《网络与信息安全》实验指导书

1、网络与信息安全聊城大学计算机学院2012年2月网络与信息安全课程实验教学大纲第一部分实验预备知识第一节网络与信息安全实验的性质、任务与要求3第二节常用设备3第二部分网络与信息安全实验5实验一、Playfair算法5一、实验目的5二、实验设备及器件5三、预习要求5四、实验原理5五、实验内容和步骤5六、实验报告5实验二、对称密钥算法AK7一、实验目的7二、实验设备及器件7三、预习要求7四、实验原理7五、实验内容和步骤7六、实验报告8实验三、公钥加密软件PGP9一、实验目的9二、实验设备及器件9三、预习要求9四、实脸原理9五、实验内容和步骤9六、实验报告23实验四、SffiH杂凑算法24一、实验目的

2、24二、实验设备及器件24三、预习要求24四、实验原理24五、实验内容和步骤24六、实验报告24实验五、网络侦听及协议分析25一、实验目的25二、实验设备及器件25三、预习要求25四、实验原理25五、实验内容和步骤25六、实脸报告25实验六、拒绝服务攻击26一、实验目的20二、实验设备及器件20三、预习要求20四、实验原理20子实验一 "NFlO(Ml攻击20子实验二IIDPFI(MMI攻击20五、实验内容和步骤27子实验一 $YNHOOd攻击27子实脸二IIDPFloo(I攻击28六、实验报告 30网络与信息安全课程实验教学大纲课程名称：英文名称：设置形式：网络与信息安全NetWO

3、rk and IIIfOrmatiOn SeCUrity非独立设课块课程模专业核心课质实验课性专业基础实验号课程编人课程负责李凌云人大纲主撰李凌云人大纲审核贾仰理一、学时、学分时课程总学1实验64学时：6分课程学3二、适用专业及年级网络工程等本专科专业二年级三、课程目标与基本要求网络与信息安全课程为网络工程、电子商务等本专科专业的计算机基础课。本课程实验的 目标是巩固和加深课堂教学内容，培养学生的动手能力和对信息安全算法及软件的分析能力和设计 能力，为后继课程的学习及今后从事实践技术工作奠泄基础。通过本课程，要求学生熟悉并掌握各 种对称加密、公钥加密、数字签名和HA皿函数等算法和软件的原理及实

4、现过程，了解并能熟练使用 各种信息安全系统和相关设备。四、主要仪器设备PC机、Win(IOWS系统、网卡等。五、实验项目及教学安排号实验项目名称实验基本方法和内容项 目学项类型每人敷教 学 奥求古典密码PIaylair的分析与设计对Playiair密码算法进行完善和 改进。2基 础型1必 修对称密钥算法AES的分析与设计通过对AES算法的(源程序代码 进行修改，了解和掌握分组密码体 制的运行原理和编程思想。4基 础型1必 修公钥加密软件PGP熟悉公开密钥密码体制，了解 证书的基本原理，熟悉数字签划；熟练使用PGP的基本操作。2设 计型1必 修SHA-I杂凑算法的分析与设计掌握目前普遍使用的SH

5、A算法 基本原理，了解英主要应用方法。4设 计型1必 修网络侦听及协议分析熟悉漏洞扫描的原理，会使用 主流的漏洞扫描工具。2基 础型1必 修拒绝服务攻击与防范熟悉缓冲区溢出的原理，了解缓冲2基1必区溢出的防御方法。础型修六、考核方式及成绩评定信息安全数学基础为必修课。以学生期末考试成绩作为学期总成绩，成绩采用百分制。缺 课1/3及以上者取消考试资格。七、实验教科书、参考书1. 实验教科书自编讲义网络与信息安全实验。2. 实验参考书网络安全实验教程，刘建伟等编著，淸华大学岀版社，2007年O月。第一部分实验预备知识第一节网络与信息安全实验的性质、任务与要求一、网络与信息安全实验的性质与任务网络与

6、信息安全是一门应用性、实践性很强的学科，实验在这一学科的研究及发展过程中起 着至关重要的作用。工程、科研人员通过实验的方法和手段，分析算法、软件和设备的原理并实现, 验证和扩展其功能及使用范围，将实验结果指导理论，实现更高的安全目标。网络与信息安全作为网络工程、电子商务等专业的重要的专业核心课，实验是这一课程体系 中不可缺少的重要教学环节。通过实验手段，使学生获得信息安全方而的基础知识和基本技能，并 运用所学理论来分析和解决实际问题，提髙实际工作的能力，这对正在进行本课程学习的学生来说 是极其重要的。网络与信息安全实验分为信息安全实验室网络环境建设实验、具有代表性的密码算法相关的实 验、网络攻

7、击与防御实验、操作系统安全实验、网络安全设备和应用系统实验等。二、网络与信息安全实验的一般要求1、实验前要求为避免盲目性，参加实验者应对实验内容进行预习。要明确实验的目的、要求，掌握有关信息 安全实验的基本原理，拟出实验方法和步骤，设计实验表格，对思考题做出解答，初步估算（或分 析）实验结果。2、实验中的要求（1）参加实验者要自觉遵守实验室规则。（2）按实验方案认真实现。（3）认真记录实验条件和所得数据，遇到问题应首先独立思考，耐心排除，并记 录下解决的过程和方法。（4）有疑问报告指导教师，等待处理。（5）实验结朿时，应将实验记录经指导教师审阅签字，淸理现场。3、实验后要求实验后要求学生认真写

8、好实验报告。内容包括：（1）列出实验条件，包括实验时间、地点及同实验人，设备等。（2）认真整理和处理测试的数据。（3）对测试结果进行理论分析，做出简明扼要的结论。（4）写出实验的心得体会及改进实验的建议。第二节常用设备一、信息安全实验室的硬件系统包括：防火墙；网络入侵检测系统：虚拟专用网；物理隔离网卡：路由器；交换机：集线器。二、信息安全实验室的软件系统包括： 脆弱性扫描系统： 病毒防护系统： 身份认证系统； 网络攻防软件； 主机入侵检测软件： 因特网非法外联监控软件。第二部分网络与信息安全实验实验一、PlayIair算法一、实验目的通过本次实验，掌握古典密码算法的实现技术，完善和改进Play

9、lair密码算法。加强编程能力的 训练与程序的调试能力。二、实验设备及器件安装Win（IOWS操作系统的PCl台，英上安装vc+6.o以上编译器。三、预习要求复习PIayfair基本原理。四、实验原理PIayiair是一个手工的对称加密技术，而且也是第一个文献记载的多表代替密码技术。该密码算法是由CnarIeSWheatStOne 1854年发明的，经IOa（IPIa）Iair推广而得划。该算法主要描述如下：Playlair密码是一种著名的双字母单表替代密码，实际上Playlair密码属于一种多字母替代密码， 它将明文中的双字母作为一个单元对待，井将这些单元转换为密文字母组合。替代时基于一个5

10、x5的字母矩阵。字母矩阵构造方法同密钥短语密码类似，即选用一个英文短语或单词串作为密钥，去掉其中重复的字母得到一个无重复字母的字符串，然后再将字母表中剩下对每一对明文字母对（P仁P2）的加密方法如下：1、若Pl、P2在同一行，密文（1、（2分别是紧靠Pl、P2右端的字母：2、若Pl、P2在同一列，密文Cl、C2分别是紧靠Pl、P2 F方的字母：3、若Pl、P2不在同一行，也不在同一列，则0、（2是由Pl、P2确定的矩形苴它两角的 字母，且CI和Pl在同一行，C2和P2在同一行；4、若Pl=P2.则两个字母间插入一个预先约泄的字母，如q.并用前述方法处理：如 balloon,则以 ba Iq I

11、o On 来加密:5、若明文字母数为奇数，则在明文尾填充约世字母。五、实验内容和步骤1、下载并理解源代码：2、查看密钥字母的大小写转换的实现有无问题，有的话进行改正：3、编写解密函数（IeCryPtb便程序可以完成整个加解密过程：4、举例测试加解密的正确性。六、实验报告1、描述Playiair的原理：2、实现步骤2、3中代码部分：3、将举例测试的结果截屏；实验二.对称密钥算法AK一、实验目的通过对AES算法的C源程序代码进行修改，了解和掌握分组密码体制的运行原理和编程思想。二、实验设备及器件安装Win(IOWS. LmIIX或者D隣操作系统的PCl台，且其上安装有一种I语言编译环境。三、预习要

12、求复习AB基本原理及数学基础。四、实验原理AES是例7年1月由美国国家标准和技术研究所(NIST)发布公告征集的新一代数据加密标准， 以替代D鸡加密算法。英基本功能为对称分组密码，分组长度为128D.密钥长度支持128D、192D、 250D-在最终的评估中，凭借各种平台实现性能的高效性，VinCent RijnnIen和Jorni Ddemen提岀的 Rijn(Iael算法胜岀，被确定为有关算法的详细介绍请参阅相关参考书。五、实验内容和步骤L 从Http：/CryPtOPP网页上得到算法的源代码。请读者分析代码，找出各个部 分是由哪个函数实现的，并了解函数实现的具体过程。2、选岀密钥长度和分

13、组长度均为128D,试修改上述代码，完成以下实验。3、全0密钥扩展验证：对于128D全零密钥，请利用KeyEXPanSiOn函数将密钥扩展的结果填入 下表中。各轮的扩展密钥第0轮OOOOOOOOOoOOOOOOOOOOOOOOOOOOOOOO第1轮02030303020303030203030302030303第2轮第3轮第4轮第9轮第10轮4、修改程序，在下表中填写第1、第2轮的中间步骤测试向量。LEGEND401In(I =0 to 10InPUf: CiPher inputStart: State at the Start Oi romdrSJOX: State after §

14、Jm SUbStilUnOnSJOW: State after Shift row IranSfOrnIatiOnM_COl: State after mix COIUlnn transformationKJCh: key schedule VaIUe for round(rOUtPUt: CiPher OutPUtPLAlNTEXT: 3243F6A8885A308D313198A2E0370734KEYj2B7E1516282A6ABF7158809(F4F3CENCRYPTUObyteblock. Wbylekey第1、第2轮的中间步骤测试向量RIoOLinPUl3243F6A8885A

15、308D313198A2E0370734RlOOLkJCh2B7E1516282A6ABF7158809CF4F3CRIOlLStart193DE3BEA0F4E22B9AC68D2AE9F84808RlOILS DOXRlolLSMroWRIOILnLCOlRIOlLkJChR02LstartR|02).S bOXR|02).S rowR02LLCOlR02Lk-SCh5、修改该程序，使英可在(128, 128)模式下进行文件的加解密.并对某文档进行加解密,观察解密后与原文是否相同CI如有不同，试考虑如果解决。再用该程序加密流媒体文件，观察解密 后是否能够正确完整播放。0、(4)计算加解密的

16、效率，并进行一泄的优化使加密效率提高。六、实验报告2、简述AES算法每个输入分组的长度及格式。3、简述AB算法每轮加密过程的四个步骤。4、填写上而的表格实验三、公钥加密软件PGP一、实验目的1、熟悉公开密钥密码体制，了解证书的基本原理，熟悉数字签名；2、熟练使用PGP的基本操作。二、实验设备及器件安装Win(IOWS操作系统的Pel台。三、预习要求复习公钥密码基本原理及数学基础。四、实验原理公开密钥密码体制也被称为双密钥密码体制。其原理是加密密钥与解密密钥不同，形成一个密钥对，用其中一个密钥加密的结果，可以用另 一个密钥来解密，公钥密码体制的发展是整个密码学发展史上最伟大的一次革命，它与以前的

17、密码 体制完全不同。这是因为：公钥密码算法基于数学问题求解的困难性，而不再是基于代替和换位方 法；另外，公钥密码体制是非对称的，它使用两个独立的密钥，一个可以公开，称为公钥，另一个 不能公开，称为私钥。公开密钥密码体制的产生主要基于以下两个原因：一是为了解决常规密钥密码体制的密钥管理 与分配的问题：二是为了满足对数字签爼的需求。因此，公钥密码体制在消息的保密性、密钥分配 和认证领域有着重要的意义。在公开密钥密码体制中，公开密钥是可以公开的信息，而私有密钥是需要保密的。加密算法E 和解密算法D也都是公开的。用公开密钥对明文加密后，仅能用与之对应的私有密钥解密，才能恢 复出明文，反之亦然。公开密钥

18、算法用一个密钥进行加密，而用另一个不同但是有关的密钥进行解密。这些算法有以 下重要性。仅仅知道密码算法和加密密钥而要确定解密密钥，在计算上是不可能的。某些算法，例如RSA,还具有这样的特性：两个相关密钥中任何一个都可以用作加密而让另外 一个用作解密。公钥密码的加密与鉴怎过程，如图所示。(a公开巒钥加密过程(b径开空胡的鉴定过程公开密钥加密与鉴别过程五、实验内容和步骤1、 步骤1.PGP的安装对PGP加密软件的安装步骤如图所示，安装完成后重启汁算机，这样PGP软件就安装成功了:2、使用PGP产生密钥(1) 因为在用户类型对话框中选择了''新用户”，在计算机启动以后，自动提示建立P

19、GP密钥, 并要求选择安装组件如图所示：PGP组件安装界面(2) 安装选项一览如图所示:FGP «. . 2要安装的选项对话框(3) 单击“下一步S出现图所示对话框。产生密钥向导(4) 单击“下一步”按钮，住用户信息对话框中输入相应的姓名和电子邮件地址，如图所示:PGP Key Generatioll WizardName and EmaiIASSignmentEVely key Pair must have a name associated With it. T he name and email address Iet your correspondents know that

20、 Ihe PUbliC key Ihey are USing belongs to you.FUIl name:田彬彬By associating an email address Wilh your key PaiL you Will enable PGP to as$i$t your cOrres：POndt in selecting the： COrreCt PIJbliC kep Wheh COmmUniCating 训ith you.Email address:tianJbiDjbi,0163 ConIl<上一步川下一步® > 取消用户信息对话框(5) 在MP密

21、码输入框中输入8位以上的密码并确认，如图所示:密码输入对话框(6) 然后PGP会自动产生PGP密钥，生成的密钥如图所示:（7）到此为止公钥和私钥都已经生成为了保证私钥及公私的安全,请点击上图的密钥菜单在弹 出的下拉菜单中选择:导出菜单出现如下图示：PGPkeysThe new key that has been generated during IhiS SeSSiOn i$ Very important. LOSing POUr keyring file in a disk CraSh Or accidental file deletion WithOMt HaYing a backup W

22、ill render Ihe key and all data encrypted With that key useless.It is strongly recommended that you backup your keyring files to a medium Other Ihan your mdin drive.Save BaCkUP NoW : Don't SaVe CariCel区保存在（i）我最近的文档Selec t Pnbl :i c： Keyr j.c Backup DeX t ira t i OnO崑面文件名On:保存类型CT）:PUblI C kcyvnc

23、 Eil*c C*. pk)3、在本地机上对文件进行加密和解密（1）右键单击需要加密的文件，依次选择"PGPv “加密”打开（Q）编辑（P新建（吵JTEP（P）扫描（S）中小企业电孑商务的发展趋doc 打开方式（出添加到压缩文Wa）.遶添加到冲小企业电子商务的发层趋势曲逵压缩并Em创遶压缩到冲小企业电子商务的发展趋势曲并E-mail发送到（吵PgPM加密J(I) 复制©加密&签名粉碎创淫快捷方式（勺删除 人 AHV Z.创逢5DA©重命名（団Jl 性(B)（2）选择正确的接收人，并单击“确左”(3)文件加密成功中小企业电子商务的发 .docW oI PGP

24、 Encrypted FiIe(4)右键单击需要加密的文件，依次选择“PGP” 一一 “解密&校验”打开肋US)中小企业电孑裔务的发展趋势.doc.pgp打幵方式D逵忝力倒医縊艾件©) 请海力3中小企业电孑商冬的发展谄玖如心门D 型圧缩并Egd倉压绽到“中b企业电于商务的发展趙势dos屮并Em创发送刮迪；PQP"癖巒观验(D I轉切(Ij复制©粉碎I创建快睫万式(S) 删除(D)重命名(四届性®匕电子帝务的发展国(5)输入正确的密码，单击确左PG卩外売转入密码? W i磐被加密到下列公钥:Cyn <cyn9150sina COn> C

25、DH/2048)端入密码,为你的私钥:瘪廊键入(6)选择保存路径，单击“保存S即可完成解密转入策出文件务4、在非本地机上对文件进行解密：(1)右键单击右下角PGP图标，选择"PGPKeySM隐藏(H)关于 PGP(A). 许可证(D帮助她 选项(Q) 活除缓存PGPkeyST5TPGPrTOilIlaii当前窗口 （也剪贴板©的电脑0f Player选X V 'S 20:57(2)将公钥UDUDring"拖入密钥窗口(3)单击“确定”(4)将新密钥拖入本机密钥窗口空 PGPkeySW(F)编辑查看边密钥(Q服算器灼用户组帮助(出密钥 << E(

26、5)结果如下TT PGPkeySTH ×文件(E) i(B查看密钥服务藩用户沮(G帮助砂有效性信任庭大小s> OTnDl yntKi A-CQI26 COm02048/1024DH/DSS ICay PAirCTnCII CCyntLia-BC¢126. com/O,0 CTXIClI aynthid_cDSS-I O CyDL <cyn915siia. coa>O2040/1024DH/DSS key PaLr-CTn <cyn915Gia. COn>©於 CTn <cyn915Caa. con>DSS(6) 对加密文件

27、进行解密r k>*in<-"ir*c FTJF(O)S 3扫描中小企业电子商务的发展趋势dx.pgp打开方式(出倉忝加到压缩文Wa).邊齊加到冲小企业电子吏务的发展趋势如曲(D 邊玉缩并E-mal.逵玉缩到忡小企业电子吏务的发展趋势如曲并E-mail发送到(吵粉碎解密&效验(Q)IM豹切(D 复制©刨建快捷方弍(9 删除(囚重命名(回属性(B)(7) 解密后结果如下:PUbring10撤销拼塔检查附件忧先级签名信息(S/MIIIl加密信息卩例I脱机轡I加密信息(PGP)闻Uq沖不罡亚程 子商筠的发? tdocj5、对邮件进行加密和解密：(I) OUlIO

28、Ok中新建一封邮件，输入收件人及内容后，选择“加密信息(PGP)"目定义©(2) 邮件完成加密后，如图所示，点击发送HeLIO WOrId文件(E)编辑(或查看插入格式( XM(T) I » /l收件人:CVn cuebS主题:WOrId里切橙查撤销*10拼写检查附件忧先级BEGlN PGP MESSAGE，Version: PGP 8. 1QAJlQRIDBWU4Dz29iaRG+LWAQB466EzN82AF95J2G ZyOOaeWzag;LlQ86PjHmOXj7 gwBAj g gP3nwA9 ZRh6cOJ ZeHkSOuaTk op 2P J 2m9

29、fNaDqUEiGcy76iF7pIgTBXzhdl+XdwTh988ZrmsItV MSfJnJTEQWj 28/1 jP5,7vnvLZbaJJYy3Xf NO DfnmQaWzUt E7) 些耳USuFAbfHDtuU6J:LCgZ 奴凹 C 丁 JTLAx7ADmqpGqul6srkr/PTFUV«1!i"L>脱机Illl加密信息Ml簪加密信息(PGP)签名信息(PGP)j-,j1 PGPkeyS自定义©71急 HeuO WOrldrT行玄'文件(E)编辑(或查看(幽IM(D邮件帮助(d)PX»答复全部答复转发打印删除JI发件人:

30、日期： 收件人: 主懸上一封下一封PGPkeyS自定义©(3) 收件人接收到邮件后，点击“解密PGP信息”on915(® Sina com2008年5月7日星期三16:47Wn cuebHelIO WOrIdBEGIN PGP MESSAGE，Version: PGP 8. 1qAIIQRlDBwU4Dz29iaRG+lWAQB9dluksFeW6Ao2eC4plU2fNSgTwbJclhSj+ rJ(AJ0qJnJm4xV3es4V5bbZ58zV7M7pUqV9i7EwRl 9G29p JHedXrDr zPlDr e8oITYiNikctbhEiYQ8soGUB6De

31、KlsBdcBlW9jJVhBdiJWxgMCgehrf5Wu51 9WizIWVfv2YDwDhWcwOKalIMv/QlWA3a4AV70R4ReYGJoEA3q3xCNAoACZl BQgPX9ccPwdIyG/KnHFVSX-HJajnnrSesu5GsNqbjbBqOJOTxBVDFqz7sF +u3fWdPBVQItGT6KiEkxub7ZigJkUbHBpkd79SWeg9oySUJzCACfUoA4kFw: a7a7IDfkwLUx33VD6nxIELTdr3Q8AUXsOYLXf5TYX2PHGqlTF5×B4S89d ncSHLUyyLWyGg26wPRAQVII

32、B22hx0TH6ok6XDfVlexISFTmrlFcERQkAhQBSYi 4Y0GSmXqW7Jq2tq4itmpt8RziJ8vsfK85pB1T28IUs ICVlkD7ftXFQCzbtEI. kS8jEVeq8R236zTFwPqPlC2mCAgfBvSes8u7CmT×39oyVmULWGmnUkPFBfg! RgCz2+k0ggW0pps4VukwzM+6rXY4KlD+eEIpnAlVEc2bYGAQAzmV0JFC(111 Cxrn 5RwiQI4Tv 1 WTIImTTT7OSJini VSlToO>-vTTT 71S口CUJVMU7仃e( "

33、4刖L>J(4) 输入密码后，点击“确左”(5)解密后的邮件如图“加密&签名”0、对文件进行加密和签名。(1)右键单击需要加密的文件，依次选择“PGP”CjHMStTIB=I JT 开(Q)新建(囱JTeP(P)3扫描中小企业电子商务的发展趋势如打开方武(H)倉添J)DgJS缩文件()逵添加到冲小企业电子商务的发展趙势,E(D 逵压缩并E-mail.逵压缩到冲小企业电子商务的发展趋势r#并E-mail发送到(吵(2)选择正确接收人后，单击“确左"(3)输入密码后，单击确左实验四、M1A1杂凑算法一、实验目的通过本次实验，掌握目前普遍使用的§HA算法基本原理，了

34、解英主要应用方法。二、实验设备及器件安装Win（IOWS操作系统的Pa台，其上安装VC+0.0以上编译器。三、预习要求复习SHA-I基本原理及数学基础。四、实验原理SHA（SeCUre hash algorithn）W法由美国NIsT开发，作为数学签名标准中使用的hash算法，并在 1993年作为联邦信息处理标准公布。在1995年公布了其改进版本§皿彳。将不立长输入变换为 IoOl）眾长输出，作为输入数据的摘要（又称为数据指纹），反映了数据的特征。设摘要长度为II,则对于给立输入数据，找到另一不同数据但具有相同摘要的概率为2-",根据生日攻击的原理，寻找 到两个数据具有相同

35、摘要的槪率为22 O hash算法被广泛用于数据完整性保护、身份认证和数字签 名当中。关于SHA-I基本原理及数学基础的介绍，请参阅相关参考书。五、实验内容和步骤1、从 http：/CryPtOPP 网页上得到算法的源 代码。2、构造一个长度为IKB左右的文本文件，以A算法对文件计算血§11值。3、在上述文本本件中修改1个字母或汉字，再次计算IW§n值，与步骤（2）中M§n值进 行比较，看看有多少比特发生改变。4、测试A算法的速度。六、实验报告1、简述A算法流程。2、写出步骤2和步骤3中的文本文件和hash值。3、写出所使用机器的硬件配置以及SHA的测试速度。实验

36、五.网络侦听及协议分析一、实验目的二、实验设备及器件 预习要求四、实验原理五. 实验内容和步骤六. 实验报告（以上见课本）实验六、拒绝服务攻击一、实验目的在网络安全攻击的各种手段和方法中，DOS (Denial Oi Service,拒绝服务类)攻击危害巨大，这种 攻击行动使网站服务器充斥大虽要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜 负荷以至于瘫痪而停I上提供正常的网络服务。而DDoS (DistributedDenialoiSemce.分布式拒绝服务) 攻击的出现无疑是一场网络的灾难，它是DOS攻击的演变和升级，是黑客手中惯用的攻击方式之一, 破坏力极强，往往会带给网络致命

37、的打击，因此必须对其进行分析和研究。二、实验设备及器件Win(IOWS XP 系统、UdiHlood' SDOS WireSharkl三、预习要求复习拒接服务攻击基本原理。四、实验原理子实验一 NNFtoMl攻击SYNFIo(Ml是当前最流行的DOS与DDOS的方式之一，这是一种利用TeP缺陷，发送大疑伪造KP 连接请求，从而使得被攻击方资源耗尽的攻击方式。这种攻击的基本原理与TCP连接建立的过程有 关。TCP和IJDP不同，它是基于连接的，建立TCP连接的标准过程是这样的：首先，请求端(客户端) 发送一个包含SYN标志的TfP报文，SYN报文会致命客户端使用的端口以及TCP连接的初始

38、序号：其 次，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受， 同时TCP序号被加1, AfK即被确认：最后，客户端也返回一个确认报文ACK给服务器，同样TCP序 列号被加1，到此一个TCP连接完成。以上的链接过程在TCP中被称为三次握手。在TCP连接的三次握手中，假设一个用户向服务器发送了 SYN报文后突然死机或死掉，那么服 务器在发生SYN+ACK应答报文后是无法收到客户端的A(K报文的，这种情况下服务器端一般会重试 并等待一段时间后丢弃这个未完成的连接，这段时间的长度称为SYN Timeoui. 一般来说这个时间是 分钟的数量级(30§

39、2mm)： 个用户岀现异常导致服务器的一个线程等待IInill并不是什么很大的 问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接到 列表而消耗非常多的资源一一数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPD 时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TOVIP栈 不够强大，最后的结果往往是堆栈溢岀崩溃一一即使服务器端的系统足够强大，服务器端也将忙于 处理攻击者伪造的TCP连接而无暇理睬客户的正常请求，此时从正常客户的角度看来，服务器失去 响应，这种情况称为服务器端受到了 SYNFIOO(I攻击。从防御

40、角度来说，有以下集中简单的解决方法。第一种是缩短SYN TimeOUt时间，由于SYN Ho(MI攻击的效果取决于服务器上保持的SYN连接数， 这个值WYN攻击的频度*SYNTimeoul,所以通过缩短从接收到HN报文到确左这个报文无效并丢弃该 连接的时间，例如设置为20§以下，可以成倍地降低服务器的负荷。第二种方法是设置SYNCookie,就是给每一个请求连接的IP地址分配一个cookie.如图短时间内 连续收到某个IP的重复SYN报文，就认泄受到了攻击，以后从这个IP地址来的包会被丢弃。可是上述的两种方法只能对付比较原始的SYNFIOO(I攻击，缩短SYNTinIeOUt时间尽在

41、对方攻击额 度不高的情况下生效，SYNCOOkie更依赖于对方使用真实的IP地址，如果攻击者以数万次/秒的速度 发送SYN报文，同时利用SOCK-RAW随机改写IP报文中的源地址，以上的方法将亳无用武之地。子实验二IlDP FlMl攻击IlDPFloO(I攻击也是DDoS攻击的一种常见方式。UDP是一种无连接的服务，他不需要用某个程序 建立连接来传输数据。IlDPFlOo(I攻击是通过开放的UDP端口针对相关的服务进行攻击。BDPFlOO(I攻 击器会向被攻击主机发送大量伪造源地址的小UDP包，冲击DNS服务器或者Ra(IiUS认证服务器、流 媒体视频服务器，甚至导致整个网段瘫痪。IIDP F

42、IOo(I是日渐猖獗的流量型攻击，原理也很简单。常见的情况是利用大量UDP小包冲击 DNS服务器或Ra(UUS认证服务器、流媒体视频服务器。IOOkDPS的IIDPFIOO(I经常将线路上的件干设备 例如防火墙打瘫，造成整个网段的瘫痪。由于IIDP是一种无连接的服务，在IiDPFIoo(I攻击中，攻击 者可发送大量伪造源IP地址的小UDP包。但是由于UDP是无连接性的，所以只要开了一个IjDP端口 提供服务，那么就可针对相关的服务进行攻击。正常情况下，CDP包双向流量会基本相等，而且大 小和内容都是随机的，变化很大。出现DDP FIOOd的情况下，针对同一目标IP的IJDP包在一侧大量 出现，

43、并且内容和大小都比较固定。IIDP FIoO(I防护：IiDP和TCP不同，是无连接状态的协议，并且UDP应用协议五花八门，差异极 大，因此针对BDPFlOO(I的防护非常困难。苴防护要根据具体情况对待：判断包大小，如果是大包攻 击则使用防IhBDP碎片方法，根拯攻击包大小设左包碎片重组大小，通常不小于1500在极端情况 下，可以考虑丢弃多有UDP碎片。攻击端口为业务端口：根据该业务IIDP最大包长设置IJDP最大包 大小以过滤异常流量。攻击端口为非业务端口： 一个是丢弃所有UDP包，可能会误伤正常业务：另 一个是建立IJDP连接规则，要求所有去往该端口的IJDP包，必须首先与TcP端口建立T

44、CP连接。不 过这种方法需要很专业的防火墙或其他防护设备支持。五、实验内容和步骤子实验一 SYN Flood攻击合作者1：登录到Win(IOWS,打开命令行提示窗口，运行nelHa(命令，观察响应。在这, netstat 命令显示了所有当前连接，可以注意到netstat所返回的记录是比较少的，因为这时还没有开始SYN Flo(Ml攻击，如图所示。(2) 合作者2：登录到Win(IOWS,安装DDO§攻击工具。(3) 合作者1：开启本地的TOlIICat服务器，并将开始的端口号告诉合作者2,这里约世位8080.合作者2：运行DDO§攻击器，并输入合作者1的IP地址和TolHC

45、m的端口号(8080),选择协 议类型为TCP,然后开始攻击，如图所示。(5)合作者1：再次运行netstat命令行程序，注意观察SYN FlOO(I攻击的结果；可以看到系统受到 大疑的从伪造的IP地址发出的SYN包，导致与系统的半开连接数量急剧上升，如图所示。合作者2：单击Stop,停止攻击。(7)合作者1：打开Wie§IIaflL准备捕捉从任何目标发送到本机的SYN包，如图所示。The firGshark NetWOrk Analyzer I WirGShark 1. 8.2.匚 匚EM Kit Vi Q> 的LrQ Ansiy2 Utr5U<S TelIgh lrf

46、t3S Jp販QXee ： -B. (H乂口 0 S)攵 «钮 InterfaCe LiStIg klof fe wg rtecfw (ccw<3 rcomh3e>OPenCfWn a pry#CUsc!red h¾ StartCbw? Ore Cr rc? IHc&r to cgn? frov Mn U"CPerl Rezent:IiLRcoltct RIL8139/3IOX f,oily FaSt Bthcrnat NIC& SamPIe CaPtUreSA rch -56scrte-rtof 弘 3"4 CaPUe Z

47、IWlRESHARKThe WOrIdlS MOSt POPUIar NetWOrk PrOtOCOIVerSlOn 182 (SVN ReV 44520 from trunk1.8)CaPtUreIIFiLter：Epr*>5ccc. CaDtUre ODtiOnSnoPgnb；oeMWireSllark 首界而(8) 合作者2：重新开始攻击。(9) 合作者1：单击网卡作为捕捉接口，开始捕捉，可以看到连接的计算器在大幅增长，如图所JO(10) 感兴趣的学生可以再WireShark中分析包的字段含义。 CaPtUring from Redltek KTL8139/8JOx FamiIy

48、EaSt Hthernet NIC二 IrwXEile Edit View GO QqLtq AnaIVZe StatiStkS Tgfex< I00I& Internak S W Qtf « M GKS &'、耶彷盘I巨国IQQkE /团囚拜 爼5Filter:EyDTCSSioe,Ma TilreSaUrCeDeStinatiCinZXU 44t). 2-UJ 丄.J) £丄0 /2LLS. 2U.Xi2 /211 146.245452 2L18. 230.132.37212 146.24S479113.230.13

49、2.372213 146.249550 2LL8 23OL32"2L4 14C.24954 7L15.25.216. 72215 146. 340361118. 230.132. 37115.2S.2L6. 72216 146.3419352Li. 250.132. ?7217 146.42KL07 118.230.132. 37EL5.25.216. 72218 14.430560 2L18.2 50.L32219 146.447632.3

50、7115.2S.216.41220 146.463052 72221 146.464 56LL2EL& 230.132.37222 14 7. 242720 123. 230.132. 37L1S 25.216.72223 147.244239 2118. 23d.l32.37224 147.2442577222 5 X7 24436LlI8 23O132 37EL5.25.2L6.72Rg T47. 7407TTi.7T.7T6. ”IlRO

51、PPPlPPPPPPPPPPP prlu化TCHTTCTCTCTCTCTCTCT<TCTCTCHTengtHntD丄)丄y bgp SQgflQr Or Dassn i puuj 1514 TCP Segflent Of A reassembled PDU54 houd11-Irfi > http ack Seq-809 ACk-8761 wln-65535 Wl 1271 HTTPA-L 200 OK (JPEG 3f -age)54 houdi ni 1ni > http ACK Soq-SOQ ACk-Qo79 Win-431B LQI 54 CanferenCetalk > http FTH. ACK Seq-813 Ack-3470 VJi< 60 h > <Ont=erencaU :Ki sq-3470 A<k-G14 dn-7508 5A 5es-l > http FIN, ArK