BlogJava-franlk-文章分类-网络安全

[摘录]新手必须知道的，网络命令

FRANLK 的个人空间 — Thu, 06 Mar 2008 01:38:00 GMT

摘录地址：http://wendy.reallydo.com/article.asp?id=55

> 1.最基本，最常用的，测试物理网络的
> ping 192.168.10.88 －t ，参数－t是等待用户去中断测试
> 2.查看DNS、IP、Mac等
> A.Win98：winipcfg
> B.Win2000以上：Ipconfig/all
>
> 2.网络信使
> Net send 计算机名/IP|* (广播) 传送内容，注意不能跨网段
> net stop messenger 停止信使服务，也可以在面板－服务修改
> net start messenger 开始信使服务
>
> 3.探测对方对方计算机名，所在的组、域及当前用户名
> ping －a IP －t ，只显示NetBios名
> nbtstat -a 192.168.10.146 比较全的
>
>4.netstat -a 显示出你的计算机当前所开放的所有端口
> netstat -s -e 比较详细的显示你的网络资料，包括TCP、UDP、ICMP 和 IP的统计等
>
> 5.探测arp绑定（动态和静态）列表，显示所有连接了我的计算机，显示对方IP和MAC地址
> arp -a
>
> 6.在代理服务器端
> 捆绑IP和MAC地址，解决局域网内盗用IP：
> ARP －s 192.168.10.59 00－50－ff－6c－08－75
> 解除网卡的IP与MAC地址的绑定：
> arp -d 网卡IP
>
> 7.在网络邻居上隐藏你的计算机
> net config server /hidden:yes
> net config server /hidden:no 则为开启
>
> 8.几个net命令
> A.显示当前工作组服务器列表 net view，当不带选项使用本命令时，它就会显示当前域或网络上的计算机上的列表。
> 比如：查看这个IP上的共享资源，就可以
> C:>net view 192.168.10.8
> 在 192.168.10.8 的共享资源
> 资源共享名类型用途注释
> --------------------------------------
> 网站服务 Disk
> 命令成功完成。
>
> B.查看计算机上的用户帐号列表 net user
> C.查看网络链接 net use
> 例如：net use z:  92.168.10.8movie 将这个IP的movie共享目录映射为本地的Z盘
>
> D.记录链接 net session
> 例如：
> C:>net session
> 计算机用户名客户类型打开空闲时间
> -------------------------------------------------------------------------------
>  92.168.10.110 ROME Windows 2000 2195 0 00:03:12
>
>  92.168.10.51 ROME Windows 2000 2195 0 00:00:39
> 命令成功完成。
>
> 9.路由跟踪命令
> A.tracert pop.pcpop.com
> B.pathping pop.pcpop.com 除了显示路由外，还提供325S的分析，计算丢失包的％
>
> 10.关于共享安全的几个命令
> A.查看你机器的共享资源 net share
> B.手工删除共享
> net share c$ /d
> net share d$ /d
> net share ipc$ /d
> net share admin$ /d
> 注意$后有空格。
> C.增加一个共享：
> c:
> et share mymovie=eownloadsmovie /users:1
> mymovie 共享成功。
> 同时限制链接用户数为1人。
>
> 11.在DOS行下设置静态IP
> A.设置静态IP
> CMD
> netsh
> netsh>int
> interface>ip
> interface ip>set add "本地链接" static IP地址 mask gateway
> B.查看IP设置
> interface ip>show address

FRANLK 的个人空间 2008-03-06 09:38 发表评论

[摘录]四招轻松检测网内IP地址是否被占用

FRANLK 的个人空间 — Wed, 04 Apr 2007 08:10:00 GMT

摘录地址：http://cisco.chinaitlab.com/manage/350646.html

网友提问：我是一家公司的员工，该公司有很多免费的资源，象什么软件呀，电影呀什么的。不过网络管理员对服务器进行了设置，不同IP地址对应的权限不一样，象我们这样的普通员工只能分配一般的IP地址，而经理级以上的人员获得的IP地址不同，权限上也相应的不同。公司仅仅是用IP地址区分权限而没有将其与MAC地址绑定，我们可以通过修改IP地址来轻松获得相应的高级权限，但是即便如此我们也不敢随意修改地址，因为如果碰巧公司经理也在上网，那么他会收到IP地址冲突的提示，那么有没有什么办法可以查看网内某IP地址是否已经被占用呢？那样就可以在该IP地址没被使用时通过修改IP地址来获得更高权限的目的。希望IT168的专家可以给予详细解答，最好多介绍几个方法，这样我就可以在某个方法失效后继续提高权限了。

解答:公司的网络管理员就是管理网络的人员，那么如何有效的管理好网络呢？简单的说就是保证公司人员可以正常上网，服务器和网络设备运转正常；进一步说则要将网络权利化，什么网络权利化呢？也就是说公司各个计算机访问网络的权限是不同的，一些高级用户可以访问公司网络机密信息，而普通用户仅仅是使用网络，不能够偷看任何不符合他们权限的资源。

网络权利化最简单的方法就是将权限和IP地址进行绑定，如果IP地址不符要求则无法访问资源。虽然这种权限与IP地址对应的方法是最简单最实用的，但是正如网友所提到的那样，任何一个员工都可以通过修改IP地址来获得相应的权限。

那么在修改前我们通过什么方法来检测该IP地址是否已经被使用呢？笔者就自己经验为各位读者介绍几个方法。

一，简单PING法：

这个方法很简单，大家都知道网络中查看某个计算机是否在线的最好方法就是PING该计算机对应的IP地址。例如想查看192.168.1.1这台计算机是否已经在线，我们可以采取以下几步来完成。

第一步：进入自己计算机的操作系统，也许你的IP地址是192.168.1.100，由于公司是权限和IP地址相对应，所以权限肯定不如192.168.1.1高。通过任务栏的“开始->运行->输入CMD”进入命令行模式。

第二步：在命令行模式中我们只需要输入ping 192.168.1.1即可。（如图1）

图1

如果ping的通就说明该IP地址对应的计算机已经在线，如果这时我们修改自己的IP地址为该IP的话，对方计算机上就会出现IP地址冲突的提示，我们的权限提高秘密就会被发现。

二，ARP缓存法：

有一定基础的网络管理员都知道IP地址是属于OSI七层模型中的第三层网络层，如果仅仅使用ping法来查找网络中存在的计算机是不科学的，因为很多时候当本地计算机开启了防火墙或者将ICMP包过滤的话，使用ping是无法返回成功请求的，也就是说如果我们按照上面介绍的方法ping了对方IP地址不通，对方仍然可能会在线。那么有没有什么更可靠的方法呢？通过ARP缓存可以解决这个问题。

ARP协议是工作在OSI七层模型中的第二层，因此即使我们用防火墙或者过滤包的方法也无法禁止ARP的查看，远程计算机不返回PING成功的消息但会告诉本地计算机该IP地址对应的MAC地址。这样我们就可以通过ARP缓存信息来查看了。如果能看到该IP地址对应了MAC地址说明该计算机在线，相应的MAC地址没有出现在ARP缓存表中则表明该计算机不在线。具体方法如下。

第一步：仍然按照上面介绍的PING法来检测某IP地址的计算机是否在线。

第二步：在PING返回信息为不通的情况下，输入arp -a来查看本地ARP缓存列表，看对应的IP是否得到了MAC地址信息。（如图2）

图2

第三步：在ARP缓存列表中一共有三列，第一列为IP地址，第二列为MAC地址。如果PING不通但是能够获得该IP对应的MAC地址的话说明该计算机仍然在线。这时我们也不能通过修改IP来提高权限，会被对方发现。最后一列是ARP信息，分为动态获得和静态获得IP两种方法。
三，批量缓存法：

上面介绍的方法一次只能检测一个IP地址，如果想查看多个IP该怎么操作呢？或者说想查看本地网络中究竟有哪些地址在线该如何设置呢？

（1）老方法一个一个地址的ping虽然可以查看但是太麻烦了，严重影响了办事的效率。

（2）批处理法：

这里我给大家做了一个脚本，通过这个脚本我们可以自动检测网络中的计算机，查看哪些IP地址在线。例如我们要查看192.168.1.*这个网络中有哪些地址在线，按下面步骤完成。

第一步：在桌面上点鼠标右键建立一个新的文本文件。

    第二步：将如下代码复制到该文本文件中。
    FOR /L %%i IN (0,1,255) Do ping 192.168.1.%%i -n 1
    arp -a -> IP.txt

第三步：保存退出后将该文本文件修改后缀名为.bat。这样生成一个批处理文件。

第四步：双击这个批处理文件将自动搜索192.168.1.*这个网络中的所有IP，并且将发现出的ARP信息都保存到ip.txt文件中。（如图3）

图3

第五步：扫描完毕后我们直接查看ip.txt文件就可以看到究竟有哪些IP地址已经被使用了。该文件保存的是网络中所有计算机IP地址以及对应的MAC地址等信息。

小提示：

该方法对于装了防火墙无法ping到的情况同样适用。因为该原理是向某一网段内所有IP地址发送一个icmp包，也许对方计算机屏蔽了ICMP包但不要紧，因为他一定会回应一个mac地址的包给源计算机，这样用arp -a察看本地的arp缓存就能看到他的IP地址跟MAC地址了。

另外在扫描过程中如果你想中断的话可以使用ctrl+c命令，也许你觉得设置到批处理文件中过于麻烦想直接通过命令行模式中的指令来完成扫描任务的话，只需要将命令进行简单修改即可。先输入FOR /L %i IN (0,1,255) Do ping 192.168.1.%i -n 1来扫描，完成后输入arp -a -> IP.txt命令保存信息。区别就是保存在批处理文件中需要是%%i，而命令直接输入法只需要%i即可。

四，工具法：

由于网络中有很多工具可以帮助我们来扫描网络，这里就不详细说明了，总之使用工具法会让我们扫描工作事半功倍，但是需要我们额外安装程序。这里推荐几个笔者使用起来不错的小软件——扫描器类有superscan和XSCAN，网络管理工具有lanhelper。感兴趣的读者可以自行尝试。当然对于有一定基础的网络管理员来说，直接安装个sniffer软件到本地计算机然后监视一段时间网络中的数据包也可以实现上面提到的功能。

总结：

解决这个网友提问的关键就是要了解ARP工作的机理，ping不通但是使用arp -a的时候还是能够看到那个ip的mac地址，只要他开着机。

FRANLK 的个人空间 2007-04-04 16:10 发表评论

[摘录]木马藏在哪

FRANLK 的个人空间 — Fri, 02 Jun 2006 05:55:00 GMT

摘录地址： http://www.wowodo.net/bbs/read.php?tid=825

木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在人不知鬼不觉的状态下控制你或者监视你。下面就是木马潜伏的诡招，看了以后不要忘记采取绝招来对付这些损招哟！

1 、集成到程序中

其实木马也是一个服务器 - 客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次 Windows 启动均会启动木马。

2 、隐藏在配置文件中

木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。不过，现在这种方式不是很隐蔽，容易被发现，所以在 Autoexec.bat 和 Config.sys 中加载木马程序的并不多见，但也不能因此而掉以轻心哦。

3 、潜伏在 Win.ini 中

木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在 Win.ini 中是木马感觉比较惬意的地方。大家不妨打开 Win.ini 来看看，在它的 [windows] 字段中有启动命令 “load=” 和 “run=” ，在一般情况下 “=” 后面是空白的，如果有后跟程序，比方说是这个样子： run=c:windowsfile.exe load=c:windowsfile.exe

这时你就要小心了，这个 file.exe 很可能是木马哦。

4 、伪装在普通文件中

这个方法出现的比较晚，不过现在很流行，对于不熟练的 windows 操作者，很容易上当。具体方法是把可执行文件伪装成图片或文本 ---- 在程序中把图标改成 Windows 的默认图片图标 , 再把文件名改为 *.jpg.exe, 由于 Win98 默认设置是 " 不显示已知的文件后缀名 ", 文件将会显示为 *.jpg, 不注意的人一点这个图标就中木马了 ( 如果你在程序中嵌一张图片就更完美了 ) 。

5 、内置到注册表中

上面的方法让木马着实舒服了一阵，既没有人能找到它，又能自动运行，真是快哉！然而好景不长，人类很快就把它的马脚揪了出来，并对它进行了严厉的惩罚！但是它还心有不甘，总结了失败教训后，认为上面的藏身之处很容易找，现在必须躲在不容易被人发现的地方，于是它想到了注册表！的确注册表由于比较复杂，木马常常喜欢藏在这里快活，赶快检查一下，有什么程序在其下，睁大眼睛仔细看了，别放过木马哦： HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion 下所有以 “run” 开头的键值； HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion 下所有以 “run” 开头的键值； HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion 下所有以 “run” 开头的键值。

6 、在 System.ini 中藏身

木马真是无处不在呀！什么地方有空子，它就往哪里钻！这不， Windows 安装目录下的 System.ini 也是木马喜欢隐蔽的地方。还是小心点，打开这个文件看看，它与正常文件有什么不同，在该文件的 [boot] 字段中，是不是有这样的内容，那就是 shell=Explorer.exe file.exe ，如果确实有这样的内容，那你就不幸了，因为这里的 file.exe 就是木马服务端程序！另外，在 System.ini 中的 [386Enh] 字段，要注意检查在此段内的 “driver= 路径程序名 ” ，这里也有可能被木马所利用。再有，在 System.ini 中的 [mic] 、 [drivers] 、 [drivers32] 这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里喽。

7 、隐形于启动组中

有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载到系统中，任你用什么方法你都无法将它赶跑 ( 哎，这木马脸皮也真是太厚 ) ，因此按照这个逻辑，启动组也是木马可以藏身的好地方，因为这里的确是自动加载运行的好场所。动组对应的文件夹为： C:windowsstart menuprogramsstartup ，在注册表中的位置： HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExplorerShellFolders Startup="C:windowsstart menuprogramsstartup" 。要注意经常检查启动组哦！

8 、隐蔽在 Winstart.bat 中

按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。这不， Winstart.bat 也是一个能自动被 Windows 加载运行的文件，它多数情况下为应用程序及 Windows 自动生成，在执行了 Win.com 并加载了多数驱动程序之后开始执行 ( 这一点可通过启动时按 F8 键再选择逐步跟踪启动过程的启动方式可得知 ) 。由于 Autoexec.bat 的功能可以由 Winstart.bat 代替完成，因此木马完全可以像在 Autoexec.bat 中那样被加载运行，危险由此而来。

9 、捆绑在启动文件中

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

10 、设置在超级连接中

木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗！奉劝不要随便点击网页上的链接，除非你了解它，信任它，为它死了也愿意等等

FRANLK 的个人空间 2006-06-02 13:55 发表评论