计算机网络安全实验报告

计算机网络安全实验报告指导老师：班级：学号：姓名：

第一次、密码破解技术1、Windows本地密码破解（LC）实验实验目的及要求掌握账号口令破解技术的基本原理、常用方法及相关工具掌握如何有效防范类似攻击的方法和措施实验原理获取用户口令的方式一般有如下几种方法，弱口令扫描，Sniffer密码嗅探，暴力破解，打探、套取或合成口令等手段。系统用户账号口令的破解主要是基于字符串匹配的破解方法。最基本的方法有两个，穷举法和字典法。穷举法是将字符或数字按照穷举的规则生成口令字符串，然后对账号口令进行遍历尝试。在口令组合稍微复杂的情况下，穷举法的破解速度很低。相对于穷举法，字典法相对来说效率较高，它是原理是，用口令字典中实现定义的常用字符去尝试匹配口令。由此看来，如果你的口令是一个单词或者是简单的数字组合，或者是你的生日等组合那么破解者合一很容易的破解口令。此次试验使用L0phtCrack工具进行暴力破解（穷举法和字典法都属于暴力破解）。实验环境操作系统：MicrosoftWindowsXPprofessional软件：L0phtCrackV6.0.15实验步骤在主机内建立用户，test1使用快速口令破解（用户密码设置为123123）空密码和简单密码一下就破解出来了，用时3秒普通口令破解（用户密码设置为security1）复杂一点的密码用快速破解无效，使用普通口令破解选项破解，用时18秒复杂口令破解（用户密码设置为security123）复杂密码用普通口令破解选项无法破解，使用复杂口令破解选项用时35秒。实验总结暴力破解理论上可以破解任何口令，但如果口令过于复杂，暴力破解需要的时间会很长，在这段时间内，增加了用户发现入侵和破解行为的机会，以采取某种措施来阻止破解，所以口令越复杂越好。一般设置口令要遵循这几项原则：①口令长度不小于8个字符；②包含有大写和小写的英文字母、数字和特殊符号的组合；③不包含姓名、用户名、单词、日期以及这几项的组合；④定期修改口令，并且对新口令做较大的改动。2、本地密码破解（pwdump）实验实验目的及要求掌握账号口令破解技术的基本原理、常用方法及相关工具掌握如何有效防范类似攻击的方法和措施实验原理攻击原理：获取用户口令的方式一般有如下几种方法，弱口令扫描，Sniffer密码嗅探，暴力破解，打探、套取或合成口令等手段。系统用户账号口令的破解主要是基于字符串匹配的破解方法。最基本的方法有两个，穷举法和字典法。穷举法是将字符或数字按照穷举的规则生成口令字符串，然后对账号口令进行遍历尝试。在口令组合稍微复杂的情况下，穷举法的破解速度很低。相对于穷举法，字典法相对来说效率较高，它是原理是，用口令字典中实现定义的常用字符去尝试匹配口令。由此看来，如果你的口令是一个单词或者是简单的数字组合，或者是你的生日等组合那么破解者合一很容易的破解口令。本次实验采用pwdump7.exe工具得到操作系统内保存的账号和hash值，利用ophcrack工具暴力匹配hash所对应的密码。实验环境操作系统：MicrosoftWindowsXPprofessional软件：pwdump7.exe、ophcrack实验步骤添加新用户test1,密码1234运行pwdump7.exe，得到本机上所以用户的账号和密码hash值，并保存在userP_h.txt中运行ophcrack软件，加载彩虹表xp_free_fast，点击Load按钮，选择Singlehash，将test1用户的hash值粘贴到弹出的对话框中，点击Crack进行破解得到破解结果实验总结暴力破解理论上可以破解任何口令，但如果口令过于复杂，暴力破解需要的时间会很长，在这段时间内，增加了用户发现入侵和破解行为的机会，以采取某种措施来阻止破解，所以口令越复杂越好。一般设置口令要遵循这几项原则：①口令长度不小于8个字符；②包含有大写和小写的英文字母、数字和特殊符号的组合；③不包含姓名、用户名、单词、日期以及这几项的组合；④定期修改口令，并且对新口令做较大的改动。3、本地密码直接查看实验实验目的及要求掌握用SAMInside工具破解本地系统账号口令的基本原理和方法掌握如何有效防范类似攻击的方法和措施实验原理攻击原理：获取用户口令的方式一般有如下几种方法，弱口令扫描，Sniffer密码嗅探，暴力破解，打探、套取或合成口令等手段。系统用户账号口令的破解主要是基于字符串匹配的破解方法。最基本的方法有两个，穷举法和字典法。穷举法是将字符或数字按照穷举的规则生成口令字符串，然后对账号口令进行遍历尝试。在口令组合稍微复杂的情况下，穷举法的破解速度很低。相对于穷举法，字典法相对来说效率较高，它是原理是，用口令字典中实现定义的常用字符去尝试匹配口令。由此看来，如果你的口令是一个单词或者是简单的数字组合，或者是你的生日等组合那么破解者合一很容易的破解口令。SAMInside能破解经Syskey工具对SAM密码进行加密的密码。原理是暴力破解。实验环境操作系统：MicrosoftWindowsXPprofessional软件：SAMInsideV、SAMCopyer实验步骤及结果使用Syskey工具对本地的SAM密码文件进行加密使用SAMInside工具破解Syskey加密过的密码利用小工具复制SAM和system文件（开机状态下无法复制）到c:/sam生成Syskey文件导入破解文件开始破解、破解成功实验总结暴力破解理论上可以破解任何口令，但如果口令过于复杂，暴力破解需要的时间会很长，在这段时间内，增加了用户发现入侵和破解行为的机会，以采取某种措施来阻止破解，所以口令越复杂越好。一般设置口令要遵循这几项原则：①口令长度不小于8个字符；②包含有大写和小写的英文字母、数字和特殊符号的组合；③不包含姓名、用户名、单词、日期以及这几项的组合；④定期修改口令，并且对新口令做较大的改动。第二次、网络扫描与嗅探1、网络连通性探测实验实验目的及要求了解网络连通性测试的方法和工作原理掌握ping命令的用法能够判断网络主机间是否连实验原理Ping原理：ping程序能够用来探测两个主机之间是否连通。它使用ICMP协议发送ICMP回送请求消息给目的主机，ICMP协议规定，目的主机必须返回ICMP回送应答消息给源主机。如果源主机在一定时间内收到应答，则认为主机可达。源主机在一定时间内未收到应答，并不肯定这个主机没有连接在网络上或者此IP不存在，因为可能是目的主机中的防火墙作了相应设置。实验环境操作系统：MicrosoftWindows7旗舰版软件：PING.EXE实验步骤与结果了解ping命令的详细参数说明查看目标主机是否在线实验结果显示，目标主机可能不在线，或者开启了防火墙。查看主机能否到达网关从返回结果显示，本主机能到达网关，说明网络是通的。实验总结通过ping命令能够查看主机网络的连通性是否正常。2、主机信息探测实验实验目的及要求了解网络扫描技术的基本原理掌握nmap工具的使用方法和各项功能通过使用namp工具，对网络中的主机信息等进行探测掌握针对网络扫描技术的防御方法实验原理主机信息探测的原理基于ICMPecho扫描的原理是：利用ICMP协议的规定判断主机是否在线，可以通过设置（防火墙等）让目标主机不回应。这种扫描方式不能算真正意义上的扫描。高级的ICMP扫描技术主要是利用ICMP协议最基本的用途——报错，若接收到的数据包协议项出现错误，那么接收端将产生一个“目标主机不可达”ICMP的错误报文，这个错误报文是根据协议自动产生的。全连接扫描是TCP端口扫描的基础，现有的全连接扫描有TCPconnect扫描和TCP反向查询扫描等。TCPconnect扫描的原理是：扫描主机通过TCP/IP协议的三次握手与目标主机的指定端口建立一次完整的连接。连接有系统调用connect开始。如果端口开放，则连接将建立成功；否则，返回-1则表示端口关闭。捡来连接成功：响应扫描主机的SYN/ACK连接请求，这一响应表明目标端口处于监听（打开）的状态。如果目标端口处于关闭状态，则目标主机会向扫描主机发送RST的响应。Nmap扫描工具介绍Nmap是俗称“扫描器之王”的工具软件。Nmap能得到被扫描主机端口的列表，给出端口的服务名（如果可能）、端口号、状态和协议等信息。根据使用的功能选项，Nmap也可以报告远程主机，使用的操作系统类型，TCP序列、运行绑定到每个端口上的应用程序的用户名、DNS名、主机地址是否欺骗地址等。实验环境操作系统：MicrosoftWindows7旗舰版软件：nmap实验步骤及结果主机信息探测（探测内容：主机是否在线。若在线该主机开放的端口和主机的操作系统信息。）查看nmap的命令帮助扫描局域网网段端口扫描（使用TCPSYN扫描探测0的主机信息）指定端口扫描操作系统信息扫描Ident扫描实验总结在使用计算机时要加强安全意识，对扫描软件的基本防范方法是使用防火墙并关闭不必要的端口。3、路由信息探测实验实验目的及要求了解路由的概念和工作原理掌握探测路由的工具的使用方法通过使用tracert工具，对网络中的路由信息等进行探测，学会排查网络故障实验原理Tracert（跟踪路由）是路由跟踪实用程序，用于确定IP数据包访问目标所采取的路径。Tracert命令用IP生存时间(TTL)字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由。通过向目标发送不同IP生存时间(TTL)值的“Internet控制消息协议(ICMP)”回应数据包，Tracert诊断程序确定到目标所采取的路由。要求路径上的每个路由器在转发数据包之前至少将数据包上的TTL递减1。数据包上的TTL减为0时，路由器应该将“ICMP已超时”的消息发回源系统。Tracert先发送TTL为1的回应数据包，并在随后的每次发送过程将TTL递增1，直到目标响应或TTL达到最大值，从而确定路由。通过检查中间路由器发回的“ICMP已超时”的消息确定路由。实验环境操作系统：MicrosoftWindows7旗舰版软件：tracert.exe实验步骤及结果Tracert命令的详细参数说明查看到达目的地所经过的路由-d参数不将地址解析成主机名指定跟踪的最大跳数实验总结根据整个实验的原理和流程，能够知道tracert工具的用途：能后排除网络中的故障。而避免路由信息探测的防范方法是：通过配置路由器，使路由器直接丢弃TTL过期的数据包，并屏蔽ICMP报文。4、域名信息探测实验实验目的及要求了解域名的概念和工作原理掌握探测域名的工具的使用方法和各项功能，如Nslookup等通过使用Nslookup工具，获得子域名信息实验原理域名是企业、政府、非政府组织等机构或者个人在域名注册商那里注册的名称，是互联网上企业或机构间相互联络的网络地址。它解决了IP在互联网中通讯不容易记忆的问题。域名的工作原理简答叙述为：主机要访问互联网上的某个网址，则它在自己的浏览器总输入网址，浏览器自动向DNS服务器发出请求，请求返回网址的IP，DNS服务器将查询到的IP返回给请求的主机，主机根据DNS返回的IP找到要访问的网站，从而实现访问。本次实验中使用Nslookup工具完成域名信息的查询。Nslookup是一个检测网络中DNS服务器是否能正确实现域名解析的命令行工具。实验环境操作系统：MicrosoftWindows7旗舰版软件：Nslookup.exe实验步骤查询域名信息：通过nslookup获得子域名：实验总结Nslookup是一个用于检测和排错的命令行工具，我们学会了对Nslookup的使用，将对我们对网络管理有很大的好处。第三次、网络欺骗技术1、ARP_DNS欺骗实验实验目的及要求在ARP欺骗技术的基础上进行DNS欺骗了解DNS欺骗的基本原理熟悉DNS欺骗的工具的使用，以及完成实验过程实验原理DNS欺骗原理：正常DNS请求的过程为：①用户在浏览器中输入需访问的网址>②计算机向DNS发出请求>③DNS经处理分析得到该网址对于的IP>④DNS将IP地址返回给请求的计算机>⑤用户正常登陆到所需要访问的网址。而DNS欺骗发生在③④⑤步，攻击者冒充域名服务器，然后将自己的网址冒名顶替真实网站。在③④步，攻击者将伪造DNS回复报告，返回的将是攻击者所指定的IP,第⑤步用户访问将是“陷阱网站”。 DNS欺骗实现：一般通过DNS服务器高速缓存中毒或者DNSID欺骗来实现。DNS服务器高速缓存中毒的原理是：攻击者通过欺骗的手法，修改了DNS缓存中的正确信息，实际上是对DNS高速缓存进行攻击，改变高速缓存中的信息，让DNS提供非正确的IP地址给用户，已达到攻击者的目的。DNSID欺骗原理是：攻击者通过截获域中DNS服务器返回给用户主机请求信息中的随机数，然后伪造一个DNS回复（伪造IP）给用户，已达到欺骗的目的。 网络欺骗软件Cain，可以实现网络嗅探、网络欺骗、破解加密口令、分析路由协议等功能，是本次实验的重要软件。实验环境操作系统：MicrosoftWindowsXPprofessional软件：Cain实验拓扑结构实验步骤将网络欺骗工具Cain安装在笔记本-02（IP：30）上。在笔记本-02上扫描局域网主机。（设置步骤如下）ARP欺骗伪装成网关ARP欺骗成功。ARP-DNS欺骗访问跳转到(湖北民族学院)主页,DNS欺骗成功。实验总结针对整个实验的原理和过程，总结出如下防范DNS攻击的几个观点：①通过手工修改本地hosts文件能够避免攻击；②加密主机对外的数据；③及时更新补丁，软件，采用专杀工具；④使用代理也能避免攻击；⑤加强管理人员思想上的意识，提高管理技能。本实验是在ARP欺骗的基础上进行的，在ARP欺骗的基础上可以嗅探出局域网内的众多重要信息，故在局域网内对ARP欺骗和DNS欺骗的防范很重要。2、ARP欺骗实验实验目的及要求通过ARP欺骗技术获取网站用户名、密码等信息了解ARP欺骗的基本原理熟悉ARP欺骗的工具的使用，以及完成实验。实验原理ARP欺骗原理：局域网内主机最终都是通过ARP协议进行通信的。当局域网内有ARP应答包的时候，局域网内主机会更新ARP缓存表。ARP欺骗原理是向局域网内主机广播ARP应答包，以冒充局域网内其它主机，其它主机收到ARP应答包，更新ARP缓存，相信冒充的主机，从而欺骗的主机达到欺骗的目的。若欺骗的主机向主机A冒充自己是主机B，向主机B冒充自己是主机A,主机A,B的通讯数据都经过欺骗的主机传输，这种ARP欺骗叫中间人攻击。若欺骗的主机欺骗一方，可使一方断网。实验拓扑结构实验环境操作系统：MicrosoftWindowsXPprofessional软件：Cain实验步骤将网络欺骗工具Cain安装在笔记本-02（IP：30）上。在笔记本-02上扫描局域网主机。（设置步骤如下）ARP欺骗伪装成网关ARP欺骗成功。实验总结ARP欺骗是局域网内常见的攻击形式，影响力也较大。要防范ARP欺骗，用户可采用双向绑定mac地址的方法防止ARP欺骗，局域网内主机上面绑定网关的网卡MAC地址，网关上也同样绑定你这台主机的静态MAC地址。或使用ARP防火墙来阻止ARP欺骗，这些都是常用的方法。3、MAC地址欺骗实验实验目的及要求了解MAC地址作用掌握查看MAC地址及修改MAC地址的方法实验原理MAC地址是烧制在网卡里面的一个字符串，一般能在全球范围内能唯一标识网卡本身。主机连接在网络中，会在主机网络中的路由器中建立一个IP地址与MAC地址的对应表，只有IP-MAC地址对应的合法注册主机才能得到正确的ARP应答，来控制IP-MAC不匹配的主机与外界通讯，达到防范IP地址的盗用。这能给管理员管理网络带来方便。MAC地址的作用就是最终标识主机，使主机能收发数据。实验环境操作系统：MicrosoftWindowsXPprofessional软件：ipconfig.exe实验步骤查看网卡的MAC地址修改MAC地址MAC地址发生变化，修改成功。实验总结通过以上方法可以完成MAC地址的修改，从而可以在某些进行了IP、MAC地址绑定的场景中，突破绑定。4、DOS攻击实验实验目的及要求掌握拒绝法务攻击软件的使用了解SQL注入的基本原理掌握拒绝服务攻击原理了解工具的各项功能能举一反三，使用其他类似工具完成注入实验原理拒绝服务攻击的目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，是得所有可用网络资源都被消耗殆尽，最终导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。Ping攻击原理：利用ping命令向目标主机发送大量的ICMPEcho请求，从而导致对方内存分配错误，造成tcp/ip堆栈崩溃，致使对方当机。实验环境操作系统：Web服务器(被攻击服务器):MicrosoftWindowsXPprofessional攻击端：MicrosoftWindows7旗舰版软件：蓝天CC攻击器（2.0）实验拓扑结构实验步骤搭建被攻击服务器服务器端设置的部分截图攻击端测试Web服务器搭建是否成功攻击Web服务器在攻击端进行攻击参数设置点击【开始攻击】后在Web服务器端查看服务器资源消耗情况攻击前Web服务器CPU占用为10%,网络基本上空闲攻击后Web服务器CPU占用为100%,网络开始繁忙实验总结DOS及DDOS攻击是一种常见的攻击方式，危害较大。我们可以采用加固操作系统，配置操作系统各种参数以及加固系统稳定性。同时利用防火墙技术，启动防DoS/DDOS属性，降低DOS攻击的可能，通过对报文种类、来源等各项特性设置阀值参数，保证主要服务稳定可靠的资源供给，同时优化路由和网络结构并对路由器进行正确的配置，也可以起到防范拒绝服务攻击的效果。第四次、日志清除技术1、Windows日志工具清除实验实验目的及要求了解IIS日志文件清除的基本原理。掌握CleanIISLog.exe工具的使用方法和各项功能。通过使用CleanIISLog.exe工具清除本机上的IIS日志。掌握针对日志清除攻击的防御方法。实验原理Windows日志原理：日志文件是一类文件系统的集合，通过对日志进行统计、分析、综合，可有效的掌握系统的运行状况。因此，无论是系统管理员还是黑客都极其重视日志文件。Windows的日志文件通常有应用程序日志，安全日志、系统日志、IIS日志等等，可能会根据服务器所开启的服务不同，日志的种类有所不同。应用程序日志主要跟踪应用程序关联的事件，比如应用程序产生的像装载DLL（动态链接库）失败的信息将出现在日志中。系统日志主要跟踪各种各样的系统事件，包括Windows系统组件出现的问题，比如跟踪系统启动过程中的事件、硬件和控制器的故障、启动时某个驱动程序加载失败等。安全日志主要跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。黑客入侵系统成功后第一件事便是清除日志，但是由于日志文件通常有某项服务在后台保护，因此在清除这些日志之前需要先停止他们的保护程序。守护系统日志、安全日志、应用程序日志的服务是EventLog，是Windows的关键进程，而且与注册表文件在一块，当Windows启动后，自动启动服务来保护这些文件。而在命令行下用netstopeventlog来停止EventLog是不能停止的，我们只有借助第三方工具，如elsave.exe来远程清除系统日志、安全日志和应用程序日志。守护iis日志的服务是w3svc。因此在删除iis日志之前要先通过命令：netstopw3svc停止w3svc服务。实验环境操作系统：MicrosoftWindows7旗舰版软件：CleanIISLog.exe实验拓扑实验步骤获取IIS日志文件的存放路径和文件名查看日志文件查看CleanIISLog软件帮助信息在17的主机上访问IIS中的网页使用CleanIISLog.exe清除IIS日志实验总结本实验通过CleanIISLog软件来修改日志文件中的内容，尤其是清除IP地址以及文件名称尤为有用，清除后，日志文件依然存在。2、Windows日志工具清除实验实验目的及要求熟悉各种日志存放的默认位置，查看方式掌握aio清除日志的方法掌握针对工具日志清除的防御方法实验原理Windows日志原理：日志文件是一类文件系统的集合，通过对日志进行统计、分析、综合，可有效的掌握系统的运行状况。因此，无论是系统管理员还是黑客都极其重视日志文件。Windows的日志文件通常有应用程序日志，安全日志、系统日志、IIS日志等等，可能会根据服务器所开启的服务不同，日志的种类有所不同。应用程序日志主要跟踪应用程序关联的事件，比如应用程序产生的像装载DLL（动态链接库）失败的信息将出现在日志中。系统日志主要跟踪各种各样的系统事件，包括Windows系统组件出现的问题，比如跟踪系统启动过程中的事件、硬件和控制器的故障、启动时某个驱动程序加载失败等。安全日志主要跟踪事件如登录上网、下网、改变访问权限以及系统启动和关闭。黑客入侵系统成功后第一件事便是清除日志，但是由于日志文件通常有某项服务在后台保护，因此在清除这些日志之前需要先停止他们的保护程序。守护系统日志、安全日志、应用程序日志的服务是EventLog，是Windows的关键进程，而且与注册表文件在一块，当Windows启动后，自动启动服务来保护这些文件。而在命令行下用netstopeventlog来停止EventLog是不能停止的，我们只有借助第三方工具，如elsave.exe来远程清除系统日志、安全日志和应用程序日志。守护iis日志的服务是w3svc。因此在删除iis日志之前要先通过命令：netstopw3svc停止w3svc服务。此次实验利用aio软件删除日志。aio软件功能强大，除了日志删除外，还可以用于账户拷贝、服务创建等。实验环境操作系统：MicrosoftWindows7旗舰版软件：aio.exe实验步骤查看Windows日志找到系统日志、应用程序日