第三章網(wǎng)絡(luò)安全基礎(chǔ)

網(wǎng)絡(luò)通信安全管理員教程

1第三章網(wǎng)絡(luò)安全基礎(chǔ)本章學(xué)習(xí)要求：了解各種Windows系統(tǒng)和Linux系統(tǒng)的安全機制；掌握如何安裝與配置Vmware虛擬機；了解網(wǎng)絡(luò)協(xié)議分析器的工作原理；掌握SnifferPro網(wǎng)絡(luò)協(xié)議分析器的使用方法；了解網(wǎng)絡(luò)安全編程的相關(guān)知識；掌握基本的網(wǎng)絡(luò)安全編程方法。23.1操作系統(tǒng)安全3.1.1操作系統(tǒng)安全概述操作系統(tǒng)的安全機制包括:硬件安全機制操作系統(tǒng)的安全標(biāo)識和鑒別訪問控制最小特權(quán)管理可信通路等。3（1）硬件安全機制安全操作系統(tǒng)的硬件安全機制，實質(zhì)上也是普通操作系統(tǒng)所要求的，計算機硬件安全的目標(biāo)是保證自身的可靠性和為系統(tǒng)提供基本安全機制。優(yōu)秀的硬件保護性能是高效、可靠的操作系統(tǒng)的基礎(chǔ)。硬件安全機制通常包括存儲保護、運行保護、I/O保護等。存儲保護是一個安全操作系統(tǒng)最基本的要求，主要是保護用戶在存儲器中的數(shù)據(jù)不受破壞。安全操作系統(tǒng)最重要的一點是實行分層設(shè)計，而運行域正是這樣一種基于保護環(huán)的等級式結(jié)構(gòu)。運行保護是指進(jìn)程嚴(yán)格按照運行域機制運行。I/O保護是操作系統(tǒng)功能中最復(fù)雜的一個功能，要尋找一個操作系統(tǒng)安全方面的缺陷，往往是從系統(tǒng)的I/O部分開始。一個安全的系統(tǒng)是把I/O賦予一個特權(quán)指令。用戶程序要想啟動I/O，必須請求操作系統(tǒng)代為啟動。4（2）操作系統(tǒng)的安全標(biāo)識和鑒別用戶標(biāo)識鑒別是操作系統(tǒng)提供的最外層保護措施。標(biāo)識就是系統(tǒng)對每一個用戶的身份都有一個特定的系統(tǒng)內(nèi)部可以標(biāo)識的標(biāo)記，這個標(biāo)記就是用戶標(biāo)識符。這個標(biāo)識在全系統(tǒng)唯一的。將用戶標(biāo)識符與用戶聯(lián)系起來的過程就是鑒別。（3）訪問控制操作系統(tǒng)的訪問控制涉及自主訪問控制和強制訪問控制兩個形式。自主訪問控制是基于對主體或主體所屬的主體組的識別，限制對客體的訪問。強制訪問控制是“強加”給訪問主體的。（4）最小特權(quán)管理所謂最小特權(quán)，指的是“在完成某種操作時所賦予網(wǎng)絡(luò)中每個主體（用戶或進(jìn)程）必不可少的特權(quán)”。最小特權(quán)原則則是指“應(yīng)限定網(wǎng)絡(luò)中每個主體所必需的最小特權(quán)，確保可能的事故、錯誤、網(wǎng)絡(luò)部件的篡改等原因造成的損失最小”。5

（5）可信通信可信通路也是路徑，是終端人員借以直接同可信計算機通信的一種機制，該機制只能由有關(guān)終端人員或可信計算機啟動，并且不能被不可信軟件所模仿。操作系統(tǒng)安全的實施將保護計算機硬件、軟件和系統(tǒng)數(shù)據(jù)，防止人為因素造成的故障和破壞。因此，提高操作系統(tǒng)本身的安全等級尤為重要。它包括如下幾個方面：①身份鑒別機制：實施強認(rèn)證方法，比如數(shù)字證書等。②訪問控制機制：實施細(xì)粒度的用戶訪問控制、細(xì)化訪問權(quán)限等。6③完整性：防止數(shù)據(jù)系統(tǒng)被惡意代碼比如病毒破壞，對關(guān)鍵信息進(jìn)行數(shù)字簽名技術(shù)保護。④系統(tǒng)的可用性：不能訪問的數(shù)據(jù)等于不存在，不能工作的業(yè)務(wù)進(jìn)程毫無用處。因此還要加強應(yīng)對攻擊的能力，比如病毒防、抵御黑客入侵等。（6）審計審計是一種有效的保護措施，它可以在一定程度上阻止對信息系統(tǒng)的威脅，并在系統(tǒng)監(jiān)測、故障恢復(fù)等方面發(fā)揮重要的作用。73.1.2Windows系統(tǒng)安全Windows系統(tǒng)的安全機制介紹：（1）Windows認(rèn)證機制早期Windows系統(tǒng)的認(rèn)證機制不很完善，甚至缺乏認(rèn)證機制。（2）Windows訪問控制機制

WindowsNT/XP的安全性達(dá)到了橘皮書（可信計算機系統(tǒng)評測標(biāo)準(zhǔn)TCSEC）C2級，實現(xiàn)了用戶級自主訪問控制。其訪問控制機制如圖3-1所示.8圖3-1Windows訪問控制機制9（3）Windows審計/日志機制日志文件是Windows系統(tǒng)中一個比較特殊的文件，它記錄Windows系統(tǒng)運行狀況，如各種系統(tǒng)服務(wù)的啟動、運行和關(guān)閉等信息。Windows系統(tǒng)日志有3種類型：系統(tǒng)日志、應(yīng)用程序日志和安全日志，它們對應(yīng)的文件名為SysEvent.evt、AppEvent.evt和SecEvent.evt。這些日志文件通常存放在操作系統(tǒng)安裝區(qū)域“system32\config”目錄下。（4）Windows協(xié)議過濾和防火墻由于網(wǎng)絡(luò)上的安全威脅日趨嚴(yán)重，WindowsNT4.0、Windows2000則提供了包過濾機制，通過過濾機制可以限制網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)入計算機。而WindowsXP自帶了防火墻，它能夠?qū)崿F(xiàn)監(jiān)控和限制用戶計算機的網(wǎng)絡(luò)通信。

10（5）Windows文件加密系統(tǒng)為了防范入侵者通過物理途徑讀取磁盤信息，而不是通過Windows系統(tǒng)文件訪問，Microsoft開發(fā)了加密的文件系統(tǒng)EFS，利用EFS，文件中的數(shù)據(jù)在磁盤上是加密的。用戶如果訪問加密的文件，則必須擁有這個文件的KEY，則這個文件才能被打開，像其它普通文檔一樣。EFS加密是基于公鑰策略。被EFS加密過的數(shù)據(jù)不能在Windows中直接共享。如果通過網(wǎng)絡(luò)傳輸經(jīng)EFS加密過的數(shù)據(jù)，這些數(shù)據(jù)在網(wǎng)絡(luò)上將會以明文的形式傳輸。NTFS分區(qū)上保存的數(shù)據(jù)還可以被壓縮，但是一個文件不能同時被壓縮和加密。11現(xiàn)在系統(tǒng)面臨的主要威脅有以下幾點：①Windows口令的安全②Windows惡意代碼③應(yīng)用軟件漏洞④系統(tǒng)程序的漏洞⑤注冊表安全⑥文件共享安全⑦物理臨近攻擊12針對這些威脅，Windows系統(tǒng)提出了安全增強方法：①安全漏洞打補丁。由于很多漏洞本質(zhì)上都是軟件設(shè)計時的缺陷和錯誤，因此需要修復(fù)。②停止服務(wù)和卸載軟件。③升級或更換程序。④修改配置或權(quán)限。⑤去除特洛伊木馬等惡意程序。⑥安裝可用的安全工具軟件。13WindowsNT系統(tǒng)安全

WindowsNT（NewTechnology）是微軟公司第一個真正意義上的網(wǎng)絡(luò)操作系統(tǒng)，它的發(fā)展經(jīng)過NT3.0，NT4.0，NT5.0（Windows2000）和NT6.0（Windows2003）等眾多版本，并逐步占據(jù)了廣大中小網(wǎng)絡(luò)操作系統(tǒng)的市場。

WindowsNT眾多版本的操作系統(tǒng)使用了與Windows9X完全一致的用戶界面和完全相同的操作方法，使用戶使用起來比較方便。與Windows9X相比，WindowsNT的網(wǎng)絡(luò)功能更加強大并且安全。

14WindowsNT系列操作系統(tǒng)具有以下3方面的優(yōu)點：（1）支持多種網(wǎng)絡(luò)協(xié)議由于網(wǎng)絡(luò)中可能存在多種客戶機，這些客戶機可能使用了不同的網(wǎng)絡(luò)協(xié)議，如TCP/IP，IPX/SPX等。但WindowsNT系統(tǒng)支持幾乎所有常見的網(wǎng)絡(luò)協(xié)議。（2）內(nèi)置Internet服務(wù)隨著互聯(lián)網(wǎng)發(fā)展和TCP/IP協(xié)議族的標(biāo)準(zhǔn)化，WindowsNT操作系統(tǒng)內(nèi)置了IIS，可以使用戶輕松地配置各種網(wǎng)絡(luò)服務(wù)。15（3）支持NTFS文件系統(tǒng)

Windows9X使用的文件系統(tǒng)是FAT，在NT中內(nèi)置同時支持FAT和NTFS的磁盤分區(qū)格式。FAT32文件僅提供了文件夾的安全控制，而NTFS文件系統(tǒng)同時具備了安全性和穩(wěn)定性，并且能設(shè)置文件和文件夾的安全性。全32位內(nèi)核的NTFS為磁盤目錄與文件提供安全設(shè)置，指定訪問權(quán)限。NTFS自動記錄與文件相關(guān)的變動操作，具有文件修復(fù)能力。NTFS文件系統(tǒng)每簇僅為512字節(jié)，硬盤利用率最高。但是NTFS也有自己不足的地方，它的兼容性差。NTFS可以訪問FAT文件系統(tǒng)，但是反向操作無法進(jìn)行。目前支持NTFS分區(qū)格式的系統(tǒng)不多，除了NT外，Windows2000、WindowsXP、Windows2003系統(tǒng)也支持這種文件系統(tǒng)形式。16Windows2000系統(tǒng)安全

Windows2000起初稱為WindowsNT5.0，它綜合了Windows98和WindowsNT4.0的很多優(yōu)點和性能，Windows2000系統(tǒng)具有如下安全特性：（1）活動目錄

Windows2000Server在WindowsNTServer4.0的基礎(chǔ)上，進(jìn)一步發(fā)展了活動目錄（ActiveDirectory）。（2）文件系統(tǒng)

Windows2000在WindowsNTServer4.0R高效文件服務(wù)基礎(chǔ)上，加強和新增了分布式文件系統(tǒng)、用戶配額、加密文件系統(tǒng)、磁盤碎片整理和索引服務(wù)等服務(wù)。17（3）存儲服務(wù)

Windows2000中使用的存儲管理體現(xiàn)在動態(tài)磁盤卷管理、磁盤碎片整理和自動系統(tǒng)恢復(fù)等方面。（4）數(shù)據(jù)和通信安全在數(shù)據(jù)和通信安全方面，Windows2000實現(xiàn)了如下的特征：數(shù)據(jù)安全性、企業(yè)間通信的安全性、企業(yè)和Internet網(wǎng)絡(luò)的單點安全登錄以及易用和良好擴展性的安全管理。18

雖然Windows2000系統(tǒng)在安全方面又做了很大改進(jìn)，但是仍然存在一些安全隱患，下面介紹一些增強系統(tǒng)安全的技術(shù)。（1）系統(tǒng)啟動安全增強非法用戶若能以軟盤及光盤啟動計算機，那他就可以在DOS系統(tǒng)下隨意對系統(tǒng)進(jìn)行攻擊。因此用戶必須關(guān)閉軟盤及光盤的啟動功能。方法：啟動計算機，在系統(tǒng)自檢時進(jìn)入系統(tǒng)的CMOS設(shè)置功能，然后將系統(tǒng)的啟動選項設(shè)置為“CONLY”，同時為COMS設(shè)置必要的密碼。19（2）賬號與口令管理安全增強在Windows2000系統(tǒng)中用戶賬戶有兩種：活動目錄用戶賬戶和計算機賬戶。加強用戶賬戶管理的方法有：①停用Guest賬戶。②限制不必要的用戶數(shù)量。③把系統(tǒng)Administrator賬號改名。④創(chuàng)建一個陷阱賬號。⑤設(shè)置安全復(fù)雜的口令。⑥設(shè)置屏幕保護口令。⑦不讓系統(tǒng)顯示上次登錄的用戶名。20Windows系統(tǒng)資源安全管理也是系統(tǒng)安全很重要的方面，可以通過下面的設(shè)置來提高系統(tǒng)的安全性。①共享權(quán)限的修改在系統(tǒng)默認(rèn)情況下，每建立一個新的共享，Everyone用戶就享有“完全控制”的共享權(quán)限，因此，在建立新的共享后應(yīng)該立即修改Everyone的默認(rèn)權(quán)限。②注冊表安全。Windows2000中很多安全設(shè)置，都要通過注冊表來進(jìn)行，所以要保證注冊表的安全。21可以通過以下步驟實現(xiàn)：第一步，刪除注冊表編輯器（RegistryEditor）其位置在系統(tǒng)盤的Winnt目錄下；第二步，禁用注冊表，展開HKEY_LOCALUSER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System分支，在System主鍵下新建一個名為DisableRegistryTools的SWORD值，將值改為1。將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Microsoft\Control\SecurePipeServers\Winreg分支關(guān)鍵值刪除，用戶就無法通過網(wǎng)絡(luò)訪問注冊表了，徹底杜絕黑客從遠(yuǎn)程網(wǎng)絡(luò)入侵的可能。第三步，設(shè)置用戶使用注冊表的權(quán)限。22

對于Windows系統(tǒng)網(wǎng)絡(luò)安全管理方面，可以通過下面的方法提高系統(tǒng)的安全性。①系統(tǒng)補丁。②禁止空連接。方法：修改注冊表。把在LOCAL_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous下面的值設(shè)為1。③關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)端口過多的網(wǎng)絡(luò)服務(wù)和端口的開放增加了系統(tǒng)的安全風(fēng)險，為此應(yīng)盡量避免打開不必要的服務(wù)和端口。23下面對如何解決這樣的問題進(jìn)行簡單的介紹。①關(guān)閉server服務(wù)。②NETBIOS（網(wǎng)絡(luò)基本輸入輸出服務(wù)139端口，用于文件和打印共享）。③關(guān)閉135端口（停止RPC服務(wù)）、445端口。④關(guān)閉137、138端口。24WindowsServer2003系統(tǒng)安全在Windows2000基礎(chǔ)上改進(jìn)而來的Windows2003，因其操作方便，功能強大，成為新一代服務(wù)器操作系統(tǒng)的主流。在安全方面，Windows2003的安全模型發(fā)揮了巨大作用。以下介紹Windows2003安全模型的功能。①身份驗證。WindowsServer2003進(jìn)行身份驗證時分兩部分執(zhí)行：交互式登錄和網(wǎng)絡(luò)身份驗證。②訪問控制。訪問控制是批準(zhǔn)用戶、組和計算機訪問網(wǎng)絡(luò)上的對象的過程。③加密文件系統(tǒng)（EFS）。繼續(xù)延續(xù)Windows2000的這一技術(shù)，其對加密文件的用戶是透明的，即此用戶在使用該加密文件時不用手動解密。④公鑰基礎(chǔ)結(jié)構(gòu)。⑤Internet協(xié)議安全性（IPSec）。它通過使用加密的安全服務(wù)以確保在Internet協(xié)議網(wǎng)絡(luò)上進(jìn)行保密和安全的通信。

25

在安裝的過程中，存在下面的安全隱患：①在接入網(wǎng)絡(luò)時進(jìn)行系統(tǒng)安裝。②操作系統(tǒng)與應(yīng)用系統(tǒng)共用一個磁盤分區(qū)。③采用默認(rèn)安裝。默認(rèn)安裝時可能會安裝一些安全隱患的組件。④系統(tǒng)補丁安裝不及時，不全面。在系統(tǒng)運行的過程中，仍然存在一些安全隱患，主要包括：①默認(rèn)共享：系統(tǒng)在運行后，會自動創(chuàng)建一些隱藏的共享。②默認(rèn)服務(wù)：系統(tǒng)在運行后，自動啟動了許多有安全隱患的服務(wù)，如Telnet，RemoteRegistryservices等，這些服務(wù)實際工作中如不需要，可以禁用。26③安全策略：默認(rèn)下，安全策略是不起作用的。④管理員賬號：在系統(tǒng)運行后，Administrator賬號沒有停用，攻擊者可能一遍一遍嘗試這個賬號的口令。⑤頁面文件：頁面文件用來存儲沒有裝入內(nèi)存的程序和數(shù)據(jù)文件部分的隱藏文件。其中可能含有敏感信息。⑥共享文件：默認(rèn)狀態(tài)下，每個人對新創(chuàng)建的文件共享都擁有完全的控制權(quán)限，這是不安全的，應(yīng)該嚴(yán)格控制用戶的訪問權(quán)限。⑦Dump文件：Dump文件在系統(tǒng)崩潰后和藍(lán)屏的時候是一份很有用的查找問題的資料，但同時也會給攻擊者提供一些敏感信息。⑧Web服務(wù)：系統(tǒng)本身自帶的IIS服務(wù)、FTP服務(wù)存在安全隱患。27

針對上面提到的安全隱患，可以執(zhí)行如下的安全防范措施。①關(guān)閉系統(tǒng)默認(rèn)共享。方法1：采用批處理文件在系統(tǒng)啟動時自動刪除共享。方法2：修改注冊表，禁止默認(rèn)的共享功能。②關(guān)閉不必要的服務(wù)。③啟用安全策略。④加強對Administrator賬號和Guest賬號的管理控制。⑤清除頁面文件。⑥清除Dump文件。⑦防范NetBIOS漏洞攻擊。⑧加強IIS服務(wù)器的安全。28WindowsXP系統(tǒng)安全

WindowsXP版本作為Windows系列中個人電腦用戶的系統(tǒng)，它具有運行可靠、穩(wěn)定而且速度快的特點。成熟的技術(shù)支持，清新明快的外觀設(shè)計，使用戶有著良好的視覺享受。

WindowsXP繼續(xù)延續(xù)Windows系列的安全機制，體現(xiàn)在安裝安全策略、賬號安全策略、應(yīng)用安全策略、網(wǎng)絡(luò)安全策略等方面。下面僅針對系統(tǒng)服務(wù)和進(jìn)程的問題進(jìn)行說明。擁有Administrator權(quán)限的用戶，打開命令提示符窗口，輸入“netstart”命令后，就可看到已經(jīng)開啟的系統(tǒng)服務(wù)。如果為了詳細(xì)查看，可以在“運行”里面輸入“services.msc”，打開服務(wù)設(shè)置窗口。服務(wù)分為三種啟動類型：自動、手動、已禁用。

29為了保障系統(tǒng)的安全，有些服務(wù)是必須禁止的。如以下的幾種服務(wù)：①NetMeetingRemoteDesktopSharing

允許授權(quán)用戶通過NetMeeting在網(wǎng)絡(luò)上互相訪問對方。這項服務(wù)對大多數(shù)個人用戶并沒有多大用處，況且服務(wù)的開啟還會帶來安全問題，因為上網(wǎng)時該服務(wù)會把用戶名以明文形式發(fā)送到連接它的客戶端，黑客的嗅探程序很容易就能探測到這些賬戶信息。②UniversalPlugandPlayDeviceHost

此服務(wù)是為通用的即插即用設(shè)備提供支持的。這項服務(wù)存在一個安全漏洞，運行此服務(wù)的計算機很容易受到攻擊。30③Messenger

俗稱信使服務(wù)，電腦用戶在局域網(wǎng)內(nèi)可以利用它進(jìn)行資料交換（傳輸客戶端和服務(wù)器之間的NetSend和Alerter服務(wù)消息，此服務(wù)與WindowsMessenger無關(guān)。如果服務(wù)停止，Alerter消息不會被傳輸）。④TerminalServices

此服務(wù)允許多位用戶連接并控制一臺機器，并且在遠(yuǎn)程計算機上顯示桌面和應(yīng)用程序。如果不使用WindowsXP的遠(yuǎn)程控制功能，可以禁止此服務(wù)。⑤RemoteRegistry

此服務(wù)項使遠(yuǎn)程用戶能修改此計算機上的注冊表設(shè)置。注冊表是系統(tǒng)的核心內(nèi)容，不建議一般用戶自行更改，更不允許別人進(jìn)行遠(yuǎn)程修改，所以開啟31⑥FastUserSwitchingCompatibility

在多用戶下為需要協(xié)助的應(yīng)用程序提供管理。⑦Telnet

此服務(wù)允許遠(yuǎn)程用戶登錄到此計算機并運行程序，并支持多種TCP/IPTelnet客戶，包括基于UNIX和Windows的計算機。⑧PerformanceLogsAndAlerts

該服務(wù)是用來收集本地或遠(yuǎn)程計算機基于預(yù)先配置的日程參數(shù)的性能數(shù)據(jù)，然后將此數(shù)據(jù)寫入日志或觸發(fā)警報。⑨RemoteDesktopHelpSessionManager

如果此服務(wù)被終止，遠(yuǎn)程協(xié)助將不可用。⑩TCP/IPNetBIOSHelper

如果不需要局域網(wǎng)之間的互相訪問，建議禁用該服務(wù)，其存在安全隱患。32

另外還有一些服務(wù)是可以被禁止的

，一些普通用戶可以按需求來禁止相關(guān)服務(wù)：①Alerter。②IndexingService。③ApplicationLayerGatewayService。④UninterruptiblePowerSupply。⑤PrintSpooler⑥SmartCard。⑦SsdpDiscoveryService（簡易服務(wù)發(fā)現(xiàn)協(xié)議之發(fā)現(xiàn)服務(wù)）。⑧AutomaticUpdates。⑨Clipbook。對于其它一些服務(wù)如果對用戶沒有什么作用，用戶可以自己決定取舍。33Windows系統(tǒng)進(jìn)程一般包括基本系統(tǒng)進(jìn)程和附加進(jìn)程。基本系統(tǒng)進(jìn)程是系統(tǒng)運行的必備條件，只有這些進(jìn)程處于活動狀態(tài)，系統(tǒng)才能正常運行；而附加進(jìn)程則不是必需的，可以按需新建或結(jié)束。下面介紹一些最基本的系統(tǒng)進(jìn)程。Csrss.exe：這是子系統(tǒng)服務(wù)器進(jìn)程，負(fù)責(zé)控制Windows創(chuàng)建或刪除線程以及16位的虛擬DOS環(huán)境。SystemIdleProcess：這個進(jìn)程是作為單線程運行在每個處理器上，并在系統(tǒng)不處理其它線程的時候分派處理器的時間。Smss.exe：這是一個會話管理子系統(tǒng)，負(fù)責(zé)啟動用戶會話。34Services.exe：系統(tǒng)服務(wù)的管理工具。Explorer.exe：資源管理器。Lsass.exe：本地的安全授權(quán)服務(wù)。Spoolsv.exe：管理緩沖區(qū)中的打印和傳真作業(yè)。Svchost.exe：這個進(jìn)程需要著重說明，有時在“任務(wù)管理器”中可以看到多個Svchost.exe在運行，很像病毒。其實也不一定，系統(tǒng)啟動的時候，Svchost.exe將檢查注冊表中的位置來創(chuàng)建需要加載的服務(wù)列表，如果多個Svchost.exe同時運行，則表明當(dāng)前有多組服務(wù)處于活動狀態(tài)；多個DLL文件正在調(diào)用它。35

由于上面的這些基本進(jìn)程具有運行的必要性，病毒就經(jīng)常偽裝成相似進(jìn)程，以騙過用戶，從而達(dá)到攻擊主機的目標(biāo)。下面介紹病毒常用的欺騙手段。①svchost.exe

常被病毒冒充的進(jìn)程名有：svch0st.exe、schvost.exe、scvhost.exe，病毒經(jīng)常這樣偽裝，來迷惑用戶的眼睛。我們可以打開“控制面板”→“管理工具”→“服務(wù)”，雙擊其中“ClipBook”服務(wù)，在其屬性面板中可以發(fā)現(xiàn)對應(yīng)的可執(zhí)行文件路徑為“C:\WINDOWS\system32\clipsrv.exe”。再雙擊“Alerter”服務(wù)，可以發(fā)現(xiàn)其可執(zhí)行文件路徑為“C:\WINDOWS\system32\svchost.exe-kLocalService”，而“Server”服務(wù)的可執(zhí)行文件路徑為“C:\WINDOWS\system32\svchost.exe-knetsvcs”。36正是通過這種調(diào)用，可以省下不少系統(tǒng)資源，因此系統(tǒng)中出現(xiàn)多個svchost.exe，其實只是系統(tǒng)的服務(wù)而已。在Windows2000系統(tǒng)中一般存在2個svchost.exe進(jìn)程，一個是RPCSS（RemoteProcedureCall）服務(wù)進(jìn)程，另外一個則是由很多服務(wù)共享的一個svchost.exe；而在WindowsXP中，則一般有4個以上的svchost.exe服務(wù)進(jìn)程。如果svchost.exe進(jìn)程的數(shù)量多于5個，就應(yīng)注意，很可能是病毒假冒的進(jìn)程，檢測方法也很簡單，使用一些進(jìn)程管理工具，例如Windows優(yōu)化大師的進(jìn)程管理功能，查看svchost.exe的可執(zhí)行文件路徑，如果在“C:\WINDOWS\system32”目錄外，那么就可以判定是病毒了。37②explorer.exe

常被病毒冒充的進(jìn)程名有：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我們經(jīng)常會用到的“資源管理器”。③iexplore.exe

常被病毒冒充的進(jìn)程名有：IExplorer.exe、iexploer.exe。④rundll32.exe

常被病毒冒充的進(jìn)程名有：rundl132.exe、rundl32.exe。⑤spoolsv.exe

常被病毒冒充的進(jìn)程名有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系統(tǒng)服務(wù)“PrintSpooler”所對應(yīng)的可執(zhí)行程序，其作用是管理所有本地和網(wǎng)絡(luò)打印隊列及控制所有打印工作。38

3.1.3Linux系統(tǒng)安全隨著Internet/Intranet網(wǎng)絡(luò)的日益普及，采用Linux網(wǎng)絡(luò)操作系統(tǒng)作為服務(wù)器的用戶也越來越多，這一方面是因為Linux是開放源代碼的免費正版軟件，另一方面也是因為較之微軟的WindowsNT網(wǎng)絡(luò)操作系統(tǒng)而言，Linux系統(tǒng)具有更好的穩(wěn)定性、效率性和安全性。在使用Linux系統(tǒng)時，我們也要詳細(xì)了解它的安全機制，找出它可能的安全隱患，給出相應(yīng)的安全策略和保護措施。Linux網(wǎng)絡(luò)操作系統(tǒng)的基本安全機制

Linux網(wǎng)絡(luò)操作系統(tǒng)提供了用戶帳號、文件系統(tǒng)權(quán)限和系統(tǒng)日志文件等基本安全機制，如果這些安全機制配置不當(dāng)，就會使系統(tǒng)存在一定的安全隱患。因此，網(wǎng)絡(luò)系統(tǒng)管理員必須小心地設(shè)置這些安全機制。39（1）Linux系統(tǒng)的用戶帳號在Linux系統(tǒng)中，用戶帳號是用戶的身份標(biāo)志，它由用戶名和用戶口令組成。（2）Linux的文件系統(tǒng)權(quán)限

Linux文件系統(tǒng)的安全主要是通過設(shè)置文件的權(quán)限來實現(xiàn)的。（3）合理利用Linux的日志文件

Linux的日志文件用來記錄整個操作系統(tǒng)使用狀況。作為一個40Linux網(wǎng)絡(luò)系統(tǒng)管理員要充分用好以下幾個日志文件。①/var/log/lastlog文件記錄最后進(jìn)入系統(tǒng)的用戶的信息，包括登錄的時間、登錄是否成功等信息。②/var/log/secure文件記錄系統(tǒng)自開通以來所有用戶的登錄時間和地點，可以給系統(tǒng)管理員提供更多的參考。③/var/log/wtmp文件記錄當(dāng)前和歷史上登錄到系統(tǒng)的用戶的登錄時間、地點和注銷時間等信息。41Linux網(wǎng)絡(luò)系統(tǒng)可能受到的攻擊和安全防范策略

Linux網(wǎng)絡(luò)系統(tǒng)可能受到的攻擊類型主要有：（1）“拒絕服務(wù)”攻擊所謂“拒絕服務(wù)”攻擊是指黑客采取具有破壞性的方法阻塞目標(biāo)網(wǎng)絡(luò)的資源，使網(wǎng)絡(luò)暫時或永久癱瘓，從而使Linux網(wǎng)絡(luò)服務(wù)器無法為正常的用戶提供服務(wù)。例如黑客可以利用偽造的源地址或受控的其他地方的多臺計算機同時向目標(biāo)計算機發(fā)出大量、連續(xù)的TCP/IP請求，從而使目標(biāo)服務(wù)器系統(tǒng)癱瘓。（2）“口令破解”攻擊口令安全是保衛(wèi)自己系統(tǒng)安全的第一道防線。“口令破解”攻擊的目的是為了破解用戶的口令，從而可以取得已經(jīng)加密的信息資源。例如黑客可以利用一臺高速計算機，配合一個字典庫，嘗試各種口令組合，直到最終找到能夠進(jìn)入系統(tǒng)的口令，打開網(wǎng)絡(luò)資源。42（3）“欺騙用戶”攻擊“欺騙用戶”攻擊是指網(wǎng)絡(luò)黑客偽裝成網(wǎng)絡(luò)公司或計算機服務(wù)商的工程技術(shù)人員，向用戶發(fā)出呼叫，并在適當(dāng)?shù)臅r候要求用戶輸入口令，這是用戶最難對付的一種攻擊方式，一旦用戶口令失密，黑客就可以利用該用戶的帳號進(jìn)入系統(tǒng)。（4）“掃描程序和網(wǎng)絡(luò)監(jiān)聽”攻擊許多網(wǎng)絡(luò)入侵是從掃描開始的，利用掃描工具黑客能找出目標(biāo)主機上各種各樣的漏洞，并利用這些漏洞對系統(tǒng)實施攻擊。網(wǎng)絡(luò)監(jiān)聽也是黑客們常用的一種方法，當(dāng)成功地登錄到一臺網(wǎng)絡(luò)上的主機，并取得了這臺主機的超級用戶控制權(quán)之后，黑客可以利用網(wǎng)絡(luò)監(jiān)聽收集敏感數(shù)據(jù)或者認(rèn)證信息，以便日后奪取網(wǎng)絡(luò)中其他主機的控制權(quán)。43

Linux網(wǎng)絡(luò)安全防范策略

（1）仔細(xì)設(shè)置每個內(nèi)部用戶的權(quán)限為了保護Linux網(wǎng)絡(luò)系統(tǒng)的資源，在給內(nèi)部網(wǎng)絡(luò)用戶開設(shè)帳號時，要仔細(xì)設(shè)置每個內(nèi)部用戶的權(quán)限，一般應(yīng)遵循“最小權(quán)限”原則，也就是僅給每個用戶授予完成他們特定任務(wù)所必須的服務(wù)器訪問權(quán)限。這樣做會大大加重系統(tǒng)管理員的管理工作量，但為了整個網(wǎng)絡(luò)系統(tǒng)的安全還是應(yīng)該堅持這個原則。（2）確保用戶口令文件/etc/shadow的安全對于網(wǎng)絡(luò)系統(tǒng)而言，口令是比較容易出問題的地方，作為系統(tǒng)管理員應(yīng)告訴用戶在設(shè)置口令時要使用安全口令（在口令序列中使用非字母，非數(shù)字等特殊字符）并適當(dāng)增加口令的長度（大于6個字符）。44（3）加強對系統(tǒng)運行的監(jiān)控和記錄

Linux網(wǎng)絡(luò)系統(tǒng)管理員，應(yīng)對整個網(wǎng)絡(luò)系統(tǒng)的運行狀況進(jìn)行監(jiān)控和記錄，這樣通過分析記錄數(shù)據(jù)，可以發(fā)現(xiàn)可疑的網(wǎng)絡(luò)活動，并采取措施預(yù)先阻止今后可能發(fā)生的入侵行為。（4）合理劃分子網(wǎng)和設(shè)置防火墻如果內(nèi)部網(wǎng)絡(luò)要進(jìn)入Internet，必須在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的接口處設(shè)置防火墻，以確保內(nèi)部網(wǎng)絡(luò)中的數(shù)據(jù)安全。（5）定期對Linux網(wǎng)絡(luò)進(jìn)行安全檢查

Linux網(wǎng)絡(luò)系統(tǒng)的運轉(zhuǎn)是動態(tài)變化的，因此對它的安全管理也是變化的，沒有固定的模式，作為Linux網(wǎng)絡(luò)系統(tǒng)的管理員，在為系統(tǒng)設(shè)置了安全防范策略后，應(yīng)定期對系統(tǒng)進(jìn)行安全檢查，并嘗試對自己管理的服務(wù)器進(jìn)行攻擊，如果發(fā)現(xiàn)安全機制中的漏洞應(yīng)立即采取措施補救，不給黑客以可乘之機。45(6）保護最新的系統(tǒng)核心由于Linux系統(tǒng)的開放性，經(jīng)常有更新的程序和系統(tǒng)補丁出現(xiàn)，因此為了加強系統(tǒng)安全，一定要經(jīng)常更新系統(tǒng)內(nèi)核。（7）制定適當(dāng)?shù)臄?shù)據(jù)備份計劃確保系統(tǒng)萬無一失沒有一種操作系統(tǒng)的運轉(zhuǎn)是百分之百可靠的，也沒有一種安全策略是萬無一失的，因此作為Linux系統(tǒng)管理員，必須為系統(tǒng)制定適當(dāng)?shù)臄?shù)據(jù)備份計劃，充分利用磁帶機、光盤刻錄機、雙機熱備份等技術(shù)手段為系統(tǒng)保存數(shù)據(jù)備份，使系統(tǒng)一旦遭到破壞或黑客攻擊而發(fā)生癱瘓時，能迅速恢復(fù)工作，把損失減少到最小。

46

加強Linux網(wǎng)絡(luò)服務(wù)器的管理可以通過以下措施來實現(xiàn)網(wǎng)絡(luò)服務(wù)器的安全使用。（1）利用記錄工具，記錄對Linux系統(tǒng)的訪問

Linux系統(tǒng)管理員可以利用前面所述的記錄文件和記錄工具記錄事件，可以每天查看或掃描記錄文件，這些文件記錄了系統(tǒng)運行的所有信息。（2）慎用Telnet服務(wù)在Linux下，用Telnet進(jìn)行遠(yuǎn)程登錄時，用戶名和用戶密碼是明文傳輸?shù)?，這就有可能被在網(wǎng)上監(jiān)聽的其他用戶截獲。另一個危險是黑客可以利用Telnet登入系統(tǒng)，如果黑客又獲得了超級用戶權(quán)限，則會對系統(tǒng)造成極大的威脅。因此，如果不是很需要的情況下，不開放Telnet服務(wù)。47（3）合理設(shè)置NFS服務(wù)和NIS服務(wù)

NFS（NetworkFileSystem，網(wǎng)絡(luò)文件系統(tǒng)）服務(wù)，允許工作站通過網(wǎng)絡(luò)共享一個或多個服務(wù)器輸出的文件系統(tǒng)。但對于配置得不合理的NFS服務(wù)器來講，用戶不經(jīng)登錄就可以閱讀或者更改存儲在NFS服務(wù)器上的文件，使得NFS服務(wù)器很容易受到攻擊。如果一定要提供NFS服務(wù)，要確?；贚inux的NFS服務(wù)器支持SecureRPC（SecureRemoteProcedureCall），以便利用DES（DataEncryptionStandard）加密算法和指數(shù)密鑰交換（ExponentialKeyExchange）技術(shù)驗證每個NFS請求的用戶身份。48（4）仔細(xì)配置FTP服務(wù)

FTP服務(wù)與前面講的Telnet服務(wù)一樣，用戶名和用戶密碼也是明文傳輸?shù)?。因此，為了系統(tǒng)的安全，必須對/etc/ftpusers文件進(jìn)行合理配置，禁止root，bin，daemon，adm等特殊用戶對FTP服務(wù)器進(jìn)行遠(yuǎn)程訪問，通過對/etc/ftphosts的設(shè)定限制某些主機不能連入FTP服務(wù)器，如果系統(tǒng)開放匿名FTP服務(wù)，則任何人都可以下載文件（有時還可以上載文件），因此，除非特別需要一般應(yīng)禁止匿名FTP服務(wù)。49（5）合理設(shè)置POP-3和Sendmail等電子郵件服務(wù)。對一般的POP-3服務(wù)來講，電子郵件用戶的口令也是按明文方式傳送，黑客可以很容易截獲用戶名和用戶密碼。為了防止此類問題的出現(xiàn)，必須安裝支持加密傳送密碼的POP-3服務(wù)器（即支持AuthenticatedPOP命令），這樣用戶在向網(wǎng)絡(luò)中傳送密碼之前，可以先對密碼加密。最新版的Sendmail服務(wù)器軟件在安全方面比老版本的Sendmail郵件服務(wù)器做的完善，所以要盡量選用新的郵件服務(wù)器。50（6）加強對WWW服務(wù)器的管理，提供安全的WWW服務(wù)當(dāng)一個基于Linux系統(tǒng)的網(wǎng)站建立好之后，絕大部分用戶是利用WWW瀏覽器來訪問Web服務(wù)器，因此必須特別重視Web服務(wù)器的安全，無論采用哪種基于HTTP協(xié)議的Web服務(wù)器軟件，都要特別關(guān)注CGI腳本（CommonGatewayInterface），這些CGI腳本是可執(zhí)行程序，一般存放在Web服務(wù)器的CGI-BIN目錄下面，在配置Web服務(wù)器時，要保證CGI可執(zhí)行腳本只存放于CGI-BIN目錄中，這樣可以保證腳本的安全，且不會影響到其他目錄的安全。（7）禁止finger服務(wù)在Linux系統(tǒng)下，使用finger命令，可以顯示本地或遠(yuǎn)程系統(tǒng)中目前已登錄用戶的詳細(xì)信息，黑客可以利用這些信息，增大侵入系統(tǒng)的機會。為了系統(tǒng)的安全，最好禁止提供finger服務(wù)，即從/usr/bin下刪除finger命令。如果要保留finger服務(wù)，應(yīng)將finger文件換名，或修改權(quán)限為只允許root用戶執(zhí)行finger命令。513.2安裝與配置Vmware虛擬機3.2.1虛擬機簡介網(wǎng)絡(luò)安全是一門實踐性很強的學(xué)科，良好的實驗配置是必須的。而虛擬機實現(xiàn)了一臺物理機同時運行兩臺或更多臺虛擬機的情形。

虛擬機的概念所謂虛擬機就是虛擬計算機，簡稱“虛擬機”。虛擬機就是通過軟件在一臺計算機上模擬出來若干臺可以獨立運行而互不干擾的多個具有相同或不同操作系統(tǒng)的計算機。其特別之處在于，每一臺虛擬機都與真實的計算機類似，擁有自己的CPU、內(nèi)存、硬盤、光驅(qū)等硬件設(shè)備，甚至還有自己的BIOS。在虛擬機上，我們可以安裝Windows、Linux等真實的操作系統(tǒng)和各種應(yīng)用程序，并能夠同時運行多臺裝有不同操作系統(tǒng)的虛擬機。在虛擬機上用戶可以隨意進(jìn)行任何操作，都不會影響到本機系統(tǒng)。52如果本機系統(tǒng)足夠強大，用戶甚至可以同時運行多個虛擬機來進(jìn)行復(fù)雜的網(wǎng)絡(luò)實驗。雖然虛擬機是由本機系統(tǒng)模擬出來的，但兩者之間互不影響。當(dāng)虛擬機因操作失誤崩潰時，用戶可以直接將虛擬系統(tǒng)刪除而絲毫影響不到本機系統(tǒng)，而且用戶安裝完虛擬機之后不需要重啟電腦。目前虛擬機有很多種，包括VMware、Mircosoft的VirtualPCGSXServer、ESXServer、VirtuaServer以及ParallersWorkstation等，其中最好用的是VMware和VirtualPC。53

VMware

VMware是一款很受歡迎的虛擬機軟件，它是由VMware公司開發(fā)的。VMware根據(jù)使用者的不同可以分為客戶端和服務(wù)器端虛擬機。而我們主要使用的就是客戶端，即VMwareWorkstation。它是唯一能同時在Windows和Linux平臺上運行的虛擬機軟件。

VMwareWorkstation的最新版本是VMwareWorkstationv6.5.2，它提供三個版本：VMware-ESX-Server（它本身就是一個操作系統(tǒng)，不需要其它操作系統(tǒng)的支持，帶有遠(yuǎn)程Web管理和客戶端管理功能）、VMware-GSX-Server（它需要在主系統(tǒng)上安裝，要Windows2000以上的Windows系統(tǒng)或Linux系統(tǒng)，同樣具有遠(yuǎn)程Web管理和客戶端管理功能）、VMwareWorkstation（與上一版本一樣，但不具有遠(yuǎn)程Web管理和客戶端管理功能）。54VirtualPCVirtualPC可以在MacOS和Windows操作系統(tǒng)上模擬x86電腦，并在其中安裝和運行操作系統(tǒng)。該系統(tǒng)原來由Connectix公司開發(fā)，并由原來只在MacOS運行改為跨平臺。現(xiàn)在被微軟公司收購，并正式改名為WindowsVirtualPC。如果本機系統(tǒng)夠好，VirtualPC可以在一臺電腦上最多同時運行32個操作系統(tǒng)，它的設(shè)置過程比較簡單。微軟公司于2006年宣布VirtualPC成為免費軟件。它的最新版本支持WindowsVista系統(tǒng)的安裝。553.2.2VMware的安裝與配置

電腦硬件配置

虛擬機畢竟是將兩臺以上的電腦的任務(wù)集中在一臺電腦上，所以對硬件的要求比較高，主要是CPU、硬盤和內(nèi)存。目前的電腦CPU多數(shù)是PIII以上，硬盤都是上百G，這樣的配置已經(jīng)完全能滿足要求。關(guān)鍵是內(nèi)存，內(nèi)存的大小等于本機系統(tǒng)加上虛擬機操作系統(tǒng)需求之和。

對本機操作系統(tǒng)的要求

用戶安裝不同的虛擬機，對本機的操作系統(tǒng)要求不同。VMware既可以運行在Windows中，也可以運行在Linux中，但它運行的Windows操作系統(tǒng)必須是NT版本以上的。VirtualPC可以運行在Windows和MacOS操作系統(tǒng)上，但它運行的Windows操作系統(tǒng)必須是95以上的。56

虛擬機VMware的安裝下面通過圖示，說明虛擬機的安裝過程。（1）將VMware安裝程序解壓到指定文件夾下面，點擊安裝程序，開始安裝。（2）接下來的幾步均按系統(tǒng)的默認(rèn)選項設(shè)置，由于我們通常不會用到調(diào)試組件，所以選擇“Custom”方式，進(jìn)行安裝。（3）在點擊“Next”后，界面上出現(xiàn)的“IntegratedVirtualDebuggers”選項是我們所不需要的，所以右擊該選項，選擇“Thisfeaturewillnotbeavailable”去掉該屬性，執(zhí)行后如圖3-2所示。（4）完成了上述安裝步驟后，下面步驟不需特別設(shè)置，直接點擊“next”，進(jìn)行默認(rèn)安裝。（5）經(jīng)過上述的設(shè)置后，點擊“Install”進(jìn)行安裝。（6）經(jīng)過一段時間的安裝后，軟件提示要求輸入序列號，我們只要輸入可用的序列號，就可繼續(xù)安裝。（7）最后，點擊“Finish”結(jié)束安裝，此時會提示重啟計算機，實際上不重啟也可以開始使用。57圖3-2定制安裝軟件的方式58

配置VMware

在VMwareWorkstation上安裝虛擬系統(tǒng)之前，用戶還要對其進(jìn)行一些基本的配置。打開桌面上的VMwareWorkstation應(yīng)用程序后，會彈出LicenseAgreement窗口，這時我們選擇“YES”，就可繼續(xù)配置。（1）表示同意后，進(jìn)入到工作界面，點擊“NewVirtualMachine”，如圖3-3所示。（2）在圖3-3的工作界面中，我們選擇新建一個虛擬機——點擊“NewVirtualMachine”，新建一個虛擬機。（3）為了詳細(xì)說明虛擬機的相關(guān)原理，在新建的過程中，我們進(jìn)行“Custom自定義”安裝。下面按照默認(rèn)設(shè)置繼續(xù)安裝→“選擇默認(rèn)的Workstation6.5”→點擊“next”。在隨后出現(xiàn)的界面上，我們使用光盤安裝Linux系統(tǒng)，所以選擇第一個選項—“Installerdisc”。（3）設(shè)置好后，點擊“Next”，彈出“ProcessorConfiguration”操作界面，依據(jù)本機情況，對處理器的個數(shù)進(jìn)行設(shè)置——選擇“One”，點擊“Next”，彈出“MemoryfortheVirtuNextlMachine”界面。59（4）為了虛擬機更好的運行，需要設(shè)置內(nèi)存大小。在彈出的“MemoryfortheVirtuNextlMachine”界面上，依據(jù)實際需要進(jìn)行內(nèi)存大小的設(shè)置，完成后點擊“Next”，出現(xiàn)“Networkconnection”設(shè)置界面。進(jìn)入網(wǎng)絡(luò)設(shè)置界面，這里有三種虛擬機網(wǎng)絡(luò)連接的方式，它們各有特點，各有應(yīng)用場合，下面對其進(jìn)行簡單的介紹。①Bridge模式（橋模式）這種模式是在新建虛擬機的時候默認(rèn)選擇的，是將虛擬主機的虛擬網(wǎng)卡橋接到一個Host主機的物理網(wǎng)卡上面，實際上是將Host主機的物理網(wǎng)卡設(shè)置為混雜模式，從而達(dá)到偵聽多個IP的能力。在這種模式下，虛擬主機的虛擬網(wǎng)卡直接與Host主機的物理網(wǎng)卡所在的網(wǎng)絡(luò)相連，可以理解為虛擬機和Host主機處于對等的地位，在網(wǎng)絡(luò)關(guān)系上是平等的，沒有誰主誰次之分。默認(rèn)使用虛擬網(wǎng)卡VMnet0。60②NAT模式這種模式下Host主機的“網(wǎng)絡(luò)連接”中會出現(xiàn)了一個虛擬的網(wǎng)卡VMnet8（默認(rèn)情況下）。如果你做過2000/2003的NAT服務(wù)器的實驗就會理解：Host主機上的VMnet8虛擬網(wǎng)卡就相當(dāng)于連接到內(nèi)網(wǎng)的網(wǎng)卡，Host主機上的物理網(wǎng)卡就相當(dāng)于連接到外網(wǎng)的網(wǎng)卡，而虛擬機本身則相當(dāng)于運行在內(nèi)網(wǎng)上的計算機，虛擬機內(nèi)的虛擬網(wǎng)卡則獨立于VirtualEthernetSwitch（VMnet8）。在這種方式下，VMware自帶的DHCP服務(wù)會默認(rèn)地加載到VirtualEthernetSwitch（VMnet8）上，這樣虛擬機就可以使用DHCP服務(wù)。更為重要的是，VMware自帶了NAT服務(wù)，提供了從Host主機的VMnet8虛擬網(wǎng)卡到外網(wǎng)的地址轉(zhuǎn)換。所以這種情況是一個實實在在的NAT服務(wù)器在運行，只不過是供虛擬機用的NAT。61③Host-Only模式這種模式是一種封閉的方式，適合在一個獨立的環(huán)境中進(jìn)行各種網(wǎng)絡(luò)實驗。這種方式下Host主機的“網(wǎng)絡(luò)連接”中出現(xiàn)了一個虛擬的網(wǎng)卡VMnet1（默認(rèn)情況下）。和NAT唯一的不同的是：此種方式下，沒有地址轉(zhuǎn)換服務(wù)。因此這種情況下，虛擬機只能訪問到主機，這也是Host-Only的名字的意義。默認(rèn)情況下該模式也會有一個DHCP服務(wù)加載到VirtualEthernetSwitch（VMnet1）上。這樣連接到VirtualEthernetSwitch（VMnet1）上的虛擬機仍然可以設(shè)置成DHCP，主要是方便系統(tǒng)的配置。根據(jù)以上介紹和實現(xiàn)情況，選擇第一種方式——“Usebridgednetworking”，然后點擊“Next”，進(jìn)入“Disk”設(shè)置窗口。（5）在這里需要進(jìn)行硬盤設(shè)置，這時選擇第一個選項——新建一個虛擬硬盤，點擊“Next”，進(jìn)入“SelectADiskType”界面。（6）在“SelectADiskType”界面，選擇的硬盤類型是IDE，繼續(xù)“Next”，下一步設(shè)置虛擬硬盤的大小，最小請設(shè)置為7G，然后點擊“Next”，彈出存放虛擬機位置的窗口。在此窗口中，點擊“Browse”，選擇虛擬機磁盤存放的位置，設(shè)置好后，點擊“Next”，結(jié)束配置。62

圖3-3虛擬機的工作界面63

更改虛擬機的配置（1）修改虛擬內(nèi)存的大小。方法：運行虛擬機軟件→在菜單欄中選擇“VM”→下拉列表中選擇“Settings”，點擊之后，彈出“VirtualMachineSetting”窗口，如圖3-4所示，在此窗口中，進(jìn)行內(nèi)存修改，通過選擇“Harding”→“Memory”→通過拖動箭頭，選擇合適的內(nèi)存大小?；瑝K下面的三個數(shù)值從上到下分別代表：客戶機操作系統(tǒng)推薦的最小值、建議的內(nèi)存大小、建議的最大內(nèi)存大小。（2）添加和刪除虛擬硬盤在上面打開的“VirtualMachineSetting”選項卡中，選擇“HardDisk”選項，點擊“Add”，進(jìn)行虛擬硬盤的添加。彈出“HardwareType”選項窗口，如圖3-5所示，從中選擇要添加的硬件設(shè)備——“HardDisk”，點擊“Next”，出現(xiàn)“SelectaDisk”對話框，選擇“Createanewvirtualdisk”并設(shè)定好其存放的位置，添加的過程和前面的虛擬機配置過程一樣，此處不再重復(fù)，這樣就可以完成虛擬硬盤的添加。同樣進(jìn)行刪除虛擬硬盤時，只需先選中“HardDisk”選項卡再點擊“Remove”就可完成刪除。64

圖3-4更改內(nèi)存大小65

使用虛擬機的幾點說明（1）雖然虛擬機與宿主機共用一套硬件，但是在虛擬機中安裝系統(tǒng)時，虛擬機操作系統(tǒng)所識別的的設(shè)備品牌與真實的物理設(shè)備不一致的。如顯卡、網(wǎng)卡都是虛擬的設(shè)備。（2）虛擬機的磁盤不要選擇“分配所用磁盤空間”，采用“用多少占多少”的原則比較節(jié)約宿主機的磁盤空間。（3）VMware具有“丟棄磁盤全部改變”的功能，對虛擬機上的操作系統(tǒng)所做的修改，只要重新啟動虛擬機就可以恢復(fù)到之前的狀態(tài)。（4）為虛擬機分配的內(nèi)存量不要過大，因為這個內(nèi)存量是在虛擬機啟動后要真正使用的內(nèi)存量，分配過大會影響宿主機的性能。（5）安裝VMware工具可以獲得一些實用的功能，如鼠標(biāo)自由移入移出、宿主機與虛擬機直接手動復(fù)制文件、整理虛擬機磁盤閑置空間等。（6）為了與宿主機的快捷鍵Ctrl+Alt+Del區(qū)別，在虛擬機中用快捷鍵Ctrl+Alt+Insert代替快捷鍵Ctrl+Alt+Del。66圖3-5選擇硬件的類型673.3網(wǎng)絡(luò)協(xié)議分析器的使用3.3.1網(wǎng)絡(luò)協(xié)議分析器的工作原理為了更好的使用網(wǎng)絡(luò)協(xié)議分析器，我們先了解一下它們的工作原理以及相關(guān)知識。網(wǎng)絡(luò)分析（Networkanalysis）是指通過捕捉網(wǎng)絡(luò)流動的數(shù)據(jù)包，查看包內(nèi)部數(shù)據(jù)，進(jìn)而來發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的各種問題的過程。（1）捕獲數(shù)據(jù)包的基礎(chǔ)網(wǎng)絡(luò)分析系統(tǒng)首先依賴于一套捕捉網(wǎng)絡(luò)數(shù)據(jù)包的函數(shù)庫。這套函數(shù)庫工作在在網(wǎng)絡(luò)分析系統(tǒng)模塊的最底層。作用是從網(wǎng)卡取得數(shù)據(jù)包或者根據(jù)過濾規(guī)則取出數(shù)據(jù)包的子集，再轉(zhuǎn)交給上層分析模塊。從協(xié)議上說，這套函數(shù)庫將一個數(shù)據(jù)包從鏈路層接收，至少將其還原至傳輸層以上，以供上層分析。在Linux系統(tǒng)中，Libpcap是一個基于BPF的開放源碼的捕包函數(shù)庫?，F(xiàn)有的大部分Linux抓包工具都是基于這套函數(shù)庫或者是在它基礎(chǔ)上做一些針對性的改進(jìn)。68在Windows系統(tǒng)中，有這樣一個基本函數(shù)庫——Winpcap，在Windows運行的抓包工具都以它為基礎(chǔ)，完成捕獲數(shù)據(jù)包、解碼、并顯示網(wǎng)絡(luò)流量的功能。Libpcap的下載地址是：http:///projects/libpcap/。由于在Windows下安裝抓包工具時，它會自動將Winpcap函數(shù)庫裝上，所以不用另行安裝。（2）包捕獲機制從廣義的角度上看，一個包捕獲機制包含三個主要部分：最底層是針對特定操作系統(tǒng)的包捕獲機制，最高層是針對用戶程序的接口，第三部分是包過濾機制。不同的操作系統(tǒng)實現(xiàn)的底層包捕獲機制可能是不一樣的，但從形式上看大同小異。69數(shù)據(jù)包常規(guī)的傳輸路徑依次為網(wǎng)卡、設(shè)備驅(qū)動層、數(shù)據(jù)鏈路層、IP層、傳輸層、最后到達(dá)應(yīng)用程序。而包捕獲機制是在數(shù)據(jù)鏈路層增加一個旁路處理，對發(fā)送和接收到的數(shù)據(jù)包做過濾/緩沖等相關(guān)處理，最后直接傳遞到應(yīng)用程序。值得注意的是，包捕獲機制并不影響操作系統(tǒng)對數(shù)據(jù)包的網(wǎng)絡(luò)處理。對用戶程序而言，包捕獲機制提供了一個統(tǒng)一的接口，使用戶程序只需要簡單的調(diào)用若干函數(shù)，就能獲得所期望的數(shù)據(jù)包。這樣一來，針對特定操作系統(tǒng)的捕獲機制對用戶透明，使用戶程序有比較好的可移植性。包過濾機制是對所捕獲到的數(shù)據(jù)包根據(jù)用戶的要求進(jìn)行篩選，最終只把滿足過濾條件的數(shù)據(jù)包傳遞給用戶程序。70（3）網(wǎng)絡(luò)分析軟件的原理首先讓我們先來了解一下網(wǎng)卡的工作方式。在以太網(wǎng)絡(luò)中，所有通訊都是以廣播方式工作的，同一個網(wǎng)段內(nèi)的所有網(wǎng)絡(luò)接口都可以訪問在物理媒體上傳輸?shù)乃袛?shù)據(jù)，而每一個網(wǎng)絡(luò)接口都有一個唯一的硬件地址，即MAC地址。在正常的情況下，一個網(wǎng)絡(luò)接口只可能響應(yīng)以下兩種數(shù)據(jù)幀：與自己MAC地址相匹配的數(shù)據(jù)幀和發(fā)向所有機器的廣播數(shù)據(jù)幀。但在實際的系統(tǒng)中，數(shù)據(jù)的收發(fā)一般都是由網(wǎng)卡完成的，而網(wǎng)卡的工作模式有以下4種：廣播，這種模式下的網(wǎng)卡能接收發(fā)給自己的數(shù)據(jù)幀和網(wǎng)絡(luò)中的廣播數(shù)據(jù)幀；（默認(rèn)）組播，這種模式下的網(wǎng)卡只能夠接收組播數(shù)據(jù)幀；直接，這種模式下的網(wǎng)卡只能接收發(fā)給自己的數(shù)據(jù)幀；混雜，這種模式下的網(wǎng)卡能接收通過網(wǎng)絡(luò)設(shè)備上的所有數(shù)據(jù)幀。71從上面可知，雖然網(wǎng)卡在默認(rèn)情況下僅能接收發(fā)給自己的數(shù)據(jù)和網(wǎng)絡(luò)中的廣播數(shù)據(jù)，但我們可以強制將網(wǎng)卡置于混雜模式工作，那么此時該網(wǎng)卡便會接收所有通過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)，而不管該數(shù)據(jù)的目的地是誰。嗅探技術(shù)：通過將網(wǎng)卡的工作模式置為混雜模式（promiscuous），并接收通過網(wǎng)卡的所有數(shù)據(jù)包，從而達(dá)到嗅探（監(jiān)聽）的目的，這種技術(shù)就是嗅探（監(jiān)聽）技術(shù)。結(jié)合以上描述的工作原理，網(wǎng)絡(luò)分析軟件就是遵循以太網(wǎng)工作模式，它基于以太網(wǎng)嗅探技術(shù)，以旁路接入的方式進(jìn)行工作。系統(tǒng)首先將本地機器上的網(wǎng)卡置為混雜模式，使其通過嗅探技術(shù)捕獲網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)包，然后將這些數(shù)據(jù)包傳遞到系統(tǒng)內(nèi)部進(jìn)行分析，再將分析結(jié)果以文本、圖表等不同的方式實時顯示在界面中。723.3.2SnifferPro協(xié)議分析器的使用在Windows下，比較常用的抓包工具有SnifferPro、Wireshark（前身Ethereal）、Omnipeek（以前的Etherpeek）、WinDump、Analyzer等。網(wǎng)絡(luò)嗅探軟件種類很多，主要是依靠一些特性來區(qū)分的。例如一些網(wǎng)絡(luò)嗅探軟件只支持以太網(wǎng)適配器或無線適配器，而有些卻支持多種類型的適配器，并且允許用戶定制；還有，盡管許多網(wǎng)絡(luò)嗅探軟件可以解碼相同的網(wǎng)絡(luò)協(xié)議，但是，其中的某些嗅探軟件就有可能比其它的嗅探軟件更適合你的網(wǎng)絡(luò)結(jié)構(gòu)。所在我們要結(jié)合自己的需要和對網(wǎng)絡(luò)嗅探軟件功能的了解，最終選擇用哪一款網(wǎng)絡(luò)嗅探軟件。

73Sniffer軟件是NAI公司推出的功能強大的協(xié)議分析軟件，具有捕獲網(wǎng)絡(luò)流量進(jìn)行詳細(xì)分析、實時監(jiān)控網(wǎng)絡(luò)活動、利用專家分析系統(tǒng)診斷問題、收集網(wǎng)絡(luò)利用率和錯誤等功能。下面通過捕獲FTP數(shù)據(jù)包為例，說明如何使用SnifferPro。（1）設(shè)置監(jiān)聽網(wǎng)卡。在我們使用SnifferPro進(jìn)行抓包時，它會自動檢測出PC機上使用的網(wǎng)絡(luò)適配器，我們只要選擇出我們所要監(jiān)聽網(wǎng)絡(luò)的適配器，就可以實現(xiàn)抓取數(shù)據(jù)包。運行“File”→“SelectSettings”，彈出如圖3-6所示的界面。74

圖3-6選擇監(jiān)聽的網(wǎng)卡75

（2）設(shè)置過濾規(guī)則在默認(rèn)情況下，sniffer將捕獲其接入碰撞域中流經(jīng)的所有數(shù)據(jù)包，有些數(shù)據(jù)包可能不是我們所需要的，為了快速定位網(wǎng)絡(luò)問題所在，有必要對所要捕獲的數(shù)據(jù)包作過濾。Sniffer提供了捕獲數(shù)據(jù)包前的過濾規(guī)則的定義，過濾規(guī)則包括2、3層地址的定義和幾百種協(xié)議的定義。在捕獲流量時，使用者可以根據(jù)自己的需要在不同時間設(shè)置過濾器。一種是在抓包之前，先定義一個過濾器，只捕獲與你正在分析問題有關(guān)的數(shù)據(jù)包，也可以先讓SnifferPro捕獲可以看到的所有數(shù)據(jù)包，然后用過濾器選擇你感興趣的部分。兩種各有優(yōu)缺點，如使用第一種，使用者不用考慮緩存區(qū)的大小，捕獲時間較短，但是如果過濾器定義不正確，可能丟失重要信息。76第二種方法在捕獲所有流量時，相對靈活性較好，這樣可以對網(wǎng)絡(luò)的所有數(shù)據(jù)有全面的了解，但有一個缺陷：每秒鐘可能有上千個數(shù)據(jù)包通過正在監(jiān)聽的網(wǎng)絡(luò)，使PC機負(fù)載著巨大的數(shù)據(jù)量，影響著PC機的性能。由于這里只進(jìn)行簡單的FTP數(shù)據(jù)包的抓取，所以選擇第一種方式。方法：“Capture”→“DefineFilter”，在此窗口中，我們進(jìn)行相關(guān)設(shè)置。在此窗口有五個選項卡，分別對過濾規(guī)則中相關(guān)的“地址”、“協(xié)議”、“緩存”文件進(jìn)行設(shè)置。在我們捕獲FTP數(shù)據(jù)包時，F(xiàn)TP服務(wù)器的地址是26，使用協(xié)議是TCP中的FTP，捕獲到的數(shù)據(jù)包緩存的位置和緩存區(qū)的大小依據(jù)情況進(jìn)行設(shè)置。77

首先我們可先選定數(shù)據(jù)包分析文件保存的位置，并給其命名為“FTP”，方法：在Sniffer運行界面中，先點擊菜單欄中的“Profile”點擊“New”新建文件，并輸入文件名字，點擊“OK”就可完成，過程如圖3-7所示。當(dāng)然我們也可以直接使用“Default”的默認(rèn)設(shè)置。78

下一步：在打開的“DefineFilter”窗口中，選擇“Address”選項卡，這是最常用的過濾規(guī)則定義。其中包括MAC地址、IP地址和IPX地址的定義?，F(xiàn)在以定義IP地址過濾為例進(jìn)行設(shè)置。如圖3-8所示，注意圖中標(biāo)記“2”，當(dāng)點擊中間的DIR后，可以出現(xiàn)三個小選項，如圖3-9所示，這表示三種數(shù)據(jù)包的流動方向，在本例中我們?yōu)榱丝吹酵暾腇TP協(xié)議工作過程，我們不做單獨設(shè)置。79圖3-8設(shè)置依據(jù)IP地址的過濾規(guī)則80圖3-9三種數(shù)據(jù)包流動的方向81

下一步：在打開的“DefineFilter”窗口中，選擇“Advanced”選項，在這里可以定義希望捕獲何種協(xié)議的數(shù)據(jù)包。在本例中，我們選擇“IP”→“TCP”→“FTP”。在“PacketSize”中，我們可以設(shè)置想要捕獲大小是多少的數(shù)據(jù)包?！癙acketType”設(shè)置數(shù)據(jù)包的類型，在本例中，我們選擇默認(rèn)設(shè)置。下一步：仍然在打開的“DefineFilter”窗口中選“Buffer”選項，在此界面定義捕獲到的數(shù)據(jù)包存放地方以及緩沖區(qū)的大小。（3）應(yīng)用過濾規(guī)則，開始抓包。在Sniffer運行界面中，點擊菜單欄上的“Capture”→選擇“SelectFilter”，在出現(xiàn)的窗口中選擇我們剛剛設(shè)置好的過濾規(guī)則。然后通過點擊“Capture”→選擇“Start”或者點擊工具欄上的三角箭頭，表示開始抓包。當(dāng)要停止捕獲時，同樣可以有兩種方式，點擊工具欄上的停止按鈕，也可以選擇“Capture”中的相應(yīng)選項。抓包結(jié)果如圖3-10所示：82圖3-10抓包結(jié)果83（4）協(xié)議分析。在停止抓包的時候，出現(xiàn)如圖3-10所示的界面后，我們點擊“Decode”后，出現(xiàn)捕獲到的數(shù)據(jù)包。因為FTP協(xié)議工作的過程需要傳輸層TCP協(xié)議的支持，所以首先要通過TCP的“三次握手”建立連接，才可以進(jìn)行數(shù)據(jù)交換。下圖3-11所示的信息，清楚表示了FTP連接建立的過程。84圖3-11協(xié)議分析85第一個數(shù)據(jù)包：源端1619向目的端的21（FTP默認(rèn)端口）端口發(fā)送數(shù)據(jù)，標(biāo)志位為“SYN”表示同步，SEQ=369724012表示IP為10的主機隨機選擇的一個數(shù)據(jù)包序號。第二個數(shù)據(jù)包：源端21向目的端的1619號端口發(fā)送回執(zhí)號為369724013來發(fā)送回執(zhí)對話，這個序號比上個數(shù)據(jù)包的SEQ號大1，同時服務(wù)器端自己產(chǎn)生一個隨機選擇的序號814426062來識別這次會話。第三個數(shù)據(jù)包：三次握手的最后一個幀。工作站會發(fā)送一個回執(zhí)數(shù)據(jù)包（ACK=814426063），確認(rèn)收到來自服務(wù)器上的幀。這樣就成功建立了會話。兩者可以互通信息。863.4.1編程環(huán)境概述

C語言是一種強大的語言，它既可以在Windows下編程，也可以在Linux下編程，編程是一項比較綜合的工作，除了熟練使用編程工具外，還要了解系統(tǒng)本身的內(nèi)部工作機理和編程語言。

Linux系統(tǒng)下的應(yīng)用程序多由C語言編寫，目前Linux系統(tǒng)下最常用的C語言編譯器是GCC（GNUComplierCollection

在Windows下我們用VC++來進(jìn)行編程。3.4網(wǎng)絡(luò)安全編程基礎(chǔ)87

C語言中，目前有兩大語言是編程者的主流選擇：C++和Java。C++適合做系統(tǒng)軟件開發(fā)，Java適宜做網(wǎng)絡(luò)應(yīng)用開發(fā)。雖然VC++.NET已經(jīng)面世很久，但是C++的開發(fā)工具目前的主流依然是VisualC++和C++Builder6.0。VC++是基于C，C++的集成開發(fā)工具，它可以識別C/C++并編譯，支持MFC類庫，并提供了一系列模板，常用的有MFCAppWizard（EXE/DLL)，MFCActiveXControlWizard，Win32Application，Win32ConsoleApplication，ATLCOMAppWizard。這種可視化編程環(huán)境可以令程序員花更多精力在程序功能的實現(xiàn)上，而不是底層的建設(shè)上，這就大大加快了程序開發(fā)速度和效率，這也是VisualC++一個顯著的特點。利用VisualC++編譯出的程序空間小、運行快，比其他的編譯工具編譯出的軟件占據(jù)較多優(yōu)勢?，F(xiàn)在常用的版本有VisualC++6.0/.Net/2005。下面通過一個程序來說明VC++集成開發(fā)工具的使用。（1）進(jìn)入VC++的編程界面，選擇菜單欄中的“文件”→點擊“工程”，打開如圖3-12所示窗口，在這里我們選擇新建一個控制臺程序“Win32ConsoleApplication”，輸入工程名字“test”，并選好保存位置。88圖3-12新建工程89（2）點擊確定后，進(jìn)入下面的設(shè)置，選擇默認(rèn)的選項→“Anemptyproject”，完成創(chuàng)建工程模板。（3）單擊“完成”，出現(xiàn)工程總結(jié)窗口，檢查沒有錯誤，單擊“確定”，出現(xiàn)工作界面，如圖3-13所示。（4）因為建立的工程是空的，沒有一個程序文件，需要為工程添加程序文件，選擇菜單欄中的“文件”→“新建”，出現(xiàn)如圖3-14所示界面，選擇“文件”選項卡，選擇添加的文件類型“C++SourceFile”，并輸入文件名。（5）點擊“確定”后，出現(xiàn)文件編輯界面，如圖3-15所示，并在此窗口輸入程序，完成后，進(jìn)行編譯、連接、執(zhí)行，其中標(biāo)號1、4的作用相同，表示編譯，2、5相同，表示連接，3、6相同，表示執(zhí)行。最后出現(xiàn)程序結(jié)果，如圖3-16所示。90圖3-13VC++的工作界面91圖3-14新建源程序文件92圖3-15編輯窗口93程序代碼解釋如下：程序test.cpp代碼包括三行，其中第一行：“#include<iostream.h>”意思是引入C++的基本輸入輸出函數(shù)庫，在C語言中引入的是“stdio.h”庫。在iostream.h文件中定義了cout的功能是輸出，endl的功能是回車換行。第二行：“voidmain()”，main()函數(shù)是C/C++的主函數(shù)，void表示該函數(shù)沒有返回值。第三行：“cout<<"Hello"<<endl;”，“cout<<”功能是向屏幕輸出。943.4.2編程語言

C語言

C語言經(jīng)過不斷的發(fā)展，在編程體系中可以將其分成四個階段：面向過程的C語言→面向?qū)ο蟮腃++語言→SDK編程→MFC編程（MicrosoftFoundationClass：微軟基類庫）。（1）C語言可用于多種場合，由于它的效率高，可移植性較高，并具備很強的數(shù)據(jù)處理能力，因此適于編寫系統(tǒng)軟件，也比較適合編寫網(wǎng)絡(luò)安全程序。C語言簡潔緊湊、靈活方便、數(shù)據(jù)結(jié)構(gòu)豐富。C語言是結(jié)構(gòu)式語言，語法限制不太嚴(yán)格，程序設(shè)計自由度大，并且允許直接訪問物理地址，可以直接對硬件進(jìn)行操作，它還可以直接調(diào)用操作系統(tǒng)提供的API函數(shù)編寫非常強大的程序。所以，C語言是進(jìn)行網(wǎng)絡(luò)安全程序編程的首選語言。95（2）C++是建立在C語言之上的，最初被稱為帶類的C語言，C++沒有取代C，而是補充和支持了C。C++在保留C原有精華的基礎(chǔ)上，提供了全面的面向?qū)ο蟮木幊讨С?，使得程序和結(jié)構(gòu)更加清晰、更容易維護和擴充，同時又不喪失其高效性。其優(yōu)點主要是與C語言的兼容，既支持面向?qū)ο蟮某绦蛟O(shè)計，也支持結(jié)構(gòu)化的程序設(shè)計。修補了C語言中的一些漏洞，提供了更好的類型檢查和編譯時的分析，使得程序員在C++環(huán)境下繼續(xù)寫C代碼，也能得到直接的好處。C++還提供了異常處理機制，簡化了程序的出錯處理。一般而言，用C++編寫的執(zhí)行程序執(zhí)行速度與C語言不相上下。96（3）SDK編程。理解SDK之前，我們要先明確下面兩個概念。首先要接觸的是“API”，也就是ApplicationProgrammingInterface，其實就是操作系統(tǒng)留給應(yīng)用程序的一個調(diào)用接口，應(yīng)用程序通過調(diào)用操作系統(tǒng)的API而使操作系統(tǒng)去執(zhí)行應(yīng)用程序的命令（動作）。在Windows中，系統(tǒng)API是以函數(shù)調(diào)用的方式提供的。例如同樣是取得操作系統(tǒng)的版本號，在Windows中你所要做的就是調(diào)用GetVersionEx()函數(shù)。DLL，即DynamicLinkLibrary（動態(tài)鏈接庫）。我們經(jīng)常會看到一些.dll

格式的文件，這些文件就是動態(tài)鏈接庫文件，其實也是一種可執(zhí)行文件格式。97

跟.exe文件不同的是，.dll

文件不能直接執(zhí)行，他們通常由.exe在執(zhí)行時裝入，內(nèi)含有一些資源以及可執(zhí)行代碼等。（4）MFC編程。SDK的功能非常強大，需要記很多的函數(shù)，當(dāng)面向?qū)ο缶幊坛蔀橹髁鞯臅r候，微軟將SDK的函數(shù)分類進(jìn)行封裝，這樣就誕生了MFC（MicrosoftFoundationClass）。傳統(tǒng)的Win32開發(fā)（直接使用Windows的接口函數(shù)API）對于程序員來說非常的困難，因為，API函數(shù)實在太多了，而且名稱很亂。而MFC的出現(xiàn)，將面向?qū)ο蟪绦蛟O(shè)計與Applicationframework的完美結(jié)合，將傳統(tǒng)的API進(jìn)行了分類封裝，并且為使用者創(chuàng)建了程序的一般框架，