实验报告网络常用的dos命令恶意代码实验Word格式.docx
《实验报告网络常用的dos命令恶意代码实验Word格式.docx》由会员分享,可在线阅读,更多相关《实验报告网络常用的dos命令恶意代码实验Word格式.docx(6页珍藏版)》请在冰豆网上搜索。
代表连接本地计算机短裤的远程计算机的IP地址和端口号。
如果正和其他计算机进行通信,显示的就是对方计算机的地址。
State:
代表运行状态,
显示“listening”表示处于监听状态,说明该端口是开放的,正在等待连接,但是还没有被连接。
只有TCP的服务端口才能处于“listening”状态。
显示为“SYS_SENT”状态,表示本机正在向其他计算机发出连接请求,一般这个状态存在的时间很短,当用户要访问其他计算机的服务时首先要发送一个同步信号给该计算机的服务端口,此时就为“SYS_SENT”状态。
如果连接成功就变为“ESTABLISHED”状态,因此,“SYS_SENT”状态非常短暂,但是如果发现“SYS_SENT”状态非常多而且在向多个不同的地址发送信号,那么用户的计算机很可能中了冲击波或者震荡波之类的病毒。
这类病毒为了感染别的计算机,就会不停的进行扫描,在扫描过程中对每个要扫描的计算机都会发出同步请求,这就是同时出现很多“SYS_SENT”状态的原因。
ESTABLISHED:
表示两个地址已经建立了连接,正在进行通信。
如果用户访问的网站中又许多内容,就会发现一个地址对应多个“ESTABLISHED”状态,这是正常的,英文网站中得每个内容,比如图片、FLASH等都要单独建立一个连接,如果用户关闭了所以访问的网页及其连接程序,然后多次在命令窗口中运行“netstat-a-n”命令,始终有访问同一个网络IP地址的连接处于ESTABLISHED状态,则可能中了木马。
TIMA_WAIT:
表示结束本次连接,说明端口曾经有过访问。
CLOSE_WAIT:
表示结束等待。
问题:
用这个命令查看自己的电脑,对“state”状态进行说明。
结果的截图:
说明:
二、ARP命令的介绍
ARP(AddressResolutionProtocol)是地址解析协议,ARP是一种将IP地址转化成物理地址的协议。
从IP地址到物理地址的映射有两种方式:
表格方式和非表格方式。
ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。
ARP协议是通过IP地址来获得MAC地址的。
ARP原理:
某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后就会进行数据传输。
如果未找到,则广播A一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。
网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。
其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。
接着使用这个MAC地址发送数据(由网卡附加MAC地址)。
因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
ARP表:
为了回忆通信的速度,最近常用的MAC地址与IP的转换不用依*交换机来进行,而是在本机上建立一个用来记录常用主机IP-MAC映射表,即ARP表。
所使用的到以太网的IP或令牌环物理地址翻译表。
ARP该命令只有在安装了TCP/IP协议之后才可用。
例子:
1、arp–a
2、arp–d
思考:
如何绑定IP地址和MAC?
用ARP命令查看自己的电脑,对结果进行说明。
1、自己电脑的ARP:
2、绑定命令及绑定后的结果:
三、IPCONFIG的使用
总的参数简介(也可以在DOS方式下输入Ipconfig/?
进行参数查询)
Ipconfig/all:
显示本机TCP/IP配置的详细信息;
Ipconfig/release:
DHCP客户端手工释放IP地址;
Ipconfig/renew:
DHCP客户端手工向服务器刷新请求;
Ipconfig/flushdns:
清除本地DNS缓存内容;
Ipconfig/displaydns:
显示本地DNS内容;
Ipconfig/registerdns:
DNS客户端手工向服务器进行注册;
Ipconfig/showclassid:
显示网络适配器的DHCP类别信息;
Ipconfig/setclassid:
设置网络适配器的DHCP类别。
ipconfig/renew“LocalAreaConnection”:
更新“本地连接”适配器的由DHCP分配IP地址的配置
ipconfig/showclassidLocal*:
显示名称以Local开头的所有适配器的DHCP类别ID ipconfig/setclassid“LocalAreaConnection”TEST:
将“本地连接”适配器的DHCP类别ID设置为TEST
使用ipconfig命令对自己的电脑进行检查。
检查的截图:
对截图的说明?
四、禁止关闭网页的恶意代码
•本次试验使用微软的IE浏览器效果更好。
•将下列中的代码输入一个文本文件后,把这个文件扩展名改名为.htm文件,使用IE浏览,刷新即可。
•使用任务管理器的“结束任务”选项强行关闭。
效果截图:
五、不断弹出网页的代码
运行效果截图:
六、恶意代码
本实验要用到IIS,当你在代开这个网页的时候,会在c:
盘自动的建立一个垃圾文件,如果失败,请选择c:
盘的属性-安全,在everyone帐户中选择“完全控制”,这样就可以在c盘写入。
•先检查c:
盘的属性,要求能有写的属性。
•输入下列代码的内容,并保存为文本文件。
•将文本文件改名为“default.ASP”文件。
•运行IIS,发布default.asp文件,观察c盘是否有多余的文件,并且文件长度是零?
发布后的效果截图: