反病毒实验试题.docVIP

《网络安全与反病毒技术》实验指导 《网络安全与反病毒技术》，要求学生通过实验加深对课堂讲授理论知识的理解，做到理论结合实践，提高对网络安全协议设计、系统攻防方面的认识，培养和锻炼学生分析问题及解决问题的能力。要求学生做到： （1）对每个要做的实验进行预习，了解相关内容和具体要求，熟悉相关的软件工具。 （2）按照实验内容和步骤，达到预期的实验结果，并进行屏幕抓图。 （3）按照实验报告的格式要求，写出实验报告。 实验内容： 实验一：网络端口扫描 实验二：网络嗅探 实验三：木马攻击与防范 实验四：Windows IPSec安全策略的配置 实验一 网络端口扫描 （一） 实验目的 通过使用网络端口扫描器，了解端口扫描的用途及扫描原理 掌握Windows环境下使用SuperScan对主机端口进行扫描的方法。 （二）实验原理 一个开放的端口就是一条与计算机进行通信的信道，对端口的扫描可以得到目标计算机开放的服务程序、运行的系统版本信息。扫描工具是对目标主机的安全性弱点进行扫描检测的软件。它一般具有数据分析功能，通过对端口的扫描分析，可以发现目标主机开放的端口和所提供的服务，以及相应服务软件版本和这些服务及软件的安全漏洞，从而可以及时了解目标主机存在的安全隐患。 1、端口基本知识 端口是TCP协议定义的。TCP协议通过套接字(socket)建立起两台计算机之间的网络连接。套接字采用 [IP地址：端口号] 的形式来定义。通过套接字中不同的端口号来区别同一台计算机上开启的不同TCP和UDP连接进程。 对于两台计算机间的任一个TCP连接，一台计算机的一个[IP地址：端口]套接字会和另一台计算机的一个[IP地址：端口]套接字相对应，彼此标识着源端、目的端上数据包传输的源进程和目标进程。这样网络上传输的数据包就可以由套接字中的IP地址和端口号找到需要传输的主机和连接进程了。由此可见，端口和服务进程一一对应，通过扫描开放的端口，就可以判断出计算机中正在运行的服务进程。 TCP/UDP的端口号在0～65535范围之内，其中1024以下的端口保留给常用的网络服务。例如：21端口为FTP服务，23端口为TELNET服务，25端口为SMTP服务，80端口为HTTP服务，110端口为POP3服务等。 2、扫描原理 常用的端口扫描技术如下： （1）TCP connect()扫描 这是最基本的TCP扫描，操作系统提供的connect()系统调用可以用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于监听状态，那么connect()就能成功。否则，这个端口是不能用的，即没有提供服务。使用这种方法可以检测到目标主机开放了那些端口。这个技术的最大的优点是，不需要任何权限。系统中的任何用户都有权利使用这个调用。另一个好处就是速度，如果对每个目标端口以线性的方式，使用单独的connect()调用，那么将会花费相当长时间，使用者可以通过同时打开多个套接字来加速扫描。使用非阻塞I/O允许设置一个低的时间用尽周期，同时观察多个套接字。但这种方法的缺点是很容易被察觉，并且被防火墙将扫描信息包过滤掉。目标计算机的logs文件会显示一连串的连接和连接出错信息，并且能很快使它关闭。 （2）TCP SYN扫描 这种扫描是向远程主机某端口发送一个只有SYN标志位的TCP数据包，如果收到了远程目标主机的SYN/ACK数据包，那么说明远程主机的该端口是打开的；若没有收到远程目标主机的SYN/ACK数据包，而收到的是RST数据包，则说明远程主机的该端口没有打开。这种扫描技术的优点在于一般不会在目标计算机上留下记录，但这种方法的缺点是必须要有root权限才能建立自己的SYN数据包。 （3）TCP FIN扫描 FIN是中断连接的数据包，很多日志不记录这类数据包。TCP FIN扫描的原理是向目标端口发送FIN数据包，如果收到了RST的回复，表明该端口没有开放，反之该端口是开放的，因为打开的端口往往忽略对FIN的回复。这种方法还可以用来区别操作系统是Windows，还是UNIX。但是，有的系统不管端口是打开与否，一律回复RST。这时，FIN扫描就不适用了。 （4）UDP ICMP扫描 这种方法与上面几种方法不同的是它使用的UDP协议，由于UDP协议很简单，所以扫描变得相对比较困难。这是由于打开的端口扫描探测并不发送确认信息，关闭的端口也并不需要发送一个错误数据包。当向目标主机的一个未打开的UDP端口发送一个数据包时，会返回一个ICMP_PORT_UNREACHABLE错误，这样就会发现关闭的端口。 端口扫描器是黑客常用的工具，目前的扫描工具有很多种，例如Nmap、Netcat、X-Scan、port、PortScanner、Netscan tools、Winscan、WUPS、Fscan、LAN