学习情境1 通过流量分析定位网络故障

1.0 总体介绍

网络协议是网络中所有设备（网络服务器、计算机、交换机、路由器及防火墙等）之间通信规则的集合与约定，它定义了通信时信息必须采用的格式和这些格式的意义。协议的安全直接影响着整个网络的安全。

目前，使用最为广泛的网络协议是TCP/IP协议簇，在TCP/IP协议设计之初，重点考虑的是网络的互联特性，并没有过多考虑其安全性。所以网络中经常发生针对TCP/IP协议的攻击，如针对ARP、IP、ICMP、TCP、UDP、FTP、TELNET、SNMP等一系列协议的安全攻击。计算机病毒也借助网络协议的漏洞进行传播或发起针对网络的攻击。

因此，作为网络安全管理与防护人员，要掌握网络协议的分析技术，发现、定位并防护针对网络协议发起的攻击。

1.0.1 情境描述

在一个企业局域网中经常会发生一些攻击，其中多数是来自内部，导致网络性能下降，表现为访问互联网速度明显变慢，打开网页或下载速度都很慢，甚至无法访问。究其原因，多数是由于TCP/IP协议自身设计问题导致的。

本学习情境的设计，以最典型的ARP协议攻击为主，通过展开学习，学会对网络协议进行分析的方法，掌握一个对协议分析的工具软件，具备项目应用的拓展能力，能够解决ARP以外的TCP/IP中的协议的安全分析及协议流量引发的网络安全故障，并能提供有效的防护措施。

1.0.2 总体目标

◆ 在不影响网络安全可靠运行的前提下，对网络中各协议数据进行捕获；

◆ 能对捕获到的不同类型协议数据进行准确的分析判断，发现异常（这需要有一定的经验积累）；

◆ 快速有效地定位网络中的故障，在不投入新的设备情况下解决问题；

◆ 熟悉协议封装格式及原理，明确网络协议本身是不安全的；

◆ 至少学会使用一种协议分析工具软件，通过拓展训练和后期学习中的经验积累能解决由于协议安全引发的网络安全故障。

1.0.3 内容描述

在本学习情境中只设计了1个工作任务。建议多人在可以访问互联网的环境下完成本工作任务，具体过程为：阅读引导文本；安装协议分析软件、进行协议捕获、模拟攻击，并对攻击进行检查，最后进行拓展训练，完成对其他协议的分析任务，例如，可以选择在宿舍、实训室、办公室或在网络中心的安排下完成同类工作任务。

1.0.4 情境教学条件

整体教学环境要求

◆ 保证所有实训计算机可以访问互联网。

◆ 建议实训计算机使用Windows XP操作系统。

◆ 建议实训计算机硬件配置足够，内存至少512MB。

工具及软件要求

◆ 协议分析软件Sniffer Pro。

◆ ARP攻击器。

特定的硬件设备要求

◆ 在实际工作中建议使用笔记本电脑，并配置一条直通双绞线和一条交换机配置线，以便于对网络流量进行分析与定位。

◆ 一台支持端口镜像功能的交换机及相关配置线缆。

参考资料及视频建议

◆ Sniffer Pro中文手册。

◆ TCP/IP协议详解（卷1、卷2）或同类书籍。

◆ 关于本部分的视频教程。

1.0.5 学习情境1整体网络场景

学习情境1整体网络场景如图1.0所示。