信息安全实验报告

1、本科实验报告课程名称： 信息安全技术A 实验地点： 110机房 专业班级： 计科1301 学号： 2313002021 学生姓名： 赵永泰 指导教师： 张辉 2016年 6 月 8日实验日期2016.6.1实验题目实验一 常用网络安全命令一、实验要求由于常用网络安全命令功能强大、参数众多，在有限时间内不可能对所有命令参数进行实验。但要求每个命令至少选择两个参数进行实验，命令参数可以任意选择。命令执行后将执行结果复制到实验报告表格中，并对命令执行结果进行解释。二、实验内容1. ipconfig命令主要功能：显示本地主机IP地址、子网掩码、默认网关、MAC地址等。2. ping命令主要功能：目标主

2、机的可达性、名称、IP地址、路由跳数、往返时间等。3. tracert命令主要功能：路由跟踪、节点IP地址、节点时延、域名信息等。4. netstat命令主要功能：显示协议统计信息和当前TCP/IP网络连接。5. nbtstat命令主要功能：显示使用NBT （NetBIOS over TCP/IP）的协议统计和当前TCP/IP网络连接信息，可获得远程或本机的组名和机器名。6. net命令主要功能：网络查询、在线主机、共享资源、磁盘映射、开启服务、关闭服务、发送消息、建立用户等。net命令功能十分强大，输入net help command可获得command的具体功能及使用方法。 三、主要仪器设

3、备Windows7命令提示符窗口四、实验数据和和结果1. ipconfig命令参数1：/allWindows IP 配置 主机名 . . . . . . . . . . . . . : elab44 主 DNS 后缀 . . . . . . . . . . . : 节点类型 . . . . . . . . . . . . : 混合 IP 路由已启用 . . . . . . . . . . : 否 WINS 代理已启用 . . . . . . . . . : 否以太网适配器 本地连接: 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . .

4、. . . : Realtek PCIe GBE Family Controller #2 物理地址. . . . . . . . . . . . . : B4-B5-2F-B3-56-9D DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是 IPv6 地址 . . . . . . . . . . . . : 2001:250:c01:6191:1d22:e569:efee:fcd2(首选) 临时 IPv6 地址. . . . . . . . . . : 2001:250:c01:6191:804f:5d6c:f8

5、4f:aae(首选) 本地链接 IPv6 地址. . . . . . . . : fe80:1d22:e569:efee:fcd2%16(首选) IPv4 地址 . . . . . . . . . . . . : 4(首选) 子网掩码 . . . . . . . . . . . . : 默认网关. . . . . . . . . . . . . : fe80:3e8a:b0ff:fe30:fff0%16 DNS 服务器 . . . . . . . . . . . : 25 TCPIP 上的 Ne

6、tBIOS . . . . . . . : 已启用隧道适配器 isatap.AD17A3EC-AB38-40F8-8306-848CC49A3DCF: 媒体状态 . . . . . . . . . . . . : 媒体已断开 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter 物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用.

7、 . . . . . . . . . : 是隧道适配器 本地连接* 8: 媒体状态 . . . . . . . . . . . . : 媒体已断开 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Microsoft Teredo Tunneling Adapter 物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是参数2：/al

8、lcompartments /allWindows IP 配置 =分段 1 的网络信息(活动)= 主机名 . . . . . . . . . . . . . : elab44 主 DNS 后缀 . . . . . . . . . . . : 节点类型 . . . . . . . . . . . . : 混合 IP 路由已启用 . . . . . . . . . . : 否 WINS 代理已启用 . . . . . . . . . : 否以太网适配器 本地连接: 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Real

9、tek PCIe GBE Family Controller #2 物理地址. . . . . . . . . . . . . : B4-B5-2F-B3-56-9D DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是 IPv6 地址 . . . . . . . . . . . . : 2001:250:c01:6191:1d22:e569:efee:fcd2(首选) 临时 IPv6 地址. . . . . . . . . . : 2001:250:c01:6191:804f:5d6c:f84f:aae(首选) 本

10、地链接 IPv6 地址. . . . . . . . : fe80:1d22:e569:efee:fcd2%16(首选) IPv4 地址 . . . . . . . . . . . . : 4(首选) 子网掩码 . . . . . . . . . . . . : 默认网关. . . . . . . . . . . . . : fe80:3e8a:b0ff:fe30:fff0%16 DNS 服务器 . . . . . . . . . . . : 25 TCPIP 上的 NetBIOS . . .

11、. . . . : 已启用隧道适配器 isatap.AD17A3EC-AB38-40F8-8306-848CC49A3DCF: 媒体状态 . . . . . . . . . . . . : 媒体已断开 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Microsoft ISATAP Adapter 物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . .

12、 . . . : 是隧道适配器 本地连接* 8: 媒体状态 . . . . . . . . . . . . : 媒体已断开 连接特定的 DNS 后缀 . . . . . . . : 描述. . . . . . . . . . . . . . . : Microsoft Teredo Tunneling Adapter 物理地址. . . . . . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP 已启用 . . . . . . . . . . . : 否 自动配置已启用. . . . . . . . . . : 是2. ping命令参数1： ping

13、-a 4正在 Ping elab44 4 具有 32 字节的数据:来自 4 的回复: 字节=32 时间<1ms TTL=64来自 4 的回复: 字节=32 时间<1ms TTL=64来自 4 的回复: 字节=32 时间<1ms TTL=64来自 4 的回复: 字节=32 时间<1ms TTL=644 的 Ping 统计信息: 数据包: 已发送 = 4，已接收 = 4，丢失 = 0 (0% 丢失)，往返行程的估计时间(以

14、毫秒为单位):最短 = 0ms，最长 = 0ms，平均 = 0ms参数2： ping -l 64 -t 4正在 Ping 4 具有 64 字节的数据:来自 4 的回复: 字节=64 时间<1ms TTL=64来自 4 的回复: 字节=64 时间<1ms TTL=64来自 4 的回复: 字节=64 时间<1ms TTL=64来自 4 的回复: 字节=64 时间<1ms TTL=64来自 4 的回复: 字节=64 时间&l

15、t;1ms TTL=64来自 4 的回复: 字节=64 时间<1ms TTL=644 的 Ping 统计信息: 数据包: 已发送 = 6，已接收 = 6，丢失 = 0 (0% 丢失)，往返行程的估计时间(以毫秒为单位): 最短 = 0ms，最长 = 0ms，平均 = 0msControl-CC3. tracert命令参数1： tracert 4通过最多 30 个跃点跟踪到 elab44 4 的路由: 1 <1 毫秒 <1 毫秒 <1 毫秒 elab44 4跟踪完

16、成。参数2：tracert -d 4通过最多 30 个跃点跟踪到 4 的路由 1 <1 毫秒 <1 毫秒 <1 毫秒 4跟踪完成。4. netstat命令参数1：C:Usersbaselab1>netstat -a活动连接 协议 本地地址 外部地址 状态 TCP :135 elab44:0 LISTENING TCP :445 elab44:0 LISTENING TCP :1025 elab44:0 LISTENING TCP :1026 elab

17、44:0 LISTENING TCP :1027 elab44:0 LISTENING TCP :1028 elab44:0 LISTENING TCP :1077 elab44:0 LISTENING TCP :1078 elab44:0 LISTENING TCP :3580 elab44:0 LISTENING TCP 4:139 elab44:0 LISTENING TCP 4:1330 a104-109-249-139:https CLOSE_WAIT TCP 101.7

18、.186.74:1378 0:https CLOSE_WAIT TCP 4:1615 dns196:http CLOSE_WAIT TCP 4:1821 dns196:http CLOSE_WAIT TCP 4:2122 dns196:http CLOSE_WAIT TCP 4:2220 60:http CLOSE_WAIT TCP 4:2370 dns196:http CLOSE_WAIT TCP 4:2639 dns1

19、96:http CLOSE_WAIT TCP 4:2640 dns196:http CLOSE_WAIT TCP 4:2647 :http CLOSE_WAIT TCP 4:2656 :http CLOSE_WAIT TCP 4:2957 dns196:http CLOSE_WAIT TCP 4:3002 :http CLOSE_WAIT TCP 4:3019 dns196:http CLOS

20、E_WAIT TCP 4:3133 4:http ESTABLISHED TCP 4:3509 72:http ESTABLISHED TCP :4300 elab44:0 LISTENING TCP :4301 elab44:0 LISTENING TCP :135 elab44:0 LISTENING TCP :445 elab44:0 LISTENING TCP :1025 elab44:0 LISTENING TCP :1026 elab44:0 LISTEN

21、ING TCP :1027 elab44:0 LISTENING TCP :1028 elab44:0 LISTENING TCP :1077 elab44:0 LISTENING TCP :1078 elab44:0 LISTENING UDP :500 *:* UDP :2343 *:* UDP :3600 *:* UDP :4001 *:* UDP :4500 *:* UDP :5000 *:* UDP :5001 *:* UDP :5002 *:* UDP :5

22、355 *:* UDP :6000 *:* UDP :6001 *:* UDP :6002 *:* UDP :49187 *:* UDP :49370 *:* UDP :49371 *:* UDP :50937 *:* UDP :55117 *:* UDP :58885 *:* UDP :59303 *:* UDP :60729 *:* UDP :61279 *:* UDP :61614 *:* UDP 0.0.0

23、.0:62627 *:* UDP :63111 *:* UDP :64714 *:* UDP :64936 *:* UDP :64938 *:* UDP 4:137 *:* UDP 4:138 *:* UDP 4:1900 *:* UDP 4:4000 *:* UDP 4:60763 *:* UDP :1900 *:* UDP :50841 *:* UDP :60764 *:*

24、 UDP :61047 *:* UDP :500 *:* UDP :4500 *:* UDP :5355 *:* UDP :1:1900 *:* UDP :1:60762 *:* UDP fe80:1d22:e569:efee:fcd2%16:1900 *:* UDP fe80:1d22:e569:efee:fcd2%16:60761 *:*参数2：C:Usersbaselab1>netstat -n活动连接 协议 本地地址 外部地址 状态 TCP 4:1330 39:443 CLOSE_WAIT TCP 101.7.18

25、6.74:1378 0:443 CLOSE_WAIT TCP 4:1615 96:80 CLOSE_WAIT TCP 4:1821 96:80 CLOSE_WAIT TCP 4:2122 96:80 CLOSE_WAIT TCP 4:2220 60:80 CLOSE_WAIT TCP 4:2370 96:80 CLOSE_WAIT TCP 101.7

26、.186.74:2639 96:80 CLOSE_WAIT TCP 4:2640 96:80 CLOSE_WAIT TCP 4:2647 :80 CLOSE_WAIT TCP 4:2656 :80 CLOSE_WAIT TCP 4:2957 96:80 CLOSE_WAIT TCP 4:3002 :80 CLOSE_WAIT TCP 101.7

27、.186.74:3019 96:80 CLOSE_WAIT TCP 4:3133 4:80 ESTABLISHED TCP 4:3678 87:80 ESTABLISHED5. nbtstat命令参数1：C:Usersbaselab1>nbtstat -a 4本地连接:节点 IP 址址: 4 范围 ID: NetBIOS 远程计算机名称表 名称 类型 状态 - ELAB44 <00> 唯一 已注册 WORKGROUP

28、<00> 组 已注册 ELAB44 <20> 唯一 已注册 WORKGROUP <1E> 组 已注册 MAC 地址 = B4-B5-2F-B3-56-9D参数2：C:Usersbaselab1>nbtstat -n本地连接:节点 IP 址址: 4 范围 ID: NetBIOS 本地名称表 名称 类型 状态 - ELAB44 <00> 唯一 已注册 WORKGROUP <00> 组 已注册 ELAB44 <20> 唯一 已注册 WORKGROUP <1E> 组 已注册6. net命令参

29、数1：C:Usersbaselab1>net view服务器名称 注解-ARCHON-PCBASELAB00BOSSERVERELAB01ELAB03ELAB04ELAB05ELAB06ELAB07ELAB08ELAB11ELAB13ELAB15ELAB16ELAB17ELAB19ELAB20ELAB21ELAB23ELAB24ELAB27ELAB28ELAB29ELAB30ELAB31ELAB32ELAB33ELAB36ELAB37ELAB38ELAB39ELAB41ELAB42ELAB43ELAB44ELAB45ELAB46ELAB50ELAB53ELAB54ELAB55ELAB56

30、ELAB57ELAB58ELAB59ELAB60ELAB61ELAB62ELAB63ELAB64ELAB65ELAB67ELAB68ELAB69ELAB70ELAB71ELAB74ELAB76ELAB77ELAB78ELAB79ELAB81ELAB83ELAB84ELAB85ELAB86ELAB87ELAB88ELAB89ELAB92ELAB93METEOR-PCSKY-20151124YBG命令成功完成。参数2：C:Usersbaselab1>net userelab44 的用户帐户-Administrator baselab1 Guest命令成功完成。五、讨论、心得通过这次的实验，我

31、对常用的网络安全命令有了初步的了解。并且可以熟练的使用命令提示符窗口进行操作。当然在此过程中我也是遇到了许多的问题，不过都通过网络解决了。实验日期2016.6.1实验题目实验二 端口扫描与安全审计一、实验要求由于Nmap扫描功能强大、命令参数众多，在有限时间内不可能对所有命令参数进行实验。但实验内容中列举的扫描命令必须完成，也可以任意选择其他命令参数进行实验。命令执行后将执行结果复制到实验报告表格中，并对命令执行结果进行解释。二、实验内容1. 安装nmap-4.01-setup.exe软件注意事项：采用nmap-4.01-setup.exe时将自动安装WinPcap分组捕获库，采用解压缩nma

32、p-4.01-win32.zip时需事先安装WinPcap 分组捕获库。2. 局域网主机发现列表扫描：nmap -sL 局域网地址3. 扫描目标主机端口连续扫描目标主机端口：nmap r目标主机IP地址或名称4. 服务和版本检测目标主机服务和版本检测：nmap -sV目标主机IP地址或名称5. 操作系统检测目标主机操作系统检测：nmap -O目标主机IP地址或名称6. 端口扫描组合应用nmap -v -A nmap -v -sP /16 /8nmap -v -iR 10000 -P0 -p 80三、主要仪器设备Windows7

33、 nmap5.21软件四、实验数据和结果 图2.1 图2.2 图2.3 图2.4 图2.5.1 图2.5.2 图2.5.3 图2.5.4 图2.6 图2.7.1 图2.7.2 图2.7.3五、讨论、心得通过此次试验，我对Nmap有了初步的理解，对一些常用的命令和功能有了初步的掌握。在此次实验中我学到了很多以前不曾接触过的知识。实验日期2016.6.8实验题目实验三 网络入侵跟踪与分析一、实验要求由于Ethernet分组捕获与协议分析功能强大，在一个实验单元时间内不可能熟练掌握Ethernet的使用。但至少应掌握捕获菜单和统计菜单的使用，也可以选择其他菜单命令进行实验。练习使用Ethernet分

34、组捕获与协议分析的显示结果不要复制到实验报告，实验报告只回答冲击波蠕虫病毒攻击过程分析中提出的问题及问题解答过程。二、实验内容1. ethereal-setup-0.10.14.exe软件安装注意事项：ethereal-setup-0.10.14.exe将自动安装WinPcap分组捕获库，不必事先安装WinPcap 分组捕获库。2. 冲击波蠕虫病毒攻击分析（1）冲击波蠕虫病毒攻击原理冲击波蠕虫病毒W32.Blaster.Worm利用Windows 2000/XP/2003等操作系统中分布式组件对象模型DCOM（Distributed Component Object Model）和远程过程调用

35、 (RPC（Remote Procedure Call）通信协议漏洞进行攻击，感染冲击波蠕虫病毒的计算机随机生成多个目标IP地址扫描TCP/135（epmap）、UDP/135（epmap）、TCP/139、UDP/139、TCP/445、UDP/445、TCP/593、UDP/593端口寻找存在DCOM RPC漏洞的系统。感染冲击波蠕虫病毒的计算机具有系统无故重启、网络速度变慢、Office软件异常等症状，有时还对Windows自动升级（）进行拒绝服务攻击，防止感染主机获得DCOM RPC漏洞补丁。根据冲击波蠕虫病毒攻击原理可知，计算机感染冲击波蠕虫病毒需要具备三个基本条件。一是存在随机生成

36、IP地址的主机；二是Windows 2000/XP/2003操作系统开放了RPC调用的端口服务；三是操作系统存在冲击波蠕虫病毒可以利用的DCOM RPC漏洞。（2）冲击波蠕虫病毒攻击过程分析用Ethereal打开冲击波蠕虫病毒捕获文件Win2000-blaster.cap，通过协议分析回答下列问题（仅限于所捕获的冲击波蠕虫病毒）：（a）感染主机每次随机生成多少个目标IP地址？（b）扫描多个端口还是一个端口？如果扫描一个端口，是那一个RPC调用端口？（c）分别计算第二组与第一组扫描、第三组与第二组扫描之间的间隔时间，扫描间隔时间有规律吗？（d）共发送了多少个试探攻击分组？（提示：端点统计或规则t

37、cp.flags.syn=1显示SYN=1的分组）（e）有试探攻击分组攻击成功吗？如攻击成功，请给出感染主机的IP地址。如没有攻击成功的实例，说明为什么没有攻击成功？（提示：TCP报文段SYN=1表示连接请求，SYN=1和ACK=1表示端口在监听，RST=1表示拒绝连接请求。使用显示过滤规则tcp.flags.syn=1&&tcp.flags.ack=1确定是否有端口监听。）三、主要仪器设备 Ethereal网络协议分析软件四、实验数据和结果（a）感染主机每次随机生成多少个目标IP地址？20（Info信息为20一组）（b）扫描多个端口还是一个端口？如果扫描一个端口，是那一个RP

38、C调用端口？一个端口，135（c）分别计算第二组与第一组扫描、第三组与第二组扫描之间的间隔时间，扫描间隔时间有规律吗？第二组与第一组扫描间隔时间：678.770ms第三组与第二组扫描间隔时间：528.105ms 扫描间隔时间有规律。间隔相关不大。（d）共发送了多少个试探攻击分组？Filter: ip.src = 91 2006Filter: ip.src = 91 and tcp.dstport = 135或tcp.flags.syn=1 2002Filter: ip.src = 91 and tcp.dstport !=

39、 135 4 不是攻击分组（e）有试探攻击分组攻击成功吗？如攻击成功，请给出感染主机的IP地址。如没有攻击成功的实例，说明为什么没有攻击成功？无攻击成功。因为：Filter：tcp.flags.syn=1&&tcp.flags.ack=1 Display: 0 被攻击主机无正确响应。五、讨论、心得对Ethereal软件，冲击波蠕虫病毒攻击原理和过程有所了解。实验日期2016.6.8实验题目实验四 网络入侵检测系统一、实验要求由于Snort入侵检测系统功能强大、命令参数众多，在有限时间内不可能对所有命令参数进行实验。可根据自己对Snort的熟悉程度，从实验内容中选择部分实验，但至

40、少应完成Snort报警与日志功能测试、ping检测、TCP connect()扫描检测实验内容。也容许选择其他命令参数或检测规则进行实验，命令执行后将一条完整的记录或显示结果复制到实验报告表格中，并对检测结果进行解释。请不要复制重复的记录或显示结果！二、实验内容1. snort-2_0_0.exe的安装与配置本实验除安装snort-2_0_0.exe之外，还要求安装nmap-4.01-setup.exe网络探测和端口扫描软件。Nmap用于扫描实验合作伙伴的主机，Snort用于检测实验合作伙伴对本机的攻击。用写字板打开Snortetcsnort.conf文件对Snort进行配置。将var HOM

41、E_NET any中的any配置成本机所在子网的CIDR地址；将规则路径变量RULE_PATH定义为C:snortrules；将分类配置文件路径修改为 include C:snortetcclassification.config；将引用配置文件路径修改为include C:snortetcreference.config。其余使用Snort配置文件中的默认设置，这里假设所有Snort命令都在C盘根目录下执行。2. Snort报警与日志功能测试用写字板打开C:>Snortruleslocal.rules规则文件，添加Snort报警与日志功能测试规则：alert tcp any any -

42、> any any (msg:"TCP traffic")。执行命令：C:>snortbinsnort -c snortetcsnort.conf -l snortlog -i 2如果在C:>Snortlog目录中生成alert.ids报警文件和IP地址命名的日志文件，表明Snort配置正确，能够实施入侵报警和日志记录功能。特别提醒：测试Snort报警与日志功能以后，一定要删除掉添加的测试规则或在该规则前加#号变为注释！否则，随后的实验不能获得正确结果。3. 分组协议分析（1）TCP/UDP/ICMP/IP首部信息输出到屏幕上：C:> snortbi

43、nsnort v -i n；n=1/2/3/4/5（2）TCP/UDP/ICMP/IP首部信息和应用数据输出到屏幕上：C:> snortbinsnort -vd -i n 或C:> snortbinsnort -v d -i n；（命令选项可以任意结合，也可以分开）（3）将捕获的首部信息记录到指定的Snortlog目录，在log目录下将自动生成以主机IP地址命名的目录；C:> snortbinsnort -v -l snortlog -i n；n=1/2/3/4/5（4）采用Tcpdump二进制格式将捕获的首部信息和应用数据记录到指定的Snortlog目录，在log目录下将自

44、动生成snort.log日志文件，可以使用Ethereal或Tcpdump协议分析软件打开snort.log文件，也可以通过-r snort.log选项用Snort输出到屏幕上。C:> snortbinsnort -b -l snortlog -i n；n=1/2/3/4/54. 网络入侵检测（1）实验合作伙伴相互ping对方的主机，利用Snort检测对本机的ping探测，在snortlog目录下将生成报警文件alert.ids：C:>snortbinsnort -d -c snortetcsnort.conf -l snortlog -i n n=1/2/3/4/5    （2）实验合作伙伴利用“nmap -sT 目标主机IP地址或名称”命令TCP connect()扫描对方主机，以文本格式记录日志的同时，将报警信息发送到控制台屏幕（console）：C:>snortbinsnort -c snortetcsnort.conf -l snortlog -A console -i n n=1/2/3/4/5（3）实验合作伙伴利用“nmap -O目标主机IP地址或名称”命令探测目标主机操作系统，以Tcpdump二进制格式记录日志的同时，将报警信息发送