網絡信息安全實驗報告

1、網 絡 信 息 安 全實驗報告 學校： 江蘇科技大學 專業(yè)： 13級計算機科學與技術 導師： 李永忠 學號： 1341901201 姓名： 黃鑫江蘇科技大學計算機科學與工程學院2015-12-2實驗一 DES加解密算法一、實驗目的1.學會并實現DES算法2. 理解對稱密碼體制的基本思想3. 掌握數據加密和解密的基本過程4. 理解公鑰密碼體制的基本思想5. 掌握公鑰密碼數據加密解密的過程 6.理解Hash函數的基本思想二、實驗內容1、根據DES加密標準，用C+設計編寫符合DES算法思想的加、解密程序，能夠實現對 字符串和數組的加密和解密。例如，字符串為M= “信息安全”，密鑰K= “comput

2、er”2、根據RSA加密算法，使用RSA1軟件，能夠實現對字符的加密和解密。3、根據MD5算法，使用hashcalc軟件和MD5Caculate軟件，能夠實現求字符串和文件的 HASH值。例如，字符串為M=“信息安全”，求其HASH值三、實驗原理 算法加密encryption解密algorithmbyteDES算法把64位的明文輸入塊變?yōu)?4位的密文輸出塊，它所使用的密鑰也是64位，首先，DES把輸入的64位數據塊按位重新組合，并把輸出分為L0、R0兩部分，每部分各長32位，并進行前后置換（輸入的第58位換到第一位，第50位換到第2位，依此類推，最后一位是原來的第7位），最終由L0輸出左32位

3、，R0輸出右32位，根據這個法則經過16次迭代運算后，得到L16、R16，將此作為輸入，進行與初始置換相反的逆置換，即得到密文輸出。 DES算法的入口參數有三個：Key、Data、Mode。其中Key為8個字節(jié)共64位，是DES算法的工作密鑰；Data也為8個字節(jié)64位，是要被加密或被解密的數據；Mode為DES的工作方式，有兩種：加密或解密，如果Mode為加密，則用Key去把數據Data進行加密，生成Data的密碼形式作為DES的輸出結果；如Mode為解密，則用Key去把密碼形式的數據Data解密，還原為Data的明碼形式作為DES的輸出結果。在使用DES時，雙方預先約定使用的”密碼”即Ke

4、y，然后用Key去加密數據；接收方得到密文后使用同樣的Key解密得到原數據，這樣便實現了安全性較高的數據傳輸。DES算法全稱為Data Encryption Standard,即數據加密算法,它是IBM公司于1975年研究成功并公開發(fā)表的。DES算法的入口參數有三個:Key、Data、Mode。其中Key為8個字節(jié)共64位,是DES算法的工作密鑰;Data也為8個字節(jié)64位,是要被加密或被解密的數據;Mode為DES的工作方式,有兩種:加密或解密。 DES算法把64位的明文輸入塊變?yōu)?4位的密文輸出塊,它所使用的密鑰也是64位，其算法主要分為兩步： 1 初始置換 其功能是把輸入的64位數據塊按

5、位重新組合,并把輸出分為L0、R0兩部分,每部分各長3 2位,其置換規(guī)則為將輸入的第58位換到第一位,第50位換到第2位依此類推,最后一位是原來的第7位。L0、R0則是換位輸出后的兩部分，L0是輸出的左32位,R0是右32位,例:設置換前的輸入值為D1D2D3D64,則經過初始置換后的結果為:L0=D58D50D8;R0=D57D49D7。 2 逆置換 經過16次迭代運算后,得到L16、R16,將此作為輸入,進行逆置換,逆置換正好是初始置換的逆運算，由此即得到密文輸出。DES加密算法基本知識DES(Data Encryption Standard)又叫數據加密標準，是1973年5月15日美國國

6、家標準局(現在是美國標準技術研究所，即NIST)在聯(lián)邦記錄中公開征集密碼體制時出現的。DES由IBM開發(fā)，它是對早期被稱為Lucifer體制的改進。DES在1975年3月17日首次在聯(lián)邦記錄中公布，在經過大量的公開討論后，1977年2月15日DES被采納為“非密級”應用的一個標準。最初預期DES作為一個標準只能使用10-15年，然而，事實證明DES要長壽得多。在其被采用后，大約每隔5年被評審一次。DES的最后一次評審是在1999年1月，在當時，一個DES的替代品，AES(Advanced Encryption Standard)開始使用。DES是一種分組對稱加解密算法，用64位密鑰(實際用56

7、位，其中每第八位作奇偶校驗位)來加密(解密)64位數據，加密的過程伴隨一系列的轉換與代換操作。DES加密(解密)的過程可以分為兩步：首先變換密鑰得到56位密鑰，然后據轉換操作得到48位共16組子密鑰。其次是用上面得到的16組子密鑰加密(解密) 64位明(密)文，這個過程會有相應的S-BOX等的代換-轉換操作。4、 實驗結果輸入明文 huangxin 和密文computer 得出結果RSA加密解密5、 思考題1.分析影響DES密碼體制安全的因素？暴力破解，即重復嘗試各種密鑰直到有一個符合為止。隨著計算機運算能力的不斷提高，暴力破解所需的時間越來越短。自身漏洞。DES算法中只用到64位密鑰中的其中

8、56位，而第8、16、24、.64位8個位并未參與DES運算，這一點，向我們提出了一個應用上的要求，即DES的安全性是基于 除了 8, 16, 24, .64位外的其余56位的組合變化256才得以保證的。公鑰算法中加密算法和解密算法有何不同？公鑰算法中加密算法和解密算法基本相同，不同之處在于解密算法所使用的子密鑰順序與加密算法是相反的。6、 實驗心得 在這次實驗中，我學會了并且編程實現了DES算法，理解對稱密碼體制的基本思想。在掌握數據加密和解密的基本過程中，理解了公鑰密碼體制和Hash函數的基本思想。雖然實驗內容相對而言比較簡單，但是在實際操作過程中仍然遇到了一些問題。在實驗中，我對DES的

9、加密和解密算法的學習產生了極大的學習熱情，還會繼續(xù)努力！ 實驗二、操作系統(tǒng)安全配置 一 實驗目的1熟悉Windows NT/XP/2000系統(tǒng)的安全配置2. 理解可信計算機評價準則二 實驗內容1. 修改Windows 系統(tǒng)注冊表的安全配置，并驗證2. 修改Windows 系統(tǒng)的安全服務設置，并驗證3. 修改IE 瀏覽器安全設置，并驗證4. 設置用戶的本地安全策略，包括密碼策略和帳戶鎖定策略。5. 新建一個文件夾并設置其訪問控制權限。6. 學會用事件查看器查看三種日志。7. 記錄并分析實驗現象三 實驗過程Windows系統(tǒng)注冊表的配置用“Regedit”命令啟動注冊表編輯器，配置Windows

10、系統(tǒng)注冊表中的安全項(1)、關閉 Windows 遠程注冊表服務通 過任務欄的“ 開始-> 運行”， 輸入regedit 進入注冊表編輯器。找到注冊表中HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 下的“RemoteRegistry”項。右鍵點擊“RemoteRegistry”項，選擇“刪除”。 (2)修改系統(tǒng)注冊表防止SYN 洪水攻擊(a)找到注冊表位置：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters新建DWORD 值，名為SynAttackProte

11、ct。(b)點擊右鍵修改 SynAttackProtec t 鍵值的屬性。(c)在彈出的“編輯DWORD 值”對話框數值數據欄中輸入“2”(d)單擊“確定”，繼續(xù)在注冊表中添加下列鍵值，防范SYN 洪水攻擊。EnablePMTUDiscovery REG_DWORD 0NoNameReleaseOnDemand REG_DWORD 1EnableDeadGWDetect REG_DWORD 0KeepAliveTime REG_DWORD 300,000PerformRouterDiscovery REG_DWORD 0EnableICMPRedirects REG_DWORD 0(3) 修改

12、注冊表防范IPC$攻擊：(a)查找注冊表中“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA”的“RestrictAnonymous”項。(b)單擊右鍵，選擇“修改”。(c)在彈出的“編輯DWORD 值”對話框中數值數據框中添入“1”，將“RestrictAnonymous”項設置為“1”，這樣就可以禁止IPC$的連接，單擊“確定”按鈕。(4)修改注冊表關閉默認共享(a)對于c$、d$和admin$等類型的默認共享則需要在注冊表中找到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanm

13、anServerParameters”項。在該項的右邊空白處，單擊右鍵選擇新建DWORD 值。(b)添加鍵值“AutoShareServer”(類型為“REG_DWORD”，值為“0”)。注 ： 如果系統(tǒng)為Windows 2000 Server 或Windows 2003 ， 則要在該項中添加鍵值“AutoShareServer”(類型為“REG_DWORD”，值為“0”)。如果系統(tǒng)為Windows 2000 PRO，則應在該項中添加鍵值“AutoShareWks”(類型為“REG_DWORD”，值為“0”)。2 通過“控制面板管理工具本地安全策略”，配置本地的安全策略（1）禁止枚舉賬號在“本

14、地安全策略”左側列表的“安全設置”目錄樹中，逐層展開“本地策略”“安全選項”。查看右側的相關策略列表，在此找到“網絡訪問：不允許SAM 賬戶和共享的匿名枚舉”，用鼠標右鍵單擊，在彈出菜單中選擇“屬性”，而后會彈出一個對話框，在此激活“已啟用”選項，最后點擊“應用”按鈕使設置生效。（2）不顯示上次登錄的用戶名3. 打開IE瀏覽器，選擇“工具Internet選項安全”選項，進行IE瀏覽器的安全設置（1）在Internet 選項中自定義安全級別（2）設置添加受信任和受限制的站點4. 新建一個用戶組，并在這個用戶組中新建一個帳號。打開控制面板-用戶賬戶-新建賬戶5. 設置用戶的本地安全策略，包括密碼策

15、略和帳戶鎖定策略。（1）打開“控制面板”“管理工具”“本地安全設置”，（2）設置密碼復雜性要求：雙擊“密碼必須符合復雜性要求”，就會出現“本地安全策略設置”界面，可根據需要選擇“已啟用”，單擊“確定”，即可啟用密碼復雜性檢查。（3）設置密碼長度最小值：雙擊“密碼長度最小值”，將密碼長度設置在6 位以上。（4）設置密碼最長存留期：雙擊“密碼最長存留期”，將密碼作廢期設置為60 天，則用戶每次設置的密碼只在60 天內有效。（5）單擊左側列表中的“帳戶鎖定策略”。（6）設置帳戶鎖定時間：雙擊“帳戶鎖定時間”，將用戶鎖定時間設置為3 分鐘，則每次鎖定后帳戶將保持鎖定狀態(tài)3 分鐘。（7）設置帳戶鎖定閥值

16、：雙擊“帳戶鎖定閥值”，可將帳戶鎖定閥值設置為3 次。6. 新建一個文件夾并設置其訪問控制權限。（1）在E 盤新建一個文件夾，用鼠標右鍵單擊該文件夾，選擇“屬性”，在屬性對話框中選擇“安全”選項卡，就可以對文件夾的訪問控制權限進行設置，如下圖所示。（2）在界面中刪除“everyone”用戶組，加入我們新建的“實驗”用戶組，并將“實驗”用戶組的權限設置為“只讀”。（3）以用戶try 身份登錄，驗證上述設置。7. 學會用事件查看器查看三種日志。（1）以管理員身份登錄系統(tǒng)，打開“控制面板”“管理工具”“事件查看器”，從中我們可以看到系統(tǒng)記錄了三種日志。（2）雙擊“應用程序日志”，就可以看到系統(tǒng)記錄的

17、應用程序日志。（3）在右側的詳細信息窗格中雙擊某一條信息，就可以看到該信息所記錄事件的詳細信息，用同樣方法查看安全日志和系統(tǒng)日志。四實驗心得 通過這次實驗我熟悉了Windows NT/XP/2000系統(tǒng)的安全配置，理解可信計算機評價準則。雖然實驗內容相對而言比較簡單，但是在實際操作過程中仍然遇到了一些問題。在實驗中，我產生了極大的學習熱情，還會繼續(xù)努力！我知道了在平時生活中要加強安全方面的意識，這樣才能做到最大限度的安全保障。實驗三、網絡掃描與偵聽一、實驗目的1. 理解網絡監(jiān)聽（嗅探）的工作機制和作用。2. 學習常用網絡嗅探工具Sniffer和協(xié)議分析工具Wireshark的使用。3. 理解掃

18、描器的工作機制和作用。4. 掌握利用掃描器進行主動探測、收集目標信息的方法。5. 掌握使用漏洞掃描器檢測遠程或本地主機安全性漏洞。二、實驗內容1. 使用Sniffer進行網絡監(jiān)聽，嗅探及數據包抓取。a) 使用Sniffer對本地主機進行嗅探，抓取數據包。b) 瀏覽網站時，抓取數據包，并觀察TCP連接的建立與結束過程。c) 登錄QQ時，抓取數據包。d) 保存生成的數據文件。2. 使用wireshark進行網絡協(xié)議分析。a) 使用wireshark進行數據包捕獲，分析獲得的數據，并觀察三次握手過程。b) 獲取ARP、HTTP、FTP、DNS、ICMP協(xié)議包，并進行分析。c) 保存生成的文件。3.

19、使用兩種掃描軟件進行掃描，包括NMAP、SuperScan、XScan等。對掃描的結果進行 統(tǒng)計分析，并提出掃描系統(tǒng)的改進方案。a) 使用掃描軟件對遠程主機進行端口掃描，探測主機信息。b) 對同一網段內的所有主機進行漏洞掃描。c) 保存生成的HTML文件。4. 比較兩種掃描器的功能、特點和效果。3、 實驗結果1. 熟悉并使用網絡掃描軟件 查找主機： 2.熟悉并使用網絡偵聽(嗅探)軟件 3. 觀察并記錄掃描/偵聽過程及結果 四、思考題1. 根據實驗總結針對網絡監(jiān)聽的防范措施。 a.對傳輸信號進行加密 b.安裝木馬程序進行監(jiān)聽，定期查殺2. 分析網絡嗅探器在網絡管理和網絡安全方面的作用 網絡嗅探器

20、的功能主要是：通過捕獲和分析網絡上傳輸的數據來監(jiān)視網絡數據運行。利用它能夠隨時掌握網絡的實際狀況，查找網絡漏洞和檢測網絡性能；當網絡性能急劇下降的時候，可以通過嗅探器分析網絡流量，找出網絡阻塞的來源。嗅探技術是一種重要的網絡安全攻防技術，網絡嗅探器是構成入侵檢測系統(tǒng)和網絡管理工具的基石。3. 分析網絡掃描器在網絡管理和網絡安全方面的作用 掃描器是一種自動檢測遠程或本地主機安全性弱點的程序，通過使用掃描器你可一不留痕跡的發(fā)現遠程服務器的各種TCP端口的分配及提供的服務和它們的軟件版本。這就能讓我們間接的或直觀的了解到遠程主機所存在的安全問題。 五、實驗心得 在這次實驗中，我理解了網絡監(jiān)聽（嗅探）

21、的工作機制和作用，學習了常用網絡嗅探工具Sniffer和協(xié)議分析工具Wireshark的使用。在實驗中，我了解到掃描網絡可以知道人的一舉一動，我們要提高自己的安全意識，在以后的學習中更加注意加強安全意識。 實驗四、安全電子郵件PGP 應用一、實驗目的1. 熟悉并掌握PGP 軟件的使用2. 進一步理解加密與數字簽名的過程和作用二、實驗內容1 在理解PGP 原理和實現背景的前提下，掌握安全電子郵件PGP 軟件的安裝和配置方法。發(fā)送和接收安全電子郵件，通過實際操作，熟悉和掌握對郵件的加密和認證。2 分析SSL 的會話建立及數據交換過程，進一步理解SSL 的兩層結構和四種協(xié)議。3 使用及分析SSH 登

22、錄、文件傳輸過程。三、實驗內容要求1. 傳統(tǒng)加密任意選擇一個文件，用傳統(tǒng)加密方式對它進行加密和解密。2. 生成自己的密鑰對要求用戶ID 中必須包含自己的學號。3. 加密文件任意選擇一個文件，用混合加密方式對它進行加密和解密。觀察各種選項的作用。4. 數字簽名任意選擇一個文件，對它進行簽名，然后驗證。對文件略作修改后，看是否仍能通過驗證。5. 交換并驗證公鑰通過電子郵件（或其它方式）和其他同學交換公鑰，并驗證公鑰的有效性。然后，可以相互發(fā)送加密電子郵件。6. 分割秘鑰要求幾個人合作，分割一個秘鑰，每個人保管一份。然后，當需要解密文件或驗證簽名時，通過網絡恢復出秘鑰。7. 考核向學生A發(fā)送一封電子

23、郵件，談談你對本實驗的看法和建議。要求用學生A的公鑰加密，并用你的秘鑰簽名。在電子郵件的附件中包含你的公鑰證書。8. 觀察并記錄實驗過程及結果，給出實驗結論四、實驗步驟安全電子郵件PGP 應用與分析1 安裝PGP8.0.3，選擇合適的用戶類型和支持組件。2 生成私鑰（分別輸入用戶名，電子郵件地址和密碼），之后PGP 會自動生成公鑰。對密鑰進行設置：把自己的公鑰傳到公鑰服務器上。 3 在“General（常規(guī)）”選項卡：選中“Faster key generation（快速生成密鑰）”4 . 在“Single Sign-On（一次登錄）”下，可以按照自己的實際情況選擇PGP 緩存密碼的時限。5“File（文件）”選項卡下顯示了公鑰和私鑰的保存位置，建議通過點擊“Browse（覽）按鈕把公鑰和私鑰的默認保存位置轉移到非系統(tǒng)盤的其它硬盤分區(qū)中。6在“Email（電子郵件）”選項卡