《網(wǎng)絡(luò)與信息安全》實(shí)驗(yàn)指導(dǎo)書

《《網(wǎng)絡(luò)與信息安全》實(shí)驗(yàn)指導(dǎo)書》由會(huì)員分享，可在線閱讀，更多相關(guān)《《網(wǎng)絡(luò)與信息安全》實(shí)驗(yàn)指導(dǎo)書（33頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、《計(jì)算機(jī)電路基礎(chǔ)》課程實(shí)驗(yàn)指導(dǎo)書 LIAOCHENG UNIVERSITY 網(wǎng)絡(luò)與信息安全 實(shí)驗(yàn)指導(dǎo)書 聊城大學(xué)計(jì)算機(jī)學(xué)院 2012年2月 30 目　錄 《網(wǎng)絡(luò)與信息安全》課程實(shí)驗(yàn)教學(xué)大綱 1 第一部分 實(shí)驗(yàn)預(yù)備知識(shí) 3 第一節(jié) 網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)的性質(zhì)、任務(wù)與要求 3 第二節(jié) 常用設(shè)備 3 第二部分 網(wǎng)絡(luò)與信息安全實(shí)驗(yàn) 5 實(shí)驗(yàn)一、Playfair算法 5 一、 實(shí)驗(yàn)?zāi)康?5 二、 實(shí)驗(yàn)設(shè)備及器件 5 三、 預(yù)習(xí)要求 5 四、 實(shí)驗(yàn)原理 5 五、 實(shí)驗(yàn)內(nèi)容和步驟 5 六、 實(shí)驗(yàn)報(bào)告 5 實(shí)驗(yàn)二、對(duì)

2、稱密鑰算法AES 7 一、 實(shí)驗(yàn)?zāi)康?7 二、 實(shí)驗(yàn)設(shè)備及器件 7 三、 預(yù)習(xí)要求 7 四、 實(shí)驗(yàn)原理 7 五、 實(shí)驗(yàn)內(nèi)容和步驟 7 六、 實(shí)驗(yàn)報(bào)告 8 實(shí)驗(yàn)三、公鑰加密軟件PGP 9 一、 實(shí)驗(yàn)?zāi)康?9 二、 實(shí)驗(yàn)設(shè)備及器件 9 三、 預(yù)習(xí)要求 9 四、 實(shí)驗(yàn)原理 9 五、 實(shí)驗(yàn)內(nèi)容和步驟 9 六、實(shí)驗(yàn)報(bào)告 23 實(shí)驗(yàn)四、SHA-1雜湊算法 24 一、 實(shí)驗(yàn)?zāi)康?24 二、 實(shí)驗(yàn)設(shè)備及器件 24 三、 預(yù)習(xí)要求 24 四、 實(shí)驗(yàn)原理 24 五、 實(shí)驗(yàn)內(nèi)容和步驟 24 六、 實(shí)驗(yàn)報(bào)告 24 實(shí)驗(yàn)五、網(wǎng)絡(luò)偵聽及協(xié)議分析 25 一、 實(shí)驗(yàn)?zāi)康?25 二

3、、 實(shí)驗(yàn)設(shè)備及器件 25 三、 預(yù)習(xí)要求 25 四、 實(shí)驗(yàn)原理 25 五、 實(shí)驗(yàn)內(nèi)容和步驟 25 六、 實(shí)驗(yàn)報(bào)告 25 實(shí)驗(yàn)六、拒絕服務(wù)攻擊 26 一、 實(shí)驗(yàn)?zāi)康?26 二、 實(shí)驗(yàn)設(shè)備及器件 26 三、 預(yù)習(xí)要求 26 四、 實(shí)驗(yàn)原理 26 子實(shí)驗(yàn)一 SYN Flood攻擊 26 子實(shí)驗(yàn)二 UDP Flood攻擊 26 五、 實(shí)驗(yàn)內(nèi)容和步驟 27 子實(shí)驗(yàn)一 SYN Flood攻擊 27 子實(shí)驗(yàn)二 UDP Flood攻擊 28 六、 實(shí)驗(yàn)報(bào)告 30 《網(wǎng)絡(luò)與信息安全》課程實(shí)驗(yàn)教學(xué)大綱 課程名稱： 網(wǎng)絡(luò)與信息安全 英文名稱： Network and In

4、formation Security 設(shè)置形式： 非獨(dú)立設(shè)課 課程模塊： 專業(yè)核心課 實(shí)驗(yàn)課性質(zhì)： 專業(yè)基礎(chǔ)實(shí)驗(yàn) 課程編號(hào)： 課程負(fù)責(zé)人： 李凌云 大綱主撰人： 李凌云 大綱審核人： 賈仰理 一、學(xué)時(shí)、學(xué)分 課程總學(xué)時(shí)： 64 實(shí)驗(yàn)學(xué)時(shí)： 6 課程學(xué)分： 3 二、適用專業(yè)及年級(jí) 網(wǎng)絡(luò)工程等本?？茖I(yè)二年級(jí) 三、課程目標(biāo)與基本要求 《網(wǎng)絡(luò)與信息安全》課程為網(wǎng)絡(luò)工程、電子商務(wù)等本?？茖I(yè)的計(jì)算機(jī)基礎(chǔ)課。本課程實(shí)驗(yàn)的目標(biāo)是鞏固和加深課堂教學(xué)內(nèi)容，培養(yǎng)學(xué)生的動(dòng)手能力和對(duì)信息安全算法及軟件的分析能力和設(shè)計(jì)能力，為后繼課程的學(xué)習(xí)及今后從事實(shí)踐

5、技術(shù)工作奠定基礎(chǔ)。通過(guò)本課程，要求學(xué)生熟悉并掌握各種對(duì)稱加密、公鑰加密、數(shù)字簽名和HASH函數(shù)等算法和軟件的原理及實(shí)現(xiàn)過(guò)程，了解并能熟練使用各種信息安全系統(tǒng)和相關(guān)設(shè)備。 四、主要儀器設(shè)備 PC機(jī)、Windows系統(tǒng)、網(wǎng)卡等。 五、實(shí)驗(yàn)項(xiàng)目及教學(xué)安排 序號(hào) 實(shí)驗(yàn)項(xiàng)目名稱 實(shí)驗(yàn)基本方法和內(nèi)容 項(xiàng)目 學(xué)時(shí) 項(xiàng)目 類型 每組 人數(shù) 教學(xué) 要求 1 古典密碼Playfair的分析與設(shè)計(jì) 對(duì)playfair密碼算法進(jìn)行完善和改進(jìn)。 2 基礎(chǔ)型 1 必修 2 對(duì)稱密鑰算法AES的分析與設(shè)計(jì) 通過(guò)對(duì)AES算法的C源程序代碼進(jìn)行修改，了解和掌握

6、分組密碼體制的運(yùn)行原理和編程思想。 4 基礎(chǔ)型 1 必修 3 公鑰加密軟件PGP 熟悉公開密鑰密碼體制，了解證書的基本原理，熟悉數(shù)字簽名； 熟練使用PGP的基本操作。 2 設(shè)計(jì)型? 1 必修 4 SHA-1雜湊算法的分析與設(shè)計(jì) 掌握目前普遍使用的SHA算法基本原理，了解其主要應(yīng)用方法。 4 設(shè)計(jì)型 1 必修 5 網(wǎng)絡(luò)偵聽及協(xié)議分析 熟悉漏洞掃描的原理，會(huì)使用主流的漏洞掃描工具。 2 基礎(chǔ)型 1 必修 6 拒絕服務(wù)攻擊與防范 熟悉緩沖區(qū)溢出的原理，了解緩沖區(qū)溢出的防御方法。 2 基礎(chǔ)型 1 必修 六、考核方式及成績(jī)?cè)u(píng)定 《信息

7、安全數(shù)學(xué)基礎(chǔ)》為必修課。以學(xué)生期末考試成績(jī)作為學(xué)期總成績(jī)，成績(jī)采用百分制。缺課1/3及以上者取消考試資格。 七、實(shí)驗(yàn)教科書、參考書 1．實(shí)驗(yàn)教科書 自編講義《網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)》。 2．實(shí)驗(yàn)參考書 《網(wǎng)絡(luò)安全實(shí)驗(yàn)教程》，劉建偉等編著，清華大學(xué)出版社，2007年6月。 第一部分 實(shí)驗(yàn)預(yù)備知識(shí) 第一節(jié) 網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)的性質(zhì)、任務(wù)與要求 一、網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)的性質(zhì)與任務(wù) 網(wǎng)絡(luò)與信息安全是一門應(yīng)用性、實(shí)踐性很強(qiáng)的學(xué)科，實(shí)驗(yàn)在這一學(xué)科的研究及發(fā)展過(guò)程中起著至關(guān)重要的作用。工程、科研人員通過(guò)實(shí)驗(yàn)的方法和手段，分析算法、軟件和設(shè)備的原理并實(shí)現(xiàn)，驗(yàn)

8、證和擴(kuò)展其功能及使用范圍，將實(shí)驗(yàn)結(jié)果指導(dǎo)理論，實(shí)現(xiàn)更高的安全目標(biāo)。 網(wǎng)絡(luò)與信息安全作為網(wǎng)絡(luò)工程、電子商務(wù)等專業(yè)的重要的專業(yè)核心課，實(shí)驗(yàn)是這一課程體系中不可缺少的重要教學(xué)環(huán)節(jié)。通過(guò)實(shí)驗(yàn)手段，使學(xué)生獲得信息安全方面的基礎(chǔ)知識(shí)和基本技能，并運(yùn)用所學(xué)理論來(lái)分析和解決實(shí)際問(wèn)題，提高實(shí)際工作的能力，這對(duì)正在進(jìn)行本課程學(xué)習(xí)的學(xué)生來(lái)說(shuō)是極其重要的。 網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)分為信息安全實(shí)驗(yàn)室網(wǎng)絡(luò)環(huán)境建設(shè)實(shí)驗(yàn)、具有代表性的密碼算法相關(guān)的實(shí)驗(yàn)、網(wǎng)絡(luò)攻擊與防御實(shí)驗(yàn)、操作系統(tǒng)安全實(shí)驗(yàn)、網(wǎng)絡(luò)安全設(shè)備和應(yīng)用系統(tǒng)實(shí)驗(yàn)等。 二、網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)的一般要求 1、實(shí)驗(yàn)前要求 為避免盲目性，參加實(shí)驗(yàn)者應(yīng)對(duì)實(shí)驗(yàn)內(nèi)容進(jìn)行

9、預(yù)習(xí)。要明確實(shí)驗(yàn)的目的、要求，掌握有關(guān)信息安全實(shí)驗(yàn)的基本原理，擬出實(shí)驗(yàn)方法和步驟，設(shè)計(jì)實(shí)驗(yàn)表格，對(duì)思考題做出解答，初步估算（或分析）實(shí)驗(yàn)結(jié)果。 2、實(shí)驗(yàn)中的要求 （1） 參加實(shí)驗(yàn)者要自覺(jué)遵守實(shí)驗(yàn)室規(guī)則。 （2） 按實(shí)驗(yàn)方案認(rèn)真實(shí)現(xiàn)。 （3） 認(rèn)真記錄實(shí)驗(yàn)條件和所得數(shù)據(jù)，遇到問(wèn)題應(yīng)首先獨(dú)立思考，耐心排除，并記錄下解決的過(guò)程和方法。 （4） 有疑問(wèn)報(bào)告指導(dǎo)教師，等待處理。 （5） 實(shí)驗(yàn)結(jié)束時(shí)，應(yīng)將實(shí)驗(yàn)記錄經(jīng)指導(dǎo)教師審閱簽字，清理現(xiàn)場(chǎng)。 3、實(shí)驗(yàn)后要求 實(shí)驗(yàn)后要求學(xué)生認(rèn)真寫好實(shí)驗(yàn)報(bào)告。內(nèi)容包括： （1） 列出實(shí)驗(yàn)條件，包括實(shí)驗(yàn)時(shí)間、地點(diǎn)及同實(shí)驗(yàn)人，設(shè)備等。 （2） 認(rèn)真整理和處理

10、測(cè)試的數(shù)據(jù)。 （3） 對(duì)測(cè)試結(jié)果進(jìn)行理論分析，做出簡(jiǎn)明扼要的結(jié)論。 （4） 寫出實(shí)驗(yàn)的心得體會(huì)及改進(jìn)實(shí)驗(yàn)的建議。 第二節(jié) 常用設(shè)備 一、信息安全實(shí)驗(yàn)室的硬件系統(tǒng)包括： l 防火墻； l 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)； l 虛擬專用網(wǎng)； l 物理隔離網(wǎng)卡； l 路由器； l 交換機(jī)； l 集線器。 二、信息安全實(shí)驗(yàn)室的軟件系統(tǒng)包括： l 脆弱性掃描系統(tǒng)； l 病毒防護(hù)系統(tǒng)； l 身份認(rèn)證系統(tǒng)； l 網(wǎng)絡(luò)攻防軟件； l 主機(jī)入侵檢測(cè)軟件； l 因特網(wǎng)非法外聯(lián)監(jiān)控軟件。 第二部分 網(wǎng)絡(luò)與信息安全實(shí)驗(yàn) 實(shí)驗(yàn)一、Playfair算法 一、 實(shí)驗(yàn)?zāi)?/p>

11、的 通過(guò)本次實(shí)驗(yàn)，掌握古典密碼算法的實(shí)現(xiàn)技術(shù)，完善和改進(jìn)Playfair密碼算法。加強(qiáng)編程能力的訓(xùn)練與程序的調(diào)試能力。 二、 實(shí)驗(yàn)設(shè)備及器件 安裝Windows操作系統(tǒng)的PC1臺(tái)，其上安裝VC++6.0以上編譯器。 三、 預(yù)習(xí)要求 復(fù)習(xí)Playfair基本原理。 四、 實(shí)驗(yàn)原理 Playfair是一個(gè)手工的對(duì)稱加密技術(shù)，而且也是第一個(gè)文獻(xiàn)記載的多表代替密碼技術(shù)。該密碼算法是由Charles Wheatstone在1854年發(fā)明的，經(jīng)Load Playfair推廣而得名。 該算法主要描述如下： Playfair密碼是一種著名的雙字母單表替代密碼，實(shí)際上Playfair密碼屬

12、于一種多字母替代密碼，它將明文中的雙字母作為一個(gè)單元對(duì)待，并將這些單元轉(zhuǎn)換為密文字母組合。 替代時(shí)基于一個(gè)5×5的字母矩陣。字母矩陣構(gòu)造方法同密鑰短語(yǔ)密碼類似，即選用一個(gè)英文短語(yǔ)或單詞串作為密鑰，去掉其中重復(fù)的字母得到一個(gè)無(wú)重復(fù)字母的字符串，然后再將字母表中剩下的字母依次從左到右、從上往下填入矩陣中，字母i，j占同一個(gè)位置。 例如，密鑰K=moonarchy，去除重復(fù)字母后，K= monarchy，可得字母矩陣： 對(duì)每一對(duì)明文字母對(duì)（P1、P2）的加密方法如下： 1、 若P1、P2在同一行，密文C1、C2分別是緊靠P1、P2右端的字母； 2、 若P1、P2在同一列，密文

13、C1、C2分別是緊靠P1、P2下方的字母； 3、 若P1、P2不在同一行，也不在同一列，則C1、C2是由P1、P2確定的矩形其它兩角的字母，且C1和P1在同一行，C2和P2在同一行； 4、 若P1＝P2，則兩個(gè)字母間插入一個(gè)預(yù)先約定的字母，如q，并用前述方法處理；如balloon，則以ba lq lo on 來(lái)加密； 5、 若明文字母數(shù)為奇數(shù)，則在明文尾填充約定字母。 五、 實(shí)驗(yàn)內(nèi)容和步驟 1、 下載并理解源代碼； 2、 查看密鑰字母的大小寫轉(zhuǎn)換的實(shí)現(xiàn)有無(wú)問(wèn)題，有的話進(jìn)行改正； 3、 編寫解密函數(shù)(decrypt),使程序可以完成整個(gè)加解密過(guò)程； 4、 舉例測(cè)試加解密的

14、正確性。 六、 實(shí)驗(yàn)報(bào)告 1、 描述Playfair的原理； 2、 實(shí)現(xiàn)步驟2、 3中代碼部分； 3、 將舉例測(cè)試的結(jié)果截屏； 4、 比較加解密的實(shí)現(xiàn)，談?wù)勀銓?duì)對(duì)稱密碼算法的理解。 實(shí)驗(yàn)二、對(duì)稱密鑰算法AES 一、 實(shí)驗(yàn)?zāi)康? 通過(guò)對(duì)AES算法的C源程序代碼進(jìn)行修改，了解和掌握分組密碼體制的運(yùn)行原理和編程思想。 二、 實(shí)驗(yàn)設(shè)備及器件 安裝Windows、Linux或者DOS操作系統(tǒng)的PC1臺(tái)，且其上安裝有一種C語(yǔ)言編譯環(huán)境。 三、 預(yù)習(xí)要求 復(fù)習(xí)AES基本原理及數(shù)學(xué)基礎(chǔ)。 四、 實(shí)驗(yàn)原理 AES是1997年1月由美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所（NIST）發(fā)布公告

15、征集的新一代數(shù)據(jù)加密標(biāo)準(zhǔn)，以替代DES加密算法。其基本功能為對(duì)稱分組密碼，分組長(zhǎng)度為128b，密鑰長(zhǎng)度支持128b、192b、256b。在最終的評(píng)估中，憑借各種平臺(tái)實(shí)現(xiàn)性能的高效性，Vincent Rijnmen 和Joan Daemen提出的Rijndael算法勝出，被確定為AES。 有關(guān)算法的詳細(xì)介紹請(qǐng)參閱相關(guān)參考書。 五、 實(shí)驗(yàn)內(nèi)容和步驟 1、 從網(wǎng)頁(yè)上得到算法的源代碼。請(qǐng)讀者分析代碼，找出各個(gè)部分是由哪個(gè)函數(shù)實(shí)現(xiàn)的，并了解函數(shù)實(shí)現(xiàn)的具體過(guò)程。 2、 選出密鑰長(zhǎng)度和分組長(zhǎng)度均為128b，試修改上述代碼，完成以下實(shí)驗(yàn)。 3、 全0密鑰擴(kuò)展驗(yàn)證：對(duì)于128b全零密鑰，請(qǐng)利用KeyE

16、xpansion函數(shù)將密鑰擴(kuò)展的結(jié)果填入下表中。 各輪的擴(kuò)展密鑰 第0輪 00000000000000000000000000000000 第1輪 62636363626363636263636362636363 第2輪 第3輪 第4輪 第9輪 第10輪 4、 修改程序，在下表中填寫第1、第2輪的中間步驟測(cè)試向量。 LEGEND-round r =0 to 10 Input : cipher input Start : state at the start of round[r] S_box : state after s_box substi

17、tution S_row : state after shift row transformation M_col : state after mix column transformation K_sch : key achedule value for round[r] Output : cipher output PLAINTEXT : 3243F6A8885A308D313198A2E0370734 KEY:2B7E151628AED2A6ABF7158809CF4F3C ENCRYPT: 16 byte block，16 byte key 第1、第2輪的中間步驟測(cè)試向

18、量 R[00].input 3243F6A8885A308D313198A2E0370734 R[00].k_sch 2B7E151628AED2A6ABF7158809CF4F3C R[01].start 193DE3BEA0F4E22B9AC68D2AE9F84808 R[01].s_box R[01].s_row R[01].m_col R[01].k_sch R[02].start R[02].s_box R[02].s_row R[02].m_col R[02].k_sch 5、 修改該程序，使其可在（128，128

19、）模式下進(jìn)行文件的加解密，并對(duì)某文檔進(jìn)行加解密，觀察解密后與原文是否相同。如有不同，試考慮如果解決。再用該程序加密流媒體文件，觀察解密后是否能夠正確完整播放。 6、 （4）計(jì)算加解密的效率，并進(jìn)行一定的優(yōu)化使加密效率提高。 六、 實(shí)驗(yàn)報(bào)告 2、 簡(jiǎn)述AES算法每個(gè)輸入分組的長(zhǎng)度及格式。 3、 簡(jiǎn)述AES算法每輪加密過(guò)程的四個(gè)步驟。 4、 填寫上面的表格。 實(shí)驗(yàn)三、公鑰加密軟件PGP 一、 實(shí)驗(yàn)?zāi)康? 1、 熟悉公開密鑰密碼體制，了解證書的基本原理，熟悉數(shù)字簽名； 2、 熟練使用PGP的基本操作。 二、 實(shí)驗(yàn)設(shè)備及器件 安裝Windows操作系統(tǒng)的PC1臺(tái)。 三、

20、預(yù)習(xí)要求 復(fù)習(xí)公鑰密碼基本原理及數(shù)學(xué)基礎(chǔ)。 四、 實(shí)驗(yàn)原理 公開密鑰密碼體制也被稱為雙密鑰密碼體制。 其原理是加密密鑰與解密密鑰不同，形成一個(gè)密鑰對(duì)，用其中一個(gè)密鑰加密的結(jié)果，可以用另一個(gè)密鑰來(lái)解密，公鑰密碼體制的發(fā)展是整個(gè)密碼學(xué)發(fā)展史上最偉大的一次革命，它與以前的密碼體制完全不同。這是因?yàn)椋汗€密碼算法基于數(shù)學(xué)問(wèn)題求解的困難性，而不再是基于代替和換位方法；另外，公鑰密碼體制是非對(duì)稱的，它使用兩個(gè)獨(dú)立的密鑰，一個(gè)可以公開，稱為公鑰，另一個(gè)不能公開，稱為私鑰。 公開密鑰密碼體制的產(chǎn)生主要基于以下兩個(gè)原因：一是為了解決常規(guī)密鑰密碼體制的密鑰管理與分配的問(wèn)題；二是為了滿足對(duì)數(shù)字簽名的需求。

21、因此，公鑰密碼體制在消息的保密性、密鑰分配和認(rèn)證領(lǐng)域有著重要的意義。 在公開密鑰密碼體制中，公開密鑰是可以公開的信息，而私有密鑰是需要保密的。加密算法E和解密算法D也都是公開的。用公開密鑰對(duì)明文加密后，僅能用與之對(duì)應(yīng)的私有密鑰解密，才能恢復(fù)出明文，反之亦然。 公開密鑰算法用一個(gè)密鑰進(jìn)行加密，而用另一個(gè)不同但是有關(guān)的密鑰進(jìn)行解密。這些算法有以下重要性。 僅僅知道密碼算法和加密密鑰而要確定解密密鑰，在計(jì)算上是不可能的。 某些算法，例如RSA，還具有這樣的特性：兩個(gè)相關(guān)密鑰中任何一個(gè)都可以用作加密而讓另外一個(gè)用作解密。 公鑰密碼的加密與鑒定過(guò)程，如圖所示。 公開密鑰加密與鑒別過(guò)程

22、 五、 實(shí)驗(yàn)內(nèi)容和步驟 1、 步驟1.PGP的安裝 對(duì)PGP加密軟件的安裝步驟如圖所示，安裝完成后重啟計(jì)算機(jī)，這樣PGP軟件就安裝成功了： 2、 使用PGP產(chǎn)生密鑰 （1）因?yàn)樵谟脩纛愋蛯?duì)話框中選擇了“新用戶”，在計(jì)算機(jī)啟動(dòng)以后，自動(dòng)提示建立PGP密鑰，并要求選擇安裝組件如圖所示： PGP組件安裝界面 （2）安裝選項(xiàng)一覽如圖所示： 要安裝的選項(xiàng)對(duì)話框 （3）單擊“下一步”，出現(xiàn)圖所示對(duì)話框。 產(chǎn)生密鑰向?qū)? （4）單擊“下一步”按鈕，在用戶信息對(duì)話框中輸入相應(yīng)的姓名和電子郵件地址，如圖所示： 用戶信息對(duì)話框 （5）在PGP密碼輸入框中輸

23、入8位以上的密碼并確認(rèn)，如圖所示： 密碼輸入對(duì)話框 （6）然后PGP會(huì)自動(dòng)產(chǎn)生PGP密鑰，生成的密鑰如圖所示： （7）到此為止.公鑰和私鑰都已經(jīng)生成.為了保證私鑰及公私的安全,請(qǐng)點(diǎn)擊上圖的密鑰菜單.在彈出的下拉菜單中選擇:導(dǎo)出菜單.出現(xiàn)如下圖示: 3、 在本地機(jī)上對(duì)文件進(jìn)行加密和解密 （1）右鍵單擊需要加密的文件，依次選擇“PGP”——“加密” （2）選擇正確的接收人，并單擊“確定” （3）文件加密成功 （4）右鍵單擊需要加密的文件，依次選擇“PGP”——“解密&校驗(yàn)” （5）輸入正確的密碼，單擊確定 （6）選擇保存路徑，單擊

24、“保存”，即可完成解密 4、 在非本地機(jī)上對(duì)文件進(jìn)行解密； （1）右鍵單擊右下角PGP圖標(biāo)，選擇“PGPKeys” （2）將公鑰“pubring”拖入密鑰窗口 （3）單擊“確定” （4）將新密鑰拖入本機(jī)密鑰窗口 （5）結(jié)果如下 （6）對(duì)加密文件進(jìn)行解密 （7）解密后結(jié)果如下： 5、 對(duì)郵件進(jìn)行加密和解密； （1）Outlook中新建一封郵件，輸入收件人及內(nèi)容后，選擇“加密信息(PGP)” （2）郵件完成加密后，如圖所示，點(diǎn)擊發(fā)送 （3）收件人接收到郵件后，點(diǎn)擊“解密PGP信息” （4）輸入密碼后，點(diǎn)擊“確定”

25、 （5）解密后的郵件如圖 6、 對(duì)文件進(jìn)行加密和簽名。 （1）右鍵單擊需要加密的文件，依次選擇“PGP”——“加密&簽名” （2）選擇正確接收人后，單擊“確定” （3）輸入密碼后，單擊確定 （4）文件加密成功 六、實(shí)驗(yàn)報(bào)告 1、 什么是數(shù)據(jù)加密?簡(jiǎn)述采用公鑰密碼算法進(jìn)行加密和解密的基本過(guò)程。 2、 PGP完成了哪些安全服務(wù)？ 3、 利用PGP實(shí)現(xiàn)對(duì)一個(gè)文件進(jìn)行加密和解密的全過(guò)程，并截屏。 實(shí)驗(yàn)四、SHA-1雜湊算法 一、 實(shí)驗(yàn)?zāi)康? 通過(guò)本次實(shí)驗(yàn)，掌握目前普遍使用的SHA算法基本原理，了解其主要應(yīng)用方法。 二、 實(shí)驗(yàn)設(shè)備及器件 安裝Windows

26、操作系統(tǒng)的PC1臺(tái)，其上安裝VC++6.0以上編譯器。 三、 預(yù)習(xí)要求 復(fù)習(xí)SHA-1基本原理及數(shù)學(xué)基礎(chǔ)。 四、 實(shí)驗(yàn)原理 SHA(secure hash algorithm)算法由美國(guó)NIST開發(fā)，作為數(shù)學(xué)簽名標(biāo)準(zhǔn)中使用的hash算法，并在1993年作為聯(lián)邦信息處理標(biāo)準(zhǔn)公布。在1995年公布了其改進(jìn)版本SHA-1。SHA-1將不定長(zhǎng)輸入變換為160b定長(zhǎng)輸出，作為輸入數(shù)據(jù)的摘要（又稱為數(shù)據(jù)指紋），反映了數(shù)據(jù)的特征。設(shè)摘要長(zhǎng)度為n，則對(duì)于給定輸入數(shù)據(jù)，找到另一不同數(shù)據(jù)但具有相同摘要的概率為，根據(jù)生日攻擊的原理，尋找到兩個(gè)數(shù)據(jù)具有相同摘要的概率為。hash算法被廣泛用于數(shù)據(jù)完整性保

27、護(hù)、身份認(rèn)證和數(shù)字簽名當(dāng)中。 關(guān)于SHA-1基本原理及數(shù)學(xué)基礎(chǔ)的介紹，請(qǐng)參閱相關(guān)參考書。 五、 實(shí)驗(yàn)內(nèi)容和步驟 1、 從 2、 構(gòu)造一個(gè)長(zhǎng)度為1KB左右的文本文件，以SHA算法對(duì)文件計(jì)算hash值。 3、 在上述文本本件中修改1個(gè)字母或漢字，再次計(jì)算hash值，與步驟（2）中hash值進(jìn)行比較，看看有多少比特發(fā)生改變。 4、 測(cè)試SHA算法的速度。 六、 實(shí)驗(yàn)報(bào)告 1、 簡(jiǎn)述SHA算法流程。 2、 寫出步驟2和步驟3中的文本文件和hash值。 3、 寫出所使用機(jī)器的硬件配置以及SHA的測(cè)試速度。 實(shí)驗(yàn)五、網(wǎng)絡(luò)偵聽及協(xié)議分析 一、 實(shí)驗(yàn)?zāi)康? 二、 實(shí)驗(yàn)設(shè)備及器件

28、 三、 預(yù)習(xí)要求 四、 實(shí)驗(yàn)原理 五、 實(shí)驗(yàn)內(nèi)容和步驟 六、 實(shí)驗(yàn)報(bào)告 （以上見課本） 實(shí)驗(yàn)六、拒絕服務(wù)攻擊 一、 實(shí)驗(yàn)?zāi)康? 在網(wǎng)絡(luò)安全攻擊的各種手段和方法中，DoS（Denial of Service,拒絕服務(wù)類）攻擊危害巨大，這種攻擊行動(dòng)使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。而DDoS（Distributed Denial of Service，分布式拒絕服務(wù)）攻擊的出現(xiàn)無(wú)疑是一場(chǎng)網(wǎng)絡(luò)的災(zāi)難，它是DoS攻擊的演變和升級(jí)，是黑客手中慣用的攻擊方式之一，破壞力極強(qiáng)，往往會(huì)帶給網(wǎng)絡(luò)致命的打擊，因此必須

29、對(duì)其進(jìn)行分析和研究。 二、 實(shí)驗(yàn)設(shè)備及器件 Windows XP系統(tǒng)、Udp flood、SDos和Wireshark。 三、 預(yù)習(xí)要求 復(fù)習(xí)拒接服務(wù)攻擊基本原理。 四、 實(shí)驗(yàn)原理 子實(shí)驗(yàn)一 SYN Flood攻擊 SYN Flood是當(dāng)前最流行的DoS與DDoS的方式之一，這是一種利用TCP缺陷，發(fā)送大量偽造TCP連接請(qǐng)求，從而使得被攻擊方資源耗盡的攻擊方式。這種攻擊的基本原理與TCP連接建立的過(guò)程有關(guān)。 TCP和UDP不同，它是基于連接的，建立TCP連接的標(biāo)準(zhǔn)過(guò)程是這樣的：首先，請(qǐng)求端（客戶端）發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文，SYN報(bào)文會(huì)致命客戶端使用的端

30、口以及TCP連接的初始序號(hào)；其次，服務(wù)器在收到客戶端的SYN報(bào)文后，將返回一個(gè)SYN+ACK的報(bào)文，表示客戶端的請(qǐng)求被接受，同時(shí)TCP序號(hào)被加1，ACK即被確認(rèn)；最后，客戶端也返回一個(gè)確認(rèn)報(bào)文ACK給服務(wù)器，同樣TCP序列號(hào)被加1，到此一個(gè)TCP連接完成。以上的鏈接過(guò)程在TCP中被稱為三次握手。 在TCP連接的三次握手中，假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或死掉，那么服務(wù)器在發(fā)生SYN+ACK應(yīng)答報(bào)文后是無(wú)法收到客戶端的ACK報(bào)文的，這種情況下服務(wù)器端一般會(huì)重試并等待一段時(shí)間后丟棄這個(gè)未完成的連接，這段時(shí)間的長(zhǎng)度稱為SYN Timeout，一般來(lái)說(shuō)這個(gè)時(shí)間是分鐘的數(shù)量級(jí)（30s~

31、2min）；一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1min并不是什么很大的問(wèn)題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接到列表而消耗非常多的資源——數(shù)以萬(wàn)計(jì)的半連接，即使是簡(jiǎn)單的保存并遍歷也會(huì)消耗非常多的CPU時(shí)間和內(nèi)存，何況還要不斷對(duì)這個(gè)列表中的IP進(jìn)行SYN+ACK的重試。實(shí)際上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰——即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接而無(wú)暇理睬客戶的正常請(qǐng)求，此時(shí)從正?？蛻舻慕嵌瓤磥?lái)，服務(wù)器失去響應(yīng)，這種情況稱為服務(wù)器端受到了SYN Flood攻擊。從防御角度來(lái)說(shuō)，有以

32、下集中簡(jiǎn)單的解決方法。 第一種是縮短SYN Timeout時(shí)間，由于SYN Flood攻擊的效果取決于服務(wù)器上保持的SYN連接數(shù)，這個(gè)值=SYN攻擊的頻度*SYN Timeout，所以通過(guò)縮短從接收到SYN報(bào)文到確定這個(gè)報(bào)文無(wú)效并丟棄該連接的時(shí)間，例如設(shè)置為20s以下，可以成倍地降低服務(wù)器的負(fù)荷。 第二種方法是設(shè)置SYN Cookie，就是給每一個(gè)請(qǐng)求連接的IP地址分配一個(gè)Cookie，如圖短時(shí)間內(nèi)連續(xù)收到某個(gè)IP的重復(fù)SYN報(bào)文，就認(rèn)定受到了攻擊，以后從這個(gè)IP地址來(lái)的包會(huì)被丟棄。 可是上述的兩種方法只能對(duì)付比較原始的SYN Flood 攻擊，縮短SYN Timeout時(shí)間盡在對(duì)方攻擊

33、額度不高的情況下生效，SYN Cookie更依賴于對(duì)方使用真實(shí)的IP地址，如果攻擊者以數(shù)萬(wàn)次/秒的速度發(fā)送SYN報(bào)文，同時(shí)利用SOCK_RAW隨機(jī)改寫IP報(bào)文中的源地址，以上的方法將毫無(wú)用武之地。 子實(shí)驗(yàn)二 UDP Flood攻擊 UDP Flood攻擊也是DDoS攻擊的一種常見方式。UDP是一種無(wú)連接的服務(wù)，他不需要用某個(gè)程序建立連接來(lái)傳輸數(shù)據(jù)。UDP Flood攻擊是通過(guò)開放的UDP端口針對(duì)相關(guān)的服務(wù)進(jìn)行攻擊。UDP Flood攻擊器會(huì)向被攻擊主機(jī)發(fā)送大量偽造源地址的小UDP包，沖擊DNS服務(wù)器或者Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器，甚至導(dǎo)致整個(gè)網(wǎng)段癱瘓。 UDP Flood是

34、日漸猖獗的流量型DoS攻擊，原理也很簡(jiǎn)單。常見的情況是利用大量UDP小包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。100kbps的UDP Flood經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱，造成整個(gè)網(wǎng)段的癱瘓。由于UDP是一種無(wú)連接的服務(wù)，在UDP Flood攻擊中，攻擊者可發(fā)送大量偽造源IP地址的小UDP包。但是由于UDP是無(wú)連接性的，所以只要開了一個(gè)UDP端口提供服務(wù)，那么就可針對(duì)相關(guān)的服務(wù)進(jìn)行攻擊。正常情況下，UDP包雙向流量會(huì)基本相等，而且大小和內(nèi)容都是隨機(jī)的，變化很大。出現(xiàn)UDP Flood的情況下，針對(duì)同一目標(biāo)IP的UDP包在一側(cè)大量出現(xiàn)，并且內(nèi)容和大小都比較固定。

35、 UDP Flood防護(hù)：UDP和TCP不同，是無(wú)連接狀態(tài)的協(xié)議，并且UDP應(yīng)用協(xié)議五花八門，差異極大，因此針對(duì)UDP Flood的防護(hù)非常困難。其防護(hù)要根據(jù)具體情況對(duì)待：判斷包大小，如果是大包攻擊則使用防止UDP碎片方法，根據(jù)攻擊包大小設(shè)定包碎片重組大小，通常不小于1500。在極端情況下，可以考慮丟棄多有UDP碎片。攻擊端口為業(yè)務(wù)端口：根據(jù)該業(yè)務(wù)UDP最大包長(zhǎng)設(shè)置UDP最大包大小以過(guò)濾異常流量。攻擊端口為非業(yè)務(wù)端口：一個(gè)是丟棄所有UDP包，可能會(huì)誤傷正常業(yè)務(wù)；另一個(gè)是建立UDP連接規(guī)則，要求所有去往該端口的UDP包，必須首先與TCP端口建立TCP連接。不過(guò)這種方法需要很專業(yè)的防火墻或其他防護(hù)

36、設(shè)備支持。 五、 實(shí)驗(yàn)內(nèi)容和步驟 子實(shí)驗(yàn)一 SYN Flood攻擊 (1)合作者1：登錄到Windows，打開命令行提示窗口，運(yùn)行netstat命令，觀察響應(yīng)。在這里，netstat命令顯示了所有當(dāng)前連接，可以注意到netstat所返回的記錄是比較少的，因?yàn)檫@時(shí)還沒(méi)有開始SYN Flood攻擊，如圖所示。 (2) 合作者2：登錄到Windows，安裝DDos攻擊工具。 (3) 合作者1：開啟本地的Tomcat服務(wù)器，并將開始的端口號(hào)告訴合作者2，這里約定位8080. (4)合作者2：運(yùn)行DDos攻擊器，并輸入合作者1的IP地址和Tomcat的端口號(hào)（8080），選擇協(xié)議類型為T

37、CP，然后開始攻擊，如圖所示。 (5)合作者1：再次運(yùn)行netstat命令行程序，注意觀察SYN Flood攻擊的結(jié)果；可以看到系統(tǒng)受到大量的從偽造的IP地址發(fā)出的SYN包，導(dǎo)致與系統(tǒng)的半開連接數(shù)量急劇上升，如圖所示。 (6) 合作者2：?jiǎn)螕鬝top，停止攻擊。 (7)合作者1：打開Wireshark，準(zhǔn)備捕捉從任何目標(biāo)發(fā)送到本機(jī)的SYN包，如圖所示。 Wireshark首界面 (8)合作者2：重新開始攻擊。 (9)合作者1：?jiǎn)螕艟W(wǎng)卡作為捕捉接口，開始捕捉，可以看到連接的計(jì)算器在大幅增長(zhǎng)，如圖所示。 (10)感興趣的學(xué)生可以再Wireshark中分析包的字段含義。

38、 子實(shí)驗(yàn)二 UDP Flood攻擊 本實(shí)驗(yàn)成員有攻擊者B和受攻擊者A組成，過(guò)程中A和B都關(guān)閉防火墻，以下是A和B交互演示的實(shí)驗(yàn)步驟。 (1) A：打開Tomcat服務(wù)器，并使用netstat –an命令查看開發(fā)的端口，如圖所示。 查看開放的端口 (2) B：打開UDP Flood攻擊器，并填入A的IP地址和其開放的端口，并單擊Go按鈕，如圖所示。這個(gè)攻擊器可以設(shè)定攻擊的時(shí)間（Max duration（secs））和發(fā)送的最大UDP包數(shù)（Max packets）以及發(fā)送UDP包的速度（Speed），還可以選擇發(fā)送包的數(shù)據(jù)大小和類型（data）。 (3)A打開Wireshark

39、抓包，并設(shè)置Filter為UDP，可以看到有大量來(lái)自B（118.230.132.39）的數(shù)據(jù)包，并且數(shù)據(jù)包的大小幾乎都一樣，如圖所示。 設(shè)置Filter為UDP的方法：打開菜單“capture”中的 “options”，雙擊選中的網(wǎng)卡，彈出“Edit Interface Settings”窗口，在“capture Filter”后的文本框中輸入“ICMP”后點(diǎn)擊“OK”按鈕即可。 (4) B打開Wireshark抓包，并設(shè)置Filter為ICMP，可以看到有大量來(lái)自A（118.230.132.37）的ICMP數(shù)據(jù)包，并且數(shù)據(jù)包都是Destination unreachable（Portable unreachable），如圖所示。這是因?yàn)楫?dāng)受害系統(tǒng)受到一個(gè)UDP數(shù)據(jù)包的時(shí)候，它會(huì)確定目的端口正在等待中的應(yīng)用程序。當(dāng)它發(fā)現(xiàn)端口中并不存在正在等待的應(yīng)用程序，它就會(huì)產(chǎn)生一個(gè)目的地址無(wú)法連接的ICMP數(shù)據(jù)包發(fā)送給該偽造的源地址。這里可以明顯的看出Ａ向Ｂ會(huì)松了很多ICMP包，但是端口卻是unreachable。 (5) 感興趣的學(xué)生可以對(duì)截獲的數(shù)據(jù)包的具體內(nèi)容進(jìn)行查看，并調(diào)整UDP Flood攻擊的參數(shù) 六、 實(shí)驗(yàn)報(bào)告 1、 談?wù)勀銓?duì)拒絕服務(wù)攻擊的理解。 2、 截屏子實(shí)驗(yàn)一或者子實(shí)驗(yàn)二的全過(guò)程。