实验一 用X-SCAN进行网络安全扫描
【课程设计目的】
(1)掌握网络扫描技术及涉及的相关基本知识
(2)掌握使用流行的安全扫描工具X-SCAN进行安全扫描 (3)能够分析安全报表并利用安全报表进行安全加固
【实验环境】
硬件设备:PC、实验室小组局域网环境(建议有Internet环境)、NDIS 3.0+驱动的网络接口卡
软件环境:Windows 2000、WinXP、TCP/IP、X-SCAN
【实验基础】
流行扫描工具x-csan介绍
这是当今常用的一款扫描工具,软件的系统要求为:Windows 9x/NT4/2000/XP/2003,NDIS 3.0+驱动的网络接口卡。该软件采用多线程方式对指定IP地址段((或单机)进行安全漏洞检测,支持插件功能,提供了图形界面和命令行两种操作方式等„„
* 扫描内容包括:
•远程操作系统类型及版本 •标准端口状态
•SNMP信息,CGI漏洞,IIS漏洞,RPC漏洞,SSL漏洞 •SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER •NT-SERVER弱口令用户,NT服务器NETBIOS信息 •注册表信息等。
【实验准备】
(1)了解网络扫描技术、端口、漏洞的相关知识 (2)学习X-SCAN使用方法
(3)读懂安全报表及明确相应的加固工作
六.实验内容及步骤
第一步:先在Windows2000手工查看已开放的服务及初步判断安全漏洞
第二步:安装x-scan并完成参数配置
1.对本地机进行扫描(端口设置为TCP)
扫描结果如下:
2.对本地机进行扫描(端口设置为SYN)
扫描结果如下图所示:
第三步:分析扫描报表并登陆Internet进行相应加固
比如TCP扫描时的警告login (513/tcp)
远程主机正在运行\'rlogin\' 服务, 这是一个允许用户登陆至该主机并获得一个交互shell的远程登录守护进程。
事实上该服务是很危险的,因为数据并未经过加密- 也就是说, 任何人可以嗅探到客户机与服务器间的数据, 包括登陆名和密码以及远程主机执行的命令.应当停止该服务而改用openh 解决方案 : 在/etc/inetd.conf 中注释掉\'login\' 一行并重新启动inetd 进程.风险等级 : 低
又比如SYN扫描时的警告www (80/tcp)
webserver支持TRACE 和/或 TRACK 方式。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把\"Cro-Site-Tracing\"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。
解决方案: 禁用这些方式。
如果使用的是Apache, 在各虚拟主机的配置文件里添加如下语句: RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F]
如果使用的是Microsoft IIS, 使用URLScan工具禁用HTTP TRACE请求,或者只开放满足站点需求和策略的方式。
如果使用的是Sun ONE Web Server releases 6.0 SP2 或者更高的版本, 在obj.conf文件的默认object section里添加下面的语句: AuthTrans fn=\"set-variable\" remove-headers=\"transfer-encoding\" set-headers=\"content-length: -1\" error=\"501\"
第四步:对局域网内部主机进行扫描,发现可利用主机
扫描结果如下:
根据扫描出来的漏洞,发现可以利用网络执法官对这两台主机进行ARP攻击。
实验二 网络测试及监测
【实验目的】
(1)了解和掌握网络测试的一般方法 (2)掌握用CHARIOT测试局域网的带宽
(3)在WinXP下进行手工网络加速,比较前后的异同。 (4)在Win2000 Sever下安装并使用网络监视器
【实验环境】
硬件设备:整个实验室的局域网内的每台终端机上均可做此实验 软件环境:Windows XP、Windows 2000、TCP/IP
【实验基础】
局域网速度测试利器:CHARIOT是一款目前世界上唯一被广泛认可的应用层IP网络及网络设备的测试软件,它可提供端到端、多操作系统、多协议测试、多应用模拟测试,应用范围包括有线网、无线网、广域网及各种网络设备。可以进行网络故障定位、用户投诉分析、系统评估、网络优化等,能从用户角度测试网络或网络参数。
这款软件的基本组成包括CHARIOT控制台和Endpoint。CHARIOT控制台主要负责监视和统计工作,Endpoint负责流量测试工作,实际操作时Endpoint执行CHARIOT控制台发布的脚本命令,从而完成需要的测试(具体的工作流程图见图)。
实例1:测量网络中任意两个节点间的带宽
任务描述:假设我们要测量网络中A计算机192.168.13.8与B计算机192.168.13.7之间的实际带宽。
针对问题:局域网中的用户经常感到互访速度缓慢,此时我们可使用CHARIOT来查看网络连接情况。
第一步:首先在A、B计算机上运行CHARIOT的客户端软件Endpoint。运行endpoint.exe后,任务管理器中多了一个名为endpoint的进程。
第二步:被测量的机器已经准备好了,这时需要运行控制端CHARIOT,我们可以选择网络中的其他计算机,也可以在A或B计算机上直接运行CHARIOT。
第三步:在主界面中点击“New”按钮,接着点击“ADD PAIR”
第四步:在“Add an Endpoint Pair”窗口中输入Pair名称,然后在Endpoint1处输入A计算机的IP地址192.168.13.8,在Endpoint2处输入B计算机的IP地址192.168.13.7。按“select script”按钮并选择一个脚本,由于我们是在测量带宽,所以可选择软件内置的Throughput.scr脚本。
第五步:点击主菜单中的“RUN”启动测量工作。
第六步:软件会测试100个数据包从A计算机发送到B计算机的情况。由于软件默认的传输数据包很小所以测量工作很快就结束了。在结果中点击“THROUGHPUT”可以查看具体测量的带宽大小。下图显示了A与B计算机之间的实际最大带宽为80.727Mbps。
实例2:一次性测量两个方向
任务描述:实例1中为大家介绍了单向测量的方法,也就是只检测A到B的带
宽。然而,实际工作中,网络是单工或双工工作也是影响网络速度的主要因素,因此用CHARIOT进行测量时应该尽量建立双向PAIR而不是单向的,测量结果会显示出A到B的速度以及B到A的速度。
针对问题:A到B的传输速度很快,但B到A的速度却很慢,特别是在A、B同时从对方计算机复制文件到本机时最为明显。
前三步跟实例1一样;
第四步:在“Add an Endpoint Pair”窗口中输入Pair名称,然后在Endpoint1处输入B计算机的IP地址192.168.13.7,在Endpoint2处输入A计算机的IP地址192.168.13.8。按“select script”按钮并选择一个脚本,由于是测量带宽所以选择软件内置的Throughput.scr脚本。
第五步:现在,两对PAIR已经建立起来了(如图),点击主菜单中的“RUN”启动测量工作。
第六步:软件会将100个数据包从A计算机发送到B计算机,还会测量100个数据包从B发送到A的情况。在结果页面中点击“THROUGHPUT”标签可以查看具体测量的带宽大小。如图所示在下方图表中:
实例3:科学测量减小误差
任务描述:对于网络情况不稳定、经常出现速度波动的情况来说,在某一时刻测量速度存在一定的不确定因素,如何将误差降低到最小呢?我们可以采用科学测量法来解决这个问题,即采用平均值的方法。将所有测量值汇总在一起可以得到更接近真实数值的结果。
针对问题:网络传输速度非常不稳定,经常一会儿十几MB/s,一会儿只有几MB/s。
第一步:按照上面提到的方法安装CHARIOT并将客户端程序Endpoint安装在A与B计算机上。启动CHARIOT,点击“New”按钮。
第二步:点击“ADD PAIR”按钮建立一个新的Endpoint Pair。输入PAIR名称,然后在Endpoint1处输入A计算机的IP地址192.168.13.8,在Endpoint2处输入B计算机的IP地址192.168.13.7。按“select script”按钮选择
Throughput.scr脚本。
第三步:在Pair 1上点鼠标右键选择Copy将该测量项复制,然后连续向下粘贴9个这样的测量项。
第四步:点击“RUN”启动测量工作,我们在THROUGHPUT标签页中可以看出基本上每项带宽测量数值在10Mbps左右,在总和处我们可以看到最终结果是94Mbps,
基本接近100Mbps的真实值。
实例4:大包测量法
任务描述:虽然我们可以通过科学测量法减小误差,但由于默认数据包为100KB,所以总的数据检测量相对较小。对于带宽比较大的情况,例如100Mbps以上的网络或ISP提供的传输速度较快的时候,使用100KB数据包进行测量得出的结果不太准确。这时就需要通过修改默认数据包的大小以求测量结果更精确。
针对问题:网络带宽比较大或使用CHARIOT默认设置进行测量时误差过大。
在这个实例中,大多数步骤和上面所介绍的实例基本一致,因此这里只介绍修改数据包的方法。在我们建立测量PAIR并选择好Throughput.scr脚本后,点击“edit this script”按钮。在弹出的窗口下方file_size处,将该值修改为你希望的数值即可。这样在测量带宽时就会用你设置好大小的数据包进行传输了。根据实际环境设置数据包大小可以让我们的结果更准确。
实验三 ARP欺骗及网络执法官
【实验目的】
(1)掌握ARP欺骗的基本原理
(2)了解流行的ARP欺骗工具网络执法官的使用方法及危害 (3)能够进行基本ARP欺骗防范
【实验环境】
硬件设备:PC、实验室小组局域网环境、路由器取消IP/MAC绑定防欺骗功能 软件环境:Windows 2000、WinXP、TCP/IP、网络执法官
【实验准备】
(1)了解交换网络嗅探技术及相关知识 (2)学习ARP的基本原理
(3)掌握网络执法官的使用方法
【实验内容及步骤】
(这一步的数据由于当时在机房没有保存就丢失了,后来回宿舍后在自己电脑上补做的。)
第一步:在中了ARP病毒的机子上使用“ping”命令
发现不能ping通,在dos下键入命令“arp -d”清除所有arp,再键入静态绑定命令,绑定正确MAC地址,绑定好后,再键入“ping”命令,发现可以ping通。
结果如下图所示:
第二步:安装网络执法官并使用网络执法官
第三步:对局域网中的一台主机进行ARP攻击
在受到ARP攻击之前该主机可以“ping”通
第四步:检查受到攻击的主机的上网情况
在DOS下使用“ping”命令不能ping通
ARP欺骗分析
在OSI模型中,针对网络第二层的攻击可以使网络瘫痪或者通过非法获取密码等敏感信息来危及网络用户的安全。由于任何一位合法用户都能获取一个以太网端口的访问权限,而这些用户都有可能成为黑客;同时,由于设计OSI模型时,允许不同通信层处于相对独立的工作模式,而承载所有客户关键应用的网络第二层,成为了被攻击的目标。
ARP欺骗攻击是针对网络第二层攻击中的一种。ARP用来实现MAC地址和IP地址的绑定,两个工作站才可以通讯,通讯发起方的工作站以MAC广播方式发送ARP请求,拥有此IP地址的工作站给予ARP应答,送回自己的IP和MAC地址。
由于ARP无任何身份真实校验机制,黑客程序发送误导的主动式ARP使网络流量重指经过恶意攻击者的计算机,变成某个局域网段IP会话的中间人,达到窃取甚至篡改正常传输的功效。简单来讲,ARP欺骗的目的是为了实现全交换环境下的数据监听。大部分的木马或病毒使用ARP欺骗攻击也出于此目的。
一旦怀疑有ARP攻击,我们就可以使用抓包工具来抓包,如果发现网络内存在大量ARP应答包,并且将所有的IP地址都指向同一个MAC地址,就说明存在ARP欺骗攻击。该MAC地址就是用来进行ARP欺骗攻击的主机MAC地址,我们可以查出它对应的真实IP地址,从而采取相应的控制措施。另外,我们也可以到路由器或者网关交换机上查看IP地址与MAC地址的对应表。如果发现某一个MAC地址对应了大量的IP地址,就说明存在ARP欺骗攻击,同时可通过这个MAC地址查出用来ARP欺骗攻击的主机在交换机上所对应的物理端口,进行控制。
如何防范ARP欺骗
1.静态ARP绑定网关
(1)在能正常上网时,进入MS-DOS窗口,输入命令:arp -a,查看网关的IP对应的正确MAC地址, 并将其记录下来。
(2)手工绑定,可在MS-DOS窗口下运行以下命令: arp -s 网关IP 网关MAC 192.168.1.1 00-01-02-03-04-05 static 这时,类型变为静态(static),就不会再受攻击影响了。
2.作批处理文件
(1)查找本网段的网关地址,比如192.168.1.1,在正常上网时,“开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Addre。 比如:网关192.168.1.1 对应00-01-02-03-04-05。 (2)编写一个批处理文件rarp.bat,内容如下: @echo off arp -d arp -s 192.168.1.1 00-01-02-03-04-05 保存为:rarp.bat。
(3)运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”
中,如果需要立即生效,请运行此文件。 注意:以上配置需要在网络正常时进行
3.使用安全工具软件
下载Anti ARP Sniffer软件保护本地计算机正常运行。如果已有病毒计算机的MAC地址,可使用NBTSCAN等软件找出网段内与该MAC地址对应的IP,即感染病毒的计算机的IP地址,然后对其进行查封。
另外还可以利用木马杀客等安全工具进行查杀。
实验四:网页防篡改系统iGuard
【实验目的】
实验的目的在于了解网页防篡改的原理,掌握 Web 网站的配置过程, 熟悉iGuard网页防篡改系统的配置过程并会正确使用iGuard网页防篡改系统,从而使学生进一步增强对于网页防篡改保护机理的认识。
【实验要求】
(1)了解基本的HTML 标记及网页防篡改的原理 (2)熟悉 Web 网站的配置
(3)掌握 iGuard网页防篡改系统的配置及使用
【实验准备】 硬件 PC机三台
软件 iGuard安装系统
【背景描述】
外部网站因需要被公众访问而暴露于因特网上, 因此容易成为黑客的攻击目标。虽然目前已有防火墙、入侵检测等安全防范手段,但现代操作系统的复杂性和多样性导致系统漏洞层出不穷、防不胜防,黑客入侵和篡改页面的事件时有发生。 iGuard 网页防篡改系统通过服务器内嵌技术,使用密码技术,为每个需保护的对象(静态网页、执行脚本、二进制文件)计算出具有唯一性的数字水印。公众每次访问网页时,都将网页内容与数字水印进行对比计算;一旦发现网页被非法修改,则立即进行自动恢复,从而彻底地保证了非法网页内容不被公众浏览。 iGuard 的组成由以下三个部件组成:发布服务器(Statging Server)、同步服务器(SyncServer)和防篡改模块(AntiTamper Module)。 在物理上它们部署在两台机器上: 发布服务器部署在内部网中的一台独立服务器上,同步服务器和防篡改模块部署在 Web 服务器上。通过各部件之间的协同工作,实现了网页的自动同步和篡改保护功能。
iGuard 工作流程
在没有使用 iGuard 网页防篡改系统的情况下,用户利用专门的网站发布系统或者使用 FTP 软件或者直接使用文件拷贝将网页文件放到网站 Web 服务器上。在使用 iGuard 网页防篡改系统的情况下,网页文件的传送由 iGuard来完成。
1.正常上传网页
(1) 用户使用自己的网页发布方式 (如网站发布系统、FTP、RCP、文件拷贝等)将网页发布到发布服务器上。
(2)发布服务器对同步服务器进行身份鉴别,鉴别无误后使用安全散列函数计算出更新网页的数字水印, 将网页和数字水印安全传输到同步服务器。 (3) 同步服务器对发布服务器进行身份鉴别,并对传输过来的内容进行完整性检查;一切无误后将数字水印密文存放在安全数据库里,同时完成网页的更新。
2.内容保护过程
(1) 浏览器发出网页浏览请求,Web 服务器取得网页内容后,交给防篡改模块进行监测。
(2) 防篡改模块使用安全散列函数计算出欲发出的网页的数字水印,并与安全数据库中的数字水印相比对。
(3) 如果没找到数字水印或数字水印比对失败,即是可疑或被非法篡改的网页,防篡改模块向发布服务器报警。
(4) 发布服务器向发送警告信息给管理员,并重新同步和恢复可疑网页。 (5) Web 服务器将正确的网页发送给网页浏览者。
【实验步骤】
第一步:安装IIS系统
1.在控制面板中选择“添加/删除程序” ,在出现的对话框中选择“添 加/删除 Windows组件” 。
2.在出现的复选框中选择安装Internet 信息服务(IIS)。
第二步:上传网页到web服务器(假设ip地址为192.168.13.8)
第三步:配置 Web 服务器
(1) 打开 IIS 服务器的配置窗口。选择开始→控制面板→管理工具→Internet 服务管理器。
(2) 在打开的窗口中鼠标右击“默认 Web 站点” ,选择“属性”菜单。 (3) 在出现的“默认 Web 站点属性”窗口中,选择“网站”标签,设置Web 服务器的IP 地址。
(4)“主目录”标签,用以设置 Web 内容在硬盘中的位置,默认目录为“C:\\Inetpub\\Wwwroo” ,你可根据需要自己设置。
(5)在属性窗口处选择“文档”标签,添加自己默认的网站首页文件, 例如“a.html” 。
(6)确认默认的 Web 站点是否已经启动,如果没有可以鼠标右键点击 “默认 Web 站点” ,选择“启动” ,在打开的 IE地址栏中键入本机的IP 地址,即可看到自己指定的主页已经开始在 Internet 上发布了。
第四步:iGuard系统的安装次序
先在一台单独的服务器上(ip地址为192.168.13.9)安装发布服务器 (Staging Server) 软件,然后再在 Web 服务器上(ip地址为192.168.13.8)安装同步服务器(SyncServer)软件和防篡改模块(AntiTamper Module)。
一.发布服务器安装时需要注意的几个地方:
1.选择安装目录 安装程序会给出一个默认的安装目录, 用户也可以自己指定别的目录,需要注意的是目录的名称中不能使用空格或者汉字。
2.生成数字证书 在安装的过程中,安装程序会自动为 iGuard 发布服务器生成一个数字证书,出现以下消息框后,请按“确定”等待数字证书签发完成,这个过程可能需要2-5 秒钟。
3.MySql 数据库 。本系统的日志存储需要 MySql 数据库系统的支持。如果安装程序检测到机器上已经安装了 MySql 数据库系统,提示用户输入root 用户的密码。如果安装程序没有检测到 MySql 数据库系统,则会在本机上安装并启动 MySql 数据库系统。
后续工作:安装完发布服务器后,需要在 Web 服务器上安装同步服务器。为保证通信体的身份鉴别, 安装同步服务器时需要发布服务器的证书摘要数据文件,这个文件的位置在:
“发布服务器安装目录\\iguard.dat” 例:如果安装在默认安装目录下,则该文件的存放位置为:C:\\Tercel\\iGuard\\StagingServer\\iguard.dat。 需要把这个文件拷贝到合适的载体(闪存或软盘)中,供安装同步服务器时使用。
二.同步服务器和防篡改模块的安装
同步服务器安装时需要注意的几个地方:
1.选择安装目录 安装程序会给出一个默认的安装目录, 用户也可以自己指定别的目录,需要注意的是目录的名称中不能使用空格或者汉字。
2.发布服务器证书摘要数据文件 为保证通信实体的身份鉴别, 安装同步服务器时需要发布服务器的证书摘要数据文件,这个文件在发布服务器的如下位置:
“发布服务器安装目录\\iguard.dat” 例:如果发布服务器安装时被安装在默认安装目录下,则该文件在发布服务器的存放位置为: C:\\Tercel\\iGuard\\StagingServer\\iguard.dat。需要把这个文件拷贝到合适的载体(闪存或软盘)中,并在出现如下的窗口时给出该文件所在的路径。
后续工作: 同步服务器及防篡改模块安装完毕后, 同步服务器就已经自动运行,但防篡改模块还未正式工作。
第五步:启动发布服务器时需注意以下几个方面:
1.网站网页文件
检查在发布服务器的本地硬盘上是否已经保存有整个网站的页面文件的备份。
2.数据库系统运行 发布服务器的运行需要 MySql 数据库系统的支持,所以要确认一下MySql 是否在工作。 MySql 在安装好后以系统服务的形式运行,如果MySql 不工作可以用系统的服务管理器来启动 MySql。
3 同步服务器运行,启动发布服务器运行之前需检查一下iGuard同步服务器是否已运行。
4 最后启动发布服务器 运行“开始→程序→iGuard→发布服务器→启动发布服务器”。
第六步:初次使用向导 iGuard注册 第一次运行发布服务器的时候, 程序首先弹出“iGuard注册”窗口,完成iGuard软件的注册。
注册信息分别为:
注册用户名:中国地质大学
注册码:WASGK-5ZDC5-AGXUU-REAA7-4BIAA
第七步:输入 Web站点信息 Web站点名称:用这个名称来标识该Web站点,可以取任意简短明了的名字。 Web服务器的域名或IP地址:用这个域名/IP地址来连接Web服务器(同步服务器)。
第八步:输入主目录信息
在此输入Web主目录(有时也被称作Web文档根目录)的位置。
第九步:完成 发布服务器的基本配置至此完成,单击“完成”进入主程序。
第十步:启用防篡改模块 iGuard 防篡改模块是作为 IIS 的 ISAPI 筛选器来运行,在 IIS 中添加它的步骤如下:
1.运行“开始→程序→管理工具→Internet 服务管理器”(或“开始→设置→控制面板→管理工具→Internet 服务管理器”),选中本地计算机(图中为“COMPUTER”)中要保护的Web服务器(图中为“默认网站”)。 2.选择菜单“操作→属性”或点击右键快捷菜单中“属性”, 弹出该站点属性对话框。选择其中的“ISAPI筛选器”选项卡。单击“添加”,在筛选器属性窗口中输入: 筛选器名称:gg 可执行文件:“同步服务器安装目录\\plugin\\iGuard_iis.dll”
例如,如果安装在默认路径下,则可执行文件位置为: C:\\Tercel\\iGuard\\SyncServer\\plugin\\iGuard_iis.dll 然后点击“确定”。 3.回到上一级窗口,可以在“ISAPI筛选器”中看到刚才添加的内容,点击“确认”。
4.重新启动IIS, 然后检查刚才安装的ISAPI筛选器的状态是否为“已装载”(注意图中状态栏的绿色向上的箭头)。至此,iGuard整个系统正常运行。
第十一步:进入系统在运行环境完备并且基本配置正确的情况下,系统将正常启动,并且与同步服务器通信成功。
注意:如果发布服务器与同步服务器通信成功,服务器小图标会显示绿色,否则会显示灰色。 点击工具栏的“同步上传”按钮即可让本机主目录下的所有文件同步到Web服务器(同步服务器)的主目录下,并且保持完全相同的目录结构。
通过另一台主机访问如下图所示,证明网页上传成功。
第十二步:iGuard 系统工作
1. 修改同步服务器上的某个网页
2. 在其它电脑上访问同步服务器上的相应网页, 此时该网页无法访问。
3.发布服务器进行报警并自动恢复同步服务器上被篡改的网页。
4.网页重新恢复正常,可以访问。
