《信息保障与安全》实验指导书(二).doc

信息保障与安全课程实验指导书实验六、用Win2000构建DHCP服务器实验七、DI-1750配置静态路由实验八、DI-1750配置RIP路由协议实验九、Mac地址表与地址端口绑定实验十、使用Sniffer工具嗅探网络信息实验十一、网络层协议配置实验十二、Socket支持下网上点对点通信的实现实验七 DI-1750配置静态路由实验八 DI-1750配置RIP路由协议实验九 Mac地址表与地址端口绑定一、实验目的及要求掌握交换机中Mac地址表的查看方法，了解Mac地址表中备表项的意义；了解MAC地址的学习和老化过程；二、实验环境以太网交换机一台、一台PC、同异步Modem两个和PSTN网络电话接口两个专用配置电缆一根，网线一根。三、实验步骤1、通过Console口搭建配置环境 步骤同实验八。2、组网图3、查看Mac地址表在这个例子中，PCI连在交换机的E01接口上。我们可以用如下命令查看主机的MAC地址：Quidwaydisplay mac-addressMAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)0003-47b7-c378 N/A Learned Ethernet0/1 225表格中MAC ADDR列表示e01接口所连接的以太网中的主机的MAC地址，VLAN ID列指出这个端口所在的VLAN。STATE列指出这个MAC地址表项的属性：Learned表示动态学习的，Aging Time是该表项的老化时问，表示这个表项还会被保存多长时间(以秒为单位)。在S3026交换机中正是由于Mac地址表的存在，才使得交换机可以根据数据包的Mac地址查出端口号，来实现基于二层的快速转发。当一台PC被连接到交换机的端口，交换机会从该端口动态学习到PC的Mac地址，并将其添加到Mac地址表中。 对于动态学习到的Mac地址，有一个老化多长时间Aging Time的概念，来表示这个表项还会被保存多长时间。系统默认的老化时间是300秒。我们可以通过下列命令来查看Mac地址的老化时间： Quidwaydisplay mac-address aging-time mac-address aging-time: 300s 同时我们还可以通过mac-address timer aging令来修改系统的老化时间。默认情况下，学习到的地址表项如果在老化时间结束后没有得到更新，这个表项会被删除。当我们断开PC与交换机的物理连接时，这个动态表项会被立即删除(不管老化时间是否已经到了)。 Quidwaydisplay mac-address MAC ADDR VLAN ID STATE PORT INDEX AGINGTIME(s) 0003-47b7-c378 N/A LearnedEthernetO/1 50 - 1 mac address(es) found - 拔掉网线,可以看到下面的信息；Quidway %4/2/2000 1:51:37-L21NF-5-S1-PORT LINK STATUS CH ANGE: Ethernet0/l: change status to DOWN Quidwaydisplay mac-address Not found any Mac address! 4、MAC地址表的维护和管理S3026交换机除了可以动态从端口学习到ac地址之外，还可以通过一些命令来手动添加或删除静态的表项，来实现对Mac地址表的维护和控制。在S3026交换机中，对于同一个MAC地址只能有一个表项，因此在我们配置静态表项之前，必须把相应的动态表项给释放掉，然后再进行如下配置：Quidwaymac-address static 0003-47b7-c378 inter face ethernet0/2Quidwaydisplay mac-address MAC ADDR VLAN IDSTATE PORT INDEX AGING TIME(s)0003-47b7-c378 N/A Config static EthernetO/2 NOAGED - 1 macaddress(es) found -从上面的Mac地址表中我们可以看出，STATE字段是Config static，表示是手动添加的静态表项；AGING TIME(s)为NOAGED，表示没有老化时间。只要交换机没有重起丢失配置，该表项就会一直存在。下面我们可以试着用“undo”命令删除到我们配置静态表项，配置如下：Quidwayundo mac-address static 0003-47b7-c378Quidwaydisplay mac-addressNot found any Mac address!除了可以配置静态表项之外，我们还可以手动配置动态的表项，配置命令如下：Quidwaymac-address dynamic 0003-47b7-c378 interface ethernet0/2Quidwaydisplay mac-addressMAC ADDR VLAN IDSTATE PORT INDEX AGING TIME(s) 0003-47b7-c378 N/AConfig dynamic Ethernet0/2 45 - 1 mac address(es) found - 请注意这里的STATE是Config dynamic表示是手动添加的动态表项，手动添加的动态表项和自动学习到的自动表项一样，都有老化时间AGINGTIME。同样我们也可以用“undo”命令来删除动态表项，配置如下：Quidwayundo mac-address dynamic 0003-47b7-c378Quidwaydisplay mac-address Not found any Mac address! 在交换机的接口配置视图下，我们还可以用“mac-addressmax-mac-count”命令来配置端口可以学习的最大MAC地址数，例如：Quidway-Ethernet0/2mac-address max-mac-count 600缺省情况下，交换机对于端口最多可以学习到的MAC地址数目没有限制。(最大值4096)。5、地址端口绑定对于交换机Mac地址的管理，其中一个很重要的功能是地址端口绑定。地址和端口的绑定是指：交换机的一个端口只能连接某个固定的主机，而且这个主机只能连接到这个端口。在一些简单接入环境中，地址绑定功能可以防止用户用接一个HUB或一个交换机在分配给他的一个网口上的方法，来实现一个网口多人上网的目的。在S3026交换机上，我们有两种方法可以实现地址端口绑定。下面分别进行介绍： 在前面的实验中，我们提到过，在S3026交换机中，对于同一个MAC地址只能有一个表项。而静态配置的MAC地址表项优先于动态学习的MAC地址表项。所以在本实验中，为了把PCI和端口EO2捆绑起来，首先我们可以配置一个静态的MAC地址表项规定PCI的MAC地址和E02对应，这样即使您将PCI接到其它端口，由于静态配置的MAC地址表项优先于动态学习的MAC地址表项、同一个MAC地址只能有一个表项的原则，PCI的MAC地址不能被其它端口学习形成新的表项，就是说PCI不能连在其它端口上。下面我们可以来验证一下：首先配置静态表项如下：Quidwaymac-address static 0003-47b7-c378 interface ethernet0/2Quidwaydisplay mac-addressMAC ADDR VLAN IDSTATE PORT INDEX AGING TIME(s)0003-47b7-c378 N/AConfig static Ethernet0/2NOAGED- 1 mac address(es) found - 然后在交换机上接PC2，IP地址为9（PCI的IP地址为7)，然后从PC2上ping PCI，看是否能够ping通：C:Documents and SettingsAdministratorping 7Pinging 7 with 32 bytes of data:Reply from 7: bytes=32 time10ms TTL=128Reply from 7: bytes=32 time10ms TTL=128Reply from 7: bytes=32 time10ms TTL=128Reply from 7: bytes=32 timeping 7Pinging 7 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Ping statistics for 7: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms这时PC1与PC2无法通信，由于PC1的MAC地址被绑定在e0/2上，交换机不再学习PC1 的动态地址。 Quidway-Vlan-interf ace1display mac-address MAC ADDR VLAN ID STATE PORTINDEX AGING TIME(s) 0003-47b7-c378 N/A Config static Ethernet0/2 NOAGED- 1 mac address(es) found - 到这一步，我们可以看到PCI不能连在e02以外的端口上。这时eO2端口还有可能学习到其它的Mac地址，也就是说e0/2端口还可以连接其他的主机。为了让EO2只能连Pc1，我们只需在EO/2没有学习到其他MAC地址的时候，禁止这个端口进行地址学习功能或者将其能学习到的地址数设置为0即可。实验十 使用Sniffer工具嗅探网络信息一、实验目的通过使用Sniffer Pro软件掌握Sniffer工具的使用方法，实现捕捉FTP、HTTP等协议的数据包，以理解TCP/IP协议中多种协议的数据结构、会话连接建立和终止的过程、TCP序列号、应答序号的变化规律。并且，通过实验了解FTP、HTTP等协议明文传输的特性，以建立安全意识，防止FTP、HTTP等协议由于传输明文密码造成的泄密。通过练习使用SuperScan网络端口扫描器，可以了解目标主机开放的端口和服务程序，从而获取系统的有用信息，发现网络系统的安全漏洞。二、实验原理Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障。Sniffer主要用于网络管理和网络维护，系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题，包括计算机之间的异常通信、不同网络协议的通信流量、每个数据包的源地址和目的地址等，它将提供非常详细的信息。通过每个网络接口都有一个互不相同的硬件地址（MAC地址），同时，每个网段有一个在此网段中广播数据包的广播地址（代表所有的接口地址）。一般情况下，一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，并由操作系统进一步进行处理，同时丢弃不是发给自己的数据帧。通过Sniffer工具，可以将网络接口设置为“混杂”（Promiscuous）模式。在这种模式下，网络接口就处于一个对网络进行“监听”的状态，它可以监听此网络中传输的所有数据帧，而不管数据帧的目标地址是广播地址还是自己或其它网络接口的地址了，它将对遭遇的每一个数据帧产生硬件中断，交由操作系统对这个帧进行处理，比如截获这个数据帖，进而实现实时分析数据帧中包含的内容。当然，如果一个数据帧没有发送到目标主机的网络接口，则目标主机将无法监听到该帧，所以Sniffer所能监听到的信息将仅限于在同一个物理网络内传送的数据帧，就是说监听的目标中间不能有路由（交换）或其它屏蔽广播包的设备。因此，当Sniffer工作在由集线器构建的广播型局域网时，它可以监听到此物理网络内所有传送的数据，而对于由交换机和路由器构建的网络中，由于这些网络设备只根据目标地址分发数据帧，所以在这种网络中，Sniffer工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。Sniffer工作在OSI模型中的第2层，它一般在已经进入对方系统的情况下使用。实验中要注意，虽然Sniffer能得到局域网中传送的大量数据，但是不加选择地接收所有数据包，并且进行长时间的监听，那么你需要分析的数据量将是非常巨大的，并且会浪费大量硬盘空间。对于Sniffer工具的防范可以从以下几个方面进行，首先，如果通过网管工具发现在局域网内存在长时间占用较大带宽的计算机，这台计算机可能在进行嗅探；其次，Sniffer的记录文件增长很快，通过分析文件系统大小的变换情况，可以找到这个文件；最后，如果计算机的网络接口和处于混杂模式下（在Unix系统下，可通过IPconfig a命令查看网络接口状态），则它可能运行了Sniffer。另外，还可以利用Antisniff工具来检测是否有被监听。三、实验环境两台安装Windows 2000/XP的PC机，在其中一台上安装Sniffer Pro软件，将两台PC机通过HUB相连，组成一个局域网。四、实验内容和步聚1、Sniffer Pro软件简介Sniffer软件是NAI公司推出的功能强大的协议分析软件，可用来截获网络中传输的FTP、HTTP、Telnet等数据包，并进行分析。2、软件主界面简介软件的主界面如图10-1所示。图10-1 Sniffer Pro主界面3、网络监控模式（1）MoniterHostname依次单击MoniterHostname，打开如图10-2所示的窗口，该窗口中不同颜色的区块代表了同一网段内与你的主机相连接的通信量的多少，右侧显示了不同颜色所代表的IP地址。单击左下角的MAC或IPX则显示与之相应的通信量。图10-2 与主机相连的通信量（2）Moniter-Matrix依次单击Moniter-Matrix，打开如图10.3所示的窗口，窗口中的蓝色圆中的各点连线表明了当前处于活跃状态的点对点连接，也可通过将鼠标放在IP地址上点右键show select nodes查看特定的点对多点的网络连接。图10-3 IP地址对应的Matrix（3）monitor-protocol distribution依次单击monitor-protocol distribution，打开如图10-4所示的IP协议分布状况图。该图中的不同颜色的区块代表不同的网络协议。图10-4 协议分布状况图（4）monitor-dashboard依次单击monitor-dashboard，打开如图10-5所示的窗口，该窗口中显示了各项网络性能指标包括利用率、传输速度、错误率。图2-5 网络性能指标统计图（5）monitor-Globle Statistics依次单击monitor-Globle Statistics，打开如图10-6所示的窗口，在该窗口中可以查看网络上传输包的大小比例分配情况。图10-6 网络传输包大小比例分配情况（6）monitor-application response time依次单击monitor-application response time，打开如图10-7所示的窗口，该窗口显示了局域网内的通信其响应速度列表，并将本地网段的机器名以NETBIOS名的形式解析出来。图10-8 application response time4、捕获FTP数据包并进行分析（1）假设A主机监视B主机的活动，首先A主机要知道B主机的IP地址。（2）单击菜单中的Capture-Define Filter-Advanced，选中IPTCPFTP，如图10-9所示，然后单击OK。图10-9 过滤器设置只FTP数据包（3）选中Monitor菜单下的Matrix，打开如图2-3所示的窗口，在该窗口中选中B主机的IP地址，并右击之，在弹出的快捷菜单中选择“Capture”，这样就开始捕捉指定IP地址主机的有关FTP协议数据包了。（4）开始捕捉后，单击工具栏中的Capture Panel按钮，打开如图10-10所示的窗口，该窗口中将显示捕捉到的Packet数量。图10-10 Capture Panel窗口（5）B主机开始用用户名与密码登陆一个FTP服务器，并打开某个目录。（6）此时，从Capture Panel中看到捕捉到一定数量的数据包后，单击Stop and Display按钮，停止抓包。（7）停止抓包后，单击窗口左下角的Decode选项，窗口中会显示所捕捉的数据，并分析捕获的数据包，如图10-11所示。图10-11 Decode窗口从捕获的包中，我们可以发现大量有用的信息，下面详细说明如下：（1）在捕获报文窗口即最上方的子窗口中，可以看出数据包1是TCP连接，D21，S2036，Dest Address5，表示目的端口是21，主机端口是2036，说明连接的FTP服务器地址是30，端口为21。（2）数据包序号为1、2、3的三个数据包显示了TCP连接过程中的3次握手过程。（3）第5个数据包显示了登录FTP所使用的用户名，第7个数据包显示了与该用户名对应的口令。（4）第26个数据包显示了该用户访问过ftptest文件夹。（5）还可以在中间的子窗口中分析TCP包头结构，其中每一字段都与图10-13所示的TCP包头结构相一致。在最下面的子窗口中显示了与在最上面的子窗口中选中的数据包所对应的十六进制内容。图10-12 Decode窗口图10-13 TCP包头上面的分析正说明了FTP中的数据是以明文形式传输的，因此在捕获的数据包中可以分析到被监听主机的任何FTP行为。5、捕获HTTP数据包并分析（1）在A主机上，与捕获FTP数据包的操作过程相同，不同的是在图10-9所示的窗口中，应选中HTTP。（2）在B主机上，登陆一个Web服务器，如，并输入自己的邮箱地址和密码。（3）停止抓包后，同样单击左下角的Decode选项，并分析捕获的数据包。（4）可以看出，该过程比FTP数据包多得多，在Summary中找到Post类型的数据包，然后在最下方的子窗口中通常可以找到感兴趣的消息，比如访问了什么网站，使用过的用户名和密码等，如图10-14所示。图10-14 Decode界面6、捕获HTTP数据包的改进方法从前面捕获HTTP数据包的结果可以看出，捕获的数据包是海量的，能不能将那些不感兴趣的数据包过滤掉呢？当然可以，通过设计适当的过滤规则可将捕获的数据包大大减少，从而减少分析数据的工作量，从而尽快得到感兴趣的信息。在前面的基础上，设计过滤规则的操作过程如下：（1）依次单击“Capture”“Define Filter”，然后单击“Data Pattern”选项卡，打开如图10-15所示的窗口， 图10-15 设计Data Pattern（3）单击“Add pattern”按钮，打开如图10-16所示的窗口，并选择图中选中的“TCP: Flags”选项，然后单击“Set Data”按钮并单击OK按钮，回到图10-15所示的窗口，单击图中的“AND”，使得按钮“Add Pattern”可用，如图10-17所示。图10-16 添加Data Pattern图10-17 设置Data Pattern再单击图10-17所示窗口的中“Add Pattern”，同样的方法，添加“TCP: Destination Port”选项。其结果如图10-18所示，要注意图中新增的两项是逻辑与的关系。最后单击“确定”按钮即可。图10-18 再次添加Data Pattern的结果（4）按前面捕获HTTP数据包的方法再次捕获HTTP数据包，其结果如图10-19所示，从图中可以看出，经过滤后捕获的数据包（112个数据包）相当于之前（955个数据包）的九分之一左右。图10-19 再次捕获的数据包7、课外任务（1）对于FTP数据包，也可以进行类似的过滤设置（2）捕获Telnet数据包并分析获取用户账号与密码（3）在一台主机B上安装防火墙，然后再进行嗅探，看是否还能成功地接收信息，如果不能，分析其原因并详细写出来。可参考/article/special/sniffer/20070629/646.html8、课外实验（1）熟悉SuperScan 的使用，扫描网络各主机开放的端与服务。（2）熟悉并使用流光Fluxay，利用它扫描主机漏洞（3）熟悉Nessus扫描（Linux环境，自选）（4）熟悉并使用Nmap（自选）（5）熟悉并使用SSS，并利用它进行安全漏洞扫描（自选）实验十一 网络层协议配置一、实验目的及要求掌握NAT配置；掌握DHCP配置；二、实验环境路由器一台、一台PC、同异步Modem两个和PSTN网络电话接口两个专用配置电缆一根，网线一根。三、实验步骤1、通过Console口搭建配置环境同实验十五。2、配置NAT组网图如下：配置如下：Routeracl 2000 match-order autoRouter-acl2000 rule normal permit source 55Router-acl2000 rule deny ip source any /配置允许进行NAT转换的内网地址段Router interface Ethernet0Router-Ethernet0 ip address Router interface Ethernet1Router-Ethernet1 ip address Router-Ethernet1 nat outbound 2000 interface 在出接口上进行NAT转换Router ip route-static preference 60Router return用计算机A ping下连接在另一台路由器上的计算机B，查看显示信息。路由器A、B通过串口连接。3、配置DHCPServerDHCP 的主要用途是:通过DHCP服务器的协助来控管各个客户机（执行中的用户端）上不可缺少的网络配置参数,包括DNS（Domain Name Service 域名服务）,WINS（Windows Internet Name Service Windows互联网名字服务）等。 组网图如下：1）配置路由器Routerdhcp enableRouterdhcp server ip-pool 1Router-dhcp1network mask Router-dhcp1gateway-list Router-dhcp1expired day 24Router-dhcp1domain-name HRouter-dhcp1dns-list Router-dhcp1nbns-list Routerinterface Ethernet0Router-ethernet0ip address 2）配置计算机 将TCP/IP属性设置为自动获取IP地址，在cmd提示符下输入ipconfig /renew获取IP地址，使用ipconfig /all查看结果，对照1）配置路由器的步骤，思考各配置命令的含义。实验十二 Soc