http:/ http:/ 學(xué) 習(xí) 目 的 與 要 求 本 章 主 要 介 紹 計(jì) 算 機(jī) 網(wǎng) 絡(luò) 中 相 關(guān) 網(wǎng) 絡(luò) 安 全 的 知識(shí) ， 網(wǎng) 絡(luò) 安 全 技 術(shù) 的 應(yīng) 用 ， 防 火 墻 的 配 置 ， 網(wǎng) 絡(luò) 故障 工 具 ， 網(wǎng) 絡(luò) 分 析 軟 件 ， 基 于 Web服 務(wù) 的 安 全 配 置 。通 過 本 章 學(xué) 習(xí) ， 讀 者 可 以 了 解 網(wǎng) 絡(luò) 安 全 的 概 念 、 網(wǎng)絡(luò) 安 全 的 實(shí) 現(xiàn) 技 術(shù) ， 掌 握 基 于 Windows系 統(tǒng) 的 防 火墻 配 置 ， 掌 握 網(wǎng) 絡(luò) 故 障 的 診 斷 、 網(wǎng) 絡(luò) 分 析 軟 件 的 使用 ， 掌 握 Web服 務(wù) 的 安 全 配 置 方 法 。 http:/ n 14.1 網(wǎng) 絡(luò) 安 全 基 本 概 念n 14.2 網(wǎng) 絡(luò) 安 全 實(shí) 現(xiàn) 技 術(shù) 介 紹n 14.3 網(wǎng) 絡(luò) 防 火 墻 配 置n 14.4 網(wǎng) 絡(luò) 故 障 診 斷 工 具 使 用n 14.5 網(wǎng) 絡(luò) 分 析 軟 件 sniffer使 用n 14.6 Web服 務(wù) 器 上 設(shè) 置 SSL協(xié) 議 http:/ n 14.1.1 網(wǎng) 絡(luò) 安 全 的 概 念 計(jì) 算 機(jī) 網(wǎng) 絡(luò) 的 安 全 理 解 為 ： 通 過 采 用 各 種 技 術(shù) 和 管 理 措 施 ， 使 網(wǎng) 絡(luò)系 統(tǒng) 正 常 運(yùn) 行 ， 從 而 確 保 網(wǎng) 絡(luò) 數(shù) 據(jù) 的 可 靠 性 、 可 用 性 、 完 整 性 和 保密 性 。 (1) 可 靠 性 ： 是 指 保 證 網(wǎng) 絡(luò) 系 統(tǒng) 不 因 各 種 因 素 的 影 響 而 終 端 正 常 工 作 。 (2) 可 用 性 ： 是 指 在 保 證 軟 件 和 數(shù) 據(jù) 完 整 的 同 時(shí) ， 還 要 能 使 其 被 正 常利 用 和 操 作 。 (3) 完 整 性 ： 是 指 保 護(hù) 網(wǎng) 絡(luò) 系 統(tǒng) 中 存 儲(chǔ) 和 傳 輸 的 軟 件 (程 序 )與 數(shù) 據(jù) 不被 非 法 操 作 ， 即 保 證 數(shù) 據(jù) 不 被 插 入 、 替 換 和 刪 除 ， 數(shù) 據(jù) 分 組 不 丟 失 、亂 序 ， 數(shù) 據(jù) 庫 中 的 數(shù) 據(jù) 或 系 統(tǒng) 匯 總 的 程 序 不 被 破 壞 等 。 (4) 保 密 性 ： 主 要 指 利 用 密 碼 技 術(shù) 對(duì) 軟 件 和 數(shù) 據(jù) 進(jìn) 行 加 密 處 理 ， 保 證在 系 統(tǒng) 中 存 儲(chǔ) 和 網(wǎng) 絡(luò) 上 傳 輸 的 軟 件 和 數(shù) 據(jù) 不 被 無 關(guān) 人 員 識(shí) 別 。 http:/ n 14.1.2 網(wǎng) 絡(luò) 安 全 隱 患 (1)黑 客 (Hacker)經(jīng) 常 會(huì) 侵 入 網(wǎng) 絡(luò) 中 的 計(jì) 算 機(jī) 系 統(tǒng) 。 (2)TCP/IP通 信 協(xié) 議 缺 乏 使 傳 輸 過 程 中 的 信 息 不 被 竊 取 的安 全 措 施 。 (3)Unix操 作 系 統(tǒng) 中 明 顯 存 在 的 安 全 脆 弱 性 問 題 會(huì) 直 接 影響 安 全 服 務(wù) 。 (4)應(yīng) 用 層 支 持 的 服 務(wù) 協(xié) 議 缺 乏 足 夠 的 安 全 性 。 (5)使 用 電 子 郵 件 來 傳 輸 重 要 機(jī) 密 信 息 會(huì) 存 在 著 很 大 的 危險(xiǎn) 。 (6)計(jì) 算 機(jī) 病 毒 通 過 Internet的 傳 播 給 上 網(wǎng) 用 戶 帶 來 極 大 的危 害 。 http:/ n 14.1.3 網(wǎng) 絡(luò) 安 全 防 范 的 內(nèi) 容 一 個(gè) 安 全 的 計(jì) 算 機(jī) 網(wǎng) 絡(luò) 應(yīng) 該 具 有 可 靠 性 、 可 用 性 、 完 整 性 、 保 密 性和 真 實(shí) 性 等 特 點(diǎn) 。 網(wǎng) 絡(luò) 安 全 防 范 的 重 點(diǎn) 主 要 有 如 下 幾 個(gè) 方 面 ： (1)中 斷 ： 當(dāng) 網(wǎng) 絡(luò) 上 的 用 戶 在 通 信 時(shí) ， 破 壞 者 可 以 中 斷 他 們 之 間 的 通 信 (2)篡 改 ： 當(dāng) 網(wǎng) 絡(luò) 用 戶 在 發(fā) 送 報(bào) 文 時(shí) ， 報(bào) 文 在 轉(zhuǎn) 發(fā) 的 過 程 中 不 被 其 他 用 戶修 改 (3)偽 造 ： 網(wǎng) 絡(luò) 用 戶 非 法 獲 取 合 法 用 戶 的 權(quán) 限 并 以 其 身 份 與 其 他 用 戶 進(jìn) 行通 信 (4)截 獲 ： 網(wǎng) 絡(luò) 上 的 其 他 用 戶 非 法 獲 得 其 他 用 戶 的 通 信 內(nèi) 容 (5)惡 意 程 序 ： 包 含 計(jì) 算 機(jī) 病 毒 、 蠕 蟲 、 木 馬 、 邏 輯 炸 彈 在 內(nèi) 的 各 種 對(duì) 計(jì)算 機(jī) 的 正 常 運(yùn) 行 產(chǎn) 生 速 度 、 性 能 、 存 儲(chǔ) 空 間 影 響 的 程 序 http:/ n 1. 數(shù) 據(jù) 加 密 技 術(shù) 根 據(jù) 密 鑰 類 型 不 同 可 以 將 現(xiàn) 代 密 碼 技 術(shù) 分 為 兩 類 ： 對(duì) 稱加 密 算 法 (私 鑰 密 碼 體 系 )和 非 對(duì) 稱 加 密 算 法 (公 鑰 密 碼 體系 )。 目 前 最 著 名 的 對(duì) 稱 加 密 算 法 有 數(shù) 據(jù) 加 密 標(biāo) 準(zhǔn) DES和歐 洲 數(shù) 據(jù) 加 密 標(biāo) 準(zhǔn) IDEA等 。 在 實(shí) 際 應(yīng) 用 中 通 常 將 公 鑰 密 碼 體 系 和 數(shù) 字 簽 名 算 法 結(jié) 合使 用 ， 在 保 證 數(shù) 據(jù) 傳 輸 完 整 性 的 同 時(shí) 完 成 對(duì) 用 戶 的 身 份認(rèn) 證 。 http:/ n 2. 防 火 墻 技 術(shù) 目 前 的 防 火 墻 系 統(tǒng) 根 據(jù) 其 實(shí) 現(xiàn) 的 方 式 大 致 可 分 為 兩 種 ，即 包 過 濾 防 火 墻 和 應(yīng) 用 層 網(wǎng) 關(guān) 。 包 過 濾 防 火 墻 的 主 要 功 能 是 接 收 被 保 護(hù) 網(wǎng) 絡(luò) 和 外 部 網(wǎng) 絡(luò) 之 間 的 數(shù)據(jù) 包 ， 根 據(jù) 防 火 墻 的 訪 問 控 制 策 略 對(duì) 數(shù) 據(jù) 包 進(jìn) 行 過 濾 ， 只 準(zhǔn) 許 授權(quán) 的 數(shù) 據(jù) 包 通 行 。 應(yīng) 用 層 網(wǎng) 關(guān) 位 于 TCP/IP協(xié) 議 的 應(yīng) 用 層 ， 實(shí) 現(xiàn) 對(duì) 用 戶 身 份 的 驗(yàn) 證 ，接 收 被 保 護(hù) 網(wǎng) 絡(luò) 和 外 部 之 間 的 數(shù) 據(jù) 流 并 對(duì) 之 進(jìn) 行 檢 查 。 在 防 火 墻技 術(shù) 中 ， 應(yīng) 用 層 網(wǎng) 關(guān) 通 常 由 代 理 服 務(wù) 器 來 實(shí) 現(xiàn) 。 http:/ n 3. 網(wǎng) 絡(luò) 安 全 掃 描 技 術(shù) (1)網(wǎng) 絡(luò) 遠(yuǎn) 程 安 全 掃 描 (2)防 火 墻 系 統(tǒng) 掃 描 (3)Web網(wǎng) 站 掃 描 (4)系 統(tǒng) 安 全 掃 描 http:/ n 4. 網(wǎng) 絡(luò) 入 侵 檢 測(cè) 技 術(shù) 網(wǎng) 絡(luò) 入 侵 檢 測(cè) 技 術(shù) 也 叫 網(wǎng) 絡(luò) 實(shí) 時(shí) 監(jiān) 控 技 術(shù) ， 它 通 過 硬 件或 軟 件 對(duì) 網(wǎng) 絡(luò) 上 的 數(shù) 據(jù) 流 進(jìn) 行 實(shí) 時(shí) 檢 查 ， 并 與 系 統(tǒng) 中 的入 侵 特 征 數(shù) 據(jù) 庫 進(jìn) 行 比 較 ， 一 旦 發(fā) 現(xiàn) 有 被 攻 擊 的 跡 象 ，立 刻 根 據(jù) 用 戶 所 定 義 的 動(dòng) 作 做 出 反 應(yīng) ， 如 切 斷 網(wǎng) 絡(luò) 連 接 ，或 通 知 防 火 墻 系 統(tǒng) 對(duì) 訪 問 控 制 策 略 進(jìn) 行 調(diào) 整 ， 將 入 侵 的數(shù) 據(jù) 包 過 濾 掉 等 。 http:/ n 5. 黑 客 誘 騙 技 術(shù) 黑 客 誘 騙 技 術(shù) 是 近 期 發(fā) 展 起 來 的 一 種 網(wǎng) 絡(luò) 安 全 技 術(shù) ， 通過 一 個(gè) 由 網(wǎng) 絡(luò) 安 全 專 家 精 心 設(shè) 置 的 特 殊 系 統(tǒng) 來 引 誘 黑 客 ，并 對(duì) 黑 客 進(jìn) 行 跟 蹤 和 記 錄 。 這 種 黑 客 誘 騙 系 統(tǒng) 通 常 也 稱為 蜜 罐 (Honeypot)系 統(tǒng) ， 其 最 重 要 的 功 能 是 特 殊 設(shè) 置 的對(duì) 于 系 統(tǒng) 中 所 有 操 作 的 監(jiān) 視 和 記 錄 ， 網(wǎng) 絡(luò) 安 全 專 家 通 過精 心 的 偽 裝 使 得 黑 客 在 進(jìn) 入 到 目 標(biāo) 系 統(tǒng) 后 ， 仍 不 知 曉 自己 所 有 的 行 為 已 處 于 系 統(tǒng) 的 監(jiān) 視 之 中 。 http:/ n 6. 網(wǎng) 絡(luò) 安 全 技 術(shù) 的 綜 合 利 用 目 前 常 用 的 自 適 應(yīng) 網(wǎng) 絡(luò) 安 全 管 理 模 型 ， 通 過 防 火 墻 、 網(wǎng)絡(luò) 安 全 掃 描 、 網(wǎng) 絡(luò) 入 侵 檢 測(cè) 等 技 術(shù) 的 結(jié) 合 來 實(shí) 現(xiàn) 網(wǎng) 絡(luò) 系統(tǒng) 動(dòng) 態(tài) 的 可 適 應(yīng) 的 網(wǎng) 絡(luò) 安 全 目 標(biāo) 。 這 種 網(wǎng) 絡(luò) 安 全 管 理 模型 認(rèn) 為 任 何 網(wǎng) 絡(luò) 系 統(tǒng) 都 不 可 能 防 范 所 有 的 安 全 風(fēng) 險(xiǎn) ， 因此 在 利 用 防 火 墻 系 統(tǒng) 實(shí) 現(xiàn) 靜 態(tài) 安 全 目 標(biāo) 的 基 礎(chǔ) 上 ， 必 須通 過 網(wǎng) 絡(luò) 安 全 掃 描 和 實(shí) 時(shí) 的 網(wǎng) 絡(luò) 入 侵 檢 測(cè) ， 實(shí) 現(xiàn) 動(dòng) 態(tài) 的 、自 適 應(yīng) 的 網(wǎng) 絡(luò) 安 全 目 標(biāo) 。 該 模 型 利 用 網(wǎng) 絡(luò) 安 全 掃 描 主 動(dòng)找 出 系 統(tǒng) 的 安 全 隱 患 ， 對(duì) 風(fēng) 險(xiǎn) 作 半 定 量 的 分 析 ， 提 出 修補(bǔ) 安 全 漏 洞 的 方 案 ， 并 自 動(dòng) 隨 著 網(wǎng) 絡(luò) 環(huán) 境 的 變 化 ， 通 過入 侵 特 征 的 識(shí) 別 ， 對(duì) 系 統(tǒng) 的 安 全 作 出 校 正 ， 從 而 將 網(wǎng) 絡(luò)安 全 的 風(fēng) 險(xiǎn) 降 低 到 最 低 點(diǎn) 。 http:/ n 14.3.1 Windows XP SP2自 帶 防 火 墻 簡 介 Windows XP SP2在 安 全 方 面 做 了 重 大 的 調(diào) 整 ， 安 全 設(shè) 計(jì)融 合 到 整 個(gè) 操 作 系 統(tǒng) 中 ， 防 火 墻 屏 障 、 操 作 系 統(tǒng) 補(bǔ) 丁 和更 新 病 毒 庫 等 理 念 形 成 一 個(gè) 安 全 體 系 ， 而 防 火 墻 是 這 個(gè)安 全 體 系 的 第 一 道 屏 障 ， 它 提 供 了 一 個(gè) 強(qiáng) 大 的 保 護(hù) 層 ，可 以 阻 止 惡 意 用 戶 和 程 序 依 靠 未 經(jīng) 請(qǐng) 求 的 傳 入 流 量 攻 擊計(jì) 算 機(jī) 。 Windows XP SP2防 火 墻 又 稱 ICF(Internet Connection frewall)， 已 經(jīng) 具 備 個(gè) 人 防 火 墻 的 基 本 功 能 ，它 是 一 種 能 夠 阻 截 所 有 傳 入 的 未 經(jīng) 請(qǐng) 求 的 流 量 的 狀 態(tài) 防火 墻 。 這 些 流 量 既 不 是 響 應(yīng) 計(jì) 算 機(jī) 請(qǐng) 求 而 發(fā) 送 的 流 量 (請(qǐng)求 流 量 )， 也 不 是 事 先 指 定 允 許 傳 入 的 未 經(jīng) 請(qǐng) 求 的 流 量 (異常 流 量 )。 http:/ n 14.3.2 Windows XP SP2自 帶 防 火 墻 的 配 置 點(diǎn) 擊 【 開 始 】 【 設(shè) 置 】 【 控 制 面 板 】 【 Windows防 火 墻 】 將 進(jìn) 入 ICF配 置 界 面 ， 如 圖 所 示 。 http:/ 1. 【 常 規(guī) 】 用 于 防 火 墻 的 啟 停 設(shè) 置 。n (1)【 啟 用 (推 薦 )】 為 啟 動(dòng) 本 機(jī) 防 火 墻 ；n (2)【 關(guān) 閉 (不 推 薦 )】 為 關(guān) 閉 本 機(jī) 防 火 墻 ；n (3)【 不 允 許 例 外 】 選 項(xiàng) 選 中 時(shí) ， Windows防 火 墻 將 阻 止 所 有連 接 到 本 計(jì) 算 機(jī) 的 請(qǐng) 求 ， 即 使 請(qǐng) 求 來 自 【 例 外 】 選 項(xiàng) 卡 上 列出 的 程 序 或 服 務(wù) 也 是 如 此 。 http:/ 2. 【 例 外 】 例 外 選 項(xiàng) 卡 用 于 添 加 程 序 和 端 口 例 外 ， 以 允 許 特 定 類 型 的 傳 入 通信 。 在 此 選 項(xiàng) 卡 中 ， 可 以 為 每 個(gè) 例 外 設(shè) 置 范 圍 ， 如 圖 所 示 。 http:/ (1)【 添 加 程 序 (R)】n 用 于 進(jìn) 行 有 互 聯(lián) 網(wǎng) 訪 問 要 求 的 例 外 程 序 的 添 加 ， 如 QQ程 序 等 ，點(diǎn) 擊 按 鈕 后 系 統(tǒng) 顯 示 如 圖 所 示 界 面 ， 用 戶 可 選 擇 需 要 添 加 的已 注 冊(cè) 可 執(zhí) 行 程 序 。 http:/ n 如 果 程 序 列 表 中 沒 有 所 需 程 序 ， 可 點(diǎn) 擊 【 瀏 覽 】 按 鈕 手 動(dòng) 添加 一 個(gè) 可 執(zhí) 行 文 件 如 圖 所 示 。n 選 中 需 添 加 的 文 件 ， 點(diǎn) 擊 【 打 開 】 添 加 入 程 序 列 表 。 http:/ n 用 戶 選 定 程 序 后 ， 可 點(diǎn) 擊 【 更 改 范 圍 】 ， 改 變 選 定 程 序 可 訪問 的 地 址 訪 問 ， 界 面 如 圖 所 示 ， 用 戶 可 根 據(jù) 需 要 選 擇 任 何 計(jì)算 機(jī) ， 我 的 網(wǎng) 絡(luò) (子 網(wǎng) )或 自 定 義 IP地 址 。 http:/ (2)【 添 加 端 口 (O)】n 用 戶 如 需 開 放 本 機(jī) 端 口 供 其 他 用 戶 訪 問 ， 可 點(diǎn) 擊 此 按 鈕 ， 彈出 如 圖 所 示 界 面 。 http:/ (3)【 編 輯 (E)】n 用 戶 如 需 對(duì) 已 有 程 序 和 服 務(wù) 的 訪 問 規(guī) 則 進(jìn) 行 修 改 ， 可 點(diǎn) 擊【 編 輯 】 按 鈕 進(jìn) 行 變 更 。 (4)【 刪 除 (D)】n 用 戶 如 需 刪 除 已 有 程 序 或 服 務(wù) 的 訪 問 規(guī) 則 ， 可 點(diǎn) 擊 此 按 鈕 進(jìn)行 刪 除 。 3. 【 高 級(jí) 】 高 級(jí) 選 項(xiàng) 卡 用 于 進(jìn) 行 防 火 墻 的 進(jìn) 一 步 設(shè) 置 ， 用 戶 可 進(jìn) 行 網(wǎng) 卡 相 關(guān)的 訪 問 規(guī) 則 設(shè) 定 、 安 全 日 志 的 記 錄 、 ICMP的 設(shè) 置 等 更 高 級(jí) 特 性 。 http:/ n 14.4.1 IP測(cè) 試 工 具 Ping 使 用 Ping命 令 可 以 向 計(jì) 算 機(jī) 發(fā) 送 ICMP(Internet控 制 消 息協(xié) 議 )數(shù) 據(jù) 包 并 監(jiān) 聽 回 應(yīng) 數(shù) 據(jù) 包 ， 以 校 驗(yàn) 與 遠(yuǎn) 程 計(jì) 算 機(jī) 或本 地 計(jì) 算 機(jī) 的 連 接 ； Ping還 可 以 測(cè) 試 計(jì) 算 機(jī) 名 /域 名 和 IP地 址 ， 如 果 能 夠 成 功 校 驗(yàn) IP地 址 卻 不 能 成 功 校 驗(yàn) 計(jì) 算 機(jī) 名或 域 名 ， 則 說 明 名 稱 解 析 存 在 問 題 。 1. 命 令 格 式 ping -t -a -n count -l size -f -i TTL -v TOS -r count -s count -j host-list | -k host-list -w timeout target_name http:/ 2. 返 回 值 返 回 值 意 義Request Timed Out這個(gè)信息表示對(duì)方主機(jī)可以到達(dá)到TIME OUT，這種情況通常是為對(duì)方拒絕接收你發(fā)給它的數(shù)據(jù)包造成數(shù)據(jù)包丟失。大多數(shù)的原因可能是對(duì)方裝有防火墻或已下線。Destination Net Unreachable這個(gè)信息表示對(duì)方主機(jī)不存在或者沒有跟對(duì)方建立連接。這里要說明一下”destination host unreachable”和”time out”的區(qū)別，如果所經(jīng)過的路由器的路由表中具有到達(dá)目標(biāo)的路由，而目標(biāo)因?yàn)槠渌虿豢傻竭_(dá)，這時(shí)候會(huì)出現(xiàn)”time out”，如果路由表中連到達(dá)目標(biāo)的路由都沒有，那就會(huì)出現(xiàn)”destination host unreachable”Bad IP address這個(gè)信息表示你可能沒有連接到DNS服務(wù)器所以無法解析這個(gè)IP地址，也可能是IP地址不存在Source quench received此信息比較特殊，它出現(xiàn)的機(jī)率很少。它表示對(duì)方或中途的服務(wù)器繁忙無法回應(yīng) http:/ n 14.4.2 測(cè) 試 TCP/IP協(xié) 議 配 置 工 具 ipconfig IPConfig實(shí) 用 程 序 可 用 于 顯 示 當(dāng) 前 的 TCP/IP配 置 的 設(shè) 置 值 。這 些 信 息 一 般 用 來 檢 驗(yàn) 人 工 配 置 的 TCP/IP設(shè) 置 是 否 正 確 。IPConfig可 以 讓 我 們 了 解 自 己 的 計(jì) 算 機(jī) 是 否 成 功 的 租 用 到一 個(gè) IP地 址 ， 如 果 租 用 到 則 可 以 了 解 它 目 前 分 配 到 的 是 什么 地 址 。 了 解 計(jì) 算 機(jī) 當(dāng) 前 的 IP地 址 、 子 網(wǎng) 掩 碼 和 缺 省 網(wǎng) 關(guān)實(shí) 際 上 是 進(jìn) 行 測(cè) 試 和 故 障 分 析 的 必 要 項(xiàng) 目 。 命 令 格 式 如 下 ： ipconfig /? | /all | /renew adapter | /release adapter | /flushdns | /displaydns | /registerdns | /showclassid adapter | /setclassid adapter classid http:/ 參 數(shù) 意 義/?顯示幫助信息/all顯示所有配置信息/release釋放指定網(wǎng)絡(luò)適配器的IP地址/renew刷新指定網(wǎng)絡(luò)適配器的IP地址/flushdns清空DNS解析緩存/registerdns刷新所有DHCP地址信息并重新注冊(cè)DNS名稱/displaydns顯示DNS解析緩存/showclassid顯示指定適配器的DHCP ClassID /setclassid設(shè)置指定適配器的DHCP ClassIDAdapter網(wǎng)絡(luò)適配器名稱，即在Windows 2000網(wǎng)絡(luò)連接中所看到的連接名稱，支持?/*通配符 http:/ n 14.4.3 跟 蹤 工 具 Tracert tracert 命 令 顯 示 用 于 將 數(shù) 據(jù) 包 從 計(jì) 算 機(jī) 傳 遞 到 目 標(biāo) 位 置的 一 組 IP 路 由 器 ， 以 及 每 個(gè) 躍 點(diǎn) 所 需 的 時(shí) 間 。 如 果 數(shù) 據(jù)包 不 能 傳 遞 到 目 標(biāo) ， tracert 命 令 將 顯 示 成 功 轉(zhuǎn) 發(fā) 數(shù) 據(jù) 包的 最 后 一 個(gè) 路 由 器 。 當(dāng) 數(shù) 據(jù) 報(bào) 從 我 們 的 計(jì) 算 機(jī) 經(jīng) 過 多 個(gè)網(wǎng) 關(guān) 傳 送 到 目 的 地 時(shí) ， Tracert命 令 可 以 用 來 跟 蹤 數(shù) 據(jù) 報(bào)使 用 的 路 由 (路 徑 )。 命 令 格 式 如 下 ： tracert -d -h maximum_hops -j host-list -w timeout target_name http:/ n 14.5.1 sniffer簡 介 1. 工 作 原 理 SNIFFER要 捕 獲 的 東 西 必 須 是 要 物 理 信 號(hào) 能 收 到 的 報(bào) 文 信 息 。 交 換 HUB記 住 一 個(gè) 口 的 MAC是 通 過 接 收 來 自 這 個(gè) 口 的 數(shù) 據(jù) 后 并 記住 其 源 MAC， 就 像 一 個(gè) 機(jī) 器 的 IP與 MAC對(duì) 應(yīng) 的 ARP列 表 ， 交 換HUB維 護(hù) 一 個(gè) 物 理 口 (就 是 HUB上 的 網(wǎng) 線 插 口 ， 這 之 后 提 到 的 所 有HUB口 都 是 指 網(wǎng) 線 插 口 )與 MAC的 表 ， 所 以 可 以 欺 騙 交 換 HUB的 。 Sniffer就 是 一 種 能 將 本 地 網(wǎng) 卡 狀 態(tài) 設(shè) 成 雜 收 狀 態(tài) 的 軟 件 ， 當(dāng)網(wǎng) 卡 處 于 這 種 ” 雜 收 ” 方 式 時(shí) ， 該 網(wǎng) 卡 具 備 ” 廣 播 地 址 ” ， 它 對(duì)遇 到 的 每 一 個(gè) 幀 都 產(chǎn) 生 一 個(gè) 硬 件 中 斷 以 便 提 醒 操 作 系 統(tǒng) 處 理 流 經(jīng)該 物 理 媒 體 上 的 每 一 個(gè) 報(bào) 文 包 。 http:/ 2. 危 害 嗅 探 器 能 夠 捕 獲 口 令 。 這 大 概 是 絕 大 多 數(shù) 非 法 使 用 sniffer的 理 由 ，sniffer可 以 記 錄 到 明 文 傳 送 的 userid和 passwd。 能 夠 捕 獲 專 用 的 或 者 機(jī) 密 的 信 息 。 比 如 金 融 賬 號(hào) ， 許 多 用 戶 很 放心 在 網(wǎng) 上 使 用 自 己 的 信 用 卡 或 現(xiàn) 金 賬 號(hào) ， 然 而 sniffer可 以 很 輕 松截 獲 在 網(wǎng) 上 傳 送 的 用 戶 姓 名 、 口 令 、 信 用 卡 號(hào) 碼 、 截 止 日 期 、 賬號(hào) 和 pin。 比 如 偷 窺 機(jī) 密 或 敏 感 的 信 息 數(shù) 據(jù) ， 通 過 攔 截 數(shù) 據(jù) 包 ， 入侵 者 可 以 很 方 便 記 錄 別 人 之 間 敏 感 的 信 息 傳 送 ， 或 者 干 脆 攔 截 整個(gè) 的 email會(huì) 話 過 程 。 可 以 用 來 危 害 網(wǎng) 絡(luò) 鄰 居 的 安 全 ， 或 者 用 來 獲 取 更 高 級(jí) 別 的訪 問 權(quán) 限 。 窺 探 低 級(jí) 的 協(xié) 議 信 息 。 http:/ n 14.5.2 sniffer配 置 下 面 以 SnifferPro 4.7界 面 為 例 ， 簡 要 介 紹 一 下 sniffer的 配置 過 程 1. 捕 獲 數(shù) 據(jù) 包 前 的 準(zhǔn) 備 工 作 在 默 認(rèn) 情 況 下 ， sniffer將 捕 獲 其 接 入 碰 撞 域 中 流 經(jīng) 的 所 有數(shù) 據(jù) 包 ， 為 了 快 速 定 位 網(wǎng) 絡(luò) 問 題 所 在 ， 有 必 要 對(duì) 所 要 捕獲 的 數(shù) 據(jù) 包 作 過 濾 。 Sniffer提 供 了 捕 獲 數(shù) 據(jù) 包 前 的 過 濾 規(guī)則 的 定 義 ， 過 濾 規(guī) 則 包 括 2、 3層 地 址 的 定 義 和 幾 百 種 協(xié)議 的 定 義 。 定 義 過 濾 規(guī) 則 的 做 法 一 般 如 下 ： http:/ (1)在 主 界 面 選 擇 capture define filter選 項(xiàng) ， 選 擇 Address屬 性 頁 ，這 是 最 常 用 的 定 義 。 其 中 包 括 MAC地 址 、 ip地 址 和 ipx地 址 的 定 義 。以 定 義 IP地 址 過 濾 為 例 ， 如 圖 所 示 。 http:/ (2) 選 擇 Advance屬 性 頁 ， 定 義 希 望 捕 獲 的 相 關(guān) 協(xié) 議 的 數(shù) 據(jù) 包 。 如圖 所 示 。 http:/ (3)選 擇 Buffer屬 性 頁 ， 定 義 捕 獲 數(shù) 據(jù) 包 的 緩 沖 區(qū) 。 如 圖 所 示 。 最 后 點(diǎn) 擊 Profiles進(jìn) 行 配 置 信 息 保 存 ， 以 供 隨 后 使 用 。 http:/ (4)選 擇 菜 單 中 Capture Select Filter選 擇 過 濾 器 ， 選 擇 適 當(dāng) 的 過濾 器 ， 如 圖 所 示 。 http:/ 2. 進(jìn) 行 數(shù) 據(jù) 捕 獲 選 擇 Capture Start， 啟 動(dòng) 捕 獲 引 擎 。 Sniffer可 以 實(shí) 時(shí) 監(jiān) 控 主 機(jī) 、協(xié) 議 、 應(yīng) 用 程 序 、 不 同 包 類 型 等 的 分 布 情 況 ， 選 擇 Monitor菜 單 ，如 圖 所 示 。 http:/ (1)Dashboard： 可 以 實(shí) 時(shí) 統(tǒng) 計(jì) 每 秒 鐘 接 收 到 的 包 的 數(shù) 量 、 出 錯(cuò) 包的 數(shù) 量 、 丟 棄 包 的 數(shù) 量 、 廣 播 包 的 數(shù) 量 、 多 播 包 的 數(shù) 量 以 及 帶 寬的 利 用 率 等 。 (2)Host Table： 可 以 查 看 通 信 量 最 大 的 前 10位 主 機(jī) 。 (3)Matrix:通 過 連 線 ， 可 以 形 象 的 看 到 不 同 主 機(jī) 之 間 的 通 信 。 (4)Application Response Time： 可 以 了 解 到 不 同 主 機(jī) 通 信 的 最 小 、最 大 、 平 均 響 應(yīng) 時(shí) 間 方 面 的 信 息 。 (5)History Samples： 可 以 看 到 歷 史 數(shù) 據(jù) 抽 樣 出 來 的 統(tǒng) 計(jì) 值 。 (6)Protocol distribution： 可 以 實(shí) 時(shí) 觀 察 到 數(shù) 據(jù) 流 中 不 同 協(xié) 議 的 分布 情 況 。 (7)Global Statics： 可 以 獲 取 全 局 數(shù) 據(jù) 報(bào) 信 息 。 http:/ 3.捕 獲 數(shù) 據(jù) 包 后 的 分 析 工 作 要 停 止 sniffer捕 獲 包 時(shí) ， 點(diǎn) 選 Capture Stop或 者 Capture Stop and Display， 前 者 停 止 捕 獲 包 ， 后 者 停 止 捕 獲 包 并 把 捕 獲 的 數(shù) 據(jù)包 進(jìn) 行 解 碼 和 顯 示 ， 如 圖 所 示 。 http:/ n 安 全 套 接 字 層 (SSL)是 用 于 服 務(wù) 器 之 上 的 一 個(gè) 加 密 系 統(tǒng) ， 它可 以 確 保 在 客 戶 機(jī) 與 服 務(wù) 器 之 間 傳 輸 的 數(shù) 據(jù) 仍 然 是 安 全 與 隱密 的 。 要 使 服 務(wù) 器 和 客 戶 機(jī) 使 用 SSL 進(jìn) 行 安 全 的 通 信 ， 服 務(wù)器 必 須 有 兩 樣 東 西 ：n 密 鑰 對(duì) (Key pair) 一 個(gè) 密 鑰 對(duì) 包 括 一 個(gè) 公 鑰 和 一 個(gè) 私 鑰 。這 兩 個(gè) 密 鑰 用 來 對(duì) 消 息 進(jìn) 行 加 密 和 解 密 ， 以 確 保 在 因 特 網(wǎng) 上傳 輸 時(shí) 的 隱 密 性 和 機(jī) 密 性 。n 證 書 (Certificate) 證 書 用 來 進(jìn) 行 身 份 驗(yàn) 證 或 者 身 份 確 認(rèn) 。證 書 可 以 是 自 簽 (self-signed)證 書 ， 也 可 以 是 頒 發(fā) (issued)證書 。 自 簽 證 書 是 為 自 己 私 有 的 Web 網(wǎng) 絡(luò) 創(chuàng) 建 的 證 書 。 頒 發(fā)證 書 是 認(rèn) 證 中 心 (certificate authority， CA)或 者 證 書 簽 署 者提 供 (頒 發(fā) )給 你 的 證 書 。 http:/ n SSL 使 用 安 全 握 手 來 初 始 化 客 戶 機(jī) 與 服 務(wù) 器 之 間 的安 全 連 接 。 在 握 手 期 間 ， 客 戶 機(jī) 和 服 務(wù) 器 對(duì) 它 們 將要 為 此 會(huì) 話 使 用 的 密 鑰 及 加 密 方 法 達(dá) 成 一 致 。 客 戶機(jī) 使 用 服 務(wù) 器 證 書 驗(yàn) 證 服 務(wù) 器 。 握 手 之 后 ， SSL 被用 來 加 密 和 解 密 HTTPS(組 合 SSL 和 HTTP 的 一 個(gè)獨(dú) 特 協(xié) 議 )請(qǐng) 求 和 服 務(wù) 器 響 應(yīng) 中 的 所 有 信 息 ， 包 括 ： 客 戶 機(jī) 正 在 請(qǐng) 求 的 URL。 提 交 的 表 單 的 內(nèi) 容 。 訪 問 授 權(quán) 信 息 (比 如 用 戶 名 和 密 碼 )。 所 有 在 客 戶 機(jī) 與 服 務(wù) 器 之 間 發(fā) 送 的 數(shù) 據(jù) 。 http:/ n 下 面 以 Windows 2003 Server平 臺(tái) 上 ， IIS(Internet Information Server) 6.0Web服 務(wù) 器 中 建 立 支 持 SSL協(xié) 議 的 站 點(diǎn) 為 例 ， 說 明 SSL協(xié) 議 的 配 置 和 使 用 。 http:/ 1.在 服 務(wù) 器 上 生 成 密 鑰 (1)點(diǎn) 擊 【 開 始 】 【 控 制 面 板 】 【 管 理 工 具 】 【 Internet信息 服 務(wù) 管 理 器 】 ， 顯 示 如 圖 所 示 界 面 ， 選 擇 需 增 加 SSL支 持 的 站點(diǎn) (此 例 中 為 Web1)。 鼠 標(biāo) 右 鍵 選 擇 【 屬 性 】 ， 顯 示 如 圖 所 示 的 界面 。 http:/ (2)點(diǎn) 擊 【 服 務(wù) 器 證 書 】 ， 開 始 創(chuàng) 建 密 鑰 ， 顯 示 如 圖 所 示 ， 點(diǎn) 擊【 下 一 步 】 。 http:/ (3) 如 圖 所 示 ， 選 擇 新 建 證 書 ， 點(diǎn) 擊 【 下 一 步 】 繼 續(xù) 。 http:/ (4)如 圖 所 示 ， 選 擇 【 現(xiàn) 在 準(zhǔn) 備 證 書 請(qǐng) 求 ， 但 稍 后 發(fā) 送 】 ， 選 擇【 下 一 步 】 繼 續(xù) 。 http:/ (5)如 圖 所 示 ， 輸 入 證 書 名 稱 ， 并 選 擇 密 鑰 位 數(shù) ， 點(diǎn) 擊 【 下 一 步 】繼 續(xù) 。 http:/ (6)如 圖 所 示 ， 輸 入 本 服 務(wù) 器 所 在 單 位 名 稱 及 部 門 名 稱 ， 此 為 證 書驗(yàn) 證 所 必 須 的 ， 應(yīng) 填 寫 真 實(shí) 信 息 ， 輸 入 完 成 后 點(diǎn) 擊 【 下 一 步 】 繼續(xù) 。 http:/ (7) 如 圖 所 示 ， 輸 入 公 用 名 稱 ， 注 意 此 公 用 名 稱 應(yīng) 為 此 Web服 務(wù)器 在 互 聯(lián) 網(wǎng) 上 或 局 域 網(wǎng) 上 的 訪 問 地 址 (域 名 或 主 機(jī) 名 )， 如 訪 問 名稱 變 更 (如 域 名 變 更 或 主 機(jī) 名 變 更 )則 證 書 需 要 重 新 申 請(qǐng) 。 http:/ (8)如 圖 所 示 ， 錄 入 公 司 所 在 地 理 位 置 后 ， 點(diǎn) 擊 【 下 一 步 】 繼 續(xù) 。 http:/ (9)如 圖 所 示 ， 選 擇 所 生 成 密 鑰 文 件 的 存 儲(chǔ) 路 徑 和 文 件 名 ， 點(diǎn) 擊【 下 一 步 】 繼 續(xù) 。 http:/ (10) 如 圖 所 示 ， 選 擇 【 下 一 步 】 完 成 證 書 生 成 。 http:/