《網(wǎng)絡(luò)安全實(shí)用教程》配套PPT(人民郵電出版)ch8

第8章

網(wǎng)絡(luò)的攻擊與防護(hù)本章有四小節(jié)：8.1防火墻安全8.2黑客的攻擊與防范8.3網(wǎng)絡(luò)掃描與監(jiān)聽8.4入侵檢測(cè)與入侵防護(hù)系統(tǒng)8．1防火墻安全8.1.1防火墻概述1.防火墻的基本概念在網(wǎng)絡(luò)安全領(lǐng)域，防火墻是設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）之間的一組由軟、硬件構(gòu)成的安全設(shè)施，如圖8.1所示。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制出入網(wǎng)絡(luò)的信息流，從而有效地控制內(nèi)部網(wǎng)和外部網(wǎng)之間的信息傳輸。圖8.1防火墻基本功能示意圖2.防火墻的功能(1)掃描信息，過濾攻擊。(2)關(guān)閉不需要的端口。(3)禁止特定端口的流出通信。(4)禁止特殊站點(diǎn)的訪問。(5)限制特定用戶的通信。3.防火墻的不足(1)網(wǎng)絡(luò)瓶頸。(2)不能防范不經(jīng)過防火墻的信息攻擊。(3)不能防范病毒的傳播。(4)不能防范內(nèi)部人員的攻擊。4．防火墻的特征(1)內(nèi)部網(wǎng)和外部網(wǎng)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻(2)只有符合安全策略的數(shù)據(jù)才能通過防火墻(3)自身具有非常強(qiáng)的抗攻擊力8.1.2防火墻技術(shù)1.防火墻的體系結(jié)構(gòu)(1)過濾路由器結(jié)構(gòu)過濾路由器結(jié)構(gòu)是指由具有過濾功能的路由器充當(dāng)防火墻的結(jié)構(gòu)，如圖8.2所示。(2)雙宿主機(jī)結(jié)構(gòu)雙宿主機(jī)結(jié)構(gòu)防火墻是指擔(dān)任防火墻功能的是一臺(tái)雙重宿主（雙網(wǎng)卡）主機(jī)，如圖8.3所示。圖8.3雙宿主機(jī)結(jié)構(gòu)防火墻(3)屏蔽子網(wǎng)結(jié)構(gòu)屏蔽子網(wǎng)結(jié)構(gòu)是指在內(nèi)外部網(wǎng)之間新增加一個(gè)子網(wǎng)DMZ（非軍事區(qū)），如圖8.4所示。圖8.4屏蔽子網(wǎng)結(jié)構(gòu)防火墻2.防火墻的技術(shù)分類(1)包過濾技術(shù)包過濾技術(shù)是防火墻最為基本和傳統(tǒng)的技術(shù)。所謂“包過濾”就是過濾數(shù)據(jù)包，使符合規(guī)則的數(shù)據(jù)包通過而不符合規(guī)則的數(shù)據(jù)包被拒絕或丟棄。包過濾技術(shù)防火墻工作在第三層及三層以下。靜態(tài)包過濾技術(shù)是傳統(tǒng)的包過濾技術(shù)，它是根據(jù)流過防火墻的數(shù)據(jù)包是否符合防火墻所制定的規(guī)則來決定是否允許數(shù)據(jù)包通過，它所制定的規(guī)則只檢查數(shù)據(jù)的協(xié)議、源和目標(biāo)IP地址、源和目標(biāo)端口。動(dòng)態(tài)包過濾技術(shù)是靜態(tài)包過濾技術(shù)的發(fā)展，它可以動(dòng)態(tài)地根據(jù)實(shí)際應(yīng)用請(qǐng)求自動(dòng)生成和刪除包過濾規(guī)則，從而解決靜態(tài)包過濾制定規(guī)則難度大的問題。①包過濾技術(shù)的優(yōu)點(diǎn)：實(shí)現(xiàn)簡(jiǎn)單，對(duì)設(shè)備要求較低。②包過濾技術(shù)的缺點(diǎn)：隨著規(guī)則的增加，規(guī)則庫變得越來越大。無法防范外部的IP欺騙。(2)應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)關(guān)也叫代理服務(wù)器，通過網(wǎng)關(guān)復(fù)制傳輸數(shù)據(jù)，防止在受信任的服務(wù)器或客戶機(jī)與不受信任的主機(jī)間建立直接的聯(lián)系。應(yīng)用級(jí)網(wǎng)關(guān)防火墻建立在應(yīng)用層。(3)電路級(jí)網(wǎng)關(guān)電路級(jí)網(wǎng)關(guān)防火墻通過檢查握手信息來判斷是否合法從而判斷是否對(duì)信息放行。電路級(jí)網(wǎng)關(guān)又稱為線路級(jí)網(wǎng)關(guān)，工作在會(huì)話層。(4)狀態(tài)檢測(cè)技術(shù)狀態(tài)檢測(cè)防火墻，顧名思義就是要檢查數(shù)據(jù)包的狀態(tài)變化，它在每一層都會(huì)對(duì)數(shù)據(jù)包進(jìn)行檢查，集成了以上幾種防火墻的特點(diǎn)，安全性得到了很大的提高。3.防火墻的實(shí)現(xiàn)分類(1)基于網(wǎng)絡(luò)主機(jī)的防火墻基于網(wǎng)絡(luò)主機(jī)的防火墻是指將網(wǎng)絡(luò)中的一臺(tái)主機(jī)安裝防火墻軟件用以保護(hù)受信任的網(wǎng)絡(luò)（企業(yè)網(wǎng)）。(2)基于路由器的防火墻基于路由器的防火墻是指利用路由器的過濾功能來實(shí)現(xiàn)防火墻的功能。(3)基于單個(gè)主機(jī)的防火墻基于單個(gè)主機(jī)的防火墻是指安裝在單一主機(jī)上的防火墻軟件，它只適合保護(hù)單一主機(jī)的安全。(4)硬件防火墻硬件防火墻是指用一臺(tái)專門的硬件產(chǎn)品作為防火墻。在這種產(chǎn)品中，防火墻廠家是將防火墻軟件固化在硬件芯片里，用硬件方式實(shí)現(xiàn)防火墻的功能。8.1.3防火墻應(yīng)用實(shí)例1．Cisco公司的PIX防火墻Cisco公司成立于1984年，是全球互聯(lián)網(wǎng)解決方案提供商。CiscoPIX（PrivateInterneteXchange）系列防火墻是業(yè)界領(lǐng)先的產(chǎn)品之一，具有很好的安全性和可靠性。(1)CiscoPIX的主要特點(diǎn)①嵌入式的操作系統(tǒng)。②高安全性。③高可靠性。

④強(qiáng)大的遠(yuǎn)程管理功能。(2)CiscoPIX的基本應(yīng)用和配置①PIX防火墻的配置連接使用CONSOLE線連接PIX的CONSOLE接口與PC的串口后，通過PC的“超級(jí)終端”來配置PIX的性能。根據(jù)實(shí)際情況選擇與計(jì)算機(jī)相連的端口，如：COM1，再配置端口屬性。在端口屬性里，要選擇“每秒位數(shù)”為“9600”，如圖8.5所示。圖8.5超級(jí)終端端口屬性配置②PIX防火墻的配置模式非特權(quán)模式。CiscoPIX防火墻開啟以后進(jìn)入的第一個(gè)工作模式，默認(rèn)表示為“Pixfirewall>”。在非特權(quán)模式下，用戶只有很少的查看權(quán)限。特權(quán)模式。特權(quán)模式是CiscoPIX防火墻的第二個(gè)工作模式，默認(rèn)表示為“Pixfirewall#”。在特權(quán)模式下，用戶可以進(jìn)行很少的配置和查看。配置模式。配置模式是CiscoPIX防火墻的主要工作模式，大多數(shù)的配置命令只有在此模式下才有效，其默認(rèn)表示為“Pixfirewall(config)#

”。③CiscoPIX的一般配置步驟連接好PIX和PC，設(shè)置好PC的超級(jí)終端，開啟PIX。PIX進(jìn)入非特權(quán)模式，顯示Pixfirewall>

。輸入命令enable，PIX進(jìn)入特權(quán)模式，顯示Pixfirewall#

。

輸入命令configureterminal進(jìn)入配置模式，顯示Pixfirewall(config)#。指定內(nèi)外部網(wǎng)卡名稱及安全級(jí)別。配置以太接口數(shù)據(jù)傳輸狀態(tài)(速率、通信方式)。配置內(nèi)外部網(wǎng)卡和DMZ區(qū)的接口IP地址。指定DMZ區(qū)和外部地址范圍。指定要進(jìn)行NAT轉(zhuǎn)換的內(nèi)部地址。設(shè)置指向DMZ區(qū)和外部網(wǎng)的缺省路由。配置靜態(tài)IP地址映射。保存配置。2．ISASERVER防火墻ISA(InternetSecurityandAcceleration)SERVER是微軟公司所出品的企業(yè)級(jí)防火墻軟件。此款防火墻產(chǎn)品不僅具有安全防護(hù)性能，而且還具有網(wǎng)絡(luò)緩存功能。(1)ISASERVER的主要特點(diǎn)①安全性與網(wǎng)絡(luò)性能兼顧。②提供多項(xiàng)安全選項(xiàng)。③實(shí)現(xiàn)服務(wù)器的安全發(fā)布。④擴(kuò)展容易。⑤企業(yè)版的高級(jí)功能。(2)ISASERVER2004的安裝第1步：將光盤放入光驅(qū)后，執(zhí)行ISAAutorun.exe文件，在出現(xiàn)的初始界面中，點(diǎn)擊“安裝ISASERVER2004”，出現(xiàn)如圖8.6所示安裝向?qū)Ы缑?。圖8.6ISASERVER2004安裝類型界面第2步：選擇“安裝類型”。建議不熟悉者選擇默認(rèn)選項(xiàng)，即“典型”。第3步：按要求配置內(nèi)部網(wǎng)、外部網(wǎng)及DMZ區(qū)所對(duì)應(yīng)的網(wǎng)卡及地址范圍，如圖8.7、圖8.8所示。接下來的步驟是向?qū)ё詣?dòng)安裝的過程，不再贅述。圖8.7內(nèi)部網(wǎng)絡(luò)地址范圍配置圖8.8網(wǎng)卡IP配置(3)ISASERVER2004的簡(jiǎn)單配置注意：ISASERVER2004的默認(rèn)規(guī)則是拒絕任何通信；ISASERVER2004所配置的規(guī)則具有獨(dú)立性和順序性。第1步：?jiǎn)螕簟俺绦颉薄癕icrosoftISASERVER”→“ISA服務(wù)器管理”，右擊“防火墻策略”，選擇“新建”→“訪問規(guī)則”，如圖8.9所示。圖8.9新建訪問規(guī)則第2步：在出現(xiàn)的圖8.10所示的“訪問規(guī)則”框中輸入名稱，如“允許內(nèi)部網(wǎng)訪問外部網(wǎng)”，單擊“下一步”按鈕。圖8.10為訪問規(guī)則命名第3步：為所見規(guī)則確定操作方式。在出現(xiàn)的圖8.11所示界面中，選擇“允許”，單擊“下一步”按鈕。圖8.11ISASERVER規(guī)則操作第4步：選擇規(guī)則所采用的協(xié)議。如圖8.12所示，在“此規(guī)則應(yīng)用到”項(xiàng)選擇“所有出站通訊”，再單擊“下一步”按鈕。圖8.12選擇規(guī)則所使用的協(xié)議第5步：選擇規(guī)則源。在圖8.13所示的“訪問規(guī)則源”界面中點(diǎn)擊“添加”按鈕，在出現(xiàn)的“添加網(wǎng)絡(luò)實(shí)體”中選擇“網(wǎng)絡(luò)”→“內(nèi)部”，點(diǎn)擊“下一步”按鈕，即完成添加。圖8.13選擇規(guī)則源第6步：選擇規(guī)則目標(biāo)。在圖8.14所示“訪問規(guī)則目標(biāo)”界面中點(diǎn)擊“添加”按鈕，在“添加網(wǎng)絡(luò)實(shí)體”中選擇“網(wǎng)絡(luò)”→“外部”，點(diǎn)擊“下一步”按鈕，即完成添加。圖8.14選擇規(guī)則目標(biāo)第7步：選擇規(guī)則所適用的用戶。在圖8.15用戶集界面中點(diǎn)擊“添加”按鈕，選擇“所有用戶”，單擊“下一步”按鈕。圖8.15選擇規(guī)則所適用的用戶第8步：在確認(rèn)規(guī)則配置無誤后，在出現(xiàn)的圖8.16界面中點(diǎn)擊“完成”按鈕。至此，規(guī)則建立完成。圖8.16新建規(guī)則向?qū)畔⑻崾?．2黑客的攻擊與防范8.2.1黑客與網(wǎng)絡(luò)攻擊1．黑客攻擊的手段和工具黑客常用的攻擊手段有獲取用戶口令、放置木馬程序、電子郵件攻擊、網(wǎng)絡(luò)監(jiān)聽、利用賬號(hào)進(jìn)行攻擊、獲取超級(jí)用戶權(quán)限等。黑客攻擊系統(tǒng)通常使用的工具有掃描器、嗅探器、木馬和炸彈等。2．黑客攻擊的過程(1)確定攻擊目的。(2)收集信息。(3)系統(tǒng)安全弱點(diǎn)的探測(cè)。(4)建立模擬環(huán)境，進(jìn)行模擬攻擊。(5)實(shí)施網(wǎng)絡(luò)攻擊8.2.2網(wǎng)絡(luò)攻擊的主要類型與防范1．網(wǎng)絡(luò)攻擊的類型(1)拒絕服務(wù)型攻擊

拒絕服務(wù)（DoS）攻擊是攻擊者利用系統(tǒng)漏洞通過各種手段來消耗網(wǎng)絡(luò)帶寬或服務(wù)器的系統(tǒng)資源，最終導(dǎo)致被攻擊服務(wù)器資源耗盡或系統(tǒng)崩潰而無法提供正常的網(wǎng)絡(luò)服務(wù)。具體的DoS攻擊方式有SYNFlood(洪泛)攻擊、IP碎片攻擊、Smurf攻擊、死亡之ping攻擊、淚滴(teardrop)攻擊、UDPFlood(UDP洪泛)攻擊和Fraggle攻擊等。(2)利用型攻擊

①猜測(cè)口令。②安放木馬。③緩沖區(qū)溢出。(3)信息收集型攻擊信息收集型攻擊被用來為進(jìn)一步入侵系統(tǒng)提供有用的信息。這類攻擊主要利用掃描技術(shù)和信息服務(wù)技術(shù)進(jìn)行，其具體實(shí)現(xiàn)方式有地址掃描、端口掃描、反向映射、DNS域轉(zhuǎn)換和Finger服務(wù)等。(4)虛假信息型攻擊虛假信息型攻擊用于攻擊目標(biāo)配置不正確的消息。2．拒絕服務(wù)攻擊與防范DoS攻擊主要是攻擊者利用TCP/IP協(xié)議本身的漏洞或網(wǎng)絡(luò)中操作系統(tǒng)漏洞實(shí)現(xiàn)的。攻擊者通過加載過多的服務(wù)將系統(tǒng)資源全部或部分占用，大量耗盡系統(tǒng)資源，使得服務(wù)器無法對(duì)正常請(qǐng)求進(jìn)行響應(yīng)，造成服務(wù)器癱瘓?？刹捎梅阑饓?、入侵檢測(cè)系統(tǒng)（IDS）和入侵防護(hù)系統(tǒng)（IPS）等技術(shù)措施防范DoS攻擊。具體措施包括：關(guān)掉可能產(chǎn)生無限序列的服務(wù)，防止洪泛攻擊。對(duì)系統(tǒng)設(shè)定相應(yīng)的內(nèi)核參數(shù)，使系統(tǒng)強(qiáng)制對(duì)超時(shí)的SYN請(qǐng)求連接數(shù)據(jù)包復(fù)位，同時(shí)通過縮短超時(shí)常數(shù)和加長(zhǎng)等候隊(duì)列使系統(tǒng)能迅速處理無效的SYN請(qǐng)求數(shù)據(jù)包。在路由器上做些諸如限制SYN半開數(shù)據(jù)包流量和個(gè)數(shù)配置的調(diào)整。在路由器的前端做必要的TCP攔截，使得只有完成TCP三次握手過程的數(shù)據(jù)包才可進(jìn)入該網(wǎng)段。3．分布式拒絕服務(wù)攻擊與防范(1)DDoS攻擊的過程DDoS攻擊是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一種攻擊方式。它利用更多的被控制機(jī)發(fā)起進(jìn)攻，以更大的規(guī)模進(jìn)攻受害者。(2)DDoS攻擊的防范在主機(jī)上可使用掃描工具檢測(cè)系統(tǒng)的脆弱性、采用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和嗅探器、及時(shí)更新系統(tǒng)補(bǔ)丁等措施防范DDoS攻擊。在防火墻上采取禁止對(duì)主機(jī)的非開放服務(wù)的訪問、限制同時(shí)打開的SYN最大連接數(shù)、限制特定IP地址的訪問、限制開放服務(wù)器的對(duì)外訪問等設(shè)置；在路由器上采取檢查每一個(gè)經(jīng)過路由器的數(shù)據(jù)包、設(shè)置SYN數(shù)據(jù)包流量速率、在邊界路由器上部署策略、使用CAR(ControlAccessRate)限制ICMP數(shù)據(jù)包流量速率等設(shè)置防范DDoS攻擊。4．緩沖區(qū)溢出攻擊與防范(1)緩沖區(qū)溢出攻擊緩沖區(qū)是用戶為程序運(yùn)行而在計(jì)算機(jī)中申請(qǐng)的一段連續(xù)的內(nèi)存，它保存給定類型的數(shù)據(jù)。緩沖區(qū)溢出是指通過向緩沖區(qū)寫入超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他指令的攻擊。(2)緩沖區(qū)溢出攻擊的防范①編寫正確的代碼。②非執(zhí)行緩沖區(qū)保護(hù)。③數(shù)組邊界檢查。④程序指針完整性檢查。8.2.3密碼保護(hù)技巧1．密碼的設(shè)置一般情況下，密碼長(zhǎng)度應(yīng)不少于6位，密碼中最好包含大小寫字符、數(shù)字、標(biāo)點(diǎn)符號(hào)、控制字符和空格等，且最好這些符號(hào)交叉混合排序。2．密碼的管理要有嚴(yán)格的密碼管理觀念，要定期更換密碼，不要保存密碼在本地等。3．使用動(dòng)態(tài)密碼動(dòng)態(tài)密碼（DynamicPassword）也稱一次性密碼，它是指用戶的密碼按照時(shí)間或使用次數(shù)不斷地動(dòng)態(tài)變化，每個(gè)密碼只使用一次。4．使用生物特征密碼生物特征識(shí)別技術(shù)是指利用人體所固有的生理特征或行為特征來進(jìn)行個(gè)人身份鑒定的技術(shù)。目前，在人體特征識(shí)別技術(shù)市場(chǎng)上，占有率最高的是指紋機(jī)和手形機(jī)，這兩種識(shí)別方式也是目前最成熟的技術(shù)。5．使用軟鍵盤輸入密碼通過軟鍵盤(也叫虛擬鍵盤)輸入密碼是比較容易操作的，是對(duì)付木馬記錄擊鍵攻擊的有效方法。8．3網(wǎng)絡(luò)掃描與監(jiān)聽8.3.1網(wǎng)絡(luò)掃描1.網(wǎng)絡(luò)掃描的概念使用網(wǎng)絡(luò)掃描技術(shù)，網(wǎng)絡(luò)安全管理員可以了解網(wǎng)絡(luò)的安全配置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)，并可以根據(jù)掃描的結(jié)果及時(shí)修補(bǔ)系統(tǒng)漏洞、更正系統(tǒng)錯(cuò)誤的安全配置，保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全。2.網(wǎng)絡(luò)掃描的分類(1)基于主機(jī)的掃描:基于主機(jī)的掃描也稱為被動(dòng)式掃描，是對(duì)系統(tǒng)中不合適的設(shè)置、口令配置及其他安全配置進(jìn)行掃描以確定系統(tǒng)是否存在安全漏洞。基于主機(jī)的掃描不會(huì)對(duì)系統(tǒng)造成破壞。(2)基于網(wǎng)絡(luò)的掃描:基于網(wǎng)絡(luò)的掃描也稱為主動(dòng)式掃描，是通過執(zhí)行一些腳本文件模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞?；诰W(wǎng)絡(luò)的掃描有可能對(duì)系統(tǒng)造成破壞。3．主機(jī)掃描(1)Ping(2)Pingsweep(3)ICMPBroadcast4．端口掃描由于計(jì)算機(jī)之間的通信是通過端口進(jìn)行的，因此通過向目標(biāo)主機(jī)的端口發(fā)送信息就可以檢測(cè)出目標(biāo)主機(jī)開放了哪些端口，進(jìn)而可以連接目標(biāo)主機(jī)的端口。而系統(tǒng)的某些端口默認(rèn)是為一些固定的服務(wù)，攻擊者可以利用相應(yīng)端口檢測(cè)系統(tǒng)服務(wù)的漏洞，進(jìn)而利用這些服務(wù)的漏洞入侵系統(tǒng)。(1)TCPconnect()掃描(2)TCPSYN掃描(3)TCPFIN掃描8.3.2網(wǎng)絡(luò)監(jiān)聽1.網(wǎng)絡(luò)監(jiān)聽的概念網(wǎng)絡(luò)監(jiān)聽是指利用工具軟件監(jiān)視網(wǎng)絡(luò)上數(shù)據(jù)的流動(dòng)情況。網(wǎng)絡(luò)管理者可以通過監(jiān)聽發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況，從而更好的管理網(wǎng)絡(luò)和保護(hù)網(wǎng)絡(luò)；而攻擊者可以通過監(jiān)聽將網(wǎng)絡(luò)中正在傳播的信息截獲或捕獲，從而進(jìn)行攻擊。2.檢測(cè)網(wǎng)絡(luò)監(jiān)聽的方法(1)根據(jù)反應(yīng)時(shí)間判斷(2)利用ping模式進(jìn)行監(jiān)測(cè)(3)利用arp數(shù)據(jù)包進(jìn)行監(jiān)測(cè)3.避免網(wǎng)絡(luò)監(jiān)聽的方法(1)使用交換式網(wǎng)絡(luò)(2)使用加密技術(shù)(3)使用VLAN技術(shù)8.3.3網(wǎng)絡(luò)掃描應(yīng)用實(shí)例1．掃描工具SuperScan的應(yīng)用SuperScan是一款功能強(qiáng)大的網(wǎng)絡(luò)主機(jī)及端口掃描工具軟件，具有如下主要功能：通過Ping來檢驗(yàn)IP是否在線。IP地址與域名相互轉(zhuǎn)換。檢驗(yàn)?zāi)繕?biāo)計(jì)算機(jī)提供的服務(wù)類別。檢驗(yàn)?zāi)繕?biāo)計(jì)算機(jī)是否在線及其端口情況。自定義要檢驗(yàn)的端口并可保存為端口列表的文件。自帶一個(gè)木馬端口列表，該列表可檢測(cè)目標(biāo)計(jì)算機(jī)是否有木馬，并可以自己定義修改該木馬端口列表。圖8.18SuperScan主界面(1)域名與IP地址轉(zhuǎn)換在“HostnameLookup”的輸入框輸入需要轉(zhuǎn)換的域名或IP地址，按“LookUp”按鈕就可得到對(duì)應(yīng)的IP地址或域名。如果要得到本計(jì)算機(jī)的IP地址，可以點(diǎn)擊“Me”按鈕，如圖8.19所示。圖8.19地址轉(zhuǎn)換與檢測(cè)在線主機(jī)(2)檢測(cè)目標(biāo)計(jì)算機(jī)是否在線在“IP”欄的“Start”框中填入起始IP地址，在“Stop”框中填入結(jié)束IP地址，在“ScanType”欄選擇“Pingonly”，點(diǎn)擊“Start”按鈕就可以檢測(cè)目標(biāo)計(jì)算機(jī)是否在線了。如果起始IP地址與結(jié)束IP地址相同，則表示只掃描一臺(tái)主機(jī)，如圖8.19所示。(3)端口檢測(cè)①掃描主機(jī)的所有端口在“IP”欄輸入起始IP地址和結(jié)束IP地址，在“ScanType”欄選擇最后一項(xiàng)“AllPortsFrom”并填入起始和結(jié)束端口號(hào)(如1--65535)，點(diǎn)擊“Start”按鈕開始檢測(cè)，如圖8.20所示。圖8.20檢測(cè)主機(jī)開放端口②對(duì)主機(jī)的特定端口進(jìn)行掃描點(diǎn)擊圖8.20右上角“Portlistsetup”按鈕，出現(xiàn)如圖8.21所示的端口設(shè)置界面。在“Selectports”中點(diǎn)擊“ClearAll”按鈕以清除程序原設(shè)置的端口，再選擇下表中需要掃描的端口(在端口前面會(huì)有一個(gè)“√”標(biāo)志)。選擇的時(shí)候，可閱覽左側(cè)的“Change/Add/Deleteportinfo”欄和“Helperappsinright-clickmenu”欄，這里顯示了此端口的詳細(xì)說明和所使用的程序。如選擇21、23和80三個(gè)端口，點(diǎn)擊“save”按鈕保存選擇的端口為端口列表，再單擊“OK”按鈕回到主界面，如圖8.22所示。圖8.21設(shè)置掃描端口界面圖8.22端口掃描設(shè)置主界面在“ScanType”欄選擇“Allselectedportinlist”，點(diǎn)擊“Start”按鈕開始檢測(cè)。檢測(cè)完成后，單擊結(jié)果窗口中被檢查的IP地址，該地址旁會(huì)出現(xiàn)一個(gè)“+”號(hào)，再單擊展開，將顯示該被檢測(cè)主機(jī)所要求檢測(cè)端口的狀態(tài)，如圖8.23所示。圖8.23掃描端口結(jié)果(4)檢測(cè)木馬在如圖8.24所示主界面中選擇“Portlistsetup”，出現(xiàn)端口設(shè)置界面，點(diǎn)擊“Portlistfiles”的下拉框選擇“trojans.lst”端口列表文件。該文件是軟件自帶的，提供了常見的木馬端口，用戶可以使用這個(gè)端口列表來檢測(cè)目標(biāo)計(jì)算機(jī)是否被植入木馬。圖8.24檢測(cè)木馬界面2．掃描工具GetNTUser的應(yīng)用GetNTUser是一款掃描網(wǎng)絡(luò)主機(jī)用戶名及用戶密碼的工具軟件，它具有如下主要功能：掃描Windows系統(tǒng)的用戶名。自動(dòng)掃描空密碼及與用戶名相同的密碼。使用字典掃描用戶密碼。圖8.25GetNTUser程序主界面(1)檢測(cè)主機(jī)用戶點(diǎn)擊“文件”菜單，選擇“添加主機(jī)”或單擊主機(jī)圖標(biāo)，出現(xiàn)“AddHost”對(duì)話框，如圖8.26所示。在對(duì)話框中輸入欲掃描主機(jī)的IP地址，單擊“OK”按鈕，在出現(xiàn)的窗口中單擊人像圖標(biāo)，即可掃描主機(jī)的用戶，如圖8.27所示。圖8.26添加掃描主機(jī)圖8.27掃描主機(jī)用戶列表(2)根據(jù)字典掃描用戶密碼單擊“工具”菜單，選擇“設(shè)置”項(xiàng)，出現(xiàn)如圖8.28所示的設(shè)置頁面。在“字典文件”框中通過“設(shè)置”找到所保存字典文件的位置，再點(diǎn)擊“工具”菜單，選擇“字典測(cè)試”項(xiàng)，GetNTUser軟件就會(huì)將字典中的數(shù)據(jù)用以掃描用戶的密碼。圖8.28設(shè)置字典文件3．掃描工具PortScan的應(yīng)用PortScan是專用于掃描網(wǎng)絡(luò)主機(jī)開放端口的工具軟件。PortScan軟件的主界面如圖8.29所示。圖8.29PortScan主界面在圖中“Scan”框中輸入欲掃描主機(jī)的IP地址，在“StopPort”框中輸入掃描端口的終止端口號(hào)，再單擊“START”按鈕，其掃描結(jié)果如圖8.30所示，其下半部分是掃描到的端口列表。圖8.30PortScan掃描結(jié)果4．掃描工具X-Scan的應(yīng)用X-ScanV3.3是可運(yùn)行于Windows系列系統(tǒng)的漏洞掃描工具軟件。該工具軟件采用多線程方式對(duì)指定IP地址段(或單機(jī))進(jìn)行安全漏洞檢測(cè)，支持插件功能。掃描內(nèi)容包括遠(yuǎn)程服務(wù)類型、操作系統(tǒng)類型及版本、各種弱口令漏洞、后門、應(yīng)用服務(wù)漏洞、網(wǎng)絡(luò)設(shè)備漏洞和拒絕服務(wù)漏洞等。X-ScanV3.3程序主界面如圖8.31所示。圖8.31X-ScanV3.3主界面(1)X-ScanV3.3的基本使用點(diǎn)擊X-ScanV3.3菜單欄上的“設(shè)置”，選擇“掃描參數(shù)”項(xiàng)，在“指定IP范圍”中輸入欲掃描單機(jī)的IP地址或主機(jī)的IP地址范圍，再單擊“確定”按鈕，如圖8.32所示。圖8.32確定掃描范圍回到主界面，點(diǎn)擊“文件”菜單，選擇“開始掃描”，或單擊工具欄的執(zhí)行圖標(biāo)

，X-ScanV3.3程序即開始對(duì)指定主機(jī)進(jìn)行漏洞掃描，執(zhí)行過程如圖8.33所示。掃描完成后，X-Scan會(huì)自動(dòng)給出對(duì)所掃描主機(jī)的報(bào)告文件，如圖8.34所示。圖8.33X-ScanV3.3掃描過程圖8.34X-ScanV3.3掃描結(jié)果(2)X-Scan掃描指定漏洞①在“掃描參數(shù)”窗口單擊“檢測(cè)范圍”項(xiàng)，輸入掃描主機(jī)的IP地址。②展開“全局設(shè)置”，選擇“掃描模塊”項(xiàng)，在中間的窗口中勾選想要掃描的漏洞，最后點(diǎn)擊“確定”按鈕，如圖8.35所示。圖8.35設(shè)置對(duì)指定漏洞的掃描③待回到主界面后，單擊“文件”菜單，選擇“開始掃描”，X-Scan程序即開始進(jìn)行指定漏洞的掃描。④掃描完成后，再展開左面窗口中的各項(xiàng)掃描指標(biāo)，可得到有關(guān)所掃描漏洞的詳細(xì)信息。如圖8.36所示。圖8.36漏洞詳細(xì)信息8.3.4網(wǎng)絡(luò)監(jiān)聽?wèi)?yīng)用實(shí)例1.監(jiān)聽工具WinSniffer的應(yīng)用WinSniffer是在局域網(wǎng)內(nèi)使用的監(jiān)聽工具，它能夠捕獲局域網(wǎng)中傳輸?shù)腇TP、POP3、HTTP、ICQ、SMTP、Telnet和NNTP等密碼。(1)WinSniffer的安裝WinSniffer軟件的安裝過程很簡(jiǎn)單，在執(zhí)行安裝程序后出現(xiàn)安裝向?qū)В鐖D8.37所示。隨后根據(jù)安裝向?qū)У奶崾局鸩綀?zhí)行即可。圖8.37WinSniffer安裝向?qū)?2)WinSniffer的使用圖8.38WinSniffer主界面①設(shè)置監(jiān)聽的網(wǎng)卡。單擊工具欄上的“Adapter”按鈕，出現(xiàn)如圖8.39所示選擇網(wǎng)絡(luò)適配器(網(wǎng)卡)窗口，在其中選取欲嗅探數(shù)據(jù)的網(wǎng)卡，再單擊“OK”按鈕。圖8.39設(shè)置監(jiān)聽網(wǎng)卡②單擊工具欄上的“Start”按鈕，使WinSniffer進(jìn)入監(jiān)聽狀態(tài)。③在本機(jī)()上用FTP方式建立與監(jiān)聽主機(jī)的聯(lián)系，如圖8.40所示。圖8.40網(wǎng)絡(luò)通信過程通過以上設(shè)置后，再次打開WinSniffer界面，即可看到被監(jiān)聽到的相關(guān)信息，如圖8.41所示。圖8.41WinSniffer監(jiān)聽結(jié)果2.密碼監(jiān)聽器pswmonitor的應(yīng)用密碼監(jiān)聽器pswmonitor可以監(jiān)聽到局域網(wǎng)內(nèi)任意一臺(tái)主機(jī)所登錄的網(wǎng)頁郵箱、使用POP3收取的信件以及其它登錄賬號(hào)及密碼(包括部分網(wǎng)絡(luò)游戲)，并可將密碼顯示、保存或發(fā)送到黑客指定的郵箱。Pswmonitor軟件的主界面如圖8.42所示。圖8.42pswmonitor主界面在開始使用pswmonitor時(shí)，監(jiān)聽器會(huì)自動(dòng)運(yùn)行監(jiān)聽。用戶也可自行設(shè)置監(jiān)聽的網(wǎng)卡、使用ARP欺騙、設(shè)置發(fā)送和接收的參數(shù)、密碼保護(hù)功能和郵箱地址等，如圖8.43所示。圖8.43設(shè)置監(jiān)聽信息發(fā)送郵箱3.嗅探器Sniffer的應(yīng)用(1)Sniffer的安裝下載Sniffer程序后，打開安裝程序，出現(xiàn)如圖8.44所示安裝向?qū)А｜c(diǎn)擊“Next”按鈕后，系統(tǒng)會(huì)自動(dòng)進(jìn)行解壓和安裝工作。圖8.44Sniffer安裝向?qū)?2)Sniffer的應(yīng)用Sniffer安裝后，執(zhí)行“程序”→“SnifferPro”→“Sniffer”，出現(xiàn)如圖8.45所示的程序主界面。圖8.45Sniffer主界面①配置安裝Sniffer嗅探器主機(jī)和被嗅探主機(jī)的IP地址。點(diǎn)擊“Capture”菜單，選擇“DefineFilter”，在出現(xiàn)的“DefineFilter”界面中選取“Address”選項(xiàng)卡，如圖8.46所示。在“Address”下拉菜單中選擇“IP”，在“Station1”中輸入嗅探器主機(jī)的IP地址，在“Station2”中輸入被嗅探主機(jī)的IP地址，點(diǎn)擊“確定”按鈕后，設(shè)置完成。圖8.46設(shè)置Sniffer參數(shù)②設(shè)置嗅探數(shù)據(jù)的類型(以Ping命令為例)點(diǎn)擊“Advanced”選項(xiàng)卡，拉動(dòng)滾動(dòng)條，找到并勾選“ICMP”項(xiàng)，如圖8.47所示。點(diǎn)擊“確定”按鈕后，完成類型設(shè)置。圖8.47設(shè)置嗅探數(shù)據(jù)類型③執(zhí)行嗅探。點(diǎn)擊圖8.45中“Capture”菜單，選擇“Start”項(xiàng)。在嗅探主機(jī)中執(zhí)行對(duì)被嗅探主機(jī)的Ping指令，如圖8.48所示。圖8.48網(wǎng)絡(luò)通信過程Ping指令執(zhí)行完畢，點(diǎn)擊“Capture”菜單，選擇“StopandDisplay”項(xiàng)或工具欄上的相應(yīng)圖標(biāo)，在出現(xiàn)的窗口中選擇“Decode”項(xiàng)，就會(huì)顯示兩條計(jì)算機(jī)之間數(shù)據(jù)的傳輸過程，如圖8.49所示。至此，Sniffer已成功嗅探到數(shù)據(jù)。圖8.49嗅探結(jié)果8.4.1入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全系統(tǒng)。8．4入侵檢測(cè)與入侵防護(hù)系統(tǒng)1．IDS的功能IDS已成為網(wǎng)絡(luò)安全體系中的一個(gè)重要環(huán)節(jié)。它不僅能監(jiān)測(cè)外來干涉的入侵者，也能監(jiān)測(cè)內(nèi)部的入侵行為，彌補(bǔ)了防火墻的不足。IDS在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，從而極大地減少各種可能攻擊的損害。監(jiān)視網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況，查找非法用戶的訪問和合法用戶的越權(quán)操作。對(duì)系統(tǒng)的構(gòu)造和弱點(diǎn)進(jìn)行審計(jì)。識(shí)別分析著名攻擊的行為特征并報(bào)警。評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。對(duì)操作系統(tǒng)進(jìn)行跟蹤審計(jì)，并識(shí)別用戶違反安全策略的行為。容錯(cuò)功能。2．IDS的分類(1)基于主機(jī)的IDS基于主機(jī)的IDS（HI