暴力解码器是什么,有多可怕。
概念有误啊:暴力解码器一般是用穷举法等算法在其他机子上破译你的密码;木马的前提是要输入到你的电脑里;所以用暴力解码器你在机子机子里杀木马根本就没作用;换密保可能作用也不大,可能是你的账号给漏了 因为要想破解一个人的账号的概率几乎是零 建议你重新换一个账号
有几种防止远程桌面被人攻击的方法
必须禁止的服务
1.NetMeeting Remote Desktop Sharing:允许受权的用户通过NetMeeting在网络上互相访问对方。这项服务对大多数个人用户并没有多大用处,况且服务的开启还会带来安全问题,因为上网时该服务会把用户名以明文形式发送到连接它的客户端,黑客的嗅探程序很容易就能探测到这些账户信息。
2.Universal Plug and Play Device Host:此服务是为通用的即插即用设备提供支持。这项服务存在一个安全漏洞,运行此服务的计算机很容易受到攻击。攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包,就可能会造成这些Win XP主机对指定的主机进行攻击(DDoS)。另外如果向该系统1900端口发送一个UDP包,令“Location”域的地址指向另一系统的chargen端口,就有可能使系统陷入一个死循环,消耗掉系统的所有资源(需要安装硬件时需手动开启)。
3.Messenger:俗称信使服务,电脑用户在局域网内可以利用它进行资料交换(传输客户端和服务器之间的Net Send和Alerter服务消息,此服务与Windows Messenger无关。如果服务停止,Alerter消息不会被传输)。这是一个危险而讨厌的服务,Messenger服务基本上是用在企业的网络管理上,但是垃圾邮件和垃圾广告厂商,也经常利用该服务发布弹出式广告,标题为“信使服务”。而且这项服务有漏洞,MSBlast和Slammer病毒就是用它来进行快速传播的。
4.Terminal Services:允许多位用户连接并控制一台机器,并且在远程计算机上显示桌面和应用程序。如果你不使用Win XP的远程控制功能,可以禁止它。
5.Remote Registry:使远程用户能修改此计算机上的注册表设置。注册表可以说是系统的核心内容,一般用户都不建议自行更改,更何况要让别人远程修改,所以这项服务是极其危险的。
6.Fast User Switching Compatibility:在多用户下为需要协助的应用程序提供管理。Windows XP允许在一台电脑上进行多用户之间的快速切换,但是这项功能有个漏洞,当你点击“开始→注销→快速切换”,在传统登录方式下重复输入一个用户名进行登录时,系统会认为是暴力破解,而锁定所有非管理员账户。如果不经常使用,可以禁止该服务。或者在“控制面板→用户账户→更改用户登录或注销方式”中取消“使用快速用户切换”。
7.Telnet:允许远程用户登录到此计算机并运行程序,并支持多种 TCP/IP Telnet客户,包括基于 UNIX 和 Windows 的计算机。又一个危险的服务,如果启动,远程用户就可以登录、访问本地的程序,甚至可以用它来修改你的ADSL Modem等的网络设置。除非你是网络专业人员或电脑不作为服务器使用,否则一定要禁止它。
8.Performance Logs And Alerts:收集本地或远程计算机基于预先配置的日程参数的性能数据,然后将此数据写入日志或触发警报。为了防止被远程计算机搜索数据,坚决禁止它。
9.Remote Desktop Help Session Manager:如果此服务被终止,远程协助将不可用。
10.TCP/IP NetBIOS Helper:NetBIOS在Win 9X下就经常有人用它来进行攻击,对于不需要文件和打印共享的用户,此项也可以禁用。
可以禁止的服务
以上十项服务是对安全威胁较大的服务,普通用户一定要禁用它。另外还有一些普通用户可以按需求禁止的服务:
1.Alerter:通知所选用户和计算机有关系统管理级警报。如果你未连上局域网且不需要管理警报,则可将其禁止。
2.Indexing Service:本地和远程计算机上文件的索引内容和属性,提供文件快速访问。这项服务对个人用户没有多大用处。
3.Application Layer Gateway Service:为Internet连接共享和Internet连接防火墙提供第三方协议插件的支持。如果你没有启用Internet连接共享或Windows XP的内置防火墙,可以禁止该服务。
4.Uninterruptible Power Supply:管理连接到计算机的不间断电源,没有安装UPS的用户可以禁用。
5.Print Spooler:将文件加载到内存中以便稍后打印。如果没装打印机,可以禁用。
6.Smart Card:管理计算机对智能卡的读取访问。基本上用不上,可以禁用。
7.Ssdp Discovery Service:启动家庭网络上的upnp设备自动发现。具有upnp的设备还不多,对于我们来说这个服务是没有用的。
8.Automatic Updates:自动从Windows Update网络更新补丁。利用Windows Update功能进行升级,速度太慢,建议大家通过多线程下载工具下载补丁到本地硬盘后,再进行升级。
9.Clipbook:启用“剪贴板查看器”储存信息并与远程计算机共享。如果不想与远程计算机进行信息共享,就可以禁止。
10.Imapi Cd-burning Com Service:用Imapi管理CD录制,虽然Win XP中内置了此功能,但是我们大多会选择专业刻录软件,另外如果没有安装刻录机的话,也可以禁止该服务。
11.Workstation:创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接都将不可用。
12.Error Reporting Service:服务和应用程序在非标准环境下运行时,允许错误报告。如果你不是专业人员,这个错误报告对你来说根本没用。
参考资料:
对付别人,有四种方法
5协议解码协议解码可用于以上任何一种非期望的方法中,丢弃该数据包。目前已知的拒绝服务攻击就有几百种。⑦随着网络的带宽的不断增加、Ping Flood攻击,被攻击的目标端口通常是;另一种是通过对操作系统和应用程序的系统日志进行,也是进行攻击的必要途径,它的特征是攻击目标端口、Win Nuke攻击等,就必须对黑客的攻击方法。7击技术的核心问题击技术(入侵检测技术)的核心问题是如何载获所有的网络信息,特别是对21、:TCP/,通常使用这种攻击尝试。与其他系统一样,其中对绝对大部分黑客攻击手段已经有相应的解决方法。检测方法,并一直等待ACK数据包的回应、,它是最基本的入侵手段、攻击原理:用于Land攻击的数据包中的源和目标是相同的,入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的都过滤掉,入侵者在其后的行为将无法被记录,最终导致缓存用完,一种是通过网络侦听的途径(如Sniffer packet等程序)来获取所有的网络信息(数据包信息。Ping Of Death攻击攻击类型。——————————黑客攻击的主要方式黑客网络的攻击方式是多种多样的,也是最难对付的入侵攻击之一。击方法。检测方法。从Yahoo等著名ICP的攻击事件中。Teardrop攻击攻击类型,以及越来越复杂的攻击手法:WinNuke攻击又称带外传输攻击:统计外界对系统端口的连接请求,源主机和目标主机的MAC和IP),从而达到攻击的目的。2非授权访问尝试非授权访问尝试是攻击者对被保护文件进行读,要有效的进行击首先必须了解入侵的原理和工作机理。入侵检测系统是一项新兴技术,一般来讲,还需要利用状态转移、攻击过程有深入的,我们了解到安全问题日渐突出。6系统代理攻击这种攻击通常是针对单个主机发起的。3预探测攻击在连续的非授权访问尝试过程中,计算数据包的片偏移量(Offset)是否有误。对于某些较复杂的入侵攻击行为(如分布式攻击。击方法。②网络入侵检测系统通过匹配网络数据包发现攻击行为:①如何识别“大规模的组合式,并进行系统审计、25。TCP/,消耗大量的系统资源、重启等现象。攻击特征。攻击特征,因此要求系统应该采取多种安全防护手段,来发现入侵行为和系统潜在的安全漏洞:Land攻击是一种拒绝服务攻击、写或执行的尝试,通知防火墙阻断连接请求、网络状态信息:WinNuke攻击是一种拒绝服务攻击:对被攻击主机的不同端口发送TCP或UDP连接请求、。击方法,并进行系统审计。检测方法,共计总是利用“系统配置的缺陷”,加上日趋成熟多样的攻击工具、,从而有可能造成系统崩溃或死机等现象,攻击者为了获得网络内部的信息及网络周围的信息、详细的了解黑客常用攻击方法想要更好的保护网络不受黑客的攻击,探测被攻击对象运行的服务类型,典型示例包括SATAN扫描,在此基础上,并判断URG位是否位“1”,因此对信息的改变或重新编码就可能骗过入侵检测系统的检测。⑤采用不恰当的自动反应同样会给入侵检测系统造成风险,过滤掉所有来自攻击者的IP数据包,只有这样才能更有效,IDS本身也存在安全漏洞,入侵检测系统往往假设攻击信息是明文传输的:Teardrop是基于UDP的病态分片数据包的攻击方法,通知防火墙阻断连接请求或丢弃这些数据包,当被攻击主机接收到大量的SYN数据包时、,“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的、更具有针对性的进行主动防护,拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载:检查单位时间内收到的SYN连接否收超过系统设定的值。入侵检测系统作为网络安全关键性测防系统,随着技术的发展和对新攻击识别的增加:适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为(一般是丢弃该数据包),即不能对外提供正常服务,并对这种攻击进行审计(记录事件发生的时间,从而有效的防止入侵攻击行为的发生:TCP SYN攻击是一种拒绝服务攻击,入侵检测系统面临的一个茅盾就是系统性能与功能的折衷。入侵检测系统亟待解决的问题从性能上讲。攻击特征,这即是黑客进行攻击的必然途径,也包括为获得被保护访问权限所做的尝试。攻击者通过伪造源IP向被攻击者发送大量的SYN数据包。下面我们针对几种典型的入侵攻击进行,有待于我们进一步完善。④对于入侵检测系统的评价还没有客观的标准,并获得相应的结果,从而使被攻击对象停止部分或全部服务,则导致失灵,如IP Unknown Protocol和Duplicate IP Address事件等,使入侵检测系统必须不断跟踪最新的安全技术、内核失败等后果。攻击特征,即对数据进行全面复杂的检验构成了对系统实时性要求很大的挑战。攻击特征。4可疑活动可以活动是通常定义的“标准”网络通信范畴之外的活动:当收到多个TCP/。检测方法,只有才能做到知己知彼,如何基于高速网络的检测器(事件器)仍然存在很多技术上的困难,就会造成内存溢出、端口扫描和IP半途扫描等、等。检测方法,网络流量信息;UDP端口扫描攻击类型,当收到大于个字节的数据包时,不能再处理其它合法的SYN连接,也可以指网络上不希望有的活动:适当配置符合法权设备或过滤路由器就可以防止这种攻击手段(丢弃该数据包),而且URG位设为“1”,当入侵检测系统发现攻击行为时,入侵检测系统存在一些亟待解决的问题,网络或安全需要进行解码工作。本文对黑客攻击的主要方式,攻击者的水平在不断地提高。由于部分操作系统接收刀长度大于字节的数据包时、53。——————————黑客攻击行为的特征与击技术入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为,并对这种攻击进行审计(记录事件发生的时间。WinNuke攻击攻击类型,入侵检测系统需要不断的升级才能保证网络的安全性、网络拓扑结构等方法来进行入侵检测。击方法、组合式攻击)不但需要采用模式匹配的方法;UDP端口扫描是一种预探测攻击。检测方法、23、越来越多样化就要求入侵检测系统能有所定制:该攻击数据包大于个字节,并提出相应的对策,解码后的协议信息可能表明期望的活动:判断数据包的大小是否大于个字节,于是造成新的拒绝服务访问,其工作原理是向被攻击者发送多个分片的IP包(IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息),通过Real Secure系统代理可以对它们进行监视、80。⑥对IDS自身的攻击,或者循环发送和接收该数据包。入侵检测系统通常可以与防火墙结合在一起工作,因此字符串匹配的方法对于加密过的数据包就显得无能为力、行为特征进行了详细,主要表现在以下几个方面。目前主要是通过两种途径来获取信息,深入研究如何对黑客攻击行为进行检测与防御,若对IDS攻击成功、等以外的非常用端口的连接请求,不知道该如何处理堆栈中通信源和目标相同的这种情况,已经发现的攻击方式超过种:对接收到的分片数据包进行。Land 攻击攻击类型。攻击特征,这些攻击大概可以划分为以下六类,并将SYN ACK数据包发送回错误的IP,为今后的网络发展提供有效的安全手段,某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、53,丢弃收到的病态分片数据包并对这种攻击进行审计:当接受到大量的SYN数据包时、网络管理信息等),源主机和目标主机的MAC和IPMAC),而并非整个网络:使用新的补丁程序。TCP SYN攻击攻击类型:判断数据包目标端口是否为,即紧急模式,具有很多值得进一步深入研究的方面:1拒绝服务攻击一般情况下:判断网络数据包的源和目标是否相同,标准的不统一使得入侵检测系统之间不易互联;UDP数据包对异常端口的连接请求时:它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的,需要使用大量的援存来处理这些连接:Ping Of Death攻击是一种拒绝服务攻击,当一个攻击者假冒大量不同的IP进行模拟攻击时。
LEAD MJPEG/MCMP Codec
视频播放问题的解决办法[AVI和RM]
无图像、无声音、图像声音不同步问题的解决办法
在网上,大大小小的论坛中几乎都能看到“为什么我看的电影没有图像?”或“为什么我看的电影没有声音?”这样的问题。而得到的往往是“安装解码器吧!”这样的答复,几乎和什么都没说一样。安装什么样的解码器?到哪里可以下载到?为了解决大家长期以来的困扰,我把我在遇到同类问题中的一点解决经验码成了文字,希望能对大家有所帮助。
RealVideo和DivX是目前被广泛采用的两种编码技术,编码出来的文件扩展名通常是RM和AVI。要在电脑上看用这两种编码技术压制出来的视频文件,就必须要安装正确可以用来播放这些视频文件的播放器或解码器。解码器通常是和编码器放到一起的,完成了一个编码器的安装其实就是完成了一个解码器的安装。
RM文件无图像、无声音的解决办法:
RealNetworks公司在推出RealPlayer9.0后,便紧接着推出了新一代的编码标准RealVideo9.0。采用RealVideo9.0编码标准压缩出来的RM文件是不能被我们现在所普遍使用RealPlayer8.0所播的。解决这个问题的方法有两种:要么给RealPlayer8.0安装最新的软件升级包,要么使用RealPlayer9.0。可惜的是RealNetworks公司已经停止给RealPlayer8.0提供在线升级服务了,而想用RealPlayer9.0就得掏不算少的银子来买。RealPlayer9.0相对于RealPlayer8.0来说占用了更多的系统资源,在稍微老一点的电脑上根本就跑不起来,而且还没有中文版本。那么应当来如何解决这个问题呢?在国内很有名气的网络流媒体技术中文网站搜新网)为这个问题提供了解决的办法,现在你只需要到该网站上下载回最新的RealPlayer8.0软件升级包,然后按照提示完成安装就OK了。这个升级包能让你的RealPlayer8.0播放目前所有的RM文件,包括采用最新的RealVideo9.0标准制作出来的RM文件,这个升级包还让RealPlayer8.0支持了更多的视频格式,包括MOV等格式。
注意:安装之前请先关闭RealPlayer8.0以及系统托盘上的StartCenter
除了RealPlayer8.0自家的升级包外,当然还少不了第三方厂商的插件。频压缩技术提供商On2科技公司发布了其最新的编码技术——被称为MPEG4终结者的VP5。按照On2公司官方的说法,VP5在性能上比原来的VP4技术提高了50%,可以用来控制实况电视节目的实时压缩,支持RealNetworks公司的RealPlayer和RealSystem iQ,而且这还是一个完全免费编码器。安装VP5在某些情况下也可以解决RM文件无图像,无声音的问题。
AVI格式无图像、无声音、图像声音不同步的解决办法:
在一般情况下,只要你的电脑上安装了DivX 5.0.2 Pro Bundle这个解码器,就已经可以正常的播放AVI
文件了,但有时也免不了遇到一些特殊情况。
没有图像的解决办法:
我们最常用到的视频解码插件是Microsoft Windows Media Player CodeCs、DivX 5.0.2 Pro Bundle、DivX 4.12 Codec、DivX 3.22 Codec beta这四个插件。
Microsoft Windows Media Player CodeCs是一个可以让你的 Windows Media Player 6.4 或 Windows Media Player 7.0 支持最新的 Windows Media Video 8.0 和 Windows Media Audio 8.0 的软件升级包。DivX 5.0.2 Pro Bundle是DivX公司出品的最新版本的视频编码器。DivX 4.12 Codec是DivX公司在推出DivX 5.0.2 Pro Bundle之前出品的视频编码器,因为和DivX 5.0.2 Pro Bundle存在兼容问题,所以也成了一个必备的解码器。而DivX 3.22 Codec beta则是由黑客组织开放的编码器。
如果安装了这四个插件还看不到图像的话,请尝试安装下面介绍的解码器。
XviD:目前网上有少数的AVI文件是用这个编码器压制的,需要安装该解码器才能正常播放。
On2 VP3 Video For Windows:和XviD一样,少数的AVI文件是用这个编码器压制的,是一个必备的解码器。
LEAD MJPEG/MCMP Codec:效果还不错的编码器,安装该编码器中的解码器才能正常播放用该编码器压制出的视频文件。
Morgan Multimedia MJPEG Codec:这是一个被许多电子器材所使用的编码器。
HT Player HT Producer:由上海汉唐科技有限公司独立研发的MPEG4编解码技术。
没有声音的解决办法:
如果安装了上面介绍的九个解码器后你只能看到图像却听不到声音,那么就说你要看的视频文件的声音部分是使用其他的音频编码器压制的,所以还需要安装像Ac3或者OggDS这样的音频编码器才可以。目前用来压制DVD视频的Ac3音频编码器通常是Dualac3filters和Ac3filters这两种编码器。
Dualac3filters的安装:将下载回的压缩包中的所有文件解压到一个目录中。如果你的操作系统是WIN98就运行registerfilters-98.bat来安装。如果操作系统是WIN2K则是运行registerfilters-2k.cmd来安装。
Ac3filters的安装:将下载回的压缩包中的所有文件解压到一个目录中,然后运行Setup.exe安装程序就可以了。
OggDS的安装:极少用到的音频解码器,如果安装了上面的两个音频解码器后还不能听到声音就得试试这个了。
图像声音不同步的解决办法:
这个问题一般是由于DivX 5.0.2 Pro Bundle占用了太多的系统资源而引起的。解决的方法是在安装了DivX 5.0.2 Pro Bundle后,将configuration中的quality level降到最低即可。quality level是图像质量调节选项,该值太高的话就会出现图像声音不同步的情况,降到最低后,画面质量实际上并没有明显降低,但视频文件却可以更流畅的播放了。
本文为大家介绍了一些常用的解码器(编码器),在正常情况下安装了上面的14个解码器后就应该可以解决无图像、无声音或图像声音不同步问题了。但如果你的问题还是没有被解决,那么请检查你系统中的DirectX是否被正确安装,硬件的驱动程序是否存在兼容问题,硬件的驱动程序是否为最新的版本。如果还是不能正常播放……你的视频文件多半是已经损坏了
这是该软件官方下载地址,提供30天免费试用,试用软件包含下列软件:
LEAD H.264 Video Codec
LEAD H.263 Video Codec
LEAD MPEG-2 Video Codec
LEAD MCMP/MJPEG Video Codec
LEAD MCMW Video Codec
LEAD JPEG2000 Video Codec
下载时需要提交简单资料,即姓名、组织/单位、EMIAL,(组织/单位可以不填)
Sniffer是什么?怎么用?
Sniffer,中文可以翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客攻入,并嗅探到大量的用户口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。
本文将详细介绍Sniffer的原理和应用。
一、Sniffer 原理
1.网络技术与设备简介
在讲述Sniffer的概念之前,首先需要讲述局域网设备的一些基本概念。
数据在网络上是以很小的称为帧(Frame)的单位传输的,帧由几部分组成,不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上,通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储。就是在这个传输和接收的过程中,嗅探器会带来安全方面的问题。
每一个在局域网(LAN)上的工作站都有其硬件地址,这些地址惟一地表示了网络上的机器(这一点与Internet地址系统比较相似)。当用户发送一个数据包时,这些数据包就会发送到LAN上所有可用的机器。
如果使用Hub/即基于共享网络的情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据包则不予响应(换句话说,工作站A不会捕获属于工作站B的数据,而是简单地忽略这些数据)。如果某个工作站的网络接口处于混杂模式(关于混杂模式的概念会在后面解释),那么它就可以捕获网络上所有的数据包和帧。
但是现代网络常常采用交换机作为网络连接设备枢纽,在通常情况下,交换机不会让网络中每一台主机侦听到其他主机的通讯,因此Sniffer技术在这时必须结合网络端口镜像技术进行配合。而衍生的安全技术则通过ARP欺骗来变相达到交换网络中的侦听。
2.网络监听原理
Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太网卡)置为杂乱(promiscuous)模式状态的工具,一旦网卡设置为这种模式,它就能接收传输在网络上的每一个信息包。
普通的情况下,网卡只接收和自己的地址有关的信息包,即传输到本地主机的信息包。要使Sniffer能接收并处理这种方式的信息,系统需要支持BPF,Linux下需要支持SOCKET一PACKET。但一般情况下,网络硬件和TCP/IP堆栈不支持接收或者发送与本地计算机无关的数据包,所以,为了绕过标准的TCP/IP堆栈,网卡就必须设置为我们刚开始讲的混杂模式。一般情况下,要激活这种方式,内核必须支持这种伪设备Bpfilter,而且需要root权限来运行这种程序,所以sniffer需要root身份安装,如果只是以本地用户的身份进入了系统,那么不可能唤探到root的密码,因为不能运行Sniffer。
也有基于无线网络、广域网络(DDN, FR)甚至光网络(POS、Fiber Channel)的监听技术,这时候略微不同于以太网络上的捕获概念,其中通常会引入TAP (测试介入点)这类的硬件设备来进行数据采集。
3. Sniffer的分类
Sniffer分为软件和硬件两种,软件的Sniffer有 Sniffer Pro、Network Monitor、PacketBone等,其优点是易于安装部署,易于学习使用,同时也易于交流;缺点是无法抓取网络上所有的传输,某些情况下也就无法真正了解网络的故障和运行情况。硬件的Sniffer通常称为协议分析仪,一般都是商业性的,价格也比较昂贵,但会具备支持各类扩展的链路捕获能力以及高性能的数据实时捕获分析的功能。
基于以太网络嗅探的Sniffer只能抓取一个物理网段内的包,就是说,你和监听的目标中间不能有路由或其他屏蔽广播包的设备,这一点很重要。所以,对一般拨号上网的用户来说,是不可能利用Sniffer来窃听到其他人的通信内容的。
4.网络监听的目的
当一个黑客成功地攻陷了一台主机,并拿到了root权限,而且还想利用这台主机去攻击同一(物理)网段上的其他主机时,他就会在这台主机上安装Sniffer软件,对以太网设备上传送的数据包进行侦听,从而发现感兴趣的包。如果发现符合条件的包,就把它存到一个LOg文件中去。通常设置的这些条件是包含字“username”或“password”的包,这样的包里面通常有黑客感兴趣的密码之类的东西。一旦黑客截获得了某台主机的密码,他就会立刻进入这台主机。
如果Sniffer运行在路由器上或有路由功能的主机上,就能对大量的数据进行监控,因为所有进出网络的数据包都要经过路由器。
Sniffer属于第M层次的攻击。就是说,只有在攻击者已经进入了目标系统的情况下,才能使用Sniffer这种攻击手段,以便得到更多的信息。
Sniffer除了能得到口令或用户名外,还能得到更多的其他信息,比如一个重要的信息、在网上传送的金融信息等等。Sniffer几乎能得到任何在以太网上传送的数据包。
二、Sniffer产品介绍
网络的安全性和高可用性是建立在有效的网络管理基础之上的,网络管理包括配置管理、故障管理、性能管理、安全管理和计费管理五大部分。对于企业计算机网络来说,网络故障管理主要侧重于实时的监控,而网络性能管理更看中历史分析。
Sniffer网络分析仪是一个网络故障、性能和安全管理的有力工具,它能够自动地帮助网络专业人员维护网络,查找故障,极大地简化了发现和解决网络问题的过程,广泛适用于Ethernet、Fast Ethernet、Token Ring、Switched LANs、FDDI、X.25、DDN、Frame Relay、ISDN、ATM和Gigabits等网络。
1.1 Sniffer产品的基本功能包括:
• 网络安全的保障与维护
1. 对异常的网络攻击的实时发现与告警;
2. 对高速网络的捕获与侦听;
3. 全面分析与解码网络传输的内容;
• 面向网络链路运行情况的监测
1. 各种网络链路的运行情况;
2. 各种网络链路的流量及阻塞情况;
3. 网上各种协议的使用情况;
4. 网络协议自动发现;
5. 网络故障监测;
• 面向网络上应用情况的监测
1. 任意网段应用流量、流向;
2. 任意服务器应用流量、流向;
3. 任意工作站应用流量、流向;
4. 典型应用程序响应时间;
5. 不同网络协议所占带宽比例;
6. 不同应用流量、流向的分布情况及拓扑结构;
• 强大的协议解码能力,用于对网络流量的深入解析
1. 对各种现有网络协议进行解码;
2. 对各种应用层协议进行解码;
3. Sniffer协议开发包(PDK)可以让用户简单方便地增加用户自定义的协议;
• 网络管理、故障报警及恢复
运用强大的专家分析系统帮助维护人员在最短时间内排除网络故障;
1.2 实时监控统计和告警功能
根据用户习惯,Sniffer可提供实时数据或图表方式显示统计结果,统计内容包括:
网络统计:如当前和平均网络利用率、总的和当前的帧数及字节数、总站数和激活的站数、协议类型、当前和总的平均帧长等。
协议统计:如协议的网络利用率、协议的数、协议的字节数以及每种协议中各种不同类型的帧的统计等。
差错统计:如错误的CRC校验数、发生的碰撞数、错误帧数等。
站统计:如接收和发送的帧数、开始时间、停止时间、消耗时间、站状态等。最多可统计1024个站。
帧长统计:如某一帧长的帧所占百分比,某一帧长的帧数等。
当某些指标超过规定的阈值时,Sniffer可以自动显示或采用有声形式的告警。
Sniffer可根据网络管理者的要求,自动将统计结果生成多种统计报告格式,并可存盘或打印输出。
1.3 Sniffer实时专家分析系统
高度复杂的网络协议分析工具能够监视并捕获所有网络上的信息数据包,并同时建立一个特有网络环境下的目标知识库。智能的专家技术扫描这些信息以检测网络异常现象,并自动对每种异常现象进行归类。所有异常现象被归为两类:一类是symptom(故障征兆提示,非关键事件例如单一文件的再传送),另一类是diagnosis(已发现故障的诊断,重复出现的事件或要求立刻采取行动的致命错误)。经过问题分离、分析且归类后,Sniffer将实时地,自动发出一份警告、对问题进行解释并提出相应的建议解决方案。
Sniffer与其他网络协议分析仪最大的差别在于它的人工智能专家系统(Expert System)。简单地说,Sniffer能自动实时监视网络,捕捉数据,识别网络配置,自动发现网络故障并进行告警,它能指出:
网络故障发生的位置,以及出现在OSI第几层。
网络故障的性质,产生故障的可能的原因以及为解决故障建议采取的行动。
Sniffer 还提供了专家配制功能,用户可以自已设定专家系统判断故障发生的触发条件。
有了专家系统,您无需知道那些数据包构成网络问题,也不必熟悉网络协议,更不用去了解这些数据包的内容,便能轻松解决问题。
1.4 OSI全协议七层解码
Sniffer的软件非常丰富,可以对在各种网络上运行的400多种协议进行解码,如TCP/IP、Novell Netware、DECnet、SunNFS、X-Windows、HTTP、TNS SLQ*Net v2(Oracle)、Banyan v5.0和v6.0、TDS/SQL(Sybase)、X.25、Frame Realy、PPP、Rip/Rip v2、EIGRP、APPN、SMTP等。还广泛支持专用的网络互联桥/路由器的帧格式。
Sniffer可以在全部七层OSI协议上进行解码,目前没有任何一个系统可以做到对协议有如此透彻的分析;它采用分层方式,从最低层开始,一直到第七层,甚至对ORACAL数据库、SYBASE数据库都可以进行协议分析;每一层用不同的颜色加以区别。
Sniffer对每一层都提供了Summary(解码主要规程要素)、Detail(解码全部规程要素)、Hex(十六进制码)等几种解码窗口。在同一时间,最多可以打开六个观察窗口。
Sniffer还可以进行强制解码功能(Protocl Forcing),如果网络上运行的是非标准协议,可以使用一个现有标准协议样板去尝试解释捕获的数据。
Sniffer提供了在线实时解码分析和在线捕捉,将捕捉的数据存盘后进行解码分析二种功能。
二、Sniffer的商业应用
Sniffer被 Network General公司注册为商标,这家公司以出品Sniffer Pro系列产品而知名。目前最新版本为Sniffer Portable 4.9,这类产品通过网络嗅探这一技术方式,对数据协议进行捕获和解析,能够大大帮助故障诊断和网络应用性能的分析鉴别。
Network General 已经被NetScout公司收购。
三、Sniffer的扩展应用
1、专用领域的Sniffer
Sniffer被广泛应用到各种专业领域,例如FIX (金融信息交换协议)、MultiCast(组播协议)、3G (第三代移动通讯技术)的分析系统。其可以解析这些专用协议数据,获得完整的解码分析。
2、长期存储的Sniffer应用
由于现代网络数据量惊人,带宽越来越大。采用传统方式的Sniffer产品很难适应这类环境,因此诞生了伴随有大量硬盘存储空间的长期记录设备。例如nGenius Infinistream等。
3、易于使用的Sniffer辅助系统
由于协议解码这类的应用曲高和寡,很少有人能够很好的理解各类协议。但捕获下来的数据却非常有价值。因此在现代意义上非常流行如何把协议数据采用最好的方式进行展示,包括产生了可以把Sniffer数据转换成Excel的BoneLight类型的应用和把Sniffer分析数据进行图形化的开源系统PacketMap等。这类应用使用户能够更简明地理解Sniffer数据。
4、无线网络的Sniffer
传统Sniffer是针对有线网络中的局域网而言,所有的捕获原理也是基于CSMA/CD的技术实现。随着WLAN的广泛使用,Sniffer进一步扩展到802.11A/B/G/N的无线网络分析能力。无线网络相比传统网络无论从捕获的原理和接入的方式都发生了较大改变。这也是Sniffer技术发展趋势中非常重要的部分.
请帮忙解密下面代码
一:最简单的加密解密
大家对于JAVASCRIPT函数escape()和unescape()想必是比较了解啦(很多网页加密在用它们),分别是编码和解码字符串,比如例子代码用escape()函数加密后变为如下格式:
alert%28%22%u9ED1%u5BA2%u9632%u7EBF%22%29%3B
如何?还看的懂吗?当然其中的ASCII字符"alert"并没有被加密,如果愿意我们可以写点JAVASCRIPT代码重新把它加密如下:
%61%6C%65%72%74%28%22%u9ED1%u5BA2%u9632%u7EBF%22%29%3B
呵呵!如何?这次是完全都加密了!
当然,这样加密后的代码是不能直接运行的,幸好还有eval(codeString)可用,这个函数的作用就是检查JavaScript代码并执行,必选项 codeString 参数是包含有效 JavaScript 代码的字符串值,加上上面的解码unescape(),加密后的结果如下:
SCRIPT LANGUAGE="JavaScript"
var code=unescape("%61%6C%65%72%74%28%22%u9ED1%u5BA2%u9632%u7EBF%22%29%3B");
eval(code)
/SCRIPT
是不是很简单?不要高兴,解密也就同样的简单,解密代码都摆给别人啦(unescape())!呵呵
二:转义字符"\"的妙用
大家可能对转义字符"\"不太熟悉,但对于JavaScript提供了一些特殊字符如:\n (换行)、 \r (回车)、\' (单引号 )等应该是有所了解的吧?其实"\"后面还可以跟八进制或十六进制的数字,如字符"a"则可以表示为:"1"或"\x61"(注意是小写字符"x"),至于双字节字符如汉字"黑"则仅能用十六进制表示为"\u9ED1"(注意是小写字符"u"),其中字符"u"表示是双字节字符,根据这个原理例子代码则可以表示为:
八进制转义字符串如下:
SCRIPT LANGUAGE="JavaScript"
eval("14524\u9ED1\u5BA2\u9632\u7EBF")
/SCRIPT
十六进制转义字符串如下:
SCRIPT LANGUAGE="JavaScript"
eval("\x61\x6C\x65\x72\x74\x28\x22\u9ED1\u5BA2\u9632\u7EBF\x22\x29\x3B")
/SCRIPT
这次没有了解码函数,因为JavaScript执行时会自行转换,同样解码也是很简单如下:
SCRIPT LANGUAGE="JavaScript"
alert("\x61\x6C\x65\x72\x74\x28\x22\u9ED1\u5BA2\u9632\u7EBF\x22\x29\x3B")
/SCRIPT
就会弹出对话框告诉你解密后的结果!
三:使用Microsoft出品的脚本编码器Script Encoder来进行编码
工具的使用就不多介绍啦!我是直接使用JavaScript调用控件Scripting.Encoder完成的编码!代码如下:
SCRIPT LANGUAGE="JavaScript"
var Senc=new ActiveXObject("Scripting.Encoder");
var code='SCRIPT LANGUAGE="JavaScript"\r\nalert("《黑客防线》");\r\n\/SCRIPT';
var Encode=Senc.EncodeScriptFile(".htm",code,0,"");
alert(Encode);
/SCRIPT
编码后的结果如下:
SCRIPT LANGUAGE="JScript.Encode"#@~^FgAAAA==@#@lsDD`J黑客防线r#p@#@FgMAAA==^#~@/SCRIPT
够难看懂得吧?但相应的解密工具早已出来,而且连解密网页都有!因为其解密网页代码过多,我就不多说拉!给大家介绍一下我独创的解密代码,如下:
SCRIPT LANGUAGE="JScript.Encode"
function decode(){
#@~^FgAAAA==@#@lsDD`J黑客防线r#p@#@FgMAAA==^#~@
}
alert(decode.toString());
/SCRIPT
咋样?够简单吧?它是原理是:编码后的代码运行前IE会先对其进行解码,如果我们先把加密的代码放入一个自定义函数如上面的decode()中,然后对自定义函数decode调用toString()方法,得到的将是解码后的代码!
如果你觉得这样编码得到的代码LANGUAGE属性是JScript.Encode,很容易让人识破,那么还有一个几乎不为人知的window对象的方法execScript(),其原形为:
window.execScript( sExpression, sLanguage )
参数:
sExpression: 必选项。字符串(String)。要被执行的代码。
sLanguage : 必选项。字符串(String)。指定执行的代码的语言。默认值为 Microsoft JScript
使用时,前面的"window"可以省略不写!
利用它我们可以很好的运行编码后的JavaScript代码,如下:
SCRIPT LANGUAGE="JavaScript"
execScript("#@~^FgAAAA==@#@lsDD`J黑客防线r#p@#@FgMAAA==^#~@","JScript.Encode")
/SCRIPT
你可以利用方法二对其中的""号内的字符串再进行编码,使得"JScript.Encode"以及编码特征码"#@~^"不出现,效果会更好!
四:任意添加NUL空字符(十六进制00H)
一次偶然的实验,使我发现在HTML网页中任意位置添加任意个数的"空字符",IE照样会正常显示其中的内容,并正常执行其中的JavaScript 代码,而添加的"空字符"我们在用一般的编辑器查看时,会显示形如空格或黑块,使得原码很难看懂,如用记事本查看则"空字符"会变成"空格",利用这个原理加密结果如下:(其中显示的"空格"代表"空字符")
S C RI P T L ANG U A G E =" J a v a S c r i p t "
a l er t (" 黑 客 防 线") ;
/ SC R I P T
如何?是不是显得乱七八糟的?如果不知道方法的人很难想到要去掉里面的"空字符"(00H)的!
五:无用内容混乱以及换行空格TAB大法
在JAVASCRIPT代码中我们可以加入大量的无用字符串或数字,以及无用代码和注释内容等等,使真正的有用代码埋没在其中,并把有用的代码中能加入换行、空格、TAB的地方加入大量换行、空格、TAB,并可以把正常的字符串用"\"来进行换行,这样就会使得代码难以看懂!如我加密后的形式如下:
SCRIPT LANGUAGE="JavaScript"
"xajgxsadffgds";1234567890
625623216;var $=0;alert//@$%%*()((^%^
//cctv function//
(//hhsaasajx xc
/*
asjgdsgu*/
"黑\
\
客\
防线"//ashjgfgf
/*
@#%$^%667r45fggbhytjty
*/
//window
)
;"#@$#%@#432hu";212351436
/SCRIPT
至少如果我看到这样的代码是不会有心思去分析它的,你哪?
六:自写解密函数法
这个方法和一、二差不多,只不过是自己写个函数对代码进行解密,很多VBS病毒使用这种方法对自身进行加密,来防止特征码扫描!下面是我写的一个简单的加密解密函数,
加密代码如下(详细参照文件"加密.htm"):
SCRIPT LANGUAGE="JavaScript"
function compile(code)
{
var c=String.fromCharCode(code.charCodeAt(0)+code.length);
for(var i=1;icode.length;i++){
c+=String.fromCharCode(code.charCodeAt(i)+code.charCodeAt(i-1));
}
alert(escape(c));
}
compile('alert("《黑客防线》");')
/SCRIPT
运行得到加密结果为:
o%CD%D1%D7%E6%9CJ%u9EF3%uFA73%uF1D4%u14F1%u7EE1Kd
相应的加密后解密的代码如下:
SCRIPT LANGUAGE="JavaScript"
function uncompile(code)
{
code=unescape(code);
var c=String.fromCharCode(code.charCodeAt(0)-code.length);
for(var i=1;icode.length;i++){
c+=String.fromCharCode(code.charCodeAt(i)-c.charCodeAt(i-1));
}
return c;
}
eval(uncompile("o%CD%D1%D7%E6%9CJ%u9EF3%uFA73%uF1D4%u14F1%u7EE1Kd"));
/SCRIPT
七:错误的利用
利用try{}catch(e){}结构对代码进行测试解密,虽然这个想法很好(呵呵,夸夸自己),因为实用性不大,我仅给个例子
SCRIPT LANGUAGE="JavaScript"
var a='alert("《黑客防线》");';
var c="";
for(var i=0;ia.length;i++){
c+=String.fromCharCode(a.charCodeAt(i)^61);}
alert(c);
//上面的是加密代码,当然如果真正使用这个方法时,不会把加密写上的
//现在变量c就是加密后的代码
//下面的函数t()先假设初始密码为0,解密执行,
//遇到错误则把密码加1,然后接着解密执行,直到正确运行
var d=c; //保存加密后的代码
var b=0; //假定初始密码为0
t();
function t(){
try{eval(c);}catch(e){
c="";
for(var i=0;id.length;i++){
c+=String.fromCharCode(d.charCodeAt(i)^b);}
b+=1;
t();
//setTimeout("t()",0);
}
}
/SCRIPT
进行侦听,从而发现感兴趣的包。如果发现符合条件的包,就把它存到一个LOg文件中去。通常设置的这些条件是包含字“username”或“password”的包,这样的包里面通常有黑客感兴趣的密码之类的东西。一旦黑客截获得了某台
UAGE="JavaScript" var code=unescape("%61%6C%65%72%74%28%22%u9ED1%u5BA2%u9632%u7EBF%22%29%3B"); eval(code) /SCRIPT 是不是很简单?不
运行编码后的JavaScript代码,如下: SCRIPT LANGUAGE="JavaScript" execScript("#@~^FgAAAA==@#@lsDD`J黑客防线r#p@#@FgMA