網(wǎng)絡(luò)安全課程實(shí)驗(yàn)指導(dǎo)書(shū).doc

精品文檔網(wǎng)絡(luò)安全課程實(shí)驗(yàn)安排及指導(dǎo)書(shū)2009-10-21 實(shí)驗(yàn)安排1、推薦必做實(shí)驗(yàn)網(wǎng)絡(luò)掃描計(jì)算機(jī)病毒及惡意代碼防火墻實(shí)驗(yàn)入侵檢測(cè)系統(tǒng)2、推薦選作實(shí)驗(yàn)VPN配置證書(shū)的申請(qǐng)和使用windows安全配置實(shí)驗(yàn)實(shí)驗(yàn)一： 網(wǎng)絡(luò)掃描實(shí)驗(yàn)【實(shí)驗(yàn)?zāi)康摹苛私鈷呙璧幕驹恚莆栈痉椒?，最終鞏固主機(jī)安全【實(shí)驗(yàn)內(nèi)容】1、學(xué)習(xí)使用Nmap的使用方法2、學(xué)習(xí)使用漏洞掃描工具【實(shí)驗(yàn)環(huán)境】1、 硬件 PC機(jī)一臺(tái)。 2、 系統(tǒng)配置：操作系統(tǒng)windows XP以上。 【實(shí)驗(yàn)步驟】1、端口掃描1） 解壓并安裝ipscan15.zip，掃描本局域網(wǎng)內(nèi)的主機(jī)2） 解壓nmap-4.00-win32.zip，安裝WinPcap 運(yùn)行cmd.exe，熟悉nmap命令(詳見(jiàn)“Nmap詳解.mht”)。3） 試圖做以下掃描：掃描局域網(wǎng)內(nèi)存活主機(jī)，掃描某一臺(tái)主機(jī)或某一個(gè)網(wǎng)段的開(kāi)放端口掃描目標(biāo)主機(jī)的操作系統(tǒng)試圖使用Nmap的其他掃描方式，偽源地址、隱蔽掃描等2、漏洞掃描解壓X-Scan-v3.3-cn.rar，運(yùn)行程序xscan_gui.exe，將所有模塊選擇掃描，掃描本機(jī)，或局域網(wǎng)內(nèi)某一臺(tái)主機(jī)的漏洞【實(shí)驗(yàn)報(bào)告】1、說(shuō)明程序設(shè)計(jì)原理。2、提交運(yùn)行測(cè)試結(jié)果。【實(shí)驗(yàn)背景知識(shí)】1、 掃描及漏洞掃描原理見(jiàn) 第四章黑客攻擊技術(shù).ppt 2、 NMAP使用方法掃描器是幫助你了解自己系統(tǒng)的絕佳助手。象Windows 2K/XP這樣復(fù)雜的操作系統(tǒng)支持應(yīng)用軟件打開(kāi)數(shù)百個(gè)端口與其他客戶程序或服務(wù)器通信，端口掃描是檢測(cè)服務(wù)器上運(yùn)行了哪些服務(wù)和應(yīng)用、向Internet或其他網(wǎng)絡(luò)開(kāi)放了哪些聯(lián)系通道的一種辦法，不僅速度快，而且效果也很不錯(cuò)。 Nmap被開(kāi)發(fā)用于允許系統(tǒng)管理員察看一個(gè)大的網(wǎng)絡(luò)系統(tǒng)有哪些主機(jī)以及其上運(yùn)行何種服務(wù)。它支持多種協(xié)議的掃描如UDP，TCP connect(),TCP SYN (half open), ftp proxy (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,X mas Tree, SYN sweep, 和Null掃描。你可以從SCAN TYPES一節(jié)中察看相關(guān)細(xì)節(jié)。nmap還提供一些實(shí)用功能如通過(guò)tcp/ip來(lái)甄別操作系統(tǒng)類型、秘密掃描、動(dòng)態(tài)延遲和重發(fā)、平行掃描、通過(guò)并行的PING偵測(cè)下屬的主機(jī)、欺騙掃描、端口過(guò)濾探測(cè)、直接的RPC掃描、分布掃描、靈活的目標(biāo)選擇以及端口的描述。一、安裝NmapNmap要用到一個(gè)稱為“Windows包捕獲庫(kù)”的驅(qū)動(dòng)程序WinPcap如果你經(jīng)常從網(wǎng)上下載流媒體電影，可能已經(jīng)熟悉這個(gè)驅(qū)動(dòng)程序某些流媒體電影的地址是加密的，偵測(cè)這些電影的真實(shí)地址就要用到WinPcap。WinPcap的作用是幫助調(diào)用程序(即這里的Nmap)捕獲通過(guò)網(wǎng)卡傳輸?shù)脑紨?shù)據(jù)。WinPcap的最新版本在http:/netgroup-serv.polito.it/winpcap，支持XP/2K/Me/9x全系列操作系統(tǒng)，下載得到的是一個(gè)執(zhí)行文件，雙擊安裝，一路確認(rèn)使用默認(rèn)設(shè)置就可以了，安裝好之后需要重新啟動(dòng)。接下來(lái)下載Nmap。下載好之后解開(kāi)壓縮，不需要安裝。除了執(zhí)行文件nmap.exe之外，它還有下列參考文檔: nmap-os-fingerprints:列出了500多種網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)的堆棧標(biāo)識(shí)信息。 nmap-protocols:Nmap執(zhí)行協(xié)議掃描的協(xié)議清單。 nmap-rpc:遠(yuǎn)程過(guò)程調(diào)用(RPC)服務(wù)清單，Nmap用它來(lái)確定在特定端口上監(jiān)聽(tīng)的應(yīng)用類型。 nmap-services:一個(gè)TCP/UDP服務(wù)的清單，Nmap用它來(lái)匹配服務(wù)名稱和端口號(hào)。除了命令行版本之外，還提供了一個(gè)帶GUI的Nmap版本。和其他常見(jiàn)的Windows軟件一樣，GUI版本需要安裝，圖一就是GUI版Nmap的運(yùn)行界面。GUI版的功能基本上和命令行版本一樣，鑒于許多人更喜歡用命令行版本，本文后面的說(shuō)明就以命令行版本為主。圖一二、常用掃描類型 解開(kāi)Nmap命令行版的壓縮包之后，進(jìn)入Windows的命令控制臺(tái)，再轉(zhuǎn)到安裝Nmap的目錄(如果經(jīng)常要用Nmap，最好把它的路徑加入到PATH環(huán)境變量)。不帶任何命令行參數(shù)運(yùn)行Nmap，Nmap顯示出命令語(yǔ)法，如圖二所示。圖二下面是Nmap支持的四種最基本的掃描方式: TCP connect()端口掃描(-sT參數(shù))。 TCP同步(SYN)端口掃描(-sS參數(shù))。 UDP端口掃描(-sU參數(shù))。 Ping掃描(-sP參數(shù))。如果要勾畫(huà)一個(gè)網(wǎng)絡(luò)的整體情況，Ping掃描和TCP SYN掃描最為實(shí)用。Ping掃描通過(guò)發(fā)送ICMP(Internet Control Message Protocol，Internet控制消息協(xié)議)回應(yīng)請(qǐng)求數(shù)據(jù)包和TCP應(yīng)答(Acknowledge，簡(jiǎn)寫(xiě)ACK)數(shù)據(jù)包，確定主機(jī)的狀態(tài)，非常適合于檢測(cè)指定網(wǎng)段內(nèi)正在運(yùn)行的主機(jī)數(shù)量。TCP SYN掃描一下子不太好理解，但如果將它與TCP connect()掃描比較，就很容易看出這種掃描方式的特點(diǎn)。在TCP connect()掃描中，掃描器利用操作系統(tǒng)本身的系統(tǒng)調(diào)用打開(kāi)一個(gè)完整的TCP連接也就是說(shuō)，掃描器打開(kāi)了兩個(gè)主機(jī)之間的完整握手過(guò)程(SYN，SYN-ACK，和ACK)。一次完整執(zhí)行的握手過(guò)程表明遠(yuǎn)程主機(jī)端口是打開(kāi)的。TCP SYN掃描創(chuàng)建的是半打開(kāi)的連接，它與TCP connect()掃描的不同之處在于，TCP SYN掃描發(fā)送的是復(fù)位(RST)標(biāo)記而不是結(jié)束ACK標(biāo)記(即，SYN，SYN-ACK，或RST):如果遠(yuǎn)程主機(jī)正在監(jiān)聽(tīng)且端口是打開(kāi)的，遠(yuǎn)程主機(jī)用SYN-ACK應(yīng)答，Nmap發(fā)送一個(gè)RST;如果遠(yuǎn)程主機(jī)的端口是關(guān)閉的，它的應(yīng)答將是RST，此時(shí)Nmap轉(zhuǎn)入下一個(gè)端口。圖三是一次測(cè)試結(jié)果，很明顯，TCP SYN掃描速度要超過(guò)TCP connect()掃描。采用默認(rèn)計(jì)時(shí)選項(xiàng)，在LAN環(huán)境下掃描一個(gè)主機(jī)，Ping掃描耗時(shí)不到十秒，TCP SYN掃描需要大約十三秒，而TCP connect()掃描耗時(shí)最多，需要大約7分鐘。圖三Nmap支持豐富、靈活的命令行參數(shù)。例如，如果要掃描192.168.7網(wǎng)絡(luò)，可以用192.168.7.x/24或-255的形式指定IP地址范圍。指定端口范圍使用-p參數(shù)，如果不指定要掃描的端口，Nmap默認(rèn)掃描從1到1024再加上nmap-services列出的端口。如果要查看Nmap運(yùn)行的詳細(xì)過(guò)程，只要啟用verbose模式，即加上-v參數(shù)，或者加上-vv參數(shù)獲得更加詳細(xì)的信息。例如，nmap -sS -255 -p 20,21,53-110,30000- -v命令，表示執(zhí)行一次TCP SYN掃描，啟用verbose模式，要掃描的網(wǎng)絡(luò)是192.168.7，檢測(cè)20、21、53到110以及30000以上的端口(指定端口清單時(shí)中間不要插入空格)。再舉一個(gè)例子，nmap -sS /24 -p 80掃描192.168.0子網(wǎng)，查找在80端口監(jiān)聽(tīng)的服務(wù)器(通常是Web服務(wù)器)。有些網(wǎng)絡(luò)設(shè)備，例如路由器和網(wǎng)絡(luò)打印機(jī)，可能禁用或過(guò)濾某些端口，禁止對(duì)該設(shè)備或跨越該設(shè)備的掃描。初步偵測(cè)網(wǎng)絡(luò)情況時(shí)，-host_timeout參數(shù)很有用，它表示超時(shí)時(shí)間，例如nmap sS host_timeout 10000 命令規(guī)定超時(shí)時(shí)間是10000毫秒。網(wǎng)絡(luò)設(shè)備上被過(guò)濾掉的端口一般會(huì)大大延長(zhǎng)偵測(cè)時(shí)間，設(shè)置超時(shí)參數(shù)有時(shí)可以顯著降低掃描網(wǎng)絡(luò)所需時(shí)間。Nmap會(huì)顯示出哪些網(wǎng)絡(luò)設(shè)備響應(yīng)超時(shí)，這時(shí)你就可以對(duì)這些設(shè)備個(gè)別處理，保證大范圍網(wǎng)絡(luò)掃描的整體速度。當(dāng)然，host_timeout到底可以節(jié)省多少掃描時(shí)間，最終還是由網(wǎng)絡(luò)上被過(guò)濾的端口數(shù)量決定。Nmap的手冊(cè)(man文檔)詳細(xì)說(shuō)明了命令行參數(shù)的用法(雖然man文檔是針對(duì)UNIX版Nmap編寫(xiě)的，但同樣提供了Win32版本的說(shuō)明)。三、注意事項(xiàng)也許你對(duì)其他端口掃描器比較熟悉，但Nmap絕對(duì)值得一試。建議先用Nmap掃描一個(gè)熟悉的系統(tǒng)，感覺(jué)一下Nmap的基本運(yùn)行模式，熟悉之后，再將掃描范圍擴(kuò)大到其他系統(tǒng)。首先掃描內(nèi)部網(wǎng)絡(luò)看看Nmap報(bào)告的結(jié)果，然后從一個(gè)外部IP地址掃描，注意防火墻、入侵檢測(cè)系統(tǒng)(IDS)以及其他工具對(duì)掃描操作的反應(yīng)。通常，TCP connect()會(huì)引起IDS系統(tǒng)的反應(yīng)，但I(xiàn)DS不一定會(huì)記錄俗稱“半連接”的TCP SYN掃描。最好將Nmap掃描網(wǎng)絡(luò)的報(bào)告整理存檔，以便隨后參考。如果你打算熟悉和使用Nmap，下面幾點(diǎn)經(jīng)驗(yàn)可能對(duì)你有幫助: 避免誤解。不要隨意選擇測(cè)試Nmap的掃描目標(biāo)。許多單位把端口掃描視為惡意行為，所以測(cè)試Nmap最好在內(nèi)部網(wǎng)絡(luò)進(jìn)行。如有必要，應(yīng)該告訴同事你正在試驗(yàn)端口掃描，因?yàn)閽呙杩赡芤l(fā)IDS警報(bào)以及其他網(wǎng)絡(luò)問(wèn)題。 關(guān)閉不必要的服務(wù)。根據(jù)Nmap提供的報(bào)告(同時(shí)考慮網(wǎng)絡(luò)的安全要求)，關(guān)閉不必要的服務(wù)，或者調(diào)整路由器的訪問(wèn)控制規(guī)則(ACL)，禁用網(wǎng)絡(luò)開(kāi)放給外界的某些端口。 建立安全基準(zhǔn)。在Nmap的幫助下加固網(wǎng)絡(luò)、搞清楚哪些系統(tǒng)和服務(wù)可能受到攻擊之后，下一步是從這些已知的系統(tǒng)和服務(wù)出發(fā)建立一個(gè)安全基準(zhǔn)，以后如果要啟用新的服務(wù)或者服務(wù)器，就可以方便地根據(jù)這個(gè)安全基準(zhǔn)執(zhí)行。實(shí)驗(yàn)二：計(jì)算機(jī)病毒及惡意代碼【實(shí)驗(yàn)?zāi)康摹烤毩?xí)木馬程序安裝和攻擊過(guò)程，了解木馬攻擊原理，掌握手工查殺木馬的基本方法，提高自己的安全意識(shí)?！緦?shí)驗(yàn)內(nèi)容】安裝木馬程序NetBus，通過(guò)冰刃iceberg、autoruns.exe了解木馬的加載及隱藏技術(shù)【實(shí)驗(yàn)步驟】1、 木馬安裝和使用1) 在菜單運(yùn)行中輸入cmd打開(kāi)dos命令編輯器2 ) 安裝netbus軟件3) 在DOS命令窗口啟動(dòng)進(jìn)程并設(shè)置密碼4) 打開(kāi)木馬程序，連接別人主機(jī)5) 控制本地電腦打開(kāi)學(xué)院網(wǎng)頁(yè)6) 查看自己主機(jī)7) 查看任務(wù)管理器進(jìn)程8 移除木馬控制程序進(jìn)程查看任務(wù)管理器（注意：Patch.exe進(jìn)程已經(jīng)關(guān)閉）2、木馬防御實(shí)驗(yàn)在木馬安裝過(guò)程可以運(yùn)行一下軟件查看主機(jī)信息變化：1） 使用autoruns.exe軟件，查看windows程序啟動(dòng)程序的位置，了解木馬的自動(dòng)加載技術(shù)。如自動(dòng)運(yùn)行進(jìn)程（下圖所示）、IE瀏覽器調(diào)運(yùn)插件、任務(wù)計(jì)劃等：2） 查看當(dāng)前運(yùn)行的進(jìn)程，windows提供的任務(wù)管理器可以查看當(dāng)前運(yùn)行的進(jìn)程，但其提供的信息不全面。利用第三方軟件可以更清楚地了解當(dāng)前運(yùn)行進(jìn)程的信息。這里procexp.exe為例 啟動(dòng)procexp.exe程序，查看當(dāng)前運(yùn)行進(jìn)程所在位置，如圖所示：3）木馬綜合查殺練習(xí)使用冰刃IceSword查看木馬可能修改的位置：主要進(jìn)行以下練習(xí)：1） 查看當(dāng)前通信進(jìn)程開(kāi)放的端口。 木馬攻擊2） 查看當(dāng)前啟動(dòng)的服務(wù)3） 練習(xí)其他功能，如強(qiáng)制刪除其他文件，SPI、內(nèi)核模塊等。【實(shí)驗(yàn)報(bào)告】1、 分析木馬傳播、自啟動(dòng)、及隱藏的原理。2、 提交運(yùn)行測(cè)試的結(jié)果，并分析。【背景知識(shí)】NetBus由兩部分組成：客戶端程序（netbus.exe）和服務(wù)器端程序（通常文件名為：patch.exe）。要想“控制”遠(yuǎn)程機(jī)器，必須先將服務(wù)器端程序安裝到遠(yuǎn)程機(jī)器上這一般是通過(guò)遠(yuǎn)程機(jī)器的主人無(wú)意中運(yùn)行了帶有NetBus的所謂特洛伊木馬程序后完成的。NetBus服務(wù)器端程序是放在Windows的系統(tǒng)目錄中的，它會(huì)在Windows啟動(dòng)時(shí)自動(dòng)啟動(dòng)。該程序的文件名是patch.exe，如果該程序通過(guò)一個(gè)名為whackamole.exe的游戲安裝潛伏的話，文件名應(yīng)為explore.exe（注意：不是explorer.exe?。┗蛘吆?jiǎn)單地叫g(shù)ame.exe。同時(shí)，你可以檢查Windows系統(tǒng)注冊(cè)表，NetBus會(huì)在下面路徑中加入其自身的啟動(dòng)項(xiàng)： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun NetBus通過(guò)該注冊(cè)項(xiàng)實(shí)現(xiàn)Windows啟動(dòng)時(shí)的自動(dòng)啟動(dòng)。但如果你按Ctrl+Alt+Del，在任務(wù)列表中是看不到它的存在的。正確的去除方法如下：1、運(yùn)行regedit.exe；2、找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun；3、將patch項(xiàng)刪除（或者explore項(xiàng)）；4、重新啟動(dòng)機(jī)器后刪除Windows系統(tǒng)目錄下的patch.exe（或者explore.exe）即可。實(shí)驗(yàn)三： 防火墻實(shí)驗(yàn)【實(shí)驗(yàn)?zāi)康摹空莆諅€(gè)人防火墻的使用及規(guī)則的設(shè)置【實(shí)驗(yàn)內(nèi)容】防火墻設(shè)置，規(guī)則的設(shè)置，檢驗(yàn)防火墻的使用。【實(shí)驗(yàn)環(huán)境】3、 硬件 PC機(jī)一臺(tái)。 4、 系統(tǒng)配置：操作系統(tǒng)windows XP以上。 【實(shí)驗(yàn)步驟】 (有兩種可選方式，1、以天網(wǎng)防火墻為例，學(xué)習(xí)防火墻的規(guī)則設(shè)置，2、通過(guò)winroute防火墻學(xué)習(xí)使用規(guī)則設(shè)置，兩者均需安裝虛擬機(jī))一、 虛擬機(jī)安裝與配置驗(yàn)證virtual PC是否安裝在xp操作系統(tǒng)之上，如果沒(méi)有安裝，從獲取相關(guān)軟件并安裝；從教師機(jī)上獲取windows 2000虛擬機(jī)硬盤二、包過(guò)濾防火墻winroute配置（可選）1、從教師機(jī)上獲取winroute安裝軟件并放置在windows 2000上安裝2、安裝默認(rèn)方式進(jìn)行安裝，并按提示重啟系統(tǒng)3、登陸虛擬機(jī),打開(kāi)winroute以管理員的身份登錄，打開(kāi)開(kāi)始WinRoute ProWinRoute Administration，輸入IP地址或計(jì)算機(jī)名，以及WinRoute管理員帳號(hào)（默認(rèn)為Admin）、密碼（默認(rèn)為空）3、打開(kāi)菜單 SettingAdvancedPacket Filter4、在Packet Filter對(duì)話框中，選中Any interface并展開(kāi)雙擊No Rule圖標(biāo)，打開(kāi)Add Item對(duì)話框在Protocol下拉列表框中選擇ICMP，開(kāi)始編輯規(guī)則配置Destination：type為Host,IP Address為 (x為座位號(hào))5、在ICMP Types中，選中All復(fù)選項(xiàng)在Action區(qū)域，選擇Drop項(xiàng)在Log Packet區(qū)域選中Log into Window其他各項(xiàng)均保持默認(rèn)值，單擊OK單擊OK，返回主窗口6、合作伙伴間ping對(duì)方IP，應(yīng)該沒(méi)有任何響應(yīng)打開(kāi)菜單ViewLogsSecurity Log ,詳細(xì)查看日志記錄禁用或刪除規(guī)則8、用WinRoute控制某個(gè)特定主機(jī)的訪問(wèn)（選作）要求學(xué)生在虛擬機(jī)安裝ftp服務(wù)器。1) 打開(kāi)WinRoute,打開(kāi)菜單SettingsAdvancedPacket Filter選擇,Outgoing標(biāo)簽2) 選擇Any Interface并展開(kāi)，雙擊No Rule，然后選擇TCP協(xié)議3) 配置Destination 框：type為 Host， IP Address為(2為合作伙伴座位號(hào))4)、 在Source框中：端口范圍選擇Greater than()，然后輸入10245) 以21端口作為 Destination Port值6) 在Action區(qū)域，選擇Deny選項(xiàng)7) 選擇Log into window選項(xiàng)8) 應(yīng)用以上設(shè)置，返回主窗口9) 合作伙伴間互相建立到對(duì)方的FTP連接，觀察失敗信息10)禁用或刪除FTP過(guò)濾三、包過(guò)濾天網(wǎng)防火墻配置（可選）1、安裝解壓，單擊安裝文件SkynetPFW_Retail_Release_v2.77_Build1228.EXE 安裝按缺省的設(shè)置安裝，注：破解 1）將兩個(gè)文件Cr-PFW.exe和PFW.bak一起復(fù)制到軟件安裝目錄中 2）運(yùn)行破解補(bǔ)丁Cr-PFW.exe，覆蓋原主程序即可2、熟悉防火墻規(guī)則 啟動(dòng)防火墻并”單擊自定義規(guī)則”如圖熟悉規(guī)則的設(shè)置：雙擊如下選項(xiàng)：“允許自己用ping命令探測(cè)其他機(jī)器“防止別人用ping命令探測(cè)”“禁止互聯(lián)網(wǎng)上的機(jī)器使用我的共享資源”“防止互聯(lián)網(wǎng)上的機(jī)器探測(cè)機(jī)器名稱”等選項(xiàng)，熟悉其中的IP地址、方向，協(xié)議類型、端口號(hào)、控制位等項(xiàng)的設(shè)置。試總結(jié)規(guī)則設(shè)置的順序，5、 增加設(shè)置防火墻規(guī)則開(kāi)放部分自己需要的端口。下圖為對(duì)話框，各部分說(shuō)明：1） 新建IP規(guī)則的說(shuō)明部分，可以取有代表性的名字，如“打開(kāi)BT6881-6889端口”，說(shuō)明詳細(xì)點(diǎn)也可以。還有數(shù)據(jù)包方向的選擇，分為接收，發(fā)送，接收和發(fā)送三種，可以根據(jù)具體情況決定。2）就是對(duì)方IP地址，分為任何地址，局域網(wǎng)內(nèi)地址，指定地址，指定網(wǎng)絡(luò)地址四種。3）IP規(guī)則使用的各種協(xié)議，有IP，TCP，UDP，ICMP，IGMP五種協(xié)議，可以根據(jù)具體情況選用并設(shè)置，如開(kāi)放IP地址的是IP協(xié)議，QQ使用的是UDP協(xié)議等。4）比較關(guān)鍵，就是決定你設(shè)置上面規(guī)則是允許還是拒絕，在滿足條件時(shí)是通行還是攔截還是繼續(xù)下一規(guī)則，要不要記錄，具體看后面的實(shí)例。試設(shè)置如下規(guī)則：1）禁止局域網(wǎng)的某一臺(tái)主機(jī)和自己通信通信2）禁止任何大于1023的目標(biāo)端口于本機(jī)連接，3） 允許任何新來(lái)的TCP與主機(jī)的SMTP連接4、查看各個(gè)程序使用及監(jiān)聽(tīng)端口的情況可以查看什么程序使用了端口，使用哪個(gè)端口，是不是有可疑程序在使用網(wǎng)絡(luò)資源，如木馬程序，然后可以根據(jù)要求再自定義IP規(guī)則里封了某些端口以及禁止某些IP訪問(wèn)自己的機(jī)子等等?！緦?shí)驗(yàn)報(bào)告】1、 說(shuō)明包過(guò)濾放火墻的工作原理。2、 提交防火墻指定功能測(cè)試結(jié)果。實(shí)驗(yàn)4 入侵檢測(cè)系統(tǒng)安裝和使用【實(shí)驗(yàn)?zāi)康摹客ㄟ^(guò)安裝并運(yùn)行一個(gè)snort系統(tǒng)，了解入侵檢測(cè)系統(tǒng)的作用和功能【實(shí)驗(yàn)內(nèi)容】 安裝并配置appahe，安裝并配置MySQL，安裝并配置snort；服務(wù)器端安裝配置php腳本，通過(guò)IE瀏覽器訪問(wèn)IDS【實(shí)驗(yàn)環(huán)境】硬件 PC機(jī)一臺(tái)。 系統(tǒng)配置：操作系統(tǒng)windows XP以上。 【實(shí)驗(yàn)步驟】1、 安裝appache服務(wù)器 安裝的時(shí)候注意，本機(jī)的80 端口是否被占用，如果被占用則關(guān)閉占用端口的程序。選擇定制安裝，安裝路徑修改為c:apache 安裝程序會(huì)自動(dòng)建立c:apache2 目錄，繼續(xù)以完成安裝。添加Apache 對(duì)PHP 的支持1）解壓縮php-5.2.6-Win32.zip至c:php2）拷貝php5ts.dll文件到%systemroot%system32 3）拷貝php.ini-dist (修改文件名) 至%systemroot%php.ini 修改php.ini extension=php_gd2.dll extension=php_mysql.dll 同時(shí)拷貝c:phpextension下的php_gd2.dll與php_mysql.dll 至%systemroot% 4）添加gd庫(kù)的支持在C:apacheApache2confhttpd.conf中添加：LoadModule php5_module c:/php5/php5apache2.dllAddType application這一行下面加入下面兩行：AddType application/x-httpd-php .php .phtml .php3 .php4 AddType application/x-httpd-php-source .phps5）添加好后，保存http.conf文件，并重新啟動(dòng)apache服務(wù)器?，F(xiàn)在可以測(cè)試php腳本： 在c:apache2htdocs 目錄下新建test.php test.php 文件內(nèi)容： ?phpinfo();?使用http:/localhost/test.php測(cè)試php 是否安裝成功2、安裝配置snort安裝程序WinPcap_4_0_2.exe；缺省安裝即可安裝Snort_2_8_1_Installer.exe；缺省安裝即可將snortrules-snapshot-CURRENT目錄下的所有文件復(fù)制(全選)到c:snort目錄下。將文件壓縮包中的snort.conf覆蓋C:Snortetcsnort.conf3、 安裝MySql配置mysql解壓mysql-5.0.51b-win32.zip，并安裝。采取默認(rèn)安裝，注意設(shè)置root帳號(hào)和其密碼J檢查是否已經(jīng)啟動(dòng)mysql服務(wù)在安裝目錄下運(yùn)行命令：（一般為c:mysqlbin）mysql -u root p輸入剛才設(shè)置的root密碼運(yùn)行以下命令c:mysql -D mysql -u root -p c:snort_mysql （需要將snort_mysql復(fù)制到c盤下，當(dāng)然也可以復(fù)制到其他目錄）運(yùn)行以下命令：c:mysqlbinmysql -D snort -u root -p c:snortschemascreate_mysql c:mysqlbinmysql -D snort_archive -u root -p snort -dev，能看到一只正在奔跑的小豬證明工作正常查看本地網(wǎng)絡(luò)適配器編號(hào)：c:snort -W正式啟動(dòng)snort；snort -c c:snortetcsnort.conf -i 2 -l c:snortlogs -deX(注意其中-i 后的參數(shù)為網(wǎng)卡編號(hào)，由snort W 察看得知)這時(shí)通過(guò)http:/localhost/acid/acid_main.php 可以察看入侵檢測(cè)的結(jié)果6、 利用掃描實(shí)驗(yàn)的要求掃描局域網(wǎng)，查看檢測(cè)的結(jié)果【實(shí)驗(yàn)報(bào)告】1、 簡(jiǎn)單分析網(wǎng)絡(luò)入侵檢測(cè)snort的分析原理2、 分析所安裝的入侵檢測(cè)系統(tǒng)對(duì)攻擊的檢測(cè)結(jié)果。附：Appach啟動(dòng)動(dòng)命令： apache -k install| apache -k start證書(shū)的申請(qǐng)和使用【實(shí)驗(yàn)?zāi)康摹空莆諗?shù)字證書(shū)的申請(qǐng)、安裝，利用證書(shū)的使用通過(guò)Outlook發(fā)送和接受安全電子郵件【實(shí)驗(yàn)內(nèi)容】1、 申請(qǐng)免費(fèi)使用證書(shū)，了解證書(shū)的結(jié)構(gòu)2、 利用申請(qǐng)的證書(shū)，發(fā)送和接收具有加密和簽名認(rèn)證的電子郵件【實(shí)驗(yàn)環(huán)境】上網(wǎng)計(jì)算機(jī)，Windows操作系統(tǒng)（最好是Windows2000）。IE5.0以上瀏覽器【實(shí)驗(yàn)步驟】1、證書(shū)申請(qǐng)（1）登錄中國(guó)數(shù)字認(rèn)證網(wǎng)網(wǎng)站：，如圖1所示，圖1 申請(qǐng)證書(shū)主頁(yè)(2)單擊 “用表格申請(qǐng)”，進(jìn)入申請(qǐng)網(wǎng)頁(yè)，如圖2：填寫(xiě)相關(guān)信息，注意證書(shū)用途選擇，電子郵件保護(hù)證書(shū)。注意電子郵件部分填寫(xiě)隨后測(cè)試郵件的自己電子郵件的郵件圖2、申請(qǐng)表格3）單擊“提交并安裝證書(shū)”4）證書(shū)查詢打開(kāi)IE瀏覽器，依次點(diǎn)擊工具Internet選項(xiàng)內(nèi)容證書(shū)，如圖8.11所示，點(diǎn)擊證書(shū)按鈕后出現(xiàn)證書(shū)目錄，如圖8.12，雙擊剛才申請(qǐng)的試用個(gè)人證書(shū)，如圖8.13所示。需要說(shuō)明的是，由于證書(shū)是試用證書(shū)，所以有該證書(shū)未生效信息，實(shí)際上，正式申請(qǐng)的付費(fèi)證書(shū)是沒(méi)有任何問(wèn)題。圖3互聯(lián)網(wǎng)選項(xiàng)圖4 已經(jīng)安裝好的數(shù)字證書(shū)圖5 證書(shū)信息2、 使用證書(shū)發(fā)送安全郵件1） 選擇菜單-工具-選項(xiàng) 彈出對(duì)話框 選擇安全屬性頁(yè)， 復(fù)選“給待發(fā)郵件添加數(shù)字簽名”“以明文簽名發(fā)送郵件” 選擇“設(shè)置”按鈕，彈出“更改安全設(shè)置對(duì)話框”見(jiàn)圖9圖6 選項(xiàng)屬性頁(yè)2） 選擇 “設(shè)置”按鈕 彈出“更改安全設(shè)置”對(duì)話框 圖7填寫(xiě)名稱“選擇” 按鈕選擇剛才申請(qǐng)的證書(shū) ，并選擇哈希算法和加密算法。圖7安全設(shè)置對(duì)話框3 ）選擇一個(gè)通信聯(lián)系人發(fā)送一個(gè)郵件(這里最好是相互發(fā)送)看看對(duì)方是不是收到了一個(gè)帶證書(shū)的電子郵件注意：這時(shí)只能發(fā)送簽名電子郵件，因?yàn)椴恢缹?duì)方的公鑰無(wú)法加密(why？),可以思考一下。發(fā)送加密帶簽名的電子郵件方法如下：需要知道收信人的公鑰才能加密，因此需要導(dǎo)入收信人的證書(shū)。4）導(dǎo)出收信人證書(shū)以剛才收到的帶簽名的和證書(shū)的油箱導(dǎo)入對(duì)方的證書(shū)A） 添加剛才收到信的發(fā)信人島通信薄。B） 從剛才收到的信中到處證書(shū)。在信的右邊單擊紅色飄帶彈出對(duì)話框，并單擊“詳細(xì)信息”，彈出對(duì)話框，選擇 “簽字人：*” ，并單擊“查看信息” 按鈕（如圖8），彈出屬性頁(yè)，選擇“查看證書(shū)按鈕”，彈出屬性頁(yè)對(duì)話框，選擇“詳細(xì)信息”，及“復(fù)制到文件”按鈕（見(jiàn)圖9）。把證書(shū)復(fù)制到文件圖8圖95） 向通信薄中聯(lián)系人添加證書(shū)。選擇菜單“工具”-“通信薄”，選擇上述接收到的郵件發(fā)件人作為聯(lián)系人，并單擊，選擇證書(shū)屬性頁(yè)，（如圖10），單擊“導(dǎo)入”按鈕，倒入剛才到處的文件。圖106） 發(fā)送帶簽名和加密的電子郵件 選擇菜單 工具-選項(xiàng)彈出對(duì)話框 選擇安全屬性頁(yè)， 復(fù)選“加密帶發(fā)郵件的內(nèi)容和附件” ， “給待發(fā)郵件添加數(shù)字簽名” ，“以明文簽名發(fā)送郵件”（如圖11）向?qū)Ψ桨l(fā)送一個(gè)電子郵件，看看是不會(huì)加密帶簽名的圖11【實(shí)驗(yàn)報(bào)告】1、 提交運(yùn)行測(cè)試結(jié)果2、 提交申請(qǐng)證書(shū)的分析說(shuō)明3、 提交認(rèn)證（簽名）和加密郵件的分析說(shuō)明實(shí)驗(yàn)六： windows安全配置實(shí)驗(yàn)【實(shí)驗(yàn)?zāi)康摹空莆誻indows的安全設(shè)置，加固操作系統(tǒng)安全【實(shí)驗(yàn)內(nèi)容】1、賬戶與密碼的安全設(shè)置 2、文件系統(tǒng)的保護(hù)和加密 3、啟用 安全策略與安全模板 4、審核與日志查看5、利用 MBSA 檢查和配置系統(tǒng)安全【實(shí)驗(yàn)環(huán)境】7、 硬件 PC機(jī)一臺(tái)。 2、系統(tǒng)配置：操作系統(tǒng)windows XP專業(yè)版?！緦?shí)驗(yàn)步驟 】任務(wù)一 賬戶和密碼的安全設(shè)置 1、刪除不再使用的賬戶，禁用 guest 賬戶 檢查和刪除不必要的賬戶 右鍵單擊“開(kāi)始”按鈕，打開(kāi)“資源管理器”，選擇“控制面板”中的“用戶和密碼”項(xiàng)； 在彈出的對(duì)話框中中列出了系統(tǒng)的所有賬戶。確認(rèn)各賬戶是否仍在使用，刪除其中不用的賬戶。 禁用 guest 賬戶 打開(kāi)“控制面板”中的“管理工具”，選中“計(jì)算機(jī)管理”中“本地用戶和組”，打開(kāi)“用戶”，右鍵單擊 guest 賬戶，在彈出的對(duì)話框中選擇“屬性”，在彈出的對(duì)話框中“帳戶已停用”一欄前打勾。 確定后，觀察 guest 前的圖標(biāo)變化，并再次試用 guest 用戶登陸，記錄顯示的信息。 、啟用賬戶策略 設(shè)置密碼策略 打開(kāi)“控制面板”中的“管理工具”，在“本地安全策略”中選擇“賬戶策略”；雙擊“密碼策略”，在右窗口中，雙擊其中每一項(xiàng)，可按照需要改變密碼特性的設(shè)置。根據(jù)選擇的安全策略，嘗試對(duì)用戶的密碼進(jìn)行修改以驗(yàn)證策略是否設(shè)置成功，記錄下密碼策略和觀察到的實(shí)驗(yàn)結(jié)果。 設(shè)置賬戶鎖定策略 打開(kāi)“控制面板”中的“管理工具”，在“本地安全策略”中選擇“賬戶策略”。雙擊“帳戶鎖定策略”。 在右窗口中雙擊“賬戶鎖定閥值”，在彈出的對(duì)話框中設(shè)置賬戶被鎖定之前經(jīng)過(guò)的無(wú)效登陸次數(shù)（如 3 次），以便防范攻擊者利用管理員身份登陸后無(wú)限次的猜測(cè)賬戶的密碼。 在右窗口中雙擊“賬戶鎖定時(shí)間”，在彈出的對(duì)話框中設(shè)置賬戶被鎖定的時(shí)間（如 20 min ）。 重啟計(jì)算機(jī)，進(jìn)行無(wú)效的登陸（如密碼錯(cuò)誤），當(dāng)次數(shù)超過(guò) 3 次時(shí)，記錄系統(tǒng)鎖定該賬戶的時(shí)間，并與先前對(duì)“賬戶鎖定時(shí)間”項(xiàng)的設(shè)置進(jìn)行對(duì)比。 開(kāi)機(jī)時(shí)設(shè)置為“不自動(dòng)顯示上次登陸賬戶” 右鍵單擊“開(kāi)始”按鈕，打開(kāi)“資源管理器”，選中“控制面板”，打開(kāi)“管理工具”選項(xiàng)，雙擊“本地安全策略”項(xiàng)，選擇“本地策略”中的“安全選項(xiàng)”，并在彈出的窗口右側(cè)列表中選擇“登陸屏幕上不要顯示上次登陸的用戶名”選項(xiàng)，啟用該設(shè)置。設(shè)置完畢后，重啟機(jī)器看設(shè)置是否生效。 禁止枚舉賬戶名 右鍵單擊“開(kāi)始”按鈕，打開(kāi)“資源管理器”，選中“控制面板”，打開(kāi)“管理工具”選項(xiàng)，雙擊“本地安全策略”項(xiàng)，選擇“本地策略”中的“安全選項(xiàng)”， 并在彈出的窗口右側(cè)列表中選擇“對(duì)匿名連接的額外限制”項(xiàng)，在“本地策略設(shè)置”中選擇“不允許枚舉 SAM 賬戶和共享”。 此外，在“安全選項(xiàng)”中還有多項(xiàng)增強(qiáng)系統(tǒng)安全的選項(xiàng)，請(qǐng)同學(xué)們自行查看。 任務(wù)二 文件系統(tǒng)安全設(shè)置 打開(kāi)采用 NTFS 格式的磁盤，選擇一個(gè)需要設(shè)置用戶權(quán)限的文件夾。 右鍵單擊該文件夾，選擇“屬性”，在工具欄中選擇“安全”。 將“允許來(lái)自父系的可能繼承權(quán)限無(wú)限傳播給該對(duì)象”之前的勾去掉，以去掉來(lái)自父系文件夾的繼承權(quán)限（如不去掉則無(wú)法刪除可對(duì)父系文件夾操作用戶組的操作權(quán)限）。 選中列表中的 Everyone 組，單擊“刪除”按鈕，刪除 Everyone 組的操作權(quán)限，由于新建的用戶往往都?xì)w屬于 Everyone 組，而 Everyone 組在缺省情況下對(duì)所有系統(tǒng)驅(qū)動(dòng)器都有完全控制權(quán)，刪除 Everyone 組的操作權(quán)限可以對(duì)新建用戶的權(quán)限進(jìn)行限制，原則上只保留允許訪問(wèn)此文件夾的用戶和用戶組。 選擇相應(yīng)的用戶組，在對(duì)應(yīng)的復(fù)選框中打勾，設(shè)置其余用戶組對(duì)該文件夾的操作權(quán)限。 單擊“高級(jí)”按鈕，在彈出的窗口中，查看各用戶組的權(quán)限。 注銷計(jì)算機(jī)，用不同的用戶登陸，查看 剛才設(shè)置“桌面”文件夾的訪問(wèn)權(quán)限，將結(jié)果記錄在實(shí)驗(yàn)報(bào)告中。 任務(wù)三 啟用審核與日志查看 1 啟用審核策略 (1) 打開(kāi)“控制面板”中的“管理工具”，選擇“本地安全策略”。 (2) 打開(kāi)“本地策略”中的“審核策略”，在實(shí)驗(yàn)報(bào)告中記錄當(dāng)前系統(tǒng)的審核策略。 (3) 雙擊每項(xiàng)策略可以選擇是否啟用該項(xiàng)策略，例如“審核賬戶管理”將對(duì)每次建立新用戶、刪除用戶等操作進(jìn)行記錄，“審核登陸事件”將對(duì)每次用戶的登陸進(jìn)行記錄；“審核過(guò)程追蹤”將對(duì)每次啟動(dòng)或者退出的程序或者進(jìn)程進(jìn)行記錄，根據(jù)需要啟用相關(guān)審核策略，審核策略啟用后，審核結(jié)果放在各種事件日志中。 2 查看事件日志 (1) 打開(kāi)“控制面板”中的“管理工具”，雙擊“事件查看器“，在彈出的窗口中查看系統(tǒng)的 3 種日志。 (2) 雙擊“安全日志”，可查看有效無(wú)效、登陸嘗試等安全事件的具體記錄，例如：查看用戶登陸 / 注銷的日志。 任務(wù)四 啟用安全策略與安全模塊 1、啟用安全模板 開(kāi)始前，請(qǐng)記錄當(dāng)前系統(tǒng)的賬戶策略和審核日志狀態(tài)，以便于同實(shí)驗(yàn)后的設(shè)置進(jìn)行比較。 單擊“開(kāi)始”按鈕，選擇“運(yùn)行”按鈕，在對(duì)話框中運(yùn)行 mmc ，打開(kāi)系統(tǒng)控制臺(tái) 單擊工具欄上“控制臺(tái)”，在彈出的菜單中選擇“添加 / 刪除管理單元”，單擊“添加”，在彈出的窗口中分別選擇“安全模板”、“安全設(shè)置和分析”，單擊“添加”按鈕后，關(guān)閉窗口，并單擊“確定”按鈕。 此時(shí)系統(tǒng)控制臺(tái)中根節(jié)點(diǎn)下添加了“安全模板”、“安全設(shè)置分析”兩個(gè)文件夾，打開(kāi)“安全模板”文件夾，可以看到系統(tǒng)中存在的安全模板。右鍵單擊模板名稱，選擇“設(shè)置描述”，可以看到該模板的相關(guān)信息。選擇“打開(kāi)”，右側(cè)窗口出現(xiàn)該模板的安全策略，雙擊每種安全策略可看到其相關(guān)配置。 右鍵單擊“安全設(shè)置與分析”，選擇“打開(kāi)數(shù)據(jù)庫(kù)”。在彈出的對(duì)話框中輸入預(yù)建安全數(shù)據(jù)庫(kù)的名稱，例如起名為 mycomputer.sdb ，單擊“打開(kāi)”按鈕，在彈出的窗口中，根據(jù)計(jì)算機(jī)準(zhǔn)備配置成的安全級(jí)別，選擇一個(gè)安全模板將其導(dǎo)入。 右鍵單擊“安全設(shè)置與分析”，選擇“立即分析計(jì)算機(jī)”，單擊“確定”按鈕，系統(tǒng)開(kāi)始按照上一步中選定的安全模板，對(duì)當(dāng)前系統(tǒng)的安全設(shè)置是否符合要求進(jìn)行分析。將分析結(jié)果記錄在實(shí)驗(yàn)報(bào)告中。 右鍵單擊“安全設(shè)置與分析”，選擇“立即配置計(jì)算機(jī)”，則按照第（ 4 ）步中所選的安全模板的要求對(duì)當(dāng)前系統(tǒng)進(jìn)行配置。 在實(shí)驗(yàn)報(bào)告中記錄實(shí)驗(yàn)前系統(tǒng)的缺省配置，接著記錄啟用安全模板后系統(tǒng)的安全設(shè)置，記錄下比較和分析的結(jié)果。 2 建安全模板 單擊“開(kāi)始”按鈕，選擇“運(yùn)行”按鈕，在對(duì)話框中運(yùn)行 mmc ，打開(kāi)系統(tǒng)控制臺(tái)。 單擊工具欄上“控制臺(tái)”，在彈出的菜單中選擇“添加 / 刪除管理單元”，單擊“添加”，在彈出的窗口中分別選擇“安全模板”、“安全設(shè)置和分析”，單擊“添加”按鈕后，關(guān)閉窗口，并單擊“確定”按鈕。 此時(shí)系統(tǒng)控制臺(tái)中根節(jié)點(diǎn)下添加了“安全模板”、“安全設(shè)置分析”兩個(gè)文件夾，打開(kāi)“安全模板”文件夾，可以看到系統(tǒng)中存在的安全模板。右鍵單擊模板名稱，選擇“設(shè)置描述”，可以看到該模板的相關(guān)信息。選擇“打開(kāi)”，右側(cè)窗口出現(xiàn)該模板的安全策略，雙擊每中安全策略可看到其相關(guān)配置。 右鍵單擊“安全設(shè)置與分析”，選擇“打開(kāi)數(shù)據(jù)庫(kù)”。在彈出的對(duì)話框中輸入預(yù)建安全數(shù)據(jù)庫(kù)的名稱，例如起名為 mycomputer.sdb ，單擊“打開(kāi)”按鈕，在彈出的窗口中，根據(jù)計(jì)算機(jī)準(zhǔn)備配置成的安全級(jí)別，選擇一個(gè)安全模板將其導(dǎo)入。 展開(kāi)“安全模板”，右鍵單擊模板所在路經(jīng) , 選擇“新加模板”，在彈出的對(duì)話框中添如預(yù)加入的模板名稱 mytem ，在“安全模板描述“中填入“自設(shè)模板”。查看新加模板是否出現(xiàn)在模板列表中。 雙擊 mytem ，在現(xiàn)實(shí)的安全策略列表中雙擊“賬戶策略”下的“密碼策略”，可發(fā)現(xiàn)其中任一項(xiàng)均顯示“沒(méi)有定義”，雙擊預(yù)設(shè)置的安全策略（如“密碼長(zhǎng)度最小值”），彈出窗口。 在“