《信息保障與安全》實(shí)驗(yàn)指導(dǎo)書(二).doc

信息保障與安全課程實(shí)驗(yàn)指導(dǎo)書實(shí)驗(yàn)六、用Win2000構(gòu)建DHCP服務(wù)器實(shí)驗(yàn)七、DI-1750配置靜態(tài)路由實(shí)驗(yàn)八、DI-1750配置RIP路由協(xié)議實(shí)驗(yàn)九、Mac地址表與地址端口綁定實(shí)驗(yàn)十、使用Sniffer工具嗅探網(wǎng)絡(luò)信息實(shí)驗(yàn)十一、網(wǎng)絡(luò)層協(xié)議配置實(shí)驗(yàn)十二、Socket支持下網(wǎng)上點(diǎn)對(duì)點(diǎn)通信的實(shí)現(xiàn)實(shí)驗(yàn)七 DI-1750配置靜態(tài)路由實(shí)驗(yàn)八 DI-1750配置RIP路由協(xié)議實(shí)驗(yàn)九 Mac地址表與地址端口綁定一、實(shí)驗(yàn)?zāi)康募耙笳莆战粨Q機(jī)中Mac地址表的查看方法，了解Mac地址表中備表項(xiàng)的意義；了解MAC地址的學(xué)習(xí)和老化過(guò)程；二、實(shí)驗(yàn)環(huán)境以太網(wǎng)交換機(jī)一臺(tái)、一臺(tái)PC、同異步Modem兩個(gè)和PSTN網(wǎng)絡(luò)電話接口兩個(gè)專用配置電纜一根，網(wǎng)線一根。三、實(shí)驗(yàn)步驟1、通過(guò)Console口搭建配置環(huán)境 步驟同實(shí)驗(yàn)八。2、組網(wǎng)圖3、查看Mac地址表在這個(gè)例子中，PCI連在交換機(jī)的E01接口上。我們可以用如下命令查看主機(jī)的MAC地址：Quidwaydisplay mac-addressMAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)0003-47b7-c378 N/A Learned Ethernet0/1 225表格中MAC ADDR列表示e01接口所連接的以太網(wǎng)中的主機(jī)的MAC地址，VLAN ID列指出這個(gè)端口所在的VLAN。STATE列指出這個(gè)MAC地址表項(xiàng)的屬性：Learned表示動(dòng)態(tài)學(xué)習(xí)的，Aging Time是該表項(xiàng)的老化時(shí)問(wèn)，表示這個(gè)表項(xiàng)還會(huì)被保存多長(zhǎng)時(shí)間(以秒為單位)。在S3026交換機(jī)中正是由于Mac地址表的存在，才使得交換機(jī)可以根據(jù)數(shù)據(jù)包的Mac地址查出端口號(hào)，來(lái)實(shí)現(xiàn)基于二層的快速轉(zhuǎn)發(fā)。當(dāng)一臺(tái)PC被連接到交換機(jī)的端口，交換機(jī)會(huì)從該端口動(dòng)態(tài)學(xué)習(xí)到PC的Mac地址，并將其添加到Mac地址表中。 對(duì)于動(dòng)態(tài)學(xué)習(xí)到的Mac地址，有一個(gè)老化多長(zhǎng)時(shí)間Aging Time的概念，來(lái)表示這個(gè)表項(xiàng)還會(huì)被保存多長(zhǎng)時(shí)間。系統(tǒng)默認(rèn)的老化時(shí)間是300秒。我們可以通過(guò)下列命令來(lái)查看Mac地址的老化時(shí)間： Quidwaydisplay mac-address aging-time mac-address aging-time: 300s 同時(shí)我們還可以通過(guò)mac-address timer aging令來(lái)修改系統(tǒng)的老化時(shí)間。默認(rèn)情況下，學(xué)習(xí)到的地址表項(xiàng)如果在老化時(shí)間結(jié)束后沒(méi)有得到更新，這個(gè)表項(xiàng)會(huì)被刪除。當(dāng)我們斷開PC與交換機(jī)的物理連接時(shí)，這個(gè)動(dòng)態(tài)表項(xiàng)會(huì)被立即刪除(不管老化時(shí)間是否已經(jīng)到了)。 Quidwaydisplay mac-address MAC ADDR VLAN ID STATE PORT INDEX AGINGTIME(s) 0003-47b7-c378 N/A LearnedEthernetO/1 50 - 1 mac address(es) found - 拔掉網(wǎng)線,可以看到下面的信息；Quidway %4/2/2000 1:51:37-L21NF-5-S1-PORT LINK STATUS CH ANGE: Ethernet0/l: change status to DOWN Quidwaydisplay mac-address Not found any Mac address! 4、MAC地址表的維護(hù)和管理S3026交換機(jī)除了可以動(dòng)態(tài)從端口學(xué)習(xí)到ac地址之外，還可以通過(guò)一些命令來(lái)手動(dòng)添加或刪除靜態(tài)的表項(xiàng)，來(lái)實(shí)現(xiàn)對(duì)Mac地址表的維護(hù)和控制。在S3026交換機(jī)中，對(duì)于同一個(gè)MAC地址只能有一個(gè)表項(xiàng)，因此在我們配置靜態(tài)表項(xiàng)之前，必須把相應(yīng)的動(dòng)態(tài)表項(xiàng)給釋放掉，然后再進(jìn)行如下配置：Quidwaymac-address static 0003-47b7-c378 inter face ethernet0/2Quidwaydisplay mac-address MAC ADDR VLAN IDSTATE PORT INDEX AGING TIME(s)0003-47b7-c378 N/A Config static EthernetO/2 NOAGED - 1 macaddress(es) found -從上面的Mac地址表中我們可以看出，STATE字段是Config static，表示是手動(dòng)添加的靜態(tài)表項(xiàng)；AGING TIME(s)為NOAGED，表示沒(méi)有老化時(shí)間。只要交換機(jī)沒(méi)有重起丟失配置，該表項(xiàng)就會(huì)一直存在。下面我們可以試著用“undo”命令刪除到我們配置靜態(tài)表項(xiàng)，配置如下：Quidwayundo mac-address static 0003-47b7-c378Quidwaydisplay mac-addressNot found any Mac address!除了可以配置靜態(tài)表項(xiàng)之外，我們還可以手動(dòng)配置動(dòng)態(tài)的表項(xiàng)，配置命令如下：Quidwaymac-address dynamic 0003-47b7-c378 interface ethernet0/2Quidwaydisplay mac-addressMAC ADDR VLAN IDSTATE PORT INDEX AGING TIME(s) 0003-47b7-c378 N/AConfig dynamic Ethernet0/2 45 - 1 mac address(es) found - 請(qǐng)注意這里的STATE是Config dynamic表示是手動(dòng)添加的動(dòng)態(tài)表項(xiàng)，手動(dòng)添加的動(dòng)態(tài)表項(xiàng)和自動(dòng)學(xué)習(xí)到的自動(dòng)表項(xiàng)一樣，都有老化時(shí)間AGINGTIME。同樣我們也可以用“undo”命令來(lái)刪除動(dòng)態(tài)表項(xiàng)，配置如下：Quidwayundo mac-address dynamic 0003-47b7-c378Quidwaydisplay mac-address Not found any Mac address! 在交換機(jī)的接口配置視圖下，我們還可以用“mac-addressmax-mac-count”命令來(lái)配置端口可以學(xué)習(xí)的最大MAC地址數(shù)，例如：Quidway-Ethernet0/2mac-address max-mac-count 600缺省情況下，交換機(jī)對(duì)于端口最多可以學(xué)習(xí)到的MAC地址數(shù)目沒(méi)有限制。(最大值4096)。5、地址端口綁定對(duì)于交換機(jī)Mac地址的管理，其中一個(gè)很重要的功能是地址端口綁定。地址和端口的綁定是指：交換機(jī)的一個(gè)端口只能連接某個(gè)固定的主機(jī)，而且這個(gè)主機(jī)只能連接到這個(gè)端口。在一些簡(jiǎn)單接入環(huán)境中，地址綁定功能可以防止用戶用接一個(gè)HUB或一個(gè)交換機(jī)在分配給他的一個(gè)網(wǎng)口上的方法，來(lái)實(shí)現(xiàn)一個(gè)網(wǎng)口多人上網(wǎng)的目的。在S3026交換機(jī)上，我們有兩種方法可以實(shí)現(xiàn)地址端口綁定。下面分別進(jìn)行介紹： 在前面的實(shí)驗(yàn)中，我們提到過(guò)，在S3026交換機(jī)中，對(duì)于同一個(gè)MAC地址只能有一個(gè)表項(xiàng)。而靜態(tài)配置的MAC地址表項(xiàng)優(yōu)先于動(dòng)態(tài)學(xué)習(xí)的MAC地址表項(xiàng)。所以在本實(shí)驗(yàn)中，為了把PCI和端口EO2捆綁起來(lái)，首先我們可以配置一個(gè)靜態(tài)的MAC地址表項(xiàng)規(guī)定PCI的MAC地址和E02對(duì)應(yīng)，這樣即使您將PCI接到其它端口，由于靜態(tài)配置的MAC地址表項(xiàng)優(yōu)先于動(dòng)態(tài)學(xué)習(xí)的MAC地址表項(xiàng)、同一個(gè)MAC地址只能有一個(gè)表項(xiàng)的原則，PCI的MAC地址不能被其它端口學(xué)習(xí)形成新的表項(xiàng)，就是說(shuō)PCI不能連在其它端口上。下面我們可以來(lái)驗(yàn)證一下：首先配置靜態(tài)表項(xiàng)如下：Quidwaymac-address static 0003-47b7-c378 interface ethernet0/2Quidwaydisplay mac-addressMAC ADDR VLAN IDSTATE PORT INDEX AGING TIME(s)0003-47b7-c378 N/AConfig static Ethernet0/2NOAGED- 1 mac address(es) found - 然后在交換機(jī)上接PC2，IP地址為9（PCI的IP地址為7)，然后從PC2上ping PCI，看是否能夠ping通：C:Documents and SettingsAdministratorping 7Pinging 7 with 32 bytes of data:Reply from 7: bytes=32 time10ms TTL=128Reply from 7: bytes=32 time10ms TTL=128Reply from 7: bytes=32 time10ms TTL=128Reply from 7: bytes=32 timeping 7Pinging 7 with 32 bytes of data:Request timed out.Request timed out.Request timed out.Request timed out.Ping statistics for 7: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms這時(shí)PC1與PC2無(wú)法通信，由于PC1的MAC地址被綁定在e0/2上，交換機(jī)不再學(xué)習(xí)PC1 的動(dòng)態(tài)地址。 Quidway-Vlan-interf ace1display mac-address MAC ADDR VLAN ID STATE PORTINDEX AGING TIME(s) 0003-47b7-c378 N/A Config static Ethernet0/2 NOAGED- 1 mac address(es) found - 到這一步，我們可以看到PCI不能連在e02以外的端口上。這時(shí)eO2端口還有可能學(xué)習(xí)到其它的Mac地址，也就是說(shuō)e0/2端口還可以連接其他的主機(jī)。為了讓EO2只能連Pc1，我們只需在EO/2沒(méi)有學(xué)習(xí)到其他MAC地址的時(shí)候，禁止這個(gè)端口進(jìn)行地址學(xué)習(xí)功能或者將其能學(xué)習(xí)到的地址數(shù)設(shè)置為0即可。實(shí)驗(yàn)十 使用Sniffer工具嗅探網(wǎng)絡(luò)信息一、實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)使用Sniffer Pro軟件掌握Sniffer工具的使用方法，實(shí)現(xiàn)捕捉FTP、HTTP等協(xié)議的數(shù)據(jù)包，以理解TCP/IP協(xié)議中多種協(xié)議的數(shù)據(jù)結(jié)構(gòu)、會(huì)話連接建立和終止的過(guò)程、TCP序列號(hào)、應(yīng)答序號(hào)的變化規(guī)律。并且，通過(guò)實(shí)驗(yàn)了解FTP、HTTP等協(xié)議明文傳輸?shù)奶匦?，以建立安全意識(shí)，防止FTP、HTTP等協(xié)議由于傳輸明文密碼造成的泄密。通過(guò)練習(xí)使用SuperScan網(wǎng)絡(luò)端口掃描器，可以了解目標(biāo)主機(jī)開放的端口和服務(wù)程序，從而獲取系統(tǒng)的有用信息，發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全漏洞。二、實(shí)驗(yàn)原理Sniffer即網(wǎng)絡(luò)嗅探器，用于監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)包，分析網(wǎng)絡(luò)性能和故障。Sniffer主要用于網(wǎng)絡(luò)管理和網(wǎng)絡(luò)維護(hù)，系統(tǒng)管理員通過(guò)Sniffer可以診斷出通過(guò)常規(guī)工具難以解決的網(wǎng)絡(luò)疑難問(wèn)題，包括計(jì)算機(jī)之間的異常通信、不同網(wǎng)絡(luò)協(xié)議的通信流量、每個(gè)數(shù)據(jù)包的源地址和目的地址等，它將提供非常詳細(xì)的信息。通過(guò)每個(gè)網(wǎng)絡(luò)接口都有一個(gè)互不相同的硬件地址（MAC地址），同時(shí)，每個(gè)網(wǎng)段有一個(gè)在此網(wǎng)段中廣播數(shù)據(jù)包的廣播地址（代表所有的接口地址）。一般情況下，一個(gè)網(wǎng)絡(luò)接口只響應(yīng)目的地址是自己硬件地址或者自己所處網(wǎng)段的廣播地址的數(shù)據(jù)幀，并由操作系統(tǒng)進(jìn)一步進(jìn)行處理，同時(shí)丟棄不是發(fā)給自己的數(shù)據(jù)幀。通過(guò)Sniffer工具，可以將網(wǎng)絡(luò)接口設(shè)置為“混雜”（Promiscuous）模式。在這種模式下，網(wǎng)絡(luò)接口就處于一個(gè)對(duì)網(wǎng)絡(luò)進(jìn)行“監(jiān)聽”的狀態(tài)，它可以監(jiān)聽此網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)幀，而不管數(shù)據(jù)幀的目標(biāo)地址是廣播地址還是自己或其它網(wǎng)絡(luò)接口的地址了，它將對(duì)遭遇的每一個(gè)數(shù)據(jù)幀產(chǎn)生硬件中斷，交由操作系統(tǒng)對(duì)這個(gè)幀進(jìn)行處理，比如截獲這個(gè)數(shù)據(jù)帖，進(jìn)而實(shí)現(xiàn)實(shí)時(shí)分析數(shù)據(jù)幀中包含的內(nèi)容。當(dāng)然，如果一個(gè)數(shù)據(jù)幀沒(méi)有發(fā)送到目標(biāo)主機(jī)的網(wǎng)絡(luò)接口，則目標(biāo)主機(jī)將無(wú)法監(jiān)聽到該幀，所以Sniffer所能監(jiān)聽到的信息將僅限于在同一個(gè)物理網(wǎng)絡(luò)內(nèi)傳送的數(shù)據(jù)幀，就是說(shuō)監(jiān)聽的目標(biāo)中間不能有路由（交換）或其它屏蔽廣播包的設(shè)備。因此，當(dāng)Sniffer工作在由集線器構(gòu)建的廣播型局域網(wǎng)時(shí)，它可以監(jiān)聽到此物理網(wǎng)絡(luò)內(nèi)所有傳送的數(shù)據(jù)，而對(duì)于由交換機(jī)和路由器構(gòu)建的網(wǎng)絡(luò)中，由于這些網(wǎng)絡(luò)設(shè)備只根據(jù)目標(biāo)地址分發(fā)數(shù)據(jù)幀，所以在這種網(wǎng)絡(luò)中，Sniffer工具就只能監(jiān)測(cè)到目標(biāo)地址是自己的數(shù)據(jù)幀再加上針對(duì)廣播地址的數(shù)據(jù)幀了。Sniffer工作在OSI模型中的第2層，它一般在已經(jīng)進(jìn)入對(duì)方系統(tǒng)的情況下使用。實(shí)驗(yàn)中要注意，雖然Sniffer能得到局域網(wǎng)中傳送的大量數(shù)據(jù)，但是不加選擇地接收所有數(shù)據(jù)包，并且進(jìn)行長(zhǎng)時(shí)間的監(jiān)聽，那么你需要分析的數(shù)據(jù)量將是非常巨大的，并且會(huì)浪費(fèi)大量硬盤空間。對(duì)于Sniffer工具的防范可以從以下幾個(gè)方面進(jìn)行，首先，如果通過(guò)網(wǎng)管工具發(fā)現(xiàn)在局域網(wǎng)內(nèi)存在長(zhǎng)時(shí)間占用較大帶寬的計(jì)算機(jī)，這臺(tái)計(jì)算機(jī)可能在進(jìn)行嗅探；其次，Sniffer的記錄文件增長(zhǎng)很快，通過(guò)分析文件系統(tǒng)大小的變換情況，可以找到這個(gè)文件；最后，如果計(jì)算機(jī)的網(wǎng)絡(luò)接口和處于混雜模式下（在Unix系統(tǒng)下，可通過(guò)IPconfig a命令查看網(wǎng)絡(luò)接口狀態(tài)），則它可能運(yùn)行了Sniffer。另外，還可以利用Antisniff工具來(lái)檢測(cè)是否有被監(jiān)聽。三、實(shí)驗(yàn)環(huán)境兩臺(tái)安裝Windows 2000/XP的PC機(jī)，在其中一臺(tái)上安裝Sniffer Pro軟件，將兩臺(tái)PC機(jī)通過(guò)HUB相連，組成一個(gè)局域網(wǎng)。四、實(shí)驗(yàn)內(nèi)容和步聚1、Sniffer Pro軟件簡(jiǎn)介Sniffer軟件是NAI公司推出的功能強(qiáng)大的協(xié)議分析軟件，可用來(lái)截獲網(wǎng)絡(luò)中傳輸?shù)腇TP、HTTP、Telnet等數(shù)據(jù)包，并進(jìn)行分析。2、軟件主界面簡(jiǎn)介軟件的主界面如圖10-1所示。圖10-1 Sniffer Pro主界面3、網(wǎng)絡(luò)監(jiān)控模式（1）MoniterHostname依次單擊MoniterHostname，打開如圖10-2所示的窗口，該窗口中不同顏色的區(qū)塊代表了同一網(wǎng)段內(nèi)與你的主機(jī)相連接的通信量的多少，右側(cè)顯示了不同顏色所代表的IP地址。單擊左下角的MAC或IPX則顯示與之相應(yīng)的通信量。圖10-2 與主機(jī)相連的通信量（2）Moniter-Matrix依次單擊Moniter-Matrix，打開如圖10.3所示的窗口，窗口中的藍(lán)色圓中的各點(diǎn)連線表明了當(dāng)前處于活躍狀態(tài)的點(diǎn)對(duì)點(diǎn)連接，也可通過(guò)將鼠標(biāo)放在IP地址上點(diǎn)右鍵show select nodes查看特定的點(diǎn)對(duì)多點(diǎn)的網(wǎng)絡(luò)連接。圖10-3 IP地址對(duì)應(yīng)的Matrix（3）monitor-protocol distribution依次單擊monitor-protocol distribution，打開如圖10-4所示的IP協(xié)議分布狀況圖。該圖中的不同顏色的區(qū)塊代表不同的網(wǎng)絡(luò)協(xié)議。圖10-4 協(xié)議分布狀況圖（4）monitor-dashboard依次單擊monitor-dashboard，打開如圖10-5所示的窗口，該窗口中顯示了各項(xiàng)網(wǎng)絡(luò)性能指標(biāo)包括利用率、傳輸速度、錯(cuò)誤率。圖2-5 網(wǎng)絡(luò)性能指標(biāo)統(tǒng)計(jì)圖（5）monitor-Globle Statistics依次單擊monitor-Globle Statistics，打開如圖10-6所示的窗口，在該窗口中可以查看網(wǎng)絡(luò)上傳輸包的大小比例分配情況。圖10-6 網(wǎng)絡(luò)傳輸包大小比例分配情況（6）monitor-application response time依次單擊monitor-application response time，打開如圖10-7所示的窗口，該窗口顯示了局域網(wǎng)內(nèi)的通信其響應(yīng)速度列表，并將本地網(wǎng)段的機(jī)器名以NETBIOS名的形式解析出來(lái)。圖10-8 application response time4、捕獲FTP數(shù)據(jù)包并進(jìn)行分析（1）假設(shè)A主機(jī)監(jiān)視B主機(jī)的活動(dòng)，首先A主機(jī)要知道B主機(jī)的IP地址。（2）單擊菜單中的Capture-Define Filter-Advanced，選中IPTCPFTP，如圖10-9所示，然后單擊OK。圖10-9 過(guò)濾器設(shè)置只FTP數(shù)據(jù)包（3）選中Monitor菜單下的Matrix，打開如圖2-3所示的窗口，在該窗口中選中B主機(jī)的IP地址，并右擊之，在彈出的快捷菜單中選擇“Capture”，這樣就開始捕捉指定IP地址主機(jī)的有關(guān)FTP協(xié)議數(shù)據(jù)包了。（4）開始捕捉后，單擊工具欄中的Capture Panel按鈕，打開如圖10-10所示的窗口，該窗口中將顯示捕捉到的Packet數(shù)量。圖10-10 Capture Panel窗口（5）B主機(jī)開始用用戶名與密碼登陸一個(gè)FTP服務(wù)器，并打開某個(gè)目錄。（6）此時(shí)，從Capture Panel中看到捕捉到一定數(shù)量的數(shù)據(jù)包后，單擊Stop and Display按鈕，停止抓包。（7）停止抓包后，單擊窗口左下角的Decode選項(xiàng)，窗口中會(huì)顯示所捕捉的數(shù)據(jù)，并分析捕獲的數(shù)據(jù)包，如圖10-11所示。圖10-11 Decode窗口從捕獲的包中，我們可以發(fā)現(xiàn)大量有用的信息，下面詳細(xì)說(shuō)明如下：（1）在捕獲報(bào)文窗口即最上方的子窗口中，可以看出數(shù)據(jù)包1是TCP連接，D21，S2036，Dest Address5，表示目的端口是21，主機(jī)端口是2036，說(shuō)明連接的FTP服務(wù)器地址是30，端口為21。（2）數(shù)據(jù)包序號(hào)為1、2、3的三個(gè)數(shù)據(jù)包顯示了TCP連接過(guò)程中的3次握手過(guò)程。（3）第5個(gè)數(shù)據(jù)包顯示了登錄FTP所使用的用戶名，第7個(gè)數(shù)據(jù)包顯示了與該用戶名對(duì)應(yīng)的口令。（4）第26個(gè)數(shù)據(jù)包顯示了該用戶訪問(wèn)過(guò)ftptest文件夾。（5）還可以在中間的子窗口中分析TCP包頭結(jié)構(gòu)，其中每一字段都與圖10-13所示的TCP包頭結(jié)構(gòu)相一致。在最下面的子窗口中顯示了與在最上面的子窗口中選中的數(shù)據(jù)包所對(duì)應(yīng)的十六進(jìn)制內(nèi)容。圖10-12 Decode窗口圖10-13 TCP包頭上面的分析正說(shuō)明了FTP中的數(shù)據(jù)是以明文形式傳輸?shù)模虼嗽诓东@的數(shù)據(jù)包中可以分析到被監(jiān)聽主機(jī)的任何FTP行為。5、捕獲HTTP數(shù)據(jù)包并分析（1）在A主機(jī)上，與捕獲FTP數(shù)據(jù)包的操作過(guò)程相同，不同的是在圖10-9所示的窗口中，應(yīng)選中HTTP。（2）在B主機(jī)上，登陸一個(gè)Web服務(wù)器，如，并輸入自己的郵箱地址和密碼。（3）停止抓包后，同樣單擊左下角的Decode選項(xiàng)，并分析捕獲的數(shù)據(jù)包。（4）可以看出，該過(guò)程比FTP數(shù)據(jù)包多得多，在Summary中找到Post類型的數(shù)據(jù)包，然后在最下方的子窗口中通?？梢哉业礁信d趣的消息，比如訪問(wèn)了什么網(wǎng)站，使用過(guò)的用戶名和密碼等，如圖10-14所示。圖10-14 Decode界面6、捕獲HTTP數(shù)據(jù)包的改進(jìn)方法從前面捕獲HTTP數(shù)據(jù)包的結(jié)果可以看出，捕獲的數(shù)據(jù)包是海量的，能不能將那些不感興趣的數(shù)據(jù)包過(guò)濾掉呢？當(dāng)然可以，通過(guò)設(shè)計(jì)適當(dāng)?shù)倪^(guò)濾規(guī)則可將捕獲的數(shù)據(jù)包大大減少，從而減少分析數(shù)據(jù)的工作量，從而盡快得到感興趣的信息。在前面的基礎(chǔ)上，設(shè)計(jì)過(guò)濾規(guī)則的操作過(guò)程如下：（1）依次單擊“Capture”“Define Filter”，然后單擊“Data Pattern”選項(xiàng)卡，打開如圖10-15所示的窗口， 圖10-15 設(shè)計(jì)Data Pattern（3）單擊“Add pattern”按鈕，打開如圖10-16所示的窗口，并選擇圖中選中的“TCP: Flags”選項(xiàng)，然后單擊“Set Data”按鈕并單擊OK按鈕，回到圖10-15所示的窗口，單擊圖中的“AND”，使得按鈕“Add Pattern”可用，如圖10-17所示。圖10-16 添加Data Pattern圖10-17 設(shè)置Data Pattern再單擊圖10-17所示窗口的中“Add Pattern”，同樣的方法，添加“TCP: Destination Port”選項(xiàng)。其結(jié)果如圖10-18所示，要注意圖中新增的兩項(xiàng)是邏輯與的關(guān)系。最后單擊“確定”按鈕即可。圖10-18 再次添加Data Pattern的結(jié)果（4）按前面捕獲HTTP數(shù)據(jù)包的方法再次捕獲HTTP數(shù)據(jù)包，其結(jié)果如圖10-19所示，從圖中可以看出，經(jīng)過(guò)濾后捕獲的數(shù)據(jù)包（112個(gè)數(shù)據(jù)包）相當(dāng)于之前（955個(gè)數(shù)據(jù)包）的九分之一左右。圖10-19 再次捕獲的數(shù)據(jù)包7、課外任務(wù)（1）對(duì)于FTP數(shù)據(jù)包，也可以進(jìn)行類似的過(guò)濾設(shè)置（2）捕獲Telnet數(shù)據(jù)包并分析獲取用戶賬號(hào)與密碼（3）在一臺(tái)主機(jī)B上安裝防火墻，然后再進(jìn)行嗅探，看是否還能成功地接收信息，如果不能，分析其原因并詳細(xì)寫出來(lái)?？蓞⒖?article/special/sniffer/20070629/646.html8、課外實(shí)驗(yàn)（1）熟悉SuperScan 的使用，掃描網(wǎng)絡(luò)各主機(jī)開放的端與服務(wù)。（2）熟悉并使用流光Fluxay，利用它掃描主機(jī)漏洞（3）熟悉Nessus掃描（Linux環(huán)境，自選）（4）熟悉并使用Nmap（自選）（5）熟悉并使用SSS，并利用它進(jìn)行安全漏洞掃描（自選）實(shí)驗(yàn)十一 網(wǎng)絡(luò)層協(xié)議配置一、實(shí)驗(yàn)?zāi)康募耙笳莆誑AT配置；掌握DHCP配置；二、實(shí)驗(yàn)環(huán)境路由器一臺(tái)、一臺(tái)PC、同異步Modem兩個(gè)和PSTN網(wǎng)絡(luò)電話接口兩個(gè)專用配置電纜一根，網(wǎng)線一根。三、實(shí)驗(yàn)步驟1、通過(guò)Console口搭建配置環(huán)境同實(shí)驗(yàn)十五。2、配置NAT組網(wǎng)圖如下：配置如下：Routeracl 2000 match-order autoRouter-acl2000 rule normal permit source 55Router-acl2000 rule deny ip source any /配置允許進(jìn)行NAT轉(zhuǎn)換的內(nèi)網(wǎng)地址段Router interface Ethernet0Router-Ethernet0 ip address Router interface Ethernet1Router-Ethernet1 ip address Router-Ethernet1 nat outbound 2000 interface 在出接口上進(jìn)行NAT轉(zhuǎn)換Router ip route-static preference 60Router return用計(jì)算機(jī)A ping下連接在另一臺(tái)路由器上的計(jì)算機(jī)B，查看顯示信息。路由器A、B通過(guò)串口連接。3、配置DHCPServerDHCP 的主要用途是:通過(guò)DHCP服務(wù)器的協(xié)助來(lái)控管各個(gè)客戶機(jī)（執(zhí)行中的用戶端）上不可缺少的網(wǎng)絡(luò)配置參數(shù),包括DNS（Domain Name Service 域名服務(wù)）,WINS（Windows Internet Name Service Windows互聯(lián)網(wǎng)名字服務(wù)）等。 組網(wǎng)圖如下：1）配置路由器Routerdhcp enableRouterdhcp server ip-pool 1Router-dhcp1network mask Router-dhcp1gateway-list Router-dhcp1expired day 24Router-dhcp1domain-name HRouter-dhcp1dns-list Router-dhcp1nbns-list Routerinterface Ethernet0Router-ethernet0ip address 2）配置計(jì)算機(jī) 將TCP/IP屬性設(shè)置為自動(dòng)獲取IP地址，在cmd提示符下輸入ipconfig /renew獲取IP地址，使用ipconfig /all查看結(jié)果，對(duì)照1）配置路由器的步驟，思考各配置命令的含義。實(shí)驗(yàn)十二 Soc