學(xué)習(xí)情境 10 網(wǎng)絡(luò)安全管理與病毒防范資料

計(jì)算機(jī)網(wǎng)絡(luò)與綜合布線

學(xué)習(xí)情境10網(wǎng)絡(luò)安全管理與病毒防范主編：吳大軍馬金忠副主編：郝建忠等1學(xué)習(xí)情境10網(wǎng)絡(luò)安全管理與病毒防范隨著Internet的迅速發(fā)展和應(yīng)用的普及，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)深入到教育、政府、商業(yè)和軍事等各個(gè)領(lǐng)域，成為了一種重要的基礎(chǔ)設(shè)施。但近年來大規(guī)模的安全事件接連發(fā)生，互聯(lián)網(wǎng)上病毒、拒絕服務(wù)攻擊、網(wǎng)絡(luò)欺詐等新的攻擊手段層出不窮，導(dǎo)致泄密、數(shù)據(jù)破壞、業(yè)務(wù)無法正常進(jìn)行等事件屢屢發(fā)生，甚至導(dǎo)致互聯(lián)網(wǎng)癱瘓，造成無法估量的經(jīng)濟(jì)損失。因此網(wǎng)絡(luò)安全已引起世界各國(guó)政府、企業(yè)、研究機(jī)構(gòu)以及個(gè)人的高度關(guān)注。本情境的任務(wù)一首先介紹了SNMP協(xié)議以及Windows2003下SNMP的安裝與配置；任務(wù)二介紹了黑客常用的技術(shù)手段；任務(wù)三講述了安全衛(wèi)士和防病毒軟件的使用。學(xué)習(xí)情境10網(wǎng)絡(luò)安全管理與病毒防范任務(wù)10.1win2003下SNMP的安裝配置1任務(wù)10.2黑客技術(shù)基礎(chǔ)2任務(wù)10.3病毒防范與殺毒軟件3學(xué)習(xí)情境10網(wǎng)絡(luò)安全管理與病毒防范在Windows2003下安裝和配置SNMP協(xié)議。1.會(huì)安裝Windows操作系統(tǒng)的SNMP服務(wù)；2.會(huì)配置SNMP網(wǎng)關(guān)代理；3.會(huì)配置IPSec協(xié)議。。1任務(wù)10.1Win2003下SNMP的安裝配置1任務(wù)10.1Win2003下SNMP的安裝配置10.1.1相關(guān)知識(shí)110.1.2任務(wù)實(shí)施210.1.3任務(wù)評(píng)價(jià)310.1.4任務(wù)鞏固4任務(wù)10.1Win2003下SNMP的安裝配置10.1.1相關(guān)知識(shí)一、網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理分為兩類：第一類是網(wǎng)絡(luò)應(yīng)用程序、用戶賬號(hào)（如文件的使用）和存取權(quán)限（許可）的管理，它們都是與軟件有關(guān)的網(wǎng)絡(luò)管理問題；第二類是由構(gòu)成網(wǎng)絡(luò)的硬件所組成。包括工作站、服務(wù)器、網(wǎng)卡、路由器、網(wǎng)橋和集線器等，通常情況下這些設(shè)備都離你所在的地方很遠(yuǎn)。正是由于這個(gè)原因，如果當(dāng)設(shè)備發(fā)生問題時(shí)網(wǎng)絡(luò)管理員可以自動(dòng)地被通知的話，那么一切事情都好辦。但是路由器不會(huì)像你的用戶那樣，當(dāng)有一個(gè)應(yīng)用程序發(fā)生問題時(shí)就可以打電話通知你，即當(dāng)路由器擁擠時(shí)它并不能夠通知你。為了解決這個(gè)問題，廠商們已經(jīng)在一些設(shè)備中設(shè)立了網(wǎng)絡(luò)管理的功能，這樣你就可以遠(yuǎn)程地詢問它們的狀態(tài)，同樣能夠讓它們?cè)谝环N特定類型的事件發(fā)生時(shí)向你發(fā)出警告。這些設(shè)備通常被稱為“智能”設(shè)備。網(wǎng)絡(luò)管理通常分為四類，如表10-1所示。任務(wù)10.1Win2003下SNMP的安裝配置當(dāng)設(shè)計(jì)和構(gòu)造網(wǎng)絡(luò)管理的基礎(chǔ)結(jié)構(gòu)時(shí)，需要記住以下兩條網(wǎng)絡(luò)管理的原則：（1）由于管理信息而帶來的通信量不應(yīng)明顯地增加網(wǎng)絡(luò)的通信量。（2）被管理設(shè)備上的協(xié)議代理不應(yīng)明顯地增加系統(tǒng)處理的額外開銷，以至于該設(shè)備的主要功能被削弱。任務(wù)10.1Win2003下SNMP的安裝配置二、SNMP的定義簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SingleNetworkManagementProtocol，SNMP)首先是由Internet工程任務(wù)組織(InternetEngineeringTaskForce，IETF)的研究小組為了解決Internet上的路由器管理問題而提出的。SNMP被設(shè)計(jì)成與協(xié)議無關(guān)，所以它可以在IP、IPX、AppleTalk、OSI以及其他可能用到的傳輸協(xié)議上被使用。SNMP是一系列協(xié)議組和規(guī)范（見表102），它們提供了一種從網(wǎng)絡(luò)上的設(shè)備中收集網(wǎng)絡(luò)管理信息的方法。SNMP也為設(shè)備向網(wǎng)絡(luò)管理工作站報(bào)告問題和錯(cuò)誤提供了一種方法。任務(wù)10.1Win2003下SNMP的安裝配置從被管理設(shè)備中收集數(shù)據(jù)有兩種方法：一種是只輪詢（pollingonly）的方法，另一種是基于中斷（interruptbased）的方法。返回任務(wù)10.1Win2003下SNMP的安裝配置10.1.2任務(wù)實(shí)施1、SNMP的安裝2、SNMP的網(wǎng)管代理設(shè)置3、SNMP的安全性配置（1）創(chuàng)建篩選器列表（2）創(chuàng)建IPSec策略返回任務(wù)10.1Win2003下SNMP的安裝配置10.1.3任務(wù)評(píng)價(jià)返回任務(wù)10.1Win2003下SNMP的安裝配置10.1.4任務(wù)鞏固上網(wǎng)或者到圖書館查找資料，學(xué)習(xí)SNMP及IPSec協(xié)議并撰寫學(xué)習(xí)報(bào)告。返回學(xué)習(xí)情境10網(wǎng)絡(luò)安全管理與病毒防范安裝使用CainAbelv4.9軟件實(shí)現(xiàn)嗅探、掃描和破解。1.認(rèn)識(shí)什么是黑客；2.懂得黑客常用的技術(shù)；3.會(huì)安裝使用CainAbelv4.9軟件。1任務(wù)10.2黑客技術(shù)基礎(chǔ)1任務(wù)10.2黑客技術(shù)基礎(chǔ)10.2.1相關(guān)知識(shí)110.2.2任務(wù)實(shí)施210.2.3任務(wù)評(píng)價(jià)310.2.4任務(wù)鞏固4任務(wù)10.2黑客技術(shù)基礎(chǔ)10.2.1相關(guān)知識(shí)一、黑客的定義“黑客”一詞是由英語Hacker音譯出來的，是指專門研究、發(fā)現(xiàn)計(jì)算機(jī)和網(wǎng)絡(luò)漏洞的計(jì)算機(jī)愛好者，他們伴隨著計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展而產(chǎn)生和成長(zhǎng)。黑客對(duì)計(jì)算機(jī)有著狂熱的興趣和執(zhí)著的追求，他們不斷地研究計(jì)算機(jī)和網(wǎng)絡(luò)知識(shí)，發(fā)現(xiàn)計(jì)算機(jī)和網(wǎng)絡(luò)中存在的漏洞，喜歡挑戰(zhàn)高難度的網(wǎng)絡(luò)系統(tǒng)并從中找到漏洞，然后向管理員提出解決和修補(bǔ)漏洞的方法。任務(wù)10.2黑客技術(shù)基礎(chǔ)黑客不干涉政治，不被政治利用，他們的出現(xiàn)推動(dòng)了計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展與完善。黑客所做的不是惡意破壞，他們是一群縱橫于網(wǎng)絡(luò)上的大俠，追求共享、免費(fèi)，提倡自由、平等。黑客的存在是由于計(jì)算機(jī)技術(shù)的不健全，從某種意義上來講，計(jì)算機(jī)的安全需要更多黑客去維護(hù)。借用myhk的一句話“黑客存在的意義就是使網(wǎng)絡(luò)變得日益安全完善”任務(wù)10.2黑客技術(shù)基礎(chǔ)但是到了今天，黑客一詞已經(jīng)被用于那些專門利用計(jì)算機(jī)進(jìn)行破壞或入侵他人的代言詞，對(duì)這些人正確的叫法應(yīng)該是cracker，有人也翻譯成“駭客”，也正是由于這些人的出現(xiàn)玷污了“黑客”一詞，使人們把黑客和駭客混為一體，黑客被人們認(rèn)為是在網(wǎng)絡(luò)上進(jìn)行破壞的人。在黑客圈中，hacker一詞無疑是帶有正面的意義，例如，systemhacker熟悉操作系統(tǒng)的設(shè)計(jì)與維護(hù)，passwordhacker精于找出使用者的密碼，而computerhacker則是通曉計(jì)算機(jī)并讓它乖乖聽話的高手。黑客基本上是一項(xiàng)業(yè)余嗜好，通常是出于自己的興趣，而非為了賺錢或工作需要。任務(wù)10.2黑客技術(shù)基礎(chǔ)根據(jù)開放原始碼計(jì)劃創(chuàng)始人EricRaymond的解釋，hacker與cracker是分屬于兩個(gè)不同世界的族群，其基本差異在于hacker是有建設(shè)性的，而cracker則專門搞破壞。其實(shí)黑客的本意是整天到別人的空間或博客里逛的人，駭客才是現(xiàn)今“黑客”的意思。但由于“駭客”的“駭”（hài）和“黑客”的“黑”（hēi）音相似，所以被人們誤認(rèn)為在網(wǎng)絡(luò)上進(jìn)行破壞的人叫做“黑客”。本任務(wù)中“黑客”一詞均指該意義。任務(wù)10.2黑客技術(shù)基礎(chǔ)二、黑客常用的技術(shù)1.掃描（1）網(wǎng)絡(luò)安全掃描技術(shù)（2）主機(jī)安全掃描技術(shù)。通過對(duì)網(wǎng)絡(luò)的掃描，網(wǎng)絡(luò)管理員可以了解網(wǎng)絡(luò)的安全配置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。網(wǎng)絡(luò)管理員可以根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯(cuò)誤配置，在黑客攻擊前進(jìn)行防范。如果說防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)是被動(dòng)的防御手段，那么安全掃描就是一種主動(dòng)的防范措施，可以有效避免黑客攻擊行為，做到防患于未然。任務(wù)10.2黑客技術(shù)基礎(chǔ)2.嗅探嗅探(Sniffer)技術(shù)是網(wǎng)絡(luò)安全攻防技術(shù)中很重要的一種。對(duì)黑客來說，通過嗅探技術(shù)能以非常隱蔽的方式攫取網(wǎng)絡(luò)中的大量敏感信息。與主動(dòng)掃描相比，嗅探行為更難被察覺，也更容易操作。對(duì)安全管理人員來說，借助嗅探技術(shù)可以對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)控，并發(fā)現(xiàn)各種網(wǎng)絡(luò)攻擊行為。在交換網(wǎng)絡(luò)中，雖然避免了利用網(wǎng)卡混雜模式進(jìn)行的嗅探。但交換機(jī)并不會(huì)解決所有的問題，在一個(gè)完全由交換機(jī)連接的局域網(wǎng)內(nèi)，同樣可以進(jìn)行網(wǎng)絡(luò)嗅探。主要有以下三種可行的辦法：MAC洪水(MACFlooding)、MAC復(fù)制(MACDuplicating)和ARP欺騙，其中最常用的是ARP欺騙。任務(wù)10.2黑客技術(shù)基礎(chǔ)3.入侵這里介紹三種入侵行為及其防護(hù)策略。（1）木馬入侵（2）IIS漏洞入侵（3）網(wǎng)頁惡意代碼入侵木馬是廣大電腦愛好者最深惡痛絕的東西了，相信很多讀者都受到過它的騷擾。木馬有可能是黑客在已經(jīng)獲取我們的操作系統(tǒng)可寫權(quán)限的前提下，由黑客上傳的（如下面會(huì)提到的ipc$共享入侵）；也可能是我們?yōu)g覽了一些垃圾個(gè)人站點(diǎn)而通過網(wǎng)頁瀏覽感染的（利用了IE漏洞）；當(dāng)然，最多的情況還是我們防范意識(shí)不強(qiáng)，隨便運(yùn)行了別人發(fā)來的所謂的MM圖片、動(dòng)畫之類的程序或者是在不正規(guī)的網(wǎng)站上隨便下載軟件使用時(shí)而感染的。應(yīng)對(duì)措施：提高防范意識(shí)，不要隨意運(yùn)行別人發(fā)來的軟件。安裝木馬查殺軟件，及時(shí)更新木馬特征庫(kù)。由于寬帶越來越普及，給自己的Windows2000或是XP裝上簡(jiǎn)單易學(xué)的IIS，搭建一個(gè)不定時(shí)開放的ftp或是Web站點(diǎn)，相信是不少電腦愛好者所向往的，而且已經(jīng)有很多人這樣做了。但是IIS層出不窮的漏洞實(shí)在令人擔(dān)心。遠(yuǎn)程攻擊者只要使用webdavx3這個(gè)漏洞攻擊程序和telnet命令就可以完成一次對(duì)IIS的遠(yuǎn)程攻擊，在瀏覽網(wǎng)頁的時(shí)候不可避免地會(huì)遇到一些不正規(guī)的網(wǎng)站，它們經(jīng)常會(huì)擅自修改瀏覽者的注冊(cè)表，其直接體現(xiàn)便是修改IE的默認(rèn)主頁、鎖定注冊(cè)表、修改鼠標(biāo)右鍵菜單等。實(shí)際上絕大部分的網(wǎng)頁惡意代碼都是通過修改注冊(cè)表達(dá)到目的的，因此必須保護(hù)好自己的注冊(cè)表。應(yīng)對(duì)措施：安裝具有注冊(cè)表實(shí)時(shí)監(jiān)控功能的防護(hù)軟件，做好注冊(cè)表的備份工作。禁用RemoteRegistryService服務(wù)，不要上一些不該上的網(wǎng)站。任務(wù)10.2黑客技術(shù)基礎(chǔ)三、Cain&Abel4.9簡(jiǎn)介

Cain&Abel4.9是集掃描、嗅探和破解于一體的黑客軟件，可以破解屏保、PWL密碼、共享密碼、緩存口令、遠(yuǎn)程共享口令、SMB口令，支持VNC口令解碼、CiscoType7口令解碼、Base64口令解碼、SQLServer7.0/2000口令解碼、RemoteDesktop口令解碼、AccessDatabase口令解碼、CiscoPIXFirewall口令解碼、CiscoMD5解碼、NTLMSessionSecurity口令解碼、IKEAggressiveModePreSharedKeys口令解碼、Dialup口令解碼、遠(yuǎn)程桌面口令解碼等的綜合工具，還可以遠(yuǎn)程破解，可以掛字典以及暴力破解，其sniffer功能極其強(qiáng)大，幾乎可以以明文捕獲一切賬號(hào)口令，包括FTP，HTTP，IMAP，POP3，SMB，TELNET，VNC，TDS，SMTP，MSKERB5PREAUTH，MSN，RADIUSKEYS，RADIUSUSERS，ICQ，IKEAggressiveModePreSharedKeysauthentications等。返回任務(wù)10.2黑客技術(shù)基礎(chǔ)10.2.2任務(wù)實(shí)施一、下載安裝在http:///wificrack下載，共享區(qū)有4.9英文版和漢化補(bǔ)丁。

CAIN下有兩個(gè)程序，一個(gè)是CAIN主程序，一個(gè)是Abel服務(wù)程序。Abel服務(wù)程序需要手動(dòng)進(jìn)行安裝。正確安裝CAIN后從CAIN目錄下拷貝Abel.exe

和Abel.dll

到C:＼Windows＼System32目錄下，運(yùn)行Abel.exe安裝，并在服務(wù)里設(shè)置為自動(dòng)啟動(dòng)。任務(wù)10.2黑客技術(shù)基礎(chǔ)二、常用功能使用1.解密器任務(wù)10.2黑客技術(shù)基礎(chǔ)2.網(wǎng)絡(luò)任務(wù)10.2黑客技術(shù)基礎(chǔ)3.Traceroute任務(wù)10.2黑客技術(shù)基礎(chǔ)4.無線網(wǎng)絡(luò)返回任務(wù)10.2黑客技術(shù)基礎(chǔ)10.2.3任務(wù)評(píng)價(jià)返回任務(wù)10.2黑客技術(shù)基礎(chǔ)10.2.4任務(wù)鞏固上網(wǎng)或者到圖書館查找資料，學(xué)習(xí)黑客及其防御技術(shù)并撰寫學(xué)習(xí)報(bào)告。返回學(xué)習(xí)情境10網(wǎng)絡(luò)安全管理與病毒防范學(xué)習(xí)病毒防范技術(shù)并使用殺毒軟件。1.了解病毒、木馬等概念；2.會(huì)使用安全衛(wèi)士。1任務(wù)10.3病毒防范技術(shù)與殺毒軟件1任務(wù)10.3病毒防范技術(shù)與殺毒軟件10.3.1相關(guān)知識(shí)110.3.2任務(wù)實(shí)施210.3.3任務(wù)評(píng)價(jià)310.3.4任務(wù)鞏固4任務(wù)10.3病毒防范技術(shù)與殺毒軟件10.3.1相關(guān)知識(shí)一、病毒的定義病毒的定義在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中明確定義，計(jì)算機(jī)病毒(ComputerVirus)是指“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。而在一般教科書及通用資料中，病毒被定義為“利用計(jì)算機(jī)軟件與硬件的缺陷，由被感染機(jī)內(nèi)部發(fā)出的破壞計(jì)算機(jī)數(shù)據(jù)并影響計(jì)算機(jī)正常工作的一組指令集或程序代碼”。計(jì)算機(jī)病毒的特點(diǎn)是具有傳染性、隱蔽性、潛伏性和表現(xiàn)性。其一般傳播途徑包括硬盤、光盤和網(wǎng)絡(luò)。任務(wù)10.3病毒防范技術(shù)與殺毒軟件蠕蟲病毒是自包含的程序(或是一套程序)，它能傳播它自身功能的拷貝或它的某些部分到其他蠕蟲病毒的計(jì)算機(jī)系統(tǒng)中(通常是經(jīng)過網(wǎng)絡(luò)連接)。請(qǐng)注意，與一般病毒不同，蠕蟲不需要將其自身附著到宿主程序。蠕蟲有兩種類型：主計(jì)算機(jī)蠕蟲與網(wǎng)絡(luò)蠕蟲。主計(jì)算機(jī)蠕蟲完全包含在它們運(yùn)行的計(jì)算機(jī)中，并且使用網(wǎng)絡(luò)的連接僅將自身拷貝到其他的計(jì)算機(jī)中。主計(jì)算機(jī)蠕蟲在將其自身的拷貝加入到另外的主機(jī)后，就會(huì)終止它自身(因此在任意給定的時(shí)刻，只有一個(gè)蠕蟲的拷貝運(yùn)行)，這種蠕蟲有時(shí)也叫“野兔”，蠕蟲病毒一般是通過1434端口漏洞傳播。任務(wù)10.3病毒防范技術(shù)與殺毒軟件普通病毒和蠕蟲病毒的區(qū)別見表10_5任務(wù)10.3病毒防范技術(shù)與殺毒軟件三、木馬的定義“木馬”是一種經(jīng)過偽裝的欺騙性程序，它通過將自身偽裝吸引用戶下載執(zhí)行，從而破壞或竊取使用者的重要文件和資料。木馬程序與一般的病毒不同，它不會(huì)自我繁殖，也并不“刻意”地去感染其他文件，它的主要作用是向施種木馬者打開被種者電腦的門戶，使對(duì)方可以任意毀壞、竊取你的文件，甚至遠(yuǎn)程操控你的電腦。木馬與計(jì)算機(jī)網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件是有區(qū)別的。雖然二者在主要功能上都可以實(shí)現(xiàn)遠(yuǎn)程控制，但由于遠(yuǎn)程控制軟件是“善意”的控制，因此通常不具有隱蔽性。木馬則完全相反，木馬要達(dá)到的正是“偷竊”性的遠(yuǎn)程控制，因此如果沒有很強(qiáng)的隱蔽性，木馬簡(jiǎn)直就是“毫無價(jià)值”的。因此判別木馬與遠(yuǎn)程控制的兩個(gè)重要標(biāo)準(zhǔn)是其使用目的和隱蔽性。返回任務(wù)10.3病毒防范技術(shù)與殺毒軟件計(jì)算機(jī)木馬一般由兩部分組成，即服務(wù)端和控制端，也就是常用的C/S