1、实验报告手册(信息安全技术)

I河南工程学院计算机学院信息安全技术实验报告册学期:课程:专业:班级:学号:姓名:指导教师:I目录1.实验一：WIRESHARK网络侦听和PCAP编程.................12.实验二网络攻击与防范实验......................................63.实验三：数据备份与恢复实验..................................144.实验四：微软CA组件安装和配置.............................215.实验五：OPENVPN配置和使用...................................296.实验六：PGP4WIN应用实验.......................................4211.实验一：wireshark网络侦听和pcap编程1.1.实验学时：2个1.2.实验目的（1）熟悉网络监听的原理与技术。（2）熟悉wireshark的基本使用方法。（3）熟悉网络监听的用途与后果。1.3.实验环境每2位学生为一个实验组，使用2台安装Windows2000/XP的PC机，通过局域网互联，IP网络为192.168.1.0/24。其中一台（192.168.1.101）安装SnifferPro4.7.5，记为A，实验环境的网络拓扑如图1所示。192.168.1.101192.168.1.100校园网Ethernet(192.168.1.0)……图1网络监听实验拓扑1.4.实验要求1、实验任务（1）安装和运行网络监听软件。（2）使用和测试wireshark的常用功能。（3）记录并分析实验结果。2、实验预习（1）预习本实验指导书，深入理解实验的目的与任务，熟悉实验步骤和基本环节。（2）复习有关网络监听的基本知识。3、实验报告（1）简要描述实验过程。2（2）实验中遇到了什么问题，如何解决的。（3）在一台主机上安装防火墙，另一台主机再进行嗅探，看是否还能接收信息。如果不能，分析其原因并详细写出来。（4）根据网络监听的工作原理，讨论针对网络监听的防范措施，并加以实施和效果分析。（5）实验收获与体会。1.5.实验背景1.5.1.基础知识网络监听也称为嗅探，作为一种发展比较成熟的技术，在协助网络管理员监测网络传输数据及排除网络故障等方面具有不可替代的作用。然而，网络监听也给以太网带来了极大的隐患，许多网络入侵往往都伴随着以太网内网络监听，从而造成口令失窃、敏感数据被截获等安全事件。网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关或远程网中的调制解调器等。监听效果最好的地方是在网关、路由器、防火墙一类的设备上，通常由网络管理员来操作。网络监听工具在功能和实际使用方面有多不同，有些只能分析一种，有些则能分析几百种。大多数的网络监听工具都能分析标准以太网、TCP/IP、IPX和DECNet等。通常，网络监听可以提供如下一些功能。(1)自动从网络中过滤及转换有用的信息。(2)将截取的数据包转换成易于识别的格式。(3)对网络环境中的通信失败进行分析。(4)探测网络环境下的通信瓶颈。(5)检测是否有黑客正在攻击网络系统，以阻止其入侵。(6)记录网络通信过程。1.5.2.网络监听工具wireshark简介wireshark网络故障和性能管理解决方案，网络专业人士可以使用它对多拓扑结构和多协议网络时行维护、故障解决、优化调整和扩展。wireshark软件可以在台式计算机、便携式计算机或者笔记本计算机等硬件平台上运行，并且可以利用高级自定义硬件组件确保全线速的捕获能力。1.6.实验步骤1.6.1.安装wireshark在主机A上运行wireshark的安装程序。1.6.2.操作与测试wireshark的主要功能包括：3监视功能：用于计算并显示实时网络通信量数据。捕获功能：用于捕获网络通信量并将当前数据包存储在缓冲区（或者文件）中，以备将来分析使用。实时专家系统分析功能：用于在捕获过程中分析网络数据包，并对潜在的问题发出警告。显示功能：用于解码和分析捕获缓冲区中的数据包，并用各种格式加以显示。本实验主要了解其监视功能。1.6.2.1.用Sniffer工具观察协议分组观察ARP、UDP、TCP、DNS、HTTP、FTP、POP3、SMTP等协议的网络分组格式。这些标准格式的协议分组Sniffer程序都可以解析。其它程序使用自己的报文格式，比如QQ报文等则一般不能被解析。为了观察特定的分组，开启Sniffer，制造期望的分组。方法：1)ping一个本网段但是未开机的机器的IP地址，可以引发ARP报文。2)ping一个最近未曾访问过的网站的域名，可引发本机和DNS服务器之间的交互，可以观察到DNS报文，它是封装在一个UDP报文中的。3)FTP到某个站点，可以观察FTP流量。4)访问某个网页，可以制造HTTP流量，顺便可以看到TCP会话，包括三次握手的过程。也可能会有DNS报文。5)使用Outlook或Foxmail收发邮件，可以引发POP3和SMTP流量，都是封装在TCP协议中。1.6.2.2.观察口令推荐三类可以观察到口令的情形。1)邮件口令。使用Outlook或Foxmail收发邮件，可以捕获账户口令的明文。当然也可以看到邮件正文，不过大部分是编码过的，不能直接看懂。2)Web邮件口令。很多人习惯使用Web界面的邮件。捕获登录并查看Web邮件的流量，可以看到明文口令和邮件正文内容。3)登录注册论坛等。登录学习论坛，记录流量，一般可以观察到帐号和口令。1.6.2.3.开发在Linux下可以使用libpcap库编程实现包捕获功能。一个现成可参考的例子就是基于libpcap的tcpdump，它是开源的。Windows下一般使用Winpcap，它是libpcap的移植版本，大部分接口函数相同。Windump基于Winpcap是tcpdump的翻版。Winpcap是开源的，提供开发包以及示例程序的源文件。请下载winpcap的开发包，编译并运行其中的示例程序，然后观察源程序及相关文档，试演并提炼出简短报告，内容包括：1)winpcap库的用法说明。42)一个包捕获程序的基本框架，要说明所调用的winpcap关键函数。选做：发送分组(帧)，实现假冒和重放。1.7.实验报告请根据1.4节在下面撰写实验报告。562.实验二网络攻击与防范实验2.1.实验目的（1）理解入侵检测的作用和检测原理。（2）理解误用检测和异常检测的区别。（3）掌握Snort的安装、配置和使用等实用技术。2.2.实验环境每2位学生为一个实验组，使用2台安装Windows2000/XP的PC机，通过局域网互联，IP网络为192.168.1.0/24。其中一台（192.168.1.100）上安装Windows平台下的Snort2.8.1软件，另一台的IP地址为192.168.1.101。实验环境的网络拓扑如图2所示。192.168.1.101192.168.1.100校园网Ethernet(192.168.1.0)……图2入侵检测实验拓扑2.3.实验要求1、实验任务（1）安装和配置入侵检测软件。（2）查看入侵检测软件的运行数据。（3）记录并分析实验结果。2、实验预习（1）预习本实验指导书，深入理解实验的目的与任务，熟悉实验步骤和基本环节。（2）复习有关入侵检测的基本知识。3、实验报告（1）简要描述实验过程。（2）实验中遇到了什么问题，如何解决的。（3）分析入侵检测系统在网络安全方面的作用。7（4）实验收获与体会。2.4.实验背景2.4.1.基础知识入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统（IntrusionDetectionSystem，IDS）是完成入侵检测功能的软件和硬件的集合。随着网络安全风险系数不断揭帖，防火墙作为最主要的安全防范手段已经不能满足人们对网络安全的需求。作为对防火墙极其有益的补充，位于其后的第二道安全闸门IDS能够帮助网络系统快速发现网络攻击的发生，有效扩展系统管理员的安全管理能力及提高信息安全基础结构的完整性。IDS能在不影响网络及主机性能的情况下对网络数据流和主机审计数据进行监听和分析，对可疑的网络连接和系统行为进行记录和报警，从而提供对内部攻击、外部攻击和误操作的实时保护。2.4.2.入侵检测软件Snort简介Snort是一款免费的NISD，具有小巧、易于配置、检测效率高等我，常被称为轻量级的IDS。Snort具有实时数据流量分析和IP数据包日志分析能力，具有跨平台特征，能够进行协议分析和对内容的搜索或匹配。Snort能够检测不同的攻击行为，如缓冲区溢出、端口扫描和拒绝服务攻击等，并进行实时报警。Snort可以根据用户事先定义的一些规则分析网络数据流，并根据检测结果采取一定的行动。Snort有3种工作模式，即嗅探器、数据包记录器和NIDS。嗅探器模式仅从网络上读取数据包并作为连续不断的数据流显示在终端上；数据包记录器模式把数据包记录到硬盘上，以备分析之用；NIDS模式功能强大，可以通过配置实现。2.5.实验步骤2.5.1.安装和配置轻量级IDS软件Snort由于需要对网络底层进行操作，安装Snort前需要预先安装WinpCap（WIN32平台上网络分析和捕获数据包的链接库）。WinpCap的下载地址为：http：//winpcap.polito.it/.（由于之前做Nmap实验时已经安装了，可不必再安装）（1）从安装程序，双击安装程序进行安装，选择安装目录为D：\Snort。（2）进行到选择日志文件存时，为简单起见，选择不需要数据库支持，或者选择Snort默认的MySQL和OCBC数据库的方式。（3）单击“开始”菜单，选择“运行”命令，输入cmd并按回车键，在命令行方式下输入如下命令：C：\DocumentsandSettings\AdministratorD：8D：\cdSnort\binD：\Snort\binsnort–W如果Snort安装成功，系统将显示出如图3所示的信息。图3查看网卡信息（4）从返回的结果可知主机上有哪个物理网卡正在工作及该网卡的详细信息。图2中显示的第二个是具有物理地址的网卡。输入snort-v–i2命令启用Snort。其中，-v表示使用Verbose模式，把信息包打印在屏幕上；-i2表示监听第二个网卡。如图4所示。图4启用Snort9（5）为了进一步查看Snort的运行情况，可以人为制造一些ICMP网络流量。在局域网的另一台主机上使用Ping指令，探测Snort的主机。（6）回到运行Snort的主机，可以发现Snort已经记录了这次探测的数据包。例如图5所示，Snort在屏幕上输出了从172.16.7.1到172.16.7.4的ICMP数据包头。图5Snort监测到的数据包（7）打开D：\Snort\etc\snort.conf，设置Snort的内部网络和外部网络网络检测范围。将Snort.conf文件中的varHOME_NETany语句的any改为自己所在的子网地址，即将Snort监测的内部网络设置为所在的局域网。如本地IP为172.16.7.4，则改为172.16.7.0/24。（8）配置网段内提供网络服务的IP地址，只需要把默认的$HOME_NET改成对应的主机地址即可。varDNS_SERVERS$HOME_NETvarSMTP_SERVERS$HOME_NETvarHTTP_SERVERS$HOME_NETvarSQL_SERVERS$HOME_NETvarTELNET_SERVERS$HOME_NETvarSNMP_SERVERS$HOME_NET如果不需要监视类型的服务，可以用#号将上述语句注释掉。（9）在Snort.conf文件中，修改配置文件classification