計算機網(wǎng)絡信息安全第21章

1、第21章實 驗 指 導 21.1 操作系統(tǒng)弱口令檢測軟件的安裝和使用21.2 網(wǎng)絡漏洞掃描軟件Nessus的安裝和使用21.3 OpenSSH的安裝及使用 21.4 郵件加密軟件PGP的安裝和使用21.5 Apache服務器和SSL軟件的安裝和使用21.6 Linux防火墻軟件Iptables的安裝和使用21.7 網(wǎng)絡入侵檢測系統(tǒng)snort的安裝和使用21.8 常見木馬的檢測、清除方法和工具的使用21.9 Windump軟件的安裝和使用21.10 Windows 2000系統(tǒng)安全增強 21.11 Windows下VPN環(huán)境的搭建21.1 操作系統(tǒng)弱口令檢測軟件的安裝和使用21.1.1 實驗目的

2、通過本實驗，讀者可以掌握以下技能：l學會在Windows環(huán)境下安裝LophtCrack；l學會在Windows環(huán)境下使用LophtCrack。 21.1.2 設備需求本實驗需要以下設備：* PC機兩臺，其中一臺安裝Windows 2000操作系統(tǒng)，另外一臺安裝Windows 2000操作系統(tǒng)或UNIX/Linux系統(tǒng)均可。* Hub一臺，雙絞線兩根。 21.1.3 實驗環(huán)境及配置說明本實驗采用的兩臺PC機通過Hub相互連接，設備連接如圖21-1所示。 圖21-1 操作系統(tǒng)弱口令檢測實驗設備連接圖 實驗中分配的IP地址：PC1為，PC2為，子網(wǎng)掩碼均為。在PC1上安裝Windows 2000操作

3、系統(tǒng)，在PC2上安裝Windows 2000操作系統(tǒng)或UNIX/Linux系統(tǒng)均可。配置完成后，兩臺PC機應能通過Hub互相訪問。 21.1.4 實驗內(nèi)容1在PC1上安裝LophtCrack(1) 從 :/ atstake /下載最新版的LophtCrack。目前最新版本為LC5。(2) 雙擊安裝程序lc5setup，安裝LophtCrack，根據(jù)提示完成安裝。 2使用LC5檢測弱口令LC5能檢測Windows和UNIX/Linux系統(tǒng)用戶的口令，并可以根據(jù)需要，要求用戶修改密碼。具體使用方法如下：(1) 打開LC5，此時該軟件會彈出一個向?qū)Э?，如圖21-2所示。讀者可跟隨該向?qū)瓿稍O置。 圖

4、21-2 LC5的向?qū)Э?(2) 點擊“下一步”按鈕，將出現(xiàn)如圖21-3所示的對話框。在這個框中，讀者可以選擇用于檢測的加密密碼的來源。一共有四種來源，分別是：* 本機注冊表，需要系統(tǒng)管理員權(quán)限；* 同一個域內(nèi)的計算機，需要系統(tǒng)管理員權(quán)限；* NT系統(tǒng)中的sam文件；* 監(jiān)聽本地網(wǎng)絡中傳輸?shù)拿艽aHash表。本實驗我們選取第二種來源。 圖21-3 選擇用于檢測的加密密碼的來源 (3) 點擊“下一步”按鈕，將出現(xiàn)如圖21-4所示的對話框。該框列出的是檢測密碼的方法。一共有四種方法，分別是：* 快速檢測：將LC5自帶的字典中的29 000個單詞與被審計的密碼匹配。采用這種方法只需數(shù)分鐘就能完成檢測。

5、 * 普通檢測：除了能檢測上述密碼外，還可以檢測一些在單詞基礎上進行了簡單修改的密碼。 * 強密碼檢測：采用暴力破解的方式來檢測密碼，通常檢測時間超過一天。 * 定制檢測：可以根據(jù)需要靈活地進行配置，例如改變字典、改變混合模式的參數(shù)以及選擇用于暴力破解的字符集。一般來說，檢測越嚴格，所花的時間就越長。 圖21-4 選擇檢測密碼的方法 本實驗我們選取第一種方法。(4) 點擊“下一步”按鈕，將出現(xiàn)如圖21-5所示的對話框。在該對話框中選擇的顯示方法，按系統(tǒng)默認的值即可。 圖21-5 選擇顯示方法 (5) 點擊“下一步”按鈕，將出現(xiàn)如圖21-6所示的對話框。該框?qū)⑶懊孢x擇的內(nèi)容顯示出來，讀者點擊“完

6、成”即開始檢測。 圖21-6 完成界面 圖21-7所示為檢測結(jié)果。 圖21-7 檢測結(jié)果 從圖21-7中可以看出，有些用戶的弱口令被檢測出來了。此時，可以選擇菜單中的“Remidiate”下的“Disable Accounts”，禁止該帳號；或選擇“Force Password Change”，強迫該用戶在下次登錄時修改密碼，如圖21-8所示。 圖21-8 修改密碼 21.2 網(wǎng)絡漏洞掃描軟件Nessus的安裝和使用 21.2.1 實驗目的通過本實驗，讀者可以掌握以下技能：* 學會在Linux環(huán)境中安裝及配置Nessus；* 在Windows環(huán)境下使用Nessus客戶端。 21.2.2 設備需

7、求本實驗需要以下設備：* PC機三臺，應帶有網(wǎng)卡，并分別安裝Windows 2000和Linux Reahat操作系統(tǒng)；* Hub一臺，雙絞線三根。 21.2.3 實驗環(huán)境及配置說明本實驗采用的三臺PC機通過Hub相互連接，設備連接如圖21-9所示。 圖21-9 網(wǎng)絡漏洞掃描軟件Nessus實驗設備連接圖 實驗中分配的IP地址：PC1為，PC2為，PC3為，子網(wǎng)掩碼均為。在PC1上安裝操作系統(tǒng)，在PC2上安裝Windows 2000操作系統(tǒng)，PC3上安裝Windows 2000操作系統(tǒng)或UNIX/Linux系統(tǒng)均可。配置完成后，三臺PC機應能通過Hub互相訪問。 21.2.4 實驗內(nèi)容1 在P

8、C1上安裝、配置Nessus1) 安裝NessusNessus有兩種安裝方式：(1) 安裝install版本。從 :/ /download/下載nessus 2.2.4 installer(all unix system)或更高版本，保存到硬盤，運行以下命令：# lynx -source :/ | sh即可完成安裝。 (2) 安裝source code版本。該安裝需要下載四個文件：* nessus-libraries-x.x.tar.gz；* libnasl-x.x.tar.gz；* nessus-core.x.x.tar.gz；* nessus-plugins.x.x.tar.gz。從 :/

9、 /download/下載nessus 2.2.4 source code(all unix system)或更高版本，保存到硬盤，運行以下命令： (1) 安裝nessus-libraries：# tar -zxvf nessus-libraries-x.x.tar.gz (x為版本號)# cd nessus-libraries# ./configure# make# make install (2) 安裝libnasl# tar-zxvf libnasl-x.x.tar.gz (x為版本號)# cd libnasl# ./configure# make切換到root權(quán)限，運行：# make

10、install(3) 安裝nessus-core：# tar-zxvf nessus-core.x.x.tar.gz (x為版本號)# cd nessus-core# ./configure# make切換到root權(quán)限，運行：# make install (4) 安裝nessus-plugins：# tar-zxvf nessus-plugins.x.x.tar.gz (x為版本號)# cd nessus-plugins# ./configure# make切換到root權(quán)限，運行：# make install完成安裝后，請確認/usr/local/lib在/下，并運行l(wèi)dconfig。至此

11、，Nessus服務器端安裝完成。 2) 添加Nessusd帳號Nessusd服務器擁有自己的用戶數(shù)據(jù)庫，每個用戶都有一組限制。這樣可以使多個用戶共用一個Nessusd，并只檢測屬于他們的網(wǎng)絡。使用nessus-adduser命令添加一個新帳號，使用過程如下：# nessus-adduserAddition of a new nessusd userLogin : renaudAuthentication (pass/cert) pass : passPassword : secretUser rules nessusd has a rules system which allows you t

12、o restrict the hoststhat renaud2 has the right to test. For instance， you may wanthim to be able to scan his own host only. Please see the nessus-adduser(8) man page for the rules syntaxEnter the rules for this user， and hit ctrl-D once you are done : (the user can have an empty rules set)default de

13、nyLogin : renaudPassword : secretDN :Rules :deny default denyIs that ok (y/n) ? y yuser added. 3) 配置Nessus后臺程序該配置文件為/usr/local/etc/nessus/nessusd.conf。一般情況下不需要對該文件進行修改。4) 啟動nessusd運行以下命令，啟動nessusd：# nessusd-D 2在PC2上安裝、設置Nessus客戶端1) 安裝Nessus客戶端從 :/ /download/下載NessusWX或更高版本，保存到硬盤。將該壓縮文件解壓即可安裝。2) 運行Ne

14、ssusWX運行后NessusWX界面如圖21-10所示。 圖21-10 NessusWX界面圖 3) 配置NessusWX(1) 連接服務器，如圖21-11所示。點擊“Connect”按鈕，與服務器建立連接。 圖21-11 連接服務器 (2) 配置端口掃描。* 允許“Ping”的設置如圖21-12所示。* 配置掃描時間，如圖21-13所示。 圖21-12 設置允許“Ping” 圖21-13 配置掃描時間 (3) 配置插件，如圖21-14所示。 圖21-14 配置插件 讀者可根據(jù)掃描對象有針對性地選擇插件。同時，讀者還可以選擇“安全檢查”，如圖21-15所示。安全檢查會去掉那些與安全檢查兼容的

15、插件中危險的部分，而只利用例如查看banner中的版本這樣的被動方式來對目標進行檢查。由于被檢查的系統(tǒng)或者服務可能打上了補丁或者采取了臨時解決方案，因此安全檢查的準確性比實際對漏洞進行判斷的方式的準確性要低，可能會漏報或者誤報。但是這樣的檢查不會造成系統(tǒng)的崩潰。 圖21-15 選擇“安全檢查” (4) 配置掃描對象，如圖21-16所示。讀者可以點擊“Import”，從文件中導入IP地址；也可以點擊“Add”，加入需要掃描的對象。對象可以是單個IP，也可以是一個子網(wǎng)或者一個網(wǎng)段。 圖21-16 配置掃描對象 (5) 開始掃描，如圖21-17所示。 圖21-17 開始掃描 21.3 OpenSSH

16、的安裝及使用 21.3.1 實驗目的通過本實驗，讀者可以掌握以下技能：* 學會在Linux環(huán)境中安裝及配置OpenSSH；* 學會在Windows環(huán)境下使用OpenSSH客戶端工具putty；* 學習使用Puttygen創(chuàng)建密鑰對；* 學習使用Putty訪問OpenSSH服務器。 21.3.2 設備需求本實驗需要以下設備：* PC機兩臺，應帶網(wǎng)卡，分別安裝Windows 2000和Linux Reahat操作系統(tǒng)；* Hub一臺、雙絞線兩根。 21.3.3 實驗環(huán)境及配置說明本實驗采用的兩臺PC機通過Hub相互連接，設備連接如圖21-18所示。 圖21-18 OpenSSH實驗設備連接圖 實驗

17、中分配的IP地址：PC1為00，PC2為2，子網(wǎng)掩碼均為。在PC1上安裝操作系統(tǒng)，在PC2上安裝Windows 2000操作系統(tǒng)。配置完成后，兩臺PC機應能通過Hub互相訪問。 21.3.4 實驗內(nèi)容1在PC1上安裝、配置OpenSSH1) 安裝OpenSSH(1) 確認主機是否安裝Zlib庫。命令如下：rpm -qi zlib如果出現(xiàn)zlib的介紹，說明已安裝了zlib，否則需要安裝zlib。安裝方法為：從 :/ /zlib/下載或更高版本，保存到硬盤，運行以下命令：# tar-zxvf zlib-*.tar.gz (*為版本號)# cd zlib-*# ./configure# make

18、# make install (2) 安裝OpenSSL。方法為：從 :/ /下載Openssl或更高版本，保存到硬盤，運行以下命令：# tar-zxvf openssl-*.tar.gz (*為版本號)# cd openssl-* #./config # make clean # make # make install (3) 從OpenSSH網(wǎng)站( :/ openssh /)下載OpenSSH的Linuxp1。運行以下命令：# tar-zxvf openssh-*.tar.gz (*為版本號)# cd openssh-* #./configure -with-ssl-dir=/usr/lo

19、cal/ssl # make # make install安裝結(jié)束后，默認的ssh服務器端程序是/usr/local/sbin/sshd，默認的ssh客戶端程序是/usr/local/bin/ssh，默認的ssh配置文件路徑為/usr/local/etc/。 (4) 添加帳號sshd(該帳號為客戶端訪問本機時所用帳號)：# useradd sshd# passwd sshd(5) 關(guān)閉運行的sshd服務，命令如下：# killall sshd (6) 覆蓋系統(tǒng)自帶的SSH，命令如下：# cp /usr/local/sbin/sshd /usr/sbin/sshd # cp /usr/local

20、/bin/ssh /usr/bin/ssh # cp /usr/local/etc/* /etc/ssh/(7) 安裝結(jié)束，此時運行 ssh -V，應顯示：# OpenSSH_*， OpenSSL * 25 Oct 2004 (*為版本號) 2) 配置OpenSSH打開/etc/ssh/下的sshd_conf文件，命令如下：# vi /etc/ssh/sshd_conf 將PasswordAuthentication yes 改為PasswordAuthentication no。至此，服務器端OpenSSH安裝、配置完成。 2在PC2上使用puttygen生成密鑰對(1) 從 :/ .uk/

21、sgtatham/putty/下載puttygen.exe，保存到硬盤。(2) 運行puttygen.exe，如圖21-19所示。 (3) 單擊“Generate”按鈕并不斷移動鼠標，以便為密鑰對的生成提供隨機數(shù)種子，如圖21-20所示。(4) 密鑰生成如圖21-21所示。圖21-19 運行puttygen.exe 圖21-20 生成密鑰對 圖21-21 密鑰生成圖 添加“Key passphrase”和“Confirm passphrase”，用以保護密鑰。(5) 單擊“Save public key”按鈕，將公鑰保存到用戶指定的目錄下。(6) 將該文件上傳到服務器的/home/sshd/.

22、ssh/目錄下，并改名為authorized_key。(7) 單擊“Save private key”按鈕，將私鑰保存到用戶指定的目錄下。至此，完成了使用puttygen生成密鑰對的過程。 3在PC2上使用putty訪問服務器PC1(1) 從 :/ .uk/sgtatham/putty/下載putty.exe，保存到硬盤。(2) 運行，如圖21-22所示。 圖21-22 運行putty.exe (3) 設置主機IP 地址、端口號(默認為22)和協(xié)議(使用SSH)。(4) 在左邊的Category欄目選擇Connection項，然后在右邊的Auto-login usename 欄目中輸入登錄SS

23、H服務器時的用戶名sshd，如圖21-23所示。 圖21-23 輸入登錄SSH 服務器的用戶名 (5) 在Category欄目中選擇Connection欄目下的子欄目SSH，將Protocol options欄中的Preferred SSH protocol version選擇為2，如圖21-24所示。 圖21-24 選擇SSH協(xié)議版本 (6) 在Category 欄目中選擇Auth，在Private key file for authentication 中選擇保存在本地的私鑰文件，如圖21-25所示。 圖21-25 填入私鑰文件路徑 (7) 此時，采用putty的SSH 方式登錄的參數(shù)配置

24、完畢。單擊“Open” 按鈕，連接服務器PC1，如圖21-26所示。 圖21-26 連接狀態(tài)圖 (8) 輸入先前添加的Key passphrase，登錄成功，如圖21-27所示。 圖21-27 登錄成功 21.4 郵件加密軟件PGP的安裝和使用 21.4.1 實驗目的通過本實驗，讀者可以掌握以下技能：* 學會在Windows環(huán)境下安裝PGP 8.1；* 學會使用PGP創(chuàng)建密鑰對；* 學會使用PGP輸出和簽名公共密鑰；* 學會使用PGP和Outlook Express發(fā)送并接收加密的電子郵件。 21.4.2 設備需求本實驗需要以下設備：* PC機兩臺，應帶網(wǎng)卡，需安裝Windows 2000和O

25、utlook Express軟件；* 郵件服務器一臺，應帶網(wǎng)卡，需安裝郵件服務器軟件；* Hub一臺、雙絞線三根。 21.4.3 實驗環(huán)境及配置說明本實驗采用的兩臺PC機通過Hub相互連接，并通過Hub與郵件服務器相連，設備連接如圖21-28所示。實驗中分配的IP地址：郵件服務器為， PC1為00，PC2為01，子網(wǎng)掩碼均為。配置完成后，兩臺PC機應能通過郵件服務器互發(fā)郵件。 圖21-28 PGP實驗設備連接圖 21.4.4 實驗內(nèi)容1在兩臺PC機上安裝這一步將分別在兩臺機器上安裝PGP8.1。(1) 從國際PGP網(wǎng)站( pgpi )下載PGP的壓縮包，保存到硬盤。目前的最新版本為8.1。(2

26、) 解壓縮下載的文件，會釋放出兩個文件，一個叫pgp.exe，另一個是pgp.exe.sig。前者是PGP的安裝文件，后者是這個安裝文件的數(shù)字簽名，用來檢驗安裝文件是否被非法修改。雙擊pgp.exe，安裝PGP。(3) 在Welcome屏幕中單擊“下一步”。 (4) 單擊“Yes”，接受軟件許可協(xié)議。(5) 閱讀Read Me文件，然后單擊“下一步”。(6) 出現(xiàn)一個窗體，讓用戶選擇是否已經(jīng)有了Keyring，這時選擇“No，Im a new user”。(7) 設定安裝位置，然后單擊“下一步”。(8) 確認為Outlook Express選擇了插件程序，然后單擊“下一步”。(9) 在Star

27、t Copying Files部分檢查一下設置并單擊“下一步”，PGP將開始安裝。(10) 安裝結(jié)束后，系統(tǒng)將提示重啟，選擇“OK”，系統(tǒng)重新啟動。 (11) 重新啟動后，會彈出一個PGP License Authorization的對話框。如果讀者有PGP的許可證號，就可以注冊并認證。也可以選擇“Later”，以后再注冊。(12) 注冊結(jié)束后，會彈出一個Key Generation Wizard對話框(如圖21-29所示)，用戶可通過該對話框創(chuàng)建密鑰對。 圖21-29 Key Generation Wizard對話框 2使用PGP創(chuàng)建密鑰對這一步將使用密鑰生成向?qū)擅荑€對。(1) 通過上面

28、提到的Key Generation Wizard對話框創(chuàng)建密鑰對。該對話框有兩種打開方式：一種是選擇“開始”“程序”“PGP”“PGPkeys”；另一種是用右鍵點擊系統(tǒng)托盤區(qū)的“ ”圖標，選擇PGPkeys。(2) 點擊Key Generation Wizard對話框中的“下一步”，輸入用戶名和郵件地址，如圖21-30所示。讀者根據(jù)需要還可以點擊Key Generation Wizard對話框中的“Expert”，選擇加密方式、加密強度以及密鑰過期時間等。 圖21-30 選擇參數(shù) (3) 點擊圖21-30中的“下一步”，將出現(xiàn)如圖21-31所示的對話框。在Passphrase欄內(nèi)可輸入一個最少

29、8個字符，且不包括字母、數(shù)字混合字符和特殊字符的密碼短語，確認后單擊“下一步”。(4) PGP開始生成一個新的密鑰對。當密鑰對產(chǎn)生完畢后，會出現(xiàn)一個完成的界面，點擊“完成”，結(jié)束密鑰對的創(chuàng)建過程，如圖21-32所示。 圖21-31 輸入字符 圖21-32 密鑰對的生成 (5) 用戶可以在PGPkeys中查看到剛生成的公共密鑰，如圖21-33所示。 圖21-33 密鑰查看 3使用PGP輸出和簽名公共密鑰這一步將在兩臺PC機之間通過Outlook Express交換公共密鑰，并在二者之間建立完全信任關(guān)系。1) 輸出公鑰(1) 用上面提到的方法打開PGPkeys。2) 用右鍵單擊剛才創(chuàng)建的密鑰，并選

30、擇Export選項，如圖21-34所示。 圖21-34 公鑰輸出 (3) 此時出現(xiàn)一個“Export Key to File”對話框。選擇保存的目錄以及文件名，然后單擊“Save”。在選擇的目錄中將出現(xiàn)一個以.asc為擴展名的文件，如圖21-35所示。注意，不要保存私鑰。 (4) 打開Outlook Express，將該文件作為附件發(fā)給對方。 圖21-35 選擇保存路徑及文件名 2) 添加公鑰(1) 收到對方的.asc文件后，將其保存到桌面。(2) 通過PGPkeys將該公鑰文件添加到密鑰環(huán)中。(3) 選擇“Keys”菜單中的“Import”(如圖21-36所示)，將出現(xiàn)一個“Select F

31、ile Containing Key”對話框。選擇保存在桌面上的對方的公鑰文件，并單擊“打開”，如圖21-37所示。 圖21-36 打開對方公鑰 圖21-37 選擇公鑰文件 (4) 此時將出現(xiàn)一個“Select key(s)”對話框。選中剛才添加的密鑰，并選擇“Import”，則對方的密鑰出現(xiàn)在密鑰環(huán)中，但是沒有被簽名，所以不被信任。(5) 用右鍵單擊該密鑰，并選擇“Sign”選項。(6) 此時將出現(xiàn)“PGP Sign Key”對話框。選中該密鑰并選擇“Allow signature to be exported”復選框，然后單擊“OK”，如圖21-38所示。(7) 此時系統(tǒng)提示要求輸入密碼短

32、語。同樣，該密碼短語不能包括字母、數(shù)字混合字符和特殊字符。輸入完后單擊“OK”，則在PGPkeys中該密鑰旁邊出現(xiàn)一個綠色的圖標，表示它已經(jīng)被簽名。 圖21-38 公鑰導入 (8) 用右鍵單擊該密鑰，并選擇“Key Properties”選項。在出現(xiàn)的對話框底部，從“Untrusted”滑動到“Trusted”，然后單擊“關(guān)閉”，如圖21-39所示。此時該密鑰被信任，可以用來安全地交換信息了。 圖21-39 公鑰添加完成 4使用PGP和Outlook Express發(fā)送加密的電子郵件1) 發(fā)送加密的電子郵件(1) 通過Outlook Express編寫郵件內(nèi)容。注意：如果發(fā)送包含敏感信息的郵件

33、，則標題欄必須為空白或標題內(nèi)容不能包含泄露正文內(nèi)容的信息。(2) 當完成郵件正文的編寫后，點擊圖標加密郵件正文，然后點擊對內(nèi)容進行簽名，如圖21-40所示。注意：不要與Outlook Express自帶的加密、簽名圖標弄混了。 (3) 點擊“發(fā)送”，發(fā)送郵件。此時出現(xiàn)一個“PGP Enter Passphrase for Selected Key”對話框。讀者輸入在添加公鑰的(7)中輸入的密碼，單擊“OK”，郵件開始加密并發(fā)送。 圖21-40 郵件加密示意圖 2) 接收加密的電子郵件(1) 通過Outlook Express接收對方發(fā)送的郵件。郵件內(nèi)容為加密后的內(nèi)容。(2) 點擊，對郵件進行解

34、密和校驗。此時會出現(xiàn)“PGP Enter Passphrase for a Listed Key”窗口，要求讀者輸入密碼，如圖21-41所示。 圖21-41 密碼輸入框 (3) 讀者輸入使用PGP創(chuàng)建密鑰對的(3)中輸入的密碼，點擊“OK”。此時郵件內(nèi)容被解密。讀者可以看到解密后的郵件內(nèi)容，如圖21-42所示。 圖21-42 郵件解密示意圖 21.5 Apache服務器和SSL軟件的安裝和使用 21.5.1 實驗目的通過本實驗，讀者可以掌握以下技能：* 學會在Linux環(huán)境下安裝Apache以及Openssl；* 學會在Linux環(huán)境下將Apache與Openssl集成，構(gòu)件安全的Apache

35、。 21.5.2 設備需求本實驗需要以下設備：* PC機兩臺，應帶網(wǎng)卡，分別安裝Windows 2000和Linux Reahat操作系統(tǒng)；* 廣播式Hub一臺，雙絞線兩根。 21.5.3 實驗環(huán)境及配置說明本實驗采用的兩臺PC機通過Hub相互連接，設備連接如圖21-43所示。 圖21-43 Apache實驗設備連接圖 21.5.4 實驗內(nèi)容1下載實驗軟件到PC2(1) 從下載apache_1.3.x.tar.gz，保存到硬盤。(2) 從/source/下載mod_ssl-2.8.x-1.3.x.tar.gz，保存到硬盤。(3) 從/source/下載openssl-0.9.x.tar.gz，

36、保存到硬盤。 2展開這些軟件包# tar-zxvfapache_1.3.x.tar.gz # tar-zxvfmod_ssl-2.8.x-1.3.x.tar.gz # tar-zxvfopenssl-0.9.x.tar.gz3編譯openssl# cdopenssl-0.9.x # ./config-prefix=/usr/local/ssl -Lpwd/./rsarefrsaref-fPIC # make# maketest# makeinstall# cd . 4配置MOD_SSL模塊# cd mod_ssl-2.8.x-1.3.x # ./configure-with-apache=./

37、apache_1.3.x # cd . 5安裝Apache# cdapache_1.3.x # SSL_BASE=./openssl-0.9.x# ./configure -enable-module=ssl -prefix=/usr/local/apache-enable-shared=ssl# make# makecertificateTYPE=custom(生成證書)# makeinstall 6啟動Apache運行以下命令，啟動Apache：# /usr/local/apache/bin/apachectlstartssl7在PC1上訪問PC2的Web服務(1) 啟動瀏覽器，在URL欄

38、輸入 s:/4，將出現(xiàn)如圖21-44所示的界面。(2) 點擊“確定”，將出現(xiàn)如圖21-45所示的界面。(3) 點擊“是”，將出現(xiàn)Apache歡迎頁面(如圖21-46所示)，表明安裝成功，此時PC1與PC2之間的HTTP協(xié)議傳輸數(shù)據(jù)已被加密。 圖21-44 安全警報提示圖1 圖21-45 安全警報提示圖2 圖21-46 Apache歡迎頁面 21.6 Linux防火墻軟件Iptables的安裝和使用 21.6.1 實驗目的通過本實驗，讀者可以掌握以下技能：* 學會在Linux環(huán)境中安裝Iptables；* 學習在Iptables中添加規(guī)則，配置個人防火墻。 21.6.2 設備需求本實驗需要以下設

39、備：* PC機兩臺，應帶網(wǎng)卡，安裝Windows 2000操作系統(tǒng)；* PC機一臺，應帶雙網(wǎng)卡，安裝Linux Reahat操作系統(tǒng)；* Hub兩臺，雙絞線四根。 21.6.3 實驗環(huán)境及配置說明本實驗采用的三臺PC機通過Hub相互連接，設備連接如圖21-47所示。 圖21-47 Linux防火墻實驗設備連接圖 實驗中分配的IP地址：PC1為00；PC2上有兩個網(wǎng)卡，網(wǎng)卡1的IP地址為，網(wǎng)卡2的地址為；PC3為00。子網(wǎng)掩碼均為。PC1上安裝Windows 2000操作系統(tǒng)，PC2上安裝操作系統(tǒng)，PC3上安裝Windows 2000操作系統(tǒng)以及系統(tǒng)自帶的IIS。配置完成后，三臺PC機應能通過H

40、ub互相訪問，PC2開放了FTP服務，PC1應該能訪問PC3上的Web服務。 21.6.4 實驗內(nèi)容1在PC2上安裝Iptables(1) 使用“uname -a”命令確認Linux內(nèi)核為2.3或更高版本。(2) 運行以下命令確認系統(tǒng)已安裝Iptables：rpm -qa | grep iptab如果已安裝，直接進入下一步，否則從 上獲取iptables的安裝包。(3) 運行以下命令安裝Iptables：rpm -ivh iptables-*(星號為iptables的版本號) 2在PC2上配置Iptables使用如下命令清除默認的規(guī)則：iptables -F3在PC2上配置Iptables規(guī)則

41、使用如下命令阻塞ICMP：iptables -I INPUT -i eth0 -p icmp -s 0/0 -d 0/0 -j DROP該命令將阻塞發(fā)往eth0的ICMP包。此時，從PC1上運行將會看到“Request timed out.”，ICMP包。運行iptables -D INPUT 1可刪除該規(guī)則。4在PC2上配置Iptables規(guī)則使用如下命令阻塞FTP：iptables -I INPUT -i eth0 -p tcp -s 0/0 -d 0/0-dport 21 -j DROP該命令將阻塞發(fā)往eth0的ICMP包。此時，從PC1上運行ftp 將會看到“ftp: connect

42、:Ftp包。運行iptables -D INPUT 1可刪除該規(guī)則。 5在PC2上配置Iptables規(guī)則使用如下命令阻塞FTP：iptables -A FORWARD -p tcp -s 00 -d 00 -i eth1 -sport 80 -j DROP該命令將阻塞PC3通過PC2接口eth1發(fā)往PC1的TCP包。此時，從PC1上打開瀏覽器，訪問PC3上的網(wǎng)頁ftp 將會看到“ftp: connect :Ftp包。運行iptables -D INPUT 1可刪除該規(guī)則。 21.7 網(wǎng)絡入侵檢測系統(tǒng)snort的安裝和使用 21.7.1 實驗目的通過本實驗，讀者可以掌握以下技能：* 學會在Li

43、nux環(huán)境中安裝snort；* 學會在Linux環(huán)境中安裝nmap(一個端口掃描工具)；* 學習配置snort，檢測網(wǎng)絡入侵。 21.7.2 設備需求本實驗需要以下設備：* PC機三臺，應帶網(wǎng)卡，安裝Linux Reahat操作系統(tǒng)；* 廣播式Hub一臺，雙絞線三根。 21.7.3 實驗環(huán)境及配置說明本實驗采用的三臺PC機通過Hub相互連接，設備連接如圖21-48所示。 實驗中分配的IP地址，PC1為，PC2為，PC3為。子網(wǎng)掩碼均為。 圖21-48 Snort實驗設備連接圖 21.7.4 實驗內(nèi)容1在PC2上安裝snort(1) 從下載最新版的snort，保存到硬盤。(2) 運行以下命令，安

44、裝snort：# tar -zxvf snort-*.tar.gz(*為版本號)# ./configure# make# make install (3) 在/var/log目錄下運行以下命令，新建一個目錄，保存報警記錄：# mkdir /var/log/snort自此snort安裝完畢。(4) 運行以下命令，啟動snort檢測入侵：# ./2在PC1上安裝nmap(1) 從下載最新版nmap的RPM包，保存到硬盤。(2) 運行以下命令，安裝nmap：# rpm -ivh nmap-*.i386.rpm (*為版本號)自此nmap安裝完畢。(3) 運行nmap掃描PC3：# nmap 3在PC

45、2上檢查snort檢測入侵結(jié)果(1) 進入/var/log/snort目錄：# cd /var/log/snort(2) 該目錄下有個“”的目錄，進入該目錄：# cd(3) 該目錄下有個“ICMP_ECHO”文件，打開該文件：# vi ICMP_ECHO 文件內(nèi)容為：* ICMP PING NMAP *01/27-09:48:14.162942 0:E0:4C:DD:19:EF - 0:C:F1:73:54:81 type:0 x800 len:0 x3C - ICMP TTL:39 TOS:0 x0 ID:15872 IpLen:20 DgmLen:28Type:8 Code:0 ID:37

46、377 Seq:41903 ECHO=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=由此可見，snort已檢測到通過nmap對進行的端口掃描。 21.8 常見木馬的檢測、清除方法和工具的使用 21.8.1 實驗目的通過本實驗，讀者可以掌握以下技能：* 掌握目前網(wǎng)絡中常見的七種木馬的檢測及清除方法；* 學會使用工具檢測并清除木馬。 21.8.2 設備需求本實驗需要以下設備：* PC機一臺，安裝Windows 2000操作系統(tǒng)。 21.8.3 實驗環(huán)境及配置說明安裝實驗中需要檢測的木馬包括：網(wǎng)絡公牛、Netspy、SubSe

47、ven、冰河、網(wǎng)絡神偷、廣外女生等。 21.8.4 實驗內(nèi)容1常見木馬的檢測和清除1) 網(wǎng)絡公牛(Netbull)(1) 木馬特征：網(wǎng)絡公牛默認的連接端口為23444。服務端程序newserver.exe運行后，會自動脫殼成checkdll.exe，位于C:WindowsSystem下，下次開機后checkdll.exe將自動運行，具有較強的隱蔽性。同時，服務端運行后會自動捆綁以下文件(Windows 2000下)：，regedit.exe，winmine.exe 服務端運行后還會捆綁在開機時自動運行的第三方軟件，如realplay.exe、QQ、ICQ等，同時會在注冊表中建立鍵值。網(wǎng)絡公牛采

48、用的是文件捆綁功能，它和上面所列出的文件捆綁在一塊，要清除非常困難。用戶通過判斷文件長度是否發(fā)生變化，可分析是否中了木馬。 (2) 清除方法：* 刪除網(wǎng)絡公牛的自啟動程序C:WindowsSystemCheckdll.exe。* 把網(wǎng)絡公牛在注冊表中所建立的鍵值全部刪除。* 檢查上面列出的文件，如果發(fā)現(xiàn)文件長度發(fā)生變化(大約增加了40 KB左右，可以通過與其他機子上的正常文件比較而知)，就刪除它們。然后點擊“開始”“附件”“系統(tǒng)工具”“系統(tǒng)信息”“工具”“系統(tǒng)文件檢查器”，在彈出的對話框中選中“從安裝軟盤提取一個文件(E)”，在框中填入要提取的文件(前面刪除的文件)，點“確定”按鈕，然后按屏幕

49、提示將這些文件恢復即可。如果是開機時自動運行的第三方軟件，如realplay.exe、QQ、ICQ等被捆綁上了，那就把這些文件刪除，再重新安裝。 2) Netspy(網(wǎng)絡精靈) (1) 木馬特征：Netspy又名網(wǎng)絡精靈，默認連接端口為7306?？蛻舳送ㄟ^IE或Navigate就可以對服務器端進行遠程監(jiān)控。服務器端程序被執(zhí)行后，會在C:WindowsSystem目錄下生成netspy.exe文件。同時在注冊表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion Run下建立鍵值C:WindowsSystemnetspy.exe，用于在

50、系統(tǒng)啟動時自動加載運行。 (2) 清除方法：* 重新啟動機器并在出現(xiàn)Staring Windows提示時，按F5鍵進入命令行狀態(tài)。在C:WindowsSystem目錄下輸入以下命令：del netspy.exe* 進入HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun，刪除Netspy的鍵值，即可安全清除Netspy。 3) SubSeven (1) 木馬特征：SubSeven服務器端程序只有54.5 KB，很容易被捆綁到其他軟件上而不被發(fā)現(xiàn)。服務器端程序為，客戶端程序為subseven.exe。SubSeven服務器端被執(zhí)

51、行后，每次啟動的進程名都會發(fā)生變化，因此很難查找。 (2) 清除方法：* 打開注冊表Regedit，進入HKEY_LOCAL_MACHINESoftwareMicrosoft Windows CurrentVersionRun和RunService，如果有加載文件，就刪除右邊的項目：加載器=C:WindowsSystem*。注：加載器和文件名是隨意改變的。* 打開win.ini文件，檢查“run=”后有沒有加上某個可執(zhí)行文件名，如有則刪除之。 * 打開system.ini文件，檢查“shell=explorer.exe”后有沒有跟某個文件，如有，則將后跟的文件刪除。 * 重新啟動Windows

52、，刪除相對應的木馬程序，一般在C:WindowsSystem下。 4) 冰河 (1) 木馬特征：這里介紹的是對其標準版的清除，掌握了如何清除標準版，再來對付變種冰河就很容易了。冰河的服務器端程序為，客戶端程序為，默認連接端口為7626。一旦運行G-server，那么該程序就會在C:WindowsSystem目錄下生成和sy*plr.exe，并刪除自身。在系統(tǒng)啟動時自動加載運行，sy*plr.exe和TXT文件關(guān)聯(lián)。即使刪除了，但只要打開TXT文件，sy*plr.exe就會被激活，再次生成。 (2) 清除方法：* 刪除C:WindowsSystem下的和Sy*plr.exe文件。* 冰河會在注冊

53、表HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun下扎根，鍵值為C:WindowsSystem Kernel32.exe，刪除它。* 在注冊表的HKEY_LOCAL_ MACHINESoftwareMicrosoftWindowsCurrentVersion Runservices下，還有鍵值為的，也要刪除。* 修改注冊表HKEY_CLASSES_ROOTtxtfile shellopencommand下的默認值，由表中木馬后的C:WindowsSystemSy*plr.exe %1改為正常的C:Windowsnotepa

54、d.exe %1，即可恢復TXT文件關(guān)聯(lián)功能。5) 網(wǎng)絡神偷(Nethief) (1) 木馬特征：“網(wǎng)絡神偷”是個反彈端口型木馬。與一般的木馬相反，反彈端口型木馬的服務器端(被控制端)使用主動端口，客戶端(控制端)使用被動端口。為了隱蔽起見，客戶端的監(jiān)聽端口一般開在80，這樣即使用戶使用端口掃描軟件檢查自己的端口，發(fā)現(xiàn)的也是類似“TCP服務器端的IP地址：1026客戶端的IP地址:80 ESTABLISHED”的情況，稍微疏忽一點就會以為是自己在瀏覽網(wǎng)頁。 (2) 清除方法：* 網(wǎng)絡神偷會在注冊表HKEY_LOCAL_MACHINESoftwareMicrosoftWindows Curren

55、tVersionRun下建立鍵值“internet”，其值為“internet.exe /s”，將該鍵值刪除。* 刪除其自啟動程序。 6) 廣外女生(1) 木馬特征：“廣外女生”是一種新出現(xiàn)的遠程監(jiān)控工具，破壞性很大，能實現(xiàn)遠程上傳、下載、刪除文件、修改注冊表等功能。而且“廣外女生”服務器端被執(zhí)行后，會自動檢查進程中是否含有“金山毒霸”、“天網(wǎng)”等字樣，如果發(fā)現(xiàn)就將該進程終止，使防火墻完全失去作用。 (2) 清除方法：* 啟動到純DOS模式下，找到System目錄下的diagfg.exe，刪除它。* 找到Windows目錄中的注冊表編輯器“Regedit.exe”，將它改名為“Regedit

56、”。* 回到Windows模式下，運行Windows目錄下的Regedit 程序(就是我們剛才改名的文件)。7) (1) 木馬特征：默認的連接端口是8011。服務器端被運行后，在C:Windowssystem下生成msgsvc.exe文件，圖標是文本文件的圖標。同時，在注冊表HKEY_LOCAL_ MACHINESoftware MicrosoftWindowsCurrentVersionRun下建立串值Msgtask。 (2) 清除方法：用進程管理工具查看，會發(fā)現(xiàn)進程CWAY，只要刪除它在注冊表中的鍵值，再刪除C:WindowsSystem下的msgsvc.exe文件就可以了。需要注意的是：

57、在Windows下無法直接刪除msgsvc.exe，可以用進程管理工具終止它的進程，然后再刪除它?；蛘叩紻OS下刪除msgsvc.exe。如果服務器端已經(jīng)和可執(zhí)行文件捆綁在一起了，那就只有將該可執(zhí)行文件刪除才能清除該病毒。注意在刪除前做好備份。 2木馬檢測工具的使用Anti-Trojan Shield是一款享譽歐洲的專業(yè)木馬偵測、攔截及清除軟件。讀者可以從 :/ atshield /index.php?r=download下載試用版。(1) 從上面的網(wǎng)站下載安裝軟件ats1.exe。(2) 雙擊該軟件，根據(jù)提示完成安裝。(3) 運行Anti-Trojan Shield，如圖21-49所示。 圖

58、21-49 Anti-Trojan Shield運行圖 (4) 選擇掃描對象，然后點擊“Start”，開始對目標進行掃描，如圖21-50所示。 圖21-50 掃描示意圖 (5) 如果軟件找到木馬會提示，并把該木馬顯示出來，如圖21-51所示。 圖21-51 報警示意圖 此時，讀者可以根據(jù)實際情況選擇“Delete”刪除或“Quarantine”隔離該木馬。如圖21-52所示，讀者還可以根據(jù)需要，在“Setup”標簽下勾選“scan archives”選項，這樣就可以對ZIP、RAR、ARJ和CAB 等壓縮包內(nèi)部進行掃描。勾選“Use Program code analysis”，可以對程序進行

59、代碼分析，查找出未知的木馬程序，這有點類似于反病毒軟件中的“啟發(fā)式查毒”，但是掃描速度會減慢。另外，默認選擇“Minhigh speed”項，則只對可執(zhí)行文件進行掃描，建議選擇“Max low speed”，對所有文件都進行掃描。 圖21-52 木馬處理 21.9 Windump軟件的安裝和使用 21.9.1 實驗目的通過本實驗，讀者可以掌握以下技能：* 學會在Windows環(huán)境下搭建Windump使用環(huán)境；* 學會使用Windump對網(wǎng)絡流量進行統(tǒng)計分析。 21.9.2 設備需求本實驗需要以下設備：* PC機兩臺以上，應帶網(wǎng)卡，分別安裝Windows 2000和Linux Reahat操作系

60、統(tǒng)以及其他操作系統(tǒng)；* 廣播式Hub一臺，雙絞線兩根以上。 21.9.3 實驗環(huán)境及配置說明本實驗采用的兩臺PC機通過Hub相互連接，設備連接如圖21-53所示。 實驗中分配的IP地址：PC1為，PC2為，依次類推。子網(wǎng)掩碼均為。在PC1上安裝Windows 2000操作系統(tǒng)，在其他PC機上安裝Windows 2000操作系統(tǒng)或UNIX/Linux系統(tǒng)均可。配置完成后，PC機應能通過Hub互相訪問。 圖21-53 Windump實驗設備連接圖 21.9.4 實驗內(nèi)容(1) 從 :/windump.polito.it/install/default.htm下載所需軟件，包括winpcap.exe