哈工程网络安全实验实验报告.doc_第1页
哈工程网络安全实验实验报告.doc_第2页
哈工程网络安全实验实验报告.doc_第3页
哈工程网络安全实验实验报告.doc_第4页
哈工程网络安全实验实验报告.doc_第5页
已阅读5页,还剩58页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

学号2013成绩实验报告网络安全实验姓 名:班 级:20132111指导教师:赵国冬实验时间:2016.06.25-2016.06.26哈尔滨工程大学2016年06月目 录实验一、网络分析器应用实验3一、实验目的3二、实验仪器与器材3三、实验原理3四、实验过程与测试数据4五、实验分析20六、实验体会21实验二、剖析远程控制程序22一、实验目的22二、实验仪器与器材22三、实验原理22四、实验过程与测试数据23五、实验分析34六、实验体会35实验三、SSL、VPN应用及防护墙技术36一、实验目的36二、实验仪器与器材36三、实验原理36四、实验过程与测试数据37五、实验分析42六、实验体会43实验四、入侵检测系统分析与应用44一、实验目的44二、实验仪器与器材44三、实验原理44四、实验过程与测试数据45五、实验分析54六、实验体会54实验五、虚拟蜜罐分析与实践55一、实验目的55二、实验仪器与器材55三、实验原理55四、实验过程与测试数据55五、实验分析61六、实验体会62综合成绩63实验一、网络分析器应用实验一、实验目的通过本实验,学会在Windows环境下安装Sniffer;能够运用Sniffer捕获报文;熟练掌握Sniffer的各项网络监视模块的使用;熟练运用网络监视功能,撰写网络动态报告;理解常用Sniffer工具的配置方法,明确多数相关协议的明文传输问题;理解TCP/IP主要协议册报头结构,掌握TCP/IP网络的安全风险;掌握利用Sniffer软件捕获和分析网络协议的具体方法。二、实验仪器与器材Sniffer Pro软件系统1套PC机(win xp/ win7)1台三、实验原理Sniffer Pro软件是NAI公司推出的功能强大的协议分析软件。利用Sniffer Pro 网络分析器的强大功能和特征,解决网络问题。本实验使用的软件版本为SnifferPro_4_70_530。Sniffer Pro软件的主要作用可以体现在以下方面:1Sniffer可以评估业务运行状态,如各种应用的响应时间,一个操作需要的时间,应用带宽的消耗,应用的行为特征,应用性能的瓶颈等;2Sniffer能够评估网络的性能,如各链路的使用率,网络性能趋势,消耗最多带宽的具体应用,消耗最多带宽的网络用户;3Sniffer可以快速定位故障;4Sniffer可以排除潜在的威胁,如病毒、木马、扫描等,并且发现攻击的来源,为控制提供根据,对于类似蠕虫病毒一样对网络影响大的病毒有效;5.即时监控工具,sniffer通过发现网络中的行为特征来判断网络是否有异常流量,所以Sniffer可能比防病毒软件更快发现病毒;5Sniffer可以做流量的趋势分析,通过长期监控,可以发现网络流量的发展趋势,为将来网络改造提供建议和依据;6应用性能预测,Sniffer能够根据捕获的流量分析一个应用的行为特征;Sniffer包括了四大功能:监控、显示、数据包捕捉和专家分析系统,通过该软件,可以长期的对其他计算机的进行的服务类型、所处的网络拓扑等信息进行嗅探,为检测其他计算机系统打下基础。四、实验过程与测试数据(一) 程序安装实验Sniffer Pro是需要安装使用的软件。进行任何在此软件上的实验都需要安装。安装过程如下:1、下载安装软件。在网上下载SnifferPro软件,点击安装,按顺序进行。如下图1.1所示,选择默认安装路径进行安装。 图1.1(a) 安装地址示意图 图1.1(b) 用户协议图图1.1(c) 用户信息图2、填写注册信息。在注册用户时,必须填写必要的注册信息,为之后软件公司识别用户提供信息,在图1.2中出现的两个对话框中,依次填写个人信息。 图1.2(a) 个人信息图 1.2(b)个人信息图3、设置网络连接方式。完成注册操作后,需要设置网络连接情况。从上至下依次有三个选项,一般情况下,用户直接选择第一项,即直接连接。当用户的注册信息验证通过后,系统会转入如图1.3所示的界面,用户被告知系统分配的身份识别码,以便用户进行后续的服务和咨询。 图1.3 系统为用户分配识别码示意图4、保存注册信息。用户单击“下一步”按钮时,系统会提示用户保存关键性的注册信息,其生成一个文本格式的文件。该注册文件保存地址可以有用户选定,以便用户查询。从图1.4可以看到, 软件注册用户为ps sp,邮箱为DSAFAS等关键的注册信息。在软件使用前,安装程序会提示用户安装并设置Java环境,如图1.5所示,重新启动计算机后,可以通过运行Sniffer Pro来监测网络中的数据包,首先进行设置。 图1.4 用户信息截图 图1.5 软件设置截图完成上述实验后,即完成了Sniffer软件整个的安装过程。搭建好实验环境后在之后可以进行其他的实验了。(二)数据包捕获实验1、报文捕获数据包捕捉,是截取所有的数据包,并放在磁盘缓冲区中,便于分析。其基本原理是通过软件手段设置网络适配器的工作模式,在该工作模式下,网卡接受包括与自己无关的所有的数据,达到网络监控和网络管理的功能。如图1.6,其上部是报文捕捉的各项快捷方式,中部是各项Sniffer可进行的操作的快捷方式,下部是捕捉报文缓冲区的大小。从中可以看到缓冲器大小为8MB,当超过该缓冲器大小后,捕捉的报文将覆盖原来的旧报文,在截图的时刻之前,已接收21个报文,拒绝0个报文,已经开始捕捉报文1秒。图1.6 报文捕获统计信息截图在不同的条件下,对缓冲区的要求有所不同,为了适应这些要求,可以对捕获缓冲区进行设置来达到我们的要求。如图1.7,可以设置缓冲区的大小,捕获报文的存放地址、缓冲区满时的动作等。图1.7 捕获缓冲区设置图2、 报文分析捕获到的报文存储在缓冲区内。使用者可以显示和分析缓冲区内的当前报文,也可以将报文保存到磁盘,加载和显示之前保存的报文信息,进行离线分析和显示。此外,也可以通过指定文件名前缀和脱机文件数对捕获信息进行存储。为了有效进行网络分析,需要借助于专家分析系统。首先,应根据网络协议环境对专家系统的协议、RIP选项、硬件等进行设置。如图1.8,对专家系统进行配置。在专家系统中,还为用户提供了用于检测路由故障的路由信息协议分析,如果选择RIP分析方式,则需将“对象”设置项中的连接层和应用层定义为“分析”,通过“显示”菜单下的“显示设置”选项,可以自定义要显示的分析内容,如图1.9。, 1.8(a) 专家选项设置图 1.8(b) 专家选项设置图 图1.8(c) 专家系统阈值设置 图1.8(d) 指定分析协议设置图1.9 摘要显示设置图进行对捕获报文的设置之后,点击“捕获报文”开始对报文进行捕获。如图1.10可以看到,Sniffer可以对服务、应用、链接、DLC等进行报文的捕获,捕获到的报文可分为3种“Diagnoses”、“Symptoms”、“Objects”,其中Diagnoses捕获的是出错特别严重的报文、Symptoms捕获的是一般出错的报文,Objects是没有出错的报文。图1.10中,关于站点的报文出错的有2个,正确的报文有45个,共捕获到47个报文。选择其中关于主机名为“F55”的报文进行解码分析。图1.10 报文捕获界面双击报文记录,可查看捕获到的报文的详细信息如图1.11。从图中可以看到,名为F55的主机,其DLC地址为BCAEC5978167,IP地址为5,正在运营138号端口上的NetBios服务。图1.11 捕获报文详细信息截图3、 解码分析对捕获的报文进行解码分析。单击专家系统下方的【解码】按钮,就可以对具体的记录进行解码分析,如图1.12所示。页面自上而下由三部分组成:捕获的报文、解码后的内容、解码后的二进制编码信息。从图中可以看到,在2016年6月25日18:16:52,名为F55(IP为5)的主机发起了目标地址为7的字节长度为60的ARP请求。图1.12 报文解码分析图4、 统计分析每次进行报文捕获,都可以得到一系列的报文。对其中的报文逐一分析是不现实的。因此,对于各种报文信息,专家系统提供了【矩阵分析】,【主机列表】,【协议统计】以及【会话统计分析】等多种统计分析功能,可以按照MAC地址、IP地址、协议类型等内容进行多种组合分析,如图1.12。图1.12(a) 矩阵分析 1.12(b)主机列表统计分析图 1.12(c) 协议统计分析图 1.12(d) 会话统计分析图从图1.12(b)中可以看到各个主机的相关信息,如IP地址、MAC地址等;从图1.12(c)中可以看到当前使用的协议(IP)的数据包的数量和字节总数;从图1.12(d)中可以看到会话的种类和字节数等信息。5、 捕获条件设置在sniffer环境下,可以通过【定义】的方式来对捕获条件进行设置,获得用户需要的报文协议信息,如图1.13。基本的捕获条件有两种:1链路层捕获:按照源MAC地址和目的MAC地址设定捕获条件,输入方式为十六进制MAC地址,如:DA98A0BC3DFE。2IP层捕获:按源IP地址和目的IP设定捕获条件。输入方式为IP地址,如:7。特别注意的是,如果选择IP层捕获方式则ARP等类型报文信息将被过滤掉。 图1.13(a) 过滤器操作界面图 图1.13(b) 捕获条件详细配置界面图图1.13(c) 捕获条件定义界面图 从图1.13(c)中可以看出,Sniffer支持通过源主机和目的主机来捕获报文进行分析,可以单线监听数据通信。(三)网络监视实验“监视器”菜单中,有以下监视功能:仪表板、主机列表、矩阵、请求相应时间、历史取样、协议分布、全局统计表、警报日志等。1、仪表板点击快捷操作菜单上的图标,即可弹出仪表板,如图1.14。在仪表板上方,可对监视行为进行具体配置,并对监视内容进行重置。在图中可以看到3个表盘,其中第一个是网络使用率,第二个是网络每秒通过的数量包,第三个是网络每秒的错误率,这三个数据在不同时刻都互有所变化。截图当时的网络使用率为0,网络每秒通过的数量包为92-97个,错误率为0。图1.14 网络监视仪表板示意图在仪表板上方,可对监视行为进行具体配置,并对监视内容进行重置Drops表示网络中遗失的数据包数量,如图1.15所示。图1.15 网络监视详细信息2、主机列表点击快捷操作菜单上的图标,或选择【监视器】菜单内的【主机列表】选项,界面中显示的是所有在线的本网主机地址以及外网服务器地址信息。可以分别选择MAC地址、IP地址以及IPX地址。通常情况下,由于网络中所有终端的对外数据交换行为,如浏览网站、上传下载等,都是各终端与网关在数据链路层中进行的,为了分析链路层的数据交换行为,需要获取MAC地址的连接情况。通过主机列表,可以直观地看到流量最大的前十位主机地址,如图1.16从图中可以看到主机地址、创建时间、数据报通信量等信息,可以为对主机的分析提供较多的信息。图1.16 主机列表图3、矩阵点击快捷操作菜单上的图标,或选择【监视器】菜单内的【矩阵】选项,可以显示全网的所有连接情况,即主机会话情况。处于活动状态的网络连接被标记为绿色,已发生的网络连接被标记为蓝色,线条的粗细与流量的大小成正比。如图1.17(a)为当前主机与物理地址为000BAB2AB6F4的主机的通信状况,二者之间已经发生链接;1.17(b)为当前整个网络的连接示意图。 图1.17(a) 单机连接矩阵示意图 图1.17(b) 全网连接矩阵示意图4请求响应时间(ART)ART窗口用来显示网络中Web网站的连接情况,可以看到局域网中有哪些计算机正在上网,浏览的是哪些网站等如图1.18所示。从图中可以看出源主机正在运行的协议和该写一下的请求和回复数据包的大小,即该窗口中显示了局域网内的通信及数据传输大小,并且显示了本地计算机与Web网站的IP地址。通过单击左侧工具栏中的图标,以柱形图方式显示网络中计算机的数据传输情况,如图1.18(c)所示,不同顺序图柱代表右侧列表中的相应连接,柱形长短表示传输量的大小。 图1.18(a)网络协议链接状况(MAC) 图1.18(b)网络协议链接状况(IP)1.18(c) 数据传输量柱状图图1.19 ART监视功能图图1.19中,请求响应时间用来显示网络中Web网站的连接情况,可以看到局域网中有哪些计算机正在上网,浏览的是哪些网站等。如果一个数据包的目的IP是57,目的端口是138,那么就可以认定7是NetBios的服务器地址,而源IP就是客户地址。利用应用响应时间的监视功能,可以快速获得某一业务的响应时间。5、历史取样收集一段时间内的各种网络流量信息。通过这些信息可以建立网络运行状态基线,设置网络异常的报警阈值。默认情况下,历史采样的缓冲有3600个采样点,每隔15秒进行一次采样,采样15个小时后自动停止。如果想延长采样时间,可以通过修改采样间隔时间或者设置缓冲区属性的方式。具体做法是:单击【属性】按钮,修改采样间隔,并勾选“当缓冲区满时覆盖”的条件。此外,还可以灵活的选择多种采样项目。历史取样用来收集一段时间内的各种网络流量信息。通过这些信息可以建立网络运行状态基线,设置网络异常的报警阈值。在试验进行时,如图1.20,可以看到在其下有诸多选项记录Sniffer之下的操作,便于查找。图1.20 历史取样样图6、协议分布分析网络中不同协议的使用情况。通过协议分布功能可以直观的看到当前网络流量中协议分布情况,了解各类网络协议的分布情况以后,可以找到网络中流量最大的主机,这意味该主机对网络的影响也就最大,如图1.21是当前网络协议使用量的饼状图,重中可以清晰的看到当前占用网络通信量最大的协议是IP协议,其次是IP下的ARP协议。 图1.20 网络协议使用量饼状图 图1.21 响应时间分布图7、全局统计表全局统计数据能够显示网络的总体活动情况,并确认各类数据包通信负载大小,从而分析网络的总体性能及存在的问题。全局统计表提供了与网络流量相关的各类统计测量方式。n 粒度分布:根据数据包大小与监测到的通信总量之比,显示每个数据包的发生频率。n 利用率分布:按照10%为基本度量单位,显示每组空间内网络带宽的分布情况。图1.22 主机通信量分布图8、警告日志 警报日志用于全面检测和记录网络异常事件,一旦超过用户设置的阈值参数,警报器会在警报日志中记录相应事件。选择“工具”菜单中的“选项”,单击“警报”选项卡,选择“定义强度”,可以修改警报强度,如图1.23所示。从图中可以看到在6月13日,有Minor发送了一个Expert的错误。图1.23 警告日志(四) 网络协议嗅探(从此处开始,转换了实验机器,IP和MAC地址等发生了变化)为了得到我们所需要的数据包,可以通过过滤器,定义过滤规则,具体做法如下:在主界面选择“捕获”菜单中的“定义过滤器”选项。其中,“地址”选项卡是最常用的过滤手段,包括MAC地址、IP地址和IPX地址的过滤定义。以定义IP地址过滤为例,如图1.24所示。 图1.24 IP地址过滤设定界面 图1.25协议过滤设定界面在“高级”设置栏目内,可以定义数据包大小,缓冲区大小以及文件存放位置等。将定义好的过滤器应用于捕获操作中,启动“捕获”功能,就可以运用各种网络监控功能分析网络数据流量及各种数据包具体情况。(五) FTP协议分析按照实际需要,定义过滤器,并应用该过滤器捕获FTP协议信息。运行数据包捕获功能。为了实现以上功能,需要先对过滤器进行设置,如图1.26。图1.26 过滤器设置图 图1.27 登陆FTP站点在sniffer捕获状态下,进行FTP站点操作。登录FTP站点,位置信息为“”,用户名和密码均为匿名(anonymous)。看到系统登录成功的提示后,用户可以进行自定义操作,对FTP站点和文件进行操作,如图1.27。通过点选【捕获停止】或者【停止并显示】按钮停止sniffer捕获操作,并把捕获的数据包进行解码和显示。通过对报文解析,可以看到sniffer 捕获到了用户登录FTP的用户名称和明文密码,对于用户进行的若干FTP站点操作行为,sniffer都能够捕获到相关信息,如图1.28。从图中可以看到IP为54的主机登陆了IP为202.1118.176.254的FTP服务器。图1.28 Sniffer捕获FTP登陆信息截图图1.29 Sniffer捕获FTP登陆信息解码截图 由图1.29可以看到21通过端口54453向地址为54发送了长度为70的FTP请求报文。(六)Telnet协议分析按照实际需要,定义如图1.30所示的过滤器,并应用该过滤器捕获Telnet协议信息。运行数据包捕获功能。图1.30 过滤器设置图在应用Telnet方式登录远程计算机之前,需要开启TELNET服务。如果计算机安装的是WINDOWS 7操作系统,则需要单独下载TELNET.exe程序。在登录远程计算机时,需要知道该计算机的用户名和密码,如图1.31,用户名为administer,密码为123456但出于安全性考虑,telnet登录时口令部分不回显。 图1.31(a) Telnet登陆图 图1.31(b)登陆成功由于telnet登录时口令部分不回显,只能抓取从client到server的报文才能获取明文口令。所以一般嗅探软件无法直接看到口令。缺省情况下,telnet登录时进入字符输入模式,而非行输入模式,此时基本上是客户端一有击键就立即向服务器发送字符,TCP数据区就一个字节。客户端telnet到服务端时,一次只传送一个字节的数据;由于协议的头长度是一定的,所以telnet的数据包大小=“DLC(14字节)+IP(20字节)+TCP(20字节)+数据(一个字节)”,共55个字节,因此,可以将Packet Size设为55,以便捕获到用户名和密码,如图1.32所示。 图1.32 定向捕获设置图 图1.33 用户名和密码再次重复捕获过程,即可显示用户名和明文密码,如图1.33所示,用户名为“administrator”,口令为“123456”五、实验分析正常情况下,网络只接受与目的地址为自己的数据报,但通过Sniffer 程序可以将网络适配卡设置为杂乱模式状态,用以接收传输在网络上的每一个信息包。一般来讲,网络硬件和TCP/IP 堆栈不支持接收或者发送与本地计算机无关的数据包,所以,为了绕过标准的TCP/IP堆栈,网卡就必须设置为我们刚开始讲的混杂模式。一般情况下,要激活这种方式,内核必须支持这种伪设备Bpfliter ,而且需要root 权限来运行这种程序,所以sniffer 需要root 身份安装,如果只是以本地用户的身份进入了系统,那么不可能嗅探到root 的密码,因此不能运行Sniffer。也有基于无线网络、广域网络(DDN, FR) 甚至光网络(POS、Fiber Channel) 的监听技术,这时候略微不同于以太网络上的捕获概念,其中通常会引入TAP 这类的硬件设备来进行数据采集。如何捕获HTTP协议下的用户名和密码。定义过滤器捕获http协议信息,运行捕获功能。之后被嗅探主机开启http服务,比如浏览网页。保存数据,解码并分析,在工作站向服务器发出的网页请求命令数据当中就有用户名和密码。分析TCP协议的头结构,以及两台主机之间建立连接的过程。TCP头结构 TCP协议头最少20个字节,包括以下的区域:TCP源端口 、TCP目的端口、TCP序列号、TCP确认、数据偏移量、保留、控制位、检验和、紧急指针、选项、填充。主机连接过程TCP是因特网中的传输层协议,使用三次握手协议建立连接。当主动方发出SYN连接请求后,等待对方回答SYN+ACK,并最终对对方的SYN执行ACK确认。这种建立连接的方法可以防止产生错误的连接,TCP使用的流量控制协议是可变大小的滑动窗口协议。TCP三次握手的过程如下:客户端发送SYN(SEQ=x)报文给服务器端,进入SYN_SEND状态。服务器端收到SYN报文,回应一个SYN (SEQ=y)ACK(ACK=x+1)报文,进入SYN_RECV状态。客户端收到服务器端的SYN报文,回应一个ACK(ACK=y+1)报文,进入Established状态。三次握手完成,TCP客户端和服务器端成功地建立连接,可以开始传输数据了六、实验体会此次实验里,我对sniffer软件的应用有了新的了解。 在此次实验的过程中,安装完Sniffer Pro软件后,需要重启计算机,由于之前进入的是第一个系统,第一个系统自带还原卡导致所有操作前功尽弃。在完成Sniffer Pro软件安装后,刚开始打不开,这是由于电脑所配备的java环境与Sniffer Pro软件自带的脚本冲突。解决办法可以通过任务管理器将该进程关闭另外,这次实验中,我对各个网络协议进行了复习,更加熟悉,也有了新的认识。对于不同协议下数据包的分析可以根据协议的包的大小进行筛选过滤,更容易找到想要的包。我们可以看到,网络通信的并不是完全的安全,在使用互联网通信时,我们仍不能忽视各种防护措施的应用,要对重要信息进行额外的加密算法。实验二、剖析远程控制程序一、实验目的1、软件的安装与使用通过本实验,学会在Windows环境下安装pcAnywhere。2、 配置被控端(hosts)通过本实验,学会在Windows环境下安装pcAnywhere被控端。3、 配置主控端(Remotes)通过本实验,学会在Windows环境下安装pcAnywhere主控端。4、 扩展实验利用pcAnywhere软件对远程计算机进行控制。二、实验仪器与器材pcAnywhere软件系统1套、PC(Windows XP/Windows 7)1台三、实验原理远程控制,是指管理人员在异地通过计算机网络连通被控制的计算机,将被控计算机的桌面显示到自己的计算机上,通过本地计算机对远端计算机进行配置、软件安装、文件编辑等工作。这里的远程指的是通过网络控制远端计算机。当操作者使用主控计算机控制被控计算机时,可以启动被控端计算机的应用程序,使用被控端的文件资料,甚至可以利用被控端计算机的外部设备和通信设备来进行工作。远程控制必须通过网络才能进行。位于本地的计算机是操作指令的发出段,成为主控端或客户端;非本地的被控计算机叫做被控端或服务器端。远程控制软件一般可以分为两个部分;一个客户端程序C1ient,一个服务器端程序Server,在使用前需要将客户端程序安装到主控端电脑上,将服务器端程序安装到被控端电脑上。它的控制过程一般是先在主控端上执行客户端程序,像一个普通客户一样向被控端电脑中的服务器端程序发出信号,建立一个特殊的远程服务,然后通过这个远程服务,使用各种远程控制功能发送远程控制命令,控制被控端电脑中的各种应用程序运行,这种远程控制方式称为基于远程服务的远程控制。通过远程控制软件,可以进行很多方面的远程控制,包括获取目标计算机屏幕图像、窗口及进程列表;记录并提取远端键盘事件(击键序列 ,即监视远端键盘输入的内容);打开、关闭目标计算机的任意目录并实现资源共享;提取拨号网络及普通程序的密码;激活、中止远端进程:打开、关闭、移动远端窗口;控制目标计算机鼠标的移动与动作( 操作):浏览目标计算机文件目录,任意删除目标计算机的磁盘文件;上传、下载文件,就如操作自己的计算机的文件一样的简单;远程执行目标计算机的程序:强制关闭Windows 、关闭系统(包括电源、重新启动系统;提取、创建、修改、删除目标计算机系统注册表关键字;在远端屏幕上显示消息;启动目标计算机外设进行捕获、播放多媒体音频文件:控制远端录、放音设备音量以及进行远程版本升级更新等。此类软件可以用在一些网络使用较为复杂、需要大量维护、管理工作的环境。四、实验过程与测试数据1、软件的安装与使用打开pcAnywhere V12.5的主安装文件,进入安装界面,如下图所示。在许可协议中选择“我接受许可协议中的条款”,并单击“下一步”按钮。在客户信息中填写“用户名”和“组织”,如下图所示。在“安装位置设置”中选择pcAnywhere的安装磁盘位置,默认路径即可,如图2.1。图2.1(a) 安装过程图 图2.1(b) 安装过程图图2.1(c) 安装过程图 图2.1(d) 安装过程图在“自定义安装”的自定义设置中,作为主机管理员,可以选择典型安装,即主机管理员和主机管理员代理;但作为被控端,需要同时选择这两项,如图2.2,选中Symantec pcAnywhere,意思是在桌面上放置pcAnywhere的快捷方式,单击“下一步”按钮。 图2.2(a)自定义设置图 图2.2(b)自定义设置图如图2.3,安装pcAnywhere的主要程序,完成pcAnywhere的安装。 图2.3(a) 安装成功示意图 图2.3(a) 安装成功示意图打开桌面上的图标Symantec pcAnywhere,如图2.4所示。单击“转到高级视图”选项,界面左侧会有各种选择项,如图2.5所示 图2.4 界面截图 图2.5 “高级选项”截图2、配置被控端(hosts)选择界面中的主机后,单击添加功能,进入被控端的连接向导,选择“我想使用电缆调制解调器/DSL/LAN/拨号互联网ISP”单选项,单击“下一步”按钮,如图2.6(a)所示;选择连接模式,选择“等待有人呼叫我”,如图2.6(b)所示。在这种设定下,当被控端呼叫时,控制端将以拨号的方式链接被控端。 2.6(a) 添加被控端选项 2.6(b) 连接呼叫选项在验证类型中选择第一个选项则使用Windows现有账户,选择第二个选项则是创建pcAnywhere新的用户和密码,如图2.7所示。在此过程中,需要选择Windows用户。 图2.7(a) 选择账户 图2.7(b) 创建用户单击“下一步”按钮,默认创建完成。允许用户再次确认连接选择,并选择是否连接完成后等待来自远程计算机的连接。在创建完成后程序会提示对新主机进行命名,例如,命名为“student”。右击需要配置的连接项目,选择“属性”窗口,更改属性。连接信息:指的是建立连接时所使用的协议。一般默认TCP/IP,可以根据实际需要选择合适的协议,如图2.8,本实验以常见的TCP/IP协议为例,如下图所示。设置:远程控制中,被控制端只有建立安全机制,才能有效地保护系统不被恶意控制所破坏。 图2.8(a) 确定连接协议 图2.8(b) 确定连接协议呼叫者:指的是可以创建连接到本机的用户账号及密码。如图2.9所示。安全:指可以设置本机的安全策略;保护项目:语序用户输入密码来保护当前设置的被控端选项,保护任何人试图查看或更改该被控端的选项时,都将需要输入密码来确认。如图2.10,对安全选项和保护项目进行了设置。图2.9 呼叫者设置 图2.10(a)安全选项设置图 2.10(b)保护项目设置 3、配置主控端(Remotes)设置好被控端后,另一项十分重要的工作就是配置主控端计算机。在管理窗口中,单击“远程”,通过这个页面可以完成主控端连接项目的设置。单击下面的“添加”按钮,在向导中输入被控端计算机的IP地址,如图2.11所示。单击“下一步”按钮完成控制端的添加,程序提示对名称进行重命名,例如student。 图2.11(a) 指定被控端计算机示意图 图2.11(b) 连接成功示意图右击需要配置的连接项目,选择“属性”,弹出配置窗口。对话框中欧诺个有五个选项卡可供设置。连接信息:设置方式和内容与被控端的设置基本相同,如图2.12所示。设置:用于配置远程连接选项。设置如图2.13所示。 图2.12 连接信息设置图 2.13远程控制设置。自动化任务:用于设置使用该连接的自动化任务。安全选项:用于设置主控端在远程控制过程中使用的加密级别,默认是不加密的。保护项目:功能与被控端的设置相同。如图2.14对其进行设置。图2.14(a) 加密设置 图2.14(b) 保护项目设置设置完毕后,右击主控端,选择“开始远程控制”,即可自动连接至远程主机的桌面实现安全的桌面远程操作。作为被控端,在主机中双击主机(student)即可,任务栏的右下角会有图标提示。作为主控端,选中远程中的student,单击左侧的启动连接或者双击student,出现如图2.15所示界面。启动远程控制后pcAnywhere就开始按照设置的要求尝试连接远端的被控计算机。控制界面如下图所示,连接成功后将按要求进入远程操作界面或者文件传输界面,可以在远程操作界面中遥控被控计算机。图2.15 远程遥控界面 图2.16 主机登录示意图 图2.17 远程控制截图4、扩展实验任务一:从机(被控端)的pcAnywhere基本配置通信双方中,一方为“主控端”(主机),另一方为“被控端”(从机)。启动从机的pcAnywhere,在工具栏单击“被控端”,再右击工作区的“NETWORK,CABLE,DSL”选项,选择“属性”。其中,默认协议设为TCP/IP,不要更改。选择“呼叫者”,在“验证类型”下拉列表中选择pcAnywhere,右击呼叫者列表,选择新建,如图2.18。输入新建用户的登录名和密码,只有拥有保护项目中的登录名和密码的用户才能呼叫并控制从机。 图2.18 协议选择截图 图2.19 保护项目设置修改被控端的用户登录密码,修改部分系统环境。任务二:主机(主控端)的pcAnywhere基本配置启动从机的pcAnywhere,在工具栏单击“主控端”,再右击工作区的“NETWORK,CABLE,DSL”选项,选择“属性”。其中,默认协议设为TCP/IP,不要更改。选择“设置”,在“控制的网络被控端PC或IP地址(N):”后输入从机的IP地址并单击“确定”按钮,如图2.20。图2.20 主控端的基本配置图任务三:远程控制的实施运行从机的pcAnywhere,选择“被控端”,双击“NETWORK,CABLE,DSL”,表示从机现在处于等待状态,随时接受主机的呼叫,如图2.21。图2.21 等待呼叫设置运行主机的pcAnywhere,选择“主控端”,双击“NETWORK,CABLE,DSL”,结果分两种。任务四:在主机上对从机进行操纵单击工具栏中的“改为全屏显示”按钮,可全屏显示从机的桌面而隐藏主机的“开始”菜单和“任务栏”。如图2.22单击工具栏中的“文件传输”按钮,左边显示的是主机资源,右边显示的是从机资源,利用鼠标的拖放功能科实现文件的双机相互拷贝。图2.22 拷贝功能如图2.23,单击工具栏中的“查看修改联机选项”按钮,设置锁定从机键盘,单击工具栏中的“结束远程控制对话”按钮。图2.23 结束远程控制五、实验分析远程控制的使用已经越来越被人们需要,让使用者像使用面前的计算机一样操控远程的计算机,使得在任何地方实现对某台计算机的操作成为可能。本实验中用到的是pcAnywhere软件系统,这个软件系统功能强大,有如下功能:远程开机,远程控制桌面,远程复制、粘贴文字,允许多重连,文件管理,查看登录记录。在此次的实验中,由于实验较简单,基本没有遇见什么问题。六、实验体会本次实验里,我进行了远程控制操作,感受到了远程控制服务的方便快捷,和远程控制技术的强大魅力。在很多人都有了许多的数码产品,但是却不方便随身携带的条件下,运用远成技术可以满足当今社会许多公司和个人的需求。但是在这样的远程控制下,许多安全问题就更要考虑,防止未经允许的远程控制是十分必要的一个问题。通过本次内容掌握了对远程桌面连接过程的,远程桌面,主要包括客户端和服务器端,每台windows xp 都同时包括客户端和服务器端,也就是说他既可以当成客户端来连到其他的装了Windows xp的电脑,并控制他,也可以自己当成服务器端,让别的电脑来控制自己。实验三、SSL、VPN应用及防护墙技术一、实验目的1、通过本实验,掌握VPN服务器搭建技术。2、通过本实验,掌握VPN服务器搭建技术3、 通过本实验,掌握天网防火墙的安装及基本配置;学会利用天网防火墙保护系统安全。4、通过本实验,掌握瑞星防火墙的安装及基本配置;学会利用瑞星防火墙保护系统安全。5、通过本实验,掌握主流防火墙的性能和功能。二、实验仪器与器材PC(Windows XP/Windows 7)1台Open VPN 软件系统1套、PC(WIndows XP/Windows 7)1台天网防火墙个人版软件系统一套、PC(WIndows XP/Windows 7)1台瑞星防火墙个人版软件系统一套、PC(Windows XP/Windows 7)1台天网防火墙个人版软件系统一套、瑞星防火墙个人版软件系统一套、瑞星防火墙个人版软件系统一套、PC(Windows XP/Windows 7)1台三、实验原理所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。SSL协议是一种在Internet上保证发送信息安全的通用协议。它处于应用层。SSL用公钥加密通过SSL连接传输的数据来工作。SSL协议指定了在应用程序协议(如HTTP、Telnet和FTP等)和TCP/IP协议之间进行数据交换的安全机制,为TCP/IP连接提供数据加密、服务器认证以及可选的客户机认证。SSL协议包括握手协议、记录协议以及警告协议三部分。握手协议负责确定用于客户机和服务器之间的会话加密参数。记录协议用于交换应用数据。警告协议用于在发生错误时终止两个主机之间的会话。SSL也有两个主要缺点:(1)SSL提供的保密连接存在较大的漏洞:SSL除了能保证传输过程中的安全之外,不能提供其他任何安全保证,不能让客户明明白白的知道商家接收信用卡支付是已经通过授权的,换句话说,商家、客户和银行之间缺少彼此之间的认证。因此不不法分子很有可能借此漏洞进行一些欺诈行为。即使是一个真实可靠的网上商家,如果在收到消费者的信用卡号码之后没有采取措施保证它的安全性,那么信用卡号码也会很容易被一些网络黑客窃取的。(2)SSL不能提供很好的隐私保护:在SSL的交易过程中,消费者需要将所有的信息都传输给商家,消费者的信息包括支付信息和定单信息。在这个过程中商家可以看到消费者的所有信息,包括信用卡卡号信息。而消费者不希望商家看到除定单信息以外的其他隐私信息,同样,消费者也希望银行只看到支付信息,看不到其他信息,比如订购了什么东西等等。所以说在SSL交易过程中客户的隐私得不到很好的保障。VPN(虚拟专用网):主要应用于虚拟连接网络,它可以确保数据的机密性并且具有一定的访问控制功能。VPN 是一项非常实用的技术 ,它可以扩展企业的内部网络,允许企业的员工、客户以及合作伙伴利用Internet 访问企业网,而成本远远低于传统的专线接入。过去,VPN 总是和 IPSec 联系在一起 ,因为它是VPN 加密信息实际用到的协议。IPSec 运行于网络层,IPSecVPN 则多用于连接两个网络或点到点之间的连接。四、实验过程与测试数据1、VPN配置实验首先进入计算机管理找到服务与应用程序,找到Routing and Remote access选项右击属性。将禁止改为自动,并启动服务,具体如图3.1所示。右击网上邻居,在快捷菜单中找到“网络连接”窗口,会发现增加了一个传入的连接。具体如图3.2所示。 图3.1 启动服务 图3.3 新出现的一个连接右击 “传入的连接”在常规卡中选择直接并行,用户选择Administrator,协议选择包含IPX的协议具体分别如图3.4所示。 图3.4 配置协议与用户属性 双击Internet协议,填写与VPN同一网段的地址。具体如图3.5所示 图3.5 配置VPN网段 打开网络连接,创建下一个连接,一直点击下一步,涉及公司一栏可不填写,具体流程如图3.6 图3.6(a) 安装过程 图3.6(b) 安装过程 图3.6(c) 安装过程点击下一步,输入VPN的IP地址,IP地址为9具体如图3.7所示 图3.7 输入VPN地址双击VPN服务器,输入正确的密码与账户,即可连接VPN,具体如图3.8所示。 图3.8 连接VPN2、SSL VPN配置实验首先安装Openvpn-2.1.4软件,路径按照默认路径进行安装。具体安装过程如图3.9所示。 图3.9 Openvpn-2.1.4安装在本机系统上面安装openvpn软件,直接安装。安装完成后修改easy-rsa文件里面vars.bat.sample配置信息,用写字板打开,修改完之后将其后缀改为.bat,配置信息如下,也可以不修改。(这里不做更改)把openssl.conf.somple改为openssl.conf,在dos环境下分别输入vars与clean-all.bat命令。具体如图3.10所示。 图3.10 执行命令的界面生成CA,输入build-ca.bat.,build-dh.bat,具体如图3.11所示。 图3.11 生成CA然后,生成服务器端使用的证书,输入命令为build-key-sever.bat.sever,具体如图3.12所示。 图3.12 生成服务器端使用的证书 然后,输入一些必要的信息,正常的都已经设置好,正常输入即可。完成后输入build-key.bat client指令。具体界面如图3.13所示 图3.13 注册信息与注册界面 完成后,对服务器进行配置,Sever.Ovpn的内容如图3.14所示 图3.14 Sever.Ovpn的内容将生成的ca.crt.dh1024.pem,sever.crt,sever.key及相关配置文件复制到C:Program FilesOpenvpnconfig目录下。具体如图3.15所示。 图3.15 储存目录对客户端的client.opvpn的配置文件进行修改,然后对Client端配置,在Internet地址中填入Server端IP地址,如图3.16所示,填入授权的用户名和密码,即先前创建的账号和密码。 图3.16 配置授权用户与密码3、天网防火墙实验首先安装天网防火墙软件,安装目录选择系统默认路径。具体如图3.17所示。 图3.17 安装目录打开天网防火墙软件,可以对局域网进行设置,具体如图3.18所示,其中本人机器的局域网IP地址为7。 图3.18 局域网设置此外还可以对应用程序访问网络权限以及IP规则进行设置,具体如图3.19所示。可以通过设置相应权限,可以禁止一些不必要的服务程序或者进程继续运行,减少网络承载负担 图3.19 应用程序权限与IP规则设置4 瑞星防火墙实验首先安装瑞星防火墙,按照默认路径进行安装,具体如图3.20所示。 图3.20 瑞星防火墙安装安装完成后,可以设置黑名单来禁止某个IP的访问,比如禁止IP为2的用户访问。具体如图3.21所示。 图3.21 设置黑名单利用瑞星防火墙,可以设置IP规则与联网程序规则,具体如图3.22所示。 图3.22 IP规则与联网程序规则5、 实验分析本实验中实现了对SSLVPN 的配置,包括了基础环境配置,启动系统服务,客户端的相关配置,VPN的使用配置,服务器端配置,客户端连接配置。本次实验里,遇到了一些问题。在VPN的配置中,我导入多个用户的信息,试图使几个用户一起接入,但是遇到连接错误提示,仔细阅读实验指导书我发现不可以同时接入多个用户。再次接入一个用户,发现接入成功。 该实验分为两个部分。一个是学会配置VPN和SSL VPN,

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论