IDC運維總結(jié)之遠程連接
IDC運維總結(jié)之遠程連接
問:遠程連接不上原因何為?或遠程連接時斷時續(xù),究竟因從何處���?(通過遠程桌面連接
程序訪問時卻出現(xiàn)了“中斷遠程桌面連接��,遠程計算機已結(jié)束連接”的提示)
答:其實����,遠程一旦中斷,首先要確保網(wǎng)線有無問題�,交換機端口是否有問題,其次在
說別的原因����。第一、遠程連接不上首當(dāng)其沖要檢查網(wǎng)絡(luò)的穩(wěn)定性(這其中包括客戶端方和服務(wù)器方的網(wǎng)絡(luò)訪問情況及其穩(wěn)定性)并查看是否有攻擊或受到了攻擊的影響����;
第二、保證服務(wù)器的質(zhì)量問題�,即服務(wù)器的老化時間;再者��,查看服務(wù)器是否是已長時間訪問或運行�,或者服務(wù)器有無死機、宕機����,溫度是否過高(重啟即可)保證服務(wù)器的正常運行第三、客戶在遠程服務(wù)器時做了一些不當(dāng)操作(比如使用360軟件進行開機加速一鍵優(yōu)化時關(guān)閉了遠程連接��;擅自修改遠程端口;開啟防火墻卻未做一些相關(guān)設(shè)置等)解決辦法①開啟遠程連接:【我的電腦】右擊“屬性”選項“遠程”勾選項
確定(檢查是否已設(shè)管理員或遠程用戶的密碼)
問題補充:可以連接到該計算機���,但是馬上中斷��。懷疑是否在遠程桌面登錄時是默認使用當(dāng)前帳戶的��,所以將自己的計算機帳戶和密碼設(shè)置為和遠程那臺計算機一致�����,誰知道問題依舊��?磥砉收蠎(yīng)該是該計算機遠程桌面服務(wù)本身的設(shè)置問題。解決辦法:第一步����、通過“開始->運行->輸入regedit”,打開注冊表編輯器�����。第二步�����、找到鍵值����,在左側(cè)的RDPDR上點鼠標(biāo)右鍵,選擇“權(quán)限”�����。
第三步�、在彈出的對RDPDR設(shè)置權(quán)限窗口后,將everyone組添加到完全控制權(quán)限����,如果你只想讓某個特定的用戶遠程管理該計算機的話,將該帳戶添加到權(quán)限設(shè)置窗口中即可����,記住一定要給予“完全控制”權(quán)限。
第四步��、接下來將如下內(nèi)容復(fù)制到一個記事本txt文件中���,并保存成后綴為.reg的文件�����。WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\RDPDR\\0000]"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}""Class"="System"
"HardwareID"=hex(7):52,00,4f,00,4f,00,54,00,5c,00,52,00,44,00,50,00,44,00,52,\\00,00,00,00,00
"Driver"="{4D36E97D-E325-11CE-BFC1-08002BE10318}\\\\0030""Mfg"="(標(biāo)準(zhǔn)系統(tǒng)設(shè)備)""Service"="rdpdr"
"DeviceDesc"="終端服務(wù)器設(shè)備重定向器""ConfigFlags"=dword:00000000"Capabilities"=dword:00000000
第五步�、接下來我們雙擊運行保存后的注冊表文件,當(dāng)出現(xiàn)“注冊表導(dǎo)入成功”的提示后說明我們操作正確�����。第六步�、再通過“開始->運行->輸入services.msc”,打開服務(wù)管理窗口�,找到名為“RemoteDesktopHelpSessionManager”和“Telnet”的服務(wù)并將服務(wù)開啟。第七步�、重新啟動計算機后再通過遠程桌面連接程序訪問此臺計算機就不會再出現(xiàn)任何問題了,程序自動進入輸入管理員帳號和密碼的步驟����。
至此我們通過啟動服務(wù)和導(dǎo)入注冊表,以及修改注冊表鍵值使用權(quán)限三個步驟完成了解決一連接遠程桌面程序就中斷的故障����,我們又可以輕松正常的使用遠程管理程序操縱網(wǎng)絡(luò)另一端的計算機了。
②注冊表修改遠程端口(如有必要的話以防攻擊)首先���,開始運行輸入“regedit”�,打開本地工作站的注冊表編輯界面,找到項,在右側(cè)找到并雙擊即可修改�;其次,同樣找到項��,在右側(cè)找到并雙擊即可修改(兩次修改要完全一致)����;此時�,修改后的遠程端口就可以用了(如果連接不上,就在運行中輸入“gpupdate”刷新策略����,并重啟服務(wù)器);另外����,如果安裝了防火墻,在更改了遠程登陸的端口請記得在系防火墻上打開這個例外端口
③網(wǎng)絡(luò)連接里打開遠程端口【網(wǎng)上鄰居】右擊“屬性”找到【本地連接】右擊“屬性”屬性在右下角找到“高級”單機“選項選擇“屬性”勾選��,并選擇“全部允許”(也可
以只允許幾個個別的端口)
若開啟了防火墻���,則在中選擇的“例外”��,勾選項��,或選擇自定義一條策略�����,將自己新修改的遠程端口加上以上所講述的只是適用于Windows系統(tǒng)的��,下面是有關(guān)Linux修改遠程SSH的端口號的linux修改端口
首先����,修改配置文件:vi/etc/ssh/sshd_config找到#Port22一段,這里是標(biāo)識默認使用22端口���,修改為如下:Port22Port50000
然后保存退出�,執(zhí)行/etc/init.d/sshdrestart��,這樣SSH端口將同時工作與22和50000上�����。然后�����,編輯防火墻配置:vi/etc/sysconfig/iptables啟用50000端口��。
執(zhí)行/etc/init.d/iptablesrestart,現(xiàn)在請使用ssh工具連接50000端口�����,來測試是否成功�����。如果連接成功了��,則再次編輯sshd_config的設(shè)置�����,將里邊的Port22刪除����,即可
擴展閱讀:IDC運維總結(jié)
IDC運維總結(jié)
作者:企鵝(編注)
IDC運維總結(jié)第-2-頁
目錄
一����、遠程連接3二、網(wǎng)頁打不開7三��、機房攻擊11
附錄17
附錄一:IP攻擊方式一18附錄二:IP攻擊方式二20附錄三:通州機房網(wǎng)絡(luò)故障記錄一26附錄四:通州機房網(wǎng)絡(luò)故障記錄二30
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-3-頁
一�����、遠程連接
問:遠程連接不上原因何為?或遠程連接時斷時續(xù),究竟因從何處���?(通過遠程桌面連接程序訪問時卻出現(xiàn)了“中斷遠程桌面連接����,遠程計算機已結(jié)束連接”的提示)
答:其實����,遠程一旦中斷,首先要確保網(wǎng)線有無問題����,交換機端口是否有問題,其次在說別的原因��。
第一�、遠程連接不上首當(dāng)其沖要檢查網(wǎng)絡(luò)的穩(wěn)定性(這其中包括客戶端方和服務(wù)器方的網(wǎng)絡(luò)訪問情況及其穩(wěn)定性)并查看是否有攻擊或受到了攻擊的影響;
第二�、保證服務(wù)器的質(zhì)量問題,即服務(wù)器的老化時間��;再者�����,查看服務(wù)器是否是已長時間訪問或運行,或者服務(wù)器有無死機�����、宕機�,溫度是否過高(重啟即可),保證服務(wù)器的正常運行
第三����、客戶在遠程服務(wù)器時做了一些不當(dāng)操作(比如使用360軟件進行開機加速一鍵優(yōu)化時關(guān)閉了遠程連接;擅自修改遠程端口��;開啟防火墻卻未做一些相關(guān)設(shè)置等)
解決辦法①開啟遠程連接:【我的電腦】右擊“屬性”選項“遠程”勾選項用戶的密碼)
問題補充:可以連接到該計算機�,但是馬上中斷��。懷疑是否在遠程桌面登錄時是默認使用當(dāng)前帳戶的����,所以將自己的計算機帳戶和密碼設(shè)置為和遠程那臺計算機一致,誰知道問題依舊�。看來故障應(yīng)該是該計算機遠程桌面服務(wù)本身的設(shè)置問題�����。
解決辦法:第一步、通過“開始->運行->輸入regedit”���,打開注冊表編
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-63701600
確定(檢查是否已設(shè)管理員或遠程IDC運維總結(jié)第-4-頁
輯器�。
第二步�、找到
左側(cè)的RDPDR上點鼠標(biāo)右鍵,選擇“權(quán)限”���。
第三步�����、在彈出的對RDPDR設(shè)置權(quán)限窗口后�����,將everyone組添加到完全控制權(quán)限���,如果你只想讓某個特定的用戶遠程管理該計算機的話,將該帳戶添加到權(quán)限設(shè)置窗口中即可�����,記住一定要給予“完全控制”權(quán)限。
第四步�����、接下來將如下內(nèi)容復(fù)制到一個記事本txt文件中����,并保存成后綴為.reg的文件�。
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\RDPDR\\0000]"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}""Class"="System"
"HardwareID"=hex(7):52,00,4f,00,4f,00,54,00,5c,00,52,00,44,00,50,00,44,00,52,\\
00,00,00,00,00
"Driver"="{4D36E97D-E325-11CE-BFC1-08002BE10318}\\\\0030""Mfg"="(標(biāo)準(zhǔn)系統(tǒng)設(shè)備)""Service"="rdpdr"
"DeviceDesc"="終端服務(wù)器設(shè)備重定向器""ConfigFlags"=dword:00000000"Capabilities"=dword:00000000
第五步���、接下來我們雙擊運行保存后的注冊表文件�����,當(dāng)出現(xiàn)“注冊表導(dǎo)入成功”的提示后說明我們操作正確�����。
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-63701600
鍵值����,在IDC運維總結(jié)第-5-頁
第六步、再通過“開始->運行->輸入services.msc”�,打開服務(wù)管理窗口,找到名為“RemoteDesktopHelpSessionManager”和“Telnet”的服務(wù)并將服務(wù)開啟��。
第七步�、重新啟動計算機后再通過遠程桌面連接程序訪問此臺計算機就不會再出現(xiàn)任何問題了,程序自動進入輸入管理員帳號和密碼的步驟�。
至此我們通過啟動服務(wù)和導(dǎo)入注冊表,以及修改注冊表鍵值使用權(quán)限三個步驟完成了解決一連接遠程桌面程序就中斷的故障�,我們又可以輕松正常的使用遠程管理程序操縱網(wǎng)絡(luò)另一端的計算機了。
②注冊表修改遠程端口(如有必要的話以防攻擊)
首先�,開始運行輸入“regedit”,打開本地工作站的注冊表編輯界面,找到項在右側(cè)找到項����,在右側(cè)找到
并雙擊即可修改;其次���,同樣找到
并雙擊即可修改(兩次修改要完全一致)���;此時,修
,
改后的遠程端口就可以用了(如果連接不上����,就在運行中輸入“gpupdate”刷新策略,并重啟服務(wù)器)�;另外,如果安裝了防火墻���,在更改了遠程登陸的端口請記得在系防火墻上打開這個例外端口
③網(wǎng)絡(luò)連接里打開遠程端口
【網(wǎng)上鄰居】右擊“屬性”找到【本地連接】右擊“屬性”屬性右下角“高級”單機“選項”��,選擇
“屬性”勾選“
����,”����,
并選擇“全部允許”(也可以只允許幾個個別的端口)
若開啟了防火墻,則在勾選
項�,或選擇
中選擇
的“例外”,
自定義一條策略��,將自己新修改的遠程端口
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-6-頁
加上�����。
以上所講述的只是適用于Windows系統(tǒng)的����,下面是有關(guān)Linux修改遠程SSH的端口號的
linux修改端口
首先,修改配置文件:vi/etc/ssh/sshd_config找到#Port22一段�,這里是標(biāo)識默認使用22端口,修改為如下:
Port22Port50000
然后保存退出�����,執(zhí)行/etc/init.d/sshdrestart��,這樣SSH端口將同時工作與22和50000上�。
然后,編輯防火墻配置:vi/etc/sysconfig/iptables啟用50000端口�����。執(zhí)行/etc/init.d/iptablesrestart,現(xiàn)在請使用ssh工具連接50000端口�,來測試是否成功。如果連接成功了���,則再次編輯sshd_config的設(shè)置�,將里邊的Port22刪除����,即可。
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-7-頁
二�、網(wǎng)頁打不開
問:網(wǎng)頁打不開,瀏覽器打不開�,怎么辦?
答:出現(xiàn)此類問題首先先看一下網(wǎng)絡(luò)是否正常�、服務(wù)器是否正常運行,
再言其他�����。倘若�����,網(wǎng)絡(luò)和服務(wù)器均正常,再看下面:
第一�����、網(wǎng)絡(luò)設(shè)置的問題
這種原因比較多出現(xiàn)在需要手動指定IP���、網(wǎng)關(guān)、DNS服務(wù)器聯(lián)網(wǎng)方式下���,及使用代理服務(wù)器上網(wǎng)的(仔細檢查計算機的網(wǎng)絡(luò)設(shè)置)���。
第二、DNS服務(wù)器的問題
當(dāng)IE無法瀏覽網(wǎng)頁時���,可先嘗試用IP地址來訪問��,如果可以訪問��,那么應(yīng)該是DNS的問題�����,造成DNS的問題可能是連網(wǎng)時獲取DNS出錯或DNS服務(wù)器本身問題�����,這時你可以手動付—NS服務(wù)(地址可以是你當(dāng)?shù)豂SP提供的DNS服務(wù)器地址����,也可以用其它地方可正常使用DNS服務(wù)器地址。)在網(wǎng)絡(luò)的屬性里進行����,(控制面板網(wǎng)絡(luò)和拔號連接本地連接右鍵屬性TCP/IP協(xié)議屬性使用下面的DNS服務(wù)器地址)。不同的ISP有不同的DNS地址�����。有時候則是路由器或網(wǎng)卡的問題���,無法與ISP的DNS服務(wù)連接�����,這種情況的話����,可把路由器關(guān)一會再開�����,或者重新設(shè)置路由器。還有一種可能���,是本地DNS緩存出現(xiàn)了問題。為了提高網(wǎng)站訪問速度��,系統(tǒng)會自動將已經(jīng)訪問過并獲取IP地址的網(wǎng)站存入本地的DNS緩存里��,一旦再對這個網(wǎng)站進行訪問�����,則不再通過DNS服務(wù)器而直接從本地DNS緩存取出該網(wǎng)站的IP地址進行訪問����。所以,如果本地DNS緩存出現(xiàn)了問題���,會導(dǎo)致網(wǎng)站無法訪問���?梢栽凇斑\行”中執(zhí)行ipconfig/flushdns來清除本地DNS緩存���。
第三��、IE瀏覽器本身的問題
當(dāng)IE瀏覽器本身出現(xiàn)故障時���,自然會影響到瀏覽了����;或者IE被惡意修
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-8-頁
改破壞也會導(dǎo)致無法瀏覽網(wǎng)頁��。這時可以嘗試用“黃山IE修復(fù)專家”來修復(fù)(建議到安全模式下修復(fù))����,或者重新IE。
第四����、網(wǎng)絡(luò)防火墻的問題
如果網(wǎng)絡(luò)防火墻設(shè)置不當(dāng),如安全等級過高�、不小心把IE放進了阻止訪問列表、錯誤的防火墻策略等��,可嘗試檢查策略�、降低防火墻安全等級或直接關(guān)掉試試是否恢復(fù)正常。
第五、網(wǎng)絡(luò)協(xié)議和網(wǎng)卡驅(qū)動的問題
IE無法瀏覽�����,有可能是網(wǎng)絡(luò)協(xié)議(特別是TCP/IP協(xié)議)或網(wǎng)卡驅(qū)動損壞導(dǎo)致��,可嘗試重新網(wǎng)卡驅(qū)動和網(wǎng)絡(luò)協(xié)議�。
第六、HOSTS文件的問題
HOSTS文件被修改����,也會導(dǎo)致瀏覽的不正常�����,解決方法當(dāng)然是清空HOSTS文件里的內(nèi)容�����。
第七����、系統(tǒng)文件的問題
當(dāng)與IE有關(guān)的系統(tǒng)文件被更換或損壞時,會影響到IE正常的使用,這時可使用SFC命令修復(fù)一下��,WIN98系統(tǒng)可在“運行”中執(zhí)行SFC����,然后執(zhí)行掃描����;WIN201*/XP/201*則在“運行”中執(zhí)行sfc/scannow嘗試修復(fù)。其中當(dāng)只有IE無法瀏覽網(wǎng)頁����,而QQ可以上時,則往往由于winsock.dll�����、wsock32.dll或wsock.vxd(VXD只在WIN9X系統(tǒng)下存在)等文件損壞或丟失造成,Winsock是構(gòu)成TCP/IP協(xié)議的重要組成部分��,一般要重裝TCP/IP協(xié)議����。但xp開始集成TCP/IP協(xié)議,所以不能像98那樣簡單卸載后重裝,可以使用netsh命令重置TCP/IP協(xié)議,使其恢復(fù)到初次安裝操作系統(tǒng)時的狀態(tài)�。
具體操作如下:【開始】運行輸入“CMD”命令輸入“netshintipresetc:\\resetlog.txt”命令(其中“resetlog.txt”
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-9-頁
文件是用來記錄命令執(zhí)行結(jié)果的日志文件��,該參數(shù)選項必須指定���,這里指定的日志文件的完整路徑是“c:\\resetlog.txt”。執(zhí)行此命令后的結(jié)果與刪除并重新安裝TCP/IP協(xié)議的效果相同)。
小提示:netsh命令是一個基于命令行的腳本編寫工具���,你可以使用此命令配置和監(jiān)視Windows系統(tǒng),此外它還提供了交互式網(wǎng)絡(luò)外殼程序接口��,netsh命令的使用格式請參看幫助文件(在令提示符窗口中輸入“netsh/?”即可)�。第二個解決方法是修復(fù)以上文件��,WIN9X使用SFC重新提取以上文件��,WIN201*/XP/201*使用sfc/scannow命令修復(fù)文件,當(dāng)用sfc/scannow無法修復(fù)時����,可試試網(wǎng)上發(fā)布的專門針對這個問題的修復(fù)工具WinSockFix��。
第八��、殺毒軟件的實時監(jiān)控問題
這倒不是經(jīng)常見���,但有時的確跟實時監(jiān)控有關(guān)��,因為現(xiàn)在殺毒軟件的實時監(jiān)控都添加了對網(wǎng)頁內(nèi)容的監(jiān)控�。舉一個實例:KV201*就會在個別的機子上會導(dǎo)致IE無法瀏覽網(wǎng)頁(不少朋友遇到過)����,其具體表現(xiàn)是只要打開網(wǎng)頁監(jiān)控���,一開機上網(wǎng)大約20來分鐘后��,IE就會無法瀏覽網(wǎng)頁了����,這時如果把KV201*的網(wǎng)頁監(jiān)控關(guān)掉,就一切恢復(fù)正常;經(jīng)過徹底地重裝KV201*也無法解決�。雖然并不是安裝KV201*的每臺機子都會出現(xiàn)這種問題����,畢竟每臺機子的系統(tǒng)有差異�,安裝的程序也不一樣����。但如果出現(xiàn)IE無法瀏覽網(wǎng)頁時,也要注意檢查一下殺毒軟件�����。
第九�����、ApplicationManagement服務(wù)的問題
出現(xiàn)只能上QQ不能開網(wǎng)頁的情況�,重新啟動后就好了��。不過就算重新啟動���,開7到8個網(wǎng)頁后又不能開網(wǎng)頁了���,只能上QQ��。有時電信往往會讓你禁用ApplicationManagement服務(wù)���,就能解決了����。具體原因不明。
第十����、感染了病毒所致
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-10-頁
這種情況往往表現(xiàn)在打開IE時��,在IE界面的左下框里提示:正在打開網(wǎng)頁�,但老半天沒響應(yīng)����。在任務(wù)管理器里查看進程,(進入方法�,把鼠標(biāo)放在任務(wù)欄上,按右鍵任務(wù)管理器進程)看看CPU的占用率如何����,如果是100%���,可以肯定���,是感染了病毒��,這時你想運行其他程序簡直就是受罪。這就要查查是哪個進程貪婪地占用了CPU資源.找到后,最好把名稱記錄下來,然后點擊結(jié)束�,如果不能結(jié)束�,則要啟動到安全模式下把該東東刪除��,還要進入注冊表里�,(方法:開始運行,輸入regedit)在注冊表對話框里�,點編輯查找,輸入那個程序名��,找到后,點鼠標(biāo)右鍵刪除��,然后再進行幾次的搜索����,往往能徹底刪除干凈。有很多的病毒,殺毒軟件無能為力時�,唯一的方法就是手動刪除。
第十一����、無法打開二級鏈接
還有一種現(xiàn)象也需特別留意:就是能打開網(wǎng)站的首頁,但不能打開二級鏈接����,如果是這樣,處理的方法是重新注冊如下的DLL文件:在開始運行里輸入:regsvr32Shdocvw.dll
regsvr32Shell32.dll(注意這個命令�,先不用輸)regsvr32Oleaut32.dllregsvr32Actxprxy.dllregsvr32Mshtml.dllregsvr32Urlmon.dllregsvr32Msjava.dllregsvr32Browseui.dll
注意:每輸入一條�����,按回車���。第二個命令可以先不用輸,輸完這些命令后重新啟動windows�,如果發(fā)現(xiàn)無效,再重新輸入一遍�����,這次輸入第二個命令��。
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-11-頁
三��、機房攻擊
問:如何查看機房是否受到攻擊�?答:首先要知道攻擊的原理。其原理如下:
(1)源地址欺騙(SourceAddressSpoofing)����、IP欺騙(IPSpoofing)和DNS欺騙(DNSSpoofing).其基本原理:是利用IP地址并不是出廠的時候與MAC固定在一起的����,攻擊者通過自封包和修改網(wǎng)絡(luò)節(jié)點的IP地址�,冒充某個可信節(jié)點的IP地址�,進行攻擊。主要有三種手法:
1.癱瘓真正擁有IP的可信主機����,偽裝可信主機攻擊服務(wù)器;2.中間人攻擊;
3.DNS欺騙(DNSSpoofing)和“會話劫持”(SessionHijack);(2)源路由選擇欺騙(SourceRoutingSpoofing)。原理:利用IP數(shù)據(jù)包中的一個選項-IPSourceRouting來指定路由��,利用可信用戶對服務(wù)器進行攻擊�����,特別是基于UDP協(xié)議的由于其是面向非連接的�����,更容易被利用來攻擊;
(3)路由選擇信息協(xié)議攻擊(RIPAttacks)�����。原理:攻擊者在網(wǎng)上發(fā)布假的路由信息�����,再通過ICMP重定向來欺騙服務(wù)器路由器和主機,將正常的路由器標(biāo)志為失效�����,從而達到攻擊的目的����。
(4)TCP序列號欺騙和攻擊(TCPSequenceNumberSpoofingandAttack),基本有三種:
1.偽造TCP序列號,構(gòu)造一個偽裝的TCP封包���,對網(wǎng)絡(luò)上可信主機進行攻擊;
2.SYN攻擊(SYNAttack)�。這類攻擊手法花樣很多��,蔚為大觀��。但是其原理基本一致����,讓TCP協(xié)議無法完成三次握手協(xié)議;
3.Teardrop攻擊(TeardropAttack)和Land攻擊(LandAttack)。原理:
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-12-頁
利用系統(tǒng)接收IP數(shù)據(jù)包�����,對數(shù)據(jù)包長度和偏移不嚴格的漏洞進行的���。
下面將要介紹一些利用TCP/IP協(xié)議的處理程序中錯誤進行攻擊的原理:這些攻擊包括當(dāng)前流行的Teardrop和Land攻擊��。利用協(xié)議實現(xiàn)的攻擊方法���,都是故意錯誤地設(shè)定數(shù)據(jù)包頭的一些重要字段,例如�����,IP包頭部的TotalLength�、Fragmentoffset、IHL和Sourceaddress等字段��。使用RawSocket將這些錯誤的IP數(shù)據(jù)包發(fā)送出去���。在接受數(shù)據(jù)端����,接收程序通常都存在一些問題���,因而在將接受到的數(shù)據(jù)包組裝成一個完整的數(shù)據(jù)包的過程中����,就會使系統(tǒng)當(dāng)機、掛起或系統(tǒng)崩潰(具體的攻擊方式詳見附錄一和二)�����。
既然明白了這些����,TCP/IP攻擊便顯而易見,接下來就是實時分析�����,在機房中觀察流量圖或抓包如何判斷該網(wǎng)絡(luò)或某一臺服務(wù)器是否受到攻擊�����。
圖一
圖二
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-13-頁
圖三
很顯然��,圖一受到了瞬間閃斷的攻擊�,而圖二和圖三則不然,是客戶訪問下載量過大��,導(dǎo)致流量超高�����,而不是受到了攻擊(具體的攻擊詳見附錄三和四)。
下面分析一下抓包文件:
圖四
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-14-頁
圖五
圖六
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-15-頁
圖七
圖八
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-16-頁
圖九
分析:
圖四至圖七很明顯是均是機房服務(wù)器119.161.130.117�����、119.161.130.119��、123.108.221.107���、119.161.130.21均受到來自外界的攻擊,攻擊者(或黑客)通過模擬IP來造成對服務(wù)器的大量連接數(shù)和ping攻擊從而使得服務(wù)器遭受崩潰至流量受阻或流量超高����;然而對比看圖八和圖九則是正常的抓包,以此來更加確定你的判斷是否受到攻擊
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-17-頁
附錄
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-18-頁
附錄一:IP攻擊一
1.OOB攻擊
這是利用NETBIOS中一個OOB(OutofBand)的漏洞而來進行的����,它的原理是通過TCP/IP協(xié)議傳遞一個數(shù)據(jù)包到計算機某個開放的端口上(一般是137、138和139)�,當(dāng)計算機收到這個數(shù)據(jù)包之后就會瞬間死機或者藍屏現(xiàn)象,不重新啟動計算機就無法繼續(xù)使用TCP/IP協(xié)議來訪問網(wǎng)絡(luò)��。
2.DoS攻擊
這是針對Windows9X所使用的ICMP協(xié)議進行的DOS(DenialofService���,拒絕服務(wù))攻擊�����,一般來說����,這種攻擊是利用對方計算機上所安裝協(xié)議的漏洞來連續(xù)發(fā)送大量的數(shù)據(jù)包,造成對方計算機的死機��。
3.WinNuke攻擊
目前的WinNuke系列工具已經(jīng)從最初的簡單選擇IP攻擊某個端口發(fā)展到可以攻擊一個IP區(qū)間范圍的計算機����,并且可以進行連續(xù)攻擊,還能夠驗證攻擊的效果�����,還可以對檢測和選擇端口����,所以使用它可以造成某一個IP地址區(qū)間的計算機全部藍屏死機。
4.SSPing
這是一個IP攻擊工具�,它的工作原理是向?qū)Ψ降挠嬎銠C連續(xù)發(fā)出大型的ICMP數(shù)據(jù)包,被攻擊的機器此時會試圖將這些文件包合并處理����,從而造成系統(tǒng)死機���。$TL"i-p:s
5.TearDrop攻擊
這種攻擊方式利用那些在TCP/IP堆棧實現(xiàn)中信任IP碎片中的包的標(biāo)題頭所包含的信息來實現(xiàn)自己的攻擊,由于IP分段中含有指示該分段所包含的是原包哪一段的信息�����,所以一些操作系統(tǒng)下的TCP/IP協(xié)議在收到含有重疊
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-19-頁
偏移的偽造分段時將崩潰���。TeadDrop最大的特點是除了能夠?qū)indows9X/NT進行攻擊之外,連Linux也不能幸免��。
TCP/IP攻擊原理
利用協(xié)議實現(xiàn)的攻擊方法�����,都是故意錯誤地設(shè)定數(shù)據(jù)包頭的一些重要字段��,例如�,IP包頭部的TotalLength、Fragmentoffset����、IHL和Sourceaddress等字段。使用RawSocket將這些錯誤的IP數(shù)據(jù)包發(fā)送出去����。在接受數(shù)據(jù)端�����,接收程序通常都存在一些問題����,因而在將接受到的數(shù)據(jù)包組裝成一個完整的數(shù)據(jù)包的過程中����,就會使系統(tǒng)當(dāng)機、掛起或系統(tǒng)崩潰����。
在下章,我們將結(jié)合一些程序來討論這種攻擊能夠?qū)嵤┑脑淼耐瑫r��,讀者也可以使用這些程序來檢查自己系統(tǒng)針對這類攻擊的安全程度��,并采取相應(yīng)的措施����。
在最后,是一個服務(wù)程序錯誤而導(dǎo)致攻擊的例子:OOB��。
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-20-頁
附錄二:IP攻擊二
1、攻擊的現(xiàn)象及其后果
使用了Windows95和Windows98NT的人們都經(jīng)歷過系統(tǒng)陷入混亂���,對任何輸入都沒有響應(yīng)的情況���。這時候,屏幕出現(xiàn)藍屏����,遲遲無法重新刷新。按下Ctrl+Alt+Del時���,看到系統(tǒng)CPU利用率達到100%,同時顯示一個應(yīng)用程序無響應(yīng)��。這是程序出錯或者使用了盜版軟件的緣故���。通過網(wǎng)絡(luò)���,也可以使正在使用的計算機出現(xiàn)這種無響應(yīng)、死機的現(xiàn)象��。事實上�����,大量的程序往往經(jīng)不住人們惡意的攻擊。
人們已經(jīng)使用了許多方法來專門對付上網(wǎng)的Windows95和WindowsNT��。目前���,能夠?qū)indows95和WindowsNT進行攻擊的方法很多���,當(dāng)前流行的有:tearDrop(也稱為“淚滴”)、OOB�����、Land和PingofDeath等����。其中,關(guān)于PingofDeath在緩沖區(qū)溢出一章中對這種攻擊做了介紹��,并給出了一些對策�。
一般的攻擊過程是這樣的:當(dāng)入侵者發(fā)現(xiàn)了一臺Windows95或者WindowsNT(這只需用端口掃描工具掃一下就可以辨認出來),便用一個OOB或者TearDrop攻擊����,再次用ping命令時�,目標(biāo)主機就沒有響應(yīng)了���。事實上�����,這些攻擊并不是局限于WindowsNT和Windows95平臺��,一些攻擊�����,如Land已被發(fā)現(xiàn)對Linux�����、Cisco路由器以及其他大量的UNIX操作系統(tǒng)都具有相當(dāng)?shù)墓裟芰Α?/p>
能夠?qū)嵤┻@種攻擊的原因是在Windows95和WindowsNT中存在錯誤,這是一種處理TCP/IP協(xié)議或者服務(wù)程序的錯誤���。人們利用這些錯誤���。通過給端口送一些故意弄錯的數(shù)據(jù)包,在這個數(shù)據(jù)包的偏移字段和長度字段,寫入一個過大或過小的值����。Windows95和WindowsNT都不能處理這個情況,然后
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-21-頁
Windows95就先變成藍屏��,WindowsNT是非死機不可����。據(jù)稱TearDrop可以使被攻擊的主機立刻當(dāng)機。
這些攻擊的危險性在于可以通過網(wǎng)絡(luò)發(fā)起攻擊����,當(dāng)攻擊者發(fā)現(xiàn)了一臺上網(wǎng)的Windows95、WindowsNT或者Linux操作系統(tǒng)主機時�,只需啟動這一程序,輸入入口參數(shù)假冒IP�����、端口號�,被攻擊主機的IP地址和端口號,便可以發(fā)起攻擊了�。通常是Linux一遭到攻擊就當(dāng)機,而Windows在受到十幾次攻擊之后也會死機���。這時候���,用ping命令����,被攻擊的主機就再也沒有回應(yīng)了�。
服務(wù)程序存在錯誤的情況是很多的,例如����,WindowsNT中的RPC服務(wù)存在漏洞。某個用戶可以遠程登錄到WindowsNT3�。5x或者服務(wù)器的端口135,并任意輸入10個字符�,然后回車,切斷連接��。這便可以使目標(biāo)主機的CPU利用率達到100%����。雖然一個簡單的重啟動就消除了這個問題,但畢竟這是很討厭的���,是系統(tǒng)安全的重要隱患并嚴重地影響系統(tǒng)性能。
對于OOB攻擊,人們已經(jīng)提出一些對策�,如在WindowsNT4.0中,呆以對發(fā)到端口若懸河39的包進行過濾等�����,都需要對系統(tǒng)的網(wǎng)絡(luò)設(shè)置進行一番配置�����,來分別處理拔號上網(wǎng)和使用LAN的情況�。
目前網(wǎng)上已經(jīng)出現(xiàn)補丁程序,用來對付這些攻擊方法的攻擊���。在Windows95和WindowsNT上的安裝非常簡單�����,只需運行一下安裝包即可�。在沒有找到補丁程序之前���,也可能性安裝一個PC防火墻�。該工具非常有效�����,例如,當(dāng)禁止從主機的所有端口發(fā)出數(shù)據(jù)包���,同時禁止數(shù)據(jù)包發(fā)向本主機的所有端口時�,實際上已將本主機應(yīng)用層的服務(wù)功能和訪問功能切斷�����。此時�����,雖然可以ping通一臺有帳戶和口令的UNIX主機����,但卻地法登上(telnet)該主機或從該主機用ftp取回文件。
可以用該工具來過濾發(fā)向本主機一些端口(例如139)的數(shù)據(jù)包�����。
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-22-頁
2����、淚滴(TearDrop)攻擊工具
這個攻擊工具起名為淚滴�����,它確實可以讓人們恨得咬牙切齒。當(dāng)辛苦的勞動成果突然因為一次莫名其妙的當(dāng)機而化為烏有���。也許��,這次當(dāng)機便是一個人隨意地向你的計算機動了一次小小的攻擊所致�。
這個攻擊利用的是系統(tǒng)在實現(xiàn)時的一個錯誤����,我們以Linux上的一個實現(xiàn)為例,也就是說���,某些Linux操作系統(tǒng)也是脆弱的����,我們也可以用這種方法攻擊Linux操作系統(tǒng)�。
Linux操作系統(tǒng)在它的IP數(shù)據(jù)包重裝模塊有一個嚴重的錯誤,更確切一點地說��,是在ip-glue()函數(shù)中�����。當(dāng)Linux收到一個個IP包,送到IP層進行組裝���,以形成發(fā)送端原來的IP包時����,它將進入了一個循環(huán)中���,將接收隊列中的一個個數(shù)據(jù)包中的有效數(shù)據(jù)����,拷貝到一個新分配的緩沖區(qū)中����。
這段代碼如下:fp=qp->fragments;while(fp!=NULL){
if(count+fp->len>skb->len)]{
error-to-big;}
memcpy(ptr+fp->offaet),fp->ptr,fp->len);count+=fp->len;fp=fp->next;}
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-23-頁
在程序中,檢查了每段數(shù)據(jù)是否過長����,因為如果數(shù)據(jù)部分過長,將會向內(nèi)核拷貝過多的數(shù)據(jù)����,引起內(nèi)核發(fā)生某種危險���。然而在程序中并沒有檢查包中有效數(shù)據(jù)的長度是否過分小,例如�����,當(dāng)表示包中數(shù)據(jù)長度的變量變成了一個負數(shù)時(例如fp->lentot-len)ihl;
在正常情況下一切也正常�。但是�,當(dāng)我們精心準(zhǔn)備這樣的數(shù)據(jù)包,讓前后包中的“fragmentoffset”字段交疊在一起����,會發(fā)生什么呢?
看看程序?qū)Α癴ragmentoffset”做了那些處理:if(prev!=NULL&&offset{
I=prev->endoffset;
Offset+=I:/*ptrintodatagram*/Ptr+=I/*ptrintofragmentdata*/}
如果我們發(fā)現(xiàn)當(dāng)前包的段偏移在前一包數(shù)據(jù)內(nèi)部�����,也就是說根據(jù)偏移字段的值����,前后兩數(shù)據(jù)包的數(shù)據(jù)部分有重疊。組裝程序試圖正確對齊它們的邊界����。程序代碼如上所示��。這一步是對的��。除非當(dāng)前包中的有效數(shù)據(jù)碰巧沒有
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-24-頁
足夠的數(shù)據(jù)來滿足對齊的要求��。在這種情況下�,“offset”域中的值將會比“end”域中的值大�。這兩個數(shù)值被交給“ip-frag-create()”模塊,在這個模塊中����,將會計算當(dāng)前包的長度。
/*Fillinthestructure.*/fp->offset=offset;fp->end=end;
fp->len=endoffset;
在這種極少見的情況下����,計算出來的fp-len竟變成了一個負數(shù),于是memcpy()最終將會把大量的數(shù)據(jù)拷貝到內(nèi)核中��,因為memcpy()中的記數(shù)器是一個反碼��,是一個非常大的數(shù)值���。根據(jù)使用的內(nèi)存管理機制的不同����,將會引起系統(tǒng)重啟動或停機。
這種情況完全可以通過編程來實現(xiàn)�����,例如可以發(fā)送兩個特殊的數(shù)據(jù)包��,第一個包中的“offset”域置為0�����,包中有效數(shù)據(jù)(IP數(shù)據(jù))長度為N�����,MF位置1����。第二個包中MF位置0����,“offset”為一個小于N的數(shù),包中的IP數(shù)據(jù)也少于N�。
當(dāng)將收到的兩個數(shù)據(jù)包組裝時,先將第一個數(shù)據(jù)包拷貝到一個緩沖區(qū)中去,然后拷貝第二個數(shù)據(jù)包�。因為
next->offset
cur->offset=next->offset+(pre->end-next->offest);cur->end=next->offest+(next->iph->tot-len)-ihl);cur->len=cur->end-cur->offest;
當(dāng)ntohs(next->iph->tot-len)-ihlend-next->offset)時,錯誤就發(fā)生了���。這時候�����,cur->len為負數(shù)���。
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-25-頁
在正常情況下,無法預(yù)言這種情況是否會發(fā)生���,發(fā)生的頻率如何�����。但是在人為的情況下���,尤其是在一處故意的情況下,那就一定會發(fā)生的�。
人們可以自己編寫發(fā)送raw數(shù)據(jù)包的程序。在數(shù)據(jù)包中���,從IP包頭開始����,都可以填入自己想要的任意數(shù)值。而我們使用軟件并不能處理這類非常復(fù)雜的情況��。事實上�,即使對軟件曾經(jīng)進行了詳細的測試,也很難說會發(fā)現(xiàn)這種錯誤�����。
當(dāng)前的許多Linux的實現(xiàn)中都有這個錯誤�����,向Linux發(fā)送很少幾個這樣的數(shù)據(jù)包��,便可以引起Linux當(dāng)機����,因為通常這種IP包重組和緩沖區(qū)開在系統(tǒng)核心態(tài)�,緩沖區(qū)溢出將使系統(tǒng)崩潰。同樣地��,向Windows95、WindowsNT發(fā)送10-15個這樣的包����,也會引起死機。
現(xiàn)在在網(wǎng)上已經(jīng)出現(xiàn)了大量類似這樣的程序���,這些攻擊的方法依然是對一些字段使用錯誤的值�,但和“淚滴”相反����,將段偏移字段寫入一個大于頭的長度的數(shù)值或者偽造UDP的長度,直到偽造為真實長度的兩倍��������;蛘邔⒃瓉韺iT攻擊53端口的程序改造為可以攻擊一系列端口�����。
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-26-頁
附錄三:通州機房網(wǎng)絡(luò)故障記錄一
201*年1月22日晚23:21到23:38左右����,通州機房雙線客戶(119.161.146.34)受到攻擊,導(dǎo)致順義聯(lián)通G口和萬通電信口擁塞�,因為出口帶寬不同,受影響程度不一樣�����,順義聯(lián)通中斷4分鐘�,萬通電信中斷13分鐘,隨后攻擊量逐步減少�,攻擊時間持續(xù)17-20分鐘左右,客戶受影響時長約5-15分鐘不等���,具體信息截圖如下:
受攻擊時抓包截圖
聯(lián)通G口故障時截圖
電信出口故障時截圖
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-27-頁
聯(lián)通封堵146.34后該地址Trace截圖
電信封堵146.34后該地址Trace截圖
PING監(jiān)控中斷截圖
PING監(jiān)控恢復(fù)截圖
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-28-頁
聯(lián)通ICMP質(zhì)量檢測截圖
電信ICMP質(zhì)量檢測截圖
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-29-頁
故障原因:通州機房用戶IP:119.161.146.34受到攻擊���,力度較大,攻擊總量至少1G以上���,從客戶了解到其服務(wù)器某些內(nèi)容被黑客盯上導(dǎo)致的攻擊。
處理結(jié)果:電信和聯(lián)通上層均接收我司申請�����,對該IP進行封堵����,目前恢復(fù)正常�����。
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-30-頁
附錄四:通州機房網(wǎng)絡(luò)故障記錄二
201*年5月17日晚20:40到21:05左右�����,通州機房雙線客戶(119.161.148.203)受到攻擊��,導(dǎo)致順義聯(lián)通G口和萬通電信口擁塞�,因為出口帶寬不同��,聯(lián)通沒有影響���,萬通電信延時和丟包率增大���,隨后立即進行封堵和抓包,并讓客戶將該IP的域名全部切走�����,網(wǎng)絡(luò)恢復(fù)正常����,攻擊時間持續(xù)25分鐘左右��,其他客戶受影響時長約5-15分鐘不等�����,具體信息截圖如下:
受攻擊時抓包截圖
聯(lián)通G口故障時截圖
電信出口故障時截圖
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-31-頁
PING監(jiān)控截圖
電信ICMP質(zhì)量檢測截圖
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016IDC運維總結(jié)第-32-頁
受影響客戶截圖
故障原因:通州機房用戶IP:119.161.148.203受到攻擊�����,力度較大���,總量在700M以上,斷定是由于客戶網(wǎng)站引起�����。
處理結(jié)果:聯(lián)通沒有影響���,只對電信方向?qū)⒃揑P封堵����,客戶將域名全切走后恢復(fù)正常�。
北京市振隆科技股份有限公司地址:北京市豐臺區(qū)南四環(huán)西路188號網(wǎng)址:電話:010-637016
友情提示:本文中關(guān)于《IDC運維總結(jié)之遠程連接》給出的范例僅供您參考拓展思維使用,IDC運維總結(jié)之遠程連接:該篇文章建議您自主創(chuàng)作�����。
來源:網(wǎng)絡(luò)整理 免責(zé)聲明:本文僅限學(xué)習(xí)分享�,如產(chǎn)生版權(quán)問題,請聯(lián)系我們及時刪除���。
《
IDC運維總結(jié)之遠程連接》由互聯(lián)網(wǎng)用戶整理提供,轉(zhuǎn)載分享請保留原作者信息,謝謝!
鏈接地址:http://m.7334dd.com/gongwen/515342.html
