西电【计算机与网络安全实验】课程期末复习遗留情报
计算机与网络安全实验
复习重点
整个考试的范围都在我们线上6个实验和线下2个实验里,不会超过这8个实验范围,主要考试内容都来自PPT、实验手册和实验报告。
线下主要掌握:
实验1:
网线制作规范(不会要求你背诵线序和检测灯亮的顺序)
直连线和交叉线有什么作用
- 直通线用于连接不同种的设备,例如连接电脑和交换机,交换机和路由器等。
- 交叉线用于连接同种设备,例如电脑和电脑之间
剥线、排列4对线、理线、排序、整线、插线、压线、测线
如何访问H3C设备以及如何连线
超级终端软件的基本操作
Comware 常用命令(特别是针对我们设备的命令)、
“交换机基础和VLAN”实验中重点了解实验3和实验4,知其然知其所以然。
实验2:
主要考核“ACL手册”中的内容,掌握重要指令功能,能够灵活应用手册中内容。
ACL手册.pdf
访问控制列表(Access Control List,ACL)
访问控制列表用来实现数据流识别功能。
为了在网络设备上过滤报文,需要配置一系列的匹配条件来对报文分类,这些条件可以是
报文的源地址
报文的目的地址
报文的端口号等等
当设备的端口接收到报文后,即根据当前端口上应用的ACL规则对报文字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止该报文通过。
线上主要掌握:
线上实验5指导书.pdf
线上实验6指导书.pdf
掌握ISO三种命令行模式以及之间如何转换,Packet Tracer中基本配置(例如:如何配置IP?如何配置端口?等基本问题)
三种命令行模式对应不同权限:用户模式、特权模式、全局模式
用户模式是权限最低的命令行模式, 用户只能通过命令查看一些网络设备的状态, 没有配置网络设备的权限, 也不能修改网络设备状态和控制信息。
通过在用户模式命令提示符下输人命令 enable, 进入特权模式。特权模式下, 用户可以修改网络设备的状态和控制信息, 如 MAC Table(交换机转发表) 等, 但不能配置网络设备
通过在特权模式命令提示符下输人命令 configure terminal, 进人全局模式。全局模式下, 用户可以对网络设备进行配置, 如配置路由器的路由协议和参数, 对交换机基于端口划分 VLAN 等。
需要重点掌握的线上实验包括:
实验1:
“集线器和嗅探工具实验”
实验一指导书.pdf
集线器是广播设备, 从某个端口接收到 MAC 帧后除了接收该 MAC 帧的端口以外的所
有其他端口输出该 MAC 帧。因此, 当集线器从连接交换机的端口接收到 MAC 帧后, 将从
连接路由器和黑客终端的端口输出该 MAC 帧, 该 MAC 帧同时到达路由器和黑客终端, 如
图 2(a)所示的嗅探终端 A 发送给路由器的 MAC 帧的过程。同样, 当集线器从连接路由器的
端口接收到 MAC 帧后, 将从连接交换机和黑客终端的端口输出该 MAC 帧, 该 MAC 帧同
时到达交换机和黑客终端, 如图 2(b)所示的嗅探路由器发送给终端 B 的 MAC 帧的过程。
正常传输过程如图 11 所示, 当交换机 S1、 S2 和 S3 建立完整转发表后﹐转发项将通往
终端 A 的交换路径作为通往 MAC 地址为 MACA 的终端的交换路径, 因此,终端 B 发送的
目的 MAC 地址为 MAC A 的 MAC 帧沿着通往终端 A 的交换路径到达终端 A。
如果终端 C 将自己的 MAC 地址改为 MAC A, 且向终端 B 发送源 MAC 地址为 MAC
A 的 MAC 帧, 交换机 S1、 S2 和 S3 的转发表改为如图 12 所示, 转发项将通往终端 C 的
交换路径作为通往 MAC 地址为 MAC A 的终端的交换路径, 因此, 终端 B 发送的目的 MAC
地址为 MAC A 的 MAC 帧沿着通往终端 C 的交换路径到达终端 C。
终端通过广播 DHCP 发现消息发现 DHCP 服务器﹐当 DHCP 服务器与终端不在同一个
网络(同一个广播域)时, 由路由器完成中继过程。 DHCP 服务器通过向终端发送 DHCP 提供
消息表明可以为终端提供网络信息配置服务, 终端选择发送第一个到达终端的 DHCP 提供
消息的 DHCP 服务器为其提供网络信息配置服务。
如图 24 所示, 在终端连接的网络中接人伪造的 DHCP 服务器后, 终端广播的 DHCP 发
现消息到达伪造的 DHCP 服务器, 伪造的 DHCP 服务器在网络中广播 DHCP 提供消息, 由
于伪造的 DHCP 服务器与终端位于同一网络, 伪造的 DHCP 服务器发送的 DHCP 提供消息
图 24可能先于 DHCP 服务器发送的 DHCP 提供消息到达终端, 导致终端选择伪造的 DHCP 服务
器为其提供网络信息配置服务﹐并将伪造的 DNS 服务器的 IP 地址 192.1.3.1 作为本地域名
服务器地址。
实验2:
“终端以太网接入Internet实验”
由于终端 A 和终端 B 通过以太网与作为接入控制设备的路由器 R1 实现互连。因此,
需要通过基于以太网的点对点协议(PPP over Ethernet, PPPoE)完成接入过程。对于路由器
R1,一是需要配置注册用户; 二是需要配置用于鉴别注册用户身份的鉴别协议; 三是需要配
置 IP 地址池。对于接入终端, 需要启动宽带接入程序, 并输入表明注册用户身份的有效用
户名和口令。终端与路由器 R1 之间完成以下操作过程:
(1)建立终端与路由器 R1 之间的点对点协议(Point to Point Protocol, PPP)会话。
(2)基于 PPP 会话建立终端与路由器 R1 之间的PPP 链路。
(3)由路由器 R1 完成对终端用户的身份鉴别过程。
(4)由路由器 R1 对终端分配 IP地址, 并在路由表中创建用于将路由器 R1 与终端之间的 PPP 会话和为终端分配的 IP 地址绑定在一起的路由项。
PPPoE(英语:Point-to-Point Protocol Over Ethernet),以太网上的点对点协议,是将点对点协议(PPP)封装在以太网(Ethernet)框架中的一种网络隧道协议。由于协议中集成PPP协议,所以实现出传统以太网不能提供的身份验证、加密以及压缩等功能,也可用于缆线调制解调器(cable modem)和数字用户线路(DSL)等以以太网协议向用户提供接入服务的协议体系。
“统一鉴别实验”
统一鉴别方式下, 在鉴别服务器中统- -定义注册用户, 图 11 中的 AAA 服务器就是一台鉴别服务器。当作为接入控制设备的路由器 R1 和 R2 接收到用户发送的用户名和口令等身份标识信息时, 通过互联网将身份标识信息转发给鉴别服务器, 由鉴别服务器判别是否是注册户, 并将判别结果回送给作为接入控制设备的路由器 R1 和 R2。只有当鉴别服务器确定是注册用户后, 路由器 R1 和 R2 才继续完成 IP 地址分配和路由项建立等工作。
作为接入控制设备的路由器 R1 和 R2 为了将用户发送的身份标识信息安全地传输给鉴别服务器, 需要获得鉴别服务器的 IP 地址, 以及配置与鉴别服务器之间的共享密钥。 每一台接入控制设备的配置与鉴别服务器之间的共享密钥的原因有两个;一是通过共享密钥实现双向身份鉴别,避免假冒接入控制设备或鉴别服务器的情况发生; 二是用于加密接入控制设
备与鉴别服务器之间传输的身份标识信息和鉴别结果。
同样, 鉴别服务器针对每一台接入控制设备, 需要配置与该接入控制设备之间的共享密
钥, 每一台接入控制设备由 IP 地址和接入控制设备标识符唯一标识。同时, 在鉴别服务器
中必须定义所有注册用户。
•统一鉴别方式下,在鉴别服务器中统一定义注册用户,上图中的AAA(Authentication,Authorization and
Accounting,验证、授权和计帐)服务器就是一台鉴别服务器。
•当作为接入控制设备的路由器R1和R2接收到用户发送的用户名和口令等身份标识信息时,通过互联网将身份标识信息转发给鉴别服务器。
•由鉴别服务器判别是否是注册户,并将判别结果回送给作为接入控制设备的路由器R1和R2。
•只有当鉴别服务器确定是注册用户后,路由器R1和R2才继续完成IP地址分配和路由项建立等工作。
•作为接入控制设备的路由器R1和R2为了将用户发送的身份标识信息安全地传输给鉴别服务器,需要获得鉴别服务器的IP地址,以及配置与鉴别服务器之间的共享密钥。
•每一台接入控制设备的配置与鉴别服务器之间的共享密钥的原因有两个
–一是通过共享密钥实现双向身份鉴别,避免假冒接入控制设备或鉴别服务器的情况发生;
–二是用于加密接入控制设备与鉴别服务器之间传输的身份标识信息和鉴别结果。
•同样,鉴别服务器针对每一台接入控制设备,需要配置与该接入控制设备之间的共享密钥,每一台接入控制设备由IP地址和接入控制设备标识符唯一标识。同时,在鉴别服务器中必须定义所有注册用户。
实验3:
“访问控制列表实验”
实验原理
- 交换机端口1的访问控制列表中静态配置了终端A的MAC地址,因此当终端A接入交换机端口1且向交换机端口1发送MAC帧时,MAC帧的源MAC地址与访问控制列表中的MAC地址相同,交换机继续转发该MAC帧。
- 当终端B接入交换机端口1且向交换机端口1发送MAC帧时,由于MAC帧的源MAC地址与访问控制列表中的MAC地址不同,因此交换机丢弃该MAC帧,并关闭交换机端口1。
- 需要通过特殊的命令序列才能重新开启交换机端口1。
“安全端口实验”
l主要过程
- 先将终端A的MAC地址接入交换机端口1,实现终端A和终端D之间的数据传输过程,此时终端A的MAC地址自动添加到访问控制列表中;
- 然后将终端B接入交换机端口1,实现终端B和终端D之间的数据传输过程,此时终端B的MAC地址自动添加到访问控制列表中;
- 再将终端C接入交换机端口1,进行终端C和终端D之间的数据传输过程,由于该MAC帧的源MAC地址不在访问控制列表中,且访问控制列表中的MAC地址数已经达到了最大MAC地址数2,交换机丢弃该MAC帧。
“防DHCP欺骗攻击实验”
通过接入伪造的DHCP服务器使终端从伪造的DHCP服务器中获取网络信息的过程称为DHCP欺骗攻击。
•在交换机中启动防DHCP欺骗攻击功能,在接入伪造的DHCP服务器的情况下,保证终端只从DHCP服务器获取网络信息。
•终端通过DHCP自动获取的网络信息中包含本地域名服务器地址。
•对于如图所示的网络应用系统,DHCP服务器中给出的本地域名服务器地址是192.1.2.7,地址为192.1.2.7的域名服务器中与完全合格的域名 www.bank.com绑定的Web服务器地址是192.1.3.7。因此,终端可以用完全合格的域名www.bank.com 访问Web服务器。
•一旦终端连接的网络中接入伪造的DHCP服务器,终端很可能从伪造的DHCP服务器获取网络信息,得到伪造的域名服务器的IP地址192.1.3.1,伪造的域名服务器中将完全合格的域名www.bank.com与伪造的Web服务器的IP地址192.1.2.5绑定 在一起,导致终端用完全合格的域名www.bank.com访问 伪造的 Web服务器。
如果交换机启动防DHCP欺骗攻击的功能,只有连接在信任端口的DHCP服务器才能为终端提供自动配置网络信息的服务。
因此,对于如图所示的实施DHCP欺骗攻击的网络应用系统,连接终端的以太网中,如果只将连接路由器R1的交换机端口设置为信任端口,将其他交换机端口设置为非信任端口,则终端只能接收由路由器R1转发的DHCP消息,使终端只能获取DHCP服务器提供的网络信息。
实验5: “OSPF路由项欺骗攻击和防御实验”
•Packet Tracer不支持路由信息协议(Routing Information
Protocol,RIP)的路由消息源端鉴别功能,但支持路由信息开放最短路径优先(Open Shortest Path
First,OSPF)的路由信息源端鉴别功能。
•防御路由项欺骗攻击的方法是实现路由消息源端鉴别,使每一台路由器只能接收和处理授权路由器发送的路由信息。
•确定路由消息是否是授权路由器发送的依据是:发送路由消息的路由器是否和接收路由消息的路由器拥有相同的共享秘钥。
•构建如图所示的由3台路由器互连4个网络的互联网。
–通过OSPF生成终端A至终端B的IP传输路径,实现IP分组终端A至终端B的传输过程。
–然后在网络地址为192.1.2.0/24的以太网上接入入侵路由器,由入侵路由器伪造与网络192.1.4.0/24直接连接的路由项,用伪造的路由项改变终端A至终端B的IP传输路径,使终端A传输给终端B的IP分组被路由器R1错误地转发给入侵路由器。
•启动路由器R1、R2和R3的路由消息源端鉴别功能,要求路由器R1、R2和R3发送的路由消息携带消息鉴别码(Message Authentication Code,MAC),配置相应路由器接口之间的共享密钥。
•使路由器R1不再接收和处理入侵路由器发送的路由消息,从而使路由器R1的路由表恢复正常。
掌握这些实验的实验原理,理解重要的指令并能灵活分析相关实验现象。
备注;“互联网安全实验”部分还需要了解四种互联网安全技术的基本概念。
防路由项欺骗攻击和策略路由是保证IP分组沿着正确和安全的传输路径传输的安全技术。
流量管制是防止拒绝服务攻击的有效手段。
端口地址转换和网络地址转换使内部网络对于外部网络是不可见的。
热备份路由器协议用于实现默认网关的容错和负载均衡。