2022年网络安全实验报告 .pdf

《2022年网络安全实验报告 .pdf》由会员分享，可在线阅读，更多相关《2022年网络安全实验报告 .pdf（32页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、学号成绩实验报告网 络 安 全 实 验姓名：班级：指导教师：实验时间： 2018.06 哈尔滨工程大学2018 年 06 月名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 32 页 - - - - - - - - - 目录实验一、网络分析器应用实验. 3一、实验目的. 3二、实验仪器与器材. 3三、实验原理. 3四、实验过程与测试数据. 3五、实验分析. 8六、实验体会. 8实验二、远程控制实验. 9一、实验目的. 9二、实验仪器与器材. 9三、实验原理. 9四、实验过程

2、与测试数据. 10五、实验分析. 14六、实验体会. 14实验三、入侵检测系统分析与应用. 15一、实验目的. 15二、实验仪器与器材. 15三、实验原理. 15四、实验过程与测试数据. 16五、实验分析. 22六、实验体会. 22实验四、虚拟蜜罐分析与实践. 23一、实验目的. 23二、实验仪器与器材. 23三、实验原理. 23四、实验过程与测试数据. 24五、实验分析. 30六、实验体会. 31综合成绩 . 错误！未定义书签。考核要求 . 32名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - -

3、- - 第 2 页，共 32 页 - - - - - - - - - 实验一、网络分析器应用实验一、实验目的1. 下载 Wireshark 并进行安装；2. 掌握 Wireshark 的基本用法与设置：（1） 了解捕获选项的相关设置；（2） 学习使用过滤器显示符合过滤条件的数据包；（3） 学习使用着色规则；（4） 学习使用基本图表进行网络分析；3. 掌握使用 Wireshark 捕获流量数据包并保存至本地4. 使用 Wireshark 分析 ARP协议的请求报文。二、实验仪器与器材Wireshark Windows 10 三、实验原理Wireshark 是网络包分析工具。 网络包分析工具的主要

4、作用是尝试捕获网络包， 并尝试显示包的尽可能详细的情况。网络包分析工具是一种用来测量有什么东西从网线上进出的测量工具，Wireshark 是最好的开源网络分析软件。Wireshark 的主要应用如下：（1）网络管理员用来解决网络问题（2）网络安全工程师用来检测安全隐患（3）开发人员用来测试协议执行情况（4）用来学习网络协议（5）除了上面提到的， Wireshark 还可以用在其它许多场合。Wireshark 的主要特性（1）支持 UNIX和 Windows平台（2）在接口实时捕捉包（3）能详细显示包的详细协议信息（4）可以打开 / 保存捕捉的包（5）可以导入导出其他捕捉程序支持的包数据格式（6

5、）可以通过多种方式过滤包（7）多种方式查找包（8）通过过滤以多种色彩显示包（9）创建多种统计分析四、实验过程与测试数据1Wireshark 的安装及界面名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 32 页 - - - - - - - - - （1）Wireshark 的安装（2）Wireshark 的界面启动 Wireshark 之后，主界面如图：2. Wireshark 的基本用法与设置2.1 捕获选项的相关设置1）启动 Wireshark 以后，选择菜单Capat

6、ure-Interfaces, 选择捕获的网卡，单击Capture开始捕获2）当停止抓包时，按一下stop，抓的包就会显示在面板中，并且已经分析好了。Wireshark 界面窗口被分成三个部分：最上面为数据包列表，用来显示截获的每个数据包的总结性信息； 中间为协议树，用来显示选定的数据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理层上传输时的最终形式。2.2 使用过滤器显示符合过滤条件的数据包Interface：指定在哪个接口（网卡）上抓包。Limit each packet：限制每个包的大小。Capture packets in promiscuous mod

7、e ：是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。Filter：过滤器，只抓取满足过滤规则的包。File：如果需要将抓到的包写到文件中，在这里输入文件名称。use ring buffer：是否使用循环缓冲。2.3 使用着色规则名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 32 页 - - - - - - - - - 2.4 使用基本图表进行网络分析3.使用 Wireshark 捕获流量数据包并保存至本地名

8、师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 32 页 - - - - - - - - - 五、实验分析使用 WireShark 对 ARP协议进行分析（1）启动 WireShark （2）捕获数据（3） 停止抓包并分析 ARP请求报文将 Filter过滤条件设为 arp，回车开始抓包（4）ARP 请求报文分析名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6

9、页，共 32 页 - - - - - - - - - 第一行：帧基本信息分析Frame Number （帧的编号）： 18 Frame Length( 帧的大小 ) ：60 字节。（以太网的帧最小64 个字节，而这里只有60 个字节，应该是没有把四个字节的CRC 计算在里面）Arrival Time(帧被捕获的日期和时间 ):Jun 25, 2018 19:02:57.728234000 中国标准时间Time delta from previous captured frame(帧距离前一个帧的捕获时间差): 0.347616000 seconds Time since reference o

10、r first frame(帧距离第一个帧的捕获时间差): 5.341389000 seconds Protocols in frame(帧装载的协议 )：eth:arp 第二行：数据链路层：Destination：Broadcast(ff:ff:ff:ff:ff:ff) Destination（目的地址） : Broadcast (ff:ff:ff:ff:ff:ff) （这是一个广播的 MAC 地址）名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 32 页 - - -

11、- - - - - - Source（源地址） : Pegatron_fe:b1:a7 (78:f2:9e:fe:b1:a7) 帧中封装的协议类型： ARP(0 x0806)（这个是 ARP协议的类型编号）Padding：是协议中填充的数据，为了保证帧最少有64 字节。第三行： ARP 协议Hardware type （硬件类型）： Ethernet(1) Protocol type（协议类型）： IPv4(0 x0800) Hardware size(硬件信息在帧中占的字节数) ：6 Protocol size(协议信息在帧中占的字节数) ：4 opcode（操作码）： request(1)

12、 Sender MAC address（发送方的地址）：Pegatron_fe:b1:a7 (78:f2:9e:fe:b1:a7) Sender IP address（发送方的 IP 地址）： 192.168.0.38 Target MAC address （目标的地址）：00:00:00_00:00:00(00:00:00:00:00:00) Target IP address（目标的 IP 地址）： 192.168.0.35 六、实验体会通过本次实验使用wireshark并分析抓包结果， 和对获得的 ARP报文的分析，我熟悉了 wireshark的使用，并更加深入了解了ARP报文的传输过程

13、。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 32 页 - - - - - - - - - 实验二、远程控制实验一、实验目的1. 掌握远程控制技术的有关内容；2. 掌握 pcAnywhere软件的操作方法；3. 掌握远程控制原理及基本协议、远程控制技术概念及原理等知识；4. 利用 pcAnywhere软件对远程计算机进行控制。二、实验仪器与器材pcAnywhere软件系统VM ware:Windows 7 Windows 10 三、实验原理1. 远程控制原理所谓远程控

14、制， 是指管理人员在异地通过计算机网络联通被控制的计算机，将被控计算机的桌面环境显示到自己的计算机上，通过本地计算机对远端计算机进行配置、软件安装和文件编辑等工作。 当操作者使用主控计算机控制被控端计算机时，可以启动被控端计算机的应用程序，使用被控端的文件资料， 甚至可以利用被控端计算机的外部设备和通信设备来进行工作。远程控制必须通过网络才能进行。位于本地的计算机是操纵指令的发出端，称为主控端或客户端，非本地的被控制的计算机称为被控端或服务器端。2. 远程控制技术随着网络的快速发展以及计算机管理和技术支持的需要，远程操作及控制技术越来越引起人们的关注。远程控制支持多种网络方式：LAN 、WAN

15、 、拨号方式及互联网方式。 此外，远程控制还支持通过串口、 并口和红外端口来对目标主机进行控制。传统的远程控制技术一般使用NETBEUI 、NETBIOS 、IPX/SPX和 TCP/IP等协议来实现，此外，还支持Java 技术，以实现不同操作系统下的远程控制。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 32 页 - - - - - - - - - 远程控制由两部分组成： 客户端（Client ）程序和服务器端 （Server ）程序。在进行远程控制前， 需要事先将客

16、户端程序安装到主控端计算机上，服务器端程序安装到被控端计算机上。远程控制的过程是：先在主控端计算机上执行客户端程序，向被控端计算机中的服务器端程序发出信号， 建立一个特殊的远程服务； 通过这个远程服务， 使用远程控制功能发送远程控制命令，控制被控端计算机运行。3. 远程控制方式远程控制的实现方式通常有两种：点对点方式和点对多点方式。点对点控制指的是一个远程客户端的程序在同一时间内只能连接并控制唯一一台远程计算机。点对点控制程序以客户端控制服务器端的模式工作，这也是远程访问控制中运用得最普遍的情况。 点对点的访问控制主要应用于对远程主机进行具体控制和监控的需求。一些专业软件， 如远程控制软件pc

17、Anywhere，可以借助局域网的优势用一台计算机控制多台计算机， 实现对远程主机的多点控制。 点对多点的访问控制可以在同一时间内对一台或多台远程计算机进行控制。点对多点的访问控制流程和点对点相反，首先由每个客户端程序向服务器端程序发出连接请求，建立连接之后，服务器端就可以对多台远程计算机的客户端程序发出指令并由客户端程序执行指令。点对多点的访问控制主要应用于控制大范围计算机领域，如定时、收费和监督等。远程控制在计算机网络管理与维护中应用相当普遍，网络管理员可以通过接入局域网中的任意一台计算机， 通过远程控制方式对网内服务器等设备进行管理和维护，实现在服务器上进行软件安装、系统升级、 数据备份

18、以及日志查看等功能。四、实验过程与测试数据1.pcAnywhere软件的安装与使用。安装成功后，双击桌面上的图标Symantec pcAnywhere ，打开软件运行界面，“转到高级视图”。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 32 页 - - - - - - - - - 2. 配置被控端（hosts ）。通过选择主机下的添加功能自定义配置被控端计算机。3. 配置主控端（ Remotes ）。在向导中输入被控端计算机的IP 地址。名师资料总结 - - -精品资

19、料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 32 页 - - - - - - - - - 设置完毕后，右击主控端，在快捷菜单中选择“开始远程控制”命令，即可自动连接至远程主机的桌面，实现安全的桌面远程操作。作为被控端，在“主机”中双击新建主机（AAA ）即可，任务栏的右下角会有图标提示。 作为主控端， 选中“远程”中的“AAA ”，单击左侧的“启动连接” ，或者双击 AAA ，出现如图 4.3.4 所示的界面。用户名就是登录名BBB ，密码就是登录密码 1234。连接成功后将按要求进入远程控制界

20、面或者文件传送界面，可以在远程控制界面中遥控被控计算机。如图，主控端出现了被控端的桌面窗口。4.远程控制扩展实验名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 32 页 - - - - - - - - - （1）单击工具栏中的“改为全屏显示”按钮，可全屏显示从机的桌面而隐藏主机的“开始”菜单和工具栏。单击工具栏中的“文件传送”按钮，左边显示的是主机资源，右边为从机资源，利用鼠标的拖放功能可实现文件的双机互相复制. （2）单击工具栏中的“查看修改联机选项”按钮，设置锁定从

21、机键盘，单击工具栏中的“结束远程控制对话”按钮。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 32 页 - - - - - - - - - 五、实验分析本实验中，以 pcAnywhere为例，进行了基于主机（实体机）和从机（虚拟机）的远程控制实验实现。作为一款独特的集成解决方案，pcAnywhere结合了远程控制、远程管理、高级文件传输功能和强健的安全性。实验过程中，通过在Windows 10 系统上安装 pcAnywhere主控端并进行远程登录的信息配置，在Wind

22、ows 7 系统上安装 pcAnywhere被控端并进行主机的信息设置以及对于远程控制的选项设置， 配置完成后进行远程控制的登录以及控制过程，并最终通过远程操纵计算机、文件传输等功能的实现，加深对远程控制的理解与应用。在本实验中，应注意的问题主要包括对于远程主机登录信息的配置环节中，对于登录账户、 域信息以及密码需要与在主控端中的配置完全一致，保证最终连接的成功。六、实验体会远程操作及控制技术在当下的用途越来越广泛，而远程控制安全作为网络安全中的一个重要组成部分， 也应当引起我们更多的关注。通过远程控制， 可以便利日常的生活学习以及工作， 大大提高工作的效率以及设备的利用率。我们在了解远程控制

23、技术的基础上， 应该进行进一步的深入研究， 做到合理而又安全地使用远程控制，发挥其最大的优势。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 32 页 - - - - - - - - - 实验三、入侵检测系统分析与应用一、实验目的1. 了解入侵检测系统2. 熟悉运用入侵检测软件二、实验仪器与器材Vm ware ：Ubuntu16.04 三、实验原理1. 入侵检测系统入侵检测系统（ intrusion detection system,IDS）是一种对网络传输进行即时监视

24、，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。IDS 是计算机的监视系统，它通过实时监视系统，一旦发现异常情况就发出警告。以信息来源的不同和检测方法的差异分为几类：根据信息来源可分为基于主机 IDS 和基于网络的 IDS，根据检测方法又可分为异常入侵检测和误用入侵检测。不同于防火墙， IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。在如今的网络拓扑中，已经很难找到以前的HUB 式的共享介质冲突域的网络， 绝大部分的网络区域都已经全面升级到交换式的网络结构。因此， ID

25、S 在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。这些位置通常是：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。入侵检测系统根据入侵检测的行为分为两种模式：异常检测和误用检测。前者先要建立一个系统访问正常行为的模型，凡是访问者不符合这个模型的行为将被断定为入侵； 后者则相反， 先要将所有可能发生的不利的不可接受的行为归纳建立一个模型，凡是访问者符合这个模型的行为将被断定为入侵。对各种事件进行分析， 从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标志（signature

26、-based），另一种基于异常情况（ anomaly-based）。对于基于标志的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。 检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。 而基于异常的检测技术则是先定义一组系统 “正常”情况的数值，如 CPU利用率、内存利用率、文件校验和等 （这类数据可以人为定义， 也可以通过观察系统、 并用统计的办法名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 32 页 - - - -

27、- - - - - 得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。2.Suricata入侵检测工具Suricata是一款高性能的网络IDS、IPS 和网络安全监控引擎。它是由the Open Information Security Foundation开发，是一款开源的系统。在所有目前可用的 IDS/IPS 系统中， Suricata最能够与 Snort 相抗衡。该系统有一个类似 Snort 的架构，依赖于像 Snort 等的签名，甚至可以使用VRT Snort 规则和Snort 本身使用的相同的Emerg

28、ing Threat规则集。四、实验过程与测试数据1. 工具安装获取最新的个人软件包档案源，将其添加至当前apt 库中。系统升级以及软件安装。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 32 页 - - - - - - - - - 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 32 页 - - - - - - - - - 安装完成后启动软件

29、并查看相关帮助。2.入侵检测：查看当前网卡使用情况。查看内置 snort 规则列表，配置自定义规则test.rules，并利用此条规则启动suricata。启动后，在浏览器打开百度页面。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 32 页 - - - - - - - - - Suricata软件会把记录保存在 /var/log/suricata中，在此文件夹中打开log文件查看记录。 首先打开 stats.log文件，根据记录的时间可以进行查看刚刚进程的记录，可以看

30、出tcp 握手的过程。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页，共 32 页 - - - - - - - - - 打开 suricata.log文件，此文件存储软件检测日志， 可以查看 suricata软件使用过程中所有的提示，包括错误、警告等。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页，共 32 页 - - - - - - - - - 打开文

31、件 eve.json ，发现其中以 json 格式记录着所有的数据，包括源IP 和目标 IP 等。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 21 页，共 32 页 - - - - - - - - - 五、实验分析Suricata软件可以利用 snort 的规则，通过规则的编写可以实现自己想要的结果。软件安装前需要安装必要的库文件，而且没有采用通过源码进行安装，保证了安装的准确性和软件使用的可靠性。Suricata可以通过选定某个网络接口来进行监听，并将监听过程中所监听到的信息都

32、记录在日志中， 以便于查看分析是否被入侵。 通过合理使用 snort 规则，可以实现对单独事件、单独网络协议和某些木马攻击等都可以实现单独的检测，从而对于特定的目标实现特定的检测方案。六、实验体会通过此次实验， 我对入侵检测系统的原理和两种入侵检测行为的模式有了一个初步的认识和了解。Suricata是一种高性能的入侵检测工具，堪比目前应用最为广泛的Snort。通过 Suricata的使用，编写简单的snort 规则，可以实现简单的入侵监控。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - -

33、第 22 页，共 32 页 - - - - - - - - - 实验四、虚拟蜜罐分析与实践一、实验目的1. 掌握虚拟蜜网的定义、结构及具体搭建步骤。2. 利用蜜网工具进行网络行为分析。二、实验仪器与器材VM ware：Ubuntu 64 ，honeynet 工具包VM ware：Windows 7, Trap-sever蜜罐模拟工具三、实验原理1. 蜜罐原理蜜罐 honeypot 的定义，“蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。”蜜罐的设计初衷就是让黑客入侵，借此收集相关证据，并隐藏真实的服务器地址。 蜜罐一般具有以下功能： 发现攻击、产生警告、强大的记录能力、欺骗、协助调查。

34、蜜罐的另一个用途是拖延攻击者对其真正目标的攻击，让攻击者在蜜罐上浪费时间， 与此同时， 最初的攻击目标受到了保护，真正有价值的内容将不受侵犯。 根据管理员的需要不同， 蜜罐的系统和漏洞设置要求也不同，蜜罐是多种多样的，包括实系统蜜罐、伪系统蜜罐。2. 虚拟蜜罐网络 Honeynet 虚拟蜜罐网络 Honeynet是 honeypot 的一种形式。Honeypot 是用来让人攻击，存在安全风险的资源。而Honeynet 是一种交互性很高的Honeypot。这种高度的交互性能够使我们了解入侵者怎样攻破系统，怎样联系和为什么要入侵系统的一切东西。Honeynets 是通过构建一个网络系统来实现这个目

35、的的。这个网络是高度集成的，所有流入和流出的数据都会被控制和捕捉，在这个网络中的每一个系统都是一个真正的Honeypot，每个系统都是为了诱导攻击者的攻击而设计。Honeyd是一种低交互的蜜罐。 Honeyd 是一个小的防护程序，它能够产生虚拟的主机，这些主机能够被配置以提供任意的服务，系统特征也是与之相适应，以至于使之看起来像真实的系统在运行。在一个局域网的网络仿真中，Honeyd能够使单个主机拥有许多IP（多达 65536个）。通过提供对威胁探测和评估的机制，增强了计算机的安全性， 通过隐藏真实的系统在虚拟的系统中，也达到了阻止敌手的目的。启动honeyd 前有时必须先启动arpd. 启动

36、 arpd 有 2 种方式：arpd IP ；%arpd IP(%表示 arpd 的路径，因为系统本身有个arpd，有时需要指定自己安装的那个arpd 的路径 ) 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 23 页，共 32 页 - - - - - - - - - 3.Trap-sever蜜罐模拟工具Trap Server是一款 WEB 服务器蜜罐软件，它可以模拟很多不同的服务器，例如： Apache HTTP Server、Microsoft IIS等。Trap Serve

37、r蜜罐运行时就会开放一个伪装的 WEB 服务器，虚拟服务器将对这个服务器的访问情况进行监视，并把所有对该服务器的访问记录下来，包括IP 地址，访问文件等。通过这些对黑客的入侵行为进行简单的分析。四、实验过程与测试数据1. 虚拟蜜罐网络 Honeynet 在 ubuntu 上的搭建（1）系统库安装 : 需要安装 flex 、bison 和 libedit-dev，为 Honeynet 的搭建提供支持。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 24 页，共 32 页 - - - -

38、 - - - - - 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 25 页，共 32 页 - - - - - - - - - （2）依赖库、 honeyd和 arpd 安装安装时，先将压缩包解压到主文件目录下，再在文件中用./configure命令，对即将安装的软件进行配置， 检查当前的环境是否满足要安装软件的依赖关系，使用 make工具对文件中所有源代码进行自动编译， 最后使用 sudo make install 命令来进行安装。名师资料总结 - - -精品资料欢迎下载 - -

39、 - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 26 页，共 32 页 - - - - - - - - - 对所有压缩包按照如下的顺序执行上面的操作(根据版本可能安装包有所不同)：1.libevent-1.4.14b-stable.tar.gz 2.libdnet-1.12.tgz 3.libpcap-1.3.0.tar.gz 4.zlib-1.2.8.zip 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 27 页，共

40、 32 页 - - - - - - - - - 5.honeyd-1.5c.tar.gz 6. arpd-0.2.tar 在安装 honeyd 时，在检查时还会出现另外一个错误：无法获取libc，我们此时需要使用 cp命令来获取 libc：sudo cp /lib/x86_64-linux-gnu/libc.so.6 /usr/lib/ 安装 aprd 工具时，在检查的时候会报错，是由于其中一个文件出现问题，需要在 arpd/arpd.c文件中添加 #define _FUNCTION_ 。在启动 honeyd的时候发现报错，是由于虽然已经安装了honeyd所依赖的共享库，但是在调用该共享库时，

41、 程序按照默认共享路径找不到该共享文件。进行一系列修改，最后在 root 权限下启动成功。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 28 页，共 32 页 - - - - - - - - - 2.honeyd 的简单使用首先用 aprd 工具虚拟出两台主机。 在局域网中选择一个未被使用的IP 地址，启动 arpd，此处选择的是 192.168.68.1 。然后在此空闲的 ip 上构建虚拟蜜罐并进行监听。3. Trap-sever蜜罐模拟工具的使用将 Trap-sever蜜罐模拟

42、工具安装在win7 系统下，安装完成后启动软件。在主界面点击“开始监听”按钮，开启蜜罐服务。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 29 页，共 32 页 - - - - - - - - - 此记录表示，Trap Server 开始侦听服务器的80 端口。在本机浏览器输入自己自己服务器的ip,访问访问用Trap Server 模拟的 WEB 服务。这时，在 Trap Server 主界面里就会自动监听并显示攻击者的访问操作记录。另外，在遭受攻击时如果不知道攻击者的真实IP 地

43、址，可以点击“跟踪”按钮，软件会跟踪 IP 经过的路由，揪出攻击者的IP 地址。五、实验分析arpd运行在与 honeyd相同的系统上，是 honeyd众多协作工具中最重要的一个。arpd工作时监视局域网内的流量， 并通过查看 honeyd系统的 ARP 表判断其它系统的活动与否。当一次企图对局域网内系统的连接发生时，arpd 通过查找ARP 表得知目的 IP 地址不存在后，就会尝试对受害者的IP 地址进行 ARP 广播，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 30 页，共

44、32 页 - - - - - - - - - 如果 honeyd得到了响应，说明目标系统确实存在，于是把目标系统的IP 地址与MAC 地址的对应写入 honeyd的 ARP 表，并对这次连接尝试不动作，因为这可能是合法流量。 如果 arpd没有从目标接收到arp响应，那么它就认为目标系统并不存在，假设这是一次攻击行为，于是就尝试充当受害者的IP 地址并对攻击者作出回应。由此可见， arpd将对指定的 IP 地址范围内未使用的IP 用 honeyd主机的 MAC 地址做出 arp 应答。这样对指定的IP 地址范围内未使用的IP 的连接访问都被重定向至honeyd主机。因此这样的设计在局域网中特别

45、能最大化的诱骗蠕虫病毒的攻击，转移攻击流，为下一步检测和捕获蠕虫病毒奠定了基础。在实际应用方面， Trap Server 是 SQL 注入的天敌，能详细地记录各种手工的和利用工具实现的方法，并完整地再现当时的入侵过程。“Trap Server ”相当于有 traceroute功能的 WEB 服务端。与同类的探测软件相比， Trap Server在发布 WEB 与 traceroute上占优势，但不能同时绑定多格端口，也不能绑定UDP，数据分析能力也要差一点。所以说它还只是一个很简单的虚拟蜜罐。六、实验体会通过此次实验我对虚拟蜜罐有一个初步的了解，掌握了honeyd 这种虚拟蜜罐在 linux系

46、统上搭建的步骤， 也了解了其使用的方法。 蜜罐好比是情报收集系统，故意让人攻击的目标，引诱入侵者前来攻击。通过使用蜜罐，可以知道入侵是如何发生的，随时了解针对服务器发动的最新的攻击和漏洞。实现知己知彼，既了解入侵者的动机，又发现我们的问题，从而更好地加以防范。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 31 页，共 32 页 - - - - - - - - - 成绩表项目比例成绩网络分析器应用实验15%远程控制实验25%入侵监测系统分析与应用30%虚拟蜜罐分析与实践30%总成绩100% 指导教师签字：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 32 页，共 32 页 - - - - - - - - -