哈工程網(wǎng)絡(luò)安全實(shí)驗(yàn)實(shí)驗(yàn)報(bào)告

哈工程網(wǎng)絡(luò)安全實(shí)驗(yàn)實(shí)驗(yàn)報(bào)告2013成績實(shí)驗(yàn)報(bào)告網(wǎng)絡(luò)安全實(shí)驗(yàn)姓名：班級：20132111指導(dǎo)教師：趙國冬實(shí)驗(yàn)時(shí)刻：2016.06.25-2016.06.26哈爾濱工程大學(xué)2016年06月

目錄實(shí)驗(yàn)一、網(wǎng)絡(luò)分析器應(yīng)用實(shí)驗(yàn) 3一、實(shí)驗(yàn)?zāi)康?3二、實(shí)驗(yàn)儀器與器材 3三、實(shí)驗(yàn)原理 3四、實(shí)驗(yàn)過程與測試數(shù)據(jù) 4五、實(shí)驗(yàn)分析 20六、實(shí)驗(yàn)體會 21實(shí)驗(yàn)二、剖析遠(yuǎn)程操縱程序 22一、實(shí)驗(yàn)?zāi)康?22二、實(shí)驗(yàn)儀器與器材 22三、實(shí)驗(yàn)原理 22四、實(shí)驗(yàn)過程與測試數(shù)據(jù) 23五、實(shí)驗(yàn)分析 34六、實(shí)驗(yàn)體會 35實(shí)驗(yàn)三、SSL、VPN應(yīng)用及防護(hù)墻技術(shù) 36一、實(shí)驗(yàn)?zāi)康?36二、實(shí)驗(yàn)儀器與器材 36三、實(shí)驗(yàn)原理 36四、實(shí)驗(yàn)過程與測試數(shù)據(jù) 37五、實(shí)驗(yàn)分析 42六、實(shí)驗(yàn)體會 43實(shí)驗(yàn)四、入侵檢測系統(tǒng)分析與應(yīng)用 44一、實(shí)驗(yàn)?zāi)康?44二、實(shí)驗(yàn)儀器與器材 44三、實(shí)驗(yàn)原理 44四、實(shí)驗(yàn)過程與測試數(shù)據(jù) 45五、實(shí)驗(yàn)分析 54六、實(shí)驗(yàn)體會 54實(shí)驗(yàn)五、虛擬蜜罐分析與實(shí)踐 55一、實(shí)驗(yàn)?zāi)康?55二、實(shí)驗(yàn)儀器與器材 55三、實(shí)驗(yàn)原理 55四、實(shí)驗(yàn)過程與測試數(shù)據(jù) 55五、實(shí)驗(yàn)分析 61六、實(shí)驗(yàn)體會 62綜合成績 63

實(shí)驗(yàn)一、網(wǎng)絡(luò)分析器應(yīng)用實(shí)驗(yàn)一、實(shí)驗(yàn)?zāi)康耐ㄟ^本實(shí)驗(yàn)，學(xué)會在Windows環(huán)境下安裝Sniffer；能夠運(yùn)用Sniffer捕捉報(bào)文；熟練把握Sniffer的各項(xiàng)網(wǎng)絡(luò)監(jiān)視模塊的使用；熟練運(yùn)用網(wǎng)絡(luò)監(jiān)視功能，撰寫網(wǎng)絡(luò)動態(tài)報(bào)告；明白得常用Sniffer工具的配置方法，明確多數(shù)有關(guān)協(xié)議的明文傳輸咨詢題；明白得TCP/IP要緊協(xié)議冊報(bào)頭結(jié)構(gòu)，把握TCP/IP網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)；把握利用Sniffer軟件捕捉和分析網(wǎng)絡(luò)協(xié)議的具體方法。二、實(shí)驗(yàn)儀器與器材SnifferPro軟件系統(tǒng)1套PC機(jī)（winxp/win7)1臺三、實(shí)驗(yàn)原理SnifferPro軟件是NAI公司推出的功能強(qiáng)大的協(xié)議分析軟件。利用SnifferPro網(wǎng)絡(luò)分析器的強(qiáng)大功能和特點(diǎn)，解決網(wǎng)絡(luò)咨詢題。本實(shí)驗(yàn)使用的軟件版本為SnifferPro_4_70_530。SnifferPro軟件的要緊作用能夠體現(xiàn)在以下方面：1．Sniffer能夠評估業(yè)務(wù)運(yùn)行狀態(tài)，如各種應(yīng)用的響應(yīng)時(shí)刻，一個(gè)操作需要的時(shí)刻，應(yīng)用帶寬的消耗，應(yīng)用的行為特點(diǎn)，應(yīng)用性能的瓶頸等；2．Sniffer能夠評估網(wǎng)絡(luò)的性能，如各鏈路的使用率，網(wǎng)絡(luò)性能趨勢，消耗最多帶寬的具體應(yīng)用，消耗最多帶寬的網(wǎng)絡(luò)用戶；3．Sniffer能夠快速定位故障；4．Sniffer能夠排除潛在的威逼，如病毒、木馬、掃描等，同時(shí)發(fā)覺攻擊的來源，為操縱提供按照，關(guān)于類似蠕蟲病毒一樣對網(wǎng)絡(luò)阻礙大的病毒有效；5.即時(shí)監(jiān)控工具，sniffer通過發(fā)覺網(wǎng)絡(luò)中的行為特點(diǎn)來判定網(wǎng)絡(luò)是否有專門流量，因此Sniffer可能比防病毒軟件更快發(fā)覺病毒；5．Sniffer能夠做流量的趨勢分析，通過長期監(jiān)控，能夠發(fā)覺網(wǎng)絡(luò)流量的進(jìn)展趨勢，為今后網(wǎng)絡(luò)改造提供建議和依據(jù)；6．應(yīng)用性能推測，Sniffer能夠按照捕捉的流量分析一個(gè)應(yīng)用的行為特點(diǎn)；Sniffer包括了四大功能：監(jiān)控、顯示、數(shù)據(jù)包捕捉和專家分析系統(tǒng)，通過該軟件，能夠長期的對其他運(yùn)算機(jī)的進(jìn)行的服務(wù)類型、所處的網(wǎng)絡(luò)拓?fù)涞刃畔⑦M(jìn)行嗅探，為檢測其他運(yùn)算機(jī)系統(tǒng)打下基礎(chǔ)。四、實(shí)驗(yàn)過程與測試數(shù)據(jù)(一)程序安裝實(shí)驗(yàn)SnifferPro是需要安裝使用的軟件。進(jìn)行任何在此軟件上的實(shí)驗(yàn)都需要安裝。安裝過程如下：1、下載安裝軟件。在網(wǎng)上下載Sniffer

Pro軟件，點(diǎn)擊安裝，按順序進(jìn)行。如下圖1.1所示，選擇默認(rèn)安裝路徑進(jìn)行安裝。圖1.1(a)安裝地址示意圖圖1.1(b)用戶協(xié)議圖圖1.1(c)用戶信息圖2、填寫注冊信息。在注冊用戶時(shí)，必須填寫必要的注冊信息，為之后軟件公司識不用戶提供信息，在圖1.2中顯現(xiàn)的兩個(gè)對話框中，依次填寫個(gè)人信息。圖1.2(a)個(gè)人信息圖1.2(b)個(gè)人信息圖3、設(shè)置網(wǎng)絡(luò)連接方式。完成注冊操作后，需要設(shè)置網(wǎng)絡(luò)連接情形。從上至下依次有三個(gè)選項(xiàng)，一樣情形下，用戶直截了當(dāng)選擇第一項(xiàng)，即直截了當(dāng)連接。當(dāng)用戶的注冊信息驗(yàn)證通過后，系統(tǒng)會轉(zhuǎn)入如圖1.3所示的界面，用戶被告知系統(tǒng)分配的身份識不碼，以便用戶進(jìn)行后續(xù)的服務(wù)和咨詢。圖1.3系統(tǒng)為用戶分配識不碼示意圖4、儲存注冊信息。用戶單擊“下一步”按鈕時(shí)，系統(tǒng)會提示用戶儲存關(guān)鍵性的注冊信息，其生成一個(gè)文本格式的文件。該注冊文件儲存地址能夠有用戶選定，以便用戶查詢。從圖1.4能夠看到，軟件注冊用戶為pssp，郵箱為DSAFAS等關(guān)鍵的注冊信息。在軟件使用前，安裝程序會提示用戶安裝并設(shè)置Java環(huán)境，如圖1.5所示，重新啟動運(yùn)算機(jī)后，能夠通過運(yùn)行SnifferPro來監(jiān)測網(wǎng)絡(luò)中的數(shù)據(jù)包，第一進(jìn)行設(shè)置。圖1.4用戶信息截圖圖1.5軟件設(shè)置截圖完成上述實(shí)驗(yàn)后，即完成了Sniffer軟件整個(gè)的安裝過程。搭建好實(shí)驗(yàn)環(huán)境后在之后能夠進(jìn)行其他的實(shí)驗(yàn)了。（二）數(shù)據(jù)包捕捉實(shí)驗(yàn)1、報(bào)文捕捉數(shù)據(jù)包捕捉，是截取所有的數(shù)據(jù)包，并放在磁盤緩沖區(qū)中，便于分析。其差不多原理是通過軟件手段設(shè)置網(wǎng)絡(luò)適配器的工作模式，在該工作模式下，網(wǎng)卡同意包括與自己無關(guān)的所有的數(shù)據(jù)，達(dá)到網(wǎng)絡(luò)監(jiān)控和網(wǎng)絡(luò)治理的功能。如圖1.6，其上部是報(bào)文捕捉的各項(xiàng)快捷方式，中部是各項(xiàng)Sniffer可進(jìn)行的操作的快捷方式，下部是捕捉報(bào)文緩沖區(qū)的大小。從中能夠看到緩沖器大小為8MB，當(dāng)超過該緩沖器大小后，捕捉的報(bào)文將覆蓋原先的舊報(bào)文，在截圖的時(shí)刻之前，已接收21個(gè)報(bào)文，拒絕0個(gè)報(bào)文，差不多開始捕捉報(bào)文1秒。圖1.6報(bào)文捕捉統(tǒng)計(jì)信息截圖在不同的條件下，對緩沖區(qū)的要求有所不同，為了適應(yīng)這些要求，能夠?qū)Σ蹲骄彌_區(qū)進(jìn)行設(shè)置來達(dá)到我們的要求。如圖1.7，能夠設(shè)置緩沖區(qū)的大小，捕捉報(bào)文的存放地址、緩沖區(qū)滿時(shí)的動作等。圖1.7捕捉緩沖區(qū)設(shè)置圖報(bào)文分析捕捉到的報(bào)文儲備在緩沖區(qū)內(nèi)。使用者能夠顯示和分析緩沖區(qū)內(nèi)的當(dāng)前報(bào)文，也能夠?qū)?bào)文儲存到磁盤，加載和顯示之前儲存的報(bào)文信息，進(jìn)行離線分析和顯示。此外，也能夠通過指定文件名前綴和脫機(jī)文件數(shù)對捕捉信息進(jìn)行儲備。為了有效進(jìn)行網(wǎng)絡(luò)分析，需要借助于專家分析系統(tǒng)。第一，應(yīng)按照網(wǎng)絡(luò)協(xié)議環(huán)境對專家系統(tǒng)的協(xié)議、RIP選項(xiàng)、硬件等進(jìn)行設(shè)置。如圖1.8，對專家系統(tǒng)進(jìn)行配置。在專家系統(tǒng)中，還為用戶提供了用于檢測路由故障的路由信息協(xié)議分析，如果選擇RIP分析方式，則需將“對象”設(shè)置項(xiàng)中的連接層和應(yīng)用層定義為“分析”，通過“顯示”菜單下的“顯示設(shè)置”選項(xiàng)，能夠自定義要顯示的分析內(nèi)容，如圖1.9。,1.8(a)專家選項(xiàng)設(shè)置圖1.8(b)專家選項(xiàng)設(shè)置圖圖1.8(c)專家系統(tǒng)閾值設(shè)置圖1.8(d)指定分析協(xié)議設(shè)置圖1.9摘要顯示設(shè)置圖進(jìn)行對捕捉報(bào)文的設(shè)置之后，點(diǎn)擊“捕捉報(bào)文”開始對報(bào)文進(jìn)行捕捉。如圖1.10能夠看到，Sniffer能夠?qū)Ψ?wù)、應(yīng)用、鏈接、DLC等進(jìn)行報(bào)文的捕捉，捕捉到的報(bào)文可分為3種——“Diagnoses”、“Symptoms”、“Objects”，其中Diagnoses捕捉的是出錯(cuò)專門嚴(yán)峻的報(bào)文、Symptoms捕捉的是一樣出錯(cuò)的報(bào)文，Objects是沒有出錯(cuò)的報(bào)文。圖1.10中，關(guān)于站點(diǎn)的報(bào)文出錯(cuò)的有2個(gè)，正確的報(bào)文有45個(gè)，共捕捉到47個(gè)報(bào)文。選擇其中關(guān)于主機(jī)名為“F55”的報(bào)文進(jìn)行解碼分析。圖1.10報(bào)文捕捉界面雙擊報(bào)文記錄，可查看捕捉到的報(bào)文的詳細(xì)信息如圖1.11。從圖中能夠看到，名為F55的主機(jī)，其DLC地址為BCAEC5978167，IP地址為5，正在運(yùn)營138號端口上的NetBios服務(wù)。圖1.11捕捉報(bào)文詳細(xì)信息截圖解碼分析對捕捉的報(bào)文進(jìn)行解碼分析。單擊專家系統(tǒng)下方的【解碼】按鈕，就能夠?qū)唧w的記錄進(jìn)行解碼分析，如圖1.12所示。頁面自上而下由三部分組成：捕捉的報(bào)文、解碼后的內(nèi)容、解碼后的二進(jìn)制編碼信息。從圖中能夠看到，在2016年6月25日18:16:52，名為F55(IP為5)的主機(jī)發(fā)起了目標(biāo)地址為7的字節(jié)長度為60的ARP要求。圖1.12報(bào)文解碼分析圖統(tǒng)計(jì)分析每次進(jìn)行報(bào)文捕捉，都能夠得到一系列的報(bào)文。對其中的報(bào)文逐一分析是不現(xiàn)實(shí)的。因此，關(guān)于各種報(bào)文信息，專家系統(tǒng)提供了【矩陣分析】，【主機(jī)列表】，【協(xié)議統(tǒng)計(jì)】以及【會話統(tǒng)計(jì)分析】等多種統(tǒng)計(jì)分析功能，能夠按照MAC地址、IP地址、協(xié)議類型等內(nèi)容進(jìn)行多種組合分析，如圖1.12。圖1.12(a)矩陣分析1.12(b)主機(jī)列表統(tǒng)計(jì)分析圖1.12(c)協(xié)議統(tǒng)計(jì)分析圖1.12(d)會話統(tǒng)計(jì)分析圖從圖1.12(b)中能夠看到各個(gè)主機(jī)的有關(guān)信息，如IP地址、MAC地址等；從圖1.12(c)中能夠看到當(dāng)前使用的協(xié)議(IP)的數(shù)據(jù)包的數(shù)量和字節(jié)總數(shù)；從圖1.12(d)中能夠看到會話的種類和字節(jié)數(shù)等信息。捕捉條件設(shè)置在sniffer環(huán)境下，能夠通過【定義】的方式來對捕捉條件進(jìn)行設(shè)置，獲得用戶需要的報(bào)文協(xié)議信息，如圖1.13。差不多的捕捉條件有兩種：1．鏈路層捕捉：按照源MAC地址和目的MAC地址設(shè)定捕捉條件，輸入方式為十六進(jìn)制MAC地址，如：DA98A0BC3DFE。2．IP層捕捉：按源IP地址和目的IP設(shè)定捕捉條件。輸入方式為IP地址，如：7。專門注意的是，如果選擇IP層捕捉方式則ARP等類型報(bào)文信息將被過濾掉。圖1.13(a)過濾器操作界面圖圖1.13(b)捕捉條件詳細(xì)配置界面圖圖1.13(c)捕捉條件定義界面圖從圖1.13(c)中能夠看出，Sniffer支持通過源主機(jī)和目的主機(jī)來捕捉報(bào)文進(jìn)行分析，能夠單線監(jiān)聽數(shù)據(jù)通信。（三）網(wǎng)絡(luò)監(jiān)視實(shí)驗(yàn)“監(jiān)視器”菜單中，有以下監(jiān)視功能：外表板、主機(jī)列表、矩陣、要求相應(yīng)時(shí)刻、歷史取樣、協(xié)議分布、全局統(tǒng)計(jì)表、警報(bào)日志等。1、外表板點(diǎn)擊快捷操作菜單上的圖標(biāo)，即可彈出外表板，如圖1.14。在外表板上方，可對監(jiān)視行為進(jìn)行具體配置，并對監(jiān)視內(nèi)容進(jìn)行重置。在圖中能夠看到3個(gè)表盤，其中第一個(gè)是網(wǎng)絡(luò)使用率，第二個(gè)是網(wǎng)絡(luò)每秒通過的數(shù)量包，第三個(gè)是網(wǎng)絡(luò)每秒的錯(cuò)誤率，這三個(gè)數(shù)據(jù)在不同時(shí)刻都互有所變化。截圖當(dāng)時(shí)的網(wǎng)絡(luò)使用率為0，網(wǎng)絡(luò)每秒通過的數(shù)量包為92-97個(gè)，錯(cuò)誤率為0。圖1.14網(wǎng)絡(luò)監(jiān)視外表板示意圖在外表板上方，可對監(jiān)視行為進(jìn)行具體配置，并對監(jiān)視內(nèi)容進(jìn)行重置Drops表示網(wǎng)絡(luò)中遺失的數(shù)據(jù)包數(shù)量，如圖1.15所示。圖1.15網(wǎng)絡(luò)監(jiān)視詳細(xì)信息2、主機(jī)列表點(diǎn)擊快捷操作菜單上的圖標(biāo)，或選擇【監(jiān)視器】菜單內(nèi)的【主機(jī)列表】選項(xiàng)，界面中顯示的是所有在線的本網(wǎng)主機(jī)地址以及外網(wǎng)服務(wù)器地址信息。能夠分不選擇MAC地址、IP地址以及IPX地址。通常情形下，由于網(wǎng)絡(luò)中所有終端的對外數(shù)據(jù)交換行為，如掃瞄網(wǎng)站、上傳下載等，差不多上各終端與網(wǎng)關(guān)在數(shù)據(jù)鏈路層中進(jìn)行的，為了分析鏈路層的數(shù)據(jù)交換行為，需要獵取MAC地址的連接情形。通過主機(jī)列表，能夠直觀地看到流量最大的前十位主機(jī)地址，如圖1.16從圖中能夠看到主機(jī)地址、創(chuàng)建時(shí)刻、數(shù)據(jù)報(bào)通信量等信息，能夠?yàn)閷χ鳈C(jī)的分析提供較多的信息。圖1.16主機(jī)列表圖3、矩陣點(diǎn)擊快捷操作菜單上的圖標(biāo)，或選擇【監(jiān)視器】菜單內(nèi)的【矩陣】選項(xiàng)，能夠顯示全網(wǎng)的所有連接情形，即主機(jī)會話情形。處于活動狀態(tài)的網(wǎng)絡(luò)連接被標(biāo)記為綠色，已發(fā)生的網(wǎng)絡(luò)連接被標(biāo)記為藍(lán)色，線條的粗細(xì)與流量的大小成正比。如圖1.17(a)為當(dāng)前主機(jī)與物理地址為000BAB2AB6F4的主機(jī)的通信狀況，二者之間差不多發(fā)生鏈接；1.17(b)為當(dāng)前整個(gè)網(wǎng)絡(luò)的連接示意圖。圖1.17(a)單機(jī)連接矩陣示意圖圖1.17(b)全網(wǎng)連接矩陣示意圖4．要求響應(yīng)時(shí)刻(ART)ART窗口用來顯示網(wǎng)絡(luò)中Web網(wǎng)站的連接情形，能夠看到局域網(wǎng)中有哪些運(yùn)算機(jī)正在上網(wǎng)，掃瞄的是哪些網(wǎng)站等如圖1.18所示。從圖中能夠看出源主機(jī)正在運(yùn)行的協(xié)議和該寫一下的要求和回復(fù)數(shù)據(jù)包的大小，即該窗口中顯示了局域網(wǎng)內(nèi)的通信及數(shù)據(jù)傳輸大小，同時(shí)顯示了本地運(yùn)算機(jī)與Web網(wǎng)站的IP地址。通過單擊左側(cè)工具欄中的圖標(biāo)，以柱形圖方式顯示網(wǎng)絡(luò)中運(yùn)算機(jī)的數(shù)據(jù)傳輸情形，如圖1.18(c)所示，不同順序圖柱代表右側(cè)列表中的相應(yīng)連接，柱形長短表示傳輸量的大小。圖1.18(a)網(wǎng)絡(luò)協(xié)議鏈接狀況(MAC)圖1.18(b)網(wǎng)絡(luò)協(xié)議鏈接狀況(IP)1.18(c)數(shù)據(jù)傳輸量柱狀圖圖1.19ART監(jiān)視功能圖圖1.19中，要求響應(yīng)時(shí)刻用來顯示網(wǎng)絡(luò)中Web網(wǎng)站的連接情形，能夠看到局域網(wǎng)中有哪些運(yùn)算機(jī)正在上網(wǎng)，掃瞄的是哪些網(wǎng)站等。如果一個(gè)數(shù)據(jù)包的目的IP是57，目的端口是138，那么就能夠認(rèn)定7是NetBios的服務(wù)器地址，而源IP確實(shí)是客戶地址。利用應(yīng)用響應(yīng)時(shí)刻的監(jiān)視功能，能夠快速獲得某一業(yè)務(wù)的響應(yīng)時(shí)刻。5、歷史取樣收集一段時(shí)刻內(nèi)的各種網(wǎng)絡(luò)流量信息。通過這些信息能夠建立網(wǎng)絡(luò)運(yùn)行狀態(tài)基線，設(shè)置網(wǎng)絡(luò)專門的報(bào)警閾值。默認(rèn)情形下，歷史采樣的緩沖有3600個(gè)采樣點(diǎn)，每隔15秒進(jìn)行一次采樣，采樣15個(gè)小時(shí)后自動停止。如果想延長采樣時(shí)刻，能夠通過修改采樣間隔時(shí)刻或者設(shè)置緩沖區(qū)屬性的方式。具體做法是：單擊【屬性】按鈕，修改采樣間隔，并勾選“當(dāng)緩沖區(qū)滿時(shí)覆蓋”的條件。此外，還能夠靈活的選擇多種采樣項(xiàng)目。歷史取樣用來收集一段時(shí)刻內(nèi)的各種網(wǎng)絡(luò)流量信息。通過這些信息能夠建立網(wǎng)絡(luò)運(yùn)行狀態(tài)基線，設(shè)置網(wǎng)絡(luò)專門的報(bào)警閾值。在試驗(yàn)進(jìn)行時(shí)，如圖1.20，能夠看到在其下有諸多選項(xiàng)記錄Sniffer之下的操作，便于查找。圖1.20歷史取樣樣圖6、協(xié)議分布圖1.20網(wǎng)絡(luò)協(xié)議使用量餅狀圖圖1.21響應(yīng)時(shí)刻分布圖7、全局統(tǒng)計(jì)表全局統(tǒng)計(jì)數(shù)據(jù)能夠顯示網(wǎng)絡(luò)的總體活動情形，并確認(rèn)各類數(shù)據(jù)包通信負(fù)載大小，從而分析網(wǎng)絡(luò)的總體性能及存在的咨詢題。全局統(tǒng)計(jì)表提供了與網(wǎng)絡(luò)流量有關(guān)的各類統(tǒng)計(jì)測量方式。粒度分布：按照數(shù)據(jù)包大小與監(jiān)測到的通信總量之比，顯示每個(gè)數(shù)據(jù)包的發(fā)生頻率。利用率分布：按照10%為差不多度量單位，顯示每組空間內(nèi)網(wǎng)絡(luò)帶寬的分布情形。圖1.22主機(jī)通信量分布圖8、警告日志警報(bào)日志用于全面檢測和記錄網(wǎng)絡(luò)專門事件，一旦超過用戶設(shè)置的閾值參數(shù)，警報(bào)器會在警報(bào)日志中記錄相應(yīng)事件。選擇“工具”菜單中的“選項(xiàng)”，單擊“警報(bào)”選項(xiàng)卡，選擇“定義強(qiáng)度”，能夠修改警報(bào)強(qiáng)度，如圖1.23所示。從圖中能夠看到在6月13日，有Minor發(fā)送了一個(gè)Expert的錯(cuò)誤。圖1.23警告日志（四）網(wǎng)絡(luò)協(xié)議嗅探（從此處開始，轉(zhuǎn)換了實(shí)驗(yàn)機(jī)器，IP和MAC地址等發(fā)生了變化）為了得到我們所需要的數(shù)據(jù)包，能夠通過過濾器，定義過濾規(guī)則，具體做法如下：在主界面選擇“捕捉”菜單中的“定義過濾器”選項(xiàng)。其中，“地址”選項(xiàng)卡是最常用的過濾手段，包括MAC地址、IP地址和IPX地址的過濾定義。以定義IP地址過濾為例，如圖1.24所示。圖1.24IP地址過濾設(shè)定界面圖1.25協(xié)議過濾設(shè)定界面在“高級”設(shè)置欄目內(nèi)，能夠定義數(shù)據(jù)包大小，緩沖區(qū)大小以及文件存放位置等。將定義好的過濾器應(yīng)用于捕捉操作中，啟動“捕捉”功能，就能夠運(yùn)用各種網(wǎng)絡(luò)監(jiān)控功能分析網(wǎng)絡(luò)數(shù)據(jù)流量及各種數(shù)據(jù)包具體情形。 （五）FTP協(xié)議分析按照實(shí)際需要，定義過濾器，并應(yīng)用該過濾器捕捉FTP協(xié)議信息。運(yùn)行數(shù)據(jù)包捕捉功能。為了實(shí)現(xiàn)以上功能，需要先對過濾器進(jìn)行設(shè)置，如圖1.26。圖1.26過濾器設(shè)置圖圖1.27登陸FTP站點(diǎn)通過點(diǎn)選【捕捉停止】或者【停止并顯示】按鈕停止sniffer捕捉操作，并把捕捉的數(shù)據(jù)包進(jìn)行解碼和顯示。通過對報(bào)文解析，能夠看到sniffer捕捉到了用戶登錄FTP的用戶名稱和明文密碼，關(guān)于用戶進(jìn)行的若干FTP站點(diǎn)操作行為，sniffer都能夠捕捉到有關(guān)信息，如圖1.28。從圖中能夠看到IP為54的主機(jī)登陸了IP為202.1118.176.254的FTP服務(wù)器。圖1.28Sniffer捕捉FTP登陸信息截圖圖1.29Sniffer捕捉FTP登陸信息解碼截圖由圖1.29能夠看到21通過端口54453向地址為54發(fā)送了長度為70的FTP要求報(bào)文。圖1.30過濾器設(shè)置圖圖1.32定向捕捉設(shè)置圖圖1.33用戶名和密碼再次重復(fù)捕捉過程，即可顯示用戶名和明文密碼，如圖1.33所示，用戶名為“administrator”，口令為“123456”五、實(shí)驗(yàn)分析正常情形下，網(wǎng)絡(luò)只同意與目的地址為自己的數(shù)據(jù)報(bào)，但通過Sniffer程序能夠?qū)⒕W(wǎng)絡(luò)適配卡設(shè)置為雜亂模式狀態(tài)，用以接收傳輸在網(wǎng)絡(luò)上的每一個(gè)信息包。一樣來講，網(wǎng)絡(luò)硬件和TCP/IP堆棧不支持接收或者發(fā)送與本地運(yùn)算機(jī)無關(guān)的數(shù)據(jù)包，因此，為了繞過標(biāo)準(zhǔn)的TCP/IP堆棧，網(wǎng)卡就必須設(shè)置為我們剛開始講的混雜模式。一樣情形下，要激活這種方式，內(nèi)核必須支持這種偽設(shè)備Bpfliter，而且需要root權(quán)限來運(yùn)行這種程序，因此sniffer需要root身份安裝，如果只是以本地用戶的身份進(jìn)入了系統(tǒng)，那么不可能嗅探到root的密碼，因此不能運(yùn)行Sniffer。也有基于無線網(wǎng)絡(luò)、廣域網(wǎng)絡(luò)(DDN,FR)甚至光網(wǎng)絡(luò)(POS、FiberChannel)的監(jiān)聽技術(shù)，這時(shí)候略微不同于以太網(wǎng)絡(luò)上的捕捉概念，其中通常會引入TAP這類的硬件設(shè)備來進(jìn)行數(shù)據(jù)采集。如何捕捉HTTP協(xié)議下的用戶名和密碼。定義過濾器捕捉http協(xié)議信息，運(yùn)行捕捉功能。之后被嗅探主機(jī)開啟http服務(wù)，例如掃瞄網(wǎng)頁。儲存數(shù)據(jù)，解碼并分析，在工作站向服務(wù)器發(fā)出的網(wǎng)頁要求命令數(shù)據(jù)當(dāng)中就有用戶名和密碼。分析TCP協(xié)議的頭結(jié)構(gòu)，以及兩臺主機(jī)之間建立連接的過程。TCP頭結(jié)構(gòu)TCP協(xié)議頭最少20個(gè)字節(jié)，包括以下的區(qū)域：TCP源端口、TCP目的端口、TCP序列號、TCP確認(rèn)、數(shù)據(jù)偏移量、保留、操縱位、檢驗(yàn)和、緊急指針、選項(xiàng)、填充。主機(jī)連接過程TCP是因特網(wǎng)中的傳輸層協(xié)議，使用三次握手協(xié)議建立連接。當(dāng)主動方發(fā)出SYN連接要求后，等待對方回答SYN+ACK，并最終對對方的SYN執(zhí)行ACK確認(rèn)。這種建立連接的方法能夠防止產(chǎn)生錯(cuò)誤的連接，TCP使用的流量操縱協(xié)議是可變大小的滑動窗口協(xié)議。TCP三次握手的過程如下：客戶端發(fā)送SYN（SEQ=x）報(bào)文給服務(wù)器端，進(jìn)入SYN_SEND狀態(tài)。服務(wù)器端收到SYN報(bào)文，回應(yīng)一個(gè)SYN（SEQ=y）ACK(ACK=x+1）報(bào)文，進(jìn)入SYN_RECV狀態(tài)。客戶端收到服務(wù)器端的SYN報(bào)文，回應(yīng)一個(gè)ACK(ACK=y+1）報(bào)文，進(jìn)入Established狀態(tài)。三次握手完成，TCP客戶端和服務(wù)器端成功地建立連接，能夠開始傳輸數(shù)據(jù)了六、實(shí)驗(yàn)體會此次實(shí)驗(yàn)里，我對sniffer軟件的應(yīng)用有了新的了解。在此次實(shí)驗(yàn)的過程中，安裝完SnifferPro軟件后，需要重啟運(yùn)算機(jī)，由于之前進(jìn)入的是第一個(gè)系統(tǒng)，第一個(gè)系統(tǒng)自帶還原卡導(dǎo)致所有操作前功盡棄。在完成SnifferPro軟件安裝后，剛開始打不開，這是由于電腦所配備的java環(huán)境與SnifferPro軟件自帶的腳本沖突。解決方法能夠通過任務(wù)治理器將該進(jìn)程關(guān)閉另外，這次實(shí)驗(yàn)中，我對各個(gè)網(wǎng)絡(luò)協(xié)議進(jìn)行了復(fù)習(xí)，更加熟悉，也有了新的認(rèn)識。關(guān)于不同協(xié)議下數(shù)據(jù)包的分析能夠按照協(xié)議的包的大小進(jìn)行選擇過濾，更容易找到想要的包。我們能夠看到，網(wǎng)絡(luò)通信的并不是完全的安全，在使用互聯(lián)網(wǎng)通信時(shí)，我們?nèi)圆荒芎鲆暩鞣N防護(hù)措施的應(yīng)用，要對重要信息進(jìn)行額外的加密算法。實(shí)驗(yàn)二、剖析遠(yuǎn)程操縱程序一、實(shí)驗(yàn)?zāi)康?、軟件的安裝與使用通過本實(shí)驗(yàn)，學(xué)會在Windows環(huán)境下安裝pcAnywhere。配置被控端（hosts）通過本實(shí)驗(yàn)，學(xué)會在Windows環(huán)境下安裝pcAnywhere被控端。配置主控端（Remotes）通過本實(shí)驗(yàn)，學(xué)會在Windows環(huán)境下安裝pcAnywhere主控端。擴(kuò)展實(shí)驗(yàn)利用pcAnywhere軟件對遠(yuǎn)程運(yùn)算機(jī)進(jìn)行操縱。二、實(shí)驗(yàn)儀器與器材 pcAnywhere軟件系統(tǒng)1套、PC（WindowsXP/Windows7）1臺三、實(shí)驗(yàn)原理遠(yuǎn)程操縱，是指治理人員在異地通過運(yùn)算機(jī)網(wǎng)絡(luò)連通被操縱的運(yùn)算機(jī)，將被控運(yùn)算機(jī)的桌面顯示到自己的運(yùn)算機(jī)上，通過本地運(yùn)算機(jī)對遠(yuǎn)端運(yùn)算機(jī)進(jìn)行配置、軟件安裝、文件編輯等工作。那個(gè)地點(diǎn)的遠(yuǎn)程指的是通過網(wǎng)絡(luò)操縱遠(yuǎn)端運(yùn)算機(jī)。當(dāng)操作者使用主控運(yùn)算機(jī)操縱被控運(yùn)算機(jī)時(shí)，能夠啟動被控端運(yùn)算機(jī)的應(yīng)用程序，使用被控端的文件資料，甚至能夠利用被控端運(yùn)算機(jī)的外部設(shè)備和通信設(shè)備來進(jìn)行工作。遠(yuǎn)程操縱必須通過網(wǎng)絡(luò)才能進(jìn)行。位于本地的運(yùn)算機(jī)是操作指令的發(fā)出段，成為主控端或客戶端；非本地的被控運(yùn)算機(jī)叫做被控端或服務(wù)器端。遠(yuǎn)程操縱軟件一樣能夠分為兩個(gè)部分；一個(gè)客戶端程序C1ient，一個(gè)服務(wù)器端程序Server，在使用前需要將客戶端程序安裝到主控端電腦上，將服務(wù)器端程序安裝到被控端電腦上。它的操縱過程一樣是先在主控端上執(zhí)行客戶端程序，像一個(gè)一般客戶一樣向被控端電腦中的服務(wù)器端程序發(fā)出信號，建立一個(gè)專門的遠(yuǎn)程服務(wù)，然后通過那個(gè)遠(yuǎn)程服務(wù)，使用各種遠(yuǎn)程操縱功能發(fā)送遠(yuǎn)程操縱命令，操縱被控端電腦中的各種應(yīng)用程序運(yùn)行，這種遠(yuǎn)程操縱方式稱為基于遠(yuǎn)程服務(wù)的遠(yuǎn)程操縱。通過遠(yuǎn)程操縱軟件，能夠進(jìn)行專門多方面的遠(yuǎn)程操縱，包括獵取目標(biāo)運(yùn)算機(jī)屏幕圖像、窗口及進(jìn)程列表；記錄并提取遠(yuǎn)端鍵盤事件(擊鍵序列，即監(jiān)視遠(yuǎn)端鍵盤輸入的內(nèi)容)；打開、關(guān)閉目標(biāo)運(yùn)算機(jī)的任意名目并實(shí)現(xiàn)資源共享；提取撥號網(wǎng)絡(luò)及一般程序的密碼；激活、中止遠(yuǎn)端進(jìn)程：打開、關(guān)閉、移動遠(yuǎn)端窗口；操縱目標(biāo)運(yùn)算機(jī)鼠標(biāo)的移動與動作(操作)：掃瞄目標(biāo)運(yùn)算機(jī)文件名目，任意刪除目標(biāo)運(yùn)算機(jī)的磁盤文件；上傳、下載文件，就如操作自己的運(yùn)算機(jī)的文件一樣的簡單；遠(yuǎn)程執(zhí)行目標(biāo)運(yùn)算機(jī)的程序：強(qiáng)制關(guān)閉Windows、關(guān)閉系統(tǒng)(包括電源、重新啟動系統(tǒng)；提取、創(chuàng)建、修改、刪除目標(biāo)運(yùn)算機(jī)系統(tǒng)注冊表關(guān)鍵字；在遠(yuǎn)端屏幕上顯示消息；啟動目標(biāo)運(yùn)算機(jī)外設(shè)進(jìn)行捕捉、播放多媒體／音頻文件：操縱遠(yuǎn)端錄、放音設(shè)備音量以及進(jìn)行遠(yuǎn)程版本升級更新等。此類軟件能夠用在一些網(wǎng)絡(luò)使用較為復(fù)雜、需要大量愛護(hù)、治理工作的環(huán)境。四、實(shí)驗(yàn)過程與測試數(shù)據(jù)1、軟件的安裝與使用打開pcAnywhereV12.5的主安裝文件，進(jìn)入安裝界面，如下圖所示。在許可協(xié)議中選擇“我同意許可協(xié)議中的條款”，并單擊“下一步”按鈕。在客戶信息中填寫“用戶名”和“組織”，如下圖所示。在“安裝位置設(shè)置”中選擇pcAnywhere的安裝磁盤位置，默認(rèn)路徑即可，如圖2.1。圖2.1(a)安裝過程圖圖2.1(b)安裝過程圖圖2.1(c)安裝過程圖圖2.1(d)安裝過程圖在“自定義安裝”的自定義設(shè)置中，作為主機(jī)治理員，能夠選擇典型安裝，即主機(jī)治理員和主機(jī)治理員代理；但作為被控端，需要同時(shí)選擇這兩項(xiàng)，如圖2.2，選中SymantecpcAnywhere，意思是在桌面上放置pcAnywhere的快捷方式，單擊“下一步”按鈕。圖2.2(a)自定義設(shè)置圖圖2.2(b)自定義設(shè)置圖如圖2.3，安裝pcAnywhere的要緊程序，完成pcAnywhere的安裝。圖2.3(a)安裝成功示意圖圖2.3(a)安裝成功示意圖打開桌面上的圖標(biāo)SymantecpcAnywhere，如圖2.4所示。單擊“轉(zhuǎn)到高級視圖”選項(xiàng)，界面左側(cè)會有各種選擇項(xiàng)，如圖2.5所示圖2.4界面截圖圖2.5“高級選項(xiàng)”截圖2、配置被控端（hosts）選擇界面中的主機(jī)后，單擊添加功能，進(jìn)入被控端的連接向?qū)?，選擇“我想使用電纜調(diào)制解調(diào)器/DSL/LAN/撥號互聯(lián)網(wǎng)ISP”單選項(xiàng)，單擊“下一步”按鈕，如圖2.6(a)所示；選擇連接模式，選擇“等待有人呼叫我”，如圖2.6(b)所示。在這種設(shè)定下，當(dāng)被控端呼叫時(shí)，操縱端將以撥號的方式鏈接被控端。2.6(a)添加被控端選項(xiàng)2.6(b)連接呼叫選項(xiàng)在驗(yàn)證類型中選擇第一個(gè)選項(xiàng)則使用Windows現(xiàn)有賬戶，選擇第二個(gè)選項(xiàng)則是創(chuàng)建pcAnywhere新的用戶和密碼，如圖2.7所示。在此過程中，需要選擇Windows用戶。圖2.7(a)選擇賬戶圖2.7(b)創(chuàng)建用戶單擊“下一步”按鈕，默認(rèn)創(chuàng)建完成。承諾用戶再次確認(rèn)連接選擇，并選擇是否連接完成后等待來自遠(yuǎn)程運(yùn)算機(jī)的連接。在創(chuàng)建完成后程序會提示對新主機(jī)進(jìn)行命名，例如，命名為“student”。右擊需要配置的連接項(xiàng)目，選擇“屬性”窗口，更換屬性。連接信息：指的是建立連接時(shí)所使用的協(xié)議。一樣默認(rèn)TCP/IP，能夠按照實(shí)際需要選擇合適的協(xié)議，如圖2.8，本實(shí)驗(yàn)以常見的TCP/IP協(xié)議為例，如下圖所示。設(shè)置：遠(yuǎn)程操縱中，被操縱端只有建立安全機(jī)制，才能有效地愛護(hù)系統(tǒng)不被惡意操縱所破壞。圖2.8(a)確定連接協(xié)議圖2.8(b)確定連接協(xié)議安全：指能夠設(shè)置本機(jī)的安全策略；愛護(hù)項(xiàng)目：語序用戶輸入密碼來愛護(hù)當(dāng)前設(shè)置的被控端選項(xiàng)，愛護(hù)任何人試圖查看或更換該被控端的選項(xiàng)時(shí)，都將需要輸入密碼來確認(rèn)。如圖2.10，對安全選項(xiàng)和愛護(hù)項(xiàng)目進(jìn)行了設(shè)置。圖2.9呼叫者設(shè)置圖2.10(a)安全選項(xiàng)設(shè)置圖2.10(b)愛護(hù)項(xiàng)目設(shè)置3、配置主控端（Remotes）設(shè)置好被控端后，另一項(xiàng)十分重要的工作確實(shí)是配置主控端運(yùn)算機(jī)。在治理窗口中，單擊“遠(yuǎn)程”，通過那個(gè)頁面能夠完成主控端連接項(xiàng)目的設(shè)置。單擊下面的“添加”按鈕，在向?qū)е休斎氡豢囟诉\(yùn)算機(jī)的IP地址，如圖2.11所示。單擊“下一步”按鈕完成操縱端的添加，程序提示對名稱進(jìn)行重命名，例如student。圖2.11(a)指定被控端運(yùn)算機(jī)示意圖圖2.11(b)連接成功示意圖右擊需要配置的連接項(xiàng)目，選擇“屬性”，彈出配置窗口。對話框中歐諾個(gè)有五個(gè)選項(xiàng)卡可供設(shè)置。連接信息：設(shè)置方式和內(nèi)容與被控端的設(shè)置差不多相同，如圖2.12所示。設(shè)置：用于配置遠(yuǎn)程連接選項(xiàng)。設(shè)置如圖2.13所示。圖2.12連接信息設(shè)置圖2.13遠(yuǎn)程操縱設(shè)置。自動化任務(wù)：用于設(shè)置使用該連接的自動化任務(wù)。安全選項(xiàng)：用于設(shè)置主控端在遠(yuǎn)程操縱過程中使用的加密級不，默認(rèn)是不加密的。愛護(hù)項(xiàng)目：功能與被控端的設(shè)置相同。如圖2.14對其進(jìn)行設(shè)置。圖2.14(a)加密設(shè)置圖2.14(b)愛護(hù)項(xiàng)目設(shè)置設(shè)置完畢后，右擊主控端，選擇“開始遠(yuǎn)程操縱”，即可自動連接至遠(yuǎn)程主機(jī)的桌面實(shí)現(xiàn)安全的桌面遠(yuǎn)程操作。作為被控端，在主機(jī)中雙擊主機(jī)（student）即可，任務(wù)欄的右下角會有圖標(biāo)提示。作為主控端，選中遠(yuǎn)程中的student，單擊左側(cè)的啟動連接或者雙擊student，顯現(xiàn)如圖2.15所示界面。啟動遠(yuǎn)程操縱后pcAnywhere就開始按照設(shè)置的要求嘗試連接遠(yuǎn)端的被控運(yùn)算機(jī)。操縱界面如下圖所示，連接成功后將按要求進(jìn)入遠(yuǎn)程操作界面或者文件傳輸界面，能夠在遠(yuǎn)程操作界面中遙控被控運(yùn)算機(jī)。圖2.15遠(yuǎn)程遙控界面圖2.16主機(jī)登錄示意圖圖2.17遠(yuǎn)程操縱截圖4、擴(kuò)展實(shí)驗(yàn)任務(wù)一：從機(jī)（被控端）的pcAnywhere差不多配置通信雙方中，一方為“主控端”（主機(jī)），另一方為“被控端”（從機(jī)）。啟動從機(jī)的pcAnywhere，在工具欄單擊“被控端”，再右擊工作區(qū)的“NETWORK，CABLE，DSL”選項(xiàng)，選擇“屬性”。其中，默認(rèn)協(xié)議設(shè)為TCP/IP，不要更換。選擇“呼叫者”，在“驗(yàn)證類型”下拉列表中選擇pcAnywhere，右擊呼叫者列表，選擇新建，如圖2.18。輸入新建用戶的登錄名和密碼，只有擁有愛護(hù)項(xiàng)目中的登錄名和密碼的用戶才能呼叫并操縱從機(jī)。圖2.18協(xié)議選擇截圖圖2.19愛護(hù)項(xiàng)目設(shè)置修改被控端的用戶登錄密碼，修改部分系統(tǒng)環(huán)境。任務(wù)二：主機(jī)（主控端）的pcAnywhere差不多配置啟動從機(jī)的pcAnywhere，在工具欄單擊“主控端”，再右擊工作區(qū)的“NETWORK，CABLE，DSL”選項(xiàng)，選擇“屬性”。其中，默認(rèn)協(xié)議設(shè)為TCP/IP，不要更換。選擇“設(shè)置”，在“操縱的網(wǎng)絡(luò)被控端PC或IP地址（N）：”后輸入從機(jī)的IP地址并單擊“確定”按鈕，如圖2.20。圖2.20主控端的差不多配置圖任務(wù)三：遠(yuǎn)程操縱的實(shí)施運(yùn)行從機(jī)的pcAnywhere，選擇“被控端”，雙擊“NETWORK，CABLE，DSL”，表示從機(jī)現(xiàn)在處于等待狀態(tài)，隨時(shí)同意主機(jī)的呼叫，如圖2.21。圖2.21等待呼叫設(shè)置運(yùn)行主機(jī)的pcAnywhere，選擇“主控端”，雙擊“NETWORK，CABLE，DSL”，結(jié)果分兩種。任務(wù)四：在主機(jī)上對從機(jī)進(jìn)行操縱單擊工具欄中的“改為全屏顯示”按鈕，可全屏顯示從機(jī)的桌面而隱藏主機(jī)的“開始”菜單和“任務(wù)欄”。如圖2.22單擊工具欄中的“文件傳輸”按鈕，左邊顯示的是主機(jī)資源，右邊顯示的是從機(jī)資源，利用鼠標(biāo)的拖放功能科實(shí)現(xiàn)文件的雙機(jī)相互拷貝。圖2.22拷貝功能如圖2.23，單擊工具欄中的“查看修改聯(lián)機(jī)選項(xiàng)”按鈕，設(shè)置鎖定從機(jī)鍵盤，單擊工具欄中的“終止遠(yuǎn)程操縱對話”按鈕。圖2.23終止遠(yuǎn)程操縱五、實(shí)驗(yàn)分析遠(yuǎn)程操縱的使用差不多越來越被人們需要，讓使用者像使用面前的運(yùn)算機(jī)一樣操控遠(yuǎn)程的運(yùn)算機(jī)，使得在任何地點(diǎn)實(shí)現(xiàn)對某臺運(yùn)算機(jī)的操作成為可能。本實(shí)驗(yàn)中用到的是pcAnywhere軟件系統(tǒng)，那個(gè)軟件系統(tǒng)功能強(qiáng)大，有如下功能：遠(yuǎn)程開機(jī)，遠(yuǎn)程操縱桌面，遠(yuǎn)程復(fù)制、粘貼文字，承諾多重連，文件治理，查看登錄記錄。在此次的實(shí)驗(yàn)中，由于實(shí)驗(yàn)較簡單，差不多沒有遇見什么咨詢題。六、實(shí)驗(yàn)體會此次實(shí)驗(yàn)里，我進(jìn)行了遠(yuǎn)程操縱操作，感受到了遠(yuǎn)程控降服務(wù)的方便快捷，和遠(yuǎn)程操縱技術(shù)的強(qiáng)大魅力。在專門多人都有了許多的數(shù)碼產(chǎn)品，然而卻不方便隨身攜帶的條件下，運(yùn)用遠(yuǎn)成技術(shù)能夠滿足當(dāng)今社會許多公司和個(gè)人的需求。然而在如此的遠(yuǎn)程操縱下，許多安全咨詢題就更要考慮，防止未經(jīng)承諾的遠(yuǎn)程操縱是十分必要的一個(gè)咨詢題。通過此次內(nèi)容把握了對遠(yuǎn)程桌面連接過程的，遠(yuǎn)程桌面，要緊包括客戶端和服務(wù)器端，每臺windowsxp都同時(shí)包括客戶端和服務(wù)器端，也確實(shí)是講他既能夠當(dāng)成客戶端來連到其他的裝了Windowsxp的電腦，并操縱他，也能夠自己當(dāng)成服務(wù)器端，讓不的電腦來操縱自己。實(shí)驗(yàn)三、SSL、VPN應(yīng)用及防護(hù)墻技術(shù)一、實(shí)驗(yàn)?zāi)康?、通過本實(shí)驗(yàn)，把握VPN服務(wù)器搭建技術(shù)。2、通過本實(shí)驗(yàn)，把握VPN服務(wù)器搭建技術(shù)通過本實(shí)驗(yàn)，把握天網(wǎng)防火墻的安裝及差不多配置；學(xué)會利用天網(wǎng)防火墻愛護(hù)系統(tǒng)安全。4、通過本實(shí)驗(yàn)，把握瑞星防火墻的安裝及差不多配置；學(xué)會利用瑞星防火墻愛護(hù)系統(tǒng)安全。5、通過本實(shí)驗(yàn)，把握主流防火墻的性能和功能。二、實(shí)驗(yàn)儀器與器材PC（WindowsXP/Windows7）1臺OpenVPN軟件系統(tǒng)1套、PC（WIndowsXP/Windows7）1臺天網(wǎng)防火墻個(gè)人版軟件系統(tǒng)一套、PC（WIndowsXP/Windows7）1臺瑞星防火墻個(gè)人版軟件系統(tǒng)一套、PC（WindowsXP/Windows7）1臺天網(wǎng)防火墻個(gè)人版軟件系統(tǒng)一套、瑞星防火墻個(gè)人版軟件系統(tǒng)一套、瑞星防火墻個(gè)人版軟件系統(tǒng)一套、PC（WindowsXP/Windows7）1臺三、實(shí)驗(yàn)原理SSL也有兩個(gè)要緊缺點(diǎn)：

(1)SSL提供的保密連接存在較大的漏洞:

SSL除了能保證傳輸過程中的安全之外，不能提供其他任何安全保證，不能讓客戶明明白白的明白商家接收信用卡支付是差不多通過授權(quán)的，換句話講，商家、客戶和銀行之間缺少彼此之間的認(rèn)證。因此不不法分子專門有可能借此漏洞進(jìn)行一些欺詐行為。即使是一個(gè)真實(shí)可靠的網(wǎng)上商家，如果在收到消費(fèi)者的信用卡號碼之后沒有采取措施保證它的安全性，那么信用卡號碼也會專門容易被一些網(wǎng)絡(luò)黑客竊取的。

(2)SSL不能提供專門好的隱私愛護(hù):

在SSL的交易過程中，消費(fèi)者需要將所有的信息都傳輸給商家，消費(fèi)者的信息包括支付信息和定單信息。在那個(gè)過程中商家能夠看到消費(fèi)者的所有信息，包括信用卡卡號信息。而消費(fèi)者不期望商家看到除定單信息以外的其他隱私信息，同樣，消費(fèi)者也期望銀行只看到支付信息，看不到其他信息，例如訂購了什么東西等等。因此講在SSL交易過程中客戶的隱私得不到專門好的保證。四、實(shí)驗(yàn)過程與測試數(shù)據(jù)1、VPN配置實(shí)驗(yàn)第一進(jìn)入運(yùn)算機(jī)治理找到服務(wù)與應(yīng)用程序，找到RoutingandRemoteaccess選項(xiàng)右擊屬性。將禁止改為自動，并啟動服務(wù)，具體如圖3.1所示。右擊網(wǎng)上鄰居，在快捷菜單中找到“網(wǎng)絡(luò)連接”窗口，會發(fā)覺增加了一個(gè)傳入的連接。具體如圖3.2所示。圖3.1啟動服務(wù)圖3.3新顯現(xiàn)的一個(gè)連接右擊“傳入的連接”在常規(guī)卡中選擇直截了當(dāng)并行，用戶選擇Administrator，協(xié)議選擇包含IPX的協(xié)議具體分不如圖3.4所示。圖3.4配置協(xié)議與用戶屬性雙擊Internet協(xié)議，填寫與VPN同一網(wǎng)段的地址。具體如圖3.5所示圖3.5配置VPN網(wǎng)段打開網(wǎng)絡(luò)連接，創(chuàng)建下一個(gè)連接，一直點(diǎn)擊下一步，涉及公司一欄可不填寫，具體流程如圖3.6圖3.6(a)安裝過程圖3.6(b)安裝過程圖3.6(c)安裝過程點(diǎn)擊下一步，輸入VPN的IP地址，IP地址為9具體如圖3.7所示圖3.7輸入VPN地址雙擊VPN服務(wù)器，輸入正確的密碼與賬戶，即可連接VPN，具體如圖3.8所示。圖3.8連接VPN2、SSLVPN配置實(shí)驗(yàn)第一安裝Openvpn-2.1.4軟件，路徑按照默認(rèn)路徑進(jìn)行安裝。具體安裝過程如圖3.9所示。圖3.9Openvpn-2.1.4安裝在本機(jī)系統(tǒng)上面安裝openvpn軟件，直截了當(dāng)安裝。安裝完成后修改easy-rsa文件里面vars.bat.sample配置信息，用寫字板打開，修改完之后將其后綴改為.bat,配置信息如下，也能夠不修改。（那個(gè)地點(diǎn)不做更換）把openssl.conf.somple改為openssl.conf，在dos環(huán)境下分不輸入vars與clean-all.bat命令。具體如圖3.10所示。圖3.10執(zhí)行命令的界面生成CA，輸入build-ca.bat.，build-dh.bat，具體如圖3.11所示。圖3.11生成CA然后，生成服務(wù)器端使用的證書，輸入命令為build-key-sever.bat.sever，具體如圖3.12所示。圖3.12生成服務(wù)器端使用的證書然后，輸入一些必要的信息，正常的都差不多設(shè)置好，正常輸入即可。完成后輸入build-key.batclient指令。具體界面如圖3.13所示圖3.13注冊信息與注冊界面完成后，對服務(wù)器進(jìn)行配置，Sever.Ovpn的內(nèi)容如圖3.14所示圖3.14Sever.Ovpn的內(nèi)容將生成的ca.crt.dh1024.pem,sever.crt,sever.key及有關(guān)配置文件復(fù)制到C:\ProgramFiles\Openvpn\config名目下。具體如圖3.15所示。圖3.15儲存名目對客戶端的client.opvpn的配置文件進(jìn)行修改，然后對Client端配置，在Internet地址中填入Server端IP地址，如圖3.16所示，填入授權(quán)的用戶名和密碼，即先前創(chuàng)建的賬號和密碼。圖3.16配置授權(quán)用戶與密碼3、天網(wǎng)防火墻實(shí)驗(yàn)第一安裝天網(wǎng)防火墻軟件，安裝名目選擇系統(tǒng)默認(rèn)路徑。具體如圖3.17所示。圖3.17安裝名目打開天網(wǎng)防火墻軟件，能夠?qū)钟蚓W(wǎng)進(jìn)行設(shè)置，具體如圖3.18所示，其中本人機(jī)器的局域網(wǎng)IP地址為7。圖3.18局域網(wǎng)設(shè)置此外還能夠?qū)?yīng)用程序訪咨詢網(wǎng)絡(luò)權(quán)限以及IP規(guī)則進(jìn)行設(shè)置，具體如圖3.19所示。能夠通過設(shè)置相應(yīng)權(quán)限，能夠禁止一些不必要的服務(wù)程序或者進(jìn)程連續(xù)運(yùn)行，減少網(wǎng)絡(luò)承載負(fù)擔(dān)圖3.19應(yīng)用程序權(quán)限與IP規(guī)則設(shè)置4瑞星防火墻實(shí)驗(yàn)第一安裝瑞星防火墻，按照默認(rèn)路徑進(jìn)行安裝，具體如圖3.20所示。圖3.20瑞星防火墻安裝安裝完成后，能夠設(shè)置黑名單來禁止某個(gè)IP的訪咨詢，例如禁止IP為2的用戶訪咨詢。具體如圖3.21所示。圖3.21設(shè)置黑名單利用瑞星防火墻，能夠設(shè)置IP規(guī)則與聯(lián)網(wǎng)程序規(guī)則，具體如圖3.22所示。圖3.22IP規(guī)則與聯(lián)網(wǎng)程序規(guī)則實(shí)驗(yàn)分析本實(shí)驗(yàn)中實(shí)現(xiàn)了對SSLVPN的配置，包括了基礎(chǔ)環(huán)境配置，啟動系統(tǒng)服務(wù)，客戶端的有關(guān)配置，VPN的使用配置，服務(wù)器端配置，客戶端連接配置。此次實(shí)驗(yàn)里，遇到了一些咨詢題。在VPN的配置中，我導(dǎo)入多個(gè)用戶的信息，試圖使幾個(gè)用戶一起接入，然而遇到連接錯(cuò)誤提示，認(rèn)真閱讀實(shí)驗(yàn)指導(dǎo)書我發(fā)覺不能夠同時(shí)接入多個(gè)用戶。再次接入一個(gè)用戶，發(fā)覺接入成功。該實(shí)驗(yàn)分為兩個(gè)部分。一個(gè)是學(xué)會配置VPN和SSLVPN,同時(shí)學(xué)會VPN環(huán)境的搭建技術(shù)。還有一個(gè)是安裝防火墻，同時(shí)用防火墻進(jìn)行掃描，規(guī)則設(shè)定等工作。完成了整個(gè)實(shí)驗(yàn)之后，能專門好的了解VPN以及防火墻的作用以及構(gòu)造，學(xué)會了連接VPN以及防火墻的使用。在安裝瑞星防火墻之前，必須先卸載掉天網(wǎng)防火墻，否則瑞星防火墻安裝不上，兩個(gè)防火墻相互都不兼容。此外，在實(shí)驗(yàn)中dos口令執(zhí)行方法為：ctrl+R，輸入cmd，顯現(xiàn)系統(tǒng)找不到指定的文件的咨詢題是因?yàn)橄到y(tǒng)不存在該文件，需要在路徑下新建該文件。六、實(shí)驗(yàn)體會往常對SSL和VPN進(jìn)行過學(xué)習(xí)，然而對SSLVPN不是十分了解。在這次實(shí)驗(yàn)里我了解了SSLVPN的配置方法，增進(jìn)了對SSLVPN的知識了解，錘煉了自己的動手能力，豐富了課堂上學(xué)習(xí)到的理論知識。把握了瑞星防火墻的安裝以及差不多配置，學(xué)會了利用瑞星防火墻愛護(hù)系統(tǒng)安全。實(shí)驗(yàn)四、入侵檢測系統(tǒng)分析與應(yīng)用一、實(shí)驗(yàn)?zāi)康?、通過本實(shí)驗(yàn)，把握安裝并運(yùn)行一個(gè)Snort系統(tǒng)的方法；了解入侵檢測系統(tǒng)的作用和功能。2、通過本實(shí)驗(yàn)，進(jìn)一步熟悉和把握Snort系統(tǒng)，完善入侵檢測技能。二、實(shí)驗(yàn)儀器與器材Snort軟件系統(tǒng)1套、PC（WindowsXP/Windows7）1臺三、實(shí)驗(yàn)原理入侵檢測技術(shù)（IDS）被定義對運(yùn)算機(jī)和網(wǎng)絡(luò)資源惡意使用行進(jìn)行識不和相應(yīng)處理系統(tǒng)包括系統(tǒng)外部入侵和內(nèi)部用戶非授權(quán)行,保證運(yùn)算機(jī)系統(tǒng)安全而設(shè)計(jì)與配置種能夠及時(shí)發(fā)覺并報(bào)告系統(tǒng)未授權(quán)或?qū)ｉT現(xiàn)象技術(shù)種用于檢測運(yùn)算機(jī)網(wǎng)絡(luò)違反安全策略行技術(shù)。侵檢測技術(shù)保證運(yùn)算機(jī)系統(tǒng)安全而設(shè)計(jì)與配置種能夠及時(shí)發(fā)覺并報(bào)告系統(tǒng)未授權(quán)或?qū)ｉT現(xiàn)象技術(shù)種用于檢測運(yùn)算機(jī)網(wǎng)絡(luò)違反安全策略行技術(shù)進(jìn)行入侵檢測軟件與硬件組合便入侵檢測系統(tǒng)。Snort是基于規(guī)則檢測的入侵檢測工具，即針對每一種入侵行為，都提煉出它的特點(diǎn)值，并按照規(guī)范寫成檢測規(guī)則，形成一個(gè)規(guī)則數(shù)據(jù)庫。利用此規(guī)則庫和捕捉的數(shù)據(jù)包進(jìn)行比較，來判定是否為入侵。Snort集成了多種告警機(jī)制來提供實(shí)時(shí)告警功能，包括：syslog、用戶指定文件、UNIXSocket、通過SMBClient使用WinPopup對Windows客戶端告警。Snort的插件機(jī)制使得它具有專門好的擴(kuò)展性和可移植性，用戶能夠按照自己的需要及時(shí)在短時(shí)刻內(nèi)調(diào)整檢測策略，關(guān)于新的攻擊威逼做出迅速反應(yīng)。Snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測系統(tǒng)。入侵檢測通過執(zhí)行下任務(wù)來實(shí)現(xiàn)：1.監(jiān)視、分析用戶及系統(tǒng)活動；2.系統(tǒng)構(gòu)造和弱點(diǎn)審計(jì)；3.識不反映已知進(jìn)攻活動模式并向有關(guān)人士報(bào)警；4.專門行模式統(tǒng)計(jì)分析；5.評估重要系統(tǒng)和數(shù)據(jù)文件完整性；6.操作系統(tǒng)審計(jì)跟蹤治理并識不用戶違反安全策略行四、實(shí)驗(yàn)過程與測試數(shù)據(jù)1、Snort入侵檢測實(shí)例（1）安裝Apache服務(wù)器雙擊httpd-2.2.17-win32-x86-no_ssl.msi,進(jìn)入軟件安裝歡迎界面。具體如圖4.1所示。圖4.1安裝界面在Network填寫localhost，SeverName選擇localhost，填寫有關(guān)用戶信息。具體安裝界面如圖4.2所示。圖4.2Apache安裝設(shè)置界面確認(rèn)安裝無誤后，點(diǎn)擊next進(jìn)行安裝，具體過程如圖4.3所示圖4.3安裝過程在執(zhí)行命令之前，使用cd命令將路徑轉(zhuǎn)入Apache2.2的bin文件夾下。檢查無誤后，點(diǎn)擊next，使用http-kinstall命令將Apache2.2設(shè)置為Windows中的服務(wù)。具體如圖4.4所示圖4.48080端口檢測界面通過上述操作，顯示在Dos條件下均啟動成功。打卡配置文件htttp.conf。將其中的listen8080更換為50080。具體如圖4.5所示。圖4.5Apache2.2配置界面（2）添加Apache2.2對PHP的支持解壓縮php-5.2.6-Win32.zip至C:\，將php5ts.dll文件復(fù)制到%systemroot%\system32名目下，具體如圖4.6所示。圖4.6配置文件復(fù)制php.ini-dist至%system%\php.ini修改為php.ini，對php.ini的文件中的內(nèi)容進(jìn)行修改，具體如圖4.7所示。圖4.7修改php.ini的文件內(nèi)容同時(shí)將php_gd2.dll與php_mysql.dll拷至%systemroot%\.具體如圖4.8所示。圖4.8拷貝文件向http.conf添加命令具體命令如圖4.9所示。圖4.9添加命令完成后，在Addtypeapplication下填寫以下命令，具體如圖4.10所示。圖4.10填寫命令添加完成后儲存http.conf文件，單擊“開始”按鈕找到“運(yùn)行”，以cmd命令進(jìn)入命令行，輸入以下命令。具體如圖4.11所示圖4.11Apache2.2啟動界面完成后，測試PHP腳本，修改內(nèi)容如圖4.12所示。圖4.12修改內(nèi)容使用:50080/test.php測試PHP是否安裝成功，具體測試結(jié)果如圖4.13所示。圖4.17測試test.php（3）安裝與配置Snort安裝Wincap_4_1_3.exe，采納默認(rèn)安裝即可。具體如圖4.18所示圖4.18安裝Wincap軟件此次實(shí)驗(yàn)選擇Snort_2_9_0_1版本，將snortrules-snapshot-CURRENT名目下所有的文件復(fù)制到Snort名目下，具體如圖4.19所示。圖4.19配置信息(4)安裝和配備MySQL解壓mysql-5.0.51b-win32.zip，并采納默認(rèn)安裝路徑，選擇Typical類型，具體如圖4.20所示。圖4.20(a)安裝過程圖4.20(b)安裝過程圖4.20(c)安裝過程圖4.20(d)安裝過程圖4.24(e)安裝過程圖4.21完成安裝在完成mysql安裝后，在命令行中輸入netstartmysql啟動Mysql服務(wù)，使用Ctrl+R快捷鍵，輸入以下命令，具體命令如圖4.22所示。圖4.22轉(zhuǎn)入root權(quán)限完成輸入后，運(yùn)行下列命令，創(chuàng)建兩張表。具體命令如圖4.23所示。圖4.23創(chuàng)建兩張表完成上兩行命令后，Snort建立了所需的數(shù)據(jù)庫以及snort_archive數(shù)據(jù)庫。之后，運(yùn)行下列命令在Snort數(shù)據(jù)庫以及Snort_archive數(shù)據(jù)庫建立運(yùn)行所必需的表。運(yùn)行命令具體如圖4.24所示。圖4.24執(zhí)行命令然后再次進(jìn)入到數(shù)據(jù)庫中，以root用戶的身份輸入以下命令具體如圖4.25所示。從圖中能夠看到，系統(tǒng)顯示0rowsaffected，緣故專門簡單因?yàn)樵摫碇羞€沒有添加數(shù)據(jù)是空表。圖4.25建立兩個(gè)用戶完成上一步操作后，為Snort與Snort_archive數(shù)據(jù)庫分配權(quán)限。具體如圖4.26所示。圖4.26分配權(quán)限在命令提示窗口運(yùn)行下列命令，建立Snort輸出安全事件所需的表。具體如圖4.27所示。圖4.27建立安全所需表（5）安裝ACID安裝Adjob及Jpgraph庫，同時(shí)修改jpgrraph.php的內(nèi)容，具體如圖4.28所示。4.28修改內(nèi)容安裝ACID的壓縮包，并進(jìn)入到acid_conf.php文件進(jìn)行修改，具體修改如圖4.29所示。圖4.29修改內(nèi)容完成后，通過掃瞄器登錄/acid:50080/acid_db_setup.php,單擊后會獵取其下載文件，從而建立與ACID數(shù)據(jù)庫的連接，具體如圖4.30所示。在對應(yīng)的實(shí)驗(yàn)教材中寫得是/acid/acid_db_setup.php，少寫了1個(gè)端口號，因此在初次操作中會失敗，要想運(yùn)行其連接必須填寫端口號。圖4.30建立連接（6）啟動Snort打開C:\snort\etc\snort.conf文件，將文件中的內(nèi)容進(jìn)行修改。具體修改內(nèi)容如圖4.31所示。圖4.31修改絕對路徑上一步驟完成之后，在文件的最后一行，加入下面的語句。具體內(nèi)容如圖4.32所示。 圖4.32修改語句在完成以上的操作后，測試Snort是否正常，具體測試界面如圖4.33所示。從界面上能夠看到運(yùn)動圖像，由此可推斷出工作完全正常。圖4.33Snort啟動界面完成上一步操作后，能夠執(zhí)行命令查看本地網(wǎng)絡(luò)適配器編號，并啟動snort。