《反病毒实验报告》由会员分享,可在线阅读,更多相关《反病毒实验报告(19页珍藏版)》请在金锄头文库上搜索。
1、网络安全与反病毒技术实验指导网络安全与反病毒技术,要求学生通过实验加深对课堂讲授理论知识的理解,做到理论结合实践,提高对网络安全协议设计、系统攻防方面的认识,培养和锻炼学生分析问题及解决问题的能力。要求学生做到:(1)对每个要做的实验进行预习,了解相关内容和具体要求,熟悉相关的软件工具。(2)按照实验内容和步骤,达到预期的实验结果,并进行屏幕抓图。(3)按照实验报告的格式要求,写出实验报告。实验内容:实验一:网络端口扫描实验二:网络嗅探实验三:木马攻击与防范实验四:WindowsIPSec安全策略的配置实验一网络端口扫描实验目的1. 通过使用网络端口扫描器,了解端口扫描的用途及扫描原理2. 掌
2、握Windows环境下使用SuperScan对主机端口进行扫描的方法。(二)实验原理一个开放的端口就是一条与计算机进行通信的信道,对端口的扫描可以得到目标计算机开放的服务程序、运行的系统版本信息。扫描工具是对目标主机的安全性弱点进行扫描检测的软件。它一般具有数据分析功能,通过对端口的扫描分析,可以发现目标主机开放的端口和所提供的服务,以及相应服务软件版本和这些服务及软件的安全漏洞,从而可以及时了解目标主机存在的安全隐患。1 、端口基本知识端口是TCP协议定义的。TCP协议通过套接字(socket)建立起两台计算机之间的网络连接。套接字采用IP地址:端口号的形式来定义。通过套接字中不同的端口号来
3、区别同一台计算机上开启的不同TCP和UDP连接进程。对于两台计算机间的任一个TCP连接,一台计算机的一个IP地址:端口套接字会和另一台计算机的一个IP地址:端口套接字相对应,彼此标识着源端、目的端上数据包传输的源进程和目标进程。这样网络上传输的数据包就可以由套接字中的IP地址和端口号找到需要传输的主机和连接进程了。由此可见,端口和服务进程一一对应,通过扫描开放的端口,就可以判断出计算机中正在运行的服务进程。TCP/UDP的端口号在065535范围之内,其中1024以下的端口保留给常用的网络服务。例如:21端口为FTP服务,23端口为TELNET服务,25端口为SMTP服务,80端口为HTTP服
4、务,110端口为POP3服务等。2、扫描原理常用的端口扫描技术如下:( 1) TCPconnect()扫描这是最基本的TCP扫描,操作系统提供的connect()系统调用可以用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于监听状态,那么connect。就能成功。否则,这个端口是不能用的,即没有提供服务。使用这种方法可以检测到目标主机开放了那些端口。这个技术的最大的优点是,不需要任何权限。系统中的任何用户都有权利使用这个调用。另一个好处就是速度,如果对每个目标端口以线性的方式,使用单独的connect。调用,那么将会花费相当长时间,使用者可以通过同时打开多个套接字来加速扫描。使用非阻塞
5、I/O允许设置一个低的时间用尽周期,同时观察多个套接字。但这种方法的缺点是很容易被察觉,并且被防火墙将扫描信息包过滤掉。目标计算机的logs文件会显示一连串的连接和连接出错信息,并且能很快使它关闭。( 2) TCPSYN扫描这种扫描是向远程主机某端口发送一个只有SYN标志位的TCP数据包,如果收到了远程目标主机的SYN/ACK数据包,那么说明远程主机的该端口是打开的;若没有收到远程目标主机的SYN/ACK数据包,而收到的是RST数据包,则说明远程主机的该端口没有打开。这种扫描技术的优点在于一般不会在目标计算机上留下记录,但这种方法的缺点是必须要有root权限才能建立自己的SYN数据包。( 3)
6、 TCPFIN扫描FIN是中断连接的数据包,很多日志不记录这类数据包。TCPFIN扫描的原理是向目标端口发送FIN数据包,如果收到了RST的回复,表明该端口没有开放,反之该端口是开放的,因为打开的端口往往忽略对FIN的回复。这种方法还可以用来区别操作系统是Windows,还是UNIX。但是,有的系统不管端口是打开与否,一律回复RST。这时,FIN扫描就不适用了。( 4) UDPICMP扫描这种方法与上面几种方法不同的是它使用的UDP协议,由于UDP协议很简单,所以扫描变得相对比较困难。这是由于打开的端口扫描探测并不发送确认信息,关闭的端口也并不需要发送一个错误数据包。当向目标主机的一个未打开的
7、UDP端口发送一个数据包时,会返回一个ICMP_PORT_UNREACHABLE错误,这样就会发现关闭的端口。端口扫描器是黑客常用的工具,目前的扫描工具有很多种,例如Nmap、Netcat、X-Scan、port、PortScanner、Netscantools、Winscan、WUPS、Fscan、LANguardNetworkScanner、SuperScan等。在本实验以SuperScan工具为例详细介绍扫描器的使用。(三)实验环境两台PC机,Windows2000/XP/2003操作系统,通过网络相连。SuperSscan3.0软件。(四)实验内容和步骤SuperScan具有端口扫描、
8、主机名解析、ping扫描的功能练习1:使用SuperScan进行域名解析、查看本机IP的配置信息练习2:使用SuperScan对本地主机进行端口扫描(检查21、23、139、3389端口是否开放)练习3:使用SuperScan对局域网的特定主机(IP地址自行确定)进行端口扫描练习4:使用SuperScan对局域网的某些主机(IP地址自行确定)进行在线检测SuperScaiii3.OlMCOIXQm6BH?J*氽e城查找主机名,口IX|设置192.168.0.75查找本机界面1结束|192.168.0.123前c段I后c段I本c段I|7忽略IP017忽略IP255厂从文件中读取1超时PING|4
9、00扫描类型P解析主机名7只扫描P工NG后有回应的厂显示主机响应C仅仅P1NGC扫描所有列表中的端口C扫描所有在列表中选择的端口c列表中定义G所有端口定义由取4000连接端口列表I192.168.0.3192.168.0.6192.168.0.7192.168.0.18192.168.0.46192.168.0.48192.168.0.58192.168.0.59192.168.0.60192.168.0.70/1Q21RRn7aUSER3USER6USER18USER48USER59USER70SuperScaxx3.00|192.168.0.75解析|user75IP起始1192.168.
10、0.0(102.168.0.123前成|后C段|本C段IP忽略IH0|7忽略IP255厂从文件中读取二J速度活动主机16开放端口0-Ix|查找主机名:1二设置1查找本机I界面端口列表I扫描类型厂解析主机名7只扫描PING后有回应的R显示主机响应C仅仅PING仃扫描所有列表中的端口C扫描所有在列表中选择手)端口r列表中定义F叵一r所有端口定义后一而;e192.168.0.3USER3L.,139sV192.168.0.7USER?,139A192,168.0.18139BV192.168.0.46USER46139S192.168.0.48139oJ1Q9IRfin7n1KRR7n活动主机开放端
11、口6实验二网络嗅探(一)实验目的(1) 掌握Wireshark嗅探器软件的使用方法,对嗅探到的数据包进行分析,判断网络状况。(2) 通过Wireshark分析以太网帧和ARP协议。(二)实验原理数据包嗅探器(亦称网络分析器或协议分析器)是可以截取并记录通过数据网络传送的数据通信量的计算机软件。当数据流通过网络来回传输时,嗅探器可以“捕获”每个协议数据单元(PDU),并根据适当的RFC或其它规范对其内容进行解码和分析。Wireshark的编程使其能够识别不同网络协议的结构。因此,它可以显示PDU的封装和每个字段并可解释其含义。(三)实验环境局域网环境,PC机,安装Wireshark软件。(四)实
12、验内容和步骤用Wireshark捕获网络中传输的Ping数据包。(1)双击桌面上Wireshark图标,打开Wireshark窗口。(2)设置过滤规则。在主窗口中,单击【Filter】按钮,打开过滤器的设置界面,可以根据需要选取或直接输入过滤命令,支持and/or的功能连接。这里输入ICMP。00003(3)查看网络监听。单击【Capture|【Interface查看可以进行监听的网络接口( 4)选择并设定监听接口并选择网络接口。单击需要监听接口的选中按钮,可以进行监听接口的选择和设定,在【Inteface】栏选定接口。单击【Start,开始在【Inteface】栏选定的接口上进行嗅探、监听。
13、单击【close回到【Interface窗口。00004( 5)进入网络嗅探状态。单击【Capture|【start】,即进入网络嗅探状态。( 6)结束监听。当有需要的数据包出现或监听一段时间后,单击Stop按钮,结束监听并自动进入协议分析界面。( 7)对捕获的数据包进行相关分析。CapturingrolarvellYukonEthernetController.(Bic三口J凶文件更)编捐视图9定位G)抓包分析6统计)电信9二具Q)帮助期M-I白(3X0旦IQ二:同IadQEJI过滤:I表达式.洛除应用Ho.|lime,乙U33U.OOZyOL1|Sourcei&cu:4qa。:Ke工/:|
14、Destinationj工工U4:1:4|Protocol|Info.428650.833218114.213.192.11224.0.0.252LLMNRStandardqueryAXQD-PC428750.87273468.232.45.201114.213.192.197TCPhttps43400ACKSeq=lA428850.872932licro-St_6c:d3:dOBroadcastARPWhohas192.168.0.254?Telr428950.87358368.232.45.201114.213.192.197TCPTCPPrevioussegmentlost429050.87358668.232.45.201114.213.192.197TLSvl.ContinuationData429150.87383068.232.45.201114.213.192.197TLSvl.Cont
