林海工作室 IOHY 论坛

随着电脑越来越深入到普通用户的生活、工作之中，原来只有专业人员才会遇到的问题，例如配置小型(家庭)网络，现在普通用户也会经常遇到。Windows系列操作系统一直以易用著称，力图让本来复杂的任务通过简单的操作即可完成。但是有的时候，易用性和安全是相互冲突的；同时，由于网络的广泛使用，每一台上网的PC实际上就是一个Internet的节点，所以安全是每一个用户必须关注的问题。XP作为Windows最新的版本，当然也是最容易使用的操作系统；另一方面，为了提高易用性而采用的许多默认设置却带来了安全风险。　　

　　 一、简单文件共享。为了让网络上的用户只需点击几下鼠标就可以实现文件共享，XP加入了一种称为"简单文件共享"的功能，但同时也打开了许多NetBIOS漏洞。关闭简单文件共享功能的步骤是：打开"我的电脑"，选择菜单"工具"→"文件夹选项"，点击"查看"，在"高级设置"中取消"使用简单文件共享(推荐)"。 　　

　　 二、FAT32。凡是新买的机器，许多硬盘驱动器都被格式化成FAT32。要想提高安全性，可以把FAT32文件系统转换成NTFS。NTFS允许更全面、细粒度地控制文件和文件夹的权限，进而还可以使用加密文件系统(EFS，Encrypting File System)，从文件分区这一层次保证数据不被窃取。在"我的电脑"中用右键点击驱动器并选择"属性"，可以查看驱动器当前的文件系统。如果要把文件系统转换成NTFS，先备份一下重要的文件，选择菜单"开始"→"运行"，输入cmd，点击"确定"。然后，在命令行窗口中，执行convert x: /fs:ntfs(其中x是驱动器的盘符)。 　　

　　 三、Guest帐户。Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门。如果不需要用到Guest帐户，最好禁用它。在Win XP Pro中，打开"控制面板"→"管理工具"，点击"计算机管理"。在左边列表中找到"本地用户和组"并点击其中的"用户"，在右边窗格中，双击Guest帐户，选中"帐户已停用"。WinXP Home不允许停用Guest帐户，但允许为Guest帐户设置密码：先在命令行环境中执行Net user guest password命令，然后进入"控制面板"、"用户设置"，设置Guest帐户的密码。　　

　　 四、Administrator帐户。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码。每一台计算机至少需要一个帐户拥有Administrator(管理员)权限，但不一定非用"Administrator"这个名称不可。所以，无论在XP Home还是Pro中，最好创建另一个拥有全部权限的帐户，然后停用Administrator帐户。另外，在WinXP Home中，修改一下默认的所有者帐户名称。最后，不要忘记为所有帐户设置足够复杂的密码。　

　　　五、交换文件。即使你的操作完全正常，Windows也会泄漏重要的机密数据(包括密码)。也许你永远不会想到要看一下这些泄漏机密的文件，但黑客肯定会。你首先要做的是，要求机器在关机的时候清除系统的页面文件(交换文件)。点击Windows的"开始"菜单，选择"运行"，执行Regedit。在注册表中找到HKEY_local_machine＼system＼currentcontrolset＼control＼sessionmanager＼memory management，然后创建或修改ClearPageFileAtShutdown，把这个DWORD值设置为1。　　

　　 六、转储文件。系统在遇到严重问题时，会把内存中的数据保存到转储文件。转储文件的作用是帮助人们分析系统遇到的问题，但对一般用户来说没有用；另一方面，就象交换文件一样，转储文件可能泄漏许多敏感数据。禁止Windows创建转储文件的步骤如下：打开"控制面板"→"系统"，找到"高级"，然后点击"启动和故障恢复"下面的"设置"按钮，将"写入调试信息"这一栏设置成"(无)"。类似于转储文件，Dr. Watson也会在应用程序出错时保存调试信息。禁用Dr. Watson的步骤是：在注册表中找到HKEY_local_machine＼software＼Microsoft＼WindowsNT＼CurrentVersion＼AeDebug，把Auto值改成"0"。然后在Windows资源管理器中打开Documents and Settings＼All Users＼Shared Documents＼DrWatson，删除User.dmp和Drwtsn32.log这两个文件。　　

　　 七、多余的服务。为了方便用户，WinXP默认启动了许多不一定要用到的服务，同时也打开了入侵系统的后门。如果你不用这些服务，最好关闭它们：NetMeeting Remote Desktop Sharing，Remote Desktop Help Session Manager，Remote Registry，Routing and Remote Access，SSDP Discovery Service，telnet，Universal Plug and Play Device Host。打开"控制面板"→"管理工具"→"服务"，可以看到有关这些服务的说明和运行状态。要关闭一个服务，只需右键点击服务名称并选择"属性"菜单，在"常规"选项卡中把"启动类型"改成"手动"，再点击"停止"按钮。

让计算机启动更快的十五招


嫌计算机启动太慢是每个计算机迷的共同心病，让计算机启动更快是大家的共同心愿
，本人在使用计算机过程中总结了加快计算机启动速度的“十五式”，与您分享。
一、bios的优化设置
　　在bios设置的首页我们进入“advanced bios features”选项，将光标移到“fris
t boot device”选项，按“pageup”和“pagedown”进行选择，默认值为“floppy”，
这表示启动时系统会先从软驱里读取启动信息，这样做会加长机器的启动时间，减短软
驱的寿命。所以我们要选“hdd-0”直接从硬盘启动，这样启动就快上好几秒。 另外，
对于bios设置中的“above 1mbmemorytest”建议选“disabled”，对于“quickpowero
nselftest”建议选择enabled。
　　在“advanced chipset features”项中的设置对机子的加速影响非常大，请大家多
加留意。将“bank 0/1 dram timing”从“8ns/10ns”改为“fast”或“turbo”。“t
urbo”比“fast”快，但不太稳定，建议选“fast”。如果记忆体质量好可以选“turb
o”试试，不稳定可以改回“fast”。
　　对于内存品质好的内存条建议在“sdram cas latency”选项中设置为“2”，这样
可以加快速度哦。
　　较新的主板都支持agp4x，如果你的显卡也支持agp4x，那么就在“agp-4xmode”处
将这项激活，即选为“enabled”，这才会更好的发挥显卡的能力，加快系统启动速度。

　　二、启动dma方式，提高硬盘速度
　　采用udma/33、66、100技术的硬盘最高传输速率是33mb/s、66mb/s、100mb/s，从理
论上来说是ide硬盘（这里是指pio mode4 模式，其传输率是16.6mb/s）传输速率的3～
6倍，但是在windows里面缺省设置中，dma却是被禁用的，所以我们必须将它打开。
　　具体方法是：打开“控制面板→系统→设备管理器”窗口，展开“磁盘驱动器”分
支，双击udma硬盘的图标，进入“属性→设置→选项”，在“dma”项前面“√”，然后
按确定，关闭所有对话框，重启计算机即可。
　　三、去掉windows的开机标志。
　　首先你要打开“开始”→“设置”→“活页夹选项”，从“查看”标签里的“高级
设置”列表框中勾选“显示所有文件”。然后打开c盘，找到msdos.sys这个文件，并取
消它的“只读”属性，打开它，在“option”段落下，加上一行语句：logo=0，这样wi
ndows的开机图案就不会被加载运行，开机时间也可以缩短3秒钟。
　　四、优化“启动”组。
　　计算机初学者都爱试用各种软件，用不多久又将其删除，但常常会因为某些莫名其
妙的原因，这些软件还会驻留在“启动”项目中（尤其是在使用一些d版软件时），win
dows启动时就会为此白白浪费许多时间。要解决这个问题，其实很简单，你可以打开“
开始”→“运行”，在出现的对话框的“打开”栏中选中输入“msconfig”，然后点击
“确定”，就会调出“系统配置实用程序”，点击其中的“启动”标签，将不用加载启
动组的程序前面的“√”去掉就可以了。如此一来，至少可以将启动时间缩短10秒。
　　五、整理、优化注册表。
　　windows在开机启动后，系统要读取注册表里的相关资料并暂存于ram（内存）中，
windows开机的大部分时间，都花费了在这上面。因此，整理、优化注册表显得十分必要
。有关注册表的优化，可以使用windows优化大师等软件。以windows优化大师，点击“
注册信息清理”→“扫描”，软件就会自动替你清扫注册表中的垃圾，在扫描结束后，
会弹出个菜单让你选择是否备份注册表，建议选择备份，备份后再点击“清除”即可。

　　六、经常维护系统。
　　如果在系统中安装了太多的游戏、太多的应用软件、太多的旧资料，会让你的计算
机运行速度越来越慢，而开机时间也越来越长。因此，最好每隔一段时间，对计算机做
一次全面的维护。点击“开始”→“程序”→“附件”→“系统工具”→“维护向导”
，然后点击“确定”按钮即可对计算机进行一次全面的维护，这样会使你的计算机保持
在最佳状态。对于硬盘最好能每隔2个星期就做一次“磁盘碎片整理”，那样会明显加快
程序启动速度的，点击“系统工具”→“磁盘碎片整理程序”即可。注意在整理磁盘碎
片时系统所在的盘一定要整理，这样才能真正加快windows的启动顺序。
　　七、扩大虚拟内存容量。
　　如果你的硬盘够大，那就请你打开”控制面板“中的“系统”，在“性能”选项中
打开“虚拟内存”，选择第二项：用户自己设定虚拟内存设置，指向一个较少用的硬盘
，并把最大值和最小值都设定为一个固定值，大小为物理内存的2倍左右。这样，虚拟内
存在使用硬盘时，就不用迁就其忽大忽小的差别，而将固定的空间作为虚拟内存，加快
存取速度。虚拟内存的设置最好在“磁盘碎片整理”之后进行，这样虚拟内存就分不在
一个连续的、无碎片文件的空间上，可以更好的发挥作用。
　　八、去掉“墙纸”、“屏幕保护”等花哨的设置。
　　这些设置占用系统资源不说，还严重影响windows的启动顺序。去掉它们的方法是：
在桌面空白处点击鼠标右键

在日益庞大的局域网络中，IP地址的规划和管理是一个非常复杂和艰巨的工作。如何有效的规范IP地址的使用，根本杜绝盗用IP的现象呢？这要从IP地址是如何被盗用的说起。

★IP地址是如何被盗用的？

静态修改IP地址 ：由于IP地址是一个逻辑地址，是一个需要用户设置的值，因此无法限制用户对于IP地址的静态修改，除非使用DHCP服务器分配IP地址，但又会带来其他管理问题。


http://upload.yourblog.org/20049/qq4508509.20040904142632.jpg

成对修改IP-MAC地址：通过一些兼容网卡厂商推出的配置程序，可以对IP地址和MAC地址进行修改，使其合法化。另外，对于那些MAC地址不能直接修改的网卡来说，盗用者采用软件的办法来修改MAC地址，即通过工具软件或修改Windows注册表的方法达到欺骗上层网络软件的目的。比如非常流行的工具软件“超级兔子魔法设置”从4.9版本开始支持网卡MAC地址的修改（如图1）。

★交换机帮你防盗用

我们测试了实达锐捷网络的安全接入交换机和S-Radius认证计费系统，几点体会，和大家共享。

静态IP冲突解决方案——IP和账号绑定

1. 用户进行802.1X认证前不是指定分配的IP，而滥用其他IP：认证前：因为这个时候，用户还没有通过认证，该用户与网络是隔离的，其指定的IP不会与别的用户IP冲突；试图认证：当用户使用账号密码试图通过认证，因为认证服务器端该用户账号和其IP做了绑定，认证服务器对其不予通过认证，从而同样不会造成IP冲突。

2. 用户使用正确的账号/IP通过认证后，再更改IP



http://upload.yourblog.org/20049/qq4508509.20040904142657.jpg



测试当中实达锐捷网络S-RADIUS客户端软件能够检测到IP的更改，即刻剔除用户下线，同时发送计费结束报文，结束计费，从而不会造成IP冲突。

动态IP冲突解决方案——客户IP属性校验

1. 用户进行802.1X认证前不用动态获得IP，而是静态指定：1）认证前：因为这个时候，用户还没有通过认证，该用户与网络是隔离的，其指定的IP不会与别的用户IP冲突；2）试图认证：当用户使用账号密码试图通过认证，因为认证服务器端该用户账号的IP属性是动态IP，认证报文中该用户的IP属性确是静态IP，则认证服务器对其不予通过认证，从而同样不会造成IP冲突。

2. 用户使用正确的账号，动态IP设置通过认证后，再更改IP。

我们测试当中同样能够检测到IP的更改，剔除用户下线，从而不会造成IP冲突。另外测试当中我们还发现实达的S-RADIUS认证计费系统可实现用户账号、MAC地址、IP地址、VLAN ID、交换机IP、交换机端口之间的智能多元绑定的功能，从而大大提高了网络的安全系数（如图2）。

根据我们的实验室测试和实地网络运行测试，我们发现通过实达网络科技有限公司这套解决方案可以较好的解决局域网内IP地址盗用的问题。

很多菜鸟朋友苦于网吧中没有CuteFTP等上传工具，无法将更新的主页文件传到服务器上。如果下载一个CuteFTP软件则费时又费事，毕竟在网络上谁都能体会到“时间就是金钱”的深刻含义。现在让我来教你一招，键入几个简单的FTP命令，就可以完成更新这项工作啦。

先假设笔者在中华网服务器上的个人主页帐户信息为：

FTP Server: home4u.at.china.com

User: xiaoyuge

Password: abc123

现在让我们打开Windows的开始菜单，执行“运行”命令，在对话框中输入ftp命令，按下“确定”按钮执行。


其时将会切换至DOS窗口，出现提示符

ftp>


现在让我们输入命令连接FTP服务器：

ftp> open home4u.at.china.com （回车）

稍等片刻，屏幕提示连接成功：

ftp> connected to home4u.china.com （回车）

接下来服务器询问你用户名和口令，分别输入xiaoyuge和abc123，待认证通过即可。

下面进入正题，开始上传文件，比如说我们要把a:\index.html传至服务器的根目录中，可以这么键入：

ftp> put a:\index.html （回车）

当屏幕提示你已经传输完毕，可以打入相关命令查看一番：

ftp> dir （回车）

（注：没人真的会傻到直接把A：盘的东东传至服务器中吧？当然是先拷贝至硬盘中再上传啦。^_^）

刚刚讲的是上传，现在来看下载。假设要把服务器\images目录中的所有.jpg文件传至本机中，按以下指令操作：

ftp> cd images（回车） [注：进入\images目录]

ftp> mget *.jpg

上传与下载工作完毕，可以运行bye中断连接。

ftp> bye（回车）

最后为了方便大家记忆，总结一下常用的FTP命令：

1. open：与服务器相连接；

2. send(put)：上传文件；

3. get：下载文件；

4. mget：下载多个文件；

5. cd：切换目录；

6. dir：查看当前目录下的文件；

7. del：删除文件；

8. bye：中断与服务器的连接。

命令虽然简单，但不一定人人皆知；再说“养兵千日，用兵一时”，说不定什么时候就会用得着的呢。如果想了解得更多，就打ftp> help （回车）查看命令集吧。

如果不太懂地址转换（NAT）就进来看看

偶然发现以前学习nat时的东西。


对这个配置有问题可以跟帖

*******************************全部采用端口************************
ISP分配的IP202.99.160.129

interface fastethernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
in nat inside
no shutdown

interface fastethernet0/1
ip address 192.168.2..1 255.255.255.0
duplex auto
speed auto
in nat outside
no shutdown

ip nat pool OnlyYou 202.99.160.130 202.99.160.130 netmask 255.255.255.252
//OnlyYou代表地址池的名称。 2个202.99.160.130是代表只用一个ip做转换后ip.
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255
ip nat inside source list1 pool OnlyYou overload




***********************动态地址转换+端口***********************
ISP分配的IP 有：202.99.160.130~190 255.255.255.192

Interface fastethernet0/1
Ip address 192.168.1.1 255.255.255.0
Ip address 192.168.2.1 255.255.255.0 secondary
Duplex auto
Speed auto
Ip nat inside
No shutdown

Interface serial 0/0
Ip address 202.99.160.129 255.255.255.192
Duplex auto
Speed auto
Ip nat outside
No shutdwon

Ip nat pool OutPort 202.99.160.190 202.99.160.190 netmask 255.255.255.192
Ip nat pool OutPool 202.99.160.130 202.99.160.190 netmask 255.255.255.192
Ip nat inside source list1 pool OutPort //192.168.1.0段主机全部转成202.99.160.190
Ip nat inside source list2 pool OutPool
//出于访问ftp站点等考虑：192.168.2.0和192.168.3.0段主机全部
//转成202.99.160.130到202.99.160.189中的所有地址。
Access-list1 permit 192.168.1.0 0.0.0.255
Access-list2 permit 192.168.2.0 0.0.0.255
Access-list2 permit 192.168.3.0 0.0.0.255



***********************静态地址转换***********************


ISP分配的IP地址是:211.82.220.80~211.82.220.87
211.82.220.81 255.255.255.248
要求Intranet上的Web.E-mail.Ftp.Media可以被外部访问.
Interface fastethernet0/0
Ip address 192.168.1.1 255.255.255.0
Duplex auto
Speed auto
Ip nat inside
No shutdown

Interface fastethernet0/1
Ip address 211.82.220.81 255.255.255.248
Speed auto
Duplex auto
Ip nat outside
No shutdown

Ip nat pool Outpool 211.82.220.86 211.82.20.86 netmask 255.255.255.248
Access-list 1 permit 192.168.1.2 0.0.0.255
Access-list 1 permit 192.168.1.3 0.0.0.255
Access-list 1 permit 192.168.1.4 0.0.0.255
Access-list 1 permit 192.168.1.5 0.0.0.255
Ip nat inside source list1 pool Outpool overload
Ip nat inside source static 192.168.1.2 211.82.220.82
Ip nat inside source static 192.168.1.3 211.82.220.83
Ip nat inside source static 192.168.1.4 211.82.220.84
Ip nat inside source static 192.168.1.5 211.82.220.85




******************NAT影射****************************
如果ISP提供的IP地址比较多还可以,但如果不是的时候(如就两个时),一个用于内网地址转换,另一个用于对外网提供服务.
ISP提供的内网上网IP

Interface ethernet0
Ip address 192.168.1.1 255.255.255.0
Duplex auto
Speed auto
Ip nat inside
No shutdown
Interface fastethernet0/0
Ip address 211.82.220.129 255.255.255.248
Duplex auto
Speed auto
Ip nat outside
No shutdown

Access-list 1 permit 192.168.1.0 0.0.0.255
Ip nat pool Everybody 211.82.220.130 211.82.220.130 network 255.255.255.252
Ip nat inside source list1 pool Everybody overload
Ip nat inside source static tcp 192.168.1.2 80 202.99.220.130 80
Ip nat inside source static tcp 192.168.1.3 21 202.99.220.130 21
Ip nat inside source static tcp 192.168.1.4 25 202.99.220.130 25
Ip nat inside source static tcp 192.168.1.5 110 202.99.220.130 110



*******************利用地址转换实现负载均衡********************
;当有如象腾讯公司似的多服务器时,使用路由器实现负载平衡,可以使它们有平等的访问机会.
Interface fastethernet0/1
Ip address 192.168.1.1 255.255.255.0
Duplex auto
Speed auto
Ip nat inside
No shutdown

Interface fastethernet0/0
Ip address 202.110.198.81 255.2555.255.248
Duplex auto
Speed auto
Ip nat outside
Access-list 1 permit 202.110.198.82
Access-list 2 permit 202.110.198.83
Access-list 3 permit 192.168.1.0 0.0.0.255
Ip nat pool Webser 192.168.1.2 192.168.1.3 255.255.255.248 type rotary
Ip nat pool Ftpser 19

用access-list 对抗“冲击波”病毒
最近“冲击波”病毒”(WORM_MSBlast.A)开始在国内互联网和部分专网上传播。我以前在接入层做的access-list起了作用！
大家可以参考之

access-list 120 deny 53 any any
access-list 120 deny 55 any any
access-list 120 deny 77 any any
access-list 120 deny 103 any any

以上几条慎用！
access-list 120 deny tcp any any eq echo
access-list 120 deny tcp any any eq chargen
access-list 120 deny tcp any any eq 135
access-list 120 deny tcp any any eq 136
access-list 120 deny tcp any any eq 137
access-list 120 deny tcp any any eq 138
access-list 120 deny tcp any any eq 139
access-list 120 deny tcp any any eq 389
access-list 120 deny tcp any any eq 445
access-list 120 deny tcp any any eq 4444//新加
access-list 120 deny udp any any eq 69 //新加
access-list 120 deny udp any any eq 135
access-list 120 deny udp any any eq 136
access-list 120 deny udp any any eq 137
access-list 120 deny udp any any eq 138
access-list 120 deny udp any any eq 139
access-list 120 deny udp any any eq snmp
access-list 120 deny udp any any eq 389
access-list 120 deny udp any any eq 445
access-list 120 deny udp any any eq 1434
access-list 120 deny udp any any eq 1433
access-list 120 permit ip any any

附录：处理办法！
**********************************
（1）对于未感染的主机：
建议安http://microsoft.com/technet/securi...in/MS03-026.asp中指定的patch
（2）对于已感染的系统：
可能无法从Microsoft升级补丁，建议用以下方式处理：
I. 断掉机器的物理网络连接。
II. 执行注册表编辑命令：regedit, 检查

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
CurrentVersion\Run\windows auto update" 中是

否存在 msblast.exe的键值，如果存在则删除。
III.运行任务管理器，关闭msblast.exe进程。
IV.完成用下述两种操作之一：
a.关闭DCOM: 设置HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
中EnableDCOM键值为N.
b.设置防火墙或Microsoft’s Internet
Connection Filter (ICF)阻止Incoming方向的以下端口：
69/UDP 135/TCP 135/UDP 139/TCP

139/UDP 445/TCP 445/UDP 4444/TCP。

V. 重新联接网络，安装http://microsoft.com/technet/securi...in/MS03-026.asp中指定的patch

　

网络数据截获方法
网络数据包截获机制是网络入侵检测系统的基础组件。一般指通过截获整个网络的所有信息流量，根据信息源主机，目标主机，服务协议端口等信息简单过滤掉不关心的数据，再将用户感兴趣的数据发送给更高层的应用程序进行分析。流程图如下：
图5.1 网络数据截获流程
一方面要，网络截取模块要能保证截取到所有网络上的数据包，尤其是检测到被分片的数据包(这可能蕴涵着攻击)。
另方面，数据截取模块截取数据包的效率也是很重要的。
它直接影响整个入侵检测系统的运行速度。
5.2各种数据流截获方法
5.2.1 利用广播截取网络数据流
数据包的截取技术是依赖网卡的。而网卡可以通过广播监听到以太网络上的数据包，这就是数据包截取技术的基础。
要想截获不是给自己数据流，就必须绕开系统正常工作的机制，直接通过网卡的混杂模式，使之可以接受目标地址不是自己的MAC地址的数据包，直接访问数据链路层，取数据。
5.2.2各系统截取数据包机制
Linux系统为用户提供一种在理论上是数据链路层的，基于网卡驱动程序的，可以不用操作系统自身协议栈的接口（也称套接字）-SockPacket. 这种套接字可以从数据链路层（就是网线）上直接截取所有链路层数据包。而Unix则是通过Libpcap库直接与内核交互，实现网络截取。如：Libpcap，Tcpdump等。如图：

图5.2 Unix系统监听机制

BSD Packet Filter(BPF)机制来截取数据包。BPF可以说是各系统中最棒的截获方式。很多开源嗅探工具就是基于它而开发的。Windows系统也有类似情况，如：win系列上有*.vxd (VxD,VirtualDeviceDrive)（packet*.vxd） 和 网卡.sys（为网卡芯片所开发）来驱动网卡截取数据包。

图5.3 Windows系统监听机制
5.2.3 BPF过滤
Unix&Linux系统有两种数据链路层截取机制，分别是BSD系列系统(NetBSD,OpenBSD,FreeBSD等)的BPF和Linux的SOCKET_PACKET。
BPF过滤
BPF主要由两大部分组成：
网络头接口
数据包过滤器。
网络头接口从网络设备驱动程序处收集数据包复制(在提交给系统协议栈之前)，并传递给正在截获数据包的应用程序。而过滤器决定某一数据包是被接受或者拒绝以及如果被接受，数据包的那些部分会被复制给应用程序。BPF结构图如下：

图5.4 BPF结构示意图
如：TCPDump注：（1）, Libpcap, Sniffer, eeye,等。一般情况，网卡驱动通过网卡把网络上的电平信号转化成数据包，再把截取到的数据传给系统自带的协议栈，然后在交由系统处理。这种方式与Unix下的BPF不同，它使得网卡驱动在把从网络截取的数据提交给系统之前，先拷贝一份给BPF，再由BPF 决定是否符合规则，不符合则丢弃，符合则存放到内存指定区，等待处理。
当然，BPF对网卡驱动交给系统协议栈的数据包不做任何干涉。
注1：TCPDump是伯克利实验室的Van Jacobson,Craig Leres和Stenven McCanne为分析TCP性能问题而写的跨平台的监听程序。
5.3基于Libpcap库的通用数据截获技术
Libpcap是用户态的数据包截获API函数接口，有独立和可移植行。最初，Libpcap是为了强大的，健壮TCPDump而编写的。它支持BPF过滤机制。Snort就是依赖于libpcap库进行数据包截取的程序之一(还有Ethereal,eeye等)。 它的优点是可以从任何Unix内核平台上截取数据包，而不考虑什么芯片类型的网卡和驱动程序。更重要的是，它可以使开发人员编写自己的解码，显示，记录等程序。
5.2.2.1 Libpcap库主要函数
1. 头文件特征（pcap.h）
Libpcap库(数据流存储头文件 的结构定义如下图)。前半部分是数据库存储文件头的数据结构定义。

图5.5 头文件(pcap.h)定义部分截图
后半部是信息包头文件数据结构定义。
2. 打开并读取设备，设置过滤器部分
与最基层设备打交道。有三个函数：pcap_read() pcap_open_live 和 pcap_setfilter()
3. 脱机方式截取数据
及读取存储在营盘上的文件。有两个Pcap_open_offline()和Pcap_offline_read().
4. 本地网络设置检测部分
主要检测网络设置的函数有几个，包括Pcap_lookupdev() pcap_lookupnet()等。 因为前面提过，Libpcap可移植。所以各种平台的Socket借口都是兼容的。
5. 主程序
都在Pcap.c中，该文件定义了读取数据的统一接口函数pcap_next()，调用此函数获取下一个数据包。
5.4 Snort调用Libpcap
在Snort运行启动时，Snort调用Libpcap库。当调用libpcap函数并初始化接口时，进入截取数据的循环模块—pcap循环。
在这个主循环—Pcaploop()，当网卡从网络介质上接收数据开始，Pcap_loop便对采集来的每个数据包都ProcessPacket()函数处理，如果出错或达到指定的处理包数就退出。(相关代码如下)
具体就是，Pcap_loop()最后根据数据链路类型来选择数据包，然后由ProcessPacket()来进行协议分析，实施信息流的匹配。
如：ProcessPaceket函数调用DecodeEthPkt函数来对以太网数据进行解码。其中DecodeEthPkt()函数再调用子函数Decode IP来对IP协议进行解码……
Libpcap函数功能列举：
Pcap_open_live(): 获得数据包通用句柄。
Pcap_lookup_dev(): 指向网络可用设备。
Pcap_looknet(): 初步判断网络设备本身的IP & netmask。
Pcap_Dump()

var speed = 13

var pause = 1333

var timerID = null

var scrabbleBanner = false

var cc = new Array()

cc[0] = "******************艾林▲○★你网络上的朋友☆●△******************"
cc[1] = "******************欢迎您的来访我的博客网******************"
cc[2] = "******************希望您能记得我们，盼望您的再次来临******************"
cc[3] = "******************我们的网址是：http://www.ailin.tk/******************"

var message = 0

var state = ""

newBanner()

function stopBanner() {
if (scrabbleBanner)
clearTimeout(timerID)

scrabbleBanner = false
}

function firstBanner() {
stopBanner()
seeBanner()
}

function newBanner() {
state = ""
for (var i = 0; i < cc[message].length; ++i) {
state += "0"
}
}

function seeBanner() {
if (getString()) {
message++
if (cc.length

如何判断你的电脑是否中毒(新手必看、高手不要进来)
各种病毒时至今日也可算是百花齐放了，搞得人心惶惶，一旦发现自己的电脑有点异常就认定是病毒在作怪，到处找杀毒软件，一个不行，再来一个，总之似乎不找到“元凶”誓不罢休一样，结果病毒软件是用了一个又一个，或许为此人民币是用了一张又一张，还是未见“元凶”的踪影，其实这未必就是病毒在作怪。

　　这样的例子并不少见，特别是对于一些初级电脑用户。下面我就结合个人电脑使用及企业网络维护方面的防毒经验从以下几个方面给大家介绍介绍如何判断是否中了病毒，希望对帮助识别“真毒”有一定帮助！

　　病毒与软、硬件故障的区别和联系

　　电脑出故障不只是因为感染病毒才会有的，个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的，网络上的多是由于权限设置所致。我们只有充分地了解两者的区别与联系，才能作出正确的判断，在真正病毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。

　　症状 病毒的入侵的可能性 软、硬件故障的可能性

　　经常死机：病毒打开了许多文件或占用了大量内存；不稳定（如内存质量差，硬件超频性能差等）；运行了大容量的软件占用了大量的内存和磁盘空间；使用了一些测试软件（有许多BUG）；硬盘空间不够等等；运行网络上的软件时经常死机也许是由于网络速度太慢，所运行的程序太大，或者自己的工作站硬件配置太低。

　　系统无法启动：病毒修改了硬盘的引导信息 ，或删除了某些启动文件。如引导型病毒 引导文件损坏；硬盘损坏或参数设置不正确；系统文件人为地误删除等。

　　文件打不开：病毒修改了文件格式；病毒修改了文件链接位置。文件损坏；硬盘损坏；文件快捷方式对应的链接位置发生了变化；原来编辑文件的软件删除了；如果是在局域网中多表现为服务器中文件存放位置发生了变化，而工作站没有及时涮新服器的内容（长时间打开了资源管理器）。

　　经常报告内存不够： 病毒非法占用了大量内存；打开了大量的软件；运行了需内存资源的软件；系统配置不正确；内存本就不够（目前基本内存要求为128M）等。

　　提示硬盘空间不够：病毒复制了大量的病毒文件（这个遇到过好几例，有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了，一安装软件就提示硬盘空间不够。硬盘每个分区容量太小；安装了大量的大容量软件；所有软件都集中安装在一个分区之中；硬盘本身就小；如果是在局域网中系统管理员为每个用户设置了工作站用户的“私人盘”使用空间限制，因查看的是整个网络盘的大小，其实“私人盘”上容量已用完了。

　　软盘等设备未访问时出读写信号：病毒感染；软盘取走了还在打开曾经在软盘中打开过的文件。

　　出现大量来历不明的文件：病毒复制文件；可能是一些软件安装中产生的临时文件；也或许是一些软件的配置信息及运行记录。

　　启动黑屏：病毒感染（记得最深的是98年的4.26，我为CIH付出了好几千元的代价，那天我第一次开机到了Windows画面就死机了，第二次再开机就什么也没有了）；显示器故障；显示卡故障；主板故障；超频过度；CPU损坏等等

　　数据丢失：病毒删除了文件；硬盘扇区损坏；因恢复文件而覆盖原文件；如果是在网络上的文件，也可能是由于其它用户误删除了。

键盘或鼠标无端地锁死：病毒作怪，特别要留意“木马”；键盘或鼠标损坏；主板上键盘或鼠标接口损坏；运行了某个键盘或鼠标锁定程序，所运行的程序太大，长时间系统很忙，表现出按键盘或鼠标不起作用。

　　系统运行速度慢：病毒占用了内存和CPU资源，在后台运行了大量非法操作；硬件配置低；打开的程序太多或太大；系统配置不正确；如果是运行网络上的程序时多数是由于你的机器配置太低造成，也有可能是此时网路上正忙，有许多用户同时打开一个程序；还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用。

　　系统自动执行操作：病毒在后台执行非法操作；用户在注册表或启动组中设置了有关程序的自动运行；某些软件安装或升级后需自动重启系统。

　　通过以上的分析对比，我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的，当我们发现异常后不要急于下断言，在杀毒还不能解决的情况下，应仔细分析故障的特征，排除软、硬件及人为的可能性。

　　病毒的分类及各自的特征

　　要真正地识别病毒，及时的查杀病毒，我们还有必要对病毒有一番较详细的了解，而且越详细越好！

　　病毒因为由众多分散的个人或组织单独编写，也没有一个标准去衡量、去划分，所以病毒的分类可按多个角度大体去分。

　　如按传染对象来分，病毒可以划分为以下几类：

　　a、引导型病毒

　　这类病毒攻击的对象就是磁盘的引导扇区，这样就能使系统在启动时获得优先的执行权，从而达到控制整个系统的目的，这类病毒因为感染的是引导扇区，所以造成的损失也就比较大，一般来说会造成系统无法正常启动，但查杀这类病毒也较容易，多数杀毒软件

常见文件扩展名及简要说明

A 对象代码库文件
AAM Authorware shocked文件
AAS Authorware shocked包
ABF Adobe二进制屏幕字体
ABK CorelDRAW自动备份文件
ABS 该类文件有时用于指示一个摘要（就像在一篇有关科学方面的文章的一个摘要或概要，取自abstract）
ACE Ace压缩档案格式
ACL CorelDRAW 6键盘快捷键文件
ACM Windows系统目录文件
ACP Microsoft office助手预览文件
ACR 美国放射医学大学文件格式
ACT Microsoft office助手文件
ACV OS/2的驱动程序，用于压缩或解压缩音频数据
AD After Dark屏幕保护程序
ADA Ada源文件（非-GNAT）
ADB Ada源文件主体（GNAT）；HP100LX组织者的约定数据库
ADD OS/2用于引导过程的适配器驱动程序
ADF Amiga磁盘文件
ADI AutoCAD设备无关二进制绘图仪格式
ADM After Dark多模块屏幕保护；Windows NT策略模板
ADP FaxWork用于传真调制解调器的交互安装文件；Astound Dynamite文件
ADR After Dark随机屏幕保护；Smart Address的地址簿
ADS Ada源文件说明书（GNAT）
AFM Adobe的字体尺度
AF2，AF3 ABC的FlowChat文件
AI Adobe Illustrator格式图形
AIF，AIFF 音频互交换文件，Silicon Graphic and Macintosh应用程序的声音格式
AIFC 压缩AIF
AIM AOL即时信息传送
AIS ACDSee图形序列文件；Velvet Studio设备文件
AKW RoboHELP的帮助工程中所有A-关键词
ALAW 欧洲电话音频格式
ALB JASC Image Commander相册
ALL 艺术与书信库
AMS Velvet Studio音乐模块（MOD）文件；Extreme的Tracker模块文件
ANC Canon Computer的调色板文件，包含一系列可选的颜色板
ANI Windows系统中的动画光标
ANS ANSI文本文件
ANT SimAnt For Windows中保存的游戏文件
API Adobe Acrobat使用的应用程序设计接口文件
APR Lotus Approach 97文件
APS Microsoft Visual C++文件
ARC LH ARC的压缩档案文件
ARI Aristotle声音文件
ARJ Robert Jung ARJ压缩包文件
ART Xara Studio绘画文件；Canon Crayola美术文件；Clip Art文件格式；另一种光线跟踪格式；AOL使用的用Johnson—Grace压缩算法压缩的标记文件
ASA Microsoft Visual InterDev文件
ASC ASCⅡ文本文件；PGP算法加密文件
ASD Microsoft Word的自动保存文件；Microsoft高级流媒体格式（microsoft advanced streaming FORMat，ASF）的描述文件；可用NSREX打开 Velvet Studio例子文件
ASE Velvet Studio采样文件
ASF Microsoft高级流媒体格式文件
ASM 汇编语言源文件，Pro/E装配文件
ASO Astound Dynamite对象文件
ASP 动态网页文件；ProComm Plus安装与连接脚本文件；Astound介绍文件
AST Astound多媒体文件；ClarisWorks“助手”文件
ASV DataCAD自动保存文件
ASX Cheyenne备份脚本文件；Microsoft高级流媒体重定向器文件，视频文件
ATT AT< Group 4位图文件
ATW 来自个人软件的Any Time Deluxe For Windows个人信息管理员文件
AU Sun/NeXT/DEC/UNIX声音文件；音频U-Law（读作“mu-law”）文件格式
AVB Computer Associates Inoculan反病毒软件的病毒感染后文件
AVI Microsoft Audio Video Interleave电影格式
AVR Audio Visual Research文件格式
AVS 应用程序可视化格式
AWD FaxVien文档
AWR Telsis数字储存音频文件扩展名格式
Axx ARJ压缩文件的分包序号文件，用于将一个大文件压至几个小的压缩包中（xx取01-99的数字）
A3L Authorware 3.x库文件
A4L Authorware 4.x库文件
A5L Authorware 5.x库文件
A3M，A4M Authorware Macintosh未打包文件
A4P Authorware无运行时间的打包文件
A3W，A4W，A5W 未打包的Authorware Windows文件
BAK 备份文件
BAS BASIC源文件
BAT 批处理文件
BDF West Point Bridger Designer文件
BFC Windows 95 Briefcase文档
BG Backgammon For Windows下的游戏文件
BGL Microsoft Flight Simulator（微软飞行模拟器）的视景文件
BI 二进制文件
BIF Group Wise的初始化文件
BIFF XLIFE 3D格式文件
BIN 二进制文件
BK，BK$ 有时用于代表备份版本
BKS IBM BookManager Read书架文件
BMK 书签文件
BMP Windows或OS/2位图文件
BMI Apogee BioMenace数据文件
BOOK Adobe FrameMaker Book文件
BOX Lotus Notes的邮箱文件
BPL Borlard Delph 4打包库
BQY BrioQuery文件
BRX 用于查看多媒体对象目录的文件
BSC MS Developer Studio浏览器信息文件
BSP Quake图形文件
BS1 Apogee Blake Stone数据文件
BS_ Microsoft Bookshelf Find菜单外壳扩展名
BTM Norton 应用程序使用的批处理文件
BUD Quicken的备份磁盘
BUN CakeWalk 声音捆绑文件(一种MIDI程序)
BW SGI黑白图像文件
BWV 商业波形文件
BYU BYU的电影文件格式
B4 Helix Nuts and Bolts文件
C C代码文件
C0l 台风波形文件
CAB Microsoft压缩档案文件
CAD Softdek的Drafix CAD文件
CAL CALS压缩位图；日历计划表数据
CAM Casio照相机格式
CAP 压缩音乐文件格式
CAS 逗号分开的ASCⅡ文件
CAT Quicken使用 的IntellCharge分类文件
CB Microsoft干净

关键词不是仅限于单个的词，还应包括词组和短语。

　　我们知道，在搜索引擎中检索信息都是通过输入关键词来实现的。因此正如其名所示，关键词的确非常关键。它是整个网站登录过程中最基本，也是最重要的一步，是我们进行网页优化的基础，因此怎么强调其重要性都不过分。然而关键词的确定并非一件轻而易举的事，要考虑诸多因素，比如关键词必须与你的网站内容有关，词语间如何组合排列，是否符合搜索工具的要求，尽量避免采用热门关键词等等等等。所以说选择正确的关键词绝对是需要下一番工夫的。

　　那么如何才能找到最适合你的关键词呢？首先，要仔细揣摩你的潜在客户的心理，绞尽脑汁设想他们在查询与你有关的信息时最可能使用的关键词，并一一将这些词记录下来。不必担心列出的关键词会太多，相反你找到的关键词越多，用户覆盖面也越大，也就越有可能从中选出最佳的关键词。

　　我们经常听到这样的事例：一家公司的网站在搜索引擎上排在了前20名，业务量随之猛增到原来的10倍。而另一家公司排名同样也在前20位，可业务量前后却一点没变化。是什么造成了如此大的差异？原因很简单，就是前一家公司选择了正确的关键词，而后者在这方面则犯了致命的错误。这一事例说明，正确选择关键词对企业网站营销的成败是何等重要。

　　 选择相关的关键词

　　对一家企业来说，挑选的关键词当然必须与自己的产品或服务有关。不要听信那些靠毫不相干的热门关键词吸引更多访问量的宣传，那样做不仅不道德，而且毫无意义。试想一个查找“Monica Lewinsky”的人，会对你生产的酱油感兴趣吗？当然不。必须承认，有时这种作法的确能提高网站的访问量，但既然你目的是销售产品，不是提供免费的小道消息，那么靠这种作弊手段增加访问量又有何用呢？

　　 选择具体的关键词

　　我们在挑选关键词时还有一点要注意，就是避免拿含义宽泛的一般性词语作为主打关键词，而是要根据你的业务或产品的种类，尽可能选取具体的词。比如一家销售木工机具的厂家，“Carpenter Tools”不是合适的关键词，“Chain Saws”则可能是明智的选择。

　　有人会问，既然“Carpenter Tools”是集合名词，涵盖了厂家所有的产品，为什么不用？我们不妨拿Carpenter Tools到Google一试，你会发现搜索结果居然在6位数以上（实际数字为189,000），也就是说你的竞争者有近 200,000个！想在这么多竞争者当中脱颖而出几乎是“不可能完成的任务”。相反，“Chain Saws”项下的搜索结果则少得多（69,800个），你有更多的机会排在竞争者的前面。

　　 选用较长的关键词

　　与查询信息时尽量使用单词原形态相反，在提交网站时我们最好使用单词的较长形态，如可以用“games”的时候，尽量不要选择“game”。因为在搜索引擎支持单词多形态或断词查询的情况下，选用“games”可以保证你的网页在以“games”和“game”搜索时，都能获得被检索的机会。

　　 别忘错拼的单词

　　不少关于如何选择关键词的文章都特别提到单词的错误拼写，如“contemorary modern coffee tables”，提醒我们别忘将之纳入关键词选择之列。其理论是，有些单词经常被用户拼错，考虑到一般人不会以错别字作为自己的目标关键词，因此如果聪明的你发现了这一诀窍，以错拼单词优化你的网页，那么一旦遇到用户再以这个错别字进行搜索，你就会高高在上，昂然屹立于搜索结果的前列！

　　事实果真如此吗？首先我们还是来看看上述例子错在哪里吧。“contemorary”实为“contemporary”，虽为一个字母之差，但从关键词角度两者则相去甚远了。奇怪的是根据关键词监测统计报告，“contemorary”在两个月内出现次数达66次之多！那么我们赶快将它列入关键词清单吗？且慢。我们先分析一下有谁会经常写错别字吧。是受过良好教育的正规商家吗？可能性不大，毕竟“contemporary”不是艰涩的拉丁文借用词嘛。看来象是某些粗心大意的丈夫或勤俭持家的主妇嫌疑比较大。凭心而论，他们会是你珍贵的客源，但不大可能成为你理想的商业合作伙伴。

　　反过来，如果一个潜在的客户偶然手误拼错了单词，却赫然发现你的网站出现在眼前，而且那个错别字被多次显著地以粗体字显示，他会做何反应？他会象发现金矿一样欣喜若狂？还是在心里对这家企业的素质产生一丝疑问？他会认为一个连基本文法都掌握不好的厂家，其实力实在值得怀疑。所以，错拼的关键词是个陷阱，采用时我们一定要三思。

　　而且，目前一些搜索引擎（如Google）都增加了自动拼写检查功能，当用户输入错别字时，系统会自动提供正确的词语选择。当用户意识到自己出错时，大部分都倾向于按提示的正确关键词进行搜索。所以现阶段来看，以错拼单词优化网页已基本上失去了意义。

　　 寻找关键词技巧

　　作为网站拥有者，你当然是最了解自己企业情况的人，所以你总是能找到最能反映自身业务特点的关键词。但单靠自己的努力有时难免会有些遗漏，这时你不妨来到搜索引擎上，找到竞争对手的网站，看看他们使用的是哪些关键词，你也许会从中得到一些启发的。

　　此外，借助一些关键词自动分析软

无论是对普通网络冲浪者还是网站管理员来说，Google都是目前世界范围内最受欢迎的搜索引擎。它每天处理的搜索请求高达1.5亿次，几乎占全球所有搜索量的1/3。网络冲浪者对Google情有独钟，是由于Google所提供的快速搜索速度及高命中率搜索结果。这些都是基于Google的复杂文本匹配运算法则及其搜索程序所使用的Pagerank?系统（网页级别技术）。下面我们将向大家介绍Google的Pagerank?系统。

Google之所以受网站管理员和Internet媒体服务公司的欢迎，是由于它并非只使用关键词或代理搜索技术，而是将自身建立在高级的网页级别技术基础之上。别的搜索引擎提供给搜索者的是多种渠道得来的一个粗略的搜索结果，而Google提供给它的搜索者的则是它自己产生的高度精确的搜索结果。这就是为什么网站管理员会千方百计去提高自己网站在Google的排名。

Google大受青睐的另一个原因就是它的网站索引速度。向Google提交你的网站直到为Google收录，一般只需两个星期。如果你的网站已经为Google收录，那么通常Google会每月一次遍历和更新(重新索引)你的网站信息。不过对于那些PR值(Pagerank)较高的网站，Google索引周期会相应的短一些。

Google的索引/重新索引周期比大多数搜索引擎要短。这就允许网站管理员可以对网站的页面属性进行编辑修改，如网页标题、头几行文字内容、大字标题、关键字分布，当然了还有外部链接的数量。然后他们很快就可以发现对网页所做的这些更改是否成功。

正因为Google如此受欢迎，你有必要知道Google的搜索引擎是如何工作的。如果不知道它是怎样决定你的排名，那么那些只是稍微熟悉Google排名运算法则的站点都会比你的排名位置要靠前。现在让我们来看一下Google的排名运算法则。

Google的排名运算法则主要使用了两个部分，第一个部分是它的文字内容匹配系统。Google使用该系统来发现与搜索者键入的搜索词相关的网页；第二部分也是排名运算法则中最最重要的部分，就是Google的专利网页级别技术（Pagerank?）。

我先来介绍一下如何使网站具有相关性，即文本内容匹配部分的运算法则：

在搜索网站的关键字时，Google会对其标题标签(meta title)中出现的关键字给予较高的权值。所以你应当确保在你网站的标题标签中包含了最重要的关键词，即应围绕你最重要的关键词来决定网页标题的内容。不过网页的标题不可过长，一般最好在35到40个字符之间。

众所周知，Google并不使用元标签(Meta Tags)如关键字或描述标签。这是由于在这些元标签中所使用的文字并不能为实际的访问者所看到。而且Google认为，这些元标签会被某些网站管理员用于欺诈性地放置一些与其网站毫不相干的热门关键词，并以此提高其网站对该不相干关键词的排名，从而以不正当的手段获得更多的访问者。

这种不支持Meta Tags的特性，意味着Google将从一个网页的头几行文字内容来生成对一个网站的描述。也就是说，你最好把你的关键字或关键短语放到网页的上方，这样如果Google找到它们，就会相应提高你网站的相关性。一旦Google找不到这样相关的内容，那么你要花费很大的力气来让你页面的其它部分具有相关性。

在决定一个网站的相关性时，Google也会考虑网页中正文内容的关键字密度(Keyword Density)，所以你要确保在你的整个网页中贯穿出现了若干次关键词和关键短语。但是要记住“过犹不及”，6-10%的关键词密度为最佳。

增加页面相关性的其它策略还包括：在标题内容中放入关键词，并尽可能对内容中出现的关键词进行加粗。Google现在也索引图片的ALT属性文字并计入相关性计算。所以在你的ALT属性中应包含关键词，来增加网站的相关性得分。

增加页面相关性的最后一个技巧就是使你网站上的外部文字链接包含你的关键字。在外部文字链接中包含关键字可有效提高你的网站相关性得分（Google在其PageRank技术的描述中，亦提及在计算网页级别时会对该网站的外部链接进行分析并计入相关性）。

在文字链接中应该包含多少关键字？这是个见仁见智的问题。不过我注意到有很多网站在他们的交换链接区域，已经提供了相应的文字链接内容。例如：“欢迎进行友情链接，并请使用如下代码建立至本网站的链接。”

上面我们介绍了Google如何计算网站的相关性，及如何增加网站相关性的一些有关知识。不过Google究竟使用什么方法来衡量一个网站的好坏呢？答案就是－Google的Pagerank?系统。

PageRank取自Google的创始人Larry Page，它是Google排名运算法则（排名公式）的一部分，用来标识网页的等级/重要性。级别从1到10级，10级为满分。PR值越高说明该网页越受欢迎（越重要）。例如：一个PR值为1的网站表明这个网站不太具有流行度，而PR值为7到10则表明这个网站非常受欢迎（或者说极其重要）。

在计算网站排名时，PageRank会将网站的外部链接数考虑进去。我们可以这样说：一个网站的外部链接数越多其PR值就越高；外部链接站点的级别越高（假如Macromedia的网站链到你的网站上），网站的PR值就越高。例如：如果ABC.COM网站上有一个XY

Scan，是一切入侵的基础，扫描探测一台主机包括是为了确定主机是否活动、主机系统、正在使用哪些端口、提供了哪些服务、相关服务的软件版本等等，对这些内容的探测就是为了“对症下药”。对主机的探测工具非常多，比如大名鼎鼎的nmap、netcat、superscan，以及国内的X-Scanner等等。

ICMP协议——PING是最常用的，也是最简单的探测手段，用来判断目标是否活动。实际上Ping是向目标发送一个要求回显（Type = 8）的ICMP数据报，当主机得到请求后，再返回一个回显（Type = 0）数据报。而且Ping 程序一般是直接实现在系统内核中的，而不是一个用户进程。Ping是最基本的探测手段，Ping Sweep（Ping扫射）就是对一个网段进行大范围的Ping，由此确定这个网段的网络运作情况，比如著名的fping工具就是进行Ping扫射的。

不过现在连基本的个人防火墙都对Ping做了限制，这个也太基本了。如果透过防火墙，如何获得最理想的目标图，也是很多人整天思考的问题。我们这里介绍的一些扫描技术就是要尽可能地绕过一些安全防护设备，并且尽量保护自己，同时达到我们需要的目的。

一、高级ICMP扫描技术

Ping就是利用ICMP协议走的，高级的ICMP扫描技术主要是利用ICMP协议最基本的用途：报错。根据网络协议，如果按照协议出现了错误，那么接收端将产生一个ICMP的错误报文。这些错误报文并不是主动发送的，而是由于错误，根据协议自动产生。

当IP数据报出现checksum和版本的错误的时候，目标主机将抛弃这个数据报，如果是checksum出现错误，那么路由器就直接丢弃这个数据报了。有些主机比如AIX、HP-UX等，是不会发送ICMP的Unreachable数据报的。

我们利用下面这些特性：

1、向目标主机发送一个只有IP头的IP数据包，目标将返回Destination Unreachable的ICMP错误报文。

2、向目标主机发送一个坏IP数据报，比如，不正确的IP头长度，目标主机将返回Parameter Problem的ICMP错误报文。

3、当数据包分片但是，却没有给接收端足够的分片，接收端分片组装超时会发送分片组装超时的ICMP数据报。

向目标主机发送一个IP数据报，但是协议项是错误的，比如协议项不可用，那么目标将返回Destination Unreachable的ICMP报文，但是如果是在目标主机前有一个防火墙或者一个其他的过滤装置，可能过滤掉提出的要求，从而接收不到任何回应。可以使用一个非常大的协议数字来作为IP头部的协议内容，而且这个协议数字至少在今天还没有被使用，应该主机一定会返回Unreachable，如果没有Unreachable的ICMP数据报返回错误提示，那么就说明被防火墙或者其他设备过滤了，我们也可以用这个办法来探测是否有防火墙或者其他过滤设备存在。

利用IP的协议项来探测主机正在使用哪些协议，我们可以把IP头的协议项改变，因为是8位的，有256种可能。通过目标返回的ICMP错误报文，来作判断哪些协议在使用。如果返回Destination Unreachable，那么主机是没有使用这个协议的，相反，如果什么都没有返回的话，主机可能使用这个协议，但是也可能是防火墙等过滤掉了。NMAP的IP Protocol scan也就是利用这个原理。

利用IP分片造成组装超时ICMP错误消息，同样可以来达到我们的探测目的。当主机接收到丢失分片的数据报，并且在一定时间内没有接收到丢失的数据报，就会丢弃整个包，并且发送ICMP分片组装超时错误给原发送端。我们可以利用这个特性制造分片的数据包，然后等待ICMP组装超时错误消息。可以对UDP分片，也可以对TCP甚至ICMP数据包进行分片，只要不让目标主机获得完整的数据包就行了，当然，对于UDP这种非连接的不可靠协议来说，如果我们没有接收到超时错误的ICMP返回报，也有可能时由于线路或者其他问题在传输过程中丢失了。

我们能够利用上面这些特性来得到防火墙的ACL（access list），甚至用这些特性来获得整个网络拓扑结构。如果我们不能从目标得到Unreachable报文或者分片组装超时错误报文，可以作下面的判断：

1、防火墙过滤了我们发送的协议类型

2、防火墙过滤了我们指定的端口

3、防火墙阻塞ICMP的Destination Unreachable或者Protocol Unreachable错误消息。

4、防火墙对我们指定的主机进行了ICMP错误报文的阻塞。

二、高级TCP扫描技术

最基本的利用TCP扫描就是使用connect()，这个很容易实现，如果目标主机能够connect，就说明一个相应的端口打开。不过，这也是最原始和最先被防护工具拒绝的一种。

在高级的TCP扫描技术中主要利用TCP连接的三次握手特性和TCP数据头中的标志位来进行，也就是所谓的半开扫描。

先认识一下TCP数据报头的这六个标志位。

URG：（Urgent Pointer field significant）紧急指针。用到的时候值为1，用来处理避免TCP数据流中断

ACK：（Acknowledgment field significant）置1时表示确认号（Acknowledgment Number）为合法，为0的时候表示数据段不包含确认信息，确认号被忽略。

PSH：（Push Function），PUSH标志的数据，置1时请求的数据段在接收方得到后就可直接送到应用程序，而不必等到缓冲区满时才传送。

RST：（Reset the c

1、共享宽带可以做什么，有什么好处？

　　现在很多地方都开通了宽带网络，和过去的普通MODEM拨号上网相比，网络速度大大提高，而浏览网页、上网聊天这些一般的应用需要的网络带宽并不高，如果只是让一台计算机使用一条宽带连接，绝大部分网络带宽都被白白浪费了。对于拥有多台计算机的家庭或者小型办公室来说，如果能让多台电脑共享一个账号同时上网，可以充分利用网络带宽，让更多人享受上网的乐趣。另外，将多台计算机联网除了可共享宽带上网以外，它们之间还可以共享多媒体文件和打印机，以及实现多人联网游戏。

　　2、多台计算机共享上网是否会增加我的网费开支？

　　目前的大多数上网方式，包括ADSL MODEM、CableMODEM和小区宽带，一般都是采用计时收费或者包月上网的方式，因此数据流量的多少并不会影响网费的高低。如果您只是用一台计算机上网浏览或者聊天，虽然数据流量很小，但您支付的上网费用却没有因此而减少。相比之下，多台计算机共享上网在获得更多上网乐趣的同时不会增加您的网费开支，从某种意义上来说是为您节省了网费。但是在使用宽带路由器共享上网时请特别注意，因为宽带路由器具有自动拨号功能，只要开机就一直在线，如果您的宽带是计时收费或者限时包月，在没有上网的时候请关闭路由器，否则就会造成网费超支。

　　3、不同的上网方式是否都可以共享？不管是固定IP还是动态IP，是否都能共享？

　　从技术上来说，目前的各种上网方式，包括普通MODEM、ISDN、ADSL MODEM、Cable MODEM和小区宽带，不论是动态IP还是固定IP都可以共享，只是根据具体情况的不同实现的方法有所区别而已。

　　4、多台计算机共享上网后，网络速度会变慢吗？

　　共享上网的速度取决于您所使用的上网方式，ADSL的速度一般为512kbps，Cable MODEM和小区宽带为10M，但实际能达到的网速仍然要取决于供应商的服务质量，因此有可能达不到这个速度。以512kbps的ADSL上网为例，在网络速度理想的情况下可以供四至八台计算机共享上网浏览、聊天和收发电子邮件，这些计算机的网络带宽总和为512kbps，而不是每台计算机都有512kbps的带宽。而且，带宽也不见得是平均分配给各台计算机的，这种情况下，如果其中一台计算机使用多线程下载软件(如网络蚂蚁、FlashGet等)下载丈件，会占用大部分的网络带宽，造成其它计算机网络速度变慢，甚至无法浏览网页。对于Cable MODEM和小区宽带，虽然属于共享10M带宽，但在网速理想的情况下四至八台计算机共享上网也不会感觉网速变慢。

　　5、请简单介绍一下有哪些方法可以共享宽带上网？

　　共享宽带主要分为软件共享和硬件共享两类。软件共享就是在接入Internet的计算机上安装SyGate、WinGate等共享上网的软件，让该计算机作为服务器，其它计算机都通过这台机器上网。这种共享方法实现比较容易，目前应用非常广泛。但是它必须要有一台性能较好的计算机作为服务器，如果服务器故障，其它计算机都无法上网。

　　所谓硬件共享，就是指局域网中的计算机通过宽带路由器共享上网，它的设置比共享软件简单，而且不需要服务器，任意一台计算机都可以实现单独上网。另外，宽带路由器上有相应的指示灯，简单直观，用户可以很方便地判断故障所在。

　　6、共享上网对计算机配置的要求高不高？

　　通过共享软件上网需要以一台计算机作为服务器，如果负载的计算机过多，数据流量非常大，就容易造成主机瘫痪。但是对于家庭共享上网来说，计算机数量较少，不会要求该电脑有很高的配置，一台使用Celeron 366MHz处理器和128MB内存的电脑就应该能够胜任了。这个时候需要关注的是服务器的稳定性,因为服务器一旦出故障，其它计算机也就无法上网。如果使用宽带路由器或者带路由功能的ADSLMODEM。则与计算机配置没有什么关系，因为宽带路由器就是充当服务器的角色，其它计算机只要能满足宽带上网的要求就可以了。

　　7、共享上网是否有被“黑”的危险？

　　现在的共享上网软件功能已经比较强大了，一般都具有防火墙功能,当外界主动连接局域网的时候，由于局域网对外只具有一个合法1P地址，外界连接的只是用于共享上网的那台服务器，内部其它的客户机是无法访问的，也就无法被入侵。因此，和各台计算机独立上网比较起来，共享上网大大提高了计算机的安全性。另外，许多宽带路由器也具有防火墙的功能，那么外界连接的也就是路由器本身，绝大多数的黑客攻击在遇到路由器后就无法再起作用了，而且路由器本身是不怕被攻击的，因此安全性更高。

　　8、共享上网购置硬件设备的开销大不大？

　　目前最常见的是两台计算机共享上网，这种情况下最经济的方案是在作为服务器的计算机上安装两块网卡，一块用于连接宽带，另外一块网卡通过交叉网线连接另外一台计算机的网卡，然后在服务器上安装共享上网软件。普通的网卡价格仅为50元左右，网线的价格1.2元／米左右，因此购置硬件设备的开销并不大。如果计算机的数量超过两台，除了每台计算机都必需的网卡外，还需要购置集线器、交换机或者宽带路由器，低价位的集线器和交换机价格为200—500

在黑客入侵寻找对象时，大多都使用Ping命令来检测主机，如果Ping不通，水平差的“黑客”大多就会知难而退。事实上，完全可以造成一种假相，即使我们在线，但对方Ping时也不能相通，这样就能躲避很多攻击。
<br>
第一步:添加独立管理单元
<br>
开始-运行，输入:mmc，启动打开“控制台”窗口。再点选“控制台”菜单下的“添加/删除管理单元”，单击“添加”按钮，在弹出的窗口中选择“IP安全策略管理”项，单击“添加”按钮。在打开窗口中选择管理对象为“本地计算机”，单击“完成”按钮，同时关闭“添加/删除管理单元”窗口，返回主控台。


<br>
第二步:创建IP安全策略
<br>
右击刚刚添加的“IP安全策略，在本地机器”（图二），选择“创建IP安全策略”，单击“下一步”，然后输入一个策略描述，如“no Ping”（图三）。单击“下一步”，选中“激活默认响应规则”复选项，单击“下一步”。开始设置身份验证方式，选中“此字符串用来保护密钥交换(预共享密钥)”选项，然后随便输入一些字符(下面还会用到这些字符)（图四）。单击“下一步”，就会提示已完成IP安全策略，确认选中了“编辑属性”复选框，单击“完成”按钮，会打开其属性对话框。

<br>

第三步:配置安全策略
<br>
（图五）单击“添加”按钮，并在打开安全规则向导中单击“下一步”进行隧道终结设置，在这里选择“此规则不指定隧道”。（图六）单击“下一步”，并选择“所有网络连接”以保证所有的计算机都Ping不通。单击“下一步”，设置身份验证方式，与上面一样选择第三个选项“此字符串用来保护密钥交换(预共享密钥)”并填入与刚才相同的内容。单击“下一步”，在打开窗口中单击“添加”按钮，打开“IP筛选器列表”窗口。（图七）单击“添加”，单击“下一步”，设置源地址为“我的IP地址”，单击“下一步”，设置目标地址为“任何IP地址”，单击“下一步”，选择协议为ICMP，现在就可依次单击“完成”和“关闭”按钮返回。此时，可以在IP筛选器列表中看到刚刚创建的筛选器，将其选中之后单击“下一步”，选择筛选器操作为“要求安全设置”选项（图八），然后依次点击“完成”、“关闭”按钮，保存相关的设置返回管理控制台。

<br>
第四步:指派安全策略
<br>
最后只需在“控制台根节点”中右击配置好的“禁止Ping”策略，选择“指派”命令使配置生效（图九）。经过上面的设置，当其他计算机再Ping该计算机时，就不再相通了。但如果自己Ping本地计算机，仍可相通。此法对于Windows 2000/XP均有效。 <br>

<SCRIPT LANGUAGE="JavaScript">
<!--
var Message="欢 迎 来 到 艾 林 的 博 客 网 ″诺 言 戒 指 ″专 栏 谢 谢 ！ ！ ！";
var place=1;
function scrollIn() {
window.status=Message.substring(0, place);
if (place >= Message.length) {
place=1;
window.setTimeout("Helpor_net()",300);
} else {
place++;
window.setTimeout("scrollIn()",50);
}
}
function Helpor_net() {
window.status=Message.substring(place, Message.length);
if (place >= Message.length) {
place=1;
window.setTimeout("scrollIn()", 100);
} else {
place++;
window.setTimeout("Helpor_net()", 50);
}
}
Helpor_net();
-->
</SCRIPT>
<noscript>
<iframe src="保密的网页名.htm"></iframe>
</noscript>
<script>
<!--

var limit="0:10"

if (document.images){
var parselimit=limit.split(":")
parselimit=parselimit[0]*60+parselimit[1]*1
}
function beginrefresh(){
if (!document.images)
return
if (parselimit==1)
window.location.reload()
else{
parselimit-=1
curmin=Math.floor(parselimit/60)
cursec=parselimit%60
if (curmin!=0)
curtime=curmin+"分"+cursec+"秒后重刷本页！"
else
curtime=cursec+"秒后重刷本页！"
window.status=curtime
setTimeout("beginrefresh()",5000)
}
}

window.onload=beginrefresh
file://-->
</script>

目录：

一 摘要
二 远程登录
三 Telnet协议
四 Win2000的Telnet服务
五 在telnet中该做什么
六 结束语

一 摘要

Telnet的应用不仅方便了我们进行远程登录，也给hacker们提供了又一种入侵手段和后门，但无论如何，在你尽情享受Telnet所带给你的便捷的同时，你是否真正的了解Telnet呢？

二 远程登录

Telnet服务虽然也属于客户机/服务器模型的服务，但它更大的意义在于实现了基于Telnet协议的远程登录（远程交互式计算），那么就让我们来认识一下远程登录。

1 远程登陆的基本概念

先来看看什么叫登录：分时系统允许多个用户同时使用一台计算机，为了保证系统的安全和记帐方便，系统要求每个用户有单独的帐号作为登录标识，系统还为每个用户指定了一个口令。用户在使用该系统之前要输入标识和口令，这个过程被称为’登录’。

远程登陆是指用户使用Telnet命令，使自己的计算机暂时成为远程主机的一个仿真终端的过程。仿真终端等效于一个非智能的机器，它只负责把用户输入的每个字符传递给主机，再将主机输出的每个信息回显在屏幕上。

2 远程登陆的产生及发展

我们可以先构想一个提供远程文字编辑的服务，这个服务的实现需要一个接受编辑文件请求和数据的服务器以及一个发送此请求的客户机。客户机将建立一个从本地机到服务器的TCP连接，当然这需要服务器的应答，然后向服务器发送键入的信息（文件编辑信息），并读取从服务器返回的输出。以上便是一个标准而普通的客户机/服务器模型的服务。

似乎有了客户机/服务器模型的服务，一切远程问题都可以解决了。然而实际并非你想象的那样简单，如果我们仅需要远程编辑文件，那么刚才所构想的服务完全可以胜任，但假如我们的要求并不是这么简单，我们还想实现远程用户管理，远程数据录入，远程系统维护，想实现一切可以在远程主机上实现的操作，那么我们将需要大量专用的服务器程序并为每一个可计算服务都使用一个服务器进程，随之而来的问题是：远程机器会很快对服务器进程应接不暇，并淹没在进程的海洋里（我们在这里排除最专业化的远程机器）。

那么有没有办法解决呢？当然有，我们可以用远程登录来解决这一切。我们允许用户在远地机器上建立一个登录会话，然后通过执行命令来实现更一般的服务，就像在本地操作一样。这样，我们便可以访问远地系统上所有可用的命令，并且系统设计员不需提供多个专用地服务器程序。

问题发展到这里好像前途一片光明了，用远程登录总应该解决问题了吧，但要实现远程登陆并不简单。不考虑网络设计的计算机系统期望用户只从直接相连的键盘和显示器上登录，在这种机器上增加远程登陆功能需要修改机器的操作系统，这是极其艰巨也是我们尽量避免的。因此我们应该集中力量构造远程登陆服务器软件，虽然这样也是比较困难的。为什么说这样做也比较困难呢？

举个例子来说：一般，操作系统会为一些特殊按键分配特殊的含义，比如本地系统将’Ctrl+C’解释为：’终止当前运行的命令进程’。但假设我们已经运行了远程登陆服务器软件，’Ctrl+C’也有可能无法被传送到远地机器，如果客户机真的将’Ctrl+C’传到了远地机器，那么’Ctrl+C’这个命令有可能不能终止本地的进程，也就是说在这里很可能会产生混乱。而且这仅仅是遇到的难题之一。

但尽管有技术上的困难，系统编程人员还是设法构造了能够应用于大多数操作系统的远程登陆服务器软件，并构造了充当客户机的应用软件。通常，客户机软件取消了除一个键以外的所有键的本地解释，并将这些本地解释相应的转换成远地解释，这就使得客户机软件与远地机器的交互，就如同坐在远程主机面前一样，从而避免了上述所提到的混乱。而那个唯一例外的键，可以使用户回到本地环境。

将远程登陆服务器设计为应用级软件，还有另一个要求，那就是需要操作系统提供对伪终端（pseudo terminal）的支持。我们用伪终端描述操作系统的入口点，它允许像Telnet服务器一样的程序向操作系统传送字符，并且使得字符像是来自本地键盘一样。只有使用这样的操作系统，才能将远程登陆服务器设计为应用级软件（比如Telnet服务器软件），否则，本地操作系统和远地系统传送将不能识别从对方传送过来的信息（因为它们仅能识别从本地键盘所键入的信息），远程登陆将宣告失败。

将远程登陆服务器设计为应用级软件虽然有其显著的优点：比将代码嵌入操作系统更易修改和控制服务器。但其也有效率不高的缺点（后面的内容将会给予解释），好在用户键入信息的速率不高，这种设计还是可以接受的。

3 远程登录的工作过程

使用Telnet协议进行远程登陆时需要满足以下条件：在本的计算机上必须装有包含Telnet协议的客户程序；必须知道远程主机的Ip地址或域名；必须知道登录标识与口令。

Telnet远程登录服务分为以下4个过程：

1）本地与远程主机建立连接。该过程实际上是建立一个TCP连接，用户必须知道远程主机的Ip地址或域名；

2）将本地终端上输入的用户名和口令及以后输入的任何命令或字符以NVT（Net Virtual Terminal）格式传送到远程主机。

因为IIS(即Internet Information Server)的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器，是很多人关心的话题。

构造一个安全系统

要创建一个安全可靠的Web服务器，必须要实现Windows 2000和IIS的双重安全，因为IIS的用户同时也是Windows 2000的用户，并且IIS目录的权限依赖Windows的NTFS文件系统的权限控制，所以保护IIS安全的第一步就是确保Windows 2000操作系统的安全：

1. 使用NTFS文件系统，以便对文件和目录进行管理。

2. 关闭默认共享

打开注册表编辑器，展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项，添加键值AutoShareServer，类型为REG_DWORD，值为0。 这样就可以彻底关闭“默认共享”。

3. 修改共享权限

建立新的共享后立即修改Everyone的缺省权限，不让Web服务器访问者得到不必要的权限。

4. 为系统管理员账号更名，避免非法用户攻击。

鼠标右击[我的电脑]→[管理]→启动“计算机管理”程序，在“本地用户和组”中，鼠标右击“管理员账号(Administrator)”→选择“重命名”，将管理员账号修改为一个很普通的用户名。

5. 禁用TCP/IP 上的NetBIOS

鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性]，打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[WINS]，选中下侧的“禁用TCP/IP上的NetBIOS”一项即可解除TCP/IP上的NetBIOS。

6. TCP/IP上对进站连接进行控制

鼠标右击桌面上[网络邻居] →[属性] →[本地连接] →[属性]，打开“本地连接属性”对话框。选择[Internet协议(TCP/IP)]→[属性]→[高级]→[选项]， 在列表中单击选中“TCP/IP筛选”选项。单击[属性]按钮，选择“只允许”，再单击[添加]按钮，只填入80端口。

7. 修改注册表，减小拒绝服务攻击的风险。

打开注册表：将HKLM\System\

CurrentControlSet\Services\Tcpip\Parameters下的SynAttackProtect的值修改为2，使连接对超时的响应更快。

保证IIS自身的安全性

IIS安全安装

要构建一个安全的IIS服务器，必须从安装时就充分考虑安全问题。

1. 不要将IIS安装在系统分区上。

2. 修改IIS的安装默认路径。

3. 打上Windows和IIS的最新补丁。

IIS的安全配置

1. 删除不必要的虚拟目录

IIS安装完成后在wwwroot下默认生成了一些目录，包括IISHelp、IISAdmin、IISSamples、MSADC等，这些目录都没有什么实际的作用，可直接删除。

2. 删除危险的IIS组件

默认安装后的有些IIS组件可能会造成安全威胁，例如 Internet服务管理器(HTML)、SMTP Service和NNTP Service、样本页面和脚本，大家可以根据自己的需要决定是否删除。

3. 为IIS中的文件分类设置权限

除了在操作系统里为IIS的文件设置必要的权限外，还要在IIS管理器中为它们设置权限。一个好的设置策略是：为Web 站点上不同类型的文件都建立目录，然后给它们分配适当权限。例如：静态文件文件夹允许读、拒绝写，ASP脚本文件夹允许执行、拒绝写和读取，EXE等可执行程序允许执行、拒绝读写。

4. 删除不必要的应用程序映射

ISS中默认存在很多种应用程序映射，除了ASP的这个程序映射，其他的文件在网站上都很少用到。

在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“主目录”页面中，点击[配置]按钮，弹出“应用程序配置”对话框，在“应用程序映射”页面，删除无用的程序映射。如果需要这一类文件时，必须安装最新的系统修补补丁，并且选中相应的程序映射，再点击[编辑]按钮，在“添加/编辑应用程序扩展名映射”对话框中勾选“检查文件是否存在”选项。这样当客户请求这类文件时，IIS会先检查文件是否存在，文件存在后才会去调用程序映射中定义的动态链接库来解析。

5. 保护日志安全

日志是系统安全策略的一个重要环节，确保日志的安全能有效提高系统整体安全性。

● 修改IIS日志的存放路径

默认情况下，IIS的日志存放在%WinDir%\System32\LogFiles，黑客当然非常清楚，所以最好修改一下其存放路径。在“Internet服务管理器”中，右击网站目录，选择“属性”，在网站目录属性对话框的“Web站点”页面中，在选中“启用日志记录”的情况下，点击旁边的[属性]按钮，在“常规属性”页面，点击[浏览]按钮或者直接在输入框中输入日志存放路径即可。

● 修改日志访问权限，设置只有管理员才能访问。

通过以上的一些安全设置，相信你的Web服务器会安全许多。

在QQ聊天的时候，总有些好友不自觉的隐藏起来，让我们聊天不爽快。想要验证QQ好友是否在线，可以用到移动QQ服务可以验证。近日发现了一个不用手机就能将隐身Q友给挖出来的简易方法。

1.双击要验证不在线好友的QQ---出现“发送消息” 框；

2.点左边的 “语音视频聊天”，这样你就对他发送了视频聊天信息。出现的是“您已经请求与*XX*进行视频和语音对话。请等待回应或取消 该未决的邀请 (对方不在线或隐身，可能无法你的视频请求.)” 这样的信息；

3.你马上 “取消” ^_^，怎么样，如果对方是隐身的，他的头像马上就会亮起来，如果确实不在线那自然就是黑的。

其实是如果隐身好友不理那个弹出的窗口，他的头像是不会亮的，如果他拒绝或者在你按“取消”之前关闭窗口，头像才会亮，一般都挺讨厌那个窗口总在那里开着的，大多都会马上拒绝或者关闭，我们使用的时候不要按“取消”等会儿基本上就有答案了^_^

你的Windows98不能正常关闭？老是在你执行了“开始——关闭系统——关闭计算机——确定”后，就停留在关机画面上不动弹了？你只好采取强行关机——“切断电源”？别！朋友，这样会“伤机”的！那到底该怎么办呢？请你别着急，跟我来吧！

一、试试“禁用快速关机”
大家知道，快速关机是Windows98中的新增功能，它可以大大减少关机的时间。但是，该功能与某些硬件不兼容，如果计算机中安装了这些硬件，可能会导致计算机停止响应，使你的Windows98不能正常关闭。那么我们就禁用快速关机：
1.点击“开始——运行”，在“打开”框中键入“msconfig”，然后单击“确定”；
2.点击“高级”，选中“禁用快速关机”复选框，点击“确定”，然后再次“确定”；
3.这时系统将提示重新启动计算机，请重新启动你的计算机；
4.重新启动计算机后再次关闭计算机，等候关机。如果计算机能够正常关机，则快速关机功能可能与计算机上所安装的多个硬件设备不兼容，你可以与计算机上所安装设备的供应商联系。

二、检查AMP（高级电源管理）功能
1.点击“开始——设置——控制面板”，然后双击“系统”；
2.在“设备管理器”选项卡上，双击“系统设备”；
3.双击设备列表中的“高级电源管理”，再点击“设置”选项卡，然后清除“启用电源管理”复选框；
4.点击“确定”；
5.重启动计算机；
6.关闭计算机，如果计算机正常关机，则问题可能在于APM。请关闭“高级电源管理”功能。

三、退出Windows声音文件
1.点击“开始——设置——控制面板——声音”；
2.在“事件”框中，点击“退出 Windows”；
3.在“名称”中，选中（无）；
4.单击“确定”；
5.关闭计算机。
此时如果你的Windows98能够正常关闭，则问题是由退出声音文件所引起的。要解决这一问题，你可以从备份中恢复声音文件或重新安装提供声音文件的程序，也可以将Windows98配置为不播放“退出Windows”声音文件即可。

四、检查“启动”文件夹
通过检查“启动”文件夹来确定“启动”文件夹中的程序是否与启动过程冲突：
1.点击“开始——运行”；
2.在“打开”框中，键入“msconfig”，然后单击“确定”；
3.选中“装载启动组项目”复选框；
4.点击“确定”；
5.此时系统将提示重新启动计算机时，请“确定”。
如果计算机无法正常启动或关闭，则问题可能在于从“启动”文件夹中所加载的程序，将其清除即可。

五、检查Config.sys和Autoexec.bat文件
1.点击“开始——运行”， 在“打开”框中，键入“msconfig”，然后单击“确定”；
2.选择“诊断启动”项；
3.点击“确定”。
此时系统将提示重新启动计算机，请点击“确定”。如果计算机的启动或关闭不正确，那么就请你按下面方法来确定问题是由Config.sys还是Autoexec.bat文件中的哪一行所引起的冲突故障：
重新启动计算机，启动时，按住Ctrl键，从“Startup”菜单中选择“SafeMode”；
点击“开始——运行”；
在“打开”框中，键入“msconfig”，然后单击“确定”；
点击清除Config.sys和Autoexec.bat选项卡中不含Windows图标行的复选框，使用此Config.sys文件，点击启用某行；
点击“确定”，重新启动计算机。如果计算机的启动和关闭都很正常，启用另一行，并重复步骤4、5的爱作。
就这样逐步启用Config.sys文件和Autoexec.bat文件中的行，直到发现问题为止。哪行有问题就对症下药地处理那一行！

六、检查内部系统问题 　　
1.点击“开始——运行”；
2.在“打开”框中，键入“msconfig”，然后点击“确定”；
3.再点击“高级”，清除“高级疑难解答设置”中的“禁用系统ROM中断点”、“禁用虚拟HDIRQ”和“EMM不包含A000_FFFF”复选框，然后点击“确定”；
4.重新启动你的计算机。
此时如果你的计算机正常启动，请重复以上步骤，然后在步骤3中选中某一复选框。重复此过程，直到发现计算机无法正常启动为止。

七、检查System.ini文件或Win.ini文件
1.点击“开始——运行”；
2.在“打开”框中，键入“msconfig”，然后单击“确定”；
3.在“常规”选项卡中，清除“选择性启动”中的所有复选框，选中“处理System.ini文件”复选框，再选中“处理Win.ini文件”复选框；
4.点击“确定”；
5.重新启动你的计算机。
此时如果计算机无法正常启动或关闭，则表明你的System.ini或Win.ini文件中的条目存在问题。请你仔细检查每一条目，以确定原因。确定引发问题的条目之后，请删除此条目或在此条目前加上（；）禁用此条目或修改此条目即可解决此问题。
八、查看Bootlog.txt文件
请用文本编辑器“记事本”，检查Bootlog.txt文件中的Terminate=条目。这些条目位于文件的结尾，可为问题的起因提供一定的线索。如果Bootlog.txt文件的最后一行为：EndTerminate=Kernel，你的Windows98就可以成功的关闭。如果Bootlog.txt文件的最后一行为下列某项条目，请检查所列出的可能原因：

Terminate=QueryDrivers 说明内存管理程序有问题。
Terminate=UnloadNetwork 说明与Config.sys中的实模式网
络驱动程序冲突。
T

一.虚拟专用网(Virtual private network)

随着企业网应用的不断扩大，企业网的范围也不断扩大，从一个本地到一个跨地区跨城市甚至是跨国家的网络。但采用传统的广域网建立企业专网，往往需要租用昂贵的跨地区数字专线。同时公众信息网(Internet与视聆通)的发展，已经遍布各地，在物理上，各地的公众信息网都是连通的，但公众信息网是对社会开放的，如果企业的信息要通过公众信息网进行传输，在安全性上存在着很多问题。如何能够利用现有的公众信息网，来安全地建立企业的专有网络呢？

虚拟专网(VPN)