【正文】 分析遠程控制的使用已經(jīng)越來越被人們需要，讓使用者像使用面前的計算機一樣操控遠程的計算機，使得在任何地方實現(xiàn)對某臺計算機的操作成為可能?！拔募鬏敗卑粹o，左邊顯示的是主機資源，右邊顯示的是從機資源，利用鼠標的拖放功能科實現(xiàn)文件的雙機相互拷貝。 等待呼叫設(shè)置運行主機的pcAnywhere，選擇“主控端”，雙擊“NETWORK，CABLE，DSL”，結(jié)果分兩種。選擇“設(shè)置”，在“控制的網(wǎng)絡(luò)被控端PC或IP地址（N）：”后輸入從機的IP地址并單擊“確定”按鈕。任務(wù)二：主機（主控端）的pcAnywhere基本配置啟動從機的pcAnywhere，在工具欄單擊“主控端”，再右擊工作區(qū)的“NETWORK，CABLE，DSL”選項，選擇“屬性”。輸入新建用戶的登錄名和密碼，只有擁有保護項目中的登錄名和密碼的用戶才能呼叫并控制從機。其中，默認協(xié)議設(shè)為TCP/IP，不要更改。 遠程遙控界面 主機登錄示意圖 遠程控制截圖擴展實驗任務(wù)一：從機（被控端）的pcAnywhere基本配置通信雙方中，一方為“主控端”（主機），另一方為“被控端”（從機）。啟動遠程控制后pcAnywhere就開始按照設(shè)置的要求嘗試連接遠端的被控計算機。作為被控端，在主機中雙擊主機（student）即可，任務(wù)欄的右下角會有圖標提示。保護項目：功能與被控端的設(shè)置相同。自動化任務(wù)：用于設(shè)置使用該連接的自動化任務(wù)。設(shè)置：用于配置遠程連接選項。對話框中歐諾個有五個選項卡可供設(shè)置。單擊“下一步”按鈕完成控制端的添加，程序提示對名稱進行重命名，例如student。在管理窗口中，單擊“遠程”，通過這個頁面可以完成主控端連接項目的設(shè)置。對安全選項和保護項目進行了設(shè)置。 (a) 確定連接協(xié)議 (b) 確定連接協(xié)議呼叫者：指的是可以創(chuàng)建連接到本機的用戶賬號及密碼。一般默認TCP/IP，可以根據(jù)實際需要選擇合適的協(xié)議，本實驗以常見的TCP/IP協(xié)議為例，如下圖所示。右擊需要配置的連接項目，選擇“屬性”窗口，更改屬性。允許用戶再次確認連接選擇，并選擇是否連接完成后等待來自遠程計算機的連接。在此過程中，需要選擇Windows用戶。在這種設(shè)定下，當被控端呼叫時，控制端將以撥號的方式鏈接被控端。 (a) 安裝成功示意圖 (a) 安裝成功示意圖打開桌面上的圖標Symantec pcAnywhere。(a) 安裝過程圖 (b) 安裝過程圖(c) 安裝過程圖 (d) 安裝過程圖在“自定義安裝”的自定義設(shè)置中，作為主機管理員，可以選擇典型安裝，即主機管理員和主機管理員代理；但作為被控端，需要同時選擇這兩項，選中Symantec pcAnywhere，意思是在桌面上放置pcAnywhere的快捷方式，單擊“下一步”按鈕。在客戶信息中填寫“用戶名”和“組織”，如下圖所示。四、實驗過程與測試數(shù)據(jù)軟件的安裝與使用打開pcAnywhere ，進入安裝界面，如下圖所示。通過遠程控制軟件，可以進行很多方面的遠程控制，包括獲取目標計算機屏幕圖像、窗口及進程列表；記錄并提取遠端鍵盤事件(擊鍵序列 ，即監(jiān)視遠端鍵盤輸入的內(nèi)容)；打開、關(guān)閉目標計算機的任意目錄并實現(xiàn)資源共享；提取撥號網(wǎng)絡(luò)及普通程序的密碼；激活、中止遠端進程：打開、關(guān)閉、移動遠端窗口；控制目標計算機鼠標的移動與動作( 操作)：瀏覽目標計算機文件目錄，任意刪除目標計算機的磁盤文件；上傳、下載文件，就如操作自己的計算機的文件一樣的簡單；遠程執(zhí)行目標計算機的程序：強制關(guān)閉Windows 、關(guān)閉系統(tǒng)(包括電源、重新啟動系統(tǒng)；提取、創(chuàng)建、修改、刪除目標計算機系統(tǒng)注冊表關(guān)鍵字；在遠端屏幕上顯示消息；啟動目標計算機外設(shè)進行捕獲、播放多媒體／音頻文件：控制遠端錄、放音設(shè)備音量以及進行遠程版本升級更新等。遠程控制軟件一般可以分為兩個部分；一個客戶端程序C1ient，一個服務(wù)器端程序Server，在使用前需要將客戶端程序安裝到主控端電腦上，將服務(wù)器端程序安裝到被控端電腦上。遠程控制必須通過網(wǎng)絡(luò)才能進行。這里的遠程指的是通過網(wǎng)絡(luò)控制遠端計算機。 擴展實驗利用pcAnywhere軟件對遠程計算機進行控制。 配置被控端（hosts）通過本實驗，學會在Windows環(huán)境下安裝pcAnywhere被控端。我們可以看到，網(wǎng)絡(luò)通信的并不是完全的安全，在使用互聯(lián)網(wǎng)通信時，我們?nèi)圆荒芎鲆暩鞣N防護措施的應(yīng)用，要對重要信息進行額外的加密算法。解決辦法可以通過任務(wù)管理器將該進程關(guān)閉另外，這次實驗中，我對各個網(wǎng)絡(luò)協(xié)議進行了復習，更加熟悉，也有了新的認識。 在此次實驗的過程中，安裝完Sniffer Pro軟件后，需要重啟計算機，由于之前進入的是第一個系統(tǒng)，第一個系統(tǒng)自帶還原卡導致所有操作前功盡棄?？蛻舳耸盏椒?wù)器端的SYN報文，回應(yīng)一個ACK(ACK=y+1）報文，進入Established狀態(tài)。TCP三次握手的過程如下：客戶端發(fā)送SYN（SEQ=x）報文給服務(wù)器端，進入SYN_SEND狀態(tài)。當主動方發(fā)出SYN連接請求后，等待對方回答SYN+ACK，并最終對對方的SYN執(zhí)行ACK確認。TCP頭結(jié)構(gòu) TCP協(xié)議頭最少20個字節(jié)，包括以下的區(qū)域：TCP源端口 、TCP目的端口、TCP序列號、TCP確認、數(shù)據(jù)偏移量、保留、控制位、檢驗和、緊急指針、選項、填充。保存數(shù)據(jù)，解碼并分析，在工作站向服務(wù)器發(fā)出的網(wǎng)頁請求命令數(shù)據(jù)當中就有用戶名和密碼。定義過濾器捕獲協(xié)議信息，運行捕獲功能。也有基于無線網(wǎng)絡(luò)、廣域網(wǎng)絡(luò)(DDN, FR) 甚至光網(wǎng)絡(luò)(POS、Fiber Channel) 的監(jiān)聽技術(shù)，這時候略微不同于以太網(wǎng)絡(luò)上的捕獲概念，其中通常會引入TAP 這類的硬件設(shè)備來進行數(shù)據(jù)采集。一般來講，網(wǎng)絡(luò)硬件和TCP/IP 堆棧不支持接收或者發(fā)送與本地計算機無關(guān)的數(shù)據(jù)包，所以，為了繞過標準的TCP/IP堆棧，網(wǎng)卡就必須設(shè)置為我們剛開始講的混雜模式?？蛻舳藅elnet到服務(wù)端時，一次只傳送一個字節(jié)的數(shù)據(jù)；由于協(xié)議的頭長度是一定的，所以telnet的數(shù)據(jù)包大小=“DLC(14字節(jié))+IP(20字節(jié))+TCP(20字節(jié))+數(shù)據(jù)（一個字節(jié)）”，共55個字節(jié)，因此，可以將Packet Size設(shè)為55，以便捕獲到用戶名和密碼。所以一般嗅探軟件無法直接看到口令。在登錄遠程計算機時，需要知道該計算機的用戶名和密碼，用戶名為administer，密碼為123456但出于安全性考慮，telnet登錄時口令部分不回顯。 過濾器設(shè)置圖在應(yīng)用Telnet方式登錄遠程計算機之前，需要開啟TELNET服務(wù)。（六）Telnet協(xié)議分析按照實際需要，并應(yīng)用該過濾器捕獲Telnet協(xié)議信息。通過對報文解析，可以看到sniffer 捕獲到了用戶登錄FTP的用戶名稱和明文密碼，對于用戶進行的若干FTP站點操作行為，sniffer都能夠捕獲到相關(guān)信息?？吹较到y(tǒng)登錄成功的提示后，用戶可以進行自定義操作，對FTP站點和文件進行操作。 過濾器設(shè)置圖 登陸FTP站點在sniffer捕獲狀態(tài)下，進行FTP站點操作。運行數(shù)據(jù)包捕獲功能。將定義好的過濾器應(yīng)用于捕獲操作中，啟動“捕獲”功能，就可以運用各種網(wǎng)絡(luò)監(jiān)控功能分析網(wǎng)絡(luò)數(shù)據(jù)流量及各種數(shù)據(jù)包具體情況。以定義IP地址過濾為例。 警告日志（四） 網(wǎng)絡(luò)協(xié)議嗅探（從此處開始，轉(zhuǎn)換了實驗機器，IP和MAC地址等發(fā)生了變化）為了得到我們所需要的數(shù)據(jù)包，可以通過過濾器，定義過濾規(guī)則，具體做法如下：在主界面選擇“捕獲”菜單中的“定義過濾器”選項。選擇“工具”菜單中的“選項”，單擊“警報”選項卡，選擇“定義強度”，可以修改警報強度。n 利用率分布：按照10%為基本度量單位，顯示每組空間內(nèi)網(wǎng)絡(luò)帶寬的分布情況。全局統(tǒng)計表提供了與網(wǎng)絡(luò)流量相關(guān)的各類統(tǒng)計測量方式。通過協(xié)議分布功能可以直觀的看到當前網(wǎng)絡(luò)流量中協(xié)議分布情況，了解各類網(wǎng)絡(luò)協(xié)議的分布情況以后，可以找到網(wǎng)絡(luò)中流量最大的主機，這意味該主機對網(wǎng)絡(luò)的影響也就最大，重中可以清晰的看到當前占用網(wǎng)絡(luò)通信量最大的協(xié)議是IP協(xié)議，其次是IP下的ARP協(xié)議。在試驗進行時，可以看到在其下有諸多選項記錄Sniffer之下的操作，便于查找。歷史取樣用來收集一段時間內(nèi)的各種網(wǎng)絡(luò)流量信息。具體做法是：單擊【屬性】按鈕，修改采樣間隔，并勾選“當緩沖區(qū)滿時覆蓋”的條件。默認情況下，歷史采樣的緩沖有3600個采樣點，每隔15秒進行一次采樣，采樣15個小時后自動停止。歷史取樣收集一段時間內(nèi)的各種網(wǎng)絡(luò)流量信息。目的端口是138，而源IP就是客戶地址。通過單擊左側(cè)工具欄中的圖標，以柱形圖方式顯示網(wǎng)絡(luò)中計算機的數(shù)據(jù)傳輸情況，(c)所示，不同順序圖柱代表右側(cè)列表中的相應(yīng)連接，柱形長短表示傳輸量的大小。 (a) 單機連接矩陣示意圖 (b) 全網(wǎng)連接矩陣示意圖4．請求響應(yīng)時間(ART)ART窗口用來顯示網(wǎng)絡(luò)中Web網(wǎng)站的連接情況，可以看到局域網(wǎng)中有哪些計算機正在上網(wǎng)。處于活動狀態(tài)的網(wǎng)絡(luò)連接被標記為綠色，已發(fā)生的網(wǎng)絡(luò)連接被標記為藍色，線條的粗細與流量的大小成正比。通過主機列表，可以直觀地看到流量最大的前十位主機地址，、創(chuàng)建時間、數(shù)據(jù)報通信量等信息，可以為對主機的分析提供較多的信息。可以分別選擇MAC地址、IP地址以及IPX地址。 網(wǎng)絡(luò)監(jiān)視儀表板示意圖在儀表板上方，可對監(jiān)視行為進行具體配置，并對監(jiān)視內(nèi)容進行重置Drops表示網(wǎng)絡(luò)中遺失的數(shù)據(jù)包數(shù)量。在圖中可以看到3個表盤，其中第一個是網(wǎng)絡(luò)使用率，第二個是網(wǎng)絡(luò)每秒通過的數(shù)量包，第三個是網(wǎng)絡(luò)每秒的錯誤率，這三個數(shù)據(jù)在不同時刻都互有所變化。儀表板點擊快捷操作菜單上的圖標，即可彈出儀表板。 (a) 過濾器操作界面圖 (b) 捕獲條件詳細配置界面圖(