社区应用 最新帖子 精华区 社区服务 会员列表 统计排行 社区论坛任务 迷你宠物
  • 185176阅读
  • 60回复

网络安全专题不断更新~~

级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 30 发表于: 2006-09-04
引导型病毒
引导型病毒 +HUy,@^ Pa  
1、隐藏于硬盘或软盘的引导区中,当计算机从感染了此类病毒的磁盘引导时,病毒驻留到内存中,之后向其他所有可写磁盘复制传播。 LprGsqr:  
2、发作时可导致系统不引导,分区表被破坏等现象。 Iq,h}7C8'  
利用干净的(确保无毒)软盘或光盘引导机器,利用dos版的杀毒软件进行查杀。杀毒后有可能导致硬盘不引导甚至分区丢失等现象,因此建议杀毒前,备份重要数据 zGz}.-F  
1、用命令fdisk /mbr尝试清除 XY? Cl  
2、用杀毒软件查杀,查杀前建议备份引导扇区和分区表。 H? z~V-8  
文件型病毒 g| 3bM  
1、大多寄生在可执行文件上,使文件字节数变大,劫夺用来启动主程序的可执行命令,用作它自身的运行命令。 t,/8U  
2、同时还经常将控制权还给主程序,伪装计算机系统正常运行。一旦运行被感染了病毒的程序文件,病毒便被激发,进行自我复制。 %vZHHBylu  
3、会使系统出现运行速度变慢,数据丢失,死机等现象。 xq,ql@7  
利用干净的(确保无毒)软盘或光盘引导机器,利用dos版的杀毒软件进行查杀。杀毒后可能会导致某些程序无法运行甚至无法进入系统,建议杀毒前重要数据先备份,出现这类情况可覆盖安装(9x、me或应用程序)或修复安装(2k或xp)尝试修复,系统文件可用sfc修复。如果无效建议格式化重装。 dwUDhQt3Q  
1、如确认为染毒文件且文件无用最好在dos下直接删除 JM/\n 4ea:  
2、如无把握建议最好用杀毒软件查杀 5HHf3E [  
蠕虫病毒 e&T-GL  
1、通过网络复制,通过邮件系统自动发送自己的复制品。 n!8W@qhew  
2、传播速度极快,会造成网络拥挤瘫痪 Pn9;&`t  
3、主机运行速度变慢或某些系统功能异常,死机重启等异常。 /E\04Bs  
1、如果病毒严重影响操作系统,导致系统无法运行,如出现关机、重启等现象,像冲击波和震荡波,出现倒计时关机提示框时,应用shutdown /a命令结束重启,然后上网升级病毒软件或下载补丁程序和专杀工具。 k+"7hf=C|  
2、如果病毒对系统运行影响不严重,仅是出现速度慢,死机等现象,应尽快上网升级病毒软件或下载补丁程序和专杀工具。 1Vz^?t:  
1、利用任务管理器查找可疑进程,尝试结束 EyU6^  
2、打开注册表编辑器,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项,删除可疑键值 jwLZC  
3、对应查找病毒文件删除(可能需进安全模式或dos模式)。 Y-1K'VhT  
4、安装补丁程序,用专杀软件或升级杀毒软件全面查杀。 t$t'{*t( T  
5、如病毒导致系统重启,可用shutdown /a命令结束重启 K2n#;fY %  
木马 LQ%QFfC  
1、浏览器自动打开,自动连接到某个网站。 k1yqe rA  
2、系统配置被莫名其妙地修改,比如屏保显示的文字,时间和日期,声音大小,鼠标灵敏度,还有CD-ROM的自动运行配置。 K$}K2w  
3、运行中莫名其妙的弹出出现警告框或者是询问框,问一些莫名其妙的问题。 >cmz JS  
4、机器启动时异常缓慢,很长时间恢复正常;网络连接状态时,大批量接收发送数据包;鼠标指针时而没缘由的成沙漏状态;屏幕无缘故黑屏又恢复正常;硬盘老是没理由地读盘写盘;软驱灯经常自己亮起来;光驱自己弹开关闭。 cc`u{F9  
5、QQ、MSN等登陆时输入帐号密码的登陆框连续出现两次,或者输入正确的密码后提示不正确。 80g}<Lwc  
根据木马的启动运行原理,可先利用msconfig关闭启动项中的可疑程序,重启后上网升级病毒软件或下载补丁程序和专杀工具。 L ..  
1、利用任务管理器查找可疑进程,尝试结束 ?,v& o>*  
2、“系统配置实用程序(msconfig)”中的“启动”项和“服务”项中找可疑启动项删除,或在“注册表编辑器”中的 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项和 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中找可疑启动项删除。 $`\qY ^.(  
3、如果没有活问题没有解决可在“注册表编辑器”中HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ os;9 4yd )  
Explorer\Run项里找找,或是进入“组策略编辑器(gpedit.msc仅xp的pro版有)”的“在用户登录时运行这些程序”看看有没有可疑的启动的程序删除。 -W@nc QL}  
4、症状消失后,建议在安全模式用新版杀毒软件全面查杀。 >}NnzZ  
脚本病毒(网页病毒/恶意代码) 3w p@OF_  
1、自动向outlook的地址簿中的邮件地址发送邮件,导致网络速度变慢。 VE*`J i  
2、自动扫描局域网中的有写权限的共享目录,向其中复制 [X]hb7-&  
3、通过感染htm、asp、jsp、php等网页文件传播,导致所有访问过该网页的用户机器感染病毒。 1~E4]Ef:W  
4、防火墙/防病毒软件被自动关闭甚至是被删除。 Y?K?*`Pkc1  
此类病毒一般只是更改注册表或系统配置文件设置,导致一些程序运行异常,某些类型文件打开异常。一般不会影响系统基本功,上网上网升级病毒软件或下载补丁程序和专杀工具。 37 ?X@@Z=  
1、用regsvr32 scrrun.dll /u命令禁止文件系统对象(FileSystemObject)。其中regsvr32是Windows\System下的可执行文件。或查找scrrun.dll文件删除或者改名。 >jTiYJI_M  
2、打开控制面板→添加/删除程序→Windows安装程序→附件,卸载Windows Scripting Host一项。 FcZ)^RQ4G  
3、打开文件夹选项→文件类型,删除VBS、VBE、JS、JSE文件后缀名与应用程序的链接。 %q;y74  
4、在Windows目录中,找到WScript.exe,更改名称或者删除,如果觉得以后有机会用到请更改名称。 daSx^/$R  
5、打开浏览器,单击菜单栏里“Internet 选项”安全选项卡里的自定义级别。把“ActiveX控件及插件”的所有设为禁用,注意这样会对网页浏览稍有影响。 +.^pAz U}R  
6、将安全级别设置至少为“中等” =Xid"$  
7、禁止OE的自动收发邮件功能。 Yg&/^  
8、症状消失后,建议在安全模式用新版杀毒软件全面查杀。
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 31 发表于: 2006-09-04
可以在线查杀毒的网址~
趋势科技在线查毒 z<cPy)F]"  
PnI_W84z  
Orlf5 {P  
http://www.trendmicro.com/cn/pro ... aluate/overview.htm 5F 8'f)  
U[ogtfv`m  
D*wY,\  
熊猫卫士在线杀毒 ?,eq86-M  
@< 0c  
'f7s*VKG  
http://www.pandasoftware.com/com/cn/ 'H1k  
}$3pS:_N~  
?y[i6yN9  
光华在线杀毒 fQ2U |  
#<-%%  
vC^n_  
http://viruschina.com/free/freevirus.asp srS5-fs  
xl(R|D))  
bW^{I,b<F  
Dr.Web lygv#s-T  
/jn0Xh  
_xo;[rEw8  
http://www.drweb.com/online/ I-/-k.  
hx}X=7w  
Gnie|[3  
CA eTrust lMjeq.5nP  
o-<.8Z}>at  
VzuU 0  
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx nS^,Sq\Ak  
QM=Y}   
'#612iZo  
VirusChaser A+"'8%o9}  
Es1T{<G|w  
x\Kt}/97e  
http://www.vccn.com.cn/webscan/?color=68b9e1,ff99c1?url=update.viruschaser.com.cn?port=3939 wQOIUvd  
OT3~5j1[  
\8Yv}wQ  
GeCAD RAV #nS crs@  
#8B4*gAM  
AaDMX,  
http://www.ravantivirus.com/scan/indexn.php p{O@ts:  
~Z ;.n p(T  
p3cb_  
ClamAV 1Zgv+.  
%Lfy!]Ru  
34aSRFsk*  
http://test-clamav.power-netz.de/ 4{ED~w|  
mFuHZ)iQG  
i[ n3ILn  
Kaspersky Y]"lcr}  
tAS[T9B  
rCdTn+O2  
http://www.kaspersky.com/scanforvirus f2i9UZ$=e!  
cg}lF9;d  
a)rT3gl  
Kaspersky Anti-Virus Web Scanner Beta VP6_}9:9   
-b'/}zz  
?s9f}>  
http://www.kaspersky.com/beta?product=161744315 i$XT Qr0K=  
u 236a\:  
3^Z@fC  
BitDefender /wJocx]vQ  
c/-PEsk_TP  
l\{r-F N  
http://www.bitdefender.com/scan/index.html q.d qr<  
OCWyp  
d'e\tO  
东方卫士在线杀毒 oSkvTK$ &i  
G8Zl[8  
s'k} .}  
http://www.i110.com/dfvsonline/dfvsonline.asp  y7.oy"  
ZE6W"pbjU  
g"X!&$ &  
VBA32 0 TOw4pC  
K5(:0Q.5y  
YZ/2 :[b  
http://www.anti-virus.by/en/index.html 0Q:l,\lY  
e+wINW  
k, jcLX.  
NORMAN c- "#  
Ca#T?HL  
Md>9Daa~  
http://www.norman.com/zh-hk p)*x7~3e  
cf*SWKs  
kwrM3nq  
NOD32 88A,ll%  
7J5Yzu)D  
@e^(V$ap  
http://www.nod32.com/home/home.htm <O~ieJim  
ZEG~ek=jM  
(T =u_oe  
FORTINET ZtX \E+mC  
#e&LyYx4  
:VlMszy}B3  
http://www.fortinet.com/ =wFl(Q6J  
,o [FUi(#@  
^AR kjYt  
AVG O]Q8&(  
/7K7o8g  
XPMvAZL  
http://www.grisoft.com/doc/1 |uM(A~?  
R{{?wr6b$  
#[y2nK3zF  
F-PROT HK`r9frn  
qex::Qf  
NX?6 (lO,  
http://www.f-prot.com @Qd5a(5WM  
SQDc%I>b  
kjOI7`DU  
AVAST P7;q^jlB  
s~g]`/h$r  
h`Xl~=  
http://onlinescan.avast.com/ +jj] tJ$[  
*)Pb-c  
t CQf `  
ARCABIT JUTlJyx8  
$%5vJiuk  
Ob|v$C  
http://arcaonline.arcabit.com/ j]6YLM@5$  
L%/atl!  
B'D~Q  
AntiVir W(PNw2  
D1cnf"y^  
Bx0=D:j  
http://www.antivir.de/en/ p?x]|`M  
FUZ`ST+OL  
O,0j+1?  
VirusTotal `&SBp }W}  
<Mf(2`T  
http://www.virustotal.com/flash/index_en.html {$v>3FG  
?cgb3^R'  
29f4[V X  
Jotti Online Malware Scan /^,/o  
|/!RN[<   
http://virusscan.jotti.org/ 7'R7J"sY`|  
gHVD,Jr  
lF)k4 +M  
KV在线查毒 13/U4-%b2  
FyRr/0C>  
8 %^W<.Y  
http://online.jiangmin.com/chadu.asp BU=Ta$#BZ  
iG=XRctgj)  
)7a 4yTg!~  
瑞星在线查毒 QVWUm!  
BV]$= e'  
{Ty?OZ  
http://online.rising.com.cn/ravonline/RavSoft/Rav.asp &(~"OD  
`+GiSj8'G  
&p.7SPQ8/  
金山毒霸在线查毒 )Z63 cr/  
els71t -  
DcEGIaW  
http://scan.kingsoft.com/ )4  'yI*  
9f$3{ g{m  
{EVHkQ+o  
朝华·安博士在线杀毒 xd]7?L@h.I  
\"$jj<gc  
q ?m<9`  
http://www.zvc.com.cn/vco_start.asp
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 32 发表于: 2006-09-10
七种方法可以让你的电脑变得更安全
首先,我们当然要进到服务里,去看看有什么危险的系统进程在开着啦。看到注释吗?“允许远程操作注册表”,关掉它(Remote Registry)我点的是AT命令,也要关(Task Scheduler),免得被入侵者用它来启动木马。 n2&M?MGX  
  1 打开注册表,进入 QHe:  
"I JcKoB  
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ?) FY7[x.  
LH>h]OTQF  
  在右边找一个键值DontDisplayLastUserName,然后改成1,如果不存在,你就新建立一个! !24g_R[3"  
WFMQ;  
  2 防止IPC空连接是非常必要的! /P/::$  
v#$}3+KVC  
  好,我们来到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa这里,找到这个主键restrictanonymous把它改成1 "Kf4v|6;  
A9M/n^61  
  如果改成2有些程序可能无法运行,所以一般改成1。 GlaZZ,   
#oEq)Vq>g|  
  3 我们来修改3389的默认端口 (eO_]<wmky  
q4ej7T8  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp H]>7IhJ  
;Yn_*M/*  
  来到这里,找到PortNumber ,十进制是3389的,你随意把它改成其它4个数字吧,我改成1314了 2Q[q)u  
*AA78G|  
  这样入侵者就不能3389入侵你的电脑了。 t++\&!F  
gBE1a w;  
  4 进入cmd下,运行net share和net user ( ALsc@K  
|~YhN'OJ  
  看看还有什么共享的和可疑的用户名。Administrator 和 Guest是系统默认的,不用删,怎么多了个×××? BaE}|4  
zK&J2P`  
  不理了,删掉它。(net user ××× /del) L&qY709  
t: qPW<wc  
  关掉没用的共享。(net share C$ /del, ...) sys;Rz2  
+yIO  
  5输入法漏洞 0p!N'7N  
 `/eh  
  解决方案:1.对这几个有漏洞的帮助文件进行删除或者改名等操作。 K<7 Db4H  
rYk   
  最好就是删除WINIME.CHM,WINPY.CHM,WINZM.CHM这三个帮助文件。你会删其它吧? uCGn9]  
}#9 |au`  
  6 最重要,也很好用,一般无敌,^_^。 }7/Ob)O  
BG2Z'WOH  
  在cmd下,进入c:\winnt\system32写入命令 ren net.exe netwei.exe (回车) T eBJ  
 Fs1ms)  
  好了,以后,别人就算进到你的电脑内,也不能用net user username pass /add增加用户 ?iNihE  
_c6 zzGtH  
  更不能用net localgroup administrators username /add 加入administrators了,呵呵~ C'CdVDm X  
R86:1  
  这个命令来建立用户并提升管理员了。改成netwei user.............. [LHfH3[gU  
%~YQl N  
  7 最后一步,也是关键的,这个可以防止别入格式化! 9/LJ tM  
&?B\(?*  
  在CMD里写入命令:C:\>DOSKEY FORMAT=Bad command or file name! (回车)这个是锁定命令,你也可以锁定DEL )J!=X`b  
/ S)&dN`  
  当别人恶意格式化你的硬盘时,系统将会显示:“Bad command or file name!,拒绝执行格式化命令 h*?/[XY  
t^@4n&Dg  
  如果在某种特殊情况下,你自己需要格式化硬盘,那该怎么办呢?你可以输入下面的命令: 0Kenyn4?  
>rzpYc'~w  
  C:\>DOSKEY FORMAT= (回车)这样你就可以像以前一样可以格式化了。
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 33 发表于: 2006-09-10
十大高招让你摆脱莫名黑客的网络攻击
现在,使用ADSL的用户越来越多,由于ADSL用户在线时间长、速度快,因此成为黑客们的攻击目标。现在网上出现了各种越来越详细的“IP地址库”,要知道一些ADSL用户的IP是非常容易的事情。要怎么保卫自己的网络安全呢?不妨看看以下方法。 RBM4_L  
  一、取消文件夹隐藏共享 vt-5 3fa|  
@X*r5hjc  
  如果你使用了Windows 2000/XP系统,右键单击C盘或者其他盘,选择共享,你会惊奇地发现它已经被设置为“共享该文件夹”,而在“网上邻居”中却看不到这些内容,这是怎么回事呢? 'aW<C>  
E>6:59+  
  原来,在默认状态下,Windows 2000/XP会开启所有分区的隐藏共享,从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”,就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”,系统就会询问用户名和密码,遗憾的是,大多数个人用户系统Administrator的密码都为空,入侵者可以轻易看到C盘的内容,这就给网络安全带来了极大的隐患。 e8<[2J)P&  
5T;,wQ<  
  怎么来消除默认共享呢?方法很简单,打开注册表编辑器,进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”,新建一个名为“AutoShareWKs”的双字节值,并将其值设为“0”,然后重新启动电脑,这样共享就取消了。 cE0Kvqe`  
@ 6{U*vs  
  二、拒绝恶意代码 80qe5WC.2u  
kVb8$Sp  
  恶意网页成了宽带的最大威胁之一。以前使用Modem,因为打开网页的速度慢,在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快,所以很容易就被恶意网页攻击。 4>xv7  
nH]F$'rtA  
  一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序,只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。 )x*pkE**c  
UHW;e}O5  
  运行IE浏览器,点击“工具/Internet选项/安全/自定义级别”,将安全级别定义为“安全级-高”,对“ActiveX控件和插件”中第2、3项设置为“禁用”,其它项设置为“提示”,之后点击“确定”。这样设置后,当你使用IE浏览网页时,就能有效避免恶意网页中恶意代码的攻击。 eA(c{  
J#'+&D H  
  三、封死黑客的“后门” XDi[Iyj  
ZICcZG_y  
  俗话说“无风不起浪”,既然黑客能进入,那说明系统一定存在为他们打开的“后门”,只要堵死这个后门,让黑客无处下手,便无后顾之忧! {,rVA(I@  
Nm]\0m0p-  
  1.删掉不必要的协议 fr<, LC.  
-KG3_kE  
  对于服务器和主机来说,一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源,对于不需要提供文件和打印共享的主机,还可以将绑定在TCP/IP协议的NETBIOS关闭,避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”,进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。  a7UfRG  
)q+9_KU q  
  2.关闭“文件和打印共享” xkzC+ _A  
bbO1`b-  
  文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下,我们可以将它关闭。用鼠标右击“网络邻居”,选择“属性”,然后单击“文件和打印共享”按钮,将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。 N/fH%AtM  
-N[Q*;h|  
  虽然“文件和打印共享”关闭了,但是还不能确保安全,还要修改注册表,禁止它人更改“文件和打印共享”。打开注册表编辑器,选择“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork”主键,在该主键下新建DWORD类型的键值,键值名为“NoFileSharingControl”,键值设为“1”表示禁止这项功能,从而达到禁止更改“文件和打印共享”的目的;键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。 sw715"L  
?krgZ;Jj  
  3.把Guest账号禁用 I*^3 Z  
+e%U6&l{  
  有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和密码”,单击“高级”选项卡,再单击“高级”按钮,弹出本地用户和组窗口。在Guest账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另外,将Administrator账号改名可以防止黑客知道自己的管理员账号,这会在很大程度上保证计算机安全。 lfp'D+#p {  
x=(cQmQ  
  4.禁止建立空连接 .\> I-  
13nXvYo'  
  在默认的情况下,任何用户都可以通过空连接连上服务器,枚举账号并猜测密码。因此,我们必须禁止建立空连接。方法有以下两种: "m:4e`_dz  
o-jF?9m  
  方法一是修改注册表:打开注册表“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA”,将DWORD值“RestrictAnonymous”的键值改为“1”即可。 ) Pdl[+a  
X%b.]A  
  最后建议大家给自己的系统打上补丁,微软那些没完没了的补丁还是很有用的!
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 34 发表于: 2006-09-10
浅谈Windows防黑的一些技(一)
本文通过七步设置介绍了针对Windows 2000和Windows XP操作系统如何防范非法用户入侵的“七招”。 &zYo   
c{u~=24;%#  
  第一招:屏幕保护 4F+n`{~  
DEw_dOJ(  
  在Windows中启用了屏幕保护之后,只要我们离开计算机(或者不操作计算机)的时间达到预设的时间,系统就会自动启动屏幕保护程序,而当用户移动鼠标或敲击键盘想返回正常工作状态时,系统就会打开一个密码确认框,只有输入正确的密码之后才能返回系统,不知道密码的用户将无法进入工作状态,从而保护了数据的安全。 R)w|bpW  
V3u[{^^f  
  提示:部分设计不完善的屏幕保护程序没有屏蔽系统的“Ctrl+Alt+Del”的组合键,因此需要设置完成之后测试一下程序是否存在这个重大Bug。 *X K9-%3  
a9GLFA8Vq  
  不过,屏幕保护最快只能在用户离开1分钟之后自动启动,难道我们必须坐在计算机旁等待N分钟看到屏幕保护激活之后才能再离开吗?其实我们只要打开 Windows安装目录里面的system子目录,然后找到相应的屏幕保护程序(扩展名是SCR),按住鼠标右键将它们拖曳到桌面上,选择弹出菜单中的 “在当前位置创建快捷方式”命令,在桌面上为这些屏幕保护程序建立一个快捷方式。 Z) zWfv}  
~agzp`!M  
  此后,我们在离开计算机时双击这个快捷方式即可快速启动屏幕保护。 ^{T3lQvt  
|E)Es!dr  
  第二招:巧妙隐藏硬盘 ''f07R  
w8Mi: ;6  
  在“按Web页”查看方式下,进入Windows目录时都会弹出一句警告信息,告诉你这是系统文件夹如果“修改该文件夹的内容可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件”,这时单击“显示文件”就可以进入该目录了。 XKU+'Tz  
qi\!<clv  
  原因是在Windows根目录下有desktop.ini和folder.htt两个文件作祟。将这两个文件拷贝到某个驱动器的根目录下(由于这两个文件是隐藏文件,之前必须在文件夹选项中单击“查看”标签,选择“显示所有文件”,这样就可以看见这两个文件了)。再按“F5”键刷新一下,看看发生了什么,是不是和进入Windows目录时一样。 Sh=Px9'i  
YpT x1c-  
  接下来我们用“记事本”打开folder.htt,这是用HTML语言编写的一个文件,发挥你的想像力尽情地修改吧。 o0p%j4vac  
t1)b26;  
  如果你不懂HTML语言也没关系,先找到“显示文件”将其删除,找到“修改该文件夹的内可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件”,将其改为自己喜欢的文字,例如“安全重地,闲杂人等请速离开”。 0UmKS\P  
  将“要查看该文件夹的内容,请单击”改为“否则,后果自负!”,接着向下拖动滑块到倒数第9行,找到“(file://%TEMPLATEDIR%\ wvlogo.gif)”这是显示警告信息时窗口右下角齿轮图片的路径,将其改为自己图片的路径,例如用“d:\tupian\tupian1.jpg” 替换“//”后面的内容,记住这里必须将图片的后缀名打出,否则将显示不出图片。 c2z%|\q  
'V5^D<1P  
  当然,你还可以用像Dreamweaver、FrontPage这样的网页工具做出更好的效果,然后只要将原文件拷贝到下面这段文字的后面,覆盖掉原文件中“~”之间的内容就可以了。 MhNDf[W>  
=x4:jas  
  *This file was automatically generated by Microsoft Internet EXPlorer 5.0 bV#U&)|  
"3*Chc  
  *using the file %THISDIRPATH%\folder.htt. y4HOKJxI  
Xp=Y<`dX  
  保存并退出,按“F5”键刷新一下,是不是很有个性?接下来要作的就是用“超级兔子”将你所要的驱动器隐藏起来,不用重新启动就可以欣赏自己的作品了。最后告诉大家一招更绝的,就是干脆将folder.htt原文件中“~”之间的内容全部删除,这样就会给打开你的驱动器的人造成一种这是一个空驱动器的假象,使其中的文件更安全。
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 35 发表于: 2006-09-10
浅谈Windows防黑的一些技巧(二)
 第三招:禁用“开始”菜单命令 9K@>{69WQ  
T{={uzQeJJ  
  在Windows 2000/XP中都集成了组策略的功能,通过组策略可以设置各种软件、计算机和用户策略在某种方面增强系统的安全性。运行“开始→运行”命令,在“运行” 对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按钮即可启动Windows XP组策略编辑器。 bc"E=z  
^IxT.g  
  在“本地计算机策略”中,逐级展开“用户配置→管理模板→任务栏和开始菜单”分支,在右侧窗口中提供了“任务栏”和“开始菜单”的有关策略。 B8^tIq  
3:i4DBp,i  
  在禁用“开始”菜单命令的时候,在右侧窗口中,提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网上邻居”图标等策略。清理“开始”菜单的时候只要将不需要的菜单项所对应的策略启用即可,比如以删除“我的文档”图标为例,具体操作步骤为: Ds$8$1=L=k  
Hut au^l  
  1)在策略列表窗口中用鼠标双击“从开始菜单中删除我的文档图标”选项。 zn T85#]\@  
U n#7@8,  
  2)在弹出窗口的“设置”标签中,选择“已启用”单选按钮,然后单击“确定”即可。 66?!"w  
mAFqA  
  第四招:桌面相关选项的禁用 ,uD F#xjl,  
2roPZj  
  Windows XP的桌面就像你的办公桌一样,有时需要进行整理和清洁。有了组策略编辑器之后,这项工作将变得易如反掌,只要在“本地计算机策略”中展开“用户配置→管理模板→桌面”分支,即可在右侧窗口中显示相应的策略选项。 x+vNA J  
qwu++9BM  
  1)隐藏桌面的系统图标 ^A^,/3  
r3l}I 6  
  倘若隐藏桌面上的系统图标,传统的方法是通过采用修改注册表的方式来实现,这势必造成一定的风险性,采用组策略编辑器,即可方便快捷地达到此目的。 _dj< xPO  
~y}M GUEC  
  若要隐藏桌面上的“网上邻居”和“Internet EXPlorer”图标,只要在右侧窗口中将“隐藏桌面上网上邻居图标”和“隐藏桌面上的Internet EXPlorer图标”两个策略选项启用即可。如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可。 G qI^$5?  
2hV#3i  
  当启用了“删除桌面上的我的文档图标”和“删除桌面上的我的电脑图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了。如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。 2,O-/A;tW*  
Wiqy".YY  
  2)禁止对桌面的某些更改 dhN[\Z%  
=z]&E 78Y  
  如果你不希望别人随意改变计算机桌面的设置,请在右侧窗口中将“退出时不保存设置”这个策略选项启用。当你启用这个了设置以后,其他用户可以对桌面做某些更改,但有些更改,诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 36 发表于: 2006-09-10
浅谈Windows防黑的一些技巧(三)
第五招:禁止访问“控制面板” o$m64l  
PNXZ3:W  
  如果你不希望其他用户访问计算机的控制面板,你只要运行组策略编辑器,并在左侧窗口中展开“本地计算机策略→用户配置→管理模板→控制面板”分支,然后将右侧窗口的“禁止访问控制面板”策略启用即可。 >\K<q>*  
^Ois]#py  
  此项设置可以防止控制面板程序文件的启动,其结果是他人将无法启动控制面板或运行任何控制面板项目。另外,这个设置将从“开始”菜单中删除控制面板,同时这个设置还从Windows资源管理器中删除控制面板文件夹。 ^>uzMR!q5  
+15j^ Az  
  提示:如果你想从上下文菜单的属性项目中选择一个“控制面板”项目,会出现一个消息,说明该设置防止这个操作。 h:(Jes2  
-gh',)R   
  第六招:设置用户权限 l!\C"f1o,  
%*<k5#Yq  
  当多人共用一台计算机时,在Windows XP中设置用户权限,可以按照以下步骤进行: <pGPuw|~I  
g# :|Mjgh  
{a9Z<P  
  1)运行组策略编辑器程序。 ??{(.`}R~  
-8qLshQ  
  2)在编辑器窗口的左侧窗口中逐级展开“计算机配置→Windows设置→安全设置→本地策略→用户权限指派”分支。 fcb:LPk;  
5oplV(<?*S  
  3)双击需要改变的用户权限,单击“添加用户或组”按钮,然后双击想指派给权限的用户账号,最后单击“确定”按钮退出。 #$%9XD3  
.9> e r  
  第七招:文件夹设置审核 C81+nR  
;)[RG\  
  Windows XP可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件,而审核文件和NTFS分区下的文件夹可以保证文件和文件夹的安全。为文件和文件夹设置审核的步骤如下: C/e`O|G  
;u,%an<(  
  1)在组策略窗口中,逐级展开右侧窗口中的“计算机配置→Windows设置→安全设置→本地策略”分支,然后在该分支下选择“审核策略”选项。 3S:}fPR  
C^Tc9  
  2)在右侧窗口中用鼠标双击“审核对象访问”选项。 US'X9=b_  
kR6rf_-[  
  3)用鼠标右键单击想要审核的文件或文件夹,选择弹出菜单的“属性”命令,接着在弹出的窗口中选择“安全”标签。 88h-.\%Z  
?)1h.K1}M  
  4)单击“高级”按钮,然后选择“审核”标签。 o(>!T=f  
[9a0J):w{  
  5)根据具体情况选择你的操作: bOux8OHt*  
Q<zL;AJ  
  倘若对一个新组或用户设置审核,可以单击“添加”按钮,并且在“名称”框中键入新用户名,然后单击“确定”按钮打开“审核项目”对话框。 $}l0Nh'Eu  
jDcE_55o  
  要查看或更改原有的组或用户审核,可以选择用户名,然后单击“查看/编辑”按钮。 ;=hl!CB  
N{iBVl  
  要删除原有的组或用户审核,可以选择用户名,然后单击“删除”按钮即可。 7*OO k"9  
5?k_Q"~  
  6)如有必要的话,在“审核项目”对话框中的“应用到”列表中选取你希望审核的地方。 ~*Ve>4  
HGB96,o f9  
  7)如果想禁止目录树中的文件和子文件夹继承这些审核项目,选择“仅对此容器内的对象和/或容器应用这些审核项”复选框。 |]DZc/  
M9]O!{ sq  
  注意:必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前,你必须启用组策略中“审核策略”的“审核对象访问”。否则,当你设置完文件、文件夹审核时会返回一个错误消息,并且文件、文件夹都没有被审核。
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 37 发表于: 2006-09-16
经验:浅谈Windows防黑的一些技巧
第一招:屏幕保护 b0x9}  
5bv(J  T  
  在Windows中启用了屏幕保护之后,只要我们离开计算机(或者不操作计算机)的时间达到预设的时间,系统就会自动启动屏幕保护程序,而当用户移动鼠标或敲击键盘想返回正常工作状态时,系统就会打开一个密码确认框,只有输入正确的密码之后才能返回系统,不知道密码的用户将无法进入工作状态,从而保护了数据的安全。 XYWGX;.=  
V>@NkQ<|y  
  提示:部分设计不完善的屏幕保护程序没有屏蔽系统的“Ctrl+Alt+Del”的组合键,因此需要设置完成之后测试一下程序是否存在这个重大Bug。 aCX](sN  
{{f%w$r(  
  不过,屏幕保护最快只能在用户离开1分钟之后自动启动,难道我们必须坐在计算机旁等待N分钟看到屏幕保护激活之后才能再离开吗?其实我们只要打开 Windows安装目录里面的system子目录,然后找到相应的屏幕保护程序(扩展名是SCR),按住鼠标右键将它们拖曳到桌面上,选择弹出菜单中的 “在当前位置创建快捷方式”命令,在桌面上为这些屏幕保护程序建立一个快捷方式。 w48T?  
q>r9ooN  
  此后,我们在离开计算机时双击这个快捷方式即可快速启动屏幕保护。 B c*Rn3i@  
j)C%zzBu(  
  第二招:巧妙隐藏硬盘 <|Bh;;  
t3 *2Z u  
  在“按Web页”查看方式下,进入Windows目录时都会弹出一句警告信息,告诉你这是系统文件夹如果“修改该文件夹的内容可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件”,这时单击“显示文件”就可以进入该目录了。 }{:H0)H*  
f&H):.  
  原因是在Windows根目录下有desktop.ini和folder.htt两个文件作祟。将这两个文件拷贝到某个驱动器的根目录下(由于这两个文件是隐藏文件,之前必须在文件夹选项中单击“查看”标签,选择“显示所有文件”,这样就可以看见这两个文件了)。再按“F5”键刷新一下,看看发生了什么,是不是和进入Windows目录时一样。 ~y_TT5+ 3  
+uKlg#wqc  
  接下来我们用“记事本”打开folder.htt,这是用HTML语言编写的一个文件,发挥你的想像力尽情地修改吧。 xx nW1`]  
`f*?|)  
  如果你不懂HTML语言也没关系,先找到“显示文件”将其删除,找到“修改该文件夹的内可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件”,将其改为自己喜欢的文字,例如“安全重地,闲杂人等请速离开”。 2y#4rl1Utx  
;Y j_@=   
  将“要查看该文件夹的内容,请单击”改为“否则,后果自负!”,接着向下拖动滑块到倒数第9行,找到“(file://%TEMPLATEDIR%\ wvlogo.gif)”这是显示警告信息时窗口右下角齿轮图片的路径,将其改为自己图片的路径,例如用“d:\tupian\tupian1.jpg” 替换“//”后面的内容,记住这里必须将图片的后缀名打出,否则将显示不出图片。 HvK<>9  
E92dSLhs5  
  当然,你还可以用像Dreamweaver、FrontPage这样的网页工具做出更好的效果,然后只要将原文件拷贝到下面这段文字的后面,覆盖掉原文件中“~”之间的内容就可以了。 <y6M@(b  
:r:5a(sq  
  *This file was automatically generated by Microsoft Internet EXPlorer 5.0  o9#  
Dq*>+1eW2  
  *using the file %THISDIRPATH%\folder.htt. ~!,'z  
L/<^uO1  
  保存并退出,按“F5”键刷新一下,是不是很有个性?接下来要作的就是用“超级兔子”将你所要的驱动器隐藏起来,不用重新启动就可以欣赏自己的作品了。最后告诉大家一招更绝的,就是干脆将folder.htt原文件中“~”之间的内容全部删除,这样就会给打开你的驱动器的人造成一种这是一个空驱动器的假象,使其中的文件更安全。 {08UBnR  
iF{eGi  
  第三招:禁用“开始”菜单命令 9/{+,RpC  
p{t2pfb  
  在Windows 2000/XP中都集成了组策略的功能,通过组策略可以设置各种软件、计算机和用户策略在某种方面增强系统的安全性。运行“开始→运行”命令,在“运行” 对话框的“打开”栏中输入“gpedit.msc”,然后单击“确定”按钮即可启动Windows XP组策略编辑器。 zbx,qctYo$  
XkCbdb  
  在“本地计算机策略”中,逐级展开“用户配置→管理模板→任务栏和开始菜单”分支,在右侧窗口中提供了“任务栏”和“开始菜单”的有关策略。 P00d#6hPJ  
+J]3)8 y+  
  在禁用“开始”菜单命令的时候,在右侧窗口中,提供了删除“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网上邻居”图标等策略。清理“开始”菜单的时候只要将不需要的菜单项所对应的策略启用即可,比如以删除“我的文档”图标为例,具体操作步骤为: 7zVaj"N(  
8 ]dhNA5  
  1)在策略列表窗口中用鼠标双击“从开始菜单中删除我的文档图标”选项。 p<`q^D  
,/m<=`*N|  
  2)在弹出窗口的“设置”标签中,选择“已启用”单选按钮,然后单击“确定”即可。 K;_p>bI5  
| 3!a=  
  第四招:桌面相关选项的禁用 \5k[ "8~  
hBLJKSv  
  Windows XP的桌面就像你的办公桌一样,有时需要进行整理和清洁。有了组策略编辑器之后,这项工作将变得易如反掌,只要在“本地计算机策略”中展开“用户配置→管理模板→桌面”分支,即可在右侧窗口中显示相应的策略选项。 nC qUg_{D  
X/];*='Q  
  1)隐藏桌面的系统图标 I &YYw8&  
! 0fpD'f!n  
  倘若隐藏桌面上的系统图标,传统的方法是通过采用修改注册表的方式来实现,这势必造成一定的风险性,采用组策略编辑器,即可方便快捷地达到此目的。 -/B}XN W  
/+"BU-aQk  
  若要隐藏桌面上的“网上邻居”和“Internet EXPlorer”图标,只要在右侧窗口中将“隐藏桌面上网上邻居图标”和“隐藏桌面上的Internet EXPlorer图标”两个策略选项启用即可。如果隐藏桌面上的所有图标,只要将“隐藏和禁用桌面上的所有项目”启用即可。 r{#od 7;  
gr4Hh/V  
  当启用了“删除桌面上的我的文档图标”和“删除桌面上的我的电脑图标”两个选项以后,“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了。如果在桌面上你不再喜欢“回收站”这个图标,那么也可以把它给删除,具体方法是将“从桌面删除回收站”策略项启用。 4.|]R8Mn  
0LrTYrlj  
  2)禁止对桌面的某些更改 `w@fxv   
(JocnM|U  
  如果你不希望别人随意改变计算机桌面的设置,请在右侧窗口中将“退出时不保存设置”这个策略选项启用。当你启用这个了设置以后,其他用户可以对桌面做某些更改,但有些更改,诸如图标和打开窗口的位置、任务栏的位置及大小在用户注销后都无法保存。 VDx=Tsu-  
C=h$8Q  
Dsm_T1X  
)j4]Y dJ  
第五招:禁止访问“控制面板” vE>J@g2#  
)|XmF4R  
fR~_5 pt7  
  如果你不希望其他用户访问计算机的控制面板,你只要运行组策略编辑器,并在左侧窗口中展开“本地计算机策略→用户配置→管理模板→控制面板”分支,然后将右侧窗口的“禁止访问控制面板”策略启用即可。 /wKW  
J1 a/U@"  
  此项设置可以防止控制面板程序文件的启动,其结果是他人将无法启动控制面板或运行任何控制面板项目。另外,这个设置将从“开始”菜单中删除控制面板,同时这个设置还从Windows资源管理器中删除控制面板文件夹。 lHV bn7  
<o3e0JCq  
  提示:如果你想从上下文菜单的属性项目中选择一个“控制面板”项目,会出现一个消息,说明该设置防止这个操作。 it ,i^32|  
tUGnD<P  
  第六招:设置用户权限 s59v* /  
*["9;_KD  
  当多人共用一台计算机时,在Windows XP中设置用户权限,可以按照以下步骤进行: YnNB#x8|  
{ e<J}-/?  
  1)运行组策略编辑器程序。 !Jh-v  
G>M# BuU  
  2)在编辑器窗口的左侧窗口中逐级展开“计算机配置→Windows设置→安全设置→本地策略→用户权限指派”分支。 f:B+R  
&AU%3b  
  3)双击需要改变的用户权限,单击“添加用户或组”按钮,然后双击想指派给权限的用户账号,最后单击“确定”按钮退出。 ` *&*jdq&i  
PnFU{N  
  第七招:文件夹设置审核 Nw+0b4{  
S?D|"#-,  
  Windows XP可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件,而审核文件和NTFS分区下的文件夹可以保证文件和文件夹的安全。为文件和文件夹设置审核的步骤如下: pez[qs  
6U @3 xU`  
  1)在组策略窗口中,逐级展开右侧窗口中的“计算机配置→Windows设置→安全设置→本地策略”分支,然后在该分支下选择“审核策略”选项。 %?<C ?.  
<[Q#}/$"  
  2)在右侧窗口中用鼠标双击“审核对象访问”选项。 &[3 xpi{v  
Fs|fo-+H}k  
  3)用鼠标右键单击想要审核的文件或文件夹,选择弹出菜单的“属性”命令,接着在弹出的窗口中选择“安全”标签。 ES;7_.q  
@rRBo:0%  
  4)单击“高级”按钮,然后选择“审核”标签。 Zi|MWaA.f  
Zuo7MR  
  5)根据具体情况选择你的操作: {<\nl#}5S  
R^1sbmwk  
  倘若对一个新组或用户设置审核,可以单击“添加”按钮,并且在“名称”框中键入新用户名,然后单击“确定”按钮打开“审核项目”对话框。 " nq4!  
zg.'  
  要查看或更改原有的组或用户审核,可以选择用户名,然后单击“查看/编辑”按钮。 Kg VLXI6  
oA(jtX[(  
  要删除原有的组或用户审核,可以选择用户名,然后单击“删除”按钮即可。 ^e"BY(  
IU{~{(p"  
  6)如有必要的话,在“审核项目”对话框中的“应用到”列表中选取你希望审核的地方。 T@U_;v|rf  
x4CrWm  
  7)如果想禁止目录树中的文件和子文件夹继承这些审核项目,选择“仅对此容器内的对象和/或容器应用这些审核项”复选框。 ?uc=(J+6  
hvtg_w6K  
  注意:必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前,你必须启用组策略中“审核策略”的“审核对象访问”。否则,当你设置完文件、文件夹审核时会返回一个错误消息,并且文件、文件夹都没有被审核。
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 38 发表于: 2006-09-19
防御DDOS攻击终极指南
一、为何要DDOS?   )'?3%$EM  
  随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布,DDOS拒绝服务攻击的实施越来越容易,DDOS攻击事件正在成上升趋势。出于商业竞争、打击报复和网络敲诈等多种因素,导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDOS攻击所困扰,随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题,因此,解决DDOS攻击问题成为网络服务商必须考虑的头等大事。 T6=,A }t-  
  二、什么是DDOS? 6{B$_Usg  
  DDOS是英文Distributed Denial of |a%&7-;   
Service的缩写,意即“分布式拒绝服务”,那么什么又是拒绝服务(Denial of TppR \[4]  
Service)呢?可以这么理解,凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。虽然同样是拒绝服务攻击,但是DDOS和DOS还是有所不同,DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为“洪水式攻击”,常见的DDOS攻击手段有SYN {" woBOaA  
Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务,常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP (n;#Z,  
Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言,危害较大的主要是DDOS攻击,原因是很难防范,至于DOS攻击,通过给主机服务器打补丁或安装防火墙软件就可以很好地防范,后文会详细介绍怎么对付DDOS攻击。 jAB~XaT,  
  三、被DDOS了吗? o9(:m   
  DDOS的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。 '`p#%I@  
   _Jx.?8  
  如何判断网站是否遭受了流量攻击呢?可通过Ping命令来测试,若发现Ping超时或丢包严重(假定平时是正常的),则可能遭受了流量攻击,此时若发现和你的主机接在同一交换机上的服务器也访问不了了,基本可以确定是遭受了流量攻击。当然,这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽,否则可采取Telnet主机服务器的网络服务端口来测试,效果是一样的。不过有一点可以肯定,假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的,突然都Ping不通了或者是严重丢包,那么假如可以排除网络故障因素的话则肯定是遭受了流量攻击,再一个流量攻击的典型现象是,一旦遭受流量攻击,会发现用远程终端连接网站服务器会失败。 St7ZyN1  
   $ jWe!]ASU  
  相对于流量攻击而言,资源耗尽攻击要容易判断一些,假如平时Ping网站主机和访问网站都是正常的,发现突然网站访问非常缓慢或无法访问了,而Ping还可以Ping通,则很可能遭受了资源耗尽攻击,此时若在服务器上用Netstat 8)\Td tBf9  
-na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在,而ESTABLISHED很少,则可判定肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是,Ping自己的网站主机Ping不通或者是丢包严重,而Ping与自己的主机在同一交换机上的服务器则正常,造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令,其实带宽还是有的,否则就Ping不通接在同一交换机上的主机了。 *v 1hMk  
   当前主要有三种流行的DDOS攻击: u27K 0}  
  1、SYN/ACK O68/Hf1W  
Flood攻击:这种攻击方法是经典最有效的DDOS方法,可通杀各种系统的网络服务,主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,由于源都是伪造的故追踪起来比较困难,缺点是实施起来有一定难度,需要高带宽的僵尸主机支持。少量的这种攻击会导致主机服务器无法访问,但却可以Ping的通,在服务器上用Netstat =e=sK'NvD  
-na命令会观察到存在大量的SYN_RECEIVED状态,大量的这种攻击会导致Ping失败、TCP/IP栈失效,并会出现系统凝固现象,即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。 3.Z}2F]  
  2、TCP全连接攻击:这种攻击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力,但对于正常的TCP连接是放过的,殊不知很多网络服务程序(如:IIS、Apache等Web服务器)能接受的TCP连接数是有限的,一旦有大量的TCP连接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问,TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服务,这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的,缺点是需要找很多僵尸主机,并且由于僵尸主机的IP是暴露的,因此容易被追踪。 @d:TAwOI'  
  3、刷Script脚本攻击:这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序,并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博大的攻击方法。一般来说,提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求却可能要从上万条记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库服务器很少能支持数百个查询指令同时执行,而这对于客户端来说却是轻而易举的,因此攻击者只需通过Proxy代理向主机服务器大量递交查询指令,只需数分钟就会把服务器资源消耗掉而导致拒绝服务,常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护,轻松找一些Proxy代理就可实施攻击,缺点是对付只有静态页面的网站效果会大打折扣,并且有些Proxy会暴露攻击者的IP地址。 V|e9G,z~A  
  四、怎么抵御DDOS? VI: !#  
   }enm#0Ha  
对付DDOS是一个系统工程,想仅仅依靠某种系统或产品防住DDOS是不现实的,可以肯定的是,完全杜绝DDOS目前是不可能的,但通过适当的措施抵御90%的DDOS攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御DDOS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDOS攻击。以下为笔者多年以来抵御DDOS的经验和建议,和大家分享! PN:/lIO  
  1、采用高性能的网络设备 H:Y?("k  
   )D\!#<#h  
首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。 f]W$4f {  
  2、尽量避免NAT的使用 |=fa`8m G  
   _CN5,mLNRk  
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用,因为采用此技术会较大降低网络通信能力,其实原因很简单,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间,但有些时候必须使用NAT,那就没有好办法了。 15U]/?jv8  
  3、充足的网络带宽保证 ZX[ @P?A+-  
网络带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的SYNFlood攻击,当前至少要选择100M的共享带宽,最好的当然是挂在1000M的主干上了。但需要注意的是,主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的,若把它接在100M的交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽,因为网络服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。 /Fy2ZYs,`8  
  4、升级主机服务器硬件 b-ZC~#?|b  
在有网络带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P4 R".~{6  
2.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,若有志强双CPU的话就用它吧,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI的,别只贪IDE价格不贵量还足的便宜,否则会付出高昂的性能代价,再就是网卡一定要选用3COM或Intel等名牌的,若是Realtek的还是用在自己的PC上吧。 Yj)H!Cp.xD  
  5、把网站做成静态页面 0}}b\!]9  
大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没出现,看看吧!新浪、搜狐、网易等门户网站主要都是静态页面,若你非需要动态脚本调用,那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器,当然,适当放一些不做数据库调用脚本还是可以的,此外,最好在需要调用数据库的脚本中拒绝使用代理的访问,因为经验表明使用代理访问你网站的80%属于恶意行为。 xTiC[<j  
  6、增强操作系统的TCP/IP栈 f40xS7-Q0  
Win2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDOS攻击的能力,只是默认状态下没有开启而已,若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个,具体怎么开启,自己去看微软的文章吧!《强化 R8O; 8c?D  
TCP/IP 堆栈安全》- http://www.microsoft.com/china/technet/security/ 1vk& ;  
guidance/secmod109.mspx i%w[v_j  
也许有的人会问,那我用的是Linux和FreeBSD怎么办?很简单,按照这篇文章去做吧!《SYN |(G^3+5Uwm  
Cookies》- http://cr.yp.to/syncookies.html HJWk%t<  
  7、安装专业抗DDOS防火墙 ]awu7}C9Z  
  8、其他防御措施 {_T?0L  
以上的七条对抗DDOS建议,适合绝大多数拥有自己主机的用户,但假如采取以上措施后仍然不能解决DDOS问题,就有些麻烦了,可能需要更多投资,增加服务器数量并采用DNS轮巡或负载均衡技术,甚至需要购买七层交换机设备,从而使得抗DDOS攻击能力成倍提高,只要投资足够深入,总有攻击者会放弃的时候,那时候你就成功了!:)
级别: 经院博士
发帖
3975
铜板
4727
人品值
1147
贡献值
565
交易币
0
好评度
3833
信誉值
0
金币
0
所在楼道
学一楼
只看该作者 39 发表于: 2006-09-20
这个太有用了 呵呵 一直在找
引用

引用
想找我?如果我即不在 石家庄经济学院论坛www.uebbs.net,也不在宿舍,那,我肯定是在去的路上

引用
级别: 经院博士
发帖
3975
铜板
4727
人品值
1147
贡献值
565
交易币
0
好评度
3833
信誉值
0
金币
0
所在楼道
学一楼
只看该作者 40 发表于: 2006-09-20
ddos 很难防 wP:ab  
(b!`klQ  
软防 硬防 都有难度 -aj) _.d  
3s25Rps  
僵尸机子 一多 再拿一点机房的机子 h|m>JDxn  
w K)/m`{g  
对方机房 就要全部当掉
引用

引用
想找我?如果我即不在 石家庄经济学院论坛www.uebbs.net,也不在宿舍,那,我肯定是在去的路上

引用
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 41 发表于: 2006-09-20
枫怎么换男人的头像了~~~
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 42 发表于: 2006-09-22
MS SQL 2005 安全设置
拿到MS SQL 2005还没有一天,总的来说,MS SQL 2005的安全性比SQL 2000要强上不少,不过默认设置还是有和原来一样的漏洞,下面我们来修改一下默认设置。 (j*1sk  
1、安装MSSQL时使用混合模式,当然SA密码最好不能为空,在SQL2005中,可以对SA这个超级用户名进行修改或删除。 Wu:@+~J.h  
use master X.YMb .\<  
ALTER LOGIN [sa] WITH NAME=[zxs] /*修改SA帐号*/ L~Hgf/%5  
sp_password '111111','123456','sa' /*修改SA密码*/ >wPMJ> 2  
使用以上命令可修改SA帐号,也可进行图形化的修改 0/Q"~H?%  
使用安全的帐号策略。对SA或等同用户进行最强的保护,当然,包括使用一个非常强壮的密码,如下图 X!'nfN  
Adyv>T9  
这里可以看到SQL 2005比SQL 2000 增强的地方了。 "~-Y 'O  
2、SQL的认证有Windows身份认证和混合身份认证。在2005中,登陆SQL可以使用indows身份认证和混合身份认证方便,如果不希望系统管理员接触数据库的话,可以在安全性==登录名是把系统帐号“BUILTIN/Administrators”删除。当然,还有别的多余的帐号也可一同禁止,只需要在帐号==属性==状态中把是否允许连接到数据库引擎改为拒绝,还有登录改为禁用即可,不过这样的坏处就是当你忘了SA的密码时,我也没办法帮你啦。 e1d);m$  
!X 8<;e}2  
也可用命令sp_change_users_login 'report' 搜索一下独立的帐户再删除 ;R#:? r;t  
3、管理扩展存储过程 Q|3SYJf  
删除不必要的存储过程,因为有些存储过程能很容易地被人利用起来提升权限或进行破坏。 @-g'BvS  
如果你不需要扩展存储过程xp_cmdshell请把它去掉。xp_cmdshell根本就是一个大后门。 k-~HUC.A.  
如果不需要请丢弃OLE自动存储过程(会造成管理器中的某些特征不能使用),这些过程包括如下: |izf|*e  
sp_OACreate sp_OADestroy sp_OAGetErrorInfo sp_OAGetProperty LEM^8G]O  
sp_OAMethod sp_OASetProperty sp_OAStop ptcG:  
去掉不需要的注册表访问的存储过程,注册表存储过程甚至能够读出操作系统管理员的密码来,如下:  ~wX4j  
xp_regaddmultistring xp_regdeletekey xp_regdeletevalue xp_regenumvalues v<2B^(i}VB  
xp_regread xp_regremovemultistring xp_regwrite "?[7oI}c&  
还有一些其他的扩展存储过程,你也最好检查检查。 $hCPmiI  
在处理存储过程的时候,请确认一下,避免造成对数据库或应用程序的伤害。运行以下SQL语句可删除所有危险的SP。 >WKlR` J%  
DROP PROCEDURE sp_makewebtask (l~3~n  
exec master..sp_dropextendedproc xp_cmdshell /*命令行*/ ;:0gN|+  
exec master..sp_dropextendedproc xp_dirtree /*可以展开你需要了解的目录,获得所有目录深度*/ slV7,4S&!  
exec master..sp_dropextendedproc xp_fileexist /*用来确定一个文件是否存在*/ y%9Q]7&=  
exec master..sp_dropextendedproc xp_getnetname /*可以获得服务器名称*/ qrq9NPf  
exec master..sp_dropextendedproc xp_terminate_process P2Or|_z  
exec master..sp_dropextendedproc sp_oamethod KR4vcI[4  
exec master..sp_dropextendedproc sp_oacreate G\HU%J  
exec master..sp_dropextendedproc xp_regaddmultistring r]0UF0#  
exec master..sp_dropextendedproc xp_regdeletekey [u=DAk?8  
exec master..sp_dropextendedproc xp_regdeletevalue K9BoIHo  
exec master..sp_dropextendedproc xp_regenumkeys TAXl73j_CY  
exec master..sp_dropextendedproc xp_regenumvalues ~582'-=+  
exec master..sp_dropextendedproc sp_add_job KPT@I3P  
exec master..sp_dropextendedproc sp_addtask p]7Gj &a  
exec master..sp_dropextendedproc xp_regread ;4g_~fB  
exec master..sp_dropextendedproc xp_regwrite #9Fe,  
exec master..sp_dropextendedproc xp_readwebtask OP-%t\sj>  
exec master..sp_dropextendedproc xp_makewebtask +.p$Yi`  
exec master..sp_dropextendedproc xp_regremovemultistring 6BPZ2EQ  
exec master..sp_dropextendedproc sp_OACreate |B0.*te6  
DROP PROCEDURE sp_addextendedproc e>oE{_e  
5、SQL Server 2005本身就具有加密功能,完全集成了一个密钥管理架构。不过,最好远程网络连接时使用SSL来加密协议,这就需要一个证书来支持。这里搜索一下就会有很多这方面的说明,就不多说了。 VB+sl2V<h  
6、使用IPSec策略阻止所有地址访问本机的TCP1433与UDP1434端口,也可对TCP1433端口进行修改,但是在SQL2005中,可以使用TCP动态端口,(在SQL Server Configuration Manager的SQL 2005网络配置中)如下图 FyZiiH4|  
zF F=v7[j  
这是SQL帮助中的说明 l imzDQ^  
如果某个 SQL Server 实例已配置为侦听动态端口,则在启动时,该实例将检查操作系统中的可用端口,并为该端口打开一个端点。传入连接必须指定要连接的端口号。由于每次启动 SQL Server 时端口号都可能会改变,因此 SQL Server 提供 SQL Server 浏览器服务器,来监视端口并将传入连接指向该实例的当前端口。 1f.xZgO/2  
也可对每个IP进行侦听 $_.m<  
如图 gUrb&#\X  
TF@HwF"#  
这是SQL帮助中的说明 wq( m%F  
指定 SQL Server 是否侦听所有绑定到计算机网卡的 IP 地址。如果设置为“否”,则使用每个 IP 地址各自的属性对话框对各个 IP 地址进行配置。如果设置为“是”,则 IPAll 属性框的设置将应用于所有 IP 地址。默认值为“是”。 /@*J\0h(-  
当然你也可以下面的SQL Native Client 配置中新建一别名来指定你的SQL服务器和端口,也可在服务器属性==连接==远程服务器链接==把允许远程链接到本服务器的勾去掉 O>![IH(L  
关闭远程链接命令行为 0M?nXHA[  
EXEC sys.sp_configure N'remote access', N'0' vGk}r  
8、对远程网络连接进行IP限制,SQL Server 2005如同SQL 2000一样没有提供网络连接的安全解决办法,但是Windows 2K以上系统了提供了IPSec策略。对远程网络连接的IP进行限制,只保证需要的IP能够访问,拒绝其他 IP进行的端口连接,把安全威胁降到最低。 jgr2qSU C  
9、在服务器的属性安全中,启用登录审核中的失败与成功登陆,启用C2审核跟踪,C2是一个政府安全等级,它保证系统能够保护资源并具有足够的审核能力。C2模式允许我们监视对所有数据库实体的所有访问企图。如图 >VAZ^kgi  
9t$%Tc#Z  
启用C2审核的命令为 7 -(LWH  
EXEC sys.sp_configure N'c2 audit mode', N'1' YS_9M Pi  
以上的方法不是很完整,因为时间关系以后再慢慢研究
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 43 发表于: 2006-09-22
2006年100款最佳安全工具谱
2006年100款最佳安全工具谱 Z {ntF  
5T[9|zJs  
在2000和2003年非常成功的推出了安全工具调查后,Insecure.Org 非常高兴为大家带来2006年度的安全工具调查。我-Fyodor对nmap-hackers 邮件列表中的用户进行了调查,让大家来分享他们最喜欢用的工具,结果有3243名用户提供了反馈信息。我从反馈信息中选取了大家最喜欢的前100种工具,并将它们进行了分类。建议安全界人士仔细阅读这份列表,并对不熟悉或未听说过的工具进行研究,相信会有很大帮助。我自己就从中发现了很多以前没有使用过但非常好用的工具。当很多菜鸟问我“我不知道当一个黑客该从何开始”时,我就让他们来读读这篇文章。 328(W  
':7%@2Zo  
受访者被要求列出各种平台上的开源和商业工具。商业工具会在列表中进行标注。Nmap Security Scanner 没有参与投票,因为调查是在Nmap的邮件列表中进行的。因为受访者多为黑客的原因,所以此列表中攻击型的工具偏多一些,防守型的则少一些。 Q7y6</4f  
Z?%j5G=4w  
列表中每个工具都含有以下一种或几种属性:2003年调查列表中未出现的工具;相对于2003年调查列表排名升或降;需要花钱购买。但可以免费获得限制、演示、试用版本软件;可以工作于Linux平台之上;可以工作于OpenBSD、FreeBSD、Solaris 或其它UNIX平台之上;可以工作于苹果Mac OS X平台之上;可以工作于微软Windows平台之上;提供命令行操作方式;提供图形化用户界面;在互联网上可以找到源代码。 nI4xK  
T#lySev  
如果您发现列表中的工具有更新或者有其它建议--或者有更好的工具图标 可以发送邮件给我。如果您的工具入选此列表了,或者您认为您网站的访客也许会对此列表感兴趣,欢迎您通过link banners把本文链接到您网站上。以下开始为正式列表,按受欢迎程度降序排列: Kis\Rg  
u1 uu_*  
#1 Nessus:最好的UNIX漏洞扫描工具 Bx&.Tj  
Nessus 是最好的免费网络漏洞扫描器,它可以运行于几乎所有的UNIX平台之上。它不止永久升级,还免费提供多达11000种插件(但需要注册并接受EULA-acceptance--终端用户授权协议)。它的主要功能是远程或本地(已授权的)安全检查,客户端/服务器架构,GTK(Linux下的一种图形界面)图形界面,内置脚本语言编译器,可以用其编写自定义插件,或用来阅读别人写的插件。Nessus 3 已经开发完成(now closed source),其现阶段仍然免费,除非您想获得最新的插件。 J3sO%4sYR  
k3m|I*_\L  
-------------------------------------------------------------------------------- Q<L.!%vu}  
,EgIH%* g  
#2 Wireshark:网络嗅探工具  *it(o  
Wireshark (2006年夏天之前叫做 Ethereal)是一款非常棒的Unix和Windows上的开源网络协议分析器。它可以实时检测网络通讯数据,也可以检测其抓取的网络通讯数据快照文件。可以通过图形界面浏览这些数据,可以查看网络通讯数据包中每一层的详细内容。Wireshark拥有许多强大的特性:包含有强显示过滤器语言(rich display filter language)和查看TCP会话重构流的能力;它更支持上百种协议和媒体类型; 拥有一个类似tcpdump(一个Linux下的网络协议分析工具)的名为tethereal的的命令行版本。不得不说一句,Ethereal已经饱受许多可远程利用的漏洞折磨,所以请经常对其进行升级,并在不安全网络或敌方网络(例如安全会议的网络)中谨慎使用之。 -=E/_c;  
cJ&e^$:Er  
-------------------------------------------------------------------------------- Av*R(d=`  
(BC3[R@/l  
#3 Snort:一款广受欢迎的开源IDS(Intrusion Detection System)(入侵检测系统)工具 }9=\#Le~\  
这款小型的入侵检测和预防系统擅长于通讯分析和IP数据包登录(packet logging)。Snort除了能够进行协议分析、内容搜索和包含其它许多预处理程序,还可以检测上千种蠕虫病毒、漏洞、端口扫描以及其它可疑行为检测。Snort使用一种简单的基于规则的语言来描述网络通讯,以及判断对于网络数据是放行还是拦截,其检测引擎是模块化的。 用于分析Snort警报的网页形式的引擎 Basic Analysis and Security Engine (BASE)可免费获得。 O_f|R1G5z  
开源的Snort为个人、小企业、集团用户提供良好的服务。其母公司SourceFire提供丰富的企业级特性和定期升级以丰富其产品线。提供(必须注册)5天免费的规则试用,您也可以在Bleeding Edge Snort找到很多免费规则。 /$hfd?L  
`d=$9Pi  
-------------------------------------------------------------------------------- EX>|+zYL  
bOCdf"!g  
#4 Netcat:网络瑞士军刀 dXh@E 7  
这个简单的小工具可以读和写经过TCP或UDP网络连接的数据。它被设计成一个可@@的可以被其它程序或脚本直接和简单使用的后台工具。同时,它也是一个功能多样的网络调试和检查工具,因为它可以生成几乎所有您想要的网络连接,包括通过端口绑定来接受输入连接。Netcat最早由Hobbit在1995年发布,但在其广为流传的情况下并没有得到很好的维护。现在nc110.tgz已经很难找了。这个简单易用的工具促使了很多人写出了很多其它Netcat应用,其中有很多功能都是原版本没有的。其中最有趣的是Socat,它将Netcat扩展成可以支持多种其它socket类型,SSL加密,SOCKS代理,以及其它扩展的更强大的工具。它也在本列表中得到了自己的位置(第71位)。还有Chris Gibson's Ncat,能够提供更多对便携设备的支持。其它基于Netcat的工具还有OpenBSD's nc,Cryptcat,Netcat6,PNetcat,SBD,又叫做GNU Netcat。 KJa?TwnC  
?ng?>!  
-------------------------------------------------------------------------------- 7"f$;CN?~  
`07u}]d8  
#5 Metasploit Framework:黑掉整个星球 VI%879Z\e  
2004年Metasploit的发布在安全界引发了强烈的地震。没有一款新工具能够一发布就挤进此列表的15强(也就是说2000年和2003年的调查没有这种情况),更何况此工具更在5强之列,超过了很多广为流传的诞生了几十年的老牌工具。它是一个强大的开源平台,供开发、测试和使用恶意代码。这种可扩展的模型将负载控制、编码器、无操作生成器和漏洞整合在一起,使得Metasploit Framework成为一种研究高危漏洞的途径。它自带上百种漏洞,还可以在online exploit building demo(在线漏洞生成演示)看到如何生成漏洞。这使得您自己编写漏洞变得更简单,它势必将提升非法shellcode代码的水平,扩大网络阴暗面。与其相似的专业漏洞工具,例如Core Impact和Canvas已经被许多专业领域用户使用。Metasploit降低了这种能力的门槛,将其推广给大众。 ay2 m!s Q  
Rg&6J#h  
-------------------------------------------------------------------------------- z[Kxy1,  
`h M:U  
#6 Hping2:一种网络探测工具,是ping的超级变种 'f`~"@  
这个小工具可以发送自定义的ICMP,UDP和TCP数据包,并接收所有反馈信息。它的灵感来源于ping命令,但其功能远远超过ping。它还包含一个小型的路由跟踪模块,并支持IP分段。此工具可以在常用工具无法对有防火墙保护的主机进行路由跟踪/ping/探测时大显身手。它经常可以帮助您找出防火墙的规则集,当然还可以通过它来学习TCP/IP协议,并作一些IP协议的实验。 RB_7S!qC5  
:^SpKe(7  
-------------------------------------------------------------------------------- ->}K-n ),  
qEE3 x>&T]  
#7 Kismet:一款超强的无线嗅探器 z9$x9u  
Kismet是一款基于命令行(ncurses)的802.11 layer2无线网络探测器、嗅探器、和入侵检测系统。它对网络进行被动嗅探(相对于许多主动工具,例如NetStumbler),可以发现隐形网络(非信标)。它可以通过嗅探TCP、UDP、ARP和DHCP数据包来自动检测网络IP段,以Wireshark/TCPDump兼容格式记录通讯日志,更加可以将被检测到的网络分块并按照下载的分布图进行范围估计。如您所想,这款工具一般被wardriving所使用。嗯!还有warwalking、warflying和warskating…… VEd#LSh  
O0"i>}g4  
-------------------------------------------------------------------------------- 1h\:Lj  
oKTIoTb  
#8 Tcpdump:最经典的网络监控和数据捕获嗅探器 _QtqQ~f  
在Ethereal(Wireshark)出现之前大家都用Tcpdump,而且很多人现在还在一直使用。它也许没有Wireshark那么多花里胡哨的东西(比如漂亮的图形界面,亦或数以百计的应用协议逻辑分析),但它能出色的完成很多任务,并且漏洞非常少,消耗系统资源也非常少。它很少添加新特性了,但经常修复一些bug和维持较小的体积。它能很好的跟踪网络问题来源,并能监控网络活动。其Windows下的版本叫做WinDump。Libpcap/WinPcap的包捕获库就是基于TCPDump,它也用在Nmap等其它工具中。 9`^VuC'  
?B %y)K  
-------------------------------------------------------------------------------- 8\8uXOS  
gQ h0-Dnw  
#9 Cain and Abel:Windows平台上最好的密码恢复工具 ]Bs ?  
UNIX用户经常声称正是因为Unix平台下有很多非常好的免费安全工具,所以Unix才会成为最好的平台,而Windows平台一般不在他们的考虑范围之内。他们也许是对的,但Cain & Abel确实让人眼前一亮。这种只运行于Windows平台的密码恢复工具可以作很多事情。它可以通过嗅探网络来找到密码、利用字典破解加密密码、暴力破解密码和密码分析、记录VoIP会话、解码非常复杂的密码、星号查看、剥离缓存密码以及分析路由协议。另外其文档也很齐全(well documented)。 5;V#Z@S  
vjJ!d#8  
-------------------------------------------------------------------------------- v,RLN`CID  
QB@qzgEJ!,  
#10 John the Ripper:一款强大的、简单的以及支持多平台的密码破解器 f? F i{m  
John the Ripper是最快的密码破解器,当前支持多种主流Unix (官方支持11种,没有计算不同的架构)、DOS、Win32、BeO和OpenVMS。它的主要功能就是检测弱Unix密码。它支持主流Unix下的多种(3种)密码哈希加密类型,它们是Kerberos、AFS以及Windows NT/2000/XP LM。其它哈希类型可以通过补丁包加载。如果您希望从一些单词表开始的话,您可以在这里、这里和这里找到。 8'*z>1ZS5  
BzA(yCu$:  
-------------------------------------------------------------------------------- ,ewg3mYHC&  
G=3/PYp  
#11 Ettercap:为交换式局域网提供更多保护 H/Goaf%  
Ettercap是一款基于终端的以太网络局域网嗅探器/拦截器/日志器。它支持主动和被动的多种协议解析(甚至是ssh和https这种加密过的)。还可以进行已建立连接的数据注入和实时过滤,保持连接同步。大部分嗅探模式都是强大且全面的嗅探组合。支持插件。能够识别您是否出在交换式局域网中,通过使用操作系统指纹(主动或被动)技术可以得出局域网结构。 t1B0M4x9  
<uL?7P  
-------------------------------------------------------------------------------- v?<x"XKR  
##u+[ !  
#12 Nikto:非常全面的网页扫描器 xP'IyABx  
Nikto是一款开源的(GPL)网页服务器扫描器,它可以对网页服务器进行全面的多种扫描,包含超过3200种有潜在危险的文件/CGIs;超过625种服务器版本;超过230种特定服务器问题。扫描项和插件可以自动更新(如果需要)。基于Whisker/libwhisker完成其底层功能。这是一款非常棒的工具,但其软件本身并不经常更新,最新和最危险的可能检测不到。 =rgWO n8  
#'<I!G  
-------------------------------------------------------------------------------- h^>kjMM  
-p ) l63  
#13 Ping/telnet/dig/traceroute/whois/netstat:基本命令 O6OP{sb  
虽然有很多重型的高科技网络安全工具,但是不要忘记其基础!所有网络安全人士都要对这些基本命令非常熟悉,因为它们对大多数平台都适用(在Windows平台上whois为tracert)。它们可以随手捏来,当然如果需要使用一些更高级的功能可以选择Hping2和Netcat。 yQhrPw> m  
a-Cp"pKlVY  
-------------------------------------------------------------------------------- PZpwi?N  
~>D;2 S(a  
#14 OpenSSH / PuTTY / SSH:访问远程计算机的安全途径 d"XS;;l%<  
SSH(Secure Shell)现在普遍应用于登录远程计算机或在其上执行命令。它为不安全网络上的两台不互信计算机间通讯提供安全加密,代替非常不可@@的telnet/rlogin/rsh交互内容。大多UNIX使用开源的OpenSSH服务器和客户端程序。Windows用户更喜欢免费的PuTTY客户端,它也可以运行在多种移动设备上。还有一些Windows用户喜欢使用基于终端的OpenSSH模拟程序Cygwin。还有其它很多收费和免费的客户端。您可以在这里和这里找到。 &tD`~  
;k7` `  
-------------------------------------------------------------------------------- N)  {  
Ats"iV  
#15 THC Hydra:支持多种服务的最快的网络认证破解器 {<~XwJ.  
如果您需要暴力破解一个远程认证服务,Hydra经常会是选择对象。它可以同时对30个以上的端口进行基于字典的快速破解,包括telnet、ftp、http、https、smb、多种数据库及其它服务。和THC Amap一样,此Hydra版本来自于民间组织THC。 z.Y7u3K.8  
HcHfwLin0  
-------------------------------------------------------------------------------- %8$JL=c  
^i-%FY_i5}  
#16 Paros proxy:网页程序漏洞评估代理 \9se~tAl3  
基于Java的网页程序漏洞评估代理。支持实时编辑和浏览HTTP/HTTPS信息,修改例如Cookie和表字段中的内容。它包含有网页通讯记录器、网页小偷(web spider)、哈希计算器和一个常用网页程序攻击扫描器,例如SQL注入和跨网站脚本等。 j Xi<ZJ  
ynM{hN.+H  
-------------------------------------------------------------------------------- o^&; `XOd  
N,'JQch},8  
#17 Dsniff:一款超强的网络评估和渗透检测工具套装 (L|SE4  
由Dug Song精心设计并广受欢迎的这款套装包含很多工具。Dsniff、filesnarf、mailsnarf、msgsnarf、urlsnarf和webspy通过被动监视网络以获得敏感数据(例如密码、邮件地址、文件等)。Arpspoof、dnsspoof和macof能够拦截一般很难获取到的网络通讯信息(例如由于使用了第二层转换(layer-2 switching))。Sshmitm和webmitm通过ad-hoc PKI中弱绑定漏洞对ssh和https会话进行重定向实施动态monkey-in-the-middle(利用中间人攻击技术,对会话进行劫持)攻击。Windows版本可以在这里获取。总之,这是一个非常有用的工具集。它能完成几乎所有密码嗅探需要作的工作。 ) 0AE*S  
An[*Jx  
-------------------------------------------------------------------------------- u{H,i(mx?  
7L;yN..0  
#18 NetStumbler:免费的Windows 802.11嗅探器 ~uC4>+dk  
Netstumbler是广为人知的寻找开放无线访问接入点的Windows工具("wardriving")。其PDA上的WinCE系统版本名叫Ministumbler。此软件当前免费,但只能够运行在Windows平台上,且代码不公开。它使用很多主动方法寻找WAP,而Kismet或KisMAC则更多使用被动嗅探。 /l+x&xYD  
j\dkv_L  
-------------------------------------------------------------------------------- 8)"KPr63M  
YhLtf(r  
#19 THC Amap:一款应用程序指纹扫描器 83i%3[L  
Amap是一款很棒的程序,它可以检测出某一端口正在被什么程序监听。因为其独有的version detection特性,所以其数据库不会象Nmap一样变得很大,在Nmap检测某一服务失败或者其它软件不起作用时可以考虑使用之。Amap的另一特性是其能够解析Nmap输出文件。这也是THC贡献的另一款很有价值的工具。 (^a;2j9  
dhK$ XG  
-------------------------------------------------------------------------------- a4`@z:l  
7R) )(-  
#20 GFI LANguard:一款Windows平台上的商业网络安全扫描器 e,~c~Db* Q  
GFI LANguard通过对IP网络进行扫描来发现运行中的计算机,然后尝试收集主机上运行的操作系统版本和正在运行的应用程序。我曾经尝试收集到了Windows主机上的service pack级别、缺少的安全更新、无线访问接入点、USB设备、开放的共享、开放的端口、正在运行的服务和应用程序、主要注册表项、弱密码、用户和组别以及其它更多信息。扫描结果保存在一份可自定义/可查询的HTML报告文档中。它还含有一个补丁管理器,可以检查并安装缺少的补丁。试用版可以免费获得,但只能使用30天。 o,\%c" mC  
V]k!]  
-------------------------------------------------------------------------------- a2=wJhk  
Y[s  
#21 Aircrack:最快的WEP/WPA破解工具 -&,NM  
Aircrack是一套用于破解802.11a/b/g WEP和WPA的工具套装。一旦收集到足够的加密数据包它可以破解40到512位的WEP密匙,它也可以通过高级加密方法或暴力破解来破解WPA 1或2网络。套装中包含airodump(802.11数据包捕获程序)、aireplay (802.11数据包注入程序)、aircrack(静态WEP和WPA-PSK破解),和airdecap(解密WEP/WPA捕获文件)。 x0lX6 |D  
fwsq:  
-------------------------------------------------------------------------------- h%=b"x  
xA!o"VZPq7  
#22 Superscan:只运行于Windows平台之上的端口扫描器、ping工具和解析器 `t!iknOQ$  
SuperScan是一款Foundstone开发的免费的只运行于Windows平台之上的不开源的TCP/UDP端口扫描器。它其中还包含许多其它网络工具,例如ping、路由跟踪、http head和whois。 aGpRdF1;!  
j&T/.]dX&  
-------------------------------------------------------------------------------- ~BS*x+M  
~iwEhF   
#23 Netfilter:最新的Linux核心数据包过滤器/防火墙 AF3t#)q  
Netfilter是一款强大的运行于标准Linux核心上的包过滤器。它集成了用户空间IP列表工具。当前,它支持包过滤(无状态或有状态)、所有类型的网络地址和端口转换(NAT/NAPT)并支持多API层第三方扩展。它包含多种不同模块用来处理不规则协议,例如FTP。其它UNIX平台请参考Openbsd PF(只用于OpenBSD)或者IP Filter。许多个人防火墙(personal firewalls)都支持Windows (Tiny、Zone Alarm、Norton、Kerio...),但都不提供上述IP列表。微软在Windows XP SP2中集成了一款非常基础的防火墙,如果您不安装它,它就会不断地提示您安装。 RX2= iO"  
1v2wP2]|;  
-------------------------------------------------------------------------------- sgX}`JH?z  
<*(~x esPS  
#24 Sysinternals:一款强大的非常全面的Windows工具合集 n"FOCcTIs  
Sysinternals为Windows低级入侵提供很多非常有用的小工具。其中一部分是免费的,有些还附有源代码,其它是需要付费使用的。受访者最喜欢此集合中的以下工具: g+k6pi*  
ejr"(m(Xe  
ProcessExplorer 监视所有进程打开的所有文件和目录(类似Unix上的LSoF)。 cWRB=`=qz  
PsTools 管理(执行、挂起、杀死、查看)本地和远程进程。 !+hX$_RT  
Autoruns 发现系统启动和登陆时加载了哪些可执行程序。 VpV w:Rh>  
RootkitRevealer 检测注册表和文件系统API异常,用以发现用户模式或内核模式的rootkit工具。 huKz["]z[  
TCPView 浏览每个进程的TCP和UDP通讯终点(类似Unix上的Netstat)。 hLm9"N'Pf  
生产此软件的公司已被微软于2005年收购,所以其未来产品线特征无法预测。 B.P64"w  
"BFW&<1  
-------------------------------------------------------------------------------- =JVRm 2#*  
lZ)u4_  
#25 Retina:eEye出品的商业漏洞评估扫描器 r`B+ KQ4  
象Nessus一样,Retina的功能是扫描网络中所有的主机并报告发现的所有漏洞。eEye出品,此公司以其security research而闻名。 e#nTp b  
!@YYi[Gk  
-------------------------------------------------------------------------------- iT5H<uS  
0a'@J~v!  
#26 Perl / Python / Ruby:简单的、多用途的脚本语言 ~!&[;EM<bm  
常用的安全问题都能在网上找到工具解决,但使用脚本语言您可以编写您自己的(或编辑现有的)工具,当您需要解决某种特定问题的时候。快速、简单的脚本语言可以测试、发现漏洞甚至修复系统漏洞。CPAN上充满了类似Net::RawIP和执行协议的程序模块,可以使您的工作更加轻松。 wd#AA#J;*  
/XMmE  
-------------------------------------------------------------------------------- GrQl3 Xi  
iMA)(ZS  
#27 L0phtcrack:Windows密码猜测和恢复程序 %BG5[ XQ7  
L0phtCrack也叫作LC5,用来尝试通过哈希(通过某种访问方式获得的)方法破解诸如Windows NT/2000工作站、联网服务器、主域控制器、或活动目录密码,有时它也可以通过嗅探获得密码的哈希值。它还可以通过多种手段来猜测密码(字典、暴力破解等等)。Symantec公司2006年已经停止了LC5的开发,但LC5 installer的安装文件随处可以找到。免费试用版只能使用15天,Symantec已经停止出售此软件的注册码,所以如果您不想放弃使用它,就必须找到一个与其对应的注册码生成器(key generator)。因为Symantec不再维护此软件,所以最好尝试用Cain and Abel或John the Ripper来代替之。 xrX("ili  
so8-e  
-------------------------------------------------------------------------------- #[[p/nAy}A  
teB {GR  
#28 Scapy:交互式数据包处理工具 $`=?Nb@@#  
Scapy是一款强大的交互式数据包处理工具、数据包生成器、网络扫描器、网络发现工具和包嗅探工具。它提供多种类别的交互式生成数据包或数据包集合、对数据包进行操作、发送数据包、包嗅探、应答和反馈匹配等等功能。Python解释器提供交互功能,所以要用到Python编程知识(例如variables、loops、和functions)。支持生成报告,且报告生成简单。 YKx0Zs  
[ThzLk#m  
-------------------------------------------------------------------------------- bs`/k&'  
wcL0#[)  
#29 Sam Spade:Windows网络查询免费工具 ~o2{Wn["  
Sam Spade为许多网络查询的一般工作提供了图形界面和方便的操作。此工具设计用于跟踪垃圾信息发送者,但它还可以用于许多其它的网络探查、管理和安全工作。它包含许多有用的工具,例如ping、nslookup、whois、dig、路由跟踪、查找器、原始HTTP网页浏览器、DNS地址转换、SMTP中继检查、网站搜索等等。非Windows用户可以在线使用更多其它工具。 %qE#^ U  
?x[>g!r  
-------------------------------------------------------------------------------- { a_L /"7  
-{7N]q)}  
#30 GnuPG / PGP :对您的文件和通讯进行高级加密 &&y@/<t  
PGP是Phil Zimmerman出品的著名加密程序,可以使您的数据免受窃听以及其它危险。GnuPG是一款口碑很好的遵守PGP标准的开源应用(可执行程序名为gpg)。GunPG是免费的,而PGP对某些用户是收费的。 =[jBOx&  
7J;.T%4 l  
-------------------------------------------------------------------------------- =f|>7m.p  
hy]AH)?pR  
#31 Airsnort:802.11 WEP加密破解工具 fZ376Z:S$  
AirSnort是一款用来恢复加密密码的无线LAN(WLAN)工具。Shmoo Group出品,工作原理是被动监控传输信息,当收集到足够多的数据包后开始计算加密密码。Aircrack和它很像。 KJ#c(yb9zR  
8n:D#`K  
-------------------------------------------------------------------------------- 5Y&@ :Y  
xeH# )QJt  
#32 BackTrack:一款极具创新突破的Live(刻在光盘上的,光盘直接启动) 光盘自启动Linux系统平台 l|fd,  
这款卓越的光盘自启动Linux系统是由Whax和Auditor合并而成。它以其超级多的安全和防护工具配以丰富的开发环境而闻名。重点在于它的用户模块化设计,用户可以自定义将哪些模块刻到光盘上,例如自己编写的脚本、附加工具、自定义内核等等。 A+}4 N%kh  
=|#-Rm^YB  
-------------------------------------------------------------------------------- [ho'Pc3A<  
XM 7zA^-  
#33 P0f:万能的被动操作系统指纹工具  WcJ{}V9  
P0f能够通过捕获并分析目标主机发出的数据包来对主机上的操作系统进行鉴别,即使是在系统上装有性能良好的防火墙的情况下也没有问题。P0f不增加任何直接或间接的网络负载,没有名称搜索、没有秘密探测、没有ARIN查询,什么都没有。某些高手还可以用P0f检测出主机上是否有防火墙存在、是否有NAT、是否存在负载平衡器等等! tV,zz;* Oe  
y@Or2bO#  
-------------------------------------------------------------------------------- 'q-h kN  
|kd^]! _  
#34 Google:人人喜爱的搜索引擎 <qy+@t  
Google当然不是什么安全工具,但是它超级庞大的数据库却是安全专家和入侵者最好的资源。如果您想了解某一公司,您可以直接用它搜索 “site:target-domain.com”,您可以获得员工姓名、敏感信息(通常公司不对外公开的,但在Google上就难说了)、公司内部安装的软件漏洞等等。同样,如果您在Google上发现一个有某个漏洞的网站,Google还会提供给您其它有相同漏洞的网站列表。其中利用Google进行黑客活动的大师Johny Long建立了一个Google黑客数据库(Google Hacking Database)还出版了一本如何用Google进行黑客活动的书Google Hacking for Penetration Testers。 ""a8eB 6  
co@8w!W  
-------------------------------------------------------------------------------- lz*2wGI9  
@t^ 2/H ?O  
#35 WebScarab:一个用来分析使用HTTP和HTTPS协议的应用程序框架 <|_Ey)1 6  
它的原理很简单,WebScarab记录它检测到的会话内容(请求和应答),使用者可以通过多种形式来查看记录。WebScarab的设计目的是让使用者可以掌握某种基于HTTP(S)程序的运作过程;也可以用它来调试程序中较难处理的bug,也可以帮助安全专家发现潜在的程序漏洞。 JQ1VCG  
?yU#'`q  
-------------------------------------------------------------------------------- a;zcAeX  
"D/ fB%h`  
#36 Ntop:网络通讯监控器 8`~]9ej  
Ntop以类似进程管理器的方式显示网络使用情况。在应用程序模式下,它能显示用户终端上的网络状况。在网页模式下,它作为网页服务器,以HTML文档形式显示网络状况。它是NetFlow/sFlow发射和收集器,通过一个基于HTTP的客户端界面来生成以ntop为中心的监控程序,RRD(Round Robin Database)(环形数据库)用来持续储存网络通讯状态信息。 Tc*PDt0C  
<f*0 XJ#  
-------------------------------------------------------------------------------- qXF"1f_+  
:ox CF0Y  
#37 Tripwire:很老的文件完整性检查器 FV9RrI2  
一款文件和目录完整性检查器。Tripwire是一种可以帮助系统管理员和一般用户监控某一特定文件或目录变化的工具。可以用以对系统文件作日常(例如:每天)检查,Tripwire可以向系统管理员通报文件损坏或被篡改情况,所以这是一种周期性的文件破坏控制方法。免费的开源Linux版本可以在Tripwire.Org下载到。AIDE是UNIX平台的Tripwire替代品。或者Radmind、RKHunter和chkrootkit也是很好的选择。Windows用户请使用Sysinternals出品的RootkitRevealer。 BxqCV%9o  
Rta P+6'X  
-------------------------------------------------------------------------------- MDq@:t  
+vnaEy  
#38 Ngrep:方便的数据包匹配和显示工具 KqUFf@W  
ngrep尽可能多的去实现GNU grep的功能,将它们应用于网络层。Ngrep是一款pcap-aware工具,它允许指定各种规则式或16进制表达式去对数据负载或数据包进行匹配。当前支持TCP、UDP、以太网上的ICMP、PPP、SLIP、FDDI、令牌环(Token Ring)和空接口(null interfaces),还能理解类似Tcpdump和snoop等一样形式的bpf过滤器逻辑。 2uHp%fv;  
fI|1@e1  
-------------------------------------------------------------------------------- ?c+;  
-+=8&Wa  
#39 Nbtscan:在Windows网络上收集NetBIOS信息 vuP1gem  
NBTscan是一款在IP网络上扫描NetBIOS名称信息的工具。它通过给指定范围内所有地址发送状态查询来获得反馈信息并以表形式呈现给使用者。每一地址的反馈信息包括IP地址、NetBIOS计算机名、登录用户、MAC地址。 F)IP~BE-k  
=3:ltI.'*I  
-------------------------------------------------------------------------------- q ^gEA5  
H:_`]X"  
#40 WebInspect:强大的网页程序扫描器 O(d'8`8  
SPI Dynamics' WebInspect应用程序安全评估工具帮您识别已知和未知的网页层漏洞。它还能检测到Web服务器的配置属性,以及进行常见的网页攻击,例如参数注入、跨网站脚本、目录游走等等。 k$>T(smh  
!v`=EF.  
-------------------------------------------------------------------------------- cjW]Nw  
[Wh 43Z  
#41 OpenSSL:最好的SSL/TLS加密库 8HOmWQS  
OpenSSL项目的目的是通过开源合作精神开发一种健壮的、可以和同类型商业程序媲美的、全功能的,且开源的应用于SSL v2/v3(Secure Sockets Layer)和TLS v1(Transport Layer Security)协议的普遍适用的加密库工具集。本项目由世界范围内的志愿者们维护,他们通过互联网联络、计划和开发OpenSSL工具集及其相关文档。 8dH|s#.4um  
N#:"X;  
-------------------------------------------------------------------------------- gc=e)j@  
6xe |L  
#42 Xprobe2:主动操作系统指纹工具 ep!.kA=\  
XProbe是一款远程主机操作系统探查工具。开发者基于和Nmap相同的一些技术(same techniques),并加入了自己的创新。Xprobe通过ICMP协议来获得指纹。 3:( `#YY  
|H4'*NP"  
-------------------------------------------------------------------------------- }VGiT~2$  
Ame%:K!t  
#43 EtherApe:EtherApe是Unix平台上的模仿etherman的图形界面网络监控器 ^:j$p,0e*S  
包含连接层、IP和TCP三种模式,EtherApe网络活动图通过不同颜色来标识不同协议。主机和连接的图形大小随通讯情况而变化。它支持以太网、FDDI、令牌环、ISDN、PPP和SLIP设备。它可以实施过滤网络通讯,也可以抓取网络通讯快照文件。 %([c4el>\F  
|(<L!6  
-------------------------------------------------------------------------------- 'zb7:[[7%  
a? kQ2<@g  
#44 Core Impact:全自动的全面入侵检测工具 uz#9w\="  
Core Impact可不便宜(先准备个上万美元吧),但它却是公认的最强的漏洞检测工具。它有一个强大的定时更新的专业漏洞数据库,它可以轻易的黑掉一台计算机,并以它为跳板再去作别的事情。如果您买不起Core Impact,可以看看比较便宜的Canvas或者免费的Metasploit Framework。当然,三个同时用是最好的了。 cPbz7  
ZS+2.)A  
-------------------------------------------------------------------------------- q|l|gY1g)  
^bG!k]U!2  
#45 IDA Pro:Windows或Linux反编译器和调试器 +9X[gef8  
反编译器是一块很重要的安全研究方向。它可以帮您拆解微软的补丁,以了解微软未公开并悄悄修补的漏洞,或直接以二进制的方式对某个服务器进行检测,以找出为何某个存在的漏洞不起作用。反编译器有很多,但IDA Pro是遵守二进制包事实标准(de-facto standard)的恶意代码和漏洞研究分析工具。这个图形化的、可编程的、可扩展的、支持多处理器的反编译器现在有了一个和Windows一模一样的Linux(命令行模式)版本。 UPYM~c+}  
MlZ`g,{  
-------------------------------------------------------------------------------- SD&[K 8-i2  
f- <6T  
#46 SolarWinds:网络发现/监控/攻击系列工具 2YyZiOMSc  
SolarWinds生产和销售了许多专业的系统管理工具。安全相关的包括许多网络发现扫描器、一个SNMP暴力破解器、路由器密码解密器、TCP连接重置程序、最快最易用的一个路由器设置下载和上传程序等等。 4=Ey\Px  
1|VJND  
-------------------------------------------------------------------------------- NP8TF*5V  
/HRaX!|E#  
#47 Pwdump:一款Windows密码恢复工具 x _K%  
Pwdump可以从Windows主机中取得NTLM和LanMan哈希值,无论系统密码是否启用。它还能显示系统中存在的历史密码。数据输出格式为L0phtcrack兼容格式,也可以以文件形式输出数据。 ~ #CCRUhM  
J (h>  
-------------------------------------------------------------------------------- m C Ge*V}  
0 *\=Q$Yy  
#48 LSoF:打开文件列表 @2gMtf?<  
这是一款Unix平台上的诊断和研究工具,它可以列举当前所有进程打开的文件信息。它也可以列举所有进程打开的通讯socket(communications sockets)。Windows平台上类似的工具有Sysinternals。 K5SO($  
YSgF'qq\  
-------------------------------------------------------------------------------- )VT/kIq-U  
{/<&  
#49 RainbowCrack:极具创新性的密码哈希破解器 ho1F8TG=  
RainbowCrack是一款使用了大规模内存时间交换(large-scale time-memory trade-off)技术的哈希破解工具。传统的暴力破解工具会尝试每一个可能的密码,要破解复杂的密码会很费时。RainbowCrack运用时间交换技术对破解时间进行预计算,并将计算结果存入一个名叫"rainbow tables"的表里。预计算确实也会花费较长时间,但相对暴力破解来说则短多了,而且一旦预计算完成破解开始,那么破解所需要的时间就非常非常短了。 b5Pn|5AVj  
Q6K)EwN  
-------------------------------------------------------------------------------- U\ued=H  
F 4/Uu"J:  
#50 Firewalk:高级路由跟踪工具 R=PzR;8  
Firewalk使用类似路由跟踪的技术来分析IP数据包反馈,以确定网关ACL过滤器类型和网络结构。㊣ COPY BY TTIAN.NET ㊣ 这款经典的工具在2002年十月由scratch重写。这款工具的大部分功能Hping2的路由跟踪部分也都能实现。 [/G;XHL;?  
R5"p7>  
-------------------------------------------------------------------------------- T8-$[ 2  
:3f2^(b~^  
#51 Angry IP Scanner:一款非常快的Windows IP 扫描器和端口扫描器 &}O!l'  
Angry IP Scanner能够实现最基本的Windows平台上的主机发现和端口扫描。它的体积非常的小,它还可以通过挂载插件(a few plugins)来获得主机其它信息。 jvQ"cs$.  
}H=OVbQor  
-------------------------------------------------------------------------------- (Y([^N q  
}Kt?0  
#52 RKHunter:一款Unix平台上的Rootkit检测器 Kcl$|T  
RKHunter是一款检测例如rootkit、后门、漏洞等恶意程序的工具。它采用多种检测手段,包括MD5哈希值对比、rootkits原始文件名检测、文件权限检测,以及LKM和KLD模块中的可疑字符串检测。 TXcKuo=  
l'QR2r7&.  
-------------------------------------------------------------------------------- TeJ `sJ  
 iC]lO  
#53 Ike-scan:VPN检测器和扫描器 w>u Z$/  
Ike-scan是一款检测IKE(Internet Key Exchange)服务传输特性的工具,IKE是VPN网络中服务器和远程客户端建立连接的机制。在扫描到VPN服务器的IP地址后,将改造过的IKE数据包分发给VPN网中的每一主机。只要是运行IKE的主机就会发回反馈来证明它存在。此工具然后对这些反馈数据包进行记录和显示,并将它们与一系列已知的VPN产品指纹进行对比。Ike-scan的VPN指纹包含来自Checkpoint、Cisco、Microsoft、Nortel和Watchguard的产品。 >{a,]q*  
L])w-  
-------------------------------------------------------------------------------- jhv1 D' >6  
cqx1NWlY  
#54 Arpwatch:持续跟踪以太网/IP地址配对,可以检查出中间人攻击 }=a4uCE  
Arpwatch是LBNL网络研究组出品的一款经典的ARP中间人(man-in-the-middle)攻击检测器。它记录网路活动的系统日志,并将特定的变更通过Email报告给管理员。Arpwatch使用LibPcap来监听本地以太网接口ARP数据包。 `Ny8u")=  
1 1CJT  
-------------------------------------------------------------------------------- s?k[_|)!  
d&`j 8O  
#55 KisMAC:一款Mac OS X上的图形化被动无线网络搜寻器 jm\#($gl=  
这款Mac OS X下非常流行的搜寻器和Kismet功能差不多,但和Kismet不同的是Kismet是基于命令行的,而KisMac有很漂亮的图形化界面,在OS X上出现得也比Kismet早。它同时还提供映射、Pcap兼容格式数据输入、登录和一些解密、验证破解功能。  #Uh 5tc  
"ux]kfoT  
-------------------------------------------------------------------------------- AvZ) 1(  
Wg^cj:&`u  
#56 OSSEC HIDS:一款开源的基于主机的入侵检测系统 )/"7$2Aoy  
OSSEC HIDS的主要功能有日志分析、完整性检查、rootkit检测、基于时间的警报和主动响应。除了具有入侵检测系统功能外,它还一般被用在SEM/SIM(安全事件管理(SEM: Security Event Management)/安全信息管理(SIM:Security Information Management))解决方案中。因其强大的日志分析引擎,ISP(Internet service provider)(网络服务提供商)、大学和数据中心用其监控和分析他们的防火墙、入侵检测系统、网页服务和验证等产生的日志。 &F_rg,q&_  
x[UO1% _o-  
-------------------------------------------------------------------------------- <q2nZI^  
<R>z;2c  
#57 Openbsd PF:OpenBSD数据包过滤器 070IBAk}_  
象其它平台上的Netfilter和IP Filter一样,OpenBSD用户最爱用PF,这就是他们的防火墙工具。它的功能有网络地址转换、管理TCP/IP通讯、提供带宽控制和数据包分级控制。它还有一些额外的功能,例如被动操作系统检测。PF是由编写OpenBSD的同一批人编写的,所以您完全可以放心使用,它已经经过了很好的评估、设计和编码以避免暴露其它包过滤器(other packet filters)上的类似漏洞。 z :v, Vu  
v Lv@Mo  
-------------------------------------------------------------------------------- Cg pT(E\E  
on?/tHys  
#58 Nemesis:简单的数据包注入 +E|ouFI  
Nemesis项目设计目的是为Unix/Linux(现在也包含Windows了)提供一个基于命令行的、小巧的、人性化的IP堆栈。此工具套装按协议分类,并允许对已注入的数据包流使用简单的shell脚本。如果您喜欢Nemesis,您也许对Hping2也会感兴趣,它们是互补的关系。 9^ p{/Io  
|+-i'N9  
-------------------------------------------------------------------------------- RWCS u$  
&pjV4m|j<  
#59 Tor:匿名网络通讯系统 ~+C?][T  
Tor是一款面向希望提高其网络安全性的广大组织和大众的工具集。Tor的功能有匿名网页浏览和发布、即时信息、irc、ssh以及其它一些TCP协议相关的功能。Tor还为软件开发者提供一个可开发内置匿名性、安全性和其它私密化特性的软件平台。在Vidalia可以获得跨平台的图形化界面。 8"mW!M  
D^55:\4(  
-------------------------------------------------------------------------------- W"(`n4hi3  
pm~;:#z7  
#60 Knoppix:一款多用途的CD或DVD光盘自启动系统 1Uk~m  
Knoppix由一系列典型的GNU/Linux软件组成,可以自动检测硬件环境,支持多种显卡、声卡、SCSI和USB设备以及其它外围设备。KNOPPIX作为一款高效的Linux光盘系统,可以胜任例如桌面系统、Linux教学光盘、救援系统等多种用途,经过这次在nmap中调查证实,它也是一款很小巧的安全工具。如果要使用更专业的Linux安全系统请看BackTrack。 uz3pc;0LPY  
?VQLY=?  
--------------------------------------------------------------------------------  /;6@M=6u  
0WE1}.J<  
#61 ISS Internet Scanner:应用程序漏洞扫描器 ?7)(qnbe"  
Internet Scanner是由Christopher Klaus在92年编写的一款开源的扫描器工具。现在这款工具已经演变成了一个市值上亿美元生产无数安全产品的公司。 E5G"QnxR>N  
vUe *  
-------------------------------------------------------------------------------- FK# E7 K  
H~ n~5 sF"  
#62 Fport:Foundstone出品的加强版netstat D1~x  
Fport可以报告所有本地机上打开的TCP/IP和UDP端口,并显示是何程序打开的端口。所以用它可以快速识别出未知的开放端口以及与其相关的应用程序。它只有Windows版本,但现在很多UNIX系统上的netstat也提供同样的功能(Linux请用'netstat -pan')。SANS article有Fport的使用说明和结果分析方法。 aGb. Lh9  
< iI6@X>  
-------------------------------------------------------------------------------- ++DQS9b{  
y*h1W4:^-  
#63 chkrootkit:本地rootkit检测器 #Jz&9I<OKx  
chkrootkit是一款小巧易用的Unix平台上的可以检测多种rootkit入侵的工具。它的功能包括检测文件修改、utmp/wtmp/last日志修改、界面欺骗(promiscuous interfaces)、恶意核心模块(malicious kernel modules)。 86fK= G:>  
c[_^bs>k  
-------------------------------------------------------------------------------- T% 13 '  
-MU.Hu  
#64 SPIKE Proxy:HTTP攻击 8sIA;r%S  
Spike Proxy是一款开源的以发现网站漏洞为目的的HTTP代理。它是Spike Application Testing Suite的一部分,功能包括自动SQL注入检测、 网站爬行(web site crawling)、登录列表暴力破解、溢出检测和目录游走检测。 \K~fRUo]=c  
 ;c Co+(  
-------------------------------------------------------------------------------- aroVyUs3j  
9<h]OXv  
#65 OpenBSD:被认为是最安全的操作系统 ds;cfj[  
OpenBSD是将安全作为操作系统首要任务的操作系统之一,甚至有时安全性级别要高于易用性,所以它骄人的安全性是不言而喻的。OpenBSD也非常重视系统的稳定性和对硬件的支持能力。也许他们最伟大的创举就是创造了OpenSSH。 OpenBSD用户对此系统之上的[pf](OpenBSD上的防火墙工具,本列表中第57位有介绍)也褒奖有佳。 s%[GQQ-N  
UXPegK!  
-------------------------------------------------------------------------------- Wk#h,p3  
E8_Le  
#66 Yersinia:一款支持多协议的底层攻击工具 R{uJczu  
Yersinia是一款底层协议攻击入侵检测工具。它能实施针对多种协议的多种攻击。例如夺取生成树的根角色(生成树协议:Spanning Tree Protocol),生成虚拟CDP(Cisco发现协议:Cisco Discovery Protocol)邻居、在一个HSRP(热等待路由协议:Hot Standby Router Protocol)环境中虚拟成一个活动的路由器、制造假DHCP反馈,以及其它底层攻击。 t tFY _F~S  
aq+IC@O  
-------------------------------------------------------------------------------- E\~ KVn  
ITIj=!F*  
#67 Nagios:一款开源的主机、服务和网络监控程序 %M#?cmt  
Nagios是一款系统和网络监控程序。它可以监视您指定的主机和服务,当被监视对象发生任何问题或问题被解决时发出提示信息。它的主要功能有监控网络服务(smtp、pop3、http、nntp、ping等等)、监控主机资源(进程负载、硬盘空间使用情况等等)、当发现问题或问题解决时通过多种形式发出提示信息(Email、寻呼机或其它用户定义的方式)。 bro  
3'*%R48P`  
-------------------------------------------------------------------------------- hr4ye`c j  
lI_Yb:  
#68 Fragroute/Fragrouter:一款网络入侵检测逃避工具集 M'zS7=F!:  
Fragrouter 是一款单向分段路由器,发送(接收)IP数据包都是从攻击者到Fragrouter,将数据包转换成分段数据流发给受害者。很多入侵检测系统都不能重建一段被视为一个整体的网络数据(通过IP分段和TCP流重组),详情请见这篇文章(this classic paper)。Fragrouter可以帮助骇客在逃避入侵检测后发起基于IP的攻击。它是Dug Song出品的NIDSbench套装中的一部分。Fragroute是Dug song出品的另一款和Fragrouter相似的工具。 5 k%9>U%$  
S=H_9io  
-------------------------------------------------------------------------------- =lC;^&D-0/  
hMeqs+  
#69 X-scan:一款网络漏洞扫描器 w zqd g  
一款多线程、支持插件的漏洞扫描器。X-Scan主要功能有全面支持NASL(Nessus攻击脚本语言:Nessus Attack Scripting Language)、检测服务类型、远程操作系统类型(版本)检测、弱用户名/密码匹配等等。最新版本可以在这里获取。请注意这是一个中文网站(原文为英文,所以原文作者提醒英文读者这是个中文网站)。 $dh4T";  
*Ht*)l?  
-------------------------------------------------------------------------------- D"XX920$~  
=Y/fF  
#70 Whisker/libwhisker:Rain.Forest.Puppy出品的CGI漏洞扫描器和漏洞库 qJ+52U|z  
Libwhisker是一款Perl模板集用来测试HTTP。它的功能是测试HTTP服务器上是否存在许多已知的安全漏洞,特别是CGI漏洞。Whisker是一款基于libwhisker的扫描器,但是现在大家都趋向于使用Nikto,它也是基于libwhisker的。 (;pi"/x[  
M ?xpwqu\  
-------------------------------------------------------------------------------- PN"8 Y  
.6ngo0<g   
#71 Socat:双向数据传输中继 H >:4MY  
类似于Netcat的工具,可以工作于许多协议之上,运行于文件、管道、设备(终端或调制解调器等等)、socket(Unix、IP4、IP6-raw、UDP、TCP)、Socks4客户端、代理服务器连接、或者SSL等等之间。它提供forking、logging和dumping,和不同模式的交互式处理通讯,以及更多其它选项。它可以作为TCP中继(单次触发:one-shot或者daemon(Internet中用于邮件收发的后台程序))、作为基于daemon的动态Sockes化(socksifier)、作为Unix平台上sockets的shell接口、作为IP6中继、将面向TCP的程序重定向成串行线路(Serial Line)程序、或者建立用来运行客户端或服务器带有网络连接的shell脚本相关安全环境(su和chroot)。 H8$<HhuZM  
S1^nC tSF  
-------------------------------------------------------------------------------- /ggkb8<3  
Bug}^t{M  
#72 Sara:安全评审研究助手 qwF*(pTHq  
SARA是一款源于infamous SATAN扫描器的漏洞评估工具。此工具大约两个月更新一次,出品此工具的开源社区还维护着Nmap和Samba。  S2&9# 6  
%8bzs?QI  
-------------------------------------------------------------------------------- +an^e'  
^{*f3m/  
#73 QualysGuard:基于网页的漏洞扫描器 2Za ,4'  
在网站上以服务形式发布, 所以QualysGuard没有开发、维护和升级漏洞管理软件或ad-hoc安全应用程序的负担。客户端可以安全的通过一个简单易用的网页访问QualysGuard。QualysGuard含有5000种以上的单一漏洞检查,一个基于推理的扫描引擎,而且漏洞知识库自动天天升级。 w;c#drY7S  
E {KS a  
-------------------------------------------------------------------------------- 1<a@p}  
y=9Dxst"V  
#74 ClamAV:一款UNIX平台上的基于GPL(通用公开许可证:General Public License)的反病毒工具集 p2x1xv  
ClamAV是一款强大的注重邮件服务器附件扫描的反病毒扫描器。它含有一个小巧的可升级的多线程daemon、一个命令行扫描器和自动升级工具。Clam AntiVirus基于AntiVirus package发布的开源病毒库,您也可以将此病毒库应用于您自己的软件中,但是别忘了经常升级。 $xA J9_2P  
~llMrl7  
-------------------------------------------------------------------------------- ~|'y+h89  
w3<"g&n|  
#75 cheops / cheops-ng:提供许多简单的网络工具,例如本地或远程网络映射和识别计算机操作系统 Q^lQi\[  
Cheops提供许多好用的图形化用户界面网络工具。它含有主机/网络发现功能,也就是主机操作系统检测。Cheops-ng用来探查主机上运行的服务。针对某些服务,cheops-ng可以探查到运行服务的应用程序是什么,以及程序的版本号。Cheops已经停止开发和维护,所以请最好使用cheops-ng。 kOAY@a  
UXwB$@8  
-------------------------------------------------------------------------------- B)rr7B  
Wm)-zvNY;  
#76 Burpsuite:一款网页程序攻击集成平台 NFY|^*bll  
Burp suite允许攻击者结合手工和自动技术去枚举、分析、攻击网页程序。这些不同的burp工具通过协同工作,有效的分享信息,支持以某种工具中的信息为基础供另一种工具使用从而发动攻击。 cZe'!CQS  
7Aio`&^  
-------------------------------------------------------------------------------- @ )vy'qP d  
f2 ydL/M,  
#77 Brutus:一款网络验证暴力破解器 0L:V#y-*  
这款Windows平台上的暴力破解器通过字典猜测远程系统网络服务密码。它支持HTTP、POP3、FTP、SMB、TELNET、IMAP、NTP等等。不开放源码,UNIX平台上的类似软件有THC Hydra。 F)/~p&H  
]l=O%Ev  
-------------------------------------------------------------------------------- VFl 1 f  
F?b'L JS  
#78 Unicornscan:另类端口扫描器 "7kgez#Y  
Unicornscan是一款通过尝试连接用户系统(User-land)分布式TCP/IP堆栈获得信息和关联关系的端口扫描器。它试图为研究人员提供一种可以刺激TCP/IP设备和网络并度量反馈的超级接口。它主要功能包括带有所有TCP变种标记的异步无状态TCP扫描、异步无状态TCP标志捕获、通过分析反馈信息获取主动/被动远程操作系统、应用程序、组件信息。它和Scanrand一样都是另类扫描器。 6Z(*cf/s  
`10X5V@hP  
-------------------------------------------------------------------------------- E kBae=  
]-um\A4f  
#79 Stunnel:用途广泛的SSL加密封装器 3w/( /|0  
stunnel用来对远程客户端和本地机(可启动inetd的:inetd-startable)或远程服务器间的SSL加密进行封装。它可以在不修改任何代码的情况下,为一般的使用inetd daemon的POP2、POP3和IMAP服务器添加SSL功能。它通过使用OpenSSL或SSLeay库建立SSL连接。 crd|2bjp+  
_Z+jQFKJ\8  
-------------------------------------------------------------------------------- \P l,' 1%  
hdd>&?p3  
#80 Honeyd:您私人的蜜罐系统 @PQrmn6w  
Honeyd是一个可以在网络上创建虚拟主机的小型daemon。可以对此虚拟主机的服务和TCP进行配置,使其在网络中看起来是在运行某种操作系统。Honeyd可以使一台主机在局域网中模拟出多个地址以满足网络实验环境的要求。虚拟主机可以被ping通,也可以对它们进行路由跟踪。通过对配置文件进行设置可以使虚拟计算机模拟运行任何服务。也可以使用服务代理替代服务模拟。它的库有很多,所以编译和安装Honeyd比较难。 5S%C~iB  
D3S+LV  
-------------------------------------------------------------------------------- -9OMn}w/*  
(Qk&g"I  
#81 Fping:一个多主机同时ping扫描程序 -DP8NTl"  
fping是一款类似ping(1)(ping(1)是通过ICMP(网络控制信息协议Internet Control Message Protocol)协议回复请求以检测主机是否存在)的程序。Fping与ping不同的地方在于,您可以在命令行中指定要ping的主机数量范围,也可以指定含有要ping的主机列表文件。与ping要等待某一主机连接超时或发回反馈信息不同,fping给一个主机发送完数据包后,马上给下一个主机发送数据包,实现多主机同时ping。如果某一主机ping通,则此主机将被打上标记,并从等待列表中移除,如果没ping通,说明主机无法到达,主机仍然留在等待列表中,等待后续操作。 G la@l<  
Z|ZBKcmg  
-------------------------------------------------------------------------------- XogvtK*  
wJ+U[a  
#82 BASE:基础分析和安全引擎(Basic Analysis and Security Engine) Ap]4QqU  
BASE是一款基于PHP的可以搜索和实施安全事件的分析引擎,她的安全事件数据库来源于很多入侵检测系统、防火墙、网络检测工具生成的安全事件。它的功能包括一个查找生成器和搜索界面,用来搜索漏洞;一个数据包浏览器(解码器);还可以根据时间、传感器、信号、协议和IP地址等生成状态图。 x.b; +p}=  
$ViojW>  
-------------------------------------------------------------------------------- 4}Q O!(  
'7xxCj/*  
#83 Argus:IP网络事务评审工具 ':l"mkd+`  
Argus是一款固定模型的实时的流量监视器,用来跟踪和报告数据网络通讯流中所有事务的状态和性能。Argus为流量评估定制了一种数据格式,其中包括连通性、容量、请求、丢包、延迟和波动,这些就作为评估事务的元素。这种数据格式灵活易扩展,支持常用流量标识和度量,还可以获得指定的应用程序/协议的信息。 f?%qUD_#  
`'p`PyMt`  
-------------------------------------------------------------------------------- rI0)F  
rIeM+h7Wn  
#84 Wikto:网页服务器评估工具 61/)l0 <;  
Wikto是一款检查网页服务器漏洞的工具。它和Nikto类似,但是添加了很多其它功能,例如一个整合了Google的后台发掘器。Wikto工作于MS ..NET环境下,下载此软件和源代码需要注册。 ybZ}  
]alh_U  
-------------------------------------------------------------------------------- [_WI8~g Y  
g4N%PV8  
#85 Sguil:网络安全监控器命令行分析器 jHAWK9fa  
Sguil(按sgweel发音)是由network security analysts出品的网络安全分析工具。Sguil的主要组件就是一个Snort/barnyard实时事件显示界面。它还包含一些网络安全监控的辅助工具和事件驱动的入侵检测系统分析报告。 /M3y)K`^  
ku{XW8  
-------------------------------------------------------------------------------- cz2,",+~  
\O kc5;kB2  
#86 Scanrand:一个异常快速的无状态网络服务和拓朴结构发现系统 S dIGU[fm  
Scanrand是一款类似Unicornscan的无状态主机发现和端口扫描工具。它以降低可@@性来换取异常快的速度,还使用了加密技术防止黑客修改扫描结果。此工具是Dan Kaminsky出品的Paketto Keiretsu的一部分。 /Q?~Q0{)es  
dgS4w@)@V;  
-------------------------------------------------------------------------------- )xB$LJM8  
dh&W;zs  
#87 IP Filter:小巧的UNIX数据包过滤器 2m_'z  
IP Filter是一款软件包,可以实现网络地址转换(network address translation)(NAT)或者防火墙服务的功能。它可以作为UNIX的一个核心模块,也可以不嵌入核心,强烈推荐将其作为UNIX的核心模块。安装和为系统文件打补丁要使用脚本。IP Filter内置于FreeBSD、NetBSD和Solaris中。OpenBSD可以使用Openbsd PF,Linux用户可以使用Netfilter。 1"}B]5!  
br0u@G  
-------------------------------------------------------------------------------- p?Ed- S  
`#u l,%  
#88 Canvas:一款全面的漏洞检测框架 EdEoXY-2  
Canvas是Aitel's ImmunitySec出品的一款漏洞检测工具。它包含150个以上的漏洞,它比Core Impact便宜一些,但是它也价值数千美元。您也可以通过购买VisualSploit Plugin实现在图形界面上通过拖拽就可以生成漏洞。Canvas偶尔也会发现一些ODay漏洞。 Kb-W tFx  
r4E`'o[  
-------------------------------------------------------------------------------- ^vpIZjN  
CN7 k?JO<  
#89 VMware:多平台虚拟软件 Q0pzW:=s]  
VMware虚拟软件允许您在一个系统中虚拟运行另一个系统。这对于安全专家在多平台下测试代码和漏洞非常有用。它只运行在Windows和Linux平台上,但它可以虚拟运行几乎所有的x86操作系统。它对建立沙箱(sandboxes)也非常有用。在VMware虚拟系统上感染了恶意软件不会影响到宿主机器,可以通过加载快照文件恢复被感染了的虚拟系统。VMware不能创建虚拟系统的镜像文件。VMware最近刚刚宣布免费。另一款在Linux下颇受瞩目的虚拟平台软件是Xen。 (cvh3',  
^J8uhV;w  
-------------------------------------------------------------------------------- |~SE"  
I>{!U$  
#90 Tcptraceroute:一款基于TCP数据包的路由跟踪工具 {3hqp*xl  
现代网络广泛使用防火墙,导致传统路由跟踪工具发出的(ICMP应答(ICMP echo)或UDP)数据包都被过滤掉了,所以无法进行完整的路由跟踪。尽管如此,许多情况下,防火墙会准许反向(inbound)TCP数据包通过防火墙到达指定端口,这些端口是主机内防火墙背后的一些程序和外界连接用的。通过发送TCP SYN数据包来代替UDP或者ICMP应答数据包,tcptraceroute可以穿透大多数防火墙。  bRNK.[|  
@ ]f3| >I  
-------------------------------------------------------------------------------- u7HvdLql  
%yiD~&  
#91 SAINT:安全管理综合网络工具 |/VL35b  
SAINT象Nessus、ISS Internet Scanner和Retina一样,也是一款商业漏洞评估工具。它以前是运行在UNIX系统之上的免费开源工具,但现在收费了。 Uz 0W <u3v  
tp Xa*6  
-------------------------------------------------------------------------------- H+a~o=/cR  
k({2yc#RD&  
#92 OpenVPN:全功能SSL VPN解决方案 q(IZJGb  
OpenVPN是一款开源的SSL VPN工具包,它可以实现很多功能,包括远程登录、站对站VPN、WiFi安全、带有负载平衡的企业级远程登录解决方案、节点控制移交(failover)、严密的访问控制。OpenVPN运行于OSI 2层或3层安全网络,使用SSL/TLS工业标准协议,支持灵活的基于证书、智能卡、二元验证的客户端验证方法,允许在VPN虚拟接口上使用防火墙规则作为用户或指定用户组的访问控制策略。OpenVPN使用OpenSSL作为其首选加密库 :$=|7v  
- %|P  
-------------------------------------------------------------------------------- *zq.C  
.eo~?u<j&  
#93 OllyDbg:汇编级Windows调试器 0<g<GQ(E  
OllyDbg是一款微软Windows平台上的32位汇编级的分析调试器。因其直接对二进制代码进行分析,所以在无法获得源代码的时候它非常有用。OllyDbg含有一个图形用户界面,它的高级代码分析器可以识别过程、循环、API调用、交换、表、常量和字符串,它可以加载运行时程序,支持多线程。OllyDbg可以免费下载,但不开源。 & g:%*>7P  
M;*$gV<x  
-------------------------------------------------------------------------------- :q^R `8;(t  
LfEvc2 v=g  
#94 Helix:一款注重安全防护的Linux版本 R :"+ #Sq  
Helix是一款自定义版本的Knoppix自启动Linux光盘系统。Helix远不止是一张自启动光盘。除了光盘启动到自定义的Linux环境,还具有超强的硬件支持能力,包含许多应付各种问题的软件。Helix尽量少的接触主机软硬资源。Helix不自动加载交换(swap)空间,不自动加载其它任何外围设备。Helix还可以自动加载Windows,以应对意外情况。 Z!= L   
.(|+oHg<  
-------------------------------------------------------------------------------- BDy5J2<<7l  
tQrS3Hz'nA  
#95 Bastille:Linux、Mac OS X和HP-UX的安全加强脚本 Jen%}\  
Bastille使操作系统固若金汤,减少系统遭受危险的可能,增加系统的安全性。Bastille还可以评估系统当前的安全性,周期性的报告每一项安全设置及其工作情况。Bastille当前支持Red Hat(Fedora Core、Enterprise和Numbered/Classic版本)、SUSE、Debian、Gentoo和Mandrake这些Linux版本,还有HP-UX和Mac OS X。Bastille旨在使系统用户和管理员了解如何加固系统。在其默认的最坚固模式下,它不断的询问用户问题,并对这些问题加以解释,根据用户对问题不同的回答选择不同的应对策略。在其评估模式下,它会生成一份报告旨在告诉用户有哪些安全设置可用,同时也提示用户哪些设置被加固了。 Hle\ON  
:r&iM b:Ra  
-------------------------------------------------------------------------------- ,9mgYp2  
e 8,{|a  
#96 Acunetix Web Vulnerability Scanner:商业漏洞扫描器 }!8nO;  
Acunetix WVS自动检查您的网页程序漏洞,例如SQL注入、跨网站脚本和验证页面弱密码破解。Acunetix WVS有着非常友好的用户界面,还可以生成个性化的网站安全评估报告。 d<x1*a  
;hwzYXWF  
-------------------------------------------------------------------------------- 3cqQL!Gm  
i'HPRY  
#97 TrueCrypt:开源的Windows和Linux磁盘加密软件 b6"}"bG  
TrueCrypt是一款非常出色的开源磁盘加密系统。用户可以加密整个文件系统,它可以实时加密/解密而不需要用户干涉,只要事先输入密码。非常巧妙的hidden volume特性允许您对特别敏感的内容进行第二层加密来隐藏它的存在。所以就算加密系统的密码暴露,黑客也不知道还有隐藏内容存在。 T7 {<arL$  
cGNvEM(4AV  
-------------------------------------------------------------------------------- Q"%S~&#'  
qe$33f*  
#98 Watchfire AppScan:商业网页漏洞扫描器 j$Nf%V 6Y  
AppScan按照应用程序开发生命周期进行安全测试,早在开发阶段就进行单元测试和安全保证。Appscan能够扫描多种常见漏洞,例如跨网站脚本、HTTP应答切开、参数篡改、隐藏值篡改、后门/调试选项和缓冲区溢出等等。 (S|a 9#  
QdDObqVdy  
-------------------------------------------------------------------------------- 9~c~E/4!  
1"?]= j:  
#99 N-Stealth:网页服务器扫描器 :Hk_8J  
N-Stealth是一款网页服务器安全扫描器。它比Whisker/libwhisker和Nikto这些免费的网页扫描器升级得更频繁,但是它网站上声称的可以扫描30000种漏洞(30000 vulnerabilities and exploits)和每天添加数十种漏洞(Dozens of vulnerability checks are added every day)的说法是很值得怀疑的。象Nessus、ISS Internet Scanner、Retina、SAINT和Sara这些防入侵工具都含有网页扫描组件,它们都很难做到每日更新。N-Stealth运行于Windows平台之上,且不开源。 $2KK:{VX  
II;Te7~  
-------------------------------------------------------------------------------- ~.Cv DJy  
@RGDhwS47  
#100 MBSA:微软基准安全分析器(Microsoft Baseline Security Analyzer) CbOCk:,g5  
Microsoft Baseline Security Analyzer(MBSA)是一款简单易用的工具,帮助IT专业人员检测其小型和中型商业应用的安全性,将用户系统与微软安全建议(Microsoft security recommendations)进行比对,并给出特定的建议指导。通过与Windows内置的Windows自动升级代理器(Windows Update Agent)和微软自动升级基础架构(Microsoft Update infrastructure)的协作,MBSA能够保证和其它微软管理产品的数据保持一致,它们包括微软自动升级(Microsoft Update(MU))、Windows服务器自动升级服务(Windows Server Update Services(WSUS))、系统管理服务器(Systems Management Server(SMS))和微软运行管理器(Microsoft Operations Manager(MOM))。MBSA平均每周要扫描3百万台电脑。
级别: 终身会员
发帖
3743
铜板
8
人品值
493
贡献值
9
交易币
0
好评度
3746
信誉值
0
金币
0
所在楼道
只看该作者 44 发表于: 2006-09-22
如何安全设置网吧主机,防止别人加钱
本来我不想把这做为一个题目来写,但是仔细的想想,我们不能光入侵网吧呀! B+] D5K  
有攻就有防,况且我们这里是网吧攻一防专区,也不能只高免费上网,那也太苦了, yK1ie  
网吧老板和网管了吧? M:|8]y@  
防止别人加钱,是一件不容忽视的问题,但是有很多网管和网吧老板不相信能冲钱 /=)L_  
废话不说了,开始说下怎么防止网吧冲钱 e[1>(l}Ss  
1:首先,你要做的是,把自己的系统补丁都给打上,最好主机不要用2000server 6e&$l-  
或者2000家庭版还有XP1,这些系统存在太多的漏洞了,只要你一个补丁没有打上, "AC^ rz~U  
就有可能被入侵。一般情况下网吧主机习惯上用2000NT,一般服务器都用 2000比 "(`2eXRn  
较稳定,但是漏洞太多了,最好用XP2,有条件的话就用WIN2003。只到现在为止 c2 Aps  
20003和XP2也没有爆出什么致命的漏洞,可见其安全性得到认可。 ^m!_ 2_q  
2:还有就是记得及时升级你计算机上的其它常用软件,比如REALPLAYER,IE, 1J{fXh  
网管软件等,有时这些软件的漏洞也足以让你的主机被黑。 <T+!V-Pj*  
3:主机上,一个好的杀毒软件是少不了的,我比较喜欢用卡巴,瑞星 ,卡巴表面 &!L:"]=+  
查毒能力一流,瑞星内存查毒能力所向无敌,这个都是重所周知的。最重要的是, #HAC*n  
不管你用什么杀毒软件都要保证使用最新的病毒库。要记得及时更新病毒库,最少 < Ek/8x  
也要2天一次,没有正版,用瑞星升级保姆也不错的。还有就是防火墙 一定少不了 HYCuK48F[_  
,XP自带的功能有点差,你可以用天网,瑞星等!切忌升级病毒库! qMP1k7uG)  
4:要关闭计算机上的不必要的服务,关闭共享c$ d$ f$....ipc$ admin$ guest G.\l qYrXU  
这些都要关闭,还有就是要设置一个比较复杂的计算机口令,说句实话也不必太复杂, 6w| J -{2  
7位以上,不要用电话号码,123456 11111之类的就够他破解的了,还有就是很 kWhr1wR1  
多人习惯上把各种密码使用同一个密码,这是非常致命的,因为还原卡,网管系统 O_;Dk W  
密码是很容易破解的,所以说要设置多个密码。有差不多30%的网吧路由和网吧 (R*j|HAw`X  
主机的管理密码是空的,你想这是多么恐怖? ^/@jwZ  
5:要注意在聊QQ,MSN的时候,别人发给你的不名网站一定不要点,有很大的可能是网马。 mchJmZ{A  
6:除了这些,你还要养成一个良好的习惯,至少要一个星期,在主机上用net user v2)g 1sXd  
查看一下看看用户的详细情况看看是不是有异常的用户,以及用户权限是不是发生了变化, O o8qyW  
还要用net share命令查下看看有没有异常的共享被开启,其它的如at ,net start +=BAslk  
这里我就不一一介绍了。 DyO$P#~?  
7:还有就是我发现很多网吧主机习惯上用主机共享游戏什么的,一定不要忘记了设置 G2:%g(  
共享的权限,还有就是假如你主机是SQL类的网吧主机,那SA密码一定不要忘记弄复杂点了。 DinPxtT?a  
朋友当你看完这个帖子,你会感觉很简单,也很无聊,但是就是这些东西被网管员 W),l  
给忽略了,才造成我们有机可乘,,, ;H'gT+t<c  
呵呵不说了,有什么好的建议希望发来
描述
快速回复

您目前还是游客,请 登录注册
批量上传需要先选择文件,再选择上传
认证码:
验证问题:
3+5=?,请输入中文答案:八 正确答案:八