NCSE一级实践指导.ppt

黑客攻击与防范 培训内容 实验1 使用Sniffer工具进行TCP/IP分析 实验2 分析TCP会话层和应用层协议 实验3 编辑Windows 2000组策略 实验4 在Windows 2000下配置PPTP 实验5 Windows 2000节点的风险基线评估 实验6 配置文件系统安全性 培训内容 实验7 Windows 的账号安全性 实验8 NFS和NIS安全 实验9 病毒代码特征分析 实验10 防病毒软件的应用与部署 实验11 拒绝服务攻击 实验12 一次模拟攻击 实验13 应用个人防火墙 实验1 使用Sniffer工具进行TCP/IP分析 任务一 安装Sinffer Pro(以IRIS为例) 任务二 捕捉数据包 任务三 分析捕获的数据包 任务一 安装Sinffer Pro 硬件环境 软件环境 环境要求 监控目的 一、环境说明 硬件环境（网吧）：100M网络环境下，92台终端数量，主交换采用D-LINK（友讯）DES-3226S二层交换机(支持端口镜像功能)，级联普通傻瓜型交换机。光纤10M接入，华为2620做为接入网关。 软件环境：操作系统Windows2003 Server企业标准版（Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows2003）、NAI协议分析软件-Sniffer Portable 4.75（本文选用网络上较容易下载到的版本做为测试） 环境要求：1、如果需要监控全网流量，安装有Sniffer Portable 4.7.5(以下简称Sniffer Pro)的终端计算机，网卡接入端需要位于主交换镜像端口位置。（监控所有流经此网卡的数据）2、Snffier pro 475仅支持10M、100M、10/100M网卡，对于千M网卡，请安装SP5补丁，或4.8及更高的版本 网络拓扑 思考 1.什么是端口镜像? 2.为什么需要端口镜像 ? 3.端口镜像通常有几种别名？ 1.端口镜像是把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。 2.交换机的工作原理与HUB有很大的不同，交换机组建的网络是根据交换机内部MAC表进行数据转发，因此需要通过配置交换机来把一个或多个端口（VLAN）的数据转发到某一个端口来实现对网络的监听。 3.端口镜像通常有以下几种别名：①Port Mirroring 通常指允许把一个端口的流量复制到另外一个端口，同时这个端口不能再传输数据。②Monitoring Port 监控端口③panning Port 通常指允许把所有端口的流量复制到另外一个端口，同时这个端口不能再传输数据。④PAN Port 在 Cisco 产品中，SPAN 通常指 Switch Port ANalyzer。某些交换机的 SPAN 端口不支持传输数据。 监控目的：通过Sniffer Pro实时监控，及时发现网络环境中的故障（例如病毒、攻击、流量超限等非正常行为）。对于很多企业、网吧网络环境中，网关（路由、代理等）自身不具备流量监控、查询功能，本文将是一个很好的解决方案。Sniffer Pro强大的实用功能还包括：网内任意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量TOP排行、异常告警等。同时，我们将数据包捕获后，通过Sniffer Pro的专家分析系统帮助我们更进一步分析数据包，以助更好的分析、解决网络异常问题。 二、Sniffer Pro 安装、启动、配置 Sniffer Pro 安装过程与其它应用软件没有什么太大的区别，在安装过程中需要注意的是：①Sniffer Pro 安装大约占用70M左右的硬盘空间。②安装完毕Sniffer Pro后，会自动在网卡上加载Sniffer Pro 特殊的驱动程序（如图1）。③安装的最后将提示填入相关信息及序列号，正确填写完毕，安装程序需要重新启动计算机。④对于英文不好的管理员可以下载网上的汉化补丁。 图1 启动Sniffer Pro 第一次启动Sniffer Pro时,需要选择程序从那一个网络适配器接收数据，我们指定位于端口镜像所在位置的网卡。具体位于：File-Select Settings-New名称自定义、选择所在网卡下拉菜单，点击确定即可。(如图2) 这样我们就进入了Sniffer Pro的主界面。 图2 任务二 捕捉数据包 查询网关流量 基于IP层流量 一、查询网关流量 下面以图文的方式介绍，如何查询网关（路由、代理：219.*.238.65）流量，这也是最为常用、重要的查询之一 1．?扫描IP-MAC对应关系 这样做是为了在查询流量时，方便判断具体流量终端的位置，MAC地址不如IP地址方便。选择菜单栏中Tools-Address Boo