《计算机安全实验》PPT课件.ppt

第12章 计算机安全实验,计算机安全实验,教学目标,计算机安全实验是计算机专业的重要实践性教学环节。本实验课程的目的就是帮助学生对计算机安全建立比较具体的概念，在实际动手操作中学习一些安全工具的使用，了解常见的安全系统以及应用比较广泛的一些安全协议。提高学生的工程设计和系统分析能力，为毕业设计和以后的工程实践打下良好的基础。,第12章 计算机安全实验,计算机安全实验,12.1 权限设置及物理安全,实验目的 ：,学习掌握windows xp的权限设置，并进一步认识物理安全的重要性。,实验内容：,1.在Windows Xp中设置用户权限 当多人共用一台计算机时，在Windows XP中设置用户权限，可以按照以下步骤进行： （1）运行组策略编辑器程序（gpedit.msc）。 （2）在编辑器窗口的左侧窗格中逐级展开“计算机配置”“Windows设置”“安全设置”“本地策略”“用户权限指派”分支。 （3）双击需要改变的用户权限。单击“增加”，然后双击想指派给权限的用户帐号。,如图所示,第12章 计算机安全实验,计算机安全实验,12.1 权限设置及物理安全 （续）,实验内容：,2. 禁止访问“控制面板” 如果您不希望其他用户访问计算机的“控制面板”， 可以按照以下步骤进行： （1）运行组策略编辑器（gpedit.msc）。 （2）在左侧窗格中逐极展开“本地计算机策略”“用户配置”“管理模板”“控制面板”分支。 （3）然后将右侧窗格的“禁止访问控制面板”策略启用即可。,如图所示,第12章 计算机安全实验,计算机安全实验,12.2 PGP 的原理与使用实验,实验目的 ：,1熟悉公开密钥密码体制，了解证书的基本原理，熟悉数字签名。 2熟练使用PGP密钥对加密、解密信息。,实验内容 ：,1.使用PGP创建密钥对 （1）打开开始菜单程序PGPPGPkeys，妄动 PGPkeys。 （2）在 Key Generation Winzrad提示向导下，点击 Next，开始创建密钥对。,第12章 计算机安全实验,计算机安全实验,12.2 PGP 的原理与使用实验（续）,实验内容：,（3）输入全名和邮件地址()，x为座位号。 （4）选择缺省设置 Diffle-Hellman/DSS加密，单击 Next。 （5）加密长度保持缺省设置为 2048位。 （6）接受密钥对永不过期的缺省设置，单击 Next。 （7）在要求输入 passphrase的对话框中，两次输入 passphrase并再次确认；这里的 passphrase我们可以理解是保护自己私钥的密码。,第12章 计算机安全实验,计算机安全实验,12.2 PGP 的原理与使用实验（续）,实验内容：,（3）输入全名和邮件地址()，x为座位号。 （4）选择缺省设置 Diffle-Hellman/DSS加密，单击 Next。 （5）加密长度保持缺省设置为 2048位。 （6）接受密钥对永不过期的缺省设置，单击 Next。 （7）在要求输入 passphrase的对话框中，两次输入 passphrase并再次确认；这里的 passphrase我们可以理解是保护自己私钥的密码。,第12章 计算机安全实验,计算机安全实验,12.2 PGP 的原理与使用实验（续）,实验内容：,（3）输入全名和邮件地址()，x为座位号。 （4）选择缺省设置 Diffle-Hellman/DSS加密，单击 Next。 （5）加密长度保持缺省设置为 2048位。 （6）接受密钥对永不过期的缺省设置，单击 Next。 （7）在要求输入 passphrase的对话框中，两次输入 passphrase并再次确认；这里的 passphrase我们可以理解是保护自己私钥的密码。,第12章 计算机安全实验,计算机安全实验,12.2 PGP 的原理与使用实验（续）,实验内容：,2. 使用PGP密钥对加密、解密信息 （1）打开Outlook Express，撰写一份给合作伙伴的邮件，内容为hello world！ （2）在发送之前，选中邮件所有内容，右键单击任务栏中的PGP encryption图标 （3）选取Current WindowEncrypt，对邮件进行加密，结果如图：,如果这种方法出错，可以先把要加密的信息进行复制或剪切,然后右键点PGP encryption图标，从弹出的菜单中选中encrypt from clipboard，这样信息会在内存中加密，然后我们再回到输写正文的窗口中，点击鼠标右键，选粘贴。,第12章 计算机安全实验,计算机安全实验,12.2 PGP 的原理与使用实验（续）,实验内容：,（4）在提示输入密码时，输入你自己的私钥的passphrase （5）收到邮件双击打开后，单击Decrypt PGP Message图标，解密邮件文章地址：,第12章 计算机安全实验,计算机安全实验,12.3利用Internet选项和Windows防火墙阻隔攻击,实验目的：,学习使用Internet选项和Windows XP自带的防火墙保护机器的安全。,实验环境：,工作组环境的Windows XP；管理员账户和密码；Internet连接,第12章 计算机安全实验,计算机安全实验,12.3 windows xp防火墙配置实验（续）,实验步骤：,（1） 用管理员登录计算机 （2） 右键单击桌面上的IE图标（如桌面上无IE图标，请打开IE，然后选择工具Internet选项），选择Internet选项 （3） 选择“安全”标签，再选择“Internet区域”，点击“自定义级别”按钮 （4） 禁用文件下载 （5） 选择“高级”标签，禁止播放网页中的动画 （6） 访问某个网站测试以上的设置,第12章 计算机安全实验,计算机安全实验,12.3 windows xp防火墙配置实验（续）,实验步骤：,（7）打开控制面板安全中心Windows防火墙 （8） 浏览“例外”中的程序 （9） 选择“高级”标签，点击“ICMP”栏目中的“设置”按钮 （10）去掉“允许传入回显请求”前的勾，确定后，尝试ping另外一台机器的IP （11） 打上“允许传入回显请求”前的勾，确定后，再尝试ping另一台机器,第12章 计算机安全实验,计算机安全实验,12.4使用sniffer捕获加密包和非加密包,实验目的：,（1）掌握Sniffer工具的安装与使用方法。 （2）理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构。 （3）掌握ICMP协议的类型和代码 （4）理解网络中数据留流的封包格式与输出字段。 （5）掌握碎片的原理和重组过程。 （6）充分理解采用加密和不加密和技术数据的传播状态。,第12章 计算机安全实验,计算机安全实验,12.4使用sniffer捕获加密包和非加密包（续）,实验内容：,（1）关闭PGPnet的IPSec功能：打开PGPnet主机配置客户，断开所有用户；单击Hosts 页，单击Disconnect按钮；在断开所有主机时，应该选择Off选项 （2）单击开始程序SnifferSniffer Pro （3）在Settings对话框中，选择自己主机的NIC，然后单击OK,第12章 计算机安全实验,计算机安全实验,12.4使用sniffer捕获加密包和非加密包（续）,实验内容：,（4）打开Capture菜单，选择Define Filter，然后选择Address页,第12章 计算机安全实验,计算机安全实验,12.4使用sniffer捕获加密包和非加密包（续）,实验内容：,（5）单击Profiles.按钮，创建新配置文件 （6）在Capture Profiles对话框中，单击New,第12章 计算机安全实验,计算机安全实验,12.4使用sniffer捕获加密包和非加密包（续）,实验内容：,（7）输入sx(x为座位号)作为新配置文件名，单击OK,第12章 计算机安全实验,计算机安全实验,12.4使用sniffer捕获加密包和非加密包（续）,实验内容：,（8）选择sx文件，然后单击Done按钮 （9）单击Station l字段，输入本机的IP地址：单击Station 2字段，输入合作伙伴的IP地址,第12章 计算机安全实验,计算机安全实验,12.4使用sniffer捕获加密包和非加密包（续）,实验内容：,（10）将Address Type字段的值由Hardware改为IP，然后单击OK按钮返回主屏幕 （11）单击Start按钮(左起第1个)，开始捕捉数据包,（12）合作伙伴之间互相建立FTP连接 （13）捕获到数据包后，单击工具栏上的end and view按钮(左起第4个) （14）仔细查看捕获的数据包，应该可以看到用户名与密码 （15）激活PGPnet，重复以上各步 （16）仔细查看捕获的数据包，由于数据包被加密，所以应该看不到用户名与密码 （17）卸载PGPnet，为后续实验做准备,第12章 计算机安全实验,计算机安全实验,12.5 端口扫描实验,实验目的：,（1）了解常用的TCP、UDP端口扫描的原理及其各种手段 （2）增强网络安全意识,实验环境： 该实验采用网络结构图为：,说明：IP地址分配规则为主机使用原有IP，保证所有主机在同一网段内。,第12章 计算机安全实验,计算机安全实验,12.5 端口扫描实验 （续）,实验内容：,1.TCP Connect扫描 （1）在主机B上启动协议分析器进行数据捕获,并设置过滤条件(提取TCP协议)。 （2） 在主机A上使用TCP连接工具，扫描主机B的某一端口： a. 主机A上填入主机B的IP、主机B的某一开放端口号，点击“连接”按钮进行连接。 b. 观察提示信息，是否连接上。 c. 主机A点击“断开”按钮断开连接。 d. 主机A使用主机B的某一未开放的端口重复以上试验步骤。 （3） 察看主机B捕获的数据，分析连接成功与失败的数据包差别。 结合捕获数据的差别，说明TCP Connet扫描的实现原理。,第12章 计算机安全实验,计算机安全实验,12.5 端口扫描实验 （续）,实验内容：,2.TCP SYN扫描 （1）在主机A上使用端口扫描来获取主机B的TCP活动端口列表（扫描端口范围设置为065535）。 （2） 在主机B上启动协议分析器进行数据捕获,并设置过滤条件(提取TCP协议)。 （3） 主机A编辑TCP数据包： MAC层： 目的MAC地址：B的MAC地址。 源MAC地址：A的MAC地址。 IP层： 源IP地址：A的IP地址。 目的IP地址：B的IP地址。 TCP层：,第12章 计算机安全实验,计算机安全实验,12.5 端口扫描实验 （续）,实验内容：,2.TCP SYN扫描（续） 源端口：A的未用端口（大于1024）。 目的端口：B的开放的端口（建议不要选择常用端口）。 标志SYN置为1，其他标志置为0。 （4） 发送主机A编辑好的数据包。 （5）修改主机A编辑的数据包(将目的端口置为主机B上未开放的TCP端口)，将其发送。 （6）察看主机B捕获的数据，找到主机A发送的两个数据包对应的应答包。,第12章 计算机安全实验,计算机安全实验,12.5 端口扫描实验 （续）,实验内容：,3.UDP端口扫描 （1）在主机B上使用命令“netstat -a”，显示本机可用的TCP、UDP端口。注意：通过此命令，会得到一个UDP开放端口列表，同学可以在UDP开放端口列表中任选一个来完成此练习。下面以microsoft-ds（445）端口为例，说明练习步骤。 （2） 在主机B上启动协议分析器进行数据捕获并设置过滤条件( 提取主机A的IP和主机B的IP)。 （3） 主机A编辑UDP数据包： MAC层： 目的MAC地址：B的MAC地址。 源MAC地址：A的MAC地址。,第12章 计算机安全实验,计算机安全实验,12.5 端口扫描实验 （续）,实验内容：,3.UDP端口扫描（续） IP层： 源IP地址：A的IP地址。 目的IP地址：B的IP地址。 UDP层： 源端口：A的可用端口。 目的端口：B开放的UDP端口445。 （4）发送主机A编辑好的数据包。 （5）修改主机A编辑的数据包(将目的端口置为主机B上未开放的UDP端口)，将其发送。 （6）察看主机B捕获的数据。 主机A发送的数据包，哪个收到目的端口不可达的ICMP数据报。,第12章 计算机安全实验,计算机安全实验,12.6 入侵检测原理与Snort 的使用实验,实验目的：,通过学习入侵检测的基本原理，并且通过一个具体的入侵检测系统实例snort 的使用加深对入侵检测理论和入侵检测系统的理解。,实验环境：,两台安装Windows 2000/XP的PC机，在其中一台上安装snort软件。将两台PC机通过Hub相连，组成一个局域网。,第12章 计算机安全实验,计算机安全实验,实验内容：,（1） snort 的配置 （2）利用snort 发现入侵企图 （3）自己设计snort 规则发现入侵企图,第12章 计算机安全实验,计算机安全实验,12.7 剖析特洛伊木马,实验目的：,