码住！迟早会写报告！！网络攻击与防御实验指导

目录

实验一 常用网络命令的使用
实验二 Wireshark的使用
实验三 SuperScan扫描工具（或Nmap）的使用
实验四 口令破解工具L0phtCrack的使用
实验五 SQL注入攻击
实验六 木马分析
实验七 天网防火墙的配置

实验一 常用网络命令的使用

一、实验目的

1.了解常用网络命令的基本功能
2.掌握常用网络命令的使用方法
3.熟悉和掌握网络管理、网络维护的基本内容，掌握使用网络命令观察网络状态的方法

二、实验原理

1.Ping命令
ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [[-j computer-list] | [-k computer-list]] [-w timeout] destination-list

2.ipconfig命令
该命令显示所有当前的 TCP/IP 网络配置值。一般用来检验人工配置的TCP/IP设置是否正确。

3．Arp命令
该命令显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个表，它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的情况下使用，则 arp 命令将显示帮助信息。

4.Netstat命令
该命令用于显示网络的整体使用情况，它可以显示当前计算机中正在活动的网络连接的详细信息，如采用的协议类型、当前主机于远端相连主机的IP地址以及它们的连接状态等。

5.Tracert命令
这个命令可以判断数据包到达目的主机所经过的路径，显示数据包经过的中继节点清单和到达时间。

6.nslookup命令
查询任何一台机器的IP地址和其对应的域名。它通常需要一台域名服务器来提供域名。如果用户已经设置好域名服务器，就可以用这个命令查看不同主机的IP地址对应的域名。

三、实验仪器设备
Windows环境下常用的网络命令的使用。其中有：ping 、ipconfig、 arp、tracert、 Netstat、nslookup、whois等命令。计算机

四、实验内容与步骤

1．Ping 命令
（1）Ping命令的格式如下：
ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [[-j computer-list] | [-k computer-list]] [-w timeout] destination-list

（2）主要参数含义：
-t Ping 指定的计算机直到中断。连续对IP地址执行Ping命令
-a 将地址解析为计算机名。
-n count 发送 count 指定的 ECHO 数据包数。默认值为 4。
-l length 发送包含由 length 指定的数据量的 ECHO 数据包。默认为 32 字节；最大值是 65,527。
-f 在数据包中发送“不要分段”标志。数据包就不会被路由上的网关分段。
-i ttl将“生存时间”字段设置为 ttl 指定的值。
-v tos 将“服务类型”字段设置为 tos 指定的值。
-r count 在“记录路由”字段中记录传出和返回数据包的路由。count 可以指定最少 1 台，最多 9 台计算机。
-s count 指定 count 指定的跃点数的时间戳。
-j computer-list 利用 computer-list 指定的计算机列表路由数据包。连续计算机可以被中间网关分隔（路由稀疏源）IP 允许的最大数量为 9。
-k computer-list 利用 computer-list 指定的计算机列表路由数据包。连续计算机不能被中间网关分隔（路由严格源）IP 允许的最大数量为 9。
-w timeout 指定超时间隔，单位为毫秒。
destination-list 指定要 ping 的远程计算机。

（3）通常用ping命令来测试某两台计算机之间是否连通：
ping 目的主机的IP
如果ping命令的结果是“Reply from …：bytes＝… time<… TTL=…”则表示当前主机与目的主机之间是连通的；如果结果是“Request timed out”，则表示发送的数据包没有到达目的地。此时，可能存在两种情况：一种是网络不连通；另一种是网络连通状况不好。

（4）利用ping命令测试网络状况的主要步骤如下：
1）ping 127.0.0.1。该命令利用环回地址验证本次计算机上安装的TCP/IP协议以及配置是否正确。如果没有回应，则说明本地TCP/IP的安装和运行不正常。
2）ping localhost。Localhost是操作系统保留名，也是127.0.0.1的别名。每台计算机应该都能将该名字转换为地址，作用同1）。
3）ping 本机IP地址。本地计算机始终都会对该命令作出回应。
4）ping 局域网内其他机器IP。用于验证本地网络的网卡和线路是否正确。
5）ping 默认网关IP地址。验证本地主机是否与默认网关连通。
6）ping 远程主机IP。验证本地主机与远程主机的连通性。

（5）其他带参数的常用的ping命令
ping IP －t
ping IP －l 2000
ping IP －n

2．ipconfig命令

该命令显示所有当前的 TCP/IP 网络配置值。一般用来检验人工配置的TCP/IP设置是否正确。

（1）ipconfig命令格式如下：
ipconfig [/? | /all | /release [adapter] | /renew [adapter]

（2）主要参数含义：

/all 显示所有网络适配器(网卡、拨号连接等)的完整TCP/IP配置信息。与不带参数的用法相比，它的信息更全更多，如IP是否动态分配、显示网卡的物理地址等。
/release_all和/release N 释放全部(或指定)适配器的由 DHCP分配的动态IP 地址。此参数适用于IP地址非静态分配的网卡，通常和下文的renew参数结合使用。
/renew_all或ipconfig /renew N 为全部(或指定)适配器重新分配IP地址。此参数同样仅适用于IP地址非静态分配的网卡，通常和上文的release参数结合使用。

（3）基本用法
C:>ipconfig
不带任何参数的ipconfig命令，只显示IP地址、子网掩码和默认网关，如下：
Windows 2000 IP Configuration
Ethernet adapter 本地连接:
Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 10.111.142.71 //IP地址
Subnet Mask . . . . . . . . . . . : 255.255.255.0 //子网掩码
Default Gateway . . . . . . . . . : 10.111.142.1 //缺省网关
C:>ipconfig /all
使用/all参数时，除了显示已配置的TCP/IP信息外，还显示内置于本地网卡中的物理地址以及主机名等信息。

3．Arp命令
该命令显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个表，它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的情况下使用，则 arp 命令将显示帮助信息。

（1）该命令格式如下：
arp[-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s InetAddr EtherAddr [IfaceAddr]]

（2）主要参数含义：
InetAddr 和 IfaceAddr 点分十进制表示的IP 地址。
EtherAddr 十六进制记数法表示的物理地址，用连字符隔开（比如，00-AA-00-4F-2A-9C）。
-a[ InetAddr] [ -N IfaceAddr] -g[ InetAddr] 显示所有接口的当前 ARP 缓存表。要显示特定 IP 地址的 ARP 缓存项，请使用带有 InetAddr 参数的 arp -a，此处的 InetAddr 代表 IP 地址。如果未指定 InetAddr，则使用第一个适用的接口。要显示特定接口的 ARP 缓存表，请将 -N IfaceAddr 参数与 -a 参数一起使用，此处的 IfaceAddr 代表指派给该接口的 IP 地址。-N 参数区分大小写。
-d InetAddr [IfaceAddr] 删除指定的 IP 地址项，此处的 InetAddr 代表 IP 地址。对于指定的接口，要删除表中的某项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表指派给该接口的 IP 地址。要删除所有项，请使用星号 (*) 通配符代替 InetAddr。
-s InetAddr EtherAddr [IfaceAddr] 向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。要向指定接口的表添加静态 ARP 缓存项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表指派给该接口的 IP 地址。
注意：通过 -s 参数添加的项属于静态项，它们不会 ARP 缓存超时。如果终止 TCP/IP 协议后再启动，这些项会被删除。要创建永久的静态 ARP 缓存项，需要请将适当的 arp 命令置于批处理文件中，并使用“任务计划”在启动时运行该批处理文件。

（3）基本使用
arp –a 显示所有接口的 ARP 缓存表。
arp -a -N 10.0.0.99 对于指派的 IP 地址为 10.0.0.99 的接口，显示其 ARP 缓存表。
arp -s 10.0.0.80 00-AA-00-4F-2A-9C 添加将 IP 地址 10.0.0.80 解析成物理地址 00-AA-00-4F-2A-9C 的静态 ARP 缓存项。

4.Netstat命令
该命令用于显示网络的整体使用情况，它可以显示当前计算机中正在活动的网络连接的详细信息，如采用的协议类型、当前主机于远端相连主机的IP地址以及它们的连接状态等。
(netstat命令能够显示活动的TCP连接、计算机侦听的端口、以太网统计信息、IP路由表、IPv4统计信息（对于IP、ICMP、TCP和UDP协议）以及IPv6统计信息（对于IPv6、ICMPv6、通过IPv6的TCP以及UDP协议）。
命令格式如下：
Netstat[-a][-e][-n][-s][-p proto][-r][interval]

主要参数含义：
-a 显示所有主机连接和监听的端口号。
-e 显示以太网统计一信息。
-n 以数字表格形式显示地址和端口
-s 显示每个协议的使用状态，这些协议主要有TCP、UDP、ICMP和IP等。
-p proto 显示特定协议的具体使用信息。
-r 显示路由信息。
基本使用
Netstat －an
常用该命令来显示当前主机的网络连接状态，可以看到有哪些端口处于打开状态，有哪些远程主机连接到本机。
例如：Netstat －an

5.Tracert命令
这个命令可以判断数据包到达目的主机所经过的路径，显示数据包经过的中继节点清单和到达时间。
（1）命令格式如下：
tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name
（2）主要参数含义：
-d：不解析主机名。
-h maximum_hops：指定搜索到目的地址的最大跳数。
-j host-list：沿着主机表释放源路由。
-w timeout：指定超时时间间隔，单位为毫秒。
target_name：目标主机。
（3）基本使用
Tracert 某远程主机的IP地址或者域名。该命令常用来跟踪到达这台主机的路由。
例如: Tracert www.baidu.com

6.nslookup命令
查询任何一台机器的IP地址和其对应的域名。它通常需要一台域名服务器来提供域名。如果用户已经设置好域名服务器，就可以用这个命令查看不同主机的IP地址对应的域名。
例如：查看www.qau.edu.cn的IP。在提示符后输入要查询的IP地址或域名并回车即可。
7.Whois数据库
Whois是查询Internet注册信息的标准协议、服务，它可提供：网络注册机构、网络域名、主机信息、网络IP地址分配、网络管理人员信息，如电子邮件、电话号码等。
Whois查询方式
Unix系统中可使用whois命令
通过提供whois服务的网站
站长工具：http://tool.chinaz.com/
http://www.internic.net/whois.html
http://www.whois.net
http://www.allwhois.com/
五、实验报告要求
认真按实验报告的格式和实验要求书写实验报告。
1.根据实验数据进行分析、归纳和总结实验结论。
2.心得体会及其他。

实验二 利用Wireshark抓包分析协议

一、实验目的

1. 掌握Wireshark软件的基本使用方法

2. 掌握基本的网络协议分析方法

3. 通过抓包工具，分析Mac帧的格式、ARP分组的格式、IP数据报的格式、ICMP报文、TCP报文段的格式、UDP数据报等协议的格式。

4. 理解和掌握TCP/IP协议的运行原理和运行机制，更好的保障网络安全。
   二、实验原理

5. 安装和配置网络协议分析仪Wireshark（http://www.wireshark.org）

6. 使用并熟悉Wireshark分析协议的界面环境（菜单、工具条和各种窗口等）。

7. 学会使用Wireshark捕捉协议并分析。
   三、实验仪器设备
   Windows 7 或Windows 10下Wireshark32位或64位。计算机。（注：本实验也可选择在Linux下进行，实验者可根据实际情况选择）
   四、实验内容与步骤
   （说明：本实验步骤，大致分为三步：1. 安装软件；2.根据需要开始抓数据包；3.对数据包进行分析）

8. 下载、安装Wireshark和启动。
   下载网址: https://www.wireshark.org/download.html；

9. Wireshark 开始抓包,使用说明：
   a) 开始界面：

   b) wireshark是捕获机器上的某一块网卡的网络包，当你的机器上有多块网卡的时候，你需要选择一个网卡。点击Caputre->Interfaces… 出现下面对话框，选择正确的网卡。然后点击"Start"按钮, 开始抓包.
   Wireshark 窗口介绍:

WireShark 主要分为这几个界面：
（1）Display Filter(显示过滤器)， 用于过滤
（2）Packet List Pane(封包列表)， 显示捕获到的封包， 有源地址和目标地址，端口号。 颜色不同，代表
（3）Packet Details Pane(封包详细信息), 显示封包中的字段
（4）Dissector Pane(16进制数据)
（5）Miscellanous(地址栏，杂项)
c) Wireshark 显示过滤:

过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。
过滤器有两种，
一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录
一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。 在Capture -> Capture Filters 中设置, 保存过滤.
d) 过滤表达式的规则
表达式规则
（1）协议过滤
比如TCP，只显示TCP协议。
（2）IP 过滤
比如 ip.src 192.168.1.102 显示源地址为192.168.1.102，
ip.dst192.168.1.102, 目标地址为192.168.1.102
（3）端口过滤
tcp.port 80, 端口为80
tcp.srcport == 80, 只显示TCP协议的愿端口为80的。
（4）Http模式过滤
http.request.method"GET", 只显示HTTP GET方法的。
（5）逻辑运算符为 AND/ OR
例如：过滤表达式为：ip.src 192.168.1.102 or ip.dst192.168.1.102
其抓的数据包为：源地址或者目标地址是192.168.1.102
五、实验示例：
开始抓包，从抓的数据包中的找出一个IP数据包：
根据抓的包，在封包列表中选中一条信息后，在封包详细信息栏展开该IP数据包的详细信息，可参见下图：

从抓的数据包中，可以看出该数据包中的内容：版本首部长度、服务类型、总长度、标识、片偏移、寿命、协议、源Ip地址、目的地址等。
从抓的数据包中，也可以分析TCP协议格式：

思考：（1）你能否找到TCP连接的三次握手过程？（如下图：）
（2）请详细分析一下你在（1）中找到的三次握手过程中，TCP报文各字段的含义和变化。

六、实验报告要求
认真按实验报告的格式和下列要求书写实验报告。
1.根据实验数据进行分析、归纳和总结实验结论。
2.心得体会及其他。

实验三 SuperScan扫描工具（或Nmap）的使用

一、实验目的
掌握网络端口扫描器的使用方法，熟悉常见端口和其对应的服务程序，掌握发现系统漏洞的方法。掌握综合扫描及安全评估工具的使用方法，了解进行简单系统漏洞入侵的方法。
二、实验原理
常见的网络和系统漏洞以及其安全防护方法
三、实验仪器设备
机器安装了Windows操作系统，并组成了一个局域网，并且都安装了SuperScan端口扫描工具和流光Fluxay5综合扫描工具。
四、实验内容与步骤
1.使用Superscan端口扫描工具并分析结果

2.然后选择，扫描类型



























3.运行成功后



























4.选择端口开关

5.只允许TCP端口之后

139  445 这两个端口已经被关闭 无法被扫描到

设定扫描的IP地址(这就是FTP服务器 所在机子的IP) 然后一直按下一步就好 都不需要点击什么
另一个虚拟机 一定要开启FTP 服务器
6.在用户列表 空白处 右键点击 创建用户

7.在FTP服务器创建一个匿名账号 密码为空

8.扫描成功之后探测结果会显示允许匿名登录，并且用户名会显示 ftp 主机是服务器IP的说明已经扫描成功。

9.使用CMD 命令行 登录ftp服务器











10.在使用流光软件的主机上可以搜索到下载好的文件(上传，下载文件飘忽不定)建议使用搜索 来找文件












11.使用FTP命令行来上传文件

12.在FTP的服务器的 主机 搜索一下文件 就可以看到 已经上传的文件了

五、实验报告要求
认真按实验报告的格式和下列要求书写实验报告。
1.根据实验数据进行分析、归纳和总结实验结论。
2.心得体会及其他。

实验四 口令破解工具L0phtCrack的使用

一、实验目的
通过密码破解工具的使用，了解账号口令的安全性；掌握安全口令设置原则，以保护账号口令的安全。
二、实验原理
有关系统用户账号密码口令的破解主要是基于密码匹配的破解方法，最基本的方法有两个，即穷举法和字典法。穷举法就是效率最低的办法，将字符或数字按照穷举的规则生成口令字符串，进行遍历尝试。在口令密码稍微复杂的情况下，穷举法的破解速度很低。字典法相对来说效率较高，它用口令字典中事先定义的常用字符去尝试匹配口令。
口令字典是一个很大的文本文件，可以通过自己编辑或者由字典工具生成，里面包含了单词或者数字的组合。如果密码就是一个单词或者是简单的数字组合那么破解者就可以很轻易的破解密码。目前常见的密码破解和审核工具有很多种，例如破解Windows平台口令的LOphtCrack、WMICracker、SMBCrack、CNIPC NT弱口令终结者以及商用的工具:Elcomsoft公司的Adanced NT Security Explorer和ProactiveWindows Security Explorer、Winternals的Locksmith等，用于Unix平台的有John the Ripper等。本实验主要通过LOphtCrack的使用，了解用户口令的安全性。
三、实验仪器设备
本实验需要一台安装了Windows 2000/XP的PC机，安装L0phtCrack5.02和Cain密码破解工具。
四、实验内容与步骤
L0phtCrack5是L0phtCrack组织开发的Windows平台口令审核程序的最新版本，它提供了审核Windows用户账号的功能，以提高系统的安全性。另外，LC5也被一些非法入侵者用来破解Windows用户口令，给用户的网络安全造成很大的威胁。所以，了解LC5的使用方法，可以避免使用不安全的口令，从而提高用户本身系统的安全性。
1.在主机内建立用户名test，口令分别陆续设置为空、123123、security、security123进行测试。
2.启动LC5，弹出来LC5的主界面
3.打开文件菜单，选择LC5向导
4.接着弹出LC向导界面
5.单击Next按钮
6.如果破解本台计算机的口令，并且具有管理员权限，那么选择第-项“从本地机器导入(retrieve from the local machine)”;如果已经进入远程的一台主机，并且有管理员权限，那么可以选择第二项“从远程电脑导入( retrieve from a remote machine)”，这样就可以破解远程主机的SAM文件;如果得到了一台主机的紧急修复盘，那么可以选择第三项“破解紧急修复盘中的SAM文件(retrieve from nt4.0 emergency repaire disks)”；LC5还提供第四项“在网络中探测加密口令(retrieve by sniffing the local network)”的选项，LC5可以在一台计算机向另一台计算机通过网络进行认证的“质询/应答”过程中截获加密口令散列，这也要求和远程计算机建立连接。本实验破解本地计算机口令，所以选择“从本地计算机导入”，再单击Next按钮。
7.第一步所设置的是空口令，可以选择“快速口令破解( quick password auditing)”即可以破解口令，再单击Next按钮
8.选择默认的选项即可，单击下一步。
9.单击完成按钮，软件就开始破解账号。
10.用户test的口令为空，软件很快就破解出来了。把test用户的口令改为“123123”，再次测试，由于口令不是太复杂，还是选择快速口令破解。
11.可以看到，test用户的口令“123123”，也很快就破解出来了。把主机的口令设置的复杂一些，不选用数字，选用某些英文单词，比如.security，再次测试，由于口令组合复杂一些，在破解方法选择“普通口令破解(common password auditing)”
12.可以看到，口令security也被破解出来，只是破解时间稍微有点长而已。
五、实验报告要求
认真按实验报告的格式和下列要求书写实验报告。
1.根据实验数据进行分析、归纳和总结实验结论。
2.心得体会及其他。

实验五 SQL注入攻击

一、实验目的
通过SQL注入攻击，掌握网站的工作机制，认识到SQL注入攻击的防范措施，加强对Web攻击的防范。
在虚拟机环境查找SQL注入漏洞，通过Metasploit平台的sqlmap攻击实施SQL注入，了解防御措施。
二、实验原理
1.打开终端，进入sqlmap目录；
2.通过sqlmap进行注入攻击；
3.通过sqlmap获取数据库名；
4.通过sqlmap获取表名。
三、实验仪器设备
攻击机：BT5r3，IP地址：192.168.200.4
URL:http://search.js.cei.gov.cn/004_zhnews/search/detail.php?id=10832
四、实验内容与步骤
配置实验环境：首先选择网络适配器，安装环回适配器，在主机.上安装Vmware Player，成功启动虚拟机。接着配置宿主机和虚拟机的IP。

要注意的是，配置主机上的IP时，应该选择VMnet8，并且注意勾取Bridge。



























然后，验证宿主机和虚拟机是否联通，结果显示连接成功。



























最后在虚拟机上安装IIS程序，打开浏览器，输入地址“127.0.0.1”，检查网站搭建情况。

五、实验报告要求
认真按实验报告的格式和下列要求书写实验报告。
1.根据实验数据进行分析、归纳和总结实验结论。
2.心得体会及其他。

实验六 木马分析

一、实验目的
1.通过对木马的练习，使读者理解和掌握木马传播和运行的机制；
2.通过手动删除木马，掌握检查木马和删除木马的技巧，学会防御木马的相关知识，加深对木马的安全防范意识。
二、实验原理
1.木马是隐藏在正常程序中的具有特殊功能恶意代码，是具备破坏，删除和修改文件，发送密码，记录键盘，实施Dos攻击甚至完全可能告知计算机等特殊功能的后门程序。它隐藏在目标计算机里，可以随计算机自动启动并在某一端口监听来自控制端的控制信息。
2.木马的传统连接技术：一般木马都采用C/S(client/server，即服务器/客户端)运行模式，因此它分为两部分，即客户端和服务前端木马程序。其原理是，当服务器端程序在目标计算机上被执行后，一般会打开一个默认的端口进行监听，当客户端向服务器端主动提出连接请求，服务器端的木马程序就会自动运行，来应答客户端的请求，从而建立连接。第一代和第二代木马就采用这种方式。
3.木马的反弹端口技术：随着防火墙技术的发展，它可有效拦截从外部主动发起的连接的木马程序。但防火墙对内部发起的连接请求则认为是正常连接，第三代第四代木马就是利用这个缺点，其服务器端程序主动发起对外连接请求，再通过某些方式连接到木马的客户端，就是说“反弹式”木马是服务器端主动发起连接请求，而客户端是被动的连接。
4.线程插入技术：我们知道，一个应用程序在运行之后，都会在系统之中产生一个进程，同时，每个进程分别对应了一个不同的进程标识符。系统会分配一个虚拟的内存空间地址段给这个进程，一切相关的程序操作，都会在这个虚拟的空间中进行。一般情况下，线程之间是相互独立的，当一个线程发生错误的时候，并不一定会导致整个进程的崩溃。“线程插入”技术就是利用线程之间运行的相对独立性，使木马完全地融进了系统那个内核。系统运行时会有很多的进程，而每个进程又有许多的线程，这就导致了查杀利用“线程插入”技术木马程序的难度。
三、实验仪器设备
VPC1(虚拟PC） 操作系统类型：windows xp，网络接口：eth0
VPC1 连接要求 与VPC2相连
VPC2(虚拟PC) 操作系统类型：windows xp，网络接口：eth0
VPC2连接要求 与VPC1相连
软件描述 冰河V8.4
实验环境描述 VPC1与VPC2直接相连，组成一个小局域网
四、实验内容与步骤
1.学生单击“试验环境试验"按钮；
2.点击"打开控制台”分别进入VPC1:xp01与VPC2:xp02实验系统。在VPC1中D:tools文件夹下；
3.双击G_SERVER，G_Server是木马的服务器端，即用来植入目标主机的程序；
4.此时，如果弹出"windows安全警报”窗口，点击解除阻止”，木马的服务器端便开始启动；
5.同样，在VPC2中D:ltools目录，双击G_CLIENT(G__Client是木马的客户端，即木马的控制端)；
6.此时如果弹出"windows安全警报窗口”，点击"解除阻止”，则可打开控制端；
7.打开控制端G_CLIENT后，弹出“冰河"的主界面；
8.单击快捷键工具栏中的“添加主机”按钮；
9.在打开中输入cmd，点击确定，即可出现命令行界面，在窗口中输入"ipconfig"即可获取VPC1的IP地址，此处VPC1的IP地址为172.16.1.192(此IP地址不固定)；
10.填写VPC1的IP地址,并点击确定，即可以看到主机界面上添加了192.168.1.176的主机；
11.单击192.168.1.176主机，如果连接成功,则会显示服务器端主机上的盘符。这时我们就可以像操作自己的电脑一样操作远程目标电脑，比如打开C:WINNT\system32\config目录可以找到对方主机上保存用户口令的SAM文件。
五、实验报告要求
认真按实验报告的格式和下列要求书写实验报告。
1.根据实验数据进行分析、归纳和总结实验结论。
2.心得体会及其他。

实验七 天网防火墙的配置

一、实验目的
1.通过实验深入了解防火墙的功能和工作原理；
2.熟悉天网防火墙个人版的配置和使用。
二、实验原理
随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时，基于网络连接的安全问题也日益突出，因此计算机安全问题，应该像每家每户的防火防盗问题一样，做到防范于未然。防火墙则是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。
防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。
例如，防火墙可以限制TCP、UDP协议及TCP协议允许访问端口范围，当不符合条件时，程序将询问用户或禁止操作，这样可以防止恶意程序或木马向外发送、泄露主.机信息。并且可以通过配置防火墙IP 规则，监视和拦截恶意信息。与此通知，还可以利用IP规则封杀指定TCP/UDP端口，有效地防御入侵，如139漏洞、震荡波等。
三、实验仪器设备
Windows XP 天网个人防火墙
四、实验内容与步骤
1.局域网地址设置，防火墙将会以这个地址来区分局域网或者是INTERNET的IP来源；
2.管理权限设置，它有效地防止未授权用户随意改动设置、退出防火墙等；
3.入侵检测设置,开启此功能，当防火墙检测到可疑的数据包时防火墙会弹出入侵检测提示窗口，并将远端主机IP显示于列表中；
4.安全级别设置，其中共有五个选项；
低：所有应用程序初次访问网络时都将询问，己经被认可的程序则按照设置的相应；
规则运作。计算机将完全信任局域网，允许局域网内部的机器访问自己提供的各种服务(文件、打印机共享服务)但禁止互联网上的机器访问这些服务。适用于在局域网中提供服务的用户。
中：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止访问系统级别的服务(如HTIP.FTP等)。局域网内部的机器只允许访问文件、打印机共享服务。使用动态规则管理，允许授权运行的程序开放的端口服务，比如网络游戏或者视频语音电话软件提供的服务。适用于普通个人上网用户。
高：所有应用程序初次访问网络时都将询问，已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务(文件、打印机共享服务)，局域网和互联网上的机器将无法看到本机器。除了已经被认可的程序打开的端口，系统会屏蔽掉向外部开放的所有端口。也是最严密的安全级别。
扩:基于“中”安全级别再配合一系列专门]针对木马和间谍程序的扩展规则，可以防止木马和间谍程序打开TCP或UDP端口监听甚至开放未许可的服务。我们将根据最新的安全动态对规则库进行升级。适用于需要频繁试用各种新的网络软件和服务、又需要对木马程序进行足够限制的用户。
自定义：如果您了解各种网络协议，可以自己设置规则。注意，设置规则不正确会导致您无法访问网络。适用于对网络有一定了解并需要自行设置规则的用户。
5.IP规则：IP规则是针对整个系统的网络层数据包监控而设置的，其中有几个重要的设置。
防御ICMP攻击：选择时，即别人无法用PING的方法来确定用户的存在。但不影响用户去PING别人。因为ICMP协议现在也被用来作为蓝屏攻击的一种方法，而且该协议对于普通用户来说，是很少使用到的。
防御IGMP攻击：IGMP是用于组播的一种协议，对于MS Windows的用户是没有什么用途的，但现在也被用来作为蓝屏攻击的一种方法。
TCP数据包监视：通过这条规则，用户可以监视机器与外部之间的所有TCP连接请求。注意，这只是一个监视规则，开启后会产生大量的日志。
禁止互联网上的机器使用我的共享资源:开启该规则后，别人就不能访问用户的共享资源，包括获取您的机器名称。
禁止所有人连接低端端口：防止所有的机器和自己的低端端口连接。由于低端端口是TCP/IP协议的各种标准端口，几乎所有的Internet服务都是在这些端口，所以这是一条非常严厉的规则，有可能会影响使用某些软件。
允许已经授权程序打开的端口：某些程序，如ICQ，视频电话等软件，都会开放一些端口，这样，才可以连接到您的机器上。本规则可以保证些软件可以正常工作。
五、实验报告要求
认真按实验报告的格式和下列要求书写实验报告。
1.根据实验数据进行分析、归纳和总结实验结论。
2.心得体会及其他。