网络安全实训指导书

常州轻工职业技术学院实践指导书实践项目网络安全技术实训指导教师胡江班级学年学期实践指导书实训一嗅探器的窃听与防范一、实训目的和要求通过练习使用Netmon嗅探器捕获网络中用户登录信息；理解嗅探器工作的原理及其实施过程；掌握防范网络窃听的措施。二、实训环境(1)局域网(2)Netmon(3)Web服务器三、原理1、什么是嗅探器，网络嗅探工作原理sniffer嗅探器可被理解为一种安装在计算机上的窃听设备。它可以用来窃听计算机在网络上所产生的众多的信息。在使用集线器的以太网中，数据的传输是基于“共享”原理的，所有的同一网段范围内的计算机共同接收同样的数据包。这意味着计算机之间的通信都是透明的。网卡工作在正常模式时将屏蔽掉和自己无关的网络信息。事实上是忽略掉了与自身MAC地址不符合的信息。嗅探程序则是利用以太网的特点，将设备网卡设置为“混杂模式”，从而能够接受到整个以太网内的网络数据信息了。在使用交换机的以太网中，Sniffer是利用arp欺骗的所谓中间介入攻击的技术，诱骗网络上的工作站先把数据包传到Sniffer所在的网卡，再传给目标工作站。2、什么是VPN？VPN(VirtualPrivateNetwork，虚拟专用网)是近年来随着Internet的广泛应用而迅速发展起来的一种新技术，实现在公用网络上构建私人专用网络。“虚拟”主要是指这种网络是一种逻辑上的网络。3、什么是IPSec协议，它又哪些协议组成IPSec是一个第三层VPN协议标准，它支持信息通过IP公网的安全传输。IPSec可有效保护IP数据报的安全，所采取的具体保护形式包括：访问控制、数据源验证、无连接数据的完整性验证、数据内容的机密性保护、抗重放保护等。IPSec主要由AH(认证头)协议、ESP(封装安全载荷)协议及负责密钥管理的IKE(因特网密钥交换)协议组成，各协议之间的关系如图所示。四、实验内容和步骤1、编写用户登陆的ASP程序，配置Web站点1）编写index.htmhtmlheadtitleNewPage1/title/headbodyformmethod=POSTaction=check.aspname=inputpalign=center用户登陆/pdivalign=centercentertableborder=1width=61%trtdwidth=50%用户名/tdtdwidth=50%inputtype=textname=usersize=20/td/trtrtdwidth=50%密码/tdtdwidth=50%inputtype=textname=pwdsize=20/td/trtrtdwidth=100%colspan=2palign=centerinputtype=submitvalue=确定name=B1     inputtype=resetvalue=取消name=B2/td/tr/table/center/div/form/body/html2）编写check.asp%ifrequest.form(“user”)=”zs”andrequest.form(“pwd”)=”123”thenresponse.write“欢迎访问本网站”elseresponse.redirect“”endif%2、使用Netmon网络监视器(一)安装Netmon网络监视器在默认情况下，windows2000系统不会自动安装网络监视器，需要单独安装后才能使用，安装步骤如下：(1)单击“开始”一“设置”一“控制面板”，在打开的“控制面板”窗口中双击“添加／删除程序”图标。(2)在出现的对话框中单击“添加／删除Windows组件”按钮。(3)选中对话框的“管理和监视工具”复选框，单击“下一步”按钮，系统将会安装管理组件。(二)使用Netmon网络监视器1)运行单击“开始”一“程序”一“管理工具”一“网络监视器”，启动网络监视器，出现监视窗口，该窗口由四个不同部分所组成。(a)．图表区该区位于窗口的左上部分，它用一组条形图反映网络的工程情况。·网络利用：显示网络带宽的利用百分比。·每秒帧数：显示网络中每秒接收和发送的帧数。·每秒字节数：显示网络中每秒发送和接收到的字节数。·每秒广播：显示网络中每秒广播的数据包数。·每秒多播：显示网络中每秒多播发送的数据包数。(b)．会话统计区该区位于窗口左半部分图表显示区的下方，它显示了服务器与网络中其他计算机进行通信的详细情况，用帧来表示。(c)．机器统计区该区位于窗口的下半部分，显示的是网络中每台机器实际发送和接收的帧的字节数，以及在服务器端所启动的Broadcast(广播帧)和NetBIOSMulticast(多址广播帧)情况，(d)．综合统计区该区位于窗口的右半部分，对所监测的通信量进行综合汇总统计，包括其他3个工作区中的相关数据，而且更加具体、详细。2)捕获和分析数据包(三)利用windows2000IPSecVPN协议加密用户登陆数据包（1）在[本地安全设置]窗口中选择[IP安全策略]，双击[安全服务器]。（2）单击[编辑]按钮，选择“身份验证方法”进行编辑。（3）单击[确定]按钮，将出现[身份验证方法属性]对话框。然后选择[此字串用俩保护密钥交换]，然后单击[确定]按钮。（4）返回[本地安全设置]窗口，右击[安全服务器]选择[指派]命令。（5）客户端登录http服务器时输入的用户名和密码，通过[Microsoft网络监视器]捕获的结果。（6）在启用IPSec后，通过[Microsoft网络监视器]捕获的结果，只能显示应用ESP协议的密文信息，看不到明文。实训二：木马的攻击与防范实训第一部分：灰鸽子木马攻击与防范一、实训目的通过对灰鸽子木马的练习，理解和掌握灰鸽子木马传播和运行的机制；通过手动删除灰鸽子木马，掌握检查灰鸽子木马和删除灰鸽子木马的技巧，学会防御灰鸽子木马的相关知识，加深对灰鸽子木马的安全防范意识。二、介绍1、什么是木马？木马的全称为特洛伊木马。木马是隐藏在正常程序中的具有特殊功能的恶意代码，是具有破坏、删除和修改文件、发送密码、记录键盘、实施Dos攻击甚至完全控制计算机等特殊功能的后门程序。2、灰鸽子木马灰鸽子是国内一款著名木马程序。比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。三、木马原理一个完整的木马系统由硬件部分、软件部分和具体连接部分组成。(1)硬件部分：建立木马连接所必须的硬件实体。包括控制端(对服务端进行远程控制的一方)、服务端(被控制端远程控制的一方)和Internet(数据传输的网络载体)。(2)软件部分：实现远程控制所必须的软件程序。包括控制端程序(控制端用以远程控制服务端的程序)、木马程序(潜入服务端内部，获取其操作权限的程序)和木马配置程序(设置木马程序的端口号、触发条件、木马名称等，使其在服务端藏得更隐蔽的程序)。(3)具体连接部分：通过Internet在服务端和控制端之间建立一条木马通道所必须的元素。步骤1．配置木马2．传播木马3．运行木马4．泄露信息5．建立连接6．远程控制四、实训环境(1)局域网(2)灰鸽子木马程序五、实验内容和步骤(1)利用灰鸽子控制端（客户端）程序生成服务器端程序(2)将服务器端程序传给被攻击计算机，并在被攻击计算机上运行服务器端程序。(3)利用灰鸽子控制端程序对受攻击计算机进行远程控制。1)连接受攻击计算机2)查看、复制、修改和删除受攻击计算机目录和文件3)查看受攻击计算机系统信息4)捕获受攻击计算机屏幕，遥控受攻击计算机5)利用远程控制命令重启受攻击计算机6)删除受攻击计算机中的木马(4)灰鸽子木马的防范1)安装最新的防病毒软件2)手工清除灰鸽子木马a)重新启动计算机后进入安全模式b)清除灰鸽子的服务Ⅰ、打开注册表编辑器（点击开始－》运行，输入Regedit.exe，确定。），打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。Ⅱ、找到灰鸽子的服务项。Ⅲ、删除整个灰鸽子项。c)删除灰鸽子程序文件d)重新启动计算机。实训三主机安全一、实训目的通过实训，掌握在Windows2000系统中主机安全的实现过程二、实训原理1、CA认证中心？所谓CA（CertificateAuthority）认证中心，它是采用PKI（PublicKeyInfrastructure）公开密钥基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构，它的作用就像我们现实生活中颁发证件的公司，如护照办理机构。目前国内的CA认证中心主要分为区域性CA认证中心和行业性CA认证中心，例如，广东省电子商务认证有限公司是由广东省人民政府批准建立的国内较为著名的一家区域性认证机构。2、数字证书数字证书是由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。数字证书采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥（私钥），用它进行解密和签名；同时拥有一把公共密钥（公钥）并可以对外公开，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地了，即使被第三方截获，由于没有相应的私钥，也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。3、公钥证书的产生过程1、用户A利用算法产生私钥SKA和公钥PKA2、将公钥PKA传给证书管理机构(CA)3、CA用自己的私钥SKCA签字后就形成了A的公钥证书(记做CA)，其中CA=ESKCA[T||IDA||PKA]四、实训内容在运行Windows2000的ddd主机上安装和配置证书服务，并进行CA证书的生成、安装和撤销等管理：在ccc和ddd主机上申请一个IPSee证书，并配置和使用IPSee进行这两个主机之间的通信。配置和使用IPSee进行主机的安全通信，ccc主机的IP为100.100.109.235/24；ddd主机的IP为100.100.108.235/24；连接两个子网的网关网络接口IP分别为100.100.109.254和100.100.108.254。1、在ddd主机上安装证书服务并配置成CA（1）以administrator身份登录到ddd主机上，单击【开始】|【设置】|【控制面板】|【添加/删除程序】，选中【证书服务】复选框，出现提示消息，单击【确认】按钮。（2）在出现的Windows组件中，可看到证书服务的组件，单击【确认】按钮。（3）出现证书类型属性页，在此选择独立的CA单选按钮，单击【下一步】按钮。（4）选中【高级】复选框，单击【下一步】按钮。（5）出现公钥和私钥对，可看到许多CSPS，可设置密钥长度或使用安装在计算机上的现存密码、导入密码和查看证书。选中1.0，在【散列算法】列表框中选择SHA-1，在【密钥长度】下拉列表中选择【默认】，单击【下一步】按钮。（6）出现CA标识信息页面，输入CA的相关信息，单击【下一步】按钮。（7）出现数据存储位置页面，在此可以看到包含证书数据库及日志文件内容的文件夹存储在引导分区。若引导分区的容量有