菜鸟学习初级教程-----强烈推荐(看完后成黑客拉)
菜鳥學習初級教程-----強烈推薦(看完后成黑客拉)
- 前言 黑客常用命令大全 net user heibai lovechina /add
加一個heibai的用戶密碼為lovechina net localgroup Administrators heibai /add
把他加入Administrator組 net start telnet 開對方的TELNET服務 net use
z:\127.0.0.1c$ 映射對方的C盤 net use \ip\ipc$ " " /user:" " 建立IPC空鏈接 net
use \ip\ipc$ “密碼” /user:“用戶名” 建立IPC非空鏈接 net use h: \ip\c$ “密碼”
/user:“用戶名” 直接登陸后映射對方C:到本地為H: net use h: \ip\c$ 登陸后映射對方C:到本地為H:
net use \ip\ipc$ /del 刪除IPC鏈接 net use h: /del 刪除映射對方到本地的為H:的映射 net
user 用戶名 密碼 /add 建立用戶 net user 查看有哪些用戶 net user 帳戶名 查看帳戶的屬性 net
user guest /active:yes 將Guest用戶激活 net user guest lovechina
把guest的密碼改為lovechina net user 用戶名 /delete 刪掉用戶 net user
guest/time:m-f,08:00-17:00 表示guest用戶登錄時間為周一至周 五的net user
guest/time:m,4am-5pm;t,1pm-m;w-f,8:00-17:00
表示guest用戶登錄時間為周一4:00/17:00,周二13:00/15:00,周三至周五8:00/17:00. net user
guest/time:all表示沒有時間限制. net user guest/time 表示guest用戶永遠不能登錄.
但是只能限制登陸時間,不是上網時間 net time \127.0.0.1 得到對方的時間。
SSL.TLS.WTLS原理(上)
一 前言
首先要澄清一下名字的混淆:
1 SSL(Secure Socket Layer)是netscape公司設計的主要用于web的安全傳輸協議
。這種協議在WEB上獲得了廣泛的應用。
2 IETF(www.ietf.org)將SSL作了標準化,即RFC2246,并將其稱為TLS(Transport
Layer Security),從技術上講,TLS1.0與SSL3.0的差別非常微小。由于本文中
沒有涉及兩者間的細小差別,本文中這兩個名字等價。
3 在WAP的環境下,由于手機及手持設備的處理和存儲能力有限,wap論壇(
www.wapforum.org)在TLS的基礎上做了簡化,提出了WTLS協議(Wireless
Transport Layer Security),以適應無線的特殊環境。
我們從各式各樣的文章中得知,SSL可以用于保密的傳輸,這樣我們與web server
之間傳輸的消息便是“安全的”。
而這種“安全”究竟是怎么實現的,最終有能實現多大程度的保密?本文希望能
用通俗的語言闡明其實現原理。
二 整體結構概覽
SSL是一個介于HTTP協議與TCP之間的一個可選層,其位置大致如下:
---------
| HTTP |
---------
| SSL |
---------
| TCP |
---------
| IP |
---------
如果利用SSL協議來訪問網頁,其步驟如下:
用戶:在瀏覽器的地址欄里輸入https://www.sslserver.com
HTTP層:將用戶需求翻譯成HTTP請求,如
GET /index.htm HTTP/1.1
Host http://www.sslserver.com
SSL層: 借助下層協議的的信道安全的協商出一份加密密鑰,并用此密鑰來加密
HTTP請求。
TCP層:與web server的443端口建立連接,傳遞SSL處理后的數據。
接收端與此過程相反。
SSL在TCP之上建立了一個加密通道,通過這一層的數據經過了加密,因此達到保
密的效果。
SSL協議分為兩部分:Handshake Protocol和Record Protocol,。其中Handshake
Protocol用來協商密鑰,協議的大部分內容就是通信雙方如何利用它來安全的協
商出一份密鑰。 Record Protocol則定義了傳輸的格式。
三 需要的加密方面的基礎知識
了解SSL原理需要一點點加密的概念,這里把需要的概念做一下簡單闡述:
加密一般分為三類,對稱加密,非對稱加密及單向散列函數。
對稱加密:又分分組密碼和序列密碼。
分組密碼是將明文按一定的位長分組,明文組經過加密運算得到密文組,密文組
經過解密運算
(加密運算的逆運算),還原成明文組。
序列密碼是指利用少量的密鑰(制亂元素)通過某種復雜的運算(密碼算法)產
生大量的偽隨機位流,用于對明文位流的加密。
解密是指用同樣的密鑰和密碼算法及與加密相同的偽隨機位流,用以還原明文位
流。
CBC(Cipher Block Chaining)模式這個詞在分組密碼中經常會用到,它是指一個
明文分組在被加密之前要與前一個的密文分組進行異或運算。當加密算法用于此
模式的時候除密鑰外,還需協商一個初始化向量(IV),這個IV沒有實際意義,
只是在第一次計算的時候需要用到而已。采用這種模式的話安全性會有所提高。
分組密碼的典型例子為DES,RC5,IDEA。
序列密碼的典型例子為RC4。
公鑰加密:
簡單的說就是加密密鑰與解密密鑰不同,分私鑰和公鑰。這種方法大多用于密鑰
交換,RSA便是一個我們熟知的例子。
還有一個常用的稱作DH,它只能用于密鑰交換,不能用來加密。
單向散列函數:
由于信道本身的干擾和人為的破壞,接受到的信息可能與原來發出的信息不同,
一個通用的辦法就是加入校驗碼。
單向散列函數便可用于此用途,一個典型的例子是我們熟知的MD5,它產生128位的
摘要,在現實中用的更多的是安全散列算法(SHA),SHA的早期版本存在問題,
目前用的實際是SHA-1,它可以產生160位的摘要,因此比128位散列更能有效抵
抗窮舉攻擊。
由于單向散列的算法都是公開的,所以其它人可以先改動原文,再生成另外一份
摘要。解決這個問題的辦法可以通過HMAC(RFC 2104),它包含了一個密鑰,只有
擁有相同密鑰的人才能鑒別這個散列。
四 密鑰協商過程
由于對稱加密的速度比較慢,所以它一般用于密鑰交換,雙方通過公鑰算法協商
出一份密鑰,然后通過對稱加密來通信,當然,為了保證數據的完整性,在加密
前要先經過HMAC的處理。
SSL缺省只進行server端的認證,客戶端的認證是可選的。以下是其流程圖(摘自
TLS協議)。
Client Server
Clienthllo -------->
Serverhllo
Certificate*
ServerKeyExchange*
CertificateRequest*
<-------- ServerhlloDone
Certificate
ClientKeyExchange
CertificateVerify*
[ChangeCipherSpec]
Finished -------->
[ChangeCipherSpec]
<-------- Finished
Application Data <-------> Application Data
簡單的說便是:SSL客戶端(也是TCP的客戶端)在TCP鏈接建立之后,發出一個
Clienth*llo來發起握手,這個消息里面包含了自己可實現的算法列表和其它一些
需要的消息,SSL的服務器端會回應一個Serverh*llo,這里面確定了這次通信所
需要的算法,然后發過去自己的證書(里面包含了身份和自己的公鑰)。Client
在收到這個消息后會生成一個秘密消息,用SSL服務器的公鑰加密后傳過去,SSL
服務器端用自己的私鑰解密后,會話密鑰協商成功,雙方可以用同一份會話密鑰
來通信了。
五 密鑰協商的形象化比喻
如果上面的說明不夠清晰,這里我們用個形象的比喻,我們假設A與B通信,A是
SSL客戶端,B是SSL服務器端,加密后的消息放在方括號[]里,以突出明文消息的
區別。雙方的處理動作的說明用圓括號()括起。
A:我想和你安全的通話,我這里的對稱加密算法有DES,RC5,密鑰交換算法有RSA
和DH,摘要算法有MD5和SHA。
B:我們用DES-RSA-SHA這對組合好了。
這是我的證書,里面有我的名字和公鑰,你拿去驗證一下我的身份(把證書發給A
)。
目前沒有別的可說的了。
A:(查看證書上B的名字是否無誤,并通過手頭早已有的CA的證書驗證了B的證書
的真實性,如果其中一項有誤,發出警告并斷開連接,這一步保證了B的公鑰的真
實性)
(產生一份秘密消息,這份秘密消息處理后將用作加密密鑰,加密初始化向量和
hmac的密鑰。將這份秘密消息-協議中稱為per_master_secret-用B的公鑰加密,
封裝成稱作ClientKeyExchange的消息。由于用了B的公鑰,保證了第三方無法竊
聽)
我生成了一份秘密消息,并用你的公鑰加密了,給你(把ClientKeyExchange發給
B)
注意,下面我就要用加密的辦法給你發消息了!
(將秘密消息進行處理,生成加密密鑰,加密初始化向量和hmac的密鑰)
[我說完了]
B:(用自己的私鑰將ClientKeyExchange中的秘密消息解密出來,然后將秘密消
息進行處理,生成加密密鑰,加密初始化向量和hmac的密鑰,這時雙方已經安全
的協商出一套加密辦法了)
注意,我也要開始用加密的辦法給你發消息了!
[我說完了]
A: [我的秘密是…]
B: [其它人不會聽到的…]
六加密的計算
上一步講了密鑰的協商,但是還沒有闡明是如何利用加密密鑰,加密初始化向量
和hmac的密鑰來加密消息的。
其實其過程不過如此:
1 借助hmac的密鑰,對明文的消息做安全的摘要處理,然后和明文放到一起。
2 借助加密密鑰,加密初始化向量加密上面的消息。
七 安全性
SecurityPortal在2000年底有一份文章《The End of SSL and SSH?》激起了很多
的討論,
目前也有一些成熟的工具如dsniff(http://www.monkey.org/~dugsong/dsniff/
)可以
通過man in the middle攻擊來截獲https的消息。
從上面的原理可知,SSL的結構是嚴謹的,問題一般出現在實際不嚴謹的應用中。
常見的攻擊就是
middle in the middle攻擊,它是指在A和B通信的同時,有第三方C處于信道的中
間,可以完全
聽到A與B通信的消息,并可攔截,替換和添加這些消息。
1 SSL可以允許多種密鑰交換算法,而有些算法,如DH,沒有證書的概念,這樣A
便無法驗證B的公鑰
和身份的真實性,從而C可以輕易的冒充,用自己的密鑰與雙方通信,從而竊聽到
別人談話的內容。
而為了防止middle in the middle攻擊,應該采用有證書的密鑰交換算法。
2 有了證書以后,如果C用自己的證書替換掉原有的證書之后,A的瀏覽器會彈出
一個警告框進行警告,但又有多少人會注意這個警告呢?
3 由于美國密碼出口的限制,IE,netscape等瀏覽器所支持的加密強度是很弱的
,如果只采用瀏覽器自帶的加密功能的話,理論上存在被破解可能。
SSL.TLS.WTLS原理(下)
八 代理
下面探討一下SSL的代理是怎樣工作的(可參見[6])。這可能與你開始想的不太一
樣:)
當在瀏覽器里設置了https的代理,而且在瀏覽器里輸入了
https://www.example.com之后,
瀏覽器會與proxy建立tcp鏈接,然后向其發出這么一段消息:
CONNECT server.example.com:443 HTTP/1.1
Host: server.example.com:443
然后proxy會向webserver端建立tcp連接,之后,這個代理便完全成了個內容轉發
裝置。瀏覽器
與web server會建立一個安全通道,因此這個安全通道是端到端的,盡管所有的
信息流過了proxy,
但其內容proxy是無法解密和改動的(當然要由證書的支持,否則這個地方便是個
man in the middle攻擊的好場所,見上面的討論)。
九 關于證書
注意,如果對于一般的應用,管理員只需生成“證書請求”(后綴大多為.csr)
,它包含你的名字和公鑰,然后把這份請求交給諸如verisign等有CA服務公司(
當然,連同幾百美金),
你的證書請求經驗證后,CA用它的私鑰簽名,形成正式的證書發還給你。管理員
再在web server上導入這個證書就行了。如果你不想花那筆錢,或者想了解一下
原理,可以自己做CA。
從ca的角度講,你需要CA的私鑰和公鑰。從想要證書的服務器角度將,需要把服
務器的證書請求交給CA.
如果你要自己做CA,別忘了客戶端需要導入CA的證書(CA的證書是自簽名的,導
入它意味著你“信任”這個CA簽署的證書)。
而商業CA的一般不用,因為它們已經內置在你的瀏覽器中了。
十 wtls
在WAP的環境中,也有安全加密的需求,因此wapforum參照在WWW世界里最為流行
的SSL協議設計了WTLS.從原理上說,這份協議與SSL是基本相同的,但在具體的地
方作了許多改動。這些改動的大多沒有什么技術上的需要,而是由于考慮到手持
設備運算與存儲的局限而盡量做了簡化。不過我的感覺是這些改動意義實在不大
,其獲得的計算和存儲上節省出來的時間和空間并不多。在硬件速度突飛猛進的
時代,這種改動能獲得的好處也許并不很多(一個新的協議便需要大量新的投入
,而且與原有體制并不兼容,關于這點有文章[7]做了精彩闡述,可參看)。
這里我簡單舉一些SSL與WTLS的差別。
1 WTLS在一般udp這類不可@@信道之上工作,因此每個消息里要有序列號,協議里
也要@@它來處理丟包,重復等情況。
此外,拒絕服務攻擊也因此變得更加容易。
2 WTLS建立的安全連接是在wap網關和手持設備之間,wap網關和web server之間
如果也要保密,便要采再用SSL,即在這種模型中無法實現端到端的加密。
| Mobile |----------->| WAP |---------->| WEB |
| Device |<-----------| Gateway |<----------|Server |
| | WTLS | | SSL | |
3 WTLS協議里加了一種成為key_refresh的機制,當傳遞了一定數量數據包后,雙
方通過同樣的算法將自己的密鑰做一下更新。付出了很小的代價,安全性得以增
強。
參考文獻
[1] SSL 3.0 SPECIFICATION
http://home.netscape.com/eng/ssl3/
[2] TLS
http://www.ietf.org/rfc/rfc2246.txt
[3] 《應用密碼學》
機械工業出版社
[4] The End of SSL and SSH?
http://securityportal.com/cover/coverstory20001218.html
[5] HTTP Over TLS
http://www.ietf.org/rfc/rfc2818.txt
[6] HTTP Upgrade to TLS
http://www.ietf.org/rfc/rfc2817.txt
[7] W* Effect Considered Harmful
http://www.4k-associates.com/IEEE-L7-WAP-BIG.html
[8] 智能卡數字加密技術
http://www.yicard.com/cardtech/smartcard/jiami/index.htm
[9] HMAC: Keyed-Hashing for Message Authentication
http://www.ietf.org/rfc/rfc2104.txt
關于MAC地址和IP地址的知識
在校園網絡中,最方便的搗亂方法就是盜用別人的IP地址,被盜用IP地址的計算
機不僅不能正常使用校園網絡,而且還會頻繁出現IP地址被占用的提示對話框,
給校園網絡安全和用戶應用帶來極大的隱患。捆綁IP地址和MAC地址就能有效地避
免這種現象。
何為MAC地址
網卡在使用中有兩類地址,一類是大家都熟悉的IP地址,另一類就是MAC地址
,即網卡的物理地址,也稱硬件地址或鏈路地址,這是網卡自身的惟一標識,就
仿佛是我們的身份證一樣,一般不能隨意改變。它與網絡無關,無論把這個網卡
接入到網絡的什么地方,MAC地址都是不變的。其長度為48位二進制數,由12個00
~0FFH的16進制數組成,每個16進制數之間用“-”隔開,如“00-10-5C-AD-72-E3
”。
如何查找MAC地址
1、在Windows 9x/2000/XP下單擊“開始/程序”,找到“MS-DOS方式”或“
命令提示符”。
2、在命令提示符下輸入:“Ipconfig/all”,回車后出現如附圖所示的對話
框,其中的“Physical Address”即是所查的MAC地址。
如何捆綁MAC地址和IP地址
進入“MS-DOS方式”或“命令提示符”,在命令提示符下輸入命令:ARP - s
10.88.56.72 00-10-5C-AD-72-E3,即可把MAC地址和IP地址捆綁在一起。
這樣,就不會出現IP地址被盜用而不能正常使用校園網絡的情況(當然也就
不會出現錯誤提示對話框),可以有效保證校園網絡的安全和用戶的應用。
注意:ARP命令僅對局域網的上網代理服務器有用,而且是針對靜態IP地址,
如果采用Modem撥號上網或是動態IP地址就不起作用。ARP命令的各參數的功能如
下:
ARP -s -d -a
-s:將相應的IP地址與物理地址的捆綁,如本文中的例子。
-d:刪除相應的IP地址與物理地址的捆綁。
-a:通過查詢ARP協議表顯示IP地址和對應物理地址情況。
3.IP地址和物理地址成對被盜用是怎么回事?
比如,在局域網中,由主機自動分配IP地址,或自己指定IP地址,
自動分配時,先開主機,然后下面的再開的機子自動分配IP為168.192.0.2,
168.192.0.3。。。依此推下去,或自己指定IP,如,主機(1號機)為
168.192.0.1,2號機為168.192.0.2,依此推下去,
在局域網絡里,IP地址分配好的情況下,比如,我現在做的是5號機,本來IP應該
是168.192.0.5,但我在設置指定IP時,改為168.192.0.2,這樣,就等于說,占
用了2號機的IP,當2號機再啟動時,就會出現提示說IP被占用,無法連接網絡,
造成上不了網或網絡共享訪問,簡單來講就是這樣了
解決的方法,就是把,那個IP和本機的網卡MAC地址捆綁,讓別的占用不成
org術語表1
? 1 0 0 B a s e - V G或者1 0 0 V G - A n y L A N—使用需求優先權傳輸數據包的一種速率為
1 0 0 M b p s的通信技術。
? 1 0 0 B a s e - X—1 0 0 M b p s的快速以太網標準,使用C S M A / C D訪問方法進行通信,具體說
明見標準IEEE 802.3u。
A
? access server (訪問服務器)—訪問服務器是將同步設備和異步設備連接到網絡、并為
同步通信和異步通信提供路由技術的一個單元。
? active hub (有源電纜接頭)—有源電纜接頭是在星形拓撲結構中連接結點的一種網絡
傳輸設備,每當數據信號通過集線器時,可以對其進行重建、重定時和放大。
? Address Resolution Protocol (地址解析協議, ARP)—一種基于T C P / I P的協議,利用該
協議,發送結點可以確定接收結點的M A C地址。
? American National Standards Institute (美國國家標準協會, ANSI)—這是致力于為各種
產品(包括網絡設備)建立標準的組織。
? American Standard Code for Information Interchange ( 美國信息交換標準碼, ASCII)—
一種8位字符編碼的方法,由9 6個大寫字母、小寫字母和數字另加3 2個非打印字符組成。
? analog (模擬)—模擬是一種可以連續變化的各種類型的傳輸,如正電壓和負電壓的電
波。
? A p p l e Ta l k—對等協議,用于網絡上多臺M a c i n t o s h計算機之間的通信。
? application-specific integrated circuit (專用集成電路, ASIC)—在芯片上定制的集成電
路,其中包括特殊的邏輯功能,如快速路由邏輯。
? Asynchronous Transfer Mode (異步傳輸模式, AT M )—采用信元、多通道和交換在同一
網絡上發送音頻、視頻和數據傳輸的傳輸方法。
? ATM attached device (AT M附屬設備)—將數據流轉換為AT M信元流,或者將AT M信元
流轉換成數據流的設備。
? ATM Forum (AT M論壇)—與ITU T一起,致力于AT M的L A N和WA N應用規范制定的
硬件供應商、電信服務提供商以及用戶的聯盟。
? ATM permanent virtual circuit (AT M永久虛擬電路, PVC)—一個專用電路,在兩個指
定端點之間具有預先配置的路徑一個固定分配的帶寬。
? ATM switch (AT M交換器) — 一個交換器,以AT M分層通信的方式對信元傳輸進行操
作。
? ATM switched virtual circuit (AT M轉換虛擬電路, SVC)—為分立的通信任務建立并使
用的電路,當該任務完成時,則拆卸該電路。
? attachment unit interface (連接單元接口, AUI)—是一種網絡接口,用來將同軸電纜、
雙絞線或光纖主干電纜連接到網絡結點如集線器、交換機或工作站上。接口由連接器、
電纜、接口回路和電氣特性的A U I標準組成。
? attenuation (衰減)—當信號沿通信介質從源(傳輸結點)發送到接收結點時,丟失的信
號量。
? Audio Video Interleave (音頻視頻交錯, AV I )—AV I是一種聲頻和視頻文件格式,為
Microsoft Windows 3.1或更高環境下的應用而開發。AV I對那些準備復制為短小的“片”
的視頻和音頻數據進行隔行掃描。
B
? backbone (主干)—一種高容量的通信介質,用于連接同一層、不同層或跨越長距離的
網絡。
? backbone cabling (主干布線)—根據E I A / T I A - 5 6 8標準的定義,主干電纜為在網絡設備
室、樓層和建筑物用的電纜。
? band rate (波特率)—波特率衡量數據傳輸速率,用來描述老式調制解調器的速度,在
一次信號振蕩時發出一個數據位。
? bandwidth (帶寬)—帶寬指通信介質的傳輸能力,通常以每秒多少位(數據傳輸)或赫茲
(對于數據、音頻和視頻傳輸)來衡量,并由最大傳輸能力減去最小傳輸能力決定。
? baseband (基帶)—基帶是一種傳輸類型。在基帶傳輸中,通信介質(如電纜)的整個通
道容量只被一個數據信號使用,從而在一定時間只有一個結點用于傳輸。
? Basic Rate Interface for ISDN (ISDN基本速率接口, BRI)—一種I S D N接口,由三個信
道組成。其中兩個6 4 K b p s的信道用于傳輸數據、語音、視頻和圖形。第三個1 6 K b p s信
道用于傳輸信令。
? batch (批處理)—不需要用戶或其他計算機系統干預的一個接一個的一系列處理過程。
處理大量數據或一系列復雜功能的計算機的維護工作通常采用這種方式,而且這種工作
通常是在夜間進行的。
? bayonet nut connector (同軸電纜接插件, BNC)—用于細同軸電纜,有一個卡銷一樣的
套。Male BNC有兩個旋鈕,插在female BNC的環形槽中。連接時,兩個接插件要絞在
一起。
? beaconing (信標)—信標是令牌環網中的錯誤狀態,表明有一個或一個以上的結點出現
操作異常。
? bidirectional interpolation (雙向插補)—雙向插補是一種視頻壓縮技術,在序列中影象
的前后影象里都存在與當前影象相同的部分,可以通過創建指向這部分的指針來壓縮
幀。
? bits per second (比特/秒, bps)—比特/秒是每秒發送的二進制位( 0或1 )的個數。
? bridge (網橋)—網橋是將使用相同的訪問手段的不同局域網段連接在一起的網絡傳輸
設備。例如,使用網橋將一個以太局域網連接到另一個以太局域網,或將令牌環局域網
連接到另一個令牌環局域網上。
? bridge protocol data unit (網橋協議數據單元, BPDU)—B P D U是網橋所用的專門的幀,
用來彼此間交換信息。
術語表計計295
? broadband (寬帶)—這種傳輸中,通信介質上有多個傳輸通道,允許在同一時刻有多
個結點進行傳輸。
? broadband ISDN (寬帶ISDN, B-ISDN)—當前正處于開發之中,該技術可以提供
1 5 5 M b p s或者更高的數據傳送速率。
? broadcast storm (廣播擾動)—當大量的計算機或設備要同時傳輸時,或者當計算機或
設備都要進行重復傳輸,網絡流量超負荷就會引起網絡帶寬飽和,稱之為廣播擾動。
? brouter (橋式路由器)—橋式路由器是充當網橋或路由器的一種網絡設備,具體是充當
網橋還是路由器,則要根據它轉發給定協議的方法而定。
? buffering (緩存)—緩存是一種設備,例如交換機,在存儲器中臨時存儲信息的能力。
? bus (總線)—總線是計算機中用來傳輸數據的一條路徑,例如,在C P U和連接在計算
機上的外設之間的通道。
? bus topology (總線結構)—總線結構是從一臺P C或文件服務器連接到另一臺的網絡設
計,就像鏈上的鏈接那樣。
C
? cable plant (電纜線路)—用來構成網絡的所有的通信電纜的數量。
? cableco—有線電視公司,如T C I。
? carrier sense (載波偵聽)—載波偵聽是檢驗通信介質如電纜等以確定電壓級別、信號轉
換等的過程,通過載波偵聽可以說明網絡上是否出現了載有數據的信號。
? Carrier Sense Multiple Access with Collision Detection (帶有沖突檢測的載波偵聽多路存
取, CSMA/CD)—C S M A / C D是以太網中使用的一種網絡傳輸控制方法。它通過檢查包
沖突來調整傳輸。
? cell (信元)—是用于高速傳輸的格式化數據單元,經常用在AT M中。
? cell switching (信元交換) — 一種使用T D M和虛擬通道的轉換方式,在每一個T D M時
間片的開頭都放置一個簡短的指示器或虛擬通道標識符。
? Challenge Handshake Authentication Protocol 難題握手鑒定協議( C H A P )— 用于對口令
加密的協議,例如在一個WA N上傳輸的服務器帳戶口令。
? channel bank (信道組)—信道組是在一個集中的位置組合了通信信道(如T- 1 )的大規模
多路轉接器。
? channel service unit (通道服務器, CSU)—這種設備是在網絡設備(如路由器)和T載波線
路之間的一個物理接口。
? circuit switching (電路交換)—電路交換技術是一種網絡通信技術,采用專用的信道在
兩個結點間傳輸信息。
? Classical IP over ATM (AT M上的經典IP) — AT M上I P的傳輸,一個嚴格集中于I P支持
的技術。
? Classless Interdomain Routing (無類別域間路由, CIDR)—一種新的I P編址方法,該方
法忽略了地址的類別設計,在點分十進制地址的后面使用一條斜線,用以指明可用地址
的總數目。
? coaxial cable (同軸電纜)—同軸電纜是一種網絡電纜介質,由被絕緣層包圍的銅芯組
成。絕緣層又被另外的傳導材料如編織導線包圍,傳導材料又由外層的絕緣材料覆蓋。
? collision (沖突)—沖突是在以太網上同時檢測到兩個或多個包時的狀態。
? community name (公用名)—網絡代理和網絡管理工作站使用的一個口令,其作用是不
讓它們的通信被未經授權的工作站或者設備輕易截取。
? community name (公共管理接口協議, CMIP)—該協議是O S I網絡管理標準的一部分,
用以收集網絡性能數據。
? Compressed Serial Line Internet Protocol (壓縮串行線路互連網協議, CSLIP)— S L I P遠
程通信協議的擴展,能夠提供比S L I P更快的吞吐量。
? computer network (計算機網絡)—計算機網絡是由通信電纜或無線電波鏈接的計算機、
打印機設備、網絡設備和計算機軟件系統。
? concentrator (集中器)—集中器是可以讓多個輸入和輸出同時活動的設備。
? connection-oriented service (面向連接的服務)—這是在L L C子層和網絡層間進行的
Type 2操作,提供了多種途徑來保證接收結點成功地接收到了數據。
? connectionless service (無連接服務)—無連接服務也就是常說的Type 1操作,是L L C子
層和網絡層間的服務,但是這里不能檢測數據是否已經確實到達了接收結點。
? current-state encoding (當前狀態編碼)—這是一種數字信號編碼方法,這里,對某信號
狀態分配一個二進制值,例如+ 5 v電壓為二進制值1,0 v為二進制值0。
? cut-through switching (開通式交換)—通過開通式交換這種交換技術在整個幀到達之前
來轉發幀的一部分。
? cyclic redundancy check (循環碼校驗, CDC)—C D C為一種錯誤校驗方法,這種方法中
要計算包含在幀中的整個信息域的大小,計算出來的值由發送結點的數據鏈接層插入到
靠近幀尾的位置,并又接收結點的數據鏈接層進行校驗,以確定是否出現了傳輸錯誤
術語表(2)
D
? data circuit equipment (數據電路設備, DCE)—在X . 2 5網絡上,D C E指的是一個分組交
換機或者P D N訪問設備。
? data link connection identifier (數據鏈路連接標識, DLCI)—在幀中繼網絡上用以標識
單個的虛擬連接。
? Data Link Control (數據鏈路控制, DLC)—設計用于與一個I B M大型機或微型機通信的
協議,它使用S N A通信。
? data service unit (數據服務器, DSU)—與C S U共同使用的一種設備,用于T載波線路上
的通信。D S U為接收網絡而轉換在線路上傳輸和接收的數據。
? data terminal equipment (數據終端設備, DTE)—在X . 2 5網絡上,D T E是指運行在分組
交換網絡上的終端、工作站、服務器和主計算機等。不管實際使用的設備到底是什么,
有時都將D T E設備稱為終端。
? data warehouse (數據倉庫)—一種數據庫訪問技術,這種技術將一個主機數據庫(例如,
大型機上的數據庫)復制到另外一個數據庫服務器上,目的是為了能夠在不中斷主機數
據庫的情況下創建報表或者瀏覽數據,一般情況下可以允許使用點擊型報表編寫工具。
? datagram (數據報)—X . 2 5的一種傳輸模式,在這種模式下,沒有使用特殊的通信信道,
常常導致數據不能以它們發送時的順序到達,因為每一個數據報可能會沿不同的路徑到
達目的地。
? demand priority (需求優先權)—一種數據通信技術,這種技術可以直接將信息包傳送
給目標結點,在傳輸過程中只經過一個集線器,無需經過其他的網絡結點。
? dense wavelength division multiplexing (密集波分多路復用, DWDM)—一種新出現的多
路復用技術,該技術使用單模光纖,可以在一條光纜上建立多個路徑同時進行數據傳輸。
? digital (數字式)—這是一種傳輸方法,其中不同的信號級都用二進制表示,如二進制0
和1分別代表0 v和+ 5 v。
? digital subscriber line (數字用戶線路, DSL)—一種使用高級調制技術的技術,該技術
可以在用戶和電話公司之間通過已有的電信網絡形成高速的網絡連接,其通信速度可以
高達6 0 M b p s。
? discovery (發現)—發現是路由器采用的一個過程,包括采集諸如網絡上有多少個結點
以及結點的位置等信息。
? Distance Vector Multicast Routing Protocol (距離向量廣播路由協議, DVMRP)—
D V M R P是一種與R I P共同工作的多點廣播(也稱多點傳送)協議,可確定哪個工作站被預
定給了多點傳送。
? Domain Name Service (域名服務, DNS)—一種T C P / I P應用協議,該協議可以將計算機
的域名轉換為I P地址,或者將I P地址轉換為域名。
? dotted decimal notation (點分十進制表示法)—一種編址技術,該技術將四個8位字節,
例如1 0 0 0 0 11 0 . 11 0 111 1 0 . 11 0 0 1 0 11 . 0 0 0 0 0 1 0 1 ,轉換成十進制表示( 例如,
1 3 4 . 2 2 2 . 1 0 1 . 0 0 5 ),用以標識網絡和網絡上的單個主機。
? d r i v e r (驅動程序)—驅動程序是一種軟件,可使計算機與N I C、打印機、顯示器和硬盤
驅動器進行通信。每一個驅動程序都有其特定的目的,例如,處理以太網通信。
? dynamic addressing (動態編址)—一種編址方法,在這種方法中,無需網絡管理員將I P
地址“硬編碼”在設備的網絡配置中便可以實現I P地址的分配。
? Dynamic Host Configuration Protocol (動態主機配置協議, DHCP)—一種網絡協議,通
過D H C P,服務器可以自動地將一個I P地址分配給其網絡上的某個設備。
? dynamic routing (動態路由)—在動態路由這種路由進程中,路由器不停地檢查網絡的
配置,自動更新路由表,并自己來決定如何路由包。
E
? electromagnetic interference (電磁干擾, EMI)—電磁干擾是馬達等電力設備引起的磁力
場產生的信號干擾。
? electronic data interchange (電子數據交換, EDI)—使用電子方法在計算機或電話網絡
上傳輸商業、組織和個人數據。
? Electronic Industries Alliance (電子工業聯合會, EIA)—這是發展網絡布線標準和電子
接口標準的標準化組織。
? encapsulation (封裝)—封裝是在網絡間轉換幀的過程。在這一進程中,要將一種類型
的網絡的數據幀放入另一網絡使用的頭部,使得新的頭的作用如同發信時的信封。
? enterprise network (企業網)—企業網是L A N、M A N或WA N的組合,為計算機用戶提
供一系列計算機和網絡資源,以完成各種工作。
? Ethernet (以太網)—以太網是使用C S M A / C D訪問方法進行網絡數據傳輸的一種傳輸系
統。以太網一般是通過總線或總線—星型拓撲結構實施的。
? Extended Binary Coded Decimal Interchange Code (擴充二進制編碼十進制交換碼,
E B C D I C )—這是一種主要用于I B M大型機的字符編碼技術,對2 5 6個字母、數字和特
殊字符組成的字符集進行8位編碼。
? E x t r a n e t—一種用WA N鏈路連接兩個或者多個I n t r a n e t所形成的網絡。
F
? farm (群)—放置在同一個地方的一組計算機主機(例如大型機)或服務器或兩者都有,
例如放置在一個機房內。
? Fast Ethernet (快速以太網)—傳輸速度在1 0 0 M b p s的以太網通信,其詳細說明見標準
IEEE 802.3u。
? fat pipe (粗管)—用于網絡主干(如在建筑物的樓層間)以進行高速通信的光纖電纜。
? Fiber Distributed Data Interface (光纖分布式數據接口, FDDI)—F D D I是一種光纖數據
傳輸方法,采用的拓撲結構為雙環拓撲,其傳輸速度可達1 0 0 M b p s。
? f i b e r-optic cable (光纖電纜)—光纖電纜是一種通信電纜,由兩個或多個玻璃或塑料光
纖芯組成,這些光纖芯位于保護性的覆層內,由塑料P V C外部套管覆蓋。沿內部光纖進
行的信號傳輸一般使用紅外線。
? File Transfer Protocol (文件傳輸協議, FTP)—一種T C P / I P應用協議,該協議以批數據
流的方式傳輸文件,是一種在I n t e r n e t上廣泛使用的協議。
? firewall (防火墻)—防火墻是用來保護數據免受外界訪問的軟件或硬件,也可以防止網
絡中數據泄露到外面。
? firmware (固件)—固件是一種存儲在R O M等設備的芯片上的軟件。
? flow control (流控制)—流控制過程用來確保設備發送信息時的速度不高于接收設備的
接收速度。
? fractal image compression (不規則圖象壓縮)—不規則圖象壓縮是一種視頻壓縮技術,
利用不規則圖象片、復制圖象和映射的特性來壓縮幀。
? frame (幀)—有時“幀”一詞可以與“包”交換使用,但幀指的是網絡上傳輸的數據單
元,其中包含與開放系統互連( O S I )的數據鏈接層(即第2層)相應的控制信息和地址信息。
? frame relay (幀中繼)—一種通信協議,使用分組交換和虛擬電路技術進行分組傳輸,
該技術通過將大量的差錯檢驗功能留給中間結點,可以獲得較高的數據傳輸速率。
? frequency-division multiple access ( 頻分多路訪問技術, FDMA)—頻分多重訪問技術在
一種通信介質上通過給每一個信道確立不同的頻率來創建不同的信道。
? full-duplex (全雙工)—全雙工是指可以同時發送、接收信號的能力。
G
? gateway (網關)—網關是一種網絡設備,可使不同類型的網絡間相互通信,如在復雜
的協議間或不同的E- m a i l系統間進行通信。
H
? half-duplex (半雙工)—半雙工是指可以發送接收信號、但不能同時進行的能力。
? hop (跳)—跳是幀或包從一個網絡向另一個網絡點對點的運動。
? horizontal cabling (水平布線)—根據E I A / T I A - 5 6 8標準的定義,水平布線為在同一工作
區域中連接工作站和服務器的布線。
? host (主機)—主機是具有操作系統的,多臺計算機可同時訪問其文件、數據和服務的
計算機(包括大型機、小型機、服務器或工作站)。程序和信息可在主機上進行處理,或
下載到訪問計算機(客戶機)上來處理。
? hub (集線器)—集線器是將各個單獨的電纜段或單獨的L A N連接在一起成為一個網絡
的中央設備。
? hybrid fiber/coax (混合光纖/同軸, HFC)電纜—這種電纜由電纜護套組成,電纜護套中
包含著光纖和銅電纜的組合。
I
? impedance (阻抗)—阻礙電流流動的總值。
? Institute of Electrical and Electronics Engineers (電氣電子工程師協會, IEEE)—這是由
一群科學家、工程師、技術人員和教育家組成的組織,在開發網絡布線和數據傳輸標準
方面起著領導作用。
? Integrated Services Digital Network (綜合業務數字網, ISDN)—一種在電話線上傳輸數
據服務的網絡標準,當前的實際速率為1 . 5 3 6 M b p s,理論上可以達到6 2 2 M b p s的傳輸速
率。
? Integrated Services Digital Network (綜合服務數字網, ISDN)—I S D N是在電話線上用
信道的組合來傳遞音頻、數據和視頻服務的WA N技術。
? International Organization for Standardization (國際標準化組織, ISO)—I S O是一國際組
織,致力于建立通信和網絡標準,其最為突出、廣為人知的貢獻是建立了網絡協議標
準。
? International Telecommunications Union (國際通信聯盟, I T U )—I T U是國際上致力于規
定遠程通信標準的組織,例如,它為調制解調器和WA N通信制訂了標準。
? Internet Engineering Task Force ( Internet工程任務組, IETF)—I E T F是I S O C的左膀右
臂,致力于與Internet 相關的技術問題。
? Internet Function (互連功能, IWF) — 一個標準,為在AT M上實現幀中繼提供重新映射
及封裝功能。
? Internet Group Management Protocol (互聯網分組管理協議, IGMP)—在多點傳送中使
用的協議,其中含有接收用戶的地址,服務器使用它來通知路由器哪一個工作站屬于多
點傳送組。
? Internet —Internet 是由許許多多網絡設備和多種通信方法鏈接的成千上萬的小型網絡
的集合。
下載
? Internet Packet Exchange (網間包交換, IPX)— 由N o v e l l開發的用在它的N e t Wa r e文件
服務器操作系統上的協議。
? Internet Protocel(Internet 協議, I P )—該協議與T C P或U D P結合使用,通過采用點分
十進制編址,使包到達本地或遠程網絡上的目標地點。。
? Internet Society (Internet 協會, ISOC)—I S O C是一家非盈利的國際組織,主辦會議和
出版物,并監督Internet 標準的執行。
? internetworking (網絡互連)—網絡互連是將相同或不同類型的網絡連接在一起以便相
互通信的過程。
? I n t r a n e t—某個公司組織的私有網絡,在該網絡中,可以和I n t e r n e t一樣使用相同的基
于We b的網絡工具,但是對公眾的訪問有嚴格的限制。I n t r a n e t通常由一個L A N上的一個
或者多個子網或者V L A N組成。
J
? jamming (阻塞)—交換機使用的一種數據流量控制技術,用來指示由于大量數據引起
的交換機過載。在這種方式中,交換機通過倍增載波信號來模擬沖突。
? jitter (抖動)—抖動是網絡上延遲不定的具體表現,抖動會在聲頻重放時引起明顯的錯
誤,如播放聲頻時的雜音等。
? Joint Photographic Experts (聯合圖像專家組, JPEG)壓縮—J P E G壓縮是使用有失真壓
縮技術的壓縮標準,由I S O和I T U - T專為靜態圖像制訂
術語表(3)
L
? LAN Emulation (LAN仿真, LANE)—用于使AT M適應于以太網的技術,它創建一個多
點傳送的網絡,使得預先配置的以太網結點組能夠接收傳輸。
? LAN emulation (局域網仿真)—局域網仿真是一種網絡集成方法,用以在相連的L A N
上格式化所有的包以與AT M通信單元(信元)的外型匹配。
? latency (延遲)—延遲是指網絡信息從傳輸設備發送到接收設備所用的時間。
? line-to-line (視線傳輸)—視線傳輸是一種無線電信號傳輸的類型,其中,信號從一點
向另一點傳輸,而不是在大氣中彈跳,從而可以跨越國家或洲的界限。
? local area network (局域網, LAN)—局域網是一系列互連的計算機、打印設備和其他計算
機設備,它們之間共享硬件和軟件資源。局域網通常僅限于給定辦公地點、樓層或大樓中。
? local bridge (本機橋)—本機橋是連接臨近網絡的網絡設備,可以用來將網絡的一部分
分段以緩解網絡流量繁忙的問題。
? local management interface extension (局部管理接口擴展)—添加在幀中繼幀上的擴展,
可以提供附加的功能,例如多點傳送。
? local router (本地路由器)—本地路由器是在同一座大樓或臨近的大樓之間(例如在同一
商業區)連接網絡的一種路由器。
? Logical link control (邏輯鏈路控制, LLC)—這是O S I模型的數據鏈接子層,用來發起
結點間的通信鏈接,確保鏈接不會無意識地中斷。
? lossy compression (有失真壓縮)—有失真壓縮是一種壓縮圖像的方法,它刪除一定百
分比的顏色,使得當圖像解壓縮時,肉眼不會觀察到顏色中細微的變化。
? low earth orbiting satellites (低軌衛星, LEO)—一種通信衛星網絡,這種通信衛星距離
地面的高度大約在4 3 5到1 0 0 0英里之間。
M
? Management Information Base (管理信息庫, MIB)—存儲網絡性能信息的數據庫,該
數據庫被存放在網絡代理上,可以從網絡管理工作站上進行訪問。
? Manchester encoding (曼徹斯特編碼)—這是一種狀態轉換編碼形式,其中,從低向高
的轉換為二進制0,高向低轉換為二進制1。
? media access control (介質存取控制, MAC)—這是數據鏈接層的子層,用來檢查網絡
幀中包含的地址信息,并控制同一網絡上設備共享通信的方式。
? meshed architecture (網絡體系)—一種網絡體系,其中有多個備用網絡路徑,如果一
個路徑失效,發送設備會自動地重新路由到另外一個路徑,不需要用戶干預。
? message switching (報文交換)—這種交換方法將數據從一點發送到另一點,每一個中間
結點都可存儲數據、等待閑置的傳輸信道,并在到達目的地后,將數據提交給下一個點。
? metric (度量)—度量是由路由器計算出來的,反映了有關特定傳輸途徑的信息,如路
徑長度、下一跳的負載、可用的帶寬和路徑可靠性等。
? metropolitan area network (城域網, MAN)—城域網是在一大型城市或地區鏈接多個
L A N的網絡。
? Microcom Network Protocol (Microcom網絡協議, MNP)—M N P是一套調制解調器的服
務級別,可以提供有效的通信、錯誤校驗、數據壓縮和高輸入輸出總和等能力。
? modem (調制解調器)—調制解調器將計算機輸出的數字信號轉換為電話線路可以傳輸
的模擬信號,然后在接收端將輸入的模擬信號轉換為計算機可以理解的數字信號。
? Moving Open Shortest Path First Protocol (運動圖像專家組, MPEG)壓縮—M P E G是由
I S O中的M P E G建立的視頻壓縮標準。
? multicast (多點傳送)—一種傳輸方法,在這種方法中,服務器將需要一個特定多媒體
傳輸的用戶組合成一組。每個數據流只發送一次,但是到達多個地址,而不是分別給每
個地址發送一次數據。
? Multicast Open Shortest Path First Protocol (廣播開放最短路徑優先協議, MOSPF)—
M O S P F是一種多點廣播路由協議,在為多點廣播傳輸尋找從源到目標的最短路徑時,
與O S P F相仿。
? multiple system operator(MSO)—這是提供WA N或Internet 服務的一家有線電視公司。
? multiplexer (多路器)—多路器是一種轉換器,將一種通信介質分成多個通道,從而結
點可以同時進行通信。當信號被多路傳送時,在另一端也必須要多路轉換。
? Multiprotocol over ATM (AT M上的多協議, MPOA)—一種通信技術,使得多協議的通
信量能夠在AT M上選擇路由。
? multistation access unit (多站訪問部件, MAU)—M A U是將許多令牌環結點鏈接到一個
在物理上很像星型結構的拓撲結構上的中央集線器,但在M A U中,包在邏輯上是以環
形結構進行傳輸的。
302計計局域網/廣域網的設計與實現
下載
? multistation access unit (多站訪問部件, MAU)—多站訪問部件將令牌環結點鏈接到一
個物理上像星形但數據信號在邏輯的環形上傳輸的一種拓撲結構上。
N
? National Television Standards Committee (國家電視制式委員會, NTSC)—N T S C是為電
視廣播傳輸建立標準的一個組織。由N T S C制訂的電視信號傳輸標準利用了5 2 5條垂直掃
描線,每秒可傳輸3 0個幀。
? NetBIOS Extended User Interface (NetBIOS擴展用戶接口, NetBEUI)— 由I B M在8 0年
代中期開發,此協議集成了N e t B I O S,用于在網絡上進行通信。
? Network Basic Input/Output System (網絡基本輸入/輸出系統, NetBIOS)— 將軟件與網
絡服務相接口的方法,包括提供為工作站和服務器提供一個網絡命名慣例。
? Network Control Protocol (網絡控制協議, NCP)—A R PA N E T網絡協議,其使用要早于
T C P / I P,但是其功能逐漸被T C P / I P取代。
? Network Device Interface Specification (網絡驅動程序接口規范, NDIS)—由微軟為網
絡驅動器開發的一系列標準,使得一個N I C和一個或多個協議進行通信成為可能。
? Network File System (網絡文件系統, NFS)Protocol—T C P / I P文件傳輸協議,該協議使
用記錄流而不是使用成批文件流來傳輸信息。
? Network Node Interface (網絡結點接口, NNI)—一個AT M接口,用于兩個AT M交換機
之間的連接,有時候也稱為網絡到網絡的接口。
? network traffic (網絡信息流通量)—網絡信息流通量是指給定時間內,網絡上傳輸的包
的數量、大小和頻率。
? Next Hop Resolution Protocol (下一轉發分辨協議, NHRP)— 一個協議,當多個網絡通
過AT M連接時,它使得一個網絡上的發送結點能夠判斷出要使用的數據鏈路層的地址,
以便到達另一個網絡上的目標結點。
? Open Database Connectivity (開放數據庫互連, ODBC)—由微軟開發的一種數據庫訪問
規則和過程,其目的是作為所有類型的關系數據庫的一個標準。
? Open Datalink Interface (開放數據鏈路接口, ODI)— 由Novell NetWa r e使用的驅動器,
用于在多個網絡上傳輸多個協議。
? Open document Architecture (開放文檔體系結構, ODA)—O D A是I S O的標準,是為綜
合包含文本、圖像、聲音和其他表示模式的專門格式化的文檔而制訂的。
? Open Shortest Path First (開放最短路徑優先, OSPF)—開放最短路徑優先是路由器采用
的一種路由協議,用來與其他路由器交流有關到其他結點的直接鏈接等信息。
? Open Systems Interconnection (開放系統互連, OSI)—O S I由I S O和A N S I開發,是一個7
層的模型,為網絡上的硬件和軟件通信提供一種體制。
術語表計計303
304計計局域網/廣域網的設計與實現
下載
? packet (包)—包是為方便在網絡上傳輸而格式化了的數據單元,其中含有與O S I網絡
層(即第3層)相應的控制信息及其他信息。
? packet assembler/disassembler (分組組裝/拆裝器, PA D )—一種將分組封裝為X . 2 5格式
并且添加X . 2 5地址信息的設備。當分組到達其目的L A N之后,PA D會把X . 2 5格式信息去
掉。
? packet radio (無線電分組通信)—以短脈沖串的形式通過無線電波傳輸帶有數據的包的
過程。
? packet switching (包交換)—包交換是一種數據傳輸技術,它在兩個傳輸結點之間建立
起一個邏輯信道,并不停地在許多不同的路徑之間發現到達目的地的最好的路由路徑。
? partition (分區)—分區即在段的一部分出現故障時關閉電纜段。
? passive hub (無源插孔)—無源插孔是用來以星形拓撲結構連接結點的一種網絡傳輸設
備,當數據信號通過集線器從一個結點傳到另一個結點時,不執行信號放大。
? Password Authentication Protocol (口令驗證協議, PA P )—當在一個WA N上訪問一個服
務器或宿主計算機時,用于驗證帳戶口令的協議。
? peer protocols (對等協議)—用來使發送結點的O S I模型的各層與相應的接收結點層進
行通信的協議。
? permanent virtual circuit (永久虛擬電路, PVC)—一種通信信道,一直處于連接狀態,
不管該結點是否在進行通信。
? phase alternation line (逐行倒相, PA L )—PA L是一種電視傳輸標準,主要用在非洲、歐
洲、中東和南美洲,它采用了2 5條垂直掃描線,每秒傳輸2 5幀。
? plain old telephone service (簡易老式電話業務, POTS)—規則的語音級電話業務。
? plenum area (高壓電纜)—這是一種用特氟綸做套的電纜,由于它在燃燒時不會放射有
毒的氣體,所以經常用在高壓地區。
? plenum area (高壓地區)—高壓地區是封閉的地區,其間的大氣壓要比外界的氣壓高,
尤其在燃燒時更是如此。建筑物中的高壓地區經常可以發展到多個房間或在整個樓層中
蔓延,高壓地帶包括通風和加熱管道。
? Point-to-Point (點到點協議, PPP)— 一個廣泛使用的遠程通信協議,支持I P X / S P X、
N e t B E U I以及T C P / I P通信。
? power budget (功率分配)—對于光纖電纜通信,功率分配是發送功率和接收器的敏感
性之間的差別,以分貝來衡量。這是信號可以被發送并完好地接受所需要的最小的發送
器功率和接收器敏感性。
? predicted encoding (預測編碼)—預測編碼是一種視頻壓縮技術,幀的前一幀具有與其
相同的圖像部分,可創建指向這一部分的指針來壓縮幀。
? Primary Rate Interface ISDN (ISDN主速率接口, PRI)—I S D N的一種接口,由多個速率
為1 . 5 3 6 M b p s的交換式通信組成。
? primitive (原語)—原語是將O S I協議棧某層的信息傳輸到另一層(如從物理層傳到數據
鏈接層)的命令。
? Private Network-to-Network Interface(私有網絡到網絡接口, PNNI)—一個AT M路由選
擇協議,最通常使用在與S V C的連接上。
? private automated branch exchange (專用自動交換機, PA B X )—專用自動交換機是一種
專用的自動的電話系統,,但是仍然保留有人工電話總機控制板。
? private branch exchange (專用分組交換機, PBX)—專用分組交換機是一種專用的電話
系統,可以與當地的電話系統相連,也可以不連,它也有一個人工的電話總機控制板。
? private branch exchange (自動用戶交換機, PA X )—自動用戶交換機是一種完全自動的
(沒有電話總機控制板)的專用電話系統。
? promiscuous mode (混合模式)—在混合模式中,在向網絡其他連接的段發送幀之前,
網絡設備就可以讀取幀的目標地址。
? protocol (協議)—協議是人們建立的一套用以指定網絡數據如何格式化為包、如何傳
輸、在接收端如何翻譯的標準。
? protocol data unit (協議數據單元, PDU)—在同一個O S I協議棧的各層之間傳輸的信息。
? Protocol Independent Multicast (協議無關廣播, PIM)—協議無關廣播是一種多點傳送
路由協議,與采用O S P F或R I P為主路由協議的網絡兼容。
? public switched telephone network (公用電話交換網絡, PSTN)—語音級電話服務。
Q
? Quality of Service (服務質量, QoS)—這是衡量網絡傳輸、質量輸入輸出總和和可靠性
的手段。
術語表(4)
R
? radio frequency interference (無線電頻率干擾, RFI)—因為電氣設備發射的無線電波頻
率與網絡信號傳輸使用的頻率相同而引起的信號干擾為無線電頻率干擾,也稱射頻干
擾。
? R e a l - Time protocol (實時協議, RT P )—實時協議是為實時多媒體應用程序如視頻會議
等開發的多點傳送協議。
? R e a l - Time Transport Control Protocol (實時傳輸控制協議, RT C P )—實時傳輸控制協議
與RT P協同工作,在多點廣播傳輸上提供專門的控制。,如在缺少帶寬時,將彩色降級
為單色。RT C P也提供管理信息。
? redirector (轉向器)—轉向器是一種通過應用層使用的服務,用來識別并訪問其他計算
機。
? redundancy (冗余)—提供額外的電纜和設備來保證計算機和計算機系統能夠連續地工
作,甚至在一個或多個網絡或計算機單元出現故障時仍能正常工作。
? regional Bell operating company, (RBOC)—這是為指定地區提供電話業務的電信公司。
? remote bridge (遠程網橋)—遠程網橋是穿越同一個城市、在城市之間、在州之間連接
網絡以創建一個大網絡的設備。
? Remote Network Monitoring (遠程網絡監控, RMON)—一種利用遠程網絡結點(例如工
作站或者網絡設備)執行網絡監控的標準,其功能包括收集信息進行網絡協議分析。可
以在網絡的遠程部分設立監測器,例如中間可以經過一些網橋或者路由器。
? remote router (遠程路由器)—遠程路由器是跨越極廣的地理區域(如城市之間、州之間
和國家之間)將網絡連到WA N中的網絡設備。
術語表計計305
? repeater (轉發器)—轉發器是將包放大并重新定時、以讓它沿所有連接在轉發器上的
輸出電纜段發送的網絡傳輸設備。
? Request for Comment (請求注釋, RFC)—請求注釋是為推動網絡互連、Internet 和計算
機通信而發布的信息文檔。Internet 工程組( I E T F )負責對R F C進行分類和管理。
? Resource Reservation Protocol (資源預訂協議, RSVP)—資源預訂協議用于基于T C P / I P
的網絡中,可使應用程序能夠預訂所需要的計算機和網絡資源,如帶寬、緩沖、最大脈
沖串和服務級別等。R S V P的英文全寫為Resource Reservation Protocol ,有時也寫作
Resource Reservation Setup Protocol。
? Reverse Address Resolution Protocol(反向地址解析協議, RARP)—一種網絡協議,網
絡結點上的軟件應用或者網絡結點本身可以利用該協議確定它自己的I P。
? ring topology (環形拓撲)—在環形拓撲結構中,網絡是由數據的連續路徑構成的,沒
有起始點和終止點,因此也就沒有終結器。
? riser cable (上升電纜)—垂直電纜的另一個稱呼,指大樓內各樓層間連接用的電纜。
? router (路由器)—路由器是連接訪問方法相同或不同的網絡的網絡設備,如路由器可
以將以太網與令牌環網相連。路由器根據源于網絡管理員的路由表數據、發現的最有效
的路由和預編程信息,使用決策進程來向網絡提交包。
? Routing Information Protocol (路由信息協議, RIP)—路由信息協議是路由器用來與其
他路由器交流整個路由表的協議。
S
? scan lines (掃描線)—掃描線用來構造電視視頻圖像。掃描線中含有圖像的片面視圖,
并從上到下在顯示器上顯示。在美國,一個電視幀由5 2 5掃描線組成。
? Secure Sockets Layer (加密套接字協議層, SSL)—S S L是一種在服務器和客戶端采用的
數字加密技術,例如在客戶端的瀏覽器和Internet 服務器之間可以使用S S L。
? segment (段)—段是符合I E E E規范的一條電纜,如一段1 8 5米長帶有3 0個結點(包括終
結器和網絡設備)的10Base2 電纜。
? Sequence Packet Exchange (序列包交換, SPX)—一個N o v e l l協議,當對數據可靠性有
特殊要求時,用于應用軟件的網絡傳輸。
? serial Line Internet Protocol (串行線路互連網協議, SLIP)— 一個電信網絡的WA N協
議,用于在兩個電信載波之間建立最快的路由。
? Service data unit (服務數據單元, SDU)—S D U是一種已經在O S I層間進行過轉換并刪除
了其中的控制信息和轉換指令的協議數據單元。
? service level agreement (服務標準協議, SLA)—WA N服務提供商提出的服務標準書面
保證,包括線路必須有效的最小時間。
? shielded twisted-pair cable (屏蔽雙絞線, STP)—屏蔽雙絞線是一種網絡電纜,由絞在
一起的絕緣電線對組成,并包圍著一層屏蔽材料,以進行E M I和R F I保護。所有這些都
處在一個保護套管中。
? Simple Network Management (簡單網絡管理協議, SNMP)—T C P / I P協議套中的一個協
議,計算機或者網絡設備可以通過該協議收集關于網絡性能的標準化數據。
306計計局域網/廣域網的設計與實現
下載
? spanning tree algorithm (生成樹算法)—生成樹算法是用以確保幀不會無限循環傳輸的
軟件,并可以使幀沿成本最低最有效的網絡路徑傳輸。
? spread-spectrum communications (傳播光譜技術)—這種通信技術主要用在無線網絡
中,在網絡間進行高頻率通信時可以用它來替代電纜。
? star topology (星形拓撲)—這是最古老的一種網絡設計,整個網絡是由多個連接在集
線器上的結點構成。
? stateful autoconfiguration (有狀態自動配置)—一種利用網絡管理軟件,基于網絡管理
員給出的一組參數自動分配I P地址的技術。
? stateless autoconfiguration (無狀態自動配置)—一種分配I P地址的方法,在該方法中,
網絡設備自己給自己分配地址。
? state-transition encoding (狀態轉換編碼)—這是一種檢驗信號狀態的改變(如從高到低、
從低到高等)的數字編碼方法。
? static routing (靜態路由)—靜態路由是一種路由進程,包括對網絡管理員根據預先調
試的路由指令而做出的路由決定的控制。
? statistical multiple access (統計多路訪問)—統計多路訪問是根據任務所需分配通信資
源的一種交換方法,例如,給視頻文件分配更多的帶寬,而給較小的電子表文件分配較
少的帶寬。
? store-and-forward switching (存儲轉發交換)—在存儲轉發交換技術中,包可以被緩存,
直到完全接收后再發送,并且網絡上有一條開放的信道可以發送包。
? streaming (流)—在從網絡接收來的M P E G視頻文件完全下載之前播放。
? subnet mask (子網模)—子網模(也稱子網掩碼)是I P地址的某個確定的部分,用于指明
一個網絡的地址類別,可以利用它將網絡分成子網,以便進行網絡流量管理。
? Switched Multimegabit Data Services (交換多兆位數據服務, SMDS)—也叫做交換式兆
位數據服務,是一種由地區電話公司開發的傳輸方法,利用該技術可以在M A N和WA N
上提供基于信元的高速通信。
? switched virtual circuit (交換虛擬電路, SVC)—為持續的通信會話而創建的一種通信信
道,通常位于可以處理多個信道的介質上。
? synchronous communications (同步通信)—由數據的連續脈沖串進行的通信,而且數
據的連續脈沖串要受每一個脈沖串起始位置的時鐘信號控制。
? synchronous communications (異步通信0—異步通信發生離散的單元中,在離散單元
里,單元的開始位置由前面的開始位標示,終止位由單元最后的停止位給出信號。
? synchronous optical network (同步光纖網絡, ONET)—一種光纖通信技術,可以進行高
速的數據通信(每秒在兆位以上)。基于S O N E T的網絡可以完成語音、數據和視頻通信。
? System Network Architecture (系統網絡結構, SNA)—系統網絡結構是I B M使用的一種
分層通信協議,以便I B M主機和終端進行通信。
? Systeme Electronique Pour Couleur Avec Memoire (順序與存儲彩色電視系統, SECAM)
—順序與存儲彩色電視系統是一種與PA L相似的電視傳輸標準,但是是用在法國、俄
國和非洲的一些國家。
T
? T-carrier (T載波)—T載波是可用于數據通信的專用電話線路,將兩個不同的位置連接
起來,以進行點對點的通信。
? TCP port (TCP端口)—與虛擬電路類似的一種功能,通過T C P端口,位于兩個通信結
點或者設備上的單個進程之間可以進行通信。每個通信的進程都有自己的端口號,在有
多個進程同時進行通信的時候,可以使用多個端口。
? telco—地區的電話公司,如US We s t。
? Telecommunications Industry Association (通信工業聯合會, TIA)—T I A是E
術語表(5)
I A中的建立
標準的一個實體,主要開發遠程通信和布線標準。
? television frame (電視幀)—電視幀是一系列圖片中用來模仿動作的一幅完整的圖片。
? Te l n e t—一種T C P / I P應用協議,可以提供終端仿真。
? terminal (終端)—終端是具有監視器和鍵盤的設備,但對本地處理而言是沒有C P U的。
終端與主機相連,處理過程均在主機上完成。
? terminal adapter (終端適配器, TA )—終端適配器是將計算機或傳真機連接在I S D N線路
上的設備。終端適配器可將數字信號轉變為可以在數字電話線路上發送的協議。
? terminal emulation (終端仿真)—用軟件來使計算機(如P C )的行為類似于終端。
? time-division multiple access (時分多路訪問技術)—這種交換方法通過劃分時間槽(每
個時間槽對應一臺設備,設備從中可以進行信號傳輸)使得多個設備可以在同一種通信
介質上進行通信。
? token ring (令牌環)—這是由I B M公司于7 0年代開發的一種訪問方法,它仍然保留著主
要的L A N技術。這種傳輸方法在物理上采用星形拓撲結構,而在邏輯上采用環形拓撲結
構。雖然在令牌環網中,每一個結點也連接在中央集線器上,但包在結點到結點間進行
傳輸時就好像沒有開始點和終止點一樣。
? topology (拓撲結構)—拓撲結構是電纜上發送包所遵循的電纜的物理布局和邏輯路徑。
? translation (轉換)—轉換是一種傳輸協議轉變為另一種傳輸協議的方法。
? translational bridge (轉換網橋)—轉換網橋是使用不同傳輸協議的網絡間的網橋,它可
以向網絡傳送適當的不同協議。
? Transmission Control Protocol (傳輸控制協議, TCP)—這是一種傳輸協議,屬于T C P / I P
協議套的一部分,用于在網絡軟件應用進程之間建立通信會話,并且可以通過控制數據
流量做到可靠的端到端數據傳輸。
? Trivial File Transfer Protocol (普通文件傳輸協議, TFTP)—T C P / I P文件傳輸協議,用于
傳輸無盤工作站啟動所使用的文件。
? trunking (中繼)—在兩個網絡傳輸設備之間的兩個或多個物理鏈接,它們組成一個集
合可當做一條線路使用,總的傳輸速率是每個鏈接傳輸速率的總和。
? twisted-pair cable (雙絞線)—雙絞線是一種柔性通信電纜,其中包含著絞在一起的成
對的絕緣銅線以減少E M I和R F I的干擾,雙絞線的外部還覆蓋著一層絕緣套管。
下載
? uninterruptible power supply (不間斷電源, UPS)—在電源故障或電壓不足時,提供快
速電池供電的設備,有時是在一個電子設備中,有時作為一個單獨的設備。
? universal serial bus (通用串行總線, USB)—通用串行總線是為連接各種外設(如打印
機、調制解調器、磁帶驅動器)而建立的標準,將要替代傳統并行和串行端口的使用。
? unshielded twisted-pair cable ( 非屏蔽雙絞線, UTP)—這是一種在絞在一起的成對的絕
緣線和外部套管間沒有屏蔽的電纜。
? User Datagram Protocol (用戶數據報協議, UDP)—一種使用I P的協議,它和T C P的位
置一樣,可以提供低開銷的無連接服務。
? U s e r-Network Interface(用戶—網絡接口, UNI)—一個AT M接口,用于終端結點到交換
機的連接。
V
? virtual circuit (虛擬電路)—虛擬電路是由O S I網絡層為發送和接收數據而建立的邏輯
通信路徑。
? virtual LAN (虛擬局域網, VLAN)—虛擬局域網是在子網組之外建立的邏輯網絡,而
子網組是通過交換機和路由器上的智能軟件建立并獨立于物理網絡拓撲結構的。
? virtual path identifier/virtual channel identifier ( 虛擬路徑標識符/虛擬通道標識符,
V P I / V C I )— AT M信元中的一個編碼,使得信元能夠到達想要到達的輸出接口。
W
? wavelength division multiplexing (波長分割多路轉接器, WDM)—波長分割多路轉接器
是一種用于光纖介質的交換技術,可以截取幾個輸入連接,并將其轉化為在光纖電纜上
傳送的光譜范圍內的不同的波長。
? wide area network (廣域網, WA N )—廣域網是一種意義深遠的網絡系統,可以跨越極
大的物理空間。
X
? X . 2 5—一種老的非常可靠的分組交換協議,最高可以以2 . 0 4 8 M b p s的速率連接到遠程
的網絡上。X . 2 5協議定義了D T E和D C E之間的通信。
? X/Open XA—基于U N I X的系統所使用的一種開放數據庫標準。
? Xerox Network System (施樂網絡系統, XNS)— 一個由施樂公司在網絡早期開發的用
于以太網通信的協議。
個人電腦安全
由于現在用xp的用戶相對多一點,所以以下基本都是針對xp的,當然有很多都是通用的,由于考慮到新手,所以講的都是基礎的,好接受點。哪里不好的請直言。
好了,follow me
一:計算機個人密碼
添加一個合法用戶,盡量不使用管理員賬號登陸。這里告訴大家一個小技巧,把管理員賬號的名稱(ADMINISTRATOR)改成一個不起眼的名字(控制面板 -用戶帳戶里改)。然后建立一個受限的用戶(名字設為admini),限制他的種種操作,并設置繁雜的密碼,這樣……不用說了吧(當別人費盡九牛二虎之力進來時發覺…………? 把它氣死!!!!)
--------------snowchao
還有設置復雜的口令,更改有助于防止口令蠕蟲輕易的進入系統。
二:禁用沒用的服務
這是icool早期的作品,呵呵,相信很多人都看過了,不過對剛來的還是很有用的哦。
關閉了這些服務不僅增加了安全系數,而且可以使你的愛機提速
不過當你遇到禁用了某些服務后有些東西不能用了就馬上去看看被禁用的服務的說明
三:關閉不用的端口
如果覺得下面的端口所對應的服務沒用,那么就關了好了
下面是幾個常見的端口的關閉方法
1、139端口的關閉
139端口是NetBIOS Session端口,用來文件和打印共享
關閉139口聽方法是在“網絡和撥號連接”中“本地連接”中選取“Internet協議(TCP/IP)”屬性,進入“高級TCP/IP設置”“WINS設置”里面有一項“禁用TCP/IP的NETBIOS”,打勾就關閉了139端口。
2、445端口的關閉
修改注冊表,添加一個鍵值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一個SMBDeviceEnabled 為REG_DWORD類型鍵值為 0
這樣就ok了
3、3389端口的關閉
xp:我的電腦上點右鍵選屬性–>遠程,將里面的遠程協助和遠程桌面兩個選項框里的勾去掉。
win2000server 開始–>程序–>管理工具–>服務里找到Terminal Services服務項,
選中屬性選項將啟動類型改成手動,并停止該服務。
win2000pro 開始–>設置–>控制面板–>管理工具–>服務里找到Terminal Services
服務項,選中屬性選項將啟動類型改成手動,并停止該服務。
四:漏洞檢測,補丁
下面是天網的一個檢測個人系統漏洞的網址,大家可以去檢測一下自己的系統
http://pfw.sky.net.cn/news/info/list.php?sessid=&sortid=17
還有瑞星殺毒軟件也有檢測系統漏洞的功能(打開瑞星-工具-系統漏洞掃描)
當發現漏洞后就要去堵漏洞了,接下來就是打補丁,不僅可以增強兼容性外,更重要的是堵上已發現的安全漏洞。但是不是打上所以的補丁就最好,最好當你下載前先看一下是什么內容的,如果是你已經關閉了服的務之類的補丁就不用下了。
下面是上海交大的下載頁面,安全系數高點,可以下載系統未打的補丁
http://windowsupdate.sjtu.edu.cn/
五:殺毒軟件和防火墻
要系統安全,防火墻是很重要的,當然,有了防火墻也不是沒事了,還要記得定時升級殺毒軟件殺毒。一般一新期一次差不多了。
建議不要裝過多的防火墻和殺毒軟件,這樣可以加快啟動,也可以避免某些沖突。下面的防火墻和殺毒軟件是新手區推薦的
http://hackbase.com/bbs/viewthread.php?tid=34405
六:數據備份
系統還原是默認打開的,它會自動備分,當遇到不可解決的問題時,可以嘗試一下系統還原,而不用重裝系統。開始-運行輸入msconfig在一般這項里有“開始系統還原一項”如果要還原就點這里了。
網絡安全知識(1)
一旦黑客定位了你的網絡,他通常會選定一個目標進行滲透。通常這個目標會是安全漏洞最多或是他擁有最多攻擊工具的主機。非法入侵系統的方法有很多,你應當對這些方法引起注意。
常見攻擊類型和特征
攻擊特征是攻擊的特定指紋。入侵監測系統和網絡掃描器就是根據這些特征來識別和防范攻擊的。下面簡要回顧一些特定地攻擊滲透網絡和主機的方法。
常見的攻擊方法
你也許知道許多常見的攻擊方法,下面列出了一些:
· 字典攻擊:黑客利用一些自動執行的程序猜測用戶命和密碼,審計這類攻擊通常需要做全面的日志記錄和入侵監測系統(IDS)。
· Man-in-the-middle攻擊:黑客從合法的傳輸過程中嗅探到密碼和信息。防范這類攻擊的有效方法是應用強壯的加密。
· 劫持攻擊:在雙方進行會話時被第三方(黑客)入侵,黑客黑掉其中一方,并冒充他繼續與另一方進行會話。雖然不是個完全的解決方案,但強的驗證方法將有助于防范這種攻擊。
· 病毒攻擊:病毒是能夠自我復制和傳播的小程序,消耗系統資源。在審計過程中,你應當安裝最新的反病毒程序,并對用戶進行防病毒教育。
· 非法服務:非法服務是任何未經同意便運行在你的操作系統上的進程或服務。你會在接下來的課程中學到這種攻擊。
· 拒絕服務攻擊:利用各種程序(包括病毒和包發生器)使系統崩潰或消耗帶寬。
容易遭受攻擊的目標
最常遭受攻擊的目標包括路由器、數據庫、Web和FTP服務器,和與協議相關的服務,如DNS、WINS和SMB。本課將討論這些通常遭受攻擊的目標。
路由器
連接公網的路由器由于被暴露在外,通常成為被攻擊的對象。許多路由器為便于管理使用SNMP協議,尤其是SNMPv1,成為潛在的問題。許多網絡管理員未關閉或加密Telnet會話,若明文傳輸的口令被截取,黑客就可以重新配置路由器,這種配置包括關閉接口,重新配置路由跳計數等等。物理安全同樣值得考慮。必須保證路由器不能被外人物理接觸到進行終端會話。
過濾Telnet
為了避免未授權的路由器訪問,你應利用防火墻過濾掉路由器外網的telnet端口和SNMP[161,162]端口
技術提示:許多網絡管理員習慣于在配置完路由器后將Telnet服務禁止掉,因為路由器并不需要過多的維護工作。如果需要額外的配置,你可以建立物理連接。
路由器和消耗帶寬攻擊
最近對Yahoo、e-Bay等電子商務網站的攻擊表明迅速重新配置路由器的重要性。這些攻擊是由下列分布式拒絕服務攻擊工具發起的:
· Tribal Flood Network(TFN)
· Tribal Flood Network(TFN2k)
· Stacheldraht(TFN的一個變種)
· Trinoo(這類攻擊工具中最早為人所知的)
因為許多公司都由ISP提供服務,所以他們并不能直接訪問路由器。在你對系統進行審計時,要確保網絡對這類消耗帶寬式攻擊的反映速度。你將在后面的課程中學習如何利用路由器防范拒絕服務攻擊。
數據庫
黑客最想得到的是公司或部門的數據庫。現在公司普遍將重要數據存儲在關系型或面向對象的數據庫中,這些信息包括:
· 雇員數據,如個人信息和薪金情況。
· 市場和銷售情況。
· 重要的研發信息。
· 貨運情況。
黑客可以識別并攻擊數據庫。每種數據庫都有它的特征。如SQL Server使用1433/1434端口,你應該確保防火墻能夠對該種數據庫進行保護。你會發現,很少有站點應用這種保護,尤其在網絡內部。
服務器安全 WEB和FTP這兩種服務器通常置于DMZ,無法得到防火墻的完全保護,所以也特別容易遭到攻擊。Web和FTP服務通常存在的問題包括:
· 用戶通過公網發送未加密的信息;
· 操作系統和服務存在眾所周知的漏洞導致拒絕服務攻擊或破壞系統;
· 舊有操作系統中以root權限初始運行的服務,一旦被黑客破壞,入侵者便可以在產生的命令解釋器中運行任意的代碼。
Web頁面涂改
近來,未經授權對Web服務器進行攻擊并涂改缺省主頁的攻擊活動越來越多。許多企業、正攵府和公司都遭受過類似的攻擊。有時這種攻擊是出于政治目的。大多數情況下Web頁面的涂改意味著存在這入侵的漏洞。這些攻擊通常包括Man-in-the-middle攻擊(使用包嗅探器)和利用緩沖區溢出。有時,還包括劫持攻擊和拒絕服務攻擊。
郵件服務
廣泛使用的SMTP、POP3和IMAP一般用明文方式進行通信。這種服務可以通過加密進行驗證但是在實際應用中通信的效率不高。又由于大多數人對多種服務使用相同的密碼,攻擊者可以利用嗅探器得到用戶名和密碼,再利用它攻擊其它的資源,例如Windows NT服務器。這種攻擊不僅僅是針對NT系統。許多不同的服務共享用戶名和密碼。你已經知道一個薄弱環節可以破壞整個的網絡。FTP和SMTP服務通常成為這些薄弱的環節。
與郵件服務相關的問題包括:
· 利用字典和暴力攻擊POP3的login shell;
· 在一些版本中sendmail存在緩沖區溢出和其它漏洞;
· 利用E-mail的轉發功能轉發大量的垃圾信件
名稱服務
攻擊者通常把攻擊焦點集中在DNS服務上。由于DNS使用UDP,而UDP連接又經常被各種防火墻規則所過濾,所以許多系統管理員發現將DNS服務器至于防火墻之后很困難。因此,DNS服務器經常暴露在外,使它成為攻擊的目標。DNS攻擊包括:
· 未授權的區域傳輸;
網絡安全知識(2)
· DNS 毒藥,這種攻擊是指黑客在主DNS服務器向輔DNS服務器進行區域傳輸時插入錯誤的DNS信息,一旦成功,攻擊者便可以使輔DNS服務器提供錯誤的名稱到IP地址的解析信息;
· 拒絕服務攻擊;
其它的一些名稱服務也會成為攻擊的目標,如下所示:
· WINS,“Coke”通過拒絕服務攻擊來攻擊沒有打補丁的NT系統。
· SMB服務(包括Windows的SMB和UNIX的Samba)這些服務易遭受Man-in-the-middle攻擊,被捕獲的數據包會被類似L0phtCrack這樣的程序破解。
· NFS和NIS服務。這些服務通常會遭受Man-in-the-middle方式的攻擊。
在審計各種各樣的服務時,請考慮升級提供這些服務的進程。
審計系統BUG
作為安全管理者和審計人員,你需要對由操作系統產生的漏洞和可以利用的軟件做到心中有數。早先版本的Microsoft IIS允許用戶在地址欄中運行命令,這造成了IIS主要的安全問題。其實,最好的修補安全漏洞的方法是升級相關的軟件。為了做到這些,你必須廣泛地閱讀和與其他從事安全工作的人進行交流,這樣,你才能跟上最新的發展。這些工作會幫助你了解更多的操作系統上的特定問題。
雖然大多數的廠商都為其產品的問題發布了修補方法,但你必須充分理解補上了哪些漏洞。如果操作系統或程序很復雜,這些修補可能在補上舊問題的同時又開啟了新的漏洞。因此,你需要在實施升級前進行測試。這些測試工作包括在隔離的網段中驗證它是否符合你的需求。當然也需要參照值得信賴的網絡刊物和專家的觀點。
審計Trap Door和Root Kit
Root kit是用木馬替代合法程序。Trap Door是系統上的bug,當執行合法程序時卻產生了非預期的結果。如老版本的UNIX sendmail,在執行debug命令時允許用戶以root權限執行腳本代碼,一個收到嚴格權限控制的用戶可以很輕易的添加用戶賬戶。
雖然root kit通常出現在UNIX系統中,但攻擊者也可以通過看起來合法的程序在Windows NT中置入后門。象NetBus,BackOrifice和Masters of Paradise等后門程序可以使攻擊者滲透并控制系統。木馬可以由這些程序產生。如果攻擊者夠狡猾,他可以使這些木馬程序避開一些病毒檢測程序,當然用最新升級的病毒檢測程序還是可以發現它們的蹤跡。在對系統進行審計時,你可以通過校驗分析和掃描開放端口的方式來檢測是否存在root kit等問題。
審計和后門程序
通常,在服務器上運行的操作系統和程序都存在代碼上的漏洞。例如,最近的商業Web瀏覽器就發現了許多安全問題。攻擊者通常知道這些漏洞并加以利用。就象你已經知道的RedButton,它利用了Windows NT的漏洞使攻擊者可以得知缺省的管理員賬號,即使賬號的名稱已經更改。后門(back door)也指在操作系統或程序中未記錄的入口。程序設計人員為了便于快速進行產品支持有意在系統或程序中留下入口。不同于bug,這種后門是由設計者有意留下的。例如,像Quake和Doom這樣的程序含有后門入口允許未授權的用戶進入游戲安裝的系統。雖然看來任何系統管理員都不會允許類似的程序安裝在網絡服務器上,但這種情況還是時有發生。
從后門程序的危害性,我們可以得出結論,在沒有首先閱讀資料和向值得信賴的同事咨詢之前不要相信任何新的服務或程序。在你進行審計時,請花費一些時間仔細記錄任何你不了解它的由來和歷史的程序。
審計拒絕服務攻擊
Windows NT 易遭受拒絕服務攻擊,主要是由于這種操作系統比較流行并且沒有受到嚴格的檢驗。針對NT服務的攻擊如此頻繁的原因可以歸結為:發展勢頭迅猛但存在許多漏洞。在審計Windows NT網絡時,一定要花時間來驗證系統能否經受這種攻擊的考驗。打補丁是一種解決方法。當然,如果能將服務器置于防火墻的保護之下或應用入侵監測系統的話就更好了。通常很容易入侵UNIX操作系統,主要因為它被設計來供那些技術精湛而且心理健康的人使用。在審計UNIX系統時,要注意Finger服務,它特別容易造成緩沖區溢出。
緩沖區溢出
緩沖區溢出是指在程序重寫內存塊時出現的問題。所有程序都需要內存空間和緩沖區來運行。如果有正確的權限,操作系統可以為程序分配空間。C和C++等編程語言容易造成緩沖區溢出,主要因為它們不先檢查是否有存在的內存塊就直接調用系統內存。一個低質量的程序會不經檢查就重寫被其它程序占用的內存,而造成程序或整個系統死掉,而留下的shell有較高的權限,易被黑客利用運行任意代碼。
據統計,緩沖區溢出是當前最緊迫的安全問題。要獲得關于緩沖區溢出的更多信息,請訪問Http://www-4.ibm.com/software/de … verflows/index.heml
Telnet的拒絕服務攻擊
Windows中的Telnet一直以來都是網絡管理員們最喜愛的網絡實用工具之一,但是一個新的漏洞表明,在Windows2000中Telnet在守護其進程時,在已經被初始化的會話還未被復位的情況下很容易受到一種普通的拒絕服務攻擊。Telnet連接后,在初始化的對話還未被復位的情況下,在一定的時間間隔之后,此時如果連接用戶還沒有提供登錄的用戶名及密碼,Telnet的對話將會超時。直到用戶輸入一個字符之后連接才會被復位。如果惡意用戶連接到Windows2000的Telnet守護進程中,并且對該連接不進行復位的話,他就可以有效地拒絕其他的任何用戶連接該Telnet服務器,主要是因為此時Telnet的客戶連接數的最大值是1。在此期間任何其他試圖連接該Telnet服務器的用戶都將會收到如下錯誤信息:
Microsoft Windows Workstation allows only 1 Telnet Client LicenseServer has closed connection
察看“列出當前用戶”選項時并不會顯示超時的會話,因為該會話還沒有成功地通過認證。
Windows NT的TCP port 3389存在漏洞
Windows NT Server 4.0 終端服務器版本所作的 DoS 攻擊。這個安全性弱點讓遠端使用者可以迅速的耗盡 Windows NT Terminal Server 上所有可用的內存,造成主機上所有登陸者斷線,并且無法再度登入。
說明:
1. Windows NT Server 4.0 終端服務器版本在 TCP port 3389 監聽終端連接 (terminal connection),一旦某個 TCP 連接連上這個端口, 終端服務器會開始分配系統資源,以處理新的客戶端連接,并作連接的認證工作。
2. 此處的漏洞在于:在認證工作完成前,系統需要撥出相當多的資源去處理新的連接,而系統并未針對分配出去的資源作節制。因此遠端的攻擊者可以利用建立大 量 TCP 連接到 port 3389 的方法,造成系統存儲體配置達到飽和。
3. 此時服務器上所有使用者連接都會處于超時狀態,而無法繼續連接到服務器上,遠端攻擊者仍能利用一個僅耗用低頻寬的程式,做出持續性的攻擊,讓此服務器處於最多記憶體被耗用的狀態,來避免新的連接繼續產生。
4. 在國外的測試報告中指出,長期持續不斷針對此項弱點的攻擊,甚至可以導致服務器持續性當機,除非重新開機,服務器將無法再允許新連接的完成。
解決方案:
1. 以下是修正程序的網址:
ftp://ftp.microsoft.com/bussys/w … sa/NT40tse/hotfixes postSP4/Flood-fix/
[注意]:因為行數限制,上面網址請合并為一行。
2. 更詳細資料請參考 Microsoft 網站的網址:
http://www.microsoft.com/security/bulletins/ms99-028.asp.
防范拒絕服務攻擊
你可以通過以下方法來減小拒絕服務攻擊的危害:
· 加強操作系統的補丁等級。
· 如果有雇員建立特定的程序,請特別留意代碼的產生過程。
· 只使用穩定版本的服務和程序。
審計非法服務,特洛伊木馬和蠕蟲
非法服務開啟一個秘密的端口,提供未經許可的服務,常見的非法服務包括:
· NetBus
· BackOrifice 和 BackOrifice 2000
· Girlfriend
· 冰河2.X
· 秘密的建立共享的程序
許多程序將不同的非法服務聯合起來。例如,BackOrifice2000允許你將HTTP服務配置在任意端口。你可以通過掃描開放端口來審計這類服務,確保你了解為什么這些端口是開放的。如果你不知道這些端口的用途,用包嗅探器和其它程序來了解它的用途。
技術提示:不要混淆非法服務和木馬。木馬程序通常包含非法服務,而且,木馬程序還可以包含擊鍵記錄程序,蠕蟲或病毒。
特洛伊木馬
特洛伊木馬是在執行看似正常的程序時還同時運行了未被察覺的有破壞性的程序。木馬通常能夠將重要的信息傳送給攻擊者。攻擊者可以把任意數量的程序植入木馬。例如,他們在一個合法的程序中安放root kit或控制程序。還有一些通常的策略是使用程序來捕獲密碼和口令的hash值。類似的程序可以通過E-mail把信息發送到任何地方。
審計木馬
掃描開放端口是審計木馬攻擊的途徑之一。如果你無法說明一個開放端口用途,你也許就檢測到一個問題。所以,盡量在你的系統上只安裝有限的軟件包,同時跟蹤這些程序和服務的漏洞。許多TCP/IP程序動態地使用端口,因此,你不應將所有未知的端口都視為安全漏洞。在建立好網絡基線后,你便可以確定哪些端口可能存在問題了。
蠕蟲
Melissa病毒向我們展示了TCP/IP網絡是如何容易遭受蠕蟲攻擊的。在你審計系統時,通常需要配置防火墻來排除特殊的活動。防火墻規則的設置超出了本術的范圍。但是,作為審計人員,你應當對建議在防火墻上過濾那些從不信任的網絡來的數據包和端口有所準備。
蠕蟲@@特定的軟件傳播。例如,在2000年三月發現的Win32/Melting.worm蠕蟲只能攻擊運行Microsoft Outlook程序的Windows操作系統。這種蠕蟲可以自行傳播,癱瘓任何種類的Windows系統而且使它持續地運行不穩定。
網絡安全知識(3)
結合所有攻擊定制審計策略
攻擊者有兩個共同的特點。首先,他們將好幾種不同的方法和策略集中到一次攻擊中。其次,他們在一次攻擊中利用好幾種系統。綜合應用攻擊策略可以增強攻擊的成功率。同時利用好幾種系統使他們更不容易被捕獲。
例如,在實施IP欺騙時,攻擊者通常會先實施拒絕服務攻擊以確保被攻擊主機不會建立任何連接。大多數使用Man-in-the-middle的攻擊者會先捕獲SMB的密碼,再使用L0phtCrack這樣的程序進行暴力破解攻擊。
滲透策略
你已經了解到那些網絡設備和服務是通常遭受攻擊的目標和黑客活動的攻擊特征。現在,請參考下列的一些場景。它們將有助于你在審計過程中關注那些設備和服務。請記住,將這些攻擊策略結合起來的攻擊是最容易成功的。
物理接觸
如果攻擊者能夠物理接觸操作系統,他們便可以通過安裝和執行程序來使驗證機制無效。例如,攻擊者可以重啟系統,利用其它啟動盤控制系統。由于一種文件系統可以被另一種所破壞,所以你可以使用啟動盤獲得有價值的信息,例如有管理權限的賬號。
物理攻擊的簡單例子包括通過重新啟動系統來破壞Windows95或98的屏幕鎖定功能。更簡單的物理攻擊是該系統根本就沒有進行屏幕鎖定。
操作系統策略
近來,美國白宮的Web站點(http://www.whitehouse.gov)被一個缺乏經驗的攻擊者黑掉。攻擊者偵查出該Web服務器(www1.whitehouse.gov)運行的操作系統是Solaris 7。雖然Solaris 7被成為藝術級的操作系統,但管理員并沒有改變系統的缺省設置。雖然該站點的管理員設置了tripwire,但攻擊者還是使用 phf/ufsrestore命令訪問了Web服務器。
較弱的密碼策略
上面白宮網站被黑的例子可能是由于該系統管理員使用FTP來升級服務器。雖然使用FTP來更新網站并沒有錯,但大多數FTP會話使用明文傳輸密碼。很明顯,該系統管理員并沒有意識到這種安全隱患。又由于大多數系統管理員在不同的服務上使用相同的密碼,這使攻擊者能夠獲得系統的訪問權。更基本的,你可以保證/etc/passwd文件的安全。
NetBIOS Authentication Tool(NAT)
當攻擊者以WindowsNT為目標時,他們通常會使用NetBIOS Authentication Tool(NAT)來測試弱的口令。這個程序可以實施字典攻擊。當然它也有命令行界面,這種界面的攻擊痕跡很小。而且命令行界面的程序也很好安裝和使用。在使用NAT時,你必須指定三個文本文件和IP地址的范圍。當然,你也可以指定一個地址。NAT使用兩個文本文件來實施攻擊而第三個來存儲攻擊結果。第一個文本文件包含一個用戶列表,第二個文件中是你輸入的猜測密碼。
當使用命令行版本時,語法格式為:
nat –u username.txt –p passwordlist.txt –o outputfile.txt
即使服務器設置了密碼的過期策略和鎖定,攻擊者還是可以利用NAT反復嘗試登錄來騷擾管理員。通過簡單地鎖定所有已知的賬號,攻擊者會極大地影響服務器的訪問,這也是一些系統管理員不強行鎖定賬號的原因。
較弱的系統策略
到此為止,你已經學習了一些外部攻擊。然而,對于管理員來說最緊迫的是大多數公司都存在不好的安全策略。如果安全策略很弱或干脆沒有安全策略,通常會導致弱的密碼和系統策略。通常,公司并不采取簡單的預防措施,比如需要非空的或有最小長度要求的密碼。忽略這些限制會給攻擊者留下很大的活動空間。
審計文件系統漏洞
不論你的操作系統采取何種文件系統(FAT,NTFS或NFS),每種系統都有它的缺陷。例如,缺省情況下NTFS在文件夾和共享創建之初 everyone組可完全控制。由于它是操作系統的組成部分(Windows NT),因此也成為許多攻擊的目標。NFS文件系統可以共享被遠程系統掛接,因此這也是攻擊者入侵系統的途徑之一。
IP欺騙和劫持:實例
IP欺騙是使驗證無效的攻擊手段之一,也是如何組合攻擊策略攻擊網絡的典型實例。IP欺騙利用了Internet開放式的網絡設計和傳統的建立在 UNIX操作系統之間信任關系。主要的問題是使用TCP/IP協議的主機假設所有從合法IP地址發來的數據包都是有效的。攻擊者可以利用這一缺陷,通過程序來發送虛假的IP包,從而建立TCP連接,攻擊者可以使一個系統看起來象另一個系統。
許多UNIX操作系統通過rhosts和 rlogin在非信任的網絡上(如Internet)建立信任的連接。這種傳統的技術是流行的管理工具并減輕了管理負擔。通常,這種系統由于把UNIX的驗證機制和IP地址使用相結合從而提供了適當的安全。然而,這種驗證機制是如此的獨立于IP地址不會被偽造的假設,以至于很容易被擊破。
Non-blind spoofing 和Blind spoofing
Non-blind spoofing是指攻擊者在同一物理網段上操縱連接。Blind spoofing是指攻擊者在不同的物理網段操縱連接。后者在實施上更困難,但也時常發生。
進行IP欺騙的攻擊者需要一些程序,包括:
· 一個包嗅探器
· 一個能夠同時終止TCP連接、產生另一個TCP連接、進行IP 偽裝的程序
IP欺騙涉及了三臺主機。像先前分析的那樣,使用驗證的服務器必須信任和它建立連接的主機。如果缺乏天生的安全特性,欺騙是非常容易的。
思考下列的場景,有三臺主機分別是A,B和C。A使用TCP SYN連接與合法用戶B初始一個連接。但是B并沒有真正參與到這次連接中,因為C已經對B實施了拒絕服務攻擊。所以,雖然A認為是在與B對話,但實際上是與C對話。IP欺騙實際上組合了幾種攻擊手法包括對系統實施了拒絕服務攻擊,還包括利用驗證技術。
作為審計人員,你不應該說服管理員終止這種信任關系,相反,你應當建議使用防火墻規則來檢測有問題的包。
TCP/IP序列號生成方法
TCP的Initial Sequence Number(ISN)的預測
正常的TCP連接基于一個三次握手(3-way handshake),一個客戶端(Client)向服務器(Server)發送一個初始化序列號ISNc,隨后,服務器相應這個客戶端ACK(ISNc),并且發送自己的初始化序列號ISNs,接著,客戶端響應這個ISNs(如下圖),三次握手完成。
C —〉S: (ISNc)
S —〉C: ACK(ISNc)+ ISNs
C —〉S: ACK(ISNs)
C —〉S: data
and / or
S —〉C: data
下面,我以Windows2000 Advanced Server為例,來說一下兩臺主機是如何進行三次握手。
我們可以看到:
1) Smartboy首先發送一個seq:32468329的包給服務器202.116.128.6。
2) 然后, 202.116.128.6響應主機Smartboy, 它送給Smartboy自己的
seq:3333416325 而且響應Smartboy的ack:3240689240。
3) Smartboy再響應服務器202.116.128.6, seq:3240689240, ack:3333416326。
三次握手完畢,兩臺幾建立起連接。
可以看出,在三次握手協議中,Clinet一定要監聽服務器發送過來的ISNs, TCP使用的sequence number是一個32位的計數器,從0-4294967295。TCP為每一個連接選擇一個初始序號ISN,為了防止因為延遲、重傳等擾亂三次握手, ISN不能隨便選取,不同系統有不同算法。理解TCP如何分配ISN以及ISN隨時間變化的規律,對于成功地進行IP欺騙攻擊很重要。
在Unix系統里,基于遠程過程調用RPC的命令,比如rlogin、rcp、rsh等等,根據/etc/hosts.equiv以及$ HOME/.rhosts文件進行安全校驗,其實質是僅僅根據源IP地址進行用戶身份確認,以便允許或拒絕用戶RPC。這就給與了那些攻擊者進行IP地址欺騙的機會。
讓我們看X是如何冒充T來欺騙S,從而建立一個非法連接 :
X---->S: SYN(ISNx ) , SRC = T
S---->T: SYN(ISNs ) , ACK(ISNT) (*)
X---->S: ACK(ISNs+1 ) , SRC = T (**)
X---->S: ACK(ISNs +1) , SRC = T, 攻擊命令(可能是一些特權命令)
但是,T必須要在第(**)中給出ISNs, 問題是ISNs在第(*)步中發給了T(X當然很難截取到),幸運的是,TCP協議有一個約定: ISN變量每秒增加250,000次,這個增加值在許多版本比較舊的操作系統中都是一個常量,在FreeBSD4.3中是125000次每秒,這就給X一個可乘之機。
網絡安全知識(4)
看一下X是如何猜出ISNs :
a、首先, X發送一個SYN包來獲取服務器現在的ISNs
X —〉S: (ISNx)
S —〉X: ACK(ISNx)+ ISNs# (1)
b、緊接著,X冒充T向服務器發送SYN包
X —〉S: SYN(ISNx ) , SRC = T (2)
c、于是,服務器發出一個響應包給T(這個包X是收不到的)
S —〉T: SYN(ISNs$) , ACK(ISNT ) (3)
d、X計算ISNs$:
ISNs$ = ISNs# + RTT×Increment of ISN (4)
其中,RTT(Round Trip Time),是一個包往返X和S所用的時間,可以通過Ping 來得到。
上圖顯示了round trip times (RTT) 大概是0。
Increment of ISN是協議棧的初始序列號每秒鐘增加的值,以Unix為例,當沒有外部連接發生時,服務器的ISN每秒增加128,000,有連接的時候,服務器的ISN每秒增加64,000。
e、于是,
X —> S : ACK(ISNs$) (冒充可信主機成功了)
X —> S : 惡意的命令或竊取機密消息的命令
在評價以下的解決方案時有幾點要注意:
1.該解決方案是否很好地滿足TCP的穩定性和可操作性的要求?
2.該解決方案是否容易實現?
3.該解決方案對性能的影響如何?
4.該解決方案是否經得起時間的考驗?
以下的幾種方案各有各的優點和缺點,它們都是基于增強ISN生成器的目標提出的。
配置和使用密碼安全協議
TCP的初始序列號并沒有提供防范連接攻擊的相應措施。TCP的頭部缺少加密選項用于強加密認證,于是,一種叫做IPSec的密碼安全協議的技術提出了。IPSec提供了一種加密技術(End to end cryptographic),使系統能驗證一個包是否屬于一個特定的流。這種加密技術是在網絡層實現的。其它的在傳輸層實現的解決方案(如 SSL/TLS和SSH1/SSH2), 只能防止一個無關的包插入一個會話中,但對連接重置(拒絕服務)卻無能為力,原因是因為連接處理是發生在更低的層。IPSec能夠同時應付著兩種攻擊(包攻擊和連接攻擊)。它直接集成在網絡層的安全模型里面。
上面的解決方案并不需要對TCP協議做任何得修改,RFC2385(“基于TCP MD5簽名選項的BGP會話保護)和其他的技術提供了增加TCP頭部的密碼保護,但是,卻帶來了收到拒絕服務攻擊和互操作性和性能方面的潛在威脅。使用加密安全協議有幾個優于其它方案的地方。TCP頭部加密防止了Hijacking和包擾亂等攻擊行為,而TCP層仍然能夠提供返回一個簡單增加ISN的機制,使方案提供了最大程度的可@@性。但實現IPSec非常復雜,而且它需要客戶機支持,考慮到可用性,許多系統都選擇使用RFC 1948。
使用RFC1948
在RFC1948中,Bellovin提出了通過使用4-tuples的HASH單向加密函數,能夠使遠程攻擊者無從下手(但不能阻止同一網段的攻擊者通過監聽網絡上的數據來判斷ISN)。
Newsham 在他的論文 [ref_newsham]中提到:
RFC 1948 [ref1]提出了一種不容易攻擊(通過猜測)的TCP ISN的生成方法。此方法通過連接標識符來區分序列號空間。每一個連接標識符由本地地址,本地端口,遠程地址,遠程端口來組成,并由一個函數計算標識符分的序列號地址空間偏移值(唯一)。此函數不能被攻擊者獲得,否則,攻擊者可以通過計算獲得ISN。于是,ISN就在這個偏移值上增加。ISN的值以這種方式產生能夠抵受上面提到的對ISN的猜測攻擊。
一旦全局ISN空間由上述方法來生成,所有的對TCP ISN的遠程攻擊都變得不合實際。但是,需要指出的,即使我們依照RFC 1948來實現ISN的生成器,攻擊者仍然可以通過特定的條件來獲得ISN(這一點在后面敘述).
另外,用加密的強哈希算法(MD5)來實現ISN的生成器會導致TCP的建立時間延長。所以,有些生成器(如Linux kernel )選擇用減少了輪數的MD4函數來提供足夠好的安全性同時又把性能下降變得最低。削弱哈希函數的一個地方是每幾分鐘就需要對生成器做一次re-key 的處理,經過了一次re-key的處理后,安全性提高了,但是,RFC793提到的可@@性卻變成另一個問題。
我們已經知道,嚴格符合RFC1948的ISN生成方法有一個潛在的危機:
一個攻擊者如果以前合法擁有過一個IP地址,他通過對ISN進行大量的采樣,可以估計到隨后的ISN的變化規律。在以后,盡管這個IP地址已經不屬于此攻擊者,但他仍然可以通過猜測ISN來進行IP欺騙。
以下,我們可以看到RFC 1948的弱點:
ISN = M + F(sip, sport, dip, dport,
)
其中
ISN 32位的初始序列號
M 單調增加的計數器
F 單向散列哈希函數 (例如 MD4 or MD5)
sip 源IP地址
sport 源端口
dip 目的IP地址
dport 目的端口
哈希函數可選部分,使遠程攻擊者更難猜到ISN.
ISN自身的值是按照一個常數值穩定增加的,所以F()需要保持相對的穩定性。而根據Bellovin 所提出的,是一個系統特定的值(例如機器的啟動時間,密碼,初始隨機數等),這些值并不 會經常變。
但是,如果Hash函數在實現上存在漏洞(我們無法保證一個絕對安全的Hash函數,況且,它的實現又與操作系統密切相關),攻擊者就可以通過大量的采樣,來分析,其中,源IP地址,源端口,目的IP地址,目的端口都是不變的,這減少了攻擊者分析的難度。
Linux TCP的ISN生成器避免了這一點。它每5分鐘計算一次值,把泄漏的風險降到了最低。
有一個辦法可以做的更好:
取M = M + R(t)
ISN = M + F(sip, sport, dip, dport, )
其中
R(t) 是一個關于時間的隨機函數
很有必要這樣做,因為它使攻擊者猜測ISN的難度更大了(弱點在理論上還是存在的)。
其它一些方法
構造TCP ISN生成器的一些更直接的方法是:簡單地選取一些隨機數作為ISN。這就是給定一個32位的空間,指定 ISN = R(t)。(假設R()是完全的非偽隨機數生成函數)
固然,對于完全隨機的ISN值,攻擊者猜測到的可能性是1/232是,隨之帶來的一個問題是ISN空間里面的值的互相重復。這違反了許多RFC(RFC 793, RFC 1185, RFC 1323, RFC1948等)的假設----ISN單調增加。這將對TCP協議的穩定性和可@@性帶來不可預計的問題。
其它一些由Niels Provos(來自OpenBSD 組織)結合完全隨機方法和RFC 1948解決方案:
ISN = ((PRNG(t)) << 16) + R(t) 32位
其中
PRNG(t) :一組隨機指定的連續的16位數字 0x00000000 – 0xffff0000
R(t) :16位隨機數生成器(它的高位msb設成0)0x00000000 – 0x0000ffff
上面的公式被用于設計OpenBsd的ISN生成器,相關的源代碼可以從下面的網址獲得
http://www.openbsd.org/cgi-bin/cvsweb/src/…inet/tcp_subr.c
Provos的實現方法有效地生成了一組在給定時間內的不會重復的ISN的值,每兩個ISN值都至少相差32K,這不但避免了隨機方法造成的ISN的值的沖突,而且避免了因為哈希函數計算帶來的性能上的下降,但是,它太依賴于系統時鐘,一旦系統時鐘狀態給攻擊者知道了,就存在著系統的全局ISN狀態泄密的危機。
TCP ISN生成器的構造方法的安全性評估
ISN與PRNGs(偽隨機數生成器)
我們很難用一臺計算機去生成一些不可預測的數字,因為,計算機被設計成一種以重復和準確的方式去執行一套指令的機器。所以,每個固定的算法都可以在其他機器上生成同樣的結果。如果能夠推斷遠程主機的內部狀態,攻擊者就可以預測它的輸出;即使不知道遠程主機的PNRG函數,但因為算法最終會使ISN回繞,按一定的規律重復生成以前的ISN,所以,攻擊者仍然可以推斷ISN。幸運的是,目前條件下,ISN的重復可以延長到幾個月甚至幾年。但是,仍然有部分 PRNG生成器在產生500個元素后就開始回繞。解決偽隨機數的方法是引入外部隨機源,擊鍵延時,I/O中斷,或者其它對攻擊者來說不可預知的參數。把這種方法和一個合理的HASH函數結合起來,就可以產生出32位的不可預知的TCP ISN的值,同時又隱蔽了主機的PNRG的內部狀態。不幸的是,很少的TCP ISN產生器是按這種思路去設計的,但即使是這樣設計的產生器,也會有很多的實現上的漏洞使這個產生器產生的ISN具有可猜測性。
RFC1948的建議提供了一種比較完善的方法,但是,對攻擊者來說,ISN仍然存在著可分析性和猜測性。其中,PRNG的實現是個很關鍵的地方。
網絡安全知識(5)
Spoofing 集合
需要知道一點是,如果我們有足夠的能力能夠同時可以發出232個包,每個包由不同的ISN值,那么,猜中ISN的可能性是100%。但是,無論從帶寬或計算機的速度來說都是不實際的。但是,我們仍然可以發大量的包去增加命中的幾率,我們把這個發出的攻擊包的集合稱為Spoofing集合。通常,從計算機速度和網絡數據上傳速率兩方面來考慮,含5000個包的Spoofing的集合對眾多的網絡用戶是沒有問題的,5000-60000個包的 Spoofing集合對寬帶網的用戶也是不成問題的,大于60000個包的Spoofing集合則超出一般攻擊者的能力。網絡的速度和計算機性能的不斷增加會提高那種使用窮盡攻擊方法猜測ISN的成功率。從攻擊者的立場,當然希望能夠通過定制一個盡可能小的Spoofing集合,而命中的幾率又盡可能高。我們假定我們攻擊前先收集50000個包作為ISN值的采樣,然后,我們把這些ISN用作對將來的ISN的值猜測的依據。
一種稱為“delay coordinates”的分析方法
在動態系統和非線性系統中,經常使用一種叫做“delay coordinates”的分析法,這種方法使我們可以通過對以前的數據的采樣分析來推想以后的數據。
我們試圖以建立一個三維空間(x,y,z)來觀察ISN值(seq[t])的變化,其中t取0,1,2, ……
方程組(E1)
現在,對采樣了的50000個ISN序列seq[t] 按照上面的三個方程式來構建空間模型A。這樣,就可以通過A的圖像特征來分析這個PNRG生成的ISN值的規律。A呈現的空間模型的3D特性越強,它的可分析性就越好。
接著,我們根據這個模型,去分析下一個ISN值seq[t],為此,我們用一個集合K(5000個)去猜測seq[t]。
如果我們知道seq[t-1],要求seq[t],那么,可以通過在這個三維空間中找出一個有良好特性的節點P(x,y,z),將P.x+seq[t- 1],我們就可以得到seq[t]。現在,我們將注意力放到怎樣在這個三維空間中選擇一些點來構成Spoofing集合,也就是怎樣通過seq[t- 1],seq[t-2],sea[t-3]來推知seq[t]。
由于seq[t-1],seq[t-2],seq[t-3]都可以很容易地在遠程主機上探測到,于是,P.y和P.z可以通過以下的公式求出
而對于P.x=seq[t]-seq[t-1], 由于seq[t-1]已知,所以,我們可以把它當作是空間的一條直線。如果,在對以前的ISN的采樣,通過上面提到的構成的空間模型A呈現某種很強的特征,我們就可以大膽地假設,seq[t]在直線與A的交點上,或者在交點的附近。這樣,seq[t]就這樣確定了,于是,seq[t+1],seq[t+ 2]……,我們都可以推斷出來。
于是,我們大致將構造Spoofing集合分成3個步驟:
先選取L與A交點之間的所有點。如果,L與A沒有交點,我們則選取離L最近的A的部分點。
假設現在 seq[t-1]=25
seq[t-2]=50
seq[t-3]=88
于是,我們可以計算出
y = seq[t-1] - seq[t-2]=25
z = seq[t-2] - seq[t-3]=33
而我們在集合A中找不到滿足y=25,z=33這個點,但是,我們找到y=24,z=34和y=27,z=35這兩個點,所以,我們要把它們加入Spoofing集合。
我們按照上面的方法,把在A附近(半徑<=R1的空間范圍內)點集M找出來,然后,我們根據這些點的相應的x值去推導相應的seq[t](按照一定的算法,后面會提到),于是,我們就得到很多的seq[t]。
根據點集M(j),我們在一定的變化浮動范圍U里(-R2<=U<=+R2)處理其x值,得出以下的集合K:
M(j).x+1 M(j).x-1 M(j).x+2 M(j).x-2 M(j).x+3 M(j).x-3 …… M(j).x+R2 M(j)-R2
接著我們確定R1和R2的值
R1值的選取的原則:使M不為空集,一般為1-500個。
R2值的選取的原則:使K的個數為5000。
相關系數的意義:
R1 radius: 影響搜索速度。
R2 radius: 影響猜測ISN的成功率, R2越大,成功率越高,但代價越大。
Average error: 反映了在3.3.2中找出的點集的平均距離。一個過分大的平均距離是不需要的。可以通過是否有足夠的正確的猜測值來計算Average error。
網絡安全知識(6)
delay coordinates分析法的意義
站在攻擊者的立場,他是千方百計地想縮小搜索空間,他希望先搜索一些最可能的值,然后再去搜索其它可能性沒那么大的值。通過delay coordinates,他可以看去觀察ISN數列的特征,如果,按照上面的方法構造的空間模型A呈現很明顯的空間輪廓,如一個正方體,一個圓柱體,或者一個很小的區域,那么ISN很可能就是這個空間模型A中的一點,搜索空間就會可以從一個巨大的三維空間縮小到一個模型A。看一下一個設計得很好的PRNG (輸出為32位):…2179423068, 2635919226, 2992875947, 3492493181, 2448506773, 2252539982, 2067122333, 1029730040, 335648555, 427819739…
RFC 1948要求我們用31位的輸出,但是,32位的搜索空間比31位的要大一倍,所以,在后面的PRNG的設計中,我采用了32位的輸出。
下面,我們來看一下各種典型的空間模型以及對它們的評價。
從空間特性可以看出,某些區域的值互相重疊,某些地方的空間形狀很明顯,呈針狀型,這種PRNG設計得不好,重疊特性很強,攻擊者可以從左圖分析推斷可能性比較大的重疊區域去搜索,這樣可以大大減少搜索的難度。
這種PRNG參雜了一些可以預測的隨機種子,導致空間模型呈現很明顯的片狀。攻擊者可以根據前面的一些ISN來推測后面的ISN。
這種PRNG產生的隨機數序列之間的差值非常小,但是,它的分布特性非常好。所以,雖然,它并沒有擴展到整個空間,但是,它比上面幾種模型要好的多。攻擊者攻擊的成功率要少得多。
這個PRNG是以計算機時鐘為隨機源的。它的ISN值都分布在三個很明顯的面上。三個面都在模型的中間有一個匯聚點。這樣的PRNG設計的非常差,所以,我們在設計PRNG的時候,不能只是以時鐘作為隨機源。
各種操作系統的TCP ISN生成器的安全性比較
Windwos 98 SE
但很難明白為什么Windows 98的算法更弱。我們看到R1為0,也就是說,A的空間特性太明顯,以致M集只需要一個點就可以算出seq[t]。我們看到,Windows 98的R2小于Windows 95的R2,換言之,Windows 98的seq[t]的搜索代價更少。
Windows NT4 SP3,Windows SP6a和Windows 2000
Windows NT4 SP3在ISN的PNRG算法也是非常弱的,成功率接近100%。Windows 2000和Windows NT4 SP6a的TCP 序列號有著相同的可猜測性。危險程度屬于中到高的范圍。雖然,我們在圖上看不到很明顯的3D結構化特征,但是,12%和15%對攻擊者來說,已經是一個很滿意的結果。
FreeBSD 4.2,OpenBSD 2.8和OpenBSD-current
OpenBSD-current的PRNG 輸出為31-bit,也就是說,△seq[t]的值域范圍可以是231 –1,意味著,y,z值域也很大,這對使我們很難確定M集,經過我們的處理后,可以看到一個云狀物(見上圖),它的R1半徑很大,而且分布均勻,不呈現任何的空間結構化特性,很難對它進行分析。
Linux 2.2
Linux 2.2的TCP/IP序列號的可分析性也是很少,比起OpenBSD-current,它的PRNG的輸出寬度只有24bit,但是,對抵御攻擊已經足夠了。Linux是按照RFC 1948規范的。它的HASH函數從實現來說,應該是沒有什么的漏洞,而且,它應該是引入了外部隨機源。
Solaris
Solaris的內核參數tcp_strong_iss有三個值,當tcp_strong_iss=0時,猜中序列號的成功率是100%;當tcp_strong_iss=1時,Solaris 7和Solaris 8一樣,都能產生一些特性相對較好的序列號。
tcp_strong_iss=2時,依據Sun Microsystem的說法,系統的產生的ISN值非常可靠,不可預測。通過觀察采樣值的低位值的變化,可以相信它的PRNG的設計采用了RFC 1948規范,正如Solaris的白皮書所提到的。
但是,我們觀察到,Solaris7(tcp_strong_iss=2)雖然使用了RFC 1948,但是,仍然相當的弱,究其原因,是因為Solaris沒有使用外部隨機源,而且也沒有在一段時間之后重算
。由一些Solaris系統動態分配IP地址的主機群要特別小心,因為Solaris在啟動之后,一直都不會變(這一點與Linux不同),于是,攻擊者在合法擁有某個IP地址的時候,他可以在TCP會話期間對序列號進行大量的采樣,然后,當這個IP地址又動態地分配給其他人的時候,他就可以進行攻擊(在 Clinet-Server結構的網絡系統中要尤為注意,因為,許多應用都是分配固定的端口進行通訊)。
獲得信息
一旦攻擊者獲得root的權限,他將立即掃描服務器的存儲信息。例如,在人力資源數據庫中的文件,支付賬目數據庫和屬于上層管理的終端用戶系統。在進行這一階段的控制活動時,攻擊者在腦海中已經有明確的目標。這一階段的信息獲取比偵查階段的更具有針對性,該信息只會導致重要的文件和信息的泄漏。這將允許攻擊者控制系統。
攻擊者獲得信息的一種方法是操縱遠程用戶的Web瀏覽器。大多數的公司并沒有考慮到從HTTP流量帶來的威脅,然而, Web瀏覽器會帶來很嚴重的安全問題。這種問題包括Cross-frame browsing bug和Windows spoofing以及Unicode等。瀏覽器容易發生緩沖區溢出的問題,允許攻擊者對運行瀏覽器的主機實施拒絕服務攻擊。一旦攻擊者能夠在局部使系統崩潰,他們便可以運行腳本程序來滲透和控制系統。
Cross-frame browsing bug允許懷有惡意的Web站點的制作者創建可以從用戶計算機上獲得信息的Web頁面。這種情況出現在4.x和5.x版本的Netscape和 Microsoft瀏覽器上,這種基于瀏覽器的問題只會發生在攻擊者已經知道文件和目錄的存儲位置時。這種限制看起來不嚴重,但實際上并非如此。其實,任何攻擊者都清楚地知道缺省情況下UNIX操作系統的重要文件存放在(\etc)目錄下,Windows NT的文件在(\winnt)目錄下,IIS在(\inetpub\wwwroot)目錄下等等。
網絡安全知識(7)
大多數的攻擊者都知道操作系統存放文件的缺省位置。如果部門的管理者使用Windows98操作系統和Microsoft Word, Excel或Access,他很可能使用\deskto\My documents目錄。攻擊者同樣知道\windows\start\menu\programs\startup目錄的重要性。攻擊者可能不知道誰在使用操作系統或文件和目錄的布局情況。通過猜測電子表格,數據庫和字處理程序缺省存儲文件的情況,攻擊者可以輕易地獲得信息。
雖然攻擊者無法通過瀏覽器控制系統,但這是建立控制的第一步。利用Cross-frame browsing bug獲得的信息要比從網絡偵查和滲透階段獲得的信息更詳細。通過閱讀文件的內容,攻擊者會從服務器上獲得足夠的信息,要想阻止這種攻擊手段,系統管理員必須從根本上重新配置服務器。
審計UNIX文件系統
Root kit充斥在互聯網上,很難察覺并清除它們。從本質上來說,root kit是一種木馬。大多數的root kit用各種各樣的偵查和記錄密碼的程序替代了合法的ls,su和ps程序。審計這類程序的最好方法是檢查象ls, su和ps等命令在執行時是否正常。大多數替代root kit的程序運行異常,或者有不同的的文件大小。在審計UNIX系統時,要特別注意這些奇怪的現象。下表1列出了常見的UNIX文件的存放位置。
文件名
存放位置
/
根目錄
/sbin
管理命令
/bin
用戶命令;通常符號連接至/usr/bin
/usr
大部分操作系統
/usr/bin
大部分系統命令
/usr/local
本地安裝的軟件包
/usr/include
包含文件(用于軟件開發)
/usr/src
源代碼
/usr/local/src
本地安裝的軟件包的源代碼
/usr/sbin
管理命令的另一個存放位置
/var
數據(日志文件,假脫機文件)
/vr/log
日志文件
/export
被共享的文件系統
/home
用戶主目錄
/opt
可選的軟件
/tmp
臨時文件
/proc
虛擬的文件系統,用來訪問內核變量
審計Windows NT
下列出了在Windows NT中通常文件的存放位置
文件名
位置
\winnt
系統文件目錄;包含regedit.exe和注冊表日志
\winnt\system32
包含許多子目錄,包括config(存放security.log,event.log和application.log文件)
\winnt\profiles
存放與所有用戶相關的信息,包括管理配置文件
\winnt\system32\config
包含SAM和SAM.LOG文件,NT注冊表還包含密碼值
\inetpub
缺省情況下,包含IIS4.0的文件,包括\ftproot,\wwwroot
\program files
服務器上運行的大多數程序的安裝目錄
L0phtCrack工具
L0phtCrack被認為是對系統攻擊和防御的有效工具。它對于進行目錄攻擊和暴力攻擊十分有效。它對于破解沒有使用像!@#¥%^&*()等特殊字符的密碼非常迅速。L0phtCrack可以從http://www.l0pht.com上獲得。
L0pht使用文字列表對密碼進行字典攻擊,如果字典攻擊失敗,它會繼續使用暴力攻擊。這種組合可以快速獲得密碼。L0pht可以在各種各樣的情況下工作。你可以指定IP地址來攻擊Windows NT系統。然而,這種方式需要首先登錄到目標機器。L0pht還可以對SAM數據庫文件進行攻擊。管理員從\winnt\repair目錄拷貝出SAM賬號數據庫。第三中方式是配置運行L0pht的計算機嗅探到密碼。L0pht可以監聽網絡上傳輸的包含密碼的會話包,然后對其進行字典攻擊。這種方式使用 L0pht需要在類似Windows NT這樣的操作系統之上,并且你還需要物理地處于傳輸密碼的兩個操作系統之間。
John the Ripper和Crack是在基于UNIX的操作系統上常見的暴力破解密碼的程序。這兩個工具被用來設計從UNIX上獲取密碼。所有版本的UNIX操作系統都將用戶賬號數據庫存放在/etc/passwd或/etc/shadow文件中。這些文件在所有UNIX系統中存放在相同的位置。為了使UNIX正常運行,每個用戶都必須有讀取該文件的權限。
John the Ripper和Crack是最常見的從shadow和passwd文件中獲得密碼的程序。這些工具將所有的密碼組合與passwd或shadow文件中加密的結果進行比較。一旦發現有吻合的結果就說明找到了密碼。
在你審計UNIX操作系統時,請注意類似的問題。雖然許多掃描程序,如NetRecon和ISS Internet Scanner可以模仿這種工具類型,許多安全專家還是使用像L0pht和John the Ripper來實施審計工作。
信息重定向
一旦攻擊者控制了系統,他便可以進行程序和端口轉向。端口轉向成功后,他們可以操控連接并獲得有價值的信息。例如,有些攻擊者會禁止像FTP的服務,然后把FTP的端口指向另一臺計算機。那臺計算機會收到所有原來那臺主機的連接和文件。
相似的攻擊目標還包括重定向SMTP端口,它也允許攻擊者獲得重要的信息。例如,攻擊者可以獲得所有使用SMTP來傳送E-mail賬號的電子商務服務器的信息。即使這些傳輸被加密,攻擊者還是可以獲得這些傳輸的信息并用字典攻擊這些信息。
通常,攻擊者滲透你的操作系統的目的是通過它來滲透到網絡上其它的操作系統。例如,NASA服務器是攻擊者通常的攻擊目標,不僅因為他們想要獲取該服務器上的信息,更主要的是許多組織都和該服務器有信任的連接關系,比如Department of Defense。
因此,許多情況下,攻擊者希望攻擊其它的系統。為了防止類似的情況發生,美國技術論壇不要談正攵府言論信息要求那些直接連到技術論壇不要談正攵府言論信息部門的公司必須按照Rainbow Series的標準來實施管理。從1970年開始,該系列標準幫助系統確定誰可以安全的連接。這個系列中最長被使用的是Department of Defense Trusted Computer System Evaluation Criteria,該文件被成為Orange Book。例如,C2標準是由Orange Book衍生出來并被用來實施可以信任的安全等級。這個等級是C2管理服務(C2Config.exe)在Microsoft NT的服務補丁基礎上提供的。
控制方法
新的控制方法層出不窮,原因有以下幾個。首先是因為系統的升級不可避免的會開啟新的安全漏洞,二是少數黑客極有天賦,他們不斷開發出新的工具。大多數的UNIX操作系統都有C語言的編譯器,攻擊者可以建立和修改程序。這一部分討論一些允許你控制系統的代表性程序。
系統缺省設置
缺省設置是指計算機軟硬件“Out-of-the-box”的配置,便于廠商技術支持,也可能是因為缺乏時間或忽略了配置。攻擊者利用這些缺省設置來完全控制系統。雖然改變系統的缺省設置非常容易,但許多管理員卻忽視了這種改變。其實,改變缺省設置可以極大地增強操作系統的安全性。
合法及非法的服務,守護進程和可裝載的模塊
Windows NT運行服務,UNIX運行守護進程,Novell操作系統運行可裝載的模塊。這些守護進程可以被用來破壞操作系統的安全架構。例如,Windows NT的定時服務以完全控制的權限來執行。如果用戶開啟了定時服務,他就有可能運行其它的服務,(例如,域用戶管理器),從而使用戶更容易控制系統
防范非系統用戶破壞
第一招:屏幕保護
在Windows中啟用了屏幕保護之后,只要我們離開計算機(或者不操作計算機)的時間達到預設的時間,系統就會自動啟動屏幕保護程序,而當用戶移動鼠標或敲擊鍵盤想返回正常工作狀態時,系統就會打開一個密碼確認框,只有輸入正確的密碼之后才能返回系統,不知道密碼的用戶將無法進入工作狀態,從而保護了數據的安全。
提示:部分設計不完善的屏幕保護程序沒有屏蔽系統的“Ctrl+Alt+Del”的組合鍵,因此需要設置完成之后測試一下程序是否存在這個重大Bug。
不過,屏幕保護最快只能在用戶離開1分鐘之后自動啟動,難道我們必須坐在計算機旁等待N分鐘看到屏幕保護激活之后才能再離開嗎?其實我們只要打開 Windows安裝目錄里面的system子目錄,然后找到相應的屏幕保護程序(擴展名是SCR),按住鼠標右鍵將它們拖曳到桌面上,選擇彈出菜單中的 “在當前位置創建快捷方式”命令,在桌面上為這些屏幕保護程序建立一個快捷方式。此后,我們在離開計算機時雙擊這個快捷方式即可快速啟動屏幕保護。
第二招:巧妙隱藏硬盤
在“按 Web頁”查看方式下,進入Windows目錄時都會彈出一句警告信息,告訴你這是系統文件夾如果“修改該文件夾的內容可能導致程序運行不正常,要查看該文件夾的內容,請單擊顯示文件”,這時單擊“顯示文件”就可以進入該目錄了。原因是在Windows根目錄下有desktop.ini和 folder.htt兩個文件作祟。將這兩個文件拷貝到某個驅動器的根目錄下(由于這兩個文件是隱藏文件,之前必須在文件夾選項中單擊“查看”標簽,選擇 “顯示所有文件”,這樣就可以看見這兩個文件了)。再按“F5”鍵刷新一下,看看發生了什么,是不是和進入Windows目錄時一樣。
接下來我們用“記事本”打開folder.htt,這是用HTML語言編寫的一個文件,發揮你的想像力盡情地修改吧。如果你不懂HTML語言也沒關系,先找到“顯示文件”將其刪除,找到“修改該文件夾的內可能導致程序運行不正常,要查看該文件夾的內容,請單擊顯示文件”,將其改為自己喜歡的文字,例如“安全重地,閑雜人等請速離開”(如圖1),將“要查看該文件夾的內容,請單擊”改為“否則,后果自負!”,接著向下拖動滑塊到倒數第9行,找到 “(file&😕/%TEMPLATEDIR%\wvlogo.gif)”這是顯示警告信息時窗口右下角齒輪圖片的路徑,將其改為自己圖片的路徑,例如用“d:\tupian\tupian1.jpg”替換“//”后面的內容,記住這里必須將圖片的后綴名打出,否則將顯示不出圖片。當然,你還可以用像Dreamweaver、FrontPage這樣的網頁工具做出更好的效果,然后只要將原文件拷貝到下面這段文字的后面,覆蓋掉原文件中“~”之間的內容就可以了。
*This file was automatically generated by Microsoft Internet EXPlorer 5.0
*using the file %THISDIRPATH%\folder.htt.
保存并退出,按“F5”鍵刷新一下,是不是很有個性?接下來要作的就是用“超級兔子”將你所要的驅動器隱藏起來,不用重新啟動就可以欣賞自己的作品了。最后告訴大家一招更絕的,就是干脆將folder.htt原文件中“~”之間的內容全部刪除,這樣就會給打開你的驅動器的人造成一種這是一個空驅動器的假象,使其中的文件更安全。
圖1
第三招:禁用“開始”菜單命令
在Windows 2000/XP中都集成了組策略的功能,通過組策略可以設置各種軟件、計算機和用戶策略在某種方面增強系統的安全性。運行“開始→運行”命令,在“運行” 對話框的“打開”欄中輸入“gpedit.msc”,然后單擊“確定”按鈕即可啟動Windows XP組策略編輯器。在“本地計算機策略”中,逐級展開“用戶配置→管理模板→任務欄和開始菜單”分支,在右側窗口中提供了“任務欄”和“開始菜單”的有關策略。
在禁用“開始”菜單命令的時候,在右側窗口中,提供了刪除“開始”菜單中的公用程序組、“我的文檔”圖標、“文檔”菜單、“網上鄰居”圖標等策略。清理“開始”菜單的時候只要將不需要的菜單項所對應的策略啟用即可,比如以刪除“我的文檔”圖標為例,具體操作步驟為:
1)在策略列表窗口中用鼠標雙擊“從開始菜單中刪除我的文檔圖標”選項。
2)在彈出窗口的“設置”標簽中,選擇“已啟用”單選按鈕,然后單擊“確定”即可。
第四招:桌面相關選項的禁用
Windows XP的桌面就像你的辦公桌一樣,有時需要進行整理和清潔。有了組策略編輯器之后,這項工作將變得易如反掌,只要在“本地計算機策略”中展開“用戶配置→管理模板→桌面”分支,即可在右側窗口中顯示相應的策略選項。
1)隱藏桌面的系統圖標
倘若隱藏桌面上的系統圖標,傳統的方法是通過采用修改注冊表的方式來實現,這勢必造成一定的風險性,采用組策略編輯器,即可方便快捷地達到此目的。
若要隱藏桌面上的“網上鄰居”和“Internet EXPlorer”圖標,只要在右側窗口中將“隱藏桌面上網上鄰居圖標”和“隱藏桌面上的Internet EXPlorer圖標”兩個策略選項啟用即可。如果隱藏桌面上的所有圖標,只要將“隱藏和禁用桌面上的所有項目”啟用即可。當啟用了“刪除桌面上的我的文檔圖標”和“刪除桌面上的我的電腦圖標”兩個選項以后,“我的電腦”和“我的文檔”圖標將從你的電腦桌面上消失了。如果在桌面上你不再喜歡“回收站”這個圖標,那么也可以把它給刪除,具體方法是將“從桌面刪除回收站”策略項啟用。
2)禁止對桌面的某些更改
如果你不希望別人隨意改變計算機桌面的設置,請在右側窗口中將“退出時不保存設置”這個策略選項啟用。當你啟用這個了設置以后,其他用戶可以對桌面做某些更改,但有些更改,諸如圖標和打開窗口的位置、任務欄的位置及大小在用戶注銷后都無法保存。
第五招:禁止訪問“控制面板”
如果你不希望其他用戶訪問計算機的控制面板,你只要運行組策略編輯器,并在左側窗口中展開“本地計算機策略→用戶配置→管理模板→控制面板”分支,然后將右側窗口的“禁止訪問控制面板”策略啟用即可。
此項設置可以防止控制面板程序文件的啟動,其結果是他人將無法啟動控制面板或運行任何控制面板項目。另外,這個設置將從“開始”菜單中刪除控制面板,同時這個設置還從Windows資源管理器中刪除控制面板文件夾。
提示:如果你想從上下文菜單的屬性項目中選擇一個“控制面板”項目,會出現一個消息,說明該設置防止這個操作。
第六招:設置用戶權限
當多人共用一臺計算機時,在Windows XP中設置用戶權限,可以按照以下步驟進行:
1)運行組策略編輯器程序。
2)在編輯器窗口的左側窗口中逐級展開“計算機配置→Windows設置→安全設置→本地策略→用戶權限指派”分支。
3)雙擊需要改變的用戶權限,單擊“添加用戶或組”按鈕,然后雙擊想指派給權限的用戶賬號,最后單擊“確定”按鈕退出。
第七招:文件夾設置審核
Windows XP可以使用審核跟蹤用于訪問文件或其他對象的用戶賬戶、登錄嘗試、系統關閉或重新啟動以及類似的事件,而審核文件和NTFS分區下的文件夾可以保證文件和文件夾的安全。為文件和文件夾設置審核的步驟如下:
1)在組策略窗口中,逐級展開右側窗口中的“計算機配置→Windows設置→安全設置→本地策略”分支,然后在該分支下選擇“審核策略”選項。
2)在右側窗口中用鼠標雙擊“審核對象訪問”選項,在彈出的“本地安全策略設置”窗口中將“本地策略設置”框內的“成功”和“失敗”復選框都打上勾選標記(如圖2),然后單擊“確定”按鈕。
3)用鼠標右鍵單擊想要審核的文件或文件夾,選擇彈出菜單的“屬性”命令,接著在彈出的窗口中選擇“安全”標簽。
4)單擊“高級”按鈕,然后選擇“審核”標簽。
5)根據具體情況選擇你的操作:
倘若對一個新組或用戶設置審核,可以單擊“添加”按鈕,并且在“名稱”框中鍵入新用戶名,然后單擊“確定”按鈕打開“審核項目”對話框。
要查看或更改原有的組或用戶審核,可以選擇用戶名,然后單擊“查看/編輯”按鈕。
要刪除原有的組或用戶審核,可以選擇用戶名,然后單擊“刪除”按鈕即可。
6)如有必要的話,在“審核項目”對話框中的“應用到”列表中選取你希望審核的地方。
7)如果想禁止目錄樹中的文件和子文件夾繼承這些審核項目,選擇“僅對此容器內的對象和/或容器應用這些審核項”復選框。
注意:必須是管理員組成員或在組策略中被授權有“管理審核和安全日志”權限的用戶可以審核文件或文件夾。在Windows XP審核文件、文件夾之前,你必須啟用組策略中“審核策略”的“審核對象訪問”。否則,當你設置完文件、文件夾審核時會返回一個錯誤消息,并且文件、文件夾都沒有被審核
黑客掃描特征及易受攻擊的端口
黑客攻擊前先掃描
如今,網絡上的黑客攻擊已經成了家常便飯,自動攻擊和計算機蠕蟲病毒正以閃電般的速度在網絡上蔓延。 今年7月10日到7月23日,Tel Aviv大學的開放端口就曾經被掃描達96000次,它抵擋了來自99個國家,82000名黑客槍林彈雨般的攻擊。就此,ForeScout公司開發了一種叫做ActiveScout的防入侵技術,它有助于查明黑客的企圖并防止網絡攻擊。據它觀測,現在具有黑客行為的攻擊與掃描具有以下特征:
約90%的攻擊來自蠕蟲
由于蠕蟲病毒具有自動攻擊和快速繁殖的特性,因此,它占網絡攻擊的大約90%,通常是系統掃描或同步攻擊。其中,大部分網絡攻擊的來源地是美國。根據 ActiveScout的數據,這些蠕蟲病毒繁殖迅速,掃描和攻擊相隔的時間很短,因此無法人為控制。蠕蟲病毒也具有反復攻擊的特性,它們會尋找同一端口并大規模入侵這些端口。如果人們不對蠕蟲病毒采取防范措施,攻擊/掃描的成功率將達到30%,即在10次掃描中,有3次能獲得結果并可進行攻擊。
96%的掃描集中在端口
端口掃描在網絡掃描中大約占了96%,UDP(User Datagram Protocol)服務次之,占3.7%。除了這兩種之外,剩余的0.3%是用戶名和密碼掃描、NetBIOS域登錄信息和SNMP管理數據等。Tel Aviv大學已經開始努力防止蠕蟲攻擊和對NetBIOS弱點的網絡攻擊,因為這些攻擊可能會感染所有的Windows系統。同時,在發送流量之前,要求 ISP對所有的NetBIOS流量進行過濾。
有調查表明:在過去的半年中,存在危險性的Internet流量數量已經增加了2 倍;暗噪聲主要是由網絡探測引起的,45%到55%的可疑行為都是黑客對計算機的掃描造成的;大多數攻擊都是自動的,小型程序攻擊通常來自以前中毒的計算機;黑客攻擊這些網絡的主要原因是尋找他們能用來傳播垃圾郵件、為非法文件尋找特別存儲空間的計算機,或者占用可用于下一次攻擊的機器。
10種端口最易受攻擊
某組織I-Trap曾經收集了來自24個防火墻12小時工作的數據,這些防火墻分別位于美國俄亥俄州24個企業內網和本地ISP所提供的Internet主干網之間。其間,黑客攻擊端口的事件有12000次之多,下表是攻擊的詳細情況。
No. 端口號 服務 攻擊事件數 說 明
1 135和445 windows rpc 分別為42次和457次 表明可能感染了最新的windows病毒或蠕蟲病毒
2 57 email 56次 黑客利用fx工具對這個端口進行掃描,尋找微軟web服務器弱點
3 1080,3128,
6588,8080 代理服務 分別為64、21、21、163次 表示黑客正在進行掃描
4 25 smtp服務 56次 黑客探測smtp服務器并發送垃圾郵件信號
5 10000+ 未注冊的服務 376次攻擊這些端口通常會返回流量,原因可能是計算機或防火墻配置不當,或者黑客模擬返回流量進行攻擊
6 161 snmp服務 937次 成功獲得snmp可能會使黑客完全控制路由器、防火墻或交換機
7 1433 微軟sql服務 147次 表明計算機可能已經感染了sql slammer蠕蟲病毒
8 53 dns 1797次 表明防火墻或lan配置可能有問題
9 67 引導程序 23次 表明設備可能配置不當
開始…運行…命令集合
gpedit.msc-----組策略 sndrec32-------錄音機
Nslookup-------IP地址偵測器 explorer-------打開資源管理器
logoff---------注銷命令 tsshutdn-------60秒倒計時關機命令
lusrmgr.msc----本機用戶和組 services.msc—本地服務設置
oobe/msoobe /a----檢查XP是否激活 notepad--------打開記事本
cleanmgr-------垃圾整理 net start messenger----開始信使服務
compmgmt.msc—計算機管理 net stop messenger-----停止信使服務
conf-----------啟動netmeeting dvdplay--------DVD播放器
charmap--------啟動字符映射表 diskmgmt.msc—磁盤管理實用程序
calc-----------啟動計算器 dfrg.msc-------磁盤碎片整理程序
chkdsk.exe-----Chkdsk磁盤檢查 devmgmt.msc— 設備管理器
regsvr32 /u *.dll----停止dll文件運行 drwtsn32------ 系統醫生
rononce -p ----15秒關機 dxdiag---------檢查DirectX信息
regedt32-------注冊表編輯器 Msconfig.exe—系統配置實用程序
rsop.msc-------組策略結果集 mem.exe--------顯示內存使用情況
regedit.exe----注冊表 winchat--------XP自帶局域網聊天
progman--------程序管理器 winmsd---------系統信息
perfmon.msc----計算機性能監測程序 winver---------檢查Windows版本
sfc /scannow-----掃描錯誤并復原
taskmgr-----任務管理器(2000/xp/2003)
開始-運行 系列命令
這些東西平時不好找,看到了,就不要錯過…
winver---------檢查Windows版本
wmimgmt.msc----打開windows管理體系結構(WMI)
wupdmgr--------windows更新程序
wscript--------windows腳本宿主設置
write----------寫字板
winmsd---------系統信息
wiaacmgr-------掃描儀和照相機向導
winchat--------XP自帶局域網聊天
mem.exe--------顯示內存使用情況
Msconfig.exe—系統配置實用程序
mplayer2-------簡易widnows media player
mspaint--------畫圖板
mstsc----------遠程桌面連接
mplayer2-------媒體播放機
magnify--------放大鏡實用程序
mmc------------打開控制臺
mobsync--------同步命令
dxdiag---------檢查DirectX信息
drwtsn32------ 系統醫生
devmgmt.msc— 設備管理器
dfrg.msc-------磁盤碎片整理程序
diskmgmt.msc—磁盤管理實用程序
dcomcnfg-------打開系統組件服務
ddeshare-------打開DDE共享設置
dvdplay--------DVD播放器
net stop messenger-----停止信使服務
net start messenger----開始信使服務
notepad--------打開記事本
nslookup-------網絡管理的工具向導
ntbackup-------系統備份和還原
narrator-------屏幕“講述人”
ntmsmgr.msc----移動存儲管理器
ntmsoprq.msc—移動存儲管理員操作請求
netstat -an----(TC)命令檢查接口
syncapp--------創建一個公文包
sysedit--------系統配置編輯器
sigverif-------文件簽名驗證程序
sndrec32-------錄音機
shrpubw--------創建共享文件夾
secpol.msc-----本地安全策略
syskey---------系統加密,一旦加密就不能解開,保護windows xp系統的雙重密碼
services.msc—本地服務設置
Sndvol32-------音量控制程序
sfc.exe--------系統文件檢查器
sfc /scannow—windows文件保護
tsshutdn-------60秒倒計時關機命令
tourstart------xp簡介(安裝完成后出現的漫游xp程序)
taskmgr--------任務管理器
eventvwr-------事件查看器
eudcedit-------造字程序
explorer-------打開資源管理器
packager-------對象包裝程序
perfmon.msc----計算機性能監測程序
progman--------程序管理器
regedit.exe----注冊表
rsop.msc-------組策略結果集
regedt32-------注冊表編輯器
rononce -p ----15秒關機
regsvr32 /u *.dll----停止dll文件運行
regsvr32 /u zipfldr.dll------取消ZIP支持
cmd.exe--------CMD命令提示符
chkdsk.exe-----Chkdsk磁盤檢查
certmgr.msc----證書管理實用程序
calc-----------啟動計算器
charmap--------啟動字符映射表
cliconfg-------SQL SERVER 客戶端網絡實用程序
Clipbrd--------剪貼板查看器
conf-----------啟動netmeeting
compmgmt.msc—計算機管理
cleanmgr-------垃圾整理
ciadv.msc------索引服務程序
osk------------打開屏幕鍵盤
odbcad32-------ODBC數據源管理器
oobe/msoobe /a----檢查XP是否激活
lusrmgr.msc----本機用戶和組
logoff---------注銷命令
iexpress-------木馬捆綁工具,系統自帶
Nslookup-------IP地址偵測器
fsmgmt.msc-----共享文件夾管理器
utilman--------輔助工具管理器
gpedit.msc-----組策略
PING命令及使用技巧
Ping是個使用頻率極高的實用程序,用于確定本地主機是否能與另一臺主機交換(發送與接收)數據報。根據返回的信息,我們就可以推斷TCP/IP參數是否設置得正確以及運行是否正常。需要注意的是:成功地與另一臺主機進行一次或兩次數據報交換并不表示TCP/IP配置就是正確的,我們必須執行大量的本地主機與遠程主機的數據報交換,才能確信TCP/IP的正確性。
簡單的說,Ping就是一個測試程序,如果Ping運行正確,我們大體上就可以排除網絡訪問層、網卡、MODEM的輸入輸出線路、電纜和路由器等存在的故障,從而減小了問題的范圍。但由于可以自定義所發數據報的大小及無休止的高速發送,Ping也被某些別有用心的人作為DDOS(拒絕服務攻擊)的工具,例如許多大型的網站就是被黑客利用數百臺可以高速接入互聯網的電腦連續發送大量Ping數據報而癱瘓的。
按照缺省設置, Windows上運行的Ping命令發送4個ICMP(網間控制報文協議)回送請求,每個32字節數據,如果一切正常,我們應能得到4個回送應答。 Ping能夠以毫秒為單位顯示發送回送請求到返回回送應答之間的時間量。如果應答時間短,表示數據報不必通過太多的路由器或網絡連接速度比較快。Ping 還能顯示TTL(Time To Live存在時間)值,我們可以通過TTL值推算一下數據包已經通過了多少個路由器:源地點TTL起始值(就是比返回TTL略大的一個2的乘方數)-返回時TTL值。例如,返回TTL值為119,那么可以推算數據報離開源地址的TTL起始值為128,而源地點到目標地點要通過9個路由器網段(128- 119);如果返回TTL值為246,TTL起始值就是256,源地點到目標地點要通過9個路由器網段。
1、通過Ping檢測網絡故障的典型次序
正常情況下,當我們使用Ping命令來查找問題所在或檢驗網絡運行情況時,我們需要使用許多Ping命令,如果所有都運行正確,我們就可以相信基本的連通性和配置參數沒有問題;如果某些Ping命令出現運行故障,它也可以指明到何處去查找問題。下面就給出一個典型的檢測次序及對應的可能故障:
·ping 127.0.0.1
這個Ping命令被送到本地計算機的IP軟件,該命令永不退出該計算機。如果沒有做到這一點,就表示TCP/IP的安裝或運行存在某些最基本的問題。
·ping 本機IP
這個命令被送到我們計算機所配置的IP地址,我們的計算機始終都應該對該Ping命令作出應答,如果沒有,則表示本地配置或安裝存在問題。出現此問題時,局域網用戶請斷開網絡電纜,然后重新發送該命令。如果網線斷開后本命令正確,則表示另一臺計算機可能配置了相同的IP地址。
·ping 局域網內其他IP
這個命令應該離開我們的計算機,經過網卡及網絡電纜到達其他計算機,再返回。收到回送應答表明本地網絡中的網卡和載體運行正確。但如果收到0個回送應答,那么表示子網掩碼(進行子網分割時,將IP地址的網絡部分與主機部分分開的代碼)不正確或網卡配置錯誤或電纜系統有問題。
·ping 網關IP
這個命令如果應答正確,表示局域網中的網關路由器正在運行并能夠作出應答。
·ping 遠程IP
如果收到4個應答,表示成功的使用了缺省網關。對于撥號上網用戶則表示能夠成功的訪問Internet(但不排除ISP的DNS會有問題)。
·ping localhost
localhost是個作系統的網絡保留名,它是127.0.0.1的別名,每太計算機都應該能夠將該名字轉換成該地址。如果沒有做到這一帶內,則表示主機文件(/Windows/host)中存在問題。
·ping www.xxx.com(如www.yesky.com 天極網)
對這個域名執行Ping www.xxx.com 地址,通常是通過DNS 服務器如果這里出現故障,則表示DNS服務器的IP地址配置不正確或DNS服務器有故障(對于撥號上網用戶,某些ISP已經不需要設置DNS服務器了)。順便說一句:我們也可以利用該命令實現域名對IP地址的轉換功能。
如果上面所列出的所有Ping命令都能正常運行,那么我們對自己的計算機進行本地和遠程通信的功能基本上就可以放心了。但是,這些命令的成功并不表示我們所有的網絡配置都沒有問題,例如,某些子網掩碼錯誤就可能無法用這些方法檢測到。
2、Ping命令的常用參數選項
·ping IP Ct
連續對IP地址執行Ping命令,直到被用戶以Ctrl+C中斷。
·ping IP -l 3000
指定Ping命令中的數據長度為3000字節,而不是缺省的32字節。
·ping IP Cn
執行特定次數的Ping命令。
GHOST詳細解說(1)
一、分區備份
使用ghost進行系統備份,有整個硬盤(Disk)和分區硬盤(Partition)兩種方式。在菜單中點擊 Local(本地)項,在右面彈出的菜單中有3個子項,其中 Disk表示備份整個硬盤(即克隆)、Partition 表示備份硬盤的單個分區、Check 表示檢查硬盤或備份的文件,查看是否可能因分區、硬盤被破壞等造成備份或還原失敗。分區備份作為個人用戶來保存系統數據,特別是在恢復和復制系統分區時具有實用價值。
選 Local→Partition→To Image 菜單,彈出硬盤選擇窗口,開始分區備份操作。點擊該窗口中白色的硬盤信息條,選擇硬盤,進入窗口,選擇要操作的分區(若沒有鼠標,可用鍵盤進行操作: TAB鍵進行切換,回車鍵進行確認,方向鍵進行選擇)。 在彈出的窗口中選擇備份儲存的目錄路徑并輸入備份文件名稱,注意備份文件的名稱帶有 GHO 的后綴名。 接下來,程序會詢問是否壓縮備份數據,并給出3個選擇:No 表示不壓縮,Fast表示壓縮比例小而執行備份速度較快,High 就是壓縮比例高但執行備份速度相當慢。最后選擇 Yes 按鈕即開始進行分區硬盤的備份。ghost 備份的速度相當快,不用久等就可以完成,備份的文件以 GHO 后綴名儲存在設定的目錄中。
二、硬盤克隆與備份
硬盤的克隆就是對整個硬盤的備份和還原。選擇菜單Local→Disk→To Disk,在彈出的窗口中選擇源硬盤(第一個硬盤),然后選擇要復制到的目標硬盤(第二個硬盤)。注意,可以設置目標硬盤各個分區的大小,ghost 可以自動對目標硬盤按設定的分區數值進行分區和格式化。選擇 Yes 開始執行。
ghost 能將目標硬盤復制得與源硬盤幾乎完全一樣,并實現分區、格式化、復制系統和文件一步完成。只是要注意目標硬盤不能太小,必須能將源硬盤的數據內容裝下。
ghost 還提供了一項硬盤備份功能,就是將整個硬盤的數據備份成一個文件保存在硬盤上(菜單 Local→Disk→To Image),然后就可以隨時還原到其他硬盤或源硬盤上,這對安裝多個系統很方便。使用方法與分區備份相似。
三、備份還原
如果硬盤中備份的分區數據受到損壞,用一般數據修復方法不能修復,以及系統被破壞后不能啟動,都可以用備份的數據進行完全的復原而無須重新安裝程序或系統。當然,也可以將備份還原到另一個硬盤上。
要恢復備份的分區,就在界面中選擇菜單Local→Partition→From Image,在彈出窗口中選擇還原的備份文件,再選擇還原的硬盤和分區,點擊 Yes 按鈕即可。
四、
LPT 是通過并口傳送備份文件,下面有兩個選項:slave 和 master, 分別用以連接主機和客戶機。 網絡基本輸入輸出系統 NetBios 和 LPT 相似, 也有 slave 和 master 兩個選項, 作用與 LPT 相同。
先和平時一樣將要 ghost 的分區做成一個 *.gho 文件,再在一臺 win98 上安裝Symantec ghost 企業版,重啟。
IP = 192.168.100.44
NETMASK = 255.255.255.0
GATEWAY = 192.168.100.1
3.詳述:
目前,相當多的電子教室都采用了沒有軟驅、光驅的工作站。在沒有軟驅、光驅的情況下,當硬盤的軟件系統出現問題時,能否實現網絡硬盤克隆呢?PXE(Preboot Execution Environment,它是基于 TCP/IP、DHCP、TFTP 等 Internet 協議之上的擴展網絡協議)技術提供的從網絡啟動的功能,讓我們找到了解決之道。下面,我們就來講解怎樣采用ghost 7.0來實現基于 PXE 的網絡硬盤克隆。
網絡硬盤克隆過程簡述
網絡硬盤克隆過程為:在裝有軟驅的工作站上,用一張引導盤來啟動機器,連接到服務器,使用 ghost 多播服務(Multicast Server)將硬盤或分區的映像克隆到工作站,這樣就實現了不拆機、安全、快速的網絡硬盤克隆。
五:實現 PXE 網絡啟動方式
對于沒有軟驅、光驅的工作站,要實現PXE網絡啟動方式,需要完成三個步驟:
1、工作站的PXE啟動設置
PXE網絡啟動一般要求在網卡上加裝 PXE 啟動芯片(PXE Boot ROM);對于某些型號的網卡,也可以將 PXE 啟動代碼(Boot Code)寫入主板的 Flash ROM;而一些主板上集成了網卡的品牌機(例如清華同方的商用機),可直接支持PXE啟動。
常用的 RTL8139 芯片的網卡,其 PXE 啟動設置方式是:機器啟動時根據屏幕提示按下Shift+F10,在啟動類型中選擇PXE,開啟網絡啟動選項即可。
GHOST詳細解說(2)
2、制作 PXE 啟動文件
制作 PXE 的啟動文件,推薦使用 3Com 的 DABS(Dynamic Access Boot Services)。DABS 提供了功能強大的 PXE 啟動服務、管理功能,但是,網上可供下載的是一個30天的試用版。所以,我們只用它的啟動映像文件制作功能,而由 Windows 2000 Server 的 DHCP 服務器來提供 PXE 啟動服務。
DABS 可以安裝在任何一臺運行 Windows 的機器上。安裝后,運行 3Com Boot Image Editor,出現主界面圖。選擇“創建TCP/IP或PXE映像文件(Create a TCP/IP or PXE image file)”,出現對話窗口。為即將建立的映像文件命名,例如:pxeghost.img,其他采用默認選項,將經測試正常的網絡啟動盤放入軟驅,選擇 [OK],創建PXE啟動映像 Pxeghost.img文件。
在 3Com Boot Image Editor 的主菜單中,選擇“創建PXE菜單啟動文件(Creat a PXE menu boot file)”,在出現的窗口中選擇[添加(Add)],加入我們剛剛創建的啟動映像文件Pxeghost.img,在“選項(Options)”標簽中可以設置菜單標題和等待時間。
選擇[保存(Save)],給保存的PXE菜單啟動文件命名為 Pxemenu.pxe。
3、服務器的PXE啟動服務設置
Windows 2000 Server 的 DHCP 服務支持兩種啟動協議:DHCP 和 BOOTP。我們可以設定以下三種選擇:僅 DHCP、僅 BOOTP、兩者。如果我們的局域網中由其他的 DHCP 服務器提供動態 IP 地址分配,那么這里選“僅BOOTP”即可;如果需要這臺服務器提供動態 IP 地址分配,則需要選“兩者”。
接下來,設置啟動文件名。在DHCP服務器的作用域選項中配置選項“067:啟動文件名”,字串值為我們創建的 PXE 菜單啟動文件名 Pxemenu.pxe。注意:文件名不包含路徑。
DHCP 服務器只是將啟動文件名通知給 BOOTP 客戶機,客戶機通過什么方式下載啟動文件呢?答案是,需要 TFTP 服務。3Com 的 DABS 包含了一個 TFTP 服務組件,當然,也可以下載一個免費的 TFTP 服務器軟件長期使用。
在 TFTP 服務器的設置中,規定一個服務目錄。將制作的 PXE 啟動文件 Pxeghost.img、Pxemenu.pxe 放到 TFTP 的服務目錄中。TFTP 服務器設置為自動運行。
用 ghost 多播克隆硬盤
現在運行 ghost 多播服務器,任務名稱為 Restore。設置完畢,按下[接受客戶(Accept Clients)]按鈕。啟動要接受硬盤克隆的無軟驅工作站,如果以上步驟操作無誤,應該能夠實現 PXE 啟動,加入到多播克隆的任務當中。所有的目標工作站連接到本次任務之后,按下[發送(Send)]按鈕,開始克隆任務。
五、參數設置
在 Options 中可以設置參數。下面簡單介紹一下:
1.image write buffering:在建立備份文件時, 打開寫緩沖;
2.sure:選擇此項后, 不再會出現最終確認詢問 (建議不要選擇此項);
3.no int 13:選擇此項后, 不支持中斷 13 (缺省時不選擇);
4.reboot:在對硬盤或者分區操作完成之后, 自動重啟計算機;
5.spanning:通過多個卷架構備份文件 (選擇此項時, 關閉 write buffering);
6.autoname:自動為 spanning 文件命名;
7.allow 64k fat clusters:允許使用 64K FAT 簇 (僅在 Windows NT 中支持);
8.ignore CRC errors:忽略 CRC 錯誤;
9.override size limit:如果出現分區大小不相配, 可忽略執行;
10.image read buffering:打開生成備份文件時的讀緩存 (缺省時選中此項)。
六、軟件特性
1.存貯介質
ghost 支持的存儲介質超出了我們的想象,它支持對等 LPT 接口、對等 USB 接口、對等 TCP/IP 接口、SCSI磁帶機、便攜式設備(JAZ、ZIP、MO等)、光盤刻錄機(CDR、CDRW)等。而這些特性不需要任何外帶的驅動程序和軟件,只需一張軟盤就可以做到!特別是對光盤刻錄機的支持,如今的刻錄機和空白光盤都十分便宜,非常適合作備份的用途。
GHOST詳細解說(3)
2.兼容性
ghost 對現有的操作系統都有良好的支持,包括 FAT16、FAT32、NTFS、HPFS、UNIX、NOVELL 等文件存儲格式。同以前版本不同的是,ghost 2001 加入了對 Linux EX2的支持(FIFO 文件存儲格式),這也就意味著 Linux 的用戶也可以用 ghost 來備份系統了。
3.配套軟件
A.ghost 瀏覽器
在以前的 ghost版本中,我們只能對整個系統進行簡單的備份、復制、還原,要恢復單個的文件和文件夾還要使用外帶的 GhostEXP 軟件。現在,Symantec 公司已經將 ghost 瀏覽器整合在軟件中。ghost 瀏覽器采用類似于資源管理器的界面,通過它,我們可以方便迅速地在備份包中找出我們想要的文件和文件夾并還原。
使用Explorer可以備份整個硬盤或單個硬盤分區,點擊工具欄上的圓柱形圖標,彈出硬盤或分區選擇對話窗口,然后再選擇備份文件的儲存目錄并輸入名稱即可完成。要注意的是,非注冊用戶不能使用備份這項功能。
在 ghost Explorer 中管理硬盤備份文件就非常方便了。首先選擇打開一個備份文件(File/Open),這時備份中的文件就像資源管理器一樣在程序界面窗口中列出,可以在其中非常方便地查看、打開文件,也可以查找文件,或者將某個文件刪除(但不能刪除目錄)。
在 ghost Explorer 中提供了多種還原硬盤備份文件的方法,最方便的方法是使用鼠標右鍵點擊某個文件,在彈出菜單中選擇 Restore,然后輸入要還原到的目錄,這樣,單個文件就從整個磁盤備份中還原出來了。當然,如果要還原整個磁盤備份,只需選擇左面目錄列表欄中最上面的帶磁盤圖標的目錄項,然后點擊工具欄中的還原圖標 (第二個) 就可以了。
B.GDisk
GDisk 是一個新加入的實用工具,它徹底取代了 FDisk 和 format,功能有:
- 快速格式化。
- ######和顯示分區。此功能允許一個以上的主 DOS分區,并且每個分區上的操作系統有不同的版本。######分區的能力使計算機習慣于引導到選定的可引導分區,忽略其他######分區中相同操作系統的安裝。
- 全面的分區報告。
- 高度安全的磁盤擦除。提供符合美國國防部標準和更高安全標準的磁盤擦除選項。
與使用交互式菜單的 FDisk 不同,GDisk是由命令行驅動的。這提供了更快的配置磁盤分區和在批處理文件中定義 GDisk操作的能力。但與此同時,幾十個參數會令普通用戶頭疼,因此筆者不推薦一般用戶使用,Symantec 公司也應該推出相應的GUI(圖形用戶界面)控制臺以方便用戶使用。具體的參數說明可以用命令行 gdisk/? 了解。
C.Live Update
Live Update 是 Symantec公司軟件的一個通用升級程序,它能夠檢查當前系統中已安裝的 Symantec 軟件,并且通過英特網對軟件進行在線升級。
在安裝 ghost 2001 時,安裝程序自動升級了 Live Update 程序的版本。
七、命令行參數:(ghost 的無人 備份/恢復/復制操作)
其實 ghost 2001 的功能遠遠不止它主程序中顯示的那些,ghost 可以在其啟動的命令行中添加眾多參數以實現更多的功能。命令行參數在使用時頗為復雜,不過我們可以制作批處理文件,從而“一勞永逸”(類似于無人安裝 Windows 98 和Windows 2000)。現在讓我們來了解一些常用的參數(了解更加詳細的參數介紹可查看 ghost 的幫助文件)。
1.-rb
本次 ghost 操作結束退出時自動重啟。這樣,在復制系統時就可以放心離開了。
2.-fx
本次 ghost 操作結束退出時自動回到DOS提示符。
3.-sure
對所有要求確認的提示或警告一律回答“Yes”。此參數有一定危險性,只建議高級用戶使用。
4.-fro
如果源分區發現壞簇,則略過提示而強制拷貝。此參數可用于試著挽救硬盤壞道中的數據。
5.@filename
在 filename 中指定 txt 文件。txt文件中為 ghost 的附加參數,這樣做可以不受DOS命令行 150 個字符的限制。
6.-f32
將源 FAT16 分區拷貝后轉換成 FAT32(前提是目標分區不小于 2G)。WinNT 4 和Windows95、97用戶慎用。
7.-bootcd
當直接向光盤中備份文件時,此選項可以使光盤變成可引導。此過程需要放入啟動盤。
8.-fatlimit
將 NT 的 FAT16 分區限制在 2G。此參數在復制 Windows NT 分區,且不想使用64k/簇的 FAT16 時非常有用。
9.-span
分卷參數。當空間不足時提示復制到另一個分區的另一個備份包。
10.-auto
分卷拷貝時不提示就自動賦予一個文件名繼續執行。
11.-crcignore
忽略備份包中的 CRC ERROR。除非需要搶救備份包中的數據,否則不要使用此參數,以防數據錯誤。
12.-ia
全部映像。ghost 會對硬盤上所有的分區逐個進行備份。
13.-ial
全部映像,類似于 -ia 參數,對 Linux 分區逐個進行備份。
14.-id
全部映像。類似于 -ia 參數,但包含分區的引導信息。
15.-quiet
操作過程中禁止狀態更新和用戶干預。
16.-script
可以執行多個 ghost 命令行。命令行存放在指定的文件中。
17.-split=x
將備份包劃分成多個分卷,每個分卷的大小為 x兆。這個功能非常實用,用于大型備份包復制到移動式存儲設備上,例如將一個 1.9G 的備份包復制到 3 張刻錄盤上。
18.-z
將磁盤或分區上的內容保存到映像文件時進行壓縮。-z 或 -z1 為低壓縮率(快速);-z2 為高壓縮率(中速);-z3 至 -z9 壓縮率依次增大(速度依次減慢)。
19.-clone
這是實現 ghost 無人備份/恢復的核心參數。使用語法為:
-clone,MODE=(operation),SRC=(source),DST=(destination),[SZE(size),SZE(size)…]
此參數行較為復雜,且各參數之間不能含有空格。其中 operation意為操作類型,值可取:copy:磁盤到磁盤;load:文件到磁盤;dump:磁盤到文件;pcopy:分區到分區;pload:文件到分區;pdump:分區到文件。
Source 意為操作源,值可取:驅動器號,從1開始;或者為文件名,需要寫絕對路徑。
Destination 意為目標位置,值可取:驅動器號,從 1開始;或者為文件名,需要寫絕對路徑;@CDx,刻錄機,x 表示刻錄機的驅動器號,從1開始。
下面舉例說明:
1.命令行參數:ghostpe.exe -clone,mode=copy,src=1,dst=2
完成操作:將本地磁盤1復制到本地磁盤2。
2.命令行參數:ghostpe.exe -clone,mode=pcopy,src=1:2,dst=2:1
完成操作:將本地磁盤1上的第二分區復制到本地磁盤2的第一分區。
3.命令行參數:ghostpe.exe-clone,mode=load,src=g:\3prtdisk.gho,dst=1,sze1=450M,sze2=1599M,sze3=2047M
完成操作:從映像文件裝載磁盤1,并將第一個分區的大小調整為450MB,第二個調整為1599MB,第三個調整為2047MB。
4.命令行參數:ghostpe.exe -clone,mode=pdump,src2:1:4:6,dst=d:\prt246.gho
完成操作:創建僅含有選定分區的映像文件。從磁盤2上選擇分區1、4、6。
八、一些示例
ghost.exe -clone,mode=copy,src=1,dst=2 -sure
硬盤對拷
ghost.exe -clone,mode=pcopy,src=1:2,dst=2:1 -sure
將一號硬盤的第二個分區復制到二號硬盤的第一個分區
ghost.exe -clone,mode=pdump,src=1:2,dst=g:\bac.gho
將一號硬盤的第二個分區做成映像文件放到 g 分區中
ghost.exe -clone,mode=pload,src=g:\bac.gho:2,dst=1:2
從內部存有兩個分區的映像文件中,把第二個分區還原到硬盤的第二個分區
ghost.exe -clone,mode=pload,src=g:\bac.gho,dst=1:1 -fx -sure -rb
用 g 盤的 bac.gho 文件還原 c 盤。完成后不顯示任何信息,直接啟動
ghost.exe -clone,mode=load,src=g:\bac.gho,dst=2,SZE1=60P,SZE2=40P
將映像文件還原到第二個硬盤,并將分區大小比例修改成 60:40
自動還原磁盤:
首先做一個啟動盤,包含 Config.sys, Autoexec.bat, Command.com, Io.sys, ghost.exe 文件(可以用 windows 做啟動盤的程序完成)。Autoexec.bat 包含以下命令:
ghost.exe -clone,mode=pload,src=d:\bac.gho,dst=1:1 -fx -sure -rb
利用在 D 盤的文件自動還原,結束以后自動退出 ghost 并且重新啟動。
自動備份磁盤:
ghost.exe -clone,mode=pdump,src=1:1,dst=d:\bac.gho -fx -sure -rb
自動還原光盤:
包含文件:Config.sys, Autoexec.bat, Mscdex.exe (CDROM 執行程序), Oakcdrom.sys (ATAPI CDROM 兼容驅動程序), ghost.exe。
Config.sys 內容為:
DEVICE=OAKCDROM.SYS /D:IDECD001
Autoexec.bat 內容為:
MSCDEX.EXE /D:IDECE001 /L:Z
ghost -clone,mode=load,src=z:\bac.gho,dst=1:1 -sure -rb
可以根據下面的具體說明修改示例:
1.-clone
-clone 在使用時必須加入參數,它同時也是所有的 switch{batch switch} 里最實用的。下面是 clone 所定義的參數:
mode={copy|load|dump|pcopy|pload|pdump},
src={drive|file|driveartition},
dst={drive|file|driveartition}
mode 指定要使用哪種 clone 所提供的命令
copy 硬盤到硬盤的復制 (disk to disk copy)
load 文件還原到硬盤 (file to disk load)
dump 將硬盤做成映像文件 (disk to file dump)
pcopy 分區到分區的復制 (partition to partition copy)
pload 文件還原到分區 (file to partition load)
pdump 分區備份成映像文件(partition to file dump)
src 指定了 ghost 運行時使用的源分區的位置模式及其意義。對應 mode 命令 src 所使用參數例子:
COPY/DUMP 源硬盤號。以 1 代表第一號硬盤
LOAD 映像文件名。g:/back98/setup98.gho 或裝置名稱 (drive)
PCOPY/PDUMP 源分區號。1:2 代表的是硬盤1的第二個分區
PLOAD 分區映像文件名加上分區號或是驅動器名加上分區號。g:\back98.gho:2 代表映像文件里的第二個分區
dst 指定運行 ghost 時使用的目標位置模式及其意義。對應 mode 命令 dst 所使用參數例子:
COPY/DUMP 目的硬盤號。2 代表第二號硬盤
LOAD 硬盤映像文件名。例 g:\back98\setup98.gho
PCOPY/PLOAD 目的分區號。2:2 代表硬盤 2 的第二個分區
PDUMP 分區映像文件名加分區號。g:\back98\setup98.gho:2
SZEn 指定所使用目的分區的大小:
n=xxxxM 指定第 n 目的分區的大小為 xxxxMB。如 SZE2=800M 表示分區 2 的大小為 800MB
n=mmP 指定第 n 目的分區的大小為整個硬盤的 mm 個百分比。
2.-fxo 當源物件出現壞塊時,強迫復制繼續進行
3.-fx 當ghost完成新系統的工作后不顯示 press ctrl-alt-del to reboot 直接回到DOS下
4.-ia 完全執行扇區到扇區的復制。當由一個映像文件或由另一個硬盤為來源,復制一個分區時,ghost將首先檢查來源分區,再決定是要復制文件和目錄結構還是要做映像復制(扇區到扇區)。預設是這種形式。但是有的時候,硬盤里特定的位置可能會放一些######的與系統安全有關的文件。只有用扇區到扇區復制的方法才能正確復制
5.-pwd and -pwd=x 給映像文件加密
6.-rb 在還原或復制完成以后,讓系統重新啟動
7.-sure 可以和 clone 合用。ghost 不會顯示 proceed with disk clone-destination drive will be overwritten? 提示信息
九、注意事項
1.在備份系統時,單個的備份文件最好不要超過 2GB。
2.在備份系統前,最好將一些無用的文件刪除以減少ghost文件的體積。通常無用的文件有:Windows 的臨時文件夾、IE 臨時文件夾、Windows 的內存交換文件。這些文件通常要占去100 多兆硬盤空間。
3.在備份系統前,整理目標盤和源盤,以加快備份速度。
4.在備份系統前及恢復系統前,最好檢查一下目標盤和源盤,糾正磁盤錯誤。
5.在恢復系統時,最好先檢查一下要恢復的目標盤是否有重要的文件還未轉移,千萬不要等硬盤信息被覆蓋后才后悔莫及啊。
6.在選擇壓縮率時,建議不要選擇最高壓縮率,因為最高壓縮率非常耗時,而壓縮率又沒有明顯的提高。
7.在新安裝了軟件和硬件后,最好重新制作映像文件,否則很可能在恢復后出現一些莫名其妙的錯誤。
總結
以上是生活随笔為你收集整理的菜鸟学习初级教程-----强烈推荐(看完后成黑客拉)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 单片机STM8S测量电压电路_单片机电路
- 下一篇: 分类与聚类