《网络安全管理课程设计》实训指导书.docx

《网络安全管理课程设计》实训指导书.docx

《《网络安全管理课程设计》实训指导书.docx》由会员分享，可在线阅读，更多相关《《网络安全管理课程设计》实训指导书.docx（58页珍藏版）》请在冰豆网上搜索。

《网络安全管理课程设计》实训指导书

《网络安全管理课程设计》实训

实验指导书

实验一

学习网络安全相关法律法规

实验目的：

学习网络安全相关法律法规

实验步骤：

1.上网搜索网络安全相关法律法规；

2.学习：

●《互联网上网服务营业场所管理条例》

●《互联网电子公告服务管理规定》

●《计算机病毒防治管理办法》

●《中华人民共和国计算机信息系统安全保护条例》

●《互联网信息服务管理办法（国务院令第292号）》

●《计算机信息网络国际联网安全保护管理办法》

●《关于维护互联网安全的决定》

●《中华人民共和国刑法（摘录）:

第二百八十五条第二百八十六条第二百八十七条》

实验二

常用攻击协议的原理验证

一、ARP欺骗

背景描述：

流经主机A和主机C的数据包被主机D使用ARP欺骗进行截获和转发。

流经主机E（172.16.0.2接口）和主机F的数据包被主机B（172.16.0.1接口）使用ARP欺骗进行截获和转发。

环境拓扑图如下：

原理：

ARP表是IP地址和MAC地址的映射关系表，任何实现了IP协议栈的设备，一般情况下都通过该表维护IP地址和MAC地址的对应关系，这是为了避免ARP解析而造成的广播数据报文对网络造成冲击。

ARP表的建立一般情况下是通过二个途径：

    1、主动解析，如果一台计算机想与另外一台不知道MAC地址的计算机通信，则该计算机主动发ARP请求，通过ARP协议建立（前提是这两台计算机位于同一个IP子网上）；

    2、被动请求，如果一台计算机接收到了一台计算机的ARP请求，则首先在本地建立请求计算机的IP地址和MAC地址的对应表。

因此，针对ARP表项，一个可能的攻击就是误导计算机建立正确的ARP表。

根据ARP协议，如果一台计算机接收到了一个ARP请求报文，在满足下列两个条件的情况下，该计算机会用ARP请求报文中的源IP地址和源MAC地址更新自己的ARP缓存：

1、如果发起该ARP请求的IP地址在自己本地的ARP缓存中；

2、请求的目标IP地址不是自己的。

举例说明过程:

假设有三台计算机A，B，C，其中B已经正确建立了A和C计算机的ARP表项。

假设A是攻击者，此时，A发出一个ARP请求报文，该ARP请求报文这样构造：

1、源IP地址是C的IP地址，源MAC地址是A的MAC地址；

2、请求的目标IP地址是B的IP地址。

这样计算机B在收到这个ARP请求报文后（ARP请求是广播报文，网络上所有设备都能收到），发现C的ARP表项已经在自己的缓存中，但MAC地址与收到的请求的源MAC地址不符，于是根据ARP协议，使用ARP请求的源MAC地址（即A的MAC地址）更新自己的ARP表。

这样B的ARP缓存中就存在这样的错误ARP表项：

C的IP地址跟A的MAC地址对应。

这样的结果是，B发给C的数据都被计算机A接收到。

步骤：

按照拓扑结构图连接网络，使用拓扑验证检查连接的正确性。

    本练习将主机A、C和D作为一组，主机B、E、F作为一组。

现仅以主机A、C和D为例说明试验步骤。

（由于两组使用的设备不同，采集到的数据包不完全相同）

1.主机A和主机C使用“arp-a”命令察看并记录ARP高速缓存。

2.主机A、C启动协议分析器开始捕获数据并设置过滤条件（提取ARP协议和ICMP协议）。

3.主机Aping主机C。

观察主机A、C上是捕获到的ICMP报文，记录MAC地址。

4.主机D启动仿真编辑器向主机A编辑ARP请求报文（暂时不发送）。

其中：

    MAC层：

“源MAC地址”设置为主机D的MAC地址

           “目的MAC地址”设置为主机A的MAC地址

    ARP层：

“源MAC地址”设置为主机D的MAC地址

           “源IP地址”设置为主机C的IP地址

           “目的MAC地址”设置为000000-000000。

           “目的IP地址”设置为主机A的IP地址

5.主机D向主机C编辑ARP请求报文（暂时不发送）。

其中：

    MAC层：

“源MAC地址”设置为主机D的MAC地址

           “目的MAC地址”设置为主机C的MAC地址

    ARP层：

“源MAC地址”设置为主机D的MAC地址

           “源IP地址”设置为主机A的IP地址

           “目的MAC地址”设置为000000-000000。

           “目的IP地址”设置为主机C的IP地址

6.同时发送第4步和第5步所编辑的数据包。

注意：

为防止主机A和主机C的ARP高速缓存表被其它未知报文更新，可以定时发送数据包（例如：

每隔500ms发送一次）。

7.观察并记录主机A和主机C的ARP高速缓存表。

8.在主机D上启动静态路由服务（方法：

在命令行方式下，输入“staticroute_config”），目的是实现数据转发。

9.主机D禁用ICMP协议。

a.在命令行下输入“mmc”，启动微软管理控制台。

b.导入控制台文件。

单击“文件（F）\打开（O）...”菜单项来打开“c:

\WINNT\system32\IPSecPolicy\stopicmp.msc”。

c.导入策略文件。

单击“操作（A）\所有任务（K）\导入策略（I）...”菜单项来打开“c:

\WINNT\system32\IPSecPolicy\stopicmp.ipsec”。

此命令执行成功后，在策略名称列表中会出现“禁用ICMP”项。

d.启动策略。

用鼠标选中“禁用ICMP”项，单击右键，选择“指派（A）”菜单项。

10.主机A上ping主机C（“ping主机C的IP地址–n1”）。

-n：

发送count指定的ECHO数据包数。

通过这个命令可以自己定义发送的个数，对衡量网络速度很有帮助。

能够测试发送数据包的返回平均时间及时间的快慢程度。

默认值为4。

11.主机A、C停止捕获数据，分析捕获到的数据，并回答以下问题：

e.主机A、C捕获到的ICMP数据包的源MAC地址和目的MAC地址是什么？

f.结合主机A和主机C捕获到的数据包，绘制出第6步发送的ICMP数据包在网络中的传输路径图。

主机D取消对ICMP的禁用。

在微软管理控制台（mmc）上，用鼠标选中“禁用ICMP”项，单击右键，选择“不指派（U）”菜单项。

二、利用ICMP重定向进行信息窃取

原理

 在Internet上，主机数量要比路由器多出许多，为了提高效率，主机都不参与路由选择过程。

主机通常使用静态路由选择。

当主机开始联网时，其路由表中的项目数很有限，通常只知道默认路由的IP地址。

因此主机可能会把某数据发送到一个错误的路由，其实该数据本应该发送给另一个网络的。

在这种情况下，收到该数据的路由器会把数据转发给正确的路由器，同时，它会向主机发送ICMP重定向报文，来改变主机的路由表。

    路由器发送ICMPRedirect消息给主机来指出存在一个更好的路由。

ICMPRedirect数据包使用下图中显示的结构。

当IP数据报应该被发送到另一个路由器时，收到数据报的路由器就要发送ICMP重定向差错报文给IP数据报的发送端。

ICMP重定向报文的接收者必须查看三个IP地址：

（1）导致重定向的IP地址（即ICMP重定向报文的数据位于IP数据报的首部）；

（2）发送重定向报文的路由器的IP地址（包含重定向信息的IP数据报中的源地址）；

    （3）应该采用的路由器的IP地址（在ICMP报文中的4-7字节）。

类型=5

代码=0-3

检 验 和

应该使用的路由器IP地址

IP首部（包括选项）+原始IP数据报中数据的前8字节

    代码为0：

路由器可以发送这个ICMP消息来指出有一个到达目标网络的更好方法。

    代码为1：

路由器可以发送这个ICMP消息来指出有一个到达目标主机的更好方法。

    代码为2：

路由器可以发送这个ICMP消息来指出有一个更好的方法到达使用希望的TOS目标网络。

    代码为3：

路由器可以发送这个ICMP消息来指出有一个更好的方法到达使用所要求的TOS的目标主机。

环境拓扑图如下：

步骤：

1.主机A启动ICMP重定向功能，在命令行方式下输入“icmpredirect_configenable”。

2.主机B启动静态路由服务，在命令行方式下输入“staticroute_config”。

3.主机A、B、D、E、F启动协议分析器开始捕获数据并设置过滤条件（提取ICMP协议）。

4.主机Aping主机E（172.16.0.2），察看主机A、B、D、E、F捕获到的数据。

通过此ICMP及其应答报文的MAC地址，绘制其在网络中的传输路径图。

5.主机C模拟主机B的身份（172.16.1.1）向主机A发送ICMP重定向报文，其中：

MAC层：

“源MAC地址”设置为主机C的MAC地址

       “目的MAC地址”设置为主机A的MAC地址

IP层：

“源IP地址”设置为主机B的IP地址（172.16.1.1）

      “目的IP地址”设置为主机A的IP地址（172.16.1.2）

ICMP层：

“类型”设置为5

        “代码”设置为1

        “网关地址”设置为主机C的IP地址（172.16.1.3）

ICMP数据：

伪造的主机A向主机E发送的ping请求报文的一部份（包括整个IP首部和数据的前8个字节）。

注意：

为防止主机B的路由表被其它未知数据包更新，可以定时发送此报文（例如：

每隔500ms发送一次）。

6.查看主机A的路由表（routeprint）发现一条到主机E的直接路由信息，其网关是主机C的IP地址（172.16.1.3）。

7.在主机C上启动静态路由服务（方法：

在命令行方式下，输入“staticroute_config”），并添加一条静态路由条目（方法：

在命令行方式下，输入“routeadd172.16.0.0mask255.255.255.0172.16.1.1metric2”），目的是实现数据转发。

8.主机C禁用ICMP协议。

a）在命令行下输入“mmc”，启动微软管理控制台。

b）导入控制台文件。

单击“文件（F）\打开（O）...”菜单项来打开“c:

\WINNT\system32\IPSecPolicy\stopicmp.msc”。

c）导入策略文件。

单击“操作（A）\所有任务（K）\导入策略（I）...”菜单项来打开“c:

\WINNT\system32\IPSecPolicy\stopicmp.ipsec”。

此命令执行成功后，在策略名称列表中会出现“禁用ICMP”项。

d）启动策略。

用鼠标选中“禁用ICMP”项，单击右键，选择“指派（A）”菜单项。

9.主机Aping主机E（172.16.0.2），查看主机A、B、E、F捕获到的数据：

g.通过此ICMP及其应答报文的MAC地址，绘制其在网络中的传输路径图。

h.比较两次ICMP报文的传输路径，简述ICMP重定向报文的作用。

i.简述第5步和第6步在信息窃取过程中所起到的作用。

10.主机C取消对ICMP的禁用。

在微软管理控制台（mmc）上，用鼠标选中“禁用ICMP”项，单击右键，选择“不指派（U）”菜单项。

11.主机C在命令行下输入“recover_config”,停止静态路由服务。

三、TCP与UDP端口扫描

环境拓扑图如下：

说明：

IP地址分配规则为主机使用原有IP，保证所有主机在同一网段内。

步骤：

将主机A和B作为一组，主机C和D作为一组，主机E和F作为一组。

现仅以主机A和B为例，说明实验步骤。

一：

TCPConnect扫描

1.在主机B上启动协议分析器进行数据捕获,并设置过滤条件（提取TCP协议）。

2.在主机A上使用TCP连接工具，扫描主机B的某一端口：

    a.主机A上填入主机B的IP、主机B的某一开放端口号，点击“连接”按钮进行连接。

    b.观察提示信息，是否连接上。

    c.主机A点击“断开”按钮断开连接。

    d.主机A使用主机B的某一未开放的端口重复以上试验步骤。

3.察看主机B捕获的数据，分析连接成功与失败的数据包差别。

   结合捕获数据的差别，说明TCPConnet扫描的实现原理。

二：

TCPSYN扫描

1.在主机A上使用端口扫描来获取主机B的TCP活动端口列表（扫描端口范围设置为0~65535）。

2.在主机B上启动协议分析器进行数据捕获,并设置过滤条件（提取TCP协议）。

3.主机A编辑TCP数据包：

  MAC层：

    目的MAC地址：

B的MAC地址。

    源MAC地址：

A的MAC地址。

  IP层：

    源IP地址：

A的IP地址。

    目的IP地址：

B的IP地址。

  TCP层：

    源端口：

A的未用端口（大于1024）。

    目的端口：

B的开放的端口（建议不要选择常用端口）。

    标志SYN置为1，其他标志置为0。

4.发送主机A编辑好的数据包。

5.修改主机A编辑的数据包（将目的端口置为主机B上未开放的TCP端口），将其发送。

6.察看主机B捕获的数据，找到主机A发送的两个数据包对应的应答包。

    分析两个应答包的不同之处，说明TCPSYN扫描的实现原理。

三：

UDP端口扫描

1.在主机B上使用命令“netstat-a”，显示本机可用的TCP、UDP端口。

注意：

通过此命令，会得到一个UDP开放端口列表，同学可以在UDP开放端口列表中任选一个来完成此练习。

下面以microsoft-ds（445）端口为例，说明练习步骤。

2.在主机B上启动协议分析器进行数据捕获并设置过滤条件（提取主机A的IP和主机B的IP）。

3.主机A编辑UDP数据包：

  MAC层：

    目的MAC地址：

B的MAC地址。

    源MAC地址：

A的MAC地址。

  IP层：

    源IP地址：

A的IP地址。

    目的IP地址：

B的IP地址。

  UDP层：

    源端口：

A的可用端口。

    目的端口：

B开放的UDP端口445。

4.发送主机A编辑好的数据包。

5.修改主机A编辑的数据包（将目的端口置为主机B上未开放的UDP端口），将其发送。

6.察看主机B捕获的数据。

    主机A发送的数据包，哪个收到目的端口不可达的ICMP数据报。

说明这种端口扫描的原理。

使用这种端口扫描得到的结果准确吗？

说明理由。

四、路由欺骗

原理：

RIP协议是通过周期性（一般情况下为30S）的路由更新报文来维护路由表的，一台运行RIP路由协议的路由器，如果从一个接口上接收到了一个路由更新报文，它就会分析其中包含的路由信息，并与自己的路由表进行比较，如果该路由器认为这些路由信息比自己所掌握的要有效，它便把这些路由信息引入自己的路由表中。

 这样如果一个攻击者向一台运行RIP协议的路由器发送了人为构造的带破坏性的路由更新报文，就很容易的把路由器的路由表搞紊乱，从而导致网络中断。

 如果运行RIP路由协议的路由器启用了路由更新信息的HMAC验证，则可从很大程度上避免这种攻击，另外RIP第二版增加了在安全方面的功能。

环境拓扑图如下：

步骤：

1.在主机A、B、D、E、F上启动协议分析器开始捕获数据，并设置过滤条件（提取RIP和ICMP）。

2.主机B和主机E启动RIP协议并添加新接口：

① 在主机B上启动RIP协议：

在命令行方式下输入“rip_config”；

② 在主机E上启动RIP协议：

在命令行方式下输入“rip_config”；

③ 添加主机B的接口：

添加IP为172.16.0.1的接口：

在命令行方式下输入“rip_config"172.16.0.1的接口名"enable”；

添加IP为192.168.0.2的接口：

在命令行方式下输入“rip_config"192.168.0.2的接口名"enable”；

④ 添加主机E的接口：

添加IP为192.168.0.1的接口：

在命令行方式下输入“rip_config"192.168.0.1的接口名"enable”；

添加IP为172.16.1.1的接口：

在命令行方式下输入“rip_config"172.16.1.1的接口名"enable”。

3.等待一段时间，直到主机B和主机E的路由表达到稳定态。

使用“netshroutingipshowrtmroutes”命令察看主机B和主机E的路由表。

4.通过主机Aping主机F（172.16.1.2）。

∙通过主机A、B、D、E、F上协议分析器采集到的数据包，记录ping报文的路径。

5.在主机C上启动静态路由。

在命令行方式下，输入“staticroute_config”。

为主机C添加两个静态路由条目在命令行方式下，输入：

“routeadd172.16.1.0mask255.255.255.0192.168.0.1metric2”；

“routeadd172.16.0.0mask255.255.255.0192.168.0.2metric2”；

目的是实现数据转发。

6.在主机C上启动协议仿真编辑器，编辑RIP-Request报文。

MAC层：

源MAC地址：

主机C的MAC地址

        目的MAC地址：

主机B的MAC地址（192.168.0.2接口对应的MAC）

IP层：

源IP地址：

主机C的IP地址

        目的IP地址：

广播地址（192.168.0.255）

UDP层：

源端口：

520

        目的端口：

520

RIP层：

命令：

1（RIP-Response）

        版本：

2

        路由选择信息选项号：

右击，追加块

计算“长度”和“校验和”字段，填充后发送。

7.察看主机B的邻居列表（在命令行方式下，输入“rip_configshowneighbor”），确定主机B添加了一个新邻居（192.168.0.3）。

8.在主机C上，编辑RIP-Response报文。

MAC层：

源MAC地址：

主机C的MAC地址。

        目的MAC地址：

主机B的MAC地址（192.168.0.2接口对应的MAC）。

IP层：

源IP地址：

主机C的IP地址。

        目的IP地址：

广播地址（192.168.0.255）。

UDP层：

       源端口：

520。

       目的端口：

520。

RIP层：

命令：

2（RIP-Response）。

       版本：

2。

       路由选择信息选项号：

右击，追加块。

       地址族ID：

2。

       网络地址：

172.16.1.0。

       下一跳路由器：

主机C地址（192.168.0.3）。

       度量：

1。

计算并填充“长度”和“校验和”，以时间间隔为1秒发送此报文6000次。

9.察看主机B的路由表中路由条目变化。

10.通过主机A来ping主机F（172.16.1.2）。

∙通过主机A、B、D、E、F上协议分析器，记录ping报文的路径。

∙比较两次ping报文的路径。

简述发生欺骗的原理（DV算法）。

主机C输入“recover_config”，停止静态路由服务。

输入“routedelete172.16.1.0”和“routedelete172.16.0.0”删除手工添加的静态路由条目。

实验三

典型木马的原理及使用

实验目的:

1.理解典型木马的原理。

2.掌握典型木马的使用。

3.了解典型木马的清除和防御。

实验设备:

两台安装Windows2000/2003/XP或更高级别的Windows操作系统的主机。

所用软件：

Beast2.02、CHM文件生成软件、广外男生

一、线性插入型木马----禽兽木马beast

实验步骤：

1．服务端的配置

（1）禽兽木马下载解压后只有一个可执行文件Beast.exe，它是禽兽的客户端，其服务器端需要由此文件生成，再发送别人运行后客户端才能进行控制。

（2）双击运行客户端文件，点击禽兽木马的客户端程序主界面中的“生成服务”按钮，进入服务端设置对话框。

在“基础设置”里，可以设置木马的名称、开放端口、连接密码及木马的安装目录，是否注入到InternetExplorer和Explorer.exe等。

如果没有使用注入技术，在WindowsXP/2000的任务管理器中可以发现其进程，但是这种方式的连接成功率很高，可达100%。

在“信息通知”里，你可以设置收取受害者IP的ICQ号码、E-mail地址等，只是E-mail地址不支持Hotmail账户。

在“启动键”里，可以设置将木马的根键放到注册表的什么地方。

在“防火墙杀除”里，可以设置启动时是否关闭防火墙和某些进程，至于关闭哪些种类的防火墙和进程。

点击“设置”按钮即可进入杀除设置对话框。

对于列表中不存在的防火墙或是进程，你想要在启动时清除的话，可以在列表中直接添加。

最多可以达到500个防火墙或是进程服务，并且可以设置每几秒钟杀除一次，对于WindowsXP自带的防火墙可以选择杀除。

防火墙进程名不可以加入扩展名.exe。

在“混合选项”中可以设置安装后是否自毁服务端，是否允许使用键盘记录，是否显示虚假错误信息等，至于显示什么样的错误信息可以点击“虚假错误信息”旁边的“配置”按钮进行设置。

如果选择“自毁服务端”将在第一次运行后自动删除服务端本身，“虚假信息”同样仅限于第一次运行，建议不要两项同时选取。

在“exe图标”里，你可以任意设置服务端的图标，也可以点击“从文件中选取图标”按钮从某个文件中选取其图标，以增强木马的隐蔽性。

设置好以后你就可以点击下侧的“生成”按钮，满足需要的服务器端就生成了，默认的文件名为server.exe文件，你可以任意改名后与别的文件进行捆绑。

（3）如果需要对文件进行捆绑，则可以直接点击“捆绑”按钮，将木马文件添加进去，再添加要捆绑的程序文件，并且取原文件一样的图标，然后点击“捆绑文件”按钮，并设置好新生成的文件名称（可同原有的文件一样，以增强隐蔽性），点击“保存”即可。

仔细比较会发现捆绑了禽兽木马的文件比原文件大50K左右。

2.实施控制

服务端配置好以后，就可以发送给别人执行以后，你就可实施远程控制了。

运行客户端程序beast.exe，在程序主界面的左上角主机地址处填入对方的IP地址，端口处填入端口地址（默认是6666，就看你在设置时是否更改），连接密码处填入你当初设置的连接密码，然后点击“开始连接”，如果连接密码正确（也即是你种的木马），很快就可连接上肉机。

连接肉机以后，你就可运行右下侧的命令对此肉机进行远程控制了。

（1）选中“管理命令”，则可远程进行文件管理、桌面进程管理、远程桌面、注册表项、所有进程、远程监视等操作。

如我们想要远程对文件进行操作，可以单击“文件管理”按钮，即可对远程机器进行文件管理，点击“查找硬盘”，然后选中某个驱动器，再点击“