TYUT信息技术实验报告Word文档下载推荐.docx
- 文档编号:20849493
- 上传时间:2023-01-26
- 格式:DOCX
- 页数:23
- 大小:885.70KB
TYUT信息技术实验报告Word文档下载推荐.docx
《TYUT信息技术实验报告Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《TYUT信息技术实验报告Word文档下载推荐.docx(23页珍藏版)》请在冰豆网上搜索。
显示协议统计信息和当前TCP/IP网络连接。
5.nbtstat命令
显示使用NBT(NetBIOSoverTCP/IP)的协议统计和当前TCP/IP网络连接信息,可获得远程或本机的组名和机器名。
6.net命令
网络查询、在线主机、共享资源、磁盘映射、开启服务、关闭服务、发送消息、建立用户等。
net命令功能十分强大,输入nethelpcommand可获得command的具体功能及使用方法。
3、主要仪器设备
Pc机一台
四、实验结果与分析
1.ipconfig命令,在dos下输入ipconfig/all,如下图:
说明:
内容很多,只截出一部分。
2.ping命令,在dos下输入ping,如下图:
3.tracert命令,在dos下输入tracert,如下图:
4.netstat命令,在dos下输入netstat-a,netstat-n如下图:
5.nbtstat命令,在dos下输入nbtstat-a101.7.130.39,如下图:
1 在dos下输入netuse\\196.254.31.163/ipc$“”/user:
guest(首先确认另一台计算机打开guset用户,密码为空,并且设定在网络上可以访问此用户,这样才能顺利执行)如下图:
2 在dos下输入netview
得到了局域网中的计算机主机名
3 在dos下输入nettime\\196.254.31.163
在命令提示符下输出了另一台计算机的时间
五、讨论、心得
本次试验主要是熟悉dos下各种基于网络的命令,在做的过程中,除了最后一个费了很长时间外其它实验进行的还是非常顺利,最后一个net命令由于在实验指导书中某些关键步骤没有写进去,所以导致没有正确结果,比如在win7下早已取消了netsend命令,还有在用net的其他/她命令是得先用netuse,不过最后通过网上查找各种资料还是完成了,给我最大的收获还是计算机可以随意互联,虽然计算机互联已经是很普遍的事情了,但是一般的互联都没有感觉,而这次的互联则是物理上的,并且通过本次实验对tcp/ip协议又有了一定的了解。
实验二端口扫描与安全审计
一、Nmap简介
1.基本功能与目标端口状态说明
Nmap(NetworkMapper)是开放源码的网络探测和端口扫描工具,具有主机发现、端口扫描、操作系统检测、服务和版本检测、逃避放火墙及入侵检测系统等功能。
可从网站http:
//www.insecure.org/nmap/下载不同操作系统版本的源代码和可执行程序,而且提供了详细的中文使用手册(http:
//www.insecure.org/nmap/man/zh/)。
Nmap以表格形式输出扫描目标的端口号、协议、服务名称和状态,端口状态分别用开放(open)、关闭(closed)、已过滤(filtered)和未过滤(unfiltered)表示。
其中“开放”表示应用程序正在该端口监听连接或分组;
“关闭”表示没有应用程序在该端口监听;
“已过滤”表示防火墙或其他过滤器封锁了该端口,Nmap无法知道该端口的状态;
“未过滤”表示端口对Nmap探测有响应,但Nmap不能确定端口是开放还是关闭。
Nmap有时也可能输出open|filtered或closed|filtered的状态组合,表示不能正确识别端口处于其中那一个状态。
2.常用扫描类型
(1)-sT(TCPconnect()端口扫描);
(2)-sS(TCPSYN同步扫描);
(3)-sU(UDP端口扫描);
(4)-sN(Null扫描);
(5)-sF扫描(FIN)
(6)-sP(Ping扫描);
(7)-sX(Xmas扫描);
(8)-sA(TCPACK扫描,探测端口是否被过滤,open和closed端口返回RST报文,表示unfiltered,否则为filtered)
(9)-sM(TCPMaimon扫描,Maimon发现BSD系统探测报文FIN-ACK,响应RST);
(10)--scanflags(定制TCP标志位URG,ACK,PSH,RST,SYN,和FIN的任何组合设计扫描探测报文)
(11)-sW(TCP窗口扫描);
-sI(Idlescan盲扫描);
-sO(IP协议扫描)等,详细内容参考Nmap手册;
(12)未指定扫描类型,默认扫描类型为TCPSYN同步扫描。
3.命令参数选项
(1)主机发现参数(也称ping扫描,但与ping命令发送ICMP不同)
-sL(列表扫描)、-sP(Ping扫描)、-P0(无ping)、-PS[portlist](TCPSYNPing)、-PA[portlist](TCPACKPing)、-PU[portlist](UDPPing)、-PR(ARPPing)等。
(2)端口说明参数
-p
<
port
ranges>
仅扫描指定端口。
例如,-p22;
-p1-65535;
U:
53,111,137,T:
21-25,80,139,8080(其中U、T分别指定UDP和TCP端口)
(3)服务和版本探测参数
-sV(版本探测)、-sR(RPC扫描)
(4)操作系统探测参数
nmap-os-fingerprints文件包含了1500多个已知操作系统的指纹信息。
-O(操作系统检测)、-A(同时启用操作系统和服务版本检测)
(5)输出格式参数
Nmap具有交互、标准、XML等5种不同输出格式,默认为交互式输出。
-v(详细输出)
4.目标地址规范
Nmap支持多种目标地址规范,包括单个目标IP地址、主机名称和网络地址。
例如:
(1)nmap-sP192.168.7.8,对目标主机192.168.7.8ping扫描;
(2)nmap-sTscanme.nmap.org,对目标主机scanme.nmap.org进行TCPconnect()扫描;
(3)nmap-v192.168.10.0/24,扫描192.168.10.0至192.168.10.255之间的256台目标主机,其中输出参数-v表示显示详细信息verbose;
(4)nmap-v10.0.0-255.1-254,扫描10.0.0.1至10.0.255.254之间的所有IP地址;
(5)nmap-v0-255.0-255.13.37,扫描Internet所有以13.37结束的IP地址;
(6)nmap-v-iR1000-P0-p80,随机选择1000个目标主机扫描,其中-P0表示无ping扫描。
随机地址扫描格式为-iR<
numhosts>
,其中-iR表示随机地址扫描,numhosts表示随机地址数。
二、实验内容
1.安装nmap-4.01-setup.exe软件
注意事项:
采用nmap-4.01-setup.exe时将自动安装WinPcap分组捕获库,采用解压缩nmap-4.01-win32.zip时需事先安装WinPcap分组捕获库。
2.局域网主机发现
列表扫描:
nmap-sL局域网地址
C:
\ProgramFiles\Nmap>
nmap-sL202.207.252.0
StartingNmap4.01(http:
//www.insecure.org/nmap)at2010-12-0416:
31╓╨╣·
▒Ω╫╝
╩▒╝Σ
Host202.207.252.0notscanned
Nmapfinished:
1IPaddress(0hostsup)scannedin0.547seconds
3.扫描目标主机端口
连续扫描目标主机端口:
nmap–r目标主机IP地址或名称
4.服务和版本检测
目标主机服务和版本检测:
nmap-sV目标主机IP地址或名称
5.操作系统检测
目标主机操作系统检测:
nmap-O目标主机IP地址或名称
6.端口扫描组合应用
nmap-v-Ascanme.nmap.org
实验结果:
说句真实的感受就是不知道实在干什么,基本上都扫描不出来,也许自己对nmap的理解根本不到位,它所提供的功能根本没有达到预期的目的,也许现在的产品做的越来越完善了,漏洞很小了,在本地计算机上还是可以扫描出一些东西的。
实验三、网络入侵跟踪与分析
一、Ethereal网络协议分析软件
1.简介
Ethereal是开放源码的网络分组捕获与协议分析软件,具有网络分组捕获及分组细节显示功能。
Ethereal不仅可协助网络管理员、安全工程师、软件开发人员解决各自所关心的网络管理、安全威胁和协议调试等问题,也是深入学习网络协议的优秀工具。
可以从网站User'
sGuide,Ethereal-0.10.14版本支持725种网络协议。
2.主界面
Ethereal主界面采用分组跟踪列表框、协议层次框和原始分组框的形式,显示捕获分组的详细协议信息。
分组跟踪列表框按照分组捕获的先后时间顺序显示分组跟踪记录号、捕获时间、源IP地址、目标IP地址、协议等信息。
选中分组跟踪列表框中的一个分组后,协议层次框按照TCP/IP协议层次结构显示指定分组的物理层、数据链路层、网络层、传输层和应用层协议的详细信息;
原始分组框分别以十六进制和ASCII码形式显示指定分组的字节数据。
3.捕获菜单简要说明(Capture)
启动Ethereal,用CaptureOptions菜单命令设定分组捕获参数。
(1)捕获框Captureframe
(a)Interfaces:
在下拉菜单中选择捕获分组的网络接口;
(b)IPaddress:
显示设定网络接口的IP地址;
(c)Link-layerheadertype:
在下拉菜单中选择解析链路层首部类型的标准,除非有特殊要求,保持默认值Ethernet即可;
(d)Buffersize:
输入捕获分组时使用的操作系统缓冲区大小,Buffersize只适用于Windows操作系统平台;
(e)Capturepacketsinpromiscuousmode:
混杂模式可以捕获共享网络上的所有分组;
(f)Limiteachpackettonbytes:
将分组限制在n字节之内,如果不打算捕获分组封装的数据,输入分组首部字节数;
(g)CaptureFilter:
分组捕获过滤器,指定分组捕获过滤规则,Ethereal只捕获满足过滤规则的分组。
单击CaptureFilter按钮,Ethereal将弹出捕获规则对话框,方便用户选择或生成分组捕获过滤规则。
(2)捕获文件框CaptureFile(s)frame
(a)CaptureFiles:
指定保存分组文件的名称与路径,单击Browse按钮可以选择保存分组文件的路径;
(b)Usemultiplefiles:
将捕获分组保存到多个文件;
(c)Nextfileevery:
达到规定的byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s)后,切换到下一个文件,仅在Usemultiplefiles下有效;
(d)Nextfileevery:
达到规定的second(s)/minutes(s)/hours(s)/days(s)后,切换到下一个文件,仅在Usemultiplefiles下有效;
(e)Ringbufferwith:
使用环型缓冲,将分组捕获到多个文件;
仅在Usemultiplefiles下有效;
(f)Stopcaptureafter:
达到规定的n个文件之后停止捕获,仅在Usemultiplefiles下有效;
(g)Stopcaptureafter:
n个文件之后停止捕获,仅在Usemultiplefiles下有效;
(3)停止捕获框StopCaptureframe
(a)afternpacket(s):
达到指定的分组数目后,停止捕获;
(b)afternmegabytes(s):
达到指定byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s)容量后,停止捕获;
(c)afternminute(s):
达到规定的second(s)/minutes(s)/hours(s)/days(s)时间后,停止捕获;
(4)显示选择框DisplayOptionsframe
(a)Updatelistofpacketsinrealtime:
实时更新显示分组列表,否则,在停止捕获以前,Ethereal不显示任何分组;
(b)Automaticscrollinginlivecapture:
自动滚动显示新捕获的分组;
(c)Hidecaptureinfodialog:
隐藏捕获信息对话框;
(5)名称解析对话框NameResolutionframe
(a)EnableMACnameresolution:
解析MAC地址厂商名称;
(b)Enablenetworknameresolution:
解析网络地址的域名或主机名称;
(c)Enabletransportnameresolution:
将应用协议翻译成端口号;
(6)启动分组捕获
如果对捕获选项(CaptureOptions)对话框中的捕获参数设定不熟悉,在多数情况下可以使用Ethereal的默认值。
单击OK按钮启动分组捕获,单击Cancel按钮取消分组捕获。
4.统计菜单简要说明(Statistics)
(1)汇总统计Summary
汇总统计窗口显示有关文件(File)、时间(Time)、捕获(Capture)、流量(Traffic)方面的一般统计信息。
(a)File:
捕获文件的一般信息;
(b)Time:
捕获第一个分组、最后一个分组以及两者之间的时间;
(c)Capture:
捕获分组时的接口、丢失分组和捕获过滤器信息,仅在网络捕获分组时有效;
(d)Traffic:
网络流量统计信息;
(2)协议层次统计ProtocolHierarchy
协议层次统计窗口以树状结构显示有关协议名称(Protocol)、协议分组百分比(%Packets)、协议分组数(Packets)、字节数(Bytes)、带宽(MBit/s)等方面的统计信息。
(3)会话统计Conversations
网络会话泛指两个特定端点(MACaddress、IPaddress、TCPports、UDPports)之间的流量,例如,IP会话就是两个IP地址之间的网络流量。
会话统计窗口以协议选项卡方式显示网络会话统计信息。
(4)端点统计Endpoints
端点统计窗口以协议选项卡方式显示捕获端点的统计信息。
例如,Ethernet:
5表示捕获了5个MAC地址端点。
(5)IO图示统计IOGraphs
IO图示统计窗口按照用户定义的色彩显示捕获分组的统计信息。
1.ethereal-setup-0.10.14.exe软件安装
ethereal-setup-0.10.14.exe将自动安装WinPcap分组捕获库,不必事先安装WinPcap分组捕获库。
2.冲击波蠕虫病毒攻击分析
(1)冲击波蠕虫病毒攻击原理
冲击波蠕虫病毒W32.Blaster.Worm利用Windows2000/XP/2003等操作系统中分布式组件对象模型DCOM(DistributedComponentObjectModel)和远程过程调用(RPC(RemoteProcedureCall)通信协议漏洞进行攻击,感染冲击波蠕虫病毒的计算机随机生成多个目标IP地址扫描TCP/135(epmap)、UDP/135(epmap)、TCP/139、UDP/139、TCP/445、UDP/445、TCP/593、UDP/593端口寻找存在DCOMRPC漏洞的系统。
感染冲击波蠕虫病毒的计算机具有系统无故重启、网络速度变慢、Office软件异常等症状,有时还对Windows自动升级()进行拒绝服务攻击,防止感染主机获得DCOMRPC漏洞补丁。
根据冲击波蠕虫病毒攻击原理可知,计算机感染冲击波蠕虫病毒需要具备三个基本条件。
一是存在随机生成IP地址的主机;
二是Windows2000/XP/2003操作系统开放了RPC调用的端口服务;
三是操作系统存在冲击波蠕虫病毒可以利用的DCOMRPC漏洞。
(2)冲击波蠕虫病毒攻击过程分析
用Ethereal打开冲击波蠕虫病毒捕获文件Win2000-blaster.cap,通过协议分析回答下列问题(仅限于所捕获的冲击波蠕虫病毒):
(a)感染主机每次随机生成多少个目标IP地址?
答:
每次生成20个
(b)扫描多个端口还是一个端口?
如果扫描一个端口,是那一个RPC调用端口?
(c)分别计算第二组与第一组扫描、第三组与第二组扫描之间的间隔时间,扫描间隔时间有规律吗?
(d)共发送了多少个试探攻击分组?
(提示:
端点统计或规则tcp.flags.syn==1显示SYN=1的分组)
(e)有试探攻击分组攻击成功吗?
如攻击成功,请给出感染主机的IP地址。
如没有攻击成功的实例,说明为什么没有攻击成功?
TCP报文段SYN=1表示连接请求,SYN=1和ACK=1表示端口在监听,RST=1表示拒绝连接请求。
使用显示过滤规则tcp.flags.syn==1&
&
tcp.flags.ack==1确定是否有端口监听。
)
没有
如果说前两个实验是用来连接其它主机,并且获得其它主机的一些相关信息的话,本次实验则是其它主机发送到包到本主机的检测、分析,当然我是明白了这一点,并且还利用Ethereal去试探了自己本机接收包的情况,并且用实验已扫描的冲击波蠕虫病毒进行了分析,虽然有很多地方还是很不明确,但是至少明白了这个工具但第十干什么用的。
实验四、网络入侵检测系统
一、网络入侵检测系统Snort软件
Snort配置
在使用snort之前,需要根据保护网络环境和安全策略对snort进行配置,主要包括网络变量、预处理器、输出插件及规则集的配置,位于etc的snort配置文件snort.conf可用任意文本编辑器打开。
除内部网络环境变量HOME_NET之外,在大多数情况下,可以使用snort.conf的默认配置。
用文本编辑器打开Snort\etc\snort.conf文件,在设置网络变量步骤(Step#1:
Setthenetworkvariables:
)注释下找到“varHOME_NETany”,将any更换成自己机器所在子网的CIDR地址。
例如,假设本机IP地址为192.168.6.123,将“varHOME_NETany”更换成“varHOME_NET192.168.6.0/24”或特定的本机地址“varHOME_NET192.168.6.123/32”。
假设在C盘根目录下执行Snort命令,找到规则文件路径变量“varRULE_PATH••rules”,将其修改为varRULE_PATHC:
\snort\rules;
找到“includeclassification.config”,将classification.config文件的路径修改为includeC:
\snort\etc\classification.config;
找到“includereference.config”,将reference.config文件的路径修改为includeC:
\snort\etc\reference.config。
5.Snort命令格式与帮助
Snort命令格式:
\>
snort\bin\snort[-Options]<
BPFFilterOptions>
Snort命令帮助:
snort\bin\snort-?
特别注意:
Snort在Windows操作系统下要求给出命令执行的完整路径。
6.Snort主要命令参数选项
(1)-Aalert:
设置snort快速(fast)、完全(full)、控制台(console)或无(none)报警模式,alert取值full、fast、console或none其中之一。
-Afast:
快速报警模式仅记录时间戳(timestamp)、报警信息(alertmessage)、源IP地址、目标IP地址、源端口和目标端口;
-Afull:
完全报警是snort默认的报警模式,记录分组或报文首部所有字段信息和报警信息;
-Aconsole:
控制台报警模式将分组或报文首部和报警信息发送到控制台屏幕;
-Anone:
关闭报警。
(2)-csnort.conf:
使用snort配置文件snort.conf;
(3)-b:
采用Tcpdump二进制格式将分组记录到日志文件;
(4)-d:
显示应用数据;
(5)-e:
显示数据链路层的首部信息;
(6)-h<
hn>
:
指定本地网络(HomeNetwork)IP地址;
(7)-l<
directory>
将日志记录到指定的目录directory,默认日志目录是\Snort\log;
(8)-i<
if>
在指定的网络接口<
上监听;
(9)-r<
tf>
从Tcpdump文件<
中读取分组处理,而不监测网络分组;
(10)-s:
将报警信息发送到系统日志;
(11)-v:
详细输出(Beverbose);
(12)-V:
显示Snort版本号;
(13)-W:
列出本机可用的网络接口(仅在Windows下有效);
(14)-w:
显示IEEE802.11WLAN的管理帧
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- TYUT 信息技术 实验 报告