网络安全实验指引.docx
《网络安全实验指引.docx》由会员分享,可在线阅读,更多相关《网络安全实验指引.docx(33页珍藏版)》请在冰点文库上搜索。
网络安全实验指引
实验一使用Sniffer工具进行TCP/IP、ICMP数据包分析
1、实验目的
通过实验掌握Sniffer工具的安装与使用,
1)实现捕捉ICMP、TCP等协议的数据报;
2)理解TCP/IP协议中TCP、IP、ICMP数据包的结构,会话连接建立和终止的过程,TCP序列号、应答序号的变化规律,了解网络中各种协议的运行状况;
3)并通过本次实验建立安全意识,防止明文密码传输造成的泄密。
2、实验环境
两台安装Windows2000/XP的PC机,其中一台上安装有Sniffer软件,两台PC是通过HUB或交换机处于联网状态。
3、实验任务
1)了解Sniffer安装和基本使用方法,监测网络中的传输状态;
2)定义过滤规则,进行广义的数据捕获,分析数据包结构;
3)定义指定的捕获规则,触发并进行特定数据的捕获:
●pingip-address
●pingip-address–l1000
●pingip-address–l2000
●pingip-address–l2000–f
●(在IE地址栏中,输入).haut.edu.
4、实验步骤:
(1)、打开Sniffer软件,点击捕获——过滤设置——选择TCP和IP。
图
(一)图
(二)
图(三)图(四)
(2)定义指定的捕获规则,触发并进行特定数据的捕获:
●pingip-address
●pingip-address–l1000
●pingip-address–l2000
●pingip-address–l2000–f
●(在IE地址栏中,输入).haut.edu.
5、实验总结:
由图
(一)可以知道:
帧捕获的时间、帧长、源和目的,以与IP的信息。
由图
(二)可以知道:
TCP的信息,源端口号(80)、目的端口号(1234)、序列号(2602531683)、偏移量等
由图(三)可以知道:
ICMP的信息,Type=8,序列号(2048)
图(四)是IP的详细信息。
ping172.16.26.60
Ping-l1000172.16.26.60(-l:
发送指定数据量的ECHO数据包。
在这里是1000Bytes)
Ping-l2000172.16.26.60(-l:
发送指定数据量的ECHO数据包。
在这里是2000Bytes)
Ping-l2000-f172.16.26.60(-l:
发送指定数据量的ECHO数据包。
在这里是2000Bytes;-f:
在数据包中发送“不要分段”标志,数据包就不会被路由上的网关分段。
通常你所发送的数据包都会通过路由分段再发送给对方,加上此参数以后路由就不会再分段处理。
;)
(在IE地址栏中,输入).haut.edu.
试验一协议分析软件的使用
一、实验目的
学习协议分析软件wireshark的使用
二、实验内容
学习使用Wireshark抓取发送的包
三、实验步骤
在一台网络计算机上安装网络协议分析软件Wireshark(即Ethereal),按照教材第7.2节的方法,捕获自己的计算机通过互联网发送电子的全部数据。
将捕获数据文件保存,并利用各种过滤器和统计分析工具,从捕获数据中得出以下答案:
1.自己的网络计算机的MAC地址是
2.本地网络出口网关的MAC地址是(参看教材21页例)
(因为服务器与自己的网络计算机并不在同一个局域网内,因此,发送的电子以太网数据帧的目的MAC地址不是服务器的,而是局域网出口网关的MAC地址。
)
3.自己的网络计算机的IP地址是
自己注册的电子服务器的IP地址是,与客户机是否在同一个网段?
答:
。
4.与服务器建立TCP连接时本地主机的端口号是1432(客户端采用临时端口号,用于标识本次应用进程,参看教材第25页)。
服务器端的TCP端口号是,这个端口号的名字是什么?
是电子服务器的端口号SMTP吗?
答:
。
5.在三次握手建立了TCP连接后,本机的进程采用方法(教材表1.7)向服发送本用户的注册用户名和口令。
从此请求数据段中可否读出自己的用户名?
,能否获得登录密码?
。
6.分析你的电子服务商是否采用了什么方法保护你的用户名、密码和内容?
答:
。
7.当自己成功登录服务器后,利用Wireshark(Ethereal)的Analyze工具栏中的FollowTCPStream工具,找出自己的主机发送给服务器的Cookies内容是什么?
答:
8.服务器向本机返回的Cookie的内容是什么?
(对Cookie的内容分析方法见教材第211页)
答:
9.从捕获数据中能否获取自己的电子内容?
答:
10.结合教材第1、6、10和11章的介绍,分析自己的电子面临的以下安全问题:
(1)如果受到重放攻击时如何解决身份认证的问题,
(2)用户名的保护问题,(3)登录密码的保护问题,(4)信息的XX问题,(5)信息的防篡改问题,(6)采用哪些措施防止垃圾泛滥?
四、实验总结
实验二数字签名OnSign
一、实验目的:
我们平时编辑的Word文档,有的需要进行XX,为防止编写好的Word文档被别人进行恶意的修改,我们可以使用数字签名对其进行加密。
onSign是一款通过运行宏,为Word文档添加数字签名的软件,可以检查文档是否被人修改。
二、实验所需软件:
操作系统为windowsxp或者windowsserver
工具软件:
onSign2.0
三、实验步骤:
1、下载“onSignV2.0”版本安装文件到本机,在安装界面见图9-67,最后,软件会弹出注册窗口,我们只需要选择“Off-line”注册方式,将“XX”和“电子”必填信息填写好,并选择“家庭用户”,就可以免费使用了。
由于“onSign”目前的版本是针对Word2000编写的,在Word2003中安装后,软件不会将[onSign]菜单添加到Word文档的菜单栏中,在编辑带有数字签名的文档时,需要进入“onSign”的安装目录,双击名为“onSign”的Word模板,启用宏后就可以使用了。
图9-67安装界面
2、设置签名
通过[onSign]|[SignDocument]进入软件界面,点击“SignatureWizard”如图9-68所示,进入设置签名向导,我们可以通过“图像”、“电子”和“鼠标”三种方式生成签名图片。
我们以“图像”方式为例,先制作好一X别人不易效仿的bmp格式个性签名图片,将图片路径添加到“FileName”中,并为签名图片设置好名称、作者和密码,就完成了签名图片的设置。
图9-68设置签名向导
3、使用签名
在编辑完所有的文档并保存后,通过[onSign]|[SignDocument]进入软件界面,点击“SignNow”并输入密码,就可以为文档签属数字签名了,如图9-69所示。
图9-69文档签属数字签名
4、检查签名
在打开经过数字签名的文档后,如果文档在添加了数字签名后未被修改过,我们双击数字签名后,还会看到完整的签名。
如果文档被修改过,软件就会在数字签名上显示红色禁止符号。
5、几点说明
在Word2000下,如果只是查看数字签名的话,我们可以根据数字签名下方提供的下载“onSignViewer”,就不需要安装“onSign”了,但是如果您使用的是Word2003,笔者建议无论是添加还是查看数字签名,都使用“onSign”,而不要安装“onSignViewer”,因为“onSignViewer”安装后会引起Word2003和“onSign”的不正常工作。
实验三PGP加密文件和
一、实验目的:
使用PGP软件可以简洁而高效地实现或者文件的加密、数字签名。
二、实验所需软件:
操作系统为windowsxp或者windowsserver
工具软件:
PGP8.1
三、实验步骤:
1、使用PGP加密文件:
教材4.4.2节已经介绍了软件的安装和密钥的产生,这里就不再重复,使用PGP可以加密本地文件,右击要加密的文件,选择PGP菜单项的菜单“Encrypt”,如图9-60所示。
图9-60选择要加密的文件
出现对话框,让用户选择要使用的加密密钥,选中所需要的密钥,点击按钮“OK”,如图9-61所示。
图9-61选择密钥
目标文件被加密了,在当前目录下自动产生一个新的文件,如图9-62所示。
图9-62原文件和加密后的文件
打开加密后的文件时,程序自动要求输入密码,输入建立该密钥时的密码。
如图9-63所示。
图9-63解密文件时要求输入密码
2、使用PGP加密
PGP的主要功能是加密,安装完毕后,PGP自动和Outlook或者OutlookExpress关联。
和OutlookExpress关联如图9-64所示。
图9-64PGP关联outlookexpress
利用Outlook建立,可以选择利用PGP进行加密和签名,如图9-65所示。
图9-65加密
实验四入侵检测系统工具BlackICE和“冰之眼”
一、实验目的:
利用工具BlackICE和“冰之眼”对网络情况进行实时检测
二、实验所需软件:
操作系统:
Wwindowsxp、WindowsServer
工具软件:
bidserver.exe和冰之眼
三、实验步骤:
1、BlackICE:
双击bidserver.exe,如图9-84所示,在安装过程中需要输入序列号,如图9-85所示,序列号在ROR.NFO文件中。
图9-84安装文件
图9-85输入序列号
BlackICE是一个小型的入侵检测工具,在计算机上安全完毕后,会在操作系统的状态栏右下角显示一个图标,当有异常网络情况的时候,图标就会跳动。
主界面如图9-86所示,在“Events”选项卡下显示网络的实时情况,选择“Intruders”选项卡,可以查看主机入侵的详细信息,如IP、MAC、DNS等,如图9-87所示。
图9-86BlackICE的主界面
图9-87看入侵者的详细信息
2、冰之眼:
“冰之眼”网络入侵检测系统是NSFOCUS系列安全软件中一款专门针对网络遭受黑客攻击行为而研制的网络安全产品,该产品可最大限度地、全天候地监控企业级的安全。
双击图9-88中的“autoexec.exe”文件安装,先选择安装冰之眼公共库,如图9-99所示,然后安装冰之眼控制台。
3、
图9-88安装所需要的文件
图9-99安装冰之眼公共库
安装成功后就可以在程序中执行,如图9-100所示,控制台启动成功后如图9-101所示,系统管理人员可以自动地监控网络的数据流、主机的日志等,对可疑的事件给予检测和响应,在内联网和外联网的主机和网络遭受破坏之前阻止非法的入侵行为
图9-100启动冰之眼控制台
图9-101冰之眼软件主界面
实验五IP隐藏工具HideIPEasy
一、实验目的:
隐藏你的真实的IP,防止您的网上活动被监视或您的个人信息的被黑客窃取。
二、实验所需软件:
操作系统:
Wwindowsxp、WindowsServer
工具软件:
HideIPEasy
三、实验步骤:
1、安装:
安装所需要的软件如图9-102,双击HideIPEasy.exe文件安装,安装界面如图9-103,启动界面如图9-104,点击HideIP可以隐藏本地的IP。
图9-102安装需要的软件
图9-103安装界面
图9-104启动界面
实验六OpenVPN配置和使用
VPN的优点是对应用层透明,因此特别方便部署。
终端用户自己部署VPN典型的有三种方式:
IPSec方式、基于SSL的OpenVPN方式、PPTP/L2TP等拨号方式。
其中IPSec方式是IPv6强制要求的,OpenVPN是开源的,PPTP在Windows中支持。
实验目的
(1)掌握OpenVPN的部署和使用方法
(2)了解其它VPN的部署和使用方法
实验内容
(1)OpenVPN软件的安装
(2)基于共享秘密的OpenVPN
(3)基于公钥证书的OpenVPN(选做)
实验指导
OpenVPN通常被用来建立端到端的安全隧道。
OpenVPN使用SSL协议保护两端之间的通信,这样就充分利用了SSL的易用性,简化了管理成本。
IPSec是IPv6中内置的安全特性,可以用传输模式来保护IP分组的数据载荷部分。
11.3.1OpenVPN安装
OpenVPN是开放软件,可以运行在Windows、Linux等各种平台上。
下载可执行exe安装文件,安装OpenVPN过程中会在操作系统中添加一个虚拟网卡。
该网卡的比特传输(物理层)是用运行在实际网卡上的一条SSL连接模拟的。
另外,在Windows上还可以看到增加了一个名为OpenVPNService的后台服务项。
OpenVPN的配置文件是./conf/*.ovpn,每个文件对应着一个端到端连接。
注:
SSL协议结合使用公钥算法、对称算法和散列算法等密码算法,运行在TCP等可靠流协议之上,提供认证、加密和完整性等安全服务,可以把SSL协议看作是经过安全改造的TCP协议。
11.3.2基于共享秘密文件的OpenVPN
为了能建立VPN连接,需要指明鉴别认证手段,目前常用两种方式:
共享秘密或公钥证书。
下面是一个使用共享秘密的VPN客户端的配置文件实例:
remote211.86.49.238
port19201
devtap
dev-nodeOpenVPN_CARD_1
ifconfig192.168.0.2255.255.255.0
secretkey.txt
ping10
p-lzo
verb4
mute10
其中指明了远程VPN服务器的地址与端口号,本地虚拟网卡名字、IP地址与子网掩码,共享秘密文件的名字等。
秘密文件中一般是一个口令,或者别的不易被猜到的随机串,但是必须保证两端内容一致。
相应的服务端的配置文件只需要去掉第一行,并把其余诸行按照实际修正即可。
在两台机器上准备好配置文件和秘密文件后重起后台服务,使用192.168.0.0/24网段地址就可以ping通对方。
使用Sniffer工具查看实际网卡上的流量,就可以发现只能看到SSL协议的密文。
一个实际OpenVPN配置文件样例
OpenVPNClient
OpenVPNServer
要求和建议
必须使用Sniffer查看并核实其确实加密了。
如果VPN连接建立出错,相应的错误信息在./log/*.log文件中。
本实验可以两个同学联合试验,分别是客户端和服务端。
也可以1+n方式,即1个服务端,n个客户端,此时可以通过修正服务器的路由表,把它变成一个安全的路由器(或者更像一个交换机),让n个客户端之间互通。
{注:
理论上完全可以,实际效果有待验证。
}
如果尝试证书模式,建议使用OpenSSL中的工具产生密钥对与制作证书。
细节请查询网络。
.openssl.
实验六:
IPSecVPN配置与应用实验
一、实验名称和性质
所属课程
信息安全
实验名称
IPSecVPN配置与应用
实验学时
2
实验性质
□验证√综合□设计
必做/选做
√必做□选做
二、实验目的
理解IPSecVPN的工作原理。
了解IPSecVPN的应用。
掌握IPSecVPN实现的技术方法。
掌握IPSecVPN配置流程与应用。
三、实验的软硬件环境要求
多台运行WindowsServer2000操作系统的计算机连接成以太网,并ruvtyInternet。
四、实验内容
1.建立IPSecVPN连接,完成VPN服务哈哈大笑客户端配置。
2.测试连接后的IPSecVPN网络。
五、综合性实验
1.实验要求
掌握在WindowsServer2000操作系统中利用IPSec配置VPN网络的流程,包括服务器端和客户端的配置。
掌握IPSecVPN的应用。
2.实验步骤
(1)进入内置IP安全策略界面
点击“开始→程序→管理工具→本地安全设置”,如图4-22所示。
在右侧窗口中,可以看到默认情况下Windows内置的“安全服务器”、“客户端”、“服务器”3个安全选项,并附有描述,可以单击阅读对它们的解释。
在左面的窗口中,给出了安全设置的项目列表。
(2)安全策略配置
a)右击“IP安全策略,在本地机器”选项,选择“创建IP安全策略”,弹出如图4-23所示的IP安全策略界面。
b)点击“下一步”进入IP安全策略向导,如图4-24所示。
c)在“安全通信请求”界面中,选择清除“激活默认响应规则”复选框,如图4-25所示。
d)点击“下一步”,在“完成IP规则向导”界面中选中“编辑属性”,如图4-26所示。
e)单击“完成”,进入“IP安全策略属性”窗口,如图4-27所示,在“规则”标签页中单击“添加”按钮,进入“安全规则向导”首页,如图4-28所示。
(3)安全操作配置
进入创建IP“安全规则向导”首页后,按照提示,进行连续的单击“下一步”按钮操作,会依次完成下列设置:
a)隧道终结点,如图4-29所示。
这里选择“此规则不指定隧道”。
b)
网络类型,如图4-30所示。
这里选择“局域网(LAN)。
c)身份验证方法,如图4-31所示。
这里选择“预共享密钥”。
(4)建立新的IP筛选器列表
单击“下一步”按钮,进入“IP筛选器列表”页面,如图4-32所示,可以在这里设置哪些地址和网络协议的数据包使用IPSec安全连接。
a)添加IP筛选器
在“IP筛选器列表”中选择对哪种通信量进行筛选,单击“添加”按钮,弹出“IP筛选器列表”,如图4-33所示。
单击“添加”按钮,进入“IP筛选器向导”,在IP筛选器列表中添加一个IP筛选器,即可设置一个新的IP筛选器列表。
b)指定IP通信地址
●IP通信源,如图4-34所示。
选择“我的IP地址”做为IP通信的源地址。
●IP通信目标,如图4-35所示。
选择“一个特定的IP地址”做为IP通信的目的地址。
c)定义IP筛选器所过滤的协议,如图4-36所示。
选择任意类型。
单击“下一步”按钮,进入IP筛选器向导完成页面,如图4-37所示。
单击“完成”按钮,完成新IP筛选器列表建立,返回“安全规则向导”的“IP筛选器列表”页面,如图4-38所示。
图4-34指定IP通讯的源地址
图4-35指定IP通讯的目的地址
图4-36指定IP协议类型
(5)筛选器操作配置
筛选器列表的操作是指当有IP数据包符合筛选器中定义的条件时,IPSec对符合条件的数据包如何处理和如何操作。
a)进入筛选器操作。
在“IP筛选器列表”中选择“to29”,单击“下一步”按钮,进入“筛选器操作”页面,如图4-39所示。
b)筛选器操作配置。
在“筛选操作”列表框中选择一条筛选器操作(这里选择“许可”),单击“添加”按钮,弹出“筛选器操作向导”,如图4-40所示。
然后可以根据提示并连续单击“下一步”按钮,完成下面的配置:
●
筛选器操作名称,如图4-41所示。
填入筛选器操作的名称和描述。
●筛选器操作的常规选项,如图4-42所示。
这里选择“协商安全”,上其进行IPSec安全协商。
●不和不支持IPSec的计算机通信,如图4-43所示。
这里选择“不和不支持IPSec的计算机通信”,以要求必须在IPSec基础上进行连接。
●
IP通信安全设施,如图4-44所示。
决定进行通信过程中是否加密和完整性检验。
为了更加清楚其中采用的协议,这里选择“自定义”,然后单击“设置”按钮。
弹出“自定义安全措施设置”对话框,如图4-45所示,可以看到AH和ESP协议的不同功能,即AH协议不进行加密,而ESP可以进行加密和完整性检验,相关算法也都可以选择。
这里分别选择“SHA1”和“3DES”。
(6)选择筛选器
筛选器操作配置完成后,返回到“安全规则向导”的“筛选器操作”页面,如图4-46所示。
这里可以看到新建立的筛选器操作名称。
选中“to29”。
单击“下一步”按钮,即完成了新增IP安全规则向导的设置,进入“IP安全策略属性”页面,如图4-47所示。
这里会看到新增加的安全规则,操作者可以重新编辑,再度添加或删除某些规则。
(7)指派安全策略
单击图4-47中“关闭”按钮,弹出“本地安全设置”页面。
这里可以看到新增的一条IP安全策略。
右击新增的IP安全策略,选择“指派”,如图4-48所示。
在IPSec通信的两端都要进行相关的配置(互为源通信地址和目的通信地址),增加自定义的IP安全策略,即可实现IPSec安全加密通信。
升级会员 