網(wǎng)絡(luò)信息安全實(shí)驗(yàn)報(bào)告

《網(wǎng)絡(luò)信息安全》實(shí)驗(yàn)報(bào)告學(xué)校：江蘇科技大學(xué)專業(yè)：13級(jí)計(jì)算機(jī)科學(xué)與技術(shù)導(dǎo)師：李永忠學(xué)號(hào)：1341901201姓名：黃鑫江蘇科技大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院2015-12-2實(shí)驗(yàn)一DES加解密算法一、實(shí)驗(yàn)?zāi)康?.學(xué)會(huì)并實(shí)現(xiàn)DES算法理解對(duì)稱密碼體制的基本思想掌握數(shù)據(jù)加密和解密的基本過程理解公鑰密碼體制的基本思想掌握公鑰密碼數(shù)據(jù)加密解密的過程6.理解Hash函數(shù)的基本思想二、實(shí)驗(yàn)內(nèi)容1、 根據(jù)DES加密標(biāo)準(zhǔn)，用C++設(shè)計(jì)編寫符合DES算法思想的加、解密程序，能夠?qū)崿F(xiàn)對(duì)字符串和數(shù)組的加密和解密。例如，字符串為M=“信息安全”，密鑰K=“computer”2、 根據(jù)RSA加密算法，使用RSA1軟件，能夠?qū)崿F(xiàn)對(duì)字符的加密和解密。3、 根據(jù)MD5算法，使用hashcalc軟件和MD5Caculate軟件，能夠?qū)崿F(xiàn)求字符串和文件的HASH值。例如，字符串為M=“信息安全”，求其HASH值三、實(shí)驗(yàn)原理算法加密encryption解密algorithmbyteDES算法把64位的明文輸入塊變?yōu)?4位的密文輸出塊，它所使用的密鑰也是64位，首先，DES把輸入的64位數(shù)據(jù)塊按位重新組合，并把輸出分為L(zhǎng)0、R0兩部分，每部分各長(zhǎng)32位，并進(jìn)行前后置換（輸入的第58位換到第一位，第50位換到第2位，依此類推，最后一位是原來的第7位），最終由L0輸出左32位，R0輸出右32位，根據(jù)這個(gè)法則經(jīng)過16次迭代運(yùn)算后，得到L16、R16，將此作為輸入，進(jìn)行與初始置換相反的逆置換，即得到密文輸出。DES算法的入口參數(shù)有三個(gè)：Key、Data、Mode。其中Key為8個(gè)字節(jié)共64位，是DES算法的工作密鑰；Data也為8個(gè)字節(jié)64位，是要被加密或被解密的數(shù)據(jù)；Mode為DES的工作方式，有兩種：加密或解密，如果Mode為加密，則用Key去把數(shù)據(jù)Data進(jìn)行加密，生成Data的密碼形式作為DES的輸出結(jié)果；如Mode為解密，則用Key去把密碼形式的數(shù)據(jù)Data解密，還原為Data的明碼形式作為DES的輸出結(jié)果。在使用DES時(shí)，雙方預(yù)先約定使用的”密碼”即Key，然后用Key去加密數(shù)據(jù)；接收方得到密文后使用同樣的Key解密得到原數(shù)據(jù)，這樣便實(shí)現(xiàn)了安全性較高的數(shù)據(jù)傳輸。DES算法全稱為DataEncryptionStandard,即數(shù)據(jù)加密算法,它是IBM公司于1975年研究成功并公開發(fā)表的。DES算法的入口參數(shù)有三個(gè):Key、Data、Mode。其中Key為8個(gè)字節(jié)共64解所需的時(shí)間越來越短。自身漏洞。DES算法中只用到64位密鑰中的其中56位，而第8、16、24、......64位8個(gè)位并未參與DES運(yùn)算，這一點(diǎn)，向我們提出了一個(gè)應(yīng)用上的要求，即DES的安全性是基于除了8,16,24,......64位外的其余56位的組合變化256才得以保證的。公鑰算法中加密算法和解密算法有何不同？公鑰算法中加密算法和解密算法基本相同，不同之處在于解密算法所使用的子密鑰順序與加密算法是相反的。實(shí)驗(yàn)心得在這次實(shí)驗(yàn)中，我學(xué)會(huì)了并且編程實(shí)現(xiàn)了DES算法，理解對(duì)稱密碼體制的基本思想。在掌握數(shù)據(jù)加密和解密的基本過程中，理解了公鑰密碼體制和Hash函數(shù)的基本思想。雖然實(shí)驗(yàn)內(nèi)容相對(duì)而言比較簡(jiǎn)單，但是在實(shí)際操作過程中仍然遇到了一些問題。在實(shí)驗(yàn)中，我對(duì)DES的加密和解密算法的學(xué)習(xí)產(chǎn)生了極大的學(xué)習(xí)熱情，還會(huì)繼續(xù)努力！實(shí)驗(yàn)二、操作系統(tǒng)安全配置實(shí)驗(yàn)?zāi)康?．熟悉WindowsNT/XP/2000系統(tǒng)的安全配置

2.理解可信計(jì)算機(jī)評(píng)價(jià)準(zhǔn)則實(shí)驗(yàn)內(nèi)容1.修改Windows系統(tǒng)注冊(cè)表的安全配置，并驗(yàn)證2.修改Windows系統(tǒng)的安全服務(wù)設(shè)置，并驗(yàn)證3.修改IE瀏覽器安全設(shè)置，并驗(yàn)證4.設(shè)置用戶的本地安全策略，包括密碼策略和帳戶鎖定策略。5.新建一個(gè)文件夾并設(shè)置其訪問控制權(quán)限。6.學(xué)會(huì)用事件查看器查看三種日志。7.記錄并分析實(shí)驗(yàn)現(xiàn)象實(shí)驗(yàn)過程Windows系統(tǒng)注冊(cè)表的配置用“Regedit”命令啟動(dòng)注冊(cè)表編輯器，配置Windows系統(tǒng)注冊(cè)表中的安全項(xiàng)(1)、關(guān)閉Windows遠(yuǎn)程注冊(cè)表服務(wù)通過任務(wù)欄的“開始->運(yùn)行”，輸入regedit進(jìn)入注冊(cè)表編輯器。找到注冊(cè)表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的“RemoteRegistry”項(xiàng)。右鍵點(diǎn)擊“RemoteRegistry”項(xiàng)，選擇“刪除”。(2)修改系統(tǒng)注冊(cè)表防止SYN洪水攻擊(a)找到注冊(cè)表位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建DWORD值，名為SynAttackProtect。(b)點(diǎn)擊右鍵修改SynAttackProtect鍵值的屬性。(c)在彈出的“編輯DWORD值”對(duì)話框數(shù)值數(shù)據(jù)欄中輸入“2”(d)單擊“確定”，繼續(xù)在注冊(cè)表中添加下列鍵值，防范SYN洪水攻擊。EnablePMTUDiscoveryREG_DWORD0NoNameReleaseOnDemandREG_DWORD1EnableDeadGWDetectREG_DWORD0KeepAliveTimeREG_DWORD300,000PerformRouterDiscoveryREG_DWORD0EnableICMPRedirectsREG_DWORD0(3)修改注冊(cè)表防范IPC$攻擊：(a)查找注冊(cè)表中“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA”的“RestrictAnonymous”項(xiàng)。(b)單擊右鍵，選擇“修改”。(c)在彈出的“編輯DWORD值”對(duì)話框中數(shù)值數(shù)據(jù)框中添入“1”，將“RestrictAnonymous”項(xiàng)設(shè)置為“1”，這樣就可以禁止IPC$的連接，單擊“確定”按鈕。(4)修改注冊(cè)表關(guān)閉默認(rèn)共享(a)對(duì)于c$、d$和admin$等類型的默認(rèn)共享則需要在注冊(cè)表中找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”項(xiàng)。在該項(xiàng)的右邊空白處，單擊右鍵選擇新建DWORD值。(b)添加鍵值“AutoShareServer”(類型為“REG_DWORD”，值為“0”)。注：如果系統(tǒng)為Windows2000Server或Windows2003，則要在該項(xiàng)中添加鍵值“AutoShareServer”(類型為“REG_DWORD”，值為“0”)。如果系統(tǒng)為Windows2000PRO，則應(yīng)在該項(xiàng)中添加鍵值“AutoShareWks”(類型為“REG_DWORD”，值為“0”)。2．通過“控制面板\管理工具\(yùn)本地安全策略”，配置本地的安全策略（1）禁止枚舉賬號(hào)在“本地安全策略”左側(cè)列表的“安全設(shè)置”目錄樹中，逐層展開“本地策略”“安全選項(xiàng)”。查看右側(cè)的相關(guān)策略列表，在此找到“網(wǎng)絡(luò)訪問：不允許SAM賬戶和共享的匿名枚舉”，用鼠標(biāo)右鍵單擊，在彈出菜單中選擇“屬性”，而后會(huì)彈出一個(gè)對(duì)話框，在此激活“已啟用”選項(xiàng)，最后點(diǎn)擊“應(yīng)用”按鈕使設(shè)置生效。（2）不顯示上次登錄的用戶名3.打開IE瀏覽器，選擇“工具\(yùn)Internet選項(xiàng)\安全”選項(xiàng)，進(jìn)行IE瀏覽器的安全設(shè)置（1）在Internet選項(xiàng)中自定義安全級(jí)別（2）設(shè)置添加受信任和受限制的站點(diǎn)4.新建一個(gè)用戶組，并在這個(gè)用戶組中新建一個(gè)帳號(hào)。打開控制面板-用戶賬戶-新建賬戶5.設(shè)置用戶的本地安全策略，包括密碼策略和帳戶鎖定策略。（1）打開“控制面板”→“管理工具”→“本地安全設(shè)置”，（2）設(shè)置密碼復(fù)雜性要求：雙擊“密碼必須符合復(fù)雜性要求”，就會(huì)出現(xiàn)“本地安全策略設(shè)置”界面，可根據(jù)需要選擇“已啟用”，單擊“確定”，即可啟用密碼復(fù)雜性檢查。（3）設(shè)置密碼長(zhǎng)度最小值：雙擊“密碼長(zhǎng)度最小值”，將密碼長(zhǎng)度設(shè)置在6位以上。（4）設(shè)置密碼最長(zhǎng)存留期：雙擊“密碼最長(zhǎng)存留期”，將密碼作廢期設(shè)置為60天，則用戶每次設(shè)置的密碼只在60天內(nèi)有效。（5）單擊左側(cè)列表中的“帳戶鎖定策略”。（6）設(shè)置帳戶鎖定時(shí)間：雙擊“帳戶鎖定時(shí)間”，將用戶鎖定時(shí)間設(shè)置為3分鐘，則每次鎖定后帳戶將保持鎖定狀態(tài)3分鐘。（7）設(shè)置帳戶鎖定閥值：雙擊“帳戶鎖定閥值”，可將帳戶鎖定閥值設(shè)置為3次。6.新建一個(gè)文件夾并設(shè)置其訪問控制權(quán)限。（1）在E盤新建一個(gè)文件夾，用鼠標(biāo)右鍵單擊該文件夾，選擇“屬性”，在屬性對(duì)話框中選擇“安全”選項(xiàng)卡，就可以對(duì)文件夾的訪問控制權(quán)限進(jìn)行設(shè)置，如下圖所示。（2）在界面中刪除“everyone”用戶組，加入我們新建的“實(shí)驗(yàn)”用戶組，并將“實(shí)驗(yàn)”用戶組的權(quán)限設(shè)置為“只讀”。（3）以用戶try身份登錄，驗(yàn)證上述設(shè)置。7.學(xué)會(huì)用事件查看器查看三種日志。（1）以管理員身份登錄系統(tǒng)，打開“控制面板”→“管理工具”→“事件查看器”，從中我們可以看到系統(tǒng)記錄了三種日志。（2）雙擊“應(yīng)用程序日志”，就可以看到系統(tǒng)記錄的應(yīng)用程序日志。（3）在右側(cè)的詳細(xì)信息窗格中雙擊某一條信息，就可以看到該信息所記錄事件的詳細(xì)信息，用同樣方法查看安全日志和系統(tǒng)日志。四．實(shí)驗(yàn)心得通過這次實(shí)驗(yàn)我熟悉了WindowsNT/XP/2000系統(tǒng)的安全配置，理解可信計(jì)算機(jī)評(píng)價(jià)準(zhǔn)則。雖然實(shí)驗(yàn)內(nèi)容相對(duì)而言比較簡(jiǎn)單，但是在實(shí)際操作過程中仍然遇到了一些問題。在實(shí)驗(yàn)中，我產(chǎn)生了極大的學(xué)習(xí)熱情，還會(huì)繼續(xù)努力！我知道了在平時(shí)生活中要加強(qiáng)安全方面的意識(shí)，這樣才能做到最大限度的安全保障。實(shí)驗(yàn)三、網(wǎng)絡(luò)掃描與偵聽一、 實(shí)驗(yàn)?zāi)康睦斫饩W(wǎng)絡(luò)監(jiān)聽（嗅探）的工作機(jī)制和作用。學(xué)習(xí)常用網(wǎng)絡(luò)嗅探工具Sniffer和協(xié)議分析工具Wireshark的使用。理解掃描器的工作機(jī)制和作用。掌握利用掃描器進(jìn)行主動(dòng)探測(cè)、收集目標(biāo)信息的方法。掌握使用漏洞掃描器檢測(cè)遠(yuǎn)程或本地主機(jī)安全性漏洞。二、 實(shí)驗(yàn)內(nèi)容使用Sniffer進(jìn)行網(wǎng)絡(luò)監(jiān)聽，嗅探及數(shù)據(jù)包抓取。使用Sniffer對(duì)本地主機(jī)進(jìn)行嗅探，抓取數(shù)據(jù)包。瀏覽網(wǎng)站時(shí)，抓取數(shù)據(jù)包，并觀察TCP連接的建立與結(jié)束過程。登錄QQ時(shí)，抓取數(shù)據(jù)包。保存生成的數(shù)據(jù)文件。使用wireshark進(jìn)行網(wǎng)絡(luò)協(xié)議分析。使用wireshark進(jìn)行數(shù)據(jù)包捕獲，分析獲得的數(shù)據(jù)，并觀察三次握手過程。獲取ARP、HTTP、FTP、DNS、ICMP協(xié)議包，并進(jìn)行分析。保存生成的文件。使用兩種掃描軟件進(jìn)行掃描，包括NMAP、SuperScan、X—Scan等。對(duì)掃描的結(jié)果進(jìn)行統(tǒng)計(jì)分析，并提出掃描系統(tǒng)的改進(jìn)方案。使用掃描軟件對(duì)遠(yuǎn)程主機(jī)進(jìn)行端口掃描，探測(cè)主機(jī)信息。對(duì)同一網(wǎng)段內(nèi)的所有主機(jī)進(jìn)行漏洞掃描。保存生成的HTML文件。比較兩種掃描器的功能、特點(diǎn)和效果。實(shí)驗(yàn)結(jié)果熟悉并使用網(wǎng)絡(luò)掃描軟件查找主機(jī)：2.熟悉并使用網(wǎng)絡(luò)偵聽(嗅探)軟件3.觀察并記錄掃描/偵聽過程及結(jié)果四、 思考題根據(jù)實(shí)驗(yàn)總結(jié)針對(duì)網(wǎng)絡(luò)監(jiān)聽的防范措施。a.對(duì)傳輸信號(hào)進(jìn)行加密b.安裝木馬程序進(jìn)行監(jiān)聽，定期查殺分析網(wǎng)絡(luò)嗅探器在網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全方面的作用網(wǎng)絡(luò)嗅探器的功能主要是：通過捕獲和分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)來監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)運(yùn)行。

利用它能夠隨時(shí)掌握網(wǎng)絡(luò)的實(shí)際狀況，查找網(wǎng)絡(luò)漏洞和檢測(cè)網(wǎng)絡(luò)性能；當(dāng)網(wǎng)絡(luò)性能急劇下降的時(shí)候，可以通過嗅探器分析網(wǎng)絡(luò)流量，找出網(wǎng)絡(luò)阻塞的來源。

嗅探技術(shù)是一種重要的網(wǎng)絡(luò)安全攻防技術(shù)，網(wǎng)絡(luò)嗅探器是構(gòu)成入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)管理工具的基石。分析網(wǎng)絡(luò)掃描器在網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全方面的作用掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全性弱點(diǎn)的程序，通過使用掃描器你可一不留痕跡的發(fā)現(xiàn)遠(yuǎn)程服務(wù)器的各種TCP端口的分配及提供的服務(wù)和它們的軟件版本。這就能讓我們間接的或直觀的了解到遠(yuǎn)程主機(jī)所存在的安全問題。五、實(shí)驗(yàn)心得在這次實(shí)驗(yàn)中，我理解了網(wǎng)絡(luò)監(jiān)聽（嗅探）的工作機(jī)制和作用，學(xué)習(xí)了常用網(wǎng)絡(luò)嗅探工具Sniffer和協(xié)議分析工具Wireshark的使用。在實(shí)驗(yàn)中，我了解到掃描網(wǎng)絡(luò)可以知道人的一舉一動(dòng)，我們要提高自己的安全意識(shí)，在以后的學(xué)習(xí)中更加注意加強(qiáng)安全意識(shí)。實(shí)驗(yàn)四、安全電子郵件PGP應(yīng)用一、實(shí)驗(yàn)?zāi)康?.熟悉并掌握PGP軟件的使用2.進(jìn)一步理解加密與數(shù)字簽名的過程和作用二、實(shí)驗(yàn)內(nèi)容1．在理解PGP原理和實(shí)現(xiàn)背景的前提下，掌握安全電子郵件PGP軟件的安裝和配置方法。發(fā)送和接收安全電子郵件，通過實(shí)際操作，熟悉和掌握對(duì)郵件的加密和認(rèn)證。2．分析SSL的會(huì)話建立及數(shù)據(jù)交換過程，進(jìn)一步理解SSL的兩層結(jié)構(gòu)和四種協(xié)議。3．使用及分析SSH登錄、文件傳輸過程。三、實(shí)驗(yàn)內(nèi)容要求1.傳統(tǒng)加密任意選擇一個(gè)文件，用傳統(tǒng)加密方式對(duì)它進(jìn)行加密和解密。2.生成自己的密鑰對(duì)要求用戶ID中必須包含自己的學(xué)號(hào)。3.加密文件任意選擇一個(gè)文件，用混合加密方式對(duì)它進(jìn)行加密和解密。觀察各種選項(xiàng)的作用。4.數(shù)字簽名任意選擇一個(gè)文件，對(duì)它進(jìn)行簽名，然后驗(yàn)證。對(duì)文件略作修改后，看是否仍能通過驗(yàn)證。5.交換并驗(yàn)證公鑰通過電子郵件（或其它方式）和其他同學(xué)交換公鑰，并驗(yàn)證公鑰的有效性。然后，可以相互發(fā)送加密電子郵件。6.分割秘鑰要求幾個(gè)人合作，分割一個(gè)秘鑰，每個(gè)人保管一份。然后，當(dāng)需要解密文件或驗(yàn)證簽名時(shí)，通過網(wǎng)絡(luò)恢復(fù)出秘鑰。7.考核向?qū)W生A發(fā)送一封電子郵件，談?wù)勀銓?duì)本實(shí)驗(yàn)的看法和建議。要求用學(xué)生A的公鑰加密，并用你的秘鑰簽名。在電子郵件的附件中包含你的公鑰證書。8.觀察并記錄實(shí)驗(yàn)過程及結(jié)果，給出實(shí)驗(yàn)結(jié)論四、實(shí)驗(yàn)步驟安全電子郵件PGP應(yīng)用與分析1．安裝PGP8.0.3，選擇合適的用戶類型和支持組件。2．生成私鑰（分別輸入用戶名，電子郵件地址和密碼），之后PGP會(huì)自動(dòng)生成公鑰。對(duì)密鑰進(jìn)行設(shè)置：把自己的公鑰傳到公鑰服務(wù)器上。3．在“General（常規(guī)）”選項(xiàng)卡：選中“Fasterkeygeneration（快速生成密鑰）”4.在“SingleSign-On（一次登錄）”下，可以按照自己的實(shí)際情況選擇PGP緩存密碼的時(shí)限。5．“File（文件）”選項(xiàng)卡下顯示了公鑰和私鑰的保存位置，建議通過點(diǎn)擊“Browse（覽）按鈕把公鑰和私鑰的默認(rèn)保存位置轉(zhuǎn)移到非系統(tǒng)盤的其它硬盤分區(qū)中。6．在“Email（電子郵件）”選項(xiàng)卡選擇“Signnewmessagesbydefault（默認(rèn)簽名新郵件）”選擇“Automaticallydecrypt/verifywhenopeningmessa