常州轻工职业技术学院
实 践 指 导 书
实践项目
网络安全技术实训
指导教师 胡江
班 级
学年 学期
实践指导书
实训一 嗅探器的窃听与防范 一、实训目的和要求
通过练习使用Netmon嗅探器捕获网络中用户登录信息;理解嗅探器工作的原理及其实施过程;掌握防范网络窃听的措施。 二、实训环境 (1)局域网 (2)Netmon (3)Web服务器 三、原理
1、什么是嗅探器,网络嗅探工作原理 sniffer
嗅探器可被理解为一种安装在计算机上的窃听设备。它可以用来窃听计算机在网络上所产生的众多的信息。
在使用集线器的以太网中,数据的传输是基于“共享”原理的,所有的同一网段范围内的计算机共同接收同样的数据包。这意味着计算机之间的通信都是透明的。网卡工作在正常模式时将屏蔽掉和自己无关的网络信息。事实上是忽略掉了与自身MAC地址不符合的信息。 嗅探程序则是利用以太网的特点,将设备网卡设置为“混杂模式”,从而能够接受到整个以太网内的网络数据信息了。
在使用交换机的以太网中,Sniffer是利用arp欺骗的所谓中间介入攻击的技术,诱骗网络上的工作站先把数据包传到Sniffer所在的网卡,再传给目标工作站。 2、什么是VPN?
VPN(Virtual Private Network,虚拟专用网)是近年来随着Internet的广泛应用而迅速发展起来的一种新技术,实现在公用网络上构建私人专用网络。“虚拟”主要是指这种网络是一种逻辑上的网络。
3、什么是IPSec协议,它又哪些协议组成
IPSec是一个第三层VPN协议标准,它支持信息通过IP公网的安全传输。IPSec可有效保护IP数据报的安全,所采取的具体保护形式包括:访问控制、数据源验证、无连接数据的完整性验证、数据内容的机密性保护、抗重放保护等。
IPSec主要由AH(认证头)协议、ESP(封装安全载荷)协议及负责密钥管理的IKE(因特网密钥交换)协议组成,各协议之间的关系如图所示。
四、实验内容和步骤
1、 编写用户登陆的ASP程序,配置Web站点 1)编写index.htm
if request.form(“user”)=”zs” and request.form(“pwd”)=”123” then response.write “欢迎访问本网站” else
response.redirect “http://192.168.0.18/index.htm” end if %>
2、使用Netmon网络监视器 (一)安装Netmon网络监视器
在默认情况下,windows 2000系统不会自动安装网络监视器,需要单独安装后才能使 用,安装步骤如下:
(1)单击“开始”一“设置”一“控制面板”,在打开的“控制面板”窗口中双击“添加/删除程序”图标。
(2)在出现的对话框中单击“添加/删除Windows组件”按钮。
(3)选中对话框的“管理和监视工具”复选框,单击“下一步”按钮,系统将会安装管理组件。
(二)使用Netmon网络监视器 1)运行
单击“开始”一“程序”一“管理工具”一“网络监视器”,启动网络监视器,出现监视窗口,该窗口由四个不同部分所组成。 (a).图表区
该区位于窗口的左上部分,它用一组条形图反映网络的工程情况。 ·网络利用:显示网络带宽的利用百分比。
·每秒帧数:显示网络中每秒接收和发送的帧数。
·每秒字节数:显示网络中每秒发送和接收到的字节数。 ·每秒广播:显示网络中每秒广播的数据包数。 ·每秒多播:显示网络中每秒多播发送的数据包数。 (b).会话统计区
该区位于窗口左半部分图表显示区的下方,它显示了服务器与网络中其他计算机进行通信的详细情况,用帧来表示。 (c).机器统计区
该区位于窗口的下半部分,显示的是网络中每台机器实际发送和接收的帧的字节数,以及在服务器端所启动的Broadcast(广播帧)和NetBIOS Multicast(多址广播帧)情况, (d).综合统计区
该区位于窗口的右半部分,对所监测的通信量进行综合汇总统计,包括其他3个工作区中的相关数据,而且更加具体、详细。 2)捕获和分析数据包
(三)利用windows 2000 IPSec VPN协议加密用户登陆数据包
(1)在[本地安全设置] 窗口中选择[IP安全策略],双击[安全服务器]。 (2)单击[编辑]按钮,选择“身份验证方法”进行编辑。
(3)单击[确定]按钮,将出现[身份验证方法属性]对话框。然后选择[此字串用俩保护密钥交换],然后单击[确定]按钮。
(4)返回[本地安全设置]窗口,右击[安全服务器]选择[指派]命令。
(5)客户端登录 http服务器时输入的用户名和密码,通过[Microsoft网络监视器]捕获的结果。
(6)在启用IPSec后,通过[Microsoft网络监视器]捕获的结果,只能显示应用ESP协议的密文信息,看不到明文。
实训二:木马的攻击与防范
实训第一部分:灰鸽子木马攻击与防范 一、实训目的
通过对灰鸽子木马的练习,理解和掌握灰鸽子木马传播和运行的机制;通过手动删除灰鸽子木马,掌握检查灰鸽子木马和删除灰鸽子木马的技巧,学会防御灰鸽子木马的相关知识,加深对灰鸽子木马的安全防范意识。 二、介绍
1、什么是木马?
木马的全称为特洛伊木马。木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具有破坏、删除和修改文件、发送密码、记录键盘、实施Dos攻击甚至完全控制计算机等特殊功能的后门程序。 2、灰鸽子木马
灰鸽子是国内一款著名木马程序。比起前辈冰河、黑洞来,灰鸽子可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。 三、木马原理
一个完整的木马系统由硬件部分、软件部分和具体连接部分组成。
(1) 硬件部分:建立木马连接所必须的硬件实体。包括控制端(对服务端进行远程控制的一方)、服务端(被控制端远程控制的一方)和Internet(数据传输的网络载体)。 (2) 软件部分:实现远程控制所必须的软件程序。包括控制端程序(控制端用以远程控制服务端的程序)、木马程序(潜入服务端内部,获取其操作权限的程序)和木马配置程序(设置木马程序的端口号、触发条件、木马名称等,使其在服务端藏得更隐蔽的程序)。
(3) 具体连接部分:通过Internet在服务端和控制端之间建立一条木马通道所必须的元素。 步骤
1.配置木马 2.传播木马 3.运行木马 4.泄露信息 5.建立连接 6.远程控制 四、实训环境 (1)局域网
(2)灰鸽子木马程序 五、实验内容和步骤
(1)利用灰鸽子控制端(客户端)程序生成服务器端程序
(2)将服务器端程序传给被攻击计算机,并在被攻击计算机上运行服务器端程序。 (3)利用灰鸽子控制端程序对受攻击计算机进行远程控制。 1)连接受攻击计算机
2)查看、复制、修改和删除受攻击计算机目录和文件 3)查看受攻击计算机系统信息
4)捕获受攻击计算机屏幕,遥控受攻击计算机 5)利用远程控制命令重启受攻击计算机 6)删除受攻击计算机中的木马 (4)灰鸽子木马的防范 1)安装最新的防病毒软件 2)手工清除灰鸽子木马
a)重新启动计算机后进入安全模式 b) 清除灰鸽子的服务
Ⅰ、打开注册表编辑器(点击\"开始\"-》\"运行\",输入\"Regedit.exe\",确定。),打开 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services注册表项。 Ⅱ、找到灰鸽子的服务项。 Ⅲ、删除整个灰鸽子项。 c)删除灰鸽子程序文件 d)重新启动计算机。
实训三 主机安全 一、实训目的
通过实训,掌握在Windows 2000系统中主机安全的实现过程 二、实训原理
1、CA认证中心?
所谓CA(Certificate Authority)认证中心,它是采用PKI(Public Key Infrastructure)公开密钥基础架构技术,专门提供网络身份认证服务,负责签发和管理数字证书,且具有权威性和公正性的第三方信任机构,它的作用就像我们现实生活中颁发证件的公司,如护照办理机构。目前国内的CA认证中心主要分为区域性CA认证中心和行业性CA认证中心,例如,广东省电子商务认证有限公司是由广东省人民政府批准建立的国内较为著名的一家区域性认证机构。
2、数字证书
数字证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。 数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。
3、公钥证书的产生过程
1、用户A利用算法产生私钥SKA和公钥PKA 2、将公钥PKA传给证书管理机构(CA) 3、CA用自己的私钥SKCA签字后就形成了A的公钥证书(记做CA),其中CA =ESKCA[T || IDA || PKA]
四、实训内容
在运行Windows 2000的ddd主机上安装和配置证书服务,并进行CA 证书的生成、安装和撤销等管理:在ccc和ddd主机上申请一个IPSee证书,并配置和使用IPSee进行这两个主机之间的通信。配置和使用IPSee进行主机的安全通信,ccc主机的IP为100.100.109.235/24;ddd主机的IP为100.100.108.235/24;连接两个子网的网关网络接口IP分别为100.100.109.254和100.100.108.254。
1、 在ddd主机上安装证书服务并配置成CA
(1) 以administrator身份登录到ddd主机上,单击【开始】|【设置】|【控制面板】
|【添加/删除程序】,选中【证书服务】复选框,出现提示消息,单击【确认】按钮。
(2) 在出现的Windows组件中,可看到证书服务的组件,单击【确认】按钮。 (3) 出现证书类型属性页,在此选择独立的CA单选按钮,单击【下一步】按钮。 (4) 选中【高级】复选框,单击【下一步】按钮。
(5) 出现公钥和私钥对,可看到许多CSPS,可设置密钥长度或使用安装在计算机上的现存密码、导入密码和查看证书。选中1.0,在【散列算法】列表框中选择SHA-1,在【密钥长度】下拉列表中选择【默认】,单击【下一步】按钮。
(6) 出现CA标识信息页面,输入CA的相关信息,单击【下一步】按钮。
(7) 出现数据存储位置页面,在此可以看到包含证书数据库及日志文件内容的文件
夹存储在引导分区。若引导分区的容量有限,则需另外指定存放位置。单击【下一步】按钮。
(8) 出现微软证书服务消息框,指出IIS正在运行,并警告若要继续操作,就必须停止IIS,单击【下一步】按钮。
(9) 在进行软件安装及配置时出现配置组件提示,单击【确定】按钮,关闭【控制面板】。
2、在ddd主机上进行证书的生成、安装和撤销
(1) 在【管理工具】中的【证书服务】中,运行【申请证书】文件夹。
(2) 利用【开始】|【运行】命令,打开【运行】对话框,输入http://ddd/certsrv,然后单击【确定】按钮。
(3) 出现【Internet 连接向导】,单击【下一步】按钮。 (4) 出现【设置我的连接】,单击【通过LAN连接】单选按钮,单击【下一步】按钮。
(5) 出现【LAN配置】,清除【自动发现代理服务器】复选框,单击【下一步】按钮。
(6) 出现【设置你的电子邮件账号】,单击【否】单选按钮,单击【下一步】按钮。 (7) 出现 Internet Explorer并显示证书服务登记页面,单击【请求证书】单选按钮,单击【下一步】按钮。
(8) 出现选择请求类型页面,选择【证书请求】单选按钮,单击【下一步】按钮。 (9) 出现用户证书信息页面,单击【更多】选项,所选择的CSP,单击【提交】按钮。
(10) 出现证书使用页面,返回证书管理单元,会发现有一个证书列于详细资料窗口。若没有,按F5进行页面刷新。
(11) 双击详细资料窗口中的证书,出现【证书】对话框。
(12) 打开【详细】选项卡,单击【显示】下拉列表框顶部的信息,框的底部可以看到所输入的CA信息,单击【确定】按钮。
(13) 将证书服务管理单元最小化,返回资源管理器。单击超链接安装这个证书,显示成功安装证书信息,关闭资源管理器。
(14) 返回服务管理单元,选择【详细】资料窗口中的证书。 (15) 单击【激活】|【所有任务】|【撤销证书】,出现【撤销证书】对话框,选择【密钥】确认,然后单击【确定】按钮。
(16) 在控制台树中,单击【撤销证书】文件夹,在【详细】资料窗口中出现所撤销的证书。
(17) 单击【激活】|【所有任务】,然后单击【发布】按钮,在【证书撤销列表】对话框中显示原来的列表仍然有效,单击【确定】按钮。 (18) 关闭【证书管理单元】,单击【开始】|【运行】,输入到certsrv目录的URL,单击【确定】按钮。
(19) 出现IE并显示证书服务登记页,单击【从CA证书后证书撤销列表中获取】单选按钮,单击【确定】按钮。
(20) 单击超链接从最近的证书撤销列表中下载,出现【文件下载】对话框,单击【从当前位置打开文件夹】单选按钮,单击【确定】按钮。
(21) 出现【证书撤销】对话框,单击【撤销列表】选项卡,在【证书撤销】对话框中单击显示出的选项。在该选项显示的项目中:撤销证书的序列号、证书撤回日期和证书撤回原因,单击【确定】按钮。
3、创建IPSee策略 (1) 打开“IP安全策略管理”( 【开始】【|运行】,然后在文本框中输入“secpol.msc”。 (2) 右击【本地计算机上的IP安全策略】,然后单击【创建IP安全策略】,单击【下一步】,然后为策略输入一个名称,例如“my first ipsec”。
(3) 单击【激活默认响应规则】复选框,将其清除,然后单击【下一步】。 (4) 单击【完成】。
4、创建一个从ccc到ddd的筛选器列表
(1) 在新策略属性中,单击以清除【使用添加向导】复选框,然后单击【添加】以创建一个新的规则。
(2) 在【IP筛选器列表】选项卡上,单击【添加】。
(3) 为筛选器列表键入一个合适的名称,单击以清除【使用添加向导】复选框,然后单击【添加】。
(4) 在【源地址】区域,单击【一个特定的IP子网】,然后填写ccc主机的【IP地址】和【子网掩码】。
(5) 在【目标地址】区域,单击【一个特定的IP子网】,然后填写ddd主机的【IP地址】和【子网掩码】。
(6) 单击以清除【镜像】复选框。
(7) 在【协议】选项卡中,确保协议类型设置为【任何】。
(8) 如果希望为筛选器键入一个说明,请单击【说明】选项卡。一般来说,为筛选器取一个与筛选器列表相同的名称是一种好的做法。当隧道为活动状态时,筛选器名称显示在IPSee镜像中。 (9) 单击【确定】,然后单击【关闭】。 5、创建一个从ddd到ccc的筛选器列表
(1)在【IP筛选器列表】选项卡上,单击【添加】。
(2)为筛选器列表键入一个合适的名称,单击以清除【使用添加向导】复选框,然后单击【添加】。
(3)在【源地址】中,单击【一个特定的IP子网】,然后填写ddd主机的【IP地址】和【子网掩码】。
(4)在【目标地址】中,单击【一个特定的IP子网】,然后填写ccc主机的【IP地址】和【子网掩码】。
(5)单击以清除【镜像】。
(6)如果希望为筛选器键入一个说明,单击【说明】选项卡。 (7)单击【确定】,然后单击【关闭】。 6、为ccc到ddd隧道配置一个规则
(1)在【IP筛选器列表】选项卡中,单击创建的筛选器列表(从ccc到ddd)。
(2)在【隧道设置】选项卡中,单击【隧道终结点由此IP地址指定】框,然后输入“100.100.108.254”。
(3)在【连结类型】选项卡中,单击【所有网络连接】。
(4)在【筛选器操作】选项卡中,单击以清除【使用添加向导】复选框,然后单击【添加】以创建一个新的筛选器操作,因为默认操作允许明文形式地输入通信量。让【协商安全】选项保持为选中状态,单击以清除【接受不安全的通讯,但总是使用IPSee响应】复选框。只有这样做才能确保安全操作。 (5)单击【添加】,选中【高(ESP)】选项。 (6)单击【确定】,在【常规】选项卡中,为新的筛选器操作输入一个名称,然后单
击【确定】。
(7)选择刚创建的筛选器操作。
(8)在【身份验证方法】选项卡中,配置希望的身份验证方法。 (9)单击【关闭】。
7、为ddd到ccc隧道配置一个规则
(1)在IPSee策略属性中,单击【添加】以创建一个新的规则。
(2)在【IP筛选器列表】选项喀中,单击创建的筛选器列表(从ddd到ccc)。
(3)在【隧道设置】选项卡中,单击【隧道终结点由此IP地址指定】框,然后输入“100.100.109.254”。
(4)在【连结类型】选项卡中,单击【所有网络连接】。 (5)在【筛选器操作】选项卡中,单击创建的筛选器操作。
(6)在【身份验证方法】选项卡中,配置在第一个规则中使用的同一方法。 (7)单击【关闭】,确保所创建的这两个规则在策略中都已启动,然后单击【关闭】。 8、实际测试
(1)在ccc上ping另一台计算机ddd。\\>ping ddd (2)单击【开始】|【运行】,在出现的文本框中输入“ipsecmon”,单击【确定】按钮。 (3)单击【管理工具】|【网络监视器】,单击【捕获】|【网络】,然后单击【W2K外部接口】进行捕获。
(4)尝试ping该计算机。在建立IPSee隧道的过程中,第一部分ICMP回应数据包可能会超时。如果ping尝试不成功,请检查安全日志和系统日志。
(5)如果ping尝试成功,停止【网络监视器】捕获,并查看一下ICMP通信量是以明文形式发送的,还是只能看到ISAKMP和IPSec协议数据包。检查IP安全监视器,看是否已使用创建的ccc到ddd的筛选器创建了一个SA。另外还要检查安全日志,这时应当能够看到Event ID 541(IKE安全关联已建立)。 (6)在命令提示符下再次输入“ipconfig”,会看到在隧道使用期间没有其他TCP/IP接口,这是因为IPSec在实际保护着通过网关外部接口的通信量。
实训四 防火墙 三、实训目的
通过实训深入理解防火墙的功能和工作原理,熟悉天网防火墙个人版的配置和使用 四、实训原理
1、 防火墙的功能
防火墙由于处于网络边界的特殊位置,因而被设计集成了非常多的安全防护功能和网络连接管理功能。
1) 访问控制功能 2) 防止外部攻击功能 3) 地址转换功能 4) 日志与报警功能 5) 身份认证功能 2、 防火墙的工作原理
防火墙是一种访问控制技术,位于可信和不可信网络之间,通过设置一系列安全规则对两个网络之间的通信进行控制,检测交换信息,防止对重要信息资源的非法存取和访问,以达到保护系统的目的。 防火墙的实现技术
1) 过滤技术 2)应用代理技术 3)状态检测技术
3、 天网防火墙个人版简介
天网防火墙个人版Sky Net FireWall(以下将会简称为天网防火墙)是由天网安全实验室研发制作给个人计算机使用的网络安全程序工具。
天网防火墙是国内外针对个人用户最好的中文软件防火墙之一,在目前Internet网际网络受攻击案件数量直线上升的情况下,您随时都可能遭到各种恶意攻击,这些恶意攻击可能导致的后果是您的上网账号被窃取、冒用、银行账号被盗用、电子邮件密码被修改、财务数据被利用、机密档案丢失、隐私曝光等等,甚至黑客(Hacker)或刽客(Cracker)通过远程控制删除了您硬盘上所有的资料数据,整个计算机系统架构全面崩溃。为了抵御黑客(Hacker)或刽客(Cracker)的攻击,建议您在您的个人计算机上安装一套天网防火墙个人版系统,天网防火墙个人版会帮您拦截一些来历不明、有害敌意访问或攻击行为。
三、实验环境 1、 局域网
2、 天网防火墙软件
四、实训内容和步骤
任务一:天网防火墙个人版的安装
第一步,选择安装的路径,天网防火墙个人版预设的安装路径是C:\\Program Files\\SkyNet\\FireWall文件夹,但是您也可以通过单击右边的“浏览”按钮来自行设定安装的路径。
在设定好安装的路径后程序会提示您建立程序组快捷工具栏方式的位置,您只要选择“下一步”就可以了。
若您尚有不能确定所有程序尚未完全关闭,您也可以在安装过程中选择“取消”安装,您只要选择“退出”就可以了。
若继续安装的,下一步接着是一个复制档案的过程,在复制档案完成后系统会提示您必须重新激活计算机,安装完成的天网防火墙个人版程序才会生效。
程序复制完毕之后,安装程序会调出防火墙设置向导帮助用户合理的设置防火墙。用户可以跟着它一步一步设置好合适自己使用的防火墙规则。
最后,依提示重新启动计算机即可。 任务二 系统设置
在防火墙的控制面板中点击“系统设置”按钮 即可展开防火墙系统设置面板。 启动设置:选中开机后自动启动防火墙,天网个人版防火墙将在操作系统启动的时候自动启动,否则天网防火墙需要手工启动。
防火墙自定义规则重置:占击该按钮,防火墙将弹出窗口 如果确定,天网防火墙将会把防火墙的安全规则全部恢复为初始设置,你对安全规则的修改和加入的规则将会全部被清除掉。
防火墙设置向导:为了便于用户合理的设置防火墙,天网防火墙个人版专门为用户设计了防火墙设置向导。用户可以跟随它一步一步完成天网防火墙的合理设置。
应用程序权限设置:勾选了该选项之后,所有的应用程序对网络的访问都默认为通行不
拦截。这适合在某些特殊情况下,不需要对所有访问网络的应用程序都做审核的时候。(譬如在运行某些游戏程序的时候)
局域网地址:设置你在局域网内的地址。
日志保存:选中每次退出防火墙时自动保存日志,当你退出防火墙的保护时,天网防火墙将会把当日的日志记录自动保存到SkyNet/FireWall/log文件下,打开文件夹便可查看当日的日志记录。
任务三 安全级别设置
天网个人版防火墙的缺省安全级别分为低、中、高三个等级,默认的安全等级为中级,其中各等级的安全设置说明如下:
低:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。计算机将完全信任局域网,允许局域网内部的机器访问自己提供的各种服务(文件、打印机共享服务)但禁止互联网上的机器访问这些服务。
中:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务(文件、打印机共享服务),局域网和互联网上的机器将无法看到本机器。
高:所有应用程序初次访问网络时都将询问,已经被认可的程序则按照设置的相应规则运作。禁止局域网内部和互联网的机器访问自己提供的网络共享服务(文件、打印机共享服务),局域网和互联网上的机器将无法看到本机器。除了是由已经被认可的程序打开的端口,系统会屏蔽掉向外部开放的所有端口。
任务四 IP规则设置 1、缺省IP规则介绍
IP规则是针对整个系统的网络层数据包监控而设置的。利用自定义IP规则,用户可针对个人不同的网络状态,设置自己的IP安全规则,使防御手段更周到、更实用。用户可以点击“自定义IP规则”键 或者在“安全级别”中点击 进入IP规则设置界面。
2、自定义IP规则 简单的说,规则是一系列的比较条件和一个对数据包的动作,就是根据数据包的每一个部分来与设置的条件比较,当符合条件时,就可以确定对该包放行或者阻挡。通过合理的设置规则就可以把有害的数据包挡在你的机器之外。
关于规则编辑的说明:
点击“增加”按钮 或选择一条规则后按“修改”按钮,就会激活编辑窗口。 (1)首先输入规则的“名称”和“说明”,以便于查找和阅读。 (2)然后,选择该规则是对进入的数据包还是输出的数据包有效。 (3)“对方的IP地址”,用于确定选择数据包从那里来或是去哪里,这里有几点说明: “任何地址”是指数据包从任何地方来,都适合本规则, “局域网网络地址”是指数据包来自和发向局域网, “指定地址”是你可以自己输入一个地址,“指定的网络地址”是你可以自己输入一个网络和掩码。
(4)除了录入选择上面内容,还要录入该规则所对应的协议
(5)当一个数据包满足上面的条件时,你就可以对该数据包采取行动了: ‘通行’指让该数据包畅通无阻的进入或出去。 ‘拦截’指让该数据包无法进入你的机器 ‘继续下一规则’指不对该数据包作任何处理,由该规则的下一条同协议规则来决定对
该包的处理。
(6)在执行这些规则的同时,还可以定义是否记录这次规则的处理和这次规则的处理的数据包的主要内容,并用右下脚的“天网防火墙个人版”图标是否闪烁来“警告”,或发出声音提示。
任务四 应用自定义规则防止常见病毒 1、防范冲击波
冲击波它是利用WINDOWS系统的RPC服务漏洞以及开放的69、135、139、445、4444端口入侵。
防范方法:就是封住以上端口
上图为封住69端口,其他端口依次类推
2、防范冰河木马
冰河,一种木马病毒,它使用的是UDP协议,默认端口为7626,只要在防火墙里把它给封了,设置方法同上。
实训五 杀毒软件的使用 一、 实训目的和要求
学会安装杀毒软件和使用杀毒软件,理解计算机病毒的触发机制,通过对各种常用杀毒软件的分析比较,掌握各自的特点,能根据实际情况选择使用的杀毒软件进行病毒的防范。 二、实训环境
Windows系列操作系统。 三、 原理
计算机病毒触发机制
(1) 时间触发 包括特定的时间触发、染毒后累计工作时间触发、文件写入时间触发等。
(2) 键盘触发 包括击键次数触发、组合键触发、热启动触发等。 (3) 感染触发 包括运行感染文件个数触发、感染序数触发等。 (4) 启动触发 将机器的启动次数作为触发条件。
(5) 访问磁盘次数触发 将对磁盘访问的次数作为触发条件。 (6) 调用中断功能触发 将中断调用次数作为触发条件。
(7) CPU型号/主板型号触发 以预定CPU型号/主板型号作为触发条件。 计算机病毒的组成结构 虽然计算机病毒的种类很多,但通过分析现有的计算机病毒,发现几乎所有的计算机病毒都是由3个部分组成,即引导模块、传染模块和表现模块。 (1)引导模块
负责将病毒引导到内存,并向系统申请一定的存储空间,对相应的存储空间实施保护,以 防止其他程序覆盖,并且修改系统的一些功能入口,在这些入口处引入病毒传染模块和病毒 表现模块。 (2)传染模块
他是整个病毒程序的核心。传染模块又分两部分:传染条件判断部分和传染部分。传染条 件判断部分的作用是判断是否对某个程序进行传染,即病毒的传染条件是否得到满足。不同病毒的传染的条件和传染的对象都是不同的。但所有的病毒都有一定的传染条件,只有在条件满足时,才能进行传染。传染部分负责实施病毒的传染过程。即当传染条件满足时,传染部分就把病毒程序复制到传染目标中去。 (3)表现模块
此模块包括两部分:病毒触发条件判断和病毒表现。 为了达到病毒的隐蔽性,病毒只有在其条件满足时才运行其表现部分。在系统调用入口的病毒触发条件判断部分,根据病毒设计者的意图判断是否满足各种条件:例如特定的日期、特定的用户击键组合等,在满足条件后,调用其具体表现部分。 计算机病毒的传染 四、 实训内容
1、上网查找各种杀毒软件资料,并进行横向比较。 (1) 64位防病毒软件KV2OO6
2005年9月6日.江民科技发布了KV2O06防病毒软件,这是一款兼容32位系统的64位防病毒软件。
KV2006采用BOOTSCAN技术可以在Windows启动前即开始查杀病毒.并在清除病毒文件后对遭到破坏的系统注册表进行恢复。针对目前u盘、移动硬盘.以及MP3、数码相机等数码产品经常接入电脑进行数据交换的现状,KV2O06在移动设备接入时自动进行病毒查杀, KV2O06还会在扫描过程中自动监测用户工作状态发现用户处于工作状态会自动降速.释放系统资源。
此外.KV2OO6还具备父母控制(不良网站)进程查看,共享查看、系统漏洞检查.智能垃圾邮件识别.防范木马监听键盘消息等功能。 (2) NAV企业版9.0防病毒软件
NAV是目前世界上市场占有率最高的防病毒软件.其自动防护功能可以不间断地提供对病毒的监视,在病毒被检测出后立即显示警告信息。NAV企业版9.0防病毒软件的主要功能是:扫描POP3、电子邮件及其附件;防止蠕虫通过电子邮件传播;确保虚拟专用网络连接不受病毒感染;自动查杀病毒、蠕虫和特洛伊木马;提供自动和即时安全更新;集中安装、配置和维护。
在传统的病毒码比对方式基础上.Symantec公司开发了2种启发式扫描技术来监视疑似病
毒。一种是Bloodhound(侦探)技术,可检测和处理高达80%的新型和未知可执行文件病毒;另一种是Bloodhound Macro(宏侦探)技术.检测并处理90%以上的新型和未知宏病毒。神经网络技术可检测和修复未知引导型病毒。借助该技术,NAV防病毒软件可监测到90%以上的未知引导型病毒。借助宏病毒自动分析修复技术.NAV用户可在最短时间获得处理未知病毒的引擎和定义码。
Striker32技术可以搜索出具有多种变形、最复杂和难以检测的计算机病毒.解决针对目前`Windows 95/98/NT/2000/XP等32位操作系统的变形病毒。
通过禁止运行未审定的Word或Excel,MVP防止宏病毒技术可以保证宏病毒不进入系统。 (3)瑞星杀毒软件网络版2006
它是一款为中小型企业网络环境量身定做的杀毒软件,既可以在服务器端对整个小型网络中的所有节点进行杀毒防范,又可对网络中任一节点的单机进行安全防护,减轻了网络管理员的工作量和工作强度。
轻松初装 安装瑞星杀毒软件网络版2006时就有“安装瑞星杀毒软件客户端”,“安装系统中心组件”,“安装多网段代理”等选项。瑞星网络版对局域网内的机器采用的“网络黑名单列表”功能值得赞赏,这将能够有效识别出局域网中感染并发送病毒的机器,并通过网络黑名单功能阻止病毒攻击,为企业局域网用户提供了防止病毒通过网络传播感染的最佳方法。 网络管理 既然是网络版,瑞星的远程化管理能力特别强,而且特别方便网络管理员的管理。 在线防御 在上网过程中当有善意或恶意的程序试图修改注册表项,注册表监控会自动进行拦截,并提示用户是否同意修改。通过注册表监控功能,用户可了解修改注册表的进程名称及其处理结果,方便用户了解和管理哪些程序对注册表造成了影响。
闲中取效 其最人性化的功能就是可以通过屏保杀毒,计算机会在运行屏幕保护程序的同时,启动瑞星杀毒软件进行后台杀毒,充分利用计算机的空闲时间。
防恩未然 瑞星的系统漏洞扫描可以发现系统当前存在的漏洞和不安全设置,并及时修复这些问题。瑞星可以在Office 2000(及其以上版本)的文档打开之前对该文件进行查毒,将宏病毒封杀在宏启动之前。同时,瑞星安全助手还可以对IE 5(及其以上版本)下载的控件在本地运行之前先行查毒.杜绝恶意代码通过IE下载的控件进行传播。 (4)金山毒霸2006
金山毒霸2006大大加强了对灰色软件、恶意共享软件、行为记录软件等的清除、防范力度,具备了应对目前在互联网上横行肆虐的黑客、木马、间谍程序以及恶意广告控件等的能力。 金山反间谍2006在原金山木马专杀的基础上进行重新研发,功能更加丰富强大,可查杀间谍程序、流氓软件、黑客工具、各种IE恶意插件及有害程序,是毒霸2006最大的亮点。 全方位扫描 这一模块包含扫描与修复两部分。在“扫描”标签下,可以选择“决速,全面和自定义”三种形式对漏洞、间谍软件及系统目录中的木马进行扫描,在扫描的同时将发现的病毒、间谍、木马进行清除,扫描完成后会向用户报告结果。
IE复功能 在“修复”标签下,可以修复被恶意程序修改的IE浏览器,包括被篡改默认首页或装入无法卸载的控件/插件,强制用户浏览广告等。
启动项清理 这项为用户提供了关于启动项的各种信息,包括运行入口、运行方式、发行商的名称及该启动项的名称或用途,用户完全可以自行决定是否清除某一启动项。 历史痕迹清理 使用这一功能可以清除所有用户操作电脑的历史痕迹,保护您的隐私不被泄漏。
文件粉碎器 用毒霸2006可以很轻松的将那些隐私文件彻底删除。
查杀手机病毒 毒霸可以将手机作为移动存储设备进行病毒扫描和查杀。毒霸2006加入了手机的病毒库,把从网上下载的手机应用程序或者文件导入手机之前,先检查一下,发现了手机病毒就立刻查杀。
二、安装和使用瑞星杀毒软件
1、 启动计算机,进入Windows操作系统。
2、 将瑞星杀毒软件光盘放入光驱内。若自动安装程序没有启动,则运行光盘根目录中的Autorun.exe,启动安装程序。
3、 在弹出的安装画面中,选择【安装瑞星杀毒软件】。
4、 在【语言选择】对话框中,选择需要安装的语言,单击【确定】开始安装。 5、 在安装界面中,单击【下一步】开始安装。 6、 阅读【最终用户许可协议】,选择【我接受】可进入下一步,选择【我不接受】则退出安装程序。
7、 在【检查序列号】窗口中,正确输入产品序列号,同时还需输入与该序列号相匹配的用户ID号,单击【下一步】继续,输入注册码,换取产品序列号和用户ID号。 8、 在瑞星杀毒软件中,增加了安装前的系统内存安全检查,以保证在安装时系统的安全和完整性,进入【瑞星系统内存扫描】窗口中,瑞星将自动检查内存。如果您需要跳过此功能,请按【跳过】,单击【下一步】继续安装。
9、 确认【程序组】的产品名称后,单击【下一步】。 10、 选择安装方式,可以选择默认的典型安装,也可以选择自定义安装,选择自定义安装可根据您的需要选择安装组件,单击【下一步】即开始复印文件,或进入【与瑞星关联】窗口。 11、 根据提示选择是否启动瑞星杀毒程序、瑞星监控中心、瑞星注册向导,按【完成】结束安装程序。 12、 进行升级。 进行杀毒。
因篇幅问题不能全部显示,请点此查看更多更全内容