58 网络安全基础教程
在SMTP服务器中的Inetpub目录下的mailroot?Drop中可查看到伪造E-mail,分别如图2-31和2-32所示。
图2-31 Drop中的邮件图2-32 查看邮件内容
2.7.4 实训目标考核
(1)建立一个SMTP虚拟服务器,不允许某台主机登录它,应如何设置?
(2)通过其他端口(SMTP默认为25号端口)发送一封E-mail给合作伙伴。
2.8 网络加密实训
2.8.1 实训任务和目的
(1)理解网络加密的必要性。
(2)学习网络加密工具PGP的原理及其配置方法。
(3)理解采用加密技术数据的传输状态。
2.8.2 实训环境和工具
(1)实训环境:两台以上Windows 98/2000/XP主机,具有Internet上网环境。
(2)实训工具:PGPfreeware7.0.3。
2.8.3 实训方法和步骤
1.生成PGP密钥对
打开PGPkeys窗口,选择常用工具栏中的第一个图标。分别如图2-32和2-33所示。
第2章网络安全技术59
图2-32 PGPkeys窗口
默认选择下一步或单击Expert,输入完整的用户信息,如图2-34所示。
图2-33 开始生成密钥对图2-34 输入用户信息
输入保护私钥的密码,PGP要求在每次使用私钥时输入此密码。选中“Hide Typing”可在输入时隐藏密码的显示。如图2-35所示。
创建过程中要稍等片刻,如图2-36所示。
图2-35 输入密码图2-36 密钥对生成过程
60 网络安全基础教程
创建后PGP将公钥添加到PGPkeys的窗口,如图2-37所示。
图2-37 产生新的密钥对
同时,PGP将密钥对中的私钥保存到约定目录(PGP\PGPKeyrings\secring.skr)下。
2.PGP公钥的导出与导入
(1)右键单击公钥,在快捷菜单中选择Export项。
(2)在Export Key to File 对话框中,可保存默认文件名到教师机上。如图2-38所示。
(3)发送公钥文件给合作伙伴,并可以从教师机上获得合作伙伴的公钥文件。
(4)在PGPkeys 中打开快捷菜单,选择Import。如图2-39所示。
图2-38 将自己的公钥导出图2-39 导入公钥
(5)在Select File Containing Key对话框中,选择合作伙伴的公钥文件,进行Import,如图2-40所示。
(6)右键单击导入的公钥,选择Sing,如图2-41和图2-42所示。
第2章 网络安全技术
61
图2-40 将他人的公钥导入 图2-41 选择要使用的公钥 选中可隐藏私
钥密码显示
图2-42 用私钥签名
(7)右键单击合作伙伴的公钥,选取Key Properties ,将表示信息状态的滑动条由Untrusted 拖至Trusted ,以表示对此密钥的完全信任。如图
2-43所示。
图2-43 确定要使用公钥的信任度
62 网络安全基础教程
3.用PGP密钥对加密和解密邮件内容
(1)打开Outlook Express,撰写一份给合作伙伴的邮件,在发送之前,选中邮件的所有内容,右键单击任务栏中PGP Encryption图标中,单击Encrypt,并选用合作伙伴的公钥,如图2-44和图2-45所示。
图2-44 对当前窗口内容进行加密图2-45 选择公钥加密
(2)对邮件进行加密,其结果如图2-46所示。
(3)合作伙伴打开收到邮件,选中内容单击Decrypt,需要输入自己的私钥密码方可解密邮件,如图2-47所示。
图2-46 邮件内容加密图2-47 合作伙伴的私钥密码
(4)解密邮件内容的结果如图2-48所示。
第2章网络安全技术63
图2-48 邮件解密内容
4.用PGP加密和解密文件
(1)使用Windows Notepad创建文件pgpstudent,文件内容为:This file is encrypted。如图2-49所示。
(2)单击“开始”菜单-程序-PGP-PGPtools,选择Encrypt/Sign图标。
(3)在Select File(s)对话框中,双击要加密的文件,如图2-50所示。
图2-49 建立加密文档图2-50 选择加密文件的公钥
(4)输入私钥的passphrase后文件被转换为扩展名为.pgp的加密文件,如图2-51所示。
(5)与合作伙伴交换文件后,双击文件,输入自己设置私钥的passphrase即可解开加密文件,自动生成原始文件。
(6)在PGPlog的对话框中,可以看到该文件是既签名又加密的文件,并能看到它的签
64 网络安全基础教程
名状态是否完好,如图2-52所示。
图2-51 PGP加密文件
图2-52 签名信息
2.8.4 实训目标考核
(1)用PGP创建一个密钥对,写一个文档作为邮件附件发送给合作伙伴,并将邮件窗口信息进行加密。
(2)选择一个公钥使其无效,再创建一个公钥对并将无效的公钥恢复工效。
(3)将一段信息进行签字并加密传送给合作伙伴,收到信息后将其转换成明文并确认信息的可信程度。
2.9 防病毒软件应用实训
2.9.1 实训任务和目的
(1)掌握防病毒软件的部署方案。
(2)运用单节点防病毒软件的配置方法。
(3)理解病毒防护的有效机制和侧重点。
(4)掌握邮件监控的原理和过程。
第2章网络安全技术65
2.9.2 实训环境和工具
(1)实训环境:Windows 2000/XP主机。有Internet上网环境。
(2)实训工具:kv2004。
2.9.3 实训方法和步骤
1.防病毒软件的安装
(1)安装kv2004,单击安装“江民杀毒软件kv2004”。如图2-53所示。
(2)添加序列号如图2-54所示。
图2-53 安装kv2004 图2-54 添加序列号
(3)选择安装路径,如图2-55所示。
(4)选择启动后加载的监控项目,如图2-56所示。
图2-55 选择安装路径图2-56 选择监控项目(5)完成安装,如图2-57所示。
66 网络安全基础教程
图2-57 完成安装
2.杀毒软件的设置和使用
(1)杀毒。
杀毒设置共有三种扫描目标:简洁目标、文件夹目标、磁盘目标。
仔细对比三种不同的扫描目标,选择其中一种,查杀所有硬盘病毒。
(2)扫描设置。
单击“工具”?“设置”,弹出设置对话框如图2-58所示。
通过扫描目标设置是否查杀压缩文件夹,或者电子邮件等,也可以自定义杀毒文件过滤,对一些不可能承载病毒的文件类型可以屏蔽掉以加快杀毒速度。
通过扫描的增强设置来对病毒文件进行处理,对一些带毒的重要文件我们可以备份后再杀毒,扫描选项如图2-59所示。
图2-58 扫描设置图2-59 扫描选项
第2章网络安全技术67
(3)实时控制。
对实时监控文件类型进行设置,监控参数如图2-60所示。
定时任务,当计算机闲置时进行自动杀毒任务还可以设置屏保杀毒等。如图2-61所示。实时监控,可以设置开机自动启动的实时监控类型,如图2-62所示。
图2-60 设置监控参数图2-61 设置定时任务
(4)嵌入杀毒。
对流行的一些软件进行嵌入杀毒,例如flashget等,如图2-63所示。
图2-62 设置实时监控类型图2-63 设置嵌入杀毒
68 网络安全基础教程
(5)扫描日志。
记录杀毒软件操作值。
(6)设置升级方式。
根据本网络的结构来选择。如图2-64所示。
图2-64 设置升级方式图2-65 IE修复工具3.修复工具
(1)IE修复工具。
打开“工具”?“IE修复工具”,对话框如图2-65所示。
(2)硬盘修复。
硬盘修复可以查杀硬盘引导区的病毒,因为这些病毒常常让硬盘无法启动,要修复硬盘,首先要建立硬盘修复盘(3.5寸软盘一张),然后用软盘启动。
创建硬盘修复盘操作:选择“工具”?“硬盘修复王”,如图2-66所示。
(3)备份和还原。
将硬盘的重要系统引导文件进行备份和还原。通过单击“工具”?“主引导区备份”来恢复主引导区数据。
(4)病毒库升级。
对于杀毒软件来说,病毒库是必须要升级的,只有升级了病毒库后才有能力杀掉新出现的病毒。可以通过自动升级来完成升级操作,也可以直接去网站下载升级包来升级。本处提供著名的江民网站:“https://www.doczj.com/doc/3b3535294.html,”。网络升级如图2-67所示。
第2章网络安全技术69
图2-66 硬盘修复图2-67 自动升级
2.9.4 实训目标考核
(1)设置杀毒软件:
① 文设置开机启动网页监视和文件监视;
② 每天中午12:30分启动杀毒程序;
③ 对后缀名为.bak的文件可以不必杀毒;
④ 在下午3:00自动升级病毒库;
⑤ 关机自动扫描软盘;
⑥ 杀毒时对压缩文件(.zip)不必进行扫描;
⑦ 杀毒失败后设置清除带毒文件;
⑧ 杀毒时不必备份染毒文件;
⑨ 报告类型为纯文本格式。
(2)使用升级包安装最新病毒库。
(3)写出当硬盘无法启动后,如何使用KV2004进行修复的步骤和方法。
(4)扫描所有硬盘,将生成报告复制到实训报告中。
2.10 习题
1.基于TCP/IP协议的应用层服务主要有几种?其出现的安全问题有哪些?
70 网络安全基础教程
2.认证的方法有哪几种?
3.数字签名的功能和作用是什么?
4.简述对称加密和非对称加密的主要区别?
5.网络防病毒工具的防御能力应体现在哪些方面?
第3章基于公钥的安全服务基础设施PKI
PKI(Public Key Infrastructure)是基于公开密钥理论的安全体系,同时又是提供信息安全服务的基础设施。能够为各种网络应用透明地提供采用加密和数字签名等安全服务所必需的密钥和证书管理,从而达到保证网上传递信息的认证、安全、真实、完整和不可抵赖的目的。利用PKI,人们可方便地建立和维护一个可信的、大规模的网络计算环境,并且能够确认彼此的身份,安全地进行信息交换。目前PKI作为电子商务的必要组成部分已被广泛应用。
3.1 PKI 的基本定义与组成
3.1.1 PKI 的基本定义
PKI就是用公钥技术实施和提供安全服务的安全基础设施。
PKI是一种新的安全技术,它由公开密钥密码技术、数字证书、证书发放机构(CA)和关于公开密钥的安全策略等基本成分共同组成的。PKI 是利用公钥技术实现电子商务安全的一种体系,是一种基础设施,网络通讯、网上交易是利用它来保证安全的。从某种意义上讲,PKI包含了安全认证系统(即CA系统),这个系统是PKI不可缺的组成部分。
3.1.2 PKI 的组成
PKI是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。PKI主要包括四个部分:X.509格式的证书(X.509 V3)和证书废止列表CRL(X.509 V2);CA操作协议;CA管理协议;CA政策制定。一个典型、完整、有效的PKI应用系统至少应具有以下五个部分。
1.认证中心CA
CA是PKI的核心,CA负责管理PKI结构下的所有用户(包括各种应用程序)的证书,把用户的公钥和用户的其他信息捆绑在一起,在网上验证用户的身份,CA 还要负责
72 网络安全基础教程
用户证书的黑名单登记和黑名单发布。
2.X.500目录服务器
X.500目录服务器用于发布用户的证书和黑名单信息,用户可通过标准的 LDAP 协议查询自己或其他人的证书和下载黑名单信息。
3.具有高强度密码算法(SSL)的安全WWW服务器
Secure socket layer(SSL)协议最初由Netscape企业发展,现已成为网络用来鉴别网站和网页浏览者身份,以及在浏览器使用者及网页服务器之间进行加密通讯的全球化标准。
4.Web(安全通信平台)
Web分Web Client端和Web Server端两部分,分别运行在客户端和服务器端,通过具有高强度密码算法的SSL协议保证客户端和服务器端数据的机密性、完整性,并进行访问者身份验证。
5.自开发安全应用系统
自开发安全应用系统是指各行业自开发的各种具体应用系统,例如银行、证券的应用系统等。
完整的PKI包括认证政策的制定(包括遵循的技术标准、各CA之间的上下级或同级关系、安全策略、安全程度、服务对象、管理原则和框架等)、认证规则、运作制度的制定、所涉及的各方法律关系内容以及技术的实现等。
3.2 PKI 的核心CA
认证中心CA作为PKI的核心部分,CA实现了PKI中一些很重要的功能,概括地说,认证中心(CA)的功能有:证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书,具体描述如下:
(1)接收验证最终用户数字证书的申请。
(2)确定是否接受最终用户数字证书的申请——证书的审批。
(3)向申请者颁发、拒绝颁发数字证书——证书的发放。
(4)接收、处理最终用户的数字证书更新请求——证书的更新。
(5)接收最终用户数字证书的查询、撤销。
(6)产生和发布证书废止列表(CRL)。
第3章基于公钥的安全服务基础设施PKI 73
(7)数字证书的归档。
(8)密钥归档。
(9)历史数据归档。
认证中心 CA 为了实现其功能,主要由以下三部分组成:
注册服务器:通过 Web Server 建立的站点,可为客户提供 24×7 不间断的服务。客户在网上提出证书申请和填写相应的证书申请表。
证书申请受理和审核机构:负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。
认证中心服务器:是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书废止列表(CRL)的生成和处理等服务。
在具体实施时,CA必须做到以下几点:
① 验证并标识证书申请者的身份;
② 确保CA用于签名证书的非对称密钥的质量;
③ 确保整个签证过程的安全性,确保签名私钥的安全性;
④ 证书资料信息(包括公钥证书序列号、CA标识等)的管理;
⑤ 确定并检查证书的有效期限;
⑥ 确保证书主体标识的唯一性,防止重名;
⑦ 发布并维护作废证书列表;
⑧ 对整个证书签发过程做日志记录;
⑨向申请人发出通知。
在这其中最重要的是CA自己的一对密钥的管理,它必须确保其高度的机密性,防止他方伪造证书。CA的公钥在网上公开,因此整个网络系统必须保证完整性。CA的数字签名保证了证书(实质是持有者的公钥)的合法性和权威性。用户的公钥有两种产生的方式:一是用户自己生成密钥对,然后将公钥以安全的方式传送给CA,该过程必须保证用户公钥的验证性和完整性;二是CA替用户生成密钥对,然后将其以安全的方式传送给用户,该过程必须确保密钥对的机密性、完整性和可验证性。该方式下由于用户的私钥为CA所产生,所以对CA的可信性有更高的要求。CA必须在事后销毁用户的私钥。
一般而言,公钥有两大类用途,就像本文前面所述,一方面是用于验证数字签名,另一方面是用于加密信息。相应地在CA系统中也需要配置用于数字签名/验证签名的密钥对和用于数据加密/脱密的密钥对,分别称为签名密钥对和加密密钥对。由于两种密钥对的功能不同,管理起来也不大相同,所以在CA中为一个用户配置两对密钥、两张证书。
CA中比较重要的概念有证书库,它是CA颁发证书和撤销证书的集中存放地,它像网上的“白页“一样,是网上的一种公共信息库,供广大公众进行开放式查询。通常的做法是将证书和证书撤销信息发布到一个数据库中,成为目录服务器,它采用LDAP目录访问协议,其标准格式采用X.500系列。随着该数据库的增大,可以采用分布式存放,即采
74 网络安全基础教程
用数据库镜像技术,将其中一部分与本组织有关的证书和证书撤销列表存放到本地,以提高证书的查询效率。这一点是任何一个大规模的 PKI 系统成功实施的基本需求,也是创建一个有效的认证机构 CA 的关键技术之一。
另一个重要的概念是证书的撤销。由于现实生活中的一些原因,比如说私钥的泄漏,当事人的失踪死亡等情况的发生,应当对其证书进行撤销。这种撤销应该是及时的,因为如果撤销延迟的话,会使得不再有效的证书仍被使用,将造成一定的损失。在 CA 中,证书的撤销使用的手段是证书撤销列表或称为 CRL。即将作废的证书放入 CRL 中,并及时地公布于众,根据实际情况不同可以采取周期性发布机制和在线查询机制两种方式。
密钥的备份和恢复也是很重要的一个环节。如果用户由于某种原因丢失了解密数据的密钥,那么被加密的密文将无法解开,这将造成数据丢失。为了避免这种情况的发生,PKI 提供了密钥备份于解密密钥的恢复机制。这一工作也是应该由可信的机构 CA 来完成的,而且,密钥的备份与恢复只能针对解密密钥,而签名密钥不能做备份,因为签名密钥匙用于不可否认性的证明的,如果存有备份的话,将会不利于保证不可否认性。
还有,一个证书的有效期是有限的,这样规定既有理论上的原因,又有实际操作的因素。在理论上诸如关于当前非对称算法和密钥长度的可破译性分析,同时在实际应用中,证明密钥必须有一定的更换频度,才能得到密钥使用的安全性。因此一个已颁发的证书需要有过期的措施,以便更换新的证书。为了解决密钥更新的复杂性和人工干预的麻烦,应由 PKI本身自动完成密钥或证书的更新,完全不需要用户的干预。它的指导思想是:无论用户的证书用于何种目的,在认证时,都会在线自动检查有效期,当失效日期到来之前的某时间间隔内,自动启动更新程序,生成一个新的证书来替代旧证书。
3.3 PKI 的实施
PKI的实施有多种方案,并且各有优势所在,本章以常见的微软Windows 2000 Server 的PKI体系为例进行阐述。
微软 Windows 2000操作系统将一个综合的PKI 引入到Windows平台,作为其安全机制,并且提供了一整套服务和管理工具,以创建、部署和管理基于PKI的应用系统。同时,企业还因此能够基于统一工具和策略机制,来管理该环境和应用系统。
3.3.1 准备工作
1.PKI标准
近年来,PKI技术无论在理论上还是应用上以及开发各种配套产品上,都逐渐走向成
第3章基于公钥的安全服务基础设施PKI 75
熟,以PKI技术为基础的一系列相应的安全标准已经由Internet特别工作组(IETF)、国际标准化组织(ISO)和国际电信联盟(ITU)等国际权威机构批准颁发实施。这些主要标准包括:
(1)LDAP(轻型目录访问协议)支持对数字密钥鉴别的访问;
(2)S/MIME(安全电子邮件协议);
(3)TLC(传输层安全套接层传输协议);
(4)CAT(通用认证技术,Common Authentication Technology);
(5)GSS-API(通用安全服务接口);
(6)X.509(数字证书格式标准)。
2.PKI技术
Windows 2000系列及其后续操作系统实现了对上述PKI标准的全面支持,集成了强大的Web服务和数字证书服务,能够作为建立CA的技术方案,其内置了一整套证书颁发和证书管理的基础功能和相应的安全策略,可以保证PKI服务的顺利实施。PKI在提供高强度安全性的同时,还与操作系统进行了紧密集成,并作为操作系统的一项基本服务而存在,避免了购买第三方PKI所带来的额外开销,同时也保证了系统兼容性。
图3-1给出了组成Windows 2000 PKI体系的基本逻辑组件,其中核心的为微软加密服务(为应用程序的开发提供了加密API接口,即CryptAPI)和证书服务系统(Microsoft Certificate Services),它允许用户配置一个或多个企业CA,这些CA与活动目录和安全策略配合,实现对数字证书的颁发和管理。
图3-1 Windows 2000 PKI体系结构图
76 网络安全基础教程
Windows 2000中的数字证书都是基于X.509V3协议的,可以让用户通过Internet/ Extranet/ Intranet安全地交换敏感信息。为了安全地保管私钥和数字证书,在Windows 2000中,微软为用户还提供了一套智能卡服务,智能卡因其高安全性和因轻便而具可移动性,有望发展成为类似鼠标/键盘的标准计算机外设。
Microsoft CryptoAPI 是这些服务的基石。它为可安装的加密服务提供程序(CSP)的加密功能提供了一个标准接口。这些 CSP 可能是基于软件的,或利用加密硬件设备的程序,它们能够支持各种算法和密钥强度。
3.3.2 实施工作
1.建立CA
CA提供一系列数字证书服务,该服务是通过内置的证书管理单元来实现的。CA可以接收证书请求、验证请求信息和请求者身份,然后为用户颁发各种数字证书,以提供对用户身份的证明。另外,CA还负责撤销证书,以及发布证书废除列表CRL(Certificate Revocation List)。
Windows 2000 PKI 采用层次结构的 CA 模型。其优点是:具有可扩展性,管理方便,并且与很多商业和第三方 CA 产品有一致性。最简单的形式是,CA层次结构仅由一个 CA 组成;但通常一个层次结构会包含多个 CA,并明确定义了父子关系。在Windows 2000 Server中建立CA的具体步骤如下:
(1)以管理员(或域管理员)身份登录到系统。
(2)安装“证书服务”组件。通过“控制面板”添加“证书服务”组件。
(3)选择CA的类型。主要包括企业根CA、企业从属CA、独立根CA和独立从属CA。
需要特别强调的是:由于证书颁发机构的设置是很重要的,这里需要特殊说明,企业根CA和独立根CA都是证书颁发体系中最受信任的证书颁发机构,可以独立地颁发证书。企业根CA需要Active Directory 支持,而独立根CA不需要。从属级的CA由于只能从另一证书颁发机构获取证书,所以一般不被选择。在Windows 2000 Server中,企业根CA使用 Active Directory 来确定申请人的身份,确定申请人是否具有申请他们所指定的证书类型的安全权限,并由此自动确定是否立即颁发证书或拒绝申请,这种策略设置不能被更改。
独立根CA可以选择在收到申请时自动颁发证书或将申请保持为搁置状态,由管理员验证证书申请者的真实性及合法性,决定是否颁发证书。因此,可以根据需求选择合适的证书颁发类型。如图3-2所示。
第3章基于公钥的安全服务基础设施PKI 77
图3-2 选择证书类型
(4)“高级选项”设置(可选)。可选择用来生成密钥对的加密服务提供程序(CSP);同时选择相应散列算法等。
(5)填写CA标识信息。包括:CA名称、电子邮件、CA描述、有效期限等信息。注意:在CA设置完成后这些信息都不能改变。
(6)确定数据储存位置。指定证书数据库、证书数据库日志和共享文件夹的存储位置。
(7)配置组件。
2.管理CA
(1)企业根CA设置。
① 可以选择“管理工具/证书颁发机构/策略设置”命令。添加所需的证书模板,如经过验证的会话、代码签名和注册代理等。
② 选择“管理工具/Active Directory站点和服务”选项,通过菜单中“查看/显示服务节点”,拓展“服务”选项,查看“公钥服务”容器,可看到“证书模板”选项。可以指定某一模板为某个用户专用,也可以控制某一模板的用户和其安全控制权限。
③ 在“管理工具/域安全策略”选项中,选择“公钥策略/自动证书申请设置”进行设置,可以选择“计算机可以自动申请的证书类型”等项目,从而使证书管理自动化。
(2)独立根CA设置。
① 可以选择“在收到证书申请时确定证书颁发机构”的默认动作,通过打开“证书颁发机构”,点击CA名称,选择“属性/策略模块/配置”,选择“证书申请设为待定,系统管理员必须专门颁发证书”,这样管理者可以直接控制证书的发放。如图3-3和3-4所示。
计算机网络安全第二版课后答案
计算机网络安全第二版课后答案 【篇一:计算机网络安全教程第 2版__亲自整理最全课 后 答案】 txt> 一、选择题 1. 狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研 究内容。 2. 信息安全从总体上可以分成 5个层次,密码技术是信息安全中研 究的关键点。 3. 信息安全的目标cia 指的是机密性,完整性,可用性。 4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息 系统安全保护等级划分准则》将计算机安全保护划分为以下 5个级别 二、填空题 1. 信息保障的核心思想是对系统或者数据的 4个方面的要求:保护 (protect ),检测(detect ),反应(react ),恢复(restore ) 2. t cg 目的是在计算和通信系统中广泛使用基于硬件安全模块支持 下的可信计算平台 trusted computi ng platform 性。 3. 从1998年到2006年,平均年增长幅度达 全事件的主要因素是系统和网络安全脆弱性( 穷,这些安全威胁事件给in ternet 带来巨大的经济损失。 4. b 2级,又叫结构保护(structured protection )级别,它要求计 算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终 端)分配单个或者多个安全级别。 5. 从系统安全的角度可以把网络安全的研究内容分成两大体系:攻 击和防,以提高整体的安全 50 %左右,使这些安 vul nerability )层
御。 三、简答题 1.网络攻击和防御分别包括哪些内容? 答:①攻击技术:网络扫描,网络监听,网络入侵,网络后门,网络隐身 ②防御技术:安全操作系统和操作系统的安全配置,加密技术,防火墙技术,入侵检测,网络安全协议。 2.从层次上,网络安全可以分成哪几层?每层有什么特点? 答:从层次体系上,可以将网络安全分为4个层次上的安全: (1)物理安全特点:防火,防盗,防静电,防雷击和防电磁泄露。 (2)逻辑安全特点:计算机的逻辑安全需要用口令、文件许可等方法实现。 (3 )操作系统特点:操作系统是计算机中最基本、最重要的软件。操作系统的安全是网络安全的基础。 (4)联网安全特点:联网的安全性通过访问控制和通信安全两方面的服务来保证。 3.为什么要研究网络安全? 答:目前研究网络安全已经不只为了信息和数据的安全性。网络安全已经渗透到国家的政治、经济、军事等领域,并影响到社会的稳定。 网络安全协议基础 一、选择题 1.o si参考模型是国际标准化组织制定的模型,把计算机与计算机之 间的通信分成7个互相连接的协议层。 2.表示层服务的一个典型例子是用一种一致选定的标准方法对数据 进行编码。
XX大学 本科实验报告 课程名称:网络安全技术 1421351 学号: XXX 姓名: 网络工程专业: 班级:网络B14-1 指导教师: 课内实验目录及成绩 信息技术学院 2016年11 月24日
XX大学实验报告 课程名称:网络安全技术实验类型:演示、验证 实验项目名称:实验十数据库及数据安全 实验地点:信息楼320 实验日期:2017 年11月24 日 实验十数据库及数据安全(数据备份与恢复) 1.实验目的 理解备份的基本概念,了解备份设备的概念。掌握各种备份数据库的方法,了解如何制定备份计划,如何从备份中恢复设备,掌握数据库的恢复方法。掌握SQL Server 备份和恢复数据库的方法。 ?(1)理解SQL Server 2014系统的安全性机制。 ?(2)明确管理和设计SQL Server登录信息,实现服务器级安全控制。 ?(3)掌握设计和实现数据库级的安全保护机制的方法。 ?(4)独立设计和实现数据库备份和恢复。 2.预备知识 数据库的备份与恢复是两个相对应的概念,备份是恢复的基础,恢复是备份的目的。数据库备份是指系统管理员定期或不定期地将数据库部分或全部内容复制到磁带或另一个磁盘上保存起来的过程。备份可分为静态备份和动态备份。数据库恢复是指在数据库遭到破坏时使数据库从有效的备份中恢复正常。 备份期间不允许对数据库进行任何存取、修改活动的备份方式称为静态备份。备份期间允许对数据库进行存取或修改,即各份和用户事务可以并发执行的备份方式称为动态备份。 3.实验准备 1.硬件:PC机、局域网环境 2.软件:Windows NT或Win Server 2016操作系统,SQL Server 2014 4.注意事项 确定备份计划主要考虑以下几个方面: 1)确定备份的频率。确定备份频率要考虑两个因素:一是系统恢复时的工作量,二是系统活动的事务量。对于完整数据库备份,可以是每个月、每一周甚至是每一天进行,而事务日志备份可以是每一周、每一天甚至是每一小时进行。 2)确定备份的内容。确定数据库中的哪些数据需要备份。
中南林业科技大学 实验报告 课程名称:计算机网络安全技术 专业班级:2014 级计算机科学与技术 2班 姓名:孙晓阳 / 学号:
( 目录 实验一java 安全机制和数字证书的管理 (5) 一实验名称 (5) 二实验目的 (5) 三实验内容 (5) 四实验结果和分析 (6) , 命令输入 (6) 分析 (7) 五小结 (8) 实验二对称密码加密算法的实现 (10) 一实验名称 (10) 二实验目的 (10) 三实验内容 (10) ? 四实验结果和分析 (10) 说明 (10) 实验代码 (10) 实验结果 (13) 五小结 (13) 实验三非对称密钥 (14) 一实验名称 (14) { 二实验目的 (14) 三实验内容 (14) 四实验结果和分析 (14)
实验代码 (14) 实验结果 (15) 五小结 (16) 实验四数字签名的实现 (17) — 一实验名称 (17) 二实验目的 (17) 三实验内容 (17) 四实验结果和分析 (17) 实验代码 (17) 实验结果 (19) 五小结 (19) ? 总结 (19)
实验一java 安全机制和数字证书的管理》 一实验名称 java 安全机制和数字证书的管理 二实验目的 了解 java 的安全机制的架构和相关的知识; 利用 java 环境掌握数字证书的管理 三实验内容 java 安全机制(JVM,沙袋,安全验证码)。 & java 的安全机制的架构 加密体系结构(JCA,Java Cryptography Architecture) 构 成 JCA 的类和接口: :定义即插即用服务提供者实现功能扩充的框架与加解密功能调用 API 的核心类和接口组。 一组证书管理类和接口。 一组封装 DSA 与 RSA 的公开和私有密钥的接口。 描述公开和私有密钥算法与参数指定的类和接口。用 JCA 提供的基本加密功能接口可以开发实现含消息摘要、数字签名、密钥生成、密钥转换、密钥库管理、证书管理和使用等功能的应用程序。 加密扩展(JCE,Java Cryptography Extension) 构 成 JCE 的类和接口: :提供对基本的标准加密算法的实现,包括 DEs,三重 DEs(Triple DEs),基于口令(PasswordBasedEncryptionstandard)的 DES,Blowfish。 ( 支持 Diffie 一 Hell-man 密钥。定义密钥规范与算法参数规范。 安全套接扩展(JSSE,Java Secure Socket1 Extension)JSSE 提供了实现 SSL 通信的标准 Java API。 JSSE 结构包括下列包: .包含 JSSE API 的一组核心类和接口。
第10章 计算机网络的安全 本章目录 第10章 计算机网络的安全 ........................................... 11 10.1 网络安全问题概述 .............................................. 11 10.1.1 计算机网络面临的安全性威胁 .................................. 11 10.1.2 计算机网络安全的内容 ........................................ 22 10.1.3 一般的数据加密模型 .......................................... 33 10.2 常规密钥密码体制 .............................................. 33 10.2.1 替代密码与置换密码 .......................................... 44 10.2.2 数据加密标准DES ............................................. 55 10.3 公开密钥密码体制 .............................................. 66 10.3.1 公开密钥密码体制的特点 ...................................... 66 10.3.2 RSA 公开密钥密码体制 ........................................... 77 10.3.3 数字签名 .................................................... 77 10.4 报文鉴别 ...................................................... 88 10.5 密钥分配 ...................................................... 99 10.6 链路加密与端到端加密 .......................................... 99 10.6.1 链路加密 .................................................... 99 10.6.2 端到端加密 .................................................. 99 10.7 防火墙 (1010) 10.1 网络安全问题概述 10.1.1 计算机网络面临的安全性威胁 1. 计算机网络上的通信面临以下的4种威胁。 1) 截获(interception) 攻击者从网络上窃听他人的通信内容。 2) 中断(interruption) 攻击者有意中断他人在网络上的通信。 3) 篡改(modification) 攻击者故意篡改网络上传送的报文。 4) 伪造(fabrication) 攻击者伪造信息在网络上传送。 2. 上述四种威胁可划分为两大类,即被动攻击和主动攻击(如图10-1所示)。在上述情况中,截获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资源的攻击称为主动攻击。 1) 在被动攻击中,攻击者只是观察和分析某一个协议数据单元PDU (这里使用PDU 这一名词是考虑到攻击可能涉及数据的不同的层次)而不干扰信息流。即使这些数据对攻击者来说是不易理解的,他也可以通过观察PDU 的协议控制信息部分,了解正在通信的协议实体的地址和身份,研究PDU 的长度和传输的频度,以便了解所交换的数据的性质。这种被动攻击又称为通信量分析(traffic analysis )。 2) 主动攻击是指攻击者对某个连接中通过的PDU 进行各种处理。如有选择地更改、 删除、图10-1 对网络的被动攻击和主动攻击
第1章网络安全概述与环境配置 一、选择题 1. 狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研究内容。 2. 信息安全从总体上可以分成5个层次,密码技术是信息安全中研究的关键点。 3. 信息安全的目标CIA指的是机密性,完整性,可用性。 4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。 二、填空题 1. 信息保障的核心思想是对系统或者数据的4个方面的要求:保护(Protect),检测(Detect),反应(React),恢复(Restore)。 2. TCG目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台Trusted Computing Platform,以提高整体的安全性。 3. 从1998年到2006年,平均年增长幅度达50%左右,使这些安全事件的主要因素是系统和网络安全脆弱性(V ulnerability)层出不穷,这些安全威胁事件给Internet带来巨大的经济损失。 4. B2级,又叫结构保护(Structured Protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。 5. 从系统安全的角度可以把网络安全的研究内容分成两大体系:攻击和防御。 第2章网络安全协议基础 一、选择题 1. OSI参考模型是国际标准化组织制定的模型,把计算机与计算机之间的通信分成7个互相连接的协议层。 2. 表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。。 3. 子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。。 4. 通过ICMP协议,主机和路由器可以报告错误并交换相关的状态信息。 5. 常用的网络服务中,DNS使用UDP协议。 二、填空题 1. 网络层的主要功能是完成网络中主机间的报文传输,在广域网中,这包括产生从源端到目的端的路由。 2. TCP/IP协议族包括4个功能层:应用层、传输层、网络层和网络接口层。这4层概括了相对于OSI参考模型中的7层。
《网络安全技术》实训指导书 实训项目一:个人主机安全策略设置 实训学时:2学时 实训目的要求:通过实训,学生可以根据需求正确配置安全策略中的项目。 实训内容:设置 WINDOWS 系统安全策略。 实训条件:网络实训室,视频课件。 实训操作方法步骤: 设置 WINDOWS 系统安全策略 (1)安全管理系统用户 (2)用强密码和密码限制策略 (3)用最小化原则管理系统服务 (4)更新系统补丁 (5)用户权限管理 实训考核标准:学习态度30%+实训作品70% 实训项目二: ARP病毒诊断与防御 实训学时:2学时 实训目的要求:通过实训,学生可以使用 Wrieshark进行网络嗅探与协议分析;能使用 Cain进行 ARP 攻击;掌握诊断 ARP 病毒的步骤;能设计 ARP 病毒的防御方案。 实训内容:ARP 病毒攻击;ARP 病毒的诊断方案。 实训条件:网络实训室,攻击工具。 实训操作方法步骤: 1.ARP 病毒攻击 (1)获得 ARP 病毒攻击工具 Cain并进行安装 (2)选好攻击对象,使用 Cain工具进行攻击 (3)使用 Cain工具对攻击对象的流量数据进行解密 2.ARP 病毒的诊断方案
(1)获得协议分析工具WireShark并进行安装 (2)使用 WireShark获取网络流量,分析 ARP 病毒的特征 (3)给出 ARP 病毒的防御方案 实训考核标准:学习态度30%+实训作品70% 实训项目三:计算机远程控制诊断与防御 实训学时:2学时 实训目的要求:通过实训,学生可以使用扫描工具进行主机和端口扫描;掌握密码暴力破解的原理;掌握黑客入侵的一般步骤;能使用远程控制软件;能清除主机上的木马软件。 实训内容:远程侵入;远程控制。 实训条件:网络实训室,攻击工具。 实训操作方法步骤: 1. 远程侵入 (1)使用扫描工具(Nmap,X-Scan)寻找入侵目标 (2)使用协议分析工具WireShark分析多种扫描方式的特点 (3)构造字典,对系统管理员密码进行暴力破解 2. 远程控制 (1)使用 Psexec.exe、TFTP 等工具在目标主机上安装远程控制服务器软件 r_server.exe (2)启动远程控制客户端软件,对目标主机进行远程控制 实训考核标准:学习态度30%+实训作品70% 实训项目四:桌面主机整体防御方案设计 实训学时:2学时 实训目的要求:通过实训,学生可以进行拒绝服务攻击;能进行缓冲区溢出攻击;能运用工具制作木马;能诊断计算机的安全状态;能设计桌面主机安全配置单;能鉴别不安全的上网行为。 实训内容:拒绝服务攻击;木马控制;整体安全方案方案。
附录A 部分习题参考答案 第1章 一、选择题 D A ABD C 二、填空题 1. 保护(Protect)反应(React) 2. 可信计算平台Trusted Computing Platform 3. 50% 4. 结构保护(Structured Protection)级别 5. 攻击防御 第2章 一、选择题 C A B D A 二、填空题 1. 网络层 2. 传输层网络层 3. 简单邮件传输协议邮局协议 4. ping 5. net user 第3章 一、选择题 C AC A B 二、填空题 1. Basic语系C语系 2. 句柄 3. 注册表 4. 提高CPU的利用率可以设置每个线程的优先级,调整工作的进度。 5. iostream.h 6. net user Hacker /add
一、选择题 C B 二、填空题 1. 慢速扫描乱序扫描 2. 被动式策略 3. 隐藏IP 踩点扫描获得系统或管理员权限种植后门在网络中隐身第5章 一、选择题 B A A D 二、填空题 1. 暴力 2. 分布式拒绝服务攻击 3. TCP/IP协议 第6章 一、选择题 A B D 二、填空题 1. 被管理员发现的概率 2. 服务器端程序客户端程序 3. 木马后门程序 第7章 一、选择题 A D A A D 二、填空题 1. 蠕虫(Worm)逻辑炸弹(Logic Bomb) 2. DOS MZ header PE Header 3. 计算机病毒 4. VBScript JavaScript 5. 主程序引导程序
一、选择题 B D A B C 二、填空题 1. 操作系统 2. Multics 3. 主体(Subject)客体(Object)访问矩阵(Access Matrix) 4. 访问监控器(Reference Monitor) 5. 运行保护 6. Biba BLP 第9章 一、选择题 C B A A 二、填空题 1. 恺撒密码 2. MD5 MD4 3. 完整性抗抵赖性 4. 鲁棒性 5. CA为用户产生的密钥对 6. 分布式信任模型交叉认证模型 第10章 一、选择题 C D A D B 二、填空题 1. 防火墙 2. 分组过滤防火墙 3. 筛选路由器模型屏蔽子网模型 4. 入侵检测 5. 数据分析 第11章 一、选择题 AB A B D C 二、填空题
计算机网络安全教程复习资料 (标红的是部分10级考过的) 第1章(P27) 一、选择题 1. 狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研究内容。 2. 信息安全从总体上可以分成5个层次,密码技术是信息安全中研究的关键点。 3. 信息安全的目标CIA指的是机密性,完整性,可用性。 4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。 二、填空题 1. 信息保障的核心思想是对系统或者数据的4个方面的要求:保护(Protect),检测(Detect),反应(React),恢复(Restore)。 2. TCG目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台Trusted Computing Platform,以提高整体的安全性。 3. 从1998年到2006年,平均年增长幅度达50%左右,使这些安全事件的主要因素是系统和网络安全脆弱性(Vulnerability)层出不穷,这些安全威胁事件给Internet带来巨大的经济损失。 4. B2级,又叫结构保护(Structured Protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。 5. 从系统安全的角度可以把网络安全的研究内容分成两大体系:攻击和防御。 三、简答题 1. 网络攻击和防御分别包括哪些内容? 答:①攻击技术:网络扫描,网络监听,网络入侵,网络后门,网络隐身 ②防御技术:安全操作系统和操作系统的安全配置,加密技术,防火墙技术,入侵检测,网络安全协议。 2. 从层次上,网络安全可以分成哪几层?每层有什么特点? 答:从层次体系上,可以将网络安全分为4个层次上的安全: (1)物理安全特点:防火,防盗,防静电,防雷击和防电磁泄露。 (2)逻辑安全特点:计算机的逻辑安全需要用口令、文件许可等方法实现。 (3)操作系统特点:操作系统是计算机中最基本、最重要的软件。操作系统的安全是网络安全的基础。(4)联网安全特点:联网的安全性通过访问控制和通信安全两方面的服务来保证。 3.为什么要研究网络安全? 答:目前研究网络安全已经不只为了信息和数据的安全性。网络安全已经渗透到国家的 政治、经济、军事等领域,并影响到社会的稳定。 第2章(P56) 一、选择题 1. OSI参考模型是国际标准化组织制定的模型,把计算机与计算机之间的通信分成7个互相连接的协议层。 2. 表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。。 3. 子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。。 4. 通过ICMP协议,主机和路由器可以报告错误并交换相关的状态信息。 5. 常用的网络服务中,DNS使用UDP协议。 二、填空题 1. 网络层的主要功能是完成网络中主机间的报文传输,在广域网中,这包括产生从源端到目的端的路由。 2. TCP/IP协议族包括4个功能层:应用层、传输层、网络层和网络接口层。这4层概括了相对于OSI参考模型中的7层。 3. 目前E-mail服务使用的两个主要协议是简单邮件传输协议和邮局协议。 4. ping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接,应答消息的接收情况将和往返过
实习报告 实习名称: 网络安全实习 专业班级: 网络2013-1 姓名: 王宝鑫 学号: 130330118 指导教师: 鲁晓帆、曹士明 实习时间: 2016.10.31—2016.11.25 吉林建筑大学城建学院 计算机科学与工程系
《网络安全实习》成绩评定表 一、实习目的 通过本次实习,使学生认识了解防火墙、入侵检测、防病毒等技术;认识电子邮件、网页木马
等安全隐患及其防范;掌握利用网络工具对局域网安全检测及扫描分析方法,利用抓包工具,对数据包进行分析的过程;了解网络攻击方法及其防范技术。 二、实习意义 为了培养学生的实际动手操作与实践能力,通过网络工具的使用及数据分析,理论联系实际,增强学生综合运用所学知识解决实际问题。 三、实习内容 3.1 防火墙技术 3.1.1 包过滤技术简介 基于协议特定的标准,路由器在其端口能够区分包和限制包的能力叫包过滤(Packet Filtering)。其技术原理在于加入IP过滤功能的路由器逐一审查包头信息,并根据匹配和规则决定包的前行或被舍弃,以达到拒绝发送可疑的包的目的。过滤路由器具备保护整个网络、高效快速并且透明等优点,同时也有定义复杂、消耗CPU资源、不能彻底防止地址欺骗、涵盖应用协议不全、无法执行特殊的安全策略并且不提供日志等局限性。 3.1.2 NAT技术 NAT(Network Address Translation,网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。 3.1.3 VPN 技术 虚拟专用网络的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。 3.1.4 实验设备及工具 PIX501防火墙一台,CISCO 2950交换机两台,控制线一根,网络连接线若干,PC机若干 3.1.5 实验及分析 外网R4: R4#conf t Enter configuration commands, one per line. End with CNTL/Z. R4(config)#int f0/0 R4(config-if)#ip add 192.168.1.2 255.255.255.0 R4(config-if)#no shut R4(config-if)#exit *Mar 1 00:02:56.059: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
计算机网络教程(谢希仁)第10章计算机网络的安全
第 2 页 共 13 页 第10章 计算机网络的安全 本章目录 第10章 计算机网络的安全 (2) 10.1 网络安全问题概述 (2) 10.1.1 计算机网络面临的安全性威胁 (2) 10.1.2 计算机网络安全的内容 (3) 10.1.3 一般的数据加密模型 (4) 10.2 常规密钥密码体制 (5) 10.2.1 替代密码与置换密码 (5) 10.2.2 数据加密标准DES (6) 10.3 公开密钥密码体制 (8) 10.3.1 公开密钥密码体制的特点 (8) 10.3.2 RSA 公开密钥密码体制 (9) 10.3.3 数字签名 (9) 10.4 报文鉴别 (10) 10.5 密钥分配 (11) 10.6 链路加密与端到端加密 (12) 10.6.1 链路加密 (12) 10.6.2 端到端加密 (12) 10.7 防火墙 (12) 10.1 网络安全问题概述 10.1.1 计算机网络面临的安全性威胁 1. 计算机网络上的通信面临以下的4种威胁。 1) 截获(interception) 攻击者从网络上窃听他人的通信内容。 2) 中断(interruption) 攻击者有意中断他人在网络上的通信。 3) 篡改(modification) 攻击者故意篡改网络上传送的报文。 4) 伪造(fabrication) 攻击者伪造信息在网络上传送。 2. 上述四种威胁可划分为两大类,即被动攻击和主动攻击(如图10-1所示)。在上 述情况中,截获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资源的攻击称为主动攻击。 1) 在被动攻击中,攻击者只是观察和分析某一个协议数据单元PDU (这里使用 图10-1 对网络的被动攻击和主动攻击
网络安全工程师 ●岗位职责 1.严格执行集团公司各项管理制度、规定及要求,不违规;开展部门业务及时准确提报相关单位要求的各类文件;完成上级领导交代的其他工作,按要求办理并反馈; 2.学习、掌握并严格执行公司信息化管理制度、人力资源管理制度、行政管理制度、财务管理制度、财务报销管理制度,招聘、考勤、薪酬、行政、财务相关流程,无违规; 3.必须熟悉、掌握信息化相关知识,并运用到工作中; 4.负责跟踪业界漏洞风险信息,对公司网络进行安全评估及安全加固工作,分析判断其对公司业务的影响,并给出安全加固建议; 5.负责集团网络安全防御系统的建设、维护与管理,及时处理各种突发网络故障。 6.解决日常网络安全问题,定期进行系统、网络安全风险评估和检测; 7.信息安全事件的监控、调查、处理、跟踪,在出现网络攻击或安全事件时进行紧急响应、恢复系统及调查取证; 8.根据业务需求制定网络安全解决方案,完善公司信息安全体系; 9.规化调整公司网络,维护网络稳定,保障公司业务系统的正常运行; 10.监控业务系统的关键任务,并且根据情况来部署相应的监控措施; 11.监督安全厂商部署安全设备; 12.跟踪分析国内外安全动态,研究安全攻击、防御及测试技术; 13.完成领导交办的其他工作; ●管理权限 1.有权拒绝办理违背公司各项规定的事项; 2.对损害公司和个人利益的行为,有监督、举报、投诉权; 3.对同事或上级工作的监督、建议权; 4.公司IT发展战略、技术开发战略和质量管理战略建议权; 5.公司信息安全制度的建议权;
6.各部门信息安全计划的审核权; 7.各部门信息安全计划实施情况的监督权; 8.针对违反信息安全管理制度情况处理方案的建议权上级授予的其他权力; 9.公司规章制度及流程规定的其它权限;
网络安全课程实验安排及指导书 2009-10-21
实验安排1、推荐必做实验 网络扫描 计算机病毒及恶意代码 防火墙实验 入侵检测系统 2、推荐选作实验 VPN配置 证书的申请和使用 windows安全配置实验
实验一:网络扫描实验 【实验目的】 了解扫描的基本原理,掌握基本方法,最终巩固主机安全 【实验内容】 1、学习使用Nmap的使用方法 2、学习使用漏洞扫描工具 【实验环境】 1、硬件PC机一台。 2、系统配置:操作系统windows XP以上。 【实验步骤】 1、端口扫描 1)解压并安装ipscan15.zip,扫描本局域网内的主机 2)解压nmap-4.00-win32.zip,安装WinPcap 运行cmd.exe,熟悉nmap命令(详见“Nmap详解.mht”)。 3)试图做以下扫描: 扫描局域网内存活主机, 扫描某一台主机或某一个网段的开放端口 扫描目标主机的操作系统 试图使用Nmap的其他扫描方式,伪源地址、隐蔽扫描等 2、漏洞扫描 解压X-Scan-v3.3-cn.rar,运行程序xscan_gui.exe,将所有模块选择扫描,扫描本机,或局域网内某一台主机的漏洞 【实验报告】 1、说明程序设计原理。 2、提交运行测试结果。 【实验背景知识】 1、扫描及漏洞扫描原理见第四章黑客攻击技术.ppt 2、NMAP使用方法 扫描器是帮助你了解自己系统的绝佳助手。象Windows 2K/XP这样复杂的操作系统支持应用软件打开数百个端口与其他客户程序或服务器通信,端口扫描是检测服务器上运行了哪些服务和应用、向Internet或其他网络开放了哪些联系通道的一种办法,不仅速度快,而且效果也很不错。 Nmap被开发用于允许系统管理员察看一个大的网络系统有哪些主机以及其上运行何种服务。它支持多种协议的扫描如UDP,TCP connect(),TCP SYN (half open), ftp proxy (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,X mas Tree, SYN sweep, 和Null扫描。你可以从SCAN TYPES一节中察看相关细节。nmap 还提供一些实用功能如通过tcp/ip来甄别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的PING侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择以及端口的描述。 一、安装Nmap Nmap要用到一个称为“Windows包捕获库”的驱动程序WinPcap——如果你经常从网上下载流媒体电影,可能已经熟悉这个驱动程序——某些流媒体电影的地址是加密的,侦测这些电影的真实地址就要用到WinPcap。WinPcap的作用是帮助调用程序(即这
网络安全实验报告 姓名:杨瑞春 班级:自动化86 学号:08045009
实验一:网络命令操作与网络协议分析 一.实验目的: 1.熟悉网络基本命令的操作与功能。 2.熟练使用网络协议分析软件ethereal分析应用协议。 二.实验步骤: 1. 2.协议分析软件:ethereal的主要功能:设置流量过滤条件,分析网络数据包, 流重组功能,协议分析。 三.实验任务: 1.跟踪某一网站如google的路由路径 2.查看本机的MAC地址,ip地址 输入ipconfig /all 找见本地连接. Description . . .. . : SiS 900-Based PCI Fast Ethernet Adapte Physical Address.. . : 00-13-8F-07-3A-57 DHCP Enabled. . .. . : No IP Address. . . .. . : 192.168.1.5
Subnet Mask . . .. . : 255.255.255.0 Default Gateway .. . : 192.168.1.1 DNS Servers . . .. . : 61.128.128.67 192.168.1.1 Default Gateway .. . : 192.168.1.1 这项是网关.也就是路由器IP Physical Address.. . : 00-13-8F-07-3A-57 这项就是MAC地址了.
3.telnet到linux服务器,执行指定的命令
5.nc应用:telnet,绑定程序(cmd,shell等),扫描,连接等。
1.()作为安全保护策略有两方面的含义:一是让事物简单便于理解;二是复杂化会为所有的安全带来隐藏的漏洞,直接威胁网络安全。 (单选 ) A动态化 B普遍参与 C纵深防御 D简单化 2.()是指内部人员为了掩盖攻击者的身份,从本地获取目标的一些必要信息后,攻击过程从外部远程发起,造成外部入侵的现象,从而使追查者误以为攻击者是来自外单位。 (单选 ) A被动攻击 B伪远程攻击 C远程攻击 D本地攻击 3.为了实现(),所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。 (单选 ) A编写正确的代码 B非执行的缓冲区技术 C程序指针完整性检查 D数组边界检查 4.现代密码中的公共密钥密码属于()。 (单选 ) A对称式密码 B非对称式密码 C静态的密码 D不确定的密码 5.通常的拒绝服务源于以下几个原因()。 (多选 )
A资源毁坏 B资源耗尽和资源过载 C配置错误 D软件弱点 6.防火墙的主要功能有()。 (多选 ) A访问控制 B防御功能 C用户认证 D安全管理 7.目前针对数据库的攻击主要有()。 (多选 ) A密码攻击 B物理攻击 C溢出攻击 DSQL注入攻击 8.定级是一项专业性较强的基础性工作,系统定级阶段的顺利进行与否关系到整个信息系统的后续建设。 (判断 ) 正确错误 9.目前的网络攻击主要是攻击者利用网络通信协议本身存在的缺陷或因安全配置不当而产生的安全漏洞进行网络攻击。 (判断 ) 正确错误 10.数据加密算法有很多种,密码算法标准化是信息化社会发展的必然趋势,是世界各国保密通信领域的一个重要课题。 (判断 ) 正确错误
11.允许访问除明确拒绝以外的任何一种服务,指防火墙将系统中确定为“不许可”的服务拒绝,而允许其他所有未做规定的服务。 (判断 ) 正确错误 12.云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。 (填空 ) 13.信息安全策略主要包括物理安全策略、系统管理策略、访问控制策略、资源需求分配策略、系统监控策略、网络安全管理策略和灾难恢复计划。 (填空 ) 14.涉密载体是指以文字、数据、符号、图形、图像、声音等方式记载国家秘密信息的纸介质、光介质、电磁介质等各类物品。 (填空 ) 15.九类不准在互联网上制作、复制、发布、传播的内容是什么? (简答 ) (一)反对宪法所确定的基本原则的内容; (二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的内容; (三)煽动民族仇恨、民族歧视,破坏民族团结的内容; (四)破坏国家宗教政策,宣扬邪教和封建迷信的内容; (五)散步谣言,扰乱社会秩序,破坏社会稳定的内容; (六)散步淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的内容; (七)侮辱或者诽谤他人,侵害他们合法权益的内容; (八)网络诈骗; (九)侵犯知识产权的内容。
.. 网络安全课程实验安排及指导书 2009-10-21
实验安排1、推荐必做实验 网络扫描 计算机病毒及恶意代码 防火墙实验 入侵检测系统 2、推荐选作实验 VPN配置 证书的申请和使用 windows安全配置实验
实验一:网络扫描实验 【实验目的】 了解扫描的基本原理,掌握基本方法,最终巩固主机安全 【实验内容】 1、学习使用Nmap的使用方法 2、学习使用漏洞扫描工具 【实验环境】 1、硬件PC机一台。 2、系统配置:操作系统windows XP以上。 【实验步骤】 1、端口扫描 1)解压并安装ipscan15.zip,扫描本局域网内的主机 2)解压nmap-4.00-win32.zip,安装WinPcap 运行cmd.exe,熟悉nmap命令(详见“Nmap详解.mht”)。 3)试图做以下扫描: 扫描局域网内存活主机, 扫描某一台主机或某一个网段的开放端口 扫描目标主机的操作系统 试图使用Nmap的其他扫描方式,伪源地址、隐蔽扫描等 2、漏洞扫描 解压X-Scan-v3.3-cn.rar,运行程序xscan_gui.exe,将所有模块选择扫描,扫描本机,或局域网内某一台主机的漏洞 【实验报告】 1、说明程序设计原理。 2、提交运行测试结果。 【实验背景知识】 1、扫描及漏洞扫描原理见第四章黑客攻击技术.ppt 2、NMAP使用方法 扫描器是帮助你了解自己系统的绝佳助手。象Windows 2K/XP这样复杂的操作系统支持应用软件打开数百个端口与其他客户程序或服务器通信,端口扫描是检测服务器上运行了哪些服务和应用、向Internet或其他网络开放了哪些联系通道的一种办法,不仅速度快,而且效果也很不错。
《网络安全技术项目实训》 实习报告
一、实训要求 序号实训任务 1 PGP软件的应用 2 扫描的原理以及扫描工具的使用 3 防火墙的安装和应用 4 数据的备份和恢复GHOST 5 远程控制的原理以及远程控制软件的使用(木马) 二、实训环境 硬件:CPU:Intel E7500 内存:4GB 硬盘:SATA-500GB 显示器:17寸LED 显卡:9500GT U盘:自备软件:WindowsXP、Office2003、PGP、GHOST、远程控制软件 三、实训内容 1. 数据加密软件的使用 (1)PGP软件的功能包括数字签名、消息认证、消息加密、数据压缩、邮件兼容和数据分段。安装时先安装英文版,再安装中文版,重启后使用,可以进行密钥管理、剪贴板信息加解密、当前窗口信息加解密、文件加解密和对磁盘的加密。 (2)加密文件。在桌面新建一个文本文档,右击选择“PGP”中的“加密”,该文档就生成加密后的文件,直接打开后是一些乱码。 (3)导出密钥。打开PGPKeys,在菜单栏中选择“密钥”→“导出”,设置保存位置,即可导出自己的公钥和密钥。
2.DDOS攻击 (1)Sniffer可以监视网络状态、数据流动情况以及网络上传输的信息。先安装英文版再安装中文版,重启后可使用。 (2)打开界面开始捕获数据包,它会以不同形式说明捕获到的信息。 捕获完之后,选择“解码”选项,可看到主机通过协议发送或接受到的信息。 选择“矩阵”选项,可看到主机各协议下的数据连接情况,线越粗代表数据传输越紧密。 选择“主机列表”,可看到主机各协议下发送和接受的数据包情况。
选择“protocol dist.”可查看主机不同协议的分布情况。 (3)X-Scan-v3.3-cn属于漏洞扫描工具,它首先探测存活主机,进行端口扫描,通过对探测相应数据包的分析判断是否存在漏洞。 (4)打开软件,在“设置”中设置参数,开始扫描。 扫描完成后显示检测结果,发现1个漏洞并提出一些警告和提示,并进行分析和提出解决方案。
目录 网络安全与防火墙实验篇 实验一:查阅Linux 缺省的存取控制权限 实验二:创建Apache 服务器下的访问控制列表 实验三:使用PGP 创建密钥对 实验四:在NT 下导出PGP 公钥及对签名 实验五:NT 下PGP 使密钥对加密、解密信息 实验六:用PGP 加密和解密文件 实验七:使用MD5sum 创建HASH 校验和 实验八:PGP 使用实现VPN 的实施 实验九:在Linux 下用gnupg 工具实现加密 实验十:使用sniffer 捕获加密包和非加密包 实验十一:在IIS 中实现SSL 实验十二:使用NAT 进行蛮力攻击 实验十三:发送伪造的E-mail 实验十四:Tribe Flood Network(TFN)攻击 实验十五:使用单用户模式登录Linux 实验十六:利用Linux 启动盘更改Windows NT 密码 实验十七:在Windows NT 下关闭端口 实验十八:使用plisten 监听端口 实验十九:在NT 下使用NC(Netcat)开放后门端口 实验二十:在IIS 中配置安全的Web 站点 实验二十一:在IIS 中配置安全的FTP 服务 实验二十二:配置简单的网络检测 实验二十三:用Winroute 创建包过滤规则 实验二十四:使用WinRoute 过滤HTTP 访问 实验二十五:用WinRoute 配置FTP 过滤 操作系统实验篇 实验一:Red Button 工具探测NT 管理员帐号及共享 实验二:帐号锁定策略与暴力攻击 实验三:强制使用强壮的密码 实验四:UNIX 环境下密码时效的及PATH 的重要性 实验五:键盘记录程序的潜在危险 实验六:使用WebTrends Security Analyzer 进行安全评估 实验七:识别UNIX 下―r‖系列程序的不安全因素 实验八:在NT 下卸载和删除一些不必要的服务 实验九:更改NT 注册表来增强系统的安全性 实验十:保护FTP、TELNET 服务以及TCPWra 九:在Linux 下用gnupg 工具实现加密安全审计,攻击和威胁分析实验篇 实验一:使用tracert 命令检测路由和拓扑结构信息 实验二:使用WS_ping propack 进行网络检测和扫描 实验三:从SNMP 中获取信息 实验四:在Linux 下使用Nmap 检测端口 实验五:使用ISS internet SCanner 进行网络检测和分析 实验六:分析SYN Flood 攻击原理 实验七:分析Smurf 攻击原理 实验八:使用L0phtCrack 破解Windows NT 密码 实验九:使用John the Ripper 破解Linux 密码 实验十:使用NetBus 进行主机控制 实验十一:分析NetBus 会话端口 实验十二:使用NetBus 进行远程控制 实验十三:使用session wall 进行实时安全控制 实验十四:用session wall 监视主机活动 实验十五:在session wall 中创建,设置,编辑审计规则 实验十六:审计windows nt 引导与登录 实验十七:激活,分析windows nt 文件夹审计 实验十八:使用Linux 审计工具