如果你发现自己不能访问某个网络,你可以超级用户身份登录,进入命令行方式,然后采用本文介绍的方法。
在这里有一个小技巧:就是运行命令行工具的一个简单方法是创建一个“cmd.exe”的快捷方式,并在此快捷方式上右击(当然必须以超级用户身份登录),从d出的菜单中选择“以管理员身份运行”。
要查看当前的TCP优化设置,请在命令行中键入如下的命令:
C:\Windows\system32>netsh interface tcp show global
你应该收到一个类似于如下信息的输出内容:
(查询活动状态…)Querying active state...
(TCP全局参数)TCP Global Parameters
----------------------------------------------
Receive-Side Scaling State : enabled
Chimney Offload State : enabled
Receive Window Auto-Tuning Level : normal
Add-On Congestion Control Provider : none
ECN Capability : disabled
RFC 1323 Timestamps : disabled
要禁用这些设置,需要在命令行执行如下的命令:
C:\Windows\system32>netsh interface tcp set global rss=disabled autotuninglevel=disabled
如果输入正确,你会收到:Ok.
好了,现在再试着连接一下网络。不过,如果你用的是有线网络的话,你可能需要“修复”你的网络连接或者对网络电缆进行拔插;对于无线网络,只需要断开网络然后再连接到网络即可。
要想将网络栈设置回正常的状态,只需要在命令行键入如下命令执行:
C:\Windows\system32>netsh interface tcp set global rss=enabled autotuninglevel=normal
注意:这里的autotuninglevel是设置为“normal”而非“enabled”。
但愿这个小技巧对你解决问题故障有点儿帮助。
善于重启网络设备 解决网络的疑难故障
来源:赛迪网技术社区作者:doorsir
网络设备的工作状态直接关系着网络的运行状态,在长时间工作后,网络设备的工作状态很容易出错,事实上,在解决由网络设备工作状态引起的网络故障时,我们应该善于“重启”网络设备,以便让网络设备的工作状态快速恢复正常,从而在转瞬之间就能解决看上去非常奇怪的网络故障。本文就从实战角度出发,希望下面的内容能给各位带来收获!
故障回放
单位的一位员工说他使用的计算机不能访问Internet网络了,而且单位的局域网也不能访问了。原以为这只是个别现象,可谁曾想到,单位的其他同事陆陆续续打来电话,向笔者反映他们的计算机都不能正常访问外网和内网。
笔者尝试打开自己的笔记本电脑,并将它接入到局域网尝试上网访问,看看局域网网络是否真的无法上网,结果发现笔者的笔记本能够正常上网,这表明局域网是能访问外部网络的,而同事们向笔者反映的故障应该属于个别现象。
于是,笔者用一位同事的故障计算机以系统管理员身份登录进该计算机系统,并打开该系统的开始菜单,再执行其中的运行命令,从d出的系统运行对话框中输入字符串命令“cmd”,单击“确定”按钮后,将系统状态切换到MS-DOS工作窗口;在该窗口的命令提示符下输入“ipconfig /all”命令,单击回车键后,笔者从其后d出的结果界面中发现该计算机的网络参数没有错误。
那么究竟是什么原因导致该计算机不能访问局域网呢,难道是该计算机系统的TCP/IP协议受到了损坏,或者是安装在该计算机系统中的网卡设备自身遇到了硬件故障?为了检验自己的分析是否正确,笔者在该系统的运行对话框中执行了“ping 127.0.0.1”字符串命令(如下图所示)。
该命令返回的结果表明该故障计算机的网卡设备安装正确,TCP/IP协议也没有受到损坏。为了测试网卡设备是否能够正常工作,笔者又在系统运行框中执行了“ping 192.168.10.11”字符串命令(其中192.168.10.11是该故障计算机的本地IP地址),测试表明本地网卡也是能够正常工作的。
在排除了本地计算机的网络配置因素后,笔者又Ping了局域网网关的IP地址,以检测故障计算机是否能够正常访问局域网路由器,这一次Ping命令返回的测试结果竟然是“Request timed out”,这难道是局域网中的路由器出现了问题,或者是本地计算机与路由器之间的线路连接出现了故障?考虑到笔者事先已经成功用自己的笔记本电脑尝试了局域网上网,因此局域网中的路由器应该是正常的,这么说来唯一的可能就是该计算机到路由器之间的线路连接出现了问题。
会不会是物理线路发生了短路或断裂现象,从而导致了同事的计算机不能正常上网呢?为了测试物理线路是否正常连通,笔者立即找来了专业的线缆测试仪,对连接该计算机的网络线缆进行了连通性测试,测试结果表明物理线路是没有任何问题的。在毫无头绪的情况下,笔者开始怀疑同事的计算机可能感染了蠕虫病毒,因为病毒有时也会导致网络不通的故障现象。
考虑到查杀病毒是一件很费时间的事情,而且现在也不能确认一定就是病毒“惹”的祸,于是笔者决定使用自己的笔记本电脑临时替代故障计算机接入到局域网中。当笔者将同事办公室中的网络线缆插入到自己笔记本电脑的上网端口中,并且尝试Ping局域网中的网关地址时,竟然发现笔者的笔记本电脑也无法Ping通网关,这说明计算机不能上网的故障肯定与病毒无关,也与本地计算机中的配置无关;而且打开本地连接的状态显示界面时,笔者看到通过同事办公室的网络线缆访问网络时,计算机只能对外发送数据包信息,而无法从网络中接受到信息。
由于笔者的笔记本电脑完全是正常的,现在连笔记本电脑也无法通过该网络线缆上网,那问题的原因肯定还是出在网络连接方面,那会不会是局域网中的某些网络设备出现了问题?笔者来到该同事的隔壁办公室,并尝试借用该办公室中的网络线缆进行上网测试 *** 作,测试结果让笔者感到非常意外,居然能够正常上网,这是怎么回事呢?同一个楼层中的所有计算机应该都连接到同一台交换机中的呀,为什么有的计算机能上网,有的计算机不能上网呢,莫非是交换机的部分端口出现了问题?
到了这里,笔者也没有什么好的招法可以利用了,只好来到局域网机房打开接线柜,准备查看交换机端口的工作状态是否正常。打开接线柜后,笔者仔细观察了几台二层交换机中的信号灯状态,发现所有信号灯几乎都处于绿色闪烁状态,这种状态看上去也是正常的呀。既然用眼睛无法看出故障出来,笔者只好使用笔记本依次连接每一台二层交换机进行上网测试了。
当笔记本连接到第一台交换机中时,笔记本能够正常上网,连接到第二台交换机中时,笔记本也能正常上网,偏偏在连接到第三台交换机中时,笔记本就不能正常访问网络了,难道是第三台交换机有问题?笔者不放心,在该连接状态下,又Ping了一次局域网路由器地址,结果发现路由器竟然不能Ping通;接着,笔者又将笔记本电脑换插到第三台交换机中的另外一个端口,并继续进行Ping命令测试,但是所有端口测试下来后都不能Ping通网关地址;再仔细观察第三台交换机控制面板中的信号灯状态时,笔者竟然发现所有端口的信号灯都是绿色的,按照道理来说只有插入网络线缆的端口信号灯是绿色的,为什么空着的端口对应信号灯也是绿色的呢?很显然第三台交换机自身工作状态出现了故障!
找到故障原因后,笔者立即断开了第三台交换机的电源,过一段时间后,又重新接通电源来重启了一下该交换机;待该交换机启动稳定后,笔者立即用笔记本电脑测试了该交换机的连通性,这次笔者发现通过该交换机笔记本电脑已经能够Ping通网关地址了,看来第三台交换机的工作状态已经恢复正常了。于是,笔者又火速赶到故障计算机旁,重新进行了上网访问 *** 作,结果果然没有让笔者再失望,故障计算机终于能够正常上网了;与此同时,其他报修故障的几位同事也都说网络访问又恢复正常了。
故障小结
虽然故障已经被排除了,但笔者还是有一点没有弄明白,那就是为什么处于同一楼层中的计算机有的能够上网,有的不能上网呢?按照每一楼层中的计算机都连接到同一台交换机的组网结构,不应该出现这样的现象呀,除非交换机的端口发生问题了!后来,笔者花了一定的时间梳理了机房中的线路连接,结果发现那台不能上网的计算机已经被连接到另外一台机动交换机中了,而那台机动交换机出了问题后,所有连接到这台交换机中的计算机自然就不能上网了,这也是其他一些同事同时报修故障的原因。
再次回顾该故障的排除过程时,笔者认为日后在检查交换机或其他网络设备的工作状态是否正常时,不能简单地通过观察信号灯是否处于绿色闪烁状态得出结论,因为许多网络设备在长时间工作后,可能会出现系统缓存错误,从而容易出现一些虚假的状态信息;而且考虑到类似交换机这样的网络设备一般不容易发生损坏,因此当我们怀疑它们的工作状态出问题后,往往只需要重新启动一下,说不定就能轻松解决各种奇怪的网络故障。
当然,还有一点需要提醒各位网络管理员的是,我们一定要制定严格的机房管理制度,坚决禁止任何用户随意插拔接线柜中的网络线缆,有效防止用户私自插拔线缆而影响整个局域网的正常运行。
参考看看如下做法。
用过Vista的人都知道,Windows Vista可以调整其网络设置以最大程度上利用可用的网络带宽。不过,在有些情况下,Windows Vista会连接网络失败,这通常是由于一些较老的路由器并不总是严格遵循标准造成的。在微软的网站上有一篇很好的白皮书《Windows Vista TCP/IP Networking and IPv6 Migration》,它详细地阐述了Windows Vista是如何调整其性能,解释了默认设置背后的基本原理以及所作改变的影响和含义,大家可以下载来读一下。 如果你发现自己不能访问某个网络,你可以超级用户身份登录,进入命令行方式,然后采用本文介绍的方法。 在这里有一个小技巧:就是运行命令行工具的一个简单方法是创建一个“cmd.exe”的快捷方式,并在此快捷方式上右击(当然必须以超级用户身份登录),从d出的菜单中选择“以管理员身份运行”。 要查看当前的TCP优化设置,请在命令行中键入如下的命令:
C:\Windows\system32>netsh interface tcp show global 你应该收到一个类似于如下信息的输出内容: (查询活动状态…)Querying active state... (TCP全局参数)TCP Global Parameters
---------------------------------------------- Receive-Side Scaling State : enabled Chimney Offload State : enabled Receive Window Auto-Tuning Level : normal Add-On Congestion Control Provider : none ECN Capability : disabled RFC 1323 Timestamps : disabled 要禁用这些设置,需要在命令行执行如下的命令:
C:\Windows\system32>netsh interface tcp set global rss=disabled autotuninglevel=disabled 如果输入正确,你会收到:Ok. 好了,现在再试着连接一下网络。不过,如果你用的是有线网络的话,你可能需要“修复”你的网络连接或者对网络电缆进行拔插;对于无线网络,只需要断开网络然后再连接到网络即可。 要想将网络栈设置回正常的状态,只需要在命令行键入如下命令执行:
C:\Windows\system32>netsh interface tcp set global rss=enabled autotuninglevel=normal 注意:这里的autotuninglevel是设置为“normal”而非“enabled”。 但愿这个小技巧对你解决问题故障有点儿帮助。
感染该蠕虫病毒后网络带宽被大量占用,导致网络瘫痪,该蠕虫是利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞,对其网络进行攻击。网络常见攻击及防范手册(上)
(上) 一、前言 在网络这个不断更新换代的世界里,网络中的安全漏洞无处不在。即便旧的安全漏洞补上了,新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏 洞和安全缺陷对系统和资源进行攻击。 也许有人会对网络安全抱着无所谓的态度,认为最多不过是被攻击者盗用账号,造不成多大的危害。他们往往会认为"安全"只是针对那些大中型企事业单位和网站而言。其实,单从技术上说,黑客入侵的动机是成为目标主机的主人。只要他们获得了一台网络主机的超级用户权限后他们就有可能在该主机上修改资源配置、安置"特洛伊"程序、隐藏行踪、执行任意进程等等。我们谁又愿意别人在我们的机器上肆无忌惮地拥有这些特权呢?更何况这些攻击者的动机也不都是那么单纯。因此,我们每一个人都有可能面临着安全威胁,都有必要对网络安全有所了解,并能够处理一些安全方面的问题。 下面我们就来看一下那些攻击者是如何找到你计算机中的安全漏洞的,并了解一下他们的攻击手法。 二、网络攻击的步骤 第一步:隐藏自已的位置 普通攻击者都会利用别人的电脑隐藏他们真实的IP地址。老练的攻击者还会利用800电话的无人转接服务联接ISP,然后再盗用他人的帐号上网。 第二步:寻找目标主机并分析目标主机 攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地址,域名是为了便于记忆主机的IP地址而另起的名字,只要利用域名和IP地址就可以顺利地找到目标主机。当然,知道了要攻击目标的位置还是远远不够的,还必须将主机的 *** 作系统类型及其所提供服务等资料作个全面的了解。此时,攻击者们会使用一些扫描器工具,轻松获取目标主机运行的是哪种 *** 作系统的哪个版本,系统有哪些帐户,WWW、FTP、Telnet 、SMTP等服务器程序是何种版本等资料,为入侵作好充分的准备。 第三步:获取帐号和密码,登录主机 攻击者要想入侵一台主机,首先要有该主机的一个帐号和密码,否则连登录都无法进行。这样常迫使他们先设法盗窃帐户文件,进行破解,从中获取某用户的帐户和口令,再寻觅合适时机以此身份进入主机。当然,利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。 第四步:获得控制权 攻击者们用FTP、Telnet等工具利用系统漏洞进入进入目标主机系统获得控制权之后,就会做两件事:清除记录和留下后门。他会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程 *** 纵程序,以便日后可以不被觉察地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用了,甚至新文件的大小都和原文件一模一样。攻击者一般会使用rep传递这些文件,以便不留下FTB记录。清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动。 第五步:窃取网络资源和特权 攻击者找到攻击目标后,会继续下一步的攻击。如:下载敏感信息;实施窃取帐号密码、xyk号等经济偷窃;使网络瘫痪。 三、网络攻击的原理和手法 1、口令入侵 所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。获得普通用户帐号的方法很多,如 利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上; 利用目标主机的X.500服务:有些主机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径; 从电子邮件地址中收集:有些用户电子邮件地址常会透露其在目标主机上的帐号; 查看主机是否有习惯性的帐号:有经验的用户都知道,很多系统会使用一些习惯性的帐号,造成帐号的泄露。 这又有三种方法: (1)是通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大。监听者往往采用中途截击的方法也是获取用户帐户和密码的一条有效途径。当下,很多协议根本就没有采用任何加密或身份认证技术,如在Telnet、FTP、HTTP、SMTP等传输协议中,用户帐户和密码信息都是以明文格式传输的,此时若攻击者利用数据包截取工具便可很容易收集到你的帐户和密码。还有一种中途截击攻击方法更为厉害,它可以在你同服务器端完成"三次握手"建立连接之后,在通信过程中扮演"第三者"的角色,假冒服务器身份欺骗你,再假冒你向服务器发出恶意请求,其造成的后果不堪设想。另外,攻击者有时还会利用软件和硬件工具时刻监视系统主机的工作,等待记录用户登录信息,从而取得用户密码;或者编制有缓冲区溢出错误的SUID程序来获得超级用户权限。 (2)是在知道用户的账号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口令,这种方法不受网段限制,但攻击者要有足够的耐心和时间。如:采用字典穷举法(或称暴力法)来破解用户的密码。攻击者可以通过一些工具程序,自动地从电脑字典中取出一个单词,作为用户的口令,再输入给远端的主机,申请进入系统;若口令错误,就按序取出下一个单词,进行下一个尝试,并一直循环下去,直到找到正确的口令或字典的单词试完为止。由于这个破译过程由计算机程序来自动完成,因而几个小时就可以把上十万条记录的字典里所有单词都尝试一遍。 (3)是利用系统管理员的失误。在现代的Unix *** 作系统中,用户的基本信息存放在passwd文件中,而所有的口令则经过DES加密方法加密后专门存放在一个叫shadow的文件中。黑客们获取口令文件后,就会使用专门的破解DES加密法的程序来解口令。同时,由于为数不少的 *** 作系统都存在许多安全漏洞、Bug或一些其他设计缺陷,这些缺陷一旦被找出,黑客就可以长驱直入。例如,让Windows95/98系统后门洞开的BO就是利用了Windows的基本设计缺陷。 2、放置特洛伊木马程序 特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时,这个程序就会通知攻击者,来报告您的IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。 3、WWW的欺骗技术 在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。 一般Web欺骗使用两种技术手段,即URL地址重写技术和相关信关信息掩盖技术。利用URL地址,使这些地址都向攻击者的Web服务器,即攻击者可以将自已的Web地址加在所有URL地址的前面。这样,当用户与站点进行安全链接时,就会毫不防备地进入攻击者的服器,于是用记的所有信息便处于攻击者的监视之中。但由于浏览器材一般均设有地址栏和状态栏,当浏览器与某个站点边接时,可以在地址栏和状态样中获得连接中的Web站点地址及其相关的传输信息,用户由此可以发现问题,所以攻击者往往在URLf址重写的同时,利用相关信息排盖技术,即一般用javascript程序来重写地址样和状枋样,以达到其排盖欺骗的目的。 4、电子邮件攻击 电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸d软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪。相对于其它的攻击手段来说,这种攻击方法具有简单、见效快等优点。 电子邮件攻击主要表现为两种方式: (1)是电子邮件轰炸和电子邮件"滚雪球",也就是通常所说的邮件炸d,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被"炸",严重者可能会给电子邮件服务器 *** 作系统带来危险,甚至瘫痪; (2)是电子邮件欺骗,攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序。 5、通过一个节点来攻击其他节点 攻击者在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们可以使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。 这类攻击很狡猾,但由于某些技术很难掌握,如TCP/IP欺骗攻击。攻击者通过外部计算机伪装成另一台合法机器来实现。它能磙坏两台机器间通信链路上的数据,其伪装的目的在于哄骗网络中的其它机器误将其攻击者作为合法机器加以接受,诱使其它机器向他发送据或允许它修改数据。TCP/IP欺骗可以发生TCP/IP系统的所有层次上,包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层受到损害,则应用层的所有协议都将处于危险之中。另外由于用户本身不直接与底层相互相交流,因而对底层的攻击更具有欺骗性。
愿这里能成为我们共同的网上家园
2005-01-08 11:52
举报帖子
复制贴子
加为精华
单贴屏蔽
帖子评价
使用道具
风影
等级:管理员
威望:1500
文章:453
积分:3056
注册:2004-06-07 QQ第 2 楼
网络常见攻击及防范手册(下)
6、网络监听 网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如NetXRay for Windows95/98/NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。 7、利用黑客软件攻击 利用黑客软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件 *** 作外,同时也可以进行对方桌面抓图、取得密码等 *** 作。这些黑客软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程序登陆上已安装好服务器端程序的电脑,这些服务器端程序都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,黑客软件的服务器端就安装完成了,而且大部分黑客软件的重生能力比较强,给用户进行清除造成一定的麻烦。特别是最近出现了一种TXT文件欺骗手法,表面看上去是一个TXT文本文件,但实际上却是一个附带黑客程序的可执行程序,另外有些程序也会伪装成图片和其他格式的文件。 8、安全漏洞攻击 许多系统都有这样那样的安全漏洞(Bugs)。其中一些是 *** 作系统或应用软件本身具有的。如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符,他甚至可以访问根目录,从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击,破坏的根目录,从而获得超级用户的权限。又如,ICMP协议也经常被用于发动拒绝服务攻击。它的具体手法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,从而使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击的进攻。它们的繁殖能力极强,一般通过Microsoft的Outlook软件向众多邮箱发出带有病毒的邮件,而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。对于个人上网用户而言,也有可能遭到大量数据包的攻击使其无法进行正常的网络 *** 作。 9、端口扫描攻击 所谓端口扫描,就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。常用的扫描方式有:Connect()扫描。Fragmentation扫描 四、攻击者常用的攻击工具 1、DOS攻击工具: 如WinNuke通过发送OOB漏洞导致系统蓝屏;Bonk通过发送大量伪造的UDP数据包导致系统重启;TearDrop通过发送重叠的IP碎片导致系统的TCP/IP栈崩溃;WinArp通过发特殊数据包在对方机器上产生大量的窗口;Land通过发送大量伪造源IP的基于SYN的TCP请求导致系统重启动;FluShot通过发送特定IP包导致系统凝固;Bloo通过发送大量的ICMP数据包导致系统变慢甚至凝固;PIMP通过IGMP漏洞导致系统蓝屏甚至重新启动;Jolt通过大量伪造的ICMP和UDP导致系统变的非常慢甚至重新启动。 2、木马程序 (1)、BO2000(BackOrifice):它是功能最全的TCP/IP构架的攻击工具,可以搜集信息,执行系统命令,重新设置机器,重新定向网络的客户端/服务器应用程序。BO2000支持多个网络协议,它可以利用TCP或UDP来传送,还可以用XOR加密算法或更高级的3DES加密算法加密。感染BO2000后机器就完全在别人的控制之下,黑客成了超级用户,你的所有 *** 作都可由BO2000自带的"秘密摄像机"录制成"录像带"。 (2)、"冰河":冰河是一个国产木马程序,具有简单的中文使用界面,且只有少数流行的反病毒、防火墙才能查出冰河的存在。冰河的功能比起国外的木马程序来一点也不逊色。 它可以自动跟踪目标机器的屏幕变化,可以完全模拟键盘及鼠标输入,即在使被控端屏幕变化和监控端产生同步的同时,被监控端的一切键盘及鼠标 *** 作将反映在控端的屏幕。它可以记录各种口令信息,包括开机口令、屏保口令、各种共享资源口令以及绝大多数在对话框中出现过的口令信息;它可以获取系统信息;它还可以进行注册表 *** 作,包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表 *** 作。 (3)、NetSpy:可以运行于Windows95/98/NT/2000等多种平台上,它是一个基于TCP/IP的简单的文件传送软件,但实际上你可以将它看作一个没有权限控制的增强型FTP服务器。通过它,攻击者可以神不知鬼不觉地下载和上传目标机器上的任意文件,并可以执行一些特殊的 *** 作。 (4)、Glacier:该程序可以自动跟踪目标计算机的屏幕变化、获取目标计算机登录口令及各种密码类信息、获取目标计算机系统信息、限制目标计算机系统功能、任意 *** 作目标计算机文件及目录、远程关机、发送信息等多种监控功能。类似于BO2000。 (5)、KeyboardGhost:Windows系统是一个以消息循环(MessageLoop)为基础的 *** 作系统。系统的核心区保留了一定的字节作为键盘输入的缓冲区,其数据结构形式是队列。键盘幽灵正是通过直接访问这一队列,使键盘上输入你的电子邮箱、代理的账号、密码Password(显示在屏幕上的是星号)得以记录,一切涉及以星号形式显示出来的密码窗口的所有符号都会被记录下来,并在系统根目录下生成一文件名为KG.DAT的隐含文件。 (6)、ExeBind:这个程序可以将指定的攻击程序捆绑到任何一个广为传播的热门软件上,使宿主程序执行时,寄生程序也在后台被执行,且支持多重捆绑。实际上是通过多次分割文件,多次从父进程中调用子进程来实现的。 五、网络攻击应对策略 在对网络攻击进行上述分析与识别的基础上,我们应当认真制定有针对性的策略。明确安全对象,设置强有力的安全保障体系。有的放矢,在网络中层层设防,发挥网络的每层作用,使每一层都成为一道关卡,从而让攻击者无隙可钻、无计可使。还必须做到未雨稠缪,预防为主 ,将重要的数据备份并时刻注意系统运行状况。以下是针对众多令人担心的网络安全问题,提出的几点建议 1、提高安全意识 (1)不要随意打开来历不明的电子邮件及文件,不要随便运行不太了解的人给你的程序,比如"特洛伊"类黑客程序就需要骗你运行。 (2)尽量避免从Internet下载不知名的软件、游戏程序。即使从知名的网站下载的软件也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。 (3)密码设置尽可能使用字母数字混排,单纯的英文或者数字很容易穷举。将常用的密码设置不同,防止被人查出一个,连带到重要密码。重要密码最好经常更换。 (4)及时下载安装系统补丁程序。 (5)不随便运行黑客程序,不少这类程序运行时会发出你的个人信息。 (6)在支持HTML的BBS上,如发现提交警告,先看源代码,很可能是骗取密码的陷阱。 2、使用防毒、防黑等防火墙软件。 防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。 3、设置代理服务器,隐藏自已的IP地址。 保护自己的IP地址是很重要的。事实上,即便你的机器上被安装了木马程序,若没有你的IP地址,攻击者也是没有办法的,而保护IP地址的最好方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。 4、将防毒、防黑当成日常例性工作,定时更新防毒组件,将防毒软件保持在常驻状态,以彻底防毒。 5、由于黑客经常会针对特定的日期发动攻击,计算机用户在此期间应特别提高警戒。 6、对于重要的个人资料做好严密的保护,并养成资料备份的习惯。DOS攻击原理及方法介绍已经有很多介绍DOS(Denial of Service,即拒绝服务)攻击的文章,但是,多数人还是不知道DOS到底是什么,它到底是怎么实现的。本文主要介绍DOS的机理和常见的实施方法。因前段时间仔细了解了TCP/IP协议以及RFC文档,有点心得。同时,文中有部分内容参考了Shaft的文章翻译而得。要想了解DOS攻击得实现机理,必须对TCP有一定的了解。所以,本文分为两部分,第一部分介绍一些实现DOS攻击相关的协议,第二部分则介绍DOS的常见方式。1、 什么是DOS攻击DOS:即Denial Of Service,拒绝服务的缩写,可不能认为是微软的dos *** 作系统了。好象在5·1的时候闹过这样的笑话。拒绝服务,就相当于必胜客在客满的时候不再让人进去一样,呵呵,你想吃馅饼,就必须在门口等吧。DOS攻击即攻击者想办法让目标机器停止提供服务或资源访问,这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。比如:* 试图FLOOD服务器,阻止合法的网络通?br>* 破坏两个机器间的连接,阻止访问服务* 阻止特殊用户访问服务* 破坏服务器的服务或者导致服务器死机 不过,只有那些比较阴险的攻击者才单独使用DOS攻击,破坏服务器。通常,DOS攻击会被作为一次入侵的一部分,比如,绕过入侵检测系统的时候,通常从用大量的攻击出发,导致入侵检测系统日志过多或者反应迟钝,这样,入侵者就可以在潮水般的攻击中混骗过入侵检测系统。2、有关TCP协议的东西TCP(transmission control protocol,传输控制协议),是用来在不可靠的因特网上提供可靠的、端到端的字节流通讯协议,在RFC793中有正式定义,还有一些解决错误的东西在RFC 1122中有记录,RFC 1323则有TCP的功能扩展。我们常见到的TCP/IP协议中,IP层不保证将数据报正确传送到目的地,TCP则从本地机器接受用户的数据流,将其分成不超过64K字节的数据片段,将每个数据片段作为单独的IP数据包发送出去,最后在目的地机器中再组合成完整的字节流,TCP协议必须保证可靠性。发送和接收方的TCP传输以数据段的形式交换数据,一个数据段包括一个固定的20字节头,加上可选部分,后面再跟上数据,TCP协议从发送方传送一个数据段的时候,还要启动计时器,当数据段到达目的地后,接收方还要发送回一个数据段,其中有一个确认序号,它等于希望收到的下一个数据段的顺序号,如果计时器在确认信息到达前超时了,发送方会重新发送这个数据段。 上面,我们总体上了解一点TCP协议,重要的是要熟悉TCP的数据头(header)。因为数据流的传输最重要的就是header里面的东西,至于发送的数据,只是header附带上的。客户端和服务端的服务响应就是同header里面的数据相关,两端的信息交流和交换是根据header中的内容实施的,因此,要实现DOS,就必须对header中的内容非常熟悉。下面是TCP数据段头格式。Source Port和 Destination Port :是本地端口和目标端口Sequence Number 和 Acknowledgment Number :是顺序号和确认号,确认号是希望接收的字节号。这都是32位的,在TCP流中,每个数据字节都被编号。Data offset :表明TCP头包含多少个32位字,用来确定头的长度,因为头中可选字段长度是不定的。Reserved : 保留的6位,现在没用,都是0接下来是6个1位的标志,这是两个计算机数据交流的信息标志。接收和发送断根据这些标志来确定信息流的种类。下面是一些介绍: URG:(Urgent Pointer field significant)紧急指针。用到的时候值为1,用来处理避免TCP数据流中断ACK:(Acknowledgment field significant)置1时表示确认号(Acknowledgment Number)为合法,为0的时候表示数据段不包含确认信息,确认号被忽略。PSH:(Push Function),PUSH标志的数据,置1时请求的数据段在接收方得到后就可直接送到应用程序,而不必等到缓冲区满时才传送。RST:(Reset the connection)用于复位因某种原因引起出现的错误连接,也用来拒绝非法数据和请求。如果接收到RST位时候,通常发生了某些错误。SYN:(Synchronize sequence numbers)用来建立连接,在连接请求中,SYN=1,CK=0,连接响应时,SYN=1,ACK=1。即,SYN和ACK来区分Connection Request和Connection Accepted。FIN:(No more data from sender)用来释放连接,表明发送方已经没有数据发送。知道这重要的6个指示标志后,我们继续来。16位的WINDOW字段:表示确认了字节后还可以发送多少字节。可以为0,表示已经收到包括确认号减1(即已发送所有数据)在内的所有数据段。接下来是16位的Checksum字段,用来确保可靠性的。16位的Urgent Pointer,和下面的字段我们这里不解释了。不然太多了。呵呵,偷懒啊。我们进入比较重要的一部分:TCP连接握手过程。这个过程简单地分为三步。在没有连接中,接受方(我们针对服务器),服务器处于LISTEN状态,等待其他机器发送连接请求。第一步:客户端发送一个带SYN位的请求,向服务器表示需要连接,比如发送包假设请求序号为10,那么则为:SYN=10,ACK=0,然后等待服务器的响应。第二步:服务器接收到这样的请求后,查看是否在LISTEN的是指定的端口,不然,就发送RST=1应答,拒绝建立连接。如果接收连接,那么服务器发送确认,SYN为服务器的一个内码,假设为100,ACK位则是客户端的请求序号加1,本例中发送的数据是:SYN=100,ACK=11,用这样的数据发送给客户端。向客户端表示,服务器连接已经准备好了,等待客户端的确认这时客户端接收到消息后,分析得到的信息,准备发送确认连接信号到服务器第三步:客户端发送确认建立连接的消息给服务器。确认信息的SYN位是服务器发送的ACK位,ACK位是服务器发送的SYN位加1。即:SYN=11,ACK=101。这时,连接已经建立起来了。然后发送数据,<SYN=11,ACK=101><DATA>。这是一个基本的请求和连接过程。需要注意的是这些标志位的关系,比如SYN、ACK。3、服务器的缓冲区队列(Backlog Queue)服务器不会在每次接收到SYN请求就立刻同客户端建立连接,而是为连接请求分配内存空间,建立会话,并放到一个等待队列中。如果,这个等待的队列已经满了,那么,服务器就不在为新的连接分配任何东西,直接丢弃新的请求。如果到了这样的地步,服务器就是拒绝服务了。 如果服务器接收到一个RST位信息,那么就认为这是一个有错误的数据段,会根据客户端IP,把这样的连接在缓冲区队列中清
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)