第一篇:网络安全实验报告 - PKI证书应用(范文模版)
一、实验目的
1.观察没有PKI服务支持时的WEB流量内容
2.实现PKI服务,然后观察结果
二、实验内容与步骤
1.无认证(服务器和客户端均不需要身份认证)
(1)客户端启动协议分析器开始捕获;客户端在IE浏览器地址栏中输入http://服务器IP,访问服务器Web服务。
通过协议分析器对HTTP会话的解析中可以确定,在无认证模式下,服务器与客户端的Web通信过程是以明文实现的。
2.单向认证(仅服务器需要身份认证)(1)CA(主机A)安装证书服务
(2)服务器(主机B)证书申请
通过Web服务向CA申请证书
CA为服务器颁发证书
通告服务器查看证书。
(3)服务器(主机B)安装证书
服务器下载、安装由CA颁发的证书
此时服务器证书已安装完毕,可以单击“目录安全性”页签中单击“查看证书”按钮,查看证书的内容,回答下面问题。
证书信息描述:无法将这个证书验证到一个受信任的证书颁发机构 颁发者:user7DCA
再次通过IE浏览器查看“受信任的根证书颁发机构”,查看名为userGX的颁发者(也就是CA的根证书),CA证书不存在 服务器下载、安装CA根证书
证书信息描述:保证远程计算机的身份 颁发者: user7DCA 再次通过IE浏览器查看“受信任的根证书颁发机构”,查看名为userGX的颁发者(也就是CA的根证书),CA证书存在(4)Web通信
客户端重启IE浏览器,在地址栏输入http://100.10.1.2/并确认,此时访问的Web页面出现如图所示信息。
客户端启动协议分析器,设置过滤条件:仅捕获客户端与服务器间的会话通信,并开始捕获数据。
客户端在IE浏览器地址栏中输入“https://100.10.1.2/”并确认,访问服务器Web服务。在协议解析页面可观察到,服务器与客户端的Web通信过程是以密文实现的
3.双向认证(服务器和客户端均需身份认证)(1)服务器要求客户端身份认证(2)客户端访问服务器
客户端在IE浏览器地址栏中输入“https://服务器IP”访问服务器Web服务。出现“选择数字证书”对话框,但是没有数字证书可供选择。单击“确定”,页面出现提示“该页要求客户证书”。
(3)客户端(主机C)证书申请 客户端提交证书申请
CA为客户端颁发证书 客户端下载、安装证书链
(4)客户端查看颁发证书
客户端单击IE浏览器的“工具”|“Internet选项”|“内容”|“证书”,会在“个人”页签中看到同组主机CA颁发给自己的证书,如图10-1-5所示。
(5)客户端再次通过https访问服务器
二.安全电子邮件
1.主机B、C创建邮件账户
2.邮件用户(主机B、C)申请电子邮件保护证书
(1)邮件用户在IE浏览器地址栏中输入“http://172.16.0.81/certsrv/”并确认,访问CA的证书申请页面。
(2)邮件用户通过“申请一个证书”|“高级证书申请”|“创建并向此CA提交一个申请”,申请一张电子邮件保护证书。
(3)CA为邮件用户颁发电子邮件保护证书。
(4)邮件用户通过CA“证书服务主页”|“查看挂起的证书申请的状态”|“安装证书”将数字证书安装好。
3.邮件用户设置Outlook Express 4.发送签名电子邮件(未加密)
5.发送加密电子邮件
6.邮件用户验证邮件的加密作用(1)导出证书
(2)删除证书后查看加密邮件
(3)导入证书后查看加密邮件。
三、实验小结
此次试验使我了解到了数字证书的知识,以及对数据加密的理解,让我学到了数字证书的验证过程以及数据加密技术,其中涉及到公钥等重要概念,并且让我了解了数字证书以及数据加密在如今科技发展迅速的社会中的重要性
第二篇:PKI证书实验报告
实 验 报 告
本次实验报告包含以下实验内容
1. 最终用户证书申请 2. PKI统一管理 3. 交叉认证及信任管理 4. 非对称加密实验 5. 数字签名实验 6. SSL应用实验
姓名: 刘俊
学号: 10072130165 班级: 计算机一班
日期:3月22日
一、实验环境
1、数据库服务器:MYSQL
2、PKI服务器:JBoss3.2.5
3、客户端硬件:Pentium 2 400Mhz 以上,256M内存,与服务器的网络连接。
4、客户端软件:Java Swing(Java 1.4版本以上)
二、实验内容
1.进行证书申请
该PKI系统中进行证书申请,需提供以下信息:用户名、SubjectDN、保护私钥的密码、EMAIL地址、证件类型和号码、出生日期、证书用途。申请界面如下图所示:
1)在填写完注册信息后,日志窗口提示注册成功,没有出错信息(图1-2)。表明证书申请成功。
证书申请成功界面 2.进行证书申请管理
通过对实验提供的应用程序的使用,注意到在该PKI系统中可以对注册信息进行以下的注册管理:
1)否决请求:明确告诉申请者提交的信息是不合法的,并能阻止用户使用一些相关信息(如用户名、EMAIL、SubjectDN等等)再度申请。
2)删除信息:在提交的信息明显是无用的、垃圾信息或是误提交的信息时,管理员可以将这个信息删除。
3)准予签发:在提交的信息是有效的,而且能代表申请者本身真实的身份时,管理员可以为其签发证书。签发成功如图2-2所示 3.按证书状态查找证书
在提供的客户端程序中按照各种状态查找证书,图3-1列出了查找证书状态为活跃的查找结果,点选查找到的证书,在右边的文本框中将会出现证书的具体信息。由此可得出结论,在该PKI系统中,证书状态不仅仅是简单的有效和被撤销两种状态,还有“未激活的”(有效但不被系统认可)、“被临时撤销”(可随时恢复有效状态)以及“不属于任何人的”等等状态。这一些状态的设置在一定程度上丰富了整个系统的证书管理功能。
图3-1 证书状态为活跃的查找结果
4.改变证书状态 程序中提供的对证书的操作有激活证书、永久撤销以及临时撤销。激活证书是先查看处于未激活状态或是临时撤销的证书,认可其签发的有效性后,将其激活,表明证书已被系统认可。临时撤销的证书可以使用激活证书将其激活。永久撤销证书表明这个证书由于某种原因使得这个证书的有效性不再得以保证,在选择完撤销原因后,可以将其永久撤销。5.导出PKCS12证书
通过操作,发现只有处于激活状态的证书才能被导出。首先列出处于激活状态的证书,然后点选一张证书,按【导出证书】按钮,选择保存位置保存得到的证书。
在WINDOWS系统中双击得到的PKCS12文件,出现如图3-2所示的界面。点击下一步,出现如图3-3所示的提示输入密码的界面,可见得到的PKCS12文件是被密码所保护的。输入注册时填入的密码,导入成功。在浏览器中的工具>Internet选项>内容>证书(见图3-4),查找到导入的证书后,看到证书内容与申请时填写的身份信息一致。
图3-2 证书导入向导界面
图3-3密码输入界面
图3-4 证书详细信息
6.生成CRL并查看 在程序中通过对证书的永久撤销操作将一张序列号为7246b2ff9206b7ab的证书撤销,然后在CRL界面中点击【创建CRL】按钮,然后点击【导出CRL】将CRL保存到文件系统。在WINDOWS平台中点击导出的CRL文件,观察可得CRL中的撤销列表包含了我撤销的证书的序列号,如图3-5所示。证书撤销成功。
图3-5 证书撤销
7.设置CA证书策略
1)首先选择CA1作为设置对象。
2)以“普通用户”作为登入角色,设置CA1的信任策略,各项设置如图4-1所示。
3)完成信任策略设置后,再进行主体DN及证书有效期设置,并按下“更改”按钮完成CA1的所有设置。结果如图4-2所示。
4)重新选择“学生”作为登入角色,设置CA1的信任策略,结果与先前设置的结果相符。如图4-3所示。
5)最后按下“导出证书”按钮导出CA1的证书,在IE安装后,证书内容与设置的相符,如图4-4所示。
图4-1 信任策略设置
图4-2 完成信任策略设置
图4-3 可信策略设置
图4-4 IE中的CA1证书
8.设置终端用户证书策略
设置信任策略时,发现终端用户证书中只能设置“证书策略”及“策略映射”扩展项。
9.交叉认证的建立及策略管理 1)选择CA3向CA2建立交叉认证,为此交叉认证证书设置以下信任策略:
(1)路径约束为3(2)名字约束中PermitSubtree:O=test2及ExcludeSubtree::OU=test3(3)策略约束中RequireExplicitPolicy = 2及InhibitPolicyMapping = 3 设置后按下“签发交叉认证”完成交叉认证。
2)在“已签发的交叉认证”中选择“CA3->CA2”并按下“导出交叉认证证书”按钮,就能得到CA3向CA2签发的交叉认证证书,结果如图5-1所示。
图5-1 CA3向CA2签发的交叉认证
10.证书路径的构建及有效性验证
1)同时签发CA2向CA1的交叉认证、CA3向CA6的交叉认证及CA6向CA1的交叉认证,三个交叉认证都不设置信任策略。2)同时CA1的设置等于“信任管理实验”中CA1的设置。3)建立EE3对EE1的证书路径,返回结果如图5-2所示。
图5-2 证书路径构建结果
4)选择第一条路径进行验证,验证结果为:CA1的Subject DN 与
CA3->CA2的PermittedSubtree不相符。因为CA1证书中设置了主体DN为O=test1,OU=test1所以其主体DN中“O”项与CA3->CA2交叉认证证书中的名字约束中的PermittedSubtree:O=test2不相符,所以证书路径无效。若把CA1的主体DN收改为O=test2,OU=test1,则可顺利通过名字约束检证。
5)修改CA1证书DN后再验证证书路径,验证结果为:EE1路径长度大于CA3->CA2证书的路径约束。因为CA3->CA2证书中定义的路径约束为3,而以CA3为起点,EE1的路径长度为4,超出了CA3信任的范围,所以本路径无效。若要修改此错误,只能撤销CA3->CA2的交叉认证,重新签发,当中策略设置只要把路径约束改为4则可。6)修改了路径约束后,再进行此路径的验证,验证结果为:CA2->CA1必需有一个策略。因为CA3->CA2证书中的策略约束定义了RequireExplicitPolicy=2,所以CA2->CA1证书中没有定义任何证书策略,所以本路径无效。若要修改此错误,只能撤销CA2->CA1的交叉认证,重新签发,当中策略设置只要加入一个证书策略则可。7)完成修改后,再进行此路径的验证,验证结果为:CA1不能用策略映射因为其路径长度少于CA3->CA2的InhibitPolicyMapping的值。因为在“信任管理实验”中,CA1证书设置了策略映射,同时以CA3为起点,CA1的路径长度为2,以于InhibitPolicyMapping的值,因为大于InhibitPolicyMapping的值的证书才能应用策略映射,所以路径无效。要修改此错误,只要把CA1证书的策略映射去掉则可。8)完成以上修改,再进行此路径的验证,验证结果为:经验证后,该证书路径为有效。
11.非对称加密实验: 按照实验步骤完成该实验 12.数字签名实验: 按照实验步骤完成该实验 13.双向认证实验
双向认证的含义就是连接过程中客户端与服务端都建立彼此之间的信任关系,只有相互能够识别和信任,才能够进行正常的访问,有一方不信任另一方,那么连接被中断。
三、实验原理
本次实验设计的实验原理如下:
1.证书的概念 2.证书包含的内容 3.证书的主要用途
4. RA系统是CA的证书发放、管理的延伸,是整个CA中心得以正常运营不可缺少的一部分。与EE和CA完全兼容并可以互操作,支持同样的基本功能。在PKI中,RA通常能够支持多个EE和CA。
注册机构RA提供用户和CA之间的一个接口,它获取并认证用户的身份,向CA提出证书请求。它主要完成收集用户信息和确认用户身份的功能。注册管理一般由一个独立的注册机构(即RA)来承担。
对于一个规模较小的PKI应用系统来说,可把注册管理的职能由认证中心CA来完成,而不设立独立运行的RA。但这并不是取消了PKI的注册功能,而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成注册管理的任务,可以增强应用系统的安全。
5.在公钥体制环境中,必须有一个可信权威的机构来对任何一个主体的公钥进行公证,证明主体的身份以及它与公钥的匹配关系。CA正是这样的机构,它是PKI应用中权威的、可信任的、公正的第三方机构。
6.常用证书扩展项的类型及其用处
7.可信信任的概念 8.信任域的策略管理 9.交叉认证的概念 10.交叉认证的策略管理 11.证书路径的建立 12.证书路径有效性验证 13.证书包含的内容 14.证书的实时性原则
四、实验步骤
1.设置实验参数
图1 设置实验参数
2.最终用户证书申请
在申请页面中填写表格,带*的为必填项目。注意填写的内容要符合格式。在日志记录中看到成功消息后表示成功。
图2 最终用户证书申请
3.PKI统一管理
在证书管理中找到刚才申请的证书,激活该证书,然后在注册管理页面中的状态处选择证书已签发,可以看到刚才激活的证书。
图3 证书管理
图4 注册管理
注册管理日志记录
[7:36:16]服务器正在查找新注册的用户,请稍后...[7:36:16]找到7条符合要求的证书申请信息 [7:36:18]系统正在为用户产生RSA密钥对...[7:36:18]密钥对产生
[7:36:18]服务器正在签发证书,请稍候...[7:36:19]证书成功签发且用户信息成功更新 [7:36:19]服务器正在查找新注册的用户,请稍后...[7:36:19]找到6条符合要求的证书申请信息
证书管理日志记录
[7:36:30]服务器查找证书中,请稍后...[7:36:30]找到15个符合要求的证书 [7:36:31]服务器查找证书中,请稍后...[7:36:31]找到9个符合要求的证书 [7:36:32]服务器查找证书中,请稍后...[7:36:32]找到15个符合要求的证书 [7:36:35]服务器查找证书中,请稍后...[7:36:35]找到4个符合要求的证书
[7:36:38]服务器激活了gkmeteor用户的证书 [7:36:38]服务器查找证书中,请稍后...[7:36:38]找到3个符合要求的证书 [7:36:42]服务器查找证书中,请稍后...[7:36:42]找到3个符合要求的证书 [7:36:43]服务器查找证书中,请稍后...[7:36:43]找到15个符合要求的证书 [7:36:44]服务器查找证书中,请稍后...[7:36:44]找到10个符合要求的证书
[7:37:00]保存证书在C:Documents and SettingsAdministrator桌面gkmeteor.cer和C:Documents and SettingsAdministrator桌面gkmeteor.p12成功!
[7:37:12]CRL保存到: C:Documents and SettingsAdministrator桌面gkmeteor.crl
导出证书后,将得到的PKCS12证书在windows系统中打开(双击),输入申请时填写的保护私钥的密码后将证书和私钥导入windows浏览中的证书库中。成功后,点击浏览器中的工具>Internet选项>内容>证书(见图3-2),查找到导入的证书后,查看证书内容是否与申请时填写的身份信息一致。截下相关的图片以及写下相关结论到实验报告中。
之后,将得到的CRL文件在windows系统中打开(双击),见图3-3。查看是否包含操作示例程序时撤销的证书的序列号以及其他相关信息是否正确。截下相关的图片以及写下相关结论到实验报告中。
图5 证书导入向导
图6 Windows中查看证书
图7 Windows中查看CRL
4.交叉认证及信任管理
1.在界面上的“信任关系图”中,不同的图型分别代表根CA证书、子CA证书及终端用户证书,通过点选不同的证书来进行设置。当选择了证书后,在“证书内容”中会显示该证书相应的一些资料。首先选择一张CA证书,进行以下设置。2.对此证书设置一个有效期,可通过界面上的“有效期”进行配置。
3.也可以设置证书的主体DN,在此只提供组织/公司及部门的设置(这项设置影响到交叉认证实验中证书路径有效性的验证)。
图8 信任管理实验
4.可以自行选择是否为此证书添加策略,如果想添加,可以通过按下“设置..”按钮进行策略设置。按下“设置..”后会出现图4-2的对话框,选择登入身份,按下确定后,就会出现图4-3的对话框,此时可以进行策略设置。选择要为此证书设置哪些策略。
图9 角色登入对话框
5.完成所有设置后,按下“更新”按钮,就可以完成设置操作。
5.非对称加密实验
在非对称加密实验的页面中选择刚才激活的证书,并填写刚才设置的用户名和私钥密码。解密之后可以在日志信息中看到解密后的信息。
图10 非对称加密
非对称加密实验(接收方)日志记录 [07:46:16][正常][开始监听端口:8888]
[07:46:25][正常][收到来自ip: /127.0.0.1 的信息 信息为: AAAAgLhr/wvtbhnFb72AIxFcTSQAclBAVkzwsjlT+QzUeTOtpGY/tnb0Zj9fQPGY7mIxlLxbtLFY ncpVfmh6WwqHx7PqmW3KVutXQN4+LOIVGTURwzNgvwPR6n7G3JG7vmNQufxdHLUhC6zp1xMeujB3 OWWY6VJPNgbOevnOq62PcAEn9N66ag2FOqtgLw4KKXLU3N0KOcKJGNe7 请选择相应的证书中的私钥来解密] [07:46:46][正常][正在读取私钥…] [07:46:46][正常][成功读取私钥] [07:46:46][正常][利用私钥解密收到的会话密钥...] [07:46:46][正常][成功解出会话密钥,会话密钥为(BASE64编码): bXrVSp52j3+KrWvcv2dt6VQTLwfa3EWi] [07:46:46][正常][利用会话密钥解密收到的信息...] [07:46:46][正常][成功解得信息,信息为: 螺丝钉解放勒克司]
7. 数字签名实验
导入刚才激活的证书,验证签名,可以在日志信息中看到收到的信息没有被修改。
图11 数字签名实验
数字签名实验(发送方)日志记录 [07:45:01][正常][正在读取私钥…] [07:45:01][正常][成功读取私钥] [07:45:01][正常][正在生成消息摘要(MD5算法)...] [07:45:01][正常][成功生成消息摘要,消息摘要为(BASE64编码): cIkKB//yWj+OjySnK206QQ==] [07:45:01][正常][正在利用私钥签名待发送的消息摘要(RSA算法)...] [07:45:01][正常][完成数字签名,签名后数据(BASE64编码): dvylYbMpDxe0DJhpGNtqdya/4dvJPD3IPcl+En06ZXbFupJ3YO2x9FM1Hb2Owv3qo1VwsjwxrbEi /pT64r9OkOrlOwhCv9PvfWF2YupxI1ag/vqfMYu3agpYVRGJJZk4DOZIqA3YY39EMCTxdZan2uvs 2PMeH2IVACbGCERpbes=] [07:45:01][正常][发送签名后的信息...] [07:45:01][正常][成功发送签名信息]
数字签名实验(接收方)日志记录
[07:44:56][正常][开始监听端口:8889] [07:45:01][正常][收到来自ip: /127.0.0.1 的信息其用户名为: gkmeteor 信息为(BASE64编码): dvylYbMpDxe0DJhpGNtqdya/4dvJPD3IPcl+En06ZXbFupJ3YO2x9FM1Hb2Owv3qo1VwsjwxrbEi /pT64r9OkOrlOwhCv9PvfWF2YupxI1ag/vqfMYu3agpYVRGJJZk4DOZIqA3YY39EMCTxdZan2uvs 2PMeH2IVACbGCERpbes= 请选择相应的证书中的公钥来进行身份认证及收到的信息是否已被修改] [07:45:09][正常][正在读取证书...] [07:45:09][正常][成功读取证书.] [07:45:09][正常][正在读取公钥...] [07:45:09][正常][成功读取公钥,公钥为(BASE64编码): MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDU/dP4J6g9LXtn2i8YarhgyM4pH+2yImt6eOwV k2H+JUG/LaoPxMjZUI5nvVOzzHGNlYGE/isd0Rk+1BFNEUaLYJtAXd6KGlY/ii48mVAVErkZef87 dPYEdwcf1cNDuW7xjUJCnehhortOgv+RpidHqYFllbY6FqVKkt+/GXr2WwIDAQAB] [07:45:09][正常][正在进行身份认证...] [07:45:09][错误][收到的信息的消息摘要为(MD5算法,BASE64编码): cIkKB//yWj+OjySnK206QQ==] [07:45:09][正常][身份得到确认:
Subject DN为: C=China, ST=shanghai, L=minhang, O=cs, CN=sbsong
Serial Number为: ***4261 而且收到的信息没有被修改.]
8.SSL应用实验
选择服务器证书和服务器信任的证书。该步骤我们小组没有实现成功,原因是要在ie中安装服务器信任的证书。
SSL实验日志记录
[07:47:39][正常][请选择服务器出示给客户机的证书:server.keystore] [07:47:43][正常][请选择服务器出示给客户机的证书:server.keystore] [07:47:47][正常][请选择服务器出示给客户机的证书:server.keystore] [07:47:51][正常][已经选择好服务器自己的证书!等待验证] [07:47:51][正常][请选择单向认证或者双向认证!验证时请打开ie浏览器] [07:48:03][正常][证书选择正确,服务器双向认证已经启动,请执行ie访问!] [07:48:03][正常][双向认证(注意):请先在ie中安装服务端信任的证书才能正确访问]
五、实验总结分析
本次网络安全实验,我们做的主要是PKI证书管理。另外我最感兴趣的非对称加密实验和数字签名实验。这两个实验早在信息安全的课上我们就已经接触到了。我记得系庆
六、实验思考题
1. 在本实验环境中,在信息的安全传输上可能存在什么问题?如何解决? 用户提交的信息可能是私密的个人信息,为防止被第三方截取,应对用户填写的信息在网络中进行传输时进行保护。例如在WEB的HTTP中,可以使用SSL或是TLS进行加密传输。
2. 在本实验环境中,公私钥对将会是以何种方式产生的? 密钥对由CA生成。
3. 寻找至少一个有申请证书的web站点或技术文档,查看(1)申请证书时所需提供的信息(2)申请信息的安全性如何得到保障(3)独特之处。www.xiexiebang.comu。edu。cn
第三篇:网络安全实验报告(定稿)
长江大学
网络安全实验报告
实验名称:利用PGP实施非对称加密 院 系: 国际教育学院 班 级: 计专71301 学生姓名: 学 号:
指导老师: 黄艳娟 时 间:
一、实验目的及要求
1、实验目的
1)掌握保护文件在通过互联网传输时不被其它人看到,即对机密性保护方法;
2)能对保护文件在通过互联网传输时的不被修改或破坏,即提供完整性保护方法;
3)接收者能确认出发送此文件的人是谁,即为源认证提供保护; 4)能合理选用加密算法,区分对称与非对称加密。了解不同加密算法的应用场合。
2、实验要求
1)对两种加密算法的理解、分析与对比,能对两种加密算法的综合运用提出自己的观点。学会数据的机密性、完整性与源认证进行保护方法;2)能利用PGP软件,生成密钥对,并能导入导出公钥,正确对文档进行加密与签名处理,实现对数据的机密性、完整性与源认证进行保护;3)对文档加密与签名的安全防护措施有效并符合标准与规范;4)能够采用正确的方法对加密措施进行检查,并能说明查验过程中的各步骤理论依据。
二、实验设备(环境)及要求
1、系统:Windows 10 x64
2、加密软件:PGP
三、实验内容
加密是指将数据进行编码,使它成为一种按常规不可理解的形式,这种不可理解的内容叫密文。解密是加密的逆过程,即将密文还原成原来可理解的形式。
数据加密技术的关键元素包括加密算法和密钥。加密算法是一组打乱和恢复数据的指令集或一个数学公式。密钥则是算法中的可变参数。
对同样的明文,可使用不同的加密算法。即使使用相同的加密算法,如果使用的密钥不同也会得出不同的密文。
四、实验步骤
1、安装 PGP 选择英语。
同意,下一步。
等待安装。
重启计算机,yes。
2、创建新密钥
打开PGP后,file-新建PGP密钥。
下一步
3、加密文字内容
选中加密内容,复制。
选中加密内容后,右键右下方任务栏PGP的图标,选择如图。
粘贴如图,加密后内容。
4、签名文字内容
选中要签名的内容,复制。
复制后,右键电脑右下角任务栏PGP图标,操作如图。
粘贴结果,如图
五、实验结果及分析
实验结果:使用PGP成功加密和签名了所选文本。成功的进行了解密与验证,并成功的检验了它的有效性。
实验分析:对称密钥加密体制的优点是加密处理简单,加密解密速度快。通常算法的特点决定对称加密比非对称加密算法要简单,在硬件加密的实现上也较容易,成本也较低。例如思科的VPN集中器低端产品采用的是软件加密,但对大用户需求的网络中,要采用基于硬件加密设计的高端思科的VPN集中器产品。缺点是密钥管理困难。举例说明:如果有N个人,要想两两间进行加密通信,则每一方至少要有保管N-1个密钥。当然数量上的差别并不是主要的,最重要的是密钥的维护与管理上。
非对称密钥加密体制的优点是解决了密钥管理问题,通过特有的密钥发放体制,使得当用户数大幅度增加时,密钥也不会向外扩散;由于密钥已事先分配,不需要在通信过程中传输密钥,安全性大大提高;具有很高的加密强度。缺点是加密、解密的速度慢。
第四篇:网络安全实验报告
中南大学
网络安全 实验报告
学生姓名 学 院 信息科学与工程学院 专业班级 完成时间
《网络安全》实验
目录
1.实验1:CA证书与SSL连接..................................................................................3 1.1 应用场景.........................................................................................................3 1.2 实验目标.........................................................................................................3 1.3 实验过程.........................................................................................................3 2.实验2.1 :配置和管理主机防火墙.......................................................................18 2.1 应用场景.......................................................................................................18 2.2 实验目标.......................................................................................................18 2.3 实验过程.......................................................................................................19 3.实验2.2 :综合扫描实验.......................................................................................27 3.1 应用场景.......................................................................................................27 3.2 实验目标.......................................................................................................27 3.3 实验过程.......................................................................................................28 4.实验4 :WIFI钓鱼................................................................................................36 4.1 应用场景.......................................................................................................36 4.2 实验目标.......................................................................................................36 4.3 实验过程.......................................................................................................36 5.实验5 :网络ARP攻击........................................................................................39 5.1 应用场景.......................................................................................................39 5.2 实验目标.......................................................................................................40 5.3 实验过程.......................................................................................................40 6.总结.........................................................................................................................46
《网络安全》实验
网络安全
1.实验1:CA证书与SSL连接
1.1 应用场景
在访问Web 站点时,如果没有较强的安全措施,用户访问的数据是可以使用网络工具捕获并分析出来的。在Web 站点的身份验证中,有一种基本身份验证,要求用户访问输入用户名和密码时,是以明文形式发送密码的,蓄意破坏安全性的人可以使用协议分析程序破译出用户名和密码。那我们该如果避免呢?可利用SSL 通信协议,在Web 服务器上启用安全通道以实现高安全性。
SSL 协议位于TCP/IP 协议与各种应用层协议之间,为数据通讯提供安全支持。SSL 协议可分为两层: SSL 记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL 握手协议(SSL Handshake Protocol):它建立在SSL 记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。每一个Windows Server 2003 证书颁发机构都有可供用户和管理员使用的网页。
1.2 实验目标
(1)掌握在Windows Server 2003 下独立根CA 的安装和使用;(2)使用WEB 方式申请证书和安装证书;(3)建立SSL 网站;
(4)分析SSL 网站的数据包特点。
1.3 实验过程
环境配置:
按照实验指导书上所示配置实验拓扑图。
《网络安全》实验
任务一:windows server 2003 环境下独立根CA 的安装及使用
1、启动Windows Server 2003 和Windows XP,配置其IP,使其在同一局域网网段;
《网络安全》实验
2、在Windows Server 2003 中,选择【开始】|【控制面板】|【添加和删除程序】,在弹出窗口中选择【添加和删除windows 组件】,在【组件】列表框中选择【证书服务】,再单击【下一步】按钮,如下图所示。
3、在弹出的窗口中选择【独立根CA】单选按钮,单击【下一步】按钮,在弹出窗口中按要求依次填入CA 所要求的信息,单击【下一步】按钮,如下图所示。
《网络安全》实验
4、继续选择【证书数据库】、【数据库日志】和配置信息的安装、存放路径,如下图所示,单击【下一步】按钮。安装的时候,可能会弹出如下窗口,为了实验方便,已经把I386 文件夹复制到C:下,选择【浏览】,选择文件夹“C:I386”,点【确定】,完成安装。
《网络安全》实验
5、选择【开始】|【程序】|【管理工具】,可以找到【证书颁发机构】,说明CA 的安装已经完成,如下图所示。
6、从同一局域网中的另外一台XP 开启IE 浏览器,输入http://windows2003 的IP/certsrv/,选中【申请一个证书】,如下图所示,在弹出的页面中选择【web 浏览器证书】。
7、在弹出窗口中填写用户的身份信息,完成后进行【提交】。此种情况下,IE 浏览器采用默认的加密算法生成公钥对,私钥保存在本地计算机中,公钥和用户身份信息按照标准的格式发给CA 服务器,如图所示,单击【是】,进入下一步。CA 服务器响应后,弹出证书申请成功页面,如下图所示。
《网络安全》实验
8、在根CA 所在的计算机上,选择【开始】|【程序】|【管理工具】|【证书颁发机构】,上面申请的证书便会出现在窗口右边,选择证书单击右键,选择【所有任务】|【颁发】,进行证书颁发,如下图所示。证书颁发后将从【挂起的申请】文件夹转入【颁发的证书】文件夹中,表示证书颁发完成。
9、在申请证书的计算机上打开IE,输入http://windows2003 的IP/certsrv/,进入证书申请页面,选择【查看挂起的证书申请状态】,弹出的页面中选择一个已经提交的证书申请,如下图所示。选择安装此证书。
《网络安全》实验
10、现在验证此CA 系统颁发的新证书是否可信,为此需要安装CA 系统的根证书,进入证书申请主页面,选择当前的CA 证书进行下载,并保存到合适路径,如下图所示。
11、下载完毕之后,在证书的保存目录中查看证书信息,单击【安装证书】按钮,进入证书导入向导,按照默认的配置完成证书的导入,导入成功后,单击【确定】按钮,之后完成。
《网络安全》实验
任务二:基于Web 的SSL 连接设置
1、在XP 中,左下角【开始】,打开【Wireshark】,并点击开始抓包的按钮。打开IE 浏览器,输入网址http://windows2003 的IP/?id=1(比如:http://192.168.1.130/?id=1),然后保存Wireshark的抓包结果1。
2、选择【开始】|【程序】|【管理工具】|【IIS(Internet 信息服务)管理器】,在弹出窗口右键单击【默认网站】,弹出的快捷菜单中选择【属性】选项,如下图所示。
3、在弹出窗口内选择【目录安全性】标签,单击【安全通信】中的【服务器证书】按钮,如下图所示。
《网络安全》实验
4、弹出【IIS 证书向导】窗口,选中【新建证书】复选项,一直单击【下一步】按钮,输入自定义的名称,如下图所示。填写相应的信息后,单击【下一步】按钮。
5、弹出【请求文件摘要】窗口,确认后单击【下一步】按钮,接着单击【完成】按钮,完成服务器端证书配置,如下图所示。
《网络安全》实验
6、打开IE 浏览器(windows2003 中的),进入证书申请主界面,如下图所示。
7、在出现的网页中选择【高级证书申请】,如图所示,在出现的网页中单击
《网络安全》实验
8、回到首页,选择【查看挂起的证书申请状态】,弹出的页面中选择一个已经提交的证书申请,如下图所示。选择【Base 64 编码】,点击【下载证书】,【保存】certnew.cer 文件到桌面。
《网络安全》实验
9、选择【开始】|【程序】|【管理工具】|【IIS(Internet 信息服务)管理器】,在弹出窗口右键单击【默认网站】,弹出的快捷菜单中选择【属性】选项,在弹出窗口内选择【目录安全性】标签,选择【服务器证书】,选择【下一步】,【处理挂起的请求并安装证书】选择【下一步】,【浏览】选择刚才保存的certnew.cer 文件,如下图所示。【下一步】【下一步】【完成】。
10、还是在【目录安全性】下,选择【安全通信】下的【编辑】,在下如图所示的弹出窗口中选中【要求安全通道(SSL)】复选项,并在【客户端证书】栏中选中【接受客户端证书】复选项,再单击【确定】按钮。返回【目录安全性】面板,单击【应用】按钮及【确定】按钮,完成配置。
《网络安全》实验
11、在XP 系统打开浏览器,输入服务器IP 地址,进入证书申请主页面,此时会显示错误信息页面,要求采用https 的方式连接服务器,如图所示。
12、把http 改成https 继续访问,此时浏览器提示你要安装证书,安装完证书后,就可以正常使用了。
《网络安全》实验、再次打开Wireshark,并点击开始抓包的按钮。打开IE 浏览器,输入网址https://windows2003 的IP/?id=1(比如:https://192.168.1.130/?id=1),然后
《网络安全》实验
保存Wireshark 的抓包结果2。
14、分析比较抓包结果1 和抓包结果2 中,对IP/?id=1 请求处理的差异。
《网络安全》实验
2.实验2.1 :配置和管理主机防火墙
2.1 应用场景
对于 Internet 上的系统,不管是什么情况首先我们要明确一点:网络安全是不安全的。因此,虽然创建一个防火墙并不能保证系统 因此,虽然创建一个防火墙并不能保证系统 因此,虽然创建一个防火墙并不能保证系统100% 安全,但却是绝对必要的。和社会上其它任何事物一样,Internet经常会受到一些无聊的或者别有用心的人的干扰,防火墙目的就是将这类人挡在你的网络之外,同时使你仍然可以完成自己工作。
那么构筑怎样的Linux 防火墙系统才算是足够安全呢?这一个很难回答的问题,因为不同的应用环境对安全要求不一样。用一句比较恰当而且简单话来回答这个问题:用户了解自己的Linux系统和设置,并且可以很好地保护自己的数据机密文件安全系统和设置,并且可以很好地保护自己的数据和机密文件的安全,这对于该计算机用户来说就可以称之为他的有足够的安全性。
那么到底什么是防火墙呢?防火墙是一个或一组系统,它在网络之间执行访问控制策略。实现防火墙的实际方式各不相同,但是在原则上,防火墙可以被认为是这样一对机制:一种机制是阻拦传输流通行,另一种机制是允许传输流通过。一些防火墙偏重阻拦传输流的通行,而另一些防火墙则偏重允许传输流通过。了解有关防火墙的最重要的概念就是它实现了一种访问控制策略。
一般来说,防火墙在配置上是防止来自“外部”世界未经授权的交互式登录的。这大大有助于防止破坏者登录到你网络中的计算机上。一些设计更为精巧的防火墙可以防止来自外部的传输流进入内部,但又允许用户可以自由地与外部通信。如果你切断防火墙的话部的传输流进入内,但又允许用户可以自由地与外通信。如果你切断防火墙的话,它可以保护你免受网络上任何类型的攻击。防火墙另一个非常重要特性是可以提供单独的“拦阻点”,在“拦阻点”上设置安全和审计检查。与算机系统正受到某些人利用调制解器拨入攻击的情况不同,防火墙可以发挥一种有效“电话监听”和跟踪工具的作用。防火墙提供了一种重要的记录和审计功能;它们经常可以向管理员些情况概要,提供有关通过防火墙的传输流的类型和数量,以及有多少次试图闯入防火墙的企图等信息。
因此本实验将介绍如何配置Linux防火墙。
2.2 实验目标
1.掌握linux下基本的 iptables iptables知识; 2.学会配置iptables。
《网络安全》实验
2.3 实验过程
环境配置:
按照实验指导书上所示配置实验拓扑图。
一.Iptables的规则表、链结构
1.规则表(iptables管理 4个不同的规则表,其功能由独立内核模块实现)
filter表:包含三个链INPUT、OUTPUT、FORWARD; nat表:PREROUTING、POSTROTING、OUTPUT; mangle表:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD; raw表:OUTPUT、PREROUTING。2.规则链
INPUT链:当收到访问防火墙本机的数据包(入站)时,应用此链; OUTPUT链:当防火墙本机向外发送数据包(出站)时,应用此链;
FORWARD链 收到需要通过防火墙发送给其他地址的数据包,应用此链; PREROUTING链:做路由选择之前,应用此链;
POSTROUTING链:对数据包做出路由选择之后,应用此链。二.数据包的匹配流程 1.规则表之间的优先级
raw mangle nat filter 2.规则链之间的优先级
入站数据流向:来自外界的包到达防火墙,首先PREROUTING规则链处理(是否被修改地址),之后会进行路由选择(判断该数据包应发往何处),如果数据包的目标地址是防火墙本机,那么内核将其传递给 址是防火墙本机,那么内核将其传递给INPUT链进行处理,通过以后再交给上次的应用程序进行响应。
转发数据流向:来自外界的包到达防火墙后,首先被 PREROUTING规则链处理,之后进行路由选择,如果数据包的目标地址是其他外部地址,则内核将传
《网络安全》实验
递给FPRWARD链进行处理,然后再交给POSTROUTIING规则链(是否修改数据包的地址等)进行处理。
出站数据流向:防火墙本身向外部地址发送包,首先被 OUTPUT规则链处理,之后进行路由选择,然后交给POSTROUTING规则链(是否修改数据包的地址等)进行处 规则链(是否修改数据包的地址等)进行处 规则链(是否修改数据包的地址等)进行处理。
3.规则链内部各防火墙之间的优先顺序
依次按
《网络安全》实验
3.设置规则链的默认策略
# iptables-t filter-P FORWARD DROP //将filter表中FORWARD规则的默认策略设为DROP # iptables-P OUTPUT ACCEPT //将filter表中OUTPUT规则的默认策略设为ACCEPT
《网络安全》实验
四.条件匹配
1.通用(general)条件匹配(直接使用,而不依赖于其他的条件匹配及扩展)协议匹配(允许使用的名包含在/etc/protocols文件中)
# iptables-A INPUT-p icmp-j REJECT //拒绝进入防火墙的所有icmp数据包
地址匹配
拒绝转发来自192.168.1.11主机的数据,允许转发来自192.168.0./24网段的数据 # iptables-A FORWARD-s 192.168.1.11-j REJECT
《网络安全》实验
2.隐含(implicit)条件匹配(需要指定的协议为前提,其对应功能由iptables自动(隐含)的装载入内核),如果无匹配条件,默认为 动REJECT。端口匹配
仅允许系统管理员从 202.13.0.0/16网段使用SSH方式远程登录防火墙主机 # iptables-A INPUT-p tcp--dport 22-s 202.13.0.0/16-j ACCEPT # iptables-A INPUT-p tcp--dport 22-j DROP
《网络安全》实验
五.在进行了上述规则讲解与熟悉后,接下来的步骤进行防火墙规则配置与测试
禁止Windows主机ping防火墙linux主机,但是允许从防火墙上ping其他主机(允许接受ICMP回应数据)
1.配置linux防火墙主机ip地址,如下图所示 :
《网络安全》实验
2.配置windows主机ip地址,如下图所示:
3.配置linux主机防火墙规则,如下图所示:
4.在此在windows主机和linux主机上进行相互ping测试,结果如下图所示:
《网络安全》实验
windows主机无法ping通linux防火墙主机,但是linux主机可以ping通 windows主机。
《网络安全》实验
3.实验2.2 :综合扫描实验
3.1 应用场景
随着计算机网络的普及和发展,人们利用网络可以方便快捷地进行各种信息处理,例如,网上办公、电子商务、分布式数据处理等。但网络也存在不容忽视的问题,例如,用户的数据被篡改、合法用户被冒充、通信被中断等。面临着大量的网络入侵事件,就必须要求在一个开放式的计算机网络物理环境中构造一个封闭的逻辑环境来保障敏感信息和密数据不受到攻击。为此迫切需要对网络安全作分类研究,把各种问题清楚有序地组织起来,从而构建一个合理、安全高效的网络防御体系。
网络安全保护的核心是如何在网络环境下保证数据本身的秘密性、完整与操作的正确性、合法性与不可否认性。而网络攻击的目正相反,其立足于以各种方式通过破坏数据的秘密性和完整性或进行某些非法操作。
网络及其应用的广泛发展,安全威胁呈现出攻击种类、方法和总体数量越来多、破坏性和系统恢复难度也越来大。这就要求我们对攻击方法有更进一步的研究;对安全策略 有更完善的发展,建立起一个全面的、可靠的、高效的安全体系。
漏洞扫描程序对于每个都有自己的探测并以插件形式来调用,用户可根据需要扫描的漏洞来调度相应探测程序。探测程序的来源有两种:首先是提炼漏洞的特征码构造发送数据包,其次是直接采用一些安全站点公布的漏洞试探程序。其本质就是模拟黑客的入侵过程,但是在程度上加以限制,防止侵害到目标主机。可看出要恰好处的控探入侵程度是非常关键并具有较大难度的。因为程度太浅就无法保证探测的准确性,程度太深就会变成黑客入侵工具。有效的探测程序不仅取决于漏洞特征码提炼是否精确而且受到漏洞本身特性的影响。例如对缓冲区溢出漏探测,黑客攻击通常是发送精心构造一串字符串到目标主机没有加以边界判别的缓冲区,作为探测程序,为了模拟这个过程,我们可以同样发送一串很长但没有任何意义的字符串,查看目标主机有没有报错应答。如果有,说明对该缓冲区的边界长度越作出了判断,但是如果没有回应,作为探测程序无法再继续发送精心构造的字符串来查看对方应答,因为这样可能导致入侵的发生。其后处理式一种是认定对方存在这漏洞,一种是交给用户去判断,因为可能尽管目标主机没有报错但是实际上已经进行了处理。
3.2 实验目标
(1)掌握漏洞扫描技术原理;
(2)了解常见的系统漏洞及防范方法;(3)掌握典型的综合扫描工具。
《网络安全》实验
3.3 实验过程
环境配置:
按照实验指导书上所示配置实验拓扑图。
启动虚拟机,并设置虚拟机的IP地址,以综合扫描服务端为目标主机进行攻防试验。个别实验学生可以以2人一组的形式,互为攻击方和被攻击方来做实验。
一. 设置X-Scan 参数。
1.打开综合扫描客户端运行界面进行设置,点击菜单栏“设置”中的参数设置进入参数设置界面如下:
《网络安全》实验
“地址簿”可将预先添加好的各个地址直接加入到ip地址内。
2.全局设置:此模块包含所有性扫描选项。
(1)扫描模块:主要包含一些服务和协议弱口令等信息的扫描,根据字典探测机各种服务的开启情况及相应弱口令,对应到每一项都有相应的说明,如图所示的远程操作系统。
《网络安全》实验
(2)并发扫描:主要是对扫描的并发数量进行设置,包括最大并发主机数、最大并发线程数和各插件最大并发量的设置。
(3)扫描报告:对主机进行扫描完成后的报告生成情况进行设定。
《网络安全》实验
(4)其它设置:主要是对扫描过程中进度的显示和附加一些设置,可根据教学需要进行设置。
3.插件设置:此模块包含各扫描插件的相关设置。
(1)端口相关设置:主要设置想要扫描的各个端口、检测方式和预设的各个服务协议的端口等内容:
《网络安全》实验
(2)SNMP相关设置:主要检测SNMP 的相关信息:
(3)NETBIOS相关设置:主要设置检测NETBIOS的相关信息:
《网络安全》实验
(4)漏洞检测脚本设置:主要是针对于各个漏洞编写的检测脚本进行筛选,选择需要利用的脚本,为方便起见一般设置为全选,也可格局自己需要选择:
(5)CGI相关设置:对CGI的一些参数进行设置:
《网络安全》实验
(6)字典文件设置:主要是对扫描过程中所需用到的进行选取,也可自己手动进行添加数据字典:
二. 进行扫描:
设置完成后点击绿色按钮或菜单中文件->开始扫描进行探测,此的扫描速度
《网络安全》实验
与网络环境情况和本机配置等有关,不尽相同:
1.报告生成:
扫描完成后会根据报告设置中自动生成报告项生成报告:
2.根据探测扫描报告取得的信息进行漏洞测试:
由扫描结果可知,该计算机无漏洞。
采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能。扫描内容包括:远程服务类型、操作系统及版本,各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等。
《网络安全》实验
4.实验4 :WIFI钓鱼
4.1 应用场景
用智能手机上网,手机可以自动搜索到附近的Wi-Fi网络账号,有时甚至有多个账号供选择登录上网,多数WiFi网络账号需要登录密码,而在机场咖啡店等公共场所,WiFi网络一般是不需要密码的,部分商家把免费WiFi网络作为招揽人气的手段,但也给“钓鱼WiFi”窃取账号、密码的机会,无论使用电脑、iPad,还是手机,通过WiFi上网时,只要用户正确操作,黑客都无法获取网银和支付宝。
用户通过手机客户端程序使用手机银行时,通过WAP(为无线应用协议,是一项全球性的网络通信协议)方式与银行系统建立联系,并进行账户查询、转账、缴费付款、消费支付等金融服务。与一般上网方式不同,WAP方式中手机银行的账户信息是经过静态加密处理的,更加安全。
手机银行的认证手段也能有效防范他人冒用账号和密码。认证手段是审查接收数据的人是否为授权用户、数据是否篡改,用来保证数据是真实可靠的,使用者是被授权的。
当通过工商银行进行涉及账户资金变动的操作时,输入账号和密码后,银行会提示输入特定的电子口令,这些方法都能有效杜绝账号被盗后的使用。
个人网上银行则会采用https的加密协议来保障交易安全。当用户在电脑上使用个人网上银行时,页面跳转到账户信息输入,网址栏就由http变为https,而且在最后还多了一只“小挂锁”,这表示只有银行方面才能正确解密。同样的用电脑通过https方式访问个人网上银行时,也有认证手段的保护,例如口令卡和U盾。
4.2 实验目标
了解WiFi钓鱼的步骤,学会防范WiFi钓鱼。
4.3 实验过程
步骤一 共享WIFI
工具:电脑、WIN7 系统、无线网卡 步骤:
1.开始菜单-->命令提示符(cmd)-->右键,以管理员身份运行 2.运行以下命令启用虚拟网卡
netsh wlan set hostednetwork mode=allow ssid=(这里写无线网名字)key=(这里是密码)
《网络安全》实验
3.网络共享中心-->更改高级适配器设置-->右键已连接到Internet 的网络连接-->属性-->切换到“共享”选项卡,选中其中的复选框,并选择允许其共享Internet 的网络连接,这里即我们的虚拟WIFI 网卡
4.开启无线网络,继续在命令提示符中运行以下命令: netsh wlan start hostednetwork 即可开启我们之前设置好的无线网络(相当于打开路由器的无线功能)
步骤二WIFI 钓鱼
工具:其他笔记本或手机、Wareshark 步骤
1.搜索到刚刚设置的WIFI,连接上(密码为刚刚设置的key:12345678)
《网络安全》实验
2.在笔记本上打开wareshark,选择capture-->interfaces
3.选择Packets 最多的项,点击start 按钮
《网络安全》实验
4.在手机或笔记本上打开中南大学邮箱网站:http://mail.csu.edu.cn/,在主机上用wareshark 捕捉http 的包(这里大家可以自由实验,能监控到连接到该WIFI 的机器的所有包的情况)
5.在手机或笔记本上输入用户名和密码,点击登录
6.在主机上用wareshark 捕捉到刚刚post 提交的http 包,右键选择Follow tcp stream 7.可以看到刚刚提交的用户名和密码,且是未经过加密的
5.实验5 :网络ARP攻击
5.1 应用场景
由于局域网的络流通不是根据IP地址进行,而是按照MAC地址进行传输。所以,那个伪造出来的MAC地址主机上被改变成一个不存在的MAC地址,这样就会造成网络不通,这就是一个简单的ARP欺骗,在该ARP欺骗中,我们实
《网络安全》实验
施的过程包括包捕获,包修改,包植入三个阶段;通过该过程理解ARP欺骗的过程及原理。
5.2 实验目标
(1)能够通过包编辑器构造虚假ARP数据包;(2)能够向目标主机发起ARP欺骗攻击;(3)了解ARP欺骗的原理;
(4)能够根据原理思考并设计实验内容。
5.3 实验过程
环境配置:
按照实验指导书上所示配置实验拓扑图。启动Windows Server 2003为服务器角色 在客户端通过ping命令对服务器ip进行检测 在客户端运行arp-a查看arp缓存,获得服务器的MAC地址
《网络安全》实验 在客户端的C:Program FilesProgramIris中启动Iris,运行DAMN_Iris3809文件生成Iris所需要信息。
《网络安全》实验 在Iris中进行网卡配置。选择左侧的Adapters。在右侧选择要进行捕获的网卡。点击确定。点击Iris左侧的Filters设置过滤器 选择ARP和反向ARP,从而对网络中的ARP数据包进行监听
《网络安全》实验 确定之后点击开始,开始捕获网络中的数据包 禁用服务器端网卡。再启用服务器端网卡,使之产生ARP报文。
会捕获到网卡状态变化引起的arp消息 在其中随意选择右边一个ARP请求的数据包,左侧的包编辑器中打开展开细项。
《网络安全》实验 点击MAC头中的Destination选项,将该数据包MAC头信息中目的MAC改为欲攻击服务器的MAC(服务器MAC地址通过在客户端运行arp –a查看)并且将ARP头部的发送MAC修改为虚假MAC(虚假MAC随意指定,建议改变真MAC的后两位)发送IP与欲攻击的服务器IP一致(这里服务器ip 是10.1.1.90)
《网络安全》实验 目标MAC和目标MAC需要按被攻击的服务器进行设定。目标地址改为被攻击服务端的mac。目标ip改成被攻击服务端ip地址 设定后,将该数据包保存
《网络安全》实验 在网络上连续不断发送此数据包 19 如下图所示选择持续发送。服务端报错,并且该对话框不间断弹出无法正常提供服务。
6.总结
实验课让我对网络安全的认识进一步加深,理论结合实际使我明白了很多课本上学不到的东西,不仅进一步学会了网络安全知识的概念,以及初步掌握了防范和攻击的技能,懂得了软件的运用和原理,为了以后计算机安全方面多了一分经验和能力。积累网络安全实践经验具有非常重要的意义。
我想学习的目的不在于考试获得学分,而是为了获取知识,获取工作技能,为了能适应社会的需求,通过学习保证完成将来的工作。通过本课程,我明白了“细节决定成败”“一份耕耘,一份收获”的道理。
第五篇:网络安全实验报告
络 信 息 安 全》实 验 报 告
学 校:江苏科技大学
专 业:12级计算机科学与技术(中法)导 师:李永忠 学 号: 学员姓名: 2014-6-4
《网
实验一 DES算法应用
一、实验目的
1.学会并实现DES 算法
2.理解对称密码体制的基本思想 3.掌握数据加密和解密的基本过程
二、实验内容
根据DES 加密标准,用C++设计编写符合DES 算法思想的加、解密程序,能够实现
对字符串和数组的加密和解密。
三、实验的原理
美国IBM 公司W.Tuchman 和 C.Meyer 1971-1972 年研制成功。1967 年美国Horst Feistel 提出的理论。美国国家标准局(NBS)1973 年5 月到1974 年8 月两次发布通告,公开征求用于电子
计算机的加密算法。经评选从一大批算法中采纳了IBM 的LUCIFER 方案。DES 算法1975 年3 月公开发表,1977 年1 月15 日由美国国家标准局颁布为联邦数
据加密标准(Data Encryption Standard),于1977 年7 月15 日生效。为二进制编码数据设计的,可以对计算机数据进行密码保护的数学运算。DES 的保密
性仅取决于对密钥的保密,而算法是公开的。64 位明文变换到64 位密文,密钥64 位,实际可用密钥长度为56 位。
运行结果是:
四、思考
1.影响DES密码体制安全的因素主要是密钥的健壮性。
2.DES密码体制中加密算法和解密算法流程相同,区别在于解密使用的子密钥和加密的子密钥相反
实验
二、操作系统安全配置
一. 实验目的
1.熟悉Windows NT/XP/2000系统的安全配置 2.理解可信计算机评价准则
二. 实验内容 1.Windows系统注册表的配置
点击“开始运行”选项,键入“regedit”命令打开注册表编辑器,学习并修改有关网络及安全的一些表项
2.Windows系统的安全服务
a.打开“控制面板管理工具本地安全策略”,查阅并修改有效项目的设置。
b.打开“控制面板管理工具事件查看器”,查阅并理解系统日志,选几例,分析并说明不同类型的事件含义。3.IE浏览器安全设置
打开Internet Explorer菜单栏上的“工具Internet选项”,调整或修改“安全”、“隐私”、“内容”等栏目的设置,分析、观察并验证你的修改。4.Internet 信息服务安全设置
打开“控制面板管理工具Internet 信息服务”,修改有关网络及安全的一些设置,并启动www.xiexiebang.com 遇到错误“无法启动服务,原因可能是已被禁用或与其相关联的设备没有启动。”,试图以参数“”启动服务 wuauserv 以运行服务器: {9B1F122C-2982-4E91-AA8B-E071D54F2A4D}
3.IE浏览器安全设计
打开Internet Explorer菜单栏上的“工具Internet选项”,调整或修改“安全”、“隐私”、“内容”等栏目的设置,分析、观察并验证你的修改。
首先打开internet选项,看安全项:
在这一项中可以设计受信任站点和不信任站点,选项中可以设定,你在上网浏览网页的安全级别,对应的安全级别它可以控制你在网上,获取内容的范围,很多的恶意站点可以用这个种基础的办法来屏蔽,假设将www.xiexiebang.com(202.117.216.94):(The 1657 ports scanned but not shown below are in state: closed)PORT
STATE SERVICE 135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 1025/tcp open NFS-or-IIS 3306/tcp open mysql 5000/tcp open UPnP MAC Address: 00:0A:E6:EC:16:DF(Elitegroup Computer System Co.(EC
Nmap finished: 1 IP address(1 host up)scanned in 0.774 seconds 可见202.117.216.94这台机器的135、139、445、1025、3306、5000端口是开放状态,提供的服务从Service列表中可以读出,而且都是支持TCP协议的。(2)、windump抓包
运行参数为:windump [-aAdDeflnNOpqRStuvxX] [-B size] [-c count] [-C file_size ] [-F file ] [-i interface ] [-r file ] [-s snaplen ] [-T type ] [-w file ] [-E algo:secret ] [ expression ] 实验用windump来监听三次握手,结果如下:
看第二幅图的第五和六行。其中18:07:40.606784表示时间;202.117.216.94为源IP地址,端口1525,就是我自己的这台电脑;202.117.216.148是目的地址,端口23,S2352945221:2352945221(0)表示我的电脑主动发起了一个SYN请求,这是第一步握手,2352945221是请求端的初始序列号;win 16384表示发端通告的窗口大小;mss 1460表示由发端指明的最大报文段长度。这两行所表示的含义是IP地址为202.117.216.94的电脑向IP地址为202.117.216.148的电脑发起一个TCP的连接请求。
然后看第第七和八行,源IP地址为202.117.216.148,而目的IP地址变为202.117.216.94;后面是S2987805145:2987805145(0)ack 2352945222,这是第二步握手,2987805145是服务器端所给的初始序列号,ack 2352945222是确认序号,是对第五行中客户端发起请求的初始序列号加1。该行表示服务器端接受客户端发起的TCP连接请求,并发出自己的初始序列号。
看第九和十行,这是三步握手的最后一步,客户端发送ack 1,表示三步握手已经正常结束,下面就可以传送数据了。
使用了-n的参数,表示源地址和目的地址不采用主机名的形式显示而采用IP地址的形式。
从上图可以看到数据包的头部是DLC层协议的内容:标明了第一个FRAME到达的时间、FRAME的大小、源的数据链路层的号(例如我可以看到我自己的数据链路层号为:000AE6EC16DF,目的主机的数据链路层号为:000A8A99BB80,www.xiexiebang.com)、Ethertype=0800(IP)。
可见IP头部的内容中包含了协议的版本(我们现在用的版本一般都是IPV4)、包总长度为48bytes,源地址的IP(202.117.55.94)、目的端的IP(202.117.1.13)、FRAME的总长度、头校验和(8B88(CORRECT))等内容。
上图是TCP协议的头信息,其中包含了源端口号(1058)、目的端的端口号(80)、初始序列号(4236954999)、下一个希望得到的包的序列号(4236955000)、校验和(Checksum=0654(correct))、标志位Flags=02、数据offset=28bytes等信息。
最后是详细的http协议的内容,其中包含了HTTP版本号(1.1)等信息。
三、实验结论:
扫描网络可以知道别人的一举一动,可以提高自己的安全意识,在以后的学习中更加注意加强安全意识。通过这次实验熟悉了windump操作及sniffer软件的使用,实验最后结果符合要求,达到了这次实验的目的。
实验
四、PGP软件应用
一、实验目的
1.熟悉并掌握PGP软件的使用
2.进一步理解加密与数字签名的过程和作用
二、实验内容
1.GP软件的相关资料:
PGP(Pretty Good Privacy)是一个可以让您的电子邮件(E-Mail)拥有保密功能的程式。藉此您可以将您的邮件加密(Encrypt),除了您希望的人看得到以外,没有其它人可以解读。一旦加密后,讯息看起来是一堆无意义的乱码(Random Characters)。PGP 提供了极强的保护功能,即使是最先进的解码分析技术也无法解读(Decrypt)加密后的文字。2.PGP软件界面:
3.生成钥匙的详细信息:
4.对文件加密:
加密后文件图象:
解密:
5.数字签名
结果:
Validity灯是绿色的,说明已经添加了对我的公钥的信任,并且被签名文件没有被修改。
5.我的公钥:
点击咨询 