這篇文章是本人對平時對服務器網絡安全的一些接觸而總結下來的一些心得，是一些基本的常識，適合入門級的服務器管護人員閱讀，希望不會在老資歷的技術員面前見笑。


首先，我們可以分析一下，對網絡服務器的惡意網絡行為包括兩個方面：一是惡意的攻擊行為，如拒絕服務攻擊，網絡病毒等等，這些行為旨在消耗服務器資源，影響服務器的正常運作，甚至服務器所在網絡的癱瘓；另外一個就是惡意的入侵行為，這種行為更是會導致服務器敏感信息泄露，入侵者更是可以為所欲為，肆意破壞服務器。所以我們要保證網絡服務器的安全可以說就是盡量減少網絡服務器受這兩種行為的影響。


基于windows做操作系統的服務器在中國市場的份額以及國人對該操作系統的了解程度，我在這里談談個人對維護windows網絡服務器安全的一些個人意見。


如何避免網絡服務器受網上那些惡意的攻擊行為。


（一） 構建好你的硬件安全防御系統


選用一套好的安全系統模型。一套完善的安全模型應該包括以下一些必要的組件：防火墻、入侵檢測系統、路由系統等。


防火墻在安全系統中扮演一個保安的角色，可以很大程度上保證來自網絡的非法訪問以及數據流量攻擊，如拒絕服務攻擊等；入侵檢測系統則是扮演一個監視器的角色，監視你的服務器出入口，非常智能地過濾掉那些帶有入侵和攻擊性質的訪問。


（二） 選用英文的操作系統


要知道，windows畢竟美國微軟的東西，而微軟的東西一向都是以Bug 和 Patch多而著稱，中文版的Bug遠遠要比英文版多，而中文版的補丁向來是比英文版出的晚，也就是說，如果你的服務器上裝的是中文版的windows系統，微軟漏洞公布之后你還需要等上一段時間才能打好補丁，也許黑客、病毒就利用這段時間入侵了你的系統。

如何防止網絡服務器不被黑客入侵：


首先，作為一個黑客崇拜者，我想說一句，世界上沒有絕對安全的系統。我們只可以盡量避免被入侵，最大的程度上減少傷亡。


（一） 采用NTFS文件系統格式


大家都知道，我們通常采用的文件系統是FAT或者FAT32，NTFS是微軟Windows NT內核的系列操作系統支持的、一個特別為網絡和磁盤配額、文件加密等管理安全特性設計的磁盤格式。NTFS文件系統里你可以為任何一個磁盤分區單獨設置訪問權限。把你自己的敏感信息和服務信息分別放在不同的磁盤分區。這樣即使黑客通過某些方法獲得你的服務文件所在磁盤分區的訪問權限，還需要想方設法突破系統的安全設置才能進一步訪問到保存在其他磁盤上的敏感信息。


（二）做好系統備份


常言道，“有備無患”，雖然誰都不希望系統突然遭到破壞，但是不怕一萬，就怕萬一，作好服務器系統備份，萬一遭破壞的時候也可以及時恢復。


（三）關閉不必要的服務，只開該開的端口


關閉那些不必要開的服務，做好本地管理和組管理。Windows系統有很多默認的服務其實沒必要開的，甚至可以說是危險的，比如：默認的共享遠程注冊表訪問（Remote Registry Service），系統很多敏感的信息都是寫在注冊表里的，如pcanywhere的加密密碼等。


關閉那些不必要的端口。一些看似不必要的端口，確可以向黑客透露許多操作系統的敏感信息，如windows 2000 server默認開啟的IIS服務就告訴對方你的操作系統是windows 2000。69端口告訴黑客你的操作系統極有可能是linux或者unix系統，因為69是這些操作系統下默認的tftp服務使用的端口。對端口的進一步訪問，還可以返回該服務器上軟件及其版本的一些信息，這些對黑客的入侵都提供了很大的幫助。此外，開啟的端口更有可能成為黑客進入服務器的門戶。


總之，做好TCP/IP端口過濾不但有助于防止黑客入侵，而且對防止病毒也有一定的幫助。


（四）軟件防火墻、殺毒軟件


雖然我們已經有了一套硬件的防御系統，但是“保鏢”多幾個也不是壞事。



（五）開啟你的事件日志


雖然開啟日志服務雖然說對阻止黑客的入侵并沒有直接的作用，但是通過他記錄黑客的行蹤，我們可以分析入侵者在我們的系統上到底做過什么手腳，給我們的系統到底造成了哪些破壞及隱患，黑客到底在我們的系統上留了什么樣的后門，我們的服務器到底還存在哪些安全漏洞等等。如果你是高手的話，你還可以設置密罐，等待黑客來入侵，在他入侵的時候把他逮個正著。

在Internet大眾化及Web技術飛速演變的今天，在線安全所面臨的挑戰日益嚴峻。伴隨著在線信息和服務的可用性的提升，以及基子Web的攻擊和破壞的增長，安全風險達到了前所未有的高度。由于眾多安全工作集中在網絡本身上面，Web應用程序幾乎被遺忘了。也許這是因為應用程序過去常常是在一臺計算機上運行的獨立程序，如果這臺計算機安全的話，那么應用程序就是安全的。如今，情況大不一樣了，Web應用程序在多種不同的機器上運行：客戶端、Web服務器、數據庫服務器和應用服務器。而且，因為他們一般可以讓所有的人使用，所以這些應用程序成為了眾多攻擊活動的后臺旁路。

由于Web服務器提供了幾種不同的方式將請求轉發給應用服務器，并將修改過的或新的網頁發回給最終用戶，這使得非法闖入網絡變得更加容易。

而且，許多程序員不知道如何開發安全的應用程序。他們的經驗也許是開發獨立應用程序或Intranet Web應用程序，這些應用程序沒有考慮到在安全缺陷被利用時可能會出現災難性后果。

其次，許多Web應用程序容易受到通過服務器、應用程序和內部已開發的代碼進行的攻擊。這些攻擊行動直接通過了周邊防火墻安全措施，因為端口80或443（SSL，安全套接字協議層）必須開放，以便讓應用程序正常運行。Web應用程序攻擊包括對應用程序本身的DoS（拒絕服務）攻擊、改變網頁內容以及盜走企業的關鍵信息或用戶信息等。

總之，Web應用攻擊之所以與其他攻擊不同，是因為它們很難被發現，而且可能來自任何在線用戶，甚至是經過驗證的用戶。迄今為止，該方面尚未受到重視，因為企業用戶主要使用防火墻和入侵檢測解決方案來保護其網絡的安全，而防火墻和入侵檢測解決方案發現不了Web攻擊行動。

常見的Web應用安全漏洞

下面將列出一系列通常會出現的安全漏洞，并且簡單解釋一下這些漏洞是如何產生的。

已知弱點和錯誤配置

已知弱點包括Web應用使用的操作系統和第三方應用程序中的所有程序錯誤或者可以被利用的漏洞。這個問題也涉及到錯誤配置，包含有不安全的默認設置或管理員沒有進行安全配置的應用程序。一個很好的例子就是你的Web服務器被配置成可以讓任何用戶從系統上的任何目錄路徑通過，這樣可能會導致泄露存儲在Web服務器上的一些敏感信息，如口令、源代碼或客戶信息等。

隱藏字段

在許多應用中，隱藏的HTML格式字段被用來保存系統口令或商品價格。盡管其名稱如此，但這些字段并不是很隱蔽的，任何在網頁上執行“查看源代碼”的人都能看見。許多Web應用允許惡意的用戶修改HTML源文件中的這些字段，為他們提供了以極小成本或無需成本購買商品的機會。這些攻擊行動之所以成功，是因為大多數應用沒有對返回網頁進行驗證；相反，它們認為輸入數據和輸出數據是一樣的。

后門和調試漏洞

開發人員常常建立一些后門并依靠調試來排除應用程序的故障。在開發過程中這樣做可以，但這些安全漏洞經常被留在一些放在Internet上的最終應用中。一些常見的后門使用戶不用口令就可以登錄或者訪問允許直接進行應用配置的特殊URL。

跨站點腳本編寫

一般來說，跨站點編寫腳本是將代碼插入由另一個源發送的網頁之中的過程。利用跨站點編寫腳本的一種方式是通過HTML格式，將信息帖到公告牌上就是跨站點腳本編寫的一個很好范例。惡意的用戶會在公告牌上帖上包含有惡意的JavaScript代碼的信息。當用戶查看這個公告牌時，服務器就會發送HTML與這個惡意的用戶代碼一起顯示。客戶端的瀏覽器會執行該代碼，因為它認為這是來自Web服務器的有效代碼。

參數篡改

參數篡改包括操縱URL字符串，以檢索用戶以其他方式得不到的信息。訪問Web應用的后端數據庫是通過常常包含在URL中的SQL調用來進行的。惡意的用戶可以操縱SQL代碼，以便將來有可能檢索一份包含所有用戶、口令、信用卡號的清單或者儲存在數據庫中的任何其他數據。

經常聽到別人說自己電腦的IE被惡意修改了，我也曾經經常遇到過，做事做的好好，突然蹦出個網頁實在是郁悶到極點啊。后來我就在網上亂搜一通，簡單總結了下他們的方法特在此版塊發給新手門，尤其是玩黑的！

大概有下面幾種解決方法吧。

一、修改IE工具欄

在一般情況下，IE首頁的修改可以通過IE工具欄里的“工具”－“Internet選項”－“常規”－“主頁”功能模塊來實現。

在彈出的窗口里，用戶只要在“可更改主頁”的地址欄中輸入自己經常使用的網址然后再點擊下面的“使用當前頁”按鈕就可以將其設為自己的IE首頁了；如果是點擊了“使用默認頁”則一般會使IE首頁調整為微軟中國公司的主頁；至于“使用空白頁”選項則是讓IE首頁顯示為“about:blank”字樣的空白頁，這樣便于輸入網址。

二、修改注冊表

很多情況下，由于受了惡意程序的控制，或中了木馬病毒，上面的方法根本不奏效，甚至有時候，“可更改主頁”的地址欄都變成了灰色，無法再進行調整；有時候，即使你把網址改回來了，再開啟IE瀏覽器，那個惡意網址又跑回來了。 實在是頭大~~如果這樣的話，最通常的辦法就是修改注冊表文件。

我們首先啟動Windows的注冊表編輯器，具體方法是點擊Windows界面左下角的“開始”按鈕，再選擇“運行”，在彈出的對話框中輸入“regedit”就可以進入注冊表編輯器了。

IE首頁的注冊表文件是放在：HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page下的，而這個子鍵的鍵值就是IE首頁的網址。以筆者的電腦為例，鍵值是http://www.hao123.com，它是可以修改的，用戶可以改為自己常用的網址，或是改為“about: blank”，即空白頁。這樣，你重啟IE就可以看到效果了。

如果這種方法也不能奏效，那就是因為一些病毒或是流氓軟件在你的電腦里面安裝了一個自運行程序，就算你通過修改注冊表恢復了IE首頁，但是你一重新啟動電腦，這個程序就會自動運行再次篡改。

這時候，我們需要對注冊表文件進行更多的修改，運行“regedit”，然后依次展開HKEY_LOCAL_
MACHINE\Software\Microsoft\Windows\Current Version\Run主鍵，然后將其下的不知明的啟動子鍵值刪除，然后對應刪除其不知明的自運行程序文件，最后從IE選項中重新設置起始頁就好了。

除了上面的情況外，有些IE被改了首頁后，即使設置了“使用默認頁”仍然無效，這是因為IE起始頁的默認頁也被篡改啦。對于這種情況，我們同樣可以通過修改注冊表來解決，運行“regedit”展開：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\
Default_Page_URL子鍵，然后將“Default_Page_UR”子鍵的鍵值中的那些篡改網站的網址改掉就好了，或者設置為IE的默認值。

三、使用IE修復軟件

雖然修改注冊表的方法十分有效，但是對于一般的電腦用戶來說較為專業，而且編輯過程中也涉及到了比較多的英語。因此，我們在這里介紹大家使用一些專門的修復工具。

一般來說，IE修復工具有兩大類。一是商業機構提供的輔助性工具，如瑞星注冊表修復工具、3721的上網助手中附帶的IE修復專家、超級兔子中的IE修復工具等等，這些軟件大多捆綁在商業軟件或是工具軟件中，有些還需要付費才能夠使用。其特點是，功能強大，建議經濟實力較強的用戶使用。

其中瑞星的注冊表修復工具是可以免費單獨下載的，具體的使用辦法可以參考這些軟件的幫助文件。

還有一點就是看系統啟動項在運行里輸入msconfig 查看啟動項，你在這里可以查到每次開機時訪問的網站URL地址，還有一種是在啟動欄中有一個連接到本機的連接，該連接有可能是連接到一個*.js的文件，查找時要細心，左邊的選勾去掉后，再按照路徑把*.JS文件刪除，然后重新啟動系統就可以了。

iexplore.exe是Microsoft Internet Explorer的主程序。這個微軟Windows應用程序讓你在網上沖浪，和訪問本地Interanet網絡。這不是純粹的系統程序，但是如果終止它，可能會導致不可知的問題。iexplore.exe同時也是Avant網絡瀏覽器的一部分，這是一個免費的基于Internet Explorer的瀏覽器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒，該病毒會終止你的反病毒軟件，和一些Windows系統工具，該進程的安全等級是建議刪除。


這個東西可以說是病毒，也可以說不是病毒。


因為微軟的瀏覽器就是IEXPLORE.EXE，但是它一般情況隨系統被安裝在C:\Program Files\Internet Explorer下面。那么，如果發現這個文件是在這個目錄下面的，一般情況不是病毒，當然，不包括已經被感染了的情況；還有一種情況，就是IEXPLORE.EXE在C:\WINDOWS\system32\下面，那么這個十有八九都是病毒。


系統進程－－偽裝的病毒 iexplore.exe


Trojan.PowerSpider.ac 破壞方法：密碼解霸V8.10。又稱“密碼結巴”。偷用戶各種密碼，包含：游戲密碼、局域網密碼、騰訊QQ賬號和密碼、POP3 密碼、Win9x緩存密碼及撥號賬號等等。這個木馬所偷密碼的范圍很廣，對廣大互聯網用戶的潛在威脅也巨大。


現象：


1、系統進程中有iexplore.exe運行，注意，是小寫字母；


2、搜索該程序iexplore.exe，不是位于C盤下的PROGRAMME文件夾，而是WINDOWS32文件夾。


解決辦法：


1、到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全刪除之。


2、到注冊表中，找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion \\Run “mssysint”= iexplore.exe，刪除其鍵值。

隨著各地ADSL網絡的蓬勃發展，實現永久連接、隨時在線已不再是遙遠的夢，但是，我們必須明白，永久連入Internet同樣也意味著遭受入侵的可能性大大增加。知己知彼，方能百戰不殆，讓我們了解一下黑客入侵ADSL用戶的方法和防范手段吧。　

黑客入侵ADSL用戶的方法

在很多地方都是包月制的，這樣的話，黑客就可以用更長的時間進行端口以及漏洞的掃描，甚至采用在線暴力破解的方法盜取密碼，或者使用嗅探工具守株待兔般等待對方自動把用戶名和密碼送上門。

要完成一次成功的網絡攻擊，一般有以下幾步。第一步就是要收集目標的各種信息，為了對目標進行徹底分析，必須盡可能收集攻擊目標的大量有效信息，以便最后分析得到目標的漏洞列表。分析結果包括：操作系統類型，操作系統的版本，打開的服務，打開服務的版本，網絡拓撲結構，網絡設備，防火墻。　

黑客掃描使用的主要是TCP/IP堆棧指紋的方法。實現的手段主要是三種：　　

1.TCP ISN采樣：尋找初始化序列規定長度與特定的OS是否匹配。　　

2.FIN探測：發送一個FIN包（或者是任何沒有ACK或SYN標記的包）到目標的一個開放的端口，然后等待回應。許多系統會返回一個RESET（復位標記）。　　

3.利用BOGUS標記：通過發送一個SYN包，它含有沒有定義的TCP標記的TCP頭，利用系統對標記的不同反應，可以區分一些操作系統。　　

4.利用TCP的初始化窗口：只是簡單地檢查返回包里包含的窗口長度，根據大小來唯一確認各個操作系統。　

掃描技術雖然很多，原理卻很簡單。這里簡單介紹一下掃描工具Nmap(Network mapper)。這號稱是目前最好的掃描工具，功能強大，用途多樣，支持多種平臺，靈活機動，方便易用，攜帶性強，留跡極少；不但能掃描出TCP/UDP端口，還能用于掃描/偵測大型網絡。　　

注意這里使用了一些真實的域名，這樣可以讓掃描行為看起來更具體。你可以用自己網絡里的名稱代替其中的addresses/names。你最好在取得允許后再進行掃描，否則后果可要你自己承擔哦。　　


nmap -v target.example.com　　


這個命令對target.example.com上所有的保留TCP端口做了一次掃描，-v表示用詳細模式。　　


nmap -sS -O target.example.com/24　　


這個命令將開始一次SYN的半開掃描，針對的目標是target.example.com所在的C類子網，它還試圖確定在目標上運行的是什么操作系統。這個命令需要管理員權限，因為用到了半開掃描以及系統偵測。

發動攻擊的第二步就是與對方建立連接，查找登錄信息。現在假設通過掃描發現對方的機器建立有IPC$。IPC$是共享“命名管道”的資源，它對于程序間的通訊很重要，在遠程管理計算機和查看計算機的共享資源時都會用到。利用IPC$，黑客可以與對方建立一個空連接（無需用戶名和密碼），而利用這個空連接，就可以獲得對方的用戶列表。　　

第三步，使用合適的工具軟件登錄。打開命令行窗口，鍵入命令：net use 222.222.222.222ipc$ “administrator” /user:123456

這里我們假設administrator的密碼是123456。如果你不知道管理員密碼，還需要找其他密碼破解工具幫忙。登錄進去之后，所有的東西就都在黑客的控制之下了。　

防范方法

因為ADSL用戶一般在線時間比較長，所以安全防護意識一定要加強。每天上網十幾個小時，甚至通宵開機的人不在少數吧，而且還有人把自己的機器做成Web或者ftp服務器供其他人訪問。日常的防范工作一般可分為下面的幾個步驟來作。　　

步驟一，一定要把Guest帳號禁用。有很多入侵都是通過這個帳號進一步獲得管理員密碼或者權限的。如果不想把自己的計算機給別人當玩具，那還是禁止的好。打開控制面板，雙擊“用戶和密碼”，選擇“高級”選項卡。單擊“高級”按鈕，彈出本地用戶和組窗口。在Guest帳號上面點擊右鍵，選擇屬性，在“常規”頁中選中“帳戶已停用”。　　


步驟二，停止共享。Windows 2000安裝好之后，系統會創建一些隱藏的共享。點擊開始→運行→cmd，然后在命令行方式下鍵入命令“net share”就可以查看它們。網上有很多關于IPC入侵的文章，都利用了默認共享連接。要禁止這些共享，打開管理工具→計算機管理→共享文件夾→共享，在相應的共享文件夾上按右鍵，點“停止共享”就行了。　　

步驟三，盡量關閉不必要的服務，如Terminal Services、IIS（如果你沒有用自己的機器作Web服務器的話）、RAS（遠程訪問服務）等。還有一個挺煩人的Messenger服務也要關掉，否則總有人用消息服務發來網絡廣告。打開管理工具→計算機管理→服務和應用程序→服務，看見沒用的就關掉。　　

步驟四，禁止建立空連接。在默認的情況下，任何用戶都可以通過空連接連上服務器，枚舉帳號并猜測密碼。我們必須禁止建立空連接，方法有以下兩種：　　

(1)修改注冊表：　　


HKEY_Local_MachineSystemCurrent-ControlSetControlLSA　　



下，將DWORD值RestrictAnonymous的鍵值改成1。

(2)修改Windows 2000的本地安全策略：　　

設置“本地安全策略→本地策略→選項”中的RestrictAnonymous（匿名連接的額外限制）為“不容許枚舉SAM賬號和共享”。　　

步驟五，如果開放了Web服務，還需要對IIS服務進行安全配置：　　

(1) 更改Web服務主目錄。右鍵單擊“默認Web站點→屬性→主目錄→本地路徑”，將“本地路徑”指向其他目錄。　　

(2) 刪除原默認安裝的Inetpub目錄。　　

(3) 刪除以下虛擬目錄： _vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。 　　

(4) 刪除不必要的IIS擴展名映射。方法是：右鍵單擊“默認Web站點→屬性→主目錄→配置”，打開應用程序窗口，去掉不必要的應用程序映射。如不用到其他映射，只保留.asp、.asa即可。　　

(5) 備份IIS配置。可使用IIS的備份功能，將設定好的IIS配置全部備份下來，這樣就可以隨時恢復IIS的安全配置。

不要以為這樣就萬事大吉，微軟的操作系統我們又不是不知道，bug何其多，所以一定要把微軟的補丁打全。　　

最后，建議大家選擇一款實用的防火墻。比如Network ICE Corporation公司出品的Black ICE。它的安裝和運行十分簡單，就算對網絡安全不太熟悉也沒有關系，使用缺省的配置就能檢測絕大多數類型的黑客攻擊。對于有經驗的用戶，還可以選擇“Tools”中的“Advanced Firewall Settings”，來針對特定的IP地址或者UDP的特定端口進行接受或拒絕配置，以達到特定的防御效果。

（一）RM、RMVB文件中加入木馬的方式

Helix Producer Plus是一款圖形化的專業流媒體文件制作工具，這款軟件把其他格式的文件轉換成RM或RMVB格式，也可以對已存在的RM文件進行重新編輯，在編輯的同時，我們可以把事先準備好的網頁木馬插入其中。這樣只要一打開這個編輯好的媒體文件，插入在其中的網頁木馬也會隨之打開，甚至還能控制網頁木馬打開的時間，讓網頁木馬更隱蔽。

（二）WMV、WMA文件中加入木馬的方式

對于WMA、WMV文件，是利用其默認的播放器Windows Media Player的“Microsoft Windows媒體播放器數字權限管理加載任意網頁漏洞”來插入木馬。當播放已經插入木馬的惡意文件時，播放器首先會彈出一個提示窗口，說明此文件經過DRM加密需要通過URL驗證證書，而這個URL就是事先設置好的網頁木馬地址，當用戶點擊“是”進行驗證時，種馬便成功了。和RM文件種馬一樣，在WMV文件中插入木馬我們還需要一樣工具――WMDRM打包加密器，這是一款可以對WMA、WMV進行DRM加密的文件，軟件本身是為了保護媒體文件的版權，但在攻擊者手中，便成了黑客的幫兇。

（三）防御方法

1.看影片之前，用Helix Producer Plus 9的rmevents.exe清空了影片的剪輯信息，這樣就不會出現指定時間打開指定窗口的事件了。（適合RM木馬）

2.升級所有的IE補丁，畢竟RM木馬實際上也是靠IE漏洞執行的。（適合RM木馬）

3.用網絡防火墻屏蔽RealPlayer對網絡的訪問權限。（適合RM木馬）

4.換其他播放器，如：夢幻鼎點播放器、暴風影音、Mplayer等。（適合兩款木馬）

5.及時升級殺毒軟件的病毒庫，升級兩個媒體播放軟件的補丁。（適合兩款木馬）

一、ARP協議工作原理

在TCP/IP協議中，每一個網絡結點是用IP地址標識的，IP地址是一個邏輯地址。而在以太網中數據包是靠48位MAC地址（物理地址）尋址的。因此，必須建立IP地址與MAC地址之間的對應（映射）關系，ARP協議就是為完成這個工作而設計的。

TCP/IP協議棧維護著一個ARP cache表，在構造網絡數據包時，首先從ARP表中找目標IP對應的MAC地址，如果找不到，就發一個ARP request廣播包，請求具有該IP地址的主機報告它的MAC地址，當收到目標IP所有者的ARP reply后，更新ARP cache。ARP cache有老化機制。

二、ARP協議的缺陷
ARP協議是建立在信任局域網內所有結點的基礎上的，它很高效，但卻不安全。它是無狀態的協議，不會檢查自己是否發過請求包，也不管（其實也不知道）是否是合法的應答，只要收到目標MAC是自己的ARP reply包或arp廣播包（包括ARP request和ARP reply），都會接受并緩存。這就為ARP欺騙提供了可能，惡意節點可以發布虛假的ARP報文從而影響網內結點的通信，甚至可以做“中間人”。

三、常見ARP欺騙形式
1、假冒ARP reply包（單播）
XXX,I have IP YYY and my MAC is ZZZ!
2、假冒ARP reply包（廣播）
Hello everyone! I have IP YYY and my MAC is ZZZ!
向所有人散布虛假的IP/MAC
3、假冒ARP request（廣播）
I have IP XXX and my MAC is YYY.
Who has IP ZZZ? tell me please!
表面為找IP ZZZ的MAC,實際是廣播虛假的IP、MAC映射（XXX,YYY）
4、假冒ARP request（單播）
已知IP ZZZ的MAC
Hello IP ZZZ! I have IP XXX and my MAC is YYY.
5、假冒中間人
欺騙主機(MAC為MMM)上啟用包轉發
向主機AAA發假冒ARP Reply:
AAA,I have IP BBB and my MAC is MMM,
向主機BBB發假冒ARP Reply:
BBB,I have IP AAA and my MAC is MMM
由于ARP Cache的老化機制，有時還需要做周期性連續欺騙。

四、ARP欺騙的防范

1、運營商可采用Super VLAN或PVLAN技術
所謂Super VLAN也叫VLAN聚合，這種技術在同一個子網中化出多個Sub VLAN，而將整個IP子網指定為一個VLAN聚合(Super VLAN)，所有的Sub VLAN都使用Super VLAN的默認網關IP地址，不同的Sub VLAN仍保留各自獨立的廣播域。子網中的所有主機只能與自己的默認網關通信。如果將交換機或IP DSLAM設備的每個端口化為一個Sub VLAN，則實現了所有端口的隔離，也就避免了ARP欺騙。Super VLAN的例子參見：
http://publish.it168.com/2004/0316/200403160005101.shtml

PVLAN即私有VLAN(Private VLAN) ，PVLAN采用兩層VLAN隔離技術，只有上層VLAN全局可見，下層VLAN相互隔離。如果將交換機或IP DSLAM設備的每個端口化為一個（下層）VLAN，則實現了所有端口的隔離。
PVLAN的例子參見：
http://network.51cto.com/art/200509/3644.htm
PVLAN和SuperVLAN技術都可以實現端口隔離，但實現方式、出發點不同。PVLAN是為了節省VLAN，而SuperVlan的初衷是節省IP地址。

2、單位局域網可采用IP與MAC綁定
在PC上IP+MAC綁，網絡設備上IP+MAC+端口綁。但不幸的是Win 98/me、未打arp補丁的win 2000/xp sp1（現在大多都已經打過了）等系統 使用arp -s所設置的靜態ARP項還是會被ARP欺騙所改變。
如果網絡設備上只做IP+MAC綁定，其實也是不安全的，假如同一二層下的某臺機器發偽造的arp reply（源ip和源mac都填欲攻擊的那臺機子的）給網關，還是會造成網關把流量送到欺騙者所連的那個（物理）端口從而造成網絡不通。

對于采用了大量傻瓜交換機的局域網，用戶自己可以采取支持arp過濾的防火墻等方法。推薦Look ‘n’Stop防火墻，支持arp協議規則自定義。

最后就是使用ARPGuard啦（才拉到正題上），但它只是保護主機和網關間的通訊。

五、ARPGuard的原理

ARPGuard可以保護主機和網關的通訊不受ARP欺騙的影響。
1、第一次運行（或檢測到網關IP改變）時獲取網關對應的MAC地址，將網卡信息、網關IP、網關MAC等信息保存到配置文件中，其他時候直接使用配置文件。
2、移去原默認路由（當前網卡的）
3、產生一個隨機IP，將它添加成默認網關。
4、默認網關IP 和網關的MAC綁定（使用DeleteIpNetEntry和CreateIpNetEntry修改ARP Cache表項）
5、周期性檢測ARP Cache中原默認網關(不是隨機IP那個) 網關的MAC在ARP Cache的值是否被改寫，若被改寫就報警。
6、針對有些攻擊程序只給網關設備（如路由器或三層交換機）發欺騙包的情況。由于此時本機ARP Cache中網關MAC并未被改變，因此只有主動防護，即默認每秒發10個ARP reply包來維持網關設備的ARP Cache（可選）
7、程序結束時恢復默認網關和路由。

值得說明的是程序中限定了發包間隔不低于100ms,主要是怕過量的包對網絡設備造成負擔。如果你遭受的攻擊太猛烈，你也可以去掉這個限制，設定一個更小的數值，保證你的通訊正常。

附ARPGuard 源碼：http://allyesno.gbaopan.com/files/580c66c8b1fa438285f20a5c2d208b6e.gbp

除了ADSL撥號上網外，小區寬帶上網也是很普遍的上網方式。如果你采用的是小區寬帶上網，是否覺得路由器僅僅就是個上網工具呢？其實不然，利用好你的路由器，還能夠防范黑客的攻擊呢。下面就讓我們來實戰一番。

　　目的：限制外部電腦連接本小區的192.168.0.1這臺主機的23(telnet)、80(www)、3128等Port。

　　前提：Router接內部網絡的接口是Ethernet0/1，每一個命令之后按Enter執行，以Cisco路由為準。

　　步驟1 在開始菜單中選擇運行，在彈出的對話框中輸入“cmd”并回車，出現窗口后，在提示符下連接路由器，指令格式為“telnet 路由器IP地址”。當屏幕上要求輸入telnet password時(多數路由器顯示的是“Login”字樣)，輸入密碼并確認無誤后，再輸入指令enable，屏幕上顯示要求輸入enable password時輸入密碼。

　　提示：這兩個密碼一般由路由器生產廠商或者經銷商提供，可以打電話查詢。

　　步驟2 輸入指令Router# configure termihal即可進入路由器的配置模式，只有在該模式下才能對路由器進行設置。

　　步驟3 進入配置模式后，輸入指令Router (config)#access -list 101 deny tcp any host 192.168.0.1 eq telnet，該指令的作用是設定訪問列表(access list)，該命令表示拒絕連接到IP地址為192.168.0.1的主機的屬于端口(Port) 23(telnet)的任何請求。

　　步驟4 輸入Router (config)#aecess -list 101 deny tcp any host 192.168.0.1 eq www 指令以拒絕來自任何地方對IP地址為192.168.0.1的主機的屬于端口80(www)的請求。

　　步驟5 最后需要拒絕的是來自任何地方對IP地址為192.168.0.1的主機屬于端口3128的訪問，這需要輸入指令Router(config)#access list 101 deny tcp any host 192.168.0.1 eq 3128來完成。

　　步驟6 到此，已經設置好我們預期的訪問列表了，但是，為了讓其他的所有IP能夠順利訪問，我們還需要輸入Router(config)#aceess -list 101 permit ip any any來允許其他訪問請求。

　　但是，為了讓路由器能夠執行我們所做的訪問列表，我們還需要把這個列表加入到接口檢查程序，具體操作如下。

　　輸入指令Router(config)#interface eO/1進入接口(interface) ethernet 0/1，然后鍵入指令Router(config-if)#ip access-group 101 out 將訪問列表實行于此接口上。這樣一來，任何要離開接口的TCP封包，均須經過此訪問列表規則的檢查，即來自任何地方對IP地址為192.168.0.1的主機，端口(port)屬于telnet(23)，www(80)，3128的訪問一律拒絕通過。最后，輸入指令write將設定寫入啟動配置，就大功告成了。

　　這樣一來，你的主機就安全多了，雖然只是禁止了幾個常用端口，但是能把不少搞惡作劇的人拒之門外。另外，如果看見有什么端口可能會遭到攻擊或者有漏洞了，你也可以通過上面的方法來將漏洞堵住。

每一項服務都對應相應的端口，比如眾如周知的WWW服務的端口是80，smtp是25，ftp是21，win2000安裝中默認的都是這些服務開啟的。對于個人用戶來說確實沒有必要，關掉端口也就是關閉無用的服務。


“控制面板”的“管理工具”中的“服務”中來配置。


1、關閉7.9等等端口：關閉Simple TCP/IP Service,支持以下TCP/IP服務：Character Generator,Daytime, Discard, Echo, 以及 Quote of the Day。


2、關閉80口：關掉WWW服務。在“服務”中顯示名稱為"World Wide Web Publishing Service"，通過 Internet 信息服務的管理單元提供 Web 連接和管理。


3、關掉25端口：關閉Simple Mail Transport Protocol (SMTP)服務，它提供的功能是跨網傳送電子郵件。


4、關掉21端口：關閉FTP Publishing Service,它提供的服務是通過 Internet 信息服務的管理單元提供 FTP 連接和管理。


5、關掉23端口：關閉Telnet服務，它允許遠程用戶登錄到系統并且使用命令行運行控制臺程序。


6、還有一個很重要的就是關閉server服務，此服務提供RPC支持、文件、打印以及命名管道共享。關掉它就關掉了win2k的默認共享，比如ipc$、c$、admin$等等，此服務關閉不影響您的其他操作。


7、還有一個就是139端口，139端口是NetBIOS　Session端口，用來文件和打印共享，注意的是運行samba的unix機器也開放了139端口，功能一樣。以前流光2000用來判斷對方主機類型不太準確，估計就是139端口開放既認為是NT機，現在好了。


關閉139口聽方法是在“網絡和撥號連接”中“本地連接”中選取“Internet協議(TCP/IP)”屬性，進入“高級TCP/IP設置”“WINS設置”里面有一項“禁用TCP/IP的NETBIOS”，打勾就關閉了139端口。


對于個人用戶來說，可以在各項服務屬性設置中設為“禁用”，以免下次重啟服務也重新啟動，端口也開放了。

大家在使用DOS的過程中，經常在命令行方式下遇到一些錯誤信息提示，由于往往是英文的，導致一些人看到后不知是怎么回事，更不知該如何解決了。下面，我就將常見的DOS命令行方式下的錯誤信息向大家介紹一下。

[英文] Bad command or file name

[譯文] 錯誤的命令或文件名

錯誤原因和解決：

這大概是大家最常見到的錯誤提示了，它的意思是輸入的命令無效。當輸入的命令既不是DOS內部命令，而且系統在查找路徑或指定路徑中找不到相應的可執行文件的話，就會出現此錯誤信息。您可以檢查輸入的命令是否正確，如是否打錯了字母等。

[英文] Access Denied

[譯文] 拒絕存取

錯誤原因和解決：

這也是一個常見的錯誤，出現的情況很多，如在用DEL命令刪除具有只讀屬性的文件，或者在多任務環境下有多個進程同時存取同一文件，以及試圖在設有只讀權限的網絡文件夾中寫入文件的時候。解決的方法也很簡單，只需去掉文件的只讀、隱含等屬性，或保證同一時候只有一個進程在讀寫文件，及去掉網絡文件夾的只讀權限即可。

[英文] Drive not ready

[譯文] 驅動器未準備好

錯誤原因和解決：

相信大家都遇到過這個錯誤信息吧！尤其是在存取可移動磁盤（包括軟盤和光盤）的時候更是常見到。解決方法是將磁盤插好后重試即可。

[英文] Write protect error

[譯文] 寫保護錯誤

錯誤原因和解決：

當試圖向寫了保護的磁盤（通常是軟盤）寫入信息的時候就會出現該錯誤。將磁盤的寫保護去掉即可。

[英文] General error

[譯文] 常規錯誤

錯誤原因和解決：

此錯誤通常出現在DOS無法識別指定的磁盤的格式的情況下，如軟盤未格式化。用FORMAT等命令格式化磁盤或轉換成DOS能識別的格式即可。

[英文] Abort,Retry,Ignore,Fail?

[譯文] 中止，重試，忽略，失敗？

錯誤原因和解決：

此錯誤信息的出現頻率非常高，比如在磁盤未準備好的時候。輸入A則取消操作，然后返回DOS提示符下，輸入R則表示再試一次，輸入I則表示忽略此錯誤并繼續，最好不要使用，輸入F則表示跳過此錯誤，經常選擇此項。

[英文] File not found

[譯文] 文件未找到

錯誤原因和解決：

在使用很多命令的時候若找不到指定的文件就會出現該提示。例如使用DIR命令的時候，若指定的文件不存在，該錯誤信息就會出現。解決方法是將文件名輸入正確。

[英文] Incorrect DOS version

[譯文] 錯誤的DOS版本

錯誤原因和解決：

當要執行的命令發現當前的DOS版本與這個命令所期待的DOS版本不相同的時候就會出現此錯誤信息。具體情況和解決方法請見本站的“DOS文章”欄目中的文章。

[英文] Invalid directory

[譯文] 非法目錄

錯誤原因和解決：

如果輸入了不存在或無效的目錄的時候就會出現該提示。可檢查是否輸入有誤。

[英文] Invalid Drive Specification

[譯文] 指定的驅動器非法

錯誤原因和解決：

當輸入的驅動器不存在的時候就會出現該提示。請檢查是否存在該驅動器。有些驅動器（如NTFS卷，光驅，網絡驅動器等）則需要加載相應的驅動程序才能被識別。

[英文] Syntax error

[譯文] 語法錯誤

錯誤原因和解決：

此命令在使用一些批處理命令（如IF，FOR等）時比較常見，可檢查是否輸入了無效的語法。以FOR命令為例，它的語法是FOR %F IN (文件名) DO 命令，不能將此語法格式弄錯了（如輸反了或漏了等），必須輸入正確的命令才能得到相就的結果。

[英文] Required parameter missing

[譯文] 缺少必要的參數

錯誤原因和解決：

如果在執行命令（如DEL）漏掉了它要正常完成功能所需的參數時，就會出現該提示。

[英文] Invalid parameter

[譯文] 非法參數

錯誤原因和解決：

出現在執行命令時輸入了無效的參數。可以檢查輸入的參數是否正確，有沒有拼寫錯誤等。如果您不知道有哪些參數的話，通常可以使用此命令的/?選項來看參數列表。


[英文] Not enough memory 或 Insufficient memory

[譯文] 內存不足

錯誤原因和解決：

如果在執行程序時程序發現所需的內存大于可以使用的內存（通常是指常規內存）時就會出現此信息。造成內存不足的情況如執行了過多過大的內存駐留程序，或系統內存未經過很好的配置等。大家可以看本欄目中的“DOS下內存的配置”。

[英文] Divide overflow 或 Divide by zero

[譯文] 除數為零

錯誤原因和解決：

如果在系統不穩定，與其它程序有沖突，或程序本身有問題的情況下運行程序的話就會出現此錯誤。可以重新啟動系統后再運行此程序試試。

[英文] Runtime error xxx

[譯文] 運行時間錯誤xxx

錯誤原因和解決：

和以上的“除數為零”錯誤類似。如果xxx的值為200的話，可以見“DOS文章”欄目。

[英文] Error in EXE file

[譯文] EXE文件有錯誤

錯誤原因和解決：

通常是這個可執行文件已經損壞，已不能夠再使用。使用一個好的就可以了。

以上是常見的DOS命令行方式下的錯誤信息，大家可以利用上文將故障排除。