《(2020年){安全生产管理}网络安全实验指导书》由会员分享,可在线阅读,更多相关《(2020年){安全生产管理}网络安全实验指导书(23页珍藏版)》请在金锄头文库上搜索。
1、安全生产管理网络安全实验指导书网络安全技术实验指导书计算机科学与工程学院(2009-2010第一学期)指导老师:杜淑琴实验一数据加密技术一、实验目的编制基本的文本加、解密程序二、实验内容凯撒密码实现、维吉尼亚表加密、DES三、实验要求使用任意高级语言做出给文本文件加、解密的软件.四、实验步骤:参考教科书有关内容,掌握凯撒加密方法,自行设计密钥.编制程序。密码术可以大致别分为两种:即换位和替代,当然也有两者结合的更复杂的方法。在换位中字母不变,位置改变;替代中字母改变,位置不变。将替代密码用于军事用途的第一个文件记载是恺撒著的高卢记。恺撒描述了他如何将密信送到正处在被围困、濒临投降的西塞罗。其中
2、罗马字母被替换成希腊字母使得敌人根本无法看懂信息。苏托尼厄斯在公元二世纪写的恺撒传中对恺撒用过的其中一种替代密码作了详细的描写。恺撒只是简单地把信息中的每一个字母用字母表中的该字母后的第三个字母代替。这种密码替换通常叫做凯撒移位密码,或简单的说,凯撒密码。凯撒密码是将每一个字母向前推移K位。如K=3,则它的每一个明文字符都由其右边第三个(模26)字符代换如将字母A换作字母D,将字母B换作字母E。如有这样一条指令:RETURNTOROME用恺撒密码加密后就成为:UHWXUAWRURPH如果这份指令被敌方截获,也将不会泄密,因为字面上看不出任何意义。这种加密方法还可以依据移位的不同产生新的变化,如
3、将每个字母左19位,就产生这样一个明密对照表:明:ABCDEFGHIJKLMNOPQRSTUVWXYZ密:TUVWXYZABCDEFGHIJKLMNOPQRS暴力破解:使用从1-25的密钥依次解密密文,看看得出来的结果是怎样的。参考资料:尽管苏托尼厄斯仅提到三个位置的恺撒移位,但显然从1到25个位置的移位我们都可以使用,因此,为了使密码有更高的安全性,单字母替换密码就出现了。如:明码表ABCDEFGHIJKLMNOPQRSTUVWXYZ密码表QWERTYUIOPASDFGHJKLZXCVBNM明文FOREST密文YGKTLZ只需重排密码表二十六个字母的顺序,允许密码表是明码表的任意一种重排,密
4、钥就会增加到四千亿亿亿多种,我们就有超过41027种密码表。破解就变得很困难。如何破解包括恺撒密码在内的单字母替换密码?方法:字母频度分析尽管我们不知道是谁发现了字母频度的差异可以用于破解密码。但是9世纪的科学家阿尔金迪在关于破译加密信息的手稿对该技术做了最早的描述。“如果我们知道一条加密信息所使用的语言,那么破译这条加密信息的方法就是找出同样的语言写的一篇其他文章,大约一页纸长,然后我们计算其中每个字母的出现频率。我们将频率最高的字母标为1号,频率排第2的标为2号,第三标为3号,依次类推,直到数完样品文章中所有字母。然后我们观察需要破译的密文,同样分类出所有的字母,找出频率最高的字母,并全部
5、用样本文章中最高频率的字母替换。第二高频的字母用样本中2号代替,第三则用3号替换,直到密文中所有字母均已被样本中的字母替换。”以英文为例,首先我们以一篇或几篇一定长度的普通文章,建立字母表中每个字母的频度表。在分析密文中的字母频率,将其对照即可破解。虽然设密者后来针对频率分析技术对以前的设密方法做了些改进,比如说引进空符号等,目的是为了打破正常的字母出现频率。但是小的改进已经无法掩盖单字母替换法的巨大缺陷了。到16世纪,最好的密码破译师已经能够破译当时大多数的加密信息。局限性:短文可能严重偏离标准频率,加入文章少于100个字母,那么对它的解密就会比较困难。而且不是所有文章都适用标准频度:196
6、9年,法国作家乔治斯佩雷克写了一部200页的小说逃亡,其中没有一个含有字母e的单词。更令人称奇的是英国小说家和拼论家吉尔伯特阿代尔成功地将逃亡翻译成英文,而且其中也没有一个字母e。阿代尔将这部译著命名为真空。如果这本书用单密码表进行加密,那么频度分析破解它会受到很大的困难。实验二协议分析软件的使用一、实验目的学习协议分析软件wireshark的使用二、实验内容学习使用Wireshark抓取发送邮件的包三、实验步骤在一台网络计算机上安装网络协议分析软件Wireshark(即Ethereal),按照教材第7.2节的方法,捕获自己的计算机通过互联网发送电子邮件的全部数据。将捕获数据文件保存,并利用各
7、种过滤器和统计分析工具,从捕获数据中得出以下答案:1自己的网络计算机的MAC地址是 2本地网络出口网关的MAC地址是(参看教材21页例) (因为邮件服务器与自己的网络计算机并不在同一个局域网内,因此,发送的电子邮件以太网数据帧的目的MAC地址不是邮件服务器的,而是局域网出口网关的MAC地址。)3自己的网络计算机的IP地址是 自己注册的电子邮件服务器的IP地址是 ,与客户机是否在同一个网段?答: 。4与邮件服务器建立TCP连接时本地主机的端口号是 1432 (客户端采用临时端口号,用于标识本次应用进程,参看教材第25页)。邮件服务器端的TCP端口号是 ,这个端口号的名字是什么?是电子邮件服务器的
8、端口号SMTP吗?答: 。5在三次握手建立了TCP连接后,本机的HTTP进程采用 方法(教材表1.7)向邮件服发送本用户的注册用户名和口令。从此请求数据段中可否读出自己的用户名? ,能否获得登录密码? 。6分析你的电子邮件服务商是否采用了什么方法保护你的用户名、密码和邮件内容?答: 。7当自己成功登录邮件服务器后,利用Wireshark(Ethereal)的Analyze工具栏中的FollowTCPStream工具,找出自己的主机发送给服务器的Cookies内容是什么?答:8邮件服务器向本机返回的Cookie的内容是什么?(对Cookie的内容分析方法见教材第211页)答:9从捕获数据中能否获
9、取自己的电子邮件内容?答: 10结合教材第1、6、10和11章的介绍,分析自己的电子邮件面临的以下安全问题:(1)如果受到重放攻击时如何解决身份认证的问题,(2)用户名的保护问题,(3)登录密码的保护问题,(4)邮件信息的保密问题,(5)邮件信息的防篡改问题,(6)采用哪些措施防止垃圾邮件泛滥?四、实验总结参考资料:Wireshark(Ethereal)软件介绍网络协议分析软件Wireshark与Ethereal的关系Wireshark(原名Ethereal)是目前世界上最受欢迎的协议分析软件,利用它可将捕获到的各种各样协议的网络二进制数据流翻译为人们容易读懂和理解的文字和图表等形式,极大地方
10、便了对网络活动的监测分析和教学实验。它有十分丰富和强大的统计分析功能,可在Windows,Linux和UNIX等系统上运行。此软件于1998年由美国GeraldCombs首创研发,原名Ethereal,至今世界各国已有100多位网络专家和软件人员正在共同参与此软件的升级完善和维护。它的名称于2006年5月由原Ethereal改为Wireshark。至今它的更新升级速度大约每23个月推出一个新的版本,2007年9月时的版本号为0.99.6。但是升级后软件的主要功能和使用方法保持不变。它是一个开源代码的免费软件,任何人都可自由下载,也可参与共同开发。Wireshark网络协议分析软件可以十分方便直
11、观地应用于计算机网络原理和网络安全的教学实验,网络的日常安全监测,网络性能参数测试,网络恶意代码的捕获分析,网络用户的行为监测,黑客活动的追踪等。因此它在世界范围的网络管理专家,信息安全专家,软件和硬件开发人员中,以及美国的一些知名大学的网络原理和信息安全技术的教学、科研和实验工作中得到广泛的应用。本教材提供了Wireshark的详细使用方法介绍,并采用它作为计算机网络原理和网络安全协议教学的分析实验工具。本教材和教学网站上提供的网络安全监控数据样本(后缀为.pcap的文件),都可用Wireshark打开,进行各种网络协议和网络安全专题的分析研究。在安装新旧版本软件包和使用中,Ethereal
12、与Wireshark的一些细微区别如下:(1)Ethereal软件安装包中包含的网络数据采集软件是winpcap3.0的版本,保存捕获数据时只能用英文的文件名,文件名默认后缀为.cap(2)Wireshark软件安装包中,目前包含的网络数据采集软件是winpcap4.0版本,保存捕获数据时可以用中文的文件名,文件名默认后缀为.pcap。另外,Wireshark可以翻译解释更多的网络通信协议数据,对网络数据流具有更好的统计分析功能,在网络安全教学和日常网络监管工作中使用更方便,而基本使用方法仍然与Ethereal相同。实验三Windows安全模板配置一、开发语言及实现平台或实验环境Windows
13、XP操作系统的计算机二、实验目的(1)通过实验掌握安全策略与安全模板的使用三、实验要求(1)掌握安全模板的管理和设置(2)按照模板配置各项安全属性四、实验原理“安全模板”是一种可以定义安全策略的文件表示方式,它能够配置账户和本地策略、事件日志、受限组、文件系统、注册表以及系统服务等项目的安全设置。安全模板都以.inf格式的文本文件存在,用户可以方便地复制、粘贴、导入或导出某些模板。此外,安全模板并不引入新的安全参数,而只是将所有现有的安全属性组织到一个位置以简化安全性管理,并且提供了一种快速批量修改安全选项的方法。系统已经预定义了几个安全模板以帮助加强系统安全,在默认情况下,这些模板存储在%S
14、ystemroot%SecurityTemplates目录下。它们分别是:1.提供基本的安全策略,执行具有较低级别的安全性但兼容性更好的环境。放松用户组的默认文件和注册表权限,使之与多数没有验证的应用程序的要求一致。PowerUsers组通常用于运行没有验证的应用程序。2.Hisec*.inf提供高安全的客户端策略模板,执行高级安全的环境,是对加密和签名作进一步限制的安全模板的扩展集,这些加密和签名是进行身份认证和保证数据通过安全通道以及在SMB客户机和服务器之间进行安全传输所必需的。3.确保系统根的安全,可以指定由WindowsXPProfessional所引入的新的根目录权限。默认情况下,
15、为系统驱动器根目录定义这些权限。如果不小心更改了根目录权限,则可利用该模板重新应用根目录权限,或者通过修改模板对其他卷应用相同的根目录权限。4.Secure*.inf定义了至少可能影响应用程序兼容性的增强安全设置,还限制了LANManager和NTLM身份认证协议的使用,其方式是将客户端配置为仅可发送NTLMv2响应,而将服务器配置为可拒绝LANManager的响应。5.重新应用默认设置。这是一个针对于特定计算机的模板,它代表在安装操作系统期间所应用的默认安全设置,其设置包括系统驱动器的根目录的文件权限,可用于系统灾难恢复。以上就是系统预定义的安全模板,用户可以使用其中一种安全模板,也可以创建自己需要的新安全模板。五、实验步骤1.管理安全模板(1)安装安全模板安全
