反病毒实验报告Word下载.docx
- 文档编号:15139296
- 上传时间:2022-10-28
- 格式:DOCX
- 页数:19
- 大小:569.83KB
反病毒实验报告Word下载.docx
《反病毒实验报告Word下载.docx》由会员分享,可在线阅读,更多相关《反病毒实验报告Word下载.docx(19页珍藏版)》请在冰豆网上搜索。
实验一网络端口扫描
(一)实验目的
1.通过使用网络端口扫描器,了解端口扫描的用途及扫描原理
2.掌握Windows环境下使用SuperScan对主机端口进行扫描的方法。
(二)实验原理
一个开放的端口就是一条与计算机进行通信的信道,对端口的扫描可以得到目标计算机开放的服务程序、运行的系统版本信息。
扫描工具是对目标主机的安全性弱点进行扫描检测的软件。
它一般具有数据分析功能,通过对端口的扫描分析,可以发现目标主机开放的端口和所提供的服务,以及相应服务软件版本和这些服务及软件的安全漏洞,从而可以及时了解目标主机存在的安全隐患。
1、端口基本知识
端口是TCP协议定义的。
TCP协议通过套接字(socket)建立起两台计算机之间的网络连接。
套接字采用[IP地址:
端口号]的形式来定义。
通过套接字中不同的端口号来区别同一台计算机上开启的不同TCP和UDP连接进程。
对于两台计算机间的任一个TCP连接,一台计算机的一个[IP地址:
端口]套接字会和另一台计算机的一个[IP地址:
端口]套接字相对应,彼此标识着源端、目的端上数据包传输的源进程和目标进程。
这样网络上传输的数据包就可以由套接字中的IP地址和端口号找到需要传输的主机和连接进程了。
由此可见,端口和服务进程一一对应,通过扫描开放的端口,就可以判断出计算机中正在运行的服务进程。
TCP/UDP的端口号在0~65535范围之内,其中1024以下的端口保留给常用的网络服务。
例如:
21端口为FTP服务,23端口为TELNET服务,25端口为SMTP服务,80端口为HTTP服务,110端口为POP3服务等。
2、扫描原理
常用的端口扫描技术如下:
(1)TCPconnect()扫描
这是最基本的TCP扫描,操作系统提供的connect()系统调用可以用来与每一个感兴趣的目标计算机的端口进行连接。
如果端口处于监听状态,那么connect()就能成功。
否则,这个端口是不能用的,即没有提供服务。
使用这种方法可以检测到目标主机开放了那些端口。
这个技术的最大的优点是,不需要任何权限。
系统中的任何用户都有权利使用这个调用。
另一个好处就是速度,如果对每个目标端口以线性的方式,使用单独的connect()调用,那么将会花费相当长时间,使用者可以通过同时打开多个套接字来加速扫描。
使用非阻塞I/O允许设置一个低的时间用尽周期,同时观察多个套接字。
但这种方法的缺点是很容易被察觉,并且被防火墙将扫描信息包过滤掉。
目标计算机的logs文件会显示一连串的连接和连接出错信息,并且能很快使它关闭。
(2)TCPSYN扫描
这种扫描是向远程主机某端口发送一个只有SYN标志位的TCP数据包,如果收到了远程目标主机的SYN/ACK数据包,那么说明远程主机的该端口是打开的;
若没有收到远程目标主机的SYN/ACK数据包,而收到的是RST数据包,则说明远程主机的该端口没有打开。
这种扫描技术的优点在于一般不会在目标计算机上留下记录,但这种方法的缺点是必须要有root权限才能建立自己的SYN数据包。
(3)TCPFIN扫描
FIN是中断连接的数据包,很多日志不记录这类数据包。
TCPFIN扫描的原理是向目标端口发送FIN数据包,如果收到了RST的回复,表明该端口没有开放,反之该端口是开放的,因为打开的端口往往忽略对FIN的回复。
这种方法还可以用来区别操作系统是Windows,还是UNIX。
但是,有的系统不管端口是打开与否,一律回复RST。
这时,FIN扫描就不适用了。
(4)UDPICMP扫描
这种方法与上面几种方法不同的是它使用的UDP协议,由于UDP协议很简单,所以扫描变得相对比较困难。
这是由于打开的端口扫描探测并不发送确认信息,关闭的端口也并不需要发送一个错误数据包。
当向目标主机的一个未打开的UDP端口发送一个数据包时,会返回一个ICMP_PORT_UNREACHABLE错误,这样就会发现关闭的端口。
端口扫描器是黑客常用的工具,目前的扫描工具有很多种,例如Nmap、Netcat、X-Scan、port、PortScanner、Netscantools、Winscan、WUPS、Fscan、LANguardNetworkScanner、SuperScan等。
在本实验以SuperScan工具为例详细介绍扫描器的使用。
(三)实验环境
两台PC机,Windows2000/XP/2003操作系统,通过网络相连。
SuperSscan3.0软件。
(四)实验内容和步骤
SuperScan具有端口扫描、主机名解析、ping扫描的功能
练习1:
使用SuperScan进行域名解析、查看本机IP的配置信息
练习2:
使用SuperScan对本地主机进行端口扫描(检查21、23、139、3389端口是否开放)
练习3:
使用SuperScan对局域网的特定主机(IP地址自行确定)进行端口扫描
练习4:
使用SuperScan对局域网的某些主机(IP地址自行确定)进行在线检测
实验二网络嗅探
(一)实验目的
(1)掌握Wireshark嗅探器软件的使用方法,对嗅探到的数据包进行分析,判断网络状况。
(2)通过Wireshark分析以太网帧和ARP协议。
(二)实验原理
数据包嗅探器(亦称网络分析器或协议分析器)是可以截取并记录通过数据网络传送的数据通信量的计算机软件。
当数据流通过网络来回传输时,嗅探器可以“捕获”每个协议数据单元(PDU),并根据适当的RFC或其它规范对其内容进行解码和分析。
Wireshark的编程使其能够识别不同网络协议的结构。
因此,它可以显示PDU的封装和每个字段并可解释其含义。
局域网环境,PC机,安装Wireshark软件。
用Wireshark捕获网络中传输的Ping数据包。
(1)双击桌面上Wireshark图标,打开Wireshark窗口。
(2)设置过滤规则。
在主窗口中,单击【Filter】按钮,打开过滤器的设置界面,可以根据需要选取或直接输入过滤命令,支持and/or的功能连接。
这里输入ICMP。
(3)查看网络监听。
单击【Capture】|【Interface】查看可以进行监听的网络接口00003
(4)选择并设定监听接口并选择网络接口。
单击需要监听接口的选中按钮,可以进行监听接口的选择和设定,在【Interface】栏选定接口。
单击【Start】,开始在【Interface】栏选定的接口上进行嗅探、监听。
单击【close】回到【Interface】窗口。
00004
(5)进入网络嗅探状态。
单击【Capture】|【start】,即进入网络嗅探状态。
(6)结束监听。
当有需要的数据包出现或监听一段时间后,单击【Stop】按钮,结束监听并自动进入协议分析界面。
(7)对捕获的数据包进行相关分析。
实验三木马攻击与防范
(1)通过练习如何使用木马,理解并掌握木马的传播原理和运行机制
(2)通过手动删除木马,掌握防范木马的相关知识,提高对木马的防范意识。
特洛伊木马(简称木马),是一种基于远程控制的黑客工具,具有隐蔽性和破坏性的特点。
大多数木马与正规的远程控制软件功能相似。
但木马有一些明显的特点,例如,它的安装和操作都是在隐蔽之中完成。
攻击者经常将木马隐蔽在一些游戏或小软件中,诱使粗心的用户在自己的机器上运行。
最常见的情况是,用户从不正规的网站下载和运行了带恶意代码的软件,或者不小心点击了带恶意代码的邮件附件。
大多数木马包括客户端和服务器端两个部分。
攻击者利用一种称为绑定程序的工具将服务器绑定到某个合法软件上,只要用户运行被绑定的合法软件,木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。
通常,木马的服务器部分是可以定制的,攻击者可以定制的项目一般包括服务器运行的IP端口号,程序启动时机、如何发出调用、如何隐身、是否加密。
另外,攻击者还可以设置登录服务器的密码,确定通信方式。
木马攻击者既可以随心所欲地查看已被入侵的机器,也可以用广播方式发布命令,指示所有在他控制之下的木马一起行动,或者向更广泛的范围传播,或者做其他危险的事情。
木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样用户即使发现感染了木马,也很验证找到并清除它。
木马的危害越来越大,保障安全的最好办法就是熟悉木马的类型、工作原理,掌握如何检测和预防这些代码。
常见的木马,例如冰河、Netbus、网络神偷等,都是多用途的攻击工具包,功能非常全面,包括捕获屏幕、声音、视频内容的功能。
这些木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器,还能够寻找和窃取密码。
攻击者可以配置木马监听的端口、运行方式,以及木马是否通过Email、IRC或其他通信手段联系发起攻击的人。
一些危害大的木马还有一定的反侦测能力,能够采取各种方式隐藏自身,加密通信,甚至提供了专业级的API供其他攻击者开发附加的功能。
(三)实验环境
两台装有Windows2000/XP/2003的计算机,通过网络连接,使用“冰河”木马进行练习。
(四)实验内容和步骤
(1)“冰河”的安装。
“冰河”由两个文件组成:
a)G_Server.exe:
被监控端后台监控程序,在安装前可以先通过G_Client,对本地服务器程序功能进行一些特殊配置,例如是否将动态IP发送到指定信箱,改变监听端口、设置访问口令等。
b)G_Client.exe:
监控端执行程序,用于监控远程计算机和配置服务器程序。
在目标主机上植入木马,即运行G_Server.exe,作为服务器端,在另一台主机上运行G_Client.exe,作为控制端。
(2)使用“冰河”对目标主机进行控制
a)查看服务端主机的网络连接状态。
在DOS提示符下输入“netstat-an”,可以看到服务器端主机网络连接情况,注意7626端口的状态。
运行G_Server.exe后,再查看服务端主机网络连接情况,注意7626端口的状态。
b)打开控制端程序,添加目标主机的IP地址等信息,进行连接,如出现目标主机内的盘符,表示连接成功。
功能名
功能
添加主机
将被监控端IP地址添加至主机列表,同时设置好口令及端口,设置将保存在“Iperate.ini”文件中,以后不必重输。
如果需要修改设置,可以重新添加该主机、或在主界面工具栏内重新输入访问口令及端口并保存设置
删除主机
将被监控端IP地址从主机列表中删除
自动搜索
搜索指定子网内安装有冰河的计算机
查看屏幕
查看被监控端屏幕
屏幕控制
远程模拟鼠标及键盘输入,其余功能同“查看屏幕”
冰河信使
点对点聊天室内,也就是传说中的“二人世界”
升级1.2版本
通过“GLUOSHI专版”的冰河来升级远程1.2版本的服务器程序
修改远程配置
在线修改访问口令、监听端口等服务器程序设置,不需要重新上传整个文件,修改后立即生效
配置本地服务器程序
在安装前对“G_Server.exe”进行配置
(3)控制服务器端计算机。
对工具栏的各项功能进行操作:
a)如在工具栏里单击【冰河信使】,在
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 病毒 实验 报告