端口扫描与安全审计实验报告.docVIP

端口扫描端口扫描端口状态 2. 扫描目标主机端口 连续扫描目标主机端口：nmap –r 85 3. 服务和版本检测 目标主机服务和版本检测：nmap –sV 31 4. 操作系统检测 目标主机操作系统检测：nmap -O 31 5. 端口扫描组合应用 A,nmap -v -A B,nmap -v -sP /16 /8 实验地点 指导教师 网络入侵跟踪与分析实验报告 学院名称 专业班级 学号 学生姓名 实验日期 成绩 课程名称 信息安全技术B 实验题目 网络入侵跟踪与分析 一、实验目的和要求 本实验的目的是使学生通过使用Ethereal开放源码的网络分组捕获与协议分析软件，分析一个冲击波蠕虫病毒捕获文件Win2000-blaster.cap，在加深理解Ethereal协议分析基础上，掌握Ethereal分组捕获与协议分析功能，为今后工作实践中能够运用科学理论和技术手段分析并解决工程问题的培养工程素养。 要求： 由于Ethereal分组捕获与协议分析功能强大，在一个实验单元时间内不可能熟练掌握Ethereal的使用。但至少应掌握捕获菜单和统计菜单的使用，也可以选择其他菜单命令进行实验。练习使用Ethereal分组捕获与协议分析的显示结果不要复制到实验报告，实验报告只回答冲击波蠕虫病毒攻击过程分析中提出的问题及问题解答过程。 二、实验内容和原理 （1）冲击波蠕虫病毒攻击原理 冲击波蠕虫病毒W32.Blaster.Worm利用Windows 2000/XP/2003等操作系统中分布式组件对象模型DCOM（Distributed Component Object Model）和远程过程调用 (RPC（Remote Procedure Call）通信协议漏洞进行攻击，感染冲击波蠕虫病毒的计算机随机生成多个目标IP地址扫描TCP/135（epmap）、UDP/135（epmap）、TCP/139、UDP/139、TCP/445、UDP/445、TCP/593、UDP/593端口寻找存在DCOM RPC漏洞的系统。感染冲击波蠕虫病毒的计算机具有系统无故重启、网络速度变慢、Office软件异常等症状，有时还对Windows自动升级（）进行拒绝服务攻击，防止感染主机获得DCOM RPC漏洞补丁。 根据冲击波蠕虫病毒攻击原理可知，计算机感染冲击波蠕虫病毒需要具备三个基本条件。一是存在随机生成IP地址的主机；二是Windows 2000/XP/2003操作系统开放了RPC调用的端口服务；三是操作系统存在冲击波蠕虫病毒可以利用的DCOM RPC漏洞。 （2）冲击波蠕虫病毒攻击过程分析 用Ethereal打开冲击波蠕虫病毒捕获文件Win2000-blaster.cap，通过协议分析回答下列问题（仅限于所捕获的冲击波蠕虫病毒）： （a）感染主机每次随机生成多少个目标IP地址？ （b）扫描多个端口还是一个端口？如果扫描一个端口，是那一个RPC调用端口？ （c）分别计算第二组与第一组扫描、第三组与第二组扫描之间的间隔时间，扫描间隔时间有规律吗？ （d）共发送了多少个试探攻击分组？（提示：端点统计或规则tcp.flags.syn==1显示SYN=1的分组） （e）有试探攻击分组攻击成功吗？如攻击成功，请给出感染主机的IP地址。如没有攻击成功的实例，说明为什么没有攻击成功？（提示：TCP报文段SYN=1表示连接请求，SYN=1和ACK=1表示端口在监听，RST=1表示拒绝连接请求。使用显示过滤规则tcp.flags.syn==1tcp.flags.ack==1确定是否有端口监听。） 三、主要仪器设备 实验设备：HP笔记本电脑；实验环境：Windows 操作系统、Ethereal网络Win2000-blaster.cap。 四、实验结果与分析 感染IP地址 根据实验结果的小组分类发现：一共生成20个目标IP地址 2）扫描端口端口扫描端口RPC调用端口ip.src == 91 and tcp.dstport == 135 因此扫描一个端口。 3）分别计算第二组与第一组扫描扫描扫描扫描扫描扫描ip.src == 91 有2006个 Filter: ip.src == 91 and tcp.dstport == 135或tcp.flags.syn==1 有2002个 Filter: ip.src == 91 and tcp.dstport != 135 有4个 不是攻击分组 即：共发送了2006个试探攻击分组；其中有2002个135端口，有4个不是135端口。 5）有试探攻击分组攻击成功吗？如攻击成功，请给出感染IP地址tcp.flags.syn==1tc