实验指导讲义.PDF

信息安全专业实验讲义 朱文涛、胡鹏、黄景博、熊继平、刘利、彭永超编著 中国科学技术大学 信息网络实验室 2003 年6 月 前言 在信息化社会中，网络信息系统在政治、军事、金融、商业、交通、电信、文教等方面 发挥越来越大的作用。社会对网络信息系统的依赖也日益增强，各种各样完备的网络信息系 统，使得秘密信息和财富高度集中于计算机中。另一方面，这些网络信息系统都依靠计算机 网络接收和处理信息，实现其相互间的联系和对目标的管理、控制。以网络方式获得信息和 交流信息已成为现代信息社会的一个重要特征。网络正在逐步改变人们的工作方式和生活方 式，成为当今社会发展的一个主题。 然而，伴随着网络信息产业发展而产生的互联网和网络信息的安全问题，也已成为热点 问题。各种网络系统以及有关软件硬件系统的缺陷、各种系统管理方面的漏洞，带来了许多 安全上的隐患，出现了许多严重的网络安全问题。目前，全世界每年由于信息系统的脆弱性 而导致的经济损失逐年上升，安全问题日益严重。采取适当的安全技术成为保障网络系统正 常运转的必要条件。 本实验课程的目的就是帮助学生对网络安全建立比较具体的概念，在实际动手操作中学 习一些安全工具的使用，了解常见的安全系统以及应用比较广泛的一些安全协议。 本实验讲义首先从网络中最重要的解决预防问题的安全系统——防火墙的实验入手，学 习端口扫描技术以及计算机网络中的几种常用的攻击手段——DoS 攻击和缓冲区攻击，然后 学习安全系统中的另一个重要部分——入侵检测系统（IDS ），最后探讨信息安全的另一个 领域——密码学。 本讲义由信息网络实验室的六位成员共同合作完成，其中《实验一、防火墙原理及其基 本配置》由朱文涛编写，《实验二、端口扫描技术原理与实践》由熊继平编写，《实验三、 DoS 攻击》和《实验四、缓冲区溢出》由胡鹏编写，《实验五、入侵检测原理与Snort 的使 用》由黄景博编写，《实验六、古典密码学实验》由刘利编写，《实验七、PGP 的原理与使 用》由彭永超编写，七个实验的最终汇总由黄景博负责。讲义的编写得到了信息网络实验室 两位老师洪佩琳教授和李津生教授的精心指导，在此谨向两位老师致以衷心的感谢。 由于编写本讲义的六位同学大多数缺乏编写讲义的经验，并且由于编者水平有限，加之 时间仓促，讲义中欠妥和谬误之处恐难以避免，对于本实验讲义有任何改进意见和建议，欢 迎与kingpaul@ 联系。 编者 2003 年6 月 实验一、防火墙原理及其基本配置 1 实验目的 学习安全网络的基本组成结构，学习防火墙的基本原理，了解用Linux 2.4 系统实现包 过滤防火墙的基本配置。 2 实验原理 当一个机构将其内部网络连接到Internet 之后，网络安全就立即成为一个需要得到重 视的问题。为了提供各种级别的安全保护，应当设置相应的安全策略来阻止对机构网络资源 的非法利用，防范各类网络攻击事件的发生，并应防止机构内部用户向外界提供一些不合适 的网络服务。 2.1 布置基本的网络结构 计算机网络的安全很大程度上依靠合理的网络组成结构以及相应的控制策略来保障。网 络提供给外部访问的范围和内容应是有限的，并且是加以制约的。一个体现安全策略的网络 结构通常应该包括以下部分： 防火墙（firewall）：分隔内部网（Intranet）和外部网（Internet）的关口，用来阻 止外部未经授权的用户访问内部网。防火墙通常是软件和硬件的结合体。一种典型的防 火墙是网络地址转换（NAT）设备。例如，IP 伪装（masquerade）就是一种地址转换技 术，它借助保留IP 地址来缓解当前IPv4 地址迅速枯竭的局面——使用保留地址的内部 网主机通过防火墙时，源地址均按规则转换成防火墙对外的正式IP。NAT 带来的安全好 处是外界只能看到防火墙对外的正式 IP，内部网络对外界而言不可见，