網(wǎng)絡(luò)安全實驗報告

PAGEPAGE22實驗一：網(wǎng)絡(luò)掃描實驗【實驗?zāi)康摹苛私鈷呙璧幕驹?，掌握基本方法，最終鞏固主機(jī)安全【實驗內(nèi)容】1、學(xué)習(xí)使用Nmap的使用方法2、學(xué)習(xí)使用漏洞掃描工具【實驗環(huán)境】硬件PC機(jī)一臺。系統(tǒng)配置：操作系統(tǒng)windowsXP以上?！緦嶒灢襟E】1、端口掃描解壓并安裝ipscan15.zip，掃描本局域網(wǎng)內(nèi)的主機(jī)解壓nmap-4.00-win32.zip，安裝WinPcap運行cmd.exe，熟悉nmap命令(詳見“Nmap詳解.mht”)。試圖做以下掃描：掃描局域網(wǎng)內(nèi)存活主機(jī)，掃描某一臺主機(jī)或某一個網(wǎng)段的開放端口掃描目標(biāo)主機(jī)的操作系統(tǒng)試圖使用Nmap的其他掃描方式，偽源地址、隱蔽掃描等2、漏洞掃描解壓X-Scan-v3.3-cn.rar，運行程序xscan_gui.exe，將所有模塊選擇掃描，掃描本機(jī)，或局域網(wǎng)內(nèi)某一臺主機(jī)的漏洞【實驗背景知識】1、掃描及漏洞掃描原理見第四章黑客攻擊技術(shù).ppt2、NMAP使用方法掃描器是幫助你了解自己系統(tǒng)的絕佳助手。象Windows2K/XP這樣復(fù)雜的操作系統(tǒng)支持應(yīng)用軟件打開數(shù)百個端口與其他客戶程序或服務(wù)器通信，端口掃描是檢測服務(wù)器上運行了哪些服務(wù)和應(yīng)用、向Internet或其他網(wǎng)絡(luò)開放了哪些聯(lián)系通道的一種辦法，不僅速度快，而且效果也很不錯。Nmap被開發(fā)用于允許系統(tǒng)管理員察看一個大的網(wǎng)絡(luò)系統(tǒng)有哪些主機(jī)以及其上運行何種服務(wù)。它支持多種協(xié)議的掃描如UDP，TCPconnect(),TCPSYN(halfopen),ftpproxy(bounceattack),Reverse-ident,ICMP(pingsweep),FIN,ACKsweep,XmasTree,SYNsweep,和Null掃描?？梢詮腟CANTYPES一節(jié)中察看相關(guān)細(xì)節(jié)。Nmap還提供一些實用功能如通過tcp/ip來甄別操作系統(tǒng)類型、秘密掃描、動態(tài)延遲和重發(fā)、平行掃描、通過并行的PING偵測下屬的主機(jī)、欺騙掃描、端口過濾探測、直接的RPC掃描、分布掃描、靈活的目標(biāo)選擇以及端口的描述。1）安裝NmapNmap要用到一個稱為“Windows包捕獲庫”的驅(qū)動程序WinPcap——如果你經(jīng)常從網(wǎng)上下載流媒體電影，可能已經(jīng)熟悉這個驅(qū)動程序——某些流媒體電影的地址是加密的，偵測這些電影的真實地址就要用到WinPcap。WinPcap的作用是幫助調(diào)用程序(即這里的Nmap)捕獲通過網(wǎng)卡傳輸?shù)脑紨?shù)據(jù)。WinPcap的最新版本在http://netgroup-serv.polito.it/winpcap，支持XP/2K/Me/9x全系列操作系統(tǒng)，下載得到的是一個執(zhí)行文件，雙擊安裝，一路確認(rèn)使用默認(rèn)設(shè)置就可以了，安裝好之后需要重新啟動。接下來下載Nmap。下載好之后解開壓縮，不需要安裝。除了執(zhí)行文件nmap.exe之外，它還有下列參考文檔:㈠nmap-os-fingerprints:列出了500多種網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)的堆棧標(biāo)識信息。㈡nmap-protocols:Nmap執(zhí)行協(xié)議掃描的協(xié)議清單。㈢nmap-rpc:遠(yuǎn)程過程調(diào)用(RPC)服務(wù)清單，Nmap用它來確定在特定端口上監(jiān)聽的應(yīng)用類型。㈣nmap-services:一個TCP/UDP服務(wù)的清單，Nmap用它來匹配服務(wù)名稱和端口號。除了命令行版本之外，還提供了一個帶GUI的Nmap版本。和其他常見的Windows軟件一樣，GUI版本需要安裝，圖一就是GUI版Nmap的運行界面。GUI版的功能基本上和命令行版本一樣，鑒于許多人更喜歡用命令行版本，本文后面的說明就以命令行版本為主。

圖一2）常用掃描類型

解開Nmap命令行版的壓縮包之后，進(jìn)入Windows的命令控制臺，再轉(zhuǎn)到安裝Nmap的目錄(如果經(jīng)常要用Nmap，最好把它的路徑加入到PATH環(huán)境變量)。不帶任何命令行參數(shù)運行Nmap，Nmap顯示出命令語法，如圖二所示。

圖二下面是Nmap支持的四種最基本的掃描方式:⑴TCPconnect()端口掃描(-sT參數(shù))。⑵TCP同步(SYN)端口掃描(-sS參數(shù))。⑶UDP端口掃描(-sU參數(shù))。⑷Ping掃描(-sP參數(shù))。如果要勾畫一個網(wǎng)絡(luò)的整體情況，Ping掃描和TCPSYN掃描最為實用。Ping掃描通過發(fā)送ICMP(InternetControlMessageProtocol，Internet控制消息協(xié)議)回應(yīng)請求數(shù)據(jù)包和TCP應(yīng)答(Acknowledge，簡寫ACK)數(shù)據(jù)包，確定主機(jī)的狀態(tài)，非常適合于檢測指定網(wǎng)段內(nèi)正在運行的主機(jī)數(shù)量。TCPSYN掃描一下子不太好理解，但如果將它與TCPconnect()掃描比較，就很容易看出這種掃描方式的特點。在TCPconnect()掃描中，掃描器利用操作系統(tǒng)本身的系統(tǒng)調(diào)用打開一個完整的TCP連接——也就是說，掃描器打開了兩個主機(jī)之間的完整握手過程(SYN，SYN-ACK，和ACK)。一次完整執(zhí)行的握手過程表明遠(yuǎn)程主機(jī)端口是打開的。TCPSYN掃描創(chuàng)建的是半打開的連接，它與TCPconnect()掃描的不同之處在于，TCPSYN掃描發(fā)送的是復(fù)位(RST)標(biāo)記而不是結(jié)束ACK標(biāo)記(即，SYN，SYN-ACK，或RST):如果遠(yuǎn)程主機(jī)正在監(jiān)聽且端口是打開的，遠(yuǎn)程主機(jī)用SYN-ACK應(yīng)答，Nmap發(fā)送一個RST;如果遠(yuǎn)程主機(jī)的端口是關(guān)閉的，它的應(yīng)答將是RST，此時Nmap轉(zhuǎn)入下一個端口。圖三是一次測試結(jié)果，很明顯，TCPSYN掃描速度要超過TCPconnect()掃描。采用默認(rèn)計時選項，在LAN環(huán)境下掃描一個主機(jī)，Ping掃描耗時不到十秒，TCPSYN掃描需要大約十三秒，而TCPconnect()掃描耗時最多，需要大約7分鐘。

圖三Nmap支持豐富、靈活的命令行參數(shù)。例如，如果要掃描192.168.7網(wǎng)絡(luò)，可以用192.168.7.x/24或-255的形式指定IP地址范圍。指定端口范圍使用-p參數(shù)，如果不指定要掃描的端口，Nmap默認(rèn)掃描從1到1024再加上nmap-services列出的端口。如果要查看Nmap運行的詳細(xì)過程，只要啟用verbose模式，即加上-v參數(shù)，或者加上-vv參數(shù)獲得更加詳細(xì)的信息。例如，nmap-sS-255-p20,21,53-110,30000--v命令，表示執(zhí)行一次TCPSYN掃描，啟用verbose模式，要掃描的網(wǎng)絡(luò)是192.168.7，檢測20、21、53到110以及30000以上的端口(指定端口清單時中間不要插入空格)。再舉一個例子，nmap-sS/24-p80掃描192.168.0子網(wǎng)，查找在80端口監(jiān)聽的服務(wù)器(通常是Web服務(wù)器)。有些網(wǎng)絡(luò)設(shè)備，例如路由器和網(wǎng)絡(luò)打印機(jī)，可能禁用或過濾某些端口，禁止對該設(shè)備或跨越該設(shè)備的掃描。初步偵測網(wǎng)絡(luò)情況時，-host_timeout<毫秒數(shù)>參數(shù)很有用，它表示超時時間，例如nmapsShost_timeout10000命令規(guī)定超時時間是10000毫秒。網(wǎng)絡(luò)設(shè)備上被過濾掉的端口一般會大大延長偵測時間，設(shè)置超時參數(shù)有時可以顯著降低掃描網(wǎng)絡(luò)所需時間。Nmap會顯示出哪些網(wǎng)絡(luò)設(shè)備響應(yīng)超時，這時你就可以對這些設(shè)備個別處理，保證大范圍網(wǎng)絡(luò)掃描的整體速度。當(dāng)然，host_timeout到底可以節(jié)省多少掃描時間，最終還是由網(wǎng)絡(luò)上被過濾的端口數(shù)量決定。Nmap的手冊(man文檔)詳細(xì)說明了命令行參數(shù)的用法(雖然man文檔是針對UNIX版Nmap編寫的，但同樣提供了Win32版本的說明)。3）注意事項也許你對其他端口掃描器比較熟悉，但Nmap絕對值得一試。建議先用Nmap掃描一個熟悉的系統(tǒng)，感覺一下Nmap的基本運行模式，熟悉之后，再將掃描范圍擴(kuò)大到其他系統(tǒng)。首先掃描內(nèi)部網(wǎng)絡(luò)看看Nmap報告的結(jié)果，然后從一個外部IP地址掃描，注意防火墻、入侵檢測系統(tǒng)(IDS)以及其他工具對掃描操作的反應(yīng)。通常，TCPconnect()會引起IDS系統(tǒng)的反應(yīng)，但I(xiàn)DS不一定會記錄俗稱“半連接”的TCPSYN掃描。最好將Nmap掃描網(wǎng)絡(luò)的報告整理存檔，以便隨后參考。如果你打算熟悉和使用Nmap，下面幾點經(jīng)驗可能對你有幫助:㈠避免誤解。不要隨意選擇測試Nmap的掃描目標(biāo)。許多單位把端口掃描視為惡意行為，所以測試Nmap最好在內(nèi)部網(wǎng)絡(luò)進(jìn)行。如有必要，應(yīng)該告訴同事你正在試驗端口掃描，因為掃描可能引發(fā)IDS警報以及其他網(wǎng)絡(luò)問題。㈡關(guān)閉不必要的服務(wù)。根據(jù)Nmap提供的報告(同時考慮網(wǎng)絡(luò)的安全要求)，關(guān)閉不必要的服務(wù)，或者調(diào)整路由器的訪問控制規(guī)則(ACL)，禁用網(wǎng)絡(luò)開放給外界的某些端口。㈢建立安全基準(zhǔn)。在Nmap的幫助下加固網(wǎng)絡(luò)、搞清楚哪些系統(tǒng)和服務(wù)可能受到攻擊之后，下一步是從這些已知的系統(tǒng)和服務(wù)出發(fā)建立一個安全基準(zhǔn)，以后如果要啟用新的服務(wù)或者服務(wù)器，就可以方便地根據(jù)這個安全基準(zhǔn)執(zhí)行?！緦嶒瀳蟾妗恳?、說明程序設(shè)計原理。1.TCPconnect掃描利用TCP連接機(jī)制，通過系統(tǒng)提供的connect（）調(diào)用，可以用來與任何一個感興趣的目標(biāo)計算機(jī)的端口進(jìn)行連接。如果目標(biāo)端口開放，則會響應(yīng)掃描主機(jī)的ACK連接請求并建立連接，如果目標(biāo)端口處于關(guān)閉狀態(tài)，則目標(biāo)主機(jī)會向掃描主機(jī)發(fā)送RST的響應(yīng)。2.TCPSYN掃描掃描程序發(fā)送一個SYN數(shù)據(jù)包，好像準(zhǔn)備打開一個實際的連接并等待反應(yīng)一樣。一個SYN/ACK的返回信息表示端口處于偵聽狀態(tài)，一個RST返回，表示端口沒有處于偵聽狀態(tài)。3.UDP端口掃描掃描主機(jī)向一個未打開的UDP端口發(fā)送一個數(shù)據(jù)包時，會返回一個ICMP_PORT_UNREACH錯誤，通過這個就能判斷哪個端口是關(guān)閉的。4.Ping掃描掃描程序向目標(biāo)主機(jī)發(fā)送一個ICMP回聲請求報文，若主機(jī)存活，則會返回一個ICMP的回聲應(yīng)答報文?？梢耘袛嘀鳈C(jī)的存活性。二、提交運行測試結(jié)果。1.TCPconnec掃描結(jié)果顯示2.TCPSYN掃描結(jié)果顯示3.Ping掃描結(jié)果顯示

實驗二：計算機(jī)病毒及惡意代碼【實驗?zāi)康摹烤毩?xí)木馬程序安裝和攻擊過程，了解木馬攻擊原理，掌握手工查殺木馬的基本方法，提高自己的安全意識。【實驗內(nèi)容】安裝木馬程序NetBus，通過冰刃iceberg、autoruns.exe了解木馬的加載及隱藏技術(shù)【實驗步驟】1、木馬安裝和使用1)在菜單運行中輸入cmd打開dos命令編輯器2)安裝netbus軟件3)在DOS命令窗口啟動進(jìn)程并設(shè)置密碼4)打開木馬程序，連接別人主機(jī)5)控制本地電腦打開學(xué)院網(wǎng)頁6)查看自己主機(jī)7)查看任務(wù)管理器進(jìn)程8移除木馬控制程序進(jìn)程查看任務(wù)管理器（注意：Patch.exe進(jìn)程已經(jīng)關(guān)閉）2、木馬防御實驗在木馬安裝過程可以運行一下軟件查看主機(jī)信息變化：使用autoruns.exe軟件，查看windows程序啟動程序的位置，了解木馬的自動加載技術(shù)。如自動運行進(jìn)程（下圖所示）、IE瀏覽器調(diào)運插件、任務(wù)計劃等：查看當(dāng)前運行的進(jìn)程，windows提供的任務(wù)管理器可以查看當(dāng)前運行的進(jìn)程，但其提供的信息不全面。利用第三方軟件可以更清楚地了解當(dāng)前運行進(jìn)程的信息。這里procexp.exe為例啟動procexp.exe程序，查看當(dāng)前運行進(jìn)程所在位置，如圖所示：3）木馬綜合查殺練習(xí)使用冰刃IceSword查看木馬可能修改的位置：主要進(jìn)行以下練習(xí)：查看當(dāng)前通信進(jìn)程開放的端口。木馬攻擊查看當(dāng)前啟動的服務(wù)練習(xí)其他功能，如強(qiáng)制刪除其他文件，SPI、內(nèi)核模塊等?！颈尘爸R】NetBus由兩部分組成：客戶端程序（netbus.exe）和服務(wù)器端程序（通常文件名為：patch.exe）。要想“控制”遠(yuǎn)程機(jī)器，必須先將服務(wù)器端程序安裝到遠(yuǎn)程機(jī)器上－－這一般是通過遠(yuǎn)程機(jī)器的主人無意中運行了帶有NetBus的所謂特洛伊木馬程序后完成的。NetBus服務(wù)器端程序是放在Windows的系統(tǒng)目錄中的，它會在Windows啟動時自動啟動。該程序的文件名是patch.exe，如果該程序通過一個名為whackamole.exe的游戲安裝潛伏的話，文件名應(yīng)為explore.exe（注意：不是explorer.exe?。┗蛘吆唵蔚亟術(shù)ame.exe。

同時，你可以檢查Windows系統(tǒng)注冊表，NetBus會在下面路徑中加入其自身的啟動項：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunNetBus通過該注冊項實現(xiàn)Windows啟動時的自動啟動。但如果你按Ctrl+Alt+Del，在任務(wù)列表中是看不到它的存在的。

正確的去除方法如下：

1、運行regedit.exe；

2、找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun；

3、將patch項刪除（或者explore項）；

4、重新啟動機(jī)器后刪除Windows系統(tǒng)目錄下的patch.exe（或者explore.exe）即可?！緦嶒炘怼糠治瞿抉R傳播、自啟動、及隱藏的原理。木馬常用的隱藏技術(shù)：3.1合并端口法使用特殊的手段，在一個端口上同時綁定兩個TCP或者UDP連接（比如80端口的HTTP），以達(dá)到隱藏端口的目的。3.2修改ICMP頭法根據(jù)ICMP協(xié)議進(jìn)行數(shù)據(jù)的發(fā)送，原理是修改ICMP頭的構(gòu)造，加入木馬的控制字段。這樣的木馬具備很多新特點，如不占用端口、使用戶難以發(fā)覺等。同時，使用ICMP協(xié)議可以穿透一些防火墻，從而增加了防范的難度。木馬常用的自啟動技術(shù)：為了達(dá)到長期控制目標(biāo)主機(jī)的目的，當(dāng)主機(jī)重啟之后必須讓木馬程序再次運行，這樣就需要木馬具有一定的自啟動能力。下面介紹幾種常見的方法。3.3加載程序到啟動組我們需要關(guān)注“開始”菜單中的啟動項，對應(yīng)的文件夾是c:\DocumentsandSettings\用戶名\「開始」菜單\程序\啟動。3.4在注冊表中加載自啟動項下面僅列舉幾個木馬常用的自啟動注冊表項：3.4.1Run注冊表項Run是木馬常用的自啟動注冊表項，位置在：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run3.4.2RunOnce注冊表項RunOnce也是木馬常用的自啟動注冊表項，位置在：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurerntVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce在WindowsXP系統(tǒng)中還有：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx此外，木馬的自啟動注冊表項還有RunServices注冊表項、RunServicesOnce注冊表項、Winlogon注冊表項、Load注冊表項等。3.5修改文件關(guān)聯(lián)以文本文件的“文件關(guān)聯(lián)”為例，正常情況下，其對應(yīng)的注冊表項和項值分別為：HKEY_CLASSES_ROOT\txtfile\shell\open\command與%SystemRoot%\system32\NOTEPAD.EXE%1但是某些木馬在安裝階段將項值改為“木馬程序路徑\木馬程序名稱%l”的形式，這樣，當(dāng)用戶打開任何一個文本文件時，就啟動了木馬程序。

實驗三：防火墻實驗【實驗?zāi)康摹空莆諅€人防火墻的使用及規(guī)則的設(shè)置【實驗內(nèi)容】防火墻設(shè)置，規(guī)則的設(shè)置，檢驗防火墻的使用?！緦嶒灜h(huán)境】硬件PC機(jī)一臺。系統(tǒng)配置：操作系統(tǒng)windowsXP以上?！緦嶒灢襟E】(有兩種可選方式，1、以天網(wǎng)防火墻為例，學(xué)習(xí)防火墻的規(guī)則設(shè)置，2、通過winroute防火墻學(xué)習(xí)使用規(guī)則設(shè)置，兩者均需安裝虛擬機(jī))虛擬機(jī)安裝與配置驗證virtualPC是否安裝在xp操作系統(tǒng)之上，如果沒有安裝，從獲取相關(guān)軟件并安裝；從教師機(jī)上獲取windows2000虛擬機(jī)硬盤包過濾防火墻winroute配置（可選）1）從教師機(jī)上獲取winroute安裝軟件并放置在windows2000上安裝2）安裝默認(rèn)方式進(jìn)行安裝，并按提示重啟系統(tǒng)3）登陸虛擬機(jī),打開winroute以管理員的身份登錄，打開開始>WinRoutePro>WinRouteAdministration，輸入IP地址或計算機(jī)名，以及WinRoute管理員帳號（默認(rèn)為Admin）、密碼（默認(rèn)為空）4）打開菜單Setting>Advanced>PacketFilter5）在PacketFilter對話框中，選中Anyinterface并展開雙擊NoRule圖標(biāo)，打開AddItem對話框在Protocol下拉列表框中選擇ICMP，開始編輯規(guī)則配置Destination：type為Host,IPAddress為(x為座位號)6）在ICMPTypes中，選中All復(fù)選項在Action區(qū)域，選擇Drop項在LogPacket區(qū)域選中LogintoWindow其他各項均保持默認(rèn)值，單擊OK單擊OK，返回主窗口7）合作伙伴間ping對方IP，應(yīng)該沒有任何響應(yīng)打開菜單View>Logs>SecurityLog,詳細(xì)查看日志記錄禁用或刪除規(guī)則8）用WinRoute控制某個特定主機(jī)的訪問（選作） 要求學(xué)生在虛擬機(jī)安裝ftp服務(wù)器。a)打開WinRoute,打開菜單Settings>Advanced>PacketFilter選擇,Outgoing標(biāo)簽b)選擇AnyInterface并展開，雙擊NoRule，然后選擇TCP協(xié)議c)配置Destination框：type為Host，IPAddress為(2為合作伙伴座位號)d、在Source框中：端口范圍選擇Greaterthan(>)，然后輸入1024e以21端口作為DestinationPort值f)在Action區(qū)域，選擇Deny選項g)選擇Logintowindow選項h)應(yīng)用以上設(shè)置，返回主窗口i)合作伙伴間互相建立到對方的FTP連接，觀察失敗信息j)禁用或刪除FTP過濾三、包過濾天網(wǎng)防火墻配置（可選）1）安裝解壓，單擊安裝文件SkynetPFW_Retail_Release_v2.77_Build1228.EXE安裝按缺省的設(shè)置安裝，注：破解A）將兩個文件[Cr-PFW.exe]和[PFW.bak]一起復(fù)制到軟件安裝目錄中B）運行破解補(bǔ)丁[Cr-PFW.exe]，覆蓋原主程序即可2)熟悉防火墻規(guī)則啟動防火墻并”單擊自定義規(guī)則”如圖熟悉規(guī)則的設(shè)置：雙擊如下選項：“允許自己用ping命令探測其他機(jī)器“防止別人用ping命令探測”“禁止互聯(lián)網(wǎng)上的機(jī)器使用我的共享資源”“防止互聯(lián)網(wǎng)上的機(jī)器探測機(jī)器名稱”等選項，熟悉其中的IP地址、方向，協(xié)議類型、端口號、控制位等項的設(shè)置。試總結(jié)規(guī)則設(shè)置的順序，3）增加設(shè)置防火墻規(guī)則開放部分自己需要的端口。下圖為對話框，各部分說明：A）新建IP規(guī)則的說明部分，可以取有代表性的名字，如“打開BT6881-6889端口”，說明詳細(xì)點也可以。還有數(shù)據(jù)包方向的選擇，分為接收，發(fā)送，接收和發(fā)送三種，可以根據(jù)具體情況決定。

B）就是對方IP地址，分為任何地址，局域網(wǎng)內(nèi)地址，指定地址，指定網(wǎng)絡(luò)地址四種。

C）IP規(guī)則使用的各種協(xié)議，有IP，TCP，UDP，ICMP，IGMP五種協(xié)議，可以根據(jù)具體情況選用并設(shè)置，如開放IP地址的是IP協(xié)議，QQ使用的是UDP協(xié)議等。

D）比較關(guān)鍵，就是決定你設(shè)置上面規(guī)則是允許還是拒絕，在滿足條件時是通行還是攔截還是繼續(xù)下一規(guī)則，要不要記錄，具體看后面的實例。試設(shè)置如下規(guī)則：A）禁止局域網(wǎng)的某一臺主機(jī)和自己通信通信B）禁止任何大于1023的目標(biāo)端口于本機(jī)連接，C）允許任何新來的TCP與主機(jī)的SMTP連接4）查看各個程序使用及監(jiān)聽端口的情況可以查看什么程序使用了端口，使用哪個端口，是不是有可疑程序在使用網(wǎng)絡(luò)資源，如木馬程序，然后可以根據(jù)要求再自定義IP規(guī)則里封了某些端口以及禁止某些IP訪問自己的機(jī)子等等?！緦嶒炘怼空f明包過濾放火墻的工作原理。包過濾是所有防火墻中最核心的功能，與代理服務(wù)器相比，其優(yōu)勢是傳輸信息是時不占用網(wǎng)絡(luò)帶寬。包過濾防火墻根據(jù)一組過濾規(guī)則集，逐個檢查IP數(shù)據(jù)包，確定是否允許該數(shù)據(jù)包通過。包過濾防火墻使用的過濾方法可分為：簡單包過濾技術(shù)簡單包過濾技術(shù)在檢查數(shù)據(jù)包報頭時，只是根據(jù)定以好的過濾規(guī)則集來檢查所有進(jìn)出防火墻的數(shù)據(jù)包報頭信息，并根據(jù)檢查結(jié)果允許或拒絕數(shù)據(jù)包，并不關(guān)心服務(wù)器和客戶機(jī)之間的連接狀態(tài)。狀態(tài)檢測包過濾技術(shù)狀態(tài)檢測包過濾防火墻除了有一個過濾規(guī)則集外，還要跟蹤通過自身的每一個連接，提取有關(guān)的通信和應(yīng)用程序的狀態(tài)信息，構(gòu)成當(dāng)前連接的狀態(tài)列表。該列表中至少包括源和目的IP地址、源和目的端口號、TCP序列號信息，以及與該特定會話相關(guān)的每條TCP/UDP連接的附加標(biāo)記。

實驗四：入侵檢測系統(tǒng)安裝和使用【實驗?zāi)康摹客ㄟ^安裝并運行一個snort系統(tǒng)，了解入侵檢測系統(tǒng)的作用和功能【實驗內(nèi)容】安裝并配置appahe，安裝并配置MySQL，安裝并配置snort；服務(wù)器端安裝配置php腳本，通過IE瀏覽器訪問IDS【實驗環(huán)境】硬件PC機(jī)一臺。系統(tǒng)配置：操作系統(tǒng)windowsXP以上。【實驗步驟】安裝appache服務(wù)器安裝的時候注意，本機(jī)的80端口是否被占用，如果被占用則關(guān)閉占用端口的程序。選擇定制安裝，安裝路徑修改為c:\apache安裝程序會自動建立c:\apache2目錄，繼續(xù)以完成安裝。添加Apache對PHP的支持1）解壓縮php-5.2.6-Win32.zip至c:\php2）拷貝php5ts.dll文件到%systemroot%\system323）拷貝php.ini-dist(修改文件名)至%systemroot%\php.ini修改php.iniextension=php_gd2.dllextension=php_mysql.dll同時拷貝c:\php\extension下的php_gd2.dll與php_mysql.dll至%systemroot%\4）添加gd庫的支持在C:\apache\Apache2\conf\httpd.conf中添加：LoadModulephp5_module"c:/php5/php5apache2.dll"AddTypeapplication這一行下面加入下面兩行：AddTypeapplication/x-httpd-php.php.phtml.php3.php4AddTypeapplication/x-httpd-php-source.phps5）添加好后，保存http.conf文件，并重新啟動apache服務(wù)器?，F(xiàn)在可以測試php腳本：在c:\apache2\htdocs目錄下新建test.phptest.php文件內(nèi)容：〈?phpinfo();?〉使用http://localhost/test.php測試php是否安裝成功2、安裝配置snort安裝程序WinPcap_4_0_2.exe；缺省安裝即可安裝Snort_2_8_1_Installer.exe；缺省安裝即可將snortrules-snapshot-CURRENT目錄下的所有文件復(fù)制(全選)到c:\snort目錄下。將文件壓縮包中的snort.conf覆蓋C:\Snort\etc\snort.conf3、安裝MySql配置mysql解壓mysql-5.0.51b-win32.zip，并安裝。采取默認(rèn)安裝，注意設(shè)置root帳號和其密碼J檢查是否已經(jīng)啟動mysql服務(wù)在安裝目錄下運行命令：（一般為c:\mysql\bin）mysql-uroot–p輸入剛才設(shè)置的root密碼運行以下命令c:\>mysql-Dmysql-uroot-p<c:\snort_mysql（需要將snort_mysql復(fù)制到c盤下，當(dāng)然也可以復(fù)制到其他目錄）運行以下命令：c:\mysql\bin\mysql-Dsnort-uroot-p<c:\snort\schemas\create_mysql

c:\mysql\bin\mysql-Dsnort_archive-uroot-p<c:\snort\schemas\create_mysql4、安裝其他工具1）安裝adodb，解壓縮adodb497.zip到c:\php\adodb目錄下2）安裝jpgrapg庫，解壓縮jpgraph-1.22.1.tar.gz到c:\php\jpgraph，并且修改C:\php\jpgraph\src\jpgraph.php，添加如下一行：DEFINE("CACHE_DIR","/tmp/jpgraph_cache/");3)安裝acid，解壓縮acid-0.9.6b23.tar.gz到c:\apache\htdocs\acid目錄下，并將C:\Apache\htdocs\acid\acid_conf.php文件的如下各行內(nèi)容修改為：$DBlib_path="c:\php\adodb";$alert_dbname="snort";$alert_host="localhost";

$alert_port="3306";$alert_user="acid";$alert_password="acid";

$archive_dbname="snort_archive";$archive_host="localhost";$archive_port="3306";$archive_user="acid";$archive_password="acid";$ChartLib_path="c:\php\jpgraph\src";

4）、通過瀏覽器訪問/acid/acid_db_setup.php，在打開頁面中點取“CreateACIDAG”按鈕，讓系統(tǒng)自動在mysql中建立acid運行必須的數(shù)據(jù)庫5、啟動snort測試snort是否正常：c:\>snort-dev，能看到一只