您好,欢迎访问代理记账网站
  • 价格透明
  • 信息保密
  • 进度掌控
  • 售后无忧

学业相关03.IP欺骗和TCP窃用分析报告

一、 实验目的:

通过实验了解系统漏洞,学会发现系统漏洞。

二、 实验目标与内容:

搭建一个实验环境,使用namp工具对可能存在漏洞的开放端口进行扫描,将结果保存在namp.cap文件里。

三、 实验设备及其环境配置与相关系列操作及其产生的实验数据:

本实验的跟踪记录可在两个配置中捕获。在第一个配置图中,一个在防火墙后运行DHCP的PC机,用于扫描防火墙下开放的端口。在第二个配置图中,我们在校园网环境中选择了一台感染冲击波蠕虫病毒的PC机进行网络行为跟踪。

image-20210526104856954

  • ​ 图3-1 实验设备及其环境配置1

image-20210526104917733

​ 图3-2 实验设备及其环境配置2

在第一个实验中,我们使用nmap 工具来对另一台主机192.168.0.1的开放端口或可能的漏洞进行扫描。我们识别到一个开放端口,HTTP端口,将跟踪结果保存在nmap.cap文件中。像nmap这样的端口扫描程序通过向许多常用端口发送SYN分组以检测开放端口(或漏洞)。在本例中,SYN分组一共发送给了1658个端口。如果服务器软件在这些端口上监听,它就会返回一个SYNACK分组作为回应。当扫描结束时,便可以全面了解到系统可能存在的漏洞。

端口扫描可以用来评估你电脑的安全性,但是它也被认为是一种对他人计算机进行端口扫描的攻击。在本实验中,我们只用nmap来扫描单个的目标主机,但是它也可以被用于扫描整个网络。

在nmap. cap文件中,我们使用tcp.flags.syn1&&tcp.flags.ack0过滤器来显示出由nmap发出的用于探测端口的分组。从统计概要可以看出,它一共发出了6693个分组,向扫描的1658个端口中的每个端口发送了3—4个SYN分组。端口扫描并不是从端口号较低的端口扫描到端口号较高的端口。它甚至不会对一个指定的端口发送所有的探测信息,我们可以注意到nmap扫描对很多探测分组重复使用相同的源端口。例如:分组巧到44都是使用50210端口作为探测分组的源端口。如果不是端口扫描,操作系统一般都会为每次连接分配一个不同的暂时的端口。

Ethereal为一些众所周知端口号取了相应的名字。如端口21取名为ftp 。IANA发布了一系列的众所周知端口号列表.这个列表为常用的服务指定了相应的端口号。例如:Web服务器使用众所周知端口80,邮件发件服务器使用众所周知端口25。通常,端口号1023是众所周知端口,在大部分的系统中,只有具有一级或管理员级权限的程序才可以使用这些端口。

四、 实验数据分析及分析步骤(Wireshark数据分析截图):

为了识别出所有成功的扫描,我们将Ethereal的过滤规则设定为:tcp.flags.syn1&&tcp.flags.ack1,这样可以过滤出所有SYNACK分组。从这个过滤器中可以看到,惟一开放的端口为80端口,我们可以进一步使用过滤规则tcp.port=80从所有数据流中分离出与80端口有关的数据流。当目标主机响应一个SYNACK分组后,nmap响应一个RST置位的分组来关闭连接。

image-20210526105035144

​ 图4-1 nmap通信

nmap还可用来探测计算机类型和正在运行的操作系统类型。它是利用各种系统实现Internet协议的不同来进行判断的,这些不同大部分都表现在一些不常使用的细微之处或者是一些可选的功能上。我们形象地称它为“指纹识别”。例如,nmap通过分析目标系统如何选择它的初始TCP序号、它支持TCP的哪些选项功能,以及分析ICMP错误信息中的数据,来对目标系统的类型进行判断。

在文件nmap_identify.cap中,我们突出显示了分组6780,它显示了一个FIN、SYN、PSH、URG等标志位均置位的TCP数据段,用于观察目标主机对这种奇怪的情况会如何响应。类似nmap这样的端口扫描程序可以获得开放端口和操作系统的类型信息。从这些信息中,我们不难发现出系统可能的漏洞。例如,如果nmap识别出一个系统为linux系统,并且80端口是打开的,攻击者就可能将攻击重点放于ApacheWeb服务器。虽然现在经常发布补丁来对已有漏洞进行补救,但是这也要求系统管理员在他们被攻击前就要给系统打好补丁。

image-20210526105111336

​ 图4-2 系统指纹识别

虽然攻击者可利用端口扫描器提供的信息来集中他们的攻击火力,但是最高级也是最具破坏力的攻击是可以在机器间自动进行传播的。W2.Blaster蠕虫就是这样的一个例子。这种蠕虫是利用了在Windows 2000 和 Windows XP上的 DCOM RPC漏洞进行攻击的。但是,冲击波蠕虫自己并不会明确指明这些机器。相反,它是让受感染的目标主机随机地生成一个IP地址,然后由目标主机发起攻击。很多被攻击的机器并没有漏洞,但是冲击波蠕虫却能够迅速地得到传播,这就是由于网络中有大量的Windows 2000和Windows XP主机。

跟踪记录显示出受感染的主机( 128.153.22.191)不停地向随机产生的IP地址的135端口( epmap)发送一系列SYN分组。例如,分组1到5分别向IP地址为92.252.166.229、92.252.166.226、92.252.166.223、92.252.166.221和92.252.166.220的主机发送了这样的分组。蠕虫并没有明确地对哪台存在漏洞的目标主机进行攻击,而是尽快对尽可能多的主机进行攻击,希望其中的一些攻击可以成功。

image-20210526105143622

​ 图4-3 攻击随机选择的主机的冲击波蠕虫病毒

五、 实验结论(网络协议原理或网络安全隐患):

在不同种类的软、硬件设备,同种设备的不同版本之间,由不同设备构成的不同系统之间,以及同种系统在不同的设置条件下,都会存在各自不同的安全漏洞问题。我们可以使用namp 工具对可能存在漏洞的开放端口进行扫描,从而达到检测漏洞的效果。

七、心得体会:

通过本次实验分析了系统漏洞,并学会了如何发现系统漏洞。系统自身的漏洞及给计算机网络带来了许多不安全的因素,在本实验中,我们对一个用于探测网络中另一个系统的开放端口或漏洞的网络应用程序的跟踪结果进行观察分析,同时也对一个感染了冲击波蠕虫病毒的计算机的跟踪结果进行分析。我们看到了病毒是如何通过试图在Windows分布式组件对象模型DCOM)和远程过程调用(RPC)接口中发掘漏洞来传播自己的。了解这一机制后,我对于网络通信安全有了更深刻的认知,后续的学习中将会更加深入,收获颇丰

报告评分:

指导教师签字:

 																																														 **指导教师签字:**

分享:

低价透明

统一报价,无隐形消费

金牌服务

一对一专属顾问7*24小时金牌服务

信息保密

个人信息安全有保障

售后无忧

服务出问题客服经理全程跟进