网络攻击与防范实验报告_杨刚

网络攻击与防范实验报告（杨刚）

姓名：_ _杨刚_ _ 学号：____200948300108005 __ 所在班级：信息学院702班

实验名称：编写自己的网络嗅探器实验日期：_2009_年_10_月_25_日指导老师：张玉清、宋杨实验评分：

验收评语：

参与人员：

实验目的：

?开发一个Windows平台上的网络嗅探工具

?通过开发基于WinPcap的嗅探器，掌握嗅探器的工作原理，熟悉WinPcap的使用，掌握基于WinPcap网络嗅探器的开发过程

实验内容：

?能列出监测主机的所有网卡。

?能选择其中一个网卡进行监听

?能捕获并显示流经网卡的数据包，并做相应的分析和统计

?能设置捕获过滤规则（按协议类型、端口、地址等）

?在TCP、UDP、ARP、ICMP、IGMP等协议中选择至少三种进行重点分析，

?选择至少一种应用层协议如http、ftp等进行分析

?能按照协议格式进行格式化显示。

?有可视化操作界面，易于使用

实验环境：

硬件环境：

?处理器：PentiumIII 800 以上

?内存：1G

?硬盘：40G

?网卡：100M以上

?网速：ISDN128K以上

软件环境：

?操作系统：Windows XP with SP3 or Vista or Windows 7

?开发工具：Visual Studio 2008 with SP1

?开发语言：C++

实验设计：

本实验的目标主要是利用WinPcap开发包工具，独立开发出一个网络嗅探器。因此可以首先根据WinPcap开发包提供的网络接口获取到底层的网卡信息及其数据包；然后再根据TCP/IP协议栈的结构，依次在数据链路层、网络层、数据传输层和应用层，分别进行数据包的分拆与解析，获取相应协议层的数据信息；再次经过几个最常用的协议，如针对Mac、ARP、IP、TCP、UDP、ICMP、HTTP等协议，进行测试；最后，对程序的结构框架、界面设计等不断地进行修正、改进，使自己开发的作品日臻完善。

详细过程（本文所有程序源码，均摘自于本人源程序）：

利用WinPcap开发包工具

?获取本机所有网卡列表信息

pcap_if_t * MyWinPcap::GetAdapterList(void )

{

/* Retrieve the device list from the local machine */

char errbuf[PCAP_ERRBUF_SIZE];

pcap_if_t * m_alldevs = new pcap_if_t(); // ?????? allocate memory to sava temp all-devs ?????

if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL /* auth is not

needed */, &m_alldevs, errbuf) == -1) // if error

{

CString errmsg;

USES_CONVERSION;

errmsg.Format(TEXT("Error in

cap_finalldevs_ex(): %s\n"),A2W(errbuf));

AfxMessageBox(errmsg);

return NULL;

}

else if(NULL == m_alldevs)

{

AfxMessageBox(TEXT("No interfaces found! Make sure WinPcap is installed..."));

return NULL;

}

else

return m_alldevs;

}

?打开选中的网卡，获取数据包信息

pcap_if_t* CYGSnifferDlg::GetSelectedAdapter(int

iSelectAdapterNo,int iTotalAdapter)

{

int i;

pcap_if_t* tmpAllDevs = tmpMyWinPcap.GetAdapterList();

pcap_if_t* pSeletedAdapter = new pcap_if_t;

pSeletedAdapter = NULL;

/* Jump to the selected adapter */

for(pSeletedAdapter = tmpAllDevs,i = 0;i <

iSelectAdapterNo;pSeletedAdapter = pSeletedAdapter->next,i++);

//********* turn to next piont *********

return pSeletedAdapter;

if(pSeletedAdapter)

{

delete pSeletedAdapter;

pSeletedAdapter = NULL;

}

}

DWORD WINAPI Thread_GetFilterData(LPVOID param)

{

pcap_if_t* pSelectedAdapter = (pcap_if_t*)param; // Get SelectedAdapter

char errbuf[PCAP_ERRBUF_SIZE];

CString errmsg;

pcap_t* adhandle;

/* Open the device */

if((adhandle =

pcap_open(pSelectedAdapter->name,65536,PCAP_OPENFLAG_PROMISCUOUS,10 00,NULL,errbuf)) == NULL)

{

USES_CONVERSION;

errmsg.Format(TEXT("Unable to open the adapter. %s is not supported by WinPcap"),pSelectedAdapter->name);

AfxMessageBox(errmsg);

/* At this point, we don't need any more the device list. Free it */

pcap_freealldevs(pSelectedAdapter);

return -1;

}

// filter packet data(protocol)

u_int netmask;

struct bpf_program fcode;

// get netmask

if(NULL != pSelectedAdapter->addresses)

netmask = ((struct sockaddr_in

*)(pSelectedAdapter->addresses->netmask))->sin_addr.S_un.S_addr;

else

netmask = 0xffffff;

// comppile the filter

if(pcap_compile(adhandle,&fcode,packet_filter,1,netmask) < 0)

{

AfxMessageBox(TEXT("Unable to compile the packet filter. Check the syntax."));

/* Free the device list */

pcap_freealldevs(pSelectedAdapter);

return -1;

}

// set the filter

if(pcap_setfilter(adhandle,&fcode) < 0)

{

AfxMessageBox(TEXT("Error setting the filter."));

/* Free the device list */

pcap_freealldevs(pSelectedAdapter);

return -1;

}

pcap_freealldevs(pSelectedAdapter);

pcap_loop(adhandle, 0, packet_handler, NULL);

pcap_close(adhandle);

return 0;

}

调用WinPcap提供的回调函数

void packet_handler(u_char*param, const struct pcap_pkthdr*header,

const u_char *pkt_data)

{

pcap_pkthdr *header2 = new pcap_pkthdr;

u_char *pkt_data2 = new u_char[header->len];

memcpy(header2,header,sizeof(pcap_pkthdr));

memcpy(pkt_data2,pkt_data,header->len);

//PostMessage 只是把消息放入队列，不管其他程序是否处理都返回，然后继续执行;

//而SendMessage 必须等待其他程序处理消息后才返回，继续执行

::PostMessage(hDlgHandle, M_MESSAGEWINPCAP, (WPARAM)header2, (LPARAM)pkt_data2); // == ** Post Message ** ==

}

解析TCP/IP协议栈的结构

?各层协议的头信息声明

// i386 is little_endian.

#ifndef LITTLE_ENDIAN

#define LITTLE_ENDIAN (1) //BYTE ORDER

#else

#error Redefine LITTLE_ORDER

#endif

//Mac头部，总长度字节

typedef struct ethernet_header

{

u_char dstmac[6]; //目标mac地址

u_char srcmac[6]; //源mac地址

u_short eth_type; //以太网类型

}ethernet_header;

/* 4 bytes IP address */

typedef struct ip_address{

u_char byte1; //IP地址第个字段

u_char byte2; //IP地址第个字段

u_char byte3; //IP地址第个字段

u_char byte4; //IP地址第个字段

}ip_address;

//IP头部，总长度字节

typedef struct ip_header

{

#if LITTLE_ENDIAN

u_char ihl:4; //首部长度

u_char version:4;//版本

#else

u_char version:4;//版本

u_char ihl:4; //首部长度

#endif

u_char tos; //服务类型

u_short tot_len; //总长度

u_short id; //标识号

#if LITTLE_ENDIAN

u_short frag_off:13;//分片偏移

u_short flag:3; //标志

#else

u_short flag:3; //标志

u_short frag_off:13;//分片偏移

#endif

u_char ttl; //生存时间

u_char protocol; //协议

u_short chk_sum; //检验和

struct ip_address srcaddr; //源IP地址

struct ip_address dstaddr; //目的IP地址

}ip_header;

//TCP头部，总长度字节

typedef struct tcp_header

{

u_short src_port; //源端口号

u_short dst_port; //目的端口号

u_int seq_no; //序列号

u_int ack_no; //确认号

#if LITTLE_ENDIAN

u_char reserved_1:4; //保留位中的位首部长度u_char offset:4; //tcp头部长度

u_char flag:6; //6位标志

u_char reserved_2:2; //保留位中的位

#else

u_char offset:4; //tcp头部长度

u_char reserved_1:4; //保留位中的位首部长度u_char reserved_2:2; //保留位中的位

u_char flag:6; //6位标志

#endif

u_short wnd_size; //16位窗口大小

u_short chk_sum; //16位TCP检验和

u_short urgt_p; //16为紧急指针

}tcp_header;

//UDP头部，总长度字节

typedef struct udp_header

{

u_short src_port; //远端口号

u_short dst_port; //目的端口号

u_short uhl; //udp头部长度

u_short chk_sum; //16位udp检验和

}udp_header;

//ICMP头部，总长度字节

typedef struct icmp_header

{

u_char type; //类型

u_char code; //代码

u_short chk_sum; //16位检验和

}icmp_header;

?解析数据链路层的Mac协议

void CYGSnifferDlg::ShowMacDetail(HTREEITEM & hItem, const u_char

* pkt_data)

{

ethernet_header *mac_hdr = (ethernet_header *)pkt_data;

hItem = m_treeDetailInfo.InsertItem(TEXT("MAC LAYER"));

CString str = NULL;

TCHAR mac_dstAddr[18];

TCHAR mac_srcAddr[18];

CString mac_strType = NULL;

GetMacType(mac_strType,ntohs(mac_hdr->eth_type),false); // 16-bit == u_short == ntohs() is to swap network to host

str.Format(TEXT("Mac Type = %s"),mac_strType);

m_treeDetailInfo.InsertItem(str,hItem);

GetMacAddress(mac_srcAddr,mac_hdr->srcmac);

str.Format(TEXT("Source Mac = %s"),mac_srcAddr);

m_treeDetailInfo.InsertItem(str,hItem);

GetMacAddress(mac_dstAddr,mac_hdr->dstmac);

str.Format(TEXT("Dest Mac = %s"),mac_dstAddr);

m_treeDetailInfo.InsertItem(str,hItem);

}

?解析网络层的IP、ARP、RARP等协议

void CYGSnifferDlg::GetMacType(CString ð_strType, u_short

eth_Type, bool isFirst) //& is to pass address

{

if(isFirst)

iStatistic_TotalProtocol++;

switch(eth_Type)

{

case 0x0800:

eth_strType = TEXT("IP");

if(isFirst)

iStatistic_TotalIP++;

break;

case 0x0806:

eth_strType = TEXT("ARP");

if(isFirst)

iStatistic_TotalARP++;

break;

case 0x8035:

eth_strType = TEXT("RARP");

break;

case 0x880B:

eth_strType = TEXT("PPP");

break;

case 0x814C:

eth_strType = TEXT("SNMP");

break;

default:

eth_strType = TEXT("other");

break;

}

}

解析数据传输层的TCP、UDP、ICMP等协议

void CYGSnifferDlg::GetIPType(CString&ip_strIP, u_short ip_Type,

bool isFirst)

{

switch(ip_Type)

{

case 1:

ip_strIP = TEXT("ICMP");

if(isFirst)

iStatistic_TotalICMP++;

break;

case 6:

ip_strIP = TEXT("TCP");

if(isFirst)

iStatistic_TotalTCP++;

break;

case 17:

ip_strIP = TEXT("UDP");

if(isFirst)

iStatistic_TotalUDP++;

break;

default:

ip_strIP = TEXT("other");

break;

}

}

解析应用层的HTTP协议（基于传输层的TCP协议）

bool CYGSnifferDlg::IsHTTP(const u_char *pkt_data)

{

ip_header *ip_hdr = (ip_header *)(pkt_data+14);

u_short ip_hdrLen = ip_hdr->ihl*4;

tcp_header * tcp_hdr = (tcp_header *)(pkt_data+14+ip_hdrLen);

u_short tcp_hdrLen = tcp_hdr->offset*4;

u_char *http_pkt = (u_char

*)(pkt_data+14+ip_hdrLen+tcp_hdrLen);

u_short http_pktLen = ntohs(ip_hdr->tot_len) -

(ip_hdrLen+tcp_hdrLen); //u_short httpLen2 = header->len -

(14+ip_hdrLen+tcp_hdrLen);

CString chrTmp = NULL;

CString strTmp = NULL;

CString strHttp = NULL;

int httpPos = 0;

if(ip_hdr->protocol == 6)

{

for(int i=0;i

{

chrTmp.Format(TEXT("%c"),http_pkt[i]);

strTmp += chrTmp;

if(i>2 && http_pkt[i-1]==13 && http_pkt[i]==10)

break;

}

//AfxMessageBox(strTmp);

httpPos = strTmp.Find(TEXT("HTTP"),0);

if(httpPos != -1 && httpPos != 65535) // 如果第一行含有字

符串HTTP，则为HTTP协议

{

iStatistic_TotalHTTP++;

return true;

}

else

return false;

}

return false;

}

测试各个协议层的数据信息

Mac、IP、UDP、TCP、HTTP等协议及其统计信息

Mac、IP、ARP、TCP、UDP、ICMP等协议及其统计信息

修正与改进，使之日臻完善

?运用了多线程技术，进行抓包处理，使其速度、性能得到了有效改善

例如：m_hdlThread =

CreateThread(NULL,0,Thread_GetFilterData,(LPVOID)pSelectAdapter,0,&dwThr ead);

?运用了消息传递技术，使其能够在主线程（即主对话框线程）与子线程（即自己

新创建的抓包线程）进行通信

例如：::PostMessage(hDlgHandle, M_MESSAGEWINPCAP, (WPARAM)header2,

(LPARAM)pkt_data2); // == ** Post Message ** ==

?运用了文件的存储与读取方法，节省了内存的消耗

// Append packet

void MyWinPcap::AppendPacket(packet *pkt)

{

const pcap_pkthdr *header = pkt->header;

const u_char *data = pkt->pkt_data;

++m_iCurNo;

packet_index index;

index.no = m_iCurNo;

index.pos = m_pfileData->GetPosition();

index.len = sizeof(pcap_pkthdr) + header->len;

m_pfileIndex->SeekToEnd();

m_pfileIndex->Write(&index,sizeof(packet_index));

m_pfileData->SeekToEnd();

m_pfileData->Write(header,sizeof(pcap_pkthdr));

m_pfileData->Write(data,header->len);

m_pfileIndex->Flush(); // write from memory to disk immediatly

m_pfileData->Flush();

}

// Get packet

packet * MyWinPcap::GetPacket(int m_iNo)

{

int iPos = (m_iNo-1)*sizeof(packet_index);

packet_index pIndex;

m_pfileIndex->Seek(iPos,CFile::begin);

m_pfileIndex->Read(&pIndex,sizeof(packet_index));

m_pfileData->Seek(pIndex.pos,CFile::begin);

byte *buffer = new byte[pIndex.len];

m_pfileData->Read(buffer,pIndex.len);

packet *pkt = new packet();

pkt->header = (pcap_pkthdr *)buffer;

pkt->pkt_data = (u_char *)(buffer+sizeof(pcap_pkthdr));

return pkt;

}

?增加了版本、作者等信息显示说明，详见请点击“版本信息”按钮

?优化了界面布局，使其更加的紧促，但又不足之处，例如没有菜单，只有按钮，这尚需要进一步的优化界面布局

实验结论：

通过了近一个月的努力学习与实践运用，终于制作出了一个实现网络嗅探的基本功能的网络嗅探器，较为合理、圆满的完成了本实验的各项实验要求，取得了应有的实验效果。

?能列出监测主机的所有网卡，并显示在网卡列表框中。

?能选择其中的一个网卡进行监听，并记录器数据信息

?能捕获并显示流经网卡的数据包，并做相应的分析和统计

?能设置捕获过滤规则（按协议类型、端口、地址等，但是仍然不够完善，尚需改进）?在TCP、UDP、ARP、ICMP、IGMP等协议都能进行重点分析

?选择了一种应用层协议如http进行分析

?能按照协议格式进行格式化显示

?有可视化操作界面，易于使用

实验体会：（碰到的问题、如何解决、有何体会）

通过自学，亲自动手，一点一滴的积累并实现，完成了一个具备了基本功能的网络嗅探器，受益良多。

学习了WinPcap开发工具包，对其在网络底层实现和接口运用的方面，有了更加清楚、较为深入的认识与掌握，熟练学会了如何利用WinPcap工具开发上实现网络协议编程 通过实现了一个基于WinPcap的网络嗅探器，我对网络协议栈有了更加深入的了解与认识，并懂得了基本的网络协议栈的实现与应用，对以后网络学习和网络编程，将会大有裨益。

通过自己制作网络嗅探器，我对网络嗅探器的开发流程、基本原理和应用领域，有了大体的认识与掌握，知道制作网络嗅探器的基本方法与步骤，并知道如何利用网络嗅探器应用于自己所关心的网络领域。

通过近一个月的学习、理解、实践、掌握、应用WinPcap和网络嗅探器，我对新知识、新事物的学习、实践与应用的方法与途径，有了更加深入的认识与掌握，能够较为快速的汲取新知识、运用新概念、应用于新领域，这种能力的培养，才是最重要的，也将是对我以后的学习和工作，会产生很好的引导与启发作用。

学生签名：杨刚

日期：2009.10.25

计算机网络攻击常见手法及防范措施

计算机网络攻击常见手法及防范措施 一、计算机网络攻击的常见手法 互联网发展至今，除了它表面的繁荣外，也出现了一些不良现象，其中黑客攻击是最令广大网民头痛的事情，它是计算机网络安全的主要威胁。下面着重分析黑客进行网络攻击的几种常见手法及其防范措施。 （一）利用网络系统漏洞进行攻击 许多网络系统都存在着这样那样的漏洞，这些漏洞有可能是系统本身所有的，如WindowsNT、UNIX等都有数量不等的漏洞，也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。 对于系统本身的漏洞，可以安装软件补丁；另外网管也需要仔细工作，尽量避免因疏忽而使他人有机可乘。 （二）通过电子邮件进行攻击 电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪，这一点和后面要讲到的“拒绝服务攻击（DDoS）比较相似。 对于遭受此类攻击的邮箱，可以使用一些垃圾邮件清除软件来解决，其中常见的有SpamEater、Spamkiller等，Outlook等收信软件同样也能达到此目的。 （三）解密攻击 在互联网上，使用密码是最常见并且最重要的安全保护方法，用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都认密码不认人，只要有密码，系统就会认为你是经过授权的正常用户，因此，取得密码也是黑客进行攻击的一重要手法。取得密码也还有好几种方法，一种是对网络上的数据进行监听。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而黑客就能在两端之间进行数据监听。但一般系统在传送密码时都进行了加密处理，即黑客所得到的数据中不会存在明文的密码，这给黑客进行破解又提了一道难题。这种手法一般运用于局域网，一旦成功攻击者将会得到很大的操作权益。另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件对尝试所有可能字符所组成的密码，但这项工作十分地费时，不过如果用户的密码设置得比较简单，如“12345”、“ABC”等那有可能只需一眨眼的功夫就可搞定。 为了防止受到这种攻击的危害，用户在进行密码设置时一定要将其设置得复杂，也可使用多层密码，或者变换思路使用中文密码，并且不要以自己的生日和电话甚至用户名作为密码，因为一些密码破解软件可以让破解者输入与被破解用户相关的信息，如生日等，然后对这些数据构成的密码进行优先尝试。另外应该经常更换密码，这样使其被破解的可能性又下降了不少。 （四）后门软件攻击 后门软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马，它们可以非法地取得用户电脑的超级用户级权利，可以对其进行完全的控制，除了可以进行文件操作外，同时也可以进行对方桌面抓图、取得密码等操作。这些后门软件分为服务器端和用户端，当黑客进行攻击时，会使用用户端程序登陆上已安装好服务器端程序的电脑，这些服务器端程序都比较小，一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时，后门软件的服务器端就安装完成了，而且大部分后门软件的重生能力

网络攻击与防御 第一次实验

网络工程专业 实验报告 课程：网络攻击与防御题目：远程FTP密码破解学生姓名：张爽 学号：2008122083 班级：信息安全083班 实验时间：2011-6-12 地点：6302 评分：_____________

第一部分：嗅探 一、实验目的 ●掌握远程破解ftp帐号口令破解技术的基本原理、常用方法及相关工具 ●掌握如何有效防范类似攻击的方法和措施 二、实验内容 1．安装工具Cain V2.5。 2．点击进入，选择sniffer下的hosts页。 3．根据嗅探得到的FTP账号和密码，用FTP客户端登录，找到一个ip.txt 文件，获得靶机P2的IP地址。 三、实验仪器（涉及到的服务器及其配置、设计软件名称、版本等） 测试服务器P1的配置为：操作系统Windows2000 Professional SP4或者windows XP sp2，安装了ftp客户端CuteFTP；靶机上的虚拟机P3的配置为：Windows2000 server SP4，安装了serv-u，提供ftp服务；靶机服务器P2的配置为：windows xp sp2。 注意： a. 选择安装路径，在此直接默认安装到C:\Program Files\Cain目录； b. 继续安装winpcap，单击Install按钮； c. 直接默认安装即可。安装完成后会要求重启系统。

四、实验步骤（实验关键操作步骤，关键指令注释等） 1．安装工具Cain V2.5。 进入安装界面： 2．点击进入，选择sniffer下的hosts页，如下图所示： 然后点击上方的“sniffer”和“add to list”按钮，列出当前交换环境中的所

网络拓扑实验报告

《计算机网络》 网络拓扑结构 学院名称：计算机与信息工程学院专业名称：计算机科学与技术 年级班级： 姓名： 学号：

计算机与信息技术学院综合性、设计性实验报告 课程名称计算机网络指导教师 学号姓名 实验地点计科楼414实验时间2013.12.09 项目名称网络拓扑结构实验类型设计性 一、实验目的 通过对网络设备的连通和对拓扑的分析，加深对常见典型局域网拓扑的理解；通过路由建立起网络之间的连接，熟悉交换机、路由器的基本操作命令，了解网络路由的设计与配置。 二、实验仪器或设备 二层交换机五台、三层交换机一台，路由器两台，学生实验主机五台及一台服务器。 三、总体设计（设计原理、设计方案及流程等） 假设某校园网通过1台三层交换机连到校园网出口路由器，路由器再和校园外的 一台路由器相接，现做适当配置，实现校园网内部主机与校园网外部主机的相互通信。 实验拓扑图：

四、实验步骤（包括主要步骤、代码分析等） 三层交换机上配置vlan及IP地址，进行端口划分：Switch(config)#vlan 2 exit vlan 3 exit vlan 4 exit vlan 5 exit Switch(config)#int vlan 2 ip add 210.42.242.1 255.255.255.0 no sh exit int vlan 3 ip add 210.42.243.1 255.255.255.0 no sh exit int vlan 4 ip add 210.42.244.1 255.255.255.0 no sh exit int (f0/2) sw mod acc sw acc vlan 2 exit int (f0/3) sw mod acc sw acc vlan 3 exit int range(f0/4-5) sw mod acc sw acc vlan 4 exit int (f0/1) sw mod acc sw acc vlan 5 exit int vlan 5 ip add 192.168.1.2 255.255.255.0 no sh exit 配置DHCP:

网络攻防实验报告

实验报告模板

【实验目的】（简要描述实验目的） 采用免杀、混淆等技术的恶意代码有可能突破安全软件的防护而运行在目标主机中。即使用户感受到系统出现异常，但是仅仅通过杀毒软件等也无法检测与根除恶意代码，此时需要用户凭借其它系统工具和对操作系统的了解对恶意代码手工查杀。本实验假设在已经确定木马进程的前提下，要求学生借助进程检测和注册表检测等系统工具，终止木马进程运行，消除木马程序造成的影响，从而实现手工查杀恶意代码的过程。 【实验结果及分析】（需要有结果截图） 一、恶意代码手工查杀实验 1、虚拟机快照 为防止虚拟机破坏后无法恢复，应先将干净的虚拟机进行快照设置。点击菜单“虚拟机”“快照”“拍摄快照”，创建一个干净的虚拟机快照。 2.创建被感染的系统环境 由于恶意代码采用了免杀技术，因此能够成功绕过防病毒等安全软件检测，等用户感到系统异常时，通常恶意代码已经在主机系统内加载运行。为了尽量模拟一个逼真的用户环境，我们在搭建好的虚拟机中运行木马宿主程序 “radar0.exe”。运行完后，可以看见，“radar0.exe”自动删除。

3.木马进程的定位 用户对系统的熟悉程度决定了发现系统异常继而查找恶意代码的早晚。在本例中，明显可以感受到系统运行速度变慢，打开任务管理器，可以观察到有一个“陌生”的进程（非系统进程或安装软件进程）“wdfmgr.exe”占用CPU比率很高。 为了确定该进程为木马进程，可以通过查找该进程的静态属性如创建时间、

开发公司、大小等，以及通过对该进程强制终止是否重启等现象综合判断。在本例中，“Wdfmgr.exe”为木马radar.exe运行后新派生的木马进程。 4.记录程序行为 打开工具“ProcMon.exe”，为其新增过滤规则“Process Name”“is”“wdfmgr.exe”，然后开始监控。点击“Add”将过滤规则加入，可以看到ProcMon开始监控“wdfmgr.exe”进程的行为。需要注意的是，有时为了保证观察到的行为完备性，会先启动ProcMon工具，然后再启动被监控进程。 为了分别观察该进程对文件系统和注册表的操作，点击菜单 “Tools”“File Summary”，观察对文件系统的修改。

计算机网络交换路由综合实验报告

交换路由综合实验 1 交换实验 1.1交换机的基本配置 1.1.1实验目的 学会交换机的基本配置，并了解如何查看交换机的系统和配置信息。 1.1.2实验内容 使用交换机的命令行管理界面，学会交换机的全局配置、端口配置方法，察看交换机的系统和配置信息。 1.1.3技术原理 交换机的管理方式基本分两种：带内管理和带外管理。通过交换机的Console口管理交换机属于带外管理，不占用交换机的网络端口，其特点是需要使用配置线缆，近距离配置。第一次配置必须利用Console端口进行。 配置交换机的设备名称和配置交换机的描述信息必须在全局配置模式下执行。Hostname 配置交换机的设备名称，Banner motd配置每日提示信息，Banner login配置交换机的登陆提示信息。 察看交换机的系统和配置信息命令要在特权模式下进，Show ######命令可以察看对应的信息，如Show version可以察看交换机的版本信息，类似可以用Show mac-address-table、Show running-config等。 1.1.4实验功能 更改交换机的提示信息，配置交换机的端口。

1.1.5实验设备 交换机（二层）一台，交换机（二层）一台 1.1.6实验步骤 s21a1#configure terminal s21a1(config)# interface fastethernet 0/3 !进行F0/3的端口模式 s21a1(config-if)#speed 10 !配置端口速率为10M s21a1(config-if)#duplex half !配置端口为半双工模式 s21a1(config-if)#no shutdown !开启该端口，使之转发数据s21a1(config-if)#exit s21a1#show interface fastethernet 0/3 !查看端口的状态 s21a1# show version !查看交换机的版本信息 s35a1#configure terminal s35a1(config)# interface fastethernet 0/3 !进行F0/3的端口模式 s35a1(config-if)#speed 10 !配置端口速率为10M s35a1(config-if)#duplex half !配置端口为半双工模式 s35a1(config-if)#no shutdown !开启该端口，使之转发数据s35a1(config-if)#exit s35a1#show interface fastethernet 0/3 !查看端口的状态 s35a1# show version !查看交换机的版本信息 1.2虚拟局域网VLAN 1.2.1实验目的

网络安全实验报告

网络安全实验报告 姓名：杨瑞春 班级：自动化86 学号：08045009

实验一：网络命令操作与网络协议分析 一．实验目的： 1.熟悉网络基本命令的操作与功能。 2.熟练使用网络协议分析软件ethereal分析应用协议。 二．实验步骤： 1. 2.协议分析软件：ethereal的主要功能：设置流量过滤条件，分析网络数据包， 流重组功能，协议分析。 三．实验任务： 1．跟踪某一网站如google的路由路径 2．查看本机的MAC地址，ip地址 输入ipconfig /all 找见本地连接. Description . . .. . : SiS 900-Based PCI Fast Ethernet Adapte Physical Address.. . : 00-13-8F-07-3A-57 DHCP Enabled. . .. . : No IP Address. . . .. . : 192.168.1.5

Subnet Mask . . .. . : 255.255.255.0 Default Gateway .. . : 192.168.1.1 DNS Servers . . .. . : 61.128.128.67 192.168.1.1 Default Gateway .. . : 192.168.1.1 这项是网关.也就是路由器IP Physical Address.. . : 00-13-8F-07-3A-57 这项就是MAC地址了.

3．telnet到linux服务器，执行指定的命令

5.nc应用：telnet，绑定程序（cmd,shell等），扫描，连接等。

实验4：拒绝式服务攻击与防范

实验4：拒绝式服务攻击与防范 【实验目的】 熟悉SYNflood的攻击原理与过程，及IPv4所存在的固有缺陷。 【实验准备】 准备xdos.exe拒绝服务工具。 【注意事项】 实验后将DoS黑客软件从机器彻底删除，避免恶意应用影响网络运行。 【实验步骤】 一、拒绝式服务攻击 拒绝服务攻击的英文意思是Denial of Service，简称DoS。这种攻击行动使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷直至瘫痪而停止提供正常的网络服务。 SYN-Flood是当前最常见的一种Dos攻击方式，它利用了TCP协议的缺陷进行攻击

用黑客软件xdos.exe对目标计算机进行拒绝服务攻击并运行测试。（1）计算机a登录到windows 2000，打开sniffer pro,在sniffer pro中配置好捕捉从任意 主机发送给本机的ip数据包，并启动捕捉进程。

（2）在计算机B上登录Windows 2000,打开命令提示窗口，运行xdos.exe,命令的格式：‖xdos<目标主机IP>端口号–t 线程数[-s <插入随机IP>’]‖(也可以用―xdos?‖命令查看使用方法)。输入命令：xdos 192.168.19.42 80 –t 200 –s* 确定即可进行攻击，192.168.19.42 是计 算机A的地址。

（3）在A端可以看到电脑的处理速度明显下降，甚至瘫痪死机，在Sniffer Pro的Traffic Map 中看到最大伪造IP的主机请求与A的电脑建立连接。 （4）B停止攻击后，A的电脑恢复快速响应。打开捕捉的数据包，可以看到有大量伪造IP地址的主机请求与A的电脑连接的数据包，且都是只请求不应答。以至于A的电脑保持有大量的半开连接。运行速度下降直至瘫痪死机，拒绝为合法的请求服务。 二、拒绝式服务防范 几乎所有的主机平台都有抵御DoS的设置，常见的有以下几种。(1)关闭不必要的服务。 Windows XP系统步骤如下：

网络攻击与防御实验报告全解

西安电子科技大学 本科生实验报告 姓名:王东林 学院:计算机科学院 专业:信息安全 班级:13级本科班 实验课程名称:网络攻击与防御 实验日期:2015年10月15日 指导教师及职称:金涛 实验成绩: 开课时间： 2016-2017 学年第一学期

实验题目网络攻击与防御小组合作否 姓名王东林班级13级信息安全本科班学号201383030115 一、实验目的 1.了解网络连通测试的方法和工作原理。 2.掌握ping命令的用法。 3.了解网络扫描技术的基本原理。 4.掌握xscan工具的使用方法和各项功能。 5.通过使用xscan工具，对网络中的主机安全漏洞信息等进行探测。 6.掌握针对网络扫描技术的防御方法。 7.了解路由的概念和工作原理。 8.掌握探测路由的工具的使用方法和各项功能，如tracert等。 9.通过使用tracert工具，对网络中的路由信息等进行探测，学会排查网络故 障。 10.了解网络扫描技术的基本原理。 11.掌握nmap工具的使用方法和各项功能。 12.通过使用nmap工具，对网络中的主机信息等进行探测。 13.掌握针对网络扫描技术的防御方法。 14．掌握Linux帐号口令破解技术的基本原理、常用方法及相关工具 15．掌握如何有效防范类似攻击的方法和措施 16.掌握帐号口令破解技术的基本原理、常用方法及相关工具 17.掌握如何有效防范类似攻击的方法和措施 18.掌握帐号口令破解技术的基本原理、常用方法及相关工具 19.掌握如何有效防范类似攻击的方法和措施

二．实验环境 1、实验环境 1)本实验需要用到靶机服务器，实验网络环境如图1所示。 靶机服务器配置为Windows2000 Server,安装了IIS服务组件，并允许FTP匿名登录。由于未打任何补丁，存在各种网络安全漏洞。在靶机服务器上安装有虚拟机。该虚拟机同样是Windows2000 Professional系统，但进行了主机加固。做好了安全防范措施，因此几乎不存在安全漏洞。 2）学生首先在实验主机上利用Xscan扫描靶机服务器P3上的漏洞，扫描结束发现大量漏洞之后用相同方法扫描靶机服务器上的虚拟机P4。由于该靶机服务器上的虚拟机是安装了各种补丁和进行了主机加固的，因此几乎没有漏洞。在对比明显的实验结果中可见，做好安全防护措施的靶机服务器虚拟机上的漏洞比未做任何安全措施的靶机服务器少了很多，从而加强学生的网络安全意识。实验网络拓扑如图1。 三. 实验内容与步棸 Ping命令是一种TCP/IP实用工具，在DOS和UNIX系统下都有此命令。它将您的计算机与目标服务器间传输一个数据包，再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通。 1．在命令提示符窗口中输入：ping。了解该命令的详细参数说明。

网络配置综合实验报告

综合实验 需求分析 通过合理的三层网络架构，实现用户接入网络的安全、快捷，不允许VLAN10的用户去访问VLAN30的FTP服务，VLAN20不受限制；VLAN10的用户接口需要配置端口安全，设置最大连接数为3，如果违规则采取shutdown措施，VLAN20的用户接口需要配置端口安全，设置最大连接数为2，如果违规则采取shutdown措施；配置静态路由使用全网互通；配置NAT功能，使用内网用户使用200.1.1.3—200.1.1.6这段地址去访问互联网；将内网的FTP服务发不到互联网上，使用内网地址为192.168.13.254，公网地址为200.1.1.7，并要求可以通过内网地址访问FTP服务器，使用ACL防止冲击波病毒。 实验拓扑图 实验设备 二层交换机2台（Switch0，Switch1）。 三层交换机2台（Multilaye Switch1，Multilaye Switch0） 路由器2台（router0，router1）。 服务器一台（Server0）。

主机两台（PC0，PC1）。 IP地址规划 三层SW0： VLAN10 192.168.11.1/24 VLAN20 192.168.12.1/24 VLAN30 192.168.13.1/24 三层SW1 VLAN10 192.168.11.2/24 VLAN20 192.168.12.2/24 VLAN30 192.168.13.2/24 F0/11 172.16.1.1/30 R0 F0/0 172.16.1.2/30 F0/1 200.1.1.1/28 R1 F0/1 200.1.1.2/28 主要三层交换机，路由器的配置： Switch 0 Conf t Int f0/1 //Switchport mode access Switchport port-security Switchport port-security maximum 3 Switchport port-security violation shutdown Int f0/2 Switchport mode access Switchport port-security Switchport port-security maximum 2 Switchport port-security violation shutdown Int vlan10 Ip add 192.168.11.1 255.255.255.0 No shut Int vlan20 Ip add 192.168.12.1 255.255.255.0 No shut

北京理工大学信息安全与对抗实验报告

本科实验报告 实验名称：网络安全软件工具应用与应用 课程名称：信息安全对抗系统工程与实践实验时间： 任课教师：高平实验地点： 实验教师：苏京霞 实验类型： □原理验证 □综合设计 □自主创新学生姓名： 学号/班级：组号： 学院：同组搭档： 专业：成绩： 倍息与电子学院

1 实验题目 1、SuperScan 扫描器的应用操作 2、X-Scan 的应用 3、流光综合扫描的应用 4、用于局域网的Iris 嗅探器的应用操作 2 实验目的 1、初步了解常见网络攻防软件类型 2、学习常见扫描器的操作应用 3、学习常用扫描器的操作应用 3 实验条件和环境 操作系统：Windows xp 专业版32 位SP3 处理器：AMD Athlon X2 内存：2GB 4 实验方法（功能设计、结构设计、软件流程等） 1、SuperScan的操作SuperScan是一款专门的IP和端口扫描软件，该软件具有以下功能： Ping 来检验IP 是不是在线；IP 和域名相互转换；检验目标计算机提供的服务类型；检验一定范围内目标计算机的在线和端口情况；工具自定义列表检验目标计算机的在线和端口情况； 自定义要检验的端口，并可以保存为端口列表文件；软件自带一个木马端口列表，通过这个列表可以检测目标计算机是不是有木马，同时可以自定义修改该木马端口 a、锁定主机，打开SuperScan软件，输入域名，单击锁定”按钮，得到域名对应的 地址。通过 IP

C、端口设置，该软件可以对选定的端口进行扫描，单击端口设置"按钮，这时会出现编 辑端口列表”对话框。通过双击列表中的项目来选定要扫描的端口。 d、木马检测，单击端口设置”按钮，出现编辑端口列表”对话框；单击载入”按钮；在弹出的选择文件对话框中选中trojans.lst 文件，单击“打开”按钮；回到“编辑端口列表”对话框，单击“确定”按钮完成端口设置；回到主界面，单击“开始”按钮进行扫描。 e、Ping 功能，该功能可以查找某一IP 段内的活动主机。 输入要扫描的IP 段，就可以开始扫描了。 2、X-SCan 实验，扫描内容包括：远程服务类型、操作系统类型及版本，各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。 a、指定IP范围。单击工具栏上的扫描参数”按钮，打开扫描参数”对话框。 b、设置扫描IP范围选择检测范围”选项，设置扫描IP地址的范围。 c、选择扫描模块，选择全局设置扫描模块”选项，则可选择扫描过程中需要扫描的模块 d、设置扫描线程，选择全局设置并发扫描”选项，可以设置扫描时的线程数量 e、设置扫描报告存放路径，选择全局设置扫描报告”选项，即可设置扫描报告存放路径，并选择报告文件保存的文件格式。 f、端口相关设置，选择插件设置端口相关设置”选项，即可扫描端口范围以及检测方式。 g、SNMP相关设置，选择插件设置” SNMP相关设置”选项，用户可以选择在扫描时获取SNMP 信息的内容。 h、NETBIOS相关设置，选择插件设置” NETBIOS相关设置”选项，用户可以选择需要获取的NETBIOS 信息 i 、漏洞检测脚本设置 j、开始扫描，在设置好扫描参数后，就可以开始扫描。 3、流光综合扫描 a、运行流光程序Fluxay，打开其主窗口 b、在流光的主窗口菜单栏中选择文件 J 高级扫描向导”命令，即可打开高级扫描向 导”对话框，在其中填入起始IP 地址。 4、嗅探器的操作，嗅探器( sniffer )是一种用来收集有用数据的软件。用它可以监视网络 的状态、数据流动情况以及网络上传输的信息。主要软件Iris，SnifferPRO 。

网络攻击与防范实验报告

网络攻击与防范实验报告 姓名：_ ___ 学号：__ 所在班级： 实验名称：缓冲区溢出实验实验日期：2014 年11 月9 日指导老师：张玉清实验评分： 验收评语： 实验目的： 1、掌握缓冲区溢出的原理 2、掌握常用的缓冲区溢出方法 3、理解缓冲区溢出的危害性 4、掌握防范和避免缓冲区溢出攻击的方法 实验环境： 主机系统：Windows8 x64位 虚拟机系统：Windows XP(SP3)（IP：192.168.137.128） 溢出对象：war-ftpd 1.65 调试工具：CDB(Debugging Tools for Windows)； 开发环境：Visual Studio 2013 开发语言：C语言 缓冲区溢出原理： 在metasploit中搜索war-ftp可以发现war-ftpd1.65在windows下有以下漏洞username overflow，也就是在用户使用user username这个指令时，如果username 过长就会发生缓冲区溢出。 计算机在调用函数function（arg1,…,argm）时，函数栈的布局如图1所示，首先将函数的实参从右往左依次压栈，即argm,…,arg1。然后将函数返回地址RET压栈。这时EBP 指向当前函数的基地址，ESP指向栈顶，将此时的EBP压栈，然后ESP的值赋给EBP，这样EBP就指向新的函数栈的基地址。调用函数后，再将局部变量依次压栈，这时ESP始终指向栈顶。 另外还有一个EIP寄存器，EIP中存放的是下一个要执行的指令的地址，程序崩溃时EIP的值就是RET。通过构造特殊的字符串，即两两都不相同的字符串，我们可以根据EIP 的值定位RET的位置。 知道了RET的位置以后，我们只要在RET这个位置放上我们想要执行的跳转指令就可以实现跳转。为了方便我们找一个系统中现成的指令jmp esp来实现跳转。jmp esp指令在内存中的通用地址是0x7ffa4512，可以通过CDB的U 7ffa4512来确定该地址中存放的是否为jmp esp。 jmp esp将EIP指向了esp指向的位置，我们用定位RET的办法同样定位ESP指向的位置，然后用shellcode替换这块字符串，这样计算机就会执行shellcode，从而实现攻击。 当然，我们还可以用其他的指令，如jmp esi，同样得到jmp esi指令在系统内存中的地址，以及esi指向的内存，我们就可以执行shellcode。也可以使用多次跳转。

网络综合实验报告(四)

大连理工大学 本科实验报告 课程名称：网络综合实验 学院（系）：软件学院 专业：嵌入式 班级： 学号： 学生姓名： 2013年月日

大连理工大学实验报告 学院（系）：软件学院专业：嵌入式班级： 姓名：学号：组：___ 实验时间：2013-11-04 实验室：C310 实验台： 指导教师签字：成绩： 实验四：交换机VLAN配置 一、实验目的 掌握VLAN的基本配置方法，掌握VLAN间路由的配置方法。 二、实验原理和内容 1、VLAN的基本工作原理 2、VLAN的基本配置方法和命令 三、实验环境以及设备 1、2台交换机、4台Pc机、双绞线若干 2、2台三层交换机、4台Pc机、双绞线若干 四、实验步骤（操作方法及思考题） 1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将你们平台上 的两台交换机的配置清空，以免以前实验留下的配置对本实验产生影响。 2、VLAN基本配置：

PCA:VLAN2 PCD:VLAN3 PCC:VLAN2 PCB:VLAN3 10.1.1.2/2410.1.1.3/2410.1.1.4/2410.1.1.5/24 交换机B 图1 VLAN 基本配置 （1） 请按照图1组建网络实验环境。 （2） 将两台交换机的端口1和2做链路聚合，请把你所执行的配置命令写到实验报告 中。（7.5分） System Sysname SwitchB Interface ethernet 1/0/1 Speed 100 Duplex full Port link-type trunk Port trunk permit vlan 2 to 3 Interface ethernet 1/0/2 Speed 100 Duplex full Port link-type trunk Port trunk permit vlan 2 to 3 Interface Bridge-Aggregation 12 Interface ethernet 1/0/1 Port link-aggregation group 12 Interface ethernet 1/0/2 Port link-aggregation group 12 （3） 在两台交换机上做VLAN 配置，使得： a) 聚合的链路被用作trunk 链路。 b) 交换机A 上的端口3—12属于 VLAN 2、 端口13—24属于VLAN 3，其余的 端口属于VLAN 1。 c) 交换机B 上的端口3—5属于 VLAN 2、 端口6—8属于VLAN 3，其余的端口 属于VLAN 1。 请把你所执行的配置命令写到实验报告中。 Vlan 2 Port ethernet 1/0/3 to ethernet 1/0/12 Vlan 3 Port ehternet 1/0/13 to ethernet 1/0/24

网络攻击及防范措施

网络攻击及防范措施 【摘要】随着互联网的发展,在计算机网络安全领域里,存在一些非法用户利用各种手段和系统的漏洞攻击计算机网络.网络安全已经成为人们日益关注的焦点问题网络中的安全漏洞无处不在,即便旧的安全漏洞补上了补丁,新的安全漏洞又将不断涌现.网络攻击是造成网络不安全的主要 【摘要】随着互联网的发展,在计算机网络安全领域里,存在一些非法用户利用各种手段和系统的漏洞攻击计算机网络.网络安全已经成为人们日益关注的焦点问题网络中的安全漏洞无处不在,即便旧的安全漏洞补上了补丁,新的安全漏洞又将不断涌现.网络攻击是造成网络不安全的主要原因.单纯掌握攻击技术或者单纯掌握防御技术都不能适应网络安全技术的发展为了提高计算机网络的安全性,必须了解计算机网络的不安全因素和网络攻击的方法同时采取相应的防御措施。 【关键词】特洛伊木马网络监听缓冲区溢出攻击 1 特洛伊木马 特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限.黑客的特洛伊木马程序事先已经以某种方式潜入你的机器,并在适当的时候激活,潜伏在后台监视系统的运行,它同一般程序一样,能实现任何软件的任何功能.例如拷贝、删除文件、格式化硬盘、甚至发电子邮件,典型的特洛伊木马是窃取别人在网络上的账号和口令,它有时在用户合法的登录前伪造一登录现场,提示用户输入账号和口令,然后将账号和口令保存至一个文件中,显示登录错误,退出特洛伊木马程序。 完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序.“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为。 1.1 特洛伊木马程序的检测 (1)通过网络连接检测:扫描端口是检测木马的常用方法.在不打开任何网络软件的前提下,接入互联网的计算机打开的只有139端口.因此可以关闭所有的网络软件。进行139端口的扫描。 (2)通过进程检测:Win/XP中按下“CTL+ALT+DEL”进入任务管理器,就可以看到系统正在运行的全部进程,清查可能发现的木马程序。

网络攻击与防范实验报告

网络攻击与防御技术实验报告 姓名：____刘冰__ ___ 学号：__ 所在班级： 实验名称：网络数据包的捕获与分析实验日期：_2007_年_10 _月_15 _日指导老师：实验评分： 验收评语： 参与人员： 实验目的： 本实验通过研究Winpcap中常用的库函数的使用方式来实现了一个小型的网络数据包抓包器，并通过对原始包文的分析来展示当前网络的运行状况。 实验内容： 1.实现对网络基本数据包的捕获 2.分析捕获到的数据包的详细信息 实验环境： 1.WpdPack_4_0_1支持库 2.VC++6.0开发环境 3.Windows操作系统 实验设计： 系统在设计过程中按照MVC的设计模式，整体分为三层。第一层为Control层即控制层，这里为简化设计，将Control层分为两个部分，一部分为网络报文输入，另一部分为用户输入；第二层是Model层即模型层；第三层为View层即显示层。 系统的整体运行过程为：从Control层得到数据，交到Model层进行处理，将处理完的结果交View层进行显示。Control层主要用于网络数据包的捕获以及获得用户的输入；Model层主要用于分析数据包，处理用户的输入；View层主要用于对处理后的结果进行显示。

详细过程： 程序在执行过程中有两个核心的工作，一是调用Winpcap函数库实现下层抓包。二是对抓到的包文进行分析。下面分别列出两个核心过程的基本算法与相关的实现代码。 抓包算法： 第一：初始化Winpcap开发库 第二：获得当前的网卡列表，同时要求用户指定要操作的网卡 第三：获得当前的过滤规则，可为空 第四：调用库函数，pcap_loop（），同时并指定其回调函数，其中其回调函数为数据包分析过程。 对应的相应核心代码为： I f((pCap=pcap_open_live(getDevice()->name,65536,1,1000,strErrorBuf))==NULL) { return -1; } If(pcap_compile(pCap, &fcode, filter, 1, NetMask) < 0) { return -1; } if(pcap_setfilter(pCap, &fcode)<0) { return -1; } do{ pcap_loop(pCap,1,pcap_handle,NULL); }while(nFlag); 分析算法： 第一：得到数据包，先将其转存到内存里，以备以后再用。 第二：分析当前的数据包，分析过程如下： 1.数据包的前14个字节（Byte）代表数据链路层的报文头，其报文格式是前6Byte 为目的MAC地址，随后的6个Byte为源Mac地址，最后的2Byte代表上层 协议类型这个数据很重要，是我们分析上层协议的依据。 2.根据1所分析到的协议类型进行类似1的迭代分析。这样就可以得到各层中 的报文头信息和数据信息。 第三：结束本次分析。 分析算法部分实现代码： m_pktHeaders.Add(pHeader); m_pktDatas.Add(pData); CFramePacket *pFramePacket = new CFramePacket(pData,14); if(pFramePacket->GetType() == 0x0800) { CIPPacket ipPacket(pData+14,pHeader->len-14); if(ipPacket.GetProtocol() == "UDP") { CUDPPacket*pUDPPacket = new CUDPPacket(ipPacket.GetTData(),ipPacket.GetDataLength()); } else if(ipPacket.GetProtocol() == "TCP") { CTCPPacket *pTCPPacket = new

实验四：DoSDDoS攻击与防范

实验四：DoS/DDoS攻击与防范 一、实验目的 通过本实验对DoS/DDoS攻击的深入介绍和实验操作，了解DoS/DDoS攻击的原理和危害，并且具体掌握利用TCP、UDP、ICMP等协议的DoS/DDoS攻击原理。了解针对DoS/DDoS攻击的防范措施和手段。 实验具体目的如下: 1.了解SYN-FLOOD攻击的原理、特点 2.了解UDP-FLOOD攻击的原理、特点 3.了解DDoS攻击的原理、特点 4.了解针对DoS/DDoS攻击的防御手段 二、实验准备 1.要求实验室内网络是连通的，组内每台计算机均可以访问另外一台计算机。 2.下载相关工具和软件包 3.在计算机中安装相应的软件。 三、实验涉及到的相关软件下载： a.wireshark：这是一款网络封包分析软件，撷取网络封包，并尽可能显示出最为详细的网络封包资料。 b.SuperDDoS：这是一款简单的SYN攻击器,能对设定好的目标发送大量非法的SYN数据包。 c.UDPFLOOD：这是一款功能较为完善的UDP攻击器，可以设置攻击时间、攻击速度等，攻击方式是向目标机发送大量UDP数据包。 d.独裁者DDoS：这是一款功能齐全的DDoS攻击器，除了能够联合肉鸡发动攻击，还具有控制攻击时间，启动信使服务等众多功能，并且有四种攻击方式可供选择。 e.Tomcat：这是一款功能较为常用的服务器 f.java_jdk：这是java运行环境,运行tomcat服务器必须安装jdk。 四、实验原理 1、DoS攻击： DoS是Denial of Service的简称，即拒绝服务，目的是使计算机或网络无法提供正常的服务。其攻击方式众多，常见的有SYN-FLOOD，UDP-FLOOD。 2、A.SYN-FLOOD攻击:

计算机网络综合实验报告参考

计算机网络综合实验报告参考 篇一：计算机网络综合实验报告 ××大学校园网解决方案 一、需求分析 建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代网络技术为依托，技术先进、扩展性强、能覆盖全校主要楼宇的校园主干网络，将学校的各种pc机、工作站、终端设备和局域网连接起来，并与有关广域网相连，在网上宣传自己和获取Internet网上的教育资源。形成结构合理，内外沟通的校园计算机系统，在此基础上建立满足教学、研究和管理工作需要的软硬件环境，开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务。系统总体设计将本着总体规划、分步实施的原则，充分体现系统的技术先进性、高度的安全可靠性，同时具有良好的开放性、可扩展性、冗余性。本着为学校着想，合理使用建设资金，使系统经济可行。 具体包括下以几个方面:

1、内网络能够高速访问FTP服务器现在或上传文件实现资源共享功能，实现对不同类型的用户划分不同的权限,限制不同类型的用户只能访问特定的服务资源。可以下载和上传资料文件，访问速度可以对指定的用户进行级别的划分。 2、建设Web服务器对外实现信息发布，对内实现教学教务管理。网站发布学校新闻、通知、学校的活动等相关内容。实现学生能够在网上进行成绩查询、网上报名、网上评教等功能；以及教师的信息查询、教学数据上传等。 3、建设邮件服务器以满足校园内部之间和内、外网这间的大量邮件传输的需求。 4、实现内网划分多个VLAN，实现校园内不同校区，不同楼宇，不同楼层的多客户接入。 5、内部实现PC间实现高速互访，同时可以访问互联网。网络内同一IP段内的PC机可以通过网上邻居实现高速互访，传送资料文件等，解决不同楼宇，不同楼层之间通过移动存储设备传送数据费时、费力的问题。 6、内部用户的QoS管理，实现用户的分级管理功能，对用户下载和上传做相应的带宽限制。对校园网络中的流量实现有效控制，对校园内的重要数据量可靠、稳定的传输如：语音、视频会议等的延迟和阻塞的敏感。

信息对抗实验报告

实验报告

哈尔滨工程大学教务处制

实验七调频干扰实验 一、实验目的 1掌握噪声调频干扰的基本形式和干扰的原理。 2.观察同步/异步调频干扰对于信号检测的影响。 3.观察噪声调频和锯波调频对于信号检测的影响。 二、实验设备 1.雷达对抗实验仪 2.示波器 三、实验原理 1.噪声调频干扰 噪声调频信号是指干扰信号的频率受噪声调制的信号。噪声调频信号可表达为： 其中，U j为噪声调频信号的幅度，v j为噪声调频信号的中心频率，KFM为调频斜率，u(t) 为均值为零、广义平稳的调制噪声。 当噪声调频信号进入雷达接收机后，经过中放输出的波形，由于受中放频率特性的影响，等幅的调幅波各频率分量的振幅响应不同，形成调频调幅波。如果频率的摆动范围小于中放 带宽，其起伏不大。当噪声调频干扰带宽的增大，瞬时频率在中放带宽外变化，输出的是随 机脉冲序列。随机脉冲的幅度，宽度和间隔分布与瞬时频率的变化规律有关。图 4.1.1中出了噪声调频窄带干扰和宽带干扰通过雷达接收机中放的输入波形。如果调制噪声u(t)具有和 雷达信号同样的重复周期r T ,即()()r u t = u t + T。这样，距雷达零距离脉冲信号0 R处的某个时刻调制噪声信号的频率相对确定。称这样的干扰为同步干扰。同步噪声调频信号按 照雷达的脉冲重复周期积累时，干扰信号做相干积累，输出信号的包络相对与零距离脉冲是固定的。如果调制噪声u(t)和雷达重复周期无关，称这样的干扰为异步干扰。在雷达接收机内积累是非相干积累，多个不确定信号输出叠加产生随机的噪声信号，在接收机输出端噪声 电平升高。 2.数字噪声的产生 数字噪声用伪随机码m序列中任取几位获得。m序列的产生如图4.1.2所示， 图中1、2、3、4? ?n等依次表示移位寄存器的各位，根据前面讲述的线性移位寄存器的特点，我们将第1位和第n位模2求和(即同或逻辑操作)作为反馈输入，同时按照要取出几位作为输出随机码。

关于网络攻击与防御技术实验教程

关于网络攻击与防御技术实验教程 最近有网友想了解下《网络攻击与防御技术实验教程》张玉清写的这本书,所以小编就整理了相关资料分享给大家,具体内容如下.希望大家参考参考!!! 《网络攻击与防御技术实验教程》 《网络攻击与防御技术实验教程》内容简介 网络攻击与防御技术是网络安全的核心和焦点，也是确保网络安全实际动手能力的综合体现。全书共分11章，第1章介绍如何进行系统安全配置并搭建一个用于网络攻防实验的虚拟机，在接下来的各章中，在回顾理论知识的同时，结合动手实验介绍网络典型攻防技术，这些网络典型攻防技术包括扫描技术、网络监听及防御技术、口令攻击、欺骗攻击及防御、拒绝服务攻击与防范、缓冲区溢出攻击及防御、Web攻击及防范、木马攻击及防御、病毒与蠕虫攻击及防御和典型网络攻击防御技术。通过这种理论与实践相结合的网络攻防技术的学习，读者会对网络攻击与防御技术有更直观和深刻的理解。 书中各章内容安排方式为：理论知识回顾、基本实验指导

和巩固提高型实验。 本书可以作为信息安全、计算机、通信等相关专业研究生、本科生的教材，也可供从事网络安全研发的工程技术人员和热衷网络攻防技术的读者参考。 《网络攻击与防御技术实验教程》前言/序言 “知彼知己，百战不殆。" --孙子兵法网络安全已成为人们在信息空间中生存与发展的重要保证条件，与国家的政治安全、经济安全、军事安全、社会稳定以及人们的日常生活密切相关。由于兴趣爱好和经济利益的驱使，黑客攻击事件层出不穷。公司和国家只有积极防御，才能在攻击环境下生存。 攻击与防御是一对相互制约和相互发展的网络安全技术。 本实验教程的目标是帮助安全人员理解黑客的攻击方法和步骤，事实一次又一次地证明，理解敌人的策略、技巧和工具对保护自己是多么的重要。同时，本教程还让安全人员了解能采取哪些策略来防范各类攻击。