网络信息安全实验大纲

网络信息安全实验的概要一、课程名称和概要2二、实验内容及学时分配2三、主要仪器设备24四、实验教育方式24五、实验评价方法24六、实验课程和学时分配表25七、推荐实验教材和教育参考书2525一、课程名称和介绍网络和信息安全实验涉及计算机网络实验和信息安全实验两个部分，共计36小时。 通过本课程的学习和实践，学生将实际掌握和理解网络信息安全领域各知识点的精髓，包括网络基础、网络攻防和系统安全等，全面理解信息安全相关的主要技术和方法，具备网络信息安全的基本能力，具有高质量的信息安全二、实验内容及学时分配(1)、访问控制技术实验(第4会话)实验的目的访问控制是各种网络接入机制的集合，这种机制使管理员可以对网络中的业务、网络中的不同行为等进行控制。 通过网络访问控制实验，实验者可以知道在实际的网络管理中如何进行有效的网络行为和流控制。实验内容基于l访问控制列表的网络访问控制实验l端口限制速度的网络访问控制实验l网络访问行为控制实验基于l端口的网络访问安全控制。除IP标准ACL、IP扩展ACL、基于时间的ACL、MAC扩展ACL外，还包括业界领先的专家ACL、ACL80，学生在该系列实验中学习网络访问控制、交换机端口限制速度、冲击波等蠕虫的控制等拓扑结构图RG-Su战斗机S2328GRSR20-04RG-WALL60S2328GRG-Su战斗机实验顺序本实验的网络拓扑是指，一个部门属于不同网段的三个部门：办公室、人事部、会计部、网络地址分别为/24、/24、/24 其中，这三个部门之间通过路由实现了数据的交换，但为了安全起见，办公室的网络可以相互访问，人事部可以相互访问其他网络，使得会计部的网络不能访问在路由器路由器- a和路由器- b之间配置静态路由协议。1 .路由器路由器- a的基本配置。路由器#配置终端(进入全局配置模式)路由器(config ) #进入全局配置模式路由器(配置) #主机名称路由器- a (将路由器名称更改为“路由器- a”)路由器- a (配置) #接口快速以太网0/0 (进入路由器快速以太网0/0端口配置模式)路由器a (配置if ) # IP地址255.255.252 (路由器fastethernet 0/0端口地址为，子网掩码为255.2路由器a (配置- if ) # no shut down (打开路由器的fastethernet 0/0端口)router-a (配置- if ) # exit (返回全局配置模式)路由器- a (配置) #接口快速以太网0/1 (进入路由器快速以太网0/1端口配置模式)路由器a (配置if ) # IP地址255.255.0 (路由器fastethernet0/1端口地址为，子网掩码为255.255 .路由器a (配置- if ) # no shut down (打开路由器的fastethernet0/1端口)路由器- a (配置- if ) # exit路由器- a (配置) #接口快速以太网0/2路由器- a (配置- if ) # IP地址路由器- a (配置- if ) # no shut down路由器- a (配置- if ) # exit2 .路由器路由器- b的基本配置。路由器#配置终端(进入全局配置模式)路由器(config ) #进入全局配置模式路由器(配置) #主机名称路由器- b (将路由器名称更改为“路由器- b”)路由器- b (配置) #接口快速以太网0/0 (进入路由器快速以太网0/0端口配置模式)路由器- b (配置- if ) # IP地址52路由器- b (配置- if ) # no shut down路由器- b (配置- if ) # exit路由器- b (配置) #接口快速以太网0/1路由器- b (配置- if ) # IP地址路由器- b (配置- if ) # no shut down路由器- b (配置- if ) # exit3 .路由器路由器- a和路由器- b上的静态路由的配置。路由器- a (配置) # IP路由器255.255.0路由器- b (配置) # IP路由器255.255.0路由器- b (配置) # IP路由器255.255.04 .在路由器路由器- b上放置标准访问控制列表。 名字是access-list 10。路由器- b (配置) # access-list 10 deny .0.255 (拒绝从/24网段通过通信)路由器- b (配置) #访问列表10授权.0.0.255 (允许来自/24网段的通信)5 .将访问控制列表ACL应用于路由器Router-B的端口。路由器- b (配置) #接口快速以太网0/1路由器- b (配置- if ) # IP访问组10 out (在快速以太网0/1的出站端口上调用ACL )路由器- b (配置- if ) #结束路由器- b #写入存储器、网络攻击和应对实验(6个会话)实验的目的攻击和防御是目前业界正在讨论的最热烈的安全实验室的内容，通过本实验，学生可以知道如何进行各种流行的网络攻击行为和这些安全事件的防御。实验内容l DHCP攻击和应对实验l MAC地址的攻击和应对实验l ARP欺骗的攻击和应对实验lsyn弗拉德攻击和应对实验l 通过这一系列实验，学生掌握了现在流行的攻击方式原理，如何在网络上防御攻击。拓扑结构图RG-Su战斗机S2328GRSR20-04RG-WALL60S2328GRG-Su战斗机实验顺序PS攻击(1)木马安装在感染的设备上，并在局域网上执行DHCP服务。 在其他设备请求新的IP地址时，服务伪造DHCP分组响应。 如果幸运的话，木马会在真的DHCP服务器之前发行DHCP数据包，并更改其他计算机的网络配置。(2)上述网络吸收器详细地说明了感染了Trojan.Flush.M的设备(地址29 )将如何影响哪个网络。 当已知良好的机器(地址32 )更新IP地址时(例如，在Windows系统上使用ipconfig /release和ipconfig /renew )，会发送DHCP发行包，并发送新的网络配置请求的配置包含访问互联网所需的所有重要信息。 在这些信息中，DNS服务器的地址特别重要。在已知良好的网络中，您可以看到只有合法的DHCP服务器(54 )正在向请求方发送DHCP脱离包。 但是，感染木马的设备先发布了另一个DHCP出价包。来自感染了木马的设备的数据包首先到达DHCP客户机，然后取代实际的DHCP服务器，最终将IP配置信息分配给客户机，如下所示显然，已将受感染设备分配给这个正常的设备32 (正常且不受到威胁)的IP配置，并且当前配置包含流氓DNS服务器地址6和1通过这些DNS服务器的分析，互联网接入只能产生非常差的结果。 结果的大部分与包含Zlob和Mac OS X的DNS“变更”相关联。 DNS服务器更改后，攻击者可以将你的计算机重定向到恶意网站或网络钓鱼网站(例如，输入，你的计算机将重定向到名为“”的主机上2、ARP欺骗和应对在虚拟机2上安装“网络执法”软件，破坏虚拟机1和实际设备之间的正常通信。 实验顺序如下。(1)正确配置各计算机的IP地址。 虚拟机1的nic类型桥接、IP地址20、掩码255.255.0、网关、dns。 虚拟机2的nic类型桥接、IP地址10、掩码255.255.0、网关、dns。 实际装置的IP地址为00，掩码255.255.0，网关，DNS为。(2)在虚拟机2上安装WinPcap。 展开“互联网执法官. rar”文件，双击“WinPcap30.exe”文件开始安装WinPcap。 在虚拟机2上安装网络执法软件。 双击“网络执法机构2.8解密版. exe”文件，开始安装网络执法机构。(三)经营网络执法机构。 第一次运行执法机关，打开对话框，催促选择监视参数。 因为只有一个网络块，请选中最上面的网卡复选框，然后单击“ok (确定)”按钮。 显示选择监视范围对话框，列出指定监视范围内存在网卡的子网的所有可用IP地址后，单击添加/修改，添加范围后单击确定按钮。(4)攻击前测试。 在虚拟机1上，打开DOS窗口，输入ping 00t，然后继续输入ping的实际计算机的IP地址，ping就会打开。 请不要关闭窗口。(5)开始攻击。 网络执法软件可以监视同一子网上的所有在线主机，在网络执法管理界面中，右键单击实际设备，然后从快捷菜单中选择“手动管理”。 如果选择第三个选项“禁止与所有其他主机的连接”，然后单击“开始”，虚拟机1和实际设备之间的ping测试将显示“请求超时”，从而显示通信中断。 在实际环境中，如果只选择“禁止与关键主机的连接”，然后单击“关键主机”加入网关地址，受攻击的计算机只会断开与网关的连接，而不会断开与lan中的计算机的通信。3 .防止和解决ARP攻击方法1 :如果确定存在ARP攻击并且攻击仍在继续，则在受害的计算机上执行“ARP-d”后，如果执行“ARP-a”，则-a将用于显示该计算机上的所有ARP缓存。 其中可能有几张唱片。 其中一个是网关或访问的主机，另一个是不同的记录，可能有几个。 多次执行“arpd”、“ARPa”，出现最多的记录基本上是ARP攻击者的真正IP地址。方法2 :在目标设备和受害计算机上分别静态绑定IP地址和MAC地址。例如，在计算机上运行“ARPs 0-aa-00-62-C6-09”，在路由或交换机设备上运行“Cisco-6509 (配置) # ARP 009”绑定要保护的目标设备的IP地址和MAC地址，以防止未经授权的ARP攻击。 虽然并不是所有的用户都有权在网关设备上绑定自己使用的IP地址和MAC地址，但是用户可以通过至少在自己的计算机上绑定网关的IP地址和MAC地址来创建批处理文件使用该方法可以有效地避免以上描述的第二机密泄漏攻击。方法3 :采用动态ARP检测技术，结合DHCP的功能，实现IP和MAC的自动绑定。 此方法类似于方法2，但是绑定是自动进行的，可以部署到访问层交换机上，并且错误的ARP包被交换机丢弃。4、syn弗拉德攻击和应对攻击：(1)在局域网环境中，存在攻击者(PIII667/128/mandrake )，被攻击的是Solaris 8.0 (spark )主机，网络设备是Cisco千兆位交换机。 在不进行攻击之前，目标主机上接收到的基本上是正常的网络分组。(2)攻