网络数据报分析邓.docx
- 文档编号:29621452
- 上传时间:2023-07-25
- 格式:DOCX
- 页数:30
- 大小:2.33MB
网络数据报分析邓.docx
《网络数据报分析邓.docx》由会员分享,可在线阅读,更多相关《网络数据报分析邓.docx(30页珍藏版)》请在冰豆网上搜索。
网络数据报分析邓
课程实训报告
课程名称:
计算机网络安全
二级学院:
汽车与电子工程学院
年级、专业:
2009级计算机科学与技术
学生姓名:
邓百胜
学号:
指导教师:
马味
完成时间:
2012-12-8
实验1网络数据报分析
一:
实验目的
1.学会使用Telnet服务远程登录一台计算机;
2.熟悉IP头结构;抓取并分析理解TCP连接的数据报;
3.抓取并分析理解UDP数据报。
二:
实验内容
1.使用Telnetet服务,远程登陆计算机,并使用SnifferPro抓取些过程。
2.分析SnifferPro抓取的任一数据包的IP头结构,并分析其组成。
3.进行远程登陆,并跟踪记录TCP连接和断开的过程,分析协议的交互过程。
三:
实验步骤
步骤1使用Telnet远程登录
使用Telnet服务,远程登录虚拟机中的操作系统,并使用SnifferPro抓取些过程。
要使用Telnet服务,首先需要在虚拟机上开启Telnet服务,选择进入Telnet服务管理器。
如图
在Telnet服务管理器中,选择4,启动Telnet服务器,如图;
虚拟机上的Telnet服务器启动后,打开SnifferPro,按照实验1的设置,开始捕捉数据包。
之后在主机的命令行窗口中连接虚拟机中的Telnet服务器
步骤2分析数据报的IP头结构
首先,再熟悉一下IP头结构,IP头的结构如表
版本(4位)
头长度(4位)
服务类型(8位)
封包总长度(16位)
封包标识(8位)
标志(3位)
片断偏移地址(13位)
存活时间(8位)
协议(8位)
校验和(16位)
源IP地址(32位)
目的IP地址(32位)
选项(可选)
填充(可选)
数据
查看Sniffer分析的结果,如图:
具体分析如图:
步骤3分析TCP连接时的数据报
TCP首先通过三次握手完成连接的准备,握手就是为了保证传输的同步,“三次握手”的过程如图:
实验中,Telnet服务中TCP连接和断开过程的抓取,最上面的三次全话是“三次握手”的过程,最下面的四次会话是“四次握手”的过程。
1.第1次握手
首先分析建立“握手”的第一个过程包的结构,主机A的TCP向主机B的TCP发出连接请求分组,其头部中的同步比特SYN应置为1。
应答比特ACK应置为0,如图:
2.第二次握手
主机B的TCP收到连接请求分组后,如同意建立连接,则发回确认分组中应将SYN位和ACK位均置1,如图:
3.第三次握手
对方计算机返回的数据包中ACK为1且SYN为1,说明同意连接。
这时需要源计算机的确认数据包的结构如图:
通过三次“握手”,TCP成功建立连接,然后就可以进行通信。
需要断开连接,TCP也需要互相确认才可以断开连接,否则就是非法断开连接。
断开连接时的四次“挥手”过程,如图:
步骤4使用常用的网络命令
常用的网络命令有:
判断主机是否连通的ping指令,查看IP地址配置情况的ipconfig指令、网络连接状态的netstat指令、网络操作的net指令和定时器操作的at指令,等等
1.ping指令
ping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接。
应答消息的接收情况将与往返过程的次数一起显示出来。
Ping指令用于检测网络的连接性和可到达性,如果不带参数,ping将显示帮助,如图:
2.ipconfig指令
ipconfig指令显示所有TCP/IP网络配置信息、刷新动态主机配置协议(DHCP)和域名系统(DNS)设置。
使用不带参数的ipconfig可以显示所有适配器的IP地址、子网掩码和默认网关。
在DOS命令下输入ipconfig指令。
如图:
3.netstat指令
netstat指令显示活动的连接、计算机监听的端口、以太网统计信息、IP路由表、IPv4统计信息(IP,ICMP,TCP和UDP协议)。
使用“netstat-an”命令可以查看目前活动的连接和开放的端口,是网络管理员查看网络是否被入侵的最简单方法。
使用的方法如图:
当前计算机开放了很多端口,状态为“LISTENING”表示某端口正在监听,还没有和其他计算机建立连接,状态为“ESTABLISHED”表示正在和某计算机进行通信,并将通信计算机的IP地址和端口号显示出来。
4.net指令
net指令的功能非常强大,在网络安全领域通常用来查看计算机上的用户列表、添加和删除用户、与对方计算机建立连接、启动或者停止某网络服务等。
利用net指令可以在命令行下新建一个用户并将用户添加管理员组。
5.at指令
使用at指令建立一个计划任务,并设置在某一时刻执行,但是必须首先与对方建立信任连接,
6.tracert指令
tracert(跟踪路由)是跟由跟踪实用程序,用于确定IP数据报访问目标所采取的路径。
四:
实验结果:
通过以上学习,基本掌握了Telnet软件的运用和常用网络命令Ping的使用。
如何捕获数据包、怎样分析数据包以及如何过虑数据包。
但学习Telnet的使用不是最终目的,Telnet只是辅助工具,真正需要掌握的是TCP包格式,以及各个字段的含义及作用。
通过分析,更加加深了本人对TCP/IP协议簇的里理解。
实验2SDK编程基础
一:
实验目的
1.熟悉VC++6.0开发环境,了解SDK消息响应机制。
2.理解注册表编程过程。
3.熟悉VCSDK定时器编程。
4.熟悉VCSDK文件系统编程。
二:
实验内容
1.创建第一个VC++6.0工程,编写第一个VC++程序“HelloC++”;
2.编程实现修改用户登录名;
3.使用API函数库进行定时器编程,实现在标准输出中每秒中打印一行“TimerisworkingTimerisworkingandtheintervalis1000ms”,打印5次后退出定时器;
4.使用API函数进行文件系统编程,手动在C盘根目录下创建一个test.txt,然后将其复制成test1.txt和test2.txt两个文件,并将test1.txt删除。
三:
实验步骤
步骤1熟悉VC++开发环境
创建第一个VC++6.0工程,编写第一个VC++程序“HelloC++”。
首先,进入VC++6.0的编程界面,选择“File”→”New”菜单命令,在弹出的“New”对话框中,选择“Projects”选项卡,如图:
这时可以看到许多工程类型,这里新建的是一个控制台程序,选择“Win32ConsoleApplication”,选择工程存放的路径,然后输入工程名“proj3_01“,然后单击按钮”OK”.出现创建工程模板界面如图:
选择创建工程的模板,选择空模板“Anemptyproject“,单击“Finish
“按钮,出现工程总结对话框,如图:
选择添加文件的类型是C++SourceFile,在”File”栏中输入要添加的文件名“Proj3_01“,单击”OK“按钮,出现的文件编辑界面如图:
输入以下代码:
#include
Voidmain()
{
cout<<”helloC++”< } 输入完毕,代码输入窗口如图 选择“Build“→“Executeproj3_1.exe”菜单命令编译程序,如图 步骤2编写简单的文件管理程序 使用API函数进行文件系统编程,在C盘根目录下创建一个test.txt,然后将其复制成test1.txt和test2.txt两个文件,并将test.txt删除。 程序执行结果如图: 分别为文件创建成功前、文件创建成功后、文件复制成功后、文件删除成功后的文件所在文件夹所在文件夹截图和程序运行过程图。 程序执行结果如下图: 文件创建成功后的目录如图: 文件复制成功后的目录 步骤3编程实现修改用户登录名 注册表的句柄可以由调用RegOpenKeyEx()和RegCreatKeyEx()函数得到,通过函数RegQieryValueEx()可以查询注册表某一项的值,通过函数RegSetValueEx()s可以设置注册表某一项的值,利用编程修改用户登录来理解注册表编程的过程。 将程序编译成可执行文件,复制在目标计算机上执行,执行的结果如图: 注销当前用户,然后再登录,可以看到登录名已经修改,如图: 需要解释的代码有两处。 IRetCode=RegOpenKeyEx(HEKY_LOCAL_MACHINE,”SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Winlogon”,0,KEY_WRITE,&Hkey1); 通过RegOpenKeyEx打开注册表相应的键值,前两个参数分别是主键和子键,第3个参数总是0或者NULL,第4个参数是打开方式,这里是以写的方式打开。 打开该键值以后,返回一个hKey1句柄指向该注册表,通过该函数的返回值判断是否成功执行。 IRetCode=RegSetValueEx(hKey1,”DefaultUserName’,0,REG_SZ,(byte*)”Hacker_sixage,20); 通过RegSetValueEx()函数写注册表相关的键值,第1个参数是Hkey1,是键值的句柄,第2个参数是要写的键名,第3个参数总是0或者NULL,第4个参数是数据类型,注册表中常用的数据类型有REG_SZ(字符型),EG_EXPAND_SZ(字符型)和REG_WORD(数字型),第4个参数是要写的值,第5个参数是要写值的最大长度,这里是20,当长度超过20时,自动截取前面20个字符。 四: 实验总结 过这次实验,大致了解了VC++6.0主要特点及环境配置,懂得如何简单的编译代码,截取图象。 学的的只是一点点皮毛,但是我会努力学习的。 调试程序的时候有简单到复杂,程序调试出错时,可以先把一些程序注释掉,直流很少的一部分,确保程序正确运行,然后再逐渐段的释放代码,就会很容易发现问题所在。 实验3端口扫描原理与实现 一.实验目的 1.熟悉网络扫描原理,熟悉使用网络扫描工具 2.理解端口扫描的意义和过程,熟悉端口扫描常见技术 3.掌握简单SOCKET编程,并编程实现TCP连接扫描 二实验内容 1.使用工具软件GetNTUser进行系统用户扫描 2.使用工具软件ProScan进行开放端口扫描 3.使用工具软件S进行共享目录扫描 4.使用工具软件X-Scan-v2.3进行漏洞扫描 5.编写程序实现端口扫描 三实验内容 步骤1学习端口扫描的相关知识 端口扫描通常指用同一个信息对目标主机的所有需要扫描的端口进行发送探测数据,然后根据返回数据的状态来分析目标主机端口是否打开、是否可用。 端口扫描也可以通过捕获本地主机或服务器的流入流出数据包来监视本地IP主机的运行情况。 它能对接收的数据进行分析,帮助发现目标主机某些内在的弱点。 端口扫描是最基本的网络安全扫描技术,它的基本流程如图: 步骤2系统用户扫描 此处使用的软件是GetNtUser。 该软件是完全的图形化界面,使用简单,可以使用多种方式对系统的密码强度进行测试,主界如图: 选择“文件”→“添加主机”菜单命令,在弹出的“AddHost”菜单命令,在弹出的“AddHost”对话框中输入目标计算机的IP地址,如图: 得到对方的用户列表。 单击工具栏上的图标,得到用户列表如图: 步骤3开放端口扫描 使用工具软件PortScan可以到得到对方计算机开放的端口,其主界面如图: 步骤4共享目录扫描 通过工具软件Shed来扫描对方主机,得到对方计算机提供了哪些目录共享,Shed工具软件的主界面如图: 该软件可以扫描一个IP地址段的共享信息。 步骤5漏洞扫描 使用工具软件X-Scan-v2.3可进行漏洞扫描,该软件采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能,提供图形界面和命令行两种操作方式,扫描内容包括: 远程操作系统类型及版本; 扫描结果保存在/log/目录中,index_*.htm为扫描结果索引文件, 可以利用该软件对系统存在的一些漏洞进行扫描,选择“设置“→”扫描参数“菜单命令,打开”扫描模块“窗口,扫描参数的设置如图: 可以看出该软件可以对常用的网络及系统的漏洞进行全面扫描。 下面进行一次漏洞扫描,选择所有复选框,单击“确定“按钮。 下面需要确定要扫描的主机的IP地址或IP地址段,选择”设置“→”扫描参数“菜单命令,打开”扫描参数“窗口,因为只扫描一台主机,所以直接在指定IP范围框中输入”192.168.1.19“即可,如图: 设置完毕后,单击工具栏上的图标“开始“对目标主机进行漏洞扫描,如图: 该报告存放在软件包所在目录的log文件夹中,其中index_192.168.1.123htm为检测报告清单,192.168.1.123.htm为详细检测报告。 强烈建议每次检测结束后备份这两个文件,否则下次检测同一个主机时会覆盖原有文件。 该检测报告结果显示发现了许多系统漏洞,可以利用这些漏洞实施系统入侵。 步骤6编程实现TCP连接编程 TCP连接扫描,也称为全TCP连接,是长期以来TCP端口扫描的基础。 扫描主机尝试(使用三次握手)与目标主机指定端口建立建立正规的连接。 连接由系统调用connect()开始,对于每一个监听端口,connect()会获得成功,否则返回-1,表示端口不可访问。 由于通常情况下,这不需要什么特权,所以几乎所有的用户(包括多用户环境下)都可以通过connect()来实现这个技术。 程序流程如图: 实验4网络攻击与网络后门 一实验目的: 1.理解网络攻击中“字典“的作用 2.掌握使用工具软件破解操作、破解邮箱及软件的密码 3.熟练使用“冰河“木马,并理解其实现原理 4.熟练使用“跳板“工具 二实验内容 1.使用各类工具软件进行网络攻击 2.使用“冰河“木马进行远程控制 3.使用Snake代理跳板 三实验步骤 步骤1暴力破解操作系统密码 字典攻击是最常见的一咱暴力攻击。 字典文件为暴力破解提供了一条捷径,程序首先通过扫描得到系统的用户,然后利用字典中每一个密码来登录系统,看是否成功,如果成功则显示密码。 使用简单的字典文件,利用工具软件GetNTUser仍然可以将管理员密码破解出来,如图 步骤2暴力破解邮箱密码 使用比较著名的破解电子邮箱密码的工具软件“黑雨---POP3邮箱密码暴力破解器“,其主界面如图: 步骤3暴力破解软件密码 目前许多软件都具有加密的功能,这些文档密码可以有效防止文档被人使用和阅读。 但是如果密码位数不够长的话,同样容易被破解。 Word文档和Excel文档是可以加密的,密码一般是3到4位,首先对一份Word文档进行加密,选择Office2007菜单栏“Office2007菜单栏“Office按钮“下的”准备“菜单项,如图: 在“准备“菜单栏中选择”加密文档“选项,打开”加密文档“对话框,在”密码“文本框中输入密码”123“: 如图: 单击工具栏按钮“Openfile“,打开刚才建立的Word文档,程序打开成功后会在”LogWindow“中显示成功打开的消息,如图 设置密码长度最短的是1位,最长是3位,单击工具栏的“Start“图标,开始破解密码,大约两秒钟后,密码被破解。 步骤5使用代理跳板 使用Snake代理踏板需要首先在每一级跳板主机安装Snake代理服务器.程序文件是SkSockServer.exe,将该文件复制到目标主机上.为了安全起见,一般情况下不会把主机设置为一级代理.这里为了演示方便,将本地计算机设置为一级代理,将文件复制到C盘根目录下,然后将代理服务安装到主机上,安装需要4个步骤,如图: 第1步执行”sksockserver-install”,将代理服务安装到主机中,第2步执行”sksockserver-configport1122”,将代理服务的端口设置为1122,第3步执行: ”skserver-configstarttype2”,将该服务的启动方式设置为自动启动;第4步执行”netstartskserver”,启动代理服务,设置完毕以后,使用”netstat-an”命令查看1122端口是否开放,如图: 选择“配置”→“经过的SKServer”菜单命令,在出现的经过的SKServr对话框中设置代理的顺序,第1级代理是本地的1122端口,IP地址是127.0.0.1;第2级代理是172.18.25.109,端口是1122,注意将复选框“允许”选中,如图: 设置可以访问该代理的客户端口,选择“配置”→“客户端”菜单命令,这里只允许本地访问该代理服务,所以将IP地址设置为127.0.0.1子网掩码设置为“255.255.255.255”,并将复选框“允许”选择中。 如图: 一个二级代理设置完毕。 选择“命令”→“开始”菜单命令。 启动该代理跳板,如图: 4.实验总结 学习和实践过程中,我们以具体的攻击软件和攻击防范工具,进行相关的技术训练,在强化理论的同时,掌握相关操作技能。 通过攻击系统实例演示,使我们了解入侵检测系统的原理和使用。 通过网络攻击实例,使我们了解网络攻击实现的原理,加强防范意识。 通过实践网络攻击与防范攻击技术,使我们掌握网络攻击及防范技术。 实验5防火墙与入侵检测的实现 一实验目的 1.理解包过滤防火墙的规则 2.熟练配置包过滤防火墙 3.掌握使用程序检测程序关联的端口 二实验内容 1.创建包过滤防火墙规则 2.使用规则控制FTP和HTTP访问 3.端口与程序关联监控程序 三实验步骤 步骤1创建包过滤防火墙规则 WinRoute目前应用得比较广泛,即可以作为一个服务器的防火墙系统,也可以作为一个代理服务器软件,这里作用WinRoute4.1其安装文件如图: 以管理员身份在虚拟机的操作系统中安装该软件,安装完毕后,启动“WinRouteAdministstration”.WinRoute的登录界面如图: 默认情况下为空,该密码为空。 单击“OK”按钮,进入系统管理,当系统安装完毕以后,该主机不能上网,需要修改默认设置,单击工具栏图标,出现本地网络设置对话框,然后查看“Ethernet”的属性,将两个复选框全部选中,如图: 利用WinRoute创建包过滤规则,创建的规则内容是: 防止主机被别的计算机使用ping指令探测。 选择“Seting”“Advanced”“PacketFilter”(包过滤)菜单命令,单击“Add”按钮。 出现“AddItem”对话框,所有的过滤规则都在此处添加,如图: 因为ping指令使用的协议是ICMP,所以这里要对ICMP协议设置过滤规则,在“Protocol”下拉列表中选择“ICMP”,单击“OK”按钮,如图: 在“ICMPType“中,将复选框全部选中,在”Action“中选择单选框”Drop“.在”LogPacket“中选择”Logintowindow“,选择完毕后单击”OK“按钮,一条规则就创建完毕,如图: 为了使设置的规则生效,单击“应用“按钮,设置完毕,该主机就不再响应外界的ping指令了,使用ping指令来探测主机将收不到回应,如图: 虽然主机没有响应,但已经将事件记录到安全日志,选择“View“”Log“”Securitylogs“菜单项,查看日志记录。 如图: 步骤2使用WinRouter禁用FTP访问 FTP服务使用TCP协议,FTP占用TCP的21端口,主机的IP是192.168.0.18.首先创建规则,如图: 设置访问规则后,再访问主机“192.168.1.19“的FTP服务,将遭到拒绝,如图: 访问违反了访问规则会在主机的安全日志中记录下来。 如图: 步骤3使用WinRoute禁用HTTP访问 HTTP服务使用TCP协议,占用TCP协议的80端口,主机的IP地址是192.168.1.19.首先创建规则: 如图: 打开本地的IE连接远程主机的HTTP服务,将遭到拒绝,如图: 访问违反了访问规则,所以在主机的安全日志中记录下来,如图: 步骤4检测与端口关联的应用程序 网络入侵者都会连接到主机的某个非法端口,通过检查出与端口关联应用程序,可以进行入侵检测,这种方法属于静态配置分析。 利用工具软件fport.exe可以检查与每一端口关联的应用程序,在虚拟机的Windows2000系统中执行程序如图: 经常查看与端口关联的应用程序,如果遇到没有见过的应用程序路径,就有可能是非法入侵者开启的端口,将输出与端口相关的所有程序所在路径。 四: 实验总结: 通过这次实验,我基本掌握了软件winRoute的包过滤防火墙创建及操作配置方法,理解包过滤的原理和规则。 进一步加深了对TCP/IP协议的理解和认识。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 数据 分析