网络安全实验报告.docx
《网络安全实验报告.docx》由会员分享,可在线阅读,更多相关《网络安全实验报告.docx(31页珍藏版)》请在冰点文库上搜索。
网络安全实验报告
学号
成绩
实验报告
网络安全实验
姓名:
班级:
指导教师:
实验时间:
2018.06
哈尔滨工程大学
2018年06月
实验一、网络分析器应用实验
一、实验目的
1.下载Wireshark并进行安装;
2.掌握Wireshark的基本用法与设置:
(1)了解捕获选项的相关设置;
(2)学习使用过滤器显示符合过滤条件的数据包;
(3)学习使用着色规则;
(4)学习使用基本图表进行网络分析;
3.掌握使用Wireshark捕获流量数据包并保存至本地
4.使用Wireshark分析ARP协议的请求报文。
二、实验仪器与器材
Wireshark
Windows10
三、实验原理
Wireshark是网络包分析工具。
网络包分析工具的主要作用是尝试捕获网络包,并尝试显示包的尽可能详细的情况。
网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具,Wireshark是最好的开源网络分析软件。
Wireshark的主要应用如下:
(1)网络管理员用来解决网络问题
(2)网络安全工程师用来检测安全隐患
(3)开发人员用来测试协议执行情况
(4)用来学习网络协议
(5)除了上面提到的,Wireshark还可以用在其它许多场合。
Wireshark的主要特性
(1)支持UNIX和Windows平台
(2)在接口实时捕捉包
(3)能详细显示包的详细协议信息
(4)可以打开/保存捕捉的包
(5)可以导入导出其他捕捉程序支持的包数据格式
(6)可以通过多种方式过滤包
(7)多种方式查找包
(8)通过过滤以多种色彩显示包
(9)创建多种统计分析
四、实验过程与测试数据
1.Wireshark的安装及界面
(1)Wireshark的安装
(2)Wireshark的界面
启动Wireshark之后,主界面如图:
2.Wireshark的基本用法与设置
2.1捕获选项的相关设置
1)启动Wireshark以后,选择菜单Capature->Interfaces,选择捕获的网卡,单击Capture开始捕获
2)当停止抓包时,按一下stop,抓的包就会显示在面板中,并且已经分析好了。
Wireshark界面窗口被分成三个部分:
最上面为数据包列表,用来显示截获的每个数据包的总结性信息;中间为协议树,用来显示选定的数据包所属的协议信息;最下边是以十六进制形式表示的数据包内容,用来显示数据包在物理层上传输时的最终形式。
2.2使用过滤器显示符合过滤条件的数据包
Interface:
指定在哪个接口(网卡)上抓包。
Limiteachpacket:
限制每个包的大小。
Capturepacketsinpromiscuousmode:
是否打开混杂模式。
如果打开,抓取所有的数据包。
一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。
Filter:
过滤器,只抓取满足过滤规则的包。
File:
如果需要将抓到的包写到文件中,在这里输入文件名称。
useringbuffer:
是否使用循环缓冲。
2.3使用着色规则
2.4使用基本图表进行网络分析
3.使用Wireshark捕获流量数据包并保存至本地
五、实验分析
使用WireShark对ARP协议进行分析
(1)启动WireShark
(2)捕获数据
(3)停止抓包并分析ARP请求报文
将Filter过滤条件设为arp,回车开始抓包
(4)ARP请求报文分析
第一行:
帧基本信息分析
FrameNumber(帧的编号):
18
FrameLength(帧的大小):
60字节。
(以太网的帧最小64个字节,而这里只有60个字节,应该是没有把四个字节的CRC计算在里面)
ArrivalTime(帧被捕获的日期和时间):
Jun25,201819:
02:
57.728234000中国标准时间
Timedeltafrompreviouscapturedframe(帧距离前一个帧的捕获时间差):
0.347616000seconds
Timesincereferenceorfirstframe(帧距离第一个帧的捕获时间差):
5.341389000seconds
Protocolsinframe(帧装载的协议):
eth:
arp
第二行:
数据链路层:
Destination:
Broadcast(ff:
ff:
ff:
ff:
ff:
ff)
Destination(目的地址):
Broadcast(ff:
ff:
ff:
ff:
ff:
ff)(这是一个广播的MAC地址)
Source(源地址):
Pegatron_fe:
b1:
a7(78:
f2:
9e:
fe:
b1:
a7)
帧中封装的协议类型:
ARP(0x0806)(这个是ARP协议的类型编号)
Padding:
是协议中填充的数据,为了保证帧最少有64字节。
第三行:
ARP协议
Hardwaretype(硬件类型):
Ethernet
(1)
Protocoltype(协议类型):
IPv4(0x0800)
Hardwaresize(硬件信息在帧中占的字节数):
6
Protocolsize(协议信息在帧中占的字节数):
4
opcode(操作码):
request
(1)
SenderMACaddress(发送方的MAC地址):
Pegatron_fe:
b1:
a7(78:
f2:
9e:
fe:
b1:
a7)
SenderIPaddress(发送方的IP地址):
192.168.0.38
TargetMACaddress(目标的MAC地址):
00:
00:
00_00:
00:
00(00:
00:
00:
00:
00:
00)
TargetIPaddress(目标的IP地址):
192.168.0.35
六、实验体会
通过本次实验使用wireshark并分析抓包结果,和对获得的ARP报文的分析,我熟悉了wireshark的使用,并更加深入了解了ARP报文的传输过程。
实验二、远程控制实验
一、实验目的
1.掌握远程控制技术的有关内容;
2.掌握pcAnywhere软件的操作方法;
3.掌握远程控制原理及基本协议、远程控制技术概念及原理等知识;
4.利用pcAnywhere软件对远程计算机进行控制。
二、实验仪器与器材
pcAnywhere软件系统
VMware:
Windows7
Windows10
三、实验原理
1.远程控制原理
所谓远程控制,是指管理人员在异地通过计算机网络联通被控制的计算机,将被控计算机的桌面环境显示到自己的计算机上,通过本地计算机对远端计算机进行配置、软件安装和文件编辑等工作。
当操作者使用主控计算机控制被控端计算机时,可以启动被控端计算机的应用程序,使用被控端的文件资料,甚至可以利用被控端计算机的外部设备和通信设备来进行工作。
远程控制必须通过网络才能进行。
位于本地的计算机是操纵指令的发出端,称为主控端或客户端,非本地的被控制的计算机称为被控端或服务器端。
2.远程控制技术
随着网络的快速发展以及计算机管理和技术支持的需要,远程操作及控制技术越来越引起人们的关注。
远程控制支持多种网络方式:
LAN、WAN、拨号方式及互联网方式。
此外,远程控制还支持通过串口、并口和红外端口来对目标主机进行控制。
传统的远程控制技术一般使用NETBEUI、NETBIOS、IPX/SPX和TCP/IP等协议来实现,此外,还支持Java技术,以实现不同操作系统下的远程控制。
远程控制由两部分组成:
客户端(Client)程序和服务器端(Server)程序。
在进行远程控制前,需要事先将客户端程序安装到主控端计算机上,服务器端程序安装到被控端计算机上。
远程控制的过程是:
先在主控端计算机上执行客户端程序,向被控端计算机中的服务器端程序发出信号,建立一个特殊的远程服务;通过这个远程服务,使用远程控制功能发送远程控制命令,控制被控端计算机运行。
3.远程控制方式
远程控制的实现方式通常有两种:
点对点方式和点对多点方式。
点对点控制指的是一个远程客户端的程序在同一时间内只能连接并控制唯一一台远程计算机。
点对点控制程序以客户端控制服务器端的模式工作,这也是远程访问控制中运用得最普遍的情况。
点对点的访问控制主要应用于对远程主机进行具体控制和监控的需求。
一些专业软件,如远程控制软件pcAnywhere,可以借助局域网的优势用一台计算机控制多台计算机,实现对远程主机的多点控制。
点对多点的访问控制可以在同一时间内对一台或多台远程计算机进行控制。
点对多点的访问控制流程和点对点相反,首先由每个客户端程序向服务器端程序发出连接请求,建立连接之后,服务器端就可以对多台远程计算机的客户端程序发出指令并由客户端程序执行指令。
点对多点的访问控制主要应用于控制大范围计算机领域,如定时、收费和监督等。
远程控制在计算机网络管理与维护中应用相当普遍,网络管理员可以通过接入局域网中的任意一台计算机,通过远程控制方式对网内服务器等设备进行管理和维护,实现在服务器上进行软件安装、系统升级、数据备份以及日志查看等功能。
四、实验过程与测试数据
1.pcAnywhere软件的安装与使用。
安装成功后,双击桌面上的图标SymantecpcAnywhere,打开软件运行界面,“转到高级视图”。
2.配置被控端(hosts)。
通过选择主机下的添加功能自定义配置被控端计算机。
3.配置主控端(Remotes)。
在向导中输入被控端计算机的IP地址。
设置完毕后,右击主控端,在快捷菜单中选择“开始远程控制”命令,即可自动连接至远程主机的桌面,实现安全的桌面远程操作。
作为被控端,在“主机”中双击新建主机(AAA)即可,任务栏的右下角会有图标提示。
作为主控端,选中“远程”中的“AAA”,单击左侧的“启动连接”,或者双击AAA,出现如图4.3.4所示的界面。
用户名就是登录名BBB,密码就是登录密码1234。
连接成功后将按要求进入远程控制界面或者文件传送界面,可以在远程控制界面中遥控被控计算机。
如图,主控端出现了被控端的桌面窗口。
4.远程控制扩展实验
(1)单击工具栏中的“改为全屏显示”按钮,可全屏显示从机的桌面而隐藏主机的“开始”菜单和工具栏。
单击工具栏中的“文件传送”按钮,左边显示的是主机资源,右边为从机资源,利用鼠标的拖放功能可实现文件的双机互相复制.
(2)单击工具栏中的“查看修改联机选项”按钮,设置锁定从机键盘,单击工具栏中的“结束远程控制对话”按钮。
五、实验分析
本实验中,以pcAnywhere为例,进行了基于主机(实体机)和从机(虚拟机)的远程控制实验实现。
作为一款独特的集成解决方案,pcAnywhere结合了远程控制、远程管理、高级文件传输功能和强健的安全性。
实验过程中,通过在Windows10系统上安装pcAnywhere主控端并进行远程登录的信息配置,在Windows7系统上安装pcAnywhere被控端并进行主机的信息设置以及对于远程控制的选项设置,配置完成后进行远程控制的登录以及控制过程,并最终通过远程操纵计算机、文件传输等功能的实现,加深对远程控制的理解与应用。
在本实验中,应注意的问题主要包括对于远程主机登录信息的配置环节中,对于登录账户、域信息以及密码需要与在主控端中的配置完全一致,保证最终连接的成功。
六、实验体会
远程操作及控制技术在当下的用途越来越广泛,而远程控制安全作为网络安全中的一个重要组成部分,也应当引起我们更多的关注。
通过远程控制,可以便利日常的生活学习以及工作,大大提高工作的效率以及设备的利用率。
我们在了解远程控制技术的基础上,应该进行进一步的深入研究,做到合理而又安全地使用远程控制,发挥其最大的优势。
实验三、入侵检测系统分析与应用
一、实验目的
1.了解入侵检测系统
2.熟悉运用入侵检测软件
二、实验仪器与器材
Vmware:
Ubuntu16.04
三、实验原理
1.入侵检测系统
入侵检测系统(intrusiondetectionsystem,IDS)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
IDS是计算机的监视系统,它通过实时监视系统,一旦发现异常情况就发出警告。
以信息来源的不同和检测方法的差异分为几类:
根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和误用入侵检测。
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。
在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。
因此,IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。
这些位置通常是:
服务器区域的交换机上;Internet接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。
入侵检测系统根据入侵检测的行为分为两种模式:
异常检测和误用检测。
前者先要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被断定为入侵;后者则相反,先要将所有可能发生的不利的不可接受的行为归纳建立一个模型,凡是访问者符合这个模型的行为将被断定为入侵。
对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。
从技术上,入侵检测分为两类:
一种基于标志(signature-based),另一种基于异常情况(anomaly-based)。
对于基于标志的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。
检测主要判别这类特征是否在所收集到的数据中出现。
此方法非常类似杀毒软件。
而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。
这种检测方式的核心在于如何定义所谓的“正常”情况。
2.Suricata入侵检测工具
Suricata是一款高性能的网络IDS、IPS和网络安全监控引擎。
它是由theOpenInformationSecurityFoundation开发,是一款开源的系统。
在所有目前可用的IDS/IPS系统中,Suricata最能够与Snort相抗衡。
该系统有一个类似Snort的架构,依赖于像Snort等的签名,甚至可以使用VRTSnort规则和Snort本身使用的相同的EmergingThreat规则集。
四、实验过程与测试数据
1.工具安装
获取最新的个人软件包档案源,将其添加至当前apt库中。
系统升级以及软件安装。
安装完成后启动软件并查看相关帮助。
2.入侵检测:
查看当前网卡使用情况。
查看内置snort规则列表,配置自定义规则test.rules,并利用此条规则启动suricata。
启动后,在浏览器打开XX页面。
Suricata软件会把记录保存在/var/log/suricata中,在此文件夹中打开log文件查看记录。
首先打开stats.log文件,根据记录的时间可以进行查看刚刚进程的记录,可以看出tcp握手的过程。
打开suricata.log文件,此文件存储软件检测日志,可以查看suricata软件使用过程中所有的提示,包括错误、警告等。
打开文件eve.json,发现其中以json格式记录着所有的数据,包括源IP和目标IP等。
五、实验分析
Suricata软件可以利用snort的规则,通过规则的编写可以实现自己想要的结果。
软件安装前需要安装必要的库文件,而且没有采用通过源码进行安装,保证了安装的准确性和软件使用的可靠性。
Suricata可以通过选定某个网络接口来进行监听,并将监听过程中所监听到的信息都记录在日志中,以便于查看分析是否被入侵。
通过合理使用snort规则,可以实现对单独事件、单独网络协议和某些木马攻击等都可以实现单独的检测,从而对于特定的目标实现特定的检测方案。
六、实验体会
通过此次实验,我对入侵检测系统的原理和两种入侵检测行为的模式有了一个初步的认识和了解。
Suricata是一种高性能的入侵检测工具,堪比目前应用最为广泛的Snort。
通过Suricata的使用,编写简单的snort规则,可以实现简单的入侵监控。
实验四、虚拟蜜罐分析与实践
一、实验目的
1.掌握虚拟蜜网的定义、结构及具体搭建步骤。
2.利用蜜网工具进行网络行为分析。
2、?
?
?
器?
器材
?
VMware:
Ubuntu64,honeynet工具包
?
VMware:
Windows7,Trap-sever蜜罐模?
工具
三、?
?
原理
1.蜜罐原理
蜜罐honeypot的定?
,“蜜罐是一?
安全?
源,?
的价?
在于被探?
、攻?
和?
害。
”蜜罐的?
?
初衷就是?
黑客入侵,借此收集相?
?
据,?
?
藏?
?
的服?
器地址。
蜜罐一般具有以下功能:
?
?
攻?
、?
生警告、强大的?
?
能力、欺?
、?
助?
?
。
蜜罐的?
一?
用途是拖延攻?
者?
其?
正目?
的攻?
,?
攻?
者在蜜罐上浪?
?
?
,?
此同?
,最初的攻?
目?
受到了保?
,?
正有价?
的?
容?
不受侵犯。
根据管理?
的需要不同,蜜罐的系?
和漏洞?
置要求也不同,蜜罐是多?
多?
的,包括?
系?
蜜罐、?
系?
蜜罐。
2.?
?
蜜罐?
?
Honeynet
?
?
蜜罐?
?
Honeynet是honeypot的一?
形式。
Honeypot是用?
?
人攻?
,存在安全?
?
的?
源。
而Honeynet是一?
交互性?
高的Honeypot。
?
?
高度的交互性能?
使我?
了解入侵者?
?
攻破系?
,?
?
?
系和?
什?
要入侵系?
的一切?
西。
Honeynets是通?
?
建一?
?
?
系?
?
?
?
?
?
目的的。
?
?
?
?
是高度集成的,所有流入和流出的?
据都?
被控制和捕捉,在?
?
?
?
中的每一?
系?
都是一?
?
正的Honeypot,每?
系?
都是?
了?
?
攻?
者的攻?
而?
?
。
Honeyd是一?
低交互的蜜罐。
Honeyd是一?
小的防?
程序,?
能?
?
生?
?
的主机,?
些主机能?
被配置以提供任意的服?
,系?
特征也是?
之相适?
,以至于使之看起?
像?
?
的系?
在?
行。
在一?
局域?
的?
?
?
?
中,Honeyd能?
使?
?
主机?
有?
多IP(多?
65536?
)。
通?
提供?
威?
探?
和?
?
的机制,增强了?
算机的安全性,通?
?
藏?
?
的系?
在?
?
的系?
中,也?
到了阻止?
手的目的。
?
?
honeyd前有?
必?
先?
?
arpd.?
?
arpd有2?
方式:
arpdIP;%arpdIP(%表示arpd的路?
,因?
系?
本身有?
arpd,有?
需要指定自己安?
的那?
arpd的路?
)。
3.Trap-sever蜜罐模?
工具
TrapServer是一款WEB服?
器蜜罐?
件,?
可以模?
?
多不同的服?
器,例如:
ApacheHTTPServer、MicrosoftIIS等。
TrapServer蜜罐?
行?
就?
?
放一?
?
?
的WEB服?
器,?
?
服?
器?
?
?
?
服?
器的?
?
情?
?
行?
?
,?
把所有?
?
服?
器的?
?
?
?
下?
,包括IP地址,?
?
文件等。
通?
?
些?
黑客的入侵行?
?
行?
?
的分析。
四、?
?
?
程?
?
?
?
据
1.?
?
蜜罐?
?
Honeynet在ubuntu上的搭建
(1)系?
?
安?
:
需要安?
flex、bison和libedit-dev,?
Honeynet的搭建提供支持。
(2)依?
?
、honeyd和arpd安?
安?
?
,先?
?
?
包解?
到主文件目?
下,再在文件中用./configure命令,?
?
?
安?
的?
件?
行配置,?
?
?
前的?
境是否?
足要安?
?
件的依?
?
系,使用make工具?
文件中所有源代?
?
行自?
?
?
,最后使用sudomakeinstall命令?
?
行安?
。
?
所有?
?
包按照如下的?
序?
行上面的操作(根据版本可能安?
包有所不同):
1.libevent-1.4.14b-stable.tar.gz
2.libdnet-1.12.tgz
3.libpcap-1.3.0.tar.gz
4.zlib-1.2.8.zip
5.honeyd-1.5c.tar.gz
6.arpd-0.2.tar
在安?
honeyd?
,在?
?
?
?
?
出?
?
外一?
?
?
:
无法?
取libc,我?
此?
需要使用cp命令?
?
取libc:
sudocp/lib/x86_64-linux-gnu/libc.so.6/usr/lib/
安?
aprd工具?
,在?
?
的?
候?
?
?
,是由于其中一?
文件出?
?
?
,需要在arpd/arpd.c文件中添加#define__FUNCTION__ ""。
在?
?
honeyd的?
候?
?
?
?
,是由于?
然已?
安?
了honeyd所依?
的共享?
,但是在?
用?
共享?
?
,程序按照默?
共享路?
?
不到?
共享文件。
?
行一系列修改,最后在root?
限下?
?
成功。
2.honeyd的?
?
使用
首先用aprd工具?
?
出?
台主机。
在局域?
中?
?
一?
未被使用的IP地址,?
?
arpd,此?
?
?
的是192.168.68.1。
然后在此空?
的ip上?
建?
?
蜜罐?
?
行?
?
。
3.Trap-sever蜜罐模?
工具的使用
?
Trap-sever蜜罐模?
工具安?
在win7系?
下,安?
完成后?
?
?
件。
在主界面点?
“?
始?
?
”按?
,?
?
蜜罐服?
。
此?
?
表示,TrapServer?
始?
?
服?
器的80端口。
在本机?
?
器?
入自己自己服?
器的ip,?
?
?
?
用TrapServer模?
的WEB服?
。
?
?
,在TrapServer主界面里就?
自?
?
?
?
?
示攻?
者的?
?
操作?
?
。
?
外,在遭受攻?
?
如果不知道攻?
者的?
?
IP地址,可以点?
“?
踪”按?
,?
件?
?
踪IP?
?
的路由,?
出攻?
者的IP地址。
五、?
?
分析
arpd?
行在?
honeyd相同的系?
上,是honeyd?
多?
作工具中最重要的一?
。
arpd工作?
?
?
局域?
?
的流量,?
通?
?
看honeyd系?
的ARP表判?
其?
系?
的活?
?
否。
?
一次企?
?
局域?
?
系?
的?
接?
生?
,arpd通?
?
?
ARP表得知目的IP地址不存在后,就?
?
?
?
受害者的IP地址?
行ARP?
播,如果honeyd得到了?
?
,?
明目?
系?
?
?
存在,于是把目?
系?
的IP地址?
MAC地址的?
?
?
入honeyd的ARP表,?
?
?
次?
接?
?
不?
作,因?
?
可能是合法流量。
如果arpd?
有?
目?
接收到arp?
?
,那?
?
就?
?
目?
系?
?
不存在,假?
?
是一次攻?
行?
,于是就?
?
充?
受害者的IP地址?
?
攻?
者作出回?
。
由此可?
,arpd?
?
指定的IP地址范?
?
未使用的IP用honeyd主机的MAC地址做出arp?
答。
?
?
?
指定的IP地址范?
?
未使用的IP的?
接?
?
都被重定向至honeyd主机。
因此?
?
的?
?
在局域?
中特?
能最大化的?
?
?
?
病毒的攻?
,?
移攻?
流,?
下一步?
?
和捕?
?
?
病毒奠定了基?
。
在?
?
?
用方面,TrapServer是SQL注入的天?
,能?
?
地?
?
各?
手工的和利用工具?
?
的方法,?
完整地再?
?
?
的入侵?
程。
“TrapServer”相?
于有traceroute功能的WEB服?
端。
?
同?
的探?
?
件相比,TrapServer在?
布WEB?
traceroute上占?
?
,但不能同?
?
定多格端口,也不能?
定UDP,?
据分析能力也要差一点。
所以?
?
?
只是一?
?
?
?
的?
?
蜜罐。
6、?
?
?
?
通?
此次?
?