IDC運(yùn)維總結(jié)之遠(yuǎn)程連接
IDC運(yùn)維總結(jié)之遠(yuǎn)程連接
問(wèn):遠(yuǎn)程連接不上原因何為?或遠(yuǎn)程連接時(shí)斷時(shí)續(xù),究竟因從何處?(通過(guò)遠(yuǎn)程桌面連接
程序訪(fǎng)問(wèn)時(shí)卻出現(xiàn)了“中斷遠(yuǎn)程桌面連接,遠(yuǎn)程計(jì)算機(jī)已結(jié)束連接”的提示)
答:其實(shí),遠(yuǎn)程一旦中斷,首先要確保網(wǎng)線(xiàn)有無(wú)問(wèn)題,交換機(jī)端口是否有問(wèn)題,其次在
說(shuō)別的原因。第一、遠(yuǎn)程連接不上首當(dāng)其沖要檢查網(wǎng)絡(luò)的穩(wěn)定性(這其中包括客戶(hù)端方和服務(wù)器方的網(wǎng)絡(luò)訪(fǎng)問(wèn)情況及其穩(wěn)定性)并查看是否有攻擊或受到了攻擊的影響;
第二、保證服務(wù)器的質(zhì)量問(wèn)題,即服務(wù)器的老化時(shí)間;再者,查看服務(wù)器是否是已長(zhǎng)時(shí)間訪(fǎng)問(wèn)或運(yùn)行,或者服務(wù)器有無(wú)死機(jī)、宕機(jī),溫度是否過(guò)高(重啟即可)保證服務(wù)器的正常運(yùn)行第三、客戶(hù)在遠(yuǎn)程服務(wù)器時(shí)做了一些不當(dāng)操作(比如使用360軟件進(jìn)行開(kāi)機(jī)加速一鍵優(yōu)化時(shí)關(guān)閉了遠(yuǎn)程連接;擅自修改遠(yuǎn)程端口;開(kāi)啟防火墻卻未做一些相關(guān)設(shè)置等)解決辦法①開(kāi)啟遠(yuǎn)程連接:【我的電腦】右擊“屬性”選項(xiàng)“遠(yuǎn)程”勾選項(xiàng)
確定(檢查是否已設(shè)管理員或遠(yuǎn)程用戶(hù)的密碼)
問(wèn)題補(bǔ)充:可以連接到該計(jì)算機(jī),但是馬上中斷。懷疑是否在遠(yuǎn)程桌面登錄時(shí)是默認(rèn)使用當(dāng)前帳戶(hù)的,所以將自己的計(jì)算機(jī)帳戶(hù)和密碼設(shè)置為和遠(yuǎn)程那臺(tái)計(jì)算機(jī)一致,誰(shuí)知道問(wèn)題依舊。看來(lái)故障應(yīng)該是該計(jì)算機(jī)遠(yuǎn)程桌面服務(wù)本身的設(shè)置問(wèn)題。解決辦法:第一步、通過(guò)“開(kāi)始->運(yùn)行->輸入regedit”,打開(kāi)注冊(cè)表編輯器。第二步、找到鍵值,在左側(cè)的RDPDR上點(diǎn)鼠標(biāo)右鍵,選擇“權(quán)限”。
第三步、在彈出的對(duì)RDPDR設(shè)置權(quán)限窗口后,將everyone組添加到完全控制權(quán)限,如果你只想讓某個(gè)特定的用戶(hù)遠(yuǎn)程管理該計(jì)算機(jī)的話(huà),將該帳戶(hù)添加到權(quán)限設(shè)置窗口中即可,記住一定要給予“完全控制”權(quán)限。
第四步、接下來(lái)將如下內(nèi)容復(fù)制到一個(gè)記事本txt文件中,并保存成后綴為.reg的文件。WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\RDPDR\\0000]"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}""Class"="System"
"HardwareID"=hex(7):52,00,4f,00,4f,00,54,00,5c,00,52,00,44,00,50,00,44,00,52,\\00,00,00,00,00
"Driver"="{4D36E97D-E325-11CE-BFC1-08002BE10318}\\\\0030""Mfg"="(標(biāo)準(zhǔn)系統(tǒng)設(shè)備)""Service"="rdpdr"
"DeviceDesc"="終端服務(wù)器設(shè)備重定向器""ConfigFlags"=dword:00000000"Capabilities"=dword:00000000
第五步、接下來(lái)我們雙擊運(yùn)行保存后的注冊(cè)表文件,當(dāng)出現(xiàn)“注冊(cè)表導(dǎo)入成功”的提示后說(shuō)明我們操作正確。第六步、再通過(guò)“開(kāi)始->運(yùn)行->輸入services.msc”,打開(kāi)服務(wù)管理窗口,找到名為“RemoteDesktopHelpSessionManager”和“Telnet”的服務(wù)并將服務(wù)開(kāi)啟。第七步、重新啟動(dòng)計(jì)算機(jī)后再通過(guò)遠(yuǎn)程桌面連接程序訪(fǎng)問(wèn)此臺(tái)計(jì)算機(jī)就不會(huì)再出現(xiàn)任何問(wèn)題了,程序自動(dòng)進(jìn)入輸入管理員帳號(hào)和密碼的步驟。
至此我們通過(guò)啟動(dòng)服務(wù)和導(dǎo)入注冊(cè)表,以及修改注冊(cè)表鍵值使用權(quán)限三個(gè)步驟完成了解決一連接遠(yuǎn)程桌面程序就中斷的故障,我們又可以輕松正常的使用遠(yuǎn)程管理程序操縱網(wǎng)絡(luò)另一端的計(jì)算機(jī)了。
②注冊(cè)表修改遠(yuǎn)程端口(如有必要的話(huà)以防攻擊)首先,開(kāi)始運(yùn)行輸入“regedit”,打開(kāi)本地工作站的注冊(cè)表編輯界面,找到項(xiàng),在右側(cè)找到并雙擊即可修改;其次,同樣找到項(xiàng),在右側(cè)找到并雙擊即可修改(兩次修改要完全一致);此時(shí),修改后的遠(yuǎn)程端口就可以用了(如果連接不上,就在運(yùn)行中輸入“gpupdate”刷新策略,并重啟服務(wù)器);另外,如果安裝了防火墻,在更改了遠(yuǎn)程登陸的端口請(qǐng)記得在系防火墻上打開(kāi)這個(gè)例外端口
③網(wǎng)絡(luò)連接里打開(kāi)遠(yuǎn)程端口【網(wǎng)上鄰居】右擊“屬性”找到【本地連接】右擊“屬性”屬性在右下角找到“高級(jí)”單機(jī)“選項(xiàng)選擇“屬性”勾選,并選擇“全部允許”(也可
以只允許幾個(gè)個(gè)別的端口)
若開(kāi)啟了防火墻,則在中選擇的“例外”,勾選項(xiàng),或選擇自定義一條策略,將自己新修改的遠(yuǎn)程端口加上以上所講述的只是適用于Windows系統(tǒng)的,下面是有關(guān)Linux修改遠(yuǎn)程SSH的端口號(hào)的linux修改端口
首先,修改配置文件:vi/etc/ssh/sshd_config找到#Port22一段,這里是標(biāo)識(shí)默認(rèn)使用22端口,修改為如下:Port22Port50000
然后保存退出,執(zhí)行/etc/init.d/sshdrestart,這樣SSH端口將同時(shí)工作與22和50000上。然后,編輯防火墻配置:vi/etc/sysconfig/iptables啟用50000端口。
執(zhí)行/etc/init.d/iptablesrestart,現(xiàn)在請(qǐng)使用ssh工具連接50000端口,來(lái)測(cè)試是否成功。如果連接成功了,則再次編輯sshd_config的設(shè)置,將里邊的Port22刪除,即可
擴(kuò)展閱讀:IDC運(yùn)維總結(jié)
IDC運(yùn)維總結(jié)
作者:企鵝(編注)
IDC運(yùn)維總結(jié)第-2-頁(yè)
目錄
一、遠(yuǎn)程連接3二、網(wǎng)頁(yè)打不開(kāi)7三、機(jī)房攻擊11
附錄17
附錄一:IP攻擊方式一18附錄二:IP攻擊方式二20附錄三:通州機(jī)房網(wǎng)絡(luò)故障記錄一26附錄四:通州機(jī)房網(wǎng)絡(luò)故障記錄二30
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-3-頁(yè)
一、遠(yuǎn)程連接
問(wèn):遠(yuǎn)程連接不上原因何為?或遠(yuǎn)程連接時(shí)斷時(shí)續(xù),究竟因從何處?(通過(guò)遠(yuǎn)程桌面連接程序訪(fǎng)問(wèn)時(shí)卻出現(xiàn)了“中斷遠(yuǎn)程桌面連接,遠(yuǎn)程計(jì)算機(jī)已結(jié)束連接”的提示)
答:其實(shí),遠(yuǎn)程一旦中斷,首先要確保網(wǎng)線(xiàn)有無(wú)問(wèn)題,交換機(jī)端口是否有問(wèn)題,其次在說(shuō)別的原因。
第一、遠(yuǎn)程連接不上首當(dāng)其沖要檢查網(wǎng)絡(luò)的穩(wěn)定性(這其中包括客戶(hù)端方和服務(wù)器方的網(wǎng)絡(luò)訪(fǎng)問(wèn)情況及其穩(wěn)定性)并查看是否有攻擊或受到了攻擊的影響;
第二、保證服務(wù)器的質(zhì)量問(wèn)題,即服務(wù)器的老化時(shí)間;再者,查看服務(wù)器是否是已長(zhǎng)時(shí)間訪(fǎng)問(wèn)或運(yùn)行,或者服務(wù)器有無(wú)死機(jī)、宕機(jī),溫度是否過(guò)高(重啟即可),保證服務(wù)器的正常運(yùn)行
第三、客戶(hù)在遠(yuǎn)程服務(wù)器時(shí)做了一些不當(dāng)操作(比如使用360軟件進(jìn)行開(kāi)機(jī)加速一鍵優(yōu)化時(shí)關(guān)閉了遠(yuǎn)程連接;擅自修改遠(yuǎn)程端口;開(kāi)啟防火墻卻未做一些相關(guān)設(shè)置等)
解決辦法①開(kāi)啟遠(yuǎn)程連接:【我的電腦】右擊“屬性”選項(xiàng)“遠(yuǎn)程”勾選項(xiàng)用戶(hù)的密碼)
問(wèn)題補(bǔ)充:可以連接到該計(jì)算機(jī),但是馬上中斷。懷疑是否在遠(yuǎn)程桌面登錄時(shí)是默認(rèn)使用當(dāng)前帳戶(hù)的,所以將自己的計(jì)算機(jī)帳戶(hù)和密碼設(shè)置為和遠(yuǎn)程那臺(tái)計(jì)算機(jī)一致,誰(shuí)知道問(wèn)題依舊?磥(lái)故障應(yīng)該是該計(jì)算機(jī)遠(yuǎn)程桌面服務(wù)本身的設(shè)置問(wèn)題。
解決辦法:第一步、通過(guò)“開(kāi)始->運(yùn)行->輸入regedit”,打開(kāi)注冊(cè)表編
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-63701600
確定(檢查是否已設(shè)管理員或遠(yuǎn)程IDC運(yùn)維總結(jié)第-4-頁(yè)
輯器。
第二步、找到
左側(cè)的RDPDR上點(diǎn)鼠標(biāo)右鍵,選擇“權(quán)限”。
第三步、在彈出的對(duì)RDPDR設(shè)置權(quán)限窗口后,將everyone組添加到完全控制權(quán)限,如果你只想讓某個(gè)特定的用戶(hù)遠(yuǎn)程管理該計(jì)算機(jī)的話(huà),將該帳戶(hù)添加到權(quán)限設(shè)置窗口中即可,記住一定要給予“完全控制”權(quán)限。
第四步、接下來(lái)將如下內(nèi)容復(fù)制到一個(gè)記事本txt文件中,并保存成后綴為.reg的文件。
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\RDPDR\\0000]"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}""Class"="System"
"HardwareID"=hex(7):52,00,4f,00,4f,00,54,00,5c,00,52,00,44,00,50,00,44,00,52,\\
00,00,00,00,00
"Driver"="{4D36E97D-E325-11CE-BFC1-08002BE10318}\\\\0030""Mfg"="(標(biāo)準(zhǔn)系統(tǒng)設(shè)備)""Service"="rdpdr"
"DeviceDesc"="終端服務(wù)器設(shè)備重定向器""ConfigFlags"=dword:00000000"Capabilities"=dword:00000000
第五步、接下來(lái)我們雙擊運(yùn)行保存后的注冊(cè)表文件,當(dāng)出現(xiàn)“注冊(cè)表導(dǎo)入成功”的提示后說(shuō)明我們操作正確。
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-63701600
鍵值,在IDC運(yùn)維總結(jié)第-5-頁(yè)
第六步、再通過(guò)“開(kāi)始->運(yùn)行->輸入services.msc”,打開(kāi)服務(wù)管理窗口,找到名為“RemoteDesktopHelpSessionManager”和“Telnet”的服務(wù)并將服務(wù)開(kāi)啟。
第七步、重新啟動(dòng)計(jì)算機(jī)后再通過(guò)遠(yuǎn)程桌面連接程序訪(fǎng)問(wèn)此臺(tái)計(jì)算機(jī)就不會(huì)再出現(xiàn)任何問(wèn)題了,程序自動(dòng)進(jìn)入輸入管理員帳號(hào)和密碼的步驟。
至此我們通過(guò)啟動(dòng)服務(wù)和導(dǎo)入注冊(cè)表,以及修改注冊(cè)表鍵值使用權(quán)限三個(gè)步驟完成了解決一連接遠(yuǎn)程桌面程序就中斷的故障,我們又可以輕松正常的使用遠(yuǎn)程管理程序操縱網(wǎng)絡(luò)另一端的計(jì)算機(jī)了。
②注冊(cè)表修改遠(yuǎn)程端口(如有必要的話(huà)以防攻擊)
首先,開(kāi)始運(yùn)行輸入“regedit”,打開(kāi)本地工作站的注冊(cè)表編輯界面,找到項(xiàng)在右側(cè)找到項(xiàng),在右側(cè)找到
并雙擊即可修改;其次,同樣找到
并雙擊即可修改(兩次修改要完全一致);此時(shí),修
,改后的遠(yuǎn)程端口就可以用了(如果連接不上,就在運(yùn)行中輸入“gpupdate”刷新策略,并重啟服務(wù)器);另外,如果安裝了防火墻,在更改了遠(yuǎn)程登陸的端口請(qǐng)記得在系防火墻上打開(kāi)這個(gè)例外端口
③網(wǎng)絡(luò)連接里打開(kāi)遠(yuǎn)程端口
【網(wǎng)上鄰居】右擊“屬性”找到【本地連接】右擊“屬性”屬性右下角“高級(jí)”單機(jī)“選項(xiàng)”,選擇
“屬性”勾選“
,”,
并選擇“全部允許”(也可以只允許幾個(gè)個(gè)別的端口)
若開(kāi)啟了防火墻,則在勾選
項(xiàng),或選擇
中選擇
的“例外”,
自定義一條策略,將自己新修改的遠(yuǎn)程端口
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-6-頁(yè)
加上。
以上所講述的只是適用于Windows系統(tǒng)的,下面是有關(guān)Linux修改遠(yuǎn)程SSH的端口號(hào)的
linux修改端口
首先,修改配置文件:vi/etc/ssh/sshd_config找到#Port22一段,這里是標(biāo)識(shí)默認(rèn)使用22端口,修改為如下:
Port22Port50000
然后保存退出,執(zhí)行/etc/init.d/sshdrestart,這樣SSH端口將同時(shí)工作與22和50000上。
然后,編輯防火墻配置:vi/etc/sysconfig/iptables啟用50000端口。執(zhí)行/etc/init.d/iptablesrestart,現(xiàn)在請(qǐng)使用ssh工具連接50000端口,來(lái)測(cè)試是否成功。如果連接成功了,則再次編輯sshd_config的設(shè)置,將里邊的Port22刪除,即可。
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-7-頁(yè)
二、網(wǎng)頁(yè)打不開(kāi)
問(wèn):網(wǎng)頁(yè)打不開(kāi),瀏覽器打不開(kāi),怎么辦?
答:出現(xiàn)此類(lèi)問(wèn)題首先先看一下網(wǎng)絡(luò)是否正常、服務(wù)器是否正常運(yùn)行,
再言其他。倘若,網(wǎng)絡(luò)和服務(wù)器均正常,再看下面:
第一、網(wǎng)絡(luò)設(shè)置的問(wèn)題
這種原因比較多出現(xiàn)在需要手動(dòng)指定IP、網(wǎng)關(guān)、DNS服務(wù)器聯(lián)網(wǎng)方式下,及使用代理服務(wù)器上網(wǎng)的(仔細(xì)檢查計(jì)算機(jī)的網(wǎng)絡(luò)設(shè)置)。
第二、DNS服務(wù)器的問(wèn)題
當(dāng)IE無(wú)法瀏覽網(wǎng)頁(yè)時(shí),可先嘗試用IP地址來(lái)訪(fǎng)問(wèn),如果可以訪(fǎng)問(wèn),那么應(yīng)該是DNS的問(wèn)題,造成DNS的問(wèn)題可能是連網(wǎng)時(shí)獲取DNS出錯(cuò)或DNS服務(wù)器本身問(wèn)題,這時(shí)你可以手動(dòng)付—NS服務(wù)(地址可以是你當(dāng)?shù)豂SP提供的DNS服務(wù)器地址,也可以用其它地方可正常使用DNS服務(wù)器地址。)在網(wǎng)絡(luò)的屬性里進(jìn)行,(控制面板網(wǎng)絡(luò)和拔號(hào)連接本地連接右鍵屬性TCP/IP協(xié)議屬性使用下面的DNS服務(wù)器地址)。不同的ISP有不同的DNS地址。有時(shí)候則是路由器或網(wǎng)卡的問(wèn)題,無(wú)法與ISP的DNS服務(wù)連接,這種情況的話(huà),可把路由器關(guān)一會(huì)再開(kāi),或者重新設(shè)置路由器。還有一種可能,是本地DNS緩存出現(xiàn)了問(wèn)題。為了提高網(wǎng)站訪(fǎng)問(wèn)速度,系統(tǒng)會(huì)自動(dòng)將已經(jīng)訪(fǎng)問(wèn)過(guò)并獲取IP地址的網(wǎng)站存入本地的DNS緩存里,一旦再對(duì)這個(gè)網(wǎng)站進(jìn)行訪(fǎng)問(wèn),則不再通過(guò)DNS服務(wù)器而直接從本地DNS緩存取出該網(wǎng)站的IP地址進(jìn)行訪(fǎng)問(wèn)。所以,如果本地DNS緩存出現(xiàn)了問(wèn)題,會(huì)導(dǎo)致網(wǎng)站無(wú)法訪(fǎng)問(wèn)。可以在“運(yùn)行”中執(zhí)行ipconfig/flushdns來(lái)清除本地DNS緩存。
第三、IE瀏覽器本身的問(wèn)題
當(dāng)IE瀏覽器本身出現(xiàn)故障時(shí),自然會(huì)影響到瀏覽了;或者IE被惡意修
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-8-頁(yè)
改破壞也會(huì)導(dǎo)致無(wú)法瀏覽網(wǎng)頁(yè)。這時(shí)可以嘗試用“黃山IE修復(fù)專(zhuān)家”來(lái)修復(fù)(建議到安全模式下修復(fù)),或者重新IE。
第四、網(wǎng)絡(luò)防火墻的問(wèn)題
如果網(wǎng)絡(luò)防火墻設(shè)置不當(dāng),如安全等級(jí)過(guò)高、不小心把IE放進(jìn)了阻止訪(fǎng)問(wèn)列表、錯(cuò)誤的防火墻策略等,可嘗試檢查策略、降低防火墻安全等級(jí)或直接關(guān)掉試試是否恢復(fù)正常。
第五、網(wǎng)絡(luò)協(xié)議和網(wǎng)卡驅(qū)動(dòng)的問(wèn)題
IE無(wú)法瀏覽,有可能是網(wǎng)絡(luò)協(xié)議(特別是TCP/IP協(xié)議)或網(wǎng)卡驅(qū)動(dòng)損壞導(dǎo)致,可嘗試重新網(wǎng)卡驅(qū)動(dòng)和網(wǎng)絡(luò)協(xié)議。
第六、HOSTS文件的問(wèn)題
HOSTS文件被修改,也會(huì)導(dǎo)致瀏覽的不正常,解決方法當(dāng)然是清空HOSTS文件里的內(nèi)容。
第七、系統(tǒng)文件的問(wèn)題
當(dāng)與IE有關(guān)的系統(tǒng)文件被更換或損壞時(shí),會(huì)影響到IE正常的使用,這時(shí)可使用SFC命令修復(fù)一下,WIN98系統(tǒng)可在“運(yùn)行”中執(zhí)行SFC,然后執(zhí)行掃描;WIN201*/XP/201*則在“運(yùn)行”中執(zhí)行sfc/scannow嘗試修復(fù)。其中當(dāng)只有IE無(wú)法瀏覽網(wǎng)頁(yè),而QQ可以上時(shí),則往往由于winsock.dll、wsock32.dll或wsock.vxd(VXD只在WIN9X系統(tǒng)下存在)等文件損壞或丟失造成,Winsock是構(gòu)成TCP/IP協(xié)議的重要組成部分,一般要重裝TCP/IP協(xié)議。但xp開(kāi)始集成TCP/IP協(xié)議,所以不能像98那樣簡(jiǎn)單卸載后重裝,可以使用netsh命令重置TCP/IP協(xié)議,使其恢復(fù)到初次安裝操作系統(tǒng)時(shí)的狀態(tài)。
具體操作如下:【開(kāi)始】運(yùn)行輸入“CMD”命令輸入“netshintipresetc:\\resetlog.txt”命令(其中“resetlog.txt”
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-9-頁(yè)
文件是用來(lái)記錄命令執(zhí)行結(jié)果的日志文件,該參數(shù)選項(xiàng)必須指定,這里指定的日志文件的完整路徑是“c:\\resetlog.txt”。執(zhí)行此命令后的結(jié)果與刪除并重新安裝TCP/IP協(xié)議的效果相同)。
小提示:netsh命令是一個(gè)基于命令行的腳本編寫(xiě)工具,你可以使用此命令配置和監(jiān)視Windows系統(tǒng),此外它還提供了交互式網(wǎng)絡(luò)外殼程序接口,netsh命令的使用格式請(qǐng)參看幫助文件(在令提示符窗口中輸入“netsh/?”即可)。第二個(gè)解決方法是修復(fù)以上文件,WIN9X使用SFC重新提取以上文件,WIN201*/XP/201*使用sfc/scannow命令修復(fù)文件,當(dāng)用sfc/scannow無(wú)法修復(fù)時(shí),可試試網(wǎng)上發(fā)布的專(zhuān)門(mén)針對(duì)這個(gè)問(wèn)題的修復(fù)工具WinSockFix。
第八、殺毒軟件的實(shí)時(shí)監(jiān)控問(wèn)題
這倒不是經(jīng)常見(jiàn),但有時(shí)的確跟實(shí)時(shí)監(jiān)控有關(guān),因?yàn)楝F(xiàn)在殺毒軟件的實(shí)時(shí)監(jiān)控都添加了對(duì)網(wǎng)頁(yè)內(nèi)容的監(jiān)控。舉一個(gè)實(shí)例:KV201*就會(huì)在個(gè)別的機(jī)子上會(huì)導(dǎo)致IE無(wú)法瀏覽網(wǎng)頁(yè)(不少朋友遇到過(guò)),其具體表現(xiàn)是只要打開(kāi)網(wǎng)頁(yè)監(jiān)控,一開(kāi)機(jī)上網(wǎng)大約20來(lái)分鐘后,IE就會(huì)無(wú)法瀏覽網(wǎng)頁(yè)了,這時(shí)如果把KV201*的網(wǎng)頁(yè)監(jiān)控關(guān)掉,就一切恢復(fù)正常;經(jīng)過(guò)徹底地重裝KV201*也無(wú)法解決。雖然并不是安裝KV201*的每臺(tái)機(jī)子都會(huì)出現(xiàn)這種問(wèn)題,畢竟每臺(tái)機(jī)子的系統(tǒng)有差異,安裝的程序也不一樣。但如果出現(xiàn)IE無(wú)法瀏覽網(wǎng)頁(yè)時(shí),也要注意檢查一下殺毒軟件。
第九、ApplicationManagement服務(wù)的問(wèn)題
出現(xiàn)只能上QQ不能開(kāi)網(wǎng)頁(yè)的情況,重新啟動(dòng)后就好了。不過(guò)就算重新啟動(dòng),開(kāi)7到8個(gè)網(wǎng)頁(yè)后又不能開(kāi)網(wǎng)頁(yè)了,只能上QQ。有時(shí)電信往往會(huì)讓你禁用ApplicationManagement服務(wù),就能解決了。具體原因不明。
第十、感染了病毒所致
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-10-頁(yè)
這種情況往往表現(xiàn)在打開(kāi)IE時(shí),在IE界面的左下框里提示:正在打開(kāi)網(wǎng)頁(yè),但老半天沒(méi)響應(yīng)。在任務(wù)管理器里查看進(jìn)程,(進(jìn)入方法,把鼠標(biāo)放在任務(wù)欄上,按右鍵任務(wù)管理器進(jìn)程)看看CPU的占用率如何,如果是100%,可以肯定,是感染了病毒,這時(shí)你想運(yùn)行其他程序簡(jiǎn)直就是受罪。這就要查查是哪個(gè)進(jìn)程貪婪地占用了CPU資源.找到后,最好把名稱(chēng)記錄下來(lái),然后點(diǎn)擊結(jié)束,如果不能結(jié)束,則要啟動(dòng)到安全模式下把該東東刪除,還要進(jìn)入注冊(cè)表里,(方法:開(kāi)始運(yùn)行,輸入regedit)在注冊(cè)表對(duì)話(huà)框里,點(diǎn)編輯查找,輸入那個(gè)程序名,找到后,點(diǎn)鼠標(biāo)右鍵刪除,然后再進(jìn)行幾次的搜索,往往能徹底刪除干凈。有很多的病毒,殺毒軟件無(wú)能為力時(shí),唯一的方法就是手動(dòng)刪除。
第十一、無(wú)法打開(kāi)二級(jí)鏈接
還有一種現(xiàn)象也需特別留意:就是能打開(kāi)網(wǎng)站的首頁(yè),但不能打開(kāi)二級(jí)鏈接,如果是這樣,處理的方法是重新注冊(cè)如下的DLL文件:在開(kāi)始運(yùn)行里輸入:regsvr32Shdocvw.dll
regsvr32Shell32.dll(注意這個(gè)命令,先不用輸)regsvr32Oleaut32.dllregsvr32Actxprxy.dllregsvr32Mshtml.dllregsvr32Urlmon.dllregsvr32Msjava.dllregsvr32Browseui.dll
注意:每輸入一條,按回車(chē)。第二個(gè)命令可以先不用輸,輸完這些命令后重新啟動(dòng)windows,如果發(fā)現(xiàn)無(wú)效,再重新輸入一遍,這次輸入第二個(gè)命令。
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-11-頁(yè)
三、機(jī)房攻擊
問(wèn):如何查看機(jī)房是否受到攻擊?答:首先要知道攻擊的原理。其原理如下:
(1)源地址欺騙(SourceAddressSpoofing)、IP欺騙(IPSpoofing)和DNS欺騙(DNSSpoofing).其基本原理:是利用IP地址并不是出廠的時(shí)候與MAC固定在一起的,攻擊者通過(guò)自封包和修改網(wǎng)絡(luò)節(jié)點(diǎn)的IP地址,冒充某個(gè)可信節(jié)點(diǎn)的IP地址,進(jìn)行攻擊。主要有三種手法:
1.癱瘓真正擁有IP的可信主機(jī),偽裝可信主機(jī)攻擊服務(wù)器;2.中間人攻擊;
3.DNS欺騙(DNSSpoofing)和“會(huì)話(huà)劫持”(SessionHijack);(2)源路由選擇欺騙(SourceRoutingSpoofing)。原理:利用IP數(shù)據(jù)包中的一個(gè)選項(xiàng)-IPSourceRouting來(lái)指定路由,利用可信用戶(hù)對(duì)服務(wù)器進(jìn)行攻擊,特別是基于UDP協(xié)議的由于其是面向非連接的,更容易被利用來(lái)攻擊;
(3)路由選擇信息協(xié)議攻擊(RIPAttacks)。原理:攻擊者在網(wǎng)上發(fā)布假的路由信息,再通過(guò)ICMP重定向來(lái)欺騙服務(wù)器路由器和主機(jī),將正常的路由器標(biāo)志為失效,從而達(dá)到攻擊的目的。
(4)TCP序列號(hào)欺騙和攻擊(TCPSequenceNumberSpoofingandAttack),基本有三種:
1.偽造TCP序列號(hào),構(gòu)造一個(gè)偽裝的TCP封包,對(duì)網(wǎng)絡(luò)上可信主機(jī)進(jìn)行攻擊;
2.SYN攻擊(SYNAttack)。這類(lèi)攻擊手法花樣很多,蔚為大觀。但是其原理基本一致,讓TCP協(xié)議無(wú)法完成三次握手協(xié)議;
3.Teardrop攻擊(TeardropAttack)和Land攻擊(LandAttack)。原理:
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-12-頁(yè)
利用系統(tǒng)接收IP數(shù)據(jù)包,對(duì)數(shù)據(jù)包長(zhǎng)度和偏移不嚴(yán)格的漏洞進(jìn)行的。
下面將要介紹一些利用TCP/IP協(xié)議的處理程序中錯(cuò)誤進(jìn)行攻擊的原理:這些攻擊包括當(dāng)前流行的Teardrop和Land攻擊。利用協(xié)議實(shí)現(xiàn)的攻擊方法,都是故意錯(cuò)誤地設(shè)定數(shù)據(jù)包頭的一些重要字段,例如,IP包頭部的TotalLength、Fragmentoffset、IHL和Sourceaddress等字段。使用RawSocket將這些錯(cuò)誤的IP數(shù)據(jù)包發(fā)送出去。在接受數(shù)據(jù)端,接收程序通常都存在一些問(wèn)題,因而在將接受到的數(shù)據(jù)包組裝成一個(gè)完整的數(shù)據(jù)包的過(guò)程中,就會(huì)使系統(tǒng)當(dāng)機(jī)、掛起或系統(tǒng)崩潰(具體的攻擊方式詳見(jiàn)附錄一和二)。
既然明白了這些,TCP/IP攻擊便顯而易見(jiàn),接下來(lái)就是實(shí)時(shí)分析,在機(jī)房中觀察流量圖或抓包如何判斷該網(wǎng)絡(luò)或某一臺(tái)服務(wù)器是否受到攻擊。
圖一
圖二
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-13-頁(yè)
圖三
很顯然,圖一受到了瞬間閃斷的攻擊,而圖二和圖三則不然,是客戶(hù)訪(fǎng)問(wèn)下載量過(guò)大,導(dǎo)致流量超高,而不是受到了攻擊(具體的攻擊詳見(jiàn)附錄三和四)。
下面分析一下抓包文件:
圖四
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-14-頁(yè)
圖五
圖六
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-15-頁(yè)
圖七
圖八
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-16-頁(yè)
圖九
分析:
圖四至圖七很明顯是均是機(jī)房服務(wù)器119.161.130.117、119.161.130.119、123.108.221.107、119.161.130.21均受到來(lái)自外界的攻擊,攻擊者(或黑客)通過(guò)模擬IP來(lái)造成對(duì)服務(wù)器的大量連接數(shù)和ping攻擊從而使得服務(wù)器遭受崩潰至流量受阻或流量超高;然而對(duì)比看圖八和圖九則是正常的抓包,以此來(lái)更加確定你的判斷是否受到攻擊
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-17-頁(yè)
附錄
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-18-頁(yè)
附錄一:IP攻擊一
1.OOB攻擊
這是利用NETBIOS中一個(gè)OOB(OutofBand)的漏洞而來(lái)進(jìn)行的,它的原理是通過(guò)TCP/IP協(xié)議傳遞一個(gè)數(shù)據(jù)包到計(jì)算機(jī)某個(gè)開(kāi)放的端口上(一般是137、138和139),當(dāng)計(jì)算機(jī)收到這個(gè)數(shù)據(jù)包之后就會(huì)瞬間死機(jī)或者藍(lán)屏現(xiàn)象,不重新啟動(dòng)計(jì)算機(jī)就無(wú)法繼續(xù)使用TCP/IP協(xié)議來(lái)訪(fǎng)問(wèn)網(wǎng)絡(luò)。
2.DoS攻擊
這是針對(duì)Windows9X所使用的ICMP協(xié)議進(jìn)行的DOS(DenialofService,拒絕服務(wù))攻擊,一般來(lái)說(shuō),這種攻擊是利用對(duì)方計(jì)算機(jī)上所安裝協(xié)議的漏洞來(lái)連續(xù)發(fā)送大量的數(shù)據(jù)包,造成對(duì)方計(jì)算機(jī)的死機(jī)。
3.WinNuke攻擊
目前的WinNuke系列工具已經(jīng)從最初的簡(jiǎn)單選擇IP攻擊某個(gè)端口發(fā)展到可以攻擊一個(gè)IP區(qū)間范圍的計(jì)算機(jī),并且可以進(jìn)行連續(xù)攻擊,還能夠驗(yàn)證攻擊的效果,還可以對(duì)檢測(cè)和選擇端口,所以使用它可以造成某一個(gè)IP地址區(qū)間的計(jì)算機(jī)全部藍(lán)屏死機(jī)。
4.SSPing
這是一個(gè)IP攻擊工具,它的工作原理是向?qū)Ψ降挠?jì)算機(jī)連續(xù)發(fā)出大型的ICMP數(shù)據(jù)包,被攻擊的機(jī)器此時(shí)會(huì)試圖將這些文件包合并處理,從而造成系統(tǒng)死機(jī)。$TL"i-p:s
5.TearDrop攻擊
這種攻擊方式利用那些在TCP/IP堆棧實(shí)現(xiàn)中信任IP碎片中的包的標(biāo)題頭所包含的信息來(lái)實(shí)現(xiàn)自己的攻擊,由于IP分段中含有指示該分段所包含的是原包哪一段的信息,所以一些操作系統(tǒng)下的TCP/IP協(xié)議在收到含有重疊
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-19-頁(yè)
偏移的偽造分段時(shí)將崩潰。TeadDrop最大的特點(diǎn)是除了能夠?qū)indows9X/NT進(jìn)行攻擊之外,連Linux也不能幸免。
TCP/IP攻擊原理
利用協(xié)議實(shí)現(xiàn)的攻擊方法,都是故意錯(cuò)誤地設(shè)定數(shù)據(jù)包頭的一些重要字段,例如,IP包頭部的TotalLength、Fragmentoffset、IHL和Sourceaddress等字段。使用RawSocket將這些錯(cuò)誤的IP數(shù)據(jù)包發(fā)送出去。在接受數(shù)據(jù)端,接收程序通常都存在一些問(wèn)題,因而在將接受到的數(shù)據(jù)包組裝成一個(gè)完整的數(shù)據(jù)包的過(guò)程中,就會(huì)使系統(tǒng)當(dāng)機(jī)、掛起或系統(tǒng)崩潰。
在下章,我們將結(jié)合一些程序來(lái)討論這種攻擊能夠?qū)嵤┑脑淼耐瑫r(shí),讀者也可以使用這些程序來(lái)檢查自己系統(tǒng)針對(duì)這類(lèi)攻擊的安全程度,并采取相應(yīng)的措施。
在最后,是一個(gè)服務(wù)程序錯(cuò)誤而導(dǎo)致攻擊的例子:OOB。
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-20-頁(yè)
附錄二:IP攻擊二
1、攻擊的現(xiàn)象及其后果
使用了Windows95和Windows98NT的人們都經(jīng)歷過(guò)系統(tǒng)陷入混亂,對(duì)任何輸入都沒(méi)有響應(yīng)的情況。這時(shí)候,屏幕出現(xiàn)藍(lán)屏,遲遲無(wú)法重新刷新。按下Ctrl+Alt+Del時(shí),看到系統(tǒng)CPU利用率達(dá)到100%,同時(shí)顯示一個(gè)應(yīng)用程序無(wú)響應(yīng)。這是程序出錯(cuò)或者使用了盜版軟件的緣故。通過(guò)網(wǎng)絡(luò),也可以使正在使用的計(jì)算機(jī)出現(xiàn)這種無(wú)響應(yīng)、死機(jī)的現(xiàn)象。事實(shí)上,大量的程序往往經(jīng)不住人們惡意的攻擊。
人們已經(jīng)使用了許多方法來(lái)專(zhuān)門(mén)對(duì)付上網(wǎng)的Windows95和WindowsNT。目前,能夠?qū)indows95和WindowsNT進(jìn)行攻擊的方法很多,當(dāng)前流行的有:tearDrop(也稱(chēng)為“淚滴”)、OOB、Land和PingofDeath等。其中,關(guān)于PingofDeath在緩沖區(qū)溢出一章中對(duì)這種攻擊做了介紹,并給出了一些對(duì)策。
一般的攻擊過(guò)程是這樣的:當(dāng)入侵者發(fā)現(xiàn)了一臺(tái)Windows95或者WindowsNT(這只需用端口掃描工具掃一下就可以辨認(rèn)出來(lái)),便用一個(gè)OOB或者TearDrop攻擊,再次用ping命令時(shí),目標(biāo)主機(jī)就沒(méi)有響應(yīng)了。事實(shí)上,這些攻擊并不是局限于WindowsNT和Windows95平臺(tái),一些攻擊,如Land已被發(fā)現(xiàn)對(duì)Linux、Cisco路由器以及其他大量的UNIX操作系統(tǒng)都具有相當(dāng)?shù)墓裟芰Α?/p>
能夠?qū)嵤┻@種攻擊的原因是在Windows95和WindowsNT中存在錯(cuò)誤,這是一種處理TCP/IP協(xié)議或者服務(wù)程序的錯(cuò)誤。人們利用這些錯(cuò)誤。通過(guò)給端口送一些故意弄錯(cuò)的數(shù)據(jù)包,在這個(gè)數(shù)據(jù)包的偏移字段和長(zhǎng)度字段,寫(xiě)入一個(gè)過(guò)大或過(guò)小的值。Windows95和WindowsNT都不能處理這個(gè)情況,然后
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-21-頁(yè)
Windows95就先變成藍(lán)屏,WindowsNT是非死機(jī)不可。據(jù)稱(chēng)TearDrop可以使被攻擊的主機(jī)立刻當(dāng)機(jī)。
這些攻擊的危險(xiǎn)性在于可以通過(guò)網(wǎng)絡(luò)發(fā)起攻擊,當(dāng)攻擊者發(fā)現(xiàn)了一臺(tái)上網(wǎng)的Windows95、WindowsNT或者Linux操作系統(tǒng)主機(jī)時(shí),只需啟動(dòng)這一程序,輸入入口參數(shù)假冒IP、端口號(hào),被攻擊主機(jī)的IP地址和端口號(hào),便可以發(fā)起攻擊了。通常是Linux一遭到攻擊就當(dāng)機(jī),而Windows在受到十幾次攻擊之后也會(huì)死機(jī)。這時(shí)候,用ping命令,被攻擊的主機(jī)就再也沒(méi)有回應(yīng)了。
服務(wù)程序存在錯(cuò)誤的情況是很多的,例如,WindowsNT中的RPC服務(wù)存在漏洞。某個(gè)用戶(hù)可以遠(yuǎn)程登錄到WindowsNT3。5x或者服務(wù)器的端口135,并任意輸入10個(gè)字符,然后回車(chē),切斷連接。這便可以使目標(biāo)主機(jī)的CPU利用率達(dá)到100%。雖然一個(gè)簡(jiǎn)單的重啟動(dòng)就消除了這個(gè)問(wèn)題,但畢竟這是很討厭的,是系統(tǒng)安全的重要隱患并嚴(yán)重地影響系統(tǒng)性能。
對(duì)于OOB攻擊,人們已經(jīng)提出一些對(duì)策,如在WindowsNT4.0中,呆以對(duì)發(fā)到端口若懸河39的包進(jìn)行過(guò)濾等,都需要對(duì)系統(tǒng)的網(wǎng)絡(luò)設(shè)置進(jìn)行一番配置,來(lái)分別處理拔號(hào)上網(wǎng)和使用LAN的情況。
目前網(wǎng)上已經(jīng)出現(xiàn)補(bǔ)丁程序,用來(lái)對(duì)付這些攻擊方法的攻擊。在Windows95和WindowsNT上的安裝非常簡(jiǎn)單,只需運(yùn)行一下安裝包即可。在沒(méi)有找到補(bǔ)丁程序之前,也可能性安裝一個(gè)PC防火墻。該工具非常有效,例如,當(dāng)禁止從主機(jī)的所有端口發(fā)出數(shù)據(jù)包,同時(shí)禁止數(shù)據(jù)包發(fā)向本主機(jī)的所有端口時(shí),實(shí)際上已將本主機(jī)應(yīng)用層的服務(wù)功能和訪(fǎng)問(wèn)功能切斷。此時(shí),雖然可以ping通一臺(tái)有帳戶(hù)和口令的UNIX主機(jī),但卻地法登上(telnet)該主機(jī)或從該主機(jī)用ftp取回文件。
可以用該工具來(lái)過(guò)濾發(fā)向本主機(jī)一些端口(例如139)的數(shù)據(jù)包。
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-22-頁(yè)
2、淚滴(TearDrop)攻擊工具
這個(gè)攻擊工具起名為淚滴,它確實(shí)可以讓人們恨得咬牙切齒。當(dāng)辛苦的勞動(dòng)成果突然因?yàn)橐淮文涿畹漠?dāng)機(jī)而化為烏有。也許,這次當(dāng)機(jī)便是一個(gè)人隨意地向你的計(jì)算機(jī)動(dòng)了一次小小的攻擊所致。
這個(gè)攻擊利用的是系統(tǒng)在實(shí)現(xiàn)時(shí)的一個(gè)錯(cuò)誤,我們以L(fǎng)inux上的一個(gè)實(shí)現(xiàn)為例,也就是說(shuō),某些Linux操作系統(tǒng)也是脆弱的,我們也可以用這種方法攻擊Linux操作系統(tǒng)。
Linux操作系統(tǒng)在它的IP數(shù)據(jù)包重裝模塊有一個(gè)嚴(yán)重的錯(cuò)誤,更確切一點(diǎn)地說(shuō),是在ip-glue()函數(shù)中。當(dāng)Linux收到一個(gè)個(gè)IP包,送到IP層進(jìn)行組裝,以形成發(fā)送端原來(lái)的IP包時(shí),它將進(jìn)入了一個(gè)循環(huán)中,將接收隊(duì)列中的一個(gè)個(gè)數(shù)據(jù)包中的有效數(shù)據(jù),拷貝到一個(gè)新分配的緩沖區(qū)中。
這段代碼如下:fp=qp->fragments;while(fp!=NULL){
if(count+fp->len>skb->len)]{
error-to-big;}
memcpy(ptr+fp->offaet),fp->ptr,fp->len);count+=fp->len;fp=fp->next;}
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-23-頁(yè)
在程序中,檢查了每段數(shù)據(jù)是否過(guò)長(zhǎng),因?yàn)槿绻麛?shù)據(jù)部分過(guò)長(zhǎng),將會(huì)向內(nèi)核拷貝過(guò)多的數(shù)據(jù),引起內(nèi)核發(fā)生某種危險(xiǎn)。然而在程序中并沒(méi)有檢查包中有效數(shù)據(jù)的長(zhǎng)度是否過(guò)分小,例如,當(dāng)表示包中數(shù)據(jù)長(zhǎng)度的變量變成了一個(gè)負(fù)數(shù)時(shí)(例如fp->lentot-len)ihl;
在正常情況下一切也正常。但是,當(dāng)我們精心準(zhǔn)備這樣的數(shù)據(jù)包,讓前后包中的“fragmentoffset”字段交疊在一起,會(huì)發(fā)生什么呢?
看看程序?qū)Α癴ragmentoffset”做了那些處理:if(prev!=NULL&&offset{
I=prev->endoffset;
Offset+=I:/*ptrintodatagram*/Ptr+=I/*ptrintofragmentdata*/}
如果我們發(fā)現(xiàn)當(dāng)前包的段偏移在前一包數(shù)據(jù)內(nèi)部,也就是說(shuō)根據(jù)偏移字段的值,前后兩數(shù)據(jù)包的數(shù)據(jù)部分有重疊。組裝程序試圖正確對(duì)齊它們的邊界。程序代碼如上所示。這一步是對(duì)的。除非當(dāng)前包中的有效數(shù)據(jù)碰巧沒(méi)有
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-24-頁(yè)
足夠的數(shù)據(jù)來(lái)滿(mǎn)足對(duì)齊的要求。在這種情況下,“offset”域中的值將會(huì)比“end”域中的值大。這兩個(gè)數(shù)值被交給“ip-frag-create()”模塊,在這個(gè)模塊中,將會(huì)計(jì)算當(dāng)前包的長(zhǎng)度。
/*Fillinthestructure.*/fp->offset=offset;fp->end=end;
fp->len=endoffset;
在這種極少見(jiàn)的情況下,計(jì)算出來(lái)的fp-len竟變成了一個(gè)負(fù)數(shù),于是memcpy()最終將會(huì)把大量的數(shù)據(jù)拷貝到內(nèi)核中,因?yàn)閙emcpy()中的記數(shù)器是一個(gè)反碼,是一個(gè)非常大的數(shù)值。根據(jù)使用的內(nèi)存管理機(jī)制的不同,將會(huì)引起系統(tǒng)重啟動(dòng)或停機(jī)。
這種情況完全可以通過(guò)編程來(lái)實(shí)現(xiàn),例如可以發(fā)送兩個(gè)特殊的數(shù)據(jù)包,第一個(gè)包中的“offset”域置為0,包中有效數(shù)據(jù)(IP數(shù)據(jù))長(zhǎng)度為N,MF位置1。第二個(gè)包中MF位置0,“offset”為一個(gè)小于N的數(shù),包中的IP數(shù)據(jù)也少于N。
當(dāng)將收到的兩個(gè)數(shù)據(jù)包組裝時(shí),先將第一個(gè)數(shù)據(jù)包拷貝到一個(gè)緩沖區(qū)中去,然后拷貝第二個(gè)數(shù)據(jù)包。因?yàn)?/p>
next->offset
cur->offset=next->offset+(pre->end-next->offest);cur->end=next->offest+(next->iph->tot-len)-ihl);cur->len=cur->end-cur->offest;
當(dāng)ntohs(next->iph->tot-len)-ihlend-next->offset)時(shí),錯(cuò)誤就發(fā)生了。這時(shí)候,cur->len為負(fù)數(shù)。
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-25-頁(yè)
在正常情況下,無(wú)法預(yù)言這種情況是否會(huì)發(fā)生,發(fā)生的頻率如何。但是在人為的情況下,尤其是在一處故意的情況下,那就一定會(huì)發(fā)生的。
人們可以自己編寫(xiě)發(fā)送raw數(shù)據(jù)包的程序。在數(shù)據(jù)包中,從IP包頭開(kāi)始,都可以填入自己想要的任意數(shù)值。而我們使用軟件并不能處理這類(lèi)非常復(fù)雜的情況。事實(shí)上,即使對(duì)軟件曾經(jīng)進(jìn)行了詳細(xì)的測(cè)試,也很難說(shuō)會(huì)發(fā)現(xiàn)這種錯(cuò)誤。
當(dāng)前的許多Linux的實(shí)現(xiàn)中都有這個(gè)錯(cuò)誤,向Linux發(fā)送很少幾個(gè)這樣的數(shù)據(jù)包,便可以引起Linux當(dāng)機(jī),因?yàn)橥ǔ_@種IP包重組和緩沖區(qū)開(kāi)在系統(tǒng)核心態(tài),緩沖區(qū)溢出將使系統(tǒng)崩潰。同樣地,向Windows95、WindowsNT發(fā)送10-15個(gè)這樣的包,也會(huì)引起死機(jī)。
現(xiàn)在在網(wǎng)上已經(jīng)出現(xiàn)了大量類(lèi)似這樣的程序,這些攻擊的方法依然是對(duì)一些字段使用錯(cuò)誤的值,但和“淚滴”相反,將段偏移字段寫(xiě)入一個(gè)大于頭的長(zhǎng)度的數(shù)值或者偽造UDP的長(zhǎng)度,直到偽造為真實(shí)長(zhǎng)度的兩倍。或者將原來(lái)專(zhuān)門(mén)攻擊53端口的程序改造為可以攻擊一系列端口。
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-26-頁(yè)
附錄三:通州機(jī)房網(wǎng)絡(luò)故障記錄一
201*年1月22日晚23:21到23:38左右,通州機(jī)房雙線(xiàn)客戶(hù)(119.161.146.34)受到攻擊,導(dǎo)致順義聯(lián)通G口和萬(wàn)通電信口擁塞,因?yàn)槌隹趲挷煌苡绊懗潭炔灰粯,順義聯(lián)通中斷4分鐘,萬(wàn)通電信中斷13分鐘,隨后攻擊量逐步減少,攻擊時(shí)間持續(xù)17-20分鐘左右,客戶(hù)受影響時(shí)長(zhǎng)約5-15分鐘不等,具體信息截圖如下:
受攻擊時(shí)抓包截圖
聯(lián)通G口故障時(shí)截圖
電信出口故障時(shí)截圖
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-27-頁(yè)
聯(lián)通封堵146.34后該地址Trace截圖
電信封堵146.34后該地址Trace截圖
PING監(jiān)控中斷截圖
PING監(jiān)控恢復(fù)截圖
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-28-頁(yè)
聯(lián)通ICMP質(zhì)量檢測(cè)截圖
電信ICMP質(zhì)量檢測(cè)截圖
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-29-頁(yè)
故障原因:通州機(jī)房用戶(hù)IP:119.161.146.34受到攻擊,力度較大,攻擊總量至少1G以上,從客戶(hù)了解到其服務(wù)器某些內(nèi)容被黑客盯上導(dǎo)致的攻擊。
處理結(jié)果:電信和聯(lián)通上層均接收我司申請(qǐng),對(duì)該IP進(jìn)行封堵,目前恢復(fù)正常。
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-30-頁(yè)
附錄四:通州機(jī)房網(wǎng)絡(luò)故障記錄二
201*年5月17日晚20:40到21:05左右,通州機(jī)房雙線(xiàn)客戶(hù)(119.161.148.203)受到攻擊,導(dǎo)致順義聯(lián)通G口和萬(wàn)通電信口擁塞,因?yàn)槌隹趲挷煌,?lián)通沒(méi)有影響,萬(wàn)通電信延時(shí)和丟包率增大,隨后立即進(jìn)行封堵和抓包,并讓客戶(hù)將該IP的域名全部切走,網(wǎng)絡(luò)恢復(fù)正常,攻擊時(shí)間持續(xù)25分鐘左右,其他客戶(hù)受影響時(shí)長(zhǎng)約5-15分鐘不等,具體信息截圖如下:
受攻擊時(shí)抓包截圖
聯(lián)通G口故障時(shí)截圖
電信出口故障時(shí)截圖
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-31-頁(yè)
PING監(jiān)控截圖
電信ICMP質(zhì)量檢測(cè)截圖
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016IDC運(yùn)維總結(jié)第-32-頁(yè)
受影響客戶(hù)截圖
故障原因:通州機(jī)房用戶(hù)IP:119.161.148.203受到攻擊,力度較大,總量在700M以上,斷定是由于客戶(hù)網(wǎng)站引起。
處理結(jié)果:聯(lián)通沒(méi)有影響,只對(duì)電信方向?qū)⒃揑P封堵,客戶(hù)將域名全切走后恢復(fù)正常。
北京市振隆科技股份有限公司地址:北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址:電話(huà):010-637016
友情提示:本文中關(guān)于《IDC運(yùn)維總結(jié)之遠(yuǎn)程連接》給出的范例僅供您參考拓展思維使用,IDC運(yùn)維總結(jié)之遠(yuǎn)程連接:該篇文章建議您自主創(chuàng)作。
來(lái)源:網(wǎng)絡(luò)整理 免責(zé)聲明:本文僅限學(xué)習(xí)分享,如產(chǎn)生版權(quán)問(wèn)題,請(qǐng)聯(lián)系我們及時(shí)刪除。