计算机网络信息安全第21章

1、第21章实 验 指 导 21.1 操作系统弱口令检测软件的安装和使用21.2 网络漏洞扫描软件Nessus的安装和使用21.3 OpenSSH的安装及使用 21.4 邮件加密软件PGP的安装和使用21.5 Apache服务器和SSL软件的安装和使用21.6 Linux防火墙软件Iptables的安装和使用21.7 网络入侵检测系统snort的安装和使用21.8 常见木马的检测、清除方法和工具的使用21.9 Windump软件的安装和使用21.10 Windows 2000系统安全增强 21.11 Windows下VPN环境的搭建21.1 操作系统弱口令检测软件的安装和使用21.1.1 实验目的

2、通过本实验，读者可以掌握以下技能：l学会在Windows环境下安装LophtCrack；l学会在Windows环境下使用LophtCrack。 21.1.2 设备需求本实验需要以下设备：* PC机两台，其中一台安装Windows 2000操作系统，另外一台安装Windows 2000操作系统或UNIX/Linux系统均可。* Hub一台，双绞线两根。 21.1.3 实验环境及配置说明本实验采用的两台PC机通过Hub相互连接，设备连接如图21-1所示。 图21-1 操作系统弱口令检测实验设备连接图 实验中分配的IP地址：PC1为，PC2为，子网掩码均为。在PC1上安装Windows 2000操作

3、系统，在PC2上安装Windows 2000操作系统或UNIX/Linux系统均可。配置完成后，两台PC机应能通过Hub互相访问。 21.1.4 实验内容1在PC1上安装LophtCrack(1) 从 :/ atstake /下载最新版的LophtCrack。目前最新版本为LC5。(2) 双击安装程序lc5setup，安装LophtCrack，根据提示完成安装。 2使用LC5检测弱口令LC5能检测Windows和UNIX/Linux系统用户的口令，并可以根据需要，要求用户修改密码。具体使用方法如下：(1) 打开LC5，此时该软件会弹出一个向导框，如图21-2所示。读者可跟随该向导完成设置。 图

4、21-2 LC5的向导框 (2) 点击“下一步”按钮，将出现如图21-3所示的对话框。在这个框中，读者可以选择用于检测的加密密码的来源。一共有四种来源，分别是：* 本机注册表，需要系统管理员权限；* 同一个域内的计算机，需要系统管理员权限；* NT系统中的sam文件；* 监听本地网络中传输的密码Hash表。本实验我们选取第二种来源。 图21-3 选择用于检测的加密密码的来源 (3) 点击“下一步”按钮，将出现如图21-4所示的对话框。该框列出的是检测密码的方法。一共有四种方法，分别是：* 快速检测：将LC5自带的字典中的29 000个单词与被审计的密码匹配。采用这种方法只需数分钟就能完成检测。

5、 * 普通检测：除了能检测上述密码外，还可以检测一些在单词基础上进行了简单修改的密码。 * 强密码检测：采用暴力破解的方式来检测密码，通常检测时间超过一天。 * 定制检测：可以根据需要灵活地进行配置，例如改变字典、改变混合模式的参数以及选择用于暴力破解的字符集。一般来说，检测越严格，所花的时间就越长。 图21-4 选择检测密码的方法 本实验我们选取第一种方法。(4) 点击“下一步”按钮，将出现如图21-5所示的对话框。在该对话框中选择的显示方法，按系统默认的值即可。 图21-5 选择显示方法 (5) 点击“下一步”按钮，将出现如图21-6所示的对话框。该框将前面选择的内容显示出来，读者点击“完

6、成”即开始检测。 图21-6 完成界面 图21-7所示为检测结果。 图21-7 检测结果 从图21-7中可以看出，有些用户的弱口令被检测出来了。此时，可以选择菜单中的“Remidiate”下的“Disable Accounts”，禁止该帐号；或选择“Force Password Change”，强迫该用户在下次登录时修改密码，如图21-8所示。 图21-8 修改密码 21.2 网络漏洞扫描软件Nessus的安装和使用 21.2.1 实验目的通过本实验，读者可以掌握以下技能：* 学会在Linux环境中安装及配置Nessus；* 在Windows环境下使用Nessus客户端。 21.2.2 设备需

7、求本实验需要以下设备：* PC机三台，应带有网卡，并分别安装Windows 2000和Linux Reahat操作系统；* Hub一台，双绞线三根。 21.2.3 实验环境及配置说明本实验采用的三台PC机通过Hub相互连接，设备连接如图21-9所示。 图21-9 网络漏洞扫描软件Nessus实验设备连接图 实验中分配的IP地址：PC1为，PC2为，PC3为，子网掩码均为。在PC1上安装操作系统，在PC2上安装Windows 2000操作系统，PC3上安装Windows 2000操作系统或UNIX/Linux系统均可。配置完成后，三台PC机应能通过Hub互相访问。 21.2.4 实验内容1 在P

8、C1上安装、配置Nessus1) 安装NessusNessus有两种安装方式：(1) 安装install版本。从 :/ /download/下载nessus 2.2.4 installer(all unix system)或更高版本，保存到硬盘，运行以下命令：# lynx -source :/ | sh即可完成安装。 (2) 安装source code版本。该安装需要下载四个文件：* nessus-libraries-x.x.tar.gz；* libnasl-x.x.tar.gz；* nessus-core.x.x.tar.gz；* nessus-plugins.x.x.tar.gz。从 :/

9、 /download/下载nessus 2.2.4 source code(all unix system)或更高版本，保存到硬盘，运行以下命令： (1) 安装nessus-libraries：# tar -zxvf nessus-libraries-x.x.tar.gz (x为版本号)# cd nessus-libraries# ./configure# make# make install (2) 安装libnasl# tar-zxvf libnasl-x.x.tar.gz (x为版本号)# cd libnasl# ./configure# make切换到root权限，运行：# make

10、install(3) 安装nessus-core：# tar-zxvf nessus-core.x.x.tar.gz (x为版本号)# cd nessus-core# ./configure# make切换到root权限，运行：# make install (4) 安装nessus-plugins：# tar-zxvf nessus-plugins.x.x.tar.gz (x为版本号)# cd nessus-plugins# ./configure# make切换到root权限，运行：# make install完成安装后，请确认/usr/local/lib在/下，并运行ldconfig。至此

11、，Nessus服务器端安装完成。 2) 添加Nessusd帐号Nessusd服务器拥有自己的用户数据库，每个用户都有一组限制。这样可以使多个用户共用一个Nessusd，并只检测属于他们的网络。使用nessus-adduser命令添加一个新帐号，使用过程如下：# nessus-adduserAddition of a new nessusd userLogin : renaudAuthentication (pass/cert) pass : passPassword : secretUser rules nessusd has a rules system which allows you t

12、o restrict the hoststhat renaud2 has the right to test. For instance， you may wanthim to be able to scan his own host only. Please see the nessus-adduser(8) man page for the rules syntaxEnter the rules for this user， and hit ctrl-D once you are done : (the user can have an empty rules set)default de

13、nyLogin : renaudPassword : secretDN :Rules :deny default denyIs that ok (y/n) ? y yuser added. 3) 配置Nessus后台程序该配置文件为/usr/local/etc/nessus/nessusd.conf。一般情况下不需要对该文件进行修改。4) 启动nessusd运行以下命令，启动nessusd：# nessusd-D 2在PC2上安装、设置Nessus客户端1) 安装Nessus客户端从 :/ /download/下载NessusWX或更高版本，保存到硬盘。将该压缩文件解压即可安装。2) 运行Ne

14、ssusWX运行后NessusWX界面如图21-10所示。 图21-10 NessusWX界面图 3) 配置NessusWX(1) 连接服务器，如图21-11所示。点击“Connect”按钮，与服务器建立连接。 图21-11 连接服务器 (2) 配置端口扫描。* 允许“Ping”的设置如图21-12所示。* 配置扫描时间，如图21-13所示。 图21-12 设置允许“Ping” 图21-13 配置扫描时间 (3) 配置插件，如图21-14所示。 图21-14 配置插件 读者可根据扫描对象有针对性地选择插件。同时，读者还可以选择“安全检查”，如图21-15所示。安全检查会去掉那些与安全检查兼容的

15、插件中危险的部分，而只利用例如查看banner中的版本这样的被动方式来对目标进行检查。由于被检查的系统或者服务可能打上了补丁或者采取了临时解决方案，因此安全检查的准确性比实际对漏洞进行判断的方式的准确性要低，可能会漏报或者误报。但是这样的检查不会造成系统的崩溃。 图21-15 选择“安全检查” (4) 配置扫描对象，如图21-16所示。读者可以点击“Import”，从文件中导入IP地址；也可以点击“Add”，加入需要扫描的对象。对象可以是单个IP，也可以是一个子网或者一个网段。 图21-16 配置扫描对象 (5) 开始扫描，如图21-17所示。 图21-17 开始扫描 21.3 OpenSSH

16、的安装及使用 21.3.1 实验目的通过本实验，读者可以掌握以下技能：* 学会在Linux环境中安装及配置OpenSSH；* 学会在Windows环境下使用OpenSSH客户端工具putty；* 学习使用Puttygen创建密钥对；* 学习使用Putty访问OpenSSH服务器。 21.3.2 设备需求本实验需要以下设备：* PC机两台，应带网卡，分别安装Windows 2000和Linux Reahat操作系统；* Hub一台、双绞线两根。 21.3.3 实验环境及配置说明本实验采用的两台PC机通过Hub相互连接，设备连接如图21-18所示。 图21-18 OpenSSH实验设备连接图 实验

17、中分配的IP地址：PC1为00，PC2为2，子网掩码均为。在PC1上安装操作系统，在PC2上安装Windows 2000操作系统。配置完成后，两台PC机应能通过Hub互相访问。 21.3.4 实验内容1在PC1上安装、配置OpenSSH1) 安装OpenSSH(1) 确认主机是否安装Zlib库。命令如下：rpm -qi zlib如果出现zlib的介绍，说明已安装了zlib，否则需要安装zlib。安装方法为：从 :/ /zlib/下载或更高版本，保存到硬盘，运行以下命令：# tar-zxvf zlib-*.tar.gz (*为版本号)# cd zlib-*# ./configure# make

18、# make install (2) 安装OpenSSL。方法为：从 :/ /下载Openssl或更高版本，保存到硬盘，运行以下命令：# tar-zxvf openssl-*.tar.gz (*为版本号)# cd openssl-* #./config # make clean # make # make install (3) 从OpenSSH网站( :/ openssh /)下载OpenSSH的Linuxp1。运行以下命令：# tar-zxvf openssh-*.tar.gz (*为版本号)# cd openssh-* #./configure -with-ssl-dir=/usr/lo

19、cal/ssl # make # make install安装结束后，默认的ssh服务器端程序是/usr/local/sbin/sshd，默认的ssh客户端程序是/usr/local/bin/ssh，默认的ssh配置文件路径为/usr/local/etc/。 (4) 添加帐号sshd(该帐号为客户端访问本机时所用帐号)：# useradd sshd# passwd sshd(5) 关闭运行的sshd服务，命令如下：# killall sshd (6) 覆盖系统自带的SSH，命令如下：# cp /usr/local/sbin/sshd /usr/sbin/sshd # cp /usr/local

20、/bin/ssh /usr/bin/ssh # cp /usr/local/etc/* /etc/ssh/(7) 安装结束，此时运行 ssh -V，应显示：# OpenSSH_*， OpenSSL * 25 Oct 2004 (*为版本号) 2) 配置OpenSSH打开/etc/ssh/下的sshd_conf文件，命令如下：# vi /etc/ssh/sshd_conf 将PasswordAuthentication yes 改为PasswordAuthentication no。至此，服务器端OpenSSH安装、配置完成。 2在PC2上使用puttygen生成密钥对(1) 从 :/ .uk/

21、sgtatham/putty/下载puttygen.exe，保存到硬盘。(2) 运行puttygen.exe，如图21-19所示。 (3) 单击“Generate”按钮并不断移动鼠标，以便为密钥对的生成提供随机数种子，如图21-20所示。(4) 密钥生成如图21-21所示。图21-19 运行puttygen.exe 图21-20 生成密钥对 图21-21 密钥生成图 添加“Key passphrase”和“Confirm passphrase”，用以保护密钥。(5) 单击“Save public key”按钮，将公钥保存到用户指定的目录下。(6) 将该文件上传到服务器的/home/sshd/.

22、ssh/目录下，并改名为authorized_key。(7) 单击“Save private key”按钮，将私钥保存到用户指定的目录下。至此，完成了使用puttygen生成密钥对的过程。 3在PC2上使用putty访问服务器PC1(1) 从 :/ .uk/sgtatham/putty/下载putty.exe，保存到硬盘。(2) 运行，如图21-22所示。 图21-22 运行putty.exe (3) 设置主机IP 地址、端口号(默认为22)和协议(使用SSH)。(4) 在左边的Category栏目选择Connection项，然后在右边的Auto-login usename 栏目中输入登录SS

23、H服务器时的用户名sshd，如图21-23所示。 图21-23 输入登录SSH 服务器的用户名 (5) 在Category栏目中选择Connection栏目下的子栏目SSH，将Protocol options栏中的Preferred SSH protocol version选择为2，如图21-24所示。 图21-24 选择SSH协议版本 (6) 在Category 栏目中选择Auth，在Private key file for authentication 中选择保存在本地的私钥文件，如图21-25所示。 图21-25 填入私钥文件路径 (7) 此时，采用putty的SSH 方式登录的参数配置

24、完毕。单击“Open” 按钮，连接服务器PC1，如图21-26所示。 图21-26 连接状态图 (8) 输入先前添加的Key passphrase，登录成功，如图21-27所示。 图21-27 登录成功 21.4 邮件加密软件PGP的安装和使用 21.4.1 实验目的通过本实验，读者可以掌握以下技能：* 学会在Windows环境下安装PGP 8.1；* 学会使用PGP创建密钥对；* 学会使用PGP输出和签名公共密钥；* 学会使用PGP和Outlook Express发送并接收加密的电子邮件。 21.4.2 设备需求本实验需要以下设备：* PC机两台，应带网卡，需安装Windows 2000和O

25、utlook Express软件；* 邮件服务器一台，应带网卡，需安装邮件服务器软件；* Hub一台、双绞线三根。 21.4.3 实验环境及配置说明本实验采用的两台PC机通过Hub相互连接，并通过Hub与邮件服务器相连，设备连接如图21-28所示。实验中分配的IP地址：邮件服务器为， PC1为00，PC2为01，子网掩码均为。配置完成后，两台PC机应能通过邮件服务器互发邮件。 图21-28 PGP实验设备连接图 21.4.4 实验内容1在两台PC机上安装这一步将分别在两台机器上安装PGP8.1。(1) 从国际PGP网站( pgpi )下载PGP的压缩包，保存到硬盘。目前的最新版本为8.1。(2

26、) 解压缩下载的文件，会释放出两个文件，一个叫pgp.exe，另一个是pgp.exe.sig。前者是PGP的安装文件，后者是这个安装文件的数字签名，用来检验安装文件是否被非法修改。双击pgp.exe，安装PGP。(3) 在Welcome屏幕中单击“下一步”。 (4) 单击“Yes”，接受软件许可协议。(5) 阅读Read Me文件，然后单击“下一步”。(6) 出现一个窗体，让用户选择是否已经有了Keyring，这时选择“No，Im a new user”。(7) 设定安装位置，然后单击“下一步”。(8) 确认为Outlook Express选择了插件程序，然后单击“下一步”。(9) 在Star

27、t Copying Files部分检查一下设置并单击“下一步”，PGP将开始安装。(10) 安装结束后，系统将提示重启，选择“OK”，系统重新启动。 (11) 重新启动后，会弹出一个PGP License Authorization的对话框。如果读者有PGP的许可证号，就可以注册并认证。也可以选择“Later”，以后再注册。(12) 注册结束后，会弹出一个Key Generation Wizard对话框(如图21-29所示)，用户可通过该对话框创建密钥对。 图21-29 Key Generation Wizard对话框 2使用PGP创建密钥对这一步将使用密钥生成向导生成密钥对。(1) 通过上面

28、提到的Key Generation Wizard对话框创建密钥对。该对话框有两种打开方式：一种是选择“开始”“程序”“PGP”“PGPkeys”；另一种是用右键点击系统托盘区的“ ”图标，选择PGPkeys。(2) 点击Key Generation Wizard对话框中的“下一步”，输入用户名和邮件地址，如图21-30所示。读者根据需要还可以点击Key Generation Wizard对话框中的“Expert”，选择加密方式、加密强度以及密钥过期时间等。 图21-30 选择参数 (3) 点击图21-30中的“下一步”，将出现如图21-31所示的对话框。在Passphrase栏内可输入一个最少

29、8个字符，且不包括字母、数字混合字符和特殊字符的密码短语，确认后单击“下一步”。(4) PGP开始生成一个新的密钥对。当密钥对产生完毕后，会出现一个完成的界面，点击“完成”，结束密钥对的创建过程，如图21-32所示。 图21-31 输入字符 图21-32 密钥对的生成 (5) 用户可以在PGPkeys中查看到刚生成的公共密钥，如图21-33所示。 图21-33 密钥查看 3使用PGP输出和签名公共密钥这一步将在两台PC机之间通过Outlook Express交换公共密钥，并在二者之间建立完全信任关系。1) 输出公钥(1) 用上面提到的方法打开PGPkeys。2) 用右键单击刚才创建的密钥，并选

30、择Export选项，如图21-34所示。 图21-34 公钥输出 (3) 此时出现一个“Export Key to File”对话框。选择保存的目录以及文件名，然后单击“Save”。在选择的目录中将出现一个以.asc为扩展名的文件，如图21-35所示。注意，不要保存私钥。 (4) 打开Outlook Express，将该文件作为附件发给对方。 图21-35 选择保存路径及文件名 2) 添加公钥(1) 收到对方的.asc文件后，将其保存到桌面。(2) 通过PGPkeys将该公钥文件添加到密钥环中。(3) 选择“Keys”菜单中的“Import”(如图21-36所示)，将出现一个“Select F

31、ile Containing Key”对话框。选择保存在桌面上的对方的公钥文件，并单击“打开”，如图21-37所示。 图21-36 打开对方公钥 图21-37 选择公钥文件 (4) 此时将出现一个“Select key(s)”对话框。选中刚才添加的密钥，并选择“Import”，则对方的密钥出现在密钥环中，但是没有被签名，所以不被信任。(5) 用右键单击该密钥，并选择“Sign”选项。(6) 此时将出现“PGP Sign Key”对话框。选中该密钥并选择“Allow signature to be exported”复选框，然后单击“OK”，如图21-38所示。(7) 此时系统提示要求输入密码短

32、语。同样，该密码短语不能包括字母、数字混合字符和特殊字符。输入完后单击“OK”，则在PGPkeys中该密钥旁边出现一个绿色的图标，表示它已经被签名。 图21-38 公钥导入 (8) 用右键单击该密钥，并选择“Key Properties”选项。在出现的对话框底部，从“Untrusted”滑动到“Trusted”，然后单击“关闭”，如图21-39所示。此时该密钥被信任，可以用来安全地交换信息了。 图21-39 公钥添加完成 4使用PGP和Outlook Express发送加密的电子邮件1) 发送加密的电子邮件(1) 通过Outlook Express编写邮件内容。注意：如果发送包含敏感信息的邮件

33、，则标题栏必须为空白或标题内容不能包含泄露正文内容的信息。(2) 当完成邮件正文的编写后，点击图标加密邮件正文，然后点击对内容进行签名，如图21-40所示。注意：不要与Outlook Express自带的加密、签名图标弄混了。 (3) 点击“发送”，发送邮件。此时出现一个“PGP Enter Passphrase for Selected Key”对话框。读者输入在添加公钥的(7)中输入的密码，单击“OK”，邮件开始加密并发送。 图21-40 邮件加密示意图 2) 接收加密的电子邮件(1) 通过Outlook Express接收对方发送的邮件。邮件内容为加密后的内容。(2) 点击，对邮件进行解

34、密和校验。此时会出现“PGP Enter Passphrase for a Listed Key”窗口，要求读者输入密码，如图21-41所示。 图21-41 密码输入框 (3) 读者输入使用PGP创建密钥对的(3)中输入的密码，点击“OK”。此时邮件内容被解密。读者可以看到解密后的邮件内容，如图21-42所示。 图21-42 邮件解密示意图 21.5 Apache服务器和SSL软件的安装和使用 21.5.1 实验目的通过本实验，读者可以掌握以下技能：* 学会在Linux环境下安装Apache以及Openssl；* 学会在Linux环境下将Apache与Openssl集成，构件安全的Apache

35、。 21.5.2 设备需求本实验需要以下设备：* PC机两台，应带网卡，分别安装Windows 2000和Linux Reahat操作系统；* 广播式Hub一台，双绞线两根。 21.5.3 实验环境及配置说明本实验采用的两台PC机通过Hub相互连接，设备连接如图21-43所示。 图21-43 Apache实验设备连接图 21.5.4 实验内容1下载实验软件到PC2(1) 从下载apache_1.3.x.tar.gz，保存到硬盘。(2) 从/source/下载mod_ssl-2.8.x-1.3.x.tar.gz，保存到硬盘。(3) 从/source/下载openssl-0.9.x.tar.gz，

36、保存到硬盘。 2展开这些软件包# tar-zxvfapache_1.3.x.tar.gz # tar-zxvfmod_ssl-2.8.x-1.3.x.tar.gz # tar-zxvfopenssl-0.9.x.tar.gz3编译openssl# cdopenssl-0.9.x # ./config-prefix=/usr/local/ssl -Lpwd/./rsarefrsaref-fPIC # make# maketest# makeinstall# cd . 4配置MOD_SSL模块# cd mod_ssl-2.8.x-1.3.x # ./configure-with-apache=./

37、apache_1.3.x # cd . 5安装Apache# cdapache_1.3.x # SSL_BASE=./openssl-0.9.x# ./configure -enable-module=ssl -prefix=/usr/local/apache-enable-shared=ssl# make# makecertificateTYPE=custom(生成证书)# makeinstall 6启动Apache运行以下命令，启动Apache：# /usr/local/apache/bin/apachectlstartssl7在PC1上访问PC2的Web服务(1) 启动浏览器，在URL栏

38、输入 s:/4，将出现如图21-44所示的界面。(2) 点击“确定”，将出现如图21-45所示的界面。(3) 点击“是”，将出现Apache欢迎页面(如图21-46所示)，表明安装成功，此时PC1与PC2之间的HTTP协议传输数据已被加密。 图21-44 安全警报提示图1 图21-45 安全警报提示图2 图21-46 Apache欢迎页面 21.6 Linux防火墙软件Iptables的安装和使用 21.6.1 实验目的通过本实验，读者可以掌握以下技能：* 学会在Linux环境中安装Iptables；* 学习在Iptables中添加规则，配置个人防火墙。 21.6.2 设备需求本实验需要以下设

39、备：* PC机两台，应带网卡，安装Windows 2000操作系统；* PC机一台，应带双网卡，安装Linux Reahat操作系统；* Hub两台，双绞线四根。 21.6.3 实验环境及配置说明本实验采用的三台PC机通过Hub相互连接，设备连接如图21-47所示。 图21-47 Linux防火墙实验设备连接图 实验中分配的IP地址：PC1为00；PC2上有两个网卡，网卡1的IP地址为，网卡2的地址为；PC3为00。子网掩码均为。PC1上安装Windows 2000操作系统，PC2上安装操作系统，PC3上安装Windows 2000操作系统以及系统自带的IIS。配置完成后，三台PC机应能通过H

40、ub互相访问，PC2开放了FTP服务，PC1应该能访问PC3上的Web服务。 21.6.4 实验内容1在PC2上安装Iptables(1) 使用“uname -a”命令确认Linux内核为2.3或更高版本。(2) 运行以下命令确认系统已安装Iptables：rpm -qa | grep iptab如果已安装，直接进入下一步，否则从 上获取iptables的安装包。(3) 运行以下命令安装Iptables：rpm -ivh iptables-*(星号为iptables的版本号) 2在PC2上配置Iptables使用如下命令清除默认的规则：iptables -F3在PC2上配置Iptables规则

41、使用如下命令阻塞ICMP：iptables -I INPUT -i eth0 -p icmp -s 0/0 -d 0/0 -j DROP该命令将阻塞发往eth0的ICMP包。此时，从PC1上运行将会看到“Request timed out.”，ICMP包。运行iptables -D INPUT 1可删除该规则。4在PC2上配置Iptables规则使用如下命令阻塞FTP：iptables -I INPUT -i eth0 -p tcp -s 0/0 -d 0/0-dport 21 -j DROP该命令将阻塞发往eth0的ICMP包。此时，从PC1上运行ftp 将会看到“ftp: connect

42、:Ftp包。运行iptables -D INPUT 1可删除该规则。 5在PC2上配置Iptables规则使用如下命令阻塞FTP：iptables -A FORWARD -p tcp -s 00 -d 00 -i eth1 -sport 80 -j DROP该命令将阻塞PC3通过PC2接口eth1发往PC1的TCP包。此时，从PC1上打开浏览器，访问PC3上的网页ftp 将会看到“ftp: connect :Ftp包。运行iptables -D INPUT 1可删除该规则。 21.7 网络入侵检测系统snort的安装和使用 21.7.1 实验目的通过本实验，读者可以掌握以下技能：* 学会在Li

43、nux环境中安装snort；* 学会在Linux环境中安装nmap(一个端口扫描工具)；* 学习配置snort，检测网络入侵。 21.7.2 设备需求本实验需要以下设备：* PC机三台，应带网卡，安装Linux Reahat操作系统；* 广播式Hub一台，双绞线三根。 21.7.3 实验环境及配置说明本实验采用的三台PC机通过Hub相互连接，设备连接如图21-48所示。 实验中分配的IP地址，PC1为，PC2为，PC3为。子网掩码均为。 图21-48 Snort实验设备连接图 21.7.4 实验内容1在PC2上安装snort(1) 从下载最新版的snort，保存到硬盘。(2) 运行以下命令，安

44、装snort：# tar -zxvf snort-*.tar.gz(*为版本号)# ./configure# make# make install (3) 在/var/log目录下运行以下命令，新建一个目录，保存报警记录：# mkdir /var/log/snort自此snort安装完毕。(4) 运行以下命令，启动snort检测入侵：# ./2在PC1上安装nmap(1) 从下载最新版nmap的RPM包，保存到硬盘。(2) 运行以下命令，安装nmap：# rpm -ivh nmap-*.i386.rpm (*为版本号)自此nmap安装完毕。(3) 运行nmap扫描PC3：# nmap 3在PC

45、2上检查snort检测入侵结果(1) 进入/var/log/snort目录：# cd /var/log/snort(2) 该目录下有个“”的目录，进入该目录：# cd(3) 该目录下有个“ICMP_ECHO”文件，打开该文件：# vi ICMP_ECHO 文件内容为：* ICMP PING NMAP *01/27-09:48:14.162942 0:E0:4C:DD:19:EF - 0:C:F1:73:54:81 type:0 x800 len:0 x3C - ICMP TTL:39 TOS:0 x0 ID:15872 IpLen:20 DgmLen:28Type:8 Code:0 ID:37

46、377 Seq:41903 ECHO=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=由此可见，snort已检测到通过nmap对进行的端口扫描。 21.8 常见木马的检测、清除方法和工具的使用 21.8.1 实验目的通过本实验，读者可以掌握以下技能：* 掌握目前网络中常见的七种木马的检测及清除方法；* 学会使用工具检测并清除木马。 21.8.2 设备需求本实验需要以下设备：* PC机一台，安装Windows 2000操作系统。 21.8.3 实验环境及配置说明安装实验中需要检测的木马包括：网络公牛、Netspy、SubSe

47、ven、冰河、网络神偷、广外女生等。 21.8.4 实验内容1常见木马的检测和清除1) 网络公牛(Netbull)(1) 木马特征：网络公牛默认的连接端口为23444。服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于C:WindowsSystem下，下次开机后checkdll.exe将自动运行，具有较强的隐蔽性。同时，服务端运行后会自动捆绑以下文件(Windows 2000下)：，regedit.exe，winmine.exe 服务端运行后还会捆绑在开机时自动运行的第三方软件，如realplay.exe、QQ、ICQ等，同时会在注册表中建立键值。网络公牛采

48、用的是文件捆绑功能，它和上面所列出的文件捆绑在一块，要清除非常困难。用户通过判断文件长度是否发生变化，可分析是否中了木马。 (2) 清除方法：* 删除网络公牛的自启动程序C:WindowsSystemCheckdll.exe。* 把网络公牛在注册表中所建立的键值全部删除。* 检查上面列出的文件，如果发现文件长度发生变化(大约增加了40 KB左右，可以通过与其他机子上的正常文件比较而知)，就删除它们。然后点击“开始”“附件”“系统工具”“系统信息”“工具”“系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件(E)”，在框中填入要提取的文件(前面删除的文件)，点“确定”按钮，然后按屏幕

49、提示将这些文件恢复即可。如果是开机时自动运行的第三方软件，如realplay.exe、QQ、ICQ等被捆绑上了，那就把这些文件删除，再重新安装。 2) Netspy(网络精灵) (1) 木马特征：Netspy又名网络精灵，默认连接端口为7306。客户端通过IE或Navigate就可以对服务器端进行远程监控。服务器端程序被执行后，会在C:WindowsSystem目录下生成netspy.exe文件。同时在注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion Run下建立键值C:WindowsSystemnetspy.exe，用于在

50、系统启动时自动加载运行。 (2) 清除方法：* 重新启动机器并在出现Staring Windows提示时，按F5键进入命令行状态。在C:WindowsSystem目录下输入以下命令：del netspy.exe* 进入HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun，删除Netspy的键值，即可安全清除Netspy。 3) SubSeven (1) 木马特征：SubSeven服务器端程序只有54.5 KB，很容易被捆绑到其他软件上而不被发现。服务器端程序为，客户端程序为subseven.exe。SubSeven服务器端被执

51、行后，每次启动的进程名都会发生变化，因此很难查找。 (2) 清除方法：* 打开注册表Regedit，进入HKEY_LOCAL_MACHINESoftwareMicrosoft Windows CurrentVersionRun和RunService，如果有加载文件，就删除右边的项目：加载器=C:WindowsSystem*。注：加载器和文件名是随意改变的。* 打开win.ini文件，检查“run=”后有没有加上某个可执行文件名，如有则删除之。 * 打开system.ini文件，检查“shell=explorer.exe”后有没有跟某个文件，如有，则将后跟的文件删除。 * 重新启动Windows

52、，删除相对应的木马程序，一般在C:WindowsSystem下。 4) 冰河 (1) 木马特征：这里介绍的是对其标准版的清除，掌握了如何清除标准版，再来对付变种冰河就很容易了。冰河的服务器端程序为，客户端程序为，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:WindowsSystem目录下生成和sy*plr.exe，并删除自身。在系统启动时自动加载运行，sy*plr.exe和TXT文件关联。即使删除了，但只要打开TXT文件，sy*plr.exe就会被激活，再次生成。 (2) 清除方法：* 删除C:WindowsSystem下的和Sy*plr.exe文件。* 冰河会在注册

53、表HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun下扎根，键值为C:WindowsSystem Kernel32.exe，删除它。* 在注册表的HKEY_LOCAL_ MACHINESoftwareMicrosoftWindowsCurrentVersion Runservices下，还有键值为的，也要删除。* 修改注册表HKEY_CLASSES_ROOTtxtfile shellopencommand下的默认值，由表中木马后的C:WindowsSystemSy*plr.exe %1改为正常的C:Windowsnotepa

54、d.exe %1，即可恢复TXT文件关联功能。5) 网络神偷(Nethief) (1) 木马特征：“网络神偷”是个反弹端口型木马。与一般的木马相反，反弹端口型木马的服务器端(被控制端)使用主动端口，客户端(控制端)使用被动端口。为了隐蔽起见，客户端的监听端口一般开在80，这样即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP服务器端的IP地址：1026客户端的IP地址:80 ESTABLISHED”的情况，稍微疏忽一点就会以为是自己在浏览网页。 (2) 清除方法：* 网络神偷会在注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindows Curren

55、tVersionRun下建立键值“internet”，其值为“internet.exe /s”，将该键值删除。* 删除其自启动程序。 6) 广外女生(1) 木马特征：“广外女生”是一种新出现的远程监控工具，破坏性很大，能实现远程上传、下载、删除文件、修改注册表等功能。而且“广外女生”服务器端被执行后，会自动检查进程中是否含有“金山毒霸”、“天网”等字样，如果发现就将该进程终止，使防火墙完全失去作用。 (2) 清除方法：* 启动到纯DOS模式下，找到System目录下的diagfg.exe，删除它。* 找到Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“Regedit

56、”。* 回到Windows模式下，运行Windows目录下的Regedit 程序(就是我们刚才改名的文件)。7) (1) 木马特征：默认的连接端口是8011。服务器端被运行后，在C:Windowssystem下生成msgsvc.exe文件，图标是文本文件的图标。同时，在注册表HKEY_LOCAL_ MACHINESoftware MicrosoftWindowsCurrentVersionRun下建立串值Msgtask。 (2) 清除方法：用进程管理工具查看，会发现进程CWAY，只要删除它在注册表中的键值，再删除C:WindowsSystem下的msgsvc.exe文件就可以了。需要注意的是：

57、在Windows下无法直接删除msgsvc.exe，可以用进程管理工具终止它的进程，然后再删除它。或者到DOS下删除msgsvc.exe。如果服务器端已经和可执行文件捆绑在一起了，那就只有将该可执行文件删除才能清除该病毒。注意在删除前做好备份。 2木马检测工具的使用Anti-Trojan Shield是一款享誉欧洲的专业木马侦测、拦截及清除软件。读者可以从 :/ atshield /index.php?r=download下载试用版。(1) 从上面的网站下载安装软件ats1.exe。(2) 双击该软件，根据提示完成安装。(3) 运行Anti-Trojan Shield，如图21-49所示。 图

58、21-49 Anti-Trojan Shield运行图 (4) 选择扫描对象，然后点击“Start”，开始对目标进行扫描，如图21-50所示。 图21-50 扫描示意图 (5) 如果软件找到木马会提示，并把该木马显示出来，如图21-51所示。 图21-51 报警示意图 此时，读者可以根据实际情况选择“Delete”删除或“Quarantine”隔离该木马。如图21-52所示，读者还可以根据需要，在“Setup”标签下勾选“scan archives”选项，这样就可以对ZIP、RAR、ARJ和CAB 等压缩包内部进行扫描。勾选“Use Program code analysis”，可以对程序进行

59、代码分析，查找出未知的木马程序，这有点类似于反病毒软件中的“启发式查毒”，但是扫描速度会减慢。另外，默认选择“Minhigh speed”项，则只对可执行文件进行扫描，建议选择“Max low speed”，对所有文件都进行扫描。 图21-52 木马处理 21.9 Windump软件的安装和使用 21.9.1 实验目的通过本实验，读者可以掌握以下技能：* 学会在Windows环境下搭建Windump使用环境；* 学会使用Windump对网络流量进行统计分析。 21.9.2 设备需求本实验需要以下设备：* PC机两台以上，应带网卡，分别安装Windows 2000和Linux Reahat操作系

60、统以及其他操作系统；* 广播式Hub一台，双绞线两根以上。 21.9.3 实验环境及配置说明本实验采用的两台PC机通过Hub相互连接，设备连接如图21-53所示。 实验中分配的IP地址：PC1为，PC2为，依次类推。子网掩码均为。在PC1上安装Windows 2000操作系统，在其他PC机上安装Windows 2000操作系统或UNIX/Linux系统均可。配置完成后，PC机应能通过Hub互相访问。 图21-53 Windump实验设备连接图 21.9.4 实验内容(1) 从 :/windump.polito.it/install/default.htm下载所需软件，包括winpcap.exe