網(wǎng)絡(luò)安全課程實(shí)驗(yàn)指導(dǎo)書

1、文檔來源為 :從網(wǎng)絡(luò)收集整理 .word 版本可編輯 .歡迎下載支持網(wǎng)絡(luò)安全課程實(shí)驗(yàn)安排及指導(dǎo)書2009-10-2120文檔來源為 : 從網(wǎng)絡(luò)收集整理 .word 版本可編輯 .歡迎下載支持實(shí)驗(yàn)安排1、推薦必做實(shí)驗(yàn)網(wǎng)絡(luò)掃描 計(jì)算機(jī)病毒及惡意代碼 防火墻實(shí)驗(yàn) 入侵檢測系統(tǒng)2、推薦選作實(shí)驗(yàn)VPN 配置 證書的申請和使用 windows 安全配置實(shí)驗(yàn)實(shí)驗(yàn)一： 網(wǎng)絡(luò)掃描實(shí)驗(yàn)【實(shí)驗(yàn)?zāi)康摹苛私鈷呙璧幕驹?，掌握基本方法，最終鞏固主機(jī)安全【實(shí)驗(yàn)內(nèi)容】1、學(xué)習(xí)使用 Nmap 的使用方法 2、學(xué)習(xí)使用漏洞掃描工具【實(shí)驗(yàn)環(huán)境】1、 硬件 PC 機(jī)一臺。2、 系統(tǒng)配置：操作系統(tǒng) windows XP 以上?！緦?shí)驗(yàn)

2、步驟】1、端口掃描1) 解壓并安裝 ipscan15.zip ，掃描本局域網(wǎng)內(nèi)的主機(jī)2) 解壓 nmap-4.00-win32.zip ，安裝 WinPcap運(yùn)行cmd.exe，熟悉nmap命令(詳見Nmap詳解.mht”)。3) 試圖做以下掃描： 掃描局域網(wǎng)內(nèi)存活主機(jī)， 掃描某一臺主機(jī)或某一個網(wǎng)段的開放端口 掃描目標(biāo)主機(jī)的操作系統(tǒng) 試圖使用 Nmap 的其他掃描方式，偽源地址、隱蔽掃描等2、漏洞掃描解壓X-Scan-v3.3-cn.rar，運(yùn)行程序xscan_gui.exe，將所有模塊選擇掃描，掃描本機(jī)，或 局域網(wǎng)內(nèi)某一臺主機(jī)的漏洞【實(shí)驗(yàn)報(bào)告】1、說明程序設(shè)計(jì)原理。2、提交運(yùn)行測試結(jié)果?！緦?shí)

3、驗(yàn)背景知識】1、掃描及漏洞掃描原理見 第四章黑客攻擊技術(shù) .ppt2、NMAP 使用方法掃描器是幫助你了解自己系統(tǒng)的絕佳助手。 象 Windows 2K/XP 這樣復(fù)雜的操作系統(tǒng)支持應(yīng)用軟件打開數(shù)百個端口與其他客戶程序或服務(wù)器通信，端口掃描是檢測服務(wù)器上運(yùn)行了哪些服務(wù)和應(yīng)用、向 Internet 或其他網(wǎng)絡(luò)開放了哪些聯(lián)系通道的一種辦法，不僅速 度快，而且效果也很不錯。Nmap 被開發(fā)用于允許系統(tǒng)管理員察看一個大的網(wǎng)絡(luò)系統(tǒng)有哪些主機(jī)以及其上運(yùn)行 何種服務(wù)。 它支持多種協(xié)議的掃描如 UDP， TCP connect(),TCP SYN (half open), ftp proxy (bounce

4、attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,Xmas Tree, SYN sweep, 和 Null 掃描。你可以從 SCAN TYPES 一節(jié)中察看相關(guān)細(xì)節(jié)。 nmap 還提供一些實(shí)用功能如通過 tcp/ip 來甄別操作系統(tǒng)類型、秘密掃描、動態(tài)延遲和重發(fā)、平 行掃描、通過并行的 PING 偵測下屬的主機(jī)、欺騙掃描、端口過濾探測、直接的 RPC 掃 描、分布掃描、靈活的目標(biāo)選擇以及端口的描述。一、安裝 NmapNmap要用到一個稱為“Windows包捕獲庫的驅(qū)動程序 WinPcap如果你經(jīng)常從網(wǎng)上下載流媒體電影，可能已經(jīng)熟悉

5、這個驅(qū)動程序 某些流媒體電影的地址是加密 的，偵測這些電影的真實(shí)地址就要用到 WinPcap。 WinPcap 的作用是幫助調(diào)用程序 (即這 里 的 Nmap） 捕 獲 通 過 網(wǎng) 卡 傳 輸 的 原 始 數(shù) 據(jù) 。 WinPcap 的 最 新 版 本 在 http:/netgroup-serv.polito.it/winpcap ，支持 XP/2K/Me/9x 全系列操作系統(tǒng)， 下載得到的是 一個執(zhí)行文件， 雙擊安裝， 一路確認(rèn)使用默認(rèn)設(shè)置就可以了， 安裝好之后需要重新啟動。接下來下載Nmap。下載好之后解開壓縮，不需要安裝。除了執(zhí)行文件nmap.exe之外，它還有下列參考文檔 : nmap

6、-os-fingerprints: 列出了 500 多種網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)的堆棧標(biāo)識信息。 nmap-protocols:Nmap 執(zhí)行協(xié)議掃描的協(xié)議清單。nmap-rpc:遠(yuǎn)程過程調(diào)用（RPC）服務(wù)清單，Nmap用它來確定在特定端口上監(jiān)聽的 應(yīng)用類型。nmap-services: 個TCP/UDP服務(wù)的清單，Nmap用它來匹配服務(wù)名稱和端口號。除了命令行版本之外， 還提供了一個帶 GUI 的 Nmap 版本。和其 他常見的 Windows 軟件一樣， GUI 版本需要安裝，圖一就是 GUI 版 Nmap 的運(yùn)行界面。 GUI 版的功能基本上和命令行版本一樣，

7、鑒于許多人更喜歡用命令行版本，本文后面的 說明就以命令行版本為主。圖一二、常用掃描類型解開 Nmap 命令行版的壓縮包之后， 進(jìn)入 Windows 的命令控制臺， 再轉(zhuǎn)到安裝 Nmap 的目錄（如果經(jīng)常要用 Nmap，最好把它的路徑加入到 PATH環(huán)境變量）。不帶任何命令行 參數(shù)運(yùn)行 Nmap， Nmap 顯示出命令語法，如圖二所示。圖二下面是 Nmap 支持的四種最基本的掃描方式 : TCP connect（）端口掃描（-sT 參數(shù)）。TCP同步（SYN）端口掃描（-sS參數(shù)）。 UDP 端口掃描 （-sU 參數(shù) ）。Ping掃描（-sP參數(shù)）。如果要勾畫一個網(wǎng)絡(luò)的整體情況， Ping 掃描

8、和 TCP SYN 掃描最為實(shí)用。 Ping 掃描 通過發(fā)送 ICMP（Internet Control Message Protocol ，Internet 控制消息協(xié)議 ）回應(yīng)請求數(shù)據(jù) 包和TCP應(yīng)答（Acknowledge，簡寫ACK）數(shù)據(jù)包，確定主機(jī)的狀態(tài)，非常適合于檢測指 定網(wǎng)段內(nèi)正在運(yùn)行的主機(jī)數(shù)量。TCP SYN掃描一下子不太好理解，但如果將它與TCP connect（）掃描比較，就很容易看出這種掃描方式的特點(diǎn)。在TCP connect（）掃描中，掃描器利用操作系統(tǒng)本身的系統(tǒng)調(diào)用打開一個完整的 TCP 連接 也就是說，掃描器打開了兩個主機(jī)之間的完整握手過 程（SYN，SYN-ACK

9、，和ACK）。一次完整執(zhí)行的握手過程表明遠(yuǎn)程主機(jī)端口是打開的。TCP SYN掃描創(chuàng)建的是半打開的連接，它與TCP connect。掃描的不同之處在于，TCP SYN掃描發(fā)送的是復(fù)位（RST）標(biāo)記而不是結(jié)束 ACK標(biāo)記（即，SYN，SYN-ACK，或 RST）:如果遠(yuǎn)程主機(jī)正在監(jiān)聽且端口是打開的，遠(yuǎn)程主機(jī)用SYN-ACK應(yīng)答，Nmap發(fā)送一個RST;如果遠(yuǎn)程主機(jī)的端口是關(guān)閉的，它的應(yīng)答將是 RST，此時(shí)Nmap轉(zhuǎn)入下一個端口。圖三是一次測試結(jié)果，很明顯， TCP SYN掃描速度要超過 TCP connect（）掃描。采 用默認(rèn)計(jì)時(shí)選項(xiàng)，在 LAN 環(huán)境下掃描一個主機(jī)， Ping 掃描耗時(shí)不到十秒

10、， TCP SYN 掃 描需要大約十三秒，而 TCP conn ect（）掃描耗時(shí)最多，需要大約 7分鐘。圖三Nmap 支持豐富、靈活的命令行參數(shù)。例如，如果要掃描 192.168.7 網(wǎng)絡(luò)，可以用 192.168.7.x/24 或 -255 的形式指定 IP 地址范圍。指定端口范圍使用 -p 參數(shù)， 如果不指定要掃描的端口， Nmap 默認(rèn)掃描從 1 到 1024 再加上 nmap-services 列出的端 口。如果要查看 Nmap 運(yùn)行的詳細(xì)過程，只要啟用 verbose 模式，即加上 -v 參數(shù)，或者加 上 -vv 參數(shù)獲得更加詳細(xì)的信息。例如，nmap -sS

11、-255 -p 20,21,53-110,30000-v命令，表示執(zhí)行一次 TCP SYN掃描，啟用verbose模式，要掃描的網(wǎng)絡(luò)是 192.168.7, 檢測 20、21、53 到 110 以及 30000 以上的端口 （指定端口清單時(shí)中間不要插入空格）。再舉一個例子, nmap -sS /24 -p 80 掃描 192.168.0 子網(wǎng),查找在 80 端口監(jiān)聽的 服務(wù)器 （通常是 Web 服務(wù)器 ）。有些網(wǎng)絡(luò)設(shè)備,例如路由器和網(wǎng)絡(luò)打印機(jī),可能禁用或過濾某些端口,禁止對該設(shè) 備或跨越該設(shè)備的掃描。初步偵測網(wǎng)絡(luò)情況時(shí),-host_timeout參數(shù)

12、很有用,它表示超時(shí)時(shí)間,例如 nmap sS host_timeout 10000 命令規(guī)定超時(shí)時(shí)間是 10000 毫秒。網(wǎng)絡(luò)設(shè)備上被過濾掉的端口一般會大大延長偵測時(shí)間,設(shè)置超時(shí)參數(shù)有時(shí)可以顯著降低掃描網(wǎng)絡(luò)所需時(shí)間。 Nmap 會顯示出哪些網(wǎng)絡(luò)設(shè)備響應(yīng)超時(shí),這時(shí)你就可以對這些 設(shè)備個別處理,保證大范圍網(wǎng)絡(luò)掃描的整體速度。當(dāng)然,host_timeout 到底可以節(jié)省多少掃描時(shí)間,最終還是由網(wǎng)絡(luò)上被過濾的端口數(shù)量決定。Nmap 的手冊 （man 文檔）詳細(xì)說明了命令行參數(shù)的用法（雖然 man 文檔是針對 UNIX版 Nmap 編寫的,但同樣提供了 Win32 版本的說明 ）

13、。三、注意事項(xiàng)也許你對其他端口掃描器比較熟悉,但 Nmap 絕對值得一試。建議先用 Nmap 掃描 一個熟悉的系統(tǒng),感覺一下 Nmap 的基本運(yùn)行模式,熟悉之后,再將掃描范圍擴(kuò)大到其 他系統(tǒng)。 首先掃描內(nèi)部網(wǎng)絡(luò)看看 Nmap 報(bào)告的結(jié)果, 然后從一個外部 IP 地址掃描, 注意 防火墻、入侵檢測系統(tǒng)（IDS）以及其他工具對掃描操作的反應(yīng)。通常，TCP connect。會引起 IDS 系統(tǒng)的反應(yīng), 但 IDS 不一定會記錄俗稱 “半連接 ”的 TCP SYN 掃描。最好將 Nmap 掃描網(wǎng)絡(luò)的報(bào)告整理存檔,以便隨后參考。如果你打算熟悉和使用 Nmap，下面幾點(diǎn)經(jīng)驗(yàn)可能對你有幫助： 避免誤解。不要

14、隨意選擇測試 Nmap 的掃描目標(biāo)。許多單位把端口掃描視為惡 意行為，所以測試 Nmap 最好在內(nèi)部網(wǎng)絡(luò)進(jìn)行。如有必要，應(yīng)該告訴同事你正在試驗(yàn)端 口掃描，因?yàn)閽呙杩赡芤l(fā) IDS 警報(bào)以及其他網(wǎng)絡(luò)問題。 關(guān)閉不必要的服務(wù)。 根據(jù) Nmap 提供的報(bào)告 ( 同時(shí)考慮網(wǎng)絡(luò)的安全要求 ) ，關(guān)閉不 必要的服務(wù)， 或者調(diào)整路由器的訪問控制規(guī)則 (ACL) ，禁用網(wǎng)絡(luò)開放給外界的某些端口。 建立安全基準(zhǔn)。在 Nmap 的幫助下加固網(wǎng)絡(luò)、搞清楚哪些系統(tǒng)和服務(wù)可能受到 攻擊之后，下一步是從這些已知的系統(tǒng)和服務(wù)出發(fā)建立一個安全基準(zhǔn)，以后如果要啟用 新的服務(wù)或者服務(wù)器，就可以方便地根據(jù)這個安全基準(zhǔn)執(zhí)行。實(shí)驗(yàn)二：

15、計(jì)算機(jī)病毒及惡意代碼【實(shí)驗(yàn)?zāi)康摹?練習(xí)木馬程序安裝和攻擊過程， 了解木馬攻擊原理， 掌握手工查殺木馬的基本方法， 提 高自己的安全意識。【實(shí)驗(yàn)內(nèi)容】安裝木馬程序 NetBus ，通過冰刃 iceberg 、 autoruns.exe 了解木馬的加載及隱藏技術(shù)【實(shí)驗(yàn)步驟】1、木馬安裝和使用1) 在菜單運(yùn)行中輸入 cmd 打開 dos 命令編輯器2 ) 安裝 netbus 軟件3) 在 DOS 命令窗口啟動進(jìn)程并設(shè)置密碼4) 打開木馬程序，連接別人主機(jī)5) 控制本地電腦打開學(xué)院網(wǎng)頁6) 查看自己主機(jī)7) 查看任務(wù)管理器進(jìn)程8 移除木馬控制程序進(jìn)程查看任務(wù)管理器(注意： Patch.exe 進(jìn)程已經(jīng)

16、關(guān)閉)2、木馬防御實(shí)驗(yàn)在木馬安裝過程可以運(yùn)行一下軟件查看主機(jī)信息變化：1) 使用 autoruns.exe 軟件， 查看 windows 程序啟動程序的位置， 了解木馬的自動加載技術(shù)。 如自動運(yùn)行進(jìn)程(下圖所示) 、IE 瀏覽器調(diào)運(yùn)插件、任務(wù)計(jì)劃等：2) 查看當(dāng)前運(yùn)行的進(jìn)程， windows 提供的任務(wù)管理器可以查看當(dāng)前運(yùn)行的進(jìn)程，但其提供 的信息不全面。利用第三方軟件可以更清楚地了解當(dāng)前運(yùn)行進(jìn)程的信息。這里 procexp.exe 為例啟動 procexp.exe 程序，查看當(dāng)前運(yùn)行進(jìn)程所在位置，如圖所示：3) 木馬綜合查殺練習(xí)使用冰刃 IceSword 查看木馬可能修改的位置： 主要進(jìn)行以

17、下練習(xí)：1) 查看當(dāng)前通信進(jìn)程開放的端口。木馬攻擊2) 查看當(dāng)前啟動的服務(wù)3) 練習(xí)其他功能，如強(qiáng)制刪除其他文件，SPI、內(nèi)核模塊等?！緦?shí)驗(yàn)報(bào)告】1、分析木馬傳播、自啟動、及隱藏的原理。2、提交運(yùn)行測試的結(jié)果，并分析?！颈尘爸R】NetBus由兩部分組成：客戶端程序（netbus.exe）和服務(wù)器端程序（通常文件名為：patch.exe）。要想 控制”遠(yuǎn)程機(jī)器，必須先將服務(wù)器端程序安裝到遠(yuǎn)程機(jī)器上-這一般是 通過遠(yuǎn)程機(jī)器的主人無意中運(yùn)行了帶有 NetBus 的所謂特洛伊木馬程序后完成的。NetBus 服務(wù)器端程序是放在 Windows 的系統(tǒng)目錄中的， 它會在 Windows 啟動時(shí)自動啟 動

18、。該程序的文件名是patch.exe，如果該程序通過一個名為whackamole.exe的游戲安裝潛伏的話，文件名應(yīng)為 explore.exe （注意：不是 explorer.exe!）或者簡單地叫 game.exeo 同時(shí)，你可以檢查 Windows 系統(tǒng)注冊表， NetBus 會在下面路徑中加入其自身的啟動項(xiàng)：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun NetBus 通 過該注冊項(xiàng)實(shí)現(xiàn) Windows 啟動時(shí)的自動啟動。 但如果你按 Ctrl+Alt+Del ，在任務(wù)列表中是看 不到它的存在的。正確的去除方法如下

19、：1、運(yùn)行 regedit.exe；2、找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun；3、將 patch 項(xiàng)刪除（或者 explore 項(xiàng)）；4、 重新啟動機(jī)器后刪除Windows系統(tǒng)目錄下的patch.exe （或者explore.exe）即可。實(shí)驗(yàn)三： 防火墻實(shí)驗(yàn)【實(shí)驗(yàn)?zāi)康摹空莆諅€人防火墻的使用及規(guī)則的設(shè)置【實(shí)驗(yàn)內(nèi)容】防火墻設(shè)置，規(guī)則的設(shè)置，檢驗(yàn)防火墻的使用?！緦?shí)驗(yàn)環(huán)境】3、硬件 PC 機(jī)一臺。4、系統(tǒng)配置：操作系統(tǒng) windows XP 以上?！緦?shí)驗(yàn)步驟】（ 有兩種可選方式， 1 、以天網(wǎng)防火墻為例，學(xué)習(xí)防火墻

20、的規(guī)則設(shè)置，2 、通過 winroute 防火墻學(xué)習(xí)使用規(guī)則設(shè)置，兩者均需安裝虛擬機(jī) ）一、虛擬機(jī)安裝與配置驗(yàn)證 virtual PC 是否安裝在 xp 操作系統(tǒng)之上，如果沒有安裝，從獲取相關(guān)軟件并安裝； 從教師機(jī)上獲取 windows 2000 虛擬機(jī)硬盤二、包過濾防火墻 winroute 配置（可選）1、從教師機(jī)上獲取winroute 安裝軟件并放置在 windows 2000 上安裝2、安裝默認(rèn)方式進(jìn)行安裝，并按提示重啟系統(tǒng)3、登陸虛擬機(jī) ,打開 winroute 以管理員的身份登錄，打開開始 WinRoute ProWinRoute Administration ，輸入 IP 地址 或

21、計(jì)算機(jī)名，以及 WinRoute 管理員帳號（默認(rèn)為 Admin ）、密碼（默認(rèn)為空）3、打開菜單SettingAdvancedPacket Filter4、在 Packet Filter 對話框中，選中 Any interface 并展開 雙擊 No Rule 圖標(biāo)，打開 Add Item 對話框 在 Protocol 下拉列表框中選擇 ICMP ，開始編輯規(guī)則配置 Destination ： type 為 Host,IP Address 為 （x 為座位號 ）5、在 ICMP Types 中，選中 All 復(fù)選項(xiàng) 在 Action 區(qū)域，選擇 Drop 項(xiàng) 在 Lo

22、g Packet 區(qū)域選中 Log into Window 其他各項(xiàng)均保持默認(rèn)值，單擊 OK 單擊 OK ，返回主窗口6、合作伙伴間ping對方IP,應(yīng)該沒有任何響應(yīng) 打開菜單 ViewLogsSecurity Log , 詳細(xì)查看日志記錄 禁用或刪除規(guī)則8、用 WinRoute 控制某個特定主機(jī)的訪問（選作） 要求學(xué)生在虛擬機(jī)安裝 ftp 服務(wù)器。1）打開 Win Route,打開菜單 Setti ngsAdva ncedPacket Filter 選擇，Outgoi ng 標(biāo)簽2）選擇Any In terface并展開，雙擊 No Rule，然后選擇TCP協(xié)議3）配置 Destinatio

23、n 框：type 為 Host， IP Address 為 （2 為合作伙伴座位號）4）、 在Source框中：端口范圍選擇 Greater than（），然后輸入10245）以 21 端口作為 Destination Port 值6）在 Action 區(qū)域,選擇 Deny 選項(xiàng)7）選擇 Log into window 選項(xiàng)8）應(yīng)用以上設(shè)置,返回主窗口9）合作伙伴間互相建立到對方的 FTP 連接，觀察失敗信息10）禁用或刪除 FTP 過濾三、包過濾天網(wǎng)防火墻配置（可選）1、安裝解壓，單擊安裝文件 SkynetPFW_Retail_Release_v2.77_Build12

24、28.EXE 安裝按缺省的 設(shè)置安裝，注：破解1）將兩個文件Cr-PFW.exe和PFW.bak 起復(fù)制到軟件安裝目錄中2）運(yùn)行破解補(bǔ)丁 Cr-PFW.exe ，覆蓋原主程序即可2、熟悉防火墻規(guī)則 啟動防火墻并 ”單擊自定義規(guī)則 ”如圖 熟悉規(guī)則的設(shè)置： 雙擊如下選項(xiàng)： “允許自己用 ping 命令探測其他機(jī)器 “防止別人用 ping 命令探測” “禁止互聯(lián)網(wǎng)上的機(jī)器使用我的共享資源” “防止互聯(lián)網(wǎng)上的機(jī)器探測機(jī)器名稱”等選項(xiàng)， 熟悉其中的 IP 地址、方向，協(xié)議類型、端口號、控制位等項(xiàng)的設(shè)置。 試總結(jié)規(guī)則設(shè)置的順序，5、增加設(shè)置防火墻規(guī)則 開放部分自己需要的端口。下圖為對話框，各部分說明：1

25、 ） 新建 IP 規(guī)則的說明部分， 可以取有代表性的名字， 如 “打開 BT6881-6889 端口 ”， 說明詳細(xì)點(diǎn)也可以。還有數(shù)據(jù)包方向的選擇，分為接收，發(fā)送，接收和發(fā)送三種，可 以根據(jù)具體情況決定。2 ）就是對方 IP 地址，分為任何地址，局域網(wǎng)內(nèi)地址，指定地址，指定網(wǎng)絡(luò)地址四 種。3）IP 規(guī)則使用的各種協(xié)議，有 IP，TCP，UDP，ICMP，IGMP 五種協(xié)議，可以根 據(jù)具體情況選用并設(shè)置，如開放 IP 地址的是 IP 協(xié)議， QQ 使用的是 UDP 協(xié)議等。4 ）比較關(guān)鍵，就是決定你設(shè)置上面規(guī)則是允許還是拒絕，在滿足條件時(shí)是通行還 是攔截還是繼續(xù)下一規(guī)則，要不要記錄，具體看后面的

26、實(shí)例。試設(shè)置如下規(guī)則：1 ）禁止局域網(wǎng)的某一臺主機(jī)和自己通信通信2）禁止任何大于 1 023的目標(biāo)端口于本機(jī)連接，3）允許任何新來的 TCP 與主機(jī) 的 SMTP 連接 4、查看各個程序使用及監(jiān)聽端口的情況可以查看什么程序使用了端口，使用哪個端口，是不是有可疑程序在使用網(wǎng)絡(luò)資源， 如木馬程序， 然后可以根據(jù)要求再自定義 IP 規(guī)則里封了某些端口以及禁止某些 IP 訪問 自己的機(jī)子等等?！緦?shí)驗(yàn)報(bào)告】1、 說明包過濾放火墻的工作原理。2、 提交防火墻指定功能測試結(jié)果。實(shí)驗(yàn) 4 入侵檢測系統(tǒng)安裝和使用【實(shí)驗(yàn)?zāi)康摹客ㄟ^安裝并運(yùn)行一個 snort 系統(tǒng)，了解入侵檢測系統(tǒng)的作用和功

27、能【實(shí)驗(yàn)內(nèi)容】安裝并配置appahe,安裝并配置 MySQL，安裝并配置snort;服務(wù)器端安裝配置php腳本，通過 IE 瀏覽器訪問 IDS【實(shí)驗(yàn)環(huán)境】硬件 PC 機(jī)一臺。 系統(tǒng)配置：操作系統(tǒng) windows XP 以上?！緦?shí)驗(yàn)步驟】1、安裝appache服務(wù)器安裝的時(shí)候注意,本機(jī)的 80 端口是否被占用,如果被占用則關(guān)閉占用端口的程序。 選擇定制安裝,安裝路徑修改為 c:apache 安裝程序會自動建立 c:apache2 目錄,繼續(xù) 以完成安裝。添加 Apache 對 PHP 的支持1 ）解壓縮 php-5.2.6-Win32.zip 至 c:php2）拷貝 php5ts.dll 文件到

28、 %systemroot%system323）拷貝 php.ini-dist （ 修改文件名 ） 至 %systemroot%php.ini 修改 php.iniextension=php_gd2.dllextension=php_mysql.dll同時(shí)拷貝 c:phpextension 下的 php_gd2.dll 與 php_mysql.dll 至 %systemroot%4）添加 gd 庫的支持在 C:apacheApache2confhttpd.conf 中添加：LoadModule php5_module c:/php5/php5apache2.dllAddType applicat

29、ion 這一行下面加入下面兩行：AddType application/x-httpd-php .php .phtml .php3 .php4 AddType application/x-httpd-php-source .phps5） 添加好后,保存 http.conf 文件,并重新啟動 apache 服務(wù)器。 現(xiàn)在可以測試 php 腳本：在 c:apache2htdocs 目錄下新建 test.phptest.php 文件內(nèi)容：?phpinfo（）;?使用 http:/localhost/test.php測試 php 是否安裝成功2、安裝配置 snort安裝程序 WinPcap_4_0_2

30、.exe ;缺省安裝即可安裝Snort_2_8_1nstaller.exe ;缺省安裝即可將 snortrules-snapshot-CURRENT 目錄下的所有文件復(fù)制 （全選 ）到 c:snort 目錄下。 將文件壓縮包中的 snort.conf 覆蓋 C:Snortetcsnort.conf3、安裝 MySql 配置 mysql 解壓 mysql- ,并安裝。采取默認(rèn)安裝,注意設(shè)置 root 帳號和其密碼J 檢查是否已經(jīng)啟動 mysql 服務(wù)在安裝目錄下運(yùn)行命令： （一般為 c:mysqlbin ）mysql -u root -p輸入剛才設(shè)置的 root 密碼 運(yùn)行以下命令c:mysql

31、 -D mysql -u root -p c:snort_mysql （需要將 snort_mysql 復(fù)制到 c 盤下，當(dāng) 然也可以復(fù)制到其他目錄）運(yùn)行以下命令：c:mysqlbinmysql -D snort -u root -p c:snortschemascreate_mysqlc:mysqlbinmysql -D snort_archive -u root -p snort -dev，能看到一只正在奔跑的小豬證明工作正常查看本地網(wǎng)絡(luò)適配器編號：c:snort -W正式啟動 snort；snort -c c:snortetcsnort.conf -i 2 -l c:snortlogs

32、-deX（注意其中-i后的參數(shù)為網(wǎng)卡編號，由snort -W察看得知）這時(shí)通過 可以察看入侵檢測的結(jié)果6、利用掃描實(shí)驗(yàn)的要求掃描局域網(wǎng)，查看檢測的結(jié)果【實(shí)驗(yàn)報(bào)告】1、 簡單分析網(wǎng)絡(luò)入侵檢測snort的分析原理2、分析所安裝的入侵檢測系統(tǒng)對攻擊的檢測結(jié)果。附：Appach 啟動動命令： apache -k install| apache -k start證書的申請和使用【實(shí)驗(yàn)?zāi)康摹空莆諗?shù)字證書的申請、安裝，利用證書的使用通過 Outlook 發(fā)送和接受安全電子郵件【實(shí)驗(yàn)內(nèi)容】1、 申請免費(fèi)使用證書，了解證書的結(jié)構(gòu)2、 利用申請的證書，發(fā)送和接收具有加密和簽名認(rèn)證的電子郵件【實(shí)驗(yàn)環(huán)境】上網(wǎng)計(jì)算機(jī)，

33、 Windows 操作系統(tǒng)（最好是 Windows2000 ）。 IE5.0 以上瀏覽器【實(shí)驗(yàn)步驟】1、證書申請 （1）登錄中國數(shù)字認(rèn)證網(wǎng)網(wǎng)站： ，如圖 1 所示， 圖 1 申請證書主頁（2） 單擊 “用表格申請 ”，進(jìn)入申請網(wǎng)頁，如圖2：填寫相關(guān)信息，注意證書用途選擇，電子郵件保護(hù)證書。注意電子郵件部分填寫隨后測試郵件的自己電子郵件的郵件圖 2、申請表格 3）單擊“提交并安裝證書”4）證書查詢打開IE瀏覽器，依次點(diǎn)擊工具t In ternet選項(xiàng)宀內(nèi)容宀證書， 如圖8.11所示，點(diǎn)擊 證書按鈕后出現(xiàn)證書目錄，如圖8.12，雙擊剛才申請的試用個人證書，如圖8.13所示。需要說明的是， 由于證書

34、是試用證書，所以有該證書未生效信息， 實(shí)際上， 正式申請的 付費(fèi)證書是沒有任何問題。圖 3 互聯(lián)網(wǎng)選項(xiàng)圖 4 已經(jīng)安裝好的數(shù)字證書圖 5 證書信息2、 使用證書發(fā)送安全郵件1）選擇菜單 -工具 -選項(xiàng) 彈出對話框 選擇安全屬性頁， 復(fù)選“給待發(fā)郵件添加數(shù)字簽名” “以明文簽名發(fā)送郵件” 選擇“設(shè)置”按鈕，彈出“更改安全設(shè)置對話框”見圖 9圖 6 選項(xiàng)屬性頁2）選擇 “設(shè)置 ”按鈕 彈出“更改安全設(shè)置”對話框 圖 7 填寫名稱“選擇” 按鈕選擇剛才申請的證書 ，并選擇哈希算法和加密算法。圖 7 安全設(shè)置對話框3 ）選擇一個通信聯(lián)系人發(fā)送一個郵件（這里最好是相互發(fā)送 ）看看對方是不是收到了一個帶證

35、書的電子郵件 注意：這時(shí)只能發(fā)送簽名電子郵件，因?yàn)椴恢缹Ψ降墓€無法加密（why ？）,可以思考一下。發(fā)送加密帶簽名的電子郵件方法如下：需要知道收信人的公鑰才能加密，因此需要導(dǎo)入收信人的證書。4）導(dǎo)出收信人證書以剛才收到的帶簽名的和證書的油箱導(dǎo)入對方的證書A ） 添加剛才收到信的發(fā)信人島通信薄。B） 從剛才收到的信中到處證書。在信的右邊單擊紅色飄帶彈出對話框，并單擊“詳細(xì)信息” ，彈出對話框，選 擇 “簽字人： * ” ，并單擊“查看信息” 按鈕（如圖 8），彈出屬性頁， 選擇“查看證書按鈕” ，彈出屬性頁對話框，選擇“詳細(xì)信息” ，及“復(fù)制到文 件”按鈕（見圖9）。把證書復(fù)制到文件圖8圖9

36、5）向通信薄中聯(lián)系人添加證書。選擇菜單“工具” - “通信薄”，選擇上述接收到的郵件發(fā)件人作為聯(lián)系人，并單 擊，選擇證書屬性頁， （如圖 10），單擊“導(dǎo)入”按鈕，倒入剛才到處的文件。 圖 106）發(fā)送帶簽名和加密的電子郵件選擇菜單工具 -選項(xiàng) 彈出對話框 選擇安全屬性頁，復(fù)選“加密帶發(fā)郵件的內(nèi)容和附件” ， “給待發(fā)郵件添加數(shù)字簽名” ，“以明 文簽名發(fā)送郵件” （如圖 11）向?qū)Ψ桨l(fā)送一個電子郵件，看看是不會加密帶簽名的圖 11【實(shí)驗(yàn)報(bào)告】1、 提交運(yùn)行測試結(jié)果2、提交申請證書的分析說明3、提交認(rèn)證（簽名）和加密郵件的分析說明實(shí)驗(yàn)六：windows 安全配置實(shí)驗(yàn)【實(shí)驗(yàn)?zāi)康摹空莆?windo

37、ws 的安全設(shè)置，加固操作系統(tǒng)安全【實(shí)驗(yàn)內(nèi)容】1、賬戶與密碼的安全設(shè)置2、文件系統(tǒng)的保護(hù)和加密3、啟用 安全策略與安全模板4、審核與日志查看5、利用 MBSA 檢查和配置系統(tǒng)安全【實(shí)驗(yàn)環(huán)境】7、硬件 PC 機(jī)一臺。2、系統(tǒng)配置：操作系統(tǒng) windows XP 專業(yè)版?！緦?shí)驗(yàn)步驟 】任務(wù)一 賬戶和密碼的安全設(shè)置1、刪除不再使用的賬戶，禁用 guest 賬戶 檢查和刪除不必要的賬戶 右鍵單擊“開始”按鈕，打開“資源管理器”，選擇“控制面板”中的“用 戶和密碼”項(xiàng)； 在彈出的對話框中中列出了系統(tǒng)的所有賬戶。確認(rèn)各賬戶 是否仍在使用，刪除其中不用的賬戶。 禁用 guest 賬戶打開“控制面板”中的“管

38、理工具”， 選中“計(jì)算機(jī)管理”中“本地用戶和 組”，打開“用戶”，右鍵單擊 guest 賬戶，在彈出的對話框中選擇“屬 性”，在彈出的對話框中“帳戶已停用”一欄前打勾。確定后，觀察 guest 前的圖標(biāo)變化，并再次試用 guest 用戶登陸，記錄顯 示的信息。2、啟用賬戶策略 設(shè)置密碼策略打開“控制面板”中的“管理工具”， 在“本地安全策略”中選擇“賬戶策 略”；雙擊“密碼策略”，在右窗口中，雙擊其中每一項(xiàng)，可按照需要改變 密碼特性的設(shè)置。根據(jù)選擇的安全策略，嘗試對用戶的密碼進(jìn)行修改以驗(yàn)證 策略是否設(shè)置成功，記錄下密碼策略和觀察到的實(shí)驗(yàn)結(jié)果。 設(shè)置賬戶鎖定策略打開“控制面板”中的“管理工具”，

39、 在“本地安全策略”中選擇“賬戶策 略”。雙擊“帳戶鎖定策略”。在右窗口中雙擊“賬戶鎖定閥值”， 在彈出的對話框中設(shè)置賬戶被鎖定之前 經(jīng)過的無效登陸次數(shù)（如 3 次），以便防范攻擊者利用管理員身份登陸后無 限次的猜測賬戶的密碼。在右窗口中雙擊“賬戶鎖定時(shí)間”， 在彈出的對話框中設(shè)置賬戶被鎖定的時(shí) 間(如 20 min )。重啟計(jì)算機(jī)，進(jìn)行無效的登陸(如密碼錯誤) ，當(dāng)次數(shù)超過 3 次時(shí)，記錄系 統(tǒng)鎖定該賬戶的時(shí)間，并與先前對“賬戶鎖定時(shí)間”項(xiàng)的設(shè)置進(jìn)行對比。3 開機(jī)時(shí)設(shè)置為“不自動顯示上次登陸賬戶”右鍵單擊“開始”按鈕，打開“資源管理器”，選中“控制面板”，打開“管 理工具”選項(xiàng)，雙擊“本地安

40、全策略”項(xiàng)，選擇“本地策略”中的“安全選 項(xiàng)”，并在彈出的窗口右側(cè)列表中選擇“登陸屏幕上不要顯示上次登陸的用 戶名”選項(xiàng)，啟用該設(shè)置。設(shè)置完畢后，重啟機(jī)器看設(shè)置是否生效。4.禁止枚舉賬戶名右鍵單擊“開始”按鈕，打開“資源管理器”，選中“控制面板”，打開“管 理工具”選項(xiàng)，雙擊“本地安全策略”項(xiàng)，選擇“本地策略”中的“安全選 項(xiàng)”，并在彈出的窗口右側(cè)列表中選擇“對匿名連接的額外限制”項(xiàng)，在“本地策略設(shè)置”中選擇“不允許枚舉 SAM 賬戶和共享”。 此外，在“安全選項(xiàng)”中還有多項(xiàng)增強(qiáng)系統(tǒng)安全的選項(xiàng)， 請同學(xué)們自行查看。任務(wù)二文件系統(tǒng)安全設(shè)置 打開采用 NTFS 格式的磁盤，選擇一個需要設(shè)置用戶權(quán)限

41、的文件夾。 右鍵單擊該文件夾，選擇“屬性”，在工具欄中選擇“安全”。 將“允許來自父系的可能繼承權(quán)限無限傳播給該對象”之前的勾去掉， 以去掉來自父系文件夾的繼承權(quán)限(如不去掉則無法刪除可對父系文件夾操 作用戶組的操作權(quán)限)。 選中列表中的 Everyone 組，單擊“刪除”按鈕，刪除 Everyone 組的 操作權(quán)限，由于新建的用戶往往都?xì)w屬于 Everyone 組，而 Everyone 組在 缺省情況下對所有系統(tǒng)驅(qū)動器都有完全控制權(quán)， 刪除 Everyone 組的操作權(quán) 限可以對新建用戶的權(quán)限進(jìn)行限制， 原則上只保留允許訪問此文件夾的用戶 和用戶組。 選擇相應(yīng)的用戶組，在對應(yīng)的復(fù)選框中打勾，

42、設(shè)置其余用戶組對該文件 夾的操作權(quán)限。 單擊“高級”按鈕，在彈出的窗口中，查看各用戶組的權(quán)限。 注銷計(jì)算機(jī)，用不同的用戶登陸，查看 剛才設(shè)置“桌面”文件夾的訪問 權(quán)限，將結(jié)果記錄在實(shí)驗(yàn)報(bào)告中。任務(wù)三啟用審核與日志查看1 .啟用審核策略(1) 打開“控制面板”中的“管理工具”，選擇“本地安全策略”。(2) 打開“本地策略”中的“審核策略”， 在實(shí)驗(yàn)報(bào)告中記錄當(dāng)前系統(tǒng)的審 核策略。(3) 雙擊每項(xiàng)策略可以選擇是否啟用該項(xiàng)策略， 例如“審核賬戶管理”將對 每次建立新用戶、刪除用戶等操作進(jìn)行記錄，“審核登陸事件”將對每次用 戶的登陸進(jìn)行記錄； “審核過程追蹤”將對每次啟動或者退出的程序或者進(jìn) 程進(jìn)行記

43、錄，根據(jù)需要啟用相關(guān)審核策略，審核策略啟用后，審核結(jié)果放在 各種事件日志中。2 查看事件日志(1) 打開“控制面板”中的“管理工具”，雙擊“事件查看器“，在彈出的 窗口中查看系統(tǒng)的 3 種日志。(2) 雙擊“安全日志”， 可查看有效無效、 登陸嘗試等安全事件的具體記錄， 例如：查看用戶登陸 / 注銷的日志。任務(wù)四 啟用安全策略與安全模塊1、啟用安全模板開始前，請記錄當(dāng)前系統(tǒng)的賬戶策略和審核日志狀態(tài)，以便于同實(shí)驗(yàn)后的設(shè) 置進(jìn)行比較。 單擊“開始”按鈕，選擇“運(yùn)行”按鈕，在對話框中運(yùn)行 mmc ，打開系 統(tǒng)控制臺 單擊工具欄上“控制臺”，在彈出的菜單中選擇“添加 / 刪除管理單 元”，單擊“添加”

44、，在彈出的窗口中分別選擇“安全模板”、“安全設(shè)置 和分析”，單擊“添加”按鈕后，關(guān)閉窗口，并單擊“確定”按鈕。 此時(shí)系統(tǒng)控制臺中根節(jié)點(diǎn)下添加了“安全模板”、“安全設(shè)置分析”兩個文件夾，打開“安全模板”文件夾，可以看到系統(tǒng)中存在的安全模板。右 鍵單擊模板名稱，選擇“設(shè)置描述”， 可以看到該模板的相關(guān)信息。 選擇“打 開”，右側(cè)窗口出現(xiàn)該模板的安全策略，雙擊每種安全策略可看到其相關(guān)配 置。 右鍵單擊“安全設(shè)置與分析”，選擇“打開數(shù)據(jù)庫”。在彈出的對話框 中輸入預(yù)建安全數(shù)據(jù)庫的名稱，例如起名為 mycomputer.sdb ，單擊“打 開”按鈕，在彈出的窗口中，根據(jù)計(jì)算機(jī)準(zhǔn)備配置成的安全級別，選擇一

45、個 安全模板將其導(dǎo)入。 右鍵單擊“安全設(shè)置與分析”， 選擇“立即分析計(jì)算機(jī)”， 單擊“確定” 按鈕，系統(tǒng)開始按照上一步中選定的安全模板，對當(dāng)前系統(tǒng)的安全設(shè)置是否 符合要求進(jìn)行分析。將分析結(jié)果記錄在實(shí)驗(yàn)報(bào)告中。 右鍵單擊“安全設(shè)置與分析”，選擇“立即配置計(jì)算機(jī)”，則按照第( 4 )步中所選的安全模板的要求對當(dāng)前系統(tǒng)進(jìn)行配置。 在實(shí)驗(yàn)報(bào)告中記錄實(shí)驗(yàn)前系統(tǒng)的缺省配置，接著記錄啟用安全模板后系 統(tǒng)的安全設(shè)置，記錄下比較和分析的結(jié)果。2 建安全模板 單擊“開始”按鈕，選擇“運(yùn)行”按鈕，在對話框中運(yùn)行 mmc ，打開系 統(tǒng)控制臺。 單擊工具欄上“控制臺”，在彈出的菜單中選擇“添加 / 刪除管理單 元”，單

46、擊“添加”，在彈出的窗口中分別選擇“安全模板”、“安全設(shè)置 和分析”，單擊“添加”按鈕后，關(guān)閉窗口，并單擊“確定”按鈕。 此時(shí)系統(tǒng)控制臺中根節(jié)點(diǎn)下添加了“安全模板”、“安全設(shè)置分析”兩 個文件夾，打開“安全模板”文件夾，可以看到系統(tǒng)中存在的安全模板。右 鍵單擊模板名稱，選擇“設(shè)置描述”， 可以看到該模板的相關(guān)信息。 選擇“打 開”，右側(cè)窗口出現(xiàn)該模板的安全策略，雙擊每中安全策略可看到其相關(guān)配 置。 右鍵單擊“安全設(shè)置與分析”，選擇“打開數(shù)據(jù)庫”。在彈出的對話框 中輸入預(yù)建安全數(shù)據(jù)庫的名稱，例如起名為 mycomputer.sdb ，單擊“打 開”按鈕，在彈出的窗口中，根據(jù)計(jì)算機(jī)準(zhǔn)備配置成的安全級別，選擇一個 安全模板將其導(dǎo)入。 展開“安全模板”，右鍵單擊模板所在路經(jīng) , 選擇“新加模板”，在彈 出的對話框中添如預(yù)加入的模板名稱 mytem ，在“安全模板描述“中填入