还剩137页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~菜鸟问题集!(菜鸟们应该都来看看~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~这是黑客的基础知识,也是菜鸟们经常问的以后象“什么是ping,什么是FTP”这累问题都来这里查还有不知道怎么学、学什么的菜鸟,就来这里学这个!~~~~~~~~~~~~~~~~~~~~第一个什么是FTPFTP是英文FileTransferProtocol的缩写,意思是文件传输协议它和HTTP一样都是Internet上广泛使用的协议,用来在两台计算机之间互相传送文件相比于HTTP,FTP协议要复杂得多复杂的原因,是因为FTP协议要用到两个TCP连接,一个是命令链路,用来在FTP客户端与服务器之间传递命令;另一个是数据链路,用来上传或下载数据FTP协议有两种工作方式PORT方式和PASV方式,中文意思为主动式和被动式PORT(主动)方式的连接过程是客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路当需要传送数据时,客户端在命令链路上用PORT命令告诉服务器“我打开了XXXX端口,你过来连接我”于是服务器从20端口向客户端的XXXX端口发送连接请求,建立一条数据链路来传送数据PASV(被动)方式的连接过程是客户端向服务器的FTP端口(默认是21)发送连接请求,服务器接受连接,建立一条命令链路当需要传送数据时,服务器在命令链路上用PASV命令告诉客户端“我打开了XXXX端口,你过来连接我”于是客户端向服务器的XXXX端口发送连接请求,建立一条数据链路来传送数据从上面可以看出,两种方式的命令链路连接方法是一样的,而数据链路的建立方法就完全不同而FTP的复杂性就在于此相关FTPl较深的知识请看:http://cn
90.net/viewthread.phptid=1646~~~~~~~~~~~~~~~~第二个:HTTP是什么当我们想浏览一个网站的时候,只要在浏览器的地址栏里输入网站的地址就可以了,例如www.microsoft.com但是在浏览器的地址栏里面出现的却是http://www.microsoft.com你知道为什么会多出一个“http”吗?
一、HTTP协议是什么我们在浏览器的地址栏里输入的网站地址叫做URLUniformResourceLocator,统一资源定位符就像每家每户都有一个门牌地址一样,每个网页也都有一个Internet地址当你在浏览器的地址框中输入一个URL或是单击一个超级链接时,URL就确定了要浏览的地址浏览器通过超文本传输协议HTTP,将Web服务器上站点的网页代码提取出来,并翻译成漂亮的网页因此,在我们认识HTTP之前,有必要先弄清楚URL的组成例如http://www.microsoft.com/china/index.htm它的含义如下
1.http://代表超文本传输协议,通知microsoft.com服务器显示Web页,通常不用输入;
2.www代表一个Web(万维网)服务器;
3.Microsoft.com/这是装有网页的服务器的域名,或站点服务器的名称;
4.China/为该服务器上的子目录,就好像我们的文件夹;
5.Index.htm index.htm是文件夹中的一个HTML文件(网页)我们知道,Internet的基本协议是TCP/IP协议,然而在TCP/IP模型最上层的是应用层(Applicationlayer),它包含所有高层的协议高层协议有文件传输协议FTP、电子邮件传输协议SMTP、域名系统服务DNS、网络新闻传输协议NNTP和HTTP协议等HTTP协议(Hypertext Transfer Protocol,超文本传输协议)是用于从WWW服务器传输超文本到本地浏览器的传送协议它可以使浏览器更加高效,使网络传输减少它不仅保证计算机正确快速地传输超文本文档,还确定传输文档中的哪一部分,以及哪部分内容首先显示如文本先于图形等这就是你为什么在浏览器中看到的网页地址都是以http://开头的原因自WWW诞生以来,一个多姿多彩的资讯和虚拟的世界便出现在我们眼前,可是我们怎么能够更加容易地找到我们需要的资讯呢?当决定使用超文本作为WWW文档的标准格式后,于是在1990年,科学家们立即制定了能够快速查找这些超文本文档的协议,即HTTP协议经过几年的使用与发展,得到不断的完善和扩展,目前在WWW中使用的是HTTP/
1.0的第六版
二、HTTP是怎样工作的既然我们明白了URL的构成,那么HTTP是怎么工作呢?我们接下来就要讨论这个问题由于HTTP协议是基于请求/响应范式的(相当于客户机/服务器)一个客户机与服务器建立连接后,发送一个请求给服务器,请求方式的格式为统一资源标识符(URL)、协议版本号,后边是MIME信息包括请求修饰符、客户机信息和可能的内容服务器接到请求后,给予相应的响应信息,其格式为一个状态行,包括信息的协议版本号、一个成功或错误的代码,后边是MIME信息包括服务器信息、实体信息和可能的内容许多HTTP通讯是由一个用户代理初始化的并且包括一个申请在源服务器上资源的请求最简单的情况可能是在用户代理和服务器之间通过一个单独的连接来完成在Internet上,HTTP通讯通常发生在TCP/IP连接之上缺省端口是TCP80,但其它的端口也是可用的但这并不预示着HTTP协议在Internet或其它网络的其它协议之上才能完成HTTP只预示着一个可靠的传输这个过程就好像我们打电话订货一样,我们可以打电话给商家,告诉他我们需要什么规格的商品,然后商家再告诉我们什么商品有货,什么商品缺货这些,我们是通过电话线用电话联系(HTTP是通过TCP/IP),当然我们也可以通过传真,只要商家那边也有传真以上简要介绍了HTTP协议的宏观运作方式,下面介绍一下HTTP协议的内部操作过程在WWW中,“客户”与“服务器”是一个相对的概念,只存在于一个特定的连接期间,即在某个连接中的客户在另一个连接中可能作为服务器基于HTTP协议的客户/服务器模式的信息交换过程,它分四个过程建立连接、发送请求信息、发送响应信息、关闭连接这就好像上面的例子,我们电话订货的全过程其实简单说就是任何服务器除了包括HTML文件以外,还有一个HTTP驻留程序,用于响应用户请求你的浏览器是HTTP客户,向服务器发送请求,当浏览器中输入了一个开始文件或点击了一个超级链接时,浏览器就向服务器发送了HTTP请求,此请求被送往由IP地址指定的URL驻留程序接收到请求,在进行必要的操作后回送所要求的文件在这一过程中,在网络上发送和接收的数据已经被分成一个或多个数据包(packet),每个数据包包括要传送的数据;控制信息,即告诉网络怎样处理数据包TCP/IP决定了每个数据包的格式如果事先不告诉你,你可能不会知道信息被分成用于传输和再重新组合起来的许多小块也就是说商家除了拥有商品之外,它也有一个职员在接听你的电话,当你打电话的时候,你的声音转换成各种复杂的数据,通过电话线传输到对方的电话机,对方的电话机又把各种复杂的数据转换成声音,使得对方商家的职员能够明白你的请求这个过程你不需要明白声音是怎么转换成复杂的数据的~~~~~~~~~~~~~~~~~~~第三个:ipc$是什么?IPC$InternetProcessConnection是共享\命名管道\的资源大家都是这么说的,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限在远程管理计算机和查看计算机的共享资源时使用利用IPC$连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码当然对方机器必须开了ipc$共享否则你是连接不上的,而利用这个空的连接,连接者还可以得到目标主机上的用户列表不过负责的管理员会禁止导出用户列表的我们总在说ipc$漏洞ipc$漏洞其实ipc$并不是真正意义上的漏洞它是为了方便管理员的远程管理而开放的远程网络登陆功能而且还打开了默认共享即所有的逻辑盘c$d$e$……和系统目录winnt或windowsadmin$所有的这些初衷都是为了方便管理员的管理但好的初衷并不一定有好的收效一些别有用心者到底是什么用心我也不知道代词一个会利用IPC$,访问共享资源导出用户列表并使用一些字典工具,进行密码探测寄希望于获得更高的权限从而达到不可告人的目的.解惑:1IPC连接是WindowsNT及以上系统中特有的远程网络登陆功能,其功能相当于Unix中的Telnet由于IPC$功能需要用到WindowsNT中的很多DLL函数,所以不能在Windows
9.x中运行也就是说只有nt/2000/xp才可以建立ipc$连接98/me是不能建立ipc$连接的但有些朋友说在98下能建立空的连接不知道是真是假不过现在都2003年了建议98的同志换一下系统吧98不爽的2即使是空连接也不是100%都能建立成功如果对方关闭了ipc$共享你仍然无法建立连接3并不是说建立了ipc$连接就可以查看对方的用户列表因为管理员可以禁止导出用户列表~~~~~~~~~~~~~~~~~~~~第四个:ASP是什么ASP即ActiveServerPage的缩写它是一种包含了使用VBScript或Jscript脚本程序代码的网页当浏览器浏览ASP网页时Web服务器就会根据请求生成相应的HTML代码然后再返回给浏览器这样浏览器端看到的就是动态生成的网页ASP是微软公司开发的代替CGI脚本程序的一种应用它可以与数据库和其它程序进行交互是一种简单、方便的编程工具在了解了VBSCRIPT的基本语法后,只需要清楚各个组件的用途、属性、方法,就可以轻松编写出自己的ASP系统ASP的网页文件的格式是.ASP~~~~~~~~~~~~~~~~~~~~~~~~第五个:什么是病毒 下面我们谈一谈病毒您以前是否听说过电脑病毒不要一听到病毒就浑身发抖,只要了解了病毒,对付起来还是很容易的 电脑病毒与我们平时所说的医学上的生物病毒是不一样的,它实际上是一种电脑程序,只不过这种程序比较特殊,它是专门给人们捣乱和搞破坏的,它寄生在其它文件中,而且会不断地自我复制并传染给别的文件,没有一点好作用 电脑病毒发作了都会有哪些症状呢? 电脑染上病毒后,如果没有发作,是很难觉察到的但病毒发作时就很容易感觉出来 有时电脑的工作会很不正常,有时会莫名其妙的死机,有时会突然重新启动,有时程序会干脆运行不了 ◎电脑染毒后表现为工作很不正常,莫名其妙死机,突然重新启动,程序运行不了 有的病毒发作时满屏幕会下雨,有的屏幕上会出现毛毛虫等,甚至在屏幕上出现对话框,这些病毒发作时通常会破坏文件,是非常危险的,反正只要电脑工作不正常,就有可能是染上了病毒病毒所带来的危害更是不言而喻了 而且,以前人们一直以为,病毒只能破坏软件,对硬件毫无办法,可是CIH病毒打破了这个神话,因为它竟然在某种情况下可以破坏硬件! 电脑病毒和别的程序一样,它也是人编写出来的既然病毒也是人编的程序,那就会有办法来对付它最重要的是采取各种安全措施预防病毒,不给病毒以可乘之机另外,就是使用各种杀毒程序了它们可以把病毒杀死,从电脑中清除出去病毒后记 其实现在的病毒,随着网络的发展已经变的更加的复杂它与黑客技术、木马等技术相结合,让你无法轻易查杀!其威害之大,由近期的冲击波病毒,仅见一斑! 所以大家学习了解电脑知识与安全知识,是必不可少的我们这里学习黑客等技术,也不是教你如何去攻击别人,这样是不道德的,主要是了解技术后,用于防范 再一个,如何做好防范,让病毒无法入手才是最重要的对于初学的朋友,一个好的杀毒工具是必须的个人认为正版的瑞星还是不错的,其网上升级速度很快,防与杀的效果也很好!=====+++++++===============我在普及最基本的知识时,遇到一个难题,我有时不知道该讲些什么?以什么为主题呢?所以希望大家在回贴时,如果希望了解什么相关的问题,请提出来我好跟据提问,来安排主题!对于所发布的主题,如有不明白的,也请及时提出,我会尽力作出完美的解答!~~~~~~~~~~~~~~~~~~~~~~~~~~~~~第六个:什么是路由器 路由器是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互“读”懂对方的数据,从而构成一个更大的网络 路由器有两大典型功能,即数据通道功能和控制功能数据通道功能包括转发决定、背板转发以及输出链路调度等,一般由特定的硬件来完成;控制功能一般用软件来实现,包括与相邻路由器之间的信息交换、系统配置、系统管理等 多少年来,路由器的发展有起有伏90年代中期,传统路由器成为制约因特网发展的瓶颈ATM交换机取而代之,成为IP骨干网的核心,路由器变成了配角进入90年代末期,Internet规模进一步扩大,流量每半年翻一番,ATM网又成为瓶颈,路由器东山再起,Gbps路由交换机在1997年面世后,人们又开始以Gbps路由交换机取代ATM交换机,架构以路由器为核心的骨干网附路由器原理及路由协议近十年来,随着计算机网络规模的不断扩大,大型互联网络(如Internet)的迅猛发展,路由技术在网络技术中已逐渐成为关键部分,路由器也随之成为最重要的网络设备用户的需求推动着路由技术的发展和路由器的普及,人们已经不满足于仅在本地网络上共享信息,而希望最大限度地利用全球各个地区、各种类型的网络资源而在目前的情况下,任何一个有一定规模的计算机网络(如企业网、校园网、智能大厦等),无论采用的是快速以大网技术、FDDI技术,还是ATM技术,都离不开路由器,否则就无法正常运作和管理1网络互连把自己的网络同其它的网络互连起来,从网络中获取更多的信息和向网络发布自己的消息,是网络互连的最主要的动力网络的互连有多种方式,其中使用最多的是网桥互连和路由器互连
1.1网桥互连的网络网桥工作在OSI模型中的第二层,即链路层完成数据帧(frame)的转发,主要目的是在连接的网络间提供透明的通信网桥的转发是依据数据帧中的源地址和目的地址来判断一个帧是否应转发和转发到哪个端口帧中的地址称为“MAC”地址或“硬件”地址,一般就是网卡所带的地址网桥的作用是把两个或多个网络互连起来,提供透明的通信网络上的设备看不到网桥的存在,设备之间的通信就如同在一个网上一样方便由于网桥是在数据帧上进行转发的,因此只能连接相同或相似的网络(相同或相似结构的数据帧),如以太网之间、以太网与令牌环(tokenring)之间的互连,对于不同类型的网络(数据帧结构不同),如以太网与X.25之间,网桥就无能为力了网桥扩大了网络的规模,提高了网络的性能,给网络应用带来了方便,在以前的网络中,网桥的应用较为广泛但网桥互连也带来了不少问题一个是广播风暴,网桥不阻挡网络中广播消息,当网络的规模较大时(几个网桥,多个以太网段),有可能引起广播风暴(broadcastingstorm),导致整个网络全被广播信息充满,直至完全瘫痪第二个问题是,当与外部网络互连时,网桥会把内部和外部网络合二为一,成为一个网,双方都自动向对方完全开放自己的网络资源这种互连方式在与外部网络互连时显然是难以接受的问题的主要根源是网桥只是最大限度地把网络沟通,而不管传送的信息是什么
1.2路由器互连网络路由器互连与网络的协议有关,我们讨论限于TCP/IP网络的情况路由器工作在OSI模型中的第三层,即网络层路由器利用网络层定义的“逻辑”上的网络地址(即IP地址)来区别不同的网络,实现网络的互连和隔离,保持各个网络的独立性路由器不转发广播消息,而把广播消息限制在各自的网络内部发送到其他网络的数据茵先被送到路由器,再由路由器转发出去IP路由器只转发IP分组,把其余的部分挡在网内(包括广播),从而保持各个网络具有相对的独立性,这样可以组成具有许多网络(子网)互连的大型的网络由于是在网络层的互连,路由器可方便地连接不同类型的网络,只要网络层运行的是IP协议,通过路由器就可互连起来网络中的设备用它们的网络地址(TCP/IP网络中为IP地址)互相通信IP地址是与硬件地址无关的“逻辑”地址路由器只根据IP地址来转发数据IP地址的结构有两部分,一部分定义网络号,另一部分定义网络内的主机号目前,在Internet网络中采用子网掩码来确定IP地址中网络地址和主机地址子网掩码与IP地址一样也是32bit,并且两者是一一对应的,并规定,子网掩码中数字为“1”所对应的IP地址中的部分为网络号,为“0”所对应的则为主机号网络号和主机号合起来,才构成一个完整的IP地址同一个网络中的主机IP地址,其网络号必须是相同的,这个网络称为IP子网通信只能在具有相同网络号的IP地址之间进行,要与其它IP子网的主机进行通信,则必须经过同一网络上的某个路由器或网关(gateway)出去不同网络号的IP地址不能直接通信,即使它们接在一起,也不能通信路由器有多个端口,用于连接多个IP子网每个端口的IP地址的网络号要求与所连接的IP子网的网络号相同不同的端口为不同的网络号,对应不同的IP子网,这样才能使各子网中的主机通过自己子网的IP地址把要求出去的IP分组送到路由器上2路由原理当IP子网中的一台主机发送IP分组给同一IP子网的另一台主机时,它将直接把IP分组送到网络上,对方就能收到而要送给不同IP于网上的主机时,它要选择一个能到达目的子网上的路由器,把IP分组送给该路由器,由路由器负责把IP分组送到目的地如果没有找到这样的路由器,主机就把IP分组送给一个称为“缺省网关(defaultgateway)”的路由器上“缺省网关”是每台主机上的一个配置参数,它是接在同一个网络上的某个路由器端口的IP地址路由器转发IP分组时,只根据IP分组目的IP地址的网络号部分,选择合适的端口,把IP分组送出去同主机一样,路由器也要判定端口所接的是否是目的子网,如果是,就直接把分组通过端口送到网络上,否则,也要选择下一个路由器来传送分组路由器也有它的缺省网关,用来传送不知道往哪儿送的IP分组这样,通过路由器把知道如何传送的IP分组正确转发出去,不知道的IP分组送给“缺省网关”路由器,这样一级级地传送,IP分组最终将送到目的地,送不到目的地的IP分组则被网络丢弃了目前TCP/IP网络,全部是通过路由器互连起来的,Internet就是成千上万个IP子网通过路由器互连起来的国际性网络这种网络称为以路由器为基础的网络(routerbasednetwork),形成了以路由器为节点的“网间网”在“网间网”中,路由器不仅负责对IP分组的转发,还要负责与别的路由器进行联络,共同确定“网间网”的路由选择和维护路由表路由动作包括两项基本内容寻径和转发寻径即判定到达目的地的最佳路径,由路由选择算法来实现由于涉及到不同的路由选择协议和路由选择算法,要相对复杂一些为了判定最佳路径,路由选择算法必须启动并维护包含路由信息的路由表,其中路由信息依赖于所用的路由选择算法而不尽相同路由选择算法将收集到的不同信息填入路由表中,根据路由表可将目的网络与下一站(nexthop)的关系告诉路由器路由器间互通信息进行路由更新,更新维护路由表使之正确反映网络的拓扑变化,并由路由器根据量度来决定最佳路径这就是路由选择协议(routingprotocol),例如路由信息协议(RIP)、开放式最短路径优先协议(OSPF)和边界网关协议(BGP)等转发即沿寻径好的最佳路径传送信息分组路由器首先在路由表中查找,判明是否知道如何将分组发送到下一个站点(路由器或主机),如果路由器不知道如何发送分组,通常将该分组丢弃;否则就根据路由表的相应表项将分组发送到下一个站点,如果目的网络直接与路由器相连,路由器就把分组直接送到相应的端口上这就是路由转发协议(routedprotocol)路由转发协议和路由选择协议是相互配合又相互独立的概念,前者使用后者维护的路由表,同时后者要利用前者提供的功能来发布路由协议数据分组下文中提到的路由协议,除非特别说明,都是指路由选择协议,这也是普遍的习惯3路由协议典型的路由选择方式有两种静态路由和动态路由静态路由是在路由器中设置的固定的路由表除非网络管理员干预,否则静态路由不会发生变化由于静态路由不能对网络的改变作出反映,一般用于网络规模不大、拓扑结构固定的网络中静态路由的优点是简单、高效、可靠在所有的路由中,静态路由优先级最高当动态路由与静态路由发生冲突时,以静态路由为准动态路由是网络中的路由器之间相互通信,传递路由信息,利用收到的路由信息更新路由器表的过程它能实时地适应网络结构的变化如果路由更新信息表明发生了网络变化,路由选择软件就会重新计算路由,并发出新的路由更新信息这些信息通过各个网络,引起各路由器重新启动其路由算法,并更新各自的路由表以动态地反映网络拓扑变化动态路由适用于网络规模大、网络拓扑复杂的网络当然,各种动态路由协议会不同程度地占用网络带宽和CPU资源静态路由和动态路由有各自的特点和适用范围,因此在网络中动态路由通常作为静态路由的补充当一个分组在路由器中进行寻径时,路由器首先查找静态路由,如果查到则根据相应的静态路由转发分组;否则再查找动态路由根据是否在一个自治域内部使用,动态路由协议分为内部网关协议(IGP)和外部网关协议(EGP)这里的自治域指一个具有统一管理机构、统一路由策略的网络自治域内部采用的路由选择协议称为内部网关协议,常用的有RIP、OSPF;外部网关协议主要用于多个自治域之间的路由选择,常用的是BGP和BGP-4下面分别进行简要介绍
3.1RIP路由协议RIP协议最初是为Xerox网络系统的Xeroxparc通用协议而设计的,是Internet中常用的路由协议RIP采用距离向量算法,即路由器根据距离选择路由,所以也称为距离向量协议路由器收集所有可到达目的地的不同路径,并且保存有关到达每个目的地的最少站点数的路径信息,除到达目的地的最佳路径外,任何其它信息均予以丢弃同时路由器也把所收集的路由信息用RIP协议通知相邻的其它路由器这样,正确的路由信息逐渐扩散到了全网RIP使用非常广泛,它简单、可靠,便于配置但是RIP只适用于小型的同构网络,因为它允许的最大站点数为15,任何超过15个站点的目的地均被标记为不可达而且RIP每隔30s一次的路由信息广播也是造成网络的广播风暴的重要原因之一
3.2OSPF路由协议80年代中期,RIP已不能适应大规模异构网络的互连,0SPF随之产生它是网间工程任务组织(1ETF)的内部网关协议工作组为IP网络而开发的一种路由协议0SPF是一种基于链路状态的路由协议,需要每个路由器向其同一管理域的所有其它路由器发送链路状态广播信息在OSPF的链路状态广播中包括所有接口信息、所有的量度和其它一些变量利用0SPF的路由器首先必须收集有关的链路状态信息,并根据一定的算法计算出到每个节点的最短路径而基于距离向量的路由协议仅向其邻接路由器发送有关路由更新信息与RIP不同,OSPF将一个自治域再划分为区,相应地即有两种类型的路由选择方式当源和目的地在同一区时,采用区内路由选择;当源和目的地在不同区时,则采用区间路由选择这就大大减少了网络开销,并增加了网络的稳定性当一个区内的路由器出了故障时并不影响自治域内其它区路由器的正常工作,这也给网络的管理、维护带来方便
3.3BGP和BGP-4路由协议BGP是为TCP/IP互联网设计的外部网关协议,用于多个自治域之间它既不是基于纯粹的链路状态算法,也不是基于纯粹的距离向量算法它的主要功能是与其它自治域的BGP交换网络可达信息各个自治域可以运行不同的内部网关协议BGP更新信息包括网络号/自治域路径的成对信息自治域路径包括到达某个特定网络须经过的自治域串,这些更新信息通过TCP传送出去,以保证传输的可靠性为了满足Internet日益扩大的需要,BGP还在不断地发展在最新的BGp4中,还可以将相似路由合并为一条路由
3.4路由表项的优先问题在一个路由器中,可同时配置静态路由和一种或多种动态路由它们各自维护的路由表都提供给转发程序,但这些路由表的表项间可能会发生冲突这种冲突可通过配置各路由表的优先级来解决通常静态路由具有默认的最高优先级,当其它路由表表项与它矛盾时,均按静态路由转发4路由算法路由算法在路由协议中起着至关重要的作用,采用何种算法往往决定了最终的寻径结果,因此选择路由算法一定要仔细通常需要综合考虑以下几个设计目标——
(1)最优化指路由算法选择最佳路径的能力——
(2)简洁性算法设计简洁,利用最少的软件和开销,提供最有效的功能——
(3)坚固性路由算法处于非正常或不可预料的环境时,如硬件故障、负载过高或操作失误时,都能正确运行由于路由器分布在网络联接点上,所以在它们出故障时会产生严重后果最好的路由器算法通常能经受时间的考验,并在各种网络环境下被证实是可靠的——
(4)快速收敛收敛是在最佳路径的判断上所有路由器达到一致的过程当某个网络事件引起路由可用或不可用时,路由器就发出更新信息路由更新信息遍及整个网络,引发重新计算最佳路径,最终达到所有路由器一致公认的最佳路径收敛慢的路由算法会造成路径循环或网络中断——
(5)灵活性路由算法可以快速、准确地适应各种网络环境例如,某个网段发生故障,路由算法要能很快发现故障,并为使用该网段的所有路由选择另一条最佳路径路由算法按照种类可分为以下几种静态和动态、单路和多路、平等和分级、源路由和透明路由、域内和域间、链路状态和距离向量前面几种的特点与字面意思基本一致,下面着重介绍链路状态和距离向量算法链路状态算法(也称最短路径算法)发送路由信息到互联网上所有的结点,然而对于每个路由器,仅发送它的路由表中描述了其自身链路状态的那一部分距离向量算法(也称为Bellman-Ford算法)则要求每个路由器发送其路由表全部或部分信息,但仅发送到邻近结点上从本质上来说,链路状态算法将少量更新信息发送至网络各处,而距离向量算法发送大量更新信息至邻接路由器由于链路状态算法收敛更快,因此它在一定程度上比距离向量算法更不易产生路由循环但另一方面,链路状态算法要求比距离向量算法有更强的CPU能力和更多的内存空间,因此链路状态算法将会在实现时显得更昂贵一些除了这些区别,两种算法在大多数环境下都能很好地运行最后需要指出的是,路由算法使用了许多种不同的度量标准去决定最佳路径复杂的路由算法可能采用多种度量来选择路由,通过一定的加权运算,将它们合并为单个的复合度量、再填入路由表中,作为寻径的标准通常所使用的度量有路径长度、可靠性、时延、带宽、负载、通信成本等5新一代路由器由于多媒体等应用在网络中的发展,以及ATM、快速以太网等新技术的不断采用,网络的带宽与速率飞速提高,传统的路由器已不能满足人们对路由器的性能要求因为传统路由器的分组转发的设计与实现均基于软件,在转发过程中对分组的处理要经过许多环节,转发过程复杂,使得分组转发的速率较慢另外,由于路由器是网络互连的关键设备,是网络与其它网络进行通信的一个“关口”,对其安全性有很高的要求,因此路由器中各种附加的安全措施增加了CPU的负担,这样就使得路由器成为整个互联网上的“瓶颈”传统的路由器在转发每一个分组时,都要进行一系列的复杂操作,包括路由查找、访问控制表匹配、地址解析、优先级管理以及其它的附加操作这一系列的操作大大影响了路由器的性能与效率,降低了分组转发速率和转发的吞吐量,增加了CPU的负担而经过路由器的前后分组间的相关性很大,具有相同目的地址和源地址的分组往往连续到达,这为分组的快速转发提供了实现的可能与依据新一代路由器,如IPSwitch、TagSwitch等,就是采用这一设计思想用硬件来实现快速转发,大大提高了路由器的性能与效率新一代路由器使用转发缓存来简化分组的转发操作在快速转发过程中,只需对一组具有相同目的地址和源地址的分组的前几个分组进行传统的路由转发处理,并把成功转发的分组的目的地址、源地址和下一网关地址(下一路由器地址)放人转发缓存中当其后的分组要进行转发时,茵先查看转发缓存,如果该分组的目的地址和源地址与转发缓存中的匹配,则直接根据转发缓存中的下一网关地址进行转发,而无须经过传统的复杂操作,大大减轻了路由器的负担,达到了提高路由器吞吐量的目标~~~~~~~~~~~~~~~~~~~~~~~~~~第七个什么是肉鸡肉鸡就是具有最高管理权限的远程电脑简单的说就是受你控制的远程电脑肉鸡可以是win、Unix/Linux……等各种系统;肉鸡可以是一家公司的服务器,一家网站的服务器,甚至是美国白宫或军方的电脑,只要你有这本事入侵并控制他,呵呵莱鸟所说用的肉鸡一般是开了3389端口的Win2K系统的服务器要登陆肉鸡,必须知道3个参数远程电脑的IP、用户名、密码~~~~~~~~~~~~~~~~~~~~~~~~~~~~~第八个什么是shell 操作系统与外部最主要的接口就叫做shellshell是操作系统最外面的一层shell管理你与操作系统之间的交互:等待你输入,向操作系统解释你的输入,并且处理各种各样的操作系统的输出结果 shell提供了你与操作系统之间通讯的方式这种通讯可以以交互方式(从键盘输入,并且可以立即得到响应),或者以shellscript非交互方式执行shellscript是放在文件中的一串shell和操作系统命令,它们可以被重复使用本质上,shellscript是命令行命令简单的组合到一个文件里面 Shell基本上是一个命令解释器,类似于DOS下的command.com它接收用户命令(如ls等,然后调用相应的应用程序较为通用的shell有标准的Bourneshellsh和Cshellcsh交互式shell和非交互式shell交互式模式就是shell等待你的输入,并且执行你提交的命令这种模式被称作交互式是因为shell与用户进行交互这种模式也是大多数用户非常熟悉的登录、执行一些命令、签退当你签退后,shell也终止了shell也可以运行在另外一种模式非交互式模式在这种模式下,shell不与你进行交互,而是读取存放在文件中的命令并且执行它们当它读到文件的结尾,shell也就终止了shell的类型在UNIX中主要有两大类shellBourneshell包括shkshandbashBourneshellshKornshellkshBourneAgainshellbashPOSIXshellshCshell包括cshandtcshCshellcshTENEX/TOPSCshelltcshBourneShell最初的UNIXshell是由StephenR.Bourne于20世纪70年代中期在新泽西的ATT贝尔实验室编写的,这就是BourneshellBourneshell是一个交换式的命令解释器和命令编程语言Bourneshell可以运行为loginshell或者loginshell的子shellsubshell只有login命令可以调用Bourneshell作为一个loginshell此时,shell先读取/etc/profile文件和$HOME/.profile文件/etc/profile文件为所有的用户定制环境$HOME/.profile文件为本用户定制环境最后,shell会等待读取你的输入CShellBillJoy于20世纪80年代早期,在Berkeley的加利福尼亚大学开发了Cshell它主要是为了让用户更容易的使用交互式功能,并把ALGOL风格的语法结构变成了C语言风格它新增了命令历史、别名、文件名替换、作业控制等功能KornShell有很长一段时间,只有两类shell供人们选择,Bourneshell用来编程,Cshell用来交互为了改变这种状况,ATT的bell实验室DavidKorn开发了Kornshellksh结合了所有的Cshell的交互式特性,并融入了Bourneshell的语法因此,Kornshell广受用户的欢迎它还新增了数学计算进程协作coprocess、行内编辑inlineediting等功能KornShell是一个交互式的命令解释器和命令编程语言.它符合POSIX——一个操作系统的国际标准.POSIX不是一个操作系统而是一个目标在于应用程序的移植性的标准——在源程序一级跨越多种平台BourneAgainShellbashbash是GNU计划的一部分,用来替代Bourneshell它用于基于GNU的系统如Linux.大多数的LinuxRedHatSlackwareCaldera都以bash作为缺省的shell,并且运行sh时,其实调用的是bashPOSIXShellPOSIXshell是Kornshell的一个变种.当前提供POSIXshell的最大卖主是Hewlett-Packard在HP-UX
11.0POSIXshell就是/bin/sh而bsh是/usr/old/bin/sh.各主要操作系统下缺省的shell:AIX下是KornShell.Solaris和FreeBSD缺省的是Bourneshell.HP-UX缺省的是POSIXshell.Linux是BourneAgainshell.【TIP】#!/usr/bin/sh的用途shellscript的第一行一般都是#!/usr/bin/sh或#!/usr/bin/ksh等,它的用途就是指出本脚本是用的哪种shell写的,执行时系统应该用哪种shell来解释执行它附LINUX系统的shell原理 Linux系统的shell作为操作系统的外壳,为用户提供使用操作系统的接口它是命令语言、命令解释程序及程序设计语言的统称 shell是用户和Linux内核之间的接口程序,如果把Linux内核想象成一个球体的中心,shell就是围绕内核的外层当从shell或其他程序向Linux传递命令时,内核会做出相应的反应 shell是一个命令语言解释器,它拥有自己内建的shell命令集,shell也能被系统中其他应用程序所调用用户在提示符下输入的命令都由shell先解释然后传给Linux核心 有一些命令,比如改变工作目录命令cd,是包含在shell内部的还有一些命令,例如拷贝命令cp和移动命令rm,是存在于文件系统中某个目录下的单独的程序对用户而言,不必关心一个命令是建立在shell内部还是一个单独的程序 shell首先检查命令是否是内部命令,若不是再检查是否是一个应用程序这里的应用程序可以是Linux本身的实用程序,如ls和rm,也可以是购买的商业程序,如xv,或者是自由软件,如emacs然后shell在搜索路径里寻找这些应用程序搜索路径就是一个能找到可执行程序的目录列表如果键入的命令不是一个内部命令并且在路径里没有找到这个可执行文件,将会显示一条错误信息如果能够成功找到命令,该内部命令或应用程序将被分解为系统调用并传给Linux内核 shell的另一个重要特性是它自身就是一个解释型的程序设计语言,shell程序设计语言支持绝大多数在高级语言中能见到的程序元素,如函数、变量、数组和程序控制结构shell编程语言简单易学,任何在提示符中能键入的命令都能放到一个可执行的shell程序中 当普通用户成功登录,系统将执行一个称为shell的程序正是shell进程提供了命令行提示符作为默认值TurboLinux系统默认的shell是BASH,对普通用户用“$”作提示符,对超级用户root用“#”作提示符 一旦出现了shell提示符,就可以键入命令名称及命令所需要的参数shell将执行这些命令如果一条命令花费了很长的时间来运行,或者在屏幕上产生了大量的输出,可以从键盘上按ctrl+c发出中断信号来中断它在正常结束之前,中止它的执行 当用户准备结束登录对话进程时,可以键入logout命令、exit命令或文件结束符EOF按ctrl+d实现,结束登录 我们来实习一下shell是如何工作的 $makework make:***Noruletomaketarget‘work’.Stop. $ 注释make是系统中一个命令的名字,后面跟着命令参数在接收到这个命令后,shell便执行它本例中,由于输入的命令参数不正确,系统返回信息后停止该命令的执行 在例子中,shell会寻找名为make的程序,并以work为参数执行它make是一个经常被用来编译大程序的程序,它以参数作为目标来进行编译在“makework”中,make编译的目标是work因为make找不到以work为名字的目标,它便给出错误信息表示运行失败,用户又回到系统提示符下 另外,用户键入有关命令行后,如果shell找不到以其中的命令名为名字的程序,就会给出错误信息例如,如果用户键入 $myprog bash:myprog:commandnotfound $ 可以看到,用户得到了一个没有找到该命令的错误信息用户敲错命令后,系统一般会给出这样的错误信息~~~~~~~~~~~~~~~~~~~~~~~~~~~~这个重点看!!!第九个什么是端口? 在开始讲什么是端口之前,我们先来聊一聊什么是port呢?常常在网络上听说『我的主机开了多少的port,会不会被入侵呀!?』或者是说『开那个port会比较安全?又,我的服务应该对应什么port呀!?』呵呵!很神奇吧!怎么一部主机上面有这么多的奇怪的port呢?这个port有什么作用呢?!由于每种网络的服务功能都不相同,因此有必要将不同的封包送给不同的服务来处理,所以啰,当你的主机同时开启了FTP与WWW服务的时候,那么别人送来的资料封包,就会依照TCP上面的port号码来给FTP这个服务或者是WWW这个服务来处理,当然就不会搞乱啰!(注嘿嘿!有些很少接触到网络的朋友,常常会问说『咦!为什么你的计算机同时有FTP、WWW、E-Mail这么多服务,但是人家传资料过来,你的计算机怎么知道如何判断?计算机真的都不会误判吗?!』现在知道为什么了吗?!对啦!就是因为port不同嘛!你可以这样想啦,有一天,你要去银行存钱,那个银行就可以想成是『主机』,然后,银行当然不可能只有一种业务,里头就有相当多的窗口,那么你一进大门的时候,在门口的服务人员就会问你说『嗨!你好呀!你要做些什么事?』你跟他说『我要存钱呀!』,服务员接着就会告诉你『喝!那么请前往三号窗口!那边的人员会帮您服务!』这个时候你总该不会往其它的窗口跑吧?!^_^\\这些窗口就可以想成是『port』啰!所以啦!每一种服务都有特定的port在监听!您无须担心计算机会误判的问题呦!)·每一个TCP联机都必须由一端通常为client发起请求这个port通常是随机选择大于1024以上的port号来进行!其TCP封包会将且只将SYN旗标设定起来!这是整个联机的第一个封包;·如果另一端通常为Server接受这个请求的话(当然啰,特殊的服务需要以特殊的port来进行,例如FTP的port21),则会向请求端送回整个联机的第二个封包!其上除了SYN旗标之外同时还将ACK旗标也设定起来,并同时时在本机端建立资源以待联机之需;·然后,请求端获得服务端第一个响应封包之后,必须再响应对方一个确认封包,此时封包只带ACK旗标事实上﹐后继联机中的所有封包都必须带有ACK旗标﹔·只有当服务端收到请求端的确认ACK封包也就是整个联机的第三个封包之后﹐两端的联机才能正式建立这就是所谓的TCP联机的\三段式交握Three-WayHandshake\的原理 经过三向交握之后,呵呵!你的client端的port通常是高于1024的随机取得的port至于主机端则视当时的服务是开启哪一个port而定,例如WWW选择80而FTP则以21为正常的联机信道!总而言之我们这里所说的端口,不是计算机硬件的I/O端口,而是软件形式上的概念.工具提供服务类型的不同,端口分为两种,一种是TCP端口,一种是UDP端口计算机之间相互通信的时候,分为两种方式一种是发送信息以后,可以确认信息是否到达,也就是有应答的方式,这种方式大多采用TCP协议;一种是发送以后就不管了,不去确认信息是否到达,这种方式大多采用UDP协议对应这两种协议姆裉峁┑亩丝冢簿头治猅CP端口和UDP端口那么,如果攻击者使用软件扫描目标计算机,得到目标计算机打开的端口,也就了解了目标计算机提供了那些服务我们都知道,提供服务就一定有服务软件的漏洞,根据这些,攻击者可以达到对目标计算机的初步了解如果计算机的端口打开太多,而管理者不知道,那么,有两种情况一种是提供了服务而管理者没有注意,比如安装IIS的时候,软件就会自动增加很多服务,而管理员可能没有注意到;一种是服务器被攻击者安装木马,通过特殊的端口进行通信这两种情况都是很危险的,说到底,就是管理员不了解服务器提供的服务,减小了系统安全系数~~~~~~~~~~~~~~~~~~~~~~~~~~~~~第十个什么是扫描(希望大家主动提出想了解什么?)如果你的机子连入互联网,那么你就有被扫描的危险这里要给大家介绍的就是什么是扫描,为什么有人要扫描,以及有趣的秘密握手机制和不同的扫描技术 扫描一个系统或者一个网络,通常是为了发现这个被扫描的对象在提供哪些服务扫描者可以分成两种类型,一种是“好人”比如系统管理员和网络安全顾问,他们扫描的目的纯粹是外了找出系统的缺陷或漏洞,进而想办法弥补当然另一类的就只能是“坏人”了,比如有“脚本小孩”或者更“坏”的,他们的目的是为了找出漏洞,进而实施攻击 扫描就象是去一栋公寓然后挨家敲门看谁在家你是否在运行一个WEB服务器,或者邮件服务器、BIND、Telnet、FTP、RPC等等这些问题的答案扫描都可以给出遗憾的是,这些答案通常很明显的暴露在外,使得那些技术不是很高明的人可以轻而易举的进去“参观” 当然,我这里指的并非是那些极为高明,技术顶尖的黑客,我指的是那些只知道如何从网络上下载文件或收发EMAIL的大学生,当然中学生也不例外,他们通常被称为“脚本孩子”,因为他们并没有高深的技术知识作后盾,仅仅是通过运行别人写出的脚本程序来扫描或攻击别人的系统除了这些可以随意下载的脚本外,攻击者通常还会下载一个叫做端口扫描器的软件工具这种工具较旧的比如有ISS,较新的则如NMAP
2.54的BETA
22.1等如果攻击者可以在你的系统中找到一个明显的漏洞,那么完了,你的系统很快将会属于他了,而且,扫描并不犯法,它并不是抢劫,你还无处申诉 如今,“坏人”的扫描通常会遇到这样的问题,就是他们扫描过的系统往往会记录扫描行为所利用的每一个连接信息,或许扫描的人的确很浅薄,没有意识到在他们扫描过程中会在系统中留下“犯罪”的记录,但稍微留意的人都会想法抹除他们的犯罪记录有很多方法可以达到这个目的比如,许多黑客通过他预先攻击过的主机来扫描远程主机,这样,即使被扫描的主机记录了这一信息,逆向搜索的人能知道的也仅限于黑客预先攻击过的主机,真正的黑客信息并不能找到这里介绍的秘密扫描就属于这样一种扫描方式,它使得逆向搜索变的更为困难,因为它的工作机制甚至不需要建立连接 为了理解什么是秘密扫描以及它的工作原理,你首先应该对TCP/IP数据包的内容以及TCP的秘密握手机制有所了解除了携带发送和接收方的IP地址和端口号外,TCP的报头还包含一个序列号和一些起着特殊作用的标记位这里仅提到其中的三个标记位SYN,ACK和FIN因为它们三个的作用与这里讨论的主题密切相关 当系统间彼此说“HELLO”或道“GOODBYE”时,就会用到所谓的握手机制让我们先看看如何利用TCP/IP的握手机制来建立一个连接本文中所提到的连接均指的是发生在两个IP地址间,有一定的端口号的连接当你想网上冲浪,或者想TELNET到远程主机时,三次握手机制就会为你生成一个这样的连接 它的工作原理大致如下握手的第一步,一台计算机首先请求和另外一台计算机建立连接,它通过发送一个SYN请求来完成,也即将前面提到的SYN标记位置位消息的内容就象是说“HI,听着,我想和你的机子端口X上的服务说话,咱们先同步一下,我用序列号Y来开始连接”端口X表示了连接的服务类型至于哪些端口支持哪些类型的服务,可以参考UNIX下面的/etc/services文件两台计算机间的每条信息都有一个由发送方产生的序列号,序列号的使用使得双方知道他们之间是同步的,而且还可以起到丢失信息时或接收顺序错误时发送警告信息的作用 握手的第二步,接收到SYN请求的计算机响应发送来的序列号,它会将ACK标记位置位,同时它也提供自己的序列号,这个做法类似于说OH,亲爱的,我已经收到了你的号码,这是我的号码 到现在为止,发起连接建立请求的计算机认为连接已经建立起来,然而对方却并不这样认为,对方还要等到它自己的序列号有了应答后才能确认连接建立起来因此现在的状态可以称为“半连接”如果发起连接请求的计算机不对收到的序列号作出应答,那么这个连接就永远也建立不起来,而正因为没有建立连接,所以系统也不会对这次连接做任何记录 握手的第三步,发起连接请求的计算机对收到的序列号作出应答,这样,两台计算机之间的连接才算建立起来 两台计算机说”GOODBYE“时的握手情况与此类似当一台计算机说没有更多的数据需要发送了,它发送一个FIN信号(将FIN标记位置位)通知另一端,接收到FIN的另一端计算机可能发送完了数据,也可能没发送完,但它会对此作出应答,而当它真正完成所有需要发送的数据后,它会再发送一个自己的FIN信号,等对方对此作出应答后,连接才彻底解除FIN秘密扫描的工作原理就是向它的目的地一个根本不存在的连接发送FIN信息,如果这项服务没有开,那么目的地会响应一条错误信息,但如果是有这项服务,那么它将忽略这条消息这样,扫描者的问题“你运行X吗”就有了答案,而且还不会在系统中有所记录 还有两种其他的扫描手段值得注意一种叫做圣诞树扫描,因为,它将所有的标记位都置位(不仅仅是SYN,ACK,FIN);另一种叫做空扫描,因为所有的标记位都被复位这些秘密的扫描行为将会根据接收端所运行的平台不同而产生不同的错误响应信息 现代的端口扫描工具,象NMAP就是利用这样的原理来检测在一个系统上有那些服务是开着的NMAP不光是最著名的,同时也是最出色的端口扫描工具它被系统管理人员和“坏人”们广泛的应用,有关NMAP的介绍,大家可以通过搜索引擎去查找相关的资料++++++++不过对于扫描工具来说,菜鸟们用Scan和流光比较简单,功能也不错!+++++++++~~~~~~~~~~~~~~~~~~~~~~~~~~~第十一个什么是钩子函数WINDOWS的钩子函数可以认为是WINDOWS的主要特性之一利用它们,您可以捕捉您自己进程或其它进程发生的事件通过“钩挂”,您可以给WINDOWS一个处理或过滤事件幕氐骱煤步凶觥肮匙雍保泵看畏⑸行巳さ氖录保琖INDOWS都将调用该函数一共有两种类型的钩子局部的和远程的局部钩子仅钩挂您自己进程的事件远程的钩子还可以将钩挂其它进程发生的事件远程的钩子又有两种基于线程的它将捕获其它进程中某一特定线程的事件简言之,就是可以用来观察其它进程中的某一特定线程将发生的事件系统范围的将捕捉系统中所有进程将发生的事件消息当您创建一个钩子时,WINDOWS会先在内存中创建一个数据结构,该数据结构包含了钩子的相关信息,然后把该结构体加到已经存在的钩子链表中去新的钩子将加到老的前面当一个事件发生时,如果您安装的是一个局部钩子,您进程中的钩子函数将被调用如果是一个远程钩子,系统就必须把钩子函数插入到其它进程的地址空间,要做到这一点要求钩子函数必须在一个动态链接库中,所以如果您想要使用远程钩子,就必须把该钩子函数放到动态链接库中去当然有两个例外工作日志钩子和工作日志回放钩子这两个钩子的钩子函数必须在安装钩子的线程中原因是这两个钩子是用来监控比较底层的硬件事件的,既然是记录和回放,所有的事件就当然都是有先后次序的所以如果把回调函数放在DLL中,输入的事件被放在几个线程中记录,所以我们无法保证得到正确的次序故解决的办法是把钩子函数放到单个的线程中,譬如安装钩子的线程钩子一共有14种,以下是它们被调用的时机WH_CALLWNDPROC当调用SendMessage时WH_CALLWNDPROCRET当SendMessage的调用返回时WH_GETMESSAGE当调用GetMessage或PeekMessage时WH_KEYBOARD当调用GetMessage或PeekMessage来从消息队列中查询WM_KEYUP或WM_KEYDOWN消息时WH_MOUSE当调用GetMessage或PeekMessage来从消息队列中查询鼠标事件消息时WH_HARDWARE当调用GetMessage或PeekMessage来从消息队列种查询非鼠标、键盘消息时WH_MSGFILTER当对话框、菜单或滚动条要处理一个消息时该钩子是局部的它时为那些有自己的消息处理过程的控件对象设计的WH_SYSMSGFILTER和WH_MSGFILTER一样,只不过是系统范围的WH_JOURNALRECORD当WINDOWS从硬件队列中获得消息时WH_JOURNALPLAYBACK当一个事件从系统的硬件输入队列中被请求时WH_SHELL当关于WINDOWS外壳事件发生时,譬如任务条需要重画它的按钮.WH_CBT当基于计算机的训练CBT事件发生时WH_FOREGROUNDIDLE由WINDOWS自己使用,一般的应用程序很少使用WH_DEBUG用来给钩子函数除错附如何使用钩子函数(接收到字母A按下时,窗体由最小化弹出的完整的代码)PublicDeclareFunctionCallNextHookExLib\user32\_ByValhHookAsLong_ByValnCodeAsLong_ByValwParamAsLong_ByVallParamAsLongAsLongPublicDeclareFunctionUnhookWindowsHookExLib\user32\_ByValhHookAsLongAsLongPublicDeclareFunctionSetWindowsHookExLib\user32\_Alias\SetWindowsHookExA\_ByValidHookAsLong_ByVallpfnAsLong_ByValhmodAsLong_ByValdwThreadIdAsLongAsLongPublicConstWH_KEYBOARD=2PublicConstKEY_WINSTART=91PublicConstKEY_WINMENU=93GlobalhHookAsLongPublicFunctionKeyboardProcByValnCodeAsLongByValwParamAsLongByVallParamAsLongAsLongIfnCode=0ThenIfwParam=KEY_WINMENUOrwParam=KEY_WINSTARTThenIflParamAndHC0000000=0ThenMsgBox\\\\KeyboardProc=1ExitFunctionEndIfEndIfEndIfKeyboardProc=CallNextHookExhHooknCodewParamlParamEndFunctionOptionExplicitPrivateSubCommand1_ClickForm
2.Show1EndSubPrivateSubForm_LoadhHook=SetWindowsHookExWH_KEYBOARDAddressOfKeyboardProc0App.ThreadIDMe.ShowEndSubPrivateSubForm_UnloadCancelAsIntegerCallUnhookWindowsHookExhHookEndSub~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~第十二个什么是加壳和脱壳!加壳其实是利用特殊的算法,对EXE、DLL文件里的资源进行压缩类似WINZIP的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成解压原理,是加壳工具在文件头里加了一段指令,告诉CPU,怎么才能解压自己现在的CPU都很快,所以这个解压过程你看不出什么东东软件一下子就打开了,只有你机器配置非常差,才会感觉到不加壳和加壳后的软件运行速度的差别当你加壳时,其实就是给可执行的文件加上个外衣用户执行的只是这个外壳程序当你执行这个程序的时候这个壳就会把原来的程序在内存中解开,解开后,以后的就交给真正的程序所以,这些的工作只是在内存中运行的,是不可以了解具体是怎么样在内存中运行的通常说的对外壳加密,都是指很多网上免费或者非免费的软件,被一些专门的加壳程序加壳,基本上是对程序的压缩或者不压缩因为有的时候程序会过大,需要压缩但是大部分的程序是因为防止反跟踪,防止程序被人跟踪调试,防止算法程序不想被别人静态分析加密代码和数据,保护你的程序数据的完整性不被修改或者窥视你程序的内幕脱壳,是完全破除压缩后软件无法编辑的限制,去掉头部的解压缩指令,然后解压出加壳前的完整软件这样,你就可以对其“动刀”了呵呵~~当然是和加壳相反哟从字面上也该明白了吧,我就不多说了~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~第十三个什么是代理服务器代理有很多种解释,而我们常常提到的代理,从计算机专业角度来说就是指代理服务器相关,针对syx-kn的提问,我先把代理服务器向大家简单的介绍一下吧!!代理服务器英文全称是ProxyServer,其功能就是代理网络用户去取得网络信息形象的说它是网络信息的中转站在一般情况下,我们使用网络浏览器直接去连接其他Internet站点取得网络信息时,须送出Request信号来得到回答,然后对方再把信息以bit方式传送回来代理服务器是介于浏览器和Web服务器之间的一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,Request信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器而且,大部分代理服务器都具有缓冲的功能,就好象一个大的Cache,它有很大的存储空间,它不断将新取得数据储存到它本机的存储器上,如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的,那么它就不重新从Web服务器取数据,而直接将存储器上的数据传送给用户的浏览器,这样就能显著提高浏览速度和效率更重要的是ProxyServer代理服务器是Internet链路级网关所提供的一种重要的安全功能,它的工作主要在开放系统互联OSI模型的对话层 代理服务器ProxyServer就是个人网络和因特网服务商之间的中间代理机构,它负责转发合法的网络信息,并对转发进行控制和登记在使用网络浏览器浏览网络信息的时候,如果使用代理服务器,浏览器就不是直接到Web服务器去取回网页,而是向代理服务器发出请求,由代理服务器取回浏览器所需要的信息目前使用的因特网是一个典型的客户机/服务器结构,当用户的本地机与因特网连接时,通过本地机的客户程序比如浏览器或者软件下载工具发出请求,远端的服务器在接到请求之后响应请求并提供相应的服务 代理服务器处在客户机和服务器之间,对于远程服务器而言,代理服务器是客户机,它向服务器提出各种服务申请;对于客户机而言,代理服务器则是服务器,它接受客户机提出的申请并提供相应的服务也就是说,客户机访问因特网时所发出的请求不再直接发送到远程服务器,而是被送到了代理服务器上,代理服务器再向远程的服务器提出相应的申请,接收远程服务器提供的数据并保存在自己的硬盘上,然后用这些数据对客户机提供相应的服务讲了这么多,其实对于菜鸟们所提的代理,主要是应用,这里我再附加上设置代理服务器的方法IE
4.01菜单栏“查看”-下拉菜单“Internet选项”-选项卡“连接”-在“代理服务器”一栏选中“通过代理服务器访问Internet”,输入地址和端口号-确定IE
5.0菜单栏“工具”-下拉菜单“Internet选项”-选项卡“连接”-在“拨号设置”中选中您目前使用的连接,然后点击右侧的“设置”-在中间的“代理服务器”栏选中“使用代理服务器”-在“地址”和“端口”栏输入HTTP代理服务器地址和端口-确定-确定~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~第十四个什么是协议协议就是对计算机之间连接的信息格式、能被收/发双方接受的传送信息内容的一组定义协议有“多层”结构,高层协议如IPX或TCP/IP负责点到点传送信息包,较低层协议提供专门的信息和命令允许系统操作~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~第十五个什么是数据包 “包”Packet是TCP/IP协议通信传输中的数据单位,一般也称“数据包”有人说,局域网中传输的不是“帧”Frame吗?没错,但是TCP/IP协议是工作在OSI模型第三层网络层、第四层传输层上的,而帧是工作在第二层数据链路层上一层的内容由下一层的内容来传输,所以在局域网中,“包”是包含在“帧”里的 名词解释OSIOpenSystemInterconnection,开放系统互联模型是由国际标准化组织ISO定义的标准,它定义了一种分层体系结构,在其中的每一层定义了针对不同通信级别的协议OSI模型有7层,17层分别是物理层、数据链路层、网络层、传输层、会话层、表示层、应用层OSI模型在逻辑上可分为两个部分低层的14层关注的是原始数据的传输;高层的57层关注的是网络下的应用程序 我们可以用一个形象一些的例子对数据包的概念加以说明我们在邮局邮寄产品时,虽然产品本身带有自己的包装盒,但是在邮寄的时候只用产品原包装盒来包装显然是不行的必须把内装产品的包装盒放到一个邮局指定的专用纸箱里,这样才能够邮寄这里,产品包装盒相当于数据包,里面放着的产品相当于可用的数据,而专用纸箱就相当于帧,且一个帧中只有一个数据包 “包”听起来非常抽象,那么是不是不可见的呢?通过一定技术手段,是可以感知到数据包的存在的比如在Windows2000Server中,把鼠标移动到任务栏右下角的网卡图标上网卡需要接好双绞线、连入网络,就可以看到“发送××包,收到××包”的提示通过数据包捕获软件,也可以将数据包捕获并加以分析(见附件图)就是用数据包捕获软件Iris捕获到的数据包的界面图,在此,大家可以很清楚地看到捕获到的数据包的MAC地址、IP地址、协议类型端口号等细节通过分析这些数据,网管员就可以知道网络中到底有什么样的数据包在活动了附数据包的结构 数据包的结构非常复杂,不是三言两语能够说清的,在这里我们主要了解一下它的关键构成就可以了,这对于理解TCP/IP协议的通信原理是非常重要的数据包主要由“目的IP地址”、“源IP地址”、“净载数据”等部分构成 数据包的结构与我们平常写信非常类似,目的IP地址是说明这个数据包是要发给谁的,相当于收信人地址;源IP地址是说明这个数据包是发自哪里的,相当于发信人地址;而净载数据相当于信件的内容 正是因为数据包具有这样的结构,安装了TCP/IP协议的计算机之间才能相互通信我们在使用基于TCP/IP协议的网络时,网络中其实传递的就是数据包理解数据包,对于网络管理的网络安全具有至关重要的意义~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~第十六个什么是IPXIPX(InternetworkPacketeXchange‘网络报文分组交换’)是Novell公司用于Netware网络操作系统的通信协议基于此协议可实现客户机/服务器模式的局域网,因此在局域网领域被广泛采用随着Internet和Intranet的迅速发展,这种协议将被Internet的基本通信协议TCP/IP协议取代,因为采用TCP/IP协议可建立更加简单而统一的信息交换平台~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~第十七个什么是Internet/IntranetInternet(国际互联网)是一个由各种不同类型和规模的独立运行与管理的计算机网络组成的全球范围的计算机网络组成Internet的计算机网络包括局域网(LAN)、城域网(MAN)以及大规模的广域网(WAN)等这些网络通过普通电话线、高速率专用线路、卫星、微波和光缆等通信线路把不同国家的大学、公司、科研机构以及军事和政府等组织的网络连接起来Internet网络互连采用的基本协议是TCP/IP任何一个地方的任意一个Internet用户都可以从Internet中获得任何方面的信息,如自然、社会、政治、历史、科技、教育、卫生、娱乐、政治决策、金融、商业和天气预报等等Intranet(内部网)指采用Internet技术建立的企业内部专用网络它以TCP/IP协议作为基础,以Web为核心应用,构成统一各便利的信息交换平台Intranet可实现的功能极为广泛和强大~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~第十七个什么是IRC(Internet转播交谈)?IRC(InternetRelayChat)是一种基于Internet的通信协议,中文一般莆チ屑塘奶臁K怯煞依人JarkkoOikarinen于1988年首创的一种网络聊天协议经过十年的发展,目前世界上有超过60个国家提供了IRC的服务在人气最旺的EFnet上,您可以看到上万的使用者在同一时间使用IRCIRC采用客户机/服务器模式,它能使Internet用户实时地与其他用户交谈,每个用户通过客户端程序与远程主机建立连接,远程主机接受多个来自客户端程序的连接,并实现多个用户之间的实时通话在海湾战争期间,IRC受到了全世界的关注当时以色列特拉维夫的居民们在空袭期间通过IRC方式,向世界各地的听众现场描述所发生的事件IRC的工作原理非常简单,您只要在自己的PC上运行客户端软件,然后通过因特网以IRC协议连接到一台IRC服务器上即可它的特点是速度非常之快,聊天时几乎没有延迟的现象,并且只占用很小的带宽资源所有用户可以在一个被称为\\\Channel\\\频道的地方就某一话题进行交谈或密谈每个IRC的使用者都有一个Nickname昵称,所有的沟通就在他们所在的Channel内以不同的Nickname进行交谈IRC工具中国际上比较好用的是英文的mirc在国内,比较好用的是中文的Chatkey你可以到有关的网站下载mirc的网址为http://www.mirc.com英文,Chatkey的网址是:http://www.chatkey.com中文这里以中文的Chatkey为例,带你玩转IRC~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~第十八个什么是Ping Ping是个使用频率极高的实用程序,用于确定本地主机是否能与另一台主机交换(发送与接收)数据报根据返回的信息,你就可以推断TCP/IP参数是否设置得正确以及运行是否正常需要注意的是成功地与另一台主机进行一次或两次数据报交换并不表示TCP/IP配置就是正确的,你必须执行大量的本地主机与远程主机的数据报交换,才能确信TCP/IP的正确性 简单的说,Ping就是一个测试程序,如果Ping运行正确,你大体上就可以排除网络访问层、网卡、MODEM的输入输出线路、电缆和路由器等存在的故障,从而减小了问题的范围但由于可以自定义所发数据报的大小及无休止的高速发送,Ping也被某些别有用心的人作为DDOS(拒绝服务攻击)的工具,曾经Yahoo就是被黑客利用数百台可以高速接入互联网的电脑连续发送大量Ping数据包而瘫痪的 按照缺省设置,Windows上运行的Ping命令发送4个ICMP(网间控制报文协议)回颓肭螅扛2字节数据,如果一切正常,你应能得到4个回送应答 Ping能够以毫秒为单位显示发送回送请求到返回回送应答之间的时间量如果应答时间短,表示数据报不必通过太多的路由器或网络连接速度比较快Ping还能显示TTL(TimeToLive存在时间)值,你可以通过TTL值推算一下数据包已经通过了多少个路由器源地点TTL起始值(就是比返回TTL略大的一个2的乘方数)-返回时TTL值例如,返回TTL值为119,那么可以推算数据报离开源地址的TTL起始值为128,而源地点到目标地点要通过9个路由器网段(128-119);如果返回TTL值为246,TTL起始值就是256,源地点到目标地点要通过9个路由器网段通过Ping检测网络故障的典型次序 正常情况下,当你使用Ping命令来查找问题所在或检验网络运行情况时,你需要使用许多Ping命令,如果所有都运行正确,你就可以相信基本的连通性和配置参数没有问题;如果某些Ping命令出现运行故障,它也可以指明到何处去查找问题下面就给出一个典型的检测次序及对应的可能故障ping
127.
0.
0.1--这个Ping命令被送到本地计算机的IP软件,该命令永不退出该计算机如果没有做到这一点,就表示TCP/IP的安装或运行存在某些最基本的问题ping本机IP--这个命令被送到你计算机所配置的IP地址,你的计算机始终都应该对该Ping命令作出应答,如果没有,则表示本地配置或安装存在问题出现此问题时,局域网用户请断开网络电缆,然后重新发送该命令如果网线断开后本命令正确,则表示另一台计算机可能配置了相同的IP地址ping局域网内其他IP--这个命令应该离开你的计算机,经过网卡及网络电缆到达其他计算机,再返回收到回送应答表明本地网络中的网卡和载体运行正确但如果收到0个回送应答,那么表示子网掩码(进行子网分割时,将IP地址的网络部分与主机部分分开的代码)不正确或网卡配置错误或电缆系统有问题ping网关IP--这个命令如果应答正确,表示局域网中的网关路由器正在运行并能够作出应答ping远程IP--如果收到4个应答,表示成功的使用了缺省网关对于拨号上网用户则表示能够成功的访问Internet(但不排除ISP的DNS会有问题)pinglocalhost--localhost是个作系统的网络保留名,它是
127.
0.
32.EXETitle:WMSIdle1264rundll
32.exeTitle:1000mmc.exeTitle:DeviceManager1144tlist.exe在这个例子中注册表设置了两个组HKEY_LOCAL_MACHINE\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\Svchost:netsvcs:Reg_Multi_SZ:EventSystemIasIpripIrmonNetmanNwsapagentRasautoRasmanRemoteaccessSENSSharedaccessTapisrvNtmssvcrpcss:Reg_Multi_SZ:RpcSssmss.execsrss.exe这个是用户模式Win32子系统的一部分csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行csrss负责控制windows,创建或者删除线程和一些16位的虚拟MS-DOS环境explorer.exe这是一个用户的shell(我实在是不知道怎么翻译shell),在我们看起来就像任务条,桌面等等这个进程并不是像你想象的那样是作为一个重要的进程运行在windows中,你可以从任务管理器中停掉它,或者重新启动通常不会对系统产生什么负面影响internat.exe这个进程是可以从任务管理器中关掉的internat.exe在启动的时候开始运行它加载由用户指定的不同的输入点输入点是从注册表的这个位置HKEY_USERS\\.DEFAULT\\KeyboardLayout\\Preload加载内容的internat.exe加载“EN”图标进入系统的图标区,允许使用者可以很容易的转换不同的输入点当进程停掉的时候,图标就会消失,但是输入点仍然可以通过控制面板来改变lsass.exe这个进程是不可以从任务管理器中关掉的这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程这个进程是通过使用授权的包,例如默认的msgina.dll来执行的如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell其他的由用户初始化的进程会继承这个令牌的mstask.exe这个进程是不可以从任务管理器中关掉的这是一个任务调度服务,负责用户事先决定在某一时间运行的任务的运行smss.exe这个进程是不可以从任务管理器中关掉的这是一个会话管理子系统,负责启动用户会话这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映在它启动这些进程后,它等待Winlogon或者Csrss结束如果这些过程时正常的,系统就关掉了如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂起)spoolsv.exe这个进程是不可以从任务管理器中关掉的缓冲(spooler)服务是管理缓冲池中的打印和传真作业service.exe这个进程是不可以从任务管理器中关掉的大多数的系统核心模式进程是作为系统进程在运行SystemIdleProcess这个进程是不可以从任务管理器中关掉的这个进程是作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间winlogon.exe这个进程是管理用户登录和推出的而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框winmgmt.exewinmgmt是win2000客户端管理的核心组件当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化taskmagr.exe这个进程当然就是任务管理器了.不要忘哟.~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~第二十一TCP/IP协议介绍TCP/IP的通讯协议这部分简要介绍一下TCP/IP的内部结构,为讨论与互联网有关的安全问题打下基础TCP/IP协议组之所以流行,部分原因是因为它可以用在各种各样的信道和底层协议(例如T1和X.
25、以太网以及RS-232串行接口)之上确切地说,TCP/IP协议是一组包括TCP协议和IP协议,UDP(UserDatagramProtocol)协议、ICMP(InternetControlMessageProtocol)协议和其他一些协议的协议组TCP/IP整体构架概述TCP/IP协议并不完全符合OSI的七层参考模型传统的开放式系统互连参考模型,是一种通信协议的7层抽象的参考模型其中每一层执行某一特定任务该模型的目的是使各种硬件在相同的层次上相互通信这7层是:物理层、数据链路层、网路层、传输层、话路层、表示层和应用层而TCP/IP通讯协议采用了4层的层级结构,每一层都呼叫它的下一层所提供的网络来完成自己的需求这4层分别为应用层应用程序间沟通的层,如简单电子邮件传输(SMTP)、文件传输协议(FTP)、网络远程访问协议(Telnet)等传输层在此层中,它提供了节点间的数据传送服务,如传输控制协议(TCP)、用户数据报协议(UDP)等,TCP和UDP给数据包加入传输数据并把它传输到下一层中,这一层负责传送数据,并且确定数据已被送达并接收互连网络层负责提供基本的数据封包传送功能,让每一块数据包都能够到达目的主机(但不检查是否被正确接收),如网际协议(IP)网络接口层对实际的网络媒体的管理,定义如何使用实际网络(如Ethernet、SerialLine等)来传送数据TCP/IP中的协议以下简单介绍TCP/IP中的协议都具备什么样的功能,都是如何工作的1.IP网际协议IP是TCP/IP的心脏,也是网络层中最重要的协议IP层接收由更低层(网络接口层例如以太网设备驱动程序)发来的数据包,并把该数据包发送到更高层---TCP或UDP层;相反,IP层也把从TCP或UDP层接收来的数据包传送到更低层IP数据包是不可靠的,因为IP并没有做任何事情来确认数据包是按顺序发送的或者没有被破坏IP数据包中含有发送它的主机的地址(源地址)和接收它的主机的地址(目的地址)高层的TCP和UDP服务在接收数据包时,通常假设包中的源地址是有效的也可以这样说,IP地址形成了许多服务的认证基础,这些服务相信数据包是从一个有效的主机发送来的IP确认包含一个选项,叫作IPsourcerouting,可以用来指定一条源地址和目的地址之间的直接路径对于一些TCP和UDP的服务来说,使用了该选项的IP包好象是从路径上的最后一个系统传递过来的,而不是来自于它的真实地点这个选项是为了测试而存在的,说明了它可以被用来欺骗系统来进行平常是被禁止的连接那么,许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵
2.TCP如果IP数据包中有已经封好的TCP数据包,那么IP将把它们向‘上’传送到TCP层TCP将包排序并进行错误检查,同时实现虚电路间的连接TCP数据包中包括序号和确认,所以未按照顺序收到的包可以被排序,而损坏的包可以被重传TCP将它的信息送到更高层的应用程序,例如Telnet的服务程序和客户程序应用程序轮流将信息送回TCP层,TCP层便将它们向下传送到IP层,设备驱动程序和物理介质,最后到接收方面向连接的服务(例如Telnet、FTP、rlogin、XWindows和SMTP)需要高度的可靠性,所以它们使用了TCPDNS在某些情况下使用TCP(发送和接收域名数据库),但使用UDP传送有关单个主机的信息
3.UDPUDP与TCP位于同一层,但对于数据包的顺序错误或重发因此,UDP不被应用于那些使用虚电路的面向连接的服务,UDP主要用于那些面向查询---应答的服务,例如NFS相对于FTP或Telnet,这些服务需要交换的信息量较小使用UDP的服务包括NTP(网落时间协议)和DNS(DNS也使用TCP)欺骗UDP包比欺骗TCP包更容易,因为UDP没有建立初始化连接(也可以称为握手)(因为在两个系统间没有虚电路),也就是说,与UDP相关的服务面临着更大的危险
4.ICMPICMP与IP位于同一层,它被用来传送IP的的控制信息它主要是用来提供有关通向目的地址的路径信息ICMP的‘Redirect’信息通知主机通向其他系统的更准确的路径,而‘Unreachable’信息则指出路径有问题另外,如果路径不可用了,ICMP可以使TCP连接‘体面地’终止PING是最常用的基于ICMP的服务
5.TCP和UDP的端口结构TCP和UDP服务通常有一个客户/服务器的关系,例如,一个Telnet服务进程开始在系统上处于空闲状态,等待着连接用户使用Telnet客户程序与服务进程建立一个连接客户程序向服务进程写入信息,服务进程读出信息并发出响应,客户程序读出响应并向用户报告因而,这个连接是双工的,可以用来进行读写两个系统间的多重Telnet连接是如何相互确认并协调一致呢?TCP或UDP连接唯一地使用每个信息中的如下四项进行确认源IP地址---发送包的IP地址目的IP地址---接收包的IP地址源端口---源系统上的连接的端口目的端口---目的系统上的连接的端口端口是一个软件结构,被客户程序或服务进程用来发送和接收信息一个端口对应一个16比特的数服务进程通常使用一个固定的端口,例如,SMTP使用
25、Xwindows使用6000这些端口号是‘广为人知’的,因为在建立与特定的主机或服务的连接时,需要这些地址和目的地址进行通讯~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~第二十二个什么是Sniffer现在人们谈到黑客攻击,一般所指的都是以主动方式进行的,例如利用漏洞或者猜测系统密码的方式对系统进行攻击但是其实还有一类危害非常大的被动攻击方式往往为大家所忽视,那就是利用Sniffer进行嗅探攻击Sniffer,中文可以翻译为嗅探器,是一种威胁性极大的被动攻击工具使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获黑客们常常用它来截获用户的口令据说某个骨干网络的路由器曾经被黑客攻人,并嗅探到大量的用户口令本文将详细介绍Sniffer的原理和应用
一、Sniffer原理1.网络技术与设备简介在讲述Sni计er的概念之前,首先需要讲述局域网设备的一些基本概念数据在网络上是以很小的称为帧(Frame)的单位传输的,帧由几部分组成,不同的部分执行不同的功能帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上,通过网线到达它们的目的机器,在目的机器的一端执行相反的过程接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储就是在这个传输和接收的过程中,嗅探器会带来安全方面的问题每一个在局域网(LAN)上的工作站都有其硬件地址,这些地址惟一地表示了网络上的机器(这一点与Internet地址系统比较相似)当用户发送一个数据包时,这些数据包就会发送到LAN上所有可用的机器在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据包则不予响应(换句话说,工作站A不会捕获属于工作站B的数据,而是简单地忽略这些数据)如果某个工作站的网络接口处于混杂模式(关于混杂模式的概念会在后面解释),那么它就可以捕获网络上所有的数据包和帧2.网络监听原理Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太网卡)置为杂乱(promiscuous)模式状态的工具,一旦网卡设置为这种模式,它就能接收传输在网络上的每一个信息包普通的情况下,网卡只接收和自己的地址有关的信息包,即传输到本地主机的信息包要使Sniffer能接收并处理这种方式的信息,系统需要支持BPF,Linux下需要支持SOCKET一PACKET但一般情况下,网络硬件和TCP/IP堆栈不支持接收或者发送与本地计算机无关的数据包,所以,为了绕过标准的TCP/IP堆栈,网卡就必须设置为我们刚开始讲的混杂模式一般情况下,要激活这种方式,内核必须支持这种伪设备Bpfilter,而且需要root权限来运行这种程序,所以sniffer需要root身份安装,如果只是以本地用户的身份进人了系统,那么不可能唤探到root的密码,因为不能运行Sniffer基于Sniffer这样的模式,可以分析各种信息包并描述出网络的结构和使用的机器,由于它接收任何一个在同一网段上传输的数据包,所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性这成为黑客们常用的扩大战果的方法,用来夺取其他主机的控制权3Snifffer的分类Sniffer分为软件和硬件两种,软件的Sniffer有NetXray、Packetboy、Netmonitor等,其优点是物美价廉,易于学习使用,同时也易于交流;缺点是无法抓取网络上所有的传输,某些情况下也就无法真正了解网络的故障和运行情况硬件的Sniffer通常称为协议分析仪,一般都是商业性的,价格也比较贵实际上本文中所讲的Sniffer指的是软件它把包抓取下来,然后打开并查看其中的内容,可以得到密码等Sniffer只能抓取一个物理网段内的包,就是说,你和监听的目标中间不能有路由或其他屏蔽广播包的设备,这一点很重要所以,对一般拨号上网的用户来说,是不可能利用Sniffer来窃听到其他人的通信内容的4.网络监听的目的当一个黑客成功地攻陷了一台主机,并拿到了root权限,而且还想利用这台主机去攻击同一网段上的其他主机时,他就会在这台主机上安装Sniffer软件,对以太网设备上传送的数据包进行侦听,从而发现感兴趣的包如果发现符合条件的包,就把它存到一个LOg文件中去通常设置的这些条件是包含字“username”或“password”的包,这样的包里面通常有黑客感兴趣的密码之类的东西一旦黑客截获得了某台主机的密码,他就会立刻进人这台主机如果Sniffer运行在路由器上或有路由功能的主机上,就能对大量的数据进行监控,因为所有进出网络的数据包都要经过路由器Sniffer属于第M层次的攻击就是说,只有在攻击者已经进入了目标系统的情况下,才能使用Sniffer这种攻击手段,以便得到更多的信息Sniffer除了能得到口令或用户名外,还能得到更多的其他信息,比如一个重要的信息、在网上传送的金融信息等等Sniffer几乎能得到任何在以太网上传送的数据包Sniffer是一种比较复杂的攻击手段,一般只有黑客老手才有能力使用它,而对于一个网络新手来说,即使在一台主机上成功地编译并运行了Sniffer,一般也不会得到什么有用的信息,因为通常网络上的信息流量是相当大的,如果不加选择地接收所有的包,然后从中找到所需要的信息非常困难;而且,如果长时间进行监听,还有可能把放置Sniffer的机器的硬盘撑爆5.一个简单的Sniffer程序下面是一个非常简单的C程序,它可以完成一般的监听功能,/**/中的内容是本文的注解/*下面是包含进行调用系统和网络函数的头文件*/#include〈stdio.h〉#include〈sys/socket.h〉#include〈netinet/in.h〉#include〈arpa/inet.h〉/*下面是IP和TCP包头结构*/structIP{unsignedintip_length:4;/*定义IP头的长度*/unsignedintip_version:4;/*IP版本,Ipv4*/unsignedcharip_tos;/*服务类型*/unsignedshortip_total_length;/*IP数据包的总长度*/unsignedshortip_id;/*鉴定城*/unsignedshortip_flags;/*IP标志*/unsignedcharip_ttl;/*IP包的存活期*/unsignedcharip_protocol;/*IP上层的协议*/unsignedshortip_cksum;/*IP头校验和*/unsignedintip_source;/*源IP地址*/unsignedintip_source;/*目的IP地址*/};structtcp{unsignedshorttcp_source_port;/*定义TCP源端口*unsignedshorttcp_dest_port;/*TCP目的端口*/unsignedshorttcp_seqno;/*TCP序列号*/unsignedinttcp_ackno;/*发送者期望的下一个序列号*/unsignedinttcp_res1:4;/*下面几个是TCP标志*/tcp_hlen:4tcp_fin:1tcp_syn:1tcp_rst:1tcp_psh:1tcp_ack:1tcp_urg:1tcp_res2:2;unsigndshorttcp_winsize;/*能接收的最大字节数*/unsignedshorttcp_cksum;/*TCP校验和*/unsignedshorttcp_urgent;/*紧急事件标志*/};/*主函数*/intmain{intsockbytes_recievedfromlen;charbuffer
[65535];structsockaddr_infrom;/*定义socket结构*/structipip;/*定义IP和TCP*/structtcp*tcp;sock=socketAF_INETSOCK_RAWIPPROTO_TCP;/*上面是建立socket连接,第一个参数是地址族类型,用INTERNET类型*//*第二个参数是socket类型,这里用了SOCK_RAW,它可以绕过传输层*//*直接访问IP层的包,为了调用SOCK_RAW需要有root权限*//*第三个参数是协议,选IPPROTO_TCP指定了接收TCP层的内容*/while1/*建立一个死循环,不停的接收网络信息*/{fromlen=sizeoffrom;bytes_recieved=recvfromsockbuffersizeofbuffer0structsockaddr*fromfromlen;/*上面这个函数是从建立的socket连接中接收数据*//*因为recvfrom需要一个sockaddr数据类型,所以我们用了一个强制类型转换*/print\\\nBytesreceived:::%5d\\n\bytes_recieved;/*显示出接收的数据字节数*/printf\sourceaddress:::%s\\n\inet_ntoafrom.sin_addr;/*显示出源地址*/ip=structip*buffer;/*把接收的数据转化为我们预先定义的结构,便于查看*/printf\IPheaderlength:::%d\\n\ip-ip_length;/*显示IP头的长度*/print\Protocol:::%d\\n\ip-ip_protocol;/*显示协议类型,6是TCP,17是UDP*/tcp=structtcp*buffer+4*ip-ip_iplength;/*上面这名需要详细解释一下,因为接收的包头数据中,IP头的大小是固定的4字节*//*所以我用IP长度乘以4指向TCP头部分*/printf\Sourceport:::%d\\n\ntohstcp-tcp_source_port;/*显示出端口*/printf\Destprot:::%d\\n\ntohstcp-tcp_dest_port;/*显示出目标端口*/以上这个C程序是为了说明Sniffer的接收原理而列举的一个最简单的例子,它只是完成了Sniffer的接收功能,在运行它之前,我们还需要手工把同卡设为混杂模式,在root权限下用如下命令设置ifconfigeth0promisc假设etho是你的以太网设备接口,然后运行编译好的程序,就可以看到接收的数据包了这个程序虽然简单,但是它说明了Sniffer的基本原理,就是先把同卡设备设为混杂模式,然后直接接收IP层的数据当然这个程序的功能也太简单,只能显示源地址、目标地址和源端口、目标端口等极为简单的信息,这对于黑客来说是没有什么用处的,黑客要的是密码之类的信息,这可以使用一些免费的Sniffer程序来完成想了解更全面的Sniffer知识,请进入这个页面http://www.cn
90.net/viewthread.phptid=2358pid=10814~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~第二十三个什么是PID值针对5minglei的提问我真是不好回答因为PID有很多解释其中之一是:PID是比例(p)+积分(I)+微分(D)控制程序但是你说的是PID值我猜你是不是指进程里的PID项呢如果是这样的话其实PID一列代表了各进程的进程ID也就是说PID就是各进程的身份标识.呵~~本来我还想多说点可是下班了没时间了不写了这样吧我拿出部分进程的编程源码大家参考一下吧创建新进程fork函数#include#includepid_tforkvoid;‘fork’函数用于从已存在进程中创建一个新进程新进程称为子进程,而原进程称为父进程你可以通过检查‘fork’函数的返回值知道哪个是父进程,哪个是子进程父进程得到的返回值是子进程的进程号,而子进程则返回0以下这个范例程序说明它的基本功能pid_tpid;switchpid=fork{case-1:/*这里pid为-1,fork函数失败*//*一些可能的原因是*//*进程数或虚拟内存用尽*/perror\Theforkfailed!\;break;case0:/*pid为0,子进程*//*这里,我们是孩子,要做什么?*//*...*//*但是做完后我们需要做类似下面*/_exit0;default:/*pid大于0,为父进程得到的子进程号*/printf\Child\spidis%d\\n\pid;}当然,有人可以用‘if...else...’语句取代‘switch’语句,但是上面的形式是一个有用的惯用方法~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~第二十四个什么是主机、服务器、空间?他们的区别是什么?街街的提问,由于我现在时间有限,我作一下简单的解答,希望你能理解~~主机一般是指个人使用的电脑PC机而在专业术语中,主机仅是电脑的一部分而我们常说的主机却往往代表整个电脑,你目前理解为这个也行服务器一般是指用于专业用的电脑PC机,在实质上,服务器和主机没有什么意义上的区别主机如果做为服务器也是可以的,服务器也可以当个人主机用然而我们平时要做为真正的服务器来使用时(一般是企业)服务器的硬件要求要比普通的个人PC要求要高的多比如WEB服务器,要24小时不能离线所以在散热,耐热等方面就比普通PC要高很多至于空间,就是能通过网络访问到的计计算机磁盘空间,我们一般是指WEB服务器空间如果你的主机有固定的IP地址也能24在线,那么你的硬盘也是可以作为空间使用的,当然,还是需要进行一系列的服务器配置,别人才能访问的到的~~互联网上缩略词简编名称释意ANSI(AmericanNationalStandardsInstitute)美国国家标准学会APNA-CC(AsianPacificNetworkingGroup-ChineseCharacters)亚太地区网络-中文分组ARPANET(AdvancedResearchProjectsAgencyNETwork)(美国国防部)高级研究规划局网络ASCII(AmericanStandardCodeforInFORMationInterchange)美国信息交换标准代码BBS(BulletinBoardSystem)布告栏系统BITNET(BecauseIT\sTimeNETwork)“因为正适时宜”网CANET(ChinaAcademicNETwork)中国学术网CCITT(ConsultativeCommitteeonInternationalTelephoneandTelegraph)国际电话电报咨询委员会CERN(EuropeanNaclearResearchCenter)欧洲核研究中心CERNET(ChinaEducationalandResearchNETwork)中国教育与科研网CGIConnonGatewayInterface)公共网关接口CNTDR(ClearinghouseforNetworkedInFORMatoinDiscoveryandRetrieval)(美国)网络信息开发和检索交换中心DNS(DomaimNamesystem)域名服务系统FAQ(FrequentlyAskedQuestions)常问问题FTP(FileTransferProtocol)文件传输协议HTML(HypertextMarkupLanguage超文本置标语言HTTP(HypertextTransferProtocol)超文本传输协议IRC(InternetRelayChat)网络中继聊天IAB(InternetArchitectureBorad)国际互联网网络体系技术委员会InterNIC(InternetNetworkInFORMationCenter)国际互联网网络信息中心LAN(LocalAreaNetwork)局域网MILNET(MilitaryNETwork)军用网、军事网NIC(NetworkInFORMationCenter)网络信息中心PCMCIA(PersonalComputerMemoryCardInternational)国际个人计算机存储卡协会PPP(PointtoPointProtocol点对点通信协议SLIP(SerialLineinternetProtocol)串行线Internet协议SMTP(SimpleMailTransferProtocol)简易电子邮件传送协议TCP(TransmissionControlProtocol)传输控制协议URL(UniFORMResourceLocator)通用资源定位器VRML(VirtualRealityModelingLanguage)虚拟现实建模语言WAIS(WideAreaInFORMationServer)广域信息服务站WAN(WideAreaNet广域网WWW(WorldWideWeb)万维网~~~~~~~~~~~~~~~~~~~~~~~~~~~第二十五个什么是RPC远程过程调用RPC是一种协议,程序可使用这种协议向网络中的另一台计算机上的程序请求服务由于使用RPC的程序不必了解支持通信的网络协议的情况,因此RPC提高了程序的互操作性在RPC中,发出请求的程序是客户程序,而提供服务的程序是服务器~~~~~~~~~~~~~~~~~~~~~~~~~~~~第二十六个什么是域名 Internet是一个信息的海洋,但这些信息存放在什么地方呢?,实际上,这些信息是存放在世界各地称为“站点”的计算机上,各个站点由拥有该站点的单位维护,上面的信息即是由维护该站点的单位发布,这些信息也称为“网页” 为了区别各个站点,必须为每个站点分配一个唯一的地址,这个地址即称为“IP地址”,IP地址也称为URL(UniqueResourceLocation,中文意义为“统一资源定位符”),IP地址由四个从0到255之间的数字组成,如
202.
116.
0.54,但这些数字比较难记,所以有人发明了一种新方法来代替这种数字,即“域名”地址,域名由几个英文单词组成,如www.jnu.edu.cn具有一定的意义,其中cn代表中国(China),edu代表教育网(education),jnu代表暨南大学(JiNanUniversity),www代表全球网(或称万维网,WorldWideWed),整个域名合起来就代表中国教育网上的暨南大学站点 域名地址和用数字表示的IP地址实际上是同一个东西,只是外表上不同而已,在访问一个站点的时候,您可以输入这个站点用数字表示的IP地址,也可以输入它的域名地址,这里就存在一个域名地址和对应的IP地址相转换的问题,这些信息实际上是存放在ISP中称为域名服务器(DNS)的计算机上,当您输入一个域名地址时,域名服务器就会搜索其对应的IP地址,然后访问到该地址所表示的站点站点地址可以在有关计算机的杂志、报纸和书籍上找到,在Internet上有更多站点地址的信息从现在开始您就可以搜集一些您感兴趣的站点域名地址了 Internet的域名系统是为方便解释机器的IP地址而设立的域名系统采用层次结构,按地理域或机构域进行分层书写中采用圆点将各个层次隔开,分成层次字段在机器的地址表示中,从右到左依次为最高域名段、次高域名段等,最左的一个字段为主机名例如,在bbs.jnu.edu.cn中,最高域名为cn,次高域名edu为,最后一个域为jnu,主机名为bbs~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~第二十七个DMA是什么当我们向计算机中加入了一块新的声卡或其它适配卡时,安装程序可能会提醒我们应该选择一个DMA通道那DMA是什么呢DMA(DirectMemoryAccess),即直接存储器存取,是一种快速传送数据的机制数据传递可以从适配卡到内存,从内存到适配卡或从一段内存到另一段内存DMA技术的重要性在于,利用它进行数据传送时不需要CPU的参与每台电脑主机板上都有DMA控制器,通常计算机对其编程,并用一个适配器上的ROM如软盘驱动控制器上的ROM来储存程序,这些程序控制DMA传送数据一旦控制器初始化完成,数据开始传送,DMA就可以脱离CPU,独立完成数据传送在DMA传送开始的短暂时间内,基本上有两个处理器为它工作,一个执行程序代码,一个传送数据利用DMA传送数据的另一个好处是,数据直接在源地址和目的地址之间传送,不需要中间媒介如果通过CPU把一个字节从适配卡传送至内存,需要两步操作首先,CPU把这个字节从适配卡读到内部寄存器中,然后再从寄存器传送到内存的适当地址DMA控制器将这些操作简化为一步,它操作总线上的控制信号,使写字节一次完成这样大大提高了计算机运行速度和工作效率计算机发展到今天,DMA已不再用于内存到内存的数据传送,因为CPU速度非常快,做这件事,比用DMA控制还要快,但要在适配卡和内存之间传送数据,仍然是非DMA莫属要从适配卡到内存传送数据,DMA同时触发从适配卡读数据总线即I/O读操作和向内存写数据的总线激活I/O读操作就是让适配卡把一个数据单位通常是一个字节或一个字放到PC数据总线上,因为此时内存写总线也被激活,数据就被同时从PC总线上拷贝到内存中对于每一次写操作,DMA控制器都控制地址总线,通知应将数据写到哪段内存中去DMA控制数据从内存传送到适配卡的方法与上面类似对每一个要传送的单位数据,DMA控制器激活读内存和I/O写操作的总线内存地址被放到地址总线上,像从适配卡到内存传送数据一样,以数据总线为通道,数据从源地址直接传送到目的地址DMA从DMA请求线DREQ上接收DMA请求,正像中断控制器从中断请求线IRQ上接收中断请求一样一个典型的从适配卡到内存的数据传送是这样进行的,首先,对DMA控制器编程,写入数据要到达的内存地址和要传送的字节数适配器可以开始传送数据时,它将激活DREQ线,与DMA控制器连通DMA控制器在与CPU取得总线控制权后,输出内存地址,发送控制信号,使得一个字节或一个字从适配器读出并写入相应内存中,然后更新内存地址,指向下一个字节或字要写入的地址,重复上面的操作,直至数据传送完毕对控制器进行不同编程,就可以实现单字节传送即每传送一个字节都要求一个DREQ信号或块数据传送即全部数据传送只需要一个DREQ信号如果你要往计算机中插一块适配卡,而且适配卡使用DMA,通常安装程序会让你选择一个DMA通道,设定DIP开关或跳线,来为相应适配器设置DMA通道尽管从理论上讲,只要不是同时使用DREQ线,不同的适配卡可以共享这条线的,但是按常规,我们最好为每个适配卡单独安排一个DMA通道,这样就可以保证不会发生DMA冲突附表是DMA的缺省分配情况通道功能通道功能O空闲4用于级联DMA控制器1空闲5空闲2软盘6空闲3空闲7空闲从中可以看出,DMA通道2和4已被占用,在大多数微机上,通道
1、
3、
5、6和7可由你任意分配我们平时最好对自己的计算机上DMA通道的分配情况记录下来,以免我们向计算机增加新硬件时出现两个适配卡共用一个通道,导致冲突~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~第二十八个IRQ是什么IRQ就是一个中断,通过中断,外设可以取得CPU的处理时间下表表示了通常的NT系统中的IRQ设置中断级别通常用途说明0时钟 1键盘 2与IRQ9级连 3COM2或COM4 4COM1或COM3 5LPT2因为许多用户没有第二个并行口,因此它常常空闲,声卡可以使用此中断6软盘控制器 7LPT1声卡可以使用此中断8实时时钟 9与IRQ2级连直接与2相连,有时通知软件9时意味着210未使用通常用于网卡11未使用由SCSI控制器使用12PS/2,总线鼠标如果用户没有PS/2或总线鼠标,此中断空闲13协处理器通知CPU协处理器错误14硬盘控制器如果用户未使用IDE硬盘,可以将它用于其它设备15有些计算机将此中断分配为第二个IDE控制器I如果用户未使用第二个IDE硬盘控制器,可以将它用于其它设备~~~~~~~~~~~~~~~~~~~~~~~~~~~~~二十九什么是木马~!特洛伊木马以下简称木马,英文叫做“Trojanhouse”,其名称取自希腊神话的特洛伊木马记它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的从木马的发展来看,基本上可以分为两个阶段最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言鉴于木马的巨大危害性,我们将分原理篇,防御与反击篇,资料篇三部分来详细介绍木马,希望大家对特洛伊木马这种攻击手段有一个透彻的了解原理篇基础知识 在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明因为下面有很多地方会提到这些内容一个完整的木马系统由硬件部分,软件部分和具体连接部分组成1硬件部分建立木马连接所必须的硬件实体控制端对服务端进行远程控制的一方服务端被控制端远程控制的一方INTERNET控制端对服务端进行远程控制,数据传输的网络载体2软件部分实现远程控制所必须的软件程序控制端程序控制端用以远程控制服务端的程序木马程序潜入服务端内部,获取其操作权限的程序木马配置程序设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序3具体连接部分通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素控制端IP,服务端IP即控制端,服务端的网络地址,也是木马进行数据传输的目的地控制端端口,木马端口即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序木马原理 用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步具体可见下图,下面我们就按这六步来详细阐述木马的攻击原理一.配置木马一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方面功能1木马伪装木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标,捆绑文件,定制端口,自我销毁等,我们将在“传播木马”这一节中详细介绍2信息反馈木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号,ICO号等等,具体的我们将在“信息反馈”这一节中详细介绍二.传播木马1传播方式: 木马的传播方式主要有两种:一种是通过E-MAIL控制端将木马程序以附件的形式夹在邮件中发送出去收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装2伪装方式: 鉴于木马的危害性很多人对木马知识还是有一定了解的这对木马的传播起了一定的抑制作用这是木马设计者所不愿见到的因此他们开发了多种功能来伪装木马以达到降低用户警觉欺骗用户的目的一修改图标 当你在E-MAIL的附件中看到这个图标时是否会认为这是个文本文件呢但是我不得不告诉你这也有可能是个木马程序现在已经有木马可以将木马服务端程序的图标改成HTMLTXTZIP等各种文件的图标这有相当大的迷惑性但是目前提供这种功能的木马还不多见并且这种伪装也不是无懈可击的所以不必整天提心吊胆疑神疑鬼的二捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上当安装程序运行时木马在用户毫无察觉的情况下偷偷的进入了系统至于被捆绑的文件一般是可执行文件即EXECOM一类的文件三出错显示 有一定木马知识的人都知道如果打开一个文件没有任何反应这很可能就是个木马程序木马的设计者也意识到了这个缺陷所以已经有木马提供了一个叫做出错显示的功能当服务端用户打开木马程序时会弹出一个如下图所示的错误提示框这当然是假的错误内容可自由定义大多会定制成一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以为真时木马却悄悄侵入了系统四定制端口 很多老式的木马端口都是固定的这给判断是否感染了木马带来了方便只要查一下特定的端口就知道感染了什么木马所以现在很多新式的木马都加入了定制端口的功能控制端用户可以在1024---65535之间任选一个端口作为木马端口一般不选1024以下的端口,这样就给判断所感染木马类型带来了麻烦五自我销毁 这项功能是为了弥补木马的一个缺陷我们知道当服务端用户打开含有木马的文件后,木马会将自己拷贝到WINDOWS的系统文件夹中C:\\WINDOWS或C:\\WINDOWS\\SYSTEM目录下,一般来说原木马文件和系统文件夹中的木马文件的大小是一样的捆绑文件的木马除外那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件然后根据原木马的大小去系统文件夹找相同大小的文件判断一下哪个是木马就行了而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下,就很难删除木马了六木马更名 安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章按图索骥在系统文件夹查找特定的文件就可以断定中了什么木马所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了三.运行木马 服务端用户运行木马或捆绑木马的程序后木马就会自动进行安装首先将自身拷贝到WINDOWS的系统文件夹中C:\\WINDOWS或C:\\WINDOWS\\SYSTEM目录下然后在注册表启动组非启动组中设置好木马的触发条件这样木马的安装就完成了安装后就可以启动木马了,具体过程见下图1由触发条件激活木马触发条件是指启动木马的条件大致出现在下面八个地方:
1.注册表:打开HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\下的五个以Run和RunServices主键在其中寻找可能是启动木马的键值
2.WIN.INI:C:\\WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动命令load=和run=在一般情况下是空白的如果有启动程序可能是木马
3.SYSTEM.INI:C:\\WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh][mic],[drivers32]中有命令行在其中寻找木马的启动命令
4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行
5.*.INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了
6.注册表:打开HKEY_CLASSES_ROOT\\文件类型\\shell\\open\\command主键查看其键值举个例子国产木马“冰河”就是修改HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command下的键值将“C:\\WINDOWS\\NOTEPAD.EXE%1”该为“C:\\WINDOWS\\SYSTEM\\SYSEXPLR.EXE%1”,这时你双击一个TXT文件后,原本应用NOTEPAD打开文件的,现在却变成启动木马程序了还要说明的是不光是TXT文件,通过修改HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马,不同之处只在于“文件类型”这个主键的差别,TXT是txtfileZIP是WINZIP,大家可以试着去找一下
7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了
8.启动菜单:在“开始---程序---启动”选项下也可能有木马的触发条件2木马运行过程 木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接这时服务端用户可以在MS-DOS方式下,键入NETSTAT-AN查看端口状态,一般个人电脑在脱机状态下是不会有端口开放的,如果有端口开放,你就要注意是否感染木马了下面是电脑感染木马后,用NETSTAT命令查看端口的两个实例其中
①是服务端与控制端建立连接时的显示状态,
②是服务端与控制端还未建立连接时的显示状态在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口,下面是一些常用的端口11---1024之间的端口这些端口叫保留端口,是专给一些对外通讯的程序用的,如FTP使用21,SMTP使用25,POP3使用110等只有很少木马会用保留端口作为木马端口的21025以上的连续端口在上网浏览网站时,浏览器会打开多个连续的端口下载文字,图片到本地硬盘上,这些端口都是1025以上的连续端口34000端口这是OICQ的通讯端口46667端口这是IRC的通讯端口除上述的端口基本可以排除在外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑是否感染了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口四.信息泄露: 一般来说,设计成熟的木马都有一个信息反馈机制所谓信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息,并通过E-MAIL,IRC或ICO的方式告知控制端用户下图是一个典型的信息反馈邮件 从这封邮件中我们可以知道服务端的一些软硬件信息,包括使用的操作系统,系统目录,硬盘分区况,系统口令等,在这些信息中,最重要的是服务端IP,因为只有得到这个参数,控制端才能与服务端建立连接,具体的连接方法我们会在下一节中讲解五.建立连接 这一节我们讲解一下木马连接是怎样建立的一个木马连接的建立首先必须满足两个条件一是服务端已安装了木马程序;二是控制端,服务端都要在线在此基础上控制端可以通过木马端口与服务端建立连接为了便于说明我们采用图示的形式来讲解 如上图所示A机为控制端,B机为服务端,对于A机来说要与B机建立连接必须知道B机的木马端口和IP地址,由于木马端口是A机事先设定的,为已知项,所以最重要的是如何获得B机的IP地址获得B机的IP地址的方法主要有两种信息反馈和IP扫描对于前一种已在上一节中已经介绍过了,不再赘述,我们重点来介绍IP扫描,因为B机装有木马程序,所以它的木马端口7626是处于开放状态的,所以现在A机只要扫描IP地址段中7626端口开放的主机就行了,例如图中B机的IP地址是
202.
102.
47.56,当A机扫描到这个IP时发现它的7626端口是开放的,那么这个IP就会被添加到列表中,这时A机就可以通过木马的控制端程序向B机发出连接信号,B机中的木马程序收到信号后立即作出响应,当A机收到响应的信号后,开启一个随即端口1031与B机的木马端口7626建立连接,到这时一个木马连接才算真正建立值得一提的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址,由于拨号上网的IP是动态的,即用户每次上网的IP都是不同的,但是这个IP是在一定范围内变动的,如图中B机的IP是
202.
102.
47.56,那么B机上网IP的变动范围是在
202.
102.
000.000---
202.
102.
255.255,所以每次控制端只要搜索这个IP地址段就可以找到B机了六.远程控制 木马连接建立后,控制端端口和木马端口之间将会出现一条通道,见下图 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系并通过木马程序对服务端进行远程控制下面我们就介绍一下控制端具体能享有哪些控制权限,这远比你想象的要大 1窃取密码一切以明文的形式,*形式或缓存在CACHE中的密码都能被木马侦测到,此外很多木马还提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵,密码将很容易被窃取 2文件操作控制端可藉由远程控制对服务端上的文件进行删除新建修改上传下载运行更改属性等一系列操作基本涵盖了WINDOWS平台上所有的文件操作功能 3修改注册表控制端可任意修改服务端注册表,包括删除,新建或修改主键,子键,键值有了这项功能控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将服务端上木马的触发条件设置得更隐蔽的一系列高级操作 4系统操作这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标,键盘,监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信息,想象一下,当服务端的桌面上突然跳出一段话,不吓人一跳才怪~~~~~~~~~~~~~~~~~~~~~~~~~~第三十个什么是领空?什么是领空呢?举个例子吧,你的程序要得到你输入的那个注册码,就会去调用相应的函数比如调用GetDlgItemTextA,而GetDlgItemTextA本身又会去调用Hmemcpy这个函数,而这些函数都是存在于系统中的某个DLL文件中的那么当这个程序调用相应的API函数的话,程序的领空就会转到这个相应的DLL文件中去执行这个API函数(你就这样理解就行了),Hmemcpy这个函数应用程序本身并不直接调用,而是由其它的API函数来调用那么,你就可以理解为你的程序调用了一个API函数,调用的同时程序的领空会转到这个API所在的DLL文件里,而这个API又调用了Hmemcpy函数,那么此时领空就会又转到了Hmemcpy所在的DLL文件中,之后当Hmemcpy执行完毕,就会返回到调用它的API的领空中去,而当这个API执行完毕的后就会返回到调用它的应用程序的领空中去比如说我们用Hmemcpy这个函数来当断点,当我们输入完注册码按确定后,程序就会去调用某个API来得到你输入的那些数据,而这“某个API”又会去调用Hmemcpy,所以程序就被断到了当然此时程序的领空也就不会在应用程序中了,但是当我们输入过pmodule指令之后我们就可以反回到应用程序本身的领空中去了这样的话你看到的就是应用程序自身的代码了,而不是API的!~~~~~~~~~~~~~~~~~~~~~~~~~~第三十一个什么是ASP、PHP、CGI?他们之间有什么联系和区别???这个话题是个很大的话题,要让我细说来,实在不容易,还是大至的说说吧,有不明白的再问首先,ASP、PHP、CGI都是基于服务器的脚本程序,这是他们的联系说白一点吧,普通的html页面,都是基于客户端的也可以说,我用HTML写出什么页面,你查一下源码,就可以看到我最初是怎么写的,很多朋友就是这么盗人家的网页的而我用ASP、PHP、CGI中的任何一种来写,你将查到的我的源程序都是经过服务器编译后的,如果我最初的源码如果不公布,你是不可能知道的至于区别,我个人为认为PHP最好,我也是最喜欢PHP说起理由我也能说很多很多,但这里,我简要的说说吧哦,对了,我有一次发现网上有一个对比的表,不错,拿来给朋友们看看吧程式介面|PHP |ASP |CGI |作业系统|均可|Win32|均可|Web伺服器|数种|IIS|均可|执行效率|快|快|慢|稳定性|佳|中等|最高|开发奔|短|短|中等|修改时间|短|短|中等|程式语言|PHP|VB|不限|网页结合|佳|佳|差|学习门槛|低|低|高|函式支援|多|少|不定|系统安全|佳|极差|最佳|改版速度|快|慢|无|CGI是CommonGatewayInterface公共网关接口的缩写,它是一个用于定Web服务器与外部程序之间通信方式的标准CGI可以用任何一种语言编写,只要这种语言具有标准的输入,输出和环境变量,比较常见的的语言PerlC/C++JavaVisalBasicFoxpo等....ASP即ActiveServerPage的缩写,是基于WEB的一种编程技术,可以说是CGI的一种它可以完成以往CGI程序的所有功能,如计数器、留言簿、公告板、聊天室等等ASP是微软公司开发的代替CGI脚本程序的一种应用它可以与数据库和其它程序进行交互是一种简单、方便的编程工具在了解了VBSCRIPT的基本语法后,只需要清楚各个组件的用途、属性、方法,就可以轻松编写出自己的ASP系统PHP,一个嵌套的缩写名称,是英文“超级文本预处理语言”(PHP:HypertextPreprocessor)的缩写PHP与微软的ASP颇有几分相似,语言的风格有类似于C语言,现在被很多的网站编程人员广泛的运用PHP独特的语法混合了C、Java、Perl以及PHP自创新的语法它可以比CGI或者Perl更快速的执行动态网页用PHP做出的动态页面与其他的编程语言相比,PHP是将程序嵌入到HTML文档中去执行,执行效率比完全生成HTML标记的CGI要高许多;与同样是嵌入HTML文档的脚本语言javascript相比,PHP在服务器端执行,充分利用了服务器的性能;PHP执行引擎还会将用户经常访问的PHP程序驻留在内存中,其他用户在一次访问这个程序时就不需要诚信编译程序了,只要直接执行内存中的代码就可以了,这也是PHP高效率的体现之一PHP具有非常强大的功能,所有的CGI或者javascript的功能PHP都能实现,而且支持几乎所有流行的数据库以及操作系统~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~第三十二个什么是SLIP~SLIP(SerialLineInternetProtocol)Internet串行线路协议,是第一个使Internet在标准拨号上得到应用的协议随着Internet的发展,SLIP成为标准的、可靠的协议SLIP不是真正地按某种实际的长期策略或目标而规划和实现的,但是在缺乏一种更好的协议之前,SLIP栽谑褂米牛堑缁跋呱辖换籌nternet业务的早期标准~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~第三十三个什么是“套接字” 套接字(Socket)可以看成在两个程序进行通讯连接中的一个端点,一个程序将一段信息写入Socket中,该Socket将这段信息发送给另外一个Socket中,使这段信息能传送到其他程序中 我们来分析一下附件里的图,HostA上的程序A将一段信息写入Socket中,Socket的内容被HostA的网络管理软件访问,并将这段信息通过HostA的网络接口卡发送到HostB,HostB的网络接口卡接收到这段信息后,传送给HostB的网络管理软件,网络管理软件将这段信息保存在HostB的Socket中,然后程序B才能在Socket中阅读这段信息 假设在图中的网络中添加第三个主机HostC,那么HostA怎么知道信息被正确传送到HostB而不是被传送到HostC中了呢?基于TCP/IP网络中的每一个主机均被赋予了一个唯一的IP地址,IP地址是一个32位的无符号整数,由于没有转变成二进制,因此通常以小数点分隔,如
198.
168.
0.1,正如所见IP地址均由四个部分组成,每个部分的范围都是0-255,以表示8位地址 假设第二个程序被加入图中的网络的HostB中,那么由HostA传来的信息如何能被正确的传给程序B而不是传给新加入的程序呢?这是因为每一个基于TCP/IP网络通讯的程序都被赋予了唯一的端口和端口号,端口是一个信息缓冲区,用于保留Socket中的输入/输出信息,端口号是一个16位无符号整数,范围是0-65535,以区别主机上的每一个程序(端口号就像房屋中的房间号),低于256的短口号保留给标准应用程序,比如pop3的端口号就是110,每一个套接字都组合进了IP地址、端口、端口号,这样形成的整体就可以区别每一个套接字t,还有两种套接字流套接字和自寻址数据套接字,在这里我们就不细说了...~~~~~~~~~~~~~~~~~~~~~~~~~~~~~第三十四个什么是适配器?先了解一下什么是适配器,其实它就是一个物理设备,它允许硬件或电子接口与其它硬件或电子接口相连在计算机中,适配器通常内置于可插入主板上插槽的卡中也有外置的...卡中的适配信息与处理器和适配器支持的设备间进行交换了解了适配器网络适配器就很好理解了不用我太费口水来讲吧常用的网络适配器为拔号适配器和网卡适配器现在我再说一下网卡适配器出问题的检查思路吧首先确定一下是不是驱动正常检查方法为打开网上邻居在邻近的计算机那里如果能找到本机那么确定你的网卡可以正常工作如果找不到可以更新网卡驱动不果不是驱动的问题一般就是硬件上的问题了~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~网络门诊(日常网络问题解决)问请问RedHatLinux
7.3能否通过有线通上网,如果可以的话请问应该如何设置答有线通一般是开机就连接网络,所以只要设置Linux的IP地址获取方式为DHCP,开机后就可以连接Internet,比ADSL方便多了问我用的是IE6系统是ME,以前一直是好的就是最近出些问题!上网【比如163】时,点击网站首页的新闻,就是打不开新窗口!其余像在论坛或进网易邮箱这样整个画面都变的就没问题!就是说点需要开新IE的链接时,就不正常!这是怎么回事啊?中毒了?答一般是因为安装软件导致IE不能弹出新窗口,这时可以选择\开始\选单,在运行中输入\regsvr32actxprxy.dll\,点\确定\,等待弹出一个信息对话框DllRegisterServerinactxprxy.dllsucceeded,点\确定\再选择\开始\选单选\运行\,输入\regsvr32shdocvw.dll\,点\确定\,等待出一个信息对话框DllRegisterServerinshdocvw.dllsucceeded,点\确定\重新进入Windows之后,您的IE应该就可以弹出新窗口了问好!谢谢你上次给我回复了,这次又有问题问你,我的猫是ROCKWELL/CONEXENT以前装的conexent56kspearkdatavoicemodem后来改装了rockwell56kdatavoicemodemrcv56acf拨号上网速度竟达到了115200kps,速度确实比以前要快,竟是56k的2倍,我公司装的ISDN,速度也是115200kps,我的猫不是跟ISDN一样快吗?这是为什么呢?答这说明你使用了不符合你Modem型号的驱动程序,此款驱动程序不能检测Modem的实际连接速率,只是显示端口速率,115200Kbps就是端口的最高速率,所以还是装上以前的Modem驱动吧,呵呵问我的电脑某日登录了一个不知名的网叶后,不但IE的首页被改,并且注册表也被封,连开始菜单里的运行项也被禁止了后我用超级兔子把运行项改了出来,注册表也解了禁,IE的首页也通过注册表该了回来但是还有一个问题,我这菜鸟解决不了,恳请大侠赐教现在,我一开机启动,IE窗口就会自动弹出,很是繁人,不知怎么办才好,而且IE的安全级别设定也被禁止了,助我啊~~~切切~~~答自从出现更改IE标题栏的烦人网站后,现在还是愈演愈烈,还好,有一个网站给我们了一些解决这些问题的小程序,并且集成到了网页中,这就是http://magic.
3721.com的魔法石,以后有朋友遇到,去这里运行一下程序就可以了问我想问一下,我的系统是WINXP,我由于需要,要使用内部IP,我不想把网卡装上去,我记得以前有人说过可以通过虚拟建立虚拟IP的!请问在具体应该如何实现答你可以建立一个虚拟网卡来建立虚拟IP首先在控制面板中运行“添加新硬件”,进入添加新硬件向导,选择添加网络适配器,在驱动程序列表中选择Microsoft的“MSLoopbackAdapter”网卡,安装后,就可以象普通的网卡一样设置了问我有几个问题想问你,真是麻烦你了我们小区现在使用的是FTTB+LAN的宽带上网方式,我和邻居一共4台电脑原先使用一个HUB联成了对等网(操作系统为WIN98),接上了宽带后,每人机器中设置了自动寻找IP地址,宽带的RJ45的接头接入HUB上的LINKUP(我们没有相关的IP地址)我们实现了共享上网现在我们想组建成有服务器的局域网,使用的版本为WIN2000专业中文版,同时在服务器上想安装一只调制解调器,以备宽带不通时使用但是在服务器上设置IP及网关后,不能实现宽带上网,请问该如何解决呀?将服务器该为自动获取IP地址的话,可以宽带上网,其他客户机如何设置,我们的目的让其他的机子都能通过该服务器上网您有什么好的解决办法吗?实在是麻烦了这里我们先谢谢了答刚开始你们使用的是FTTB+LAN的漏洞上网,也就是说你们同时获得了电信的四个IP地址,四台机器同时上网,现在使用代理服务器,也就是说要通过一台机器上网,当然不可以了你可以通过在做服务器的那台机器加装双网卡来实现共享上网,这两块网卡中连接宽带的那块设置为DHCP,另一块连接HUB,设置局域网IP地址,然后启用Win2000的Internet共享功能问我是第一次给你写信,好怕哦!我是一个菜鸟!问题太简单不要笑哦1我听中央人民广播电台整天说他们的网址是www.cnradio.com中国广播网,但是我怎样试都不能登陆,这是为什么呢?2有没有不用登陆网站就可以使用上面的邮箱呢?最好是中文的)3上回您介绍的IE防火墙不顶用啊!?上163,新浪时广告照样弹出来,为什么呢?希望你尽快回信喔,再见!答不会吧,中国广播网登录不上去?你上网没有啊!我能正常上去,还可以听中央广播电台的各套节目,你现在再试试你所说的不用登陆网站就可以使用的邮箱也就是我们通常所说的支持pop3和SMTP的免费邮箱,www.21cn.com有这样的邮箱提供,你去申请一个那个IE防火墙我使用了,很好用啊?是不是你没有正确设置,好好看看它的使用说明问买的是神舟电脑2000E,因为我接有线通,他们就换给我一块网卡(金彩虹LH-8139C)刚开始没有什么问题,用了2个月不到,我就上网很难上了,有线通上那个指示灯老是指示我的网卡不工作,我要重启电脑好几次才能上,现在要几十次才能上了,我又查不出什么毛病,我猜是软件或者硬件有冲突我该怎么办??答建议更换网卡正巧我和你遇到同样的问题,我安装了FTTB+LAN的宽带,送了一块RTL8139芯片的网卡,用了不到一周,就出现不能上网的问题,非要重启多次才可以,并且上传的速度只有
0.8KB,后来打电话给他们的技术人员,得到的答复是他们的网卡保用1小时,晕!现在我换了一块网卡,上网完全正常,再也没有出现同类错误,看起来劣质网卡跟网络连接有非常重大的关系呢问我的硬盘上装有98(C盘),2000PRO(D盘),XPPRO(E盘),3个操作系统,60G的硬盘,D盘和E盘是NTFS格式在D盘和E盘下都有hiberfil和pagefile这2个文件,容量很大,后面一个我知道是页面文件,我想请问的是能否把这个文件转移到其他分区,我的D和E分区时分的容量不多,如果可以那么是否那个分区也要是NTFS格式的??另外2000下的这2个文件能否和XP下的这2个文件放在同一个目录下?第2个问题,就是我想把3个系统的收藏夹转移到其他分区,3个系统用同一个收藏夹可以吗?如果不可以,请告诉我怎样转移3个收藏夹,记得以前你提到过,可是那时因为没这个需要所以也没记下,失败啊!!麻烦你再告诉我一次吧,谢谢拉)第3个问题,我的XP系统是professional版本
20025.12600,可是我的XP系统却没有快速启动栏,而我朋友的XPperofessional却有,我换了家用版也没有,不知道为什么???郁闷啊!!问题多了点,麻烦你拉,一定要回答我哦谢谢答问题真多啊,咱们慢慢来解答吧!hiberfil.sys是虚拟内存交换文件,和pagefile.sys那个文件结合起来才具有虚拟内存的功能,你可以将虚拟内存的文件设置到其它分区,只要在我的电脑上单击右键,选择属性,在其高级选项卡中的性能设置中就可以作出更改当然你也可以将2000和XP的虚拟内存放在同一个分区,不论是NTFS格式还是FAT32格式,不过设置虚拟内存最好遵循以下原则不要在同一个物理盘上有两个pagefile文件;大小应该为物理内存+11M大小;如拥有多个物理硬盘,在不同的物理硬盘上设立pagefile文件;在条带集上设立pagefile文件会获得效率上的好处;最小的pagefile为2M;最好将pagefile所在的磁盘设定为NTFS分区收藏夹三个系统可以共用一个目录,需要更改注册表,不过你可以使用超级魔法兔子等软件将他们设置到一个目录即可你的系统是有快速启动栏的,只是你没有设置而已,请在任务栏上点击右键,选择工具栏,将“快速启动”打上勾就可以了问我现在遇到一件很令人头疼的事情,我的机子是P
41.7G的“华海”品牌电脑,接的是“长城宽带”,装了WIN98第二版,金山毒霸病毒防火墙、天网防火墙、金山网镖、江民反黑王最近一段时间我不能下载任何东西了具体现象为金山毒霸不能智能升级,各个软件下载网站的软件都不能下载,MP3也不能下载,很多以前可以看的在线电视电影也不能看,上述情况都会出现一个结果,就是弹出一个对话框“安全警报;当前安全设置不允许下载该文件”重装系统后不行,把各种防火墙关闭并且退出后也一样,而且我的INTERNET浏览器以及各种安全设置都没有问题但是奇怪的是,仍然可以上网,也可以看“南京电视台”的几个网上电视台而且网速也很快的,看电视时候最快也可以达到480多K呀!我自己弄,又找了几个电脑知识丰富的同学来帮忙,但是都没有解决问题,现在仍然是网可以上,软件和MP3不能下载希望你能帮我解决这个难题答你安装的东西真多,不管是杀毒还是防黑,都用上了两三个,当然会造成一些系统冲突了现在碰到的问题就是那些防火墙封闭了几个端口号,可能碰巧这些下载站又是使用的FTP方式,而你的防火墙都没有禁止http方式,那么网页就能正常浏览了,网上电视台一般使用rtsp、mms等UDP方式,也没有禁止现在不用重装系统,把你那些杀毒的,防黑的统统卸除,然后重新启动机器,看可以了,再一个个安装,这次不要装太多了,一类装一个就可以了,要那么多效果不见得好啊。