网络通信实验与设计指导书.docx

1、网络通信实验与设计指导书内容一、企业内部Web站点构建及维护一、Win服务器入门-IIS安装与配置1、安装环境：Windows 2000 以上 （不包括Windows XP Home版）IIS 4.0 以上2、IIS的安装与配置a.安装IIS若操作系统中还未安装IIS服务器，可打开“控制面板”，然后单击启动 “添加/删除程序”， 在弹出的对话框中选择 “添加/删除Windows组件”，在Windows组件向导对话框中选中“Internet信息服务（IIS）”，然后单击“下一步”，按向导指示，完成对IIS的安装。此主题相关图片如下：此主题相关图片如下： b.启动Internet信息服务（IIS）

2、Internet信息服务简称为IIS，单击Windows开始菜单-所有程序-管理工具-Internet信息服务（IIS）管理器，即可启动“Internet信息服务”管理工具（如图3）此主题相关图片如下： c.配置IISIIS安装后，系统自动创建了一个默认的Web站点，该站点的主目录默认为C:Inetpubwww.root。用鼠标右键单击“默认Web站点”，在弹出的快捷菜单中选择“属性”，此时就可以打开站点属性设置对话框，（如图4）在该对话框中，可完成对站点的全部配置。此主题相关图片如下： 主目录与启用父路径单击“主目录”标签，切换到主目录设置页面，（如图5）该页面可实现对主目录的更改或设置。注

3、意检查启用父路径选项是否勾选，如未勾选将对以后的程序运行有部分影响。（如图6），主目录配置-选项。此主题相关图片如下： 1此主题相关图片如下：设置主页文档单击“文档”标签，可切换到对主页文档的设置页面，主页文档是在浏览器中键入网站域名，而未制定所要访问的网页文件时，系统默认访问的页面文件。常见的主页文件名有index.htm、index.html、index.asp、index.php、index.jap、default.htm、default.html、default.asp等IIS默认的主页文档只有default.htm和default.asp，根据需要，利用“添加”和“删除”按钮，可为站

4、点设置所能解析的主页文档。启动与停止IIS服务在Internet信息服务的工具栏中提供有启动与停止服务的功能。单击 可启动IIS服务器；单击 则停止IIS服务器。二、用IIS建立高安全性Web服务器因为IIS（即Internet Information Server）的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器，是很多人关心的话题。构造一个安全系统要创建一个安全可靠的Web服务器，必须要实现Windows 2000和IIS的双重安全，因为IIS的用户同时也是Windows 2000的用户，并且IIS目录的

5、权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全：1. 使用NTFS文件系统，以便对文件和目录进行管理。2. 关闭默认共享打开注册表编辑器，展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”项，添加键值AutoShareServer，类型为REG_DWORD，值为0。 这样就可以彻底关闭“默认共享”。3. 修改共享权限建立新的共享后立即修改Everyone的缺省权限，不让Web服务器访问者得到不必要的权限。4. 为系统管

6、理员账号更名，避免非法用户攻击。鼠标右击我的电脑管理启动“计算机管理”程序，在“本地用户和组”中，鼠标右击“管理员账号（Administrator）”选择“重命名”，将管理员账号修改为一个很普通的用户名。5. 禁用TCP/IP 上的NetBIOS鼠标右击桌面上网络邻居 属性 本地连接 属性，打开“本地连接属性”对话框。选择Internet协议(TCP/IP)属性高级WINS，选中下侧的“禁用TCP/IP上的NetBIOS”一项即可解除TCP/IP上的NetBIOS。6. TCP/IP上对进站连接进行控制鼠标右击桌面上网络邻居 属性 本地连接 属性，打开“本地连接属性”对话框。选择Interne

7、t协议(TCP/IP)属性高级选项， 在列表中单击选中“TCP/IP筛选”选项。单击属性按钮，选择“只允许”，再单击添加按钮（如图1），只填入80端口。 7. 修改注册表，减小拒绝服务攻击的风险。打开注册表：将HKLMSystemCurrentControlSetServicesTcpipParameters下的SynAttackProtect的值修改为2，使连接对超时的响应更快。保证IIS自身的安全性IIS安全安装要构建一个安全的IIS服务器，必须从安装时就充分考虑安全问题。1. 不要将IIS安装在系统分区上。2. 修改IIS的安装默认路径。3. 打上Windows和IIS的最新补丁。IIS

8、的安全配置1. 删除不必要的虚拟目录IIS安装完成后在wwwroot下默认生成了一些目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录都没有什么实际的作用，可直接删除。 2. 删除危险的IIS组件 默认安装后的有些IIS组件可能会造成安全威胁，例如 Internet服务管理器（HTML）、SMTP Service和NNTP Service、样本页面和脚本，大家可以根据自己的需要决定是否删除。3. 为IIS中的文件分类设置权限 除了在操作系统里为IIS的文件设置必要的权限外，还要在IIS管理器中为它们设置权限。一个好的设置策略是：为Web 站点上不同类型的文

9、件都建立目录，然后给它们分配适当权限。例如：静态文件文件夹允许读、拒绝写，ASP脚本文件夹允许执行、拒绝写和读取，EXE等可执行程序允许执行、拒绝读写。4. 删除不必要的应用程序映射IIS中默认存在很多种应用程序映射，除了ASP的这个程序映射，其他的文件在网站上都很少用到。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击配置按钮，弹出“应用程序配置”对话框，在“应用程序映射”页面，删除无用的程序映射。如果需要这一类文件时，必须安装最新的系统修补补丁，并且选中相应的程序映射，再点击编辑按钮，在“添加/编辑应用程序扩展名映射”对话框中勾选

10、“检查文件是否存在”选项（如图2）。这样当客户请求这类文件时，IIS会先检查文件是否存在，文件存在后才会去调用程序映射中定义的动态链接库来解析。5. 保护日志安全日志是系统安全策略的一个重要环节，确保日志的安全能有效提高系统整体安全性。 修改IIS日志的存放路径默认情况下，IIS的日志存放在%WinDir%System32LogFiles，黑客当然非常清楚，所以最好修改一下其存放路径。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“Web站点”页面中，在选中“启用日志记录”的情况下，点击旁边的属性按钮，在“常规属性”页面，点击浏览按钮或者直接在输入框中输

11、入日志存放路径即可。 修改日志访问权限，设置只有管理员才能访问。通过以上的一些安全设置，相信你的Web服务器会安全许多。内容二 数据包捕获与分析一、实验环境搭建： 1) 运行Windows 2000/2003 Server/XP操作系统的PC一台 2) 每台PC具有一块以太网卡，通过双绞线与局域网相连 3) Ethereal程序、WinPcap程序二、实验目的： 1）学会正确安装和配置网络协议分析仪软件Ethereal。 2）掌握使用Ethereal分析各种网络协议的技能，加深对帧格式、协议格式、协议层次的理解。三、实验步骤：Ethereal是一个图形用户接口（GUI）的网络嗅探器， Ethe

12、real和其它图形化的网络嗅探器都使用相同的界面模式，如果能熟练地使用Ethereal，那么其它图形用户界面的嗅探器基本都可以操作。 1. Ethereal的安装 由于Ethereal需要WinPcap库, 所以先安装WinPcap_2_3.exe, 再安装Ethereal.exe。2. 查看Ethereal的捕获接口 图1-1 Capture Interfaces打开Ethereal，在菜单Capture 下点击Interfaces， 选取要抓包的网卡， 这里选取地址为172.20.12.47 的所在本主机的网卡抓取数据包，接口选择Broadcom NetXtreme Gigabit Eth

13、ernet Driver (Microsofts Packet Scheduler)如图1-1：3.设置Ethereal的捕获过滤器 在配置完捕获接口以后，我们可以设置相应的捕获数据包的过滤规则，就可以捕获到我们感兴趣的数据包。首先单击“Edit”选单，然后选择“Capture Filters.”菜单项，打开“Edit Capture Filter List”对话框（如图1-2所示）。因为此时还没有添加任何过滤规则，因而该对话框右侧的列表框是空的。 图1-2 Ethereal过滤器配置对话框 在Ethereal中添加过滤器时，需要为该过滤器指定名字及规则。例如，要在主机172.20.12.47

14、和172.20.12.48间创建过滤器，可以在“Filter name”编辑框内输入过滤规则的名字“1”，在“Filter string”编辑框内输入过滤规则“host 172.20.12.47 and 172.20.12.48”，然后单击“New”按钮即可，可以捕获到在主机172.20.12.47和172.20.12.48之间传输的数据包，如图1-3所示。图1-3 为Ethereal添加一个过滤器 当所有需要的过滤器都创建好后，单击“Save”按钮保存创建的过滤器，然后单击“Close”按钮来关闭“Edit Capture Filter List”对话框。要将过滤器应用于嗅探过程，需要在截获

15、数据包之前或之后指定过滤器。要为嗅探过程指定过滤器，并开始截获数据包，可以单击“Capture”选单，选择“Start.”选单项，打开“Capture Options”对话框，单击该对话框中的“Filter:”按钮，然后选择要使用的过滤器，如图1-4所示。图1-4 为Ethereal指定过滤器对图1-4中的术语进行如下解释：Interface:这个字段指定在哪个接口进行捕获。这是一个下拉字段，只能从中选择Ethereal识别出来的接口，默认是第一块支持捕获的非loopback接口卡。如果没有接口卡，那么第一个默认就是第一块loopback接口卡。在某些系统中，loopback接口卡不能用来捕获

16、（loopback接口卡在Windows平台是不可用的） IP address（IP地址）:所选接口卡的IP地址。如果不能解析出IP地址，则显示unknown Link-layer header type（链路层头类型）:除非你在极个别的情况下可能用到这个字段，大多数情况下保持默认值。Buffer size: n megabyte(s) （缓冲区大小：n 兆）:输入捕获时使用的buffer的大小。这是核心buffer的大小，捕获的数据首先保存在这里，直到写入磁盘。如果遇到包丢失的情况，增加这个值可能解决问题。 Capture packets in promiscuous mode （在混杂模式

17、捕获包）:这个选项允许设置是否将网卡设置在混杂模式。如果不指定，Ethereal仅仅捕获那些进入你的计算机的或送出你的计算机的包。 (而不是LAN网段上的所有包). Limit each packet to n bytes （限制每一个包为n 字节）:这个字段设置每一个数据包的最大捕获的数据量。有时称作snaplen 。如果disable这个选项，默认是65535, 对于大多数协议来讲中够了。 注意在“Capture Options”对话框中，“Update list of packets in real time”复选框被选中了。这样可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程

18、结束之后才显示所有截获的数据包。 4.捕获分析 在设置捕获过滤规则之后，单击“OK”按钮，整个嗅探过程就开始了。Ethereal可以实时显示截获的数据包，因此能够帮助网络管理员及时了解网络的运行状况，从而使其对网络性能和流量能有一个比较准确的把握。在主操作系统中使用ping 172.10.12.48 的命令，来ping 另一台主机172.10.12.47。我们来看看抓取的数据包如图1-5。 （PING命令是基于ICMP协议，所以我们看到的是ICMP协议，由于发送数据包需要用到ARP协议来获到硬件地址，所以同时看到ARP协议）图1-5用Ethereal分析数据包内容图1-5中间是协议树，通过协议

19、树可以得到被截获的数据包的更多信息，如主机的MAC地址(Ethernet II)、IP地址(Internet Protocol)、TCP端口号(Transmission Control Protocol)，以及HTTP协议的具体内容(Hypertext Trnasfer Protocol)。通过扩展协议树中的相应节点，可以得到该数据包中携带的更详尽的信息。 最下边是以十六制显示的数据包的具体内容，这是被截获的数据包在物理媒体上传输时的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就可以很方便地对各种协议的数据包进行分析。 5.设置etheral的显示过滤器 刚才设置

20、的过滤器是在抓包之前，我们根据设置过滤规则来过滤掉我们感兴趣的数据包，显示过滤器是在抓完包以后，通过显示过滤器可以用来从已经捕获的数据包中找到你感兴趣的包，并显示出来。举个例子，如果你只想查看使用TCP协议的包，etheral窗口的左下角的Filter中输入tcp,然后回车，ethereal就会只显示tcp协议的包。如下图所示：图1-6 Etheral的显示设置表达式也可以使用下面的操作符构造显示过滤器Ip.addr=172.20.12.47Ip.addr！=172.20.12.47Frame.pkt_len10请记住一个窍门：当Filter的背景是绿色，就证明你设定的Filter是合乎规定的

21、，但是当背景是红色的，说明你设定的Filter是Ethereal不允许的。6.捕获FTP包进行分析捕捉局域网上主机172.22.17.85发出或接受的所有FTP包（即src or dst port21），Ethereal的capture filter 的filter string设置为：tcp port 21 and host 172.22.17.85，如图1-10所示，然后将Capture options中的Capture filter选择该项，点击Start开始捕获，这时出现如图1-7。 图1-7 图 1-8 当我们点击Stop时，这时就出现FTP数据包解码界面如图1-9所示,从图中我们可以发现大量有用的信息，有源地址、目的地址、协议类型、包发送到达的时间、从中还捕获到登陆FTP服务器时输入的用户名和密码，下面的分析正说明了FTP中的数据是以明文形式传输的，因此在捕获的数据包中可以分析到被监听主机的任何FTP行为。登陆FTP的用户名USER gaofei登陆FTP的密码PASS:12345图1-9 FTP数据包的解码