一、实验目的
二、搭配环境
打开两台虚拟机,并参照下图,搭建网络拓扑环境,要求两台虚拟机的IP地址要按照图中的标识进行设置,并根据搭建完成情况,勾选对应选项。同时,按照多选题中2-3题的要求完成相关环境的安装与配置。注:此处的学号=本人学号的最后两位数字。
(1)将根CA的IP地址设置为192.168.学号.111
(2)将Web服务器的IP地址设置为192.168.学号.222
(3)根CA与Web服务器能互相PING通
(1)(3)
(2)(3)
三、实验操作
【实验一:SSL协议实验】
1、根据下列要求完成操作。若操作完成,则打勾,需如实填写,并完成简答题部分的1-4题。
(1)在根CA中安装证书服务及IIS服务
(2)在Web服务器中安装IIS服务
(3)在Web服务器的默认网站的首页中加入你的学号的最后两位
(1)
(2)
需要和后面的操作(命名)统一:
(3)
2、在Web网站中申请并安装证书服务,并根据下列要求完成操作。若操作完成,则打勾,需如实填写,并完成简答题部分的1-4题。
(1)证书名称以66-学号最后两位-WEB命名,单位填写班号
(2)站点公用名称使用姓名首字母
(3)根CA通过Web网站的证书申请
(4)安装Web网站的CA证书
(1)
(2)
必须和计算机名字相同:
(3)
在浏览器输入:根CA的IP + /certsrv(例如:192.168.36.111/certsrv))
(4)
7、为Web网站安装好证书后,查看证书,并截图,要求与Web服务器的ipconfig同屏。
8、在根CA中,使用HTTP方式访问Web网站,并用Wireshark对访问数据抓包,将tcp三次握手和HTTP数据截屏,要求与根CA的ipconfig同屏。
根CA的代理服务器必须关掉!血的教训!!
9、在根CA中,使用HTTPS方式访问Web网站,并用Wireshark对访问数据抓包,对SSL安全协议的完整流程的数据包截屏,要求与根CA的ipconfig同屏。
10、对比分析HTTP和HTTPS两种访问方式中,访问Web网站的数据包内容的异同(IP头、TCP头、数据)
(1)IP头
HTTP:IP头部用于指定源和目标IP地址,以便路由器将数据包传送到正确的目的地。
HTTPS:IP头部的内容基本相同,主要的差别在于TLS/SSL协议的加密部分不会影响IP头部的内容。
(2)TCP头
HTTP:TCP头部包含了源端口和目标端口等信息,以及TCP连接的控制信息。
HTTPS:TCP头部的内容也基本相同,但是在TLS/SSL协议的握手过程中会有额外的开销。
(3)数据
HTTP:HTTP的数据部分包含了HTTP请求或响应的内容,这些数据是明文传输的,不经过加密处理。
HTTPS:HTTPS的数据部分也包含了HTTP请求或响应的内容,但是HTTPS通信中的数据是经过加密的,提供了更高的安全性。
【实验二:IpSec协议实验 (ESP和AH)】
4、打开两台虚拟机,并参照下图,搭建网络拓扑环境,要求两台虚拟的IP地址要按照图中的标识进行设置,并根据搭建完成情况,勾选对应选项。同时,按照多选题中5-6题的要求完成相关环境的安装与配置。注:此处的学号=本人学号的最后两位数字。
(1)将主机A的IP地址设置为192.168.学号.111
(2)将主机B的IP地址设置为192.168.学号.222
(3)主机A与主机B能互相PING通
(1)(2)
(2)(3)
5、在主机A中,根据下列要求完成操作。若操作完成,则打勾,需如实填写,并完成简答题部分的5-11题。
(1)添加IP安全规则时,选择为传输模式
(2)在安全规则中,添加一个关于ICMP协议的IP筛选器
(3)在ICMP筛选器中指定原地址为本机地址,目标地址为主机B的地址
(4)添加筛选器操作为协商安全,并指定使用ESP协议进行安全传输
6、在主机B中,根据下列要求完成操作。若操作完成,则打勾,需如实填写,并完成简答题部分的5-11题。
(1)添加IP安全规则时,选择为传输模式
(2)在安全规则中,添加一个关于ICMP协议的IP筛选器
(3)在ICMP筛选器中指定原地址为本机地址,目标地址为主机A的地址
(4)添加筛选器操作为协商安全,并指定使用ESP协议进行安全传输
和5是一样的步骤。
11、设置使用ESP协议进行通讯,对下列实验结果截屏,并用Wireshark抓包截屏,分析原因:主机A不指派策略,主机B不指派策略。主机A输入“ping 主机B的IP”,反馈信息为____。
12、设置使用ESP协议进行通讯,对下列实验结果截屏,并用Wireshark抓包截屏,分析原因:主机A指派策略,主机B不指派策略。主机A输入“ping 主机B的IP”,反馈信息为____。
13、设置使用ESP协议进行通讯,对下列实验结果截屏,并用Wireshark抓包截屏,分析原因:主机A不指派策略,主机B指派策略。主机A输入“ping 主机B的IP”,反馈信息为____。
14、设置使用ESP协议进行通讯,对下列实验结果截屏,并用Wireshark抓包截屏,分析原因:主机A指派策略,主机B指派策略。主机A输入“ping 主机B的IP”,反馈信息为____。
都不指派和都指派是可以ping通的,其他不可以。
15、对捕获的ESP协议数据包用Wireshark抓包截屏,要求与ipconfig同屏,并记录下列信息
(1)ESP协议类型值(十进制)?
(2)SPI值?
(3)序列号?
(4)ICMP负载是否被加密封装?
当双方都指派时,会产生ESP数据包,点击那个数据包可获取信息。
(4)ICMP负载被加密封装。
16、设置使用AH协议进行通讯,然后进行Ping连通,用Wireshark抓包截屏,要求与Ipconfig同屏,并记录下列信息
(1)AH协议类型值(十进制)?
(2)下一个报头所标志的协议类型是?
(3)载荷长度值是多少?
(4)SPI值?
(5)ICMP负载是否被加密封装?
把之前的ESP协议改成AH协议即可,另一台机器也是,然后测试两边指派:
17、简述一下ESP协议数据包与AH协议数据包的格式各有什么特点?
ESP的验证灵活,不验证IP头部(传输模式)或新IP头部(隧道模式),这使得它能很好的兼容NAT。但是,这也使得接收端无法检测IP头部被修改的情况(只要保证校验和计算正确),所以ESP的验证服务没有AH的验证服务强大。AH主要用于验证IP头部,ESP主要用于加密,通常也会将两者嵌套使用。