04_HTTPS实验
《信息安全综合实践》实验报告
HTTPS实验
姓名: 学号: 邮箱: 实验时长: 分钟
一、实验目的
- 理解计算机网络基本概念;
- 了解密码技术在网络安全中的应用;
- 学习和掌握web服务搭建基本流程;
- 学习和掌握https服务搭建基本流程。
二、实验内容
| 序 | 内容 | 实验结果 |
|---|---|---|
| 1) | 本机基本情况查看 | - [ ] 失败 - [√ ] 成功 |
| 2) | Web服务搭建和查看 | - [ ] 失败 - [ √] 成功 |
| 3) | https服务搭建 | - [ ] 失败 - [√ ] 成功 |
三、分析和思考(90分)
-
查看本机(任意一台主机,实验虚拟机或宿主机均可)情况,
-
开放了哪些网络端口,解释其中任意两个端口的用途;(10分)
1.端口号80(HTTP端口):HTTP 超文本传输服务,用户通过浏览器访问网站时,浏览器通过HTTP协议向服务器请求页面内容。服务器会将页面内容打包成HTTP响应并通过端口80发送回浏览器
2.端口号22(SSH端口):端口号22是SSH协议默认使用的端口。在进行SSh登录时,需要制定远程主机的IP地址和端口号。使用SSH协议可以远程控制主机、传输文件等 -
分别分析开放这两个端口是否存在安全隐患,如有是哪些,如没有,给出原因;(14分)
22的安全隐患:1.账号密码暴力破解:攻击者可以尝试不同的用户名和密码组合,知道找到正确的凭据。
2.拒绝服务攻击:攻击者可以通过项目表发送大量无效的连接请求,使其正常工作。
80的安全隐患:1.跨站点脚本攻击(XSS):攻击者可以通过注入恶意脚本来窃取信息。
2.SQL注入攻击:攻击者可以通过注入恶意SQl语句来获取敏感信息或修改数据库 -
尝试关闭这两个端口,给出相应操作/命令。(6分)
关闭22端口:
-
sudo systemctl stop sshd
关闭80端口:
sudo systemctl stop apache2
- HTTPS在HTTP的基础上加入了SSL/TLS协议,通过证书实现服务器的身份认证,并为浏览器和服务器之间的通信加密。请通过wireshark观察整个HTTPS通信过程,配合截图(不超过五张)说明如何实现身份认证和加密通信(25分),并分析其中是否存在安全问题,如有请说明(可结合案例说明)(15分)。
TCP三次握手建立过程:
关键属性:SYN:标志位,表示请求建立连接
SYN+ACK:表示同意建立连接
ACK:表示接受到记录
Seq=0:初始建立连接值为0,表示数据包的相对序列号
Ack=0:初始建立连接值为0,表示已经收到包的数量
安全问题:1.SYN洪水攻击:常见的DDoS攻击,攻击者发送大量伪造的SYN请求,导致目标主机的资源耗尽。
2.窃听攻击:在TCP三次握手的过程中,攻击者能够窃听这些信息,它可以发起中间人攻击,欺骗通信的双方,从而窃取敏感信息。
3. 请设计并尝试在windows环境下搭建https服务器的方案,说明关键步骤并给出关键截图。(20分)
1.创建自签名证书
2.编辑绑定对应的网站
3.https服务开启成功
四、实验总结(收获和心得)(5分)
收获了很多相关的知识,对于windows上的https服务搭建有了崭新的理解,对于证书的颁发更熟练。
五、尚存问题或疑问、建议(5分)
建议老师多给一点相关的资料,比如windows上搭建https服务,感觉好难找到相关的资料,有一种大海捞针的感觉。