最新 精品 Word 歡迎下載 可修改電子科學(xué)與信息技術(shù)學(xué)院信息安全技術(shù)實(shí)驗(yàn)指導(dǎo)書蔣朝惠編寫適用專業(yè):通信工程、網(wǎng)絡(luò)工程 貴州大學(xué)二OO六年八月前言隨著近年來計(jì)算機(jī)和網(wǎng)絡(luò)的迅速普及，給我國(guó)經(jīng)濟(jì)發(fā)展和社會(huì)進(jìn)步帶來了前所未有的機(jī)遇。但不容樂觀的是，來自網(wǎng)絡(luò)安全的威脅也日趨嚴(yán)重。例如，近年來多次在全球范圍內(nèi)爆發(fā)的蠕蟲病毒，對(duì)社會(huì)經(jīng)濟(jì)造成了巨大的損失，因而，信息安全問題已經(jīng)成為制約社會(huì)信息化發(fā)展的一個(gè)瓶頸。面對(duì)這一現(xiàn)狀，如何提高我國(guó)的信息安全建設(shè)水平和網(wǎng)絡(luò)安全的防范意識(shí)，已成為全社會(huì)共同關(guān)注的問題。為適應(yīng)這一形式，教育部從2000年開始批準(zhǔn)在高校中建立信息安全及其相關(guān)本科專業(yè)，以期為社會(huì)培養(yǎng)更多精通安全技術(shù)的專業(yè)人才。為了加深他們對(duì)信息安全知識(shí)的了解，進(jìn)一步培養(yǎng)在信息安全方面的動(dòng)手能力和感性認(rèn)識(shí)，特編寫了這個(gè)指導(dǎo)書。學(xué)生應(yīng)認(rèn)真閱讀信息安全技術(shù)教材中的與實(shí)驗(yàn)相關(guān)的章節(jié)內(nèi)容，提前做好實(shí)驗(yàn)預(yù)習(xí)，做到每個(gè)實(shí)驗(yàn)前明確實(shí)驗(yàn)?zāi)康摹⒄莆諏?shí)驗(yàn)的基本內(nèi)容及操作方法；在實(shí)驗(yàn)中正確使用實(shí)驗(yàn)設(shè)備，認(rèn)真觀察實(shí)驗(yàn)結(jié)果；實(shí)驗(yàn)后根據(jù)要求做好總結(jié)，上交實(shí)驗(yàn)報(bào)告。目 錄 實(shí)驗(yàn)一：常用信息安全工具的使用4實(shí)驗(yàn)二：防火墻配置與使用7實(shí)驗(yàn)三：Snort入侵檢測(cè)系統(tǒng)的配置與使用10實(shí)驗(yàn)四：木馬攻擊與防范18實(shí)驗(yàn)報(bào)告的基本內(nèi)容及要求27貴州大學(xué)實(shí)驗(yàn)報(bào)告28實(shí)驗(yàn)一：常用信息安全工具的使用實(shí)驗(yàn)學(xué)時(shí)：2實(shí)驗(yàn)類型：驗(yàn)證實(shí)驗(yàn)要求：必修一、實(shí)驗(yàn)?zāi)康?、 理解并掌握基于網(wǎng)絡(luò)的信息安全概念和原理2、 熟悉嗅探、網(wǎng)絡(luò)漏洞掃描等常用工具的安裝、配置與使用。二、實(shí)驗(yàn)內(nèi)容1、 利用嗅探器監(jiān)視網(wǎng)絡(luò)上的信息（數(shù)據(jù)包），分析網(wǎng)絡(luò)性能和故障。2、 利用嗅探器監(jiān)視網(wǎng)絡(luò)上的信息竊聽用戶的賬號(hào)與密碼信息。3、 利用網(wǎng)絡(luò)端口掃描器發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全漏洞。三、實(shí)驗(yàn)原理、方法和手段1、Sniffer工具嗅探Sniffer即網(wǎng)絡(luò)嗅探器，用于監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)包，分析網(wǎng)絡(luò)性能和故障。通常在同一個(gè)網(wǎng)段的所有網(wǎng)絡(luò)接口都有訪問在物理媒體上傳輸?shù)乃袛?shù)據(jù)的能力，而每個(gè)網(wǎng)絡(luò)接口都還應(yīng)該有一個(gè)硬件地址，該硬件地址不同于網(wǎng)絡(luò)中存在的其他網(wǎng)絡(luò)接口的硬件地址，同時(shí)，每個(gè)網(wǎng)絡(luò)至少還要一個(gè)廣播地址（代表所有的接口地址），在正常情況下，一個(gè)合法的網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)目的地址是自己硬件地址或者自己所處網(wǎng)段的廣播地址的數(shù)據(jù)幀，同時(shí)丟棄不是發(fā)給自己的數(shù)據(jù)幀。而sniffer就是一種能將本地網(wǎng)絡(luò)接口設(shè)置成“混雜”（promiscuous）狀態(tài)的軟件，當(dāng)網(wǎng)絡(luò)接口處于這種"混雜"方式時(shí)，該網(wǎng)絡(luò)接口具備廣播地址，它對(duì)所有遭遇到的每一個(gè)幀都產(chǎn)生一個(gè)硬件中斷以便提醒操作系統(tǒng)處理流經(jīng)該物理媒體上的每一個(gè)報(bào)文包。sniffer工作在網(wǎng)絡(luò)環(huán)境中的底層，它會(huì)攔截所有的正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過相應(yīng)的軟件處理，可以實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而分析所處的網(wǎng)絡(luò)狀態(tài)和整體布局。2、網(wǎng)絡(luò)端口掃描Superscan一個(gè)開放的網(wǎng)絡(luò)端口就是一條與計(jì)算機(jī)通信的信道，對(duì)網(wǎng)絡(luò)端口的掃描可以得到目標(biāo)計(jì)算機(jī)開放的服務(wù)程序、運(yùn)行的系統(tǒng)版本信息，從而為下一步的入侵做好準(zhǔn)備。對(duì)網(wǎng)絡(luò)端口的掃描可以通過執(zhí)行手工命令實(shí)現(xiàn)，但效率較低；也可以通過掃描工具實(shí)現(xiàn)，效率較高。掃描工具是對(duì)目標(biāo)主機(jī)的安全性弱點(diǎn)進(jìn)行掃描的軟件。它一般具有數(shù)據(jù)分析功能，通過對(duì)端口的掃描分析，可以發(fā)現(xiàn)目標(biāo)主機(jī)開放的端口和所提供的服務(wù)以及相應(yīng)服務(wù)軟件版本和這些服務(wù)軟件的安全漏洞，從而及時(shí)了解目標(biāo)主機(jī)存在的安全隱患。掃描工具根據(jù)作用的環(huán)境不同，可分為兩種類型：網(wǎng)絡(luò)漏洞掃描工具和主機(jī)漏洞掃描工具。主機(jī)漏洞掃描工具是指在本機(jī)運(yùn)行的掃描工具，以期檢測(cè)本地系統(tǒng)存在的安全漏洞。網(wǎng)絡(luò)漏洞掃描工具是指通過網(wǎng)絡(luò)檢測(cè)遠(yuǎn)程目標(biāo)網(wǎng)絡(luò)和主機(jī)系統(tǒng)所存在漏洞的掃描工具。本實(shí)驗(yàn)主要針對(duì)網(wǎng)絡(luò)漏洞掃描工具進(jìn)行。l 端口的基礎(chǔ)知識(shí)端口是TCP協(xié)議中所定義的，TCP協(xié)議通過套接字（Socket）建立兩臺(tái)計(jì)算機(jī)之間的網(wǎng)絡(luò)連接。套接字采用IP地址：端口號(hào)的形式來定義，通過套接字中不同的端口號(hào)可以區(qū)別同一臺(tái)計(jì)算機(jī)上開啟的不同TCP和UDP連接進(jìn)程。對(duì)于兩臺(tái)計(jì)算機(jī)間的任意一個(gè)TCP連接，一臺(tái)計(jì)算機(jī)的一個(gè)IP地址：端口套接字會(huì)和另一臺(tái)計(jì)算機(jī)的一個(gè)IP：端口套接字相對(duì)應(yīng)，彼此標(biāo)識(shí)著源端、目的端上數(shù)據(jù)包傳輸?shù)脑催M(jìn)程和目標(biāo)進(jìn)程。這樣網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包就可以由套接字中的IP地址和端口號(hào)找到需要傳輸?shù)闹鳈C(jī)和連接進(jìn)程了。由此可見，端口和服務(wù)進(jìn)程一一對(duì)應(yīng)，通過掃描開放的端口，就可以判斷出計(jì)算機(jī)正在運(yùn)行的服務(wù)程序。TCP/UDP的端口號(hào)在065535范圍之內(nèi)，其中1024以下的服務(wù)保留給常用的網(wǎng)絡(luò)服務(wù)。例如，21端口為TCP服務(wù)，23端口為TELNET服務(wù)，25端口為SMTP服務(wù)，80端口為HTTP服務(wù)，110端口為POP3服務(wù)等。l 掃描的原理（1）TCP全連接掃描TCP全連接掃描是利用TCP的三次握手，與目標(biāo)主機(jī)建立正常的TCP連接，以判斷指定端口是否開放。這種方法的缺點(diǎn)是非常容易被記錄或者被檢測(cè)出來。（2）TCP SYN掃描本地主機(jī)向目標(biāo)主機(jī)發(fā)送SYN數(shù)據(jù)段，如果遠(yuǎn)端目標(biāo)主機(jī)端口開放，則回應(yīng)SYN=1,ACK=1,此時(shí)本地主機(jī)發(fā)送RST給目標(biāo)主機(jī)，拒絕連接。如果遠(yuǎn)端主機(jī)端口未開放，則會(huì)回應(yīng)RST給本地主機(jī)。由此可知，根據(jù)回應(yīng)的數(shù)據(jù)段可以判斷目標(biāo)主機(jī)的端口是否開放。由于TCP SYN掃描并沒有建立TCP正常連接，所以降低了被發(fā)現(xiàn)的可能，同時(shí)提高了掃描性能。（3）TCP FIN掃描本地主機(jī)向目標(biāo)主機(jī)發(fā)送FIN=1,如果遠(yuǎn)端目標(biāo)主機(jī)端口開放，則丟棄此包，不回應(yīng)；如果遠(yuǎn)端主機(jī)未開放，則返回一個(gè)RST包。FIN掃描通過發(fā)送FIN的反饋判斷遠(yuǎn)端目標(biāo)主機(jī)的端口是否開放。由于這種掃描方法沒有涉及TCP的正常連接，所以使掃描更隱秘，也稱為秘密掃描。這種方法通常適用于Unix操作系統(tǒng)主機(jī)，但有的操作系統(tǒng)（如Windows NT）不管端口是否打開，都回復(fù)RST，此時(shí)這種方法就不適用了。（4）UDP ICMP掃描這種方法利用了UDP協(xié)議，當(dāng)向目標(biāo)主機(jī)的一個(gè)未打開的UDP端口發(fā)送數(shù)據(jù)包時(shí)，會(huì)返回一個(gè)ICMP_PORT_UNREACHABLE錯(cuò)誤，這樣就會(huì)發(fā)現(xiàn)關(guān)閉的端口。（5）ICMP掃描這種掃描方法利用了ICMP協(xié)議的功能，如果向目標(biāo)主機(jī)發(fā)送一個(gè)協(xié)議項(xiàng)存在錯(cuò)誤的IP數(shù)據(jù)包，則根據(jù)反饋的ICMP錯(cuò)誤報(bào)文，判斷目標(biāo)主機(jī)使用的服務(wù)。（6）間接掃描入侵者間接利用第三方主機(jī)進(jìn)行掃描，以隱藏真正入侵者的痕跡。第三方主機(jī)是通過其他入侵方法控制主機(jī)的，掃描的最終結(jié)果會(huì)從第三方主機(jī)發(fā)送給真正的入侵者。掃描往往是入侵的前奏，所以如何有效的屏蔽端口，保護(hù)自身計(jì)算機(jī)的安全，成為計(jì)算機(jī)管理人員首要考慮的問題。為了防止對(duì)計(jì)算機(jī)網(wǎng)絡(luò)端口的掃描，我們可以采用端口掃描監(jiān)測(cè)工具來監(jiān)測(cè)對(duì)端口的掃描，防止端口信息外露。此外，安裝防火墻也是防止端口掃描的有效方法。四、實(shí)驗(yàn)組織運(yùn)行要求采用集中授課演示操作步驟，學(xué)生獨(dú)立操作形式。五、實(shí)驗(yàn)條件聯(lián)網(wǎng)的PC機(jī)，兩臺(tái)為一組，Windows2000或WindowsXP操作系統(tǒng)，嗅探器Sniffer Pro、簡(jiǎn)單端口掃描器Superscan，掃描器Fluxay5。六、實(shí)驗(yàn)步驟1、 關(guān)閉計(jì)算機(jī)的防病毒軟件。2、 安裝Sniffer Pro。3、 安裝Superscan4、 安裝Fluxay5。5、 將同一實(shí)驗(yàn)組的計(jì)算機(jī)設(shè)為同一網(wǎng)段。6、 利用Sniffer Pro觀察對(duì)方的網(wǎng)絡(luò)數(shù)據(jù)包，分析網(wǎng)絡(luò)性能和故障。7、 用Superscan掃描對(duì)方的計(jì)算機(jī)，記錄掃描的結(jié)果和發(fā)現(xiàn)的漏洞。8、 用Fluxay5掃描系統(tǒng)的漏洞并破解出另一臺(tái)機(jī)器的帳號(hào)與口令七、思考題 八、實(shí)驗(yàn)報(bào)告學(xué)生實(shí)驗(yàn)報(bào)告主要包括實(shí)驗(yàn)預(yù)習(xí)、實(shí)驗(yàn)記錄和實(shí)驗(yàn)報(bào)告三部分，基本內(nèi)容詳見附件1。九、其它說明實(shí)驗(yàn)二：防火墻配置與使用實(shí)驗(yàn)學(xué)時(shí)：4實(shí)驗(yàn)類型：綜合實(shí)驗(yàn)要求：必修一、實(shí)驗(yàn)?zāi)康?、 熟悉skynet天網(wǎng)防火墻安裝和基本配置方法；2、 通過配置防火墻特性，進(jìn)行攻擊與防范。二、實(shí)驗(yàn)內(nèi)容1、 skynet天網(wǎng)防火墻軟件的安裝與配置2、 SYNFlood攻擊軟件的安裝與配置3、 配置天網(wǎng)防火墻來阻擋SYNFlood軟件的攻擊三、實(shí)驗(yàn)原理、方法和手段一個(gè)完整的TCP連接分三步，也就是我們常說的三次握手：1.客戶端SYN 服務(wù)端2.服務(wù)端ACK+SYN 客戶端3.客戶端ACK 服務(wù)端 FLOOD攻擊就是利用三次握手的漏洞來實(shí)現(xiàn)的：假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無法收到客戶端的ACK報(bào)文的（第三次握手無法完成），這種情況下服務(wù)器端一般會(huì)重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時(shí)間后丟棄這個(gè)未完成的連接，這段時(shí)間的長(zhǎng)度我們稱為SYNTimeout，一般來說這個(gè)時(shí)間是分鐘的數(shù)量級(jí)（大約為30秒-2分鐘）；一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1分鐘并不是什么很大的問題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源-數(shù)以萬計(jì)的半連接，即使是簡(jiǎn)單的保存并遍歷也會(huì)消耗非常多的CPU時(shí)間和內(nèi)存，何況還要不斷對(duì)這個(gè)列表中的IP進(jìn)行SYN+ACK的重試。實(shí)際上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰-即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請(qǐng)求而無暇理睬客戶的正常請(qǐng)求（畢竟客戶端的正常請(qǐng)求比率非常之?。藭r(shí)從正?？蛻舻慕嵌瓤磥?，服務(wù)器失去響應(yīng)，這種情況我們稱作：服務(wù)器端受到了SYN Flood攻擊（SYN洪水攻擊）。四、實(shí)驗(yàn)組織運(yùn)行要求采用集中授課演示操作步驟，學(xué)生獨(dú)立操作形式。五、實(shí)驗(yàn)條件1） 集線器或交換機(jī)（8口或24口）若干臺(tái)2） 帶網(wǎng)卡且裝有Windows 2000/XP的PC機(jī)若干臺(tái)3） 網(wǎng)卡及其驅(qū)動(dòng)程序若干套4） 打印機(jī)1臺(tái)及其驅(qū)動(dòng)程序若干套5） 已做好RJ-45接頭（2-5米）的UTP電纜若干條6） RJ-45接頭若干個(gè)和五類雙絞線若干米7） RJ-45壓線工具若干把8） MS Windows 2000/XP軟件（光碟）若干套六、實(shí)驗(yàn)步驟1.根據(jù)天網(wǎng)防火墻的幫助文檔進(jìn)行安裝和基本的配置學(xué)習(xí)2.修改防火墻相關(guān)的配置，用superscan等掃描，觀察天網(wǎng)的日志記錄，并記錄可以從其中獲得的攻擊等信息 （1）Firewall包過濾操作步驟用superscan掃描工具；改變天網(wǎng)的配置：改變天網(wǎng)的配置：改變天網(wǎng)的配置：觀察防火墻日志的記錄并分析出現(xiàn)的原因（2）攻擊防范功能測(cè)試由于資源的限制，TCP/IP棧的實(shí)現(xiàn)只能允許有限個(gè)TCP連接。而SYN Flood攻擊正是利用這一點(diǎn)，它偽造一個(gè)SYN報(bào)文，其源地址是偽造、或者一個(gè)不存在的地址，向服務(wù)器發(fā)起連接，服務(wù)器在收到報(bào)文后用SYN-ACK應(yīng)答，而此應(yīng)答發(fā)出去后，不會(huì)收到ACK報(bào)文，造成一個(gè)半連接。如果攻擊者發(fā)送大量這樣的報(bào)文，會(huì)在被攻擊主機(jī)上出現(xiàn)大量的半連接，消耗其資源，使正常的用戶無法訪問，直到半連接超時(shí)。在一些創(chuàng)建連接不受限制的實(shí)現(xiàn)里，SYN Flood具有類似的影響，它會(huì)消耗掉系統(tǒng)的內(nèi)存等資源。SYN Flood攻擊防范測(cè)試操作步驟在Server B上發(fā)送大量的TCP SYN報(bào)文到Server A上；在Server A上使用轉(zhuǎn)包工具抓包；在Server B上發(fā)送大量SYN攻擊報(bào)文的背景流量下，telnet到Server A；在Server B上發(fā)送大量SYN攻擊報(bào)文的背景流量下，通過http訪問Server A；在Server B上發(fā)送大量的SYN報(bào)文，同時(shí)在Server A上抓包。地址掃描攻擊防范測(cè)試操作步驟在Server B上使用地址掃描程序?qū)W(wǎng)絡(luò)進(jìn)行地址掃描；在天網(wǎng)日志中觀察設(shè)備的報(bào)警輸出；在Server B上Ping Server A；七、思考題怎么在天網(wǎng)防火墻的日志記錄里面分析得到我們需要的信息？ 八、實(shí)驗(yàn)報(bào)告學(xué)生實(shí)驗(yàn)報(bào)告主要包括實(shí)驗(yàn)預(yù)習(xí)、實(shí)驗(yàn)記錄和實(shí)驗(yàn)報(bào)告三部分，基本內(nèi)容詳見附件1。九、其它說明實(shí)驗(yàn)三：Snort入侵檢測(cè)系統(tǒng)的配置與使用實(shí)驗(yàn)學(xué)時(shí)：4實(shí)驗(yàn)類型：綜合實(shí)驗(yàn)要求：必修一、實(shí)驗(yàn)?zāi)康膶W(xué)會(huì)搭建snort+windows+mysql+php+acid的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)平臺(tái)，并學(xué)習(xí)簡(jiǎn)單snort規(guī)則的編寫與使用，了解snort的檢測(cè)原理。二、實(shí)驗(yàn)內(nèi)容1、2、3、4、 Mysql數(shù)據(jù)庫(kù)的安裝與配置5、 adodb的安裝與配置6、 數(shù)據(jù)控制臺(tái)acid的安裝與配置7、 jpgraph庫(kù)的安裝8、 winpcap的安裝與配置9、 snort規(guī)則的配置10、 測(cè)試snort的入侵檢測(cè)相關(guān)功能三、實(shí)驗(yàn)原理、方法和手段有關(guān)本實(shí)驗(yàn)的原理參見教材信息安全實(shí)驗(yàn)指導(dǎo)書，崔寶江 周亞建 楊義先 鈕心忻編著，國(guó)防工業(yè)出版社出版社，2022年。四、實(shí)驗(yàn)組織運(yùn)行要求采用集中授課演示操作步驟，學(xué)生獨(dú)立操作形式。五、實(shí)驗(yàn)條件聯(lián)網(wǎng)的裝有Windows2000或WindowsXP操作系統(tǒng)的PC機(jī)；六、實(shí)驗(yàn)步驟（一） windows環(huán)境下snort的安裝1（1）（2） 打開配置文件C:apacheapache2confhttpd.conf，將其中的Listen 8080，更改為L(zhǎng)isten 50080。（這主要是為了避免沖突）。（3） 進(jìn)入命令行運(yùn)行方式（單擊“開始”按鈕，選擇“運(yùn)行”，在彈出窗口中輸入“cmd”，回車），轉(zhuǎn)入C:apacheapachebin子目錄，輸入下面命令：C:apacheapache2bin>apache k install將apache設(shè)置為以windows中的服務(wù)方式運(yùn)行。2 安裝PHP（1）（2） 復(fù)制C:php下php4ts.dll 至%systemroot%System32，php.ini-dist至%systemroot%php.ini。（3） 添加gd圖形支持庫(kù)，在php.ini中添加extension=php_gd2.dll。如果php.ini有該句，將此句前面的“；”注釋符去掉。（4） 添加Apache對(duì)PHP的支持。在C:apahceapache2confhttpd.conf中添加：LoadModule php4_module “C:/php/sapi/php4apache2.dll”AddType application/x-httpd-php .php（5） 進(jìn)入命令行運(yùn)行方式，輸入下面命令：Net start apache2 (這將啟動(dòng)Apache Web服務(wù))（6） 在C:apacheapche2htdocs目錄下新建test.php測(cè)試文件，test.php文件內(nèi)容為<?phpinfo();?>使用，測(cè)試PHP是否成功安裝，如成功安裝，則在瀏覽器中出現(xiàn)如下圖所示的網(wǎng)頁(yè)3 安裝snort安裝snort-2_0_0.exe，snort的默認(rèn)安裝路徑在C:snort4 安裝配置Mysql數(shù)據(jù)庫(kù)（1） 安裝Mysql到默認(rèn)文件夾C:mysql，并在命令行方式下進(jìn)入C:mysqlbin，輸入下面命令：C:mysqlbinmysqld install這將使mysql在Windows中以服務(wù)方式運(yùn)行。（2） 在命令行方式下輸入net start mysql，啟動(dòng)mysql服務(wù)（3） 進(jìn)入命令行方式，輸入以下命令 C:mysqlbin>mysql u root p 如下圖： 出現(xiàn)Enter Password提示符后直接按“回車”，這就以默認(rèn)的沒有密碼的root用戶登錄mysql數(shù)據(jù)庫(kù)。（4） 在mysql提示符后輸入下面的命令（Mysql>）表示屏幕上出現(xiàn)的提示符，下同）：（Mysql>）create database snort;（Mysql>）create database snort_archive;注意：在輸入分號(hào)后mysql才會(huì)編譯執(zhí)行語(yǔ)句。上面的create語(yǔ)句建立了snort運(yùn)行必須的snort數(shù)據(jù)庫(kù)和snort_archive數(shù)據(jù)庫(kù)。（5） 輸入quit命令退出mysql后，在出現(xiàn)的提示符之后輸入:（c:mysqlbin>）Mysql D snort u root p<C:snortcontribcreate_mysql（c:mysqlbin>）Mysql D snort_archive u root p<C:snortcontribcreate_mysql上面兩個(gè)語(yǔ)句表示以root用戶身份，使用C:snortcontrib目錄下的create_mysql腳本文件，在snort數(shù)據(jù)庫(kù)和snort_archive數(shù)據(jù)庫(kù)中建立了snort運(yùn)行必須的數(shù)據(jù)表。注意：在此形式輸入的命令后沒有“；”。屏幕上會(huì)出現(xiàn)密碼輸入提示，由于這里是用的是沒有密碼的root用戶，直接按“回車”即可。（6） 再次以root用戶身份登錄mysql數(shù)據(jù)庫(kù)，在提示符后輸入下面的語(yǔ)句： （mysql>）grant usage on *.* to “acid”loacalhost” identified by “acidtest”;（mysql>）grant usage on *.* to “snort”loacalhost” identified by “snorttest”; 上面兩個(gè)語(yǔ)句表示在本地?cái)?shù)據(jù)庫(kù)中建立了acid（密碼為acidtest）和snort（密碼為snorttet）兩個(gè)用戶，以備后面使用。（7） 在mysql提示符后面輸入下面的語(yǔ)句： （mysql>）grant select,insert,update,delete,create,alter on snort.* to “adid”localhost; （mysql>）grant select,insert on snort.* to “snort”localhost; （mysql>）grant select,insert,update,delete,create,alter on snort_archive.* to “adid”localhost;這是為新建的用戶在snort和snort_archive數(shù)據(jù)庫(kù)中分配權(quán)限。5 安裝adodb將adodb360.zip解壓縮至C:phpadodb目錄下，即完成了adodb的安裝。6 安裝配置數(shù)據(jù)控制臺(tái)acid（1）（2） 修改C:apahceapache2htdocs下的acid_conf.php文件：DBlib_path = "C:phpadodb" $DBtype=”mysql”;$alert_dbname = "snort"$alert_host = "localhost"$alert_port = "3306"$alert_user = "acid"$alert_password = "acidtest"/* Archive DB connection parameters */$archive_dbname = "snort_archive"$archive_host = "localhost"$archive_port = "3306"$archive_user = "acid"$archive_password = "acidtest"$ChartLib_path=”C:phpjpgraphsrc”;注意：修改時(shí)要將文件中原來的對(duì)應(yīng)內(nèi)容注釋掉，或者直接覆蓋。（3） 查看網(wǎng)頁(yè)，如下圖所示，單擊create ACID AG 建立數(shù)據(jù)庫(kù)。 7 安裝jpgraph庫(kù)（1）（2） 修改C:phpjpgrahsrc下jpgraph.php文件，去掉下面語(yǔ)句的注釋。DEFINE（”CACHE_DIR”,”/tmp/jpgraph_cache/”）;8 安裝winpcap安裝默認(rèn)選項(xiàng)和默認(rèn)路徑安裝winpcap。9 配置并啟動(dòng)snort（1） 打開C:snortetcsnort.conf文件，將文件中的下列語(yǔ)句：include classification.configinclude reference.config修改為絕對(duì)路徑：include C:snortetcclassfication.configinclude C:snortetcreference.config（2） 在該文件的最后加入下面語(yǔ)句：Output database: alert,mysql,host=localhost user=snort password=snorttest dbname=snort encoding=hex detail=full（3） 進(jìn)入命令行方式，輸入下面的命令：C:snortbin>snort c “C:snortetcsnort.conf” l “C:snortlog” d e X上面的命令將啟動(dòng)snort，如果snort正常運(yùn)行，系統(tǒng)最后將顯示如下圖所示（4） 打開:50080/acid/acid_main.php網(wǎng)頁(yè)，進(jìn)入acid分析控制臺(tái)主界面。如上述配置均正確，將出現(xiàn)如下圖所示的頁(yè)面。（二）Windows下snort的使用1 完善配置文件（1） 打開C:snortetcsnort.conf（2） 配置snort的內(nèi)、外網(wǎng)檢測(cè)范圍。（3） 設(shè)置監(jiān)測(cè)包含規(guī)則。找到snort.conf文件中描述規(guī)則的部分，前面加“#”表示該規(guī)則沒有啟用，將local.rules之前的“#”去掉，其余規(guī)則保持不變。2 使用控制臺(tái)查看結(jié)果3 配置snort規(guī)則（1） 打開C:snortruleslocal.rules文件。（2） 在規(guī)則中添加一條語(yǔ)句，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)的UDP協(xié)議相關(guān)流量進(jìn)行檢測(cè)，并報(bào)警：udp ids/dns-version-query。語(yǔ)句如下：Alert tcp any any->$Home_NET any（msg:”udp ids/dns-version-query”;content:”version”;）（3） 重啟snort和acid檢測(cè)控制臺(tái)，使規(guī)則生效。七、思考題八、實(shí)驗(yàn)報(bào)告學(xué)生實(shí)驗(yàn)報(bào)告主要包括實(shí)驗(yàn)預(yù)習(xí)、實(shí)驗(yàn)記錄和實(shí)驗(yàn)報(bào)告三部分，基本內(nèi)容詳見附件1。九、其它說明實(shí)驗(yàn)四：木馬攻擊與防范實(shí)驗(yàn)學(xué)時(shí)：2實(shí)驗(yàn)類型：綜合實(shí)驗(yàn)要求：選修一、實(shí)驗(yàn)?zāi)康耐ㄟ^對(duì)木馬的練習(xí)，理解木馬傳播和運(yùn)行的機(jī)制；通過手動(dòng)刪除木馬，掌握檢查木馬和刪除木馬的技巧，學(xué)會(huì)防御木馬的相關(guān)知識(shí)，加深對(duì)木馬的安全防范意識(shí)。 二、實(shí)驗(yàn)內(nèi)容1、 木馬的置入或安裝2、 木馬的遠(yuǎn)程控制與操縱3、 木馬的刪除與卸載三、實(shí)驗(yàn)原理、方法和手段1. “冰河”“冰河”是國(guó)內(nèi)一款非常有名的木馬，功能非常強(qiáng)大?！氨印币话阌蓛蓚€(gè)文件組成：G_Client和G_Server，其中G_Server是木馬的服務(wù)器端，就是用來植入目標(biāo)主機(jī)的程序，G_Client是木馬的客戶端，就是木馬的控制端。該軟件主要用于遠(yuǎn)程監(jiān)控，具體功能包括：（1）自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化，同時(shí)可以完全模擬鍵盤及鼠標(biāo)輸入,即在同步被控端屏幕變化的同時(shí)，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕（局域網(wǎng)適用）；（2）記錄各種口令信息：包括開機(jī)口令、屏保口令、各種共享資源口令及絕大多數(shù)在對(duì)話框中出現(xiàn)過的口令信息；（3）獲取系統(tǒng)信息：包括計(jì)算機(jī)名、注冊(cè)公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項(xiàng)系統(tǒng)數(shù)據(jù)；（4）限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊(cè)表等多項(xiàng)功能限制；（5）遠(yuǎn)程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠(yuǎn)程打開文件（提供了四中不同的打開方式正常方式、最大化、最小化和隱藏方式）等多項(xiàng)文件操作功能；（6）注冊(cè)表操作：包括對(duì)主鍵的瀏覽、增刪、復(fù)制、重命名和對(duì)鍵值的讀寫等所有注冊(cè)表操作功能；（7）發(fā)送信息：以四種常用圖標(biāo)向被控端發(fā)送簡(jiǎn)短信息；（8）點(diǎn)對(duì)點(diǎn)通訊：以聊天室形式同被控端進(jìn)行在線交談。2.“灰鴿子”一、灰鴿子遠(yuǎn)程控制企業(yè)版整個(gè)界面看起來非常時(shí)尚，整潔，布局合理，功能齊全，實(shí)用。功能是最重要的，下面讓我小游魚為大家逐個(gè)介紹這些的功能，先讓我介紹一些枯燥的東西，然后再為大家奉上灰鴿子黑防專版，請(qǐng)大家親自體驗(yàn)灰鴿子遠(yuǎn)程控制之旅。第一：超強(qiáng)的文件傳輸管理。有時(shí)候想從遠(yuǎn)程主機(jī)拿一點(diǎn)東西，速度不快，又常斷線，真的很頭暈，怎么辦呢？灰鴿子可以對(duì)遠(yuǎn)程計(jì)算機(jī)文件管理：模枋 Windows 資源管理器，可以對(duì)文件進(jìn)行復(fù)制、粘貼、刪除，重命名、遠(yuǎn)程運(yùn)行等,可以上傳下載文件或文件夾,操作簡(jiǎn)單易用。并且有斷點(diǎn)續(xù)傳功能。一點(diǎn)也不遜色于WINDOWS的資源管理器，簡(jiǎn)直就像在自己機(jī)器上操作一樣方便。第二:流暢的屏幕控制控制當(dāng)然離不開屏幕了，誰不想又快又準(zhǔn)哇, 因?yàn)檫@個(gè)版本捕獲屏幕使用到了驅(qū)動(dòng)技術(shù)，只傳送屏幕變化部分，所以它的傳輸效率非常高，它的屏幕傳輸已經(jīng)非常完美，其它軟件操作了幾十秒再反應(yīng)的的事情在它身上已經(jīng)得到了根本改善。帶給用戶全新的遠(yuǎn)程控制體驗(yàn)。在測(cè)試中我們發(fā)現(xiàn)在CPU占用率上遠(yuǎn)低于Radmin，遺憾的是這個(gè)技術(shù)不支持Win9x系統(tǒng)。第三：清晰的視頻語(yǔ)音對(duì)話 想通話？很容易！灰鴿子用最小的帶寬達(dá)到最好的音效傳輸效果，再也不用豎起耳朵來辨聽哪些沙啞的聲音了，能更好的達(dá)到遠(yuǎn)程排除故障的目的。第四: 貼心的注冊(cè)表模擬如果用戶需要編輯注冊(cè)表怎么辦？?jī)?nèi)建的遠(yuǎn)程注冊(cè)表操作就像操作本地注冊(cè)表一樣方便，極大的方便了用戶。第五：多種自動(dòng)上線方式專用上線、DNS解析域名、固定IP等，這是國(guó)外其它軟件少有的功能，主要是對(duì)國(guó)內(nèi)普遍的上網(wǎng)方式作了優(yōu)化，使它能適應(yīng)多種網(wǎng)絡(luò)條件，達(dá)到更好的軟件使用效果，第六：專用的自動(dòng)上線系統(tǒng) 如果你沒有主頁(yè)空間，又不想使用免費(fèi)的域名，專用的自動(dòng)上線系統(tǒng)正適合你的選擇,這項(xiàng)服務(wù)是提供給注冊(cè)用戶的。第七：模擬telnet(超級(jí)終端)登錄對(duì)于高手，你想要更底層的操作，更強(qiáng)大的功能，沒關(guān)系，模擬Telnet功能讓你能夠一展拳腳，一試你高強(qiáng)的命令行操作。第八：易于操作的命令廣播功能它提供一個(gè)企業(yè)級(jí)的控制面，解決多臺(tái)主機(jī)操控的難題，實(shí)現(xiàn)了多臺(tái)主機(jī)實(shí)現(xiàn)聯(lián)動(dòng)操作，如(關(guān)機(jī)、重啟、打開網(wǎng)頁(yè)，篩選符合條件的機(jī))等，點(diǎn)一個(gè)按鈕就可以讓多臺(tái)機(jī)器同時(shí)關(guān)機(jī)或其它操作，非常實(shí)用.說的沒用，對(duì)比才是最重要，讓我們來和遠(yuǎn)程控制也很強(qiáng)的Radmin(鐳)來作一個(gè)對(duì)比.鐳的簡(jiǎn)介： 出生地：美國(guó) 出生年月：1999 特長(zhǎng)：遠(yuǎn)程控制灰鴿子簡(jiǎn)介： 出生地：中國(guó) 出生年月：未知 特長(zhǎng)：遠(yuǎn)程控制以下是它們所具有的功能：灰鴿子鐳(Radmin)屏幕控制是是文件傳輸是是Telnet模擬是是語(yǔ)音傳送是否注冊(cè)表模擬是否主動(dòng)連接方式是是自動(dòng)上線方式選擇是否專用的自動(dòng)上線系統(tǒng)是否同時(shí)可以控制多臺(tái)機(jī)器是否從字面上看，灰鴿子功能比較多，而鐳的功能比較單一實(shí)測(cè)條件：帶寬1M灰鴿子鐳屏幕控制相同文件傳輸灰鴿子支付續(xù)傳，鐳傳輸比較容易中斷，沒有續(xù)傳功能Telnet模擬相同是否可以同時(shí)多窗口操作相同條件：撥號(hào)灰鴿子鐳屏幕控制鐳比較好文件傳輸灰鴿子支付續(xù)傳，鐳傳輸比較容易中斷，沒有續(xù)傳功能Telnet模擬相同是否可以同時(shí)多窗口操作相同二、灰鴿子VIP版1、服務(wù)端安裝過程可以由用戶設(shè)置是否顯示windows安裝過程，可能被會(huì)部分殺毒軟件誤殺！(若有這種情況屬為正常,用戶可以在殺毒軟件上設(shè)置過濾或暫時(shí)關(guān)閉殺毒軟件,再下載使用!)2、具有插件功能，用戶可以按照自己的需要使用一些插件，使用上更靈活！3、只有自動(dòng)上線方式，沒有主動(dòng)連接方式！也就是說，企業(yè)版和VIP版，最主要不同的地方就是，VIP版的服務(wù)端在安裝的時(shí)候，可以選擇在托盤顯示或不顯示圖標(biāo)，沒有標(biāo)準(zhǔn)的windows安裝過程！及VIP版不是使用驅(qū)動(dòng)來捕獲屏幕，屏幕控制的速度沒有企業(yè)版的快！正因?yàn)檫@樣，除了正常的遠(yuǎn)程管理外，便有部份人把灰鴿子作成黑客工具來使用了，于是，一些殺毒軟件，便把灰鴿子列為了后門程序來查殺！ 國(guó)內(nèi)媒體對(duì)這款軟件的反應(yīng)： 電腦報(bào)，黑客X檔案，新電腦等報(bào)刊雜志對(duì)灰鴿子的報(bào)道相信大家已經(jīng)不少見了。因?yàn)榛银澴邮且豢钸h(yuǎn)程控制軟件，長(zhǎng)期以來，人們總是認(rèn)為這是一款黑客軟件。下面是瑞星公司對(duì)灰鴿子的評(píng)價(jià)：“其豐富而強(qiáng)大的功能、靈活多變的操作、良好的隱藏性使其他后門都相形見絀?？蛻舳撕?jiǎn)易便捷的操作使剛?cè)腴T的初學(xué)者都能充當(dāng)黑客。當(dāng)使用在合法情況下時(shí)，灰鴿子是一款優(yōu)秀的遠(yuǎn)程控制軟件。但如果拿它做一些非法的事，灰鴿子就成了很強(qiáng)大的黑客工具。這就好比火藥，用在不同的場(chǎng)合，給人類帶來不同的影響?！币陨献阋宰C明它是一款在遠(yuǎn)程控制領(lǐng)域中非常出色的軟件，近來他們推出了一款企業(yè)版的灰鴿子，決定改變長(zhǎng)期以來只能被用來做黑客軟件的狀況，把他們最好的技術(shù)應(yīng)用在我們的生活應(yīng)用中去，為我們排憂解難，確實(shí)是一件令人感到高興的事.附：企業(yè)版與VIP版比較企業(yè)版VIP版屏幕控制使用驅(qū)動(dòng)捕屏，速度更快稍慢于企業(yè)版上線方式支持反彈連接和主動(dòng)連接方式不支持主動(dòng)連接方式服務(wù)端安裝具有標(biāo)準(zhǔn)的windows安裝過程可以不顯示安裝過程托盤圖標(biāo)服務(wù)端安裝后在托盤顯示圖標(biāo)可以選擇不顯示托盤圖標(biāo)是否會(huì)被查殺不被殺毒軟件查殺會(huì)被部份殺毒軟件當(dāng)作后門查殺服務(wù)端升級(jí)服務(wù)端不能自動(dòng)升級(jí)服務(wù)端具有后臺(tái)自動(dòng)升級(jí)功能插件功能無有四、實(shí)驗(yàn)組織運(yùn)行要求采用集中授課演示操作步驟，學(xué)生獨(dú)立操作形式。五、實(shí)驗(yàn)條件1） 連網(wǎng)的幾臺(tái)PC機(jī)（防火墻和殺毒軟件關(guān)掉）；2） 冰河8.4或灰鴿子軟件六、實(shí)驗(yàn)步驟任務(wù)一：“冰河”木馬的使用1“冰河”安裝 直接把G_SERVER.EXE拷貝到目標(biāo)機(jī)器，運(yùn)行就安裝了。2使用“冰河”對(duì)遠(yuǎn)程計(jì)算機(jī)進(jìn)行控制（具體使用方法見資料中的“冰河”Readme文檔）見圖：1 圖1 這時(shí)就可以在控制的“肉雞”里面，干任何事情了。任務(wù)二：刪除“冰河”木馬刪除“冰河”木馬主要有以下幾種方法：（1）客戶端的自動(dòng)卸載功能在“控制類命令”中的“系統(tǒng)控制”里面就有自動(dòng)卸載功能，執(zhí)行這個(gè)功能，遠(yuǎn)程主機(jī)上的木馬就自動(dòng)卸載了。見圖2和圖3： 圖2（2）手動(dòng)卸載查看注冊(cè)表，在“開始”的“運(yùn)行”里面輸入regedit，打開Windows注冊(cè)表編輯器。依次打開子鍵目錄HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVer-sionRun，在目錄中發(fā)現(xiàn)了一個(gè)默認(rèn)的鍵值C:WINNTSystem32kernel32.exe，這就是“冰河”木馬在注冊(cè)表中加入的鍵值，將它刪除。然后再依次打開子鍵目錄HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunservices，再目錄中也發(fā)現(xiàn)了一個(gè)默認(rèn)的鍵值C:WINNTSystem32kernel32.exe，這也是“冰河”木馬在注冊(cè)表中加入的鍵值，將它刪除。然后進(jìn)入C:WINNTSystem32目錄，找到“冰河”修改文件關(guān)聯(lián)也是木馬常用的手段，“冰河”木馬將txt文件的缺省打開方式由notepad.exe改為木馬的啟動(dòng)程序，除此之外，html、exe、zip、com等也都是木馬的目標(biāo)。所以，在最后需要恢復(fù)注冊(cè)表中的txt文件關(guān)聯(lián)功能，只要將注冊(cè)表的HKEY_CLASSES_ROOTtxtopencommand下的默認(rèn)值，由中木馬后的C:WindowsSystemSysexplr.exe %1改為正常情況下的C:Windowsnotepad.exe %1即可。再重新啟動(dòng)計(jì)算機(jī)，就把“冰河”木馬徹底刪除了。（3）殺毒軟件查殺大部分殺毒軟件都有查殺木馬的功能，可以通過這個(gè)功能對(duì)主機(jī)進(jìn)行全面掃描去除木馬。七、思考題八、實(shí)驗(yàn)報(bào)告學(xué)生實(shí)驗(yàn)報(bào)告主要包括實(shí)驗(yàn)預(yù)習(xí)、實(shí)驗(yàn)記錄和實(shí)驗(yàn)報(bào)告三部分，基本內(nèi)容詳見附件1。九、其它說明實(shí)驗(yàn)報(bào)告的基本內(nèi)容及要求每門課程的所有實(shí)驗(yàn)項(xiàng)目的報(bào)告必須以課程為單位裝訂成冊(cè)，格式參見附件1。實(shí)驗(yàn)報(bào)告應(yīng)體現(xiàn)預(yù)習(xí)、實(shí)驗(yàn)記錄和實(shí)驗(yàn)報(bào)告，要求這三個(gè)過程在一個(gè)實(shí)驗(yàn)報(bào)告中完成。1實(shí)驗(yàn)預(yù)習(xí)在實(shí)驗(yàn)前每位同學(xué)都需要對(duì)本次實(shí)驗(yàn)進(jìn)行認(rèn)真的預(yù)習(xí)，并寫好預(yù)習(xí)報(bào)告，在預(yù)習(xí)報(bào)告中要寫出實(shí)驗(yàn)?zāi)康?、要求，需要用到的儀器設(shè)備、物品資料以及簡(jiǎn)要的實(shí)驗(yàn)步驟，形成一個(gè)操作提綱。對(duì)實(shí)驗(yàn)中的安全注意事項(xiàng)及可能出現(xiàn)的現(xiàn)象等做到心中有數(shù)，但這些不要求寫在預(yù)習(xí)報(bào)告中。設(shè)計(jì)性實(shí)驗(yàn)要求進(jìn)入實(shí)驗(yàn)室前寫出實(shí)驗(yàn)方案。2實(shí)驗(yàn)記錄學(xué)生開始實(shí)驗(yàn)時(shí)，應(yīng)該將記錄本放在近旁，將實(shí)驗(yàn)中所做的每一步操作、觀察到的現(xiàn)象和所測(cè)得的數(shù)據(jù)及相關(guān)條件如實(shí)地記錄下來。實(shí)驗(yàn)記錄中應(yīng)有指導(dǎo)教師的簽名。3實(shí)驗(yàn)總結(jié)主要內(nèi)容包括對(duì)實(shí)驗(yàn)數(shù)據(jù)、實(shí)驗(yàn)中的特殊現(xiàn)象、實(shí)驗(yàn)操作的成敗、實(shí)驗(yàn)的關(guān)鍵點(diǎn)等內(nèi)容進(jìn)行整理、解釋、分析總結(jié)，回答思考題，提出實(shí)驗(yàn)結(jié)論或提出自己的看法等。貴州大學(xué)實(shí)驗(yàn)報(bào)告學(xué)院： 專業(yè)： 班級(jí)：姓名學(xué)號(hào)實(shí)驗(yàn)組實(shí)驗(yàn)時(shí)間指導(dǎo)教師成績(jī)實(shí)驗(yàn)項(xiàng)目名稱實(shí)驗(yàn)?zāi)康膶?shí)驗(yàn)要求實(shí)驗(yàn)原理實(shí)驗(yàn)儀器實(shí)驗(yàn)步驟實(shí)驗(yàn)內(nèi)容實(shí)驗(yàn)數(shù)據(jù)實(shí)驗(yàn)總結(jié)指導(dǎo)教師意見簽名： 年 月 日