《计算机网络与通信安全》实验指导书.doc

网络安全与网络管理实验指导书实验一、Windows网络安全和管理配置实验2实验二、局域网流量捕获软件Ethereal使用3实验三、防火墙软件的配置和使用4实验四、网络黑客攻击技术模拟实验5实验五、系统安全扫描软件操作使用实验6实验六、路由器、交换机的管理实验7实验一、Windows网络安全和管理配置实验一、实验目的：了解Windows安全管理策略，了解Windows用户管理，熟悉Windows共享文件夹的安全性设置；了解FAT和NTFS文件分配管理方式在安全上的区别。二、实验内容和步骤： 1. 改变Windows默认登录方式，设置为必须输入用户名和密码的登录方式。2. 改变Windows默认文件共享方式，设置为必须输入用户名和密码才能使用共享资源。（可以使用“网络安装向导”自动打开或关闭打印机共享。要启动“网络安装向导”，请单击“开始”，指向“设置”，单击“控制面板”，然后双击“网络安装向导”。）3. 使用命令将FAT转换为NTFS文件分配方式，设置不同用户帐号的文件使用权限。4. 学习安全和使用防病毒软件。5. 学习使用瑞星等计算机个人防火墙软件，保障计算机安全。三、实验要求：1. 注意防火墙软件配置对实验结果的影响，必要时要关闭防火墙服务2. 以组为单位，分工协作，正确配置Windows安全策略，独立解决实验中遇到的问题，对实验结果进行准确记录。四、相关知识：1认识基本WINDOWXP系统进程 基本的系统进程1. System Idle Process 这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间(表示系统空闲程度) 2. smss.exe 会话管理子系统，负责启动用户会话 3. csrss.exe 子系统服务器进程 4. winlogon.exe 管理用户登录 5. services.exe 包含很多系统服务 6. lsass.exe 本地安全身份验证服务器 7. svchost.exe 包含很多系统服务 8. Spoolsv.exe 将文件加载到内存中以便迟后打印。(系统服务) 9. explorer.exe 资源管理器 10. internat.exe 托盘区的拼音图标 2Winxp密码策略 为防止对网络资源进行未授权访问的关键是使用安全密码。 普通密码与安全密码之间的区别在于安全密码难于被猜测和破解。 安全密码可以使用所有可用字符类型的组合，包括小写字母、大写字母、数字及符号等，使得密码难于破解。 3共享文件目录的安全管理应考虑的安全性问题 （1）只有Administrator组、ServerOperation组和Power Users组可以设置和删除共享目录，并且可以设置共享目录的访问权限。 （2）远程访问共享目录中的目录和文件，必须能够同时满足共享的权限设置和文件目录自身的权限设置。 （3）尽量减少共享目录的数量并减少共享目录的权限。（4）由于共享名可以被网络中的授权或非授权用户看到，因此，共享名不应该包含用户希望保护的信息。（5）尽量避免共享Windows系统的根目录。（6）Windows系统服务器的Netlogon目录对于本机（域）的安全策略至关重要，它的共享访问控制和其下子目录的访问控制应该严格管理。（7）通过在共享名后加$符号，可以建立隐藏的共享名，在网络邻居中无法看到该共享。（8）应检查和浏览系统的所有共享和共享的权限，避免可能的安全漏洞。4Windowsxp系统共享设置设置带身份验证的共享方式（1）取消简单共享方式如下图所示：（2）取消简单共享的另一种方法在本地安全策略的安全选项中设置网络访问方式为经典模式。改为经典模式5Windows网络安全管理（1）WindowsXP自带的防火墙软件 Windows防火墙是在WindowsXP操作系统安装SP2之后默认安装启动的。 Windows防火墙能帮助阻止计算机病毒和蠕虫进入用户的计算机，可以准许阻止或取消阻止某些连接请求，可以创建安全日志用作故障诊断工具。 但该防火墙不能检测或禁用计算机病毒和蠕虫（如果计算机已经感染），也不能阻止用户打开带有危险附件的电子邮件，不能阻止垃圾邮件或主动提供的电子邮件出现在收件箱中。 （2）设置/关闭不必要的服务/端口 可以通过“计算机管理”“管理”“服务和应用程序” 关闭不需要且有安全隐患的服务。实验二、局域网流量捕获软件Ethereal使用 一、实验目的：了解以太网工作原理，了解网卡的工作模式，理解网络嗅探SNIF的原理，学习使用SNIF软件Ethereal进行局域网流量捕获，深入理解TCP/IP协议的工作原理和过程。二、实验内容和步骤：1. 1. 打开“本地连接”，观察收到和发出的包的数量和变化情况。2. 2. 使用windows网络查看器，观察网络流量变化情况。3. 3. 安装和使用SNIF软件Ethereal进行局域网流量捕获，并分析捕获的数据，理解捕获的数据包的类型和格式，学习利用捕获结果发现网络内的不良信息和病毒或木马的特征包。三、实验操作要求：1. 1. 注意防火墙软件配置对SNIF结果的影响，必要时要关闭防火墙服务2. 2. 正确配置SNIF软件，独立解决实验中遇到的问题，对实验结果进行准确记录。3. 3. 以组为单位，分工协作，捕获并分析PING 程序的ICMP数据包及访问简单网页的HTTP数据包，分析其格式和TCP连接过程。四、基础知识（1）网络嗅探原理网络嗅探：以太网的数据传输是基于“共享”原理的：所有的同一本地网范围内的计算机共同接收到相同的数据包。这意味着计算机直接的通讯都是透明可见的。正是因为这样的原因，以太网卡都构造了硬件的“过滤器”来忽略掉一切和自己无关的网络信息（事实上是忽略掉了与自身MAC地址不符合的信息）。而网络嗅探程序利用了这个特点，它主动的关闭了过滤器，也就是设置了网卡“混杂模式”，此时，嗅探程序就能够接收到整个以太网内的网络数据信息，并加以分析。通过对得到的数据包进行一定的分析，网络嗅探程序可能得到许多有价值的信息，包括机密数据，账户密码等，得到有用信息的难易程度，取决于许多因素，例如数据包的类型，加密程度等。 Ethereal 是免费的网络协议检测程序，可以用来监视所有在网络上被传送的包，并分析其内容的，支持Unix，Windows。让您经由程序抓取运行的网站的相关资讯，包括每一封包流向及其内容、资讯可依操作系统语系看出,方便查看、监控TCP session动态等等。它通常被用来检查网络工作情况，或是用来发现网络程序的bugs。目前ethereal提供了对TCP、UDP、SMB、telnet和ftp等常用协议的支持。它在很多情况下可以代替价格昂贵的sniffer。 （2）Ethereal抓包过程1）双击启动桌面上ethereal图标，激活ethereal工具。2）在主界面中，单击Filter按钮，打开过滤器的设置界面，可以根据需要选取或直接输入过滤命令，并支持and/or的功能连接。这里输入“tcp and ip.addr=.”单击ok按钮配置结束。3）单击菜单“capture|interface查看可以进行监听的端口。4）单击上图中需要监听接口的Prepare，可以进行监听接口的选择和设定，如图：（单击Start按钮即可在Interface栏选定的接口上进行嗅探、监听。）然后单击Cancel回到Interface界面。5）在Interface界面中单击需要监听接口的Capture按钮即可进入网络嗅探状态。如图：6）当有需要的数据包出现或监听一段时间后，单击stop按钮，结束监听并自动进入协议分析界面。实验三、防火墙软件的配置和使用一、实验目的： 了解计算机防火墙软件的原理，学习瑞星、安全卫士等个人防火墙软件的安装和使用方法，学习卡巴斯基反病毒及防火墙软件的使用。二、实验内容和步骤：1. 1. 下载并安装瑞星、安全卫士等个人防火墙软件2. 2. 下载并安装卡巴斯基软件，学习使用防病毒软件3. 3. 学习相关防火墙软件的配置方法三、实验操作要求：1. 1. 注意防火墙软件之间可能的冲突，一次安装和配置一个软件。2. 2. 正确配置防火墙软件，独立解决实验中遇到的问题，对实验结果进行准确记录。3. 3. 注意相关软件的升级 。四、相关知识点：（1）计算机病毒的检测和清理通常，计算机病毒的检测方法有两种：1. 手工检测手工检测，是指通过一些工具软件(如DEBUG. COM、PCTOOLS. EXE、NU. COM、SYSINFO. EXE等)提供的功能进行病毒的检测。这种方法比较复杂，需要检测者熟悉机器指令和操作系统，因而无法普及。它的基本过程是利用一些工具软件，对易遭病毒攻击和修改的内存及磁盘的有关部分进行检查，通过和正常情况下的状态进行对比分析，来判断是否被病毒感染。这种方法检测病毒费时费力，但可以剖析新病毒，检测、识别未知病毒，还可以检测一些自动检测工具不认识的新病毒。2. 自动检测自动检测，是指通过一些诊断软件来判读一个系统或一个软盘是否有毒的方法。自动检测则比较简单，一般用户都可以进行，但需要较好的诊断软件。这种方法可方便地检测大量的病毒，但是，自动检测工具只能识别已知病毒，而且自动检测工具的发展总是滞后于病毒的发展，所以检测工具对未知病毒很难识别。（2）学习使用相关防火墙软件和杀毒软件卡巴斯基病毒木马查杀软件实验四、网络黑客攻击技术模拟实验一、实验目的： 使用黑客工具模拟网络黑客攻击手段，理解黑客攻击原理，掌握防攻击策略和技术。二、实验内容和步骤：1. 1. 使用简单局域网扫描工具软件对局域网内的活动主机进行IP扫描。2. 2. 下载并使用黑客相关工具如冰河木马对指定主机进行扫描和攻击。3. 3. 在指定主机上使用SNIF软件Ethereal对攻击数据包进行分析。4. 4. 在目标主机上启动防火墙软件重复攻击工程，测试防火墙软件的防攻击能力。三、实验要求：1. 1. 注意不要下载网络蠕虫工具，否则会导致网络瘫痪。2. 2. 以组为单位，分工协作，正确操作和配置各种软件参数，独立解决配置过程中遇到的问题，对实验结果进行准确记录。四、相关知识：（一）常见的黑客攻击方法与防范黑客攻击方法大致有以下几种：1. 口令攻击当前，无论是计算机用户，还是银行的户头，都是由口令来维护它的安全，通过口令来验证用户的身份。发生在Internet上的入侵，许多都是因为系统没有口令，或者用户使用了一个容易猜测的口令，或者口令被破译。对付口令攻击的有效手段是加强口令管理，选取特殊的不容易猜测的口令，口令长度不要少于8个字符。2. 拒绝服务攻击拒绝服务攻击，是指占据了大量的系统资源，没有剩余的资源给其他用户，系统不能为其他用户提供正常的服务。拒绝服务攻击降低资源的可用性，这些资源可以是处理器、磁盘空间、CPU使用的时间、打印机、调制解调器，甚至是系统管理员的时间。攻击的结果是减低或失去服务。拒绝服务攻击有两种类型，第一种类型试图破坏或者毁坏资源，使得无人可以使用这个资源。例如，删除UNIX系统的某个服务，这样也就不能为合法的用户提供正常服务；第二种类型是过载一些系统服务或者消耗一些资源，以此来阻止其他用户使用这些服务，一个最简单的例子是，填满一个磁盘分区，让用户和系统程序无法再生成新的文件。对拒绝服务攻击，目前还没有好的解决办法。限制使用系统资源，可以部分防止拒绝服务的攻击。管理员还可以使用网络监视工具来发现这种类型的攻击，甚至发现攻击的来源。这样可以通过网络管理软件设置网络设备丢弃这种类型的数据包。3. 网络监听网络监听工具是黑客们常用的一类工具。使用这类工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。网络监听可以在网上的任何一个位置，如局域网中的一台主机、网关上，路由设备或交换设备上，或远程网的调制解调器之间等。黑客们用得最多的是通过监听截获用户的口令。当前，网上的数据绝大多数都是以明文的形式传输，而且口令通常都很短，容易辨认。当口令被截获后，则可以非常容易地登录另一台主机。对付网络监听的最有效的办法是采取加密手段。4. 电子邮件攻击电子邮件系统面临着巨大的安全风险，它不但要遭受前面所述的许多攻击，如恶意入侵者破坏系统文件，或者对端口25（缺省SMTP口）进行SYN-Flood攻击，而且还容易成为某些专门面向邮件攻击的目标。这些攻击有：（1)窃取/篡改数据:通过监听数据包或者截取正在传输的信息，攻击者能够读取甚至修改数据。（2)伪造邮件：因为SMTP本身对发方黑客伪造电子邮件，使它们看起来似乎发自某人某地。（3)拒绝服务(DenialofServiceAttack)：黑客可以让你的系统或者网络充斥邮件信息（即邮件炸弹攻击）而瘫痪。这些邮件信息塞满队列，占用宝贵的CPU资源和网络带宽，甚至让邮件服务器完全瘫痪。（4)计算机病毒：现代电子邮件可以使得传送文件附件更加容易。如果用户毫不提防地去执行文件附件，计算机病毒就会感染他们的系统。(二)木马的攻击与防范木马是一种可以驻留在对方系统中的一种程序。木马一般由两部分组成：服务器端和客户端。驻留在对方服务器的称之为木马的服务器端，远程的可以连到木马服务器的程序称之为客户端。木马的功能是通过客户端可以操纵服务器，进而操纵对方的主机。木马程序在表面上看上去没有任何的损害，实际上隐藏着可以控制用户整个计算机系统、打开后门等危害系统安全的功能。实验五、系统安全扫描软件操作使用实验一、实验目的：了解windows安全漏洞，使用XSCAN、IP SCANER等工具软件对目标主机进行扫描，发现windows安全漏洞。二、实验内容和步骤：1. 1. 使用IP SCANER工具软件对局域网内的活动主