常州轻工职业技术学院实践指导书实践项目网络安全技术实训指导教师胡江班级学年学期实践指导书实训一嗅探器的窃听与防范一、实训目的和要求通过练习使用Netmon嗅探器捕获网络中用户登录信息;理解嗅探器工作的原理及其实施过程;掌握防范网络窃听的措施。
二、实训环境(1)局域网(2)Netmon(3)Web服务器三、原理1、什么是嗅探器,网络嗅探工作原理sniffer嗅探器可被理解为一种安装在计算机上的窃听设备。
它可以用来窃听计算机在网络上所产生的众多的信息。
在使用集线器的以太网中,数据的传输是基于“共享”原理的,所有的同一网段范围内的计算机共同接收同样的数据包。
这意味着计算机之间的通信都是透明的。
网卡工作在正常模式时将屏蔽掉和自己无关的网络信息。
事实上是忽略掉了与自身MAC地址不符合的信息。
嗅探程序则是利用以太网的特点,将设备网卡设置为“混杂模式”,从而能够接受到整个以太网内的网络数据信息了。
在使用交换机的以太网中,Sniffer是利用arp欺骗的所谓中间介入攻击的技术,诱骗网络上的工作站先把数据包传到Sniffer所在的网卡,再传给目标工作站。
2、什么是VPN?VPN(Virtual Private Network,虚拟专用网)是近年来随着Internet的广泛应用而迅速发展起来的一种新技术,实现在公用网络上构建私人专用网络。
“虚拟”主要是指这种网络是一种逻辑上的网络。
3、什么是IPSec协议,它又哪些协议组成IPSec是一个第三层VPN协议标准,它支持信息通过IP公网的安全传输。
IPSec可有效保护IP数据报的安全,所采取的具体保护形式包括:访问控制、数据源验证、无连接数据的完整性验证、数据内容的机密性保护、抗重放保护等。
IPSec主要由AH(认证头)协议、ESP(封装安全载荷)协议及负责密钥管理的IKE(因特网密钥交换)协议组成,各协议之间的关系如图所示。
四、实验内容和步骤1、编写用户登陆的ASP程序,配置Web站点1)编写index.htm<html><head><title>New Page 1</title></head><body><form method="POST" action="check.asp" name="input"><p align="center">用户登陆</p><div align="center"><center><table border="1" width="61%"><tr><td width="50%">用户名</td><td width="50%"><input type="text" name="user" size="20"></td></tr> <tr><td width="50%">密码</td><td width="50%"><input type="text" name="pwd" size="20"></td></tr> <tr><td width="100%" colspan="2"><p align="center"><input type="submit" value=" 确定" name="B1"> <input type="reset" value=" 取消" name="B2"></td></tr></table></center></div></form></body></html>2)编写check.asp<%if request.form(“user”)=”zs” and request.form(“pwd”)=”123” thenresponse.write “欢迎访问本网站”elseresponse.redirect “http://192.168.0.18/index.htm”end if%>2、使用Netmon网络监视器(一)安装Netmon网络监视器在默认情况下,windows 2000系统不会自动安装网络监视器,需要单独安装后才能使用,安装步骤如下:(1)单击“开始”一“设置”一“控制面板”,在打开的“控制面板”窗口中双击“添加/删除程序”图标。
(2)在出现的对话框中单击“添加/删除Windows组件”按钮。
(3)选中对话框的“管理和监视工具”复选框,单击“下一步”按钮,系统将会安装管理组件。
(二)使用Netmon网络监视器1)运行单击“开始”一“程序”一“管理工具”一“网络监视器”,启动网络监视器,出现监视窗口,该窗口由四个不同部分所组成。
(a).图表区该区位于窗口的左上部分,它用一组条形图反映网络的工程情况。
·网络利用:显示网络带宽的利用百分比。
·每秒帧数:显示网络中每秒接收和发送的帧数。
·每秒字节数:显示网络中每秒发送和接收到的字节数。
·每秒广播:显示网络中每秒广播的数据包数。
·每秒多播:显示网络中每秒多播发送的数据包数。
(b).会话统计区该区位于窗口左半部分图表显示区的下方,它显示了服务器与网络中其他计算机进行通信的详细情况,用帧来表示。
(c).机器统计区该区位于窗口的下半部分,显示的是网络中每台机器实际发送和接收的帧的字节数,以及在服务器端所启动的Broadcast(广播帧)和NetBIOS Multicast(多址广播帧)情况,(d).综合统计区该区位于窗口的右半部分,对所监测的通信量进行综合汇总统计,包括其他3个工作区中的相关数据,而且更加具体、详细。
2)捕获和分析数据包(三)利用windows 2000 IPSec VPN协议加密用户登陆数据包(1)在[本地安全设置] 窗口中选择[IP安全策略],双击[安全服务器]。
(2)单击[编辑]按钮,选择“身份验证方法”进行编辑。
(3)单击[确定]按钮,将出现[身份验证方法属性]对话框。
然后选择[此字串用俩保护密钥交换],然后单击[确定]按钮。
(4)返回[本地安全设置]窗口,右击[安全服务器]选择[指派]命令。
(5)客户端登录http服务器时输入的用户名和密码,通过[Microsoft网络监视器]捕获的结果。
(6)在启用IPSec后,通过[Microsoft网络监视器]捕获的结果,只能显示应用ESP 协议的密文信息,看不到明文。
实训二:木马的攻击与防范实训第一部分:灰鸽子木马攻击与防范一、实训目的通过对灰鸽子木马的练习,理解和掌握灰鸽子木马传播和运行的机制;通过手动删除灰鸽子木马,掌握检查灰鸽子木马和删除灰鸽子木马的技巧,学会防御灰鸽子木马的相关知识,加深对灰鸽子木马的安全防范意识。
二、介绍1、什么是木马?木马的全称为特洛伊木马。
木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具有破坏、删除和修改文件、发送密码、记录键盘、实施Dos攻击甚至完全控制计算机等特殊功能的后门程序。
2、灰鸽子木马灰鸽子是国内一款著名木马程序。
比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。
其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。
客户端简易便捷的操作使刚入门的初学者都能充当黑客。
当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。
但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。
三、木马原理一个完整的木马系统由硬件部分、软件部分和具体连接部分组成。
(1) 硬件部分:建立木马连接所必须的硬件实体。
包括控制端(对服务端进行远程控制的一方)、服务端(被控制端远程控制的一方)和Internet(数据传输的网络载体)。
(2) 软件部分:实现远程控制所必须的软件程序。
包括控制端程序(控制端用以远程控制服务端的程序)、木马程序(潜入服务端内部,获取其操作权限的程序)和木马配置程序(设置木马程序的端口号、触发条件、木马名称等,使其在服务端藏得更隐蔽的程序)。
(3) 具体连接部分:通过Internet在服务端和控制端之间建立一条木马通道所必须的元素。
步骤1.配置木马2.传播木马3.运行木马4.泄露信息5.建立连接6.远程控制四、实训环境(1)局域网(2)灰鸽子木马程序五、实验内容和步骤(1)利用灰鸽子控制端(客户端)程序生成服务器端程序(2)将服务器端程序传给被攻击计算机,并在被攻击计算机上运行服务器端程序。
(3)利用灰鸽子控制端程序对受攻击计算机进行远程控制。
1)连接受攻击计算机2)查看、复制、修改和删除受攻击计算机目录和文件3)查看受攻击计算机系统信息4)捕获受攻击计算机屏幕,遥控受攻击计算机5)利用远程控制命令重启受攻击计算机6)删除受攻击计算机中的木马(4)灰鸽子木马的防范1)安装最新的防病毒软件2)手工清除灰鸽子木马a)重新启动计算机后进入安全模式b) 清除灰鸽子的服务Ⅰ、打开注册表编辑器(点击"开始"-》"运行",输入"Regedit.exe",确定。
),打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
Ⅱ、找到灰鸽子的服务项。
Ⅲ、删除整个灰鸽子项。
c)删除灰鸽子程序文件d)重新启动计算机。
实训三主机安全一、实训目的通过实训,掌握在Windows 2000系统中主机安全的实现过程二、实训原理1、CA认证中心?所谓CA(Certificate Authority)认证中心,它是采用PKI(Public Key Infrastructure)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构,它的作用就像我们现实生活中颁发证件的公司,如护照办理机构。