信息安全實訓指導

1、網絡與信息安全實訓指導書一、課程基本知識1、實訓目的：主要為配合網絡安全的相關理論知識，以此為基礎進行一系列的實際安全配置實驗訓練。在實訓學習和實踐過程中，學生以解決實際問題為主線，進行相關實際的網絡安全配置和制定系統(tǒng)防范措施。學生通過對網絡與信息安全技術的學習，已經初步掌握了網絡安全技術中所涉及到的基礎安全技術知識。網絡與信息安全實訓，是為了加強網絡與信息安全技術的基礎，使學生對網絡安全技術有更全面的理解，進一步提高學生運用網絡安全技術解決實際問題的能力。課程設計主要目的：(1)提高實際工作中配置和維護各種服務器的能力。(2)通過服務器的安全配置與維護，掌握網絡中常見安全問題的解決方法。(3

2、)對系統(tǒng)服務器進行入侵檢測操作，能更好的掌握各種協(xié)議的應用。實訓的任務主要是使得學生掌握網絡與信息安全技術領域的基本理論和方法，具有較強的自律意識和信息安全意識，具有使用網絡安全方面的軟硬件產品解決實際問題的能力，能夠完成一系列的實際安全配置實驗內容，并且能夠熟練使用相關安全工具和軟件。2、實訓內容：Windows下Snort的安裝與配置、利用證書或PGP軟件傳輸加密/簽名的郵件附件和正文、防病毒軟件的使用、CA證書的安裝、申請及在Web中的應用：證書申請和證書簽發(fā)；基于SSL的安全Web服務配置；CRL簽發(fā)；用戶管理和證書查詢、本地入侵Windows 2000系統(tǒng)、遠程攻擊Windows 2

3、000系統(tǒng)、使用X-SCANNER掃描工具發(fā)現系統(tǒng)漏洞、用Sniffer軟件抓取數據報,分析數據報、木馬病毒的查殺、NC實驗。3、實訓所用設施：PC機、交換機、Windows 2000 server操作系統(tǒng)、PGP軟件、及其他軟件等4、實訓任務及要求：根據提供的實訓題目，引導學生采用正確的實驗、實訓方法，啟發(fā)學生擴大解決問題的思路，從而得到正確的結果，并且分析出現的各種現象，提高實驗、實訓效果。實訓過程中，注意記錄實訓步驟。做完實驗、實訓，寫出實訓報告或論文。二、實訓基本操作方法1、按照文檔規(guī)范要求進行操作，養(yǎng)成查閱手冊、文檔的良好習慣；2、根據實訓步驟要求進行操作，注意積累正確操作方法；3、

4、操作過程中注意記錄錯誤提示，并利用各種資源進行更正，積累錯誤診斷經驗，增強獨立解決問題的能力；4、對特殊疑難問題采用討論、協(xié)作等方式進行解決，有意識地訓練團隊合作意識；5、實訓報告或論文應多包含在實訓過程中出現的錯誤及解決方法。三、實訓項目（一） Windows下Snort的安裝與配置1.安裝Apache_ For Windows安裝的時候注意，如果你已經安裝了IIS并且啟動了Web Server ，因為IIS的Web Server默認在TCP 80端口監(jiān)聽，所以會和Apache Web Server沖突，我們可以修改Apache Web Server為其他端口。選擇定制安裝，安裝路徑修改為c

5、:apache 安裝程序會自動建立c:apache2 目錄，繼續(xù)以完成安裝。安裝完成后在c:apache2confhttpd.conf中,將apache web server 默認端口80，修改為其他不常用的高端端口：修改Listen 80 為Listen 50080 安裝apache為服務方式運行,在DOS狀態(tài)下,輸入并運行命令：c:apache2binapache -k install2.安裝PHP1）添加Apache對PHP的支持：解壓縮php-Win32.zip至c:php2）拷貝php4ts.dll至%systemroot%system32；拷貝php.ini-dist至%syste

6、mroot%system32和%systemroot%下,并改名為php.ini將phpextensions下的php_gd2.dll和php_bz2.dll拷貝到%systemroot%system32下3）添加gd 圖形庫支持：修改php.ini中：extension=php_gd2.dll (可以直接添加，也可以將原有這句話前的“；”刪除)4）在c:apache2confhttpd.conf 中添加LoadModule php4_module "c:/php/sapi/php4apache2.dll" AddType application/x-httpd-php .

7、php5）啟動Apache 服務 net start apache2 6）在c:apache2htdocs 目錄下新建test.php ， test.php 文件內容： <?phpinfo();?> 使用:50080/test.php 測試php是否安裝成功 （備注：%systemroot%下存儲表示在winnt下存儲）3.安裝snort安裝Snort_2_0_0使用默認安裝路徑c:snort4. 安裝Mysql 1)安裝Mysql，默認安裝Mysql至c:mysql 2)安裝mysql為服務方式運行 命令行c:mysqlbinmysqld-nt in

8、stall 3)啟動mysql服務net start mysql4)連接MYSQL。 格式： mysql -h主機地址 -u用戶名 p用戶密碼 首先在打開DOS窗口，然后進入目錄 mysqlbin，再鍵入命令mysql u root -p，回車后提示你輸密碼，如果剛安裝好MYSQL，超級用戶root是沒有密碼的，故直接回車即可進入到MYSQL中了，MYSQL的提示符是：mysql> （注:u與root可以不用加空格，其它也一樣）5)建立snort 運行必須的snort 庫和snort_archive 庫 mysql>create database snort; mysql>c

9、reate database snort_archive; 6)輸入quit退出musql，以root身份，使用c:snortcontrib 目錄下的create_mysql 腳本建立Snort 運行必須的數據表 c:mysqlbinmysql -D snort -u root -p < c:snortcontribcreate_mysqlc:mysqlbinmysql -D snort_archive -u root -p < c:snortcontrib create_mysql7)建立acid (密碼:acidtest )和snort 用戶 (密碼:snorttest ) m

10、ysql> grant usage on *.* to “acid”“l(fā)ocalhost” identified by “acidtest”; mysql> grant usage on *.* to “snort”“l(fā)ocalhost” identified by “snorttest”; 8)為acid 用戶和snort 用戶分配相關權限mysql> grant select,insert,update,delete,create,alter on snort .* to "acid""localhost"mysql> gra

11、nt select,insert on snort .* to "snort""localhost" mysql> grant select,insert,update,delete,create,alter on snort_archive .* to "acid""localhost"5.安裝adodb 解壓縮adodb360.zip 至c:phpadodb 目錄下6. 安裝acid解壓縮acid-b23.tar.gz 至c:apache2htdocsacid 目錄下修改acid_conf.php 文件

12、$DBlib_path="c:phpadodb"$DBtype = "mysql" $alert_dbname="snort" $alert_host="localhost" $alert_port="3306" $alert_user="acid" $alert_password="acidtest"/* Archive DB connection parameters */ $archive_dbname="snort_archive&quo

13、t; $archive_host="localhost" $archive_port="3306" $archive_user="acid" $archive_password="acidtest " $ChartLib_path="C:phpjpgraphsrc"建立acid 運行必須的數據庫：http:/:50080/acid/acid_db_setup.php,按照系統(tǒng)提示，單擊create ACID AG建立數據庫7.安裝jpgrapg 庫 解壓縮jpgraph-.tar.gz 至c:p

14、hp jpgraphsrc下的jpgraph.php文件，去掉下面語句的注釋DEFINE("CACHE_DIR","/tmp/jpgraph_cache/");8.安裝winpcap按照默認安裝即可9.配置Snort（1）編輯c:snortetcsnort.conf，需要修改的地方：include classification.configinclude reference.config改為絕對路徑include c:snortetcclassification.configinclude c:snortetcreference.config（2）設置s

15、nort 輸出alert 到mysql server，在文件的最后加入如下語句Output database:alert, mysql, host=localhost user=snort password=snorttest dbname=snort encoding=hex detail=full（3）測試snort 是否正常工作： 命令行：c:snortbin>snort -c "c:snortetcsnort.conf" -l "c:snortlog" -d -e X -X 參數用于在數據鏈接層記錄raw packet 數據 -d 參數記錄

16、應用層的數據 e 參數顯示記錄第二層報文頭數據 -c 參數用以指定snort 的配置文件的路徑（4）打開http:/ip:50080/acid/acid_main.php進入acid的分析控制臺主界面。（二） 利用證書或PGP軟件傳輸加密/簽名的郵件附件和正文1、配置outlook express：如果要想真正實現加密郵件的傳輸，需要在配置過程中輸入真實的email地址（提示：一旦起用outlook express進行郵件收發(fā)，則web郵箱中的郵件將都被下載到outlook中，所以為了能更好的做此實驗，最好是重新申請一個新郵箱） 具體步驟： 打開outlook express-“工具”菜單中的

17、“帳戶”-添加-郵件-在“您的姓名”頁的顯示名處輸入“姓名，如lf”-在“internet電子郵件地址”頁中輸入自己真實的mail地址,如ghz1-在“電子郵件服務器”頁中，輸入：接收郵件“”和發(fā)送郵件“”-在“internet郵件登錄”頁中輸入真實登錄郵件的用戶名和密碼-完成。選中添加的帳戶-屬性-在“常規(guī)”選項卡中，將“”修改為- 在“服務器”選項卡中，將“我的服務器要求身份驗證”選中-確定。此時outlook express配置完成，并可以測試是否能正常進行通信。2、安裝PGP軟件在安裝完畢后，一定要重新啟動計算機。重啟后，需要對PGP進行配置，配置信息參考licenseinfo.txt

18、文件，即為： 用戶名：User 2004 組織名：Group 2004 License Number:：CUPVJ-RMRME-N4MYZ-M1ZUQ-26CWD-M0ALicense Authorization中輸入下面的全部內容：-BEGIN PGP LICENSE AUTHORIZATION-ADIAApAAAKCZEwROEfJ2khJVeBe7UZ9FSHkHGwCeOkt8cL0Qk3CNGFSp3dEtVcGc4Hs=-END PGP LICENSE AUTHORIZATION-3、生成公私鑰對，具體步驟打開安裝的PGP軟件-“keys”菜單中選擇“new keys”-“expe

19、rt”-按照向導繼續(xù)配置下去即可。4、導出自己的密鑰右擊自己創(chuàng)建的密鑰-選擇“export”-選擇保存位置和保存名稱-確定5、把密鑰傳輸給另一個人（需要打開你加密郵件正文或附件的用戶）通過郵件的方法可以傳輸可以通過網上鄰居傳輸6、將接收到的密鑰導入到自己的keys中對方接收到密鑰以后，將其導入到自己的“PGPkeys”中，然后選擇剛導入的公鑰，單擊“keys”菜單中的“sign”-在圖1中可以選擇其他配置信息，單擊“ok”-在圖2中輸入本人的私鑰密碼-點擊“ok”，此時表示對方的公鑰已經被導入進來。圖1圖27、利用PGP加密郵件附件右擊要加密的郵件附件-選擇“PGP”中的“encrypt”打開

20、如圖3所示對話框，在這里把對方的公鑰從上面的對話框中拖到下面的對話框，如圖4所示結果。-選擇上對方的公鑰，單擊“ok”，即對文件進行了加密。圖3圖4 打開outlook -新建郵件-輸入收件人地址-到加密的郵件附件添加進來，并發(fā)送給對方即可。8、對加密附件進行解密 把郵件附件保存到本機-右擊該附件-選擇“PGP”中的“decypt”-輸入私鑰密碼-確定即可。（三） 防病毒軟件的使用使用RAV瑞星或KV、360等殺毒軟件的有關殺毒功能，檢測Windows 2000/XP網絡系統(tǒng)，將檢測結果和使用步驟寫成實訓報告。在網絡上搜索目前流行的殺毒軟件，并下載一些共享軟件或試用版使用。思考：惡性病毒的破壞

21、作用主要有哪些？比較目前流行的殺毒軟件的特點。（四） CA證書的安裝、申請及在Web中的應用：證書申請和證書簽發(fā)；基于SSL的安全Web服務配置；CRL簽發(fā)；用戶管理和證書查詢（必做）1、實驗目的通過觀察和動手實驗，使學生更深入理解PKI公鑰基礎設施中數字證書的作用，以win2000 server  CA中心為例，學會客戶端如何從獨立CA中心申請數字證書，CA中心如何簽發(fā)證書。2、實驗原理2.1  PKI基礎PKI (Pubic Key Infrastructure)是一個用公鑰密碼學技術來實施和提供安全服務的安全基礎設施，它是創(chuàng)建、管理、存儲、分布和作廢證書的一系列軟件、

22、硬件、人員、策略和過程的集合。PKI基于數字證書基礎之上，使用戶在虛擬的網絡環(huán)境下能夠驗證相互之間的身份，并提供敏感信息傳輸的機密性、完整性和不可否認性，為電子商務交易的安全提供了基本保障。一個典型的PKI系統(tǒng)應包括如下組件： （1）安全策略 安全策略建立和定義了組織或企業(yè)信息安全方面的指導方針，同時也定義了密碼系統(tǒng)使用的處理方法和原則。（2）證書操作闡述CPS（Certificate Practice Statement）一些PKI系統(tǒng)往往由商業(yè)證書發(fā)放機構(CCA)或者可信的第三方來對外提供服務，所以需要提供CPS給其使用者參考，以供其了解詳細的運作機理。CPS是一些操作過程的詳細文檔，一

23、般包括CA是如何建立和運作的，證書是如何發(fā)行、接收和廢除的，密鑰是如何產生、注冊和認證的等內容。 （3）證書認證機構CA（Certificate Authority） CA系統(tǒng)是PKI的核心部分，因為它管理公鑰的整個生命周期。CA的作用主要包括如下幾個方面：發(fā)放證書，用數字簽名綁定用戶或系統(tǒng)的識別號和公鑰。 規(guī)定證書的有效期。 通過發(fā)布證書廢除列表（CRL）確保必要時可以廢除證書。 （4）注冊機構RA（Registration Authority） RA是CA的組成部分，是用戶向CA申請服務的注冊機構，它負責接收用戶的證書申請，審核用戶的身份，并為用戶向CA提出證書請求，最后將申請的證書發(fā)放給

24、用戶。（5）證書分發(fā)系統(tǒng)CDS（Certificate Distribution System）證書通過證書分發(fā)系統(tǒng)對外公開發(fā)布，用戶可在此獲取其它用戶的證書。證書的發(fā)布可以有多種途徑，比如，用戶可以自己發(fā)布，或是通過目錄服務器向外發(fā)布。（6）基于PKI的應用接口 PKI是一個安全框架，它的價值在于使用戶能夠方便地使用加密、數字簽名等安全服務，為此一個完整的PKI必須提供良好的應用接口，可以在此基礎上提供多種安全應用服務。2.2  數字證書數字證書相當于我們平常使用的身份證，身份證用于標明使用者的身份，數字證書是各類終端實體和最終用戶在網上進行信息交流及商務活動的身份證明，在電子交易

25、的各個環(huán)節(jié)，交易的各方都需驗證對方數字證書的有效性，從而解決相互間的信任問題。數字證書是經證書認證機構數字簽名的，包含用戶身份信息、用戶公開密鑰信息的一個文件。由于證書是由證書認證機構頒發(fā)的，有證書認證機構的數字簽名，所以證書的擁有者是被證書認證機構所信任的。如果可以信任證書認證機構，則完全可以信任證書的擁有者。所以通過證書，可以使證書的擁有者向系統(tǒng)中的其它實體證明自己的身份。數字證書的存儲格式標準有多種，X.509是最基本的證書存儲標準格式。X.509格式的數字證書結構如下圖所示。證書的版本證書序列號簽名算法標識證書簽發(fā)機構名證書有效期證書持有者用戶名證書用戶公鑰信息簽發(fā)者唯一標識符證書持有

26、者唯一標識符簽名值圖4.1  X.509格式的數字證書結構各項具體內容包括：證書的版本號（Version）：0表示X.509 V1 證書標準；1表示X.509 V2 證書標準；2表示X.509 V3 證書標準。Ø  證書序列號（SerialNumber）：簽發(fā)機構分配給證書的一個唯一標識號，同一機構簽發(fā)的證書不會有相同的序列號。Ø  簽名算法（Signature）：包含算法標識和算法參數，標明證書簽發(fā)機構用來對證書內容進行簽名的算法。Ø  證書簽發(fā)機構名（Issuer）：用來標識簽發(fā)證書的CA的

27、名字，包括其國家、省市、地區(qū)、組織機構、單位部門和通用名。Ø  證書有效期（Validity）：包含兩個日期，一個是證書開始生效的日期，一個是證書有效的截止日期。當前日期在證書有效期之內時，證書的有效性驗證才能通過。Ø  證書用戶名（Subject）：證書所有者的甄別名。包括國家、省市、地區(qū)、組織機構、單位部門和通用名，還可包含email地址。Ø  證書用戶公鑰信息（subjectPublicKeyInfo）：包含用戶公鑰算法和公鑰的值。Ø  簽發(fā)者唯一標識符（Issuer Uniqu

28、e Identifier）。簽發(fā)者唯一標識符在第2版加入證書定義中。此域用在當同一個X.500名字用于多個認證機構時，用一比特字符串來唯一標識簽發(fā)者的X.500名字。該項可選。 Ø  證書持有者唯一標識符（Subject Unique Identifier）。持有證書者唯一標識符在第2版的標準中加入X.509證書定義。此域用在當同一個X.500名字用于多個證書持有者時，用一比特字符串來唯一標識證書持有者的X.500名字?？蛇x Ø  簽名值（Issuers Signature）。證書簽發(fā)機構對證書上述內容的簽名值。除了X.509標準之外，數字證書

29、的存儲標準還有PKCS#7、PKCS#12等標準。其中，PKCS#7 標準是用來傳輸簽名數據的標準格式；PKCS#12標準是用來傳輸證書和私鑰的標準格式。 2.3  CA系統(tǒng)如果將數字證書比喻為出差時能證明我們身份的“介紹信”，那么CA就好比開出“介紹信”的工作單位，它能證明證書持有者的身份。在互聯網上，CA定義為：一個可信實體，發(fā)放和作廢公鑰證書，并對各作廢證書列表簽名。證書認證機構CA（Certification Authority）是PKI的核心部分，用于創(chuàng)建和發(fā)放數字證書。創(chuàng)建證書的時候，CA系統(tǒng)首先獲取用戶的請求信息，其中包括用戶公鑰（公鑰一般可由用戶端產生，如電

30、子郵件程序或瀏覽器等）等。CA將根據用戶的請求信息產生證書，并用自己的私鑰對證書進行簽名。證書在使用過程中，其他用戶、應用程序或實體需下載安裝CA根證書，使用CA根證書中的公鑰對CA頒發(fā)的證書進行驗證，如果對證書中CA的數字簽名驗證通過，則證明這個證書是CA簽發(fā)的。進一步來說，如果一個CA系統(tǒng)是可信的，則此證書的擁有者也是可信的。3、CA系統(tǒng)的結構一個典型的CA系統(tǒng)包括安全服務器、登記中心RA服務器、CA服務器、LDAP目錄服務器和數據庫服務器等。（1）安全服務器    安全服務器面向普通用戶，用于提供證書申請、瀏覽、證書撤消列表以及證書下載等安全服務。安全服務器

31、與用戶的的通信采取安全信道方式（如SSL的方式，不需要對用戶進行身份認證），從而保證了證書申請和傳輸過程中的信息安全性。 （2）CA服務器    CA服務器是整個證書機構的核心，負責證書的簽發(fā)。CA服務器是整個結構中最為重要的部分，存有CA的私鑰以及發(fā)行證書的腳本文件。出于安全的考慮，應將CA服務器與其他服務器隔離，所有通信采用人工干預的方式，確保認證中心的安全。（3）登記中心RA    登記中心服務器面向登記中心操作員，在CA體系結構中起承上啟下的作用，一方面向CA轉發(fā)安全服務器傳輸過來的證書申請請求，另一方面向LDAP服務器和安全

32、服務器轉發(fā)CA頒發(fā)的數字證書和證書撤消列表。 （4）LDAP服務器    LDAP服務器提供目錄瀏覽服務，其他用戶通過訪問LDAP服務器就能夠得到其他用戶的數字證書。 （5）數據庫服務器    數據庫服務器是認證機構中的核心部分，用于認證機構數據（如密鑰和用戶信息等）、日志和統(tǒng)計信息的存儲和管理。4、CA系統(tǒng)的主要功能    CA系統(tǒng)的主要功能是對證書進行管理，包括頒發(fā)證書、廢除證書、更新證書、驗證證書、管理密鑰等。（1）頒發(fā)證書從使用者角度來看，證書可以分為系統(tǒng)證書和用戶證書，系統(tǒng)證書是指CA系統(tǒng)自身使

33、用的證書，例如最高層的根CA自身的根證書等；用戶證書按照應用的角度又可以分為個人用戶證書、企業(yè)用戶證書和服務器證書等。頒發(fā)證書的流程如下：首先用戶到CA的注冊機構RA或業(yè)務受理點或通過web網站等提交證書申請。如果用戶自己產生公私鑰對，證書申請中包含了個人信息和公鑰；如果由CA產生公私鑰，則證書申請中只包含個人信息。接著RA等機構對用戶的信息進行審核，審核用戶的相關關鍵資料和證書請求中是否一致，更高級別的證書需要CA進行進一步的審核。審核通過后，CA為審核此用戶簽發(fā)證書，證書可以灌制到證書介質中，發(fā)放給用戶；或者將證書發(fā)布到LDAP服務器上，由用戶下載并安裝證書。（2）廢除證書證書的廢除是指證

34、書在到達它的使用有效期之前將不再使用，廢除證書的原因有多種，例如：證書用戶身份信息的變更，CA簽名私鑰的泄漏，證書對應私鑰的泄漏，證書本身遭到損壞，以及其他多種原因。廢除證書的過程如下：用戶到CA的業(yè)務受理點申請廢除證書，CA審核用戶的身份后，將證書吊銷，并將吊銷的證書加入到證書黑名單CRL（Certificate Revocation List）中，CRL是由CA認證中心定期發(fā)布的具有一定格式的數據文件，它包含了所有未到期的已被廢除的證書（由CA認證中心發(fā)布）信息。CA會臨時或者定期簽發(fā)證書黑名單CRL，并將更新的CRL通過LDAP目錄服務器在線發(fā)布，供用戶查詢和下載。（3）證書的更新當用戶

35、的私鑰被泄漏或證書的有效期快到時，用戶應該更新私鑰。這時用戶可以申請更新證書，以廢除原來的證書，產生新的密鑰對和新的證書。證書更新的操作步驟與申請頒發(fā)證書的類似。（4）證書驗證證書驗證的內容包括三部分：驗證有效性，即證書是否在證書的有效使用期之內？證書有效性的驗證是通過比較當前時間與證書截止時間來進行的。驗證可用性，即證書是否已廢除？證書可用性的驗證是通過證書撤銷機制來實現的。驗證真實性，即證書是否為可信任的CA認證中心簽發(fā)？證書真實性的驗證是基于證書鏈驗證機制的。例如對于級聯模式的CA結構，如圖1.2所示。它是按照主從CA關系建立的分級結構，類似于樹形結構，根CA是最高級別的也是最可信任的C

36、A，位于樹的頂端，根CA的下一層是子CA。通常根CA不直接為最終用戶頒發(fā)證書，而只為子CA頒發(fā)證書。子CA為為最終用戶頒發(fā)證書，子CA可以按照所頒發(fā)證書用途的不同有多個，子CA也可有更下層的子CA。最終用戶在上述樹形結構中處于樹葉的位置。在這個級聯模式的結構中，建立的是自上而下的信任鏈，下級CA信任上級CA，下級CA由上級CA頒發(fā)證書并認證，如果一個終端實體信任一個根CA，通過證書鏈傳遞信任，那么該實體可以信任根CA所屬子CA中的最終用戶。（5）管理密鑰CA系統(tǒng)提供了基于密鑰的管理功能，包括密鑰的產生、密鑰的備份和恢復，以及密鑰的更新等。根據證書類型和應用的不同，密鑰對的產生有不同的形式和方法

37、。對普通證書和測試證書，一般由瀏覽器或固定的終端應用來產生，這樣產生的密鑰強度較小，不適合應用于比較重要的安全網絡交易。而對于比較重要的證書，如商家證書和服務器證書等，密鑰對一般由專用應用程序或CA中心直接產生，這樣產生的密鑰強度大，適合于重要的應用場合。在一個CA系統(tǒng)中，維護密鑰對的備份至關重要，如果沒有這種措施，當密鑰丟失后，將意味著加密數據的完全丟失，對于一些重要數據，這將是災難性的。所以，密鑰的備份和恢復也是密鑰管理中的重要一環(huán)。當用戶密鑰不慎丟失或者被破壞時，可以為用戶及時恢復密鑰。密鑰的使用都有一定的期限，密鑰到期后會自動失效，所以密鑰應該定時更新。在密鑰泄漏時，也需要及時更新密鑰

38、，以保證證書應用過程中的安全性。5、實驗環(huán)境硬件：用作CA中心的PC機一臺，用作客戶端申請證書的PC機至少一臺。軟件：CA中心預裝win2000 server，（可能需要安裝光盤，或者安裝光盤內容已經拷入硬盤），客戶端預裝win 2000 。6、實驗步驟（1）在裝有win2000 server的服務器上安裝獨立的根CA中心。1）點擊“開始”按鈕，選擇“設置”->“控制面板”->“添加和刪除程序”，在彈出的窗口中選擇“添加和刪除WINDOWS組件”。注意，安裝的過程中可能需要系統(tǒng)安裝盤。在彈出的窗口中，選擇“證書服務”，這時候會彈出一個對話框，點擊確定，然后點擊“下一步”開始安裝。2

39、）在彈出的配置窗口中，選擇“獨立根CA”，并點擊“下一步”3）在彈出的窗口中填入數據的存放位置，點擊“下一步”。4）這樣會停止本機在Internet上運行的信息服務，即完成了證書安裝。證書安裝后，Internet上運行的信息服務會自動開啟。單擊“開始”，選擇“程序”->“管理工具”，此時可在該菜單中找到“證書頒發(fā)機構”，說明CA的安裝已經完成（2）通過WEB頁面申請證書1）在用作證書申請客戶端的計算機中打開IE，在地址欄中輸入 http:/根CA的IP/certsrv，其中的IP指的是建立根CA的服務器IP地址。選中“申請證書”，并點擊“下一步”，以從CA申請證書。2）在彈出的頁面中選中

40、“用戶證書申請”中的“Web瀏覽器證書”。3）在彈出的窗口中填寫用戶的身份信息，完成后點擊“提交”。在這種情況下，IE瀏覽器采用默認的加密算法生成公私鑰對，私鑰保存在本地計算機中，公鑰和用戶身份信息按照標準的格式發(fā)給CA服務器4）選擇“是”，之后彈出頁面。5）CA服務器響應后，出現證書掛起頁面，表示CA服務器已經收到證書申請，需要進行處理后才能反饋。表示證書申請已經完成，等待根CA發(fā)布該證書。（3）證書發(fā)布1）在根CA所在的計算機上，單擊“開始”，選擇“程序”->“管理工具”->“證書頒發(fā)機構”。在彈出的窗口左側的菜單目錄中選擇“待定申請”，上一步中申請的證書web cert出現在

41、窗口右側。2）在證書上單擊右鍵，選擇“所有任務”->“頒發(fā)”，進行證書頒發(fā) 3）證書頒發(fā)后將從“待定申請”文件夾轉入到“頒發(fā)的證書”文件夾中，表示證書頒發(fā)完成7、證書的下載安裝（1）在申請證書的計算機上打開IE瀏覽器，在地址欄中輸入 http:/根CA的IP/certsrv，進入證書申請頁面。選擇“檢查掛起的證書”，查看CA是否頒發(fā)了證書，單擊“下一步”；（2）在彈出的頁面中選擇已經提交的證書申請，單擊“下一步”（3）如果頒發(fā)機構已將證書頒發(fā)，則將彈出頁面。（4）單擊“安裝此證書”，系統(tǒng)提示，這是由于沒有下載安裝CA系統(tǒng)的根證書，在（6）中我們會安裝CA的根證書。（5）在這里先點擊“是”

42、，完成證書安裝，顯示頁面。（6）由于沒有下載安裝CA系統(tǒng)的根證書，所以無法驗證此CA系統(tǒng)頒發(fā)的證書是否可信任。為此需要安裝CA系統(tǒng)的根證書，在地址欄中輸入 http:/根CA的IP/certsrv，進入證書申請頁面。選擇“檢索CA證書或證書吊銷列表”，在彈出的窗口中單擊“下載CA證書”超級連接。在彈出的文件下載對話框中選擇恰當的保存路徑，將證書保存在本地。（7）下載完畢后，在證書保存目錄中雙擊此證書可查看證書信息。單擊“安裝證書”鍵，則進入證書導入向導，采用默認設置完成證書的導入，導入成功后，單擊“確定”鍵即可。至此，我們web客戶端的證書申請。需要說明的是，因為證書的特殊性，存儲的物理區(qū)域對

43、用戶透明，即“導入”的證書存儲位置一般不顯示，我們可以把它“導出”到可見的存儲區(qū)，但是，私鑰不能導出。沒有導出到可見存儲區(qū)的證書，我們可以通過打開IE瀏覽器，選擇菜單中的“工具”>“Internet選項”>“內容”>“證書”來查看證書的信息。8、實驗報告要求配置獨立CA系統(tǒng)，申請用于電子郵件加密的數字證書，提交實驗步驟和結果。（五） 本地入侵Windows 2000系統(tǒng)（1）實訓時每兩個人一組，一個人為黑客，另一個人為管理員，以Windows2000系統(tǒng)為基礎做攻擊與防范訓練。（2）在實訓的過程中，注意記錄實訓步驟。寫出實訓報告，同時提出針對本地攻擊Windows 2000的

44、防護措施（六） 遠程攻擊Windows 2000系統(tǒng)1、實訓要求（1）下載黑客掃描程序（2）學習使用黑客掃描程序。（3）學習使用Windows 2000的Ping命令、Tracer命令、Host命令和NET命令收集目標主機的相關信息。2、實訓內容（1）學習在客戶端Windows 98和MS-DOS環(huán)境使用Ping 命令、Tracer命令、Host命令和NET命令收集目標主機的相關信息。（2）利用上網或相關資料中查出的方法入侵Windows 2000系統(tǒng)。（3）在做實訓前，寫好實訓方案。（4）實訓過程中，注意記錄實訓步驟。（5）寫出實訓報告，同時針對Windows 2000的遠程攻擊提出防護措施

45、。（七） 使用X-SCANNER掃描工具發(fā)現系統(tǒng)漏洞通過使用網絡端口掃描器(如：Fluxay、superscan、winsan2、X-Scan-v3.1-cn等)，可以了解目標主機開放的端口和服務程序，從而獲取系統(tǒng)的有用信息，發(fā)現網絡系統(tǒng)的安全漏洞。 sniffer：捕獲http口令和ftp口令步驟： 第一步：先輸入用戶名和password 第二步：啟動sniffer，且處于抓信息狀態(tài) 第三步：登陸http或ftp（八） 用Sniffer軟件抓取數據報,分析數據報1實驗目的（1）熟悉嗅探軟件使用。（2）通過實驗掌握SNIFFER工具的安裝及使用，理解TCP/IP 協(xié)議中TCP、IP、ICMP

46、數據包的結構，了解網絡中各種協(xié)議的運行狀況。2實驗原理Sniffer即網絡嗅探器，用于監(jiān)聽網絡中的數據包，分析網絡性能和故障。Sniffer主要用于網絡管理和網絡維護，系統(tǒng)管理員通過Sniffer可以診斷出通過常規(guī)工具難以解決的網絡疑難問題，包括計算機之間的異常通訊、不同網絡協(xié)議的通訊流量、每個數據包的源地址和目的地址等，它將提供非常詳細的信息。通常每個網絡接口都有一個互不相同的硬件地址(MAC)，同時，每個網段有一個在此網段中廣播數據包的廣播地址（代表所有的接口地址）。一般情況下，一個網絡接口只響應目的地址是自己硬件地址或者自己所處網段的廣播地址的數據幀，并由操作系統(tǒng)進一步進行處理，而丟棄不

47、是發(fā)給自己的數據幀。而通過Sniffer工具，可以將網絡接口設置為“混雜” (promiscuous)模式。在這種模式下，網絡接口就處于一個對網絡進行“監(jiān)聽”的狀態(tài)，而它可以監(jiān)聽此網絡中傳輸的所有數據幀，而不管數據幀的目標地址是廣播地址還是自己或者其他網絡接口的地址了。它將對遭遇的每一個數據幀產生硬件中斷，交由操作系統(tǒng)對這個幀進行處理，比如截獲這個數據幀，進而實現實時分析數據幀中包含的內容。當然，如果一個數據幀沒有發(fā)送到目標主機的網絡接口，則目標主機將無法監(jiān)聽到該幀。所以Sniffer所能監(jiān)聽到的信息將僅限于在同一個物理網絡內傳送的數據幀，就是說和監(jiān)聽的目標中間不能有路由（交換）或其他屏蔽廣播

48、包的設備。因此，當Sniffer工作在由集線器(HUB)構建的廣播型局域網時，它可以監(jiān)聽到此物理網絡內所有傳送的數據；而對于由交換機(switch)和路由器(router)構建的網絡中，由于這些網絡設備只根據目標地址分發(fā)數據幀，所以在這種網絡中，sniffer工具就只能監(jiān)測到目標地址是自己的數據幀再加上針對廣播地址的數據幀了。Sniffer工作在OSI模型中的第2層，它一般使用在已經進入對方系統(tǒng)的情況。實驗中要注意，雖然sniffer能得到在局域網中傳送的大量數據，但是不加選擇的接收所有的數據包，并且進行長時間的監(jiān)聽，那么你需要分析的數據量將是非常巨大的，并且將會浪費大量硬盤空間。Sniffe

49、r工具分為軟件和硬件兩大類，在這里我們主要以Sniffer Pro軟件為例對sniffer工具的使用方法和功能進行簡單介紹。當然，sniffer軟件工具還有很多種，例如SQLServerSniffer、FsSniffer等，它們的功能和使用的環(huán)境有所不同，如果讀者感興趣，可以自己進行深入探索。對于Sniffer工具的防范可以從以下幾個方面進行：首先，如果通過網管工具發(fā)現在局域網內存在長時間占用較大帶寬的計算機，這臺計算機可能在進行嗅探；其次，Sniffer的記錄文件增長很快，通過分析文件系統(tǒng)大小的變換情況，可以找到這個文件；最后，如果計算機的網絡接口處于混雜模式下（在UNIX環(huán)境下通過ifco

50、nfig a命令查看網絡接口狀態(tài)），則它很可能運行了Sniffer。通過上面的幾種方法，可以對Sniffer進行分析監(jiān)測。除了這些間接分析方法外，還可以利用AntiSniff工具，它提供了直接檢測Sniffer的功能，從而可以對Sniffer進行有效防范。Sniffer Pro軟件簡介：Sniffer軟件是NAI公司推出的功能強大的協(xié)議分析軟件，實驗中使用Sniffer Pro4.7來截獲網絡中傳輸的FTP、HTTP、Telnet等數據包，并進行分析。3實驗環(huán)境硬件：兩臺安裝Windows 2000/XP的PC機，在其中一臺上安裝Sniffer Pro軟件。將兩臺PC機通過HUB相連，組成一個

51、局域網。軟件：Sniffer Pro軟件。4實驗步驟（1）將SNIFFER 安裝在本機WINDOWS 2000 /XP（45）上 圖8.4 安裝界面（2）安裝完成。 圖8.5 安裝完成（3）啟動SNIFFER PRO 軟件啟動Sniffer Pro軟件后可以看到它的主界面，如圖8.6，啟動的時候有時需要選擇相應的網卡（adapter），選好后即可啟動軟件。菜單工具欄主窗口圖8.6 主界面 工具欄簡介，如圖8.7捕獲報文快捷鍵網絡性能監(jiān)視快捷鍵 圖8.7 工具欄 網絡監(jiān)視面板簡介 Dashboard可以監(jiān)控網絡的利用率，流量及錯誤報文等內容，如圖8.8：統(tǒng)計平均數據或總和

52、圖8.8 Dashboard界面 圖8.9 dashboard界面從Host table可以直觀的看出連接的主機，如圖8.10，顯示方式為IP連接的主機的IP圖8.10 Host Table界面（4）定義過濾器來捕捉0 上的IP 數據包如圖8.11所示，然后點擊OK。 圖8.11 定義過濾規(guī)則 圖8.12 定義嗅探地址（5）從SNIFFER 軟件中MONITOR 菜單中點擊MATRIX 命令，圖8.13顯示了0 的通信情況，并通過右鍵點擊該地址，在快捷菜單中點擊CAPTURE 命令開始捕捉。 圖8.13 顯示通信情況（6）一會兒停止捕捉后，選擇DEC

53、ODE 選項，查看捕捉到的IP 包，如圖8.14所示： 圖8.14 解碼數據包（7）從下圖8.15可以看出有三個窗口，最上的窗口是捕捉的數據，中間的窗口是數據分析，最下面的窗口是原始數據包，用16 進制表示，例如，TCP SOURCE PORT=1282 對應下面的05 02 。 圖8.15 數據分析窗口（8）從窗口中可以看出：IP 數據包封裝在TCP 數據包的前面。 圖8.16 數據分析窗口 （9）IP 數據包頭的結構示意圖8.17。 圖8.17 IP頭結構示意圖 圖8.18 查看IP頭（10）TCP 的結構示意 圖8.19 TCP包解碼 圖8.20 TCP包結構（11）定義過濾器來捕捉19

54、0 的ICMP 數據包。 圖8.21 定義過濾規(guī)則（12）從本機45 PING 0 圖8.22 ping目標主機 圖8.23 網絡連接情況（13）停止捕捉后從DECODE 窗口中找出ECHO 及ECHO REPLY 數據包 圖8.24 解碼ICMP包（14）分析ICMP 數據包頭號信息 圖8.25 ICMP包具體結構ICMP 類型：8 代碼：0 校驗和395C(正確) 確認號：1024 序號：4096 數據長度：32 字節(jié)實驗總結： SNIFFER 是一個強大的捉包工具，數據包分析功能強大，如果正確使用，對于分析、定位網絡故障十分有

55、用； 同時SNIFFER 工具由于功能強大，甚至可以充當HCAKER 工具，因為很多協(xié)議是明文傳輸，如FTP、TELNET 等，通過SNIFFER 工具可以查看用戶名和密碼。從OSI 結構上看，IP 包屬于三層網絡層，TCP 包是屬于四層傳輸層，在數據包中IP 頭在TCP 頭的前面。從實驗中可以清晰看出TCP 的三次握手過程。由實驗我們可以看出，Sniffer可以探查出局域網內流動的任何信息，尤其是用戶名和密碼之類敏感的數據，所以在局域網內的安全就至關重要了，其實只要在電腦內安裝上網絡防火墻，并把Windows操作系統(tǒng)的安全級別提高，Sniffer工具就可能嗅探不到任何信息。5實驗報告要求用兩臺主機做實驗，一臺主機進行Telnet登陸，另一臺主機進行嗅探，把嗅探到的重要信息寫出來，