IDC運維總結之遠程連接

IDC運維總結之遠程連接

問：遠程連接不上原因何為?或遠程連接時斷時續(xù)，究竟因從何處？（通過遠程桌面連接

程序訪問時卻出現(xiàn)了“中斷遠程桌面連接，遠程計算機已結束連接”的提示）

答：其實，遠程一旦中斷，首先要確保網線有無問題，交換機端口是否有問題，其次在

說別的原因。第一、遠程連接不上首當其沖要檢查網絡的穩(wěn)定性（這其中包括客戶端方和服務器方的網絡訪問情況及其穩(wěn)定性）并查看是否有攻擊或受到了攻擊的影響；

第二、保證服務器的質量問題，即服務器的老化時間；再者，查看服務器是否是已長時間訪問或運行，或者服務器有無死機、宕機，溫度是否過高（重啟即可）保證服務器的正常運行第三、客戶在遠程服務器時做了一些不當操作（比如使用360軟件進行開機加速一鍵優(yōu)化時關閉了遠程連接；擅自修改遠程端口；開啟防火墻卻未做一些相關設置等）解決辦法①開啟遠程連接：【我的電腦】右擊“屬性”選項“遠程”勾選項

確定（檢查是否已設管理員或遠程用戶的密碼）

問題補充：可以連接到該計算機，但是馬上中斷。懷疑是否在遠程桌面登錄時是默認使用當前帳戶的，所以將自己的計算機帳戶和密碼設置為和遠程那臺計算機一致，誰知道問題依舊�？磥砉收蠎�該是該計算機遠程桌面服務本身的設置問題。解決辦法：第一步、通過“開始->運行->輸入regedit”，打開注冊表編輯器。第二步、找到鍵值，在左側的RDPDR上點鼠標右鍵，選擇“權限”。

第三步、在彈出的對RDPDR設置權限窗口后，將everyone組添加到完全控制權限，如果你只想讓某個特定的用戶遠程管理該計算機的話，將該帳戶添加到權限設置窗口中即可，記住一定要給予“完全控制”權限。

第四步、接下來將如下內容復制到一個記事本txt文件中，并保存成后綴為.reg的文件。WindowsRegistryEditorVersion5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\RDPDR\\0000]"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}""Class"="System"

"HardwareID"=hex(7):52,00,4f,00,4f,00,54,00,5c,00,52,00,44,00,50,00,44,00,52,\\00,00,00,00,00

"Driver"="{4D36E97D-E325-11CE-BFC1-08002BE10318}\\\\0030""Mfg"="(標準系統(tǒng)設備)""Service"="rdpdr"

"DeviceDesc"="終端服務器設備重定向器""ConfigFlags"=dword:00000000"Capabilities"=dword:00000000

第五步、接下來我們雙擊運行保存后的注冊表文件，當出現(xiàn)“注冊表導入成功”的提示后說明我們操作正確。第六步、再通過“開始->運行->輸入services.msc”，打開服務管理窗口，找到名為“RemoteDesktopHelpSessionManager”和“Telnet”的服務并將服務開啟。第七步、重新啟動計算機后再通過遠程桌面連接程序訪問此臺計算機就不會再出現(xiàn)任何問題了，程序自動進入輸入管理員帳號和密碼的步驟。

至此我們通過啟動服務和導入注冊表，以及修改注冊表鍵值使用權限三個步驟完成了解決一連接遠程桌面程序就中斷的故障，我們又可以輕松正常的使用遠程管理程序操縱網絡另一端的計算機了。

②注冊表修改遠程端口（如有必要的話以防攻擊）首先，開始運行輸入“regedit”，打開本地工作站的注冊表編輯界面，找到項,在右側找到并雙擊即可修改；其次，同樣找到項，在右側找到并雙擊即可修改（兩次修改要完全一致）；此時，修改后的遠程端口就可以用了（如果連接不上，就在運行中輸入“gpupdate”刷新策略，并重啟服務器）；另外，如果安裝了防火墻，在更改了遠程登陸的端口請記得在系防火墻上打開這個例外端口

③網絡連接里打開遠程端口【網上鄰居】右擊“屬性”找到【本地連接】右擊“屬性”屬性在右下角找到“高級”單機“選項選擇“屬性”勾選，并選擇“全部允許”（也可

以只允許幾個個別的端口）

若開啟了防火墻，則在中選擇的“例外”，勾選項，或選擇自定義一條策略，將自己新修改的遠程端口加上以上所講述的只是適用于Windows系統(tǒng)的，下面是有關Linux修改遠程SSH的端口號的linux修改端口

首先，修改配置文件：vi/etc/ssh/sshd_config找到#Port22一段，這里是標識默認使用22端口，修改為如下：Port22Port50000

然后保存退出，執(zhí)行/etc/init.d/sshdrestart，這樣SSH端口將同時工作與22和50000上。然后，編輯防火墻配置：vi/etc/sysconfig/iptables啟用50000端口。

執(zhí)行/etc/init.d/iptablesrestart，現(xiàn)在請使用ssh工具連接50000端口，來測試是否成功。如果連接成功了，則再次編輯sshd_config的設置，將里邊的Port22刪除，即可

擴展閱讀：IDC運維總結

IDC運維總結

作者：企鵝（編注）

IDC運維總結第-2-頁

目錄

一、遠程連接3二、網頁打不開7三、機房攻擊11

附錄17

附錄一：IP攻擊方式一18附錄二：IP攻擊方式二20附錄三：通州機房網絡故障記錄一26附錄四：通州機房網絡故障記錄二30

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-3-頁

一、遠程連接

問：遠程連接不上原因何為?或遠程連接時斷時續(xù)，究竟因從何處？（通過遠程桌面連接程序訪問時卻出現(xiàn)了“中斷遠程桌面連接，遠程計算機已結束連接”的提示）

答：其實，遠程一旦中斷，首先要確保網線有無問題，交換機端口是否有問題，其次在說別的原因。

第一、遠程連接不上首當其沖要檢查網絡的穩(wěn)定性（這其中包括客戶端方和服務器方的網絡訪問情況及其穩(wěn)定性）并查看是否有攻擊或受到了攻擊的影響；

第二、保證服務器的質量問題，即服務器的老化時間；再者，查看服務器是否是已長時間訪問或運行，或者服務器有無死機、宕機，溫度是否過高（重啟即可），保證服務器的正常運行

第三、客戶在遠程服務器時做了一些不當操作（比如使用360軟件進行開機加速一鍵優(yōu)化時關閉了遠程連接；擅自修改遠程端口；開啟防火墻卻未做一些相關設置等）

解決辦法①開啟遠程連接：【我的電腦】右擊“屬性”選項“遠程”勾選項用戶的密碼）

問題補充：可以連接到該計算機，但是馬上中斷。懷疑是否在遠程桌面登錄時是默認使用當前帳戶的，所以將自己的計算機帳戶和密碼設置為和遠程那臺計算機一致，誰知道問題依舊�？磥砉收蠎�該是該計算機遠程桌面服務本身的設置問題。

解決辦法：第一步、通過“開始->運行->輸入regedit”，打開注冊表編

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-63701600

確定（檢查是否已設管理員或遠程IDC運維總結第-4-頁

輯器。

第二步、找到

左側的RDPDR上點鼠標右鍵，選擇“權限”。

第三步、在彈出的對RDPDR設置權限窗口后，將everyone組添加到完全控制權限，如果你只想讓某個特定的用戶遠程管理該計算機的話，將該帳戶添加到權限設置窗口中即可，記住一定要給予“完全控制”權限。

第四步、接下來將如下內容復制到一個記事本txt文件中，并保存成后綴為.reg的文件。

WindowsRegistryEditorVersion5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\RDPDR\\0000]"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}""Class"="System"

"HardwareID"=hex(7):52,00,4f,00,4f,00,54,00,5c,00,52,00,44,00,50,00,44,00,52,\\

00,00,00,00,00

"Driver"="{4D36E97D-E325-11CE-BFC1-08002BE10318}\\\\0030""Mfg"="(標準系統(tǒng)設備)""Service"="rdpdr"

"DeviceDesc"="終端服務器設備重定向器""ConfigFlags"=dword:00000000"Capabilities"=dword:00000000

第五步、接下來我們雙擊運行保存后的注冊表文件，當出現(xiàn)“注冊表導入成功”的提示后說明我們操作正確。

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-63701600

鍵值，在IDC運維總結第-5-頁

第六步、再通過“開始->運行->輸入services.msc”，打開服務管理窗口，找到名為“RemoteDesktopHelpSessionManager”和“Telnet”的服務并將服務開啟。

第七步、重新啟動計算機后再通過遠程桌面連接程序訪問此臺計算機就不會再出現(xiàn)任何問題了，程序自動進入輸入管理員帳號和密碼的步驟。

至此我們通過啟動服務和導入注冊表，以及修改注冊表鍵值使用權限三個步驟完成了解決一連接遠程桌面程序就中斷的故障，我們又可以輕松正常的使用遠程管理程序操縱網絡另一端的計算機了。

②注冊表修改遠程端口（如有必要的話以防攻擊）

首先，開始運行輸入“regedit”，打開本地工作站的注冊表編輯界面，找到項在右側找到項，在右側找到

并雙擊即可修改；其次，同樣找到

并雙擊即可修改（兩次修改要完全一致）；此時，修

,

改后的遠程端口就可以用了（如果連接不上，就在運行中輸入“gpupdate”刷新策略，并重啟服務器）；另外，如果安裝了防火墻，在更改了遠程登陸的端口請記得在系防火墻上打開這個例外端口

③網絡連接里打開遠程端口

【網上鄰居】右擊“屬性”找到【本地連接】右擊“屬性”屬性右下角“高級”單機“選項”，選擇

“屬性”勾選“

，”，

并選擇“全部允許”（也可以只允許幾個個別的端口）

若開啟了防火墻，則在勾選

項，或選擇

中選擇

的“例外”，

自定義一條策略，將自己新修改的遠程端口

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-6-頁

加上。

以上所講述的只是適用于Windows系統(tǒng)的，下面是有關Linux修改遠程SSH的端口號的

linux修改端口

首先，修改配置文件：vi/etc/ssh/sshd_config找到#Port22一段，這里是標識默認使用22端口，修改為如下：

Port22Port50000

然后保存退出，執(zhí)行/etc/init.d/sshdrestart，這樣SSH端口將同時工作與22和50000上。

然后，編輯防火墻配置：vi/etc/sysconfig/iptables啟用50000端口。執(zhí)行/etc/init.d/iptablesrestart，現(xiàn)在請使用ssh工具連接50000端口，來測試是否成功。如果連接成功了，則再次編輯sshd_config的設置，將里邊的Port22刪除，即可。

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-7-頁

二、網頁打不開

問：網頁打不開，瀏覽器打不開，怎么辦？

答：出現(xiàn)此類問題首先先看一下網絡是否正常、服務器是否正常運行，

再言其他。倘若，網絡和服務器均正常，再看下面：

第一、網絡設置的問題

這種原因比較多出現(xiàn)在需要手動指定IP、網關、DNS服務器聯(lián)網方式下，及使用代理服務器上網的（仔細檢查計算機的網絡設置）。

第二、DNS服務器的問題

當IE無法瀏覽網頁時，可先嘗試用IP地址來訪問，如果可以訪問，那么應該是DNS的問題，造成DNS的問題可能是連網時獲取DNS出錯或DNS服務器本身問題，這時你可以手動付—NS服務（地址可以是你當地ISP提供的DNS服務器地址，也可以用其它地方可正常使用DNS服務器地址。）在網絡的屬性里進行，（控制面板網絡和拔號連接本地連接右鍵屬性TCP/IP協(xié)議屬性使用下面的DNS服務器地址）。不同的ISP有不同的DNS地址。有時候則是路由器或網卡的問題，無法與ISP的DNS服務連接，這種情況的話，可把路由器關一會再開，或者重新設置路由器。還有一種可能，是本地DNS緩存出現(xiàn)了問題。為了提高網站訪問速度，系統(tǒng)會自動將已經訪問過并獲取IP地址的網站存入本地的DNS緩存里，一旦再對這個網站進行訪問，則不再通過DNS服務器而直接從本地DNS緩存取出該網站的IP地址進行訪問。所以，如果本地DNS緩存出現(xiàn)了問題，會導致網站無法訪問�？梢栽凇斑\行”中執(zhí)行ipconfig/flushdns來清除本地DNS緩存。

第三、IE瀏覽器本身的問題

當IE瀏覽器本身出現(xiàn)故障時，自然會影響到瀏覽了；或者IE被惡意修

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-8-頁

改破壞也會導致無法瀏覽網頁。這時可以嘗試用“黃山IE修復專家”來修復（建議到安全模式下修復），或者重新IE。

第四、網絡防火墻的問題

如果網絡防火墻設置不當，如安全等級過高、不小心把IE放進了阻止訪問列表、錯誤的防火墻策略等，可嘗試檢查策略、降低防火墻安全等級或直接關掉試試是否恢復正常。

第五、網絡協(xié)議和網卡驅動的問題

IE無法瀏覽，有可能是網絡協(xié)議（特別是TCP/IP協(xié)議）或網卡驅動損壞導致，可嘗試重新網卡驅動和網絡協(xié)議。

第六、HOSTS文件的問題

HOSTS文件被修改，也會導致瀏覽的不正常，解決方法當然是清空HOSTS文件里的內容。

第七、系統(tǒng)文件的問題

當與IE有關的系統(tǒng)文件被更換或損壞時，會影響到IE正常的使用，這時可使用SFC命令修復一下，WIN98系統(tǒng)可在“運行”中執(zhí)行SFC，然后執(zhí)行掃描；WIN201*/XP/201*則在“運行”中執(zhí)行sfc/scannow嘗試修復。其中當只有IE無法瀏覽網頁，而QQ可以上時，則往往由于winsock.dll、wsock32.dll或wsock.vxd（VXD只在WIN9X系統(tǒng)下存在）等文件損壞或丟失造成，Winsock是構成TCP/IP協(xié)議的重要組成部分，一般要重裝TCP/IP協(xié)議。但xp開始集成TCP/IP協(xié)議，所以不能像98那樣簡單卸載后重裝，可以使用netsh命令重置TCP/IP協(xié)議，使其恢復到初次安裝操作系統(tǒng)時的狀態(tài)。

具體操作如下：【開始】運行輸入“CMD”命令輸入“netshintipresetc:\\resetlog.txt”命令（其中“resetlog.txt”

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-9-頁

文件是用來記錄命令執(zhí)行結果的日志文件，該參數選項必須指定，這里指定的日志文件的完整路徑是“c:\\resetlog.txt”。執(zhí)行此命令后的結果與刪除并重新安裝TCP/IP協(xié)議的效果相同）。

小提示：netsh命令是一個基于命令行的腳本編寫工具，你可以使用此命令配置和監(jiān)視Windows系統(tǒng)，此外它還提供了交互式網絡外殼程序接口，netsh命令的使用格式請參看幫助文件（在令提示符窗口中輸入“netsh/?”即可）。第二個解決方法是修復以上文件，WIN9X使用SFC重新提取以上文件，WIN201*/XP/201*使用sfc/scannow命令修復文件,當用sfc/scannow無法修復時，可試試網上發(fā)布的專門針對這個問題的修復工具WinSockFix。

第八、殺毒軟件的實時監(jiān)控問題

這倒不是經常見，但有時的確跟實時監(jiān)控有關，因為現(xiàn)在殺毒軟件的實時監(jiān)控都添加了對網頁內容的監(jiān)控。舉一個實例：KV201*就會在個別的機子上會導致IE無法瀏覽網頁（不少朋友遇到過），其具體表現(xiàn)是只要打開網頁監(jiān)控，一開機上網大約20來分鐘后，IE就會無法瀏覽網頁了，這時如果把KV201*的網頁監(jiān)控關掉，就一切恢復正常；經過徹底地重裝KV201*也無法解決。雖然并不是安裝KV201*的每臺機子都會出現(xiàn)這種問題，畢竟每臺機子的系統(tǒng)有差異，安裝的程序也不一樣。但如果出現(xiàn)IE無法瀏覽網頁時，也要注意檢查一下殺毒軟件。

第九、ApplicationManagement服務的問題

出現(xiàn)只能上QQ不能開網頁的情況，重新啟動后就好了。不過就算重新啟動，開7到8個網頁后又不能開網頁了，只能上QQ。有時電信往往會讓你禁用ApplicationManagement服務，就能解決了。具體原因不明。

第十、感染了病毒所致

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-10-頁

這種情況往往表現(xiàn)在打開IE時，在IE界面的左下框里提示：正在打開網頁，但老半天沒響應。在任務管理器里查看進程，（進入方法，把鼠標放在任務欄上，按右鍵任務管理器進程）看看CPU的占用率如何，如果是100%，可以肯定，是感染了病毒，這時你想運行其他程序簡直就是受罪。這就要查查是哪個進程貪婪地占用了CPU資源．找到后，最好把名稱記錄下來，然后點擊結束，如果不能結束，則要啟動到安全模式下把該東東刪除，還要進入注冊表里，（方法：開始運行，輸入regedit）在注冊表對話框里，點編輯查找，輸入那個程序名，找到后，點鼠標右鍵刪除，然后再進行幾次的搜索，往往能徹底刪除干凈。有很多的病毒，殺毒軟件無能為力時，唯一的方法就是手動刪除。

第十一、無法打開二級鏈接

還有一種現(xiàn)象也需特別留意：就是能打開網站的首頁，但不能打開二級鏈接，如果是這樣，處理的方法是重新注冊如下的DLL文件：在開始運行里輸入：regsvr32Shdocvw.dll

regsvr32Shell32.dll（注意這個命令，先不用輸）regsvr32Oleaut32.dllregsvr32Actxprxy.dllregsvr32Mshtml.dllregsvr32Urlmon.dllregsvr32Msjava.dllregsvr32Browseui.dll

注意：每輸入一條，按回車。第二個命令可以先不用輸，輸完這些命令后重新啟動windows，如果發(fā)現(xiàn)無效，再重新輸入一遍，這次輸入第二個命令。

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-11-頁

三、機房攻擊

問：如何查看機房是否受到攻擊？答：首先要知道攻擊的原理。其原理如下：

(1)源地址欺騙(SourceAddressSpoofing)、IP欺騙(IPSpoofing)和DNS欺騙(DNSSpoofing).其基本原理:是利用IP地址并不是出廠的時候與MAC固定在一起的，攻擊者通過自封包和修改網絡節(jié)點的IP地址，冒充某個可信節(jié)點的IP地址，進行攻擊。主要有三種手法：

1.癱瘓真正擁有IP的可信主機，偽裝可信主機攻擊服務器;2.中間人攻擊;

3.DNS欺騙(DNSSpoofing)和“會話劫持”(SessionHijack);(2)源路由選擇欺騙(SourceRoutingSpoofing)。原理:利用IP數據包中的一個選項-IPSourceRouting來指定路由，利用可信用戶對服務器進行攻擊，特別是基于UDP協(xié)議的由于其是面向非連接的，更容易被利用來攻擊;

(3)路由選擇信息協(xié)議攻擊(RIPAttacks)。原理:攻擊者在網上發(fā)布假的路由信息，再通過ICMP重定向來欺騙服務器路由器和主機，將正常的路由器標志為失效，從而達到攻擊的目的。

(4)TCP序列號欺騙和攻擊(TCPSequenceNumberSpoofingandAttack),基本有三種：

1.偽造TCP序列號，構造一個偽裝的TCP封包，對網絡上可信主機進行攻擊;

2.SYN攻擊(SYNAttack)。這類攻擊手法花樣很多，蔚為大觀。但是其原理基本一致，讓TCP協(xié)議無法完成三次握手協(xié)議;

3.Teardrop攻擊(TeardropAttack)和Land攻擊(LandAttack)。原理:

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-12-頁

利用系統(tǒng)接收IP數據包，對數據包長度和偏移不嚴格的漏洞進行的。

下面將要介紹一些利用TCP/IP協(xié)議的處理程序中錯誤進行攻擊的原理：這些攻擊包括當前流行的Teardrop和Land攻擊。利用協(xié)議實現(xiàn)的攻擊方法，都是故意錯誤地設定數據包頭的一些重要字段，例如，IP包頭部的TotalLength、Fragmentoffset、IHL和Sourceaddress等字段。使用RawSocket將這些錯誤的IP數據包發(fā)送出去。在接受數據端，接收程序通常都存在一些問題，因而在將接受到的數據包組裝成一個完整的數據包的過程中，就會使系統(tǒng)當機、掛起或系統(tǒng)崩潰（具體的攻擊方式詳見附錄一和二）。

既然明白了這些，TCP/IP攻擊便顯而易見，接下來就是實時分析，在機房中觀察流量圖或抓包如何判斷該網絡或某一臺服務器是否受到攻擊。

圖一

圖二

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-13-頁

圖三

很顯然，圖一受到了瞬間閃斷的攻擊，而圖二和圖三則不然，是客戶訪問下載量過大，導致流量超高，而不是受到了攻擊（具體的攻擊詳見附錄三和四）。

下面分析一下抓包文件：

圖四

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-14-頁

圖五

圖六

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-15-頁

圖七

圖八

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-16-頁

圖九

分析：

圖四至圖七很明顯是均是機房服務器119.161.130.117、119.161.130.119、123.108.221.107、119.161.130.21均受到來自外界的攻擊，攻擊者（或黑客）通過模擬IP來造成對服務器的大量連接數和ping攻擊從而使得服務器遭受崩潰至流量受阻或流量超高；然而對比看圖八和圖九則是正常的抓包，以此來更加確定你的判斷是否受到攻擊

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-17-頁

附錄

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-18-頁

附錄一：IP攻擊一

1.OOB攻擊

這是利用NETBIOS中一個OOB（OutofBand）的漏洞而來進行的，它的原理是通過TCP／IP協(xié)議傳遞一個數據包到計算機某個開放的端口上（一般是137、138和139），當計算機收到這個數據包之后就會瞬間死機或者藍屏現(xiàn)象，不重新啟動計算機就無法繼續(xù)使用TCP／IP協(xié)議來訪問網絡。

2.DoS攻擊

這是針對Windows9X所使用的ICMP協(xié)議進行的DOS（DenialofService，拒絕服務）攻擊，一般來說，這種攻擊是利用對方計算機上所安裝協(xié)議的漏洞來連續(xù)發(fā)送大量的數據包，造成對方計算機的死機。

3.WinNuke攻擊

目前的WinNuke系列工具已經從最初的簡單選擇IP攻擊某個端口發(fā)展到可以攻擊一個IP區(qū)間范圍的計算機，并且可以進行連續(xù)攻擊，還能夠驗證攻擊的效果，還可以對檢測和選擇端口，所以使用它可以造成某一個IP地址區(qū)間的計算機全部藍屏死機。

4.SSPing

這是一個IP攻擊工具，它的工作原理是向對方的計算機連續(xù)發(fā)出大型的ICMP數據包，被攻擊的機器此時會試圖將這些文件包合并處理，從而造成系統(tǒng)死機。$TL"i-p:s

5.TearDrop攻擊

這種攻擊方式利用那些在TCP／IP堆棧實現(xiàn)中信任IP碎片中的包的標題頭所包含的信息來實現(xiàn)自己的攻擊，由于IP分段中含有指示該分段所包含的是原包哪一段的信息，所以一些操作系統(tǒng)下的TCP／IP協(xié)議在收到含有重疊

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-19-頁

偏移的偽造分段時將崩潰。TeadDrop最大的特點是除了能夠對Windows9X／NT進行攻擊之外，連Linux也不能幸免。

TCP/IP攻擊原理

利用協(xié)議實現(xiàn)的攻擊方法，都是故意錯誤地設定數據包頭的一些重要字段，例如，IP包頭部的TotalLength、Fragmentoffset、IHL和Sourceaddress等字段。使用RawSocket將這些錯誤的IP數據包發(fā)送出去。在接受數據端，接收程序通常都存在一些問題，因而在將接受到的數據包組裝成一個完整的數據包的過程中，就會使系統(tǒng)當機、掛起或系統(tǒng)崩潰。

在下章，我們將結合一些程序來討論這種攻擊能夠實施的原理的同時，讀者也可以使用這些程序來檢查自己系統(tǒng)針對這類攻擊的安全程度，并采取相應的措施。

在最后，是一個服務程序錯誤而導致攻擊的例子：OOB。

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-20-頁

附錄二：IP攻擊二

1、攻擊的現(xiàn)象及其后果

使用了Windows95和Windows98NT的人們都經歷過系統(tǒng)陷入混亂，對任何輸入都沒有響應的情況。這時候，屏幕出現(xiàn)藍屏，遲遲無法重新刷新。按下Ctrl+Alt+Del時，看到系統(tǒng)CPU利用率達到100%，同時顯示一個應用程序無響應。這是程序出錯或者使用了盜版軟件的緣故。通過網絡，也可以使正在使用的計算機出現(xiàn)這種無響應、死機的現(xiàn)象。事實上，大量的程序往往經不住人們惡意的攻擊。

人們已經使用了許多方法來專門對付上網的Windows95和WindowsNT。目前，能夠對Windows95和WindowsNT進行攻擊的方法很多，當前流行的有：tearDrop(也稱為“淚滴”)、OOB、Land和PingofDeath等。其中，關于PingofDeath在緩沖區(qū)溢出一章中對這種攻擊做了介紹，并給出了一些對策。

一般的攻擊過程是這樣的：當入侵者發(fā)現(xiàn)了一臺Windows95或者WindowsNT（這只需用端口掃描工具掃一下就可以辨認出來），便用一個OOB或者TearDrop攻擊，再次用ping命令時，目標主機就沒有響應了。事實上，這些攻擊并不是局限于WindowsNT和Windows95平臺，一些攻擊，如Land已被發(fā)現(xiàn)對Linux、Cisco路由器以及其他大量的UNIX操作系統(tǒng)都具有相當的攻擊能力。

能夠實施這種攻擊的原因是在Windows95和WindowsNT中存在錯誤，這是一種處理TCP/IP協(xié)議或者服務程序的錯誤。人們利用這些錯誤。通過給端口送一些故意弄錯的數據包，在這個數據包的偏移字段和長度字段，寫入一個過大或過小的值。Windows95和WindowsNT都不能處理這個情況，然后

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-21-頁

Windows95就先變成藍屏，WindowsNT是非死機不可。據稱TearDrop可以使被攻擊的主機立刻當機。

這些攻擊的危險性在于可以通過網絡發(fā)起攻擊，當攻擊者發(fā)現(xiàn)了一臺上網的Windows95、WindowsNT或者Linux操作系統(tǒng)主機時，只需啟動這一程序，輸入入口參數假冒IP、端口號，被攻擊主機的IP地址和端口號，便可以發(fā)起攻擊了。通常是Linux一遭到攻擊就當機，而Windows在受到十幾次攻擊之后也會死機。這時候，用ping命令，被攻擊的主機就再也沒有回應了。

服務程序存在錯誤的情況是很多的，例如，WindowsNT中的RPC服務存在漏洞。某個用戶可以遠程登錄到WindowsNT3。5x或者服務器的端口135，并任意輸入10個字符，然后回車，切斷連接。這便可以使目標主機的CPU利用率達到100%。雖然一個簡單的重啟動就消除了這個問題，但畢竟這是很討厭的，是系統(tǒng)安全的重要隱患并嚴重地影響系統(tǒng)性能。

對于OOB攻擊，人們已經提出一些對策，如在WindowsNT4.0中，呆以對發(fā)到端口若懸河39的包進行過濾等，都需要對系統(tǒng)的網絡設置進行一番配置，來分別處理拔號上網和使用LAN的情況。

目前網上已經出現(xiàn)補丁程序，用來對付這些攻擊方法的攻擊。在Windows95和WindowsNT上的安裝非常簡單，只需運行一下安裝包即可。在沒有找到補丁程序之前，也可能性安裝一個PC防火墻。該工具非常有效，例如，當禁止從主機的所有端口發(fā)出數據包，同時禁止數據包發(fā)向本主機的所有端口時，實際上已將本主機應用層的服務功能和訪問功能切斷。此時，雖然可以ping通一臺有帳戶和口令的UNIX主機，但卻地法登上（telnet）該主機或從該主機用ftp取回文件。

可以用該工具來過濾發(fā)向本主機一些端口（例如139）的數據包。

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-22-頁

2、淚滴（TearDrop）攻擊工具

這個攻擊工具起名為淚滴，它確實可以讓人們恨得咬牙切齒。當辛苦的勞動成果突然因為一次莫名其妙的當機而化為烏有。也許，這次當機便是一個人隨意地向你的計算機動了一次小小的攻擊所致。

這個攻擊利用的是系統(tǒng)在實現(xiàn)時的一個錯誤，我們以Linux上的一個實現(xiàn)為例，也就是說，某些Linux操作系統(tǒng)也是脆弱的，我們也可以用這種方法攻擊Linux操作系統(tǒng)。

Linux操作系統(tǒng)在它的IP數據包重裝模塊有一個嚴重的錯誤，更確切一點地說，是在ip-glue()函數中。當Linux收到一個個IP包，送到IP層進行組裝，以形成發(fā)送端原來的IP包時，它將進入了一個循環(huán)中，將接收隊列中的一個個數據包中的有效數據，拷貝到一個新分配的緩沖區(qū)中。

這段代碼如下：fp=qp->fragments;while(fp!=NULL){

if(count+fp->len>skb->len)]{

error-to-big;}

memcpy(ptr+fp->offaet),fp->ptr,fp->len);count+=fp->len;fp=fp->next;}

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-23-頁

在程序中，檢查了每段數據是否過長，因為如果數據部分過長，將會向內核拷貝過多的數據，引起內核發(fā)生某種危險。然而在程序中并沒有檢查包中有效數據的長度是否過分小，例如，當表示包中數據長度的變量變成了一個負數時（例如fp->lentot-len)ihl;

在正常情況下一切也正常。但是，當我們精心準備這樣的數據包，讓前后包中的“fragmentoffset”字段交疊在一起，會發(fā)生什么呢？

看看程序對“fragmentoffset”做了那些處理：if(prev!=NULL&&offset{

I=prev->endoffset;

Offset+=I:/*ptrintodatagram*/Ptr+=I/*ptrintofragmentdata*/}

如果我們發(fā)現(xiàn)當前包的段偏移在前一包數據內部，也就是說根據偏移字段的值，前后兩數據包的數據部分有重疊。組裝程序試圖正確對齊它們的邊界。程序代碼如上所示。這一步是對的。除非當前包中的有效數據碰巧沒有

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-24-頁

足夠的數據來滿足對齊的要求。在這種情況下，“offset”域中的值將會比“end”域中的值大。這兩個數值被交給“ip-frag-create()”模塊，在這個模塊中，將會計算當前包的長度。

/*Fillinthestructure.*/fp->offset=offset;fp->end=end;

fp->len=endoffset;

在這種極少見的情況下，計算出來的fp-len竟變成了一個負數，于是memcpy()最終將會把大量的數據拷貝到內核中，因為memcpy()中的記數器是一個反碼，是一個非常大的數值。根據使用的內存管理機制的不同，將會引起系統(tǒng)重啟動或停機。

這種情況完全可以通過編程來實現(xiàn)，例如可以發(fā)送兩個特殊的數據包，第一個包中的“offset”域置為0，包中有效數據（IP數據）長度為N，MF位置1。第二個包中MF位置0，“offset”為一個小于N的數，包中的IP數據也少于N。

當將收到的兩個數據包組裝時，先將第一個數據包拷貝到一個緩沖區(qū)中去，然后拷貝第二個數據包。因為

next->offset

cur->offset=next->offset+(pre->end-next->offest);cur->end=next->offest+(next->iph->tot-len)-ihl);cur->len=cur->end-cur->offest;

當ntohs(next->iph->tot-len)-ihlend-next->offset)時，錯誤就發(fā)生了。這時候，cur->len為負數。

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-25-頁

在正常情況下，無法預言這種情況是否會發(fā)生，發(fā)生的頻率如何。但是在人為的情況下，尤其是在一處故意的情況下，那就一定會發(fā)生的。

人們可以自己編寫發(fā)送raw數據包的程序。在數據包中，從IP包頭開始，都可以填入自己想要的任意數值。而我們使用軟件并不能處理這類非常復雜的情況。事實上，即使對軟件曾經進行了詳細的測試，也很難說會發(fā)現(xiàn)這種錯誤。

當前的許多Linux的實現(xiàn)中都有這個錯誤，向Linux發(fā)送很少幾個這樣的數據包，便可以引起Linux當機，因為通常這種IP包重組和緩沖區(qū)開在系統(tǒng)核心態(tài)，緩沖區(qū)溢出將使系統(tǒng)崩潰。同樣地，向Windows95、WindowsNT發(fā)送10-15個這樣的包，也會引起死機。

現(xiàn)在在網上已經出現(xiàn)了大量類似這樣的程序，這些攻擊的方法依然是對一些字段使用錯誤的值，但和“淚滴”相反，將段偏移字段寫入一個大于頭的長度的數值或者偽造UDP的長度，直到偽造為真實長度的兩倍�；蛘邔⒃瓉韺ｉT攻擊53端口的程序改造為可以攻擊一系列端口。

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-26-頁

附錄三：通州機房網絡故障記錄一

201*年1月22日晚23：21到23：38左右，通州機房雙線客戶（119.161.146.34）受到攻擊，導致順義聯(lián)通G口和萬通電信口擁塞，因為出口帶寬不同，受影響程度不一樣，順義聯(lián)通中斷4分鐘，萬通電信中斷13分鐘，隨后攻擊量逐步減少，攻擊時間持續(xù)17-20分鐘左右，客戶受影響時長約5-15分鐘不等，具體信息截圖如下：

受攻擊時抓包截圖

聯(lián)通G口故障時截圖

電信出口故障時截圖

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-27-頁

聯(lián)通封堵146.34后該地址Trace截圖

電信封堵146.34后該地址Trace截圖

PING監(jiān)控中斷截圖

PING監(jiān)控恢復截圖

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-28-頁

聯(lián)通ICMP質量檢測截圖

電信ICMP質量檢測截圖

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-29-頁

故障原因：通州機房用戶IP：119.161.146.34受到攻擊，力度較大，攻擊總量至少1G以上，從客戶了解到其服務器某些內容被黑客盯上導致的攻擊。

處理結果：電信和聯(lián)通上層均接收我司申請，對該IP進行封堵，目前恢復正常。

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-30-頁

附錄四：通州機房網絡故障記錄二

201*年5月17日晚20：40到21：05左右，通州機房雙線客戶（119.161.148.203）受到攻擊，導致順義聯(lián)通G口和萬通電信口擁塞，因為出口帶寬不同，聯(lián)通沒有影響，萬通電信延時和丟包率增大，隨后立即進行封堵和抓包，并讓客戶將該IP的域名全部切走，網絡恢復正常，攻擊時間持續(xù)25分鐘左右，其他客戶受影響時長約5-15分鐘不等，具體信息截圖如下：

受攻擊時抓包截圖

聯(lián)通G口故障時截圖

電信出口故障時截圖

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-31-頁

PING監(jiān)控截圖

電信ICMP質量檢測截圖

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016IDC運維總結第-32-頁

受影響客戶截圖

故障原因：通州機房用戶IP：119.161.148.203受到攻擊，力度較大，總量在700M以上，斷定是由于客戶網站引起。

處理結果：聯(lián)通沒有影響，只對電信方向將該IP封堵，客戶將域名全切走后恢復正常。

北京市振隆科技股份有限公司地址：北京市豐臺區(qū)南四環(huán)西路188號網址：電話：010-637016

友情提示：本文中關于《IDC運維總結之遠程連接》給出的范例僅供您參考拓展思維使用，IDC運維總結之遠程連接：該篇文章建議您自主創(chuàng)作。

來源：網絡整理 免責聲明：本文僅限學習分享，如產生版權問題，請聯(lián)系我們及時刪除。

《IDC運維總結之遠程連接》由互聯(lián)網用戶整理提供,轉載分享請保留原作者信息,謝謝!
鏈接地址：http://m.seogis.com/gongwen/515342.html

• 上一篇：港邊中學機房管理工作總結
• 下一篇：配電線路專業(yè)個人工作總結