ICMP全称Internet Control Message Protocol(网际控制信息协议)。提起ICMP,一些人可能会感到陌生,实际上,ICMP与我们息息相关。在网络体系结构的各层次中,都需要控制,而不同的层次有不同的分工和控制内容,IP层的控制功能是最复杂的,主要负责差错控制、拥塞控制等,任何控制都是建立在信息的基础之上的,在基于IP数据报的网络体系中,网关必须自己处理数据报的传输工作,而IP协议自身没有内在机制来获取差错信息并处理。为了处理这些错误,TCP/IP设计了ICMP协议,当某个网关发现传输错误时,立即向信源主机发送ICMP报文,报告出错信息,让信源主机采取相应处理措施,它是一种差错和控制报文协议,不仅用于传输差错报文,还传输控制报文。
二、ICMP报文格式
ICMP报文包含在IP数据报中,属于IP的一个用户,IP头部就在ICMP报文的前面,所以一个ICMP报文包括IP头部、ICMP头部和ICMP报文(见图表,ICMP报文的结构和几种常见的ICMP报文格式),IP头部的Protocol值为1就说明这是一个ICMP报文,ICMP头部中的类型(Type)域用于说明ICMP报文的作用及格式,此外还有一个代码(Code)域用于详细说明某种ICMP报文的类型,所有数据都在ICMP头部后面。RFC定义了13种ICMP报文格式,具体如下:
类型代码 类型描述
0 响应应答(ECHO-REPLY)
3 不可到达
4 源抑制
5 重定向
8 响应请求(ECHO-REQUEST)
11 超时
12 参数失灵
13 时间戳请求
14 时间戳应答
15 信息请求(已作废)
16 信息应答(已作废)
17 地址掩码请求
18 地址掩码应答
其中代码为15、16的信息报文已经作废。
下面是几种常见的ICMP报文:
1响应请求
我们日常使用最多的ping,就是响应请求(Type=8)和应答(Type=0),一台主机向一个节点发送一个Type=8的ICMP报文,如果途中没有异常(例如被路由器丢弃、目标不回应ICMP或传输失败),则目标返回Type=0的ICMP报文,说明这台主机存在,更详细的tracert通过计算ICMP报文通过的节点来确定主机与目标之间的网络距离。
2目标不可到达、源抑制和超时报文
这三种报文的格式是一样的,目标不可到达报文(Type=3)在路由器或主机不能传递数据报时使用,例如我们要连接对方一个不存在的系统端口(端口号小于1024)时,将返回Type=3、Code=3的ICMP报文,它要告诉我们:“嘿,别连接了,我不在家的!”,常见的不可到达类型还有网络不可到达(Code=0)、主机不可到达(Code=1)、协议不可到达(Code=2)等。源抑制则充当一个控制流量的角色,它通知主机减少数据报流量,由于ICMP没有恢复传输的报文,所以只要停止该报文,主机就会逐渐恢复传输速率。最后,无连接方式网络的问题就是数据报会丢失,或者长时间在网络游荡而找不到目标,或者拥塞导致主机在规定时间内无法重组数据报分段,这时就要触发ICMP超时报文的产生。超时报文的代码域有两种取值:Code=0表示传输超时,Code=1表示重组分段超时。
3时间戳
时间戳请求报文(Type=13)和时间戳应答报文(Type=14)用于测试两台主机之间数据报来回一次的传输时间。传输时,主机填充原始时间戳,接收方收到请求后填充接收时间戳后以Type=14的报文格式返回,发送方计算这个时间差。一些系统不响应这种报文。
三、回到正题:这样的攻击有效吗?
在前面讲过了,ping使用的是ECHO应答,不知道大家注意过没有,ping的返回很慢,用NetXRAY抓包仅为1--5包/秒,这是为什么呢?事实上,ICMP本身并不慢(由于ICMP是SOCK_RAW产生的原始报文,速度比SOCK_STREAM的SYN和SOCK_DGRAM的UDP要快几乎10倍!),这样的速度是ping程序故意延迟的(为什么?M$可不想每个人都能用ping来干坏事),同样,我测试过一些号称“ping洪水”的程序,发现它们的效率和pingexe没什么两样,经过Dependency Walker查看程序调用的函数发现,他们用的是icmpdll提供的IcmpSendEcho这个API,这个函数是计算ECHO时间的,速度当然慢!而那两个“高手”号召的ping攻击实际上就是为了实现ICMP洪水攻击,但是他们用的方法……想想洪水的速度和山涧小溪的速度相差多少吧!就用pingexe和IcmpSendEcho这种小溪慢慢流淌的速度能做什么?还不是让人家看笑话!这种攻击根本就是浪费自己的时间!(如今还经常有人问ping -l 65500 -t的攻击威力如何……哎,悲哀啊悲哀……)
四、什么是ICMP洪水?
1ICMP洪水的成因
pingexe和IcmpSendEcho速度慢的另一个原因是它们必须等待目标主机返回REPLY信息,这个过程需要花费大量时间,而Flood——洪水,顾名思义,是速度极快的,当一个程序发送数据包的速度达到了每秒1000个以上,它的性质就成了洪水产生器,洪水数据是从洪水产生器里出来的,但这样还不够,没有足够的带宽,再猛的洪水也只能像公路塞车那样慢慢移动,成了鸡肋。要做真正的洪水,就需要有一条足够宽的高速公路才可以。极慢的发送速度+56Kbps小猫等于什么?等于一个未关紧的水龙头,根本没用。
由于pingexe无法提速,这就需要专门的工具来做洪水了。足够快的数据包速度+足够的带宽,这才是洪水。
2实现ICMP洪水的前提
最大的前提是攻击者的速度!如果你要用56K拨号去攻击一个512Kbps ADSL用户,后果和一只蚂蚁伸腿想绊倒大象的天方夜谭是一样的!其次是你的机器运行速度和数据吞吐量,由于涉及IP校验和的计算(先设置头校验和域的数值为0,然后对整个数据报头按每16位求异或,再把结果取反,就得到了校验和),如果数据处理能力不够,在这步就慢了一个级别,效果当然大打折扣。最后就是目标机器的带宽!如果对方比你大很多(例如你2M ADSL,别人用DDN或T1),那么任何Flood都是无病呻吟,挠痒都不够!(希望不要再问“小金,你的R-Series怎么不好用啊”、“我用小金的AnGryPing攻击别人半天都没事!”、“独裁者的攻击怎么无效啊?”这样的问题了,天啊,我头都大了!)
还有许多人都忽略的问题:发送的速度与数据包大小成反比,而且太大的数据包会被路由器等设备过滤掉!找到一个合适的数据包大小,对提高Flood的效率有很大帮助!
3洪水——两败俱伤的攻击方式
别以为洪水无所不能,实际上,你展开洪水攻击时,攻击程序在消耗对方带宽和资源时,也在消耗你的带宽和资源。这只是个看谁撑得住的攻击而已。实际上,有经验的攻击者都是用被控制的服务器(肉鸡)来代替自己的机器发动攻击的,不到万不得已或者你对自己的机器网速有自信,否则尽量少用自己的机器来拼搏!
五、不同方式的ICMP洪水
1直接Flood
要做这个的首要条件是你的带宽够,然后就是要一个好用的ICMP Flooder,别用pingexe那种探路用的垃圾,例如我以前发布的AnGryPing,发包速度达到6000---9000包/秒(512 Kbps ADSL),默认是32bytes的ECHO报文洪水,用它即使不能flood别人下去,防火墙也叫得够惨的了。直接攻击会暴露自己IP(如果对方没有还击能力那还无所谓,固定IP用户不推荐使用这种Flood),直接Flood主要是为了顾及Win9x/Me不能伪造IP的缺陷,否则一般还是别用为妙。
简单示意:
ICMP
攻击者[IP=21197543]--------------------------------->受害者[截获攻击者IP=21197543]==>换IP回来反击,嘿嘿
2伪造IP的Flood
如果你是Win2000/XP并且是Administrator权限,可以试试看FakePing,它能随意伪造一个IP来Flood,让对方摸不到头脑,属于比较隐蔽阴险的Flood。
简单示意:
伪造IP=1111的ICMP
攻击者[IP=21197543]--------------------------------->受害者[截获攻击者IP=1111]==>倒死
3反射
用采取这种方式的第一个工具的名称来命名的“Smurf”洪水攻击,把隐蔽性又提高了一个档次,这种攻击模式里,最终淹没目标的洪水不是由攻击者发出的,也不是伪造IP发出的,而是正常通讯的服务器发出的!
实现的原理也不算复杂,Smurf方式把源IP设置为受害者IP,然后向多台服务器发送ICMP报文(通常是ECHO请求),这些接收报文的服务器被报文欺骗,向受害者返回ECHO应答(Type=0),导致垃圾阻塞受害者的门口……
从示意图可以看出,它比上面两种方法多了一级路径——受骗的主机(称为“反射源”),所以,一个反射源是否有效或者效率低下,都会对Flood效果造成影响!
简单示意:
伪造受害者的ICMP 应答
攻击者[IP=21197543]-------------------------->正常的主机--------------->受害者[截获攻击者IP=……网易?!]==>哭啊……
以上是几种常见的Flood方式,在测试中,我发现一个有趣的现象:一些防火墙只能拦截ECHO请求(Ping)的ICMP报文,对于其他ICMP报文一概睁只眼闭只眼,不知道其他防火墙有没有这个情况。所以想神不知鬼不觉对付你的敌人时,请尽量避开直接ECHO Flood,换用Type=0的ECHO应答或Type=14的时间戳应答最好,其他类型的ICMP报文没有详细测试过,大家可以试试看Type=3、4、11的特殊报文会不会有更大效果。
六、ICMP Flood能防吗?
先反问你一个问题:洪水迅猛的冲来时,你能否拿着一个脸盆来抵挡?(坐上脸盆做现代鲁宾逊倒是个不错的主意,没准能漂到MM身边呢)
软件的网络防火墙能对付一些漏洞、溢出、OOB、IGMP攻击,但是对于洪水类型的攻击,它们根本无能为力,我通常对此的解释是“倾倒垃圾”:“有蟑螂或老鼠在你家门前逗留,你可以把它们赶走,但如果有人把一车垃圾倾倒在你家门口呢?”前几天看到mikespook大哥对此有更体面的解释,转载过来——“香蕉皮原理:如果有人给你一个香蕉和一个香蕉皮你能区分,并把没有用的香蕉皮扔掉。(一般软件防火墙就是这么判断并丢弃数据包的。)但是如果有人在同一时间内在你身上倒一车香蕉皮,你再能区分有用没用也没啥作用了~~因为你被香蕉皮淹没了~~~~(所以就算防火墙能区分是DoS的攻击数据包,也只能识别,根本来不及丢弃~~死了,死了,死了~~)”
所以,洪水没法防!能做的只有提高自己的带宽和预防洪水的发生(虽然硬件防火墙和分流技术能做到,但那价格是太昂贵的,而且一般人也没必要这样做)。
如果你正在被攻击,最好的方法是抓取攻击者IP(除非对方用第一种,否则抓了没用——假的IP)后,立即下线换IP!(什么?你是固定IP?没辙了,打电话找警察叔叔吧)
七、被ICMP Flood攻击的特征
如何发现ICMP Flood?
当你出现以下症状时,就要注意是否正被洪水攻击:
1传输状态里,代表远程数据接收的计算机图标一直亮着,而你没有浏览网页或下载
2防火墙一直提示有人试图ping你
3网络速度奇慢无比
4严重时系统几乎失去响应,鼠标呈跳跃状行走
如果出现这些情况,先不要慌张,冷静观察防火墙报警的频率及IP来确认是否普通的Ping或是洪水,做出相应措施(其实大多数情况也只能换IP了)。
1普通ping
这种“攻击”一般是对方扫描网络或用ping -t发起的,没多大杀伤力(这个时候,防火墙起的作用就是延迟攻击者的数据报发送间隔时间,请别关闭防火墙!否则后果是严重的!),通常表现如下:
==============================================================
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:24] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:26] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:30] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
=============================================================
这么慢的速度,很明显是由pingexe或IcmpSendEcho发出的,如果对方一直不停的让你的防火墙吵闹,你可以给他个真正的ICMP Flood问候。
2直接Flood
这是比较够劲的真正意义洪水了,防火墙的报警密度会提高一个数量级:
==============================================================
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:20] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:21] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:21] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:21] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:21] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:21] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:21] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:21] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[13:09:21] 61151252106 尝试用Ping 来探测本机,
该 *** 作被拒绝。
=============================================================
这时候你的防火墙实际上已经废了,换个IP吧。
3伪造IP的Flood
比较厉害的ICMP Flood,使用的是伪造的IP而且一样大密度,下面是the0crat用56K拨号对我的一次攻击测试的部分数据(看看时间,真晕了,这可是56K小猫而已啊)
=============================================================
[18:52:12] 1111 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[18:52:12] 1111 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[18:52:12] 1111 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[18:52:12] 1111 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[18:52:12] 1111 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[18:52:12] 1111 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[18:52:12] 1111 尝试用Ping 来探测本机,
该 *** 作被拒绝。
[18:52:12] 1111 尝试用Ping 来探测本机,
该 *** 作被拒绝。
=============================================================
无言…………
4、反射ICMP Flood
估计现在Smurf攻击还没有多少人会用(R-Series的RSSEXE就是做这事的,RSAEXE和RSCEXE分别用作SYN反射和UDP反射),所以这种方法还没有大规模出现,但Smurf是存在的!而且这个攻击方法比前面几种更恐怖,因为攻击你的是大网站(或一些受苦受难的服务器)!
我正在被网易、万网和新浪网站攻击中(懒得修改策略,直接用其他工具抓的。实际攻击中,反射的IP会多几倍!)
=======================================================================
[15:26:32] RECV:ICMP Packet from 2021083736 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 20210836206 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 21019210330 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 2021083736 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 21019210330 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 20210836206 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 2021083736 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 21019210330 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 21019210330 (Type=0,Code=0,Len=52)
[15:26:32] RECV:ICMP Packet from 20210836206 (Type=0,Code=0,Len=52)
[15:26:33] RECV:ICMP Packet from 21019210330 (Type=0,Code=0,Len=52)
[15:26:33] RECV:ICMP Packet from 20210836206 (Type=0,Code=0,Len=52)
[15:26:33] RECV:ICMP Packet from 2021083736 (Type=0,Code=0,Len=52)
[15:26:33] RECV:ICMP Packet from 2021083736 (Type=0,Code=0,Len=52)
[15:26:33] RECV:ICMP Packet from 20210836206 (Type=0,Code=0,Len=52)
[15:26:33] RECV:ICMP Packet from 21019210330 (Type=0,Code=0,Len=52)
[15:26:33] RECV:ICMP Packet from 2021083736 (Type=0,Code=0,Len=52)
[15:26:33] RECV:ICMP Packet from 20210836206 (Type=0,Code=0,Len=52)
[15:26:33] RECV:ICMP Packet from 21019210330 (Type=0,Code=0,Len=52)
=======================================================================
可以看出,攻击者使用的是32bytes的ECHO请求,所以服务器返回52-20=32bytes的REPLY报文,在这个情况下,是不会报警的。
还是那句话,报警也没用了。
八、自己编写ICMP Flooder
以上说的都是理论,如何才能自己写一个呢?相信很多人已经跃跃欲试了,下面就用VC60来写一个直接的ICMP Flooder(能在Win98/Me环境使用)……先等等——最重要的是原理。
1程序原理
当然不能用IcmpSendEcho来做,我们必须自己从最原始的IP报文里做一个。构造一个SOCK_RAW报文后,填充ICMP数据和计算校验和(CheckSum),循环sendto发出去就完成了,so easy!
2ICMP报文的声明
一个ICMP报文包括IP头部、ICMP头部和ICMP报文,用IPPROTO_ICMP创建这个类型的IP包,用以下结构填充:
typedef struct _ihdr
{
BYTE i_type; //8位类型
BYTE i_code; //8位代码
USHORT i_cksum; //16位校验和
USHORT i_id; //识别号
USHORT i_seq; //报文序列号
ULONG timestamp; //时间戳
}ICMP_HEADER;想彻底解决“服务器没有事务处理”问题的同志请仔细阅读
自Windows 2000系统以后,微软就不再用NETBIOS来注册计算机名,也不再靠WINS对计算机名称进行解析,而是全部交付给了DNS。
那么Windows系统是如何通过以上名称注册和解析原理来实现在“网上邻居”上的浏览的呢?这就是要涉及到Windows系统中的一个非常重要的服务--Computer Browser Service(计算机浏览器服务)。 计算机浏览服务是一系列分布式的含有可用的网络资源列表,这些列表分布在一些计算机上,提出浏览请求的计算机充当浏览工作站,而提供浏览列表的计算机充当浏览服务器。
浏览器的种类及运行该服务的计算机为实现网络浏览目的而执行的各种职能介绍如下:
域主浏览器―――仅用于域环境。在默认情况下,域的主域控制器 (PDC) 完成该任务。 收集和维护域中可用服务器的主浏览列表,以及网络中其他域和工作组的名称。分配和同步其他子网中主浏览器的主浏览列表,该子网有属于相同域的计算机。
主浏览器 ―――收集和维护子网中可用网络服务器的主浏览列表。完全复制列出的包括主浏览列表的信息以获得网络的完整浏览列表。向同一子网上的备份浏览器分发完整列表。
备份浏览器―――从主浏览器接收本子网的浏览列表副本。根据请求向其他计算机分发浏览列表。
潜在浏览器―――在正常情况下,按非浏览器运行。在接到子网主浏览器指令后才会成为备份浏览器。
在某些条件下,如果担任指定浏览器职能的计算机失效或关闭,浏览器(或潜在浏览器)可能改作其他职能。这通常通过称作“浏览器选举”的过程来执行。在Windows *** 作系统的早期版本中浏览服务可理解为三个关键过程:
1)浏览信息的收集
当子网上的主浏览器收到主机声明后,将发送计算机的名称合并到当前的浏览列表中。如果名称已经存在,则刷新列表。如果名称不存在,则添加到列表。
(2)浏览信息的分发
浏览列表由子网主浏览器分发给备份浏览器。主浏览器必须周期性地向本地子网广播包含配置的域或工作组名称的声明消息。该消息确认主浏览器在网络上的存在。如果主浏览器在一段时间不能声明自己,则将发生浏览器选举。一旦主浏览器存在或(因失败事件而)被替换,其他备份浏览器周期性地与其联系以获得其所维护子网浏览列表的更新副本。
(3)向来自客户的浏览请求提供服务
当浏览客户计算机在子网上启动后,将向主浏览器请求在子网上备份浏览器的列表。主浏览器响应该请求并向客户端提供包含三个备份浏览器的列表。浏览客户端则随机地从列表中选择一个备份浏览器并与其联系以获得浏览列表副本。被选中的备份浏览器响应该客户机,给它一个域或工作组的服务器列表。客户机再从该服务器列表中取得这个服务器上的可用资源的列表。
浏览器选举
在NT域环境下或工作组环境下,浏览服务维护着一个浏览列表,它包含所有可使用的域、工作组和计算机名等,是共享资源的目录。当我们使用“网上邻居”时,就在使用这个浏览服务。这些系统的浏览服务系统同样包含了主浏览器、备份浏览器和浏览器客户等角色。
(1)选举是通过发广播来实现的,如果哪个计算机的选举条件比它收到的报文要好,则它将广播自己的选举条件,收到别人的选举条件后每个计算机根据自己在域中的角色延迟不等的时间后再做反应,这样能减少选举条件较差的计算机发送选举报文。 (2)当一个计算机选举成为主浏览器并且它的浏览列表是空时,它将广播一个请求通知的报文,强迫所有的计算机必须在30秒内给予答复,这个30秒的时间是为了防止服务器过载或报文丢失。 (3)除了承担主浏览器和备份浏览器任务的计算机外,其他计算机将向主浏览器周期性地发布通知,告知自己是可利用的资源。这个时间开始是1分钟、2分钟、4分钟、8分钟,以后就是每12分钟一次了。 (4)如果某个计算机关机了,主浏览器连续3个周期也就是36分钟没有收到它的消息,将认定它不可用,并从浏览列表中删掉它。但是它还留在备份浏览器的计算机里,备份浏览器每隔15分钟呼叫主浏览器一次以获得更新的网络资源列表,也就是说不可用的资源最多要等到36+15=51分钟后才会从网上彻底消失。这就是为什么有的计算机改了名,但旧名字依旧留在网上一段时间的原因。 在一个工作组里有一个主浏览器,那么在多个工作组、多个域甚至多个子网里中又将如何呢?这就需要一个域主浏览器,每个工作组或域的主浏览器要周期性地向这个域主浏览器发送自已所管辖的列表,这个周期开始是1分钟,5次后是15分钟。如果3个周期内没有收到这个报文,域主浏览器也将它从自己的列表中去除。也就是说,当一个工作组失效后,它还将在主列表中保留45分钟。域主浏览器默认为主域控制器,Windows XP Professional版本的计算机不能担此重任。当收到浏览列表后,计算机必须能解析里面的NetBIOS名,这就要求网络的WINS服务或DNS服务必须正常,浏览才能正常,因为浏览的选举过程是通过UDP广播实现的。
作为网络管理员,当网上邻居出现问题时,要一步步分析,看是暂时的还是选举过程出了问题。目前没有办法证明浏览列表是否完整,但有办法发现某可用资源是否在列表里,甚至可以强迫开始一次选举。
注意:重启服务器上的COMPUTER BROWSER服务,打开服务器上的ipc$,确保客户端全部打开,在服务器端用“ping 客户端IP”逐一ping过来,确保可以全部ping通。如果客户端是win2000的话,也要重启一下COMPUTER BROWSER服务,
彻底解决方法的话,最好是建立一个域,由主域控制器来充当浏览服务是最理想的。
不同情况解决方法不同,以上是原理分析,下面介绍常见的解决办法(可能不适用于您的情况):
1、局域网“服务器没有设置事务处理”是因为局域网的主控浏览服务器的列表文件坏了,首先查毒,如果没有病毒的话
解决的办法就是:先在局域网中找一台WIN2K,改个工作组名,然后依次改剩下的机器的(如果局域网中有WIN2K SERVER的就先改SERVER)
2、文章分类: 局域网
文章标题: 点击网上邻居的工作组,出现服务器没有设置事务处理
关 键 字: 0
文章作者: alonglee 转
文章来源: 0
发表时间: 2004-6-20 1:59:00
上次我发了一篇《服务器没有设置事务处理-故障处理》,后来发现这个问题并不那么简单,再找来一篇文章:
这是一个以前遇见过的问题,就是A win2000 ,发现自己的c,d默认共享没有了,ipc共享也没有了,别人在网上邻居访问A计算机会出现,“服务器没有设置事务处理”,自己访问自己用unc路径也不能访问,但A win2000访问别人没有问题,查了一下资料,发现是中毒了。
首先,我在进程中查看到一个叫wuamgrdexe这个进程,证明中了一种叫“w32spybotworm的病毒“,在进程中结束她,然后在%SYSTEM%\SYSTEM32 下找\wuamgrdEXE,把它删除,重新启动,发现问题解决,共享恢复,unc访问正常。
以下是技术资料,可以完全清除病毒:
这是一个叫w32spybotworm的病毒
W32SpybotWorm is a detection for a family of worms that spreads using KaZaA file-sharing and mIRC This worm can also spread to computers infected with common back door Trojan horses
W32SpybotWorm can perform different back door-type functions by connecting to a configurable IRC server and joining a specific channel to listen for instructions
技术细节,这个病毒会干什么事呢?请看
W32SpybotWorm
Discovered on: April 16, 2003
Last Updated on: May 20, 2004 02:27:17 PM
W32SpybotWorm is a detection for a family of worms that spreads using KaZaA file-sharing and mIRC This worm can also spread to computers infected with common back door Trojan horses
W32SpybotWorm can perform different back door-type functions by connecting to a configurable IRC server and joining a specific channel to listen for instructions
----------
Note: The October 8, 2003, virus definitions contain a modified W32SpybotWorm detection which accounts
for a minor variation discovered on October 7, 2003
-----------------------------------------
Also Known As: WormP2PSpyBotgen [KAV], W32/Spybot-Fam [Sophos], W32/Spybotwormgen [McAfee], WORM_SPYBOTGEN [Trend], Win32Spybotgen [CA]
Type: Worm
Infection Length: various
Systems Affected: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
Systems Not Affected: Macintosh, OS/2, UNIX, Linux
Virus Definitions (Intelligent Updater)
April 16, 2003
Virus Definitions (LiveUpdate™)
April 16, 2003
Intelligent Updater definitions are released daily, but require manual download and installation
Click here to download manually
LiveUpdate virus definitions are usually released every Wednesday
Click here for instructions on using LiveUpdate
Wild:
Number of infections: More than 1000
Number of sites: More than 10
Geographical distribution: High
Threat containment: Easy
Removal: Moderate
Threat Metrics
Wild:
Medium
Damage:
Medium
Distribution:
Medium
Damage
Payload:
Releases confidential info: Sends personal data to an IRC channel
Compromises security settings: Allows unauthorized commands to be executed on an infected machine
Distribution
Shared drives: Spreads using the KaZaA file-sharing network, as well as spreading through mIRC
When W32SpybotWorm is executed, it does the following:
Copies itself to the %System% folder
-------------------------------------------------------------
Note: %System% is a variable The worm locates the System folder and copies itself to that location
By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
or C:\Windows\System32 (Windows XP)
----------------------------------------------------------------
如果是WINDOWS 2000系统,这个病毒会将自身复制在%SYSTEM%\SYSTEM32\下,
文件名就是wuamgrdEXE,而且是系统,隐含属性。
文件名,图标与WINDOWS自动更新的客户端取的差不多,极易忽视。然后会在注册表中创建下列的键值
Can be configured to creates and share a folder on the KaZaA file-sharing network,
by adding the following registry value:
"dir0"="012345:<configurable path>"
to the registry key:
HKEY_CURRENT_USER\SOFTWARE\KAZAA\LocalContent
Copies itself to the configured path as file names that are designed to
trick other users into downloading and executing the worm
Can be configured to perform Denial of Service (DoS) attacks on specified servers
Can be configured to terminate security product processes
Connects to specified IRC servers and joins a channel to receive commands
One such command is to copy itself to many hard-coded Windows Startup Folders, such as the following:
Documents and Settings\All Users\Menu Start\Programma’s\Opstarten
WINDOWS\All Users\Start Menu\Programs\StartUp
WINNT\Profiles\All Users\Start Menu\Programs\Startup
WINDOWS\Start Menu\Programs\Startup
Documenti e Impostazioni\All Users\Start Menu\Programs\Startup
Dokumente und Einstellungen\All Users\Start Menu\Programs\Startup
Documents and Settings\All Users\Start Menu\Programs\Startup
----------------------------------------------------------------
Note: Symantec Security Response has received reports of variants of this worm creating zero-byte files in the Startup folder These files may have file names such as TFTP780 or
TFTP###, where # can be any number
-----------------主要会在下面的键值创建
Adds a variable registry value to one or more of the following registry keys:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionRunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionRunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
For example:
"Microsoft Update" = "wuamgrdexe"
May log keystrokes to a file in the System folder
May send personal information, such as the operating system, IP address, user name, and so on, to the IRC server
May open a back-door port
解决方法:
The following instructions pertain to all current and recent Symantec antivirus products,
including the Symantec AntiVirus and Norton AntiVirus product lines
1.Disable System Restore (Windows Me/XP)
2.Update the virus definitions
3.Restart the computer in Safe mode
4.Run a full system scan, and delete all files that are detected as W32SpybotWorm
Delete the value that was added to the registry
Delete any zero-byte files in the Startup folder
For specific details on each of these steps, read the following instructions
1 Disabling System Restore (Windows Me/XP)
If you are running Windows Me or Windows XP, we recommend that you temporarily
turn off System Restore Windows Me/XP uses this feature, which is enabled by default,
to restore the files on your computer in case they become damaged If a virus, worm, or
Trojan infects a computer, System Restore may back up the virus, worm, or Trojan on the computer
Windows prevents outside programs, including antivirus programs, from modifying System Restore
Therefore, antivirus programs or tools cannot remove threats in the System Restore folder
As a result, System Restore has the potential of restoring an infected file on your computer,
even after you have cleaned the infected files from all the other locations
Also, a virus scan may detect a threat in the System Restore folder even though you have removed the threat
For instructions on how to turn off System Restore, read your Windows documentation or one of the following articles:
"How to disable or enable Windows Me System Restore"
"How to turn off or turn on Windows XP System Restore"
For additional information, and an alternative to disabling Windows Me System Restore,
see the Microsoft Knowledge Base article, "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder,"
Article ID: Q263455
2 Updating the virus definitions
Symantec Security Response fully tests all virus definitions for quality assurance before they are posted to our servers
There are two ways to obtain the most recent virus definitions:
Running LiveUpdate, which is the easiest way to obtain virus definitions
These virus definitions are posted to the LiveUpdate servers once each week (usually on Wednesdays),
unless there is a major virus outbreak To determine whether definitions for
this threat are available by LiveUpdate, refer to the Virus Definitions (LiveUpdate)
Downloading the definitions using the Intelligent Updater
The Intelligent Updater virus definitions are posted on US business days (Monday through Friday)
You should download the definitions from the Symantec Security Response Web site and manually install them
To determine whether definitions for this threat are available by the Intelligent Updater, refer to the
Virus Definitions (Intelligent Updater)
The Intelligent Updater virus definitions are available: Read "How to update virus definition files using the
Intelligent Updater" for detailed instructions
3 Restarting the computer in Safe mode
Restart the computer in Safe mode All the Windows 32-bit operating systems, except for Windows NT, can be restarted in Safe mode
NOTE: The following instructions are basic and can vary slightly depending on the operating system
If the computer is running, shut down Windows and then turn off the power
Wait 30 seconds, and then turn on the computer
Start tapping the F8 key
When the Startup Menu appears, ensure that the Safe mode option is selected In most cases, i
t is the first item in the list and is selected by default (If it is not selected, use the arrow keys to select it)
Press Enter The computer will start in Safe mode This can take a few minutes
When you are finished with all the troubleshooting, close all the programs and restart the
computer as you normally would
4 Scanning for and deleting the infected files
Start your Symantec antivirus program and make sure that it is configured to scan all the files
For Norton AntiVirus consumer products
Read the document "How to configure Norton AntiVirus to scan all files"
For Symantec AntiVirus Enterprise products
Read the document "How to verify that a Symantec Corporate antivirus product is set to scan all files"
Run a full system scan
If any files are detected as infected with W32SpybotWorm, write down the file names, and then click Delete
5 Deleting the value from the registry
WARNING: Symantec strongly recommends that you back up the registry before making any
changes to it Incorrect changes to the registry can result in permanent data loss or corrupted files
Modify the specified keys only Read the document, "How to make a backup of the Windows registry,
" for instructions
Click Start, and then click Run (The Run dialog box appears)
Type regedit
then click OK (The Registry Editor opens)
Navigate to the key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
In the right pane, delete any values that refer to the file name that was detected as infected with W32SpybotWorm
Navigate to the following key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRunOnce
In the right pane, delete any values that reference the file name in step d
Navigate to the following key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionRunServices
In the right pane, delete any values that reference the file name in step d
Navigate to the following key:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
In the right pane, delete any values that reference the file name in step d
Exit the Registry Editor
6 Delete the zero-byte files from the Startup folder
Follow the instructions for your version of Windows:
NOTE: There may be legitimate files on your system that start with "tftp" Delete only the zero-byte files from the Startup folder
To delete zero-byte files in Windows 95/98/Me/NT/2000
On the Windows taskbar, click Start > Find (or Search) > Files or Folders
Make sure that "Look in" is set to (C:) and that "Include subfolders" is checked
In the "Named" or "Search for" box, type--or copy and paste--the following file name:
tftp
Click Find Now or Search Now
Delete the files that are zero-bytes in size and contained within any folder whose name ends with "Startup"
To delete zero-byte files in Windows XP
On the Windows taskbar, click Start > Search
Click "All files and folders"
In the "All or part of the file name" box, type--or copy and paste--the following file name:
tftp
Verify that "Look in" is set to "Local Hard Drives" or to (C:)
Click "More advanced options"
Check "Search system folders"
Check "Search subfolders"
Click Search
Delete the files that are zero-bytes in size and contained within any folder whose name ends with "Startup"
Revision History:
May 17, 2004: Added reference to possible registry key modification
October 8, 2003: Added information regarding updated detection released in virus definitions on this day
August 13, 2003: Updated removal instructions for Safe Mode
August 7, 2003:
Upgraded from Category 1 to Category 2 due to increased prevalence
Added information pertaining to the existence of 0-byte files in the StartUp folder
按上面方法,清除后,解决问题,也能够共享文件,IPC$等几个默认共享也全部出现了。系统正常根据我的经验看,性能其实不相上下,跑分的话4600+要强一些,基本上认为就是PD32G和4200+性能差不多
但是PD的功耗比4600+大了要一半,而且数据延迟厉害--不然比4600+要强一些,如果要选肯定是4600+IP地址通俗的说就是门牌号码具体的位置由最多有12位组成的例如最常见的192168135等等
子网掩码子网掩码是一个32位地址,用于屏蔽IP地址的一部分以区别网络标识和主机标识,并说明该IP地址是在局域网上,还是在远程网上 好像是邮政编码似的可以很快地就可以192168255255
默认网关就是网关是互连网络中 *** 作在OSI运输层之上的设施,所以称为设施, 是因为网关不一定是一台设备,有可能在一台主机中实现网关功能,例如``我们通常都喜欢用一台机器做主机其他的串联上去一起上网那么这个主机就是网关了默认网关顾名思义
DNS就是域名解析服务器就是你再上网的时候都是输入的都是想>
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)