网络通信实验与设计指导书.docx
《网络通信实验与设计指导书.docx》由会员分享,可在线阅读,更多相关《网络通信实验与设计指导书.docx(17页珍藏版)》请在冰豆网上搜索。
网络通信实验与设计指导书
内容一、企业内部Web站点构建及维护
一、Win服务器入门--IIS安装与配置
1、安装环境:
Windows2000以上(不包括WindowsXPHome版)
IIS4.0以上
2、IIS的安装与配置
a.安装IIS
若操作系统中还未安装IIS服务器,可打开“控制面板”,然后单击启动“添加/删除程序”,在弹出的对话框中选择“添加/删除Windows组件”,在Windows组件向导对话框中选中“Internet信息服务(IIS)”,然后单击“下一步”,按向导指示,完成对IIS的安装。
此主题相关图片如下:
此主题相关图片如下:
b.启动Internet信息服务(IIS)
Internet信息服务简称为IIS,单击Windows开始菜单---所有程序---管理工具---Internet信息服务(IIS)管理器,即可启动“Internet信息服务”管理工具(如图3)
此主题相关图片如下:
c.配置IIS
IIS安装后,系统自动创建了一个默认的Web站点,该站点的主目录默认为C:
\Inetpub\www.root。
用鼠标右键单击“默认Web站点”,在弹出的快捷菜单中选择“属性”,此时就可以打开站点属性设置对话框,(如图4)在该对话框中,可完成对站点的全部配置。
此主题相关图片如下:
主目录与启用父路径
单击“主目录”标签,切换到主目录设置页面,(如图5)该页面可实现对主目录的更改或设置。
注意检查启用父路径选项是否勾选,如未勾选将对以后的程序运行有部分影响。
(如图6),主目录—配置---选项。
此主题相关图片如下:
1
此主题相关图片如下:
设置主页文档
单击“文档”标签,可切换到对主页文档的设置页面,主页文档是在浏览器中键入网站域名,而未制定所要访问的网页文件时,系统默认访问的页面文件。
常见的主页文件名有index.htm、index.html、index.asp、index.php、index.jap、default.htm、default.html、default.asp等
IIS默认的主页文档只有default.htm和default.asp,根据需要,利用“添加”和“删除”按钮,可为站点设置所能解析的主页文档。
启动与停止IIS服务
在Internet信息服务的工具栏中提供有启动与停止服务的功能。
单击可启动IIS服务器;单击则停止IIS服务器。
二、用IIS建立高安全性Web服务器
因为IIS(即InternetInformationServer)的方便性和易用性,使它成为最受欢迎的Web服务器软件之一。
但是,IIS的安全性却一直令人担忧。
如何利用IIS建立一个安全的Web服务器,是很多人关心的话题。
构造一个安全系统
要创建一个安全可靠的Web服务器,必须要实现Windows2000和IIS的双重安全,因为IIS的用户同时也是Windows2000的用户,并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制,所以保护IIS安全的第一步就是确保Windows2000操作系统的安全:
1.使用NTFS文件系统,以便对文件和目录进行管理。
2.关闭默认共享
打开注册表编辑器,展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项,添加键值AutoShareServer,类型为REG_DWORD,值为0。
这样就可以彻底关闭“默认共享”。
3.修改共享权限
建立新的共享后立即修改Everyone的缺省权限,不让Web服务器访问者得到不必要的权限。
4.为系统管理员账号更名,避免非法用户攻击。
鼠标右击[我的电脑]→[管理]→启动“计算机管理”程序,在“本地用户和组”中,鼠标右击“管理员账号(Administrator)”→选择“重命名”,将管理员账号修改为一个很普通的用户名。
5.禁用TCP/IP上的NetBIOS
鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性],打开“本地连接属性”对话框。
选择[Internet协议(TCP/IP)]→[属性]→[高级]→[WINS],选中下侧的“禁用TCP/IP上的NetBIOS”一项即可解除TCP/IP上的NetBIOS。
6.TCP/IP上对进站连接进行控制
鼠标右击桌面上[网络邻居]→[属性]→[本地连接]→[属性],打开“本地连接属性”对话框。
选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项],在列表中单击选中“TCP/IP筛选”选项。
单击[属性]按钮,选择“只允许”,再单击[添加]按钮(如图1),只填入80端口。
7.修改注册表,减小拒绝服务攻击的风险。
打开注册表:
将HKLM\System\
CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改为2,使连接对超时的响应更快。
保证IIS自身的安全性
IIS安全安装
要构建一个安全的IIS服务器,必须从安装时就充分考虑安全问题。
1.不要将IIS安装在系统分区上。
2.修改IIS的安装默认路径。
3.打上Windows和IIS的最新补丁。
IIS的安全配置
1.删除不必要的虚拟目录
IIS安装完成后在wwwroot下默认生成了一些目录,包括IISHelp、IISAdmin、IISSamples、MSADC等,这些目录都没有什么实际的作用,可直接删除。
2.删除危险的IIS组件
默认安装后的有些IIS组件可能会造成安全威胁,例如Internet服务管理器(HTML)、SMTPService和NNTPService、样本页面和脚本,大家可以根据自己的需要决定是否删除。
3.为IIS中的文件分类设置权限
除了在操作系统里为IIS的文件设置必要的权限外,还要在IIS管理器中为它们设置权限。
一个好的设置策略是:
为Web站点上不同类型的文件都建立目录,然后给它们分配适当权限。
例如:
静态文件文件夹允许读、拒绝写,ASP脚本文件夹允许执行、拒绝写和读取,EXE等可执行程序允许执行、拒绝读写。
4.删除不必要的应用程序映射
IIS中默认存在很多种应用程序映射,除了ASP的这个程序映射,其他的文件在网站上都很少用到。
在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“主目录”页面中,点击[配置]按钮,弹出“应用程序配置”对话框,在“应用程序映射”页面,删除无用的程序映射。
如果需要这一类文件时,必须安装最新的系统修补补丁,并且选中相应的程序映射,再点击[编辑]按钮,在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项(如图2)。
这样当客户请求这类文件时,IIS会先检查文件是否存在,文件存在后才会去调用程序映射中定义的动态链接库来解析。
5.保护日志安全
日志是系统安全策略的一个重要环节,确保日志的安全能有效提高系统整体安全性。
●修改IIS日志的存放路径
默认情况下,IIS的日志存放在%WinDir%\System32\LogFiles,黑客当然非常清楚,所以最好修改一下其存放路径。
在“Internet服务管理器”中,右击网站目录,选择“属性”,在网站目录属性对话框的“Web站点”页面中,在选中“启用日志记录”的情况下,点击旁边的[属性]按钮,在“常规属性”页面,点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。
●修改日志访问权限,设置只有管理员才能访问。
通过以上的一些安全设置,相信你的Web服务器会安全许多。
内容二数据包捕获与分析
一、实验环境搭建:
1)运行Windows2000/2003Server/XP操作系统的PC一台
2)每台PC具有一块以太网卡,通过双绞线与局域网相连
3)Ethereal程序、WinPcap程序
二、实验目的:
1)学会正确安装和配置网络协议分析仪软件Ethereal。
2)掌握使用Ethereal分析各种网络协议的技能,加深对帧格式、协议格式、协议层次
的理解。
三、实验步骤:
Ethereal是一个图形用户接口(GUI)的网络嗅探器,Ethereal和其它图形化的网络嗅探器都使用相同的界面模式,如果能熟练地使用Ethereal,那么其它图形用户界面的嗅探器基本都可以操作。
1.Ethereal的安装
由于Ethereal需要WinPcap库,所以先安装WinPcap_2_3.exe,再安装Ethereal.exe。
2.查看Ethereal的捕获接口
图1-1CaptureInterfaces
打开Ethereal,在菜单Capture下点击Interfaces,选取要抓包的网卡,这里选取地址为172.20.12.47的所在本主机的网卡抓取数据包,接口选择BroadcomNetXtremeGigabitEthernetDriver(Microsoft'sPacketScheduler)如图1-1:
3.设置Ethereal的捕获过滤器
在配置完捕获接口以后,我们可以设置相应的捕获数据包的过滤规则,就可以捕获到
我们感兴趣的数据包。
首先单击“Edit”选单,然后选择“CaptureFilters...”菜单项,
打开“EditCaptureFilterList”对话框(如图1-2所示)。
因为此时还没有添加任何过
滤规则,因而该对话框右侧的列表框是空的。
图1-2Ethereal过滤器配置对话框
在Ethereal中添加过滤器时,需要为该过滤器指定名字及规则。
例如,要在主机172.20.12.47和172.20.12.48间创建过滤器,可以在“Filtername”编辑框内输入过滤规则的名字“1”,在“Filterstring”编辑框内输入过滤规则“host172.20.12.47and172.20.12.48”,然后单击“New”按钮即可,可以捕获到在主机172.20.12.47和172.20.12.48之间传输的数据包,如图1-3所示。
图1-3为Ethereal添加一个过滤器
当所有需要的过滤器都创建好后,单击“Save”按钮保存创建的过滤器,然后单击“Close”按钮来关闭“EditCaptureFilterList”对话框。
要将过滤器应用于嗅探过程,需要在截获数据包之前或之后指定过滤器。
要为嗅探过程指定过滤器,并开始截获数据包,可以单击“Capture”选单,选择“Start...”选单项,打开“CaptureOptions”对话框,单击该对话框中的“Filter:
”按钮,然后选择要使用的过滤器,如图1-4所示。
图1-4为Ethereal指定过滤器
对图1-4中的术语进行如下解释:
Interface:
这个字段指定在哪个接口进行捕获。
这是一个下拉字段,只能从中选择Ethereal识别出来的接口,默认是第一块支持捕获的非loopback接口卡。
如果没有接口卡,那么第一个默认就是第一块loopback接口卡。
在某些系统中,loopback接口卡不能用来捕获(loopback接口卡在Windows平台是不可用的)
IPaddress(IP地址):
所选接口卡的IP地址。
如果不能解析出IP地址,则显示"unknown"
Link-layerheadertype(链路层头类型):
除非你在极个别的情况下可能用到这个字段,大多数情况下保持默认值。
Buffersize:
nmegabyte(s)(缓冲区大小:
n兆):
输入捕获时使用的buffer的大小。
这是核心buffer的大小,捕获的数据首先保存在这里,直到写入磁盘。
如果遇到包丢失的情况,增加这个值可能解决问题。
Capturepacketsinpromiscuousmode(在混杂模式捕获包):
这个选项允许设置是否将网卡设置在混杂模式。
如果不指定,Ethereal仅仅捕获那些进入你的计算机的或送出你的计算机的包。
(而不是LAN网段上的所有包).
Limiteachpackettonbytes(限制每一个包为n字节):
这个字段设置每一个数据包的最大捕获的数据量。
有时称作snaplen。
如果disable这个选项,默认是65535,对于大多数协议来讲中够了。
注意在“CaptureOptions”对话框中,“Updatelistofpacketsinrealtime”复选框被选中了。
这样可以使每个数据包在被截获时就实时显示出来,而不是在嗅探过程结束之后才显示所有截获的数据包。
4.捕获分析
在设置捕获过滤规则之后,单击“OK”按钮,整个嗅探过程就开始了。
Ethereal可以实时显示截获的数据包,因此能够帮助网络管理员及时了解网络的运行状况,从而使其对网络性能和流量能有一个比较准确的把握。
在主操作系统中使用ping172.10.12.48的命令,来ping另一台主机172.10.12.47。
我们来看看抓取的数据包如图1-5。
(PING命令是基于ICMP协议,所以我们看到的是ICMP协议,由于发送数据包需要用到ARP协议来获到硬件地址,所以同时看到ARP协议)
图1-5用Ethereal分析数据包内容
图1-5中间是协议树,通过协议树可以得到被截获的数据包的更多信息,如主机的MAC地址(EthernetII)、IP地址(InternetProtocol)、TCP端口号(TransmissionControlProtocol),以及HTTP协议的具体内容(HypertextTrnasferProtocol)。
通过扩展协议树中的相应节点,可以得到该数据包中携带的更详尽的信息。
最下边是以十六制显示的数据包的具体内容,这是被截获的数据包在物理媒体上传输时的最终形式,当在协议树中选中某行时,与其对应的十六进制代码同样会被选中,这样就可以很方便地对各种协议的数据包进行分析。
5.设置etheral的显示过滤器
刚才设置的过滤器是在抓包之前,我们根据设置过滤规则来过滤掉我们感兴趣的数据包,显示过滤器是在抓完包以后,通过显示过滤器可以用来从已经捕获的数据包中找到你感兴趣的包,并显示出来。
举个例子,如果你只想查看使用TCP协议的包,etheral窗口的左下角的Filter中输入tcp,然后回车,ethereal就会只显示tcp协议的包。
如下图所示:
图1-6Etheral的显示设置
表达式也可以使用下面的操作符构造显示过滤器
Ip.addr==172.20.12.47
Ip.addr!
=172.20.12.47
Frame.pkt_len>10
请记住一个窍门:
当Filter的背景是绿色,就证明你设定的Filter是合乎规定的,但是当背景是红色的,说明你设定的Filter是Ethereal不允许的。
6.捕获FTP包进行分析
捕捉局域网上主机172.22.17.85发出或接受的所有FTP包(即srcordstport=21),Ethereal的capturefilter的filterstring设置为:
tcpport21andhost172.22.17.85,如图1-10所示,然后将Captureoptions中的Capturefilter选择该项,点击Start开始捕获,这时出现如图1-7。
图1-7图1-8
当我们点击Stop时,这时就出现FTP数据包解码界面如图1-9所示,从图中我们可以发现大量有用的信息,有源地址、目的地址、协议类型、包发送\到达的时间、从中还捕获到登陆FTP服务器时输入的用户名和密码,下面的分析正说明了FTP中的数据是以明文形式传输的,因此在捕获的数据包中可以分析到被监听主机的任何FTP行为。
登陆FTP的用户名USERgaofei
登陆FTP的密码PASS:
12345
图1-9FTP数据包的解码
升级会员 