計(jì)算機(jī)網(wǎng)絡(luò)信息安全第21章

第21章實(shí)驗(yàn)指導(dǎo)

21.1操作系統(tǒng)弱口令檢測(cè)軟件的安裝和使用21.2網(wǎng)絡(luò)漏洞掃描軟件Nessus的安裝和使用21.3OpenSSH的安裝及使用21.4郵件加密軟件PGP的安裝和使用21.5Apache效勞器和SSL軟件的安裝和使用21.6Linux防火墻軟件Iptables的安裝和使用21.7網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)snort的安裝和使用21.8常見(jiàn)木馬的檢測(cè)、去除方法和工具的使用21.9Windump軟件的安裝和使用21.10Windows2000系統(tǒng)平安增強(qiáng)21.11Windows下VPN環(huán)境的搭建21.1操作系統(tǒng)弱口令檢測(cè)軟件的安裝和使用21.1.1實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)本實(shí)驗(yàn)，讀者可以掌握以下技能：l

學(xué)會(huì)在Windows環(huán)境下安裝LophtCrack；

l學(xué)會(huì)在Windows環(huán)境下使用LophtCrack。

21.1.2設(shè)備需求本實(shí)驗(yàn)需要以下設(shè)備：*PC機(jī)兩臺(tái)，其中一臺(tái)安裝Windows2000操作系統(tǒng)，另外一臺(tái)安裝Windows2000操作系統(tǒng)或UNIX/Linux系統(tǒng)均可。*Hub一臺(tái)，雙絞線兩根。

21.1.3實(shí)驗(yàn)環(huán)境及配置說(shuō)明本實(shí)驗(yàn)采用的兩臺(tái)PC機(jī)通過(guò)Hub相互連接，設(shè)備連接如圖21-1所示。

圖21-1操作系統(tǒng)弱口令檢測(cè)實(shí)驗(yàn)設(shè)備連接圖

實(shí)驗(yàn)中分配的IP地址：PC1為，PC2為，子網(wǎng)掩碼均為。在PC1上安裝Windows2000操作系統(tǒng)，在PC2上安裝Windows2000操作系統(tǒng)或UNIX/Linux系統(tǒng)均可。配置完成后，兩臺(tái)PC機(jī)應(yīng)能通過(guò)Hub互相訪問(wèn)。

21.1.4實(shí)驗(yàn)內(nèi)容1．在PC1上安裝LophtCrack(1)從://atstake/下載最新版的LophtCrack。目前最新版本為L(zhǎng)C5。(2)雙擊安裝程序lc5setup，安裝LophtCrack，根據(jù)提示完成安裝。2．使用LC5檢測(cè)弱口令LC5能檢測(cè)Windows和UNIX/Linux系統(tǒng)用戶的口令，并可以根據(jù)需要，要求用戶修改密碼。具體使用方法如下：(1)翻開(kāi)LC5，此時(shí)該軟件會(huì)彈出一個(gè)向?qū)Э?，如圖21-2所示。讀者可跟隨該向?qū)瓿稍O(shè)置。圖21-2LC5的向?qū)Э?/p>

(2)點(diǎn)擊“下一步〞按鈕，將出現(xiàn)如圖21-3所示的對(duì)話框。在這個(gè)框中，讀者可以選擇用于檢測(cè)的加密密碼的來(lái)源。一共有四種來(lái)源，分別是：*本機(jī)注冊(cè)表，需要系統(tǒng)管理員權(quán)限；*同一個(gè)域內(nèi)的計(jì)算機(jī)，需要系統(tǒng)管理員權(quán)限；*NT系統(tǒng)中的sam文件；*監(jiān)聽(tīng)本地網(wǎng)絡(luò)中傳輸?shù)拿艽aHash表。本實(shí)驗(yàn)我們選取第二種來(lái)源。圖21-3選擇用于檢測(cè)的加密密碼的來(lái)源

(3)點(diǎn)擊“下一步〞按鈕，將出現(xiàn)如圖21-4所示的對(duì)話框。該框列出的是檢測(cè)密碼的方法。一共有四種方法，分別是：*快速檢測(cè)：將LC5自帶的字典中的29000個(gè)單詞與被審計(jì)的密碼匹配。采用這種方法只需數(shù)分鐘就能完成檢測(cè)。*普通檢測(cè)：除了能檢測(cè)上述密碼外，還可以檢測(cè)一些在單詞根底上進(jìn)行了簡(jiǎn)單修改的密碼。*強(qiáng)密碼檢測(cè)：采用暴力破解的方式來(lái)檢測(cè)密碼，通常檢測(cè)時(shí)間超過(guò)一天。*定制檢測(cè)：可以根據(jù)需要靈活地進(jìn)行配置，例如改變字典、改變混合模式的參數(shù)以及選擇用于暴力破解的字符集。一般來(lái)說(shuō)，檢測(cè)越嚴(yán)格，所花的時(shí)間就越長(zhǎng)。

圖21-4選擇檢測(cè)密碼的方法

本實(shí)驗(yàn)我們選取第一種方法。(4)點(diǎn)擊“下一步〞按鈕，將出現(xiàn)如圖21-5所示的對(duì)話框。在該對(duì)話框中選擇的顯示方法，按系統(tǒng)默認(rèn)的值即可。圖21-5選擇顯示方法

(5)點(diǎn)擊“下一步〞按鈕，將出現(xiàn)如圖21-6所示的對(duì)話框。該框?qū)⑶懊孢x擇的內(nèi)容顯示出來(lái)，讀者點(diǎn)擊“完成〞即開(kāi)始檢測(cè)。圖21-6完成界面

圖21-7所示為檢測(cè)結(jié)果。

圖21-7檢測(cè)結(jié)果

從圖21-7中可以看出，有些用戶的弱口令被檢測(cè)出來(lái)了。此時(shí)，可以選擇菜單中的“Remidiate〞下的“DisableAccounts〞，禁止該帳號(hào)；或選擇“ForcePasswordChange〞，強(qiáng)迫該用戶在下次登錄時(shí)修改密碼，如圖21-8所示。圖21-8修改密碼

21.2網(wǎng)絡(luò)漏洞掃描軟件Nessus的安裝和使用

21.2.1實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)本實(shí)驗(yàn)，讀者可以掌握以下技能：*學(xué)會(huì)在Linux環(huán)境中安裝及配置Nessus；*在Windows環(huán)境下使用Nessus客戶端。

21.2.2設(shè)備需求本實(shí)驗(yàn)需要以下設(shè)備：*PC機(jī)三臺(tái)，應(yīng)帶有網(wǎng)卡，并分別安裝Windows2000和LinuxReahat9.0操作系統(tǒng)；*Hub一臺(tái)，雙絞線三根。

21.2.3實(shí)驗(yàn)環(huán)境及配置說(shuō)明本實(shí)驗(yàn)采用的三臺(tái)PC機(jī)通過(guò)Hub相互連接，設(shè)備連接如圖21-9所示。

圖21-9網(wǎng)絡(luò)漏洞掃描軟件Nessus實(shí)驗(yàn)設(shè)備連接圖

實(shí)驗(yàn)中分配的IP地址：PC1為，PC2為，PC3為，子網(wǎng)掩碼均為。在PC1上安裝Linux9.0操作系統(tǒng)，在PC2上安裝Windows2000操作系統(tǒng)，PC3上安裝Windows2000操作系統(tǒng)或UNIX/Linux系統(tǒng)均可。配置完成后，三臺(tái)PC機(jī)應(yīng)能通過(guò)Hub互相訪問(wèn)。

21.2.4實(shí)驗(yàn)內(nèi)容1．在PC1上安裝、配置Nessus1)安裝NessusNessus有兩種安裝方式：(1)安裝install版本。從:///download/下載nessus2.2.4installer(allunixsystem)或更高版本，保存到硬盤，運(yùn)行以下命令：#lynx-source://|sh即可完成安裝。(2)安裝sourcecode版本。該安裝需要下載四個(gè)文件：*nessus-libraries-x.x.tar.gz；*libnasl-x.x.tar.gz；*nessus-core.x.x.tar.gz；*nessus-plugins.x.x.tar.gz。從:///download/下載nessus2.2.4sourcecode(allunixsystem)或更高版本，保存到硬盤，運(yùn)行以下命令：(1)安裝nessus-libraries：#tar-zxvfnessus-libraries-x.x.tar.gz(x為版本號(hào))#cdnessus-libraries#./configure#make#makeinstall(2)安裝libnasl#tar-zxvflibnasl-x.x.tar.gz(x為版本號(hào))#cdlibnasl#./configure#make切換到root權(quán)限，運(yùn)行：#makeinstall(3)安裝nessus-core：#tar-zxvfnessus-core.x.x.tar.gz(x為版本號(hào))#cdnessus-core#./configure#make切換到root權(quán)限，運(yùn)行：#makeinstall(4)安裝nessus-plugins：#tar-zxvfnessus-plugins.x.x.tar.gz(x為版本號(hào))#cdnessus-plugins#./configure#make切換到root權(quán)限，運(yùn)行：#makeinstall完成安裝后，請(qǐng)確認(rèn)/usr/local/lib在/下，并運(yùn)行l(wèi)dconfig。至此，Nessus效勞器端安裝完成。2)添加Nessusd帳號(hào)Nessusd效勞器擁有自己的用戶數(shù)據(jù)庫(kù)，每個(gè)用戶都有一組限制。這樣可以使多個(gè)用戶共用一個(gè)Nessusd，并只檢測(cè)屬于他們的網(wǎng)絡(luò)。使用nessus-adduser命令添加一個(gè)新帳號(hào)，使用過(guò)程如下：#nessus-adduserAdditionofanewnessusduser

Login:renaudAuthentication(pass/cert)[pass]:passPassword:secretUserrules

nessusdhasarulessystemwhichallowsyoutorestrictthehoststhatrenaud2hastherighttotest.Forinstance，youmaywanthimtobeabletoscanhisownhostonly.Pleaseseethenessus-adduser(8)manpagefortherulessyntaxEntertherulesforthisuser，andhitctrl-Donceyouaredone:(theusercanhaveanemptyrulesset)defaultdenyLogin:renaudPassword:secretDN :Rules:denydefaultdenyIsthatok(y/n)?[y]yuseradded.3)配置Nessus后臺(tái)程序該配置文件為/usr/local/etc/nessus/nessusd.conf。一般情況下不需要對(duì)該文件進(jìn)行修改。4)啟動(dòng)nessusd運(yùn)行以下命令，啟動(dòng)nessusd：#nessusd-D2．在PC2上安裝、設(shè)置Nessus客戶端1)安裝Nessus客戶端從:///download/下載NessusWX或更高版本，保存到硬盤。將該壓縮文件解壓即可安裝。2)運(yùn)行NessusWX運(yùn)行后NessusWX界面如圖21-10所示。圖21-10NessusWX界面圖

3)配置NessusWX(1)連接效勞器，如圖21-11所示。點(diǎn)擊“Connect〞按鈕，與效勞器建立連接。圖21-11連接效勞器(2)配置端口掃描。*允許“Ping〞的設(shè)置如圖21-12所示。*配置掃描時(shí)間，如圖21-13所示。圖21-12設(shè)置允許“Ping〞圖21-13配置掃描時(shí)間

(3)配置插件，如圖21-14所示。

圖21-14配置插件

讀者可根據(jù)掃描對(duì)象有針對(duì)性地選擇插件。同時(shí)，讀者還可以選擇“平安檢查〞，如圖21-15所示。平安檢查會(huì)去掉那些與平安檢查兼容的插件中危險(xiǎn)的局部，而只利用例如查看banner中的版本這樣的被動(dòng)方式來(lái)對(duì)目標(biāo)進(jìn)行檢查。由于被檢查的系統(tǒng)或者效勞可能打上了補(bǔ)丁或者采取了臨時(shí)解決方案，因此平安檢查的準(zhǔn)確性比實(shí)際對(duì)漏洞進(jìn)行判斷的方式的準(zhǔn)確性要低，可能會(huì)漏報(bào)或者誤報(bào)。但是這樣的檢查不會(huì)造成系統(tǒng)的崩潰。圖21-15選擇“平安檢查〞(4)配置掃描對(duì)象，如圖21-16所示。讀者可以點(diǎn)擊“Import〞，從文件中導(dǎo)入IP地址；也可以點(diǎn)擊“Add〞，參加需要掃描的對(duì)象。對(duì)象可以是單個(gè)IP，也可以是一個(gè)子網(wǎng)或者一個(gè)網(wǎng)段。圖21-16配置掃描對(duì)象

(5)開(kāi)始掃描，如圖21-17所示。

圖21-17開(kāi)始掃描

21.3OpenSSH的安裝及使用

21.3.1實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)本實(shí)驗(yàn)，讀者可以掌握以下技能：*學(xué)會(huì)在Linux環(huán)境中安裝及配置OpenSSH；*學(xué)會(huì)在Windows環(huán)境下使用OpenSSH客戶端工具putty；*學(xué)習(xí)使用Puttygen創(chuàng)立密鑰對(duì)；*學(xué)習(xí)使用Putty訪問(wèn)OpenSSH效勞器。21.3.2設(shè)備需求本實(shí)驗(yàn)需要以下設(shè)備：*PC機(jī)兩臺(tái)，應(yīng)帶網(wǎng)卡，分別安裝Windows2000和LinuxReahat9.0操作系統(tǒng)；*Hub一臺(tái)、雙絞線兩根。

21.3.3實(shí)驗(yàn)環(huán)境及配置說(shuō)明本實(shí)驗(yàn)采用的兩臺(tái)PC機(jī)通過(guò)Hub相互連接，設(shè)備連接如圖21-18所示。

圖21-18OpenSSH實(shí)驗(yàn)設(shè)備連接圖

實(shí)驗(yàn)中分配的IP地址：PC1為00，PC2為2，子網(wǎng)掩碼均為。在PC1上安裝Linux9.0操作系統(tǒng)，在PC2上安裝Windows2000操作系統(tǒng)。配置完成后，兩臺(tái)PC機(jī)應(yīng)能通過(guò)Hub互相訪問(wèn)。

21.3.4實(shí)驗(yàn)內(nèi)容1．在PC1上安裝、配置OpenSSH1)安裝OpenSSH(1)確認(rèn)主機(jī)是否安裝Zlib庫(kù)。命令如下：rpm-qizlib如果出現(xiàn)zlib的介紹，說(shuō)明已安裝了zlib，否那么需要安裝zlib。安裝方法為：從:///zlib/下載或更高版本，保存到硬盤，運(yùn)行以下命令：#tar-zxvfzlib-*.tar.gz(*為版本號(hào))#cdzlib-*#./configure#make#makeinstall(2)安裝OpenSSL。方法為：從:///下載Openssl或更高版本，保存到硬盤，運(yùn)行以下命令：#tar-zxvfopenssl-*.tar.gz(*為版本號(hào))#cdopenssl-*#./config#makeclean#make#makeinstall(3)從OpenSSH網(wǎng)站(://openssh/)下載OpenSSH的Linuxp1。運(yùn)行以下命令：#tar-zxvfopenssh-*.tar.gz(*為版本號(hào))#cdopenssh-*#./configure--with-ssl-dir=/usr/local/ssl#make#makeinstall安裝結(jié)束后，默認(rèn)的ssh效勞器端程序是/usr/local/sbin/sshd，默認(rèn)的ssh客戶端程序是/usr/local/bin/ssh，默認(rèn)的ssh配置文件路徑為/usr/local/etc/。(4)添加帳號(hào)sshd(該帳號(hào)為客戶端訪問(wèn)本機(jī)時(shí)所用帳號(hào))：#useraddsshd#passwdsshd

(5)關(guān)閉運(yùn)行的sshd效勞，命令如下：#killallsshd(6)覆蓋系統(tǒng)自帶的SSH，命令如下：#cp/usr/local/sbin/sshd/usr/sbin/sshd#cp/usr/local/bin/ssh/usr/bin/ssh#cp/usr/local/etc/*/etc/ssh/(7)安裝結(jié)束，此時(shí)運(yùn)行ssh-V，應(yīng)顯示：#OpenSSH_*，OpenSSL*25Oct2004(*為版本號(hào))2)配置OpenSSH翻開(kāi)/etc/ssh/下的sshd_conf文件，命令如下：#vi/etc/ssh/sshd_conf將PasswordAuthenticationyes改為PasswordAuthenticationno。至此，效勞器端OpenSSH安裝、配置完成。2．在PC2上使用puttygen生成密鑰對(duì)(1)從://.uk/~sgtatham/putty/下載puttygen.exe，保存到硬盤。(2)運(yùn)行puttygen.exe，如圖21-19所示。(3)單擊“Generate〞按鈕并不斷移動(dòng)鼠標(biāo)，以便為密鑰對(duì)的生成提供隨機(jī)數(shù)種子，如圖21-20所示。(4)密鑰生成如圖21-21所示。圖21-19運(yùn)行puttygen.exe圖21-20生成密鑰對(duì)

圖21-21密鑰生成圖

添加“Keypassphrase〞和“Confirmpassphrase〞，用以保護(hù)密鑰。(5)單擊“Savepublickey〞按鈕，將公鑰保存到用戶指定的目錄下。(6)將該文件上傳到效勞器的/home/sshd/.ssh/目錄下，并改名為authorized_key。(7)單擊“Saveprivatekey〞按鈕，將私鑰保存到用戶指定的目錄下。至此，完成了使用puttygen生成密鑰對(duì)的過(guò)程。3．在PC2上使用putty訪問(wèn)效勞器PC1(1)從://.uk/~sgtatham/putty/下載putty.exe，保存到硬盤。(2)運(yùn)行putty.exe，如圖21-22所示。圖21-22運(yùn)行putty.exe(3)設(shè)置主機(jī)IP地址、端口號(hào)(默認(rèn)為22)和協(xié)議(使用SSH)。(4)在左邊的Category欄目選擇Connection項(xiàng)，然后在右邊的Auto-loginusename欄目中輸入登錄SSH效勞器時(shí)的用戶名sshd，如圖21-23所示。圖21-23輸入登錄SSH效勞器的用戶名(5)在Category欄目中選擇Connection欄目下的子欄目SSH，將Protocoloptions欄中的PreferredSSHprotocolversion選擇為2，如圖21-24所示。

圖21-24選擇SSH協(xié)議版本

(6)在Category欄目中選擇Auth，在Privatekeyfileforauthentication中選擇保存在本地的私鑰文件，如圖21-25所示。

圖21-25填入私鑰文件路徑

(7)此時(shí)，采用putty的SSH方式登錄的參數(shù)配置完畢。單擊“Open〞按鈕，連接效勞器PC1，如圖21-26所示。圖21-26連接狀態(tài)圖

(8)輸入先前添加的Keypassphrase，登錄成功，如圖21-27所示。

圖21-27登錄成功

21.4郵件加密軟件PGP的安裝和使用

21.4.1實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)本實(shí)驗(yàn)，讀者可以掌握以下技能：*學(xué)會(huì)在Windows環(huán)境下安裝PGP8.1；*學(xué)會(huì)使用PGP創(chuàng)立密鑰對(duì)；*學(xué)會(huì)使用PGP輸出和簽名公共密鑰；*學(xué)會(huì)使用PGP和OutlookExpress發(fā)送并接收加密的電子郵件。21.4.2設(shè)備需求本實(shí)驗(yàn)需要以下設(shè)備：*PC機(jī)兩臺(tái)，應(yīng)帶網(wǎng)卡，需安裝Windows2000和OutlookExpress軟件；*郵件效勞器一臺(tái)，應(yīng)帶網(wǎng)卡，需安裝郵件效勞器軟件；*Hub一臺(tái)、雙絞線三根。21.4.3實(shí)驗(yàn)環(huán)境及配置說(shuō)明本實(shí)驗(yàn)采用的兩臺(tái)PC機(jī)通過(guò)Hub相互連接，并通過(guò)Hub與郵件效勞器相連，設(shè)備連接如圖21-28所示。實(shí)驗(yàn)中分配的IP地址：郵件效勞器為，PC1為00，PC2為01，子網(wǎng)掩碼均為。配置完成后，兩臺(tái)PC機(jī)應(yīng)能通過(guò)郵件效勞器互發(fā)郵件。圖21-28PGP實(shí)驗(yàn)設(shè)備連接圖

21.4.4實(shí)驗(yàn)內(nèi)容1．在兩臺(tái)PC機(jī)上安裝PGP8.1這一步將分別在兩臺(tái)機(jī)器上安裝PGP8.1。(1)從國(guó)際PGP網(wǎng)站(pgpi)下載PGP的壓縮包，保存到硬盤。目前的最新版本為8.1。(2)解壓縮下載的文件，會(huì)釋放出兩個(gè)文件，一個(gè)叫pgp.exe，另一個(gè)是pgp.exe.sig。前者是PGP的安裝文件，后者是這個(gè)安裝文件的數(shù)字簽名，用來(lái)檢驗(yàn)安裝文件是否被非法修改。雙擊pgp.exe，安裝PGP。(3)在Welcome屏幕中單擊“下一步〞。(4)單擊“Yes〞，接受軟件許可協(xié)議。(5)閱讀ReadMe文件，然后單擊“下一步〞。(6)出現(xiàn)一個(gè)窗體，讓用戶選擇是否已經(jīng)有了Keyring，這時(shí)選擇“No，I'manewuser〞。(7)設(shè)定安裝位置，然后單擊“下一步〞。(8)確認(rèn)為OutlookExpress選擇了插件程序，然后單擊“下一步〞。(9)在StartCopyingFiles局部檢查一下設(shè)置并單擊“下一步〞，PGP將開(kāi)始安裝。(10)安裝結(jié)束后，系統(tǒng)將提示重啟，選擇“OK〞，系統(tǒng)重新啟動(dòng)。(11)重新啟動(dòng)后，會(huì)彈出一個(gè)PGPLicenseAuthorization的對(duì)話框。如果讀者有PGP的許可證號(hào)，就可以注冊(cè)并認(rèn)證。也可以選擇“Later〞，以后再注冊(cè)。(12)注冊(cè)結(jié)束后，會(huì)彈出一個(gè)KeyGenerationWizard對(duì)話框(如圖21-29所示)，用戶可通過(guò)該對(duì)話框創(chuàng)立密鑰對(duì)。圖21-29KeyGenerationWizard對(duì)話框

2．使用PGP創(chuàng)建密鑰對(duì)這一步將使用密鑰生成向?qū)擅荑€對(duì)。(1)通過(guò)上面提到的KeyGenerationWizard對(duì)話框創(chuàng)建密鑰對(duì)。該對(duì)話框有兩種打開(kāi)方式：一種是選擇“開(kāi)始”→“程序”→“PGP”→“PGPkeys”；另一種是用右鍵點(diǎn)擊系統(tǒng)托盤區(qū)的“”圖標(biāo)，選擇PGPkeys。(2)點(diǎn)擊KeyGenerationWizard對(duì)話框中的“下一步”，輸入用戶名和郵件地址，如圖21-30所示。讀者根據(jù)需要還可以點(diǎn)擊KeyGenerationWizard對(duì)話框中的“Expert”，選擇加密方式、加密強(qiáng)度以及密鑰過(guò)期時(shí)間等。

圖21-30選擇參數(shù)

(3)點(diǎn)擊圖21-30中的“下一步〞，將出現(xiàn)如圖21-31所示的對(duì)話框。在Passphrase欄內(nèi)可輸入一個(gè)最少8個(gè)字符，且不包括字母、數(shù)字混合字符和特殊字符的密碼短語(yǔ)，確認(rèn)后單擊“下一步〞。(4)PGP開(kāi)始生成一個(gè)新的密鑰對(duì)。當(dāng)密鑰對(duì)產(chǎn)生完畢后，會(huì)出現(xiàn)一個(gè)完成的界面，點(diǎn)擊“完成〞，結(jié)束密鑰對(duì)的創(chuàng)立過(guò)程，如圖21-32所示。圖21-31輸入字符

圖21-32密鑰對(duì)的生成

(5)用戶可以在PGPkeys中查看到剛生成的公共密鑰，如圖21-33所示。

圖21-33密鑰查看

3．使用PGP輸出和簽名公共密鑰這一步將在兩臺(tái)PC機(jī)之間通過(guò)OutlookExpress交換公共密鑰，并在二者之間建立完全信任關(guān)系。1)輸出公鑰(1)用上面提到的方法翻開(kāi)PGPkeys。2)用右鍵單擊剛剛創(chuàng)立的密鑰，并選擇Export選項(xiàng)，如圖21-34所示。圖21-34公鑰輸出

(3)此時(shí)出現(xiàn)一個(gè)“ExportKeytoFile〞對(duì)話框。選擇保存的目錄以及文件名，然后單擊“Save〞。在選擇的目錄中將出現(xiàn)一個(gè)以.asc為擴(kuò)展名的文件，如圖21-35所示。注意，不要保存私鑰。(4)翻開(kāi)OutlookExpress，將該文件作為附件發(fā)給對(duì)方。圖21-35選擇保存路徑及文件名

2)添加公鑰(1)收到對(duì)方的.asc文件后，將其保存到桌面。(2)通過(guò)PGPkeys將該公鑰文件添加到密鑰環(huán)中。(3)選擇“Keys〞菜單中的“Import〞(如圖21-36所示)，將出現(xiàn)一個(gè)“SelectFileContainingKey〞對(duì)話框。選擇保存在桌面上的對(duì)方的公鑰文件，并單擊“翻開(kāi)〞，如圖21-37所示。圖21-36翻開(kāi)對(duì)方公鑰圖21-37選擇公鑰文件

(4)此時(shí)將出現(xiàn)一個(gè)“Selectkey(s)〞對(duì)話框。選中剛剛添加的密鑰，并選擇“Import〞，那么對(duì)方的密鑰出現(xiàn)在密鑰環(huán)中，但是沒(méi)有被簽名，所以不被信任。(5)用右鍵單擊該密鑰，并選擇“Sign〞選項(xiàng)。(6)此時(shí)將出現(xiàn)“PGPSignKey〞對(duì)話框。選中該密鑰并選擇“Allowsignaturetobeexported〞復(fù)選框，然后單擊“OK〞，如圖21-38所示。(7)此時(shí)系統(tǒng)提示要求輸入密碼短語(yǔ)。同樣，該密碼短語(yǔ)不能包括字母、數(shù)字混合字符和特殊字符。輸入完后單擊“OK〞，那么在PGPkeys中該密鑰旁邊出現(xiàn)一個(gè)綠色的圖標(biāo)，表示它已經(jīng)被簽名。圖21-38公鑰導(dǎo)入

(8)用右鍵單擊該密鑰，并選擇“KeyProperties〞選項(xiàng)。在出現(xiàn)的對(duì)話框底部，從“Untrusted〞滑動(dòng)到“Trusted〞，然后單擊“關(guān)閉〞，如圖21-39所示。此時(shí)該密鑰被信任，可以用來(lái)平安地交換信息了。圖21-39公鑰添加完成

4．使用PGP和OutlookExpress發(fā)送加密的電子郵件1)發(fā)送加密的電子郵件(1)通過(guò)OutlookExpress編寫郵件內(nèi)容。注意：如果發(fā)送包含敏感信息的郵件，那么標(biāo)題欄必須為空白或標(biāo)題內(nèi)容不能包含泄露正文內(nèi)容的信息。(2)當(dāng)完成郵件正文的編寫后，點(diǎn)擊圖標(biāo)加密郵件正文，然后點(diǎn)擊對(duì)內(nèi)容進(jìn)行簽名，如圖21-40所示。注意：不要與OutlookExpress自帶的加密、簽名圖標(biāo)弄混了。(3)點(diǎn)擊“發(fā)送〞，發(fā)送郵件。此時(shí)出現(xiàn)一個(gè)“PGPEnterPassphraseforSelectedKey〞對(duì)話框。讀者輸入在添加公鑰的(7)中輸入的密碼，單擊“OK〞，郵件開(kāi)始加密并發(fā)送。圖21-40郵件加密示意圖

2)接收加密的電子郵件(1)通過(guò)OutlookExpress接收對(duì)方發(fā)送的郵件。郵件內(nèi)容為加密后的內(nèi)容。(2)點(diǎn)擊，對(duì)郵件進(jìn)行解密和校驗(yàn)。此時(shí)會(huì)出現(xiàn)“PGPEnterPassphraseforaListedKey”窗口，要求讀者輸入密碼，如圖21-41所示。

圖21-41密碼輸入框

(3)讀者輸入使用PGP創(chuàng)立密鑰對(duì)的(3)中輸入的密碼，點(diǎn)擊“OK〞。此時(shí)郵件內(nèi)容被解密。讀者可以看到解密后的郵件內(nèi)容，如圖21-42所示。圖21-42郵件解密示意圖

21.5Apache效勞器和SSL軟件的安裝和使用21.5.1實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)本實(shí)驗(yàn)，讀者可以掌握以下技能：*學(xué)會(huì)在Linux環(huán)境下安裝Apache以及Openssl；*學(xué)會(huì)在Linux環(huán)境下將Apache與Openssl集成，構(gòu)件平安的Apache。21.5.2設(shè)備需求本實(shí)驗(yàn)需要以下設(shè)備：*PC機(jī)兩臺(tái)，應(yīng)帶網(wǎng)卡，分別安裝Windows2000和LinuxReahat9.0操作系統(tǒng)；*播送式Hub一臺(tái)，雙絞線兩根。21.5.3實(shí)驗(yàn)環(huán)境及配置說(shuō)明本實(shí)驗(yàn)采用的兩臺(tái)PC機(jī)通過(guò)Hub相互連接，設(shè)備連接如圖21-43所示。

圖21-43Apache實(shí)驗(yàn)設(shè)備連接圖

21.5.4實(shí)驗(yàn)內(nèi)容1．下載實(shí)驗(yàn)軟件到PC2(1)從下載apache_1.3.x.tar.gz，保存到硬盤。(2)從/source/下載mod_ssl-2.8.x-1.3.x.tar.gz，保存到硬盤。(3)從/source/下載openssl-0.9.x.tar.gz，保存到硬盤。

2．展開(kāi)這些軟件包#tar-zxvfapache_1.3.x.tar.gz#tar-zxvfmod_ssl-2.8.x-1.3.x.tar.gz#tar-zxvfopenssl-0.9.x.tar.gz3．編譯openssl#cdopenssl-0.9.x#./config-prefix=/usr/local/ssl-L'pwd'/../rsaref-2.0/local/rsaref-fPIC#make#maketest#makeinstall#cd..4．配置MOD_SSL模塊#cdmod_ssl-2.8.x-1.3.x#./configure--with-apache=../apache_1.3.x\#cd..5．安裝Apache#cdapache_1.3.x#SSL_BASE=../openssl-0.9.x#./configure--enable-module=ssl--prefix=/usr/local/apache--enable-shared=ssl#make#makecertificateTYPE=custom(生成證書)#make

install

6．啟動(dòng)Apache運(yùn)行以下命令，啟動(dòng)Apache：#/usr/local/apache/bin/apachectlstartssl7．在PC1上訪問(wèn)PC2的Web效勞(1)啟動(dòng)瀏覽器，在URL欄輸入s://4，將出現(xiàn)如圖21-44所示的界面。(2)點(diǎn)擊“確定〞，將出現(xiàn)如圖21-45所示的界面。(3)點(diǎn)擊“是〞，將出現(xiàn)Apache歡送頁(yè)面(如圖21-46所示)，說(shuō)明安裝成功，此時(shí)PC1與PC2之間的HTTP協(xié)議傳輸數(shù)據(jù)已被加密。圖21-44平安警報(bào)提示圖1圖21-45平安警報(bào)提示圖2圖21-46Apache歡送頁(yè)面21.6Linux防火墻軟件Iptables的安裝和使用

21.6.1實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)本實(shí)驗(yàn)，讀者可以掌握以下技能：*學(xué)會(huì)在Linux環(huán)境中安裝Iptables；*學(xué)習(xí)在Iptables中添加規(guī)那么，配置個(gè)人防火墻。21.6.2設(shè)備需求本實(shí)驗(yàn)需要以下設(shè)備：*PC機(jī)兩臺(tái)，應(yīng)帶網(wǎng)卡，安裝Windows2000操作系統(tǒng)；*PC機(jī)一臺(tái)，應(yīng)帶雙網(wǎng)卡，安裝LinuxReahat9.0操作系統(tǒng)；*Hub兩臺(tái)，雙絞線四根。

21.6.3實(shí)驗(yàn)環(huán)境及配置說(shuō)明本實(shí)驗(yàn)采用的三臺(tái)PC機(jī)通過(guò)Hub相互連接，設(shè)備連接如圖21-47所示。

圖21-47Linux防火墻實(shí)驗(yàn)設(shè)備連接圖

實(shí)驗(yàn)中分配的IP地址：PC1為00；PC2上有兩個(gè)網(wǎng)卡，網(wǎng)卡1的IP地址為，網(wǎng)卡2的地址為；PC3為00。子網(wǎng)掩碼均為。PC1上安裝Windows2000操作系統(tǒng)，PC2上安裝Linux9.0操作系統(tǒng)，PC3上安裝Windows2000操作系統(tǒng)以及系統(tǒng)自帶的IIS。配置完成后，三臺(tái)PC機(jī)應(yīng)能通過(guò)Hub互相訪問(wèn)，PC2開(kāi)放了FTP效勞，PC1應(yīng)該能訪問(wèn)PC3上的Web效勞。21.6.4實(shí)驗(yàn)內(nèi)容1．在PC2上安裝Iptables(1)使用“uname-a〞命令確認(rèn)Linux內(nèi)核為2.3或更高版本。(2)運(yùn)行以下命令確認(rèn)系統(tǒng)已安裝Iptables：rpm-qa|grepiptab如果已安裝，直接進(jìn)入下一步，否那么從上獲取iptables的安裝包。(3)運(yùn)行以下命令安裝Iptables：rpm-ivhiptables-*(星號(hào)為iptables的版本號(hào))2．在PC2上配置Iptables使用如下命令去除默認(rèn)的規(guī)那么：iptables-F3．在PC2上配置Iptables規(guī)那么使用如下命令阻塞ICMP：iptables-IINPUT-ieth0-picmp-s0/0-d0/0-jDROP該命令將阻塞發(fā)往eth0的ICMP包。此時(shí)，從PC1上運(yùn)行

將會(huì)看到“Requesttimedout.〞，說(shuō)明已經(jīng)阻塞了ICMP包。運(yùn)行iptables-DINPUT1可刪除該規(guī)那么。4．在PC2上配置Iptables規(guī)那么使用如下命令阻塞FTP：iptables-IINPUT-ieth0-ptcp-s0/0-d0/0--dport21-jDROP該命令將阻塞發(fā)往eth0的ICMP包。此時(shí)，從PC1上運(yùn)行ftp將會(huì)看到“ftp:connect:連接超時(shí)〞，說(shuō)明已經(jīng)阻塞了Ftp包。運(yùn)行iptables-DINPUT1可刪除該規(guī)那么。5．在PC2上配置Iptables規(guī)那么使用如下命令阻塞FTP：iptables-AFORWARD-ptcp-s00-d00-ieth1--sport80-jDROP該命令將阻塞PC3通過(guò)PC2接口eth1發(fā)往PC1的TCP包。此時(shí)，從PC1上翻開(kāi)瀏覽器，訪問(wèn)PC3上的網(wǎng)頁(yè)ftp將會(huì)看到“ftp:connect:連接超時(shí)〞，說(shuō)明已經(jīng)阻塞了Ftp包。運(yùn)行iptables-DINPUT1可刪除該規(guī)那么。21.7網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)snort的安裝和使用

21.7.1實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)本實(shí)驗(yàn)，讀者可以掌握以下技能：*學(xué)會(huì)在Linux環(huán)境中安裝snort；*學(xué)會(huì)在Linux環(huán)境中安裝nmap(一個(gè)端口掃描工具)；*學(xué)習(xí)配置snort，檢測(cè)網(wǎng)絡(luò)入侵。

21.7.2設(shè)備需求本實(shí)驗(yàn)需要以下設(shè)備：*PC機(jī)三臺(tái)，應(yīng)帶網(wǎng)卡，安裝LinuxReahat9.0操作系統(tǒng)；*播送式Hub一臺(tái)，雙絞線三根。21.7.3實(shí)驗(yàn)環(huán)境及配置說(shuō)明本實(shí)驗(yàn)采用的三臺(tái)PC機(jī)通過(guò)Hub相互連接，設(shè)備連接如圖21-48所示。

實(shí)驗(yàn)中分配的IP地址，PC1為，PC2為，PC3為。子網(wǎng)掩碼均為。

圖21-48Snort實(shí)驗(yàn)設(shè)備連接圖

21.7.4實(shí)驗(yàn)內(nèi)容1．在PC2上安裝snort(1)從下載最新版的snort，保存到硬盤。(2)運(yùn)行以下命令，安裝snort：#tar-zxvfsnort-*.tar.gz(*為版本號(hào))#./configure#make#makeinstall(3)在/var/log目錄下運(yùn)行以下命令，新建一個(gè)目錄，保存報(bào)警記錄：#mkdir/var/log/snort自此snort安裝完畢。(4)運(yùn)行以下命令，啟動(dòng)snort檢測(cè)入侵：#./2．在PC1上安裝nmap(1)從下載最新版nmap的RPM包，保存到硬盤。(2)運(yùn)行以下命令，安裝nmap：#rpm-ivhnmap-*.i386.rpm(*為版本號(hào))自此nmap安裝完畢。(3)運(yùn)行nmap掃描PC3：#nmap3．在PC2上檢查snort檢測(cè)入侵結(jié)果(1)進(jìn)入/var/log/snort目錄：#cd/var/log/snort(2)該目錄下有個(gè)“〞的目錄，進(jìn)入該目錄：#cd(3)該目錄下有個(gè)“ICMP_ECHO〞文件，翻開(kāi)該文件：#viICMP_ECHO文件內(nèi)容為：[**]ICMPPINGNMAP[**]01/27-09:48:14.1629420:E0:4C:DD:19:EF->0:C:F1:73:54:81type:0x800len:0x3C->ICMPTTL:39TOS:0x0ID:15872IpLen:20DgmLen:28Type:8Code:0ID:37377Seq:41903ECHO

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=由此可見(jiàn)，snort已檢測(cè)到通過(guò)nmap對(duì)進(jìn)行的端口掃描。

21.8常見(jiàn)木馬的檢測(cè)、去除方法和工具的使用21.8.1實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)本實(shí)驗(yàn)，讀者可以掌握以下技能：*掌握目前網(wǎng)絡(luò)中常見(jiàn)的七種木馬的檢測(cè)及去除方法；*學(xué)會(huì)使用工具檢測(cè)并去除木馬。21.8.2設(shè)備需求本實(shí)驗(yàn)需要以下設(shè)備：*PC機(jī)一臺(tái)，安裝Windows2000操作系統(tǒng)。

21.8.3實(shí)驗(yàn)環(huán)境及配置說(shuō)明安裝實(shí)驗(yàn)中需要檢測(cè)的木馬包括：網(wǎng)絡(luò)公牛、Netspy、SubSeven、冰河、網(wǎng)絡(luò)神偷、廣外女生等。

21.8.4實(shí)驗(yàn)內(nèi)容1．常見(jiàn)木馬的檢測(cè)和去除1)網(wǎng)絡(luò)公牛(Netbull)(1)木馬特征：網(wǎng)絡(luò)公牛默認(rèn)的連接端口為23444。效勞端程序newserver.exe運(yùn)行后，會(huì)自動(dòng)脫殼成checkdll.exe，位于C:\Windows\System下，下次開(kāi)機(jī)后checkdll.exe將自動(dòng)運(yùn)行，具有較強(qiáng)的隱蔽性。同時(shí)，效勞端運(yùn)行后會(huì)自動(dòng)捆綁以下文件(Windows2000下)：notepad.exe，regedit.exe，reged32.exe，drwtsn32.exe，winmine.exe效勞端運(yùn)行后還會(huì)捆綁在開(kāi)機(jī)時(shí)自動(dòng)運(yùn)行的第三方軟件，如realplay.exe、QQ、ICQ等，同時(shí)會(huì)在注冊(cè)表中建立鍵值。網(wǎng)絡(luò)公牛采用的是文件捆綁功能，它和上面所列出的文件捆綁在一塊，要去除非常困難。用戶通過(guò)判斷文件長(zhǎng)度是否發(fā)生變化，可分析是否中了木馬。(2)去除方法：*刪除網(wǎng)絡(luò)公牛的自啟動(dòng)程序C:\Windows\System\Checkdll.exe。*把網(wǎng)絡(luò)公牛在注冊(cè)表中所建立的鍵值全部刪除。*檢查上面列出的文件，如果發(fā)現(xiàn)文件長(zhǎng)度發(fā)生變化(大約增加了40KB左右，可以通過(guò)與其他機(jī)子上的正常文件比較而知)，就刪除它們。然后點(diǎn)擊“開(kāi)始〞→“附件〞→“系統(tǒng)工具〞→“系統(tǒng)信息〞→“工具〞→“系統(tǒng)文件檢查器〞，在彈出的對(duì)話框中選中“從安裝軟盤提取一個(gè)文件(E)〞，在框中填入要提取的文件(前面刪除的文件)，點(diǎn)“確定〞按鈕，然后按屏幕提示將這些文件恢復(fù)即可。如果是開(kāi)機(jī)時(shí)自動(dòng)運(yùn)行的第三方軟件，如realplay.exe、QQ、ICQ等被捆綁上了，那就把這些文件刪除，再重新安裝。2)Netspy(網(wǎng)絡(luò)精靈)(1)木馬特征：Netspy又名網(wǎng)絡(luò)精靈，默認(rèn)連接端口為7306。客戶端通過(guò)IE或Navigate就可以對(duì)效勞器端進(jìn)行遠(yuǎn)程監(jiān)控。效勞器端程序被執(zhí)行后，會(huì)在C:\Windows\System目錄下生成netspy.exe文件。同時(shí)在注冊(cè)表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\下建立鍵值C:\Windows\System\netspy.exe，用于在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載運(yùn)行。(2)去除方法：*重新啟動(dòng)機(jī)器并在出現(xiàn)StaringWindows提示時(shí)，按F5鍵進(jìn)入命令行狀態(tài)。在C:\Windows\System\目錄下輸入以下命令：delnetspy.exe*進(jìn)入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\，刪除Netspy的鍵值，即可平安去除Netspy。3)SubSeven(1)木馬特征：SubSeven效勞器端程序只有54.5KB，很容易被捆綁到其他軟件上而不被發(fā)現(xiàn)。效勞器端程序?yàn)閟erver.exe，客戶端程序?yàn)閟ubseven.exe。SubSeven效勞器端被執(zhí)行后，每次啟動(dòng)的進(jìn)程名都會(huì)發(fā)生變化，因此很難查找。(2)去除方法：*翻開(kāi)注冊(cè)表Regedit，進(jìn)入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RunService，如果有加載文件，就刪除右邊的工程：加載器="C:\Windows\System\***"。注：加載器和文件名是隨意改變的。*翻開(kāi)win.ini文件，檢查“run=〞后有沒(méi)有加上某個(gè)可執(zhí)行文件名，如有那么刪除之。*翻開(kāi)system.ini文件，檢查“shell=explorer.exe〞后有沒(méi)有跟某個(gè)文件，如有，那么將后跟的文件刪除。*重新啟動(dòng)Windows，刪除相對(duì)應(yīng)的木馬程序，一般在C:\Windows\System下。4)冰河(1)木馬特征：這里介紹的是對(duì)其標(biāo)準(zhǔn)版的去除，掌握了如何去除標(biāo)準(zhǔn)版，再來(lái)對(duì)付變種冰河就很容易了。冰河的效勞器端程序?yàn)镚-server.exe，客戶端程序?yàn)镚-client.exe，默認(rèn)連接端口為7626。一旦運(yùn)行G-server，那么該程序就會(huì)在C:\Windows\System目錄下生成Kernel32.exe和sy***plr.exe，并刪除自身。Kernel32.exe在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載運(yùn)行，sy***plr.exe和TXT文件關(guān)聯(lián)。即使刪除了Kernel32.exe，但只要翻開(kāi)TXT文件，sy***plr.exe就會(huì)被激活，再次生成Kernel32.exe。(2)去除方法：*刪除C:\Windows\System下的Kernel32.exe和Sy***plr.exe文件。*冰河會(huì)在注冊(cè)表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下扎根，鍵值為C:\Windows\System\Kernel32.exe，刪除它。*在注冊(cè)表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices下，還有鍵值為C:\Windows\System\Kernel32.exe的，也要?jiǎng)h除。*修改注冊(cè)表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默認(rèn)值，由表中木馬后的C:\Windows\System\Sy***plr.exe%1改為正常的C:\Windows\notepad.exe%1，即可恢復(fù)TXT文件關(guān)聯(lián)功能。5)網(wǎng)絡(luò)神偷(Nethief)(1)木馬特征：“網(wǎng)絡(luò)神偷〞是個(gè)反彈端口型木馬。與一般的木馬相反，反彈端口型木馬的效勞器端(被控制端)使用主動(dòng)端口，客戶端(控制端)使用被動(dòng)端口。為了隱蔽起見(jiàn)，客戶端的監(jiān)聽(tīng)端口一般開(kāi)在80，這樣即使用戶使用端口掃描軟件檢查自己的端口，發(fā)現(xiàn)的也是類似“TCP效勞器端的IP地址：1026客戶端的IP地址:80ESTABLISHED〞的情況，稍微疏忽一點(diǎn)就會(huì)以為是自己在瀏覽網(wǎng)頁(yè)。(2)去除方法：*網(wǎng)絡(luò)神偷會(huì)在注冊(cè)表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下建立鍵值“internet〞，其值為“internet.exe/s〞，將該鍵值刪除。*刪除其自啟動(dòng)程序C:\Windows\System\internet.exe。6)廣外女生(1)木馬特征：“廣外女生〞是一種新出現(xiàn)的遠(yuǎn)程監(jiān)控工具，破壞性很大，能實(shí)現(xiàn)遠(yuǎn)程上傳、下載、刪除文件、修改注冊(cè)表等功能。而且“廣外女生〞效勞器端被執(zhí)行后，會(huì)自動(dòng)檢查進(jìn)程中是否含有“金山毒霸〞、“天網(wǎng)〞等字樣，如果發(fā)現(xiàn)就將該進(jìn)程終止，使防火墻完全失去作用。(2)去除方法：*啟動(dòng)到純DOS模式下，找到System目錄下的diagfg.exe，刪除它。*找到Windows目錄中的注冊(cè)表編輯器“Regedit.exe〞，將它改名為“Regedit〞。*回到Windows模式下，運(yùn)行Windows目錄下的Regedit程序(就是我們剛剛改名的文件)。7)WAY2.4(1)木馬特征：WAY2.4默認(rèn)的連接端口是8011。WAY2.4效勞器端被運(yùn)行后，在C:\Windows\system下生成msgsvc.exe文件，圖標(biāo)是文本文件的圖標(biāo)。同時(shí)，WAY2.4在注冊(cè)表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask。(2)去除方法：用進(jìn)程管理工具查看，會(huì)發(fā)現(xiàn)進(jìn)程CWAY，只要?jiǎng)h除它在注冊(cè)表中的鍵值，再刪除C:\Windows\System下的msgsvc.exe文件就可以了。需要注意的是：在Windows下無(wú)法直接刪除msgsvc.exe，可以用進(jìn)程管理工具終止它的進(jìn)程，然后再刪除它?；蛘叩紻OS下刪除msgsvc.exe。如果效勞器端已經(jīng)和可執(zhí)行文件捆綁在一起了，那就只有將該可執(zhí)行文件刪除才能去除該病毒。注意在刪除前做好備份。2．木馬檢測(cè)工具的使用Anti-TrojanShield是一款享譽(yù)歐洲的專業(yè)木馬偵測(cè)、攔截及去除軟件。讀者可以從://atshield/index.php?r=download下載試用版。(1)從上面的網(wǎng)站下載安裝軟件ats1.exe。(2)雙擊該軟件，根據(jù)提示完成安裝。(3)運(yùn)行Anti-TrojanShield，如圖21-49所示。圖21-49Anti-TrojanShield運(yùn)行圖

(4)選擇掃描對(duì)象，然后點(diǎn)擊“Start〞，開(kāi)始對(duì)目標(biāo)進(jìn)行掃描，如圖21-50所示。圖21-50掃描示意圖

(5)如果軟件找到木馬會(huì)提示，并把該木馬顯示出來(lái)，如圖21-51所示。

圖21-51報(bào)警示意圖

此時(shí)，讀者可以根據(jù)實(shí)際情況選擇“Delete〞刪除或“Quarantine〞隔離該木馬。如圖21-52所示，讀者還可以根據(jù)需要，在“Setup〞標(biāo)簽下勾選“scanarchives〞選項(xiàng)，這樣就可以對(duì)ZIP、RAR、ARJ和CAB等壓縮包內(nèi)部進(jìn)行掃描。勾選“UseProgramcodeanalysis〞，可以對(duì)程序進(jìn)行代碼分析，查找出未知的木馬程序，這有點(diǎn)類似于反病毒軟件中的“啟發(fā)式查毒〞，但是掃描速度會(huì)減慢。另外，默認(rèn)選擇“Min[highspeed]〞項(xiàng)，那么只對(duì)可執(zhí)行文件進(jìn)行掃描，建議選擇“Max[lowspeed]〞，對(duì)所有文件都進(jìn)行掃描。圖21-52木馬處理

21.9Windump軟件的安裝和使用

21.9.1實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)本實(shí)驗(yàn)，讀者可以掌握以下技能：*學(xué)會(huì)在Windows環(huán)境下搭建Windump使用環(huán)境；*學(xué)會(huì)使用Windump對(duì)網(wǎng)絡(luò)流量進(jìn)行統(tǒng)計(jì)分析。

21.9.2設(shè)備需求本實(shí)驗(yàn)需要以下設(shè)備：*PC機(jī)兩臺(tái)以上，應(yīng)帶網(wǎng)卡，分別安裝Windows2000和LinuxReahat9.0操作系統(tǒng)以及其他操作系統(tǒng)；*播送式Hub一臺(tái)，雙絞線兩根以上。21.9.3實(shí)驗(yàn)環(huán)境及配置說(shuō)明本實(shí)驗(yàn)采用的兩臺(tái)PC機(jī)通過(guò)Hub相互連接，設(shè)備連接如圖21-53所示。

實(shí)驗(yàn)中分配的IP地址：PC1為，PC2為，依次類推。子網(wǎng)掩碼均為。在PC1上安裝Windows2000操作系統(tǒng)，在其他PC機(jī)上安裝Windows2000操作系統(tǒng)或UNIX/Linux系統(tǒng)均可。配置完成后，PC機(jī)應(yīng)能通過(guò)Hub互相訪問(wèn)。

圖21-53Windump實(shí)驗(yàn)設(shè)備連接圖

21.9.4實(shí)驗(yàn)內(nèi)容(1)從://windump.polito.it/install/default.htm下載所需軟件，包括winpcap.exe和windump.exe。(2)執(zhí)行winpcap.exe程序，將所需的驅(qū)動(dòng)裝入系統(tǒng)。(3)執(zhí)行windump.exe程序，對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽(tīng)。①監(jiān)聽(tīng)源或者目標(biāo)地址為某臺(tái)主機(jī)的包：windumphosthost例如：windump，監(jiān)聽(tīng)結(jié)果如圖21-54所示(其中的主機(jī)howareyou即3)。圖21-54監(jiān)聽(tīng)源或者目標(biāo)地址

②監(jiān)聽(tīng)某兩臺(tái)機(jī)器間的通信。例如監(jiān)聽(tīng)3與192.1688.3之間的通信：windump(注：參數(shù)-n的作用是以IP地址的方式顯示通信雙方，而不是以主機(jī)名的形式顯示雙方，可以去掉。)圖21-55監(jiān)聽(tīng)某兩臺(tái)機(jī)器間的通信

③監(jiān)聽(tīng)某臺(tái)主機(jī)與指定主機(jī)外的所有通信包。例如監(jiān)聽(tīng)3與除之外的所有包：windump監(jiān)聽(tīng)結(jié)果如圖21-56所示。

圖21-56監(jiān)聽(tīng)某臺(tái)主機(jī)與指定主機(jī)外的所有通信包

④監(jiān)聽(tīng)某臺(tái)主機(jī)向外發(fā)包的情況。例如監(jiān)聽(tīng)3向外發(fā)包的情況：windump-nsrc(注：如果用dst替換src，就可以監(jiān)聽(tīng)所有發(fā)給3的包了。)監(jiān)聽(tīng)結(jié)果如圖21-57所示。

圖21-57監(jiān)聽(tīng)某臺(tái)主機(jī)向外發(fā)包的情況

⑤將所監(jiān)聽(tīng)的包存入某個(gè)文件中。例如：windump此命令會(huì)將①的結(jié)果存入文件output中，而不是在屏幕上顯示。⑥將以前收集的監(jiān)聽(tīng)包進(jìn)行重放。例如：windump此命令會(huì)將⑤中收集到的有關(guān)3的包進(jìn)行重放，以便對(duì)以前某個(gè)時(shí)刻該主機(jī)的通信情況進(jìn)行重新分析。21.10Windows2000系統(tǒng)平安增強(qiáng)21.10.1實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)本實(shí)驗(yàn)，讀者可以掌握以下技能：*學(xué)會(huì)通過(guò)配置提高Windows系統(tǒng)的平安性。21.10.2設(shè)備需求本實(shí)驗(yàn)需要以下設(shè)備：*PC機(jī)兩臺(tái)，其中一臺(tái)安裝Windows2000操作系統(tǒng)，另外一臺(tái)安裝Windows2000操作系統(tǒng)或UNIX/Linux系統(tǒng)均可。*Hub一臺(tái)，雙絞線兩條。21.10.3實(shí)驗(yàn)環(huán)境及配置說(shuō)明本實(shí)驗(yàn)采用的兩臺(tái)PC機(jī)通過(guò)Hub相互連接，設(shè)備連接如圖21-58所示。實(shí)驗(yàn)中分配的IP地址：PC1為，PC2為，子網(wǎng)掩碼均為。在PC1上安裝默認(rèn)配置的Windows2000操作系統(tǒng)，在PC2上安裝Windows2000操作系統(tǒng)或UNIX/Linux系統(tǒng)均可，并安裝漏洞掃描軟件。配置完成后，兩臺(tái)PC機(jī)應(yīng)能通過(guò)Hub互相訪問(wèn)。圖21-58Windows2000系統(tǒng)平安增強(qiáng)實(shí)驗(yàn)設(shè)備連接圖21.10.4實(shí)驗(yàn)內(nèi)容1．關(guān)閉默認(rèn)共享在默認(rèn)狀態(tài)下，Windows2000/XP會(huì)開(kāi)啟所有分區(qū)的隱藏共享。選擇“開(kāi)始〞→“設(shè)置〞→“控制面板〞→“管理工具〞→在“計(jì)算機(jī)管理〞窗口下選擇“系統(tǒng)工具〞→“共享文件夾〞→“共享〞，就可以看到硬盤上的每個(gè)分區(qū)名后面都加了一個(gè)“$〞，如圖21-59所示。圖21-59默認(rèn)共享示意圖

如果讀者的Windows系統(tǒng)Administrator的密碼為空或?yàn)槿趺艽a