網(wǎng)絡(luò)安全導(dǎo)論 實(shí)驗(yàn) 第3章 網(wǎng)絡(luò)安全編程 實(shí)驗(yàn)匯報(bào)

第三章實(shí)驗(yàn)((((((((((((((((((((((((((((((實(shí)驗(yàn)3A網(wǎng)絡(luò)安全編程通過調(diào)用

Runtime.getRuntime().exec可以添加,刪除注冊(cè)表某一項(xiàng)的值，要求實(shí)驗(yàn)前熟悉注冊(cè)表修改的有關(guān)方法。(((((((((((((((獲取本機(jī)的IP，端口5050沒開放不能返回信息。(((((((((((((((實(shí)驗(yàn)3B網(wǎng)絡(luò)安全編程常用的設(shè)計(jì)模式03VS前端控制器模式優(yōu)勢(shì)：1、可以實(shí)現(xiàn)統(tǒng)一管理，統(tǒng)一調(diào)度器統(tǒng)一將請(qǐng)求統(tǒng)一攔截和記錄。2、具有可測(cè)試性。如果使用TDD，那么測(cè)試控制器要比很多不同的網(wǎng)站更容易。攔截過濾器模式優(yōu)勢(shì)：1.低耦合高內(nèi)聚：通過過濾管理器統(tǒng)一內(nèi)聚了過濾鏈，將所有的過濾器統(tǒng)一聚合在一起，而之間耦合度非常低。2.復(fù)用性高:由于有過濾鏈，所以可以建立很多的不同鏈而鏈中的過濾器是一樣的，可以提高過濾器復(fù)用性。3.預(yù)處理：由于用戶請(qǐng)求可以在未進(jìn)入主程序就被攔截到，所有可以提前就預(yù)處理了該用戶請(qǐng)求的信息。前端控制器模式vs攔截過濾器模式a.如何防止一個(gè)用戶頻繁登錄某網(wǎng)站？1、通過數(shù)據(jù)庫狀態(tài)位判斷該用戶是否已經(jīng)登錄。2、利用session監(jiān)聽器監(jiān)聽每一個(gè)登錄用戶的登錄情況。b.如何防止用戶繞過登錄界面，直接訪問資源？首先把登陸后后的頁面和非登陸的界面加以區(qū)分把登陸后的界面歸入同一個(gè)文件夾下（這里指的是網(wǎng)頁的URL地址）可以把登陸后的網(wǎng)頁以及servlet全部歸入http://localhost/test/checked/，然后，用一個(gè)filter對(duì)checked下的所有訪問進(jìn)行過濾用一個(gè)sessionAttribute進(jìn)行判斷是否已經(jīng)登錄（屬性名字和有效值可以隨意），這個(gè)sesstionAttribute應(yīng)當(dāng)在登錄成功后被設(shè)置成有效值，未登錄和退出時(shí)設(shè)置成無效值。01020304問題解決過濾器：過濾器Filter基于Servlet實(shí)現(xiàn)，過濾器的主要應(yīng)用場(chǎng)景是對(duì)字符編碼、跨域等問題進(jìn)行過濾。Servlet的工作原理是攔截配置好的客戶端請(qǐng)求，然后對(duì)Request和Response進(jìn)行處理。Filter過濾器隨著web應(yīng)用的啟動(dòng)而啟動(dòng)，只初始化一次。Filter的使用比較簡(jiǎn)單，繼承Filter接口，實(shí)現(xiàn)對(duì)應(yīng)的init、doFilter以及destroy方法即可。攔截器：攔截器是SpringMVC中實(shí)現(xiàn)的一種基于Java反射（動(dòng)態(tài)代理）機(jī)制的方法增強(qiáng)工具，攔截器的實(shí)現(xiàn)是繼承HandlerInterceptor接口，并實(shí)現(xiàn)接口的preHandle、postHandle和afterCompletion方法。攔截器&過濾器相同點(diǎn)：1、攔截器與過濾器都是體現(xiàn)了AOP的思想，對(duì)方法實(shí)現(xiàn)增強(qiáng)，都可以攔截請(qǐng)求方法。2、攔截器和過濾器都可以通過Order注解設(shè)定執(zhí)行順序。1、過濾器屬于Servlet級(jí)別，攔截器屬于Spring級(jí)別Filter是在javax.servlet包中定義的，要依賴于網(wǎng)絡(luò)容器，因此只能在web項(xiàng)目中使用。Interceptor是SpringMVC中實(shí)現(xiàn)的，歸根揭底攔截器是一個(gè)Spring組件，由Spring容器進(jìn)行管理。3、過濾器基于函數(shù)回調(diào)方式實(shí)現(xiàn)，攔截器基于Java反射機(jī)制實(shí)現(xiàn)。3.實(shí)際開發(fā)中，攔截器的應(yīng)用場(chǎng)景會(huì)比過濾器要更多：攔截器的應(yīng)用場(chǎng)景：權(quán)限控制，日志打印，參數(shù)校驗(yàn)過濾器的應(yīng)用場(chǎng)景：跨域問題解決，編碼轉(zhuǎn)換攔截器與過濾器的區(qū)別不同點(diǎn)：1.SecurityContextHolder：用于存儲(chǔ)安全上下文（securitycontext）的信息，如當(dāng)前操作的用戶是誰，該用戶是否已經(jīng)被認(rèn)證，擁有哪些角色權(quán)限。2.SecurityContext：安全上下文信息接口，用戶通過SpringSecurity的校驗(yàn)之后，驗(yàn)證信息存儲(chǔ)在SecurityContext中。SecurityContext接口只定義了兩個(gè)方法，實(shí)際上其主要作用就是獲取Authentication對(duì)象（getAuthentication()方法），如果用戶未鑒權(quán)，那Authentication對(duì)象將會(huì)是空的。3.Authentication：Authentication是一個(gè)接口，用來表示用戶認(rèn)證信息。該對(duì)象主要包含了用戶的詳細(xì)信息（UserDetails）和用戶鑒權(quán)時(shí)所需要的信息，如用戶提交的用戶名密碼、Remember-meToken，或者digesthash值等。按不同鑒權(quán)方式使用不同的Authentication實(shí)現(xiàn)。在用戶登錄認(rèn)證之前相關(guān)信息會(huì)封裝為一個(gè)Authentication具體實(shí)現(xiàn)類的對(duì)象，在登錄認(rèn)證成功之后又會(huì)生成一個(gè)信息更全面，包含用戶權(quán)限等信息的Authentication對(duì)象，然后把它保存在SecurityContextHolder所持有的SecurityContext中，供后續(xù)的程序進(jìn)行調(diào)用，如訪問權(quán)限的鑒定等。描述SpringSecurity安全框架的核心組件監(jiān)聽器是一個(gè)專門用于對(duì)其他對(duì)象身上發(fā)生的事件或狀態(tài)改變進(jìn)行監(jiān)聽和相應(yīng)處理的對(duì)象，當(dāng)被監(jiān)視的對(duì)象發(fā)生情況時(shí)，立即采取相應(yīng)的行動(dòng)。監(jiān)聽器其實(shí)就是一個(gè)實(shí)現(xiàn)特定接口的普通java程序，這個(gè)程序?qū)ｉT用于監(jiān)聽另一個(gè)java對(duì)象的方法調(diào)用或?qū)傩愿淖?，?dāng)被監(jiān)聽對(duì)象發(fā)生上述事件后，監(jiān)聽器某個(gè)方法立即被執(zhí)行。1.統(tǒng)計(jì)在線人數(shù)（利用HttpSessionListener）2.加載初始化信息（利用ServletContextListener）3.統(tǒng)計(jì)網(wǎng)站訪問量4.實(shí)現(xiàn)訪問監(jiān)控java中監(jiān)聽器的功能Jpcap實(shí)現(xiàn)抓包程序4（Jpcap實(shí)現(xiàn)抓包）運(yùn)行結(jié)果代碼功能：抓取ip數(shù)據(jù)包并分析；流程：先綁定網(wǎng)絡(luò)，后抓取數(shù)據(jù)包分析并輸出1.熟悉TCP/IP數(shù)據(jù)包的結(jié)構(gòu)。2.掌握Wireshark的使用方法。3.能夠利用JNetPcap編程實(shí)現(xiàn)數(shù)據(jù)包的抓取與分析實(shí)驗(yàn)?zāi)康膶?shí)驗(yàn)3c、網(wǎng)絡(luò)數(shù)據(jù)包的抓取與分析1.安裝抓包工具，配置實(shí)驗(yàn)環(huán)境2.安裝Wireshark、配置java環(huán)境、下載并導(dǎo)入JNetPcap.jar包。實(shí)驗(yàn)準(zhǔn)備TCP/IP數(shù)據(jù)包結(jié)構(gòu)圖使用WireShark進(jìn)行抓包分析，查看抓包信息Wireshark抓包Wireshark抓包結(jié)果（）教務(wù)網(wǎng)登錄抓取結(jié)果輸入過濾語句http.request.method==POST，只