网络安全实验教程 pdf下载

实践学时的设置不仅起到加深学生理论课所学知识的作用，还有助于培养学生建立理论与实践联系并在解决实际问题的能力。对于实现当前的高等教育改革目标，提高毕业生综合素质具有重要的意义。但是，受实验设备所限，各课程的实验环节较分散，分布在不同的实验平台或实验课程中，缺乏连贯性和整体性。网络安全实践环节的设立，是对计算机网络、现代密码学、信息系统安全、网络安全、软件安全、信息安全管理等专业核心课程的有效支撑。本书兼顾高等学校理论教学需要与培养学生实践能力的需求，借鉴国外名校在信息安全专业课程设置及相关课程内容安排，组织本教程的相关理论知识及实验用例设计，力争理论详尽、用例科学、指导到位。配合高等学校的计算机网络、现代密码学、信息系统安全、网络安全、软件安全、信息安全管理等课程的实践教学环节，突出实用性，所有实验可操作性强，与实践结合紧密。本书不仅介绍网络安全的核心理论和主要技术，更着眼于介绍在网络安全管理和实践过程中如何运用系统软件，支撑和维护网络健康运行。

本书可作为信息安全专业及相关专业“计算机网络”、“现代密码学”、“信息系统安全“、“网络安全”、 “信息安全管理”等课程的实践教材，书中的全部实验示例都经过精心的设计和完全的调试，可以放心使用。

本书基于网络安全体系结构，选择z新的网络安全实用软件和技术，在基本的网络安全实用技术和理论基础上，按照网络分析、远程控制技术、SSL-VPN技术、防火墙技术、入侵检测技术和虚拟蜜网技术系统的讲授了网络安全实验内容。本书不仅介绍基础网络安全体系结构基本理论和方法。通过Sniffer分析软件、pcAnywhere远程控制程序、Snort入侵检测系统以及Honewall蜜网架构等实验用例的训练，学生可以建立网络信息安全的体系概念，了解网络协议、数据包结构、网络安全管理技术等在计算机系统中的重要性。

孙建国，男，1981年8月生，工学博士，教授，博士生导师。2005年参加工作，哈尔滨工程大学计算机学院、软件学院、国家保密学院副院长。计算机学会哈尔滨青年专委会委员、黑龙江省青联委员。国家自然科学基金委评审专家。作为项目负责人，主持国家自然科学基金、教育部博士点基金、博士后基金各一项；主持工信部、国家保密局等委托研究项目4项，科研经费共计200余万元，在《电子学报》、《电子与信息学报》、《通信学报》等国内外EI/SCI检索的核心期刊发表d一作者文章30多篇，获得发明专利4项，出版专著（一部）、译著（两部）、编著（三部）共6部。博士论文《矢量地图数字水印关键技术研究》获校优秀博士学位论文称号。

目录

第1章网络安全概述1

1.1引论1

1.1.1网络空间安全治理体系1

1.1.2网络安全现状及发展7

1.1.3黑客及黑客入侵技术11

1.1.4网络安全主要影响因素18

1.2网络安全基本知识19

1.2.1网络安全研究内容19

1.2.2网络安全体系结构20

1.2.3网络安全评价标准23

1.3网络空间安全国内外战略25

1.3.1美国网络空间安全国家战略25

1.3.2俄罗斯网络空间安全国家战略25

1.3.3欧盟网络空间安全战略26

1.3.4英国网络空间安全国家战略26

1.3.5我国网络空间安全国家战略27

1.4《塔林手册》34

1.4.1《塔林手册》出台的背景34

1.4.2《塔林手册》的核心内容34

1.4.3《塔林手册》对我国网络安全的影响36第2章网络安全研究的内容38

2.1密码技术38

2.1.1基本概念38

2.1.2密码算法38

2.1.3网络安全应用39

2.2防火墙技术39

2.2.1防火墙体系结构39

2.2.2包过滤防火墙41

2.2.3代理防火墙42

2.3入侵检测44

2.3.1入侵检测技术分类44

2.3.2入侵检测系统结构46

2.3.3重要的入侵检测系统47

2.3.4入侵检测的发展方向48

2.4网络安全态势感知49

2.4.1网络安全态势感知的基本概念49

2.4.2网络安全态势感知的相关技术52

2.4.3网络安全态势感知的研究方向53

2.5网络认证技术54

2.5.1身份认证55

2.5.2报文认证55

2.5.3访问授权56

2.5.4数字签名57第3章网络分析实验58

3.1网络分析原理58

3.1.1TCP/IP原理58

3.1.2交换技术58

3.1.3路由技术59

3.1.4网络嗅探技术60

3.2网络分析基础实验63

3.2.1Sniffer Pro简介63

3.2.2程序安装实验63

3.2.3数据包捕获实验69

3.2.4网络监视实验79

3.3网络分析扩展实验87

3.3.1网络协议嗅探87

3.3.2FTP分析89

3.3.3Telnet协议分析91

3.3.4多协议综合实验95

3.3.5端口扫描与嗅探实验97

3.3.6局域网信息嗅探实验112第4章网络安全协议与内容安全实验127

4.1网络安全协议与内容安全概述127

4.1.1基本概念127

4.1.2应用层安全协议128

4.2数据抓包分析实验137

4.3ARP欺骗实验143第5章防火墙实验149

5.1防火墙技术149

5.1.1基本概念149

5.1.2个人防火墙149

5.2天网防火墙实验152

5.3瑞星防火墙实验155

5.4防火墙评测实验158第6章入侵检测实验160

6.1入侵检测原理160

6.1.1入侵检测的步骤160

6.1.2入侵检测技术的特点160

6.1.3Snort简介161

6.1.4蜜网简介165

6.1.5工业信息安全简介 168

6.2入侵检测实验171

6.3Snort扩展实验183

6.4基于虚拟蜜网的网络攻防实验186

6.5工控入侵检测实验202第7章Web漏洞渗透实验209

7.1Web漏洞概述209

7.2Web漏洞实验210第8章主机探测及端口扫描实验220

8.1Windows操作系统探测及端口扫描实验220

8.2Back Track5系统的安装220

8.3Nmap网络扫描工具236第9章口令破解及安全加密电邮实验243

9.1口令破解实验243

9.2安全加密电邮实验250第10章邮件钓鱼社会工程学实验262

10.1社会工程学262

10.1.1社会工程学的攻击形式262

10.1.2社会工程学技术框架262

10.2邮件钓鱼社会工程学实验263第11章网络服务扫描实验273

11.1常用的扫描服务模块273

11.1.1Telnet服务扫描273

11.1.2SSH服务扫描273

11.1.3SSH口令猜测274

11.1.4数据库服务查点274

11.2网络服务扫描实验275参考文献285

第5章防火墙实验〖1〗5.1防火墙技术防火墙是一类防范措施的总称。所谓“防火墙”，是指一种将内联网和公众访问网(外联网，Internet)分开的方法，它使得内联网与外联网互相隔离，限制网络互访来保护内部网络。它是一个或一组由软件和硬件构成的系统，在两个网络通信时执行的一种访问控制规则，防止重要信息被更改、复制、毁坏。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。

5.1.1基本概念

防火墙是一个网络安全专用词，它是在内部网（或局域网）和互联网之间，或者是在内部网的各部分之间实施安全防护的系统，通常由硬件设备（路由器、网关、堡垒主机、代理服务器）和防护软件等组成。在网络中，它可对信息进行分析、隔离、限制，从而保护网络运行安全。

防火墙的体系结构主要包括如下4个部分。

（1） 屏蔽路由器（screening router）。

它是防火墙最基本的构件，可以由路由器实现，也可以用主机实现。屏蔽路由器作为内外连接的唯一通道，要求所有报文都必须在此通过检查。

（2） 双穴主机网关（dual homed gateway）。

这种配置是用一台装有两块网卡的堡垒主机作防火墙。两块网卡各自与受保护网和外部网相连，其防火墙软件可以转发应用程序，提供服务等。

（3） 被屏蔽主机网关（screened host gateway）。

屏蔽主机网关易于实现，也很安全，应用广泛。网关的基本控制策略由安装在上面的软件决定。

（4） 被屏蔽子网（screened subnet）。

这种方法是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。

防火墙的作用包括

（1） 取消或拒绝任何未被明确允许的软件包通过。

（2） 将外部用户保持在内部网之外，对外部用户访问内部网进行限制。

（3） 强制执行注册、审计和报警等。

5.1.2个人防火墙

个人防火墙包括天网防火墙、诺顿防火墙、江民防火墙、金山网镖和瑞星防火墙。

1. 天网防火墙

天网防火墙是由天网安全实验室研发制作给个人计算机使用的网络安全工具。它根据系统管理者设定的安全规则（security rules）防护网络，提供强大的访问控制、应用选通、信息过滤等功能。能够抵挡网络入侵和攻击，防止信息泄露，保障用户机器的网络安全。天网防火墙把网络分为本地网和互联网，可以针对来自不同网络的信息，设置不同的安全方案。

天网防火墙具有如下特征。

（1） 严密的实时监控： 防火墙会监控来自外部的安全威胁，过滤掉所有未授权的连接，时刻保护系统安全。

（2） 灵活的安全规则： 通过防火墙的规则设置面板，可以方便地对防火墙规则进行增加、删除和修改，可以根据自身需要制定相应的规则，官方会根据网络安全环境不定时升级最新规则库。

（3） 便利的应用程序规则设置： 拒绝任何未经授权的内部程序连接网络，从而阻断所有病毒木马泄露秘密信息。

（4） 详细的访问记录和完善的报警系统： 遇到安全威胁即发出报警，并记录下攻击来源及其攻击类型等信息，在第一时间掌握系统的安全情况。

（5） 独创的扩展安全级别： 无需对防火墙进行烦琐设置，只把安全级别调成“扩展”级别即可，每当有最新规则，防火墙就会自动联网升级。

（6） 完善的密码保护措施： 查看、修改、关闭防火墙，均需要提供密码，防止了病毒或黑客恶意关闭防火墙，以制造安全漏洞。

（7） 稳定的进程保护： 进程保护可以使防火墙的进程享受超越系统级的安全待遇，保护防火墙的进程不被恶意关闭。

（8） 智能的入侵检测： 针对密集的攻击，天网防火墙会自动判断并将攻击源加入列表，静默该攻击源。一旦攻击源被加入静默列表，所有来自这里的攻击一律被屏蔽。

2. 诺顿防火墙

诺顿防火墙是由赛门铁克提供的一款功能强大的防火墙。诺顿防火墙集成的功能相当丰富，除了作为基础的防火墙功能，入侵检测、隐私保护等功能也颇为强大。诺顿在浏览器中集成增加了Web辅助功能插件，该插件可以动态地根据浏览网站的情况弹出广告窗口、Applet、ActiveX等内容的阻塞，而用户可以针对单个网站决定是否阻塞这些内容，同时以关键字的形式维护广告信息过滤清单。另外，该插件还可以帮助用户禁止浏览器信息、访问历史信息等泄露给外部网络。诺顿防火墙集成的入侵检测组件带有大量的攻击指纹，能够设定在多长时间内阻止发起攻击的计算机，其功能性已经趋进专业的入侵检测系统。

诺顿的定制能力不单体现在对防火墙规则的设定上，辅助功能组件的管理功能也相当强大。以入侵检测指纹为例，用户可以决定哪些攻击需要被检测，哪些攻击需要被忽略；同时，可以选择发现攻击时的告警方式。另外，不只防火墙具有防护等级，包括隐私保护等辅助功能在内，也可以独立设置级别，用户可以快速简便地设定计算机的防护强度。

在整体设计上，诺顿相当规整，大量的功能很好地排布在几个选项中，相应的许多操作需要深入多个界面才能完成，这也是诺顿操作负担较重的主要原因。诺顿为用户提供了多种应用情境模式的选择，对这些模式，诺顿分别赋予了不同的规则权限，初级用户可以安全高效地利用模式的切换调整对计算机的保护。而相对专业的基于地址和协议的过滤条件设定被隐藏在高级设置部分，专业用户在需要的情况下可以通过该界面定义更加复杂的防护策略。

3. 江民防火墙

江民防火墙是一款专为解决个人用户上网安全而设计的免费网络安全防护工具，该产品融入了先进的网络访问动态监控技术，彻底解决黑客攻击、木马程序及互联网病毒等各种网络危险的入侵，全面保护个人上网安全。

江民防火墙具有如下特征。

（1） 全新网络访问动态监控技术： 动态监控黑客攻击、木马程序、互联网病毒等危险，保护上网账号、QQ密码、游戏分值、银行账号、邮件密码、个人隐私等重要信息不外泄。

（2） 网络安全级别设定，智能防黑客、拦木马： 高、中、低、自定义4种安全级别的设定满足不同需求用户的网络安全选择；监视网络数据流，一旦遇危险，就报警提示。

（3） 程序访问控制技术，网络日志记录技术： 用户可对本地网络规则进行匹配设置，保证只有安全可靠的访问才被允许；详细记录网络链接情况，留下非法访问和未被授权访问对象详细的IP地址。

（4） 网络访问控制，过滤不良网站，保证数据安全： 通过设置防火墙管理中的区域访问控制规则，可以阻止不良网站和受控制网段访问计算机，清洁网络空间，保证数据安全。

4. 金山网镖

金山网镖是一款由金山毒霸推出，为个人计算机量身定做的网络安全产品。它根据个人上网的不同需要设定安全级别，有效地提供网络流量监控，应用程序访问网络权限控制，病毒预警，黑客、木马攻击监测。

金山网镖具有如下特征。

（1） 全面安全防护： 专业的个人网络防火墙，提供对黑客程序、木马和间谍软件以及其他恶意程序的拦截查杀，对网络进行全方位攻击防护，并且还提供了网络访问监控、共享目录管理、不良网站过滤等多种网络安全实用功能。

（2） 防网络钓鱼： 防止钓鱼网站、钓鱼邮件的攻击，用户访问钓鱼网站时，网镖会自动拦截，防止用户的账号、密码等重要信息被盗。

（3） 历史痕迹清理： 帮助用户预览并清理软件使用的痕迹，避免重要文件、信息或个人隐私被泄露。

（4） 木马防火墙： 通过多种技术，实现对木马进程的查杀。系统中一旦有木马、黑客或间谍程序访问网络，会及时拦截该程序对外的通信访问，然后对内存中的进程进行自动查杀，保护用户网络通信的安全。这对防御盗取用户信息的木马、黑客程序特别有效。

具体体现在以下3个方面。

① 能够设置应用程序的访问权限。

② 通过高、中、低3种安全级别的设定，达到不同程度地保护用户安全的目的。

③ 能够阻止如冰河、B1O、网络神偷等常见木马对用户的危害；若有木马侵入，金山网镖会及时拦截，并弹出对话框告知用户已成功拦截，真正达到实时保护计算机的目的。

（5） 智能防黑技术融杀毒技术与网络防火墙技术于一体，直接查杀流行木马与黑客程序。动态监视计算机的Internet活动状态，随时加以控制。高级用户可以完全细致地定制不同的IP包过滤规则。

（6） 在程序应用规则中可以根据自己的需要设置各程序访问互联网和局域网的权限。一般来说，很多程序可以设置成禁止访问网络来降低受攻击的可能性。

5. 瑞星防火墙

瑞星防火墙最新版采用增强型指纹技术，有效地监控网络连接。内置细化的规则设置，使网络保护更加智能。游戏防盗、应用程序保护等高级功能，为个人计算机提供全面安全的保护。通过过滤不安全的网络访问服务，极大地提高了用户计算机的上网安全。彻底阻挡黑客攻击、木马程序等网络危险，保护上网账号、QQ密码、网游账号等信息不被窃取。

（1） 防火墙多账户管理： 防火墙提供“管理员”和“普通用户”两种账户。防火墙提供切换账户功能，可以在两种账户之间进行切换。管理员可以执行防火墙的所有功能，普通用户不能修改任何设置、规则，不能启动/停止防火墙，不能退出防火墙。

（2） 未知木马扫描技术： 通过启发式查毒技术，当有程序进行网络活动的时候，对该进程调用未知木马扫描程序进行扫描，如果该进程为可疑的木马病毒，则提示用户。此技术提高了对可疑程序自动识别的能力。

（3） IE功能调用拦截： 由于IE提供了公开的Com组件调用接口，因此有可能被恶意程序所调用。此功能是对需要调用IE接口的程序进行检查。如果检查为恶意程序，则报警给用户。

（4） 反钓鱼，防木马病毒网站： 提供强大的、可以升级的黑名单规则库。库中是非法的、高风险、高危害的网站地址列表，符合该库的访问会被禁止。

（5） 模块检查： 防火墙能够控制是否允许某个模块访问网络。当应用程序访问网络时，对参与访问的模块进行检查，根据模块的访问规则决定是否允许该访问。以往的防火墙只是对应用程序进行检查，没有对所关联的DLL做检查。进行模块检查，可以防止木马模块注入正常进程中访问网络。

5.2天网防火墙实验〖*2〗实验器材天网防火墙个人版软件系统，1套。

PC（Windows XP/Windows 7），1台。

预习要求

（1） 做好实验预习，复习防火墙技术的有关内容。

（2） 复习天网防火墙的使用方法。

（3） 熟悉实验过程和基本操作流程。

（4） 做好预习报告。

前言

1. 写作背景

目前，关于我国高等教育的信息安全学科和专业方向设置问题受到非常大的关注。对于信息安全专业的本科生教育而言，其基本的培养方案、课程设置和教学大纲都需要根据新的形势发生变革，保密与信息安全专业方向也在积极地进行准备。

在新形势下，对于信息安全专业人才的培养标准是： 具有宽厚的理工基础，掌握信息科学和管理科学专业基础知识，系统地掌握信息安全与保密专业知识，具有良好的学习能力、分析与解决问题能力、实践与创新能力。特别是在能力方面，要求专业学生能够做到： 具有设计和开发信息安全与防范系统的基本能力，具有获取信息和运用知识解决实际问题的能力，具有良好的专业实践能力和基本的科研能力。

实践学时的设置不仅起到加深学生理论课所学知识的作用，还有助于培养学生建立理论与实践相结合解决实际问题的能力。对于实现当前的高等教育改革目标，提高毕业生综合素质具有重要的意义。但是，受实验设备所限，各课程的实验环节较分散，分布在不同的实验平台或实验课程中，缺乏连贯性和整体性。网络安全实践环节的设立，是对计算机网络、现代密码学、信息系统安全、网络安全、软件安全、信息安全管理等专业核心课程的有效支撑。

本书的编写思路是： 根据网络安全的体系架构，确定需要重点讲授和考核的内容，并针对具体内容选择最具代表性的实用型软件工具或主流技术，同时结合主体技术开展具有基础实验和扩展实验相结合的实验内容，既能够满足日常的实验教学活动，又能够促进学生创新实践能力的培养和提高。

2. 本书特点

本书兼顾高等学校理论教学需要与培养学生实践能力的需求，借鉴国外名校的信息安全专业课程设置及相关课程内容安排，组织本教程的相关理论知识及实验用例设计，力争理论详尽、用例科学、指导到位。配合高等学校的计算机网络、现代密码学、信息系统安全、网络安全、软件安全、信息安全管理等课程的实践教学环节，突出实用性，所有实验可操作性强，与实践结合紧密。本书不仅介绍网络安全的核心理论和主要技术，更着眼于介绍在网络安全管理和实践过程中如何运用系统软件支撑和维护网络健康运行。

本书可作为信息安全专业及相关专业计算机网络、现代密码学、信息系统安全、网络安全、信息安全管理等课程的实践教材，书中的全部实验示例都经过精心的设计和完全的调试，可以放心使用。

3. 内容安排

本书的内容安排如下。

第1章介绍了网络安全的基本概念和发展情况。从国家战略层面，介绍了网络空间安全治理体系、黑客入侵、国内外网络安全攻防手段。从技术层面，介绍了网络安全的研究内容、体系结构、评价标准等。最后介绍了国际法适用于虚拟空间的有益探索——《塔林手册》。

第2章介绍了网络安全的研究内容，包括密码技术、防火墙技术、入侵检测技术、网络安全态势感知技术、网络认证技术。

第3章介绍了网络分析实验的原理和技术，重点介绍了基于Sniffer Pro嗅探软件的数据包捕获、网络监视等功能，对多种网络协议进行嗅探分析的扩展实验环节。

第4章介绍了内容安全的概念和应用层的安全协议，着重介绍了有关内容分析的安全实验，包括数据抓包行为分析实验和ARP欺骗实验。

第5章介绍了防火墙技术，并结合天网防火墙和瑞星防火墙，讲述了防火墙使用及配置方法。

第6章介绍了入侵检测技术，重点讲述了Snort入侵检测工具的使用方法，新增了基于虚拟蜜网的网络攻防基本原理和实验，以及工业信息安全的基本原理和工控入侵系统检测方法实验。

第7章讨论了常见的Web漏洞，以及针对Web漏洞扫描攻击的实验。

第8、9、10、11章分别介绍了主机探测及端口扫描实验、口令破解及安全加密电邮实验、邮件钓鱼社会工程学实验、网络服务扫描实验。

4. 致谢

首先感谢哈尔滨工程大学计算机科学与技术学院、国家保密学院的各位老师和研究生的大力支持和热情帮助。以下同学参与了本书实验示例代码的编写和调试以及原始资料的翻译和整理工作： 曹翠玲、王文彬、李慧敏、寇亮等。感谢他们付出的辛勤劳动。感谢本书的主审印桂生教授的热情帮助。

感谢评阅专家对本书提出的宝贵修改意见，这些意见对于完善和提高全书质量起到了关键的作用。

感谢清华大学出版社的张瑞庆编审，没有她的热情鼓励和无限耐心，本书是不可能完成的。

本书的编写得到国家自然科学基金（61472096，61202455）、黑龙江省自然科学基金（F201306）、中央高校基础科研基金（HEUCF100609）的支持，在此一并致谢。

编者虽然从事信息安全实践教学多年，但是由于水平所限，书中难免存在缺点和错误，诚恳地希望各位读者提出宝贵意见，编者的联系方式为sunjianguo@hrbeu.edu.cn。

编者2019年5月