计算机网路实验.ppt

上传人：牧羊曲112

文档编号：6441639

上传时间：2023-10-31

格式：PPT

页数：31

大小：334.49KB

《计算机网路实验.ppt》由会员分享，可在线阅读，更多相关《计算机网路实验.ppt（31页珍藏版）》请在三一办公上搜索。

1、計算機網路實驗,本學期實驗預計 Deadline1,03/14講解實驗一03/2103/28講解實驗二04/0404/1104/18講解實驗三04/2505/02講解實驗四05/0905/16,本學期實驗預計 Deadline2,05/23期末Project開始05/3006/0606/1306/2006/27期末Project截止,實驗設備分配,共有12台電腦供計算機網路實驗使用其中兩台要固定對外連線,抽取盒必須鎖在上面,並且必須負責對外連線需有兩組自願負責對外連線這兩組的好處是不需要跟其他人搶電腦做實驗扣除以上兩台,其他的機器有新舊兩種,從機殼外觀可以分辨請記得你是在哪一“種”機器上安裝系

2、統,以後就在哪“種”機器上進行實驗每一組登記核發一個抽取盒,實驗一所需設備,一台有兩張網路卡的個人電腦(架設NAT和Firewall，電腦A)。(只有一塊網路卡也可以架設NAT)一台筆記型電腦或個人電腦(電腦B)。兩條網路線。一台hub(optional)。,實驗預習,Linux安裝與設定Linux的網路安裝與設定TCP/IP的基礎知識iptables的設定Shell ScriptBonus!Windows(Client)和 Unix(Server或Client)端的 network programming,實驗一的目標,設計一台有防火牆功能的IP分享器不過與市面上的防火牆不同的地方是，除了要

3、防止外面危險的封包進來之外，也要防止未經授權的內部使用者送封包出去。時間:兩週之內完成實驗 Demo,學習目標與步驟1,學會架設 Linux 或 BSD:每個人登記一個抽取盒和硬碟,盡快找時間灌.建議灌 ubuntu.學會 Linux 讓 Linux 上網ubuntu IP設定在/etc/network/interfaces學會在 Linux 上安裝 dhcp server 軟體ubuntu 使用 apt-get install+軟體名稱ubuntu 的網路設定,DHCP 架設可以參考http:/ubuntuguide.org/wiki/Ubuntu_tw,學習目標與步驟2,設定 dhcp s

4、erver需要兩張網路卡,一張對內發 dhcp offer,一張對外連線,提供自己和 dhcp clients 對外的連線Netmask 請務必設對,其他需要注意的請參考dhcp 的設定檔是 dhcpd.conf,檔案位置因系統而異,請善用 1 man 指令;2 locate 指令;3 google 查詢去找到你實驗中所遇到問題的解答架設 NAT server設定防火牆規則,學習目標與步驟3,認識以下通訊程式所用的 port 並允許通過DNS、HTTP、FTP(active和passive模式都要)MSN messengerSSH,Telnet and ICMPPOP3/SMTP,學習目標與步

5、驟4(Bonus!),Network Programming於電腦B這端，為了讓某一組的電腦B封包由該組的電腦A流出去，所以在電腦B上要寫個小程式，讓所有由電腦B流出的封包都加上一個小欄位，例如第三組的封包就加3，所以當四台的電腦A都收到這封包時，只有第三組的電腦A會接收並作下一步的處理，其它的電腦A則都會丟掉。當然在電腦A這端要將這項濾掉封包的功能實作。,還要知道的Topic,DHCP 發放流程NAT server防火牆規則利用封包來判定通訊程式使用的 PortWindows 上的 Ethereal 軟體Linux 上的 tcpdumpFTP(active和passive模式都要)Netwo

6、rk Programming(Bonus!),DHCP,DHCP 發放流程來源:,還要知道的Topic,DHCP 發放流程NAT server防火牆規則利用封包來判定通訊程式使用的 PortWindows 上的 Ethereal 軟體(1,2)Linux 上的 tcpdumpFTP(active和passive模式都要)Network Programming(Bonus!),NAT(Network Address Translation),IP 分享器分享網路頻寬NAT 主機的能力之一路由器與 NAT轉遞網路封包分析來源端封包的 IP 表頭，找出目標的 IP 後，透過路由器本身的路由表(rou

7、ting table)將這個封包向下一個目標(next hop)傳送高階的路由器可以連結不同的硬體設備，並且可以轉譯很多不同的封包格式,但是簡單的轉遞封包的能力 Linux 核心有提供,即 IP FORWARDING,預設是關閉的，須以下列指令啟動。echo 1/proc/sys/net/ipv4/ip_forwardNAT 本身就是一個路由器，但 NAT 比路由器多了一個 IP 轉換的功能,NAT,當路由器兩端的網域分別是 Public 與 Private IP 時，才需要 NAT 的功能！一般來說，路由器會有兩個網路介面，透過路由器本身的 IP 轉遞功能讓兩個網域可以互相溝通網路封包。那如

8、果兩個介面一邊是公共 IP(public IP)但一邊是私有 IP(private IP)呢？由於私有 IP 不能直接與公共 IP 溝通其路由資訊，此時就得要額外的 IP 轉譯功能了；(兩邊都是私有或都是公共則不需要)Linux 的 NAT 主機可以透過修改封包的 IP 表頭資料之來源或目標 IP，讓來自私有 IP 的封包可以轉成 NAT 主機的公共 IP，就可以連上 Internet！,NAT,由 Internet 傳送回來的封包，由 NAT 主機接收，NAT 主機會去查詢原本記錄的路由資訊，並將目標 IP 由 ppp0 上面的公共 IP 改回原來的 192.168.1.100 並傳給原先發

9、送封包的 Client。用 iptables 設定啟動 NAT寫個 Shell Script(iptables.rule)開機一次做完設定/etc/rc.local 一開機就會執行/home/cnl2006/iptables.ruleexit 0,還要知道的Topic,DHCP 發放流程NAT server防火牆規則利用封包來判定通訊程式使用的 PortWindows 上的 Ethereal 軟體Linux 上的 tcpdumpFTP(active和passive模式都要)Network Programming(Bonus!),防火牆,防火牆種類IP filter(封包過濾式,Packet F

10、iltering Firewall):使用進入本機的 TCP/IP 封包協定進行過濾分析包括 MAC,IP,TCP,UDP,ICMP 等封包的資訊都可以進行過濾分析的功能，因此用途非常的廣泛優點是：效能好、控管性高、成本低廉在OSI七層架構中第三層以下的網路中運作問世最早.最常見的的封包過濾器就是路由器(Router)無法對所經過的資料流提供較詳細及較高層的稽核能力，有時也由於必須預些開放某些埠口，而造成了安全上的大漏洞(製造假的IP位址、或是模仿有關埠口的設定等可以繞過此過濾機制),防火牆,閘道式:所有外部網路可以到達的地方，僅止於這台閘道主機，而內部網路的使用者欲連至外部網路，需要先登入這

11、台閘道主機。舉應用層閘道式防火牆,此類防火牆是作用在OSI 模式的最高層，可以了解所有過往資料的通信協定,但是價格昂貴,且容易濫擋程式.Proxy(代理伺服器)針對每一種應用服務程式，做代理伺服的工作，clietn端的使用者其實是和這台代理主機連接，而非外部網路的主機，但卻可使client端的使用者，感覺到他真的在取用外部網路的主機服務一樣，此種特性，稱為 Proxy。優點是：可確保資料的完整性，只有特定的服務才會被交換，並可針對其內容做過濾防毒，可進行高階的存取控制。,防火牆,防火牆最大的功能就是幫助你限制某些服務的存取來源防火牆並不能很有效的抵擋病毒或木馬程式防火牆對於來自內部 LAN

12、的攻擊較無承受力,iptables,根據封包的分析資料比對你預先定義的規則內容，若封包資料與規則內容相同則進行動作，否則就繼續下一條規則的比對！重點在那個比對與分析順序上。如果比對結果符合 Rule 1，此時這個網路封包就會進行 Action 1 的動作，而不會理會後續的 Rule 2,Rule 3.,iptables,filter：Linux 本機預設的 tableINPUT：封包進入本機OUTPUT：封包送出本機FORWARD：封包轉遞到後端電腦與 nat 這個 table 相關性很高。nat：主機後端電腦來源與目的之 IP,port 的轉換PREROUTING(路由判斷前)DNA

13、T/REDIRECTPOSTROUTING(路由判斷後)SNAT/MASQUERADEOUTPUT與後端電腦發送出去的封包有關詳細設定請參考鳥哥的教學網頁Google 和 Linux 的 man 指令,還要知道的Topic,DHCP 發放流程NAT server防火牆規則利用封包來判定通訊程式使用的 PortWindows 上的 Ethereal 軟體Linux 上的 tcpdumpFTP(active和passive模式都要)Network Programming(Bonus!),還要知道的Topic,DHCP 發放流程NAT server防火牆規則利用封包來判定通訊程式使用的 PortWi

14、ndows 上的 Ethereal 軟體Linux 上的 tcpdumpFTP(active和passive模式都要)Network Programming(Bonus!),FTP(active/passive mode),主動式是用戶端通知 FTP 伺服器端使用 active 且告知連接的埠號由伺服器主動向用戶端連線,FTP(active/passive mode),被動式就是由用戶端向伺服器端發起連線用戶端發出 PASV 的連線要求FTP 伺服器啟動資料埠口，並通知用戶端連線用戶端隨機取用大於 1024 的埠口進行連接iptables 設定請參考和 GooglePassive FTP a

15、nd iptables被動式FTP與IE,還要知道的Topic,DHCP 發放流程NAT server防火牆規則利用封包來判定通訊程式使用的 PortWindows 上的 Ethereal 軟體Linux 上的 tcpdumpFTP(active和passive模式都要)Network Programming(Bonus!),Network Programming(Bonus!),請自行學習可以參考 W.Richard Stevens 的 Unix Network Programming 一書,Demo 以及報告,Demo會看 iptables 的 rules看 server 和 client 端的應用程式反應報告希望各位同學盡量將結報弄成HTML格式將你們設計的tables和裡面的chains畫成流程圖。注意範例只有將table層級畫出來，你們還要將裡面的規則畫清楚，並在旁邊附上解釋。用抓封包的軟體(如Linux上的tcpdump或是Windows上的Ethereal)抓一些封包來證明你們設計的Firewall是正確的。請不要將所有抓到的封包一股腦地丟給我看，叫我自己證明你們是對的，請先整理好，列出關鍵的封包。請寫下實驗心得及建議。對於實驗解說、實驗設備的意見、或是覺得實驗太簡單或太困難等等，都歡迎提出。,