计算机网络信息安全理论与实践教程第21章实验指导.ppt

第21章实 验 指 导,21.1 操作系统弱口令检测软件的安装和使用21.2 网络漏洞扫描软件Nessus的安装和使用21.3 OpenSSH的安装及使用 21.4 邮件加密软件PGP的安装和使用21.5 Apache服务器和SSL软件的安装和使用21.6 Linux防火墙软件Iptables的安装和使用21.7 网络入侵检测系统snort的安装和使用21.8 常见木马的检测、清除方法和工具的使用21.9 Windump软件的安装和使用21.10 Windows 2000系统安全增强 21.11 Windows下VPN环境的搭建,21.1 操作系统弱口令检测软件的安装和使用,21.1.1 实验目的通过本实验，读者可以掌握以下技能：l学会在Windows环境下安装LophtCrack；l学会在Windows环境下使用LophtCrack。,21.1.2 设备需求本实验需要以下设备：*PC机两台，其中一台安装Windows 2000操作系统，另外一台安装Windows 2000操作系统或UNIX/Linux系统均可。*Hub一台，双绞线两根。,21.1.3 实验环境及配置说明本实验采用的两台PC机通过Hub相互连接，设备连接如图21-1所示。,图21-1 操作系统弱口令检测实验设备连接图,实验中分配的IP地址：PC1为192.168.0.1，PC2为192.168.0.2，子网掩码均为255.255.255.0。在PC1上安装Windows 2000操作系统，在PC2上安装Windows 2000操作系统或UNIX/Linux系统均可。配置完成后，两台PC机应能通过Hub互相访问。,21.1.4 实验内容1在PC1上安装LophtCrack(1)从http:/双击安装程序lc5setup，安装LophtCrack，根据提示完成安装。,2使用LC5检测弱口令LC5能检测Windows和UNIX/Linux系统用户的口令，并可以根据需要，要求用户修改密码。具体使用方法如下：(1)打开LC5，此时该软件会弹出一个向导框，如图21-2所示。读者可跟随该向导完成设置。,图21-2 LC5的向导框,(2)点击“下一步”按钮，将出现如图21-3所示的对话框。在这个框中，读者可以选择用于检测的加密密码的来源。一共有四种来源，分别是：*本机注册表，需要系统管理员权限；*同一个域内的计算机，需要系统管理员权限；*NT系统中的sam文件；*监听本地网络中传输的密码Hash表。本实验我们选取第二种来源。,图21-3 选择用于检测的加密密码的来源,(3)点击“下一步”按钮，将出现如图21-4所示的对话框。该框列出的是检测密码的方法。一共有四种方法，分别是：*快速检测：将LC5自带的字典中的29 000个单词与被审计的密码匹配。采用这种方法只需数分钟就能完成检测。*普通检测：除了能检测上述密码外，还可以检测一些在单词基础上进行了简单修改的密码。*强密码检测：采用暴力破解的方式来检测密码，通常检测时间超过一天。,*定制检测：可以根据需要灵活地进行配置，例如改变字典、改变混合模式的参数以及选择用于暴力破解的字符集。一般来说，检测越严格，所花的时间就越长。,图21-4 选择检测密码的方法,本实验我们选取第一种方法。(4)点击“下一步”按钮，将出现如图21-5所示的对话框。在该对话框中选择的显示方法，按系统默认的值即可。,图21-5 选择显示方法,(5)点击“下一步”按钮，将出现如图21-6所示的对话框。该框将前面选择的内容显示出来，读者点击“完成”即开始检测。,图21-6 完成界面,图21-7所示为检测结果。,图21-7 检测结果,从图21-7中可以看出，有些用户的弱口令被检测出来了。此时，可以选择菜单中的“Remidiate”下的“Disable Accounts”，禁止该帐号；或选择“Force Password Change”，强迫该用户在下次登录时修改密码，如图21-8所示。,图21-8 修改密码,21.2 网络漏洞扫描软件Nessus的安装和使用,21.2.1 实验目的通过本实验，读者可以掌握以下技能：*学会在Linux环境中安装及配置Nessus；*在Windows环境下使用Nessus客户端。,21.2.2 设备需求本实验需要以下设备：*PC机三台，应带有网卡，并分别安装Windows 2000和Linux Reahat 9.0操作系统；*Hub一台，双绞线三根。,21.2.3 实验环境及配置说明本实验采用的三台PC机通过Hub相互连接，设备连接如图21-9所示。,图21-9 网络漏洞扫描软件Nessus实验设备连接图,实验中分配的IP地址：PC1为192.168.0.1，PC2为192.168.0.2，PC3为192.168.0.3，子网掩码均为255.255.255.0。在PC1上安装Linux 9.0操作系统，在PC2上安装Windows 2000操作系统，PC3上安装Windows 2000操作系统或UNIX/Linux系统均可。配置完成后，三台PC机应能通过Hub互相访问。,21.2.4 实验内容1 在PC1上安装、配置Nessus1)安装NessusNessus有两种安装方式：(1)安装install版本。从http:/www.nessus.org/download/下载nessus 2.2.4 installer(all unix system)或更高版本，保存到硬盘，运行以下命令：#lynx-source http:/install.nessus.org|sh即可完成安装。,(2)安装source code版本。该安装需要下载四个文件：*nessus-libraries-x.x.tar.gz；*libnasl-x.x.tar.gz；*nessus-core.x.x.tar.gz；*nessus-plugins.x.x.tar.gz。从http:/www.nessus.org/download/下载nessus 2.2.4 source code(all unix system)或更高版本，保存到硬盘，运行以下命令：,(1)安装nessus-libraries：#tar-zxvf nessus-libraries-x.x.tar.gz(x为版本号)#cd nessus-libraries#./configure#make#make install,(2)安装libnasl#tar-zxvf libnasl-x.x.tar.gz(x为版本号)#cd libnasl#./configure#make切换到root权限，运行：#make install,(3)安装nessus-core：#tar-zxvf nessus-core.x.x.tar.gz(x为版本号)#cd nessus-core#./configure#make切换到root权限，运行：#make install,(4)安装nessus-plugins：#tar-zxvf nessus-plugins.x.x.tar.gz(x为版本号)#cd nessus-plugins#./configure#make切换到root权限，运行：#make install完成安装后，请确认/usr/local/lib在/etc/ld.so.conf下，并运行ldconfig。至此，Nessus服务器端安装完成。,2)添加Nessusd帐号Nessusd服务器拥有自己的用户数据库，每个用户都有一组限制。这样可以使多个用户共用一个Nessusd，并只检测属于他们的网络。使用nessus-adduser命令添加一个新帐号，使用过程如下：#nessus-adduserAddition of a new nessusd user-,Login:renaudAuthentication(pass/cert)pass:passPassword:secretUser rules-nessusd has a rules system which allows you to restrict the hoststhat renaud2 has the right to test.For instance，you may wanthim to be able to scan his own host only.,Please see the nessus-adduser(8)man page for the rules syntaxEnter the rules for this user，and hit ctrl-D once you are done:(the user can have an empty rules set)deny 10.163.156.1accept 10.163.156.0/24default denyLogin:renaudPassword:secret,DN:Rules:deny 10.163.156.1 accept 10.163.156.0/24default denyIs that ok(y/n)?y yuser added.,3)配置Nessus后台程序该配置文件为/usr/local/etc/nessus/nessusd.conf。一般情况下不需要对该文件进行修改。4)启动nessusd运行以下命令，启动nessusd：#nessusd-D,2在PC2上安装、设置Nessus客户端1)安装Nessus客户端从http:/www.nessus.org/download/下载NessusWX 1.4.5c.zip或更高版本，保存到硬盘。将该压缩文件解压即可安装。2)运行NessusWX运行后NessusWX界面如图21-10所示。,图21-10 NessusWX界面图,3)配置NessusWX(1)连接服务器，如图21-11所示。点击“Connect”按钮，与服务器建立连接。,图21-11 连接服务器,(2)配置端口扫描。*允许“Ping”的设置如图21-12所示。*配置扫描时间，如图21-13所示。,图21-12 设置允许“Ping”,图21-13 配置扫描时间,(3)配置插件，如图21-14所示。,图21-14 配置插件,读者可根据扫描对象有针对性地选择插件。同时，读者还可以选择“安全检查”，如图21-15所示。安全检查会去掉那些与安全检查兼容的插件中危险的部分，而只利用例如查看banner中的版本这样的被动方式来对目标进行检查。由于被检查的系统或者服务可能打上了补丁或者采取了临时解决方案，因此安全检查的准确性比实际对漏洞进行判断的方式的准确性要低，可能会漏报或者误报。但是这样的检查不会造成系统的崩溃。,图21-15 选择“安全检查”,(4)配置扫描对象，如图21-16所示。读者可以点击“Import”，从文件中导入IP地址；也可以点击“Add”，加入需要扫描的对象。对象可以是单个IP，也可以是一个子网或者一个网段。,图21-16 配置扫描对象,(5)开始扫描，如图21-17所示。,图21-17 开始扫描,21.3 OpenSSH的安装及使用,21.3.1 实验目的通过本实验，读者可以掌握以下技能：*学会在Linux环境中安装及配置OpenSSH；*学会在Windows环境下使用OpenSSH客户端工具putty；*学习使用Puttygen创建密钥对；*学习使用Putty访问OpenSSH服务器。,21.3.2 设备需求本实验需要以下设备：*PC机两台，应带网卡，分别安装Windows 2000和Linux Reahat 9.0操作系统；*Hub一台、双绞线两根。,21.3.3 实验环境及配置说明本实验采用的两台PC机通过Hub相互连接，设备连接如图21-18所示。,图21-18 OpenSSH实验设备连接图,实验中分配的IP地址：PC1为192.168.0.100，PC2为192.168.0.92，子网掩码均为255.255.255.0。在PC1上安装Linux 9.0操作系统，在PC2上安装Windows 2000操作系统。配置完成后，两台PC机应能通过Hub互相访问。,21.3.4 实验内容1在PC1上安装、配置OpenSSH1)安装OpenSSH(1)确认主机是否安装Zlib库。命令如下：rpm-qi zlib如果出现zlib的介绍，说明已安装了zlib，否则需要安装zlib。安装方法为：,从http:/www.gzip.org/zlib/下载zlib1.1.4或更高版本，保存到硬盘，运行以下命令：#tar-zxvf zlib-*.tar.gz(*为版本号)#cd zlib-*#./configure#make#make install,(2)安装OpenSSL。方法为：从http:/www.openssl.org/下载Openssl 0.9.6或更高版本，保存到硬盘，运行以下命令：#tar-zxvf openssl-*.tar.gz(*为版本号)#cd openssl-*#./config#make clean#make#make install,(3)从OpenSSH网站(http:/tar-zxvf openssh-*.tar.gz(*为版本号)#cd openssh-*#./configure-with-ssl-dir=/usr/local/ssl#make#make install安装结束后，默认的ssh服务器端程序是/usr/local/sbin/sshd，默认的ssh客户端程序是/usr/local/bin/ssh，默认的ssh配置文件路径为/usr/local/etc/。,(4)添加帐号sshd(该帐号为客户端访问本机时所用帐号)：#useradd sshd#passwd sshd(5)关闭运行的sshd服务，命令如下：#killall sshd,(6)覆盖系统自带的SSH，命令如下：#cp/usr/local/sbin/sshd/usr/sbin/sshd#cp/usr/local/bin/ssh/usr/bin/ssh#cp/usr/local/etc/*/etc/ssh/(7)安装结束，此时运行 ssh-V，应显示：#OpenSSH_*，OpenSSL*25 Oct 2004(*为版本号),2)配置OpenSSH打开/etc/ssh/下的sshd_conf文件，命令如下：#vi/etc/ssh/sshd_conf 将PasswordAuthentication yes 改为PasswordAuthentication no。至此，服务器端OpenSSH安装、配置完成。,2在PC2上使用puttygen生成密钥对(1)从http:/www.chiark.greenend.org.uk/sgtatham/putty/下载puttygen.exe，保存到硬盘。(2)运行puttygen.exe，如图21-19所示。(3)单击“Generate”按钮并不断移动鼠标，以便为密钥对的生成提供随机数种子，如图21-20所示。(4)密钥生成如图21-21所示。,图21-19 运行puttygen.exe,图21-20 生成密钥对,图21-21 密钥生成图,添加“Key passphrase”和“Confirm passphrase”，用以保护密钥。(5)单击“Save public key”按钮，将公钥保存到用户指定的目录下。(6)将该文件上传到服务器的/home/sshd/.ssh/目录下，并改名为authorized_key。(7)单击“Save private key”按钮，将私钥保存到用户指定的目录下。至此，完成了使用puttygen生成密钥对的过程。,3在PC2上使用putty访问服务器PC1(1)从http:/www.chiark.greenend.org.uk/sgtatham/putty/下载putty.exe，保存到硬盘。(2)运行putty.exe，如图21-22所示。,图21-22 运行putty.exe,(3)设置主机IP 地址、端口号(默认为22)和协议(使用SSH)。(4)在左边的Category栏目选择Connection项，然后在右边的Auto-login usename 栏目中输入登录SSH服务器时的用户名sshd，如图21-23所示。,图21-23 输入登录SSH 服务器的用户名,(5)在Category栏目中选择Connection栏目下的子栏目SSH，将Protocol options栏中的Preferred SSH protocol version选择为2，如图21-24所示。,图21-24 选择SSH协议版本,(6)在Category 栏目中选择Auth，在Private key file for authentication 中选择保存在本地的私钥文件，如图21-25所示。,图21-25 填入私钥文件路径,(7)此时，采用putty的SSH 方式登录的参数配置完毕。单击“Open”按钮，连接服务器PC1，如图21-26所示。,图21-26 连接状态图,(8)输入先前添加的Key passphrase，登录成功，如图21-27所示。,图21-27 登录成功,21.4 邮件加密软件PGP的安装和使用,21.4.1 实验目的通过本实验，读者可以掌握以下技能：*学会在Windows环境下安装PGP 8.1；*学会使用PGP创建密钥对；*学会使用PGP输出和签名公共密钥；*学会使用PGP和Outlook Express发送并接收加密的电子邮件。,21.4.2 设备需求本实验需要以下设备：*PC机两台，应带网卡，需安装Windows 2000和Outlook Express软件；*邮件服务器一台，应带网卡，需安装邮件服务器软件；*Hub一台、双绞线三根。,21.4.3 实验环境及配置说明本实验采用的两台PC机通过Hub相互连接，并通过Hub与邮件服务器相连，设备连接如图21-28所示。实验中分配的IP地址：邮件服务器为192.168.0.1，PC1为192.168.0.100，PC2为192.168.0.101，子网掩码均为255.255.255.0。配置完成后，两台PC机应能通过邮件服务器互发邮件。,图21-28 PGP实验设备连接图,21.4.4 实验内容1在两台PC机上安装PGP8.1这一步将分别在两台机器上安装PGP8.1。(1)从国际PGP网站()下载PGP的压缩包，保存到硬盘。目前的最新版本为8.1。(2)解压缩下载的文件，会释放出两个文件，一个叫pgp.exe，另一个是pgp.exe.sig。前者是PGP的安装文件，后者是这个安装文件的数字签名，用来检验安装文件是否被非法修改。双击pgp.exe，安装PGP。(3)在Welcome屏幕中单击“下一步”。,(4)单击“Yes”，接受软件许可协议。(5)阅读Read Me文件，然后单击“下一步”。(6)出现一个窗体，让用户选择是否已经有了Keyring，这时选择“No，Im a new user”。(7)设定安装位置，然后单击“下一步”。(8)确认为Outlook Express选择了插件程序，然后单击“下一步”。(9)在Start Copying Files部分检查一下设置并单击“下一步”，PGP将开始安装。(10)安装结束后，系统将提示重启，选择“OK”，系统重新启动。,(11)重新启动后，会弹出一个PGP License Authorization的对话框。如果读者有PGP的许可证号，就可以注册并认证。也可以选择“Later”，以后再注册。(12)注册结束后，会弹出一个Key Generation Wizard对话框(如图21-29所示)，用户可通过该对话框创建密钥对。,图21-29 Key Generation Wizard对话框,2使用PGP创建密钥对这一步将使用密钥生成向导生成密钥对。(1)通过上面提到的Key Generation Wizard对话框创建密钥对。该对话框有两种打开方式：一种是选择“开始”“程序”“PGP”“PGPkeys”；另一种是用右键点击系统托盘区的“”图标，选择PGPkeys。(2)点击Key Generation Wizard对话框中的“下一步”，输入用户名和邮件地址，如图21-30所示。读者根据需要还可以点击Key Generation Wizard对话框中的“Expert”，选择加密方式、加密强度以及密钥过期时间等。,图21-30 选择参数,(3)点击图21-30中的“下一步”，将出现如图21-31所示的对话框。在Passphrase栏内可输入一个最少8个字符，且不包括字母、数字混合字符和特殊字符的密码短语，确认后单击“下一步”。(4)PGP开始生成一个新的密钥对。当密钥对产生完毕后，会出现一个完成的界面，点击“完成”，结束密钥对的创建过程，如图21-32所示。,图21-31 输入字符,图21-32 密钥对的生成,(5)用户可以在PGPkeys中查看到刚生成的公共密钥，如图21-33所示。,图21-33 密钥查看,3使用PGP输出和签名公共密钥这一步将在两台PC机之间通过Outlook Express交换公共密钥，并在二者之间建立完全信任关系。1)输出公钥(1)用上面提到的方法打开PGPkeys。2)用右键单击刚才创建的密钥，并选择Export选项，如图21-34所示。,图21-34 公钥输出,(3)此时出现一个“Export Key to File”对话框。选择保存的目录以及文件名，然后单击“Save”。在选择的目录中将出现一个以.asc为扩展名的文件，如图21-35所示。注意，不要保存私钥。(4)打开Outlook Express，将该文件作为附件发给对方。,图21-35 选择保存路径及文件名,2)添加公钥(1)收到对方的.asc文件后，将其保存到桌面。(2)通过PGPkeys将该公钥文件添加到密钥环中。(3)选择“Keys”菜单中的“Import”(如图21-36所示)，将出现一个“Select File Containing Key”对话框。选择保存在桌面上的对方的公钥文件，并单击“打开”，如图21-37所示。,图21-36 打开对方公钥,图21-37 选择公钥文件,(4)此时将出现一个“Select key(s)”对话框。选中刚才添加的密钥，并选择“Import”，则对方的密钥出现在密钥环中，但是没有被签名，所以不被信任。(5)用右键单击该密钥，并选择“Sign”选项。(6)此时将出现“PGP Sign Key”对话框。选中该密钥并选择“Allow signature to be exported”复选框，然后单击“OK”，如图21-38所示。(7)此时系统提示要求输入密码短语。同样，该密码短语不能包括字母、数字混合字符和特殊字符。输入完后单击“OK”，则在PGPkeys中该密钥旁边出现一个绿色的图标，表示它已经被签名。,图21-38 公钥导入,(8)用右键单击该密钥，并选择“Key Properties”选项。在出现的对话框底部，从“Untrusted”滑动到“Trusted”，然后单击“关闭”，如图21-39所示。此时该密钥被信任，可以用来安全地交换信息了。,图21-39 公钥添加完成,4使用PGP和Outlook Express发送加密的电子邮件1)发送加密的电子邮件(1)通过Outlook Express编写邮件内容。注意：如果发送包含敏感信息的邮件，则标题栏必须为空白或标题内容不能包含泄露正文内容的信息。(2)当完成邮件正文的编写后，点击图标加密邮件正文，然后点击对内容进行签名，如图21-40所示。注意：不要与Outlook Express自带的加密、签名图标弄混了。,(3)点击“发送”，发送邮件。此时出现一个“PGP Enter Passphrase for Selected Key”对话框。读者输入在添加公钥的(7)中输入的密码，单击“OK”，邮件开始加密并发送。,图21-40 邮件加密示意图,2)接收加密的电子邮件(1)通过Outlook Express接收对方发送的邮件。邮件内容为加密后的内容。(2)点击，对邮件进行解密和校验。此时会出现“PGP Enter Passphrase for a Listed Key”窗口，要求读者输入密码，如图21-41所示。,图21-41 密码输入框,(3)读者输入使用PGP创建密钥对的(3)中输入的密码，点击“OK”。此时邮件内容被解密。读者可以看到解密后的邮件内容，如图21-42所示。,图21-42 邮件解密示意图,21.5 Apache服务器和SSL软件的安装和使用,21.5.1 实验目的通过本实验，读者可以掌握以下技能：*学会在Linux环境下安装Apache以及Openssl；*学会在Linux环境下将Apache与Openssl集成，构件安全的Apache。,21.5.2 设备需求本实验需要以下设备：*PC机两台，应带网卡，分别安装Windows 2000和Linux Reahat 9.0操作系统；*广播式Hub一台，双绞线两根。,21.5.3 实验环境及配置说明本实验采用的两台PC机通过Hub相互连接，设备连接如图21-43所示。,图21-43 Apache实验设备连接图,21.5.4 实验内容1下载实验软件到PC2(1)从http:/www.apache.org/dist/下载apache_1.3.x.tar.gz，保存到硬盘。(2)从ftp:/ftp.modssl.org/source/下载mod_ssl-2.8.x-1.3.x.tar.gz，保存到硬盘。(3)从ftp:/ftp.openssl.org/source/下载openssl-0.9.x.tar.gz，保存到硬盘。,2展开这些软件包#tar-zxvfapache_1.3.x.tar.gz#tar-zxvfmod_ssl-2.8.x-1.3.x.tar.gz#tar-zxvfopenssl-0.9.x.tar.gz,3编译openssl#cdopenssl-0.9.x#./config-prefix=/usr/local/ssl-Lpwd/./rsaref-2.0/local/rsaref-fPIC#make#maketest#makeinstall#cd.,4配置MOD_SSL模块#cd mod_ssl-2.8.x-1.3.x#./configure-with-apache=./apache_1.3.x#cd.,5安装Apache#cdapache_1.3.x#SSL_BASE=./openssl-0.9.x#./configure-enable-module=ssl-prefix=/usr/local/apache-enable-shared=ssl#make#makecertificateTYPE=custom(生成证书)#makeinstall,6启动Apache运行以下命令，启动Apache：#/usr/local/apache/bin/apachectlstartssl,7在PC1上访问PC2的Web服务(1)启动浏览器，在URL栏输入https:/192.168.0.74，将出现如图21-44所示的界面。(2)点击“确定”，将出现如图21-45所示的界面。(3)点击“是”，将出现Apache欢迎页面(如图21-46所示)，表明安装成功，此时PC1与PC2之间的HTTP协议传输数据已被加密。,图21-44 安全警报提示图1,图21-45 安全警报提示图2,图21-46 Apache欢迎页面,21.6 Linux防火墙软件Iptables的安装和使用,21.6.1 实验目的通过本实验，读者可以掌握以下技能：*学会在Linux环境中安装Iptables；*学习在Iptables中添加规则，配置个人防火墙。,21.6.2 设备需求本实验需要以下设备：*PC机两台，应带网卡，安装Windows 2000操作系统；*PC机一台，应带双网卡，安装Linux Reahat 9.0操作系统；*Hub两台，双绞线四根。,21.6.3 实验环境及配置说明本实验采用的三台PC机通过Hub相互连接，设备连接如图21-47所示。,图21-47 Linux防火墙实验设备连接图,实验中分配的IP地址：PC1为192.168.0.100；PC2上有两个网卡，网卡1的IP地址为192.168.0.1，网卡2的地址为192.168.1.1；PC3为192.168.1.100。子网掩码均为255.255.255.0。PC1上安装Windows 2000操作系统，PC2上安装Linux 9.0操作系统，PC3上安装Windows 2000操作系统以及系统自带的IIS。配置完成后，三台PC机应能通过Hub互相访问，PC2开放了FTP服务，PC1应该能访问PC3上的Web服务。,21.6.4 实验内容1在PC2上安装Iptables(1)使用“uname-a”命令确认Linux内核为2.3或更高版本。(2)运行以下命令确认系统已安装Iptables：rpm-qa|grep iptab如果已安装，直接进入下一步，否则从上获取iptables的安装包。(3)运行以下命令安装Iptables：rpm-ivh iptables-*(星号为iptables的版本号),2在PC2上配置Iptables使用如下命令清除默认的规则：iptables-F,3在PC2上配置Iptables规则使用如下命令阻塞ICMP：iptables-I INPUT-i eth0-p icmp-s 0/0-d 0/0-j DROP该命令将阻塞发往eth0的ICMP包。此时，从PC1上运行ping 192.168.0.1-t将会看到“Request timed out.”，表明192.168.0.1已经阻塞了ICMP包。运行iptables-D INPUT 1可删除该规则。,4在PC2上配置Iptables规则使用如下命令阻塞FTP：iptables-I INPUT-i eth0-p tcp-s 0/0-d 0/0-dport 21-j DROP该命令将阻塞发往eth0的ICMP包。此时，从PC1上运行ftp 192.168.0.1 将会看到“ftp:connect:连接超时”，表明192.168.0.1已经阻塞了Ftp包。运行iptables-D INPUT 1可删除该规则。,5在PC2上配置Iptables规则使用如下命令阻塞FTP：iptables-A FORWARD-p tcp-s 192.168.1.100-d 192.168.0.100-i eth1-sport 80-j DROP该命令将阻塞PC3通过PC2接口eth1发往PC1的TCP包。此时，从PC1上打开浏览器，访问PC3上的网页ftp 192.168.0.1 将会看到“ftp:connect:连接超时”，表明192.168.0.1已经阻塞了Ftp包。运行iptables-D INPUT 1可删除该规则。,21.7 网络入侵检测系统snort的安装和使用,21.7.1 实验目的通过本实验，读者可以掌握以下技能：*学会在Linux环境中安装snort；*学会在Linux环境中安装nmap(一个端口扫描工具)；*学习配置snort，检测网络入侵。,21.7.2 设备需求本实验需要以下设备：*PC机三台，应带网卡，安装Linux Reahat 9.0操作系统；*广播式Hub一台，双绞线三根。,21.7.3 实验环境及配置说明本实验采用的三台PC机通过Hub相互连接，设备连接如图21-48所示。实验中分配的IP地址，PC1为192.168.0.1，PC2为192.168.0.2，PC3为192.168.0.3。子网掩码均为255.255.255.0。,图21-48 Snort实验设备连接图,21.7.4 实验内容1在PC2上安装snort(1)从www.snort.org下载最新版的snort，保存到硬盘。(2)运行以下命令，安装snort：#tar-zxvf snort-*.tar.gz(*为版本号)#./configure#make#make install,(3)在/var/log目录下运行以下命令，新建一个目录，保存报警记录：#mkdir/var/log/snort自此snort安装完毕。(4)运行以下命令，启动snort检测入侵：#./snort-de-A full-h 192.168.0.0/24-c./etc/snort.conf,2在PC1上安装nmap(1)从http:/www.insecure.org/下载最新版nmap的RPM包，保存到硬盘。(2)运行以下命令，安装nmap：#rpm-ivh nmap-*.i386.rpm(*为版本号)自此nmap安装完毕。(3)运行nmap扫描PC3：#nmap 192.168.0.3,3在PC2上检查snort检测入侵结果(1)进入/var/log/snort目录：#cd/var/log/snort(2)该目录下有个“192.168.0.1”的目录，进入该目录：#cd 192.168.0.1(3)该目录下有个“ICMP_ECHO”文件，打开该文件：#vi ICMP_ECHO,文件内容为：*ICMP PING NMAP*01/27-09:48:14.162942 0:E0:4C:DD:19:EF-0:C:F1:73:54:81 type:0 x800 len:0 x3C192.168.0.1-192.168.0.3 ICMP TTL:39 TOS:0 x0 ID:15872 IpLen:20 DgmLen:28Type:8 Code:0 ID:37377 Seq:41903 ECHO=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=由此可见，snort已检测到192.168.0.1通过nmap对 192.168.0.3进行的端口扫描。,21.8 常见木马的检测、清除方法和工具的使用,21.8.1 实验目的通过本实验，读者可以掌握以下技能：*掌握目前网络中常见的七种木马的检测及清除方法；*学会使用工具检测并清除木马。,21.8.2 设备需求本实验需要以下设备：*PC机一台，安装Windows 2000操作系统。,21.8.3 实验环境及配置说明安装实验中需要检测的木马包括：网络公牛、Netspy、SubSeven、冰河、网络神偷、广外女生等。,21.8.4 实验内容1常见木马的检测和清除1)网络公牛(Netbull)(1)木马特征：网络公牛默认的连接端口为23444。服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于C:WindowsSystem下，下次开机后checkdll.exe将自动运行，具有较强的隐蔽性。同时，服务端运行后会自动捆绑以下文件(Windows 2000下)：notepad.exe，regedit.exe，reged32.exe，drwtsn32.exe，winmine.exe,服务端运行后还会捆绑在开机时自动运行的第三方软件，如realplay.exe、QQ、ICQ等，同时会在注册表中建立键值。网络公牛采用的是文件捆绑功能，它和上面所列出的文件捆绑在一块，要清除非常困难。用户通过判断文件长度是否发生变化，可分析是否中了木马。,(2)清除方法：*删除网络公牛的自启动程序C:WindowsSystemCheckdll.exe。*把网络公牛在注册表中所建立的键值全部删除。*检查上面列出的文件，如果发现文件长度发生变化(大约增加了40 KB左右，可以通过与其他机子上的正常文件比较而知)，就删除它们。然后点击“开始”“附件”“系统工具”“系统信息”“工具”“系统文件检查器”，在弹出的对话框中选中“从安装软盘提取一个文件(E)”，在框中填入要提取的文件(前面删除的文件)，点“确定”按钮，然后按屏幕提示将这些文件恢复即