【正文】 分析遠(yuǎn)程控制的使用已經(jīng)越來越被人們需要，讓使用者像使用面前的計(jì)算機(jī)一樣操控遠(yuǎn)程的計(jì)算機(jī)，使得在任何地方實(shí)現(xiàn)對某臺計(jì)算機(jī)的操作成為可能?！拔募鬏敗卑粹o，左邊顯示的是主機(jī)資源，右邊顯示的是從機(jī)資源，利用鼠標(biāo)的拖放功能科實(shí)現(xiàn)文件的雙機(jī)相互拷貝。 等待呼叫設(shè)置運(yùn)行主機(jī)的pcAnywhere，選擇“主控端”，雙擊“NETWORK，CABLE，DSL”，結(jié)果分兩種。選擇“設(shè)置”，在“控制的網(wǎng)絡(luò)被控端PC或IP地址（N）：”后輸入從機(jī)的IP地址并單擊“確定”按鈕。任務(wù)二：主機(jī)（主控端）的pcAnywhere基本配置啟動(dòng)從機(jī)的pcAnywhere，在工具欄單擊“主控端”，再右擊工作區(qū)的“NETWORK，CABLE，DSL”選項(xiàng)，選擇“屬性”。輸入新建用戶的登錄名和密碼，只有擁有保護(hù)項(xiàng)目中的登錄名和密碼的用戶才能呼叫并控制從機(jī)。其中，默認(rèn)協(xié)議設(shè)為TCP/IP，不要更改。 遠(yuǎn)程遙控界面 主機(jī)登錄示意圖 遠(yuǎn)程控制截圖擴(kuò)展實(shí)驗(yàn)任務(wù)一：從機(jī)（被控端）的pcAnywhere基本配置通信雙方中，一方為“主控端”（主機(jī)），另一方為“被控端”（從機(jī)）。啟動(dòng)遠(yuǎn)程控制后pcAnywhere就開始按照設(shè)置的要求嘗試連接遠(yuǎn)端的被控計(jì)算機(jī)。作為被控端，在主機(jī)中雙擊主機(jī)（student）即可，任務(wù)欄的右下角會有圖標(biāo)提示。保護(hù)項(xiàng)目：功能與被控端的設(shè)置相同。自動(dòng)化任務(wù)：用于設(shè)置使用該連接的自動(dòng)化任務(wù)。設(shè)置：用于配置遠(yuǎn)程連接選項(xiàng)。對話框中歐諾個(gè)有五個(gè)選項(xiàng)卡可供設(shè)置。單擊“下一步”按鈕完成控制端的添加，程序提示對名稱進(jìn)行重命名，例如student。在管理窗口中，單擊“遠(yuǎn)程”，通過這個(gè)頁面可以完成主控端連接項(xiàng)目的設(shè)置。對安全選項(xiàng)和保護(hù)項(xiàng)目進(jìn)行了設(shè)置。 (a) 確定連接協(xié)議 (b) 確定連接協(xié)議呼叫者：指的是可以創(chuàng)建連接到本機(jī)的用戶賬號及密碼。一般默認(rèn)TCP/IP，可以根據(jù)實(shí)際需要選擇合適的協(xié)議，本實(shí)驗(yàn)以常見的TCP/IP協(xié)議為例，如下圖所示。右擊需要配置的連接項(xiàng)目，選擇“屬性”窗口，更改屬性。允許用戶再次確認(rèn)連接選擇，并選擇是否連接完成后等待來自遠(yuǎn)程計(jì)算機(jī)的連接。在此過程中，需要選擇Windows用戶。在這種設(shè)定下，當(dāng)被控端呼叫時(shí)，控制端將以撥號的方式鏈接被控端。 (a) 安裝成功示意圖 (a) 安裝成功示意圖打開桌面上的圖標(biāo)Symantec pcAnywhere。(a) 安裝過程圖 (b) 安裝過程圖(c) 安裝過程圖 (d) 安裝過程圖在“自定義安裝”的自定義設(shè)置中，作為主機(jī)管理員，可以選擇典型安裝，即主機(jī)管理員和主機(jī)管理員代理；但作為被控端，需要同時(shí)選擇這兩項(xiàng)，選中Symantec pcAnywhere，意思是在桌面上放置pcAnywhere的快捷方式，單擊“下一步”按鈕。在客戶信息中填寫“用戶名”和“組織”，如下圖所示。四、實(shí)驗(yàn)過程與測試數(shù)據(jù)軟件的安裝與使用打開pcAnywhere ，進(jìn)入安裝界面，如下圖所示。通過遠(yuǎn)程控制軟件，可以進(jìn)行很多方面的遠(yuǎn)程控制，包括獲取目標(biāo)計(jì)算機(jī)屏幕圖像、窗口及進(jìn)程列表；記錄并提取遠(yuǎn)端鍵盤事件(擊鍵序列 ，即監(jiān)視遠(yuǎn)端鍵盤輸入的內(nèi)容)；打開、關(guān)閉目標(biāo)計(jì)算機(jī)的任意目錄并實(shí)現(xiàn)資源共享；提取撥號網(wǎng)絡(luò)及普通程序的密碼；激活、中止遠(yuǎn)端進(jìn)程：打開、關(guān)閉、移動(dòng)遠(yuǎn)端窗口；控制目標(biāo)計(jì)算機(jī)鼠標(biāo)的移動(dòng)與動(dòng)作( 操作)：瀏覽目標(biāo)計(jì)算機(jī)文件目錄，任意刪除目標(biāo)計(jì)算機(jī)的磁盤文件；上傳、下載文件，就如操作自己的計(jì)算機(jī)的文件一樣的簡單；遠(yuǎn)程執(zhí)行目標(biāo)計(jì)算機(jī)的程序：強(qiáng)制關(guān)閉Windows 、關(guān)閉系統(tǒng)(包括電源、重新啟動(dòng)系統(tǒng)；提取、創(chuàng)建、修改、刪除目標(biāo)計(jì)算機(jī)系統(tǒng)注冊表關(guān)鍵字；在遠(yuǎn)端屏幕上顯示消息；啟動(dòng)目標(biāo)計(jì)算機(jī)外設(shè)進(jìn)行捕獲、播放多媒體／音頻文件：控制遠(yuǎn)端錄、放音設(shè)備音量以及進(jìn)行遠(yuǎn)程版本升級更新等。遠(yuǎn)程控制軟件一般可以分為兩個(gè)部分；一個(gè)客戶端程序C1ient，一個(gè)服務(wù)器端程序Server，在使用前需要將客戶端程序安裝到主控端電腦上，將服務(wù)器端程序安裝到被控端電腦上。遠(yuǎn)程控制必須通過網(wǎng)絡(luò)才能進(jìn)行。這里的遠(yuǎn)程指的是通過網(wǎng)絡(luò)控制遠(yuǎn)端計(jì)算機(jī)。 擴(kuò)展實(shí)驗(yàn)利用pcAnywhere軟件對遠(yuǎn)程計(jì)算機(jī)進(jìn)行控制。 配置被控端（hosts）通過本實(shí)驗(yàn)，學(xué)會在Windows環(huán)境下安裝pcAnywhere被控端。我們可以看到，網(wǎng)絡(luò)通信的并不是完全的安全，在使用互聯(lián)網(wǎng)通信時(shí)，我們?nèi)圆荒芎鲆暩鞣N防護(hù)措施的應(yīng)用，要對重要信息進(jìn)行額外的加密算法。解決辦法可以通過任務(wù)管理器將該進(jìn)程關(guān)閉另外，這次實(shí)驗(yàn)中，我對各個(gè)網(wǎng)絡(luò)協(xié)議進(jìn)行了復(fù)習(xí)，更加熟悉，也有了新的認(rèn)識。 在此次實(shí)驗(yàn)的過程中，安裝完Sniffer Pro軟件后，需要重啟計(jì)算機(jī)，由于之前進(jìn)入的是第一個(gè)系統(tǒng)，第一個(gè)系統(tǒng)自帶還原卡導(dǎo)致所有操作前功盡棄。客戶端收到服務(wù)器端的SYN報(bào)文，回應(yīng)一個(gè)ACK(ACK=y+1）報(bào)文，進(jìn)入Established狀態(tài)。TCP三次握手的過程如下：客戶端發(fā)送SYN（SEQ=x）報(bào)文給服務(wù)器端，進(jìn)入SYN_SEND狀態(tài)。當(dāng)主動(dòng)方發(fā)出SYN連接請求后，等待對方回答SYN+ACK，并最終對對方的SYN執(zhí)行ACK確認(rèn)。TCP頭結(jié)構(gòu) TCP協(xié)議頭最少20個(gè)字節(jié)，包括以下的區(qū)域：TCP源端口 、TCP目的端口、TCP序列號、TCP確認(rèn)、數(shù)據(jù)偏移量、保留、控制位、檢驗(yàn)和、緊急指針、選項(xiàng)、填充。保存數(shù)據(jù)，解碼并分析，在工作站向服務(wù)器發(fā)出的網(wǎng)頁請求命令數(shù)據(jù)當(dāng)中就有用戶名和密碼。定義過濾器捕獲協(xié)議信息，運(yùn)行捕獲功能。也有基于無線網(wǎng)絡(luò)、廣域網(wǎng)絡(luò)(DDN, FR) 甚至光網(wǎng)絡(luò)(POS、Fiber Channel) 的監(jiān)聽技術(shù)，這時(shí)候略微不同于以太網(wǎng)絡(luò)上的捕獲概念，其中通常會引入TAP 這類的硬件設(shè)備來進(jìn)行數(shù)據(jù)采集。一般來講，網(wǎng)絡(luò)硬件和TCP/IP 堆棧不支持接收或者發(fā)送與本地計(jì)算機(jī)無關(guān)的數(shù)據(jù)包，所以，為了繞過標(biāo)準(zhǔn)的TCP/IP堆棧，網(wǎng)卡就必須設(shè)置為我們剛開始講的混雜模式?？蛻舳藅elnet到服務(wù)端時(shí)，一次只傳送一個(gè)字節(jié)的數(shù)據(jù)；由于協(xié)議的頭長度是一定的，所以telnet的數(shù)據(jù)包大小=“DLC(14字節(jié))+IP(20字節(jié))+TCP(20字節(jié))+數(shù)據(jù)（一個(gè)字節(jié)）”，共55個(gè)字節(jié)，因此，可以將Packet Size設(shè)為55，以便捕獲到用戶名和密碼。所以一般嗅探軟件無法直接看到口令。在登錄遠(yuǎn)程計(jì)算機(jī)時(shí)，需要知道該計(jì)算機(jī)的用戶名和密碼，用戶名為administer，密碼為123456但出于安全性考慮，telnet登錄時(shí)口令部分不回顯。 過濾器設(shè)置圖在應(yīng)用Telnet方式登錄遠(yuǎn)程計(jì)算機(jī)之前，需要開啟TELNET服務(wù)。（六）Telnet協(xié)議分析按照實(shí)際需要，并應(yīng)用該過濾器捕獲Telnet協(xié)議信息。通過對報(bào)文解析，可以看到sniffer 捕獲到了用戶登錄FTP的用戶名稱和明文密碼，對于用戶進(jìn)行的若干FTP站點(diǎn)操作行為，sniffer都能夠捕獲到相關(guān)信息?？吹较到y(tǒng)登錄成功的提示后，用戶可以進(jìn)行自定義操作，對FTP站點(diǎn)和文件進(jìn)行操作。 過濾器設(shè)置圖 登陸FTP站點(diǎn)在sniffer捕獲狀態(tài)下，進(jìn)行FTP站點(diǎn)操作。運(yùn)行數(shù)據(jù)包捕獲功能。將定義好的過濾器應(yīng)用于捕獲操作中，啟動(dòng)“捕獲”功能，就可以運(yùn)用各種網(wǎng)絡(luò)監(jiān)控功能分析網(wǎng)絡(luò)數(shù)據(jù)流量及各種數(shù)據(jù)包具體情況。以定義IP地址過濾為例。 警告日志（四） 網(wǎng)絡(luò)協(xié)議嗅探（從此處開始，轉(zhuǎn)換了實(shí)驗(yàn)機(jī)器，IP和MAC地址等發(fā)生了變化）為了得到我們所需要的數(shù)據(jù)包，可以通過過濾器，定義過濾規(guī)則，具體做法如下：在主界面選擇“捕獲”菜單中的“定義過濾器”選項(xiàng)。選擇“工具”菜單中的“選項(xiàng)”，單擊“警報(bào)”選項(xiàng)卡，選擇“定義強(qiáng)度”，可以修改警報(bào)強(qiáng)度。n 利用率分布：按照10%為基本度量單位，顯示每組空間內(nèi)網(wǎng)絡(luò)帶寬的分布情況。全局統(tǒng)計(jì)表提供了與網(wǎng)絡(luò)流量相關(guān)的各類統(tǒng)計(jì)測量方式。通過協(xié)議分布功能可以直觀的看到當(dāng)前網(wǎng)絡(luò)流量中協(xié)議分布情況，了解各類網(wǎng)絡(luò)協(xié)議的分布情況以后，可以找到網(wǎng)絡(luò)中流量最大的主機(jī)，這意味該主機(jī)對網(wǎng)絡(luò)的影響也就最大，重中可以清晰的看到當(dāng)前占用網(wǎng)絡(luò)通信量最大的協(xié)議是IP協(xié)議，其次是IP下的ARP協(xié)議。在試驗(yàn)進(jìn)行時(shí)，可以看到在其下有諸多選項(xiàng)記錄Sniffer之下的操作，便于查找。歷史取樣用來收集一段時(shí)間內(nèi)的各種網(wǎng)絡(luò)流量信息。具體做法是：單擊【屬性】按鈕，修改采樣間隔，并勾選“當(dāng)緩沖區(qū)滿時(shí)覆蓋”的條件。默認(rèn)情況下，歷史采樣的緩沖有3600個(gè)采樣點(diǎn)，每隔15秒進(jìn)行一次采樣，采樣15個(gè)小時(shí)后自動(dòng)停止。歷史取樣收集一段時(shí)間內(nèi)的各種網(wǎng)絡(luò)流量信息。目的端口是138，而源IP就是客戶地址。通過單擊左側(cè)工具欄中的圖標(biāo)，以柱形圖方式顯示網(wǎng)絡(luò)中計(jì)算機(jī)的數(shù)據(jù)傳輸情況，(c)所示，不同順序圖柱代表右側(cè)列表中的相應(yīng)連接，柱形長短表示傳輸量的大小。 (a) 單機(jī)連接矩陣示意圖 (b) 全網(wǎng)連接矩陣示意圖4．請求響應(yīng)時(shí)間(ART)ART窗口用來顯示網(wǎng)絡(luò)中Web網(wǎng)站的連接情況，可以看到局域網(wǎng)中有哪些計(jì)算機(jī)正在上網(wǎng)。處于活動(dòng)狀態(tài)的網(wǎng)絡(luò)連接被標(biāo)記為綠色，已發(fā)生的網(wǎng)絡(luò)連接被標(biāo)記為藍(lán)色，線條的粗細(xì)與流量的大小成正比。通過主機(jī)列表，可以直觀地看到流量最大的前十位主機(jī)地址，、創(chuàng)建時(shí)間、數(shù)據(jù)報(bào)通信量等信息，可以為對主機(jī)的分析提供較多的信息?？梢苑謩e選擇MAC地址、IP地址以及IPX地址。 網(wǎng)絡(luò)監(jiān)視儀表板示意圖在儀表板上方，可對監(jiān)視行為進(jìn)行具體配置，并對監(jiān)視內(nèi)容進(jìn)行重置Drops表示網(wǎng)絡(luò)中遺失的數(shù)據(jù)包數(shù)量。在圖中可以看到3個(gè)表盤，其中第一個(gè)是網(wǎng)絡(luò)使用率，第二個(gè)是網(wǎng)絡(luò)每秒通過的數(shù)量包，第三個(gè)是網(wǎng)絡(luò)每秒的錯(cuò)誤率，這三個(gè)數(shù)據(jù)在不同時(shí)刻都互有所變化。儀表板點(diǎn)擊快捷操作菜單上的圖標(biāo)，即可彈出儀表板。 (a) 過濾器操作界面圖 (b) 捕獲條件詳細(xì)配置界面圖(