【正文】 3. 選定您需要查看的個(gè)人數(shù)字證書，然后單擊“查看”按鈕，可以查看相應(yīng)數(shù)字證書的詳細(xì)信息。如圖 5 所示。隨后系統(tǒng)將進(jìn)行數(shù)字證書的下載，在完成上述步驟后，系統(tǒng)將發(fā)送一封申請(qǐng)成功的信件到您申請(qǐng)時(shí)使用的郵箱內(nèi)，其中包括業(yè)務(wù)受理號(hào)、密碼以及數(shù)字證書下載的地址。注意在選擇加密服務(wù)提供程序 (Cryptographic Service Provider， CSP)項(xiàng)目中選擇 ―Microsoft Base Cryptagraphic Provider ‖ 選項(xiàng)。 2．只有安裝了根證書 (即證書鏈 )的計(jì)算機(jī)，才能夠完成后面的申請(qǐng)步驟和正常使用在CA中心申請(qǐng)的數(shù)字證書，所以需要先進(jìn)行證書鏈的安裝。使用安全電子郵件證書可以收發(fā)加密和數(shù)字簽名郵件，保證電子郵件傳輸中的機(jī)密性、完整性和不可否認(rèn)性，確保電子郵件通信各方身份的真實(shí)性。各種不同類型的證書作用不同。 五． 實(shí)驗(yàn)步驟 步驟 1：搜索提供數(shù)字證書的機(jī)構(gòu)。 三． 實(shí)驗(yàn)內(nèi)容 數(shù)字證書的申請(qǐng) 。 對(duì)于客戶機(jī)，添加鍵值“ AutoShareWks”，類型為“ REG_DWORD”，值為“ 0”。 5． 防范 IPC 默認(rèn)共享 防范 IPC 攻擊就應(yīng)該 從系統(tǒng)的默認(rèn)配置下手，可以通過(guò)修改注冊(cè)表彌補(bǔ)漏洞。 2． 禁止遠(yuǎn)程協(xié)助，屏蔽閑置的端口 使用系統(tǒng)自帶的“ TCP/IP 篩選服務(wù)”就能夠限制端口。請(qǐng)?zhí)貏e注意，不要在運(yùn)行的網(wǎng)絡(luò)中重放數(shù)據(jù)包，否則容易引起嚴(yán)重的網(wǎng)絡(luò)問(wèn)題。 包發(fā)生器提供三種生成數(shù)據(jù)包的方式： 點(diǎn)選新構(gòu)一個(gè)數(shù)據(jù)包，包頭、包內(nèi)容及包長(zhǎng)由用戶直接填寫。顯示過(guò)濾的使用基本上跟捕獲過(guò)濾的使用相同。 sniffer 同樣提供解碼后的數(shù)據(jù)包過(guò)濾顯示。素質(zhì)較高的使用者借此工具便可看穿網(wǎng)絡(luò)問(wèn)題的結(jié)癥所在。 Switch:可以獲取 cisco 交換機(jī)的狀態(tài)信息。 Matrix:通過(guò)連線，可以形象的看到不同主機(jī)之間的通信。 二、捕獲數(shù)據(jù)包時(shí)觀察到的信息 Capture Start,啟動(dòng)捕獲引擎。如圖 4： 圖 4 Buffersize 選項(xiàng)卡，將其設(shè)為最大 40M。 圖 2 比如，想捕獲 FTP、 NETBIOS、 DNS、 HTTP 的數(shù)據(jù)包，那么說(shuō)首先打開(kāi) TCP 選項(xiàng)卡，再進(jìn)一步選協(xié)議；還要明確 DNS、 NETBIOS 的數(shù)據(jù)包有些是屬于 UDP 協(xié)議，故需在 UDP 選項(xiàng)卡做類似 TCP 選項(xiàng)卡的工作，否則捕獲的數(shù)據(jù)包將不全。這樣就完成了地址的定義。 define filter address，這是最常用的定義。如果這樣的話就能捕獲網(wǎng)絡(luò)和其他網(wǎng)絡(luò)進(jìn)行身份鑒別的過(guò)程 。sniffer 通常運(yùn)行在路由器，或有路由器功能的主機(jī)上。用戶名和 口令都包含在這一部分中，這是我們關(guān)心的真正部分。這是很可怕的事，通過(guò)對(duì)底層的信息協(xié)議記錄， 比如記錄兩臺(tái)主機(jī)之間的網(wǎng)絡(luò)接口地址、遠(yuǎn)程網(wǎng)絡(luò)接 ip 地址、 ip 路由信息和 tcp 連接的字節(jié)順序號(hào)碼等。 2） 能夠捕獲專用的或者機(jī)密的信息。通常情況下， 用戶并不直接和該層打交道，有些甚至不知道有這一層存在。 嗅探器在功能和設(shè)計(jì)方面有很多不同。 利用這一點(diǎn)，可以將一臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)連接設(shè)置為接受所有以太網(wǎng)總線 上的數(shù)據(jù)，從而實(shí)現(xiàn) sniffer?？梢园l(fā)一個(gè)包設(shè)置源MAC 是你想接收的機(jī)器的 MAC，那么交換 HUB 就把你機(jī)器的網(wǎng)線插 口 的物理口與那個(gè)MAC 對(duì)應(yīng)起來(lái)了，以后發(fā)給那個(gè) MAC 的包就發(fā)往你的網(wǎng)線插口了，也就是你的網(wǎng)卡可以SNIFFER 到了。顯然只要通知網(wǎng)卡接收其收到的所有包（一般叫作雜收 promiscuous 模式：指網(wǎng)絡(luò)上的所有設(shè)備都對(duì)總線上傳送的數(shù)據(jù)進(jìn)行偵聽(tīng)，并不僅僅是它們自己的數(shù)據(jù)）。在一般情況下，網(wǎng)絡(luò)上所有的機(jī)器都可以 ―聽(tīng) ‖到通過(guò)的流量，但對(duì)不屬于自己的報(bào)文則不予響應(yīng)（換句話說(shuō)，工作站 A 不會(huì)捕獲屬于工作站 B 的數(shù)據(jù)，而是簡(jiǎn)單的忽略這些數(shù)據(jù)）。（代表所有的接口地址），在正常情況下，一個(gè)合法的網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)這樣的兩種數(shù)據(jù)幀： a) 幀的目標(biāo)區(qū)域具有和本地網(wǎng)絡(luò)接口相匹配的硬件地址。通過(guò) 傳輸介質(zhì)到達(dá)它們的目的機(jī)器，在目的機(jī)器的一端執(zhí)行相反的過(guò)程。 幀由好幾部分組成，不同的部分執(zhí)行不同的功能。 2． 網(wǎng)卡工作原理 再講講網(wǎng)卡的工作原理。 1． HUB 工作原理 由于以太網(wǎng)等很多網(wǎng)絡(luò)（常見(jiàn)共享 HUB 連接的內(nèi)部網(wǎng)）是基于總線方式，物理上是廣播的，當(dāng)一個(gè)機(jī)器發(fā)給另一個(gè)機(jī)器的數(shù)據(jù) 時(shí) ，共享 HUB 先收到然后把它接收到的數(shù)據(jù)再發(fā)給其他的（ 源 口不發(fā) 送 ）每一個(gè)口，所 以在共享 HUB 下面同一網(wǎng)段的所有機(jī)器的網(wǎng)卡都能接收到 該 數(shù)據(jù)。 在合理的網(wǎng)絡(luò)中， sniffer 的存在對(duì)系統(tǒng)管理員是致關(guān)重要的，系統(tǒng)管理員通過(guò) sniffer 可以診斷出大量的不可見(jiàn)模糊問(wèn)題，這些問(wèn)題涉及兩臺(tái)乃至多臺(tái)計(jì)算機(jī)之間的異常通訊有些甚至牽涉到各種的協(xié)議，借助于 sniffer， 系統(tǒng)管理員可以方便的確定出多少的通訊量屬于哪個(gè)網(wǎng)絡(luò)協(xié)議、占主要通訊協(xié)議的主機(jī)是哪一臺(tái)、大多數(shù)通訊目的地是哪臺(tái)主機(jī)、報(bào)文發(fā)送 占用多少時(shí)間、或著相互主機(jī)的報(bào)文傳送間隔時(shí)間等等，這些信息為管理員判斷網(wǎng)絡(luò)問(wèn)題、管理網(wǎng)絡(luò)區(qū)域提供了非常寶貴的信息。 四． Sniffer簡(jiǎn)介： Sniffer（嗅探器）是一種常用的收集有用數(shù)據(jù)方法，這些數(shù)據(jù)可以是用戶的帳號(hào)和密碼，可以是一些商用機(jī)密數(shù)據(jù)等等。在實(shí)際測(cè)試中 ,采用多臺(tái)計(jì)算機(jī)同時(shí)對(duì)主機(jī)進(jìn)行攻擊來(lái)模擬大流量、高強(qiáng)度 SYN Flood 攻擊的復(fù)雜環(huán)境 ,同樣取得了比較理想的結(jié)果。 用 iptables 對(duì)付 synflood 攻擊 ： 在局域網(wǎng)內(nèi)進(jìn)行了一系列攻擊實(shí)驗(yàn) ,其中兩臺(tái)攻擊計(jì)算機(jī) (Win 2020) ,一臺(tái)檢測(cè)計(jì)算機(jī)(RedHatL inux) 。在攻擊并未進(jìn)行之前，目標(biāo)主機(jī)上接到的基本上都是一些普通的網(wǎng)絡(luò) 包。并不是每一個(gè)用戶都有權(quán)在網(wǎng)關(guān)設(shè)備上把自己使用的 IP 地址和 MAC 地址進(jìn)行綁定，但用戶至少可以做到的是在自己的計(jì)算機(jī)上把網(wǎng)關(guān)的 IP 地址和 MAC 地址進(jìn)行綁定，最好做成一個(gè)批處理文件，每次計(jì)算機(jī)啟動(dòng)時(shí)都執(zhí) 行該文件，使用這種方法可以有效的避免上述的第二種泄密攻擊。從中我們可能會(huì)發(fā)現(xiàn)有幾條記錄，其中一個(gè)記錄是網(wǎng)關(guān)或要訪問(wèn)的目標(biāo)主機(jī)，還有一條其他記錄，也可能有幾條。網(wǎng)絡(luò)執(zhí)法官軟件可以監(jiān)測(cè)到同一個(gè)子網(wǎng)中所有在線的主機(jī)，在網(wǎng)絡(luò)執(zhí)法官的管理界面中，右鍵單擊真實(shí)機(jī)，從快捷菜單中選擇 ―手工管理 ‖。 （ 4） 攻擊前測(cè)試。 （ 3） 運(yùn)行網(wǎng)絡(luò)執(zhí)法官。 （ 2） 在虛擬機(jī) 2 上安裝 WinPcap。 網(wǎng)絡(luò)安全工程實(shí)驗(yàn)指導(dǎo)書 16 ARP 欺騙與應(yīng)對(duì) 在虛擬機(jī) 2 上安裝 ―網(wǎng)絡(luò)執(zhí)法官 ‖軟件，破壞虛擬機(jī) 1 和真實(shí)機(jī)之間的正常通信，實(shí)驗(yàn)步驟如下 ： （ 1） 正確配置各計(jì)算機(jī)的 IP 地址。然而感染木馬的機(jī)器搶先發(fā)出另一個(gè) DHCP OFFER 數(shù)據(jù)包。 （ 2）下圖是一個(gè)網(wǎng)絡(luò)嗅探工具詳細(xì)的顯示了一臺(tái)被 感染的機(jī)器（地址 ）到底對(duì)所在的網(wǎng)絡(luò)有何影響。 網(wǎng)絡(luò)安全工程實(shí)驗(yàn)指導(dǎo)書 14 實(shí)驗(yàn)二：網(wǎng)絡(luò) 攻擊 和應(yīng)對(duì) 一．實(shí)驗(yàn)學(xué)時(shí)： 4學(xué)時(shí) 二． 實(shí)驗(yàn)?zāi)康模? 攻擊和防御是目前業(yè)內(nèi)被討論的最為熱烈的安全實(shí)驗(yàn)室內(nèi)容，通過(guò)本實(shí)驗(yàn)，學(xué)生可以了解到各種流行的網(wǎng)絡(luò)攻擊行為以及如何去進(jìn)行這些安全事件的防御。 （ 4）在 3660 上擴(kuò)展 ping， source destination ，通過(guò)?？梢酝ㄟ^(guò) debug cry isa、 deb cry ip client ezvpn、 deb cry ip 等 debug 命令輸出的信息查看過(guò)程與結(jié)果。 （ 5）從 client， ping router 的 lo0 配置的 地址 ，通過(guò)。 三．實(shí)驗(yàn)內(nèi)容： 1．對(duì)點(diǎn) IPSEC VPN 2．多點(diǎn)動(dòng)態(tài) VPN 3． PPTP 4． L2TP 5． GW到 GW的 VPN 6． VPN承載路由協(xié)議 7． EASY VPN 四 ． 實(shí)驗(yàn)參考拓?fù)鋱D 五．實(shí)驗(yàn)步驟 vpn access server 的配置 （ 1） 配置 isakmp policy： crypto isakmp policy 1 encr 3des 網(wǎng)絡(luò)安全工程實(shí)驗(yàn)指導(dǎo)書 12 authen preshare group 2 （ 2） 配置 vpn client 地址池 cry isa client conf addresspool local pool192 ip local pool pool192 （ 3） 配置 vpn client 有關(guān)參數(shù) cry isa client conf group vclientgroup key vclientkey pool pool192 (4)配置 ipsec transformset： cry ipsec trans vclienttfs esp3des espshahmac (5)配置 map 模板 cry dynamicmap templatemap 1 set transformset vclienttfs （ 6） 配置 vpnmap cry map vpnmap 1 ipsecisakmp dynamic templatemap cry map vpnmap isakmp author list vclientgroup cry map vpnmap client conf address respond （ 7） 配置靜態(tài)路由 ： ip route fastether0 測(cè)試： （ 1）在 pc 上運(yùn)行 VPN client，連接 vpn access server?？梢钥吹揭呀?jīng)有一個(gè)電腦通過(guò) WPAPSK 加密方式連接到路由器上。 無(wú)線接入安全技術(shù) （ 1）指導(dǎo)思想 在實(shí)驗(yàn)室內(nèi) /實(shí)驗(yàn)樓內(nèi)部署無(wú)線接入網(wǎng)絡(luò)，對(duì)無(wú)線接入點(diǎn)的路由選擇、用戶認(rèn)證以無(wú)線網(wǎng)絡(luò)安全等進(jìn)行配置，實(shí)現(xiàn)樓內(nèi)無(wú)線漫游。 入侵檢測(cè)實(shí)驗(yàn) （ 1）指導(dǎo)思想 通過(guò)對(duì)一個(gè)實(shí)際的 IDS 系統(tǒng)的配置和測(cè)試，進(jìn)一步了解 IDS 的概念和功能及其在構(gòu)筑信息安全體系結(jié)構(gòu)上的作用和意義，使學(xué)生能夠正確認(rèn)識(shí) IDS 的特點(diǎn)及其局限性。 防火墻實(shí)驗(yàn) （ 1）指導(dǎo)思想 通過(guò)對(duì)一個(gè)實(shí)際的防火墻進(jìn)行配置和測(cè)試，進(jìn)一步了解防火墻的概念和功能及其在構(gòu)筑信息安全體系結(jié)構(gòu)上的作用和意義，使學(xué)生能夠正確認(rèn)識(shí)防火墻的特點(diǎn)及其局限性。 安全掃描器的實(shí)驗(yàn) （ 1）指導(dǎo)思想 通過(guò)綜合使用安全掃描工具，了解安全評(píng)估的基本工作手段，加深對(duì)各種網(wǎng)絡(luò)和系統(tǒng)的安全評(píng)估理解。 三．實(shí)驗(yàn)內(nèi)容： 結(jié)合企業(yè)實(shí)際應(yīng)用需求，綜合分析威脅企業(yè) 網(wǎng)絡(luò)安全的因素，根據(jù)所掌握的安全技術(shù)，規(guī)劃設(shè)計(jì)一個(gè)可行的網(wǎng)絡(luò)安全解決方案 具體實(shí)驗(yàn)中，可以兩個(gè)小組的實(shí)驗(yàn)臺(tái)進(jìn)行組合設(shè)計(jì)綜合安全實(shí)驗(yàn)，主要以以太網(wǎng)、廣域網(wǎng)和無(wú)線局域網(wǎng)的安全技術(shù)為主要設(shè)計(jì)思想，覆蓋的主流安全網(wǎng)絡(luò)技術(shù)有： ? 認(rèn)證技術(shù) ? 端點(diǎn)安全準(zhǔn)入技術(shù) ? IDS 入侵防御系統(tǒng) ? IDS 入侵聯(lián)動(dòng) ? 防火墻系統(tǒng) ? 無(wú)線接入認(rèn)證技術(shù) ? 無(wú)線安全技術(shù) 四．實(shí)驗(yàn)參考拓?fù)鋱D 網(wǎng)絡(luò)安全工程實(shí)驗(yàn)指導(dǎo)書 9 五．實(shí)驗(yàn)步驟 VPN 的模擬仿真運(yùn)行 （ 1）指導(dǎo)思想 通過(guò)對(duì)基于 IPSEC 的虛擬專用網(wǎng) VPN 的配置和測(cè)試，進(jìn)一步了解網(wǎng)絡(luò)保密通信技術(shù)以及 VPN 技術(shù)所 實(shí)現(xiàn)的高層保密技術(shù)。 RouterA（ config） ip route RouterB（ config） ip route RouterB（ config） ip route 在路由器 RouterB 上配置標(biāo)準(zhǔn)訪問(wèn)控制列表，名稱為 accesslist 10。在路由器 RouterA與 RouterB 之間配置靜態(tài)路由協(xié)議。 三．實(shí)驗(yàn)內(nèi)容： 1）基于訪問(wèn)控制列表的網(wǎng)絡(luò)訪問(wèn)控制； 2）端口限速的網(wǎng)絡(luò)訪問(wèn)