计算机网络信息安全第21章

第21章实验指导

21.1操作系统弱口令检测软件的安装和使用21.2网络漏洞扫描软件Nessus的安装和使用21.3OpenSSH的安装及使用21.4邮件加密软件PGP的安装和使用21.5Apache效劳器和SSL软件的安装和使用21.6Linux防火墙软件Iptables的安装和使用21.7网络入侵检测系统snort的安装和使用21.8常见木马的检测、去除方法和工具的使用21.9Windump软件的安装和使用21.10Windows2000系统平安增强21.11Windows下VPN环境的搭建21.1操作系统弱口令检测软件的安装和使用21.1.1实验目的通过本实验，读者可以掌握以下技能：l

学会在Windows环境下安装LophtCrack；

l学会在Windows环境下使用LophtCrack。

21.1.2设备需求本实验需要以下设备：*PC机两台，其中一台安装Windows2000操作系统，另外一台安装Windows2000操作系统或UNIX/Linux系统均可。*Hub一台，双绞线两根。

21.1.3实验环境及配置说明本实验采用的两台PC机通过Hub相互连接，设备连接如图21-1所示。

图21-1操作系统弱口令检测实验设备连接图

实验中分配的IP地址：PC1为，PC2为，子网掩码均为。在PC1上安装Windows2000操作系统，在PC2上安装Windows2000操作系统或UNIX/Linux系统均可。配置完成后，两台PC机应能通过Hub互相访问。

21.1.4实验内容1．在PC1上安装LophtCrack(1)从://atstake/下载最新版的LophtCrack。目前最新版本为LC5。(2)双击安装程序lc5setup，安装LophtCrack，根据提示完成安装。2．使用LC5检测弱口令LC5能检测Windows和UNIX/Linux系统用户的口令，并可以根据需要，要求用户修改密码。具体使用方法如下：(1)翻开LC5，此时该软件会弹出一个向导框，如图21-2所示。读者可跟随该向导完成设置。图21-2LC5的向导框

(2)点击“下一步〞按钮，将出现如图21-3所示的对话框。在这个框中，读者可以选择用于检测的加密密码的来源。一共有四种来源，分别是：*本机注册表，需要系统管理员权限；*同一个域内的计算机，需要系统管理员权限；*NT系统中的sam文件；*监听本地网络中传输的密码Hash表。本实验我们选取第二种来源。图21-3选择用于检测的加密密码的来源

(3)点击“下一步〞按钮，将出现如图21-4所示的对话框。该框列出的是检测密码的方法。一共有四种方法，分别是：*快速检测：将LC5自带的字典中的29000个单词与被审计的密码匹配。采用这种方法只需数分钟就能完成检测。*普通检测：除了能检测上述密码外，还可以检测一些在单词根底上进行了简单修改的密码。*强密码检测：采用暴力破解的方式来检测密码，通常检测时间超过一天。*定制检测：可以根据需要灵活地进行配置，例如改变字典、改变混合模式的参数以及选择用于暴力破解的字符集。一般来说，检测越严格，所花的时间就越长。

图21-4选择检测密码的方法

本实验我们选取第一种方法。(4)点击“下一步〞按钮，将出现如图21-5所示的对话框。在该对话框中选择的显示方法，按系统默认的值即可。图21-5选择显示方法

(5)点击“下一步〞按钮，将出现如图21-6所示的对话框。该框将前面选择的内容显示出来，读者点击“完成〞即开始检测。图21-6完成界面

图21-7所示为检测结果。

图21-7检测结果

从图21-7中可以看出，有些用户的弱口令被检测出来了。此时，可以选择菜单中的“Remidiate〞下的“DisableAccounts〞，禁止该帐号；或选择“ForcePasswordChange〞，强迫该用户在下次登录时修改密码，如图21-8所示。图21-8修改密码

21.2网络漏洞扫描软件Nessus的安装和使用

21.2.1实验目的通过本实验，读者可以掌握以下技能：*学会在Linux环境中安装及配置Nessus；*在Windows环境下使用Nessus客户端。

21.2.2设备需求本实验需要以下设备：*PC机三台，应带有网卡，并分别安装Windows2000和LinuxReahat9.0操作系统；*Hub一台，双绞线三根。

21.2.3实验环境及配置说明本实验采用的三台PC机通过Hub相互连接，设备连接如图21-9所示。

图21-9网络漏洞扫描软件Nessus实验设备连接图

实验中分配的IP地址：PC1为，PC2为，PC3为，子网掩码均为。在PC1上安装Linux9.0操作系统，在PC2上安装Windows2000操作系统，PC3上安装Windows2000操作系统或UNIX/Linux系统均可。配置完成后，三台PC机应能通过Hub互相访问。

21.2.4实验内容1．在PC1上安装、配置Nessus1)安装NessusNessus有两种安装方式：(1)安装install版本。从:///download/下载nessus2.2.4installer(allunixsystem)或更高版本，保存到硬盘，运行以下命令：#lynx-source://|sh即可完成安装。(2)安装sourcecode版本。该安装需要下载四个文件：*nessus-libraries-x.x.tar.gz；*libnasl-x.x.tar.gz；*nessus-core.x.x.tar.gz；*nessus-plugins.x.x.tar.gz。从:///download/下载nessus2.2.4sourcecode(allunixsystem)或更高版本，保存到硬盘，运行以下命令：(1)安装nessus-libraries：#tar-zxvfnessus-libraries-x.x.tar.gz(x为版本号)#cdnessus-libraries#./configure#make#makeinstall(2)安装libnasl#tar-zxvflibnasl-x.x.tar.gz(x为版本号)#cdlibnasl#./configure#make切换到root权限，运行：#makeinstall(3)安装nessus-core：#tar-zxvfnessus-core.x.x.tar.gz(x为版本号)#cdnessus-core#./configure#make切换到root权限，运行：#makeinstall(4)安装nessus-plugins：#tar-zxvfnessus-plugins.x.x.tar.gz(x为版本号)#cdnessus-plugins#./configure#make切换到root权限，运行：#makeinstall完成安装后，请确认/usr/local/lib在/下，并运行ldconfig。至此，Nessus效劳器端安装完成。2)添加Nessusd帐号Nessusd效劳器拥有自己的用户数据库，每个用户都有一组限制。这样可以使多个用户共用一个Nessusd，并只检测属于他们的网络。使用nessus-adduser命令添加一个新帐号，使用过程如下：#nessus-adduserAdditionofanewnessusduser

Login:renaudAuthentication(pass/cert)[pass]:passPassword:secretUserrules

nessusdhasarulessystemwhichallowsyoutorestrictthehoststhatrenaud2hastherighttotest.Forinstance，youmaywanthimtobeabletoscanhisownhostonly.Pleaseseethenessus-adduser(8)manpagefortherulessyntaxEntertherulesforthisuser，andhitctrl-Donceyouaredone:(theusercanhaveanemptyrulesset)defaultdenyLogin:renaudPassword:secretDN :Rules:denydefaultdenyIsthatok(y/n)?[y]yuseradded.3)配置Nessus后台程序该配置文件为/usr/local/etc/nessus/nessusd.conf。一般情况下不需要对该文件进行修改。4)启动nessusd运行以下命令，启动nessusd：#nessusd-D2．在PC2上安装、设置Nessus客户端1)安装Nessus客户端从:///download/下载NessusWX或更高版本，保存到硬盘。将该压缩文件解压即可安装。2)运行NessusWX运行后NessusWX界面如图21-10所示。图21-10NessusWX界面图

3)配置NessusWX(1)连接效劳器，如图21-11所示。点击“Connect〞按钮，与效劳器建立连接。图21-11连接效劳器(2)配置端口扫描。*允许“Ping〞的设置如图21-12所示。*配置扫描时间，如图21-13所示。图21-12设置允许“Ping〞图21-13配置扫描时间

(3)配置插件，如图21-14所示。

图21-14配置插件

读者可根据扫描对象有针对性地选择插件。同时，读者还可以选择“平安检查〞，如图21-15所示。平安检查会去掉那些与平安检查兼容的插件中危险的局部，而只利用例如查看banner中的版本这样的被动方式来对目标进行检查。由于被检查的系统或者效劳可能打上了补丁或者采取了临时解决方案，因此平安检查的准确性比实际对漏洞进行判断的方式的准确性要低，可能会漏报或者误报。但是这样的检查不会造成系统的崩溃。图21-15选择“平安检查〞(4)配置扫描对象，如图21-16所示。读者可以点击“Import〞，从文件中导入IP地址；也可以点击“Add〞，参加需要扫描的对象。对象可以是单个IP，也可以是一个子网或者一个网段。图21-16配置扫描对象

(5)开始扫描，如图21-17所示。

图21-17开始扫描

21.3OpenSSH的安装及使用

21.3.1实验目的通过本实验，读者可以掌握以下技能：*学会在Linux环境中安装及配置OpenSSH；*学会在Windows环境下使用OpenSSH客户端工具putty；*学习使用Puttygen创立密钥对；*学习使用Putty访问OpenSSH效劳器。21.3.2设备需求本实验需要以下设备：*PC机两台，应带网卡，分别安装Windows2000和LinuxReahat9.0操作系统；*Hub一台、双绞线两根。

21.3.3实验环境及配置说明本实验采用的两台PC机通过Hub相互连接，设备连接如图21-18所示。

图21-18OpenSSH实验设备连接图

实验中分配的IP地址：PC1为00，PC2为2，子网掩码均为。在PC1上安装Linux9.0操作系统，在PC2上安装Windows2000操作系统。配置完成后，两台PC机应能通过Hub互相访问。

21.3.4实验内容1．在PC1上安装、配置OpenSSH1)安装OpenSSH(1)确认主机是否安装Zlib库。命令如下：rpm-qizlib如果出现zlib的介绍，说明已安装了zlib，否那么需要安装zlib。安装方法为：从:///zlib/下载或更高版本，保存到硬盘，运行以下命令：#tar-zxvfzlib-*.tar.gz(*为版本号)#cdzlib-*#./configure#make#makeinstall(2)安装OpenSSL。方法为：从:///下载Openssl或更高版本，保存到硬盘，运行以下命令：#tar-zxvfopenssl-*.tar.gz(*为版本号)#cdopenssl-*#./config#makeclean#make#makeinstall(3)从OpenSSH网站(://openssh/)下载OpenSSH的Linuxp1。运行以下命令：#tar-zxvfopenssh-*.tar.gz(*为版本号)#cdopenssh-*#./configure--with-ssl-dir=/usr/local/ssl#make#makeinstall安装结束后，默认的ssh效劳器端程序是/usr/local/sbin/sshd，默认的ssh客户端程序是/usr/local/bin/ssh，默认的ssh配置文件路径为/usr/local/etc/。(4)添加帐号sshd(该帐号为客户端访问本机时所用帐号)：#useraddsshd#passwdsshd

(5)关闭运行的sshd效劳，命令如下：#killallsshd(6)覆盖系统自带的SSH，命令如下：#cp/usr/local/sbin/sshd/usr/sbin/sshd#cp/usr/local/bin/ssh/usr/bin/ssh#cp/usr/local/etc/*/etc/ssh/(7)安装结束，此时运行ssh-V，应显示：#OpenSSH_*，OpenSSL*25Oct2004(*为版本号)2)配置OpenSSH翻开/etc/ssh/下的sshd_conf文件，命令如下：#vi/etc/ssh/sshd_conf将PasswordAuthenticationyes改为PasswordAuthenticationno。至此，效劳器端OpenSSH安装、配置完成。2．在PC2上使用puttygen生成密钥对(1)从://.uk/~sgtatham/putty/下载puttygen.exe，保存到硬盘。(2)运行puttygen.exe，如图21-19所示。(3)单击“Generate〞按钮并不断移动鼠标，以便为密钥对的生成提供随机数种子，如图21-20所示。(4)密钥生成如图21-21所示。图21-19运行puttygen.exe图21-20生成密钥对

图21-21密钥生成图

添加“Keypassphrase〞和“Confirmpassphrase〞，用以保护密钥。(5)单击“Savepublickey〞按钮，将公钥保存到用户指定的目录下。(6)将该文件上传到效劳器的/home/sshd/.ssh/目录下，并改名为authorized_key。(7)单击“Saveprivatekey〞按钮，将私钥保存到用户指定的目录下。至此，完成了使用puttygen生成密钥对的过程。3．在PC2上使用putty访问效劳器PC1(1)从://.uk/~sgtatham/putty/下载putty.exe，保存到硬盘。(2)运行putty.exe，如图21-22所示。图21-22运行putty.exe(3)设置主机IP地址、端口号(默认为22)和协议(使用SSH)。(4)在左边的Category栏目选择Connection项，然后在右边的Auto-loginusename栏目中输入登录SSH效劳器时的用户名sshd，如图21-23所示。图21-23输入登录SSH效劳器的用户名(5)在Category栏目中选择Connection栏目下的子栏目SSH，将Protocoloptions栏中的PreferredSSHprotocolversion选择为2，如图21-24所示。

图21-24选择SSH协议版本

(6)在Category栏目中选择Auth，在Privatekeyfileforauthentication中选择保存在本地的私钥文件，如图21-25所示。

图21-25填入私钥文件路径

(7)此时，采用putty的SSH方式登录的参数配置完毕。单击“Open〞按钮，连接效劳器PC1，如图21-26所示。图21-26连接状态图

(8)输入先前添加的Keypassphrase，登录成功，如图21-27所示。

图21-27登录成功

21.4邮件加密软件PGP的安装和使用

21.4.1实验目的通过本实验，读者可以掌握以下技能：*学会在Windows环境下安装PGP8.1；*学会使用PGP创立密钥对；*学会使用PGP输出和签名公共密钥；*学会使用PGP和OutlookExpress发送并接收加密的电子邮件。21.4.2设备需求本实验需要以下设备：*PC机两台，应带网卡，需安装Windows2000和OutlookExpress软件；*邮件效劳器一台，应带网卡，需安装邮件效劳器软件；*Hub一台、双绞线三根。21.4.3实验环境及配置说明本实验采用的两台PC机通过Hub相互连接，并通过Hub与邮件效劳器相连，设备连接如图21-28所示。实验中分配的IP地址：邮件效劳器为，PC1为00，PC2为01，子网掩码均为。配置完成后，两台PC机应能通过邮件效劳器互发邮件。图21-28PGP实验设备连接图

21.4.4实验内容1．在两台PC机上安装PGP8.1这一步将分别在两台机器上安装PGP8.1。(1)从国际PGP网站(pgpi)下载PGP的压缩包，保存到硬盘。目前的最新版本为8.1。(2)解压缩下载的文件，会释放出两个文件，一个叫pgp.exe，另一个是pgp.exe.sig。前者是PGP的安装文件，后者是这个安装文件的数字签名，用来检验安装文件是否被非法修改。双击pgp.exe，安装PGP。(3)在Welcome屏幕中单击“下一步〞。(4)单击“Yes〞，接受软件许可协议。(5)阅读ReadMe文件，然后单击“下一步〞。(6)出现一个窗体，让用户选择是否已经有了Keyring，这时选择“No，I'manewuser〞。(7)设定安装位置，然后单击“下一步〞。(8)确认为OutlookExpress选择了插件程序，然后单击“下一步〞。(9)在StartCopyingFiles局部检查一下设置并单击“下一步〞，PGP将开始安装。(10)安装结束后，系统将提示重启，选择“OK〞，系统重新启动。(11)重新启动后，会弹出一个PGPLicenseAuthorization的对话框。如果读者有PGP的许可证号，就可以注册并认证。也可以选择“Later〞，以后再注册。(12)注册结束后，会弹出一个KeyGenerationWizard对话框(如图21-29所示)，用户可通过该对话框创立密钥对。图21-29KeyGenerationWizard对话框

2．使用PGP创建密钥对这一步将使用密钥生成向导生成密钥对。(1)通过上面提到的KeyGenerationWizard对话框创建密钥对。该对话框有两种打开方式：一种是选择“开始”→“程序”→“PGP”→“PGPkeys”；另一种是用右键点击系统托盘区的“”图标，选择PGPkeys。(2)点击KeyGenerationWizard对话框中的“下一步”，输入用户名和邮件地址，如图21-30所示。读者根据需要还可以点击KeyGenerationWizard对话框中的“Expert”，选择加密方式、加密强度以及密钥过期时间等。

图21-30选择参数

(3)点击图21-30中的“下一步〞，将出现如图21-31所示的对话框。在Passphrase栏内可输入一个最少8个字符，且不包括字母、数字混合字符和特殊字符的密码短语，确认后单击“下一步〞。(4)PGP开始生成一个新的密钥对。当密钥对产生完毕后，会出现一个完成的界面，点击“完成〞，结束密钥对的创立过程，如图21-32所示。图21-31输入字符

图21-32密钥对的生成

(5)用户可以在PGPkeys中查看到刚生成的公共密钥，如图21-33所示。

图21-33密钥查看

3．使用PGP输出和签名公共密钥这一步将在两台PC机之间通过OutlookExpress交换公共密钥，并在二者之间建立完全信任关系。1)输出公钥(1)用上面提到的方法翻开PGPkeys。2)用右键单击刚刚创立的密钥，并选择Export选项，如图21-34所示。图21-34公钥输出

(3)此时出现一个“ExportKeytoFile〞对话框。选择保存的目录以及文件名，然后单击“Save〞。在选择的目录中将出现一个以.asc为扩展名的文件，如图21-35所示。注意，不要保存私钥。(4)翻开OutlookExpress，将该文件作为附件发给对方。图21-35选择保存路径及文件名

2)添加公钥(1)收到对方的.asc文件后，将其保存到桌面。(2)通过PGPkeys将该公钥文件添加到密钥环中。(3)选择“Keys〞菜单中的“Import〞(如图21-36所示)，将出现一个“SelectFileContainingKey〞对话框。选择保存在桌面上的对方的公钥文件，并单击“翻开〞，如图21-37所示。图21-36翻开对方公钥图21-37选择公钥文件

(4)此时将出现一个“Selectkey(s)〞对话框。选中刚刚添加的密钥，并选择“Import〞，那么对方的密钥出现在密钥环中，但是没有被签名，所以不被信任。(5)用右键单击该密钥，并选择“Sign〞选项。(6)此时将出现“PGPSignKey〞对话框。选中该密钥并选择“Allowsignaturetobeexported〞复选框，然后单击“OK〞，如图21-38所示。(7)此时系统提示要求输入密码短语。同样，该密码短语不能包括字母、数字混合字符和特殊字符。输入完后单击“OK〞，那么在PGPkeys中该密钥旁边出现一个绿色的图标，表示它已经被签名。图21-38公钥导入

(8)用右键单击该密钥，并选择“KeyProperties〞选项。在出现的对话框底部，从“Untrusted〞滑动到“Trusted〞，然后单击“关闭〞，如图21-39所示。此时该密钥被信任，可以用来平安地交换信息了。图21-39公钥添加完成

4．使用PGP和OutlookExpress发送加密的电子邮件1)发送加密的电子邮件(1)通过OutlookExpress编写邮件内容。注意：如果发送包含敏感信息的邮件，那么标题栏必须为空白或标题内容不能包含泄露正文内容的信息。(2)当完成邮件正文的编写后，点击图标加密邮件正文，然后点击对内容进行签名，如图21-40所示。注意：不要与OutlookExpress自带的加密、签名图标弄混了。(3)点击“发送〞，发送邮件。此时出现一个“PGPEnterPassphraseforSelectedKey〞对话框。读者输入在添加公钥的(7)中输入的密码，单击“OK〞，邮件开始加密并发送。图21-40邮件加密示意图

2)接收加密的电子邮件(1)通过OutlookExpress接收对方发送的邮件。邮件内容为加密后的内容。(2)点击，对邮件进行解密和校验。此时会出现“PGPEnterPassphraseforaListedKey”窗口，要求读者输入密码，如图21-41所示。

图21-41密码输入框

(3)读者输入使用PGP创立密钥对的(3)中输入的密码，点击“OK〞。此时邮件内容被解密。读者可以看到解密后的邮件内容，如图21-42所示。图21-42邮件解密示意图

21.5Apache效劳器和SSL软件的安装和使用21.5.1实验目的通过本实验，读者可以掌握以下技能：*学会在Linux环境下安装Apache以及Openssl；*学会在Linux环境下将Apache与Openssl集成，构件平安的Apache。21.5.2设备需求本实验需要以下设备：*PC机两台，应带网卡，分别安装Windows2000和LinuxReahat9.0操作系统；*播送式Hub一台，双绞线两根。21.5.3实验环境及配置说明本实验采用的两台PC机通过Hub相互连接，设备连接如图21-43所示。

图21-43Apache实验设备连接图

21.5.4实验内容1．下载实验软件到PC2(1)从下载apache_1.3.x.tar.gz，保存到硬盘。(2)从/source/下载mod_ssl-2.8.x-1.3.x.tar.gz，保存到硬盘。(3)从/source/下载openssl-0.9.x.tar.gz，保存到硬盘。

2．展开这些软件包#tar-zxvfapache_1.3.x.tar.gz#tar-zxvfmod_ssl-2.8.x-1.3.x.tar.gz#tar-zxvfopenssl-0.9.x.tar.gz3．编译openssl#cdopenssl-0.9.x#./config-prefix=/usr/local/ssl-L'pwd'/../rsaref-2.0/local/rsaref-fPIC#make#maketest#makeinstall#cd..4．配置MOD_SSL模块#cdmod_ssl-2.8.x-1.3.x#./configure--with-apache=../apache_1.3.x\#cd..5．安装Apache#cdapache_1.3.x#SSL_BASE=../openssl-0.9.x#./configure--enable-module=ssl--prefix=/usr/local/apache--enable-shared=ssl#make#makecertificateTYPE=custom(生成证书)#make

install

6．启动Apache运行以下命令，启动Apache：#/usr/local/apache/bin/apachectlstartssl7．在PC1上访问PC2的Web效劳(1)启动浏览器，在URL栏输入s://4，将出现如图21-44所示的界面。(2)点击“确定〞，将出现如图21-45所示的界面。(3)点击“是〞，将出现Apache欢送页面(如图21-46所示)，说明安装成功，此时PC1与PC2之间的HTTP协议传输数据已被加密。图21-44平安警报提示图1图21-45平安警报提示图2图21-46Apache欢送页面21.6Linux防火墙软件Iptables的安装和使用

21.6.1实验目的通过本实验，读者可以掌握以下技能：*学会在Linux环境中安装Iptables；*学习在Iptables中添加规那么，配置个人防火墙。21.6.2设备需求本实验需要以下设备：*PC机两台，应带网卡，安装Windows2000操作系统；*PC机一台，应带双网卡，安装LinuxReahat9.0操作系统；*Hub两台，双绞线四根。

21.6.3实验环境及配置说明本实验采用的三台PC机通过Hub相互连接，设备连接如图21-47所示。

图21-47Linux防火墙实验设备连接图

实验中分配的IP地址：PC1为00；PC2上有两个网卡，网卡1的IP地址为，网卡2的地址为；PC3为00。子网掩码均为。PC1上安装Windows2000操作系统，PC2上安装Linux9.0操作系统，PC3上安装Windows2000操作系统以及系统自带的IIS。配置完成后，三台PC机应能通过Hub互相访问，PC2开放了FTP效劳，PC1应该能访问PC3上的Web效劳。21.6.4实验内容1．在PC2上安装Iptables(1)使用“uname-a〞命令确认Linux内核为2.3或更高版本。(2)运行以下命令确认系统已安装Iptables：rpm-qa|grepiptab如果已安装，直接进入下一步，否那么从上获取iptables的安装包。(3)运行以下命令安装Iptables：rpm-ivhiptables-*(星号为iptables的版本号)2．在PC2上配置Iptables使用如下命令去除默认的规那么：iptables-F3．在PC2上配置Iptables规那么使用如下命令阻塞ICMP：iptables-IINPUT-ieth0-picmp-s0/0-d0/0-jDROP该命令将阻塞发往eth0的ICMP包。此时，从PC1上运行

将会看到“Requesttimedout.〞，说明已经阻塞了ICMP包。运行iptables-DINPUT1可删除该规那么。4．在PC2上配置Iptables规那么使用如下命令阻塞FTP：iptables-IINPUT-ieth0-ptcp-s0/0-d0/0--dport21-jDROP该命令将阻塞发往eth0的ICMP包。此时，从PC1上运行ftp将会看到“ftp:connect:连接超时〞，说明已经阻塞了Ftp包。运行iptables-DINPUT1可删除该规那么。5．在PC2上配置Iptables规那么使用如下命令阻塞FTP：iptables-AFORWARD-ptcp-s00-d00-ieth1--sport80-jDROP该命令将阻塞PC3通过PC2接口eth1发往PC1的TCP包。此时，从PC1上翻开浏览器，访问PC3上的网页ftp将会看到“ftp:connect:连接超时〞，说明已经阻塞了Ftp包。运行iptables-DINPUT1可删除该规那么。21.7网络入侵检测系统snort的安装和使用

21.7.1实验目的通过本实验，读者可以掌握以下技能：*学会在Linux环境中安装snort；*学会在Linux环境中安装nmap(一个端口扫描工具)；*学习配置snort，检测网络入侵。

21.7.2设备需求本实验需要以下设备：*PC机三台，应带网卡，安装LinuxReahat9.0操作系统；*播送式Hub一台，双绞线三根。21.7.3实验环境及配置说明本实验采用的三台PC机通过Hub相互连接，设备连接如图21-48所示。

实验中分配的IP地址，PC1为，PC2为，PC3为。子网掩码均为。

图21-48Snort实验设备连接图

21.7.4实验内容1．在PC2上安装snort(1)从下载最新版的snort，保存到硬盘。(2)运行以下命令，安装snort：#tar-zxvfsnort-*.tar.gz(*为版本号)#./configure#make#makeinstall(3)在/var/log目录下运行以下命令，新建一个目录，保存报警记录：#mkdir/var/log/snort自此snort安装完毕。(4)运行以下命令，启动snort检测入侵：#./2．在PC1上安装nmap(1)从下载最新版nmap的RPM包，保存到硬盘。(2)运行以下命令，安装nmap：#rpm-ivhnmap-*.i386.rpm(*为版本号)自此nmap安装完毕。(3)运行nmap扫描PC3：#nmap3．在PC2上检查snort检测入侵结果(1)进入/var/log/snort目录：#cd/var/log/snort(2)该目录下有个“〞的目录，进入该目录：#cd(3)该目录下有个“ICMP_ECHO〞文件，翻开该文件：#viICMP_ECHO文件内容为：[**]ICMPPINGNMAP[**]01/27-09:48:14.1629420:E0:4C:DD:19:EF->0:C:F1:73:54:81type:0x800len:0x3C->ICMPTTL:39TOS:0x0ID:15872IpLen:20DgmLen:28Type:8Code:0ID:37377Seq:41903ECHO

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=由此可见，snort已检测到通过nmap对进行的端口扫描。

21.8常见木马的检测、去除方法和工具的使用21.8.1实验目的通过本实验，读者可以掌握以下技能：*掌握目前网络中常见的七种木马的检测及去除方法；*学会使用工具检测并去除木马。21.8.2设备需求本实验需要以下设备：*PC机一台，安装Windows2000操作系统。

21.8.3实验环境及配置说明安装实验中需要检测的木马包括：网络公牛、Netspy、SubSeven、冰河、网络神偷、广外女生等。

21.8.4实验内容1．常见木马的检测和去除1)网络公牛(Netbull)(1)木马特征：网络公牛默认的连接端口为23444。效劳端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于C:\Windows\System下，下次开机后checkdll.exe将自动运行，具有较强的隐蔽性。同时，效劳端运行后会自动捆绑以下文件(Windows2000下)：notepad.exe，regedit.exe，reged32.exe，drwtsn32.exe，winmine.exe效劳端运行后还会捆绑在开机时自动运行的第三方软件，如realplay.exe、QQ、ICQ等，同时会在注册表中建立键值。网络公牛采用的是文件捆绑功能，它和上面所列出的文件捆绑在一块，要去除非常困难。用户通过判断文件长度是否发生变化，可分析是否中了木马。(2)去除方法：*删除网络公牛的自启动程序C:\Windows\System\Checkdll.exe。*把网络公牛在注册表中所建立的键值全部删除。*检查上面列出的文件，如果发现文件长度发生变化(大约增加了40KB左右，可以通过与其他机子上的正常文件比较而知)，就删除它们。然后点击“开始〞→“附件〞→“系统工具〞→“系统信息〞→“工具〞→“系统文件检查器〞，在弹出的对话框中选中“从安装软盘提取一个文件(E)〞，在框中填入要提取的文件(前面删除的文件)，点“确定〞按钮，然后按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件，如realplay.exe、QQ、ICQ等被捆绑上了，那就把这些文件删除，再重新安装。2)Netspy(网络精灵)(1)木马特征：Netspy又名网络精灵，默认连接端口为7306。客户端通过IE或Navigate就可以对效劳器端进行远程监控。效劳器端程序被执行后，会在C:\Windows\System目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\下建立键值C:\Windows\System\netspy.exe，用于在系统启动时自动加载运行。(2)去除方法：*重新启动机器并在出现StaringWindows提示时，按F5键进入命令行状态。在C:\Windows\System\目录下输入以下命令：delnetspy.exe*进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\，删除Netspy的键值，即可平安去除Netspy。3)SubSeven(1)木马特征：SubSeven效劳器端程序只有54.5KB，很容易被捆绑到其他软件上而不被发现。效劳器端程序为server.exe，客户端程序为subseven.exe。SubSeven效劳器端被执行后，每次启动的进程名都会发生变化，因此很难查找。(2)去除方法：*翻开注册表Regedit，进入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RunService，如果有加载文件，就删除右边的工程：加载器="C:\Windows\System\***"。注：加载器和文件名是随意改变的。*翻开win.ini文件，检查“run=〞后有没有加上某个可执行文件名，如有那么删除之。*翻开system.ini文件，检查“shell=explorer.exe〞后有没有跟某个文件，如有，那么将后跟的文件删除。*重新启动Windows，删除相对应的木马程序，一般在C:\Windows\System下。4)冰河(1)木马特征：这里介绍的是对其标准版的去除，掌握了如何去除标准版，再来对付变种冰河就很容易了。冰河的效劳器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:\Windows\System目录下生成Kernel32.exe和sy***plr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，sy***plr.exe和TXT文件关联。即使删除了Kernel32.exe，但只要翻开TXT文件，sy***plr.exe就会被激活，再次生成Kernel32.exe。(2)去除方法：*删除C:\Windows\System下的Kernel32.exe和Sy***plr.exe文件。*冰河会在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下扎根，键值为C:\Windows\System\Kernel32.exe，删除它。*在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices下，还有键值为C:\Windows\System\Kernel32.exe的，也要删除。*修改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值，由表中木马后的C:\Windows\System\Sy***plr.exe%1改为正常的C:\Windows\notepad.exe%1，即可恢复TXT文件关联功能。5)网络神偷(Nethief)(1)木马特征：“网络神偷〞是个反弹端口型木马。与一般的木马相反，反弹端口型木马的效劳器端(被控制端)使用主动端口，客户端(控制端)使用被动端口。为了隐蔽起见，客户端的监听端口一般开在80，这样即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP效劳器端的IP地址：1026客户端的IP地址:80ESTABLISHED〞的情况，稍微疏忽一点就会以为是自己在浏览网页。(2)去除方法：*网络神偷会在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下建立键值“internet〞，其值为“internet.exe/s〞，将该键值删除。*删除其自启动程序C:\Windows\System\internet.exe。6)广外女生(1)木马特征：“广外女生〞是一种新出现的远程监控工具，破坏性很大，能实现远程上传、下载、删除文件、修改注册表等功能。而且“广外女生〞效劳器端被执行后，会自动检查进程中是否含有“金山毒霸〞、“天网〞等字样，如果发现就将该进程终止，使防火墙完全失去作用。(2)去除方法：*启动到纯DOS模式下，找到System目录下的diagfg.exe，删除它。*找到Windows目录中的注册表编辑器“Regedit.exe〞，将它改名为“Regedit〞。*回到Windows模式下，运行Windows目录下的Regedit程序(就是我们刚刚改名的文件)。7)WAY2.4(1)木马特征：WAY2.4默认的连接端口是8011。WAY2.4效劳器端被运行后，在C:\Windows\system下生成msgsvc.exe文件，图标是文本文件的图标。同时，WAY2.4在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask。(2)去除方法：用进程管理工具查看，会发现进程CWAY，只要删除它在注册表中的键值，再删除C:\Windows\System下的msgsvc.exe文件就可以了。需要注意的是：在Windows下无法直接删除msgsvc.exe，可以用进程管理工具终止它的进程，然后再删除它。或者到DOS下删除msgsvc.exe。如果效劳器端已经和可执行文件捆绑在一起了，那就只有将该可执行文件删除才能去除该病毒。注意在删除前做好备份。2．木马检测工具的使用Anti-TrojanShield是一款享誉欧洲的专业木马侦测、拦截及去除软件。读者可以从://atshield/index.php?r=download下载试用版。(1)从上面的网站下载安装软件ats1.exe。(2)双击该软件，根据提示完成安装。(3)运行Anti-TrojanShield，如图21-49所示。图21-49Anti-TrojanShield运行图

(4)选择扫描对象，然后点击“Start〞，开始对目标进行扫描，如图21-50所示。图21-50扫描示意图

(5)如果软件找到木马会提示，并把该木马显示出来，如图21-51所示。

图21-51报警示意图

此时，读者可以根据实际情况选择“Delete〞删除或“Quarantine〞隔离该木马。如图21-52所示，读者还可以根据需要，在“Setup〞标签下勾选“scanarchives〞选项，这样就可以对ZIP、RAR、ARJ和CAB等压缩包内部进行扫描。勾选“UseProgramcodeanalysis〞，可以对程序进行代码分析，查找出未知的木马程序，这有点类似于反病毒软件中的“启发式查毒〞，但是扫描速度会减慢。另外，默认选择“Min[highspeed]〞项，那么只对可执行文件进行扫描，建议选择“Max[lowspeed]〞，对所有文件都进行扫描。图21-52木马处理

21.9Windump软件的安装和使用

21.9.1实验目的通过本实验，读者可以掌握以下技能：*学会在Windows环境下搭建Windump使用环境；*学会使用Windump对网络流量进行统计分析。

21.9.2设备需求本实验需要以下设备：*PC机两台以上，应带网卡，分别安装Windows2000和LinuxReahat9.0操作系统以及其他操作系统；*播送式Hub一台，双绞线两根以上。21.9.3实验环境及配置说明本实验采用的两台PC机通过Hub相互连接，设备连接如图21-53所示。

实验中分配的IP地址：PC1为，PC2为，依次类推。子网掩码均为。在PC1上安装Windows2000操作系统，在其他PC机上安装Windows2000操作系统或UNIX/Linux系统均可。配置完成后，PC机应能通过Hub互相访问。

图21-53Windump实验设备连接图

21.9.4实验内容(1)从://windump.polito.it/install/default.htm下载所需软件，包括winpcap.exe和windump.exe。(2)执行winpcap.exe程序，将所需的驱动装入系统。(3)执行windump.exe程序，对网络进行监听。①监听源或者目标地址为某台主机的包：windumphosthost例如：windump，监听结果如图21-54所示(其中的主机howareyou即3)。图21-54监听源或者目标地址

②监听某两台机器间的通信。例如监听3与192.1688.3之间的通信：windump(注：参数-n的作用是以IP地址的方式显示通信双方，而不是以主机名的形式显示双方，可以去掉。)图21-55监听某两台机器间的通信

③监听某台主机与指定主机外的所有通信包。例如监听3与除之外的所有包：windump监听结果如图21-56所示。

图21-56监听某台主机与指定主机外的所有通信包

④监听某台主机向外发包的情况。例如监听3向外发包的情况：windump-nsrc(注：如果用dst替换src，就可以监听所有发给3的包了。)监听结果如图21-57所示。

图21-57监听某台主机向外发包的情况

⑤将所监听的包存入某个文件中。例如：windump此命令会将①的结果存入文件output中，而不是在屏幕上显示。⑥将以前收集的监听包进行重放。例如：windump此命令会将⑤中收集到的有关3的包进行重放，以便对以前某个时刻该主机的通信情况进行重新分析。21.10Windows2000系统平安增强21.10.1实验目的通过本实验，读者可以掌握以下技能：*学会通过配置提高Windows系统的平安性。21.10.2设备需求本实验需要以下设备：*PC机两台，其中一台安装Windows2000操作系统，另外一台安装Windows2000操作系统或UNIX/Linux系统均可。*Hub一台，双绞线两条。21.10.3实验环境及配置说明本实验采用的两台PC机通过Hub相互连接，设备连接如图21-58所示。实验中分配的IP地址：PC1为，PC2为，子网掩码均为。在PC1上安装默认配置的Windows2000操作系统，在PC2上安装Windows2000操作系统或UNIX/Linux系统均可，并安装漏洞扫描软件。配置完成后，两台PC机应能通过Hub互相访问。图21-58Windows2000系统平安增强实验设备连接图21.10.4实验内容1．关闭默认共享在默认状态下，Windows2000/XP会开启所有分区的隐藏共享。选择“开始〞→“设置〞→“控制面板〞→“管理工具〞→在“计算机管理〞窗口下选择“系统工具〞→“共享文件夹〞→“共享〞，就可以看到硬盘上的每个分区名后面都加了一个“$〞，如图21-59所示。图21-59默认共享示意图

如果读者的Windows系统Administrator的密码为空或为弱密码