网络信息安全实验大纲.docx

1、网络信息安全实验大纲网络信息安全实验大纲一、课程名称及简介 2二、实验内容及学时分配 2三、主要仪器设备 24四、实验教学方式 24五、实验考核方法 24六、实验课程与学时分配表 25七、推荐实验教材和教学参考书 25一、课程名称及简介网络与信息安全实验涉及到计算机网络实验与信息安全实验两个部分，共计36学时。通过本课程的学习和实践，使学生实际掌握和理解网络信息安全领域各个知识点的精髓，包括网络基础、网络攻防和系统安全等，全面了解信息安全所涉及的主要技术和方法，具备网络信息安全防护的基本能力，从而培养高质量的信息安全人才，更有效的保障现代网络通信中信息数据的安全。二、实验内容及学时分配（一）、

2、访问控制技术实验（4课时）实验目的访问控制是各种网络访问机制的集合，通过这些这些机制使管理者可以针对网络中的流量，网络中的各种行为实行控制。通过网络访问控制实验，实验者可以了解到在实际的网络管理中，如何去进行有效的网络行为和流量控制。实验内容 基于访问控制列表的网络访问控制实验 端口限速的网络访问控制实验 网络访问行为控制实验 基于端口的网络访问安全控制除了包括IP标准ACL、IP扩展ACL、基于时间的ACL、MAC扩展ACL，还包括业界领先的专家级ACL、ACL80，学生可在该系列实验中学习到如何进行网络访问权限控制、基于交换机端口限速、冲击波等蠕虫病毒的控制等。拓扑图实验步骤本实验网络拓扑

3、假设为某单位属于不同网段的三个部门：办公室、人事处和财务处，网络地址分别为172.16.1.0/24、172.16.2.0/24和172.16.3.0/24，如下图所示。其中，这三个部门之间通过路由实现数据的交换，但出于安全考虑，单位要求办公室的网络可以访问财务处的网络，而人事处无法访问财务处的网络，其他网络之间都可以实现互访。在路由器Router-A与Router-B之间配置静态路由协议。1、路由器Router-A的基本配置。Router #configure terminal (进入“全局配置”模式)Router（config）# (已进入“全局配置”模式)Router（config）#

4、hostname Router-A (将路由器的名称更改为“Router-A”)Router-A（config）#interface fastethernet 0/0 （进入路由器fastethernet0/0端口配置模式）Router-A(config-if)#ip address 192.168.0.1 255.255.255.252 （将路由器fastethernet 0/0端口的地址配置为192.168.0.1，子网掩码为255.255.255.252，本网段只有两个合法的IP地址）Router-A(config-if)#no shutdown （开启路由器的fastethernet

5、0/0端口）Router-A(config-if)#exit （返回全局配置模式）Router-A（config）# interface fastethernet 0/1 （进入路由器fastethernet0/1端口配置模式）Router-A(config-if)#ip address 172.16.1.1 255.255.255.0 （将路由器fastethernet0/1端口的地址配置为172.16.1.1，子网掩码为255.255.255.0）Router-A(config-if)#no shutdown （开启路由器的fastethernet0/1端口）Router-A(config

6、-if)#exitRouter-A（config）# interface fastethernet 0/2Router-A(config-if)#ip address 172.16.2.1 255.255.255.0Router-A(config-if)#no shutdownRouter-A(config-if)#exit2、路由器Router-B的基本配置。Router #configure terminal (进入“全局配置”模式)Router（config）# (已进入“全局配置”模式)Router（config）# hostname Router-B (将路由器的名称更改为“Rout

7、er-B”)Router-B（config）#interface fastethernet 0/0 （进入路由器fastethernet0/0端口配置模式）Router-B(config-if)#ip address 192.168.0.2 255.255.255.252Router-B(config-if)#no shutdownRouter-B(config-if)#exitRouter-B（config）# interface fastethernet 0/1Router-B(config-if)#ip address 172.16.3.1 255.255.255.0Router-B(c

8、onfig-if)#no shutdownRouter-B(config-if)#exit3、路由器Router-A和Router-B上静态路由的配置。Router-A（config）#ip route 172.16.3.0 255.255.255.0 192.168.0.2Router-B（config）#ip route 172.16.1.0 255.255.255.0 192.168.0.1Router-B（config）#ip route 172.16.2.0 255.255.255.0 192.168.0.14、在路由器Router-B上配置标准访问控制列表，名称为access-li

9、st 10。Router-B（config）#access-list 10 deny 172.16.2.0 0.0.0.255 （拒绝来自172.16.2.0/24网段的流量通过）Router-B（config）#access-list 10 permit 172.16.1.0 0.0.0.255 （允许来自172.16.1.0/24网段的流量通过）5、将访问控制列表ACL应用到路由器Router-B的端口上。Router-B（config）#interface fastethernet0/1Router-B（config-if）#ip access-group 10 out （在fastet

10、hernet0/1的出站端口上调用ACL）Router-B（config-if）#endRouter-B#write memory二、网络攻击和应对实验（6课时）实验目的攻击和防御是目前业内被讨论的最为热烈的安全实验室内容，通过本实验，学生可以了解到各种流行的网络攻击行为以及如何去进行这些安全事件的防御。实验内容 DHCP攻击及应对实验 MAC地址的攻击及应对实验 ARP欺骗的攻击及应对实验 SYN FLOOD攻击及应对实验 通过此系列实验，可让学生掌握当前各种流行的攻击方式原理，如何在网络去防御这些攻击。拓扑图实验步骤1、DHCP攻击（1）木马被安装在被感染的机器上，并在局域网中运行DHCP

11、服务。当其他机器请求一个新的IP地址时，该服务伪造DHCP数据包应答。如果幸运的话，木马抢在真正的DHCP服务器之前发出DHCP数据包，那它将修改其他计算机的网络配置。（2）上面网络嗅探工具详细的显示了一台被Trojan.Flush.M感染的机器（地址 192.168.91.129）到底对所在的网络有何影响。当一台正常的机器（地址 192.168.91.132）在更新它的IP地址（例如在Windows系统中使用ipconfig /release 和 ipconfig /renew）时，它发送一个DHCP释放数据包然后尝试寻找DHCP服务器以便获得新的网络配置。请求得到的配置将包括所有重要的信息

12、，任何设备（PC, Mac, Smartphone等）都需要这些配置来接入Internet，这些信息中尤为重要的是DNS服务器的地址。在一个正常的网络中我们应该看到只有合法的DHCP服务器（192.168.91.254）向请求端发送DHCP OFFER包。然而感染木马的机器抢先发出另一个DHCP OFFER数据包。感染木马的机器发出的数据包首先到达DHCP客户端；因此，它取代了真实的DHCP服务器并且最终分配给客户端如下所示的IP配置信息：很明显，受感染机器已经分配给这个正常的机器192.168.91.132（正常并且没有受到任何威胁被感染）IP配置，现在配置中包含着一些熟知的流氓DNS服务器

13、地址：85.255.112.36 和 85.255.112.41。按照这些DNS服务器的解析进行的Internet访问只能出现非常糟糕的结果，这样的结果大部分都与DNS “changer Trojans” 相关，它包括了Zlob和Mac OS X。一旦DNS服务器被修改，攻击者可以把你的计算机重定向到任何的恶意网站或者钓鱼网站（例如，你输入 而你的计算机却访问“6.6.6.6”这个主机）。2、ARP欺骗与应对在虚拟机2上安装“网络执法官”软件，破坏虚拟机1和真实机之间的正常通信，实验步骤如下：（1）正确配置各计算机的IP地址。虚拟机1的网卡类型Bridged，IP地址是192.168.1.22

14、0，掩码255.255.255.0，网关192.168.1.1，DNS是218.2.135.1。虚拟机2的网卡类型Bridged，IP地址是192.168.1.210，掩码255.255.255.0，网关192.168.1.1，DNS是218.2.135.1。真实机的IP地址是192.168.1.200，掩码255.255.255.0，网关192.168.1.1，DNS是218.2.135.1。（2）在虚拟机2上安装WinPcap。解压缩“网络执法官.rar”文件，双击“WinPcap30.exe”文件，开始安装WinPcap。在虚拟机2上安装网络执法官软件。双击“网络执法官2.8破解版.ex

15、e”文件开始安装网络执法官。（3）运行网络执法官。第一次运行执法官，打开对话框，提示进行监控参数选择。因为只有一块网块，选中最上面的网卡复选框，单击“确定”按钮。打开监控范围选择对话框，在指定监控范围中列出网卡所在子网的所有可用IP地址，单击 “添加/修改”，把范围加入后，单击“确定”按钮。（4）攻击前测试。在虚拟机1上，打开DOS窗口，输入ping 192.168.1.200 t，持续的ping真实机的IP地址，可以发现是通的。不要关闭该窗口。（5）开始攻击。网络执法官软件可以监测到同一个子网中所有在线的主机，在网络执法官的管理界面中，右键单击真实机，从快捷菜单中选择“手工管理”。选中第三个

16、选项“禁止与所有其他主机”，单击“开始”，此时可以发现虚拟机1和真实机之间的ping测试开始提示“Request timed out”，通信中断了。实际环境中，还可以只选中“禁止与关键主机连接”，然后单击“关键主机”，加入网关的地址，这样被攻击计算机只会中断与网关的连接，和局域网内计算机之间的通信不会中断。3、防范和解决ARP攻击方法1：经过判断已经发现存在ARP攻击，如果攻击持续存在，在受害的计算机上执行“arp d”后，再执行“arp a”，a的作用是显示该计算机上的所有ARP缓存。从中我们可能会发现有几条记录，其中一个记录是网关或要访问的目标主机，还有一条其他记录，也可能有几条。多执行几

17、次“arp d”、“arp a”，总结一下，出现最多的那条记录基本上就是ARP攻击者的真实IP地址。方法2：在目标设备和受害计算机上分别进行IP地址和MAC地址的静态绑定。例如，在计算机上执行：“arp s 192.168.1.1 00-aa-00-62-c6-09”，在路由或交换设备上执行：“Cisco-6509(config)# arp 192.168.1.2 0009.6be2.3ca3 ARPA”把要保护的目标设备的IP地址和MAC地址进行绑定，使非法的ARP攻击无孔可入。并不是每一个用户都有权在网关设备上把自己使用的IP地址和MAC地址进行绑定，但用户至少可以做到的是在自己的计算机上

18、把网关的IP地址和MAC地址进行绑定，最好做成一个批处理文件，每次计算机启动时都执行该文件，使用这种方法可以有效的避免上述的第二种泄密攻击。方法3：采用动态ARP检察技术，结合DHCP的功能，实现IP和MAC的自动绑定。该方法和方法2类似，但绑定是自动完成的，可以在接入层交换机上部署，非法的ARP包将被交换机丢弃。4、SYN FLOOD攻击与应对攻击：（1）在局域网环境，有一台攻击机（PIII667/128/mandrake），被攻击的是一台Solaris 8.0 (spark)的主机，网络设备是Cisco的百兆交换机。在攻击并未进行之前，目标主机上接到的基本上都是一些普通的网络包。 （2）攻

19、击机开始发包，DDoS开始了， sun主机上的snoop窗口开始飞速地翻屏，显示出接到数量巨大的Syn请求。这时收不到刚才那些正常的网络包，只有DDoS包。这时候被攻击机已经不能响应新的服务请求了，系统运行非常慢，也无法ping通。用iptables对付syn-flood攻击：在局域网内进行了一系列攻击实验,其中两台攻击计算机(Win 2003) ,一台检测计算机(RedHatL inux) 。检测计算机内已有iptables规则脚本,主要测试文件到iptables的数据传递,故默认入侵检测系统发现攻击ip地址并写入文件列表。在发生攻击时,必定有大量的网络会话处在SYN_RECV状态,采用以下

20、命令查看处于半连接状态的TCP会话:#netstat -nat | grep SYN_RECVtcp00 10. 10. 138. 121: 176310. 10. 138. 52: 631SYN_RECVtcp00 10. 10. 138. 121: 85910. 10. 138. 52: 631SYN_RECVtcp00 10. 10. 138. 121: 527810. 10. 138. 52: 631SYN_RECVtcp00 10. 10. 138. 121: 142510. 10. 138. 52: 631SYN_RECVtcp00 10. 10. 138. 121: 169810

21、. 10. 138. 52: 631SYN_RECVtcp00 10. 10. 138. 121: 865310. 10. 138. 52: 631SYN_RECV启动脚本后,再次输入以上命令:#netstat -nat |grep SYN_RECV。此时,查找不到在网络连接中处于SYN_RECV状态的会话（在WINDOWS系统中是SYN_RECEIVED状态）,显示处于半连接状态的数据报都已经过滤,也就是系统成功地抵抗了SYNFlood攻击。在实际测试中,采用多台计算机同时对主机进行攻击来模拟大流量、高强度SYN Flood攻击的复杂环境,同样取得了比较理想的结果。三、网络入侵检测实验（4课

22、时）实验目的网络攻击在目前网络中已经是屡见不鲜的事情，网络面临着各种各样的安全事件的威胁，如何去有效地识别这些安全威胁？ IDS作为目前流行的网络安全防御设备，如何有效使用IDS设备对网络安全进行有效应对？在网络入侵检测实验中，实验者可以学习到如何识别各种安全事件，以及各种安全事件的特性。实验内容 攻击应对策略测试 IDS监控数据采集 设备安全性测试 主动告警功能测试拓扑图实验步骤检查与端口相关联的应用程序：网络入侵者都会连接到主机的某个非法端口，通过检查出与端口关联应用程序，可以进行入侵检测，这种方法属于静态配置分析。利用工具软件fport.exe可以检查与每一端口关联的应用程序，执行程序如

23、下图所示。1、BlackICE（1）BlackICE是一个小型的入侵检测工具，在计算机上安全完毕后，会在操作系统的状态栏显示一个图标，当有异常网络情况的时候，图标就会跳动。（2）可以查看主机入侵的信息，选择属性页“Intruders”。2、冰之眼使用“冰之眼”，系统管理人员可以自动地监控网络的数据流、主机的日志等，对可疑的事件给予检测和响应,在内联网和外联网的主机和网络遭受破坏之前阻止非法的入侵行为，管理员可以添加主机探测器来检测系统是否被入侵，选择菜单栏“网络”下的菜单项“添加探测器”，可以添加相关的探测器。3、入侵检测系统snort（1）snort的配置；（2）利用snort发现入侵企图；

24、（3）自己设计snort规则发现入侵企图。四、端点防护实验（6课时）实验目的目前的客户端端点防护已经成为了网络安全防护中重要的一个组成部分，越来越多针对用户系统的安全隐患，要求我们更好的利用端点技术来进行安全防护，在锐捷端点防护实验中，实验者将学习到如果利用端点防火墙、HIDS等工具来进行安全防护。实验内容 通过系统本身的设置来进行系统安全性防护 WINDOWS系统的安全防护 Linux系统的安全防护 Unix系统的安全防护 专业工具的端点安全防护 实现用户的网络访问行为控制 对用户系统安全性评估 自动发现并进行安全事件的防御拓扑图实验步骤1 常规的安全防护：安装防病毒软件、升级系统、禁止Pi

25、ng三种安全方式。2 禁止远程协助，屏蔽闲置的端口使用系统自带的“TCP/IP筛选服务”就能够限制端口。方法如下：在“网络连接”上单击右键，选择“属性”，打开“网络连接属性”对话框，在“常规”项里选中里面的“Internet协议（TCP/IP）”然后单击下面的属性按钮，在“Internet协议（TCP/IP）属性”窗口里，单击下面的高级按钮，在弹出的“高级TCP/IP设置”窗口里选择“选项”项，再单击下面的属性按钮，最后弹出“TCP/IP筛选”窗口，通过窗口里的“只允许”单选框，分别添加“TCP”、“UDP”、“IP”等网络协议允许的端口，未提供各种服务的情况，可以屏蔽掉所有的端口。3 禁止终

26、端服务远程控制在Windows XP系统里关闭“终端服务”的方法如下：右键选择“我的电脑”、“属性”，选择“远程”项，去掉“允许用户远程连接到这台计算机”前面的“”即可。4关闭Messenger服务：进入“控制面板”，选择“管理工具”，启动里面的“服务”项，然后在Messenger项上单击右键，选择“停止”即可。5 防范IPC默认共享防范IPC攻击就应该从系统的默认配置下手，可以通过修改注册表弥补漏洞。第一步：将HKEY_LOCAL _MACHINESYSTEMCurrentControlSetControlLSA的RestrictAnonymous 项设置为“1”，就能禁止空用户连接。第二步

27、：打开注册表的HKEY_LOCAL_MACHINESYSTEMCurrentControlSet Services LanmanServerParameters 项。对于服务器，添加键值“AutoShareServer”，类型为“REG_DWORD”，值为“0”。对于客户机，添加键值“AutoShareWks”，类型为“REG_DWORD”，值为“0”。6 合理管理Administrator使用Windows XP的用户进入安全模式，再在“控制面板”的“用户账户”项里为Administrator用户添加密码，或者将其删除掉。五、VPN虚拟专用网实验（4课时）实验目的VPN做为目前流行的网络技术

28、之一，VPN技术利用公共互联网或者服务提供商所共享的IP网络来做为访问内部网络的传输媒介，从而避免了采用DDN等其它广域网连接方式所需的昂贵的专线租用费用。在VPN实验中，实验者可以学习到如果利用INTERNET资源建设安全、性价比高的虚拟专网。实验内容 点对点IPSEC VPN 多点动态VPN PPTP L2TP GW到GW的VPN VPN承载路由协议 EASY VPN拓扑图Red-Giant VPN Client实验步骤1、vpn access server的配置（1）配置isakmp policy： crypto isakmp policy 1 encr 3des authen pre-

29、share group 2 （2）配置vpn client地址池 cry isa client conf address-pool local pool192 ip local pool pool192 192.168.1.1 192.168.1.254 （3）配置vpn client有关参数 cry isa client conf group vclient-group key vclient-key pool pool192 (4)配置ipsec transform-set：cry ipsec trans vclient-tfs esp-3des esp-sha-hmac (5)配置map

30、模板 cry dynamic-map template-map 1 set transform-set vclient-tfs （6）配置vpnmap cry map vpnmap 1 ipsec-isakmp dynamic template-map cry map vpnmap isakmp author list vclient-group cry map vpnmap client conf address respond （7）配置静态路由：ip route 192.168.1.0 255.255.255.0 fastethernet0 测试： （1）在pc上运行VPN client

31、，连接vpn access server。 （2）ipconfig/all，查看获取到的ip地址与其他参数。 （3）在router，show cry isa sa,看连接是否成功。 （4）从router，ping client已经获取到的ip地址，通过。 （5）从client，ping router的lo0配置的地址172.16.1.1，通过。 （6）查看vpn client软件的status-statistics,可以看到加密与解密的数据量。 （7）1720上show cry ip sa, 也可以查看加密与解密的数据量。2、easy vpn client的配置（client mode）（1）配置好3662上的vpn client后，自动进行vpn连接。可以通过debug cry isa、deb cry ip client ezvpn、deb cry ip等debug命令输出的信息查看过程与结果。（2）在1720上扩展ping，source 10.13