网络安全实验报告

哈佛大学计算机与信息学院信息工程类实验报告课程名称：网络安全姓名：天贵あ→黄泉↑霸气的一号系：网络工程系专业：网络工程专业年级：2009级学号：111111111111指导教师：纪晓岚职称：博士2012年1月3日实验项目列表序号实验项目名称成绩指导教师1常用网络攻防命令使用2网络扫描器使用和攻击3ARP欺骗工具及原理分析4DOS或DDOS攻击及防范5入侵检测技术6缓冲区溢出攻击89101112实验一：常用网络攻防命令使用一．实验目的和要求实验目的：1.了解网络访问的大致步骤和方法2.熟练使用PsTools中的相关程序，能够使用该套工具进行基本访问和日志清除3.掌握NET命令组的使用方法，能够使用NET命令组进行基本的访问4.学会使用Radmin进行文件上传和下载实验要求：第一阶段：1.熟悉PsTools工具使用方法.2.熟悉本章介绍的各种常用DOS命令.3.学会使用Radmin进行文件上传下载.第二阶段：1.已知某台Windows操作系统的计算机管理用户名(csadmin)和密码(testadmin).使用如下方法入侵该计算机(获得Shell，在对方计算机中安装远程控制程序进行屏幕控制):A.仅使用Windows的自带命令和远程控制程序;B.仅使用PsTools中的相关工具和远程控制程序.2.获得对方每个盘的详细目录结构，并使用TFTP传到本地.3.从传回本地的详细目录结构中找到文件security.dat所在位置，并传回本地.第三阶段：1.卸载对方系统中的远程控制程序2.完成选择题二．实验原理三．主要仪器设备（实验用的软硬件环境）Pstools工具Radmin工具cshell实验所需工具四.实验内容与步骤1、基于Windows命令的远程访问已知某台Windows操作系统的计算机管理用户名为：091154001和密码为：001第一步:建立ipc连接第二步:将被远程访问电脑的C盘映射为本地的Z盘或者直接复制文件至被远程访问电脑的C盘.将被远程访问电脑的C盘映射为本地的Z盘(建议使用).直接把cshell.exe复制至被远程访问电脑的C盘下.第三步:远程运行cshell.exe,作业设定的是在16:02运行已复制在172.31.63.6电脑上的cshell.exe文件.在cmd命令中输入telnet172.31.63.6(没有引号),完成远程访问2、基于PsTools和Radmin的远程访问实验准备：Radmin服务端包括:r_server.exe,raddrv.dll,AdmDLL.dll.在本地电脑的C盘根目录下放着，现在将它们复制到IP为172.31.63.6,账号为091154001，密码为001的电脑中.输入复制r_server.exe文件命令(已建立IPC连接):copyc:\r_server.exe\\172.31.63.6\c$第一步:将cshell.exe复制至远程主机并运行.在建立ipc连接之后,我们使用psexec.exe就不要输入远程电脑的账号密码,较为方便.输入建立ipc连接命令:netuse\\172.31.63.6\ipc$001/user:091154001利用psexec.exe复制cshell.exe至172.31.63.6并运行.我们在使用psexec.exe时,通常在命令行后面加上-d参数,表示不等待程序执行结束就返回.把cshell.exe复制到172.31.63.5并运行.在本地电脑输入telnet172.31.63.51234,成功.第二步:在172.31.63.6上面安装Radmin服务端.运用psexec工具进入远程电脑的cmd命令工具安装Radmin的服务端并启动服务随后我们就可以在Radmin客户端上,点击新建连接,在其中输入已植入Radmin服务端,安装并开启服务电脑的IP地址(172.31.63.6),在连接模式中选择需要类型,然后双击已建立的连接,就可以进行控制了.3、寻找并传回目标文件security.dat步骤一:查找security.dat存放的位置方法一:Radmin工具利用Radmin工具将被访问电脑文件夹选项修改为显示所有文件和文件夹.然后用搜索选项搜索security.dat.用连接模式中的完全控制连接被访问电脑,双击被访问电脑的图标,在被访问电脑的我的电脑-工具-文件夹选项-查看中修改.在被访问电脑的我的电脑-搜索选项中搜索security.dat,通过直接查看文件,找到正确的security.dat.方法二:dir命令进入被访问电脑的cmd命令行工具.在cmd命令行中输入dirc:\security.dat/a/s来查找目标文件./a/s表示显示当前目录下所有文件,包括隐藏文件和子目录下的所有文件.dir命令能够详细的显示查找的文件大小,由目标文件的内容可知其大小是30字节,不需要查看文件内容就可以找到正确的目标文件,降低风险.第二步:将已查找到的正确的security.dat文件利用Radmin传回本地.把Radmin的连接模式改为文件管理,双击被远程访问电脑图标进入文件管理模式.进入正确的security.dat文件目录,选择拷贝目录到另外的计算机,传回目标文件成功(由于目标文件属性是隐藏,所以传回的文件也是隐藏属性,需要在本地电脑把文件夹选项修改为显示所有文件和文件夹,此过程省略).用记事本打开传回本地的security.dat文件,确认是自己想要查找的目标文件.截至此处,本次实验目的已经达到.４、卸载被远程访问电脑的远程控制程序步骤一:卸载远程电脑中的Radmin服务.进入远程电脑cmd,停止Radmin服务(使用psexec之前,已建立ipc连接).卸载远程电脑Radmin服务(最后一行命令是检验Radmin服务是否被成功卸载).步骤二:关闭r_server服务的进程.用pslist命令查看r_server进程的pid步骤三:删除Radmin服务端安装程序及cshell.exe.将远程电脑的C盘映射为本地的Z盘.进入本地Z盘即远程电脑C盘,删除Radmin服务端安装程序及cshell.exe.问答题：1.与一台远程电脑建立ipc连接的前提是什么？（C）A：仅获得该电脑的账号密码。B：仅获得该电脑的IP地址。C：该电脑开放了IPC$,用户得到A,B的条件。2.at\\192.168.1.10310:00c:\test.exe语句作用是？（B）A：10:00在IP地址为192.168.1.103的电脑的C盘创建test.exe文件。B：10:00在IP地址为192.168.1.103的电脑的C盘运行test.exe文件。C：10:00在把本地C盘中的test.exe的文件复制到IP地址为192.168.1.103的电脑中。3.psexec\\192.168.1.103cmd语句的作用是?(C)A:通过psexec工具进入IP地址为192.168.1.103的电脑的CMD中。B：轰炸IP地址为192.168.1.103的电脑的CMD。C：在与IP地址为192.168.1.103的电脑建立IPC连接的前提下,作用为A。4.已完全控制被访问电脑,如何查找欲寻找的目标文件X(属性未知)？(C)A：直接搜索目标文件X。B：在被访问电脑CMD工具中用dir命令加上/a/s参数,逐个查找每个盘来获得目标文件。C：A,B两种方法都可以。5.删除一个已确定无用的exe文件之前,首先应该:(A)A：将该exe文件产生的进程关闭,关闭该exe文件提供的服务。B：直接删除。C：备份该exe文件。思考题：有哪些方法可以防止受到本实验中提到的类似攻击？一、防御IPC$入侵1）禁止在连接中进行枚举攻击运行“regedit”命令，打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa，把restrictanonymoussam的值改为12）禁止默认共享首先查看共享资源：netshareipc$/del删除IPC$共享：netshareipc$/del删除admin$共享：netshareadmin$/del删除d$共享：netshared$/del3）停止Server服务Netstopserver二、防御admin攻击1.开启系统防火墙.启用允许指定的程序访问网络，不让RADMIN访问网络。2.关闭radmin程序访问的端口（4899）。3.开启简单文件共享。4.安装新进的杀毒软件。5.关闭计算机远程连接功能。五.实验总结这是第一次的网络安全实验，第一次总是伴随着众多的新鲜的问题，例如软件的熟悉，实验流程的熟悉等等，但是随着实验的不断深入以及和同学的不断交流的过程中，也渐渐理清了实验的思路，加深了网络安全的知识理解。六．质疑、建议、问题讨论1、在刚开始进行IP连接的时候，一直出现系统错误，登陆失败经过问同学后发现了原来是自己电脑的设置问题，于是就进入控制面板的文件夹选项进行设置把其中的使用简单文件共享的选择去掉，如上图，于是就成功了实验二：网络扫描器使用和分析一．实验目的和要求实验目的：通过使用网络扫描软件，了解目标主机端口和服务的开放情况，从而进一步获取信息，找出系统安全漏洞。通过抓包软件的使用，捕获一些敏感数据（如密码）。通过本次实验，可以了解到端口与服务开放的风险，增强在网络安全防护方面的意识，还可以捕获局域网中用户的账号和密码。实验要求：1.熟悉网络数据包捕获工具的使用2.熟悉扫描程序（漏洞、端口）的使用3.能够利用抓包工具分析扫描程序的具体原理二．实验原理Wireshark简介及使用原理：Wireshark（前称Ethereal）是一个网络封包分析软件，不是入侵侦测软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。网络封包分析软件的功能可想像成电工技师使用电表来量测电流、电压、电阻的工作--只是将场景移植到网络上，并将电线替换成网络线。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。Xscan简介及使用原理：Xscan采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式，扫描内容包括：远程服务类型、操作系统类型及版本，各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。nmap简介及使用原理：nmap是Linux,FreeBSD,UNIX,Windows下的网络扫描和嗅探工具包，其基本功能有三个，一是探测一组主机是否在线；其次是扫描主机端口，嗅探所提供的网络服务；还可以推断主机所用的操作系统。Nmap可用于扫描仅有两个节点的LAN，直至500个节点以上的网络。Nmap还允许用户定制扫描技巧。通常，一个简单的使用ICMP协议的ping操作可以满足一般需求；也可以深入探测UDP或者TCP端口，直至主机所使用的操作系统；还可以将所有探测结果记录到各种格式的日志中，供进一步分析操作。三．主要仪器设备（实验用的软硬件环境）a.wiresharkb.Xscanc.nmap四.实验内容与步骤1、利用WireShark捕获数据包在VOA网站（)上注册一个会员号，利用WireShark捕获数据包，对捕获到的数据包进行分析，找到用户名和密码。步骤一：打开VOA网站，进入会员登录界面。步骤二：输入相应的用户名和密码。用户名：991800924@qq.com密码：001&060步骤三：起动WireShark应用程序，点击Capture--Interfaces--Options,将CaptureFilter设置为空，再点击Start起动。步骤四：在捕获的包中查找相应的用户名和密码。捕获的用户名为：991800924@qq.com捕获的密码