实验大纲一网络安全及应用.docx
- 文档编号:28653380
- 上传时间:2023-07-19
- 格式:DOCX
- 页数:24
- 大小:613.75KB
实验大纲一网络安全及应用.docx
《实验大纲一网络安全及应用.docx》由会员分享,可在线阅读,更多相关《实验大纲一网络安全及应用.docx(24页珍藏版)》请在冰豆网上搜索。
实验大纲一网络安全及应用
信息安全基础实验大纲
实验一网络安全及应用
一.常用系统和网络命令
1.1.1实验目的
(1)熟练掌握常用系统命令的功能及其使用方法;
(2)学会使用基本网络命令获取网络信息,测试网络状况。
1.1.2实验基础
(1)查看注册表
在运行对话框中输入“regedit”,可对系统注册表进行查看、编辑。
注册表根目录下有五个根键,分别是:
HKEY_CLASSES_ROOT(定义了系统中所有的文件类型标识和基本操作标识)、HKEY_CURRENT_USER(包含当前用户的配置文件,包括环境变量、桌面设置、网络连接、打印机和程序首选项等信息)、HKEY_LOCAL_MACHINE(包含与本地计算机系统有关的信息,包括硬件和操作系统数据,如总线类型、系统内存、设备驱动程序和启动控制数据信息等)、HKEY_USERS(定义了所有用户的信息,这些信息包括动态加载的用户配置文件和默认的配置文件)和HKEY_CURRENT_CONFIG(包含计算机在启动时由本地计算机系统使用的硬件配置文件的相关信息。
该信息用于配置某些设置,如要加载的应用程序和显示时要使用的背景颜色等)。
(2)查看系统信息
在运行对话框中输入“winmsd”,查看系统信息。
(3)查看计算机管理
在运行对话框中输入“compmgmt.msc”,查看计算机管理。
(4)查看本地用户和组
在运行对话框中输入“lusrmgr.msc”,查看用户和组策略。
(5)查看服务
a.在运行对话框中输入“services.msc”,查看计算机支持的服务;
b.在Winnt(Windows)\system32\drivers\etc\services文件是端口和服务的对照表,用记事本打开,查看该文件。
(6)ping命令
用来测试网络连接状态以及信息包发送、接收状态。
网络上的机器都有唯一确定的IP地址,按照目标IP地址给对方发送一个数据包,对方要返回一个同样大小的数据包。
根据返回值可以确定目标主机是否存在以及目标主机得操作系统类型。
按照缺省设置,Windows上运行的Ping命令发送4个ICMP(网间控制报文协议)回送请求,每个32字节数据,如果一切正常,你应能得到4个回送应答。
在运行窗口输入“cmd”,打开DOS命令行窗口;在DOS窗口中键入:
ping/?
回车,即可看到ping的所有参数,这里,只需要掌握几种常用的参数即可。
格式:
ping[-t][-a][-ncount][-lsize][-f][-iTTL][-vTOS]
[-rcount][-scount][[-jhost-list][-khost-list]
[-wtimeout]destination-list
-t表示将不间断向目标IP发送数据包,直到被用户以Ctrl+C中断。
主要用于网络调试,可以判断网络是否畅通。
DDos攻击就是利用大量机器对目标主机发送ping连接实施的。
-l定义发送数据包的大小,默认为32字节,我们利用它可以最大定义到65500字节。
结合上面介绍的-t参数一起使用,可以实现一个有威胁的攻击。
-n定义向目标IP发送数据包的个数,默认为4次。
提示:
a.ping可用来初步判断目标主机操作系统类型。
TTL=32表示目标主机操作系统可能是win95/98;TTL=128,表示操作系统可能是WinNT/2000/XP;TTL=64/255,则目标主机可能是Linux/Unix。
b.ping可以将域名(计算机名)转化为IP地址,ping域名地址可以得到目标主机的IP地址。
(7)IPConfig命令
检验人工配置的TCP/IP设置是否正确。
最常用的参数选项:
(同样可以在命令行下输入ipconfig/?
得到全部参数列表)
IPConfig当使用IPConfig时不带任何参数选项,那么它显示IP地址、子网掩码和缺省网关值。
IPConfig/all当使用all选项时,IPConfig能为DNS和WINS服务器显示它已配置且所要使用的附加信息(如IP地址等),并且显示内置于本地网卡中的物理地址(MAC)。
如果IP地址是从DHCP(动态主机配置协议,DynamicHostConfigurationProtocol)服务器租用的,IPConfig将显示DHCP服务器的IP地址和租用地址预计失效的日期。
(8)Netstat命令
这是一个查看网络状态的命令,操作简单功能强大。
Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据,一般用于检验本机各端口的网络连接情况。
命令格式:
NETSTAT[-a][-e][-n][-s][-pproto][-r][interval]
Netstat的常用参数(请输入netstat/?
得到详细的命令参数说明)
-a显示一个所有的有效连接信息列表,包括已建立的连接(ESTABLISHED),也包括监听连接请求(LISTENING)的那些连接。
查看本地机器的所有开放端口,能有效发现和预防木马,可以知道机器所开的服务等信息。
-n显示所有已建立的有效连接。
-r列出当前的路由信息,告诉我们本地机器的网关、子网掩码等信息。
用法:
netstat-rIP。
除了显示有效路由外,还显示当前有效的连接。
-s本选项能够按照各个协议分别显示其统计数据。
如果你的应用程序(如Web浏览器)运行速度比较慢,或者不能显示Web页之类的数据,那么你就可以用本选项来查看一下所显示的信息。
你需要仔细查看统计数据的各行,找到出错的关键字,进而确定问题所在。
-e本选项用于显示关于以太网的统计数据。
它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。
这些统计数据既有发送的数据报数量,也有接收的数据报数量。
这个选项可以用来统计一些基本的网络流量。
(9)net命令
是网络命令中最重要的一个,它管理网络环境、网络服务、系统用户、登录等信息。
首先让我们来看一看它都有那些子命令,键入net/?
回车。
下面是一些主要命令选项的说明:
netview
该命令用于显示域列表、计算机列表或指定计算机的共享资源列表。
NETVIEWIP用于显示一个计算机上共享资源的列表。
当不带IP选项使用本命令时,它就会显示当前域或网络上的计算机上的列表。
任何局域网里的人都可以发出此命令,而且不需要提供用户ID或口令。
netuse
该命令用于连接目标计算机或断开与目标计算机共享资源的连接。
netuse列出已建立的网络连接。
netuse\\IP\IPC$"password"/user:
name。
知道某台计算机的用户名和密码后,建立IPC$连接。
建立了IPC$连接后,就可以上传文件了,如:
copync.exe\\192.168.0.7\admin$,表示把本地目录下的nc.exe传到远程主机。
netuse\\IP\ipc$/del删除某个已经建立好的IPC$连接。
netuse*/del删除全部建立的连接。
netstart
使用它来启动远程主机上的服务。
当你和远程主机建立连接后,如果发现它的什么服务没有启动,就可以使用这个命令来启动。
用法:
netstartservicename。
netstop
用法和netstart同,作用是关闭远程主机的某服务。
netuser
该命令用于显示用户帐号信息以及添加、删除帐号,更改帐号信息。
键入不带参数的netuser,可以查看所有用户,包括已经禁用的。
netuserabcd1234/add,新建一个用户名为abcd,密码为1234的帐户,默认为user组成员。
netuserabcd/del,将用户名为abcd的用户删除。
netuserabcd/active:
no,将用户名为abcd的用户禁用。
netuserabcd/active:
yes,激活用户名为abcd的用户。
netuserabcd,查看用户名为abcd的用户的情况。
netlocalgroup
查看所有和用户组有关的信息和进行相关操作。
键入不带参数的netlocalgroup即列出当前所有的用户组。
可以用它来把某个帐户提升为administrator组帐户。
用法:
netlocalgroupgroupnameusername/add。
现在我们把刚才新建的用户abcd加到administrator组里去了,这时候abcd用户已经是超级管理员了,可以再使用netuserabcd来查看他的状态。
也可以利用netlocalgroupadministratorsabcd/del,从管理员组中删除abcd这个用户。
nettime
这个命令可以查看远程主机当前的时间。
用法:
nettime\\IP。
netconfig
netconfigserver/hidden:
yes在网上邻居中隐藏自己
netconfigserver/hidden:
no则为开启
1.1.3实验内容
(1)学习并理解各种系统和网络命令的功能和使用方法;
(2)实践各种命令,分析并读懂命令运行后的各种结果;
(3)在网上搜集2个1.1.2中没有提到的常用网络命令,列出功能和运行参数,并进行命令运行和结果分析;
(4)出于安全考虑,列出可以关闭的系统服务和端口。
1.1.4实验报告建议
(1)命令(6)~(9)和网上搜集的2个命令的使用过程记录和运行结果分析;
(2)请分析:
实验内容(4)中服务和端口在什么情况下可以关闭,如何关闭服务和端口。
二.口令破解工具
2.1.1实验目的
(1)学会使用口令破解工具;
(2)通过口令破解工具的使用,了解帐号口令的安全性,掌握安全口令的设置原则。
2.1.2实验基础
设置口令是用户保护个人隐私的最常用方法之一,所以获取口令也是黑客最感兴趣的事情。
入侵者一般会采用下面几种方法获取用户的口令:
弱口令扫描、Sniffer密码嗅探、暴力破解、木马程序及社会工程学(欺诈手段)等。
本实验主要针对暴力密码破解进行介绍。
暴力密码破解主要有三种方法:
穷举法、字典法和组合法。
穷举法是将字符或数字按照穷举的规则生成口令字符串,进行遍历尝试。
穷举法效率低,但理论上可破译任何口令。
字典法是用口令字典中事先定义的常用字符去尝试匹配口令。
口令字典是一个很大的文本文件,可通过自己编辑或由字典工具生成,里面包含了单词或数字的组合。
字典法速度较快,但如果口令超出了字典的范围,则无法破解。
组合法是结合了穷举法和字典法,将字典中单词的尾部串接几个字母和数字进行破解,比较符合很多人设置口令的习惯。
下面的实验中,主要通过介绍L0phtCrack5(LC5)的使用,了解口令破解和口令的安全性。
2.1.3实验内容
LC5是L0phtCrack5组织开发的Windows平台口令审核程序,它提供了审核Windows用户帐号的功能,以提高系统的安全性。
LC5也被非法入侵者用来破解Windows用户口令,给网络安全造成很大的威胁。
所以,了解LC5的使用方法,可以避免使用不安全的口令,从而提高用户本身系统的安全性。
在本机上安装LC5应用程序。
建立用户名test,密码陆续设置为空、123123、security、security123。
启动LC5,打开文件菜单,选择LC5向导,如图1-1所示。
接着会弹出LC向导界面,单击Next,弹出如图1-2的对话框。
如果破解本机的口令,并且具有管理员权限,那么选择从本地机器导入;如果已经侵入远程的一台主机,并且具有管理员权限,那么可以选择从远程电脑导入(这种方法对使用syskey保护的计算机无效)。
本实验破解本机的口令,所以选择“从本地机器导入”,然后单击Next,弹出如图1-3的对话框。
(1)由于设置的是空口令,选择“快速口令破解”即可以破解口令,一直选择Next直到Finish,即可看到破解结果。
(2)把test口令改为“123123”,选择“快速口令破解”,也可以破解。
图1-1导入LC5向导
图1-2选择导入加密口令的方法
图1-3选择破解方法
(3)把test口令改为“security”,选择“普通口令破解”,分析破解结果。
(4)把test口令改为“security123”,选择“普通口令破解”,分析破解结果;再把破解方法改为“复杂口令破解”,分析破解结果。
还可以自定义更复杂的口令破解模式,设置界面如图1-4所示。
尝试用自定义方式对自行设定的较为复杂的口令进行破解,并分析结果。
另外,在破解结果窗口中,可以看到分析报告,是关于口令安全属性和口令破解方法的总结,请分析。
(5)在网上搜索1到2个其他的口令破解工具,进行实验。
2.1.4实验报告建议
(1)根据实验内容进行口令破译的实践;
(2)阅读LC5帮助文件,解释LC5破解系统口令SAM文件的原理;分析LC5为什么不能对使用了syskey的远程计算机进行口令破解;
(3)制定你认为比较安全的口令设置规则,根据该规则设置口令,并用LC5进行破译以验证其安全强度。
(4)将你自己搜索到的口令破解工具与LC5进行比较。
图1-4自定义破解
三.数据恢复工具
3.1.1实验目的
(1)了解数据删除和恢复的基本原理;
(2)学会使用数据恢复软件FinalData来恢复数据。
3.1.2实验基础
存储在硬盘中的每个文件都可分为两部分:
文件头和存储数据的数据区。
文件头用来记录文件名、文件属性、占用簇号等信息,文件头保存在一个簇中并映射到FAT表(文件分配表),而真实的数据则是保存在数据区当中的。
平常所做的删除,其实是修改文件头的前2个代码改为E5,这种修改映射在FAT表中,就为文件作了删除标记,并将文件所占簇号在FAT表中的登记项清零,表示释放空间,这也就是删除后,硬盘空间增大的原因。
而真正的文件内容仍保存在数据区中,并未得以删除。
要等到新的数据写入,把此数据区覆盖掉,这样才算是彻底把原来的数据删除。
如果不被后来保存的数据覆盖,它就不会从磁盘上抹掉。
所以,在要恢复的文件所占用的簇链不被其他文件覆盖以及该文件在FAT表中对应的关键表项(如开始簇号)没有被破坏的情况下,数据都是可以被恢复的。
最简单的数据恢复方法就是用数据恢复软件来恢复数据,它恢复硬盘数据的功能十分强大,不仅能恢复从回收站清除的文件,而且还能恢复被格式化的FAT16、FAT32或NTFS分区中的文件(对磁盘低格时除外)。
常见的数据恢复软件有EasyRecovery,FinalData等,下面我们以FinalData为例,介绍数据恢复软件。
3.1.3实验内容
FinalData具有强大的数据恢复功能当文件被误删除(并从回收站中清除)、FAT表或者磁盘根区被病毒侵蚀造成文件信息全部丢失、物理故障造成FAT表或者磁盘根区不可读,以及磁盘格式化造成的全部文件信息丢失之后,FinalData都能够通过直接扫描目标磁盘抽取并恢复出文件信息(包括文件名、文件类型、原始位置、创建日期、删除日期等),用户可以根据这些信息方便地查找和恢复自己需要的文件;甚至在数据文件已经被部分覆盖以后,FinalData也可以将剩余部分文件恢复出来。
用户既可以快速查找指定的一个或者多个文件,也可以一次完成整个目录及子目录下的全部文件的恢复(保持目录结构不变)。
图1-5选择要恢复数据所在的盘符
运行软件后选择你要恢复的数据文件所在的“逻辑驱动器”;如果你是恢复整个硬盘的数据,可以直接选择恢复“物理驱动器”,如图1-5所示。
在确定了目标任务后,FinalData会自动的搜索和分析哪些是正常的目录和文件,哪些是已被删除的文件,如图1-6所示。
图1-6扫描出的已被删除文件
FinalData在完成所有的检查后会将目标任务驱动器的所有文件分类后以表格形式详细列出来,包括正常的目录、已删除的目录和删除的文件等大类。
在表格右边的详细列表中列明了所有的文件资料,包括文件的名称、大小、目前状态(是否破损)和创建时间,最关键是文件所在的物理簇位置。
在左侧的文件夹列表中单击“已删除文件”,可以看到在右侧窗口中显示出该分区中所有删除的文件,在此可以查找需要恢复的文件。
如果你想查找被删除的文件夹,可以进人到“已删除目录”查找。
如果找不到要恢复的文件的位置或者在“删除的文件”中有太多文件以至于很难找到需要恢复的文件,可以使用“查找”功能。
从菜单中选择“文件”--“查找’,命令,弹出“查找”对话框。
Fina1Data提供的查找方式有三种,即按文件名查找、按簇查找、按日期查找。
按文件名查找时,在提示框中输人所找的文件的关键字或者通配符(如“?
”、“*”)。
单击右面的“查找”按钮,Fina1Data将在当前分区查找存在的或者已删除的目标文件。
如果知道丢失文件所在的“簇”.那么可以按“簇”快速进行查找。
切换到“簇”标签项中,在“范围”项中输人文件所在的“簇”范围,单击“查找”即可。
使用按照“日期”查找功能,可搜索指定时间段内删除的文件。
选择日期时单击“不检测日期”下拉菜单,程序提供了创建日期、修改日期、访问日期三种方式,在此可以根据需要进行选择。
随后在“时期”和“到”时间列表中输人查找的时间段,单击“查找”按钮。
在右面的目录内容窗口找到需要恢复的文件,单击右键,选择“恢复”,出现“选择要保存的文件夹”对话框。
在“FAT”下拉列表中选择分区格式,“文件夹”里指定希望恢复文件的保存路径,随后单击“保存”按纽,删除的文件即可被保存到指定文件夹中。
这时我们就可以打开“我的电脑”确认数据是否恢复成功了。
图1-7数据恢复至其他磁盘分区
FinalData恢复已被删除文件不能移至原目标驱动盘,这一点请注意。
提示:
当保存文件时,最好不要把数据保存到根目录。
因为当重要数据从根目录被意外删除后,其他数据的访问将大大减少这些重要数据被恢复的可能性。
3.1.4实验报告建议
(1)删除U盘上一个文件,利用FinalData进行恢复;
(2)删除U盘上一个文件,再用一个较大的文件试图将U盘空间占满,试图利用FinalData进行恢复,如果恢复失败,分析原因;
(3)分析为什么FinalData恢复已被删除文件不能移至原目标驱动盘;
(4)在安装时会提示:
安装FinalData的目标盘符中如果想恢复删除的数据可能导致失败,请分析原因。
四.PKI应用
4.1.1实验目的
(1)了解PKI、CA、数字证书的基本理论;
(2)了解X.509证书格式和CA的功能;
(3)使用MiniCA软件制作、管理及使用证书。
4.1.2实验基础
PKI(PublicKeyInfrastructure,即公钥基础设施)是一个用非对称密码算法原理和技术实现的、具有通用性的安全基础设施。
PKI利用数字证书标识密钥持有人的身份,通过对密钥的规范化管理,为组织机构建立和维护一个可信赖的系统环境,透明地为应用系统提供身份认证、数据保密性和完整性、抗抵赖等各种必要的安全保障,满足各种应用系统的安全需求。
简单的说,PKI是提供公钥加密和数字签名服务的系统,目的是为了自动管理密钥和证书,保证网上数字信息传输的机密性、真实性、完整性和不可否认性。
完整的PKI系统必须具有权威认证机构CA(CertificateAuthority)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分。
认证机构(CA):
即数字证书的申请及签发机关,CA必须具备权威性的特征;
数字证书库:
用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥;
密钥备份及恢复系统:
如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。
为避免这种情况,PKI提供备份与恢复密钥的机制。
但须注意,密钥的备份与恢复必须由可信的机构来完成。
并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份;
证书作废系统:
证书作废处理系统是PKI的一个必备的组件。
与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。
为实现这一点,PKI必须提供作废证书的一系列机制;
应用接口(API):
PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。
CA是证书的签发机构,是PKI的核心。
作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。
CA机构的数字签名使得攻击者不能伪造和篡改证书。
它负责产生、分配并管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。
数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明,在电子交易的各个环节,交易的各方都需验证对方证书的有效性,从而解决相互间的信任问题。
证书是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
从证书的用途来看,数字证书可分为签名证书和加密证书。
签名证书主要用于对用户信息进行签名,以保证信息的不可否认性;加密证书主要用于对用户传送信息进行加密,以保证信息的真实性和完整性。
简单的说,数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。
身份验证机构的数字签名可以确保证书信息的真实性。
证书格式及证书内容遵循X.509标准。
一个标准的X.509数字证书包含以下一些内容:
版本(version):
区分X.509的不同版本;
序列码(serialnumber):
CA识别证书的唯一证书序列号;
签名算法(algorithmparameters):
CA签署证书所用的公开密钥算法;
发行机构名称(issuername):
签署证书的CA名称;
主体名称(subjectname):
密钥和证书的拥有者名称;
公钥信息(algorithmparameterskey):
包括主体的公钥、公钥的使用算法及参数;
证书有效期(notbeforenotafter):
开始时间和终止时间;
数字签名(algorithmparametersencryption):
CA用自己的签名私钥对上述内容进行数字签名的结果,还包括签名算法的标识符。
4.1.3实验内容
我们以MiniCA软件为例,了解证书的格式、制作和管理,CA的功能,以加深我们对PKI体系的理解。
双击“MiniCA.exe”,会弹出安全性警告窗口,如图1-8所示,提示你安装由MiniCA制作者颁发的这个模拟CA的根证书,这里我们选择点击“是”(你也可以选择“否”,但这时需要你进入主页面后自己制作根证书,否则所有此后生成的用户证书都处于没有被MiniCA的信任根签名的状态),进入MiniCA的操作主页面。
图1-8首次运行MiniCA,安装根证书
我们先查看一下刚才由MiniCA自动生成的根证书的状态。
打开IE浏览器,在菜单中选择“工具”-“Internet选项”-“内容”-“证书”,在“受信任的根证书颁发机构”中,我们可以看到MiniCA自颁发的证书,点击“查
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实验 大纲 网络安全 应用