网络安全管理-学习工作页

资源描述

《网络安全管理-学习工作页》由会员分享，可在线阅读，更多相关《网络安全管理-学习工作页（18页珍藏版）》请在金锄头文库上搜索。

1、学习工作页学习领域：网络安全管理网络安全管理学习情境：个人电脑安全管理姓名：班级：工作任务：ARP 病毒诊断与防御日期：组别： 1.1.11.1.1 学习情境描述学习情境描述最近某办公室反映很多电脑上网速度慢，一部分职员 Email、FTP、QQ 帐号被盗，技术主管怀疑他们中了 ARP 病毒，要求你先模拟 ARP 病毒攻击，了解 ARP 病毒的特征和原理，找出中了 ARP 病毒的主机，并给出诊断与防御方案。1.1.21.1.2 工作任务分析工作任务分析获得 ARP 病毒攻击工具 Cain 并进行安装获得协议分析工具 WireShark 并进行安装选好攻击对象，使用 Cain 工具

2、进行攻击使用 WireShark 获取网络流量，分析 ARP 病毒的特征使用 Cain 工具对攻击对象的流量数据进行解密列举 ARP 病毒攻击的危害给出 ARP 病毒的诊断方案给出 ARP 病毒的防御方案 1.1.31.1.3 相关专业知识相关专业知识1.ARP 协议的工作机理 ARP 协议的原理。介绍 ARP 协议之前必须知道为什么需要知道 ARP 协议，因为当我们在访问某个网络或者 ping 某个网址如：ping 时候，接着会产生什么呢？要解析成为 IP 地址，但是在网络中数据传输是以帧的形式进行传输，而帧中有目标主机的 MAC 地址，（MAC 地址即硬

3、件地址，每台主机上都有唯一的一个地址），本地主机在向目标主机发送帧前，将目标主机 IP 地址解析成为 MAC 地址，这就是通过 APR 协议来完成的。首先，我们假设有两台主机 A,B 在互相通信，假设 A（192.168.1.2）, B（192.168.1.4）双方都知道对方的 IP 地址，如果 A 主机要向 B 主机发送“hello” ，那么 A 主机（当然如果在 A 主机中已经缓存有 B 主机的 MAC 地址（硬件地址）那么就不用再去进行下面的查找了），首先要在网络上发送广播（一般都是在同一个网段内进行的），广播信息类似于 “192.168.1.4 的 M

4、AC 地址（硬件地址）是什么” ，如果 B 主机听见了，那么 B 主机就会发送“192.168.1.4 的 MAC 地址是” *.*.*.* ” “，MAC 地址一般都是 6Byte 48bit 的格式，如“04-a3-e3-3a” ，这样 A 主机就知道 B 主机的 MAC 地址，所以发送数据帧时，加上 MAC 地址就不怕找不到目标主机的了。完成广播后，A 主机会将 MAC 地址加入到 ARP 缓存表（所谓 ARP 缓存表就是一张实现 IP 和 MAC 地址进行一一对应的表，并且存储起来），以备下次再使用。 2.ARP 相关命令 Windows ARP 命令允许显示 ARP

5、表，删除表中的条目，或者将静态条目添加到表中。ARp 常用命令选项： arp -a 或 arp g 用于查看高速缓存中的所有项目。-a 和-g 参数的结果是一样的， arp -a Ip 如果我们有多个网卡，那么使用 arp -a 加上接口的 Ip 地址，就可以只显示与该接口相关的 ARp 缓存项目。 arp -s Ip 物理地址我们可以向 ARp 高速缓存中人工输入一个静态项目。该项目在计算机引导过程中将保持有效状态，或者在出现错误时，人工配置的物理地址将自动更新该项目。 arp -d Ip 使用本命令能够人工删除一个静态项目。例如我们在命令提示符下，键入 Arp a；如果我们使用过

6、ping 命令测试并验证从这台计算机到 Ip 地址为 10.0.0.99 的主机的连通性，则 ARp 缓存显示以下项： Interface:10.0.0.1 on interface 0x1 Internet Address physical Address Type 10.0.0.99 00-e0-98-00-7c-dc dynamic 在此例中，缓存项指出位于 10.0.0.99 的远程主机解析成 00-e0-98-00-7c-dc 的媒体访问控制地址，它是在远程计算机的网卡硬件中分配的。媒体访问控制地址是计算机用于与网络上远程 TCp/Ip 主机物理通讯的地址。至此我们可以用 i

7、pconfig 和 ping 命令来查看自己的网络配置并判断是否正确、可以用 netstat 查看别人与我们所建立的连接并找出 ICQ 使用者所隐藏的 Ip 信息、可以用 arp 查看网卡的 MAC 地址。3.网络嗅探的原理网络嗅探器，可以理解为一个安装在计算机上的窃听设备，它可以用来窃听计算机在网络上所产生的众多的信息，可以窃听计算机程序在网络上发送和接收到的数据，用来接收在网络上传输的信息。很多计算机网络采用的是“共享媒体“。也就是说，不必中断他的通讯，并且配置特别的线路，再安装嗅探器，几乎可以在任何连接着的网络上直接窃听到同一掩码范围内的计算机网络数据。这种窃听

8、方式为“基于混杂模式的嗅探” （promiscuous mode）。以太网的工作原理。以太网的数据传输是基于“共享”原理的：所有的同一本地网范围内的计算机共同接收到相同的数据包。这意味着计算机直接的通讯都是透明可见的。正是因为这样的原因，以太网卡都构造了硬件的“过滤器”,这个过滤器将忽略掉一切和自己无关的网络信息。事实上是忽略掉了与自身 MAC 地址不符合的信息。嗅探程序正是利用了这个特点，它把网卡设置为“混杂模式” 。因此，嗅探程序就能够接收到整个以太网内的网络数据信息了。在以太网中所有的通讯都是广播的，也就是说通常在同一个网段的所有网络接口都可以访问在物

9、理媒体上传输的所有数据，而每一个网络接口都有一个唯一的硬件地址，这个硬件地址也就是网卡的 MAC 地址。大多数系统使用 48 比特的地址，这个地址用来表示网络中的每一个设备。一般来说每一块网卡上的 MAC 地址都是不同的，每个网卡厂家得到一段地址，然后用这段地址分配给其生产的每个网卡一个地址。在硬件地址和 IP 地址间使用 ARP 和 RARP 协议进行相互转换。在正常的情况下，一个网络接口应该只响应这样的两种数据帧：与自己硬件地址相匹配的数据帧。发向所有机器的广播数据帧。网卡的工作原理在一个实际的系统中，数据的收发是由网卡来完成的。网卡接收到传输来的数据，网卡内的

10、单片程序接收数据帧的目的 MAC 地址。根据计算机上的网卡驱动程序设置的接收模式判断该不该接收。认为该接收就接收后产生中断信号通知 CPU；认为不该接收就丢掉不管。所以不该接收的数据，网卡就截断了，计算机根本就不知道。 CPU 得到中断信号产生中断，操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。对于网卡一般有四种接收模式：广播方式：该模式下的网卡能够接收网络中的广播信息。组播方式：设置在该模式下的网卡能够接收组播数据。直接方式：在这种模式下，只有目的网卡才能接收该数据。混杂模式：在这种模式下的

11、网卡能够接收一切通过它的数据,而不管该数据是否是传给它的 1.1.41.1.4 任务实施任务实施参考实施步骤见软件使用说明书。完成相应的步骤后回答下列问题： 1.TCP/IP 协议体系有哪四层?IP 地址在哪一层?MAC 地址在哪一层?2.ARP 协议在网络通信中的作用是什么?3.什么是 ARP 缓冲区?4.命令 ARP -a 和 ARP -d 的功能是什么?5.在 ARP 缓存中怎样实现 IP 地址和 MAC 地址静态绑定?静态绑定能维持很久吗?6.简述同一网段主机的通信过程?7.简述实验室中的学生机访问的通信过程?8.简述网关的作用?9.处于混杂模式下的网卡有什么特点?10.网络噢

12、探的基本原理?11.简述 ARP 欺骗的原理?12. Cain 工具有没有噢探功能?13.使用 wireshark 工具查看数据包时怎么样只显示目标地址是 192.168.3.3 的数据包?14.常用的使网卡处在混杂模式的软件包是什么?15.如何查看本地计算机的 ARP 地址，IP 地址和网关?16.如何查看本地计算机的连接状况，开启的端口?17. FTP, HTTP, Telnet 的端口号是什么?18.端口 139， 137， 138， 445 的功能是什么?19.简述子网掩码的作用?20.中了 ARP 病毒的主机有什么现象，为什么?学习工作页学习领域：网络安全管理网络安全管理学习情境：个

13、人电脑安全管理姓名：班级：工作任务：计算机远程控制诊断与防御日期：组别： 1.2.11.2.1 学习情境描述学习情境描述最近某办公室职员甲向网络中心反映他的一个网友在 qq 上说他能看到甲使用电脑的全部文件和甲的计算机操作过程，只要他愿意还可以代替甲给电脑安装软件。技术主管怀疑甲的电脑被人安装了远程控制软件导致被人远程控制，要求你对甲的电脑进行诊断，清除控制程序，并且设计防御方案。 1.2.21.2.2 工作任务分析工作任务分析使用扫描工具（Nmap,X-scan,瑞士军刀）寻找入侵目标使用协议分析工具 WireShark 分析多种扫描方式的特点构造字典，对系统管理

14、员密码进行暴力破解使用 psexec.exe、tftp 等工具在目标主机上远程控制服务器软件 r_server.exe 启动远程控制客户端软件，对目标主机进行远程控制列举远程控制的危害给出被远程控制主机的诊断方案给出远程控制的防御方案1.2.31.2.3 相关专业技术知识相关专业技术知识 1. TCP 三次握手过程 TCP 连接是通过三次握手进行初始化的。三次握手的目的是同步连接双方的序列号和确认号并交换 TCP 窗口大小信息。以下步骤概述了通常情况下客户端计算机联系服务器计算机的过程： 1）客户端向服务器发送一个 SYN 置位的 TCP 报文，其中包含连接的初始序列号

15、x 和一个窗口大小（表示客户端上用来存储从服务器发送来的传入段的缓冲区的大小）。 2）服务器收到客户端发送过来的 SYN 报文后，向客户端发送一个 SYN 和 ACK 都置位的 TCP 报文，其中包含它选择的初始序列号 y、对客户端的序列号的确认 x+1 和一个窗口大小（表示服务器上用来存储从客户端发送来的传入段的缓冲区的大小）。 3）客户端接收到服务器端返回的 SYN+ACK 报文后，向服务器端返回一个确认号 y+1 和序号 x+1 的 ACK 报文，一个标准的 TCP 连接完成。 TCP 使用类似的握手过程来结束连接。这可确保两个主机均能完成传输并确保所有的数据均得以接收。表 2-2-1 tcp 数据包标志TCP ClientFlagsTCP Server1 Send SYN (seq=x)-SYN-SYN Received2 SYN/ACK ReceivedACK Received， Connection Establishedw: ISN (Initial Sequence Number) of the Clientx: ISN of the Server标志控制功能 URG：紧急标志紧急标志置位，ACK：确认标志。确认编号(Ack

展开阅读全文