《工程网络安全实验实验报告.doc》由会员分享,可在线阅读,更多相关《工程网络安全实验实验报告.doc(60页珍藏版)》请在金锄头文库上搜索。
1、 . . 工程网络安全实验实验报告- -日期: / 学号2013成绩实验报告网络安全实验姓 名:班 级:20132111指导教师:国冬实验时间:2016.06.25-2016.06.26工程大学2016年06月目 录实验一、网络分析器应用实验3一、实验目的3二、实验仪器与器材3三、实验原理3四、实验过程与测试数据4五、实验分析20六、实验体会21实验二、剖析远程控制程序22一、实验目的22二、实验仪器与器材22三、实验原理22四、实验过程与测试数据23五、实验分析34六、实验体会35实验三、SSL、VPN应用与防护墙技术36一、实验目的36二、实验仪器与器材36三、实验原理36四、实验过程与测
2、试数据37五、实验分析42六、实验体会43实验四、入侵检测系统分析与应用44一、实验目的44二、实验仪器与器材44三、实验原理44四、实验过程与测试数据45五、实验分析54六、实验体会54实验五、虚拟蜜罐分析与实践55一、实验目的55二、实验仪器与器材55三、实验原理55四、实验过程与测试数据55五、实验分析61六、实验体会62综合成绩63实验一、网络分析器应用实验一、实验目的通过本实验,学会在Windows环境下安装Sniffer;能够运用Sniffer捕获报文;熟练掌握Sniffer的各项网络监视模块的使用;熟练运用网络监视功能,撰写网络动态报告;理解常用Sniffer工具的配置方法,明确
3、多数相关协议的明文传输问题;理解TCP/IP主要协议册报头结构,掌握TCP/IP网络的安全风险;掌握利用Sniffer软件捕获和分析网络协议的具体方法。二、实验仪器与器材Sniffer Pro软件系统1套PC机(win xp/ win7)1台三、实验原理Sniffer Pro软件是NAI公司推出的功能强大的协议分析软件。利用Sniffer Pro 网络分析器的强大功能和特征,解决网络问题。本实验使用的软件版本为SnifferPro_4_70_530。Sniffer Pro软件的主要作用可以体现在以下方面:1Sniffer可以评估业务运行状态,如各种应用的响应时间,一个操作需要的时间,应用带宽的
4、消耗,应用的行为特征,应用性能的瓶颈等;2Sniffer能够评估网络的性能,如各链路的使用率,网络性能趋势,消耗最多带宽的具体应用,消耗最多带宽的网络用户;3Sniffer可以快速定位故障;4Sniffer可以排除潜在的威胁,如病毒、木马、扫描等,并且发现攻击的来源,为控制提供根据,对于类似蠕虫病毒一样对网络影响大的病毒有效;5.即时监控工具,sniffer通过发现网络中的行为特征来判断网络是否有异常流量,所以Sniffer可能比防病毒软件更快发现病毒;5Sniffer可以做流量的趋势分析,通过长期监控,可以发现网络流量的发展趋势,为将来网络改造提供建议和依据;6应用性能预测,Sniffer能
5、够根据捕获的流量分析一个应用的行为特征;Sniffer包括了四大功能:监控、显示、数据包捕捉和专家分析系统,通过该软件,可以长期的对其他计算机的进行的服务类型、所处的网络拓扑等信息进行嗅探,为检测其他计算机系统打下基础。四、实验过程与测试数据(一) 程序安装实验Sniffer Pro是需要安装使用的软件。进行任何在此软件上的实验都需要安装。安装过程如下:1、下载安装软件。在网上下载SnifferPro软件,点击安装,按顺序进行。如下图1.1所示,选择默认安装路径进行安装。图1.1(a) 安装地址示意图图1.1(b) 用户协议图图1.1(c) 用户信息图2、填写注册信息。在注册用户时,必须填写必
6、要的注册信息,为之后软件公司识别用户提供信息,在图1.2中出现的两个对话框中,依次填写个人信息。图1.2(a) 个人信息图 1.2(b)个人信息图3、设置网络连接方式。完成注册操作后,需要设置网络连接情况。从上至下依次有三个选项,一般情况下,用户直接选择第一项,即直接连接。当用户的注册信息验证通过后,系统会转入如图1.3所示的界面,用户被告知系统分配的身份识别码,以便用户进行后续的服务和咨询。图1.3 系统为用户分配识别码示意图4、保存注册信息。用户单击“下一步”按钮时,系统会提示用户保存关键性的注册信息,其生成一个文本格式的文件。该注册文件保存地址可以有用户选定,以便用户查询。从图1.4可以
7、看到,软件注册用户为ps sp,为DSAFAS等关键的注册信息。在软件使用前,安装程序会提示用户安装并设置Java环境,如图1.5所示,重新启动计算机后,可以通过运行Sniffer Pro来监测网络中的数据包,首先进行设置。图1.4 用户信息截图图1.5 软件设置截图完成上述实验后,即完成了Sniffer软件整个的安装过程。搭建好实验环境后在之后可以进行其他的实验了。(二)数据包捕获实验1、报文捕获数据包捕捉,是截取所有的数据包,并放在磁盘缓冲区中,便于分析。其基本原理是通过软件手段设置网络适配器的工作模式,在该工作模式下,网卡接受包括与自己无关的所有的数据,达到网络监控和网络管理的功能。如图
8、1.6,其上部是报文捕捉的各项快捷方式,中部是各项Sniffer可进行的操作的快捷方式,下部是捕捉报文缓冲区的大小。从中可以看到缓冲器大小为8MB,当超过该缓冲器大小后,捕捉的报文将覆盖原来的旧报文,在截图的时刻之前,已接收21个报文,拒绝0个报文,已经开始捕捉报文1秒。图1.6 报文捕获统计信息截图在不同的条件下,对缓冲区的要求有所不同,为了适应这些要求,可以对捕获缓冲区进行设置来达到我们的要求。如图1.7,可以设置缓冲区的大小,捕获报文的存放地址、缓冲区满时的动作等。图1.7 捕获缓冲区设置图2、 报文分析捕获到的报文存储在缓冲区。使用者可以显示和分析缓冲区的当前报文,也可以将报文保存到磁
9、盘,加载和显示之前保存的报文信息,进行离线分析和显示。此外,也可以通过指定文件名前缀和脱机文件数对捕获信息进行存储。为了有效进行网络分析,需要借助于专家分析系统。首先,应根据网络协议环境对专家系统的协议、RIP选项、硬件等进行设置。如图1.8,对专家系统进行配置。在专家系统中,还为用户提供了用于检测路由故障的路由信息协议分析,如果选择RIP分析方式,则需将“对象”设置项中的连接层和应用层定义为“分析”,通过“显示”菜单下的“显示设置”选项,可以自定义要显示的分析容,如图1.9。,1.8(a) 专家选项设置图 1.8(b) 专家选项设置图图1.8(c) 专家系统阈值设置 图1.8(d) 指定分析
10、协议设置图1.9 摘要显示设置图进行对捕获报文的设置之后,点击“捕获报文”开始对报文进行捕获。如图1.10可以看到,Sniffer可以对服务、应用、DLC等进行报文的捕获,捕获到的报文可分为3种“Diagnoses”、“Symptoms”、“Objects”,其中Diagnoses捕获的是出错特别严重的报文、Symptoms捕获的是一般出错的报文,Objects是没有出错的报文。图1.10中,关于站点的报文出错的有2个,正确的报文有45个,共捕获到47个报文。选择其中关于主机名为“F55”的报文进行解码分析。图1.10 报文捕获界面双击报文记录,可查看捕获到的报文的详细信息如图1.11。从图中
11、可以看到,名为F55的主机,其DLC地址为BCAEC5978167,IP地址为192.168.6.55,正在运营138号端口上的NetBios服务。图1.11 捕获报文详细信息截图3、 解码分析对捕获的报文进行解码分析。单击专家系统下方的解码按钮,就可以对具体的记录进行解码分析,如图1.12所示。页面自上而下由三部分组成:捕获的报文、解码后的容、解码后的二进制编码信息。从图中可以看到,在2016年6月25日18:16:52,名为F55(IP为192.168.6.55)的主机发起了目标地址为192.168.6.57的字节长度为60的ARP请求。图1.12 报文解码分析图4、 统计分析每次进行报文
12、捕获,都可以得到一系列的报文。对其中的报文逐一分析是不现实的。因此,对于各种报文信息,专家系统提供了矩阵分析,主机列表,协议统计以与会话统计分析等多种统计分析功能,可以按照MAC地址、IP地址、协议类型等容进行多种组合分析,如图1.12。图1.12(a) 矩阵分析1.12(b)主机列表统计分析图1.12(c)协议统计分析图 1.12(d) 会话统计分析图从图1.12(b)中可以看到各个主机的相关信息,如IP地址、MAC地址等;从图1.12(c)中可以看到当前使用的协议(IP)的数据包的数量和字节总数;从图1.12(d)中可以看到会话的种类和字节数等信息。5、 捕获条件设置在sniffer环境下
13、,可以通过定义的方式来对捕获条件进行设置,获得用户需要的报文协议信息,如图1.13。基本的捕获条件有两种:1链路层捕获:按照源MAC地址和目的MAC地址设定捕获条件,输入方式为十六进制MAC地址,如:DA98A0BC3DFE。2IP层捕获:按源IP地址和目的IP设定捕获条件。输入方式为IP地址,如:192.168.6.57。特别注意的是,如果选择IP层捕获方式则ARP等类型报文信息将被过滤掉。图1.13(a) 过滤器操作界面图图1.13(b) 捕获条件详细配置界面图图1.13(c) 捕获条件定义界面图从图1.13(c)中可以看出,Sniffer支持通过源主机和目的主机来捕获报文进行分析,可以单
14、线监听数据通信。(三)网络监视实验“监视器”菜单中,有以下监视功能:仪表板、主机列表、矩阵、请求相应时间、历史取样、协议分布、全局统计表、警报日志等。1、仪表板点击快捷操作菜单上的图标,即可弹出仪表板,如图1.14。在仪表板上方,可对监视行为进行具体配置,并对监视容进行重置。在图中可以看到3个表盘,其中第一个是网络使用率,第二个是网络每秒通过的数量包,第三个是网络每秒的错误率,这三个数据在不同时刻都互有所变化。截图当时的网络使用率为0,网络每秒通过的数量包为92-97个,错误率为0。图1.14 网络监视仪表板示意图在仪表板上方,可对监视行为进行具体配置,并对监视容进行重置Drops表示网络中遗失的数据包数量,如图1.15所示。图1.15 网络监视详细信息2、主机列表点击快捷操作菜单上的图标,或选择监视器菜单的主机列表选项,界面中显示的是所有在线的本网主机地址以与外网服务器地址信息。可以分别选择MAC地址、IP地址以与IPX地址。通常情况下,由于网络中所有终端的对外数据交换行为,如浏览、上传下载等,都是各终端与网关在数据链路层中进行的,为了分析链路层的数据交换行为,需要获取MAC地址的连接情况。通过主机列表,可以直观地看到流量最大的前十位主机地址,如图1.16从图中可以看到主机地址、创建时间、数据报通信量等信息,可以为对主机的分析提供较多的信息。
