計(jì)算機(jī)三級(jí)網(wǎng)絡(luò)技術(shù)學(xué)習(xí)筆記

up在2020年疫情在家的時(shí)候看b站網(wǎng)課記的筆記，后來因?yàn)槿粘淘驔]有參加考試，把筆記分享出來，供大家參考和自己溫習(xí)知識(shí)。

按照考綱來的，看官方參考書和一些網(wǎng)課都適用。歡迎點(diǎn)贊、投幣、收藏

加粗的詞句屬于需要重點(diǎn)看的地方。

第 11 章網(wǎng)絡(luò)管理技術(shù)

考點(diǎn)1：SNMP基礎(chǔ)與配置（cisco設(shè)備）

考點(diǎn)2：windows網(wǎng)絡(luò)管理命令

考點(diǎn)3：網(wǎng)絡(luò)監(jiān)聽工具（綜合題有1題）

考點(diǎn)4：故障檢測與分析

考點(diǎn)5：網(wǎng)絡(luò)攻擊與漏洞查找

11.1 基礎(chǔ)知識(shí)

11.1.1 網(wǎng)絡(luò)管理的基本知識(shí)

11.1.1 ?網(wǎng)絡(luò)管理的基本知識(shí)（了解）

一、網(wǎng)絡(luò)管理的基本概念

　　網(wǎng)絡(luò)管理系統(tǒng)一般由管理進(jìn)程、被管對(duì)象、代理進(jìn)程、管理信息庫和網(wǎng)絡(luò)管理協(xié)議五部分組成。

1. 管理進(jìn)程：也稱管理站，是網(wǎng)絡(luò)管理的主動(dòng)實(shí)體。

2. 被管對(duì)象：網(wǎng)絡(luò)上的軟硬件設(shè)施。

3. 代理進(jìn)程：網(wǎng)絡(luò)管理中的被動(dòng)實(shí)體。

4. 網(wǎng)絡(luò)管理協(xié)議：較流行的有SNMP和CMIP

5. ? ? ? ?

1. ? ? ? ?管理信息庫：被管對(duì)象概念上的集合。

二、網(wǎng)絡(luò)管理的功能

1.配置管理

2.性能管理

3.記賬管理

4.故障管理

5.安全管理

11.1.2 網(wǎng)絡(luò)管理模型

11.1.2 ?網(wǎng)絡(luò)管理模型

一、OSI管理模型

OSI管理模型由ISO公布。

二、SNMP管理模型

　　SNMP由一系列協(xié)議組和規(guī)范組成，它們提供了一種從網(wǎng)絡(luò)上的設(shè)備中收集網(wǎng)絡(luò)管理信息的方法。SNMP的體系結(jié)構(gòu)分為SNMP管理者、SNMP代理和MIB，其管理模型是一個(gè)管理/代理模型 。每一個(gè)支持SNMP的網(wǎng)絡(luò)設(shè)備中都包含一個(gè)網(wǎng)管代理，網(wǎng)管代理隨時(shí)記錄網(wǎng)絡(luò)設(shè)備的各種信息，網(wǎng)絡(luò)管理程序再通過SNMP通信協(xié)議收集網(wǎng)管代理所記錄的信息。

1.SNMP的管理站和代理

　　SNMP采用一種分布式結(jié)構(gòu)。一個(gè)管理站可以管理控制著多個(gè)代理；反之，一個(gè)代理也可以被過個(gè)管理站所管理、控制。為此，SNMP采用了“團(tuán)體”這個(gè)概念來實(shí)現(xiàn)一些簡單的安全控制。

2.管理信息庫 MIB-2

　　管理信息庫MIB也稱為MIB-2，它指明了網(wǎng)絡(luò)元素所維持的變量。MIB給出了一個(gè)網(wǎng)絡(luò)中所有可能的被管理對(duì)象的集合的數(shù)據(jù)結(jié)構(gòu)。

Cisco的(私有)管理對(duì)象標(biāo)識(shí)符（OID）都是由1.3.6.1.4.1.9開頭的。

MIB的應(yīng)用類型中的計(jì)量器類型與計(jì)數(shù)器很類似，不同之處在于它的值可以增加也可以減少。（計(jì)數(shù)器只能增加不能減少）

3.SNMP支持的操作（11下）

①get：用于管理站向代理查詢被管理設(shè)備上的MIB庫數(shù)據(jù)。

②set：用于管理站命令代理對(duì)被管設(shè)備上MIB庫中的對(duì)象值進(jìn)行設(shè)置。

③notifications：用于代理主動(dòng)向管理站報(bào)告被管對(duì)象的某些變化。通知又進(jìn)一步分為自陷（Trap）和通知（Inform）兩類。

　　每個(gè)操作都有相應(yīng)的PDU格式。

4.SNMP的實(shí)現(xiàn)

三、 CMIP與SNMP的比較

1.SNMP的特點(diǎn)

①簡單，易于在各種網(wǎng)絡(luò)中實(shí)現(xiàn)。

②廣泛支持，幾乎所有的網(wǎng)絡(luò)產(chǎn)品都支持SNMP。

③操作原語簡捷。

④性能高。

2.CMIP的特點(diǎn)：

①每個(gè)變量不僅傳遞信息，而且還完成一定的網(wǎng)絡(luò)管理任務(wù)，這樣可減少管理者的負(fù)擔(dān)減少網(wǎng)絡(luò)負(fù)載。

②安全性高，擁有驗(yàn)證、訪問控制和安全日志。

3.SNMP和CMIP的不同點(diǎn)（12下）

①SNMP有廣泛的適用性，且在用于小規(guī)模設(shè)備時(shí)成本低、效率高，而CMIP更適用于大型網(wǎng)絡(luò)。

②SNMP主要基于輪訓(xùn)方式獲得信息，CMIP主要采用報(bào)告方式。

③SNMP基于UDP,CMIP使用面向連接的傳輸(TCP)。

④CMIP采用面向?qū)ο蟮男畔⒔７绞?，SNMP用簡單的變量表示管理對(duì)象。

11.1.3 互聯(lián)網(wǎng)控制報(bào)文協(xié)議ICMP

11.1.3 ?互聯(lián)網(wǎng)控制報(bào)文協(xié)議ICMP

　　ICMP工作在網(wǎng)絡(luò)層，是一種管理協(xié)議，用于在IP主機(jī)、路由器之間傳遞控制消息和差錯(cuò)報(bào)告。

ICMP消息被封裝在IP數(shù)據(jù)包內(nèi)(不是'TCP數(shù)據(jù)包')，通過IP包傳送的ICMP信息主要是設(shè)計(jì)錯(cuò)誤操作的報(bào)告和會(huì)送給源節(jié)點(diǎn)的關(guān)于IP數(shù)據(jù)包處理的消息。（12上）

ICMP消息類型：

類型號(hào)

類型描述

類型號(hào)

類型描述

0

回送應(yīng)答

12

參數(shù)錯(cuò)誤

3

目標(biāo)不可到達(dá)

13

時(shí)間戳請(qǐng)求

4

源抑制

14

時(shí)間戳應(yīng)答

5

重定向

15

信息請(qǐng)求（已作廢）

8

回送請(qǐng)求

16

信息應(yīng)答（已作廢）

9

路由器請(qǐng)求

17

地址掩碼請(qǐng)求

10

路由器懇求

18

地址掩碼應(yīng)答

11

超時(shí)

簡記：03811，應(yīng)答不可達(dá)、請(qǐng)求超時(shí)

ICMP的主要功能：

①通告網(wǎng)絡(luò)錯(cuò)誤： （目標(biāo)不可到達(dá)報(bào)文）

②通告網(wǎng)絡(luò)擁塞： （源抑制報(bào)文）

③幫助查找網(wǎng)絡(luò)故障： （回送請(qǐng)求與回送應(yīng)答報(bào)文）(Echo請(qǐng)求、Echo應(yīng)答)

④通告超時(shí)： （超時(shí)報(bào)文）(IP包的TTL值減為0時(shí))09下

⑤路由重定向： （重定向報(bào)文）

⑥檢查IP協(xié)議的錯(cuò)誤： （參數(shù)錯(cuò)誤報(bào)文）

⑦測量指定路徑上的通信延遲： （時(shí)間戳）

⑧獲取子網(wǎng)掩碼： （掩碼請(qǐng)求與掩碼應(yīng)答）

11.1.4 Windows2003 網(wǎng)絡(luò)管理

11.1.4 ?Windows 2003網(wǎng)絡(luò)管理

一、網(wǎng)絡(luò)管理命令 （不區(qū)分大小寫）

1.ipconfig命令：顯示所有當(dāng)前的TCP/IP網(wǎng)絡(luò)配置

ipconfig [/? | /all | /renew [adapter] | /release [adapter]

/flushdns清除DNS緩存 | /displaydns | /registerdns |/showclassid adapter

|/setclassid adapter [classid] ]（12上28題）

2.Hostname命令：顯示當(dāng)前主機(jī)的名稱

3.ARP命令：顯示和修改ARP表項(xiàng)

ARP -s inet_addr eth_addr [if_addr]

ARP -d inet_addr [if_addr]

ARP -a [inet_addr] [-N if_addr]

-s ：在arp緩存中添加項(xiàng)，將IP地址(inet_addr)和 MAC(eth_addr)地址關(guān)聯(lián)。

-d ?: 刪除inet_addr指定的ARP表項(xiàng)

-a ：顯示當(dāng)前arp表項(xiàng)。

4.NBTSTAT：顯示本機(jī)與遠(yuǎn)程計(jì)算機(jī)的基于TCP/IP的NetBIOS的統(tǒng)計(jì)及連接信息。

NBTSTAT [ [-a RemoteName] [-A IP address] [-c] [-n]

?[-r] [-R] [-RR] [-s] [-S] [interval] ]

-a 使用遠(yuǎn)程計(jì)算機(jī)的名稱列出名稱表

-A 使用遠(yuǎn)程計(jì)算機(jī)的IP地址列出名稱表

-c ?列出遠(yuǎn)程N(yùn)etBIOS名稱緩存及其對(duì)應(yīng)IP地址

-n 列出本地NetBIOS名稱

-r ?列出通過廣播和WINS解析的名稱

-S ?列出會(huì)話及其目的IP地址

5.NET命令：管理網(wǎng)絡(luò)環(huán)境、服務(wù)、用戶、登陸等本地信息

NET [ ACCOUNTS | COMPUTER | CONFIG | CONTINUE | FILE | GROUP | HELP |HELPMSG | LOCALGROUP | NAME | PAUSE | PRINT | SEND | SESSION |SHARE | START | STATISTICS | STOP | TIME | USE | USER | VIEW ]

Net View：顯示域列表、計(jì)算機(jī)列表或指定計(jì)算機(jī)的共享資源列表。（08下）

Net User：添加或更改用戶帳號(hào)或顯示用戶帳號(hào)信息。

Net Use：連接計(jì)算機(jī)或斷開計(jì)算機(jī)與共享資源的連接，或顯示計(jì)算機(jī)的連接信息

Net Start：啟動(dòng)服務(wù)，或顯示已啟動(dòng)服務(wù)的列表。

Net Pause：暫停正在運(yùn)行的服務(wù)。

Net Continue：重新激活掛起的服務(wù)。

Net Stop：停止 Windows NT/2000/2003 網(wǎng)絡(luò)服務(wù)。

Net Statistics：顯示本地工作站或服務(wù)器服務(wù)的統(tǒng)計(jì)記錄。

Net Share：創(chuàng)建、刪除或顯示共享資源。

Net Session：列出或斷開本地計(jì)算機(jī)和與之連接的客戶端的會(huì)話。

Net Config：顯示當(dāng)前運(yùn)行的可配置服務(wù)，或顯示并更改某項(xiàng)服務(wù)的設(shè)置。

6.NETSTAT命令：顯示活動(dòng)的TCP連接、偵聽的端口、以太網(wǎng)統(tǒng)計(jì)信息、IP路由表和IP統(tǒng)計(jì)信息。（08上）

NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]

-a 顯示所有連接和監(jiān)聽端口。（TCP）

-e 顯示以太網(wǎng)統(tǒng)計(jì)信息。

-p 顯示指定的協(xié)議的連接。

-r 顯示路由表。

-s 顯示按協(xié)議統(tǒng)計(jì)信息。

7.Ping命令：通過發(fā)送ICMP報(bào)文并監(jiān)聽回應(yīng)報(bào)文，來檢查與遠(yuǎn)程或本地計(jì)算機(jī)的連接。

ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS][-r count]

?[-s count] [[-j host-list] | [-k host-list]][-w timeout] destination-list

-t ： 檢查與指定的計(jì)算機(jī)的連接，直到中斷本次操作。

-a ：將IP地址解析為計(jì)算機(jī)名。

-n?count： ?發(fā)送?count?指定的?ECHO?數(shù)據(jù)報(bào)文數(shù)量。默認(rèn)值為?4。

-l?size：按照size指定的長度發(fā)送報(bào)文。

-f：在報(bào)文中發(fā)送“不分段”標(biāo)志，以保證數(shù)據(jù)包不被路由器分段。

8.Tracert 命令：通過發(fā)送包含不同TTL的ICMP報(bào)文并監(jiān)聽回應(yīng)報(bào)文，來探測到達(dá)目的計(jì)算機(jī)的路徑。

tracert [-d] [-h maximum_hops] [-j host-list]

[-w timeout] target_name

-d：不將IP地址解析為主機(jī)名與指定計(jì)算機(jī)的連接。

-h maximum_hops：指定最大跳數(shù)。

-j host-list：按照host-list給出的主機(jī)列表指出的稀疏源路由來探測。

-w timeout：按照timeout 指定的毫秒數(shù)設(shè)定每次應(yīng)答等待的時(shí)間 。

9.Pathping命令：結(jié)合了ping和tracert的功能，將報(bào)文發(fā)送到所經(jīng)過地所有路由器，并根據(jù)每跳返回的報(bào)文進(jìn)行統(tǒng)計(jì)（09下、12上）

pathping [-n] [-h maximum_hops]

[-g host-list] [-p period]

[-q num_queries] [-w timeout] [-t] [-R][-r] target_name

–p Period ：指定兩次 ping 之間的時(shí)間間隔。

–q Num_queries ：指定對(duì)每跳的查詢次數(shù)。

-R：查看每跳是否支持RSVP協(xié)議。

注意：末尾顯“Trace complete”(追蹤完成)的命令不一定是tracert，也可能是Pathping。

? ? ? ?

? ? ? ?pathping有" Computing statics for xx seconds(正在計(jì)算統(tǒng)計(jì)信息，已耗時(shí)xx秒)"

10.Route命令：顯示或修改本地IP路由表的條目

ROUTE [-f] [-p] [command [destination] [MASK netmask]

[gateway] [METRIC metric] ?[IF interface]

-f ：清除路由表中所有的網(wǎng)關(guān)條目。如果該參數(shù)與command指定的命令組合使用，路由表將在運(yùn)行命令前被清除。

-p： 與 add 命令一起使用時(shí)使路由具有永久性。 將使增加的路由表象永久有效，即使重新啟動(dòng)系統(tǒng)。

Command ?指定下列一個(gè)命令：

PRINT ?打印路由

ADD 增加路由表項(xiàng)

DELETE刪除路由表項(xiàng)

CHANGE 修改路由表項(xiàng)

gateway指定網(wǎng)關(guān)的IP地址

METRIC 指定路由器所需跳數(shù)

二、網(wǎng)絡(luò)管理工具（了解）

1.用戶管理

　　Windows 2003中有兩種用戶：本地用戶和域用戶。本地用戶信息存儲(chǔ)在本地計(jì)算機(jī)的賬戶管理數(shù)據(jù)庫中，用戶登錄后只能根據(jù)權(quán)限訪問本地計(jì)算機(jī)。域用戶信息存儲(chǔ)在域控制器的活動(dòng)目錄中，用戶登錄后可以根據(jù)權(quán)限訪問整個(gè)域中的資源。(應(yīng)用題考過1次)

　　域用戶管理是通過工具“Active directory用戶和計(jì)算機(jī)”實(shí)現(xiàn)的。此工具允許在單位的目錄中添加、修改、刪除和組織Windows 2003域用戶賬戶、計(jì)算機(jī)賬戶、安全和通信組以及公布的資源。

2.性能管理

　　使用“性能監(jiān)視器”可以監(jiān)控系統(tǒng)運(yùn)行情況。性能管理包括系統(tǒng)監(jiān)視器和性能日志和警報(bào)。

3.遠(yuǎn)程訪問管理

　　本地主機(jī)可以作為路由和遠(yuǎn)程訪問服務(wù)器。通過【程序】->【管理工具】中選擇【路由和遠(yuǎn)程訪問】工具。

11.1.5 常見網(wǎng)絡(luò)故障及其處理

11.1.5 ?常見的網(wǎng)絡(luò)故障及其處理（了解）

一、常見網(wǎng)絡(luò)故障

1.主機(jī)故障

2.網(wǎng)絡(luò)設(shè)備故障

3.通信線路故障

4.軟件系統(tǒng)故障

5.網(wǎng)絡(luò)擁塞與拒絕服務(wù)

二、網(wǎng)絡(luò)故障的檢測與處理

1.對(duì)故障進(jìn)行分離和排序

2.收集故障信息

3.分析原因

4.故障測試與分析

5.故障排除

6.記錄和總結(jié)

11.1.6 漏洞掃描

11.1.6 ?漏洞掃描

一、漏洞掃描技術(shù)

　　漏洞即是指存在于計(jì)算機(jī)系統(tǒng)的硬件、軟件、協(xié)議設(shè)計(jì)以及系統(tǒng)安全策略等方面的缺陷和不足。

　　漏洞掃描技術(shù)即是檢測系統(tǒng)安全脆弱性的一種安全技術(shù)。通常分為基于主機(jī)和基于網(wǎng)絡(luò)的兩種掃描器：

　　基于主機(jī)的漏洞掃描器主要掃描主機(jī)系統(tǒng)相關(guān)的安全漏洞，如passwd文件、目錄和文件權(quán)限、共享文件系統(tǒng)、敏感服務(wù)、軟件、系統(tǒng)漏洞等。

　　基于網(wǎng)絡(luò)的漏洞掃描器主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、交換機(jī)、訪問服務(wù)器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬供給，以測試系統(tǒng)的防御能力。

　　通常，漏洞掃描工具完成的功能包括：掃描、生成報(bào)告、分析并提出建議，以及數(shù)據(jù)管理等。

網(wǎng)絡(luò)漏洞掃描器的主要性能應(yīng)該考慮的因素：

　　速度

　　能夠發(fā)現(xiàn)的漏洞數(shù)量

　　能否支持所定制的攻擊方法

　　能夠給出清楚的安全漏洞報(bào)告

　　更新的周期

二、漏洞庫CVE（10上）

　　公共漏洞和暴露（CVE）是個(gè)行業(yè)標(biāo)準(zhǔn)，它為每個(gè)漏洞和暴露確定了唯一的名稱和標(biāo)準(zhǔn)化的描述（并沒有定義唯一的解決方法），可以成為評(píng)價(jià)相應(yīng)入侵檢測和漏洞掃描等工具產(chǎn)品和數(shù)據(jù)庫的基準(zhǔn)。

　　如果在一個(gè)漏洞報(bào)告中指明的一個(gè)漏洞有CVE名稱，就可以快速地在任何其他CVE兼容的數(shù)據(jù)庫中找到相應(yīng)的修補(bǔ)程序。

11.2 實(shí)訓(xùn)任務(wù)

11.2.1 實(shí)訓(xùn)任務(wù)一：常用網(wǎng)絡(luò)管理軟件的安裝與配置

11.2.1 實(shí)訓(xùn)任務(wù)一：常用網(wǎng)絡(luò)管理軟件的安裝與配置

一、網(wǎng)絡(luò)管理軟件的常見功能

①網(wǎng)絡(luò)性能監(jiān)控：提供帶寬測量、路由CPU負(fù)荷性能　指標(biāo)的實(shí)時(shí)監(jiān)控，以及歷時(shí)數(shù)據(jù)統(tǒng)計(jì)。

②網(wǎng)絡(luò)發(fā)現(xiàn)和拓?fù)涔芾恚禾峁┳泳W(wǎng)列表、ping sweep　和IP網(wǎng)絡(luò)瀏覽器

③IP地址管理

④探測功能：提供ping和trace route等

⑤其他：如TFTP服務(wù)器等

二、常見網(wǎng)絡(luò)管理軟件安裝與配置（12下）

①大型管理平臺(tái)：

　　HP Open View、Sun Net Manager、IBM Net View等?？梢詫?duì)多種網(wǎng)絡(luò)、協(xié)議進(jìn)行管理，有很好的開放性，支持第三方管理軟件的潛入。

②網(wǎng)絡(luò)設(shè)備廠家自身產(chǎn)品的網(wǎng)管軟件：

　　如CISCO、Juniper、華為。

③中小型網(wǎng)絡(luò)通用網(wǎng)管軟件：

Solarwinds、MRTG、SNMPc等。

　　這些網(wǎng)絡(luò)系統(tǒng)都是采用SNMP協(xié)議來對(duì)網(wǎng)絡(luò)進(jìn)行管理的。如果一個(gè)網(wǎng)絡(luò)管理控制多個(gè)代理，那么它和這些代理中的每一個(gè)都各構(gòu)成一個(gè)團(tuán)體。

三、網(wǎng)絡(luò)設(shè)備SNMP設(shè)置（以cisco路由器為例）

1.創(chuàng)建或修改對(duì)SNMP團(tuán)體的訪問控制(08上、10上)

(config)# snmp-server community <團(tuán)體名> [view <視閾名> ] [ro?|?rw] [<訪問控制列表號(hào)> ] ?

其中：

①團(tuán)體名：用于同一團(tuán)體內(nèi)的管理站和代理之間進(jìn)行通信認(rèn)證。

②視閾名：規(guī)定了本團(tuán)體內(nèi)訪問管理信息庫的范圍。

③ro或rw：代表訪問權(quán)限為只讀或可讀寫。

④訪問控制表號(hào)：1~99，標(biāo)準(zhǔn)的ACL，IP范圍內(nèi)的主機(jī)為屬于這個(gè)“團(tuán)體”的管理站。

(config)# snmp-server community public 4

(config)# snmp-server community admin view part rw

2.創(chuàng)建或修改一個(gè)SNMP視閾

(config)# snmp-server view <視閾名>

<對(duì)象標(biāo)識(shí)符或子樹>|included|excluded ]

3.設(shè)置路由器上的SNMP代理具有發(fā)出通知的功能：

(config)# snmp-server enable Traps [<通知類型 >][<通知選項(xiàng)>]

Traps自陷通知，管理站對(duì)這種報(bào)文不必有所應(yīng)答。（另一種inform通知消息，必須作出應(yīng)答）

4.在某個(gè)接口的配置模式下，指定當(dāng)該接口斷開或連接時(shí)要向管理站發(fā)出通知； （08下）

(config-if)# snmp Trap link-status

5.配置接收通知的管理站（10下）

(config)# snmp-server host <主機(jī)名或IP地址> [Traps|informs] [version ?1|2c] <團(tuán)體名>[ udp-port<端口號(hào)(默認(rèn)162) [<通知類型>]

管理站使用UDP的162端口接收通知

11.2.2 實(shí)訓(xùn)任務(wù)二：管理與維護(hù)用戶賬戶

11.2.2 ?實(shí)訓(xùn)任務(wù)二：管理與維護(hù)用戶賬戶（了解）

一、域用戶管理

1.添加用戶賬戶

　　在【Active Directory用戶和計(jì)算機(jī)】中，右擊Users文件夾? 【新建】 ?【用戶】

　　輸入用戶的基本信息和登錄名稱

　　設(shè)定用戶密碼

　　單擊【下一步】，然后單擊【完成】。

2.修改域用戶屬性

　　在【Active Directory用戶和計(jì)算機(jī)】中，右擊Users欄中的用戶? 單擊“屬性”，在屬性對(duì)話框中對(duì)用戶屬性進(jìn)行設(shè)置和修改。

二、組管理

1.添加組

　　在【Active Directory用戶和計(jì)算機(jī)】中，右擊Users文件夾? 【新建】 ?【組】

　　在新建組的對(duì)話框中輸入組的名稱，并設(shè)置組作用域和組類型。

【組作用域】欄中的三個(gè)選項(xiàng)：

①本地作用域

　　具有本地作用域的組可以將其作為來自Windows server 2003或Windows NT域的組和賬戶，且可用于僅在域中授予權(quán)限。具有本地作用域的組成為本地組。

②全局作用域：

　　有全局作用域的組可將其成員作為僅來自組所定義的域的組和賬戶，并且在樹林中的任何域中都可獲得權(quán)限。有全局作用域的組成為全局組。

③通用作用域：

　　有通用作用域的組可以將其成員作為來自域樹或樹林中任何Windows server 2003域的組合賬戶，并且在域樹或樹林的任何域中都可獲得權(quán)限。 有通用作用域的組成為通用組。

【組類型】中的兩個(gè)選項(xiàng)：

①安全組：安全組列于定義資源和對(duì)象權(quán)限的選擇性訪問控制表（DACL）中。

②通信組：通信組不采用安全機(jī)制。它們不能列于DACL中。只有電子郵件應(yīng)用程序（如exchange）中們才能用通信組將電子郵件發(fā)送給一組用戶。

2.在組中添加用戶

11.2.3 實(shí)訓(xùn)任務(wù)三：利用工具監(jiān)控和管理網(wǎng)絡(luò)

11.2.3 實(shí)訓(xùn)任務(wù)三：利用工具監(jiān)控和管理網(wǎng)絡(luò)

一、需求

二、網(wǎng)絡(luò)監(jiān)聽原理

　　網(wǎng)卡有4?種接收模式：廣播，組播，單播，混雜模式。嗅探器通過將本地網(wǎng)卡設(shè)置為混雜模式，來監(jiān)聽并捕捉其所連接網(wǎng)段的所有網(wǎng)絡(luò)數(shù)據(jù)。

三、網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽部署

1.對(duì)于共享型網(wǎng)絡(luò)

　　在共享型網(wǎng)絡(luò)中，只要將嗅探器部署到網(wǎng)絡(luò)中的任意一個(gè)接口上或者插入到任何一個(gè)節(jié)點(diǎn)的鏈路中，即可以捕捉到所有數(shù)據(jù)包。

2.對(duì)于交換型網(wǎng)絡(luò)

　　在交換式網(wǎng)絡(luò)中，需要采用通過對(duì)交換機(jī)進(jìn)行端口鏡像的方式，來獲得網(wǎng)絡(luò)中流量。

①配置被鏡像端口：

SW(config)#monitor session 1 source interface Gi2/16

②配置鏡像端口：

SW(config)#monitor session 1 destination interface Gi2/12

③檢查配置：SW#show monitor session 1

Session 1

---------

Type : Local Session 本地會(huì)話

Source Ports :

Both:Gi2/16 被鏡像端口 (源端口，被監(jiān)聽，接要檢測的流量一端)

Destination Ports : Gi2/12 鏡像端口(目的端口，接入侵檢測)

四、網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽工具（09下）

常見的網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽工具有Sniffer Pro、Ethereal、TCPdump、Wireshark等，

其中Sniffer Pro是一個(gè)功能強(qiáng)大的可視化 ? ?網(wǎng)絡(luò)流量監(jiān)控軟件,主要功能包括：

①捕捉網(wǎng)絡(luò)流量，進(jìn)行數(shù)據(jù)包解碼分析。

②實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)活動(dòng)。

③內(nèi)置分析器診斷網(wǎng)絡(luò)故障。

④存儲(chǔ)各種歷時(shí)信息，并可進(jìn)行基線分析。

⑤當(dāng)探測到網(wǎng)絡(luò)故障時(shí)可以發(fā)出警報(bào)。

⑥可以模擬生成數(shù)據(jù)包對(duì)網(wǎng)絡(luò)進(jìn)行探測。

了解：數(shù)據(jù)監(jiān)聽、數(shù)據(jù)包捕捉、數(shù)據(jù)包分析、數(shù)據(jù)包生成

11.2.4 實(shí)訓(xùn)任務(wù)四：查找和排除故障的基本方法

11.2.4 ?實(shí)訓(xùn)任務(wù)四：查找和排除故障的基本方法【重點(diǎn)，一個(gè)選擇】

（08上、08下、10下、11下、12上、12下、13上）

1.收集故障有關(guān)信息

①該計(jì)算機(jī)使用真實(shí)IP地址。 本機(jī)是否正常

②該計(jì)算機(jī)能夠使用域名訪問自己校園網(wǎng)的WWW服務(wù)器。 內(nèi)網(wǎng)是否正常

③該計(jì)算機(jī)與校園網(wǎng)WWW服務(wù)器不在同一個(gè)網(wǎng)段（VLAN）。 網(wǎng)關(guān)是否正常

④在同一網(wǎng)段的其他計(jì)算機(jī)能正常訪問www.mircosoft.com。 外網(wǎng)是否正常、單機(jī)還是網(wǎng)段有問題

2.可能造成一臺(tái)計(jì)算機(jī)無法瀏覽某個(gè)WWW服務(wù)器的原因主要有：（由近及遠(yuǎn)排除）

①該計(jì)算機(jī)的TCP/IP協(xié)議工作不正常。 網(wǎng)卡

②該計(jì)算機(jī)的IP地址與掩碼設(shè)置有誤。

③該計(jì)算機(jī)的網(wǎng)關(guān)設(shè)置有誤。

④該計(jì)算機(jī)的DNS設(shè)置有誤。

⑤該計(jì)算機(jī)系統(tǒng)的瀏覽器有問題。 工具軟件是否正常

⑥提供www.micrisoft.com名字解析的服務(wù)器有故障。 DNS服務(wù)器是否有問題

⑦服務(wù)器www.micrisoft.com工作不正常。 網(wǎng)站站點(diǎn)

⑧校園網(wǎng)路由設(shè)置中存在問題。 ?路由問題

⑨該計(jì)算機(jī)請(qǐng)求無法到達(dá)服務(wù)器www.micrisoft.com。 ?數(shù)據(jù)包訪問受到限制，比如受ACL訪問控制列表限制

三、故障測試與分析：

（1）運(yùn)行命令ping www.microsoft.com測試：

C:\>ping www.microsoft.com

Pinging lb1.www.ms.akadns.net [207.46.19.60] with 32 bytes of data: 為訪問站點(diǎn)www.microsoft.com的地址,表明DNS正常

Reply from 202.113.79.1: destination net unreachable目標(biāo)網(wǎng)絡(luò)不可達(dá)。ping包在202.113.79.1處被阻攔，一般原因：訪問控制

Reply from 202.113.79.1: destination net unreachable

Reply from 202.113.79.1: destination net unreachable

Reply from 202.113.79.1: destination net unreachable

Ping statistics for 207.46.19.60 :

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 0ms, Average = 0ms

運(yùn)行命令 tracert www.microsoft.com測試：

C:\>tracert www.microsoft.com

Tracing route to lb1.www.ms.akadns.net [65.55.57.27] 此處65.55.57.27為訪問站點(diǎn)www.microsoft.com的地址，表明DNS正常

over a maximum of 30 hops:

1<1 ms ?<1 ms<1 ms ?202.113.79.53

2<1 ms ?<1 ms<1 ms ?202.113.79.9

3 202.113.79.1 reports: destination net unreachable.表明發(fā)出的ping包在第3跳202.113.79.1處被阻攔了，一般原因：訪問控制

Trace complete.

另外：如果出現(xiàn) request timed out 可能是目標(biāo)方（某網(wǎng)站、主機(jī)等）工作不正常。

11.2.5 實(shí)訓(xùn)任務(wù)五：網(wǎng)絡(luò)攻擊與漏洞查找的基本方法

11.2.5 ?實(shí)訓(xùn)任務(wù)五： 網(wǎng)絡(luò)攻擊與漏洞查找的基本方法

一、常見的網(wǎng)絡(luò)入侵與攻擊的基本方法

1.木馬入侵：C/S結(jié)構(gòu)，不自身復(fù)制

2.漏洞入侵：Unicode漏洞入侵、跨站腳本注入、sql注入入侵。（網(wǎng)絡(luò)防火墻不能阻擋漏洞入侵）

3.協(xié)議欺騙攻擊

4.口令入侵

5.緩沖區(qū)溢出漏洞攻擊

6.拒絕服務(wù)攻擊

知識(shí)點(diǎn)1：協(xié)議欺騙攻擊：

針對(duì)網(wǎng)絡(luò)協(xié)議的缺陷假冒用戶身份截取信息獲得特權(quán)的攻擊方式。主要的協(xié)議欺騙攻擊方式有以下幾種：

IP欺騙攻擊

ARP 欺騙攻擊

DNS 欺騙攻擊 訪問網(wǎng)站獲得一個(gè)其它網(wǎng)站的ip，從而引導(dǎo)用戶到其它網(wǎng)站

源路由欺騙攻擊

知識(shí)點(diǎn)2：拒絕服務(wù)攻擊Dos：

基本方式是通過發(fā)送大量合法的請(qǐng)求來消耗和占用過多的服務(wù)資源，使得網(wǎng)絡(luò)服務(wù)不能相應(yīng)正常的請(qǐng)求。

常用的DoS 攻擊包括：

①Smurf 攻擊：攻擊者冒充受害者主機(jī)的IP地址，向一個(gè)大的網(wǎng)絡(luò)發(fā)送echo request的定向廣播包，此網(wǎng)絡(luò)的許多主機(jī)都作出回應(yīng)，受害主機(jī)會(huì)收到大量的echo reply消息。

②SYN Flooding（SYN洪泛濫）：利用TCP三次握手過程進(jìn)行攻擊，使用無效的IP地址。

③分布式拒絕服務(wù)攻擊DDos：攻擊者攻破了多個(gè)系統(tǒng)，并利用這些系統(tǒng)去集中攻擊其他目標(biāo)，成百上千的主機(jī)發(fā)送大量的請(qǐng)求，受害設(shè)備因?yàn)闊o法處理而拒絕服務(wù)。

④Ping of Death（死亡之Ping）：通過構(gòu)造出重組緩沖區(qū)大小的異常的ICMP包進(jìn)行攻擊。

⑤Teardrop：利用OS處理分片重疊報(bào)文的漏洞進(jìn)行攻擊。

⑥Land 攻擊：向某個(gè)設(shè)備發(fā)送數(shù)據(jù)包，并將數(shù)據(jù)包的源地址和目的地址都設(shè)置成攻擊目標(biāo)地址。

二、漏洞查找辦法（10下、11上）

　　漏洞掃描分為被動(dòng)和主動(dòng)兩種。被動(dòng)掃描對(duì)網(wǎng)絡(luò)上的流量進(jìn)行分析，不產(chǎn)生額外流量，類似于IDS。主動(dòng)掃描可能會(huì)影響網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。

　　常用的漏洞掃描攻擊有：ISS，Microsoft Baseline Security Analyzer，X-Scanner。

1. ? ISS掃描器是主動(dòng)掃描的一種。

　　Internet Scanner對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行自動(dòng)的安全漏洞分析。

　　System Scanner是在系統(tǒng)層上通過依附于主機(jī)上的掃描器代理偵測主機(jī)內(nèi)部的漏洞。

2. X-Scanner采用多線程方式對(duì)指定IP地址段進(jìn)行安全漏洞是掃描，支持插件功能，提供了圖形界面和命令行兩種操作方式。

3. ?MBSA是微軟的安全評(píng)估工具。

三、漏洞修補(bǔ)方法（09上）

　　Microsoft Windows Server Update Services (WSUS) 是用來實(shí)時(shí)發(fā)布微軟公共操作系統(tǒng)軟件更新程序的服務(wù)器，WSUS通過Internet和微軟公司Microsoft Windows Server Update Services實(shí)時(shí)連接，及時(shí)獲得微軟公司最新更新（WSUS（微軟更新服務(wù)器）是漏洞修補(bǔ)方法，不是用來"掃描"、"查找漏洞"、"安全評(píng)估"）

程序，大大縮短了網(wǎng)內(nèi)計(jì)算機(jī)執(zhí)行重大更新時(shí)的時(shí)間過程。

　　可更新部署Windows Server 2003、Windows 2000 Server 和 Windows XP 、Office XP、Exchange server2003以及SQL server2000和更高版本的更新。

本章學(xué)習(xí)建議與命題方向

1.cisco設(shè)備配置（掌握基本命令的結(jié)構(gòu)與含義）

2.掌握windows網(wǎng)絡(luò)管理命令與ICMP協(xié)議基礎(chǔ)

3.重點(diǎn)掌握故障檢測與分析方法

4.重點(diǎn)掌握網(wǎng)絡(luò)攻擊與漏洞查找的基本方法