【正文】 控制； 3）網(wǎng)絡(luò)訪(fǎng)問(wèn)行為控制； 4）基于端口的網(wǎng)絡(luò)訪(fǎng)問(wèn)安全控制。 R1(config)interface serial 1 R1(configif)encapsulation ppp R1(configif)ppp chap hostname wy R1(configif)ppp chap password 123 R1(configif)exit 網(wǎng)絡(luò)安全工程實(shí)驗(yàn)指導(dǎo)書(shū) 4 步驟七：確認(rèn)雙方是否可以 PING 通。通過(guò)網(wǎng)絡(luò)身份識(shí)別實(shí)驗(yàn)，讓實(shí)驗(yàn)者對(duì)網(wǎng)絡(luò)的接入控制進(jìn)行了全面了解，同時(shí)通過(guò)對(duì)用戶(hù)的分類(lèi)等工作讓實(shí)驗(yàn)者有了系統(tǒng)的管理理念。 每個(gè) 必修實(shí)驗(yàn)，均要完成相 應(yīng)的 實(shí)驗(yàn)報(bào)告。 29 實(shí)驗(yàn)五：數(shù)字證書(shū)的申請(qǐng) 19 實(shí)驗(yàn)四：端點(diǎn)防護(hù) 11 實(shí)驗(yàn)一： VPN 虛擬專(zhuān)用網(wǎng)設(shè)計(jì) 8 第二部分 選修實(shí)驗(yàn) 2 實(shí)驗(yàn)二：網(wǎng)絡(luò)訪(fǎng)問(wèn)控制技術(shù)應(yīng)用 2 實(shí)驗(yàn)一：網(wǎng)絡(luò)身份識(shí)別 網(wǎng)絡(luò)安全工程 實(shí)驗(yàn)指導(dǎo)書(shū) 適用專(zhuān)業(yè)：網(wǎng)絡(luò)工程 雷文 編寫(xiě) 四川理工學(xué)院 計(jì)算機(jī)學(xué)院 2020 年 3 月 網(wǎng)絡(luò)安全工程實(shí)驗(yàn)指導(dǎo)書(shū) I 目 錄 課程簡(jiǎn)介 1 實(shí)驗(yàn)項(xiàng)目 2 第一部分 必修實(shí)驗(yàn) 三、實(shí)驗(yàn)項(xiàng)目設(shè)置 本課程實(shí)驗(yàn)項(xiàng)目分為 2 部分：必修實(shí)驗(yàn)與選修實(shí)驗(yàn)。 三．實(shí)驗(yàn)內(nèi)容： 1．戶(hù)分類(lèi)規(guī)劃及接入控制 2． 交換機(jī)接入認(rèn)證 3． 無(wú)線(xiàn)網(wǎng)絡(luò)接 入認(rèn)證 4．于用戶(hù)身份認(rèn)證的動(dòng)態(tài) VLAN 分配 5．基于用戶(hù)身份認(rèn)證的動(dòng)態(tài)訪(fǎng)問(wèn)控制（ ACL） 四．實(shí)驗(yàn)參考拓?fù)鋱D 網(wǎng)絡(luò)安全工程實(shí)驗(yàn)指導(dǎo)書(shū) 3 五．實(shí)驗(yàn)步驟： 身份認(rèn)證實(shí)驗(yàn) 拓?fù)鋱D： 步驟一：配置路由器的 IP 地址。 步驟八：配置 PAP 的單向的身份驗(yàn)證，在原先的配置基礎(chǔ)上將 R2 改為 pap 的認(rèn)證 R2(config)interface serial 0 R2(configif)encapsulation ppp R2(configif)ppp authentication pap R2(configif)exit 步驟九：配置 R1 的 PPP 認(rèn)證 R1(config)interface serial 1 R1(configif)encapsulation ppp R1(configif)ppp pap sentusername wy password 123 步驟十：確認(rèn)雙方是否可以 PING 通。 除了包括 IP 標(biāo)準(zhǔn) ACL、 IP 擴(kuò)展 ACL、基于時(shí)間的 ACL、 MAC 擴(kuò)展 ACL，還包括業(yè)界領(lǐng)先的專(zhuān)家級(jí) ACL、 ACL80，學(xué)生可在該系列實(shí)驗(yàn)中學(xué)習(xí)到如何進(jìn)行網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限控制、基于交換機(jī)端口限速、沖擊波等蠕蟲(chóng)病毒的控制等。 網(wǎng)絡(luò)安全工程實(shí)驗(yàn)指導(dǎo)書(shū) 6 路由器 RouterA 的基本配置。 RouterB（ config） accesslist 10 deny （拒絕來(lái)自 段的流量通過(guò)） RouterB（ config） accesslist 10 permit （允許來(lái)自 網(wǎng)段的流量通過(guò)） 將訪(fǎng)問(wèn)控制列表 ACL 應(yīng)用到路由器 RouterB 的端口上。 （ 2） 實(shí)驗(yàn)?zāi)康募耙? 通過(guò)對(duì) VPN 安全特性的深入了解，熟悉 VPN 的基本配置和操作過(guò)程，并設(shè)計(jì)測(cè)試數(shù)據(jù)檢驗(yàn)所配置的 VPN。 （ 2） 實(shí)驗(yàn)?zāi)康募耙? 通過(guò)配置使用安全掃描器，了解獲取系統(tǒng)有用信息和發(fā)現(xiàn)網(wǎng)絡(luò) 系統(tǒng)的安全漏洞的基本手段，并設(shè)置不同的系統(tǒng)配置，檢驗(yàn)安全掃描的效果。 （ 2）實(shí)驗(yàn)?zāi)康募耙? 通過(guò)實(shí)驗(yàn)深入理解防火墻的功能和工作原理，熟悉防火墻的配置和使用，并設(shè)計(jì)測(cè)試數(shù) 網(wǎng)絡(luò)安全工程實(shí)驗(yàn)指導(dǎo)書(shū) 10 據(jù)對(duì) 所配置的防火墻進(jìn)行測(cè)試。 （ 2）實(shí)驗(yàn)?zāi)康募耙? 通過(guò)實(shí)驗(yàn)深入理解 IDS 的功能和工作原理，熟悉 IDS 的配置和使用，并設(shè)計(jì)并產(chǎn)生測(cè)試數(shù)據(jù)對(duì)所配置的 IDS 進(jìn)行 測(cè)試。 （ 2）實(shí)驗(yàn)?zāi)康募耙? 學(xué)習(xí) 。 （ 4）采用的教學(xué)方法和手段 教師指導(dǎo)，學(xué)生分組進(jìn)行實(shí)驗(yàn)。 （ 2） ipconfig/all，查看獲取到的 ip 地址與其他參數(shù)。 （ 6）查看 vpn client 軟件的 statusstatistics,可以看到加密與解密的數(shù)據(jù)量。 （ 2） 在 1720 上擴(kuò)展 ping， source destination ，不通。查看 show cry ip sa，可以發(fā)現(xiàn)數(shù)據(jù)通過(guò)加密進(jìn)行傳輸。 三．實(shí)驗(yàn)內(nèi)容： 1． DHCP 攻擊及應(yīng)對(duì) 實(shí)驗(yàn) 2． MAC 地址的攻擊及應(yīng)對(duì)實(shí)驗(yàn) 3． ARP 欺騙的攻擊及應(yīng)對(duì)實(shí)驗(yàn) 4． SYN FLOOD 攻擊及應(yīng)對(duì)實(shí)驗(yàn) 四． 實(shí)驗(yàn)參考拓?fù)鋱D 五．實(shí)驗(yàn)步驟 DHCP 攻擊 （ 1）木馬被安裝在被感染的機(jī)器上，并在局域網(wǎng)中運(yùn)行 DHCP 服務(wù)。當(dāng)一臺(tái)正常的機(jī)器（地址 ）在更新它的 IP 地址（例如在 Windows 系統(tǒng)中使用 ipconfig /release 和 ipconfig /renew）時(shí)，它發(fā)送一個(gè) DHCP 釋放數(shù)據(jù)包然后嘗試尋找 DHCP 服務(wù)器以便獲得新的網(wǎng)絡(luò)配置。 感染木馬的機(jī)器發(fā)出的數(shù)據(jù)包首先到達(dá) DHCP 客戶(hù)端；因此，它取代了真實(shí)的 DHCP服務(wù)器并且最終分配給客戶(hù)端如下所示的 IP 配置信息： 很明顯，受感染機(jī)器已經(jīng)分配給這個(gè)正常的機(jī)器 （正常并且沒(méi)有受到任何威脅被感染） IP 配置，現(xiàn)在配置中包含著一些熟知的流氓 DNS 服務(wù)器地址： 和 。虛擬機(jī) 1 的網(wǎng)卡類(lèi)型 Bridged， IP 地址是，掩碼 ，網(wǎng)關(guān) ， DNS 是 。解壓縮 ―網(wǎng)絡(luò)執(zhí)法官 .rar‖文件，雙 擊 ―‖文件，開(kāi)始安裝 WinPcap。第一次運(yùn)行執(zhí)法官，打開(kāi)對(duì)話(huà)框，提示進(jìn)行監(jiān)控參數(shù)選擇。在虛擬機(jī) 1 上，打開(kāi) DOS 窗口，輸入 ping –t，持續(xù)的ping 真實(shí)機(jī)的 IP 地址，可以發(fā)現(xiàn)是通的。 選中第三個(gè)選項(xiàng) ―禁止與所有其他主機(jī) …‖ ，單擊 ―開(kāi)始 ‖，此時(shí)可以發(fā)現(xiàn)虛擬機(jī) 1 和真實(shí)機(jī)之間的 ping 測(cè)試開(kāi)始提示 ―Request timed out‖，通信中斷了。多執(zhí)行幾次 ―arp –d‖、 ―arp –a‖，總結(jié)一下，出現(xiàn)最多的那條記錄基本上就是 ARP攻擊者的真實(shí) IP 地址。 方法 3：采用動(dòng)態(tài) ARP 檢察技術(shù)，結(jié)合 DHCP 的功能，實(shí)現(xiàn) IP 和 MAC 的自動(dòng)綁定。 （ 2） 攻擊機(jī)開(kāi)始發(fā)包， DDoS 開(kāi)始了， sun 主機(jī)上的 snoop 窗口開(kāi)始飛速地翻屏，顯示出接到數(shù)量巨大的 Syn 請(qǐng)求。檢測(cè)計(jì)算機(jī)內(nèi)已有 iptables 規(guī)則腳本 ,主要測(cè)試文件到 iptables 的數(shù)據(jù)傳遞 ,故默認(rèn)入 侵檢測(cè)系統(tǒng)發(fā)現(xiàn)攻擊 ip 地址并寫(xiě)入文件列表。 網(wǎng)絡(luò)安全工程實(shí)驗(yàn)指導(dǎo)書(shū) 19 實(shí)驗(yàn)三：網(wǎng)絡(luò) 入侵 檢測(cè) 一．實(shí)驗(yàn)學(xué)時(shí)： 4學(xué)時(shí) 二． 實(shí)驗(yàn)?zāi)康模? 通過(guò)網(wǎng)絡(luò)入侵檢測(cè)實(shí)驗(yàn)，學(xué)生可以學(xué)習(xí)到如何識(shí)別各種安全事件，以及各 種安全事件的特性，能夠較為熟練的應(yīng)用一些典型的 IDS 系統(tǒng)及工具。 Snifffer 可以作為能夠捕獲網(wǎng)絡(luò)報(bào)文的設(shè)備 ,ISS 為 Sniffer 這樣定義： Sniffer 是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具。 嗅探器與一般的鍵盤(pán)捕獲程序不同。 網(wǎng)絡(luò)安全工程實(shí)驗(yàn)指導(dǎo)書(shū) 20 交換式 HUB 的內(nèi)部單片程序能記住每個(gè)口的 MAC 地址， 根據(jù) MAC 地址把數(shù)據(jù)發(fā)往對(duì)應(yīng)目的機(jī)器端口 ，而不是像共享 HUB 那樣發(fā)給所有的口，所以交換 HUB 下只有 應(yīng) 該接收數(shù)據(jù)的機(jī)器的網(wǎng)卡 才 能接收到數(shù)據(jù)，當(dāng)然廣播包還是發(fā)往所有口。網(wǎng)卡收到傳輸來(lái)的數(shù)據(jù)，網(wǎng)卡內(nèi)的單片程序先接收數(shù)據(jù)頭的目的 MAC 地址，根據(jù)計(jì)算機(jī)上的網(wǎng)卡驅(qū)動(dòng)程序設(shè)置的接收模式判斷該不該接收，認(rèn)為該接收就在接收后產(chǎn)生中斷信號(hào)通知 CPU，認(rèn)為不該接收就丟棄不管，所以不該接收的數(shù)據(jù)網(wǎng)卡就截?cái)嗔?，?jì)算機(jī)根本就不知道。例如，以太網(wǎng)的前 12 個(gè)字節(jié)存放的是源和目的的 MAC 地址，這些 內(nèi)容 告訴網(wǎng)絡(luò)：數(shù)據(jù)的來(lái)源和去處。接收 端機(jī)器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀的到達(dá)，然后對(duì)其進(jìn)行存儲(chǔ)。 b) 幀的目標(biāo)區(qū)域具有 ―廣播地址 ‖。 但是， 如果局域網(wǎng)中某臺(tái)機(jī)器的網(wǎng)絡(luò)接口處于 雜收（ promiscuous）模式 （即網(wǎng)卡可以接收其收到的所有數(shù)據(jù)包，下面會(huì)詳細(xì)地講）， 那么它就可以捕獲網(wǎng)絡(luò)上所有的報(bào)文和幀，如果一臺(tái)機(jī)器被配置成這樣的方式，它（包括其軟件）就是一個(gè)嗅探器。 此時(shí)， 在共享 HUB 下就能接收到這個(gè)網(wǎng)段的所有包，但是對(duì)于 交換 HUB， 就只能是 發(fā)往 自己的包 與 廣播 包。注意這 物理口與 MAC 的表與機(jī)器的 ARP 表一樣是動(dòng)態(tài)刷新的，那機(jī)器發(fā)包后交換 HUB 就又記住他的口了，所以實(shí)際上是兩個(gè) 口競(jìng)爭(zhēng) ， 這種方式 只能應(yīng)用在只要收聽(tīng)少量包就可以的場(chǎng)合。 Sniffer 就是一種能將本地網(wǎng)卡狀態(tài)設(shè)成 ?雜收 ‘狀態(tài)的軟件，當(dāng)網(wǎng)卡處于這種 ―雜收 ‖方式時(shí)，該網(wǎng)卡具備 ―廣播地址 ‖，它對(duì)遇到的每一個(gè)幀都產(chǎn)生一個(gè)硬件中斷以便提醒操 網(wǎng)絡(luò)安全工程實(shí)驗(yàn)指導(dǎo)書(shū) 22 作系統(tǒng)處理流經(jīng)該物理媒體上的每一個(gè)報(bào)文包（絕大多數(shù)的網(wǎng)卡具備置成雜收方式的能力）。有些只能分析一種協(xié)議，而另一些可能能夠分析幾百種協(xié)議。所以，應(yīng)該說(shuō) snffer 的危害是相當(dāng)之大的，通常，使用 sniffer是在網(wǎng)絡(luò)中進(jìn)行欺騙的開(kāi)始。比如金融帳號(hào)，許多用戶(hù)很放心在網(wǎng)上使用自己的信用卡或現(xiàn)金帳號(hào)，然而 sniffer 可以很輕松截獲在網(wǎng)上傳送的用戶(hù)姓名、口令、信用卡號(hào)碼、截止日期、帳號(hào)和 pin。這些信息由非法入侵的人掌握后將對(duì)網(wǎng)絡(luò)安全構(gòu)成極大的危害，通常有人用 sniffer 收集這些信息只有一個(gè)原因：他正要進(jìn)行一次欺騙（通常的 ip 地址欺騙就要求你準(zhǔn)確插入 tcp 連接的字節(jié)順序號(hào)），如果某人很關(guān)心這個(gè)問(wèn)題，那么 sniffer 對(duì)他來(lái)說(shuō)只是前奏，今后的問(wèn)題要大得多。 當(dāng)然 ，也可以嗅探給定接口上的所有報(bào)文，如果有足夠的空間進(jìn)行存儲(chǔ)，有足夠的 時(shí)間 進(jìn)行處理的話(huà)，將會(huì)發(fā)現(xiàn)另 外 一些非常有趣的東西 。這樣就能對(duì)大量的數(shù)據(jù)進(jìn)行監(jiān)控。 五．實(shí)驗(yàn)步驟： 一、捕獲數(shù)據(jù)包前的準(zhǔn)備工作 在默認(rèn)情況下， sniffer 將捕獲其接入 沖突 域中流經(jīng)的所有數(shù)據(jù)包，但在某些場(chǎng)景下，有些數(shù)據(jù)包可能不是我們所需要的，為了快速定位網(wǎng)絡(luò)問(wèn)題所在，有必要對(duì)所要捕獲的數(shù)據(jù)包作過(guò)濾。其中包括 MAC 地址、 ip 地址和 ipx 地址的定義。注意到 ： 表示，捕獲 station1 收發(fā)的數(shù)據(jù)包；最后，選取 將定義的規(guī)則保存下來(lái)，供以后使用。如果不選任何協(xié)議，則捕獲所有協(xié)議的數(shù)據(jù)包。 Capture buffer 選項(xiàng)卡，將設(shè)置緩沖區(qū)文件存放的位置。 sniffer 可以實(shí)時(shí)監(jiān)控主機(jī)、協(xié)議、應(yīng) 用程序、不同包類(lèi)型等的分布情況。 Application Response Time:可以了解到不同主機(jī)通信的最小、最大、平均響應(yīng)時(shí)間方面的信息。在捕獲過(guò)程中，同樣可以對(duì)想觀(guān)察的信息定義過(guò)濾規(guī)則，操作方式類(lèi)似捕獲前的過(guò)濾規(guī)則。 Expert:這是 sniffer 提供的專(zhuān)家模式，系統(tǒng)自身根據(jù)捕獲的數(shù)據(jù)包從鏈路層到應(yīng)用層進(jìn)行分類(lèi)并作出診斷。要對(duì)包進(jìn)行顯示過(guò)濾需切換到 Decode 模式。 網(wǎng)絡(luò)安全工程實(shí)驗(yàn)指導(dǎo)書(shū) 27 圖 8 四、 sniffer 提供的工具應(yīng)用 sniffer 除了提供