當(dāng)服務(wù)器被攻擊時(shí)，最容易被人忽略的地方，就是記錄文件，服務(wù)器的記錄文件了黑客活動(dòng)的蛛絲馬跡。在這里，我為大家介紹一下兩種常見的網(wǎng)頁服務(wù)器中最重要的記錄文件，分析服務(wù)器遭到攻擊后，黑客在記錄文件中留下什么記錄。

目前最常見的網(wǎng)頁服務(wù)器有兩種：Apache和微軟的Internet Information Server （簡(jiǎn)稱IIS）。這兩種服務(wù)器都有一般版本和SSL認(rèn)證版本，方便黑客對(duì)加密和未加密的服務(wù)器進(jìn)行攻擊。

IIS的預(yù)設(shè)記錄文件地址在 c:winntsystem32logfilesw3svc1的目錄下，文件名是當(dāng)天的日期，如yymmdd.log。系統(tǒng)會(huì)每天產(chǎn)生新的記錄文件。預(yù)設(shè)的格式是W3C延伸記錄文件格式（W3C Extended Log File Format），很多相關(guān)軟件都可以解譯、分析這種格式的檔案。記錄文件在預(yù)設(shè)的狀況下會(huì)記錄時(shí)間、客戶端IP地址、method（GET、POST等）、URI stem（要求的資源）、和HTTP狀態(tài)（數(shù)字狀態(tài)代碼）。這些字段大部分都一看就懂，可是HTTP狀態(tài)就需要解讀了。一般而言，如果代碼是在200到299代表成功。常見的200狀態(tài)碼代表符合客戶端的要求。300到399代表必須由客戶端采取動(dòng)作才能滿足所提出的要求。400到499和500到599代表客戶端和服務(wù)器有問題。最常見的狀態(tài)代碼有兩個(gè)，一個(gè)是404，代表客戶端要求的資源不在服務(wù)器上，403代表的是所要求的資源拒絕服務(wù)。Apache記錄文件的預(yù)設(shè)儲(chǔ)存位置在/usr/local/apache/logs。最有價(jià)值的記錄文件是access_log，不過 ssl_request_log和ssl_engine_log也能提供有用的資料。 access_log記錄文件有七個(gè)字段，包括客戶端IP地址、特殊人物識(shí)別符、用戶名稱、日期、Method Resource Protocol（GET、POST等；要求哪些資源；然后是協(xié)議的版本）、HTTP狀態(tài)、還有傳輸?shù)淖止?jié)。

我在這里所用的是與黑客用的相似的模擬攻擊網(wǎng)站方式和工具。

分析過程

網(wǎng)頁服務(wù)器版本是很重要的信息，黑客一般先向網(wǎng)頁服務(wù)器提出要求，讓服務(wù)器送回本身的版本信息。只要把「HEAD / HTTP/1.0」這個(gè)字符串用常見的netcat utility和OpenSSL binary送到開放服務(wù)器的通訊端口就成了。注意看下面的示范：



C:>nc -n 10.0.2.55 80

HEAD / HTTP/1.0

HTTP/1.1 200 OK

Server: Microsoft-IIS/4.0

Date: Sun, 08 Mar 2001 14:31:00 GMT

Content-Type: text/html

Set-Cookie: ASPSESSIONIDGQQQQQPA=IHOJAGJDECOLLGIBNKMCEEED; path=/

Cache-control: private


這種形式的要求在IIS和Apache的記錄文件中會(huì)生成以下記錄：



IIS: 15:08:44 11.1.2.80 HEAD /Default.asp 200

Linux: 11.1.2.80 - - [08/Mar/2001:15:56:39 -0700] "HEAD / HTTP/1.0" 200 0


雖然這類要求合法，看似很平常，不過卻常常是網(wǎng)絡(luò)攻擊的前奏曲。access_log和IIS的記錄文件沒有表明這個(gè)要求是連到SSL服務(wù)器還是一般的網(wǎng)頁服務(wù)器，可是Apache的 ssl_request_log和ssl_engine_log（在/usr/local/apache/logs目錄下）這兩個(gè)記錄文件就會(huì)記錄是否有聯(lián)機(jī)到SSL服務(wù)器。請(qǐng)看以下的ssl_request_log記錄文件：



[07/Mar/2001:15:32:52 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "HEAD / HTTP/1.0" 0


第三和第四個(gè)字段表示客戶端使用的是哪種加密方式。以下的ssl_request_log分別記錄從OpenSSL、 Internet Explorer和Netscape客戶端程序發(fā)出的要求。



[07/Mar/2001:15:48:26 -0700] 11.1.1.50 SSLv3 EDH-RSA-DES-CBC3-SHA "GET / HTTP/1.0" 2692

[07/Mar/2001:15:52:51 -0700] 10.0.2.55 TLSv1 RC4-MD5 "GET / HTTP/1.1" 2692

[07/Mar/2001:15:54:46 -0700] 11.1.1.50 SSLv3 EXP-RC4-MD5 "GET / HTTP/1.0" 2692

[07/Mar/2001:15:55:34 –0700] 11.1.2.80 SSLv3 RC4-MD5 “GET / HTTP/1.0” 2692



另外黑客通常會(huì)復(fù)制一個(gè)網(wǎng)站（也就是所謂的鏡射網(wǎng)站。），來取得發(fā)動(dòng)攻擊所需要的信息。網(wǎng)頁原始碼中的批注字段常有目錄、文件名甚至密碼的有用資料。復(fù)制網(wǎng)站常用的工具包括窗口系統(tǒng)的Teleport Pro（網(wǎng)址：http://www.tenmax.com/teleport/pro/home.htm）和Unix系統(tǒng)的wget（網(wǎng)址：http://www.gnu.org/manual/wget/）。在這里我為大家分析wget和TeleportPro這兩個(gè)軟件攻擊網(wǎng)頁服務(wù)器后記錄文件中的內(nèi)容。這兩個(gè)軟件能全面快速搜尋整個(gè)網(wǎng)站，對(duì)所有公開的網(wǎng)頁提出要求。只要檢查一下記錄文件就知道，要解譯鏡射這個(gè)動(dòng)作是很簡(jiǎn)單的事。以下是IIS的記錄文件：



16:28:52 11.1.2.80 GET /Default.asp 200

16:28:52 11.1.2.80 GET /robots.txt 404

16:28:52 11.1.2.80 GET /header_protecting_your_privacy.gif 200

16:28:52 11.1.2.80 GET /header_fec_reqs.gif 200

16:28:55 11.1.2.80 GET /photo_contribs_sidebar.jpg 200

16:28:55 11.1.2.80 GET /g2klogo_white_bgd.gif 200

16:28:55 11.1.2.80 GET /header_contribute_on_line.gif 200



注：11.1.2.80這個(gè)主機(jī)是Unix系統(tǒng)的客戶端，是用wget軟件發(fā)出請(qǐng)求。


16:49:01 11.1.1.50 GET /Default.asp 200

16:49:01 11.1.1.50 GET /robots.txt 404

16:49:01 11.1.1.50 GET /header_contribute_on_line.gif 200

16:49:01 11.1.1.50 GET /g2klogo_white_bgd.gif 200

16:49:01 11.1.1.50 GET /photo_contribs_sidebar.jpg 200

16:49:01 11.1.1.50 GET /header_fec_reqs.gif 200

16:49:01 11.1.1.50 GET /header_protecting_your_privacy.gif 200


注：11.1.1.50系統(tǒng)是窗口環(huán)境的客戶端，用的是TeleportPro發(fā)出請(qǐng)求。

注意：以上兩個(gè)主機(jī)都要求robots.txt這個(gè)檔，其實(shí)這個(gè)檔案是網(wǎng)頁管理員的工具，作用是防止wget和TeleportPro這類自動(dòng)抓文件軟件對(duì)某些網(wǎng)頁從事抓取或搜尋的動(dòng)作。如果有人提出robots.txt檔的要求，常常代表是要鏡射整個(gè)網(wǎng)站。但，TeleportPro和wget這兩個(gè)軟件都可以把要求robots.txt這個(gè)文件的功能取消。另一個(gè)偵測(cè)鏡射動(dòng)作的方式，是看看有沒有同一個(gè)客戶端IP反復(fù)提出資源要求。

黑客還可以用網(wǎng)頁漏洞稽核軟件：Whisker，來偵查網(wǎng)頁服務(wù)器有沒有安全后門（主要是檢查有沒有cgi-bin程序，這種程序會(huì)讓系統(tǒng)產(chǎn)生安全漏洞）。以下是IIS和Apache網(wǎng)頁服務(wù)器在執(zhí)行Whisker后產(chǎn)生的部分記錄文件。



IIS：

13:17:56 11.1.1.50 GET /SiteServer/Publishing/viewcode.asp 404

13:17:56 11.1.1.50 GET /msadc/samples/adctest.asp 200

13:17:56 11.1.1.50 GET /advworks/equipment/catalog_type.asp 404

13:17:56 11.1.1.50 GET /iisadmpwd/aexp4b.htr 200

13:17:56 11.1.1.50 HEAD /scripts/samples/details.idc 200

13:17:56 11.1.1.50 GET /scripts/samples/details.idc 200

13:17:56 11.1.1.50 HEAD /scripts/samples/ctguestb.idc 200

13:17:56 11.1.1.50 GET /scripts/samples/ctguestb.idc 200

13:17:56 11.1.1.50 HEAD /scripts/tools/newdsn.exe 404

13:17:56 11.1.1.50 HEAD /msadc/msadcs.dll 200

13:17:56 11.1.1.50 GET /scripts/iisadmin/bdir.htr 200

13:17:56 11.1.1.50 HEAD /carbo.dll 404

13:17:56 11.1.1.50 HEAD /scripts/proxy/ 403

13:17:56 11.1.1.50 HEAD /scripts/proxy/w3proxy.dll 500

13:17:56 11.1.1.50 GET /scripts/proxy/w3proxy.dll 500


Apache：

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfcache.map HTTP/1.0" 404 266

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfide/Administrator/startstop.html
HTTP/1.0" 404 289

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cfappman/index.cfm HTTP/1.0" 404 273

11.1.1.50 - - [08/Mar/2001:12:57:28 -0700] "GET /cgi-bin/ HTTP/1.0" 403 267

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "GET /cgi-bin/dbmlparser.exe HTTP/1.0" 404 277

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_inf.html HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /_vti_pvt/ HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/webdist.cgi HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/handler HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/wrap HTTP/1.0" 404 0

11.1.1.50 - - [08/Mar/2001:12:57:29 -0700] "HEAD /cgi-bin/pfdisplay.cgi HTTP/1.0" 404 0



大家要偵測(cè)這類攻擊的關(guān)鍵，就在于從單一IP地址發(fā)出大量的404 HTTP狀態(tài)代碼。只要注意到這類信息，就可以分析對(duì)方要求的資源；于是它們就會(huì)拼命要求提供 cgi-bin scripts（Apache 服務(wù)器的 cgi-bin 目錄；IIS服務(wù)器的 scripts目錄）。

小結(jié)

網(wǎng)頁如果被人探訪過，總會(huì)在記錄文件留下什么線索。如果網(wǎng)頁管理員警覺性夠高，應(yīng)該會(huì)把分析記錄文件作為追查線索，并且在檢查后發(fā)現(xiàn)網(wǎng)站真的有漏洞時(shí)，就能預(yù)測(cè)會(huì)有黑客攻擊網(wǎng)站。

接下來我要向大家示范兩種常見的網(wǎng)頁服務(wù)器攻擊方式，分析服務(wù)器在受到攻擊后黑客在記錄文件中痕跡。

（1）MDAC攻擊

MDAC攻擊法可以讓網(wǎng)頁的客戶端在IIS網(wǎng)頁服務(wù)器上執(zhí)行命令。如果有人開始攻擊IIS服務(wù)器，記錄文件就會(huì)記下客戶端曾經(jīng)呼叫msadcs.dll文檔：



17:48:49 12.1.2.8 GET /msadc/msadcs.dll 200

17:48:51 12.1.2.8 POST /msadc/msadcs.dll 200


（2）利用原始碼漏洞

第二種攻擊方式也很普遍，就是會(huì)影響ASP和Java網(wǎng)頁的暴露原始碼漏洞。 最晚被發(fā)現(xiàn)的安全漏洞是 +.htr 臭蟲，這個(gè)bug會(huì)顯示ASP原始碼。 如果有人利用這個(gè)漏洞攻擊，就會(huì)在IIS的記錄文件里面留下這些線索：



17:50:13 11.1.2.80 GET /default.asp+.htr 200


網(wǎng)頁常會(huì)只讓有權(quán)限的使用者進(jìn)入。接下來我們要讓各位看 Apache的access_log記錄文件會(huì)在登錄失敗時(shí)留下什么線索：



12.1.2.8 - user [08/Mar/2001:18:58:29 -0700] "GET /private/ HTTP/1.0" 401 462


注：第三欄里面的使用者名稱是「user」。還有要注意HTTP的狀態(tài)代號(hào)是401，代表非法存取。

虛擬主機(jī)服務(wù)商在運(yùn)營(yíng)過程中可能會(huì)受到黑客攻擊，常見的攻擊方式有SYN，DDOS等。通過更換IP，查找被攻擊的站點(diǎn)可能避開攻擊，但是中斷服務(wù)的時(shí)間比較長(zhǎng)。比較徹底的解決方法是添置硬件防火墻。不過，硬件防火墻價(jià)格比較昂貴。可以考慮利用Linux系統(tǒng)本身提供的防火墻功能來防御。

1. 抵御SYN

SYN攻擊是利用TCP/IP協(xié)議3次握手的原理，發(fā)送大量的建立連接的網(wǎng)絡(luò)包，但不實(shí)際建立連接，最終導(dǎo)致被攻擊服務(wù)器的網(wǎng)絡(luò)隊(duì)列被占滿，無法被正常用戶訪問。Linux內(nèi)核提供了若干SYN相關(guān)的配置，用命令：


sysctl -a | grep syn


看到：


net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5


tcp_max_syn_backlog是SYN隊(duì)列的長(zhǎng)度，tcp_syncookies是一個(gè)開關(guān)，是否打開SYN Cookie功能，該功能可以防止部分SYN攻擊。tcp_synack_retries和tcp_syn_retries定義SYN的重試次數(shù)。加大SYN隊(duì)列長(zhǎng)度可以容納更多等待連接的網(wǎng)絡(luò)連接數(shù)，打開SYN Cookie功能可以阻止部分SYN攻擊，降低重試次數(shù)也有一定效果。

調(diào)整上述設(shè)置的方法是：

增加SYN隊(duì)列長(zhǎng)度到2048：


sysctl -w net.ipv4.tcp_max_syn_backlog=2048


打開SYN COOKIE功能：


sysctl -w net.ipv4.tcp_syncookies=1


降低重試次數(shù)：


sysctl -w net.ipv4.tcp_synack_retries=3
sysctl -w net.ipv4.tcp_syn_retries=3


為了系統(tǒng)重啟動(dòng)時(shí)保持上述配置，可將上述命令加入到/etc/rc.d/rc.local文件中。



2. 抵御DDOS

DDOS，分布式拒絕訪問攻擊，是指黑客組織來自不同來源的許多主機(jī)，向常見的端口，如80，25等發(fā)送大量連接，但這些客戶端只建立連接，不是正常訪問。由于一般Apache配置的接受連接數(shù)有限（通常為256），這些“假” 訪問會(huì)把Apache占滿，正常訪問無法進(jìn)行。

Linux提供了叫ipchains的防火墻工具，可以屏蔽來自特定IP或IP地址段的對(duì)特定端口的連接。使用ipchains抵御DDOS，就是首先通過netstat命令發(fā)現(xiàn)攻擊來源地址，然后用ipchains命令阻斷攻擊。發(fā)現(xiàn)一個(gè)阻斷一個(gè)。

打開ipchains功能

首先查看ipchains服務(wù)是否設(shè)為自動(dòng)啟動(dòng)：

chkconfig --list ipchains

輸出一般為：

ipchains 0:off 1:off 2:on 3:on 4:on 5:on 6:off

如果345列為on，說明ipchains服務(wù)已經(jīng)設(shè)為自動(dòng)啟動(dòng)如果沒有，可以用命令：

chkconfig --add ipchains

將ipchains服務(wù)設(shè)為自動(dòng)啟動(dòng)。

其次，察看ipchains配置文件/etc/sysconfig/ipchains是否存在。如果這一文件不存在，ipchains即使設(shè)為自動(dòng)啟動(dòng)，也不會(huì)生效。缺省的ipchains配置文件內(nèi)容如下：


# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
:input ACCEPT
:forward ACCEPT
:output ACCEPT
-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
# allow http,ftp,smtp,ssh,domain via tcp; domain via udp
-A input -p tcp -s 0/0 -d 0/0 pop3 -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 http -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 https -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 ftp -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 smtp -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 ssh -y -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 domain -y -j ACCEPT
-A input -p udp -s 0/0 -d 0/0 domain -j ACCEPT
# deny icmp packet
#-A input -p icmp -s 0/0 -d 0/0 -j DENY
# default rules
-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT
-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT
-A input -p udp -s 0/0 -d 0/0 2049 -j REJECT
-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT


如果/etc/sysconfig/ipchains文件不存在，可以用上述內(nèi)容創(chuàng)建之。創(chuàng)建之后，啟動(dòng)ipchains服務(wù)：/etc/init.d/ipchains start

用netstat命令發(fā)現(xiàn)攻擊來源

假如說黑客攻擊的是Web 80端口，察看連接80端口的客戶端IP和端口，命令如下：netstat -an -t tcp | grep ":80" | grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort

輸出：


161.2.8.9:123 FIN_WAIT2
161.2.8.9:124 FIN_WAIT2
61.233.85.253:23656 FIN_WAIT2
...


第一欄是客戶機(jī)IP和端口，第二欄是連接狀態(tài)。如果來自同一IP的連接很多（超過50個(gè)），而且都是連續(xù)端口，就很可能是攻擊。如果只希望察看建立的連接，用命令：


netstat -an -t tcp | grep ":80"
| grep ESTABLISHED | awk '{printf "%s %s\n",$5,$6}' | sort





用ipchains阻斷攻擊來源

用ipchains阻斷攻擊來源，有兩種方法。一種是加入到/etc/sysconfig/ipchains里，然后重啟動(dòng)ipchains服務(wù)。另一種是直接用ipchains命令加。屏蔽之后，可能還需要重新啟動(dòng)被攻擊的服務(wù)，是已經(jīng)建立的攻擊連接失效,加入/etc/sysconfig/ipchains.

假定要阻止的是218.202.8.151到80的連接，編輯/etc/sysconfig/ipchains文件，在:output ACCEPT

行下面加入：

-A input -s 218.202.8.151 -d 0/0 http -y -j REJECT

保存修改，重新啟動(dòng)ipchains：

/etc/init.d/ipchains restart

如果要阻止的是218.202.8的整個(gè)網(wǎng)段，加入：

-A input -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT


直接用命令行

加入/etc/sysconfig/ipchains文件并重起ipchains的方法，比較慢，而且在ipchains重起的瞬間，可能會(huì)有部分連接鉆進(jìn)來。最方便的方法是直接用ipchains命令。假定要阻止的是218.202.8.151到80的連接，命令：

ipchains -I input 1 -p tcp -s 218.202.8.151 -d 0/0 http -y -j REJECT

如果要阻止的是218.202.8的整個(gè)網(wǎng)段，命令：

ipchains -I input 1 -p tcp -s 218.202.8.0/255.255.255.0 -d 0/0 http -y -j REJECT

其中，-I的意思是插入，input是規(guī)則連，1是指加入到第一個(gè)。

您可以編輯一個(gè)shell腳本，更方便地做這件事，命令：

vi blockit

內(nèi)容：


#!/bin/sh
if [ ! -z "$1" ] ; then
echo "Blocking: $1"
ipchains -I input 1 -p tcp -s "$1" -d 0/0 http -y -j REJECT
else
echo "which ip to block?"
fi


保存，然后：


chmod 700 blockit


使用方法：


./blockit 218.202.8.151
./blockit 218.202.8.0/255.255.255.0


上述命令行方法所建立的規(guī)則，在重起之后會(huì)失效，您可以用ipchains-save命令打印規(guī)則:

ipchains-save

輸出：


:input ACCEPT
:forward ACCEPT
:output ACCEPT
Saving `input'.
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -i lo -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 110:110 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 80:80 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 88:88 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 89:89 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 90:90 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 91:91 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8180:8180 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 443:443 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 21:21 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 25:25 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 22:22 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 9095:9095 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 8007:8007 -p 6 -j ACCEPT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 53:53 -p 17 -j ACCEPT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 0:1023 -p 17 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 2049:2049 -p 17 -j REJECT
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 6000:6009 -p 6 -j REJECT -y
-A input -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 7100:7100 -p 6 -j REJECT -y


您需要把其中的"Saving `input'."去掉，然后把其他內(nèi)容保存到/etc/sysconfig/ipchains文件，這樣，下次重起之后，建立的規(guī)則能夠重新生效。



3. 如果使用iptables

RH 8.0以上開始啟用iptables替代ipchains，兩者非常類似，也有差別的地方。

* 啟用iptables

如果/etc/sysconfig/下沒有iptables文件，可以創(chuàng)建：


# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
# firewall; such entries will *not* be listed here.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Lokkit-0-50-INPUT - [0:0]
-A INPUT -j RH-Lokkit-0-50-INPUT
-A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ftp -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport ssh -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport http -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport smtp -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport pop3 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport mysql -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2001 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport domain -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport domain -j ACCEPT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 0:1023 -j REJECT
-A RH-Lokkit-0-50-INPUT -p udp -m udp --dport 2049 -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 6000:6009 --syn -j REJECT
-A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 7100 --syn -j REJECT
COMMIT


以上配置允許了ftp, ssh, http, smtp, pop3, mysql, 2001(Prim@Hosting ACA端口)，domain端口。

啟動(dòng)iptables

/etc/init.d/iptables start

設(shè)置iptables為自動(dòng)啟動(dòng)

chkconfig --level 2345 iptables on

用iptables屏蔽IP

iptables -I RH-Lokkit-0-50-INPUT 1 -p tcp -m tcp -s 213.8.166.227 --dport 80 --syn -j REJECT

注意到，和ipchains的區(qū)別是：

-I 后面跟的規(guī)則名稱的參數(shù)和ipchains不同，不是統(tǒng)一的input，而是在/etc/sysconfig/iptables里定義的那個(gè)多了-m tcp指定端口的參數(shù)是--dport 80多了--syn參數(shù)，可以自動(dòng)檢測(cè)sync攻擊。

使用iptables禁止ping：


-A INPUT -p icmp -m icmp --icmp-type 8 -m
limit --limit 6/min --limit-burst 2 -j
ACCEPT-A INPUT -p icmp -m icmp --icmp-type 8 -j
REJECT --reject-with icmp-port-unreachable

如果通過路由器接入互聯(lián)網(wǎng)，不安裝防病毒軟件是否安全？是不是應(yīng)該安裝殺毒軟件？

即便使用路由器接入互聯(lián)網(wǎng)，也一定要安裝防病毒軟件。路由器具有地址轉(zhuǎn)換及開閉TCP/IP通信端口的功能。這些功能雖然可防止病毒傳播等一些來自互聯(lián)網(wǎng)的攻擊，但其中仍有無法阻止的攻擊。

路由器無法完全防止攻擊

比如，路由器無法防御郵件附件中的病毒。因?yàn)椴《疽炎鳛猷]件的一部分存入個(gè)人電腦。另外，無法檢測(cè)出從網(wǎng)上下載的軟件中包含的病毒。

那么，路由器可防止何種攻擊呢？互聯(lián)網(wǎng)上的TCP/IP通信使用全球通用IP地址與聯(lián)絡(luò)方的個(gè)人電腦等終端交換數(shù)據(jù)。全球通用IP地址是用戶接入互聯(lián)網(wǎng)時(shí)服務(wù)提供商分配的IP地址。路由器具有可在多臺(tái)個(gè)人電腦上共享這一通用IP地址的功能（稱為IP偽裝等，IP Masquerade）。

如使用地址轉(zhuǎn)換功能，則可在共用一條接入線路的各個(gè)人電腦上使用固定IP（Private IP）地址。固定IP地址是一種可在不直接接入互聯(lián)網(wǎng)的LAN中自由使用的IP地址，由路由器自動(dòng)分配。

路由器的安全功能

幾乎所有路由器都具有數(shù)據(jù)包過濾功能，可根據(jù)不同的端口號(hào)進(jìn)行數(shù)據(jù)控制。

固定IP不能在互聯(lián)網(wǎng)中使用(不能路由)，要想通過互聯(lián)網(wǎng)直接訪問分配有這種地址的個(gè)人電腦非常困難。也就是說，經(jīng)路由器接入互聯(lián)網(wǎng)的個(gè)人電腦受到外部入侵的可能性很小。

另外，TCP/IP通信中還使用了端口號(hào)。數(shù)據(jù)通過IP地址傳送至目標(biāo)個(gè)人電腦，但為了分清目標(biāo)個(gè)人電腦中哪個(gè)應(yīng)用軟件使用該數(shù)據(jù)，因此需要使用端口號(hào)。一般應(yīng)用軟件使用的端口號(hào)都是固定的，路由器根據(jù)端口號(hào)決定數(shù)據(jù)的通過或攔截（關(guān)閉端口等）。

最近肆虐的W32/MSBlaster等病毒利用的就是使用特定端口號(hào)的軟件（服務(wù)）中存在的漏洞，因此只正確使用路由器的端口關(guān)閉功能可以有效防止此類病毒的感染。

一）如何在注冊(cè)表被鎖定的情況下修復(fù)注冊(cè)表


注冊(cè)表被鎖定這一招是比較惡毒的，它使普遍用戶即使會(huì)簡(jiǎn)單修改注冊(cè)表使其恢復(fù)的條件下，困難又多了一層。癥狀是在開始菜單中點(diǎn)擊“運(yùn)行”，在運(yùn)行框中輸入regedit命令時(shí)，注冊(cè)表不能夠使用，并發(fā)現(xiàn)系統(tǒng)提示你沒有權(quán)限運(yùn)行該程序，然后讓你聯(lián)系系統(tǒng)管理員。


這是由于注冊(cè)表編輯器：


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值“DisableRegistryTools”被修改為“1”的緣故，將其鍵值恢復(fù)為“0”即可恢復(fù)注冊(cè)表的使用。


解決辦法:


（1）可以自己動(dòng)手制作一個(gè)解除注冊(cè)表鎖定的工具，就是用記事本編輯一個(gè)任意名字的.reg文件，比如recover.reg，內(nèi)容如下：

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=dword:00000000


要特別注意的是：如果你用這個(gè)方法制作解除注冊(cè)表鎖定的工具，一定要嚴(yán)格按照上面的書寫格式進(jìn)行，不能遺漏更不能修改（其實(shí)你只需將上述內(nèi)容“復(fù)制”、“粘貼”到你機(jī)器記事本中即可）；完成上述工作后，點(diǎn)擊記事本的文件菜單中的“另存為”項(xiàng)，文件名可以隨意，但文件擴(kuò)展名必須為.reg（切記）,然后點(diǎn)擊“保存”。這樣一個(gè)注冊(cè)表解鎖工具就制作完成了，之后你只須雙擊生成的工具圖標(biāo)，其會(huì)提示你是否將這個(gè)信息添加進(jìn)注冊(cè)表，你要點(diǎn)擊“是”，隨后系統(tǒng)提示信息已成功輸入注冊(cè)表，再點(diǎn)擊“確定”即可將注冊(cè)表解鎖了。


(2)也可以直接下載下面這個(gè)解鎖工具，下載完成運(yùn)行后可直接解鎖注冊(cè)表編輯器：


http://it.rising.com.cn/antivirus/net_virus/spiteful/enable.reg


（二）篡改IE的默認(rèn)頁


有些IE被改了起始頁后，即使設(shè)置了“使用默認(rèn)頁”仍然無效，這是因?yàn)镮E起始頁的默認(rèn)頁也被篡改了。具體說就是以下注冊(cè)表項(xiàng)被修改：


HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL


“Default_Page_URL”這個(gè)子鍵的鍵值即起始頁的默認(rèn)頁。


解決辦法：


運(yùn)行注冊(cè)表編輯器，然后展開上述子鍵，將“Default_Page_UR”子鍵的鍵值中的那些篡改網(wǎng)站的網(wǎng)址改掉就行了，或者將其設(shè)置為IE的默認(rèn)值。


（三）修改IE瀏覽器缺省主頁，并且鎖定設(shè)置項(xiàng)，禁止用戶更改


主要是修改了注冊(cè)表中IE設(shè)置的下面這些鍵值(DWORD值為1時(shí)為不可選)：


HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel

"Settings"=dword:1


HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel

"Links"=dword:1


HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel

"SecAddSites"=dword:1


解決辦法：


將上面這些DWORD值改為“0”即可恢復(fù)功能。


（四）IE的默認(rèn)首頁灰色按扭不可選


這是由于注冊(cè)表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel


下的DWORD值“homepage”的鍵值被修改的緣故。原來的鍵值為“0”，被修改后為“1”（即為灰色不可選狀態(tài)）。


解決辦法：


將“homepage”的鍵值改為“0”即可。


（五）IE標(biāo)題欄被修改


在系統(tǒng)默認(rèn)狀態(tài)下，是由應(yīng)用程序本身來提供標(biāo)題欄的信息，但也允許用戶自行在上述注冊(cè)表項(xiàng)目中填加信息，而一些惡意的網(wǎng)站正是利用了這一點(diǎn)來得逞的：它們將串值Window Title下的鍵值改為其網(wǎng)站名或更多的廣告信息，從而達(dá)到改變?yōu)g覽者IE標(biāo)題欄的目的。


具體說來受到更改的注冊(cè)表項(xiàng)目為：


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Window Title


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title


解決辦法：


①在Windows啟動(dòng)后，點(diǎn)擊“開始”→“運(yùn)行”菜單項(xiàng)，在“打開”欄中鍵入regedit，然后按“確定”鍵；


②展開注冊(cè)表到


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下，在右半部分窗口中找到串值“Window Title” ，將該串值刪除即可，或?qū)indow Title的鍵值改為“IE瀏覽器”等你喜歡的名字；


③同理，展開注冊(cè)表到


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main


然后按②中所述方法處理。


④退出注冊(cè)表編輯器，重新啟動(dòng)計(jì)算機(jī)，運(yùn)行IE，你會(huì)發(fā)現(xiàn)困擾你的問題被解決了！


（六）IE右鍵菜單被修改


受到修改的注冊(cè)表項(xiàng)目為：

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt


下被新建了網(wǎng)頁的廣告信息，并由此在IE右鍵菜單中出現(xiàn)！


解決辦法：


打開注冊(cè)標(biāo)編輯器，找到


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt


刪除相關(guān)的廣告條文即可，注意不要把下載軟件FlashGet和Netants也刪除掉，這兩個(gè)可是“正常”的，除非你不想在IE的右鍵菜單中見到它們。


（七）IE默認(rèn)搜索引擎被修改


在IE瀏覽器的工具欄中有一個(gè)搜索引擎的工具按鈕，可以實(shí)現(xiàn)網(wǎng)絡(luò)搜索，被篡改后只要點(diǎn)擊那個(gè)搜索工具按鈕就會(huì)鏈接到那個(gè)篡改網(wǎng)站。出現(xiàn)這種現(xiàn)象的原因是以下注冊(cè)表被修改：


HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch


HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant


解決辦法：


運(yùn)行注冊(cè)表編輯器，依次展開上述子鍵，將“CustomizeSearch”和“SearchAssistant”的鍵值改為某個(gè)搜索引擎的網(wǎng)址即可。


（八）系統(tǒng)啟動(dòng)時(shí)彈出對(duì)話框


受到更改的注冊(cè)表項(xiàng)目為：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon


在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”，其中“LegalNoticeCaption”是提示框的標(biāo)題，“LegalNoticeText”是提示框的文本內(nèi)容。由于它們的存在，就使得我們每次登陸到Windwos桌面前都出現(xiàn)一個(gè)提示窗口，顯示那些網(wǎng)頁的廣告信息！


解決辦法：


打開注冊(cè)表編輯器，找到


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon


這一個(gè)主鍵，然后在右邊窗口中找到“LegalNoticeCaption”和“LegalNoticeText”這兩個(gè)字符串，刪除這兩個(gè)字符串就可以解決在登陸時(shí)出現(xiàn)提示框的現(xiàn)象了。


（九）IE默認(rèn)連接首頁被修改


IE瀏覽器上方的標(biāo)題欄被改成“歡迎訪問……網(wǎng)站”的樣式，這是最常見的篡改手段，受害者眾多。


受到更改的注冊(cè)表項(xiàng)目為：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page


通過修改“Start Page”的鍵值，來達(dá)到修改瀏覽者IE默認(rèn)連接首頁的目的，如瀏覽“萬花谷”就會(huì)將你的IE默認(rèn)連接首頁修改為“http://on888.home.chinaren.com ”，即便是出于給自己的主頁做廣告的目的，也顯得太霸道了一些，這也是這類網(wǎng)頁惹人厭惡的原因。


解決辦法：


①在Windows啟動(dòng)后，點(diǎn)擊“開始”→“運(yùn)行”菜單項(xiàng)，在“打開”欄中鍵入regedit，然后按“確定”鍵；


②展開注冊(cè)表到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下，在右半部分窗口中找到串值“Start Page”雙擊 ，將Start Page的鍵值改為“about:blank”即可；


③同理，展開注冊(cè)表到

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

在右半部分窗口中找到串值“Start Page”，然后按②中所述方法處理。


④退出注冊(cè)表編輯器，重新啟動(dòng)計(jì)算機(jī)，一切OK了！


特殊例子：當(dāng)IE的起始頁變成了某些網(wǎng)址后，就算你通過選項(xiàng)設(shè)置修改好了，重啟以后又會(huì)變成他們的網(wǎng)址啦，十分的難纏。其實(shí)他們是在你機(jī)器里加了一個(gè)自運(yùn)行程序，它會(huì)在系統(tǒng)啟動(dòng)時(shí)將你的IE起始頁設(shè)成他們的網(wǎng)站。


解決辦法：運(yùn)行注冊(cè)表編輯器regedit.exe，然后依次展開

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run


主鍵，然后將其下的registry.exe子鍵刪除，然后刪除自運(yùn)行程序c:\Program Files\registry.exe，最后從IE選項(xiàng)中重新設(shè)置起始頁。


（十）IE中鼠標(biāo)右鍵失效


瀏覽網(wǎng)頁后在IE中鼠標(biāo)右鍵失效，點(diǎn)擊右鍵沒有任何反應(yīng)！


有的網(wǎng)絡(luò)流氓為了達(dá)到其惡意宣傳的目的，將你的右鍵彈出的功能菜單進(jìn)行了修改，并且加入了一些亂七八糟的東西，甚至為了禁止你下載，將IE窗口中單擊右鍵的功能都屏蔽掉。


解決辦法：


1.右鍵菜單被修改。打開注冊(cè)表編輯器，找到HKEY_CURRENT_USER＼Software＼Microsoft＼Internet Explorer＼MenuExt，刪除相關(guān)的廣告條文。


2.右鍵功能失效。打開注冊(cè)表編輯器，展開到HKEY_CURRENT_USER＼Software＼Policies＼Microsoft＼Internet Explorer＼Restrictions，將其DWORD值"NoBrowserContextMenu"的值改為0。


（十一）查看“源文件”菜單被禁用


在IE窗口中點(diǎn)擊“查看”→“源文件”，發(fā)現(xiàn)“源文件”菜單已經(jīng)被禁用。


惡意網(wǎng)頁修改了注冊(cè)表，具體的位置為：


在注冊(cè)表

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer


下建立子鍵“Restrictions”，然后在“Restrictions”下面建立兩個(gè)DWORD值：


“NoViewSource”和“NoBrowserContextMenu”，并為這兩個(gè)DWORD值賦值為“1”。


在注冊(cè)表

HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions

下，將兩個(gè)DWORD值：“NoViewSource”和“NoBrowserContextMenu”的鍵值都改為了“1”。


通過上面這些鍵值的修改就達(dá)到了在IE中使鼠標(biāo)右鍵失效，使“查看”菜單中的“源文件”被禁用的目的。


解決辦法：


將以下內(nèi)容另存為后綴名為.reg的注冊(cè)表文件，比如說unlock.reg，雙擊unlock.reg導(dǎo)入注冊(cè)表，不用重啟電腦，重新運(yùn)行IE就會(huì)發(fā)現(xiàn)IE的功能恢復(fù)正常了。


REGEDIT4


HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions


“NoViewSource”=dword:00000000


"NoBrowserContextMenu"=dword:00000000


HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Restrictions


“NoViewSource”=dword:00000000


“NoBrowserContextMenu”=dword:00000000

很多網(wǎng)絡(luò)管理員還沒有認(rèn)識(shí)到他們的路由器能夠成為攻擊的熱點(diǎn)，路由器操作系統(tǒng)同網(wǎng)絡(luò)操作系統(tǒng)一樣容易受到黑客的攻擊。大多數(shù)中小企業(yè)沒有雇傭路由器工程師，也沒有把這項(xiàng)功能當(dāng)成一件必須要做的事情外包出去。因此，網(wǎng)絡(luò)管理員和經(jīng)理人既不十分了解也沒有時(shí)間去保證路由器的安全。下面是保證路由器安全的十個(gè)基本的技巧。

　　1.更新你的路由器操作系統(tǒng):就像網(wǎng)絡(luò)操作系統(tǒng)一樣，路由器操作系統(tǒng)也需要更新，以便糾正編程錯(cuò)誤、軟件瑕疵和緩存溢出的問題。要經(jīng)常向你的路由器廠商查詢當(dāng)前的更新和操作系統(tǒng)的版本。


　　2.修改默認(rèn)的口令:據(jù)卡內(nèi)基梅隆大學(xué)的計(jì)算機(jī)應(yīng)急反應(yīng)小組稱，80%的安全事件都是由于較弱或者默認(rèn)的口令引起的。避免使用普通的口令，并且使用大小寫字母混合的方式作為更強(qiáng)大的口令規(guī)則。

　　3.禁用HTTP設(shè)置和SNMP(簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議):你的路由器的HTTP設(shè)置部分對(duì)于一個(gè)繁忙的網(wǎng)絡(luò)管理員來說是很容易設(shè)置的。但是，這對(duì)路由器來說也是一個(gè)安全問題。如果你的路由器有一個(gè)命令行設(shè)置，禁用HTTP方式并且使用這種設(shè)置方式。如果你沒有使用你的路由器上的SNMP，那么你就不需要啟用這個(gè)功能。思科路由器存在一個(gè)容易遭受GRE隧道攻擊的SNMP安全漏洞。

　　4.封鎖ICMP(互聯(lián)網(wǎng)控制消息協(xié)議)ping請(qǐng)求:ping和其它ICMP功能對(duì)于網(wǎng)絡(luò)管理員和黑客都是非常有用的工具。黑客能夠利用你的路由器上啟用的ICMP功能找出可用來攻擊你的網(wǎng)絡(luò)的信息。

　　5.禁用來自互聯(lián)網(wǎng)的telnet命令:在大多數(shù)情況下，你不需要來自互聯(lián)網(wǎng)接口的主動(dòng)的telnet會(huì)話。如果從內(nèi)部訪問你的路由器設(shè)置會(huì)更安全一些。

　　6.禁用IP定向廣播:IP定向廣播能夠允許對(duì)你的設(shè)備實(shí)施拒絕服務(wù)攻擊。一臺(tái)路由器的內(nèi)存和CPU難以承受太多的請(qǐng)求。這種結(jié)果會(huì)導(dǎo)致緩存溢出。

　　7.禁用IP路由和IP重新定向:重新定向允許數(shù)據(jù)包從一個(gè)接口進(jìn)來然后從另一個(gè)接口出去。你不需要把精心設(shè)計(jì)的數(shù)據(jù)包重新定向到專用的內(nèi)部網(wǎng)路。

　　8.包過濾:包過濾僅傳遞你允許進(jìn)入你的網(wǎng)絡(luò)的那種數(shù)據(jù)包。許多公司僅允許使用80端口(HTTP)和110/25端口(電子郵件)。此外，你可以封鎖和允許IP地址和范圍。

　　9.審查安全記錄:通過簡(jiǎn)單地利用一些時(shí)間審查你的記錄文件，你會(huì)看到明顯的攻擊方式，甚至安全漏洞。你將為你經(jīng)歷了如此多的攻擊感到驚奇。

　　10.不必要的服務(wù):永遠(yuǎn)禁用不必要的服務(wù)，無論是路由器、服務(wù)器和工作站上的不必要的服務(wù)都要禁用。思科的設(shè)備通過網(wǎng)絡(luò)操作系統(tǒng)默認(rèn)地提供一些小的服務(wù)，如echo(回波), chargen(字符發(fā)生器協(xié)議)和discard(拋棄協(xié)議)。這些服務(wù)，特別是它們的UDP服務(wù)，很少用于合法的目的。但是，這些服務(wù)能夠用來實(shí)施拒絕服務(wù)攻擊和其它攻擊。包過濾可以防止這些攻擊。

縱觀今年全球病毒的發(fā)展，不難發(fā)現(xiàn)蠕蟲病毒接踵而至，著實(shí)讓殺毒市場(chǎng)火了一把。蠕蟲病毒信手拈來，如庫(kù)爾尼科娃、Sircam、紅色代碼、藍(lán)色代碼、本拉登等等，一個(gè)比一個(gè)厲害，一個(gè)比一個(gè)惡毒，令人防不勝防，只要你上網(wǎng)，不經(jīng)意之間就有可能染上病毒而渾然不知。



現(xiàn)在人們還沒有養(yǎng)成定期進(jìn)行系統(tǒng)升級(jí)、維護(hù)的習(xí)慣，這也是最近受病毒侵害感染率高的原因之一。只要培養(yǎng)良好的預(yù)防病毒意識(shí)，并充分發(fā)揮殺毒軟件的防護(hù)能力，完全可以將大部分病毒拒之門外。


1、安裝防毒軟件：鑒于現(xiàn)今病毒無孔不入，安裝一套防毒軟件很有必要。首次安 裝時(shí)，一定要對(duì)計(jì)算機(jī)做一次徹底的病毒掃描，盡管麻煩一點(diǎn)，但可以確保系統(tǒng)尚未受過病毒感染。另外建議你每周至少更新一次病毒定義碼或病毒引擎（引擎的更新速度比病毒定義碼要慢得多），因?yàn)樽钚碌姆啦《拒浖攀亲钣行У摹６ㄆ趻呙栌?jì)算機(jī)也是一個(gè)良好的習(xí)慣。


2、注意軟盤、光盤媒介：在使用軟盤、光盤或活動(dòng)硬盤其他媒介之前，一定要對(duì) 之進(jìn)行掃描，不怕一萬，就怕萬一。


3、下載注意點(diǎn)：下載一定要從比較可*的站點(diǎn)進(jìn)行，對(duì)于互聯(lián)網(wǎng)上的文檔與電子 郵件，下載后也須不厭其煩做病毒掃描。


4、用常識(shí)進(jìn)行判斷：來歷不明的郵件決不要打開，遇到形跡可疑或不是預(yù)期中的 朋友來信中的附件，決不要輕易運(yùn)行，除非你已經(jīng)知道附件的內(nèi)容。


5、禁用Windows Scripting Host。許多病毒，特別是蠕蟲病毒正是鉆了這項(xiàng)“空子”，使得用戶無需點(diǎn)擊附件，就可自動(dòng)打開一個(gè)被感染的附件。


6、使用基于客戶端的防火墻或過濾措施，以增強(qiáng)計(jì)算機(jī)對(duì)黑客和惡意代碼的攻擊 的免疫力。或者在一些安全網(wǎng)站中，可對(duì)自己的計(jì)算機(jī)做病毒掃描，察看它是否存在安全漏洞與病毒。如果你經(jīng)常在線，這一點(diǎn)很有必要，因?yàn)槿绻愕南到y(tǒng)沒有加設(shè)有效防護(hù)，你的個(gè)人資料很有可能會(huì)被他人竊取。


7、警惕欺騙性或文告性的病毒。這類病毒利用了人性的弱點(diǎn)，以子虛烏有的說辭 來打動(dòng)你，記住，天下沒有免費(fèi)的午餐，一旦發(fā)現(xiàn)，盡快刪除。更有病毒偽裝成殺毒軟件騙人。


8、使用其它形式的文檔，比如說辦公處理換用.wps或.pdf文檔以防止宏病毒。當(dāng)然，這不是徹底避開病毒的萬全之策，但不失為一個(gè)避免病毒纏繞的好方法。

在網(wǎng)絡(luò)給我們的工作學(xué)習(xí)帶來極大方便的同時(shí)，病毒、木馬、后門以及黑客程序也嚴(yán)重影響著信息的安全。這些程序感染計(jì)算機(jī)的一個(gè)共同特點(diǎn)是在注冊(cè)表中寫入信息，來達(dá)到如自動(dòng)運(yùn)行、破壞和傳播等目的。以下是筆者在網(wǎng)上收集的，通過修改注冊(cè)表來對(duì)付病毒、木馬、后門以及黑客程序，保證個(gè)人計(jì)算機(jī)的安全。






1.預(yù)防Acid Battery v1.0木馬的破壞

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices下若在右邊窗口中如發(fā)現(xiàn)了“Explorer”鍵值，則說明中了YAI木馬，將它刪除。

2.預(yù)防YAI木馬的破壞

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices下，若在右邊窗口中如發(fā)現(xiàn)了“Batterieanzeige”鍵值，則說明中了YAI木馬，將它刪除。

3.預(yù)防Eclipse 2000木馬的破壞

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices下，若在右邊窗口中如發(fā)現(xiàn)了“bybt”鍵值，則將它刪除。然后在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices下刪除右邊的鍵值“cksys”，重新啟動(dòng)電腦。

4.預(yù)防BO2000的破壞

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices下，若在右邊窗口中如發(fā)現(xiàn)了“umgr32.exe”鍵值，則說明中了BO2000，將它刪除。

5.預(yù)防愛蟲的破壞

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run下，若在右邊窗口中如發(fā)現(xiàn)了“MSKernel32”鍵值，就將它刪除。

6.禁止出現(xiàn)IE菜單中“工具”欄里“interner選項(xiàng)”

把c:\windows\system下的名為inetcpl.cpl更名為inetcpl.old或則別的名字后就會(huì)出現(xiàn)禁止使用的情況把名字再換回來，就可以恢復(fù)使用。

7.預(yù)防BackDoor的破壞

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run下，若在右邊窗口中如發(fā)現(xiàn)了“Notepad”鍵值，就將它刪除。

8.預(yù)防WinNuke的破壞

在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\
MSTCP下，若在右邊的窗口中新建或修改字符串“BSDUrgent”，設(shè)其值為0。

9.預(yù)防KeyboardGhost的破壞

在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
RunServices下如發(fā)現(xiàn)KG.EXE這一鍵值，就將它刪除，并查找KG.exe文件和kg.dat文件，將它們都刪除。

10.查找NetSpy黑客程序

在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run下，若在右邊的窗口中尋找鍵“NetSpy”，如果存在，就說明已經(jīng)裝有NetSpy黑客程序，把它刪除。

11.清理訪問“網(wǎng)絡(luò)鄰居”后留下的字句信息

在HEKY_CURRENT_USER/Network/Recent下，刪除下面的主鍵。

12.取消登陸時(shí)自動(dòng)撥號(hào)

在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/
Network/RealModeNet下修改右邊窗口中的“autologon”為“01 00 00 00 00”。

13.取消登錄時(shí)選擇用戶

已經(jīng)刪除了所有用戶，但登錄時(shí)還要選擇用戶，我們要取消登錄時(shí)選擇用戶，就要在HKEY_LOCAL_MACHINE\Network\Logon下，在右邊的窗口中，修改“UserProfiles”值為“0”。

14.隱藏上機(jī)用戶登錄的名字

在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Winlogon下，若在右邊的窗口中新建字符串“DontDisplayLastUserName”，設(shè)值為“1”。

江湖規(guī)矩“人不犯我，我不犯人”，但是流氓軟件并不遵守這條規(guī)矩，它們唯恐無法入侵，一旦有機(jī)會(huì)，你便被其纏身。流氓軟件的龍頭大哥──3721就采取了“無孔不入”的手段，不管你是在安裝軟件、瀏覽網(wǎng)站時(shí)它都會(huì)在用戶不知情的情況下伺機(jī)入駐電腦中。那么，如何才能知道自己的電腦是否招流氓了呢？


1.根據(jù)表象初步判斷

醫(yī)生判斷一個(gè)病人是否感冒了，可以從是否流鼻涕，是否鼻塞、是否附帶咳嗽等表象進(jìn)行判斷，而要想判斷系統(tǒng)是否感染了流氓軟件，也可以從表象來判斷。當(dāng)系統(tǒng)感染了流氓軟件后一般有以下幾種可疑跡象可以通過感覺來判斷：

① 系統(tǒng)運(yùn)行速度越來越慢

安裝了病毒防火墻，系統(tǒng)中最近也并沒安裝什么軟件，但是系統(tǒng)的運(yùn)行速度一天比一天慢，而殺毒軟件也沒有進(jìn)行病毒警告，這種情況下，十之八九中了流氓軟件的招。

② 部分軟件（特別是瀏覽器）設(shè)置被強(qiáng)行修改

由于流氓軟件表面上是為用戶提供了一些有用的功能，但實(shí)質(zhì)上，它們是為了達(dá)到宣傳自己的網(wǎng)站、自己的產(chǎn)品等目的。因此，流氓軟件一旦成功入侵電腦，它們便會(huì)在一些軟件上提供相應(yīng)的插件工具欄，以瀏覽器類軟件居多，在瀏覽器家族中又以IE最受流氓軟件歡迎。當(dāng)發(fā)現(xiàn)日常使用的軟件的工具欄被增加了一些項(xiàng)目或是像瀏覽器的設(shè)置被修改了，也足可以說明系統(tǒng)中可能感染了流氓軟件。

③ 自動(dòng)彈出廣告窗口

在正常使用電腦過程中，時(shí)而不時(shí)地自動(dòng)彈出一些廣告窗口，關(guān)閉后隔一斷時(shí)間又會(huì)出現(xiàn)，做廣告本是流氓軟件的一個(gè)目的，因此，當(dāng)你頻繁地看到自動(dòng)彈出的廣告時(shí)，系統(tǒng)也有可能感染了流氓軟件。

④ 自動(dòng)打開網(wǎng)站

與自動(dòng)彈出廣告類似，有些流氓軟件更猖狂，會(huì)自動(dòng)啟動(dòng)瀏覽器并打開一些網(wǎng)站，如果你遇到了這種情況也說明系統(tǒng)有招流氓軟件的跡象了。

2.利用工具檢測(cè)

根據(jù)表象判斷只是精略地推斷是否感染流氓軟件，就像醫(yī)生給病毒看病一樣，先是通過詢問等方式來大致地判斷病情，最后還會(huì)使用相關(guān)的醫(yī)療機(jī)器進(jìn)行確診。判斷系統(tǒng)是否招流氓軟件也應(yīng)該通過工具來“確診”。

① 使用系統(tǒng)的任務(wù)管理器

當(dāng)系統(tǒng)感染了流氓軟件后，只要流氓軟件正在運(yùn)行的話，一般都是可以通過系統(tǒng)的任務(wù)管理器來尋覓其蹤影：

按下“Ctrl+Shift+Esc”打開任務(wù)管理器窗口，再單擊“進(jìn)程”選項(xiàng)卡，在進(jìn)程列表中將會(huì)看到流氓軟件的蹤影了。不過，這種方法只適合那些對(duì)電腦系統(tǒng)比較熟悉并對(duì)流氓軟件對(duì)應(yīng)的進(jìn)程有所了解的朋友們采用。

② 使用專用檢測(cè)工具

使用任務(wù)管理器這個(gè)系統(tǒng)自帶的工具來檢測(cè)流氓軟件對(duì)用戶的要求相對(duì)高些，為此，筆者推薦大多數(shù)用戶使用專業(yè)的流氓軟件檢測(cè)工具來檢測(cè)，這樣既直觀，操作也會(huì)方便很多。

現(xiàn)在檢測(cè)流氓軟件的工具有不少，例如：超級(jí)兔子、Upiea、惡意軟件清理助手、360安全衛(wèi)士、Windows Defender等。而流氓軟件檢測(cè)數(shù)目要數(shù)360安全衛(wèi)士最多。

本文向大家介紹一下網(wǎng)管最常用的一些命令，如ping、 nbtstat、netstat……希望對(duì)大家有所幫助。

　　一，ping

　　它是用來檢查網(wǎng)絡(luò)是否通暢或者網(wǎng)絡(luò)連接速度的命令。

　　作為一個(gè)生活在網(wǎng)絡(luò)上的管理員或者黑客來說，ping命令是第一個(gè)必須掌握的DOS命令，它所利用的原理是這樣的：網(wǎng)絡(luò)上的機(jī)器都有唯一確定的IP地址，我們給目標(biāo)IP地址發(fā)送一個(gè)數(shù)據(jù)包，對(duì)方就要返回一個(gè)同樣大小的數(shù)據(jù)包，根據(jù)返回的數(shù)據(jù)包我們可以確定目標(biāo)主機(jī)的存在，可以初步判斷目標(biāo)主機(jī)的操作系統(tǒng)等。下面就來看看它的一些常用的操作。先看看幫助吧，在DOS窗口中鍵入：ping /? 回車，出現(xiàn)如圖1。所示的幫助畫面。在此，我們只掌握一些基本的很有用的參數(shù)就可以了（下同）。

　　-t 表示將不間斷向目標(biāo)IP發(fā)送數(shù)據(jù)包，直到我們強(qiáng)迫其停止。試想，如果你使用100M的寬帶接入，而目標(biāo)IP是56K的小貓，那么要不了多久，目標(biāo)IP就因?yàn)槌惺懿涣诉@么多的數(shù)據(jù)而掉線，呵呵，一次攻擊就這么簡(jiǎn)單的實(shí)現(xiàn)了。 　　

　　-l 定義發(fā)送數(shù)據(jù)包的大小，默認(rèn)為32字節(jié)，我們利用它可以最大定義到65500字節(jié)。結(jié)合上面介紹的-t參數(shù)一起使用，會(huì)有更好的效果哦。 　　

　　-n 定義向目標(biāo)IP發(fā)送數(shù)據(jù)包的次數(shù)，默認(rèn)為3次。如果網(wǎng)絡(luò)速度比較慢，3次對(duì)我們來說也浪費(fèi)了不少時(shí)間，因?yàn)楝F(xiàn)在我們的目的僅僅是判斷目標(biāo)IP是否存在，那么就定義為一次吧。 　　

　　說明一下，如果-t 參數(shù)和 -n參數(shù)一起使用，ping命令就以放在后面的參數(shù)為標(biāo)準(zhǔn)，比如“ping IP -t -n 3”，雖然使用了-t參數(shù)，但并不是一直ping下去，而是只ping 3次。另外，ping命令不一定非得ping IP，也可以直接ping主機(jī)域名，這樣就可以得到主機(jī)的IP。 　　

　　下面我們舉個(gè)例子來說明一下具體用法。 　　

　　這里time=2表示從發(fā)出數(shù)據(jù)包到接受到返回?cái)?shù)據(jù)包所用的時(shí)間是2秒，從這里可以判斷網(wǎng)絡(luò)連接速度的大小 。從TTL的返回值可以初步判斷被ping主機(jī)的操作系統(tǒng)，之所以說“初步判斷”是因?yàn)檫@個(gè)值是可以修改的。這里TTL=32表示操作系統(tǒng)可能是win98。

　　（小知識(shí)：如果TTL=128，則表示目標(biāo)主機(jī)可能是Win2000；如果TTL=250，則目標(biāo)主機(jī)可能是Unix）

　　至于利用ping命令可以快速查找局域網(wǎng)故障，可以快速搜索最快的QQ服務(wù)器，可以對(duì)別人進(jìn)行ping攻擊……這些就靠大家自己發(fā)揮了。

　　二，nbtstat

　　該命令使用TCP/IP上的NetBIOS顯示協(xié)議統(tǒng)計(jì)和當(dāng)前TCP/IP連接，使用這個(gè)命令你可以得到遠(yuǎn)程主機(jī)的NETBIOS信息，比如用戶名、所屬的工作組、網(wǎng)卡的MAC地址等。在此我們就有必要了解幾個(gè)基本的參數(shù)。 　　


　　-a 使用這個(gè)參數(shù)，只要你知道了遠(yuǎn)程主機(jī)的機(jī)器名稱，就可以得到它的NETBIOS信息如圖3（下同）。 　　

　　-A 這個(gè)參數(shù)也可以得到遠(yuǎn)程主機(jī)的NETBIOS信息，但需要你知道它的IP。

　　-n 列出本地機(jī)器的NETBIOS信息。 　　

　　當(dāng)?shù)玫搅藢?duì)方的IP或者機(jī)器名的時(shí)候，就可以使用nbtstat命令來進(jìn)一步得到對(duì)方的信息了，這又增加了我們?nèi)肭值谋ｋU(xiǎn)系數(shù)。 　　

　　三，netstat

　　這是一個(gè)用來查看網(wǎng)絡(luò)狀態(tài)的命令，操作簡(jiǎn)便功能強(qiáng)大。 　　

　　-a 查看本地機(jī)器的所有開放端口，可以有效發(fā)現(xiàn)和預(yù)防木馬，可以知道機(jī)器所開的服務(wù)等信息，如圖4。 　　

　　這里可以看出本地機(jī)器開放有FTP服務(wù)、Telnet服務(wù)、郵件服務(wù)、WEB服務(wù)等。用法：netstat -a IP。

　　-r 列出當(dāng)前的路由信息，告訴我們本地機(jī)器的網(wǎng)關(guān)、子網(wǎng)掩碼等信息。用法：netstat -r IP。

　　四，tracert

　　跟蹤路由信息，使用此命令可以查出數(shù)據(jù)從本地機(jī)器傳輸?shù)侥繕?biāo)主機(jī)所經(jīng)過的所有途徑，這對(duì)我們了解網(wǎng)絡(luò)布局和結(jié)構(gòu)很有幫助。 　　

　　這里說明數(shù)據(jù)從本地機(jī)器傳輸?shù)?92.168.0.1的機(jī)器上，中間沒有經(jīng)過任何中轉(zhuǎn)，說明這兩臺(tái)機(jī)器是在同一段局域網(wǎng)內(nèi)。用法：tracert IP。

五，net

　　這個(gè)命令是網(wǎng)絡(luò)命令中最重要的一個(gè)，必須透徹掌握它的每一個(gè)子命令的用法，因?yàn)樗墓δ軐?shí)在是太強(qiáng)大了，這簡(jiǎn)直就是微軟為我們提供的最好的入侵工具。首先讓我們來看一看它都有那些子命令，鍵入net /?回車。 　　


　　在這里，我們重點(diǎn)掌握幾個(gè)入侵常用的子命令。 　　

　　net view 　　

　　使用此命令查看遠(yuǎn)程主機(jī)的所以共享資源。命令格式為net view \IP。 　　

　　net use

　　把遠(yuǎn)程主機(jī)的某個(gè)共享資源影射為本地盤符，圖形界面方便使用，呵呵。命令格式為net use x: \IPsharename。上面一個(gè)表示把192.168.0.5IP的共享名為magic的目錄影射為本地的Z盤。下面表示和192.168.0.7建立IPC$連接（net use \IPIPC$ "password" /user:"name"）。 　　

　　建立了IPC$連接后，呵呵，就可以上傳文件了：copy nc.exe \192.168.0.7admin$，表示把本地目錄下的nc.exe傳到遠(yuǎn)程主機(jī)，結(jié)合后面要介紹到的其他DOS命令就可以實(shí)現(xiàn)入侵了。 　　

　　net start

　　使用它來啟動(dòng)遠(yuǎn)程主機(jī)上的服務(wù)。當(dāng)你和遠(yuǎn)程主機(jī)建立連接后，如果發(fā)現(xiàn)它的什么服務(wù)沒有啟動(dòng)，而你又想利用此服務(wù)怎么辦？就使用這個(gè)命令來啟動(dòng)吧。用法：net start servername，如圖9，成功啟動(dòng)了telnet服務(wù)。 　　

　　net stop

　　入侵后發(fā)現(xiàn)遠(yuǎn)程主機(jī)的某個(gè)服務(wù)礙手礙腳，怎么辦？利用這個(gè)命令停掉就ok了，用法和net start同。 　　

　　net user

　　查看和帳戶有關(guān)的情況，包括新建帳戶、刪除帳戶、查看特定帳戶、激活帳戶、帳戶禁用等。這對(duì)我們?nèi)肭质呛苡欣模钪匾模鼮槲覀兛寺籼峁┝饲疤帷ｆI入不帶參數(shù)的net user，可以查看所有用戶，包括已經(jīng)禁用的。下面分別講解。

　　1，net user abcd 1234 /add，新建一個(gè)用戶名為abcd，密碼為1234的帳戶，默認(rèn)為user組成員。

　　2，net user abcd /del，將用戶名為abcd的用戶刪除。

　　3，net user abcd /active:no，將用戶名為abcd的用戶禁用。

　　4，net user abcd /active:yes，激活用戶名為abcd的用戶。

　　5，net user abcd，查看用戶名為abcd的用戶的情況。 　　

　　net localgroup

　　查看所有和用戶組有關(guān)的信息和進(jìn)行相關(guān)操作。鍵入不帶參數(shù)的net localgroup即列出當(dāng)前所有的用戶組。在入侵過程中，我們一般利用它來把某個(gè)帳戶提升為administrator組帳戶，這樣我們利用這個(gè)帳戶就可以控制整個(gè)遠(yuǎn)程主機(jī)了。用法：net localgroup groupname username /add。 　　

　　現(xiàn)在我們把剛才新建的用戶abcd加到administrator組里去了，這時(shí)候abcd用戶已經(jīng)是超級(jí)管理員了，呵呵，你可以再使用net user abcd來查看他的狀態(tài)，和圖10進(jìn)行比較就可以看出來。但這樣太明顯了，網(wǎng)管一看用戶情況就能漏出破綻，所以這種方法只能對(duì)付菜鳥網(wǎng)管，但我們還得知道。現(xiàn)在的手段都是利用其他工具和手段克隆一個(gè)讓網(wǎng)管看不出來的超級(jí)管理員，這是后話。有興趣的朋友可以參照《黑客防線》第30期上的《由淺入深解析隆帳戶》一文。 　　

　　net time

　　這個(gè)命令可以查看遠(yuǎn)程主機(jī)當(dāng)前的時(shí)間。如果你的目標(biāo)只是進(jìn)入到遠(yuǎn)程主機(jī)里面，那么也許就用不到這個(gè)命令了。但簡(jiǎn)單的入侵成功了，難道只是看看嗎？我們需要進(jìn)一步滲透。這就連遠(yuǎn)程主機(jī)當(dāng)前的時(shí)間都需要知道，因?yàn)槔脮r(shí)間和其他手段（后面會(huì)講到）可以實(shí)現(xiàn)某個(gè)命令和程序的定時(shí)啟動(dòng)，為我們進(jìn)一步入侵打好基礎(chǔ)。用法：net time \IP。

　　六，at

　　這個(gè)命令的作用是安排在特定日期或時(shí)間執(zhí)行某個(gè)特定的命令和程序（知道net time的重要了吧？）。當(dāng)我們知道了遠(yuǎn)程主機(jī)的當(dāng)前時(shí)間，就可以利用此命令讓其在以后的某個(gè)時(shí)間（比如2分鐘后）執(zhí)行某個(gè)程序和命令。用法：at time command \computer。
　　

　　表示在6點(diǎn)55分時(shí)，讓名稱為a-01的計(jì)算機(jī)開啟telnet服務(wù)（這里net start telnet即為開啟telnet服務(wù)的命令）。 　　

七，ftp

　　大家對(duì)這個(gè)命令應(yīng)該比較熟悉了吧？網(wǎng)絡(luò)上開放的ftp的主機(jī)很多，其中很大一部分是匿名的，也就是說任何人都可以登陸上去。現(xiàn)在如果你掃到了一臺(tái)開放ftp服務(wù)的主機(jī)（一般都是開了21端口的機(jī)器），如果你還不會(huì)使用ftp的命令怎么辦？下面就給出基本的ftp命令使用方法。

　　首先在命令行鍵入ftp回車，出現(xiàn)ftp的提示符，這時(shí)候可以鍵入“help”來查看幫助（任何DOS命令都可以使用此方法查看其幫助）。 　　

　　大家可能看到了，這么多命令該怎么用？其實(shí)也用不到那么多，掌握幾個(gè)基本的就夠了。　　

　　首先是登陸過程，這就要用到open了，直接在ftp的提示符下輸入“open 主機(jī)IP ftp端口”回車即可，一般端口默認(rèn)都是21，可以不寫。接著就是輸入合法的用戶名和密碼進(jìn)行登陸了，這里以匿名ftp為例介紹。 　　

　　用戶名和密碼都是ftp，密碼是不顯示的。當(dāng)提示**** logged in時(shí)，就說明登陸成功。這里因?yàn)槭悄涿顷懀杂脩麸@示為Anonymous。
　　
　　接下來就要介紹具體命令的使用方法了。 　　

　　dir 跟DOS命令一樣，用于查看服務(wù)器的文件，直接敲上dir回車，就可以看到此ftp服務(wù)器上的文件。

　　cd 進(jìn)入某個(gè)文件夾。

　　get 下載文件到本地機(jī)器。

　　put 上傳文件到遠(yuǎn)程服務(wù)器。這就要看遠(yuǎn)程ftp服務(wù)器是否給了你可寫的權(quán)限了，如果可以，呵呵，該怎么 利用就不多說了，大家就自由發(fā)揮去吧。

　　delete 刪除遠(yuǎn)程ftp服務(wù)器上的文件。這也必須保證你有可寫的權(quán)限。

　　bye 退出當(dāng)前連接。

　　quit 同上。 　　

　　八，telnet

　　功能強(qiáng)大的遠(yuǎn)程登陸命令，幾乎所有的入侵者都喜歡用它，屢試不爽。為什么？它操作簡(jiǎn)單，如同使用自己的機(jī)器一樣，只要你熟悉DOS命令，在成功以administrator身份連接了遠(yuǎn)程機(jī)器后，就可以用它來干你想干的一切了。下面介紹一下使用方法，首先鍵入telnet回車，再鍵入help查看其幫助信息。 　　

　　然后在提示符下鍵入open IP回車，這時(shí)就出現(xiàn)了登陸窗口，讓你輸入合法的用戶名和密碼，這里輸入任何密碼都是不顯示的。 　　

　　當(dāng)輸入用戶名和密碼都正確后就成功建立了telnet連接，這時(shí)候你就在遠(yuǎn)程主機(jī)上具有了和此用戶一樣的權(quán)限，利用DOS命令就可以實(shí)現(xiàn)你想干的事情了，如圖19。這里我使用的超級(jí)管理員權(quán)限登陸的。 　　

　　到這里為止，網(wǎng)絡(luò)DOS命令的介紹就告一段落了，這里介紹的目的只是給菜鳥網(wǎng)管一個(gè)印象，讓其知道熟悉和掌握網(wǎng)絡(luò)DOS命令的重要性。其實(shí)和網(wǎng)絡(luò)有關(guān)的DOS命令還遠(yuǎn)不止這些，這里只是拋磚引玉，希望能對(duì)廣大菜鳥網(wǎng)管有所幫助。學(xué)好DOS對(duì)當(dāng)好網(wǎng)管有很大的幫助，特別的熟練掌握了一些網(wǎng)絡(luò)的DOS命令。

　　另外大家應(yīng)該清楚，任何人要想進(jìn)入系統(tǒng)，必須得有一個(gè)合法的用戶名和密碼（輸入法漏洞差不多絕跡了吧），哪怕你拿到帳戶的只有一個(gè)很小的權(quán)限，你也可以利用它來達(dá)到最后的目的。所以堅(jiān)決消滅空口令，給自己的帳戶加上一個(gè)強(qiáng)壯的密碼，是最好的防御弱口令入侵的方法。

　　最后，由衷的說一句，培養(yǎng)良好的安全意識(shí)才是最重要的。

引子一：上個(gè)月某班上成績(jī)最好的一同學(xué)7位的手機(jī)靚號(hào)QQ被盜竊。今天某兄弟舍友的qq密碼都被盜竊了，好不郁悶哦，暈死哦。盡管是計(jì)算機(jī)專業(yè)的，但是他們基本對(duì)計(jì)算機(jī)安全一無所知：有嫌麻煩從不安裝殺毒軟件的，有使用兩個(gè)數(shù)字來設(shè)置密碼的，有看到E-mail或者IM軟件發(fā)來的網(wǎng)址鏈接就隨手點(diǎn)開的，還有從不知道升級(jí)病毒庫(kù)和給系統(tǒng)打補(bǔ)丁的，甚至有重新安裝系統(tǒng)后還以為安全了，卻被我指出來看才發(fā)現(xiàn)硬盤所有盤都共享了。
　 現(xiàn)在遇到麻煩了，才發(fā)現(xiàn)后悔莫及。那兄弟某舍友說已經(jīng)不是第一次被偷了，全怪自己不吸取教訓(xùn)。要我?guī)退麄兺祷貋怼：呛牵艺f太麻煩了。我從來不重視號(hào)碼位數(shù)，號(hào)碼好壞，對(duì)我來說qq不過是一個(gè)普通聊天工具而已。好的號(hào)碼我有不少，都不是偷的。他們?nèi)绻敲丛诤踝约旱奶?hào)碼，又何必那么不重視它的安全呢？其實(shí)，他們當(dāng)初還笑我那么注意安全，簡(jiǎn)直太可笑了呢？呵呵，現(xiàn)在才發(fā)現(xiàn)安全意識(shí)是多么的重要。在圈里混了很久了，那些無知的媒體朋友宣傳的什么所謂黑客高手都是不用任何防護(hù)措施的，遇到毒就手工殺毒，呵呵，簡(jiǎn)直暈死。

引子二：一個(gè)正在黑別人的人，卻沒發(fā)現(xiàn)自己早已經(jīng)是肉雞了，盜竊別人qq的人,卻發(fā)現(xiàn)自己的qq沒有保護(hù)好.

黑客并不神秘，黑客也并不可怕。“最好的防御是最好的反擊！”是十三哥我不變的信條，我從來沒有被黑過！

忽視、淡忘網(wǎng)絡(luò)安全的情況還有很多很多，以上列出的只是最常見的幾種情況；但只要你看過文章之后能夠時(shí)刻警醒，注意網(wǎng)絡(luò)安全，那么密碼被盜，病毒入侵的危險(xiǎn)就會(huì)減少一些。俗話說"防患于未然",為確保我們的計(jì)算機(jī)不受到惡意的侵害,我們要設(shè)的第一道防線便是要增強(qiáng)我們的計(jì)算機(jī)網(wǎng)絡(luò)安全意識(shí),為做到這些,我們應(yīng)該注意以下幾點(diǎn):

1.配置好自己系統(tǒng)，使用盡量安全的密碼
一般建議使用最新版本的系統(tǒng)。如果不行，也要打好補(bǔ)丁。然后設(shè)置xp防火墻，去掉網(wǎng)絡(luò)客戶端，去掉文件和打印機(jī)共享，過濾端口，保護(hù)注冊(cè)表，應(yīng)用組策略等等.這些很簡(jiǎn)單，大家可以自己摸索著來設(shè)置。提醒下ip協(xié)議在iptcp協(xié)議簇的代碼是6。防火墻一定要有，特別是我這種有特別重要資料的計(jì)算機(jī)上。防火墻就不推薦了，反正不是天網(wǎng)，不是諾頓。我用zonealarm pro基本感覺很不錯(cuò)。使用盡量安全的密碼這點(diǎn)就不說了。什么，你問我什么樣的怎么設(shè)置密碼才是安全的，是不是位數(shù)多就安全？地球人都知道了，你不知道？我暈死！建議去看看技術(shù)站（www.juntuan.net）各種安全文章，里面很容易找到密碼保護(hù)相關(guān)知識(shí)的，

2.慎用軟件
　　因?yàn)椴还苁遣《境绦蜻€是黑客程序首先都要騙你在自己的機(jī)器上運(yùn)行它，所以對(duì)來歷不明的軟件不要輕易嘗試，來歷不明的地址不要點(diǎn)，來歷不明的文件傳送不要接受，即使是qq好友發(fā)過來。
　　今天的蠕蟲病毒之所以能夠動(dòng)輒全球肆虐，往往不是因?yàn)椴《境绦蛟O(shè)計(jì)得好，而是因?yàn)槲覀冇脩舭踩庾R(shí)太差。不管內(nèi)存是128M，還是256M，都請(qǐng)安裝一套有正版系列好的殺毒軟件，啟動(dòng)其實(shí)時(shí)防護(hù)功能，起碼每周一次進(jìn)行網(wǎng)上升級(jí)。雖然對(duì)速度有影響，但是為安全犧牲一點(diǎn)內(nèi)存是應(yīng)該的。同時(shí)，當(dāng)Windows和瀏覽器有補(bǔ)丁公布的時(shí)候，別忘記及時(shí)下載安裝。 本人使用卡巴思基，nod32十分不錯(cuò)。

3.檢測(cè)并清除特洛伊木馬程序

　　這里不說什么中木馬的癥狀。也可以使用一些清除軟件，也不說什么手動(dòng)什么一大堆了，我只說要使用防護(hù)木馬的軟件來保護(hù)你的計(jì)算機(jī)。有很多這樣的軟件，支持在線升級(jí)，很方便。很簡(jiǎn)單。開機(jī)就是先檢查一遍。 　

4.保證瀏覽安全
相信大部分朋友是用的ie。ie不能被暴這樣那樣的漏洞。而很多朋友上網(wǎng)除了qq就是用ie了。加強(qiáng)瀏覽時(shí)的安全，注意安全意識(shí)的培養(yǎng)真的很重要。最近流行的通過瀏覽網(wǎng)頁來盜取qq就很能說明這個(gè)問題。所以不要隨便開一些莫名其妙的網(wǎng)頁，特別是不健康的內(nèi)容和在網(wǎng)絡(luò)上廣為宣傳的內(nèi)容。使用電子郵件的時(shí)候注意不要隨便看陌生人的郵件，熟人發(fā)來的郵件的附件也要注意殺毒。
　　還有一點(diǎn)就是Cookies方面的安全。我們要注意防范Cookies泄密。Internet的屬性里自己找去。很簡(jiǎn)單的，能看懂中文的都會(huì)。建議自己仔細(xì)研究下，各個(gè)地方點(diǎn)著看看摸索下，自己會(huì)明白該怎么設(shè)置是安全的。另外，由于Cookies的信息并不都是以文件形式存放在計(jì)算機(jī)里，還有部分信息保存在內(nèi)存里。比如你在瀏覽網(wǎng)站的時(shí)候，Web服務(wù)器會(huì)自動(dòng)在內(nèi)存中生成Cookie，當(dāng)你關(guān)閉IE瀏覽器的時(shí)候又自動(dòng)把Cookie刪除，那樣上面介紹的兩種方法就起不了作用，我們需要借助注冊(cè)表編輯器來修改系統(tǒng)設(shè)置。這里也不說了，推薦使用一個(gè)比較好用的軟件就可以了，沒有必要那么麻煩。另外有點(diǎn)很重要：杜絕Cookies雖然可以增強(qiáng)你電腦的信息安全程度，但這樣做同樣會(huì)有一些弊端。比如在一些需要Cookies支持的網(wǎng)頁上，會(huì)發(fā)生一些莫名其妙的錯(cuò)誤，典型的例子就是你以后不能使用某些網(wǎng)站的免費(fèi)信箱或者論壇了。比如軍團(tuán)的免費(fèi)blog。

5.保證IP地址安全
很多朋友一上網(wǎng)第一件要做的事情就是開QQ。現(xiàn)在大部分人基本用的就是顯ip的版本。如果不用代理，真實(shí)的IP地址會(huì)暴露你的老巢，讓你的計(jì)算機(jī)完全展現(xiàn)在某些別有用心的人眼中，成為攻擊的目標(biāo)。所以我們必須隱藏IP地址，一般使用代理。但是代理不一定安全通過代理服務(wù)器上網(wǎng)，可以增強(qiáng)安全防護(hù)的作用。但是從別人那里“借道”難免會(huì)留下痕跡，你的上網(wǎng)資料完全可以記錄在代理服務(wù)器的日志中。所以，從網(wǎng)上搜來的來歷不明的代理服務(wù)器最好不要使用。
　　通過代理用QQ時(shí)，更應(yīng)使用騰訊提供的官方代理服務(wù)器。 　　

總結(jié)：內(nèi)容很初級(jí)，但我想基本夠用，你想誰愿意費(fèi)那么大勁去黑你呢，如果你已經(jīng)做的很好了。呵呵，除非你得罪人家，或者那個(gè)家伙有病。哈哈，全是廢話，總之目前隨著攻擊方式日趨多樣化，網(wǎng)絡(luò)安全隱患也呈現(xiàn)出突發(fā)性、隱藏性等特點(diǎn)，網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，網(wǎng)絡(luò)安全問題日益成為人們關(guān)注的熱門話題。要解決網(wǎng)絡(luò)安全問題，首先應(yīng)該重在“防”，然后才是“治”，普及網(wǎng)絡(luò)用戶病毒防范意識(shí)，是減少網(wǎng)絡(luò)安全隱患的第一環(huán)，也是極其關(guān)鍵的一環(huán)。再次提醒大家一方面要注意提高安全意識(shí)，另一方面注意多多學(xué)習(xí)網(wǎng)絡(luò)安全知識(shí)