【正文】 將文件壓縮包中的 覆蓋C:\Snort\etc\ 安裝 MySql配置 mysql 解壓 ，并安裝?，F(xiàn)在可以測試 php腳本： 在 c:\apache2\htdocs目錄下新建 ： 〈 ?phpinfo()。選擇定制安裝，安裝路徑修改為 c:\apache 安裝程序會自動建立 c:\apache2目錄，繼續(xù)以完成安裝。 系統(tǒng)配置：操作系統(tǒng) windowsXP以上。該列表中至少包括源和目的 IP 地址、源和目的端口號、 TCP序列號信息，以及與該特定會話相關的每條 TCP/UDP 連接的附加標記。 包過濾防火墻使用的過濾方法可分為： 簡單包過濾技術在檢查數(shù)據(jù)包報頭時，只是根據(jù)定以好的過濾規(guī)則集來檢查所有進出防火墻的數(shù)據(jù)包報頭信息，并根據(jù)檢查結(jié)果允許或拒絕數(shù)據(jù)包，并不關心服務器和客戶機之間的連接狀態(tài)。 包過濾是所有防火墻中最核心的功能，與代理服務器相比，其優(yōu)勢是傳輸信息是時不占用網(wǎng)絡帶寬。 試設置如下規(guī)則： 17A）禁止局域網(wǎng)的某一臺主機和自己通信通信 B）禁止任何大于1023 的目標端口于本機連接， C）允許任何新來的 TCP 與主機 的 SMTP 連接 4）查看各個程序使用及監(jiān)聽端口的情況 可以查看什么程序使用了端口，使用哪個端口，是不是有可疑程序在使用網(wǎng)絡資源，如木馬程序，然后可以根據(jù)要求再自定義 IP 規(guī)則里封了某些端口以及禁止某些 IP訪問自己的機子等等。 C） IP 規(guī)則使用的各種協(xié)議，有 IP， TCP， UDP， ICMP， IGMP 五種協(xié)議，可以根據(jù)具體情況選用并設置，如開放 IP 地址的是 IP 協(xié)議， 使用的是 UDP 協(xié)議等。還有數(shù)據(jù)包方向的選擇，分為接收，發(fā)送，接收和發(fā)送三種，可以根據(jù)具體情況決定。試總結(jié)規(guī)則設置的順序， 3）增加設置防火墻規(guī)則 開放部分自己需要的端口。 【實驗步驟】 (有兩種可選方式， 以天網(wǎng)防火墻為例，學習防火墻的規(guī)則設置， 通過 winroute 防火墻學習使用規(guī)則設置，兩者均需安裝虛擬機 ) 虛擬機安裝與配置 驗證 virtualPC 是否安裝在 xp 操作系統(tǒng)之上，如果沒有安裝，從獲取相關軟件并安裝；從教師機上獲取 windows2021虛擬機硬盤 包過濾防火墻 winroute配置（可選） 1）從教師機上獲取 winroute 安裝軟件并放置在 windows2021 上安裝 2）安裝默認方式進行安裝，并按提示重啟系統(tǒng) 3）登陸虛擬機 ,打開 winroute 以 管 理 員 的 身 份 登 錄 ， 打 開 開始 WinRouteProWinRouteAdministration，輸入 IP地址或計算機名，以及 WinRoute管理員帳號（默認為 Admin）、密碼（默認為空） 4）打開菜單 SettingAdvancedPacketFilter5）在 PacketFilter 對話框中，選中 Anyinterface并展開雙擊 NoRule圖標，打開 AddItem對話框 在 Protocol下拉列表框中選擇 ICMP，開始編輯規(guī)則 配置 Destination： type為 Host,IPAddress 為 (x為座位號 )6）在 ICMPTypes中，選中 All 復選項在 Action 區(qū)域，選擇 Drop項 在 LogPacket 區(qū)域選中 LogintoWindow 其他各項均保持默認值，單擊 OK 單擊 OK，返回主窗口 7）合作伙伴間 ping對方 IP，應該沒有任何響應 打開菜單 ViewLogsSecurityLog,詳細查看日志記錄 15 禁用或刪除規(guī)則 8）用 WinRoute控制某個特定主機的訪問（選作） 要求學生在虛擬機安裝 ftp 服務器。 【實驗環(huán)境】 硬件 PC機一臺。 修改文件關聯(lián) 13 以文本文件的“文件關聯(lián)”為例，正常情況下，其對應的注冊表項和項值分別為： HKEY_CLASSES_ROOT\txtfile\shell\open\mand與 %SystemRoot%\system32\%1 但是某些木馬在安裝階段將項值改為“木馬程序路徑 \木馬程序名稱 %l”的形式，這樣，當用戶打開任何一個文本文件時，就啟動了木馬程序。 加載程序到啟動組 我們需要關注“開始”菜單中的啟動項，對應的文件夾是c:\DocumentsandSettings\用戶名 \「開始」菜單 \程序 \啟動。 木馬常用的自啟動技術： 為了達到長期控制目標主機的目的，當主機重啟之后必須讓木馬程序再次運行，這樣就需要木馬具有一定的自啟動能力。這樣的木馬具備很多新特點，如不占用端口、使用戶難以發(fā)覺等。 木馬常用的隱藏技術： 使用特殊的手段，在一個端口上同時綁定兩個 TCP 或者 UDP 連接（比如 80 端口的 HTTP），以達到隱藏端口的目的。正確的去除 方法如下： 運行 ； 找到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun； 將 patch項刪除（或者 explore項）； 重新啟動機器后刪除 Windows 系統(tǒng)目錄下的 （或者）即可。同時，你可以檢查 Windows 系統(tǒng)注冊表， NetBus 會在下面路徑中加入其自身的啟動項： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunNetBus 通過該注冊項實現(xiàn) Windows 啟動時的自動啟動。 NetBus 服務器端程序是放在 Windows 的系統(tǒng)目錄中的，它會在Windows 啟動時自動啟動。 【背景知識】 NetBus 由兩部分組成：客戶端程序（ ）和服務器端程序（通常文件名為： ）。這里 啟動 ，查看當前運行進程所在位置，如圖所示： 3）木馬綜合查殺練習 使用冰刃 IceSword 查看木馬可能修改的位置：主要進行以下練習： 1）查看當前通信進程開放的端口。 10 如自動運行進程（下圖所示）、 IE 瀏覽器調(diào)運插件、任務計劃等： 2） 查看當前運行的進程， windows提供的任務管理器可以查看當前運行的進程，但其提供的信息不全面。 6 實驗二：計算機病毒及惡意代碼 【實驗目的】 練習木馬程序安裝和攻擊過程，了解木馬攻擊原理，掌握手工查殺木馬的基本方法，提高自己的安全意識?？梢耘袛嘀鳈C的存活性。 掃描主機向一個未打開的 UDP 端口發(fā)送一個數(shù)據(jù)包時，會返回一個 ICMP_PORT_UNREACH錯誤，通過這個就能判斷哪個端口是關閉的。 掃描程序發(fā)送一個 SYN 數(shù)據(jù)包，好像準備打開一個實際的連接并等待反應一樣。 利用 TCP 連接機制，通過系統(tǒng)提供的 connect（）調(diào)用，可以用來與任何一個感興趣的目標計算機的端口進行連接。在 Nmap 的幫助下加固網(wǎng)絡、搞清楚哪些系統(tǒng)和服務可能受到攻擊之后，下一步是從這些已知的系統(tǒng)和服務出發(fā)建立一個安全基準，以后如果要啟用新的服務或者服務器， 就可以方便地根據(jù)這個安全基準執(zhí)行。根據(jù) Nmap 提供的報告 (同時考慮網(wǎng)絡的安全要求 )，關閉不必要的服務，或者調(diào)整路由器的訪問控制規(guī)則 (ACL)，禁用網(wǎng)絡開放給外界的某些端口。如有必要，應該告訴同事你正在試驗端口掃描，因為掃描可能引發(fā) IDS 警報以及其他網(wǎng)絡問題。不要隨意選擇測試 Nmap 的掃描目標。最好將 Nmap掃描網(wǎng)絡的報告整理存檔，以便隨后參考。首先掃描內(nèi)部網(wǎng)絡看看 Nmap報告的結(jié)果，然后從一個外部 IP 地址掃描，注意防火墻、入侵檢測系統(tǒng) (IDS)以及其他工具對掃描操作的反應。 3）注意事項 也許你對其他端口掃描器比較熟悉，但 Nmap 絕對值得一試。當然， host_timeout 到底可以節(jié)省多少掃描時間，最終還是由網(wǎng)絡上被過濾的端口數(shù)量決定。 網(wǎng)絡設備上被 過濾掉的端口一般會大大延長偵測時間，設置超時參數(shù)有時可以顯著降低掃描網(wǎng)絡所需時間。 有些網(wǎng)絡設備，例如路由器和網(wǎng)絡打印機，可能禁用或過濾某些端口，禁止對該設備或跨越該設備的掃描。例如，,21,53110,30000v 命令，表示執(zhí)行一次 TCPSYN 掃描，啟用 verbose 模式，要掃描的網(wǎng)絡是 ，檢測 2 53 到 110 以及 30000 以上的端口 (指定端口清單時中間不要插入空格 )。指定端口范圍使用 p 參數(shù)，如果不指定要掃描的端口， Nmap默認掃描從 1 到 1024再加上 nmapservices列出的端口。 圖三 Nmap 支持豐富、靈活的命令行參數(shù)。 圖三是一次測試結(jié)果，很明顯， TCPSYN 掃描速度要超過TCPconnect()掃描。 TCPSYN 掃描創(chuàng)建的是半打開的連接，它與 TCPconnect()掃描的不同之處在于， TCPSYN掃描發(fā)送的是復位 (RST)標記而不是結(jié)束 ACK標記(即， SYN， SYNACK，或 RST):如果遠程主機正在監(jiān)聽且端口是打開的，遠程主機用 SYNACK 應答， Nmap發(fā)送一個 RST。在 TCPconnect()掃描中，掃描器利用操作系統(tǒng)本身的系統(tǒng)調(diào)用打開一個完整的 TCP 連接 —— 也就是說，掃描器打開了兩個主機之間的完整握手過程 (SYN， SYNACK，和 ACK)。 Ping 掃描通過發(fā)送 ICMP(InterControlMessageProtocol，Inter 控制消息協(xié)議 )回應請求數(shù)據(jù)包和 TCP 應答 (Acknowledge，簡寫 ACK)數(shù)據(jù)包，確定主機的狀態(tài)，非常適合于檢測指定網(wǎng)