信息安全生产实习报告

信息安全生产实习实习报告实习地点：逸夫楼418指导老师：曹步青学生姓名：杨云龙学号：1105030304班级：信息安全三班湖南科技大学计算机科学与工程学院2014年6月任务一模拟配置组网一、实习实验目的使用工具模拟配置交换机、路由器和防火墙，并组建以安全子网，可以访问Internet。工具：路由模拟器GNS3、Packet.Tracer5、mikrotik（须将防火墙组件导入工具）。在思科模拟器中创建一个小型企业网。配置服务器和IP地址，端口状态保持开启。对图中的路由器1进行配置。配置IP（分动态和静态）和跳、过滤规则。二、实验环境组建使用WindowsXP/7系统的电脑，安装CiscoPacketTracer5.0或以上版本软件。三、实验知识原理交换机：工作在数据链路层，交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC（网卡的硬件地址）的NIC（网卡）挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在，广播到所有的端口，接收端口回应后交换机会“学习”新的MAC地址，并把它添加入内部MAC地址表中。使用交换机也可以把网络“分段”，通过对照IP地址表，交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发，可以有效的减少冲突域，但它不能划分网络层广播，即广播域。路由器（Router），是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。路由器是互联网络的枢纽、交通警察。目前路由器已经广泛应用于各行各业，各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。路由和交换机之间的主要区别就是交换机发生在OSI参考模型第二层（数据链路层），而路由发生在第三层，即网络层。这一区别决定了路由和交换机在移动信息的过程中需使用不同的控制信息，所以两者实现各自功能的方式是不同的。路由器分本地路由器和远程路由器，本地路由器是用来连接网络传输介质的，如光纤、同轴电缆、双绞线；远程路由器是用来连接远程传输介质，并要求相应的设备，如电话线要配调制解调器，无线要通过无线接收机、发射机。四、实验步骤和内容整个实验分成以下几个步骤，主要包括网络格局建立，两个局域网的配置，DNS服务器配置，HTTP服务器配置，路由器地址分配，建立路由表等。第一步，建立网络格局。本次组网计划配置一个静态局域网，一个DHCP局域网，一个DNS服务器和两个HTTP服务器。其中静态局域网使用IP地址段为192.168.2.0，DHCP局域网使用IP地址段为192.168.1.0，DNS服务器地址为8.8.8.8，两个HTTP服务器地址分别为222.222.222.222和223.223.223.223。然后按照该计划将各设备添加到主面板上，如图1.1网络格局所示。然后按照以上计划分配好各设备的IP地址（DHCP局域网的主机IP地址不用分配，将IP地址设为DHCP即可）。其中路由器的地址默认为*.*.*.1。图1.1网络格局第二步，配置两个局域网。对于静态局域网而言，只需设置好每台主机的IP地址，子网掩码（255.255.255.255），网关（192.168.2.1）以及DNS地址（8.8.8.8）即可。对于DHCP(DynamicHostConfigurationProtocol，动态主机配置协议)局域网而言，要配置一台DHCP服务器，如下图1.2DHCP服务所示。图1.2DHCP服务DHCP服务器本机的配置如下图1.3DHCP服务器IP所示：图1.3DHCP服务器IP第三步，DNS服务器配置，首先配置它的DNS服务如下图1.4DNS服务所示。图1.4DNS服务接着DNS服务器本机配置如下图1.5DNS服务器IP，图1.5DNS服务器IP第四步，配置HTTP服务器。首先配置打开服务器Server-PTbaidu的HTTP服务。然后修改它的index.html成你想显示的内容。然后，配置服务器本机如下图1.6HTTP服务器所示，图1.6HTTP服务器配置服务器Server-PTsina与Server-PTbaidu类似，只是IP地址设为223.223.223.223。第五步，分配路由器地址并配置路由转发表。路由器Static的IP配置如下路由器dhcp的IP配置如下路由器way的IP配置如下路由器DNS的IP配置如下路由器http的IP配置如下路由器Static的路由转发表配置如下路由器dhcp的路由转发表配置如下路由器way的路由转发表配置如下路由器DNS的路由转发表配置如下路由器http的路由转发表配置如下五、实验数据及分析实验数据一：两个局域网之间ping的连通性，如下图1.7ping所示图1.7ping分析：本机地址为192.168.2.3，子网掩码为255.255.255.0，ping的目标主机地址为192.168.1.2，与本机在不同局域网中。Ping的结果为丢包数为0，平均连接时间为121ms，因此两台主机连接正常，从而说明两个局域网连接正常。实验数据二：PC访问HTTP服务器，如下图1.7访问Sina所示。图1.7访问Sina分析：在客户端主机上打开，网页可以正常打开，首先这可以肯定的说明了该网络中的DNS服务器正常运行了。如果DNS服务器运行不正常，浏览器会提示域名无法解析，或DNS服务器不响应的错误。其次，这说明了服务器正常运行了，并且从客户端主机到远程服务器的网络路径正常运行了，各路由器均正常转发了该连接的数据包。六、实验结论本次实验基本上完成了任务的要求，不仅完成了动/静态局域网的配置与连接，还搭建了DNS服务器与两台HTTP服务器，使得整个模拟过程更加真实。客户端可以通过域名直接访问网站。各主机之间均可以正常连通，整个实验已基本达到实验效果。七、实习收获及心得体会本次实习的第一个实验是模拟配置组网，做完整个实验，我对计算机网络的组织结构与数据包传递的细节有了比较深的理解。尤其是路由器的数据转发，需要严密的控制，它在整个网络的连通性上起了举足轻重的作用。我认识到了计算机网络是一个庞大而细密的系统，包含了数不清的节点与路径，要完成它的正常通信工作量是不可估量的。任务二组建自己的VPN一、实习实验目的VPN英文全称是“VirtualPrivateNetwork”，翻译过来就是“虚拟专用网络”。vpn被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。二、实验环境组建系统环境：两台主机，windows2000/XP,Windows7,Windows8等系统即可。软件环境：服务器软件：VPN-X-2.5.1.46-HC-JRE-install客户端软件：VPN-X-2.5.1.46-Client-HC-JRE-install三、实验知识原理在VPN网关对数据包进行处理时，有两个参数对于VPN通讯十分重要：原始数据包的目标地址（VPN目标地址）和远程VPN网关地址。根据VPN目标地址，VPN网关能够判断对哪些数据包进行VPN处理，对于不需要处理的数据包通常情况下可直接转发到上级路由；远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址，即VPN隧道的另一端VPN网关地址。由于网络通讯是双向的，在进行VPN通讯时，隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。四、实验步骤和内容1.在一台主机上打开服务器端运行程序。不需要账号密码，自动登录成功。在服务器端添加用户，如图2.1添加用户所示。图2.1添加用户2、服务器端进入用户管理界面添加用户，点击添加并写入相应的信息，点确定，用户界面自动刷新如图2.2访问控制所示。图2.2访问控制添加访问控制成功后，如下图2.3访问控制用户表所示。图2.3访问控制用户表2.客户端登录客户登录界面如下图2.4客户登录所示图2.4客户登陆客户登陆后的状态如下图2.6客户状态所示。图2.6客户状态客户与VPN服务器聊天，如下图2.7VPN聊天所示。图2.7VPN聊天五、实验数据及分析VPN能提供高水平的安全，使用高级的加密和身份识别协议保护数据避免受到窥探，阻止数据窃贼和其他非授权用户接触这种数据在企业内部也可以自己建立虚拟专用网。六、实验结论在公用网络上可以建立专用网络，进行加密通讯。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN具有成本低，易于使用的特点。七、实习收获及心得体会此次实验首次使用VPN-X-2.5.1.46-HC-JRE-installVPN-X-2.5.1.46-Client-HC-JRE-install两客户端和服务端软件成功组建自己的VPN，实现了客户端登录和服务器端访问权限设置和聊天等功能。掌握了虚拟专用网络的优点和缺点。任务三攻击IP追踪一、实习实验目的追踪服务器IP：使用路由跟踪实用程序Tracert，确定IP数据报访问目标所采取的路径。Tracert命令用IP生存时间(TTL)字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由。追踪计算机IP：使用Windows系统自带的Netstat，查询所有与本地计算机所建立连接的IP地址和当前端口所呈现出的状态。使用CallerIP4（运行还需要有Java虚拟机支持，假如使用Sun公司的Java虚拟机，那么版本至少是1．1．4或更高，而对于Microsoft＇sJavaVMbuild，至少需要5．00．3167或更高版本）二、实验环境组建使用WindowsXP/7系统的电脑，安装CallerIP4软件三、实验知识原理数据在网络上是以很小的称为帧（Frame）的单位传输的，帧由几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧已到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会带来安全方面的问题。基于抓包这样的模式，可以分析各种信息包并描述出网络的结构和使用的机器，由于它接收任何一个在同一网段上传输的数据包，所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的方法，用来夺取其他主机的控制权四、实验步骤和内容第一步，使用Tracert命令用IP生存时间(TTL)字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由。结果如下图3.1Tracert所示。图3.1Tracert第二步，使用Netstat，查询所有与本地计算机所建立连接的IP地址和当前端口所呈现出的状态，结果如下图3.2Netstat所示。图3.2Netstat第三步，使用CallerIP4查看与本机连接的IP所在位置，结果如下图3.3CallerIP4所示。图3.3CallerIP4五、实验数据及分析本次实验中使用tracert命令Tracingrouteto[211.67.208.26]overamaximumof30hops:11ms1ms1ms10.1.13.121ms1ms1ms192.168.189.22931ms1ms1ms192.168.188.4941ms1ms1ms192.168.188.23751ms1ms1ms211