軟體 - 關閉連接阜詳解--防黑必備

psac · 2006-05-23, 02:02 AM

我相信有很多人都不知道自己開了什麼連接阜.更加不知道怎麼關閉連接阜.
你可以用檢視連接阜的軟體檢視.
也可以通過在執行裡輸入"cmd"
在彈出的cmd指令行裡輸入
netstat -an 來檢視自己開放連接阜.ip位址的後面的就是連接阜號.
以下是我自己寫的一篇關於關閉連接阜的詳細步驟和多種方法
有很多人問我如何關閉連接阜,所以我(流雲)整理了一下關於關閉連接阜的資料,並給大家寫這篇文章介紹關於關閉連接阜的多種方法(包括系統的方法:修改註冊表和關閉服務;通過新增 IP 安全原則來遮閉連接阜的方法;增加防火牆的規則遮閉連接阜;通過本機連接的TCP/IP篩選來過濾連接阜由於入侵的基礎就在於連接阜,所以關閉掉可能會被入侵的連接阜,這樣你的電腦的安全悉數就提高了.這裡先介紹一下,關於入侵最多的幾個連接阜的系統關閉方法.

1.系統關閉方法:

(1)21連接阜:
連接阜說明: ftp 最一般的攻擊者用於尋找開啟「anonymous」的ftp伺服器的方法。
這些伺服器帶有可讀寫的目錄。Hackers或Crackers 利用這些伺服器
作為傳送warez (私有程序) 和pr0n(故意拼錯詞而避免被搜尋引擎分
類)的節點。

關閉方法:控制台--系統管理工具--服務
關閉FTP Publishing Service,它提供的服務是通過 Internet 訊息服務
的管理單元提供 FTP 連接和管理。

(2)23連接阜
連接阜說明:Telnet 入侵者在搜尋遠端登入UNIX的服務。大多數情況下入侵者掃
描這一連接阜是為了找到機器執行的作業系統。此外使用其它技術，入
侵者會找到密碼。

關閉方法:控制台--系統管理工具--服務
關閉Telnet服務，它允許遠端用戶登入到系統並且使用指令行執行控
制台程序。

(3)25連接阜
連接阜說明:smtp 攻擊者（spammer）尋找SMTP伺服器是為了傳送他們的spam。
入侵者的帳戶總被關閉，他們需要撥號連線到高帶寬的e-mail伺服器
上，將簡單的訊息傳送到不同的位址。SMTP伺服器（尤其是sendmail）
是進入系統的最常用方法之一，因為它們必須完整的暴露於Internet且
郵件的路由是複雜的（暴露+複雜=弱點）。

關閉方法:控制台--系統管理工具--服務
關閉Simple Mail Transport Protocol (SMTP)服務，它提供的功能是
跨網傳送電子郵件.

(4)80連接阜
連接阜說明:80連接阜是為HTTP（HyperText Transport Protocol，超文本傳輸協
議）開放的，這是上網衝浪使用最多的傳輸協定，主要用於在WWW
（World Wide Web，全球資訊網）服務上傳輸訊息的傳輸協定。
　
關閉方法:控制台--系統管理工具--服務
關掉WWW服務。在「服務」中顯示名稱為"World Wide Web
Publishing Service"，通過Internet 訊息服務的管理單元提供 Web
連接和管理。

(5)135連接阜
連接阜說明c-serv MS RPC end-point mapper Microsoft在這個連接阜執行DCE
RPC end-point mapper為它的DCOM服務。這與UNIX 111 連接阜的功
能很相似。使用DCOM和/或RPC的服務利用電腦上的end-point mapper
註冊它們的位置。遠端客戶連線到機器時，它們查詢end-point
mapper找到服務的位置。同樣Hacker掃瞄機器的這個連接阜是為了找到
諸如：這個電腦上執行ExchangeServer嗎?是什麼版本？

關閉方法:用一款16為編輯軟體（推薦UltraEdit）開啟你系統
winnt\system32 或者 x:\windows\system32下的rpcss.dll文件。
搜尋31 00 33 00 35
取代為30 00 30 00 30
搜尋3100330035，將其取代為3000300030，意思就是將135連接阜
改為000。至此修改的工作已經完成，下面將面臨一個儲存的問題。
因為該檔案正在執行，在Windows環境下是不能覆蓋的。如果你是
FAT32文件系統，那麼直接啟始進DOS環境，將修改好的文件覆蓋掉
原來的文件。
如果是NTFS格式，相對就麻煩一些。進安全模式。然後啟動pulist列
出行程，然後用pskill這個程序（黑客網站有下的）殺掉svchost.exe
程序。然後在COPY過去。
覆蓋後重新啟動，使用netstat -an指令，可以看到Windows 2000下
已經沒有135連接阜了。XP系統還有TCP的135，但是UDP裡面已經沒有
135連接阜了。
(如果看不懂以上的方法,我幫大家找了一個有圖片的關閉方法
http://www.pcpop.com/hard/03/8/26909.shtml)

135連接阜的詳細關閉方法:
http://www.shengfang.org/blog/p/block135port.php

(6)139連接阜
連接阜說明: File and Print Sharing 通過這個連接阜進入的連接試圖獲
NetBIOS/SMB服務。這個傳輸協定被用於Windows「文件和列印機共享」
和SAMBA。在Internet上共享自己的硬碟是可能是最一般的問題。
Ipc$就是要依賴這個連接阜的.
關於此連接阜的指令詳解和入侵技巧請參照我發的帖子
http://www.fskybase.com/bbs/viewthre...tid=18&fpage=1

關閉方法:139連接阜可以通過禁止NBT來遮閉
本機連接－TCP/IT內容－進階－WINS－選『禁用TCP/IT上的NETBIOS』
一項

(7)445連接阜:
連接阜說明: 445連接阜是般是訊息流通資料的連接阜，一般黑客都是通過這個連接阜對你
的電腦或木馬的控制，windows2000以後的版本都會自動開啟這個
連接阜。一般流行性病毒，如衝擊波，震盪婆，災飛都是從這個連接阜對
電腦開始攻擊！

關閉方法:445連接阜可以通過修改註冊表來遮閉
增加一個鍵值
Hive: HKEY_LOCAL_MACHINE
Key: System\Controlset\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
類型: 0
修改完後重新啟動機器
　
(8)3389連接阜
連接阜說明: 3389又稱Terminal Service，服務終端。在WindowsNT中最先開始使
用的一種終端，在Win2K的Professional版本中不可以安裝，在Server
或以上版本才可以安裝這個服務，其服務連接阜為3389。由於使用簡
單，方便等特點，一直受系統管理員的青昧。也正式因為他的簡便，
不產生交互式登入，可以在後台操作，因此也受到了黑客朋友的喜
愛，事實可以說明，現在大多數朋友在入侵之後，都想開啟windows
終端服務，甚至不惜重新啟動對方的電腦，也要把終端服務安裝上，由
此可見他的普遍性。另，在在XP系統中又叫做「遠端桌面」。

關閉方法:首先說明3389連接阜是windows的遠端管理終端所開的連接阜，它並不是
一個木馬程序，請先確定該服務是否是你自己開放的。如果不是必須
的，請關閉該服務。

win2000關閉的方法：
win2000server 開始-->程序-->系統管理工具-->服務裡找到Terminal Services服務項，
選內容選項將啟動檔案類型改成手動，並停止該服務。
win2000pro 開始-->設定-->控制台-->系統管理工具-->服務裡找到Terminal Services
服務項，選內容選項將啟動檔案類型改成手動，並停止該服務。
winxp關閉的方法：
在我的電腦上點右鍵選內容-->遠端，將裡面的遠端協助和遠端桌面兩個選擇項裡的勾去掉。

(9)4489連接阜
連接阜說明: 首先說明4899連接阜是一個遠端控制軟體（remote administrator)服務
端監聽的連接阜，他不能算是一個木馬程序，但是具有遠端控制功能，
通常殺毒軟體是無法查出它來的，請先確定該服務是否是你自己開放
並且是必需的。如果不是請關閉它。

關閉方法:請在開始-->執行中輸入cmd(98以下為command),然後cd
C:\winnt\system32(你的系統安裝目錄），輸入r_server.exe /stop
後按Enter鍵然後在輸入r_server /uninstall /silence 到C:\winnt\system32
(系統目錄）下移除r_server.exe admdll.dll radbrv.dll三個文件

(10)預設值共享:
很多人根本就還不知道有預設值共享這麼一回事,其實系統一裝好都是開啟預設值共享的.把c,d預設值共享為c$,d$.其實這個是相當危險的,這個就相當於開著門讓黑課進來.可以通過很多種方法入侵.其中以ipc$最為著名.所以一定關閉它.關閉的方法有很多種.

連接阜說明:這是在安裝伺服器的時候，把系統安裝分區自動進行共享，雖然對其訪
問還需要超級用戶的密碼，但這是潛在的安全隱患，從伺服器的安全考
慮，最好關閉這個「預設值共享」，以保證系統安全。

關閉方法：關於預設值共享的關閉方法有很多種方法.我這裡根據自己所知的,歸納
了4種最常用的方法.
1.DOS下移除共享
按下「開始/執行」，在執行視窗中輸入「cmd」(98則是command)，開啟cmd指令行.用net share 指令檢視自己是否開了預設值共享和ipc$,所有的共享訊息都可以在裡面顯示.選項你要的移除的共享.用net share xx /delete(此處的xx表示你要移除的共享文件)例如:net share c$ /delete 表示移除c碟的預設值共享(根據我的經驗net share c:\ /delete 其實也是一樣移除c碟的預設值共享的).
2.磁碟代號內容
確定你要移除的磁碟代號,按下滑鼠右鍵選項共用和安全的選項.在彈出的視窗中選項不共享此資料夾.然後點確定.這樣就關閉了共享(包括預設值共享).
3.控制台中移除
控制台—系統管理工具—電腦管理—共用資料夾—共享
關閉裡面的預設值共享(包括admin$的移除)
4. 修改註冊表
按下「開始/執行」，在執行視窗中輸入「Regedit」，開啟註冊表編輯器，展開「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Lanmanworkstation\parameters」，在右側視窗中新增一個名為「AutoShareWks」的雙字元值，將其值設定為0，(win2000 專業版 win xp);[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
lanmanserver\parameters]"AutoShareServer"=dword:00000000 (win2000 server、win2003 server)這樣就可以徹底關閉「預設值共享」。
　

以上幾個連接阜都是最常入侵的連接阜,也是最適合一般用戶的電腦.至於其他特定軟體所開放的連接阜可以根據通過新增 IP 安全原則來遮閉連接阜的方法;增加防火牆的規則遮閉連接阜;通過本機連接的TCP/IP篩選來過濾連接阜的方法來關閉連接阜.以下介紹一下通過新增 IP 安全原則來遮閉連接阜的方法的方法來關閉連接阜,由於增加防火牆的規則遮閉連接阜;通過本機連接的TCP/IP篩選來過濾連接阜的方法和過新增 IP 安全原則來遮閉連接阜的方法差不多,所以就不重複講了.這裡就先介紹一下新增 IP 安全原則來遮閉連接阜的方法.

2.新增 IP 安全原則來遮閉連接阜:
關閉的連接阜有，135，137，138，139，445，1025，2475，3127，6129，3389，593，還有tcp.
具體操作如下:
預設值情況下，Windows有很多連接阜是開放的，在你上網的時候，網路病毒和黑客可以通過這些連接阜連上你的電腦。為了讓你的系統變為銅牆鐵壁，應該封閉這些連接阜，主要有：TCP 135、139、445、593、1025 連接阜和 UDP 135、137、138、445 連接阜，一些流行病毒的後門連接阜（如 TCP 2745、3127、6129 連接阜），以及遠端服務訪問連接阜3389。下面介紹如何在WinXP/2000/2003下關閉這些網路連接阜：

　　第一步，點擊「開始」表單/設定/控制台/系統管理工具，雙按開啟「本機安全原則」，選「IP 安全原則，在本機電腦」，在右邊視窗的空白位置右擊滑鼠，彈出快捷表單，選項「新增 IP 安全原則」（如右圖），於是彈出一個嚮導。在嚮導中點擊「下一步」按鈕，為新的安全原則命名；再按「下一步」，則顯示「安全通信請求」畫面，在畫面上把「啟動預設值相應規則」左邊的鉤去掉，點擊「完成」按鈕就新增了一個新的IP 安全原則。

　　第二步，右擊該IP安全原則，在「內容」對話視窗中，把「使用增加嚮導」左邊的鉤去掉，然後按下「增加」按鈕增加新的規則，
隨後彈出「新規則內容」對話視窗，在畫面上點擊「增加」按鈕，彈出IP篩選器列表視窗；在列表中，首先把「使用增加嚮導」
左邊的鉤去掉，然後再點擊右邊的「增加」按鈕增加新的篩選器。

　　第三步，進入「篩選器內容」對話視窗，首先看到的是尋址，源位址選「任何 IP 位址」，目標位址選「我的 IP 位址」；
點擊「傳輸協定」選擇項，在「選項傳輸協定檔案類型」的下拉列表中選項「TCP」，然後在「到此連接阜」下的文本項中輸入「135」，點擊
「確定」按鈕（如左圖），這樣就增加了一個遮閉 TCP 135（RPC）連接阜的篩選器，它可以防止外界通過135連接阜連上你的電腦。
　　點擊「確定」後回到篩選器列表的對話視窗，可以看到已經增加了一條原則，重複以上步驟繼續增加 TCP 137、139、445、593
連接阜和 UDP 135、139、445 連接阜，為它們建立相應的篩選器。
　　重複以上步驟增加TCP 1025、2745、3127、6129、3389 連接阜的遮閉原則，建立好上述連接阜的篩選器，最後點擊「確定」按鈕。

　　第四步，在「新規則內容」對話視窗中，選項「新 IP 篩選器列表」，然後點擊其左邊的圓圈上加一個點，表示已經啟動，
最後點擊「篩選器操作」選擇項。在「篩選器操作」選擇項中，把「使用增加嚮導」左邊的鉤去掉，點擊「增加」按鈕，增加
「阻止」操作（右圖）：在「新篩選器操作內容」的「安全措施」選擇項中，選項「阻止」，然後點擊「確定」按鈕。

　　第五步、進入「新規則內容」對話視窗，點擊「新篩選器操作」，其左邊的圓圈會加了一個點，表示已經啟動，點擊「關閉」按鈕，關閉對話視窗；最後回到「新IP安全原則內容」對話視窗，在「新的IP篩選器列表」左邊打鉤，按「確定」按鈕關閉對話視窗。
　
在「本機安全原則」視窗，用滑鼠右擊新增加的 IP 安全原則，然後選項「指派」。
　　於是重新啟動後，電腦中上述網路連接阜就被關閉了，病毒和黑客再
也不能連上這些連接阜，從而保護了你的電腦。

本人建議:如果你要關閉的連接阜是比較一般的入侵連接阜的話,我建議你採用系統的關閉方法.這樣更加直接和有效.而一般的連接阜的話,你不想開可以採用ip安全原則或者防火牆或者TCP\IP篩選來關閉.將來你想開這個連接阜或者軟體需要用的時候,只要去掉規則就可以了.這裡還有提醒大家一點,連接阜從1024開始到65535都是應用程式所開啟的連接阜(當然也包括木馬和病毒).除非你很確定這個連接阜是木馬或者病毒或者是沒用途的連接阜,不然不建議關閉.不然會出現很多問題.
以下是電腦連接阜基礎知識
連接阜可分為3大類：
1）公認連接阜（Well Known Ports）：從0到1023，它們緊密綁定於一些服務。通常這些連接阜的通訊明確表明了某種服務的傳輸協定。例如：80連接阜實際上總是HTTP通訊。

2）註冊連接阜（Registered Ports）：從1024到49151。它們鬆散地綁定於一些服務。也就是說有許多服務綁定於這些連接阜，這些連接阜同樣用於許多其它目的。例如：許多系統處理動態連接阜從1024左右開始。

3）動態和/或私有連接阜（Dynamic and/or Private Ports）：從49152到65535。理論上，不應為服務分配這些連接阜。實際上，機器通常從1024起分配動態連接阜。但也有例外：SUN的RPC連接阜從32768開始。

psac · 2006-05-23, 02:04 AM

一，ping 　　

　　它是用來檢查網路是否通暢或者網路連接速度的指令。作為一個生活在網路上的管理員或者黑客來說，ping指令是第一個必須掌握的DOS指令，它所利用的原理是這樣的：網路上的機器都有唯一確定的IP位址，我們給目標IP位址傳送一個資料包，對方就要返回一個同樣大小的資料包，根據返回的資料包我們可以確定目標主機的存在，可以初步判斷目標主機的作業系統等。下面就來看看它的一些常用的操作。先看看說明吧，在DOS視窗中按鍵輸入：ping /? Enter鍵，。所顯示的說明畫面。在此，我們只掌握一些基本的很有用的參數就可以了（下同）。　　

　　-t 表示將不間斷向目標IP傳送資料包，直到我們強迫其停止。試想，如果你使用100M的寬瀕接入，而目標IP是56K的魔電上網，那麼要不了多久，目標IP就因為承受不了這麼多的資料而離線，哈哈，一次攻擊就這麼簡單的實現了。　　

　　-l 定義傳送資料包的大小，預設值為32字元，我們利用它可以最大定義到65500字元。結合上面介紹的-t參數一起使用，會有更好的效果哦。　　

　　-n 定義向目標IP傳送資料包的次數，預設值為3次。如果網路速度比較慢，3次對我們來說也浪費了不少時間，因為現在我們的目的僅僅是判斷目標IP是否存在，那麼就定義為一次吧。　　

　　說明一下，如果-t 參數和 -n參數一起使用，ping指令就以放在後面的參數為標準，比如「ping IP -t -n 3」，雖然使用了-t參數，但並不是一直ping下去，而是只ping 3次。另外，ping指令不一定非得ping IP，也可以直接ping主機域名，這樣就可以得到主機的IP。　　

　　下面我們舉個例子來說明一下具體用法。　　

　　這裡time=2表示從發出資料包到接受到返回資料包所用的時間是2秒，從這裡可以判斷網路連接速度的大小。從TTL的返回值可以初步判斷被ping主機的作業系統，之所以說「初步判斷」是因為這個值是可以修改的。這裡TTL=32表示作業系統可能是win98。

　　（小知識：如果TTL=128，則表示目標主機可能是Win2000；如果TTL=250，則目標主機可能是Unix）

　　至於利用ping指令可以快速搜尋區域網路故障，可以快速搜尋最快的QQ伺服器，可以對別人進行ping攻擊……這些就靠大家自己發揮了。　　

　　二，nbtstat 　　

　　該指令使用TCP/IP上的NetBIOS顯示傳輸協定統計和當前TCP/IP連接，使用這個指令你可以得到遠端主機的NETBIOS訊息，比如用戶名、所屬的工作組、網路卡的MAC位址等。在此我們就有必要瞭解幾個基本的參數。　　

　　-a 使用這個參數，只要你知道了遠端主機的機器名稱，就可以得到它的NETBIOS訊息（下同）。　　

　　-A 這個參數也可以得到遠端主機的NETBIOS訊息，但需要你知道它的IP。

　　-n 列出本機機器的NETBIOS訊息。　　

　　當得到了對方的IP或者機器名的時候，就可以使用nbtstat指令來進一步得到對方的訊息了，這又增加了我們入侵的保險係數。　　

　　三，netstat

　　這是一個用來檢視網路狀態的指令，操作簡便功能強大。　　

　　-a 檢視本機機器的所有開放連接阜，可以有效發現和預防木馬，可以知道機器所開的服務等訊息，如圖4。　　

　　這裡可以看出本機機器開放有FTP服務、Telnet服務、郵件服務、WEB服務等。用法：netstat -a IP。

　　-r 列出現用的路由訊息，告訴我們本機機器的網路閘道、子網路遮罩等訊息。用法：netstat -r IP。

四，tracert

　　跟蹤路由訊息，使用此指令可以查出資料從本機機器傳輸到目標主機所經過的所有途徑，這對我們瞭解網路佈局和結構很有說明。如圖5。　　

　　這裡說明資料從本機機器傳輸到192.168.0.1的電腦上，中間沒有經過任何中轉，說明這兩台機器是在同一段區域網路內。用法：tracert IP。　　

　　五，net 　　

　　這個指令是網路指令中最重要的一個，必須透徹掌握它的每一個子指令的用法，因為它的功能實在是太強大了，這簡直就是微軟為我們提供的最好的入侵工具。首先讓我們來看一看它都有那些子指令，按鍵輸入net /?Enter鍵如圖6。

　　在這裡，我們重點掌握幾個入侵常用的子指令。　　

　　net view 　　

　　使用此指令檢視遠端主機的所以共享資源。指令格式為net view \\IP。　　

　　net use

　　把遠端主機的某個共享資源影射為本機磁碟代號，圖形介面方便使用，哈哈。指令格式為net use x: \\IP\sharename。上面一個表示把192.168.0.5IP的共享名為magic的目錄影射為本機的Z盤。下面表示和192.168.0.7建立IPC$連接（net use \\IP\IPC$ "password" /user:"name"），　　

　　建立了IPC$連接後，哈哈，就可以上傳文件了：copy nc.exe \\192.168.0.7\admin$，表示把本機目錄下的nc.exe傳到遠端主機，結合後面要介紹到的其他DOS指令就可以實現入侵了。　　

　　net start

　　使用它來啟動遠端主機上的服務。當你和遠端主機建立連接後，如果發現它的什麼服務沒有啟動，而你又想利用此服務怎麼辦？就使用這個指令來啟動吧。用法：net start servername，如圖9，成功啟動了telnet服務。　　

　　net stop

　　入侵後發現遠端主機的某個服務礙手礙腳，怎麼辦？利用這個指令停掉就ok了，用法和net start同。　　

　　net user

　　檢視和帳戶有關的情況，包括新增帳戶、移除帳戶、檢視特定帳戶、啟動帳戶、帳戶禁用等。這對我們入侵是很有利的，最重要的，它為我們複製帳戶提供了前提。按鍵輸入不帶參數的net user，可以檢視所有用戶，包括已經禁用的。下面分別講解。

　　1，net user abcd 1234 /add，新增一個用戶名為abcd，密碼為1234的帳戶，預設值為user組成員。

　　2，net user abcd /del，將用戶名為abcd的用戶移除。

　　3，net user abcd /active:no，將用戶名為abcd的用戶禁用。

　　4，net user abcd /active:yes，啟動用戶名為abcd的用戶。

　　5，net user abcd，檢視用戶名為abcd的用戶的情況　　

　　net localgroup

　　檢視所有和用戶組有關的訊息和進行相關操作。按鍵輸入不帶參數的net localgroup即列出當前所有的用戶組。在入侵程序中，我們一般利用它來把某個帳戶提升為administrator組帳戶，這樣我們利用這個帳戶就可以控制整個遠端主機了。用法：net localgroup groupname username /add。　　

　　現在我們把剛才新增的用戶abcd加到administrator組裡去了，這時候abcd用戶已經是超級管理員了，哈哈，你可以再使用net user abcd來檢視他的狀態，和圖10進行比較就可以看出來。但這樣太明顯了，網管一看用戶情況就能漏出破綻，所以這種方法只能對付菜鳥網管，但我們還得知道。現在的手段都是利用其他工具和手段複製一個讓網管看不出來的超級管理員，這是後話。有興趣的朋友可以參照《黑客防線》第30期上的《由淺入深解析隆帳戶》一文。　　

　　net time

　　這個指令可以檢視遠端主機現用的時間。如果你的目標只是進入到遠端主機裡面，那麼也許就用不到這個指令了。但簡單的入侵成功了，難道只是看看嗎？我們需要進一步滲透。這就連遠端主機現用的時間都需要知道，因為利用時間和其他手段（後面會講到）可以實現某個指令和程序的定時啟動，為我們進一步入侵打好基礎。用法：net time \\IP。　　

　　六，at 　　

　　這個指令的作用是安排在特定日期或時間執行某個特定的指令和程序（知道net time的重要了吧？）。當我們知道了遠端主機的當前時間，就可以利用此指令讓其在以後的某個時間（比如2分鍾後）執行某個程序和指令。用法：at time command \\computer。　　

　　七，ftp 　　

　　大家對這個指令應該比較熟悉了吧？網路上開放的ftp的主機很多，其中很大一部分是匿名的，也就是說任何人都可以登入上去。現在如果你掃到了一台開放ftp服務的主機（一般都是開了21連接阜的機器），如果你還不會使用ftp的指令怎麼辦？下面就指出基本的ftp指令使用方法。

　　首先在指令行按鍵輸入ftpEnter鍵，出現ftp的提示號，這時候可以按鍵輸入「help」來檢視說明（任何DOS指令都可以使用此方法檢視其說明 )。　　

　　大家可能看到了，這麼多指令該怎麼用？其實也用不到那麼多，掌握幾個基本的就夠了。　　

　　首先是登入程序，這就要用到open了，直接在ftp的提示號下輸入「open 主機IP ftp連接阜」Enter鍵即可，一般連接阜預設值都是21，可以不寫。接著就是輸入合法的用戶名和密碼進行登入了，這裡以匿名ftp為例介紹。　　

　　用戶名和密碼都是ftp，密碼是不顯示的。當提示**** logged in時，就說明登入成功。這裡因為是匿名登入，所以用戶顯示為Anonymous。　　

　　接下來就要介紹具體指令的使用方法了。　　

　　dir 跟DOS指令一樣，用於檢視伺服器的文件，直接敲上dirEnter鍵，就可以看到此ftp伺服器上的文件。

　　cd 進入某個資料夾。

　　get 下載文件到本機機器。

　　put 上傳文件到遠端伺服器。這就要看遠端ftp伺服器是否給了你可寫的權限了，如果可以，哈哈，該怎麼利用就不多說了，大家就自由發揮去吧。

　　delete 移除遠端ftp伺服器上的文件。這也必須保證你有可寫的權限。

　　bye 結束當前連接。

　　quit 同上。

psac · 2006-06-04, 02:26 PM

手把手教你禁止連接阜

[分享]手把手教你禁止連接阜

即使你對策略一點不懂也可以按照下面一步一步地完成禁用連接阜。
以139為例　　
1.開始->控制台（或者管理）->管理工具->本機安全策略
2.右擊"Ip安全策略,在本機電腦", 選擇 "管理 IP 篩選器表和篩選器操作",
<就可以啟動管理 IP 篩選器表和篩選器操作交談視窗>
3.在"管理 IP 篩選器表"中,按"新增"按擊<打開了 IP篩選器列表>
4.
１在名稱(N) 下面添上"禁止139連接阜" <任何名字都行,只要你知道就行>描述(D) 也寫上"禁止139連接阜"
２新增按扭 <進入 ip篩選嚮導 >
３點擊下一步 <進入篩選嚮導>
４在源地址(s): 出選擇下拉裡的第二項"任何 ip 地址" 下一步
５在目標地址(D): 選上"我的 ip 地址" 下一步
６選擇協議類型(S): 把"任意"選改為"tcp" 下一步
７設置ip協議斷口: <可以看到很相似的兩組選項>選擇到連接阜(O)<注意不是從連接阜?> 添上你要禁止的連接阜"139" 下一步
８完成
5 <止此回到了篩選列表視窗,可以看到篩選器(S)視窗有了訊息>
看完了嗎? 按確定按扭呵呵..<將回到了 "管理 IP 篩選器表和篩選器操作"視窗>
6 點擊 "管理篩選器操作" 同4 中的１２３<將進入:"篩選器操作"視窗
7 呵呵當然是選擇第二個"阻止"了 "下一步"--> "完成"
8 <回到了"管理 IP 篩選器表和篩選器操作"視窗>點擊 "關閉"按扭　　
9 <回到了本機安全設置視窗>右擊"Ip安全策略,在本機電腦", 選擇 "創建ip安全策略"同4 中的１２３進入"為此安全規則設置初始身份驗證方法管他<使用預定項 "Active Directory 預定值(Kerberos V5 協議)>
下一步
10 出現一個警告視窗."只有當這個規則在一台為域成員的電腦上 Kerberos 才有效。這台電腦不是一個域成員。您想繼續並保留這些規則的內容嗎?"當然"是"拉
11 點擊"完成"按扭<進入編輯內容視窗>
12 "一般" 和 "規則" 點擊 "規則" 點擊"新增"按扭<進入安全規則嚮導">
13 點擊下一步一直下一步出現一個同樣的警告 yes
14 從ip篩選器列表(I)筐中點上第一個:"禁止139連接阜"前面的○成為⊙
15 同14選擇下一步同7出現"完成"按扭點擊
16 確定
17 關閉內容筐<回到了本機安全策略>
18 右鍵右面視窗的 "禁止139連接阜連接" --=>指派

附：
　　預定情況下，Windows有很多連接阜是開放的，在你上網的時候，網路病毒和黑客可以通過這些連接阜連上你的電腦。為了讓你的系統變為銅牆鐵壁，應該封閉這些連接阜，主要有：TCP 135、139、445、593、1025 連接阜和 UDP 135、137、138、445 連接阜，一些流行病毒的後門連接阜（如 TCP 2745、3127、6129 連接阜），以及遠端服務訪問連接阜3389。下面介紹如何在WinXP/2000/2003下關閉這些網路連接阜：

　　第一步，點擊「開始」表菜單/設置/控制台/管理工具，雙擊打開「本機安全策略」，選中「IP 安全策略，在本機電腦」，在右邊視窗內的空白位置右擊滑鼠，彈出快捷表菜單，選擇「創建 IP 安全策略」（如右圖），於是彈出一個嚮導。在嚮導中點擊「下一步」按鈕，為新的安全策略命名；再按「下一步」，則顯示「安全通信請求」畫面，在畫面上把「啟動預定相應規則」左邊的鉤去掉，點擊「完成」按鈕就創建了一個新的IP 安全策略。

　　第二步，右擊該IP安全策略，在「內容」交談視窗中，把「使用新增嚮導」左邊的鉤去掉，然後單擊「新增」按鈕新增新的規則，隨後彈出「新規則內容」交談視窗，在畫面上點擊「新增」按鈕，彈出IP篩選器列表視窗；在列表中，首先把「使用新增嚮導」左邊的鉤去掉，然後再點擊右邊的「新增」按鈕新增新的篩選器。

　　第三步，進入「篩選器內容」交談視窗，首先看到的是尋址，源地址選「任何 IP 地址」，目標地址選「我的 IP 地址」；點擊「協議」選擇項，在「選擇協議類型」的下拉列表中選擇「TCP」，然後在「到此連接阜」下的文本框中輸入「135」，點擊「確定」按鈕（如左圖），這樣就新增了一個屏蔽 TCP 135（RPC）連接阜的篩選器，它可以防止外界通過135連接阜連上你的電腦。

　　點擊「確定」後回到篩選器列表的交談視窗，可以看到已經新增了一條策略，重複以上步驟繼續新增 TCP 137、139、445、593 連接阜和 UDP 135、139、445 連接阜，為它們建立相應的篩選器。

　　重複以上步驟新增TCP 1025、2745、3127、6129、3389 連接阜的屏蔽策略，建立好上述連接阜的篩選器，最後點擊「確定」按鈕。

　　第四步，在「新規則內容」交談視窗中，選擇「新 IP 篩選器列表」，然後點擊其左邊的圓圈上加一個點，表示已經啟動，最後點擊「篩選器操作」選擇項。在「篩選器操作」選擇項中，把「使用新增嚮導」左邊的鉤去掉，點擊「新增」按鈕，新增「阻止」操作（右圖）：在「新篩選器操作內容」的「安全措施」選擇項中，選擇「阻止」，然後點擊「確定」按鈕。

　　第五步、進入「新規則內容」交談視窗，點擊「新篩選器操作」，其左邊的圓圈會加了一個點，表示已經啟動，點擊「關閉」按鈕，關閉交談視窗；最後回到「新IP安全策略內容」交談視窗，在「新的IP篩選器列表」左邊打鉤，按「確定」按鈕關閉交談視窗。在「本機安全策略」視窗，用滑鼠右擊新新增的 IP 安全策略，然後選擇「指派」。

　　於是重新啟動後，電腦中上述網路連接阜就被關閉了，病毒和黑客再也不能連上這些連接阜，從而保護了你的電腦。

2006-05-23, 02:02 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	軟體 - 關閉連接阜詳解--防黑必備我相信有很多人都不知道自己開了什麼連接阜.更加不知道怎麼關閉連接阜. 你可以用檢視連接阜的軟體檢視. 也可以通過在執行裡輸入"cmd" 在彈出的cmd指令行裡輸入 netstat -an 來檢視自己開放連接阜.ip位址的後面的就是連接阜號. 以下是我自己寫的一篇關於關閉連接阜的詳細步驟和多種方法有很多人問我如何關閉連接阜,所以我(流雲)整理了一下關於關閉連接阜的資料,並給大家寫這篇文章介紹關於關閉連接阜的多種方法(包括系統的方法:修改註冊表和關閉服務;通過新增 IP 安全原則來遮閉連接阜的方法;增加防火牆的規則遮閉連接阜;通過本機連接的TCP/IP篩選來過濾連接阜由於入侵的基礎就在於連接阜,所以關閉掉可能會被入侵的連接阜,這樣你的電腦的安全悉數就提高了.這裡先介紹一下,關於入侵最多的幾個連接阜的系統關閉方法. 1.系統關閉方法: (1)21連接阜: 連接阜說明: ftp 最一般的攻擊者用於尋找開啟「anonymous」的ftp伺服器的方法。這些伺服器帶有可讀寫的目錄。Hackers或Crackers 利用這些伺服器作為傳送warez (私有程序) 和pr0n(故意拼錯詞而避免被搜尋引擎分類)的節點。關閉方法:控制台--系統管理工具--服務關閉FTP Publishing Service,它提供的服務是通過 Internet 訊息服務的管理單元提供 FTP 連接和管理。 (2)23連接阜連接阜說明:Telnet 入侵者在搜尋遠端登入UNIX的服務。大多數情況下入侵者掃描這一連接阜是為了找到機器執行的作業系統。此外使用其它技術，入侵者會找到密碼。關閉方法:控制台--系統管理工具--服務關閉Telnet服務，它允許遠端用戶登入到系統並且使用指令行執行控制台程序。 (3)25連接阜連接阜說明:smtp 攻擊者（spammer）尋找SMTP伺服器是為了傳送他們的spam。入侵者的帳戶總被關閉，他們需要撥號連線到高帶寬的e-mail伺服器上，將簡單的訊息傳送到不同的位址。SMTP伺服器（尤其是sendmail）是進入系統的最常用方法之一，因為它們必須完整的暴露於Internet且郵件的路由是複雜的（暴露+複雜=弱點）。關閉方法:控制台--系統管理工具--服務關閉Simple Mail Transport Protocol (SMTP)服務，它提供的功能是跨網傳送電子郵件. (4)80連接阜連接阜說明:80連接阜是為HTTP（HyperText Transport Protocol，超文本傳輸協議）開放的，這是上網衝浪使用最多的傳輸協定，主要用於在WWW （World Wide Web，全球資訊網）服務上傳輸訊息的傳輸協定。　關閉方法:控制台--系統管理工具--服務關掉WWW服務。在「服務」中顯示名稱為"World Wide Web Publishing Service"，通過Internet 訊息服務的管理單元提供 Web 連接和管理。 (5)135連接阜連接阜說明c-serv MS RPC end-point mapper Microsoft在這個連接阜執行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111 連接阜的功能很相似。使用DCOM和/或RPC的服務利用電腦上的end-point mapper 註冊它們的位置。遠端客戶連線到機器時，它們查詢end-point mapper找到服務的位置。同樣Hacker掃瞄機器的這個連接阜是為了找到諸如：這個電腦上執行ExchangeServer嗎?是什麼版本？關閉方法:用一款16為編輯軟體（推薦UltraEdit）開啟你系統 winnt\system32 或者 x:\windows\system32下的rpcss.dll文件。搜尋31 00 33 00 35 取代為30 00 30 00 30 搜尋3100330035，將其取代為3000300030，意思就是將135連接阜改為000。至此修改的工作已經完成，下面將面臨一個儲存的問題。因為該檔案正在執行，在Windows環境下是不能覆蓋的。如果你是 FAT32文件系統，那麼直接啟始進DOS環境，將修改好的文件覆蓋掉原來的文件。如果是NTFS格式，相對就麻煩一些。進安全模式。然後啟動pulist列出行程，然後用pskill這個程序（黑客網站有下的）殺掉svchost.exe 程序。然後在COPY過去。覆蓋後重新啟動，使用netstat -an指令，可以看到Windows 2000下已經沒有135連接阜了。XP系統還有TCP的135，但是UDP裡面已經沒有 135連接阜了。 (如果看不懂以上的方法,我幫大家找了一個有圖片的關閉方法 http://www.pcpop.com/hard/03/8/26909.shtml) 135連接阜的詳細關閉方法: http://www.shengfang.org/blog/p/block135port.php (6)139連接阜連接阜說明: File and Print Sharing 通過這個連接阜進入的連接試圖獲 NetBIOS/SMB服務。這個傳輸協定被用於Windows「文件和列印機共享」和SAMBA。在Internet上共享自己的硬碟是可能是最一般的問題。 Ipc$就是要依賴這個連接阜的. 關於此連接阜的指令詳解和入侵技巧請參照我發的帖子 http://www.fskybase.com/bbs/viewthre...tid=18&fpage=1 關閉方法:139連接阜可以通過禁止NBT來遮閉本機連接－TCP/IT內容－進階－WINS－選『禁用TCP/IT上的NETBIOS』一項 (7)445連接阜: 連接阜說明: 445連接阜是般是訊息流通資料的連接阜，一般黑客都是通過這個連接阜對你的電腦或木馬的控制，windows2000以後的版本都會自動開啟這個連接阜。一般流行性病毒，如衝擊波，震盪婆，災飛都是從這個連接阜對電腦開始攻擊！關閉方法:445連接阜可以通過修改註冊表來遮閉增加一個鍵值 Hive: HKEY_LOCAL_MACHINE Key: System\Controlset\Services\NetBT\Parameters Name: SMBDeviceEnabled Type: REG_DWORD 類型: 0 修改完後重新啟動機器　 (8)3389連接阜連接阜說明: 3389又稱Terminal Service，服務終端。在WindowsNT中最先開始使用的一種終端，在Win2K的Professional版本中不可以安裝，在Server 或以上版本才可以安裝這個服務，其服務連接阜為3389。由於使用簡單，方便等特點，一直受系統管理員的青昧。也正式因為他的簡便，不產生交互式登入，可以在後台操作，因此也受到了黑客朋友的喜愛，事實可以說明，現在大多數朋友在入侵之後，都想開啟windows 終端服務，甚至不惜重新啟動對方的電腦，也要把終端服務安裝上，由此可見他的普遍性。另，在在XP系統中又叫做「遠端桌面」。關閉方法:首先說明3389連接阜是windows的遠端管理終端所開的連接阜，它並不是一個木馬程序，請先確定該服務是否是你自己開放的。如果不是必須的，請關閉該服務。 win2000關閉的方法： win2000server 開始-->程序-->系統管理工具-->服務裡找到Terminal Services服務項，選內容選項將啟動檔案類型改成手動，並停止該服務。 win2000pro 開始-->設定-->控制台-->系統管理工具-->服務裡找到Terminal Services 服務項，選內容選項將啟動檔案類型改成手動，並停止該服務。 winxp關閉的方法：在我的電腦上點右鍵選內容-->遠端，將裡面的遠端協助和遠端桌面兩個選擇項裡的勾去掉。 (9)4489連接阜連接阜說明: 首先說明4899連接阜是一個遠端控制軟體（remote administrator)服務端監聽的連接阜，他不能算是一個木馬程序，但是具有遠端控制功能，通常殺毒軟體是無法查出它來的，請先確定該服務是否是你自己開放並且是必需的。如果不是請關閉它。關閉方法:請在開始-->執行中輸入cmd(98以下為command),然後cd C:\winnt\system32(你的系統安裝目錄），輸入r_server.exe /stop 後按Enter鍵然後在輸入r_server /uninstall /silence 到C:\winnt\system32 (系統目錄）下移除r_server.exe admdll.dll radbrv.dll三個文件 (10)預設值共享: 很多人根本就還不知道有預設值共享這麼一回事,其實系統一裝好都是開啟預設值共享的.把c,d預設值共享為c$,d$.其實這個是相當危險的,這個就相當於開著門讓黑課進來.可以通過很多種方法入侵.其中以ipc$最為著名.所以一定關閉它.關閉的方法有很多種. 連接阜說明:這是在安裝伺服器的時候，把系統安裝分區自動進行共享，雖然對其訪問還需要超級用戶的密碼，但這是潛在的安全隱患，從伺服器的安全考慮，最好關閉這個「預設值共享」，以保證系統安全。關閉方法：關於預設值共享的關閉方法有很多種方法.我這裡根據自己所知的,歸納了4種最常用的方法. 1.DOS下移除共享按下「開始/執行」，在執行視窗中輸入「cmd」(98則是command)，開啟cmd指令行.用net share 指令檢視自己是否開了預設值共享和ipc$,所有的共享訊息都可以在裡面顯示.選項你要的移除的共享.用net share xx /delete(此處的xx表示你要移除的共享文件)例如:net share c$ /delete 表示移除c碟的預設值共享(根據我的經驗net share c:\ /delete 其實也是一樣移除c碟的預設值共享的). 2.磁碟代號內容確定你要移除的磁碟代號,按下滑鼠右鍵選項共用和安全的選項.在彈出的視窗中選項不共享此資料夾.然後點確定.這樣就關閉了共享(包括預設值共享). 3.控制台中移除控制台—系統管理工具—電腦管理—共用資料夾—共享關閉裡面的預設值共享(包括admin$的移除) 4. 修改註冊表按下「開始/執行」，在執行視窗中輸入「Regedit」，開啟註冊表編輯器，展開「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Lanmanworkstation\parameters」，在右側視窗中新增一個名為「AutoShareWks」的雙字元值，將其值設定為0，(win2000 專業版 win xp);[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ lanmanserver\parameters]"AutoShareServer"=dword:00000000 (win2000 server、win2003 server)這樣就可以徹底關閉「預設值共享」。　以上幾個連接阜都是最常入侵的連接阜,也是最適合一般用戶的電腦.至於其他特定軟體所開放的連接阜可以根據通過新增 IP 安全原則來遮閉連接阜的方法;增加防火牆的規則遮閉連接阜;通過本機連接的TCP/IP篩選來過濾連接阜的方法來關閉連接阜.以下介紹一下通過新增 IP 安全原則來遮閉連接阜的方法的方法來關閉連接阜,由於增加防火牆的規則遮閉連接阜;通過本機連接的TCP/IP篩選來過濾連接阜的方法和過新增 IP 安全原則來遮閉連接阜的方法差不多,所以就不重複講了.這裡就先介紹一下新增 IP 安全原則來遮閉連接阜的方法. 2.新增 IP 安全原則來遮閉連接阜: 關閉的連接阜有，135，137，138，139，445，1025，2475，3127，6129，3389，593，還有tcp. 具體操作如下: 預設值情況下，Windows有很多連接阜是開放的，在你上網的時候，網路病毒和黑客可以通過這些連接阜連上你的電腦。為了讓你的系統變為銅牆鐵壁，應該封閉這些連接阜，主要有：TCP 135、139、445、593、1025 連接阜和 UDP 135、137、138、445 連接阜，一些流行病毒的後門連接阜（如 TCP 2745、3127、6129 連接阜），以及遠端服務訪問連接阜3389。下面介紹如何在WinXP/2000/2003下關閉這些網路連接阜：　　第一步，點擊「開始」表單/設定/控制台/系統管理工具，雙按開啟「本機安全原則」，選「IP 安全原則，在本機電腦」，在右邊視窗的空白位置右擊滑鼠，彈出快捷表單，選項「新增 IP 安全原則」（如右圖），於是彈出一個嚮導。在嚮導中點擊「下一步」按鈕，為新的安全原則命名；再按「下一步」，則顯示「安全通信請求」畫面，在畫面上把「啟動預設值相應規則」左邊的鉤去掉，點擊「完成」按鈕就新增了一個新的IP 安全原則。　　第二步，右擊該IP安全原則，在「內容」對話視窗中，把「使用增加嚮導」左邊的鉤去掉，然後按下「增加」按鈕增加新的規則，隨後彈出「新規則內容」對話視窗，在畫面上點擊「增加」按鈕，彈出IP篩選器列表視窗；在列表中，首先把「使用增加嚮導」左邊的鉤去掉，然後再點擊右邊的「增加」按鈕增加新的篩選器。　　第三步，進入「篩選器內容」對話視窗，首先看到的是尋址，源位址選「任何 IP 位址」，目標位址選「我的 IP 位址」；點擊「傳輸協定」選擇項，在「選項傳輸協定檔案類型」的下拉列表中選項「TCP」，然後在「到此連接阜」下的文本項中輸入「135」，點擊「確定」按鈕（如左圖），這樣就增加了一個遮閉 TCP 135（RPC）連接阜的篩選器，它可以防止外界通過135連接阜連上你的電腦。　　點擊「確定」後回到篩選器列表的對話視窗，可以看到已經增加了一條原則，重複以上步驟繼續增加 TCP 137、139、445、593 連接阜和 UDP 135、139、445 連接阜，為它們建立相應的篩選器。　　重複以上步驟增加TCP 1025、2745、3127、6129、3389 連接阜的遮閉原則，建立好上述連接阜的篩選器，最後點擊「確定」按鈕。　　第四步，在「新規則內容」對話視窗中，選項「新 IP 篩選器列表」，然後點擊其左邊的圓圈上加一個點，表示已經啟動，最後點擊「篩選器操作」選擇項。在「篩選器操作」選擇項中，把「使用增加嚮導」左邊的鉤去掉，點擊「增加」按鈕，增加「阻止」操作（右圖）：在「新篩選器操作內容」的「安全措施」選擇項中，選項「阻止」，然後點擊「確定」按鈕。　　第五步、進入「新規則內容」對話視窗，點擊「新篩選器操作」，其左邊的圓圈會加了一個點，表示已經啟動，點擊「關閉」按鈕，關閉對話視窗；最後回到「新IP安全原則內容」對話視窗，在「新的IP篩選器列表」左邊打鉤，按「確定」按鈕關閉對話視窗。　在「本機安全原則」視窗，用滑鼠右擊新增加的 IP 安全原則，然後選項「指派」。　　於是重新啟動後，電腦中上述網路連接阜就被關閉了，病毒和黑客再也不能連上這些連接阜，從而保護了你的電腦。本人建議:如果你要關閉的連接阜是比較一般的入侵連接阜的話,我建議你採用系統的關閉方法.這樣更加直接和有效.而一般的連接阜的話,你不想開可以採用ip安全原則或者防火牆或者TCP\IP篩選來關閉.將來你想開這個連接阜或者軟體需要用的時候,只要去掉規則就可以了.這裡還有提醒大家一點,連接阜從1024開始到65535都是應用程式所開啟的連接阜(當然也包括木馬和病毒).除非你很確定這個連接阜是木馬或者病毒或者是沒用途的連接阜,不然不建議關閉.不然會出現很多問題. 以下是電腦連接阜基礎知識連接阜可分為3大類： 1）公認連接阜（Well Known Ports）：從0到1023，它們緊密綁定於一些服務。通常這些連接阜的通訊明確表明了某種服務的傳輸協定。例如：80連接阜實際上總是HTTP通訊。 2）註冊連接阜（Registered Ports）：從1024到49151。它們鬆散地綁定於一些服務。也就是說有許多服務綁定於這些連接阜，這些連接阜同樣用於許多其它目的。例如：許多系統處理動態連接阜從1024左右開始。 3）動態和/或私有連接阜（Dynamic and/or Private Ports）：從49152到65535。理論上，不應為服務分配這些連接阜。實際上，機器通常從1024起分配動態連接阜。但也有例外：SUN的RPC連接阜從32768開始。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-05-23, 02:04 AM	#2 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	一，ping 　　　　它是用來檢查網路是否通暢或者網路連接速度的指令。作為一個生活在網路上的管理員或者黑客來說，ping指令是第一個必須掌握的DOS指令，它所利用的原理是這樣的：網路上的機器都有唯一確定的IP位址，我們給目標IP位址傳送一個資料包，對方就要返回一個同樣大小的資料包，根據返回的資料包我們可以確定目標主機的存在，可以初步判斷目標主機的作業系統等。下面就來看看它的一些常用的操作。先看看說明吧，在DOS視窗中按鍵輸入：ping /? Enter鍵，。所顯示的說明畫面。在此，我們只掌握一些基本的很有用的參數就可以了（下同）。　　　　-t 表示將不間斷向目標IP傳送資料包，直到我們強迫其停止。試想，如果你使用100M的寬瀕接入，而目標IP是56K的魔電上網，那麼要不了多久，目標IP就因為承受不了這麼多的資料而離線，哈哈，一次攻擊就這麼簡單的實現了。　　　　-l 定義傳送資料包的大小，預設值為32字元，我們利用它可以最大定義到65500字元。結合上面介紹的-t參數一起使用，會有更好的效果哦。　　　　-n 定義向目標IP傳送資料包的次數，預設值為3次。如果網路速度比較慢，3次對我們來說也浪費了不少時間，因為現在我們的目的僅僅是判斷目標IP是否存在，那麼就定義為一次吧。　　　　說明一下，如果-t 參數和 -n參數一起使用，ping指令就以放在後面的參數為標準，比如「ping IP -t -n 3」，雖然使用了-t參數，但並不是一直ping下去，而是只ping 3次。另外，ping指令不一定非得ping IP，也可以直接ping主機域名，這樣就可以得到主機的IP。　　　　下面我們舉個例子來說明一下具體用法。　　　　這裡time=2表示從發出資料包到接受到返回資料包所用的時間是2秒，從這裡可以判斷網路連接速度的大小。從TTL的返回值可以初步判斷被ping主機的作業系統，之所以說「初步判斷」是因為這個值是可以修改的。這裡TTL=32表示作業系統可能是win98。　　（小知識：如果TTL=128，則表示目標主機可能是Win2000；如果TTL=250，則目標主機可能是Unix）　　至於利用ping指令可以快速搜尋區域網路故障，可以快速搜尋最快的QQ伺服器，可以對別人進行ping攻擊……這些就靠大家自己發揮了。　　　　二，nbtstat 　　　　該指令使用TCP/IP上的NetBIOS顯示傳輸協定統計和當前TCP/IP連接，使用這個指令你可以得到遠端主機的NETBIOS訊息，比如用戶名、所屬的工作組、網路卡的MAC位址等。在此我們就有必要瞭解幾個基本的參數。　　　　-a 使用這個參數，只要你知道了遠端主機的機器名稱，就可以得到它的NETBIOS訊息（下同）。　　　　-A 這個參數也可以得到遠端主機的NETBIOS訊息，但需要你知道它的IP。　　-n 列出本機機器的NETBIOS訊息。　　　　當得到了對方的IP或者機器名的時候，就可以使用nbtstat指令來進一步得到對方的訊息了，這又增加了我們入侵的保險係數。　　　　三，netstat 　　這是一個用來檢視網路狀態的指令，操作簡便功能強大。　　　　-a 檢視本機機器的所有開放連接阜，可以有效發現和預防木馬，可以知道機器所開的服務等訊息，如圖4。　　　　這裡可以看出本機機器開放有FTP服務、Telnet服務、郵件服務、WEB服務等。用法：netstat -a IP。　　-r 列出現用的路由訊息，告訴我們本機機器的網路閘道、子網路遮罩等訊息。用法：netstat -r IP。四，tracert 　　跟蹤路由訊息，使用此指令可以查出資料從本機機器傳輸到目標主機所經過的所有途徑，這對我們瞭解網路佈局和結構很有說明。如圖5。　　　　這裡說明資料從本機機器傳輸到192.168.0.1的電腦上，中間沒有經過任何中轉，說明這兩台機器是在同一段區域網路內。用法：tracert IP。　　　　五，net 　　　　這個指令是網路指令中最重要的一個，必須透徹掌握它的每一個子指令的用法，因為它的功能實在是太強大了，這簡直就是微軟為我們提供的最好的入侵工具。首先讓我們來看一看它都有那些子指令，按鍵輸入net /?Enter鍵如圖6。　　在這裡，我們重點掌握幾個入侵常用的子指令。　　　　net view 　　　　使用此指令檢視遠端主機的所以共享資源。指令格式為net view \\IP。　　　　net use 　　把遠端主機的某個共享資源影射為本機磁碟代號，圖形介面方便使用，哈哈。指令格式為net use x: \\IP\sharename。上面一個表示把192.168.0.5IP的共享名為magic的目錄影射為本機的Z盤。下面表示和192.168.0.7建立IPC$連接（net use \\IP\IPC$ "password" /user:"name"），　　　　建立了IPC$連接後，哈哈，就可以上傳文件了：copy nc.exe \\192.168.0.7\admin$，表示把本機目錄下的nc.exe傳到遠端主機，結合後面要介紹到的其他DOS指令就可以實現入侵了。　　　　net start 　　使用它來啟動遠端主機上的服務。當你和遠端主機建立連接後，如果發現它的什麼服務沒有啟動，而你又想利用此服務怎麼辦？就使用這個指令來啟動吧。用法：net start servername，如圖9，成功啟動了telnet服務。　　　　net stop 　　入侵後發現遠端主機的某個服務礙手礙腳，怎麼辦？利用這個指令停掉就ok了，用法和net start同。　　　　net user 　　檢視和帳戶有關的情況，包括新增帳戶、移除帳戶、檢視特定帳戶、啟動帳戶、帳戶禁用等。這對我們入侵是很有利的，最重要的，它為我們複製帳戶提供了前提。按鍵輸入不帶參數的net user，可以檢視所有用戶，包括已經禁用的。下面分別講解。　　1，net user abcd 1234 /add，新增一個用戶名為abcd，密碼為1234的帳戶，預設值為user組成員。　　2，net user abcd /del，將用戶名為abcd的用戶移除。　　3，net user abcd /active:no，將用戶名為abcd的用戶禁用。　　4，net user abcd /active:yes，啟動用戶名為abcd的用戶。　　5，net user abcd，檢視用戶名為abcd的用戶的情況　　　　net localgroup 　　檢視所有和用戶組有關的訊息和進行相關操作。按鍵輸入不帶參數的net localgroup即列出當前所有的用戶組。在入侵程序中，我們一般利用它來把某個帳戶提升為administrator組帳戶，這樣我們利用這個帳戶就可以控制整個遠端主機了。用法：net localgroup groupname username /add。　　　　現在我們把剛才新增的用戶abcd加到administrator組裡去了，這時候abcd用戶已經是超級管理員了，哈哈，你可以再使用net user abcd來檢視他的狀態，和圖10進行比較就可以看出來。但這樣太明顯了，網管一看用戶情況就能漏出破綻，所以這種方法只能對付菜鳥網管，但我們還得知道。現在的手段都是利用其他工具和手段複製一個讓網管看不出來的超級管理員，這是後話。有興趣的朋友可以參照《黑客防線》第30期上的《由淺入深解析隆帳戶》一文。　　　　net time 　　這個指令可以檢視遠端主機現用的時間。如果你的目標只是進入到遠端主機裡面，那麼也許就用不到這個指令了。但簡單的入侵成功了，難道只是看看嗎？我們需要進一步滲透。這就連遠端主機現用的時間都需要知道，因為利用時間和其他手段（後面會講到）可以實現某個指令和程序的定時啟動，為我們進一步入侵打好基礎。用法：net time \\IP。　　　　六，at 　　　　這個指令的作用是安排在特定日期或時間執行某個特定的指令和程序（知道net time的重要了吧？）。當我們知道了遠端主機的當前時間，就可以利用此指令讓其在以後的某個時間（比如2分鍾後）執行某個程序和指令。用法：at time command \\computer。　　　　七，ftp 　　　　大家對這個指令應該比較熟悉了吧？網路上開放的ftp的主機很多，其中很大一部分是匿名的，也就是說任何人都可以登入上去。現在如果你掃到了一台開放ftp服務的主機（一般都是開了21連接阜的機器），如果你還不會使用ftp的指令怎麼辦？下面就指出基本的ftp指令使用方法。　　首先在指令行按鍵輸入ftpEnter鍵，出現ftp的提示號，這時候可以按鍵輸入「help」來檢視說明（任何DOS指令都可以使用此方法檢視其說明 )。　　　　大家可能看到了，這麼多指令該怎麼用？其實也用不到那麼多，掌握幾個基本的就夠了。　　　　首先是登入程序，這就要用到open了，直接在ftp的提示號下輸入「open 主機IP ftp連接阜」Enter鍵即可，一般連接阜預設值都是21，可以不寫。接著就是輸入合法的用戶名和密碼進行登入了，這裡以匿名ftp為例介紹。　　　　用戶名和密碼都是ftp，密碼是不顯示的。當提示**** logged in時，就說明登入成功。這裡因為是匿名登入，所以用戶顯示為Anonymous。　　　　接下來就要介紹具體指令的使用方法了。　　　　dir 跟DOS指令一樣，用於檢視伺服器的文件，直接敲上dirEnter鍵，就可以看到此ftp伺服器上的文件。　　cd 進入某個資料夾。　　get 下載文件到本機機器。　　put 上傳文件到遠端伺服器。這就要看遠端ftp伺服器是否給了你可寫的權限了，如果可以，哈哈，該怎麼利用就不多說了，大家就自由發揮去吧。　　delete 移除遠端ftp伺服器上的文件。這也必須保證你有可寫的權限。　　bye 結束當前連接。　　quit 同上。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

2006-06-04, 02:26 PM	#3 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	手把手教你禁止連接阜 [分享]手把手教你禁止連接阜即使你對策略一點不懂也可以按照下面一步一步地完成禁用連接阜。以139為例　　 1.開始->控制台（或者管理）->管理工具->本機安全策略 2.右擊"Ip安全策略,在本機電腦", 選擇 "管理 IP 篩選器表和篩選器操作", <就可以啟動管理 IP 篩選器表和篩選器操作交談視窗> 3.在"管理 IP 篩選器表"中,按"新增"按擊<打開了 IP篩選器列表> 4. １在名稱(N) 下面添上"禁止139連接阜" <任何名字都行,只要你知道就行>描述(D) 也寫上"禁止139連接阜" ２新增按扭 <進入 ip篩選嚮導 > ３點擊下一步 <進入篩選嚮導> ４在源地址(s): 出選擇下拉裡的第二項"任何 ip 地址" 下一步５在目標地址(D): 選上"我的 ip 地址" 下一步６選擇協議類型(S): 把"任意"選改為"tcp" 下一步７設置ip協議斷口: <可以看到很相似的兩組選項>選擇到連接阜(O)<注意不是從連接阜?> 添上你要禁止的連接阜"139" 下一步８完成 5 <止此回到了篩選列表視窗,可以看到篩選器(S)視窗有了訊息> 看完了嗎? 按確定按扭呵呵..<將回到了 "管理 IP 篩選器表和篩選器操作"視窗> 6 點擊 "管理篩選器操作" 同4 中的１２３<將進入:"篩選器操作"視窗 7 呵呵當然是選擇第二個"阻止"了 "下一步"--> "完成" 8 <回到了"管理 IP 篩選器表和篩選器操作"視窗>點擊 "關閉"按扭　　 9 <回到了本機安全設置視窗>右擊"Ip安全策略,在本機電腦", 選擇 "創建ip安全策略"同4 中的１２３進入"為此安全規則設置初始身份驗證方法管他<使用預定項 "Active Directory 預定值(Kerberos V5 協議)> 下一步 10 出現一個警告視窗."只有當這個規則在一台為域成員的電腦上 Kerberos 才有效。這台電腦不是一個域成員。您想繼續並保留這些規則的內容嗎?"當然"是"拉 11 點擊"完成"按扭<進入編輯內容視窗> 12 "一般" 和 "規則" 點擊 "規則" 點擊"新增"按扭<進入安全規則嚮導"> 13 點擊下一步一直下一步出現一個同樣的警告 yes 14 從ip篩選器列表(I)筐中點上第一個:"禁止139連接阜"前面的○成為⊙ 15 同14選擇下一步同7出現"完成"按扭點擊 16 確定 17 關閉內容筐<回到了本機安全策略> 18 右鍵右面視窗的 "禁止139連接阜連接" --=>指派附：　　預定情況下，Windows有很多連接阜是開放的，在你上網的時候，網路病毒和黑客可以通過這些連接阜連上你的電腦。為了讓你的系統變為銅牆鐵壁，應該封閉這些連接阜，主要有：TCP 135、139、445、593、1025 連接阜和 UDP 135、137、138、445 連接阜，一些流行病毒的後門連接阜（如 TCP 2745、3127、6129 連接阜），以及遠端服務訪問連接阜3389。下面介紹如何在WinXP/2000/2003下關閉這些網路連接阜：　　第一步，點擊「開始」表菜單/設置/控制台/管理工具，雙擊打開「本機安全策略」，選中「IP 安全策略，在本機電腦」，在右邊視窗內的空白位置右擊滑鼠，彈出快捷表菜單，選擇「創建 IP 安全策略」（如右圖），於是彈出一個嚮導。在嚮導中點擊「下一步」按鈕，為新的安全策略命名；再按「下一步」，則顯示「安全通信請求」畫面，在畫面上把「啟動預定相應規則」左邊的鉤去掉，點擊「完成」按鈕就創建了一個新的IP 安全策略。　　第二步，右擊該IP安全策略，在「內容」交談視窗中，把「使用新增嚮導」左邊的鉤去掉，然後單擊「新增」按鈕新增新的規則，隨後彈出「新規則內容」交談視窗，在畫面上點擊「新增」按鈕，彈出IP篩選器列表視窗；在列表中，首先把「使用新增嚮導」左邊的鉤去掉，然後再點擊右邊的「新增」按鈕新增新的篩選器。　　第三步，進入「篩選器內容」交談視窗，首先看到的是尋址，源地址選「任何 IP 地址」，目標地址選「我的 IP 地址」；點擊「協議」選擇項，在「選擇協議類型」的下拉列表中選擇「TCP」，然後在「到此連接阜」下的文本框中輸入「135」，點擊「確定」按鈕（如左圖），這樣就新增了一個屏蔽 TCP 135（RPC）連接阜的篩選器，它可以防止外界通過135連接阜連上你的電腦。　　點擊「確定」後回到篩選器列表的交談視窗，可以看到已經新增了一條策略，重複以上步驟繼續新增 TCP 137、139、445、593 連接阜和 UDP 135、139、445 連接阜，為它們建立相應的篩選器。　　重複以上步驟新增TCP 1025、2745、3127、6129、3389 連接阜的屏蔽策略，建立好上述連接阜的篩選器，最後點擊「確定」按鈕。　　第四步，在「新規則內容」交談視窗中，選擇「新 IP 篩選器列表」，然後點擊其左邊的圓圈上加一個點，表示已經啟動，最後點擊「篩選器操作」選擇項。在「篩選器操作」選擇項中，把「使用新增嚮導」左邊的鉤去掉，點擊「新增」按鈕，新增「阻止」操作（右圖）：在「新篩選器操作內容」的「安全措施」選擇項中，選擇「阻止」，然後點擊「確定」按鈕。　　第五步、進入「新規則內容」交談視窗，點擊「新篩選器操作」，其左邊的圓圈會加了一個點，表示已經啟動，點擊「關閉」按鈕，關閉交談視窗；最後回到「新IP安全策略內容」交談視窗，在「新的IP篩選器列表」左邊打鉤，按「確定」按鈕關閉交談視窗。在「本機安全策略」視窗，用滑鼠右擊新新增的 IP 安全策略，然後選擇「指派」。　　於是重新啟動後，電腦中上述網路連接阜就被關閉了，病毒和黑客再也不能連上這些連接阜，從而保護了你的電腦。

	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次

主題工具
顯示可列印版本郵寄本頁給好友
顯示模式
平板模式切換到混合模式切換到樹形模式

Google 提供的廣告