网络安全实训指导.docx
《网络安全实训指导.docx》由会员分享,可在线阅读,更多相关《网络安全实训指导.docx(120页珍藏版)》请在冰豆网上搜索。
网络安全实训指导
《网络安全》实训指导
实验一ARP模拟攻击测试与流量分析
实验目的:
1、在不影响网络安全可靠运行的前提下,对网络中不同类型的协议数据进行捕获;
2、能对捕获到的不同类型协议数据进行准确的分析判断,发现异常;
3、快速有效地定位网络中的故障原因,在不投入新的设备情况下解决问题;
4、熟悉协议封装格式与原理,明确网络协议本身是不安全的。
实验要求:
1、复习网络层次与协议对应关系,协议封装,重点对ARP协议数据结构进行分析;
2、工具与软件选用:
安装SnifferPro软件、捕获前的设置;
3、捕获ARP协议数据,并进行分析;
4、明确ARP协议的缺陷,制定模拟ARP攻击方法;
5、实施ARP协议模拟攻击与攻击结果检查;
6、确定ARP攻击流量并加以分析;
7、针对此类攻击的防。
实验工具与软件:
1、协议分析软件Snifferpro;
2、ARP攻击器;
3、在实际工作中建议使用笔记本电脑配置一条直通双绞线和一条交换机配置线。
实验原理:
在以太网同一网段部,当一个基于TCP/IP的应用程序需要从一台主机发送数据给另一台主机时,它把信息分割并封装成包,附上目的主机的IP地址。
然后,寻找IP地址到实际MAC地址的映射,这需要发送ARP广播消息。
当ARP找到了目的主机MAC地址后,就可以形成待发送帧的完整以太网帧头(在以太网中,同一局域网的通信是通过MAC寻址来完成的,所以在IP数据包前要封装以太网数据帧,当然要有明确的目的主机的MAC地址方可正常通信)。
最后,协议栈将IP包封装到以太网帧中进行传送。
在下图中,当工作站1要和工作站4通信(如工作站1Ping工作站4)时。
工作站1会先检查其ARP缓存是否有工作站4的MAC地址。
如果没有,工作站1会发送一个ARP请求广播包,此包包含着其欲与之通信的主机的IP地址,也就是工作站4的IP地址。
当工作站4收到此广播后,会将自己的MAC地址利用ARP响应包传给工作站1,并更新自己的ARP缓存,也就是同时将工作站1的IP地址/MAC地址对保存起来,以供后面使用。
工作站1在得到工作站4的MAC地址后,就可以与工作站4通信了。
同时,工作站1也将工作站4的IP地址/MAC地址对保存在自己的ARP缓存。
图1实验拓扑结构
如果想查看ARP缓存中的所有记录,可以在用命令“arp-a”;如果想清除ARP缓存中的动态记录,可以在用命令“arp-d”。
ARP攻击的特点是:
当同一局域网的一台或多台计算机感染了ARP攻击程序后,会不断发送伪造的ARP攻击包,如果这个攻击包的源MAC地址伪造为一个假的MAC地址(M1),源IP伪造成网关的IP地址,目的MAC为广播地址。
这样所有同一网段的主机都会收到,误以为网关的MAC地址已经变为M1,于是进行ARP缓存更新,把网关的真实IP与这个假的MAC地址进行关联。
当这些被攻击的主机想进行外部网络访问时会把数据送到网关,即封装网关的IP与MAC,主机会先查询本机的ARP缓存记录,查找网关IP对应的MAC地址,由于这个MAC是假的,所以外发的数据无法送达网关。
因此,造成的现象就是被攻击的主机无法访问外网或互联网。
实验步骤:
1、网络协议分析软件snifferpro的安装
第一步:
安装过程也很简单,双击安装程序,下一步,进入安装界面,下一步,出现许可协议,这些是软件安装的通用的步骤了,YES同意即可。
接下来要求名称各公司输入即可。
第二步:
下一步后,选择并设置安装的目的路径后再下一步。
就开始安装了。
第三步:
接下来要求填写个人信息:
、商业、电子等,填写完成后就可以下一步了。
接下来还是要求填写个人联联系方式:
地址、城市、国家、、等,填写完成后就可以下一步了。
需要注意的是各项目在填写时注意格式,字母与数字要区分开。
图2图3
第四步:
接下来会问是如何了解本软件的?
选择一个。
最后的序列号要正确填写。
图4
第五步:
接下来是通过网络注册的提示。
第六步:
由于我没有连网所以出现下面的界面,即无法连接,这不防碍软件的使用,只是注册用。
图5图6
第七步:
下一步后,出现注册结果,点完成就可以结束snifferpro安装了。
出现提示要求IE5支持,接受即可,最后点完成,询问是否重启,重启后软件就可以使用了。
图7
2、网络协议分析软件snifferpro的配置
启动snifferpro软件,在主窗口的工具栏上点选捕获设置(DefineFilter)按钮,可以对要捕获的协议数据设置捕获过滤条件。
默认情况下捕获所有从指定网卡接收的全部协议数据。
捕获到数据后停止查看按钮会由灰色不可用状态变为彩色的可用状态。
图8
选择停止查看按钮会出现如下图所示对话框,选择最下面的Decode选项卡。
即可以看捕获后的数据的解码。
图9图10
3、下面利用Sniffer Pro软件对ARP协议进行分析。
在工作站1上进行,分析步骤如下:
1)设置Sniffer Pro捕获ARP通信的数据包(工作站1与工作站4之间)在工作站1上安装并启动Sniffer Pro软件,并设置捕获过滤条件(DefineFilter),选择捕获ARP协议。
如图11所示:
图11
2)要想工作站1发送ARP请求给工作站4,并得到ARP回应,首先要确保工作站1的ARP缓存中没有工作站4的记录,所以先在工作站1上利用“arp-a”查看一下是否有此记录,如果有,则利用”arp–d”清除,为了看到效果在执行完清除命令后可以再执行一下“arp-a”看是否已经清除,这里不再重复了。
3)确认已经清除工作站1的ARP缓存中关于工作站4的IP与MAC地址对应关系记录后,就可以启动Sniffer Pro进行协议数据捕获了。
4)在没有互相通信需求下,工作站1是不会主动发送ARP请求给工作站4,所以也就捕获不到ARP的协议数据,此时要在工作站1与工作站4之间进行一次通信,如可以在工作站1上ping工作站4,即:
ping10.1.103.4。
5)命令执行过程结果如图12所示:
图12
6)有ICMP数据回应后可以发现,Sniffer Pro已经捕获到了协议数据。
选择停止并查看,结果如图13所示,工作站1发送给工作站4的ARP查询请求数据帧的具体协议数据:
图13捕获到的ARP请求数据解码
7)工作站4应答工作站1的ARP回应数据帧的具体协议数据格式所图14所示:
图14捕获到的ARP回应数据解码
4、ARP协议攻击模拟
下面利用Sniffer Pro软件进行基于ARP协议的攻击模拟,即让图1中的所有主机不能进行外网访问(无法与网关通信),下面在工作站1上实施攻击模拟,步骤如下:
1)要进行模拟实施攻击,首先要构造一个数据帧,这很麻烦,这时可以捕获一个ARP的数据帧再进行改造(可以捕获一个网关的ARP数据帧)。
设置Sniffer Pro捕获ARP通信的数据包(工作站1与网关之间)在工作站1上再次启动Sniffer Pro软件,并设置捕获过滤条件(DefineFilter),选择捕获ARP协议。
2)要想工作站1发送ARP请求给网关,并得到ARP回应,首先启动Sniffer Pro捕获,然后利用”arp–d”清除ARP缓存。
3)在没有互相通信需求下,工作站1是不会主动发送ARP请求给网关的,所以也就捕获不到ARP的协议数据,此时要在工作站1与网关之间进行一次通信,如可以在工作站1上ping网关,即:
ping10.1.103.254。
4)有ICMP数据回应后可以发现,Sniffer Pro已经捕获到了协议数据。
选择停止并查看,在第1帧数据包(具体数据结构参见图17)上点击右键,并选择“SendCurrentFrame…”。
如图15所示
图15Sniffer Pro捕获到的工作站1发出去的ARP请求数据帧
5)出现如图16所示对话框,其中的数据(Data)即是工作站1发出去查询网关MAC地ARP请求数据,已经放入发送缓冲区,此时可以进行修改了。
图16
图17工作站1发出去的ARP请求数据帧数据
6)数据(Data)是工作站1发出去查询网关MAC地ARP请求数据,具体解释参见图18。
图18图19
7)对工作站1发出去查询网关MAC地ARP请求数据(Data)进行如图17所示的伪造修改,即这个帧是被伪造为网关IP(10.1.103.254)地址和MAC地址(伪造为假的:
6)发出去的查询10.1.103.153(十六进制数为:
0a016799)的MAC地址的ARP广播帧,这样所有本地网段的主机都会收到并更新记录,以为网关(IP为10.1.103.254)的MAC地址变为了6,并将这一错误关联加入各自的ARP缓存中(包括工作站自身)。
8)修改后的帧缓冲区中的数据如图19所示,修改后在发送(Send)次数下选择连续发送(Continuously),发送类型(SendType)下选择每隔10毫秒一次。
后点击确定,伪造的数据帧即开始按此间隔时间不断发送了,想停止发送按图11所示操作即可,这里先不停止。
5、ARP模拟攻击与结果检查
1)在工作站1上通过远程桌面连接到工作站4,在未发送伪造的数据帧之前工作站4是可以和网关10.1.103.254进行通信,当启动包生成器发送伪造的数据帧后,还能PING通网关了,在工作站4上用“arp-a”命令查看网关IP对应的MAC地址已经变为网络中不存在的伪造的MAC地址:
6。
所以无法访问网关也无法进行外网连接了,如图十九所示。
图20
此时在工作站1上用“arp-a”命令查看网关IP对应的MAC地址也已经变为网络中不存在的伪造的MAC地址:
6。
2)此时,停止发送伪造帧,即停止攻击,并分别在两台工作站上执行“arp-d”命令,重新PING网关后又可以进行连接并访问外网了。
至此针对ARP协议的分析、捕获与模拟攻击过程结束。
6、流量分析
1)在工作站1上开启SnifferPro并设置对ARP协议进行捕获,启动捕获。
2)开启WinArpAttacker软件,先进行Scan扫描本局域网的存活主机。
在要攻击的目标主机前选中,然后选择Attack-BanGateway。
这里选择两台目标主机(10.1.103.4和10.1.103.5)。
3)这时发现SnifferPro已经捕获到数据了,如图14所示,其中有四个数据帧,图中解码的为对10.1.103.4的攻击过程。
4)攻击过程是:
工作站1以假的源MAC地址
(1)为源给网关发一个ARP包,欺骗网关,使网关会误认为工作站1的IP地址是:
10.1.103.4,MAC地址是:
1(同时交换机的CAM表也更新)。
工作站1以假的源MAC地址
(1)为源给工作站4发一个ARP包,欺骗其,使工作站4会误认为网关的IP地址10.1.103.254,对应的MAC地址是:
1。
5)攻击的结果是:
网关发给工作站4的数据发到了工作站1;工作站4发给网关的数据也发到了工作站1(MAC:
1)。
6)分析:
这种攻击方式与前面的SnifferPro软件模拟的是一个原理。
只是目的不同,这个更为复杂一些。
图21
实验报告容:
1.学会sniffer的安装和使用。
2.要会伪造数据包,发送数据包实施ARP攻击。
3.针对ARP攻击,会采取方法防守。
实验二利用PGP实施非对称加密
实验目的
1.掌握保护文件在通过互联网传输时不被其它人看到,即对性保护方法。
2.能对保护文件在通过互联网传输时的不被修改或破坏,即提供完整性保护方法。
3.接收者能确认出发送此文件的人是谁,即为源认证提供保护。
4.能合理选用加密算法,区分对称与非对称加密。
了解不同加密算法的应用场合。
实验要求:
1.对两种加密算法的理解、分析与对比,能对两种加密算法的综合运用提出自己的观点。
学会数据的性、完整性与源认证进行保护方法。
2.能利用PGP软件,生成密钥对,并能导入导出公钥,正确对文档进行加密与签名处理,实现对数据的性、完整性与源认证进行保护。
3.对文档加密与签名的安全防护措施有效并符合标准与规。
4.能够采用正确的方法对加密措施进行检查,并能说明查验过程中的各步骤理论依据。
实验工具与软件:
1.对称加密类软件Apocalypso;
2.加密软件PGP。
实验原理:
加密是指将数据进行编码,使它成为一种按常规不可理解的形式,这种不可理解的容叫密文。
解密是加密的逆过程,即将密文还原成原来可理解的形式。
数据加密技术的关键元素包括加密算法和密钥。
加密算法是一组打乱和恢复数据的指令集或一个数学公式。
密钥则是算法中的可变参数。
对同样的明文,可使用不同的加密算法。
即使使用一样的加密算法,如果使用的密钥不同也会得出不同的密文。
1、对称密钥加密体制
对称密钥加密技术使用一样的密钥对数据进行加密和解密,发送者和接收者用一样的密钥。
图1
1)对称加密算法
现在对称加密算法已经很多,通过特殊的数学算法实现,强度增加,包括:
DES、3DES(TripleDES)、AES、RC等。
∙对称密钥加密技术的典型算法--DES
算法描述:
对称密钥加密技术的典型算法是DES(DataEncryptionStandard数据加密标准)。
DES的密钥长度为56bit,其加密算法是公开的,其性仅取决于对密钥的。
对称加密算法DES,其分组长度位64位,实际的密钥长度为56位,还有8位的校验码。
DES算法由于其密钥较短,随着计算机速度的不断提高,使用穷举法进行破解成为可能。
∙对称密钥加密技术的典型算法--IDEA
IDEA(InternationalDataEncryptionAlgorithm国际数据加密算法)
IDEA是一个迭代分组密码,分组长度为64比特,密钥长度为128比特。
IDEA密码中使用了以下三种不同的运算:
逐位异或运算;模216加运算;模216+1乘运算,0与216对应。
IDEA算法的密钥长度为128位。
设计者尽最大努力使该算法不受差分密码分析的影响,数学家已证明IDEA算法在其8圈迭代的第4圈之后便不受差分密码分析的影响了。
假定穷举法攻击有效的话,那么即使设计一种每秒种可以试验10亿个密钥的专用芯片,并将10亿片这样的芯片用于此项工作,仍需1013年才能解决问题;另一方面,若用1024片这样的芯片,有可能在一天找到密钥,不过人们还无法找到足够的硅原子来制造这样一台机器。
目前,尚无一片公开发表的试图对IDEA进行密码分析的文章。
因此,就现在来看应当说IDEA是非常安全的。
∙对称密钥加密技术的典型算法--3DES
TDES(TrialDataEncryptionStandard数据加密标准)。
三倍DES(3DES)是DES的增强型,它能够有效的运行168位的密码。
DES和3DES都广泛的应用于商业和非安全部门的通信。
∙对称密钥加密技术的典型算法—RC-5
RC-5(RivestCipher5)
∙对称密钥加密技术的典型算法—Blowfish
目前,在网络安全防护应用中,如路由器中配置VPN中常用的对称加密算法主要是DES和3DES,虽然DES有被破解的可能,但也足已满足实际中的需求。
关于以上对称加密在算法的详细介绍可以在互联网上获取帮助。
2)对称密钥加密体制特点分析:
优点:
加密处理简单,加密解密速度快
通常算法的特点决定对称加密比非对称加密算法要简单,在硬件加密的实现上也较容易,成本也较低。
例如思科的VPN集中器低端产品采用的是软件加密,但对大用户需求的网络中,要采用基于硬件加密设计的高端思科的VPN集中器产品。
缺点:
密钥管理困难
举例说明:
如果有N个人,要想两两间进行加密通信,则每一方至少要有保管N-1个密钥。
当然数量上的差别并不是主要的,最重要的是密钥的维护与管理上。
2、非对称加密
1)非对称加密(也称公钥加密体制)
非对称密钥加密系统,又称公钥和私钥系统。
其特点是加密和解密使用不同的密钥。
发送端用接收端的公钥加密后发给接收端,接收端用自己的私钥解密。
图2
非对称加密算法的核心就是加密密钥不等于解密密钥,且无法从任意一个密钥推导出另一个密钥,这样就大大加强了信息保护的力度,而且基于密钥对的原理很容易的实现数字签名和电子信封。
公钥是公开的,可以发布给多个通信方,私钥是的由生成者保管,非对称加密系统的关键是寻找对应的公钥和私钥,并运用某种数学方法使得加密过程成为一个不可逆过程。
也就是说具有如下的特点:
∙用公钥加密的信息只能用与该公钥配对的私钥才能解密
比如A向B发送信息,B的公钥是公开的,那么A用B的公钥对信息进行加密,发送出去,因为只有B有对应的私钥,所以信息只能为B所读取。
即使A再用B的公钥也无法解出原信息。
∙用私钥加密的信息只能用与该私钥配对的公钥才能解密(是验证)
比如A向B发送信息,A用自己的私钥对信息进行加密(签名)发送出去,B用A的公钥可以解密签名,所以B可以确认信息是A所发送来的。
因为A公钥只能解密A的私钥加密的信息(签名)。
2)非对称加密典型算法
(1)非对称密钥加密技术的典型算法或公钥体制—RSA
RSA(算法的名字以发明者RonRivest,AdiShamir和LeonardAdleman);RSA公钥体制的构造是基于欧拉(Eular)定理,经常用于数字签名、密钥管理和认证等方面。
适用于数字签名和密钥交换。
(2)非对称密钥加密技术的典型算法或公钥体制—Elgamal
Elgamal公钥体制的公钥加密算法是非确定性的,即使加密一样的明文,得到的明文也是不同的,因此又称为概率加密体制。
(3)非对称(3)密钥加密技术的典型算法或公钥体制—DSA
DSA算法仅适用于数字签名。
目前,在网络安全防护应用中,路由器配置VPN中常用的非对称加密算法主要是RSA和DSA(这两种算法主要用于数字签名,即进行源认证,其根本原理是私钥加密签名,对应的公钥进行验证)。
关于以上非对称加密在算法的详细介绍可以在互联网上获取帮助。
3)非对称密钥加密体制特点分析
优点:
(1)解决了密钥管理问题,通过特有的密钥发放体制,使得当用户数大幅度增加时,密钥也不会向外扩散;
(2)由于密钥已事先分配,不需要在通信过程中传输密钥,安全性大大提高;
(3)具有很高的加密强度。
缺点:
加密、解密的速度慢
实验步骤:
1、加密工具软件介绍
PGP,全称PrettyGoodPrivacy,信息安全传输领域加密软件,技术上采用了非对称的“公钥”和“私钥”加密体系。
软件的主要使用对象为具有一定商业的企业、政府机构、信息安全工作者。
PGP最初的设计主要是用于加密,如今已经发展到了可以加密整个硬盘、分区、文件、文件夹、集成进软件进行加密,甚至可以对ICQ的聊天信息实时加密!
双方安装了PGP,就可利用其ICQ加密组件在和对方聊天的同时进行了加密或解密,保证了你聊天信息不被窃取或监视。
下面介绍软件的安装与设置。
1)软件安装1:
软件的安装很简单,只是有几处需要解释一下,解压缩后,双击或运行安装程序后,进入安装界面,显示欢迎信息,选择“NEXT”,然后出现许可协议,这里阅读后选择接受,即“YES”,进入提示安装PGP所需要的系统、以与软件配置情况的界面,建议阅读一下,特别是那条警告信息:
“Warning:
ExportofthissoftwaremayberestrictedbytheU.S.Government(此软件的出口受美国政府的限制)。
继续点NEXT按钮,出现创建用户类型的界面,选择“NEXT”。
图2
安装程序会提示用户,是否已经有了密钥,如果安装过PGP可能计算机中存在密钥,这就可以再利用了。
如果没有安装过PGP则这里选择如下图所示中的,“NoI’manewuser”,然后选择“NEXT”,出现程序的安装目录,建议将PGP安装在安装程序默认的目录,也就是系统盘,程序很小。
再次点“NEXT”按钮,出现选择PGP组件的窗口,安装程序会检测你系统所安装的程序,如果存在PGP可以支持的程序,它将自动为你选中该支持组件,如图所示。
PGP可以和Outlook结合完成的加密
图3
最后安装过程按提示选择“NEXT”,最后提示重启系统即可完成安装。
重新启动系统进后,系统会启动PGP许可验证,PGP已经在开始->所有程序->启动,加入了启动项。
输入购买时的产品相关LicenseNumber等信息。
也可以选择试用,即Later。
图4
2)密钥对(公钥和私钥)生成
安装完成后会出现密钥生成向导,下一步后要求输入用户全名和地址,接下来会提示要求输入用于保护私钥的密码,此密码不能少于8位,并要求进行确认一遍,即重复一遍。
在Passphrase处输入你需要的密码,Confirmation(确认)处再输入一次长度必须大于8位,建议为12位以上。
接下来进入KeyGenerationProgress(密钥生成阶段),等待主密钥(Key)和次密钥(Subkey)生成完毕(Done)。
点击“下一步”按钮,进入CompletingthePGPKeyGenerationWizard(完成该PGP密钥生成向导)再点“完成”按钮,则密钥创建并设置好了。
图5
3)密钥查看
通过开始程序中的PGP中启动PGPkeys,可以看到密钥的一些基本信息,如:
Validity(有效性,PGP系统检查是否符合要求,如符合,就显示为绿色)、Trust(信任度)、Size(大小)、Description(描述)、KeyID(密钥ID)、Creation(创建时间)、Expiration(到期时间)等(这些信息,可以在菜单组“VIEW(查看)”中并选择里面的全部选项),如图所示:
图6
4)重新创建密钥对
通过PGP程序窗口中的Keys菜单,可以重新生成另外一对密钥,如下图所示:
图7
5)导出并发布自己的公钥
通过PGP程序窗口中的Keys菜单,选择Export可以导出当前选中的密钥对中的公钥(出果在导出到文件的窗口下边选择IncludePravateKey则导出了公钥和私钥,一般情况下不需要导出私钥),如下图所示:
图8
6)导出并发布自己的公钥
需要注意的是,一个用户对应的密钥以“密钥对”形式存在,其中包含了一个公钥(公用密钥,可分发给任何人,别人可以用此密钥来对要发给此密钥的拥有者的文件或者等进行加密)和一个私钥(私有密钥,只有此密钥的拥有者一人所有,不可公开分发,此密钥用来解密用此密钥的拥有者的公钥加密的文件或)。
现在要从这个“密钥对”导出包含的公钥。
也可以单击显示有创建的用户右键,选择“Export…(导出)”,在出现的保存对话框中,确认是只选中了“Include6.0Extensions”(包含6.0公钥),然后选择一个目录,再点“保存”按钮,即可导出你的公钥,扩展名为.asc。
导出后,就可以将此公钥放发布出去(如利用FTP),发给通信的对方,有重要的或者重要文件的要发的时候,通过PGP使用此公钥加密后再发回来,这样就能防止被窃取隐私或者商业,即使获得了,也无法解密出来容是什么。
2、工作任务实施
1)需求描述
广告公司文案德华先生要把一份广告创意方案书要通过电子发给其外地客户曼玉女士,出于商业性考虑,为了保护这份方案书,德华先生想到了你-网络安全工程师,并提出如下需求:
要保护这份方案通过互联网传到曼玉的过程中不被其它人看到(性保护);同时,要保证这份方案书传输过程中不被其它人修改或破坏(完整性保护);最后
升级会员 