信息安全实验报告ych

本科实验报告课程名称：信息安全技术与应用实验地点：实验机房110专业班级：计Z1303学号：40学生姓名：杨朝辉指导教师：张辉成绩：2016年6月5日太原理工大学学生实验报告学院名称计算机科学与技术学院专业班级计Z1303学号40学生姓名杨朝辉实验日期5月31日成绩课程名称信息安全技术与应用实验题目实验一常用网络安全命令一、实验目的和要求1.熟悉并掌握使用常用网络安全命令2.由于常用网络安全命令功能强大、参数众多，在有限时间内不可能对所有命令参数进行实验。但要求每个命令至少选择两个参数进行实验，命令参数可以任意选择。命令执行后将执行结果复制到实验报告表格中，并对命令执行结果进行解释。二、实验内容1.ipconfig命令主要功能：显示本地主机IP地址、子网掩码、默认网关、MAC地址等。例1：C:\ipconfig/all2.ping命令主要功能：目标主机的可达性、名称、IP地址、路由跳数、往返时间等。例2：C:\pingortarget_name3.tracert命令主要功能：路由跟踪、节点IP地址、节点时延、域名信息等。例3：C:\tracertor4.netstat命令主要功能：显示协议统计信息和当前TCP/IP网络连接。例4：C:\netstat–a；C:\netstat–n；5.nbtstat命令主要功能：显示使用NBT（NetBIOSoverTCP/IP）的协议统计和当前TCP/IP网络连接信息，可获得远程或本机的组名和机器名。例5：C:\nbtstat–a；C:\nbtstat–n6.net命令主要功能：网络查询、在线主机、共享资源、磁盘映射、开启服务、关闭服务、发送消息、建立用户等。net命令功能十分强大，输入nethelpcommand可获得command的具体功能及使用方法。例5：C:\netview；C:\netview\\target_name；netsend/domain:计算机名（*为域内广播）消息三、主要仪器设备Win7OS的PC四、实验步骤按照实验内容进行五、实验结果命令2.ping命令3.tracert命令4.netstat命令5.nbtstat命令6.net命令实验地点实验机房110指导教师张辉太原理工大学学生实验报告学院名称计算机科学与技术学院专业班级计Z1303学号40学生姓名杨朝辉实验日期5月31日成绩课程名称信息安全技术与应用实验题目实验二端口扫描与安全审计一、实验目的和要求1.掌握使用nmap软件来进行端口扫描和安全审计的操作2.由于Nmap扫描功能强大、命令参数众多，在有限时间内不可能对所有命令参数进行实验。但实验内容中列举的扫描命令必须完成，也可以任意选择其他命令参数进行实验。命令执行后将执行结果复制到实验报告表格中，并对命令执行结果进行解释。二、实验内容和原理1.安装软件注意事项：采用时将自动安装WinPcap分组捕获库，采用解压缩时需事先安装WinPcap分组捕获库。2.局域网主机发现列表扫描：nmap-sL局域网地址3.扫描目标主机端口连续扫描目标主机端口：nmap–r目标主机IP地址或名称4.服务和版本检测目标主机服务和版本检测：nmap-sV目标主机IP地址或名称5.操作系统检测目标主机操作系统检测：nmap-O目标主机IP地址或名称6.端口扫描组合应用nmap-v-A-v-sP-v-iR10000-P0-p-80三、主要仪器设备Win7OS的PC四、实验步骤按照实验内容进行五、实验结果1.列表扫描nmap-sL连续扫描目标主机端口nmap–r目标主机服务和版本检测nmap-sV-O-v-A-v-sP-v-iR10000-P0-p-805-2.注：第二条命令由于扫描IP地址过多电脑无法承受导致软件多次崩溃，故修改此条命令为：nmap-v-sP中间略过遍历端口5-3.注：第三行代码同第二行代码一样出现多次软件卡顿无法正常得出运行结果故修改命令为：nmap-v-iR10-P0-p-80实验地点实验机房110指导教师张辉太原理工大学学生实验报告学院名称计算机科学与技术学院专业班级计Z1303学号40学生姓名杨朝辉实验日期5月31日成绩课程名称信息安全技术与应用实验题目实验三网络入侵跟踪与分析一、实验目的和要求1.由于Ethernet分组捕获与协议分析功能强大，在一个实验单元时间内不可能熟练掌握Ethernet的使用。但至少应掌握捕获菜单和统计菜单的使用，也可以选择其他菜单命令进行实验。二、实验内容和原理1.软件安装注意事项：将自动安装WinPcap分组捕获库，不必事先安装WinPcap分组捕获库。2.冲击波蠕虫病毒攻击分析（1）冲击波蠕虫病毒攻击原理冲击波蠕虫病毒利用Windows2000/XP/2003等操作系统中分布式组件对象模型DCOM（DistributedComponentObjectModel）和远程过程调用(RPC（RemoteProcedureCall）通信协议漏洞进行攻击，感染冲击波蠕虫病毒的计算机随机生成多个目标IP地址扫描TCP/135（epmap）、UDP/135（epmap）、TCP/139、UDP/139、TCP/445、UDP/445、TCP/593、UDP/593端口寻找存在DCOMRPC漏洞的系统。感染冲击波蠕虫病毒的计算机具有系统无故重启、网络速度变慢、Office软件异常等症状，有时还对Windows自动升级（）进行拒绝服务攻击，防止感染主机获得DCOMRPC漏洞补丁。根据冲击波蠕虫病毒攻击原理可知，计算机感染冲击波蠕虫病毒需要具备三个基本条件。一是存在随机生成IP地址的主机；二是Windows2000/XP/2003操作系统开放了RPC调用的端口服务；三是操作系统存在冲击波蠕虫病毒可以利用的DCOMRPC漏洞。（2）冲击波蠕虫病毒攻击过程分析用Ethereal打开冲击波蠕虫病毒捕获文件，通过协议分析回答下列问题（仅限于所捕获的冲击波蠕虫病毒）：（a）感染主机每次随机生成多少个目标IP地址（b）扫描多个端口还是一个端口如果扫描一个端口，是那一个RPC调用端口（c）分别计算第二组与第一组扫描、第三组与第二组扫描之间的间隔时间，扫描间隔时间有规律吗（d）共发送了多少个试探攻击分组（提示：端点统计或规则显示SYN=1的分组）（e）有试探攻击分组攻击成功吗如攻击成功，请给出感染主机的IP地址。如没有攻击成功的实例，说明为什么没有攻击成功（提示：TCP报文段SYN=1表示连接请求，SYN=1和ACK=1表示端口在监听，RST=1表示拒绝连接请求。使用显示过滤规则&&确定是否有端口监听。）三、主要仪器设备Win7OS的PC、ethereal软件四、实验步骤按照实验内容进行五、实验结果（a）感染主机每次随机生成多少个目标IP地址感染主机每次随机生成20个目标IP地址（b）扫描多个端口还是一个端口如果扫描一个端口，是那一个RPC调用端口扫描一个端口，端口135。（c）分别计算第二组与第一组扫描、第三组与第二组扫描之间的间隔时间，扫描间隔时间有规律吗没有时间规律（d）共发送了多少个试探攻击分组（提示：端点统计或规则显示SYN=1的分组）共发送了6008条试探攻击分组（e）有试探攻击分组攻击成功吗如攻击成功，请给出感染主机的IP地址。如没有攻击成功的实例，说明为什么没有攻击成功（提示：TCP报文段SYN=1表示连接请求，SYN=1和ACK=1表示端口在监听，RST=1表示拒绝连接请求。使用显示过滤规则&&确定是否有端口监听。）没有试探攻击分组攻击成功实验地点实验机房110指导教师张辉太原理工大学学生实验报告学院名称计算机科学与技术学院专业班级计Z1303学号40学生姓名杨朝辉实验日期5月31日成绩课程名称信息安全技术与应用实验题目实验四网络入侵检测系统一、实验目的和要求1.由于Snort入侵检测系统功能强大、命令参数众多，在有限时间内不可能对所有命令参数进行实验。可根据自己对Snort的熟悉程度，从实验内容中选择部分实验，但至少应完成Snort报警与日志功能测试、ping检测、TCPconnect()扫描检测实验内容。二、实验内容和原理1.的安装与配置本实验除安装之外，还要求安装网络探测和端口扫描软件。Nmap用于扫描实验合作伙伴的主机，Snort用于检测实验合作伙伴对本机的攻击。用写字板打开Snort\etc\文件对Snort进行配置。将varHOME_NETany中的any配置成本机所在子网的CIDR地址；将规则路径变量RULE_PATH定义为C:\snort\rules；将分类配置文件路径修改为includeC:\snort\etc\；将引用配置文件路径修改为includeC:\snort\etc\。其余使用Snort配置文件中的默认设置，这里假设所有Snort命令都在C盘根目录下执行。2.Snort报警与日志功能测试用写字板打开C:\Snort\rules\规则文件，添加Snort报警与日志功能测试规则：alerttcpanyany-anyany(msg:TCPtraffic;)。执行命令：C:\snort\bin\snort-c\snort\etc\-l\snort\log-i2如果在C:\Snort\log目录中生成报警文件和IP地址命名的日志文件，表明Snort配置正确，能够实施入侵报警和日志记录功能。特别提醒：测试Snort报警与日志功能以后，一定要删除掉添加的测试规则或在该规则前加#号变为注释！否则，随后的实验不能获得正确结果。3.分组协议分析（1）TCP/UDP/ICMP/IP首部信息输出到屏幕上：C:\snort\bin\snort–v-in；n=1/2/3/4/5（2）TCP/UDP/ICMP/IP首部信息和应用数据输出到屏幕上：C:\snort\bin\snort-vd-in或C:\snort\bin\snort-v–d-in；（命令选项可以任意结合，也可以分开）（3）将捕获的首部信息记录到指定的Snort\log目录，在log目录下将自动生成以主机IP地址命名的目录；C:\snort\bin\snort-v-l\snort\log-in；n=1/2/3/4/5（4）采用Tcpdump二进制格式将捕获的首部信息和应用数据记录到指定的Snort\log目录，在log目录下将自动生成日志文件，可以使用Ethereal或Tcpdump协议分析软件打开文件，也可以通过-r选项用Snort输出到屏幕上。C:\snort\bin\snort-b-l\snort\log-in；n=1/2/3/4/54.网络入侵检测（1）实验合作伙伴相互ping对方的主机，利用Snort检测对本机的ping探测，在snort\log目录下将生成报警文件：C:\snort\bin\snort-d-c\snort\etc\-l\snort\log-inn=1/2/3/4/5（2）实验合作伙伴利用“nmap-sT目标主机IP地址或名称”命令TCPconnect()扫描对方主机，以文本格式记录日志的同时，将报警信息发送到控制台屏幕（console）：C:\snort\bin\snort-c\snort\etc\-l\snort\log-Aconsole-inn=1/2/3/4/5（3）实验合作伙伴利用“nmap-O目标主机IP地址或名称”命令探测目标主机操作系统，以Tcpdump二进制格式记录日志的同时，将报警信息发送到控制台屏幕（console）：C:\snort\bin\snort-c\snort\etc\-b-l\snort\log-Aconsole-inn=1/2/3/4/5（4）实验合作伙伴远程登录Telnet对方主机，利用Snort检测对本机Telnet服务的非法访问，文本格式记录日志的同时，将报警信息发送到控制台屏幕（console）：假设您的主机IP地址为，用写字板打开C:\Snort\rules\规则文件，添加检测Telnet服务非法访问的规则：alerttcpanyany-23(msg:So