端口扫描与安全审计实验报告.doc

端口扫描与安全审计实验报告学院名称专业班级学号学生姓名实验日期成绩课程名称信息安全技术B实验题目端口扫描与安全审计一、实验目的和要求（1）端口是计算机输入/输出设备和CPU之间进行数据传输的通道，计算机共有65536个端口可供使用，其中前1024个端口常作为系统服务端口使用，称为众所周知的服务端口。利用网络探测和端口扫描工具，能够探测目标主机状态、端口服务名称、端口号、协议、端口状态、操作系统类别、操作系统版本等私有敏感信息。因此，网络探测和端口扫描是具有“双刃剑”的技术，攻击者利用端口扫描可以探测目标主机的私有敏感信息，安全管理风险评估则用于检测目标主机的漏洞。实际应用中需要综合利用多种扫描机制及不同扫描参数，才能检测或探测目标主机的漏洞。（2）由于Nmap扫描功能强大、命令参数众多，在有限时间内不可能对所有命令参数进行实验。但实验内容中列举的扫描命令必须完成，也可以任意选择其他命令参数进行实验。命令执行后将执行结果复制到实验报告表格中，并对命令执行结果进行解释。二、实验内容和原理 1. 基本功能与目标端口状态说明Nmap（Network Mapper）是开放源码的网络探测和端口扫描工具，具有主机发现、端口扫描、操作系统检测、服务和版本检测、逃避放火墙及入侵检测系统等功能。Nmap以表格形式输出扫描目标的端口号、协议、服务名称和状态，端口状态分别用开放（open）、关闭（closed）、已过滤（filtered）和未过滤（unfiltered）表示。其中“开放”表示应用程序正在该端口监听连接或分组；“关闭”表示没有应用程序在该端口监听；“已过滤”表示防火墙或其他过滤器封锁了该端口，Nmap无法知道该端口的状态；“未过滤”表示端口对Nmap探测有响应，但Nmap不能确定端口是开放还是关闭。Nmap有时也可能输出open|filtered或closed|filtered的状态组合，表示不能正确识别端口处于其中那一个状态。 2. 常用扫描类型（1）-sT (TCP connect() 端口扫描)；（2）-sS (TCP SYN 同步扫描)；（3）-sU (UDP端口扫描)；（4）-sN (Null扫描 ) ；（5）-sF 扫描 (FIN)（6）-sP（Ping扫描）；（7）-sX (Xmas扫描 )；（8）-sA (TCP ACK扫描，探测端口是否被过滤，open和closed端口返回RST报文，表示unfiltered，否则为filtered） （9）-sM (TCP Maimon扫描， Maimon发现BSD系统探测报文FIN-ACK，响应RST ) ；（10）-scanflags (定制TCP标志位URG， ACK，PSH， RST，SYN，和FIN的任何组合设计扫描探测报文 ) （11）-sW (TCP窗口扫描) ；-sI (Idlescan盲扫描) ；-sO (IP协议扫描) 等，详细内容参考Nmap手册；（12）未指定扫描类型，默认扫描类型为TCP SYN 同步扫描。 3. 命令参数选项（1）主机发现参数（也称ping扫描，但与ping 命令发送ICMP不同）-sL (列表扫描) 、-sP (Ping扫描) 、-P0 (无ping) 、-PS portlist (TCP SYN Ping) 、-PA portlist (TCP ACK Ping) 、-PU portlist (UDP Ping) 、-PR (ARP Ping)等。（2）端口说明参数-p仅扫描指定端口。例如，-p22;-p1-65535;-pU:53,111,137,T:21-25,80,139,8080（其中U、T分别指定UDP和TCP端口）（3）服务和版本探测参数-sV (版本探测) 、-sR (RPC扫描) （4）操作系统探测参数nmap-os-fingerprints文件包含了 1500多个已知操作系统的指纹信息。-O (操作系统检测) 、-A（同时启用操作系统和服务版本检测）（5）输出格式参数Nmap具有交互、标准、XML等5种不同输出格式，默认为交互式输出。-v (详细输出) 4. 目标地址规范Nmap支持多种目标地址规范，包括单个目标IP地址、主机名称和网络地址。例如：（1）nmap -sP ，对目标主机 ping扫描；（2）nmap -sT ，对目标主机进行TCP connect()扫描；（3）nmap -v /24，扫描至55之间的256台目标主机，其中输出参数-v表示显示详细信息verbose；（4）nmap -v 10.0.0-255.1-254，扫描至54之间的所有IP地址；（5）nmap -v 0-255.0-255.13.37，扫描Internet所有以13.37结束的IP地址；（6）nmap -v -iR 1000 -P0 -p 80，随机选择1000个目标主机扫描，其中-P0 表示无ping扫描。随机地址扫描格式为-iR ，其中-iR表示随机地址扫描，num hosts表示随机地址数。 5.端口扫描与安全审计实验内容 (1)安装nmap-4.01-setup.exe软件注意事项：采用nmap-4.01-setup.exe时将自动安装WinPcap分组捕获库，采用解压缩nmap-4.01-win32.zip时需事先安装WinPcap 分组捕获库。 (2) 局域网主机发现列表扫描：nmap -sL 局域网地址 (3) 扫描目标主机端口连续扫描目标主机端口：nmap r目标主机IP地址或名称 (4) 服务和版本检测目标主机服务和版本检测：nmap -sV目标主机IP地址或名称 (5) 操作系统检测目标主机操作系统检测：nmap -O目标主机IP地址或名称 (6) 端口扫描组合应用nmap -v -A nmap -v -sP /16 /8nmap -v -iR 10000 -P0 -p 80三、主要仪器设备 实验设备：HP笔记本电脑；实验环境：Windows 操作系统、Nmap网络探测和端口扫描工具软件及Internet网络。四、实验结果与分析1. 局域网主机发现列表扫描：nmap -sL 2. 扫描目标主机端口连续扫描目标主机端口：nmap r 85 3. 服务和版本检测目标主机服务和版本检测：nmap sV 31 4. 操作系统检测目标主机操作系统检测：nmap -O 315. 端口扫描组合应用A,nmap -v -A B,nmap -v -sP /16 /8实验地点指导教师网络入侵跟踪与分析实验报告学院名称专业班级学号学生姓名实验日期成绩课程名称信息安全技术B实验题目网络入侵跟踪与分析一、实验目的和要求本实验的目的是使学生通过使用Ethereal开放源码的网络分组捕获与协议分析软件，分析一个冲击波蠕虫病毒捕获文件Win2000-blaster.cap，在加深理解Ethereal协议分析基础上，掌握Ethereal分组捕获与协议分析功能，为今后工作实践中能够运用科学理论和技术手段分析并解决工程问题的培养工程素养。要求：由于Ethereal分组捕获与协议分析功能强大，在一个实验单元时间内不可能熟练掌握Ethereal的使用。但至少应掌握捕获菜单和统计菜单的使用，也可以选择其他菜单命令进行实验。练习使用Ethereal分组捕获与协议分析的显示结果不要复制到实验报告，实验报告只回答冲击波蠕虫病毒攻击过程分析中提出的问题及问题解答过程。二、实验内容和原理 （1）冲击波蠕虫病毒攻击原理冲击波蠕虫病毒W32.Blaster.Worm利用Windows 2000/XP/2003等操作系统中分布式组件对象模型DCOM（Distributed Component Object Model）和远程过程调用 (RPC（Remote Procedure Call）通信协议漏洞进行攻击，感染冲击波蠕虫病毒的计算机随机生成多个目标IP地址扫描TCP/135（epmap）、UDP/135（epmap）、TCP/139、UDP/139、TCP/445、UDP/445、TCP/593、UDP/593端口寻找存在DCOM RPC漏洞的系统。感染冲击波蠕虫病毒的计算机具有系统无故重启、网络速度变慢、Office软件异常等症状，有时还对Windows自动升级（）进行拒绝服务攻击，防止感染主机获得DCOM RPC漏洞补丁。根据冲击波蠕虫病毒攻击原理可知，计算机感染冲击波蠕虫病毒需要具备三个基本条件。一是存在随机生成IP地址的主机；二是Windows 2000/XP/2003操作系统开放了RPC调用的端口服务；三是操作系统存在冲击波蠕虫病毒可以利用的DCOM RPC漏洞。 （2）冲击波蠕虫病毒攻击过程分析用Ethereal打开冲击波蠕虫病毒捕获文件Win2000-blaster.cap，通过协议分析回答下列问题（仅限于所捕获的冲击波蠕虫病毒）：（a）感染主机每次随机生成多少个目标IP地址？（b）扫描多个端口还是一个端口？如果扫描一个端口，是那一个RPC调用端口？（c）分别计算第二组与第一组扫描、第三组与第二组扫描之间的间隔时间，扫描间隔时间有规律吗？（d）共发送了多少个试探攻击分组？（提示：端点统计或规则tcp.flags.syn=1显示SYN=1的分组）（e）有试探攻击分组攻击成功吗？如攻击成功，请给出感染主机的IP地址。如没有攻击成功的实例，说明为什么没有攻击成功？（提示：TCP报文段SYN=1表示连接请求，SYN=1和ACK=1表示端口在监听，RST=1表示拒绝连接请求。使用显示过滤规则tcp.flags.syn=1&tcp.flags.ack=1确定是否有端口监听。）三、主要仪器设备实验设备：HP笔记本电脑；实验环境：Windows 操作系统、Ethereal网络分组捕获与协议分析工具软件及冲击波蠕虫病毒捕获文件Win2000-blaster.cap。四、实验结果与分析1） 感染主机每次随机生成多少个目标IP地址 ？根据实验结果的小组分类发现：一共生成20个目标IP地址2）扫描多个端口还是一个端口？如果扫描一个端口，是那一个RPC调用端口？Filter: ip.src = 91 and tcp.dstport = 135 因此扫描一个端口。3）分别计算第二组与第一组扫描、第三组与第二组扫描之间的间隔时间，扫描间隔时间有规律吗？第二组与第一组扫描间隔时间：678.770ms第三组与第二组扫描间隔时间：528.105ms即：扫描间隔时间有规律。4）共发送了多少个试探攻击分组？Filter: ip.src = 91 有2006个 Filter: ip.src = 91 and tcp.dstport = 135或tcp.flags.syn=1 有2002个Filte