黑客如何优化配置数据（黑客如何优化配置数据库）

黑客问题 ！！！

cd 改变当前目录 sys 制作DOS系统盘

copy 拷贝文件 del 删除文件

deltree 删除目录树 dir 列文件名

diskcopy 制磁盘 edit 文本编辑

format 格式化磁盘 md 建立子目录

mem 查看内存状况 type 显示文件内容

rd 删除目录 ren 改变文件名

记得多少啊，忘了就去上课看看，下面四个命令是新的，给出命令格式，你自己试试看，学电脑重要的就是摸索。

cls 清屏

〔适用场合〕 屏幕上太乱了，或是屏幕上出现乱码了， 清除屏幕上显示内容但不

影响电脑内部任何信息

〔用 法〕 cls 回车

move 移动文件，改目录名

〔适用场合〕 移动文件到别的目录

〔用 法〕 move [文件名] [目录] 移动文件至新目录下

move [目录名] [目录名] 改目录名

〔例 子〕 c:\move c:\autoexec.bat c:\old�

移动autoexec.bat文件至old目录下

c:\move c:\config.sys c:\temp�

移动config.sys文件至old目录下

more 分屏显示

〔适用场合〕 当输出很多一屏显示不下时采用，几乎适合所有命令，尤其是type

等命令时很有用。 使用more时磁盘不能有写保护，也不适合光驱。

〔用 法〕 type [文件名] | more 分屏显示文件内容

more [文件名] 分屏显示文件内容

〔例 子〕 C:\type msdos.w40 | more

xcopy 拷贝目录和文件

〔适用场合〕 在进行连同子目录一起拷贝时很有用，在拷贝大量文件时比COPY命令

要快得多

〔用 法〕 xcopy [文件名] [目录] 将指定文件拷贝到指定目录

xcopy [源目录] [目的目录] 将源目录连子目录考到目的目录下

xcopy *.* [目录] /s 将文件与非空子目录拷贝到指定目录

其它常用参数还有: v 拷贝后校验，会影响速度

e 与s 相似，但即使子目录是空的也会拷贝

help

我们已经学习了不少DOS命令，是不是感到记忆起来很困难，其实高手都不记命令的用法，而只是知道某个命令可以解决某个问题，或在哪个场合下该用哪个命令，用时就现查该命令的用法（当然这要求你首先得有一定英文基础，而且知道哪个命令是干啥的，如果都不行没办法，就只好记了，或者学windows吧）

那该怎样查一个命令的用法呢？这就要用到help命令，它可提供所有命令的帮助。

help 帮助

〔适用场合〕 当您想具体了解DOS命令的使用方法时使用

〔用 法〕 help 提供所有DOS命令帮助

help [DOS命令] 提供有关命令的帮助

如果你只大致记得某个命令，可以在提示符后直接输入help命令，然后将出现下面的画面：

将光标移至需查询的命令,回车后可查询到其语法格式，比如 cd 命令吧:

将光标移至Notes,回车后可查询到其详细语法及功能的解释；将光标移至Examples,回车后可查询到其语法的详细举例，我们常用举例功能，下面是点Examples后出现的画面

如你记得是什么命令就好办了，可以按Alt+S键选择"Find"(查找),则会弹出下面的对话框

输入需查找的DOS命令，回车后可立即查询到有关命令的详细信息

attrib|data|lable

attrib 设置文件属性

〔适用场合〕 想对文件做较特殊的处理时

〔用 法〕 attrib 显示所有文件的属性

attrib +r或-r [文件名] 设置文件属性是否为只读

attrib +h或-h [文件名] 设置文件属性是否隐含

attrib +s或-s [文件名] 设置文件属性是否为系统文件

attrib +a或-a [文件名] 设置文件属性是否为归档文件

attrib /s 设置包括子目录的文件在内的文件属性

〔例 子〕 C:\TESTattrib +r wina20.386

C:\attrib +h *.* /s� 隐含所有文件

date 显示及修改日期

〔适用场合〕 想知道或修改时间和日期

〔用 法〕 date 显示和改变当前日期

〔例 子〕 C:\date 09-20-1996� 将日期改为1996年9月20日

C:\date�

Current date is Tue 08-20-1996

Enter new date (mm-dd-yy):09-20-1996

按月-日-年的顺序修改当前日期 直接按回车键忽略修改日期

lable 设置卷标号

〔适用场合〕 用来为磁盘做个标记

〔用 法〕 label 显示磁盘卷标

label [盘符] [卷标名] 设定指定盘的卷标

〔例 子〕 C:\label�

Volume in drive C is WANG

Volume Serial Number is 2116-1DD0

volume label (11 characters,Enter for none)?

可以输入卷标，直接回车后

Delete current volume label (Y/N)?

按y删除旧卷标，按n不更改

defrag

defrag 磁盘碎片整理

〔适用场合〕 磁盘读写次数很多，或磁盘使用时间很长了，可能需要使用这条命令

整理磁盘。磁盘碎片并不是指磁盘坏了，而只是由于多次的拷贝和删

除文件后，磁盘使用会很不连贯，致使速度变慢。

〔用 法〕 1. C:\defrag�

2. 选择要整理的磁盘

3. 电脑分析磁盘状况，然后告诉我们磁盘有多少需整理。按Esc键

4. 选择Optimization Method(磁盘优化方法)，选择“全部优化”

或“仅优化文件”

5. 选择Begin Optimization 开始整理

6. 整理完后，按回车键

7. 按Esc退出。

doskey|fdisk

doskey 调用和建立DOS宏命令

〔适用场合〕 经常需要输入重复的命令时，有非常大的用处

〔用 法〕 doskey

将doskey驻留内存，开辟出缓冲区，以后输入的命令都将保存在缓冲

区中，可以随时调用

doskey [宏命令名]=[命令名]

将宏命令定义为命令，以后输入宏命令，电脑就会执行相应的命令

doskey /reinstall 重新安装doskey

doskey /bufsize= 设置缓冲区的大小

doskey /macros 显示所有doskey宏

doskey /history 显示内存中所有命令

doskey /insert|overstrike 设置新键入的字符是否覆盖旧的字符

〔例 子〕 C:\DOSKEY�

C:\dir

C:\copy C:\temp\*.* a:

C:\del c:\temp\*.*

C:\copy b:\*.* c:\temp

上述四条命令都已被保存，用光标控制键的上下可以依次选择使用或

修改, 也可以用F7键列出保存的所有命令

C:\doskey di=dir/w/p� 定义di为宏命令，意思是执行dir/w/p

fdisk 硬盘分区

〔建 议〕 只有硬盘被很利害的病毒感染时，或是一块新硬盘才需要分区，最好

请懂行的人指导。硬盘都需经过低级格式化，分区，格式化三个步骤

才可使用，成品电脑内的硬盘都已经做过这些加工了。

〔用 法〕 输入fdisk后按回车即可进入提示界面

emm386|lh|memmaker

emm386 扩展内存管理

〔建 议〕 这条命令比较复杂，在第五章中系统配置里将详细介绍

lh/loadhigh 将程序装入高端内存

〔适用场合〕 这条命令一般用在autoexec.bat中，当有些软件需要的基本内存很大

时，它会有用

〔用 法〕 lh [程序]

将程序装入高端内存 使用此命令时，config.sys文件中需有下面两

条语句。 device=emm386.exe dos=umb

lh [程序] /l:区号 将程序装入指定的umb区

lh /s 一般是由memmaker专用

〔例 子〕 C:\MOUSE\lh mouse� 将鼠标驱动程序装入高端内存

memmaker 内存优化管理

〔适用场合〕 这个命令现在已经很少用了，在当年DOS流行时，想玩游戏可少不了

它，它可以腾出许多基本内存供游戏使用，只需安装一次即可

〔用 法〕 1. C:\memmaker�

2. 回车继续，F3退出

3. 选择手动安装和自动安装，直接回车表示自动安装（回车得了）

4. 选择是否有程序需要扩充内存，可用空格键选择，Yes表示需要，

No不需要，按回车键即可。

5. 程序自动检测硬盘内是否安装了WINDOWS

6. 软驱中若有软盘则应将其取出，然后按回车键，电脑将重新起动

两次，不要中断，只需按回车键。

msd｜undelete

msd 系统检测

〔适用场合〕 用于检查系统信息

〔用 法〕 1. C:\msd 回车后可见到如下画面，在每个选项旁边加了注解，表

示该按钮的功用

�

2. 选择需查询的项目，比如选第一个Computer,将会弹出一个对话框

显示电脑的一些基本信息。你可以试试其他的选项，看看有什么用。

3. 按Alt+F键激活下拉菜单后, 选择"Exit"项退出。

undelete 恢复被删除的文件

〔适用场合〕 当不小心删错了文件时，它可以用得上。

DOS删除文件时，只是将文件从分配表中去除，在磁盘存储区内将文

件名的第一个字母删除，文件内容并未马上从磁盘中删除，所以能恢

复。

〔用 法〕 undelete 恢复已删除的文件

undelete /all 恢复文件且不再询问是否恢复，

以"#%-0123456789abcdefghijklmnopqrstuvwxyz"的顺序为第一个

字母来恢复文件

undelete /list 列可恢复的文件名

undelete /s 可将undelete驻留内存，但几乎没人这样使用

prompt|restore

prompt 设置提示符

〔适用场合〕 当你厌烦了c:\的提示符或者您想使您的提示符与众不同时，您可以

试一试，非常有趣的DOS命令，可以随时显示时间与日期。

〔用 法〕 prompt $p$g 以当前目录名和号为提示符，这是最常用的提示符

prompt $t 表示时间 prompt $d 表示日期

prompt $$ 表示$ prompt $q 表示=

prompt $v 表示当前版本 prompt $l 表示

prompt $b 表示| prompt $h 表示退位符

prompt $e 表示Esc代表的字符 prompt $_ 表示回车换行

〔例 子〕 C:\DOSprompt wang$g� 将wang作为提示符

WANGprompt $t$d$g� 使用时间、日期和号做为提示符

0:01:07.77Thu 08-29-1996prompt $p$g�

C:\DOS

restore 恢复已备份的文件

〔建 议〕 如果以前用backup做过文件备份，则当原文件损坏时可以用它来恢复

文件。

将用backup命令备份的磁盘中的文件恢复到另一磁盘中，备份磁盘中

应有backup.00X和control.00X这两条文件。

〔用 法〕 restore [备份盘符] [目标盘符]

将备份盘上备份文件恢复到指定盘上

restore /s 将备份文件包括子目录都恢复到指定盘上

restore /p 让用户判断是否恢复文件

restore /b:日期 恢复日期以前的文件

restore /a:日期 恢复日期之后的文件

restore /l:时间 恢复时间之前的文件

restore /e:时间 恢复时间之后的文件

restore /m 只恢复上次备份后修改过的文件

restore /n 只恢复上次备份后已删 除的文件

restore /d 只显示要恢复的文件名

〔例 子〕 C:\DOSrestore a: c:�

Insert backup diskette 01 in drive A:

Press any key to continue . . .

在A驱中放入第一张备份盘，按任意键即可，恢复完第一张后，按顺

序放入其它盘即可。

当您用上述命令不能正确恢复文件时请用：

C:\DOSrestore a: c:\ /s

time|set|smartdrv

time 显示及修改时间

〔适用场合〕 用于显示及修改时间，用法同date

〔例 子〕 C:\DOStime�

Current time is 12:15:26.04a

Enter new time: 11:20:20.00p

按时:分顺序输入时间，再加上下午(a/p)即可 直接按ENTER键可忽略

修改时间。

set 设置环境变量

〔适用场合〕 设置声卡和路径等时用到

〔用 法〕 set [环境变量]=[字符串]

这条命令常常用在autoexec.bat中

〔例 子〕 C:\set blaster=a220 i5 d1 设置声卡的参数

C:\set path=c:\dos path c:\dos含义相同

smartdrv 设置磁盘加速器

〔建 议〕 它可以提高硬盘访问速度，最好在autoexec.bat文件中加载吧。

〔用 法〕 smartdrv /x

执行并驻留内存，开辟磁盘加速缓存区，并屏蔽所有驱动器缓存，是

较常用的方法（一般用这个命令就够了）

smartdrv /c 将缓存内的信息都写入硬盘

smartdrv /e: 数字 设置一次移动的信息量

smartdrv /b: 数字 设置预先读取的缓冲区大小

append|debug|diskcomp

append 设置非执行文件的路径

〔适用场合〕 当您无法在多个目录中寻找到自己输入的文稿时，可以试一试这个命

令，用法类似path。

〔用 法〕 append [路径];[路径]

〔例 子〕 C:\append c:\test�

设置寻找非可执行文件路径为c:\test如果该目录下有文件1.txt时，

在其它目录下调用1.txt找不到时，可自动寻找到c:\test目录。

D:\UCDOSedit 1.txt 可找到C:\test\1.txt文件

debug 程序调试命令

〔建 议〕 如果你学过汇编语言，那你应该会使用debug，如果没学过，最好别

使用

〔用 法〕 debug [文件名]

diskcomp 比较磁盘

〔适用场合〕 比较两张盘是否相同，没想到什么时候会用到，在比较用diskcopy拷

贝的两张盘，为什么不用diskcopy/v校验呢？

〔用 法〕 diskcomp [盘符1] [盘符2] 比较盘1和盘2

diskcomp /1 只比较磁盘的第一面

diskcomp /8 只比较没磁道的前8个扇区

〔例 子〕 C:\diskcomp a: a:

在同一软驱中比较两张盘

Insert FIRST diskette in drive A:

放入第一张盘

Press any key to continue . . .

Comparing 80 tracks 18 sectors per track, 2 side(s)

Insert SECOND diskette in drive A:

放入第二张盘

Press any key to continue . . . Compare OK

比较未发现不同

Compare another diskette (Y/N) ?n

是否比较其它盘，选y继续比较，选n停止

expand|fasthelp|fc

expand 解压工具

〔适用场合〕 微软公司软件原始安装盘中有许多后缀以"_"结尾的压缩文件，可以

用它解压，解除您因为少数几个文件丢失造成的麻烦。

〔用 法〕 expand [源文件名] [目的文件]

〔例 子〕 C:\expand a:vsafe.co_ c:\dos\vsafe.com

� 解压vsafe.co_为vsafe.com文件

Microsoft (R) File Expansion Utility Version 2.10

Copyright (C) Microsoft Corp 1990-1993. All rights

reserved.

Expanding a:vsafe.co_ to c:\dos\vsafe.com. a:vsafe.co_:

33046 bytes expanded to 62576 bytes, 89% increase.

C:\DOS

fasthelp 快速显示帮助信息

〔建 议〕 可以看看所有的命令，对于单个的命令，还不如在命令名后加/?参数

方便

〔用 法〕 fasthelp 列出所有DOS命令的用处

fasthelp [命令名] 显示命令的用处，等价于 [命令名]/?

fc 文件比较

〔建 议〕 也许对于大多数人是永远不会用到它的

〔用 法〕 fc [文件名1] [文件名2] 比较两文件的不同

参数还有: a c l Lbn n t w nnnn

〔例 子〕 C:\TESTfc a.bat b.bat�

Comparing files A.BAT and B.BAT

***** A.BAT

choice /c:dme defrag,mem,end

if errorlevel 3 goto defrag

if errorlevel 2 goto mem

if errotlevel 1 goto end

***** B.BAT choice /c:dme defrag,mem,end

***** C:\TEST

interlnk|intersvr|qbasic

interlnk 启动简易网客户机

〔适用场合〕 如果有两台电脑可以通过它和intersvr联成简易的网络，这是条很有

用的命令，但不常用

〔用 法〕 DOS新增支持网络的功能，

它可以使两台电脑通过并口线或串口线相联组成简易的网络

使用interlnk 必须在config.sys中增添一句：

device=c:\dos\interlnk

并口线的两头都应是25针公接头，针之间的连接如下图：对应

p2------------------------p15

p3------------------------p13

p4------------------------p12

p5------------------------p10 公接头指接头为带针的

p6------------------------p11 母接头指接头为带孔的

p15-----------------------p2

p13-----------------------p3

p12-----------------------p4

p10-----------------------p5

p11-----------------------p6

p25-----------------------p25 地线

〔例 子〕 C:\DOS\interlnk Port-LPT1

this Computer Other Computer

(Client) (Server)

----------------------------------------

E: equals A:

F: equals C:

在客户机中E盘即为服务机的A盘，F盘为服务机的C盘

intersvr 启动简易网服务器

〔适用场合〕 使用它，电脑就成了服务器了（只限与DOS提供的简易网）

〔用 法〕 intersvr 启动服务机

intersvr /lpt:1 启动服务机,用lpt1口作为数据传输口

intersvr /com:1 启动服务机,用com1口作为数据传输口

参数还有 x baud: b v rcopy （参见interlnk)

〔例 子〕 C:\DOSintersvr�

qbasic 启动Basic集成环境

〔建 议〕 也许对于大多数人是永远不会用到它的

〔用 法〕 如果会qbasic语言，那么可以利用它编写自己的程序。edit.com必须

有它才可用。

qbasic 起动basic语言环境

qbasic/editor 以全屏方式编辑语言

参数还有： b g h mbf nohi run

〔例 子〕 C:\DOSqbasic�

setver|share|subst

setver 设置版本

〔适用场合〕 当希望使用其它版本的dos命令时可以用它来欺骗电脑。在高版本

DOS中，某些旧版本程序需要DOS3.3时，可用setver来设置

〔用 法〕 使用时一般在config.sys中加入 device=setver.exe

setver 显示文件的版本

setver [文件名] n.nn 设置指定文件的版本号

〔例 子〕 C:\DOSsetver�

KERNEL.EXE 5.00

DOSOAD.SYS 5.00

EDLIN.EXE 5.00

BACKUP.EXE 5.00

ASSIGN.COM 5.00

EXE2BIN.EXE 5.00

JOIN.EXE 5.00

RECOVER.EXE 5.00

WINWORD.EXE 4.10

C:\

若程序AAA.exe必须在MS-DOS3.3下执行，则键入

C:\DOSsetver aaa.exe 3.30�

又如net5.exe仅在MS-DOS5.0下执行，则在config.sys中加入

device=setver.exe后也可在Ms-DOS6.22下运行。

share 文件共享

〔建 议〕 只有在软件声明必须要运行它时才用

〔用 法〕 可在config.sys中加入 install=share.exe 也可直接运行

参数有 f l

subst 路径替换

〔建 议〕 一个非常有趣的命令，如果经常用光碟软件，可能有用。

〔用 法〕 subst 显示当前的替代路径

subst [盘符] [路径]

将指定的路径替代盘符，该路径将作为驱动器使用

subst /b 解除替代

〔例 子〕 C:\DOSsubst a: c:\temp� 用c盘temp目录替代a盘

C:\subst a: /d� 解除替代

tree|unformat|vsafe

tree 显示命令树结构

〔适用场合〕 查看所有的子目录

〔用 法〕 tree [盘符] 显示所有的子目录树

tree /f 显示目录时同时显示文件名

tree /a 以ASCII码显示目录树

〔例 子〕 C:\WINDOWStree /a�

unformat 恢复已被格式化的磁盘

〔建 议〕 你把有重要信息的软盘格式化了?快用unformat……什么?你用了

format /u，那死定了

〔用 法〕 unformat [盘符] 恢复指定的被格式化的磁盘

unformat /l 显示unformat所找到的文件名

〔例 子〕 C:\WINDOWSunformat a:�

vsafe 病毒防护程序

〔建 议〕 把它装入内存可以随时检测出许多种病毒，是比较有用的。

〔用 法〕 vsafe 加载vsafe在内存中

vsafe /u 从内存中去除vsafe

vsafe/ne 将vsafe装入扩充内存

vsafe/nx 将vsafe装入扩展内存

参数还有 Ax Cx n d

〔例 子〕 C:\vsafe

ver|vol|ctty

ver 显示DOS版本

〔例 子〕 C:\ver

�MS-DOS Version 6.22

C:\

vol 显示指定的磁盘卷标号

〔例 子〕 C:\vol�

Volume in drive C is Wang

Volume Serial Number is 2116-1DD0

C:\

ctty 改变控制设备

〔建 议〕 用来改变控制的输入输出设备，可以试试这条命令，不过恐怕不会有

什么作用，是DOS中最没用的命令之一

〔用 法〕 ctty [设备名] 设置控制台

〔例 子〕 C:\ctty aux� 设置aux为输入输出设备。

del *.* 删除当前目录所有文件

〔建 议〕 在C盘根目录使用del *.*会使电脑找不到鼠标、光驱、不能使用

windows，甚至不能启动。 事实上在任何目录中使用这条命令，都需

要好好考虑。

deltree *.* 删除当前目录下所有目录与文件

〔建 议〕 在C盘根目录中使用这条命令，那你必须要保证你的头脑是清醒的，

而且你保证这样做是有必要的，但我们认为在任何情况下都不应该这

样使用这条命令。 在任何目录下使用deltree *.*都会产生与

del *.*一样甚至更坏的结果。慎之！慎之！

短文:电脑黑客是怎样进行电脑信息破坏

目前造成网络不安全的主要因素是系统、协议及数据库等的设计上存在缺陷。由于当今的计算机网络操作系统在本身结构设计和代码设计时偏重考虑系统使用时的方便性，导致了系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞。网络互连一般采用TCP/IP协议，它是一个工业标准的协议簇，但该协议簇在制订之初，对安全问题考虑不多，协议中有很多的安全漏洞。同样，数据库管理系统（DBMS）也存在数据的安全性、权限管理及远程访问等方面问题，在DBMS或应用程序中可以预先安置从事情报收集、受控激发、定时发作等破坏程序。

由此可见，针对系统、网络协议及数据库等，无论是其自身的设计缺陷，还是由于人为的因素产生的各种安全漏洞，都可能被一些另有图谋的黑客所利用并发起攻击。因此若要保证网络安全、可靠，则必须熟知黑客网络攻击的一般过程。只有这样方可在黒客攻击前做好必要的防备，从而确保网络运行的安全和可靠。

一、黑客攻击网络的一般过程

1、信息的收集

信息的收集并不对目标产生危害，只是为进一步的入侵提供有用信息。黑客可能会利用下列的公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息：

（1）TraceRoute程序 能够用该程序获得到达目标主机所要经过的网络数和路由器数。

（2）SNMP协议 用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节。

（3）DNS服务器 该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。

（4）Whois协议 该协议的服务信息能提供所有有关的DNS域和相关的管理参数。

（5）Ping实用程序 可以用来确定一个指定的主机的位置或网线是否连通。

2、系统安全弱点的探测

在收集到一些准备要攻击目标的信息后，黑客们会探测目标网络上的每台主机，来寻求系统内部的安全漏洞，主要探测的方式如下：

（1）自编程序 对某些系统，互联网上已发布了其安全漏洞所在，但用户由于不懂或一时疏忽未打上网上发布的该系统的“补丁”程序，那么黒客就可以自己编写一段程序进入到该系统进行破坏。

（2）慢速扫描 由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

（3）体系结构探测 黑客利用一些特殊的数据包传送给目标主机，使其作出相对应的响应。由于每种操作系统的响应时间和方式都是不一样的，黒客利用这种特征把得到的结果与准备好的数据库中的资料相对照，从中便可轻而易举地判断出目标主机操作系统所用的版本及其他相关信息。

（4）利用公开的工具软件 像审计网络用的安全分析工具SATAN、Internet的电子安全扫描程序IIS等一些工具对整个网络或子网进行扫描，寻找安全方面的漏洞。

3、建立模拟环境，进行模拟攻击

根据前面两小点所得的信息，建立一个类似攻击对象的模拟环境，然后对此模拟目标进行一系列的攻击。在此期间，通过检查被攻击方的日志，观察检测工具对攻击的反应，可以进一步了解在攻击过程中留下的“痕迹”及被攻击方的状态，以此来制定一个较为周密的攻击策略。

4、具体实施网络攻击

入侵者根据前几步所获得的信息，同时结合自身的水平及经验总结出相应的攻击方法，在进行模拟攻击的实践后，将等待时机，以备实施真正的网络攻击。

二、协议欺骗攻击及其防范措施

1、源IP地址欺骗攻击

许多应用程序认为若数据包可以使其自身沿着路由到达目的地，并且应答包也可回到源地，那么源IP地址一定是有效的，而这正是使源IP地址欺骗攻击成为可能的一个重要前提。

假设同一网段内有两台主机A和B，另一网段内有主机X。B 授予A某些特权。X 为获得与A相同的特权，所做欺骗攻击如下：首先，X冒充A，向主机 B发送一个带有随机序列号的SYN包。主机B响应，回送一个应答包给A，该应答号等于原序列号加1。然而，此时主机A已被主机X利用拒绝服务攻击 “淹没”了，导致主机A服务失效。结果，主机A将B发来的包丢弃。为了完成三次握手，X还需要向B回送一个应答包，其应答号等于B向A发送数据包的序列号加1。此时主机X 并不能检测到主机B的数据包（因为不在同一网段），只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确，B则认为收到的ACK是来自内部主机A。此时，X即获得了主机A在主机B上所享有的特权，并开始对这些服务实施攻击。

要防止源IP地址欺骗行为，可以采取以下措施来尽可能地保护系统免受这类攻击：

（1）抛弃基于地址的信任策略 阻止这类攻击的一种十分容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用；删除.rhosts 文件；清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段，如telnet、ssh、skey等等。

（2）使用加密方法 在包发送到 网络上之前，我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境，但它将保证数据的完整性、真实性和保密性。

（3）进行包过滤 可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且，当包的IP地址不在本网内时，路由器不应该把本网主机的包发送出去。有一点要注意，路由器虽然可以封锁试图到达内部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此，它们仅能对声称是来自于内部网络的外来包进行过滤，若你的网络存在外部可信任主机，那么路由器将无法防止别人冒充这些主机进行IP欺骗。

2、源路由欺骗攻击

在通常情况下，信息包从起点到终点所走的路是由位于此两点间的路由器决定的，数据包本身只知道去往何处，而不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里，使数据包循着一个对方不可预料的路径到达目的主机。下面仍以上述源IP欺骗中的例子给出这种攻击的形式：

主机A享有主机B的某些特权，主机X想冒充主机A从主机B（假设IP为aaa.bbb.ccc.ddd）获得某些服务。首先，攻击者修改距离X最近的路由器，使得到达此路由器且包含目的地址aaa.bbb.ccc.ddd的数据包以主机X所在的网络为目的地；然后，攻击者X利用IP欺骗向主机B发送源路由(指定最近的路由器)数据包。当B回送数据包时，就传送到被更改过的路由器。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。

为了防范源路由欺骗攻击，一般采用下面两种措施：

· 对付这种攻击最好的办法是配置好路由器，使它抛弃那些由外部网进来的却声称是内部主机的报文。

· 在路由器上关闭源路由。用命令no ip source-route。

三、拒绝服务攻击及预防措施

在拒绝服务攻击中，攻击者加载过多的服务将对方资源全部使用，使得没有多余资源供其他用户无法使用。SYN Flood攻击是典型的拒绝服务攻击。

SYN Flood常常是源IP地址欺骗攻击的前奏，又称半开式连接攻击，每当我们进行一次标准的TCP连接就会有一个三次握手的过程，而SYN Flood在它的实现过程中只有三次握手的前两个步骤，当服务方收到请求方的SYN并回送SYN-ACK确认报文后，请求方由于采用源地址欺骗等手段，致使服务方得不到ACK回应，这样，服务方会在一定时间内处于等待接收请求方ACK报文的状态，一台服务器可用的TCP连接是有限的，如果恶意攻击方快速连续的发送此类连接请求，则服务器的系统可用资源、网络可用带宽急剧下降，将无法向其它用户提供正常的网络服务。

为了防止拒绝服务攻击，我们可以采取以下的预防措施：

（1） 建议在该网段的路由器上做些配置的调整，这些调整包括限制Syn半开数据包的流量和个数。

（2）要防止SYN数据段攻击，我们应对系统设定相应的内核参数，使得系统强制对超时的Syn请求连接数据包复位，同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的Syn请求数据包。

（3）建议在路由器的前端做必要的TCP拦截，使得只有完成TCP三次握手过程的数据包才可进入该网段，这样可以有效地保护本网段内的服务器不受此类攻击。

（4）对于信息淹没攻击，我们应关掉可能产生无限序列的服务来防止这种攻击。比如我们可以在服务器端拒绝所有的ICMP包，或者在该网段路由器上对ICMP包进行带宽方面的限制，控制其在一定的范围内。

总之，要彻底杜绝拒绝服务攻击，最好的办法是惟有追根溯源去找到正在进行攻击的机器和攻击者。 要追踪攻击者可不是一件容易的事情，一旦其停止了攻击行为，很难将其发现。惟一可行的方法是在其进行攻击的时候，根据路由器的信息和攻击数据包的特征，采用逐级回溯的方法来查找其攻击源头。这时需要各级部门的协同配合方可有效果。

四、其他网络攻击行为的防范措施

协议攻击和拒绝服务攻击是黑客惯于使用的攻击方法，但随着网络技术的飞速发展，攻击行为千变万化，新技术层出不穷。下面将阐述一下网络嗅探及缓冲区溢出的攻击原理及防范措施。

1、针对网络嗅探的防范措施

网络嗅探就是使网络接口接收不属于本主机的数据。计算机网络通常建立在共享信道上，以太网就是这样一个共享信道的网络，其数据报头包含目的主机的硬件地址，只有硬件地址匹配的机器才会接收该数据包。一个能接收所有数据包的机器被称为杂错节点。通常账户和口令等信息都以明文的形式在以太网上传输，一旦被黑客在杂错节点上嗅探到，用户就可能会遭到损害。

对于网络嗅探攻击，我们可以采取以下措施进行防范：

（1）网络分段 一个网络段包括一组共享低层设备和线路的机器，如交换机，动态集线器和网桥等设备，可以对数据流进行限制，从而达到防止嗅探的目的。

（2）加密 一方面可以对数据流中的部分重要信息进行加密，另一方面也可只对应用层加密，然而后者将使大部分与网络和操作系统有关的敏感信息失去保护。选择何种加密方式这就取决于信息的安全级别及网络的安全程度。

（3）一次性口令技术 口令并不在网络上传输而是在两端进行字符串匹配，客户端利用从服务器上得到的Challenge和自身的口令计算出一个新字符串并将之返回给服务器。在服务器上利用比较算法进行匹配，如果匹配，连接就允许建立，所有的Challenge和字符串都只使用一次。

（4）禁用杂错节点 安装不支持杂错的网卡，通常可以防止IBM兼容机进行嗅探。

2、缓冲区溢出攻击及其防范措施

缓冲区溢出攻击是属于系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。当然，随便往缓冲区中填东西并不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell，再通过shell执行其它命令。如果该程序具有root权限的话，攻击者就可以对系统进行任意操作了。

缓冲区溢出对网络系统带来了巨大的危害，要有效地防止这种攻击，应该做到以下几点：

（1）程序指针完整性检查 在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针，由于系统事先检测到了指针的改变，因此这个指针将不会被使用。

（2）堆栈的保护 这是一种提供程序指针完整性检查的编译器技术，通过检查函数活动记录中的返回地址来实现。在堆栈中函数返回地址后面加了一些附加的字节，而在函数返回时，首先检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击，那么这种攻击很容易在函数返回前被检测到。但是，如果攻击者预见到这些附加字节的存在，并且能在溢出过程中同样地制造他们，那么他就能成功地跳过堆栈保护的检测。

（3）数组边界检查 所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内进行。最直接的方法是检查所有的数组操作，通常可以采用一些优化技术来减少检查次数。目前主要有这几种检查方法：Compaq C编译器、Jones Kelly C数组边界检查、Purify存储器存取检查等。

未来的竞争是信息竞争，而网络信息是竞争的重要组成部分。其实质是人与人的对抗，它具体体现在安全策略与攻击策略的交锋上。为了不断增强信息系统的安全防御能力，必须充分理解系统内核及网络协议的实现，真正做到洞察对方网络系统的“细枝末节”，同时应该熟知针对各种攻击手段的预防措施，只有这样才能尽最大可能保证网络的安全。

如何做系统优化

一、系统优化设置

1、系统常规优化

1）关闭系统属性中的特效。点击开始→控制面板→系统→高级→性能→设置→在视觉效果中，设置为调整为最佳性能→确定即可。

2）“我的电脑”－“属性”－“高级”－“错误报告”－选择“禁用错误汇报”。

3）再点“启动和故障恢复”－“设置”，将“将事件写入系统日志”、“发送管理警报”、“自动重新启动”这三项的勾去掉。再将下面的“写入调试信息”设置为“无”。

4）“我的电脑”－“属性”－“高级”－“性能”－“设置”－“高级”，将虚拟内存值设为物理内存的2.5倍，将初始大小和最大值值设为一样，并将虚拟内存设置在系统盘外。

5）将“我的文档”文件夹转到其他分区：右击“我的文档”－“属性“－“移动”，设置到系统盘以外的分区。

6）将IE临时文件夹转到其他分区。打开IE浏览器，选择“工具“－“internet选项”－“常规”－“设置”－“移动文件夹”，设置设置到系统盘以外的分区。

2、加速XP的开、关机

1）打开“系统属性”点“高级”选项卡，在“启动和故障恢复”区里打开“设置”，去掉“系统启动”区里的两个√，如果是多系统的用户保留“显示操作系统列表的时间”的√。再点“编辑”确定启动项的附加属性为/fastdetect而不要改为/nodetect，先不要加 /noguiboot属性，因为后面还要用到guiboot。

2）在“系统属性”里打开“硬件”选项卡，打开“设备管理器”，展开“IDE ATA/ATAPI控制器”，双击打开“次要IDE通道”属性，点“高级设置”选项卡，把设备1和2的传送模式改为“DMA（若可用）”，设备类型如果可以选择“无”就选为“无”，点确定完成设置。同样的方法设置“主要IDE通道”。

3）设置预读改善开机速度，打开注册表，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters，右边窗口将EnablePrefetcher的数值更改为1（0－禁用预读，1－预读应用程序，2－系统启动预读，3－前两者皆预读）。电脑是 PIII 800MHz 以上的可以尝试将数值更改为4或5。

4）关机加速。打开注册表（开始－运行－regedit），单击“我的电脑”打开“编辑”菜单的“查找”，输入AutoEndTasks，点“查找下一个”。双击打开找到的结果修改“数值数据”为1（此项是让系统自动关闭停止响应的程序）。然后在AutoEndTasks的下面找到HungAppTimeout，将其“数值数据”设为2000或者更小，推荐设为200，再找到WaitToKillAppTimeout，将其“数值数据”设为2000或者更小，推荐设为1000。在这里顺便也把菜单延迟的时间修改一下，在AutoEndTasks的下面找到MenuShowDelay，数值是以毫秒为单位，如果想去掉菜单延迟就设为0。修改后点“编辑”菜单，打开“查找下一个”（快捷键F3），继续查找，把找到的结果都安照上一步的方法修改（注意：数值要对应相同）。

5）用上面的方法找到WaitToKillServiceTimeout并设置数值与WaitToKillAppTimeout相同。

6）享受了极速重启的乐趣后我们再进一步加速一下启动的速度，打开“系统属性”－“高级”－“启动和故障恢复”设置，打开“系统启动”区的编辑，在fastdetect的后面加上/noguiboot，这样在启动的时候就不会再显示滚动条。如果你非常喜欢这个滚动条的显示这一步就不用做了。

7）MsConfig。选择“运行”－“msconfig”。我们要动手脚的是“启动”选项卡，点击它，这个选项卡中显示了Windows启动时运行的所有程序。这里没有一个程序对Windows来说是生死悠关的，所以放心大胆地把不要的去掉。

3、减少开机磁盘扫描等待时间

选择“开始→运行”，在运行对话框中键入“chkntfs /t:0”，即可将磁盘扫描等待时间设置为0；如果要在计算机启动时忽略扫描某个分区，比如C盘，可以输入“chkntfs /x c:”命令；如果要恢复对C盘的扫描，可使用“chkntfs /d c:”命令，即可还原所有chkntfs默认设置，除了自动文件检查的倒计时之外。

4、关掉调试器Dr. Watson

运行drwtsn32，把除了“转储全部线程上下文”之外的全都去掉。否则一旦有程序出错，硬盘会响很久，而且会占用很多空间。如果你以前遇到过这种情况，请查找user.dmp文件并删掉，可能会省掉几十M的空间。这是出错程序的现场，对我们没用。然后打开注册表，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug子键分支，双击在它下面的Auto键值名称，将其“数值数据”改为0，最后按F5刷新使设置生效，这样就彻底来取消它的运行了。另外蓝屏时出现的memory.dmp也可删掉。在“我的电脑→属性→高级→设置→写入调试信息→选择无”。

5、关闭“系统还原”

鼠标右健单击桌面上的“我的电脑”，选择“属性”，找到“系统还原”去掉，这样可以节省好多空间。

6、关闭“休眠支持”

休眠功能会占用不少的硬盘空间，如果使用得少不妨将其关闭。打开“控制面板”－“电源选项”－“休眠”选项卡，取消“启用休眠”复选框。

7、取消对ZIP压缩文件的支持

点击开始→运行，敲入：“regsvr32 /u zipfldr.dll”双引号中间的，然后回车确认即可，成功的标志是出现个提示窗口，内容大致为：zipfldr.dll中的Dll UnrgisterServer成功。

8、不加载DLL文件（卸载无用的动态链接）

找到注册表如下位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer，接下来建立一个名为AlwaysUnloadDLL，值为1的双字节值。如果想要去除这项优化，只需把该键值设为0（也可以干脆把键删掉）。

9、关闭错误报告

在“系统属性”对话框中选择“高级”选项卡，单击“错误报告”按钮，在弹出的“错误汇报”对话框中，选择“禁用错误汇报”单选项，最后单击“确定”即可。

10、加快窗口显示速度

打开注册表编辑器，找到HKEY_CURRENT_USER\Control Panel\Desktop\WindowMetrics，右边窗口找到MinAniMate键值，把它改为0。

11、关闭自动更新

“我的电脑”右键，选择“属性”－“自动更新”－“关闭自动更新，我将手动更新计算机”，单击“确定”。

12、加快开始菜单的显示

打开注册表编辑器，找"HKEY_CURRENT_USER\Control Panel\Desktop\MenuShowDelay"主键，适当调小该键值，最低可设为“0”。如果此方法无效，请从“控制面板”－“显示属性”－“显示效果”－“高级”，将"show menu shadow"项的选择取消，便可加快开始菜单的显示。

13、关闭磁盘索引

打开我的电脑－右击驱动器－“属性”－取消“使用索引以便快速查找文件”。

14、加快自动刷新率

运行注册表编辑器，找HKEY_LOCAL_MACHINE\ystem\CurrentControlSet\Control\Update\，将Dword[UpdateMode]的数值数据更改为[0]。

15、关闭自动重新启动功能

WindowsXP遇到严重问题时会突然重新开机，可从注册表将此功能取消。打开注册表编辑器，找到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl\”将AutoReboot键的Dword值更改为0。

16、关闭不必要的服务

1）NetMeeting Remote Desktop Sharing：允许受权的用户通过NetMeeting在网络上互相访问对方。这项服务对大多数个人用户并没有多大用处，况且服务的开启还会带来安全问题，因为上网时该服务会把用户名以明文形式发送到连接它的客户端，黑客的嗅探程序很容易就能探测到这些账户信息。

2）Universal Plug and Play Device Host：此服务是为通用的即插即用设备提供支持。这项服务存在一个安全漏洞，运行此服务的计算机很容易受到攻击。攻击者只要向某个拥有多台Win XP系统的网络发送一个虚假的UDP包，就可能会造成这些Win XP主机对指定的主机进行攻击（DDoS）。另外如果向该系统1900端口发送一个UDP包，令“Location”域的地址指向另一系统的chargen端口，就有可能使系统陷入一个死循环，消耗掉系统的所有资源（需要安装硬件时需手动开启）。

3）Messenger：俗称信使服务，电脑用户在局域网内可以利用它进行资料交换（传输客户端和服务器之间的Net Send和Alerter服务消息，此服务与Windows Messenger无关。如果服务停止，Alerter消息不会被传输）。这是一个危险而讨厌的服务，Messenger服务基本上是用在企业的网络管理上，但是垃圾邮件和垃圾广告厂商，也经常利用该服务发布弹出式广告，标题为“信使服务”。而且这项服务有漏洞，MSBlast和Slammer病毒就是用它来进行快速传播的。

4）Terminal Services：允许多位用户连接并控制一台机器，并且在远程计算机上显示桌面和应用程序。如果你不使用Win XP的远程控制功能，可以禁止它。

5）Remote Registry：使远程用户能修改此计算机上的注册表设置。注册表可以说是系统的核心内容，一般用户都不建议自行更改，更何况要让别人远程修改，所以这项服务是极其危险的。

6）Fast User Switching Compatibility：在多用户下为需要协助的应用程序提供管理。Windows XP允许在一台电脑上进行多用户之间的快速切换，但是这项功能有个漏洞，当你点击“开始→注销→快速切换”，在传统登录方式下重复输入一个用户名进行登录时，系统会认为是暴力破解，而锁定所有非管理员账户。如果不经常使用，可以禁止该服务。或者在“控制面板→用户账户→更改用户登录或注销方式”中取消“使用快速用户切换”。

7）Telnet：允许远程用户登录到此计算机并运行程序，并支持多种 TCP/IP Telnet客户，包括基于 UNIX 和 Windows 的计算机。又一个危险的服务，如果启动，远程用户就可以登录、访问本地的程序，甚至可以用它来修改你的ADSL Modem等的网络设置。除非你是网络专业人员或电脑不作为服务器使用，否则一定要禁止它。

8）Performance Logs And Alerts：收集本地或远程计算机基于预先配置的日程参数的性能数据，然后将此数据写入日志或触发警报。为了防止被远程计算机搜索数据，坚决禁止它。

9）Remote Desktop Help Session Manager：如果此服务被终止，远程协助将不可用。

10）TCP/IP NetBIOS Helper：NetBIOS在Win 9X下就经常有人用它来进行攻击，对于不需要文件和打印共享的用户，此项也可以禁用。

二、硬件优化设置

1、关掉不用的设备

在设备管理器中，将PCMCIA卡、调制解调器、红外线设备、打印机端口(LPT1)或者串口(COM1)等不常用的设备停用，在要停用设备属性对话框中的“常规”选项卡中选择“不要使用这个设备(停用)”。当需要使用这些设备时再从设备管理器中启用它们。

2、内存性能优化

WindowsXP中有几个选项可以优化内存性能，它们全都在注册表下面位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

1）禁用内存页面调度（Paging Executive）

XP会把内存中的片断写入硬盘，我们可以阻止它这样做，让数据保留在内存中，从而提升系统性能。256M以上内存才使用这个设置。把“DisablePagingExecutive”的值从0改为1就可以禁止内存页面调度了。

2）提升系统缓存

必须有256M以上的内存，才激活它。把LargeSystemCache键值从0改为1，一般来说，这项优化会使系统性能得到相当的提升，但也有可能会使某些应用程序性能降低。

3）输入/输出性能

内存大于256M才更改这里的值，这个优化只对server（服务器）用户才有实在意义，它能够提升系统进行大容量文件传输时的性能。建一个DWORD（双字节值）键值，命名为IOPageLockLimit，数值设8M－16M字节之间性能最好，具体设什么值，可试试哪个值可获得最佳性能。这个值是用字节来计算的，比如你要分配12M，就是12×1024×1024，也就是12582912。

三、网络优化设置

1、优化网上邻居

WindowsXP使用网上邻居时，首先会搜索自己的共享目录和可作为网络共享的打印机以及计划任务中和网络相关的计划任务，然后才显示出来，这样会直接影响计算机的运行速度，如果不必要的话，应将其删除。在注册表编辑器中找到 HKEY_LOCAL_MACHINE\sofeware\Microsoft\Windows\Current Version\Explorer\RemoteComputer\NameSpace，删除其下的{2227A280-3AEA-1069-A2DE08002B30309D}（打印机）和{D6277990-4C6A-11CF-8D87-00AA0060F5BF}（计划任务）。

2、解决WinXP运行时停顿问题

开始－网络连接－本地连接－选择属性－选择“Internet协议（TCP/IP）”属性，改IP地址：192.168.0.2 子网掩码：255.255.255.0 默认网关 192.168.0.1。

3、让XP自动连网

打开拨号连接属性，把“提示名称、密码、凭证等”的勾去掉，然后把该拨号放到“启动”即完成。

4、优化防火墙

1）启用或禁用Internet连接防火墙，打开“网络连接”，右击要保护的连接，然后在属性框中选“高级”－“设置”－“启用”；

2）启用或禁用安全日志记录选项，右击启用防火墙的连接，在其属性框中选“高级”－“设置”－“高级”－“安全日志记录设置”，把两项勾去掉即可。

5、提高10/100M网卡传输速率

右键网卡所用的连接，打开“属性”对话框，选择所用网卡“配置”，“高级”栏中选择“Link Speed/Duplex Mode”，紧接着在“设置值”栏中将“Auto Mode”更改为“10 Half Mode”。这样，手工将10/100M自适应网卡的属性强制为10M半双工模式，使网卡之间不进行自动协商，让网卡之间在传输数据时始终以10Mbps的速度进行，大大提高了网络之间的传输效率。此设置只对部分网卡有效。

6、让IE快速启动并支持多线程下载

1）快速启动：右击任务栏上InternetExplorer图标，在“目标”后面加上“-nohome”参数（加参数后如下："C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome），确定即可。2）支持多线程下载：运行注册表编辑器，在“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings”下新建双字节值项“MaxConnectionsPerServer”，它决定了最大同步下载的连线数目，一般设定为5～8个连线数目比较好。

四、系统减肥设置

1、删除系统文件备份 sfc.exe /purgecache（一般用户是不怎么用的）。

2、删除驱动备份 windows\driver cache\i386 目录下的Driver.cab文件（73M）。

3、取消系统还原（建议安装xp的盘使用，其它盘都别用，通过系统清理程序定期删除一些比较早的还原点）。

4、删除帮助文件（使用中文汉化包的文件大小为92兆，刚开始使用xp的同志最好别删）。

5、删掉\WINDOWS\system32\dllcache下文件（这是备用的dll文件，只要你拷贝了安装文件，完全可以这样做）。

6、把我的文档、IE的临时文件夹都转到其他分区。（同时对系统的速度和硬盘都有好处，如果使用的是双系统，最好把两个系统的IE临时文件都放在同一个文件夹，这样既加快速度有节省空间）。

7、把虚拟内存也转到其他盘（就是将这些东西和平时临时下载文件放在一个不大的分区里，这样也方便整理硬盘）。

8、将应用软件装在其他盘（这对重装系统也有好处，可以省很多事）。

9、删除\windows\ime下不用的输入法（日文、韩文、繁体中文输入法，到底哪个是哪个自己研究一下吧）。

10、如用NTFS格式装XP,本身就节省空间。

五、优化BIOS设置

1、在Standard CMOS Setup里没有连接IDE设备的端口的TYPE和MODE设为None。

2、将CPU Internal Cache、External Cache设为Enabled，打开CPU一二级缓存。

3、将System Boot Up speed设为High。使系统引导速度为高速。

4、将Boot Sequence设为C，A:。

5、将Floopy Drive Seek At Boot设为Disable。使启动时不检测软驱。

6、将Above 1MB Memory Test设为Disabled。启动时不检测1MB以上的内存。

7、将Boot Up Floppy seek设为Disabled。这样做可以使启动时不对软驱进行寻道操作。

8、将Video BIOS Shadow设为Enabled。使显卡上的BIOS映射到内存中，提高显示速度。

9、将System BIOS Shadow设为Enabled。使系统BIOS映射内存中，改善性能。

10、将Video BIOS Cacheable设为Enable。使显卡上的BIOS映射到高速缓存。

11、将System BIOS Cacheable设为Enbaled。使主板的BIOS映射到高速缓存。

12、将Cache Timing设为Fastset。

13、将SDRAM CAS Latency Time设为3。设置SDRAM的延迟时间。如果你的内存质量不是很好，设成3会使死机情况大大减少。

网络黑客是怎么操作的

Web服务器将成为下一代黑客施展妖术的对象。在很大程度上，进行这种攻击只需一个Web浏览器和一个创造性的头脑。以前，黑客的攻击对象集中在操作系统和网络协议上，但随着这些攻击目标的弱点和漏洞逐渐得到修补，要进行这类攻击已经变得非常困难。操作系统正在变得更加稳健，对攻击的抵抗能力日益提高。随着身份验证和加密功能渐渐被内置到网络协议中，网络协议也变得更加安全。此外，防火墙也越来越智能，成为网络和系统的外部保护屏障。

另一方面，电子商务技术正在日益普及开来，其复杂性有增无减。基于Web的应用程序正在与基本的操作系统和后端数据库更加紧密地集成在一起。遗憾的是，人们在基于Web的基础设施安全性方面所做的工作还很不够。Web服务器和Web应用程序中的弱点被发现的速度为何这么快呢？

有很多因素促成了这种Web黑客活动的快速增加。其中最主要的原因是防火墙允许所有的Web通信都可以进出网络，而防火墙无法防止对Web服务器程序及其组件或Web应用程序的攻击。第二个原因是，Web服务器和基于Web的应用程序有时是在“功能第一，安全其次”的思想指导下开发出来的。

当您的Web服务器面临巨大威胁时，怎样保障它们的安全呢？这就需要您不断了解新信息，新情况，每天跟踪您所用服务器的有关网站，阅读相关新闻并向它进行咨询。为了让你着手这方面的工作，下面介绍黑客对NT系统的四种常用攻击手段，同时介绍如何防止这类攻击。

Microsoft IIS ism.dll缓冲区溢出

受影响的服务器：运行IIS 4.0并带有“Service Pack 3/4/5”的Windows NT服务器

Microsoft IIS缓冲区溢出这一安全弱点是Web服务器无时不有的重大缺陷之一。该弱点被称为IIS

eEye，这个名称来自发现此问题的一个小组。在实施缓冲区溢出攻击时，黑客向目标程序或服务输入超出程序处理能力的数据，导致程序突然终止。另外，还可以通过设置，在执行中的程序终止运行前，用输入的内容来覆盖此程序的某些部分，这样就可以在服务器的安全权限环境下执行任意黑客命令。

eEye发现，IIS用来解释HTR文件的解释程序是ism.dll，它对缓冲区溢出攻击的抵抗力十分脆弱。如果攻击者将一个以.htr结尾的超长文件名（大约3,000个字符，或更多）传递给IIS，那么输入值将在ism.dll中造成输入缓冲区溢出，并导致IIS崩溃。如果攻击者输入的不是一串字母而是可执行代码（通常称为“鸡蛋”或“外壳代码”），那么在IIS终止之前将执行该代码。由eEye小组发现的这一攻击方法包括三个步骤：

1．创建一个用于侦听任意TCP端口上连接活动的程序。一旦接收到连接信号，该程序将执行一个Windows命令外壳程序(cmd.exe)，并将该外壳与连接绑定在一起。这个程序是经过修改的Netcat。Netcat是一个流行的网络连接实用程序，其源代码可以免费获得。

2．在IIS的ism.dll中制造缓冲区溢出，并使IIS从外部Web站点下载侦听程序（由步骤1产生）。

3．执行刚下载的程序（由步骤2产生），该程序将等待传入的连接并使攻击者进入Windows命令外壳程序中。

由于缓冲区溢出导致IIS在崩溃之前转而运行Windows命令外壳，所以该外壳程序将在IIS的安全权限背景下运行，而该安全权限背景等价于NT

Administrator权限。这样，攻击者要做的只是与被攻击的IIS服务器的侦听端口建立连接，然后等着出现c:提示就万事大吉了。现在，攻击者拥有对整个NT服务器的管理权限，可以做任何事，比如，添加新用户、修改服务器的内容、格式化驱动器，甚至将该服务器用作攻击其它系统的踏脚石。

运行IIS 4.0并带有“Service Pack 3/4/5”的Windows

NT服务器容易受到此类攻击。Microsoft已经发布了对该弱点的修补程序。Windows NT Service Pack

6也已经修补了该问题。

Microsoft IIS MDAC RDS安全弱点

受影响的服务器：运行IIS 4.0并安装了MDAC 2.1或更早版本的Windows NT服务器

在发现IIS eEye安全弱点的大约一个月后，IIS

4.0的另一个弱点又暴露出来。使用Microsoft数据访问组件(MDAC)和远程数据服务(RDS)，攻击者可以建立非法的ODBC连接，并获得对Web服务器上的内部文件的访问权。如果安装了Microsoft

Jet OLE DB提供程序或Datashape提供程序，攻击者可以使用Visual Basic for Applications

shell()函数发出能够在服务器上执行的命令。

在安装了MDAC 2.1或更高版本的IIS 4.0上，从位于其公共目录中的msadcmsadcs.dll，可以找到MDAC

RDS弱点。Rain Forest

Puppy在其站点中对该弱点进行了详细说明。该弱点利用了IIS上MDAC默认安装时的不适当配置和安全机制的缺乏这一漏洞。在等价于NT

Administrator的IIS Web服务器进程的安全权限背景下，进行这种攻击的黑客可以在NT系统上远程执行任意命令。

MDAC的弱点不是由于技术造成的，而是由于用户对它的配置方式所致。很多站点是通过NT Option Pack 4.0安装IIS

4.0的。如果NT Option Pack

4.0是以典型或默认配置安装的，那么MDAC就容易遭到这种攻击。大多数使用默认安装的系统管理员都没有具体调整过这些设置，从而使Web服务器的安全性大大降低。

Foundstone公司的George Kurtz、Purdue大学的Nitesh

Dhanjani和我曾经共同设计了一个只有一行的命令字符串，该命令将利用MDAC

RDS弱点，使远程NT系统启动一个通过FTP或TFTP进行的文件传输过程。这个命令将告诉服务器到从某个外部系统下载并执行Netcat。Netcat将运行Windows命令外壳程序，并建立一个返回攻击者计算机的连接，这样，攻击者就获得了对远程NT系统的完全管理控制权。

Microsoft已经发布了相应的安全公告，并对使IIS 4.0免受该弱点攻击的保护措施进行了说明。

Allaire ColdFusion 4.0弱点

受影响的服务器：运行在Windows NT上的Allaire ColdFusion Server 4.0

作为还算容易使用的、功能强大的脚本语言，ColdFusion已经广泛流行起来。但流行并不意味着安全。ColdFusion的问题不在于该服务器自身，而是在于它附带的脚本。ColdFusion

4.0提供了示范应用程序和范例，它们可以在位于Web服务器根目录中的cfdocsexampleapp和cfdocsexpeval目录中找到。当用户执行典型安装时，将安装这些应用程序和脚本。ColdFusion所附带的部分范例经过修改后，将允许非法访问服务器上所包含的敏感数据。这些弱点表明，基本的应用程序服务器可以被编写得不好的应用程序脚本歪曲利用。

存在这种弱点的一个范例应用程序是cfdocsexampleappdocssourcewindow.cfm。因为ColdFusion是作为具有Administrator权限的系统服务运行的，所以，该程序可以被用来任意访问和查看NT

Web服务器上的任何文件，包括boot.ini。用这种方法可以检索任何文件。Packet Storm对该弱点做了完整解释。

而更严重的弱点存在于cfdocsexpevalopenfile.cfm、cfdocsexpevaldisplayopenedfile.cfm和cfdocsexpevalexprcalc.cfm中。这三个文件可以用来查看服务器上的任何文件，更为严重的是，它们还能将任意文件上载到服务器。对该弱点如何发作的讨论超出了本文的范围，欲了解详细信息请访问L0pht

Heavy

Industries的咨询信息。表达式求值程序exprcalc.cfm用于让开发人员计算被上载文件中的ColdFusion表达式的值。作为预防手段，该脚本在进行表达式计算时便会把被上载的文件删除掉，但要避免删除却是件容易的事。这样，攻击者可以上载恶意文件，并最终控制服务器。

这些就是ColdFusion的示范脚本中最严重的弱点。要防止出现问题，请从任何运行中的服务器中删除ColdFusion示范脚本。Allaire的Security

Zone提供了补丁程序，并提供了如何保护ColdFusion服务器的进一步信息。

Sambar 4.3 hello.bat

受影响的服务器：运行在Windows NT上的Sambar 4.3 beta 7和更早版本

Sambar是提供给开发者的免费Web服务器。它提供了对CGI和WinCGI脚本、ODBC脚本以及ISAPI的支持。它甚至捆绑了Perl

5解释器。

Sambar 4.3 beta

7版和更早版本附带两个名为hello.bat和echo.bat的文件，它们是将Windows批处理文件用作CGI脚本的范例。这两个脚本本身没有问题，hello.bat显示字符串“Hello

World”，而echo.bat显示字符串“Place

Holder”。但当批处理文件被用作CGI脚本时，Web服务器将使用Windows命令外壳程序cmd.exe来运行它们。这样，攻击者可以利用该弱点针对目标服务器运行任意命令。例如，假如攻击者把URL

;dir+c:放在他或她的浏览器中，那么，将在服务器上运行命令“dir

c:”，并在浏览器上显示结果。由于Sambar是在NT

Administrator安全权限下运行的，因此事情会变得更为复杂。这样的权限等级可以让攻击者作为NT Administrator运行任意命令。

Windows命令外壳使用“”在相同命令行上分隔多个命令。如果用户将“”放在hello.bat的后面，并在其后添加一个命令，那么将在执行hello.bat后执行第二个命令。

由于已经删除了文件hello.bat和echo.bat，Sambar 4.3 beta

8版和更高版本没有该弱点。但是，由于Windows命令外壳程序解析命令行的方式无法改变，所以并没有办法能真正修正该问题。如果您安装了4.3

beta 7版或更低版本，请一定要删除hello.bat和echo.bat。