太原理工大學12級資訊保安實驗報告

本科實驗報告

課程名稱：資訊保安技術b

實驗專案：網路入侵跟蹤與分析

實驗地點致遠樓b303

專業班級：軟體學號

學生姓名

指導教師王華

2023年6月3日

一、實驗目的和要求

（1）通過網路分組捕獲與協議分析軟體ethereal分析衝擊波蠕蟲病毒實驗掌握網路入侵跟蹤與分析方法；

（2）由於ethernet分組捕獲與協議分析功能強大，在乙個實驗單元時間內不可能熟練掌握ethernet的使用。但至少應掌握捕獲選單和統計選單的使用，也可以選擇其他選單命令進行實驗。練習使用ethernet分組捕獲與協議分析的顯示結果不要複製到實驗報告，實驗報告只回答衝擊波蠕蟲病毒攻擊過程分析中提出的問題及問題解答過程。

二、實驗內容和原理

注意事項：ethereal-setup-0.10.14.exe將自動安裝winpcap分組捕獲庫，不必事先安裝winpcap 分組捕獲庫。

（1）衝擊波蠕蟲病毒攻擊原理

衝擊波蠕蟲病毒w32.blaster.worm利用windows 2000/xp/2003等作業系統中分布式元件物件模型dcom（distributed component object model）和遠端過程呼叫 (rpc（remote procedure call）通訊協議漏洞進行攻擊，感染衝擊波蠕蟲病毒的計算機隨機生成多個目標ip位址掃瞄tcp/135（epmap）、udp/135（epmap）、tcp/139、udp/139、tcp/445、udp/445、tcp/593、udp/593埠尋找存在dcom rpc漏洞的系統。

感染衝擊波蠕蟲病毒的計算機具有系統無故重啟、網路速度變慢、office軟體異常等症狀，有時還對windows自動公升級（進行拒絕服務攻擊，防止感染主機獲得dcom rpc漏洞補丁。

根據衝擊波蠕蟲病毒攻擊原理可知，計算機感染衝擊波蠕蟲病毒需要具備三個基本條件。一是存在隨機生成ip位址的主機；二是windows 2000/xp/2003作業系統開放了rpc呼叫的埠服務；三是作業系統存在衝擊波蠕蟲病毒可以利用的dcom rpc漏洞。

（2）衝擊波蠕蟲病毒攻擊過程分析

用ethereal開啟衝擊波蠕蟲病毒捕獲檔案win2000-blaster.cap，通過協議分析回答下列問題（僅限於所捕獲的衝擊波蠕蟲病毒）：

（a）感染主機每次隨機生成多少個目標ip位址？

（b）掃瞄多個埠還是乙個埠？如果掃瞄乙個埠，是哪乙個rpc呼叫埠？

（c）分別計算第二組與第一組掃瞄、第三組與第二組掃瞄之間的間隔時間，掃瞄間隔時間有規律嗎？

（d）共傳送了多少個試探攻擊分組？（提示：端點統計或規則tcp.flags.syn==1顯示syn=1的分組）

（e）有試探攻擊分組攻擊成功嗎？如攻擊成功，請給出感染主機的ip位址。如沒有攻擊成功的例項，說明為什麼沒有攻擊成功？

（提示：tcp報文段syn=1表示連線請求，syn=1和ack=1表示埠在監聽，rst=1表示拒絕連線請求。使用顯示過濾規則tcp.

flags.syn==1&&tcp.flags.

ack==1確定是否有埠監聽。）

三、主要儀器裝置

硬體：hp膝上型電腦

軟體：nmap - zenmap gui

四、實驗結果與分析

網路入侵跟蹤與分析實驗報告

五、討論心得

通過該實驗我對使用ethereal捕獲病毒有了一定的了解，但是實驗過程中由於對該軟體的不了解導致遇到了許多困難，但是在經過上網學習以及自己探索，成功的完成了實驗。

太原理工大學12級資訊保安實驗報告

太原理工大學12級資訊保安實驗報告

太原理工大學改造工程

述職報告太原理工大學

太原理工大學12級資訊保安實驗報告

太原理工大學12級資訊保安實驗報告

太原理工大學改造工程

述職報告太原理工大學

相關推薦