网络攻击与防范网络嗅探实验
器 3、M tl 丹jfti 的启动:
华北电力大学实验报告
u 了解幅亠蠱刚討H 翩|的工料覃理.
氛学含便屈彷“shark 丨罠抓也
3.学习用*让“3来攔获屈域料塑蓟的離掘?丼对敷IK 班廿分析;穩取慙咽的即 *所用RS ,设备
胆机_台
Wir&shdrk fUf
m 网就毡耿件是tm 剛a 故臨懵防利井析网踣攻击的常用软怡AHMtaii 杓甕搞 治甘押it 便用厅汎育tf 呎嗨帕心义
四.实处方注与#監
1、安}< 用订 u
shark2. 0, I j H : WiretharkJ. .:. 2 =【氛
J '壬m
t l*g 卜
胸户脂貝??ibi > ^m?IF - MWi
工齐占亍件皿必■盅 a? Ei^QU D l.MQw z QI (f-^FI it# in
哥*E ptrtuii
-QS 毎生% E
.WirM*d 叭一忻斗
—一 ■ 鼻 鼻
4a ilatei + ■■ ^*M|| *4 令■尸曲
崔补Lduji U LH IJHfei |s 礬.N riUK KM. ?■ 3
5 4*-^4SV . <--4 bn.lOM ?I>KF
■?ih nfllitKk t 1! ?■! iMPilWV 111
i*Mi : Mm L HIP fal. L ■H N -由沖 ;?| 申叫w* -W * f-T>1 | ma JA r —! i rj ir-H f I !?--B
|?—i iri i ■ BW LH IW Jr? |LF m. *W1I iw w ifl in 初? in It* ■FitaL Ul Hi :-£J T * . >* . '"J ■n. 上3 JM TC* B *M ■ d *** ,414 ■M, |stt. IE* U ■ ridld (Mij JIB, k^,?JU.I ■."-■ifeiH L?? y 址冒1 ! ■ ;■?」*■*!七护』直忤诵 A JI U!di| - Br ;GF[ -M H ; JtThU” k ?*-h? 長三斗i Fl ■? aU^I 啊列也■****■ ^r4?|HWL faf F| IA "■fa 1J ' JlA- ?i EM v dr. 'll 1 JI MXi I '-■■ HiHE i-wil "? I — HjExi ■ Af^"* f 岂 Fl**** !]P MUi Nk*l L ■辰 *i ?l ? 4 卄 :i4 M"!?. LF* 1> Irtnt 击nxol WFKtfT A kr W Itil 3H tat: dl ■ 山F^*l ,■尸 出的土』片戶 土?| ;M 峠』] 啊 〔?』■ 林"L i 4 计; ?? ‘ I .>r I B ■ ? iq?. Spfl w ■: |KP PL^H 334?rii| ■1M &- ?L ?? W A B ?: WfeF I !EF 1KJ 也■」kl ■ h VliJMHPi ■! Wl?4 im iii-f I ■n—W Ell lyVflEl F MUilAdl ■?.■] M --^WBTfem ]f 齐 H a<^> KW*1 W1J?* KV*; t? ■■M lMH CKF 1 ( I M TU pOrfflilBViM R. ?O M M B 第页共页 IM i|iH. |M* |>4 ic? HI 4-?M Ifd.nfl-IR JR 忖 ItF Ml IW 1 E NV <■? JVt 10 JF LJ J rH k?3 ■,■*?■ IWff Xi. d*JM 心 m. -■-iW-.-IW |vg. GM kw a —■ w> 挺幻观在抓的是KSR 卡的赳『琳击■无戏网踣连捲袖将对旦开罐抓包. L 'l-f I 幵耳iFe$4xi% I*庄:功浏坦器‘ M 'Jl https ://hno P 3^0. cn/i'wd^xpl 巧、ilrMhu-k 'l*tt 入httpift 齐过厲 熬ElifeU 1 GH/?wd_ipiHTTP”. 1.的鼻枭 ii.X. ti 那魅仃 W J 洎 T^i -TCP 漬” ' 士W luir !h Vr'l Ml fe? M i ■!)■ ?bl L , %n ?vl ? iUi Lv ?i lif A vita ! M ■ fl FmrMi II. y, LUiUM.H II AJ |.w.ft ?,fc II JMl. *r ^^|i 7丰 ? WMu ^ l 詩 札 W4 ' "J 'll :■■ JJlL ■ M-iL 4 1 ■hw—liilB fluyi frutiB in :*yy 4iiwj 怦 ” -■ ■■ -1 ? j ■“ 冷 —.■ME 屮 纸笫一找握冋 6据迢: 區谏圈町杠出* 源匸叽的 呼地址翔192. 169, m. 229 鞫理地址为:&t :5n :04:be ;36:L : I.【的丄机的IF 尷址为:101. kfiaZOB 抑璽就址Zh d1.l?:07:l2: le :cfl 华北电力大学实验报告 ji ttiku A mw n- p^ld,1 < Mn 士即Jr 二 YIMF siMwtfIMI 吨 i44M ?: 二聃?二 杆二■: nlHTDrklf * r.x — iti. t * \ 里■电■ PI “d.LM. ■ till! I d ■ I k.vf| Ior4 ?|pp ?l ? LfHI 住%?|?1 K4 jdtal_if?w| ?■ ■ Mi 阳I. MF *r* El ■■加I Lv4 ArnM ttKMM <41 >di ■* -I P |1 辭#ri号;44$$b为牌机端口号'目的端口号;瞅为曲秽?口号口序列号E 肯邯长度I 32 T节 标叫$宪为标丄九1,喪祠同步序号发起tt按 耕动童口;Q192字节 也蠶札J 011759 J第二次振丁曹抿过, 从以慨町fHU; 源」」L炖IF地址加1OL< 00.20$ Waft址Ah di:旳:茁:12: II" I丨的圭机的If地址为T1^2. 16S. LW, 22Q物理地址为T€1;5a:O4:be:M:bl ■Ml口号* 80.为灣桃靖【1号*目刚N口号土44581 <为IHUK口号. 确认号=h对-年邑的链挂谄求的飾认 hSKttlti 32 字廿 尿记* S"为1也j洞涉汗号笈起曲t 滞动留【山5520 7节 栓於就h Olfcab S\ 迅V脱F 华北电力大学实验报告 | iMLUind ["iww WJWIP *! MT uv 1 和旦■呻 Z|?m M II 4MEft q" ^***^ ***■ p^wli ?HH :W ■Rir. riM.| :m ■ "feB ■ ■ J1 "1 ■1 L a #:? ? 9^1 "*T i - iv 禹 M -M|*!*I ■W^I — 9 Q? 环|日亠 B il -***■■ fe 【亠 dB ?J d 叫■曲.d B F C ■序! 1 r ■ 5 JJti p L??山?畔掘£1 ?l =1 叱 lrw 泗皿 L t i ?i1 i.!f ' ■ k*i M M-l "Clmrl ?nW Ml 'll |S4I Mil l |?^J| 4- IV i *4* 懾 I P PU i b4fl 114 MMB ■ ■ Cl i|i IHnAf K ifiu ? ini H 0I ? mA| K :tri I 丁 ■■ *1 |骗—1B J U K N 4| W ?> JI h-1^1|i 'jp^n fi|mr ■ ■I— 3H| WF1H9JIJ ; <■ - ■- ■ -if ■ >M I MBH M r W4 ■[ |Hba j ■ 8,,B ■ ■ | —■< ■ I - J B [ * a 8 W ■ 1 *■ 4 " HUNAN UNIVERSITY 信息安全实验报告 题目:网络嗅探实验 指导老师: 学生姓名: 学生学号: 院系名称:信息科学与工程学院 专业班级: 2015年5月15日星期五 一、实验目的 掌握Sniffer(嗅探器)工具的使用方法,实现FTP、HTTP数据包的捕捉。 掌握对捕获数据包的分析方法,了解FTP、HTTP数据包的数据结构和连接过程,了解FTP、HTTP协议明文传输的特性,以建立安全意识。 二、实验环境 ①Windows 7 ②Wireshark(网络封包分析软件) ③FLASHFXP(FTP下载软件) ④Serv_U(FTP服务器端) ⑤搜狗浏览器。 三、实验要求 每两个学生为一组:其中学生A进行Http或者Ftp连接,学生B运行Wireshark软件监听学生A主机产生的网络数据包。完成实验后,互换角色重做一遍。 四、实验内容 任务一:熟悉Wireshark工具的使用 任务二:捕获FTP数据包并进行分析 任务三:捕获HTTP数据包并分析 五、实验原理 网卡有几种接收数据帧的状态:unicast(接收目的地址是本级硬件地址的数据帧),Broadcast(接收所有类型为广播报文的数据帧),multicast(接收特定的组播报文),promiscuous(目的硬件地址不检查,全部接收)。 以太网逻辑上是采用总线拓扑结构,采用广播通信方式,数据传输是依靠帧中的MAC 地址来寻找目的主机。 每个网络接口都有一个互不相同的硬件地址(MAC地址),同时,每个网段有一个在此网段中广播数据包的广播地址。 一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧,丢弃不是发给自己的数据帧。但网卡工作在混杂模式下,则无论帧中的目标物理地址是什么,主机都将接收。 1.HTTP 协议简介 HTTP 是超文本传输协议(Hyper Text Transfer Protocol)的缩写,用于WWW 服务。 (1)HTTP 的工作原理 HTTP 是一个面向事务的客户服务器协议。尽管HTTP 使用TCP 作为底层传输协议,但HTTP 协议是无状态的。也就是说,每个事务都是独立地进行处理。当一个事务开始时,就在web客户和服务器之间建立一个TCP 连接,而当事务结束时就释放这个连接。此外,客户可以使用多个端口和和服务器(80 端口)之间建立多个连接。其工作过程包括以下几个阶段。 ①服务器监听TCP 端口 80,以便发现是否有浏览器(客户进程)向它发出连接请求; ②一旦监听到连接请求,立即建立连接。 ③浏览器向服务器发出浏览某个页面的请求,服务器接着返回所请求的页面作为响应。 ④释放TCP 连接。 网络工程专业 实验报告 课程:网络攻击与防御题目:远程FTP密码破解学生姓名:张爽 学号:2008122083 班级:信息安全083班 实验时间:2011-6-12 地点:6302 评分:_____________ 第一部分:嗅探 一、实验目的 ●掌握远程破解ftp帐号口令破解技术的基本原理、常用方法及相关工具 ●掌握如何有效防范类似攻击的方法和措施 二、实验内容 1.安装工具Cain V2.5。 2.点击进入,选择sniffer下的hosts页。 3.根据嗅探得到的FTP账号和密码,用FTP客户端登录,找到一个ip.txt 文件,获得靶机P2的IP地址。 三、实验仪器(涉及到的服务器及其配置、设计软件名称、版本等) 测试服务器P1的配置为:操作系统Windows2000 Professional SP4或者windows XP sp2,安装了ftp客户端CuteFTP;靶机上的虚拟机P3的配置为:Windows2000 server SP4,安装了serv-u,提供ftp服务;靶机服务器P2的配置为:windows xp sp2。 注意: a. 选择安装路径,在此直接默认安装到C:\Program Files\Cain目录; b. 继续安装winpcap,单击Install按钮; c. 直接默认安装即可。安装完成后会要求重启系统。 四、实验步骤(实验关键操作步骤,关键指令注释等) 1.安装工具Cain V2.5。 进入安装界面: 2.点击进入,选择sniffer下的hosts页,如下图所示: 然后点击上方的“sniffer”和“add to list”按钮,列出当前交换环境中的所 课程设计II报告 (2011 / 2012 学年第一学期) 题目1:共享网络嗅探工具(如Sniffer Pro)的功能使用和结构分析 题目2:IP地址欺骗扫描工具Hping2的使用 专业 学生姓名 班级学号 指导教师 指导单位 日期年月日 指导教师成绩评定表 学生姓名刘铭菲班级学号08001019 专业信息安全 评分内容评分标准优秀良好中等差 平时成绩认真对待课程设计,遵守实验室规定,上机不迟到早退,不做和设计无关的事 设计成果设计的科学、合理性 功能丰富、符合题目要求界面友好、外观漂亮、大方程序功能执行的正确性 程序算法执行的效能 设计报告设计报告正确合理、反映系统设计流程文档内容详实程度 文档格式规范、排版美观 验收答辩 简练、准确阐述设计内容,能准确有条理回答各 种问题,系统演示顺利。 评分等级 指导教师 简短评语 指导教师签名日期 备注评分等级有五种:优秀、良好、中等、及格、不及格 实验一Sniffer Pro的使用 一.课题内容和要求 1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。 2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。 重点:1) Sniffer Pro对数据包捕获的使用方法。 2) 利用Sniffer Pro进行数据包结构分析。 难点:Sniffer Pro进行数据包结构分析。 【实验环境】 Windows XP、2003 Server等系统,Sniffer Pro软件。 二、设计思路分析 打开snifeer 软件,出现下图,这个界面是用来选择要抓包得网卡,选择好了之后点击OK 常用功能介绍 1、Dashboard (网络流量表) 点击图1中①所指的图标,出现三个表,第一个表显示的是网络的使用率,第二个表显示的是网络的每秒钟通过的包数量,第三个表显示的是网络的每秒错误率。通过这三个表可以直观的观察到网络的使用情况,红色部分显示的是根据网络要求设置的上限。 实验一网络嗅探实验 一、简单阐述实验原理 网络嗅探器Sniffer的原理 网卡有几种接收数据帧的状态:unicast(接收目的地址是本级硬件地址的数据帧),Broadcast (接收所有类型为广播报文的数据帧),multicast(接收特定的组播报文),promiscuous (目的硬件地址不检查,全部接收) 以太网逻辑上是采用总线拓扑结构,采用广播通信方式,数据传输是依靠帧中的MAC地址来寻找目的主机。 每个网络接口都有一个互不相同的硬件地址(MAC地址),同时,每个网段有一个在此网段中广播数据包的广播地址 一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧,丢弃不是发给自己的数据帧。但网卡工作在混杂模式下,则无论帧中的目标物理地址是什么,主机都将接收 通过Sniffer工具,将网络接口设置为“混杂”模式。可以监听此网络中传输的所有数据帧。从而可以截获数据帧,进而实现实时分析数据帧的内容。 数据传输有两种方式:主动和被动模式。 关于被动模式与主动模式书上这么解释来着。 客户端与服务器建立控制连接后,要告诉服务器采用哪种文件传输模式。FTP提供了两种传输模式,一种是Port(主动模式),一种是Passive被动模式。这个主被动指的是服务器端。 主动,是指服务器端主动向客户端发起数据连接请求,那么此时服务器端要用自己的一个固有端口一般是20去监听客户端。整个过程是这样的,客户端在最初会用一个端口3716向服务器端的21发起控制连接请求(应该是在握手后中确定的吧),连接成功后,在发送port 3716+1,告诉服务服务器端坚定3717,那么服务器端就会用数据端口,一般是20与3717建立连接(这就是主动进行数据连接)。服务器端利用自己的20与客户端 3717来文件的数据传送通信,利用21和客户端最初的端口3616进行用户验证和管理。 而被动模式,是服务器端被动的接受客户端的数据连接请求,这个端口号是由客户端告知服务器端的,在本地随机生成(1025-65535)。 二、分别写出任务二、任务三中要求找出的有用信息,写出对应捕获的报文窗口中的summary(概要)代码,并推断出监测主机的系列行为。 实验一:网络扫描实验 【实验目的】 了解扫描的基本原理,掌握基本方法,最终巩固主机安全 【实验内容】 1、学习使用Nmap的使用方法 2、学习使用漏洞扫描工具 【实验环境】 1、硬件PC机一台。 2、系统配置:操作系统windows XP以上。 【实验步骤】 1、端口扫描 解压并安装ipscan15.zip,扫描本局域网内的主机 【实验背景知识】 1、扫描及漏洞扫描原理见第四章黑客攻击技术.ppt NMAP使用方法 扫描器是帮助你了解自己系统的绝佳助手。象Windows 2K/XP这样复杂的操作系统支持应用软件打开数百个端口与其他客户程序或服务器通信,端口扫描是检测服务器上运行了哪些服务和应用、向Internet或其他网络开放了哪些联系通道的一种办法,不仅速度快,而且效果也很不错。 Nmap被开发用于允许系统管理员察看一个大的网络系统有哪些主机以及其上运行何种服务。它支持多种协议的扫描如UDP,TCP connect(),TCP SYN (half open), ftp proxy (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,X mas Tree, SYN sweep, 和Null扫描。你可以从SCAN TYPES一节中察看相关细节。nmap还提供一些实用功能如通过tcp/ip来甄别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的PING侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择以及端口的描述。 图1 图2 图3 1)解压nmap-4.00-win32.zip,安装WinPcap 运行cmd.exe,熟悉nmap命令(详见“Nmap详解.mht”)。 图4 网络攻击防御技术考题答 案 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII 选择题(单选) 1.假冒网络管理员,骗取用户信任,然后获取密码口令信息的攻击方式被称 为___B_。 A.密码猜解攻击 B.社会工程攻击 C.缓冲区溢出攻击 D.网络监听攻击 2.下列哪一项软件工具不是用来对网络上的数据进行监听的?D A.XSniff B.TcpDump C.Sniffit https://www.wendangku.net/doc/a08250502.html,erDump 3.Brutus是一个常用的Windows平台上的远程口令破解工具,它不支持以下 哪一种类型的口令破解A A.SMTP B.POP3 C.Telnet D.FTP 4.在进行微软数据库(Microsoft SQL Database)口令猜测的时候,我们一般 会猜测拥有数据库最高权限登录用户的密码口令,这个用户的名称是__C__ 5. A.admin B.administrator C.sa D.root 6.常见的Windows NT系统口令破解软件,如L0phtCrack(简称LC),支持 以下哪一种破解方式?D A.字典破解 B.混合破解 C.暴力破解 D.以上都支持 7.著名的John the Ripper软件提供什么类型的口令破解功能?B A.Windows系统口令破解 B.Unix系统口令破解 C.邮件帐户口令破解 D.数据库帐户口令破解 8.下列哪一种网络欺骗技术是实施交换式(基于交换机的网络环境)嗅探攻 击的前提?C A.IP欺骗 B.DNS欺骗 C.ARP欺骗 D.路由欺骗 9.通过TCP序号猜测,攻击者可以实施下列哪一种攻击?D A.端口扫描攻击 B.ARP欺骗攻击 C.网络监听攻击 D.TCP会话劫持攻击 10.目前常见的网络攻击活动隐藏不包括下列哪一种?A A.网络流量隐藏 B.网络连接隐藏 C.进程活动隐藏 D.目录文件隐藏 11.在Windows系统中可用来隐藏文件(设置文件的隐藏属性)的命令是 ____。B A.dir B.attrib 网络攻击与防御技术实验报告 实验目的: 本实验通过研究Winpcap中常用的库函数的使用方式来实现了一个小型的网络数据包抓包器,并通过对原始包文的分析来展示当前网络的运行状况。 实验内容: 1.实现对网络基本数据包的捕获 2.分析捕获到的数据包的详细信息 实验环境: 1.WpdPack_4_0_1支持库 2.VC++开发环境 3.Windows操作系统 实验设计: 系统在设计过程中按照MVC的设计模式,整体分为三层。第一层为Control层即控制层,这里为简化设计,将Control层分为两个部分,一部分为网络报文输入,另一部分为用户输入;第二层是Model层即模型层;第三层为View层即显示层。 系统的整体运行过程为:从Control层得到数据,交到Model层进行处理,将处理完的结果交View层进行显示。Control层主要用于网络数据包的捕获以及获得用户的输入;Model层主要用于分析数据包,处理用户的输入;View层主要用于对处理后的结果进行显示。 详细过程: 程序在执行过程中有两个核心的工作,一是调用Winpcap函数库实现下层抓包。二是对抓到的包文进行分析。下面分别列出两个核心过程的基本算法与相关的实现代码。 抓包算法: 第一:初始化Winpcap开发库 第二:获得当前的网卡列表,同时要求用户指定要操作的网卡 第三:获得当前的过滤规则,可为空 第四:调用库函数,pcap_loop(),同时并指定其回调函数,其中其回调函数为数据包分析过程。 对应的相应核心代码为: I f((pCap=pcap_open_live(getDevice()->name,65536,1,1000,strErrorBuf))==NULL) { return -1; } If(pcap_compile(pCap, &fcode, filter, 1, NetMask) < 0) 实验4:拒绝式服务攻击与防范 【实验目的】 熟悉SYNflood的攻击原理与过程,及IPv4所存在的固有缺陷。 【实验准备】 准备xdos.exe拒绝服务工具。 【注意事项】 实验后将DoS黑客软件从机器彻底删除,避免恶意应用影响网络运行。 【实验步骤】 一、拒绝式服务攻击 拒绝服务攻击的英文意思是Denial of Service,简称DoS。这种攻击行动使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷直至瘫痪而停止提供正常的网络服务。 SYN-Flood是当前最常见的一种Dos攻击方式,它利用了TCP协议的缺陷进行攻击 用黑客软件xdos.exe对目标计算机进行拒绝服务攻击并运行测试。(1)计算机a登录到windows 2000,打开sniffer pro,在sniffer pro中配置好捕捉从任意 主机发送给本机的ip数据包,并启动捕捉进程。 (2)在计算机B上登录Windows 2000,打开命令提示窗口,运行xdos.exe,命令的格式:‖xdos<目标主机IP>端口号–t 线程数[-s <插入随机IP>’]‖(也可以用―xdos?‖命令查看使用方法)。输入命令:xdos 192.168.19.42 80 –t 200 –s* 确定即可进行攻击,192.168.19.42 是计 算机A的地址。 (3)在A端可以看到电脑的处理速度明显下降,甚至瘫痪死机,在Sniffer Pro的Traffic Map 中看到最大伪造IP的主机请求与A的电脑建立连接。 (4)B停止攻击后,A的电脑恢复快速响应。打开捕捉的数据包,可以看到有大量伪造IP地址的主机请求与A的电脑连接的数据包,且都是只请求不应答。以至于A的电脑保持有大量的半开连接。运行速度下降直至瘫痪死机,拒绝为合法的请求服务。 二、拒绝式服务防范 几乎所有的主机平台都有抵御DoS的设置,常见的有以下几种。(1)关闭不必要的服务。 Windows XP系统步骤如下: 网络扫描与网络嗅探 一实验目的 (1)理解网络嗅探和扫描器的工作机制和作用 (2)使用抓包与协议分析工具Wireshark (3)掌握利用扫描器进行主动探测,收集目标信息的方法 (4)掌握使用漏洞扫描器检测远程或本地主机安全性漏洞 二实验环境 Windows xp操作系统平台,局域网环境 网络抓包与协议分析工具Wireshark 扫描器软件:Superscan 三实验步骤 使用Wireshark 抓包并进行协议分析 (1)下载并安装软件,主界面如图 (2)单击capture,打开interface接口选项,选择本地连接,如图 (3)使用Wireshark数据报获取,抓取TCP数据包并进行分析 从抓取的数据包来看,首先关于本次分析的数据包是典型的TCP三次握手,如图所示: (4)TCP三次握手过程分析(以第一次握手为例) 主机(172.16.1.64)发送一个连接请求到(172.16.0.1),第一个TCP包的格式如图所示: 第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP是6,其格式为: 第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为: TCP的源端口2804也就是宿主机建立连接开出来的端口,目的端口8080。Sequence number同步序号,这里是0x3a 2a b7 bb,但这里显示的是相对值0。Acknowledgment number确认序号4bytes,为0,因为还是第一个握手包。Header Length头长度28字节,滑动窗口65535大小字节,校验和,紧急指针为0。Options选项8字节 实验八信息搜集和网络嗅探 同组实验者实验日期成绩 练习一信息搜集 实验目的 1.了解信息搜集的一般步骤;2.学会熟练使用ping命令;3.学会利用Nmap等工具进行信息搜集 实验人数每组2人 系统环境Windows;Linux 网络环境企业网络结构 实验工具Nmap、网络协议分析器 实验类型验证型 一、实验原理 详见“信息安全实验平台”,“实验13”,“练习一”。 二、实验步骤 本练习主机A、B为一组,C、D为一组,E、F为一组。实验角色说明如下: 下面以主机A、B为例,说明实验步骤。首先使用“快照X”恢复Windows/Linux系统环境。 一.信息搜集 此实验主机A可与B同时相互搜集对方信息,下面的步骤以主机A为例讲解。 1. ping探测 主机A开启命令行,对主机B进行ping探测,根据主机B的回复,可以确定主机A 和主机B之间的连通情况,还可以根据回复数据包的TTL值对操作系统进行猜测。 回复数据包的TTL值:_______________,主机B操作系统可能为:________________。 2. Nmap扫描 (1)对活动主机进行端口扫描 主机A使用Nmap工具对主机B进行TCP端口同步扫描(范围1-150): Nmap命令________________________________________________________________; 主机B开放的TCP端口__________________________________________________。 对主机B进行UDP端口扫描(范围是110-140): Nmap命令________________________________________________________________; 主机B开放的UDP端口__________________________________________________。 (2)对活动主机操作系统进行探测 主机A对主机B进行TCP/IP指纹特征扫描: Nmap命令________________________________________________________________; 查看扫描结果____________________________________________________________。 (3)对活动主机运行服务进行探测 主机A单击平台工具栏“协议分析器”按钮,启动协议分析器进行数据包捕获。打开IE 在地址栏中输入http://主机B的IP,访问主机B的web服务,停止协议分析器,查看捕获结果。图1可做为参考。 图1 HTTP会话分析 由图1可判断目标主机web服务使用的软件类型是______________________________。 请探测目标主机FTP服务使用的软件类型是____________________________________。 (4)对活动主机IP协议进行探测 主机A使用Nmap命令对主机B进行IP协议探测: Nmap命令________________________________________________________________; 查看扫描结果____________________________________________________________。 3. 探测总结 根据上述实验所得结果,填写表1。 选择题(单选) 1.假冒网络管理员,骗取用户信任,然后获取密码口令信息的攻击方式被称为___B_。 A.密码猜解攻击 B.社会工程攻击 C.缓冲区溢出攻击 D.网络监听攻击 2.下列哪一项软件工具不是用来对网络上的数据进行监听的?D A.XSniff B.TcpDump C.Sniffit https://www.wendangku.net/doc/a08250502.html,erDump 3.Brutus是一个常用的Windows平台上的远程口令破解工具,它不支持以下哪一种类型 的口令破解A A.SMTP B.POP3 C.Telnet D.FTP 4.在进行微软数据库(Microsoft SQL Database)口令猜测的时候,我们一般会猜测拥有数 据库最高权限登录用户的密码口令,这个用户的名称是__C__? A.admin B.administrator C.sa D.root 5.常见的Windows NT系统口令破解软件,如L0phtCrack(简称LC),支持以下哪一种破 解方式?D A.字典破解 B.混合破解 C.暴力破解 D.以上都支持 6.著名的John the Ripper软件提供什么类型的口令破解功能?B A.Windows系统口令破解 B.Unix系统口令破解 C.邮件帐户口令破解 D.数据库帐户口令破解 7.下列哪一种网络欺骗技术是实施交换式(基于交换机的网络环境)嗅探攻击的前提?C A.IP欺骗 B.DNS欺骗 C.ARP欺骗 D.路由欺骗 8.通过TCP序号猜测,攻击者可以实施下列哪一种攻击?D A.端口扫描攻击 B.ARP欺骗攻击 C.网络监听攻击 D.TCP会话劫持攻击 9.目前常见的网络攻击活动隐藏不包括下列哪一种?A A.网络流量隐藏 B.网络连接隐藏 C.进程活动隐藏 D.目录文件隐藏 10.在Windows系统中可用来隐藏文件(设置文件的隐藏属性)的命令是____。B A.dir B.attrib C.ls D.move 11.在实现ICMP协议隐蔽通道,常需要将发送出去的数据包伪装成下列哪一种类型?C A.ICMP请求信息,类型为0x0 B.ICMP请求信息,类型为0x8 C.ICMP应答信息,类型为0x0 D.ICMP应答信息,类型为0x8 12.相对来说,下列哪一种后门最难被管理员发现?D A.文件系统后门 B.rhosts++后门 C.服务后门 D.内核后门 13.常见的网络通信协议后门不包括下列哪一种?A A.IGMP B.ICMP C.IP D.TCP 14.Unix系统中的last命令用来搜索____来显示自从文件创建以来曾经登录过的用户,包 括登录/退出时间、终端、登录主机IP地址。B A.utmp/utmpx文件 B.wtmp/wtmpx文件 https://www.wendangku.net/doc/a08250502.html,stlog文件 D.attc文件 15.Unix系统中的w和who命令用来搜索____来报告当前登录的每个用户及相关信息。A A.utmp/utmpx文件 B.wtmp/wtmpx文件 https://www.wendangku.net/doc/a08250502.html,stlog文件 D.attc文件 16.流行的Wipe工具提供什么类型的网络攻击痕迹消除功能?D A.防火墙系统攻击痕迹清除 B.入侵检测系统攻击痕迹清除 C.Windows NT系统攻击痕迹清除 D.Unix系统攻击痕迹清除 17.流行的elsave工具提供什么类型的网络攻击痕迹消除功能?C A.防火墙系统攻击痕迹清除 B.WWW服务攻击痕迹清除 网络攻击与防御技术实验报告 姓名:____刘冰__ ___ 学号:__ 所在班级: 实验名称:网络数据包的捕获与分析实验日期:_2007_年_10 _月_15 _日指导老师:实验评分: 验收评语: 参与人员: 实验目的: 本实验通过研究Winpcap中常用的库函数的使用方式来实现了一个小型的网络数据包抓包器,并通过对原始包文的分析来展示当前网络的运行状况。 实验内容: 1.实现对网络基本数据包的捕获 2.分析捕获到的数据包的详细信息 实验环境: 1.WpdPack_4_0_1支持库 2.VC++6.0开发环境 3.Windows操作系统 实验设计: 系统在设计过程中按照MVC的设计模式,整体分为三层。第一层为Control层即控制层,这里为简化设计,将Control层分为两个部分,一部分为网络报文输入,另一部分为用户输入;第二层是Model层即模型层;第三层为View层即显示层。 系统的整体运行过程为:从Control层得到数据,交到Model层进行处理,将处理完的结果交View层进行显示。Control层主要用于网络数据包的捕获以及获得用户的输入;Model层主要用于分析数据包,处理用户的输入;View层主要用于对处理后的结果进行显示。 详细过程: 程序在执行过程中有两个核心的工作,一是调用Winpcap函数库实现下层抓包。二是对抓到的包文进行分析。下面分别列出两个核心过程的基本算法与相关的实现代码。 抓包算法: 第一:初始化Winpcap开发库 第二:获得当前的网卡列表,同时要求用户指定要操作的网卡 第三:获得当前的过滤规则,可为空 第四:调用库函数,pcap_loop(),同时并指定其回调函数,其中其回调函数为数据包分析过程。 对应的相应核心代码为: I f((pCap=pcap_open_live(getDevice()->name,65536,1,1000,strErrorBuf))==NULL) { return -1; } If(pcap_compile(pCap, &fcode, filter, 1, NetMask) < 0) { return -1; } if(pcap_setfilter(pCap, &fcode)<0) { return -1; } do{ pcap_loop(pCap,1,pcap_handle,NULL); }while(nFlag); 分析算法: 第一:得到数据包,先将其转存到内存里,以备以后再用。 第二:分析当前的数据包,分析过程如下: 1.数据包的前14个字节(Byte)代表数据链路层的报文头,其报文格式是前6Byte 为目的MAC地址,随后的6个Byte为源Mac地址,最后的2Byte代表上层 协议类型这个数据很重要,是我们分析上层协议的依据。 2.根据1所分析到的协议类型进行类似1的迭代分析。这样就可以得到各层中 的报文头信息和数据信息。 第三:结束本次分析。 分析算法部分实现代码: m_pktHeaders.Add(pHeader); m_pktDatas.Add(pData); CFramePacket *pFramePacket = new CFramePacket(pData,14); if(pFramePacket->GetType() == 0x0800) { CIPPacket ipPacket(pData+14,pHeader->len-14); if(ipPacket.GetProtocol() == "UDP") { CUDPPacket*pUDPPacket = new CUDPPacket(ipPacket.GetTData(),ipPacket.GetDataLength()); } else if(ipPacket.GetProtocol() == "TCP") { CTCPPacket *pTCPPacket = new 信息安全实验报告 学号: 学生姓名: 班级: 实验一网络扫描与监听 一、实验目的 网络扫描是对整个目标网络或单台主机进行全面、快速、准确的获取信息的必要手段。通过网络扫描发现对方,获取对方的信息是进行网络攻防的前提。该实验使学生了解网络扫描的内容,通过主机漏洞扫描发现目标主机存在的漏洞,通过端口扫描发现目标主机的开放端口和服务,通过操作系统类型扫描判断目标主机的操作系统类型。 通过该实验,了解网络扫描的作用,掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法,能够通过网络扫描发现对方的信息和是否存在漏洞。要求能够综合使用以上的方法来获取目标主机的信息。 而网络监听可以获知被监听用户的敏感信息。通过实验使学生了解网络监听的实现原理,掌握网络监听软件的使用方法,以及对网络中可能存在的嗅探结点进行判断的原理。掌握网络监听工具的安装、使用,能够发现监听数据中的有价值信息,了解网络中是否存在嗅探结点的判断方法及其使用。 二、实验要求 基本要求了解网络扫描的作用,掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法,能够通过网络扫描发现对方的信息和是否存在漏洞。掌握网络监听工具的安装、使用,能够发现监听数据中的有价值信息等。提高要求能够对网络中可能存在的嗅探结点进行判断的方法及工具使用等。 三、实验步骤 1)扫描软件X-Scan 和Nmap 以及WinPcap 驱动安装包并安装。 2)打开X-Scan,如下图所示。 3)点击“设置”->“扫描参数”,弹出扫描参数设置对话框,在“指定IP 范围”输入被扫描的IP 地址或地址范围。在“全局设置”的“扫描模块”设置对话框中选择需要检测的模块。其他可以使用默认的设置,也可以根据实际需要进行选择。最后点击“确定”回到主界面。 网络扫描与嗅探实验报告 课程信息安全技术 学院信息工程学院 专业电子信息工程 班级 姓名 教师 2016 年5月26日 一.实验目的 (1)理解网络嗅探和扫描器的工作机制和作用。(2)学习抓包与协议分析工具Wire shark的使用。 (3)掌握利用扫描器进行主动探测,收集目标信息的方法。 (4)掌握使用漏洞扫描器检测远程或本地主机安全性漏洞。 二.实验器材与工具 PC机,Wire shark软件,局域网环境,superscan软件 三.实验内容 1.认真阅读和掌握与网络嗅探和网络扫描相关 的知识点。 2.上机用Wire shark和superscan软件实现实 验操作。 3.记录实验结果,并加以分析生成实验报告。四.实验步骤及结果 1.网络嗅探 使用Wireshark抓包并进行协议分析 (1)下载并安装Wire shark软件,打开界面如下图1。 图1 (2)单击“捕获”→“选项”,选择“无线网络连接”,再单击“开始”,捕获过滤器 选tcp,如图2。 图2 (3)使用Wireshark数据报获取,抓取TCP数据包并进行分析。从抓取的数据包来看,首 先关于本次分析的数据包是典型的TCP三 次握手,如下图3所示。 图3 其中,第一次握手是建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SENT 状态,等待服务器确认;SYN:同步序列编号(Synchronize Sequence Numbers)。 第二次握手是服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个 SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态。 第三次握手是客户端收到服务器的SYN+ACK 包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED (TCP连接成功)状态,完成三次握手。 完成三次握手,客户端与服务器开始传送数据。 (4)TCP三次握手过程分析(以第一次握手为例) source(192.168.1.108)发送一个连接请 求到destination(117.131.204.120), 第一个TCP包的格式如下图4所示。 图4 第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP 是6,其格式为如下图5所示。 图5 第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为如图6所示。 图6 从上图中可以看出,TCP的源端口62783也就是宿主机建立连接开出来的端口,目的端口 西安电子科技大学 本科生实验报告 姓名:王东林 学院:计算机科学院 专业:信息安全 班级:13级本科班 实验课程名称:网络攻击与防御 实验日期:2015年10月15日 指导教师及职称:金涛 实验成绩: 开课时间: 2016-2017 学年第一学期 实验题目网络攻击与防御小组合作否 姓名王东林班级13级信息安全本科班学号201383030115 一、实验目的 1.了解网络连通测试的方法和工作原理。 2.掌握ping命令的用法。 3.了解网络扫描技术的基本原理。 4.掌握xscan工具的使用方法和各项功能。 5.通过使用xscan工具,对网络中的主机安全漏洞信息等进行探测。 6.掌握针对网络扫描技术的防御方法。 7.了解路由的概念和工作原理。 8.掌握探测路由的工具的使用方法和各项功能,如tracert等。 9.通过使用tracert工具,对网络中的路由信息等进行探测,学会排查网络故 障。 10.了解网络扫描技术的基本原理。 11.掌握nmap工具的使用方法和各项功能。 12.通过使用nmap工具,对网络中的主机信息等进行探测。 13.掌握针对网络扫描技术的防御方法。 14.掌握Linux帐号口令破解技术的基本原理、常用方法及相关工具 15.掌握如何有效防范类似攻击的方法和措施 16.掌握帐号口令破解技术的基本原理、常用方法及相关工具 17.掌握如何有效防范类似攻击的方法和措施 18.掌握帐号口令破解技术的基本原理、常用方法及相关工具 19.掌握如何有效防范类似攻击的方法和措施 二.实验环境 1、实验环境 1)本实验需要用到靶机服务器,实验网络环境如图1所示。 靶机服务器配置为Windows2000 Server,安装了IIS服务组件,并允许FTP匿名登录。由于未打任何补丁,存在各种网络安全漏洞。在靶机服务器上安装有虚拟机。该虚拟机同样是Windows2000 Professional系统,但进行了主机加固。做好了安全防范措施,因此几乎不存在安全漏洞。 2)学生首先在实验主机上利用Xscan扫描靶机服务器P3上的漏洞,扫描结束发现大量漏洞之后用相同方法扫描靶机服务器上的虚拟机P4。由于该靶机服务器上的虚拟机是安装了各种补丁和进行了主机加固的,因此几乎没有漏洞。在对比明显的实验结果中可见,做好安全防护措施的靶机服务器虚拟机上的漏洞比未做任何安全措施的靶机服务器少了很多,从而加强学生的网络安全意识。实验网络拓扑如图1。 三. 实验内容与步棸 Ping命令是一种TCP/IP实用工具,在DOS和UNIX系统下都有此命令。它将您的计算机与目标服务器间传输一个数据包,再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通。 1.在命令提示符窗口中输入:ping。了解该命令的详细参数说明。 常见网络攻击的手段与防范 侯建兵 赤峰学院计算机科学与技术系,赤峰024000 摘要:现在,Intemet上的网络攻击越来越猖獗,攻击手段也越来越先进,一旦被攻破,导致的损失也会越来越严重。如何有效地防止网络攻击已成为一个全球性的研究课题,受到全世界网络工作者的普遍重视,因此,针对黑客的网络攻击,提高网络的防护能力,保证信息安全已成为当务之急。为此本文列举了一些典型的网络攻击,将它们进行了分类,在分析其攻击原理的基础上,针对网络攻击的具体防御措施进行了 讨论和分析。 关键词:网络安全;网络攻击;安全策略;手段;措施;黑客攻击;防范技术 一.引言 随着Intemet的发展.高信息技术像一把双刃剑,带给我们无限益处的同时也带给网络更大的风险。网络安全已成为重中之重,攻击者无处不在。因此网络管理人员应该对攻击手段有一个全面深刻的认识,制订完善安全防护策略。孙子兵法上说,知己知彼,百战不殆。要想有效的防范黑客对我们电脑的入侵和破坏,仅仅被动的安装防火墙是显然不够的。我们必须对黑客的攻击方法、攻击原理、攻击过程有深入的、详细的了解,针对不同的方法采取不同的措施,做到有的放矢。只有这样才能更有效、更具有针对性的进行主动防护。 二.相关基本概念和网络攻击的特点 1.计算机网络安全的含义 从本质上来讲.网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性.使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。 2. 网络攻击概念性描述 网络攻击是利用信息系统自身存在的安全漏洞,进入对方网络系统或者是摧毁其硬件设施。其目的就是破坏网络安全的各项指标,破坏扰乱对方信息系统的正常运行,致使对方计算机网络和系统崩溃、失效或错误工作。 3. 计算机网络攻击的特点 计算机网络攻击具有下述特点:(1)损失巨大。由于攻击和入侵的对象是网络上的计算机。所以一旦他们取得成功,就会使网络中成千上万台计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。(2)威胁社会和国家安全。一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。 (3)手段多样,手法隐蔽。计算机攻击的手段可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息;也可以通过截取别人的帐号和口令堂而皇之地进入别人的 网络扫描与网络嗅探一实验目的 (1)理解网络嗅探和扫描器的工作机制和作用 (2)使用抓包与协议分析工具Wireshark (3)掌握利用扫描器进行主动探测,收集目标信息的方法(4)掌握使用漏洞扫描器检测远程或本地主机安全性漏洞二实验环境 Windows xp操作系统平台,局域网环境 网络抓包与协议分析工具Wireshark 扫描器软件:Superscan 三实验步骤 使用Wireshark 抓包并进行协议分析 (1)下载并安装软件,主界面如图 (2)单击capture,打开interface接口选项,选择本地连接,如图 (3)使用Wireshark数据报获取,抓取TCP数据包并进行分析 从抓取的数据包来看,首先关于本次分析的数据包是典型的TCP三次握手,如图所示: (4)TCP三次握手过程分析(以第一次握手为例) 主机(172.16.1.64)发送一个连接请求到(172.16.0.1),第一个TCP包的格式如图所示: 第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP是6,其格式为: 第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为: TCP的源端口2804也就是宿主机建立连接开出来的端口,目的端口8080。Sequence number同步序号,这里是0x3a 2a b7 bb,但这里显示的是相对值0。Acknowledgment number确认序号4bytes,为0,因为还是第一个握手包。Header Length头长度28字节,滑动窗口65535大小字节,校验和,紧急指针为0。Options选项8字节 网络扫描和网络嗅探 一实验目的 (1)理解网络嗅探和扫描器的工作机制和作用 (2)使用抓包和协议分析工具Wireshark (3)掌握利用扫描器进行主动探测,收集目标信息的方法 (4)掌握使用漏洞扫描器检测远程或本地主机安全性漏洞 二实验环境 Windows xp操作系统平台,局域网环境 网络抓包和协议分析工具Wireshark 扫描器软件:Superscan 三实验步骤 使用Wireshark 抓包并进行协议分析 (1)下载并安装软件,主界面如图 (2)单击capture,打开interface接口选项,选择本地连接,如图 (3)使用Wireshark数据报获取,抓取TCP数据包并进行分析 从抓取的数据包来看,首先关于本次分析的数据包是典型的TCP三次握手,如图所示: (4)TCP三次握手过程分析(以第一次握手为例) 主机(172.16.1.64)发送一个连接请求到(172.16.0.1),第一个TCP包的格式如图所示: 第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP是6,其格式为: 第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为: TCP的源端口2804也就是宿主机建立连接开出来的端口,目的端口8080。Sequence number同步序号,这里是0x3a 2a b7 bb,但这里显示的是相对值0。Acknowledgment number确认序号4bytes,为0,因为还是第一个握手包。Header Length头长度28字节,滑动窗口65535大小字节,校验和,紧急指针为0。Options选项8字节 使用superscan 扫描 (1)下载并安装 (2)主界面如下所示:网络嗅探实验报告
网络攻击与防御 第一次实验
共享网络嗅探工具(如Sniffer Pro)的功能使用和结构分析和IP地址欺骗扫描工具Hping2的使用
信安实验报告1网络嗅探实验
网络扫描实验
网络攻击防御技术考题答案
网络嗅探器实验报告
实验4:拒绝式服务攻击与防范
网络扫描与网络嗅探工具的使用
实验八信息搜集和网络嗅探网络与信息安全实验报告
网络攻击、防御技术考题+答案
网络攻击与防范实验报告
实验报告-网络扫描与监听
信息安全-网络扫描与嗅探实验报告之欧阳音创编
网络攻击与防御实验报告全解
常见网络攻击的手段与防范
网络扫描及网络嗅探工具的使用
网络扫描与网络嗅探工具的使用