ping命令参数大全

-a 将目标的机器标识转换为ip地址
-t 若使用者不人为中断会不断的ping下去
-c count 要求ping命令连续发送数据包,直到发出并接收到count个请求
-d 为使用的套接字打开调试状态
-f 是一种快速方式ping。使得ping输出数据包的速度和数据包从远程主机返回一样快,或者更快,达到每秒100次。在这种方式下,每个请求用一个句点表示。对于每一个响应打印一个空格键。
-i seconds 在两次数据包发送之间间隔一定的秒数。不能同-f一起使用。
-n 只使用数字方式。在一般情况下ping会试图把IP地址转换成主机名。这个选项要求ping打印IP地址而不去查找用符号表示的名字。如果由于某种原因无法使用本地DNS服务器这个选项就很重要了。
-p pattern 拥护可以通过这个选项标识16 pad字节,把这些字节加入数据包中。当在网络中诊断与数据有关的错误时这个选项就非常有用。
-q 使ping只在开始和结束时打印一些概要信息。
-R 把ICMP RECORD-ROUTE选项加入到ECHO_REQUEST数据包中,要求在数据包中记录路由,这样当数据返回时ping就可以把路由信息打印出来。每个数据包只能记录9个路由节点。许多主机忽略或者放弃这个选项。
-r 使ping命令旁路掉用于发送数据包的正常路由表。
-s packetsize 使用户能够标识出要发送数据的字节数。缺省是56个字符,再加上8个字节的ICMP数据头,共64个ICMP数据字节。
-v 使ping处于verbose方式。它要ping命令除了打印ECHO-RESPONSE数据包之外,还打印其它所有返回的ICMP数据包。

FTP命令大全

FTP命令大全

本文将为在DOS和UNIX操作系统下上网使用FTP功能的用户提供一些帮助。

大量的FTP内部命令,常常让人头昏眼花。对于熟悉的人倒还好一点,如果是才接触到的朋友,就会非常的头疼了。我们在这里为大家整理了一些FTP的内部命令,方便大家查阅。

c FTP的命令行格式为: ftp -v -d -i -n -g [主机名] ,其中
-v 显示远程服务器的所有响应信息;
-n 限制ftp的自动登录,即不使用;
.n etrc文件;
-d 使用调试方式;
-g 取消全局文件名。

ftp使用的内部命令如下(中括号表示可选项):

1.![cmd[args]]:在本地机中执行交互shell,exit回到ftp环境,如: !ls*.zip.
2.$ macro-ame[args]:执行宏定义macro-name.
3.account[password]:提供登录远程系统成功后访问系统资源所需的补 充口令。
4.append local-file[remote-file]:将本地文件追加到远程系统主机, 若未指定远程系统文件名,则使用本地文件名。
5.ascii:使用ascii类型传输方式。
6.bell:每个命令执行完毕后计算机响铃一次。
7.bin:使用二进制文件传输方式。
8.bye:退出ftp会话过程。
9.case:在使用mget时,将远程主机文件名中的大写转为小写字母。
10.cd remote-dir:进入远程主机目录。
11.cdup:进入远程主机目录的父目录。
12.chmod mode file-name:将远程主机文件file-name的存取方式设置为 mode,如: chmod 777 a.out 。
13.close:中断与远程服务器的ftp会话(与open对应)。
14.cr:使用asscii方式传输文件时,将回车换行转换为回行。
15.delete remote-file:删除远程主机文件。
16.debug[debug-value]:设置调试方式, 显示发送至远程主机的每条命 令,如: deb up 3,若设为0,表示取消debug。
17.dir[remote-dir][local-file]:显示远程主机目录,并将结果存入本 地文件local-file。
18.disconnection:同close。
19.form format:将文件传输方式设置为format,缺省为file方式。
20.get remote-file[local-file]: 将远程主机的文件remote-file传至 本地硬盘的local-file。
21.glob:设置mdelete,mget,mput的文件名扩展,缺省时不扩展文件名, 同命令行的-g参数。
22.hash:每传输1024字节,显示一个hash符号(#)。
23.help[cmd]:显示ftp内部命令cmd的帮助信息,如:help get。
24.idle[seconds]:将远程服务器的休眠计时器设为[seconds]秒。
25.image:设置二进制传输方式(同binary)。
26.lcd[dir]:将本地工作目录切换至dir。
27.ls[remote-dir][local-file]:显示远程目录remote-dir, 并存入本 地文件local-file。
28.macdef macro-name:定义一个宏,遇到macdef下的空行时,宏定义结 束。
29.mdelete[remote-file]:删除远程主机文件。
30.mdir remote-files local-file:与dir类似,但可指定多个远程文件, 如: mdir *.o.*.zipoutfile 。
31.mget remote-files:传输多个远程文件。
32.mkdir dir-name:在远程主机中建一目录。
33.mls remote-file local-file:同nlist,但可指定多个文件名。
34.mode[modename]:将文件传输方式设置为modename, 缺省为stream方 式。
35.modtime file-name:显示远程主机文件的最后修改时间。
36.mput local-file:将多个文件传输至远程主机。
37.newer file-name: 如果远程机中file-name的修改时间比本地硬盘同 名文件的时间更近,则重传该文件。
38.nlist[remote-dir][local-file]:显示远程主机目录的文件清单,并 存入本地硬盘的local-file。
39.nmap[inpattern outpattern]:设置文件名映射机制, 使得文件传输 时,文件中的某些字符相互转换,如:nmap $1.$2.$3[$1, $2].[$2,$3],则 传输文件a1.a2.a3时,文件名变为a1,a2。该命令特别适用于远程主机为非UNIX 机的情况。
40.ntrans[inchars[outchars]]:设置文件名字符的翻译机制,如ntrans 1R,则文件名LLL将变为RRR。
41.open host[port]:建立指定ftp服务器连接,可指定连接端口。
42.passive:进入被动传输方式。
43.prompt:设置多个文件传输时的交互提示。
44.proxy ftp-cmd:在次要控制连接中,执行一条ftp命令, 该命令允许 连接两个ftp服务器,以在两个服务器间传输文件。第一条ftp命令必须为open, 以首先建立两个服务器间的连接。
45.put local-file[remote-file]:将本地文件local-file传送至远程主 机。
46.pwd:显示远程主机的当前工作目录。
47.quit:同bye,退出ftp会话。
48.quote arg1,arg2…:将参数逐字发至远程ftp服务器,如: quote syst.
49.recv remote-file[local-file]:同get。
50.reget remote-file[local-file]:类似于get,但若local-file存在, 则从上次传输中断处续传。
51.rhelp[cmd-name]:请求获得远程主机的帮助。
52.rstatus[file-name]:若未指定文件名,则显示远程主机的状态,否 则显示文件状态。
53.rename[from][to]:更改远程主机文件名。
54.reset:清除回答队列。
55.restart marker:从指定的标志marker处,重新开始get或put,如: restart 130。
56.rmdir dir-name:删除远程主机目录。
57.runique:设置文件名唯一性存储,若文件存在,则在原文件后加后缀 .1,.2等。
58.send local-file[remote-file]:同put。
59.sendport:设置PORT命令的使用。
60.site arg1,arg2…:将参数作为SITE命令逐字发送至远程ftp主机。
61.size file-name:显示远程主机文件大小,如:site idle 7200。
62.status:显示当前ftp状态。
63.struct[struct-name]:将文件传输结构设置为struct-name, 缺省时 使用stream结构。
64.sunique:将远程主机文件名存储设置为唯一(与runique对应)。
65.system:显示远程主机的操作系统类型。
66.tenex:将文件传输类型设置为TENEX机的所需的类型。
67.tick:设置传输时的字节计数器。
68.trace:设置包跟踪。
69.type[type-name]:设置文件传输类型为type-name,缺省为ascii,如: type binary,设置二进制传输方式。
70.umask[newmask]:将远程服务器的缺省umask设置为newmask,如: umask 3。
71.user user-name[password][account]:向远程主机表明自己的身份, 需要口令时,必须输入口令,如:user anonymous my@email。
72.verbose:同命令行的-v参数,即设置详尽报告方式,ftp服务器的所有 响应都将显示给用户,缺省为on.
73.?[cmd]:同help.

VLAN基本知识

随着网络硬件性能的不断提高、成本的不断降低,目前新建立的校园网基本上都采用了性能先进的千兆网技术,其核心交换机采用三层交换机,它能很好地支持虚拟局域网(VLAN)技术,这对方便校园网的管理、保证校园网的高速可靠运行起到了非常重要的作用。

什么是VLAN

VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。

组建VLAN的条件

VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备――要实现路由功能,既可采用路由器,也可采用三层交换机来完成。

划分VLAN的基本策略

从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:

1、基于端口的VLAN划分

这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。

2、基于MAC地址的VLAN划分

MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。

3、基于路由的VLAN划分

路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。

就目前来说,对于VLAN的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。

使用VLAN优点

使用VLAN具有以下优点:

1、控制广播风暴

一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。

2、提高网络整体安全性

通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。

3、网络管理简单、直观

对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。

三层交换技术

传统的路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了VLAN以后的网络中,逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上,不同VLAN之间的通信数据量是很大的,这样,如果路由器要对每一个数据包都路由一次,随着网络上数据量的不断增大,路由器将不堪重负,路由器将成为整个网络运行的瓶颈。

在这种情况下,出现了第三层交换技术,它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后,会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。可见,三层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。

在以三层交换机为核心的千兆网络中,为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性,可采用VLAN技术进行虚拟网络划分。VLAN子网隔离了广播风暴,对一些重要部门实施了安全保护;且当某一部门物理位置发生变化时,只需对交换机进行设置,就可以实现网络的重组,非常方便、快捷,同时节约了成本。

ip的划分,超详细

IP和子网掩码
我们都知道,IP是由四段数字组成,在此,我们先来了解一下3类常用的IP
A类IP段  0.0.0.0 到127.255.255.255
B类IP段  128.0.0.0 到191.255.255.255
C类IP段  192.0.0.0 到223.255.255.255

XP默认分配的子网掩码每段只有255或0
A类的默认子网掩码 255.0.0.0     一个子网最多可以容纳1677万多台电脑
B类的默认子网掩码 255.255.0.0    一个子网最多可以容纳6万台电脑
C类的默认子网掩码 255.255.255.0   一个子网最多可以容纳254台电脑

我以前认为,要想把一些电脑搞在同一网段,只要IP的前三段一样就可以了,今天,我才知道我错了。如果照我这说的话,一个子网就只能容纳254台电脑?真是有点笑话。我们来说详细看看吧。

要想在同一网段,只要网络标识相同就可以了,那要怎么看网络标识呢?首先要做的是把每段的IP转换为二进制。(有人说,我不会转换耶,没关系,我们用Windows自带计算器就行。打开计算器,点查看>科学型,输入十进制的数字,再点一下“二进制”这个单选点,就可以切换至二进制了。)

把子网掩码切换至二进制,我们会发现,所有的子网掩码是由一串[red]连续[/red]的1和一串[red]连续[/red]的0组成的(一共4段,每段8位,一共32位数)。
255.0.0.0   11111111.00000000.00000000.00000000
255.255.0.0  11111111.11111111.00000000.00000000
255.255.255.0 11111111.11111111.11111111.00000000
这是A/B/C三类默认子网掩码的二进制形式,其实,还有好多种子网掩码,只要是一串连续的1和一串连续的0就可以了(每段都是8位)。如11111111.11111111.11111000.00000000,这也是一段合法的子网掩码。子网掩码决定的是一个子网的计算机数目,计算机公式是2的m次方,其中,我们可以把m看到是后面的多少颗0。如255.255.255.0转换成二进制,那就是11111111.11111111.11111111.00000000,后面有8颗0,那m就是8,255.255.255.0这个子网掩码可以容纳2的8次方(台)电脑,也就是256台,但是有两个IP是不能用的,那就是最后一段不能为0和255,减去这两台,就是254台。我们再来做一个。
255.255.248.0这个子网掩码可以最多容纳多少台电脑?
计算方法:
把将其转换为二进制的四段数字(每段要是8位,如果是0,可以写成8个0,也就是00000000)
11111111.1111111.11111000.00000000
然后,数数后面有几颗0,一共是有11颗,那就是2的11次方,等于2048,这个子网掩码最多可以容纳2048台电脑。
一个子网最多可以容纳多少台电脑你会算了吧,下面我们来个逆向算法的题。
一个公司有530台电脑,组成一个对等局域网,子网掩码设多少最合适?
首先,无疑,530台电脑用B类IP最合适(A类不用说了,太多,C类又不够,肯定是B类),但是B类默认的子网掩码是255.255.0.0,可以容纳6万台电脑,显然不太合适,那子网掩码设多少合适呢?我们先来列个公式。
2的m次方=560
首先,我们确定2一定是大于8次方的,因为我们知道2的8次方是256,也就是C类IP的最大容纳电脑的数目,我们从9次方一个一个试2的9次方是512,不到560,2的10次方是1024,看来2的10次方最合适了。子网掩码一共由32位组成,已确定后面10位是0了,那前面的22位就是1,最合适的子网掩码就是:11111111.11111111.11111100.00000000,转换成10进制,那就是255.255.252.0。

分配和计算子网掩码你会了吧,下面,我们来看看IP地址的网段。
相信好多人都和偶一样,认为IP只要前三段相同,就是在同一网段了,其实,不是这样的,同样,我样把IP的每一段转换为一个二进制数,这里就拿IP:192.168.0.1,子网掩码:255.255.255.0做实验吧。
192.168.0.1
11000000.10101000.00000000.00000001
(这里说明一下,和子网掩码一样,每段8位,不足8位的,前面加0补齐。)
IP    11000000.10101000.00000000.00000001
子网掩码  11111111.11111111.11111111.00000000
在这里,向大家说一下到底怎么样才算同一网段。
要想在同一网段,必需做到网络标识相同,那网络标识怎么算呢?各类IP的网络标识算法都是不一样的。A类的,只算第一段。B类,只算第一、二段。C类,算第一、二、三段。
算法只要把IP和子网掩码的每位数AND就可以了。
AND方法:0和1=0 0和0=0 1和1=1
如:And 192.168.0.1,255.255.255.0,先转换为二进制,然后AND每一位
IP      11000000.10101000.00000000.00000001
子网掩码    11111111.11111111.11111111.00000000
得出AND结果  11000000.10101000.00000000.00000000
转换为十进制192.168.0.0,这就是网络标识,
再将子网掩码反取,也就是00000000.00000000.00000000.11111111,与IP AND
得出结果00000000.00000000.00000000.00000001,转换为10进制,即0.0.0.1,
这0.0.0.1就是主机标识。要想在同一网段,必需做到网络标识一样。

我们再来看看这个改为默认子网掩码的B类IP
如IP:188.188.0.111,188.188.5.222,子网掩码都设为255.255.254.0,在同一网段吗?
先将这些转换成二进制
188.188.0.111 10111100.10111100.00000000.01101111
188.188.5.222 10111100.10111100.00000101.11011010
255.255.254.0 11111111.11111111.11111110.00000000
分别AND,得
10111100.10111100.00000000.00000000
10111100.10111100.00000100.00000000
网络标识不一样,即不在同一网段。
判断是不是在同一网段,你会了吧,下面,我们来点实际的。
一个公司有530台电脑,组成一个对等局域网,子网掩码和IP设多少最合适?
子网掩码不说了,前面算出结果来了11111111.11111111.11111100.00000000,也就是255.255.252.0
我们现在要确定的是IP如何分配,首先,选一个B类IP段,这里就选188.188.x.x吧
这样,IP的前两段确定的,关键是要确定第三段,只要网络标识相同就可以了。我们先来确定网络号。(我们把子网掩码中的1和IP中的?对就起来,0和*对应起来,如下:)
255.255.252.0 11111111.11111111.11111100.00000000
188.188.x.x  10111100.10111100.??????**.********
网络标识   10111100.10111100.??????00.00000000
由此可知,?处随便填(只能用0和1填,不一定全是0和1),我们就用全填0吧,*处随便,这样呢,我们的IP就是
10111100.10111100.000000**.********,一共有530台电脑,IP的最后一段1~254可以分给254台计算机,530/254=2.086,采用进1法,得整数3,这样,我们确定了IP的第三段要分成三个不同的数字,也就是说,把000000**中的**填三次数字,只能填1和0,而且每次的数字都不一样,至于填什么,就随我们便了,如00000001,00000010,00000011,转换成二进制,分别是1,2,3,这样,第三段也确定了,这样,就可以把IP分成188.188.1.y,188.188.2.y,188.188.3.y,y处随便填,只要在1~254范围之内,并且这530台电脑每台和每台的IP不一样,就可以了。

有人也许会说,既然算法这么麻烦,干脆用A类IP和A类默认子网掩码得了,偶要告诉你的是,由于A类IP和A类默认子网掩码的主机数目过大,这样做无疑是大海捞针,如果同时局域网访问量过频繁、过大,会影响效率的,所以,最好设置符合自己的IP和子网掩码^_^

网站的安全体系

1 网络应用的信息安全 1
1.1 网络信息的安全需求 1
1.2 网络信息安全需求的层次 2
1.3 网络信息的安全威胁 3
1.4 网络信息的安全威胁评估与安全技术 3
1.5 网络应用系统的安全管理 5
2 网站的信息安全体系 5
2.1 安全策略 5
2.2 安全需求的保证 6
2.2.1 数据物理安全保证 6
2.2.2 数据机密保证 6
2.2.3 数据完整性保证 7
2.2.4 数据可控保证 7
2.2.5 数据可用保证 8
2.2.6 身份鉴别保证 8
2.2.7 数据鉴别保证 9
2.2.8 数据防抵赖保证 9
2.2.9 审计与监测保证 9
2.3 网络信息安全管理规范 9
2.3.1 总则 9
2.3.2 机房出入管理 10
2.3.3 人员管理 10
2.3.4 系统维护管理 11
2.3.5 数据备份管理 11
2.3.6 事件处理管理 12
2.3.7 数据恢复管理 12
2.3.8 安全审计管理 13
2.3.9 用户模型管理 13
2.4 安全技术和安全产品 14
2.4.1 防火墙 14
2.4.2 数据加密 15
2.4.3 病毒防治 16
2.4.4 鉴别与认证 16
2.4.5 检测和紧急响应 17
2.4.6 审计与监控 18
2.4.7 备份与恢复 19

1 网络应用的信息安全
1.1 网络信息的安全需求
在计算机网络应用系统中,对网络信息存在以下安全需求:
1) 物理安全(physical security)。为防范蓄意的和意外的威胁,而对资源提

供物理保护措施。
2) 数据机密(data confidentiality)。使信息不被泄露给非授权的实体(个人

或进程),并不为其所用。
3) 数据完整(data integrity)。确保数据没有遭受以非授权方式所作的篡改或

破坏。
4) 数据可控(data control)。得到授权的实体可以控制其授权范围内的信息流

向及行为方式。
5) 数据可用(data availability)。得到授权的实体在有效的时间内能够访问

和使用其所要求的数据。
6) 身份鉴别(peer-entity authentication)。确保一个实体此时没有试图冒充

别的实体,或没有试图将先前的连接作非授权地重演。
7) 数据鉴别(data origin authentication)。确保接受到的数据出自所要求的

来源。
8) 防抵赖(no repudiation)。避免在一次通信中涉及到的那些实体之一不承认

参加了该通信的全部或一部分。
9) 审计与监测(security audit , monitor and detection)。在一定范围内,

能够对已经或者可能出现的网络安全问题提供调查的依据和手段。
即下列各项要求得到安全保护:
1) 信息与数据(包括软件,以及与安全措施有关的被动数据,例如口令)
2) 通信和数据处理服务
3) 设备与设施
1.2 网络信息安全需求的层次
在计算机网络信息系统中,安全的需求来自不同的层次:
1) 法律/行政手段的保障。需要满足:有法可依、有章可循。
2) 物理安全需求。需要满足:网络环境的规范建设;网络设备的安全设计与防护

;网络媒体的安全管理。
3) 网络接入安全需求。需要满足:内外网安全隔离;内外网用户的访问控制;内

部网的监控;内部网传输数据的保密与鉴别。
4) 内部网络安全需求。需要满足:内外网用户的访问控制;网内节点间的访问控

制;网内的安全审计;内部网的备份与恢复。
5) 节点安全需求。需要满足:网内节点(主机/服务器)的访问控制;操作系统

的访问控制和安全审计;数据库及终端信息资源的访问控制和安全审计;可靠健

壮的系统运行平台;系统配置及数据的备份与恢复。
6) 业务信息安全需求。需要满足:业务资源的访问控制;业务流的完整性保护;

业务数据的保密与鉴别;业务实体的身份鉴别;业务交往的防抵赖;业务现场的

备份与恢复。
1.3 网络信息的安全威胁
在网络应用系统中,信息安全威胁的形式包括:
1) 对通信或其他资源的破坏。
2) 对信息的讹用或篡改。
3) 信息或其他资源的被窃、删除或丢失。
4) 信息的泄露。
5) 服务的中断。

下面简要列举在数据处理与数据通信环境中特别关心的几种攻击。
1) 冒充。就是一个实体假装成一个不同的实体。
2) 重演。当一个消息,或部分消息为了产生非授权效果而被重复时例出现重演。

3) 消息篡改。当数所传送的内容被改变而未发觉,并导致一种非授权后果时例出

现消息篡改。
4) 服务拒绝。当一个实体不能执行它的正当功能,或它的动作妨碍了别的实体执

行它们的正当功能的时候便发生服务拒绝。
5) 内部攻击。当系统的合法用户以非故意或非授权方式进行动作时例出现内部攻

击。
6) 外部攻击。外部攻击可以使用的办法如:a.搭线(主动的与被动的);b.截取辐

射;c.冒充为系统的授权用户,或冒充为系统的组成部分;d.为鉴别或访问控制

机制设置旁路。
7) 陷井门。当系统的实体受到改变致使一个攻击者能对命令,或对预定的事件或

事件序列产生非授权的影响时,其结果就称为陷井门。
8) 特洛伊木马。对系统而言的特洛伊木马,是指它不但具有自己的授权功能,而

且还有非授权功能。
1.4 网络信息的安全威胁评估与安全技术
系统的安全特性通常会提高系统的造价,并且可能使该系统难于使用。所以,在

设计一个安全系统之前,应该明确哪些具体威胁需要保护措施来对付,这叫做安

全威胁的评估。
威胁评估大致来说包括:
1) 明确该系统的薄弱环节。
2) 分析利用这些薄弱环节进行威胁的可能性。
3) 评估如果每种威胁都成功所带来的后果。
4) 估计每种攻击的代价。
5) 估算出可能的应付措施的费用。
6) 选取恰当的安全机制(可能要使用价值效益分析)。
技术上要做到完全的安全保护好比要做到完全的物理保护,同样是不可能。所以

,目标应该是,使攻击所花的代价足够高,从而把风险降低到可接受的程度。

1.5 网络应用系统的安全管理
网络信息的安全管理包括以下四类活动:
1) 系统安全管理。
2) 安全服务管理。
3) 安全机制管理。
4) 安全管理本身涉及信息的安全。

信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应

的管理制度或采用相应的规范。具体工作是:
1) 根据工作的重要程度,确定该系统的安全等级。
2) 根据确定的安全等级,确定安全管理的范围。
3) 制订相应的机房出入管理制度。对于安全等级要求较高的系统,要实行分区控

制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识

别登记系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理。
4) 制订严格的操作规程。操作规程要根据职责分离和多人负责的原则,各负其责

,不能超越自己的管辖范围。
5) 制订完备的系统维护制度。对系统进行维护时,应采取数据保护措施,如数据

备份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、

维护内容和维护前后的情况要详细记录。
6) 制订应急措施。要制订系统在紧急情况下,如何尽快恢复的应急措施,使损失

减至最小。建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的

授权。
2 网站的信息安全体系
2.1 安全策略
安全的整个领域既复杂又广泛。任何一个相当完备的分析都将引出许许多多不同

的细节,使人望而生畏。一个恰当的安全策略应该把注意力集中到最高权力机关

认为须得注意的那些方面。
由于策略是很一般性的,因而这一策略如何与某一具体应用紧密结合,在开始是

完全不清楚的。完成这一结合的最好办法经常是让这一策略经受一个不断精确化

的改进过程,在每个阶段加进从应用中来的更多的细节。
目前,对于新建网络的网络,必须解决网络的安全保密问题,考虑技术难度及经

费等因素,设计时应遵循如下思想:
1) 保证可接受的系统安全性和保密性。
2) 保证网络运行的性能,对网络的协议和传输具有很好的透明性。
3) 易于操作、维护,并便于自动化管理。
4) 便于系统及系统功能的扩展。
5) 有较好的性能价格比。
6) 安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监

督。
2.2 安全需求的保证
2.2.1 数据物理安全保证
1) “数据物理安全保证”是指:为了防范“数据的物理安全威胁”,而对“网络

系统物理设备”采取“数据的物理保护措施”。
2) “数据的物理安全威胁”指:
(1) 计算机场地或机房环境的事故(包括火灾)。
(2) 计算机系统物理设备的事故(包括对设备的盗窃或毁坏、电磁信息辐射泄漏

、线路截获、电磁干扰、电源失效)。
(3) 计算机系统媒体介质的事故(盗窃、毁坏、非法访问或非法复制)。
3) “网络系统的物理设备”是指:
(1) 机房场地环境
(2) 通信线路和网络设备
(3) 存储媒体
(4) 主机、服务器、终端及各类外设
4) “数据的物理保护措施”指:
(1) 符合规范的计算机场地和机房。
(2) 计算机设备置于专门的屏蔽室中。
(3) 采用光电转换接口和光缆。
(4) 采用低辐射终端设备。
(5) 采用信息扩散干扰设备。
(6) 掌握并运用与计算机安全相关的法律。
(7) 制定并遵循信息安全管理规范。
(8) 实施设备的访问控制机制。
(9) 实施数据加密机制。
5) 以如下方式来提供数据物理安全保证:
(1) 将应用服务器和数据服务器托管在规范建设和维护的机房里。
(2) 制定并遵循《信息安全管理规范》。
(3) 提供数据机密保证(参见第2.2.2条)。
2.2.2 数据机密保证
1) “数据机密保证”是指:“非预期实体”不能获取其不应获取的数据和数据服

务。
2) “非预期实体”是指:在数据通信或数据访问中,不应作为参与者的人、计算

机设备或计算机代码。
3) 以如下方式来提供数据机密保证:
(1) 采用加密机,使数据以密文传输。
(2) 网站有独立域名。
(3) 在网络系统的各个层次(物理设备、网络配置、操作系统、数据库、应用系

统)建立权限管理机制,对专门的网络资源定义专门的权限角色。
(4) 在网络系统的各个层次(物理设备、网络配置、操作系统、数据库、应用系

统)建立身份鉴别机制,保障使用网络资源的是合法的实体(人、计算机设备或

计算机代码)。
(5) 在网络系统的各个层次(物理设备、网络配置、操作系统、数据库、应用系

统)建立访问控制机制,保障网络资源不被非法访问。
(6) 利用病毒防治技术。
(7) 利用网络安全审计技术和网络安全检测技术。
(8) 制定并遵循《信息安全管理规范》。
2.2.3 数据完整性保证
1) “数据完整性保证”是指:数据没有遭受“非预期行为”所作的修改。
2) “非预期行为”是指:在数据通信或数据访问中,获得数据或数据服务是非法

参与者,或合法参与者实施了不合法的行为。
3) 以如下方式来提供数据完整性保证:
(1) 提供数据机密保证(参见第2.2.2条)。
(2) 利用数据校验技术,防止数据在传输过程中被篡改。
(3) 利用数字签名技术和数字时间戳技术,防止对已存档数据的篡改。
(4) 提供审计与监测保证(参见第2.2.9条)。
(5) 制定并遵循《信息安全管理规范》。
2.2.4 数据可控保证
1) “数据可控保证”是指:得到授权的实体可以控制其授权范围内的数据和数据

服务。
2) 以如下方式来提供数据可控保证:
a) 在交付业务系统同时,提供建立“业务系统用户模型”的培训。
b) “业务系统用户模型”是指:开展业务时所依赖的关于业务数据的权限管理机

制(角色定义表、资源权限定义表、角色资源权限矩阵)、身份鉴别机制(用户

识别定义表)和访问控制机制(用户角色矩阵、用户资源权限矩阵)。
c) 在业务系统用户模型中,用户分布在不同的应用空间中,在不同的应用空间中

各类用户可以拥有不同类型的权限。
d) 在业务系统用户模型中,业务数据库分为若干相对独立的部分。
e) 在未得到授权的情况下, 任何实体对业务系统用户模型不具有任何查询和修

改能力。
f) 在未得到授权的情况下,任何实体对业务数据不具有任何查询和修改能力。

g) 在未得到授权的情况下,任何实体对业务数据不具有任何复制、备份、恢复、

事件处理和安全审计的权利。
2.2.5 数据可用保证
1) “数据可用保证”是指:得到授权的实体在“有效的时间内”能够访问和使用

其所要求的数据和数据服务。
2) “有效的时间内”是指:在固定的时间区域内系统失效的次数和每次失效的持

续时间被控制在一个固定的阀值内。
3) 以如下方式来提供数据可用保证:
(1) 可靠的硬件/软件选型。
(2) 建立有独立域名的Web站点。
(3) 正确可靠的节点参数配置(主机、服务器、终端及各类外设)。
(4) 正确可靠的平台参数配置(操作系统、数据库管理系统、系统工具)。
(5) 专业的系统安装与维护人员。
(6) 对应用服务器和数据服务器进行双机备份。
(7) 数据中心在业务部门的协作下规范实施事件处理和数据恢复。
(8) 利用病毒防治技术,防止病毒对系统的攻击。
(9) 利用防火墙技术,防止入侵者对系统的攻击。
(10) 利用网络安全审计技术和网络安全检测技术,发现系统异常情况,同时防止

入侵者对系统的攻击。
(11) 制定并遵循《信息安全管理规范》,确保安全审计、数据备份、事件处理和

数据恢复能被规范实施。
2.2.6 身份鉴别保证
1) “身份鉴别保证”是指:确保一个实体此时没有试图冒充别的实体,或没有试

图将先前的连接作非授权地重演。
2) 以如下方式来提供身份鉴别保证:
(1) 在网络系统的各个层次(物理设备、网络配置、操作系统、数据库、应用系

统)建立用户识别定义表,检查使用网络资源的实体的合法性。
(2) 利用防火墙技术,实现网络节点的身份鉴别,限制信息往来地址,防止网络

地址的假冒。
(3) 业务系统用户模型保障:只有被授权的合法用户才能使用业务系统功能和访

问业务数据;任何用户只能访问其授权范围的业务资源。
(4) 利用数字凭证技术来标识各业务部门。
(5) 各业务部门之间进行双向身份鉴别。
(6) 制定并遵循《信息安全管理规范》,确保业务资源只能被授权者访问和使用


2.2.7 数据鉴别保证
1) “数据鉴别保证”是指:确保接受到的数据出自所要求的来源。
2) 以如下方式来提供数据鉴别保证:
(1) 实现身份鉴别保证(参见2.2.6条)和数据完整性保证(参见2.2.3条)。
(2) 利用数字签名技术来标识数据的来源。
2.2.8 数据防抵赖保证
1) “数据防抵赖保证”是指:避免在一次数据通信或数据访问中涉及到的那些实

体之一不承认参加了该数据通信或数据访问的全部或一部分。
2) 以如下方式来提供数据防抵赖保证:
(1) 实现数据鉴别保证(参见2.2.7条)和数据完整性保证(参见2.2.3条)。
(2) 实现审计与监测保证(参见2.2.9条)。
(3) 制定并遵循《信息安全管理规范》。
2.2.9 审计与监测保证
1) “审计与监测保证”是指:主动检查网络系统的运行情况和使用情况,以期考

评系统的安全性能和发现系统的异常状态。
2) 以如下方式来提供审计与监测保证:
(1) 实施安全审计:记录网络运行日志、操作系统运行日志、数据库访问日志、

业务应用系统运行日志,并定期给出安全审计报告。
(2) 利用网络安全检测技术,定期扫描分析网络系统,检查报告系统存在的弱点

和漏洞。
(3) 制定并遵循《信息安全管理规范》,确保规范实施安全审计工作。
2.3 网络信息安全管理规范
2.3.1 总则
1) 信息安全管理的总体原则是“没有明确表述为允许的都被认为是被禁止的”。

2) 信息安全管理将不同层次(网络、操作系统、数据库管理系统、应用系统)上

进行。
3) 信息安全管理由专门的信息安全管理部门来负责。
4) 信息安全管理规范包括:
(1) 机房出入管理
(2) 人员管理
(3) 系统维护管理
(4) 数据备份管理
(5) 事件处理管理
(6) 数据恢复管理
(7) 安全审计管理
(8) 用户模型管理
2.3.2 机房出入管理
1) 必须对出入机房的人员进行身份鉴别(如佩带机房出入证或安装自动识别系统

)。
2) 必须登记出入机房的情况,《机房出入记录》包括:身份标识(如名称或卡号

)、进入时间、离开时间、进入事由、违规记录。
2.3.3 人员管理
在以下活动中,需要定义专门的岗位:
1) 访问控制使用证件的发放与回收。
2) 信息处理系统使用的媒介发放与回收。
3) 处理保密信息。
4) 硬件和软件的维护。
5) 系统软件的设计、实现和修改。
6) 重要程序和数据的删除和销毁等。

在人员定岗时可以采用以下原则:
1) 多人负责原则。每一项与安全有关的活动,都必须有两人或多人在场。这些人

应是系统主管领导指派的,他们忠诚可靠,能胜任此项工作;他们应该签署工作

情况记录以证明安全工作已得到保障。
2) 任期有限原则。任何人不长期担任与安全有关的职务,以免使他认为这个职务

是专有的或永久性的。为遵循任期有限原则,工作人员应不定期地循环任职,强

制实行休假制度,并规定对工作人员进行轮流培训,以使任期有限制度切实可行


3) 职责分离原则。在信息处理系统工作的人员不要打听、了解或参与职责以外的

任何与安全有关的事情,除非系统主管领导批准。
4) 权限随岗原则。根据岗位变动情况及时调整相应的授权,做到:在岗有权、离

岗失权。
5) 应编制《安全岗位定义表》,给出:岗位名称、负责对象、工作内容、岗位权

限、任期限制、上级岗位名称。
6) 应编制《安全岗位分配表》,给出:岗位名称、人员名称、到岗时间、离岗时

间、任命者、任命原因、在岗表现。
7) 《安全岗位定义表》和《安全岗位分配表》属于保密内容,由安全管理的主管

人员维护和保管。

出于对安全的考虑,下面每组内的两项信息处理工作应当由不同的人来负责:
1) 计算机操作与计算机编程。
2) 机密资料的接收和传送。
3) 安全管理和系统管理。
4) 应用程序和系统程序的编制。
5) 访问证件的管理与其它工作。
6) 计算机操作与信息处理系统使用媒介的保管等。
2.3.4 系统维护管理
系统维护是对系统配置进行修改或升级的过程。

系统配置包括:
1) 网络的拓朴、构件、布线和参数。
2) 主机、服务器、终端及各类外设的构件和参数。
3) 操作系统、编译系统、数据库管理系统、系统工具的选件与参数。
4) 业务应用系统的选件与参数。

对系统进行维护时,应遵守以下原则:
1) 针对不同配置(网络、节点、操作系统、数据库、业务应用)的维护工作分别

设立不同的岗位。
2) 维护时要首先经主管部门批准,并有安全管理人员在场。
3) 维护前应采取数据保护措施,如数据备份。
4) 在《系统维护记录》中给出:维护原因、维护的内容、维护前系统情况、维护

后系统情况、维护起止时间、维护者、批准者。
2.3.5 数据备份管理
数据中心定期定时备份业务现场:
1) 对数据备份及其存储介质的保管设立专门的岗位。
2) 数据备份方式为:场地内增量式冷备份。
3) 数据备份周期取决于:业务数据的流量和业务数据的重要性,因此将随系统运

行情况灵活调整数据备份周期。
4) 数据备份周期为:每月执行一次完全备份,每周执行一次差分备份,每天执行

一次增量备份。
5) 对保存数据备份的存储介质(磁盘/磁带/光盘/硬盘),应统一编码,并存放

在专门的保密箱/柜中。
6) 在《数据备份记录》中给出:备份方式、备份内容、原数据的存储路径、备份

数据存储介质的标识、备份起止时间、备份者。
2.3.6 事件处理管理
事件处理指:当业务系统的运行平台发生故障或遭受攻击时,为保障业务系统能

够处于正常状态,数据中心与业务部门按照约定方式采取相应措施。
为了能及时处理事件,应遵循以下原则:
1) 数据中心和业务部门均设立专门岗位来负责事件处理。双方应保证能够随时(

24小时*7日)建立联络,以确保对事件的快速响应能力。
2) 数据中心和业务部门双方共同建立和维护《事件处理岗位定义表》,其中定义

以下内容:人员所在方、人员名称、岗位责任、到岗时间、离岗时间、电话、手

机、呼机、传真、电子邮箱。双方应将本方变更情况及时通知给对方。所有变更

情况都应被保存。
3) 数据中心应能及时感知并记录事件的现场情况,在《事件状态记录》上给出以

下内容:发现时间、发现地点、发现者、系统异常状态、记录时间、记录者。
4) 在发现业务中断或业务流程不畅时,业务部门应及时向数据中心发出《事件状

态记录》,描述现场情况。
5) 数据中心应及时判断事件原因,并采取措施以使业务处理尽快恢复正常运行。

在《事件处理记录》中给出:事件性质(故障、破坏、误操作)、涉及的系统组

成(硬件/操作系统/数据库/业务系统/人员)、处理结果、处理起止时间、处理

者、记录时间、记录者。
6) 数据中心在需要中断业务、备份特定业务现场或恢复业务现场时,应首先通知

相应的业务部门,并等待业务部门认可后方可实施。
7) 数据中心和业务部门在联络时,应进行双向身份鉴别。
8) 数据中心和业务部门的所有联络内容均应有正式存储记录(电话录音、文件/

文档、传真、电子邮件等),同时应保证这些记录不被篡改。
2.3.7 数据恢复管理
数据中心在恢复业务现场时,应遵循以下原则:
1) 对数据恢复设立专门的岗位,亦可与数据备份岗位合并。
2) 数据恢复时要首先经主管部门批准,并有安全管理人员在场。
3) 数据恢复前应通知相应业务部门的事件处理人员。
4) 若需要业务部门参与(如模拟重演某个时段的业务处理),则数据中心应为相

应的业务部门提供详细的操作流程,双方协同完成数据恢复。
5) 在《数据恢复记录》中给出:恢复原因、恢复内容、原数据的存储路径、备份

数据存储介质的标识、恢复起止时间、恢复者、批准者。
2.3.8 安全审计管理
安全审计的内容包括:
1) 网络运行日志
2) 操作系统运行日志
3) 数据库访问日志
4) 业务应用系统运行日志

对安全审计进行如下管理:
1) 针对不同内容(网络、操作系统、数据库、业务应用)的安全审计工作分别设

立不同的岗位。
2) 按需要选择将被记录和被远程收集的访问行为或执行行为。
3) 按需要授予或取消对所选行为进行审计跟踪日志记录的能力。
4) 给出《安全审计记录》,详细给出访问行为或执行行为的:起止时间、对象(

IP地址、执行单位或数据单位)、实体(用户或进程)、实体所在IP地址、操作

、结果。
5) 当日志超过设定的统计阀值(依据时间或容量)时,统计出《安全审计报告》

。《安全审计报告》可以依据不同的字段(时间、对象、实体)来生成。
6) 当日志超过设定的卸出阀值(依据时间或容量)时,卸出当前《安全审计记录

》,创建新的《安全审计记录》。
7) 安全审计的内容应放在专门的安全审计存储区中。在安全审计存储区中,分为

网络目录、操作系统目录、数据库目录和应用系统目录,每个目录有分为安全审

计记录和安全审计报告两个子目录。
8) 《安全审计记录》和《安全审计报告》应遵循一致的文件命名规则,文件名应

能反映出文件形成的性质。
9) 在分析《安全审计记录》或《安全审计报告》时,若发现正在、可能或已经危

害到系统安全的行为,则应及时报告安全管理的主管人员。
10) 《安全审计记录》和《安全审计报告》应该加密存储,并且设置访问权限,

确认只有授权的管理人员才可能访问它们。
2.3.9 用户模型管理
“用户模型”是指:关于某类(或某个)资源的权限管理机制(角色、资源、权

限的关联)、身份鉴别机制(用户识别、鉴别标识的关联)和访问控制机制(用

户、角色、资源、权限的关联)。
在网络应用系统中,可以建立各级不同网络资源(网络设备、节点设备、操作系

统、系统工具、数据库管理系统、业务系统)的用户模型。
用户模型是概念上的、逻辑上的信息集合,其中的各种内容可以表现为:文档、

数据表、数据、或隐含于系统部件中的规则和约束。
为了明确表达一个资源的用户模型,可以使用以下表格:
1) 《角色定义表》,定义:角色标识、角色名、角色等级、角色描述。
2) 《资源定义表》,定义:资源标识、资源名、资源描述。
3) 《权限定义表》,定义:权限标识、权限名、权限描述。
4) 《角色资源权限矩阵》,定义:角色标识、资源标识、权限标识。
5) 《用户定义表》,定义:用户标识,用户名、用户描述。
6) 《用户识别定义表》,定义:用户标识、鉴别标识。
7) 《用户角色矩阵》,定义:用户标识、角色标识。
8) 《用户资源权限矩阵》,定义:用户标识、资源标识、权限标识。
需要说明的是,用户模型中的大部分内容应由特定的人员来制定和维护、并按特

定的保密等级来保存和管理。
2.4 安全技术和安全产品
2.4.1 防火墙
防火墙可以被设置在不同网络(如可信任的企业内部网和不可信的公共网)或网

络安全域之间。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业

的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗

攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。
防火墙可以提供如下能力:
1) 过滤进出网络的数据
2) 管理进出网络的访问行为
3) 封堵禁止的业务
4) 应用代理
5) 防止IP欺骗
6) 截断攻击
7) 三端口应用(DMZ)
8) 虚拟专用网(VPN)
9) 地址转换(NAT)
10) 负载均衡
11) 计费
12) 透明接入
13) 流量统计与控制
14) 实时监控
15) 审计与日志
16) 检测与告警
17) 安全管理(包括远程安全管理)

选择防火墙产品可以考虑以下因素:
1) 能否满足功能需求
2) 能否满足性能需求
3) 价格(注意是否有点数限制)
4) 能否方便配置和管理
5) 是否有健全的状态监视手段(日志、报警)
6) 防火墙自身是否安全

国内较著名防火墙产品包括:
天融信的“网络卫士NG-FW” http://www.talentit.com.cn
东方龙马的“东方龙马OLM” http://www.olm.com.cn/
中科网威的“长城NetPower” http://www.netpower.com.cn
清华得实的“WebST” http://www.th-dascom.com.cn/
天网的“天网” http://sky.net.cn

国外较著名防火墙产品包括:
NetScreen的“NetScreen” http://www.ns100.com.cn
CheckPoint的”FireWall-1″ http://www.checkpoint.com.cn
Cisco的“PIX” http://www.cisco.com.cn
CA的“eTrust” http://www.cai.com.cn

以下网址有以上产品的白皮书,可以作为参考:http://www.nsfocus.com
2.4.2 数据加密
对传输中的数据流加密,用来防止通信线路上的窃听、泄漏、篡改和破坏。如果

以加密实现的通信层次来区分,加密可以在通信的三个不同层次来实现,即链路

加密(位于OSI网络层以下的加密),节点加密,端到端加密(传输前对文件加密

,位于OSI网络层以上的加密)。
专门的加密机可以在链路层和IP层实现硬件加密,但只适用于通信双方都使用加

密机的情况。若要在互连网上实现广泛的信息交流,端到端的加密或许是当前最

可行的办法。为了实现端到端的加密,也需要通信双方使用遵循相同加密协议的

工具。
网络上传输的信息包括访问控制信息和数据。TCP/IP协议本身没有加密的特性,

访问控制信息和数据均被明文传输,使用网络嗅探器(sniffer)可以查看到一个

网段内大量敏感信息,如e-mail、FTP和telnet的登录名和口令,以及通信过程中

的所有内容。
端对端的加密工具可以提供以下能力:
1) 安全登录,使访问控制信息不能被解读
2) 加密被传输的数据
密码的使用涉及到法律允许的问题,一些加密算法被美国政府限制出口。

SSL协议被用来加密和认证网络服务,如在WWW服务器端设置支持SSL,客户端的浏

览器也支持SSL(IE和Netscape的较新版本),则WEB应用就可以实现远程安全登

录和安全数据传输了。
SSH协议被用来实现telnet的加密访问。利用SSH工具(如SecureCRT)可以实现F

TP的加密访问。
目前,一个信息加密工具“PGPi”被广泛使用,使用它的好处在于:
1) 免费的代码
2) 完全开放的源代码,经多年使用,未发现后门
3) 先进的加密算法和实现技术
4) 不受美国出口限制(加密位数是1024-4096)
5) 多平台版本
6) 使用简便,支持命令行管理和窗口管理
7) 无须向任何人申请任何东西,即可建立自己的密钥中心
目前PGPi版本(http://www.phpi.org V6.2.8)的功能包括:
1) 密钥的创建和管理
2) 窗口信息(包括e-mail)加密与签名
3) 文件的加密与签名
4) 文件的传统加密和归档
5) 文件和磁盘的安全清除

密码机制的存在意味着使用密钥管理,密钥管理包括:
1) 间歇性地产生与所要求的安全级别相称的合适密钥
2) 根据访问控制的要求,对于每个密钥决定哪个实体应该接受密钥的拷贝。
3) 用可靠办法使这些密钥对开放系统中的实体实例是可用的,或将这些密钥分配

给它们。
2.4.3 病毒防治
病毒防治技术包括预防病毒、检测病毒和消毒三种技术:
1) 预防病毒技术。它通过自身常驻系统内存,优先获得系统的控制权,监视和判

断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破

坏。这类技术有:加密可执行程序、引导区保护、系统监控与读写控制(如防病

毒卡等)。
2) 检测病毒技术。通过对计算机病毒的特征来进行判断的技术,如自身校验、关

键字、文件长度的变化等。
3) 消毒技术。通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件

的软件。
网络病毒防治技术的具体实现方法包括:对网络服务器中的文件进行频繁地扫描

和监测;在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。
2.4.4 鉴别与认证
鉴别与认证技术是为了实现以下目的:
1) 身份鉴别。通常有三种方法验证主体身份:只有该主体了解的秘密,如口令、

密钥。口令是相互约定的代码,假设只有用户和系统知道;主体携带的物品,如

智能卡和令牌卡;只有该主体具有的独一无二的特征或能力,如指纹、声音、视

网膜或签字等。
2) 数据完整性控制。可是采用以下措施:报文鉴别、校验和、密校验和、消息完

整性编码(消息摘要)。
3) 防抵赖。包括对源和目的地双方的证明,常用方法是数字签名。数字签名采用

一定的数据交换协议,使得通信双方能够满足两个条件:接收方能够鉴别发送方

所宣称的身份,发送方以后不能否认他发送过数据这一事实。

使用PGPi工具也可以实现鉴别和认证的目的:
1) 用户用自己的私钥对信息进行签名,做到“防假冒”
2) 工具生成信息摘要,做到“防篡改”
3) 实现签名和信息摘要,即做到“防抵赖”

更完善的鉴别和认证需要建立公证机制。两个或多个实体之间通信的数据的性质

,如它的完整性、原发、时间和目的地等,能够借助公证机制而得到确保。这种

保证是由第三方公证人提供的。公证人被通信实体所信任,并掌握必要信息,以

一种可证实方式提供实体所需的保证。通信事例可使用数字签名、加密和完整性

机制,以适应公证人提供的此种服务。
坚强可信的公证机制是电子商务应用的核心技术之一。
典型的公证机制即所谓CA系统,提供的服务有:签发证书、修改和吊销证书、证

书查询、存储/备份证书、对证书进行监察和审计。
证书的类型包括:个人证书、服务器证书、开发者证书。

较有名的CA类站点包括:
国富安电子商务认证中心 http://www.cacenter.com.cn
VeriSign公司 http://www.verisign.com
2.4.5 检测和紧急响应
网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最

薄弱的环节?如何最大限度地保证网络系统的安全?最有效的方法是定期对网络

系统进行安全性分析,及时发现并修正存在的弱点和漏洞。
网络安全检测工具通常是一个网络安全性评估分析软件,其功能是用实践性的方

法扫描分析网络系统,检查报告系统存在的弱点和漏洞,建议补求措施和安全策

略,达到增强网络安全性的目的。当然,网络安全检测工具同时又是破坏者手中

的探测器。
网络安全检测的内容包括:
1) 系统入侵检测(系统帐户、系统日志、后门进程、木马程序、本地溢出程序、

信任主机、攻击来源)
2) 用户安全检测(控制台安全、用户口令安全、用户文件及目录许可权限安全)

3) 操作系统安全检测(系统日志/审计策略、受信主机安全、安全终端设置、系

统文件完整性及存取许可安全、SUID/SGID许可程序安全)
4) 网络服务检测(HTTP服务安全、DNS服务安全、网络文件系统NFS安全、Telne

t服务安全、FTP服务安全、SMTP服务安全、POP服务安全、Finger服务安全、X w

indow系统安全、RPC服务安全、Wins服务安全、共享服务安全、Proxy服务安全)

5) 系统程序安全检测(后门程序检测、危险程序访问权限)
安全检测完毕需要:弥补漏洞、总结安全检测报告。

当主机或网络正遭到攻击或发现入侵成功的痕迹,应当实施紧急响应措施,其过

程为:
1) 发现并解决问题
2) 保存可能的记录证据
3) 追查问题来源
4) 总结紧急响应报告

安全检测和紧急响应都需要:
1) 雇佣专业的安全管理人员进行方案的设计和实施。
2) 安全管理人员还要实时追踪网络应用各个环节的最新安全通报。
一般的公司/企业/机构是无法做到这一点的。因此一般的做法是与专业的网络安

全公司签定安全服务的合同。

目前较有名的网络安全公司有:
中联绿盟 http://www.nsfocus.com
东方龙马安全响应中心 http://www.cns911.com
网络安全评估中心 http://www.cnns.net
天网安全阵线 http://sky.net.cn
网安 http://www.weguardnet.com
中国计算机安全 http://www1.infosec.org.cn
2.4.6 审计与监控
审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重

要工具。安全审计跟踪机制的价值在于:经过事后的安全审计可以检测和调查安

全的漏洞:
1) 它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。
2) 对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。

3) 系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的

重要依据。
4) 通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站

点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。

安全审计跟踪将考虑:
1) 要选择记录什么信息。
2) 在什么条件下记录信息。
3) 为了交换安全审计跟踪信息所采用的语法和语义定义。
收集审计跟踪的信息,通过列举被记录的安全事件的类别(例如对安全要求的明

显违反或成功操作的完成),能适应各种不同的需要。已知安全审计的存在可对

某些潜在的侵犯安全的攻击源起到威摄作用。
安全审计的内容包括:网络运行日志(路由器日志、防火墙日志)、操作系统运

行日志、数据库访问日志、业务应用系统运行日志。

除使用一般的网管软件和系统监控管理系统外,还应使用目前以较为成熟的网络

监控设备或实时入侵检测设备,以便对进出各级局域网的常见操作进行实时检查

、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。

多数网络设备和核心软件一般都自带审计和监控功能。
也有专门的审计和监控工具,可以:
1) 专门针对一类事物(如某个脆弱UNIX命令)进行跟踪记录或监控
2) 根据用户设定的要求,过滤审计结果,以提取和突出重要信息
3) 对审计结果进行分类加工,以多种形式(表格、直方图、饼图)输出报表。

目前有很多针对网站系统的审计与监控软件,如:
WebTrends公司的“Log Analyser” http://www.webtrends.com
微软公司的Site Server http://www.microsoft.com
net.Genesis公司的”net.Analysis”
Marketwave公司的”Hit List”
中科院化治所计算机室的“LogExplorer”http://lcc.icm.ac.cn/logexplorer

2.4.7 备份与恢复
备份系统为一个目的而存在:尽可能快地全盘恢复运行计算机系统所需的数据和

系统信息。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵

者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾

难恢复的前提之一。
根据系统安全需求可选择的备份机制有:
1) 场地内高速度、大容量自动的数据存储、备份与恢复。
2) 场地外的数据存储、备份与恢复。
3) 对系统设备的备份。

一般的数据备份操作有三种:
1) 全盘备份。即将所有文件写入备份介质。
2) 增量备份。只备份那些上次备份之后更改过的文件,是最有效的备份方法。

3) 差分备份。备份上次全盘备份之后更改过的所有文件,其优点是只需两组磁带

就可恢复最后一次全盘备份的磁带和最后一次差分备份的磁带。

在确定备份的指导思想和备份方案之后,就要选择安全的存储媒介和技术进行数

据备份。有”冷备份”和”热备份”两种:
1) 热备份。是指”在线”的备份,即下载备份的数据还在整个计算机系统和网络中

,只不过传到令一个非工作的分区或是另一个非实时处理的业务系统中存放。
2) 冷备份。是指”不在线”的备份,下载的备份存放到安全的存储媒介中,而这种

存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新

安装,有一部分原始的数据长期保存并作为查询使用。
热备份的优点是投资大,但调用快,使用方便,在系统恢复中需要反复调试时更

显优势。热备份的具体做法是:可以在主机系统开辟一块非工作运行空间,专门

存放备份数据,即分区备份;另一种方法是,将数据备份到另一个子系统中,通

过主机系统与子系统之间的传输,同样具有速度快和调用方便的特点,但投资比

较昂贵。
冷备份弥补了热备份的一些不足,二者优势互补,相辅相成,因为冷备份在回避

风险中还具有便于保管的特殊优点。

在进行备份的过程中,常使用备份软件,它一般应具有以下功能:
1) 保证备份数据的完整性,并具有对备份介质的管理能力。
2) 支持多种备份方式,可以定时自动备份,还可设置备份自动启动和停止日期。

3) 支持多种校验手段(如字节校验、CRC循环冗余校验、快速磁带扫描),以保

证备份的正确性。
4) 提供联机数据备份功能。
5) 支持RAID容错技术和图像备份功能。

安全恢复处理来自诸如事件处置与管理功能等机制的请求,并把恢复动作当作是

应用一组规则的结果。这种恢复动作可能有三种:立即的、暂时的、长期的。例

如:立即动作可能造成操作的立即放弃,如断开。暂时动作可能使一个实体暂时

无效。长期动作可能是把一个实体记入“黑名单”,或改变密钥。
安全恢复的规范化包括恢复动作的协议,以及安全恢复管理的协议。

目前市场上有相当多成熟的备份与恢复软/硬件系统。用户需要做的是:
1) 应根据自己的需求设计备份与恢复方案
2) 购买必要的设备和软件
3) 设定专门的岗位来实施备份与恢复方案

配置搭建DNS服务器

对于用于网络快速更新的软件各版本,用对外开放的服务器来测试是具有一定危险性的,用内部网专门的一台计算机来测试是最好不过的了,因此就专门配置了一台用于内联网的服务器,也因此配置了一个为内联网用的简单 DNS 服务器,下面就介绍一下这个 DNS 的配置过程.
内联网主机服务器的主机名为 pc10,IP 是:192.168.1.10,启用 tcpip.cxm 作为域名.

整个过程需要配置以下几个配置文档:
/etc/hosts
/etc/host.conf
/etc/resolv.conf
/etc/named.conf
/var/named/named.192.168.1
/var/named/named.tcpip.cxm

1.首先配置 /etc/hosts 指定 Ip 到主机的影射,下面是配置好的文档
——————————————————-
#IP Address Hostname Alias
127.0.0.1 localhost
192.168.1.10 pc10 pc10.tcpip.cxm
——————————————————–

2.接下来是 /etc/host.conf 的配置
——————————————————–
order hosts, bind
multi on
——————————————————–
这个配置的意思是从 /etc/hosts 开始查询,然后是 DNS,如果是多个主机将全部返回

3.配置 /etc/resolv.conf
——————————————————–
search tcpip.cxm
nameserver 192.168.1.10
——————————————————–
这儿配置的是 DNS 客户,search 指定的是客户默认域名,nameserver 则是指定使用的 DNS 服务器的 IP 地址,这里使用的是正在配置 DNS 服务器的主机 IP 地址:192.168.1.10

4.配置 /etc/named.conf ,这个文档的配置很重要
——————————————————–
// generated by named-bootconf.pl

options {
directory “/var/named”;
/*
* If there is a firewall between you and nameservers you want
* to talk to, you might need to uncomment the query-source
* directive below. Previous versions of BIND always asked
* questions using port 53, but BIND 8.1 uses an unprivileged
* port by default.
*/
// query-source address * port 53;
};

//
// a caching only nameserver config

//
zone “.” {
type hint;
file “named.ca”;
};

zone “0.0.127.in-addr.arpa” {
type master;
file “named.local”;
};

zone “1.168.192.in-addr.arpa” {
type master;
file “named.192.168.1”;
};

zone “tcpip.cxm” {
type master;
file “named.tcpip.cxm”;
};
——————————————————–
里面的 // 后和 /* */ 里的内容都是注释,尤其要注意里面的标点要正确,zone “1.168.192.in-addr.arpa” 是配置反序查找,而 zone “tcpip.cxm” 则是配置正序查找

5.创建区数据文件 /var/named/named.192.168.1,只需复制 /var/named/named.local 为 /var/named/named.192.168.1 进行修改(注意:是复制不是更名),修改后的内容如下:
———————————————————
@ IN SOA pc10.tcpip.cxm. hostnaster.pc10.tcpip.cxm. (
1997022700 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
IN NS pc10.tcpip.cxm.
1 IN PTR pc10.tcpip.cxm.
———————————————————
里面各个标点也必须正确!

6.创建数据文件 /etc/named.tcpip.cxm ,正确结果如下:
———————————————————
@ IN SOA pc10.tcpip.cxm. hostmaster.pc10.tcpip.cxm. (
1997022700 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
IN NS pc10
pc10 IN A 192.168.1.10
www IN CNAME pc10
———————————————————-
这里 NS 是域名服务器, A 是地址记录,CNAME 是规范的名程也指替换,也就是说用 pc10.tcpip.cxm 与 www.tcpip.cxm 一样.

7.仔细检查确保正确后,重新启动 DNS 守护进程 named:
#/etc/rc.d/init.d/named restart

8.检查 DNS 服务器
先 telnet 192.168.1.10 ,然后 ping 外部网址,再用 nslookup
正确的话 DNS 服务器配置成功.这时内部网的计算机都可用 192.168.1.10 作为域名服务器.

现在我配置的 DNS 运行良好,不仅可以浏览外面网站,还可对内提供域名服务(当然都不是权威的域名,不过当回上帝的感觉挺不错^o^)

该内存不能为read或written的解决方案

使用Windows操作系统的人有时会遇到这样的错误信息:
「“0X????????”指令引用的“0x00000000”内存,该内存不能为“read”或“written”」,然后应用程序被关闭。

如果去请教一些「高手」,得到的回答往往是「Windows就是这样不稳定」之类的义愤和不屑。其实,这个错误并不一定是Windows不稳定造成的。本文就来简单分析这种错误的一般原因。
一、应用程序没有检查内存分配失败
程序需要一块内存用以储存数据时,就需要使用操作系统提供的「功能函数」来申请,如果内存分配成功,函数就会将所新开辟的内存区地址返回给应用程序,应用程序就可以通过这个地址使用这块内存。这就是「动态内存分配」,内存地址也就是编程中的「光标」。内存不是永远都招之即来、用之不尽的,有时候内存分配也会失败。当分配失败时系统函数会返回一个0值,这时返回值「0」已不表示新启用的游标,而是系统向应用程序发出的一个通知,告知出现了错误。作为应用程序,在每一次申请内存后都应该检查返回值是否为0,如果是,则意味着出现了故障,应该采取一些措施挽救,这就增强了程序的「健壮性」。若应用程序没有检查这个错误,它就会按照「思维惯性」认为这个值是给它分配的可用游标,继续在之后的执行中使用这块内存。真正的0地址内存区储存的是计算机系统中最重要的「中断描述符表」,绝对不允许应用程序使用。在没有保护机制的操作系统下(如DOS),写数据到这个地址会导致立即当机,而在健壮的操作系统中,如Windows等,这个操作会马上被系统的保护机制捕获,其结果就是由操作系统强行关闭出错的应用程序,以防止其错误扩大。这时候,就会出现上述的「写内存」错误,并指出被引用的内存地址为「0x00000000」。内存分配失败故障的原因很多,内存不够、系统函数的版本不匹配等都可能有影响。因此,这种分配失败多见于操作系统使用很长时间后,安装了多种应用程序(包括无意中「安装」的病毒程序),更改了大量的系统参数和系统档案之后。
二、应用程序由于自身BUG引用了不正常的内存光标
在使用动态分配的应用程序中,有时会有这样的情况出现:程序试突读写一块「应该可用」的内存,但不知为什么,这个预料中可用的光标已经失效了。有可能是「忘记了」向操作系统要求分配,也可能是程序自己在某个时候已经注销了这块内存而「没有留意」等等。注销了的内存被系统回收,其访问权已经不属于该应用程序,因此读写操作也同样会触发系统的保护机制,企图「违法」的程序唯一的下场就是被操作终止执行,回收全部资源。计算机世界的法律还是要比人类有效和严厉得多啊!像这样的情况都属于程序自身的BUG,你往往可在特定的操作顺序下重现错误。无效光标不一定总是0,因此错误提示中的内存地址也不一定为「0x00000000」,而是其它随机数字。如果系统经常有所提到的错误提示,下面的建议可能会有说明 :

1.检视系统中是否有木马或病毒。这类程序为了控制系统往往不负责任地修改系统,
从而导致操作系统异常。平常应加强信息安全意识,对来源不明的可执行程序绝不好奇。
2.更新操作系统,让操作系统的安装程序重新拷贝正确版本的系统档案、修正系统参数。
有时候操作系统本身也会有BUG,要注意安装官方发行的升级程序。
3.试用新版本的应用程序。

Mode:
将虚拟内存撤换
答案:
目前为止是肯定的,也就是如在下次冷天到来时亦没再发生,就代表这是主因
追加:
如果你用 Ghost 恢复 OS 后建议 删除WINDOWS\PREFETCH目录下所有*.PF文件因为需让windows重新收集程序的物理地址
有些应用程序错误 “0x7cd64998” 指令参考的 “0x14c96730” 内存。该内存不能为 “read”推论是此原因
源由:
Win XP的「预读取」技术
这种最佳化技术也被用到了应用软件上,系统对每一个应用软件的前几次启动情况进行分析,然后新增一个描述套用需求的虚拟「内存映像」,并把这些信息储存到WINDOWSPREFETCH数据夹。一旦建立了映像,应用软件的装入速度大大提高。XP的预读取数据储存了最近8次系统启动或应用软件启动的信息。
后叙:
目前此方法亦是独步网络的(其码自己针对此问题查了许久),也是常见问题,原本几乎每天睡前关闭软件时一些程序都会发生…read…
现在就没发生了。

【文章二】

运行某些程序的时候,有时会出现内存错误的提示(0x后面内容有可能不一样),然后该程序就关闭。
“0x????????”指令引用的“0x????????”内存。该内存不能为“read”。
“0x????????”指令引用的“0x????????”内存,该内存不能为“written”。
不知你出现过类似这样的故障吗?
一般出现这个现象有方面的,一是硬件,即内存方面有问题,二是软件,这就有多方面的问题了。
下面先说说硬件:
一般来说,内存出现问题的可能性并不大,主要方面是:内存条坏了、内存质量有问题,还有就是2个不同牌子不同容量的内存混插,也比较容易出现不兼容的情况,同时还要注意散热问题,特别是超频后。你可以使用MemTest 这个软件来检测一下内存,它可以彻底的检测出内存的稳定度。
假如你是双内存,而且是不同品牌的内存条混插或者买了二手内存时,出现这个问题,这时,你就要检查是不是内存出问题了或者和其它硬件不兼容。
如果都没有,那就从软件方面排除故障了。
先简单说说原理:内存有个存放数据的地方叫缓冲区,当程序把数据放在其一位置时,因为没有足够空间,就会发生溢出现象。举个例子:一个桶子只能将一斤的水,当你放入两斤的水进入时,就会溢出来。而系统则是在屏幕上表现出来。这个问题,经常出现在windows2000和XP系统上,Windows 2000/XP对硬件的要求是很苛刻的,一旦遇到资源死锁、溢出或者类似Windows 98里的非法操作,系统为保持稳定,就会出现上述情况。另外也可能是硬件设备之间的兼容性不好造成的。
下面我从几个例子给大家分析:
例一:打开IE浏览器或者没过几分钟就会出现”0x70dcf39f”指令引用的”0x00000000″内存。该内存不能为“read”。要终止程序,请单击“确定”的信息框,单击“确定”后,又出现“发生内部错误,您正在使用的其中一个窗口即将关闭”的信息框,关闭该提示信息后,IE浏览器也被关闭。 解决方法:修复或升级IE浏览器,同时打上补丁。看过其中一个修复方法是,Win2000自升级,也就是Win2000升级到Win2000,其实这种方法也就是把系统还原到系统初始的状态下。比如你的IE升级到了6.0,自升级后,会被IE5.0代替。
例二:在windows xp下双击光盘里面的“AutoRun.exe”文件,显示“0x77f745cc”指令引用的“0x00000078”内存。该内存不能为“written”,要终止程序,请单击“确定”,而在Windows 98里运行却正常。 解决方法:这可能是系统的兼容性问题,winXP的系统,右键“AutoRun.exe”文件,属性,兼容性,把“用兼容模式运行这个程序”项选择上,并选择“Windows 98/Me”。win2000如果打了SP的补丁后,只要开始,运行,输入:regsvr32 c:\winnt\apppatch\slayerui.dll。右键,属性,也会出现兼容性的选项。
例三:RealOne Gold关闭时出现错误,以前一直使用正常,最近却在每次关闭时出现“0xffffffff”指令引用的“0xffffffff”内存。该内存不能为“read” 的提示。 解决方法:当使用的输入法为微软拼音输入法2003,并且隐藏语言栏时(不隐藏时没问题)关闭RealOne就会出现这个问题,因此在关闭RealOne之前可以显示语言栏或者将任意其他输入法作为当前输入法来解决这个问题。
例四:我的豪杰超级解霸自从上网后就不能播放了,每次都提示“0x060692f6”(每次变化)指令引用的“0xff000011”内存不能为“read”,终止程序请按确定。 解决方法:试试重装豪杰超级解霸,如果重装后还会,到官方网站下载相应版本的补丁试试。还不行,只好换就用别的播放器试试了。
例五:双击一个游戏的快捷方式,“0x77f5cd0”指令引用“0xffffffff”内 存,该内存不能为“read” ,并且提示Client.dat程序错误。 解决方法:重装显卡的最新驱动程序,然后下载并且安装DirectX9.0。
例六:一个朋友发信息过来,我的电脑便出现了错误信息:“0x772b548f”指令引用的“0x00303033”内存,该内存不能为“written”,然后QQ自动下线,而再打开QQ,发现了他发过来的十几条的信息。 解决方法:这是对方利用QQ的BUG,发送特殊的代码,做QQ出错,只要打上补丁或升级到最新版本,就没事了。

【原因 解决方法】

1 内存条坏了 更换内存条
2 双内存不兼容 使用同品牌的内存或只要一条内存
3 内存质量问题 更换内存条
4 散热问题 加强机箱内部的散热
5 内存和主板没插好或其他硬件不兼容 重插内存或换个插槽
6 硬件有问题 更换硬盘
7 驱动问题 重装驱动,如果是新系统,应先安装主板驱动
8 软件损坏 重装软件
9 软件有BUG 打补丁或更新到最新版本
10 软件和系统不兼容 给软件打上补丁或是试试系统的兼容模式
11 软件和软件之间有冲突 如果最近安装了什么新软件,卸载了试试
12 软件要使用其他相关的软件有问题 重装相关软件,比如播放某一格式的文件时出错,可能是这个文件的解码器有问题
13 病毒问题 杀毒
14 杀毒软件与系统或软件相冲突 由于杀毒软件是进入底层监控系统的,可能与一些软件相冲突,卸载试试
15 系统本身有问题 有时候操作系统本身也会有BUG,要注意安装官方发行的更新程序,象SP的补丁,最好打上.如果还不行,重装系统,或更换其他版本的系统。

〔又一说〕

在控制面板的添加/删除程序中看看你是否安装了微软NET.Framework,如果已经安装了,可以考虑卸载它,当然如果你以后在其它程序需要NET.Framework时候,可以再重新安装。
另外,如果你用的是ATI显卡并且你用的是SP2的补丁(一些ATI的显卡驱动需要在NET.Framework正常工作的环境下)。这种情况你可以找一款不需要NET.Framework支持的ATI显卡驱动。
如果以上两种方法并不能完全解决问题,你试着用一下“IE修复”软件,并可以查查是否有病毒之类的。
〔微软NET.Framework升级到1.1版应该没问题了〕

〔还有一说〕

方法一:

微软新闻组的朋友指点:开始–运行:regsvr32 jscript.dll
开始–运行:regsvr32 vbscript.dll

不过没解决—但提供了路子—–一次运行注册所有dll
搜索查找到方法如下:

运行 输入cmd 回车在命令提示符下输入
for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1
这个命令老兄你慢慢输 输入正确的话会看到飞快地滚屏 否则……否则失败就是没这效果。回车后慢慢等(需要点时间1-2分钟) 都运行完再打开看

方法二:
这是个典型问题~~~~~引起这个问题的原因很多。一般来讲就是给系统打上补丁和更换内存、给内存换个插槽这3种方法来解决。[系统补丁只要到Microsoft Update网站在线更新就可以了]

(偶见)

造成这种问题的原因很多,不能单纯的下结论,尽量做到以下几点可能对你有帮助:
1。确保使用的是未修改过的软件(非汉化、破解版)
2。使用改软件时尽量不要运行其他软件。(这是个临时文件,可能某些软件也在使用临时文件夹,所以产生干扰)
3。把那些什么桌面工具,内存整理工具通通关掉(你至少有2个类似的工具在运行)”

处理方法:
运行regedit进入注册表, 在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下,应该只有一个正常的键值”{AEB6717E-7E19-11d0-97EE-00C04FD91972}, 将其他的删除。

〔我个人的最后解决和看法〕

我今天尝试了多种办法,最后我发现问题出在微软的NET.Framework上面。我升级了这个软件,并打齐了补丁,短暂平安后,有出现“内存不能为read”的情况。后来我受上面文章的启发,卸载了微软的NET.Framework1.0和1.1,世界太平了。

另外:如果是打开“我的电脑”、“我的文档”等的时候出现上述情况,还有一种可能,就是你的右键菜单太臃肿了,此时只要清理右键菜单问题就解决了。

——————————————————————————–

〔试验的结果〕

上面的方法,最管用、最彻底的方法是这个:

运行 输入cmd 回车在命令提示符下输入
for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1

【技巧】如果怕输入错误的话,可以复制这条指令,然后在命令提示框点击左上角的c:\,使用下面的“编辑-粘贴”功能就不容易输错了。在飞速滚屏完全静止之后,别着急启动其他程序,先耐心等一会儿,因为此时dll们还在找位置。直到你的指示灯不闪了再做别的。

HTTP 500 服务器内部错误的解决方法

IIS500错误,是因为微软的一个BUG所造成的。下面是解决办法:

主要是由于IWAM账号(在我的计算机即是IWAM_MYSERVER账号)的密码错误造成了HTTP 500内部错误。

在详细分析HTTP500内部错误产生的原因之前,先对IWAM账号进行一下简要的介绍:IWAM账号是安装IIS5时系统自动建立的一个内置账号,主要用于启动进程之外的应用程序的Internet信息服务。IWAM账号的名字会根据每台计算机NETBIOS名字的不同而有所不同,通用的格式是IWAM_MACHINE,即由“IWAM”前缀、连接线“_”加上计算机的NETBIOS名字组成。我的计算机的NETBIOS名字是MYSERVER,因此我的计算机上IWAM账号的名字就是IWAM_MYSERVER,这一点与IIS匿名账号ISUR_MACHINE的命名方式非常相似。

IWAM账号建立后被Active Directory、IIS metabase数据库和COM+应用程序三方共同使用,账号密码被三方分别保存,并由操作系统负责这三方保存的IWAM密码的同步工作。按常理说,由操作系统负责的工作我们大可放心,不必担心出错,但不知是BUG还是其它什么原因,系统的对IWAM账号的密码同步工作有时会失败,使三方IWAM账号所用密码不统一。当IIS或COM+应用程序使用错误IWAM的密码登录系统,启动IIS Out-Of-Process Pooled Applications时,系统会因密码错误而拒绝这一请求,导致IIS Out-Of-Process Pooled Applications启动失败,也就是我们在ID10004错误事件中看到的“不能运行服务器{3D14228D-FBE1-11D0-995D-00C04FD919C1} ”(这里{3D14228D-FBE1-11D0-995D-00C04FD919C1} 是IIS Out-Of-Process Pooled Applications的KEY),不能转入IIS5应用程序,HTTP 500内部错误就这样产生了。

三.解决办法

知道了导致HTTP 500内部错误的原因,解决起来就比较简单了,那就是人工同步IWAM账号在Active Directory、IIS metabase数据库和COM+应用程序中的密码。

具体操作分三步,均需要以管理员身份登录计算机以提供足够的操作权限(IWAM账号以IWAM_MYSERVER为例)。

(一)更改Active Directory中IWAM_MYSERVER账号的密码

因IWAM账号的密码由系统控制,随机产生,我们并不知道是什么,为完成下面两步的密码同步工作,我们必须将IWAM账号的密码设置为一个我们知道的值。

1、选择“开始”->“程序”->“管理工具”->”Active Directory用户和计算机”,启动“Active Directory用户和计算机”管理单元。

2、单击“user”,选中右面的“IWAM_MYSERVER”,右击选择“重设密码(T)…”,在跳出的重设密码对方框中给IWAM_MYSERVER设置新的密码,这儿我们设置成“Aboutnt2001”(没有引号的),确定,等待密码修改成功。

(二)同步IIS metabase中IWAM_MYSERVER账号的密码

可能因为这项改动太敏感和重要,微软并没有为我们修改IIS metabase中IWAM_MYSERVER账号密码提供一个显式的用户接口,只随IIS5提供了一个管理脚本adsutil.vbs,这个脚本位于C:\inetpub\adminscripts子目录下(位置可能会因你安装IIS5时设置的不同而有所变动)。

adsutil.vbs脚本功能强大,参数非常多且用法复杂,这里只提供使用这个脚本修改IWAM_MYSERVER账号密码的方法:

adsutil SET w3svc/WAMUserPass Password

“Password”参数就是要设置的IWAM账号的新的密码。因此我们将IIS metabase中IWAM_MYSERVER账号的密码修改为“Aboutnt2001”的命令就是:

c:\Inetpub\AdminScripts>adsutil SET w3svc/WAMUserPass “Aboutnt2001”

修改成功后,系统会有如下提示:

WAMUserPass: (String) “Aboutnt2001”

(三)同步COM+应用程序所用的IWAM_MYSERVER的密码

同步COM+应用程序所用的IWAM_MYSERVER的密码,我们有两种方式可以选择:一种是使用组件服务MMC管理单元,另一种是使用IWAM账号同步脚本synciwam.vbs。

1、使用组件服务MMC管理单元

(1)启动组件服务管理单元:选择“开始”->“运行”->“MMC”,启动管理控制台,打开“添加/删除管理单元”对话框,将“组件服务”管理单元添加上。

(2)找到“组件服务”->“计算机”->“我的电脑”->“COM+应用程序”->“Out-Of-Process Pooled Applications”,右击“Out-Of-Process Pooled Applications”->“属性”。

(3)切换到“Out-Of-Process Pooled Applications”属性对话框的“标志”选项卡。“此应用程序在下列账户下运行”选择中“此用户”会被选中,用户名是“IWAM_MYSERVER”。这些都是缺省的,不必改动。在下面的“密码”和“确认密码”文本框内输入正确的密码“Aboutnt2001”,确定退出。

(4)系统如果提示“应用程序被一个以上的外部产品创建。你确定要被这些产品支持吗?”时确定即可。

(5)如果我们在IIS中将其它一些Web的“应用程序保护”设置为“高(独立的)”,那么这个WEB所使用的COM+应用程序的IWAM账号密码也需要同步。重复(1)-(4)步,同步其它相应Out of process application的IWAM账号密码。

2、使用IWAM账号同步脚本synciwam.vbs

实际上微软已经发现IWAM账号在密码同步方面存在问题,因此在IIS5的管理脚本中单独为IWAM账号密码同步编写了一个脚本synciwam.vbs,这个脚本位于C:\inetpub\adminscripts子目录下(位置可能会因你安装IIS5时设置的不同而有所变动)。

synciwam.vbs脚本用法比较简单:

cscript synciwam.vbs [-v|-h]

“-v”参数表示详细显示脚本执行的整个过程(建议使用),“-h”参数用于显示简单的帮助信息。

我们要同步IWAM_MYSERVER账号在COM+应用程序中的密码,只需要执行“cscript synciwam.vbs -v”即可,如下:

cscript c:\inetpub\adminscripts\synciwam.vbs -v

Microsoft (R) Windows Script Host Version 5.6

版权所有(C) Microsoft Corporation 1996-2000。保留所有权利。

WamUserName:IWAM_MYSERVER

WamUserPass:Aboutnt2001

IIS Applications Defined:

Name, AppIsolated, Package ID

w3svc, 0, {3D14228C-FBE1-11d0-995D-00C04FD919C1}

Root, 2,

IISHelp, 2,

IISAdmin, 2,

IISSamples, 2,

MSADC, 2,

ROOT, 2,

IISAdmin, 2,

IISHelp, 2,

Root, 2,

Root, 2,

Out of process applications defined:

Count: 1

{3D14228D-FBE1-11d0-995D-00C04FD919C1}

Updating Applications:

Name: IIS Out-Of-Process Pooled Applications Key: {3D14228D-FBE1-11D0-995D-00C04FD919C1}

从上面脚本的执行情况可以看出,使用synciwam.vbs脚本要比使用组件服务的方法更全面和快捷。它首先从IIS的metabase数据库找到IWAM账号”IWAM_MYSERVER”并取出对应的密码“Aboutnt2001”,然后查找所有已定义的IIS Applications和Out of process applications,并逐一同步每一个Out of process applications应用程序的IWAM账号密码。

使用synciwam.vbs脚本时,要注意一个问题,那就是在你运行synciwam.vbs之前,必须保证IIS metabase数据库与Active Directory中的IWAM密码已经一致。因为synciwam.vbs脚本是从IIS metabase数据库而不是从Active Directory取得IWAM账号的密码,如果IIS metabase中的密码不正确,那synciwam.vbs取得的密码也会不正确,同步操作执行到“Updating Applications”系统就会报80110414错误,即“找不到应用程序{3D14228D-FBE1-11D0-995D-00C04FD919C1}”。

好了,到现在为止,IWAM账号在Active Directory、IIS metabase数据库和COM+应用程序三处的密码已经同步成功,你的ASP程序又可以运行啦!

Telnet的命令模式

除了在Telnet是如何工作的例子介绍的以外,Telnet还有很多的特点。Telnet可发送除了”escape”的任何字符到远程主机上。因为”escape”字符在Telnet中是客户机的一个特殊的命令模式,它的默认值是”Ctrl-]”。但要注意不要与键盘上的Esc键混淆,我们可以设定”escape”为任意某个字符,只是对Telnet来说以为着该字符不可能再被传送到远程主机上,而Esc键是一非打印字符,Telnet用它来删除远程系统中的命令。而且还应记住,”escape”字符并不总以”Ctrl-]”来表示。
可以仅仅键入Telnet,后面不带机器字句。这种情况下所看到的是Telnet>,这是告知Telnet在等待键入命令,比如键入问号”?”那么就得到一个有用的命令表:

telnet: ?
Commands may be abbreviated, Command are:
open connect to a site
close close currect connection
quit exit telnet
display display operating parameters
send transmit special characters (‘send ?’ for more)
set set operating parameters(‘set ?’ for more)
status print status information
toggle toggle operating parameters(‘toggle ?’ for more)
mode try to enter line-by-line or character-at-a-time mode
? print help information

虽然命令很多,甚至还有子命令,但只有一些是常用的。现在介绍以下的几个:
Close:
该命令用语终止连接。它自动切断与远程系统的连接,也可以用它退出Telnet,在冒失的进入一个网络主机时,想退出的话,就可以用到这个命令。

open:
用它来与一个命名机器连接,要求给出目标机器的名字或IP地址。如果未给出机器名,Telnet就将要你选择一个机器名。必须注意,在使用”Open”命令之前应该先用”close”来关闭任何已经存在的连接。

Set ECHO:
用于本地的响应是On或是Off。作用是是否把输出的内容显示在屏幕上。和DOS的ECHO基本上是一样。如果机器是处于ECHO ON的话,想改变为OFF,那么就可以输入SET ECHO,想再改变回ECHO OFF,那么就再键入SET ECHO就可以了。(这儿说的比较简短,如果有不明白的,可以与我联系)

Set escape char:
建立”escape”字符到某个特殊的符号,若想用某种控制符号来代替,可以用”asis”或者键入符号”^”加字母b(如:^b)。在正常工作时,是不需要用”escape”这个字符的,并且这个被用作”escape”的符号不应该再被使用。这类似于许多程序中对键盘上的每一个键设定其真正的涵义。但如果正在运行一个 daisy-chained 应用系统,那么可以重新议定”escape”字符的特征便是很有用的。例如:用Telnet从系统A到系统B,接着又用Telnet注册进入系统C。如果正在系统C上工作时出了故障,那么当”escape”代表符是相同时,就没法中断系统B到系统C的连接。键入”escape”代表符,将总是处于系统A的命令模式。如果在每个Telnet部分使用不同的”escape”代表符,便可以通过键入适当的符号,来选择其中一个命令模式,这也可以用于其他的应用中(像终端仿真)。

Quit:
用它可顺利地推出Telnet程序。

Z:
用语保留Telnet但暂时回到本地系统执行其他命令。并且在Telnet中的连接以及其他的选择在Telnet恢复时仍被保留。

Carriage Return:
用于不具体的一个命令从命令模式返回到所连接的远程机器上。另外,还有许多其他的命令可以推出命令模式。下面举一个例子,是从注册进入到porky.math.ukans.edu ,然后进入命令模式,然后返回porky::

telnet porky.math.ukans.edu
Trying 129.237.128.11…
Connected to porky.math.ukans.edu.
Escape character is ‘^]’.
SunOS UNIX(porky)
login:wl
password:
Last Login: Tue Mar 28 05:35 from ns.bta.net.cn
SunOS Release 4.1.3_U1(SLIPPERY1) #3: Sun Nov 20 23:47:23 CST 1999
No match.
if:Expression syntax.
porky/serv/wl%cd/
porky/%CTRL-]
telnet:?
Commands may be abbreviated, Command are:
open connect to a site
close close currect connection
quit exit telnet
display display operating parameters
send transmit special characters (‘send ?’ for more)
set set operating parameters(‘set ?’ for more)
status print status information
toggle toggle operating parameters(‘toggle ?’ for more)
mode try to enter line-by-line or character-at-a-time mode
? print help information
telnet:set escape ^b
escape character is ’^b’
porky/%logout
ns.bta.net.cn%

注意:set命令也可以退出命令模式。当然,如果不行,可以回车输入一空行,也能回到porky

服务器端口详细解释

端口可分为3大类:
1) 公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。
2) 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。
3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。
本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住:并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣,请参看本文的其它部分。
0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
1 tcpmux 这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户,如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux并利用这些帐户。
7 Echo 你能看到许多人们搜索Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息。
常见的一种DoS攻击是echo循环(echo-loop),攻击者伪造从一个机器发送到另一个机器的UDP数据包,而两个机器分别以它们最快的方式回应这些数据包。(参见Chargen)
另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做“Resonate Global Dispatch”,它与DNS的这一端口连接以确定最近的路由。
Harvest/squid cache将从3130端口发送UDP echo:“如果将cache的source_ping on选项打开,它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。
11 sysstat 这是一种UNIX服务,它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全,如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似
再说一遍:ICMP没有端口,ICMP port 11通常是ICMP type=11
19 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时,会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
21 ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或Crackers 利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。
22 ssh PcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式,许多使用RSAREF库的版本有不少漏洞。(建议在其它端口运行ssh)
还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。
UDP(而不是TCP)与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632(十六进制的0x1600)位交换后是0x0016(使进制的22)。
23 Telnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术,入侵者会找到密码。
25 smtp 攻击者(spammer)寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭,他们需要拨号连接到高带宽的e-mail服务器上,将简单的信息传递到不同的地址。SMTP服务器(尤其是sendmail)是进入系统的最常用方法之一,因为它们必须完整的暴露于Internet且邮件的路由是复杂的(暴露+复杂=弱点)。
53 DNS Hacker或crackers可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其它通讯。因此防火墙常常过滤或记录53端口。
需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。
67和68 Bootp和DHCP UDP上的Bootp/DHCP:通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”(man-in-middle)攻击。客户端向68端口(bootps)广播请求配置,服务器向67端口(bootpc)广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。
69 TFTP(UDP) 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件,如密码文件。它们也可用于向系统写入文件。
79 finger Hacker用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其它机器finger扫描。
98 linuxconf 这个程序提供linux boxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuid root,信任局域网,在/tmp下建立Internet可访问的文件,LANG环境变量有缓冲区溢出。此外因为它包含整合的服务器,许多典型的HTTP漏洞可能存在(缓冲区溢出,历遍目录等)
109 POP2 并不象POP3那样有名,但许多服务器同时提供两种服务(向后兼容)。在同一个服务器上POP3的漏洞在POP2中同样存在。
110 POP3 用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个(这意味着Hacker可以在真正登陆前进入系统)。成功登陆后还有其它缓冲区溢出错误。
111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常见RPC服务有:rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞。
记住一定要记录线路中的daemon, IDS, 或sniffer,你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。
113 Ident auth 这是一个许多机器上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息(会被Hacker利用)。但是它可作为许多服务的记录器,尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,你将会看到许多这个端口的连接请求。记住,如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回RST,着将回停止这一缓慢的连接。
119 NNTP news 新闻组传输协议,承载USENET通讯。当你链接到诸如:news://comp.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送spam。
135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时,它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运行Exchange Server吗?是什么版本?
这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。
137 NetBIOS name service nbtstat (UDP) 这是防火墙管理员最常见的信息,请仔细阅读文章后面的NetBIOS一节
139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。
大量针对这一端口始于1999,后来逐渐变少。2000年又有回升。一些VBS(IE5 VisualBasic Scripting)开始将它们自己拷贝到这个端口,试图在这个端口繁殖。
143 IMAP 和上面POP3的安全问题一样,许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住:一种Linux蠕虫(admw0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后,这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。
这一端口还被用于IMAP2,但并不流行。
已有一些报道发现有些0到143端口的攻击源于脚本。
161 SNMP(UDP) 入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中,通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。
SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect remote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名,你会看见这种包在子网内广播(cable modem, DSL)查询sysName和其它信息。
162 SNMP trap 可能是由于错误配置
177 xdmcp 许多Hacker通过它访问X-Windows控制台,它同时需要打开6000端口。
513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很有趣的信息。
553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你将会看到这个端口的广播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进入系统。
600 Pcserver backdoor 请查看1524端口
一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统– Alan J. Rosenthal.
635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默认为635端口,就象NFS通常运行于2049端口。
1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用“netstat”查看,每个Web页需要一个新端口。
?ersion 0.4.1, June 20, 2000
http://www.robertgraham.com/pubs/firewall-seen.html
Copyright 1998-2000 by Robert Graham (mailto:firewall-seen1@robertgraham.com.
All rights reserved. This document may only be reproduced (whole or
in part) for non-commercial purposes. All reproductions must
contain this copyright notice and must not be altered, except by
permission of the author.
1025 参见1024
1026 参见1024
1080 SOCKS
这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机,从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。
1114 SQL
系统本身很少扫描这个端口,但常常是sscan脚本的一部分。
1243 Sub-7木马(TCP)
参见Subseven部分。
1524 ingreslock后门
许多攻击脚本将安装一个后门Sh*ll 于这个端口(尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个Sh*ll 。连接到600/pcserver也存在这个问题。
2049 NFS
NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口,但是大部分情况是安装后NFS 杏谡飧龆丝冢?acker/Cracker因而可以闭开portmapper直接测试这个端口。
3128 squid
这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服务器本身)也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。
5632 pcAnywere
你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而不是proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。
6776 Sub-7 artifact
这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制。)
6970 RealAudio
RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置的。
13223 PowWow
PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。
17027 Conducent
这是一个外向连接。这是由于公司内部有人安装了带有Conducent “adbot” 的共享软件。Conducent “adbot”是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
机器会不断试图解析DNS名─ads.conducent.com,即IP地址216.33.210.40 ;216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts使用的Radiate是否也有这种现象)
27374 Sub-7木马(TCP)
参见Subseven部分。
30100 NetSphere木马(TCP)
通常这一端口的扫描是为了寻找中了NetSphere木马。
31337 Back Orifice “elite”
Hacker中31337读做“elite”/ei’li:t/(译者:法语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少,其它的木马程序越来越流行。
31789 Hack-a-tack
这一端口的UDP通讯通常是由于”Hack-a-tack”远程访问木马(RAT, Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传输连接)
32770~32900 RPC服务
Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了寻找可被攻击的已知的RPC服务。
33434~33600 traceroute
如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。参见traceroute部分。
41508 Inoculan
早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见
http://www.circlemud.org/~jelson/software/udpsend.html
http://www.ccd.bnl.gov/nss/tips/inoculan/index.html
(二) 下面的这些源端口意味着什么?
端口1~1024是保留端口,所以它们几乎不会是源端口。但有一些例外,例如来自NAT机器的连接。参见1.9。
常看见紧接着1024的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。
Server Client 服务 描述
1-5/tcp 动态 FTP 1-5端口意味着sscan脚本
20/tcp 动态 FTP FTP服务器传送文件的端口
53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。
123 动态 S/NTP 简单网络时间协议(S/NTP)服务器运行的端口。它们也会发送到这个端口的广播。
27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。
61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器(IP Masquerade)
知道了这些端口对网络也就有一定的了解了