网络安全课程实验指导书

网络安全课程实验安排及指导书2009-10-21实验安排1、推荐必做实验网络扫描计算机病毒及恶意代码防火墙实验入侵检测系统2、推荐选作实验VPN配置证书的申请和使用windows安全配置实验实验一：网络扫描实验【实验目的】了解扫描的基本原理，掌握基本方法，最终巩固主机安全【实验内容】1、学习使用Nmap的使用方法2、学习使用漏洞扫描工具【实验环境】1、硬件PC机一台。2、系统配置：操作系统windowsXP以上。【实验步骤】1、端口扫描1）解压并安装ipscan15.zip，扫描本局域网内的主机2）解压nmap-4.00-win32.zip，安装WinPcap运行cmd.exe，熟悉nmap命令(详见“Nmap详解.mht”)。3）试图做以下扫描：扫描局域网内存活主机，扫描某一台主机或某一个网段的开放端口扫描目标主机的操作系统试图使用Nmap的其他扫描方式，伪源地址、隐蔽扫描等2、漏洞扫描解压X-Scan-v3.3-cn.rar，运行程序xscan_gui.exe，将所有模块选择扫描，扫描本机，或局域网内某一台主机的漏洞【实验报告】1、说明程序设计原理。2、提交运行测试结果。【实验背景知识】1、扫描及漏洞扫描原理见第四章黑客攻击技术.ppt2、NMAP使用方法扫描器是帮助你了解自己系统的绝佳助手。象Windows2K/XP这样复杂的操作系统支持应用软件打开数百个端口与其他客户程序或服务器通信，端口扫描是检测服务器上运行了哪些服务和应用、向Internet或其他网络开放了哪些联系通道的一种办法，不仅速度快，而且效果也很不错。Nmap被开发用于允许系统管理员察看一个大的网络系统有哪些主机以及其上运行何种服务。它支持多种协议的扫描如UDP，TCPconnect(),TCPSYN(halfopen),ftpproxy(bounceattack),Reverse-ident,ICMP(pingsweep),FIN,ACKsweep,XmasTree,SYNsweep,和Null扫描。你可以从SCANTYPES一节中察看相关细节。nmap还提供一些实用功能如通过tcp/ip来甄别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的PING侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择以及端口的描述。一、安装NmapNmap要用到一个称为“Windows包捕获库”的驱动程序WinPcap——如果你经常从网上下载流媒体电影，可能已经熟悉这个驱动程序——某些流媒体电影的地址是加密的，侦测这些电影的真实地址就要用到WinPcap。WinPcap的作用是帮助调用程序(即这里的Nmap)捕获通过网卡传输的原始数据。WinPcap的最新版本在，支持XP/2K/Me/9x全系列操作系统，下载得到的是一个执行文件，双击安装，一路确认使用默认设置就可以了，安装好之后需要重新启动。接下来下载Nmap。下载好之后解开压缩，不需要安装。除了执行文件nmap.exe之外，它还有下列参考文档:㈠nmap-os-fingerprints:列出了500多种网络设备和操作系统的堆栈标识信息。㈡nmap-protocols:Nmap执行协议扫描的协议清单。㈢nmap-rpc:远程过程调用(RPC)服务清单，Nmap用它来确定在特定端口上监听的应用类型。㈣nmap-services:一个TCP/UDP服务的清单，Nmap用它来匹配服务名称和端口号。除了命令行版本之外，版本。和其他常见的Windows软件一样，GUI版本需要安装，图一就是GUI版Nmap的运行界面。GUI版的功能基本上和命令行版本一样，鉴于许多人更喜欢用命令行版本，本文后面的说明就以命令行版本为主。图一二、常用扫描类型解开Nmap命令行版的压缩包之后，进入Windows的命令控制台，再转到安装Nmap的目录(如果经常要用Nmap，最好把它的路径加入到PATH环境变量)。不带任何命令行参数运行Nmap，Nmap显示出命令语法，如图二所示。图二下面是Nmap支持的四种最基本的扫描方式:⑴TCPconnect()端口扫描(-sT参数)。⑵TCP同步(SYN)端口扫描(-sS参数)。⑶UDP端口扫描(-sU参数)。⑷Ping扫描(-sP参数)。如果要勾画一个网络的整体情况，Ping扫描和TCPSYN扫描最为实用。Ping扫描通过发送ICMP(InternetControlMessageProtocol，Internet控制消息协议)回应请求数据包和TCP应答(Acknowledge，简写ACK)数据包，确定主机的状态，非常适合于检测指定网段内正在运行的主机数量。TCPSYN扫描一下子不太好理解，但如果将它与TCPconnect()扫描比较，就很容易看出这种扫描方式的特点。在TCPconnect()扫描中，扫描器利用操作系统本身的系统调用打开一个完整的TCP连接——也就是说，扫描器打开了两个主机之间的完整握手过程(SYN，SYN-ACK，和ACK)。一次完整执行的握手过程表明远程主机端口是打开的。TCPSYN扫描创建的是半打开的连接，它与TCPconnect()扫描的不同之处在于，TCPSYN扫描发送的是复位(RST)标记而不是结束ACK标记(即，SYN，SYN-ACK，或RST):如果远程主机正在监听且端口是打开的，远程主机用SYN-ACK应答，Nmap发送一个RST;如果远程主机的端口是关闭的，它的应答将是RST，此时Nmap转入下一个端口。图三是一次测试结果，很明显，TCPSYN扫描速度要超过TCPconnect()扫描。采用默认计时选项，在LAN环境下扫描一个主机，Ping扫描耗时不到十秒，TCPSYN扫描需要大约十三秒，而TCPconnect()扫描耗时最多，需要大约7分钟。图三Nmap支持丰富、灵活的命令行参数。例如，如果要扫描192.168.7网络，可以用192.168.7.x/24或192.168.7.0-255的形式指定IP地址范围。指定端口范围使用-p参数，如果不指定要扫描的端口，Nmap默认扫描从1到1024再加上nmap-services列出的端口。如果要查看Nmap运行的详细过程，只要启用verbose模式，即加上-v参数，或者加上-vv参数获得更加详细的信息。例如，nmap-sS192.168.7.1-255-p20,21,53-110,30000--v命令，表示执行一次TCPSYN扫描，启用verbose模式，要扫描的网络是192.168.7，检测20、21、53到110以及30000以上的端口(指定端口清单时中间不要插入空格)。再举一个例子，nmap-sS192.168.7.1/24-p80扫描192.168.0子网，查找在80端口监听的服务器(通常是Web服务器)。有些网络设备，例如路由器和网络打印机，可能禁用或过滤某些端口，禁止对该设备或跨越该设备的扫描。初步侦测网络情况时，-host_timeout毫秒数参数很有用，它表示超时时间，例如nmapsShost_timeout10000192.168.0.1命令规定超时时间是10000毫秒。网络设备上被过滤掉的端口一般会大大延长侦测时间，设置超时参数有时可以显著降低扫描网络所需时间。Nmap会显示出哪些网络设备响应超时，这时你就可以对这些设备个别处理，保证大范围网络扫描的整体速度。当然，host_timeout到底可以节省多少扫描时间，最终还是由网络上被过滤的端口数量决定。Nmap的手册(man文档)详细说明了命令行参数的用法(虽然man文档是针对UNIX版Nmap编写的，但同样提供了Win32版本的说明)。三、注意事项也许你对其他端口扫描器比较熟悉，但Nmap绝对值得一试。建议先用Nmap扫描一个熟悉的系统，感觉一下Nmap的基本运行模式，熟悉之后，再将扫描范围扩大到其他系统。首先扫描内部网络看看Nmap报告的结果，然后从一个外部IP地址扫描，注意防火墙、入侵检测系统(IDS)以及其他工具对扫描操作的反应。通常，TCPconnect()会引起IDS系统的反应，但IDS不一定会记录俗称“半连接”的TCPSYN扫描。最好将Nmap扫描网络的报告整理存档，以便随后参考。如果你打算熟悉和使用Nmap，下面几点经验可能对你有帮助:㈠避免误解。不要随意选择测试Nmap的扫描目标。许多单位把端口扫描视为恶意行为，所以测试Nmap最好在内部网络进行。如有必要，应该告诉同事你正在试验端口扫描，因为扫描可能引发IDS警报以及其他网络问题。㈡关闭不必要的服务。根据Nmap提供的报告(同时考虑网络的安全要求)，关闭不必要的服务，或者调整路由器的访问控制规则(ACL)，禁用网络开放给外界的某些端口。㈢建立安全基准。在Nmap的帮助下加固网络、搞清楚哪些系统和服务可能受到攻击之后，下一步是从这些已知的系统和服务出发建立一个安全基准，以后如果要启用新的服务或者服务器，就可以方便地根据这个安全基准执行。实验二：计算机病毒及恶意代码【实验目的】练习木马程序安装和攻击过程，了解木马攻击原理，掌握手工查杀木马的基本方法，提高自己的安全意识。【实验内容】安装木马程序NetBus，通过冰刃iceberg、autoruns.exe了解木马的加载及隐藏技术【实验步骤】1、木马安装和使用1)在菜单运行中输入cmd打开dos命令编辑器2)安装netbus软件3)在DOS命令窗口启动进程并设置密码4)打开木马程序，连接别人主机5)控制本地电脑打开学院网页6)查看自己主机7)查看任务管理器进程8移除木马控制程序进程查看任务管理器（注意：Patch.exe进程已经关闭）2、木马防御实验在木马安装过程可以运行一下软件查看主机信息变化：1）使用autoruns.exe软件，查看windows程序启动程序的位置，了解木马的自动加载技术。如自动运行进程（下图所示）、IE浏览器调运插件、任务计划等：2）查看当前运行的进程，windows提供的任务管理器可以查看当前运行的进程，但其提供的信息不全面。利用第三方软件可以更清楚地了解当前运行进程的信息。这里procexp.exe为例启动procexp.exe程序，查看当前运行进程所在位置，如图所示：3）木马综合查杀练习使用冰刃IceSword查看木马可能修改的位置：主要进行以下练习：1）查看当前通信进程开放的端口。木马攻击2）查看当前启动的服务3）练习其他功能，如强制删除其他文件，SPI、内核模块等。【实验报告】1、分析木马传播、自启动、及隐藏的原理。2、提交运行测试的结果，并分析。【背景知识】NetBus由两部分组成：客户端程序（netbus.exe）和服务器端程序（通常文件名为：patch.exe）。要想“控制”远程机器，必须先将服务器端程序安装到远程机器上－－这一般是通过远程机器的主人无意中运行了带有NetBus的所谓特洛伊木马程序后完成的。NetBus服务器端程序是放在Windows的系统目录中的，它会在Windows启动时自动启动。该程序的文件名是patch.exe，如果该程序通过一个名为whackamole.exe的游戏安装潜伏的话，文件名应为explore.exe（注意：不是explorer.exe！）或者简单地叫game.exe。同时，你可以检查Windows系统注册表，NetBus会在下面路径中加入其自身的启动项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunNetBus通过该注册项实现Windows启动时的自动启动。但如果你按Ctrl+Alt+Del，在任务列表中是看不到它的存在的。正确的去除方法如下：1、运行regedit.exe；2、找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun；3、将pa