一、网络攻击实验:
1.集线器嗅探攻击:
实验原理:
集线器是广播设备,从某个端口接收到MAC帧后除了接收该MAC帧的端口以外
的所有其他端口输出该MAC帧。因此,当集线器从连接交换机的端口接收到MAC帧
后,将从连接路由器和黑客终端的端口输出该MAC帧,该MAC帧同时到达路由器和黑
客终端
2.MAC地址欺骗攻击实验
实验原理:正常传输过程如图所示,当交换机S1、S2和S3建立完整转发表后,转发项将通往终端A的交换路径作为通往MAC地址为MAC A的终端的交换路径,因此,终端B发送的目的MAC地址为MAC A的MAC帧沿着通往终端A的交换路径到达终端A。如果终端C将自己的MAC地址改为MAC A,且向终端B发送源MAC地址为MAC A的MAC帧,交换机S1.S2和S3的转发表改为如图所示,转发项将通往终端C的交换路径作为通往MAC地址为MAC A的终端的交换路径,因此,终端B发送的目的MAC地址为MAC A的MAC帧沿着通往终端C的交换路径到达终端C。
关键步骤:
2.1.先配置好网络,完成pc两两之间传输过程
2.2.将C的mac地址改为A的mac
2.3.最后用简单报文发送icmp报文,发现B到A的icmp报文传输到C。
3.Smurf攻击实验
实验原理:Smurf攻击过程如图所示,终端A将ICMP ECHO请求报文封装成以Web服务器的IP地址为源IP地址、以全1广播地址为目的IP地址的IP分组,该ICMP ECHO请求报文到达LAN1中的所有其他终端和路由器R,接收到该ICMPECHO请求报文的终端均发送ICMPECHO响应报文,这些ICMPECHO响应报文都被封装成以Web服务器的IP地址为目的IP地址的IP分组,导致这些ICMPECHO响应报文全部到达Web服务器。
由于LAN1中接人大量终端(这里是四个终端),为避免为每个终端配置网络信息,启动路由器R的动态主机配置协议(Dynamic Host Configuration Protocol, DHCP)服务器功能,由路由器R自动为接LAN1的终端配置网络信息。
关键步骤:
3.1先配置DHCP网络,使其能互相通信
3.2切换到模拟操作模式,通过复杂报文工具在A上生成如图所示icmp echo请求报文。该报文封装成源ip地址是web服务器的Ip地址192.1.2.1,目的地址是全1的广播地址的ip分组。该ip分组在switch1构成的以太网广播,到达所有其它终端和路由器router,如图所示
3.3由于封装ICMP ECHO请求报文的IP分组的源IP地址是Web服务器的IP地址,所有接收到ICMP ECHO请求报文的终端,向Web服务器发送ICMP ECHO响应报文,导致Web服务器接收到三个ICMP ECHO响应报文。
二、入侵检测实验
实验原理:
Cisco集成在路由器中的人侵检测系统(Intrusion Detection System,IDS)采用基干特征的人侵检测机制。首先需要加载特征库,特征库中包含用于标识各种人侵行为的信息流特征,一且在某个路由器接口的输人或输出方向设置人侵检测机制,则需要采集通过该接口输人或输出的信息流,然后与加载的特征库中的特征进行比较,如果该信息流与标识某种人侵行为的信息流特征匹配,则对该信息流采取相关的动作。因此,特征库中与每种人侵行 为相关的信息有两部分: 一是标识人侵行 为的信息流特征:二是对具有人侵行为特征的信息流所采取的动作。
实验步骤:
1.先按照图示连接好网络,最后验证其联通性。
2.创建特征库目录
3.确定特征库存储位置
4.指定入侵规则命名为a1,
ip ips notify log是全局模式下使用的命令,该命令的作用是将事件记录在日志服务器中作为指定的事件通知方法,log表明将事件记录在日志服务器中。
logging host 192.1.1.7是全局模式下使用的命令,该命令的作用是指定192. 1.1.7为日志服务器的IP地址。
service timestamps log datetime msec是全局模式下使用的命令,该命令的作用是要求在发送的日志信息中标记日期时间,并要求时间精确到毫秒。
clock set 23:54:00 19 November 2016是特权模式下使用的命令,该命令的作用是将路由器时钟设置为2016-11-19 23:54:0。
5.配置每一类特征,以下命令完成两个功能,1是释放所有类别的特征库;二是指定需要加载的特征库类别。
ip ips signature category是全局模式下使用的命令,该命令的作用走进入特征库分类配置模式。
category all是特征库分类配置模式下使用的命令,(conig ips category)#是特征库分类配置模式下的命令提示符。该命令的作用有两个: 一是指定所有类别特征库,all表示所有类别特征库;二是进入指定类别特征库的动作配置模式。
retired true是动作配置模式下使用的命令,(configips-categoryaction)#是动作配置模式下的命令提示符。该命令的作用是释放指定类别的特征库,这里的指定类别是所有类别。各种类别的特征库都比较庞大,如果加载所有类别的特征库,则会引发内存紧张,因此,一般情况下只加载部分类别特征库。
category ios _ ips basic 是特征库分类配置模式下使用的命令,该命令的作用有两个:
一是指定特征库类别 ,ios_ ips 是类别名,basic是类别子名,即ios _ips 类别中的basic子类别;二是进人指定类别特征库的动作配置模式。
retired false是动作配置模式下使用的命令,该命令的作用是加载指定类别的特征库,这里的指定类别是ios _ips 类别中的basic子类别。
退出特征库分类配置模式时,会出现提示信息,按Enter键确认。
6.将规则作用到路由器接口
7.重新定义特征
以下命令序列完成两个功能:一是重新配置编号为2004、子编号为0的特征状态;二是重新配置发生事件时的动作。发生事件是指检测到与编号为2004、子编号为0的特征匹配的信息流。
ip ips signature definition是全局模式下使用的命令,该命令 的作用是进人特征定义
模式。
signature 2004 0是特征定义模式下使用的命令,( config sigdef)#是特征定义模式
下的命令提示符,该命令的作用有两个:一是指定编号为2004、子编号为0的特征:二是
进人该特征的定义模式,即指定特征定义模式。与编号为2004、子编号为0的特征所匹
配的报文是ICMPECHO请求报文。
status是指定特征定义模式下使用的命令,config sigdef-sig)#是指定特征定义模
式下的命令提示符,该命令的作用是进人指定特征状态配置模式。
retired false是指定特征状态配置模式下使用的命令,(config sigdef sig-status)#是
指定特征状态配置模式下的命令提示符。该命令的作用是加载指定特征。
enabled true是指定特征状态配置模式下使用的命令,该命令的作用是启动指定特征启动指定特征是指用该特征匹配需要检测入侵行为的信息流。
engine是指定特征定义模式下使用的命令,该命令的作用是进人指定特征引擎配置模式。
event-action deny packet inline是指定特征引擎配置模式下使用的命令.(config-sigdef-sig-engine)#是指定特征引擎配置模式下的命令提示符。该命令的作用是将在线丢弃作为对与指定特征匹配的信息流所采取的动作。
event-action produce alert 是指定特征引擎配置模式下使用的命令,该命令的作用是将发送警告消息作为对与指定特征匹配的信息流所采取的动作。
退出特征定义模式时,会出现提示信息.按Enter键确认。
8.结果
入侵检测二
编号为101的扩展分组过滤器允许继续传输的IP分组是源IP地址是PC2的IP地址192. 1.2.1.目的IP地址是PC0的IP地址192.1.1.1的IP分组。指定名字为al的入侵检测规则时,绑定编号为101 的扩展分组过滤器,这表示只对编号为101的扩展分组过滤器允许继续传输的IP分组实施名为al的人侵检测规则,即只对PC2发送给PC0的IP分组实施名为al的人侵检测规则。
可以看到结果pc3能ping通pc0与pc1,而pc2不能
三、vpn隧道实验
虚拟专用网络(Virtual Private Network, VPN)主要解决四个问题:
一是通过在内部网络各个子网之间建立点对点IP隧道,解决由互联网互联的内部网络各个子网之间的通信问题
二是通过在点对点IP隧道两端之间建立安全关联,解决内部网络各个子网之间的安全通信问题
三是通过VPN接入技术解决远程终端访问内部网络资源的问题
四是通过安全插口层(Secure Socket Layer, SSLVPN网关解决远程终端访向内部网络资源的问题。
Ps:(路由器扩展用NM-1FE-TX(铜轴电缆)。NM-1FE-FX是光纤介质。)
1.先按照图示来连接好接线,把可以手动分配网路的地方全分好网络
2.r1,r2,r3连接公共网络的接口以及r4,r5,r6的各个接口分配到同一个ospf的过程
命令如下:
R1:
R2:
R3:
R4:
R5:
R6:
3. 定义路由器r1,r2,r3连接连接公共网络的接口之间的ip隧道;为隧道接口配置私有ip地址。
R1:
R2:
R3:
4. 路由器r1,r2,r3在直接连接的网络中,选择内部网络和隧道接口连接的网络作为参与rip创建动态路由项过程的网络。
R1:
R2:
R3:
四、email邮件服务
1.先按图示连接,配好ip地址与dns
2.
3.dns配置
4.配置段邮件服务,注册
5测试
6.发送成功,并且成功收到
五、WEP和WPA2-PSK实验
1WEP实验
实验步骤:
1.ap0配置
2.laptop0与laptop1配置,so easy没啥好写的
3.ap1配置
4.laptop2与laptop3配置
六、WPA2实验
步骤:
1.先在物理区放好如图相应的设备
2.进入无线路由器,配置相应的无线设置如图,其中ssid表示一个局域网的名称,只有设置为名称相同SSID的值的电脑才能互相通信,router0与router1设成一样,radius server setting
中的ip写入AAA服务器的ip地址,shared secrect中输入无线路由与AAA服务器的共享密钥。同样的操作配置一遍router1
3.配置无线路由器的静态ip地址,网关,以及web服务器地址
5.配置AAA服务,如图在network configuration下分别输入无线路由器标识符,ip,以及前面输入的secret,如router0的是router1,router1是router2
6.下面的user setup就是创建能访问的用户,如图,这里创建了四个用户,以及对应的密码。就可以在laptop中用以下信息登录WEP2访问网络,成功后ap就dhcp为laptop分配了个ip地址
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
