net use ipipc$ "密码" /user:"用户名" 建立IPC非空链接

net use h: ipc$ "密码" /user:"用户名" 直接登陆后映射对方C：到本地为H:

net use h: ipc$ 登陆后映射对方C：到本地为H:

net use ipipc$ /del 删除IPC链接

net use h: /del 删除映射对方到本地的为H:的映射

net user 用户名　密码　/add 建立用户

net user guest /active:yes 激活guest用户

net user 查看有哪些用户

net user 帐户名 查看帐户的属性

net localgroup administrators 用户名 /add 把“用户”添加到管理员中使其具有管理员权限,注意：administrator后加s用复数

net start 查看开启了哪些服务

net start 服务名　 开启服务；(如:net start telnet， net start schedule)

net stop 服务名 停止某服务

net time 目标ip 查看对方时间

net time 目标ip /set 设置本地计算机时间与“目标IP”主机的时间同步,加上参数/yes可取消确认信息

net view 查看本地局域网内开启了哪些共享

net view ip 查看对方局域网内开启了哪些共享

net config 显示系统网络设置

net logoff 断开连接的共享

net pause 服务名 暂停某服务

net send ip "文本信息" 向对方发信息

net ver 局域网内正在使用的网络连接类型和信息

net share 查看本地开启的共享

net share ipc$ 开启ipc$共享

net share ipc$ /del 删除ipc$共享

net share c$ /del 删除C：共享

net user guest 12345 用guest用户登陆后用将密码改为12345

net password 密码 更改系统登陆密码

netstat -a 查看开启了哪些端口,常用netstat -an

netstat -n 查看端口的网络连接情况，常用netstat -an

netstat -v 查看正在进行的工作

netstat -p 协议名 例：netstat -p tcq/ip 查看某协议使用情况（查看tcp/ip协议使用情况）

netstat -s 查看正在使用的所有协议使用情况

nbtstat -A ip 对方136到139其中一个端口开了的话，就可查看对方最近登陆的用户名（03前的为用户名）-注意：参数-A要大写

tracert -参数 ip(或计算机名) 跟踪路由（数据包），参数：“-w数字”用于设置超时间隔。

ping ip(或域名) 向对方主机发送默认大小为32字节的数据，参数：“-l[空格]数据包大小”；“-n发送数据次数”；“-t”指一直ping。

ping -t -l 65550 ip 死亡之ping(发送大于64K的文件并一直ping就成了死亡之ping)

ipconfig (winipcfg) 用于windows NT及XP(windows 95 98)查看本地ip地址，ipconfig可用参数“/all”显示全部配置信息

tlist -t 以树行列表显示进程(为系统的附加工具，默认是没有安装的，在安装目录的Support/tools文件夹内)

kill -F 进程名 加-F参数后强制结束某进程(为系统的附加工具，默认是没有安装的，在安装目录的Support/tools文件夹内)

del -F 文件名 加-F参数后就可删除只读文件,/AR、/AH、/AS、/AA分别表示删除只读、隐藏、系统、存档文件，/A-R、/A-H、/A-S、/A-A表示删除除只读、隐藏、系统、存档以外的文件。例如“DEL/AR *.*”表示删除当前目录下所有只读文件，“DEL/A-S *.*”表示删除当前目录下除系统文件以外的所有文件

Nmap是一个跨平台的端口扫描工具,它提供给管理员扫描整个网络的能力,并发现网络的安全弱点所在.

nmap的下载地址是:http://insecure.org/nmap/

Nmap支持的四种最基本的扫描方式：
　　1.TCP connect()端口扫描
　　2.TCP同步（SYN）端口扫描
　　3.UDP端口扫描
　　4.Ping扫描

nmap的使用方法:
1.直接输入nmap命令, 显示nmap命令的使用语法
   [root@fc8 ~]# nmap
   Nmap 4.20 ( http://insecure.org )
   Usage: nmap [Scan Type(s)] [Options] {target specification}
   TARGET SPECIFICATION:
   Can pass hostnames, IP addresses, networks, etc.
   Ex: scanme.nmap.org, microsoft.com/24, 192.168.0.1; 10.0.0-255.1-254
   -iL <inputfilename>: Input from list of hosts/networks
   -iR <num hosts>: Choose random targets

2.查看namap的版本
   [root@fc8 ~]# nmap -V
   Nmap version 4.20 ( http://insecure.org )
   -vv(两个v)查看更详细的输出信息

3.扫描过程中显示常规的扫描信息(需要和其他命令结合使用)
  [root@fc8 ~]# nmap -v
  Starting Nmap 4.20 ( http://insecure.org ) at 2008-01-12 10:55 CST
  No target machines/networks specified!
  QUITTING!

 4.扫描指定主机名的计算机
    [root@fc8 ~]# nmap -v -A www.baidu.com
   
    ..........
    Host 220.181.6.6 appears to be up ... good.
    Interesting ports on 220.181.6.6:(百度的ip地址)
    Not shown: 1693 filtered ports
    PORT    STATE  SERVICE VERSION
    80/tcp    open      http           Apache httpd 1.3.27(原来我们使用的百度搜索服务是apache1.3提供的界面)
   179/tcp   closed   bgp          (没有开动态路由协议)
   639/tcp   closed   unknown
   646/tcp   closed   unknown
    Running: OpenBSD 3.X     (看看百度用的操作系统是openbsd 3.6呀)
   OS details: OpenBSD 3.6 x86 with pf "scrub in all"
   TCP Sequence Prediction: Difficulty=0 (Trivial joke)
   IPID Sequence Generation: All zeros
    ............
  5.扫描指定网段上都有哪些主机存在
   -sP:使用ping的方式探测主机,如果对方关闭了icmp你就探测不到了.
   [root@fc8 ~]# nmap -v -sP 192.168.1.0/24
   Initiating SYN Stealth Scan at 11:04 (使用半连接方式机型探测)
     .............
    Host 192.168.1.1 appears to be up.  (192.168.1.1在网络上 )
    MAC Address: 00:17:9A:CF:A1:0D (D-Link)  (mac地址看到了,网卡是d-link品牌的)
    Host 192.168.1.40 appears to be up.
    MAC Address: 00:E0:4D:90:46:37 (Internet Initiative Japan)
    Host 192.168.1.145 appears to be up.
    MAC Address: 00:0A:EB:9A:38:24 (Shenzhen Tp-Link Technology Co;)
    Host 192.168.1.147 appears to be up.
    MAC Address: 00:15:58:A9:88:9B (Foxconn)
    Host 192.168.1.151 appears to be up.
    MAC Address: 00:1B:24:06:48:AF (Unknown)    (这个网卡类型没有被侦测出来)
   .......
 
   6.防止被扫描者探测到你的扫描(须熟悉tcp的三次握手四次断开的过程)
    [root@fc8 ~]# nmap -sS 192.168.1.1
    Starting Nmap 4.20 ( http://insecure.org ) at 2008-01-12 11:58 CST
    Interesting ports on 192.168.1.1:
    Not shown: 1696 filtered ports
    PORT     STATE SERVICE
    1080/tcp open  socks (对方开了1080端口哦)
    MAC Address: 00:17:9A:CF:A1:0D (D-Link)

　　网址:http://www.nessus.org/

　　类别:开放源码

　　平台:Linux/BSD/Unix

　　简介:Nessus是一款可以运行在Linux、BSD、Solaris以及其他一些系统上的远程安全扫描软件。它是多线程、基于插入式的软件，拥有很好的GTK界面，能够完成超过1200项的远程安全检查，具有强大的报告输出能力，可以产生HTML、XML、LaTeX和ASCII文本等格式的安全报告，并且会为每一个发现的安全问题提出解决建议。

　　工具:Ethereal(网络协议检测工具)

　　网址:http://www.ethereal.com/

　　平台:Linux/BSD/Unix/Windows

　　简介:Ethereal是一款免费的网络协议分析程序，支持Unix、Windows。借助这个程序，你既可以直接从网络上抓取数据进行分析，也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。你能交互式地浏览抓取到的数据包，查看每一个数据包的摘要和详细信息。Ethereal有多种强大的特征，如支持几乎所有的协议、丰富的过滤语言、易于查看TCP会话经重构后的数据流等。

　　工具:Snort(免费的入侵检测系统)

　　网址:http://www.snort.org/

　　类别:开放源码

　　平台:Linux/BSD/Unix/Windows

　　简介:Snort是一款轻量级的网络入侵检测系统，能够在IP网络上进行实时的流量分析和数据包记录。它不仅能进行协议分析、内容检索、内容匹配，而且能用于侦测诸如缓冲溢出、隐秘端口扫描、CGI攻击、SMB探测、操作系统指纹识别等大量的攻击或非法探测。Snort使用灵活的规则去描述哪些流量应该被收集或被忽略，并且提供一个模块化的探测引擎。

　　工具:Netcat(网络瑞士军刀)

　　网址:http://www.atstake.com/research/tools/network_utilities/

　　类别:开放源码

　　平台:Linux/BSD/Unix/Windows

　　简介:一个简单而有用的工具，透过使用TCP或UDP协议的网络连接去读写数据。它被设计成一个稳定的后门工具，能够直接由其它程序和脚本轻松驱动。同时，它也是一个功能强大的网络调试和探测工具，能够建立你需要的几乎所有类型的网络连接，还有几个很有意思的内置功能。

　　网址:http://www.tcpdump.org/，http://windump.polito.it/

　　类别:开放源码

　　平台:Linux/BSD/Unix/Windows

　　简介:Tcpdump是一款众人皆知和受人喜欢的基于命令行的网络数据包分析和嗅探工具。它能把匹配规则的数据包的包头给显示出来。你能使用这个工具去查找网络问题或者去监视网络上的状况。WinDump是Tcpdump在Windows平台上的移植版。

　　工具:Hping2(类似ping的网络探测工具)

　　网址:http://www.hping.org/

　　类别:开放源码

　　平台:Linux/BSD/Unix

　　简介:hping2能发送自定义的ICMP/UDP/TCP包到目标地址并且显示包的响应情况。它有一个方便的traceroute模式，并且支持IP分片。这个工具在traceroute、ping和探测_blank">防火墙后的主机时特别有用。

　　工具:DSniff(一流的网络审计和渗透测试工具)

　　网址:http://naughty.monkey.org/~dugsong/dsniff/

　　类别:开放源码

　　平台:Linux/BSD/Unix/Windows

　　简介:DSniff是由Dug Song开发的一套包含多个工具的软件套件。其中，dsniff、filesnarf、mailsnarf、msgsnarf、rlsnarf和 webspy可以用于监视网络上我们感兴趣的数据(如口令、e-mail、文件等)，arpspoof、dnsspoof和macof能很容易地载取到攻击者通常难以获取的网络信息(如二层交换数据)，sshmitm和webmitm则能用于实现重写SSH和HTTPS会话达到monkey-in-the -middle攻击。在http://www.datanerds.net/~mike/dsniff.html可以找到Windows平台上的移植版。

　　工具:GFI LANguard(商业化的网络安全扫描软件)

　　网址:http://www.gfi.com/lannetscan/

　　类别:商业

　　平台:Windows

　　简介:LANguard扫描网络并且得出诸如每台机器的服务包等级、缺少的安全补盯打开的共享、开放的端口、正在运行的服务和应用程序、注册表键值、弱口令、用户和组等扫描信息的报告。扫描结果输出为一个HTML格式的报告，报告能够自定义。

　　工具:Ettercap(为你的交换环境提供更多的安全)

　　网址:http://ettercap.sourceforge.net/

　　类别:开放源码

　　平台:Linux/BSD/Unix/Windows

　　简介:Ettercap是一款以太网环境下的网络监视、拦载和记录工具，支持多种主动或被动的协议分析(甚至跟加密相关的SSH、HTTPS等)，有数据插入、过滤、保持连接同步等多种功能，也有一个能支持多种嗅探模式的、强大而完整的嗅探套件，支持插件，能够检查网络环境是否是交换局域网，并且能使用主动或被动的操作系统指纹识别技术让你了解当前局域网的情况。

　　工具:Whisker/Libwhisker(CGI缺陷扫描软件和库)

　　网址:http://www.wiretrip.net/rfp/p/doc.asp/d21.htm

　　类别:开放源码

　　平台:Linux/BSD/Unix/Windows

　　简介:Whisker是一款非常好的HTTP服务器缺陷扫描软件，能扫描出大量的已知安全漏洞，特别是些危险的CGI漏洞。Libwhisker是一个用perl编写的由Whiskerr使用的程序库，通过它你可以创建自己HTTP扫描器。

　　工具:John the Ripper(格外强大、灵活、快速的多平台哈希口令破解器)

　　网址:http://www.openwall.com/john/

　　类别:开放源码

　　平台:Linux/BSD/Unix/Windows

　　简介:John the Ripper是一个快速的口令破解器，支持多种操作系统，如Unix、DOS、Win32、BeOS和OpenVMS等。它设计的主要目的是用于检查 Unix系统的弱口令，支持几乎所有Unix平台上经crypt函数加密后的口令哈希类型，也支持Kerberos AFS和Windows NT/2000/XP LM哈希等。

　　网址:http://www.openssh.com/，http://www.ssh.com/commerce/index.html

　　类别:开放源码/商业

　　平台:Linux/BSD/Unix/Windows

　　简介:SSH(Secure Shell)是一款用来登录远程服务器并在远程服务器上执行命令的程序，在缺少安全防护的网络上它能给两台互不信任的主机间提供安全可靠的加密通讯。X11连接和其他任意的TCP/IP端口连接都可以通过SSH进行数据封装转发到一个安全的通道里。SSH开发的本意是用于代替rlogin、rsh和rcp这些不安全的程序，以及为rdist和rsync提供安全通道。需要注意的是，OpenSSH是SSH的替代软件，SSH对于某些用途是要收费的，但OpenSSH总是免费。

　　工具:Sam Spade(Windows平台上的免费网络查询工具)

　　网址:http://www.samspade.org/ssw/

　　类别:免费软件

　　平台:Windows

　　简介:SamSpade提供了一个友好的GUI界面，能方便地完成多种网络查询任务，它开发的本意是用于追查垃圾邮件制造者，但也能用于其它大量的网络探测、网络管理和与安全有关的任务，包括ping、nslookup、whois、dig、traceroute、finger、raw HTTP web browser、DNS zone transfer、SMTP relay check、website search等工具，在它的网站还有大多数查询工具的一个在线版本(http://www.samspade.org/t/)。

　　工具:ISS Internet Scanner(应用层风险评估工具)

　　网址:http://www.iss.net/products_services/enterprise_protection/

　　vulnerability_assessment/scanner_internet.php

　　类别:商业

　　平台:Windows

　　简介:互联网扫描器(Internet Scanner)始于1992年一个小小的开放源代码扫描器，它是相当不错的，但价格昂贵，使用开源软件Nessus来代替它也是一个不错的选择。

　　工具:Tripwire(功能强大的数据完整性检查工具)

　　网址:http://www.tripwire.com/

　　类别:商业

　　平台:Linux/BSD/Unix/Windows

　　简介:Tripwire是一款文件和目录完整性检查工具，它能帮助系统管理员和用户监视一些重要文件和目录发生的任何变化。通过制定一些基本的系统策略，在文件遭到破坏或篡改时由Tripwire通知系统管理员，从而能及时地做出处理。Tripwire的商业版本非常昂贵，在Tripwire.Org网站有一个免费的开放源代码的Linux版本，UNIX用户也可能需要考虑AIDE(http://www.cs.tut.fi/~rammer/aide.html)，它是Tripwire的免费替代品。

　　工具:Nikto(一款非常全面的web扫描器)

　　网址:http://www.cirt.net/code/nikto.shtml

　　类别:开放源码

　　平台:Linux/BSD/Unix/Windows

　　简介:Nikto是一款能对web服务器多种安全项目进行测试的扫描软件，能在200多种服务器上扫描出2000多种有潜在危险的文件、CGI及其他问题。它也使用LibWhiske库，但通常比Whisker更新的更为频繁。

　　工具:Kismet(强大的无线嗅探器)

　　网址:http://www.kismetwireless.net/

　　类别:开放源码

　　平台:Linux/BSD/Unix/Windows

　　简介:Kismet是一款802.11b网络嗅探和分析程序，功能有:支持大多数无线网卡，能通过UDP、ARP、DHCP数据包自动实现网络IP阻塞检测，能通过Cisco Discovery协议列出Cisco设备，弱加密数据包记录，和Ethereal、tcpdump兼容的数据包dump文件，绘制探测到的网络图和估计网络范围。

　　工具:SuperScan(Windows平台上的TCP端口扫描器)

　　网址:http://www.foundstone.com/index.htm?subnav=resources/

　　avigation.htm&subcontent=/resources/proddesc/superscan.htm

　　类别:免费

　　平台:Windows

　　简介:SuperScan是一款具有TCP connect端口扫描、Ping和域名解析等功能的工具，能较容易地做到对指定范围内的IP地址进行ping和端口扫描。源代码不公开。

　　网址:http://www.atstake.com/research/lc/

　　类别:商业

　　平台:Linux/BSD/Unix/Windows

　　简介:L0phtCrack试图根据从独立的Windows NT/2000工作站、网络服务器、主域控制器或Active Directory上正当获取或者从线路上嗅探到的加密哈希值里破解出Windows口令，含有词典攻击、组合攻击、强行攻击等多种口令猜解方法。

　　工具:Retina(eEye公司的风险评估扫描工具)

　　网址:http://www.eeye.com/html/Products/Retina/index.html

　　类别:商业

　　平台:Windows

　　简介:像上面提到的Nessus和ISS Internet Scanner一样，Retina的功能也是用于扫描网络内所有的主机并且报告发现的每一个缺陷。

　　工具:Netfilter(当前Linux内核采用的包过滤_blank">防火墙)

　　网址:http://www.netfilter.org/

　　类别:开放源码

　　平台:Linux

　　简介:Netfilter是一款功能强大的包过滤_blank">防火墙，在标准的Linux内核内得到实现，iptables是 _blank">防火墙配置工具。它现在支持有状态或无状态检测的包过滤，支持所有种类的NAT和包分片。相应的，对于非Linux平台上的 _blank">防火墙，OpenBSD平台上有pf，UNIX平台上有ipfilter，Windows平台上有Zone Alarm个人_blank">防火墙。

　　工具:traceroute/ping/telnet/whois(基本命令)

　　类别:免费

　　平台:Linux/BSD/Unix/Windows

　　简介:当我们使用大量的高水平的工具来辅助安全审计工作时，别忘了这几个最基本的工具。我们每个人都应非常熟悉这几个工具的用法，几乎所有的操作系统上都附带有这几个工具，不过Windows平台上没有whois工具，并且traceroute改名为tracert。

　　工具:Fport(增强的netstat)

　　网址:http://www.foundstone.com/index.htm?subnav=resources/

　　navigation.htm&subcontent=/resources/proddesc/fport.htm

　　类别:免费

　　平台:Windows

　　简介:Fport能显示主机上当前所有打开的TCP/IP、UDP端口和端口所属的进程，因此通过使用它能即刻发现未知的开放端口和该端口所属的应用程序，是一款查找木马的好工具。不过，Fport仅支持Windows系统，在许多UNIX系统上有一个netstat命令实现类似功能，Linux系统上用“netstat -pan”命令。源代码不公开。

　　工具:SAINT(安全管理员的综合网络工具)

　　网址:http://www.saintcorporation.com/saint/

　　类别:商业

　　平台:Linux/BSD/Unix

　　简介:Saint是一款商业化的风险评估工具，但与那些仅支持Windows平台的工具不同，SAINT运行在UNIX类平台上，过去它是免费并且开放源代码的，但现在是一个商业化的产品。

　　工具:Network Stumbler(免费的Windows平台802.11嗅探器)

　　网址:http://www.stumbler.net/

　　类别:免费

　　平台:Windows

　　简介:Netstumbler是最有名的寻找无线接入点的工具，另一个支持PDA的WinCE平台版本叫Ministumbler。这个工具现在是免费的，仅仅支持Windows系统，并且源代码不公开，而且该软件的开发者还保留在适当的情况下对授权协议的修改权。UNIX系统上的用户可以使用Kismet来代替。

　　网址:http://www-arc.com/sara/

　　类别:开放源码

　　平台:Linux/BSD/Unix

　　简介:SARA是一款基于SATAN安全扫描工具开发而来的风险评估工具，每月更新两次。

　　工具:N-Stealth(web服务器扫描工具)

　　网址:http://www.nstalker.com/nstealth/

　　类别:商业

　　平台:Windows

　　简介:N-Stealth是一款商业化的Web服务器安全扫描软件，通常它比whisker、nikto等免费的web扫描器升级的更为频繁。N-Stealth开发商宣称的“超过20,000条的缺陷和 exploit数据”和“每天新增大量的缺陷检查”是非常可疑的。我们也要注意到，在nessus、ISS、Retina、SAINT和SARA等所有常见的风险评估工具里已含有web扫描组件，不过它们可能没有N-Stealth这样灵活易用和更新频繁。n-stealth不公开源代码。

　　工具:AirSnort(802.11 WEP密码破解工具)

　　网址:http://airsnort.shmoo.com/

　　类别:开放源码

　　平台:Linux/BSD/Unix/Windows

　　简介:AirSnort是一款无线局域网密钥恢复工具，由Shmoo小组开发。它监视无线网络中的传输数据，当收集到足够多的数据包时就能计算出密钥。

　　工具:NBTScan(从Windows网络上收集NetBIOS信息)

　　网址:http://www.inetcat.org/software/nbtscan.html

　　类别:开放源码

　　平台:Linux/BSD/Unix/Windows

　　简介:NBTscan是一个用于扫描网络上NetBIOS名字信息的程序。这个程序对给出范围内的每一个地址发送NetBIOS状态查询，并且以易读的表格列出接收到的信息，对于每个响应的主机，它列出它的IP地址、NetBIOS计算机名、登录用户名和MAC地址。

　　工具:GnuPG/PGP(保护你的文件和通信数据的先进加密程序)

　　网址:http://www.gnupg.org/，http://www.pgp.com/

　　类别:开放源码/商业

　　平台:Linux/BSD/Unix/Windows

　　简介:PGP是由Phil Zimmerman开发的著名加密程序，它使用公钥加密算法和常规的加密技术相结合，能将加密后的文件安全地从一地传递到另一地，从而保护用户的数据免于窃听或其他的安全风险。GnuPG是遵照PGP标准开发的开源程序，不同的是，GnuPG是永远免费的，而PGP对于某些用途要收费。

　　工具:Firewalk(高级的traceroute)

　　网址:http://www.packetfactory.net/projects/firewalk/

　　类别:开放源码

　　平台:Linux/BSD/Unix

　　简介:Firewalk使用类似traceroute的技术来分析IP包的响应，从而测定网关的访问控制列表和绘制网络图。2002年10月，这个一流的工具在原来的基础上进行了重新开发。需要注意到的是，Firewalk里面的大多数功能也能由Hping2的traceroute选项来实现。

　　工具:Cain & Abel(穷人的L0phtcrack)

　　网址:http://www.oxid.it/cain.html

　　类别:免费

　　平台:Windows

　　简介:Cain & Abel是一个针对Microsoft操作系统的免费口令恢复工具。它通过如下多种方式轻松地实现口令恢复:网络嗅探、破解加密口令(使用字典或强行攻击)、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议等。源代码不公开。

　　工具:XProbe2(主动操作系统指纹识别工具)

　　网址:http://www.sys-security.com/html/projects/X.html

　　类别:开放源码

　　平台:Linux/BSD/Unix

　　简介:XProbe是一款测定远程主机操作系统类型的工具。它依靠与一个签名数据库的模糊匹配以及合理的推测来确定远程操作系统的类型，利用ICMP协议进行操作系统指纹识别是它的独到之处。

　　网址:http://www.solarwinds.net/

　　类别:商业

　　平台:Windows

　　简介:SolarWinds包含大量适合系统管理员做特殊用途的工具，与安全相关的工具包括许多的网络发现扫描器(network discovery scanner)和一个SNMP强力破解器。

　　工具:NGrep(方便的包匹配和显示工具)

　　网址:http://www.packetfactory.net/projects/ngrep/

　　类别:开放源码

　　平台:Linux/BSD/Unix/Windows

　　简介:NGrep在网络层实现了GNU grep的大多数功能，基于pcap，可以使你通过指定扩展的正则表达式或十六进制表达式去匹配网络上的数据流量。它当前能够识别流经以太网、PPP、SLIP、FDDI、令牌网和回环设备上的TCP、UDP和ICMP数据包，并且和其他常见的嗅探工具(如tcpdump和snoop)一样，理解bpf过滤机制。

　　工具:Perl/Python(脚本语言)

　　网址:http://www.perl.org，http://www.python.org/

　　类别:开放源码

　　平台:Linux/BSD/Unix/Windows

　　简介:当我们使用那些已经开发好的安全工具来处理任务时，别忘了能自己写出(或修改)安全程序也是一件非常重要的事情。利用Perl和Python能非常容易地写出用于系统测试、exploit和修补的脚本程序，使用包含Net::RawIP和协议实现等模块的CPAN(Comprehensive Perl Archive Network:http://www.cpan.org/)或类似的档案能帮助我们比较容易地进行相关的开发。

　　工具:THC-Amap(应用程序指纹识别扫描器)

　　网址:http://www.thc.org/releases.php

　　类别:开放源码

　　平台:Linux/BSD/Unix

　　简介:由THC开发的Amap是一个功能强大的扫描器，它通过探测端口响应的应用程序指纹数据来识别应用程序和服务，远甚于通过缺省端口号来判断应用程序和服务的方法。

　　工具:OpenSSL(最为重要的SSL/TLS加密库)

　　网址:http://www.openssl.org/

　　类别:开放源码

　　平台:Linux/BSD/Unix/Windows

　　简介:OpenSSL项目是共同努力开发出来的一个健全的、商业级的、全开放的和开放源代码的工具包，用于实现安全套接层协议(SSL v2/v3)和传输层安全协议(TLS v1)以及形成一个功效完整的通用加密库。该项目由全世界范围内志愿者组成的团体一起管理，他们使用Internet去交流、设计和开发这个OpenSSL工具和相关的文档。

　　工具:NTop(网络使用状况监测软件)

　　网址:http://www.ntop.org/

　　类别:开放源码

　　平台:Linux/BSD/Unix/Windows

　　简介:Ntop是一款显示网络使用状况的流量监测软件，类似于UNIX平台上监视系统进程的top命令。在交互模式下，ntop会将网络的使用状况显示在用户的终端上;在Web模式下，ntop会做为一个web服务器，创建包含网络状况的HTML网页返回给用户。

　　工具:Nemesis(命令行式的UNIX网络信息包插入套件)

　　网址:http://www.packetfactory.net/projects/nemesis/

　　类别:开放源码

　　平台:Linux/BSD/Unix

　　简介:Nemesis项目是为了开发一个UNIX/Linux系统上基于命令行的、方便人们使用的IP栈，它可以自定义数据包、插入数据包、进行协议攻击等，是一个很好的测试_blank">防火墙、入侵检测系统、路由器和其他网络设备的工具。如果你对Nemesis感兴趣，那么你也可能需要看看hping2，这两者补相互之不足。

　　工具:LSOF(列出打开的文件)

　　网址:ftp://vic.cc.purdue.edu/pub/tools/unix/lsof/

　　类别:开放源码

　　平台:Linux/BSD/Unix

　　简介:LSOF是针对Unix的诊断和分析工具，它能显示出由系统里正在运行的进程所打开的文件，也能显示出每一个进程的通讯socket。

　　工具:Hunt(Linux平台上高级的包嗅探和会话劫持工具)

　　网址:http://lin.fsid.cvut.cz/~kra/index.html#HUNT

　　类别:开放源码

　　平台:Linux

　　简介:Hunt能监视、劫持、重设网络上的TCP连接，在以太网上使用才有作用，并且含有监视交换连接的主动机制，以及包括可选的ARP转播和劫持成功后的连接同步等高级特征。

　　网址:http://www.citi.umich.edu/u/provos/honeyd/

　　类别:开放源码

　　平台:Linux/BSD/Unix/Windows

　　简介:Honeyd是一个能在网络上创建虚拟主机的小小后台程序，虚拟主机能被配置成运行任意的服务，并且洽当的服务TCP特性以致他们看起来就像是运行在某个特定版本的操作系统上。Honeyd能在一个模拟的局域网环境里让一台主机配有多个地址，并且可以对虚似主机进行 ping、traceroute。虚拟主机上任何类型的服务都可以依照一个简单的配置文件进行模拟。Honeyd也可以对一台主机做代理服务，而不是模拟它。

　　工具:Achilles(可以修改http会话包的代理程序)

　　网址:http://packetstormsecurity.nl/filedesc/achilles-0-27.zip.html

　　类别:开放源码

　　平台:Windows

　　简介:Achilles是一个设计用来测试web应用程序安全性的工具。它是一个代理服务器，在一个HTTP会话中扮演着“中间人”(man-in-the-middle)的角色。一个典型的HTTP代理服务器将在客户浏览器和web服务器间转发数据包，但Achilles却载取发向任一方的HTTP会话数据，并且在转发数据前可以让用户修改这些数据。

　　工具:Brutus(网络认证的强行破解工具)

　　网址:http://www.hoobie.net/brutus/

　　类别:免费

　　平台:Windows

　　简介:Brutus是一款对远程服务器的网络服务进行口令猜解的工具，支持字典攻击和组合攻击，支持的网络应用包括HTTP、POP3、FTP、SMB、TELNET、IMAP、NTP等。源代码不公开。UNIX系统上的THC-Hydra有类似的功能。

　　工具:Stunnel(一个多种用途的SSL加密外壳)

　　网址:http://www.stunnel.org/

　　类别:开放源码

　　平台:Linux/BSD/Unix/Windows

　　简介:Stunnel程序被设计用来做为本地客户端和远程服务器间的SSL加密外壳。它能在POP2、POP3、IMAP等使用inetd后台进程的服务器上增加SSL功能，并且不会影响到程序源代码。它使用OpenSSL或SSLeay库建立SSL会话连接。

　　工具:Paketto Keiretsu(极端的TCP/IP)

　　网址:http://www.doxpara.com/paketto

　　类别:开放源码

　　平台:Linux/BSD/Unix

　　简介:Paketto Keiretsu是一组使用新式的不常见的策略去操作TCP/IP网络的工具集合，开发的最初本意是为了在现有TCP/IP架构里去实现一些功能，但现在已经远远超出了最初的本意。包含的工具有:Scanrand，一个罕见的快速的网络服务和拓朴发现系统;Minewt，一个NAT/MAT路由器;linkcat，把以太网链路做为标准的输入输出;Paratrace，不产生新的连接就能追踪网络路径;Phentropy，使用OpenQVIS在三维拓朴空间里能绘制出任意总量的数据源图形。

　　工具:Fragroute(破坏入侵检测系统最强大的工具)

　　网址:http://www.monkey.org/~dugsong/fragroute/

　　类别:开放源码

　　平台:Linux/BSD/Unix/Windows

　　简介:Fragroute能够截娶修改和重写向外发送的报文，实现了大部分的IDS攻击功能。Fragroute起重要作用的是一个简单的规则设置语言，以它去实现延迟、复制、丢弃、碎片、重叠、打英重排、分割、源路由或其他一些向目标主机发送数据包的攻击。这个工具开发的本意是去测试入侵检测系统、 _blank">防火墙、基本的TCP/IP栈的行为。像Dsniff、Libdnet一样，这个优秀的工具也是由Dug Song开发的。

　　工具:SPIKE Proxy

　　网址:http://www.immunitysec.com/spikeproxy.html

　　类别:开放源码

　　平台:Linux/BSD/Unix/Windows

　　简介:Spike Proxy是一个开放源代码的HTTP代理程序，用于发现web站点的安全缺陷。它是Spike应用程序测试套件(http://www.immunitysec.com/spike.html)的一部份，支持SQL插入检测、web站点检测、登录表单暴力破解、溢出检测和字典穷举攻击检测等。

　　工具:THC-Hydra(网络认证的破解工具)

　　网址:http://www.thc.org/releases.php

　　类别:开放源码

　　平台:Linux/BSD/Unix

　　简介:这个工具能对需要网络登录的系统进行快速的字典攻击，包括FTP、POP3、IMAP、Netbios、Telnet、HTTP Auth、LDAP NNTP、VNC、ICQ、Socks5、PCNFS等，支持SSL，并且现在是Nessus风险评估工具的一部份。

　　ping 192.168.0.8 －t ，参数－t是等待用户去中断测试

    2.查看DNS、IP、Mac等

　　A.Win98：winipcfg
　　B.Win2000以上：Ipconfig/all

　　C.NSLOOKUP：如查看河北的DNS
　　C:\>nslookup
　　Default Server: ns.hesjptt.net.cn
　　Address: 202.99.160.68
　　>server 202.99.41.2 则将DNS改为了41.2
　　> pop.pcpop.com
　　Server: ns.hesjptt.net.cn
　　Address: 202.99.160.68

　　Non-authoritative answer:
　　Name: pop.pcpop.com
　　Address: 202.99.160.212

    3.网络信使 

　　Net send 计算机名/IP　* (广播) 传送内容，注意不能跨网段
　　net stop messenger 停止信使服务，也可以在面板－服务修改
　　net start messenger 开始信使服务

    4.探测对方对方计算机名，所在的组、域及当前用户名 （追捕的工作原理）

　　ping －a IP －t ，只显示NetBios名
　　nbtstat -a 192.168.10.146 比较全的

    5.netstat -a 显示出你的计算机当前所开放的所有端口

　　netstat -s -e 比较详细的显示你的网络资料，包括TCP、UDP、ICMP 和 IP的统计等

    6.探测arp绑定（动态和静态）列表，显示所有连接了我的计算机，显示对方IP和MAC地址

　　arp -a

    7.在代理服务器端

　　捆绑IP和MAC地址，解决局域网内盗用IP！：
　　ARP －s 192.168.10.59 00 －50－ff－6c－08－75
　　解除网卡的IP与MAC地址的绑定：
　　arp -d 网卡IP

    8.在网络邻居上隐藏你的计算机

　　net config server /hidden:yes
　　net config server /hidden:no 则为开启

    9.几个net命令

　　A.显示当前工作组服务器列表 net view，当不带选项使用本命令时，它就会显示当前域或网络上的计算机上的列表。
　　比如：查看这个IP上的共享资源，就可以
　　C:\>net view 192.168.10.8
　　在 192.168.10.8 的共享资源
　　资源共享名 类型 用途 注释
　　--------------------------------------
　　网站服务 Disk
　　命令成功完成。

　　B.查看计算机上的用户帐号列表 net user
　　C.查看网络链接 net use
　　例如：net use z: \192.168.10.8\movie 将这个IP的movie共享目录映射为本地的Z盘
　　D.记录链接 net session
　　例如: C:\>net session
　　计算机 用户名 客户类型 打开空闲时间
　　-------------------------------------------------------------------------------
　　\192.168.10.110 ROME Windows 2000 2195 0 00:03:12

　　\192.168.10.51 ROME Windows 2000 2195 0 00:00:39
　　命令成功完成。

    10.路由跟踪命令

　　A.tracert pop.pcpop.com
　　B.pathping pop.pcpop.com 除了显示路由外，还提供325S的分析，计算丢失包的％

    11.关于共享安全的几个命令

　　A.查看你机器的共享资源 net share
　　B.手工删除共享（可以编个bat文件，开机自运行，把共享都删了！）
　　net share c$ /d
　　net share d$ /d
　　net share ipc$ /d
　　net share admin$ /d
　　注意$后有空格。
　　C.增加一个共享：
　　c:\net share mymovie=e:\downloads\movie /users:1
　　mymovie 共享成功。
　　同时限制链接用户数为1人。

    12.在DOS行下设置静态IP

　　A.设置静态IP
　　CMD
　　netsh
　　netsh>int
　　interface>ip
　　interface ip>set add "本地链接" static IP地址 mask gateway
　　B.查看IP设置
　　interface ip>show address

　　Arp
　　显示和修改“地址解析协议 (ARP)”缓存中的项目。ARP 缓存中包含一个或多个表，它们用于存储 IP 地址及其经过解析的以太网或令牌环物理地址。计算机上安装的每一个以太网或令牌环网络适配器都有自己单独的表。如果在没有参数的情况下使用，则 arp 命令将显示帮助信息。

　　语法
　　arp [-a [InetAddr] [-N IfaceAddr]] [-g [InetAddr] [-N IfaceAddr]] [-d InetAddr [IfaceAddr]] [-s   InetAddr EtherAddr [IfaceAddr]]

　　参数
　　-a [InetAddr] [-N IfaceAddr]
　　显示所有接口的当前 ARP 缓存表。要显示指定 IP 地址的 ARP 缓存项，请使用带有 InetAddr 参数的 arp -a，此处的 InetAddr 代表指定的 IP 地址。要显示指定接口的 ARP 缓存表，请使用 -N IfaceAddr 参数，此处的 IfaceAddr 代表分配给指定接口的 IP 地址。-N 参数区分大小写。
　　-g [InetAddr] [-N IfaceAddr]
　　与 -a 相同。
　　-d InetAddr [IfaceAddr]
　　删除指定的 IP 地址项，此处的 InetAddr 代表 IP 地址。对于指定的接口，要删除表中的某项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表分配给该接口的 IP 地址。要删除所有项，请使用星号 (*) 通配符代替 InetAddr。
　　-s InetAddr EtherAddr [IfaceAddr]
　　向 ARP 缓存添加可将 IP 地址 InetAddr 解析成物理地址 EtherAddr 的静态项。要向指定接口的表添加静态 ARP 缓存项，请使用 IfaceAddr 参数，此处的 IfaceAddr 代表分配给该接口的 IP 地址。
　　/?
　　在命令提示符显示帮助。
　　注释
　　InetAddr 和 IfaceAddr 的 IP 地址用带圆点的十进制记数法表示。
　　物理地址 EtherAddr 由六个字节组成，这些字节用十六进制记数法表示并且用连字符隔开（比如，00-AA-00-4F-2A-9C）。
　　通过 -s 参数添加的项属于静态项，它们不会 ARP 缓存中超时。如果终止 TCP/IP 协议后再启动，这些项会被删除。要创建永久的静态 ARP 缓存项，请在批处理文件中使用适当的 arp 命令并通过“计划任务程序”在启动时运行该批处理文件。
只有当网际协议 (TCP/IP) 协议在 网络连接中安装为网络适配器属性的组件时，该命令才可用。
　　范例
　　要显示所有接口的 ARP 缓存表，可键入：

　　arp -a

　　对于指派的 IP 地址为 10.0.0.99 的接口，要显示其 ARP 缓存表，可键入：

　　arp -a -N 10.0.0.99

　　要添加将 IP 地址 10.0.0.80 解析成物理地址 00-AA-00-4F-2A-9C 的静态 ARP 缓存项，可键入：

　　arp -s 10.0.0.80 00-AA-00-4F-2A-9C

　　At
　　计划在指定时间和日期在计算机上运行命令和程序。at 命令只能在“计划”服务运行时使用。如果在没有参数的情况下使用，则 at 列出已计划的命令。

　　语法
　　at [\ComputerName] [{[ID] [/delete]　/delete [/yes]}]

　　at [[\ComputerName] hours:minutes [/interactive] [{/every:date[,...]　/next:date[,...]}] command]

　　参数
　　 \computername
　　指定远程计算机。如果省略该参数，则 at 计划本地计算机上的命令和程序。
　　ID
　　指定指派给已计划命令的识别码。
　　/delete
　　取消已计划的命令。如果省略了 ID，则计算机中所有已计划的命令将被取消。
　　/yes
　　删除已计划的事件时，对来自系统的所有询问都回答“是”。
　　hours:minutes
　　指定命令运行的时间。该时间用 24 小时制（即从 00:00 [午夜] 到 23:59）的 小时: 分钟格式表示。
　　/interactive
　　对于在运行 command 时登录的用户,允许 command 与该用户的桌面进行交互。
　　/every:
　　在每个星期或月的指定日期（例如，每个星期四，或每月的第三天）运行 command 命令。
　　date
　　指定运行命令的日期。可以指定一周的某日或多日（即，键入 M、T、W、Th、F、S、Su）或一个月中的某日或多日（即，键入从 1 到31 之间的数字）。用逗号分隔多个日期项。如果省略了 date，则 at 使用该月的当前日。
　　/next:
　　在下一个指定日期（比如，下一个星期四）到来时运行 command。
　　command
　　指定要运行的 Windows 命令、程序（.exe 或 .com 文件）或批处理程序（.bat 或 .cmd 文件）。当命令需要路径作为参数时，请使用绝对路径，也就是从驱动器号开始的整个路径。如果命令在远程计算机上，请指定服务器和共享名的通用命名协定 (UNC) 符号，而不是远程驱动器号。
　　/?
　　在命令提示符显示帮助。
　　注释
　　Schtasks 是功能更为强大的超集命令行计划工具，它含有 at 命令行工具中的所有功能。对于所有的命令行计划任务，都可以使用 schtasks 来替代 at。有关 schtasks 的详细信息，请参阅“相关主题”。

　　使用 at
　　使用 at 命令时，要求您必须是本地 Administrators 组的成员。

netstat命令的功能是显示网络连接、路由表和网络接口信息，可以让用户得知目前都有哪些网络连接正在运作。
该命令的一般格式为：

netstat [选项]

命令中各选项的含义如下：

-a 显示所有socket，包括正在监听的。

-c 每隔1秒就重新显示一遍，直到用户中断它。

-i 显示所有网络接口的信息，格式同“ipconfig -e”。

-n 以网络IP地址代替名称，显示出网络连接情形。

-r 显示核心路由表，格式同“route -e”。

-t 显示TCP协议的连接情况。

-u 显示UDP协议的连接情况。

-v 显示正在进行的工作。

[例]在本地机上使用netstat命令。

$ netstat

Active Internet connections （w/o servers）

Proto Recv-Q Send-Q Local Address Foreign Address State

Active UNIX domain sockets （w/o servers）

Proto RefCnt Flags Type State I-Node Path

unix 1 [ ] STREAM CONNECTED 270 @00000008

unix 1 [ ] STREAM CONNECTED 150 @00000002

unix 1 [ ] STREAM CONNECTED 104 @00000001

unix 1 [ ] STREAM CONNECTED 222 @00000004

unix 1 [ ] STREAM CONNECTED 171 @00000003

unix 1 [ ] STREAM CONNECTED 271 /dev/log

unix 1 [ ] STREAM CONNECTED 225 /dev/log

unix 1 [ ] STREAM CONNECTED 223 /dev/log

unix 1 [ ] STREAM CONNECTED 203 /dev/log

unix 1 [ ] STREAM CONNECTED 105 /dev/log

……

nslookup命令

nslookup命令的功能是查询一台机器的IP地址和其对应的域名。它通常需要一台域名服务器来提供域名服务。如果用户已经设置好域名服务器，就可以用这个命令查看不同主机的IP地址对应的域名。

该命令的一般格式为：

nslookup [IP地址/域名]

[例]在本地机上使用nslookup命令。

$ nslookup

Default Server: name.tlc.com.cn

Address: 192.168.1.99

>

在符号“>”后面输入要查询的IP地址或域名并回车即可。如果要退出该命令，输入exit并回车即可。

finger命令

finger命令的功能是查询用户的信息，通常会显示系统中某个用户的用户名、主目录、停滞时间、登录时间、登录shell等信息。如果要查询远程机上的用户信息，需要在用户名后面接“@主机名”，采用[用户名@主机名]的格式，不过要查询的网络主机需要运行finger守护进程。

该命令的一般格式为：

finger [选项] [使用者] [用户@主机]

命令中各选项的含义如下：

-s 显示用户的注册名、实际姓名、终端名称、写状态、停滞时间、登录时间等信息。 -l 除了用-s选项显示的信息外，还显示用户主目录、登录shell、邮件状态等信息，以及用户主目录下的.plan、.project和.forward文件的内容。

-p 除了不显示.plan文件和.project文件以外，与-l选项相同。

[例]在本地机上使用finger命令。

$ finger xxq

Login: xxq Name:

Directory: /home/xxq Shell: /bin/bash

Last login Thu Jan 1 21:43 （CST） on tty1

No mail.

No Plan.

$ finger

Login Name Tty Idle Login Time Office Office Phone

root root *1 28 Nov 25 09:17

……

ping命令

ping命令用于查看网络上的主机是否在工作，它向该主机发送ICMP ECHO_REQUEST包。有时我们想从网络上的某台主机上下载文件，可是又不知道那台主机是否开着，就需要使用ping命令查看。

该命令的一般格式为：

ping [选项] 主机名/IP地址

命令中各选项的含义如下：

-c 数目 在发送指定数目的包后停止。

-d 设定SO_DEBUG的选项。

-f 大量且快速地送网络封包给一台机器，看它的回应。

-I 秒数 设定间隔几秒送一个网络封包给一台机器，预设值是一秒送一次。

-l 次数 在指定次数内，以最快的方式送封包数据到指定机器（只有超级用户可以使用此选项）。

-q 不显示任何传送封包的信息，只显示最后的结果。

-r 不经由网关而直接送封包到一台机器，通常是查看本机的网络接口是否有问题。

-s 字节数 指定发送的数据字节数，预设值是56，加上8字节的ICMP头，一共是64ICMP数据字节。

TurboLinux系统提供了大量命令和许多实用工具软件，本书由于篇幅的关系，主要介绍了TurboLinux的一些常用命令和实用软件。读者可以使用系统提供的联机帮助手册获取更多的信息。

TurboLinux系统的联机手册中有大量的可用信息，根据其内容分成若干节。在Linux联机帮助手册上，几乎每个命令都有说明。因此，当用户对于Linux上的一个命令不会用或是不太了解时，就请使用联机帮助命令。

本章主要介绍几个常用的联机帮助命令。包括：

man 查询每个命令的使用方法

help 查询Shell命令

whereis 查询某个命令的位置

locate 查询某个文件的位置

man命令

这个命令应该是每个Linux系统上都有的。它格式化并显示在线的手册页。通常使用者只要在命令man后，输入想要获取的命令的名称（例如 ls），man就会列出一份完整的说明，其内容包括命令语法、各选项的意义以及相关命令等。

该命令的一般形式为：

man [选项] 命令名称

命令中各选项的含义分别为：

-M 路径 指定搜索man手册页的路径，通常这个路径由环境变量MANPATH预设，如果在命令行上指定另外的路径，则覆盖MANPATH的设定。

-P 命令 指定所使用的分页程序，缺省使用/usr/bin/less–is，在环境变量MANPAGER中预设。

-S 章节 由于一个命令名称可能会有很多类别，至于类别，列出如下：

章节 说明

1 一般使用者的命令

2 系统调用的命令

3 C语言函数库的命令

4 有关驱动程序和系统设备的解释

5 配置文件的解释

6 游戏程序的命令

7 其他的软件或是程序的命令

有关系统维护的命令

-a 显示所有的手册页，而不是只显示第一个。

-d 这个选项主要在检查时使用，如果用户加入了一个新的文件，就可以用这个选项检查是否出错，这个选项并不会列出文件内容。

-f 只显示出命令的功能而不显示其中详细的说明文件。

-p string 设定运行的预先处理程序的顺序，共有下列几项：

e eqn t tbl

g grap r refer

p pic v vgrind

-w 不显示手册页，只显示将被格式化和显示的文件所在位置。

例如：查看cd命令的使用方法。

$ man cd

cd（n） Tcl Built-In Commands cd（n）

_________________________________________________________________

NAME

cd - Change working directory

SYNOPSIS

cd ?dirName?

_________________________________________________________________

DEs criptION

Change the current working directory to dirName, or to the

home directory （as specified in the HOME environment vari-

able） if dirName is not given. Returns an empty string.

KEYWORDS

working directory

Tcl 1

（END）

可以按q键退出man命令。

help命令

help命令用于查看所有Shell命令。用户可以通过该命令寻求Shell命令的用法，只需在所查找的命令后输入help命令，就可以看到所查命令的内容了。

例如：查看od命令的使用方法。

$ od --help

　whereis命令

这个程序的主要功能是寻找一个命令所在的位置。例如，我们最常用的ls命令，它是在/bin这个目录下的。如果希望知道某个命令存在哪一个目录下，可以用whereis命令来查询。

该命令的一般形式为：

whereis [选项] 命令名

说明：一般直接使用不加选项的whereis命令，但用户也可根据特殊需要选用它的一些选项。

该命令中各选项的含义分别为：

b 只查找二进制文件

m 查找主要文件

s 查找来源

u 查找不常用的记录文件

例如：查找ls命令在什么目录下。

$ whereis ls

ls:/bin/ls/usr/man/man1/ls.1

    关于Trinoo、TFN和Stacheldraht等分布式拒绝服务攻击工具的分析请参阅相关文档。

术 语

--------

客户端——用于通过发动攻击的应用程序，攻击者通过它来发送各种命令。

守护程序——在代理端主机运行的进程，接收和响应来自客户端的命令。

主控端——运行客户端程序的主机。

代理端——运行守护程序的主机。

目标主机——分布式攻击的目标（主机或网络）。

什么是TFN2K？

------------

    TFN2K通过主控端利用大量代理端主机的资源进行对一个或多个目标进行协同攻击。当前互联网中的UNIX、Solaris和Windows NT等平台的主机能被用于此类攻击，而且这个工具非常容易被移植到其它系统平台上。

    TFN2K由两部分组成：在主控端主机上的客户端和在代理端主机上的守护进程。主控端向其代理端发送攻击指定的目标主机列表。代理端据此对目标进行拒绝服务攻击。由一个主控端控制的多个代理端主机，能够在攻击过程中相互协同，保证攻击的连续性。主控央和代理端的网络通讯是经过加密的，还可能混杂了许多虚假数据包。整个TFN2K网络可能使用不同的TCP、UDP或ICMP包进行通讯。而且主控端还能伪造其IP地址。所有这些特性都使发展防御TFN2K攻击的策略和技术都非常困难或效率低下。

TFN2K的技术内幕

---------------

◆ 主控端通过TCP、UDP、ICMP或随机性使用其中之一的数据包向代理端主机

发送命令。对目标的攻击方法包括TCP/SYN、UDP、ICMP/PING或BROADCAST

PING (SMURF)数据包flood等。

◆ 主控端与代理端之间数据包的头信息也是随机的，除了ICMP总是使用

ICMP_ECHOREPLY类型数据包。

◆ 与其上一代版本TFN不同，TFN2K的守护程序是完全沉默的，它不会对接收

到的命令有任何回应。客户端重复发送每一个命令20次，并且认为守护程

序应该至少能接收到其中一个。

◆ 这些命令数据包可能混杂了许多发送到随机IP地址的伪造数据包。

◆ TFN2K命令不是基于字符串的，而采用了"++"格式，其中是

代表某个特定命令的数值，则是该命令的参数。

◆ 所有命令都经过了CAST-256算法（RFC 2612）加密。加密关键字在程序编

译时定义，并作为TFN2K客户端程序的口令。

◆ 所有加密数据在发送前都被编码（Base 64）成可打印的ASCII字符。TFN2K

守护程序接收数据包并解密数据。

◆ 守护进程为每一个攻击产生子进程。

◆ TFN2K守护进程试图通过修改argv[0]内容（或在某些平台中修改进程名）

以掩饰自己。伪造的进程名在编译时指定，因此每次安装时都有可能不同。

这个功能使TFN2K伪装成代理端主机的普通正常进程。因此，只是简单地检

查进程列表未必能找到TFN2K守护进程（及其子进程）。

◆ 来自每一个客户端或守护进程的所有数据包都可能被伪造。

监测TFN2K的特征

---------------

    由于所有的控制通讯都是单向的，这使得实时监测TFN2K额外困难。因为其随机性地使用TCP、UDP和ICMP数据包，同时进行了加密，数据包过滤和其它被动式防御策略都显得不切实际和效率低下的。伪造的数据包更会增加追踪参与拒绝服务攻击的代理端主机的难度。

    幸运的是，TFN2K仍然有弱点。可能是疏忽的原因，加密后的Base 64编码在每一个TFN2K数据包的尾部留下了痕迹（与协议和加密算法无关）。可能是程序作者为了使每一个数据包的长度变化而填充了1到16个零(0x00)，经过Base 64编码后就成为多个连续的0x41('A')。添加到数据包尾部的0x41的数量是可变的，但至少会有一个。这些位于数据包尾部的0x41('A')就成了捕获TFN2K命令数据包的特征了。

    对TFN2K客户端程序（tfn）和守护程序文件（td）的简单搜索也可能会找到TFN2K。虽然这些文件名可以随意修改，但客户端程序和守护程序包含许多特征字符串，可以作为搜索的关键字。如下：

TFN2K客户端程序（tfn）

[1;34musage: %s

[-P protocol]

[-S host/ip]

[-f hostlist]

[-h hostname]

[-i target string]

[-p port]

<-c command ID>

change spoof level to %d

change packet size to %d bytes

bind shell(s) to port %d

commence udp flood

commence syn flood, port: %s

commence icmp echo flood

commence icmp broadcast (smurf) flood

commence mix flood

commence targa3 attack

execute remote command

TFN2K守护程序（td）

fork

ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/

/dev/urandom

/dev/random

%d.%d.%d.%d

sh*

ksh*

command.exe**

cmd.exe**

tfn-daemon***

tfn-child***

* Unix and Solaris systems only

** Windows NT systems only

*** This text is likely to have been changed in many TFN2K installations

TFN2K守护程序和客户端程序（tfn和td）

security_through_obscurity *

D4 40 FB 30 0B FF A0 9F **

64 64 64 64 ... ***

* 程序编译时定义的函数名，是一个非常有用的特征字符串。

** CAST-256加密表格的头8个字节（按little-endian排序）。

*** Base 64编码算法使用的静态表格中连续128字节长度的0x64值。

TFN2K的防御策略

---------------

    目前仍没有能有效防御TFN2K拒绝服务攻击的方法。最有效的策略是防止网络资源被用作客户端或代理端。

预 防

◆ 只使用应用代理型防火墙。这能够有效地阻止所有的TFN2K通讯。但只使用应

用代理服务器通常是不切合实际的，因此只能尽可能使用最少的非代理服务。

◆ 禁止不必要的ICMP、TCP和UDP通讯。特别是对于ICMP数据，可只允许ICMP类

型3（destination unreachable目标不可到达）数据包通过。

◆ 如果不能禁止ICMP协议，那就禁止主动提供或所有的ICMP_ECHOREPLY包。

◆ 禁止不在允许端口列表中的所有UDP和TCP包。

◆ 配置防火墙过滤所有可能的伪造数据包。

◆ 对系统进行补丁和安全配置，以防止攻击者入侵并安装TFN2K。

监 测

◆ 扫描客户端/守护程序的名字。

◆ 根据前面列出的特征字符串扫描所有可执行文件。

◆ 扫描系统内存中的进程列表。

◆ 检查ICMP_ECHOREPLY数据包的尾部是否含有连续的0x41。另外，检查数据侧

面内容是否都是ASCII可打印字符（2B，2F-39，0x41-0x5A，0x61-0x7A）。

◆ 监视含有相同数据内容的连续数据包（有可能混合了TCP、UDP和ICMP包）。

响 应

    一旦在系统中发现了TFN2K，必须立即通知安全公司或专家以追踪入侵进行。因为TFN2K的守护进程不会对接收到的命令作任何回复，TFN2K客户端一般会继续向代理端主机发送命令数据包。另外，入侵者发现攻击失效时往往会试图连接到代理端主机上以进行检查。这些网络通讯都可被追踪。