武漢大學計算機學院網(wǎng)絡安全實驗專業(yè)(班)：信息安全專業(yè)（班）學號：姓名：任課教師：陳晶2013年1月5日目錄一、入侵檢測與入侵防御 31.1、嗅探實驗 31.2、數(shù)據(jù)包記錄器實驗 71.3、入侵行為檢測實驗 11【實驗報告】 16【實驗心得】 17二、漏洞 192.1主機存活性判斷 192.2服務/端口判斷 252.3操作系統(tǒng)判斷 32【實驗思考】 38【實驗心得】 39三、VPN 403.1Windows下PPTPVPN實驗 403.2Windows下IPSecVPN實驗 513.3Windows下SSLVPN實驗 64【實驗思考】 70【實驗心得】 71四、攻防系統(tǒng) 724.1采集信息-掃描試驗 724.2采集信息-數(shù)據(jù)嗅探試驗 794.3采集信息-數(shù)據(jù)嗅探試驗 82【實驗思考】 86【實驗心得】 89五、Web安全 905.1SQL注入實驗 905.2跨站腳本攻擊(XSS)實驗 955.3單點登錄實驗 98【實驗思考】 106【實驗心得】 108一、入侵檢測與入侵防御1.1、嗅探實驗【實驗原理】Snort所謂的嗅探器模式就是Snort從網(wǎng)絡上讀出數(shù)據(jù)包然后顯示在控制臺上。如果只要把TCP/IP包頭信息打印在屏幕上，只需要輸入下面的命令：./snort-v使用這個命令將使Snort只輸出IP和TCP/UDP/ICMP的包頭信息。如果要看到應用層的數(shù)據(jù)，可以使用：./snort-vd這條命令使snort在輸出包頭信息的同時顯示包的數(shù)據(jù)信息。如果還要顯示數(shù)據(jù)鏈路層的信息，就使用下面的命令：./snort-vde注意這些選項開關還可以分開寫或者任意結(jié)合在一塊。例如下面的命令就和上面最后的一條命令等價：./snort-d-v–e【實驗環(huán)境】圖3.2.11實驗環(huán)境實驗環(huán)境如圖3.2.11所示，其中：Linux實驗臺IP地址：以172.20.4.32/16為例，具體根據(jù)實際的網(wǎng)絡環(huán)境進行配置本地主機(IDS客戶端)：WindowsXP操作系統(tǒng)、SimpleISES系統(tǒng)客戶端本地主機IP地址為172.20.1.32/16，具體根據(jù)實際的網(wǎng)絡環(huán)境進行配置【實驗步驟】啟動IDS服務器啟動Linux實驗臺并登錄，連接IDS服務器，開始實驗啟動實驗客戶端，選擇“入侵檢測與入侵防御”中的“嗅探實驗”，打開實驗實施面板，點擊“連接”。連接成功后，實驗實施面板顯示終端畫面，圖3.2.13實施面板點擊“開始”，觀察實驗臺中終端畫面?？梢钥匆娊K端畫面顯示出目前Snort抓取的各種數(shù)據(jù)包信息，可利用Alt+F2切換到新的屏幕，登錄后利用ps–aux|grepsnort查看snort進程，可發(fā)現(xiàn)其運行參數(shù)為snort–v，利用Alt+F1可切換到初始的界面。結(jié)束實驗，查看實驗結(jié)果點擊“結(jié)束”，可以在實驗實施面板看見本次嗅探實驗中Snort抓取的各種數(shù)據(jù)包的統(tǒng)計信息，【實驗思考】1、實驗過程中，實驗臺終端畫面顯示出的各種數(shù)據(jù)包信息主要包含哪些內(nèi)容？2、實驗結(jié)束后顯示的統(tǒng)計信息各個條目分別是什么意思？1.2、數(shù)據(jù)包記錄器實驗【實驗內(nèi)容】以數(shù)據(jù)包記錄器模式啟動SnortIDS分析Snort在該模式下抓取數(shù)據(jù)包的格式【實驗原理】對于Snort的數(shù)據(jù)包記錄器模式，如果要把所有的包記錄到硬盤上，你需要指定一個日志目錄，Snort就會自動記錄數(shù)據(jù)包：

./snort

-dev

-l

./log

當然，./log目錄必須存在，否則Snort就會報告錯誤信息并退出。當Snort在這種模式下運行，它會記錄所有看到的包將其放到一個目錄中，這個目錄以數(shù)據(jù)包目的主機的IP地址命名，例如：192.168.10.1。如果你只指定了-l命令選項，而沒有設置目錄名，Snort有時會使用遠程主機的IP地址作為目錄，有時會使用本地主機IP地址作為目錄名。為了只對本地網(wǎng)絡進行日志記錄，你可以給出本地網(wǎng)絡：

./snort

-dev

-l

./log

-h

192.168.1.0/24

這個命令告訴Snort把進入C類網(wǎng)絡192.168.1.0/24

的所有包的數(shù)據(jù)鏈路、TCP/IP以及應用層的數(shù)據(jù)記錄到目錄./log中。

如果網(wǎng)絡速度很快，或者想使日志更加緊湊以便以后的分析，那么應該使用二進制的日志文件格式。所謂的二進制日志文件格式就是tcpdump程序使用的格式。使用下面的命令可以把所有的包記錄到一個單一的二進制文件中：

./snort

-l

./log

-b

注意此處的命令行和上面的有很大的不同，無需指定本地網(wǎng)絡，因為所有的數(shù)據(jù)都被記錄到一個單一的文件。你也不必冗余模式或者使用-d、-e功能選項，因為數(shù)據(jù)包中的所有內(nèi)容都會被記錄到日志文件中。而且可以使用任何支持tcpdump二進制格式的嗅探器程序從這個文件中讀出數(shù)據(jù)包，例如tcpdump或者Ethereal，如果使用-r功能開關，也能使Snort讀出包內(nèi)的數(shù)據(jù)，Snort在所有運行模式下都能夠處理tcpdump格式的文件。如果想在嗅探器模式下把一個tcpdump格式的二進制文件中的包打印到屏幕上，可以輸入下面的命令：

./snort

-dv

-r

packet.log

在日志包和入侵檢測模式下，通過BPF(BSD

Packet

Filter)接口，還可以使用許多其它方式維護日志文件中的數(shù)據(jù)。例如，如果只想從日志文件中提取ICMP包，可以輸入下面的命令行：

./snort

-dvr

packet.log

icmp

【實驗環(huán)境】圖3.2.21實驗環(huán)境實驗環(huán)境如圖3.2.21所示，其中：Linux實驗臺IP地址：以172.20.4.32/16為例，具體根據(jù)實際的網(wǎng)絡環(huán)境進行配置本地主機(IDS客戶端)：WindowsXP操作系統(tǒng)、SimpleISES系統(tǒng)客戶端本地主機IP地址：以172.20.1.32/16為例，具體根據(jù)實際的網(wǎng)絡環(huán)境進行配置【實驗步驟】啟動IDS服務器啟動Linux實驗臺(如接著上一個實驗，請用reboot重啟系統(tǒng))并登錄。連接IDS服務器，開始實驗啟動實驗客戶端，選擇“入侵檢測與入侵防御”中的“數(shù)據(jù)包記錄器實驗”，打開實驗實施面板，點擊“連接”。連接成功后，實驗實施面板顯示終端畫面，點擊“開始”，觀察實驗臺中終端界面。可以看見終端顯示出目前Snort抓取的各種數(shù)據(jù)包信息?？衫肁lt+F2切換到新的屏幕，登錄后利用ps–aux|grepsnort查看snort進程，可發(fā)現(xiàn)其運行參數(shù)為snort–vde–l/home/log，利用Alt+F1可切換到初始的界面。結(jié)束實驗，查看實驗結(jié)果點擊“結(jié)束”，可以在實驗實施面板看見本次實驗中Snort抓取的各種數(shù)據(jù)包的統(tǒng)計信息，如圖3.2.25所示。在Linux實驗臺終端，進入“/home/log/”目錄，查看數(shù)據(jù)包記錄日志文件，（實驗時的本機地址）根據(jù)主機IP目錄，進入需要查看的主機IP的數(shù)據(jù)包信息，【實驗思考】1、實驗過程中，終端顯示出各種數(shù)據(jù)包信息主要包含哪些內(nèi)容？與嗅探實驗中顯示出來的數(shù)據(jù)包格式有什么區(qū)別？2、實驗結(jié)束后顯示的統(tǒng)計信息各個條目分別是什么意思？1.3、入侵行為檢測實驗【實驗內(nèi)容】以入侵檢測模式運行Snort利用攻擊查看Snort報警，了解Snort報警產(chǎn)生機制學習Snort系統(tǒng)自帶規(guī)則【實驗原理】snort最重要的用途還是作為網(wǎng)絡入侵檢測系統(tǒng)(NIDS)，使用下面命令行可以啟動這種模式：./snort-dev-l./log-h192.168.1.0/24-csnort.confsnort.conf是規(guī)則集文件。snort會對每個包和規(guī)則集進行匹配，發(fā)現(xiàn)這樣的包就采取相應的行動。如果不指定輸出目錄，snort就輸出到/var/log/snort目錄。注意：如果想長期使用snort作為自己的入侵檢測系統(tǒng)，最好不要使用-v選項。因為使用這個選項，使snort向屏幕上輸出一些信息，會大大降低snort的處理速度，從而在向顯示器輸出的過程中丟棄一些包。此外，在絕大多數(shù)情況下，也沒有必要記錄數(shù)據(jù)鏈路層的包頭，所以-e選項也可以不用：./snort-d-h192.168.1.0/24-l./log-csnort.conf在NIDS模式下，有很多的方式來配置snort的輸出。在默認情況下，snort以ASCII格式記錄日志，使用full報警機制。如果使用full報警機制，snort會在包頭之后打印報警消息。如果不需要日志包，可以使用-N選項。snort有6種報警機制：full、fast、socket、syslog、smb(winpopup)和none。其中有4個可以在命令行狀態(tài)下使用-A選項設置。這4個是：-Afast：報警信息包括：一個時間戳(timestamp)、報警消息、源/目的IP地址和端口。-Afull：是默認的報警模式。-Aunsock：把報警發(fā)送到一個UNIX套接字，需要有一個程序進行監(jiān)聽，這樣可以實現(xiàn)實時報警。-Anone：關閉報警機制。使用-s選項可以使snort把報警消息發(fā)送到syslog，默認的設備是LOG_AUTHPRIV和LOG_ALERT?？梢孕薷膕nort.conf文件修改其配置。snort還可以使用SMB報警機制，通過SAMBA把報警消息發(fā)送到Windows主機。為了使用這個報警機制，在運行./configure腳本時，必須使用--enable-smbalerts選項。下面是一些輸出配置的例子：使用默認的日志方式(以解碼的ASCII格式)并且把報警發(fā)給syslog：./snort-csnort.conf-l./log-s-h192.168.1.0/24使用二進制日志格式和SMB報警機制：./snort-csnort.conf-b-MWORKSTATIONS在Snort系統(tǒng)自帶了一些行為檢測規(guī)則，其中包括預處理模塊(Preprocessor)規(guī)則和利用rules文件寫的配置規(guī)則，這樣，無需管理員太多的配置，僅僅利用系統(tǒng)默認的規(guī)則文件，便可實現(xiàn)針對網(wǎng)絡行為的檢測。實驗環(huán)境】圖3.2.31實驗環(huán)境實驗環(huán)境如圖3.2.31所示，其中：Linux實驗臺IP地址：以172.20.4.32/16為例，具體根據(jù)實際的網(wǎng)絡環(huán)境進行配置本地主機(IDS客戶端)：WindowsXP操作系統(tǒng)、SimpleISES系統(tǒng)客戶端、WinNmap掃描工具本地主機IP地址：以172.20.1.32/16為例，具體根據(jù)實際的網(wǎng)絡環(huán)境進行配置【實驗步驟】啟動IDS服務器啟動Linux實驗臺(如接著上一個實驗，請用reboot重啟系統(tǒng))并登錄。連接IDS服務器啟動實驗客戶端，選擇“入侵檢測與防御”中的“入侵行為檢測實驗”，打開實驗實施面板，點擊“連接”。連接成功后，實驗實施面板顯示點擊“開始”，則啟動了Linux系統(tǒng)中的Snort。發(fā)起攻擊利用WinNmap掃描工具或其它攻擊工具，針對Linux系統(tǒng)或其它系統(tǒng)進行掃描（注意保證掃描攻擊者主機的單IP環(huán)境），結(jié)束實驗，查看實驗結(jié)果待WinNmap掃描結(jié)束后，再點擊實驗實施面板的“結(jié)束”按鈕，實驗完成?？煽匆妼嶒瀸嵤┟姘逯杏懈鞣N日志，包含報警結(jié)果、對應的Snort系統(tǒng)自帶規(guī)則、規(guī)則配置文件目錄等信息，圖3.2.36實驗結(jié)果點擊“查詢”按鈕，選擇實驗的時間段，查看實驗的結(jié)果日志，如圖【實驗思考】1、Snort系統(tǒng)自帶規(guī)則存放在哪？是怎么組織的？2、分析Snort系統(tǒng)自帶的snort.conf配置文件各個字段的意義。分析實驗結(jié)果中對應的各個規(guī)則意義?！緦嶒炈伎肌?.1、實驗過程中，終端顯示出各種數(shù)據(jù)包信息主要包含哪些內(nèi)容？與嗅探實驗中顯示出來的數(shù)據(jù)包格式有什么區(qū)別？答：Snort記錄所有看到的數(shù)據(jù)包，包括主機的IP地址，TCP/IP協(xié)議，數(shù)據(jù)包的日志以二進制形式呈現(xiàn)。1.2、實驗結(jié)束后顯示的統(tǒng)計信息各個條目分別是什么意思？答：Snort會記錄所有看到的包將其放到一個目錄中，這個目錄以數(shù)據(jù)包目的主機的IP地址命名。Snort把進入所有包的數(shù)據(jù)鏈路、TCP/IP以及應用層的數(shù)據(jù)記錄到目錄./log中。

所謂的二進制日志文件格式就是tcpdump程序使用的格式。1.3、實驗過程中，實驗臺終端畫面顯示出的各種數(shù)據(jù)包信息主要包含哪些內(nèi)容？答：從圖中看，每一行中，首先是時間戳，接著輸出的一個輸出字段是ARP，表明幀類型字段的值是0x0806，說明此數(shù)據(jù)幀是一個ARP請求或回答。以上圖為例，ARP的下一個輸出字段who-has表示作為ARP請求的這個數(shù)據(jù)幀中，目的IP地址是10.3.2.1的地址，發(fā)送端的IP地址是10.3.2.23的地址。1.4、Snort系統(tǒng)自帶規(guī)則存放在哪？是怎么組織的？答：snort規(guī)則放在“../snort/rules”文件目錄下。在/snort.conf文件跳到114行,找到varRULE_PATH字段,并在其后面填上完整的snort規(guī)則存放路徑,為/etc/snort/rules.跳到第476行,iis_unicode_map字段,在其后面寫上/etc/snort/rules/unicode.map1252跳到第905行,找到includeclassification.config項,將其改為:include/etc/snort/rules/classification.config跳到第913行,找到includereference.config項,將其改為include/etc/snort/rules/reference.config將/usr/local/bin/snort-d-D-h10.10.0.0/24-c/etc