反病毒实验报告

1、网络安全与反病毒技术实验指导网络安全与反病毒技术，要求学生通过实验加深对课堂讲授理论知识的理解，做到理论结合实践，提高对网络安全协议设计、系统攻防方面的认识，培养和锻炼学生分析问题及解决问题的能力。要求学生做到：（1）对每个要做的实验进行预习，了解相关内容和具体要求，熟悉相关的软件工具。（2）按照实验内容和步骤，达到预期的实验结果，并进行屏幕抓图。（3）按照实验报告的格式要求，写出实验报告。实验内容：实验一：网络端口扫描实验二：网络嗅探实验三：木马攻击与防范实验四：Windows IPSec安全策略的配置实验一 网络端口扫描（一） 实验目的1. 通过使用网络端口扫描器，了解端口扫描的用途及扫描

2、原理2. 掌握Windows环境下使用SuperScan对主机端口进行扫描的方法。（二）实验原理 一个开放的端口就是一条与计算机进行通信的信道，对端口的扫描可以得到目标计算机开放的服务程序、运行的系统版本信息。扫描工具是对目标主机的安全性弱点进行扫描检测的软件。它一般具有数据分析功能，通过对端口的扫描分析，可以发现目标主机开放的端口和所提供的服务，以及相应服务软件版本和这些服务及软件的安全漏洞，从而可以及时了解目标主机存在的安全隐患。1、端口基本知识端口是TCP协议定义的。TCP协议通过套接字(socket)建立起两台计算机之间的网络连接。套接字采用 IP地址：端口号 的形式来定义。通过套接字

3、中不同的端口号来区别同一台计算机上开启的不同TCP和UDP连接进程。对于两台计算机间的任一个TCP连接，一台计算机的一个IP地址：端口套接字会和另一台计算机的一个IP地址：端口套接字相对应，彼此标识着源端、目的端上数据包传输的源进程和目标进程。这样网络上传输的数据包就可以由套接字中的IP地址和端口号找到需要传输的主机和连接进程了。由此可见，端口和服务进程一一对应，通过扫描开放的端口，就可以判断出计算机中正在运行的服务进程。TCP/UDP的端口号在065535范围之内，其中1024以下的端口保留给常用的网络服务。例如：21端口为FTP服务，23端口为TELNET服务，25端口为SMTP服务，80

4、端口为HTTP服务，110端口为POP3服务等。2、扫描原理常用的端口扫描技术如下： （1）TCP connect()扫描这是最基本的TCP扫描，操作系统提供的connect()系统调用可以用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于监听状态，那么connect()就能成功。否则，这个端口是不能用的，即没有提供服务。使用这种方法可以检测到目标主机开放了那些端口。这个技术的最大的优点是，不需要任何权限。系统中的任何用户都有权利使用这个调用。另一个好处就是速度，如果对每个目标端口以线性的方式，使用单独的connect()调用，那么将会花费相当长时间，使用者可以通过同时打开多个套接字来

5、加速扫描。使用非阻塞I/O允许设置一个低的时间用尽周期，同时观察多个套接字。但这种方法的缺点是很容易被察觉，并且被防火墙将扫描信息包过滤掉。目标计算机的logs文件会显示一连串的连接和连接出错信息，并且能很快使它关闭。（2）TCP SYN扫描这种扫描是向远程主机某端口发送一个只有SYN标志位的TCP数据包，如果收到了远程目标主机的SYN/ACK数据包，那么说明远程主机的该端口是打开的；若没有收到远程目标主机的SYN/ACK数据包，而收到的是RST数据包，则说明远程主机的该端口没有打开。这种扫描技术的优点在于一般不会在目标计算机上留下记录，但这种方法的缺点是必须要有root权限才能建立自己的SY

6、N数据包。（3）TCP FIN扫描FIN是中断连接的数据包，很多日志不记录这类数据包。TCP FIN扫描的原理是向目标端口发送FIN数据包，如果收到了RST的回复，表明该端口没有开放，反之该端口是开放的，因为打开的端口往往忽略对FIN的回复。这种方法还可以用来区别操作系统是Windows，还是UNIX。但是，有的系统不管端口是打开与否，一律回复RST。这时，FIN扫描就不适用了。（4）UDP ICMP扫描这种方法与上面几种方法不同的是它使用的UDP协议，由于UDP协议很简单，所以扫描变得相对比较困难。这是由于打开的端口扫描探测并不发送确认信息，关闭的端口也并不需要发送一个错误数据包。当向目标主

7、机的一个未打开的UDP端口发送一个数据包时，会返回一个ICMP_PORT_UNREACHABLE错误，这样就会发现关闭的端口。端口扫描器是黑客常用的工具，目前的扫描工具有很多种，例如Nmap、Netcat、X-Scan、port、PortScanner、Netscan tools、Winscan、WUPS、Fscan、LANguard Network Scanner、SuperScan等。在本实验以SuperScan工具为例详细介绍扫描器的使用。（三） 实验环境两台PC机，Windows 2000/XP/2003操作系统，通过网络相连。SuperSscan3.0软件。（四）实验内容和步骤Sup

8、erScan具有端口扫描、主机名解析、ping扫描的功能练习1：使用SuperScan进行域名解析、查看本机IP的配置信息练习2：使用SuperScan对本地主机进行端口扫描（检查21、23、139、3389端口是否开放）练习3：使用SuperScan对局域网的特定主机（IP地址自行确定）进行端口扫描练习4：使用SuperScan对局域网的某些主机（IP地址自行确定）进行在线检测实验二 网络嗅探（一）实验目的 (1) 掌握Wireshark嗅探器软件的使用方法，对嗅探到的数据包进行分析，判断网络状况。(2) 通过Wireshark分析以太网帧和ARP协议。（二）实验原理数据包嗅探器（亦称网络分

9、析器或协议分析器）是可以截取并记录通过数据网络传送的数据通信量的计算机软件。当数据流通过网络来回传输时，嗅探器可以“捕获”每个协议数据单元 (PDU)，并根据适当的 RFC 或其它规范对其内容进行解码和分析。Wireshark 的编程使其能够识别不同网络协议的结构。因此，它可以显示 PDU 的封装和每个字段并可解释其含义。（三） 实验环境局域网环境，PC机，安装Wireshark软件。（四）实验内容和步骤用Wireshark捕获网络中传输的Ping数据包。（1）双击桌面上Wireshark图标，打开Wireshark窗口。（2）设置过滤规则。在主窗口中，单击【Filter】按钮，打开过滤器的设

10、置界面，可以根据需要选取或直接输入过滤命令，支持and/or的功能连接。这里输入ICMP。（3）查看网络监听。单击【Capture】【Interface】查看可以进行监听的网络接口00003（4）选择并设定监听接口并选择网络接口。单击需要监听接口的选中按钮，可以进行监听接口的选择和设定，在【Interface】栏选定接口。单击【Start】，开始在【Interface】栏选定的接口上进行嗅探、监听。单击【close】回到【Interface】窗口。00004（5）进入网络嗅探状态。单击【Capture】【start】，即进入网络嗅探状态。（6）结束监听。当有需要的数据包出现或监听一段时间后，单

11、击【Stop】按钮，结束监听并自动进入协议分析界面。（7）对捕获的数据包进行相关分析。实验三 木马攻击与防范（一）实验目的 (1) 通过练习如何使用木马，理解并掌握木马的传播原理和运行机制(2) 通过手动删除木马，掌握防范木马的相关知识，提高对木马的防范意识。（二）实验原理特洛伊木马（简称木马），是一种基于远程控制的黑客工具，具有隐蔽性和破坏性的特点。大多数木马与正规的远程控制软件功能相似。但木马有一些明显的特点，例如，它的安装和操作都是在隐蔽之中完成。攻击者经常将木马隐蔽在一些游戏或小软件中，诱使粗心的用户在自己的机器上运行。最常见的情况是，用户从不正规的网站下载和运行了带恶意代码的软件，或

12、者不小心点击了带恶意代码的邮件附件。大多数木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将服务器绑定到某个合法软件上，只要用户运行被绑定的合法软件，木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常，木马的服务器部分是可以定制的，攻击者可以定制的项目一般包括服务器运行的IP端口号，程序启动时机、如何发出调用、如何隐身、是否加密。另外，攻击者还可以设置登录服务器的密码，确定通信方式。木马攻击者既可以随心所欲地查看已被入侵的机器，也可以用广播方式发布命令，指示所有在他控制之下的木马一起行动，或者向更广泛的范围传播，或者做其他危险的事情。木马的设计者为了防止木马被发现，

13、会采用多种手段隐藏木马，这样用户即使发现感染了木马，也很验证找到并清除它。木马的危害越来越大，保障安全的最好办法就是熟悉木马的类型、工作原理，掌握如何检测和预防这些代码。常见的木马，例如冰河、Netbus、网络神偷等，都是多用途的攻击工具包，功能非常全面，包括捕获屏幕、声音、视频内容的功能。这些木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。攻击者可以配置木马监听的端口、运行方式，以及木马是否通过Email、IRC或其他通信手段联系发起攻击的人。一些危害大的木马还有一定的反侦测能力，能够采取各种方式隐藏自身，加密通信，甚至提供了专业级的

14、API供其他攻击者开发附加的功能。（三）实验环境 两台装有Windows 2000/XP/2003的计算机，通过网络连接，使用“冰河”木马进行练习。（四） 实验内容和步骤(1) “冰河”的安装。“冰河”由两个文件组成： a) G_Server.exe：被监控端后台监控程序，在安装前可以先通过G_Client，对本地服务器程序功能进行一些特殊配置，例如是否将动态IP发送到指定信箱，改变监听端口、设置访问口令等。b) G_Client.exe：监控端执行程序，用于监控远程计算机和配置服务器程序。在目标主机上植入木马，即运行G_Server.exe，作为服务器端，在另一台主机上运行G_Client.

15、exe，作为控制端。(2) 使用“冰河”对目标主机进行控制a) 查看服务端主机的网络连接状态。在DOS提示符下输入“netstat -an”，可以看到服务器端主机网络连接情况，注意7626端口的状态。运行G_Server.exe后，再查看服务端主机网络连接情况，注意7626端口的状态。b) 打开控制端程序，添加目标主机的IP地址等信息，进行连接，如出现目标主机内的盘符，表示连接成功。功能名功能添加主机将被监控端IP地址添加至主机列表，同时设置好口令及端口，设置将保存在“Iperate.ini”文件中，以后不必重输。如果需要修改设置，可以重新添加该主机、或在主界面工具栏内重新输入访问口令及端口并

16、保存设置删除主机将被监控端IP地址从主机列表中删除自动搜索搜索指定子网内安装有冰河的计算机查看屏幕查看被监控端屏幕屏幕控制远程模拟鼠标及键盘输入，其余功能同“查看屏幕”冰河信使点对点聊天室内，也就是传说中的“二人世界”升级1.2版本通过“GLUOSHI专版”的冰河来升级远程1.2版本的服务器程序修改远程配置在线修改访问口令、监听端口等服务器程序设置，不需要重新上传整个文件，修改后立即生效配置本地服务器程序在安装前对“G_Server.exe”进行配置(3) 控制服务器端计算机。对工具栏的各项功能进行操作：a) 如在工具栏里单击【冰河信使】，在弹出的对话框中输入一些文字“hello!”，单击【发

17、送】，这时服务器端被控制方计算机上也会出现同样的界面，并显示“hello!”。b) 在控制端主界面，单击【命令控制台】选项卡：l 打开【口令类命令】，其中包括3个子类，系统信息及口令、历史口令、击键记录。单击【系统信息及口令】，查看系统信息、开机口令、缓存口令和其他口令等。l 打开【控制类命令】，包括捕获屏幕、发送信息、进程管理、窗口管理、系统控制、鼠标控制、其他控制等。选择【进程管理】，单击【查看进程】按钮可以看到目标主机的进程。单击【捕获屏幕】，再单击【查看屏幕】按钮，可以看到被控制方计算机的主界面屏幕。l 单击【网络类命令】，进行网络控制，包括创建共享、删除共享、网络信息。单击【查看共享

18、】按钮，可以看到被控制方计算机里的共享信息。c) 其他功能还包括：l 文件类命令：目录增删、文本浏览、文件查找、压缩、复制、移动、上传、下载、删除、打开等。l 注册表读写：注册表键值读写、重命名、主键浏览、读写、重命名。 l 设置类命令：更换墙纸、更改计算机名、读取器端配置、在线修改服务配置。（4）删除方法1）删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。2）冰河会在注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersionRun下扎根，键值为C:/windows/system

19、/Kernel32.exe，删除它。3） 在注册表的HKEY_LOCAL_MACHINE/software/microsoft/windows/ CurrentVersion/Runservices下，还有键值为C:/windows/system/Kernel32.exe的，也要删除。4）最后，改注册表HKEY/CLASSES/ROOT/txtfile/shell/open/command下的默认值，由中木马后的C: /windows/system/Sysexplr.exe %1改为正常情况下的C:/windows/notepad.exe %1，即可恢复TXT文件关联功能实验四 Windows

20、中IPSec安全策略的配置（一）实验目的 通过IPsec安全策略的配置，了解IPsec协议的工作原理，掌握IPsec配置VPN网络的方法。（二）实验原理虚拟专用网（VPN）是在公共网络中建立的安全网络连接，在两点之间创建一个加密的通道，隧道化可以保护数据的完整性，机密性，并且需要使用机制建立身份认证。VPN有三种配置：主机到主机、主机到服务器、服务器到服务器。在主机到主机的VPN中，两台主机直接通信。在主机到服务器的VPN中计算机通过与网关连接的方法获取网络访问权限。服务器到服务器的配置是通过两个彼此之间存在隧道的网关服务器连接的。可以使用PPTP、L2TP机IPsec的方式实现VPN。IPS

21、ec是一组在网络层安全交换数据包的协议，作用于网络层。其不仅能保护数据，也能保护一些上层的头信息。IPSec有两种连接方式：传输和隧道。传输方法在两台计算机之间直接连接时使用，数据包使用此方法时源IP、目标IP是可见的，应用层和传输层信息被加密。隧道方法在主机到服务器、服务器到服务器配置中使用。在隧道方法中，上层的所有数据（包括IP头）均被加密，服务器之后的主机IP地址隐藏于数据包信息中，这就增加了一个额外的保护层，使得攻击者很难获取网络信息。（三）实验环境 两台装有Windows 2000/XP/2003的计算机，通过网络连接。（四）实验内容和步骤(1) 配置windows内置的IPsec安

22、全策略a) 单击一台主机桌面上的“开始”|“运行”|“输入mmc”。b) 在控制台界面中选择“文件”|“添加/删除管理单元”在“独立”选项卡中，单击“添加”按钮，添加“IP安全策略管理”（即IPSec）。c) 在控制台界面中，双击“IP安全策略”，在右边栏选择“安全服务器”->右击->属性。d) 选择“规则“选项卡中的“所有IP通讯量”，并单击“编辑”按钮。选择“身份验证方法”选项卡。选择“Kerberos”，单击“编辑”按钮。选择“使用此字符串”输入“123456”的密钥，单击“确定”按钮。e) 选择“规则“选项卡中的“所有ICMP通讯量”做同样配置f) 在原始界面中，选择“安全服务器”-&