1实验报告手册信息安全技术范文.docx
《1实验报告手册信息安全技术范文.docx》由会员分享,可在线阅读,更多相关《1实验报告手册信息安全技术范文.docx(59页珍藏版)》请在冰豆网上搜索。
1实验报告手册信息安全技术范文
河南工程学院
计算机学院
信息安全技术
实验报告册
学期:
课程:
专业:
班级:
学号:
姓名:
指导教师:
1.实验一:
wireshark网络侦听和pcap编程
1.1.实验学时:
2个
1.2.实验目的
(1)熟悉网络监听的原理与技术。
(2)熟悉wireshark的基本使用方法。
(3)熟悉网络监听的用途与后果。
1.3.实验环境
每2位学生为一个实验组,使用2台安装Windows2000/XP的PC机,通过局域网互联,IP网络为192.168.1.0/24。
其中一台(192.168.1.101)安装SnifferPro4.7.5,记为A,实验环境的网络拓扑如图1所示。
图1网络监听实验拓扑
1.4.实验要求
1、实验任务
(1)安装和运行网络监听软件。
(2)使用和测试wireshark的常用功能。
(3)记录并分析实验结果。
2、实验预习
(1)预习本实验指导书,深入理解实验的目的与任务,熟悉实验步骤和基本环节。
(2)复习有关网络监听的基本知识。
3、实验报告
(1)简要描述实验过程。
(2)实验中遇到了什么问题,如何解决的。
(3)在一台主机上安装防火墙,另一台主机再进行嗅探,看是否还能接收信息。
如果不能,分析其原因并详细写出来。
(4)根据网络监听的工作原理,讨论针对网络监听的防范措施,并加以实施和效果分析。
(5)实验收获与体会。
1.5.实验背景
1.5.1.基础知识
网络监听也称为嗅探,作为一种发展比较成熟的技术,在协助网络管理员监测网络传输数据及排除网络故障等方面具有不可替代的作用。
然而,网络监听也给以太网带来了极大的隐患,许多网络入侵往往都伴随着以太网内网络监听,从而造成口令失窃、敏感数据被截获等安全事件。
网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关或远程网中的调制解调器等。
监听效果最好的地方是在网关、路由器、防火墙一类的设备上,通常由网络管理员来操作。
网络监听工具在功能和实际使用方面有多不同,有些只能分析一种,有些则能分析几百种。
大多数的网络监听工具都能分析标准以太网、TCP/IP、IPX和DECNet等。
通常,网络监听可以提供如下一些功能。
(1)自动从网络中过滤及转换有用的信息。
(2)将截取的数据包转换成易于识别的格式。
(3)对网络环境中的通信失败进行分析。
(4)探测网络环境下的通信瓶颈。
(5)检测是否有黑客正在攻击网络系统,以阻止其入侵。
(6)记录网络通信过程。
1.5.2.网络监听工具wireshark简介
wireshark网络故障和性能管理解决方案,网络专业人士可以使用它对多拓扑结构和多协议网络时行维护、故障解决、优化调整和扩展。
wireshark软件可以在台式计算机、便携式计算机或者笔记本计算机等硬件平台上运行,并且可以利用高级自定义硬件组件确保全线速的捕获能力。
1.6.实验步骤
1.6.1.安装wireshark
在主机A上运行wireshark的安装程序。
1.6.2.操作与测试
wireshark的主要功能包括:
●监视功能:
用于计算并显示实时网络通信量数据。
●捕获功能:
用于捕获网络通信量并将当前数据包存储在缓冲区(或者文件)中,以备将来分析使用。
●实时专家系统分析功能:
用于在捕获过程中分析网络数据包,并对潜在的问题发出警告。
●显示功能:
用于解码和分析捕获缓冲区中的数据包,并用各种格式加以显示。
本实验主要了解其监视功能。
1.6.2.1.用Sniffer工具观察协议分组
观察ARP、UDP、TCP、DNS、HTTP、FTP、POP3、SMTP等协议的网络分组格式。
这些标准格式的协议分组Sniffer程序都可以解析。
其它程序使用自己的报文格式,比如QQ报文等则一般不能被解析。
为了观察特定的分组,开启Sniffer,制造期望的分组。
方法:
1)ping一个本网段但是未开机的机器的IP地址,可以引发ARP报文。
2)ping一个最近未曾访问过的网站的域名,可引发本机和DNS服务器之间的交互,可以观察到DNS报文,它是封装在一个UDP报文中的。
3)FTP到某个站点,可以观察FTP流量。
4)访问某个网页,可以制造HTTP流量,顺便可以看到TCP会话,包括三次握手的过程。
也可能会有DNS报文。
5)使用Outlook或Foxmail收发邮件,可以引发POP3和SMTP流量,都是封装在TCP协议中。
1.6.2.2.观察口令
推荐三类可以观察到口令的情形。
1)邮件口令。
使用Outlook或Foxmail收发邮件,可以捕获账户口令的明文。
当然也可以看到邮件正文,不过大部分是编码过的,不能直接看懂。
2)Web邮件口令。
很多人习惯使用Web界面的邮件。
捕获登录并查看Web邮件的流量,可以看到明文口令和邮件正文内容。
3)登录注册论坛等。
登录学习论坛,记录流量,一般可以观察到帐号和口令。
1.6.2.3.开发
在Linux下可以使用libpcap库编程实现包捕获功能。
一个现成可参考的例子就是基于libpcap的tcpdump,它是开源的。
Windows下一般使用Winpcap,它是libpcap的移植版本,大部分接口函数相同。
Windump基于Winpcap是tcpdump的翻版。
Winpcap是开源的,提供开发包以及示例程序的源文件。
请下载winpcap的开发包,编译并运行其中的示例程序,然后观察源程序及相关文档,试演并提炼出简短报告,内容包括:
1)winpcap库的用法说明。
2)一个包捕获程序的基本框架,要说明所调用的winpcap关键函数。
选做:
发送分组(帧),实现假冒和重放。
1.7.实验报告
请根据1.4节在下面撰写实验报告。
2.实验二网络攻击与防范实验
2.1.实验目的
(1)理解入侵检测的作用和检测原理。
(2)理解误用检测和异常检测的区别。
(3)掌握Snort的安装、配置和使用等实用技术。
2.2.实验环境
每2位学生为一个实验组,使用2台安装Windows2000/XP的PC机,通过局域网互联,IP网络为192.168.1.0/24。
其中一台(192.168.1.100)上安装Windows平台下的Snort2.8.1软件,另一台的IP地址为192.168.1.101。
实验环境的网络拓扑如图2所示。
图2入侵检测实验拓扑
2.3.实验要求
1、实验任务
(1)安装和配置入侵检测软件。
(2)查看入侵检测软件的运行数据。
(3)记录并分析实验结果。
2、实验预习
(1)预习本实验指导书,深入理解实验的目的与任务,熟悉实验步骤和基本环节。
(2)复习有关入侵检测的基本知识。
3、实验报告
(1)简要描述实验过程。
(2)实验中遇到了什么问题,如何解决的。
(3)分析入侵检测系统在网络安全方面的作用。
(4)实验收获与体会。
2.4.实验背景
2.4.1.基础知识
入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统(IntrusionDetectionSystem,IDS)是完成入侵检测功能的软件和硬件的集合。
随着网络安全风险系数不断揭帖,防火墙作为最主要的安全防范手段已经不能满足人们对网络安全的需求。
作为对防火墙极其有益的补充,位于其后的第二道安全闸门IDS能够帮助网络系统快速发现网络攻击的发生,有效扩展系统管理员的安全管理能力及提高信息安全基础结构的完整性。
IDS能在不影响网络及主机性能的情况下对网络数据流和主机审计数据进行监听和分析,对可疑的网络连接和系统行为进行记录和报警,从而提供对内部攻击、外部攻击和误操作的实时保护。
2.4.2.入侵检测软件Snort简介
Snort是一款免费的NISD,具有小巧、易于配置、检测效率高等我,常被称为轻量级的IDS。
Snort具有实时数据流量分析和IP数据包日志分析能力,具有跨平台特征,能够进行协议分析和对内容的搜索或匹配。
Snort能够检测不同的攻击行为,如缓冲区溢出、端口扫描和拒绝服务攻击等,并进行实时报警。
Snort可以根据用户事先定义的一些规则分析网络数据流,并根据检测结果采取一定的行动。
Snort有3种工作模式,即嗅探器、数据包记录器和NIDS。
嗅探器模式仅从网络上读取数据包并作为连续不断的数据流显示在终端上;数据包记录器模式把数据包记录到硬盘上,以备分析之用;NIDS模式功能强大,可以通过配置实现。
2.5.实验步骤
2.5.1.安装和配置轻量级IDS软件Snort
由于需要对网络底层进行操作,安装Snort前需要预先安装WinpCap(WIN32平台上网络分析和捕获数据包的链接库)。
WinpCap的下载地址为:
http:
//winpcap.polito.it/.(由于之前做Nmap实验时已经安装了,可不必再安装)
(1)从www.snort.org网站下载Windows平台下的Snort安装程序,双击安装程序进行安装,选择安装目录为D:
\Snort。
(2)进行到选择日志文件存时,为简单起见,选择不需要数据库支持,或者选择Snort默认的MySQL和OCBC数据库的方式。
(3)单击“开始”菜单,选择“运行”命令,输入cmd并按回车键,在命令行方式下输入如下命令:
C:
\DocumentsandSettings\Administrator>D:
D:
\>cdSnort\bin
D:
\Snort\bin>snort–W
如果Snort安装成功,系统将显示出如图3所示的信息。
图3查看网卡信息
(4)从返回的结果可知主机上有哪个物理网卡正在工作及该网卡的详细信息。
图2中显示的第二个是具有物理地址的网卡。
输入snort-v–i2命令启用Snort。
其中,-v表示使用Verbose模式,把信息包打印在屏幕上;-i2表示监听第二个网卡。
如图4所示。
图4启用Snort
(5)为了进一步查看Snort的运行情况,可以人为制造一些ICMP网络流量。
在局域网的另一台主机上使用Ping指令,探测Snort的主机。
(6)回到运行Snort的主机,可以发现Snort已经记录了这次探测的数据包。
例如图5所示,Snort在屏幕上输出了从172.16.7.1到172.16.7.4的ICMP数据包头。
图5Snort监测到的数据包
(7)打开D:
\Snort\etc\snort.conf,设置Snort的内部网络和外部网络网络检测范围。
将Snort.conf文件中的varHOME_NETany语句的any改为自己所在的子网地址,即将Snort监测的内部网络设置为所在的局域网。
如本地IP为172.16.7.4,则改为172.16.7.0/24。
(8)配置网段内提供网络服务的IP地址,只需要把默认的$HOME_NET改成对应的主机地址即可。
varDNS_SERVERS$HOME_NET
varSMTP_SERVERS$HOME_NET
varHTTP_SERVERS$HOME_NET
varSQL_SERVERS$HOME_NET
varTELNET_SERVERS$HOME_NET
varSNMP_SERVERS$HOME_NET
如果不需要监视类型的服务,可以用#号将上述语句注释掉。
(9)在Snort.conf文件中,修改配置文件classification.config和reference.config的路径:
includeD:
\snort\etc\classification.config
includeD:
\snort\etc\reference.config
其中classification.config文件保存的是规则的警报级别相关的配置,reference.config文件保存了提供更多警报相关信息的链接。
2.5.2.操作与测试
(1)Snort嗅探器模式
检测Snort安装是否成功时,用到的就是Snort嗅探器模式。
输入命令如下:
snort-v-i2
使Snort只将IP和TCP/UDP/ICMP的包头信息输出到屏幕上。
如果要看到应用层的数据,可以输入如下命令:
snort-v–e-i2
如图6所示。
图6Snort的嗅探器模式
如果需要输出更详细的信息,输入命令:
snort-v–e-i1(或i2)
可以显示数据层的信息。
(2)数据包记录器模式
上面的命令只是在屏幕上输出,如果要记录在LOG文件上,需要预先建立一个Log目录。
输入下面的命令数据包记录器模式:
snort-dve-i2-ld:
\Snort\log-h172.16.7.0/24-Kascii
其中,-l选项指定了存放日志的文件夹:
-h指定目标主机,这里检测对象是局域网段内的所有主机,如不指定-h,则默认检测本机;-K指定了记录的格式,默认是Tcpdump格式,此处使用ASCII码。
在命令行窗口运行了该指令后,将打开保存日志的目录。
在Log目录下自动生成了许多文件夹和文件,文件夹是以数据包主机的IP地址命名的(如图7所示),每个文件夹下记录的日志就是和该外部主机相关的网络流量。
打开其中任一个,使用记事本查看日志文件,会发现文件的内容和嗅探器模式下的屏幕输出类似,如图8所示。
图7Snort数据包记录器模式记录的日志
图8Snort数据包记录器模式下日志的内容
2.6.实验报告
请根据2.3节在下面撰写实验报告。
3.实验三:
数据备份与恢复实验
3.1.实验目的
熟悉利用备份工具和还原工具进行数据备份以及恢复。
3.2.实验环境
3.2.1.背景描述
某企业使用NAS共享的方法进行数据存储,由于部分文件比较重要,希望能对这部分文件进行备份,同时希望能将备份文件拷贝到不同的存储设备上以实现异地容灾。
工程师在了解了需求后建议采用ntbackup工具进行数据备份和恢复。
3.2.2.需求分析
需求1:
进行数据备份,并且备份文件可以拷贝到其他存储设备。
分析1:
采用ntbackup工具可以对文件进行备份和恢复,并且备份文件可以拷贝到移动存储设备中离线保存。
3.2.3.实验拓扑
3.2.4.实验环境
●硬件环境:
DesktopPC或notebookPC、以太网络连接
●软件环境:
Windows2003serverPC两台(虚拟机,充当RG-IS-LAB1和LAB2),IP地址必须设置为静态地址,可自定义,需要确保在一个网段。
●合作小组:
无。
3.3.实验要求
1、实验任务
(1)安装和配置ntbackup。
(2)查看ntbackup的运行数据。
(3)记录并分析实验结果。
2、实验预习
(1)预习本实验指导书,深入理解实验的目的与任务,熟悉实验步骤和基本环节。
(2)复习有关数据备份的基本知识。
3、实验报告
(1)简要描述实验过程。
(2)实验中遇到了什么问题,如何解决的。
(3)分析数据备份在网络安全方面的作用。
(4)实验收获与体会。
3.4.实验背景
3.4.1.实验原理
当系统硬件或存储媒体发生故障时,“备份”程序有助于防止数据意外丢失,利用“备份”程序可以创建硬盘中数据的副本,然后将数据存储到其他存储设备。
备份存储介质可以是硬盘、单独的存储设备等。
如果硬盘上的原始数据被意外删除或覆盖,或因为硬盘故障不能访问该数据,那么利用还原工具可以很方便的从存档副本中还原该数据。
3.4.2.实验流程
3.5.实验步骤
3.5.1.建立网络映射磁盘
在RG-iS-LAB2中配置共享文件夹中,并将此共享文件夹映射为RG-iS-LAB1的网络磁盘。
映射完成后,请将此网络磁盘所在的“我的电脑”窗口打开并截图。
3.5.2.对RG-iS-LAB1的文件进行备份
在RG-iS-LAB1中调出“运行”窗口,输入命令ntbackup,弹出备份向导窗口,将“总是以向导模式启动”前面的选择去掉,按“取消”关闭窗口,然后重新运行命令ntbackup,启动备份工具,如下图所示。
点击“备份向导”,进入备份向导界面,“下一步”后选择需要备份的内容,如下图所示。
在本实验中,我们进行选定文件的备份。
选择“备份选定的文件、驱动器或网络数据”后,单击“下一步”,弹出要备份项目选择窗口,选择需要备份的文件路径(例如“F:
\存储实验”,)后点击“下一步”,指定备份的文件名以及备份文件的存放路径。
存放位置通常选择网络上的异地存储空间,在本实验中,选择RG-iS-LAB1上的网络映射磁盘,此磁盘的物理位置在RG-iS-LAB2上。
文件名通常包含备份日期,以便于数据恢复时了解备份的文件的备份时间。
完成后单击“下一步”,弹出完成备份向导的界面,如下图所示。
点击“完成”开始进行数据备份,将随后出现的备份进度窗口截图保存。
3.5.3.数据还原
删除RG-iS-LAB1本地磁盘F上的文件夹“存储实验”,在备份工具界面选择“还原向导”,在弹出的还原项目窗口中选择需要还原的文件,如下图所示。
点击“下一步”开始进行数据还原,如下图所示。
查看RG-iS-LAB1本地磁盘中被删除的文件是否得到恢复,将恢复后的目录窗口打开,截图并保存。
从实验结果可以看到,利用备份工具的还原功能,可以将磁盘中的被误删除或因设备故障而损坏的文件还原,从而保证了数据的安全。
并且可以进行数据的远程备份,可以保证当硬盘或系统损坏时,数据也可以恢复。
3.5.4.拓展实验
4.1日备份(Dailybackup)
A、更改计算机日期为1月1号,2个文本文件,A.txt和B.txt,在A中按下F5,此时会自动输入当天的日期和时间。
B、然后把系统时间调到1月2号,打开B.txt并按下F5,就会自动输入当天的日期和时间,这时两个文件的创建日期是不一样的。
C、把系统时间调回1月1号,然后选中这两个文件对他们进行每日备份。
D、备份完后,验证备份效果。
还原这个文件,看看还原的是哪个文件,为什么?
4.2按需制定备份计划
在兼顾经济性的前提下,制订一个备份计划表并实施。
(提示:
本例中周六、周日不做备份,可采用5带轮换设计备份计划,具体实施用ntbackup工具)
周一
周二
周三
周四
周五
第一周
第二周
在实验中,以本地磁盘替代磁带,更改虚拟机的时间(依次为周一至周五),在不同的日子对需要备份的对象进行更改操作,如:
删除、复制、修改内容等,然后按表中的计划实施备份。
将各个备份文件以“磁带+序号+日期”命名,如:
磁带1_0422、磁带2_0423,然后将它们复制在一个窗口中,截图并保存。
3.5.5.注意事项
在拓展实验中,为简化过程,将备份对象和备份目的地均放在一台虚拟机中完成。
3.6.实验报告
请根据3.3节在下面撰写实验报告。
4.实验四:
微软CA组件安装和配置
4.1.实验目的
通过实验深入理解PKI系统和SSL的工作原理,熟练掌握Windows2000/2003Sever环境下CA系统和SSL连接的配置和使用方法。
4.2.3.实验环境
Windows2000/2003Server环境,开启IIS的Web服务。
可能需要系统安装光盘。
4.3.实验要求
1、实验任务
(1)配置IIS的Web服务;
(3)记录并分析实验结果。
2、实验预习
(1)预习本实验指导书,深入理解实验的目的与任务,熟悉实验步骤和基本环节。
(2)复习有关数据备份的基本知识。
3、实验报告
(1)简要描述实验过程。
(2)实验中遇到了什么问题,如何解决的。
(3)分析CA证书在网络安全方面的作用。
(4)实验收获与体会。
4.4.实验背景
4.4.1.PKI基础
PKI(PublicKeyInfrastructure)是一个用公钥密码学技术来实施和提供安全服务的安全基础设施,它是创建、管理、存储、分布和作废证书的一系列软件、硬件、人员、策略和过程的集合。
PKI基于数字证书基础之上,使用户在虚拟的网络环境下能够验证相互之间的身份,并提供敏感信息传输的机密性、完整性和不可否认性,为电子商务交易的安全提供了基本保障。
其中证书认证机构CA(CertificateAuthority)系统是PKI的核心部分,因为它管理公钥的整个生命周期。
本实验就是在Windows系统中构建CA系统,完成颁发证书、废除证书、更新证书、验证证书、管理密钥等工作。
4.4.2.Windows中的CA系统
Windows2000/2003Server对PKI做了全面支持,在提供高强度安全性的同时,还与操作系统进行了紧密集成,并作为操作系统的一项基本服务而存在,避免了购买第三方PKI所带来的额外开销。
其中最核心的为微软证书服务系统(MicrosoftCertificateServices),它允许用户配置一个或多个企业CA,这些CA支持证书的发放和废除,并与活动目录和策略配合,共同完成证书和废除信息的发布。
Windows2000/2003Server中支持两种类型的CA:
企业CA和独立CA。
企业CA用于为一个组织内部并且属于同一个域的用户和计算机颁发证书,企业CA要求请求证书的用户在Windows2000/2003Server活动目录中有其配置信息。
如果给以Windows2000/2003Server域之外的用户颁发证书,一般安装独立CA。
4.4.3.SSL的原理
SSL(SecureSocketLayer)称为安全套接层协议,是由Netscape公司开发的,被广泛应用于Internet上的身份认证以及Web服务器和用户端浏览器之间的安全数据通信。
SSL协议在TCP/IP协议之上,在HTTP等应用层协议之下,对基于TCP/IP协议的应用服务是完全透明的。
利用CA颁发的证书,在服务器和客户端之间建立可靠的会话,从而
升级会员 