贵州大学《信息安全技术》实验指导书

电子科学与信息技术学院《信息安全技术》实验指导书蒋朝惠编写适用专业:通信工程、网络工程贵州大学二OO六年八月第2页共29页前言随着近年来计算机和网络的迅速普及，给我国经济发展和社会进步带来了前所未有的机遇。但不容乐观的是，来自网络安全的威胁也日趋严重。例如，近年来多次在全球范围内爆发的蠕虫病毒，对社会经济造成了巨大的损失，因而，信息安全问题已经成为制约社会信息化发展的一个瓶颈。面对这一现状，如何提高我国的信息安全建设水平和网络安全的防范意识，已成为全社会共同关注的问题。为适应这一形式，教育部从2000年开始批准在高校中建立信息安全及其相关本科专业，以期为社会培养更多精通安全技术的专业人才。为了加深他们对信息安全知识的了解，进一步培养在信息安全方面的动手能力和感性认识，特编写了这个指导书。学生应认真阅读《信息安全技术》教材中的与实验相关的章节内容，提前做好实验预习，做到每个实验前明确实验目的、掌握实验的基本内容及操作方法；在实验中正确使用实验设备，认真观察实验结果；实验后根据要求做好总结，上交实验报告。第3页共29页目录实验一：常用信息安全工具的使用................................4实验二：防火墙配置与使用......................................7实验三：Snort入侵检测系统的配置与使用........................10实验四：木马攻击与防范.......................................18实验报告的基本内容及要求.....................................27贵州大学实验报告.............................................28第4页共29页实验一：常用信息安全工具的使用实验学时：2实验类型：验证实验要求：必修一、实验目的1、理解并掌握基于网络的信息安全概念和原理2、熟悉嗅探、网络漏洞扫描等常用工具的安装、配置与使用。二、实验内容1、利用嗅探器监视网络上的信息（数据包），分析网络性能和故障。2、利用嗅探器监视网络上的信息窃听用户的账号与密码信息。3、利用网络端口扫描器发现网络系统的安全漏洞。三、实验原理、方法和手段1、Sniffer工具嗅探Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障。通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址（代表所有的接口地址），在正常情况下，一个合法的网络接口应该只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，同时丢弃不是发给自己的数据帧。而sniffer就是一种能将本地网络接口设置成“混杂”（promiscuous）状态的软件，当网络接口处于这种混杂方式时，该网络接口具备广播地址，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。2、网络端口扫描Superscan一个开放的网络端口就是一条与计算机通信的信道，对网络端口的扫描可以得到目标计算机开放的服务程序、运行的系统版本信息，从而为下一步的入侵做好准备。对网络端口的扫描可以通过执行手工命令实现，但效率较低；也可以通过扫描工具实现，效率较高。扫描工具是对目标主机的安全性弱点进行扫描的软件。它一般具有数据分析功能，通过对端口的扫描分析，可以发第5页共29页现目标主机开放的端口和所提供的服务以及相应服务软件版本和这些服务软件的安全漏洞，从而及时了解目标主机存在的安全隐患。扫描工具根据作用的环境不同，可分为两种类型：网络漏洞扫描工具和主机漏洞扫描工具。主机漏洞扫描工具是指在本机运行的扫描工具，以期检测本地系统存在的安全漏洞。网络漏洞扫描工具是指通过网络检测远程目标网络和主机系统所存在漏洞的扫描工具。本实验主要针对网络漏洞扫描工具进行。端口的基础知识端口是TCP协议中所定义的，TCP协议通过套接字（Socket）建立两台计算机之间的网络连接。套接字采用[IP地址：端口号]的形式来定义，通过套接字中不同的端口号可以区别同一台计算机上开启的不同TCP和UDP连接进程。对于两台计算机间的任意一个TCP连接，一台计算机的一个[IP地址：端口]套接字会和另一台计算机的一个[IP：端口]套接字相对应，彼此标识着源端、目的端上数据包传输的源进程和目标进程。这样网络上传输的数据包就可以由套接字中的IP地址和端口号找到需要传输的主机和连接进程了。由此可见，端口和服务进程一一对应，通过扫描开放的端口，就可以判断出计算机正在运行的服务程序。TCP/UDP的端口号在0~65535范围之内，其中1024以下的服务保留给常用的网络服务。例如，21端口为TCP服务，23端口为TELNET服务，25端口为SMTP服务，80端口为HTTP服务，110端口为POP3服务等。扫描的原理（1）TCP全连接扫描TCP全连接扫描是利用TCP的三次握手，与目标主机建立正常的TCP连接，以判断指定端口是否开放。这种方法的缺点是非常容易被记录或者被检测出来。（2）TCPSYN扫描本地主机向目标主机发送SYN数据段，如果远端目标主机端口开放，则回应SYN=1,ACK=1,此时本地主机发送RST给目标主机，拒绝连接。如果远端主机端口未开放，则会回应RST给本地主机。由此可知，根据回应的数据段可以判断目标主机的端口是否开放。由于TCPSYN扫描并没有建立TCP正常连接，所以降低了被发现的可能，同时提高了扫描性能。（3）TCPFIN扫描本地主机向目标主机发送FIN=1,如果远端目标主机端口开放，则丢弃此包，不回应；如果远端主机未开放，则返回一个RST包。FIN扫描通过发送FIN的反馈判断远端目标主机的端口是否开放。由于这种扫描方法没有涉及TCP的正常连接，所以使扫描更隐秘，也称为秘密扫描。这种第6页共29页方法通常适用于Unix操作系统主机，但有的操作系统（如WindowsNT）不管端口是否打开，都回复RST，此时这种方法就不适用了。（4）UDPICMP扫描这种方法利用了UDP协议，当向目标主机的一个未打开的UDP端口发送数据包时，会返回一个ICMP_PORT_UNREACHABLE错误，这样就会发现关闭的端口。（5）ICMP扫描这种扫描方法利用了ICMP协议的功能，如果向目标主机发送一个协议项存在错误的IP数据包，则根据反馈的ICMP错误报文，判断目标主机使用的服务。（6）间接扫描入侵者间接利用第三方主机进行扫描，以隐藏真正入侵者的痕迹。第三方主机是通过其他入侵方法控制主机的，扫描的最终结果会从第三方主机发送给真正的入侵者。扫描往往是入侵的前奏，所以如何有效的屏蔽端口，保护自身计算机的安全，成为计算机管理人员首要考虑的问题。为了防止对计算机网络端口的扫描，我们可以采用端口扫描监测工具来监测对端口的扫描，防止端口信息外露。此外，安装防火墙也是防止端口扫描的有效方法。四、实验组织运行要求采用集中授课演示操作步骤，学生独立操作形式。五、实验条件联网的PC机，两台为一组，Windows2000或WindowsXP操作系统，嗅探器SnifferPro、简单端口扫描器Superscan，扫描器Fluxay5。六、实验步骤1、关闭计算机的防病毒软件。2、安装SnifferPro。3、安装Superscan4、安装Fluxay5。5、将同一实验组的计算机设为同一网段。6、利用SnifferPro观察对方的网络数据包，分析网络性能和故障。7、用Superscan扫描对方的计算机，记录扫描的结果和发现的漏洞。8、用Fluxay5扫描系统的漏洞并破解出另一台机器的帐号与口令七、思考题八、实验报告学生实验报告主要包括实验预习、实验记录和实验报告三部分，基本内容详见附件1。九、其它说明第7页共29页实验二：防火墙配置与使用实验学时：4实验类型：综合实验要求：必修一、实验目的1、熟悉skynet天网防火墙安装和基本配置方法；2、通过配置防火墙特性，进行攻击与防范。二、实验内容1、skynet天网防火墙软件的安装与配置2、SYNFlood攻击软件的安装与配置3、配置天网防火墙来阻挡SYNFlood软件的攻击三、实验原理、方法和手段一个完整的TCP连接分三步，也就是我们常说的三次握手：1.客户端SYN服务端2.服务端ACK+SYN客户端3.客户端ACK服务端FLOOD攻击就是利用三次握手的漏洞来实现的：假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYNTimeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYNFlood攻击（SYN洪第8页共29页水攻击）。四、实验组织运行要求采用集中授课演示操作步骤，学生独立操作形式。五、实验条件1）集线器或交换机（8口或24口）若干台2）带网卡且装有Windows2000/XP的PC机若干台3）网卡及其驱动程序若干套4）打印机1台及其驱动程序若干套5）已做好RJ-45接头（2-5米）的UTP电缆若干条6）RJ-45接头若干个和五类双绞线若干米7）RJ-45压线工具若干把8）MSWindows2000/XP软件（光碟）若干套六、实验步骤1.根据天网防火墙的帮助文档进行安装和基本的配置学习2.修改防火墙相关的配置，用superscan等扫描，观察天网的日志记录，并记录可以从其中获得的攻击等信息（1）Firewall包过滤操作步骤．用superscan扫描工具；．从ServerB向Aping192.168.x.x；．改变天网的配置：．从ServerB向Aping192.168.x.x；．改变天网的配置：．从ServerB向Aping192.168.x.x；．改变天网的配置：．从ServerB向Aping192.168.x.x。观察防火墙日志的记录并分析出现的原因（2）攻击防范功能测试由于资源的限制，TCP/IP栈的实现只能允许有限个TCP连接。而SYNFlood攻击正是利用这一点，它伪造一个SYN报文，其源地址是伪造、或者一个不存在的地址，向服务器发起连接，服务器在收到报文后用SYN-ACK应答，而此应答发出去后，不会收到ACK报文，造成一个半连接。如果攻击者发送大量这样的报文，会在被攻击主机上出现大量的半连接，消耗其资源，使正常的用户无法访问，直到半连接超时。在一些创建连接不受限制的实现里，SYNFlood具有类似的影响，它会消耗掉系统的内存等资源。SYNFlood攻击防范测试操作步骤．在ServerB上发送大量的TCPSYN报文到ServerA上；．在ServerA上使用转包工具抓包；第9页共29页．在ServerB上发送大量SYN攻击报文的背景流量下，telnet到ServerA；．在Ser