网络安全课程设计报告.docx-淘文阁

资源描述

《网络安全课程设计报告.docx》由会员分享，可在线阅读，更多相关《网络安全课程设计报告.docx（24页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、网络安全课程设计报告试验一用X-SCAN进行网络平安扫描【课程设计目的】（1）驾驭网络扫描技术及涉及的相关基本学问（2）驾驭运用流行的平安扫描工具X-SCAN进行平安扫描（3）能够分析平安报表并利用平安报表进行平安加固【试验环境】硬件设备：PC、试验室小组局域网环境（建议有Internet环境）、NDIS 3.0+驱动的网络接口卡软件环境：Windows 2000、WinXP、TCP/IP、X-SCAN 【试验基础】流行扫描工具x-csan介绍这是当今常用的一款扫描工具，软件的系统要求为：Windows 9x/NT4/2000/XP/2003，NDIS 3.0+驱动的网络

2、接口卡。该软件采纳多线程方式对指定IP地址段(（或单机）进行平安漏洞检测，支持插件功能，供应了图形界面和吩咐行两种操作方式等 * 扫描内容包括：远程操作系统类型及版本标准端口状态 SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞 SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER NT-SERVER弱口令用户，NT服务器NETBIOS信息注册表信息等。【试验打算】（1）了解网络扫描技术、端口、漏洞的相关学问（2）学习X-SCAN运用方法（3）读懂平安报表及明确相应的加固工作六试验内容及步骤第一步：先在Windows2000手

3、工查看已开放的服务及初步推断平安漏洞其次步:安装x-scan并完成参数配置 1.对本地机进行扫描（端口设置为TCP）扫描结果如下： 2.对本地机进行扫描（端口设置为SYN）扫描结果如下图所示：第三步：分析扫描报表并登陆Internet进行相应加固比如TCP扫描时的警告login (513/tcp) 远程主机正在运行rlogin 服务, 这是一个允许用户登陆至该主机并获得一个交互shell的远程登录守护进程。事实上该服务是很危急的,因为数据并未经过加密- 也就是说, 任何人可以嗅探到客户机与服务器间的数据, 包括登陆名和密码以及远程主机执行的吩咐.应当停止该服务而改用openh 解决

4、方案 : 在/etc/inetd.conf 中注释掉login 一行并重新启动inetd 进程.风险等级 : 低又比如SYN扫描时的警告www (80/tcp) webserver支持TRACE 和/或 TRACK 方式。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞，通常在描述各种阅读器缺陷的时候，把Cro-Site-Tracing简称为XST。攻击者可以利用此漏洞欺瞒合法用户并得到他们的私人信息。解决方案: 禁用这些方式。假如运用的是Apache, 在各虚拟主机的配置文件里添加如下语句: RewriteEngine on Rewr

5、iteCond %REQUEST_METHOD (TRACE|TRACK) RewriteRule .* - F 假如运用的是Microsoft IIS, 运用URLScan工具禁用HTTP TRACE恳求，或者只开放满意站点需求和策略的方式。假如运用的是Sun ONE Web Server releases 6.0 SP2 或者更高的版本, 在obj.conf文件的默认object section里添加下面的语句: AuthTrans fn=set-variable remove-headers=transfer-encoding set-headers=content-length: -

6、1 error=501 第四步：对局域网内部主机进行扫描，发觉可利用主机扫描结果如下：依据扫描出来的漏洞，发觉可以利用网络执法官对这两台主机进行ARP攻击。试验二网络测试及监测【试验目的】（1）了解和驾驭网络测试的一般方法（2）驾驭用CHARIOT测试局域网的带宽（3）在WinXP下进行手工网络加速，比较前后的异同。（4）在Win2000 Sever下安装并运用网络监视器【试验环境】硬件设备：整个试验室的局域网内的每台终端机上均可做此试验软件环境：Windows XP、Windows 2000、TCP/IP 【试验基础】局域网速度测试利器：CHARIOT是一款目前世界

7、上唯一被广泛认可的应用层IP网络及网络设备的测试软件，它可供应端到端、多操作系统、多协议测试、多应用模拟测试，应用范围包括有线网、无线网、广域网及各种网络设备。可以进行网络故障定位、用户投诉分析、系统评估、网络优化等，能从用户角度测试网络或网络参数。这款软件的基本组成包括CHARIOT限制台和Endpoint。CHARIOT限制台主要负责监视和统计工作，Endpoint负责流量测试工作，实际操作时Endpoint执行CHARIOT限制台发布的脚本吩咐，从而完成须要的测试(详细的工作流程图见图)。实例1:测量网络中随意两个节点间的带宽任务描述：假设我们要测量网络中A计算机192.168.1

8、3.8与B计算机192.168.13.7之间的实际带宽。针对问题:局域网中的用户常常感到互访速度缓慢，此时我们可运用CHARIOT来查看网络连接状况。第一步:首先在A、B计算机上运行CHARIOT的客户端软件Endpoint。运行endpoint.exe后，任务管理器中多了一个名为endpoint的进程。其次步:被测量的机器已经打算好了，这时须要运行限制端CHARIOT，我们可以选择网络中的其他计算机，也可以在A或B计算机上干脆运行CHARIOT。第三步:在主界面中点击“New”按钮，接着点击“ADD PAIR” 第四步:在“Add an Endpoint Pair”窗口中输入Pair

9、名称，然后在Endpoint1处输入A计算机的IP地址192.168.13.8，在Endpoint2处输入B计算机的IP地址192.168.13.7。按“select script”按钮并选择一个脚本，由于我们是在测量带宽，所以可选择软件内置的Throughput.scr脚本。第五步:点击主菜单中的“RUN”启动测量工作。第六步:软件会测试100个数据包从A计算机发送到B计算机的状况。由于软件默认的传输数据包很小所以测量工作很快就结束了。在结果中点击“THROUGHPUT”可以查看详细测量的带宽大小。下图显示了A与B计算机之间的实际最大带宽为80.727Mbps。实例2:一次性测量两个方

10、向任务描述:实例1中为大家介绍了单向测量的方法，也就是只检测A到B的带宽。然而，实际工作中，网络是单工或双工工作也是影响网络速度的主要因素，因此用CHARIOT进行测量时应当尽量建立双向PAIR而不是单向的，测量结果会显示出A到B的速度以及B到A的速度。针对问题:A到B的传输速度很快，但B到A的速度却很慢，特殊是在A、B同时从对方计算机复制文件到本机时最为明显。前三步跟实例1一样；第四步：在“Add an Endpoint Pair”窗口中输入Pair名称，然后在Endpoint1处输入B计算机的IP地址192.168.13.7，在Endpoint2处输入A计算机的IP地址192.1

11、68.13.8。按“select script”按钮并选择一个脚本，由于是测量带宽所以选择软件内置的Throughput.scr脚本。第五步:现在，两对PAIR已经建立起来了（如图），点击主菜单中的“RUN”启动测量工作。第六步:软件会将100个数据包从A计算机发送到B计算机，还会测量100个数据包从B发送到A的状况。在结果页面中点击“THROUGHPUT”标签可以查看详细测量的带宽大小。如图所示在下方图表中：实例3:科学测量减小误差任务描述:对于网络状况不稳定、常常出现速度波动的状况来说，在某一时刻测量速度存在肯定的不确定因素，如何将误差降低到最小呢?我们可以采纳科学测量法来解决这个

12、问题，即采纳平均值的方法。将全部测量值汇总在一起可以得到更接近真实数值的结果。针对问题:网络传输速度特别不稳定，常常一会儿十几MB/s，一会儿只有几MB/s。第一步:根据上面提到的方法安装CHARIOT并将客户端程序Endpoint安装在A与B计算机上。启动CHARIOT，点击“New”按钮。其次步:点击“ADD PAIR”按钮建立一个新的Endpoint Pair。输入PAIR名称，然后在Endpoint1处输入A计算机的IP地址192.168.13.8，在Endpoint2处输入B计算机的IP地址192.168.13.7。按“select script”按钮选择 Throughput

13、.scr脚本。第三步:在Pair 1上点鼠标右键选择Copy将该测量项复制，然后连续向下粘贴9个这样的测量项。第四步:点击“RUN”启动测量工作，我们在THROUGHPUT标签页中可以看出基本上每项带宽测量数值在10Mbps左右，在总和处我们可以看到最终结果是94Mbps，基本接近100Mbps的真实值。实例4:大包测量法任务描述:虽然我们可以通过科学测量法减小误差，但由于默认数据包为100KB，所以总的数据检测量相对较小。对于带宽比较大的状况，例如100Mbps以上的网络或ISP供应的传输速度较快的时候，运用100KB数据包进行测量得出的结果不太精确。这时就须要通过修改默认数据包的

14、大小以求测量结果更精确。针对问题:网络带宽比较大或运用CHARIOT默认设置进行测量时误差过大。在这个实例中，大多数步骤和上面所介绍的实例基本一样，因此这里只介绍修改数据包的方法。在我们建立测量PAIR并选择好Throughput.scr脚本后，点击“edit this script”按钮。在弹出的窗口下方file_size处，将该值修改为你希望的数值即可。这样在测量带宽时就会用你设置好大小的数据包进行传输了。依据实际环境设置数据包大小可以让我们的结果更精确。试验三 ARP欺瞒及网络执法官【试验目的】（1）驾驭ARP欺瞒的基本原理（2）了解流行的ARP欺瞒工具网络执法官的运用方法及

15、危害（3）能够进行基本ARP欺瞒防范【试验环境】硬件设备：PC、试验室小组局域网环境、路由器取消IP/MAC绑定防欺瞒功能软件环境：Windows 2000、WinXP、TCP/IP、网络执法官【试验打算】（1）了解交换网络嗅探技术及相关学问（2）学习ARP的基本原理（3）驾驭网络执法官的运用方法【试验内容及步骤】（这一步的数据由于当时在机房没有保存就丢失了，后来回宿舍后在自己电脑上补做的。）第一步：在中了ARP病毒的机子上运用“ping”吩咐发觉不能ping通，在dos下键入吩咐“arp -d”清除全部arp，再键入静态绑定吩咐，绑定正确MAC地址，绑定好后，再键入“

16、ping”吩咐，发觉可以ping通。结果如下图所示：其次步：安装网络执法官并运用网络执法官第三步：对局域网中的一台主机进行ARP攻击在受到ARP攻击之前该主机可以“ping”通第四步：检查受到攻击的主机的上网状况在DOS下运用“ping”吩咐不能ping通 ARP欺瞒分析在OSI模型中，针对网络其次层的攻击可以使网络瘫痪或者通过非法获得密码等敏感信息来危及网络用户的平安。由于任何一位合法用户都能获得一个以太网端口的访问权限，而这些用户都有可能成为黑客；同时，由于设计OSI模型时，允许不同通信层处于相对独立的工作模式，而承载全部客户关键应用的网络其次层，成为了被攻击的目标。 ARP

17、欺瞒攻击是针对网络其次层攻击中的一种。ARP用来实现MAC地址和IP地址的绑定，两个工作站才可以通讯，通讯发起方的工作站以MAC广播方式发送ARP恳求，拥有此IP地址的工作站赐予ARP应答，送回自己的IP和MAC地址。由于ARP无任何身份真实校验机制，黑客程序发送误导的主动式ARP使网络流量重指经过恶意攻击者的计算机，变成某个局域网段IP会话的中间人，达到窃取甚至篡改正常传输的功效。简洁来讲，ARP欺瞒的目的是为了实现全交换环境下的数据监听。大部分的木马或病毒运用ARP欺瞒攻击也出于此目的。一旦怀疑有ARP攻击,我们就可以运用抓包工具来抓包，假如发觉网络内存在大量ARP应答包，并且将全部的

18、IP地址都指向同一个MAC地址，就说明存在ARP欺瞒攻击。该MAC地址就是用来进行ARP欺瞒攻击的主机MAC地址，我们可以查出它对应的真实IP地址，从而实行相应的限制措施。另外，我们也可以到路由器或者网关交换机上查看IP地址与MAC地址的对应表。假如发觉某一个MAC地址对应了大量的IP地址，就说明存在ARP欺瞒攻击，同时可通过这个MAC地址查出用来ARP欺瞒攻击的主机在交换机上所对应的物理端口，进行限制。如何防范ARP欺瞒 1.静态ARP绑定网关（1）在能正常上网时，进入MS-DOS窗口，输入吩咐：arp a，查看网关的IP对应的正确MAC地址，并将其记录下来。（2）手工绑定，可在MS

19、-DOS窗口下运行以下吩咐： arp s 网关IP 网关MAC 192.168.1.1 00-01-02-03-04-05 static 这时，类型变为静态（static），就不会再受攻击影响了。 2.作批处理文件（1）查找本网段的网关地址，比如19216811，在正常上网时，“起先运行cmd确定”，输入：arp a，点回车，查看网关对应的Physical Addre。比如：网关192.168.1.1 对应000102030405。（2）编写一个批处理文件rarp.bat，内容如下： echo off arp d arp -s 192.168.1.1 000102030405 保存为：r

20、arp.bat。（3）运行批处理文件将这个批处理文件拖到“Windows起先程序启动” 中，假如须要马上生效，请运行此文件。留意：以上配置须要在网络正常时进行 3.运用平安工具软件下载Anti ARP Sniffer软件爱护本地计算机正常运行。假如已有病毒计算机的MAC地址，可运用NBTSCAN等软件找出网段内与该MAC地址对应的IP，即感染病毒的计算机的IP地址，然后对其进行查封。另外还可以利用木马杀客等平安工具进行查杀。试验四：网页防篡改系统iGuard 【试验目的】试验的目的在于了解网页防篡改的原理，驾驭 Web 网站的配置过程，熟识iGuard网页防篡改系统的配置过程并会

21、正确运用iGuard网页防篡改系统，从而使学生进一步增加对于网页防篡改爱护机理的相识。【试验要求】（1）了解基本的HTML 标记及网页防篡改的原理（2）熟识 Web 网站的配置（3）驾驭 iGuard网页防篡改系统的配置及运用【试验打算】硬件 PC机三台软件 iGuard安装系统【背景描述】外部网站因须要被公众访问而暴露于因特网上，因此简单成为黑客的攻击目标。虽然目前已有防火墙、入侵检测等平安防范手段，但现代操作系统的困难性和多样性导致系统漏洞层出不穷、防不胜防，黑客入侵和篡改页面的事务时有发生。 iGuard 网页防篡改系统通过服务器内嵌技术，运用密码技术，为每个需爱护的

22、对象（静态网页、执行脚本、二进制文件）计算出具有唯一性的数字水印。公众每次访问网页时，都将网页内容与数字水印进行对比计算；一旦发觉网页被非法修改，则马上进行自动复原，从而彻底地保证了非法网页内容不被公众阅读。 iGuard 的组成由以下三个部件组成：发布服务器（Statging Server）、同步服务器（SyncServer）和防篡改模块（AntiTamper Module）。在物理上它们部署在两台机器上：发布服务器部署在内部网中的一台独立服务器上，同步服务器和防篡改模块部署在 Web 服务器上。通过各部件之间的协同工作，实现了网页的自动同步和篡改爱护功能。 iGuard 工作流程在没

23、有运用 iGuard 网页防篡改系统的状况下，用户利用特地的网站发布系统或者运用 FTP 软件或者干脆运用文件拷贝将网页文件放到网站 Web 服务器上。在运用 iGuard 网页防篡改系统的状况下，网页文件的传送由 iGuard来完成。 1.正常上传网页（1）用户运用自己的网页发布方式（如网站发布系统、FTP、RCP、文件拷贝等）将网页发布到发布服务器上。（2）发布服务器对同步服务器进行身份鉴别，鉴别无误后运用平安散列函数计算出更新网页的数字水印，将网页和数字水印平安传输到同步服务器。（3) 同步服务器对发布服务器进行身份鉴别，并对传输过来的内容进行完整性检查；一切无误后将数字水印

24、密文存放在平安数据库里，同时完成网页的更新。 2.内容爱护过程（1）阅读器发出网页阅读恳求，Web 服务器取得网页内容后，交给防篡改模块进行监测。（2) 防篡改模块运用平安散列函数计算出欲发出的网页的数字水印，并与平安数据库中的数字水印相比对。（3) 假如没找到数字水印或数字水印比对失败，即是可疑或被非法篡改的网页，防篡改模块向发布服务器报警。（4) 发布服务器向发送警告信息给管理员，并重新同步和复原可疑网页。（5) Web 服务器将正确的网页发送给网页阅读者。【试验步骤】第一步：安装IIS系统 1.在限制面板中选择“添加/删除程序” ，在出现的对话框中选择“添加/删除 Wi

25、ndows组件” 。 2.在出现的复选框中选择安装Internet 信息服务(IIS)。其次步：上传网页到web服务器（假设ip地址为192.168.13.8）第三步：配置 Web 服务器（1）打开 IIS 服务器的配置窗口。选择起先限制面板管理工具Internet 服务管理器。（2）在打开的窗口中鼠标右击“默认 Web 站点” ，选择“属性”菜单。（3）在出现的“默认 Web 站点属性”窗口中，选择“网站”标签，设置Web 服务器的IP 地址。（4）“主书目”标签，用以设置 Web 内容在硬盘中的位置，默认书目为“C:InetpubWwwroo” ，你可依据须要自己设置。

26、（5）在属性窗口处选择“文档”标签，添加自己默认的网站首页文件，例如“a.html” 。（6）确认默认的 Web 站点是否已经启动，假如没有可以鼠标右键点击 “默认 Web 站点” ，选择“启动” ，在打开的 IE地址栏中键入本机的IP 地址，即可看到自己指定的主页已经起先在 Internet 上发布了。第四步：iGuard系统的安装次序先在一台单独的服务器上（ip地址为192.168.13.9）安装发布服务器（Staging Server）软件，然后再在 Web 服务器上（ip地址为192.168.13.8）安装同步服务器（SyncServer）软件和防篡改模块（AntiTamp

27、er Module）。一.发布服务器安装时须要留意的几个地方： 1选择安装书目安装程序会给出一个默认的安装书目，用户也可以自己指定别的书目，须要留意的是书目的名称中不能运用空格或者汉字。 2生成数字证书在安装的过程中，安装程序会自动为 iGuard 发布服务器生成一个数字证书，出现以下消息框后，请按“确定”等待数字证书签发完成，这个过程可能须要2-5 秒钟。 3MySql 数据库。本系统的日志存储须要 MySql 数据库系统的支持。假如安装程序检测到机器上已经安装了 MySql 数据库系统，提示用户输入root 用户的密码。假如安装程序没有检测到 MySql 数据库系统，则会在本机上

28、安装并启动 MySql 数据库系统。后续工作：安装完发布服务器后，须要在 Web 服务器上安装同步服务器。为保证通信体的身份鉴别，安装同步服务器时须要发布服务器的证书摘要数据文件，这个文件的位置在： “发布服务器安装书目iguard.dat” 例：假如安装在默认安装书目下，则该文件的存放位置为：C:TerceliGuardStagingServeriguard.dat。须要把这个文件拷贝到合适的载体（闪存或软盘）中，供安装同步服务器时运用。二.同步服务器和防篡改模块的安装同步服务器安装时须要留意的几个地方： 1选择安装书目安装程序会给出一个默认的安装书目，用户也可以自己指定别的书

29、目，须要留意的是书目的名称中不能运用空格或者汉字。 2发布服务器证书摘要数据文件为保证通信实体的身份鉴别，安装同步服务器时须要发布服务器的证书摘要数据文件，这个文件在发布服务器的如下位置： “发布服务器安装书目iguard.dat” 例：假如发布服务器安装时被安装在默认安装书目下，则该文件在发布服务器的存放位置为： C:TerceliGuardStagingServeriguard.dat。须要把这个文件拷贝到合适的载体（闪存或软盘）中，并在出现如下的窗口时给出该文件所在的路径。后续工作：同步服务器及防篡改模块安装完毕后，同步服务器就已经自动运行，但防篡改模块还未正式工作。第五步：

30、启动发布服务器时需留意以下几个方面： 1.网站网页文件检查在发布服务器的本地硬盘上是否已经保存有整个网站的页面文件的备份。 2.数据库系统运行发布服务器的运行须要 MySql 数据库系统的支持，所以要确认一下MySql 是否在工作。 MySql 在安装好后以系统服务的形式运行，假如MySql 不工作可以用系统的服务管理器来启动 MySql。 3 同步服务器运行，启动发布服务器运行之前需检查一下iGuard同步服务器是否已运行。 4 最终启动发布服务器运行“起先程序iGuard发布服务器启动发布服务器”。第六步：初次运用向导 iGuard注册第一次运行发布服务器的时候，程序首先弹出“

31、iGuard注册”窗口，完成iGuard软件的注册。注册信息分别为：注册用户名：中国地质高校注册码：WASGK-5ZDC5-AGXUU-REAA7-4BIAA 第七步：输入 Web站点信息 Web站点名称：用这个名称来标识该Web站点，可以取随意简短明白的名字。 Web服务器的域名或IP地址：用这个域名/IP地址来连接Web服务器（同步服务器）。第八步：输入主书目信息在此输入Web主书目（有时也被称作Web文档根书目）的位置。第九步：完成发布服务器的基本配置至此完成，单击“完成”进入主程序。第十步：启用防篡改模块 iGuard 防篡改模块是作为 IIS 的 ISAPI 筛选器来

32、运行，在 IIS 中添加它的步骤如下： 1.运行“起先程序管理工具Internet 服务管理器”（或“起先设置限制面板管理工具Internet 服务管理器”），选中本地计算机（图中为“COMPUTER”）中要爱护的Web服务器（图中为“默认网站”）。 2.选择菜单“操作属性”或点击右键快捷菜单中“属性”，弹出该站点属性对话框。选择其中的“ISAPI筛选器”选项卡。单击“添加”，在筛选器属性窗口中输入：筛选器名称：gg 可执行文件：“同步服务器安装书目pluginiGuard_iis.dll” 例如，假如安装在默认路径下，则可执行文件位置为： C:TerceliGuardSyncServer

33、pluginiGuard_iis.dll 然后点击“确定”。 3.回到上一级窗口，可以在“ISAPI筛选器”中看到刚才添加的内容，点击“确认”。 4.重新启动IIS，然后检查刚才安装的ISAPI筛选器的状态是否为“已装载”（留意图中状态栏的绿色向上的箭头）。至此，iGuard整个系统正常运行。第十一步：进入系统在运行环境完备并且基本配置正确的状况下，系统将正常启动，并且与同步服务器通信胜利。留意：假如发布服务器与同步服务器通信胜利，服务器小图标会显示绿色，否则会显示灰色。点击工具栏的“同步上传”按钮即可让本机主书目下的全部文件同步到Web服务器（同步服务器）的主书目下，并且保持完全相同

34、的书目结构。通过另一台主机访问如下图所示，证明网页上传胜利。第十二步：iGuard 系统工作 1. 修改同步服务器上的某个网页 2. 在其它电脑上访问同步服务器上的相应网页，此时该网页无法访问。 3.发布服务器进行报警并自动复原同步服务器上被篡改的网页。 4.网页重新复原正常，可以访问。网络平安课程设计报告网络平安课程设计要求网络平安综合课程设计大纲网络平安课程设计心得体会计算机网络平安课程设计报告网络课程设计报告网络课程设计网络课程设计网络课程设计网络课程设计本文来源：网络收集与整理，如有侵权，请联系作者删除，谢谢！第24页共24页第 24 页共 24 页第 24 页共 24 页第 24 页共 24 页第 24 页共 24 页第 24 页共 24 页第 24 页共 24 页第 24 页共 24 页第 24 页共 24 页第 24 页共 24 页第 24 页共 24 页

展开阅读全文