貴州大學(xué)《信息安全技術(shù)》實驗指導(dǎo)書

《貴州大學(xué)《信息安全技術(shù)》實驗指導(dǎo)書》由會員分享，可在線閱讀，更多相關(guān)《貴州大學(xué)《信息安全技術(shù)》實驗指導(dǎo)書（29頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、最新 精品 Word 歡迎下載 可修改 電子科學(xué)與信息技術(shù)學(xué)院 《信息安全技術(shù)》 實驗指導(dǎo)書 蔣朝惠編寫 適用專業(yè):通信工程、網(wǎng)絡(luò)工程 貴州大學(xué) 二OO 六年八月 前言 隨著近年來計算機和網(wǎng)絡(luò)的迅速普及，給我國經(jīng)濟發(fā)展和社會進步帶來了前所未有的機遇。但不容樂觀的是，來自網(wǎng)絡(luò)安全的威脅也日趨嚴(yán)重。例如，近年來多次在全球范圍內(nèi)爆發(fā)的蠕蟲病毒，對社會經(jīng)濟造成了巨大的損失，因而，信息安全問題已經(jīng)成為制約社會信息化發(fā)展的一個瓶頸。面對這一現(xiàn)狀，如何提高我國的信息安全建設(shè)水平和網(wǎng)絡(luò)安全的防范意識，

2、已成為全社會共同關(guān)注的問題。為適應(yīng)這一形式，教育部從2000年開始批準(zhǔn)在高校中建立信息安全及其相關(guān)本科專業(yè)，以期為社會培養(yǎng)更多精通安全技術(shù)的專業(yè)人才。為了加深他們對信息安全知識的了解，進一步培養(yǎng)在信息安全方面的動手能力和感性認(rèn)識，特編寫了這個指導(dǎo)書。 學(xué)生應(yīng)認(rèn)真閱讀《信息安全技術(shù)》教材中的與實驗相關(guān)的章節(jié)內(nèi)容，提前做好實驗預(yù)習(xí)，做到每個實驗前明確實驗?zāi)康?、掌握實驗的基本?nèi)容及操作方法；在實驗中正確使用實驗設(shè)備，認(rèn)真觀察實驗結(jié)果；實驗后根據(jù)要求做好總結(jié)，上交實驗報告。 目 錄 實驗一：常用信息安全工具的使用 4 實驗二：防火墻配

3、置與使用 7 實驗三：Snort入侵檢測系統(tǒng)的配置與使用 10 實驗四：木馬攻擊與防范 18 實驗報告的基本內(nèi)容及要求 27 貴州大學(xué)實驗報告 28 實驗一：常用信息安全工具的使用 實驗學(xué)時：2 實驗類型：驗證 實驗要求：必修 一、實驗?zāi)康? 1、 理解并掌握基于網(wǎng)絡(luò)的信息安全概念和原理 2、 熟悉嗅探、網(wǎng)絡(luò)漏洞掃描等常用工具的安裝、配置與使用。 二、實驗內(nèi)容 1、 利用嗅探器監(jiān)視網(wǎng)絡(luò)上的信息（數(shù)據(jù)包），分析網(wǎng)絡(luò)性能和故障。 2、 利用嗅探器監(jiān)視網(wǎng)絡(luò)上的信息竊聽用戶的賬號與密碼信息。 3、 利用網(wǎng)絡(luò)端口掃描器發(fā)

4、現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全漏洞。 三、實驗原理、方法和手段 1、Sniffer工具嗅探 Sniffer即網(wǎng)絡(luò)嗅探器，用于監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)包，分析網(wǎng)絡(luò)性能和故障。 通常在同一個網(wǎng)段的所有網(wǎng)絡(luò)接口都有訪問在物理媒體上傳輸?shù)乃袛?shù)據(jù)的能力，而每個網(wǎng)絡(luò)接口都還應(yīng)該有一個硬件地址，該硬件地址不同于網(wǎng)絡(luò)中存在的其他網(wǎng)絡(luò)接口的硬件地址，同時，每個網(wǎng)絡(luò)至少還要一個廣播地址（代表所有的接口地址），在正常情況下，一個合法的網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)目的地址是自己硬件地址或者自己所處網(wǎng)段的廣播地址的數(shù)據(jù)幀，同時丟棄不是發(fā)給自己的數(shù)據(jù)幀。 而sniffer就是一種能將本地網(wǎng)絡(luò)接口設(shè)置成“混雜”（promiscuous）狀

5、態(tài)的軟件，當(dāng)網(wǎng)絡(luò)接口處于這種"混雜"方式時，該網(wǎng)絡(luò)接口具備廣播地址，它對所有遭遇到的每一個幀都產(chǎn)生一個硬件中斷以便提醒操作系統(tǒng)處理流經(jīng)該物理媒體上的每一個報文包。 sniffer工作在網(wǎng)絡(luò)環(huán)境中的底層，它會攔截所有的正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過相應(yīng)的軟件處理，可以實時分析這些數(shù)據(jù)的內(nèi)容，進而分析所處的網(wǎng)絡(luò)狀態(tài)和整體布局。 2、網(wǎng)絡(luò)端口掃描Superscan 一個開放的網(wǎng)絡(luò)端口就是一條與計算機通信的信道，對網(wǎng)絡(luò)端口的掃描可以得到目標(biāo)計算機開放的服務(wù)程序、運行的系統(tǒng)版本信息，從而為下一步的入侵做好準(zhǔn)備。對網(wǎng)絡(luò)端口的掃描可以通過執(zhí)行手工命令實現(xiàn)，但效率較低；也可以通過掃描工具實現(xiàn)，效率較高。

6、掃描工具是對目標(biāo)主機的安全性弱點進行掃描的軟件。它一般具有數(shù)據(jù)分析功能，通過對端口的掃描分析，可以發(fā)現(xiàn)目標(biāo)主機開放的端口和所提供的服務(wù)以及相應(yīng)服務(wù)軟件版本和這些服務(wù)軟件的安全漏洞，從而及時了解目標(biāo)主機存在的安全隱患。 掃描工具根據(jù)作用的環(huán)境不同，可分為兩種類型：網(wǎng)絡(luò)漏洞掃描工具和主機漏洞掃描工具。主機漏洞掃描工具是指在本機運行的掃描工具，以期檢測本地系統(tǒng)存在的安全漏洞。網(wǎng)絡(luò)漏洞掃描工具是指通過網(wǎng)絡(luò)檢測遠程目標(biāo)網(wǎng)絡(luò)和主機系統(tǒng)所存在漏洞的掃描工具。本實驗主要針對網(wǎng)絡(luò)漏洞掃描工具進行。 l 端口的基礎(chǔ)知識 端口是TCP協(xié)議中所定義的，TCP協(xié)議通過套接字（Socket）建立兩臺計算機之間的網(wǎng)絡(luò)

7、連接。套接字采用[IP地址：端口號]的形式來定義，通過套接字中不同的端口號可以區(qū)別同一臺計算機上開啟的不同TCP和UDP連接進程。對于兩臺計算機間的任意一個TCP連接，一臺計算機的一個[IP地址：端口]套接字會和另一臺計算機的一個[IP：端口]套接字相對應(yīng)，彼此標(biāo)識著源端、目的端上數(shù)據(jù)包傳輸?shù)脑催M程和目標(biāo)進程。這樣網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包就可以由套接字中的IP地址和端口號找到需要傳輸?shù)闹鳈C和連接進程了。由此可見，端口和服務(wù)進程一一對應(yīng)，通過掃描開放的端口，就可以判斷出計算機正在運行的服務(wù)程序。 TCP/UDP的端口號在0~65535范圍之內(nèi)，其中1024以下的服務(wù)保留給常用的網(wǎng)絡(luò)服務(wù)。例如，21端

8、口為TCP服務(wù)，23端口為TELNET服務(wù)，25端口為SMTP服務(wù)，80端口為HTTP服務(wù)，110端口為POP3服務(wù)等。 l 掃描的原理 （1）TCP全連接掃描 TCP全連接掃描是利用TCP的三次握手，與目標(biāo)主機建立正常的TCP連接，以判斷指定端口是否開放。這種方法的缺點是非常容易被記錄或者被檢測出來。 （2）TCP SYN掃描 本地主機向目標(biāo)主機發(fā)送SYN數(shù)據(jù)段，如果遠端目標(biāo)主機端口開放，則回應(yīng)SYN=1,ACK=1,此時本地主機發(fā)送RST給目標(biāo)主機，拒絕連接。如果遠端主機端口未開放，則會回應(yīng)RST給本地主機。由此可知，根據(jù)回應(yīng)的數(shù)據(jù)段可以判斷目標(biāo)主機的端口是否開放。由于TCP S

9、YN掃描并沒有建立TCP正常連接，所以降低了被發(fā)現(xiàn)的可能，同時提高了掃描性能。 （3）TCP FIN掃描 本地主機向目標(biāo)主機發(fā)送FIN=1,如果遠端目標(biāo)主機端口開放，則丟棄此包，不回應(yīng)；如果遠端主機未開放，則返回一個RST包。FIN掃描通過發(fā)送FIN的反饋判斷遠端目標(biāo)主機的端口是否開放。由于這種掃描方法沒有涉及TCP的正常連接，所以使掃描更隱秘，也稱為秘密掃描。這種方法通常適用于Unix操作系統(tǒng)主機，但有的操作系統(tǒng)（如Windows NT）不管端口是否打開，都回復(fù)RST，此時這種方法就不適用了。 （4）UDP ICMP掃描 這種方法利用了UDP協(xié)議，當(dāng)向目標(biāo)主機的一個未打開的UDP端口

10、發(fā)送數(shù)據(jù)包時，會返回一個ICMP_PORT_UNREACHABLE錯誤，這樣就會發(fā)現(xiàn)關(guān)閉的端口。 （5）ICMP掃描 這種掃描方法利用了ICMP協(xié)議的功能，如果向目標(biāo)主機發(fā)送一個協(xié)議項存在錯誤的IP數(shù)據(jù)包，則根據(jù)反饋的ICMP錯誤報文，判斷目標(biāo)主機使用的服務(wù)。 （6）間接掃描 入侵者間接利用第三方主機進行掃描，以隱藏真正入侵者的痕跡。第三方主機是通過其他入侵方法控制主機的，掃描的最終結(jié)果會從第三方主機發(fā)送給真正的入侵者。 掃描往往是入侵的前奏，所以如何有效的屏蔽端口，保護自身計算機的安全，成為計算機管理人員首要考慮的問題。為了防止對計算機網(wǎng)絡(luò)端口的掃描，我們可以采用端口掃描監(jiān)測工具來

11、監(jiān)測對端口的掃描，防止端口信息外露。此外，安裝防火墻也是防止端口掃描的有效方法。 四、實驗組織運行要求 采用集中授課演示操作步驟，學(xué)生獨立操作形式。 五、實驗條件 聯(lián)網(wǎng)的PC機，兩臺為一組，Windows2000或WindowsXP操作系統(tǒng)，嗅探器Sniffer Pro、簡單端口掃描器Superscan，掃描器Fluxay5。 六、實驗步驟 1、 關(guān)閉計算機的防病毒軟件。 2、 安裝Sniffer Pro。 3、 安裝Superscan 4、 安裝Fluxay5。 5、 將同一實驗組的計算機設(shè)為同一網(wǎng)段。 6、 利用Sniffer Pro觀察對方的網(wǎng)絡(luò)數(shù)據(jù)包，分析網(wǎng)絡(luò)性

12、能和故障。 7、 用Superscan掃描對方的計算機，記錄掃描的結(jié)果和發(fā)現(xiàn)的漏洞。 8、 用Fluxay5掃描系統(tǒng)的漏洞并破解出另一臺機器的帳號與口令 七、思考題 八、實驗報告 學(xué)生實驗報告主要包括實驗預(yù)習(xí)、實驗記錄和實驗報告三部分，基本內(nèi)容詳見附件1。 九、其它說明 實驗二：防火墻配置與使用 實驗學(xué)時：4 實驗類型：綜合 實驗要求：必修 一、實驗?zāi)康? 1、 熟悉skynet天網(wǎng)防火墻安裝和基本配置方法； 2、 通過配置防火墻特性，進行攻擊與防范。 二、實驗內(nèi)容 1、 skynet天網(wǎng)防火墻軟件的安裝與配置 2、 SYNFlood攻擊軟件的安裝

13、與配置 3、 配置天網(wǎng)防火墻來阻擋SYNFlood軟件的攻擊 三、實驗原理、方法和手段 一個完整的TCP連接分三步，也就是我們常說的三次握手： 1.客戶端　SYN　 服務(wù)端 2.服務(wù)端　ACK+SYN　 客戶端 3.客戶端　ACK　 服務(wù)端 FLOOD攻擊就是利用三次握手的漏洞來實現(xiàn)的：假設(shè)一個用戶向服務(wù)器發(fā)送了SYN報文后突然死機或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報文后是無法收到客戶端的ACK報文的（第三次握手無法完成），這種情況下服務(wù)器端一般會重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時間后丟棄這個未完成的連接，這段時間的長度我們稱為SYNTimeou

14、t，一般來說這個時間是分鐘的數(shù)量級（大約為30秒-2分鐘）；一個用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個線程等待1分鐘并不是什么很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護一個非常大的半連接列表而消耗非常多的資源----數(shù)以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的CPU時間和內(nèi)存，何況還要不斷對這個列表中的IP進行SYN+ACK的重試。實際上如果服務(wù)器的TCP/IP棧不夠強大，最后的結(jié)果往往是堆棧溢出崩潰---即使服務(wù)器端的系統(tǒng)足夠強大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率非常之小），此時從正常客戶的角度看

15、來，服務(wù)器失去響應(yīng)，這種情況我們稱作：服務(wù)器端受到了SYN Flood攻擊（SYN洪水攻擊）。 四、實驗組織運行要求 采用集中授課演示操作步驟，學(xué)生獨立操作形式。 五、實驗條件 1） 集線器或交換機（8口或24口）若干臺 2） 帶網(wǎng)卡且裝有Windows 2000/XP的PC機若干臺 3） 網(wǎng)卡及其驅(qū)動程序若干套 4） 打印機1臺及其驅(qū)動程序若干套 5） 已做好RJ-45接頭（2-5米）的UTP電纜若干條 6） RJ-45接頭若干個和五類雙絞線若干米 7） RJ-45壓線工具若干把 8） MS Windows 2000/XP軟件（光碟）若干套 六、實驗步驟

16、 1.根據(jù)天網(wǎng)防火墻的幫助文檔進行安裝和基本的配置學(xué)習(xí) 2.修改防火墻相關(guān)的配置，用superscan等掃描，觀察天網(wǎng)的日志記錄，并記錄可以從其中獲得的攻擊等信息 （1）Firewall包過濾 操作步驟 ．用superscan掃描工具； ．改變天網(wǎng)的配置： ．改變天網(wǎng)的配置： ．改變天網(wǎng)的配置： 觀察防火墻日志的記錄并分析出現(xiàn)的原因 （2）攻擊防范功能測試 由于資源的限制，TCP/IP棧的實現(xiàn)只能允許有限個TCP連接。而SYN Flood攻擊正是利用這一點，它偽造一個SYN報文，其源地址是偽造、或者一個不存在的地址，向服務(wù)器發(fā)起連接，服務(wù)器在收到報文

17、后用SYN-ACK應(yīng)答，而此應(yīng)答發(fā)出去后，不會收到ACK報文，造成一個半連接。如果攻擊者發(fā)送大量這樣的報文，會在被攻擊主機上出現(xiàn)大量的半連接，消耗其資源，使正常的用戶無法訪問，直到半連接超時。在一些創(chuàng)建連接不受限制的實現(xiàn)里，SYN Flood具有類似的影響，它會消耗掉系統(tǒng)的內(nèi)存等資源。 SYN Flood攻擊防范測試 操作步驟 ．在Server B上發(fā)送大量的TCP SYN報文到Server A上； ．在Server A上使用轉(zhuǎn)包工具抓包； ．在Server B上發(fā)送大量SYN攻擊報文的背景流量下，telnet到Server A； ．在Server B上發(fā)送大量SYN攻擊報文的背景

18、流量下，通過http訪問Server A； ．在Server B上發(fā)送大量的SYN報文，同時在Server A上抓包。 地址掃描攻擊防范測試 操作步驟 ．在Server B上使用地址掃描程序?qū)W(wǎng)絡(luò)進行地址掃描； ．在天網(wǎng)日志中觀察設(shè)備的報警輸出； ．在Server B上Ping Server A； 七、思考題 怎么在天網(wǎng)防火墻的日志記錄里面分析得到我們需要的信息？ 八、實驗報告 學(xué)生實驗報告主要包括實驗預(yù)習(xí)、實驗記錄和實驗報告三部分，基本內(nèi)容詳見附件1。 九、其它說明 實驗三：Snort入侵檢測系統(tǒng)的

19、配置與使用 實驗學(xué)時：4 實驗類型：綜合 實驗要求：必修 一、實驗?zāi)康? 學(xué)會搭建snort+windows+mysql+php+acid的網(wǎng)絡(luò)入侵檢測系統(tǒng)平臺，并學(xué)習(xí)簡單snort規(guī)則的編寫與使用，了解snort的檢測原理。 二、實驗內(nèi)容 1、 2、 3、 4、 Mysql數(shù)據(jù)庫的安裝與配置 5、 adodb的安裝與配置 6、 數(shù)據(jù)控制臺acid的安裝與配置 7、 jpgraph庫的安裝 8、 winpcap的安裝與配置 9、 snort規(guī)則的配置 10、 測試snort的入侵檢測相關(guān)功能 三、實驗原理、方法和手段 有關(guān)本實驗的原理參見教材《信息

20、安全實驗指導(dǎo)書》，崔寶江 周亞建 楊義先 鈕心忻編著，國防工業(yè)出版社出版社，2022年。 四、實驗組織運行要求 采用集中授課演示操作步驟，學(xué)生獨立操作形式。 五、實驗條件 聯(lián)網(wǎng)的裝有Windows2000或WindowsXP操作系統(tǒng)的PC機； 六、實驗步驟 （一） windows環(huán)境下snort的安裝 1． （1） （2） 打開配置文件C:\apache\apache2\conf\httpd.conf，將其中的Listen 8080，更改為Listen 50080。（這主要是為了避免沖突）。 （3） 進入命令行運行方式（單擊“開始”按鈕，選擇“運行”，在彈出窗口中

21、輸入“cmd”，回車），轉(zhuǎn)入C:\apache\apache\bin子目錄，輸入下面命令： C:\apache\apache2\bin>apache –k install 將apache設(shè)置為以windows中的服務(wù)方式運行。 2． 安裝PHP （1） （2） 復(fù)制C:\php下php4ts.dll 至%systemroot%\System32，php.ini-dist至%systemroot%\php.ini。 （3） 添加gd圖形支持庫，在php.ini中添加extension=php_gd2.dll。如果php.ini有該句，將此句前面的“；”注釋符去掉。 （4） 添加Ap

22、ache對PHP的支持。在C:\apahce\apache2\conf\httpd.conf中添加： LoadModule php4_module “C:/php/sapi/php4apache2.dll” AddType application/x-httpd-php .php （5） 進入命令行運行方式，輸入下面命令： Net start apache2 (這將啟動Apache Web服務(wù)) （6） 在C:\apache\apche2\htdocs目錄下新建test.php測試文件，test.php文件內(nèi)容為 使用，測試PHP是否成功安裝，如成

23、功安裝，則在瀏覽器中出現(xiàn)如下圖所示的網(wǎng)頁 3． 安裝snort 安裝snort-2_0_0.exe，snort的默認(rèn)安裝路徑在C:\snort 4． 安裝配置Mysql數(shù)據(jù)庫 （1） 安裝Mysql到默認(rèn)文件夾C:\mysql，并在命令行方式下進入C:\mysql\bin，輸入下面命令： C:\mysql\bin\mysqld ––install 這將使mysql在Windows中以服務(wù)方式運行。 （2） 在命令行方式下輸入net start mysql，啟動mysql服務(wù) （3） 進入命令行方式，輸入以下命令 C:\mysql\bin>mysql –u

24、 root –p 如下圖： 出現(xiàn)Enter Password提示符后直接按“回車”，這就以默認(rèn)的沒有密碼的root用戶登錄mysql數(shù)據(jù)庫。 （4） 在mysql提示符后輸入下面的命令（（Mysql>）表示屏幕上出現(xiàn)的提示符，下同）： （Mysql>）create database snort; （Mysql>）create database snort_archive; 注意：在輸入分號后mysql才會編譯執(zhí)行語句。 上面的create語句建立了snort運行必須的snort數(shù)據(jù)庫和snort_archive數(shù)據(jù)庫。 （5） 輸入quit命令退出

25、mysql后，在出現(xiàn)的提示符之后輸入: （c:\mysql\bin>）Mysql –D snort –u root –p）Mysql –D snort_archive –u root –p

26、會出現(xiàn)密碼輸入提示，由于這里是用的是沒有密碼的root用戶，直接按“回車”即可。 （6） 再次以root用戶身份登錄mysql數(shù)據(jù)庫，在提示符后輸入下面的語句： （mysql>）grant usage on *.* to “acid”@”loacalhost” identified by “acidtest”; （mysql>）grant usage on *.* to “snort”@”loacalhost” identified by “snorttest”; 上面兩個語句表示在本地數(shù)據(jù)庫中建立了acid（密碼為acidtest）和snort（密碼為snorttet）

27、兩個用戶，以備后面使用。 （7） 在mysql提示符后面輸入下面的語句： （mysql>）grant select,insert,update,delete,create,alter on snort.* to “adid”@”localhost; （mysql>）grant select,insert on snort.* to “snort”@”localhost; （mysql>）grant select,insert,update,delete,create,alter on snort_archive.* to “adid”@”loc

28、alhost; 這是為新建的用戶在snort和snort_archive數(shù)據(jù)庫中分配權(quán)限。 5． 安裝adodb 將adodb360.zip解壓縮至C:\php\adodb目錄下，即完成了adodb的安裝。 6． 安裝配置數(shù)據(jù)控制臺acid （1） （2） 修改C:\apahce\apache2\htdocs下的acid_conf.php文件： DBlib_path = "C:\php\adodb"; $DBtype=”mysql”; $alert_dbname = "snort"; $alert_host = "localhost"; $alert

29、_port = "3306"; $alert_user = "acid"; $alert_password = "acidtest"; /* Archive DB connection parameters */ $archive_dbname = "snort_archive"; $archive_host = "localhost"; $archive_port = "3306"; $archive_user = "acid"; $archive_password = "acidtest"; $ChartLib_path

30、=”C:\php\jpgraph\src”; 注意：修改時要將文件中原來的對應(yīng)內(nèi)容注釋掉，或者直接覆蓋。 （3） 查看網(wǎng)頁，如下圖所示，單擊create ACID AG 建立數(shù)據(jù)庫。 7． 安裝jpgraph庫 （1） （2） 修改C:\php\jpgrah\src下jpgraph.php文件，去掉下面語句的注釋。 DEFINE（”CACHE_DIR”,”/tmp/jpgraph_cache/”）; 8． 安裝winpcap 安裝默認(rèn)選項和默認(rèn)路徑安裝winpcap。 9． 配置并啟動snort （1） 打開C:\snort\etc\snort.conf文

31、件，將文件中的下列語句： include classification.config include reference.config 修改為絕對路徑： include C:\snort\etc\classfication.config include C:\snort\etc\reference.config （2） 在該文件的最后加入下面語句： Output database: alert,mysql,host=localhost user=snort password=snorttest dbname=snort encoding=hex detail=full （3）

32、進入命令行方式，輸入下面的命令： C:\snort\bin>snort –c “C:\snort\etc\snort.conf” –l “C:\snort\log” –d –e –X 上面的命令將啟動snort，如果snort正常運行，系統(tǒng)最后將顯示如下圖所示 （4） 打開:50080/acid/acid_main.php網(wǎng)頁，進入acid分析控制臺主界面。如上述配置均正確，將出現(xiàn)如下圖所示的頁面。 （二）Windows下snort的使用 1． 完善配置文件 （1） 打開C:\snort\etc\snort.conf （2） 配置snort的內(nèi)、外網(wǎng)檢測范

33、圍。 （3） 設(shè)置監(jiān)測包含規(guī)則。 找到snort.conf文件中描述規(guī)則的部分，前面加“#”表示該規(guī)則沒有啟用，將local.rules之前的“#”去掉，其余規(guī)則保持不變。 2． 使用控制臺查看結(jié)果 3． 配置snort規(guī)則 （1） 打開C:\snort\rules\local.rules文件。 （2） 在規(guī)則中添加一條語句，實現(xiàn)對內(nèi)網(wǎng)的UDP協(xié)議相關(guān)流量進行檢測，并報警：udp ids/dns-version-query。 語句如下： Alert tcp any any->$Home_NET any（msg:”udp ids/dns-version-query”;co

34、ntent:”version”;） （3） 重啟snort和acid檢測控制臺，使規(guī)則生效。 七、思考題 八、實驗報告 學(xué)生實驗報告主要包括實驗預(yù)習(xí)、實驗記錄和實驗報告三部分，基本內(nèi)容詳見附件1。 九、其它說明 實驗四：木馬攻擊與防范 實驗學(xué)時：2 實驗類型：綜合 實驗要求：選修 一、實驗?zāi)康? 通過對木馬的練習(xí)，理解木馬傳播和運行的機制；通過手動刪除木馬，掌握檢查木馬和刪除木馬的技巧，學(xué)會防御木馬的相關(guān)知識，加深對木馬的安全防范意識。 二、實驗內(nèi)容 1、 木馬的置入或安裝 2、 木馬的遠程控制與操縱 3、 木馬的刪

35、除與卸載 三、實驗原理、方法和手段 1. “冰河” “冰河”是國內(nèi)一款非常有名的木馬，功能非常強大?！氨印币话阌蓛蓚€文件組成：G_Client和G_Server，其中G_Server是木馬的服務(wù)器端，就是用來植入目標(biāo)主機的程序，G_Client是木馬的客戶端，就是木馬的控制端。 該軟件主要用于遠程監(jiān)控，具體功能包括： （1）自動跟蹤目標(biāo)機屏幕變化，同時可以完全模擬鍵盤及鼠標(biāo)輸入,即在同步被控端屏幕變化的同時，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕（局域網(wǎng)適用）； （2）記錄各種口令信息：包括開機口令、屏?？诹睢⒏鞣N共享資源口令及絕大多數(shù)在對話框中出現(xiàn)過的口令信息； （

36、3）獲取系統(tǒng)信息：包括計算機名、注冊公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項系統(tǒng)數(shù)據(jù)； （4）限制系統(tǒng)功能：包括遠程關(guān)機、遠程重啟計算機、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊表等多項功能限制； （5）遠程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠程打開文件（提供了四中不同的打開方式——正常方式、最大化、最小化和隱藏方式）等多項文件操作功能； （6）注冊表操作：包括對主鍵的瀏覽、增刪、復(fù)制、重命名和對鍵值的讀寫等所有注冊表操作功能； （7）發(fā)送信息：以四種常用圖標(biāo)向被控端發(fā)送簡短信息； （8）點對點通訊：以聊

37、天室形式同被控端進行在線交談。 2.“灰鴿子” 一、灰鴿子遠程控制企業(yè)版 整個界面看起來非常時尚，整潔，布局合理，功能齊全，實用。功能是最重要的，下面讓我小游魚為大家逐個介紹這些的功能，先讓我介紹一些枯燥的東西，然后再為大家奉上灰鴿子黑防專版，請大家親自體驗灰鴿子遠程控制之旅。 第一：超強的文件傳輸管理。 有時候想從遠程主機拿一點東西，速度不快，又常斷線，真的很頭暈，怎么辦呢？灰鴿子可以對遠程計算機文件管理：模枋 Windows 資源管理器，可以對文件進行復(fù)制、粘貼、刪除，重命名、遠程運行等,可以上傳下載文件或文件夾,操作簡單易用。并且有斷點續(xù)傳功能。一點也不遜色于W

38、INDOWS的資源管理器，簡直就像在自己機器上操作一樣方便。 第二:流暢的屏幕控制 控制當(dāng)然離不開屏幕了，誰不想又快又準(zhǔn)哇, 因為這個版本捕獲屏幕使用到了驅(qū)動技術(shù)，只傳送屏幕變化部分，所以它的傳輸效率非常高，它的屏幕傳輸已經(jīng)非常完美，其它軟件操作了幾十秒再反應(yīng)的的事情在它身上已經(jīng)得到了根本改善。帶給用戶全新的遠程控制體驗。在測試中我們發(fā)現(xiàn)在CPU占用率上遠低于Radmin，遺憾的是這個技術(shù)不支持Win9x系統(tǒng)。 第三：清晰的視頻語音對話 想通話？很容易！灰鴿子用最小的帶寬達到最好的音效傳輸效果，再也不用豎起耳朵來辨聽哪些沙啞的聲音了，能更好的達到遠程排除故障的目的。

39、 第四: 貼心的注冊表模擬 如果用戶需要編輯注冊表怎么辦？內(nèi)建的遠程注冊表操作就像操作本地注冊表一樣方便，極大的方便了用戶。 第五：多種自動上線方式 專用上線、DNS解析域名、固定IP等，這是國外其它軟件少有的功能，主要是對國內(nèi)普遍的上網(wǎng)方式作了優(yōu)化，使它能適應(yīng)多種網(wǎng)絡(luò)條件，達到更好的軟件使用效果， 第六：專用的自動上線系統(tǒng) 如果你沒有主頁空間，又不想使用免費的域名，專用的自動上線系統(tǒng)正適合你的選擇,這項服務(wù)是提供給注冊用戶的。 第七：模擬telnet(超級終端)登錄 對于高手，你想要更底層的操作，更強大的功能，沒關(guān)系，模擬Telnet功能讓你能夠一展拳腳，

40、一試你高強的命令行操作。 第八：易于操作的命令廣播功能 它提供一個企業(yè)級的控制面，解決多臺主機操控的難題，實現(xiàn)了多臺主機實現(xiàn)聯(lián)動操作，如(關(guān)機、重啟、打開網(wǎng)頁，篩選符合條件的機)等，點一個按鈕就可以讓多臺機器同時關(guān)機或其它操作，非常實用. 說的沒用，對比才是最重要，讓我們來和遠程控制也很強的Radmin(鐳)來作一個對比. 鐳的簡介： 出生地：美國 出生年月：1999 特長：遠程控制 灰鴿子簡介： 出生地：中國 出生年月：未知 特長：遠程控制 以下是它們所具有的功能： 灰鴿子 鐳(Radmin) 屏幕控制

41、 是 是 文件傳輸 是 是 Telnet模擬 是 是 語音傳送 是 否 注冊表模擬 是 否 主動連接方式 是 是 自動上線方式選擇 是 否 專用的自動上線系統(tǒng) 是 否 同時可以控制多臺機器 是 否 從字面上看，灰鴿子功能比較多，而鐳的功能比較單一 實測 條件：帶寬1M 灰鴿子 鐳 屏幕控制 相同 文件傳輸 灰鴿子支付續(xù)傳，鐳傳輸比較容易中斷，沒有續(xù)傳功能 Telnet模擬 相同 是否可以同時多窗口操作 相同 條件：撥號 灰鴿子 鐳 屏幕控制 鐳比較好 文件傳輸 灰鴿子支付續(xù)傳，鐳傳輸比較

42、容易中斷，沒有續(xù)傳功能 Telnet模擬 相同 是否可以同時多窗口操作 相同 二、灰鴿子VIP版 1、服務(wù)端安裝過程可以由用戶設(shè)置是否顯示windows安裝過程，可能被會部分殺毒軟件誤殺！(若有這種情況屬為正常,用戶可以在殺毒軟件上設(shè)置過濾或暫時關(guān)閉殺毒軟件,再下載使用!) 2、具有插件功能，用戶可以按照自己的需要使用一些插件，使用上更靈活！ 3、只有自動上線方式，沒有主動連接方式！ 也就是說，企業(yè)版和VIP版，最主要不同的地方就是，VIP版的服務(wù)端在安裝的時候，可以選擇在托盤顯示或不顯示圖標(biāo)，沒有標(biāo)準(zhǔn)的windows安裝過程！及VIP版不是使用驅(qū)動來捕獲屏幕，屏

43、幕控制的速度沒有企業(yè)版的快！正因為這樣，除了正常的遠程管理外，便有部份人把灰鴿子作成黑客工具來使用了，于是，一些殺毒軟件，便把灰鴿子列為了后門程序來查殺！ 國內(nèi)媒體對這款軟件的反應(yīng)： 電腦報，黑客X檔案，新電腦等報刊雜志對灰鴿子的報道相信大家已經(jīng)不少見了。因為灰鴿子是一款遠程控制軟件，長期以來，人們總是認(rèn)為這是一款黑客軟件。下面是瑞星公司對灰鴿子的評價：“其豐富而強大的功能、靈活多變的操作、良好的隱藏性使其他后門都相形見絀。客戶端簡易便捷的操作使剛?cè)腴T的初學(xué)者都能充當(dāng)黑客。當(dāng)使用在合法情況下時，灰鴿子是一款優(yōu)秀的遠程控制軟件。但如果拿它做一些非法的事，灰鴿子就成了很強大的黑客

44、工具。這就好比火藥，用在不同的場合，給人類帶來不同的影響?！? 以上足以證明它是一款在遠程控制領(lǐng)域中非常出色的軟件，近來他們推出了一款企業(yè)版的灰鴿子，決定改變長期以來只能被用來做黑客軟件的狀況，把他們最好的技術(shù)應(yīng)用在我們的生活應(yīng)用中去，為我們排憂解難，確實是一件令人感到高興的事. 附：企業(yè)版與VIP版比較 企業(yè)版 VIP版 屏幕控制 使用驅(qū)動捕屏，速度更快 稍慢于企業(yè)版 上線方式 支持反彈連接和主動連接方式 不支持主動連接方式 服務(wù)端安裝 具有標(biāo)準(zhǔn)的windows安裝過程 可以不顯示安裝過程 托盤圖標(biāo) 服務(wù)端安裝后在托盤顯示圖標(biāo) 可以選擇不顯示托盤

45、圖標(biāo) 是否會被查殺 不被殺毒軟件查殺 會被部份殺毒軟件當(dāng)作后門查殺 服務(wù)端升級 服務(wù)端不能自動升級 服務(wù)端具有后臺自動升級功能 插件功能 無 有 四、實驗組織運行要求 采用集中授課演示操作步驟，學(xué)生獨立操作形式。 五、實驗條件 1） 連網(wǎng)的幾臺PC機（防火墻和殺毒軟件關(guān)掉）； 2） 冰河8.4或灰鴿子軟件 六、實驗步驟 任務(wù)一：“冰河”木馬的使用 1．“冰河”安裝 直接把G_SERVER.EXE拷貝到目標(biāo)機器，運行就安裝了。 2．使用“冰河”對遠程計算機進行控制 （具體使用方法見資料中的“冰河”Readme文檔）見圖：1

46、 圖1 這時就可以在控制的“肉雞”里面，干任何事情了。 任務(wù)二：刪除“冰河”木馬 刪除“冰河”木馬主要有以下幾種方法： （1）客戶端的自動卸載功能 在“控制類命令”中的“系統(tǒng)控制”里面就有自動卸載功能，執(zhí)行這個功能，遠程主機上的木馬就自動卸載了。見圖2和圖3： 圖2 （2）手動卸載 查看注冊表，在“開始”的“運行”里面輸入regedit，打開Windows注冊表編輯器。依次打開子鍵目錄HKEY_LOCAL_MACHINE\SOFTWARE\Micr

47、osoft\Windows\CurrentVer- sion\Run，在目錄中發(fā)現(xiàn)了一個默認(rèn)的鍵值C:\WINNT\System32\kernel32.exe，這就是“冰河”木馬在注冊表中加入的鍵值，將它刪除。然后再依次打開子鍵目錄HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices，再目錄中也發(fā)現(xiàn)了一個默認(rèn)的鍵值C:\WINNT\System32\kernel32.exe，這也是“冰河”木馬在注冊表中加入的鍵值，將它刪除。 然后進入C:\WINNT\System32目錄，找到“冰河” 修改文件關(guān)

48、聯(lián)也是木馬常用的手段，“冰河”木馬將txt文件的缺省打開方式由notepad.exe改為木馬的啟動程序，除此之外，html、exe、zip、com等也都是木馬的目標(biāo)。所以，在最后需要恢復(fù)注冊表中的txt文件關(guān)聯(lián)功能，只要將注冊表的HKEY_CLASSES_ ROOT\txt\open\command下的默認(rèn)值，由中木馬后的C:\Windows\System\Sysexplr.exe %1改為正常情況下的C:\Windows\notepad.exe %1即可。 再重新啟動計算機，就把“冰河”木馬徹底刪除了。 （3）殺毒軟件查殺 大部分殺毒軟件都有查殺木馬的功能，可以通過這個功能對主機進行

49、全面掃描去除木馬。 七、思考題 八、實驗報告 學(xué)生實驗報告主要包括實驗預(yù)習(xí)、實驗記錄和實驗報告三部分，基本內(nèi)容詳見附件1。 九、其它說明 實驗報告的基本內(nèi)容及要求 每門課程的所有實驗項目的報告必須以課程為單位裝訂成冊，格式參見附件1。 實驗報告應(yīng)體現(xiàn)預(yù)習(xí)、實驗記錄和實驗報告，要求這三個過程在一個實驗報告中完成。 1．實驗預(yù)習(xí) 在實驗前每位同學(xué)都需要對本次實驗進行認(rèn)真的預(yù)習(xí)，并寫好預(yù)習(xí)報告，在預(yù)習(xí)報告中要寫出實驗?zāi)康?、要求，需要用到的儀器設(shè)備、物品資料以及簡要的實驗步驟，形

50、成一個操作提綱。對實驗中的安全注意事項及可能出現(xiàn)的現(xiàn)象等做到心中有數(shù)，但這些不要求寫在預(yù)習(xí)報告中。 設(shè)計性實驗要求進入實驗室前寫出實驗方案。 2．實驗記錄 學(xué)生開始實驗時，應(yīng)該將記錄本放在近旁，將實驗中所做的每一步操作、觀察到的現(xiàn)象和所測得的數(shù)據(jù)及相關(guān)條件如實地記錄下來。 實驗記錄中應(yīng)有指導(dǎo)教師的簽名。 3．實驗總結(jié) 主要內(nèi)容包括對實驗數(shù)據(jù)、實驗中的特殊現(xiàn)象、實驗操作的成敗、實驗的關(guān)鍵點等內(nèi)容進行整理、解釋、分析總結(jié)，回答思考題，提出實驗結(jié)論或提出自己的看法等。 貴州大學(xué)實驗報告 學(xué)院： 專業(yè)： 班級： 姓名 學(xué)號 實驗組 實驗時間 指導(dǎo)教師 成績 實驗項目名稱 實驗?zāi)康? 實驗要求 實驗原理 實驗儀器 實驗步驟 實驗內(nèi)容 實驗數(shù)據(jù) 實驗總結(jié) 指導(dǎo)教師意見 簽名： 年 月 日