1、DONGFANG COLLEGE，F(xiàn)UJIAN AGRICULTURE AND FORESTRY UNIVERSITY 實(shí)驗(yàn)名稱： 網(wǎng)絡(luò)信息安全技術(shù) 系 別： 計(jì)算機(jī)科學(xué)系 年 級(jí)： 12 專 業(yè)： 電子信息工程 班 級(jí)： 2 學(xué) 號(hào)： 姓名： 許清勇 成 績(jī)： 任課教師： 張迎新 2015年 5月 8 日實(shí)驗(yàn)一：協(xié)議分析軟件的使用實(shí)驗(yàn)?zāi)康模簩W(xué)習(xí)協(xié)議分析軟件wireshark的使用，并用該軟件捕獲用戶的賬號(hào)和密碼實(shí)驗(yàn)準(zhǔn)備：1. 要求實(shí)驗(yàn)室內(nèi)網(wǎng)絡(luò)是連通的，組內(nèi)每臺(tái)計(jì)算機(jī)均可以訪問(wèn)另外一臺(tái)計(jì)算機(jī)。2. 下載相關(guān)工具和軟件包。3. 在計(jì)算機(jī)中安裝相應(yīng)的軟件。實(shí)驗(yàn)原理Wireshark（前稱Ether

2、eal）是一個(gè)網(wǎng)絡(luò)封包分析軟件，不是入侵偵測(cè)軟件。網(wǎng)絡(luò)封包分析軟件的功能是擷取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。網(wǎng)絡(luò)封包分析軟件的功能可想像成電工技師使用電表來(lái)量測(cè)電流、電壓、電阻的工作 - 只是將場(chǎng)景移植到網(wǎng)絡(luò)上，并將電線替換成網(wǎng)絡(luò)線。 對(duì)于網(wǎng)絡(luò)上的異常流量行為，Wireshark不會(huì)產(chǎn)生警示或是任何提示。然而，仔細(xì)分析Wireshark擷取的封包能夠幫助使用者對(duì)于網(wǎng)絡(luò)行為有更清楚的了解。Wireshark不會(huì)對(duì)網(wǎng)絡(luò)封包產(chǎn)生內(nèi)容的修改，它只會(huì)反映出目前流通的封包資訊。 Wireshark本身也不會(huì)送出封包至網(wǎng)絡(luò)上。實(shí)驗(yàn)步驟：在VOA網(wǎng)站（/)

3、上注冊(cè)一個(gè)會(huì)員號(hào)，利用WireShark捕獲數(shù)據(jù)包，對(duì)捕獲到的數(shù)據(jù)包進(jìn)行分析，找到用戶名和密碼。1. 打開VOA網(wǎng)站，進(jìn)入會(huì)員登錄界面。2. 輸入相應(yīng)的用戶名和密碼。3. 啟動(dòng)WireShark應(yīng)用程序，點(diǎn)擊Capture - Options,將Capture Filter（捕獲過(guò)濾器）設(shè)置為tcp port http,再點(diǎn)擊Start起動(dòng)。4. 點(diǎn)擊Analyze - Display Filters對(duì)顯示過(guò)濾器進(jìn)行設(shè)置，以縮小查找范圍。5. 在捕獲的包中查找相應(yīng)的用戶名和密碼。捕獲的用戶名為： 捕獲的密碼為： 6. 思考：在使用wireshark捕獲目標(biāo)主機(jī)用戶名和密碼時(shí)，試著捕獲一下目標(biāo)主

4、機(jī)的網(wǎng)易郵箱，看是否可以捕獲到郵箱的用戶名和密碼。如果不能，思考一下不能捕獲的原因？不能捕獲到郵箱的用戶名和密碼?？赡苁且呀?jīng)對(duì)密碼實(shí)施了加密處理實(shí)驗(yàn)二：簡(jiǎn)單加解密算法的實(shí)現(xiàn)實(shí)驗(yàn)?zāi)康模?. 掌握對(duì)稱加密算法的基本思想。2. 深入理解Vigenere 算法和RC4算法的算法流程。3. 了解DES、AES等算法的加解密過(guò)程。實(shí)驗(yàn)準(zhǔn)備：1. 查閱有關(guān)資料，熟悉古典加密算法中單表代換與多表代換算法，掌握Vigenere算法。2. 查閱有關(guān)資料，熟悉流密碼的基本思想，掌握RC4算法。3. 查閱有關(guān)資料，熟悉DES和AES加解密程。實(shí)驗(yàn)內(nèi)容：1. 分析、調(diào)試運(yùn)行下面代碼，并寫出代碼的算法流程圖。#inclu

5、de#includevoid decrypt(char cipher);/解密過(guò)程函數(shù)，根據(jù)輸入密鑰再一次生成密鑰流 void main() printf(*RC4加解密程*n);char choose1,choose2;doint s256,t256;char k256;/用戶輸入的密鑰/char plaintext1024,ciphertext1024;printf(輸入密鑰:n);gets(k);for(int i=0;i256;i+)/給字節(jié)狀態(tài)矢量和可變長(zhǎng)的密鑰數(shù)組賦值/ si=i; ti=ki%strlen(k);int j=0;for(i=0;i256;i+) /使用可變長(zhǎng)的密鑰

6、數(shù)組初始化字節(jié)狀態(tài)矢量數(shù)組s/ int temp; j=(j+si+ti)%256; temp=si; si=sj; sj=temp;printf(n輸入要加密的字符串:n);gets(plaintext);int m,n,key256,q;m=n=0;printf(n得到密文：n);for(i=0;istrlen(plaintext);i+)/由字節(jié)狀態(tài)矢量數(shù)組變換生成密鑰流并對(duì)明/文字符進(jìn)行加密 int temp;m=(m+1)% 256;n=(n+sn)% 256;temp=sm;sm=sn;sn=temp;q=(sm+sn)%256;keyi=sq;ciphertexti=plaint

7、extikeyi;printf(%c,ciphertexti); ciphertexti=0;/解密printf(n是否對(duì)上面的密文進(jìn)行解密？(y/n)n);scanf(%c,&choose2);getchar();while(choose2=y|choose2=Y) decrypt(ciphertext);/解密過(guò)程函數(shù)choose2=n;printf(n是否希望繼續(xù)使用程序？(y/n)n);scanf(%c,&choose1);getchar();while(choose1=y|choose1=Y); printf(n*程序結(jié)束*);system(pause); /解密函數(shù)，密鑰流的生成與

8、加密相同 void decrypt(char cipher)int s256,t256;int i;char k256;/用戶輸入的密鑰char plaintext1024;printf(n輸入密鑰:n);gets(k);for(i=0;i256;i+)/給字節(jié)狀態(tài)矢量和可變長(zhǎng)的密鑰數(shù)組賦值 si=i;ti=ki%strlen(k);int j=0;for(i=0;i256;i+) /使用可變長(zhǎng)的密鑰數(shù)組初始化字節(jié)狀態(tài)矢量數(shù)組s int temp; j=(j+si+ti)%256; temp=si; si=sj; sj=temp;int m,n,key256,q;m=n=0;printf(n解

9、密后所得到明文是：n);for(i=0;istrlen(cipher);i+)/由字節(jié)狀態(tài)矢量數(shù)組變換生成密鑰流并對(duì)密文字符進(jìn)行解密 int temp; m=(m+1)% 256;n=(n+sn)% 256;temp=sm;sm=sn;sn=temp;q=(sm+sn)%256;keyi=sq;plaintexti=cipherikeyi;printf(%c,plaintexti); printf(n); 開始代碼流程圖： i=0 J=oICapture Filter框中填入tcp，表明所要抓的包是tcp包，點(diǎn)擊Start，開始抓包，并保存抓到的結(jié)果。從這張?jiān)诒还舴?wù)器上的抓包圖中我們可以看

10、到大量的TCP數(shù)據(jù)包，這些數(shù)據(jù)包的源IP是由Super DDoS用IP欺詐等手段偽造的，這些IP實(shí)際是不存在的。我們還可以看出大量的SYN包沒有ACK回應(yīng)。(4) 打開A的命令行窗口輸入netstat -an或者netstat -n -p tcp命令，可以看到有大量的ip和本機(jī)建立了SYN-RECEIVED狀態(tài)的TCP二次握手連接，這些ip地址都是隨機(jī)的，是Supper DDos偽造的。大量IP與服務(wù)器停留在半連接狀態(tài)，一旦這種連接數(shù)量超過(guò)服務(wù)器的半連接隊(duì)列數(shù)，服務(wù)器的資源就會(huì)被耗竭，從而無(wú)法再處理其他合法用戶的請(qǐng)求了。(5) 防御和抵制SYN-FLOOD攻擊的措施a) 根據(jù)SYN-FLOOD

11、攻擊的原理可知SYN-FlOOD攻擊效果取決于服務(wù)器上設(shè)置的SYN半連接數(shù)（半連接數(shù)=SYN攻擊頻度 * SYN Timeout），所以通過(guò)縮短從接收到SYN報(bào)文到確定這個(gè)報(bào)文無(wú)效并丟棄改連接的時(shí)間，會(huì)使得SYN半連接數(shù)減少（但是也不能把SYN Timeout設(shè)置得過(guò)低，這是為什么大家可以思考一下），從而降低服務(wù)器的負(fù)荷。b) 給每一個(gè)請(qǐng)求連接的IP地址分配一個(gè)Cookie，如果短時(shí)間內(nèi)連續(xù)受到某個(gè)IP的重復(fù)SYN報(bào)文，就認(rèn)定是受到了攻擊，以后從這個(gè)IP地址來(lái)的包會(huì)被丟棄。c) 利用網(wǎng)關(guān)型防火墻，讓客戶機(jī)與服務(wù)器之間并沒有真正的TCP連接，所有數(shù)據(jù)交換都是通過(guò)防火墻代理，外部的DNS解析也同樣

12、指向防火墻，使攻擊轉(zhuǎn)向防火墻，只要防火墻的性能足夠高，就能抵擋相當(dāng)強(qiáng)度的SYNFLOOD攻擊。2. UDP-FLOOD攻擊演示和分析(1) 本次實(shí)驗(yàn)需要兩臺(tái)網(wǎng)絡(luò)連通并可以互相訪問(wèn)的電腦，記作A，B，這里用的工具是UDP FLOOD攻擊器。與SYN-FLOOD攻擊一樣，我們首先要關(guān)閉A，B兩臺(tái)電腦的防火墻和殺毒軟件，并且在A上打開Tomcat服務(wù)器。(2) 然后我們?cè)贐上打開UDP FLOOD攻擊器,在這個(gè)攻擊器上填上A的IP和一個(gè)開放的端口（可以通過(guò)在命令行下輸入netstat -an查看開放的端口）。這個(gè)攻擊器可以設(shè)定攻擊的時(shí)間（Max duration （secs）和發(fā)送的最大UDP包數(shù)（

13、Max packets ）以及發(fā)送UDP包的速度（Speed），還可以選擇發(fā)送包的數(shù)據(jù)大小和類型（Data）(3) 點(diǎn)擊Go開始攻擊，我們?cè)贏，B兩臺(tái)機(jī)上分別抓包來(lái)觀察分析。這是在服務(wù)器A上捕捉到的兩幅圖，我們可以發(fā)現(xiàn)udp包在8080端口一側(cè)大量出現(xiàn)，并且每個(gè)udp包的大小基本相同，這里看到的兩個(gè)都為83bytes這是在B上對(duì)ICMP的抓包結(jié)果，當(dāng)受害系統(tǒng)接收到一個(gè)UDP 數(shù)據(jù)包的時(shí)候，它會(huì)確定目的端口正在等待中的應(yīng)用程序。當(dāng)它發(fā)現(xiàn)該端口中并不存在正在等待的應(yīng)用程序，它就會(huì)產(chǎn)生一個(gè)目的地址無(wú)法連接的 ICMP 數(shù)據(jù)包發(fā)送給該偽造的源地址。這里可以明顯的看出A向B回送了很多ICMP包，但是端口

14、卻是unreachable(4) 防御和抵制UDP-FLOOD攻擊的措施我們都知道UDP協(xié)議是一種無(wú)連接的服務(wù)，所以對(duì)UDP-FLOOD攻擊的防御和抵制比較困難。一般我們通過(guò)分析受到攻擊時(shí)捕獲的非法數(shù)據(jù)包特征，定義特征庫(kù)，過(guò)濾那些接收到的具有相關(guān)特征的數(shù)據(jù)包。例如針對(duì)UDP-FLOOD攻擊，我們可以根據(jù)UDP最大包長(zhǎng)設(shè)置UDP最大包大小以過(guò)濾異常流量。在極端的情況下，我們可以嘗試丟棄所有UDP數(shù)據(jù)包。通過(guò)實(shí)驗(yàn)回答下列問(wèn)題1. DoS攻擊和DDoS攻擊一般是針對(duì)服務(wù)器發(fā)動(dòng)攻擊，而對(duì)PC機(jī)攻擊沒有多大意義，你知道這是為什么嗎？ 服務(wù)器為了能夠正常穩(wěn)定的提供服務(wù)，一般都是只使用同一個(gè)ip地址，而pc機(jī)則可以很方便的更改自己的ip地址，從而使攻擊者攻擊不到自己；服務(wù)器的重要性和價(jià)值一般高于都PC機(jī)，因而攻擊的價(jià)值也自然就高于PC，而且pc機(jī)可以輕易的重啟或更改ip，而服務(wù)器一旦重啟或更改ip則一般會(huì)蒙受巨大的損失。2. Timeout越小越有利于抵御SYN-FLOOD攻擊，但這個(gè)值卻不能太小，你知道這是什么原因嗎？若timeout值太小，則正