信息安全技术 实验4

信息安全技术基础课后答案第四章一、选择题1.当前普遍使用的WEB服务器和浏览器的主要协议是：A. HTTPB. HTTPSC. SMTPD. TCP正确答案：A. HTTP2.对于非对称加密算法，以下描述正确的是：A. 加密和解密密钥相同B. 加密和解密密钥不同C. 加密过程只有一个密钥D. 加密过程不存在密钥正确答案：B. 加密和解密密钥不同3.在信息安全领域，安全漏洞是指：A. 不存在的威胁B. 信息系统中存在的弱点或缺陷C. 无法被攻击的系统D. 信息安全技术的核心正确答案：B. 信息系统中存在的弱点或缺陷4.在网站安全漏洞中，SQL注入是指：A. 利用用户输入构造特定的SQL查询语句，从而对数据库进行非法操作B. 利用用户密码泄露漏洞进行拦截C. 对网站进行DDoS攻击D. 从网站服务器系统入手，获取管理员权限进行攻击正确答案：A. 利用用户输入构造特定的SQL查询语句，从而对数据库进行非法操作5.加密算法中，对称加密算法和非对称加密算法的区别在于：A. 对称加密算法使用相同的密钥进行加密和解密，非对称加密算法使用不同的密钥B. 对称加密算法比非对称加密算法更安全C. 对称加密算法速度更快D. 非对称加密算法只能用于数字签名正确答案：A. 对称加密算法使用相同的密钥进行加密和解密，非对称加密算法使用不同的密钥二、判断题1.信息安全的三要素是机密性、完整性和可用性。

正确答案：正确2.信息安全管理体系（ISMS）是指一套包含组织、人员、技术等维度的信息安全管理制度。

正确答案：正确3.单向散列函数是一种不可逆的加密算法。

正确答案：正确4.公钥加密算法是一种非对称加密算法。

正确答案：正确5.SQL注入漏洞主要是通过合理构造恶意SQL查询语句实现的。

正确答案：正确三、简答题1.请简述对称加密算法和非对称加密算法的原理和应用场景。

对称加密算法使用相同的密钥进行加密和解密。

加密和解密的速度较快，但密钥的传递和管理比较困难。

题目一、单项选择题1.以下哪一项不属于存储型XSS的特点〔〕？A:持久化B: 不在目标站点实施攻击C: 前端漏洞D:需要用户的访问，才会执行XSS代码参考答案：C2.以下哪一项不属于反射型XSS与存储型XSS的不同点〔〕？A: 触发XSS恶意代码的方式不同B: 危害程度不同C: 影响范围不同D: 防御方式不同参考答案：D3.以下哪一项防御措施无法防止存储型XSS漏洞〔〕？A:对用户的输入进行合理验证B:对输入输出进行恰当的输出编码C:设置HttpOnly 属性D:站点为数据库设置平安等级高的密码参考答案：D二、填空题1.存储型型XSS又可以叫做________〔持久化/非持久化〕XSS。

参考答案：持久化2.存储型XSS实施攻击的效劳器是___________〔黑客效劳器/正常效劳器〕。

参考答案：黑客效劳器3.存储型XSS比反射型XSS的危害更_______〔大/小〕。

参考答案：大三、简答题1.请简单描述以下存储型XSS与反射型XSS的不同点？参考答案：攻击有时候只需要用户浏览界面就能被攻击，二反射型XSS还需要用户点击相关连接才可以执行攻击。

的危害更大，在于它不需要构造特殊的URL，用户访问的是一个正常的URL也可以被攻击。

3另一方面，存储型XSS持久化攻击在效劳端，影响的范围可以比反射型XSS更广。

2.请简述完成一次存储型XSS攻击的流程。

参考答案：恶意代码到效劳器的数据库里面，确保持久存在。

恶意代码的界面。

同正常页面返回到用户浏览器。

代码，根据XSS恶意代码向恶意效劳器发起请求。

5黑客从自己搭建的恶意效劳器中获取用户提交的信息。

网络安全管理课程设计学院：计算机科学与技术学院专业：计算机网络技术姓名： LIU学号：33班级：B1452指导教师：目录一、本地系统密码破解 (1)实验原理： (1)实验步骤： (1)实验小结： (4)二、IPC$管道的利用与远程控制 (4)实验原理及相关知识： (4)实验步骤： (4)实验小结： (7)三、网络信息收集 (7)实验目的和备用知识 (7)Fluxay密码扫描 (8)实验原理： (8)实验步骤： (8)Nmap端口扫描 (10)实验原理： (10)实验步骤： (11)实验小结 (12)四、Windows 口令安全与破解 (13)pwdump导出本地SAM散列 (12)实验原理： (12)实验步骤： (13)LC5破解本地SAM散列 (14)实验原理： (14)实验步骤： (14)saminside破解本地sam散列 (16)实验步骤： (16)实验小结 (17)五、Ipsec VPN (17)实验原理： (17)实验步骤： (19)实验小结： (24)六、SQL注入技术 (25)SQL注入原理-手工注入access数据库 (25)实验原理： (25)实验步骤： (25)SQL注入原理-手工联合查询注入 (28)实验原理： (28)实验步骤： (28)SQL注入原理-数字型注入 (30)实验原理： (30)实验步骤： (30)实验小结： (34)七、实训总结 (35)一本地系统密码破解【实验原理】暴力破解，有时也称为穷举法，是一种针对于密码的破译方法。

这种方法很像数学上的“完全归纳法”并在密码破译方面得到了广泛的应用。

简单来说就是将密码进行逐个推算直到找出真正的密码为止。

比如一个四位并且全部由数字组成其密码共有10000种组合，也就是说最多我们会尝试10000次才能找到真正的密码。

利用这种方法我们可以运用计算机来进行逐个推算，可见破解任何一个密码只是时间问题。

Saminside即通过读取本地帐户的lmhash值，对hash值进行暴力破解的工具。

《信息安全》实验报告3MD5的计算和破解1.引言信息安全是一个重要的领域，加密算法是其中的核心技术之一、MD5（Message Digest Algorithm 5）是一种常用的哈希算法，广泛应用于文件校验、数据完整性验证等等领域。

本实验旨在通过计算和破解MD5，深入了解MD5的工作原理和安全性。

2.实验目的（1）了解MD5算法的基本原理；（2）掌握MD5算法的计算过程；（3）通过破解MD5，了解其安全性问题。

3.实验过程3.1MD5算法的基本原理MD5算法通过对输入的字符串进行分组，然后对每个分组进行一系列的位运算和逻辑运算，最终生成一个128位（16字节）的哈希值。

MD5算法的基本原理如下：（1）填充：在输入字符串的末尾填充一些字节，使得输入字符串的长度能被64整除。

（2）初始化：将16进制的常数赋给4个32位寄存器A、B、C、D。

（3）分组：将填充后的输入字符串分为若干个512位的分组。

（4）处理：对每个分组进行一系列的位运算和逻辑运算。

（5）生成哈希值：将处理后的结果按一定顺序连接起来，得到一个128位的哈希值。

3.2MD5的计算过程通过Python编程语言实现MD5算法的计算过程如下：（1）初始化四个32位寄存器A、B、C、D，并赋初值。

（2）将待计算的字符串分组，每个分组512位。

（3）对每个分组进行一系列的位运算和逻辑运算，生成一个128位的哈希值。

（4）将生成的哈希值转换为16进制字符串。

3.3MD5的破解MD5算法虽然被广泛应用，但是也存在一定的安全性问题。

MD5哈希值是固定长度的，而输入字符串的长度可以是任意长度的，这就导致了哈希碰撞（hash collision）的概率增加。

哈希碰撞是指不同的输入字符串可以生成相同的哈希值，从而破解MD5密码。

破解MD5密码一般采用暴力破解和字典攻击两种方式。

4.实验结果通过编程计算MD5并破解一个MD5密码，结果如下：5.实验总结通过本次实验，我们了解了MD5算法的基本原理和计算过程。

第1篇一、引言随着信息技术的飞速发展，我国教育领域对信息技术教育的重视程度日益提高。

信息技术实践教学作为一种新型教学模式，旨在培养学生的信息素养、实践能力和创新精神。

本报告以某高校信息技术实践教学为例，对其实践教学情况进行总结和分析，以期为我国信息技术实践教学提供借鉴。

二、实践教学内容与方法1. 实践教学内容（1）基础知识：计算机硬件、操作系统、网络基础、数据库原理等。

（2）编程语言：C、C++、Java、Python等。

（3）软件应用：办公软件、图形图像处理、多媒体制作等。

（4）信息技术课程设计：网页设计与制作、数据库应用、网络编程等。

（5）信息技术竞赛：蓝桥杯、ACM等。

2. 实践教学方法（1）项目驱动教学：以项目为导向，让学生在完成项目的过程中学习和掌握知识。

（2）案例教学：通过案例分析，帮助学生理解和掌握理论知识。

（3）翻转课堂：将课堂上的理论知识提前通过视频、网络等渠道学习，课堂上进行实践操作和讨论。

（4）小组合作学习：将学生分成小组，共同完成项目，培养学生的团队协作能力。

（5）实践指导：教师针对学生的实践过程进行指导和评价，提高实践效果。

三、实践教学效果分析1. 学生信息素养提高通过信息技术实践教学，学生的信息素养得到了显著提高。

学生能够熟练使用计算机，掌握网络基本技能，具备一定的编程能力。

2. 实践能力增强在实践教学中，学生通过完成项目、案例分析等环节，提高了自己的实践能力。

他们在实际操作中不断发现问题、解决问题，培养了动手能力和创新精神。

3. 团队协作能力提升小组合作学习模式使学生学会了与他人沟通、协作，提高了团队协作能力。

在完成项目过程中，学生学会了分工合作，共同完成任务。

4. 竞赛成绩优异在信息技术竞赛中，学生的成绩表现出色。

这得益于他们在实践教学中积累的经验和技能。

四、存在问题及改进措施1. 存在问题（1）实践教学资源不足：部分实践教学资源不足，影响实践效果。

（2）师资力量薄弱：部分教师实践能力不足，难以满足实践教学需求。

实验四防火墙技术实验4-1 防火墙实验一实验目的通过实验深入理解防火墙的功能和工作原理，熟悉天网防火墙个人版的配置和使用。

二实验环境实验室所有机器安装了Windows X P 操作系统，组成了局域网，并安装了天网防火墙。

三实验原理防火墙的工作原理：防火墙能增强机构内部网络的安全性。

防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。

防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。

两种防火墙技术的对比包过滤防火墙：将防火墙放置于内外网络的边界；价格较低，性能开销小，处理速度较快；定义复杂，容易出现因配置不当带来问题，允许数据包直接通过，容易造成数据驱动式攻击的潜在危险。

应用级网关：内置了专门为了提高安全性而编制的Proxy应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理，速度较慢，不太适用于高速网（ATM或千兆位以太网等）之间的应用。

防火墙体系结构屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与 Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为 Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。

双重宿主主机体系结构：围绕双重宿主主机构筑。

双重宿主主机至少有两个网络接口。

这样的主机可以充当与这些接口相连的网络之间的路由器；它能够从一个网络到另外一个网络发送IP数据包。

但是外部网络与内部网络不能直接通信，它们之间的通信必须经过双重宿主主机的过滤和控制。

被屏蔽子网体系结构：添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络和外部网络（通常是Internet）隔离开。

被屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。

一个位于周边网与内部网络之间，另一个位于周边网与外部网络（通常为Internet）之间。

一、实验目的1. 熟悉信息技术的基本概念和应用领域。

2. 掌握信息技术的常用工具和软件操作。

3. 培养信息素养，提高信息获取、处理和利用能力。

二、实验内容1. 信息技术的概述2. 计算机网络的基本原理3. 办公自动化软件的使用4. 网络安全与防范三、实验步骤1. 信息技术的概述（1）了解信息技术的定义、发展历程和分类。

（2）分析信息技术在各行各业的应用。

2. 计算机网络的基本原理（1）学习计算机网络的基本概念和组成。

（2）掌握数据通信的基本原理和协议。

（3）了解局域网、广域网和互联网的基本特点。

3. 办公自动化软件的使用（1）学习Microsoft Office系列软件的使用，包括Word、Excel、PowerPoint等。

（2）掌握文档编辑、数据处理、演示制作等基本技能。

（3）熟练运用软件进行团队协作和项目管理。

4. 网络安全与防范（1）了解网络安全的基本概念和威胁类型。

（2）掌握常见的网络安全防护措施和策略。

（3）提高个人信息保护意识，防范网络诈骗和病毒攻击。

四、实验结果与分析1. 信息技术的概述实验结果显示，信息技术在各行各业的应用日益广泛，已成为推动社会发展的重要力量。

通过对信息技术的学习，我们了解到信息技术的发展历程和分类，以及其在不同领域的应用案例。

2. 计算机网络的基本原理实验结果表明，计算机网络是实现信息资源共享、提高工作效率的重要手段。

通过学习计算机网络的基本原理和组成，我们掌握了数据通信的基本知识，为今后在实际工作中应用计算机网络奠定了基础。

3. 办公自动化软件的使用实验过程中，我们熟练掌握了Microsoft Office系列软件的使用。

通过实际操作，提高了文档编辑、数据处理和演示制作等技能，为今后的工作和学习提供了便利。

4. 网络安全与防范实验结果表明，网络安全问题日益突出，我们必须提高个人信息保护意识，防范网络诈骗和病毒攻击。

通过学习网络安全与防范知识，我们掌握了常见的网络安全防护措施和策略，为保障个人信息安全提供了有力保障。

信息安全技术实践作业指导书第1章信息安全基础 (4)1.1 信息安全概念与体系结构 (4)1.1.1 信息安全定义 (4)1.1.2 信息安全体系结构 (4)1.2 常见信息安全威胁与防护措施 (4)1.2.1 常见信息安全威胁 (4)1.2.2 防护措施 (4)第2章密码学基础 (5)2.1 对称加密算法 (5)2.1.1 常见对称加密算法 (5)2.1.2 对称加密算法的应用 (5)2.2 非对称加密算法 (5)2.2.1 常见非对称加密算法 (5)2.2.2 非对称加密算法的应用 (6)2.3 哈希算法与数字签名 (6)2.3.1 哈希算法 (6)2.3.1.1 常见哈希算法 (6)2.3.2 数字签名 (6)2.3.2.1 数字签名的实现过程 (6)2.3.3 数字签名的作用 (6)第3章认证与访问控制 (6)3.1 认证技术 (6)3.1.1 生物认证 (6)3.1.2 密码认证 (7)3.1.3 令牌认证 (7)3.1.4 双因素认证 (7)3.2 访问控制模型 (7)3.2.1 自主访问控制模型 (7)3.2.2 强制访问控制模型 (7)3.2.3 基于角色的访问控制模型 (7)3.2.4 基于属性的访问控制模型 (7)3.3 身份认证与权限管理 (7)3.3.1 身份认证 (7)3.3.2 权限管理 (7)3.3.3 访问控制策略 (8)第4章网络安全协议 (8)4.1 SSL/TLS协议 (8)4.1.1 SSL/TLS协议原理 (8)4.1.2 SSL/TLS协议功能 (8)4.1.3 SSL/TLS协议应用 (8)4.2 IPsec协议 (8)4.2.2 IPsec协议工作原理 (9)4.2.3 IPsec协议应用 (9)4.3 无线网络安全协议 (9)4.3.1 无线网络安全协议原理 (9)4.3.2 无线网络安全协议关键技术 (9)4.3.3 无线网络安全协议应用 (9)第5章网络攻击与防范 (9)5.1 网络扫描与枚举 (9)5.1.1 网络扫描技术 (9)5.1.2 枚举技术 (10)5.2 漏洞利用与攻击方法 (10)5.2.1 漏洞利用概述 (10)5.2.2 攻击方法 (10)5.3 防火墙与入侵检测系统 (11)5.3.1 防火墙技术 (11)5.3.2 入侵检测系统（IDS） (11)第6章恶意代码与防护 (11)6.1 计算机病毒 (11)6.1.1 病毒的定义与特征 (11)6.1.2 病毒的分类 (12)6.1.3 病毒的传播与感染 (12)6.1.4 病毒的防护措施 (12)6.2 木马与后门 (12)6.2.1 木马的定义与特征 (12)6.2.2 木马的分类 (12)6.2.3 木马的传播与感染 (12)6.2.4 木马的防护措施 (12)6.3 蠕虫与僵尸网络 (12)6.3.1 蠕虫的定义与特征 (13)6.3.2 蠕虫的传播与感染 (13)6.3.3 僵尸网络的定义与特征 (13)6.3.4 蠕虫与僵尸网络的防护措施 (13)第7章应用层安全 (13)7.1 Web安全 (13)7.1.1 基本概念 (13)7.1.2 常见Web攻击类型 (13)7.1.3 Web安全防范措施 (13)7.2 数据库安全 (14)7.2.1 数据库安全概述 (14)7.2.2 数据库安全威胁 (14)7.2.3 数据库安全防范措施 (14)7.3 邮件安全与防护 (14)7.3.1 邮件安全概述 (14)7.3.3 邮件安全防护措施 (14)第8章系统安全 (15)8.1 操作系统安全 (15)8.1.1 操作系统安全概述 (15)8.1.2 操作系统安全机制 (15)8.1.3 操作系统安全实践 (15)8.2 安全配置与基线加固 (15)8.2.1 安全配置概述 (15)8.2.2 安全配置实践 (15)8.2.3 基线加固概述 (15)8.2.4 基线加固实践 (15)8.3 虚拟化与云安全 (15)8.3.1 虚拟化安全概述 (16)8.3.2 虚拟化安全实践 (16)8.3.3 云安全概述 (16)8.3.4 云安全实践 (16)第9章物理安全与应急响应 (16)9.1 物理安全设施 (16)9.1.1 安全区域规划 (16)9.1.2 机房设施安全 (16)9.1.3 网络设备安全 (16)9.2 安全审计与监控 (16)9.2.1 安全审计 (16)9.2.2 安全监控 (16)9.2.3 安全审计与监控的协同作用 (17)9.3 应急响应与处理 (17)9.3.1 应急响应计划 (17)9.3.2 应急响应团队 (17)9.3.3 信息安全事件处理 (17)9.3.4 事后总结与改进 (17)第10章信息安全管理体系 (17)10.1 信息安全策略与法律法规 (17)10.1.1 信息安全策略概述 (17)10.1.2 信息安全策略的制定与实施 (17)10.1.3 我国信息安全法律法规体系 (17)10.1.4 企业信息安全法律法规遵循 (17)10.2 信息安全风险评估与管理 (17)10.2.1 信息安全风险评估概述 (18)10.2.2 信息安全风险评估方法 (18)10.2.3 信息安全风险评估流程 (18)10.2.4 信息安全风险管理策略与措施 (18)10.3 信息安全培训与意识提升 (18)10.3.1 信息安全培训的意义与目标 (18)10.3.2 信息安全培训内容与方法 (18)10.3.3 信息安全意识提升策略 (18)10.3.4 信息安全培训的实施与评估 (18)第1章信息安全基础1.1 信息安全概念与体系结构1.1.1 信息安全定义信息安全是指保护信息资产，保证信息的保密性、完整性和可用性，避免由于非法访问、泄露、篡改、破坏等造成的信息丢失、损害和不可用的一系列措施和过程。

一、实验目的通过本次信息技术实训实验，使学生掌握以下技能：1. 熟练使用Windows操作系统进行基本操作；2. 掌握Word、Excel、PowerPoint等办公软件的基本操作和应用；3. 了解计算机网络的基本原理和配置方法；4. 熟练使用网络浏览器和电子邮件等网络工具；5. 提高信息安全意识，掌握基本的安全防护措施。

二、实验内容1. Windows操作系统基本操作（1）桌面环境设置：调整桌面背景、设置桌面图标等；（2）文件管理：创建、删除、移动、复制文件和文件夹；（3）系统设置：设置用户账户、电源管理、显示设置等；（4）软件安装与卸载：使用控制面板安装和卸载软件。

2. 办公软件应用（1）Word：创建文档、编辑文本、设置格式、插入表格、图片、图表等；（2）Excel：创建工作表、编辑数据、设置公式、图表、数据透视表等；（3）PowerPoint：创建演示文稿、编辑幻灯片、设置动画、切换效果等。

3. 计算机网络基本原理（1）网络拓扑结构：了解星型、环型、总线型等拓扑结构；（2）网络协议：了解TCP/IP协议、HTTP协议等；（3）网络配置：了解IP地址、子网掩码、网关等网络参数的配置。

4. 网络工具使用（1）网络浏览器：使用Chrome、Firefox等浏览器浏览网页；（2）电子邮件：使用Outlook、Foxmail等软件收发电子邮件；（3）远程桌面：使用TeamViewer等软件实现远程桌面连接。

5. 信息安全（1）了解常见信息安全威胁：病毒、木马、钓鱼网站等；（2）掌握基本的安全防护措施：设置复杂密码、定期更新软件、安装杀毒软件等。

三、实验步骤1. 安装Windows操作系统，并进行基本设置；2. 创建Word、Excel、PowerPoint文档，进行编辑和格式设置；3. 在网络环境中，配置IP地址、子网掩码、网关等网络参数；4. 使用网络浏览器和电子邮件等网络工具进行实际操作；5. 了解信息安全知识，掌握基本的安全防护措施。

4.2信息系统安全技术教学设计1.引言4.2信息系统安全技术教学设计是为培养学生的信息安全技术能力而设计的一门课程。

本课程旨在通过专业技术讲授、案例分析、实践操作和团队合作等多元化教学方法，培养学生的信息安全思维和能力，提高其对信息技术安全风险的识别、评估和控制能力。

2.教学目标本课程的主要教学目标包括以下几个方面：(1)理解信息安全的基本概念、原则和标准，掌握信息安全相关法律法规和标准规范的要求；(2)熟悉计算机网络技术和通信协议的基本知识，掌握常见网络攻击手段和防御措施；(3)了解身份认证、访问控制、加密技术、安全审计等信息安全技术的原理和应用方法，掌握常见的安全技术工具和软件的使用；(4)掌握信息安全管理和应急响应的基本知识，了解信息安全保障体系建设的要点和步骤；(5)具备实际应用信息安全技术的能力，能够进行攻防实验和安全事件处置等实践操作。

3.教学内容本课程的教学内容包括以下几个方面：(1)信息安全基础知识。

介绍信息安全的基本概念、原则和标准，讲解信息安全相关法律法规和标准规范的要求。

(2)网络安全技术。

包括计算机网络技术和通信协议的基础知识、常见网络攻击手段和防御措施、网络安全设备和安全管控平台等。

(3)密码学基础与应用。

讲解密码学的基本概念、算法和加密技术，介绍身份认证、访问控制、加密技术、安全审计等信息安全技术的原理和应用方法，掌握常见的安全技术工具和软件的使用。

(4)信息安全管理和应急响应。

了解信息安全保障体系建设的要点和步骤，掌握信息安全管理的基本方法和技巧，熟悉安全事件的分类和处置流程。

4.教学方法本课程采用多元化教学方法，包括专业技术讲授、案例分析、实践操作、团队合作等，具体方法包括以下几个方面：(1)讲授。

采用专业的PPT课件，讲授信息安全的基本概念、原则和标准，介绍网络安全技术、密码学基础与应用、信息安全管理和应急响应等内容。

(2)案例分析。

根据实际案例，分析网络攻击手段和防御措施、安全事件的分类和处置流程，培养学生的信息安全思维和能力。

网络工程信息安全_通信原理实验讲义一、实验目的1.掌握通信原理的基本概念和原理；2.了解数字通信系统的构成和工作原理；3.学习通信系统中各部件的工作特点及性能指标的测量方法。

二、实验仪器信号发生器、示波器、数字存储示波器、多用测试仪等。

三、实验内容1.信号的频谱分析根据实验要求，使用信号发生器产生不同频率的正弦信号，利用示波器和频谱分析仪进行信号的波形和频谱分析。

2.信号的调制与解调根据实验要求，利用信号发生器产生调制信号，使用示波器和调制解调器进行信号的调制和解调。

3.数字通信系统根据实验要求，使用数字通信系统测试仪，对数字通信系统中的激励特性、传输特性和性能进行测量和分析。

4.通信原理实验综合实验根据实验要求，使用多种仪器和设备，完成一个完整的通信系统的实验。

四、实验原理1.信号的频谱分析信号的频谱是指信号在频率轴上的分布情况，频谱分析是对信号进行频率分解和频谱推导的过程。

常用的频谱分析方法有时域分析和频域分析。

2.信号的调制与解调调制是将低频信号转换为高频信号的过程，解调是将高频信号转换为低频信号的过程。

调制技术有幅度调制、频率调制和相位调制等。

3.数字通信系统数字通信系统是将模拟信号转换为数字信号进行传输和处理的系统。

它包括激励特性、传输特性和性能等方面的参数，通过测试仪器进行测量和分析。

五、实验步骤1.信号的频谱分析a.根据实验要求，使用信号发生器产生不同频率的正弦信号；b.连接示波器和频谱分析仪，将信号输入示波器，并观察信号的波形；c.将信号输入频谱分析仪，利用频谱分析仪进行信号的频谱分析。

2.信号的调制与解调a.根据实验要求，使用信号发生器产生调制信号；b.将调制信号输入调制解调器，利用示波器观察信号的调制和解调效果。

3.数字通信系统a.连接数字通信系统测试仪，按照实验要求进行设置；b.测量和分析数字通信系统的激励特性、传输特性和性能等参数。

4.通信原理实验综合实验a.根据实验要求，准备所需的仪器和设备；b.进行通信原理实验的综合实验，使用多种仪器和设备完成一个完整的通信系统的实验。

实验四Hash算法和密码应用同组实验者实验日期成绩练习一MD5算法实验目的1理解Hash函数的计算原理和特点，2理解MD5算法原理实验人数每组2人系统环境Windows网络环境交换网络结构实验工具密码工具实验类型验证型一、实验原理详见“信息安全实验平台”，“实验4”，“练习一”。

二、实验步骤本练习主机A、B为一组，C、D为一组，E、F为一组。

首先使用“快照X”恢复Windows 系统环境。

1．MD5生成文件摘要（1）本机进入“密码工具”｜“加密解密”｜“MD5哈希函数”｜“生成摘要”页签，在明文框中编辑文本内容：__________________________________________________________________________。

单击“生成摘要”按钮，生成文本摘要：__________________________________________________________________________。

单击“导出”按钮，将摘要导出到MD5共享文件夹（D:\Work\Encryption\MD5\）中，并通告同组主机获取摘要。

（2）单击“导入摘要”按钮，从同组主机的MD5共享文件夹中将摘要导入。

在文本框中输入同组主机编辑过的文本内容，单击“生成摘要”按钮，将新生成的摘要与导入的摘要进行比较，验证相同文本会产生相同的摘要。

（3）对同组主机编辑过的文本内容做很小的改动，再次生成摘要，与导入的摘要进行对比，验证MD5算法的抗修改性。

2．MD5算法本机进入“密码工具”｜“加密解密”｜“MD5哈希函数”｜“演示”页签,在明文输入区输入文本（文本不能超过48个字符）,单击“开始演示”，查看各模块数据及算法流程。

根据实验原理中对MD5算法的介绍，如果链接变量的值分别为（其中，M[1]=31323334）：A: 2B480E7CB: DAEAB5EFC: 2E87BDD9D: 91D9BEE8请写出第2轮第1步的运算过程以及经过运算后的链接变量。

信息安全试验报告
错误！未指定书签。

使用LC5破解Windows
账号口令
一、实验目标
学会使用sniffer抓取数据报，含FTP和HTTP
二、实验内容
1：在本地计算机系统中添加不同安全强度的口令，并通过使用L0phtCrack5 测试
安全口令的条件。

2：使用L0phtCrack5 破解局域网中某台主机（IP地址自行确定）Windows 用户密
码。

三、实验原理、过程或代码
1：在本地计算机系统中添加不同安全强度的口令，并通过使用L0phtCrack5 测试
安全口令的条件。

图1：在本机中新增了一个用户为luolongfei 口令为123的用户,通过LC5可以检测到该用户
图2:增加了一个稍微复杂的用户
图3:再次使用LC5 扫描, 无法将复杂的longfei 的口令扫描出来
2：使用L0phtCrack5 破解局域网中某台主机（IP地址自行确定）Windows 用户密码
强制更改密码
四、实验中遇到的问题以及解决方法
五、实验总结
通过以上实验, 可以看出简单的密码是可以被破解的, 所以平时我们在网络中设置密码要稍微设置得复杂些。

XX大学本科实验报告课程名称：网络安全技术1421351 学号：XXX姓名：网络工程专业：班级：网络B14-2 指导教师：课内实验目录及成绩信息技术学院2016年10 月9 日XX大学实验报告课程名称：计算机信息安全实验类型：演示、验证实验项目名称：实验四Sniffer网络检测实验实验地点：信息楼320 实验日期：2016 年10 月9 日Sniffer网络检测实验Sniffer软件是NAI公司推出的功能强大的协议分析软件。

使用这个工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。

1. 实验目的利用Sniffer软件捕获网络信息数据包，然后通过解码进行检测分析。

学会利用网络安全检测工具的实际操作方法，具体进行检测并写出结论。

2. 实验要求及方法1. 实验环境1）硬件：三台PC计算机。

单机基本配置见表4-1。

2）软件：操作系统Windows 2003 Server SP4以上；Sniffer 软件。

注意：本实验是在虚拟实验环境下完成，如要在真实的环境下完成，则网络设备应该选择集线器或交换机。

如果是交换机，则在C机上要做端口镜像。

安装Sniffer软件需要时间。

2．实验方法三台PC机的IP地址及任务分配见表4-2所示。

实验用时：2学时（90-120分钟）。

表4-1 实验设备基本配置要求表4-2 三台PC机的IP地址及任务分配1）实验内容三台PC机，其中用户Zhao利用已建好的账号在A机上登录到B机已经搭建好的FTP 服务器，用户Tom在此机利用Sniffer软件捕获Zhao的账号和密码。

2）实验步骤（1）在C机上安装Sniffer软件。

启动Sniffer进入主窗口，如图1所示。

（2）在进行流量捕捉之前，首先选择网络适配器，确定从计算机的哪个适配器上接收数据，并将网卡设成混杂模式。

网卡混杂模式，就是将所有数据包接收下来放入内存进行分析。

设置方法：单击“File”→ “Select Settings”命令，在弹出的对话框中设置，如图2所示。

大学《信息安全技术》试卷及答案一、判断题1. 防火墙是设置在内部网络与外部网络( 如互联网) 之间，实施访问控制策略的一个或一组系统√2. 组成自适应代理网关防火墙的基本要素有两个: 自适应代理服务器(Adaptive Proxysewer) 与动态包过滤器(Dynamic Packet Filter) 。

√3. 软件防火墙就是指个人防火墙。

×4. 网络地址端口转换(NMT) 把内部地址映射到外部网络的一个IE 地址的不同端口上√5. 防火墙提供的透明工作模式，是指防火墙工作在数据链路层，类似于一个网桥。

因此，不需要用户对网络的拓扑做出任何调整就可以把防火墙接入网络。

√6. 防火墙安全策略一旦设定，就不能在再做任何改变。

×7. 对于防火墙的管理可直接通过Telmt 进行。

×8. 防火墙规则集的内容决定了防火墙的真正功能。

√9. 防火墙必须要提供VPN 、NAT 等功能。

×10. 防火墙对用户只能通过用户名和口令进行认证。

×11. 即使在企业环境中，个人防火墙作为企业纵深防御的一部分也是十分必要的。

√12. 只要使用了防火墙，企业的网络安全就有了绝对的保障。

×13. 防火墙规则集应该尽可能的简单,- 规则集越简单，错误配置的可能性就越小，系统就越安全。

√14.iptables 可配置具有状态包过滤机制的防火墙。

√15. 可以将外部可访问的服务器放置在内部保护网络中。

×16. 在一个有多个防火墙存在的环境中，每个连接两个防火墙的计算机或网络都是DMZ 。

√17. 入侵检测技术是用于检测任何损害或企图损害系统的机密性、完整性或可用性等行为的一种网络安全技术。

√18. 主动响应和被动响应是相互对立的，不能同时采用。

×19. 异常入侵检测的前提条件是入侵性活动集作为异常活动集的子集，而理想状况是异常活动集与入侵性活动集相等。

√20. 针对入侵者采取措施是主动响应中最好的响应措施。

【任务场景】小王接到XX公司的邀请，对其公司旗下论坛进行渗透测试，当前需要对该论坛下某页面是否存在SQL注入漏洞进行验证。

【任务分析】在需要验证网站是否存在SQL注入漏洞的情况下，可以使用通过客户端〔如浏览器〕手工SQL注入，实现SQL注入漏洞验证。

【预备知识】SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句进而执行攻击者所要的操作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。

根据相关技术原理，SQL注入可以分为平台层注入和代码层注入。

前者由不平安的数据库配置或数据库平台的漏洞所致；后者主要是由于程序员对输入未进行细致地过滤，从而执行了非法的数据查询。

基于此，SQL注入的产生原因通常表现在以下几方面：①不当的类型处理；②不平安的数据库配置；③不合理的查询集处理；④不当的错误处理；⑤转义字符处理不适宜；⑥多个提交处理不当。

SQL注入技术强制产生错误对数据库类型、版本等信息进行识别是此类型攻击的动机所在。

它的目的是收集数据库的类型、结构等信息为其他类型的攻击做准备，可谓是攻击的一个预备步骤。

利用应用程序效劳器返回的默认错误信息而取得漏洞信息。

采用非主流通道技术除HTTail、DNS以及数据库连接，根本思想为：先对SQL查询打包，然后借助非主流通道将信息反应至攻击者。

使用特殊的字符不同的SQL数据库有许多不同是特殊字符和变量，通过某些配置不平安或过滤不细致的应用系统能够取得某些有用的信息，从而对进一步攻击提供方向。

使用条件语句此方式具体可分为基于内容、基于时间、基于错误三种形式。

一般在经过常规访问后加上条件语句，根据信息反应来判定被攻击的目标。

利用存储过程通过某些标准存储过程，数据库厂商对数据库的功能进行扩展的同时，系统也可与进行交互。

局部存储过程可以让用户自行定义。

通过其他类型的攻击收集到数据库的类型、结构等信息后，便能够建构执行存储过程的命令。

1、可用性、机密性、完整性、非否认性、真实性和可控性。

这6个属性是信息安全的基本属性，其具体含义如下（1）可用性（Availability）。

即使在突发事件下，依然能够保障数据和服务的正常使用，如网络攻击、计算机病毒感染、系统崩溃、战争破坏、自然灾害等。

（2）机密性（Confidentiality）。

能够确保敏感或机密数据的传输和存储不遭受未授权的浏览，甚至可以做到不暴露保密通信的事实。

（3）完整性（Integrity）。

能够保障被传输、接收或存储的数据是完整的和未被篡改的，在被篡改的情况下能够发现篡改的事实或者篡改的位置。

（4）非否认性（non-repudiation）。

能够保证信息系统的操作者或信息的处理者不能否认其行为或者处理结果，这可以防止参与某次操作或通信的一方事后否认该事件曾发生过。

（5）真实性（Authenticity）。

真实性也称可认证性，能够确保实体（如人、进程或系统）身份或信息、信息来源的真实性。

（6）可控性（Controllability）。

能够保证掌握和控制信息与信息系统的基本情况，可对信息和信息系统的使用实施可靠的授权、审计、责任认定、传播源追踪和监管等控制。

2、信息安全是一个古老而又年轻的科学技术领域。

纵观它的发展，可以划分为以下四个阶段：（1）通信安全发展时期：从古代至20世纪60年代中期，人们更关心信息在传输中的机密性。

（2）计算机安全发展时期：计算机安全发展时期跨越20世纪60年代中期至80年代中期。

（3）信息安全发展时期：随着信息技术应用越来越广泛和网络的普及，20世纪80年代中期至90年代中期，学术界、产业界和政府、军事部门等对信息和信息系统安全越来越重视，人们所关注的问题扩大到前面提到的信息安全的6个基本属性。

在这一时期，密码学、安全协议、计算机安全、安全评估和网络安全技术得到了较大发展，尤其是互联网的应用和发展大大促进了信息安全技术的发展与应用，因此，这个时期也可以称为网络安全发展时期。