網(wǎng)絡(luò)安全實(shí)驗(yàn)教程第一講網(wǎng)絡(luò)安全實(shí)驗(yàn)概述目錄1.1引論1.2網(wǎng)絡(luò)安全基本知識1.3網(wǎng)絡(luò)安全實(shí)驗(yàn)基本要求1.4網(wǎng)絡(luò)空間安全國內(nèi)外戰(zhàn)略1.5塔林手冊目錄1.1引論1.2網(wǎng)絡(luò)安全基本知識1.3網(wǎng)絡(luò)安全實(shí)驗(yàn)基本要求1.4網(wǎng)絡(luò)空間安全國內(nèi)外戰(zhàn)略1.5塔林手冊－1.1－－1.2－－1.3－－1.4

－－1.5－1.1.1網(wǎng)絡(luò)空間安全治理體系1.1.2網(wǎng)絡(luò)安全現(xiàn)狀及發(fā)展1.1.4網(wǎng)絡(luò)安全主要影響因素目錄1.1.3黑客及黑客入侵技術(shù)1.1.1網(wǎng)絡(luò)空間安全治理體系－1.1－－1.2－－1.3－－1.4

－－1.5－網(wǎng)絡(luò)安全隨著新時代科技的不斷進(jìn)步，對網(wǎng)絡(luò)的依賴度不斷提高，網(wǎng)絡(luò)空間安全也越來越受到重視和關(guān)注。習(xí)近平總書記指出，沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。1.1.1網(wǎng)絡(luò)空間安全治理體系網(wǎng)絡(luò)安全國家戰(zhàn)略模式根據(jù)不同標(biāo)準(zhǔn)可以有不同分類。從一國戰(zhàn)略與其他國家戰(zhàn)略的關(guān)系看，可分為“主導(dǎo)型”戰(zhàn)略模式、“跟隨型”戰(zhàn)略模式和“自主型”戰(zhàn)略模式。－1.1－－1.2－－1.3－－1.4

－－1.5－主導(dǎo)型跟隨型自主型1.1.1工業(yè)信息互聯(lián)網(wǎng)在討論我國網(wǎng)絡(luò)安全國家戰(zhàn)略模式以及進(jìn)行具體設(shè)計(jì)之前，應(yīng)科學(xué)準(zhǔn)確地認(rèn)識我國網(wǎng)絡(luò)安全保障體系建設(shè)與發(fā)展的內(nèi)部條件，既要科學(xué)看待存在的差距和不足，避免盲目自信、盲目樂觀，又要準(zhǔn)確定位自身優(yōu)勢，避免民族虛無主義，一味崇洋。－1.1－－1.2－－1.3－－1.4

－－1.5－我國的優(yōu)勢體制優(yōu)勢經(jīng)濟(jì)優(yōu)勢后發(fā)優(yōu)勢1.1.2網(wǎng)絡(luò)安全現(xiàn)狀及發(fā)展網(wǎng)絡(luò)安全問題主要包括：1.人為安全問題：信息泄漏、信息竊取、數(shù)據(jù)篡改、計(jì)算機(jī)病毒；2.設(shè)備安全問題：自然災(zāi)害、設(shè)計(jì)缺陷、電磁輻射。－1.1－－1.2－－1.3－－1.4

－－1.5－人為安全問題網(wǎng)絡(luò)安全技術(shù)主要包括防火墻技術(shù)、入侵檢測技術(shù)以及防病毒技術(shù)。這三種網(wǎng)絡(luò)安全技術(shù)還是針對數(shù)據(jù)、單一系統(tǒng)、以及軟硬件本身的安全保障。設(shè)備安全問題防火墻入侵檢測防病毒1.1.2網(wǎng)絡(luò)安全現(xiàn)狀及發(fā)展網(wǎng)絡(luò)威脅趨勢分析－1.1－－1.2－－1.3－－1.4

－－1.5－01垃圾郵件和網(wǎng)絡(luò)欺騙02云計(jì)算為網(wǎng)絡(luò)犯罪提供了新的技術(shù)03智能手機(jī)安全問題愈發(fā)嚴(yán)重04搜索引擎成為黑客全新贏利方式黑客攻擊過程包括以下步驟1.1.3黑客及黑客入侵技術(shù)黑客入侵一般分為信息收集、探測分析系統(tǒng)安全弱點(diǎn)以及實(shí)施攻擊三個步驟。－1.1－－1.2－－1.3－－1.4

－－1.5－1隱藏自己的蹤跡在目標(biāo)系統(tǒng)內(nèi)安裝探測軟件，如特洛伊木馬或其他一些遠(yuǎn)程控制程序在被攻擊目標(biāo)系統(tǒng)上進(jìn)一步獲得特許訪問權(quán)，開展對整個系統(tǒng)的攻擊231.1.4網(wǎng)絡(luò)安全主要影響因素網(wǎng)絡(luò)安全的主要影響因素包括以下幾個方面：－1.1－－1.2－－1.3－－1.4

－－1.5－1．系統(tǒng)安全漏洞2．TCP/IP協(xié)議安全3．人為因素目錄1.1引論1.2網(wǎng)絡(luò)安全基本知識1.3網(wǎng)絡(luò)安全實(shí)驗(yàn)基本要求1.4網(wǎng)絡(luò)空間安全國內(nèi)外戰(zhàn)略1.5塔林手冊1.2.1網(wǎng)絡(luò)安全研究內(nèi)容1.2.2網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.2.4信息安全定義目錄1.2.3網(wǎng)絡(luò)安全評價標(biāo)準(zhǔn)－1.1－－1.2－－1.3－－1.4

－－1.5－1.2.1網(wǎng)絡(luò)安全研究內(nèi)容網(wǎng)絡(luò)安全包括以下三個方面的內(nèi)容：－1.1－－1.2－－1.3－－1.4

－－1.5－2.網(wǎng)絡(luò)系統(tǒng)運(yùn)行安全在實(shí)體安全前提下，保證網(wǎng)絡(luò)系統(tǒng)不受偶然的或惡意的威脅，能夠連續(xù)可靠地運(yùn)行，正常的網(wǎng)絡(luò)服務(wù)不中斷。1.計(jì)算機(jī)實(shí)體的安全在一定的環(huán)境下，對網(wǎng)絡(luò)系統(tǒng)中設(shè)備的安全保護(hù)。3.信息安全在網(wǎng)絡(luò)內(nèi)存儲和處理的信息資源具有絕對的保密性、完整性和可用性，不存在被泄露、更改和破壞的風(fēng)險。確保網(wǎng)絡(luò)系統(tǒng)的信息安全是網(wǎng)絡(luò)安全的目標(biāo)：1.2.2網(wǎng)絡(luò)安全體系結(jié)構(gòu)－1.1－－1.2－－1.3－－1.4

－－1.5－OSI模型主要功能常見協(xié)議TCP/IP網(wǎng)絡(luò)主要功能常見協(xié)議應(yīng)用層提供應(yīng)用程序間通訊HTTP，F(xiàn)TP應(yīng)用層提供應(yīng)用程序接口HTTP，F(xiàn)TP表示層數(shù)據(jù)格式，數(shù)據(jù)加密NBSSL,LPP會話層建立，維護(hù)，管理會話RPC,LDAP傳輸層建立主機(jī)端到端連接TCP,UDP傳輸層建立端到端連接TCP,UDP網(wǎng)絡(luò)層尋址和路由選擇IP,ICMP互聯(lián)網(wǎng)層尋址和路由選擇IP,ICMP數(shù)據(jù)鏈路層介質(zhì)訪問和鏈路管理PPP網(wǎng)絡(luò)接口層二進(jìn)制數(shù)據(jù)流傳輸和物理介質(zhì)訪問PPP物理層比特流傳輸

網(wǎng)絡(luò)體系層次1.2.2網(wǎng)絡(luò)安全體系結(jié)構(gòu)OSI參考模型是研究、設(shè)計(jì)新的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)和評估、改進(jìn)現(xiàn)有系統(tǒng)的理論依據(jù)，是理解和實(shí)現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。在OSI安全參考模型中主要包括安全服務(wù)（SecurityService）、安全機(jī)制（SecurityMechanism）和安全管理（SecurityManagement）－1.1－－1.2－－1.3－－1.4

－－1.5－1.2.3網(wǎng)絡(luò)安全評價標(biāo)準(zhǔn)－1.1－－1.2－－1.3－－1.4

－－1.5－中國評價標(biāo)準(zhǔn)第1級為用戶自主保護(hù)級（GB1安全級）第2級為系統(tǒng)審計(jì)保護(hù)級（GB2安全級）第3級為安全標(biāo)記保護(hù)級（GB3安全級）第4級為結(jié)構(gòu)化保護(hù)級（GB4安全級）第5級為訪問驗(yàn)證保護(hù)級（GB5安全級）1.2.3網(wǎng)絡(luò)安全評價標(biāo)準(zhǔn)－1.1－－1.2－－1.3－－1.4

－－1.5－美國國防部開發(fā)的計(jì)算機(jī)安全標(biāo)準(zhǔn)——可信任計(jì)算機(jī)標(biāo)準(zhǔn)評價準(zhǔn)則（TrustedComputerStandardsEvaluationCriteria，TCSEC），即網(wǎng)絡(luò)安全橙皮書，橙皮書把安全的級別從低到高分成4個類別：D類、C類、B類和A類，每類又分幾個級別類

別級

別名

稱主要特征DD低級保護(hù)沒有安全保護(hù)CC1自主安全保護(hù)自主存儲控制C2受控存儲控制單獨(dú)的可查性，安全標(biāo)識BB1標(biāo)識的安全保護(hù)強(qiáng)制存取控制，安全標(biāo)識B2結(jié)構(gòu)化保護(hù)面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力AA驗(yàn)證設(shè)計(jì)形式化的最高級描述和驗(yàn)證1.2.4信息安全定義信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。信息安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。－1.1－－1.2－－1.3－－1.4

－－1.5－目錄1.1引論1.2網(wǎng)絡(luò)安全基本知識1.3網(wǎng)絡(luò)安全實(shí)驗(yàn)基本要求1.4網(wǎng)絡(luò)空間安全國內(nèi)外戰(zhàn)略1.5塔林手冊1.3.1實(shí)驗(yàn)內(nèi)容及要求－1.1－－1.2－－1.3－－1.4

－－1.5－實(shí)驗(yàn)?zāi)康耐ㄟ^網(wǎng)絡(luò)安全實(shí)驗(yàn)使學(xué)生認(rèn)識網(wǎng)絡(luò)安全技術(shù)的基本概念、原理和技術(shù)，掌握基本的網(wǎng)絡(luò)安全攻防技術(shù)，常用工具的使用方法及原理。加深對課堂理論教學(xué)的理解。培養(yǎng)學(xué)生的實(shí)驗(yàn)技能、動手能力和分析問題、解決問題的能力。1.3.1實(shí)驗(yàn)內(nèi)容及要求－1.1－－1.2－－1.3－－1.4

－－1.5－實(shí)驗(yàn)要求通過本實(shí)驗(yàn)課程的學(xué)習(xí)，學(xué)生應(yīng)達(dá)到下列基本要求：1．了解計(jì)算機(jī)網(wǎng)絡(luò)安全的重要性以及相關(guān)的法律法規(guī)，建立網(wǎng)絡(luò)安全意識。2．掌握計(jì)算機(jī)網(wǎng)絡(luò)安全方面的基本技術(shù)，能對系統(tǒng)的安全問題做出相應(yīng)用對策。3．掌握網(wǎng)絡(luò)安全的防范技術(shù)和防計(jì)算機(jī)病毒技術(shù)。目錄1.1引論1.2網(wǎng)絡(luò)安全基本知識1.3網(wǎng)絡(luò)安全實(shí)驗(yàn)基本要求1.4網(wǎng)絡(luò)空間安全國內(nèi)外戰(zhàn)略1.5塔林手冊1.4.1美國網(wǎng)絡(luò)空間安全國家戰(zhàn)略1.4.2俄羅斯網(wǎng)絡(luò)空間安全國家戰(zhàn)略1.4.4英國網(wǎng)絡(luò)空間安全國家戰(zhàn)略目錄1.4.3歐盟網(wǎng)絡(luò)空間安全戰(zhàn)略－1.1－－1.2－－1.3－－1.4

－－1.5－1.4.5我國網(wǎng)絡(luò)空間安全戰(zhàn)略1.4.1美國網(wǎng)絡(luò)空間安全國家戰(zhàn)略－1.1－－1.2－－1.3－－1.4

－－1.5－年份相應(yīng)文件/事件1946年美國針對計(jì)算機(jī)的出現(xiàn)，出臺了《原子能法》1966年《信息自由法》頒布，界定了美國公民可以公開及不可以公開的信息內(nèi)容2000年美國《國家戰(zhàn)略發(fā)展報告》發(fā)布，信息安全戰(zhàn)略被正式列為國家戰(zhàn)略2003年美國正式發(fā)布了《保護(hù)網(wǎng)絡(luò)空間的國家戰(zhàn)略》，提出了三大戰(zhàn)略目標(biāo)和五項(xiàng)重點(diǎn)任務(wù)2015年美國聯(lián)邦政府發(fā)布了2015年版《國家安全戰(zhàn)略》1.4.2俄羅斯網(wǎng)絡(luò)空間安全國家戰(zhàn)略－1.1－－1.2－－1.3－－1.4

－－1.5－年份相應(yīng)文件/事件1992年成立的俄羅斯國家技術(shù)委員會領(lǐng)導(dǎo)國家信息安全，主要負(fù)責(zé)執(zhí)行統(tǒng)一的技術(shù)政策，協(xié)調(diào)信息保護(hù)領(lǐng)域的工作2014年俄羅斯聯(lián)邦委員會公布了《俄羅斯聯(lián)邦網(wǎng)絡(luò)安全戰(zhàn)略構(gòu)想》，確定了保障網(wǎng)絡(luò)安全的優(yōu)先事項(xiàng)。1.4.3歐盟網(wǎng)絡(luò)空間安全戰(zhàn)略－1.1－－1.2－－1.3－－1.4

－－1.5－年份相應(yīng)文件/事件2008年發(fā)布了歐盟成員國中第1份網(wǎng)絡(luò)安全戰(zhàn)略，其后各國陸續(xù)制定同類戰(zhàn)略。2013年歐盟各國達(dá)成共識，《歐盟網(wǎng)絡(luò)安全戰(zhàn)略》正式發(fā)布2013年歐盟在其下屬的歐盟刑警組織成立了歐洲網(wǎng)絡(luò)犯罪中心，以保護(hù)歐洲民眾和企業(yè)不受網(wǎng)絡(luò)犯罪侵害2014年公布了新的網(wǎng)絡(luò)安全戰(zhàn)略，全面對預(yù)防和應(yīng)對網(wǎng)絡(luò)中斷和襲擊提出規(guī)劃1.4.4英國網(wǎng)絡(luò)空間安全國家戰(zhàn)略－1.1－－1.2－－1.3－－1.4

－－1.5－年份相應(yīng)文件/事件2000年前英國首相布萊爾推動創(chuàng)建了“電子英國”計(jì)劃，即以信息化帶動英國經(jīng)濟(jì)和社會的發(fā)展2011年發(fā)布的《英國網(wǎng)絡(luò)安全戰(zhàn)略》提出了未來4年的戰(zhàn)略計(jì)劃以及切實(shí)的行動方案，對英國信息安全建設(shè)做出了戰(zhàn)略部署和具體安排。2015年推出了一個總額6.5億英鎊的“網(wǎng)絡(luò)安全戰(zhàn)略”，意在整體提升國家的網(wǎng)絡(luò)安全水平，凈化和優(yōu)化民眾的上網(wǎng)環(huán)境1.4.5我國網(wǎng)絡(luò)空間安全戰(zhàn)略－1.1－－1.2－－1.3－－1.4

－－1.5－《中華人民共和國國家安全法》首次從法律層級正式提出“國家網(wǎng)絡(luò)空間主權(quán)”這一概念，將其納入國家主權(quán)不可分割的重要組成部分；《中華人民共和國網(wǎng)絡(luò)安全法》也將維護(hù)網(wǎng)絡(luò)空間主權(quán)和國家安全作為立法目的。目錄1.1引論1.2網(wǎng)絡(luò)安全基本知識1.3網(wǎng)絡(luò)安全實(shí)驗(yàn)基本要求1.4網(wǎng)絡(luò)空間安全國內(nèi)外戰(zhàn)略1.5塔林手冊1.5.1《塔林手冊》出臺的背景1.5.2《塔林手冊》的基本內(nèi)容目錄1.5.3《塔林手冊》攻擊和戰(zhàn)時有關(guān)規(guī)定－1.1－－1.2－－1.3－－1.4

－－1.5－1.5.1《塔林手冊》出臺的背景－1.1－－1.2－－1.3－－1.4

－－1.5－《塔林手冊》充分代表了以美國為首的西方國家軍事理論界對網(wǎng)絡(luò)戰(zhàn)規(guī)則的研究成果。該手冊由位于愛沙尼亞首都塔林的北約卓越協(xié)同網(wǎng)絡(luò)防御中心邀請有關(guān)專家組成國際專家組研究完成。整個項(xiàng)目在2009年9月開題，2012年7月完工，歷時3年。1.5.2《塔林手冊》的基本內(nèi)容－1.1－－1.2－－1.3－－1.4

－－1.5－《塔林手冊》的正文分為“國際網(wǎng)絡(luò)安全法”和“網(wǎng)絡(luò)武裝沖突法”兩部分，共有七章95條規(guī)則，每一條規(guī)則后面都附有專家組的評論，對每一條規(guī)則的法律基礎(chǔ)和實(shí)踐意義以及專家組在闡釋問題上的分歧做出了詳細(xì)的評注。1.5.3《塔林手冊》攻擊和戰(zhàn)時有關(guān)規(guī)定－1.1－－1.2－－1.3－－1.4

－－1.5－《塔林手冊》以平時法和戰(zhàn)爭法為分類線索，依據(jù)國際法調(diào)整的國際關(guān)系領(lǐng)域，可以將國際法分為平時國際法和戰(zhàn)時國際法?！端质謨浴肥菓?zhàn)時國際法的適用。戰(zhàn)時國際法也稱為戰(zhàn)爭法，或武裝沖突法。主要包括兩大內(nèi)容：一是“訴諸武力法”，二是“戰(zhàn)時法”（也稱國際人道法）。謝謝！本講結(jié)束網(wǎng)絡(luò)安全實(shí)驗(yàn)第二章網(wǎng)絡(luò)安全研究內(nèi)容目錄2.1密碼技術(shù)2.2防火墻技術(shù)2.3入侵檢測2.4網(wǎng)絡(luò)安全態(tài)勢感知2.5網(wǎng)絡(luò)認(rèn)證技術(shù)目錄2.1密碼技術(shù)2.2防火墻技術(shù)2.3入侵檢測2.4網(wǎng)絡(luò)安全態(tài)勢感知2.5網(wǎng)絡(luò)認(rèn)證技術(shù)2.1.1基本概念2.1.2密碼算法2.1.3網(wǎng)絡(luò)安全應(yīng)用目錄－2.1－－2.2－－2.3－－2.4

－－2.5－－2.1－－2.2－－2.3－－2.4

－－2.5－密碼學(xué):泛指一切有關(guān)研究密碼通信的研究內(nèi)容，密碼具有信息加密、可鑒別性、完整性、抗抵賴性等作用。密碼學(xué)是研究編制密碼和破譯密碼的技術(shù)科學(xué)。隨著通信技術(shù)的發(fā)展，對語音、圖像、數(shù)據(jù)等都可實(shí)施加、脫密變換。密碼學(xué)是在編碼與破譯的斗爭實(shí)踐中逐步發(fā)展起來的，并隨著先進(jìn)科學(xué)技術(shù)的應(yīng)用，已成為一門綜合性的尖端技術(shù)科學(xué)。2.1.1 基本概念－2.1－－2.2－－2.3－－2.4

－－2.5－在網(wǎng)絡(luò)安全領(lǐng)域常見的加密算法包括：2.1.2 密碼算法名稱簡介特點(diǎn)DES算法屬于密碼體制中的對稱密碼體制，又被稱為美國數(shù)據(jù)加密標(biāo)準(zhǔn)，是1972年美國IBM公司研制的對稱密碼體制加密算法。分組較短、密鑰太短、密碼生命周期短、運(yùn)算速度較慢。AES算法高級加密標(biāo)準(zhǔn)，是下一代的加密算法標(biāo)準(zhǔn)。速度快，安全級別高。ECC算法又稱橢圓曲線加密系統(tǒng)。是目前已知的所有公鑰密碼體制中能夠提供最高比特強(qiáng)度的一種公鑰體制；且一旦選擇恰當(dāng)?shù)臋E圓曲線，就沒有有效的指數(shù)算法來攻擊它。－2.1－－2.2－－2.3－－2.4

－－2.5－2.1.3 網(wǎng)絡(luò)安全應(yīng)用密碼技術(shù)并不能解決所有的網(wǎng)絡(luò)安全問題，它需要與信息安全的其它技術(shù)互相融合，形成綜合的信息網(wǎng)絡(luò)安全保障。密碼學(xué)在網(wǎng)絡(luò)安全中的具體應(yīng)用主要包括以下幾種形式：1.用于認(rèn)證服務(wù)，使網(wǎng)絡(luò)上的用戶可以相互證明自己的身份。2．用于提高電子郵件的安全性。目錄2.1密碼技術(shù)2.2防火墻技術(shù)2.3入侵檢測2.4網(wǎng)絡(luò)安全態(tài)勢感知2.5網(wǎng)絡(luò)認(rèn)證技術(shù)2.2.1防火墻體系結(jié)構(gòu)2.2.2包過濾防火墻2.2.3代理防火墻目錄－2.1－－2.2－－2.3－－2.4

－－2.5－2.2.1 防火墻體系結(jié)構(gòu)－2.1－－2.2－－2.3－－2.4

－－2.5－防火墻的基本體系結(jié)構(gòu)包括：屏蔽路由器、屏蔽主機(jī)網(wǎng)關(guān)和被屏蔽子網(wǎng)（非軍事區(qū)DMZ）。包過濾路由器防火墻

包過濾路由器是一種便宜、簡單、常見的防火墻。包過濾路由器在網(wǎng)絡(luò)之間完成數(shù)據(jù)包轉(zhuǎn)發(fā)的普通路由功能，并利用包過濾規(guī)則來允許或拒絕數(shù)據(jù)包。屏蔽主機(jī)防火墻屏蔽主機(jī)防火墻系統(tǒng)采用了包過濾路由器和堡壘主機(jī)。這個防火墻系統(tǒng)提供的安全等級比包過濾路由器要高，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。所以入侵者在破壞內(nèi)部網(wǎng)絡(luò)的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)。2.2.1 防火墻體系結(jié)構(gòu)－2.1－－2.2－－2.3－－2.4

－－2.5－屏蔽子網(wǎng)防火墻

屏蔽子網(wǎng)防火墻采用了兩個包過濾路由器和一個堡壘主機(jī)。這個防火墻系統(tǒng)建立的是最安全的防火墻系統(tǒng)，因?yàn)樵诙x了“非軍事區(qū)”（DMZ）網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。網(wǎng)絡(luò)管理員將堡壘主機(jī)、信息服務(wù)器、Modem組，以及其他公用服務(wù)器放在DMZ網(wǎng)絡(luò)中。通過DMZ網(wǎng)絡(luò)直接進(jìn)行信息傳輸是嚴(yán)格禁止的。2.2.1 防火墻體系結(jié)構(gòu)－2.1－－2.2－－2.3－－2.4

－－2.5－包過濾防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包頭的源地址、目的地址、端口號和協(xié)議類型等標(biāo)志確定數(shù)據(jù)流是否允許通過2.2.2 包過濾防火墻－2.1－－2.2－－2.3－－2.4

－－2.5－代理防火墻是一種較新型的防火墻技術(shù)，其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)數(shù)據(jù)流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層數(shù)據(jù)流的功能。它分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。代理防火墻工作于應(yīng)用層，且針對特定的應(yīng)用層協(xié)議。代理防火墻通過軟件方式獲取應(yīng)用層通信流量，并在用戶層和應(yīng)用協(xié)議層提供訪問控制，保持所有應(yīng)用程序的使用記錄。2.2.3 代理防火墻－2.1－－2.2－－2.3－－2.4

－－2.5－目錄2.1密碼技術(shù)2.2防火墻技術(shù)2.3入侵檢測2.4網(wǎng)絡(luò)安全態(tài)勢感知2.5網(wǎng)絡(luò)認(rèn)證技術(shù)2.3.1入侵檢測技術(shù)分類2.3.2入侵檢測系統(tǒng)結(jié)構(gòu)2.3.3重要入侵檢測系統(tǒng)目錄－2.1－－2.2－－2.3－－2.4

－－2.5－2.3.4入侵檢測發(fā)展方向基于網(wǎng)絡(luò)的入侵檢測基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品（NIDS）放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包，對數(shù)據(jù)包進(jìn)行特征分析。如果數(shù)據(jù)包與內(nèi)置的某些規(guī)則吻合，入侵檢測系統(tǒng)就會發(fā)出警報甚至直接切斷網(wǎng)絡(luò)連接。目前，大部分入侵檢測產(chǎn)品是基于網(wǎng)絡(luò)的，在網(wǎng)絡(luò)入侵檢測系統(tǒng)中，有多個久負(fù)盛名的開放源碼軟件，如Snort、NFR、Shadow等。2.3.1 入侵檢測技術(shù)分類－2.1－－2.2－－2.3－－2.4

－－2.5－基于主機(jī)的入侵檢測基于主機(jī)的入侵檢測產(chǎn)品（HIDS）通常是安裝在被重點(diǎn)監(jiān)測的主機(jī)上，對該主機(jī)的網(wǎng)絡(luò)連接以及系統(tǒng)審計(jì)日志進(jìn)行智能分析和判斷。如果其中主體活動十分可疑，入侵檢測系統(tǒng)就會采取相應(yīng)措施。2.3.1 入侵檢測技術(shù)分類－2.1－－2.2－－2.3－－2.4

－－2.5－混合入侵檢測基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品和基于主機(jī)的入侵檢測產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會造成主動防御體系不全面。但是，它們的缺陷是可以互補(bǔ)的。綜合基于網(wǎng)絡(luò)和基于主機(jī)兩種結(jié)構(gòu)特點(diǎn)的入侵檢測系統(tǒng)，既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況，構(gòu)架成一套完整立體的主動防御體系，稱為混合入侵檢測方法。2.3.1 入侵檢測技術(shù)分類－2.1－－2.2－－2.3－－2.4

－－2.5－文件完整性檢查文件完整性檢查系統(tǒng)檢查計(jì)算機(jī)中文件變化情況。文件完整性檢查系統(tǒng)保存有每個文件的數(shù)字文摘數(shù)據(jù)庫，每次檢查時，它重新計(jì)算文件的數(shù)字文摘并將它與數(shù)據(jù)庫中的值相比較，如不同，則文件已被修改，若相同，文件則未發(fā)生變化。2.3.1 入侵檢測技術(shù)分類－2.1－－2.2－－2.3－－2.4

－－2.5－入侵檢測系統(tǒng)采用的技術(shù)主要包括特征檢測和異常檢測兩類。特征檢測：該類技術(shù)將入侵活動定義為一種模式，入侵檢測過程則是尋找與入侵行為相匹配的各種模式。該類技術(shù)能夠很準(zhǔn)確地將已有的入侵行為檢查出來；但由于缺乏相匹配的模式，故無法檢測到新的入侵行為。特征檢測方式與計(jì)算機(jī)病毒掃描技術(shù)相類似，核心問題在于如何設(shè)計(jì)模式，盡可能地將各種非法活動囊括進(jìn)來。

異常檢測：首先，檢測系統(tǒng)預(yù)先定義出一組正常運(yùn)行的環(huán)境變量，主要包括CPU運(yùn)行情況、內(nèi)存利用率、網(wǎng)絡(luò)平均流量等，這些環(huán)境信息可以人為地根據(jù)經(jīng)驗(yàn)知識定義，也可以采用統(tǒng)計(jì)方法根據(jù)系統(tǒng)日常運(yùn)行情況得出。當(dāng)入侵檢測系統(tǒng)在檢測過程中發(fā)現(xiàn)運(yùn)行數(shù)據(jù)與預(yù)先定義環(huán)境參數(shù)差異較大時，系統(tǒng)就會認(rèn)定存在入侵情況，并進(jìn)一步進(jìn)行檢查。這類技術(shù)的核心問題是如何準(zhǔn)確地定義系統(tǒng)正常的環(huán)境變量。2.3.2 入侵檢測系統(tǒng)結(jié)構(gòu)－2.1－－2.2－－2.3－－2.4

－－2.5－2.3.2 入侵檢測系統(tǒng)結(jié)構(gòu)－2.1－－2.2－－2.3－－2.4

－－2.5－特征檢測對已知的攻擊或入侵的方式作出確定性的描述，形成相應(yīng)的事件模式。統(tǒng)計(jì)檢測專家系統(tǒng)用專家系統(tǒng)對入侵進(jìn)行檢測，經(jīng)常是針對特征入侵行為。在統(tǒng)計(jì)模型中常用的測量參數(shù)包括：審計(jì)事件的數(shù)量、間隔時間、資源消耗情況等。2.3.3 重要入侵檢測系統(tǒng)－2.1－－2.2－－2.3－－2.4

－－2.5－入侵檢測系統(tǒng)介紹系統(tǒng)完整性檢測SIV該類系統(tǒng)主要用于檢測系統(tǒng)文件或注冊表等重要位置信息是否被篡改，防止入侵者在入侵過程留下系統(tǒng)的后門。網(wǎng)絡(luò)入侵檢測系統(tǒng)NIDS主要用于檢測黑客或駭客通過網(wǎng)絡(luò)進(jìn)行的各類入侵行為。日志文件監(jiān)測器LFM主要用于監(jiān)測網(wǎng)絡(luò)日志文件內(nèi)容。蜜罐系統(tǒng)Honeypots它是一個包含若干漏洞的誘騙系統(tǒng)。它通過模擬一個或多個易受到攻擊的主機(jī)，為攻擊者創(chuàng)造一個極易入侵的目標(biāo)，為真實(shí)的主機(jī)贏得了防范入侵的時間并獲得攻擊者的入侵行為，為真實(shí)目標(biāo)制定有效地防護(hù)策略提供依據(jù)。入侵檢測的發(fā)展方向：2.3.4 入侵檢測發(fā)展方向－2.1－－2.2－－2.3－－2.4

－－2.5－入侵或攻擊的規(guī)模擴(kuò)大分布式入侵檢測智能化入侵檢測全面的安全防御方案入侵或攻擊的綜合化與復(fù)雜化入侵主體對象的間接化，即實(shí)施入侵與攻擊的主體的隱蔽化入侵或攻擊技術(shù)的分布化攻擊對象的轉(zhuǎn)移入侵技術(shù)的發(fā)展變化目錄2.1密碼技術(shù)2.2防火墻技術(shù)2.3入侵檢測2.4網(wǎng)絡(luò)安全態(tài)勢感知2.5網(wǎng)絡(luò)認(rèn)證技術(shù)2.4.1網(wǎng)絡(luò)安全態(tài)勢感知的基本概念2.4.2當(dāng)代安全形勢下的態(tài)勢感知與相關(guān)技術(shù)2.4.3網(wǎng)絡(luò)安全態(tài)勢感知的研究方向目錄－2.1－－2.2－－2.3－－2.4

－－2.5－態(tài)勢感知：是指在一定的時間和空間范圍內(nèi)提取系統(tǒng)中的要素，理解這些要素的含義，并且預(yù)測其可能的效果?？蓪⑵涓爬?個層面:態(tài)勢覺察、態(tài)勢理解及態(tài)勢投射。根據(jù)這個定義，態(tài)勢感知可以理解為一個認(rèn)知過程，通過使用過去的經(jīng)驗(yàn)和知識，識別、分析和理解當(dāng)前的系統(tǒng)狀況。2.4.1 網(wǎng)絡(luò)安全態(tài)勢感知的基本概念－2.1－－2.2－－2.3－－2.4

－－2.5－網(wǎng)絡(luò)安全態(tài)勢感知模型2.4.1 網(wǎng)絡(luò)安全態(tài)勢感知的基本概念－2.1－－2.2－－2.3－－2.4

－－2.5－2.4.2 當(dāng)代安全形勢下的態(tài)勢感知

與相關(guān)技術(shù)－2.1－－2.2－－2.3－－2.4

－－2.5－數(shù)據(jù)融合技術(shù)夠?qū)⑹褂貌煌緩?、來源于不同網(wǎng)絡(luò)位置、具有不同格式的數(shù)據(jù)進(jìn)行預(yù)處理，并在此基礎(chǔ)上進(jìn)行歸一化融合操作，就可以為網(wǎng)絡(luò)安全態(tài)勢感知提供更為全面、精準(zhǔn)的數(shù)據(jù)源，從而得到更為準(zhǔn)確的網(wǎng)絡(luò)態(tài)勢。數(shù)據(jù)清洗技術(shù)將采集的大量網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)經(jīng)過數(shù)據(jù)融合處理后，轉(zhuǎn)化為格式統(tǒng)一的數(shù)據(jù)單元。特征提取技術(shù)將大規(guī)模網(wǎng)絡(luò)安全信息歸并融合成一組或者幾組在一定值域范圍內(nèi)的數(shù)值，這些數(shù)值具有表現(xiàn)網(wǎng)絡(luò)實(shí)時運(yùn)行狀況的一系列特征。態(tài)勢預(yù)測技術(shù)根據(jù)網(wǎng)絡(luò)運(yùn)行狀況發(fā)展變化的實(shí)際數(shù)據(jù)和歷史資料，運(yùn)用科學(xué)的理論、方法和各種經(jīng)驗(yàn)、判斷、知識去推測、估計(jì)、分析其在未來一定時期內(nèi)可能的變化情況?？梢暬夹g(shù)利用計(jì)算機(jī)圖形學(xué)和圖像處理技術(shù)，將數(shù)據(jù)轉(zhuǎn)換成圖形或圖像在屏幕上顯示出來，并進(jìn)行交互處理的理論、方法和技術(shù)。它涉及計(jì)算機(jī)圖形學(xué)、圖像處理、計(jì)算機(jī)視覺、計(jì)算機(jī)輔助設(shè)計(jì)等多個領(lǐng)域。2.4.3 網(wǎng)絡(luò)安全態(tài)勢感知的研究方向－2.1－－2.2－－2.3－－2.4

－－2.5－不完全信息條件下的活動辨識海量異構(gòu)測量數(shù)據(jù)的融合處理網(wǎng)絡(luò)安全態(tài)勢感知的協(xié)同網(wǎng)絡(luò)態(tài)勢的可視化網(wǎng)絡(luò)活動的語義計(jì)算態(tài)勢投射方法的完善目錄2.1密碼技術(shù)2.2防火墻技術(shù)2.3入侵檢測2.4網(wǎng)絡(luò)安全態(tài)勢感知2.5網(wǎng)絡(luò)認(rèn)證技術(shù)2.5.1身份認(rèn)證2.5.2報文認(rèn)證2.5.3訪問授權(quán)目錄－2.1－－2.2－－2.3－－2.4

－－2.5－2.5.4數(shù)字簽名身份認(rèn)證技術(shù)簡單意義上來講就是對通訊雙方進(jìn)行真實(shí)身份鑒別。其重點(diǎn)是從以下幾個方面發(fā)展：2.5.1 身份認(rèn)證－2.1－－2.2－－2.3－－2.4

－－2.5－基于角色的授權(quán)非生物認(rèn)證技術(shù)多因素認(rèn)證生物特征指的是人體自帶的生理特征和行為特征。因?yàn)槊總€人的生物特征具有唯一性，由此來對用戶進(jìn)行驗(yàn)證。非生物認(rèn)證技術(shù)一般采用口令的認(rèn)證方式，而傳統(tǒng)的認(rèn)證方式就是使用口令認(rèn)證。結(jié)合利用各類因素認(rèn)證技術(shù)，增強(qiáng)身份認(rèn)證的安全性。現(xiàn)在手機(jī)短信認(rèn)證和Web口令認(rèn)證早已將在網(wǎng)絡(luò)安全中得到利用，并獲得了不錯的口碑。報文認(rèn)證是通過網(wǎng)絡(luò)中交換與傳輸?shù)臄?shù)據(jù)單元進(jìn)行認(rèn)證的一種方式。報文的認(rèn)證方式有傳統(tǒng)加密方式的認(rèn)證、使用公開密鑰密碼的報文認(rèn)證碼方式、使用單向散列函數(shù)的認(rèn)證等認(rèn)證方式。傳統(tǒng)加密方式傳統(tǒng)加密的方式是以整個報文的密文為認(rèn)證碼。設(shè)A為發(fā)送方，B為接受方。A和B共享保密的秘鑰KS。A的標(biāo)識為IDA，報文為M，在報文中增加標(biāo)識IDA，那么B在認(rèn)證A的過程如下：

A→B：E（IDA\\M,KS）B在收到報文后用KS解密，若解密所得的發(fā)送方標(biāo)識與IDA相同，則B認(rèn)為報文是A發(fā)來的。2.5.2 報文認(rèn)證－2.1－－2.2－－2.3－－2.4

－－2.5－公開密鑰密碼方式通信雙方共享密鑰K。A利用密鑰K計(jì)算認(rèn)證碼MAC，將報文M和MAC一塊發(fā)給接收方：

A→B：M\\MAC接收方收到報文M后用相同的密鑰K重新計(jì)算計(jì)算得出新的MAC，并將其與接收到的MAC進(jìn)行比較，若二者相等，則認(rèn)為報文正確真實(shí)。該方法中，報文是以明文形式發(fā)送的，所以該方法可以提供認(rèn)證，但是不能提供保密性，若要獲得保密，可在MAC算法之后對報文加密：

A→B：E（M\\MAC,K2）其中MAC=C（M，K1），當(dāng)A和B共享K1時，可以提供認(rèn)證，當(dāng)A和B共享K2時，可以提供保密。2.5.2 報文認(rèn)證－2.1－－2.2－－2.3－－2.4

－－2.5－散列Hash函數(shù)方式該方法是將任意長度的報文映射為定長的Hash值得公共函數(shù)，以Hash值作為認(rèn)證碼。如下形式：

A→B：<M||E(Hash(M),K)>M是變長的報文，Hash(M)是定長的Hash值。發(fā)送方生成報文M的Hash(M)并用傳統(tǒng)密碼對其加密，將加密后的結(jié)果附于M之后發(fā)給接收方。接收方B由M重新計(jì)算Hash(M)，并與接收到的比較，由于Hash(M)受密碼保護(hù)，所以B通過比較Hash(M)可認(rèn)證報文的真實(shí)性和完整性。2.5.2 報文認(rèn)證－2.1－－2.2－－2.3－－2.4

－－2.5－授權(quán)指定該用戶能做什么。通常認(rèn)為是建立一種對資源的訪問方式，例如文件和打印機(jī)，授權(quán)也能處理用戶在系統(tǒng)或者網(wǎng)絡(luò)上的特權(quán)。授權(quán)一般基于以下方式：2.5.3 訪問授權(quán)－2.1－－2.2－－2.3－－2.4

－－2.5－基于角色的授權(quán)授予管理員(超級用戶，root用戶，系統(tǒng)管理員等等)特權(quán)，并允許其比普通用戶訪問更多的計(jì)算機(jī)資源。訪問控制列表基于規(guī)則授權(quán)信息系統(tǒng)可能也可以使用ACL來確定所請求的服務(wù)或資源是否有權(quán)限。需要開發(fā)一套規(guī)則來規(guī)定特定的用戶在系統(tǒng)上能做什么。數(shù)字簽名是利用數(shù)字技術(shù)實(shí)現(xiàn)在網(wǎng)絡(luò)傳送文件時，附加個人標(biāo)記，完成系統(tǒng)上手書簽名蓋章的作用，以表示確認(rèn)，負(fù)責(zé)，經(jīng)手等。數(shù)字簽名(也稱數(shù)字簽字）是實(shí)現(xiàn)認(rèn)證的重要工具，在電子商務(wù)系統(tǒng)中是不可缺少的。保證傳遞文件的機(jī)密性應(yīng)使用加密技術(shù)，保證其完整性應(yīng)使用信息摘要技術(shù)，而保證認(rèn)證性和不可否認(rèn)性應(yīng)使用數(shù)字簽名技術(shù)。數(shù)字簽名技術(shù)是公開密鑰加密技術(shù)和報文分解函數(shù)相結(jié)合的產(chǎn)物。與加密不同，數(shù)字簽名的目的是為了保證信息的完整性和真實(shí)性。數(shù)字簽名必須保證以下三點(diǎn)：2.5.4 數(shù)字簽名－2.1－－2.2－－2.3－－2.4

－－2.5－（1）接受者能夠核實(shí)發(fā)送者對消息的簽名。（2）發(fā)送者事后不能抵賴對消息的簽名。（3）接受者不能偽造對消息的簽名。

謝謝！本章結(jié)束網(wǎng)絡(luò)安全實(shí)驗(yàn)第三章網(wǎng)絡(luò)分析實(shí)驗(yàn)?zāi)夸?.1網(wǎng)絡(luò)分析原理3.2網(wǎng)絡(luò)分析實(shí)驗(yàn)3.3擴(kuò)展實(shí)驗(yàn)?zāi)夸?.1網(wǎng)絡(luò)分析原理3.2網(wǎng)絡(luò)分析實(shí)驗(yàn)3.3擴(kuò)展實(shí)驗(yàn)?zāi)夸洠?.1－－3.2－－3.3

－3.1.1TCP/IP原理3.1.2交換技術(shù)3.1.3路由技術(shù)3.1.4網(wǎng)絡(luò)嗅探技術(shù)TCP/IP是一個四層協(xié)議系統(tǒng)，TCP/IP協(xié)議族是一組不同的協(xié)議組合在一起構(gòu)成的協(xié)議族。3.1.1 TCP/IP原理－3.1－－3.2－－3.3

－數(shù)據(jù)發(fā)送時自上而下，層層加碼。數(shù)據(jù)接收時自下而上，層層解碼。為了通信，系統(tǒng)必須在各層之間傳遞數(shù)據(jù)、指令、地址等信息，通信的邏輯流程與真正的數(shù)據(jù)流不同，雖然通信流程垂直通過各層次，但每一層都在邏輯上能夠直接與遠(yuǎn)程計(jì)算機(jī)系統(tǒng)的相應(yīng)協(xié)議層直接通信。3.1.1 TCP/IP原理－3.1－－3.2－－3.3

－邏輯通訊在同層完成所謂交換，就是將分組(或幀)從一個端口轉(zhuǎn)移到另一端口的動作。交換機(jī)在操作過程當(dāng)中會不斷的收集資料去建立它本身的一個地址表，MAC地址表顯示了主機(jī)的MAC地址與以太網(wǎng)交換機(jī)端口的映射關(guān)系，指出數(shù)據(jù)幀去往的目標(biāo)主機(jī)。3.1.2 交換技術(shù)－3.1－－3.2－－3.3

－交換技術(shù)在OSI七層網(wǎng)絡(luò)模型中的第二層，即數(shù)據(jù)鏈路層進(jìn)行操作。路由是指通過相互連接的網(wǎng)絡(luò)把信息從源地點(diǎn)移動到目標(biāo)地點(diǎn)的過程。在路由過程中，信息至少會經(jīng)過一個或多個中間節(jié)點(diǎn)。路由和交換所實(shí)現(xiàn)的功能類似。3.1.3 路由技術(shù)－3.1－－3.2－－3.3

－路由發(fā)生在第三層，即網(wǎng)絡(luò)層。這一區(qū)別決定了路由和交換在傳輸信息的過程中需要使用不同的控制信息。嗅探(Sniffer)技術(shù)是一種重要的網(wǎng)絡(luò)安全攻防技術(shù)。對黑客來說，通過嗅探技術(shù)能以非常隱蔽的方式攫取網(wǎng)絡(luò)中的大量敏感信息，與主動掃描相比，嗅探行為更難被察覺，也更容易操作。3.1.4 網(wǎng)絡(luò)嗅探技術(shù)－3.1－－3.2－－3.3

－軟件Sniffer應(yīng)用方便，針對不同的操作系統(tǒng)平臺都有多種不同的軟件Sniffer硬件Sniffer通常被稱作協(xié)議分析器，其價格一般都很高昂。網(wǎng)絡(luò)嗅探器，在當(dāng)前網(wǎng)絡(luò)技術(shù)中使用得非常廣泛。網(wǎng)絡(luò)嗅探器既可以做為網(wǎng)絡(luò)故障的診斷工具，也可以作為監(jiān)聽工具。傳統(tǒng)的網(wǎng)絡(luò)嗅探技術(shù)是被動地監(jiān)聽網(wǎng)絡(luò)通信、用戶名和口令。而新的網(wǎng)絡(luò)嗅探技術(shù)開始主動地控制通信數(shù)據(jù)。大多數(shù)的嗅探器至少能夠分析下面的協(xié)議：標(biāo)準(zhǔn)以太網(wǎng)、TCP/IP、IPX、DECNET等。3.1.4 網(wǎng)絡(luò)嗅探技術(shù)－3.1－－3.2－－3.3

－根據(jù)功能不同，嗅探器可以分為通用網(wǎng)絡(luò)嗅探器和專用嗅探器。名稱特點(diǎn)網(wǎng)絡(luò)嗅探器支持多種協(xié)議，如：tcpdump、Snifferit等專用嗅探器一般是針對特定軟件或提供特定功能，如：專門針對MSN等即時通訊軟件的嗅探器、專門嗅探郵件密碼的嗅探器等。嗅探的安防作用3.1.4 網(wǎng)絡(luò)嗅探技術(shù)交換機(jī)嗅探網(wǎng)絡(luò)安全審計(jì)蠕蟲病毒的控制網(wǎng)絡(luò)布控與追蹤本機(jī)嗅探廣播網(wǎng)嗅探端口鏡像嗅探通過MAC泛濫進(jìn)行交換機(jī)嗅探嗅探技術(shù)分類－3.1－－3.2－－3.3

－網(wǎng)絡(luò)取證目錄3.1網(wǎng)絡(luò)分析原理3.2網(wǎng)絡(luò)分析實(shí)驗(yàn)3.3擴(kuò)展實(shí)驗(yàn)?zāi)夸洠?.1－－3.2－－3.3

－3.2.1snifferpro簡介3.2.2程序安裝實(shí)驗(yàn)3.2.3數(shù)據(jù)包捕獲實(shí)驗(yàn)3.2.4網(wǎng)絡(luò)監(jiān)視實(shí)驗(yàn)SnifferPro軟件是NAI公司推出的功能強(qiáng)大的協(xié)議分析軟件。利用SnifferPro網(wǎng)絡(luò)分析器的強(qiáng)大功能和特征，解決網(wǎng)絡(luò)問題。本教材使用的軟件版本為SnifferPro_4_70_530。3.2.1 snifferpro簡介－3.1－－3.2－－3.3

－SnifferPro軟件的主要作用可以體現(xiàn)在以下方面：評估業(yè)務(wù)運(yùn)行狀態(tài)應(yīng)用性能預(yù)測做流量的趨勢分析排除潛在的威脅快速定位故障評估網(wǎng)絡(luò)的性能Sniffer包括了四大功能：監(jiān)控、顯示、數(shù)據(jù)包捕捉和專家分析系統(tǒng)。實(shí)驗(yàn)器材SnifferPro軟件系統(tǒng)1套PC機(jī)（win10）1臺預(yù)習(xí)要求做好實(shí)驗(yàn)預(yù)習(xí)，復(fù)習(xí)網(wǎng)絡(luò)協(xié)議有關(guān)內(nèi)容。熟悉實(shí)驗(yàn)過程和基本操作流程。做好預(yù)習(xí)報告。實(shí)驗(yàn)任務(wù)通過本實(shí)驗(yàn)，掌握以下技能：1．學(xué)會在windows環(huán)境下安裝Sniffer；2．能夠運(yùn)用sniffer捕獲報文。實(shí)驗(yàn)環(huán)境本實(shí)驗(yàn)采用一個已經(jīng)連接并配置好的局域網(wǎng)環(huán)境。PC機(jī)上安裝Windows操作系統(tǒng)。預(yù)備知識1．TCP/IP原理及基本協(xié)議；2．?dāng)?shù)據(jù)交換技術(shù)概念及原理；3．路由技術(shù)及實(shí)現(xiàn)方式。3.2.2 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－實(shí)驗(yàn)步驟按照常規(guī)安裝方法雙擊sniffer軟件的安裝圖標(biāo)按順序進(jìn)行，本教材選用的軟件版本為snifferportable4.7.5。3.2.2 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－實(shí)驗(yàn)步驟3.2.2 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－在選擇snifferpro的安裝目錄時，默認(rèn)安裝在c:\programfiles\nai\snifferNT目錄中，為了更好的使用建議用默認(rèn)路徑進(jìn)行安裝。實(shí)驗(yàn)步驟在注冊用戶時，需要填寫必要的注冊信息。在出現(xiàn)的“SnifferProUserRegistration”的三個對話框中，依次填寫個人信息。注意最后一行的“SnifferSerialNumber”需要填入軟件購買時后提供的注冊碼。3.2.2 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－實(shí)驗(yàn)步驟3.2.2 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－完成注冊操作后，需要設(shè)置網(wǎng)絡(luò)連接狀況。從上至下，依次有三個選項(xiàng)：“直接連接”、“通過代理服務(wù)器連接”、“撥號、傳真或無連接”。一般情況下，選擇第一項(xiàng)--“directconnectiontotheinternet”。實(shí)驗(yàn)步驟若通過代理服務(wù)器連接，則需要輸入代理服務(wù)器地址、用戶名和賬號等信息。3.2.2 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－實(shí)驗(yàn)步驟3.2.2 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－接下來系統(tǒng)會自動定位并連接到最近的網(wǎng)絡(luò)服務(wù)器“M”，完成必要的注冊信息提交和注冊碼認(rèn)證工作。當(dāng)用戶的注冊信息驗(yàn)證通過后，用戶被告知系統(tǒng)分配的身份識別碼，以便用戶進(jìn)行后續(xù)的服務(wù)和咨詢。實(shí)驗(yàn)步驟3.2.2 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－用戶點(diǎn)擊【下一步】時，系統(tǒng)會提示用戶保存關(guān)鍵性的注冊信息，并生成一個文本格式的文件RegistrationSummary.txt。該文件主要包括了以下幾個重要部分：用戶身份識別碼：customeridentificationnumber；服務(wù)器連接信息：ContactInfo；用戶填寫的身份注冊信息：ProductSnifferPro。實(shí)驗(yàn)步驟3.2.2 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－由于snifferpro軟件的運(yùn)行環(huán)境需要Java環(huán)境支撐，因此，在軟件使用前安裝程序會提示用戶安裝并設(shè)置Java環(huán)境。實(shí)驗(yàn)步驟3.2.2 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－接下來，系統(tǒng)在完成關(guān)鍵文件復(fù)制和安裝的工作后，會出現(xiàn)“setupcomplete”提示，由于snifferpro需要將網(wǎng)卡的監(jiān)聽模式切換為混雜，所以需要重新啟動計(jì)算機(jī)來完成網(wǎng)卡的工作模式切換，當(dāng)軟件提示重新啟動計(jì)算機(jī)時，按照提示操作即可。重新啟動計(jì)算機(jī)后，可以通過運(yùn)行snifferpro來監(jiān)測網(wǎng)絡(luò)中的數(shù)據(jù)包。通過【開始-程序-snifferpro-sniffer】來啟動程序。在、進(jìn)入主界面后，首先要配置監(jiān)聽網(wǎng)卡。一般情況下，snifferpro初次運(yùn)行時會自動選擇機(jī)器網(wǎng)卡進(jìn)行監(jiān)聽。如果本地計(jì)算機(jī)有多個網(wǎng)卡時，則需要手工指定。具體方法如下：實(shí)驗(yàn)步驟3.2.2 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－1．選擇軟件【文件（file）】下的【選定設(shè)置（selectsettings）】選項(xiàng)；2．在【當(dāng)前設(shè)置（settings）】窗口中選擇監(jiān)聽的網(wǎng)卡，同時勾選“LOGOff”，點(diǎn)擊【確定】按鈕；3．如果存在多個網(wǎng)卡，則需要確定最終的監(jiān)聽網(wǎng)卡。實(shí)驗(yàn)步驟3.2.2 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－完成上述操作后，就可以使用snifferpro對目標(biāo)機(jī)器進(jìn)行網(wǎng)絡(luò)監(jiān)聽，快捷操作功能主要包括報文捕獲及網(wǎng)絡(luò)性能監(jiān)視。主要監(jiān)控目標(biāo)機(jī)器的網(wǎng)絡(luò)流量和錯誤數(shù)據(jù)包情況。主要的參考信息包括網(wǎng)絡(luò)使用率（Utilization）、數(shù)據(jù)包傳輸率（Packets/s）、錯誤數(shù)據(jù)情況（Error/s）。實(shí)驗(yàn)報告要求實(shí)驗(yàn)?zāi)康母缴蠈?shí)驗(yàn)過程的截圖和結(jié)果截圖闡述碰到的問題以及解決方法闡述收獲與體會思考題網(wǎng)卡的工作模式有幾種？監(jiān)聽模式的具體工作情況。3.2.2 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－實(shí)驗(yàn)器材SnifferPro軟件系統(tǒng)1套PC機(jī)（win10）1臺預(yù)習(xí)要求做好實(shí)驗(yàn)預(yù)習(xí)，復(fù)習(xí)網(wǎng)絡(luò)協(xié)議有關(guān)內(nèi)容。熟悉實(shí)驗(yàn)過程和基本操作流程。做好預(yù)習(xí)報告。實(shí)驗(yàn)任務(wù)通過本實(shí)驗(yàn)，掌握以下技能：熟練掌握Sniffer數(shù)據(jù)包捕獲功能的使用方法；實(shí)驗(yàn)環(huán)境本實(shí)驗(yàn)采用一個已經(jīng)連接并配置好的局域網(wǎng)環(huán)境。PC機(jī)上安裝Windows操作系統(tǒng)。預(yù)備知識1、數(shù)據(jù)交換技術(shù)概念及原理；2、路由技術(shù)及實(shí)現(xiàn)方式。3.2.3 數(shù)據(jù)包捕獲實(shí)驗(yàn)－3.1－－3.2－－3.3

－實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－1．報文捕獲數(shù)據(jù)包捕捉（capture），是將所有的數(shù)據(jù)包截取并放在磁盤緩沖區(qū)中，便于分析?；驹砭褪峭ㄟ^軟件手段設(shè)置網(wǎng)絡(luò)適配器（NIC）的工作模式，在這種模式下網(wǎng)卡接受所有的數(shù)據(jù)，達(dá)到網(wǎng)絡(luò)監(jiān)控和網(wǎng)絡(luò)管理的功能。如圖所示，報文捕獲快捷操作的功能依次為：【開始】、【暫?！?、【停止】、【停止顯示】、【顯示】、【定義過濾器】以及【選擇過濾器】，一般情況下，選擇默認(rèn)的捕獲條件。實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－Sniffer在啟動后，一般處于脫機(jī)模式。在捕獲報文之前，需要進(jìn)入記錄模式，通過選擇【文件】菜單下的【記錄于】來啟動網(wǎng)卡的監(jiān)聽模式。也可以通過【選定設(shè)置】勾選“LOGOn/Off”來完成上述操作。此時，可根據(jù)需要進(jìn)行局域網(wǎng)的回環(huán)測試。選擇【捕獲】菜單下的【開始】或直接點(diǎn)擊捕獲快捷菜單的【開始】按鈕，系統(tǒng)會開始進(jìn)行網(wǎng)絡(luò)報文的捕獲。在捕獲過程中，單擊快捷菜單中的【捕獲面板】或選擇【捕獲】菜單下的【捕獲面板】選項(xiàng)，可以隨時查看捕獲報文的數(shù)量以及數(shù)據(jù)緩沖區(qū)的利用率，如圖所示,左側(cè)儀表顯示了系統(tǒng)當(dāng)前捕獲到的報文數(shù)量，右側(cè)儀表顯示了捕獲報文的數(shù)據(jù)緩沖大小。實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－此外，還可以選擇【細(xì)節(jié)】功能，查看詳細(xì)的統(tǒng)計(jì)信息。實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－捕獲到的報文存儲在緩沖區(qū)內(nèi)。使用者可以顯示和分析緩沖區(qū)內(nèi)的當(dāng)前報文，也可以將報文保存到磁盤，加載和顯示之前保存的報文信息，進(jìn)行離線分析和顯示。整個捕獲過程受【定義過濾器】的約束，選擇【捕獲】菜單下的【定義過濾器】，單擊【緩沖】選項(xiàng)卡，對捕獲緩沖區(qū)進(jìn)行設(shè)置。首先，緩沖區(qū)的大小由用戶自定義，根據(jù)實(shí)際主機(jī)的內(nèi)存容量進(jìn)行調(diào)整。緩沖區(qū)設(shè)置過大容易造成軟件運(yùn)行延遲。其次，數(shù)據(jù)包大小應(yīng)選擇適度，截取部分?jǐn)?shù)據(jù)包能夠節(jié)省磁盤空間，保證網(wǎng)絡(luò)通信流暢，避免丟失幀。值得一提的是，當(dāng)禁止【保存到文件】選項(xiàng)時，可以選擇停止捕獲條件，即緩沖區(qū)已滿或覆蓋原有數(shù)據(jù)。實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－此外，也可以通過指定文件名前綴和脫機(jī)文件數(shù)對捕獲信息進(jìn)行存儲，如圖所示。以上介紹的是基本捕獲方式，若需要捕獲特定主機(jī)或工作站的數(shù)據(jù)包，可以通過選擇【監(jiān)視器】菜單的【主機(jī)列表】選項(xiàng)查看工作站信息，并單擊單個主機(jī)進(jìn)行數(shù)據(jù)包捕獲。實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－2．報文分析為了有效進(jìn)行網(wǎng)絡(luò)分析，需要借助于專家分析系統(tǒng)。首先，應(yīng)根據(jù)網(wǎng)絡(luò)協(xié)議環(huán)境，對專家系統(tǒng)進(jìn)行配置。選擇【工具】菜單中的【專家選項(xiàng)】。實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－專家系統(tǒng)的配置能夠幫助分析人員專注于特定問題，通過排除某些系統(tǒng)層數(shù)據(jù)，捕獲到網(wǎng)絡(luò)分析所需的特定通信量。同時，根據(jù)每層對象所需的內(nèi)存容量，來創(chuàng)建每個系統(tǒng)層的最大對象數(shù)。在設(shè)置中，【專家系統(tǒng)重用】選項(xiàng)定義了當(dāng)內(nèi)存不足時，專家系統(tǒng)需要進(jìn)行的操作，即覆蓋原有數(shù)據(jù)來創(chuàng)建新對象（選中）或停止創(chuàng)建對象，對已有數(shù)據(jù)進(jìn)行分析（未選中）。默認(rèn)情況下，當(dāng)數(shù)據(jù)包捕獲開始時，專家系統(tǒng)就開始分析進(jìn)入緩沖區(qū)的數(shù)據(jù)包，并在窗口中實(shí)時顯示，用戶可以在捕獲的同時分析網(wǎng)絡(luò)對象、癥狀，并作出診斷。用戶也可以選擇禁用實(shí)時分析功能（未選中）。指定可創(chuàng)建的最大警報數(shù)。當(dāng)達(dá)到最大警報數(shù)時，專家系統(tǒng)會覆蓋最早最低級別的警報（選中）或者停止創(chuàng)建警報。專家系統(tǒng)顯示的刷新頻率，以及專家系統(tǒng)數(shù)據(jù)分析到摘要顯示操作之間的延遲。對于專家系統(tǒng)的警報閾值配置，可以通過選擇【工具】菜單下的【專家選項(xiàng)】獲得，單擊【警報/Alarms】設(shè)置項(xiàng)。實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－值得注意的是，系統(tǒng)默認(rèn)的閾值都是經(jīng)過精確計(jì)算，可保證系統(tǒng)進(jìn)行診斷和問題檢測需求，對于閾值的修改，可能會導(dǎo)致系統(tǒng)判斷失誤或運(yùn)行錯誤。對于每一個系統(tǒng)層存在多個癥狀診斷的警報閾值信息。實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－對于各類網(wǎng)絡(luò)協(xié)議，用戶可以進(jìn)行選擇性的監(jiān)聽和分析，單擊【警報/Alarms】右側(cè)的【協(xié)議/Protocols】設(shè)置項(xiàng)，可按照系統(tǒng)分析層進(jìn)行協(xié)議選擇“是/否”。實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－此外，當(dāng)網(wǎng)絡(luò)使用了不規(guī)范的子網(wǎng)掩碼時，可以通過選擇【子網(wǎng)掩碼/SubnetMasks】設(shè)置項(xiàng)進(jìn)行更改。在專家系統(tǒng)中，還為用戶提供了用于檢測路由故障的路由信息協(xié)議分析（RIP），通過分析所捕獲報文的路由選擇協(xié)議來構(gòu)建路由表并顯示。專家系統(tǒng)通常會發(fā)現(xiàn)網(wǎng)絡(luò)上的默認(rèn)路由器，同時構(gòu)建一條通向網(wǎng)關(guān)的默認(rèn)靜態(tài)路由。如果選擇使用RIP分析方式，則需要將【對象】設(shè)置項(xiàng)中的連接層和應(yīng)用層定義為“分析”，如圖所示。自動搜索顯示網(wǎng)絡(luò)路由器自動捕獲網(wǎng)絡(luò)中的子網(wǎng)單擊添加默認(rèn)路由器設(shè)置子網(wǎng)地址和掩碼實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－此外，當(dāng)網(wǎng)絡(luò)使用了不規(guī)范的子網(wǎng)掩碼時，可以通過選擇【子網(wǎng)掩碼/SubnetMasks】設(shè)置項(xiàng)進(jìn)行更改。在專家系統(tǒng)中，還為用戶提供了用于檢測路由故障的路由信息協(xié)議分析（RIP），通過分析所捕獲報文的路由選擇協(xié)議來構(gòu)建路由表并顯示。專家系統(tǒng)通常會發(fā)現(xiàn)網(wǎng)絡(luò)上的默認(rèn)路由器，同時構(gòu)建一條通向網(wǎng)關(guān)的默認(rèn)靜態(tài)路由。如果選擇使用RIP分析方式，則需要將【對象】設(shè)置項(xiàng)中的連接層和應(yīng)用層定義為“分析”，如圖所示。自動搜索顯示網(wǎng)絡(luò)路由器自動捕獲網(wǎng)絡(luò)中的子網(wǎng)單擊添加默認(rèn)路由器設(shè)置子網(wǎng)地址和掩碼實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－在專家系統(tǒng)屬性設(shè)置中，還特別設(shè)定了用于無線網(wǎng)絡(luò)分析的選項(xiàng)。在啟用欺詐AP查找的選項(xiàng)后，專家系統(tǒng)就會對訪問主機(jī)的MAC地址和選項(xiàng)中已存地址進(jìn)行比較，一旦出現(xiàn)異常就會生成警報。通過【顯示】菜單下【顯示設(shè)置】選項(xiàng)，可以自定義要顯示的分析內(nèi)容。主要包括如下方面：

【普通】設(shè)置，可以顯示或隱藏“主機(jī)列表”、“矩陣”、“協(xié)議分布”、“統(tǒng)計(jì)數(shù)據(jù)”等；【摘要顯示】可以定義具體顯示的專家癥狀、系統(tǒng)層等內(nèi)容；【協(xié)議顏色】，可以改變顯示協(xié)議所使用的字體顏色；【協(xié)議使詳拆】，可以設(shè)置每個協(xié)議的詳細(xì)顯示設(shè)置；【解碼字體】，可以更改”解碼"顯示中文本字體類型、顏色和大小。實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－狀態(tài)標(biāo)志說明顯示選項(xiàng)啟用功能描述專家系統(tǒng)癥狀為每個幀顯示所發(fā)現(xiàn)的上一個癥狀。全部層顯示幀中所包含的協(xié)議層，每個協(xié)議層一行。網(wǎng)絡(luò)地址顯示為網(wǎng)絡(luò)地址，否則為硬件地址。MAC地址中的廠商ID在MAC地址的開頭部分顯示供應(yīng)商名稱。網(wǎng)絡(luò)地址的名稱解析顯示網(wǎng)絡(luò)地址的名稱，而不是數(shù)字地址。地址簿解析名稱如果工作站在地址簿中已命名，則顯示其名稱，而不是地址。二進(jìn)制格式顯示將表示為兩個窗口，以顯示工作站之間的通信情況?？蛇x擇區(qū)域狀態(tài)當(dāng)數(shù)據(jù)包出現(xiàn)異常時，顯示異常狀態(tài)表示，如表3.2.2絕對時間顯示收到幀的時間。Delta時間顯示當(dāng)前幀和上一幀之間的時間間隔。相對時間顯示當(dāng)前幀和標(biāo)記幀之間的時間間隔Len(字節(jié))顯示幀的長度。累計(jì)的字節(jié)顯示從標(biāo)記幀開始，到當(dāng)前幀的所有幀的長度。實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－狀態(tài)標(biāo)志說明狀態(tài)標(biāo)志狀態(tài)描述M數(shù)據(jù)包已標(biāo)記。A數(shù)據(jù)包是端口A捕獲到的。B數(shù)據(jù)包是端口B捕獲到的。#數(shù)據(jù)包存在癥狀，或具體診斷內(nèi)容。觸發(fā)器數(shù)據(jù)包是一個數(shù)據(jù)觸發(fā)器。CRC具有CRC錯誤大小正常的數(shù)據(jù)包。超長具有CRC錯誤大小超長的數(shù)據(jù)包。幀不全數(shù)據(jù)包小于64字節(jié)，無CRC錯誤。分段數(shù)據(jù)包小于64字節(jié)，有CRC錯誤。超大數(shù)據(jù)包大于1518字節(jié)，無CRC錯誤。沖突數(shù)據(jù)包由于沖突而損壞。對齊數(shù)據(jù)包長度不是8的整數(shù)倍。地址重復(fù)在環(huán)中有地址沖突。幀復(fù)制目的主機(jī)未收到數(shù)據(jù)包。實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－在專家系統(tǒng)的解碼顯示窗口中，可以通過【顯示】菜單下的【查找?guī)縼慝@得特定幀信息，【查找?guī)堪膫€選項(xiàng)：文本，即搜索包含特定為本字符信息的幀；數(shù)據(jù)，即搜索包含特定數(shù)據(jù)模式的幀；狀態(tài)，允許搜索具有特定狀態(tài)標(biāo)志的幀；專家系統(tǒng)，允許搜索與特定專家系統(tǒng)癥狀或診斷關(guān)聯(lián)的幀。專家分析系統(tǒng)（expert）能夠?qū)彌_區(qū)內(nèi)的數(shù)據(jù)包進(jìn)行綜合分析，將捕獲內(nèi)容按照服務(wù)、應(yīng)用、連接、工作站、路由、子網(wǎng)等類別進(jìn)行分類統(tǒng)計(jì)，并對存在安全隱患和問題的服務(wù)或連接進(jìn)行分析，給出確切的結(jié)論。對于問題內(nèi)容，將注明其所屬層次（Layaer）、診斷方式(Diagnoses)、基本征兆(Symptoms)和目標(biāo)(Ojbects)。實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－專家分析平臺可以對網(wǎng)絡(luò)流量進(jìn)行實(shí)時分析，并提供客觀詳實(shí)的診斷結(jié)果。主要包括【專家分析系統(tǒng)】、【解碼系統(tǒng)】、【矩陣】、【主機(jī)列表】、【協(xié)議列表】以及【統(tǒng)計(jì)分析系統(tǒng)】，只要單擊【停止并顯示】就可以查看具體的網(wǎng)絡(luò)分析數(shù)據(jù)。系統(tǒng)摘要信息系統(tǒng)分類信息實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－通過專家分析平臺，可以捕獲在網(wǎng)絡(luò)會話過程中存在的各類潛在問題。這些問題被定義為癥狀或診斷：癥狀，網(wǎng)絡(luò)會話情況超過專家設(shè)定閾值，表示網(wǎng)絡(luò)存在潛在問題；診斷，多個一起分析的癥狀、復(fù)發(fā)率較高的特定癥狀，對于診斷必須立即檢查。專家系統(tǒng)分類信息：顯示網(wǎng)絡(luò)各個分析層，其層次性與OSI層次模型相類似；專家系統(tǒng)摘要信息：顯示根據(jù)摘要顯示設(shè)定的各層顯示數(shù)據(jù)；對于某項(xiàng)統(tǒng)計(jì)分析可以通過用雙擊方式來查看對應(yīng)記錄的詳細(xì)統(tǒng)計(jì)信息。對于每一項(xiàng)記錄都可以通過查看幫助的方式來了解產(chǎn)生的原因。實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－3．解碼分析單擊專家系統(tǒng)下方的【解碼】按鈕，就可以對具體的記錄進(jìn)行解碼分析，如圖3.2.24所示。頁面自上而下由三部分組成：捕獲的報文、解碼后的內(nèi)容、解碼后的二進(jìn)制編碼信息。對于解碼分析人員來說，只有充分掌握各類網(wǎng)絡(luò)協(xié)議，才能看懂解析出來的報文。要能夠利用軟件解碼分析來解決問題的關(guān)鍵是要對各種層次的協(xié)議有充分的了解。實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－4．統(tǒng)計(jì)分析對于各種報文信息，專家系統(tǒng)提供了【矩陣分析（Matrix）】，【主機(jī)列表HostTable】，【協(xié)議統(tǒng)計(jì)（PortocolDist）】以及【會話統(tǒng)計(jì)分析（Statistics）】等多種統(tǒng)計(jì)分析功能，可以按照MAC地址、IP地址、協(xié)議類型等內(nèi)容進(jìn)行多種組合分析。矩陣分析：實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－主機(jī)列表分析：協(xié)議統(tǒng)計(jì)分析：實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－會話統(tǒng)計(jì)分析：實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－5．捕獲條件設(shè)置在sniffer環(huán)境下，可以通過【定義】的方式來對捕獲條件進(jìn)行設(shè)置，獲得用戶需要的報文協(xié)議信息?；镜牟东@條件有兩種：

1．鏈路層捕獲：按照源MAC地址和目的MAC地址設(shè)定捕獲條件，輸入方式為十六進(jìn)制MAC地址，如：000D98ABCDFE。

2．IP層捕獲：按源IP地址和目的IP設(shè)定捕獲條件。輸入方式為IP地址，如：57。特別注意的是，如果選擇IP層捕獲方式則ARP等類型報文信息將被過濾掉。用戶可以通過點(diǎn)擊快捷面板上的按鈕，或選擇【捕獲】菜單下的【定義過濾器】來設(shè)定捕獲條件，如圖所示。實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－5．捕獲條件設(shè)置在sniffer環(huán)境下，可以通過【定義】的方式來對捕獲條件進(jìn)行設(shè)置，獲得用戶需要的報文協(xié)議信息。基本的捕獲條件有兩種：

1．鏈路層捕獲：按照源MAC地址和目的MAC地址設(shè)定捕獲條件，輸入方式為十六進(jìn)制MAC地址，如：000D98ABCDFE。

2．IP層捕獲：按源IP地址和目的IP設(shè)定捕獲條件。輸入方式為IP地址，如：57。特別注意的是，如果選擇IP層捕獲方式則ARP等類型報文信息將被過濾掉。用戶可以通過點(diǎn)擊快捷面板上的按鈕，或選擇【捕獲】菜單下的【定義過濾器】來設(shè)定捕獲條件，如圖所示。實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－過濾器主要包括【摘要】、【地址】、【數(shù)據(jù)模式】、【高級】、【緩沖】四個操作界面?！菊坎僮鹘缑骘@示了當(dāng)前緩沖器的設(shè)定情況。【地址】操作界面用來進(jìn)行緩沖器捕獲條件的設(shè)定，如圖所示?！緮?shù)據(jù)模式】操作界面用來編輯捕獲條件?！靖呒墶窟x項(xiàng)界面用來設(shè)定捕獲的協(xié)議、數(shù)據(jù)包類型、數(shù)據(jù)包大小等信息?！揪彌_】操作界面用來對緩沖區(qū)進(jìn)行詳細(xì)配置。實(shí)驗(yàn)步驟3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－在【高級】頁面下，可以更加詳細(xì)的配置捕獲條件：可以選擇需要捕獲的協(xié)議條件、數(shù)據(jù)包具體長度、數(shù)據(jù)包類型等。在保存過濾規(guī)則條件【配置文件（Profiles）】，可以將當(dāng)前設(shè)置的過濾規(guī)則進(jìn)行保存，在捕獲面板中，可以選擇保存的捕獲條件。在【數(shù)據(jù)模式】頁面下，可以編輯更加詳細(xì)的捕獲條件，如圖所示。利用數(shù)據(jù)模式的方式可以實(shí)現(xiàn)復(fù)雜報文過濾，但同時增加了捕獲的時間復(fù)雜度。實(shí)驗(yàn)報告要求實(shí)驗(yàn)?zāi)康母缴蠈?shí)驗(yàn)過程的截圖和結(jié)果截圖闡述碰到的問題以及解決方法闡述收獲與體會3.2.3 程序安裝實(shí)驗(yàn)－3.1－－3.2－－3.3

－實(shí)驗(yàn)器材SnifferPro軟件系統(tǒng)1套PC機(jī)（win10）1臺預(yù)習(xí)要求做好實(shí)驗(yàn)預(yù)習(xí)，復(fù)習(xí)網(wǎng)絡(luò)協(xié)議有關(guān)內(nèi)容。復(fù)習(xí)sniffer軟件數(shù)據(jù)捕獲功能的操作方法。熟悉實(shí)驗(yàn)過程和基本操作流程。做好預(yù)習(xí)報告。實(shí)驗(yàn)任務(wù)通過本實(shí)驗(yàn)，掌握以下技能：1.熟練掌握Sniffer的各項(xiàng)網(wǎng)絡(luò)監(jiān)視模塊的使用；2.要求能夠熟練運(yùn)用網(wǎng)絡(luò)監(jiān)視功能，撰寫網(wǎng)絡(luò)動態(tài)運(yùn)行報告。實(shí)驗(yàn)環(huán)境本實(shí)驗(yàn)采用一個已經(jīng)連接并配置好的局域網(wǎng)環(huán)境。PC機(jī)上安裝Windows操作系統(tǒng)。預(yù)備知識1．TCP/IP原理及基本協(xié)議；2．?dāng)?shù)據(jù)交換技術(shù)概念及原理；3．路由技術(shù)及實(shí)現(xiàn)方式。3.2.4 網(wǎng)絡(luò)監(jiān)視實(shí)驗(yàn)－3.1－－3.2－－3.3

－實(shí)驗(yàn)步驟3.2.4 網(wǎng)絡(luò)監(jiān)視實(shí)驗(yàn)－3.1－－3.2－－3.3

－單擊【監(jiān)視器】菜單或快捷操作界面，可依次看到如下監(jiān)視功能：【儀表板】、【主機(jī)列表】、【矩陣】、【請求響應(yīng)時間】、【歷史取樣】、【協(xié)議分析】、【全局統(tǒng)計(jì)表】、【警報日志】等。1．儀表板（Dashboard）點(diǎn)擊快捷操作菜單上的圖標(biāo)，即可彈出儀表板。在儀表板上方，可對監(jiān)視行為進(jìn)行具體配置，并對監(jiān)視內(nèi)容進(jìn)行重置。網(wǎng)絡(luò)監(jiān)視儀表盤包括三個儀表。第一個儀表顯示的是網(wǎng)絡(luò)使用率（Utilization），第二個儀表顯示的是網(wǎng)絡(luò)的每秒鐘通過的包數(shù)量（Packets），第三個儀表顯示的是網(wǎng)絡(luò)的每秒錯誤率（Errors），下面兩組數(shù)字，前面表示當(dāng)前值，后面表示最大值。通過三個儀表可以直觀的觀察到網(wǎng)絡(luò)的使用情況，儀表的紅色區(qū)域是警戒區(qū)域，如果發(fā)現(xiàn)有指針到了紅色區(qū)域就該引起一定的重視了，說明網(wǎng)絡(luò)線路不好或者網(wǎng)絡(luò)負(fù)荷太大。如果需要獲得更為詳細(xì)的網(wǎng)絡(luò)整體使用情況，可以點(diǎn)擊【細(xì)節(jié)】按鈕，查看數(shù)據(jù)統(tǒng)計(jì)結(jié)果。實(shí)驗(yàn)步驟3.2.4 網(wǎng)絡(luò)監(jiān)視實(shí)驗(yàn)－3.1－－3.2－－3.3

－Drops表示網(wǎng)絡(luò)中遺失的數(shù)據(jù)包數(shù)量（在網(wǎng)絡(luò)活動高峰期經(jīng)常會遺失數(shù)據(jù)包），過多的廣播會使網(wǎng)絡(luò)上所有系統(tǒng)的性能整體下降。在粒度分析表格中列出了網(wǎng)絡(luò)中數(shù)據(jù)包的分布狀態(tài)，包括64B、65-127B、128-255B等不同字節(jié)的數(shù)據(jù)包總數(shù)。錯誤描述表格中列出了錯誤出現(xiàn)率，也就是Errors/s。通過3個儀表盤，可以很容易地看到從捕獲開始，有多少數(shù)據(jù)包經(jīng)過網(wǎng)絡(luò)、多少幀被過濾，以及遺失了多少幀等情況，還可以看到網(wǎng)絡(luò)的利用率、數(shù)據(jù)包數(shù)目和廣播數(shù)，如果發(fā)現(xiàn)網(wǎng)絡(luò)在每天的特定時間都會收到大量的組播數(shù)據(jù)包，就說明網(wǎng)絡(luò)可能出現(xiàn)了問題，需及時分析哪個應(yīng)用程序在發(fā)送組播數(shù)據(jù)包。Sniffer的很多網(wǎng)絡(luò)分析結(jié)果都可以設(shè)定閾值，若超出閾值，報警記錄就會生成一條信息，并在儀表盤上以紅色來標(biāo)記閾值的警告值。網(wǎng)絡(luò)管理員應(yīng)記錄下警告信息，并且查看系統(tǒng)超過了閾值多少次，以及超出閾值的頻率是多少，這些信息有助于確定網(wǎng)絡(luò)是否有問題。實(shí)驗(yàn)步驟3.2.4 網(wǎng)絡(luò)監(jiān)視實(shí)驗(yàn)－3.1－－3.2－－3.3

－單擊儀表盤上的【SetThresholds（設(shè)定閾值）】按鈕，打開DashboardProperties對話框，即可根據(jù)自己的網(wǎng)絡(luò)狀況來配置儀表閾值，以保證儀表能準(zhǔn)確地顯示網(wǎng)絡(luò)情況?？梢栽趦x表盤的下方查看網(wǎng)絡(luò)監(jiān)視曲線圖，主要包括網(wǎng)絡(luò)運(yùn)行、錯誤率和粒度分布三種情況?！綥ongterm】選項(xiàng)每30分鐘采樣一次，一共可以采樣24小時；【shortterm】每30秒采樣一次，可以采樣25分鐘。實(shí)驗(yàn)步驟3.2.4 網(wǎng)絡(luò)監(jiān)視實(shí)驗(yàn)－3.1－－3.2－－3.3

－2．主機(jī)列表（Hosttable）點(diǎn)擊快捷操作菜單上的圖標(biāo)，或選擇【監(jiān)視器】菜單內(nèi)的【主機(jī)列表】選項(xiàng)，界面中顯示的是所有在線的本網(wǎng)主機(jī)地址以及外網(wǎng)服務(wù)器地址信息。可以分別選擇MAC地址、IP地址以及IPX地址。通常情況下，由于網(wǎng)絡(luò)中所有終端的對外數(shù)據(jù)交換行為，如瀏覽網(wǎng)站、上傳下載等，都是各終端與網(wǎng)關(guān)在數(shù)據(jù)鏈路層中進(jìn)行的，為了分析鏈路層的數(shù)據(jù)交換行為，需要獲取MAC地址的連接情況。通過主機(jī)列表，可以直觀地看到流量最大的前十位主機(jī)地址。在查看網(wǎng)絡(luò)主機(jī)信息時，默認(rèn)以MAC地址形式顯示網(wǎng)絡(luò)中的計(jì)算機(jī)。如果計(jì)算機(jī)處于局域網(wǎng)中，可以清楚地顯示計(jì)算機(jī)的MAC地址；但如果計(jì)算機(jī)處于Internet中，則不能獲得計(jì)算機(jī)的MAC地址，此時以IP地址形式顯示。單擊窗口下方的IP標(biāo)簽，即可顯示計(jì)算機(jī)的IP地址，這樣可以更清楚地查看到各臺計(jì)算機(jī)。在列表中，可以通過點(diǎn)擊【廣播】或【多點(diǎn)傳送】對廣播量進(jìn)行統(tǒng)計(jì)。IP的廣播有三種：55叫本地廣播，55叫子網(wǎng)廣播，55叫全子網(wǎng)廣播。為了方便查看連接地址信息，設(shè)置了【細(xì)節(jié)】、【餅狀圖】、【柱狀圖】等統(tǒng)計(jì)方式以及【單向地址查看】、【輸出】、【條件過濾】等多種選項(xiàng)。在統(tǒng)計(jì)分析的柱形圖與餅圖中，網(wǎng)關(guān)流量依次減小。當(dāng)發(fā)現(xiàn)某個網(wǎng)關(guān)流量與其它終端流量差距懸殊時，則需要重點(diǎn)檢查目標(biāo)主機(jī)是否有大網(wǎng)絡(luò)流量的操作。如果發(fā)現(xiàn)某臺計(jì)算機(jī)在某個時間段內(nèi)發(fā)送或接收了大量數(shù)據(jù)，則說明其可能存在網(wǎng)絡(luò)異常。實(shí)驗(yàn)步驟3.2.4 網(wǎng)絡(luò)監(jiān)視實(shí)驗(yàn)－3.1－－3.2－－3.3

－當(dāng)選中某臺主機(jī)時，可以通過【條件過濾】設(shè)置過濾條件，系統(tǒng)自動產(chǎn)生一個新的過濾器。在流量分析過程中，根據(jù)包結(jié)構(gòu)去取得主機(jī)信息，即目的MAC、源MAC或目的IP、源IP。為了查看更為詳細(xì)的主機(jī)交互情況，可以單擊列表中的任意項(xiàng)，單擊IP地址為“0”的列表項(xiàng)，則可以顯示由“0”主機(jī)發(fā)送或接受的數(shù)據(jù)包情況。主機(jī)列表單機(jī)連接情況實(shí)驗(yàn)步驟3.2.4 網(wǎng)絡(luò)監(jiān)視實(shí)驗(yàn)－3.1－－3.2－－3.3

－3．矩陣（Matrix）點(diǎn)擊快捷操作菜單上的圖標(biāo)，或選擇【監(jiān)視器】菜單內(nèi)的【矩陣】選項(xiàng)，可以顯示全網(wǎng)的所有連接情況，即主機(jī)會話情況。全網(wǎng)連接矩陣實(shí)驗(yàn)步驟3.2.4 網(wǎng)絡(luò)監(jiān)視實(shí)驗(yàn)－3.1－－3.2－－3.3

－處于活動狀態(tài)的網(wǎng)絡(luò)連接被標(biāo)記為綠色，已發(fā)生的網(wǎng)絡(luò)連接被標(biāo)記為藍(lán)色，線條的粗細(xì)與流量的大小成正比，將鼠標(biāo)移動至線條處，會顯示流量雙方位置、通訊流量大小以及流量占當(dāng)前網(wǎng)絡(luò)的百分比。對于LAN，可以分析MAC層、IP網(wǎng)絡(luò)層、IP應(yīng)用層、IPX網(wǎng)絡(luò)層和IPX傳輸層；對于WAN，可以分析鏈路層、IP網(wǎng)絡(luò)層、IP應(yīng)用層、IPX網(wǎng)絡(luò)層和IPX傳輸層。矩陣可以說是Sniffer中最常用的功能，它以矩陣方式列出當(dāng)前網(wǎng)絡(luò)中的連接情況，用戶可以清楚地看到某個計(jì)算機(jī)正在與哪些地址進(jìn)行連接?！就ㄐ帕繄D】可以顯示節(jié)點(diǎn)間網(wǎng)絡(luò)通信量的全面信息，而且可以查看特定網(wǎng)絡(luò)節(jié)點(diǎn)信息。【大綱】簡要匯總了每對網(wǎng)絡(luò)節(jié)點(diǎn)間發(fā)送的總字節(jié)數(shù)和總報文數(shù)，可以查看獨(dú)立網(wǎng)絡(luò)連接的數(shù)據(jù)包使用情況，也可以鼠標(biāo)右鍵選擇獨(dú)立的IP終端節(jié)點(diǎn)，如果連接數(shù)目非常大，顯然不是一種正常的業(yè)務(wù)連接，此時需要認(rèn)真檢查每一個連接的會話情況。實(shí)驗(yàn)步驟3.2.4 網(wǎng)絡(luò)監(jiān)視實(shí)驗(yàn)－3.1－－3.2－－3.3

－【細(xì)節(jié)】可以按高層協(xié)議分類情況查看網(wǎng)絡(luò)連接及數(shù)據(jù)包使用情況。實(shí)驗(yàn)步驟3.2.4 網(wǎng)絡(luò)監(jiān)視實(shí)驗(yàn)－3.1－－3.2－－3.3

－【柱狀圖】以及【餅圖】都能夠?qū)崟r顯示網(wǎng)絡(luò)利用率在前十位的網(wǎng)絡(luò)連接會話。利用矩陣監(jiān)視器可以評估網(wǎng)絡(luò)運(yùn)行狀況和流量異常，特別適合用來檢測病毒。對于未知協(xié)議，可以通過選擇【工具】菜單的【設(shè)置】選項(xiàng)下的【協(xié)議】欄進(jìn)行自定義，為某端口指定協(xié)議名稱，以便更好的檢測網(wǎng)絡(luò)流量。通過矩陣功能可以發(fā)現(xiàn)網(wǎng)絡(luò)中使用BT等P2P軟件或中了蠕蟲病毒的用戶。如果某個用戶的并發(fā)連接數(shù)特別多，并且在不斷地向其他計(jì)算機(jī)發(fā)送數(shù)據(jù)，這就說明該計(jì)算機(jī)很可能中了蠕蟲等病毒。此時，網(wǎng)絡(luò)管理員應(yīng)及時封掉該計(jì)算機(jī)所連接的交換機(jī)端口，并對該計(jì)算機(jī)查殺病毒。實(shí)驗(yàn)步驟3.2.4 網(wǎng)絡(luò)監(jiān)視