《网络安全》实验指引

《《网络安全》实验指引》由会员分享，可在线阅读，更多相关《《网络安全》实验指引（35页珍藏版）》请在装配图网上搜索。

1、实验一 使用Sniffer工具进行TCP/IP、ICMP数据包分析1、实验目的通过实验掌握Sniffer工具的安装及使用，1) 实现捕获ICMP、TCP等合同的数据报；2) 理解TCP/IP合同中TCP、IP、ICMP数据包的构造，会话连接建立和终结的过程，TCP序列号、应答序号的变化规律，理解网络中多种合同的运营状况；3) 并通过本次实验建立安全意识，避免明文密码传播导致的泄密。2、实验环境两台安装Windows/XP的PC机，其中一台上安装有Sniffer软件，两台PC是通过HUB或互换机处在联网状态。3、实验任务1) 理解Sniffer安装和基本使用措施，监测网络中的传播状态；2) 定义

2、过滤规则，进行广义的数据捕获，分析数据包构造；3) 定义指定的捕获规则，触发并进行特定数据的捕获：l ping ip-addressl ping ip-address l 1000l ping ip-address l l ping ip-address l fl （在IE地址栏中，输入）4、 实验环节：(1)、打开Sniffer软件，点击捕获过滤设立选择TCP和IP。 图（一） 图（二）图（三） 图（四）(2)定义指定的捕获规则，触发并进行特定数据的捕获：l ping ip-addressl ping ip-address l 1000l ping ip-address l l ping i

3、p-address l fl （在IE地址栏中，输入）5、实验总结： 由图（一）可以懂得：帧捕获的时间、帧长、源和目的，以及IP的信息。由图（二）可以懂得：TCP的信息，源端标语（80）、目的端标语（1234）、序列号（）、偏移量等由图（三）可以懂得：ICMP的信息，Type=8,序列号（2048）图（四）是IP的具体信息。ping 172.16.26.60Ping -l 1000 172.16.26.60 (-l ：发送指定数据量的ECHO数据包。在这里是1000Bytes)Ping -l 172.16.26.60 (-l ：发送指定数据量的ECHO数据包。在这里是Bytes)Ping -l

4、 -f 172.16.26.60 (-l ：发送指定数据量的ECHO数据包。在这里是Bytes; -f ：在数据包中发送“不要分段”标志，数据包就不会被路由上的网关分段。一般你所发送的数据包都会通过路由分段再发送给对方，加上此参数后来路由就不会再分段解决。;)（在IE地址栏中，输入）实验一 合同分析软件的使用一、实验目的 学习合同分析软件wireshark的使用 二、实验内容学习使用Wireshark抓取发送邮件的包三、实验环节在一台网络计算机上安装网络合同分析软件Wireshark（即Ethereal），按照教材第7.2节的措施，捕获自己的计算机通过互联网发送电子邮件的所有数据。将捕获数据文

5、献保存，并运用多种过滤器和记录分析工具，从捕获数据中得出如下答案：1自己的网络计算机的MAC地址是 2本地网络出口网关的MAC地址是（参看教材21页例） （由于邮件服务器与自己的网络计算机并不在同一种局域网内，因此，发送的电子邮件以太网数据帧的目的MAC地址不是邮件服务器的，而是局域网出口网关的MAC地址。）3自己的网络计算机的IP地址是 自己注册的电子邮件服务器的IP地址是 ，与客户机与否在同一种网段？ 答： 。4与邮件服务器建立TCP连接时本地主机的端标语是 1432 （客户端采用临时端标语，用于标记本次应用进程，参看教材第25页）。邮件服务器端的TCP端标语是 ，这个端标语的名字是什么？

6、是电子邮件服务器的端标语SMTP吗？答： 。5在三次握手建立了TCP连接后，本机的HTTP进程采用 措施（教材表1.7）向邮件服发送本顾客的注册顾客名和口令。从此祈求数据段中可否读出自己的顾客名？ ，能否获得登录密码？ 。6分析你的电子邮件服务商与否采用了什么措施保护你的顾客名、密码和邮件内容？答： 。7 当自己成功登录邮件服务器后，运用Wireshark（Ethereal）的Analyze工具栏中的Follow TCP Stream工具，找出自己的主机发送给服务器的Cookies内容是什么？答： 8邮件服务器向本机返回的Cookie的内容是什么？（对Cookie的内容分析措施见教材第211页

7、）答：9从捕获数据中能否获取自己的电子邮件内容？答： 10结合教材第1、6、10和11章的简介，分析自己的电子邮件面临的如下安全问题：（1）如果受到重放袭击时如何解决身份认证的问题，（2）顾客名的保护问题，（3）登 录密码的保护问题，（4）邮件信息的保密问题，（5）邮件信息的防篡改问题，（6）采 用哪些措施避免垃圾邮件泛滥？四、实验总结实验二 数字签名OnSign一、实验目的：我们平时编辑的Word文档，有的需要进行保密，为避免编写好的Word文档被别人进行歹意的修改，我们可以使用数字签名对其进行加密。onSign是一款通过运营宏，为Word文档添加数字签名的软件，可以检查文档与否被人修改。二

8、、实验所需软件：操作系统为windows xp或者windows server 工具软件：onSign 2.0三、实验环节：1、下载“onSignV2.0”版本安装文献到本机，在安装界面见图9-67，最后，软件会弹出注册窗口，我们只需要选择“Off-line”注册方式，将“姓名”和“电子邮箱”必填信息填写好，并选择“家庭顾客”，就可以免费使用了。由于“onSign”目前的版本是针对Word编写的，在Word中安装后，软件不会将【onSign】菜单添加到Word文档的菜单栏中，在编辑带有数字签名的文档时，需要进入“onSign”的安装目录，双击名为“onSign”的Word模板，启用宏后就可以使

9、用了。图9-67安装界面2、设立签名通过【onSign】|【Sign Document】进入软件界面，点击“Signature Wizard”如图9-68所示，进入设立签名向导，我们可以通过“图像”、“电子邮件”和“鼠标”三种方式生成签名图片。我们以“图像”方式为例，先制作好一张别人不易效仿的bmp格式个性签名图片，将图片途径添加到“File Name”中，并为签名图片设立好名称、作者和密码，就完毕了签名图片的设立。图9-68 设立签名向导3、使用签名在编辑完所有的文档并保存后，通过【onSign】|【Sign Document】进入软件界面，点击“Sign Now”并输入密码，就可觉得文档签

10、属数字签名了，如图9-69所示。图9-69 文档签属数字签名4、检查签名在打开通过数字签名的文档后，如果文档在添加了数字签名后未被修改正，我们双击数字签名后，还会看到完整的签名。如果文档被修改正，软件就会在数字签名上显示红色严禁符号。5、几点阐明在Word下，如果只是查看数字签名的话，我们可以根据数字签名下方提供的链接下载“onSign Viewer”，就不需要安装“onSign”了，但是如果您使用的是Word，笔者建议无论是添加还是查看数字签名，都使用“onSign”，而不要安装“onSign Viewer”，由于“onSign Viewer”安装后会引起Word和“onSign”的不正常工

11、作。实验三 PGP加密文献和邮件一、实验目的：使用PGP软件可以简洁而高效地实现邮件或者文献的加密、数字签名。二、实验所需软件：操作系统为windows xp或者windows server 工具软件：PGP 8.1三、实验环节：1、 使用PGP加密文献：教材4.4.2 节已经简介了软件的安装和密钥的产生，这里就不再反复，使用PGP可以加密本地文献，右击要加密的文献，选择PGP菜单项的菜单“Encrypt”，如图9-60所示。图9-60 选择要加密的文献浮现对话框，让顾客选择要使用的加密密钥，选中所需要的密钥，点击按钮“OK”，如图9-61所示。图9-61 选择密钥目的文献被加密了，在目前目录

12、下自动产生一种新的文献，如图9-62所示。图9-62 原文献和加密后的文献打开加密后的文献时，程序自动规定输入密码，输入建立该密钥时的密码。如图9-63所示。图9-63 解密文献时规定输入密码2、使用PGP加密邮件 PGP的重要功能是加密邮件，安装完毕后，PGP自动和Outlook或者Outlook Express关联。和Outlook Express关联如图9-64所示。图9-64 PGP 关联outlook express运用Outlook建立邮件，可以选择运用PGP进行加密和签名，如图9-65所示。图9-65 加密邮件实验四 入侵检测系统工具BlackICE 和“冰之眼” 一、实验目的：

13、运用工具BlackICE 和“冰之眼”对网络状况进行实时检测二、实验所需软件：操作系统:Wwindows xp 、Windows Server 工具软件：bidserver.exe和 冰之眼三、实验环节：1、 BlackICE：双击bidserver.exe，如图9-84所示，在安装过程中需要输入序列号，如图9-85所示，序列号在ROR.NFO文献中。 图9-84 安装文献图9-85 输入序列号BlackICE是一种小型的入侵检测工具，在计算机上安全完毕后，会在操作系统的状态栏右下角显示一种图标，当有异常网络状况的时候，图标就会跳动。主界面如图9-86所示，在“Events”选项卡下显示网络的

14、实时状况，选择“Intruders” 选项卡，可以查看主机入侵的具体信息，如IP、MAC、DNS等，如图9-87所示。 图9-86 BlackICE的主界面图9-87 看入侵者的具体信息 2、 冰之眼：“冰之眼”网络入侵检测系统是NSFOCUS系列安全软件中一款专门针对网络遭受黑客袭击行为而研制的网络安全产品，该产品可最大限度地、全天候地监控公司级的安全。双击图9-88中的“autoexec.exe”文献安装，先选择安装冰之眼公共库，如图9-99所示，然后安装冰之眼控制台。3、 图9-88 安装所需要的文献图9-99 安装冰之眼公共库安装成功后就可以在程序中执行，如图9-100所示，控制台启动

15、成功后如图9-101所示，系统管理人员可以自动地监控网络的数据流、主机的日记等，对可疑的事件予以检测和响应,在内联网和外联网的主机和网络遭受破坏之前制止非法的入侵行为图9-100 启动冰之眼控制台图9-101 冰之眼软件主界面实验五 IP隐藏工具Hide IP Easy 一、实验目的：隐藏你的真实的IP，避免您的网上活动被监视或您的个人信息的被黑客窃取。二、实验所需软件：操作系统: Wwindows xp 、Windows Server 工具软件：HideIPEasy 三、实验环节：1、安装：安装所需要的软件如图9-102，双击HideIPEasy.exe 文献安装，安装界面如图9-103，启

16、动界面如图9-104，点击HideIP可以隐藏本地的IP。图9-102 安装需要的软件 图9-103 安装界面图9-104 启动界面实验六 OpenVPN配备和使用VPN的长处是相应用层透明，因此特别以便部署。终端顾客自己部署VPN典型的有三种方式：IPSec方式、基于SSL的OpenVPN方式、PPTP/L2TP等拨号方式。其中IPSec方式是IPv6强制规定的，OpenVPN是开源的，PPTP在Windows中支持。5、 实验目的（1）掌握OpenVPN的部署和使用措施（2）理解其他VPN的部署和使用措施6、 实验内容（1）OpenVPN软件的安装（2）基于共享秘密的OpenVPN（3）基

17、于公钥证书的OpenVPN （选做）7、 实验指引OpenVPN一般被用来建立端到端的安全隧道。OpenVPN使用SSL合同保护两端之间的通信，这样就充足运用了SSL的易用性，简化了管理成本。IPSec是IPv6中内置的安全特性，可以用传播模式来保护IP分组的数据载荷部分。11.3.1 OpenVPN安装OpenVPN是开放软件，可以运营在Windows、Linux等多种平台上。下载可执行exe安装文献，安装OpenVPN过程中会在操作系统中添加一种虚拟网卡。该网卡的比特传播（物理层）是用运营在实际网卡上的一条SSL连接模拟的。此外，在Windows上还可以看到增长了一种名为OpenVPNSe

18、rvice的后台服务项。OpenVPN的配备文献是./conf/*.ovpn，每个文献相应着一种端到端连接。注：SSL合同结合使用公钥算法、对称算法和散列算法等密码算法，运营在TCP等可靠流合同之上，提供认证、加密和完整性等安全服务，可以把SSL合同看作是通过安全改造的TCP合同。11.3.2 基于共享秘密文献的OpenVPN为了能建立VPN连接，需要指明鉴别认证手段，目前常用两种方式：共享秘密或公钥证书。下面是一种使用共享秘密的VPN客户端的配备文献实例：remote 211.86.49.238port 19201dev tapdev-node OpenVPN_CARD_1ifconfig

19、192.168.0.2 255.255.255.0secret key.txtping 10comp-lzoverb 4mute 10其中指明了远程VPN服务器的地址及端标语，本地虚拟网卡名字、IP地址及子网掩码，共享秘密文献的名字等。秘密文献中一般是一种口令，或者别的不易被猜到的随机串，但是必须保证两端内容一致。相应的服务端的配备文献只需要去掉第一行，并把其他诸行按照实际修正即可。在两台机器上准备好配备文献和秘密文献后重起后台服务，使用192.168.0.0/24网段地址就可以ping通对方。使用Sniffer工具查看实际网卡上的流量，就可以发现只能看到SSL合同的密文。8、 一种实际Ope

20、nVPN配备文献样例OpenVPN ClientOpenVPN Server9、 规定和建议必须使用Sniffer查看并核算其的确加密了。如果VPN连接建立出错，相应的错误信息在./log/*.log文献中。本实验可以两个同窗联合实验，分别是客户端和服务端。也可以1+n方式，即1个服务端，n个客户端，此时可以通过修正服务器的路由表，把它变成一种安全的路由器（或者更像一种互换机），让n个客户端之间互通。注：理论上完全可以，实际效果有待验证。如果尝试证书模式，建议使用OpenSSL中的工具产生密钥对及制作证书。细节请查询网络。.cn实验六： IPSec VPN配备及应用实验一、实验名称和性质所属课

21、程信息安全实验名称IPSec VPN配备及应用实验学时2实验性质验证 综合 设计必做/选做必做 选做二、实验目的理解IPSec VPN的工作原理。理解IPSec VPN的应用。掌握IPSec VPN实现的技术措施。掌握IPSec VPN配备流程及应用。三、实验的软硬件环境规定多台运营Windows Server 操作系统的计算机连接成以太网，并ruv ty Internet。四、实验内容1建立IPSec VPN连接，完毕VPN服务哈哈大笑 客户端配备。2测试连接后的IPSec VPN网络。五、综合性实验 1实验规定掌握在Windows Server 操作系统中运用IPSec配备VPN网络的流程

22、，涉及服务器端和客户端的配备。掌握IPSec VPN的应用。 2实验环节（1）进入内置IP安全方略界面图4-22 Windows的内置安全方略点击“开始程序管理工具本地安全设立”，如图4-22所示。在右侧窗口中，可以看到默认状况下Windows内置的“安全服务器”、“客户端”、“服务器”3个安全选项，并附有描述，可以单击阅读对它们的解释。在左面的窗口中，给出了安全设立的项目列表。（2）安全方略配备a) 右击“IP安全方略，在本地机器”选项，选择“创立IP安全方略”，弹出如图4-23所示的IP安全方略界面。b) 点击“下一步”进入IP安全方略向导，如图4-24所示。c) 在“安全通信祈求”界面中

23、，选择清除“激活默认响应规则”复选框，如图4-25所示。d) 点击“下一步”，在“完毕IP规则向导”界面中选中“编辑属性”，如图4-26所示。e) 单击“完毕”，进入“IP安全方略属性”窗口，如图4-27所示，在“规则”标签页中单击“添加”按钮，进入“安全规则向导”首页，如图4-28所示。（3）图4-25 “安全通讯祈求”图4-24 “IP安全方略名称”图4-23 “IP安全方略向导”界面安全操作配备进入创立IP“安全规则向导”首页后，按照提示，进行持续的单击“下一步”按钮操作，会依次完毕下列设立：a) 隧道终结点，如图4-29所示。这里选择“此规则不指定隧道”。图4-28 创立IP安全规则向

24、导图4-27 IP安全方略属性窗口图4-26 完毕IP安全方略向导b) 网络类型，如图4-30所示。这里选择“局域网（LAN）。c) 身份验证措施，如图4-31所示。这里选择“预共享密钥”。图4-31 “身份验证措施”图4-30 “网络类型”图4-29 “隧道终结点”（4）建立新的IP筛选器列表图4-32 “IP筛选器列表”设立单击“下一步”按钮，进入“IP筛选器列表”页面，如图4-32所示，可以在这里设立哪些地址和网络合同的数据包使用IPSec安全连接。a) 添加IP筛选器图4-33 “IP筛选器列表”界面在“IP筛选器列表”中选择对哪种通信量进行筛选，单击“添加”按钮，弹出“IP筛选器列表

25、”，如图4-33所示。单击“添加”按钮，进入“IP筛选器向导”，在IP筛选器列表中添加一种IP筛选器，即可设立一种新的IP筛选器列表。b) 指定IP通信地址l IP通信源，如图4-34所示。选择“我的IP地址”做为IP通信的源地址。l IP通信目的，如图4-35所示。选择“一种特定的IP地址”做为IP通信的目的地址。c) 定义IP筛选器所过滤的合同，如图4-36所示。选择任意类型。单击“下一步”按钮，进入IP筛选器向导完毕页面，如图4-37所示。单击“完毕”按钮，完毕新IP筛选器列表建立，返回“安全规则向导”的“IP筛选器列表”页面，如图4-38所示。图4-35 指定IP通讯的目的地址图4-3

26、6 指定IP合同类型图4-34 指定IP通讯的源地址图4-39 添加一条筛选器操作图4-38 选择IP筛选器列表图4-37 完毕IP筛选器编辑（5）筛选器操作配备筛选器列表的操作是指当有IP数据包符合筛选器中定义的条件时，IPSec对符合条件的数据包如何解决和如何操作。a) 进入筛选器操作。在“IP筛选器列表”中选择“to 29”，单击“下一步”按钮，进入“筛选器操作”页面，如图4-39所示。b) 筛选器操作配备。在“筛选操作”列表框中选择一条筛选器操作（这里选择“许可”），单击“添加”按钮，弹出“筛选器操作向导”，如图4-40所示。然后可以根据提示并持续单击“下一步”按钮，完毕下面的配备：图

27、4-40 筛选器操作向导l 筛选器操作名称，如图4-41所示。填入筛选器操作的名称和描述。l 筛选器操作的常规选项，如图4-42所示。这里选择“协商安全”，上其进行IPSec安全协商。l 不和不支持IPSec的计算机通信，如图4-43所示。这里选择“不和不支持IPSec的计算机通信”，以规定必须在IPSec基本上进行连接。图4-41 筛选器操作名称l IP通信安全设施，如图4-44所示。决定进行通信过程中与否加密和完整性检查。为了更加清晰其中采用的合同，这里选择“自定义”，然后单击“设立”按钮。图4-44 通信安全设施图4-43 不和不支持IPSec的计算机通讯图4-42 筛选器操作常规选项图

28、4-45 自定义安全措施设立弹出“自定义安全措施设立”对话框，如图4-45所示，可以看到AH和ESP合同的不同功能，即AH合同不进行加密，而ESP可以进行加密和完整性检查，有关算法也都可以选择。这里分别选择“SHA1”和“3DES”。（6）选择筛选器图4-46 新建立的筛选器操作筛选器操作配备完毕后，返回到“安全规则向导”的“筛选器操作”页面，如图4-46所示。这里可以看到新建立的筛选器操作名称。选中“to 29”。单击“下一步”按钮，即完毕了新增IP安全规则向导的设立，进入“IP安全方略属性”页面，如图4-47所示。这里会看到新增长的安全规则，操作者可以重新编辑，再度添加或删除某些规则。（7）指派安全方略单击图4-47中“关闭”按钮，弹出“本地安全设立”页面。这里可以看到新增的一条IP安全方略。右击新增的IP安全方略，选择“指派”，如图4-48所示。在IPSec通信的两端都要进行有关的配备（互为源通信地址和目的通信地址），增长自定义的IP安全方略，即可实现IPSec安全加密通信。图4-48新增长的IP安全方略进行指派图4-47 完毕新增IP安全规则