网络安全与管理实验指导书

《网络安全与管理实验指导书》由会员分享，可在线阅读，更多相关《网络安全与管理实验指导书（19页珍藏版）》请在装配图网上搜索。

1、实验一 常用网络安全小工具的使用实验目的:掌握一种硬盘数据恢复工具的使用方法。掌握一种文档密码破解工具的使用方法。实验设备:连入Internet的计算机一台所用软件：FinalData、EasyRecovery 、advanced office password remover实验步骤:一、硬盘恢复工具的使用1.新建任意一个文档,然后按shift+delete永久删除.2.到网上搜索一款硬盘数据恢复软件，看其说明学会使用。3.利用你所搜索的软件对你删除的文件进行恢复。4.将实验过程详细写入实验报告，实验成功。二 文档密码破解1.新建一个WORD文档并对其加密。工具-选项-安全性2.从网上下载任

2、一款WORD文档密码破解软件，查看其使用方法。(注明所用软件名称)3.利用你所搜索的软件对你的WORD文档进行解密。（解密过程请详细记录）4.顺利打开你所破解后的WORD文档，实验成功。推荐软件：advanced office password remover附：解除PDF文档的加密保护：从网上下载任一款解除PDF文档加密保护的软件，对你的PDF文档进行解密。推荐软件：PDF2Word，PDFpasswordremover。实验二 sniffer的安装及基本应用实验目的:1、 掌握sniffer的安装。2、 掌握sniffer的基本应用。实验设备:连入Internet的计算机一台（或连入局域网

3、计算机一台）实验步骤:1. sniffer的安装。安装过程如下各图所示。 ChinaJiangxiJiujiangOther选择china邮编随便写序列号SA154-2558Y-255T9-2LASH局域网环境选择该选项2、启动、设置sniffer。参照教科书2.2节。3、熟悉sniffer工作环境，掌握常用工具按钮及命令。4、使用sniffer进行数据抓包。5、对所抓取数据包进行分析。6、记录该实验过程、所获取数据、及数据分析结果。温馨提示：win7中若提示找不到适配器，请单击开始-右击sniffer快捷方式-属性-兼容性-win XP SP3-确定即可。实验三 windows 操作系统的安

4、全配置实验目的:掌握windows 2000/XP等操作系统的基本安全配置方法。实验设备:安装windows 2000/XP操作系统的计算机一台所用软件：windows 2000/XP实验步骤:（同时可参考教材5.4节）1.“开始-程序-管理工具-本地安全策略-本地安全设置”窗口，对账户策略、本地策略和IP安全策略进行相应设置。2.“运行-gpedit.msc”，打开组策略窗口进行windows文件保护设置。3.对文件夹及文件进行用户添加，及用户权限的设置。4.关闭不必要的端口和服务，利用TCP/IP的高级设置配置一个简单的防火墙。5.添加、修改账户，并进行账户权限设置，同时设计一个保护管理员

5、账户的安全方法。6.修改TTL返回值。7.禁止默认共享文件。8.根据以上实验指导，完成实验课堂作业，将实验步骤及实验数据详细记录到实验报告并上交。实验课堂作业：1、配置系统以增强账户的安全性，将密码策略、账户锁定策略的各项配置值写入实验报告。2、利用IP安全策略为系统配置一个简单的防火墙，将各项配置值写入实验报告。3、利用注册表修改TTL默认值，将各项配置值写入实验报告。实验四 web服务器的安全配置实验目的: 掌握利用IIS搭建web服务器的安全设置方案。实验设备:安装windows 系列操作系统的计算机一台所用软件：Windows OS、IIS实验步骤:（同时可参考教材6.3节）1.关闭并

6、删除默认站点为了加强安全性我们首先应该关闭并删除IIS默认的各个站点，如默认FTP站点、默认Web站点和管理Web站点。为了进一步提高安全性，可删除IIShelp目录。2.建立自己的站点，与系统不在同一分区例如C:为系统盘，那么我们建立D:wwwroot目录，用来存放站点的程序和数据；建立E:Logfiles 目录，用来存放站点的日志文件，并确保此目录上的访问控制权限是： Administrators（完全控制）System（完全控制）。3.删除不必要的IIS映射和扩展IIS 被预先配置为支持常用的文件名扩展如 .asp和 .htm文件。IIS 接收到这些类型的文件请求时，该调用由DLL处理。

7、如果所搭建的网站不使用其中某些扩展或功能，则应删除该映射。4.禁用父路径 “父路径”选项允许在对诸如 MapPath 函数调用中使用“.”。在默认情况下，该选项处于启用状态，为了使黑客不能通过上传程序查看上级目录内容，我们应该禁用它。禁用该选项的步骤如下：右键单击该 Web 站点的根，然后从上下文菜单中选择“属性”。单击“主目录”选项卡。单击“配置”。单击“应用程序选项”选项卡。取消选择“启用父路径”复选框。5.在虚拟目录上设置访问控制权限在iis里把所有不包括asp、htm等页面文件的目录 ,比如img,image,pic,upload等目录,里面一般是没有asp文件，将这些目录的执行许可设

8、置为无,这样就算你用的程序被发现了漏洞,一旦传了木马上来了,它也不能立即执行,不过要看仔细,有些目录里也是有asp,htm文件。主页使用的文件按照文件类型应使用不同的访问控制列表。建议设置如下：CGI (.exe, .dll, .cmd, .pl) Everyone (删除) Administrators（完全控制）System（完全控制）；脚本文件 (.asp) Everyone (删除) Administrators（完全控制）System（完全控制）；include文件 (.inc, .shtm, .shtml) Everyone (删除) Administrators（完全控制）；Sy

9、stem（完全控制）；静态内容 (.txt, .gif, .jpg, .html) Everyone (R) Administrators（完全控制）System（完全控制）；在创建Web站点时，没有必要在每个文件上设置访问控制权限，应该为每个文件类型创建一个新目录，然后在每个目录上设置访问控制权限、允许访问控制权限传给各个文件。例如，目录结构可为以下形式：D:wwwrootmyserverstatic (.html)； D:wwwrootmyserverinclude (.inc)； D:wwwrootmyserver script (.asp)；D:wwwrootmyserver exec

10、utable (.dll)；D:wwwrootmyserver images (.gif, .jpeg)。 6.启用日志记录（1）日志的审核配置。在确定服务器是否被攻击时，日志记录是极其重要的。日志记录应使用W3C扩展格式，步骤如下：打开Internet服务管理器：右键单击站点，选择“属性”，单击“Web 站点”选项卡。选中“启用日志记录”复选框。从“活动日志格式”下拉列表中选择“W3C 扩展日志文件格式”。单击“属性”。单击“扩展属性”选项卡，然后选择以下选项：客户IP地址、用户名、方法、URI 资源、HTTP状态、Win32状态、用户代理、服务器IP地址以及服务器端口（2）日志的安全管理。

11、a) 启用操作系统组策略中的审核功能，对关键事件进行审核记录；b) 启用IIS、FTP服务器等服务本身的日志功能；并对所有日志存放的默认位置进行更改同时作好文件夹权限设置。7.重定义错误信息防止数据库不被下载的方法有很多,众多方法中只要记住一点.不要改成asp就可以了,不然黑客给你放一个简单的木马都会让你陷入极大的麻烦,然后在IIS中将HTTP404、500等 Object Not Found出错页面通过URL重定向到一个定制HTML文件,这样大多数的暴库得到的都是你设置好的文件,自然就掩饰了数据库的地址，还能防止一些sql注入。对于服务器管理员，既然不可能挨个检查每个网站是否存在SQL注入漏

12、洞，那么就来个一个加强级别的安全设置。这项设置能有效防止SQL注入入侵而且省心又省力，效果真好！SQL注入入侵是根据IIS给出的ASP错误提示信息来入侵的，如果你把IIS设置成不管出什么样的ASP错误，只给出一种错误提示信息，即http 500错误，那么黑客就没办法入侵了。具体设置：打开IIS管理器，打开站点属性，选择自定义错误选项卡，然后打开编辑500：100错误就可以了。主要把500:100这个错误的默认提示页面改成C:WINDOWSHelpiisHelpcommon500.htm即可，这时，无论ASP运行中出什么错，服务器都只提示HTTP500错误。也可更改C:WINDOWSHelpii

13、sHelpcommon404b.htm内容改为这样，出错了自动转到首页。8.根据以上实验指导，完成实验课堂作业，将实验步骤及实验数据详细记录到实验报告并上交。实验课堂作业：1、 根据实验指导书，自定义站点，并对其配置一简单web服务器。2、 对web服务器进行安全配置，包括：删除不必要的应用程序映射，仅保留asp、aspx、htm、html等必要的映射。禁用父目录修改日志路径，以保护日志安全。利用2种方法将出错页面改为自动转到首页。启用内容失效。设置内容分级。设置匿名访问和验证控制，自设用户名和密码。对IP地址和域名进行限制，要求限制一台、一组及一个域名的计算机。实验五 数字证书的申请、安装及

14、使用实验目的:1. 掌握免费个人数字证书申请业务流程；2. 掌握证书的下载、安装的环节； 3. 掌握数字证书的导入和导出方法。4. 掌握证书的使用方法。实验设备:连入Internet的计算机一台所用软件：IE、数字签名工具实验步骤:免费数字证书的申请安装操作访问中国数字认证网（http:/）主页，选择“免费证书”栏目的“根CA证书”。如果是第一次使用他们的个人证书需要先下载并安装根CA证书。如图1所示。图1下载并安装根证书。只有安装了根证书链的计算机，才能完成网上申请的步骤和证书的正常使用。出现如图2所示，点击上面的“安装证书”按钮，根据证书导入向导提示，完成导入操作。图2在线填写并提交申请表

15、。在图1中，选择“免费证书”栏目的“用表格申请证书”，填写申请表。如图3所示。证书期限、证书用途（可以选择“电子邮件保护证书”）、密钥选项（可以选择“Microsoft Strong Cryptgraphic Provider”）。注意要勾上“标记密钥为可导出”。提交申请表后，出现“正在创建新的RSA交换密钥”的提示框，确认将私钥的安全级别设为中级。图3下载安装数字证书。提交申请表后，证书服务器系统将立即自动签发证书。用户点击“安装证书”按钮开始下载安装证书，直到出现“安装成功！”的提示。数字证书的查看在微软IE 6.0浏览器的菜单栏“工具”-“Internet选项”-“内容”-“证书”中，可

16、以看到证书已经被安装地成功。如图4所示。双击证书查看证书内容。图4数字证书的导出和导入操作指导 为了保护数字证书及私钥的安全，需要进行证书及私钥的备份工作。如果需要在不同的电脑上使用同一张数字证书或者重新安装电脑系统，就需要重新安装根证书、导入个人证书及私钥。具体步骤如下：备份证书和私钥的操作步骤。在图4中选择需要备份的个人数字证书，单击“导出”按钮-出现“证书导出向导”，单击“下一步”按钮-可以选择将私钥跟证书一起导出，选择“是，导出私钥”，单击“下一步”按钮-选择文件导出格式，可以选择默认选项，单击“下一步”按钮-键入并确认保护私钥的口令（自己任意设置），单击“下一步”按钮-单击“浏览”按

17、钮确定证书及私钥导出保存的路径和文件名（文件扩展名为.pfx），单击“下一步”按钮-提示你已经成功完成证书的导出向导，单击“完成”按钮-提示证书导出成功，按“确定”按钮。证书成功导出。导入证书及私钥的操作步骤。如果某台计算机系统中没有安装数字证书，可以进入图4中，单击“导入”按钮-出现“证书导入向导”，单击“下一步”按钮-单击“浏览”按钮确定证书及私钥文件的保存路径，查找到扩展名为“.pfx”的证书备份文件打开，单击“下一步”按钮-键入保护私钥的口令，选择“启用强私钥保护”，单击“下一步”按钮-选择证书存储区域，单击“下一步”按钮-提示证书导入成功，按“确定”按钮。证书及私钥成功导入。（4）数

18、字证书的使用我们以用数字证书签名为例。 下载并安装数字签名工具。 在“证书管理”选项卡中，进行证书的导入。（导入刚刚申请的证书，发现显示为无效证书，我们继续使用） 在“签名规则”中，点击右键，添加签名规则。 在“数字签名”窗口中，进行文件或目录的签名。然后进行签名验证。（由于使用的是无效证书，所以签名验证为无效。这是由于我们申请的证书是该软件所不信任机构颁发的）。 改在该签名工具中申请一个证书，再次进行签名，即可验证成功。实验六 邮件的加密和签名实验目的:掌握PGP软件的使用方法，对加密理论知识加深理解。掌握使用PGP软件发送安全电子邮件的方法。实验设备:连入Internet的计算机一台所用软

19、件：PGP实验步骤:（同时参阅教材P169）1.到网上搜索PGP软件，下载。2.下载安装PGP后，重新启动。重启后会让你输入姓名，单位和序列号，我们不是付费用户，点“later”。接下来进行一些个人信息以及PGP简单配置。3.生成密钥：使用PGP之前，首先需要生成一对密钥。“PGPKeys”-“Keys”-“New Key”, 开始生成密钥。出现密钥生成向导对话框。第一步，PGP会提示这个向导的目的是生成一对密钥，你可以用它来加密文件或对数字文件进行签名。第二步，如果你要选择密钥的位数或者选择其他加密算法，点击“expert”高级选项，PGP会要求你输入全名和邮件地址。选择一种加密类型。指定密

20、钥的长度。通常来说位数越大被解密的可能性越小就越安全，但是在执行解密和加密时会需要更多的时间，一般2048位就ok了。 PGP会问你密钥的过期日期，可以选择从不过期或者指定一个日期作为过期的界限。否则就按“下一步”。第三步，请重复输入你的密码Passphrase。这个密码是对你的私钥进行加密。为了方便记忆你可以用一句话作为你的密钥，如Amy is 12 years old.等。边上的“Hide Typing”指示是否显示键入的密码。第四步，接下来PGP会花一点点时间来生成你的密钥，一直“下一步”就可以完成了。想废除密钥时，选取Revoke即可。4.将公钥上传至公钥服务器，或通过邮件等形式进行分

21、发l Server-send to进行公钥上传l 用菜单keysEmport 将你的密钥导出为扩展名为asc或txt的文件，将它发给你的朋友们。默认的参数是只导出公钥。（对方则用keysimport导入）5.获取他人公钥Server-search6.加密和签名邮件7.加密文件实验七 木马使用实战实验目的:1.掌握木马的使用方法。2.掌握木马的传播和运行机制，通过相关技巧学会防御木马的相关知识。实验设备:两台安装Windows 2000/2003/XP或更高级别的Windows操作系统的主机。所用软件：冰河木马（G_Server.exe,G_Client.exe）（服务器端指被控制端，客户端指控

22、制端。）实验步骤:1. 在DOS状态下采用netstat-an观察木马服务器运行前服务器端计算机上网络连接情况。可以看到7626端口没有开放。2. 关闭两台计算机上的防火墙和杀毒软件。（冰河木马是比较早出现的木马软件，一般的杀毒软件都可以清除它）3. 在服务器计算机上运行服务器程序G_Server.exe。4. 观察木马服务器端的网络连接情况，可以看到7626端口已经开放，说明已经成功在服务器端安装了木马。同时查看C:Windowssystem目录下生成Kernel32.exe和 sysexplr.exe两个文件。5. 在客户端打开G_Client.exe。6. 单击控制端工具栏中的“添加主机

23、”，填写显示名称和服务器端IP地址。7. 输入口令05181977，点击应用。8. 单击控制端工具栏中的“冰河信使”，向服务器端发送消息。9. 单击“命令控制台”标签，对服务器端进行控制。（具体功能参看软件包中的readme.txt）。10. 卸载冰河木马方法一：通过杀毒软件进行卸载。方法二：采用冰河的客户端进行卸载：控制类命令系统控制自动卸载冰河。方法三：手动卸载。冰河木马服务器端运行后，生成Kernel32.exe和sysexplr.exe两个文件，Kernel32.exe在系统启动时自动加载运行，sysexplr.exe和TXT文件关联。即使你删除了 Kernel32.exe，但只要你打

24、开TXT文件，sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是冰河又回来了！这就是冰河屡删不止的原因。清除方法，共4步：（1）、删除C:Windowssystem下的Kernel32.exe和Sysexplr.exe文件。如果提示“程序正在运行，无法删除”，则使用进程管理软件对其进行终止；若没有进程软件，就重新启动到DOS窗口，删除（DEL）C:WINDOWSSYSTEM。（2）对系统注册表进行操作，删除开机要运行的木马项“kernel.exe”。开始运行regedit: HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurr

25、entVersionRun下扎根，键值为C:windowssystemKernel32.exe，删除。还有，HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersionRunservices下，键值为C:windowssystemKernel32.exe，删除。（3）删除后，发现你的文本文档不能正常打开，需要选择打开方式才行，原因是木马关联在文本文件上，此时已被删除，所以不能正常打开，需要修复，方法为：修改注册表HKEY_CLASSES_ROOTtxtfileshellopencommand下的默认值，由中木马后的C: windowssyst

26、emSysexplr.exe %1改为正常情况下的C:windowsnotepad.exe %1，即可恢复TXT文件关联功能。实验八 入侵检测工具的使用实验目的: 理解入侵检测工具的原理。掌握入侵检测工具的使用。实验设备:安装Windows 2000/2003/XP主机。所用软件：ISS BLACKICE实验步骤:1、 下载软件。可选择汉化版或破解版等。2、 软件安装：根据安装向导进行软件安装。出现下图，表示要输入注册码，尝试使用44E6990-RS-B4B1F，或百度注册码，或下载注册机。3、 安装时会出现如下图所示步骤，这里说明一下。 “ap on”意思是应用程序控制，也就是安装后扫描系统中的所有文件，如果发现木马或是一些病毒程序即时将它杀死。因为他会找出将要internet的程序，并对所有应用程序运行进行控制，这样可以防止木马程序访问网络。为安全起见，我们选择“ap on”。“ap off”的意思就是说不检测，直接跳过去。选“ap on”后我们用next他会对硬盘里的文件进行扫描。之后再next安装就完成了。 4、 设置。参照教材P249页“主要设置”部分。5、 测试。