信息安全实验报告
信息安全竞赛实验报告
一、实验背景随着信息技术的飞速发展,信息安全问题日益突出。
为提高我国大学生信息安全意识与技能,培养高素质的网络安全人才,教育部高等学校信息安全专业教学指导委员会主办了第十一届全国大学生信息安全竞赛。
本次竞赛旨在通过攻防对抗、漏洞挖掘与利用等形式,锻炼参赛者的实战能力,推动信息安全教育的发展。
二、实验目的1. 提高对信息安全基本概念、原理和方法的理解。
2. 培养信息安全实战能力,包括漏洞挖掘、渗透测试、安全防护等。
3. 增强团队合作意识,提高应对信息安全挑战的能力。
4. 了解当前信息安全领域的最新技术和发展趋势。
三、实验内容本次实验以第十一届全国大学生信息安全竞赛创新实践能力赛——华中赛区线下赛为例,主要包括以下内容:1. 比赛规则解读:了解比赛规则,包括参赛资格、比赛形式、评分标准等。
2. 攻防对抗:参赛者需要在规定时间内,修补自身服务器漏洞、挖掘对手服务器漏洞,提交flag夺取分数。
3. 漏洞挖掘与利用:分析服务器漏洞,编写漏洞利用代码,获取flag。
4. 安全防护:对服务器进行安全加固,防止攻击者入侵。
四、实验步骤1. 赛前准备:- 了解比赛规则和赛程安排。
- 组建参赛队伍,明确分工。
- 在永信至诚e春秋竞赛平台注册账号,进行赛前测试。
2. 比赛阶段:- 攻防对抗:参赛者需在规定时间内,修补自身服务器漏洞、挖掘对手服务器漏洞,提交flag夺取分数。
- 漏洞挖掘与利用:分析服务器漏洞,编写漏洞利用代码,获取flag。
- 安全防护:对服务器进行安全加固,防止攻击者入侵。
3. 赛后总结:- 分析比赛过程中的经验和教训。
- 总结本次实验的收获和不足。
- 对信息安全领域的发展趋势进行展望。
五、实验结果与分析1. 攻防对抗:在比赛中,参赛队伍充分发挥团队合作精神,成功修补自身服务器漏洞,并挖掘对手服务器漏洞,最终取得了较好的成绩。
2. 漏洞挖掘与利用:参赛者通过分析服务器漏洞,编写漏洞利用代码,成功获取flag。
网络与信息安全技术实验报告
网络与信息安全技术实验报告一、实验目的随着信息技术的飞速发展,网络与信息安全问题日益凸显。
本次实验的目的在于深入了解网络与信息安全的相关技术,通过实际操作和实验分析,提高对网络攻击与防御手段的认识和理解,增强自身在网络安全领域的实践能力。
二、实验环境本次实验在实验室的专用网络环境中进行,使用了以下软件和工具:1、操作系统:Windows 10 和 Linux(Ubuntu)。
2、网络扫描工具:Nmap。
3、漏洞扫描工具:OpenVAS。
4、加密解密工具:openssl。
三、实验内容及步骤(一)网络扫描实验1、首先,使用 Nmap 工具对指定的网络段进行扫描。
通过设置不同的参数,如 sS(TCP SYN 扫描)、sU(UDP 扫描)、Pn(不进行Ping 探测)等,获取目标网络中主机的存活状态、开放的端口以及服务信息。
2、对扫描结果进行分析,了解目标网络的拓扑结构和潜在的安全漏洞。
例如,发现开放了高危端口(如 21 端口 FTP、22 端口 SSH、3389 端口 RDP 等)的主机,可能存在被入侵的风险。
(二)漏洞扫描实验1、利用 OpenVAS 工具对选定的目标主机进行漏洞扫描。
配置扫描策略,包括全面扫描、快速扫描等。
2、扫描完成后,查看生成的漏洞报告。
对报告中的漏洞进行分类和评估,确定其严重程度(如高、中、低)。
3、针对发现的漏洞,研究相应的修复建议和措施,如及时更新软件补丁、关闭不必要的服务等。
(三)加密解密实验1、使用 openssl 工具生成对称加密密钥和非对称加密密钥对(RSA 算法)。
2、对一段明文进行对称加密(如 AES 算法),并对加密后的密文进行解密,验证加密解密的正确性。
3、使用非对称加密算法对明文进行加密和解密操作,理解公钥和私钥的作用及使用场景。
四、实验结果与分析(一)网络扫描结果经过 Nmap 扫描,发现目标网络中存在多台主机处于存活状态。
部分主机开放了 80 端口(HTTP 服务)、443 端口(HTTPS 服务)以及一些常见的数据库端口。
信息安全实验报告(一)
1、关闭计算机的防病毒软件。
2、安装Sniffer Pro。
3、安装Superscan
4、安装Fluxay5。
5、将同一实验组的计算机设为同一网段。
6、利用Sniffer Pro观察对方的网络数据包,分析网络性能和故障。
7、用Superscan扫描对方的计算机,记录扫描的结果和发现的漏洞。
8、用Fluxay5扫描系统的漏洞并破解出另一台机器的帐号与口令
而sniffer就是一种能将本地网络接口设置成“混杂”(promiscuous)状态的软件,当网络接口处于这种"混杂"方式时,该网络接口具备广播地址,它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。
sniffer工作在网络环境中的底层,它会拦截所有的正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局。
信息安全实验报告(一)
学院:计算机科学与信息学院 专业: 网络工程 班级:网络092
姓名
王荣森
学号
0908060386
实验组
实验时间
2012.12.5
指导教师
王晓鹏
成绩
实验项目名称
实验一:常用信息安全工具的使用
实验目的
1、理解并掌握基于网络的信息安全概念和原理
2、熟悉嗅探、网络漏洞扫描等常用工具的安装、配置与使用。
(2)TCP SYN扫描
本地主机向目标主机发送SYN数据段,如果远端目标主机端口开放,则回应SYN=1,ACK=1,此时本地主机发送RST给目标主机,拒绝连接。如果远端主机端口未开放,则会回应RST给本地主机。由此可知,根据回应的数据段可以判断目标主机的端口是否开放。由于TCP SYN扫描并没有建立TCP正常连接,所以降低了被发现的可能,同时提高了扫描性能。
信息安全专业实验报告
一、实验背景随着信息技术的飞速发展,信息安全已经成为国家安全和社会稳定的重要组成部分。
为了提高学生对信息安全技术的理解和应用能力,我们开展了本次信息安全专业实验。
二、实验目的1. 理解并掌握信息安全的基本概念和原理。
2. 掌握常见信息安全攻击和防御技术。
3. 培养学生实际操作和问题解决能力。
三、实验内容本次实验共分为五个部分,分别为:1. 密码学实验2. 网络攻防实验3. 操作系统安全实验4. 应用安全实验5. 安全审计实验四、实验步骤及结果1. 密码学实验实验目的:掌握常用密码算法的原理和应用。
实验步骤:(1)实现对称加密算法(如DES、AES)和非对称加密算法(如RSA)的加解密过程。
(2)分析不同加密算法的优缺点。
实验结果:(1)成功实现了对称加密算法和非对称加密算法的加解密过程。
(2)掌握了不同加密算法的原理和应用。
2. 网络攻防实验实验目的:了解网络攻击方法,掌握网络安全防御技术。
实验步骤:(1)使用网络扫描工具(如Nmap)扫描目标主机。
(2)利用漏洞扫描工具(如Metasploit)对目标主机进行漏洞扫描。
(3)针对发现的漏洞,进行攻击和防御实验。
实验结果:(1)成功扫描到目标主机,并发现其存在的漏洞。
(2)掌握了常见的网络攻击方法。
(3)学习了针对漏洞的防御措施。
3. 操作系统安全实验实验目的:了解操作系统安全机制,掌握安全配置方法。
实验步骤:(1)分析Linux和Windows操作系统的安全机制。
(2)对操作系统进行安全配置,如设置用户权限、安装安全补丁等。
实验结果:(1)掌握了操作系统安全机制。
(2)学会了操作系统安全配置方法。
4. 应用安全实验实验目的:了解应用层安全机制,掌握安全配置方法。
实验步骤:(1)分析Web应用安全机制。
(2)对Web应用进行安全配置,如使用HTTPS、防止SQL注入等。
实验结果:(1)掌握了Web应用安全机制。
(2)学会了Web应用安全配置方法。
信息安全操作实验报告
信息安全操作实验报告实验名称:信息安全操作实验实验目的:1. 掌握信息安全操作的基本知识和技能。
2. 熟悉常用的信息安全操作工具和方法。
3. 培养对信息安全的意识和保护意识。
实验步骤:1. 实验前准备:了解信息安全的基本概念和原则,并掌握常见的信息安全威胁和攻击方式。
2. 实验环境:搭建一个模拟的网络环境,包括若干主机和服务器。
3. 实验内容:3.1. 使用端口扫描工具扫描实验环境中的主机和服务器的开放端口,并记录扫描结果。
3.2. 通过漏洞扫描工具对实验环境中的主机和服务器进行漏洞扫描,并记录扫描结果。
3.3. 使用弱口令攻击工具对实验环境中的主机和服务器进行弱口令攻击,测试其安全性。
3.4. 利用网络钓鱼工具进行网络钓鱼攻击,诱导用户输入敏感信息,并分析攻击效果。
3.5. 使用反弹Shell工具在实验环境中获取目标主机的控制权,并演示如何防范此类攻击。
实验结果:1. 根据扫描结果,分析开放端口的意义和可能的安全威胁,及时进行相应的安全设置和防护措施。
2. 根据漏洞扫描结果,及时修补系统和应用程序的漏洞,以提高信息系统的安全性。
3. 验证弱口令攻击的威胁,警醒用户要设置强密码,并做好密码管理和定期更改密码的习惯。
4. 通过网络钓鱼攻击的演示,提高用户的警觉意识,防范钓鱼等社交工程攻击。
5. 演示防范反弹Shell攻击的方法,包括防火墙设置、入侵检测系统的配置和使用,提高系统的安全性。
实验结论:通过本次实验,我深刻认识到了信息安全的重要性和必要性。
信息安全操作是保护个人隐私、企业重要信息及国家安全的重要手段。
在实际工作和生活中,我们要时刻保持对信息安全的警惕,并采取相应的安全操作措施。
不仅对个人而言,企业和政府也要高度重视信息安全,加强信息安全的培训和管理,确保信息系统的安全稳定运行。
在信息安全操作中,要掌握一些基本的安全工具和方法,如端口扫描、漏洞扫描、弱口令攻击和网络钓鱼攻击等。
了解这些攻击手段和防范方法,有助于提升自身的信息安全意识和能力。
系统信息安全实验报告
一、实验背景随着信息技术的飞速发展,信息系统已成为现代社会不可或缺的部分。
然而,随着网络攻击手段的日益复杂,系统信息安全问题日益突出。
为了提高学生对系统信息安全重要性的认识,加强实际操作能力,本实验旨在通过实际操作,使学生掌握系统信息安全的防护措施。
二、实验目的1. 了解系统信息安全的现状和重要性。
2. 掌握常见的系统信息安全攻击手段和防护措施。
3. 提高学生对系统信息安全的实际操作能力。
三、实验环境1. 操作系统:Windows 102. 软件环境:Kali Linux虚拟机、Wireshark、Nmap等网络安全工具3. 网络环境:局域网四、实验内容1. 网络嗅探实验(1)使用Wireshark对局域网内的网络流量进行嗅探,分析网络数据包内容。
(2)尝试捕获用户登录信息、密码等敏感数据。
2. 端口扫描实验(1)使用Nmap对目标主机进行端口扫描,获取主机开放端口信息。
(2)分析扫描结果,判断主机可能存在的安全风险。
3. 密码破解实验(1)使用John the Ripper等密码破解工具,对用户密码进行破解。
(2)分析破解过程,了解常见密码破解方法。
4. 漏洞扫描实验(1)使用Nessus等漏洞扫描工具,对目标主机进行漏洞扫描。
(2)分析扫描结果,了解主机存在的安全漏洞。
5. 防火墙配置实验(1)使用iptables等防火墙工具,对网络流量进行过滤。
(2)设置防火墙规则,防止恶意攻击。
五、实验步骤1. 网络嗅探实验(1)打开Wireshark,选择合适的网络接口进行数据包捕获。
(2)观察捕获到的数据包内容,分析网络数据包传输过程。
(3)尝试捕获用户登录信息、密码等敏感数据。
2. 端口扫描实验(1)打开Nmap,输入目标主机IP地址,进行端口扫描。
(2)分析扫描结果,判断主机可能存在的安全风险。
3. 密码破解实验(1)下载John the Ripper等密码破解工具,配置破解参数。
(2)运行破解工具,对用户密码进行破解。
网络与信息安全技术实验报告
网络与信息安全技术实验报告一、实验目的随着信息技术的飞速发展,网络与信息安全问题日益凸显。
本次实验的目的在于深入了解网络与信息安全技术的原理和应用,通过实际操作和实验分析,提高对网络攻击与防御的认识和应对能力,增强信息安全意识,为保障网络环境的安全稳定奠定基础。
二、实验环境本次实验在以下环境中进行:1、操作系统:Windows 10 专业版2、实验软件:Wireshark 网络协议分析工具、Nmap 端口扫描工具、Metasploit 渗透测试框架等三、实验内容与步骤(一)网络数据包捕获与分析1、打开 Wireshark 软件,选择合适的网络接口进行数据包捕获。
2、在捕获过程中,访问了一些常见的网站,如百度、淘宝等,并进行了文件下载操作。
3、停止捕获后,对捕获到的数据包进行分析。
重点关注了 TCP 三次握手、HTTP 请求与响应、DNS 查询等过程。
通过分析 TCP 三次握手,了解了建立连接的过程和相关标志位的变化。
对 HTTP 请求与响应的分析,掌握了网页访问时的数据传输格式和内容。
DNS 查询的分析有助于了解域名解析的过程和机制。
(二)端口扫描与服务探测1、运行 Nmap 工具,对目标主机进行端口扫描。
2、设定了不同的扫描参数,如全端口扫描、特定端口扫描等。
3、对扫描结果进行分析,确定目标主机开放的端口以及可能运行的服务。
发现开放的端口如80(HTTP)、443(HTTPS)、22(SSH)等。
根据端口对应的服务,初步评估目标主机的安全性。
(三)漏洞利用与渗透测试1、利用 Metasploit 框架,选择了一些常见的漏洞模块进行测试。
2、对目标主机进行了漏洞扫描,发现了一些可能存在的安全漏洞。
3、尝试利用漏洞获取系统权限,如通过弱口令漏洞登录系统。
四、实验结果与分析(一)网络数据包捕获与分析结果1、 TCP 三次握手过程正常,标志位的变化符合标准协议。
2、 HTTP 请求与响应中,未发现明显的异常数据传输,但部分网站的响应时间较长,可能与网络拥堵或服务器负载有关。
网络信息安全实验报告
网络信息安全实验报告一、实验目的随着信息技术的飞速发展,网络已经成为人们生活和工作中不可或缺的一部分。
然而,网络信息安全问题也日益凸显,如黑客攻击、病毒传播、数据泄露等,给个人和企业带来了巨大的损失。
本次实验的目的在于深入了解网络信息安全的重要性,掌握常见的网络攻击手段和防御方法,提高网络信息安全意识和防范能力。
二、实验环境本次实验在实验室的局域网环境中进行,使用了以下设备和软件:1、计算机:若干台,安装了 Windows 操作系统和常用的应用软件。
2、网络设备:路由器、交换机等,用于构建实验网络。
3、安全工具:防火墙、入侵检测系统、漏洞扫描工具等。
4、实验软件:Metasploit、Nmap、Wireshark 等。
三、实验内容(一)网络扫描与漏洞探测使用 Nmap 工具对目标网络进行扫描,获取网络拓扑结构、主机信息和开放端口等。
通过漏洞扫描工具对目标主机进行漏洞探测,发现可能存在的安全漏洞,如弱口令、系统漏洞、应用程序漏洞等。
(二)网络攻击模拟1、利用 Metasploit 框架进行漏洞利用攻击,如缓冲区溢出攻击、SQL 注入攻击等,尝试获取目标主机的控制权。
2、进行DDoS 攻击模拟,使用工具向目标服务器发送大量的请求,导致服务器资源耗尽,无法正常提供服务。
(三)网络防御措施1、配置防火墙规则,限制外部网络对内部网络的访问,阻止非法流量进入。
2、安装入侵检测系统,实时监测网络中的异常活动,及时发现并报警。
3、定期对系统和应用程序进行补丁更新,修复已知的安全漏洞。
4、加强用户认证和授权管理,设置强口令策略,防止非法用户登录。
(四)数据加密与解密1、学习对称加密算法(如 AES)和非对称加密算法(如 RSA)的原理和实现方法。
2、使用加密工具对文件进行加密和解密操作,体会数据加密在保护信息安全中的作用。
四、实验步骤(一)网络扫描与漏洞探测1、打开 Nmap 工具,输入目标网络的 IP 地址范围,选择扫描类型(如全面扫描、端口扫描等),开始扫描。
信息安全学实验报告
一、实验背景随着信息技术的飞速发展,信息安全已经成为国家、企业和个人关注的焦点。
为了提高我们对信息安全知识的理解和实际操作能力,本次实验选取了《信息安全学》课程中的密码学实验,旨在通过实践操作,加深对密码学原理和方法的认识。
二、实验目的1. 理解密码学的基本概念和原理。
2. 掌握常用加密算法(如DES、AES)的使用方法。
3. 学习密码学在实际应用中的安全性分析。
4. 提高信息安全防护意识。
三、实验内容本次实验分为三个部分:DES加密算法、AES加密算法和密码学安全性分析。
1. DES加密算法(1)实验目的:了解DES加密算法的基本原理和实现方法。
(2)实验步骤:a. 创建一个待加密的明文消息。
b. 生成一个DES密钥。
c. 使用DES算法对明文消息进行加密。
d. 将加密后的密文输出。
(3)实验结果:通过实验,我们成功实现了DES加密算法的加密和解密过程,验证了算法的正确性。
2. AES加密算法(1)实验目的:了解AES加密算法的基本原理和实现方法。
(2)实验步骤:a. 创建一个待加密的明文消息。
b. 生成一个AES密钥。
c. 使用AES算法对明文消息进行加密。
d. 将加密后的密文输出。
(3)实验结果:通过实验,我们成功实现了AES加密算法的加密和解密过程,验证了算法的正确性。
3. 密码学安全性分析(1)实验目的:了解密码学在实际应用中的安全性分析。
(2)实验步骤:a. 分析DES和AES加密算法的优缺点。
b. 对加密算法进行安全性评估。
c. 探讨密码学在实际应用中的安全隐患。
(3)实验结果:通过实验,我们了解到DES和AES加密算法在安全性、速度和易用性等方面的优缺点。
同时,我们也认识到密码学在实际应用中存在一定的安全隐患,如密钥泄露、算法破解等。
四、实验总结通过本次实验,我们掌握了DES和AES加密算法的基本原理和实现方法,了解了密码学在实际应用中的安全性分析。
以下是本次实验的收获:1. 加密算法在信息安全领域的重要性。
《网络信息安全》密码技术实验报告
《网络信息安全》密码技术实验报告一、实验目的:掌握典型的单表代换和多表代换的加密方法的实现细节。
能利用编程工具实现简单的加密解密。
能进行简单的密码分析。
了解WinRAR 软件加密文件时使用的是AES 算法,了解WinRAR 软件的常用功能,并能够利用该软件对文件进行加密;了解RAR 加密文件破解的方法,能够利用破解工具对弱口令RAR 加密文件进行破解。
理解数字摘要的原理;能够利用现有软件工具进行MD5摘要的计算;了解MD5在实际数据库应用系统中的应用;了解数字摘要攻击的原理,能够进行简单的MD5摘要破解。
理解数字证书的原理,了解常见的数字证书的应用。
二、实验内容:1.凯撒密码的加密和解密(1)采用手工处理方式,对字符串“monoalphabetic cipher ”进行凯撒密码的加密和解密,并将处理过程手写方式记录在实验报告中;(2)编程实现凯撒密码的加密和解密。
要求:既可以进行加密转换,也可以进行解密转换。
程序参考界面如右所示。
可以使用任何编程工具,能处理英文即可。
2.维吉尼亚密码的加密和解密 (1)采用手工处理方式,对字符串“to be or not to be that is the question ”进行维吉尼亚密码的加密和解密,密钥是“relations ”,并将处理过程手写方式记录在实验报告中;(2)对“uzvnx seymb ogeep kbfmh imkbl aiier bog ”进行解密,秘钥是“monster ” ,并将处理过程手写方式记录在实验报告中;(3)(选做)编程实现维吉尼亚密码的加密和解密。
要求:既可以进行加密转换,也可以进行解密转换。
程序参考界面如右所示。
可以使用任何编程工具,能处理英文即可。
3.尝试破译如下密文:byvum qibya uqren evsxe sebqj uioek duluh ademm xqjoe kqhuw eddqw uj (同学们可分组合作完成),分析破解原理并记录过程。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验报告(201/201学年第学期)课程名称信息安全技术实验名称防火墙和安全IP实验实验时间年月日指导单位指导教师,,实 验 报 告实验名称 防火墙和安全 IP 实验指导教师 沈苏彬、王光辉 实验类型 上机实验学时 8实验时间 2015-10-21/22/29一、 实验目的和要求(1)理解防火墙技术和安全 IP 技术的原理(2)掌握个人电脑的防火墙、安全 IP 的配置方法。
(3)完成防火墙的配置和测试、安全 IP 的配置和测试、以及基于报文嗅探软件的测试。
要求独立完成实验方案的设计、配置和测试;要求独立完成实验报告的编写。
二、实验环境(实验设备)硬件:微机软件:嗅探软件 Wireshark ,Windows 系统三、实验原理及内容实验 1:安全 IP 实验。
两个同学为一组进行试验;如果没有找到合作进行实验的同学,并且存在多余的实验电脑,则可以一位同学通过两台电脑完成实验。
1.1 实验和测试在没有安全 IP 保护的网络环境下的网络安全危险:实验和测试在没有安全保护的情况下,通过嗅探报文可以看到在同一个网段内传送的所有 IP 报文以 及这些 IP 报文包括的内容,例如可以通过 Ping 另一台电脑,通过嗅探软件,测试是否 能够分析出 Ping 报文。
1.2 配置和测试安全 IP :在两台电脑上配置安全 IP 策略,选择安全关联建立的方法(例如:采用基于共享密钥的安全关联建立方式),通过嗅探软件,观察和分析安全 IP 的安全关联建立过程,以及嗅探软件可以窥探到安全 IP 报文的哪些内容。
1.3 通过嗅探软件,对照安全 IP 的原理,观察和分析安全 IP 的特性,例如观察安全 IP 的面向连接特性等。
实验 2:防火墙实验。
两个同学为一组进行试验;如果没有找到合作进行实验的同学,并且存在多余的实验电脑,则可以一位同学通过两台电脑完成实验。
2.1 通过配置防火墙的“入站规则”和“出站规则” 实现访问控制列表中对某台 联网电脑访问设置防火墙电脑的限制,以及设置防火墙电脑对某台联网电脑访问限制, 并且通过相关网络应用(例如 Ping ),测试防火墙的作用。
2.2 通过配置防火墙的“入站规则”和“出站规则” 实现访问控制列表中对某类应用(例如基于 ICMPv4 的 Ping )访问设置防火墙电脑的限制,以及设置防火墙电脑对 某类应用(例如基于 ICMPv4 的 Ping )访问限制,并且通过对该应用的使用,测试防火 墙的作用。
2.3 配置和验证自己认为具有实际应用价值的个人电脑防火墙规则,并且测试该防火墙的作用。
2.4 罗列以上防火墙配置对应的访问控制列表。
实验报告实验1安全IP实验1.安全IP的配置步骤(1)从系统控制面板出发,打开系统与安全功能,打开管理工具选项,找到本地安全策略。
(2)点开本地安全策略,找到本地电脑IP策略。
新建IP安全策略,描述中填写“IPSec 学习练习”,点击下一步,进入配(3)创建IP安全规则,点击增加,进入IP安全规则创建过程;选择“此规则不指定隧道”,即选用传输模式IPSec,选中后单击“下一步”按钮;选择“所有网络连接”,单击“下一步”按钮,进入配置IP过滤器列表阶段。
(4)IP过滤器列表配置。
点击新增按钮,新建IP过滤器列表,进行过滤器列表配置;点击新增,进行IP过滤器配置,点击下一步;描述内容“与同组主机进行安全的icmp通信”;源地址选择“我的IP地址”;目的地址选择“一个特定的IP地址”,填写另一台主机的IP地址,;选择“ICMP”协议类型,单击“下一步”按钮。
单击“完成”按钮,完成IP过滤器配置。
(5)过滤器行为配置。
根据上图所示,选择新增的过滤器列表,点击下一步,进入过滤器行为配置阶段。
点击新增,进行过滤器行为配置。
行为命名为“安全的ICMP通信”;“筛选器操作常规选项”中选中“协商安全”,单击“下一步”按钮;选中“不与不支持IPSec的计算机通信”,单击“下一步”按钮;在“IP通信安全措施”中,选择“完整性和加密”,单击“下一步”按钮;最后单击“完成”;(6)“身份验证方法”界面。
选中“使用此字符串保护密钥交换(预共享密钥)”,填写共享密钥“lin”(主机A、主机B的共享密钥必须一致),单击“下一步”按钮,直至最终完成。
(注意:应用策略之前必须指派策略,否则策略不会自动生效。
右键点击“IP安全策略”,选择“指派assign”使策略生效。
)(7)完成IPSec配置。
2.测试结果与分析使用wireshark抓去ping的数据包的报文通常有其固定的格式:报文长度(98bytes)=以太网头(14bytes)+IP头(20bytes)+ICMP报文(64bytes)其中,以太网头(14bytes)=目的MAC(6bytes)+源MAC(6bytes)+以太网类型0800(2bytes)我们以(a)策略为例进行分析:(a)主机A不指派策略,主机B不指派策略。
主机A在“cmd”控制台中,输入如下命令:ping主机B的IP。
ping操作反馈信息与报文嗅探软件给出的结果:由ping的结果可以看出两台主机连接通道良好,没有丢包现象,可以进行后续分析。
如上图报文结果所示。
其中:以太网头为:eca86ba8cce8eca86ba8ce390800IP头:4500003c11a10000800100000a144fc10a144fc0IMCP报文:08004d5a000100016162636465666768696a6b6c6d6e6f7071727374757677616263646566676869按照相同的分析方法,我们可以一次分析以下几种情况:(b)主机A指派策略,主机B不指派策略。
主机A在“cmd”控制台中,输入如下命令:ping主机B的IPping操作反馈信息与报文嗅探软件给出的结果:在A指派,B不指派的情况下,我们可以发现在ping的结果中发送的报文为4,接受为0。
在wireshark的报文接收界面中,按照上述分析,A主机无法ping到B主机。
上述报文中恰巧反映这点。
(c)主机A指派策略,主机B指派策略。
主机A在“cmd”控制台中,输入如下命令:ping主机B的IPping操作反馈信息与报文嗅探软件给出的结果:在A主机和B主机都指派的情况下,A主机成功发送和接受了数据包,因此连接稳定无问题。
再次基础上我们对接受的数据包进行分析。
I、ESP(Encapsulating Security Payload)协议分析分析析源地址为主机A的IP、目的地址为主机B的IP的数据包信息;根据ESP报文格式,对数据进行分析与安全参数索引SPI。
(按照链路层报头(默认14字节)→网络层报头(本实验中为20字节)→ESP报头的顺序解析数据。
)在该ESP协议下的报文中,安全参数索引SPI为4个字节,即“bb1574d9”。
通过这个SPI发送给对方的时候,对方只需要查看SADB数据库中的SPI来匹配,然后通过该SPI下的加密参数和策略来进行解密。
II、AH(Authentication Header)协议分析主机A、B同时进行如下操作,修改“ICMP安全通信策略”,利用AH协议对数据源进行身份验证,而不对传输数据进行加密处理,选择MD5,点击确定。
主机A对主机B进行ping操作,待操作完成,协议分析器停止捕获数据包。
切换至“协议解析视图”,观察十六过制显示区数据,按照链路层报头(默认14字节)→网络层报头(本实验中为20字节)→AH报头的顺序解析数据。
在此情况中,我们探讨在AH协议下的数据处理分析思路。
如上图所示,蓝色面积即为AH报文,其他内容和上述结论一致。
,上图为 AH 报文的构成方式。
其中“下一个报头”为“ 01”。
报体长度为 “04”。
预留是“ 00 00”。
安全参数索引SPI 为 “47 38 b3 d3”。
顺序编号为 “00 00 00 05”。
剩下字段为身份验证数据和填充 数据。
实验 2 防火墙实验设置防火墙的入站和出站规则,可以实现阻挡或者允许特定程序或者端口进行连接。
在 windows 防火墙高级设置中可以完成相应的设置。
在该实验中,本机(A 机)IP 地址为 10.20.66.128,同学电脑(B 机)IP 为 10.20.66.1332.1 通过配置防火墙的“入站规则”和“出站规则” 实现访问控制列表中对某台联网电脑访问设置防火墙电脑的限制,以及设置防火墙电脑对某台联网电脑访问限制,并且通过相 关网络应用(例如 Ping ),测试防火墙的作用。
在进行防火墙的相关设置之前,将 A 机尝试 ping B 机,结果如图。
可见,在进行防火墙出入站规则修改之前,两者可以联通。
下面,进行防火墙出站规则的修改,大致的设置步骤整理如下:(1)点击“出站规则”->“新建规则”->“自定义”(2)点击“作用域”,在远程IP地址中添加目标IP(),再确定。
(3)点击“操作”,选择“阻止连接”选项。
(4)最后修改名称为“阻止连接”,点击完成。
(5)配置完成后,在出站规则列表中的视图如下:(6)最后开启防火墙最后在本机对B机进行PING操作,结果如下:,可见,此时 A 机无法连接上 B 机。
另外,在 B 机上 Ping A 机时,在 B 机上有如下结果:发现,此时 B 机可以访问 A 机,综合上两图,该结果符合实验预期。
接下来可以设置防火墙对于某类应用的限制。
比如说将 PING.exe 设置静止访问,那么应该可 以拒绝 PING 语句的作用。
比如说如下图配置,将 system32 文件夹下面的 PING.EXE 设置为阻止连接。
2.2 通过配置防火墙的“入站规则”和“出站规则” 实现访问控制列表中对某类应用(例 如基于 ICMPv4 的 Ping )访问设置防火墙电脑的限制,以及设置防火墙电脑对某类应用(例 如基于 ICMPv4 的 Ping )访问限制,并且通过对该应用的使用,测试防火墙的作用。
在这部分实验中,我们尝试将 PING.exe 设置静止访问,即可以拒绝 PING 语句的作用。
按照类似实验 2.1 的配置,将 system32 文件夹下面的 PING.EXE 设置为阻止连接。
配置成功后的截图如下:再在操作中选择“阻止连接”选项,点击完成即可。
理论上操作至此已经满足要求,但实际操作却发现ping操作仍可用。
这是由于ping 操作是系统层面上的应用,不能仅仅通过禁用某个可执行程序就能将它禁用,要达到效果,需要禁用ICMP协议。
于是我们进行了如下操作(在出站设置当中禁用了这里的ICMP的IPv4当中的协议):此时,再进行ping操作发现A、B两机无法互相访问,操作结果如图:2.3配置和验证自己认为具有实际应用价值的个人电脑防火墙规则,并且测试该防火墙的作用。