虚拟机iis配置web服务器
iis配置web服务器 时间:2021-01-13 阅读:()
1山东省2016中职组网络安全赛项样题一、赛项时间8:30-11:30,共计180分钟,含赛题发放、收卷时间.
二、注意事项①竞赛所需的硬件、软件和辅助工具由组委会统一布置,选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场.
②请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用.
③操作过程中,需要及时保存设备配置.
比赛结束后,所有设备保持运行状态,不要拆、动硬件连接.
④比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场.
⑤所有需要提交的文档均要求按照模板制作,文档模板请参考"d:\大赛软件资料\"目录中相关模板文档.
⑥对竞赛结果文档正文部分进行适当的排版.
⑦竞赛结果文件电子版需要按照监考老师的要求,在竞赛结束前复制到监考老师提供的U盘进行保存.
⑧裁判以各参赛队提交的竞赛结果文档为主要评分依据.
所有提交的文档必须按照赛题所规定的命名规则命名,文档中有对应题目的小标题,截图有截图的简要说明,否则按无效内容处理.
三、技术平台(一)硬件技术平台序号设备名称设备型号每队数量1路由器RG-RSR20多业务路由器2台2三层交换机RG-S5750汇聚交换机2台23二层接入交换机RG-S2600智能接入交换机2台4无线控制器RG-WS6000无线安全控制器1台5无线APRG-AP520/530双频无线接入点2台6电源适配器RG-E-120系列2个7防火墙RG-WALL1600防火墙1台8安全网关RG-EG互联网关1台9计算机(有2台含无线网卡)CPU双核,内存>=4GB,硬盘>=320GB.
4台(二)软件技术平台序号软件介绍1Windows7-64bit操作系统2MicrosoftOffice2010文档编辑工具3超级终端SercureCRT7.
0(绿色版)设备调试连接工具4FSCapture.
6.
5截图软件(绿色版)截图工具5VMwareWorkstation12Pro(试用版)虚拟机6WindowsXP专业版简体中文操作系统7WindowsServer2003服务器操作系统8KALILinux渗透测试软件(含攻击工具)9LinuxCentOS6.
5服务器操作系统10Wireshark(中文版)抓包软件11Foxmail(中文版)邮件客户端12X-Scan-v3.
3-cn扫描工具漏洞扫描工具四、赛项信息竞赛阶段任务阶段竞赛任务分值第一阶段平台搭建与安全设备配置防护任务1基础网络搭建100任务2网络安全设备配置与防护300第二阶段应用系统与服务安全任务1Windows服务器安全加固150任务2Linux服务器安全加固1503第三阶段局域网安全攻击与防护任务1DHCP服务欺骗防护50任务2MAC协议安全攻防75任务3STP协议安全攻防60任务4ARP协议安全攻防115五、赛项内容本次大赛,各位选手需要完成三个阶段的任务,每个阶段需要提交任务操作文档留存备案,所有文档需要存放在d:\大赛软件资料\"目录下的"XX工位"下的答题卡中,并在考试结束将"XX工位"文件夹拷贝至裁判组专门提供的U盘中.
特别说明:只允许在d:\大赛软件资料目录下的"XX工位"文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理.
(一)赛项环境设置赛项环境设置包含了三个竞赛阶段的基础信息:网络拓扑图、IP地址规划表、设备初始化、服务器应用系统信息.
1.
网络拓扑图PC环境说明:PC1(有线网卡)物理机操作系统:Windows764位旗舰版4物理机安装服务/工具1:WiresharkPC1(无线网卡)物理机操作系统:Windows764位旗舰版物理机安装服务/工具1:WiresharkPC1(须使用物理机中的虚拟机):物理机操作系统:Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统:KaliLinux虚拟机操作系统登陆用户名:root虚拟机操作系统登陆密码:123456虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)PC2(有线网卡)物理机操作系统:Windows764位旗舰版物理机安装服务/工具1:WiresharkPC2(无线网卡)物理机操作系统:Windows764位旗舰版物理机安装服务/工具1:WiresharkPC3(须使用物理机中的虚拟机):物理机操作系统:Windows764位旗舰版物理机操作系统IP:40.
1.
1.
14/28VMwareWorkstation12Pro虚拟机操作系统:WindowsServer2003R2虚拟机安装服务/工具1:IIS虚拟机安装服务/工具2:FTP虚拟机安装服务/工具3:SMTP虚拟机安装服务/工具3:POP3虚拟机操作系统登陆用户名:administrator虚拟机操作系统登陆密码:123456虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)PC4(见第二阶段应用系统与服务安全题目要求)2.
IP地址规划表请根据下表和网络拓扑图,将所有连接起来,注意接口按照实际比赛设备接口进行相应调整(根据考场设备自行修改为Fa/Gi,端口编号不变动).
设备名称设备描述接口/描述IP地址互联说明R1广域网设XXX.
X.
X.
X/X见赛场地址表5备XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表FW总部出口XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表S1(57系列)总部核心XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表AC总部无线控制器XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表S2(57系列)总部服务器接入XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表S3(26/29系列)总部用户接入XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表EG分部出口网关XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表R2分部路由器XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表S4(26/29系列)分部用户接入XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表63.
设备初始化信息设备名称管理地址默认管理接口用户名密码防火墙DCFWhttp://192.
168.
1.
200Internaladminfirewall出口网关EGhttp://192.
168.
1.
1GI0/0adminadmin4.
服务区应用系统宿主机虚拟服务器名称操作系统IP地址PC4win2003-servWindowsServer2003R2见赛场地址表xclientWindowsXP见赛场地址表Linux-servCentos6.
5(管理员帐户:root,密码:123456见赛场地址表(二)第一阶段平台搭建与安全设备配置防护(400分)任务1:基础网络搭建(100分)提示:需要提交所有设备配置文件,其中交换/路由/无线/出口网关设备要求提供showrun配置文件保存到WORD文档,FW设备通过图形界面将配置导出备份至答题卡"设备配置存档"目录.
提交的答案保存到答题卡相应WORD文档中.
平台搭建要求如下:序号网络需求分数1根据网络拓扑图及IP地址规划表连接设备线缆,并在所有网络设备(防火墙除外)上开启telnet、web管理功能,同时要求每台网络设备只允许2个线路管理网络设备,使用本地验证方式,用户为telnet1和telnet2,口令都为ruijie,登录设备的特权口令为ruijie,抓取S1的配置命令或截图.
5分2根据网络拓扑图所示,按照IP地址参数表,对EG/FW的名称、各接口IP地址进行配置.
10分3总部局域网内部署OSPF,出口FW至广域网R1间部署静态路由.
注意:R1只配置直连接口地址,不部署任何路由协议.
25分4分部局域网内部署RIPV2,出口EG至广域网R1间部署静态路由.
注意:R1只配置直连接口地址,不部署任何路由协议.
10分75总部局域网用户通过无线网络访问互联网,配置S1交换机作为DHCP服务器分别为无线用户、无线AP动态分配Vlan20,Vlan30的IP地址、网关和DNS.
DNS地址为X.
X.
X.
X,AC环回口地址为X.
X.
X.
X.
10分6分部局域网用户通过有线网络访问互联网,配置R2路由器作为DHCP服务器为有线用户动态分配Vlan20的IP地址、网关和DNS.
DNS地址为X.
X.
X.
X.
5分7总部AC设备创建SSID及AP-GROUP名称均为ruijie-X(X为工位号),将两个AP加入到AP-GROUP中并分别命名(根据拓扑标示)及调整信道使得两个AP的信道不冲突.
10分8总部AC设备上showcapstat查看AC与AP间隧道成功建立.
5分9启用PC1无线网卡连接SSID:ruijie,本地ipconfig/all查看获取地址.
5分10启用PC2有线网卡连接Vlan20交换端口,本地ipconfig/all查看获取地址.
5分11无线PC1本地PingFW内网口查看总部局域网连通性.
5分12有线PC2本地PingEG内网口X.
X.
X.
X查看分部局域网连通性.
5分任务2:网络安全设备配置与防护(300分)提示:每个设备提交的答案各自保存到答题卡相应的WORD文档中.
序号网络需求分数1在公司总部的FW上新增2个用户,用户1(用户名:User1;密码:User.
1):只拥有配置查看权限,不能进行任何的配置添加与修改,删除.
用户2(用户名:User2;密码:User.
2):拥有所有的查看权限,拥有除"管理用户、授权用户"模块以外的所有模块的配置添加与修改,删除权限.
10分2在公司总部的FW上配置,使内网所有用户网段和服务器区网段都可以通过FW外网接口IP地址访问互联网,且互联网不可以访问内网.
15分3在公司总部的FW上配置,使公司总部核心交换S1(X.
X.
X.
X)设备的Telnet服务可以通过互联网被访问,从互联网访问的地址是20.
1.
1.
14,且仅允许PC3(物理机地址:X.
X.
X.
X)通过互联网访问S1设备Telnet服务.
15分4在公司总部的FW上配置:对于上班时间(8:00-17:00)公司总部内网用户可浏览Internet网页.
10分85在公司总部的FW上配置网页内容过滤:内网用户不能访问互联网网站:www.
exam.
com;开启PC3中WindowsServer2003R2虚拟机,启用虚拟中WEB、DNS服务.
测试内网用户访问www.
exam.
com及www.
kaoshi.
com网站,策略配置与测试截图.
15分6在公司总部的FW上配置,使内网用户访问Internet网站时,不允许访问EXE(.
exe)、(.
bat)类型的文件.
15分7在公司总部的FW上启用SSLVPN,使分支机构通过SSLVPN拨入公司总部,访问内网S3交换机的WEB管理页面.
远程登陆合法用户vpn1、vpn2,密码:111.
登陆地址:https://X.
X.
X.
X:443020分8在公司总部的FW上启用IPSECVPN与分部出口网关EG设备建立IPSEC隧道,实现总部与分部局域网间通信数据加密处理.
VPN需要采用隧道模式、预共享密码为123456,加密认证方式为ESP-DES、ESP-HASH-MD5,DH使用组1,防火墙使用接口模式与EG对接(对端EG配置要求请查看第10题).
20分9在公司分部的EG上配置,使内网所有用户网段都可以通过EG外网接口IP地址访问互联网,且互联网不可以访问内网.
15分10在公司分部的EG上启用IPSECVPN与总部出口FW设备建立IPSEC隧道,实现总部与分部局域网间通信数据加密处理.
VPN需要采用隧道模式、预共享密码为123456,加密认证方式为ESP-DES、ESP-HASH-MD5,DH使用组1,(对端FW配置要求请查看第8题).
20分11在公司分部的EG上配置,使公司总部核心交换R2(X.
X.
X.
X)设备的Telnet服务可以通过互联网被访问,从互联网访问的地址是30.
1.
1.
14,且仅允许PC3(X.
X.
X.
X)在上班时间(8:00-17:00)通过互联网访问R2设备Telnet服务.
20分12在公司分部的EG上开启防ARP及流量攻击功能,用于过滤ARP攻击流量,内网ARP泛洪时,设备限制每个IP地址的ARP报文每秒不超过10个,避免ARP报文影响设备的其他处理.
管理IP:X.
X.
X.
X不做流量限制.
5分13在公司分部的EG上启用WebPortal认证服务,并创建user1、user2,密码123456.
10分14开启PC3中WindowsServer2003R2虚拟机,启用虚拟中WEB、DNS服务.
使用user1/user2登陆认证界面并访问PC3WEB服务www.
exam.
com.
10分15在公司分部的EG上配置user1访问外网FTP限速至5000Kbps.
user2不做限速.
内网ftp总流量不超过100M.
15分16开启PC3中WindowsServer2003R2虚拟机,启用虚拟中WEB、FTP、DNS服务.
User1使用PC1或PC2通过DOS界面登陆FTP(ftp.
ziyuan.
com/用户名:ftp1/密码:123456)下载music.
mp3文件,下载速度截图.
再使用user2登录,再次下载这个文件,下载速度截图.
10分17在公司分部的EG上配置关键字"竞赛",针对来往邮件进行内容审计,包含邮件标题、内容、.
10分918开启PC3中WindowsServer2003R2虚拟机,启用虚拟中WEB、FTP、DNS、SMTP、POP3服务.
内网用户使用Foxmail登录外网邮箱,发送一封邮件,邮件正文包含"竞赛".
查看网关的行为审计报表中心.
Foxmail客户端设置信息smtp:smtp.
163.
compop3:pop3.
163.
com邮箱A账户:test1密码:123456邮箱A账户:test2密码:12345610分19分部有线PC2与总部无线PC1获取地址后互相Ping测试,查看EG与FW隧道建立状态,并在PC3物理机开启wireshark将R1的G1/1流量镜像至G1/3接口进行抓包查看ESP数据包加密报文.
20分20在公司总部的AC设备上针对关联SSID为ruijie的用户接入无线网络时采用基于WPA2加密方式,其口令为1234567890;5分21为了防御无线局域网ARP欺骗影响用户上网体验,在公司总部的AC设备上配置ARP欺骗防御功能.
5分22在同一个AP中的用户在某些时候出于安全性的考虑,需要将他们彼此之间进行隔离,实现用户之间彼此不能互相访问,在公司总部的AC设备上配置同AP下用户间隔离功能.
5分23在公司总部的AC设备上针对关联SSID为ruijie-X(X为工位号)的用户上下行流量限速为1000Kbps.
5分24为了保证合法用户连接入总部内网,所有无线用户使用MAC校验方式.
在公司总部的AC设备上配置黑名单限制禁止PC1(无线网卡ifconfig确定MAC地址)接入无线网络中,并设置AC黑名单数量最多为10.
5分25无线PC1、PC2关联SSID,MAC及WPA2验证成功后访问外网FTP(ftp.
ziyuan.
com/用户名:ftp1/密码:ftp1)下载music.
mp3文件,PC1无法验证入网截图,PC2下载资源截图.
10分(三)第二阶段:应用系统与服务安全(300分)提示:每个任务提交一个word文档,保存到相应任务的答题卡中.
任务环境说明:PC4物理机操作系统:Windows764位旗舰版(1)安装虚拟机win2003-serv(Windows服务器)操作系统:windows2003server;安装服务/工具1:Web服务,版本是IIS-6.
0;安装服务/工具2:FTP服务,版本是IIS-6.
0;(2)安装虚拟机xclient(攻击机)操作系统:windowsXP;安装服务/工具1:扫描工具X-Scan;(3)安装虚拟机Linux-serv(Linux服务器)操作系统:CentOS6.
5;10任务1:Windows服务器安全加固(150分)1.
在xclient中使用X-Scan扫描,获取管理员账号密码.
2.
在xclient中使用X-Scan扫描Windows服务器(win2003-serv)所能提供的服务、弱口令、FTP、Web,生成漏洞扫面检测报告,并将生成的X-Scan监测报告导出保存到"第二阶段"答题模板中.
(注:win2003-servIP地址见前面给定IP地址表)3.
根据检测报告,登陆虚拟机win2003-serv,加固Windows服务器系统安全:(1)开启防火墙,将除FTP、Web之外的服务关闭,对配置进行截屏;(2)设置密码安全策略,密码长度至少8个字符,对配置进行截屏;(3)加固管理员账号、ftp用户登录账户,对配置进行截屏;4.
配置Windows防火墙,使IISWeb服务能够被访问,对配置进行截屏.
5.
为IISWeb服务器申请服务器证书,对申请摘要进行截屏.
6.
为IISWeb服务器颁发一年期服务器证书,对颁发过程进行截屏.
7.
将IISWeb服务器启动SSL安全通信,并安装服务器证书.
使用xclient虚拟机中的浏览器访问该Web服务进行测试.
由于cn和IIS的域名不一致,所以一定有警报弹出窗,请将该窗口截屏.
8.
将IISWeb服务器启用客户端证书设置.
使用客户端浏览器访问该Web服务进行测试.
将要求客户端提供证书的弹出页面截屏.
任务2:linux操作系统安全防护(150分)1.
修改SSH配置文件,禁止root直接登陆,退出所有账号,使用root直接ssh登录操作系统,将修改后的配置文件及测试结果截图.
2.
设置系统密码策略配置文件,确保密码最小长度为8位,最长使用天数60天.
然后创建新账号并赋予低于8位的密码,将修改后的配置文件及创建新帐户时显示的错误提示信息截图.
3.
限制所有用户错误登陆次数为6次,锁定此账户5分钟,将配置文件及验证结果截图.
4.
自编脚本,查找本机存在SUID与SGID的文件,并截图.
5.
自编脚本,查找本机存在的所有人均有写权限的目录,并截图.
6.
修改配置文件,将登录超时设置为10分钟,将修改后配置文件截图.
7.
修改/etc/rsyslog.
conf配置文件,将认证日志、邮件日志,备份存储到指定服务器,将修改后配置文件截图.
8.
使用root帐号登录系统,创建一个UID为0的帐号,然后使用一行命令查找本系统UID为0的帐号有哪些,并截图.
9.
利用iptables,仅启动http、ftp、e-mail服务,其他服务一律关闭,将相关配置截图.
10.
阻止ping该服务器,将修改后配置文件截图.
11.
防止IP欺骗,将修改后配置文件截图.
12.
防止DoS攻击,将修改后配置文件截图.
11(四)第三阶段:局域网安全攻击与防护(300分)提示:每个任务提交一个word文档,保存到相应任务的答题卡中.
任务1:DHCP服务欺骗防护(可选)任务环境说明:PC1(有线网卡)物理机操作系统:Windows764位旗舰版PC1(须使用物理机中的虚拟机):物理机操作系统:Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统:KaliLinux虚拟机安装服务/工具1:isc-dhcp-server虚拟机操作系统登陆用户名:root虚拟机操作系统登陆密码:123456虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)PC2(有线网卡)物理机操作系统:Windows764位旗舰版1.
将PC1、PC2所连接端口划入VLAN20中,动态分配地址后查看PC1、PC2物理机所获取地址.
2.
打开Kali虚拟机的"攻防环境"快照,将虚拟机网卡桥接至PC1物理机网卡,查看KALIIP地址并测试到局域网网关可达.
3.
进入Kali系统查看DHCP服务的运行状态,确保DHCP服务运行正常.
4.
PC2手动释放(ipconfig/release)已获取的IP地址,待再次获取地址后ipconfig/all查看已获取地址(因R2DHCP服务的存在,PC2动态获取地址会根据kali,R2的回应速度选择最快回应方,因此从kali获取错误地址随机性较强,可能需测试多次或关闭R2DHCP服务进行验证).
5.
在S4交换机部署DHCP防御策略阻止非法DHCP服务器,并将S4交换机相关配置信息截屏;6.
在S4交换机配置DHCP防御策略的条件下,由PC2再次连接入网获取地址,并将以上验证过程截屏;任务2:MAC协议安全攻防(可选)任务环境说明:PC1(有线网卡)12物理机操作系统:Windows764位旗舰版物理机安装服务/工具1:WiresharkPC1(须使用物理机中的虚拟机):VMwareWorkstation12Pro虚拟机操作系统:KaliLinux虚拟机安装服务/工具1:Macof虚拟机操作系统登陆用户名:root虚拟机操作系统登陆密码:123456虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)PC2(有线网卡)物理机操作系统:Windows764位旗舰版1.
将PC1、PC2获取地址后查看S4交换机VLAN20的MAC地址表及容量信息,并将S4交换机查看命令、查看结果截图.
2.
打开Kali虚拟机的"攻防环境"快照设置虚拟机网卡与物理机网卡桥接,从kali发起MACFlooding渗透测试,使S4交换机的MAC地址表溢出,并在MAC地址表溢出的条件下,查看S4交换机的MAC地址表信息,并将渗透测试过程截图.
3.
PC1打开wireshark,验证在S4交换机MAC地址表溢出的条件下,可以监听到PC2登陆S4交换机的Telnet流量,并将该验证过程截图.
4.
针对PC1抓取的Telnet流量包进行报文分析确定登陆S4交换机的用户名密码信息.
5.
在S4交换机的PC1所连接端口配置PortSecurity特性,阻止kali发起MACFlooding渗透测试,验证此时S4交换机MAC地址表能够学习情况并将S4交换机相关配置信息以及验证信息截图.
6.
在S4交换机配置PortSecurity特性的条件下,PC1再次打开wireshark,监听PC2登陆S4交换机的Telnet流量,验证此时PC1是否可监听到PC2登陆S4交换机的Telnet流量,并将验证过程截图.
任务3:STP协议安全攻防(可选)任务环境说明:PC1(有线网卡)物理机操作系统:Windows764位旗舰版PC1(须使用物理机中的虚拟机):VMwareWorkstation12Pro虚拟机操作系统:KaliLinux虚拟机安装服务/工具1:Yersinia虚拟机操作系统登陆用户名:root虚拟机操作系统登陆密码:12345613虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)1.
S4交换机开启生成树协议,生成树协议模式为STP,S4交换机优先级为0,防止网络出现物理环路,显示S4交换机生成树协议的状态,并将该信息截屏;2.
打开Kali虚拟机的"攻防环境"快照设置虚拟机网卡与物理机网卡桥接,从kali发起BPDUDOS渗透测试,渗透测试中S4交换机CPU利用率明显升高,渗透测试方式及S4交换机CPU的利用率信息截图.
3.
S4交换机配置生成树协议直接丢弃接口所收到的BPDU报文,降低设备CPU利用率,进而阻止BPDUDOS渗透测试,S4配置信息截屏;4.
在S4交换机配置生成树协议安全特性的条件下,S4交换机不会受kali的BPDUDOS渗透测试影响,此时由kali再次向S4交换机发起BPDUDOS渗透测试,显示S4交换机CPU的利用率,并将该验证截屏;5.
S4交换机配置生成树协议针对接口收到的BPDU报文直接将端口关闭,将攻击者隔离出网络.
设备配置、端口及CPU利用率信息截图.
6.
S4交换机配置恢复关闭的端口.
任务4:ARP协议安全攻防(可选)任务环境说明:PC1(有线网卡)物理机操作系统:Windows764位旗舰版PC1(须使用物理机中的虚拟机):VMwareWorkstation12Pro虚拟机操作系统:KaliLinux虚拟机安装服务/工具1:Arpspoof虚拟机安装服务/工具2:Ettercap虚拟机安装服务/工具2:Wireshark虚拟机操作系统登陆用户名:root虚拟机操作系统登陆密码:123456虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)PC2(有线网卡)物理机操作系统:Windows764位旗舰版PC3(须使用物理机中的虚拟机):物理机操作系统:Windows764位旗舰版物理机操作系统IP:40.
1.
1.
14/28VMwareWorkstation12Pro虚拟机操作系统:WindowsServer2003R2虚拟机安装服务/工具1:IIS14虚拟机安装服务/工具2:FTP虚拟机安装服务/工具3:SMTP虚拟机安装服务/工具3:POP3虚拟机操作系统登陆用户名:administrator虚拟机操作系统登陆密码:123456虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)1.
在PC1、PC2获取VLN20地址后访问PC3FTP(ftp.
ziyuan.
com/用户名:ftp1/密码:123456)服务(排除干扰,在此关闭EGWEB认证),查看PC2和R2的ARP缓存信息,并将PC2和R2的ARP缓存及FTP访问信息截图.
2.
打开Kali虚拟机的"攻防环境"快照设置虚拟机网卡与物理机网卡桥接,在kali对PC2进行ARPSpoofing网关渗透测试,使PC2的网关ARP信息被转换为kailiMAC,进而无法访问外网FTP服务,在PC2查看被kali毒化后的ARP缓存信息及kali渗透测试方式,验证及查看信息截图.
3.
在kali对PC2和FTP服务器进行ARP中间人渗透测试,使kali能够使用wireshark监听到PC2登陆FTP服务器的用户名、密码参数及数据流向特点与原因,渗透测试过程截图.
4.
在kali对VLAN20网关地址进行ARPSpoofing渗透测试以达到PC2欺骗网关的目的,查看R2网关ARP表象中PC2信息及kali渗透测试方式,测试信息截图.
5.
在kali以上渗透测试基础上,在kali上使用wireshark监听PC2登陆FTP服务器的用户名、密码参数及数据流向特点,渗透测试过程截图.
6.
在S4交换机上配置ARP防御策略阻止kali发起ARPSpoofing渗透测试,并将S4交换机该配置信息截图.
7.
在R2上配置ARP信息绑定阻止kali发起ARPSpoofing渗透测试,并将R2路由器配置信息截图.
8.
在S4交换机、R2路由器上配置ARP防御策略的条件下,再次在kali对PC2和VLAN20网关进行ARPSpoofing渗透测试,此时R2\S4设备的防御策略能够阻止kali的ARPSpoofing渗透测试,再次查看PC2和R2的ARP缓存信息,并将该信息截图.
任务5:WPA2加密破解安全攻防(可选)任务环境说明:PC1(须使用物理机中的虚拟机,并将无线网卡连接至kali虚拟机中):VMwareWorkstation12Pro虚拟机操作系统:KaliLinux虚拟机安装服务/工具1:Airmon-ng虚拟机安装服务/工具2:Airodump-ng虚拟机安装服务/工具3:Aireplay-ng虚拟机安装服务/工具4:Aircrack-ng15虚拟机安装服务/工具5:Wireshark虚拟机操作系统登陆用户名:root虚拟机操作系统登陆密码:1234561.
将无线PC2关联SSID验证入网后测试到外网的连通性.
2.
打开Kali虚拟机的"攻防环境"快照,将PC1物理机无线网卡连接至kali虚拟机内并查看kaili无线网卡连接状态.
3.
进入Kali系统利用已经安排的工具破解SSID为ruijie-X的WPA2加密密码.
4.
根据破解原理总结规避WPA2无线密码破解方案(5分)备注:提交文档数量与名称阶段任务序号文档名称第一阶段任务11第一阶段-任务1-基础网络搭建任务22第一阶段-任务2-网络安全设备配置与防护-FW3第一阶段-任务2-网络安全设备配置与防护-EG4第一阶段-任务2-网络安全设备配置与防护-AC第二阶段任务15第二阶段-任务1-Windows服务器安全加固任务26第二阶段-任务2-linux操作系统安全防护第三阶段任务17第三阶段-任务1-DHCP服务欺骗防护任务28第三阶段-任务2-MAC协议安全攻防任务39第三阶段-任务3-STP协议安全攻防任务410第三阶段-任务4-ARP协议安全攻防任务511第三阶段-任务5-WPA2加密破解安全攻防
二、注意事项①竞赛所需的硬件、软件和辅助工具由组委会统一布置,选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场.
②请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用.
③操作过程中,需要及时保存设备配置.
比赛结束后,所有设备保持运行状态,不要拆、动硬件连接.
④比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场.
⑤所有需要提交的文档均要求按照模板制作,文档模板请参考"d:\大赛软件资料\"目录中相关模板文档.
⑥对竞赛结果文档正文部分进行适当的排版.
⑦竞赛结果文件电子版需要按照监考老师的要求,在竞赛结束前复制到监考老师提供的U盘进行保存.
⑧裁判以各参赛队提交的竞赛结果文档为主要评分依据.
所有提交的文档必须按照赛题所规定的命名规则命名,文档中有对应题目的小标题,截图有截图的简要说明,否则按无效内容处理.
三、技术平台(一)硬件技术平台序号设备名称设备型号每队数量1路由器RG-RSR20多业务路由器2台2三层交换机RG-S5750汇聚交换机2台23二层接入交换机RG-S2600智能接入交换机2台4无线控制器RG-WS6000无线安全控制器1台5无线APRG-AP520/530双频无线接入点2台6电源适配器RG-E-120系列2个7防火墙RG-WALL1600防火墙1台8安全网关RG-EG互联网关1台9计算机(有2台含无线网卡)CPU双核,内存>=4GB,硬盘>=320GB.
4台(二)软件技术平台序号软件介绍1Windows7-64bit操作系统2MicrosoftOffice2010文档编辑工具3超级终端SercureCRT7.
0(绿色版)设备调试连接工具4FSCapture.
6.
5截图软件(绿色版)截图工具5VMwareWorkstation12Pro(试用版)虚拟机6WindowsXP专业版简体中文操作系统7WindowsServer2003服务器操作系统8KALILinux渗透测试软件(含攻击工具)9LinuxCentOS6.
5服务器操作系统10Wireshark(中文版)抓包软件11Foxmail(中文版)邮件客户端12X-Scan-v3.
3-cn扫描工具漏洞扫描工具四、赛项信息竞赛阶段任务阶段竞赛任务分值第一阶段平台搭建与安全设备配置防护任务1基础网络搭建100任务2网络安全设备配置与防护300第二阶段应用系统与服务安全任务1Windows服务器安全加固150任务2Linux服务器安全加固1503第三阶段局域网安全攻击与防护任务1DHCP服务欺骗防护50任务2MAC协议安全攻防75任务3STP协议安全攻防60任务4ARP协议安全攻防115五、赛项内容本次大赛,各位选手需要完成三个阶段的任务,每个阶段需要提交任务操作文档留存备案,所有文档需要存放在d:\大赛软件资料\"目录下的"XX工位"下的答题卡中,并在考试结束将"XX工位"文件夹拷贝至裁判组专门提供的U盘中.
特别说明:只允许在d:\大赛软件资料目录下的"XX工位"文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理.
(一)赛项环境设置赛项环境设置包含了三个竞赛阶段的基础信息:网络拓扑图、IP地址规划表、设备初始化、服务器应用系统信息.
1.
网络拓扑图PC环境说明:PC1(有线网卡)物理机操作系统:Windows764位旗舰版4物理机安装服务/工具1:WiresharkPC1(无线网卡)物理机操作系统:Windows764位旗舰版物理机安装服务/工具1:WiresharkPC1(须使用物理机中的虚拟机):物理机操作系统:Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统:KaliLinux虚拟机操作系统登陆用户名:root虚拟机操作系统登陆密码:123456虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)PC2(有线网卡)物理机操作系统:Windows764位旗舰版物理机安装服务/工具1:WiresharkPC2(无线网卡)物理机操作系统:Windows764位旗舰版物理机安装服务/工具1:WiresharkPC3(须使用物理机中的虚拟机):物理机操作系统:Windows764位旗舰版物理机操作系统IP:40.
1.
1.
14/28VMwareWorkstation12Pro虚拟机操作系统:WindowsServer2003R2虚拟机安装服务/工具1:IIS虚拟机安装服务/工具2:FTP虚拟机安装服务/工具3:SMTP虚拟机安装服务/工具3:POP3虚拟机操作系统登陆用户名:administrator虚拟机操作系统登陆密码:123456虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)PC4(见第二阶段应用系统与服务安全题目要求)2.
IP地址规划表请根据下表和网络拓扑图,将所有连接起来,注意接口按照实际比赛设备接口进行相应调整(根据考场设备自行修改为Fa/Gi,端口编号不变动).
设备名称设备描述接口/描述IP地址互联说明R1广域网设XXX.
X.
X.
X/X见赛场地址表5备XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表FW总部出口XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表S1(57系列)总部核心XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表AC总部无线控制器XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表S2(57系列)总部服务器接入XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表S3(26/29系列)总部用户接入XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表EG分部出口网关XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表R2分部路由器XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表S4(26/29系列)分部用户接入XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表XXX.
X.
X.
X/X见赛场地址表63.
设备初始化信息设备名称管理地址默认管理接口用户名密码防火墙DCFWhttp://192.
168.
1.
200Internaladminfirewall出口网关EGhttp://192.
168.
1.
1GI0/0adminadmin4.
服务区应用系统宿主机虚拟服务器名称操作系统IP地址PC4win2003-servWindowsServer2003R2见赛场地址表xclientWindowsXP见赛场地址表Linux-servCentos6.
5(管理员帐户:root,密码:123456见赛场地址表(二)第一阶段平台搭建与安全设备配置防护(400分)任务1:基础网络搭建(100分)提示:需要提交所有设备配置文件,其中交换/路由/无线/出口网关设备要求提供showrun配置文件保存到WORD文档,FW设备通过图形界面将配置导出备份至答题卡"设备配置存档"目录.
提交的答案保存到答题卡相应WORD文档中.
平台搭建要求如下:序号网络需求分数1根据网络拓扑图及IP地址规划表连接设备线缆,并在所有网络设备(防火墙除外)上开启telnet、web管理功能,同时要求每台网络设备只允许2个线路管理网络设备,使用本地验证方式,用户为telnet1和telnet2,口令都为ruijie,登录设备的特权口令为ruijie,抓取S1的配置命令或截图.
5分2根据网络拓扑图所示,按照IP地址参数表,对EG/FW的名称、各接口IP地址进行配置.
10分3总部局域网内部署OSPF,出口FW至广域网R1间部署静态路由.
注意:R1只配置直连接口地址,不部署任何路由协议.
25分4分部局域网内部署RIPV2,出口EG至广域网R1间部署静态路由.
注意:R1只配置直连接口地址,不部署任何路由协议.
10分75总部局域网用户通过无线网络访问互联网,配置S1交换机作为DHCP服务器分别为无线用户、无线AP动态分配Vlan20,Vlan30的IP地址、网关和DNS.
DNS地址为X.
X.
X.
X,AC环回口地址为X.
X.
X.
X.
10分6分部局域网用户通过有线网络访问互联网,配置R2路由器作为DHCP服务器为有线用户动态分配Vlan20的IP地址、网关和DNS.
DNS地址为X.
X.
X.
X.
5分7总部AC设备创建SSID及AP-GROUP名称均为ruijie-X(X为工位号),将两个AP加入到AP-GROUP中并分别命名(根据拓扑标示)及调整信道使得两个AP的信道不冲突.
10分8总部AC设备上showcapstat查看AC与AP间隧道成功建立.
5分9启用PC1无线网卡连接SSID:ruijie,本地ipconfig/all查看获取地址.
5分10启用PC2有线网卡连接Vlan20交换端口,本地ipconfig/all查看获取地址.
5分11无线PC1本地PingFW内网口查看总部局域网连通性.
5分12有线PC2本地PingEG内网口X.
X.
X.
X查看分部局域网连通性.
5分任务2:网络安全设备配置与防护(300分)提示:每个设备提交的答案各自保存到答题卡相应的WORD文档中.
序号网络需求分数1在公司总部的FW上新增2个用户,用户1(用户名:User1;密码:User.
1):只拥有配置查看权限,不能进行任何的配置添加与修改,删除.
用户2(用户名:User2;密码:User.
2):拥有所有的查看权限,拥有除"管理用户、授权用户"模块以外的所有模块的配置添加与修改,删除权限.
10分2在公司总部的FW上配置,使内网所有用户网段和服务器区网段都可以通过FW外网接口IP地址访问互联网,且互联网不可以访问内网.
15分3在公司总部的FW上配置,使公司总部核心交换S1(X.
X.
X.
X)设备的Telnet服务可以通过互联网被访问,从互联网访问的地址是20.
1.
1.
14,且仅允许PC3(物理机地址:X.
X.
X.
X)通过互联网访问S1设备Telnet服务.
15分4在公司总部的FW上配置:对于上班时间(8:00-17:00)公司总部内网用户可浏览Internet网页.
10分85在公司总部的FW上配置网页内容过滤:内网用户不能访问互联网网站:www.
exam.
com;开启PC3中WindowsServer2003R2虚拟机,启用虚拟中WEB、DNS服务.
测试内网用户访问www.
exam.
com及www.
kaoshi.
com网站,策略配置与测试截图.
15分6在公司总部的FW上配置,使内网用户访问Internet网站时,不允许访问EXE(.
exe)、(.
bat)类型的文件.
15分7在公司总部的FW上启用SSLVPN,使分支机构通过SSLVPN拨入公司总部,访问内网S3交换机的WEB管理页面.
远程登陆合法用户vpn1、vpn2,密码:111.
登陆地址:https://X.
X.
X.
X:443020分8在公司总部的FW上启用IPSECVPN与分部出口网关EG设备建立IPSEC隧道,实现总部与分部局域网间通信数据加密处理.
VPN需要采用隧道模式、预共享密码为123456,加密认证方式为ESP-DES、ESP-HASH-MD5,DH使用组1,防火墙使用接口模式与EG对接(对端EG配置要求请查看第10题).
20分9在公司分部的EG上配置,使内网所有用户网段都可以通过EG外网接口IP地址访问互联网,且互联网不可以访问内网.
15分10在公司分部的EG上启用IPSECVPN与总部出口FW设备建立IPSEC隧道,实现总部与分部局域网间通信数据加密处理.
VPN需要采用隧道模式、预共享密码为123456,加密认证方式为ESP-DES、ESP-HASH-MD5,DH使用组1,(对端FW配置要求请查看第8题).
20分11在公司分部的EG上配置,使公司总部核心交换R2(X.
X.
X.
X)设备的Telnet服务可以通过互联网被访问,从互联网访问的地址是30.
1.
1.
14,且仅允许PC3(X.
X.
X.
X)在上班时间(8:00-17:00)通过互联网访问R2设备Telnet服务.
20分12在公司分部的EG上开启防ARP及流量攻击功能,用于过滤ARP攻击流量,内网ARP泛洪时,设备限制每个IP地址的ARP报文每秒不超过10个,避免ARP报文影响设备的其他处理.
管理IP:X.
X.
X.
X不做流量限制.
5分13在公司分部的EG上启用WebPortal认证服务,并创建user1、user2,密码123456.
10分14开启PC3中WindowsServer2003R2虚拟机,启用虚拟中WEB、DNS服务.
使用user1/user2登陆认证界面并访问PC3WEB服务www.
exam.
com.
10分15在公司分部的EG上配置user1访问外网FTP限速至5000Kbps.
user2不做限速.
内网ftp总流量不超过100M.
15分16开启PC3中WindowsServer2003R2虚拟机,启用虚拟中WEB、FTP、DNS服务.
User1使用PC1或PC2通过DOS界面登陆FTP(ftp.
ziyuan.
com/用户名:ftp1/密码:123456)下载music.
mp3文件,下载速度截图.
再使用user2登录,再次下载这个文件,下载速度截图.
10分17在公司分部的EG上配置关键字"竞赛",针对来往邮件进行内容审计,包含邮件标题、内容、.
10分918开启PC3中WindowsServer2003R2虚拟机,启用虚拟中WEB、FTP、DNS、SMTP、POP3服务.
内网用户使用Foxmail登录外网邮箱,发送一封邮件,邮件正文包含"竞赛".
查看网关的行为审计报表中心.
Foxmail客户端设置信息smtp:smtp.
163.
compop3:pop3.
163.
com邮箱A账户:test1密码:123456邮箱A账户:test2密码:12345610分19分部有线PC2与总部无线PC1获取地址后互相Ping测试,查看EG与FW隧道建立状态,并在PC3物理机开启wireshark将R1的G1/1流量镜像至G1/3接口进行抓包查看ESP数据包加密报文.
20分20在公司总部的AC设备上针对关联SSID为ruijie的用户接入无线网络时采用基于WPA2加密方式,其口令为1234567890;5分21为了防御无线局域网ARP欺骗影响用户上网体验,在公司总部的AC设备上配置ARP欺骗防御功能.
5分22在同一个AP中的用户在某些时候出于安全性的考虑,需要将他们彼此之间进行隔离,实现用户之间彼此不能互相访问,在公司总部的AC设备上配置同AP下用户间隔离功能.
5分23在公司总部的AC设备上针对关联SSID为ruijie-X(X为工位号)的用户上下行流量限速为1000Kbps.
5分24为了保证合法用户连接入总部内网,所有无线用户使用MAC校验方式.
在公司总部的AC设备上配置黑名单限制禁止PC1(无线网卡ifconfig确定MAC地址)接入无线网络中,并设置AC黑名单数量最多为10.
5分25无线PC1、PC2关联SSID,MAC及WPA2验证成功后访问外网FTP(ftp.
ziyuan.
com/用户名:ftp1/密码:ftp1)下载music.
mp3文件,PC1无法验证入网截图,PC2下载资源截图.
10分(三)第二阶段:应用系统与服务安全(300分)提示:每个任务提交一个word文档,保存到相应任务的答题卡中.
任务环境说明:PC4物理机操作系统:Windows764位旗舰版(1)安装虚拟机win2003-serv(Windows服务器)操作系统:windows2003server;安装服务/工具1:Web服务,版本是IIS-6.
0;安装服务/工具2:FTP服务,版本是IIS-6.
0;(2)安装虚拟机xclient(攻击机)操作系统:windowsXP;安装服务/工具1:扫描工具X-Scan;(3)安装虚拟机Linux-serv(Linux服务器)操作系统:CentOS6.
5;10任务1:Windows服务器安全加固(150分)1.
在xclient中使用X-Scan扫描,获取管理员账号密码.
2.
在xclient中使用X-Scan扫描Windows服务器(win2003-serv)所能提供的服务、弱口令、FTP、Web,生成漏洞扫面检测报告,并将生成的X-Scan监测报告导出保存到"第二阶段"答题模板中.
(注:win2003-servIP地址见前面给定IP地址表)3.
根据检测报告,登陆虚拟机win2003-serv,加固Windows服务器系统安全:(1)开启防火墙,将除FTP、Web之外的服务关闭,对配置进行截屏;(2)设置密码安全策略,密码长度至少8个字符,对配置进行截屏;(3)加固管理员账号、ftp用户登录账户,对配置进行截屏;4.
配置Windows防火墙,使IISWeb服务能够被访问,对配置进行截屏.
5.
为IISWeb服务器申请服务器证书,对申请摘要进行截屏.
6.
为IISWeb服务器颁发一年期服务器证书,对颁发过程进行截屏.
7.
将IISWeb服务器启动SSL安全通信,并安装服务器证书.
使用xclient虚拟机中的浏览器访问该Web服务进行测试.
由于cn和IIS的域名不一致,所以一定有警报弹出窗,请将该窗口截屏.
8.
将IISWeb服务器启用客户端证书设置.
使用客户端浏览器访问该Web服务进行测试.
将要求客户端提供证书的弹出页面截屏.
任务2:linux操作系统安全防护(150分)1.
修改SSH配置文件,禁止root直接登陆,退出所有账号,使用root直接ssh登录操作系统,将修改后的配置文件及测试结果截图.
2.
设置系统密码策略配置文件,确保密码最小长度为8位,最长使用天数60天.
然后创建新账号并赋予低于8位的密码,将修改后的配置文件及创建新帐户时显示的错误提示信息截图.
3.
限制所有用户错误登陆次数为6次,锁定此账户5分钟,将配置文件及验证结果截图.
4.
自编脚本,查找本机存在SUID与SGID的文件,并截图.
5.
自编脚本,查找本机存在的所有人均有写权限的目录,并截图.
6.
修改配置文件,将登录超时设置为10分钟,将修改后配置文件截图.
7.
修改/etc/rsyslog.
conf配置文件,将认证日志、邮件日志,备份存储到指定服务器,将修改后配置文件截图.
8.
使用root帐号登录系统,创建一个UID为0的帐号,然后使用一行命令查找本系统UID为0的帐号有哪些,并截图.
9.
利用iptables,仅启动http、ftp、e-mail服务,其他服务一律关闭,将相关配置截图.
10.
阻止ping该服务器,将修改后配置文件截图.
11.
防止IP欺骗,将修改后配置文件截图.
12.
防止DoS攻击,将修改后配置文件截图.
11(四)第三阶段:局域网安全攻击与防护(300分)提示:每个任务提交一个word文档,保存到相应任务的答题卡中.
任务1:DHCP服务欺骗防护(可选)任务环境说明:PC1(有线网卡)物理机操作系统:Windows764位旗舰版PC1(须使用物理机中的虚拟机):物理机操作系统:Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统:KaliLinux虚拟机安装服务/工具1:isc-dhcp-server虚拟机操作系统登陆用户名:root虚拟机操作系统登陆密码:123456虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)PC2(有线网卡)物理机操作系统:Windows764位旗舰版1.
将PC1、PC2所连接端口划入VLAN20中,动态分配地址后查看PC1、PC2物理机所获取地址.
2.
打开Kali虚拟机的"攻防环境"快照,将虚拟机网卡桥接至PC1物理机网卡,查看KALIIP地址并测试到局域网网关可达.
3.
进入Kali系统查看DHCP服务的运行状态,确保DHCP服务运行正常.
4.
PC2手动释放(ipconfig/release)已获取的IP地址,待再次获取地址后ipconfig/all查看已获取地址(因R2DHCP服务的存在,PC2动态获取地址会根据kali,R2的回应速度选择最快回应方,因此从kali获取错误地址随机性较强,可能需测试多次或关闭R2DHCP服务进行验证).
5.
在S4交换机部署DHCP防御策略阻止非法DHCP服务器,并将S4交换机相关配置信息截屏;6.
在S4交换机配置DHCP防御策略的条件下,由PC2再次连接入网获取地址,并将以上验证过程截屏;任务2:MAC协议安全攻防(可选)任务环境说明:PC1(有线网卡)12物理机操作系统:Windows764位旗舰版物理机安装服务/工具1:WiresharkPC1(须使用物理机中的虚拟机):VMwareWorkstation12Pro虚拟机操作系统:KaliLinux虚拟机安装服务/工具1:Macof虚拟机操作系统登陆用户名:root虚拟机操作系统登陆密码:123456虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)PC2(有线网卡)物理机操作系统:Windows764位旗舰版1.
将PC1、PC2获取地址后查看S4交换机VLAN20的MAC地址表及容量信息,并将S4交换机查看命令、查看结果截图.
2.
打开Kali虚拟机的"攻防环境"快照设置虚拟机网卡与物理机网卡桥接,从kali发起MACFlooding渗透测试,使S4交换机的MAC地址表溢出,并在MAC地址表溢出的条件下,查看S4交换机的MAC地址表信息,并将渗透测试过程截图.
3.
PC1打开wireshark,验证在S4交换机MAC地址表溢出的条件下,可以监听到PC2登陆S4交换机的Telnet流量,并将该验证过程截图.
4.
针对PC1抓取的Telnet流量包进行报文分析确定登陆S4交换机的用户名密码信息.
5.
在S4交换机的PC1所连接端口配置PortSecurity特性,阻止kali发起MACFlooding渗透测试,验证此时S4交换机MAC地址表能够学习情况并将S4交换机相关配置信息以及验证信息截图.
6.
在S4交换机配置PortSecurity特性的条件下,PC1再次打开wireshark,监听PC2登陆S4交换机的Telnet流量,验证此时PC1是否可监听到PC2登陆S4交换机的Telnet流量,并将验证过程截图.
任务3:STP协议安全攻防(可选)任务环境说明:PC1(有线网卡)物理机操作系统:Windows764位旗舰版PC1(须使用物理机中的虚拟机):VMwareWorkstation12Pro虚拟机操作系统:KaliLinux虚拟机安装服务/工具1:Yersinia虚拟机操作系统登陆用户名:root虚拟机操作系统登陆密码:12345613虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)1.
S4交换机开启生成树协议,生成树协议模式为STP,S4交换机优先级为0,防止网络出现物理环路,显示S4交换机生成树协议的状态,并将该信息截屏;2.
打开Kali虚拟机的"攻防环境"快照设置虚拟机网卡与物理机网卡桥接,从kali发起BPDUDOS渗透测试,渗透测试中S4交换机CPU利用率明显升高,渗透测试方式及S4交换机CPU的利用率信息截图.
3.
S4交换机配置生成树协议直接丢弃接口所收到的BPDU报文,降低设备CPU利用率,进而阻止BPDUDOS渗透测试,S4配置信息截屏;4.
在S4交换机配置生成树协议安全特性的条件下,S4交换机不会受kali的BPDUDOS渗透测试影响,此时由kali再次向S4交换机发起BPDUDOS渗透测试,显示S4交换机CPU的利用率,并将该验证截屏;5.
S4交换机配置生成树协议针对接口收到的BPDU报文直接将端口关闭,将攻击者隔离出网络.
设备配置、端口及CPU利用率信息截图.
6.
S4交换机配置恢复关闭的端口.
任务4:ARP协议安全攻防(可选)任务环境说明:PC1(有线网卡)物理机操作系统:Windows764位旗舰版PC1(须使用物理机中的虚拟机):VMwareWorkstation12Pro虚拟机操作系统:KaliLinux虚拟机安装服务/工具1:Arpspoof虚拟机安装服务/工具2:Ettercap虚拟机安装服务/工具2:Wireshark虚拟机操作系统登陆用户名:root虚拟机操作系统登陆密码:123456虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)PC2(有线网卡)物理机操作系统:Windows764位旗舰版PC3(须使用物理机中的虚拟机):物理机操作系统:Windows764位旗舰版物理机操作系统IP:40.
1.
1.
14/28VMwareWorkstation12Pro虚拟机操作系统:WindowsServer2003R2虚拟机安装服务/工具1:IIS14虚拟机安装服务/工具2:FTP虚拟机安装服务/工具3:SMTP虚拟机安装服务/工具3:POP3虚拟机操作系统登陆用户名:administrator虚拟机操作系统登陆密码:123456虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)1.
在PC1、PC2获取VLN20地址后访问PC3FTP(ftp.
ziyuan.
com/用户名:ftp1/密码:123456)服务(排除干扰,在此关闭EGWEB认证),查看PC2和R2的ARP缓存信息,并将PC2和R2的ARP缓存及FTP访问信息截图.
2.
打开Kali虚拟机的"攻防环境"快照设置虚拟机网卡与物理机网卡桥接,在kali对PC2进行ARPSpoofing网关渗透测试,使PC2的网关ARP信息被转换为kailiMAC,进而无法访问外网FTP服务,在PC2查看被kali毒化后的ARP缓存信息及kali渗透测试方式,验证及查看信息截图.
3.
在kali对PC2和FTP服务器进行ARP中间人渗透测试,使kali能够使用wireshark监听到PC2登陆FTP服务器的用户名、密码参数及数据流向特点与原因,渗透测试过程截图.
4.
在kali对VLAN20网关地址进行ARPSpoofing渗透测试以达到PC2欺骗网关的目的,查看R2网关ARP表象中PC2信息及kali渗透测试方式,测试信息截图.
5.
在kali以上渗透测试基础上,在kali上使用wireshark监听PC2登陆FTP服务器的用户名、密码参数及数据流向特点,渗透测试过程截图.
6.
在S4交换机上配置ARP防御策略阻止kali发起ARPSpoofing渗透测试,并将S4交换机该配置信息截图.
7.
在R2上配置ARP信息绑定阻止kali发起ARPSpoofing渗透测试,并将R2路由器配置信息截图.
8.
在S4交换机、R2路由器上配置ARP防御策略的条件下,再次在kali对PC2和VLAN20网关进行ARPSpoofing渗透测试,此时R2\S4设备的防御策略能够阻止kali的ARPSpoofing渗透测试,再次查看PC2和R2的ARP缓存信息,并将该信息截图.
任务5:WPA2加密破解安全攻防(可选)任务环境说明:PC1(须使用物理机中的虚拟机,并将无线网卡连接至kali虚拟机中):VMwareWorkstation12Pro虚拟机操作系统:KaliLinux虚拟机安装服务/工具1:Airmon-ng虚拟机安装服务/工具2:Airodump-ng虚拟机安装服务/工具3:Aireplay-ng虚拟机安装服务/工具4:Aircrack-ng15虚拟机安装服务/工具5:Wireshark虚拟机操作系统登陆用户名:root虚拟机操作系统登陆密码:1234561.
将无线PC2关联SSID验证入网后测试到外网的连通性.
2.
打开Kali虚拟机的"攻防环境"快照,将PC1物理机无线网卡连接至kali虚拟机内并查看kaili无线网卡连接状态.
3.
进入Kali系统利用已经安排的工具破解SSID为ruijie-X的WPA2加密密码.
4.
根据破解原理总结规避WPA2无线密码破解方案(5分)备注:提交文档数量与名称阶段任务序号文档名称第一阶段任务11第一阶段-任务1-基础网络搭建任务22第一阶段-任务2-网络安全设备配置与防护-FW3第一阶段-任务2-网络安全设备配置与防护-EG4第一阶段-任务2-网络安全设备配置与防护-AC第二阶段任务15第二阶段-任务1-Windows服务器安全加固任务26第二阶段-任务2-linux操作系统安全防护第三阶段任务17第三阶段-任务1-DHCP服务欺骗防护任务28第三阶段-任务2-MAC协议安全攻防任务39第三阶段-任务3-STP协议安全攻防任务410第三阶段-任务4-ARP协议安全攻防任务511第三阶段-任务5-WPA2加密破解安全攻防
- 虚拟机iis配置web服务器相关文档
- 程序iis配置web服务器
- 《网络数据库技术与应用》(第二版)
- 学时iis配置web服务器
- 滁州职业技术学院
- 第1章ASP使用基础
- 目录Android程序设计
A400:36元/季,16.8/月kvm架构,线路优质,延迟低
A400互联是一家成立于2020年的商家,主要推行洛杉矶服务器采用kvm架构,线路优质,延迟低,稳定性高!全场产品对标腾讯云轻量,服务器线路有有美国洛杉矶cn2_gia、香港cn2+cmi,目前推行的vps服务器均为精心挑选的优质线路机房,A400互联推出了夏季优惠洛杉矶5折、香港7折促销活动,质量可靠,价格实惠!二:优惠码洛杉矶五折优惠码:20210620香港cn2七折优惠码:0710三、优惠方...
justhost:“第4次VPS测评”,8.3元/月,200M带宽,不限流量,KVM虚拟,4个俄罗斯机房应有适合你的
justhost.ru官方来消息说已经对网络进行了比较全面的优化,针对中国电信、联通、移动来说,4个机房总有一个适合中国用户,让站长进行一下测试,这不就有了这篇有关justhost的VPS的第四次测评。本帖主要关注的是网络,对于其他的参数一概不管! 官方网站:https://justhost.ru 最低配VPS:8.3元/月,KVM,512M内存,5G硬盘,200M带宽,不限流量 购买链接:...
ShockHosting($4.99/月),东京机房 可享受五折优惠,下单赠送10美金
ShockHosting商家在前面文章中有介绍过几次。ShockHosting商家成立于2013年的美国主机商,目前主要提供虚拟主机、VPS主机、独立服务器和域名注册等综合IDC业务,现有美国洛杉矶、新泽西、芝加哥、达拉斯、荷兰阿姆斯特丹、英国和澳大利亚悉尼七大数据中心。这次有新增日本东京机房。而且同时有推出5折优惠促销,而且即刻使用支付宝下单的话还可获赠10美金的账户信用额度,折扣相比之前的常规...
iis配置web服务器为你推荐
-
com域名注册com域名是永久注册的吗免费vps服务器免费服务器有哪些重庆虚拟空间重庆虚拟主机租用那家好?虚拟主机软件谁知道这个虚拟机软件叫什么。虚拟主机软件问虚拟主机用什么版本的软件比较好虚拟主机服务商现在市场上那家服务商的虚拟主机性价比最高?windows虚拟主机在windows上怎么安装虚拟机虚拟主机提供商虚拟主机必须与域名提供商在一家买吗?华众虚拟主机管理系统华众虚拟主机管理系统请问。华众 虚拟主机管理系统 这个问题 怎么解决 。就是后台可以开通虚拟主机 没有问题,但是 删除虚拟主机 后台显示删除成功的,但是实际在服务器上 文件夹 ftp iis站点 都没有被删除 是什么问题中文域名中文域名是怎么回事?