實驗一用X-SCAN進行網絡安全掃描【課程設計目的】（1）掌握網絡掃描技術及涉及的相關基本知識（2）掌握使用流行的安全掃描工具X-SCAN進行安全掃描（3）能夠分析安全報表并利用安全報表進行安全加固【實驗環境】硬件設備：PC、實驗室小組局域網環境（建議有Internet環境）、NDIS3.0+驅動的網絡接口卡軟件環境：Windows2000、WinXP、TCP/IP、X-SCAN【實驗基礎】流行掃描工具x-csan介紹這是當今常用的一款掃描工具，軟件的系統要求為：Windows9x/NT4/2000/XP/2003，NDIS3.0+驅動的網絡接口卡。該軟件采用多線程方式對指定IP地址段(（或單機）進行安全漏洞檢測，支持插件功能，提供了圖形界面和命令行兩種操作方式等……*掃描內容包括：?遠程操作系統類型及版本?標準端口狀態?SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞?SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER?NT-SERVER弱口令用戶，NT服務器NETBIOS信息?注冊表信息等。【實驗準備】（1）了解網絡掃描技術、端口、漏洞的相關知識（2）學習X-SCAN使用方法（3）讀懂安全報表及明確相應的加固工作六．實驗內容及步驟第一步：先在Windows2000手工查看已開放的服務及初步判斷安全漏洞第二步:安裝x-scan并完成參數配置1.對本地機進行掃描（端口設置為TCP）掃描結果如下：對本地機進行掃描（端口設置為SYN）掃描結果如下圖所示：第三步：分析掃描報表并登陸Internet進行相應加固比如TCP掃描時的警告login(513/tcp)遠程主機正在運行'rlogin'服務,這是一個允許用戶登陸至該主機并獲得一個交互shell的遠程登錄守護進程。事實上該服務是很危險的,因為數據并未經過加密-也就是說,任何人可以嗅探到客戶機與服務器間的數據,包括登陸名和密碼以及遠程主機執行的命令.應當停止該服務而改用openssh解決方案:在/etc/inetd.conf中注釋掉'login'一行并重新啟動inetd進程.風險等級:低又比如SYN掃描時的警告www(80/tcp)webserver支持TRACE和/或TRACK方式。TRACE和TRACK是用來調試web服務器連接的HTTP方式。支持該方式的服務器存在跨站腳本漏洞，通常在描述各種瀏覽器缺陷的時候，把"Cross-Site-Tracing"簡稱為XST。攻擊者可以利用此漏洞欺騙合法用戶并得到他們的私人信息。解決方案:禁用這些方式。如果使用的是Apache,在各虛擬主機的配置文件里添加如下語句:

RewriteEngineon

RewriteCond%{REQUEST_METHOD}^(TRACE|TRACK)

RewriteRule.*-[F]如果使用的是MicrosoftIIS,使用URLScan工具禁用HTTPTRACE請求，或者只開放滿足站點需求和策略的方式。如果使用的是SunONEWebServerreleases6.0SP2或者更高的版本,在obj.conf文件的默認objectsection里添加下面的語句:

<Clientmethod="TRACE">

AuthTransfn="set-variable"

remove-headers="transfer-encoding"

set-headers="content-length:-1"

error="501"

</Client>第四步：對局域網內部主機進行掃描，發現可利用主機掃描結果如下：根據掃描出來的漏洞，發現可以利用網絡執法官對這兩臺主機進行ARP攻擊。實驗二網絡測試及監測【實驗目的】（1）了解和掌握網絡測試的一般方法（2）掌握用CHARIOT測試局域網的帶寬（3）在WinXP下進行手工網絡加速，比較前后的異同。（4）在Win2000Sever下安裝并使用網絡監視器【實驗環境】硬件設備：整個實驗室的局域網內的每臺終端機上均可做此實驗軟件環境：WindowsXP、Windows2000、TCP/IP【實驗基礎】局域網速度測試利器：CHARIOT是一款目前世界上唯一被廣泛認可的應用層IP網絡及網絡設備的測試軟件，它可提供端到端、多操作系統、多協議測試、多應用模擬測試，應用范圍包括有線網、無線網、廣域網及各種網絡設備。可以進行網絡故障定位、用戶投訴分析、系統評估、網絡優化等，能從用戶角度測試網絡或網絡參數。這款軟件的基本組成包括CHARIOT控制臺和Endpoint。CHARIOT控制臺主要負責監視和統計工作，Endpoint負責流量測試工作，實際操作時Endpoint執行CHARIOT控制臺發布的腳本命令，從而完成需要的測試(具體的工作流程圖見圖)。實例1:測量網絡中任意兩個節點間的帶寬任務描述：假設我們要測量網絡中A計算機與B計算機之間的實際帶寬。針對問題:局域網中的用戶經常感到互訪速度緩慢，此時我們可使用CHARIOT來查看網絡連接情況。第一步:首先在A、B計算機上運行CHARIOT的客戶端軟件Endpoint。運行endpoint.exe后，任務管理器中多了一個名為endpoint的進程。第二步:被測量的機器已經準備好了，這時需要運行控制端CHARIOT，我們可以選擇網絡中的其他計算機，也可以在A或B計算機上直接運行CHARIOT。第三步:在主界面中點擊“New”按鈕，接著點擊“ADDPAIR”第四步:在“AddanEndpointPair”窗口中輸入Pair名稱，然后在Endpoint1處輸入A計算機的IP地址，在Endpoint2處輸入B計算機的IP地址。按“selectscript”按鈕并選擇一個腳本，由于我們是在測量帶寬，所以可選擇軟件內置的Throughput.scr腳本。第五步:點擊主菜單中的“RUN”啟動測量工作。第六步:軟件會測試100個數據包從A計算機發送到B計算機的情況。由于軟件默認的傳輸數據包很小所以測量工作很快就結束了。在結果中點擊“THROUGHPUT”可以查看具體測量的帶寬大小。下圖顯示了A與B計算機之間的實際最大帶寬為80.727Mbps。實例2:一次性測量兩個方向任務描述:實例1中為大家介紹了單向測量的方法，也就是只檢測A到B的帶寬。然而，實際工作中，網絡是單工或雙工工作也是影響網絡速度的主要因素，因此用CHARIOT進行測量時應該盡量建立雙向PAIR而不是單向的，測量結果會顯示出A到B的速度以及B到A的速度。針對問題:A到B的傳輸速度很快，但B到A的速度卻很慢，特別是在A、B同時從對方計算機復制文件到本機時最為明顯。前三步跟實例1一樣；第四步：在“AddanEndpointPair”窗口中輸入Pair名稱，然后在Endpoint1處輸入B計算機的IP地址，在Endpoint2處輸入A計算機的IP地址。按“selectscript”按鈕并選擇一個腳本，由于是測量帶寬所以選擇軟件內置的Throughput.scr腳本。第五步:現在，兩對PAIR已經建立起來了（如圖），點擊主菜單中的“RUN”啟動測量工作。第六步:軟件會將100個數據包從A計算機發送到B計算機，還會測量100個數據包從B發送到A的情況。在結果頁面中點擊“THROUGHPUT”標簽可以查看具體測量的帶寬大小。如圖所示在下方圖表中：實例3:科學測量減小誤差任務描述:對于網絡情況不穩定、經常出現速度波動的情況來說，在某一時刻測量速度存在一定的不確定因素，如何將誤差降低到最小呢?我們可以采用科學測量法來解決這個問題，即采用平均值的方法。將所有測量值匯總在一起可以得到更接近真實數值的結果。針對問題:網絡傳輸速度非常不穩定，經常一會兒十幾MB/s，一會兒只有幾MB/s。第一步:按照上面提到的方法安裝CHARIOT并將客戶端程序Endpoint安裝在A與B計算機上。啟動CHARIOT，點擊“New”按鈕。第二步:點擊“ADDPAIR”按鈕建立一個新的EndpointPair。輸入PAIR名稱，然后在Endpoint1處輸入A計算機的IP地址，在Endpoint2處輸入B計算機的IP地址。按“selectscript”按鈕選擇Throughput.scr腳本。第三步:在Pair1上點鼠標右鍵選擇Copy將該測量項復制，然后連續向下粘貼9個這樣的測量項。第四步:點擊“RUN”啟動測量工作，我們在THROUGHPUT標簽頁中可以看出基本上每項帶寬測量數值在10Mbps左右，在總和處我們可以看到最終結果是94Mbps，基本接近100Mbps的真實值。實例4:大包測量法任務描述:雖然我們可以通過科學測量法減小誤差，但由于默認數據包為100KB，所以總的數據檢測量相對較小。對于帶寬比較大的情況，例如100Mbps以上的網絡或ISP提供的傳輸速度較快的時候，使用100KB數據包進行測量得出的結果不太準確。這時就需要通過修改默認數據包的大小以求測量結果更精確。針對問題:網絡帶寬比較大或使用CHARIOT默認設置進行測量時誤差過大。在這個實例中，大多數步驟和上面所介紹的實例基本一致，因此這里只介紹修改數據包的方法。在我們建立測量PAIR并選擇好Throughput.scr腳本后，點擊“editthisscript”按鈕。在彈出的窗口下方file_size處，將該值修改為你希望的數值即可。這樣在測量帶寬時就會用你設置好大小的數據包進行傳輸了。根據實際環境設置數據包大小可以讓我們的結果更準確。實驗三ARP欺騙及網絡執法官【實驗目的】（1）掌握ARP欺騙的基本原理（2）了解流行的ARP欺騙工具網絡執法官的使用方法及危害（3）能夠進行基本ARP欺騙防范【實驗環境】硬件設備：PC、實驗室小組局域網環境、路由器取消IP/MAC綁定防欺騙功能軟件環境：Windows2000、WinXP、TCP/IP、網絡執法官【實驗準備】（1）了解交換網絡嗅探技術及相關知識（2）學習ARP的基本原理（3）掌握網絡執法官的使用方法【實驗內容及步驟】（這一步的數據由于當時在機房沒有保存就丟失了，后來回宿舍后在自己電腦上補做的。）第一步：在中了ARP病毒的機子上使用“ping”命令發現不能ping通，在dos下鍵入命令“arp-d”清除所有arp，再鍵入靜態綁定命令，綁定正確MAC地址，綁定好后，再鍵入“ping”命令，發現可以ping通。結果如下圖所示：第二步：安裝網絡執法官并使用網絡執法官第三步：對局域網中的一臺主機進行ARP攻擊在受到ARP攻擊之前該主機可以“ping”通第四步：檢查受到攻擊的主機的上網情況在DOS下使用“ping”命令不能ping通

ARP欺騙分析在OSI模型中，針對網絡第二層的攻擊可以使網絡癱瘓或者通過非法獲取密碼等敏感信息來危及網絡用戶的安全。由于任何一位合法用戶都能獲取一個以太網端口的訪問權限，而這些用戶都有可能成為黑客；同時，由于設計OSI模型時，允許不同通信層處于相對獨立的工作模式，而承載所有客戶關鍵應用的網絡第二層，成為了被攻擊的目標。ARP欺騙攻擊是針對網絡第二層攻擊中的一種。ARP用來實現MAC地址和IP地址的綁定，兩個工作站才可以通訊，通訊發起方的工作站以MAC廣播方式發送ARP請求，擁有此IP地址的工作站給予ARP應答，送回自己的IP和MAC地址。由于ARP無任何身份真實校驗機制，黑客程序發送誤導的主動式ARP使網絡流量重指經過惡意攻擊者的計算機，變成某個局域網段IP會話的中間人，達到竊取甚至篡改正常傳輸的功效。簡單來講，ARP欺騙的目的是為了實現全交換環境下的數據監聽。大部分的木馬或病毒使用ARP欺騙攻擊也出于此目的。一旦懷疑有ARP攻擊,我們就可以使用抓包工具來抓包，如果發現網絡內存在大量ARP應答包，并且將所有的IP地址都指向同一個MAC地址，就說明存在ARP欺騙攻擊。該MAC地址就是用來進行ARP欺騙攻擊的主機MAC地址，我們可以查出它對應的真實IP地址，從而采取相應的控制措施。另外，我們也可以到路由器或者網關交換機上查看IP地址與MAC地址的對應表。如果發現某一個MAC地址對應了大量的IP地址，就說明存在ARP欺騙攻擊，同時可通過這個MAC地址查出用來ARP欺騙攻擊的主機在交換機上所對應的物理端口，進行控制。如何防范ARP欺騙1.靜態ARP綁定網關（1）在能正常上網時，進入MS-DOS窗口，輸入命令：arp－a，查看網關的IP對應的正確MAC地址，并將其記錄下來。（2）手工綁定，可在MS-DOS窗口下運行以下命令：arp－s網關IP網關MAC00-01-02-03-04-05static這時，類型變為靜態（static），就不會再受攻擊影響了。2.作批處理文件（1）查找本網段的網關地址，比如192．168．1．1，在正常上網時，“開始→運行→cmd→確定”，輸入：arp－a，點回車，查看網關對應的PhysicalAddress。比如：網關對應00－01－02－03－04－05。（2）編寫一個批處理文件rarp.bat，內容如下：@echooffarp－darp-s00－01－02－03－04－05保存為：rarp.bat。（3）運行批處理文件將這個批處理文件拖到“Windows→開始→程序→啟動”中，如果需要立即生效，請運行此文件。注意：以上配置需要在網絡正常時進行3.使用安全工具軟件下載AntiARPSniffer軟件保護本地計算機正常運行。如果已有病毒計算機的MAC地址，可使用NBTSCAN等軟件找出網段內與該MAC地址對應的IP，即感染病毒的計算機的IP地址，然后對其進行查封。另外還可以利用木馬殺客等安全工具進行查殺。實驗四：網頁防篡改系統iGuard【實驗目的】實驗的目的在于了解網頁防篡改的原理，掌握Web網站的配置過程，熟悉iGuard網頁防篡改系統的配置過程并會正確使用iGuard網頁防篡改系統，從而使學生進一步增強對于網頁防篡改保護機理的認識。【實驗要求】（1）了解基本的HTML標記及網頁防篡改的原理（2）熟悉Web網站的配置（3）掌握iGuard網頁防篡改系統的配置及使用【實驗準備】硬件PC機三臺軟件iGuard安裝系統【背景描述】外部網站因需要被公眾訪問而暴露于因特網上，因此容易成為黑客的攻擊目標。雖然目前已有防火墻、入侵檢測等安全防范手段，但現代操作系統的復雜性和多樣性導致系統漏洞層出不窮、防不勝防，黑客入侵和篡改頁面的事件時有發生。iGuard網頁防篡改系統通過服務器內嵌技術，使用密碼技術，為每個需保護的對象（靜態網頁、執行腳本、二進制文件）計算出具有唯一性的數字水印。公眾每次訪問網頁時，都將網頁內容與數字水印進行對比計算；一旦發現網頁被非法修改，則立即進行自動恢復，從而徹底地保證了非法網頁內容不被公眾瀏覽。iGuard的組成由以下三個部件組成：發布服務器（StatgingServer）、同步服務器（SyncServer）和防篡改模塊（AntiTamperModule）。在物理上它們部署在兩臺機器上：發布服務器部署在內部網中的一臺獨立服務器上，同步服務器和防篡改模塊部署在Web服務器上。通過各部件之間的協同工作，實現了網頁的自動同步和篡改保護功能。iGuard工作流程在沒有使用iGuard網頁防篡改系統的情況下，用戶利用專門的網站發布系統或者使用FTP軟件或者直接使用文件拷貝將網頁文件放到網站Web服務器上。在使用iGuard網頁防篡改系統的情況下，網頁文件的傳送由iGuard來完成。1.正常上傳網頁（1）用戶使用自己的網頁發布方式（如網站發布系統、FTP、RCP、文件拷貝等）將網頁發布到發布服務器上。（2）發布服務器對同步服務器進行身份鑒別，鑒別無誤后使用安全散列函數計算出更新網頁的數字水印，將網頁和數字水印安全傳輸到同步服務器。（3)同步服務器對發布服務器進行身份鑒別，并對傳輸過來的內容進行完整性檢查；一切無誤后將數字水印密文存放在安全數據庫里，同時完成網頁的更新。2.內容保護過程（1）瀏覽器發出網頁瀏覽請求，Web服務器取得網頁內容后，交給防篡改模塊進行監測。（2)防篡改模塊使用安全散列函數計算出欲發出的網頁的數字水印，并與安全數據庫中的數字水印相比對。（3)如果沒找到數字水印或數字水印比對失敗，即是可疑或被非法篡改的網頁，防篡改模塊向發布服務器報警。（4)發布服務器向發送警告信息給管理員，并重新同步和恢復可疑網頁。（5)Web服務器將正確的網頁發送給網頁瀏覽者。【實驗步驟】第一步：安裝IIS系統1.在控制面板中選擇“添加/刪除程序”，在出現的對話框中選擇“添加/刪除Windows組件”。2.在出現的復選框中選擇安裝Internet信息服務(IIS)。第二步：上傳網頁到web服務器（假設ip地址為）第三步：配置Web服務器打開IIS服務器的配置窗口。選擇開始→控制面板→管理工具→Internet服務管理器。在打開的窗口中鼠標右擊“默認Web站點”，選擇“屬性”菜單。在出現的“默認Web站點屬性”窗口中，選擇“網站”標簽，設置Web服務器的IP地址。（4）“主目錄”標簽，用以設置Web內容在硬盤中的位置，默認目錄為“C:\Inetpub\Wwwroo”，你可根據需要自己設置。（5）在屬性窗口處選擇“文檔”標簽，添加自己默認的網站首頁文件，例如“a.html”。確認默認的Web站點是否已經啟動，如果沒有可以鼠標右鍵點擊“默認Web站點”，選擇“啟動”，在打開的IE地址欄中鍵入本機的IP地址，即可看到自己指定的主頁已經開始在Internet上發布了。第四步：iGuard系統的安裝次序先在一臺單獨的服務器上（ip地址為）安裝發布服務器（StagingServer）軟件，然后再在Web服務器上（ip地址為）安裝同步服務器（SyncServer）軟件和防篡改模塊（AntiTamperModule）。發布服務器安裝時需要注意的幾個地方：1．選擇安裝目錄安裝程序會給出一個默認的安裝目錄，用戶也可以自己指定別的目錄，需要注意的是目錄的名稱中不能使用空格或者漢字。2．生成數字證書在安裝的過程中，安裝程序會自動為iGuard發布服務器生成一個數字證書，出現以下消息框后，請按“確定”等待數字證書簽發完成，這個過程可能需要2-5秒鐘。3．MySql數據庫。本系統的日志存儲需要MySql數據庫系統的支持。如果安裝程序檢測到機器上已經安裝了MySql數據庫系統，提示用戶輸入root用戶的密碼。如果安裝程序沒有檢測到MySql數據庫系統，則會在本機上安裝并啟動MySql數據庫系統。后續工作：安裝完發布服務器后，需要在Web服務器上安裝同步服務器。為保證通信體的身份鑒別，安裝同步服務器時需要發布服務器的證書摘要數據文件，這個文件的位置在：“發布服務器安裝目錄\iguard.dat”例：如果安裝在默認安裝目錄下，則該文件的存放位置為：C:\Tercel\iGuard\StagingServer\iguard.dat。需要把這個文件拷貝到合適的載體（閃存或軟盤）中，供安裝同步服務器時使用。同步服務器和防篡改模塊的安裝同步服務器安裝時需要注意的幾個地方：1．選擇安裝目錄安裝程序會給出一個默認的安裝目錄，用戶也可以自己指定別的目錄，需要注意的是目錄的名稱中不能使用空格或者漢字。2．發布服務器證書摘要數據文件為保證通信實體的身份鑒別，安裝同步服務器時需要發布服務器的證書摘要數據文件，這個文件在發布服務器的如下位置：“發布服務器安裝目錄\iguard.dat”例：如果發布服務器安裝時被安裝在默認安裝目錄下，則該文件在發布服務器的存放位置為：C:\Tercel\iGuard\StagingServer\iguard.dat。需要把這個文件拷貝到合適的載體（閃存或軟盤）中，并在出現如下的窗口時給出該文件所在的路徑。后續工作：同步服務器及防篡改模塊安裝完畢后，同步服務器就已經自動運行，但防篡改模塊還未正式工作。第五步：啟動發布服務器時需注意以下幾個方面：1.網站網頁文件檢查在發布服務器的本地硬盤上是否已經保存有整個網站的頁面文件的備份。2.數據庫系統運行發布服務器的運行需要MySql數據庫系統的支持，所以要確認一下MySql是否在工作。MySql在安裝好后以系統服務的形式運行，如果MySql不工作可以用系統的服務管理器來啟動MySql。3同步服務器運行，啟動發布服務器運行之前需檢查一下iGuard同步服務器是否已運行。4最后啟動發布服務器運行“開始→程序→iGuard→發布服務器→啟動發布服務器”。第六步：初次使用向導iGuard注冊第一次運行發布服務器的時候，程序首先彈出“iGuard注冊”窗口，完成iGuard軟件的注冊。注冊信息分別為：注冊用戶名：中國地質大學注冊