林海工作室 IOHY 论坛 http://qq4508509.yourblog.org by blogbus.com Thu, 01 Jan 1970 07:00:00 +0700 http://public.blogbus.com/images/head.gif 林海工作室 IOHY 论坛 http://qq4508509.yourblog.org 音乐





























随机文章:


收藏到:Del.icio.us


深切哀悼四川汶川大地震遇难同胞

]]> http://qq4508509.yourblog.org/logs/256751.html 何海林 Fri, 15 Oct 2004 11:21:14 +0800 好东西大家分享 !!! Windows XP SP2 激活程序

http://www.iohy.com/bbs/viewFile.asp?Boardid=9&ID=147


使用方法:解压其中的 xx.hiv 到系统根目录下的SYSTEM32



在运行 xx.EXE


更多下载请到 www.iohy.com/bbs

随机文章:


收藏到:Del.icio.us


深切哀悼四川汶川大地震遇难同胞

]]> http://qq4508509.yourblog.org/logs/255139.html 何海林 Wed, 13 Oct 2004 12:59:27 +0800 Net Transport.rar 破解器

http://www.iohy.com/down/NetTransport.rar

随机文章:


收藏到:Del.icio.us


深切哀悼四川汶川大地震遇难同胞

]]> http://qq4508509.yourblog.org/logs/255140.html 何海林 Wed, 13 Oct 2004 01:00:30 +0800 Windows XP系统:默认设置需注意7个安全问题
   一、简单文件共享。为了让网络上的用户只需点击几下鼠标就可以实现文件共享,XP加入了一种称为"简单文件共享"的功能,但同时也打开了许多NetBIOS漏洞。关闭简单文件共享功能的步骤是:打开"我的电脑",选择菜单"工具"→"文件夹选项",点击"查看",在"高级设置"中取消"使用简单文件共享(推荐)"。   

   二、FAT32。凡是新买的机器,许多硬盘驱动器都被格式化成FAT32。要想提高安全性,可以把FAT32文件系统转换成NTFS。NTFS允许更全面、细粒度地控制文件和文件夹的权限,进而还可以使用加密文件系统(EFS,Encrypting File System),从文件分区这一层次保证数据不被窃取。在"我的电脑"中用右键点击驱动器并选择"属性",可以查看驱动器当前的文件系统。如果要把文件系统转换成NTFS,先备份一下重要的文件,选择菜单"开始"→"运行",输入cmd,点击"确定"。然后,在命令行窗口中,执行convert x: /fs:ntfs(其中x是驱动器的盘符)。   

   三、Guest帐户。Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。不幸的是,Guest也为黑客入侵打开了方便之门。如果不需要用到Guest帐户,最好禁用它。在Win XP Pro中,打开"控制面板"→"管理工具",点击"计算机管理"。在左边列表中找到"本地用户和组"并点击其中的"用户",在右边窗格中,双击Guest帐户,选中"帐户已停用"。WinXP Home不允许停用Guest帐户,但允许为Guest帐户设置密码:先在命令行环境中执行Net user guest password命令,然后进入"控制面板"、"用户设置",设置Guest帐户的密码。  

   四、Administrator帐户。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码。每一台计算机至少需要一个帐户拥有Administrator(管理员)权限,但不一定非用"Administrator"这个名称不可。所以,无论在XP Home还是Pro中,最好创建另一个拥有全部权限的帐户,然后停用Administrator帐户。另外,在WinXP Home中,修改一下默认的所有者帐户名称。最后,不要忘记为所有帐户设置足够复杂的密码。 

   五、交换文件。即使你的操作完全正常,Windows也会泄漏重要的机密数据(包括密码)。也许你永远不会想到要看一下这些泄漏机密的文件,但黑客肯定会。你首先要做的是,要求机器在关机的时候清除系统的页面文件(交换文件)。点击Windows的"开始"菜单,选择"运行",执行Regedit。在注册表中找到HKEY_local_machine\system\currentcontrolset\control\sessionmanager\memory management,然后创建或修改ClearPageFileAtShutdown,把这个DWORD值设置为1。  

   六、转储文件。系统在遇到严重问题时,会把内存中的数据保存到转储文件。转储文件的作用是帮助人们分析系统遇到的问题,但对一般用户来说没有用;另一方面,就象交换文件一样,转储文件可能泄漏许多敏感数据。禁止Windows创建转储文件的步骤如下:打开"控制面板"→"系统",找到"高级",然后点击"启动和故障恢复"下面的"设置"按钮,将"写入调试信息"这一栏设置成"(无)"。类似于转储文件,Dr. Watson也会在应用程序出错时保存调试信息。禁用Dr. Watson的步骤是:在注册表中找到HKEY_local_machine\software\Microsoft\WindowsNT\CurrentVersion\AeDebug,把Auto值改成"0"。然后在Windows资源管理器中打开Documents and Settings\All Users\Shared Documents\DrWatson,删除User.dmp和Drwtsn32.log这两个文件。  

   七、多余的服务。为了方便用户,WinXP默认启动了许多不一定要用到的服务,同时也打开了入侵系统的后门。如果你不用这些服务,最好关闭它们:NetMeeting Remote Desktop Sharing,Remote Desktop Help Session Manager,Remote Registry,Routing and Remote Access,SSDP Discovery Service,telnet,Universal Plug and Play Device Host。打开"控制面板"→"管理工具"→"服务",可以看到有关这些服务的说明和运行状态。要关闭一个服务,只需右键点击服务名称并选择"属性"菜单,在"常规"选项卡中把"启动类型"改成"手动",再点击"停止"按钮。


随机文章:

永远的后门 2004-04-14

收藏到:Del.icio.us


深切哀悼四川汶川大地震遇难同胞

]]> http://qq4508509.yourblog.org/logs/240278.html 何海林 Sat, 04 Sep 2004 02:30:35 +0800 让计算机启动更快的十五招

嫌计算机启动太慢是每个计算机迷的共同心病,让计算机启动更快是大家的共同心愿
,本人在使用计算机过程中总结了加快计算机启动速度的“十五式”,与您分享。
一、bios的优化设置
  在bios设置的首页我们进入“advanced bios features”选项,将光标移到“fris
t boot device”选项,按“pageup”和“pagedown”进行选择,默认值为“floppy”,
这表示启动时系统会先从软驱里读取启动信息,这样做会加长机器的启动时间,减短软
驱的寿命。所以我们要选“hdd-0”直接从硬盘启动,这样启动就快上好几秒。 另外,
对于bios设置中的“above 1mbmemorytest”建议选“disabled”,对于“quickpowero
nselftest”建议选择enabled。
  在“advanced chipset features”项中的设置对机子的加速影响非常大,请大家多
加留意。将“bank 0/1 dram timing”从“8ns/10ns”改为“fast”或“turbo”。“t
urbo”比“fast”快,但不太稳定,建议选“fast”。如果记忆体质量好可以选“turb
o”试试,不稳定可以改回“fast”。
  对于内存品质好的内存条建议在“sdram cas latency”选项中设置为“2”,这样
可以加快速度哦。
  较新的主板都支持agp4x,如果你的显卡也支持agp4x,那么就在“agp-4xmode”处
将这项激活,即选为“enabled”,这才会更好的发挥显卡的能力,加快系统启动速度。

  二、启动dma方式,提高硬盘速度
  采用udma/33、66、100技术的硬盘最高传输速率是33mb/s、66mb/s、100mb/s,从理
论上来说是ide硬盘(这里是指pio mode4 模式,其传输率是16.6mb/s)传输速率的3~
6倍,但是在windows里面缺省设置中,dma却是被禁用的,所以我们必须将它打开。
  具体方法是:打开“控制面板→系统→设备管理器”窗口,展开“磁盘驱动器”分
支,双击udma硬盘的图标,进入“属性→设置→选项”,在“dma”项前面“√”,然后
按确定,关闭所有对话框,重启计算机即可。
  三、去掉windows的开机标志。
  首先你要打开“开始”→“设置”→“活页夹选项”,从“查看”标签里的“高级
设置”列表框中勾选“显示所有文件”。然后打开c盘,找到msdos.sys这个文件,并取
消它的“只读”属性,打开它,在“option”段落下,加上一行语句:logo=0,这样wi
ndows的开机图案就不会被加载运行,开机时间也可以缩短3秒钟。
  四、优化“启动”组。
  计算机初学者都爱试用各种软件,用不多久又将其删除,但常常会因为某些莫名其
妙的原因,这些软件还会驻留在“启动”项目中(尤其是在使用一些d版软件时),win
dows启动时就会为此白白浪费许多时间。要解决这个问题,其实很简单,你可以打开“
开始”→“运行”,在出现的对话框的“打开”栏中选中输入“msconfig”,然后点击
“确定”,就会调出“系统配置实用程序”,点击其中的“启动”标签,将不用加载启
动组的程序前面的“√”去掉就可以了。如此一来,至少可以将启动时间缩短10秒。
  五、整理、优化注册表。
  windows在开机启动后,系统要读取注册表里的相关资料并暂存于ram(内存)中,
windows开机的大部分时间,都花费了在这上面。因此,整理、优化注册表显得十分必要
。有关注册表的优化,可以使用windows优化大师等软件。以windows优化大师,点击“
注册信息清理”→“扫描”,软件就会自动替你清扫注册表中的垃圾,在扫描结束后,
会弹出个菜单让你选择是否备份注册表,建议选择备份,备份后再点击“清除”即可。

  六、经常维护系统。
  如果在系统中安装了太多的游戏、太多的应用软件、太多的旧资料,会让你的计算
机运行速度越来越慢,而开机时间也越来越长。因此,最好每隔一段时间,对计算机做
一次全面的维护。点击“开始”→“程序”→“附件”→“系统工具”→“维护向导”
,然后点击“确定”按钮即可对计算机进行一次全面的维护,这样会使你的计算机保持
在最佳状态。对于硬盘最好能每隔2个星期就做一次“磁盘碎片整理”,那样会明显加快
程序启动速度的,点击“系统工具”→“磁盘碎片整理程序”即可。注意在整理磁盘碎
片时系统所在的盘一定要整理,这样才能真正加快windows的启动顺序。
  七、扩大虚拟内存容量。
  如果你的硬盘够大,那就请你打开”控制面板“中的“系统”,在“性能”选项中
打开“虚拟内存”,选择第二项:用户自己设定虚拟内存设置,指向一个较少用的硬盘
,并把最大值和最小值都设定为一个固定值,大小为物理内存的2倍左右。这样,虚拟内
存在使用硬盘时,就不用迁就其忽大忽小的差别,而将固定的空间作为虚拟内存,加快
存取速度。虚拟内存的设置最好在“磁盘碎片整理”之后进行,这样虚拟内存就分不在
一个连续的、无碎片文件的空间上,可以更好的发挥作用。
  八、去掉“墙纸”、“屏幕保护”等花哨的设置。
  这些设置占用系统资源不说,还严重影响windows的启动顺序。去掉它们的方法是:
在桌面空白处点击鼠标右键

随机文章:

永远的后门 2004-04-14

收藏到:Del.icio.us


深切哀悼四川汶川大地震遇难同胞

]]> http://qq4508509.yourblog.org/logs/240275.html 何海林 Sat, 04 Sep 2004 02:29:15 +0800 如何防范IP地址被盗
★IP地址是如何被盗用的?

静态修改IP地址 :由于IP地址是一个逻辑地址,是一个需要用户设置的值,因此无法限制用户对于IP地址的静态修改,除非使用DHCP服务器分配IP地址,但又会带来其他管理问题。


http://upload.yourblog.org/20049/qq4508509.20040904142632.jpg

成对修改IP-MAC地址:通过一些兼容网卡厂商推出的配置程序,可以对IP地址和MAC地址进行修改,使其合法化。另外,对于那些MAC地址不能直接修改的网卡来说,盗用者采用软件的办法来修改MAC地址,即通过工具软件或修改Windows注册表的方法达到欺骗上层网络软件的目的。比如非常流行的工具软件“超级兔子魔法设置”从4.9版本开始支持网卡MAC地址的修改(如图1)。

★交换机帮你防盗用

我们测试了实达锐捷网络的安全接入交换机和S-Radius认证计费系统,几点体会,和大家共享。

静态IP冲突解决方案——IP和账号绑定

1. 用户进行802.1X认证前不是指定分配的IP,而滥用其他IP:认证前:因为这个时候,用户还没有通过认证,该用户与网络是隔离的,其指定的IP不会与别的用户IP冲突;试图认证:当用户使用账号密码试图通过认证,因为认证服务器端该用户账号和其IP做了绑定,认证服务器对其不予通过认证,从而同样不会造成IP冲突。

2. 用户使用正确的账号/IP通过认证后,再更改IP



http://upload.yourblog.org/20049/qq4508509.20040904142657.jpg



测试当中实达锐捷网络S-RADIUS客户端软件能够检测到IP的更改,即刻剔除用户下线,同时发送计费结束报文,结束计费,从而不会造成IP冲突。

动态IP冲突解决方案——客户IP属性校验

1. 用户进行802.1X认证前不用动态获得IP,而是静态指定:1)认证前:因为这个时候,用户还没有通过认证,该用户与网络是隔离的,其指定的IP不会与别的用户IP冲突;2)试图认证:当用户使用账号密码试图通过认证,因为认证服务器端该用户账号的IP属性是动态IP,认证报文中该用户的IP属性确是静态IP,则认证服务器对其不予通过认证,从而同样不会造成IP冲突。

2. 用户使用正确的账号,动态IP设置通过认证后,再更改IP。

我们测试当中同样能够检测到IP的更改,剔除用户下线,从而不会造成IP冲突。另外测试当中我们还发现实达的S-RADIUS认证计费系统可实现用户账号、MAC地址、IP地址、VLAN ID、交换机IP、交换机端口之间的智能多元绑定的功能,从而大大提高了网络的安全系数(如图2)。

根据我们的实验室测试和实地网络运行测试,我们发现通过实达网络科技有限公司这套解决方案可以较好的解决局域网内IP地址盗用的问题。

随机文章:


收藏到:Del.icio.us


深切哀悼四川汶川大地震遇难同胞

]]> http://qq4508509.yourblog.org/logs/240273.html 何海林 Sat, 04 Sep 2004 02:28:04 +0800 巧用DOS命令上传文件
先假设笔者在中华网服务器上的个人主页帐户信息为:

FTP Server: home4u.at.china.com

User: xiaoyuge

Password: abc123

现在让我们打开Windows的开始菜单,执行“运行”命令,在对话框中输入ftp命令,按下“确定”按钮执行。


其时将会切换至DOS窗口,出现提示符

ftp>


现在让我们输入命令连接FTP服务器:

ftp> open home4u.at.china.com (回车)

稍等片刻,屏幕提示连接成功:

ftp> connected to home4u.china.com (回车)

接下来服务器询问你用户名和口令,分别输入xiaoyuge和abc123,待认证通过即可。

下面进入正题,开始上传文件,比如说我们要把a:\index.html传至服务器的根目录中,可以这么键入:

ftp> put a:\index.html (回车)

当屏幕提示你已经传输完毕,可以打入相关命令查看一番:

ftp> dir (回车)

(注:没人真的会傻到直接把A:盘的东东传至服务器中吧?当然是先拷贝至硬盘中再上传啦。^_^)

刚刚讲的是上传,现在来看下载。假设要把服务器\images目录中的所有.jpg文件传至本机中,按以下指令操作:

ftp> cd images(回车) [注:进入\images目录]

ftp> mget *.jpg

上传与下载工作完毕,可以运行bye中断连接。

ftp> bye(回车)

最后为了方便大家记忆,总结一下常用的FTP命令:

1. open:与服务器相连接;

2. send(put):上传文件;

3. get:下载文件;

4. mget:下载多个文件;

5. cd:切换目录;

6. dir:查看当前目录下的文件;

7. del:删除文件;

8. bye:中断与服务器的连接。

命令虽然简单,但不一定人人皆知;再说“养兵千日,用兵一时”,说不定什么时候就会用得着的呢。如果想了解得更多,就打ftp> help (回车)查看命令集吧。


随机文章:


收藏到:Del.icio.us


深切哀悼四川汶川大地震遇难同胞

]]> http://qq4508509.yourblog.org/logs/240267.html 何海林 Sat, 04 Sep 2004 02:24:43 +0800 如果不太懂地址转换(NAT)就进来看看
偶然发现以前学习nat时的东西。


对这个配置有问题可以跟帖

*******************************全部采用端口************************
ISP分配的IP202.99.160.129

interface fastethernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
in nat inside
no shutdown

interface fastethernet0/1
ip address 192.168.2..1 255.255.255.0
duplex auto
speed auto
in nat outside
no shutdown

ip nat pool OnlyYou 202.99.160.130 202.99.160.130 netmask 255.255.255.252
//OnlyYou代表地址池的名称。 2个202.99.160.130是代表只用一个ip做转换后ip.
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255
ip nat inside source list1 pool OnlyYou overload




***********************动态地址转换+端口***********************
ISP分配的IP 有:202.99.160.130~190 255.255.255.192

Interface fastethernet0/1
Ip address 192.168.1.1 255.255.255.0
Ip address 192.168.2.1 255.255.255.0 secondary
Duplex auto
Speed auto
Ip nat inside
No shutdown

Interface serial 0/0
Ip address 202.99.160.129 255.255.255.192
Duplex auto
Speed auto
Ip nat outside
No shutdwon

Ip nat pool OutPort 202.99.160.190 202.99.160.190 netmask 255.255.255.192
Ip nat pool OutPool 202.99.160.130 202.99.160.190 netmask 255.255.255.192
Ip nat inside source list1 pool OutPort //192.168.1.0段主机全部转成202.99.160.190
Ip nat inside source list2 pool OutPool
//出于访问ftp站点等考虑:192.168.2.0和192.168.3.0段主机全部
//转成202.99.160.130到202.99.160.189中的所有地址。
Access-list1 permit 192.168.1.0 0.0.0.255
Access-list2 permit 192.168.2.0 0.0.0.255
Access-list2 permit 192.168.3.0 0.0.0.255



***********************静态地址转换***********************


ISP分配的IP地址是:211.82.220.80~211.82.220.87
211.82.220.81 255.255.255.248
要求Intranet上的Web.E-mail.Ftp.Media可以被外部访问.
Interface fastethernet0/0
Ip address 192.168.1.1 255.255.255.0
Duplex auto
Speed auto
Ip nat inside
No shutdown

Interface fastethernet0/1
Ip address 211.82.220.81 255.255.255.248
Speed auto
Duplex auto
Ip nat outside
No shutdown

Ip nat pool Outpool 211.82.220.86 211.82.20.86 netmask 255.255.255.248
Access-list 1 permit 192.168.1.2 0.0.0.255
Access-list 1 permit 192.168.1.3 0.0.0.255
Access-list 1 permit 192.168.1.4 0.0.0.255
Access-list 1 permit 192.168.1.5 0.0.0.255
Ip nat inside source list1 pool Outpool overload
Ip nat inside source static 192.168.1.2 211.82.220.82
Ip nat inside source static 192.168.1.3 211.82.220.83
Ip nat inside source static 192.168.1.4 211.82.220.84
Ip nat inside source static 192.168.1.5 211.82.220.85




******************NAT影射****************************
如果ISP提供的IP地址比较多还可以,但如果不是的时候(如就两个时),一个用于内网地址转换,另一个用于对外网提供服务.
ISP提供的内网上网IP

Interface ethernet0
Ip address 192.168.1.1 255.255.255.0
Duplex auto
Speed auto
Ip nat inside
No shutdown
Interface fastethernet0/0
Ip address 211.82.220.129 255.255.255.248
Duplex auto
Speed auto
Ip nat outside
No shutdown

Access-list 1 permit 192.168.1.0 0.0.0.255
Ip nat pool Everybody 211.82.220.130 211.82.220.130 network 255.255.255.252
Ip nat inside source list1 pool Everybody overload
Ip nat inside source static tcp 192.168.1.2 80 202.99.220.130 80
Ip nat inside source static tcp 192.168.1.3 21 202.99.220.130 21
Ip nat inside source static tcp 192.168.1.4 25 202.99.220.130 25
Ip nat inside source static tcp 192.168.1.5 110 202.99.220.130 110



*******************利用地址转换实现负载均衡********************
;当有如象腾讯公司似的多服务器时,使用路由器实现负载平衡,可以使它们有平等的访问机会.
Interface fastethernet0/1
Ip address 192.168.1.1 255.255.255.0
Duplex auto
Speed auto
Ip nat inside
No shutdown

Interface fastethernet0/0
Ip address 202.110.198.81 255.2555.255.248
Duplex auto
Speed auto
Ip nat outside
Access-list 1 permit 202.110.198.82
Access-list 2 permit 202.110.198.83
Access-list 3 permit 192.168.1.0 0.0.0.255
Ip nat pool Webser 192.168.1.2 192.168.1.3 255.255.255.248 type rotary
Ip nat pool Ftpser 19

随机文章:


收藏到:Del.icio.us


深切哀悼四川汶川大地震遇难同胞

]]> http://qq4508509.yourblog.org/logs/240255.html 何海林 Sat, 04 Sep 2004 02:11:19 +0800 用access-list 对抗“冲击波”病毒 最近“冲击波”病毒”(WORM_MSBlast.A)开始在国内互联网和部分专网上传播。我以前在接入层做的access-list起了作用!
大家可以参考之

access-list 120 deny 53 any any
access-list 120 deny 55 any any
access-list 120 deny 77 any any
access-list 120 deny 103 any any

以上几条慎用!
access-list 120 deny tcp any any eq echo
access-list 120 deny tcp any any eq chargen
access-list 120 deny tcp any any eq 135
access-list 120 deny tcp any any eq 136
access-list 120 deny tcp any any eq 137
access-list 120 deny tcp any any eq 138
access-list 120 deny tcp any any eq 139
access-list 120 deny tcp any any eq 389
access-list 120 deny tcp any any eq 445
access-list 120 deny tcp any any eq 4444//新加
access-list 120 deny udp any any eq 69 //新加
access-list 120 deny udp any any eq 135
access-list 120 deny udp any any eq 136
access-list 120 deny udp any any eq 137
access-list 120 deny udp any any eq 138
access-list 120 deny udp any any eq 139
access-list 120 deny udp any any eq snmp
access-list 120 deny udp any any eq 389
access-list 120 deny udp any any eq 445
access-list 120 deny udp any any eq 1434
access-list 120 deny udp any any eq 1433
access-list 120 permit ip any any

附录:处理办法!
**********************************
(1)对于未感染的主机:
建议安http://microsoft.com/technet/securi...in/MS03-026.asp中指定的patch
(2)对于已感染的系统:
可能无法从Microsoft升级补丁,建议用以下方式处理:
I. 断掉机器的物理网络连接。
II. 执行注册表编辑命令:regedit, 检查

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
CurrentVersion\Run\windows auto update" 中是

否存在 msblast.exe的键值,如果存在则删除。
III.运行任务管理器,关闭msblast.exe进程。
IV.完成用下述两种操作之一:
a.关闭DCOM: 设置HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
中EnableDCOM键值为N.
b.设置防火墙或Microsoft’s Internet
Connection Filter (ICF)阻止Incoming方向的以下端口:
69/UDP 135/TCP 135/UDP 139/TCP

139/UDP 445/TCP 445/UDP 4444/TCP。

V. 重新联接网络,安装http://microsoft.com/technet/securi...in/MS03-026.asp中指定的patch

 

随机文章:


收藏到:Del.icio.us


深切哀悼四川汶川大地震遇难同胞

]]> http://qq4508509.yourblog.org/logs/240253.html 何海林 Sat, 04 Sep 2004 02:10:39 +0800 Snort入侵检测系统分析 网络数据包截获机制是网络入侵检测系统的基础组件。一般指通过截获整个网络的所有信息流量,根据信息源主机,目标主机,服务协议端口等信息简单过滤掉不关心的数据,再将用户感兴趣的数据发送给更高层的应用程序进行分析。流程图如下:
图5.1 网络数据截获流程
一方面要,网络截取模块要能保证截取到所有网络上的数据包,尤其是检测到被分片的数据包(这可能蕴涵着攻击)。
另方面,数据截取模块截取数据包的效率也是很重要的。
它直接影响整个入侵检测系统的运行速度。
5.2各种数据流截获方法
5.2.1 利用广播截取网络数据流
数据包的截取技术是依赖网卡的。而网卡可以通过广播监听到以太网络上的数据包,这就是数据包截取技术的基础。
要想截获不是给自己数据流,就必须绕开系统正常工作的机制,直接通过网卡的混杂模式,使之可以接受目标地址不是自己的MAC地址的数据包,直接访问数据链路层,取数据。
5.2.2各系统截取数据包机制
Linux系统为用户提供一种在理论上是数据链路层的,基于网卡驱动程序的,可以不用操作系统自身协议栈的接口(也称套接字)-SockPacket. 这种套接字可以从数据链路层(就是网线)上直接截取所有链路层数据包。而Unix则是通过Libpcap库直接与内核交互,实现网络截取。如:Libpcap,Tcpdump等。如图:

图5.2 Unix系统监听机制

BSD Packet Filter(BPF)机制来截取数据包。BPF可以说是各系统中最棒的截获方式。很多开源嗅探工具就是基于它而开发的。Windows系统也有类似情况,如:win系列上有*.vxd (VxD,VirtualDeviceDrive)(packet*.vxd) 和 网卡.sys(为网卡芯片所开发)来驱动网卡截取数据包。

图5.3 Windows系统监听机制
5.2.3 BPF过滤
Unix&Linux系统有两种数据链路层截取机制,分别是BSD系列系统(NetBSD,OpenBSD,FreeBSD等)的BPF和Linux的SOCKET_PACKET。
BPF过滤
BPF主要由两大部分组成:
网络头接口
数据包过滤器。
网络头接口从网络设备驱动程序处收集数据包复制(在提交给系统协议栈之前),并传递给正在截获数据包的应用程序。而过滤器决定某一数据包是被接受或者拒绝以及如果被接受,数据包的那些部分会被复制给应用程序。BPF结构图如下:

图5.4 BPF结构示意图
如:TCPDump注:(1), Libpcap, Sniffer, eeye,等。一般情况,网卡驱动通过网卡把网络上的电平信号转化成数据包,再把截取到的数据传给系统自带的协议栈,然后在交由系统处理。这种方式与Unix下的BPF不同,它使得网卡驱动在把从网络截取的数据提交给系统之前,先拷贝一份给BPF,再由BPF 决定是否符合规则,不符合则丢弃,符合则存放到内存指定区,等待处理。
当然,BPF对网卡驱动交给系统协议栈的数据包不做任何干涉。
注1:TCPDump是伯克利实验室的Van Jacobson,Craig Leres和Stenven McCanne为分析TCP性能问题而写的跨平台的监听程序。
5.3基于Libpcap库的通用数据截获技术
Libpcap是用户态的数据包截获API函数接口,有独立和可移植行。最初,Libpcap是为了强大的,健壮TCPDump而编写的。它支持BPF过滤机制。Snort就是依赖于libpcap库进行数据包截取的程序之一(还有Ethereal,eeye等)。 它的优点是可以从任何Unix内核平台上截取数据包,而不考虑什么芯片类型的网卡和驱动程序。更重要的是,它可以使开发人员编写自己的解码,显示,记录等程序。
5.2.2.1 Libpcap库主要函数
1. 头文件特征(pcap.h)
Libpcap库(数据流存储头文件 的结构定义如下图)。前半部分是数据库存储文件头的数据结构定义。

图5.5 头文件(pcap.h)定义部分截图
后半部是信息包头文件数据结构定义。
2. 打开并读取设备,设置过滤器部分
与最基层设备打交道。有三个函数:pcap_read() pcap_open_live 和 pcap_setfilter()
3. 脱机方式截取数据
及读取存储在营盘上的文件。有两个Pcap_open_offline()和Pcap_offline_read().
4. 本地网络设置检测部分
主要检测网络设置的函数有几个,包括Pcap_lookupdev() pcap_lookupnet()等。 因为前面提过,Libpcap可移植。所以各种平台的Socket借口都是兼容的。
5. 主程序
都在Pcap.c中,该文件定义了读取数据的统一接口函数pcap_next(),调用此函数获取下一个数据包。
5.4 Snort调用Libpcap
在Snort运行启动时,Snort调用Libpcap库。当调用libpcap函数并初始化接口时,进入截取数据的循环模块—pcap循环。
在这个主循环—Pcaploop(),当网卡从网络介质上接收数据开始,Pcap_loop便对采集来的每个数据包都ProcessPacket()函数处理,如果出错或达到指定的处理包数就退出。(相关代码如下)
具体就是,Pcap_loop()最后根据数据链路类型来选择数据包,然后由ProcessPacket()来进行协议分析,实施信息流的匹配。
如:ProcessPaceket函数调用DecodeEthPkt函数来对以太网数据进行解码。其中DecodeEthPkt()函数再调用子函数Decode IP来对IP协议进行解码……
Libpcap函数功能列举:
Pcap_open_live(): 获得数据包通用句柄。
Pcap_lookup_dev(): 指向网络可用设备。
Pcap_looknet(): 初步判断网络设备本身的IP & netmask。
Pcap_Dump()

随机文章:


收藏到:Del.icio.us


深切哀悼四川汶川大地震遇难同胞

]]> http://qq4508509.yourblog.org/logs/240251.html 何海林 Sat, 04 Sep 2004 02:09:52 +0800