还剩32页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
《网络安全技术与实施》课程教案201--201学年度学期所属系部任课教师授课对象系别本次课学时2年级班次章节题目项目二协议分析——ARP协议目的要求含技能要求了解ARP协议的报文格式;理解ARP协议的作用;掌握ARP协议的工作原理本节重点ARP协议的工作原理本节难点ARP协议的工作原理教学方法引导文教学、任务驱动、案例教学、教学做一体化教学模式教学用具实训室问题引入随着Internet/Intranet的发展,TCP/IP协议得到了广泛的应用,几乎所有的网络均采用了TCP/IP协议由于TCP/IP协议在最初设计时没有考虑到安全性问题而只是用于科学研究,因此它自身存在许多固有的安全缺陷,这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门,使得基于这些缺陷和漏洞的攻击形式多样难点与重点讲解方法利用PacketTracer分析ARP协议的工作原理本次课小节课程小节1.ARP协议的作用2.ARP协议的报文格式3.ARP协议的工作原理教后札记通过本次授课使学生理解ARP协议的作用及工作原理,利用PacketTracer抓包软件分析ARP讨论、思考题、作业含实训作业尝试利用GNS3软件分析APR协议授课教师年月日教学过程[引入新课]随着Internet/Intranet的发展,TCP/IP协议得到了广泛的应用,几乎所有的网络均采用了TCP/IP协议由于TCP/IP协议在最初设计时没有考虑到安全性问题而只是用于科学研究,因此它自身存在许多固有的安全缺陷,这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门,使得基于这些缺陷和漏洞的攻击形式多样[讲授新课]
一、项目背景A企业是一个跨地区的大型企业,它由A企业长春总部、A企业上海分公司、A企业北京办事处组成,A企业三个分部处于不同城市,具有各自的内部网络,并且都已经连接到互联网中小杨作为A企业长春总部网络管理人员,工作之初,他时常会听到领导、员工的责问网管,怎么又掉线了?!同时,内网文件服务器也偶尔会出现死机、系统崩溃和内容被篡改的现象
二、ARP协议1.ARP协议简介ARP全称为AddressResolutionProtocol,地址解析协议的缩写所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程2.ARP报文格式目的MAC地址源MAC地址0X8006数据FCS硬件类型协议类型硬件长度协议长度操作类型源主机的MAC地址源主机的IP地址目的主机的MAC地址目的主机的IP地址3.ARP工作原理
(1)首先,每台主机都会在自己的ARP缓冲区中建立一个ARP列表,以表示IP地址和MAC地址的对应关系
(2)当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP请求的广播包,查询此目的主机对应的MAC地址
(3)网络中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致如果不相同就忽略此数据包;如果相同,该主机首先将发送方的MAC地址和IP地址添加到自己的ARP列表中,如果ARP表中已经存在该IP的信息,则将其覆盖,然后给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址
(4)源主机收到这个ARP响应数据包后,将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中,并利用此信息开始数据的传输如果源主机一直没有收到ARP响应数据包,表示ARP查询失败4.ARP的安全及防范从影响网络连接通畅的方式来看,分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗
(1)对路由器ARP表的欺骗其原理是截获网关数据它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息
(2)对内网PC的网关欺骗其原理是伪造网关通过建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网在PC看来,就是上不了网了,“网络掉线了”作为企业的网管人员,为防范第一种ARP欺骗,可以在路由器中把所有PC的IP-MAC输入到一个静态表中,这叫路由器IP-MAC绑定;同时为防范第二种ARP欺骗,可以在内网所有PC上设置网关的静态ARP信息,这叫PC机IP-MAC绑定
三、使用PacketTracer模拟软件抓包ARP分析
1.本任务的实验拓扑及设备IP地址如下图所示
2.打开PC1,在命令行下运行“arp-a”命令,查看ARP缓存表如下图所示,此时在没有任何通信的情况下,ARP缓存表是空的
3.PC1为源主机,PC3为目标主机,使用Ping命令测试网络连通性,观察数据经交换机转发的过程
(1)由实时模式切换至模拟模式,单击PT软件右下角的【Simulation】按钮,即可进入模拟模式,在模拟模式下,单击【EditFilters】按钮,打开捕获窗口设置过滤条件(提取ARP、ICMP),如下图所示
(2)单击“PC1”,选择【Desktop】|【CommandPrompt】在命令行提示符下,输入“Ping
172.
16.
1.3”如下图所示
(3)在模拟模式下单击“AutoCapture/Play”按钮观察数据传送过程,如下图所示
4.在右侧的“EventList”中分析PC1发往PC3的第一个ARP数据,如下图所示,源IP为
172.
16.
1.1,目的IP为
172.
16.
1.3,数据链路层为数据进行封装,类型字段(TYPE)值为“0x806”表示封装的是ARP协议,源MAC为
0001.
6465.8B74(即PC1),目的MAC为即FFFF.FFFF.FFFF(即广播地址),“OPCODE”(操作码)字段中为“0x1”,表示此次操作为“ARP请求”
5.数据经由交换机S1到达PC3,经对比发现,目的IP与自己的IP一致,进而PC3向PC1进行回应如下图所示,此时从PC3发出的数据包的源IP变为
172.
16.
1.3,目的IP变为
172.
16.
1.1,源MAC变为
0002.4AEE.98A4,目的MAC变为
0001.
6465.8B74,“OPCODE”字段中为“0x2”,表示此次操作为“ARP响应”
6.PC3回应的数据到达PC1,如下图所示为PC1收到的回应
7.在PC1上再次执行ARP-a命令,即可查看到ARP高速缓存表中增加了一条记录如下图所示,IP地址为
172.
16.
1.3的主机,其MAC地址为
0002.4AEE.98A4,类型为动态
8.ping命令可用于测试网络连通性通过访问其它设备,ARP关联会被动态添加到ARP缓存中在PC1上ping地址
255.
255.
255.255,并发出arp-a命令查看获取的MAC地址此时局域网中所有的MAC地址全部存在其ARP缓存表中如下图所示
9.为了防止ARP欺骗攻击,可以使用ARP–S命令,将网关的IP及MAC地址进行绑定需要注意的是PacketTracer模拟器不支持此命令[课堂小结]本次课主要介绍ARP协议作用、报文格式及工作原理,同时利用PacketTracer模拟软件抓包进行ARP分析授课对象系别本次课学时2年级班次章节题目项目二协议分析——ICMP协议目的要求含技能要求了解ICMP协议的报文格式;理解ICMP协议的作用;理解ICMP协议的安全及防范本节重点ICMP协议的安全及防范本节难点ICMP协议的安全及防范教学方法引导文教学、任务驱动、案例教学、教学做一体化教学模式教学用具实训室问题引入随着Internet/Intranet的发展,TCP/IP协议得到了广泛的应用,几乎所有的网络均采用了TCP/IP协议由于TCP/IP协议在最初设计时没有考虑到安全性问题而只是用于科学研究,因此它自身存在许多固有的安全缺陷,这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门,使得基于这些缺陷和漏洞的攻击形式多样难点与重点讲解方法利用PacketTracer分析ICMP协议的安全及防范本次课小节课程小节1.ICMP协议的作用2.ICMP协议的报文格式3.ICMP协议的安全及防范教后札记通过本次授课使学生理解TCP协议的作用及三次握手工作原理,利用GNS3抓包软件分析ICMP讨论、思考题、作业含实训作业尝试利用PT软件分析ICMP协议教学过程[引入新课]随着Internet/Intranet的发展,TCP/IP协议得到了广泛的应用,几乎所有的网络均采用了TCP/IP协议由于TCP/IP协议在最初设计时没有考虑到安全性问题而只是用于科学研究,因此它自身存在许多固有的安全缺陷,这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门,使得基于这些缺陷和漏洞的攻击形式多样[讲授新课]
一、项目背景A企业是一个跨地区的大型企业,它由A企业长春总部、A企业上海分公司、A企业北京办事处组成,A企业三个分部处于不同城市,具有各自的内部网络,并且都已经连接到互联网中小杨作为A企业长春总部网络管理人员,工作之初,他时常会听到领导、员工的责问网管,怎么又掉线了?!同时,内网文件服务器也偶尔会出现死机、系统崩溃和内容被篡改的现象
二、ICMP协议1.ICMP协议简介ICMP全称为InternetControlMessageProtocol,Internet控制消息协议的缩写它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息该协议属于网络层控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用在网络中经常会使用到ICMP协议,如经常使用的用于检查网络通不通的Ping命令,这个“Ping”的过程实际上就是ICMP协议工作的过程还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的2.ICMP报文格式
(1)类型字段(8位)有15个不同的值用来标识报文
(2)代码字段(8位)提供报文类型的进一步信息
(3)校验和字段(16位)提供整个ICMP报文的校验和
(4)数据区包括出错数据报的报头及该数据报的前64bit数据,这些信息可以帮助源主机确定出错数据报每个ICMP报文放在IP数据报的数据部分中通过互联网传递,即将ICMP报文加上IP报头,其中IP报头中的协议域protocol=1,而IP数据报本身放在帧的数据部分中通过物理网络传递3.ICMP的安全及防范ICMP协议对于网络安全具有极其重要的意义ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定,向主机发起“PingofDeath”(死亡之Ping)攻击“PingofDeath”攻击的原理是如果ICMP数据包的尺寸超过64KB上限时,主机就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使主机死机此外,向目标主机长时间、连续、大量地发送ICMP数据包,也会最终使系统瘫痪大量的ICMP数据包会形成“ICMP风暴”,使得目标主机耗费大量的CPU资源处理,疲于奔命对于“PingofDeath”攻击,可以采取两种方法进行防范第一种方法是在路由器上对ICMP数据包进行带宽限制,将ICMP占用的带宽控制在一定的范围内,这样即使有ICMP攻击,它所占用的带宽也是非常有限的,对整个网络的影响非常少;第二种方法就是在主机上设置ICMP数据包的处理规则,最好是设定拒绝所有的ICMP数据包
三、使用GNS3软件配置两台路由器利用wireshark抓包ICMP分析1.本任务的实验拓扑及设备IP地址如下图所示2.配置R1和R2两台路由器的接口地址,如下图所示R2侧也做同样的配置,IP地址为
192.
168.
3.23.在R2上使用PING命令,测试与R1的连通性,如下图所示
4.右击R1与R2间的链路,如下图所示
5.选择“开始抓包”后,选择一个R2作为源,如下图所示
6.选择“OK”后,在右上角的“抓取”位置,右击被抓包的端口,选择“运行Wireshark”,如下图所示
7.在R2上重复执行“ping
192.
168.
3.1”命令,查看Wireshark上的抓包信息,如下图所示
8.可以查看到ICMP协议的详细信息,如下图所示根据上图中的ICMP协议部分,可以看到ICMP协议字段中,类型为8,表示的是ICMP的请求报文,代码为0这是一个WINDOWS系统下的PING命令EchoRequest报文[课堂小结]本次课主要介绍ICMP协议作用、报文格式及工作原理,同时利用GNS3模拟软件抓包进行ICMP分析授课对象系别本次课学时2年级班次章节题目项目二协议分析——TCP协议目的要求含技能要求了解TCP协议的报文格式;理解TCP协议的作用;掌握TCP协议的工作原理本节重点TCP协议的工作原理本节难点TCP协议的工作原理教学方法引导文教学、任务驱动、案例教学、教学做一体化教学模式教学用具实训室问题引入随着Internet/Intranet的发展,TCP/IP协议得到了广泛的应用,几乎所有的网络均采用了TCP/IP协议由于TCP/IP协议在最初设计时没有考虑到安全性问题而只是用于科学研究,因此它自身存在许多固有的安全缺陷,这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门,使得基于这些缺陷和漏洞的攻击形式多样难点与重点讲解方法利用PacketTracer分析TCP协议的三次握手工作原理本次课小节课程小节1.TCP协议的作用2.TCP协议的报文格式3.TCP协议的三次握手工作原理教后札记通过本次授课使学生理解TCP协议的作用及三次握手工作原理,利用PacketTracer抓包软件分析TCP三次握手原理讨论、思考题、作业含实训作业尝试利用GNS3软件分析TCP协议教学过程[引入新课]随着Internet/Intranet的发展,TCP/IP协议得到了广泛的应用,几乎所有的网络均采用了TCP/IP协议由于TCP/IP协议在最初设计时没有考虑到安全性问题而只是用于科学研究,因此它自身存在许多固有的安全缺陷,这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门,使得基于这些缺陷和漏洞的攻击形式多样[讲授新课]
一、项目背景A企业是一个跨地区的大型企业,它由A企业长春总部、A企业上海分公司、A企业北京办事处组成,A企业三个分部处于不同城市,具有各自的内部网络,并且都已经连接到互联网中小杨作为A企业长春总部网络管理人员,工作之初,他时常会听到领导、员工的责问网管,怎么又掉线了?!同时,内网文件服务器也偶尔会出现死机、系统崩溃和内容被篡改的现象
二、TCP协议1.TCP协议简介TCP全称为TransmissionControlProtocol传输控制协议的缩写TCP是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC793说明TCP在IP报文的协议号是6在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功能,UDP是同一层内另一个重要的传输协议2.TCP报文格式TCP数据被封装在一个IP数据报中,格式如下 IP首部20TCP首部20TCP首部16位源端口号16位目的端口号32位序号32位确认序号4位首部长度保留6位URGACKPSHRSTSYNFIN16位窗口大小16位检验和16位紧急指针选项数据3.TCP连接的建立与终止
(1)TCP三次握手采用三次握手确认建立一次连接第一次握手主机A发送标志位为SYN=1,随机产生SeqNumber=X的数据包到服务器,主机B由SYN=1知道,A要求建立联机;第二次握手主机B收到请求后要确认联机信息,向A发送AckNumber=X+1,SYN=1,ACK=1,随机产生Seq=Y的数据包;第三次握手主机A收到后检查AckNumber是否正确,即第一次发送的X+1,以及ACK是否为1,若正确,主机A会再发送AckNumber=Y+1,ACK=1,主机B收到后确认Seq值与工ACK=1则连接建立成功完成三次握手,主机A与主机B开始传送数据即一个完整的三次握手也就是请求---应答---再次确认举例说明,主机A和主机B建立TCP连接,过程如下图所示主机A(连接请求者)主机B(被连接者)SYN=1,ACK=0;Seq=X;我可以连接你吗?SYN=1,ACK=1;Seq=Y,AckSeq=X+1当然可以!SYN=0,ACK=1;AckSeq=Y+1好,那我就开始连接了!
(2)TCP四次挥手由于TCP连接是全双工的,因此每个方向都必须单独进行关闭这原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接收到一个FIN只意味着这一方向上没有数据流动,一个TCP连接在收到一个FIN后仍能发送数据首先进行关闭的一方将执行主动关闭,而另一方执行被动关闭第一次挥手当主机A完成数据传输后,将控制位FIN置1,提出停止TCP连接的请求;第二次挥手主机B收到FIN后对其作出响应,确认这一方向上的TCP连接将关闭,将ACK置1;第三次挥手由主机B再提出反方向的关闭请求,将FIN置1;第四次挥手主机A对主机B的请求进行确认,将ACK置1,双方向的关闭结束主机A(连接请求者)主机B(被连接者)FIN=1我要结束连接!ACK=1当然可以!FIN=1终止了!ACK=1好!收到4.TCP的安全与防范
(1)TCP洪流攻击TCP洪流攻击也就是SYN-FloodSYN-Flood不会完成TCP三次握手的第三步,也就是不发送确认连接的信息给服务器
(2)IP欺骗DOS攻击这种攻击利用RST位来实现假设现在有一个合法用户(
11.
11.
11.11)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为
11.
11.
11.11,并向服务器发送一个带有RST位的TCP数据段
(3)DDOS攻击的防范方法到目前为止,进行DDoS攻击的防御还是比较困难的首先,这种攻击的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDoS攻击下面就是一些防御方法1)确保服务器的系统文件是最新的版本,并及时更新系统补丁2)关闭不必要的服务3)限制同时打开的SYN半连接数目4)缩短SYN半连接的timeout时间5)正确设置防火墙6)禁止对主机的非开放服务的访问7)限制特定IP地址的访问8)启用防火墙的防DDoS的属性9)严格限制对外开放的服务器的向外访问10)运行端口映射程序祸端口扫描程序,要认真检查特权端口和非特权端口11)认真检查网络设备和主机/服务器系统的日志只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击12)限制在防火墙外与网络文件共享这样会给黑客截取系统文件的机会,主机的信息暴露给黑客,无疑是给了对方入侵的机会[课堂小结]本次课主要介绍TCP协议作用、报文格式及工作原理,同时利用PacketTracer模拟软件抓包进行TCP分析授课对象系别本次课学时2年级班次章节题目项目二协议分析——Telnet协议目的要求含技能要求理解Telnet协议的作用、安全及防范;掌握Telnet协议的工作原理本节重点Telnet协议的工作原理本节难点Telnet协议的工作原理教学方法引导文教学、任务驱动、案例教学、教学做一体化教学模式教学用具实训室问题引入随着Internet/Intranet的发展,TCP/IP协议得到了广泛的应用,几乎所有的网络均采用了TCP/IP协议由于TCP/IP协议在最初设计时没有考虑到安全性问题而只是用于科学研究,因此它自身存在许多固有的安全缺陷,这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门,使得基于这些缺陷和漏洞的攻击形式多样难点与重点讲解方法利用GNS3抓包软件分析Telnet协议的工作原理本次课小节课程小节1.Telnet的作用2.Telnet的安全及防范3.Telnet协议的工作原理教后札记通过本次授课使学生理解Telnet协议的作用、安全及防范,利用GNS3抓包软件分析Telnet协议讨论、思考题、作业含实训作业尝试利用PT软件分析Telnet协议教学过程[引入新课]随着Internet/Intranet的发展,TCP/IP协议得到了广泛的应用,几乎所有的网络均采用了TCP/IP协议由于TCP/IP协议在最初设计时没有考虑到安全性问题而只是用于科学研究,因此它自身存在许多固有的安全缺陷,这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门,使得基于这些缺陷和漏洞的攻击形式多样[讲授新课]
一、项目背景A企业是一个跨地区的大型企业,它由A企业长春总部、A企业上海分公司、A企业北京办事处组成,A企业三个分部处于不同城市,具有各自的内部网络,并且都已经连接到互联网中小杨作为A企业长春总部网络管理人员,工作之初,他时常会听到领导、员工的责问网管,怎么又掉线了?!同时,内网文件服务器也偶尔会出现死机、系统崩溃和内容被篡改的现象
二、Telnet协议1.Telnet协议简介Telnet是Internet的远程登录协议的意思,它为用户提供了在本地计算机上完成远程主机工作的能力在终端使用者的计算机上使用telnet程序,用它连接到服务器终端使用者可以在telnet程序中输入命令,这些命令会在服务器上运行,就像直接在服务器的控制台上输入一样可以在本地就能控制服务器该协议属于应用层要开始一个telnet会话,必须输入用户名和密码来登录服务器2.Telnet协议工作过程
(1)本地与远程主机建立连接该过程实际上是建立一个TCP连接,用户必须知道远程主机的Ip地址或域名
(2)将本地终端上输入的用户名和口令及以后输入的任何命令或字符以NVT(NetVirtualTerminal)格式传送到远程主机该过程实际上是从本地主机向远程主机发送一个IP数据报
(3)将远程主机输出的NVT格式的数据转化为本地所接受的格式送回本地终端,包括输入命令回显和命令执行结果
(4)最后,本地终端对远程主机进行撤消连接该过程是撤销一个TCP连接3.Telnet协议的安全及防范Telnet本身的缺陷是远程用户的登陆传送的账号和密码都是明文,使用普通的抓包软件都可以截获;由于没有完整性检查,且传送的数据都没有加密,所以传送的数据没有办法知道是否完整的,而不是被篡改过的数据通过抓包工具获取TELNET用户名及密码后,就可以顺利地进入远程主机从而可以尽可能多的了解系统,为装后门摸底;也可以使用tftp传送文件;或是修改远程主机的主页SSH是一个很好的telnet安全保护系统,SSH的英文全称是SecureSHell。通过使用SSH,你可以把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了,而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替telnet,又可以为ftp、pop、甚至ppp提供一个安全的“通道”。三.使用GNS3模拟软件抓包Telnet分析1.本任务的实验拓扑及设备IP地址如图所示2.R1和R2两台路由器的接口配置方法可参照前面的配置3.在R2路由器上配置TELNET服务,配置方法如下图所示4.在R1上使用“telnet
192.
168.
3.2”命令,在出现的“Password”后,输入R2上设置的telnet的密码“cisco”,即可进入R2路由器的配置界面5.启动Wireshark,查看TELNET协议信息,如下图所示由于TELNET是基于传输层的TCP连接,所以上图中前三个TCP协议包表示TCP的三次握手过程[课堂小结]本次课主要介绍TELNET协议作用、报文格式及工作原理,同时利用GNS3模拟软件抓包进行TCP分析授课对象系别本次课学时2年级班次章节题目项目二协议分析——FTP协议目的要求含技能要求理解FTP协议的作用、安全及防范;掌握FTP协议的工作原理本节重点FTP协议的工作原理本节难点FTP协议的工作原理教学方法引导文教学、任务驱动、案例教学、教学做一体化教学模式教学用具实训室问题引入随着Internet/Intranet的发展,TCP/IP协议得到了广泛的应用,几乎所有的网络均采用了TCP/IP协议由于TCP/IP协议在最初设计时没有考虑到安全性问题而只是用于科学研究,因此它自身存在许多固有的安全缺陷,这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门,使得基于这些缺陷和漏洞的攻击形式多样难点与重点讲解方法利用PT抓包软件分析FTP协议的工作原理本次课小节课程小节1.FTP的作用2.FTP的安全及防范3.FTP协议的工作原理教后札记通过本次授课使学生理解FTP协议的作用、安全及防范,利用PT抓包软件分析FTP协议讨论、思考题、作业含实训作业尝试利用GNS3软件分析FTP协议教学过程[引入新课]随着Internet/Intranet的发展,TCP/IP协议得到了广泛的应用,几乎所有的网络均采用了TCP/IP协议由于TCP/IP协议在最初设计时没有考虑到安全性问题而只是用于科学研究,因此它自身存在许多固有的安全缺陷,这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门,使得基于这些缺陷和漏洞的攻击形式多样[讲授新课]
一、项目背景A企业是一个跨地区的大型企业,它由A企业长春总部、A企业上海分公司、A企业北京办事处组成,A企业三个分部处于不同城市,具有各自的内部网络,并且都已经连接到互联网中小杨作为A企业长春总部网络管理人员,工作之初,他时常会听到领导、员工的责问网管,怎么又掉线了?!同时,内网文件服务器也偶尔会出现死机、系统崩溃和内容被篡改的现象
二、FTP协议1.FTP协议简介FTP全称为FileTransferProtocol文件传输协议的缩写使得主机间可以共享文件FTP是应用层的协议,它基于传输层,为用户服务,它们负责进行文件的传输FTP使用TCP生成一个虚拟连接用于控制信息,然后再生成一个单独的TCP连接用于数据传输控制连接使用类似TELNET协议在主机间交换命令和消息该协议是在TCP/IP网络和INTERNET上最早使用的协议之一,FTP客户机可以给服务器发出命令来下载文件,上传文件,创建或改变服务器上的目录2.FTP协议工作原理FTP服务一般运行在20和21两个端口端口20用于在客户端和服务器之间传输数据流,而端口21用于传输控制流,并且是命令通向ftp服务器的进口当数据通过数据流传输时,控制流处于空闲状态而当控制流空闲很长时间后,客户端的防火墙会将其会话置为超时,这样当大量数据通过防火墙时,会产生一些问题此时,虽然文件可以成功的传输,但因为控制会话会被防火墙断开,传输会产生一些错误在FTP的使用当中,经常遇到两个概念“下载”(Download)和“上传”(Upload)“下载”文件就是从远程主机拷贝文件至自己的计算机上;“上传”文件就是将文件从自己的计算机中拷贝至远程主机上3.FTP协议的安全及防范
(1)防范反弹攻击TheBounceAttack 1)漏洞FTP规范[PR85]定义了“代理FTP”机制,即服务器间交互模型支持客户建立一个FTP控制连接,然后在两个服务间传送文件同时FTP规范中对使用TCP的端口号没有任何限制,而从0-1023的TCP端口号保留用于众所周知的网络服务所以,通过“代理FTP”,客户可以命令FTP服务器攻击任何一台机器上的众所周知的服务 2)反弹攻击客户发送一个包含被攻击的机器和服务的网络地址和端口号的FTP“PORT”命令这时客户要求FTP服务器向被攻击的服务发送一个文件,这个文件中应包含与被攻击的服务相关的命令(例如SMTP、NNTP)由于是命令第三方去连接服务,而不是直接连接,这样不仅使追踪攻击者变得困难,还能避开基于网络地址的访问限制 3)防范措施最简单的办法就是封住漏洞首先,服务器最好不要建立TCP端口号在1024以下的连接如果服务器收到一个包含TCP端口号在1024以下的PORT命令,服务器可以返回消息504([PR85]中定义为“对这种参数命令不能实现”)其次,禁止使用PORT命令也是一个可选的防范反弹攻击的方案大多数的文件传输只需要PASV命令这样做的缺点是失去了使用“代理FTP”的可能性,但是在某些环境中并不需要“代理FTP” 4)遗留问题仅控制1024以下的连接,仍会使用户定义的服务(TCP端口号在1024以上)遭受反弹攻击
(2)有限制的访问RestrictedAccess1)需求对一些FTP服务器来说,基于网络地址的访问控制是非常渴望的例如,服务器可能希望限制来自某些地点的对某些文件的访问(例如为了某些文件不被传送到组织以外)另外,客户也需要知道连接是有所期望的服务器建立的2)攻击攻击者可以利用这样的情况,控制连接是在可信任的主机之上,而数据连接却不是3)防范措施在建立连接前,双方需要同时认证远端主机的控制连接,数据连接的网络地址是否可信(如在组织之内),4)遗留问题基于网络地址的访问控制可以起一定作用,但还可能受到“地址盗用(spoof)”攻击在spoof攻击中,攻击机器可以冒用在组织内的机器的网络地址,从而将文件下载到在组织之外的未授权的机器上
(3)保护密码(ProtectingPasswords)1)漏洞第
一、在FTP标准[PR85]中,FTP服务器允许无限次输入密码第
二、“PASS”命令以明文传送密码2)攻击强力攻击有两种表现在同一连接上直接强力攻击;和服务器建立多个、并行的连接进行强力攻击3)防范措施对第一种中强力攻击,建议服务器限制尝试输入正确口令的次数在几次尝试失败后,服务器应关闭和客户的控制连接在关闭之前,服务器可以发送返回码421(服务不可用,关闭控制连接)另外,服务器在相应无效的“PASS”命令之前应暂停几秒来消减强力攻击的有效性若可能的话,目标操作系统提供的机制可以用来完成上述建议对第二种强力攻击,服务器可以限制控制连接的最大数目,或探查会话中的可疑行为并在以后拒绝该站点的连接请求密码的明文传播问题可以用FTP扩展中防止窃听的认证机制解决4)遗留问题然而上述两种措施的引入又都会被“业务否决”攻击,攻击者可以故意的禁止有效用户的访问
三、使用PT模拟软件抓包FTP分析1.本任务的实验拓扑及设备IP地址如下图所示2.单击FTP服务器,配置FTP服务,用户名和密码均为test,设置读写权限,同时点击后侧的“+”按钮,成功地增加了FTP的用户名配置如下图所示3.在PC的命令提示符下,使用FTP命令去连接远端的FTP服务器,前提网络一定是可达的如下图所示4.输入刚刚创建的用户名和密码“test”即可登录FTP服务器当然也可用默认的用户名和密码“cisco”进行登录如下图所示5.进入FTP服务器后,可以利用“?”帮助功能,查看可以使用的相关命令,如可以将FTP服务器中的2800系列的最新的IOS文件(试先在FTP服务器上查看,使用“Ctrl+C”快捷键复制)备份到本地PC上,出现如下图所示表示成功下载6.终止FTP连接,回退到PC1,验证文件的下载如下图所示7.PC1在连接FTP服务器时,切换至模拟模式,打开捕获窗口设置过滤条件(提取TCP、FTP),输入合法用户名“test”后,开始捕获数据,打开进入交换机S1时的数据包,会看到FTP用户名是以明文方式传输的如下图所示8.在数据包转发到FTP服务器时S1时,会看到FTP访问的用户名通过的验证,需要输入密码验证,如下图所示9.接下来,输入FTP登录的密码“test”在网关R1对捕获到的数据包进行分析,会看到FTP的密码也是以明文方式转发的如下图所示[课堂小结]本次课主要介绍FTP协议作用、工作原理、安全与防范,同时利用PT模拟软件抓包进行TCP分析授课对象系别本次课学时2年级班次章节题目项目二协议分析——抓包软件的介绍目的要求含技能要求理解Wireshark软件的作用、认识Wireshark软件的主界面;掌握Wireshark的首选配置及与GNS3关联抓包本节重点Wireshark的首选配置及与GNS3关联抓包本节难点Wireshark的首选配置及与GNS3关联抓包教学方法引导文教学、任务驱动、案例教学、教学做一体化教学模式教学用具实训室问题引入随着Internet/Intranet的发展,TCP/IP协议得到了广泛的应用,几乎所有的网络均采用了TCP/IP协议由于TCP/IP协议在最初设计时没有考虑到安全性问题而只是用于科学研究,因此它自身存在许多固有的安全缺陷,这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门,使得基于这些缺陷和漏洞的攻击形式多样难点与重点讲解方法通过Wireshark软件实例讲解本次课小节课程小节1.Wireshark软件的作用2.Wireshark软件的主界面3.Wireshark的首选配置及与GNS3关联抓包教后札记通过本次授课使学生认识Wireshark软件的主界面,理解Wireshark的作用,能对Wireshark进行首选配置及与GNS3关联抓包讨论、思考题、作业含实训作业完成本项目对应的项目习作教学过程[引入新课]随着Internet/Intranet的发展,TCP/IP协议得到了广泛的应用,几乎所有的网络均采用了TCP/IP协议由于TCP/IP协议在最初设计时没有考虑到安全性问题而只是用于科学研究,因此它自身存在许多固有的安全缺陷,这就为欺骗、否认、拒绝、篡改、窃取等行为开了方便之门,使得基于这些缺陷和漏洞的攻击形式多样[讲授新课]
一、项目背景A企业是一个跨地区的大型企业,它由A企业长春总部、A企业上海分公司、A企业北京办事处组成,A企业三个分部处于不同城市,具有各自的内部网络,并且都已经连接到互联网中小杨作为A企业长春总部网络管理人员,工作之初,他时常会听到领导、员工的责问网管,怎么又掉线了?!同时,内网文件服务器也偶尔会出现死机、系统崩溃和内容被篡改的现象
二、抓包软件介绍1.Wireshark软件简介FTP全称为FileTransferProtocol文件传输协议的缩写使得主机间可以共享文件FTP是应用层的协议,它基于传输层,为用户服务,它们负责进行文件的传输FTP使用TCP生成一个虚拟连接用于控制信息,然后再生成一个单独的TCP连接用于数据传输控制连接使用类似TELNET协议在主机间交换命令和消息该协议是在TCP/IP网络和INTERNET上最早使用的协议之一,FTP客户机可以给服务器发出命令来下载文件,上传文件,创建或改变服务器上的目录2.Wireshark软件主界面
(1)MENUS(菜单)下面通过该软件的主界面来介绍一下本款软件的“MENUS(菜单)”下面基于主要的菜单项对Wireshark进行说明
①File(文件)打开或保存捕获的信息
②Edit(编辑)查找或标记封包,进行全局设置
③View(查看)设置Wireshark的视图
④Go(转到)跳转到捕获的数据
⑤Capture(捕获)设置捕捉过滤器并开始捕捉
⑥Analyze(分析)设置分析选项
⑦Statistics(统计)查看Wireshark的统计信息
⑧Help(帮助)查看本地或者在线支持
(2)快捷菜单栏在菜单下面,是一些常用的快捷按钮包括常用的网卡选择、开始、停止捕捉,前进后退,缩放放大、以及首选项设置可以将鼠标指针移动到某个图标上以获其功能说明
(3)DISPLAYFILTER(显示过滤器)显示过滤器用于查找捕捉记录中的内容不要将捕捉过滤器和显示过滤器的概念相混淆可以通过输入过滤规则对已经捕捉到的包进行过滤,只留下需要分析的协议等,方便信息提取
(4)PACKETLISTPANE(封包列表)封包列表中显示所有已经捕获的封包在这里可以看到发送或接收方的MAC/IP地址,TCP/UDP端口号,协议或者封包的内容如果捕获的是一个OSIlayer2的封包,在Source(来源)和Destination(目的地)列中看到的将是MAC地址,当然,此时Port(端口)列将会为空如果捕获的是一个OSIlayer3或者更高层的封包,在Source(来源)和Destination(目的地)列中看到的将是IP地址Port(端口)列仅会在这个封包属于第4或者更高层时才会显示3.Wireshark的首选配置Wireshark和其他程序一样,都有自己的首选项(Option),配置首选项是方便使用软件的第一步,定制自己需要的首选项将会让自己使用起来更加的方便
(1)打开Wireshark的主界面程序,找到菜单Edit→Reference,点击进入首选项配置菜单
(2)Profile配置界面上图是默认进入首选项的界面,这里有保存程序窗体位置、保存窗体关闭时的大小、保存最大化状态(下次启动还是最大化状态)、是否自动检查更新、是否打开Console窗口、打开目录
(3)Layout(布局)是第二个首选项菜单,这里面包含了Wireshark启动的时候显示的布局内容,根据自己的喜好进行设置即可
(4)Columns(栏目)第三个首选项是Columns(栏目),也就是默认显示的栏目内容
(5)FontandColors(字体和颜色)这里是字体和颜色设置,需要设置使用的字体以及协议的颜色
(6)Capture(捕捉)这里是捕捉的一些设置,设置需要捕捉时默认使用的网卡等信息,以及捕捉中的内容
(7)FilterExpressions(过滤器表达式)这里是设置默认的过滤器表达式
(8)Printing(打印)这里是打印选项,如何输出文件的格式以及输出到文件名称
(9)Statistics(统计)这里是关于统计的首选项内容4.GNS3关联Wireshark抓包
(1)打开GNS3的主界面程序,找到菜单编辑→首选项,进入首选项配置对话框,单后选择左侧的“Capture”,出现如下图所示的对话框在这个对话框可以设置自动抓包后,临时文件.cap保存的路径和启动wireshark的路径
(2)抓包设置
①如下图在连接线缆上点击右键,选择“开始抓包“命令;
②由于抓包是基于接口的,一个线缆对应两个接口,这时候会给出一个选择,如下图所示;
③在上面所示的抓包选择中,选择一个源为“R1f0/0(encapsulation:ETH)”选项后,会在右下角抓取位置出现被抓包的端口;
④接下来,右键单击被抓包的端口(R1f0/0),就可以“运行Wireshark”读取刚才抓包信息了[课堂小结]本次课主要介绍Wireshark软件的主界面,Wireshark的作用,能对Wireshark进行首选配置及与GNS3关联抓包登录密码为cisco允许同一时刻最多有5个TELENTE用户登录前3个以太网帧即为“TCP三次握手”的数据。