《网络安全》实验指导书Word文件下载.docx

1、实验三：Sniffer试验使用Sniffer，了解其原理了解协议分析的方法，掌握Sniffer软件的使用。因教材无这部分内容，现给出Sniffer简介Sniffer（嗅探器）是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。Snifffer可以作为能够捕获网络报文的设备,ISS为Sniffer这样定义：Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。Sniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可

2、以用嗅探器来作出精确的问题判断。 在合理的网络中，sniffer的存在对系统管理员是致关重要的，系统管理员通过sniffer可以诊断出大量的不可见模糊问题，这些问题涉及两台乃至多台计算机之间的异常通讯有些甚至牵涉到各种的协议，借助于sniffer%2C系统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪台主机、报文发送占用多少时间、或着相互主机的报文传送间隔时间等等，这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器则捕获真实的网络报文。为了对snif

3、fer的工作原理有一个深入的了解，我们先简单介绍一下HUB与网卡的原理。HUB工作原理由于以太网等很多网络（常见共享HUB连接的内部网）是基于总线方式，物理上是广播的，就是当一个机器发给另一个机器的数据，共享HUB先收到然后把它接收到的数据再发给其他的（来的那个口不发了）每一个口，所以在共享HUB下面同一网段的所有机器的网卡都能接收到数据。交换式HUB的内部单片程序能记住每个口的MAC地址，以后就该哪个机器接收就发往哪个口，而不是像共享HUB那样发给所有的口，所以交换HUB下只有该接收数据的机器的网卡能接收到数据，当然广播包还是发往所有口。显然共享HUB的工作模式使得两个机器传输数据的时候其他

4、机器别的口也占用了，所以共享HUB决定了同一网段同一时间只能有两个机器进行数据通信，而交换HUB两个机器传输数据的时候别的口没有占用，所以别的口之间也可以同时传输。这就是共享HUB与交换HUB不同的两个地方，共享HUB是同一时间只能一个机器发数据并且所有机器都可以接收，只要不是广播数据交换HUB同一时间可以有对机器进行数据传输并且数据是私有的。网卡工作原理再讲讲网卡的工作原理。网卡收到传输来的数据，网卡内的单片程序先接收数据头的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就在接收后产生中断信号通知CPU，认为不该接收就丢弃不管，所以不该接收的数据网卡就截断

5、了，计算机根本就不知道。CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。局域网如何工作数据在网络上是以很小的称为帧（Frame）的单位传输的帧由好几部分组成，不同的部分执行不同的功能。（例如，以太网的前12个字节存放的是源和目的的地址，这些位告诉网络：数据的来源和去处。以太网帧的其他部分存放实际的用户数据、TCP/IP的报文头或IPX报文头等等）。帧通过特定的网络驱动程序进行成型，然后通过网卡发送到网线上。通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧

6、，并告诉操作系统帧的到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会造成安全方面的问题。通常在局域网（LAN）中同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。（代表所有的接口地址），在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：i.帧的目标区域具有和本地网络接口相匹配的硬件地址。ii.帧的目标区域具有“广播地址”。在接受到上面两种情况的数据包时，网卡通过cpu产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数

7、据传送给系统进一步处理。当采用共享HUB，用户发送一个报文时，这些报文就会发送到LAN上所有可用的机器。在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的报文则不予响应（换句话说，工作站A不会捕获属于工作站B的数据，而是简单的忽略这些数据）。如果局域网中某台机器的网络接口处于杂收（promiscuous）模式（即网卡可以接收其收到的所有数据包，下面会详细地讲），那么它就可以捕获网络上所有的报文和帧，如果一台机器被配置成这样的方式，它（包括其软件）就是一个嗅探器。Sniffer Sniffer原理 有了这HUB、网卡的工作原理就可以开始讲讲SNIFFER。首先，要知道SNI

8、FFER要捕获的东西必须是要物理信号能收到的报文信息。显然只要通知网卡接收其收到的所有包（一般叫作杂收promiscuous模式：指网络上的所有设备都对总线上传送的数据进行侦听，并不仅仅是它们自己的数据。），在共享HUB下就能接收到这个网段的所有包，但是交换HUB下就只能是自己的包加上广播包。要想在交换HUB下接收别人的包，那就要让其发往你的机器所在口。交换HUB记住一个口的MAC是通过接收来自这个口的数据后并记住其源MAC，就像一个机器的IP与MAC对应的ARP列表，交换HUB维护一个物理口（就是HUB上的网线插口，这之后提到的所有HUB口都是指网线插口）与MAC的表，所以可以欺骗交换HUB

9、的。可以发一个包设置源MAC是你想接收的机器的MAC，那么交换HUB就把你机器的网线插的物理口与那个MAC对应起来了，以后发给那个MAC的包就发往你的网线插口了，也就是你的网卡可以SNIFFER到了。注意这物理口与MAC的表与机器的ARP表一样是动态刷新的，那机器发包后交换HUB就又记住他的口了，所以实际上是两个在争，这只能应用在只要收听少量包就可以的场合。内部网基于IP的通信可以用ARP欺骗别人机器让其发送给你的机器，如果要想不影响原来两方的通信，可以欺骗两方，让其都发给你的机器再由你的机器转发，相当于做中间人，这用ARP加上编程很容易实现。并且现在很多设备支持远程管理，有很多交换HUB可以

10、设置一个口监听别的口，不过这就要管理权限了。利用这一点，可以将一台计算机的网络连接设置为接受所有以太网总线上的数据，从而实现sniffer。Sniffer就是一种能将本地网卡状态设成杂收状态的软件，当网卡处于这种“杂收”方式时，该网卡具备“广播地址”，它对遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。（绝大多数的网卡具备置成杂收方式的能力）可见，sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：sniffer是极其安静的，它是一种消极

11、的安全攻击。嗅探器在功能和设计方面有很多不同。有些只能分析一种协议，而另一些可能能够分析几百种协议。一般情况下，大多数的嗅探器至少能够分析下面的协议：标准以太网、TCP/IP、IPX、DECNet。嗅探器造成的危害sniffing是作用在网络基础结构的底层。通常情况下， 用户并不直接和该层打交道，有些甚至不知道有这一层存在。所以，应该说snffer的危害是相当之大的，通常，使用sniffer是在网络中进行欺骗的开始。它可能造成的危害：嗅探器能够捕获口令。这大概是绝大多数非法使用sniffer的理由，sniffer可以记录到明文传送的userid和passwd。能够捕获专用的或者机密的信息。比如

12、金融帐号，许多用户很放心在网上使用自己的信用卡或现金帐号，然而sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin。比如偷窥机密或敏感的信息数据，通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的email会话过程。可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限，窥探低级的协议信息。这是很可怕的事，通过对底层的信息协议记录，比如记录两台主机之间的网络接口地址、远程网络接ip地址、ip路由信息和tcp连接的字节顺序号码等。这些信息由非法入侵的人掌握后将对网络安全构成极大的危害，通常有人用sniffer收集这些信息只有一

13、个原因：他正要进行一次欺骗（通常的ip地址欺骗就要求你准确插入tcp连接的字节顺序号），如果某人很关心这个问题，那么sniffer对他来说只是前奏，今后的问题要大得多。（对于高级的hacker而言，我想这是使用sniffer的唯一理由吧）事实上，如果你在网络上存在非授权的嗅探器就意味着你的系统已经暴露在别人面前了。一般Sniffer只嗅探每个报文的前200到300个字节。用户名和口令都包含在这一部分中，这是我们关心的真正部分。工人，也可以嗅探给定接口上的所有报文，如果有足够的空间进行存储，有足够的那里进行处理的话，将会发现另一些非常有趣的东西简单的放置一个嗅探器并将其放到随便什么地方将不会起到

14、什么作用。将嗅探器放置于被攻击机器或网络附近，这样将捕获到很多口令，还有一个比较好的方法就是放在网关上。sniffer通常运行在路由器，或有路由器功能的主机上。这样就能对大量的数据进行监控。sniffer属第二层次的攻击。通常是攻击者已经进入了目标系统，然后使用sniffer这种攻击手段，以便得到更多的信息。如果这样的话就能捕获网络和其他网络进行身份鉴别的过程六、实验要求：了解协议分析在网络安全中的重要性，掌握基本网络协议软件Sniffer Pro的基本是要方法。七、实验学时：4学时八、实验步骤：一、捕获数据包前的准备工作在默认情况下，sniffer将捕获其接入碰撞域中流经的所有数据包，但在某

15、些场景下，有些数据包可能不是我们所需要的，为了快速定位网络问题所在，有必要对所要捕获的数据包作过滤。Sniffer提供了捕获数据包前的过滤规则的定义，过滤规则包括2、3层地址的定义和几百种协议的定义。定义过滤规则的做法一般如下：1、在主界面选择capturedefinefilter选项。2、definefilteraddress，这是最常用的定义。其中包括MAC地址、ip地址和ipx地址的定义。以定义IP地址过滤为例，见图1。图1比如，现在要捕获地址为10.1.30.100的主机与其他主机通信的信息，在Mode选项卡中，选Include（选Exclude选项，是表示捕获除此地址外所有的数据包）

16、；在station选项中，在任意一栏填上10.1.30.100,另外一栏填上any（any表示所有的IP地址）。这样就完成了地址的定义。注意到Dir.栏的图标：表示，捕获station1收发的数据包；最后，选取 将定义的规则保存下来，供以后使用。3、definefilteradvanced，定义希望捕获的相关协议的数据包。如图2。图2比如，想捕获FTP、NETBIOS、DNS、HTTP的数据包，那么说首先打开TCP选项卡，再进一步选协议；还要明确DNS、NETBIOS的数据包有些是属于UDP协议，故需在UDP选项卡做类似TCP选项卡的工作，否则捕获的数据包将不全。如果不选任何协议，则捕获所有协

17、议的数据包。PacketSize选项中，可以定义捕获的包大小，图3，是定义捕获包大小界于64至128bytes的数据包。图34、definefilterbuffer,定义捕获数据包的缓冲区。如图4：图4Buffersize选项卡，将其设为最大40M。Capturebuffer选项卡，将设置缓冲区文件存放的位置。5、最后，需将定义的过滤规则应用于捕获中。如图5：图5点选SelectFilterCapture中选取定义的捕获规则。二、捕获数据包时观察到的信息CaptureStart,启动捕获引擎。sniffer可以实时监控主机、协议、应用程序、不同包类型等的分布情况。如图6：图6Dashboard

18、:可以实时统计每秒钟接收到的包的数量、出错包的数量、丢弃包的数量、广播包的数量、多播包的数量以及带宽的利用率等。HostTable：可以查看通信量最大的前10位主机。Matrix:通过连线，可以形象的看到不同主机之间的通信。ApplicationResponseTime:可以了解到不同主机通信的最小、最大、平均响应时间方面的信息。HistorySamples:可以看到历史数据抽样出来的统计值。Protocoldistribution:可以实时观察到数据流中不同协议的分布情况。Switch:可以获取cisco交换机的状态信息。在捕获过程中，同样可以对想观察的信息定义过滤规则，操作方式类似捕获前的

19、过滤规则。三、捕获数据包后的分析工作要停止sniffer捕获包时，点选CaptureStop或者CaptureStopandDisplay,前者停止捕获包，后者停止捕获包并把捕获的数据包进行解码和显示。如图7：图7Decode:对每个数据包进行解码，可以看到整个包的结构及从链路层到应用层的信息，事实上，sniffer的使用中大部分的时间都花费在这上面的分析，同时也对使用者在网络的理论及实践经验上提出较高的要求。素质较高的使用者借此工具便可看穿网络问题的结症所在。Expert:这是sniffer提供的专家模式，系统自身根据捕获的数据包从链路层到应用层进行分类并作出诊断。其中diagnoses提出

20、非常有价值的诊断信息。图8，是sniffer侦查到IP地址重叠的例子及相关的解析。图8sniffer同样提供解码后的数据包过滤显示。要对包进行显示过滤需切换到Decode模式。Displaydefinefilter，定义过滤规则。selectfilter,应用过滤规则。显示过滤的使用基本上跟捕获过滤的使用相同。四、sniffer提供的工具应用sniffer除了提供数据包的捕获、解码及诊断外，还提供了一系列的工具，包括包发生器、ping、traceroute、DNSlookup、finger、whois等工具。其中，包发生器比较有特色，将做简单介绍。其他工具在操作系统中也有提供，不做介绍。包发生

21、器提供三种生成数据包的方式：点选，新构一个数据包，包头、包内容及包长由用户直接填写。图9，定义一个广播包，使其连续发送，包的发送延迟位1ms图9点选 发送在Decode中所定位的数据包，同时可以在此包的基础上对数据包进行如前述的修改。发送buffer中所有的数据包，实现数据流的重放。见图10：图10可以定义连续地发送buffer中地数据包或只发送一次buffer中地数据包。请特别注意，不要在运行的网络中重放数据包，否则容易引起严重的网络问题。数据包的重放经常用于实验环境中。1进一步通过察看帮助或通过网上搜索了解Sniffer Pro的其它功能，并进一步使用这些功能。实验四：反病毒软件的使用 一

22、、实验目的1、掌握反病毒软件的安装2、掌握反病毒软件的使用3、掌握反病毒软件的更新二、实验内容反病毒软件使用。了解病毒的基本概念，掌握反病毒软件的原理和使用方法。本实验以国产软件瑞星杀毒软件为例。1、瑞星杀毒软件的安装。第一步：启动计算机，进入Windows（95/98/Me/NT/2000/XP/2003）操作系统，关闭其他应用程序； 第二步：将瑞星杀毒软件光盘放入光驱内。若自动安装程序没有启动，则运行光盘根目录下的Autorun.exe程序，启动安装程序；第三步：在安装界面中，选择【安装瑞星杀毒软件】；第四步：在语言选择对话框中，您可以选择【中文简体】、【中文繁體】、【English】和【

23、日本语】四种语言版本中的一种进行安装，按【确定】开始安装（以选择【中文简体】安装为例）；第五步：进入安装欢迎界面，选择【下一步】继续；第六步：阅读【最终用户许可协议】，选择【我接受】可进入下一步，选择【我不接受】则退出安装程序；第七步：在【检查序列号】窗口中，正确输入产品序列号和ID 号（产品序列号与 ID 号见用户身份卡），按【下一步】继续；第八步：在【瑞星系统内存扫描】窗口中安装程序将自动对系统内存进行扫描，确保您安装瑞星杀毒软件时系统的安全、完整。根据您当前系统内存占用情况，此过程可能要占用3-5分钟，请等待；如果您需要跳过此功能，请选择【跳过】，按【下一步】继续安装；第九步：在【安装类

24、型】窗口中，可自行选择【全部】、【典型】、【最小】和【定制】四种安装类型中的一种进行安装，全部安装表示将安装瑞星杀毒软件的全部组件和工具程序，按【下一步】继续安装；第十步：在【安装目录】窗口中，可自定义瑞星杀毒软件的安装目录，按【下一步】继续安装；第十一步：在【选择程序组】窗口中输入程序组名称，按【下一步】继续安装；第十二步： 在【安装信息】窗口中，显示了安装路径和所选程序组件等信息，请确认后按【下一步】开始复制文件；第十三步： 文件复制完成后，在【结束】窗口中，您可以选择【运行瑞星主程序】、【运行监控中心】和【运行注册向导】三项来启动相应程序，最后选择【完成】结束安装。2、瑞星杀毒软件的使用

25、。双击桌面上的图标，或通过开始菜单，启动瑞星杀毒软件，在左边有树型控件里面列出了我的电脑中的所有盘符，只要我们把要杀毒的目录的前面打上勾，然后点击开始杀毒按钮就可以了，软件开始查杀计算机病毒。3、瑞星杀毒软件的更新。可以有两种方式：在线更新和脱机更新。1）在线方式：这种方式是您的电脑必须连接到internet网络，点击界面上的自动升级按钮就可以自动完成了。2）脱机方式：下载病毒更新包，双击运行，选择修复就可以了，系统自动更新，有时需要重新启动机器，启动完就可以放心使用了。访问其他反病毒软件的网站，比较其同瑞星的优缺点。实验五：数字证书的申请1 为自己申请数字证书2 了解当前各种数字证书机构的状

26、况3 了解数字证书的类型和作用。4 掌握申请数字证书的方法5 加深对数字证书概念和作用的理解。数字证书的申请。1上网搜索提供数字证书的机构2了解各类数字证书的作用。3选定一家免费证书提供机构，为自己申请一张安全电子邮件证书。4在IE 浏览器中查看自己申请成功的数字证书。五、实验步骤步骤1：搜索提供数字证书的机构。如图1 所示，在google 搜索引擎中输入“数字证书”，可以找到很多国内的CA 机构，这些CA 机构都提供不同类型的数字证书。图1 搜索数字证书机构步骤2：对这些机构提供的数字证书类型及其作用进行分析。目前国内的证书机构能够提供的证书类型主要包括个人数字证书、 企业数字证书、服务器身

27、份证书、安全web 服务证书、安全电子邮件证书、代码签名证书等。各种不同类型的证书作用不同。个人数字证书中包含证书持有者的个人身份信息、公钥及CA 的签名，在网络通讯中标识证书持有者的个人身份；企业数字证书中包含企业基本信息、公钥及CA 的签名，在网络通讯中标识证书持有企业的身份；服务器身份证书中包含服务器信息、公钥及CA 的签名，在网络通讯中标识和验证服务器的身份。在网络应用系统中，服务器软件利用证书机制保证与其他服务器或客户端通信的安全性；安全Web 站点证书中包含Web 站点的基本信息、公钥和CA 的签名，凡是具有网址的Web 站点均可以申请使用该证书，主要和网站的IP 地址、域名绑定，

28、可以保证网站的真实性和不被人仿冒；代码签名证书是CA 中心签发给软件提供商的数字证书，包含软件提供商的身份信息、公钥及CA 的签名。软件提供商使用代码签名证书对软件进行签名后放到Internet 上，当用户在Internet 上下载该软件时，将会得到提示，从而可以确信软件的来源，并确认软件自签名后到下载前没有遭到修改或破坏；安全电子邮件证书中包含证书持有者的电子邮件地址、公钥及CA 的签名。使用安全电子邮件证书可以收发加密和数字签名邮件，保证电子邮件传输中的机密性、完整性和不可否认性，确保电子邮件通信各方身份的真实性。步骤3：选定一种个人数字证书，为自己申请该数字证书。由于大多数证书机构都要求

29、对提供的数字证书收费，我们在此给同学提供一些提供免费试用证书的CA 网址：􀁺 （需有访问国外网站的权限）以下以某学生的申请过程为例，给出在 申请一份免费数字证书的实验步骤。1登录到 申请地址，点击“证书申请”链接，选择“试用型个人数字证书申请”链接。2只有安装了根证书（即证书链）的计算机，才能够完成后面的申请步骤和正常使用在CA中心申请的数字证书，所以需要先进行证书链的安装。按照系统提示，我们可以在 页面中点击“安装证书链”按钮。如图2 所示。图2 安装证书链3在系统“安装成功”提示框出现后，进入“基本信息”表单，按照表单的提示内容，完整地输入个人资料。注意在选择加密服务提供程序（Cryptographic Service Provider，CSP）项目中选择“Microsoft Base Cryptagraphic Provider V1.0” 选项。如图2-3 所示。图3 选择加密服务提供