折翼の 天使的博客网

嘿嘿。。转BLOG咯。。

忘记通知了。。


新地址是：
Http://mlight.sohu.com.cn

Http://wm.hmeng.cn

两个都可以到我的新BLOG。。是搜狐的。。。嘿嘿。。
[face02][face19][face17]

近日发现朋友在玩电脑时，在“运行”中输入QQ.exe，QQ便运行了。这使我感到很诧异，以前我也曾试过在“运行”中输入QQ.exe过，却不能运行。这是为什么呢？最后在朋友的点拨下我终于得到了答案。下面与大家分享。
不知大家是否注意到这样一个地方：在“系统属性/高级/环境变量”下的系统变量。我们在“系统变量”下双击变量path。系统默认的只有%SystemRoot%\system32和%SystemRoot%这个两个变量，它们分别就代表了两个目录，一是系统根目录，另一个是根目录下的system32目录。当我们在运行中输入QQ.exe的时候它会到这两个目录中查找（查找顺序以文件夹书写顺序为准），如果有就运行，没有就报错。
下面就让我们动手来打造自己的“运行”吧，比如QQ装在“E:\QQ2”下，而我们的目的是要在运行中直接输入“qq”就可以让其运行。怎么做呢？只要在“path”中增加一条语句“E:\QQ2”就行了（如图1）。好了，现在再在运行中输入QQ，就可以直接运行程序了。

有朋友可能会问：当我们在“运行”中输入CMD而不是CMD.EXE的时候，系统怎么就打开CMD.EXE而不打开CMD.COM或者cmd.txt呢？其实这是由“系统变量”下的“PATHEXT”决定的。当我们在“运行”中输入CMD的时候，系统会按照“PATHEXT”中扩展名的书写顺序来一个一个匹配查找（如图2），如果有cmd.com就执行cmd.com，而不执行cmd.exe或者以其他名为cmd而扩展名不一样的文件。知道了这个规则，大家可以灵活运用以取得最佳效果。

提示：系统一但查找到相应文件便不会再去其它环境变量目录中查找，所以我们设置环境变量目录的时候也要小心。

由于Windows NT/2000操作系统的普及率和市场占有率比较高，所以很容易使它成为很多黑客攻击的目标。目前，Windows NT/2000最主要的漏洞有Unicode漏洞、.ida/.idq缓冲区溢出漏洞、Microsoft IIS CGI文件名错误解码漏洞、MSADCS RDS弱点漏洞、FrontPage服务器扩展和.Printer漏洞等等。下面笔者将对这些漏洞的原理、危害程度、检测和解决办法分别进行介绍。

一、Unicode漏洞

1.漏洞危害

在Unicode字符解码时，IIS 4.0/5.0存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令。当用户用IIS打开文件时，如果该文件名包含Unicode字符，系统会对其进行解码。如果用户提供一些特殊的编码，将导致IIS错误地打开或者执行某些Web根目录以外的文件。未经授权的用户可能会利用IUSR_machinename账号的上下文空间访问任何已知的文件。该账号在默认情况下属于Everyone和Users组的成员，因此任何与Web根目录在同一逻辑驱动器上的能被这些用户组访问的文件都可能被删除、修改或执行。通过此漏洞，您可查看文件内容、建立文件夹、删除文件、拷贝文件且改名、显示目标主机当前的环境变量、把某个文件夹内的全部文件一次性拷贝到另外的文件夹去、把某个文件夹移动到指定的目录和显示某一路径下相同文件类型的文件内容等等。

2.漏洞成因

Unicode漏洞的成因可大致归结为: 从中文Windows IIS 4.0+SP6开始，还影响中文Windows 2000+IIS 5.0、中文Windows 2000+IIS5.0+SP1。台湾繁体中文也同样存在这样的漏洞。它们利用扩展Unicode字符(如利用“../”取代“/”和“\”)进行目录遍历漏洞。据了解，在Windows NT中编码为%c1%9c，在Windows 2000英文版中编码为%c0%af。

3.漏洞检测

首先，对网络内IP地址为*.*.*.*的Windows NT/2000主机，您可以在IE地址栏输入http:// *.*.*.*/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir(其中%c1%1c为Windows 2000漏洞编码，在不同的操作系统中，您可使用不同的漏洞编码)，如漏洞存在，您还可以将Dir换成Set和Mkdir等命令。

其次，您要检测网络中某IP段的Unicode漏洞情况，可使用有如Red.exe、SuperScan、RangeScan扫描器、Unicode扫描程序Uni2.pl及流光Fluxay4.7和SSS等扫描软件来检测。

4.解决方法

若网络内存在Unicode漏洞，可采取如下方法进行补救:

(1)限制网络用户访问和调用CMD命令的权限;

(2)若没必要使用SCRIPTS和MSADC目录，删除或改名;

(3)安装Windows NT系统时不要使用默认WINNT路径，您可以改为其他的文件夹，如C:\mywindowsnt;

(4)用户可从如下地址下载Microsoft提供的补丁:http://www.microsoft.com/ntserve ... q269862/default.asp为IIS 4.0的补丁地址，http://www.microsoft.com/windows ... q269862/default.asp为IIS 5.0补丁地址。

二、.ida/.idq缓冲区溢出漏洞

1.漏洞危害及成因

作为安装IIS过程的一部分，系统还会安装几个ISAPI扩展.dlls，其中idq.dll是Index Server的一个组件，对管理员脚本和Internet数据查询提供支持。但是，idq.dll在一段处理URL输入的代码中存在一个未经检查的缓冲区，攻击者利用此漏洞能导致受影响服务器产生缓冲区溢出，从而执行自己提供的代码。更为严重的是，idq.dll是以System身份运行的，攻击者可以利用此漏洞取得系统管理员权限。

2.解决方法

用户可以分别到http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30833和http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30800处下载补丁，或删除对.idq和.ida的脚本映射。如果其他系统组件被增删，有可能导致该映射被重新自动安装。

注意:安装Index Server或Index Services而没有安装IIS的系统无此漏洞;另外，即使Index Server/Indexing Service没有开启，但是只要对.idq或.ida文件的脚本映射存在，攻击者也能利用此漏洞。受影响平台有Windows NT 4.0、Windows 2000、Windows XP beta; 受影响的版本有Microsoft Index Server 2.0、Indexing Service in Windows 2000。

三、Microsoft IIS CGI 文件名错误解码漏洞


1.漏洞危害及成因

IIS在加载可执行CGI程序时，会进行两次解码。第一次解码是对CGI文件名进行Http解码，然后判断此文件名是否为可执行文件，如检查后缀名是否为“.exe”或“.com”等。在文件名检查通过之后，IIS会进行第二次解码。正常情况下，应该只对该CGI的参数进行解码，然而，当漏洞被攻击后，IIS会错误地将已经解过码的CGI文件名和CGI参数一起进行解码。这样，CGI文件名就被错误地解码两次。通过精心构造CGI文件名，攻击者可以绕过IIS对文件名所做的安全检查。在某些条件下，攻击者可以执行任意系统命令。

2.漏洞检测

该漏洞对IIS 4.0/5.0(SP6/SP6a没有安装)远程本地均适用，您可通过前文所述的SSS软件进行测试。

3.解决方法

如果您的主机有此漏洞，可在http://www.microsoft.com/Downloads/Release.asp?ReleaseID=29787处下载补丁。

四、MSADCS RDS弱点漏洞

1.漏洞危害

虽然MSADCS RDS弱点漏洞对许多黑客来说已经有点儿过时，不过，对于网络上一些粗心大

找肉鸡几种思路



惊云下载系统



用广东ADSL刷kuro


打造完美的阿拉QQ大盗



优化XP SP2



MS0539批量自动溢出传远控端抓



在谈刷QB简单版



虚拟视频



扫免费的QQ代理



注册表的收藏夹



最新QQ免验证任你聊



让QQ空间成为个人主页



黑客自己的完美桌面


QQ聊天伴侣的使用方法



制作短信蜘蛛2.0的注册机


免费得Q宠又一法



动网7.1漏洞动画


动网前台到后台



菜鸟网页木马全过程


玩死网吧



利用百度获得大量后门管理员



菜鸟学入侵（语音版）



flash时钟的制作



一步一步搞网站（一）



搜客UDP版2000人获得内存注册码



Windows下也能学习Linux命令



vb中打造自己的搜索软件



利用NIS这款软件制作捆绑木马



利用自己电脑开网站



菜鸟扫肉鸡刷点QB



asp木马搞定网站



动网7.1通过后台恢复数据库得到webshell动画



XP运行速度终极教程



Winamp辉煌时代宣告结束



让ASP隐藏其文件名


让QQ木马见鬼去吧Ⅱ



劲乐团刷级


[url=http://aday.3800cc.com/other/050816qjmusic.rar]
[co

s扫描器用法和思路

意外入侵+用免杀木马取websell

后台-揪你没商量

利用ServU和花生壳架设ftp服务器

免费网络电话任你打

QQ尾巴病毒手工查杀

大批量的 webshell

鸽子内网上线(VPvor 1.0 )

利用湖南ADSL刷QB

破解在线影院

随意限制电脑登陆QQ

刷QQ堂一小时3000分

破解在线影院
散播灰鸽子之21cn论坛篇

高级伪装技术之文件类型欺骗

手工入侵动网7.0SP2_access

天狗结巴+破解方法

无工具入侵之动网论坛修改密码篇

最简单的挂马教程，让你肉鸡成群

奇迹私服入侵教程

JAVAJSP入门动画

打造属于自己的QQ登录界面

木马制作教程

以后在网吧上网不用再花钱

破解终级上网提速

免费使用QQ空间皮肤

教你如何获得280兆网盘

再次解破QQ密码保护

教你制作网页木马

入侵网易WAP博客

让网际快车“飞”起来

菜鸟爆库更疯狂

黑客专用录象工具介绍（ 全 ）

第二步打开网吧下载方法

qq空间挂马新思路

QQ场景木马

QQ宽带乐园 一人一句赢大奖 刷花

怎样及时看见你的QQ等级

入侵黄色网站（语音版）

澳华多功能计算器之破解

一句马客户端解释

不通过网关开放内网之总结篇

最新灰鸽子刷点券教程

万象网吧管理系统破解 （补遗）

免费开通QQ空间

玩转QQ各种密码
从被挂马网站找到祸根

免费得QQ宠物

[url=http://aday.3800cc.com/other0509/050903sfj

嗅探工具psniffer使用动画


从下载数据库到拿webshell全过程


华为MT800共享上网设置教程

巧妙利用.mdb后缀数据库做后门

动网7.1不要特制木马得WEBSHEL

取回加密后的文件

Windows系统路径漏洞利用祥解

利用Bo-Blog的新漏洞入侵

巧妙拿webshell

完美的灰鸽子Build0901 HOOK.dll

突破QQBETA3不能用中文密码登陆

免费电话＋MSH命令行工具

QQ对讲机也能查IP


制作与众不同的WinRAR自解压界面

控制局域网流量


瑞星最新下载版破解动画

给SERV-U做隐蔽的后门

非鸽子会员照样用正版鸽子

菜鸟1分钟玩入侵


PE配合MMdown让你肉鸡成群


友情检测17173

一款不开端口的后门

利用QQ在线状态抓鸽子肉鸡

拓展思路拿DVBBS帐号

桃园网盘漏洞
----本站原创
最新变相刷QQ币

雨田居个人自助网页系统漏洞

一句话木马的使用
---本站原创
内网抓包工具ethereal的教程之二

建立绝对超级隐藏帐户

局域网突破ADSL实现多机一同上网

内网抓包工具ethereal的使用教程


QQ秀网站爆IP地址和端口

利用ASP后门入侵免费空间

cookies再次利用入侵

使你的webshell更牢靠

破解蓝芒虚拟主机系统3.7

ASP站长助手的一些防杀的思路
[u

随着各地ADSL网络的蓬勃发展，实现永久连接、随时在线已不再是遥远的梦，但是，我们必须明白，永久连入Internet同样也意味着遭受入侵的可能性大大增加。知己知彼，方能百战不殆，让我们了解一下黑客入侵ADSL用户的方法和防范手段吧。　

黑客入侵ADSL用户的方法

在很多地方都是包月制的，这样的话，黑客就可以用更长的时间进行端口以及漏洞的扫描，甚至采用在线暴力破解的方法盗取密码，或者使用嗅探工具守株待兔般等待对方自动把用户名和密码送上门。

要完成一次成功的网络攻击，一般有以下几步。第一步就是要收集目标的各种信息，为了对目标进行彻底分析，必须尽可能收集攻击目标的大量有效信息，以便最后分析得到目标的漏洞列表。分析结果包括：操作系统类型，操作系统的版本，打开的服务，打开服务的版本，网络拓扑结构，网络设备，防火墙，闯氩炀踝爸玫鹊取?　　

黑客扫描使用的主要是TCP/IP堆栈指纹的方法。实现的手段主要是三种：　　

1.TCP ISN采样：寻找初始化序列规定长度与特定的OS是否匹配。　　

2.FIN探测：发送一个FIN包（或者是任何没有ACK或SYN标记的包）到目标的一个开放的端口，然后等待回应。许多系统会返回一个RESET（复位标记）。　　

3.利用BOGUS标记：通过发送一个SYN包，它含有没有定义的TCP标记的TCP头，利用系统对标记的不同反应，可以区分一些操作系统。　　

4.利用TCP的初始化窗口：只是简单地检查返回包里包含的窗口长度，根据大小来唯一确认各个操作系统。　

扫描技术虽然很多，原理却很简单。这里简单介绍一下扫描工具Nmap(Network mapper)。这号称是目前最好的扫描工具，功能强大，用途多样，支持多种平台，灵活机动，方便易用，携带性强，留迹极少；不但能扫描出TCP/UDP端口，还能用于扫描/侦测大型网络。　　

注意这里使用了一些真实的域名，这样可以让扫描行为看起来更具体。你可以用自己网络里的名称代替其中的addresses/names。你最好在取得允许后再进行扫描，否则后果可要你自己承担哦。　　

nmap -v target.example.com　　

这个命令对target.example.com上所有的保留TCP端口做了一次扫描，-v表示用详细模式。　　

nmap -sS -O target.example.com/24　　

这个命令将开始一次SYN的半开扫描，针对的目标是target.example.com所在的C类子网，它还试图确定在目标上运行的是什么操作系统。这个命令需要管理员权限，因为用到了半开扫描以及系统侦测。

发动攻击的第二步就是与对方建立连接，查找登录信息。现在假设通过扫描发现对方的机器建立有IPC$。IPC$是共享“命名管道”的资源，它对于程序间的通讯很重要，在远程管理计算机和查看计算机的共享资源时都会用到。利用IPC$，黑客可以与对方建立一个空连接（无需用户名和密码），而利用这个空连接，就可以获得对方的用户列表。　　

第三步，使用合适的工具软件登录。打开命令行窗口，键入命令：net use \\222.222.222.222\ipc$ “administrator” /user:123456
　　
　　这里我们假设administrator的密码是123456。如果你不知道管理员密码，还需要找其他密码破解工具帮忙。登录进去之后，所有的东西就都在黑客的控制之下了。

防范方法

　　因为ADSL用户一般在线时间比较长，所以安全防护意识一定要加强。每天上网十几个小时，甚至通宵开机的人不在少数吧，而且还有人把自己的机器做成Web或者ftp服务器供其他人访问。日常的防范工作一般可分为下面的几个步骤来作。　　

　　

　　

　　步骤一，一定要把Guest帐号禁用。有很多入侵都是通过这个帐号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和密码”，选择“高级”选项卡（图1）。单击“高级”按钮，弹出本地用户和组窗口（图2）。在Guest帐号上面点击右键，选择属性，在“常规”页中选中“帐户已停用”（图3）。　　

　　
　　



　　

　　



　　

　　步骤二，停止共享。Windows 2000安装好之后，系统会创建一些隐藏的共享。点击开始→运行→cmd，然后在命令行方式下键入命令“net share”就可以查看它们（图4）。网上有很多关于IPC入侵的文章，都利用了默认共享连接。要禁止这些共享，打开管理工具→计算机管理→共享文件夹→共享，在相应的共享文件夹上按右键，点“停止共享”就行了。　　

　　



　　

　　步骤三，尽量关闭不必要的服务，如Terminal Services、IIS（如果你没有用自己的机器作Web服务器的话）、RAS（远程访问服务）等。还有一个挺烦人的Messenger服务也要关掉，否则总有人用消息服务发来网络广告。打开管理工具→计算机管理→服务和应用程序→服务，看见没用的就关掉。　　

　　步骤四，禁止建立空连接。在默认的情况下，任何用户都可以通过空连接连上服务器，枚举帐号并猜测密码。我们必须禁止建立空连接，方法有以下两种：　　

　　(1)修改注册表：　　

　　HKEY_Local_Machine\System\Current-ControlSet\Control\LSA下，将

由于很多新手对安全问题了解不多，所以并不知道自己的计算机中了“木马”该怎么样清除。因此最关键的还是要知道“木马”的工作原理，这样就会很容易发现“木马”。

　　“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。

　　当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

　　在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

　　在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

　　在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE。

　　这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY－LOCAL－MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。
当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY－USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

　　知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。

　　然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序。

　　有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此“木马”文件并删除掉。

　　重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。

　　小知识：

　　“木马”原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。

上次在这里发表了一篇《不花银子也能打造漂亮的Q-Zone个性空间》文章，同学和朋友看过之后，觉得很好玩。可是在使用时却对我报怨说，上面提供的特效太少，对于我们来说操作实在是有点难呀？
　　没办法，我这里就又收集一些比较好用的，不能只和我的小世界的朋友们来分享，这里共享出来吧!以后大家只用上天极上“拷贝”一下就可以了。具体的效果可以参看抓过的图片啦!但不要加的太多，不然就太”炫”了哟!
　　添加方法：成功登陆自己的Q-Zone之后，点击界面上的“自定义”按钮，然后选择“修改设置”下面的“新建模块”，　这时自动会弹出一个对话框。输入这个模块的名称，点击“提交”。然后在出现的网页对话框中的 “评论”的位置输入我们的代码即可。

screen.width-600)this.style.width=screen.width-600;" border=0>

　　一、加入播放器 MP3音乐放不停

　　许多朋友都是喜欢音乐的，如果在我们的Q-Z0ne中加入一些好听的音乐将会是一个非常让人振奋的事情!输入以下代码：
　　

　　就会有下面的图出现了。然后就有我们喜欢的音乐播放了。如图所示：

screen.width-600)this.style.width=screen.width-600;" border=0>
　　无播放器的
　　
[/color]

　　注解：以上的代码，你只需要改文件所在地址即 src 中的内容 (http://www.xxxx..com.cn/xx..wma) 就行了

[color=#990000]　　二、用flash做美化

　　在自己的小窝中加入一些可人的 flash 将会大提高自己的 Q-Z0ne 的人气的。
[/color]
　　如图所示：

screen.width-600)this.style.width=screen.width-600;" border=0>

[color=#990000]　　三、插入图片背景

　　只要愿意我们就可以加一些漂亮的图片。
　　

　　如图所示：

screen.width-600)this.style.width=screen.width-600;" border=0>
　　
四、改变文字颜色、大小、字体

　　Q-Z0nee 是我们个人的地盘，如果只能用官方提供的几种文字来输写真是太单调了。我们来改变一下吧。输入以下代码：
　　
大家好我是你们的朋友，/font>希望这篇文章你们会喜欢
　　如图所示：

screen.width-600)this.style.width=screen.width-600;" border=0>
　　给出几个常用颜色值:蓝色 #0000FF 黑色 black 红色 #FF0000 红紫色 #FF00FF 紫色 #9900FF 中黑色 #333333 浅黑色 #666666 亮绿色 #00FF00 亮黄色 #FFFF00
　　
五、连接网页、邮件和给QQ留言的超连接

　　大家在做网站时都有一些网站的链接，邮件地址或者现在用得很多的QQ留言，以便大家可以更快地转到相关网站或者快速地和自己联系。其实在我们的 QQ-Zone 中也可以轻松实现：
　　如添加超链接：
　　
欢迎来我的 Q-ZONE 看看
　　如图所示：

screen.width-600)this.style.width=screen.width-600;" border=0>
　　添加邮件连接：
　　 大家可以给我写邮件
　　如图所示：

screen.width-600)this.style.width=screen.width-600;" border=0>
　　这个是QQ留言的代码：
　　
[/color]
[color=#0066cc]　　
如图所示：

screen.width-600)this.style.width=screen.width-600;" border=0>

　　五、插入天气预报

　　QQ-Zone 就是我们的家一样，里面当然不然就以上几个古板的东西，我们还可以添加以下这些个人人气方面的东西哩!如新建一个模块插入
　　
　　我们就可以有一个漂亮的天气状况出现了 。

screen.width-600)this.style.width=screen.width-600;" border=0>
　　如图把上面的地址一换，如加入一个百度，就可以打造一个Q-Zone版的百度搜索了。

　　六、添加滚动字

　　以上的东西都是静止的，

DDoS攻击概念
DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了 - 目标对恶意攻击包的"消化能力"加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。
这时侯分布式的拒绝服务攻击手段（DDoS）就应运而生了。你理解了DoS攻击的话，它的原理就很简单。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。
高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。
被DDoS攻击时的现象
被攻击主机上有大量等待的TCP连接
网络中充斥着大量的无用的数据包，源地址为假
制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯
利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求
严重时会造成系统死机
攻击运行原理
[/b]


如图一，一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。
有的朋友也许会问道："为什么黑客不直接去控制攻击傀儡机，而要从控制傀儡机上转一下呢？"。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说，肯定不愿意被捉到（我在小时候向别人家的鸡窝扔石头的时候也晓得在第一时间逃掉，呵呵），而攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多。在占领一台机器后，高水平的攻击者会首先做两件事：1. 考虑如何留好后门（我以后还要回来的哦）！2. 如何清理日志。这就是擦掉脚印，不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉，但这样的话网管员发现日志都没了就会知道有人干了坏事了，顶多无法再从日志发现是谁干的而已。相反，真正的好手会挑有关自己的日志项目删掉，让人看不到异常的情况。这样可以长时间地利用傀儡机。
但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程，即使在有很好的日志清理工具的帮助下，黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是黑客自己的机器，那么他就会被揪出来了。但如果这是控制用的傀儡机的话，黑客自身还是安全的。控制傀儡机的数目相对很少，一般一台就可以控制几十台攻击机，清理一台计算机的日志对黑客来讲就轻松多了，这样从控制机再找到黑客的可能性也大大降低。
黑客是如何组织一次DDoS攻击的？
这里用"组织"这个词，是因为DDoS并不象入侵一台主机那样简单。一般来说，黑客进行DDoS攻击时会经过这样的步骤：
1. 搜集了解目标的情况 下列情况是黑客非常关心的情报：
被攻击目标主机数目、地址情况
目标主机的配置、性能
目标的带宽
对于DDoS攻击者来说，攻击互联网上的某个站点，如http://www.mytarget.com，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例，一般会有下列地址都是提供http://www.yahoo.com服务的： 66.218.71.87 66.218.71.88 66.218.71.89 66.218.71.80 66.218.71.81 66.218.71.83 66.218.71.84 66.218.71.86
如果要进行DDoS攻击的话，应该攻击哪一个地址呢？使66.218.71.87这台机器瘫掉，但其他的主机还是能向外提供www服务，所以想让别人访

与好友在网络上相互传输资料时，有时先要知道对方计算机的IP地址，才能与对方建立信息传输通道；那么对方的IP地址该如何搜查得到呢？这样的问题你也许会嗤之以鼻，的确，查询对方计算机的IP地址，实在简单得不值得一提；可是，要让你列举出多种IP地址搜查方法时，你可能就感到勉为其难了。下面，本文就对如何快速、准确地搜查出对方好友的计算机IP地址，提出如下几种方法，相信能对大家有所帮助！
　　1、邮件查询法

　　使用这种方法查询对方计算机的IP地址时，首先要求对方先给你发一封电子邮件，然后你可以通过查看该邮件属性的方法，来获得邮件发送者所在计算机的IP地址；下面就是该方法的具体实施步骤：

　　首先运行OutLook express程序，并单击工具栏中的“接受全部邮件”按钮，将朋友发送的邮件接受下来，再打开收件箱页面，找到朋友发送过来的邮件，并用鼠标右键单击之，从弹出的右键菜单中，执行“属性”命令；

　　在其后打开的属性设置窗口中，单击“详细资料”标签，并在打开的图1标签页面中，你将看到“Received: from xiecaiwen (unknown [11.111.45.25])”这样的信息，其中的“11.111.45.25”就是对方好友的IP地址；当然，要是对方好友通过Internet中的WEB信箱给你发送电子邮件的话，那么你在这里看到的IP地址其实并不是他所在工作站的真实IP地址，而是WEB信箱所在网站的IP地址。

　　当然，如果你使用的是其他邮件客户端程序的话，查看发件人IP地址的方法可能与上面不一样；例如要是你使用foxmail来接受好友邮件的话，那么你可以在收件箱中，选中目标邮件，再单击菜单栏中的“邮件”选项，从弹出的下拉菜单中选中“原始信息”命令，就能在其后的界面中看到对方好友的IP地址了。

　2、日志查询法
　　这种方法是通过防火墙来对QQ聊天记录进行实时监控，然后打开防火墙的日志记录，找到对方好友的IP地址。为方便叙述，本文就以KV2004防火墙为例，来向大家介绍一下如何搜查对方好友的IP地址：

　　考虑到与好友进行QQ聊天是通过UDP协议进行的，因此你首先要设置好KV2004防火墙，让其自动监控UDP端口，一旦发现有数据从UDP端口进入的话，就将它自动记录下来。在设置KV2004防火墙时，先单击防火墙界面中的“规则设置”按钮，然后单击“新建规则”按钮，弹出图2所示的设置窗口；


　　在该窗口的“名称”文本框中输入“搜查IP地址”，在“说明”文本框中也输入“搜查IP地址”；再在“网络条件”设置项处，选中“接受数据包”复选框，同时将“对方IP地址”设置为“任何地址”，而在“本地IP地址”设置项处不需要进行任何设置；

　　下面再单击“UDP”标签，并在该标签页面下的“本地端口”设置项处，选中“端口范围”选项，然后在起始框中输入“0”，在结束框中输入“65535”；同样地，在“对方端口”设置项处，也选中“端口范围”选项，然后在起始框中输入“0”，在结束框中输入“65535”。

　　接着在“当所有条件满足时”设置项处，选中“通行”选项，同时将“其他处理”处的“记录”选项选中，而“规则对象”设置项不需要进行任何设置；完成了上面的所有设置后，单击“确定”按钮，返回到防火墙的主界面；再在主界面中选中刚刚创建好的“搜查IP地址”规则，同时单击“保存”按钮，将前面的设置保存下来。

　　完成好上面的设置后，KV2004防火墙将自动对QQ聊天记录进行全程监控，一旦对方好友给你发来QQ信息时，那么对方好友的IP地址信息就会自动出现在防火墙的日志文件中，此时你可以进入到KV2004防火墙的安装目录中，找到并打开“kvfwlog”文件，就能搜查到对方好友的IP地址。

3、工具查询法

　　这种方法是通过专业的IP地址查询工具，来快速搜查到对方计算机的IP地址。例如，借助一款名为WhereIsIP的搜查工具，你可以轻松根据对方好友的Web网站地址，搜查得到对方好友的IP地址，甚至还能搜查到对方好友所在的物理位置。在用WhereIsIP程序搜查对方IP地址时，首先启动该程序打开如图3所示的搜查界面，然后单击该界面的“Web site”按钮，在其后的窗口中输入对方好友的Web地址，再单击“next”按钮，这样该程序就能自动与Internet中的Domain Name Whois数据库联系，然后从该数据库中搜查到与该Web网站地址对应的IP地址了。当然，除了可以知道IP地址外，你还能知道对方好友所在的具体物理位置。


　　倘若要想查看局域网中某个工作站的IP地址时，可以使用“网络刺客II”之类的工具来帮忙；只要你运行该工具进入到它的主界面，然后执行工具栏中的“IP地址<->主机名”命令，在其后打开的对话框中，输入对方好友的计算机名称，再单击“转换成IP”按钮，就能获得对方好友所在计算机的IP地址了。

　　如果你使用Oicqsniffer工具的话，那么查询QQ好友的IP地址就更简单了。只要你单击该程序界面中的“追踪”按钮，然后向对方好友发送一条QQ消息，那么Oicqsniffer工具就会自动将对方好友的IP地址以及端口号显示出来了。除此之外，还有许多可以查找IP地址的专业工具可以选择，例如IPsniper软件、

　


4、命令查询法

　　这种方法是通过

日前，中国最大的计算机反病毒软件公司江民科技专家指出，正在蓬勃发展的博客网站存在三大漏洞，黑客可在博客日志系统中随意嵌入恶意代码。利用这些恶意代码，可以迅速传播间谍软件、木马等有害程序。江民反病毒专家预测，如果博客系统维护者对这些漏洞视若无睹，那么目前博客这一新兴的网络应用将成为未来最大的网络病毒传播和滋生源。
　　记者就博客的安全性问题第一时间联系了国内权威反病毒厂商江民公司，据江民反病毒专家介绍，目前国内博客网站大都没有形成一个全面的安全防护体系，其内容发布及帖子回复等系统中存在多种问题，黑客嵌入恶意代码是易如反掌。

　　江民反病毒专家何公道分析认为，现在的“博客网站”主要有以下安全漏洞:

　　一是内容发布系统管理，基于博客倡导的自由化、个性化，只要用户进行身份认证便可以发放信息，以至于任何人都可利用内容发布嵌入恶意代码。“博客中国”似乎认识到这一点，前不久刚刚更新了发布系统，添加了“转义”的功能。可是单单“转义”功能并不能保证什么，有心人仍可以通过发链接达到目的，这样阅读者一旦点击就会中毒。

　　二是回帖，不少博客网站的个人博客不需要登陆即可直接回复，且回帖内容也几乎没有任何省核，这比BBS更让黑客得心应手，黑客很有可能通过匿名回复将病毒连接链在一个高访问量的个人博客后。

　　三是附加功能，追求与众不同是人的天性，不少博客为了吸引用户，在个人博客设置上增加了背景音乐等功能，这些高级功能一方面使博客变得更加丰富多彩，但另一方面无疑给了黑客另一个工具，黑客可以将这些功能作为病毒代码的替代品，植入木马也可做得更加隐蔽。

　　记者在网上Google一下“博客”，发现有1,290,000个结果，百度一下“博客”，发现有18,700,000个结果，而据统计，全世界平均每5.8秒就会产生一个新的博客，而国内约11%的网民已是常规的博客阅读者。有观察家认为，博客已经成为继聊电子邮件、即时通讯后互联网的二次应用热潮。

　　对于博客发布系统存在的巨大安全隐患，专家建议，博客网站应从信息传输的安全、信息存储的安全以及对网络传输信息内容三大方面加强管理，否则，随着博客网站越来越普遍，各个博客服务网站的浏览量的突飞猛进，其危害性将会越来越大
[face13][face13][face13][face13]

杀毒软件，你有；
网络
防火墙，你也有；各种防范措施，你都略知一二。然而，面对各种不安定因素，你能保证自己永不中招？千万别在出现异常情况时六神无主，自检，它能帮你找出安全隐患、制定防守战略。从容应对安全问题，得从自检开始。自本期开始，我们将为大家带来自检三部曲，指导大家学会自检。今天，将介绍的就是针对TCP连接的自检。
　　病毒和木马对个人电脑的威胁越来越大，它们不但破坏本地电脑的安宁，甚至完全摧毁电脑，而且它们还会利用
网络
技术
，开启多个TCP连接感染
网络
中的其他电脑，使病毒或木马的破坏力大大增强。俗话说“打蛇要打七寸”，如何将这些来自于
网络
的威胁降到最低点，非常重要的一个防范措施就是管好电脑中的TCP连接，经常自检尤为重要。
　　电脑中的TCP连接分为两种，一种是本机中危险进程开启的由内到外的TCP连接，另一种是来自外部恶意攻击的外部TCP连接。对于这两种TCP连接，需要采用不同的自检和处理方法，今天我们就会为大家介绍这两种方法。
　　小知识：当用户使用某些危险的
网络
服务
，或某些病毒、
黑客
控制系统的时候，就会先使用TCP协议建立端对端的连接，然后进行下一步的操作，这就是所谓的恶意TCP连接。
　　细心：检测由内向外的TCP连接
　　安全警报：报警！报警！网内突发传播性极强的攻击性事件，它不但感染本地系统，造成计算机异常，而且它还通过
网络
扩散，开启大量的TCP连接，感染
网络
中的其他机器。此时，对于这种还未探明具体成因的恶意事件，可对由内向外的TCP连接进行自检，找出并关闭异常或恶意的
网络
进程。

Win9x下的加密隐藏软件不少，如Encrypted
Magic Folders、Magic
Folders、Folders、Guard、protectZ等，都可以用隐藏甚至加密目录。可选择的种类多了，反倒是没有办法选择了，我这里为你推荐两种软件，一种使用简单，另一种功能强大。
　　1.protectZ
　　

对文件或文件夹进行加密的软件实在是太多了！可这些软件不是使用起来太麻烦就是加密进行得太脆弱。而我在这里为你介绍protectZ。protectZ是一款非常小巧的文档保护共享软件，可用于保护Windows95/98下任何文件或文件夹。笔者下载的是1.21版，未注册版本可以试用30天。你可以到protectZ的主页WWW.cryogen.com/protcetit下载此软件。
　　完成安装后，它首先会提醒你重新启动电脑。这是因为protectZ对注册表进行了一些必要的修改，在重新启动系统后才能生效。
　　第一次运行protectZ时必须先设置口令。你可以在主窗口工具栏的“setup”一项中设置运行口令，以后每次需要运行它时都要输入这个口令，这样就能够防止其他人使用protectZ查看你的秘密。


　　用protectZ加密实在是很简单：按住工具栏上的“ADD”按钮，你就可以向保护菜单中添加你所想保护的文件或文件夹。添加完毕后，直接在右边的“Protection”选项中根据自己的需要选择保护的方式：“Include
SubFolder”表示同时保护所选文件夹中的子文件夹；“Delete file”表示禁止删除文件；“Read
file”表示所选内容为不可读(运行)；“View folder’s
content”表示隐藏所选文件夹中的文件和子文件夹等等。由于选项太多，在这里就不一一列举了。不过得注意的是，想要这些所选的项目都生效的话，排在第一位的“Enabled”(开启保护)可别漏选了。
　　2.Encrypted Mayic Folders
　　Encrypted Mayic
Folders(EMF)是为文件夹加密的工具软件，适合为金融、税务、顾客信息和个人档案文件加密。它能够自动加密、解密；加、解密速度快、容量大；可以设置多账号；加密后的文件别人看不见，也无法删除修改。
　　从网址http://www.pc-magic.com/下载程序后选择合适的目录安装，安装时需要设定密码。安装时需要要一张空白磁盘来创建一张钥匙盘，它可以帮助你在忘记密码时启动Encrypted
MAgic Folders,也可以使你在不能卸载程序时，从DOS状态下使Encrypted Magic
Folders失去作用。安装结束后需要重新启动电脑。注意，该工具必须要VB3.0的运行库才可使用，可从网址http://www.pc-maigic.com/vbrun300.zip下载，下载后，解压出文件Vbrun300.dll，将之拷贝到Win95/98
System目录中即可。
　　执行Encrypted Magic Folders，选择“Not
Today”(不注册)，然后输入密码确认。单击界面“Add”按钮设定要加密的文件夹，你可以选择“Hide Only”(只隐藏文件夹)、“Hide and
Encrypt”(隐藏和加密文件夹)、“Hide,Encrypt,Scramble”(隐藏、加密及打乱文档名加密)等项，然后单击“Done”，选择“Make
Folders Invisible”加密就完成了。解密时，只要输入密码，选择“Make Folders
Invisible”就可以了。选择“Remove”可以将文件夹从加密文件夹中除去。
　　

唉，冤冤相报何时了，其实这种加密方式也不是不安全的加密方法，要破解非常简单，只需要你有相应的工具和耐心，这些密码简直就是垃圾。不过为了尽快结束这场战争，让众多电脑用户还有那么一丝安全感，这种加密破解方法就不提供了。

一般情况下，我们总习惯于将一些机密的文件保存在一个目录中，然后对这个目录加密，此法最为简单，下面我们分成两种进行说明。
　　1.属性加密

只需要选中欲隐藏的目录，单击右键，选择“属性”，在“隐藏”属性前打个“对号”。这样，该目录就具有了隐藏属性。


　　在“资源管理器”和“我的电脑”，以及DOS下用Dir命令都无法显示这个目录。
Windows的几个系统目录，如回收站(Recycled)、INF驱动程序脚本文件夹
(C:\WINDOWS\INF)、常用文档目录(C:\WINDOWS\Recent)、系统备份目录
(C:\WINDOWS\Sysbckup)等都是将目录属性改为“隐藏”，使得一般用户都看不到。
　　2.HTML加密
　　我们都不知道，在Windows和Windows\System文件夹下有一个Folder.htt的超文本文件完成进入该文件夹的警告。根据同样的原理，我们可以对任意文件夹及硬盘分区设置保护口今。

哈哈，这种方法也太……太弱智了嘛！首先说第1个，虽然最简单，但安全性也是最差的，只能骗一骗三岁小孩。只要在“资源管理器”中，选择“查看”菜单中的“文件夹选项”，再将其“查看”中的“隐藏文件”部分设为“显示所有文件”，或者在DOS下用Dir/AH命令，就可以让所有的隐藏目录暴露无遗，或者来个更毒的Attrib
-s -h -r \*.* /s将所有目录和文件都去掉系统、隐藏和只读属性，我看你还隐藏不？再说第2个，既然已经Attrib -s -h -r \*.*
/s了，那么将其中的Folder.htt删除就可以了。

办公软件是我们经常使用的软件，而且其中最容易出现一些机密文件，所以，这一部分也是密码设置的重点。下面，我们将分别对不同办公软件的密码进行设置。
　　WPS2000加密

WPS作为国内应用比较广泛的办公软件之一，提供了两种密码保护，即“普通型加密”和“绝密型加密”。在WPS2000的说明书中谈到，当用户遗忘文档密码之后，若文档采用的是“普通型加密”方式，则可向金山公司的技术人员求救，由他们帮你找出遗忘的密码；若文档采用的是“绝密型加密”方式，密码遗忘后根本无法解密。那么就让我们来看看如何为文档设置密码。
　　首先，新建立一个文档，然后对其进行编辑，在保存的时候，勾选对话框下边的“E文件加密”选项，并在弹出的对话框中设置加密类型为普通型加密还是绝密型加密，然后填写相应的密码。


　Word 97/2000
　　Word也是常用的一种文本编辑工具，而且是国际上流行的文本交流格式，所以更显其加密重要性。对Word文本加密可以按以下方式进行，执行“工具”下的“选项”命令，在弹出的窗口中切换到“保存”页面，你会在最下边看到“用于‘xxx文档’的文件共享选项”下分别设置“打开权限密码”和“修改权限密码”即可。注意，在这里设置的权限，只针对当前的“xxx文档”有效。


　　Excel 97/2000
　　Excel是微软推出的制表软件，国外许多公司都是使用Excel作为财务管理工具，所以对Excel文件加密也是一个比较重要的加密方向。可惜Excel97
和Exce12000的加密方法不相同，所以我们只有分别来进行说明。
　　在Excel 97中加密方法是这样的：依次选择“文件”下的“保存”(或“另存为”)，然后单击“选项”按钮，可以在“文件共享权限设置”中加密文档。
　　在Excel
2000中加密方法是这样的：依次选择“文件”下的“保存”(或“另存为”)，然后在弹出的窗口中选择由上方的“工具”下的“常规选项”命令，在弹出的窗口中就可以设置“打开权限密码”和“修改权限密码”两部分密码即可。



WPS文件的解密应该分成两种类型：WPS For DOS和WPS 2000。
　　以前的DOS下生成的WPS文件，我们根本就不用费什么脑筋，因为它有一个通用密码(Ctrl+QIUBOJUN，意思就是按下Ctrl控制键，然后依次按下
QIUBoJUN八个字母--WPS的开发者求伯君先生的大名拼音)，至于其它的破解方式这里就不再介绍。
　　在WPS 2000中，无论是“普通型”密码还是“绝密型”密码，我们都可以破解，首先到http://cyg.yeah.net//下载一个名为EWPR
(Edward Wps Password Recovery,Edward WPS密码破解)的软件， 然后使用EWPR对WPS
2000文档的密码进行破解：在“Encrypt WPS 2000 file”对话框中指定所需的WPS 2000文档，并在“Type of
Attack”列表框中选择适当的密码破解方式(一般应选择“Brute-force”，暴力穷举破解方式)。接下来，应根据具体情况在“Brute-force
Range Options”列表框中选择可能包含的密码范围，并在“Start
From”对话框中指定开始进行查找的字符(主要用于从上次中断处继续进行破解)。设置完这些选项之后，我们只需单击“RUN”按钮，EWPR就会采用穷举法对WPS
2000文档的密码进行破解，使用非常方便，你所需要的仅仅是耐心。
　　Office文件解密
　　Office虽然是国际上流行的一种文档格式，但是它的保密性能却更不能满足我们的安全需要。记得我们前边的ZIP和RAR文件破解的网址吧，那个地方同样有很多破解Office文档的破解工具，什么Word97/2000、Excel
97/2000、Access 97/2000都可以下载单独的破解工具，你甚至可以下载 Office破解工具，比如我们常用的AOPR(Anvanced
Office Password
Recovery,高级Office密码破解)，该软件可真是狠毒，竟然可以同时对Office系统中的Word、Excel和Access等软件进行解密，是不是解除了你逐一下载、使用各个单独密码
破解软件
的苦恼？至于具体使用方法，由于是同一个公司出品，大同小异，这里就不再赘述……

面对不断“更新”的病毒和攻击技术，你难道不想了解新的安全技术，装备新的安全产品，以保护自己的爱机、绝密的资料吗?不要担心，“安全新秀”将会为你介绍最新的安全技术、资讯，最新的安全产品，让你永远走在安全的前沿。

　　对于个人用户来说，主要是依靠基于操作系统的软件网络防火墙(如天网、瑞星等)来保护自己的系统安全，免受黑客和病毒的攻击。但这种传统的安全防御方式有很多令人不满意的地方(如占用过多的系统资源、系统速度变慢、效果不理想等)。最近，NVIDIA公司推出了内置于主板芯片中的NVIDIA原生防火墙，打破了传统的个人网络安全防御方式。

　　NVIDIA原生防火墙

　　本文所介绍的“硬件”防火墙，并不是在企业网中部署的价格昂贵的硬件级网络防火墙，而是针对个人用户集成于主板芯片中的网络防火墙。NVIDIA公司推出的“nForce3 Ultra MCP”主板芯片组，采用NVIDIA独有的单芯片设计，内置了硬件级的网络防火墙功能和千兆网卡。

　　该芯片组采用网络、安全、大容量储存一体化架构，不仅降低了CPU的负担，提高了操作系统性能，还提供了硬件级的网络安全防护，在不安装第三方软件网络防火墙的情况下，能使个人用户免受病毒和黑客的攻击，安全防范效果更为理想。

　　如何保护系统安全

　　传统的个人软件网络防火墙是基于操作系统，以分析网络层通信协议(TCP和UDP)和访问端口方式来控制网络通信数据信息的。这种方式不但消耗大量的系统资源，使系统速度变慢，而且它防御病毒和黑客恶意攻击的能力较弱，并且很多黑客攻击很容易导致个人网络防火墙失效。

　　NVIDIA原生防火墙不同于传统的个人网络防火墙，它内嵌在主板的千兆网卡MAC(媒体访问控制子层)中，基于已有的多种网络通讯协议，从最底层对网络中的通讯数据进行严格过滤。

　　它还提供了防IP欺骗、防网络窃听、防片段储存攻击等功能，用于防范黑客和病毒的攻击，保护系统的安全。

　　NVIDIA原生防火墙打破了原有的个人网络安全防御格局，开创出一种新的安全防范措施，对于个人用户来说，实在是一款值得期待的产品

从
QQ
2004 Beta 2开始，
QQ
允许一定级别的用户（
QQ
会员、
QQ
三钻用户和等级达到一个太阳以上的用户）自定义自己的头像，同时，腾讯公司也向用户提供许多精美的头像，不过这些头像并不是免费提供的，每一个头像需一个到数个
QQ
币不等，并且只能使用三个月，要再使用还需要花
QQ
币来购买。
　　道行高深的朋友当然可以利用Photoshop来自己制作40×40的图像作为自己的头像，而对于菜鸟来说虽然心有不甘，但却只能使用腾讯提供的。不过没有太阳，咱们也可享受腾讯收费的头像。
　　启动
QQ
，点击“菜单→个人设置”，弹出“个人设置窗口”，点击个人头像旁的“更改”按钮，在接下来的窗口中点击“
QQ
头像商城”下面的选择按钮（图1），接下来会进入到
QQ
商城头像选择窗口，在这里我们可以看到每一个头像都需要1个
QQ
币（图2）。不过，没有关系，我们马上就可以免费使用其中任意一个我们喜欢的头像。

图1

图2
　　挑选一个自己喜欢的，我们以“天天想你”为例，点击一下，按住鼠标不松手，拖动到资源管理器的任一目录中，或直接拖到桌面上，松开鼠标，我们可以得到一个BMP格式的图片文件。不过，对于这个BMP格式的头像我们是无法直接上传使用的，因为
QQ
只支持JPG、JPEG、GIF格式的文件，解决的方法也很简单，用画图程序简单处理一下就可以了。用画图程序打开，然后另存为“GIF”格式即可。最后，通过图1中的“上传本地图片”，将我们得到的GIF文件上传到服务器，更改自己的头像为本地我们处理过的文件即可（图3）。不过，要重新启动
QQ
才能生效哟！

图3

电子邮件并不是安全的，在邮件的发送、传送和接收整个过程中的每个环节都可能存在薄弱环节，恶意用户如果利用其漏洞，就能够轻易的破解出账号，获得邮件内容。
　　一、利用邮件服务器操作系统的漏洞
　　邮件服务器
软件
是运行在特定的操作系统上的，如Linux、Windows NT/2000等。这些操作系统的默认安装和配置都是不安全的，
黑客
可以轻易入侵系统，获得所有用户名和密码。
1、 Windows服务器
　　如果是基于Windows2000的Exchange Mail Server，系统本身未做任何

安全配置

，开放了若干服务。入侵者可以利用终端服务器结合中文输入法漏洞或者IIS的Buffer Overflow程序获得Administrator权限，用pwdump3导出

Hash

过的密码，再用L0pht挂接字典或者Brute Force就能破解出用户密码。根据经验，如果密码简单，几分钟之内就能破解出，长度在8位及以下的用Brute Force方式在一天内就能解出。
　　2、 Linux/

UNIX服务器


　　UNIX类系统一般采用Sendmail作为邮件系统，在获得了系统的控制权之后，用John等
软件
就能从/

etc

/passwd或者/etc/

shadow

中破解出密码。如果采用了数据库方式来保存用户信息和密码，也是很容易被导出。
二、利用邮件服务器
软件
本身的漏洞
　　最常见的邮件服务器程序有Sendmail，Qmail等，在不同程度在都存在安全缺陷。以Sendmail为例，再以前的老版本中，telnet到25端口，输入wiz，然后接着输入shell，就能获得一个rootshell，还有debug命令，也能获得root权限。Qmail相对Sendmail安全，但是Qpoper存在Buffer Overflow缺陷，能够远程得到rootshell，进而控制系统。
　　即使邮件服务器是安全的，但是入侵者还能获得更多的信息，比如用户名。telnet到25端口，输入expn tom或者vrfy tom就能查询系统是否有tom用户。最新版本的Sendmail虽然禁用了这两个命令，但是可以通过伪造发信人然后用rcpt to来判断该用户是否存在。
　　得到了用户名，可以telnet到110端口，尝试简单密码的连接，或者套用字典破解。
　　所以，必须禁止非本域的中继利用（relay），或者采用现在很多ISP都采用的给SMTP加上发信认证的模块，这样能够增强邮件服务器的安全。
　　除了POP3方式收信之外，比较流行的是在WEB界面上处理邮件。这种方式也不无弱点，一般是通过CGI来接受用户传递的表单FORM参数，包括username和password，如果正确，就可以进入处理邮件的页面。破解已知用户的密码，有很多套用字典或者暴力组合的
软件
可用，比较著名的是小榕的《溯雪》，在密码简单的情况下，很快就有结果。
　　WEB邮件系统都有“忘记密码”的选项，如果能破解寄回密码的另外一个邮箱或者猜出提示问题的答案，也能成功。
　　三、在邮件的传输过程中窃听
　　在
网络
中安装Sniffer，指定监听往外部服务器110端口发送的数据包，从收集下来的信息中查看user和pass后的字符串就能看到用户名和相应的密码

2004年在拉斯维加斯举行的BlackHat大会上，有两位安全专家分别作了名为You found that on google? 和google attacks 的主题演讲。经过安全焦点论坛原版主WLJ翻译整理后，个人觉得有必要补充完善一些细节部分。今天向大家讲述的是Google的又一功能：利用搜索引擎快速查找存在脆弱性的主机以及包含敏感数据的信息，甚至可以直接进行傻瓜入侵。
　　用google来进行“渗透测试”
　　我们今天渗透测试人员在实施攻击之前，往往会先进行信息搜集工作，而后才是漏洞确认和最终的漏洞利用、扩大战果。在这里我们现在要谈的是：
　　一、利用google查找被人安装了php webshell后门的主机，并测试能否使用;
　　二、利用google查找暴露出来的INC敏感信息.
　　OK，现在我们开始：
　　1.查找利用php webshell
　　我们在google的搜索框中填入：
Code:
intitle:"php shell*" "Enable stderr" filetype:php
　　(注: intitle—
网页
标题 Enable stderr—UNIX标准输出和标准错误的缩写filetype—文件类型)。搜索结果中，你能找到很多直接在机器上执行命令的web shell来。如果找到的PHPSHELL不会利用，如果你不熟悉UNIX，可以直接看看LIST，这里就不详细说了，有很多利用价值。要说明的是，我们这里搜索出来的一些国外的PHPSHELL上都要使用UNIX命令，都是system调用出来的函数(其实用百度及其他搜索引擎都可以，只是填写搜索的内容不同)。通过我的检测，这个PHPWEBSHELL是可以直接Echo(Unix常用命令)。一句话就把首页搞定了:
Code:
echo "召唤" > index.jsp
　　在得到的
Code:
echo 后再写上:"召唤"
现在看看首页，已经被我们改成: "召唤" 了。
　　我们也可以用WGET上传一个文件上去(比如你要替换的叶子吧)。然后execute Command输入 cat file > index.html or echo "" > file
echo "test" >> file
这样一条条打出来，站点首页就成功被替换了。同样的也可以
Code:
uname -a;cat /etc/passwd
不过有点要注意，有些WEBSHELL程序有问题，执行不了的，比如:
http://***www.al3toof.com/card/smal
... c_html&command=
http://***ramsgaard.net/upload/shell.php

这些站的php是global register off
　　解决方案:
　　我们可以利用相关工具进行在互联网进行搜索，如果有信息被滥用，到
http://***www.google.com/remove.html
提交你希望删除的信息，控制搜索引擎机器人的查询.
　　2.搜索INC敏感信息
　　我们在google的搜索框中填入:
Code:
.org filetype:inc
　　我们现在搜索的是org域名的站点的INC信息(因为google屏蔽掉了搜索"COM"信息，我们还可以搜其他gov，cn，info，tw，jp，edu等等之类的)
　　PS:我在看许多PHP编程人员在编程时候，都喜欢把一些常写的代码或配置信息，写在一个.inc的文件中，如shared.inc、global.inc、conn.inc等等，当然这是一个很好的习惯，包括PHP官方网站都是如此，但不知你有没有注意到这里面含一个安全隐患问题。我有一次在写一个PHP代码时，无意中写错了一句话，当我在浏览器里查看此PHP文件时，竟然发现屏幕详细的显示了我所出错的PHP文件路径及代码行。(PHP错误显示配置是开着的.此功能在PHP里是默认的!)，这就是说当我们无意写错代码(同样.inc文件也一样) 或者PHP代码解析出问题时，而PHP错误显示又是开着的，客户端的用户就会看到具体url地址的.inc文件，而.url文件如同txt文本一样，当在浏览器中浏览时，就毫无保留地显示了它的内容，而且不少站点在.inc文件写了重要的信息如用户密码之类!包括国内著名海尔公司以及嘉铃摩托公司，我之所以敢公布是因为我本人测试过，
http://***www.haier.com/su
***/inc/conn.inc 暴出的数据库ID密码用客户端连不上去，网站关闭了1215，而且防火墙也过滤掉了。
　INC的知识说完后，我们继续又搜索到了好多，找到一个暴露了MYSQL口令的，我们又可以用客户端登陆上去修改数据了。这里涉及到数据库的知识，我们不谈太多，关于"INC暴露敏感信息"就到这里结束吧；当然我们可以通过一些办法解决：
　　1，你可以专门对.inc文件进行配置，避免用户直接获取源文件。
　　2，当然比较好的方法是，加上并且改文件扩展名为.php（PHP可以解析的扩展名），这样客户端就不会获取源文件了。
　　这里，我将FreeMind绘制的图片用文本表示了。
　　有关Google Hack的详细信息，帮助我们分析踩点
　　连接符:
Code:
+ - : . * │
　　操作符:
Code:
"foo1 foo2"
filetype:123
site:foo.com
intext:foo
intitle:footitle
allinurl:foo
　　密码相关
Code:
：“index of”
htpasswd / passwd
filetype:xls username password email
"ws_ftp.l

一、简单的"
黑客
"入侵
　　TCP/IP协议顺序号预测攻击是最简单的"
黑客
"入侵，也是系统安全的最大威胁。在
网络
上，每台计算机有惟一的IP地址，计算机把目标IP地址和一个惟一的顺序号加载于传输的每一个数据包上。在一个TCP连接中，接收机只收到具有正确IP地址和顺序号的那个包裹。许多安全设备，如路由器，只允许有一定IP地址的计算机收发传送。TCP/IP 顺序号预测入侵将使用
网络
给计算机赋址的方式和包裹交换的顺序来企图访问
网络
。一般来说，"
黑客
"进行TCP/IP 顺序号预测攻击分两步：
　　第一，得到服务器的IP地址。
黑客
一般通过网上报文嗅探，顺序测试号码，由WEB浏览器连接到结点上并在状态栏中寻找结点的IP地址。因为
黑客
知道其他计算机有一个与服务器IP地址部分公用的IP地址，他便尽力模拟一个能让其通过路由器和作为
网络
用户访问系统的IP号码。例如，如果系统的IP地址为192.0.0.15，
黑客
便知有近256台计算机可以连入一个C级网，并猜出所有最后位在序列中出现过的地址号码。IP地址指示了一个
网络
连接的计算机数，同时上述地址的高字节中两个最重要的位设定指出了该网为C级网，图1显示了
黑客
是怎祥预测C级网的IP号码的。


　　"
黑客
"用服务器的IP地址来猜测其他
网络
地址
　　第二，
黑客
在试过网上IP地址之后，便开始监视网下传送包的序列号，然后，
黑客
将试图推测服务器能产生的下一个序列号，再将自己有效地插入服务器和用户之间。因为
黑客
有服务器的IP地址，就能产生有正确IP地址和顺序码的包裹以截获用户的传递，图2指明了怎样模仿IP地址及包裹序列号以愚弄服务器，使之信任
黑客
为合法
网络
用户。

　　
黑客
模拟一个TCP/IP通讯愚弄服务器　
　　
黑客
通过顺序号预测取得系统访问之后，便可访问通讯系统传给服务器的任何信息，包括密钥文件、日志名、机密数据，或在网上传送的任何信息。典型地，
黑客
将利用顺序号预测作为一个实际入侵服务器的准备，或者说人为入侵网上相关服务器提供一个基础。
　　技术指导：防卫顺序号预测入侵
　　对您的系统来说，防卫顺序号预测入侵的最简单有效的方法是确保您的路由器、

防火墙

、您系统上的每个服务器拥有全面的审计跟踪保护。利用审计跟踪功能，在一个"
黑客
"企图通过路由器和防火墙来访问服务器时，您便能发现它。您的审计跟踪系统可显示下面的词条顺序，当然这要根据您的操作系统而定：
　　access denied. IP address unknown
　　当
黑客
循环不断地测试可能的顺序号时，访问被拒绝词条将一个接一个地出现。运用您操作系统上可利用的一些设备，您可以让它在审计系统出示一定数量的访问拒绝词条后指挥事件日志向您自动报警。
二、TCP协议劫持入侵
　　也许对连接于Internet的服务器的最大威胁是TCP劫持入侵（即我们所知的主功嗅探），尽管顺序号预测法入侵和TCP劫持法有许多相似之处，但TCP劫持之不同在于
黑客
将强迫
网络
接受其IP地址为一个可信网址来获得访问，而不是不停地猜IP地址直至正确。TCP劫持法的基本思想是，
黑客
控制了

Snort 2.x的规则选项与2.0以前的版本相比有了相当大的改进，有必要介绍和分析一下。
首先翻译一下Snort使用手册中相关的规则选项说明。由于这个手册写的极烂，很多地方意思表述重复冗长，用词不准确，而且还有些明显的错误，应该仔细说明的地方反而没有说明，叙述顺序上也混乱的很，还有让人不可理解的是手册中的示例规则本来就是简单的文本竟然采用了图片的格式，简直就是一个垃圾手册的范例，所以在翻译时没有完全参照，而是融入和补充了我认为正确的说法，还调整了一下某些选项说明的顺序。这个文档写于一年多前，当时的原文链接为
http://www.snort.org/docs/snort_manual/node14.html
，对于当前的网站，对应的链接差不多是
http://www.snort.org/docs/snort_manual/node21.html
。
----------------------------------------------------------------------------------------
2.5.1 content选项
content选项是Snort提供的多个选项中比较重要的一个。它可以使用户搜索数据包净载中特定的内容并相引发相应的动作。当执行一个content选项匹配时，程序调用Boyer-Moore模式匹配例程检查包内容中是否包含了此内容，如果选项中指定的数据正好包含在数据包的净载中，那么检查返回成功，规则中其他的选项会继续得以执行。需要小心的是默认的content选项匹配是关心大小写的。
选项中指定的数据可能会比较复杂；它可能包含混和的文本和二进制数据。二进制数据通常用管道（|）符号括起来并以字节码的方式指定。字节码是以十六进制的格式表示的，这样可以很方便地描述复杂的二进制数据。示例的Snort规则中就包含了混合的文本及二进制数据。
在一条规则可以指定多个content选项，这样可以使规则尽可能少地出现误报的情况。
如下字符在content选项内容中出现时必须被转义（如何转义至少在这个手册里的此节没说，我补充一下，有两个方法：1. 使用前导“\”字符 2. 使用字节的二进制表示方式，比如用“|3A|”表示“:”）：
: ; \ "
如果content选项内容之前放置了“!”字符，则表示在数据中不包含选项内容时引发报警。
2.5.1.1 格式
content: [!] "";
content选项可以带有多个修饰选项。修饰选项可以影响紧接之前的content选项的工作方式，这些修饰选项如下：
1.
nocase
2.
rawbytes
3.
depth
4.
offset
5.
distance
6.
within
2.5.1.2 示例
alert tcp any any -> any 139 (content:"|5c 00|P||00|I|00|P|00|E|00 5c|";)
混和了二进制数据和文本的content选项内容
alert tcp any any -> any 80 (content:!"GET";depth:3;nocase;)
取反匹配，此规则匹配数据包净载的前三个字节不是“GET”的情况
2.5.2 nocase修饰选项
nocase选项修饰紧接之前的content选项，使之在匹配时忽略大小写。
2.5.2.1 格式
nocase;
2.5.2.2 示例
alert tcp any any -> any 21 (msg:"FTP ROOT"; content:"USER root"; nocase;)
带有nocase修饰选项的content规则
2.5.3 rawbytes修饰选项
rawbytes选项修饰紧接之前的content选项，使之只匹配最原始的数据，忽略那些预处理器所做的解码。
2.5.3.1 格式
rawbytes;
2.5.3.2 示例
alert tcp any any -> any 21 (msg: "Telnet NOP"; content: "|FF F1|"; rawbytes;)
上面的示例使content选项匹配最原始的网络流量，而不是经过telnet解码器解码后的数据。
2.5.4 depth修饰选项
depth选项修饰紧接之前的content选项，允许用户指定在数据区中搜索特定模式的深度。如果设置depth等于5，则表示在数据包净载中从某个起点（如果没有下面论及的另一个offset修饰选项，则默认为数据区净载的开头）开始的5个字节中匹配content选项内容指定的模式。
2.5.4.1 格式
depth: ;
2.5.5 offset修饰选项
offset选项修饰紧接之前的content选项，允许用户指定从数据包净载的哪个字节开始进行匹配。如果设置offset等于5，Snort会在数据区净载的前5个字节以后开始搜索content选项内容指定的模式。
2.5.5.1 格式
offset: ;
alert tcp any any -> any 80 (content: "cgi-bin/phf"; offset:4; depth:20;)
组合使用了content,offset,depth选项的规则，从数据包净载的第5个字节开始的20字节内查找“cgi-bin/phf”字串。
2.5.6 distance
distance选项修饰紧接之前的content选项，允许用户指定相对于上一个content选项匹配成功的串尾再加多少字节开始搜索distance所修饰的这个content选项指定的匹配内容。此修饰选项与offset类似，只不过是相对于上一个content选项匹配成功的串尾而不是相对于数据区净载的开头。
2.5.6.1 格式
distance: ;
2.5.6.2 示例
alert tcp any any -> any any (content:"ABC"; content: "DEF";distance:1;)
此规则示例匹配的目的相当于正则表达式：/ABC.{1}DEF/
2.5.7 within
within选项修饰紧接之前的content选项，允许用户指定从上一个content选项匹配成功的串尾加上distance选项指定

要想更好的保护网络不受黑客的攻击，就必须对黑客的攻击方法、攻击原理、攻击过程有深入的、详细的了解，只有这样才能更有效、更具有针对性的进行主动防护。下面通过对黑客攻击方法的特征分析，来研究如何对黑客攻击行为进行检测与防御。

　　一、反攻击技术的核心问题

　　反攻击技术(入侵检测技术)的核心问题是如何截获所有的网络信息。目前主要是通过两种途径来获取信息，一种是通过网络侦听的途径(如Sniffer，Vpacket等程序)来获取所有的网络信息(数据包信息，网络流量信息、网络状态信息、网络管理信息等)，这既是黑客进行攻击的必然途径，也是进行反攻击的必要途径;另一种是通过对操作系统和应用程序的系统日志进行分析，来发现入侵行为和系统潜在的安全漏洞。

　　二、黑客攻击的主要方式

　　黑客对网络的攻击方式是多种多样的，一般来讲，攻击总是利用“系统配置的缺陷”，“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止，已经发现的攻击方式超过2000种，其中对绝大部分黑客攻击手段已经有相应的解决方法，这些攻击大概可以划分为以下六类:

　　1.拒绝服务攻击:

　　一般情况下，拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载，从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种，它是最基本的入侵攻击手段，也是最难对付的入侵攻击之一，典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。

　　2.非授权访问尝试:

　　是攻击者对被保护文件进行读、写或执行的尝试，也包括为获得被保护访问权限所做的尝试。

　　3.预探测攻击:

　　在连续的非授权访问尝试过程中，攻击者为了获得网络内部的信息及网络周围的信息，通常使用这种攻击尝试，典型示例包括SATAN扫描、端口扫描和IP半途扫描等。

　　4.可疑活动:

　　是通常定义的“标准”网络通信范畴之外的活动，也可以指网络上不希望有的活动，如IP Unknown Protocol和Duplicate IP Address事件等。

　　5.协议解码:

　　协议解码可用于以上任何一种非期望的方法中，网络或安全管理员需要进行解码工作，并获得相应的结果，解码后的协议信息可能表明期望的活动，如FTU User和Portmapper Proxy等解码方式。

　　6.系统代理攻击:

　　这种攻击通常是针对单个主机发起的，而并非整个网络，通过RealSecure系统代理可以对它们进行监视。

　　三、黑客攻击行为的特征分析与反攻击技术

　　入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为，要有效的进反攻击首先必须了解入侵的原理和工作机理，只有这样才能做到知己知彼，从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析，并提出相应的对策。

　　1.Land攻击

　　攻击类型:Land攻击是一种拒绝服务攻击。

　　攻击特征:用于Land攻击的数据包中的源地址和目标地址是相同的，因为当操作系统接收到这类数据包时，不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况，或者循环发送和接收该数据包，消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。

　　检测方法:判断网络数据包的源地址和目标地址是否相同。

　　反攻击方法:适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为(一般是丢弃该数据包)，并对这种攻击进行审计(记录事件发生的时间，源主机和目标主机的MAC地址和IP地址)。

　　2.TCP SYN攻击

　　攻击类型:TCP SYN攻击是一种拒绝服务攻击。

　　攻击特征:它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包，当被攻击主机接收到大量的SYN数据包时，需要使用大量的缓存来处理这些连接，并将SYN ACK数据包发送回错误的IP地址，并一直等待ACK数据包的回应，最终导致缓存用完，不能再处理其它合法的SYN连接，即不能对外提供正常服务。

　　检测方法:检查单位时间内收到的SYN连接否收超过系统设定的值。

　　反攻击方法:当接收到大量的SYN数据包时，通知防火墙阻断连接请求或丢弃这些数据包，并进行系统审计。

　　3.Ping Of Death攻击

　　攻击类型:Ping Of Death攻击是一种拒绝服务攻击。

　　攻击特征:该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时，就会造成内存溢出、系统崩溃、重启、内核失败等后果，从而达到攻击的目的。

　　检测方法:判断数据包的大小是否大于65535个字节。

　　反攻击方法:使用新的补丁程序，当收到大于65535个字节的数据包时，丢弃该数据包，并进行系统审计。

　　4.WinNuke攻击

　　攻击类型:WinNuke攻击是一种拒绝服务攻击。

　　攻击特征:WinNuke攻击又称带外传输攻击，它的特征是攻击目标端口，被攻击的目标端口通常是139、138、137、113、53，而且URG位设为“1”，即紧急模式。

　　检测方法:判断数据包目标端口是否为139、138、137等，并判断URG位是否为“1”。

　　反攻

孙子兵法上说，知己知彼，百战不殆。要想有效的防范黑客对我们电脑的入侵和破坏，仅仅被动的安装防火墙是显然不够的，我们更应该了解一些常见的黑客入侵手法，针对不同的方法采取不同的措施，做到有的放矢。
　　1、木马入侵
　　木马也许是广大电脑爱好者最深恶痛绝的东东了，相信不少朋友都受到过它的骚扰。木马有可能是黑客在已经获取我们操作系统可写权限的前提下，由黑客上传的（例如下面会提到的ipc$共享入侵）；也可能是我们浏览了一些垃圾个人站点而通过网页浏览感染的（利用了IE漏洞）；当然，最多的情况还是我们防范意识不强，随便运行了别人发来的所谓的mm图片、好看的动画之类的程序或者是在不正规的网站上随便下载软件使用。
　　应对措施：提高防范意识，不要随意运行别人发来的软件。安装木马查杀软件，及时更新木马特征库。推荐使用the cleaner，木马克星。
　　2、ipc$共享入侵
　　微软在win2000，xp中设置的这个功能对个人用户来说几乎毫无用处。反而成了黑客入侵nt架构操作系统的一条便利通道。如果你的操作系统存在不安全的口令，那就更可怕了。一条典型的入侵流程如下：
　　（1）用任何办法得到一个帐户与口令（猜测，破解），网上流传有一个叫做smbcrack的软件就是利用ipc$来破解帐户口令的。如果你的密码位数不高，又很简单，是很容易被破解的。根据我的个人经验，相当多的人都将administrator的口令设为123，2003，或者干脆不设密码。
　　（2）使用命令net use \\xxx.xxx.xxx.xxx\ipc$“密码” /user:“用�