《網(wǎng)絡(luò)安全實用教程》配套PPT(人民郵電出版)ch8

第8章

網(wǎng)絡(luò)的攻擊與防護本章有四小節(jié)：8.1防火墻安全8.2黑客的攻擊與防范8.3網(wǎng)絡(luò)掃描與監(jiān)聽8.4入侵檢測與入侵防護系統(tǒng)8．1防火墻安全8.1.1防火墻概述1.防火墻的基本概念在網(wǎng)絡(luò)安全領(lǐng)域，防火墻是設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）之間的一組由軟、硬件構(gòu)成的安全設(shè)施，如圖8.1所示。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制出入網(wǎng)絡(luò)的信息流，從而有效地控制內(nèi)部網(wǎng)和外部網(wǎng)之間的信息傳輸。圖8.1防火墻基本功能示意圖2.防火墻的功能(1)掃描信息，過濾攻擊。(2)關(guān)閉不需要的端口。(3)禁止特定端口的流出通信。(4)禁止特殊站點的訪問。(5)限制特定用戶的通信。3.防火墻的不足(1)網(wǎng)絡(luò)瓶頸。(2)不能防范不經(jīng)過防火墻的信息攻擊。(3)不能防范病毒的傳播。(4)不能防范內(nèi)部人員的攻擊。4．防火墻的特征(1)內(nèi)部網(wǎng)和外部網(wǎng)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻(2)只有符合安全策略的數(shù)據(jù)才能通過防火墻(3)自身具有非常強的抗攻擊力8.1.2防火墻技術(shù)1.防火墻的體系結(jié)構(gòu)(1)過濾路由器結(jié)構(gòu)過濾路由器結(jié)構(gòu)是指由具有過濾功能的路由器充當防火墻的結(jié)構(gòu)，如圖8.2所示。(2)雙宿主機結(jié)構(gòu)雙宿主機結(jié)構(gòu)防火墻是指擔任防火墻功能的是一臺雙重宿主（雙網(wǎng)卡）主機，如圖8.3所示。圖8.3雙宿主機結(jié)構(gòu)防火墻(3)屏蔽子網(wǎng)結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)是指在內(nèi)外部網(wǎng)之間新增加一個子網(wǎng)DMZ（非軍事區(qū)），如圖8.4所示。圖8.4屏蔽子網(wǎng)結(jié)構(gòu)防火墻2.防火墻的技術(shù)分類(1)包過濾技術(shù)包過濾技術(shù)是防火墻最為基本和傳統(tǒng)的技術(shù)。所謂“包過濾”就是過濾數(shù)據(jù)包，使符合規(guī)則的數(shù)據(jù)包通過而不符合規(guī)則的數(shù)據(jù)包被拒絕或丟棄。包過濾技術(shù)防火墻工作在第三層及三層以下。靜態(tài)包過濾技術(shù)是傳統(tǒng)的包過濾技術(shù)，它是根據(jù)流過防火墻的數(shù)據(jù)包是否符合防火墻所制定的規(guī)則來決定是否允許數(shù)據(jù)包通過，它所制定的規(guī)則只檢查數(shù)據(jù)的協(xié)議、源和目標IP地址、源和目標端口。動態(tài)包過濾技術(shù)是靜態(tài)包過濾技術(shù)的發(fā)展，它可以動態(tài)地根據(jù)實際應(yīng)用請求自動生成和刪除包過濾規(guī)則，從而解決靜態(tài)包過濾制定規(guī)則難度大的問題。①包過濾技術(shù)的優(yōu)點：實現(xiàn)簡單，對設(shè)備要求較低。②包過濾技術(shù)的缺點：隨著規(guī)則的增加，規(guī)則庫變得越來越大。無法防范外部的IP欺騙。(2)應(yīng)用級網(wǎng)關(guān)應(yīng)用級網(wǎng)關(guān)也叫代理服務(wù)器，通過網(wǎng)關(guān)復制傳輸數(shù)據(jù)，防止在受信任的服務(wù)器或客戶機與不受信任的主機間建立直接的聯(lián)系。應(yīng)用級網(wǎng)關(guān)防火墻建立在應(yīng)用層。(3)電路級網(wǎng)關(guān)電路級網(wǎng)關(guān)防火墻通過檢查握手信息來判斷是否合法從而判斷是否對信息放行。電路級網(wǎng)關(guān)又稱為線路級網(wǎng)關(guān)，工作在會話層。(4)狀態(tài)檢測技術(shù)狀態(tài)檢測防火墻，顧名思義就是要檢查數(shù)據(jù)包的狀態(tài)變化，它在每一層都會對數(shù)據(jù)包進行檢查，集成了以上幾種防火墻的特點，安全性得到了很大的提高。3.防火墻的實現(xiàn)分類(1)基于網(wǎng)絡(luò)主機的防火墻基于網(wǎng)絡(luò)主機的防火墻是指將網(wǎng)絡(luò)中的一臺主機安裝防火墻軟件用以保護受信任的網(wǎng)絡(luò)（企業(yè)網(wǎng)）。(2)基于路由器的防火墻基于路由器的防火墻是指利用路由器的過濾功能來實現(xiàn)防火墻的功能。(3)基于單個主機的防火墻基于單個主機的防火墻是指安裝在單一主機上的防火墻軟件，它只適合保護單一主機的安全。(4)硬件防火墻硬件防火墻是指用一臺專門的硬件產(chǎn)品作為防火墻。在這種產(chǎn)品中，防火墻廠家是將防火墻軟件固化在硬件芯片里，用硬件方式實現(xiàn)防火墻的功能。8.1.3防火墻應(yīng)用實例1．Cisco公司的PIX防火墻Cisco公司成立于1984年，是全球互聯(lián)網(wǎng)解決方案提供商。CiscoPIX（PrivateInterneteXchange）系列防火墻是業(yè)界領(lǐng)先的產(chǎn)品之一，具有很好的安全性和可靠性。(1)CiscoPIX的主要特點①嵌入式的操作系統(tǒng)。②高安全性。③高可靠性。

④強大的遠程管理功能。(2)CiscoPIX的基本應(yīng)用和配置①PIX防火墻的配置連接使用CONSOLE線連接PIX的CONSOLE接口與PC的串口后，通過PC的“超級終端”來配置PIX的性能。根據(jù)實際情況選擇與計算機相連的端口，如：COM1，再配置端口屬性。在端口屬性里，要選擇“每秒位數(shù)”為“9600”，如圖8.5所示。圖8.5超級終端端口屬性配置②PIX防火墻的配置模式非特權(quán)模式。CiscoPIX防火墻開啟以后進入的第一個工作模式，默認表示為“Pixfirewall>”。在非特權(quán)模式下，用戶只有很少的查看權(quán)限。特權(quán)模式。特權(quán)模式是CiscoPIX防火墻的第二個工作模式，默認表示為“Pixfirewall#”。在特權(quán)模式下，用戶可以進行很少的配置和查看。配置模式。配置模式是CiscoPIX防火墻的主要工作模式，大多數(shù)的配置命令只有在此模式下才有效，其默認表示為“Pixfirewall(config)#

”。③CiscoPIX的一般配置步驟連接好PIX和PC，設(shè)置好PC的超級終端，開啟PIX。PIX進入非特權(quán)模式，顯示Pixfirewall>

。輸入命令enable，PIX進入特權(quán)模式，顯示Pixfirewall#

。

輸入命令configureterminal進入配置模式，顯示Pixfirewall(config)#。指定內(nèi)外部網(wǎng)卡名稱及安全級別。配置以太接口數(shù)據(jù)傳輸狀態(tài)(速率、通信方式)。配置內(nèi)外部網(wǎng)卡和DMZ區(qū)的接口IP地址。指定DMZ區(qū)和外部地址范圍。指定要進行NAT轉(zhuǎn)換的內(nèi)部地址。設(shè)置指向DMZ區(qū)和外部網(wǎng)的缺省路由。配置靜態(tài)IP地址映射。保存配置。2．ISASERVER防火墻ISA(InternetSecurityandAcceleration)SERVER是微軟公司所出品的企業(yè)級防火墻軟件。此款防火墻產(chǎn)品不僅具有安全防護性能，而且還具有網(wǎng)絡(luò)緩存功能。(1)ISASERVER的主要特點①安全性與網(wǎng)絡(luò)性能兼顧。②提供多項安全選項。③實現(xiàn)服務(wù)器的安全發(fā)布。④擴展容易。⑤企業(yè)版的高級功能。(2)ISASERVER2004的安裝第1步：將光盤放入光驅(qū)后，執(zhí)行ISAAutorun.exe文件，在出現(xiàn)的初始界面中，點擊“安裝ISASERVER2004”，出現(xiàn)如圖8.6所示安裝向?qū)Ы缑?。圖8.6ISASERVER2004安裝類型界面第2步：選擇“安裝類型”。建議不熟悉者選擇默認選項，即“典型”。第3步：按要求配置內(nèi)部網(wǎng)、外部網(wǎng)及DMZ區(qū)所對應(yīng)的網(wǎng)卡及地址范圍，如圖8.7、圖8.8所示。接下來的步驟是向?qū)ё詣影惭b的過程，不再贅述。圖8.7內(nèi)部網(wǎng)絡(luò)地址范圍配置圖8.8網(wǎng)卡IP配置(3)ISASERVER2004的簡單配置注意：ISASERVER2004的默認規(guī)則是拒絕任何通信；ISASERVER2004所配置的規(guī)則具有獨立性和順序性。第1步：單擊“程序”→“MicrosoftISASERVER”→“ISA服務(wù)器管理”，右擊“防火墻策略”，選擇“新建”→“訪問規(guī)則”，如圖8.9所示。圖8.9新建訪問規(guī)則第2步：在出現(xiàn)的圖8.10所示的“訪問規(guī)則”框中輸入名稱，如“允許內(nèi)部網(wǎng)訪問外部網(wǎng)”，單擊“下一步”按鈕。圖8.10為訪問規(guī)則命名第3步：為所見規(guī)則確定操作方式。在出現(xiàn)的圖8.11所示界面中，選擇“允許”，單擊“下一步”按鈕。圖8.11ISASERVER規(guī)則操作第4步：選擇規(guī)則所采用的協(xié)議。如圖8.12所示，在“此規(guī)則應(yīng)用到”項選擇“所有出站通訊”，再單擊“下一步”按鈕。圖8.12選擇規(guī)則所使用的協(xié)議第5步：選擇規(guī)則源。在圖8.13所示的“訪問規(guī)則源”界面中點擊“添加”按鈕，在出現(xiàn)的“添加網(wǎng)絡(luò)實體”中選擇“網(wǎng)絡(luò)”→“內(nèi)部”，點擊“下一步”按鈕，即完成添加。圖8.13選擇規(guī)則源第6步：選擇規(guī)則目標。在圖8.14所示“訪問規(guī)則目標”界面中點擊“添加”按鈕，在“添加網(wǎng)絡(luò)實體”中選擇“網(wǎng)絡(luò)”→“外部”，點擊“下一步”按鈕，即完成添加。圖8.14選擇規(guī)則目標第7步：選擇規(guī)則所適用的用戶。在圖8.15用戶集界面中點擊“添加”按鈕，選擇“所有用戶”，單擊“下一步”按鈕。圖8.15選擇規(guī)則所適用的用戶第8步：在確認規(guī)則配置無誤后，在出現(xiàn)的圖8.16界面中點擊“完成”按鈕。至此，規(guī)則建立完成。圖8.16新建規(guī)則向?qū)畔⑻崾?．2黑客的攻擊與防范8.2.1黑客與網(wǎng)絡(luò)攻擊1．黑客攻擊的手段和工具黑客常用的攻擊手段有獲取用戶口令、放置木馬程序、電子郵件攻擊、網(wǎng)絡(luò)監(jiān)聽、利用賬號進行攻擊、獲取超級用戶權(quán)限等。黑客攻擊系統(tǒng)通常使用的工具有掃描器、嗅探器、木馬和炸彈等。2．黑客攻擊的過程(1)確定攻擊目的。(2)收集信息。(3)系統(tǒng)安全弱點的探測。(4)建立模擬環(huán)境，進行模擬攻擊。(5)實施網(wǎng)絡(luò)攻擊8.2.2網(wǎng)絡(luò)攻擊的主要類型與防范1．網(wǎng)絡(luò)攻擊的類型(1)拒絕服務(wù)型攻擊

拒絕服務(wù)（DoS）攻擊是攻擊者利用系統(tǒng)漏洞通過各種手段來消耗網(wǎng)絡(luò)帶寬或服務(wù)器的系統(tǒng)資源，最終導致被攻擊服務(wù)器資源耗盡或系統(tǒng)崩潰而無法提供正常的網(wǎng)絡(luò)服務(wù)。具體的DoS攻擊方式有SYNFlood(洪泛)攻擊、IP碎片攻擊、Smurf攻擊、死亡之ping攻擊、淚滴(teardrop)攻擊、UDPFlood(UDP洪泛)攻擊和Fraggle攻擊等。(2)利用型攻擊

①猜測口令。②安放木馬。③緩沖區(qū)溢出。(3)信息收集型攻擊信息收集型攻擊被用來為進一步入侵系統(tǒng)提供有用的信息。這類攻擊主要利用掃描技術(shù)和信息服務(wù)技術(shù)進行，其具體實現(xiàn)方式有地址掃描、端口掃描、反向映射、DNS域轉(zhuǎn)換和Finger服務(wù)等。(4)虛假信息型攻擊虛假信息型攻擊用于攻擊目標配置不正確的消息。2．拒絕服務(wù)攻擊與防范DoS攻擊主要是攻擊者利用TCP/IP協(xié)議本身的漏洞或網(wǎng)絡(luò)中操作系統(tǒng)漏洞實現(xiàn)的。攻擊者通過加載過多的服務(wù)將系統(tǒng)資源全部或部分占用，大量耗盡系統(tǒng)資源，使得服務(wù)器無法對正常請求進行響應(yīng)，造成服務(wù)器癱瘓?？刹捎梅阑饓Α⑷肭謾z測系統(tǒng)（IDS）和入侵防護系統(tǒng)（IPS）等技術(shù)措施防范DoS攻擊。具體措施包括：關(guān)掉可能產(chǎn)生無限序列的服務(wù)，防止洪泛攻擊。對系統(tǒng)設(shè)定相應(yīng)的內(nèi)核參數(shù)，使系統(tǒng)強制對超時的SYN請求連接數(shù)據(jù)包復位，同時通過縮短超時常數(shù)和加長等候隊列使系統(tǒng)能迅速處理無效的SYN請求數(shù)據(jù)包。在路由器上做些諸如限制SYN半開數(shù)據(jù)包流量和個數(shù)配置的調(diào)整。在路由器的前端做必要的TCP攔截，使得只有完成TCP三次握手過程的數(shù)據(jù)包才可進入該網(wǎng)段。3．分布式拒絕服務(wù)攻擊與防范(1)DDoS攻擊的過程DDoS攻擊是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一種攻擊方式。它利用更多的被控制機發(fā)起進攻，以更大的規(guī)模進攻受害者。(2)DDoS攻擊的防范在主機上可使用掃描工具檢測系統(tǒng)的脆弱性、采用網(wǎng)絡(luò)入侵檢測系統(tǒng)和嗅探器、及時更新系統(tǒng)補丁等措施防范DDoS攻擊。在防火墻上采取禁止對主機的非開放服務(wù)的訪問、限制同時打開的SYN最大連接數(shù)、限制特定IP地址的訪問、限制開放服務(wù)器的對外訪問等設(shè)置；在路由器上采取檢查每一個經(jīng)過路由器的數(shù)據(jù)包、設(shè)置SYN數(shù)據(jù)包流量速率、在邊界路由器上部署策略、使用CAR(ControlAccessRate)限制ICMP數(shù)據(jù)包流量速率等設(shè)置防范DDoS攻擊。4．緩沖區(qū)溢出攻擊與防范(1)緩沖區(qū)溢出攻擊緩沖區(qū)是用戶為程序運行而在計算機中申請的一段連續(xù)的內(nèi)存，它保存給定類型的數(shù)據(jù)。緩沖區(qū)溢出是指通過向緩沖區(qū)寫入超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他指令的攻擊。(2)緩沖區(qū)溢出攻擊的防范①編寫正確的代碼。②非執(zhí)行緩沖區(qū)保護。③數(shù)組邊界檢查。④程序指針完整性檢查。8.2.3密碼保護技巧1．密碼的設(shè)置一般情況下，密碼長度應(yīng)不少于6位，密碼中最好包含大小寫字符、數(shù)字、標點符號、控制字符和空格等，且最好這些符號交叉混合排序。2．密碼的管理要有嚴格的密碼管理觀念，要定期更換密碼，不要保存密碼在本地等。3．使用動態(tài)密碼動態(tài)密碼（DynamicPassword）也稱一次性密碼，它是指用戶的密碼按照時間或使用次數(shù)不斷地動態(tài)變化，每個密碼只使用一次。4．使用生物特征密碼生物特征識別技術(shù)是指利用人體所固有的生理特征或行為特征來進行個人身份鑒定的技術(shù)。目前，在人體特征識別技術(shù)市場上，占有率最高的是指紋機和手形機，這兩種識別方式也是目前最成熟的技術(shù)。5．使用軟鍵盤輸入密碼通過軟鍵盤(也叫虛擬鍵盤)輸入密碼是比較容易操作的，是對付木馬記錄擊鍵攻擊的有效方法。8．3網(wǎng)絡(luò)掃描與監(jiān)聽8.3.1網(wǎng)絡(luò)掃描1.網(wǎng)絡(luò)掃描的概念使用網(wǎng)絡(luò)掃描技術(shù)，網(wǎng)絡(luò)安全管理員可以了解網(wǎng)絡(luò)的安全配置和運行的應(yīng)用服務(wù)，及時發(fā)現(xiàn)安全漏洞，評估網(wǎng)絡(luò)風險，并可以根據(jù)掃描的結(jié)果及時修補系統(tǒng)漏洞、更正系統(tǒng)錯誤的安全配置，保護網(wǎng)絡(luò)系統(tǒng)的安全。2.網(wǎng)絡(luò)掃描的分類(1)基于主機的掃描:基于主機的掃描也稱為被動式掃描，是對系統(tǒng)中不合適的設(shè)置、口令配置及其他安全配置進行掃描以確定系統(tǒng)是否存在安全漏洞?；谥鳈C的掃描不會對系統(tǒng)造成破壞。(2)基于網(wǎng)絡(luò)的掃描:基于網(wǎng)絡(luò)的掃描也稱為主動式掃描，是通過執(zhí)行一些腳本文件模擬對系統(tǒng)進行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞?；诰W(wǎng)絡(luò)的掃描有可能對系統(tǒng)造成破壞。3．主機掃描(1)Ping(2)Pingsweep(3)ICMPBroadcast4．端口掃描由于計算機之間的通信是通過端口進行的，因此通過向目標主機的端口發(fā)送信息就可以檢測出目標主機開放了哪些端口，進而可以連接目標主機的端口。而系統(tǒng)的某些端口默認是為一些固定的服務(wù)，攻擊者可以利用相應(yīng)端口檢測系統(tǒng)服務(wù)的漏洞，進而利用這些服務(wù)的漏洞入侵系統(tǒng)。(1)TCPconnect()掃描(2)TCPSYN掃描(3)TCPFIN掃描8.3.2網(wǎng)絡(luò)監(jiān)聽1.網(wǎng)絡(luò)監(jiān)聽的概念網(wǎng)絡(luò)監(jiān)聽是指利用工具軟件監(jiān)視網(wǎng)絡(luò)上數(shù)據(jù)的流動情況。網(wǎng)絡(luò)管理者可以通過監(jiān)聽發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況，從而更好的管理網(wǎng)絡(luò)和保護網(wǎng)絡(luò)；而攻擊者可以通過監(jiān)聽將網(wǎng)絡(luò)中正在傳播的信息截獲或捕獲，從而進行攻擊。2.檢測網(wǎng)絡(luò)監(jiān)聽的方法(1)根據(jù)反應(yīng)時間判斷(2)利用ping模式進行監(jiān)測(3)利用arp數(shù)據(jù)包進行監(jiān)測3.避免網(wǎng)絡(luò)監(jiān)聽的方法(1)使用交換式網(wǎng)絡(luò)(2)使用加密技術(shù)(3)使用VLAN技術(shù)8.3.3網(wǎng)絡(luò)掃描應(yīng)用實例1．掃描工具SuperScan的應(yīng)用SuperScan是一款功能強大的網(wǎng)絡(luò)主機及端口掃描工具軟件，具有如下主要功能：通過Ping來檢驗IP是否在線。IP地址與域名相互轉(zhuǎn)換。檢驗?zāi)繕擞嬎銠C提供的服務(wù)類別。檢驗?zāi)繕擞嬎銠C是否在線及其端口情況。自定義要檢驗的端口并可保存為端口列表的文件。自帶一個木馬端口列表，該列表可檢測目標計算機是否有木馬，并可以自己定義修改該木馬端口列表。圖8.18SuperScan主界面(1)域名與IP地址轉(zhuǎn)換在“HostnameLookup”的輸入框輸入需要轉(zhuǎn)換的域名或IP地址，按“LookUp”按鈕就可得到對應(yīng)的IP地址或域名。如果要得到本計算機的IP地址，可以點擊“Me”按鈕，如圖8.19所示。圖8.19地址轉(zhuǎn)換與檢測在線主機(2)檢測目標計算機是否在線在“IP”欄的“Start”框中填入起始IP地址，在“Stop”框中填入結(jié)束IP地址，在“ScanType”欄選擇“Pingonly”，點擊“Start”按鈕就可以檢測目標計算機是否在線了。如果起始IP地址與結(jié)束IP地址相同，則表示只掃描一臺主機，如圖8.19所示。(3)端口檢測①掃描主機的所有端口在“IP”欄輸入起始IP地址和結(jié)束IP地址，在“ScanType”欄選擇最后一項“AllPortsFrom”并填入起始和結(jié)束端口號(如1--65535)，點擊“Start”按鈕開始檢測，如圖8.20所示。圖8.20檢測主機開放端口②對主機的特定端口進行掃描點擊圖8.20右上角“Portlistsetup”按鈕，出現(xiàn)如圖8.21所示的端口設(shè)置界面。在“Selectports”中點擊“ClearAll”按鈕以清除程序原設(shè)置的端口，再選擇下表中需要掃描的端口(在端口前面會有一個“√”標志)。選擇的時候，可閱覽左側(cè)的“Change/Add/Deleteportinfo”欄和“Helperappsinright-clickmenu”欄，這里顯示了此端口的詳細說明和所使用的程序。如選擇21、23和80三個端口，點擊“save”按鈕保存選擇的端口為端口列表，再單擊“OK”按鈕回到主界面，如圖8.22所示。圖8.21設(shè)置掃描端口界面圖8.22端口掃描設(shè)置主界面在“ScanType”欄選擇“Allselectedportinlist”，點擊“Start”按鈕開始檢測。檢測完成后，單擊結(jié)果窗口中被檢查的IP地址，該地址旁會出現(xiàn)一個“+”號，再單擊展開，將顯示該被檢測主機所要求檢測端口的狀態(tài)，如圖8.23所示。圖8.23掃描端口結(jié)果(4)檢測木馬在如圖8.24所示主界面中選擇“Portlistsetup”，出現(xiàn)端口設(shè)置界面，點擊“Portlistfiles”的下拉框選擇“trojans.lst”端口列表文件。該文件是軟件自帶的，提供了常見的木馬端口，用戶可以使用這個端口列表來檢測目標計算機是否被植入木馬。圖8.24檢測木馬界面2．掃描工具GetNTUser的應(yīng)用GetNTUser是一款掃描網(wǎng)絡(luò)主機用戶名及用戶密碼的工具軟件，它具有如下主要功能：掃描Windows系統(tǒng)的用戶名。自動掃描空密碼及與用戶名相同的密碼。使用字典掃描用戶密碼。圖8.25GetNTUser程序主界面(1)檢測主機用戶點擊“文件”菜單，選擇“添加主機”或單擊主機圖標，出現(xiàn)“AddHost”對話框，如圖8.26所示。在對話框中輸入欲掃描主機的IP地址，單擊“OK”按鈕，在出現(xiàn)的窗口中單擊人像圖標，即可掃描主機的用戶，如圖8.27所示。圖8.26添加掃描主機圖8.27掃描主機用戶列表(2)根據(jù)字典掃描用戶密碼單擊“工具”菜單，選擇“設(shè)置”項，出現(xiàn)如圖8.28所示的設(shè)置頁面。在“字典文件”框中通過“設(shè)置”找到所保存字典文件的位置，再點擊“工具”菜單，選擇“字典測試”項，GetNTUser軟件就會將字典中的數(shù)據(jù)用以掃描用戶的密碼。圖8.28設(shè)置字典文件3．掃描工具PortScan的應(yīng)用PortScan是專用于掃描網(wǎng)絡(luò)主機開放端口的工具軟件。PortScan軟件的主界面如圖8.29所示。圖8.29PortScan主界面在圖中“Scan”框中輸入欲掃描主機的IP地址，在“StopPort”框中輸入掃描端口的終止端口號，再單擊“START”按鈕，其掃描結(jié)果如圖8.30所示，其下半部分是掃描到的端口列表。圖8.30PortScan掃描結(jié)果4．掃描工具X-Scan的應(yīng)用X-ScanV3.3是可運行于Windows系列系統(tǒng)的漏洞掃描工具軟件。該工具軟件采用多線程方式對指定IP地址段(或單機)進行安全漏洞檢測，支持插件功能。掃描內(nèi)容包括遠程服務(wù)類型、操作系統(tǒng)類型及版本、各種弱口令漏洞、后門、應(yīng)用服務(wù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞和拒絕服務(wù)漏洞等。X-ScanV3.3程序主界面如圖8.31所示。圖8.31X-ScanV3.3主界面(1)X-ScanV3.3的基本使用點擊X-ScanV3.3菜單欄上的“設(shè)置”，選擇“掃描參數(shù)”項，在“指定IP范圍”中輸入欲掃描單機的IP地址或主機的IP地址范圍，再單擊“確定”按鈕，如圖8.32所示。圖8.32確定掃描范圍回到主界面，點擊“文件”菜單，選擇“開始掃描”，或單擊工具欄的執(zhí)行圖標

，X-ScanV3.3程序即開始對指定主機進行漏洞掃描，執(zhí)行過程如圖8.33所示。掃描完成后，X-Scan會自動給出對所掃描主機的報告文件，如圖8.34所示。圖8.33X-ScanV3.3掃描過程圖8.34X-ScanV3.3掃描結(jié)果(2)X-Scan掃描指定漏洞①在“掃描參數(shù)”窗口單擊“檢測范圍”項，輸入掃描主機的IP地址。②展開“全局設(shè)置”，選擇“掃描模塊”項，在中間的窗口中勾選想要掃描的漏洞，最后點擊“確定”按鈕，如圖8.35所示。圖8.35設(shè)置對指定漏洞的掃描③待回到主界面后，單擊“文件”菜單，選擇“開始掃描”，X-Scan程序即開始進行指定漏洞的掃描。④掃描完成后，再展開左面窗口中的各項掃描指標，可得到有關(guān)所掃描漏洞的詳細信息。如圖8.36所示。圖8.36漏洞詳細信息8.3.4網(wǎng)絡(luò)監(jiān)聽應(yīng)用實例1.監(jiān)聽工具WinSniffer的應(yīng)用WinSniffer是在局域網(wǎng)內(nèi)使用的監(jiān)聽工具，它能夠捕獲局域網(wǎng)中傳輸?shù)腇TP、POP3、HTTP、ICQ、SMTP、Telnet和NNTP等密碼。(1)WinSniffer的安裝WinSniffer軟件的安裝過程很簡單，在執(zhí)行安裝程序后出現(xiàn)安裝向?qū)В鐖D8.37所示。隨后根據(jù)安裝向?qū)У奶崾局鸩綀?zhí)行即可。圖8.37WinSniffer安裝向?qū)?2)WinSniffer的使用圖8.38WinSniffer主界面①設(shè)置監(jiān)聽的網(wǎng)卡。單擊工具欄上的“Adapter”按鈕，出現(xiàn)如圖8.39所示選擇網(wǎng)絡(luò)適配器(網(wǎng)卡)窗口，在其中選取欲嗅探數(shù)據(jù)的網(wǎng)卡，再單擊“OK”按鈕。圖8.39設(shè)置監(jiān)聽網(wǎng)卡②單擊工具欄上的“Start”按鈕，使WinSniffer進入監(jiān)聽狀態(tài)。③在本機()上用FTP方式建立與監(jiān)聽主機的聯(lián)系，如圖8.40所示。圖8.40網(wǎng)絡(luò)通信過程通過以上設(shè)置后，再次打開WinSniffer界面，即可看到被監(jiān)聽到的相關(guān)信息，如圖8.41所示。圖8.41WinSniffer監(jiān)聽結(jié)果2.密碼監(jiān)聽器pswmonitor的應(yīng)用密碼監(jiān)聽器pswmonitor可以監(jiān)聽到局域網(wǎng)內(nèi)任意一臺主機所登錄的網(wǎng)頁郵箱、使用POP3收取的信件以及其它登錄賬號及密碼(包括部分網(wǎng)絡(luò)游戲)，并可將密碼顯示、保存或發(fā)送到黑客指定的郵箱。Pswmonitor軟件的主界面如圖8.42所示。圖8.42pswmonitor主界面在開始使用pswmonitor時，監(jiān)聽器會自動運行監(jiān)聽。用戶也可自行設(shè)置監(jiān)聽的網(wǎng)卡、使用ARP欺騙、設(shè)置發(fā)送和接收的參數(shù)、密碼保護功能和郵箱地址等，如圖8.43所示。圖8.43設(shè)置監(jiān)聽信息發(fā)送郵箱3.嗅探器Sniffer的應(yīng)用(1)Sniffer的安裝下載Sniffer程序后，打開安裝程序，出現(xiàn)如圖8.44所示安裝向?qū)А｜c擊“Next”按鈕后，系統(tǒng)會自動進行解壓和安裝工作。圖8.44Sniffer安裝向?qū)?2)Sniffer的應(yīng)用Sniffer安裝后，執(zhí)行“程序”→“SnifferPro”→“Sniffer”，出現(xiàn)如圖8.45所示的程序主界面。圖8.45Sniffer主界面①配置安裝Sniffer嗅探器主機和被嗅探主機的IP地址。點擊“Capture”菜單，選擇“DefineFilter”，在出現(xiàn)的“DefineFilter”界面中選取“Address”選項卡，如圖8.46所示。在“Address”下拉菜單中選擇“IP”，在“Station1”中輸入嗅探器主機的IP地址，在“Station2”中輸入被嗅探主機的IP地址，點擊“確定”按鈕后，設(shè)置完成。圖8.46設(shè)置Sniffer參數(shù)②設(shè)置嗅探數(shù)據(jù)的類型(以Ping命令為例)點擊“Advanced”選項卡，拉動滾動條，找到并勾選“ICMP”項，如圖8.47所示。點擊“確定”按鈕后，完成類型設(shè)置。圖8.47設(shè)置嗅探數(shù)據(jù)類型③執(zhí)行嗅探。點擊圖8.45中“Capture”菜單，選擇“Start”項。在嗅探主機中執(zhí)行對被嗅探主機的Ping指令，如圖8.48所示。圖8.48網(wǎng)絡(luò)通信過程Ping指令執(zhí)行完畢，點擊“Capture”菜單，選擇“StopandDisplay”項或工具欄上的相應(yīng)圖標，在出現(xiàn)的窗口中選擇“Decode”項，就會顯示兩條計算機之間數(shù)據(jù)的傳輸過程，如圖8.49所示。至此，Sniffer已成功嗅探到數(shù)據(jù)。圖8.49嗅探結(jié)果8.4.1入侵檢測系統(tǒng)入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或采取主動反應(yīng)措施的網(wǎng)絡(luò)安全系統(tǒng)。8．4入侵檢測與入侵防護系統(tǒng)1．IDS的功能IDS已成為網(wǎng)絡(luò)安全體系中的一個重要環(huán)節(jié)。它不僅能監(jiān)測外來干涉的入侵者，也能監(jiān)測內(nèi)部的入侵行為，彌補了防火墻的不足。IDS在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，從而極大地減少各種可能攻擊的損害。監(jiān)視網(wǎng)絡(luò)系統(tǒng)的運行狀況，查找非法用戶的訪問和合法用戶的越權(quán)操作。對系統(tǒng)的構(gòu)造和弱點進行審計。識別分析著名攻擊的行為特征并報警。評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。對操作系統(tǒng)進行跟蹤審計，并識別用戶違反安全策略的行為。容錯功能。2．IDS的分類(1)基于主機的IDS基于主機的IDS（HI