实训1、常用Windows网络安全命令

实验二、常用Windows网络安全命令一、实验目的掌握通过ping程序、Tracert程序、netstate程序、fport程序来了解本机和所在网络安全状况。二、实验内容ping程序可用来测试一个主机是否处于活动状态、到达时间等。黑客可以通过ping指令，利用TTL(Time-to-Live，活动时间)值鉴别操作系统的类型、判断目标主机的类型，为了防止黑客通过该方法判断目标主机类型，可以通过修改注册表相关选项来改变TTL值。Tracert程序可以用来获取到达某一主机经过的网络及路由器列表。该程序可以直接通过命令行来完成。Netstat程序可以用来获取到达某一主机经过的网络及路由器列表。Fport三、实验步骤任务一、Ping程序的使用PING(PacketInternetGrope)，因特网包探索器，用于测试网络连接量的程序oPing发送一个ICMP回声请求消息给目的地并报告是否收到所希望的ICMP回声应答。它是用来检查网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员或者黑客来说，ping命令是第一个必须掌握的DOS命令，它所利用的原理是这样的：网络上的机器都有唯一确定的IP地址，我们给目标IP地址发送一个数据包，对方就要返回一个同样大小的数据包，根据返回的数据包我们可以确定目标主机的存在，可以初步判断目标主机的操作系统等。1,使用Ping命令来验证连通性开始 运行 cmd键入ping，回车，显示所有的命令符编号参数描述1-tPing指定的计算机直到中断。2-a将地址解析为计算机名。3-ncount发送count指定的ECHO数据包数。默认值为4。

4-llength发送包含由length指定的数据量的ECHO数据包。默认为32字节；最大值是65,527。5-f在数据包中发送“不要分段”标志。数据包就不会被路由上的网关分段。6-ittl将“生存时间”字段设置为ttl指定的值。7—vtos将“服务类型”字段设置为tos指定的值。8-rcount在“记录路由”字段中记录传出和返回数据包的路由。count可以指定最少1台，最多9台计算机。9-scount指定count指定的跃点数的时间戳。10-jcomputer-list利用computer-list指定的计算机列表路由数据包。连续计算机可以被中间网关分隔（路由稀疏源）IP允许的最大数量为9。11-kcomputer-list利用computer-list指定的计算机列表路由数据包。连续计算机不能被中间网关分隔（路由严格源）IP允许的最大数量为9。12-wtimeout指定超时间隔，单位为毫秒。13destination-list指定要ping的远程计算机。Ping对方主机名或IP地址，如果联通，则返回信息。利用TTL返回值查看操作系统类型

、不同的操作系统，它的TTL值是不相同的。默认情况下，Linux系统的TTL值为64或255，WindowsNT/2000/XP系统的TTL值为128，Windows98系统的TTL值为32，UNIX主机的TTL值为255。通过注册表修改主机TTL值，来隐藏主机的操作系统类型。通过修改注册表可人为设定主机的TTL值，这样入侵者就无法根据TTL值来判断主机类型了。点击“开始一运行”在“运行”对话框中输入“regedit”命令并回车，弹出“注册表编辑器”对话框，展开“HKEY_LOCAL_MACHINE的子键System\CurrentControlSet\Services\Tcpip\Parameters”，新建一个双字节项。在键的名称中输入“DefaultTTL”，然后双击该键名，选择“基数”区域中的“十进制”单选项，在“数值数据”文本框中输入125。 址掛BTOUl常取10苦怀电）LLfnlLtQ~|ILiabL-feZ-fcE'xr'i•:UCDlQUjRUG-DiaujTIiitEvrTPHKDRVRlJG_E£FkJa_SIR£jd_DiaUjEW_SSRN_SKKlJInw_DiniDR£>]DiawR£n_DiaujKELS7BKJHEUDRN_E1RB.聶ILiabL-feZ-fcE'xr'i•:UCDlQUjRUG-DiaujTIiitEvrTPHKDRVRlJG_E£FkJa_SIR£jd_DiaUjEW_SSRN_SKKlJInw_DiniDR£>]DiawR£n_DiaujKELS7BKJHEUDRN_E1RB.聶R£>：DiaUDsia.|DbrpRv-«>-irvirl&X-iLREh込"[OIPLU*]WrtDsrniJMdB&SM-diLastSTFIlIclH>*・TrWnra)ra閘TWl>J-ahh>r»rmLJ_i.mM更P出£|.出▲比£|出固ESkBhul1“hIfHTWSVTPWTiprtm阳DtlTc5jFri■•辽LdrtkmttL*taaaXOXCdL⑴ic-auxiHE.JOE卿阳述IDE.SETEEOircOMXKii：0：iOkOZOZGCOL⑴tMKKOCOj(D)OaOZOZGCOJ血X-2tKaCflLDLB2-|QaDOOOUOOO回兀-EKMLQLIE3OhOZOZGCOL⑴MOHKQCOjan任务二、Tracert的使用Tracert（跟踪路由）是路由跟踪实用程序，用于确定IP数据报访问目标所采取的路径。Tracert命令用IP生存时间（TTL）字段和ICMP错误消息来确定从一个主机到网络上其它主机的路由。

c*C:\¥INDO¥S\syste>32\c>d.ezelicrosoftMindousXF~[版本5-1-2E00]：C>版权所有1985-2001MicrosoftCorp.XDocumentsandSettingsSfldministvatop>tpaceptIsage:tracei't[-dlIsage:tracei't[-dl[-hmaximuinjiopsJ[-jhost-listJE-wtimeoLit]target_nameJptionsJptions:-d-hmaximLim_}iops-jhost-list-wtimeoutDonotresolueaddressestohostnames.Maximumniimbei'ofhopstosearchfortargetLoosesourceroutealonghost-list_Waittimeoutmillisecondsforeachreply-::XDocumentsandSettingsSfldministpatoi'>任务三、Netstat命令Netstat命令可以帮助网络管理员了解网络的整体使用情况。它可以显示当前正在活动的网络连接的详细信息，例如显示网络连接、路由表和网络接口信息可以统计目前总共有哪些网络连接正在运行。利用netstat命令可以查看网络端口状态。运行一cmd输入netstat-an其中Proto表示使用的协议、LocalAddress表示使用的本地地址及端口，ForeignAddress表示目标地址和端口，State表示端口的状态。例如，“CLOSE_WAIT”表示正在关闭的端口，“LISTENING”表示端口正在开放TCF0-0-0.0:21-95 :9 LISTENINGNetstat的一些常用选项：netstat-a——显示所有连接和监听端口。包括已建立的连接(ESTABLISHED)，也包括监听连接请求(LISTENING)的那些连接。netstat-s——显示按协议统计信息。默认地，显示IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP和UDPv6的统计信息；如果你的应用程序(如Web浏览器)运行速度比较慢，或者不能显示Web页之类的数据，那么你就可以用本选项来查看一下所显示的信息。你需要仔细查看统计数据的各行，找到出错的关键字，进而确定问题所在netstat-e——本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量。netstat-r 本选项可以显示关于路由表的信息，类似于后面所讲使用routeprint命令时看到的信息。除了显示有效路由外，还显示当前有效的连接。netstat-n 以数字形式显示地址和端口号。netstat-b——显示包含于创建每个连接或监听端口的可执行组件。任务四、Fport程序fport为一款实用小程序，可以看到本机所有已经打开的端口及对应的应用程序及运行程序所在的目录位置。（未打开的端口不会显示）。它是命令行界面的。通过它可以帮助判断自己的电脑有无木马运行，但它不能直接识别木马。Fport实际上和Windows自带的命令netstat-a-n的功能极为接近，它主要的强项在于，不仅显示了端口号，而且把相应进程的ProcessID也显示出来。这有利于发现同一个进程是否在使用多个端口号。下载Fport并解压把fport.exe放在某个目录下，为了方便可以选根目录，这里我们选择D:\开始菜单->运行->cmd,回车输入D:,回车输入fport,回车现在你应该可以看到一个详细的表格，列出了端口号和ProcessID等信息。如果某个进程比较可疑，你可以百度搜索这个进程的名称和端口号，看看它是不是木马。rightZtltlt)byFoundstone,://www・foLProcessSv^teiTiSystemmqsucClsmnClsmnnqsvQSystemSystemMaxthonmqsucnqsuc964QQPort1351394451927103210511301295429582103210562671MM1MProtoPathTCPTCPCPCPCPCPCPCPCPTCPTCPrightZtltlt)byFoundstone,://www・foLProcessSv^teiTiSystemmqsucClsmnClsmnnqsvQSystemSystemMaxthonmqsucnqsuc964QQPort1351394451927103210511301295429582103210562671MM1MProtoPathTCPTCPCPCPCPCPCPCPCPTCPTCPTCPifpC：XWIND0WS\systeiii32\ii(isuc.exeC：\WIMD0WSXsystem32\CLsnin.exeC：\WIMDOWSXsystein32\CLsiin.exeC:\WIHDOWG\systcm32 .cxcC:\PrtjgramFilesSMaxthon\Maxthon.exeC：\WIMD0WSXsysteiii32Sji(isuc.exeC:\WIMDOIJGVsystem22Miqsuc.exeu:xwiiiDvwGxi .exeC:\WINDOUSXsysten)32\QQ.EXEZ^>工 uemJ^Suirlogon.exemasuRwinlogonClsmnwinlogonSystemnqsucSystemnqsuc1231371J844559019261?001YBB1?9935274500DPDPU1M"LDP

LDPLDPU：\WThlDOlJRX?tyRtRmjl2Xinfi5tun-fxrX??\C：XWINDOWS\systent32\winlogon.exeC：\WIMD0WSXsystein32\CLsiin.exeX??XC；XWINDOWSXs