计算机网络信息安全理论与实践教程第2章.pptVIP

21.7 网络入侵检测系统snort的安装和使用 21.7.1 实验目的 通过本实验，读者可以掌握以下技能： * 学会在Linux环境中安装snort； * 学会在Linux环境中安装nmap(一个端口扫描工具)； * 学习配置snort，检测网络入侵。 21.7.2 设备需求 本实验需要以下设备： * PC机三台，应带网卡，安装Linux Reahat 9.0操作系统； * 广播式Hub一台，双绞线三根。 21.7.3 实验环境及配置说明 　　本实验采用的三台PC机通过Hub相互连接，设备连接如图21-48所示。 　　实验中分配的IP地址，PC1为，PC2为，PC3为。子网掩码均为。 图21-48 Snort实验设备连接图 21.7.4 实验内容 　　1．在PC2上安装snort 　　(1) 从下载必威体育精装版版的snort，保存到硬盘。 　　(2) 运行以下命令，安装snort： # tar -zxvf snort-*.tar.gz(*为版本号) # ./configure # make # make install 　　(3) 在/var/log目录下运行以下命令，新建一个目录，保存报警记录： 　　# mkdir /var/log/snort 　　自此snort安装完毕。 　　(4) 运行以下命令，启动snort检测入侵： 　　# ./snort -de -A full -h /24 -c ../etc/snort.conf 　 　　2．在PC1上安装nmap 　　(1) 从/下载必威体育精装版版nmap的RPM包，保存到硬盘。 　　(2) 运行以下命令，安装nmap： 　　# rpm -ivh nmap-*.i386.rpm (*为版本号) 　　自此nmap安装完毕。 　　(3) 运行nmap扫描PC3： 　　# nmap 　　3．在PC2上检查snort检测入侵结果 　　(1) 进入/var/log/snort目录： 　　# cd /var/log/snort 　　(2) 该目录下有个“”的目录，进入该目录： 　　# cd 　　(3) 该目录下有个“ICMP_ECHO”文件，打开该文件： 　　# vi ICMP_ECHO 文件内容为： [**] ICMP PING NMAP [**] 01/27-09:48:14.162942 0:E0:4C:DD:19:EF - 0:C:F1:73:54:81 type:0x800 len:0x3C - ICMP TTL:39 TOS:0x0 ID:15872 IpLen:20 DgmLen:28 Type:8 Code:0 ID:37377 Seq:41903 ECHO ? =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+= 　　由此可见，snort已检测到通过nmap对 进行的端口扫描。 21.8 常见木马的检测、清除方法和工具的使用 21.8.1 实验目的 　　通过本实验，读者可以掌握以下技能： 　　* 掌握目前网络中常见的七种木马的检测及清除方法； 　　* 学会使用工具检测并清除木马。 21.8.2 设备需求 本实验需要以下设备： * PC机一台，安装Windows 2000操作系统。 21.8.3 实验环境及配置说明 　　安装实验中需要检测的木马包括：网络公牛、Netspy、SubSeven、冰河、网络神偷、广外女生等。 21.8.4 实验内容 　　1．常见木马的检测和清除 　　1) 网络公牛(Netbull) 　　(1) 木马特征： 　　网络公牛默认的连接端口为23444。服务端程序newserver.exe运行后，会自动脱壳成checkdll.exe，位于C:\Windows\System下，下次开机后checkdll.exe将自动运行，具有较强的隐蔽性。同时，服务端运行后会自动捆绑以下文件(Windows 2000下)： 　　notepad.exe，regedit.exe，reged32.exe，drwtsn32.exe，winmine.exe 　　服务端运行后还会捆绑在开机时自动运行的第三方软件，如realplay.exe、QQ、ICQ等，同时会在注册表中建立键值。 　　网络公牛采用的是文件捆绑功能，它和上面所列出的文件捆绑在一块，要清除非常困难。用户通过判断文件长度是否发生变化，可分析是否中了木马。 　 　　(2) 清除方法： 　　* 删除网络公牛的自启动程序C:\Windows\System\Checkdll.exe。 　　* 把网络公牛在注册表中所建立的键值全部删除。 　　* 检查上面列出的文件，如果发现文件长度发生变化(大约增加了4