第21章實驗指導

21.1操作系統弱口令檢測軟件的安裝和使用21.2網絡漏洞掃描軟件Nessus的安裝和使用21.3OpenSSH的安裝及使用21.4郵件加密軟件PGP的安裝和使用21.5Apache效勞器和SSL軟件的安裝和使用21.6Linux防火墻軟件Iptables的安裝和使用21.7網絡入侵檢測系統snort的安裝和使用21.8常見木馬的檢測、去除方法和工具的使用21.9Windump軟件的安裝和使用21.10Windows2000系統平安增強21.11Windows下VPN環境的搭建21.1操作系統弱口令檢測軟件的安裝和使用21.1.1實驗目的通過本實驗，讀者可以掌握以下技能：l

學會在Windows環境下安裝LophtCrack；

l學會在Windows環境下使用LophtCrack。

21.1.2設備需求本實驗需要以下設備：*PC機兩臺，其中一臺安裝Windows2000操作系統，另外一臺安裝Windows2000操作系統或UNIX/Linux系統均可。*Hub一臺，雙絞線兩根。

21.1.3實驗環境及配置說明本實驗采用的兩臺PC機通過Hub相互連接，設備連接如圖21-1所示。

圖21-1操作系統弱口令檢測實驗設備連接圖

實驗中分配的IP地址：PC1為，PC2為，子網掩碼均為。在PC1上安裝Windows2000操作系統，在PC2上安裝Windows2000操作系統或UNIX/Linux系統均可。配置完成后，兩臺PC機應能通過Hub互相訪問。

21.1.4實驗內容1．在PC1上安裝LophtCrack(1)從://atstake/下載最新版的LophtCrack。目前最新版本為LC5。(2)雙擊安裝程序lc5setup，安裝LophtCrack，根據提示完成安裝。2．使用LC5檢測弱口令LC5能檢測Windows和UNIX/Linux系統用戶的口令，并可以根據需要，要求用戶修改密碼。具體使用方法如下：(1)翻開LC5，此時該軟件會彈出一個向導框，如圖21-2所示。讀者可跟隨該向導完成設置。圖21-2LC5的向導框

(2)點擊“下一步〞按鈕，將出現如圖21-3所示的對話框。在這個框中，讀者可以選擇用于檢測的加密密碼的來源。一共有四種來源，分別是：*本機注冊表，需要系統管理員權限；*同一個域內的計算機，需要系統管理員權限；*NT系統中的sam文件；*監聽本地網絡中傳輸的密碼Hash表。本實驗我們選取第二種來源。圖21-3選擇用于檢測的加密密碼的來源

(3)點擊“下一步〞按鈕，將出現如圖21-4所示的對話框。該框列出的是檢測密碼的方法。一共有四種方法，分別是：*快速檢測：將LC5自帶的字典中的29000個單詞與被審計的密碼匹配。采用這種方法只需數分鐘就能完成檢測。*普通檢測：除了能檢測上述密碼外，還可以檢測一些在單詞根底上進行了簡單修改的密碼。*強密碼檢測：采用暴力破解的方式來檢測密碼，通常檢測時間超過一天。*定制檢測：可以根據需要靈活地進行配置，例如改變字典、改變混合模式的參數以及選擇用于暴力破解的字符集。一般來說，檢測越嚴格，所花的時間就越長。

圖21-4選擇檢測密碼的方法

本實驗我們選取第一種方法。(4)點擊“下一步〞按鈕，將出現如圖21-5所示的對話框。在該對話框中選擇的顯示方法，按系統默認的值即可。圖21-5選擇顯示方法

(5)點擊“下一步〞按鈕，將出現如圖21-6所示的對話框。該框將前面選擇的內容顯示出來，讀者點擊“完成〞即開始檢測。圖21-6完成界面

圖21-7所示為檢測結果。

圖21-7檢測結果

從圖21-7中可以看出，有些用戶的弱口令被檢測出來了。此時，可以選擇菜單中的“Remidiate〞下的“DisableAccounts〞，禁止該帳號；或選擇“ForcePasswordChange〞，強迫該用戶在下次登錄時修改密碼，如圖21-8所示。圖21-8修改密碼

21.2網絡漏洞掃描軟件Nessus的安裝和使用

21.2.1實驗目的通過本實驗，讀者可以掌握以下技能：*學會在Linux環境中安裝及配置Nessus；*在Windows環境下使用Nessus客戶端。

21.2.2設備需求本實驗需要以下設備：*PC機三臺，應帶有網卡，并分別安裝Windows2000和LinuxReahat9.0操作系統；*Hub一臺，雙絞線三根。

21.2.3實驗環境及配置說明本實驗采用的三臺PC機通過Hub相互連接，設備連接如圖21-9所示。

圖21-9網絡漏洞掃描軟件Nessus實驗設備連接圖

實驗中分配的IP地址：PC1為，PC2為，PC3為，子網掩碼均為。在PC1上安裝Linux9.0操作系統，在PC2上安裝Windows2000操作系統，PC3上安裝Windows2000操作系統或UNIX/Linux系統均可。配置完成后，三臺PC機應能通過Hub互相訪問。

21.2.4實驗內容1．在PC1上安裝、配置Nessus1)安裝NessusNessus有兩種安裝方式：(1)安裝install版本。從:///download/下載nessus2.2.4installer(allunixsystem)或更高版本，保存到硬盤，運行以下命令：#lynx-source://|sh即可完成安裝。(2)安裝sourcecode版本。該安裝需要下載四個文件：*nessus-libraries-x.x.tar.gz；*libnasl-x.x.tar.gz；*nessus-core.x.x.tar.gz；*nessus-plugins.x.x.tar.gz。從:///download/下載nessus2.2.4sourcecode(allunixsystem)或更高版本，保存到硬盤，運行以下命令：(1)安裝nessus-libraries：#tar-zxvfnessus-libraries-x.x.tar.gz(x為版本號)#cdnessus-libraries#./configure#make#makeinstall(2)安裝libnasl#tar-zxvflibnasl-x.x.tar.gz(x為版本號)#cdlibnasl#./configure#make切換到root權限，運行：#makeinstall(3)安裝nessus-core：#tar-zxvfnessus-core.x.x.tar.gz(x為版本號)#cdnessus-core#./configure#make切換到root權限，運行：#makeinstall(4)安裝nessus-plugins：#tar-zxvfnessus-plugins.x.x.tar.gz(x為版本號)#cdnessus-plugins#./configure#make切換到root權限，運行：#makeinstall完成安裝后，請確認/usr/local/lib在/下，并運行ldconfig。至此，Nessus效勞器端安裝完成。2)添加Nessusd帳號Nessusd效勞器擁有自己的用戶數據庫，每個用戶都有一組限制。這樣可以使多個用戶共用一個Nessusd，并只檢測屬于他們的網絡。使用nessus-adduser命令添加一個新帳號，使用過程如下：#nessus-adduserAdditionofanewnessusduser

Login:renaudAuthentication(pass/cert)[pass]:passPassword:secretUserrules

nessusdhasarulessystemwhichallowsyoutorestrictthehoststhatrenaud2hastherighttotest.Forinstance，youmaywanthimtobeabletoscanhisownhostonly.Pleaseseethenessus-adduser(8)manpagefortherulessyntaxEntertherulesforthisuser，andhitctrl-Donceyouaredone:(theusercanhaveanemptyrulesset)defaultdenyLogin:renaudPassword:secretDN :Rules:denydefaultdenyIsthatok(y/n)?[y]yuseradded.3)配置Nessus后臺程序該配置文件為/usr/local/etc/nessus/nessusd.conf。一般情況下不需要對該文件進行修改。4)啟動nessusd運行以下命令，啟動nessusd：#nessusd-D2．在PC2上安裝、設置Nessus客戶端1)安裝Nessus客戶端從:///download/下載NessusWX或更高版本，保存到硬盤。將該壓縮文件解壓即可安裝。2)運行NessusWX運行后NessusWX界面如圖21-10所示。圖21-10NessusWX界面圖

3)配置NessusWX(1)連接效勞器，如圖21-11所示。點擊“Connect〞按鈕，與效勞器建立連接。圖21-11連接效勞器(2)配置端口掃描。*允許“Ping〞的設置如圖21-12所示。*配置掃描時間，如圖21-13所示。圖21-12設置允許“Ping〞圖21-13配置掃描時間

(3)配置插件，如圖21-14所示。

圖21-14配置插件

讀者可根據掃描對象有針對性地選擇插件。同時，讀者還可以選擇“平安檢查〞，如圖21-15所示。平安檢查會去掉那些與平安檢查兼容的插件中危險的局部，而只利用例如查看banner中的版本這樣的被動方式來對目標進行檢查。由于被檢查的系統或者效勞可能打上了補丁或者采取了臨時解決方案，因此平安檢查的準確性比實際對漏洞進行判斷的方式的準確性要低，可能會漏報或者誤報。但是這樣的檢查不會造成系統的崩潰。圖21-15選擇“平安檢查〞(4)配置掃描對象，如圖21-16所示。讀者可以點擊“Import〞，從文件中導入IP地址；也可以點擊“Add〞，參加需要掃描的對象。對象可以是單個IP，也可以是一個子網或者一個網段。圖21-16配置掃描對象

(5)開始掃描，如圖21-17所示。

圖21-17開始掃描

21.3OpenSSH的安裝及使用

21.3.1實驗目的通過本實驗，讀者可以掌握以下技能：*學會在Linux環境中安裝及配置OpenSSH；*學會在Windows環境下使用OpenSSH客戶端工具putty；*學習使用Puttygen創立密鑰對；*學習使用Putty訪問OpenSSH效勞器。21.3.2設備需求本實驗需要以下設備：*PC機兩臺，應帶網卡，分別安裝Windows2000和LinuxReahat9.0操作系統；*Hub一臺、雙絞線兩根。

21.3.3實驗環境及配置說明本實驗采用的兩臺PC機通過Hub相互連接，設備連接如圖21-18所示。

圖21-18OpenSSH實驗設備連接圖

實驗中分配的IP地址：PC1為00，PC2為2，子網掩碼均為。在PC1上安裝Linux9.0操作系統，在PC2上安裝Windows2000操作系統。配置完成后，兩臺PC機應能通過Hub互相訪問。

21.3.4實驗內容1．在PC1上安裝、配置OpenSSH1)安裝OpenSSH(1)確認主機是否安裝Zlib庫。命令如下：rpm-qizlib如果出現zlib的介紹，說明已安裝了zlib，否那么需要安裝zlib。安裝方法為：從:///zlib/下載或更高版本，保存到硬盤，運行以下命令：#tar-zxvfzlib-*.tar.gz(*為版本號)#cdzlib-*#./configure#make#makeinstall(2)安裝OpenSSL。方法為：從:///下載Openssl或更高版本，保存到硬盤，運行以下命令：#tar-zxvfopenssl-*.tar.gz(*為版本號)#cdopenssl-*#./config#makeclean#make#makeinstall(3)從OpenSSH網站(://openssh/)下載OpenSSH的Linuxp1。運行以下命令：#tar-zxvfopenssh-*.tar.gz(*為版本號)#cdopenssh-*#./configure--with-ssl-dir=/usr/local/ssl#make#makeinstall安裝結束后，默認的ssh效勞器端程序是/usr/local/sbin/sshd，默認的ssh客戶端程序是/usr/local/bin/ssh，默認的ssh配置文件路徑為/usr/local/etc/。(4)添加帳號sshd(該帳號為客戶端訪問本機時所用帳號)：#useraddsshd#passwdsshd

(5)關閉運行的sshd效勞，命令如下：#killallsshd(6)覆蓋系統自帶的SSH，命令如下：#cp/usr/local/sbin/sshd/usr/sbin/sshd#cp/usr/local/bin/ssh/usr/bin/ssh#cp/usr/local/etc/*/etc/ssh/(7)安裝結束，此時運行ssh-V，應顯示：#OpenSSH_*，OpenSSL*25Oct2004(*為版本號)2)配置OpenSSH翻開/etc/ssh/下的sshd_conf文件，命令如下：#vi/etc/ssh/sshd_conf將PasswordAuthenticationyes改為PasswordAuthenticationno。至此，效勞器端OpenSSH安裝、配置完成。2．在PC2上使用puttygen生成密鑰對(1)從://.uk/~sgtatham/putty/下載puttygen.exe，保存到硬盤。(2)運行puttygen.exe，如圖21-19所示。(3)單擊“Generate〞按鈕并不斷移動鼠標，以便為密鑰對的生成提供隨機數種子，如圖21-20所示。(4)密鑰生成如圖21-21所示。圖21-19運行puttygen.exe圖21-20生成密鑰對

圖21-21密鑰生成圖

添加“Keypassphrase〞和“Confirmpassphrase〞，用以保護密鑰。(5)單擊“Savepublickey〞按鈕，將公鑰保存到用戶指定的目錄下。(6)將該文件上傳到效勞器的/home/sshd/.ssh/目錄下，并改名為authorized_key。(7)單擊“Saveprivatekey〞按鈕，將私鑰保存到用戶指定的目錄下。至此，完成了使用puttygen生成密鑰對的過程。3．在PC2上使用putty訪問效勞器PC1(1)從://.uk/~sgtatham/putty/下載putty.exe，保存到硬盤。(2)運行putty.exe，如圖21-22所示。圖21-22運行putty.exe(3)設置主機IP地址、端口號(默認為22)和協議(使用SSH)。(4)在左邊的Category欄目選擇Connection項，然后在右邊的Auto-loginusename欄目中輸入登錄SSH效勞器時的用戶名sshd，如圖21-23所示。圖21-23輸入登錄SSH效勞器的用戶名(5)在Category欄目中選擇Connection欄目下的子欄目SSH，將Protocoloptions欄中的PreferredSSHprotocolversion選擇為2，如圖21-24所示。

圖21-24選擇SSH協議版本

(6)在Category欄目中選擇Auth，在Privatekeyfileforauthentication中選擇保存在本地的私鑰文件，如圖21-25所示。

圖21-25填入私鑰文件路徑

(7)此時，采用putty的SSH方式登錄的參數配置完畢。單擊“Open〞按鈕，連接效勞器PC1，如圖21-26所示。圖21-26連接狀態圖

(8)輸入先前添加的Keypassphrase，登錄成功，如圖21-27所示。

圖21-27登錄成功

21.4郵件加密軟件PGP的安裝和使用

21.4.1實驗目的通過本實驗，讀者可以掌握以下技能：*學會在Windows環境下安裝PGP8.1；*學會使用PGP創立密鑰對；*學會使用PGP輸出和簽名公共密鑰；*學會使用PGP和OutlookExpress發送并接收加密的電子郵件。21.4.2設備需求本實驗需要以下設備：*PC機兩臺，應帶網卡，需安裝Windows2000和OutlookExpress軟件；*郵件效勞器一臺，應帶網卡，需安裝郵件效勞器軟件；*Hub一臺、雙絞線三根。21.4.3實驗環境及配置說明本實驗采用的兩臺PC機通過Hub相互連接，并通過Hub與郵件效勞器相連，設備連接如圖21-28所示。實驗中分配的IP地址：郵件效勞器為，PC1為00，PC2為01，子網掩碼均為。配置完成后，兩臺PC機應能通過郵件效勞器互發郵件。圖21-28PGP實驗設備連接圖

21.4.4實驗內容1．在兩臺PC機上安裝PGP8.1這一步將分別在兩臺機器上安裝PGP8.1。(1)從國際PGP網站(pgpi)下載PGP的壓縮包，保存到硬盤。目前的最新版本為8.1。(2)解壓縮下載的文件，會釋放出兩個文件，一個叫pgp.exe，另一個是pgp.exe.sig。前者是PGP的安裝文件，后者是這個安裝文件的數字簽名，用來檢驗安裝文件是否被非法修改。雙擊pgp.exe，安裝PGP。(3)在Welcome屏幕中單擊“下一步〞。(4)單擊“Yes〞，接受軟件許可協議。(5)閱讀ReadMe文件，然后單擊“下一步〞。(6)出現一個窗體，讓用戶選擇是否已經有了Keyring，這時選擇“No，I'manewuser〞。(7)設定安裝位置，然后單擊“下一步〞。(8)確認為OutlookExpress選擇了插件程序，然后單擊“下一步〞。(9)在StartCopyingFiles局部檢查一下設置并單擊“下一步〞，PGP將開始安裝。(10)安裝結束后，系統將提示重啟，選擇“OK〞，系統重新啟動。(11)重新啟動后，會彈出一個PGPLicenseAuthorization的對話框。如果讀者有PGP的許可證號，就可以注冊并認證。也可以選擇“Later〞，以后再注冊。(12)注冊結束后，會彈出一個KeyGenerationWizard對話框(如圖21-29所示)，用戶可通過該對話框創立密鑰對。圖21-29KeyGenerationWizard對話框

2．使用PGP創建密鑰對這一步將使用密鑰生成向導生成密鑰對。(1)通過上面提到的KeyGenerationWizard對話框創建密鑰對。該對話框有兩種打開方式：一種是選擇“開始”→“程序”→“PGP”→“PGPkeys”；另一種是用右鍵點擊系統托盤區的“”圖標，選擇PGPkeys。(2)點擊KeyGenerationWizard對話框中的“下一步”，輸入用戶名和郵件地址，如圖21-30所示。讀者根據需要還可以點擊KeyGenerationWizard對話框中的“Expert”，選擇加密方式、加密強度以及密鑰過期時間等。

圖21-30選擇參數

(3)點擊圖21-30中的“下一步〞，將出現如圖21-31所示的對話框。在Passphrase欄內可輸入一個最少8個字符，且不包括字母、數字混合字符和特殊字符的密碼短語，確認后單擊“下一步〞。(4)PGP開始生成一個新的密鑰對。當密鑰對產生完畢后，會出現一個完成的界面，點擊“完成〞，結束密鑰對的創立過程，如圖21-32所示。圖21-31輸入字符

圖21-32密鑰對的生成

(5)用戶可以在PGPkeys中查看到剛生成的公共密鑰，如圖21-33所示。

圖21-33密鑰查看

3．使用PGP輸出和簽名公共密鑰這一步將在兩臺PC機之間通過OutlookExpress交換公共密鑰，并在二者之間建立完全信任關系。1)輸出公鑰(1)用上面提到的方法翻開PGPkeys。2)用右鍵單擊剛剛創立的密鑰，并選擇Export選項，如圖21-34所示。圖21-34公鑰輸出

(3)此時出現一個“ExportKeytoFile〞對話框。選擇保存的目錄以及文件名，然后單擊“Save〞。在選擇的目錄中將出現一個以.asc為擴展名的文件，如圖21-35所示。注意，不要保存私鑰。(4)翻開OutlookExpress，將該文件作為附件發給對方。圖21-35選擇保存路徑及文件名

2)添加公鑰(1)收到對方的.asc文件后，將其保存到桌面。(2)通過PGPkeys將該公鑰文件添加到密鑰環中。(3)選擇“Keys〞菜單中的“Import〞(如圖21-36所示)，將出現一個“SelectFileContainingKey〞對話框。選擇保存在桌面上的對方的公鑰文件，并單擊“翻開〞，如圖21-37所示。圖21-36翻開對方公鑰圖21-37選擇公鑰文件

(4)此時將出現一個“Selectkey(s)〞對話框。選中剛剛添加的密鑰，并選擇“Import〞，那么對方的密鑰出現在密鑰環中，但是沒有被簽名，所以不被信任。(5)用右鍵單擊該密鑰，并選擇“Sign〞選項。(6)此時將出現“PGPSignKey〞對話框。選中該密鑰并選擇“Allowsignaturetobeexported〞復選框，然后單擊“OK〞，如圖21-38所示。(7)此時系統提示要求輸入密碼短語。同樣，該密碼短語不能包括字母、數字混合字符和特殊字符。輸入完后單擊“OK〞，那么在PGPkeys中該密鑰旁邊出現一個綠色的圖標，表示它已經被簽名。圖21-38公鑰導入

(8)用右鍵單擊該密鑰，并選擇“KeyProperties〞選項。在出現的對話框底部，從“Untrusted〞滑動到“Trusted〞，然后單擊“關閉〞，如圖21-39所示。此時該密鑰被信任，可以用來平安地交換信息了。圖21-39公鑰添加完成

4．使用PGP和OutlookExpress發送加密的電子郵件1)發送加密的電子郵件(1)通過OutlookExpress編寫郵件內容。注意：如果發送包含敏感信息的郵件，那么標題欄必須為空白或標題內容不能包含泄露正文內容的信息。(2)當完成郵件正文的編寫后，點擊圖標加密郵件正文，然后點擊對內容進行簽名，如圖21-40所示。注意：不要與OutlookExpress自帶的加密、簽名圖標弄混了。(3)點擊“發送〞，發送郵件。此時出現一個“PGPEnterPassphraseforSelectedKey〞對話框。讀者輸入在添加公鑰的(7)中輸入的密碼，單擊“OK〞，郵件開始加密并發送。圖21-40郵件加密示意圖

2)接收加密的電子郵件(1)通過OutlookExpress接收對方發送的郵件。郵件內容為加密后的內容。(2)點擊，對郵件進行解密和校驗。此時會出現“PGPEnterPassphraseforaListedKey”窗口，要求讀者輸入密碼，如圖21-41所示。

圖21-41密碼輸入框

(3)讀者輸入使用PGP創立密鑰對的(3)中輸入的密碼，點擊“OK〞。此時郵件內容被解密。讀者可以看到解密后的郵件內容，如圖21-42所示。圖21-42郵件解密示意圖

21.5Apache效勞器和SSL軟件的安裝和使用21.5.1實驗目的通過本實驗，讀者可以掌握以下技能：*學會在Linux環境下安裝Apache以及Openssl；*學會在Linux環境下將Apache與Openssl集成，構件平安的Apache。21.5.2設備需求本實驗需要以下設備：*PC機兩臺，應帶網卡，分別安裝Windows2000和LinuxReahat9.0操作系統；*播送式Hub一臺，雙絞線兩根。21.5.3實驗環境及配置說明本實驗采用的兩臺PC機通過Hub相互連接，設備連接如圖21-43所示。

圖21-43Apache實驗設備連接圖

21.5.4實驗內容1．下載實驗軟件到PC2(1)從下載apache_1.3.x.tar.gz，保存到硬盤。(2)從/source/下載mod_ssl-2.8.x-1.3.x.tar.gz，保存到硬盤。(3)從/source/下載openssl-0.9.x.tar.gz，保存到硬盤。

2．展開這些軟件包#tar-zxvfapache_1.3.x.tar.gz#tar-zxvfmod_ssl-2.8.x-1.3.x.tar.gz#tar-zxvfopenssl-0.9.x.tar.gz3．編譯openssl#cdopenssl-0.9.x#./config-prefix=/usr/local/ssl-L'pwd'/../rsaref-2.0/local/rsaref-fPIC#make#maketest#makeinstall#cd..4．配置MOD_SSL模塊#cdmod_ssl-2.8.x-1.3.x#./configure--with-apache=../apache_1.3.x\#cd..5．安裝Apache#cdapache_1.3.x#SSL_BASE=../openssl-0.9.x#./configure--enable-module=ssl--prefix=/usr/local/apache--enable-shared=ssl#make#makecertificateTYPE=custom(生成證書)#make

install

6．啟動Apache運行以下命令，啟動Apache：#/usr/local/apache/bin/apachectlstartssl7．在PC1上訪問PC2的Web效勞(1)啟動瀏覽器，在URL欄輸入s://4，將出現如圖21-44所示的界面。(2)點擊“確定〞，將出現如圖21-45所示的界面。(3)點擊“是〞，將出現Apache歡送頁面(如圖21-46所示)，說明安裝成功，此時PC1與PC2之間的HTTP協議傳輸數據已被加密。圖21-44平安警報提示圖1圖21-45平安警報提示圖2圖21-46Apache歡送頁面21.6Linux防火墻軟件Iptables的安裝和使用

21.6.1實驗目的通過本實驗，讀者可以掌握以下技能：*學會在Linux環境中安裝Iptables；*學習在Iptables中添加規那么，配置個人防火墻。21.6.2設備需求本實驗需要以下設備：*PC機兩臺，應帶網卡，安裝Windows2000操作系統；*PC機一臺，應帶雙網卡，安裝LinuxReahat9.0操作系統；*Hub兩臺，雙絞線四根。

21.6.3實驗環境及配置說明本實驗采用的三臺PC機通過Hub相互連接，設備連接如圖21-47所示。

圖21-47Linux防火墻實驗設備連接圖

實驗中分配的IP地址：PC1為00；PC2上有兩個網卡，網卡1的IP地址為，網卡2的地址為；PC3為00。子網掩碼均為。PC1上安裝Windows2000操作系統，PC2上安裝Linux9.0操作系統，PC3上安裝Windows2000操作系統以及系統自帶的IIS。配置完成后，三臺PC機應能通過Hub互相訪問，PC2開放了FTP效勞，PC1應該能訪問PC3上的Web效勞。21.6.4實驗內容1．在PC2上安裝Iptables(1)使用“uname-a〞命令確認Linux內核為2.3或更高版本。(2)運行以下命令確認系統已安裝Iptables：rpm-qa|grepiptab如果已安裝，直接進入下一步，否那么從上獲取iptables的安裝包。(3)運行以下命令安裝Iptables：rpm-ivhiptables-*(星號為iptables的版本號)2．在PC2上配置Iptables使用如下命令去除默認的規那么：iptables-F3．在PC2上配置Iptables規那么使用如下命令阻塞ICMP：iptables-IINPUT-ieth0-picmp-s0/0-d0/0-jDROP該命令將阻塞發往eth0的ICMP包。此時，從PC1上運行

將會看到“Requesttimedout.〞，說明已經阻塞了ICMP包。運行iptables-DINPUT1可刪除該規那么。4．在PC2上配置Iptables規那么使用如下命令阻塞FTP：iptables-IINPUT-ieth0-ptcp-s0/0-d0/0--dport21-jDROP該命令將阻塞發往eth0的ICMP包。此時，從PC1上運行ftp將會看到“ftp:connect:連接超時〞，說明已經阻塞了Ftp包。運行iptables-DINPUT1可刪除該規那么。5．在PC2上配置Iptables規那么使用如下命令阻塞FTP：iptables-AFORWARD-ptcp-s00-d00-ieth1--sport80-jDROP該命令將阻塞PC3通過PC2接口eth1發往PC1的TCP包。此時，從PC1上翻開瀏覽器，訪問PC3上的網頁ftp將會看到“ftp:connect:連接超時〞，說明已經阻塞了Ftp包。運行iptables-DINPUT1可刪除該規那么。21.7網絡入侵檢測系統snort的安裝和使用

21.7.1實驗目的通過本實驗，讀者可以掌握以下技能：*學會在Linux環境中安裝snort；*學會在Linux環境中安裝nmap(一個端口掃描工具)；*學習配置snort，檢測網絡入侵。

21.7.2設備需求本實驗需要以下設備：*PC機三臺，應帶網卡，安裝LinuxReahat9.0操作系統；*播送式Hub一臺，雙絞線三根。21.7.3實驗環境及配置說明本實驗采用的三臺PC機通過Hub相互連接，設備連接如圖21-48所示。

實驗中分配的IP地址，PC1為，PC2為，PC3為。子網掩碼均為。

圖21-48Snort實驗設備連接圖

21.7.4實驗內容1．在PC2上安裝snort(1)從下載最新版的snort，保存到硬盤。(2)運行以下命令，安裝snort：#tar-zxvfsnort-*.tar.gz(*為版本號)#./configure#make#makeinstall(3)在/var/log目錄下運行以下命令，新建一個目錄，保存報警記錄：#mkdir/var/log/snort自此snort安裝完畢。(4)運行以下命令，啟動snort檢測入侵：#./2．在PC1上安裝nmap(1)從下載最新版nmap的RPM包，保存到硬盤。(2)運行以下命令，安裝nmap：#rpm-ivhnmap-*.i386.rpm(*為版本號)自此nmap安裝完畢。(3)運行nmap掃描PC3：#nmap3．在PC2上檢查snort檢測入侵結果(1)進入/var/log/snort目錄：#cd/var/log/snort(2)該目錄下有個“〞的目錄，進入該目錄：#cd(3)該目錄下有個“ICMP_ECHO〞文件，翻開該文件：#viICMP_ECHO文件內容為：[**]ICMPPINGNMAP[**]01/27-09:48:14.1629420:E0:4C:DD:19:EF->0:C:F1:73:54:81type:0x800len:0x3C->ICMPTTL:39TOS:0x0ID:15872IpLen:20DgmLen:28Type:8Code:0ID:37377Seq:41903ECHO

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=由此可見，snort已檢測到通過nmap對進行的端口掃描。

21.8常見木馬的檢測、去除方法和工具的使用21.8.1實驗目的通過本實驗，讀者可以掌握以下技能：*掌握目前網絡中常見的七種木馬的檢測及去除方法；*學會使用工具檢測并去除木馬。21.8.2設備需求本實驗需要以下設備：*PC機一臺，安裝Windows2000操作系統。

21.8.3實驗環境及配置說明安裝實驗中需要檢測的木馬包括：網絡公牛、Netspy、SubSeven、冰河、網絡神偷、廣外女生等。

21.8.4實驗內容1．常見木馬的檢測和去除1)網絡公牛(Netbull)(1)木馬特征：網絡公牛默認的連接端口為23444。效勞端程序newserver.exe運行后，會自動脫殼成checkdll.exe，位于C:\Windows\System下，下次開機后checkdll.exe將自動運行，具有較強的隱蔽性。同時，效勞端運行后會自動捆綁以下文件(Windows2000下)：notepad.exe，regedit.exe，reged32.exe，drwtsn32.exe，winmine.exe效勞端運行后還會捆綁在開機時自動運行的第三方軟件，如realplay.exe、QQ、ICQ等，同時會在注冊表中建立鍵值。網絡公牛采用的是文件捆綁功能，它和上面所列出的文件捆綁在一塊，要去除非常困難。用戶通過判斷文件長度是否發生變化，可分析是否中了木馬。(2)去除方法：*刪除網絡公牛的自啟動程序C:\Windows\System\Checkdll.exe。*把網絡公牛在注冊表中所建立的鍵值全部刪除。*檢查上面列出的文件，如果發現文件長度發生變化(大約增加了40KB左右，可以通過與其他機子上的正常文件比較而知)，就刪除它們。然后點擊“開始〞→“附件〞→“系統工具〞→“系統信息〞→“工具〞→“系統文件檢查器〞，在彈出的對話框中選中“從安裝軟盤提取一個文件(E)〞，在框中填入要提取的文件(前面刪除的文件)，點“確定〞按鈕，然后按屏幕提示將這些文件恢復即可。如果是開機時自動運行的第三方軟件，如realplay.exe、QQ、ICQ等被捆綁上了，那就把這些文件刪除，再重新安裝。2)Netspy(網絡精靈)(1)木馬特征：Netspy又名網絡精靈，默認連接端口為7306。客戶端通過IE或Navigate就可以對效勞器端進行遠程監控。效勞器端程序被執行后，會在C:\Windows\System目錄下生成netspy.exe文件。同時在注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\下建立鍵值C:\Windows\System\netspy.exe，用于在系統啟動時自動加載運行。(2)去除方法：*重新啟動機器并在出現StaringWindows提示時，按F5鍵進入命令行狀態。在C:\Windows\System\目錄下輸入以下命令：delnetspy.exe*進入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\，刪除Netspy的鍵值，即可平安去除Netspy。3)SubSeven(1)木馬特征：SubSeven效勞器端程序只有54.5KB，很容易被捆綁到其他軟件上而不被發現。效勞器端程序為server.exe，客戶端程序為subseven.exe。SubSeven效勞器端被執行后，每次啟動的進程名都會發生變化，因此很難查找。(2)去除方法：*翻開注冊表Regedit，進入HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RunService，如果有加載文件，就刪除右邊的工程：加載器="C:\Windows\System\***"。注：加載器和文件名是隨意改變的。*翻開win.ini文件，檢查“run=〞后有沒有加上某個可執行文件名，如有那么刪除之。*翻開system.ini文件，檢查“shell=explorer.exe〞后有沒有跟某個文件，如有，那么將后跟的文件刪除。*重新啟動Windows，刪除相對應的木馬程序，一般在C:\Windows\System下。4)冰河(1)木馬特征：這里介紹的是對其標準版的去除，掌握了如何去除標準版，再來對付變種冰河就很容易了。冰河的效勞器端程序為G-server.exe，客戶端程序為G-client.exe，默認連接端口為7626。一旦運行G-server，那么該程序就會在C:\Windows\System目錄下生成Kernel32.exe和sy***plr.exe，并刪除自身。Kernel32.exe在系統啟動時自動加載運行，sy***plr.exe和TXT文件關聯。即使刪除了Kernel32.exe，但只要翻開TXT文件，sy***plr.exe就會被激活，再次生成Kernel32.exe。(2)去除方法：*刪除C:\Windows\System下的Kernel32.exe和Sy***plr.exe文件。*冰河會在注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下扎根，鍵值為C:\Windows\System\Kernel32.exe，刪除它。*在注冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runservices下，還有鍵值為C:\Windows\System\Kernel32.exe的，也要刪除。*修改注冊表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默認值，由表中木馬后的C:\Windows\System\Sy***plr.exe%1改為正常的C:\Windows\notepad.exe%1，即可恢復TXT文件關聯功能。5)網絡神偷(Nethief)(1)木馬特征：“網絡神偷〞是個反彈端口型木馬。與一般的木馬相反，反彈端口型木馬的效勞器端(被控制端)使用主動端口，客戶端(控制端)使用被動端口。為了隱蔽起見，客戶端的監聽端口一般開在80，這樣即使用戶使用端口掃描軟件檢查自己的端口，發現的也是類似“TCP效勞器端的IP地址：1026客戶端的IP地址:80ESTABLISHED〞的情況，稍微疏忽一點就會以為是自己在瀏覽網頁。(2)去除方法：*網絡神偷會在注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下建立鍵值“internet〞，其值為“internet.exe/s〞，將該鍵值刪除。*刪除其自啟動程序C:\Windows\System\internet.exe。6)廣外女生(1)木馬特征：“廣外女生〞是一種新出現的遠程監控工具，破壞性很大，能實現遠程上傳、下載、刪除文件、修改注冊表等功能。而且“廣外女生〞效勞器端被執行后，會自動檢查進程中是否含有“金山毒霸〞、“天網〞等字樣，如果發現就將該進程終止，使防火墻完全失去作用。(2)去除方法：*啟動到純DOS模式下，找到System目錄下的diagfg.exe，刪除它。*找到Windows目錄中的注冊表編輯器“Regedit.exe〞，將它改名為“Regedit〞。*回到Windows模式下，運行Windows目錄下的Regedit程序(就是我們剛剛改名的文件)。7)WAY2.4(1)木馬特征：WAY2.4默認的連接端口是8011。WAY2.4效勞器端被運行后，在C:\Windows\system下生成msgsvc.exe文件，圖標是文本文件的圖標。同時，WAY2.4在注冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下建立串值Msgtask。(2)去除方法：用進程管理工具查看，會發現進程CWAY，只要刪除它在注冊表中的鍵值，再刪除C:\Windows\System下的msgsvc.exe文件就可以了。需要注意的是：在Windows下無法直接刪除msgsvc.exe，可以用進程管理工具終止它的進程，然后再刪除它。或者到DOS下刪除msgsvc.exe。如果效勞器端已經和可執行文件捆綁在一起了，那就只有將該可執行文件刪除才能去除該病毒。注意在刪除前做好備份。2．木馬檢測工具的使用Anti-TrojanShield是一款享譽歐洲的專業木馬偵測、攔截及去除軟件。讀者可以從://atshield/index.php?r=download下載試用版。(1)從上面的網站下載安裝軟件ats1.exe。(2)雙擊該軟件，根據提示完成安裝。(3)運行Anti-TrojanShield，如圖21-49所示。圖21-49Anti-TrojanShield運行圖

(4)選擇掃描對象，然后點擊“Start〞，開始對目標進行掃描，如圖21-50所示。圖21-50掃描示意圖

(5)如果軟件找到木馬會提示，并把該木馬顯示出來，如圖21-51所示。

圖21-51報警示意圖

此時，讀者可以根據實際情況選擇“Delete〞刪除或“Quarantine〞隔離該木馬。如圖21-52所示，讀者還可以根據需要，在“Setup〞標簽下勾選“scanarchives〞選項，這樣就可以對ZIP、RAR、ARJ和CAB等壓縮包內部進行掃描。勾選“UseProgramcodeanalysis〞，可以對程序進行代碼分析，查找出未知的木馬程序，這有點類似于反病毒軟件中的“啟發式查毒〞，但是掃描速度會減慢。另外，默認選擇“Min[highspeed]〞項，那么只對可執行文件進行掃描，建議選擇“Max[lowspeed]〞，對所有文件都進行掃描。圖21-52木馬處理

21.9Windump軟件的安裝和使用

21.9.1實驗目的通過本實驗，讀者可以掌握以下技能：*學會在Windows環境下搭建Windump使用環境；*學會使用Windump對網絡流量進行統計分析。

21.9.2設備需求本實驗需要以下設備：*PC機兩臺以上，應帶網卡，分別安裝Windows2000和LinuxReahat9.0操作系統以及其他操作系統；*播送式Hub一臺，雙絞線兩根以上。21.9.3實驗環境及配置說明本實驗采用的兩臺PC機通過Hub相互連接，設備連接如圖21-53所示。

實驗中分配的IP地址：PC1為，PC2為，依次類推。子網掩碼均為。在PC1上安裝Windows2000操作系統，在其他PC機上安裝Windows2000操作系統或UNIX/Linux系統均可。配置完成后，PC機應能通過Hub互相訪問。

圖21-53Windump實驗設備連接圖

21.9.4實驗內容(1)從://windump.polito.it/install/default.htm下載所需軟件，包括winpcap.exe和windump.exe。(2)執行winpcap.exe程序，將所需的驅動裝入系統。(3)執行windump.exe程序，對網絡進行監聽。①監聽源或者目標地址為某臺主機的包：windumphosthost例如：windump，監聽結果如圖21-54所示(其中的主機howareyou即3)。圖21-54監聽源或者目標地址

②監聽某兩臺機器間的通信。例如監聽3與192.1688.3之間的通信：windump(注：參數-n的作用是以IP地址的方式顯示通信雙方，而不是以主機名的形式顯示雙方，可以去掉。)圖21-55監聽某兩臺機器間的通信

③監聽某臺主機與指定主機外的所有通信包。例如監聽3與除之外的所有包：windump監聽結果如圖21-56所示。

圖21-56監聽某臺主機與指定主機外的所有通信包

④監聽某臺主機向外發包的情況。例如監聽3向外發包的情況：windump-nsrc(注：如果用dst替換src，就可以監聽所有發給3的包了。)監聽結果如圖21-57所示。

圖21-57監聽某臺主機向外發包的情況

⑤將所監聽的包存入某個文件中。例如：windump此命令會將①的結果存入文件output中，而不是在屏幕上顯示。⑥將以前收集的監聽包進行重放。例如：windump此命令會將⑤中收集到的有關3的包進行重放，以便對以前某個時刻該主機的通信情況進行重新分析。21.10Windows2000系統平安增強21.10.1實驗目的通過本實驗，讀者可以掌握以下技能：*學會通過配置提高Windows系統的平安性。21.10.2設備需求本實驗需要以下設備：*PC機兩臺，其中一臺安裝Windows2000操作系統，另外一臺安裝Windows2000操作系統或UNIX/Linux系統均可。*Hub一臺，雙絞線兩條。21.10.3實驗環境及配置說明本實驗采用的兩臺PC機通過Hub相互連接，設備連接如圖21-58所示。實驗中分配的IP地址：PC1為，PC2為，子網掩碼均為。在PC1上安裝默認配置的Windows2000操作系統，在PC2上安裝Windows2000操作系統或UNIX/Linux系統均可，并安裝漏洞掃描軟件。配置完成后，兩臺PC機應能通過Hub互相訪問。圖21-58Windows2000系統平安增強實驗設備連接圖21.10.4實驗內容1．關閉默認共享在默認狀態下，Windows2000/XP會開啟所有分區的隱藏共享。選擇“開始〞→“設置〞→“控制面板〞→“管理工具〞→在“計算機管理〞窗口下選擇“系統工具〞→“共享文件夾〞→“共享〞，就可以看到硬盤上的每個分區名后面都加了一個“$〞，如圖21-59所示。圖21-59默認共享示意圖

如果讀者的Windows系統Administrator的密碼為空或為弱密碼