网络安全课程实验指导书

网络安全课程实验安排及指导书2009-10-21实验安排1、推荐必做实验网络扫描计算机病毒及恶意代码防火墙实验入侵检测系统2、推荐选作实验VPN0已置证书的申请和使用windows安全配置实验实验一： 网络扫描实验【实验目的】了解扫描的基本原理，掌握基本方法，最终巩固主机安全【实验容】1、学习使用Nmap的使用方法2、学习使用漏洞扫描工具【实验环境】硬件PC机一台。系统配置：操作系统 windowsXP以上。【实验步骤】1、端口扫描解压并安装 ipscan15.zip，扫描本局域网的主机解压nmap-4.00-win32.zip，安装WinPcap运行cmd.exe,熟悉nmap命令(详见"Nmap羊解.mht")。试图做以下扫描：扫描局域网存活主机，扫描某一台主机或某一个网段的开放端口扫描目标主机的操作系统试图使用Nmap的其他扫描方式，伪源地址、隐蔽扫描等2、漏洞扫描解压X-Scan-v3.3-cn.rar，运行程序 xscan_gui.exe，将所有模块选择扫描， 扫描本机，或局域网某一台主机的漏洞【实验报告】1、说明程序设计原理。2、提交运行测试结果。【实验背景知识】1、 扫描及漏洞扫描原理见 第四章黑客攻击技术 .ppt2、NMA限用方法扫描器是帮助你了解自己系统的绝佳助手。象 Windows2K/XP这样复杂的操作系统支持应用软件打开数百个端口与其他客户程序或服务器通信， 端口扫描是检测服务器上运行了哪些服务和应用、向 Internet或其他网络开放了哪些联系通道的一种办法，不仅速度快，而且效果也很不错。Nmap被开发用于允许系统管理员察看一个大的网络系统有哪些主机以及其上运行何种服务。它支持多种协议的扫描如 UDP，TCPconnect(),TCPSYN(halfopen),ftpproxy(bounceattack),Reverse-ident,ICMP(pingsweep),FIN,ACKsweep,XmasTree,SYNsweep,和Null扫描。你可以从 SCANTYPESH节中察看相关细节。 nmap还提供一些实用功能如通过 tcp/ip来甄别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的 PING侦测下属的主机、欺骗扫描、端口过滤探测、直接的 RPC扫描、分布扫描、灵活的目标选择以及端口的描述。一、安装 NmapNmapl^用到一个称为"Windows包捕获库”的驱动程序 WinPcap 如果你经常从网上下载流媒体电影，可能已经熟悉这个驱动程序——某些流媒体电影的地址是加密的，侦测这些电影的真实地址就要用到 WinPcap。WinPcap的作用是帮助调用程序 (即这里的Nmap)捕获通过网卡传输的原始数据。WinPcap的最新版本在netgroup-serv.polito.it/winpcap，支持XP/2K/Me/9x全系列操作系统，下载得到的是一个执行文件，双击安装，一路确认使用默认设置就可以了，安装好之后需要重新启动。接下来下载Nmap下载好之后解开压缩，不需要安装。除了执行文件 nmap.exe之外，它还有下列参考文档 :㈠nmap-os-fingerprints: 列出了500多种网络设备和操作系统的堆栈标识信息。㈡nmap-protocols:Nmap执行协议扫描的协议清单。㈢nmap-rpc:远程过程调用(RPC)服务清单，Nmap用它来确定在特定端口上监听的应用类型。㈣nmap-services:一个TCP/UD冏艮务的?#单，Nmap!它来匹配服务名称和端口号。除了命令行版本之外，. 还提供了一个带GUI的Nmap版本。和其他常见的Windows软件一样，GUI版本需要安装，图一就是GUI版Nmap的运行界面。GUI版的功能基本上和命令行版本一样，鉴于许多人更喜欢用命令行版本，本文后面的说明就以命令行版本为主。图一二、常用扫描类型解开Nma阶令行版的压缩包之后，进入 Windows的命令控制台，再转到安装 Nmap的目录（如果经常要用Nmap最好把它的路径加入到PATH^境变量）。不带任何命令行参数运行NmapNmap1示出命令语法，如图二所示。图二下面是Nmap支持的四种最基本的扫描方式 ：⑴TCPconnect（）端口扫描 （-sT参数）。⑵TCP同步（SYN）端口扫描（-sS参数）。⑶UDP端口扫描 （-sU参数）。⑷Ping扫描（-sP参数）。如果要勾画一个网络的整体情况， Ping扫描和TCPSYN扫描最为实用。Ping扫描通过发送 ICMP（InternetControlMessageProtocol，Internet控制消息协议 ）回应请求数据包和TCP应答（Acknowledge,简写ACK激据包，确定主机的状态， 非常适合于检测指定网段正在运行的主机数量。TCPSYN扫描一下子不太好理解，但如果将它与 TCPconnect。扫描比较，就很容易看出这种扫描方式的特点。在 TCPconnect（）扫描中，扫描器利用操作系统本身的系统调用打开一个完整的TCP连接一一也就是说，扫描器打开了两个主机之间的完整握手过程（SYN,SYN-ACK和ACKb一次完整执行的握手过程表明远程主机端口是打开的。TCPSYN扫描创建的是半打开的连接，它与 TCPconnect。扫描的不同之处在于，TCPSYN扫描发送的是复位（RST）标记而不是结束ACK标记（即，SYNSYN-ACK或RST）:如果远程主机正在监听且端口是打开的， 远程主机用SYN-ACK^答，Nmap^送一个RST;如果远程主机的端口是关闭的，它的应答将是 RST此时NmapF专入下一个端口。图三是一次测试结果，很明显，TCPSYN扫描速度要超过TCPconnect。扫描。采用默认计时选项，在LAN环境下扫描一个主机，Ping扫描耗时不到十秒，TCPSYN扫描需要大约十三秒，而 TCPconnect（）扫描耗时最多，需要大约 7分钟。图三Nmap支持丰富、灵活的命令行参数。例如，如果要扫描 192.168.7网络，可以用687x/4或-255的形式指定 IP地址围。指定端口围使用 -p参数，如果不指定要扫描的端口， Nma濒认扫描从1到1024再加上nmap-services列出的端口。如果要查看Nmap运行的详细过程，只要启用 verbose模式，即加上-v参数，或者加上-vv参数获得更加详细的信息。例如，nmap-sS-255-p20,21,53-110,30000--v命令，表示执行一次TCPSYNB描，启用verbose模式，要扫描的网络是 192.168.7，检测 20、21、53到110以及30000以上的端口 （指定端口清单时中间不要插入空格 ）。再举一个例子， nmap-sS/24-p80扫描192.168.0子网，查找在80端口监听的服务器（通常是Web服务器）。有些网络设备，例如路由器和网络打印机，可能禁用或过滤某些端口，禁止对该设备或跨越该设备的扫描。初步侦测网络情况时， -host_timeout<毫秒数>参数很有用，它表示超时时间，例如 nmapsShost_timeout10000命令规定超时时间是10000毫秒。网络设备上被过滤掉的端口一般会大大延长侦测时间， 设置超时参数有时可以显著降低扫描网络所需时间。Nma除显示出哪些网络设备响应超时， 这时你就可以对这些设备个别处理， 保证大围网络扫描的整体速度。 当然，host_timeout到底可以节省多少扫描时间，最终还是由网络上被过滤的端口数量决定。Nmap勺手册(man文档)详细说明了命令彳T参数的用法(虽然man文档是针对UNIX版Nma谕写的，但同样提供了Win32版本的说明)。三、注意事项也许你对其他端口扫描器比较熟悉，但 Nmap色对值得一试。建议先用Nmapm描一个熟悉的系统，感觉一下Nmap的基本运行模式，熟悉之后，再将扫描围扩大到其他系统。首先扫描部网络看看Nmapt艮告的结果，然后从一个外部IP地址扫描，注意防火墙、入侵检测系统 (IDS)以及其他工具对扫描操作的反应。通常， TCPconnect()会引起IDS系统的反应，但IDS不一定会记录俗称“半连接”的 TCPSYN扫描。最好将NmapB描网络的报告整理存档，以便随后参考。如果你打算熟悉和使用Nmap下面几点经验可能对你有帮助 ：㈠避免误解。不要随意选择测试 Nmap的扫描目标。许多单位把端口扫描视为恶意行为，所以测试Nmap最好在部网络进行。如有必要，应该告诉同事你正在试验端口扫描，因为扫描可能引发 IDS警报以及其他网络问题。㈡关闭不必要的服务。根据Nma隈供的报告(同时考虑网络的安全要求)，关闭不必要的服务，或者调整路由器的访问控制规则 (ACL)，禁用网络开放给外界的某些端口。㈢建立安全基准。在Nmap的帮助下加固网络、搞清楚哪些系统和服务可能受到攻击之后，下一步是从这些已知的系统和服务出发建立一个安全基准，以后如果要启用新的服务或者服务器，就可以方便地根据这个安全基准执行。实验二：计算机病毒及恶意代码【实验目的】练习木马程序安装和攻击过程， 了解木马攻击原理，掌握手工查杀木马的基本方法， 提高自己的安全意识。【实验容】安装木马程序NetBus,通过冰刃iceberg、autoruns.exe了解木马的加载及隐藏技术【实验步骤】1、木马安装和使用)在菜单运行中输入cmd打开dos命令编辑器)安装netbus软件3)在口0面令窗口启动进程并设置密码<C>版板所有1585-2001KlctcsflfCCorp.C=\Umciinirnt归司mdSw11ingsXfldministtor>rXC=S>d=iietlbus\netJbus>c：dnetbusD：\n«thiisMithiifl>rliF

Bi nethus1）：SnRtbiis： bus>dis*驱动器D中的卷没有标矍,卷的序列号是F805-86C6P=butVi>etbuv的日尊TZ008-10-282008-10-282009-102g2001-12-142008-10-2S1998-J.1-13200±-12-142001-12-14B个文件2'A目录5,599.55222,729494,678392,42756.63'/Hq。七谷♦匕k*1O<J*txtMenniHl7>rt：Net;Bus-exeNeCBus.rtfPaltgji-UXUtrenplAdl^kteniil.dnsr1,566r323字节012,512,768可用字节P- 曰tbui■&"Mi&tjbLis=>patcJi^p-ass-45&7891DD：^neTblis\nethuLS：>二UJ凶二UJ凶ServeradminOpenCD-ROMShowimageHq4namelP;「inintervatFunctiondelay:60 AboutAddIP0 Menw|DelIPPort:12345CancelScan!4>NetBus1.70,bycfSwapmousePortRedirectAppRedirectSeruersetupStartprogramPlaysoundControlmouse|MsgmanagerExhWindowsMouseposGotoURLScreendumpSendteKtListenKeymanagerGetinfo|Activewnds1SoundsystemFilemanagerConnectedto7(ver1.70)5）控制本地电脑打开学院网页

URLURLtogoto：hltp:?2w^w.zzb.三］Port:|12346□KCancel4boM|AddIP|IVtem口|DelIPCancelScdn!SwapmousePortRedirectAppRedirectServersetupStartproqr^mPlaysoundLLControlmouseMegURLURLtogoto：hltp:?2w^w.zzb.三］Port:|12346□KCancel4boM|AddIP|IVtem口|DelIPCancelScdn!SwapmousePortRedirectAppRedirectServersetupStartproqr^mPlaysoundLLControlmouseMegmanagerExitWindowsSendteKlScreendumpActivewnd?KeymanagerSoundsystemCotoURLFilemanagerConnectedto17Z1G.O.S7(ver1,70)6）查看自己主机通NetBus1.70fbycfSerueradminHostnamclP:|l72.1G.OdOD|，|Port；(12345OpenCD-ROM「ininterual:60-AbMeoutIAddIPICancel ShawimageFunctiondelay:u-mo口「IP」_Stan!JSwapmoosePwtFbediredIAppRedirectIServersetupStartprogramPlaysoundlF-Cnrrtrcdmciijse|MsgmanagerExitWindowsLLLMouseposIGotoURLScreendumpSendteirtLjistenKeyrmanagerGetinfoActivewmdsSoundsystemFilemanagerConnectedto172J6,0J00(ver1JO)7）查看任务管理器进程旦Windows任普管理器-Jnl文件⑹选项@查看（心美机（10帮肋（出应用程序迸程|性能|底网|用户■映像领用户名CFV内存便再］^28,15628,156K4,341KK5,016KnWORD.IXEsvchoEt,«xetshngr,宜*H¥tRueexaAdnLiLixtr«tor5I5TENKdniiustrkdnLikistr«torTatch.m& Ajdni nistrator M 4.352KmnimE.wqlmm审.axectffton.，，eiLg.g升已ICCAgent.txtJuEcli»d.电x电HCStn.ax«,williprvie.ext@Kplor«r.txtEp&ilsv.w乂色svchost.*HeEvckost.*X*tE中Bknvt4乂4KdndniMratm^drhLziixtritorAdndni工tritorLOCALSERVICEAdmLiListrit&rkdmi.Ristritorkdn>iiListratorkdmiaistrit5rSYSTEMkdmi.TLiistrttar仃STEMLOCALSERVICEHFTWEKSERVICESYSTEMooo^ooooooooonooooooooooooonZOCK5,412K3,404K3,65$K3,612K4,012K3,5簧K3,8TBK5,212K£2,056KQ,5K4,446KS52K?H7?4Kr显东所有用户的进程⑵结束进程⑥进程建t34□PU使用：4%提变更改：Z17M/1248M8移除木马控制程序进程D=\nethus\netbuscJi/kenoue查看任务管理器（注意： Patch.exe进程已经关闭）」口1乂1」口1乂1文件©选项（必查官区〕关机（5帮助但】庭用程序送程|性南|寐同|用F映像名称用户名CPIT内存使用餐1explore.exeAdminietxrator2%708KHBTOJW.EXEAdministrat0r箕，104Esvch?sti.磕福曰SYSTEM4,380KcqemaaceAJmin.15 qf3£0BKta^longr.ex回Administrat睢匕440Kgqlmogr4Admini§qr5MzKctfraiQ3VexeAdmimstrator3412Kalg.gxeLBCAL5EE7ICE4656KICCAgexit,exeAJmimi51r地t◎耳3eieKj-asched.exeAJmimstr^ator4012KHCStu.日工€Administrator3600Kdaeiw0nexeAdministrator3B76Kwnipr"vs$-RH软gy^TEM5,212Keiplorer.exeAdministr»torL83)Kspoolsv.exeSYSTEM%928Ei ।TCLLitL17EFT「T7内ALr172、木马防御实验

在木马安装过程可以运行一下软件查看主机信息变化：1）使用autoruns.exe软件，查看windows程序启动程序的位置，了解木马的自动加载技术。如自动运行进程（下图所示）、IE浏览器调运插件、任务计划等：2）查看当前运行的进程，windows提供的任务管理器可以查看当前运行的进程，但其提供的信息不全面。利用第三方软件可以更清楚地了解当前运行进程的信息。这里procexp.exe为例启动procexp.exe程序，查看当前运行进程所在位置，如图所示：3）木马综合查杀练习使用冰刃IceSword查看木马可能修改的位置:主要进行以下练习：1）查看当前通信进程开放的端口。

木马攻击2）查看当前启动的服务3）练习其他功能，如强制删除其他文件， SPI、核模块等。【实验报告】1、分析木马传播、自启动、及隐藏的原理。2、提交运行测试的结果，并分析。【背景知识】NetBus由两部分组成：客户端程序（ netbus.exe）和服务器端程序（通常文件名为：patch.exe）。要想“控制”远程机器，必须先将服务器端程序安装到远程机器上－－这一般是通过远程机器的主人无意中运行了带有 NetBus的所谓特洛伊木马程序后完成的。NetBus服务器端程序是放在 Windows的系统目录中的，它会在Windows启动时自动启动。该程序的文件名是 patch.exe，如果该程序通过一个名为 whackamole.exe的游戏安装潜伏的话， 文件名应为 explore.exe（注意： 不是explorer.exe！）或者简单地叫 game.exe。同时，你可以检查Windows系统注册表，NetBus会在下面路径中加入其自身的启动项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunNetBus通过该注册项实现 Windows启动时的自动启动。但如果你按 Ctrl+Alt+Del，在任务列表中是看不到它的存在的。正确的去除方法如下：1、运行regedit.exe；2、找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRu；n3、将 patch项删除（或者 explore项）；4、重新启动机器后删除 Windows系统目录下的patch.exe（或者explore.exe）即可。实验三： 防火墙实验【实验目的】掌握个人防火墙的使用及规则的设置【实验容】防火墙设置，规则的设置，检验防火墙的使用。【实验环境】硬件PC机一台。系统配置：操作系统 windowsXP以上。【实验步骤】（有两种可选方式， 1、以天网防火墙为例，学习防火墙的规则设置， 2、通过winroute防火墙学习使用规则设置，两者均需安装虚拟机 ）一、虚拟机安装与配置验证virtualPC是否安装在 xp操作系统之上，如果没有安装，从获取相关软件并安装；从教师机上获取 windows2000虚拟机硬盘二、包过滤防火墙 winroute配置（可选）1、从教师机上获取 winroute安装软件并放置在 windows2000上安装2、安装默认方式进行安装，并按提示重启系统3、登陆虚拟机 ,打开winroute以管理员的身份登录，打开开始 >WinRoutePro>WinRouteAdministration，输入IP地址或计算机名，以及 WinRoute管理员（默认为 Admin）、密码（默认为空）3、打开菜单 Setting>Advanced>PacketFilter4、在 PacketFilter对话框中，选中 Anyinterface并展开双击NoRule图标，打开 AddItem对话框在Protocol下拉列表框中选择ICMP,开始编辑规则配置Destination：type为Host,IPAddress为（x为座位号 ）5、在 ICMPTypes中，选中 All复选项在Action区域，选择 Drop项在LogPacket区域选中 LogintoWindow其他各项均保持默认值，单击 OK单击OK返回主窗口6、合作伙伴间ping对方IP,应该没有任何响应打开菜单 View>Logs>SecurityLog,详细查看日志记录禁用或删除规则8、用 WinRoute控制某个特定主机的访问（选作）要求学生在虚拟机安装 ftp服务器。1）打开WinRoute,打开菜单 Settings>Advanced>PacketFilter选择,Outgoing标签2）选才AAnyInterface 并展开，双击NoRule,然后选择TCP>议配置Destination框：type为Host，IPAddress为（2为合作伙伴座位号）、在Source框中：端口围选择 Greaterthan（>），然后输入 1024以21端口作为 DestinationPort值在Action区域，选择Deny选项选择Logintowindow选项应用以上设置，返回主窗口合作伙伴间互相建立到对方的 FTP连接，观察失败信息禁用或删除FTP过滤三、包过滤天网防火墙配置（可选）1、安装解压，单击安装文件 SkynetPFW_Retail_Release_v2.77_Build1228.EXE安装按缺省的设置安装，注：破解）将两个文件 [Cr-PFW.exe]和[PFW.bak]一起复制到软件安装目录中）运行破解补丁 [Cr-PFW.exe]，覆盖原主程序即可2、熟悉防火墙规则启动防火墙并”单击自定义规则”如图

允许自己用ping静令探测其他机器TCMP允许躇由器返回"超时"的工CMP回应晅ICMP允评路由器返回“无泣到达"的ICMTCICMFMil厂伺何何

任任任允许自己用ping静令探测其他机器TCMP允许躇由器返回"超时"的工CMP回应晅ICMP允评路由器返回“无泣到达"的ICMTCICMFMil厂伺何何

任任任访止别人用口ifLE命令探测KMF任何防御1CTIP攻击防御1GMp期击TClrfPIGMP允许局域网的机器使用我的共享资祯禁止互联网上的机器使用我的贝寿片TCPTCP月域网任何由于PUIG命令却^恻具他机者时.如果挪台机器行装/TCP/m擀记.就会与最工祟%静蓊事虚罂.由这种工由包返回到尿的机器，这样就可熟悉规则的设置:双击如下选项：“允许自己用ping命令探测其他机器“防止别人用ping命令探测”“禁止互联网上的机器使用我的共享资源”“防止互联网上的机器探测机器名称”等选项，熟悉其中的IP地址、方向，协议类型、端口号、控制位等项的设置。试总结规则设置的顺序，5、增加设置防火墙规则开放部分自己需要的端口。下图为对话框，各部分说明：1）新建IP规则的说明部分，可以取有代表性的名字，如“打开BT6881-6889端口”，说明详细点也可以。还有数据包方向的选择，分为接收，发送，接收和发送三种，可以根据具体情况决定。）就是对方IP地址，分为任何地址，局域网地址，指定地址，指定网络地址四种。）IP规则使用的各种协议，有IP,TCP,UDPICMP,IGMP五种协议，可以根据具体情况选用并设置，如开放 IP地址的是IP协议，QQOt用白^是UDPB议等。）比较关键，就是决定你设置上面规则是允许还是拒绝，在满足条件时是通行还是拦截还是继续下一规则，要不要记录，具体看后面的实例。

增埴工P规则现则说明熟据包方向:I匕接收「对方LP地址|里任何地址 三|数据包物演类型:TCP本迪肺口r已投制程序开前的端口数据包物演类型:TCP本迪肺口r已投制程序开前的端口TerGe厂厂厂l_LL对口为口时，不席为条件当蠲足上面条件时百拦截 ▼ 同时还一记录r对口为口时，不席为条件当蠲足上面条件时百拦截 ▼ 同时还一记录r害告r发声取消试设置如下规则:i）禁止局域网的某一台主机和自己通信通信2）禁止任何大于1023的目标端口于本机连接，3）允许任何新来的TCP与主机的SMT帷接4、查看各个程序使用及监听端口的情况可以查看什么程序使用了端口，使用哪个端口，是不是有可疑程序在使用网络资源,如木马程序，然后可以根据要求再自定义 IP规则里封了某些端口以及禁止某些IP访问自己的机子等等。e-h^ric胆外 4于立下e-h^ric胆外 4于立下Vini?ft-LSASkiell(Esport¥e-x3iari)43UDF揩在$0ri国口圜⑪斤飞i'E-n^-rj-飞i'E-n^-rj-HistF|ri3ce-5!rtnrTmi?Srm,r!1"J■工1:Efiatrt口上；f争3Sai^2t-上TCP窸过SlaSet5(50M］苍口孟।■河GmiwiikH口14%/FlmWia22f：i:；5-1.26OQ.D院住工二；X璃F'V.1二丁｝Lrfc^uj*chn.日甘■?【实验报告】说明包过滤放火墙的工作原理。提交防火墙指定功能测试结果。实验4入侵检测系统安装和使用【实验目的】通过安装并运行一个 snort系统，了解入侵检测系统的作用和功能【实验容】安装并配置appahe,安装并配置MySQL安装并配置snort;服务器端安装配置php脚本，通过 IE浏览器访问 IDS【实验环境】硬件PC机一台。系统配置：操作系统 windowsXP以上。【实验步骤】安装appache服务器安装的时候注意，本机的 80端口是否被占用，如果被占用则关闭占用端口的程序。选择定制安装， 安装路径修改为 c:\apache安装程序会自动建立 c:\apache2目录，继续以完成安装。添加Apache对PHP的支持1）解压缩 php-5.2.6-Win32.zip至c:\php2）拷贝 php5ts.dll文件到%systemroot%\system323）拷贝 php.ini-dist（修改文件名 ）至%systemroot%\php.ini修改php.iniextension=php_gd2.dllextension=php_mysql.dll同时拷贝 c:\php\extension下的php_gd2.dll与php_mysql.dll至%systemroot%\4）添加 gd库的支持在 C:\apache\Apache2\conf\httpd.conf中添加：LoadModulephp5_module"c:/php5/php5apache2.dll"AddTypeapplication这一行下面加入下面两行：AddTypeapplication/x-httpd-php.php.phtml.php3.php4AddTypeapplication/x-httpd-php-source.phps5）添加好后，保存 http.conf文件，并重新启动 apache服务器。现在可以测试 php脚本：在c:\apache2\htdocs目录下新建 test.phptest.php文件容：〈?phpinfo（）;?〉使用 localhost/test.php测试 php是否安装成功2、安装配置 snort安装程序 WinPcap_4_0_2.exe；缺省安装即可安装 Snort_2_8_1_Installer.exe ；缺省安装即可将snortrules-snapshot-CURRENT目录下的所有文件复制 （全选）到c:\snort目录下。将文件压缩包中的 snort.conf覆盖C:\Snort\etc\snort.conf安装MySql配置mysql解压mysql-5.0.51b-win32.zip，并安装。采取默认安装，注意设置 root和其密码J检查是否已经启动 mysql服务在安装目录下运行命令： （一般为 c:\mysql\bin）mysql-uroot-p输入刚才设置的 root密码运行以下命令c:\>mysql-Dmysql-uroot-p<c:\snort_mysql （需要将 snort_mysql复制到c盘下，当然也可以复制到其他目录）运行以下命令：c:\mysql\bin\mysql-Dsnort-uroot-p<c:\snort\schemas\create_mysqlc:\mysql\bin\mysql-Dsnort_archive-uroot-p<c:\snort\schemas\create_mysql安装其他工具1）安装adodb,解压缩adodb497.zip到c:\php\adodb目录下2）安装 jpgrapg库，解压缩 jpgraph-1.22.1.tar.gz到c:\php\jpgraph，并且修改C:\php\jpgraph\src\jpgraph.php，添加如下一行：DEFINE（"CACHE_DIR","/tmp/jpgraph_cache/"）;安装acid，解压缩 acid-0.9.6b23.tar.gz到c:\apache\htdocs\acid目录下，并将C:\Apache\htdocs\acid\acid_conf.php文件的如下各行容修改为：$DBlib_path="c:\php\adodb";$alert_dbname="snort";$alert_host="localhost";$alert_port="3306";$alert_user="acid";$alert_password="acid";$archive_dbname="snort_archive";$archive_host="localhost";$archive_port="3306";$archive_user="acid";$archive_password="acid";$ChartLib_path="c:\php\jpgraph\src";、通过浏览器访问 http://acid/acid_db_setup.php，在打开页面中点取"CreateACIDAG”按钮，让系统自动在mysql中建立acid运行必须的数据库启动 snort测试snort是否正常：c:\>snort-dev，能看到一只正在奔跑的小猪证明工作正常查看本地网络适配器编号：c:\>snort-W正式启动 snort；snort-c"c:\snort\etc\snort.conf"-i2-l"c:\snort\logs"-deX意其中-i后的参数为网卡编号，由snort-W察看得知）这时通过 localhost/acid/acid_main.php可以察看入侵检测的结果6、 利用扫描实验的要求扫描局域网，查看检测的结果【实验报告】、简单分析网络入侵检测 snort的分析原理、 分析所安装的入侵检测系统对攻击的检测结果。附：Appach启动动命令：apache-kinstall|apache-kstart证书的申请和使用【实验目的】掌握数字证书的申请、安装，利用证书的使用通过 Outlook发送和接受安全电子【实验容】申请免费使用证书，了解证书的结构利用申请的证书，发送和接收具有加密和签名认证的电子【实验环境】上网计算机，Windows操作系统（最好是Windows2000）。IE5.0以上浏览器【实验步骤】1、证书申请（1）登录中国数字认证网： .ca365.，如图1所示，

图1申请证书主页(2)单击“用表格申请”，进入申请网页，如图2:填写相关信息，注意证书用途选择，电子保护证书。注意电子部分填写随后测试的自己电子的

图2、申请表格3）单击“提交并安装证书”4）证书查询打开IE浏览器，依次点击工具一Internet选项一容一证书，如图8.11所示，点击证书按钮后出现证书目录，如图 8.12,双击刚才申请的试用个人证书，如图8.13所示。需要说明的是，由于证书是试用证书，所以有该证书未生效信息，实际上，正式申请的付费证书是没有任何问题。图3互联网选项阿巨埴百而一XiL，.牛匚而「齿HK勾珀三化司花上节1吃讯皆会天旧1力CpJd5rre^no«t..CA2E5鲍"M..EDOB-I2ACB-G［号也在.］二IR超 :自*因］*撕脂的M工fir-图4已经安装好的数字证书总超尸部修局也不隔底迪:个证书的目的支1F•保步电子如件叫总■整结. mTi0tnu«r6R或普. CjL365Ffm刖gCertificatgi韦款也蛤EIJU£t）07-iD-22到2aca-ia-2i置名书一个与戏讦书尉唐尊札用."也后曲明值1I啥口图5证书信息2、使用证书发送安全1）选择菜单-〉工具-〉选项弹出对话框 选择安全属性页，复选“给待发添加数字签名” “以明文签名发送”选择“设置”按钮，弹出“更改安全设置对话框”见图9图6选项属性页2）选择“设置”按钮弹出“更改安全设置”对话框图7填写名称“选择”按钮选择刚才申请的证书，并选择哈希算法和加密算法。

克改我全程追图7安全设置对话框3）选择一个通信联系人发送一个 （这里最好是相互发送）看看对方是不是收到了一个带证书的电子注意：这时只能发送签名电子，因为不知道对方的公钥无法加密（why?）,可以思考一下。发送加密带签名的电子方法如下：需要知道收信人的公钥才能加密，因此需要导入收信人的证书。4）导出收信人证书以刚才收到的带签名的和证书的油箱导入对方的证书A）添加刚才收到信的发信人岛通信薄。B）从刚才收到的信中到处证书。在信的右边单击红色飘带弹出对话框，并单击“详细信息” ，弹出对话框，选择“签字人：****"，并单击“查看信息” 按钮（如图8）,弹出属性页，选择“查看证书按钮”，弹出属性页对话框，选择“详细信息” ，及“复制到文件…”按钮（见图9）。把证书复制到文件图8EK)a室a室⑤卜二宦 ±Y3几年H仃。盟QU17二维君石法三灯就起始日和三省触蜂」日地二维君石法三灯就起始日和三省触蜂」日地CA36SFreeRontCtrliEi..EOOT年9月Z6日lD：a5：44士S8•年守月鸿口10T£44*3i，Kji吃力修JkSMtikTlJiK*|二帝|利文^西二]通定]图95）向通信薄中联系人添加证书。选择菜单“工具”-〉“通信薄”，选择上述接收到的发件人作为联系人，并单击,选择证书属性页，（如图10）,单击“导入”按钮，倒入刚才到处的文件。图106）发送带签名和加密的电子选择菜单工具-〉选项…弹出对话框选择安全属性页，复选“加密带发的容和附件” ， “给待发添加数字签名” ，“以明文签名发送”（如图11）向对方发送一个电子，看看是不会加密带签名的

l?jxj图11【实验报告】1、提交运行测试结果2、提交申请证书的分析说明3、提交认证（签名）和加密的分析说明实验六： windows安全配置实验【实验目的】掌握windows的安全设置，加固操作系统安全【实验容】1、账户与密码的安全设置2、文件系统的保护和加密3、启用 安全策略与安全模板4、审核与日志查看5、利用MBSA检查和配置系统安全【实验环境】7、硬件PC机一台。2、系统配置：操作系统 windowsXP专业版。【实验步骤 】任务一账户和密码的安全设置1、删除不再使用的账户，禁用 guest账户⑴检查和删除不必要的账户右键单击“开始”按钮，打开“资源管理器”，选择“控制面板”中的“用户和密码”项；在弹出的对话框中中列出了系统的所有账户。确认各账户是否仍在使用，删除其中不用的账户。⑵禁用guest账户打开“控制面板”中的“管理工具”，选中“计算机管理”中“本地用户和组”，打开“用户”，右键单击guest账户，在弹出的对话框中选择“属性”，在弹出的对话框中“已停用”一栏前打勾。确定后，观察 guest前的图标变化，并再次试用 guest用户登陆，记录显示的信息。2、启用账户策略⑴设置密码策略打开“控制面板”中的“管理工具”，在“本地安全策略”中选择“账户策略”；双击“密码策略”，在右窗口中，双击其中每一项，可按照需要改变密码特性的设置。根据选择的安全策略，尝试对用户的密码进行修改以验证策略是否设置成功，记录下密码策略和观察到的实验结果。⑵设置账户锁定策略打开“控制面板”中的“管理工具”，在“本地安全策略”中选择“账户策略”。双击“锁定策略”。在右窗口中双击“账户锁定阀值”，在弹出的对话框中设置账户被锁定之前经过的无效登陆次数（如 3次），以便防攻击者利用管理员身份登陆后无限次的猜测账户的密码。在右窗口中双击“账户锁定时间”，在弹出的对话框中设置账户被锁定的时间（如20min）。重启计算机，进行无效的登陆（如密码错误） ，当次数超过 3次时，记录系统锁定该账户的时间，并与先前对“账户锁定时间”项的设置进行对比。.开机时设置为“不自动显示上次登陆账户”右键单击“开始”按钮，打开“资源管理器”，选中“控制面板”，打开“管理工具”选项，双击“本地安全策略”项，选择“本地策略”中的“安全选项”，并在弹出的窗口右侧列表中选择“登陆屏幕上不要显示上次登陆的用户名”选项，启用该设置。设置完毕后，重启机器看设置是否生效。.禁止枚举账户名右键单击“开始”按钮，打开“资源管理器”，选中“控制面板”，打开“管理工具”选项，双击“本地安全策略”项，选择“本地策略”中的“安全选项”，并在弹出的窗口右侧列表中选择“对匿名连接的额外限制”项，在“本地策略设置”中选择“不允许枚举SAM账户和共享”。此外，在“安全选项”中还有多项增强系统安全的选项，请同学们自行查看。任务二文件系统安全设置⑴ 打开采用 NTFS 格式的磁盘，选择一个需要设置用户权限的文件夹。⑵ 右键单击该文件夹，选择“属性”，在工具栏中选择“安全”。⑶ 将“允许来自父系的可能继承权限无限传播给该对象”之前的勾去掉，（如不去掉则无法删除可对父系文件夹操作用户组的操作权限)⑷选中列表中的 Everyone组，单击“删除”按钮，删除Everyone组的操作权限，由于新建的用户往往都归属于 Everyone组，而Everyone组在缺省情况下对所有系统驱动器都有完全控制权， 删除Everyone组的操作权限可以对新建用户的权限进行限制， 原则上只保留允许访问此文件夹的用户和用户组。⑸选择相应的用户组，在对应的复选框中打勾，设置其余用户组对该文件夹的操作权限。⑹单击“高级”按钮，在弹出的窗口中，查看各用户组的权限。⑺注销计算机，用不同的用户登陆，查看 刚才设置“桌面”文件夹的访问权限，将结果记录在实验报告中。任务三启用审核与日志查看1．启用审核策略打开“控制面板”中的“管理工具”，选择“本地安全策略”。打开“本地策略”中的“审核策略”，在实验报告中记录当前系统的审核策略。双击每项策略可以选择是否启用该项策略， 例如“审核账户管理”将对每次建立新用户、删除用户等操作进行记录，“审核登陆事件”将对每次用户的登陆进行记录；“审核过程追踪”将对每次启动或者退出的程序或者进程进行记录，根据需要启用相关审核策略，审核策略启用后，审核结果放在各种事件日志中。2．查看事件日志打开“控制面板”中的“管理工具”，双击“事件查看器“，在弹出的窗口中查看系统的 3种日志。双击“安全日志”，可查看有效无效、 登陆尝试等安全事件的具体记录，例如：查看用户登陆 /注销的日志。任务四启用安全策略与安全模块1、启用安全模板开始前，请记录当前系统的账户策略和审核日志状态，以便于同实验后的设置进行比较。⑴单击“开始”按钮，选择“运行”按钮，在对话框中运行mmc，打开系统控制台⑵单击工具栏上“控制台”，在弹出的菜单中选择“添加/删除管理单元”，单击“添加”，在弹出的窗口中分别选择“安全模板”、“安全设置和分析”，单击“添加”按钮后，关闭窗口，并单击“确定”按钮。⑶此时系统控制台中根节点下添加了“安全模板”、“安全设置分析”两个文件夹，打开“安全模板”文件夹，可以看到系统中存在的安全模板。右键单击模板名称， 选择“设置描述”，可以看到该模板的相关信息。 选择“打开”，右侧窗口出现该模板的安全策略，双击每种安全策略可看到其相关配置。⑷右键单击“安全设置与分析”，选择“打开数据库”。在弹出的对话框中输入预建安全数据库的名称，例如起名为 mycomputer.sdb，单击“打开”按钮，在弹出的窗口中，根据计算机准备配置成的安全级别，选择一个安全模板将其导入。⑸右键单击“安全设置与分析”，选择“立即分析计算机”，单击“确定”按钮，系统开始按照上一步中选定的安全模板，对当前系统的安全设置是否符合要求进行分析。将分析结果记录在实验报告中。⑹右键单击“安全设置与分析”，选择“立即配置计算机”，则按照第（4）步中所选的安全模板的要求对当前系统进行配置。⑺在实验报告中记录实验前系统的缺省配置，接着记录启用安全模板后系统的安全设置，记录下比较和分析的结果。2．建安全模板⑴单击“开始”按钮，选择“运行”按钮，在对话框中运行m