网络安全实验报告冰河木马实验.doc

资源描述

网络安全实验报告冰河木马实验正式版网络安全实验报告冰河木马实验网络10-2班 XXX 08103635 一、实验目的通过学习冰河木马远程控制软件的使用，熟悉使用木马进行网络攻击的原理和方法。二、实验内容 1、在计算机A上运行冰河木马客户端，学习其常用功能； 2、在局域网内另一台计算机B上种入冰河木马（服务器），用计算机A控制计算机B； 3、打开杀毒软件查杀冰河木马； 4、再次在B上种入冰河木马，并手动删除冰河木马，修改注册表和文件关联。三、实验准备 1、在两台计算机上关闭杀毒软件； 2、下载冰河木马软件； 3、阅读冰河木马的关联文件。四、实验要求 1、合理使用冰河木马，禁止恶意入侵他人电脑和网络； 2、了解冰河木马的主要功能； 3、记录实验步骤、实验现象、实验过程中出现的意外情况及解决方法； 4、总结手动删除冰河木马的过程。五、实验过程作为一款流行的远程控制工具，在面世的初期，冰河就曾经以其简单的操作方法和强大的控制力令人胆寒，可以说达到了谈冰色变的地步。鉴于此，我们就选用冰河完成本次实验。若要使用冰河进行攻击，则冰河的安装（是目标主机感染冰河）是首先必须要做的。冰河控制工具中有三个文件：Readme.txt，G_Client.exe，以及G_Server.exe。 Readme.txt简单介绍冰河的使用。G_Client.exe是监控端执行程序，可以用于监控远程计算机和配置服务器。G_Server.exe是被监控端后台监控程序（运行一次即自动安装，开机自启动，可任意改名，运行时无任何提示）。运行G_Server.exe后，该服务端程序直接进入内存，并把感染机的7626端口开放。而使用冰河客户端软件（G_Client.exe）的计算机可以对感染机进行远程控制。冰河木马的使用： 1、自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。 2、记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现的口令信息。 3、获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。 4、限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。 5、远程文件操作：包括创建、上传、下载、复制、伤处文件或目录、文件压缩、快速浏览文本文件、远程打开文件（正常方式、最小化、最大化、隐藏方式）等多项文件操作功能。 6、注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。 7、发送信息：以四种常用图标向被控端发送简短信息。 8、点对点通讯：以聊天室形式同被控端进行在线交谈等。入侵目标主机：首先运行G_Client.exe，扫描主机。查找IP地址：在“起始域”编辑框中输入要查找的IP地址，本实验搜索IP地址“219.219.68.***”网段的计算机，点“开始搜索”按钮，在右边列表框中显示检测到已经在网上的计算机的IP地址。搜索框内有显示状态为ERR的主机，是因为这些主机上没有种马，即没有安装服务器。实验中，我选择控制的主机的IP为“”。在命令控制台中操作：口令类命令：系统命令及口令历史口令击键记录控制类命令：抓捕屏幕发送信息进程管理窗口管理系统控制鼠标控制其他控制网络类命令：网络信息---查看共享文件类命令：文件复制注册表读写：键值读取设置类命令：服务器端配置读取服务器配置修改服务器配置六、实验小结对于计算机木马的概念，我们都还局限在很窄的层面，通过对冰河木马的学习并使用它完成本次实验，认识到木马是怎样侵入到我们的计算机并获得所需要的信息的。对木马病毒的防护建议： 1、及时下载系统补丁，修补系统漏洞； 2、提高防范意识，不要打开陌生人的可以邮件和附件，其中可能隐藏病毒； 3、如果电脑出现无故重启、桌面异常、速度变慢等情况，注意检查是否已中病毒； 4、使用杀毒软件和防火墙，配置好运行规则。学号成绩实验报告网络安全实验姓名: 班级：指导教师：实验时间：2021。06 哈尔滨工程大学 2021年06月目录实验一、网络分析器应用实验4 一、实验目的4 二、实验仪器与器材4 三、实验原理4 四、实验过程与测试数据4 五、实验分析4 六、实验体会4 实验二、远程控制实验6 一、实验目的6 二、实验仪器与器材6 三、实验原理6 四、实验过程与测试数据6 五、实验分析6 六、实验体会6 实验三、入侵检测系统分析与应用10 一、实验目的10 二、实验仪器与器材10 三、实验原理10 四、实验过程与测试数据10 五、实验分析10 六、实验体会10 实验四、虚拟蜜罐分析与实践12 一、实验目的12 二、实验仪器与器材12 三、实验原理12 四、实验过程与测试数据12 五、实验分析12 六、实验体会12 综合成绩13 考核要求14 实验一、网络分析器应用实验一、实验目的 1. 下载Wireshark并进行安装； 2. 掌握Wireshark的基本用法与设置：（1）了解捕获选项的相关设置; （2）学习使用过滤器显示符合过滤条件的数据包；（3）学习使用着色规则；（4）学习使用基本图表进行网络分析； 3. 掌握使用Wireshark捕获流量数据包并保存至本地 4. 使用Wireshark分析ARP协议的请求报文。二、实验仪器与器材 Wireshark Windows 10 三、实验原理 Wireshark 是网络包分析工具。网络包分析工具的主要作用是尝试捕获网络包，并尝试显示包的尽可能详细的情况。网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具,Wireshark是最好的开源网络分析软件。 Wireshark的主要应用如下: （1）网络管理员用来解决网络问题（2)网络安全工程师用来检测安全隐患（3）开发人员用来测试协议执行情况 (4）用来学习网络协议（5）除了上面提到的，Wireshark还可以用在其它许多场合。 Wireshark的主要特性 (1）支持UNIX和Windows平台（2）在接口实时捕捉包（3）能详细显示包的详细协议信息（4)可以打开/保存捕捉的包（5）可以导入导出其他捕捉程序支持的包数据格式（6）可以通过多种方式过滤包（7）多种方式查找包（8）通过过滤以多种色彩显示包（9）创建多种统计分析四、实验过程与测试数据 1．Wireshark的安装及界面（1）Wireshark的安装（2）Wireshark的界面启动Wireshark之后，主界面如图： 2.Wireshark的基本用法与设置 2。1捕获选项的相关设置 1）启动Wireshark以后,选择菜单Capature-〉Interfaces,选择捕获的网卡，单击Capture开始捕获 2)当停止抓包时，按一下stop，抓的包就会显示在面板中，并且已经分析好了。Wireshark界面窗口被分成三个部分:最上面为数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数据包所属的协议信息;最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。 2。2使用过滤器显示符合过滤条件的数据包 Interface：指定在哪个接口（网卡)上抓包。 Limit each packet:限制每个包的大小。 Capture packets in promiscuous mode：是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包,因此应该关闭这个选项。 Filter：过滤器，只抓取满足过滤规则的包。 File:如果需要将抓到的包写到文件中，在这里输入文件名称。 use ring buffer:是否使用循环缓冲. 2.3使用着色规则 2.4使用基本图表进行网络分析 3。使用Wireshark捕获流量数据包并保存至本地五、实验分析使用WireShark对ARP协议进行分析 (1）启动WireShark （2）捕获数据（3）停止抓包并分析ARP请求报文将Filter过滤条件设为arp，回车开始抓包（4）ARP请求报文分析第一行:帧基本信息分析 Frame Number（帧的编号）：18 Frame Length(帧的大小):60字节。（以太网的帧最小64个字节，而这里只有60个字节，应该是没有把四个字节的CRC计算在里面） Arrival Time(帧被捕获的日期和时间）：Jun 25, 2021 19：02:57。728234000 中国标准时间 Time delta from previous captured frame（帧距离前一个帧的捕获时间差）： 0。347616000 seconds Time since reference or first frame（帧距离第一个帧的捕获时间差)： 5。341389000 seconds Protocols in frame(帧装载的协议)：eth:arp 第二行：数据链路层: Destination：Broadcast(ff：ff：ff：ff：ff：ff） Destination（目的地址）: Broadcast (ff:ff:ff：ff：ff：ff) （这是一个广播的MAC地址） Source(源地址）： Pegatron_fe:b1:a7 （78:f2:9e:fe:b1：a7）帧中封装的协议类型：ARP（0x0806）（这个是ARP协议的类型编号） Padding：是协议中填充的数据,为了保证帧最少有64字节. 第三行：ARP协议 Hardware type（硬件类型）:Ethernet(1） Protocol type（协议类型）: IPv4(0x0800） Hardware size(硬件信息在帧中占的字节数）：6 Protocol size（协议信息在帧中占的字节数）：4 opcode（操作码):request（1） Sender MAC address（发送方的ＭＡＣ地址）：Pegatron_fe：b1：a7 (78：f2:9e:fe：b1：a7) Sender IP address(发送方的IP地址）： Target MAC address（目标的ＭＡＣ地址）： 00:00：00_00：00:00(00:00：00：00:00:00） Target IP address（目标的IP地址)：192。168。0。35 六、实验体会通过本次实验使用wireshark并分析抓包结果，和对获得的ARP报文的分析,我熟悉了wireshark的使用，并更加深入了解了ARP报文的传输过程。实验二、远程控制实验一、实验目的 1。掌握远程控制技术的有关内容； 2.掌握pcAnywhere软件的操作方法； 3。掌握远程控制原理及基本协议、远程控制技术概念及原理等知识； 4.利用pcAnywhere软件对远程计算机进行控制. 二、实验仪器与器材 pcAnywhere软件系统 VM ware：Windows 7 Windows 10 三、实验原理 1.远程控制原理所谓远程控制，是指管理人员在异地通过计算机网络联通被控制的计算机,将被控计算机的桌面环境显示到自己的计算机上,通过本地计算机对远端计算机进行配置、软件安装和文件编辑等工作。当操作者使用主控计算机控制被控端计算机时，可以启动被控端计算机的应用程序，使用被控端的文件资料，甚至可以利用被控端计算机的外部设备和通信设备来进行工作。远程控制必须通过网络才能进行.位于本地的计算机是操纵指令的发出端，称为主控端或客户端，非本地的被控制的计算机称为被控端或服务器端。 2。远程控制技术随着网络的快速发展以及计算机管理和技术支持的需要，远程操作及控制技术越来越引起人们的关注.远程控制支持多种网络方式：LAN、WAN、拨号方式及互联网方式。此外，远程控制还支持通过串口、并口和红外端口来对目标主机进行控制。传统的远程控制技术一般使用NETBEUI、NETBIOS、IPX/SPX和TCP/IP等协议来实现，此外，还支持Java技术，以实现不同操作系统下的远程控制。远程控制由两部分组成:客户端（Client)程序和服务器端（Server)程序。在进行远程控制前，需要事先将客户端程序安装到主控端计算机上，服务器端程序安装到被控端计算机上. 远程控制的过程是:先在主控端计算机上执行客户端程序，向被控端计算机中的服务器端程序发出信号，建立一个特殊的远程服务;通过这个远程服务，使用远程控制功能发送远程控制命令，控制被控端计算机运行。 3。远程控制方式远程控制的实现方式通常有两种：点对点方式和点对多点方式.点对点控制指的是一个远程客户端的程序在同一时间内只能连接并控制唯一一台远程计算机。点对点控制程序以客户端控制服务器端的模式工作，这也是远程访问控制中运用得最普遍的情况。点对点的访问控制主要应用于对远程主机进行具体控制和监控的需求。一些专业软件，如远程控制软件pcAnywhere，可以借助局域网的优势用一台计算机控制多台计算机，实现对远程主机的多点控制.点对多点的访问控制可以在同一时间内对一台或多台远程计算机进行控制。点对多点的访问控制流程和点对点相反,首先由每个客户端程序向服务器端程序发出连接请求，建立连接之后，服务器端就可以对多台远程计算机的客户端程序发出指令并由客户端程序执行指令。点对多点的访问控制主要应用于控制大范围计算机领域，如定时、收费和监督等。远程控制在计算机网络管理与维护中应用相当普遍，网络管理员可以通过接入局域网中的任意一台计算机,通过远程控制方式对网内服务器等设备进行管理和维护，实现在服务器上进行软件安装、系统升级、数据备份以及日志查看等功能。四、实验过程与测试数据 1。pcAnywhere软件的安装与使用。安装成功后，双击桌面上的图标SymantecpcAnywhere，打开软件运行界面,“转到高级视图"。 2. 配置被控端（hosts）。通过选择主机下的添加功能自定义配置被控端计算机。 3.配置主控端（Remotes）。在向导中输入被控端计算机的IP地址. 设置完毕后，右击主控端，在快捷菜单中选择“开始远程控制”命令，即可自动连接至远程主机的桌面，实现安全的桌面远程操作. 作为被控端，在“主机”中双击新建主机(AAA)即可，任务栏的右下角会有图标提示。作为主控端，选中“远程”中的“AAA”,单击左侧的“启动连接”，或者双击AAA，出现如图4。3.4所示的界面。用户名就是登录名BBB，密码就是登录密码1234。连接成功后将按要求进入远程控制界面或者文件传送界面，可以在远程控制界面中遥控被控计算机。如图，主控端出现了被控端的桌面窗口. 4。远程控制扩展实验 (1)单击工具栏中的“改为全屏显示”按钮,可全屏显示从机的桌面而隐藏主机的“开始”菜单和工具栏。单击工具栏中的“文件传送”按钮，左边显示的是主机资源，右边为从机资源，利用鼠标的拖放功能可实现文件的双机互相复制. （2）单击工具栏中的“查看修改联机选项”按钮，设置锁定从机键盘，单击工具栏中的“结束远程控制对话”按钮。五、实验分析本实验中，以pcAnywhere为例，进行了基于主机（实体机）和从机（虚拟机)的远程控制实验实现。作为一款独特的集成解决方案，pcAnywhere结合了远程控制、远程管理、高级文件传输功能和强健的安全性。实验过程中，通过在Windows 10 系统上安装pcAnywhere主控端并进行远程登录的信息配置，在Windows 7 系统上安装pcAnywhere被控端并进行主机的信息设置以及对于远程控制的选项设置，配置完成后进行远程控制的登录以及控制过程，并最终通过远程操纵计算机、文件传输等功能的实现,加深对远程控制的理解与应用。在本实验中,应注意的问题主要包括对于远程主机登录信息的配置环节中，对于登录账户、域信息以及密码需要与在主控端中的配置完全一致，保证最终连接的成功。六、实验体会远程操作及控制技术在当下的用途越来越广泛，而远程控制安全作为网络安全中的一个重要组成部分，也应当引起我们更多的关注。通过远程控制，可以便利日常的生活学习以及工作，大大提高工作的效率以及设备的利用率。我们在了解远程控制技术的基础上，应该进行进一步的深入研究，做到合理而又安全地使用远程控制，发挥其最大的优势. 实验三、入侵检测系统分析与应用一、实验目的 l1.了解入侵检测系统 l2。熟悉运用入侵检测软件二、实验仪器与器材 Vm ware：Ubuntu16。04 三、实验原理 1.入侵检测系统入侵检测系统(intrusion detection system,IDS）是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。 IDS是计算机的监视系统,它通过实时监视系统，一旦发现异常情况就发出警告.以信息来源的不同和检测方法的差异分为几类：根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和误用入侵检测。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上,无须网络流量流经它便可以工作.在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。这些位置通常是：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。入侵检测系统根据入侵检测的行为分为两种模式：异常检测和误用检测。前者先要建立一个系统访问正常行为的模型，凡是访问者不符合这个模型的行为将被断定为入侵；后者则相反，先要将所有可能发生的不利的不可接受的行为归纳建立一个模型，凡是访问者符合这个模型的行为将被断定为入侵。对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能.从技术上，入侵检测分为两类：一种基于标志（signature-based），另一种基于异常情况(anomaly-based)。对于基于标志的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件.而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常"情况。 2。Suricata入侵检测工具 Suricata是一款高性能的网络IDS、IPS和网络安全监控引擎。它是由the Open Information Security Foundation开发，是一款开源的系统.在所有目前可用的IDS/IPS系统中,Suricata最能够与Snort相抗衡。该系统有一个类似Snort的架构，依赖于像Snort等的签名，甚至可以使用VRT Snort规则和Snort本身使用的相同的Emerging Threat规则集。四、实验过程与测试数据 1。工具安装获取最新的个人软件包档案源，将其添加至当前apt库中.系统升级以及软件安装。安装完成后启动软件并查看相关帮助。 2.入侵检测：查看当前网卡使用情况。查看内置snort规则列表,配置自定义规则test。rules，并利用此条规则启动suricata。启动后，在浏览器打开百度页面. Suricata软件会把记录保存在/var/log/suricata中，在此文件夹中打开log文件查看记录。首先打开stats.log文件，根据记录的时间可以进行查看刚刚进程的记录,可以看出tcp握手的过程. 打开suricata。log文件，此文件存储软件检测日志，可以查看suricata软件使用过程中所有的提示，包括错误、警告等。打开文件eve.json，发现其中以json格式记录着所有的数据，包括源IP和目标IP等。五、实验分析 Suricata软件可以利用snort的规则，通过规则的编写可以实现自己想要的结果.软件安装前需要安装必要的库文件，而且没有采用通过源码进行安装，保证了安装的准确性和软件使用的可靠性. Suricata可以通过选定某个网络接口来进行监听，并将监听过程中所监听到的信息都记录在日志中，以便于查看分析是否被入侵.通过合理使用snort规则，可以实现对单独事件、单独网络协议和某些木马攻击等都可以实现单独的检测，从而对于特定的目标实现特定的检测方案。六、实验体会通过此次实验，我对入侵检测系统的原理和两种入侵检测行为的模式有了一个初步的认识和了解。 Suricata是一种高性能的入侵检测工具，堪比目前应用最为广泛的Snort.通过Suricata的使用，编写简单的snort规则,可以实现简单的入侵监控。实验四、虚拟蜜罐分析与实践一、实验目的 l1。掌握虚拟蜜网的定义、结构及具体搭建步骤。 l2。利用蜜网工具进行网络行为分析。二、实验仪器与器材 lVM ware：Ubuntu 64,honeynet工具包 lVM ware：Windows 7, Trap-sever蜜罐模拟工具三、实验原理 1.蜜罐原理蜜罐honeypot的定义，“蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。”蜜罐的设计初衷就是让黑客入侵，借此收集相关证据，并隐藏真实的服务器地址.蜜罐一般具有以下功能：发现攻击、产生警告、强大的记录能力、欺骗、协助调查。蜜罐的另一个用途是拖延攻击者对其真正目标的攻击,让攻击者在蜜罐上浪费时间，与此同时，最初的攻击目标受到了保护，真正有价值的内容将不受侵犯.根据管理员的需要不同,蜜罐的系统和漏洞设置要求也不同,蜜罐是多种多样的，包括实系统蜜罐、伪系统蜜罐。 2。虚拟蜜罐网络Honeynet 虚拟蜜罐网络Honeynet是honeypot的一种形式。Honeypot是用来让人攻击,存在安全风险的资源。而Honeynet是一种交互性很高的Honeypot。这种高度的交互性能够使我们了解入侵者怎样攻破系统，怎样联系和为什么要入侵系统的一切东西。Honeynets是通过构建一个网络系统来实现这个目的的。这个网络是高度集成的，所有流入和流出的数据都会被控制和捕捉，在这个网络中的每一个系统都是一个真正的Honeypot,每个系统都是为了诱导攻击者的攻击而设计。 Honeyd是一种低交互的蜜罐。Honeyd 是一个小的防护程序，它能够产生虚拟的主机，这些主机能够被配置以提供任意的服务，系统特征也是与之相适应，以至于使之看起来像真实的系统在运行.在一个局域网的网络仿真中，Honeyd能够使单个主机拥有许多IP（多达65536个).通过提供对威胁探测和评估的机制,增强了计算机的安全性,通过隐藏真实的系统在虚拟的系统中，也达到了阻止敌手的目的。启动honeyd前有时必须先启动arpd。启动arpd有2种方式：arpd IP；％arpd IP(%表示arpd的路径，因为系统本身有个arpd,有时需要指定自己安装的那个arpd的路径)。 3。Trap—sever蜜罐模拟工具 Trap Server是一款WEB服务器蜜罐软件，它可以模拟很多不同的服务器，例如：Apache HTTP Server、Microsoft IIS等。Trap Server蜜罐运行时就会开放一个伪装的WEB服务器,虚拟服务器将对这个服务器的访问情况进行监视，并把所有对该服务器的访问记录下来，包括IP地址，访问文件等。通过这些对黑客的入侵行为进行简单的分析. 四、实验过程与测试数据 1。虚拟蜜罐网络Honeynet在ubuntu上的搭建（1）系统库安装:需要安装flex、bison和libedit-dev，为Honeynet的搭建提供支持。（2）依赖库、honeyd和arpd安装安装时，先将压缩包解压到主文件目录下,再在文件中用。/configure命令，对即将安装的软件进行配置，检查当前的环境是否满足要安装软件的依赖关系,使用make工具对文件中所有源代码进行自动编译，最后使用sudo make install 命令来进行安装。对所有压缩包按照如下的顺序执行上面的操作(根据版本可能安装包有所不同）： 1.libevent—1.4.14b-stable。tar.gz2.libdnet-1。12。tgz3。libpcap—1。3.0。tar.gz4。zlib-1。2。8。zip 6。 arpd-0.2。tar 在安装honeyd时，在检查时还会出现另外一个错误：无法获取libc，我们此时需要使用cp命令来获取libc： sudo cp /lib/x86_64-linux—gnu/libc.so。6 /usr/lib/ 安装aprd工具时，在检查的时候会报错，是由于其中一个文件出现问题，需要在arpd/arpd。c文件中添加 #define __FUNCTION__ "”。在启动honeyd的时候发现报错，是由于虽然已经安装了honeyd所依赖的共享库，但是在调用该共享库时，程序按照默认共享路径找不到该共享文件。进行一系列修改,最后在root权限下启动成功。 2。honeyd的简单使用首先用aprd工具虚拟出两台主机。在局域网中选择一个未被使用的IP地址，启动arpd，此处选择的是192.168.68。1.然后在此空闲的ip上构建虚拟蜜罐并进行监听。 3. Trap—sever蜜罐模拟工具的使用将Trap—sever蜜罐模拟工具安装在win7系统下，安装完成后启动软件。在主界面点击“开始监听”按钮，开启蜜罐服务. 此记录表示，Trap Server开始侦听服务器的80端口. 在本机浏览器输入自己自己服务器的ip,访问访问用Trap Server模拟的WEB服务。这时，在Trap Server主界面里就会自动监听并显示攻击者的访问操作记录。另外，在遭受攻击时如果不知道攻击者的真实IP地址，可以点击“跟踪”按钮,软件会跟踪IP经过的路由，揪出攻击者的IP地址。五、实验分析 arpd运行在与honeyd相同的系统上，是honeyd众多协作工具中最重要的一个.arpd工作时监视局域网内的流量，并通过查看honeyd系统的ARP表判断其它系统的活动与否。当一次企图对局域网内系统的连接发生时，arpd通过查找ARP表得知目的IP地址不存在后，就会尝试对受害者的IP地址进行ARP广播，如果honeyd得到了响应，说明目标系统确实存在,于是把目标系统的IP地址与MAC地址的对应写入honeyd的ARP表,并对这次连接尝试不动作，因为这可能是合法流量。如果arpd没有从目标接收到arp响应，那么它就认为目标系统并不存在，假设这是一次攻击行为，于是就尝试充当受害者的IP地址并对攻击者作出回应。由此可见，arpd将对指定的IP地址范围内未使用的IP 用honeyd主机的MAC地址做出arp应答。这样对指定的IP地址范围内未使用的IP的连接访问都被重定向至honeyd主机。因此这样的设计在局域网中特别能最大化的诱骗蠕虫病毒的攻击,转移攻击流，为下一步检测和捕获蠕虫病毒奠定了基础. 在实际应用方面，Trap Server 是SQL注入的天敌，能详细地记录各种手工的和利用工具实现的方法，并完整地再现当时的入侵过程。 “Trap Server"相当于有traceroute功能的WEB服务端。与同类的探测软件相比，Trap Server在发布WEB与traceroute上占优势，但不能同时绑定多格端口，也不能绑定UDP,数据分析能力也要差一点。所以说它还只是一个很简单的虚拟蜜罐. 六、实验体会通过此次实验我对虚拟蜜罐有一个初步的了解，掌握了honeyd这种虚拟蜜罐在linux系统上搭建的步骤，也了解了其使用的方法。蜜罐好比是情报收集系统，故意让人攻击的目标，引诱入侵者前来攻击。通过使用蜜罐，可以知道入侵是如何发生的,随时了解针对服务器发动的最新的攻击和漏洞.实现知己知彼，既了解入侵者的动机，又发现我们的问题，从而更好地加以防范。成绩表项目比例成绩网络分析器应用实验 15% 远程控制实验 25% 入侵监测系统分析与应用 30% 虚拟蜜罐分析与实践 30% 总成绩 100% 指导教师签字: 深圳大学实验报告课程名称：计算机导论实验实验项目名称：互联网与网络安全学院：计算机与软件学院专业：指导教师：报告人：学号：班级：实验时间： 2021.10.20 实验报告提交时间： 2021.12.9 教务处制实验目的 1、掌握浏览器使用，网页下载和保存、搜索引擎使用和信息检索方法。 2、掌握杀毒软件的使用方法、木马防治软件的使用方法。防火墙的功能及其操作。实验环境硬件环境：PC 软件环境：Windows7中文版实验步骤：一、浏览器使用，网页下载和保存、搜索引擎使用和信息检索方法。 (一) 浏览器使用浏览器是指可以显示网页服务器或者文件系统的HTML文件（标准通用标记语言的一个应用）内容，并让用户与这些文件交互的一种软件。它用来显示在万维网或局域网等内的文字、图像及其他信息。这些文字或图像，可以是连接其他网址的超链接，用户可迅速及轻易地浏览各种信息。大部分网页为HTML格式。一个网页中可以包括多个文档，每个文档都是分别从服务器获取的。大部分的浏览器本身支持除了HTML之外的广泛的格式，例如JPEG、PNG、GIF等图像格式，并且能够扩展支持众多的插件（plug-ins）。另外，许多浏览器还支持其他的URL类型及其相应的协议，如FTP、Gopher、HTTPS（HTTP协议的加密版本）。HTTP内容类型和URL协议规范允许网页设计者在网页中嵌入图像、动画、视频、声音、流媒体等。游览器使用: 1. 单击【开始】菜单，在弹出的开始菜单中选择【Internet】命令，打开IE浏览器窗口。 2. 也可以通过桌面双击IE浏览器的图标来打开IE浏览器、 3. 新打开的IE浏览器窗口中不会显示任何内容。需要您指定网站地址才能够访问并显示内容。 4. 打开健康频道页面在人民网首页的导航栏中单击【健康】超链接文本，打开健康频道页面。 5. 打开详细页面在高血压专题页面中单击某个文章标题，即可查看该标题下的内容。 6. 在【健康】频道页面顶部的导航栏中单击【高血压】超链接文本，可以打开高血压专题页面。 7. 在详细页面中可以阅读打开的新闻内容。 (二) 网页下载和保存打开自己想要下载的网页，如下图是一个百度经验主页面。 1. 2 可以直观的保存网页，日后直接进行查看借用，以及参考等。点击浏览器顶部的“文件”，可以看到有两个选项：“保存网页...”与“保存网页为图片”。 2. 3 点击第一个“保存网页...”，即会打开如下图的一个保存窗口。 3. 4 如下图是点击“保存网页为图片”按钮，点击它进行操作。 4. 5 点击后，会打开如下图的一个保存窗口以及相应的存储方式。 5. 6 返回到刚刚保存的网页与图片位置，可以看到如下图的两个文件信息。 6. 7 点击其中一个，会有如下的一个界面，这里看到的是一个网页浏览器打开形式。 7. 8 再点击另外一个，可以看到如下图的一个界面，是一个图片形式的窗口。 8. 9 (三) 搜索引擎使用搜索引擎（Search Engine）是指根据一定的策略、运用特定的计算机程序从互联网上搜集信息，在对信息进行组织和处理后，为用户提供检索服务，将用户检索相关的信息展示给用户的系统。搜索引擎包括全文索引、目录索引、元搜索引擎、垂直搜索引擎、集合式搜索引擎、门户搜索引擎与免费链接列表等。搜索引擎技巧之一：双引号的使用我们在Google、百度搜索框输入搜索词的时候，加入双引号表示完全匹配搜索，搜索引擎返回的结果是页面包含双引号中出现的所有词，而且字与字之间的顺序也完全一样。比如，输入"IT部落窝论坛"，搜索结果如下：搜索引擎技巧之二：减号的使用在搜索时，减号表示搜索不包含减号后面的词语。搜索格式是：搜索词+空格+减号+排除词。　　上面截图的意思表示搜索关键词为“IT部落窝”，然后出现的列表中再排除有“论坛”。　　又比如我们都知道苹果有电影、水果、电脑。究竟是搜索作为水果的苹果，还是苹果电脑还是苹果电影，使用上面的减号做排除算法就会使搜索结果更加准确。搜索引擎技巧之三：星号的使用 Google搜索引擎支持星号，百度搜索引擎不支持。星号（*）表示任何文字。使用格式如下：搜索引擎技巧之四：inurl:的使用如果想搜索网址中出现某个搜索词，可以使用inurl:格式。比如下面的：inurl:IT部落窝，返回的结果是网址url中包含“IT部落窝”的页面。搜索引擎技巧之五：intitle:的使用 Intitle指令是返回页面标题中包含搜索词的页面。比如输入：intitle:IT部落窝，意思就是告诉搜索引擎搜索网页标题包含“IT部落窝”的网页。搜索引擎技巧之六：allintitle:的使用 Allintitle是搜索返回页面标题中包含多组关键词的文件。　　比如：allintitle:IT部落窝论坛　　相当于：intitle:IT部落窝 intitle：搜索引擎优化　　搜索引擎返回的是标题中既包含“IT部落窝”，同时包含“论坛”的页面。搜索引擎技巧之七：filetype:的使用如果你是经常在网上想下载一些文档，那么这个格式一定要学会了。比如想在网上下载“VLOOKUP函数用法”相关的XLS文档，那么可以这样输入：filetype:xls vlookup函数用法，搜索引擎会返回包含“VLOOKUP函数用法”搜索词的

展开阅读全文