太原理工大学信息安全技术与应用实验指导书(共17页)

1、信息安全技术课程实验-常用网络安全命令- PAGE 21 -信息安全技术(jsh)与应用(yngyng)课程(kchng)实验指导书实验一 常用网络安全命令一、命令帮助与窗口文本复制1. 显示 MS-DOS 命令帮助（1）打开命令提示符窗口；（2）在命令提示符下，键入想获得帮助的命令名，后接 /?，例如，键入ping/?可获得ping命令的帮助信息。2. 从命令提示符窗口中复制文本（1）右键单击命令提示符窗口的标题栏，指向“编辑”，然后单击“标记”； （2）单击要复制文本的起点；（3）按住 SHIFT 键，然后单击要复制文本的结尾（或者通过单击并拖动光标来选择文本）；（4）右键单击标题栏，指向

2、“编辑”，然后单击“复制”；（5）将光标放在要插入文本的位置，在基于 Windows 的程序中，单击“编辑”菜单，然后单击“粘贴”。二、实验内容1. ipconfig命令主要功能：显示本地主机IP地址、子网掩码、默认网关、MAC地址等。例1：C: ipconfig/all2. ping命令主要功能：目标主机的可达性、名称、IP地址、路由跳数、往返时间等。例2：C:ping or target_name3. tracert命令主要功能：路由跟踪、节点IP地址、节点时延、域名信息等。例3：C:tracert or 4. netstat命令主要功能：显示协议统计信息和当前TCP/IP网络连接。例4：

3、C:netstat a；C:netstat n；5. nbtstat命令主要功能：显示(xinsh)使用NBT （NetBIOS over TCP/IP）的协议统计和当前TCP/IP网络连接信息，可获得远程(yunchng)或本机的组名和机器名。例5：C:nbtstat a ；C:nbtstat n6. net命令(mng lng)主要功能：网络查询、在线主机、共享资源、磁盘映射、开启服务、关闭服务、发送消息、建立用户等。net命令功能十分强大，输入net help command可获得command的具体功能及使用方法。例5：C: net view；C: net view target_na

4、me；net send /domain: 计算机名（*为域内广播）消息三、实验要求由于常用网络安全命令功能强大、参数众多，在有限时间内不可能对所有命令参数进行实验。但要求每个命令至少选择两个参数进行实验，命令参数可以任意选择。命令执行后将执行结果复制到实验报告表格中，并对命令执行结果进行解释。四、实验报告文档要求常用网络安全命令实验报告要求提交纸质打印文档，实验报告以班为单位提交给实验指导教师。太原(ti yun)理工大学学生实验报告学院名称软件学院专业班级学号学生姓名实验日期成绩课程名称信息安全技术实验题目常用网络安全命令实验记录：实验地点虎峪校区致远楼SB303指导教师实验(shyn)二

5、端口扫描与安全(nqun)审计一、Nmap简介(jin ji)1. 基本功能与目标端口状态说明Nmap（Network Mapper）是开放源码的网络探测和端口扫描工具，具有主机发现、端口扫描、操作系统检测、服务和版本检测、逃避放火墙及入侵检测系统等功能。可从网站/nmap/下载不同操作系统版本的源代码和可执行程序，而且提供了详细的中文使用手册（/nmap/man/zh/）。Nmap以表格形式输出扫描目标的端口号、协议、服务名称和状态，端口状态分别用开放（open）、关闭（closed）、已过滤（filtered）和未过滤（unfiltered）表示。其中“开放”表示应用程序正在该端口监听连接

6、或分组；“关闭”表示没有应用程序在该端口监听；“已过滤”表示防火墙或其他过滤器封锁了该端口，Nmap无法知道该端口的状态；“未过滤”表示端口对Nmap探测有响应，但Nmap不能确定端口是开放还是关闭。Nmap有时也可能输出open|filtered或closed|filtered的状态组合，表示不能正确识别端口处于其中那一个状态。2. 命令(mng lng)格式与帮助Nmap命令(mng lng)格式：nmap Scan Type . Options target specification Nmap命令(mng lng)帮助：C:nmap（不带命令参数运行nmap）3. 常用扫描类型（1）-

7、sT (TCP connect() 端口扫描)；（2）-sS (TCP SYN 同步扫描)；（3）-sU (UDP端口扫描)；（4）-sN (Null扫描 ) ；（5）-sF 扫描 (FIN)（6）-sP（Ping扫描）；（7）-sX (Xmas扫描 )；（8）-sA (TCP ACK扫描，探测端口是否被过滤，open和closed端口返回RST报文，表示unfiltered，否则为filtered） （9）-sM (TCP Maimon扫描， Maimon发现BSD系统探测报文FIN-ACK，响应RST ) ；（10）-scanflags (定制TCP标志位URG， ACK，PSH， RST

8、，SYN，和FIN的任何组合设计扫描探测报文 ) （11）-sW (TCP窗口扫描) ；-sI (Idlescan盲扫描) ；-sO (IP协议扫描) 等，详细内容参考Nmap手册；（12）未指定扫描类型，默认扫描类型为TCP SYN 同步扫描。4. 命令参数选项（1）主机发现参数（也称ping扫描，但与ping 命令发送ICMP不同）-sL (列表扫描) 、-sP (Ping扫描) 、-P0 (无ping) 、-PS portlist (TCP SYN Ping) 、-PA portlist (TCP ACK Ping) 、-PU portlist (UDP Ping) 、-PR (ARP

9、Ping)等。（2）端口说明参数-p仅扫描指定端口。例如，-p22;-p1-65535;-pU:53,111,137,T:21-25,80,139,8080（其中U、T分别指定UDP和TCP端口）（3）服务和版本(bnbn)探测参数-sV (版本(bnbn)探测) 、-sR (RPC扫描(somio) （4）操作系统探测参数nmap-os-fingerprints文件包含了 1500多个已知操作系统的指纹信息。-O (操作系统检测) 、-A（同时启用操作系统和服务版本检测）（5）输出格式参数Nmap具有交互、标准、XML等5种不同输出格式，默认为交互式输出。-v (详细输出) 5. 目标地址规

10、范Nmap支持多种目标地址规范，包括单个目标IP地址、主机名称和网络地址。例如：（1）nmap -sP ，对目标主机 ping扫描；（2）nmap -sT ，对目标主机进行TCP connect()扫描；（3）nmap -v /24，扫描至55之间的256台目标主机，其中输出参数-v表示显示详细信息verbose；（4）nmap -v 10.0.0-255.1-254，扫描至54之间的所有IP地址；（5）nmap -v 0-255.0-255.13.37，扫描Internet所有以13.37结束的IP地址；（6）nmap -v -iR 1000 -P0 -p 80，随机选择1000个目标主机扫

11、描，其中-P0 表示无ping扫描。随机地址扫描格式为-iR ，其中-iR表示随机地址扫描，num hosts表示随机地址数。二、实验内容1. 安装nmap-4.01-setup.exe软件注意事项：采用nmap-4.01-setup.exe时将自动安装WinPcap分组捕获库，采用解压缩nmap-4.01-win32.zip时需事先安装WinPcap 分组捕获库。2. 局域网主机发现列表(li bio)扫描：nmap -sL 局域网地址(dzh)3. 扫描(somio)目标主机端口连续扫描目标主机端口：nmap r目标主机IP地址或名称4. 服务和版本检测目标主机服务和版本检测：nmap -

12、sV目标主机IP地址或名称5. 操作系统检测目标主机操作系统检测：nmap -O目标主机IP地址或名称6. 端口扫描组合应用nmap -v -A nmap -v -sP /16 /8nmap -v -iR 10000 -P0 -p 80图2.1：nmap sV 30图2.2：nmap v -iR10 P0 p80 图2.3：nmap v iR10 P0 p80 三、实验(shyn)要求由于(yuy)Nmap扫描(somio)功能强大、命令参数(cnsh)众多，在有限时间内不可能对所有命令参数进行实验。但实验内容中列举的扫描命令必须完成，也可以任意选择其他命令参数进行实验。命令执行后将执行结果复

13、制到实验报告表格中，并对命令执行结果进行解释。四、实验报告文档要求端口扫描与安全审计实验报告要求提交纸质打印文档，实验报告以班为单位提交给实验指导教师。太原(ti yun)理工大学学生实验报告学院名称软件学院专业班级学号学生姓名实验日期成绩课程名称信息安全技术实验题目端口扫描与安全审计实验记录：实验地点虎峪校区致远楼SB303指导教师学院名称软件学院专业班级学号学生姓名实验日期成绩课程名称信息安全技术实验题目网络入侵跟踪与分析实验记录：通过Ethereal协议分析回答下列问题（仅限于所捕获的Win2000-blaster.cap文件）：（a）感染主机每次随机生成多少个目标IP地址？20（b）扫

14、描多个端口还是一个端口？如果扫描一个端口，是那一个RPC调用端口？Filter: ip.src = 91 and tcp.dstport = 135 （见（d）：135（c）分别计算第二组与第一组扫描、第三组与第二组扫描之间的间隔时间，扫描间隔时间有规律吗？第二组与第一组扫描间隔时间：678.168ms第三组与第二组扫描间隔时间：528.105ms扫描间隔时间有规律。（d）共发送了多少个试探攻击分组？Filter: ip.src = 91 2006Filter: ip.src = 91 and tcp.dstport = 135或tcp.flags.syn=1 2002Filter: ip.s

15、rc = 91 and tcp.dstport != 135 4 不是攻击分组（e）有试探攻击分组攻击成功吗？如攻击成功，请给出感染主机的IP地址。如没有攻击成功的实例，说明为什么没有攻击成功？无攻击成功。因为：Filter：tcp.flags.syn=1&tcp.flags.ack=1 Display: 0 被攻击主机无正确响应。实验地点虎峪校区致远楼SB303指导教师实验四 网络入侵(rqn)检测系统一、网络入侵检测系统(xtng)Snort软件1. 简介(jin ji)Snort是当前国际上非常著名的基于误用检测的网络入侵检测系统开放源码软件，采用规则匹配机制检测网络分组是否违反了事先配

16、置的安全策略。安装在一台主机上就可以监测整个共享网段，一旦发现入侵和探测行为，具有将报警信息发送到系统日志、报警文件或控制台屏幕等多种实时报警方式。Snort不仅能够检测各种网络攻击，还具有网络分组采集、分析和日志记录功能。相对于昂贵与庞大的商用产品而言，Snort具有系统规模小、容易安装、容易配置、规则灵活和插件（plug-in）扩展等诸多优点。源代码和不同操作系统版本的可执行程序可从 网站免费下载。2. Snort系统组成Snort主要由分组协议分析器、入侵检测引擎、日志记录和报警模块组成。协议分析器的任务就是对协议栈上的分组进行协议解析，以便提交给入侵检测引擎进行规则匹配。入侵检测引擎根

17、据规则文件匹配分组特征，当分组特征满足检测规则时，触发指定的响应操作。日志记录将解析后的分组以文本或Tcpdump二进制格式记录到日志文件，文本格式便于分组分析，二进制格式提高记录速度。报警信息可以发送到系统日志；也可以采用文本或Tcpdump二进制格式发送到报警文件；也容许选择关闭报警操作。记录到报警文件的报警信息有完全和快速两种方式，完全报警记录分组首部所有字段信息和报警信息，而快速报警只记录分组首部部分字段信息。3. Win32 snort-2_0_0.exe安装双击snort-2_0_0.exe在安装目录下将自动生成snort文件夹，其中包含bin、etc、log、rules、doc、

18、contrib文件夹和snort-2_0_0.exe卸载程序Uninstall.exe。bin文件夹保存snort.exe可执行程序；snort配置文件snort.conf位于etc；日志文件和报警文件位于log；各种类型的规则检测文件位于rules；snort使用手册位于doc；contrib为snort支持者提供的各种辅助应用文件。注意事项：在安装(nzhung)snort-2_0_0.exe之前(zhqin)，应事先安装WinPcap 分组捕获(bhu)库。4. Snort配置在使用snort之前，需要根据保护网络环境和安全策略对snort进行配置，主要包括网络变量、预处理器、输出插件及

19、规则集的配置，位于etc的snort配置文件snort.conf可用任意文本编辑器打开。除内部网络环境变量HOME_NET之外，在大多数情况下，可以使用snort.conf的默认配置。用文本编辑器打开Snortetcsnort.conf文件，在设置网络变量步骤（Step #1: Set the network variables:）注释下找到“var HOME_NET any”，将any更换成自己机器所在子网的CIDR地址。例如，假设本机IP地址为23，将“var HOME_NET any” 更换成“var HOME_NET /24”或特定的本机地址“var HOME_NET 23/32”。假

20、设在C盘根目录下执行Snort命令，找到规则文件路径变量“var RULE_PATH rules”，将其修改为var RULE_PATH C:snortrules；找到“include classification.config”，将classification.config文件的路径修改为 include C:snortetcclassification.config；找到“include reference.config”，将reference.config文件的路径修改为 include C:snortetcreference.config。5. Snort命令格式与帮助Snort命令格

21、式：C:snortbinsnort -Options Snort命令帮助：C: snortbinsnort -?特别注意：Snort在Windows操作系统下要求给出命令执行的完整路径。6. Snort主要命令参数选项（1）-A alert：设置snort快速（fast）、完全（full）、控制台（console）或无（none）报警模式，alert取值full、fast、console或none其中之一。-A fast：快速报警模式仅记录时间戳（timestamp）、报警信息（alert message）、源IP地址、目标IP地址、源端口和目标端口；-A full：完全(wnqun)报警是s

22、nort默认(mrn)的报警模式，记录分组或报文首部所有(suyu)字段信息和报警信息；-A console：控制台报警模式将分组或报文首部和报警信息发送到控制台屏幕；-A none：关闭报警。（2）-c snort.conf：使用snort配置文件snort.conf；（3）-b：采用Tcpdump二进制格式将分组记录到日志文件；（4）-d：显示应用数据；（5）-e：显示数据链路层的首部信息；（6）-h ：指定本地网络（Home Network）IP地址；（7）-l ：将日志记录到指定的目录directory，默认日志目录是Snortlog；（8）-i ：在指定的网络接口上监听；（9）-r

23、：从Tcpdump文件中读取分组处理，而不监测网络分组；（10）-s：将报警信息发送到系统日志；（11）-v：详细输出（Be verbose）；（12）-V：显示Snort版本号；（13）-W：列出本机可用的网络接口（仅在Windows下有效）；（14）-w：显示IEEE802.11 WLAN的管理帧与控制帧；（15）-?：显示snort 的简要命令帮助。7. Snort入侵检测规则位于rules目录中的规则文件是Snort检测系统的入侵模式库，可以使用任意文本编辑器对规则文件进行修改。检测规则由规则头（Rule Header）和规则选项（Rule Option）组成，规则头定义了规则匹配行为

24、、协议类型、源IP地址、源端口、目标IP地址和目标端口等信息，规则选项定义了入侵特征和报警信息的内容。Snort检测规则的格式与语法参看计算机网络安全技术与应用教材第196页。二、实验内容1. snort-2_0_0.exe的安装与配置本实验(shyn)除安装snort-2_0_0.exe之外，还要求(yoqi)安装nmap-4.01-setup.exe网络(wnglu)探测和端口扫描软件。Nmap用于扫描实验合作伙伴的主机，Snort用于检测实验合作伙伴对本机的攻击。用写字板打开Snortetcsnort.conf文件对Snort进行配置。将var HOME_NET any中的any配置成本

25、机所在子网的CIDR地址；将规则路径变量RULE_PATH定义为C:snortrules；将分类配置文件路径修改为 include C:snortetcclassification.config；将引用配置文件路径修改为include C:snortetcreference.config。其余使用Snort配置文件中的默认设置，这里假设所有Snort命令都在C盘根目录下执行。2. Snort报警与日志功能测试用写字板打开C:Snortruleslocal.rules规则文件，添加Snort报警与日志功能测试规则：alert tcp any any - any any (msg:TCP traf

26、fic;)。执行命令：C:snortbinsnort -c snortetcsnort.conf -l snortlog -i 2如果在C:Snortlog目录中生成alert.ids报警文件和IP地址命名的日志文件，表明Snort配置正确，能够实施入侵报警和日志记录功能。特别提醒：测试Snort报警与日志功能以后，一定要删除掉添加的测试规则或在该规则前加#号变为注释！否则，随后的实验不能获得正确结果。3. 分组协议分析（1）TCP/UDP/ICMP/IP首部信息输出到屏幕上：C: snortbinsnort v -i n；n=1/2/3/4/5（2）TCP/UDP/ICMP/IP首部信息和应

27、用数据输出到屏幕上：C: snortbinsnort -vd -i n 或C: snortbinsnort -v d -i n；（命令选项可以任意结合，也可以分开）（3）将捕获的首部信息记录到指定的Snortlog目录，在log目录下将自动生成以主机IP地址命名的目录；C: snortbinsnort -v -l snortlog -i n；n=1/2/3/4/5（4）采用Tcpdump二进制格式将捕获的首部信息和应用数据记录到指定的Snortlog目录，在log目录下将自动生成snort.log日志文件，可以使用Ethereal或Tcpdump协议分析软件打开snort.log文件，也可以通

28、过-r snort.log选项用Snort输出到屏幕上。C: snortbinsnort -b -l snortlog -i n；n=1/2/3/4/54. 网络入侵(rqn)检测（1）实验合作伙伴相互(xingh)ping对方的主机，利用Snort检测(jin c)对本机的ping探测，在snortlog目录下将生成报警文件alert.ids：C:snortbinsnort -d -c snortetcsnort.conf -l snortlog -i n n=1/2/3/4/5 （2）实验合作伙伴利用“nmap -sT 目标主机IP地址或名称”命令TCP connect()扫描对方主机，以文本格式记录日志的同时，将报警信息发送到控制台屏幕（console）：C:snortbinsnort -c snortetcsnort.conf -l snortlog -A console -i n n=1/2/3/4/5（3）实验合作伙伴利用“nmap -O目标主机IP地址或名称”命令探测目标主机操作系统，以Tcpdump二进制格式记录日志的同时，将报警信息发送到控制台屏幕（cons