工程网络安全实验实验报告

学号2013成果试验报告网络平安试验姓名：班级：20132111指导老师：赵国冬试验时间：2016.06.25-2016.06.26哈尔滨工程高校2016年06月目录试验一、网络分析器应用试验3一、试验目的3二、试验仪器与器材3三、试验原理3四、试验过程与测试数据4五、试验分析20六、试验体会21试验二、剖析远程把握程序22一、试验目的22二、试验仪器与器材22三、试验原理22四、试验过程与测试数据23五、试验分析34六、试验体会35试验三、SSL、VPN应用及防护墙技术36一、试验目的36二、试验仪器与器材36三、试验原理36四、试验过程与测试数据37五、试验分析42六、试验体会43试验四、入侵检测系统分析与应用44一、试验目的44二、试验仪器与器材44三、试验原理44四、试验过程与测试数据45五、试验分析54六、试验体会54试验五、虚拟蜜罐分析与实践55一、试验目的55二、试验仪器与器材55三、试验原理55四、试验过程与测试数据55五、试验分析61六、试验体会62综合成果63试验一、网络分析器应用试验一、试验目的通过本试验，学会在Windows环境下安装Sniffer；能够运用Sniffer捕获报文；娴熟把握Sniffer的各项网络监视模块的使用；娴熟运用网络监视功能，撰写网络动态报告；理解常用Sniffer工具的配置方法，明确多数相关协议的明文传输问题；理解TCP/IP主要协议册报头结构，把握TCP/IP网络的平安风险；把握利用Sniffer软件捕获和分析网络协议的具体方法。二、试验仪器与器材SnifferPro软件系统1套PC机（winxp/win7)1台三、试验原理SnifferPro软件是NAI公司推出的功能强大的协议分析软件。利用SnifferPro网络分析器的强大功能和特征，解决网络问题。本试验使用的软件版本为SnifferPro_4_70_530。SnifferPro软件的主要作用可以体现在以下方面：1．Sniffer可以评估业务运行状态，如各种应用的响应时间，一个操作需要的时间，应用带宽的消耗，应用的行为特征，应用性能的瓶颈等；2．Sniffer能够评估网络的性能，如各链路的使用率，网络性能趋势，消耗最多带宽的具体应用，消耗最多带宽的网络用户；3．Sniffer可以快速定位故障；4．Sniffer可以排解潜在的威逼，如病毒、木马、扫描等，并且发觉攻击的来源，为把握供应依据，对于类似蠕虫病毒一样对网络影响大的病毒有效；5.即时监控工具，sniffer通过发觉网络中的行为特征来推断网络是否有特别流量，所以Sniffer可能比防病毒软件更快发觉病毒；5．Sniffer可以做流量的趋势分析，通过长期监控，可以发觉网络流量的进展趋势，为将来网络改造供应建议和依据；6．应用性能猜测，Sniffer能够依据捕获的流量分析一个应用的行为特征；Sniffer包括了四大功能：监控、显示、数据包捕获和专家分析系统，通过该软件，可以长期的对其他计算机的进行的服务类型、所处的网络拓扑等信息进行嗅探，为检测其他计算机系统打下基础。四、试验过程与测试数据(一)程序安装试验SnifferPro是需要安装使用的软件。进行任何在此软件上的试验都需要安装。安装过程如下：1、下载安装软件。在网上下载Sniffer

Pro软件，点击安装，按挨次进行。如下图1.1所示，选择默认安装路径进行安装。图1.1(a)安装地址示意图图1.1(b)用户协议图图1.1(c)用户信息图2、填写注册信息。在注册用户时，必需填写必要的注册信息，为之后软件公司识别用户供应信息，在图1.2中消灭的两个对话框中，依次填写个人信息。图1.2(a)个人信息图1.2(b)个人信息图3、设置网络连接方式。完成注册操作后，需要设置网络连接状况。从上至下依次有三个选项，一般状况下，用户直接选择第一项，即直接连接。当用户的注册信息验证通过后，系统会转入如图1.3所示的界面，用户被告知系统安排的身份识别码，以便用户进行后续的服务和询问。图1.3系统为用户安排识别码示意图4、保存注册信息。用户单击“下一步”按钮时，系统会提示用户保存关键性的注册信息，其生成一个文本格式的文件。该注册文件保存地址可以有用户选定，以便用户查询。从图1.4可以看到，软件注册用户为pssp，邮箱为DSAFAS等关键的注册信息。在软件使用前，安装程序会提示用户安装并设置Java环境，如图1.5所示，重新启动计算机后，可以通过运行SnifferPro来监测网络中的数据包，首先进行设置。图1.4用户信息截图图1.5软件设置截图完成上述试验后，即完成了Sniffer软件整个的安装过程。搭建好试验环境后在之后可以进行其他的试验了。（二）数据包捕获试验1、报文捕获数据包捕获，是截取全部的数据包，并放在磁盘缓冲区中，便于分析。其基本原理是通过软件手段设置网络适配器的工作模式，在该工作模式下，网卡接受包括与自己无关的全部的数据，达到网络监控和网络管理的功能。如图1.6，其上部是报文捕获的各项快捷方式，中部是各项Sniffer可进行的操作的快捷方式，下部是捕获报文缓冲区的大小。从中可以看到缓冲器大小为8MB，当超过该缓冲器大小后，捕获的报文将掩盖原来的旧报文，在截图的时刻之前，已接收21个报文，拒绝0个报文，已经开头捕获报文1秒。图1.6报文捕获统计信息截图在不同的条件下，对缓冲区的要求有所不同，为了适应这些要求，可以对捕获缓冲区进行设置来达到我们的要求。如图1.7，可以设置缓冲区的大小，捕获报文的存放地址、缓冲区满时的动作等。图1.7捕获缓冲区设置图报文分析捕获到的报文存储在缓冲区内。使用者可以显示和分析缓冲区内的当前报文，也可以将报文保存到磁盘，加载和显示之前保存的报文信息，进行离线分析和显示。此外，也可以通过指定文件名前缀和脱机文件数对捕获信息进行存储。为了有效进行网络分析，需要借助于专家分析系统。首先，应依据网络协议环境对专家系统的协议、RIP选项、硬件等进行设置。如图1.8，对专家系统进行配置。在专家系统中，还为用户供应了用于检测路由故障的路由信息协议分析，假如选择RIP分析方式，则需将“对象”设置项中的连接层和应用层定义为“分析”，通过“显示”菜单下的“显示设置”选项，可以自定义要显示的分析内容，如图1.9。,1.8(a)专家选项设置图1.8(b)专家选项设置图图1.8(c)专家系统阈值设置图1.8(d)指定分析协议设置图1.9摘要显示设置图进行对捕获报文的设置之后，点击“捕获报文”开头对报文进行捕获。如图1.10可以看到，Sniffer可以对服务、应用、链接、DLC等进行报文的捕获，捕获到的报文可分为3种——“Diagnoses”、“Symptoms”、“Objects”，其中Diagnoses捕获的是出错特殊严峻的报文、Symptoms捕获的是一般出错的报文，Objects是没有出错的报文。图1.10中，关于站点的报文出错的有2个，正确的报文有45个，共捕获到47个报文。选择其中关于主机名为“F55”的报文进行解码分析。图1.10报文捕获界面双击报文记录，可查看捕获到的报文的具体信息如图1.11。从图中可以看到，名为F55的主机，其DLC地址为BCAEC5978167，IP地址为5，正在运营138号端口上的NetBios服务。图1.11捕获报文具体信息截图解码分析对捕获的报文进行解码分析。单击专家系统下方的【解码】按钮，就可以对具体的记录进行解码分析，如图1.12所示。页面自上而下由三部分组成：捕获的报文、解码后的内容、解码后的二进制编码信息。从图中可以看到，在2016年6月25日18:16:52，名为F55(IP为5)的主机发起了目标地址为7的字节长度为60的ARP恳求。图1.12报文解码分析图统计分析每次进行报文捕获，都可以得到一系列的报文。对其中的报文逐一分析是不现实的。因此，对于各种报文信息，专家系统供应了【矩阵分析】，【主机列表】，【协议统计】以及【会话统计分析】等多种统计分析功能，可以依据MAC地址、IP地址、协议类型等内容进行多种组合分析，如图1.12。图1.12(a)矩阵分析1.12(b)主机列表统计分析图1.12(c)协议统计分析图1.12(d)会话统计分析图从图1.12(b)中可以看到各个主机的相关信息，如IP地址、MAC地址等；从图1.12(c)中可以看到当前使用的协议(IP)的数据包的数量和字节总数；从图1.12(d)中可以看到会话的种类和字节数等信息。捕获条件设置在sniffer环境下，可以通过【定义】的方式来对捕获条件进行设置，获得用户需要的报文协议信息，如图1.13。基本的捕获条件有两种：1．链路层捕获：依据源MAC地址和目的MAC地址设定捕获条件，输入方式为十六进制MAC地址，如：DA98A0BC3DFE。2．IP层捕获：按源IP地址和目的IP设定捕获条件。输入方式为IP地址，如：7。特殊留意的是，假如选择IP层捕获方式则ARP等类型报文信息将被过滤掉。图1.13(a)过滤器操作界面图图1.13(b)捕获条件具体配置界面图图1.13(c)捕获条件定义界面图从图1.13(c)中可以看出，Sniffer支持通过源主机和目的主机来捕获报文进行分析，可以单线监听数据通信。（三）网络监视试验“监视器”菜单中，有以下监视功能：仪表板、主机列表、矩阵、恳求相应时间、历史取样、协议分布、全局统计表、警报日志等。1、仪表板点击快捷操作菜单上的图标，即可弹出仪表板，如图1.14。在仪表板上方，可对监视行为进行具体配置，并对监视内容进行重置。在图中可以看到3个表盘，其中第一个是网络使用率，其次个是网络每秒通过的数量包，第三个是网络每秒的错误率，这三个数据在不同时刻都互有所变化。截图当时的网络使用率为0，网络每秒通过的数量包为92-97个，错误率为0。图1.14网络监视仪表板示意图在仪表板上方，可对监视行为进行具体配置，并对监视内容进行重置Drops表示网络中遗失的数据包数量，如图1.15所示。图1.15网络监视具体信息2、主机列表点击快捷操作菜单上的图标，或选择【监视器】菜单内的【主机列表】选项，界面中显示的是全部在线的本网主机地址以及外网服务器地址信息。可以分别选择MAC地址、IP地址以及IPX地址。通常状况下，由于网络中全部终端的对外数据交换行为，如扫瞄网站、上传下载等，都是各终端与网关在数据链路层中进行的，为了分析链路层的数据交换行为，需要猎取MAC地址的连接状况。通过主机列表，可以直观地看到流量最大的前十位主机地址，如图1.16从图中可以看到主机地址、创建时间、数据报通信量等信息，可以为对主机的分析供应较多的信息。图1.16主机列表图3、矩阵点击快捷操作菜单上的图标，或选择【监视器】菜单内的【矩阵】选项，可以显示全网的全部连接状况，即主机会话状况。处于活动状态的网络连接被标记为绿色，已发生的网络连接被标记为蓝色，线条的粗细与流量的大小成正比。如图1.17(a)为当前主机与物理地址为000BAB2AB6F4的主机的通信状况，二者之间已经发生链接；1.17(b)为当前整个网络的连接示意图。图1.17(a)单机连接矩阵示意图图1.17(b)全网连接矩阵示意图4．恳求响应时间(ART)ART窗口用来显示网络中Web网站的连接状况，可以看到局域网中有哪些计算机正在上网，扫瞄的是哪些网站等如图1.18所示。从图中可以看出源主机正在运行的协议和该写一下的恳求和回复数据包的大小，即该窗口中显示了局域网内的通信及数据传输大小，并且显示了本地计算机与Web网站的IP地址。通过单击左侧工具栏中的图标，以柱形图方式显示网络中计算机的数据传输状况，如图1.18(c)所示，不同挨次图柱代表右侧列表中的相应连接，柱形长短表示传输量的大小。图1.18(a)网络协议链接状况(MAC)图1.18(b)网络协议链接状况(IP)1.18(c)数据传输量柱状图图1.19ART监视功能图图1.19中，恳求响应时间用来显示网络中Web网站的连接状况，可以看到局域网中有哪些计算机正在上网，扫瞄的是哪些网站等。假如一个数据包的目的IP是57，目的端口是138，那么就可以认定7是NetBios的服务器地址，而源IP就是客户地址。利用应用响应时间的监视功能，可以快速获得某一业务的响应时间。5、历史取样收集一段时间内的各种网络流量信息。通过这些信息可以建立网络运行状态基线，设置网络特别的报警阈值。默认状况下，历史采样的缓冲有3600个采样点，每隔15秒进行一次采样，采样15个小时后自动停止。假如想延长采样时间，可以通过修改采样间隔时间或者设置缓冲区属性的方式。具体做法是：单击【属性】按钮，修改采样间隔，并勾选“当缓冲区满时掩盖”的条件。此外，还可以机敏的选择多种采样项目。历史取样用来收集一段时间内的各种网络流量信息。通过这些信息可以建立网络运行状态基线，设置网络特别的报警阈值。在试验进行时，如图1.20，可以看到在其下有诸多选项记录Sniffer之下的操作，便于查找。图1.20历史取样样图6、协议分布分析网络中不同协议的使用状况。通过协议分布功能可以直观的看到当前网络流量中协议分布状况，了解各类网络协议的分布状况以后，可以找到网络中流量最大的主机，这意味该主机对网络的影响也就最大，如图1.21是当前网络协议使用量的饼状图，重中可以清楚的看到当前占用网络通信量最大的协议是IP协议，其次是IP下的ARP协议。图1.20网络协议使用量饼状图图1.21响应时间分布图7、全局统计表全局统计数据能够显示网络的总体活动状况，并确认各类数据包通信负载大小，从而分析网络的总体性能及存在的问题。全局统计表供应了与网络流量相关的各类统计测量方式。粒度分布：依据数据包大小与监测到的通信总量之比，显示每个数据包的发生频率。利用率分布：依据10%为基本度量单位，显示每组空间内网络带宽的分布状况。图1.22主机通信量分布图8、警告日志警报日志用于全面检测和记录网络特别大事，一旦超过用户设置的阈值参数，警报器会在警报日志中记录相应大事。选择“工具”菜单中的“选项”，单击“警报”选项卡，选择“定义强度”，可以修改警报强度，如图1.23所示。从图中可以看到在6月13日，有Minor发送了一个Expert的错误。图1.23警告日志（四）网络协议嗅探（从今处开头，转换了试验机器，IP和MAC地址等发生了变化）为了得到我们所需要的数据包，可以通过过滤器，定义过滤规章，具体做法如下：在主界面选择“捕获”菜单中的“定义过滤器”选项。其中，“地址”选项卡是最常用的过滤手段，包括MAC地址、IP地址和IPX地址的过滤定义。以定义IP地址过滤为例，如图1.24所示。图1.24IP地址过滤设定界面图1.25协议过滤设定界面在“高级”设置栏目内，可以定义数据包大小，缓冲区大小以及文件存放位置等。将定义好的过滤器应用于捕获操作中，启动“捕获”功能，就可以运用各种网络监控功能分析网络数据流量及各种数据包具体状况。（五）FTP协议分析依据实际需要，定义过滤器，并应用该过滤器捕获FTP协议信息。运行数据包捕获功能。为了实现以上功能，需要先对过滤器进行设置，如图1.26。图1.26过滤器设置图图1.27登陆FTP站点在sniffer捕获状态下，进行FTP站点操作。登录FTP站点，位置信息为“”，用户名和密码均为匿名(anonymous)。看到系统登录成功的提示后，用户可以进行自定义操作，对FTP站点和文件进行操作，如图1.27。通过点选【捕获停止】或者【停止并显示】按钮停止sniffer捕获操作，并把捕获的数据包进行解码和显示。通过对报文解析，可以看到sniffer捕获到了用户登录FTP的用户名称和明文密码，对于用户进行的若干FTP站点操作行为，sniffer都能够捕获到相关信息，如图1.28。从图中可以看到IP为54的主机登陆了IP为202.1118.176.254的FTP服务器。图1.28Sniffer捕获FTP登陆信息截图图1.29Sniffer捕获FTP登陆信息解码截图由图1.29可以看到21通过端口54453向地址为54发送了长度为70的FTP恳求报文。（六）Telnet协议分析依据实际需要，定义如图1.30所示的过滤器，并应用该过滤器捕获Telnet协议信息。运行数据包捕获功能。图1.30过滤器设置图在应用Telnet方式登录远程计算机之前，需要开启TELNET服务。假如计算机安装的是WINDOWS7操作系统，则需要单独下载TELNET.exe程序。在登录远程计算机时，需要知道该计算机的用户名和密码，如图1.31，用户名为administer，密码为123456但出于平安性考虑，telnet登录时口令部分不回显。图1.31(a)Telnet登陆图图1.31(b)登陆成功由于telnet登录时口令部分不回显，只能抓取从client到server的报文才能猎取明文口令。所以一般嗅探软件无法直接看到口令。缺省状况下，telnet登录时进入字符输入模式，而非行输入模式，此时基本上是客户端一有击键就马上向服务器发送字符，TCP数据区就一个字节。客户端telnet到服务端时，一次只传送一个字节的数据；由于协议的头长度是肯定的，所以telnet的数据包大小=“DLC(14字节)+IP(20字节)+TCP(20字节)+数据（一个字节）”，共55个字节，因此，可以将PacketSize设为55，以便捕获到用户名和密码，如图1.32所示。图1.32定向捕获设置图图1.33用户名和密码再次重复捕获过程，即可显示用户名和明文密码，如图1.33所示，用户名为“administrator”，口令为“123456”五、试验分析正常状况下，网络只接受与目的地址为自己的数据报，但通过Sniffer程序可以将网络适配卡设置为杂乱模式状态，用以接收传输在网络上的每一个信息包。一般来讲，网络硬件和TCP/IP堆栈不支持接收或者发送与本地计算机无关的数据包，所以，为了绕过标准的TCP/IP堆栈，网卡就必需设置为我们刚开头讲的混杂模式。一般状况下，要激活这种方式，内核必需支持这种伪设备Bpfliter，而且需要root权限来运行这种程序，所以sniffer需要root身份安装，假如只是以本地用户的身份进入了系统，那么不行能嗅探到root的密码，因此不能运行Sniffer。也有基于无线网络、广域网络(DDN,FR)甚至光网络(POS、FiberChannel)的监听技术，这时候略微不同于以太网络上的捕获概念，其中通常会引入TAP这类的硬件设备来进行数据采集。如何捕获HTTP协议下的用户名和密码。定义过滤器捕获http协议信息，运行捕获功能。之后被嗅探主机开启http服务，比如扫瞄网页。保存数据，解码并分析，在工作站向服务器发出的网页恳求命令数据当中就有用户名和密码。分析TCP协议的头结构，以及两台主机之间建立连接的过程。TCP头结构TCP协议头最少20个字节，包括以下的区域：TCP源端口、TCP目的端口、TCP序列号、TCP确认、数据偏移量、保留、把握位、检验和、紧急指针、选项、填充。主机连接过程TCP是因特网中的传输层协议，使用三次握手协议建立连接。当主动方发出SYN连接恳求后，等待对方回答SYN+ACK，并最终对对方的SYN执行ACK确认。这种建立连接的方法可以防止产生错误的连接，TCP使用的流量把握协议是可变大小的滑动窗口协议。TCP三次握手的过程如下：客户端发送SYN（SEQ=x）报文给服务器端，进入SYN_SEND状态。服务器端收到SYN报文，回应一个SYN（SEQ=y）ACK(ACK=x+1）报文，进入SYN_RECV状态。客户端收到服务器端的SYN报文，回应一个ACK(ACK=y+1）报文，进入Established状态。三次握手完成，TCP客户端和服务器端成功地建立连接，可以开头传输数据了六、试验体会此次试验里，我对sniffer软件的应用有了新的了解。在此次试验的过程中，安装完SnifferPro软件后，需要重启计算机，由于之前进入的是第一个系统，第一个系统自带还原卡导致全部操作前功尽弃。在完成SnifferPro软件安装后，刚开头打不开，这是由于电脑所配备的java环境与SnifferPro软件自带的脚本冲突。解决方法可以通过任务管理器将该进程关闭另外，这次试验中，我对各个网络协议进行了复习，更加生疏，也有了新的生疏。对于不同协议下数据包的分析可以依据协议的包的大小进行筛选过滤，更简洁找到想要的包。我们可以看到，网络通信的并不是完全的平安，在使用互联网通信时，我们仍不能忽视各种防护措施的应用，要对重要信息进行额外的加密算法。试验二、剖析远程把握程序一、试验目的1、软件的安装与使用通过本试验，学会在Windows环境下安装pcAnywhere。配置被控端（hosts）通过本试验，学会在Windows环境下安装pcAnywhere被控端。配置主控端（Remotes）通过本试验，学会在Windows环境下安装pcAnywhere主控端。扩展试验利用pcAnywhere软件对远程计算机进行把握。二、试验仪器与器材pcAnywhere软件系统1套、PC（WindowsXP/Windows7）1台三、试验原理远程把握，是指管理人员在异地通过计算机网络连通被把握的计算机，将被控计算机的桌面显示到自己的计算机上，通过本地计算机对远端计算机进行配置、软件安装、文件编辑等工作。这里的远程指的是通过网络把握远端计算机。当操作者使用主控计算机把握被控计算机时，可以启动被控端计算机的应用程序，使用被控端的文件资料，甚至可以利用被控端计算机的外部设备和通信设备来进行工作。远程把握必需通过网络才能进行。位于本地的计算机是操作指令的发出段，成为主控端或客户端；非本地的被控计算机叫做被控端或服务器端。远程把握软件一般可以分为两个部分；一个客户端程序C1ient，一个服务器端程序Server，在使用前需要将客户端程序安装到主控端电脑上，将服务器端程序安装到被控端电脑上。它的把握过程一般是先在主控端上执行客户端程序，像一个一般客户一样向被控端电脑中的服务器端程序发出信号，建立一个特殊的远程服务，然后通过这个远程服务，使用各种远程把握功能发送远程把握命令，把握被控端电脑中的各种应用程序运行，这种远程把握方式称为基于远程服务的远程把握。通过远程把握软件，可以进行很多方面的远程把握，包括猎取目标计算机屏幕图像、窗口及进程列表；记录并提取远端键盘大事(击键序列，即监视远端键盘输入的内容)；打开、关闭目标计算机的任意名目并实现资源共享；提取拨号网络及一般程序的密码；激活、中止远端进程：打开、关闭、移动远端窗口；把握目标计算机鼠标的移动与动作(操作)：扫瞄目标计算机文件名目，任意删除目标计算机的磁盘文件；上传、下载文件，就如操作自己的计算机的文件一样的简洁；远程执行目标计算机的程序：强制关闭Windows、关闭系统(包括电源、重新启动系统；提取、创建、修改、删除目标计算机系统注册表关键字；在远端屏幕上显示消息；启动目标计算机外设进行捕获、播放多媒体／音频文件：把握远端录、放音设备音量以及进行远程版本升级更新等。此类软件可以用在一些网络使用较为简单、需要大量维护、管理工作的环境。四、试验过程与测试数据1、软件的安装与使用打开pcAnywhereV12.5的主安装文件，进入安装界面，如下图所示。在许可协议中选择“我接受许可协议中的条款”，并单击“下一步”按钮。在客户信息中填写“用户名”和“组织”，如下图所示。在“安装位置设置”中选择pcAnywhere的安装磁盘位置，默认路径即可，如图2.1。图2.1(a)安装过程图图2.1(b)安装过程图图2.1(c)安装过程图图2.1(d)安装过程图在“自定义安装”的自定义设置中，作为主机管理员，可以选择典型安装，即主机管理员和主机管理员代理；但作为被控端，需要同时选择这两项，如图2.2，选中SymantecpcAnywhere，意思是在桌面上放置pcAnywhere的快捷方式，单击“下一步”按钮。图2.2(a)自定义设置图图2.2(b)自定义设置图如图2.3，安装pcAnywhere的主要程序，完成pcAnywhere的安装。图2.3(a)安装成功示意图图2.3(a)安装成功示意图打开桌面上的图标SymantecpcAnywhere，如图2.4所示。单击“转到高级视图”选项，界面左侧会有各种选择项，如图2.5所示图2.4界面截图图2.5“高级选项”截图2、配置被控端（hosts）选择界面中的主机后，单击添加功能，进入被控端的连接向导，选择“我想使用电缆调制解调器/DSL/LAN/拨号互联网ISP”单选项，单击“下一步”按钮，如图2.6(a)所示；选择连接模式，选择“等待有人呼叫我”，如图2.6(b)所示。在这种设定下，当被控端呼叫时，把握端将以拨号的方式链接被控端。2.6(a)添加被控端选项2.6(b)连接呼叫选项在验证类型中选择第一个选项则使用Windows现有账户，选择其次个选项则是创建pcAnywhere新的用户和密码，如图2.7所示。在此过程中，需要选择Windows用户。图2.7(a)选择账户图2.7(b)创建用户单击“下一步”按钮，默认创建完成。允许用户再次确认连接选择，并选择是否连接完成后等待来自远程计算机的连接。在创建完成后程序会提示对新主机进行命名，例如，命名为“student”。右击需要配置的连接项目，选择“属性”窗口，更改属性。连接信息：指的是建立连接时所使用的协议。一般默认TCP/IP，可以依据实际需要选择合适的协议，如图2.8，本试验以常见的TCP/IP协议为例，如下图所示。设置：远程把握中，被把握端只有建立平安机制，才能有效地爱护系统不被恶意把握所破坏。图2.8(a)确定连接协议图2.8(b)确定连接协议呼叫者：指的是可以创建连接到本机的用户账号及密码。如图2.9所示。平安：指可以设置本机的平安策略；爱护项目：语序用户输入密码来爱护当前设置的被控端选项，爱护任何人试图查看或更改该被控端的选项时，都将需要输入密码来确认。如图2.10，对平安选项和爱护项目进行了设置。图2.9呼叫者设置图2.10(a)平安选项设置图2.10(b)爱护项目设置3、配置主控端（Remotes）设置好被控端后，另一项格外重要的工作就是配置主控端计算机。在管理窗口中，单击“远程”，通过这个页面可以完成主控端连接项目的设置。单击下面的“添加”按钮，在向导中输入被控端计算机的IP地址，如图2.11所示。单击“下一步”按钮完成把握端的添加，程序提示对名称进行重命名，例如student。图2.11(a)指定被控端计算机示意图图2.11(b)连接成功示意图右击需要配置的连接项目，选择“属性”，弹出配置窗口。对话框中欧诺个有五个选项卡可供设置。连接信息：设置方式和内容与被控端的设置基本相同，如图2.12所示。设置：用于配置远程连接选项。设置如图2.13所示。图2.12连接信息设置图2.13远程把握设置。自动化任务：用于设置使用该连接的自动化任务。平安选项：用于设置主控端在远程把握过程中使用的加密级别，默认是不加密的。爱护项目：功能与被控端的设置相同。如图2.14对其进行设置。图2.14(a)加密设置图2.14(b)爱护项目设置设置完毕后，右击主控端，选择“开头远程把握”，即可自动连接至远程主机的桌面实现平安的桌面远程操作。作为被控端，在主机中双击主机（student）即可，任务栏的右下角会有图标提示。作为主控端，选中远程中的student，单击左侧的启动连接或者双击student，消灭如图2.15所示界面。启动远程把握后pcAnywhere就开头依据设置的要求尝试连接远端的被控计算机。把握界面如下图所示，连接成功后将按要求进入远程操作界面或者文件传输界面，可以在远程操作界面中遥控被控计算机。图2.15远程遥控界面图2.16主机登录示意图图2.17远程把握截图4、扩展试验任务一：从机（被控端）的pcAnywhere基本配置通信双方中，一方为“主控端”（主机），另一方为“被控端”（从机）。启动从机的pcAnywhere，在工具栏单击“被控端”，再右击工作区的“NETWORK，CABLE，DSL”选项，选择“属性”。其中，默认协议设为TCP/IP，不要更改。选择“呼叫者”，在“验证类型”下拉列表中选择pcAnywhere，右击呼叫者列表，选择新建，如图2.18。输入新建用户的登录名和密码，只有拥有爱护项目中的登录名和密码的用户才能呼叫并把握从机。图2.18协议选择截图图2.19爱护项目设置修改被控端的用户登录密码，修改部分系统环境。任务二：主机（主控端）的pcAnywhere基本配置启动从机的pcAnywhere，在工具栏单击“主控端”，再右击工作区的“NETWORK，CABLE，DSL”选项，选择“属性”。其中，默认协议设为TCP/IP，不要更改。选择“设置”，在“把握的网络被控端PC或IP地址（N）：”后输入从机的IP地址并单击“确定”按钮，如图2.20。图2.20主控端的基本配置图任务三：远程把握的实施运行从机的pcAnywhere，选择“被控端”，双击“NETWORK，CABLE，DSL”，表示从机现在处于等待状态，随时接受主机的呼叫，如图2.21。图2.21等待呼叫设置运行主机的pcAnywhere，选择“主控端”，双击“NETWORK，CABLE，DSL”，结果分两种。任务四：在主机上对从机进行操纵单击工具栏中的“改为全屏显示”按钮，可全屏显示从机的桌面而隐蔽主机的“开头”菜单和“任务栏”。如图2.22单击工具栏中的“文件传输”按钮，左边显示的是主机资源，右边显示的是从机资源，利用鼠标的拖放功能科实现文件的双机相互拷贝。图2.22拷贝功能如图2.23，单击工具栏中的“查看修改联机选项”按钮，设置锁定从机键盘，单击工具栏中的“结束远程把握对话”按钮。图2.23结束远程把握五、试验分析远程把握的使用已经越来越被人们需要，让使用者像使用面前的计算机一样操控远程的计算机，使得在任何地方实现对某台计算机的操作成为可能。本试验中用到的是pcAnywhere软件系统，这个软件系统功能强大，有如下功能：远程开机，远程把握桌面，远程复制、粘贴文字，允很多重连，文件管理，查看登录记录。在此次的试验中，由于试验较简洁，基本没有遇见什么问题。六、试验体会本次试验里，我进行了远程把握操作，感受到了远程把握服务的便利快捷，和远程把握技术的强大魅力。在很多人都有了很多的数码产品，但是却不便利随身携带的条件下，运用远成技术可以满足当今社会很多公司和个人的需求。但是在这样的远程把握下，很多平安问题就更要考虑，防止未经允许的远程把握是格外必要的一个问题。通过本次内容把握了对远程桌面连接过程的，远程桌面，主要包括客户端和服务器端，每台windowsxp都同时包括客户端和服务器端，也就是说他既可以当成客户端来连到其他的装了Windowsxp的电脑，并把握他，也可以自己当成服务器端，让别的电脑来把握自己。试验三、SSL、VPN应用及防护墙技术一、试验目的1、通过本试验，把握VPN服务器搭建技术。2、通过本试验，把握VPN服务器搭建技术通过本试验，把握天网防火墙的安装及基本配置；学会利用天网防火墙爱护系统平安。4、通过本试验，把握瑞星防火墙的安装及基本配置；学会利用瑞星防火墙爱护系统平安。5、通过本试验，把握主流防火墙的性能和功能。二、试验仪器与器材PC（WindowsXP/Windows7）1台OpenVPN软件系统1套、PC（WIndowsXP/Windows7）1台天网防火墙个人版软件系统一套、PC（WIndowsXP/Windows7）1台瑞星防火墙个人版软件系统一套、PC（WindowsXP/Windows7）1台天网防火墙个人版软件系统一套、瑞星防火墙个人版软件系统一套、瑞星防火墙个人版软件系统一套、PC（WindowsXP/Windows7）1台三、试验原理所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的爱护屏障.是一种猎取平安性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个平安网关（SecurityGateway），从而爱护内部网免受非法用户的侵入，防火墙主要由服务访问规章、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的全部网络通信和数据包均要经过此防火墙。SSL协议是一种在Internet上保证发送信息平安的通用协议。它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议（如HTTP、Telnet和FTP等）和

TCP/IP协议之间进行数据交换的平安机制，为TCP/IP连接供应数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。SSL也有两个主要缺点：

(1)SSL供应的保密连接存在较大的漏洞:

SSL除了能保证传输过程中的平安之外，不能供应其他任何平安保证，不能让客户明明白白的知道商家接收信用卡支付是已经通过授权的，换句话说，商家、客户和银行之间缺少彼此之间的认证。因此不不法分子很有可能借此漏洞进行一些欺诈行为。即使是一个真实牢靠的网上商家，假如在收到消费者的信用卡号码之后没有实行措施保证它的平安性，那么信用卡号码也会很简洁被一些网络黑客窃取的。

(2)SSL不能供应很好的隐私爱护:

在SSL的交易过程中，消费者需要将全部的信息都传输给商家，消费者的信息包括支付信息和定单信息。在这个过程中商家可以看到消费者的全部信息，包括信用卡卡号信息。而消费者不期望商家看到除定单信息以外的其他隐私信息，同样，消费者也期望银行只看到支付信息，看不到其他信息，比如订购了什么东西等等。所以说在SSL交易过程中客户的隐私得不到很好的保障。VPN（虚拟专用网）：主要应用于虚拟连接网络，它可以确保数据的机密性并且具有肯定的访问把握功能。VPN是一项格外有用的技术，它可以扩展企业的内部网络，允许企业的员工、客户以及合作伙伴利用Internet访问企业网，而成本远远低于传统的专线接入。过去，VPN总是和IPSec联系在一起，由于它是VPN加密信息实际用到的协议。IPSec运行于网络层，IPSec

VPN则多用于连接两个网络或点到点之间的连接。四、试验过程与测试数据1、VPN配置试验首先进入计算机管理找到服务与应用程序，找到RoutingandRemoteaccess选项右击属性。将禁止改为自动，并启动服务，具体如图3.1所示。右击网上邻居，在快捷菜单中找到“网络连接”窗口，会发觉增加了一个传入的连接。具体如图3.2所示。图3.1启动服务图3.3新消灭的一个连接右击“传入的连接”在常规卡中选择直接并行，用户选择Administrator，协议选择包含IPX的协议具体分别如图3.4所示。图3.4配置协议与用户属性双击Internet协议，填写与VPN同一网段的地址。具体如图3.5所示图3.5配置VPN网段打开网络连接，创建下一个连接，始终点击下一步，涉及公司一栏可不填写，具体流程如图3.6图3.6(a)安装过程图3.6(b)安装过程图3.6(c)安装过程点击下一步，输入VPN的IP地址，IP地址为9具体如图3.7所示图3.7输入VPN地址双击VPN服务器，输入正确的密码与账户，即可连接VPN，具体如图3.8所示。图3.8连接VPN2、SSLVPN配置试验首先安装Openvpn-2.1.4软件，路径依据默认路径进行安装。具体安装过程如图3.9所示。图3.9Openvpn-2.1.4安装在本机系统上面安装openvpn软件，直接安装。安装完成后修改easy-rsa文件里面vars.bat.sample配置信息，用写字板打开，修改完之后将其后缀改为.bat,配置信息如下，也可以不修改。（这里不做更改）把openssl.conf.somple改为openssl.conf，在dos环境下分别输入vars与clean-all.bat命令。具体如图3.10所示。图3.10执行命令的界面生成CA，输入build-ca.bat.，build-dh.bat，具体如图3.11所示。图3.11生成CA然后，生成服务器端使用的证书，输入命令为build-key-sever.bat.sever，具体如图3.12所示。图3.12生成服务器端使用的证书然后，输入一些必要的信息，正常的都已经设置好，正常输入即可。完成后输入build-key.batclient指令。具体界面如图3.13所示图3.13注册信息与注册界面完成后，对服务器进行配置，Sever.Ovpn的内容如图3.14所示图3.14Sever.Ovpn的内容将生成的ca.crt.dh1024.pem,sever.crt,sever.key及相关配置文件复制到C:\ProgramFiles\Openvpn\config名目下。具体如图3.15所示。图3.15储存名目对客户端的client.opvpn的配置文件进行修改，然后对Client端配置，在Internet地址中填入Server端IP地址，如图3.16所示，填入授权的用户名和密码，即从前创建的账号和密码。图3.16配置授权用户与密码3、天网防火墙试验首先安装天网防火墙软件，安装名目选择系统默认路径。具体如图3.17所示。图3.17安装名目打开天网防火墙软件，可以对局域网进行设置，具体如图3.18所示，其中本人机器的局域网IP地址为7。图3.18局域网设置此外还可以对应用程序访问网络权限以及IP规章进行设置，具体如图3.19所示。可以通过设置相应权限，可以禁止一些不必要的服务程序或者进程连续运行，削减网络承载负担图3.19应用程序权限与IP规章设置4瑞星防火墙试验首先安装瑞星防火墙，依据默认路径进行安装，具体如图3.20所示。图3.20瑞星防火墙安装安装完成后，可以设置黑名单来禁止某个IP的访问，比如禁止IP为2的用户访问。具体如图3.21所示。图3.21设置黑名单利用瑞星防火墙，可以设置IP规章与联网程序规章，具体如图3.22所示。图3.22IP规章与联网程序规章试验分析本试验中实现了对SSLVPN的配置，包括了基础环境配置，启动系统服务，客户端的相关配置，VPN的使用配置，服务器端配置，客户端连接配置。本次试验里，遇到了一些问题。在VPN的配置中，我导入多个用户的信息，试图使几个用户一起接入，但是遇到连接错误提示，认真阅读试验指导书我发觉不行以同时接入多个用户。再次接入一个用户，发觉接入成功。该试验分为两个部分。一个是学会配置VPN和SSLVPN,并且学会VPN环境的搭建技术。还有一个是安装防火墙，并且用防火墙进行扫描，规章设定等工作。完成了整个试验之后，能很好的了解VPN以及防火墙的作用以及构造，学会了连接VPN以及防火墙的使用。在安装瑞星防火墙之前，必需先卸载掉天网防火墙，否则瑞星防火墙安装不上，两个防火墙相互都不兼容。此外，在试验中dos口令执行方法为：ctrl+R，输入cmd，消灭系统找不到指定的文件的问题是由于系统不存在该文件，需要在路径下新建该文件。六、试验体会以前对SSL和VPN进行过学习，但是对SSLVPN不是格外了解。在这次试验里我了解了SSLVPN的配置方法，增进了对SSLVPN的学问了解，熬炼了自己的动手力量，丰富了课堂上学习到的理论学问。在这次试验里我了解了SSLVPN的配置方法，增进了对SSLVPN的学问了解，熬炼了自己的动手力量，丰富了课堂上学习到的理论学问。随着SSLVPN应用的渐渐加温，越来越多的企业开头接受SSLVP现在很多企业对于SSLVPN的需求格外猛烈，而且将来这种企业网络平安需要还将持续增长。很多国际网络平安厂商正在对SSLVPN这种新型业务形态进行重点投资，取代目前的IPSec系列产品将成为一种趋势。把握了瑞星防火墙的安装以及基本配置，学会了利用瑞星防火墙爱护系统平安。试验四、入侵检测系统分析与应用一、试验目的1、通过本试验，把握安装并运行一个Snort系统的方法；了解入侵检测系统的作用和功能。2、通过本试验，进一步生疏和把握Snort系统，完善入侵检测技能。二、试验仪器与器材Snort软件系统1套、PC（WindowsXP/Windows7）1台三、试验原理入侵检测技术（IDS）被定义对计算机和网络资源恶意使用行进行识别和相应处理系统包括系统外部入侵和内部用户非授权行,保证计算机系统平安而设计与配置种能够准时发觉并报告系统未授权或特别现象技术种用于检测计算机网络违反平安策略行技术。侵检测技术保证计算机系统平安而设计与配置种能够准时发觉并报告系统未授权或特别现象技术种用于检测计算机网络违反平安策略行技术进行入侵检测软件与硬件组合便入侵检测系统。Snort是基于规章检测的入侵检测工具，即针对每一种入侵行为，都提炼出它的特征值，并依据规范写成检测规章，形成一个规章数据库。利用此规章库和捕获的数据包进行比较，来推断是否为入侵。Snort集成了多种告警机制来供应实时告警功能，包括：syslog、用户指定文件、UNIXSocket、通过SMBClient使用WinPopup对Windows客户端告警。Snort的插件机制使得它具有很好的扩展性和可移植性，用户可以依据自己的需要准时在短时间内调整检测策略，对于新的攻击威逼做出快速反应。Snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。入侵检测通过执行下任务来实现：1.监视、分析用户及系统活动；2.系统构造和弱点审计；3.识别反映已知进攻活动模式并向相关人士报警；4.特别行模式统计分析；5.评估重要系统和数据文件完整性；6.操作系统审计跟踪管理并识别用户违反平安策略行四、试验过程与测试数据1、Snort入侵检测实例（1）安装Apache服务器双击httpd-2.2.17-win32-x86-no_ssl.msi,进入软件安装欢迎界面。具体如图4.1所示。图4.1安装界面在Network填写localhost，SeverName选择localhost，填写相关用户信息。具体安装界面如图4.2所示。图4.2Apache安装设置界面确认安装无误后，点击next进行安装，具体过程如图4.3所示图4.3安装过程在执行命令之前，使用cd命令将路径转入Apache2.2的bin文件夹下。检查无误后，点击next，使用http-kinstall命令将Apache2.2设置为Windows中的服务。具体如图4.4所示图4.48080端口检测界面通过上述操作，显示在Dos条件下均启动成功。打卡配置文件htttp.conf。将其中的listen8080更改为50080。具体如图4.5所示。图4.5Apache2.2配置界面（2）添加Apache2.2对PHP的支持解压缩php-5.2.6-Win32.zip至C:\，将php5ts.dll文件复制到%systemroot%\system32名目下，具体如图4.6所示。图4.6配置文件复制php.ini-dist至%system%\php.ini修改为php.ini，对php.ini的文件中的内容进行修改，具体如图4.7所示。图4.7修改php.ini的文件内容同时将php_gd2.dll与php_mysql.dll拷至%systemroot%\.具体如图4.8所示。图4.8拷贝文件向http.conf添加命令具体命令如图4.9所示。图4.9添加命令完成后，在Addtypeapplication下填写以下命令，具体如图4.10所示。图4.10填写命令添加完成后保存http.conf文件，单击“开头”按钮找到“运行”，以cmd命令进入命令行，输入以下命令。具体如图4.11所示图4.11Apache2.2启动界面完成后，测试PHP脚本，修改内容如图4.12所示。图4.12修改内容使用:50080/test.php测试PHP是否安装成功，具体测试结果如图4.13所示。图4.17测试test.php（3）安装与配置Snort安装Wincap_4_1_3.exe，接受默认安装即可。具体如图4.18所示图4.18安装Wincap软件本次试验选择Snort_2_9_0_1版本，将snortrules-snapshot-CURRENT名目下全部的文件复制到Snort名目下，具体如图4.19所示。图4.19配置信息(4)安装和配备MySQL解压mysql-5.0.51b-win32.zip，并接受默认安装路径，选择Typical类型，具体如图4.20所示。图4.20(a)安装过程图4.20(b)安装过程图4.20(c)安装过程图4.20(d)安装过程图4.24(e)安装过程图4.21完成安装在完成mysql安装后，在命令行中输入netstartmysql启动Mysql服务，使用Ctrl+R快捷键，输入以下命令，具体命令如图4.22所示。图4.22转入root权限完成输入后，运行下列命令，创建两张表。具体命令如图4.23所示。图4.23创建两张表完成上两行命令后，Snort建立了所需的数据库以及snort_archive数据库。之后，运行下列命令在Snort数据库以及Snort_archive数据库建立运行所必需的表。运行命令具体如图4.24所示。图4.24执行命令然后再次进入到数据库中，以root用户的身份输入以下命令具体如图4.25所示。从图中可以看到，系统显示0rowsaffected，缘由很简洁由于该表中还没有添加数据是空表。图4.25建立两个用户完成上一步操作后，为Snort与Snort_archive数据库安排权限。具体如图4.26所示。图4.26安排权限在命令提示窗口运行下列命令，建立Snort输出平安大事所需的表。具体如图4.27所示。图4.27建立平安所需表（5）安装ACID安装Adjob及Jpgraph库，并且修改jpgrraph.php的内容，具体如图4.28所示。4.28修改内容安装ACID的压缩包，并进入到acid_conf.php文件进行修改，具体修改如图4.29所示。图4.29修改内容完成后，通过扫瞄器登录http://acid:50080/acid_db_setup.php,单击后会猎取其下载文件，从而建立与ACID数据库的连接，具体如图4.30所示。在对应的试验教材中写得是http://acid/acid_db_setup.php，少写了1个端口号，因此在初次操作中会失败，要想运行其连接必需填写端口号。图4.30建立连接（6）启动Snort打开C:\snort\etc\snort.conf文件，将文件中的内容进行修改。具体修改内容如图4.31所示。图4.31修改确定路径上一步骤完成之后，在文件的最终一行，加入下面的语句。具体内容如图4.32所示。图4.32修改语句在完成以上的操作后，测试Snort是否正常，具体测试界面如图4.33所示。从界面上可以看到运动图像，由此可推断出工作完全正常。图4.33Snort启动界面完成上一步操作后，可以执行命令查看本地网络适配器编号，并启动snort。具体如图4.34所示。图4.34正式启动程序上一步完成后，可以连续输入命令，查看具体具体的信息。具体如图4.35所示。图4.35查看具体信息完成上步操作后，可以使用配置命令，具体如图4.36所示。从图中可以推断出该命令执行成功。图4.36使用配置命令查看本地网络适配器编号，正式启动Snort。较简单的是配置。打开:50080/acid/acid_main_php网页，进入ACID分析把握台主界面，可以查看入侵检测的结果，具体如图4.41所示。图4.41入侵检测结果五、试验分析入侵检测分两个步骤:信息收集和数据分析。入侵检测的第一步是信息收集，内容包括系统，网络，数据及用户活动的状态和行为。入侵检测要利用的信息一般来自以下4个方面：系统日志，名