【网络安全】二、常用网络安全管理工具

一、实验目的

1. 掌握 ping、ipconfig、netstat、net、at 5 个常用网络安全管理工具的基本功能与核心应用场景。
2. 熟练使用各工具的关键参数，能够通过工具输出结果排查网络故障（如连通性、IP 冲突）、监控网络状态（如端口占用、连接数）及执行基础安全管理操作（如用户管理、定时任务）。
3. 理解各工具在网络安全中的作用（如通过 netstat 检测异常连接、通过 net 命令限制非法共享、通过 ping 验证主机存活），提升基础网络安全运维能力。

二、实验器材

1. VM中虚拟PC机2台（预装 Windows 系统，如 Win7/10，支持 CMD 命令行；建议1台作为本地主机，1台作为远程测试主机）；
2. 交换机 1 台（用于两台 PC 互联，或直接使用直连网线连接两台 PC）；
3. 直通网线（用于 PC 与交换机连接）、交叉网线（用于 PC 直连，可选）若干；
4. 远程连接工具（如 Windows 远程桌面，可选，辅助测试 net/at 命令的远程功能）。

三、实验拓扑

网络拓扑图（简化）：

|-------------------------------------------------------------------------------------------------------------|
| PC1（本地主机） 交换机 PC2（远程测试主机） 192.168.8.10/24 ------直通线------ 192.168.8.11/24 （网关：192.168.8.1） （网关：192.168.8.1） |

拓扑说明：

1. 两台 PC 通过直通线连接至交换机，形成局域网（或直接用交叉线直连，需手动配置 IP）；
2. PC1 静态 IP 配置为192.168.8.10，子网掩码255.255.255.0，网关192.168.8.1；
3. PC2 静态 IP 配置为192.168.8.11，子网掩码255.255.255.0，网关192.168.8.1；
4. 确保两台 PC 的防火墙关闭或允许ICMP（ping）、远程管理（net/at）流量通过。

四、实验步骤

步骤 1：物理拓扑连接与 IP 配置

1. 用直通线连接 PC1、PC2 与交换机（或用交叉线直连两台 PC），检查网线连接牢固性，观察 PC 网卡指示灯是否正常（绿灯常亮表示连接正常）；
2. 配置 PC1 与 PC2 的静态 IP：
   1. 右键 "网络"→"属性"→"更改适配器设置"，右键 "本地连接"→"属性"；
   2. 选择 "Internet 协议版本 4（TCP/IPv4）"→"属性"，勾选 "使用下面的 IP 地址"，按拓扑配置 IP、子网掩码和网关；
   3. 验证 IP 配置：打开 CMD 命令行（Win+R 输入cmd回车），执行ipconfig初步确认 IP 是否配置成功。

步骤 2：ping 命令的使用（连通性测试与故障排查）

ping 命令用于测试两台主机间的网络连通性，核心参数包括-t（持续 ping）、-n 次数（指定 ping 次数）、-l 字节数（指定数据包大小）。

|------------------|--------------------------|---------------------------------------------|
| 操作目的 | 命令示例 | 说明 |
| 测试本机回环地址（自检） | ping 127.0.0.1 -n 4 | 回环地址连通表示本机 TCP/IP 协议栈正常，-n 4指定发送 4 个数据包 |
| 测试 PC1 与 PC2 连通性 | ping 192.168.8.11 -t | 持续 ping PC2，观察是否丢包（按 Ctrl+C 停止），丢包可能表示网络不稳定 |
| 测试网关连通性 | ping 192.168.8.1 -l 1024 | 发送 1024 字节的数据包测试网关（路由器）连通性，大数据包可检测 MTU 是否正常 |

操作步骤：

1. 在 PC1 的 CMD 中依次执行上述 3 条命令；
2. 记录每条命令的输出结果（如 "来自 192.168.8.11 的回复" 表示连通，"请求超时" 表示不通）。

步骤 3：ipconfig 命令的使用（IP 配置查看与管理）

ipconfig 命令用于查看、释放、续订 IP 地址，核心参数包括/all（显示详细配置）、/release（释放 DHCP 分配的 IP）、/renew（重新获取 IP）。

|---------------|-----------------------------------|-------------------------------------------------------------------|
| 操作目的 | 命令示例 | 说明 |
| 查看基础 IP 配置 | ipconfig | 显示本机所有网卡的 IP、子网掩码、网关 |
| 查看详细配置（含 MAC） | ipconfig /all | 显示网卡物理地址（MAC）、DNS 服务器、DHCP 服务器地址等，可用于排查 IP 冲突（相同 MAC 对应不同 IP 为异常） |
| 释放与续订 DHCP IP | ipconfig /release ipconfig /renew | 先释放当前 IP，再重新从 DHCP 服务器获取 IP（需将 PC1/2 改为 "自动获取 IP" 模式测试） |

操作步骤：

1. 在 PC1 的 CMD 中执行ipconfig /all，记录本机 MAC 地址；
2. 将 PC1 的 IP 改为 "自动获取"，执行ipconfig /release（IP 变为 0.0.0.0），再执行ipconfig /renew（重新获取 IP）；
3. 对比自动获取与静态配置的 IP 差异，记录结果。

步骤 4：netstat 命令的使用（网络状态监控）

netstat 命令用于查看本机网络连接、端口监听状态，核心参数包括-a（显示所有连接 / 监听端口）、-n（数字形式显示 IP / 端口，不解析域名）、-o（显示连接对应的进程 PID）。

|-------------|--------------|---------------------------------------------------------------------------------------|
| 操作目的 | 命令示例 | 说明 |
| 查看所有端口与连接 | netstat -an | 显示所有 TCP/UDP 连接，LISTENING表示端口处于监听状态（如 80 端口监听可能对应 HTTP 服务），ESTABLISHED表示已建立连接 |
| 查看连接对应进程 | netstat -ano | 在-an基础上显示 PID，结合 "任务管理器"（Ctrl+Shift+Esc）的 "详细信息"页，可定位异常进程（如未知 PID 占用高危端口 445 可能为勒索病毒） |
| 查看 TCP 连接状态 | netstat -nt | 仅显示 TCP 连接，-t指定 TCP 协议 |

操作步骤：

1. 在 PC1 的 CMD 中执行netstat -an，记录监听端口（如0.0.0.0:135为系统默认端口）；
2. 执行netstat -ano，找到状态为ESTABLISHED的连接（如连接 PC2 的 192.168.8.11:49152），记录其 PID；
3. 打开任务管理器，通过 PID 查找对应进程（如 "cmd.exe"），验证是否为当前操作的进程。

步骤 5：net 命令的使用（用户与共享管理）

net 命令是 Windows 核心管理工具，可用于用户管理、共享设置、远程连接，核心子命令包括net user（用户管理）、net share（共享管理）、net use（远程连接）。

|--------------|------------------------------------------------------------|---------------------------------------------------------------------------|
| 操作目的 | 命令示例 | 说明 |
| 查看本机用户列表 | net user | 显示本机所有用户账户（如 "Administrator""Guest"），可排查是否存在隐藏恶意账户 |
| 创建新用户并设置密码 | net user test 123456 /add | 创建名为 "test"、密码 "123456" 的用户（需管理员权限，CMD 以 "管理员身份运行"），用于测试用户权限控制 |
| 查看 / 删除共享文件夹 | net share net share TestShare /delete | 先查看本机共享（如 "C$" 为默认管理员共享），再创建共享（右键文件夹→"共享"）后执行net share，最后删除共享（/delete参数） |
| 远程连接 PC2 的共享 | net use \\192.168.8.11\TestShare 123456 /user:PC2\test | 以 PC2 的 "test" 用户（密码 123456）连接其共享文件夹 "TestShare"，用于测试远程访问控制（需 PC2 开启文件共享） |

操作步骤：

1. 以管理员身份打开 PC1 的 CMD，执行net user，记录默认用户；
2. 执行net user test 123456 /add，再执行net user确认 "test" 用户已创建；
3. 在 PC2 创建 "TestShare" 共享文件夹，PC1 执行net use \\192.168.8.11\TestShare 123456 /user:PC2\test，验证是否能访问共享；
4. 实验后执行net user test /delete删除测试用户，执行net share TestShare /delete删除共享。

步骤 6：at 命令的使用（定时任务管理）

at 命令用于创建定时执行的任务（Windows 7 及以下默认支持，Windows 10 需开启 "Task Scheduler" 服务），核心语法为at 时间 命令 [/interactive]（/interactive表示与桌面交互）。

|---------------------|--------------------------------------------|-----------------------------------------------------------|
| 操作目的 | 命令示例 | 说明 |
| 查看已创建的 at 任务 | at | 显示所有定时任务（如 "ID: 1 时间: 14:30 命令: ipconfig"） |
| 创建定时执行 ipconfig 的任务 | at 14:30 "ipconfig /all > C:\at_log.txt" | 设定 14:30 自动执行ipconfig /all，并将结果输出到C:\at_log.txt（需确保路径可写） |
| 删除 at 任务 | at 1 /delete | 删除 ID 为 1 的定时任务，at /delete可删除所有任务 |

操作步骤：

1. 在 PC1 的 CMD 中执行at，确认当前无任务（初始状态为空）；
2. 查看当前系统时间（执行time），设定 1 分钟后执行任务（如当前 14:29，执行at 14:30 "ipconfig /all > C:\at_log.txt"）；
3. 等待时间到达后，打开C:\at_log.txt，验证是否有 ipconfig 结果；
4. 执行at /delete删除所有任务，避免残留。

步骤 7：清理实验环境

1. 删除测试用户：PC1/2 执行net user test /delete（若已创建）；
2. 取消共享文件夹：PC1/2 执行net share 共享名 /delete；
3. 恢复 IP 配置：将 PC1/2 改回静态 IP（192.168.8.10/11）；
4. 关闭 CMD 窗口，结束实验。

五、实验结论与分析

1. 配置与测试记录（表格形式）

|----------|------------------------------------|-----------------------------------------------------|--------------------------------------------------------------|
| 工具命令 | 关键操作内容 | 执行结果（示例） | 结果分析 |
| ping | ping 192.168.8.11 -n 4 | 4 个数据包全部收到，丢包率 0% | PC1 与 PC2 网络连通正常，无物理故障或防火墙拦截 |
| ipconfig | ipconfig /all | 物理地址：00-1A-2B-3C-4D-5E，DNS：8.8.8.8 | 本机 TCP/IP 配置正常，DNS 服务器为公共 DNS，可正常解析域名 |
| netstat | netstat -ano | PID 1234 对应连接：192.168.8.10:49152 → 192.168.8.11:139 | 该连接为 PC1 与 PC2 的 SMB 协议连接（139 端口），对应进程为 "explorer.exe"，属正常操作 |
| net | net user test 123456 /add | 命令成功完成，net user显示 "test" 用户 | 管理员可通过net user创建 / 删除用户，需注意密码复杂度（实验中 123456 为弱密码，实际需强密码） |
| at | at 14:30 "ipconfig > C:\log.txt" | 14:30 后 C:\log.txt 生成，含 ipconfig 结果 | at 命令可实现定时任务，可用于自动化安全操作（如定时执行病毒扫描脚本），但需防止被恶意利用（如定时删除文件） |

2. 结果分析

1. 连通性与配置排查 ：ping 通表示网络链路正常，ping 不通需排查 IP 冲突（ipconfig /all 对比 MAC）、防火墙规则（关闭 ICMP 拦截）；ipconfig 的/release//renew可解决 DHCP 分配的 IP 异常问题。
2. 网络状态监控 ：netstat 的-ano参数可快速定位异常进程（如未知 PID 占用 22 端口可能为非法 SSH 连接），是检测网络入侵的基础工具。
3. 安全管理作用 ：net 命令的用户管理可防止未授权账户创建（如禁用 Guest 账户），共享管理可避免敏感文件夹泄露；at 命令的定时任务需限制权限，防止恶意定时任务执行（如at 时间 "format D:"格式化磁盘）。

六、实验收获

1. 命令使用要点 ：各工具的参数需精准（如 netstat -n可加快执行速度，避免域名解析延迟），管理员权限是执行net user add、at等命令的前提，需注意 CMD 的运行身份。
2. 安全实践意义 ：
   1. ping 命令可用于 "主机存活探测"，是渗透测试的初步步骤，但也可能被攻击者用于扫描网络，需通过防火墙限制 ICMP；
   2. netstat 是 "端口扫描" 的反向工具，可主动发现本机开放的高危端口（如 445、3389），及时关闭不必要的端口（如禁用 135/139/445 端口防止勒索病毒）；
   3. net 命令的用户管理是 "身份认证" 的基础，实际运维中需定期执行net user排查隐藏账户，设置强密码（如 8 位以上含字母 / 数字 / 符号）；
   4. at 命令的定时任务可用于 "自动化安全运维"（如定时备份日志），但需删除无用任务，防止被恶意篡改。