【正文】 如圖 8 和圖 9 所示。 圖 6 Inter 選項 /內(nèi)容選項卡 在 ―證書 ‖對話框中，點擊 ―個人 ‖選項卡，可以查看到已經(jīng)申請的個人數(shù)字證書列表，如圖 7 所示。 網(wǎng)絡(luò)安全工程實驗指導(dǎo)書 34 圖 5 證書成功安裝提示 步驟 4：在 IE 瀏覽器中查看已經(jīng)申請成功 的數(shù)字證書 1．首先打開 Inter Explorer，在其菜單欄上選擇 ―工具 ‖\―Inter 選項 ―，在 ―Inter 選項 ‖對話框中，選擇 ―內(nèi)容 ‖選項卡，如圖 6 所示。然后點擊下方的 ―安裝證書 ‖按鈕，當(dāng)系統(tǒng)給出 ―證書成功下載并裝入應(yīng)用程序中 ‖提示后，表明您的證書已經(jīng)成功安裝。如圖 4 所示。完成 后，點擊 ―提交 ‖按鈕。如圖 3 所示。 網(wǎng)絡(luò)安全工程實驗指導(dǎo)書 33 圖 2 安裝證書鏈 3．在系統(tǒng) ―安裝成功 ‖提示框出現(xiàn)后，進(jìn)入 ―基本信息 ‖表單，按照表單的提示內(nèi)容，完整地輸入個人資料。按照系統(tǒng)提示，我們可以在 頁面中點擊 ―安裝證書鏈 ‖按鈕。 1．登錄到 申請地址，點擊 ―證書申請 ‖鏈接，選擇 ―試用型個人數(shù)字證書申請 ‖鏈接。 步驟 3：選定一種個人數(shù)字證書，為自己申請該數(shù)字證書。軟件提供商使用代碼簽名證書對軟件進(jìn)行簽名后放到Inter 上，當(dāng)用戶在 Inter 上下載該軟件時，將會得到提示，從而可以確信軟件的來源，并確認(rèn)軟件自簽名后到下載前沒有遭到修改或破壞；安全電子郵件證書中包含 證書持有者的電子郵件地址、公鑰及 CA 的簽名。 個人數(shù)字證書中包含證書持有者的個人身份信息、公鑰及 CA 的簽名，在網(wǎng)絡(luò)通訊中標(biāo)識證書持有者的個人身份 ； 企業(yè)數(shù)字證書中包含企業(yè)基本信息、公鑰及 CA 的簽名，在網(wǎng)絡(luò)通訊中標(biāo)識證書持有企業(yè)的身份；服務(wù)器身份證書中包含服務(wù)器信息、公鑰及CA 的簽名，在網(wǎng)絡(luò)通訊中標(biāo)識和驗證服務(wù)器的身份。 目前國內(nèi) 的證書機(jī)構(gòu)能夠提供的證書類型主要包括個人數(shù)字證書、 企業(yè)數(shù)字證書、服務(wù)器身份證書、安全 web 服務(wù)證書、安全電子郵件證書、代碼簽名證書等。 如圖 1 所示，在 google 搜索引擎中輸入“數(shù)字證書”，可以找到很多國內(nèi)的 CA 機(jī)構(gòu)， 這些 CA 機(jī)構(gòu)都提供不同類型的數(shù)字證書。 4．在 IE 瀏覽器中查看自己申請成功的數(shù)字證書。 四． 實驗要求 ： 1．上網(wǎng)搜索提供數(shù)字證書的機(jī)構(gòu) 2．了解各類數(shù)字證書的作用。 4． 掌握申請數(shù)字證書的方法 5． 加深對數(shù)字證書概念 和作用的理解。 6． 合理管理 Administrator 使用 Windows XP 的用戶進(jìn)入安全模式，再在“控制面板”的“用戶賬戶”項里為 Administrator用戶添加密碼，或者將其刪除掉。 對于服務(wù)器，添加鍵值“ AutoShareServer”，類型為“ REG_DWORD”，值為“ 0”。 第一步：將 HKEY_LOCAL _MACHINE\SYSTEM\CurrentControlSet\Control\LSA 的RestrictAnonymous 項設(shè)置為“ 1”，就能禁止空用戶連接。 4．關(guān)閉 Messenger 服務(wù)： 進(jìn)入“控制面板”，選擇“管理工具”，啟動里面的“服務(wù)”項，然后在 Messenger 項上單擊右鍵，選擇“停止”即可。方法如下：在“網(wǎng)絡(luò)連接”上單擊右鍵，選擇“屬性”，打開“網(wǎng)絡(luò)連接屬性”對話框，在“常規(guī)”項里選中里面的“ Inter 網(wǎng)絡(luò)安全工程實驗指導(dǎo)書 30 協(xié)議（ TCP/IP）”然后單擊下面的 [屬性 ]按鈕，在“ Inter 協(xié)議（ TCP/IP）屬性”窗口里，單擊下面的 [高級 ]按鈕，在彈出的“高級 TCP/IP 設(shè)置”窗口里選擇“選項”項，再單擊下面的 [屬性 ]按鈕，最后彈出“ TCP/IP 篩選”窗口，通過窗口里的“只允 許”單選框，分別添加“ TCP”、“ UDP”、“ IP”等網(wǎng)絡(luò)協(xié)議允許的端口，未提供各種服務(wù)的情況，可以屏蔽掉所有的端口。 三．實驗內(nèi)容： ? 通過系統(tǒng)本身的設(shè)置來進(jìn)行系統(tǒng)安全性防護(hù) ? WINDOWS 系統(tǒng)的安全防護(hù) ? Linux 系統(tǒng)的安全防護(hù) ? Unix 系統(tǒng)的安全防護(hù) ? 專業(yè)工具的端點安全防護(hù) ? 實現(xiàn)用戶的網(wǎng)絡(luò)訪問行為控制 ? 對用戶系統(tǒng)安全性評估 ? 自動發(fā)現(xiàn)并進(jìn)行安全事件的防御 四．實驗參考拓?fù)鋱D 五．實驗步驟 1． 常規(guī)的安全防護(hù)：安裝防病毒軟件、 升級系統(tǒng)、禁止 Ping 三種安全方式。數(shù)據(jù)包的重放經(jīng)常用于實驗環(huán)境中。見圖 10： 圖 10 可以定義連續(xù)地發(fā)送 buffer中地數(shù)據(jù)包或只發(fā)送一次 buffer中地數(shù)據(jù)包。圖 9，定義一個廣播包，使其連續(xù) 發(fā)送，包的發(fā)送延遲位 1ms 圖 9 點選 網(wǎng)絡(luò)安全工程實驗指導(dǎo)書 28 發(fā)送在 Decode 中所定位的數(shù)據(jù)包，同時可以在此包的基礎(chǔ)上對數(shù)據(jù)包進(jìn)行如前述的修改。其他工具在操作系統(tǒng)中也有提供，不做介紹。 網(wǎng)絡(luò)安全工程實驗指導(dǎo)書 27 圖 8 四、 sniffer 提供的工具應(yīng)用 sniffer 除了提供數(shù)據(jù)包的捕獲、解碼及診斷外，還提供了一系列的工具，包括包發(fā)生器、 ping、 traceroute、 DNSlookup、 finger、 whois 等工具。 Display select filter,應(yīng)用過濾規(guī)則。要對包進(jìn)行顯示過濾需切換到 Decode 模式。圖 8，是 sniffer 偵查到 IP 地址重疊的例子及相關(guān)的解析。 Expert:這是 sniffer 提供的專家模式，系統(tǒng)自身根據(jù)捕獲的數(shù)據(jù)包從鏈路層到應(yīng)用層進(jìn)行分類并作出診斷。如圖 7： 圖 7 Decode:對每個數(shù)據(jù)包進(jìn)行解碼，可以看到整個包的結(jié)構(gòu)及從鏈路層到應(yīng)用層的信息，事實上， sniffer 的使用中大部分的時間都花費(fèi)在這上面的分析，同時也對使用者在網(wǎng)絡(luò)的理論及實踐經(jīng)驗上提出較高的要求。在捕獲過程中，同樣可以對想觀察的信息定義過濾規(guī)則，操作方式類似捕獲前的過濾規(guī)則。 Protocol distribution:可以實時觀察到數(shù)據(jù)流中不同協(xié)議的分布情況。 Application Response Time:可以了解到不同主機(jī)通信的最小、最大、平均響應(yīng)時間方面的信息。 HostTable：可以查看通信量最大的前 10位主機(jī)。 sniffer 可以實時監(jiān)控主機(jī)、協(xié)議、應(yīng) 用程序、不同包類型等的分布情況。如圖 5： 圖 3 網(wǎng)絡(luò)安全工程實驗指導(dǎo)書 25 圖 5 點選 Select Filter Capture 中選取定義的捕獲規(guī)則。 Capture buffer 選項卡，將設(shè)置緩沖區(qū)文件存放的位置。 define filter buffer,定義捕獲數(shù)據(jù)包的緩沖區(qū)。如果不選任何協(xié)議，則捕獲所有協(xié)議的數(shù)據(jù)包。如圖 2。注意到 ： 表示，捕獲 station1 收發(fā)的數(shù)據(jù)包；最后，選取 將定義的規(guī)則保存下來，供以后使用。 圖 1 比如，現(xiàn)在要捕獲地址為 的主機(jī)與其他主機(jī)通信的信息，在 Mode 選項卡中，選 Include(選 Exclude 選項，是表示捕獲除此地址外所有的數(shù)據(jù)包 )；在 station 選項中，在任意一欄填上 ,另外一欄填上 any（ any 表示所有的 IP 地址）。其中包括 MAC 地址、 ip 地址和 ipx 地址的定義。定義過濾規(guī)則的做法一般如下： 在主界面選擇 capture define filter 選項。 五．實驗步驟： 一、捕獲數(shù)據(jù)包前的準(zhǔn)備工作 在默認(rèn)情況下， sniffer 將捕獲其接入 沖突 域中流經(jīng)的所有數(shù)據(jù)包，但在某些場景下，有些數(shù)據(jù)包可能不是我們所需要的，為了快速定位網(wǎng)絡(luò)問題所在，有必要對所要捕獲的數(shù)據(jù)包作過濾。通常是攻擊者已經(jīng)進(jìn)入了目標(biāo)系統(tǒng)，然后使用 sniffer 這種攻擊手段 ，以便得到更多的信息。這樣就能對大量的數(shù)據(jù)進(jìn)行監(jiān)控。將嗅探器放置于被攻擊機(jī)器或網(wǎng)絡(luò)附近，這樣將捕獲到很多口令，還有一個比較好的方法就是放在網(wǎng)關(guān)上。 當(dāng)然 ，也可以嗅探給定接口上的所有報文，如果有足夠的空間進(jìn)行存儲，有足夠的 時間 進(jìn)行處理的話，將會發(fā)現(xiàn)另 外 一些非常有趣的東西 。 一般 Sniffer 只嗅探每個報文的前 200 到 300 個字節(jié)。這些信息由非法入侵的人掌握后將對網(wǎng)絡(luò)安全構(gòu)成極大的危害，通常有人用 sniffer 收集這些信息只有一個原因：他正要進(jìn)行一次欺騙（通常的 ip 地址欺騙就要求你準(zhǔn)確插入 tcp 連接的字節(jié)順序號），如果某人很關(guān)心這個問題，那么 sniffer 對他來說只是前奏，今后的問題要大得多。 3） 可以用來危害網(wǎng)絡(luò)鄰居的安全，或者用來獲取更高級別的訪問權(quán)限 ， 窺探低級的協(xié)議信息。比如金融帳號，許多用戶很放心在網(wǎng)上使用自己的信用卡或現(xiàn)金帳號，然而 sniffer 可以很輕松截獲在網(wǎng)上傳送的用戶姓名、口令、信用卡號碼、截止日期、帳號和 pin。這大概是絕大多數(shù)非法使用 sniffer 的理由， sniffer 可以記錄到明文傳送的 userid 和 password。所以，應(yīng)該說 snffer 的危害是相當(dāng)之大的，通常，使用 sniffer是在網(wǎng)絡(luò)中進(jìn)行欺騙的開始。 5． 嗅探器造成的危害 sniffier 是作用在網(wǎng)絡(luò) 體系 結(jié)構(gòu)的底層。有些只能分析一種協(xié)議，而另一些可能能夠分析幾百種協(xié)議。值得注意的是： sniffer 是極其安靜的，它是一種消極的安全攻擊。 Sniffer 就是一種能將本地網(wǎng)卡狀態(tài)設(shè)成 ?雜收 ‘狀態(tài)的軟件，當(dāng)網(wǎng)卡處于這種 ―雜收 ‖方式時，該網(wǎng)卡具備 ―廣播地址 ‖，它對遇到的每一個幀都產(chǎn)生一個硬件中斷以便提醒操 網(wǎng)絡(luò)安全工程實驗指導(dǎo)書 22 作系統(tǒng)處理流經(jīng)該物理媒體上的每一個報文包（絕大多數(shù)的網(wǎng)卡具備置成雜收方式的能力）。并且現(xiàn)在很多設(shè)備支持遠(yuǎn)程管理，有很多交換 HUB 可以設(shè)置一個口監(jiān)聽別的口，不過這就要管理權(quán)限了。注意這 物理口與 MAC 的表與機(jī)器的 ARP 表一樣是動態(tài)刷新的，那機(jī)器發(fā)包后交換 HUB 就又記住他的口了，所以實際上是兩個 口競爭 ， 這種方式 只能應(yīng)用在只要收聽少量包就可以的場合。交換 HUB 通過接收來自 某個端 口的數(shù)據(jù)后并記住其源 MAC，就像一個機(jī)器的 IP 與 MAC 對應(yīng)的 ARP 列表，交換 HUB 維護(hù)一個物理口（就是 HUB 上的網(wǎng)線插口，這之后提到的所有HUB 口都是指網(wǎng)線插口）與 MAC 的表，所以可以欺騙交換 HUB。 此時， 在共享 HUB 下就能接收到這個網(wǎng)段的所有包，但是對于 交換 HUB， 就只能是 發(fā)往 自己的包 與 廣播 包。 首先，要知道 SNIFFER要捕獲的東西必須是物理 設(shè)備 能收到的報文信息。 但是， 如果局域網(wǎng)中某臺機(jī)器的網(wǎng)絡(luò)接口處于 雜收（ promiscuous）模式 （即網(wǎng)卡可以接收其收到的所有數(shù)據(jù)包，下面會詳細(xì)地講）， 那么它就可以捕獲網(wǎng)絡(luò)上所有的報文和幀，如果一臺機(jī)器被配置成這樣的方式，它（包括其軟件）就是一個嗅探器。 當(dāng)采用共享 HUB，用戶發(fā)送一個報文時，這些報文就會發(fā)送到 LAN 上所有可用的機(jī)器。 b) 幀的目標(biāo)區(qū)域具有 ―廣播地址 ‖。 通常在局域網(wǎng)（ LAN）中同一個網(wǎng)段的所有網(wǎng)絡(luò)接口都有訪問在物理媒體上傳輸?shù)乃袛?shù)據(jù)的能力，而每個網(wǎng)絡(luò)接口都還應(yīng)該有一個硬件地址，該硬件地址不同于網(wǎng)絡(luò)中存在的其他網(wǎng)絡(luò)接口的硬件地址，同時，每個網(wǎng)絡(luò)至少還要一個廣播地址。接收 端機(jī)器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀的到達(dá)，然后對其進(jìn)行存儲。 幀通過特定的網(wǎng)絡(luò)驅(qū)動程序進(jìn)行成型，然后通過網(wǎng)卡發(fā)送到 傳輸介質(zhì) 上。例如，以太網(wǎng)的前 12 個字節(jié)存放的是源和目的的 MAC 地址，這些 內(nèi)容 告訴網(wǎng)絡(luò)：數(shù)據(jù)的來源和去處。 3． 局域網(wǎng)如何工作 數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀 (Frame)的單位傳輸?shù)?。網(wǎng)卡收到傳輸來的數(shù)