網(wǎng)絡(luò)和信息安全實(shí)驗(yàn)指導(dǎo)書(shū)

27/30LIAOCHENG網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)指導(dǎo)書(shū)聊城大學(xué)計(jì)算機(jī)學(xué)院2012年2月目錄《網(wǎng)絡(luò)與信息安全》課程實(shí)驗(yàn)教學(xué)大綱1第一部分實(shí)驗(yàn)預(yù)備知識(shí)3第一節(jié)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)的性質(zhì)、任務(wù)與要求3第二節(jié)常用設(shè)備3第二部分網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)5實(shí)驗(yàn)一、Playfair算法5一、實(shí)驗(yàn)?zāi)康?二、實(shí)驗(yàn)設(shè)備及器件5三、預(yù)習(xí)要求5四、實(shí)驗(yàn)原理5五、實(shí)驗(yàn)容和步驟5六、實(shí)驗(yàn)報(bào)告5實(shí)驗(yàn)二、對(duì)稱(chēng)密鑰算法AES7一、實(shí)驗(yàn)?zāi)康?二、實(shí)驗(yàn)設(shè)備及器件7三、預(yù)習(xí)要求7四、實(shí)驗(yàn)原理7五、實(shí)驗(yàn)容和步驟7六、實(shí)驗(yàn)報(bào)告8實(shí)驗(yàn)三、公鑰加密軟件PGP9一、實(shí)驗(yàn)?zāi)康?二、實(shí)驗(yàn)設(shè)備及器件9三、預(yù)習(xí)要求9四、實(shí)驗(yàn)原理9五、實(shí)驗(yàn)容和步驟9六、實(shí)驗(yàn)報(bào)告23實(shí)驗(yàn)四、SHA-1雜湊算法24一、實(shí)驗(yàn)?zāi)康?4二、實(shí)驗(yàn)設(shè)備及器件24三、預(yù)習(xí)要求24四、實(shí)驗(yàn)原理24五、實(shí)驗(yàn)容和步驟24六、實(shí)驗(yàn)報(bào)告24實(shí)驗(yàn)五、網(wǎng)絡(luò)偵聽(tīng)及協(xié)議分析25一、實(shí)驗(yàn)?zāi)康?5二、實(shí)驗(yàn)設(shè)備及器件25三、預(yù)習(xí)要求25四、實(shí)驗(yàn)原理25五、實(shí)驗(yàn)容和步驟25六、實(shí)驗(yàn)報(bào)告25實(shí)驗(yàn)六、拒絕服務(wù)攻擊26一、實(shí)驗(yàn)?zāi)康?6二、實(shí)驗(yàn)設(shè)備及器件26三、預(yù)習(xí)要求26四、實(shí)驗(yàn)原理26子實(shí)驗(yàn)一SYNFlood攻擊26子實(shí)驗(yàn)二UDPFlood攻擊26五、實(shí)驗(yàn)容和步驟27子實(shí)驗(yàn)一SYNFlood攻擊27子實(shí)驗(yàn)二UDPFlood攻擊28六、實(shí)驗(yàn)報(bào)告30《網(wǎng)絡(luò)與信息安全》課程實(shí)驗(yàn)教學(xué)大綱課程名稱(chēng)：網(wǎng)絡(luò)與信息安全英文名稱(chēng)：NetworkandInformationSecurity設(shè)置形式：非獨(dú)立設(shè)課課程模塊：專(zhuān)業(yè)核心課實(shí)驗(yàn)課性質(zhì)：專(zhuān)業(yè)基礎(chǔ)實(shí)驗(yàn)課程編號(hào)：課程負(fù)責(zé)人：凌云大綱主撰人：凌云大綱審核人：賈仰理一、學(xué)時(shí)、學(xué)分課程總學(xué)時(shí)：64實(shí)驗(yàn)學(xué)時(shí)：6課程學(xué)分：3二、適用專(zhuān)業(yè)及年級(jí)網(wǎng)絡(luò)工程等本專(zhuān)科專(zhuān)業(yè)二年級(jí)三、課程目標(biāo)與基本要求《網(wǎng)絡(luò)與信息安全》課程為網(wǎng)絡(luò)工程、電子商務(wù)等本專(zhuān)科專(zhuān)業(yè)的計(jì)算機(jī)基礎(chǔ)課。本課程實(shí)驗(yàn)的目標(biāo)是鞏固和加深課堂教學(xué)容，培養(yǎng)學(xué)生的動(dòng)手能力和對(duì)信息安全算法及軟件的分析能力和設(shè)計(jì)能力，為后繼課程的學(xué)習(xí)及今后從事實(shí)踐技術(shù)工作奠定基礎(chǔ)。通過(guò)本課程，要求學(xué)生熟悉并掌握各種對(duì)稱(chēng)加密、公鑰加密、數(shù)字簽名和HASH函數(shù)等算法和軟件的原理及實(shí)現(xiàn)過(guò)程，了解并能熟練使用各種信息安全系統(tǒng)和相關(guān)設(shè)備。四、主要儀器設(shè)備PC機(jī)、Windows系統(tǒng)、網(wǎng)卡等。五、實(shí)驗(yàn)項(xiàng)目及教學(xué)安排序號(hào)實(shí)驗(yàn)項(xiàng)目名稱(chēng)實(shí)驗(yàn)基本方法和容項(xiàng)目學(xué)時(shí)項(xiàng)目類(lèi)型每組人數(shù)教學(xué)要求1古典密碼Playfair的分析與設(shè)計(jì)對(duì)playfair密碼算法進(jìn)行完善和改進(jìn)。2基礎(chǔ)型1必修2對(duì)稱(chēng)密鑰算法AES的分析與設(shè)計(jì)通過(guò)對(duì)AES算法的C源程序代碼進(jìn)行修改，了解和掌握分組密碼體制的運(yùn)行原理和編程思想。4基礎(chǔ)型1必修3公鑰加密軟件PGP熟悉公開(kāi)密鑰密碼體制，了解證書(shū)的基本原理，熟悉數(shù)字簽名；熟練使用PGP的基本操作。2設(shè)計(jì)型

1必修4SHA-1雜湊算法的分析與設(shè)計(jì)掌握目前普遍使用的SHA算法基本原理，了解其主要應(yīng)用方法。4設(shè)計(jì)型1必修5網(wǎng)絡(luò)偵聽(tīng)及協(xié)議分析熟悉漏洞掃描的原理，會(huì)使用主流的漏洞掃描工具。2基礎(chǔ)型1必修6拒絕服務(wù)攻擊與防熟悉緩沖區(qū)溢出的原理，了解緩沖區(qū)溢出的防御方法。2基礎(chǔ)型1必修六、考核方式及成績(jī)?cè)u(píng)定《信息安全數(shù)學(xué)基礎(chǔ)》為必修課。以學(xué)生期末考試成績(jī)作為學(xué)期總成績(jī)，成績(jī)采用百分制。缺課1/3及以上者取消考試資格。七、實(shí)驗(yàn)教科書(shū)、參考書(shū)1．實(shí)驗(yàn)教科書(shū)自編講義《網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)》。2．實(shí)驗(yàn)參考書(shū)《網(wǎng)絡(luò)安全實(shí)驗(yàn)教程》，建偉等編著，清華大學(xué)，2007年6月。第一部分實(shí)驗(yàn)預(yù)備知識(shí)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)的性質(zhì)、任務(wù)與要求一、網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)的性質(zhì)與任務(wù)網(wǎng)絡(luò)與信息安全是一門(mén)應(yīng)用性、實(shí)踐性很強(qiáng)的學(xué)科，實(shí)驗(yàn)在這一學(xué)科的研究及發(fā)展過(guò)程中起著至關(guān)重要的作用。工程、科研人員通過(guò)實(shí)驗(yàn)的方法和手段，分析算法、軟件和設(shè)備的原理并實(shí)現(xiàn)，驗(yàn)證和擴(kuò)展其功能及使用圍，將實(shí)驗(yàn)結(jié)果指導(dǎo)理論，實(shí)現(xiàn)更高的安全目標(biāo)。網(wǎng)絡(luò)與信息安全作為網(wǎng)絡(luò)工程、電子商務(wù)等專(zhuān)業(yè)的重要的專(zhuān)業(yè)核心課，實(shí)驗(yàn)是這一課程體系中不可缺少的重要教學(xué)環(huán)節(jié)。通過(guò)實(shí)驗(yàn)手段，使學(xué)生獲得信息安全方面的基礎(chǔ)知識(shí)和基本技能，并運(yùn)用所學(xué)理論來(lái)分析和解決實(shí)際問(wèn)題，提高實(shí)際工作的能力，這對(duì)正在進(jìn)行本課程學(xué)習(xí)的學(xué)生來(lái)說(shuō)是極其重要的。網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)分為信息安全實(shí)驗(yàn)室網(wǎng)絡(luò)環(huán)境建設(shè)實(shí)驗(yàn)、具有代表性的密碼算法相關(guān)的實(shí)驗(yàn)、網(wǎng)絡(luò)攻擊與防御實(shí)驗(yàn)、操作系統(tǒng)安全實(shí)驗(yàn)、網(wǎng)絡(luò)安全設(shè)備和應(yīng)用系統(tǒng)實(shí)驗(yàn)等。二、網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)的一般要求1、實(shí)驗(yàn)前要求為避免盲目性，參加實(shí)驗(yàn)者應(yīng)對(duì)實(shí)驗(yàn)容進(jìn)行預(yù)習(xí)。要明確實(shí)驗(yàn)的目的、要求，掌握有關(guān)信息安全實(shí)驗(yàn)的基本原理，擬出實(shí)驗(yàn)方法和步驟，設(shè)計(jì)實(shí)驗(yàn)表格，對(duì)思考題做出解答，初步估算（或分析）實(shí)驗(yàn)結(jié)果。2、實(shí)驗(yàn)中的要求參加實(shí)驗(yàn)者要自覺(jué)遵守實(shí)驗(yàn)室規(guī)則。按實(shí)驗(yàn)方案認(rèn)真實(shí)現(xiàn)。認(rèn)真記錄實(shí)驗(yàn)條件和所得數(shù)據(jù)，遇到問(wèn)題應(yīng)首先獨(dú)立思考，耐心排除，并記錄下解決的過(guò)程和方法。有疑問(wèn)報(bào)告指導(dǎo)教師，等待處理。實(shí)驗(yàn)結(jié)束時(shí)，應(yīng)將實(shí)驗(yàn)記錄經(jīng)指導(dǎo)教師審閱簽字，清理現(xiàn)場(chǎng)。3、實(shí)驗(yàn)后要求實(shí)驗(yàn)后要求學(xué)生認(rèn)真寫(xiě)好實(shí)驗(yàn)報(bào)告。容包括：列出實(shí)驗(yàn)條件，包括實(shí)驗(yàn)時(shí)間、地點(diǎn)及同實(shí)驗(yàn)人，設(shè)備等。認(rèn)真整理和處理測(cè)試的數(shù)據(jù)。對(duì)測(cè)試結(jié)果進(jìn)行理論分析，做出簡(jiǎn)明扼要的結(jié)論。寫(xiě)出實(shí)驗(yàn)的心得體會(huì)及改進(jìn)實(shí)驗(yàn)的建議。常用設(shè)備一、信息安全實(shí)驗(yàn)室的硬件系統(tǒng)包括：防火墻；網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)；虛擬專(zhuān)用網(wǎng)；物理隔離網(wǎng)卡；路由器；交換機(jī)；集線器。二、信息安全實(shí)驗(yàn)室的軟件系統(tǒng)包括：脆弱性?huà)呙柘到y(tǒng)；病毒防護(hù)系統(tǒng)；身份認(rèn)證系統(tǒng)；網(wǎng)絡(luò)攻防軟件；主機(jī)入侵檢測(cè)軟件；因特網(wǎng)非法外聯(lián)監(jiān)控軟件。第二部分網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)實(shí)驗(yàn)一、Playfair算法實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)本次實(shí)驗(yàn)，掌握古典密碼算法的實(shí)現(xiàn)技術(shù)，完善和改進(jìn)Playfair密碼算法。加強(qiáng)編程能力的訓(xùn)練與程序的調(diào)試能力。實(shí)驗(yàn)設(shè)備及器件安裝Windows操作系統(tǒng)的PC1臺(tái)，其上安裝VC++6.0以上編譯器。預(yù)習(xí)要求復(fù)習(xí)Playfair基本原理。實(shí)驗(yàn)原理Playfair是一個(gè)手工的對(duì)稱(chēng)加密技術(shù)，而且也是第一個(gè)文獻(xiàn)記載的多表代替密碼技術(shù)。該密碼算法是由CharlesWheatstone在1854年發(fā)明的，經(jīng)LoadPlayfair推廣而得名。該算法主要描述如下：Playfair密碼是一種著名的雙字母單表替代密碼，實(shí)際上Playfair密碼屬于一種多字母替代密碼，它將明文中的雙字母作為一個(gè)單元對(duì)待，并將這些單元轉(zhuǎn)換為密文字母組合。替代時(shí)基于一個(gè)5×5的字母矩陣。字母矩陣構(gòu)造方法同密鑰短語(yǔ)密碼類(lèi)似，即選用一個(gè)英文短語(yǔ)或單詞串作為密鑰，去掉其中重復(fù)的字母得到一個(gè)無(wú)重復(fù)字母的字符串，然后再將字母表中剩下的字母依次從左到右、從上往下填入矩陣中，字母i，j占同一個(gè)位置。例如，密鑰K=moonarchy，去除重復(fù)字母后，K=monarchy，可得字母矩陣：對(duì)每一對(duì)明文字母對(duì)（P1、P2）的加密方法如下：若P1、P2在同一行，密文C1、C2分別是緊靠P1、P2右端的字母；若P1、P2在同一列，密文C1、C2分別是緊靠P1、P2下方的字母；若P1、P2不在同一行，也不在同一列，則C1、C2是由P1、P2確定的矩形其它兩角的字母，且C1和P1在同一行，C2和P2在同一行；若P1＝P2，則兩個(gè)字母間插入一個(gè)預(yù)先約定的字母，如q，并用前述方法處理；如balloon，則以balqloon來(lái)加密；若明文字母數(shù)為奇數(shù)，則在明文尾填充約定字母。實(shí)驗(yàn)容和步驟下載并理解源代碼；查看密鑰字母的大小寫(xiě)轉(zhuǎn)換的實(shí)現(xiàn)有無(wú)問(wèn)題，有的話(huà)進(jìn)行改正；編寫(xiě)解密函數(shù)(decrypt),使程序可以完成整個(gè)加解密過(guò)程；舉例測(cè)試加解密的正確性。實(shí)驗(yàn)報(bào)告描述Playfair的原理；實(shí)現(xiàn)步驟2、3中代碼部分；將舉例測(cè)試的結(jié)果截屏；比較加解密的實(shí)現(xiàn)，談?wù)勀銓?duì)對(duì)稱(chēng)密碼算法的理解。實(shí)驗(yàn)二、對(duì)稱(chēng)密鑰算法AES實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)對(duì)AES算法的C源程序代碼進(jìn)行修改，了解和掌握分組密碼體制的運(yùn)行原理和編程思想。實(shí)驗(yàn)設(shè)備及器件安裝Windows、Linux或者DOS操作系統(tǒng)的PC1臺(tái)，且其上安裝有一種C語(yǔ)言編譯環(huán)境。預(yù)習(xí)要求復(fù)習(xí)AES基本原理及數(shù)學(xué)基礎(chǔ)。實(shí)驗(yàn)原理AES是1997年1月由美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所（NIST）發(fā)布公告征集的新一代數(shù)據(jù)加密標(biāo)準(zhǔn)，以替代DES加密算法。其基本功能為對(duì)稱(chēng)分組密碼，分組長(zhǎng)度為128b，密鑰長(zhǎng)度支持128b、192b、256b。在最終的評(píng)估中，憑借各種平臺(tái)實(shí)現(xiàn)性能的高效性，VincentRijnmen和JoanDaemen提出的Rijndael算法勝出，被確定為AES。有關(guān)算法的詳細(xì)介紹請(qǐng)參閱相關(guān)參考書(shū)。實(shí)驗(yàn)容和步驟從網(wǎng)頁(yè)上得到算法的源代碼。請(qǐng)讀者分析代碼，找出各個(gè)部分是由哪個(gè)函數(shù)實(shí)現(xiàn)的，并了解函數(shù)實(shí)現(xiàn)的具體過(guò)程。選出密鑰長(zhǎng)度和分組長(zhǎng)度均為128b，試修改上述代碼，完成以下實(shí)驗(yàn)。全0密鑰擴(kuò)展驗(yàn)證：對(duì)于128b全零密鑰，請(qǐng)利用KeyExpansion函數(shù)將密鑰擴(kuò)展的結(jié)果填入下表中。各輪的擴(kuò)展密鑰第0輪0000第1輪6363第2輪第3輪第4輪第9輪第10輪修改程序，在下表中填寫(xiě)第1、第2輪的中間步驟測(cè)試向量。LEGEND-roundr=0to10Input:cipherinputStart:stateatthestartofround[r]S_box:stateafters_boxsubstitutionS_row:stateaftershiftrowtransformationM_col:stateaftermixcolumntransformationK_sch:keyachedulevalueforround[r]Output:cipheroutputPLAINTEXT:3243F6A8885A308DKEY:2B7E151628AED2A6ABF7158809CF4FENCRYPT:16byteblock，16bytekey第1、第2輪的中間步驟測(cè)試向量R[00].input3243F6A8885A308DR[00].k_sch2B7E151628AED2A6ABF7158809CF4FR[01].start193DE3BEA0F4E22B9AC68D2AE9F84808R[01].s_boxR[01].s_rowR[01].m_colR[01].k_schR[02].startR[02].s_boxR[02].s_rowR[02].m_colR[02].k_sch修改該程序，使其可在（128，128）模式下進(jìn)行文件的加解密，并對(duì)某文檔進(jìn)行加解密，觀察解密后與原文是否相同。如有不同，試考慮如果解決。再用該程序加密流媒體文件，觀察解密后是否能夠正確完整播放。（4）計(jì)算加解密的效率，并進(jìn)行一定的優(yōu)化使加密效率提高。實(shí)驗(yàn)報(bào)告簡(jiǎn)述AES算法每個(gè)輸入分組的長(zhǎng)度及格式。簡(jiǎn)述AES算法每輪加密過(guò)程的四個(gè)步驟。填寫(xiě)上面的表格。實(shí)驗(yàn)三、公鑰加密軟件PGP實(shí)驗(yàn)?zāi)康氖煜す_(kāi)密鑰密碼體制，了解證書(shū)的基本原理，熟悉數(shù)字簽名；熟練使用PGP的基本操作。實(shí)驗(yàn)設(shè)備及器件安裝Windows操作系統(tǒng)的PC1臺(tái)。預(yù)習(xí)要求復(fù)習(xí)公鑰密碼基本原理及數(shù)學(xué)基礎(chǔ)。實(shí)驗(yàn)原理公開(kāi)密鑰密碼體制也被稱(chēng)為雙密鑰密碼體制。其原理是加密密鑰與解密密鑰不同，形成一個(gè)密鑰對(duì)，用其中一個(gè)密鑰加密的結(jié)果，可以用另一個(gè)密鑰來(lái)解密，公鑰密碼體制的發(fā)展是整個(gè)密碼學(xué)發(fā)展史上最偉大的一次革命，它與以前的密碼體制完全不同。這是因?yàn)椋汗€密碼算法基于數(shù)學(xué)問(wèn)題求解的困難性，而不再是基于代替和換位方法；另外，公鑰密碼體制是非對(duì)稱(chēng)的，它使用兩個(gè)獨(dú)立的密鑰，一個(gè)可以公開(kāi)，稱(chēng)為公鑰，另一個(gè)不能公開(kāi)，稱(chēng)為私鑰。公開(kāi)密鑰密碼體制的產(chǎn)生主要基于以下兩個(gè)原因：一是為了解決常規(guī)密鑰密碼體制的密鑰管理與分配的問(wèn)題；二是為了滿(mǎn)足對(duì)數(shù)字簽名的需求。因此，公鑰密碼體制在消息的性、密鑰分配和認(rèn)證領(lǐng)域有著重要的意義。在公開(kāi)密鑰密碼體制中，公開(kāi)密鑰是可以公開(kāi)的信息，而私有密鑰是需要的。加密算法E和解密算法D也都是公開(kāi)的。用公開(kāi)密鑰對(duì)明文加密后，僅能用與之對(duì)應(yīng)的私有密鑰解密，才能恢復(fù)出明文，反之亦然。公開(kāi)密鑰算法用一個(gè)密鑰進(jìn)行加密，而用另一個(gè)不同但是有關(guān)的密鑰進(jìn)行解密。這些算法有以下重要性。僅僅知道密碼算法和加密密鑰而要確定解密密鑰，在計(jì)算上是不可能的。某些算法，例如RSA，還具有這樣的特性：兩個(gè)相關(guān)密鑰中任何一個(gè)都可以用作加密而讓另外一個(gè)用作解密。公鑰密碼的加密與鑒定過(guò)程，如圖所示。公開(kāi)密鑰加密與鑒別過(guò)程實(shí)驗(yàn)容和步驟步驟1.PGP的安裝對(duì)PGP加密軟件的安裝步驟如圖所示，安裝完成后重啟計(jì)算機(jī)，這樣PGP軟件就安裝成功了：使用PGP產(chǎn)生密鑰（1）因?yàn)樵谟脩?hù)類(lèi)型對(duì)話(huà)框中選擇了“新用戶(hù)”，在計(jì)算機(jī)啟動(dòng)以后，自動(dòng)提示建立PGP密鑰，并要求選擇安裝組件如圖所示：PGP組件安裝界面（2）安裝選項(xiàng)一覽如圖所示：要安裝的選項(xiàng)對(duì)話(huà)框（3）單擊“下一步”，出現(xiàn)圖所示對(duì)話(huà)框。產(chǎn)生密鑰向?qū)В?）單擊“下一步”按鈕，在用戶(hù)信息對(duì)話(huà)框中輸入相應(yīng)的和電子地址，如圖所示：用戶(hù)信息對(duì)話(huà)框（5）在PGP密碼輸入框中輸入8位以上的密碼并確認(rèn)，如圖所示：密碼輸入對(duì)話(huà)框（6）然后PGP會(huì)自動(dòng)產(chǎn)生PGP密鑰，生成的密鑰如圖所示：（7）到此為止.公鑰和私鑰都已經(jīng)生成.為了保證私鑰及公私的安全,請(qǐng)點(diǎn)擊上圖的密鑰菜單.在彈出的下拉菜單中選擇:導(dǎo)出菜單.出現(xiàn)如下圖示:在本地機(jī)上對(duì)文件進(jìn)行加密和解密（1）右鍵單擊需要加密的文件，依次選擇“PGP”——“加密”（2）選擇正確的接收人，并單擊“確定”（3）文件加密成功（4）右鍵單擊需要加密的文件，依次選擇“PGP”——“解密&校驗(yàn)”（5）輸入正確的密碼，單擊確定（6）選擇保存路徑，單擊“保存”，即可完成解密在非本地機(jī)上對(duì)文件進(jìn)行解密；（1）右鍵單擊右下角PGP圖標(biāo)，選擇“PGPKeys”（2）將公鑰“pubring”拖入密鑰窗口（3）單擊“確定”（4）將新密鑰拖入本鑰窗口（5）結(jié)果如下（6）對(duì)加密文件進(jìn)行解密（7）解密后結(jié)果如下：對(duì)進(jìn)行加密和解密；（1）Outlook中新建一封，輸入收件人及容后，選擇“加密信息(PGP)”（2）完成加密后，如圖所示，點(diǎn)擊發(fā)送（3）收件人接收到后，點(diǎn)擊“解密PGP信息”（4）輸入密碼后，點(diǎn)擊“確定”（5）解密后的如圖對(duì)文件進(jìn)行加密和簽名。（1）右鍵單擊需要加密的文件，依次選擇“PGP”——“加密&簽名”（2）選擇正確接收人后，單擊“確定”（3）輸入密碼后，單擊確定（4）文件加密成功六、實(shí)驗(yàn)報(bào)告什么是數(shù)據(jù)加密?簡(jiǎn)述采用公鑰密碼算法進(jìn)行加密和解密的基本過(guò)程。PGP完成了哪些安全服務(wù)？利用PGP實(shí)現(xiàn)對(duì)一個(gè)文件進(jìn)行加密和解密的全過(guò)程，并截屏。實(shí)驗(yàn)四、SHA-1雜湊算法實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)本次實(shí)驗(yàn)，掌握目前普遍使用的SHA算法基本原理，了解其主要應(yīng)用方法。實(shí)驗(yàn)設(shè)備及器件安裝Windows操作系統(tǒng)的PC1臺(tái)，其上安裝VC++6.0以上編譯器。預(yù)習(xí)要求復(fù)習(xí)SHA-1基本原理及數(shù)學(xué)基礎(chǔ)。實(shí)驗(yàn)原理SHA(securehashalgorithm)算法由美國(guó)NIST開(kāi)發(fā)，作為數(shù)學(xué)簽名標(biāo)準(zhǔn)中使用的hash算法，并在1993年作為聯(lián)邦信息處理標(biāo)準(zhǔn)公布。在1995年公布了其改進(jìn)版本SHA-1。SHA-1將不定長(zhǎng)輸入變換為160b定長(zhǎng)輸出，作為輸入數(shù)據(jù)的摘要（又稱(chēng)為數(shù)據(jù)指紋），反映了數(shù)據(jù)的特征。設(shè)摘要長(zhǎng)度為n，則對(duì)于給定輸入數(shù)據(jù)，找到另一不同數(shù)據(jù)但具有相同摘要的概率為，根據(jù)生日攻擊的原理，尋找到兩個(gè)數(shù)據(jù)具有相同摘要的概率為。hash算法被廣泛用于數(shù)據(jù)完整性保護(hù)、身份認(rèn)證和數(shù)字簽名當(dāng)中。關(guān)于SHA-1基本原理及數(shù)學(xué)基礎(chǔ)的介紹，請(qǐng)參閱相關(guān)參考書(shū)。實(shí)驗(yàn)容和步驟從/docs/ref521/sha_8cpp-source.html網(wǎng)頁(yè)上得到算法的源代碼。構(gòu)造一個(gè)長(zhǎng)度為1KB左右的文本文件，以SHA算法對(duì)文件計(jì)算hash值。在上述文本本件中修改1個(gè)字母或漢字，再次計(jì)算hash值，與步驟（2）中hash值進(jìn)行比較，看看有多少比特發(fā)生改變。測(cè)試SHA算法的速度。實(shí)驗(yàn)報(bào)告簡(jiǎn)述SHA算法流程。寫(xiě)出步驟2和步驟3中的文本文件和hash值。寫(xiě)出所使用機(jī)器的硬件配置以及SHA的測(cè)試速度。實(shí)驗(yàn)五、網(wǎng)絡(luò)偵聽(tīng)及協(xié)議分析實(shí)驗(yàn)?zāi)康膶?shí)驗(yàn)設(shè)備及器件預(yù)習(xí)要求實(shí)驗(yàn)原理實(shí)驗(yàn)容和步驟實(shí)驗(yàn)報(bào)告（以上見(jiàn)課本）實(shí)驗(yàn)六、拒絕服務(wù)攻擊實(shí)驗(yàn)?zāi)康脑诰W(wǎng)絡(luò)安全攻擊的各種手段和方法中，DoS（DenialofService,拒絕服務(wù)類(lèi)）攻擊危害巨大，這種攻擊行動(dòng)使服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。而DDoS（DistributedDenialofService，分布式拒絕服務(wù)）攻擊的出現(xiàn)無(wú)疑是一場(chǎng)網(wǎng)絡(luò)的災(zāi)難，它是DoS攻擊的演變和升級(jí)，是黑客手中慣用的攻擊方式之一，破壞力極強(qiáng)，往往會(huì)帶給網(wǎng)絡(luò)致命的打擊，因此必須對(duì)其進(jìn)行分析和研究。實(shí)驗(yàn)設(shè)備及器件WindowsXP系統(tǒng)、Udpflood、SDos和Wireshark。預(yù)習(xí)要求復(fù)習(xí)拒接服務(wù)攻擊基本原理。實(shí)驗(yàn)原理子實(shí)驗(yàn)一SYNFlood攻擊SYNFlood是當(dāng)前最流行的DoS與DDoS的方式之一，這是一種利用TCP缺陷，發(fā)送大量偽造TCP連接請(qǐng)求，從而使得被攻擊方資源耗盡的攻擊方式。這種攻擊的基本原理與TCP連接建立的過(guò)程有關(guān)。TCP和UDP不同，它是基于連接的，建立TCP連接的標(biāo)準(zhǔn)過(guò)程是這樣的：首先，請(qǐng)求端（客戶(hù)端）發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文，SYN報(bào)文會(huì)致命客戶(hù)端使用的端口以及TCP連接的初始序號(hào)；其次，服務(wù)器在收到客戶(hù)端的SYN報(bào)文后，將返回一個(gè)SYN+ACK的報(bào)文，表示客戶(hù)端的請(qǐng)求被接受，同時(shí)TCP序號(hào)被加1，ACK即被確認(rèn)；最后，客戶(hù)端也返回一個(gè)確認(rèn)報(bào)文ACK給服務(wù)器，同樣TCP序列號(hào)被加1，到此一個(gè)TCP連接完成。以上的過(guò)程在TCP中被稱(chēng)為三次握手。在TCP連接的三次握手中，假設(shè)一個(gè)用戶(hù)向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或死掉，那么服務(wù)器在發(fā)生SYN+ACK應(yīng)答報(bào)文后是無(wú)法收到客戶(hù)端的ACK報(bào)文的，這種情況下服務(wù)器端一般會(huì)重試并等待一段時(shí)間后丟棄這個(gè)未完成的連接，這段時(shí)間的長(zhǎng)度稱(chēng)為SYNTimeout，一般來(lái)說(shuō)這個(gè)時(shí)間是分鐘的數(shù)量級(jí)（30s~2min）；一個(gè)用戶(hù)出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1min并不是什么很大的問(wèn)題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接到列表而消耗非常多的資源——數(shù)以萬(wàn)計(jì)的半連接，即使是簡(jiǎn)單的保存并遍歷也會(huì)消耗非常多的CPU時(shí)間和存，何況還要不斷對(duì)這個(gè)列表中的IP進(jìn)行SYN+ACK的重試。實(shí)際上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰——即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接而無(wú)暇理睬客戶(hù)的正常請(qǐng)求，此時(shí)從正?？蛻?hù)的角度看來(lái)，服務(wù)器失去響應(yīng)，這種情況稱(chēng)為服務(wù)器端受到了SYNFlood攻擊。從防御角度來(lái)說(shuō)，有以下集中簡(jiǎn)單的解決方法。第一種是縮短SYNTimeout時(shí)間，由于SYNFlood攻擊的效果取決于服務(wù)器上保持的SYN連接數(shù)，這個(gè)值=SYN攻擊的頻度*SYNTimeout，所以通過(guò)縮短從接收到SYN報(bào)文到確定這個(gè)報(bào)文無(wú)效并丟棄該連接的時(shí)間，例如設(shè)置為20s以下，可以成倍地降低服務(wù)器的負(fù)荷。第二種方法是設(shè)置SYNCookie，就是給每一個(gè)請(qǐng)求連接的IP地址分配一個(gè)Cookie，如圖短時(shí)間連續(xù)收到某個(gè)IP的重復(fù)SYN報(bào)文，就認(rèn)定受到了攻擊，以后從這個(gè)IP地址來(lái)的包會(huì)被丟棄?？墒巧鲜龅膬煞N方法只能對(duì)付比較原始的SYNFlood攻擊，縮短SYNTimeout時(shí)間盡在對(duì)方攻擊額度不高的情況下生效，SYNCookie更依賴(lài)于對(duì)方使用真實(shí)的IP地址，如果攻擊者以數(shù)萬(wàn)次/秒的速度發(fā)送SYN報(bào)文，同時(shí)利用SOCK_RAW隨機(jī)改寫(xiě)IP報(bào)文中的源地址，以上的方法將毫無(wú)用武之地。子實(shí)驗(yàn)二UDPFlood攻擊UDPFlood攻擊也是DDoS攻擊的一種常見(jiàn)方式。UDP是一種無(wú)連接的服務(wù)，他不需要用某個(gè)程序建立連接來(lái)傳輸數(shù)據(jù)。UDPFlood攻擊是通過(guò)開(kāi)放的UDP端口針對(duì)相關(guān)的服務(wù)進(jìn)行攻擊。UDPFlood攻擊器會(huì)向被攻擊主機(jī)發(fā)送大量偽造源地址的小UDP包，沖擊DNS服務(wù)器或者Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器，甚至導(dǎo)致整個(gè)網(wǎng)段癱瘓。UDPFlood是日漸猖獗的流量型DoS攻擊，原理也很簡(jiǎn)單。常見(jiàn)的情況是利用大量UDP小包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。100kbps的UDPFlood經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱，造成整個(gè)網(wǎng)段的癱瘓。由于UDP是一種無(wú)連接的服務(wù)，在UDPFlood攻擊中，攻擊者可發(fā)送大量偽造源IP地址的小UDP包。但是由于UDP是無(wú)連接性的，所以只要開(kāi)了一個(gè)UDP端口提供服務(wù)，那么就可針對(duì)相關(guān)的服務(wù)進(jìn)行攻擊。正常情況下，UDP包雙向流量會(huì)基本相等，而且大小和容都是隨機(jī)的，變化很大。出現(xiàn)UDPFlood的情況下，針對(duì)同一目標(biāo)IP的UDP包在一側(cè)大量出現(xiàn)，并且容和大小都比較固定。UDPFlood防護(hù)：UDP和TCP不同，是無(wú)連接狀態(tài)的協(xié)議，并且UDP應(yīng)用協(xié)議五花八門(mén)，差異極大，因此針對(duì)UDPFlood的防護(hù)非常困難。其防護(hù)要根據(jù)具體情況對(duì)待：判斷包大小，如果是大包攻擊則使用防止UDP碎片方法，根據(jù)攻擊包大小設(shè)定包碎片重組大小，通常不小于1500。在極端情況下，可以考慮丟棄多有UDP碎片。攻擊端口為業(yè)務(wù)端口：根據(jù)該業(yè)務(wù)UDP最大包長(zhǎng)設(shè)置UDP最大包大小以過(guò)濾異常流量。攻擊端口為非業(yè)務(wù)端口：一個(gè)是丟棄所有UDP包，可能會(huì)誤傷正常業(yè)務(wù)；另一個(gè)是建立UDP連接規(guī)則，要求所有去往該端口的UDP包，必須首先與TCP端口建立TCP連接。不過(guò)這種方法需要很專(zhuān)業(yè)的防火墻或其他防護(hù)設(shè)備支持。實(shí)驗(yàn)容和步驟子實(shí)驗(yàn)一SYNFlood攻擊(1)合作者1：登錄到Windows，打開(kāi)