我在这里集中整理收集关于WIN2003系统相关的技术资料. 有用的技术资料.
http://www.microsoft.com/china/TechNet/security/Sa...
以下提供了在Windows Server 2003操作系统公开发布之时与其相关的各类信息资源。
如需获取有关Windows Server 2003安全设置描述的更多信息资料,请参看:http://www.microsoft.com/technet/treeview/default....
/windowsserver2003/proddocs/server/615.asp。
如需获取有关Windows Server 2003安全性的更多信息资料,请参看:http://www.microsoft.com/technet/treeview/default....
/windowsserver2003/proddocs/server/sag_SEtopnode.asp。
如需获取有关Windows Server 2003审核策略的更多信息资料,请参看:http://www.microsoft.com/technet/treeview/default....
/windowsserver2003/proddocs/server/APtopnode.asp。
如需获取有关Microsoft Operations Manger(MOM)的更多信息资料,请参看:http://www.microsoft.com/china/mom/。
如需获取有关Windows Server 2003用户权限分配的更多信息资料,请参看:http://www.microsoft.com/technet/treeview/default....
/windowsserver2003/proddocs/server/URAtopnode.asp。
如需获取有关Windows Server 2003缺省安全设置区别的更多信息资料,请参看:http://www.microsoft.com/technet/treeview/default....
/windowsserver2003/proddocs/datacenter/windows_security_differences.asp。
如需获取有关Windows 2000终端服务安全保障的更多信息资料,请参看:http://www.microsoft.com/technet/treeview/default....
/win2kts/maintain/optimize/secw2kts.asp。
如需获取有关Windows Server 2003 TCP/IP堆栈强化手段的更多信息资料,请参看第Q324270号Microsoft知识库文章——“为抵御服务拒绝攻击而在Windows Server 2003中对TCP/IP堆栈加以强化”:http://support.microsoft.com/default.aspx?scid=324...。
如需获取有关Windows套接字应用程序设置强化手段的更多信息资料,请参看第Q142641号Microsoft知识库文章——“Internet服务器因恶意SYN攻击而无法使用”: http://support.microsoft.com/default.aspx?scid=142...。
如需获取有关.adm文件所处位置的更多信息资料,请参看第Q228460号Microsoft知识库文章——“ADM(管理模板)文件在Windows系统中所处位置”:http://support.microsoft.com/default.aspx?scid=228...。
如需获取有关安全配置编辑器(SCE)用户界面自定义方式的更多信息资料,请参看第214752号Microsoft知识库文章——“如何向安全配置编辑器中添加自定义注册表设置”:http://support.microsoft.com/default.aspx?scid=214...。
如需获取在Windows系统中生成自定义管理模板文件的更多相关信息,请参看第323639号Microsoft知识库文章——“操作指导:在Windows 2000中生成自定义管理模板”,下载网址:http://support.microsoft.com/default.aspx?scid= 323639。此外,您还可查阅题为“实施基于注册表的组策略”的白皮书:http://www.microsoft.com/WINDOWS2000/techinfo/howi...
/rbppaper.asp。
如需获取在混用Windows 2000和Windows NT 4.0操作系统的网络环境下提高LAN Manager身份验证级别设置安全保障水平的更多相关信息,请参看第Q305379号Microsoft知识库文章——“在Windows NT 4.0域中的Windwos 2000操作系统下将NTLM 2级别设定为2以上所导致的身份验证问题”:http://support.microsoft.com/default.aspx?scid=305...。
如需获取有关LAN Manager兼容水平的更多信息资料,请参看:http://www.microsoft.com/windows2000/techinfo/resk...。
如需获取有关NTLMv2身份验证服务的更多信息资料,请参看第Q239869号Microsoft知识库文章——“如何激活适用于Windows 95/98/2000和Windows NT操作系统的NTLM 2身份验证服务”:http://support.microsoft.com/default.aspx?scid=239...。
如需有关Windows Server 2003缺省服务设置的更多信息资料,请参看:http://www.microsoft.com/technet/treeview/default....
/windowsserver2003/proddocs/datacenter/sys_srv_default_settings.asp。
如需获取有关智能卡部署的更多信息资料,敬请访问Technet智能卡网站:http://www.microsoft.com/technet/treeview/default....
prodtech/smrtcard/default.asp。
如需获取有关Windows Server 2003审核策略的更多信息资料,请参看:http://www.microsoft.com/technet/treeview/default....
/windowsserver2003/proddocs/server/APtopnode.asp。
如需了解有关“RestrictAnonymous”注册表值打破Windows 2000域信任方式的更多信息资料,请参看:http://support.microsoft.com/default.aspx?scid=kb;...。
如需了解与禁用错误报告有关的更多信息资料,请参看:http://www.microsoft.com/technet/treeview/default....
/windowsserver2003/proddocs/server/sysdm_advancd_exception_reporting.asp。
如需获取有关Windows企业级错误报告的更多信息资料,请参看:http://www.microsoft.com/office/ork/xp/appndx/appa...。
正确安装Windows 2000
1、正确地给硬盘分区
在安装Windows 2000时,应至少建立两个逻辑分区,一个用作系统分区,另一个用作为应用程序分区。修改“我的文档”及“Outlook Express”等应用程序的默认文件夹位置,使其位置不在系统分区。如果要提供Web服务,推荐按如下设置分区:
分区1应用于安装Windows 2000 Server系统;分区2应用于IIS服务;分区3应用于FTP服务;分区4用以存放其它一些资料文件。
服务器应选择独立的服务器,选择工作组成员,不要选择域。
2、有选择性地安装组件
不要按Windows 2000的默认安装组件,本着“最少的服务+最小的权限=最大的安全”原则,只选择安装需要的服务即可。例如:不作为Web服务器或FTP服务器就不安装IIS。常用Web服务器需要的最小组件是: Internet 服务管理器、WWW服务器和与其有关的辅助服务。
3、安装完毕后加入网络
在安装完成Windows 2000操作系统后,不要立即把服务器加入网络,因为这时的服务器上的各种程序还没有打上补丁,存在各种漏洞,非常容易感染病毒和被入侵。
应该在所有应用程序安装完之后依次打上各种补丁,因为补丁程序是针对不同应用程序而安装的,往往要替换或修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。例如IIS的HotFix要求每次更改IIS的配置时都需要重新安装。
还有,如果怕IIS负荷过高导致服务器死机,也可以在性能中打开CPU限制,如将IIS的最大CPU使用率限制在70%。
正确设置和管理账户
1、停止使用用Guest账户,并给Guest 加一个复杂的密码。
2、账户要尽可能少,并且要经常用一些扫描工具查看一下系统账户、账户权限及密码。删除停用的账户,常用的扫描软件有:流光、HSCAN、X-SCAN、STAT SCANNER等。正确配置账户的权限,密码至少应不少于8位,且要数字、大小写字母,以及数字的上档键混用,这样就较难破译。
3、增加登录的难度,在“账户策略→密码策略”中设定:“密码复杂性要求启用”,“密码长度最小值8位”,“强制密码历史5次”,“最长存留期 30天”;在“账户策略→账户锁定策略”设定:“账户锁定3次错误登录”,“锁定时间20分钟”,“复位锁定计数20分钟”等,增加了登录的难度对系统的安全大有好处。
4、把系统Administrator账号改名,名称不要带有Admin等字样; 创建一个陷阱帐号,如创建一个名为“Administrator”的本地帐户,把权限设置成最低,什么事也干不了,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts忙上一段时间了,并且可以借此发现他们的入侵企图。
5、不让系统显示上次登录的用户名,具体操作如下:
将注册表中“Hkey\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name”的键值改为1。
正确地设置目录和文件权限
为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,还必须非常小心地设置目录和文件的访问权限。Windows 2000的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全控制的(Full Control),您需要根据应用的需要重新设置权限。在进行权限控制时,请记住以下几个原则:
1、权限是累计的,如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限。
2、拒绝的权限要比允许的权限高(拒绝策略会先执行)。如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。
3、 文件权限比文件夹权限高。
4、 利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。
5、 只给用户真正需要的权限,权限的最小化原则是安全的重要保障。
6、 预防ICMP攻击。ICMP的风暴攻击和碎片攻击是NT主机比较头疼的攻击方法,而Windows 2000应付的方法很简单。Windows 2000自带一个Routing & Remote Access工具,这个工具初具路由器的雏形。在这个工具中,我们可以轻易地定义输入输出包过滤器。如设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。
网络服务安全管理
1、关闭不需要的服务
只留必需的服务,多一些服务可能会给系统带来更多的安全因素。如Windows 2000的Terminal Services(终端服务)、IIS(web服务)、RAS(远程访问服务)等,这些都有产生漏洞的可能。
2、关闭不用的端口
只开放服务需要的端口与协议。
具体方法为:按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→TCP/IP筛选→属性”,添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口,常用的TCP口有:80口用于Web服务;21用于FTP服务;25口用于SMTP;23口用于Telnet服务;110口用于POP3。常用的UDP端口有:53口-DNS域名解析服务;161口-snmp简单的网络管理协议。8000、4000用于OICQ,服务器用8000来接收信息,客户端用4000发送信息。
3、禁止建立空连接
默认情况下,任何用户可通过空连接连上服务器,枚举账号并猜测密码。空连接用的端口是139,通过空连接,可以复制文件到远端服务器,计划执行一个任务,这就是一个漏洞。可以通过以下两种方法禁止建立空连接:
(1) 修改注册表中 Local_Machine\System\
CurrentControlSet\Control\LSA-RestrictAnonymous 的值为1。
(2) 修改Windows 2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。
首先,Windows 2000的默认安装允许任何用户通过空连接得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得到您的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止空用户连接,实际上Windows 2000的本地安全策略里(如果是域服务器就是在域服务器安全和域安全策略里)就有RestrictAnonymous选项,其中有三个值:“0”这个值是系统默认的,没有任何限制,远程用户可以知道您机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等;“1”这个值是只允许非NULL用户存取SAM账号信息和共享信息;“2”这个值只有Windows 2000才支持,需要注意的是,如果使用了这个值,就不能再共享资源了,所以还是推荐把数值设为“1”比较好。
网络服务安全配置
1、修改默认端口。终端服务的默认端口为3389,可考虑修改为别的端口。修改方法为:
服务器端:打开注册表,在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”处找到类似RDP-TCP的子键,修改PortNumber值。
客户端:按正常步骤建一个客户端连接,选中这个连接,在“文件”菜单中选择导出,在指定位置会生成一个后缀为.cns的文件。打开该文件,修改“Server Port”值为与服务器端的PortNumber对应的值。然后再导入该文件(方法:菜单→文件→导入),这样客户端就修改了端口。
2、安全配置Internet 服务管理器。对IIS服务安全配置如下:
(1)停止默认的Web服务,建立新的Web服务,将其主目录设为其他(非inetpub)目录,最好不和主系统点用一个分区。如果使用系统默认的Web服务,那么通过较简单的攻击,就可以黑掉服务器。
(2) 删除原默认安装的Inetpub目录(在安装系统的盘上)。
(3) 删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
3、不要设置Frontpage服务器扩展服务,如果开设,那么就可以远程在Frontpage下打开您的主页文件进行修改。
4、删除不必要的IIS扩展名映射。方法是:右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。如不用到其他映射,只保留.asp、.asa两映射即可。
安全的管理数据文件
1、常备份,要经常把要数据备份到专用的备份服务器,备份完毕后,可将备份服务器与网络隔离。
2、关闭默认共享。Windows 2000安装好以后,系统会创建一些隐藏的共享(如C$、D$等),在命令态下可用net share命令查看它们,这些共享要删除。不过当机器重新启动后,这些共享又会重新开启,需每次启动后都删除。
3、正确设置文件的共享权限 ,设置共享文件时,要注意把共享文件的权限从“everyone”组改成“授权用户”,包括打印共享,这样即使连接上去看到也无法查阅。
4、防止文件名欺骗,用显示所有文件名和文件夹以及显示文件类型扩展名来有效地防止文件名欺骗。如防止以.txt或.exe为扩展名的恶意文件被显示为.txt文件,大意打开该文件被攻,双击“我的电脑→工具→文件夹选项→查看”,选择“显示所有文件和文件夹”属性设置,去掉“隐藏已知文件类型扩展名”属性设置。
5、启用Terminal Service的安全日志,系统默认是不启用的。可以通过“Terminal Service Configration→权限→高级”中配置安全审核,记录登录、注销事件就可以了。
启用日志,利用软件随时检测网络流量
发现有异常随时查看日志文件,是不是有人在攻击。
最后建议有条件的用户购买硬件防火墙。
http://www.microsoft.com/china/TechNet/security/Sa...
以下提供了在Windows Server 2003操作系统公开发布之时与其相关的各类信息资源。
如需获取有关Windows Server 2003安全设置描述的更多信息资料,请参看:http://www.microsoft.com/technet/treeview/default....
/windowsserver2003/proddocs/server/615.asp。
如需获取有关Windows Server 2003安全性的更多信息资料,请参看:http://www.microsoft.com/technet/treeview/default....
/windowsserver2003/proddocs/server/sag_SEtopnode.asp。
如需获取有关Windows Server 2003审核策略的更多信息资料,请参看:http://www.microsoft.com/technet/treeview/default....
/windowsserver2003/proddocs/server/APtopnode.asp。
如需获取有关Microsoft Operations Manger(MOM)的更多信息资料,请参看:http://www.microsoft.com/china/mom/。
如需获取有关Windows Server 2003用户权限分配的更多信息资料,请参看:http://www.microsoft.com/technet/treeview/default....
/windowsserver2003/proddocs/server/URAtopnode.asp。
如需获取有关Windows Server 2003缺省安全设置区别的更多信息资料,请参看:http://www.microsoft.com/technet/treeview/default....
/windowsserver2003/proddocs/datacenter/windows_security_differences.asp。
如需获取有关Windows 2000终端服务安全保障的更多信息资料,请参看:http://www.microsoft.com/technet/treeview/default....
/win2kts/maintain/optimize/secw2kts.asp。
如需获取有关Windows Server 2003 TCP/IP堆栈强化手段的更多信息资料,请参看第Q324270号Microsoft知识库文章——“为抵御服务拒绝攻击而在Windows Server 2003中对TCP/IP堆栈加以强化”:http://support.microsoft.com/default.aspx?scid=324...。
如需获取有关Windows套接字应用程序设置强化手段的更多信息资料,请参看第Q142641号Microsoft知识库文章——“Internet服务器因恶意SYN攻击而无法使用”: http://support.microsoft.com/default.aspx?scid=142...。
如需获取有关.adm文件所处位置的更多信息资料,请参看第Q228460号Microsoft知识库文章——“ADM(管理模板)文件在Windows系统中所处位置”:http://support.microsoft.com/default.aspx?scid=228...。
如需获取有关安全配置编辑器(SCE)用户界面自定义方式的更多信息资料,请参看第214752号Microsoft知识库文章——“如何向安全配置编辑器中添加自定义注册表设置”:http://support.microsoft.com/default.aspx?scid=214...。
如需获取在Windows系统中生成自定义管理模板文件的更多相关信息,请参看第323639号Microsoft知识库文章——“操作指导:在Windows 2000中生成自定义管理模板”,下载网址:http://support.microsoft.com/default.aspx?scid= 323639。此外,您还可查阅题为“实施基于注册表的组策略”的白皮书:http://www.microsoft.com/WINDOWS2000/techinfo/howi...
/rbppaper.asp。
如需获取在混用Windows 2000和Windows NT 4.0操作系统的网络环境下提高LAN Manager身份验证级别设置安全保障水平的更多相关信息,请参看第Q305379号Microsoft知识库文章——“在Windows NT 4.0域中的Windwos 2000操作系统下将NTLM 2级别设定为2以上所导致的身份验证问题”:http://support.microsoft.com/default.aspx?scid=305...。
如需获取有关LAN Manager兼容水平的更多信息资料,请参看:http://www.microsoft.com/windows2000/techinfo/resk...。
如需获取有关NTLMv2身份验证服务的更多信息资料,请参看第Q239869号Microsoft知识库文章——“如何激活适用于Windows 95/98/2000和Windows NT操作系统的NTLM 2身份验证服务”:http://support.microsoft.com/default.aspx?scid=239...。
如需有关Windows Server 2003缺省服务设置的更多信息资料,请参看:http://www.microsoft.com/technet/treeview/default....
/windowsserver2003/proddocs/datacenter/sys_srv_default_settings.asp。
如需获取有关智能卡部署的更多信息资料,敬请访问Technet智能卡网站:http://www.microsoft.com/technet/treeview/default....
prodtech/smrtcard/default.asp。
如需获取有关Windows Server 2003审核策略的更多信息资料,请参看:http://www.microsoft.com/technet/treeview/default....
/windowsserver2003/proddocs/server/APtopnode.asp。
如需了解有关“RestrictAnonymous”注册表值打破Windows 2000域信任方式的更多信息资料,请参看:http://support.microsoft.com/default.aspx?scid=kb;...。
如需了解与禁用错误报告有关的更多信息资料,请参看:http://www.microsoft.com/technet/treeview/default....
/windowsserver2003/proddocs/server/sysdm_advancd_exception_reporting.asp。
如需获取有关Windows企业级错误报告的更多信息资料,请参看:http://www.microsoft.com/office/ork/xp/appndx/appa...。
正确安装Windows 2000
1、正确地给硬盘分区
在安装Windows 2000时,应至少建立两个逻辑分区,一个用作系统分区,另一个用作为应用程序分区。修改“我的文档”及“Outlook Express”等应用程序的默认文件夹位置,使其位置不在系统分区。如果要提供Web服务,推荐按如下设置分区:
分区1应用于安装Windows 2000 Server系统;分区2应用于IIS服务;分区3应用于FTP服务;分区4用以存放其它一些资料文件。
服务器应选择独立的服务器,选择工作组成员,不要选择域。
2、有选择性地安装组件
不要按Windows 2000的默认安装组件,本着“最少的服务+最小的权限=最大的安全”原则,只选择安装需要的服务即可。例如:不作为Web服务器或FTP服务器就不安装IIS。常用Web服务器需要的最小组件是: Internet 服务管理器、WWW服务器和与其有关的辅助服务。
3、安装完毕后加入网络
在安装完成Windows 2000操作系统后,不要立即把服务器加入网络,因为这时的服务器上的各种程序还没有打上补丁,存在各种漏洞,非常容易感染病毒和被入侵。
应该在所有应用程序安装完之后依次打上各种补丁,因为补丁程序是针对不同应用程序而安装的,往往要替换或修改某些系统文件,如果先安装补丁再安装应用程序有可能导致补丁不能起到应有的效果。例如IIS的HotFix要求每次更改IIS的配置时都需要重新安装。
还有,如果怕IIS负荷过高导致服务器死机,也可以在性能中打开CPU限制,如将IIS的最大CPU使用率限制在70%。
正确设置和管理账户
1、停止使用用Guest账户,并给Guest 加一个复杂的密码。
2、账户要尽可能少,并且要经常用一些扫描工具查看一下系统账户、账户权限及密码。删除停用的账户,常用的扫描软件有:流光、HSCAN、X-SCAN、STAT SCANNER等。正确配置账户的权限,密码至少应不少于8位,且要数字、大小写字母,以及数字的上档键混用,这样就较难破译。
3、增加登录的难度,在“账户策略→密码策略”中设定:“密码复杂性要求启用”,“密码长度最小值8位”,“强制密码历史5次”,“最长存留期 30天”;在“账户策略→账户锁定策略”设定:“账户锁定3次错误登录”,“锁定时间20分钟”,“复位锁定计数20分钟”等,增加了登录的难度对系统的安全大有好处。
4、把系统Administrator账号改名,名称不要带有Admin等字样; 创建一个陷阱帐号,如创建一个名为“Administrator”的本地帐户,把权限设置成最低,什么事也干不了,并且加上一个超过10位的超级复杂密码。这样可以让那些 Scripts忙上一段时间了,并且可以借此发现他们的入侵企图。
5、不让系统显示上次登录的用户名,具体操作如下:
将注册表中“Hkey\Software\Microsoft\ WindowsNT\ Current Version\Winlogon\Dont Display Last User Name”的键值改为1。
正确地设置目录和文件权限
为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,还必须非常小心地设置目录和文件的访问权限。Windows 2000的访问权限分为:读取、写入、读取及执行、修改、列目录、完全控制。在默认的情况下,大多数的文件夹对所有用户(Everyone这个组)是完全控制的(Full Control),您需要根据应用的需要重新设置权限。在进行权限控制时,请记住以下几个原则:
1、权限是累计的,如果一个用户同时属于两个组,那么他就有了这两个组所允许的所有权限。
2、拒绝的权限要比允许的权限高(拒绝策略会先执行)。如果一个用户属于一个被拒绝访问某个资源的组,那么不管其他的权限设置给他开放了多少权限,他也一定不能访问这个资源。
3、 文件权限比文件夹权限高。
4、 利用用户组来进行权限控制是一个成熟的系统管理员必须具有的优良习惯。
5、 只给用户真正需要的权限,权限的最小化原则是安全的重要保障。
6、 预防ICMP攻击。ICMP的风暴攻击和碎片攻击是NT主机比较头疼的攻击方法,而Windows 2000应付的方法很简单。Windows 2000自带一个Routing & Remote Access工具,这个工具初具路由器的雏形。在这个工具中,我们可以轻易地定义输入输出包过滤器。如设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文。
网络服务安全管理
1、关闭不需要的服务
只留必需的服务,多一些服务可能会给系统带来更多的安全因素。如Windows 2000的Terminal Services(终端服务)、IIS(web服务)、RAS(远程访问服务)等,这些都有产生漏洞的可能。
2、关闭不用的端口
只开放服务需要的端口与协议。
具体方法为:按顺序打开“网上邻居→属性→本地连接→属性→Internet 协议→属性→高级→选项→TCP/IP筛选→属性”,添加需要的TCP、UDP端口以及IP协议即可。根据服务开设口,常用的TCP口有:80口用于Web服务;21用于FTP服务;25口用于SMTP;23口用于Telnet服务;110口用于POP3。常用的UDP端口有:53口-DNS域名解析服务;161口-snmp简单的网络管理协议。8000、4000用于OICQ,服务器用8000来接收信息,客户端用4000发送信息。
3、禁止建立空连接
默认情况下,任何用户可通过空连接连上服务器,枚举账号并猜测密码。空连接用的端口是139,通过空连接,可以复制文件到远端服务器,计划执行一个任务,这就是一个漏洞。可以通过以下两种方法禁止建立空连接:
(1) 修改注册表中 Local_Machine\System\
CurrentControlSet\Control\LSA-RestrictAnonymous 的值为1。
(2) 修改Windows 2000的本地安全策略。设置“本地安全策略→本地策略→选项”中的RestrictAnonymous(匿名连接的额外限制)为“不容许枚举SAM账号和共享”。
首先,Windows 2000的默认安装允许任何用户通过空连接得到系统所有账号和共享列表,这本来是为了方便局域网用户共享资源和文件的,但是,同时任何一个远程用户也可以通过同样的方法得到您的用户列表,并可能使用暴力法破解用户密码给整个网络带来破坏。很多人都只知道更改注册表Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous = 1来禁止空用户连接,实际上Windows 2000的本地安全策略里(如果是域服务器就是在域服务器安全和域安全策略里)就有RestrictAnonymous选项,其中有三个值:“0”这个值是系统默认的,没有任何限制,远程用户可以知道您机器上所有的账号、组信息、共享目录、网络传输列表(NetServerTransportEnum)等;“1”这个值是只允许非NULL用户存取SAM账号信息和共享信息;“2”这个值只有Windows 2000才支持,需要注意的是,如果使用了这个值,就不能再共享资源了,所以还是推荐把数值设为“1”比较好。
网络服务安全配置
1、修改默认端口。终端服务的默认端口为3389,可考虑修改为别的端口。修改方法为:
服务器端:打开注册表,在“HKLM\SYSTEM\Current ControlSet\Control\Terminal Server\Win Stations”处找到类似RDP-TCP的子键,修改PortNumber值。
客户端:按正常步骤建一个客户端连接,选中这个连接,在“文件”菜单中选择导出,在指定位置会生成一个后缀为.cns的文件。打开该文件,修改“Server Port”值为与服务器端的PortNumber对应的值。然后再导入该文件(方法:菜单→文件→导入),这样客户端就修改了端口。
2、安全配置Internet 服务管理器。对IIS服务安全配置如下:
(1)停止默认的Web服务,建立新的Web服务,将其主目录设为其他(非inetpub)目录,最好不和主系统点用一个分区。如果使用系统默认的Web服务,那么通过较简单的攻击,就可以黑掉服务器。
(2) 删除原默认安装的Inetpub目录(在安装系统的盘上)。
(3) 删除系统盘下的虚拟目录,如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。
3、不要设置Frontpage服务器扩展服务,如果开设,那么就可以远程在Frontpage下打开您的主页文件进行修改。
4、删除不必要的IIS扩展名映射。方法是:右键单击“默认Web站点→属性→主目录→配置”,打开应用程序窗口,去掉不必要的应用程序映射。如不用到其他映射,只保留.asp、.asa两映射即可。
安全的管理数据文件
1、常备份,要经常把要数据备份到专用的备份服务器,备份完毕后,可将备份服务器与网络隔离。
2、关闭默认共享。Windows 2000安装好以后,系统会创建一些隐藏的共享(如C$、D$等),在命令态下可用net share命令查看它们,这些共享要删除。不过当机器重新启动后,这些共享又会重新开启,需每次启动后都删除。
3、正确设置文件的共享权限 ,设置共享文件时,要注意把共享文件的权限从“everyone”组改成“授权用户”,包括打印共享,这样即使连接上去看到也无法查阅。
4、防止文件名欺骗,用显示所有文件名和文件夹以及显示文件类型扩展名来有效地防止文件名欺骗。如防止以.txt或.exe为扩展名的恶意文件被显示为.txt文件,大意打开该文件被攻,双击“我的电脑→工具→文件夹选项→查看”,选择“显示所有文件和文件夹”属性设置,去掉“隐藏已知文件类型扩展名”属性设置。
5、启用Terminal Service的安全日志,系统默认是不启用的。可以通过“Terminal Service Configration→权限→高级”中配置安全审核,记录登录、注销事件就可以了。
启用日志,利用软件随时检测网络流量
发现有异常随时查看日志文件,是不是有人在攻击。
最后建议有条件的用户购买硬件防火墙。
重要说明:本文包含有关修改注册表的信息。修改注册表之前,一定要备份注册表,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和编辑注册表的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 Microsoft Windows 注册表说明
本任务的内容
• 概要• 加固 TCP/IP 堆栈的 TCP/IP 注册表值
• 疑难解答
文章 ID : 324270
最后更新日期 : 2004年4月13日
版本 : 9.0
概要
拒绝服务 (DoS) 攻击是一种网络攻击,其目的是使网络用户无法访问计算机或计算机中的某项服务。拒绝服务攻击很难防御。为了帮助您抵御拒绝服务的攻击,可以使用下列一种或两种方法: • 使用最新的安全修复程序更新计算机。安全修复程序位于下面的 Microsoft Web 站点中:
ttp://www.microsoft.com/security
• 加固 Windows Server 2003 计算机上的 TCP/IP 协议堆栈。默认的 TCP/IP 堆栈配置能够处理正常的 Intranet 通信量。如果将计算机直接连接到 Internet,Microsoft 建议您加固 TCP/IP 堆栈以抵御拒绝服务攻击。
返回页首
加固 TCP/IP 堆栈的 TCP/IP 注册表值
警告:注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。
以下列表说明了与 TCP/IP 相关的注册表值,您可以在直接连接到 Internet 的计算机上配置这些值,以加固 TCP/IP 堆栈。除非特别指出,否则所有这些值均应在以下注册表项下创建:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
注意:除非特别指出,否则所有值均为十六进制。 • 数值名称:SynAttackProtect
项:TcpipParameters
数值类型:REG_DWORD
有效范围:0,1
默认值:0
该注册表值可使传输控制协议 (TCP) 调整 SYN-ACKS 的重新传输。配置该值后,如果出现 SYN 攻击(拒绝服务攻击的一种),连接响应超时时间将更短。
下列参数可与该注册表值一起使用: • 0(默认值):将 SynAttackProtect 设置为 0 可对 SYN 攻击提供一般防御。
• 1:将 SynAttackProtect 设置为 1 可更有效地防御 SYN 攻击。该参数可使 TCP 调整 SYN-ACKS 的重新传输。将 SynAttackProtect 设置为 1 时,如果系统检测到存在 SYN 攻击,连接响应的超时时间将更短。Windows 使用以下值确定是否存在攻击: • TcpMaxPortsExhausted
• TCPMaxHalfOpen
• TCPMaxHalfOpenRetried
• 数值名称:EnableDeadGWDetect
项:TcpipParameters
数值类型:REG_DWORD
有效范围:0,1(False,True)
默认值:1(True)
以下列表说明了可以在该注册表值中使用的参数: • 1:将 EnableDeadGWDetect 设置为 1 时,将允许 TCP 执行失效网关检测。启用失效网关检测时,如果多个连接出现困难,TCP 可能会要求 Internet 协议 (IP) 切换到备份网关。您可以在 TCP/IP 配置对话框(“控制面板”中的“网络”工具中)的“高级”部分中定义备份网关。
• 0:Microsoft 建议您将 EnableDeadGWDetect 值设置为 0。如果不将该值设置为 0,攻击可能会强制服务器切换网关,而切换到的新网关可能并不是您打算使用的网关。
• 数值名称:EnablePMTUDiscovery
项:TcpipParameters
数值类型:REG_DWORD
有效范围:0,1(False,True)
默认值:1(True)
以下列表说明了可以在该注册表值中使用的参数: • 1:将 EnablePMTUDiscovery 设置为 1 时,TCP 将尝试发现经由远程主机的路径传输的最大传输单位 (MTU) 或最大数据包大小。通过发现路径的 MTU 并将 TCP 段限制到这一大小,TCP 可以沿着连接具有不同 MTU 的网络的路径删除路由器上的碎片。碎片会对 TCP 的吞吐量产生不利影响。
• 0:Microsoft 建议将 EnablePMTUDiscovery 设置为 0。如果这样做,576 字节的 MTU 将应用于本地子网中所有非主机的连接。如果不将该值设置为 0,攻击者可能会强制 MTU 值变得非常小,从而导致堆栈的负荷过大。
• 数值名称:KeepAliveTime
项:TcpipParameters
数值类型:REG_DWORD - 时间(以毫秒为单位)
有效范围:1-0xFFFFFFFF
默认值:7,200,000(两个小时)
该值控制 TCP 通过发送“保持活动”的数据包来验证空闲连接仍然完好无损的频率。如果仍能连接到远程计算机,该计算机就会对“保持活动”的数据包作出应答。默认情况下,不发送“保持活动”的数据包。可以使用程序在连接上配置该值。建议将该值设置为 300,000(5 分钟)。
• 数值名称:NoNameReleaseOnDemand
项:NetbtParameters
数值类型:REG_DWORD
有效范围:0,1(False,True)
默认值:0(False)
该值确定计算机在收到名称释放请求时是否释放其 NetBIOS 名称。添加该值的目的是让管理员能够保护计算机免受恶意的名称释放攻击。Microsoft 建议您将 NoNameReleaseOnDemand 值设置为 1。
返回页首
疑难解答
更改 TCP/IP 注册表值时,可能会影响在基于 Windows Server 2003 的计算机上运行的程序和服务。Microsoft 建议您在非生产用工作站和服务器上测试这些设置,以确认它们是否适合您的业务环境。
这篇文章中的信息适用于:
• Microsoft Windows Server 2003 Datacenter Edition
• Microsoft Windows Server 2003 Enterprise Edition
• Microsoft Windows Server 2003 Standard Edition
• Microsoft Windows Server 2003 Web Edition
• Microsoft Windows Server 2003 Datacenter Edition
• Microsoft Windows Server 2003 64-bit Enterprise Edition
• Microsoft Windows Small Business Server 2003 Standard Edition
• Microsoft Windows Small Business Server 2003 Premium Edition
好不容易找到在WIN2003上适用的. 而且官方的. 大家赶紧注意啊.!
更新第五版(Access可以直接导入SQLserver):
修正一些bug,用多个目前流行的Access整站和论坛数据库测试(测试最大的80M数据库)
Exe版本可以直接导入到SQL数据库,下载包含Asp 和Exe两个版本的文件
up/1116087292.rar
出发点
因为做数据库升级程序,牵涉到建表,建索引,约束,默认啊!表关系的!!! 晕啊!!!!!
全新写生成数据库结构的Sql语句实在无比麻烦!
最好的需要是,在Access里弄好表结构设计,然后像Sql2000那样对数据库对象编写Sql脚本,基于这个处发点,所以编写了这个小程序,专门对Access数据库对象编写Sql脚本,起到事半功倍的作用! 方便方便
功能简介
功能:可编写Access数据库的常用的主要对象,包括
表,视图,索引,约束,包括 默认值,主键,自动编号,外键(表关系)
编写完自动保存为原数据库名+相应扩展的文件
Asp模式可直接生成带表单输入的可执行的Asp文件,用生成的Asp文件即可生成新的数据库
Sql模式可直接生成纯Sql语句文本
实现思路:
用Ado 模式查询 + Adox对象模型 双管齐下
通过编写模式查询的List文件(该代码需要可另外提供),分析表结构元素
在加上Adox细节获取必要属性,比如自动编号的种子值,增长量
索引集合的列的排序属性
就基本实现了Access Sql的脚本编写
可能更实用的是编写成可执行的 Asp文件,
因为 Access2000的查询设计运行 Sql语句实在弱智,还乱纠错
(版权: PaintBlue.Net | blueidea.com)
修正一些bug,用多个目前流行的Access整站和论坛数据库测试(测试最大的80M数据库)
Exe版本可以直接导入到SQL数据库,下载包含Asp 和Exe两个版本的文件
up/1116087292.rar
出发点
因为做数据库升级程序,牵涉到建表,建索引,约束,默认啊!表关系的!!! 晕啊!!!!!
全新写生成数据库结构的Sql语句实在无比麻烦!
最好的需要是,在Access里弄好表结构设计,然后像Sql2000那样对数据库对象编写Sql脚本,基于这个处发点,所以编写了这个小程序,专门对Access数据库对象编写Sql脚本,起到事半功倍的作用! 方便方便
功能简介
功能:可编写Access数据库的常用的主要对象,包括
表,视图,索引,约束,包括 默认值,主键,自动编号,外键(表关系)
编写完自动保存为原数据库名+相应扩展的文件
Asp模式可直接生成带表单输入的可执行的Asp文件,用生成的Asp文件即可生成新的数据库
Sql模式可直接生成纯Sql语句文本
实现思路:
用Ado 模式查询 + Adox对象模型 双管齐下
通过编写模式查询的List文件(该代码需要可另外提供),分析表结构元素
在加上Adox细节获取必要属性,比如自动编号的种子值,增长量
索引集合的列的排序属性
就基本实现了Access Sql的脚本编写
可能更实用的是编写成可执行的 Asp文件,
因为 Access2000的查询设计运行 Sql语句实在弱智,还乱纠错
(版权: PaintBlue.Net | blueidea.com)
<script language="JavaScript" type="text/j avascript">
function will() {
if (event.srcElement.tagName=='A'||event.srcElement.tagName=='IMG') {
window.focus();
oUrl.style.display = "";
yAd.style.display = "none";
}
}
</script>
<div id="yAd">
<base target="_blank" onclick="JavaScript:will()" />
<CENTER><strong><font color=red>为了本站的健康发展,请帮忙按顺序点下面的广告!!</font></strong></CENTER>
<br><br>
<CENTER>第一步,点击下面广告</CENTER>
<br><br>
<CENTER>
<!-- 广告代码开始 --><script language="JavaScript" type="text/JavaScript" src="http://union.3721.com/ass/adv1_2.js?pid2=A_mn520_9... <!-- 广告代码end -->
<br><br>第二步,点击下面<font color="red">文字连接</font>完成! <br><br>
<!-- 广告代码开始 --><script language="JavaScript" type="text/JavaScript" src="http://union.3721.com/ass/txt_1.js?pid2=A_mn520_94... 广告代码end -->
</script>
<br><br><strong><font color=red>谢谢你支持本站发展,希望你天天快乐!!</font><[strong]>
<br>
<CENTER>
<input type="submit" value="{lang agree}" style="height: 23px" disabled=false>
<input type="button" name="return" value="{lang disagree}" style="height: 23px" onclick="j avascript:history.go(-1);">
</div>
<div id="oUrl" style="display:'none'">
<script language="j avascript">function JyDownH(htmlurl){var newwin=window.open(htmlurl,'','toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no');return false;}
</script>
function will() {
if (event.srcElement.tagName=='A'||event.srcElement.tagName=='IMG') {
window.focus();
oUrl.style.display = "";
yAd.style.display = "none";
}
}
</script>
<div id="yAd">
<base target="_blank" onclick="JavaScript:will()" />
<CENTER><strong><font color=red>为了本站的健康发展,请帮忙按顺序点下面的广告!!</font></strong></CENTER>
<br><br>
<CENTER>第一步,点击下面广告</CENTER>
<br><br>
<CENTER>
<!-- 广告代码开始 --><script language="JavaScript" type="text/JavaScript" src="http://union.3721.com/ass/adv1_2.js?pid2=A_mn520_9... <!-- 广告代码end -->
<br><br>第二步,点击下面<font color="red">文字连接</font>完成! <br><br>
<!-- 广告代码开始 --><script language="JavaScript" type="text/JavaScript" src="http://union.3721.com/ass/txt_1.js?pid2=A_mn520_94... 广告代码end -->
</script>
<br><br><strong><font color=red>谢谢你支持本站发展,希望你天天快乐!!</font><[strong]>
<br>
<CENTER>
<input type="submit" value="{lang agree}" style="height: 23px" disabled=false>
<input type="button" name="return" value="{lang disagree}" style="height: 23px" onclick="j avascript:history.go(-1);">
</div>
<div id="oUrl" style="display:'none'">
<script language="j avascript">function JyDownH(htmlurl){var newwin=window.open(htmlurl,'','toolbar=no,location=no,directories=no,status=no,menubar=no,scrollbars=no,resizable=no');return false;}
</script>
2K&linux下如何修改MAC地址
一、Win 2000下修改MAC地址
1.在“HKEY_LOCAL_MACHINE\SYS
TEM\CurrentControlSet\Control\Class\4D36
E972-E325-11CE-BFC1-08002BE10318\0000、0001、0002”等主键下, 因为你有可能安装了不止一块网卡,所以在这个主键下可能会有多个类似于“0000、0001”的主键,这时候你可以查找DriverDesc内容为你要修改的网卡的描述相吻合的主键,如“0000”。
2.在上面提到的主键下,添一个字符串,名字为“NetworkAddress”,把它的值设为你要的MAC地址,要连续写如“001010101010”。
3.然后到主键下“NDI\params”中添加一项“NetworkAddress”的主键值,在该主键下添加名为“default”的字符串,值写要设的MAC地址,要连续写,如“001010101010”。
【注】实际上这只是设置在后面提到的高级属性中的“初始值”,实际使用的MAC地址还是取决于在第2点中提到的“NetworkAddress”参数,而且一旦设置后,以后高级属性中值就是“NetworkAddress”给出的值而非“default”给出的了。
4.在“NetworkAddress”的主键下继续添加名为“ParamDesc”的字符串,其作用为指定“NetworkAddress”主键的描述,其值可为“MAC Address”(也可以随意设置,这只是个描述,无关紧要,这个值将会在你以后直接修改MAC地址的时候作为描述出现),这样重新启动一次以后打开网络邻居的属性,双击相应网卡项会发现有一个高级设置,其下存在MAC Address (就是你在前面设置的ParamDesc,如图(^29041103a^)1)的选项,这就是你在第二步里在注册表中加的新项“NetworkAddress”,以后只要在此修改MAC地址就可以了。
5.关闭注册表编辑器,重新启动,你的网卡地址已经改好了。打开网络邻居的属性,双击相应网卡项会发现有一个MAC Address的高级设置项。用于直接修改MAC地址,而且不需要重新启动就可以实现MAC的随时更改。
二、 Linux下的MAC地址更改
1.首先必须关闭网卡设备,否则会报告系统忙,无法更改。
命令是:“/sbin/ifconfig eth0 down”
2.修改MAC地址,这一步较Windows中的修改要简单。
命令是:“/sbin/ifconfig eth0 hw ether 00AABBCCDDEE”
3.重新启用网卡
“/sbin/ifconfig eth0 up”网卡的MAC地址更改就完成了。
三、Win Me下的MAC更改
在Win Me下,MAC地址的更改和Win 98下是一样的,在22期中《给网卡换张“身份证”》一文中已经有介绍,所以不再赘述。
四、补充说明
1.在Win 2000下,已经没有“winipcfg”命令,但是你仍然可以通过“ipconfig”命令来获取网卡的MAC地址信息,方法是首先在运行中输入“cmd”,回车,进入命令行方式,然后输入“ipconfig -all”(此命令在Win 98和Win ME中也可使用),你就可以找到网卡的各项信息,如图(^29041103b^)2。
2.为什么修改MAC地址?可能有很多人迷惑不解,为什么用这么大的篇幅来介绍修改MAC地址,到底有什么实际意义呢?简单的说,MAC地址相当于你的网络标识,在局域网里,管理人员常常将网络端口与客户机的MAC地址绑定,方便管理,万一你的网卡坏掉了,换一张网卡必须向管理人员申请更改绑定的MAC地址,比较麻烦,这时候,我们直接在操作系统里更改一下MAC,就可以跳过重新申请这一步,减少了很多麻烦。
另外,当你使用黑客软件对别人的机器进行攻击时,别人的防火墙获取到你的IP地址,就可以通过“Nbtstat -A ip地址”命令获取你的MAC,如果你改一下,呵呵,查到的MAC就不是你的了。(可别说我教你学坏啊!)
3.如果嫌修改过于麻烦,或者有多台机器需要修改,可以按如下步骤生成一个.reg文件,直接导入机器即可。
Win 98下的注册表文件:
REGEDIT4
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\Net\0000
"NetWorkAddress"="5254ab338b8d"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\Net\0000\Ndi\Params\networkaddress
"default"="5254ab338b8d"
"paramdesc"="MAC Address"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\Net\0000\Ndi\Params\networkaddress
"default"="5254ab338b8d"
"paramdesc"="MAC Address"
Win 2000下的注册表文件:
REGEDIT4
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\4D36E972-E325-11CE-BFC1-08002B
E10318\0000
"NetWorkAddress"="5254ab338b8d"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\4D36E972-E325-11CE-BFC1-08002B
E10318\0000\Ndi\Params\networkaddre
ss
"default"="5254ab338b8d"
"paramdesc"="MAC Address"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\4D36E972-E325-11CE-BFC1-08002B
E10318\0000\Ndi\Params\networkaddres
s
"default"="5254ab338b8d"
"paramdesc"="MAC Address"
用记事本生成以上文件然后保存成1.reg,双击即可实现修改,但是,有一点必须注意,就是必须确定你的网卡在注册表里究竟是“0000”,还是“0001”等其他的,然后在这个Reg文件里进行相应的修改再执行导入操作。否则只会是白费力气。
使用Win 2000或Linux的朋友,还等什么,快试一试吧。
一、Win 2000下修改MAC地址
1.在“HKEY_LOCAL_MACHINE\SYS
TEM\CurrentControlSet\Control\Class\4D36
E972-E325-11CE-BFC1-08002BE10318\0000、0001、0002”等主键下, 因为你有可能安装了不止一块网卡,所以在这个主键下可能会有多个类似于“0000、0001”的主键,这时候你可以查找DriverDesc内容为你要修改的网卡的描述相吻合的主键,如“0000”。
2.在上面提到的主键下,添一个字符串,名字为“NetworkAddress”,把它的值设为你要的MAC地址,要连续写如“001010101010”。
3.然后到主键下“NDI\params”中添加一项“NetworkAddress”的主键值,在该主键下添加名为“default”的字符串,值写要设的MAC地址,要连续写,如“001010101010”。
【注】实际上这只是设置在后面提到的高级属性中的“初始值”,实际使用的MAC地址还是取决于在第2点中提到的“NetworkAddress”参数,而且一旦设置后,以后高级属性中值就是“NetworkAddress”给出的值而非“default”给出的了。
4.在“NetworkAddress”的主键下继续添加名为“ParamDesc”的字符串,其作用为指定“NetworkAddress”主键的描述,其值可为“MAC Address”(也可以随意设置,这只是个描述,无关紧要,这个值将会在你以后直接修改MAC地址的时候作为描述出现),这样重新启动一次以后打开网络邻居的属性,双击相应网卡项会发现有一个高级设置,其下存在MAC Address (就是你在前面设置的ParamDesc,如图(^29041103a^)1)的选项,这就是你在第二步里在注册表中加的新项“NetworkAddress”,以后只要在此修改MAC地址就可以了。
5.关闭注册表编辑器,重新启动,你的网卡地址已经改好了。打开网络邻居的属性,双击相应网卡项会发现有一个MAC Address的高级设置项。用于直接修改MAC地址,而且不需要重新启动就可以实现MAC的随时更改。
二、 Linux下的MAC地址更改
1.首先必须关闭网卡设备,否则会报告系统忙,无法更改。
命令是:“/sbin/ifconfig eth0 down”
2.修改MAC地址,这一步较Windows中的修改要简单。
命令是:“/sbin/ifconfig eth0 hw ether 00AABBCCDDEE”
3.重新启用网卡
“/sbin/ifconfig eth0 up”网卡的MAC地址更改就完成了。
三、Win Me下的MAC更改
在Win Me下,MAC地址的更改和Win 98下是一样的,在22期中《给网卡换张“身份证”》一文中已经有介绍,所以不再赘述。
四、补充说明
1.在Win 2000下,已经没有“winipcfg”命令,但是你仍然可以通过“ipconfig”命令来获取网卡的MAC地址信息,方法是首先在运行中输入“cmd”,回车,进入命令行方式,然后输入“ipconfig -all”(此命令在Win 98和Win ME中也可使用),你就可以找到网卡的各项信息,如图(^29041103b^)2。
2.为什么修改MAC地址?可能有很多人迷惑不解,为什么用这么大的篇幅来介绍修改MAC地址,到底有什么实际意义呢?简单的说,MAC地址相当于你的网络标识,在局域网里,管理人员常常将网络端口与客户机的MAC地址绑定,方便管理,万一你的网卡坏掉了,换一张网卡必须向管理人员申请更改绑定的MAC地址,比较麻烦,这时候,我们直接在操作系统里更改一下MAC,就可以跳过重新申请这一步,减少了很多麻烦。
另外,当你使用黑客软件对别人的机器进行攻击时,别人的防火墙获取到你的IP地址,就可以通过“Nbtstat -A ip地址”命令获取你的MAC,如果你改一下,呵呵,查到的MAC就不是你的了。(可别说我教你学坏啊!)
3.如果嫌修改过于麻烦,或者有多台机器需要修改,可以按如下步骤生成一个.reg文件,直接导入机器即可。
Win 98下的注册表文件:
REGEDIT4
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\Net\0000
"NetWorkAddress"="5254ab338b8d"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\Net\0000\Ndi\Params\networkaddress
"default"="5254ab338b8d"
"paramdesc"="MAC Address"
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\Net\0000\Ndi\Params\networkaddress
"default"="5254ab338b8d"
"paramdesc"="MAC Address"
Win 2000下的注册表文件:
REGEDIT4
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\4D36E972-E325-11CE-BFC1-08002B
E10318\0000
"NetWorkAddress"="5254ab338b8d"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\4D36E972-E325-11CE-BFC1-08002B
E10318\0000\Ndi\Params\networkaddre
ss
"default"="5254ab338b8d"
"paramdesc"="MAC Address"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\4D36E972-E325-11CE-BFC1-08002B
E10318\0000\Ndi\Params\networkaddres
s
"default"="5254ab338b8d"
"paramdesc"="MAC Address"
用记事本生成以上文件然后保存成1.reg,双击即可实现修改,但是,有一点必须注意,就是必须确定你的网卡在注册表里究竟是“0000”,还是“0001”等其他的,然后在这个Reg文件里进行相应的修改再执行导入操作。否则只会是白费力气。
使用Win 2000或Linux的朋友,还等什么,快试一试吧。
加速显示GG adsense
下面代码中的X,Y 要用GOOGLE提供的代码里的数字代替.
下面代码中的X,Y 要用GOOGLE提供的代码里的数字代替.
<div id="googlead" width="X" height="Y"></div>
<div id="googleadcode" style="display:none">
这里放Google原本提供的代码
</div>
<script language="j avascript">
if(document.all.item("googlead") != null)
{
googlead.innerHTML = googleadcode.innerHTML;
}
</script>
<div id="googleadcode" style="display:none">
这里放Google原本提供的代码
</div>
<script language="j avascript">
if(document.all.item("googlead") != null)
{
googlead.innerHTML = googleadcode.innerHTML;
}
</script>
Microsoft® Windows® Malicious Software Removal Tool (KB890830)
该工具检查您的计算机是否受到了各种特定的和流行的恶意软件的感染(包括 Blaster、Sasser 和 Mydoom),并帮助您删除发现的感染
概述
Microsoft Windows Malicious Software Removal Tool 检查 Windows XP、Windows 2000 及 Windows Server 2003 计算机是否受到了各种特定的和流行的恶意软件的感染(包括 Blaster、Sasser 和 Mydoom),并帮助删除感染。完成检测和删除过程后,该工具将显示一个报告,描述其执行结果,包括检测到的和删除的恶意软件(如果有)。另外,它会在 %WINDIR%\debug 文件夹中创建一个名为 mrt.log 的日志文件。
Microsoft 将在每月的第二个星期二发布该工具的新版本。这些新版本可以从以下位置获得: 本网页、Windows Update 及 Microsoft.com 上的 Malicious Software Removal Tool 网站。
所有支持的操作系统版本的用户可以从本网页下载该工具后在自己的计算机上本地运行,也可以直接从以下位置运行该工具: Malicious Software Removal Tool 网站。
Windows XP 用户可以通过 Windows Update 获得最新版本。如果希望在新版本发布后立即自动发送并安装,请将“自动更新”功能设置为 自动。
注意 由 Windows Update 发送的该工具版本将在后台运行,然后会自行删除。为了确定该工具是否删除了某恶意软件,请查看日志文件。如果希望在一月内多次运行该工具,请运行本网页上提供的版本,或者使用以下位置上的版本: Malicious Software Removal Tool 网站。
请查看 KB890830,了解该工具的当前版本能够删除的恶意软件的列表以及使用说明。另请注意,在发现感染或遇到错误时,该工具会将匿名信息报告给 Microsoft。以上 KB 文章包含有关如何禁用此项功能以及具体有哪些信息将发送至 Microsoft 的信息。
考虑在企业环境中部署该工具之前,强烈建议您查看 KB891716。
运行该工具的用户必须是管理员。该工具不能在 Windows 98、Windows ME 或 Windows NT 4.0 的任何版本上运行
up/1114777530.exe
http://www.microsoft.com/downloads/details.aspx?di...
该工具检查您的计算机是否受到了各种特定的和流行的恶意软件的感染(包括 Blaster、Sasser 和 Mydoom),并帮助您删除发现的感染
概述
Microsoft Windows Malicious Software Removal Tool 检查 Windows XP、Windows 2000 及 Windows Server 2003 计算机是否受到了各种特定的和流行的恶意软件的感染(包括 Blaster、Sasser 和 Mydoom),并帮助删除感染。完成检测和删除过程后,该工具将显示一个报告,描述其执行结果,包括检测到的和删除的恶意软件(如果有)。另外,它会在 %WINDIR%\debug 文件夹中创建一个名为 mrt.log 的日志文件。
Microsoft 将在每月的第二个星期二发布该工具的新版本。这些新版本可以从以下位置获得: 本网页、Windows Update 及 Microsoft.com 上的 Malicious Software Removal Tool 网站。
所有支持的操作系统版本的用户可以从本网页下载该工具后在自己的计算机上本地运行,也可以直接从以下位置运行该工具: Malicious Software Removal Tool 网站。
Windows XP 用户可以通过 Windows Update 获得最新版本。如果希望在新版本发布后立即自动发送并安装,请将“自动更新”功能设置为 自动。
注意 由 Windows Update 发送的该工具版本将在后台运行,然后会自行删除。为了确定该工具是否删除了某恶意软件,请查看日志文件。如果希望在一月内多次运行该工具,请运行本网页上提供的版本,或者使用以下位置上的版本: Malicious Software Removal Tool 网站。
请查看 KB890830,了解该工具的当前版本能够删除的恶意软件的列表以及使用说明。另请注意,在发现感染或遇到错误时,该工具会将匿名信息报告给 Microsoft。以上 KB 文章包含有关如何禁用此项功能以及具体有哪些信息将发送至 Microsoft 的信息。
考虑在企业环境中部署该工具之前,强烈建议您查看 KB891716。
运行该工具的用户必须是管理员。该工具不能在 Windows 98、Windows ME 或 Windows NT 4.0 的任何版本上运行
up/1114777530.exe
http://www.microsoft.com/downloads/details.aspx?di...
IIS 状态代码
察看这篇文章对应的产品
文章 ID : 318380
最后更新日期 : 2004年6月25日
版本 : 1.0
本文的发布号曾为 CHS318380
本页内容
概要
更多信息
参考
这篇文章中的信息适用于:
概要
当用户试图通过 HTTP 或文件传输协议 (FTP) 访问一台正在运行 Internet 信息服务 (IIS) 的服务器上的内容时,IIS 返回一个表示该请求的状态的数字代码。该状态代码记录在 IIS 日志中,同时也可能在 Web 浏览器或 FTP 客户端显示。状态代码可以指明具体请求是否已成功,还可以揭示请求失败的确切原因。
返回页首
更多信息
日志文件的位置
在默认状态下,IIS 把它的日志文件放在 %WINDIR\System32\Logfiles 文件夹中。每个万维网 (WWW) 站点和 FTP 站点在该目录下都有一个单独的目录。在默认状态下,每天都会在这些目录下创建日志文件,并用日期给日志文件命名(例如,exYYMMDD.log)。
HTTP
1xx - 信息提示
这些状态代码表示临时的响应。客户端在收到常规响应之前,应准备接收一个或多个 1xx 响应。 • 100 - 继续。
• 101 - 切换协议。
2xx - 成功
这类状态代码表明服务器成功地接受了客户端请求。• 200 - 确定。客户端请求已成功。
• 201 - 已创建。
• 202 - 已接受。
• 203 - 非权威性信息。
• 204 - 无内容。
• 205 - 重置内容。
• 206 - 部分内容。
3xx - 重定向
客户端浏览器必须采取更多操作来实现请求。例如,浏览器可能不得不请求服务器上的不同的页面,或通过代理服务器重复该请求。• 302 - 对象已移动。
• 304 - 未修改。
• 307 - 临时重定向。
4xx - 客户端错误
发生错误,客户端似乎有问题。例如,客户端请求不存在的页面,客户端未提供有效的身份验证信息。• 400 - 错误的请求。
• 401 - 访问被拒绝。IIS 定义了许多不同的 401 错误,它们指明更为具体的错误原因。这些具体的错误代码在浏览器中显示,但不在 IIS 日志中显示:• 401.1 - 登录失败。
• 401.2 - 服务器配置导致登录失败。
• 401.3 - 由于 ACL 对资源的限制而未获得授权。
• 401.4 - 筛选器授权失败。
• 401.5 - ISAPI/CGI 应用程序授权失败。
• 401.7 – 访问被 Web 服务器上的 URL 授权策略拒绝。这个错误代码为 IIS 6.0 所专用。
• 403 - 禁止访问:IIS 定义了许多不同的 403 错误,它们指明更为具体的错误原因:• 403.1 - 执行访问被禁止。
• 403.2 - 读访问被禁止。
• 403.3 - 写访问被禁止。
• 403.4 - 要求 SSL。
• 403.5 - 要求 SSL 128。
• 403.6 - IP 地址被拒绝。
• 403.7 - 要求客户端证书。
• 403.8 - 站点访问被拒绝。
• 403.9 - 用户数过多。
• 403.10 - 配置无效。
• 403.11 - 密码更改。
• 403.12 - 拒绝访问映射表。
• 403.13 - 客户端证书被吊销。
• 403.14 - 拒绝目录列表。
• 403.15 - 超出客户端访问许可。
• 403.16 - 客户端证书不受信任或无效。
• 403.17 - 客户端证书已过期或尚未生效。
• 403.18 - 在当前的应用程序池中不能执行所请求的 URL。这个错误代码为 IIS 6.0 所专用。
• 403.19 - 不能为这个应用程序池中的客户端执行 CGI。这个错误代码为 IIS 6.0 所专用。
• 403.20 - Passport 登录失败。这个错误代码为 IIS 6.0 所专用。
• 404 - 未找到。• 404.0 -(无) – 没有找到文件或目录。
• 404.1 - 无法在所请求的端口上访问 Web 站点。
• 404.2 - Web 服务扩展锁定策略阻止本请求。
• 404.3 - MIME 映射策略阻止本请求。
• 405 - 用来访问本页面的 HTTP 谓词不被允许(方法不被允许)
• 406 - 客户端浏览器不接受所请求页面的 MIME 类型。
• 407 - 要求进行代理身份验证。
• 412 - 前提条件失败。
• 413 – 请求实体太大。
• 414 - 请求 URI 太长。
• 415 – 不支持的媒体类型。
• 416 – 所请求的范围无法满足。
• 417 – 执行失败。
• 423 – 锁定的错误。
5xx - 服务器错误
服务器由于遇到错误而不能完成该请求。• 500 - 内部服务器错误。• 500.12 - 应用程序正忙于在 Web 服务器上重新启动。
• 500.13 - Web 服务器太忙。
• 500.15 - 不允许直接请求 Global.asa。
• 500.16 – UNC 授权凭据不正确。这个错误代码为 IIS 6.0 所专用。
• 500.18 – URL 授权存储不能打开。这个错误代码为 IIS 6.0 所专用。
• 500.100 - 内部 ASP 错误。
• 501 - 页眉值指定了未实现的配置。
• 502 - Web 服务器用作网关或代理服务器时收到了无效响应。• 502.1 - CGI 应用程序超时。
• 502.2 - CGI 应用程序出错。application.
• 503 - 服务不可用。这个错误代码为 IIS 6.0 所专用。
• 504 - 网关超时。
• 505 - HTTP 版本不受支持。
常见的 HTTP 状态代码及其原因
• 200 - 成功。 此状态代码表示 IIS 已成功处理请求。
• 304 - 未修改。 客户端请求的文档已在其缓存中,文档自缓存以来尚未被修改过。客户端使用文档的缓存副本,而不从服务器下载文档。
• 401.1 - 登录失败。 登录尝试不成功,可能因为用户名或密码无效。
• 401.3 - 由于 ACL 对资源的限制而未获得授权。 这表示存在 NTFS 权限问题。即使您对试图访问的文件具备相应的权限,也可能发生此错误。例如,如果 IUSR 帐户无权访问 C:\Winnt\System32\Inetsrv 目录,您会看到这个错误。 有关如何解决此问题的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中相应的文章:
187506 INFO: IIS 4.0 的基础 NTFS 权限
• 403.1 - 执行访问被禁止。 下面是导致此错误信息的两个常见原因: • 您没有足够的执行许可。例如,如果试图访问的 ASP 页所在的目录权限设为“无”,或者,试图执行的 CGI 脚本所在的目录权限为“只允许脚本”,将出现此错误信息。若要修改执行权限,请在 Microsoft 管理控制台 (MMC) 中右击目录,然后依次单击属性和目录选项卡,确保为试图访问的内容设置适当的执行权限。
• 您没有将试图执行的文件类型的脚本映射设置为识别所使用的谓词(例如,GET 或 POST)。若要验证这一点,请在 MMC 中右击目录,依次单击属性、目录选项卡和配置,然后验证相应文件类型的脚本映射是否设置为允许所使用的谓词。
• 403.2 - 读访问被禁止。验证是否已将 IIS 设置为允许对目录进行读访问。另外,如果您正在使用默认文件,请验证该文件是否存在。 有关如何解决此问题的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中相应的文章:
247677 错误信息:403.2 Forbidden:Read Access Forbidden(403.2 禁止访问:读访问被禁止)
• 403.3 - 写访问被禁止。 验证 IIS 权限和 NTFS 权限是否已设置以便向该目录授予写访问权。有关如何解决此问题的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中相应的文章:
248072 错误信息:403.3 Forbidden:Write Access Forbidden(403.3 禁止访问:写访问被禁止)
• 403.4 - 要求 SSL。禁用要求安全通道选项,或使用 HTTPS 代替 HTTP 来访问该页面。如果没有安装证书的 Web 站点出现此错误,请单击下面的文章编号,查看 Microsoft 知识库中相应的文章:
224389 错误信息:HTTP 错误 403、403.4、403.5 禁止访问:要求 SSL
• 403.5 - 要求 SSL 128。禁用要求 128 位加密选项,或使用支持 128 位加密的浏览器以查看该页面。如果没有安装证书的 Web 站点出现此错误,请单击下面的文章编号,查看 Microsoft 知识库中相应的文章:
224389 错误信息:HTTP 错误 403、403.4、403.5 禁止访问:要求 SSL
• 403.6 - IP 地址被拒绝。您已把您的服务器配置为拒绝访问您目前的 IP 地址。 有关如何解决此问题的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中相应的文章:
248043 错误信息:403.6 - Forbidden:IP Address Rejected(403.6 - 不可用:IP 地址被拒绝)
• 403.7 - 要求客户端证书。您已把您的服务器配置为要求客户端身份验证证书,但您未安装有效的客户端证书。 有关其他信息,请单击下面的文章编号,查看 Microsoft 知识库中相应的文章:
190004 错误 403.7 或“Connection to Server Could Not Be Established”(无法建立与服务器的连接)
186812 PRB:错误信息:403.7 Forbidden:Client Certificate Required(403.7 禁止访问:要求客户端证书)
• 403.8 - 站点访问被拒绝。您已为您用来访问服务器的域设置了域名限制。有关如何解决此问题的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中相应的文章:
248032 错误信息:Forbidden:Site Access Denied 403.8(禁止访问:站点访问被拒绝 403.8)
• 403.9 - 用户数过多。与该服务器连接的用户数量超过了您设置的连接限制。 有关如何更改此限制的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
248074 错误信息:Access Forbidden:Too Many Users Are Connected 403.9(禁止访问:连接的用户太多 403.9)
注意:Microsoft Windows 2000 Professional 和 Microsoft Windows XP Professional 自动设置了在 IIS 上最多 10 个连接的限制。您无法更改此限制。
• 403.12 - 拒绝访问映射表。 您要访问的页面要求提供客户端证书,但映射到您的客户端证书的用户 ID 已被拒绝访问该文件。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
248075 错误信息:HTTP 403.12 - Access Forbidden:Mapper Denied Access(HTTP 403.12 - 禁止访问:映射表拒绝访问)
• 404 - 未找到。 发生此错误的原因是您试图访问的文件已被移走或删除。如果在安装 URLScan 工具之后,试图访问带有有限扩展名的文件,也会发生此错误。这种情况下,该请求的日志文件项中将出现“Rejected by URLScan”的字样。
• 500 - 内部服务器错误。 很多服务器端的错误都可能导致该错误信息。事件查看器日志包含更详细的错误原因。此外,您可以禁用友好 HTTP 错误信息以便收到详细的错误说明。 有关如何禁用友好 HTTP 错误信息的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
294807 如何在服务器端禁用 Internet Explorer 5 的“显示友好 HTTP 错误信息”功能
• 500.12 - 应用程序正在重新启动。 这表示您在 IIS 重新启动应用程序的过程中试图加载 ASP 页。刷新页面后,此信息即会消失。如果刷新页面后,此信息再次出现,可能是防病毒软件正在扫描 Global.asa 文件。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
248013 错误信息:HTTP Error 500-12 Application Restarting(HTTP 错误 500-12 应用程序正在重新启动)
• 500-100.ASP - ASP 错误。 如果试图加载的 ASP 页中含有错误代码,将出现此错误信息。若要获得更确切的错误信息,请禁用友好 HTTP 错误信息。默认情况下,只会在默认 Web 站点上启用此错误信息。有关如何在非默认的 Web 站点上看到此错误信息的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
261200 显示 HTTP 500 错误信息,而不显示 500-100.asp 的 ASP 错误信息
• 502 - 网关错误。 如果试图运行的 CGI 脚本不返回有效的 HTTP 标头集,将出现此错误信息。
FTP
1xx - 肯定的初步答复
这些状态代码指示一项操作已经成功开始,但客户端希望在继续操作新命令前得到另一个答复。 • 110 重新启动标记答复。
• 120 服务已就绪,在 nnn 分钟后开始。
• 125 数据连接已打开,正在开始传输。
• 150 文件状态正常,准备打开数据连接。
2xx - 肯定的完成答复
一项操作已经成功完成。客户端可以执行新命令。 • 200 命令确定。
• 202 未执行命令,站点上的命令过多。
• 211 系统状态,或系统帮助答复。
• 212 目录状态。
• 213 文件状态。
• 214 帮助消息。
• 215 NAME 系统类型,其中,NAME 是 Assigned Numbers 文档中所列的正式系统名称。
• 220 服务就绪,可以执行新用户的请求。
• 221 服务关闭控制连接。如果适当,请注销。
• 225 数据连接打开,没有进行中的传输。
• 226 关闭数据连接。请求的文件操作已成功(例如,传输文件或放弃文件)。
• 227 进入被动模式 (h1,h2,h3,h4,p1,p2)。
• 230 用户已登录,继续进行。
• 250 请求的文件操作正确,已完成。
• 257 已创建“PATHNAME”。
3xx - 肯定的中间答复
该命令已成功,但服务器需要更多来自客户端的信息以完成对请求的处理。 • 331 用户名正确,需要密码。
• 332 需要登录帐户。
• 350 请求的文件操作正在等待进一步的信息。
4xx - 瞬态否定的完成答复
该命令不成功,但错误是暂时的。如果客户端重试命令,可能会执行成功。 • 421 服务不可用,正在关闭控制连接。如果服务确定它必须关闭,将向任何命令发送这一应答。
• 425 无法打开数据连接。
• 426 Connection closed; transfer aborted.
• 450 未执行请求的文件操作。文件不可用(例如,文件繁忙)。
• 451 请求的操作异常终止:正在处理本地错误。
• 452 未执行请求的操作。系统存储空间不够。
5xx - 永久性否定的完成答复
该命令不成功,错误是永久性的。如果客户端重试命令,将再次出现同样的错误。 • 500 语法错误,命令无法识别。这可能包括诸如命令行太长之类的错误。
• 501 在参数中有语法错误。
• 502 未执行命令。
• 503 错误的命令序列。
• 504 未执行该参数的命令。
• 530 未登录。
• 532 存储文件需要帐户。
• 550 未执行请求的操作。文件不可用(例如,未找到文件,没有访问权限)。
• 551 请求的操作异常终止:未知的页面类型。
• 552 请求的文件操作异常终止:超出存储分配(对于当前目录或数据集)。
• 553 未执行请求的操作。不允许的文件名。
常见的 FTP 状态代码及其原因
• 150 - FTP 使用两个端口:21 用于发送命令,20 用于发送数据。状态代码 150 表示服务器准备在端口 20 上打开新连接,发送一些数据。
• 226 - 命令在端口 20 上打开数据连接以执行操作,如传输文件。该操作成功完成,数据连接已关闭。
• 230 - 客户端发送正确的密码后,显示该状态代码。它表示用户已成功登录。
• 331 - 客户端发送用户名后,显示该状态代码。无论所提供的用户名是否为系统中的有效帐户,都将显示该状态代码。
• 426 - 命令打开数据连接以执行操作,但该操作已被取消,数据连接已关闭。
• 530 - 该状态代码表示用户无法登录,因为用户名和密码组合无效。如果使用某个用户帐户登录,可能键入错误的用户名或密码,也可能选择只允许匿名访问。如果使用匿名帐户登录,IIS 的配置可能拒绝匿名访问。
• 550 - 命令未被执行,因为指定的文件不可用。例如,要 GET 的文件并不存在,或试图将文件 PUT 到您没有写入权限的目录。
返回页首
参考
若要获得更多的有关 HTTP 状态代码定义的信息,请访问下面的万维网联合会 (W3C) Web 站点:
状态代码定义
http://www.w3.org/Protocols/rfc2616/rfc2616-sec10....
若要获得更多的有关 FTP 状态代码定义的信息,请查看下列 W3C Web 站点的 4.2 部分(“FTP 应答”):
文件传输功能
http://www.w3.org/Protocols/rfc959/4_FileTransfer....
返回页首
--------------------------------------------------------------------------------
这篇文章中的信息适用于:
• Microsoft Internet Information Server 4.0
• Microsoft Internet Information Services 5.0
• Microsoft Internet Information Services 6.0
• Microsoft Internet Information Services 5.1
返回页首
关键字: kbinfo KB318380
察看这篇文章对应的产品
文章 ID : 318380
最后更新日期 : 2004年6月25日
版本 : 1.0
本文的发布号曾为 CHS318380
本页内容
概要
更多信息
参考
这篇文章中的信息适用于:
概要
当用户试图通过 HTTP 或文件传输协议 (FTP) 访问一台正在运行 Internet 信息服务 (IIS) 的服务器上的内容时,IIS 返回一个表示该请求的状态的数字代码。该状态代码记录在 IIS 日志中,同时也可能在 Web 浏览器或 FTP 客户端显示。状态代码可以指明具体请求是否已成功,还可以揭示请求失败的确切原因。
返回页首
更多信息
日志文件的位置
在默认状态下,IIS 把它的日志文件放在 %WINDIR\System32\Logfiles 文件夹中。每个万维网 (WWW) 站点和 FTP 站点在该目录下都有一个单独的目录。在默认状态下,每天都会在这些目录下创建日志文件,并用日期给日志文件命名(例如,exYYMMDD.log)。
HTTP
1xx - 信息提示
这些状态代码表示临时的响应。客户端在收到常规响应之前,应准备接收一个或多个 1xx 响应。 • 100 - 继续。
• 101 - 切换协议。
2xx - 成功
这类状态代码表明服务器成功地接受了客户端请求。• 200 - 确定。客户端请求已成功。
• 201 - 已创建。
• 202 - 已接受。
• 203 - 非权威性信息。
• 204 - 无内容。
• 205 - 重置内容。
• 206 - 部分内容。
3xx - 重定向
客户端浏览器必须采取更多操作来实现请求。例如,浏览器可能不得不请求服务器上的不同的页面,或通过代理服务器重复该请求。• 302 - 对象已移动。
• 304 - 未修改。
• 307 - 临时重定向。
4xx - 客户端错误
发生错误,客户端似乎有问题。例如,客户端请求不存在的页面,客户端未提供有效的身份验证信息。• 400 - 错误的请求。
• 401 - 访问被拒绝。IIS 定义了许多不同的 401 错误,它们指明更为具体的错误原因。这些具体的错误代码在浏览器中显示,但不在 IIS 日志中显示:• 401.1 - 登录失败。
• 401.2 - 服务器配置导致登录失败。
• 401.3 - 由于 ACL 对资源的限制而未获得授权。
• 401.4 - 筛选器授权失败。
• 401.5 - ISAPI/CGI 应用程序授权失败。
• 401.7 – 访问被 Web 服务器上的 URL 授权策略拒绝。这个错误代码为 IIS 6.0 所专用。
• 403 - 禁止访问:IIS 定义了许多不同的 403 错误,它们指明更为具体的错误原因:• 403.1 - 执行访问被禁止。
• 403.2 - 读访问被禁止。
• 403.3 - 写访问被禁止。
• 403.4 - 要求 SSL。
• 403.5 - 要求 SSL 128。
• 403.6 - IP 地址被拒绝。
• 403.7 - 要求客户端证书。
• 403.8 - 站点访问被拒绝。
• 403.9 - 用户数过多。
• 403.10 - 配置无效。
• 403.11 - 密码更改。
• 403.12 - 拒绝访问映射表。
• 403.13 - 客户端证书被吊销。
• 403.14 - 拒绝目录列表。
• 403.15 - 超出客户端访问许可。
• 403.16 - 客户端证书不受信任或无效。
• 403.17 - 客户端证书已过期或尚未生效。
• 403.18 - 在当前的应用程序池中不能执行所请求的 URL。这个错误代码为 IIS 6.0 所专用。
• 403.19 - 不能为这个应用程序池中的客户端执行 CGI。这个错误代码为 IIS 6.0 所专用。
• 403.20 - Passport 登录失败。这个错误代码为 IIS 6.0 所专用。
• 404 - 未找到。• 404.0 -(无) – 没有找到文件或目录。
• 404.1 - 无法在所请求的端口上访问 Web 站点。
• 404.2 - Web 服务扩展锁定策略阻止本请求。
• 404.3 - MIME 映射策略阻止本请求。
• 405 - 用来访问本页面的 HTTP 谓词不被允许(方法不被允许)
• 406 - 客户端浏览器不接受所请求页面的 MIME 类型。
• 407 - 要求进行代理身份验证。
• 412 - 前提条件失败。
• 413 – 请求实体太大。
• 414 - 请求 URI 太长。
• 415 – 不支持的媒体类型。
• 416 – 所请求的范围无法满足。
• 417 – 执行失败。
• 423 – 锁定的错误。
5xx - 服务器错误
服务器由于遇到错误而不能完成该请求。• 500 - 内部服务器错误。• 500.12 - 应用程序正忙于在 Web 服务器上重新启动。
• 500.13 - Web 服务器太忙。
• 500.15 - 不允许直接请求 Global.asa。
• 500.16 – UNC 授权凭据不正确。这个错误代码为 IIS 6.0 所专用。
• 500.18 – URL 授权存储不能打开。这个错误代码为 IIS 6.0 所专用。
• 500.100 - 内部 ASP 错误。
• 501 - 页眉值指定了未实现的配置。
• 502 - Web 服务器用作网关或代理服务器时收到了无效响应。• 502.1 - CGI 应用程序超时。
• 502.2 - CGI 应用程序出错。application.
• 503 - 服务不可用。这个错误代码为 IIS 6.0 所专用。
• 504 - 网关超时。
• 505 - HTTP 版本不受支持。
常见的 HTTP 状态代码及其原因
• 200 - 成功。 此状态代码表示 IIS 已成功处理请求。
• 304 - 未修改。 客户端请求的文档已在其缓存中,文档自缓存以来尚未被修改过。客户端使用文档的缓存副本,而不从服务器下载文档。
• 401.1 - 登录失败。 登录尝试不成功,可能因为用户名或密码无效。
• 401.3 - 由于 ACL 对资源的限制而未获得授权。 这表示存在 NTFS 权限问题。即使您对试图访问的文件具备相应的权限,也可能发生此错误。例如,如果 IUSR 帐户无权访问 C:\Winnt\System32\Inetsrv 目录,您会看到这个错误。 有关如何解决此问题的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中相应的文章:
187506 INFO: IIS 4.0 的基础 NTFS 权限
• 403.1 - 执行访问被禁止。 下面是导致此错误信息的两个常见原因: • 您没有足够的执行许可。例如,如果试图访问的 ASP 页所在的目录权限设为“无”,或者,试图执行的 CGI 脚本所在的目录权限为“只允许脚本”,将出现此错误信息。若要修改执行权限,请在 Microsoft 管理控制台 (MMC) 中右击目录,然后依次单击属性和目录选项卡,确保为试图访问的内容设置适当的执行权限。
• 您没有将试图执行的文件类型的脚本映射设置为识别所使用的谓词(例如,GET 或 POST)。若要验证这一点,请在 MMC 中右击目录,依次单击属性、目录选项卡和配置,然后验证相应文件类型的脚本映射是否设置为允许所使用的谓词。
• 403.2 - 读访问被禁止。验证是否已将 IIS 设置为允许对目录进行读访问。另外,如果您正在使用默认文件,请验证该文件是否存在。 有关如何解决此问题的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中相应的文章:
247677 错误信息:403.2 Forbidden:Read Access Forbidden(403.2 禁止访问:读访问被禁止)
• 403.3 - 写访问被禁止。 验证 IIS 权限和 NTFS 权限是否已设置以便向该目录授予写访问权。有关如何解决此问题的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中相应的文章:
248072 错误信息:403.3 Forbidden:Write Access Forbidden(403.3 禁止访问:写访问被禁止)
• 403.4 - 要求 SSL。禁用要求安全通道选项,或使用 HTTPS 代替 HTTP 来访问该页面。如果没有安装证书的 Web 站点出现此错误,请单击下面的文章编号,查看 Microsoft 知识库中相应的文章:
224389 错误信息:HTTP 错误 403、403.4、403.5 禁止访问:要求 SSL
• 403.5 - 要求 SSL 128。禁用要求 128 位加密选项,或使用支持 128 位加密的浏览器以查看该页面。如果没有安装证书的 Web 站点出现此错误,请单击下面的文章编号,查看 Microsoft 知识库中相应的文章:
224389 错误信息:HTTP 错误 403、403.4、403.5 禁止访问:要求 SSL
• 403.6 - IP 地址被拒绝。您已把您的服务器配置为拒绝访问您目前的 IP 地址。 有关如何解决此问题的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中相应的文章:
248043 错误信息:403.6 - Forbidden:IP Address Rejected(403.6 - 不可用:IP 地址被拒绝)
• 403.7 - 要求客户端证书。您已把您的服务器配置为要求客户端身份验证证书,但您未安装有效的客户端证书。 有关其他信息,请单击下面的文章编号,查看 Microsoft 知识库中相应的文章:
190004 错误 403.7 或“Connection to Server Could Not Be Established”(无法建立与服务器的连接)
186812 PRB:错误信息:403.7 Forbidden:Client Certificate Required(403.7 禁止访问:要求客户端证书)
• 403.8 - 站点访问被拒绝。您已为您用来访问服务器的域设置了域名限制。有关如何解决此问题的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中相应的文章:
248032 错误信息:Forbidden:Site Access Denied 403.8(禁止访问:站点访问被拒绝 403.8)
• 403.9 - 用户数过多。与该服务器连接的用户数量超过了您设置的连接限制。 有关如何更改此限制的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
248074 错误信息:Access Forbidden:Too Many Users Are Connected 403.9(禁止访问:连接的用户太多 403.9)
注意:Microsoft Windows 2000 Professional 和 Microsoft Windows XP Professional 自动设置了在 IIS 上最多 10 个连接的限制。您无法更改此限制。
• 403.12 - 拒绝访问映射表。 您要访问的页面要求提供客户端证书,但映射到您的客户端证书的用户 ID 已被拒绝访问该文件。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
248075 错误信息:HTTP 403.12 - Access Forbidden:Mapper Denied Access(HTTP 403.12 - 禁止访问:映射表拒绝访问)
• 404 - 未找到。 发生此错误的原因是您试图访问的文件已被移走或删除。如果在安装 URLScan 工具之后,试图访问带有有限扩展名的文件,也会发生此错误。这种情况下,该请求的日志文件项中将出现“Rejected by URLScan”的字样。
• 500 - 内部服务器错误。 很多服务器端的错误都可能导致该错误信息。事件查看器日志包含更详细的错误原因。此外,您可以禁用友好 HTTP 错误信息以便收到详细的错误说明。 有关如何禁用友好 HTTP 错误信息的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
294807 如何在服务器端禁用 Internet Explorer 5 的“显示友好 HTTP 错误信息”功能
• 500.12 - 应用程序正在重新启动。 这表示您在 IIS 重新启动应用程序的过程中试图加载 ASP 页。刷新页面后,此信息即会消失。如果刷新页面后,此信息再次出现,可能是防病毒软件正在扫描 Global.asa 文件。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
248013 错误信息:HTTP Error 500-12 Application Restarting(HTTP 错误 500-12 应用程序正在重新启动)
• 500-100.ASP - ASP 错误。 如果试图加载的 ASP 页中含有错误代码,将出现此错误信息。若要获得更确切的错误信息,请禁用友好 HTTP 错误信息。默认情况下,只会在默认 Web 站点上启用此错误信息。有关如何在非默认的 Web 站点上看到此错误信息的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
261200 显示 HTTP 500 错误信息,而不显示 500-100.asp 的 ASP 错误信息
• 502 - 网关错误。 如果试图运行的 CGI 脚本不返回有效的 HTTP 标头集,将出现此错误信息。
FTP
1xx - 肯定的初步答复
这些状态代码指示一项操作已经成功开始,但客户端希望在继续操作新命令前得到另一个答复。 • 110 重新启动标记答复。
• 120 服务已就绪,在 nnn 分钟后开始。
• 125 数据连接已打开,正在开始传输。
• 150 文件状态正常,准备打开数据连接。
2xx - 肯定的完成答复
一项操作已经成功完成。客户端可以执行新命令。 • 200 命令确定。
• 202 未执行命令,站点上的命令过多。
• 211 系统状态,或系统帮助答复。
• 212 目录状态。
• 213 文件状态。
• 214 帮助消息。
• 215 NAME 系统类型,其中,NAME 是 Assigned Numbers 文档中所列的正式系统名称。
• 220 服务就绪,可以执行新用户的请求。
• 221 服务关闭控制连接。如果适当,请注销。
• 225 数据连接打开,没有进行中的传输。
• 226 关闭数据连接。请求的文件操作已成功(例如,传输文件或放弃文件)。
• 227 进入被动模式 (h1,h2,h3,h4,p1,p2)。
• 230 用户已登录,继续进行。
• 250 请求的文件操作正确,已完成。
• 257 已创建“PATHNAME”。
3xx - 肯定的中间答复
该命令已成功,但服务器需要更多来自客户端的信息以完成对请求的处理。 • 331 用户名正确,需要密码。
• 332 需要登录帐户。
• 350 请求的文件操作正在等待进一步的信息。
4xx - 瞬态否定的完成答复
该命令不成功,但错误是暂时的。如果客户端重试命令,可能会执行成功。 • 421 服务不可用,正在关闭控制连接。如果服务确定它必须关闭,将向任何命令发送这一应答。
• 425 无法打开数据连接。
• 426 Connection closed; transfer aborted.
• 450 未执行请求的文件操作。文件不可用(例如,文件繁忙)。
• 451 请求的操作异常终止:正在处理本地错误。
• 452 未执行请求的操作。系统存储空间不够。
5xx - 永久性否定的完成答复
该命令不成功,错误是永久性的。如果客户端重试命令,将再次出现同样的错误。 • 500 语法错误,命令无法识别。这可能包括诸如命令行太长之类的错误。
• 501 在参数中有语法错误。
• 502 未执行命令。
• 503 错误的命令序列。
• 504 未执行该参数的命令。
• 530 未登录。
• 532 存储文件需要帐户。
• 550 未执行请求的操作。文件不可用(例如,未找到文件,没有访问权限)。
• 551 请求的操作异常终止:未知的页面类型。
• 552 请求的文件操作异常终止:超出存储分配(对于当前目录或数据集)。
• 553 未执行请求的操作。不允许的文件名。
常见的 FTP 状态代码及其原因
• 150 - FTP 使用两个端口:21 用于发送命令,20 用于发送数据。状态代码 150 表示服务器准备在端口 20 上打开新连接,发送一些数据。
• 226 - 命令在端口 20 上打开数据连接以执行操作,如传输文件。该操作成功完成,数据连接已关闭。
• 230 - 客户端发送正确的密码后,显示该状态代码。它表示用户已成功登录。
• 331 - 客户端发送用户名后,显示该状态代码。无论所提供的用户名是否为系统中的有效帐户,都将显示该状态代码。
• 426 - 命令打开数据连接以执行操作,但该操作已被取消,数据连接已关闭。
• 530 - 该状态代码表示用户无法登录,因为用户名和密码组合无效。如果使用某个用户帐户登录,可能键入错误的用户名或密码,也可能选择只允许匿名访问。如果使用匿名帐户登录,IIS 的配置可能拒绝匿名访问。
• 550 - 命令未被执行,因为指定的文件不可用。例如,要 GET 的文件并不存在,或试图将文件 PUT 到您没有写入权限的目录。
返回页首
参考
若要获得更多的有关 HTTP 状态代码定义的信息,请访问下面的万维网联合会 (W3C) Web 站点:
状态代码定义
http://www.w3.org/Protocols/rfc2616/rfc2616-sec10....
若要获得更多的有关 FTP 状态代码定义的信息,请查看下列 W3C Web 站点的 4.2 部分(“FTP 应答”):
文件传输功能
http://www.w3.org/Protocols/rfc959/4_FileTransfer....
返回页首
--------------------------------------------------------------------------------
这篇文章中的信息适用于:
• Microsoft Internet Information Server 4.0
• Microsoft Internet Information Services 5.0
• Microsoft Internet Information Services 6.0
• Microsoft Internet Information Services 5.1
返回页首
关键字: kbinfo KB318380
1.
<IMG style="FILTER: alpha(opacity=0)" src="test.gif" border=1 name=u>
<SCRIPT language=JavaScript>
var b = 1;
var c = true;
function helpor_net(){
if(document.all);
if(c == true) {
b++;
}
if(b==100) {
b--;
c = false
}
if(b==10) {
b++;
c = true;
}
if(c == false) {
b--;
}
u.filters.alpha.opacity=0 + b;
setTimeout("helpor_net()",50);
}
helpor_net();
</SCRIPT>
2. 详细:将以下代码加入到<head>与</head>之间:
<SCRIPT language=JavaScript1.2>
function high(which2){
theobject=which2
highlighting=setInterval("highlightit(theobject)",65)
}
function low(which2){
clearInterval(highlighting)
which2.filters.alpha.opacity=65
}
function highlightit(cur2){
if (cur2.filters.alpha.opacity<100)
cur2.filters.alpha.opacity+=5
else if (window.highlighting)
clearInterval(highlighting)
}
</SCRIPT>
另外图片的属性设置为:
<IMG onmouseover=high(this) style="FILTER: alpha(opacity=65)" onmouseout=low(this) src="1.jpg">
其中src="xxx"代表图片的相对或绝对地址.
<IMG style="FILTER: alpha(opacity=0)" src="test.gif" border=1 name=u>
<SCRIPT language=JavaScript>
var b = 1;
var c = true;
function helpor_net(){
if(document.all);
if(c == true) {
b++;
}
if(b==100) {
b--;
c = false
}
if(b==10) {
b++;
c = true;
}
if(c == false) {
b--;
}
u.filters.alpha.opacity=0 + b;
setTimeout("helpor_net()",50);
}
helpor_net();
</SCRIPT>
2. 详细:将以下代码加入到<head>与</head>之间:
<SCRIPT language=JavaScript1.2>
function high(which2){
theobject=which2
highlighting=setInterval("highlightit(theobject)",65)
}
function low(which2){
clearInterval(highlighting)
which2.filters.alpha.opacity=65
}
function highlightit(cur2){
if (cur2.filters.alpha.opacity<100)
cur2.filters.alpha.opacity+=5
else if (window.highlighting)
clearInterval(highlighting)
}
</SCRIPT>
另外图片的属性设置为:
<IMG onmouseover=high(this) style="FILTER: alpha(opacity=65)" onmouseout=low(this) src="1.jpg">
其中src="xxx"代表图片的相对或绝对地址.
端口扫描技术
前言
第一部分,我们讲述TCP连接的建立过程(通常称作三阶段握手),然后讨论与扫描程序有关的一些实现细节。
然后,简单介绍一下经典的扫描器(全连接)以及所谓的SYN(半连接)扫描器。
第三部分主要讨论间接扫描和秘密扫描,还有隐藏攻击源的技术。
秘密扫描基于FIN段的使用。在大多数实现中,关闭的端口对一个FIN 段返回一个RST,但是打开的端口通常丢弃这个段,不作任何回答。间接扫描,就像它的名字,是用一个欺骗主机来帮助实施,这台主机通常不是自愿的。
第四部分介绍了一种与应用协议有关扫描。这些扫描器通常利用协议实现中的一些缺陷或者错误。认证扫描(ident scanning)也被成为代理扫描(proxy scanning)。
最后一部分,介绍了另外一些扫描技术。考虑了一些不是基于TCP端口和主要用来进行安全扫描的扫描工具(例如SATAN)。另外分析了使用扫描器的栈指纹。栈指纹通过检测主机TCP并将应答跟已知操作系统TCP/IP协议栈应答相比较,解决了识别操作系统的问题。
一:TCP/IP相关问题
连接端及标记
IP地址和端口被称作套接字,它代表一个TCP连接的一个连接端。为了获得TCP服务,必须在发送机的一个端口上和接收机的一个端口上建立连接。TCP连接用两个连接端来区别,也就是(连接端1,连接端2)。连接端互相发送数据包。
一个TCP数据包包括一个TCP头,后面是选项和数据。一个TCP头包含6个标志位。它们的意义分别为:
SYN: 标志位用来建立连接,让连接双方同步序列号。如果SYN=1而ACK=0,则表示该数据包为连接请求,如果SYN=1而ACK=1则表示接受连接。
FIN: 表示发送端已经没有数据要求传输了,希望释放连接。
RST: 用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下,如果TCP收到的一个分段明显不是属于该主机上的任何一个连接,则向远端发送一个复位包。
URG: 为紧急数据标志。如果它为1,表示本数据包中包含紧急数据。此时紧急数据指针有效。
ACK: 为确认标志位。如果为1,表示包中的确认号时有效的。否则,包中的确认号无效。
PSH: 如果置位,接收端应尽快把数据传送给应用层。
TCP连接的建立
TCP是一个面向连接的可靠传输协议。面向连接表示两个应用端在利用TCP传送数据前必须先建立TCP连接。 TCP的可靠性通过校验和,定时器,数据序号和应答来提供。通过给每个发送的字节分配一个序号,接收端接收到数据后发送应答,TCP协议保证了数据的可靠传输。数据序号用来保证数据的顺序,剔除重复的数据。在一个TCP会话中,有两个数据流(每个连接端从另外一端接收数据,同时向对方发送数据),因此在建立连接时,必须要为每一个数据流分配ISN(初始序号)。为了了解实现过程,我们假设客户端C希望跟服务器端S建立连接,然后分析连接建立的过程(通常称作三阶段握手):
1: C --SYN XXà S
2: C ?-SYN YY/ACK XX+1------- S
3: C ----ACK YY+1--à S
1:C发送一个TCP包(SYN 请求)给S,其中标记SYN(同步序号)要打开。SYN请求指明了客户端希望连接的服务器端端口号和客户端的ISN(XX是一个例子)。
2:服务器端发回应答,包含自己的SYN信息ISN(YY)和对C的SYN应答,应答时返回下一个希望得到的字节序号(YY+1)。
3:C 对从S 来的SYN进行应答,数据发送开始。
一些实现细节
大部分TCP/IP实现遵循以下原则:
1:当一个SYN或者FIN数据包到达一个关闭的端口,TCP丢弃数据包同时发送一个RST数据包。
2:当一个RST数据包到达一个监听端口,RST被丢弃。
3:当一个RST数据包到达一个关闭的端口,RST被丢弃。
4:当一个包含ACK的数据包到达一个监听端口时,数据包被丢弃,同时发送一个RST数据包。
5:当一个SYN位关闭的数据包到达一个监听端口时,数据包被丢弃。
6:当一个SYN数据包到达一个监听端口时,正常的三阶段握手继续,回答一个SYN ACK数据包。
7:当一个FIN数据包到达一个监听端口时,数据包被丢弃。"FIN行为"(关闭得端口返回RST,监听端口丢弃包),在URG和PSH标志位置位时同样要发生。所有的URG,PSH和FIN,或者没有任何标记的TCP数据包都会引起"FIN行为"。
二:全TCP连接和SYN扫描器
全TCP连接
全TCP连接是长期以来TCP端口扫描的基础。扫描主机尝试(使用三次握手)与目的机指定端口建立建立正规的连接。连接由系统调用connect()开始。对于每一个监听端口,connect()会获得成功,否则返回-1,表示端口不可访问。由于通常情况下,这不需要什么特权,所以几乎所有的用户(包括多用户环境下)都可以通过connect来实现这个技术。
这种扫描方法很容易检测出来(在日志文件中会有大量密集的连接和错误记录)。Courtney,Gabriel和TCP Wrapper监测程序通常用来进行监测。另外,TCP Wrapper可以对连接请求进行控制,所以它可以用来阻止来自不明主机的全连接扫描。
TCP SYN扫描
在这种技术中,扫描主机向目标主机的选择端口发送SYN数据段。如果应答是RST,那么说明端口是关闭的,按照设定就探听其它端口;如果应答中包含SYN和ACK,说明目标端口处于监听状态。由于所有的扫描主机都需要知道这个信息,传送一个RST给目标机从而停止建立连接。由于在SYN扫描时,全连接尚未建立,所以这种技术通常被称为半打开扫描。SYN扫描的优点在于即使日志中对扫描有所记录,但是尝试进行连接的记录也要比全扫描少得多。缺点是在大部分操作系统下,发送主机需要构造适用于这种扫描的IP包,通常情况下,构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。
三:秘密扫描与间接扫描
秘密扫描技术
由于这种技术不包含标准的TCP三次握手协议的任何部分,所以无法被记录下来,从而必SYN扫描隐蔽得多。另外,FIN数据包能够通过只监测SYN包的包过滤器。
秘密扫描技术使用FIN数据包来探听端口。当一个FIN数据包到达一个关闭的端口,数据包会被丢掉,并且回返回一个RST数据包。否则,当一个FIN数据包到达一个打开的端口,数据包只是简单的丢掉(不返回RST)。
Xmas和Null扫描是秘密扫描的两个变种。Xmas扫描打开FIN,URG和PUSH标记,而Null扫描关闭所有标记。这些组合的目的是为了通过所谓的FIN标记监测器的过滤。
秘密扫描通常适用于UNIX目标主机,除过少量的应当丢弃数据包却发送reset信号的操作系统(包括CISCO,BSDI,HP/UX,MVS和IRIX)。在Windows95/NT环境下,该方法无效,因为不论目标端口是否打开,操作系统都发送RST。
跟SYN扫描类似,秘密扫描也需要自己构造IP 包。
间接扫描
间接扫描的思想是利用第三方的IP(欺骗主机)来隐藏真正扫描者的IP。由于扫描主机会对欺骗主机发送回应信息,所以必须监控欺骗主机的IP行为,从而获得原始扫描的结果。间接扫描的工作过程如下:
假定参与扫描过程的主机为扫描机,隐藏机,目标机。扫描机和目标记的角色非常明显。隐藏机是一个非常特殊的角色,在扫描机扫描目的机的时候,它不能发送任何数据包(除了与扫描有关的包)。
四:认证扫描和代理扫描
认证扫描
到目前为止,我们分析的扫描器在设计时都只有一个目的:判断一个主机中哪个端口上有进程在监听。然而,最近的几个新扫描器增加了其它的功能,能够获取监听端口的进程的特征和行为。
认证扫描是一个非常有趣的例子。利用认证协议,这种扫描器能够获取运行在某个端口上进程的用户名(userid)。认证扫描尝试与一个TCP端口建立连接,如果连接成功,扫描器发送认证请求到目的主机的113TCP端口。认证扫描同时也被成为反向认证扫描,因为即使最初的RFC建议了一种帮助服务器认证客户端的协议,然而在实际的实现中也考虑了反向应用(即客户端认证服务器)。
代理扫描
文件传输协议(FTP)支持一个非常有意思的选项:代理ftp连接。这个选项最初的目的(RFC959)是允许一个客户端同时跟两个FTP服务器建立连接,然后在服务器之间直接传输数据。然而,在大部分实现中,实际上能够使得FTP服务器发送文件到Internet的任何地方。许多攻击正是利用了这个缺陷。最近的许多扫描器利用这个弱点实现ftp代理扫描。
ftp端口扫描主要使用ftp代理服务器来扫描tcp端口。扫描步骤如下:
1:假定S是扫描机,T是扫描目标,F是一个ftp服务器,这个服务器支持代理选项,能够跟S和T建立连接。
2:S与F建立一个ftp会话,使用PORT命令声明一个选择的端口(称之为p-T)作为代理传输所需要的被动端口。
3:然后S使用一个LIST命令尝试启动一个到p-T的数据传输。
4:如果端口p-T确实在监听,传输就会成功(返回码150和226被发送回给S)。否则S回收到"425无法打开数据连接"的应答。
5:S持续使用PORT和LIST命令,直到T上所有的选择端口扫描完毕。
FTP代理扫描不但难以跟踪,而且当ftp服务器在防火墙后面的时候
五:其它扫描方法
Ping扫描
如果需要扫描一个主机上甚至整个子网上的成千上万个端口,首先判断一个主机是否开机就非常重要了。这就是Ping扫描器的目的。主要由两种方法用来实现Ping扫描。
1:真实扫描:例如发送ICMP请求包给目标IP地址,有相应的表示主机开机。
2:TCP Ping:例如发送特殊的TCP包给通常都打开且没有过滤的端口(例如80端口)。对于没有root权限的扫描者,使用标准的connect来实现。否则,ACK数据包发送给每一个需要探测的主机IP。每一个返回的RST表明相应主机开机了。另外,一种类似于SYN扫描端口80(或者类似的)也被经常使用。
安全扫描器
安全扫描器是用来自动检查一个本地或者远程主机的安全漏洞的程序。象其它端口扫描器一样,它们查询端口并记录返回结果。但是它们。它们主要要解决以下问题:
1:是否允许匿名登录。
2:是否某种网络服务需要认证。
3:是否存在已知安全漏洞。
可能SATAN是最著名的安全扫描器。1995年四月SATAN最初发布的时候,人们都认为这就是它的最终版本,认为它不但能够发现相当多的已知漏洞,而且能够针对任何很难发现的漏洞提供信息。但是,从它发布以来,安全扫描器一直在不断地发展,其实现机制也越来越复杂。
栈指纹
绝大部分安全漏洞与缺陷都与操作系统相关,因此远程操作系统探测是系统管理员关心的一个问题。
远程操作系统探测不是一个新问题。近年来,TCP/IP实现提供了主机操作系统信息服务。FTP,TELNET,HTTP和DNS服务器就是很好的例子。然而,实际上提供的信息都是不完整的,甚至有可能是错误的。最初的扫描器,依靠检测不同操作系统对TCP/IP的不同实现来识别操作系统。由于差别的有限性,现在只能最多只能识别出10余种操作系统。
最近出现的两个扫描器,QueSO和NMAP,在指纹扫描中引入了新的技术。 QueSO第一个实现了使用分离的数据库于指纹。NMAP包含了很多的操作系统探测技术,定义了一个模板数据结构来描述指纹。由于新的指纹可以很容易地以模板的形式加入,NMAP指纹数据库是不断增长的,它能识别的操作系统也越来越多。
这种使用扫描器判断远程操作系统的技术称为(TCP/IP)栈指纹技术。
另外有一种技术称为活动探测。活动探测把TCP的实现看作一个黑盒子。通过研究TCP对探测的回应,就可以发现 TCP实现的特点。TCP/IP 栈指纹技术是活动探测的一个变种,它适用于整个TCP/IP协议的实现和操作系统。栈指纹使用好几种技术来探测TCP/IP协议栈和操作系统的细微区别。这些信息用来创建一个指纹,然后跟已知的指纹进行比较,就可以判断出当前被扫描的操作系统。
栈指纹扫描包含了相当多的技术。下面是一个不太完整的清单:
1:FIN探测
2:BOGUS标记探测
3:TCP ISN 取样
4:TCP 初始窗口
5:ACK值
6:ICMP错误信息
7:ICMP信息
8:服务类型
9:TCP选项
前言
第一部分,我们讲述TCP连接的建立过程(通常称作三阶段握手),然后讨论与扫描程序有关的一些实现细节。
然后,简单介绍一下经典的扫描器(全连接)以及所谓的SYN(半连接)扫描器。
第三部分主要讨论间接扫描和秘密扫描,还有隐藏攻击源的技术。
秘密扫描基于FIN段的使用。在大多数实现中,关闭的端口对一个FIN 段返回一个RST,但是打开的端口通常丢弃这个段,不作任何回答。间接扫描,就像它的名字,是用一个欺骗主机来帮助实施,这台主机通常不是自愿的。
第四部分介绍了一种与应用协议有关扫描。这些扫描器通常利用协议实现中的一些缺陷或者错误。认证扫描(ident scanning)也被成为代理扫描(proxy scanning)。
最后一部分,介绍了另外一些扫描技术。考虑了一些不是基于TCP端口和主要用来进行安全扫描的扫描工具(例如SATAN)。另外分析了使用扫描器的栈指纹。栈指纹通过检测主机TCP并将应答跟已知操作系统TCP/IP协议栈应答相比较,解决了识别操作系统的问题。
一:TCP/IP相关问题
连接端及标记
IP地址和端口被称作套接字,它代表一个TCP连接的一个连接端。为了获得TCP服务,必须在发送机的一个端口上和接收机的一个端口上建立连接。TCP连接用两个连接端来区别,也就是(连接端1,连接端2)。连接端互相发送数据包。
一个TCP数据包包括一个TCP头,后面是选项和数据。一个TCP头包含6个标志位。它们的意义分别为:
SYN: 标志位用来建立连接,让连接双方同步序列号。如果SYN=1而ACK=0,则表示该数据包为连接请求,如果SYN=1而ACK=1则表示接受连接。
FIN: 表示发送端已经没有数据要求传输了,希望释放连接。
RST: 用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下,如果TCP收到的一个分段明显不是属于该主机上的任何一个连接,则向远端发送一个复位包。
URG: 为紧急数据标志。如果它为1,表示本数据包中包含紧急数据。此时紧急数据指针有效。
ACK: 为确认标志位。如果为1,表示包中的确认号时有效的。否则,包中的确认号无效。
PSH: 如果置位,接收端应尽快把数据传送给应用层。
TCP连接的建立
TCP是一个面向连接的可靠传输协议。面向连接表示两个应用端在利用TCP传送数据前必须先建立TCP连接。 TCP的可靠性通过校验和,定时器,数据序号和应答来提供。通过给每个发送的字节分配一个序号,接收端接收到数据后发送应答,TCP协议保证了数据的可靠传输。数据序号用来保证数据的顺序,剔除重复的数据。在一个TCP会话中,有两个数据流(每个连接端从另外一端接收数据,同时向对方发送数据),因此在建立连接时,必须要为每一个数据流分配ISN(初始序号)。为了了解实现过程,我们假设客户端C希望跟服务器端S建立连接,然后分析连接建立的过程(通常称作三阶段握手):
1: C --SYN XXà S
2: C ?-SYN YY/ACK XX+1------- S
3: C ----ACK YY+1--à S
1:C发送一个TCP包(SYN 请求)给S,其中标记SYN(同步序号)要打开。SYN请求指明了客户端希望连接的服务器端端口号和客户端的ISN(XX是一个例子)。
2:服务器端发回应答,包含自己的SYN信息ISN(YY)和对C的SYN应答,应答时返回下一个希望得到的字节序号(YY+1)。
3:C 对从S 来的SYN进行应答,数据发送开始。
一些实现细节
大部分TCP/IP实现遵循以下原则:
1:当一个SYN或者FIN数据包到达一个关闭的端口,TCP丢弃数据包同时发送一个RST数据包。
2:当一个RST数据包到达一个监听端口,RST被丢弃。
3:当一个RST数据包到达一个关闭的端口,RST被丢弃。
4:当一个包含ACK的数据包到达一个监听端口时,数据包被丢弃,同时发送一个RST数据包。
5:当一个SYN位关闭的数据包到达一个监听端口时,数据包被丢弃。
6:当一个SYN数据包到达一个监听端口时,正常的三阶段握手继续,回答一个SYN ACK数据包。
7:当一个FIN数据包到达一个监听端口时,数据包被丢弃。"FIN行为"(关闭得端口返回RST,监听端口丢弃包),在URG和PSH标志位置位时同样要发生。所有的URG,PSH和FIN,或者没有任何标记的TCP数据包都会引起"FIN行为"。
二:全TCP连接和SYN扫描器
全TCP连接
全TCP连接是长期以来TCP端口扫描的基础。扫描主机尝试(使用三次握手)与目的机指定端口建立建立正规的连接。连接由系统调用connect()开始。对于每一个监听端口,connect()会获得成功,否则返回-1,表示端口不可访问。由于通常情况下,这不需要什么特权,所以几乎所有的用户(包括多用户环境下)都可以通过connect来实现这个技术。
这种扫描方法很容易检测出来(在日志文件中会有大量密集的连接和错误记录)。Courtney,Gabriel和TCP Wrapper监测程序通常用来进行监测。另外,TCP Wrapper可以对连接请求进行控制,所以它可以用来阻止来自不明主机的全连接扫描。
TCP SYN扫描
在这种技术中,扫描主机向目标主机的选择端口发送SYN数据段。如果应答是RST,那么说明端口是关闭的,按照设定就探听其它端口;如果应答中包含SYN和ACK,说明目标端口处于监听状态。由于所有的扫描主机都需要知道这个信息,传送一个RST给目标机从而停止建立连接。由于在SYN扫描时,全连接尚未建立,所以这种技术通常被称为半打开扫描。SYN扫描的优点在于即使日志中对扫描有所记录,但是尝试进行连接的记录也要比全扫描少得多。缺点是在大部分操作系统下,发送主机需要构造适用于这种扫描的IP包,通常情况下,构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。
三:秘密扫描与间接扫描
秘密扫描技术
由于这种技术不包含标准的TCP三次握手协议的任何部分,所以无法被记录下来,从而必SYN扫描隐蔽得多。另外,FIN数据包能够通过只监测SYN包的包过滤器。
秘密扫描技术使用FIN数据包来探听端口。当一个FIN数据包到达一个关闭的端口,数据包会被丢掉,并且回返回一个RST数据包。否则,当一个FIN数据包到达一个打开的端口,数据包只是简单的丢掉(不返回RST)。
Xmas和Null扫描是秘密扫描的两个变种。Xmas扫描打开FIN,URG和PUSH标记,而Null扫描关闭所有标记。这些组合的目的是为了通过所谓的FIN标记监测器的过滤。
秘密扫描通常适用于UNIX目标主机,除过少量的应当丢弃数据包却发送reset信号的操作系统(包括CISCO,BSDI,HP/UX,MVS和IRIX)。在Windows95/NT环境下,该方法无效,因为不论目标端口是否打开,操作系统都发送RST。
跟SYN扫描类似,秘密扫描也需要自己构造IP 包。
间接扫描
间接扫描的思想是利用第三方的IP(欺骗主机)来隐藏真正扫描者的IP。由于扫描主机会对欺骗主机发送回应信息,所以必须监控欺骗主机的IP行为,从而获得原始扫描的结果。间接扫描的工作过程如下:
假定参与扫描过程的主机为扫描机,隐藏机,目标机。扫描机和目标记的角色非常明显。隐藏机是一个非常特殊的角色,在扫描机扫描目的机的时候,它不能发送任何数据包(除了与扫描有关的包)。
四:认证扫描和代理扫描
认证扫描
到目前为止,我们分析的扫描器在设计时都只有一个目的:判断一个主机中哪个端口上有进程在监听。然而,最近的几个新扫描器增加了其它的功能,能够获取监听端口的进程的特征和行为。
认证扫描是一个非常有趣的例子。利用认证协议,这种扫描器能够获取运行在某个端口上进程的用户名(userid)。认证扫描尝试与一个TCP端口建立连接,如果连接成功,扫描器发送认证请求到目的主机的113TCP端口。认证扫描同时也被成为反向认证扫描,因为即使最初的RFC建议了一种帮助服务器认证客户端的协议,然而在实际的实现中也考虑了反向应用(即客户端认证服务器)。
代理扫描
文件传输协议(FTP)支持一个非常有意思的选项:代理ftp连接。这个选项最初的目的(RFC959)是允许一个客户端同时跟两个FTP服务器建立连接,然后在服务器之间直接传输数据。然而,在大部分实现中,实际上能够使得FTP服务器发送文件到Internet的任何地方。许多攻击正是利用了这个缺陷。最近的许多扫描器利用这个弱点实现ftp代理扫描。
ftp端口扫描主要使用ftp代理服务器来扫描tcp端口。扫描步骤如下:
1:假定S是扫描机,T是扫描目标,F是一个ftp服务器,这个服务器支持代理选项,能够跟S和T建立连接。
2:S与F建立一个ftp会话,使用PORT命令声明一个选择的端口(称之为p-T)作为代理传输所需要的被动端口。
3:然后S使用一个LIST命令尝试启动一个到p-T的数据传输。
4:如果端口p-T确实在监听,传输就会成功(返回码150和226被发送回给S)。否则S回收到"425无法打开数据连接"的应答。
5:S持续使用PORT和LIST命令,直到T上所有的选择端口扫描完毕。
FTP代理扫描不但难以跟踪,而且当ftp服务器在防火墙后面的时候
五:其它扫描方法
Ping扫描
如果需要扫描一个主机上甚至整个子网上的成千上万个端口,首先判断一个主机是否开机就非常重要了。这就是Ping扫描器的目的。主要由两种方法用来实现Ping扫描。
1:真实扫描:例如发送ICMP请求包给目标IP地址,有相应的表示主机开机。
2:TCP Ping:例如发送特殊的TCP包给通常都打开且没有过滤的端口(例如80端口)。对于没有root权限的扫描者,使用标准的connect来实现。否则,ACK数据包发送给每一个需要探测的主机IP。每一个返回的RST表明相应主机开机了。另外,一种类似于SYN扫描端口80(或者类似的)也被经常使用。
安全扫描器
安全扫描器是用来自动检查一个本地或者远程主机的安全漏洞的程序。象其它端口扫描器一样,它们查询端口并记录返回结果。但是它们。它们主要要解决以下问题:
1:是否允许匿名登录。
2:是否某种网络服务需要认证。
3:是否存在已知安全漏洞。
可能SATAN是最著名的安全扫描器。1995年四月SATAN最初发布的时候,人们都认为这就是它的最终版本,认为它不但能够发现相当多的已知漏洞,而且能够针对任何很难发现的漏洞提供信息。但是,从它发布以来,安全扫描器一直在不断地发展,其实现机制也越来越复杂。
栈指纹
绝大部分安全漏洞与缺陷都与操作系统相关,因此远程操作系统探测是系统管理员关心的一个问题。
远程操作系统探测不是一个新问题。近年来,TCP/IP实现提供了主机操作系统信息服务。FTP,TELNET,HTTP和DNS服务器就是很好的例子。然而,实际上提供的信息都是不完整的,甚至有可能是错误的。最初的扫描器,依靠检测不同操作系统对TCP/IP的不同实现来识别操作系统。由于差别的有限性,现在只能最多只能识别出10余种操作系统。
最近出现的两个扫描器,QueSO和NMAP,在指纹扫描中引入了新的技术。 QueSO第一个实现了使用分离的数据库于指纹。NMAP包含了很多的操作系统探测技术,定义了一个模板数据结构来描述指纹。由于新的指纹可以很容易地以模板的形式加入,NMAP指纹数据库是不断增长的,它能识别的操作系统也越来越多。
这种使用扫描器判断远程操作系统的技术称为(TCP/IP)栈指纹技术。
另外有一种技术称为活动探测。活动探测把TCP的实现看作一个黑盒子。通过研究TCP对探测的回应,就可以发现 TCP实现的特点。TCP/IP 栈指纹技术是活动探测的一个变种,它适用于整个TCP/IP协议的实现和操作系统。栈指纹使用好几种技术来探测TCP/IP协议栈和操作系统的细微区别。这些信息用来创建一个指纹,然后跟已知的指纹进行比较,就可以判断出当前被扫描的操作系统。
栈指纹扫描包含了相当多的技术。下面是一个不太完整的清单:
1:FIN探测
2:BOGUS标记探测
3:TCP ISN 取样
4:TCP 初始窗口
5:ACK值
6:ICMP错误信息
7:ICMP信息
8:服务类型
9:TCP选项
