信息安全生产实习报告

1、信息安全生产实习实习报告实习地点：逸夫楼418指导老师：曹 步 青学生姓名：杨 云 龙学 号：班 级：信息安全三班湖南科技大学计算机科学与工程学院2014年6月任务一 模拟配置组网一、实习实验目的使用工具模拟配置交换机、路由器和防火墙，并组建以安全子网，可以访问Internet。 工具：路由模拟器GNS3、Packet.Tracer5、mikrotik（须将防火墙组件导入工具）。在思科模拟器中创建一个小型企业网。配置服务器和IP地址，端口状态保持开启。对图中的路由器1进行配置。配置IP（分动态和静态）和跳、过滤规则。二、实验环境组建使用Windows XP/7系统的电脑，安装Cisco Pac

2、ket Tracer5.0或以上版本软件。三、实验知识原理交换机：工作在数据链路层，交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC（网卡的硬件地址）的NIC（网卡）挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在，广播到所有的端口，接收端口回应后交换机会“学习”新的MAC地址，并把它添加入内部MAC地址表中。使用交换机也可以把网络“分段”，通过对照IP地址表，交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发，可以有效的减少冲突域，但它不

3、能划分网络层广播，即广播域。路由器（Router），是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。 路由器是互联网络的枢纽、交通警察。目前路由器已经广泛应用于各行各业，各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。路由和交换机之间的主要区别就是交换机发生在OSI参考模型第二层（数据链路层），而路由发生在第三层，即网络层。这一区别决定了路由和交换机在移动信息的过程中需使用不同的控制信息，所以两者实现各自功能的方式是不同的。路由器分本地路由器和远程路由器，本地路由器是用来连接网络

4、传输介质的，如光纤、同轴电缆、双绞线；远程路由器是用来连接远程传输介质，并要求相应的设备，如电话线要配调制解调器，无线要通过无线接收机、发射机。四、实验步骤和内容整个实验分成以下几个步骤，主要包括网络格局建立，两个局域网的配置，DNS服务器配置，HTTP服务器配置，路由器地址分配，建立路由表等。第一步，建立网络格局。本次组网计划配置一个静态局域网，一个DHCP局域网，一个DNS服务器和两个HTTP服务器。其中静态局域网使用IP地址段为，DHCP局域网使用IP地址段为，DNS服务器地址为，两个HTTP服务器地址分别为222.222.222

5、.222和23。然后按照该计划将各设备添加到主面板上，如图1.1网络格局 所示。然后按照以上计划分配好各设备的IP地址（DHCP局域网的主机IP地址不用分配，将IP地址设为DHCP即可）。其中路由器的地址默认为*.*.*.1。图1.1网络格局第二步，配置两个局域网。对于静态局域网而言，只需设置好每台主机的IP地址，子网掩码（55），网关（）以及DNS地址（）即可。对于DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)局域网而言，要配置一台DHCP服务器，如下

6、图1.2 DHCP服务 所示。图1.2 DHCP服务DHCP服务器本机的配置如下图1.3 DHCP服务器IP所示：图1.3 DHCP服务器IP第三步，DNS服务器配置，首先配置它的DNS服务如下图1.4 DNS服务所示。图1.4 DNS服务接着DNS服务器本机配置如下图1.5 DNS服务器IP，图1.5 DNS服务器IP第四步，配置HTTP服务器。首先配置打开服务器Server-PT baidu 的HTTP服务。然后修改它的index.html成你想显示的内容。然后，配置服务器本机如下图1.6 HTTP服务器所示，图1.6 HTTP服务器配置服务器Server-PT sina与Server-P

7、T baidu类似，只是IP地址设为23。第五步，分配路由器地址并配置路由转发表。路由器Static的IP配置如下路由器dhcp的IP配置如下路由器way的IP配置如下路由器DNS的IP配置如下路由器http的IP配置如下路由器Static的路由转发表配置如下路由器dhcp的路由转发表配置如下路由器way的路由转发表配置如下路由器DNS的路由转发表配置如下路由器http的路由转发表配置如下五、实验数据及分析实验数据一：两个局域网之间ping的连通性，如下图1.7 ping所示图1.7 ping分析：本机地址为，子网掩码为

8、，ping的目标主机地址为，与本机在不同局域网中。Ping的结果为丢包数为0，平均连接时间为121ms，因此两台主机连接正常，从而说明两个局域网连接正常。实验数据二：PC访问HTTP服务器，如下图1.7 访问Sina所示。图1.7 访问Sina分析：在客户端主机上打开 ，网页可以正常打开，首先这可以肯定的说明了该网络中的DNS服务器正常运行了。如果DNS服务器运行不正常，浏览器会提示域名无法解析，或DNS服务器不响应的错误。其次，这说明了的HTTP服务器正常运行了，并且从客户端主机到远程的HTTP服务

9、器的网络路径正常运行了，各路由器均正常转发了该连接的数据包。六、实验结论本次实验基本上完成了任务的要求，不仅完成了动/静态局域网的配置与连接，还搭建了DNS服务器与两台HTTP服务器，使得整个模拟过程更加真实。客户端可以通过域名直接访问网站。各主机之间均可以正常连通，整个实验已基本达到实验效果。七、实习收获及心得体会本次实习的第一个实验是模拟配置组网，做完整个实验，我对计算机网络的组织结构与数据包传递的细节有了比较深的理解。尤其是路由器的数据转发，需要严密的控制，它在整个网络的连通性上起了举足轻重的作用。我认识到了计算机网络是一个庞大而细密的系统，包含了数不清的节点与路径，要完成它的正常通信工

10、作量是不可估量的。任务二组建自己的VPN一、实习实验目的VPN英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。vpn被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。二、实验环境

11、组建系统环境：两台主机，windows2000/XP,Windows7,Windows8等系统即可。软件环境：服务器软件：VPN-X-6-HC-JRE-install客户端软件：VPN-X-6-Client-HC-JRE-install三、实验知识原理在VPN网关对数据包进行处理时，有两个参数对于VPN通讯十分重要：原始数据包的目标地址（VPN目标地址）和远程VPN网关地址。根据VPN目标地址，VPN网关能够判断对哪些数据包进行VPN处理，对于不需要处理的数据包通常情况下可直接转发到上级路由；远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址，即VPN隧道

12、的另一端VPN网关地址。由于网络通 讯是双向的，在进行VPN通讯时，隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。四、实验步骤和内容1. 在一台主机上打开服务器端运行程序。不需要账号密码，自动登录成功。 在服务器端添加用户，如图2.1 添加用户所示。图2.1添加用户2、服务器端进入用户管理界面添加用户，点击添加并写入相应的信息，点确定，用户界面自动刷新如图2.2 访问控制 所示。图2.2 访问控制添加访问控制成功后，如下图2.3 访问控制用户表 所示。图2.3 访问控制用户表2. 客户端登录客户登录界面如下图 2.4 客户登录 所示图2.4客户登陆客户登陆后的状态

13、如下图2.6 客户状态 所示。图2.6 客户状态客户与VPN服务器聊天，如下图2.7 VPN聊天 所示。图 2.7 VPN聊天五、实验数据及分析VPN能提供高水平的安全，使用高级的加密和身份识别协议保护数据避免受到窥探，阻止数据窃贼和其他非授权用户接触这种数据在企业内部也可以自己建立虚拟专用网。六、实验结论在公用网络上可以建立专用网络，进行加密通讯。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN具有成本低，易于使用的特点。七、实习收获及心得体会此次实验首次使用VPN-X-6-HC-JRE-installVPN-X-6-Client-HC-JR

14、E-install两客户端和服务端软件成功组建自己的VPN，实现了客户端登录和服务器端访问权限设置和聊天等功能。掌握了虚拟专用网络的优点和缺点。任务三 攻击IP追踪一、实习实验目的追踪服务器IP：使用路由跟踪实用程序Tracert，确定IP数据报访问目标所采取的路径。Tracert命令用IP生存时间(TTL)字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由。追踪计算机IP：使用Windows系统自带的Netstat，查询所有与本地计算机所建立连接的IP地址和当前端口所呈现出的状态。使用CallerIP4（运行还需要有Java虚拟机支持，假如使用Sun公司的Java虚拟机，那么版本至

15、少是114或更高，而对于Microsofts Java VM build，至少需要5003167或更高版本）二、实验环境组建使用Windows XP/7系统的电脑，安装CallerIP4软件三、实验知识原理数据在网络上是以很小的称为帧（Frame）的单位传输的，帧由几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧已到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会带来安全方面的问题。基于抓包这样的模式，可以分析各种

16、信息包并描述出网络的结构和使用的机器，由于它接收任何一个在同一网段上传输的数据包，所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的方法，用来夺取其他主机的控制权四、实验步骤和内容第一步，使用Tracert命令用IP生存时间(TTL)字段和ICMP错误消息来确定从一个主机到网络上其他主机的路由。结果如下图3.1 Tracert所示。图3.1 Tracert第二步，使用Netstat，查询所有与本地计算机所建立连接的IP地址和当前端口所呈现出的状态，结果如下图3.2 Netstat所示。图3.2 Netstat第三步，使用CallerIP4查看与

17、本机连接的IP所在位置，结果如下图3.3 CallerIP4所示。图3.3 CallerIP4五、实验数据及分析本次实验中使用tracert命令Tracing route to 6over a maximum of 30 hops: 1 1 ms 1 ms 1 ms 2 1 ms 1 ms 1 ms 29 3 1 ms 1 ms 1 ms 9 4 1 ms 1 ms 1 ms 37 5 1 ms 1 ms 1 ms

18、6Trace complete.使用netstat命令Active Connections Proto Local Address Foreign Address State TCP 418-024:1892 35:http CLOSE_WAIT TCP 418-024:3526 9:9998 ESTABLISHED TCP 418-024:3811 10:http ESTABLISHED TCP 418-024:3815 67:http ESTABLISHED TCP 418-024:1071

19、localhost:1072 ESTABLISHED TCP 418-024:1072 localhost:1071 ESTABLISHED TCP 418-024:2509 localhost:18186 CLOSE_WAIT TCP 418-024:3525 localhost:18186 ESTABLISHED TCP 418-024:3810 localhost:18186 ESTABLISHED TCP 418-024:18186 localhost:3525 ESTABLISHED TCP 418-024:18186 localhost:3810 ESTABLISHED六、实验结论

20、攻击IP追踪实验基本上完成了实验的要求。七、实习收获及心得体会通过本次实验我学会了使用windows系统自带的tracert命令，去追踪从本机到目的主机之间所经过的路由器，也学会利用netstat命令查看当前本地主机的各个连接及其状态。同时，通过使用CallerIP软件，我查看到了与本机连接的IP所在国家及地区。任务四 编程设计编程实现SHA算法第一部分，SHA算法方案首先，我们对SHA算法做一个基础的了解。安全哈希算法（Secure Hash Algorithm）主要适用于数字签名标准 （Digital Signature Standard DSS）里面定义的数字签名算法（Digital S

21、ignature Algorithm DSA）。对于长度小于264位的消息，SHA1会产生一个160位的消息摘要。当接收到消息的时候，这个消息摘要可以用来验证数据的完整性。在传输的过程中，数据很可能会发生变化，那么这时候就会产生不同的消息摘要。 SHA1有如下特性：不可以从消息摘要中复原信息；两个不同的消息不会产生同样的消息摘要。然后，我们来了解一下SHA算法的具体流程。补位，消息必须进行补位，以使其长度在对512取模以后的余数是448。也就是说，（补位后的消息长度）%512 = 448。即使长度已经满足对512取模后余数是448，补位也必须要进行。补长度，所谓的补长度是将原始数据的长度补到已

22、经进行了补位操作的消息后面。通常用一个64位的数据来表示原始消息的长度。如果消息长度不大于264，那么第一个字就是0。在进行了补长度的操作以后，整个消息就变成下面这样了（16进制格式）。使用的常量，一系列的常量字K(0), K(1), . , K(79)，如果以16进制给出。它们如下：Kt = 0x5A (0 = t = 19)Kt = 0x6ED9EBA1 (20 = t = 39)Kt = 0x8F1BBCDC (40 = t = 59)Kt = 0xCA62C1D6 (60 = t = 79).需要使用的函数，在SHA1中我们需要一系列的函数。每个函数ft (0 = t = 79)都操作

23、32位字B，C，D并且产生32位字作为输出。ft(B,C,D)可以如下定义ft(B,C,D) = (B AND C) or (NOT B) AND D) ( 0 = t = 19)ft(B,C,D) = B XOR C XOR D (20 = t = 39)ft(B,C,D) = (B AND C) or (B AND D) or (C AND D) (40 = t = 59)ft(B,C,D) = B XOR C XOR D (60 = t = 79).计算消息摘要，必须使用进行了补位和补长度后的消息来计算消息摘要。计算需要两个缓冲区，每个都由5个32位的字组成，还需要一个80个32位字的缓

24、冲区。第一个5个字的缓冲区被标识为A，B，C，D，E。第二个5个字的缓冲区被标识为H0, H1, H2, H3, H4。最后，我们对计算消息摘要做详细的说明，这也是算法实现的关键步骤。现在开始处理消息块M1, M2, . , Mn。为了处理 Mi,需要进行下面的步骤(1). 将 Mi 分成 16 个字 W0, W1, . , W15, W0 是最左边的字(2). 对于 t = 16 到 79 令 Wt = S1(Wt-3 XOR Wt-8 XOR Wt- 14 XOR Wt-16).(3). 令 A = H0, B = H1, C = H2, D = H3, E = H4.(4) 对于 t =

25、 0 到 79，执行下面的循环TEMP = S5(A) + ft(B,C,D) + E + Wt + Kt;E = D; D = C; C = S30(B); B = A; A = TEMP;(5). 令 H0 = H0 + A, H1 = H1 + B, H2 = H2 + C, H3 = H3 + D, H4 = H4 + E.在处理完所有的 Mn, 后，消息摘要是一个160位的字符串，以下面的顺序标识H0 H1 H2 H3 H4即为该消息的SHA密文。第二部分，SHA算法编程生成W数组函数public void InitializeW()int i;for(i=0;i16;i+)Wi=M

26、i;for(i=16;i80;i+)Wi = Sn(1,(Wi-3 Wi-8 Wi- 14 Wi-16);计算消息摘要函数public void Encrypt()int TEMP;for(int i=0;i5;i+)Hi=hi;for(int i=0;iMessageNum;i+)/ MessageNum为消息M的块数InitializeW();/生成W数组A = H0;B = H1;C = H2;D = H3;E = H4;for(int j=0;jE(q)：如果P是E(q)上的某个点，那么我们定义2*P=P+P,3*P=2*P+P=P+P+P等等。注意给定整数 j和k，j*(k*P)=(

27、j*k)*P=k*(j*P)。椭圆曲线离散对数问题（ECDLP）就是给定点P和Q，确定整数k使k*P=Q。一般认为在一个有限域乘法群上的离散对数问题（DLP）和椭圆曲线上的离散对数问题（ECDLP）并不等价；ECDLP比DLP要困难的多。在密码的使用上，曲线E(q)；和其中一个特定的基点G一起被选择和公布。一个私钥k被作为随机整数来选择；值P=k*G被作为公钥来公布（注意假设的ECDLP困难性意味着k很难从P中确定）。如果Alice和Bob有私钥kA和kB，公钥是PA和PB，那么Alice能计算kA*PB=(kA*kB)*G；Bob能计算同样的值kB*PA=(kB*kA)*G。这允许一个“秘密

28、”值的建立，这样Alice和Bob能很容易地计算出，但任何的第三方却很难得到。另外，Bob在处理期间不会获得任何关于kA的新知识，因此Alice的私钥仍然是私有的。基于这个秘密值，用来对Alice和Bob之间的报文进行加密的实际方法是适应以前的，最初是在其他组中描述使用的离散对数密码系统。这些系统包括：Diffie-Hellman ECDHMQV ECMQVElGamal discrete log cryptosystem ECElGamalDSA ECDSA对于ECC系统来说，完成运行系统所必须的群操作比同样大小的因数分解系统或模整数离散对数系统要慢。不过，ECC系统的拥护者相信ECDLP问

29、题比DLP或因数分解问题要难的多，并且因此使用ECC能用小的多的密钥长度来提供同等的安全，在这方面来说它确实比例如RSA之类的更快。到目前为止已经公布的结果趋于支持这个结论，不过一些专家表示怀疑。ECC被广泛认为是在给定密钥长度的情况下，最强大的非对称算法，因此在对带宽要求十分紧的连接中会十分有用。国家标准与技术局和ANSI X9已经设定了最小密钥长度的要求，RSA和DSA是1024位，ECC是160位，相应的对称分组密码的密钥长度是80位。NIST已经公布了一列推荐的椭圆曲线用来保护5个不同的对称密钥大小（80,112,128,192,256）。一般而言，二进制域上的ECC需要的非对称密钥的

30、大小是相应的对称密钥大小的两倍。Certicom是ECC的主要商业支持者，拥有超过130项专利，并且已经以2千5百万美元的交易获得了国家安全机构（NSA）的技术许可。他们也已经发起了许多对ECC算法的挑战。已经被解决的最复杂的是109位的密钥，是在2003年初由一个研究团队破解的。破解密钥的这个团队使用了基于生日攻击的大块并行攻击，用超过10,000台奔腾级的PC机连续运行了540天以上。对于ECC推荐的最小密钥长度163位来说，当前估计需要的计算资源是109位问题的108倍。在2005年2月16日，NSA宣布决定采用椭圆曲线密码的战略作为美国政府标准的一部分，用来保护敏感但不保密的信息。NS

31、A推荐了一组被称为Suit B的算法，包括用来密钥交换的Menezes-Qu-Vanstone椭圆曲线和Diffie-Hellman椭圆曲线，用来数字签名的椭圆曲线数字签名算法。这一组中也包括AES和SHA。第二部分，ECC算法编程逆元函数public int GetOpposite(int x)if(x0) x+=11;for(int i=1;i=10;i+)if(i*x)%11=1)return i;return 0;点的负点函数public void GetContrary(int res)res1=Ellipse_Mod-res1;双倍点函数public void GetDouble(

32、int x1,int y1,int res)int lamuta=(3*x1*x1+Ellipse_X1)%(Ellipse_Mod)*(GetOpposite(2*y1)%(Ellipse_Mod)%(Ellipse_Mod);res0=(lamuta*lamuta-2*x1)%(Ellipse_Mod);res1=(lamuta*(x1-res0)-y1)%(Ellipse_Mod);for(int i=0;i=1;i+)if(resi0)resi+=11;求和函数public void GetSum(int x1,int y1,int x2,int y2,int res)int lamu

33、ta=(y2-y1)%Ellipse_Mod)*GetOpposite(x2-x1)%Ellipse_Mod;if(lamuta0) lamuta+=11;res0=(lamuta*lamuta-x1-x2)%(Ellipse_Mod);res1=(lamuta*(x1-res0)-y1)%(Ellipse_Mod);for(int i=0;i=1;i+) if(resi0) resi+=11;多倍函数public void GetMulti(int x1,int y1,int multi,int res)int x2=x1,y2=y1;GetDouble(x1,y1,res);for(int

34、 i=3;i=multi;i+)GetSum(res0, res1, x2, y2, res);加密函数public void Encrypt()int publickeyarray=new int2;int c1=new int2;int c2=new int2;int summand=new int2;GetMulti(baseX, baseY, personalKey_A, publickeyarray);GetMulti(baseX, baseY, Random_Number, c1);c20=msg0;c21=msg1;GetMulti(publickeyarray0, publickeyarray1, Random_Number, summand);GetSum(c20, c21, summand0, summand1, c2);解密函数publi