipconfig/all”，获取当前登陆机器的信息并记录。同样得到pc2主机的相关信息。步骤2：选择pc2主机为扫描对象，同样在pc1中打开“命令提示符”，然后在光标位置分别尝试以下ping命令，并分别理解各个命令的功能。Ping192.168.1.142扫描本机地址图4Ping192.168.1.143扫描pc2的地址图5Ping-n6192.168.1.143扫描6次图6Ping–t192.168.1.143不停扫描图7Ctrl+Break查看统计信息Ctrl+C终止探测图8Ping-i1192.168.1.62限制生存时间图9由Ping命令得不到结果的目标主机，需要进一步判定是否真的不存在，需要利用工具进一步判断。2.使用Nmap进行多种方式的探测Nmap是一款非常流行的扫描软件，分为Forwindows和ForUNIX两个版本。该软件提供图形界面和命令行两种模式，这里使用图形界面版本，Nmap工具除了按照Ping的ICMPEchoRequest方式以外，还提供了诸多其他的扫描方式。步骤1：登陆攻击机（XP系统），“开始”-“所有程序”-“扫描工具”找到快捷方式，打开Nmap软件步骤2：打开Nmap界面，在Target位置填写想要扫描的目标地址。图11步骤3：打开Profile--NewProfileorCommand，选择需要的扫描方式（图20-22）。图12Nmap配置页面图13配置页面常见的扫描包括以下几种：缺省状态发送一个TCPACK报文到80端口和一个ICMP回声请求到目标机器-PP发送类型为13的ICMP报文（时间戳请求）-PM发送类型为17的ICMP报文（地址掩码请求）-sn不进行端口扫描-sSTCPSYN扫描（发送SYN包）-sTTCPconnect()扫描-sUUDP扫描（发送空的UDP报头）-sNNull扫描（不设置任何标志位）-sFFIN扫描（只设置FIN标志位）-sXXmas扫描（设置FIN、PSH和URG标志位）-sATCPACK扫描（只设置ACK标志位）除了在页面进行配置，还可以在命令行位置，直接输入命令对目标进行扫描。图15或者在命令提示符里输入命令进行扫描图16步骤4：Nmap类似于SuperScan也提供了扫描网段的功能，将目标主机地址用逗号隔开，或扫描相邻主机，例如，192.168.1.1/24（代表192.168.1.0到192.168.1.255之间的256个地址），192.168.0-255.1-254（代表以192.168.开头的所有不以0和255结尾的地址），192.168.1.*（所有192.168.1.开头的主机）。图17使用Nmap扫描范围内的存活主机4、至此实验结束，关闭实验场景。