【正文】 。執(zhí)行應(yīng)用程序!SHUT 退出木馬FILEGET 獲得遠(yuǎn)端文件EDTTCONF 編輯配置文件LIST列目錄VIEW 查看文件內(nèi)容REBOOT 重啟計算機(jī)五、實(shí)驗環(huán)境●VMWare●WindowsXP操作系統(tǒng)●VisualStudio編程環(huán)境實(shí)驗素材：experiments目錄下的simplehorse目錄。虛擬機(jī)：virtualmachine目錄下的WinXPVM目錄。 實(shí)驗步驟復(fù)制實(shí)驗文件到實(shí)驗的計算機(jī)上。其中，SocketListener目錄下是木馬Server端源代碼，SocketCommand目錄下是木馬Client端源代碼。程序源代碼在虛擬機(jī)的“D:\experiment\simplehorse”目錄下。用VisualStudio環(huán)境分別編譯這兩部分代碼編譯。生成的應(yīng)用程序時木馬被控制端，應(yīng)用程序是啟動了木馬的控制端。其使用步驟如下。運(yùn)行木馬被控制端在目標(biāo)機(jī)器上運(yùn)行，即啟動了木馬程序。為了演示效果，木馬程序沒有實(shí)現(xiàn)隱藏.運(yùn)行控制端程序在另一臺機(jī)器上運(yùn)行程序。測試CMD命令CMD命令用于遠(yuǎn)程執(zhí)行被控制端的系統(tǒng)命令，其使用格式為：CMD:xxx//xxx為具體的命令。注意中間沒有空格，且都是ASCII碼字符。例如，CMD:cmd，可以把控制端的dos窗口啟動起來。測試！SHUT命令該命令可以遠(yuǎn)程關(guān)閉程序。測試EDITCONF命令命令格式為：EDITCONF:x:yyy//x為１表示編輯，２表示編輯//yyy的內(nèi)容是增加到配置文件中的內(nèi)容測試LIST命令命令格式為：LIST:xxx//xxx表示需要查看的目錄名字其結(jié)果寫在控制端的Ｃ:\測試FILEGET命令命令功能是獲得遠(yuǎn)端文件內(nèi)容，并存儲到本地文件中。命令格式為：FILEGET:xxx//xxx為遠(yuǎn)端文件的名稱，必須為絕對地址附加要求：把文件存儲在filesave:指定的文件中。圖4.8為存儲在中。測試VIEW命令功能為查看遠(yuǎn)端文件的內(nèi)容，并存儲到Ｃ:\文件中。命令格式為：VIEW:xxx//xxx表示需要查看的文件名字其結(jié)果寫在控制端的Ｃ:\測試CD操作命令功能是打開或關(guān)閉遠(yuǎn)端機(jī)器的ＣＤ機(jī)艙門。命令格式為：CDOPEN//打開ＣＤ機(jī)艙門CDCLOSE//關(guān)閉ＣＤ機(jī)艙門（有些機(jī)器不支持命令關(guān)閉）測試REBOOT命令功能是重啟動遠(yuǎn)端機(jī)器。命令格式為：REBOOT//使被控制端機(jī)器重新啟動七、實(shí)驗總結(jié)通過參考實(shí)驗指導(dǎo)書基本上完成了本次試驗的相關(guān)要求，達(dá)到了試驗的相關(guān)目的，理解了木馬病毒的相關(guān)原理，及其一些木馬病毒的防范技術(shù)，木馬也是種病毒，它的作用是赤裸裸的偷偷監(jiān)視別人和數(shù)據(jù)等，木馬的作用比早期的電腦病毒更加有作用，更能夠直接達(dá)到使用者的目的，它的特點(diǎn)就是具有隱蔽性和非授權(quán)性。實(shí) 驗 報 告組別16姓名林靖皓同組實(shí)驗者實(shí)驗項目名稱實(shí)驗十防火墻實(shí)驗實(shí)驗日期第17周周二7,8節(jié)教師評語實(shí)驗成績指導(dǎo)教師張重慶一、實(shí)驗?zāi)康?1)通過實(shí)驗深入理解防火墻的功能和工作原理；(2)以“天網(wǎng)”防火墻為例熟悉配置個人防火墻；(3)以“天融信”防火墻為例熟悉配置企業(yè)級防火墻（選作）。二、實(shí)驗儀器(1)針對“天網(wǎng)”防火墻在Windows2000\2003\XP操作系統(tǒng)下，安裝“天網(wǎng)”防火墻的計算機(jī)；(2)針對“天融信”防火墻（選作）①一臺web服務(wù)器；②將網(wǎng)絡(luò)劃分為外網(wǎng)，內(nèi)網(wǎng)和DMZ網(wǎng)絡(luò)，要求：內(nèi)網(wǎng)可以訪問互聯(lián)網(wǎng)服務(wù)器對外網(wǎng)做映射，外網(wǎng)禁止訪問內(nèi)網(wǎng)；③接口分配為：ETH0接INTERNET，ETH1接內(nèi)網(wǎng)，ETH2接服務(wù)器區(qū)。三、實(shí)驗原理(1)包過濾技術(shù)包過濾是防火墻的最基本過濾技術(shù)，它對內(nèi)外網(wǎng)之間傳輸?shù)臄?shù)據(jù)包按照某些特征事先設(shè)置一系列的安全規(guī)則進(jìn)行過濾或篩選。包過濾防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)數(shù)據(jù)包中的信息與某些規(guī)則能符合，則允許或拒絕這個數(shù)據(jù)包穿過防火墻進(jìn)行傳輸。如果沒有一條規(guī)則能符合，則防火墻使用默認(rèn)規(guī)則，一般情況下，要求丟包。這些規(guī)則根據(jù)數(shù)據(jù)包中的信息進(jìn)行設(shè)置，包括：●IP源地址；●IP目標(biāo)地址；●協(xié)議類型（TCP包、UDP包和ICMP包）；●TCP或UDP包的目的端口、源端口；●ICMP消息類型；●TCP選項；●TCP包的序列號、IP校驗和等；●數(shù)據(jù)包流向：in或out；●數(shù)據(jù)包流經(jīng)的網(wǎng)絡(luò)接口；●數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP、IGMP等；●其他協(xié)議選項：ICMPECHO、ICMPECHOREPLY等；●數(shù)據(jù)包流向：in或out。因為包過濾只需對每個數(shù)據(jù)包與相應(yīng)的安全規(guī)則進(jìn)行比較，實(shí)現(xiàn)較為簡單，速度快、費(fèi)用低，并且對用戶透明，因而得到了廣泛的應(yīng)用。這種技術(shù)實(shí)現(xiàn)效率高，但配置復(fù)雜，易引起很多問題，對更高層協(xié)議信息無理解能力，而且不能徹底防止地址欺騙。包過濾技術(shù)防火墻原理如圖71所示。(2)地址翻譯NAT技術(shù)NAT即網(wǎng)絡(luò)地址翻譯技術(shù)，它能夠?qū)挝粌?nèi)網(wǎng)使用的內(nèi)部IP地址翻譯成合法的公網(wǎng)IP，使內(nèi)網(wǎng)使用內(nèi)部IP的計算機(jī)無須變動，又能夠與外網(wǎng)連接。、當(dāng)內(nèi)網(wǎng)主機(jī)要與外部網(wǎng)絡(luò)進(jìn)行通信，就要在網(wǎng)關(guān)處，由NAT將內(nèi)部IP地址翻譯為公網(wǎng)IP地址，從而在外部公網(wǎng)上正常使用。當(dāng)外部公網(wǎng)響應(yīng)的數(shù)據(jù)包返回給NAT后，NAT再將其翻譯為內(nèi)部的IP地址，發(fā)給內(nèi)網(wǎng)的主機(jī)，從而實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)與外網(wǎng)的正常通信，解決了IPv4地址不足的問題。同時，由于外網(wǎng)主機(jī)只能看到數(shù)據(jù)包來自NAT翻譯后的公網(wǎng)IP，而看不到內(nèi)網(wǎng)主機(jī)的內(nèi)部IP，所以NAT可保護(hù)及隱藏內(nèi)網(wǎng)計算機(jī)。NAT有三種類型：靜態(tài)NAT、動態(tài)地址NAT、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT。靜態(tài)NAT是將內(nèi)部網(wǎng)絡(luò)中的每個主機(jī)永久的映射成外部網(wǎng)絡(luò)中的某個合法的地址。而動態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上。(3)應(yīng)用級網(wǎng)關(guān)應(yīng)用級網(wǎng)關(guān)即代理服務(wù)器，代理服務(wù)器通常運(yùn)行在兩個網(wǎng)絡(luò)之間，它為內(nèi)部網(wǎng)的客戶提供HTTP、FTP等某些特定的因特網(wǎng)服務(wù)。代理服務(wù)器相對于內(nèi)部網(wǎng)的客戶來說是一臺服務(wù)器，對于外部網(wǎng)的服務(wù)器來說，它又相當(dāng)于客戶機(jī)。當(dāng)代理服務(wù)器接收到內(nèi)部網(wǎng)的客戶對某些因特網(wǎng)站點(diǎn)的訪問請求后，首先會檢查該請求是否符合事先制定的安全規(guī)則，如果允許，代理服務(wù)器會將此請求發(fā)送給因特網(wǎng)站點(diǎn)，從因特網(wǎng)站點(diǎn)反饋回的響應(yīng)信息再由代理服務(wù)器轉(zhuǎn)發(fā)給內(nèi)部網(wǎng)的客戶。代理服務(wù)器會將內(nèi)部網(wǎng)的客戶和因特網(wǎng)隔離。對于內(nèi)外網(wǎng)轉(zhuǎn)發(fā)的數(shù)據(jù)包，代理服務(wù)器在應(yīng)用層對這些數(shù)據(jù)進(jìn)行安全過濾，而包過濾技術(shù)與NAT技術(shù)主要在網(wǎng)絡(luò)層和傳輸層進(jìn)行過濾。由于代理服務(wù)器在應(yīng)用層對不同的應(yīng)用服務(wù)進(jìn)行過濾，所以可以對常用的高層協(xié)議做更細(xì)的控制。由于安全級網(wǎng)關(guān)不允許用戶直接訪問網(wǎng)絡(luò)，因而使效率降低，而且安全級網(wǎng)關(guān)需要對每一個特定的因特網(wǎng)服務(wù)安裝相應(yīng)的代理服務(wù)軟件，內(nèi)部網(wǎng)的客戶要安裝此軟件的客戶端軟件，此外，并非所有的因特網(wǎng)應(yīng)用服務(wù)都可以使用代理服務(wù)器。應(yīng)用級網(wǎng)關(guān)技術(shù)防火墻原理如圖72所示。(4)狀態(tài)檢測技術(shù)狀態(tài)檢測防火墻不僅僅像包過濾防火墻僅考查數(shù)據(jù)包的IP地址等幾個孤立的信息，而是增加了對數(shù)據(jù)包連接狀態(tài)變化的額外考慮。它在防火墻的核心部分建立數(shù)據(jù)的連接狀態(tài)表，將在內(nèi)外網(wǎng)間傳輸?shù)臄?shù)據(jù)包以會話角度進(jìn)行檢測，利用狀態(tài)表跟蹤每一個會話狀態(tài)。例如，某個內(nèi)網(wǎng)主機(jī)訪問外網(wǎng)的連接請求，防火墻會在連接狀態(tài)表中加以標(biāo)注，當(dāng)此連接請求的外網(wǎng)響應(yīng)數(shù)據(jù)包返回時，防火墻會將數(shù)據(jù)包的各層信息和連接狀態(tài)表中記錄的從內(nèi)網(wǎng)到外網(wǎng)每天信息相匹配，如果從外網(wǎng)進(jìn)入內(nèi)網(wǎng)的這個數(shù)據(jù)包和連接狀態(tài)表中的某個記錄在各層狀態(tài)信息一一對應(yīng)，防火墻則判斷此數(shù)據(jù)包是外網(wǎng)正常返回的響應(yīng)數(shù)據(jù)包，會允許這個數(shù)據(jù)包通過防火墻進(jìn)入內(nèi)網(wǎng)。按照這個原則，防火墻將允許從外部響應(yīng)此請求的數(shù)據(jù)包以及隨后兩臺主機(jī)間傳輸?shù)臄?shù)據(jù)包通過，直到連接中斷，而對由外部發(fā)起的企圖連接內(nèi)部主機(jī)的數(shù)據(jù)包全部丟棄，因此狀態(tài)檢測防火墻提供了完整的對傳輸層的控制能力。狀態(tài)檢測防火墻對每一個會話的記錄、分析工作可能會造成網(wǎng)絡(luò)連接的遲滯，當(dāng)存在大量安全規(guī)則時尤為明顯，采用硬件實(shí)現(xiàn)方式可有效改善這方面的缺陷。狀態(tài)檢測防火墻原理如圖73所示。 防火墻一般部署在內(nèi)外網(wǎng)的網(wǎng)絡(luò)邊界，對進(jìn)出內(nèi)網(wǎng)的數(shù)據(jù)包進(jìn)行規(guī)則匹配和過濾。硬件防火墻至少有兩個網(wǎng)絡(luò)接口，分別連接內(nèi)外網(wǎng)。此外，硬件防火墻一般都支持網(wǎng)絡(luò)接口的擴(kuò)展，可以支持對其他網(wǎng)絡(luò)的安全防護(hù)。第三個網(wǎng)絡(luò)接口所連接的網(wǎng)絡(luò)稱為DMZ區(qū)域。DMZ可以理解為一個不同于外網(wǎng)或內(nèi)網(wǎng)的特殊網(wǎng)絡(luò)區(qū)域，一般放置一些不含機(jī)密信息的公用服務(wù)器，比如Web等。這樣來自外網(wǎng)的訪問者可以訪問DMZ中的服務(wù)，但不可能接觸到存放在內(nèi)網(wǎng)中的機(jī)密或未公開信息等，即使DMZ中服務(wù)器受到攻擊或破壞，也不會對內(nèi)網(wǎng)中的機(jī)密信息造成影響。防火墻的網(wǎng)絡(luò)部署如圖74所示。當(dāng)規(guī)劃一個擁有DMZ的網(wǎng)絡(luò)時，可以確定以下6條基本訪問控制策略：(1)內(nèi)網(wǎng)可以訪問外網(wǎng)(2)內(nèi)網(wǎng)可以訪問DMZ(3)外網(wǎng)不能訪問內(nèi)網(wǎng)(4)外網(wǎng)可以訪問DMZ(5)DMZ不能訪問內(nèi)網(wǎng)(6)DMZ不能訪問外網(wǎng)四、實(shí)驗總結(jié) 當(dāng)然，在部署防火墻時也可以根據(jù)各機(jī)構(gòu)網(wǎng)絡(luò)的具體情況而靈活部署，主要目的在于使用防火墻的規(guī)則限制和過濾手段，對防火墻各網(wǎng)絡(luò)接口所連接的網(wǎng)絡(luò)進(jìn)行隔離和限制，保證各網(wǎng)絡(luò)之間數(shù)據(jù)傳輸?shù)陌踩?3 / 63