网络安全实验报告

网络安全实验

学生：张守军 实验目的

1、

一、 ：我要搭建网络安全实验环境。

配置良好的实验环境时进行网络安全实验的基础工作。

1. VMware虚拟机的安装和配置。

首先在一台计算机上安装一套操作系统，然后安装虚拟软件VMware。分别在虚拟机下安装3套操作系统：Vista ,windows Server 2003 和ubntu 9.04。windows server 2003操作系统主要作为网络安全的攻击对象。虚拟机上操作系统可以通过虚拟网卡和实际主机的操作系统进行通信

2. 安装虚拟机的操作系统。

注意的是安装完vista、window server 2003、Ubuntu 9.04后要使用 ping命令来测试主机和虚拟机能否通信。如主机和虚拟机已经连通，这样一个虚拟的网络环境就配置好了。

二、操作系统的安全配置实验

1、操作系统的安全是整个操作系统安全策略的核心，其目的是从系统根源构筑安全防护体系，通过用户和密码管理、共享设置、端口管理和过滤、系统服务管理、本地安全策略、外部工具使用等手段，形成一套有效的系统安全策略。

【我认为系统安全不安全，主要是看使用者的使用方法，同样的操作系统不同的人使用会有不同的安全效果。】

2、我以windows操作系统安全配置实验为例。

实验目的

1、 掌握安全策略设置方法，了解安全策略的制订准则。

2、 掌握利用管理工具管理本地用户的方法，了解windows帐

户的命名规则和口令要求。

3、 掌握windows下审核策略的设置方法，了解审核策略的制

订准则。

4、 Windows server 2003操作系统环境网络服务和端口的安全

管理技术。

安全设备及环境

1、 windows xp 操作系统。

2、 windows server 2003操作系统（虚拟机）

实验任务及内容

1、 安全策略配置

2、 访问计算机的用户、授权用户使用计算机上的那些资源，

是否在事件日志中记录用户或组的操作。

3、 Windows 用户管理

4、 系统安全审核

5、 网络服务和端口管理

实验报告：我通过本次实验详细记录了加入本地用户的过程，并

且使用该用户登录系统进行权限测试。根据实际需要找出了本系统不需要的服务，把这些服务端口关闭。

分析讨论：了解了各个密码安全策略的主要作用，审核，密码策略和帐户策略的含义，系统审核在系统安全中的作用。

网络侦察

所谓网络侦察就是对网络资源的探测、扫描与监听。网络扫描时一种网络安全攻击技术，目的是利用各种工具对攻击目标的IP地址或地址段的主机查找漏洞。扫描采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，目标可以使PC、服务器、交换机、路由器和数据库应用等。根据扫描结果向扫描者或管理员提供周密可靠的分析报告。网络监听的目的是截获通信的内容，监听的手段主要是通过嗅探器捕获数据包对协议进行分析。常见的嗅探器除了著名的Sniffer Pro以外，还有一些常用的监听软件，如协议分析器、嗅探经典、密码监听工具和非交换环境局域网的fssniffer等。 实验目的：

1） 了解网络扫描的原理，掌握使用端口扫描器的技术。

2） 掌握Windows下口令攻击技术、方法，以及防御措施

3） 熟练利用网络扫描工具扫描目标计算机安全漏洞

4） 熟练利用网络嗅探工具进行网络监听

实验设备及环境

1） Windows XP操作系统

2） Windows Server 2003操作系统

3） 工具软件：L0phtCrack、PortScan、Shed、X-Scan、Sniffer Pro、

pswmonitor.

实验任务及内容：

本实验的主要内容是利用常见的网络扫描工具、嗅探工具，扫描系统账号、开放端口、共享目录，探测网络系统的安全漏洞。

1. 网络扫描

（1） 系统账号扫描及口令破解

L0phtCrack简称LC，是一款网络管理员必备的工具，可以用来检测Windows NT/2003/XP/UNIX管理员账号密码破解工具。事实证明，简单的或容易遭受破解的管理员密码是最大的安全威胁之一，因为攻击者往往以合法的身份登录计算机系统而不被察觉。L0phtCrack能直接从注册表、文件系统、备份磁盘，或是在网络传输的过程中找到的口令。L0phtCrack卡是破解的第一步是精简操作系统存储加密口令的哈希列表。之后才开始口令的破解，这个过程称为是cracking。它采用以下3中不同的方法来实现。

1） 字典攻击。LophtCrack将字典中的词逐个与口令哈希表

中的词作比较。当发现匹配的词时，显示结果，即用户口

令。LophtCrack自带一个小型词库。如果需要其他字典资源可以从互联网上获得。这种破解方法，使用的字典容量越大，破解效果越好。

2） Hybrid方法。这是建立在字典破解基础上的。现在血多

用户选择口令不再单单只是由字母组成的，常会使用诸如“mytest11”或“abcddd！！”等添加了符号和数字的字符串作为口令。这类口令复杂了一些，但通过口令过滤器和一些方法，破解也不是很困难，Hybird就能快速地对这类口令进行破解。

3） 最后一种也是最有效地方法就是“暴力破解”。现在所谓

复杂的口令一般都能被破解，只是时间长短问题，且破解口令时间远远小于管理员设置的口令有效期。使用这种方法也能了解一个口令的安全使用期限。

LophtCrack5的主界面，利用该工具可以对计算机上用户进行账号扫描和破解。

首先选择【Session】--【Import】，选择右边的【Add】，输入虚拟机的IP地址（172.18.25.98），单击【OK】。 然后，选择【Session】--【Bein Audit】，开始扫描用户和破解密码。在扫描结果中有Administrator权限的账号YJ和密码1234567，这样就得到了系统的权限。这种方法的缺点是，如果对方用户密码设置比较长而且怪，需要破

解很长时间。

（2） 开放端口扫描

获得对方开放了那些端口也是扫描的重要内容。使用工具软件PortScan可以到得到对方计算机开放了哪些端口。

对Windows Server 2003系统进行端口扫描，在Scan文本中输入IP地址，单击按钮【START】。

利用网络端口扫描工具软件可以将所有端口的开放情况做一探测，获知对方开放了哪些网络服务，进而对某些服务的漏洞进行攻击。

（3） 漏洞扫描

漏洞扫描时主动式防御策略的网络扫描，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。X-S惨。3是一款适用于Windows NT/2003/XP/2000系统的常见漏洞扫描软件。该软件采用多线程方式对制定IP地址段进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式。扫描内容包括：远程操作系统类型以及版本；标准端口状态及端口Banner信息；SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞；SQL-SERVER、FTP-SERVER、POP3-SERRVER；NT-SERVER弱口令用户，NT服务器NETBIOS信息；注册表信息等。扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。

1） 选择菜单栏设置下的菜单项【扫描模块】。

2） 利用X-Scan3.3可以对常用的网络以及系统的漏洞进行

全面的扫描，选中复选框后，单击【确定】即可。

3） 确定要扫描主机的IP地址或者IP地址段。选择菜单栏设

置下的菜单项【扫描参数】，若扫描一台主机，在指定IP范围框中输入：172.18.25.97。

4） 设置完毕后，进行漏洞扫描，单击工具栏上的图标【开始】，

开始对目标主机进行扫描。

结果显示发现了血多系统漏洞，利用这些漏洞可以试试系统入侵。选择【查看】--【扫描报告】，可以看到前面扫描的详细报告。

除了这些扫描工具外，比较著名的工具软件还有：活动主机探测程序QckPing、扫描全才scanlock、扫描经典工具

【流光】及其他的一些扫描工具。

2．网络监听

利用监听工具Sniffer Pro进行网络监听。

1） 进入Sniffer主界面，捕获数据包之前必须首先设置所

要捕获的数据包类型。选择主菜单【Capture】下的

【Define Filter】菜单。

2） 在捕获数据包的过滤器窗口中，选择【Address】选项

卡，窗口中需要修改两个地方：在Address下拉列表中，

选择数据包的类型为IP ，在Station 1下面输入主机

的IP地址，主机的IP 地址是172.18.25.99；在与之

对应的Station 2下面输入虚拟机的IP 地址，虚拟机

的IP地址是172.18.25.98.

3） 设置完毕后，单击该窗口的【Advanced】选项卡，拖动

滚动条找到IP项，将IP和ICMP选中。

4） 这样的Sniffer的过滤器就设置完毕了。选择菜单栏

【Capture】下【start】菜单项，启动捕获数据包；然

后，在主机的DOS窗口中ping虚拟机。

5） Ping指令执行完毕后，单击工具栏上的【停止并分析】

按钮，在出现的窗口选择【Decode】选项卡，可以看到

数据包在两台计算机间的传递过程。

实验报告：

1） 描述使用网络扫描工具对系统进行系统账号扫描、网络端口扫

描、共享目录扫描以及漏洞扫描的过程，分析扫描结果；并分析各自的技术原理和优缺点。

实验5 ARP欺骗攻击

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。ARP协议并不只发送了ARP请求

才接受ARP应答。当计算机接受到ARP应答数据包时，就会对本地的ARP缓存进行更新，将鹰大厦中IP和MAC地址存储在ARP混村中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答时B冒充C而伪造的，即IP地址为C的IP ，而MAC地址是伪造的，则当A接受到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来的那个了。由于局域网的数据流并不是根据IP地址进行，而是按照MAC地址进行传输的。所以，那个伪造出来的MAC地址在A上呗改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能ping通C！这就是一个简单的ARP欺骗。

实验目的：

1） 了解欺骗攻击的原理和防范措施

2） 理解ARP协议的工作原理，了解ARP欺骗攻击的实现过程。

3） 掌握利用工具软件实现ARP欺骗的方法

实验设备及环境：

1） Windows XP操作系统

2） Windows Server 2003操作系统

3） 工具软件：NefFuke

实验任务及内容：

本实验使用NetFuke实现，并需要Winpap的支持。NetFuke是一款

ARP欺骗工具，它的主要功能有：ARP欺骗、支持单向和双向欺骗、支持MAC指定、ICMP欺骗等。

1. 主机的ARP欺骗

1） 首先配置NetFucke。选择【设置】--【嗅探设置】，打开【嗅

探设置】对话框，选择网卡，并选择【启用ARP欺骗】和【主动转发】。

2） 选择【设置】--【ARP欺骗】，打开【ARP欺骗设置】对话框，

在其中设置各项参数

目标IP就是被欺骗主机的IP；来源IP指的就是NetFuke主机所伪装成的主机IP。在双向欺骗模式下，目标IP和来源IP没有区别，它们是通信的双方，被NetFuke主机进行中间人欺骗。中间人IP默认就是NetFuke主机的IP。

3） 在欺骗开始之前，先在来源主机分别ping目标IP和中间IP，

然后通过arp命令获取目标机和中间人的IP地址。

4） 单击【开始】按钮，这时，程序的左侧将会出现已经设置好

的配置信息，并且开始ARP欺骗。在欺骗开始之后，再在来源主机分别ping目标IP和中间IP，然后通过arp命令获取目标机和中间人的IP地址。

5） 单击【停止】按钮，然后单击操作菜单中的【回显缓冲区】

按钮。这是，程序右侧的列表当中就会显示出NetFuke主机

向受骗双方发送的ARP数据包。

2. 防范ARP欺骗

对于ARP欺骗攻击，有效地防范方法就是将IP地址与MAC地址进行静态绑定。

（1） 将内网主机的IP与MAC地址进行绑定。

先进行静态绑定，然后再查看ARP欺骗的结果。在来源主机的命令行模式下，执行以下命令：

1） arp –d//清空arp缓存表

2） arp –s 172.18.25.98 00-1b-b9-70-40-73//将IP地

址与MAC地址绑定

3） arp –a

这时，目标主机的MAC地址将又会变回

00-1b-b9-70-40-73，并且状态变为静态。

再重新开始一次相同的攻击，观察目标主机的MAC地

址是否会再次因为ARP欺骗攻击而改变。

（2） 对内网网关的IP与MAC地址进行绑定

1） 在命令行下运行“ipconfig/all”命令，获取网关的

IP地址；

2） 运行“arp –a网关IP”，获取网关的MAC地址；

3） 运行“arp –d”“arp –s 网关IP网关MAC”；

4） 将第三部中的两个命令编辑保存到一个批处理文件中，

文件类型为.bat文件；

5） 打开注册表编辑器，找到

【HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window

s\CirremtVersopm\Run】，在其中使用邮件添加“字符

串值”，命令后双击该键，在【数值数据】框中添加该

bat文件的全路径，就可实现开机时网关IP和网关MAC

的自动绑定。

实验报告：

1） 利用NetFuke对虚拟机进行ARP欺骗，然后通过Sniffer捕获

数据包分析通信过程和ARP的欺骗过程。

在主机上编辑批处理文件，实现开机启动时自动实现IP和MAC的静

态绑定，防范ARP欺骗攻击。入侵检测系统的搭建与配置 入侵检测系统是一种对网络传输进行及时监视，在发现可以传输时发出警报或者采取主动反应措施的挽留过安全设施。与其他网络安全设施不同，IDS是一种积极主动的安全防护措施。一个合格的入侵检测系统能大大地简化管理员的工作，保证网络安全运行。目前，IDS发展迅速，已有人宣称IDS可以完全取代防火墙。笨实验主要介绍在Ubuntu平台上，如何部署入侵检测工具OSSEC HIDS来实现入侵检测系统的方法。

实验目的：

1） 了解入侵检测系统的定义、功能、必要性和局限性

2） 了解常见的入侵检测系统

3） 掌握利用工具软件搭建和配置入侵检测系统的方法 实验设备及环境：

1） Ubuntu9.04 操作系统

2） Windows XP操作系统

3） OSSEC HIDS入侵检测系统

实验任务及内容：

笨实验通过在Ubuntu平台上部署入侵检测工具OSSEC HIDS来实现入侵检测。OSSEC是一款开源的入侵检测系统，包括了日志分析、全面检测、rook-kit检测。作为一款HIDS，OSSEC应该被安装在一台实施监控的系统中。如果有多台计算机都安装了OSSEC，那么久可以采用客户机/服务器模式来运行。客户机通过客户端程序将数据发回到服务器端进行分析。

OSSEC最大的有事在于它几乎可以运行在任何一种操作系统上，比如Windows、Linux、OpenBSD/FreeNSD以及MacOS。不过运行在Windows上的客户机无法实现root-kit检测，而其他系统上的客户机则没问题。

1） 首先，暂时获取root权限，在终端运行命令：#sudo su

2） 下载最新版本的OSSEC源文件，在终端运行命令：#wget /files/ossec-hids-2.0.tar.gz

3） 解压文件，在终端运行命令：#tar –xzvf

ossec-hids-2.0.tar.gz，解压后，在当前目录下出现文件夹OSSEC-hids-2.0 ，双击打开该温佳佳，可以看到解压后的所有内容，其中install.sh文件就是按照程序

4） 在汇总段运行./install.sh，安装OSSEC系统

5） 安装时的选项包括：Local installation;/var/ossec;Yes to

email notification:myemail@mydomain.comand yes to using my SMTP server;Yes to integrity check daemon;Yes to rootcheck;Active response enabled;Firewall-drop

response enabled;No additions to the whitelist。设定好之后，OSSEC的编译就可以顺利进行了。安装脚本会自动检测到Ubuntu并建立正确的初始化脚本，下面测试OSSEC。

6） 首先建立新的系统用户user2，这个操作可以被立即检测到，

打开OSSEC下的报警日志

7） 输入错误的密码来测试SSHD检测功能：用su命令从用户yj

切换到user1，输入错误的密码，这个操作也立刻检测到，并记录到报警日志去

实验报告：

从主机对虚拟机进行开放端口扫描的结果，观察OSSEC HIDS系统的反应，并做记录。

实验6 防火墙的安装与配置

防火墙是设置在呗保护网络与外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在的破坏性入侵。防火墙本身具有较强的抗攻击能力，它是提供网络安全服务、实现网络安全的基础设施。严峻的网络安全形势，促进了防火墙技术的不断发展，防火墙安全产品非常多。该实验主要讲解利用工具软件例如天网防火墙，搭建和配置防火墙安全策略的方法。

实验目的：

1） 了解防火墙的定义、功能、必要性和局限性

2） 掌握利用工具软件搭建和配置防火墙安全策略的方法 实验设备及环境：

1） Windows XP操作系统

2） Windows Server 2003操作系统

3） 天网防火墙软件

实验任务及内容：

天网防火墙个人版是由天网安全实验室面向个人计算机用户研究的网络安全工具。它根据系统管理者设定的安全规则把守网络，提供强大得访问控制、信息过滤等功能，抵挡网络入侵和攻击。天网防火墙

把网络分为本地网和互联网，可以针对来自不同网络的信息，设置不同的安全方案，适合于任何方式连接上网的个人用户。

1. 对应用程序的安全设置

1） 在Windows Server 2003 操作系统中安装天网防火墙。通过

【应用程序】按钮可以设定与外网进行连接的应用程序。

2） 单击工具栏中的【应用程序】按钮，出现【应用程序访问网

络权限设置】界面，在界面中添加的应用程序，防火墙允许其与外网的连接，未添加的应用程序，不允许与外网连接。如果通过防火墙阻断了木马程序的外连请求，则计算机肿了木马也不会被远程控制。

3） 对应用程序访问网络的规则做具体设置。

2. 包过滤规则的设置

包过滤规则作用在网络层和传输层，根据数据包报头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤规则的数据包才被转发到相应的目的地端口，其余的数据包则从数据流中丢弃。

1） 单击工具栏中的【IP规则管理】按钮，出现【自定义IP规

则】界面，在此界面中有大量安装时默认设置的IP规则。此处有【修改IP规则】和【添加IP规则】按钮

2） 新建一条规则，用来禁止外部主机用ping命令连接本机。

3） 在虚拟机上安装一个FTP软件并启用FTP，然后修改原规则

中的【禁止所有连接】，将其改为【禁止所有人访问本机FTP】，设置FTP相关的端口。确定之后，从主机尝试登陆虚拟机的FTP服务，将被拒绝。

4） 最后，新建一条规则，禁止所有人连接其他程序的端口。它

将与前两条规则联合作用，禁止外部计算机连接本机未经授权程序打开的端口。

以上三条规则在防火墙中必须按照上述顺序配置，才能发挥应有的作用；如果顺序不对，则不能实现上述的正常安全需求。

实验报告：

1） 根据实验过程，描述配置天网防火墙的安全规则

2） 配置一实验访问规则：允许本机访问外网的某一台FTP服务器，

但不允许本机访问此计算机其他服务，以及不允许本机访问外网Web服务器。