|
先手动建立归档目录,在调整
oracle
启动方式
将
oracle
设为归档模式
手工在主服务器创建归档目录
$cd $ORACLE_BASE
#$ORACLE_BASE
所指向的目录是
/opt/oracle/
,可参看
ORACLE
用户环境变量的具体设置
$mkdir -p oradata/szdb/archive
# szdb
的目录名称根据数据库的
SID
号进行指定,其实这个目录可以任意指定
$mkdir -p oradata/szdb/standbyarchive
#
如果主服务器有可能作为备用服务器,则建立该目录
[oracle@cqcncdb szdb]$ sqlplus /nolog
SQL> conn / as sysdba;
Connected.
SQL> startup mount;
SQL> alter database archivelog;
SQL> archive log start;
SQL> archive log list;
SQL> alter database open;
SQL> alter system set LOG_ARCHIVE_DEST_1='LOCATION=/oracle/oradata/szdb/archive';
# /oracle/oradata/szdb/archive
必须和前面
mkdir -p oradata/szdb/archive
操作建立的路径一模一样
SQL> alter system set log_archive_format='%t_%s.dbf' scope=spfile;
SQL> alter system set log_archive_start=true scope=spfile;
重新启动数据库,使修改结果生效
SQL> shutdown immediate;
察看归档模式
SQL> startup
SQL> archive log list;
Database log mode
Archive Mode
Automatic archival
Enabled
Archive destination
/oracle/oradata/szdb/archive
Oldest online log sequence
565
Next log sequence to archive
567
Current log sequence
567
以上
alter system set
操作会在数据库的
spfile@sid.ora
和
init@sid.ora
文件中新增以下参数
*.log_archive_dest_1='LOCATION=/oracle/oradata/szdb/archive'
*.log_archive_format='%t_%s.dbf'
*.log_archive_start=TRUE
注意:
*.log_archive_dest_1
定义的文件夹必须是实际存在的,并且
oracle
用户是有写权限的
注:
@sid
代表数据库的实际
sid
号,比如在这次实际操作中这两个文件名就是
spfileszdb.ora
、
initszdb.ora
6)
恢复:
SQL> SHUTDOWN ABORT
将备份的
undo01.dbf copy
回去
SQL> STARTUP MOUNT SQL> recover database(
或者
recover datafile 19//
或者
recover'D:\ORACLE\ORADATA\test\UNDO01.DBF') SQL> alter database open;
如果是先确定归档模式
,
可以先删除数据进行恢复
,
alter database create datafile 'D:\ORACLE\ORADATA\ORA8I\TABLE_DATA.DBF'
否则
,
数据文件不可丢
.
是不是很难准确地分配不同的池所需的内存数?自动共享内存管理特性使得自动将内存分配到最需要的地方去成为可能。
无论您是一个刚入门的 DBA 还是一个经验丰富的 DBA,您肯定至少看到过一次类似以下的错误:
ORA-04031:unable to allocate 2216 bytes of shared memory ("shared pool"... ...
或者这种错误:
ORA-04031:unable to allocate XXXX bytes of shared memory
("large pool","unknown object","session heap","frame")
或者可能这种错误:
ORA-04031:unable to allocate bytes of shared memory ("shared pool",
"unknown object","joxlod:init h", "JOX:ioc_allocate_pal")
第一种错误的原因很明显:分配给共享池的内存不足以满足用户请求。(在某些情况下,原因可能不是池本身的大小,而是未使用绑定变量导致的过多分析造成的碎片,这是我很喜欢的一个主题;但目前让我们把重点放在手头的问题上。)其它的错误分别来自大型池和 Java 池的空间不足。
您需要解决这些错误情况,而不作任何与应用程序相关的修改。那么有哪些方案可选呢?问题是如何在 Oracle 例程所需的所有池之间划分可用的内存。馅饼怎么分?正如您所了解的,一个 Oracle 例程的系统全局区域 (SGA) 包含几个内存区域(包括缓冲高速缓存、共享池、Java 池、大型池和重做日志缓冲)。这些池在操作系统的内存空间中占据了固定的内存数;它们的大小由 DBA 在初始化参数文件中指定。这四个池(数据库块缓冲高速缓存、共享池、Java 池和大型池)几乎占据了 SGA 中所有的空间。(与其它区域相比,重做日志缓冲没有占据多少空间,对我们这里的讨论无关紧要。)作为 DBA,您必须确保它们各自的内存分配是充足的。假定您决定了这些池的值分别是 2GB、1GB、1GB 和 1GB。您将设置以下初始化参数来为数据库例程规定池的大小。db_cache_size = 2g
shared_pool_size = 1g
large_pool_size = 1g
java_pool_size = 1g
现在,仔细看一下这些参数。坦白讲,这些值是否准确?我相信您一定会有疑虑。在实际中,没有人能够为这些池指定确切的内存数 — 它们太依赖于数据库内部的处理,而处理的特性随时在变化。下面是一个示例场景。假定您有一个典型的、大部分属于 OLTP 的数据库,并且为缓冲高速缓存分配的专用内存比为纯 OLTP 数据库(现在已经很少见了)分配的要少。有一天,您的用户放开了一些非常大的全表扫描,以创建当天的结束报表。Oracle9i 数据库为您提供了在线修改内存分配的功能,但由于提供的总物理内存有限,您决定从大型池和 Java 池中取出一些内存:alter system set db_cache_size = 3g scope=memory;
alter system set large_pool_size = 512m scope=memory;
alter system set java_pool_size = 512m scope=memory;
这个解决方案能够很好地工作一段时间,但是接着夜间的 RMAN 作业(它们使用大型池)开始了,大型池将立即出现内存不足。同样,您从数据库高速缓存中取出一些内存来补充大型池,以挽救这种局面。RMAN 作业完成,然后启动一个广泛使用 Java 的批处理程序,接着您开始看到与 Java 池相关的错误。因此,您(再次)重新分配池,以满足 Java 池和数据库高速缓存上的内存需求:alter system set db_cache_size = 2G scope=memory;
alter system set large_pool_size = 512M scope=memory;
alter system set java_pool_size = 1.5G scope=memory;
第二天早上,OLTP 作业恢复在线,这个循环又完全重复!解决这种恶性循环的一种替代方法是永久设置每个池的最大需求。不过,这么做的话,您分配的总的 SGA 可能超出可用的内存 — 从而在为每个池分配的内存数不足时,将增加交换和分页的风险。人工重新分配的方法(虽然不实际)目前看起来很不错。另一种替代方法是将值设为可接受的最小值。不过,当需求增长且内存不能完全满足时,性能将受到影响。注意在所有这些示例中,分配给 SGA 的总内存保持不变,而池之间的内存分配根据即时的需求进行修改。如果 RDBMS 将自动探测来自用户的需求并相应地重新分布内存分配,那不是很好吗?Oracle 数据库 10g 中的自动共享内存管理特性正好能够实现这一目的。您可以决定 SGA 的总大小,然后设置一个名称为 SGA_TARGET 的参数,这个参数决定 SGA 的总大小。SGA 内部的各个池将根据工作负载动态地进行配置。实现自动内存分配仅仅需要 SGA_TARGET 参数的一个非零值。设置自动共享内存管理让我们看看该特性是如何工作的。首先,确定 SGA 的总大小。您可以通过确定现在分配了多少内存来估计这个值。SQL> select sum(value)/1024/1024 from v$sga;
SUM(VALUE)/1024/1024
--------------------
500 此时 SGA 的当前总大小近似为 500MB,并且这个值将变为 SGA_TARGET 的值。接下来,执行语句:alter system set sga_target = 500M scope=both;
这种方法不需要为各个池设置不同值;因而,您将需要在参数文件中使它们的值为零或全部删除它们。shared_pool_size = 0
large_pool_size = 0
java_pool_size = 0
db_cache_size = 0
再循环数据库,使这些值生效。这个人工过程还可以通过 Enterprise Manager 10g 实施。从数据库主页中,选择 "Administration" 选项卡,然后选择 "Memory Parameters"。对于人工配置的内存参数,将显示标记为 "Enable" 的按钮,以及所有人工配置的池的值。单击 "Enable" 按钮,启用自动共享内存管理特性。企业管理器将完成剩下的工作。在配置了自动内存分配之后,您可以利用以下命令检查它们的大小:SQL> select current_size from v$buffer_pool;
CURRENT_SIZE
------------
340
SQL> select pool, sum(bytes)/1024/1024 Mbytes from v$sgastat group by pool;
POOL MBYTES
------------ ----------
java pool 4
large pool 4
shared pool 148 正如您所看到的,所有的池都从 500MB 的总目标大小中自动进行分配。(参见图 1。)缓冲高速缓存大小是 340MB,Java 池是 4MB,大型池是 4MB,共享池是 148MB。它们合起来总的大小为 (340+4+4+148=) 496MB,近似与 500MB 的目标 SGA 的大小相同。
图 1:池的初始分配现在假定提供给 Oracle 的主机内存从 500MB 减少为 300MB,这意味着我们必须减少总 SGA 的大小。我们可以通过减小目标 SGA 大小来反映这种变化。 alter system set sga_target = 300M scope=both;
现在查看各个池,我们可以看到:SQL> select current_size from v$buffer_pool;
CURRENT_SIZE
------------
244
SQL> select pool, sum(bytes)/1024/1024 Mbytes from v$sgastat group by pool;
POOL MBYTES
------------ ----------
java pool 4
large pool 4
shared pool 44
占用的总大小是 240+4+4+44 = 296MB,接近于目标的 300MB。注意如图 2 所示,当 SGA_TARGET 改变时,如何自动重新分配池。图 2:在将 SGA 大小减少到 300MB 之后重新分配池这些池的大小是动态的。池将根据工作负载扩展,以容纳需求的增长,或缩小以容纳另一个池的扩展。这种扩展或缩小自动发生,无需 DBA 的干预,这与本文开头的示例不同。让我们暂时返回到那个场景,假定在初始分配后,RMAN 作业启动,指示需要一个更大的大型池,大型池将从 4MB 扩展到 40MB,以容纳需求。这个额外的 36MB 将从数据库缓冲中划出,数据库块缓冲将缩小,如图 3 所示。 图 3:在对大型池的需求增长之后经过重新分配的池池的大小变化基于系统上的工作负载,因此不需要为最坏的情况调整池的大小 — 它们将根据需求的增长自动调整。此外,SGA 的总大小始终在由 SGA_TARGET 指定的最大值之内,因此不存在使内存需求的增长比例失调(这将导致分页和交换)的风险。您可以动态地将 SGA_TARGET 增加至绝对最大值,这个绝对最大值是通过调整参数 SGA_MAX_SIZE 指定的。 哪些池不受影响?SGA 中的一些池不受动态大小调整的影响,但是必须显式指定这些池。其中值得注意的是非标准块大小的缓冲池,以及 KEEP 池或 RECYCLE 池的非默认块大小。如果您的数据库有一个块大小为 8K,而您想要配置 2K、4K、16K 和 32K 块大小的池,那么您必须手动设置它们。它们的大小将保持不变;它们将不会根据负载缩小或扩展。当使用多种大小的缓冲池、KEEP 池和 RECYCLE 池时,您应当考虑这个因素。此外,日志缓冲不受内存调整的影响 — 不管工作负载如何,在参数 log_buffer 中设定的值是不变的。( 在 10g 中,还可以在 SGA 中定义一种新的池:流池 (stream pool),它用参数 streams_pool_size 进行设置。该池也不受自动内存调整的影响。)这就产生了一个有趣的问题。如果您需要一个非默认块大小的池,而且想自动管理其它的池,那么该怎么办? 如果您指定了这些非自动调整的参数中的任意一个(如 db_2k_cache_size),那么它们的总大小将从 SGA_TARGET 值中减去,以计算自动调整的参数值,以使 SGA 的总大小保持不变。例如,假设值看起来像这样:sga_target = 500M
db_2k_cache_size = 50M
其余的池参数未设置。50MB 的 2KB 缓冲池为自动调整的池(如默认块大小缓冲池 (db_cache_size)、共享池、Java 池和大型池)保留了 450MB。当以一种方法动态地调整不可自动调整的参数(如 2KB 块大小池)——这种方法将影响到可自动调整部分的大小,可自动调整的部分将重新调整。例如,将 db_2k_cache_size 的值从 50MB 提高到 100MB 只为可自动调整的参数剩余 400MB。因此,如图 4 所示,可调整的池(如共享池、大型池、Java 池和默认缓冲池)自动缩小,以将它们的总大小从 450MB 减少到 400MB。图 4:配置非自动缓冲参数的效果但如果您有足够的可用内存,或者上述风险可能不是那么明显,那应该怎么办?如果这样的话,您可以通过不指定参数文件中的参数 SGA_TARGET、通过在文件中将其设为 0,或者通过使用 ALTER SYSTEM 动态地将其修改为 0 来关闭自动大小调整。当 SGA_TARGET 被设为 0 时,池的当前值被自动设为它们的参数。使用 Enterprise Manager 您还可以使用 Enterprise Manager 10g 来处理这些参数。从数据库主页中单击超链接 "Memory Parameters",这将显示一个类似于图 5 中的屏幕。图 5:在 Enterprise Manager 中调整自动共享内存管理注意红圈中的项目:数据库在 Automatic Shared Memory Management 模式下运行,总大小为 564MB — 与在参数 SGA_TARGET 中指定的值相同。您可以在此修改它,然后单击 Apply 按钮接受这些值;可调整的参数将自动调整。
为每个池指定一个最小值假定您将 SGA_TARGET 设为 600MB,并且各个池已自动分配:
池 | 大小 (MB) | 缓冲池 | 404 | Java 池 | 4 | 大型池 | 4 | 共享池 | 148 |
看看上述值,您可能推断 4MB 的 Java 池和大型池可能有点不足;这个值在运行时无疑需要增加。因此,您可能想确保这些池至少在最初时具有更高的值,比如说,分别为 8MB 和 16MB。您可以通过在参数文件中显式地指定这些池的值或动态使用 ALTER SYSTEM 来实现这一目的(如下所示)。 alter system set large_pool_size = 16M;
alter system set java_pool_size = 8M;
现在查看这些池,您可以看到:SQL> select pool, sum(bytes)/1024/1024 Mbytes from v$sgastat group by pool;
POOL MBYTES
------------ ----------
java pool 8
large pool 16
shared pool 148
SQL> select current_size from v$buffer_pool;
CURRENT_SIZE
------------
388
池的重新分配显示如下:
池 | 大小 (MB) | 缓冲池 | 388 | Java 池 | 8 | 大型池 | 16 | 共享池 | 148 |
注意 Java 池和大型池是如何分别被重新配置为 8MB 和 16MB,并且注意为了使总的 SGA 保持在 600MB 以下,缓冲池已从 404MB 减少为 388MB。当然,这些池仍然由自动共享内存管理控制 — 它们的大小将根据需求缩小或扩展。您显式指定的值为池的大小设定了一个下限;它们将永远不会缩小到低于这个界限。结论Oracle SGA 中的各种池的内存需求不是静态的 — 相反,它们根据系统上的需求而变化。Oracle 数据库 10g 中的自动共享内存管理特性通过动态地将资源重新分配到最需要它们的地方同时施加一个指定的最大值以防止分页和交换,使得 DBA 能够更有效地管理系统内存。更有效的内存管理还带来了更少的内存需求,这使得更精简的硬件更加可行。
1 如何看ROUTER的CPU利用率,一般在多少的范围是正常的? show proc cpu 一般来说不应超过80% 。 The Cisco routers are not overutilized. (5-minute CPU utilization under 75%) 2 求助!CISCO ROUTER 如何用PC(WIN95)用TFTP传文件。 在win95端安装一个TFTP软件。 在cisco端需要键入TFTP地址时,写你win95的地址就可。 tftp还是不要用CISCO自己的那个的好,非常容易死机的,连CISCO的工程师都不喜欢用,很多都是用walusoft的tftp pro 3.x,稳定很多。 3 内部网192.168.200.X; 路由器WAN口IP地址为202.44.0.148 ;我将192.168.200.10.-192.168.200.254做单向NAT指向202.44.0.148 ; 192.168.200.10以内为服务器,他们单独做双向NAT与各自真地址绑定。以上情况,我用3COM路由器好做,主要是192.168.200.10-192.168.200.254 这段地址,用CISCO的路由器如何配置? 在CISCO路由器上,你可以用Translate Inside Source Addresses 的方法将你的服务器与真地址绑定。 10-254的地址可以用Overloading Inside Global address的办法(设个IP POOL)。 4 请问在同一台CISCO交换机上能否设置多个TRUNK? 当然可以了 5 在路由器和交换机之间如何同步时间? 起NTP 6 双绞线和同轴电缆最远能连多少米? 10BaseT and 100BaseT (Star) 100 from hub to station 10Base5 (Bus) 500 10Base2 (Bus) 185 加中继可以延长,四个网段和三个中继器(有源) 所以,细缆:4*185;粗缆:4*500;对绞线:4*100(最少) 我记得好像可以5*185/500/100 7 我的cisco2511的e0口的collision 和 deferred 的数目增张得很快, 不到一天的时间,collision 与 deferred就分别增到了 7300 与 2300 的大数,在这一天的时间段内,我lan PC上网有时很慢,不知这collision 和deferred 是否是正常的,他是否对lan的上网速度有时间段的影响? 还有就是,LAN上的server网卡的carri及colli也是增得较大的。不知这与 什么有关呢? 请指点。 谢谢。 估计微机数量较多,传送数据较频繁,导致冲突增大 当E0口上接较多PC时就会这样,这说明利用率高,正常! 8 谁有Cisco1603通过ISDN上163的例子? isdn switch-type是isdn交换机的类型,在广东的话应该是primary-net5, spid是系统配置id号,是交换机必须要有的,我想1600这个是肯定要佩的吧? 你给你的bri 0口配了ppp嘛?你的isdn无法连接也有可能是电信局的关系哦 这是一个2503拨号ISDN上163的一个配置文件。地点是哈尔滨 User Access Verification Password: Router>en Password: Router#sh runn Building configuration... Current configuration: ! version 11.3 no service password-encryption ! hostname Router ! enable password ******* ! ip nat inside source list 1 interface Dialer0 overload isdn switch-type basic-net3 ! ! interface Ethernet0 ip address 192.168.1.34 255.255.255.0 secondary ip address *.*.*.* 255.255.255.224 ip access-group 102 in ip nat inside no cdp enable ! interface Serial0 ip address *.*.*.* 255.255.255.252 ip access-group 2 in ip nat outside no cdp enable ! interface Serial1 no ip address shutdown ! interface BRI0 no ip address encapsulation ppp dialer pool-member 1 ! interface Dialer0 ip address negotiated ip nat outside encapsulation ppp bandwidth 64 no keepalive dialer remote-name rtr2-a-1-hlhr.hl.cn.net dialer string 163 class 163map dialer load-threshold 64 either dialer pool 1 dialer-group 1 ppp authentication pap callin ppp pap sent-username pmodernjd password 7 00131A08560B5B56 ppp multilink ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer0 ! ! map-class dialer 163map dialer idle-timeout 60 dialer fast-idle 30 dialer enable-timeout 1 no logging buffered no logging trap access-list 1 permit 192.168.1.0 0.0.0.255 access-list 2 deny 192.168.1.0 0.0.0.255 access-list 2 permit any access-list 101 deny ip any host 151.196.194.123 access-list 101 deny ip any host 209.1.144.192 access-list 101 permit ip any any access-list 102 deny udp host 192.168.1.103 host 202.97.224.68 access-list 102 permit ip any any access-list 103 deny ip any 0.0.0.255 255.255.255.0 access-list 103 permit ip any any dialer-list 1 protocol ip list 103 ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 access-class 1 in password cw1990 login ! end Router#sh start Using 1508 out of 32762 bytes ! version 11.3 no service password-encryption ! hostname Router ! enable password modernjd ! ip nat inside source list 1 interface BRI0 overload isdn switch-type basic-net3 ! ! interface Ethernet0 ip address 192.168.1.34 255.255.255.0 secondary ip address 202.97.251.34 255.255.255.224 ip access-group 102 in ip nat inside no cdp enable ! interface Serial0 ip address 202.97.240.214 255.255.255.252 ip access-group 2 in ip nat outside no cdp enable ! interface Serial1 no ip address shutdown ! interface BRI0 ip address negotiated ip nat outside encapsulation ppp no keepalive dialer idle-timeout 60 dialer fast-idle 30 dialer enable-timeout 1 dialer string 163 dialer load-threshold 128 either dialer-group 1 no cdp enable ppp authentication pap callin ppp pap sent-username pmodernjd password 7 071828421C594955 ppp multilink ! ip classless ip route 0.0.0.0 0.0.0.0 BRI0 ! no logging buffered no logging trap no logging trap access-list 1 permit 192.168.1.0 0.0.0.255 access-list 2 deny 192.168.1.0 0.0.0.255 access-list 2 permit any access-list 101 deny ip any host 151.196.194.123 access-list 101 deny ip any host 209.1.144.192 access-list 101 permit ip any any access-list 102 deny udp host 192.168.1.103 host 202.97.224.68 access-list 102 permit ip any any access-list 103 deny ip any 0.0.0.255 255.255.255.0 access-list 103 permit ip any any dialer-list 1 protocol ip list 103 ! line con 0 exec-timeout 0 0 line aux 0 line vty 0 4 acce
1 局域网通过DDN互联,可以不用路由器吗? 实际上,是可以的,但是你不可能使用微机自己的COM口,串口是跑异步通信的,你使用DDN/DTU用的是同步信号,所以不行,需要单独购买接口卡(支持DDN)的,IP协议的,并且需要管理软件。 DDN线路可以是同步的,我都申请过N次了;DTU的A/B口也是同步/异步可选的,这由网管来设。 做的广域网当中,就有利用异步DDN线路通过DTU接到计算机串口上(一般来 ,计算机串口最大支持115.2K的异步速率),再通过NT的NULL MODEM利用 AS来连通两台NT的。 2 路由器中的Wildcard是什么意思? 相当于 netmask 取反操作。 类是,主要在accesslist哩使用.0位为不考虑位.1则... 3 cisco4500,删了flash,更倒霉的是删了bootflash,现在机器只能在rommon>状态,我手头已有IOS,怎么上传上去?4500的rom monitor不支持tftpdnld,不支持xmodem? 你和我一样的-倒霉,我前几天有过此事,不过我是3640, 我可以说说我的办法,但不知能不能在4500上使用。 1、我使用是win95的超级终端,把IOS放在超级终端的目录下,记住名字; 2、通过console使用超级终端,包两端的数率调到115200; 3、你应该可以在rommom下发现有xmodem或ymodem命令, 一般为:xmodem -rc c4500flash 参数要设为纠错的, 4、在超级终端发送文件c4500flash; 如果你的运气好,你会在2分钟之内发现已经在传送了。 5、传完后,系统会加载。 为了保险,传完后,系统起来,你要注意系统在ram中,并不在flash里,所以你有必要把IOS copy到flash中。 4 我用一台2501的AUX口接上一个普通33。6MODEM拨号到一台2509上 ,结果从2501上PING百分百成功。但从连接2501的局域网PING2509的时候 ,2个包丢一个,请问那位高手能指点指点! 重复路由的问题.你可先设一个静态路由到2509的. 5 我有两个LAN想通过一对路由器和一对专线MODEM连接起来, 假设LAN1服务器的IP为1.1.1.1,子网掩码为255.255.255.0 LAN2服务器的IP为1.1.2.1,子网掩码为255.255.255.0 应该怎样设置两个路由器的以太IP地址和子网掩码以及Serial0的IP地址和子网掩码,我设置了半天,以太可以UP,但Serial0怎样也UP不起来:< serial口只有在物理线路(DDN、PSTN)连接好后才UP 6 那位大虾会建电信级的VPN,基本全部采用CISCO的设备。 根据Cisco公司的材料,它的VPN的方案主要是用"VPN enabled Router" (1000、1600、2500、4500、4700)和"VPN optimized Router"(800、 1720、2600、3600、7200、7500)的路由器组建电信级和面向专线用户的 VPN和面向拨号用户的VPDN。首先是要求IOS版本升级和加密模块升级。另外,据Cisco公司介绍有相应的VPN管理软件,但北京Cisco公司说此软件还为正式Release。所以,现在Cisco的VPN配置的手工配置工作量很大。 另一种更简单的方法是用CISCO的广域网交换机加上MPLS协议,这样可省掉大量的配置时间,具体的设备及配置方法你可以尽量参观CISCO北京的室验室,以上的演示环境前天刚做好,是CISCO的Andy Li主持的. 7 一台cisco2522,想在一异步口上接Moden(33.6K),通过电话拨号上网,请教各位,需对路由器作那些设置,具体设置步骤。谢谢! 配置用户名与密码: username <用户名> password 对同步口配置: physical-layer async ip unnumbered ethernet?(你的LAN口地址) ip tcp header-compression passive encapsulation ppp async mode dedicated peer default ip address pool dialer-group-1 ppp authentication chap 配置一个拨号组(如你愿意), interface Dialer1 ip unnumbered (ethernet同上) encapsulation ppp dialer-group 1 peer default ip address pool dialer-group-1 ppp authentication chap 为你的拨号用户提供的IP地址池: ip local pool dialer-group-1 10.1.1.1 10.1.1.9 设置你的modem口: 一般: line 2 8 modem InOut transport input all speed 115200 flowcontrol hardware 8 请教一个问题。网络结构如下: 2501 2501 Computer--Router--DTU---DDN---DTU--Router--Computer | | | | modem---------PSTN---------modem 问题是拨号备份如何在路由器中设置?是否要专用的Modem?是否占用电话线(每个Modem要占用一条电话线)? 认为必须固定占用一条外线才能实现拨号认证,至于路由器上实现备份认证是靠命令radius-server,它不识别物理连接。我建议你使用ISDN作为备份,如果一定要使用modem真是一个挺悲惨的事实。 如果使用PSTN的话,不用专用的modem,一般象我公司曾使用的是hayes336的modem。每个modem应要一条线路,尤其注意在配置modem对话时要小心chat-script中的内容,我们失败了不少次。 现在多用ISDN备份DDN如ROUTER上有BRI模块可直接配置,不须MODEM,若用电话线则须猫. PSTN的备份非常麻烦!记得当时我的2501 IOS不支持MODEM AUTOCONFIG命令,搞得我一个星期都没调通,得承受BOSS多大的压力呀! 另外,有些地方开有电话专线,这样申请电话专线的话比较好。 CISCO系列的路由器在PSTN中是通过在双方路由器中定义用户名来进行身份验证的: USERNAME AAA PASSWORD AAA USERNAME BBB PASSWORD BBB .... .... RADIUS-SERVER只是验证拨号上网用户用的 推荐使用ISDN线路备份,速度有快! 9 我有一个2511,但是没有计算机对路由器的控制线,有谁知道2511上的CONSOLE PORT与计算机的COM之间线的连接情况? console------com 1-------------5 2-------------6,8 3-------------3 4,5-----------7 6-------------2 7-------------20 8-------------8 10 一个完美的删除操作,使我的flash中的IOS被删除,开机只能进入rommom状态,没有发现有备份的IOS和别的系统,如何重新倒入系统, 我在tftp上有IOS和配置, 据说可以使用xmodem方式,不知如何实现。 http://www.cisco.com/warp/public/471/76.html 也可以用confreg命令将console口设为115200然后再用xmodem命令在ROMMOM状态打入copy tftp flash应该可以下载tftp server上的IOS. 11 我用2511的异步口接了8个MODEM,拨通后出现正在验证用户名与密码,等待一段时间后断开. 拨号网络设置问题,MODEM属性里选项部分要选择拨号后出现终端窗口,或制做一个脚本。 12 在CISCO 2514上不设"IP SUBNET-ZERO",ethernet interface的掩码就设不上去(255.255.255.192),IP address and subnet mask是市电分配的,应该没错,不设行吗? 原因是这样的: 比如对网络202.38.64.0按255.255.255.192分成4个网段, 则分别为202.38.64.0, 202.38.64.64, 202.38.64.128 ,202.38.64.192 但是202.38.64.0的子网网络地址为202.38.64.0跟202.38.64.0一样, 202.38.64.192的子网广播地质为202.38.64.255, 跟202.38.64.0的广播地质一样. 也就是说分不清202.38.64.0/255.255.255.192的网络地质跟202.38.64.192/255.255.255.192的广播地质, 因此缺省在IOS中, 两头的子网是不给用的, 想用的话就是 要用命令 ip subnet-zero 13 在Router上PING对端Router地址,简单的PING可以通过("ping x.x.x.x"),出现!!!!!,但加上source IP(ethernet ip)去PING, 总是一次通一次断:!.!.!.!.!.!.!.!,traceroute对端IP发现data packet不是从对端直接返回,而是在外面兜了个圈才回来, 导致的结果:Ethernet网段访问INTERNET时通时断, God,how to resolve it? 关于Q2, 可能是对方的问题, 我们曾经不小心在路由器上设了两个同样的地质就出过类似的错. 14 用CISCO 2511做接入服务器,拨号正常,但用户接入后不能通过默认网关访问外部服务器? The Route table should be added in the Cisco 2511 I think. 在async口interface上加上ip unnumbered E 0 lobla加上ip classless. 15 CISCO 2509的故障现象: 拨号后,出现拨号后终端窗口,无USERNAME,PASSWORD提示。按F7继续,则显示检验用户名口令,登录。上去后,无法与服务器连接。 哪位大侠能否讲讲关于用户审计方面的原理,设置方法,注意事项! 异步口配置中async mode dedicated 改为async mode interactive,进入后在router>提示下输入ppp命令。 (1) 需要拨号后终端屏幕 (2) 需要username及password (3) 自动PPP username david password xxxxxx
网际协议安全(IPSecurity) IPSec 作为安全网络的长期方向,是基于密码学的保护服务和安全协议的套件。因为它不需要更改应用程序或协议,您可以很容易地给现有网络部署 IPSec。IPSec 对使用 L2TP 协议的 VPN 连接提供机器级身份验证和数据加密。在保护密码和数据的 L2TP 连接建立之前,IPSec 在计算机及其远程隧道服务器之间进行协商。 安全规则 安全规则就是对你计算机所使用局域网、互联网的内制协议设置,从而达到系统的最佳安全状态。 网络入侵(hacking) 具有熟练的编写和调试计算机程序的技巧,并使用这些技巧来获得非法或未授权的网络或文件访问,入侵进入公司内部网的行文。 早先将对计算机的非授权访问称为破解(cracking),而hacking则指那些熟练运用计算机的高手对计算机技术的运用。而随着时间的推移,媒体宣传导致了hacking变成了入侵的含义。现在hacker则称为诸如Linus Torvalds (Linux之父)、Tim Berners-Lee (现代WWW之父)及偷窃网络信息等犯罪者的同义词。 Arp 显示和修改“地址解析协议”(ARP) 所使用的到以太网的 IP 或令牌环物理地址翻译表。该命令只有在安装了 TCP/IP 协议之后才可用。 嗅探器(snifffer) 就是能够捕获网络报文的设备。嗅探器的正当用处在于分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。嗅探器在功能和 设计方面有很多不同。有些只能分析一种协议,而另一些可能能够分析几百种协议。 UUCP系统 UUCP系统是一组程序,完成文件传输,执行系统之间的命令,维护系统使用情况的统计,保护安全.UUCP是UNIX系统最广泛使用的网络实用系统,这其中在两个原因:第一,UUCP是各种UNIX版本都可用的唯一的标准网络系统,第二,UUCP是最便宜 的网络系统.只需要一根电缆连接两个系统,然后就可建立UUCP.如果需要在相距数百或数千公里远的两个系统间传输数据,中需要两个具有拨号功能的调制解调器. sniffit 是一个有名的网络端口探测器,你可以配置它在后台运行以检测哪些Tcp/ip端口上用户的输入/输出信息。最常用的功能是攻击者可以用它来检测你的23(telnet)和110(pop3)端口上的数据传送以轻松得到你的登录口令和mail帐号密码,sniffit基本上是被破坏者所利用的工具,但是既然想知道如何增强你的站点的安全性,首先你应该 知晓闯入者们所使用的各种工具。 Smurf (directed broadcast)。广播信息可以通过一定的手段(通过广播地址或其他机制)发送到整个网络中的机器。当某台机器使用广播地址发送一个ICMP echo请求包时(例如PING),一些系统会回应一个ICMP echo回应包,也就是说,发送一个包会收到许多的响应包。Smurf攻击就是使用这个原理来进行的,当然,它还需要一个假冒的源地址。也就是说在网络中发送源地址为要攻击主机的地址,目的地址为广播地址的包,会使许多的系统响应发送大量的信息给被攻击主 机(因为他的地址被攻击者假冒了)。使用网络发送一个包而引出大量回应的方式也被叫做放大器,这些smurf放大器可以www.netscan.org网站上获得,一些无能的且不负责任的网站仍有很多的这种漏洞。
密码技巧描述 经常更改密码----- 您使用的密码的时间越长,丢失密码的危险越大。 使用好的密码----- 不要使用人、地点或其它能表示您的名称做密码。 不要暴露密码----- 您的密码与所保护的信息价值相同。 检查您的数据----- 如果怀疑有人已经篡改了您的文件,立即报告。 不要使终端处于无人职守的状态----- 离开时,总是注销或锁定您的终端。 对计算机可疑的滥用情况进行报告----- 不管是否针对于您,滥用或误用计算机资源只能拖延您按时完成任务。 密码 一个用来检查对系统或数据未经验证访问的安全性的术语或短语。在选择密码时,请考虑这些提示. PAP 密码验证协议(PAP)是用于登录网络的基本访问控制协议。服务器上存储了用户名和密码表。当用户登录时,PAP 向服务器发送用户名和密码,以供验证。CHAP 也提供同样的功能,但在发送前,要对用户名和密码进行加密。 操作系统 运行计算机的主要控制程序。操作系统是打开计算机后,加载的第一个程序,而它的主要部分,称做内核,一直驻留在内存中。 它既可以由计算机供应商提供,也可以由第三方提供。 操作系统由于设置了运行在系统上的应用程序的标准,因此是计算机系统的重要组件。所有程序必须与操作系统共同运行。 操作系统与网络操作系统的主要区别是其多用户性能。如 DOS 和 Windows 95 等操作系统是单用户的,是供单用户在桌面计算机使用的。Windows NT 和 Unix 是网络操作系统,它们是用来同时管理多个用户请求的。 NetBus NetBus 是一种用于 Windows 95 和 Windows NT 的 后门程序,据 NetBus Web 页面所述,攻击者能对您的机器执行以下操作: 打开/关闭 CD-ROM。 显示 BMP/JPG 格式的图象。 切换鼠标按钮。 启动应用程序。 播放 .wav 音频文件。 控制鼠标。 显示不同类型的消息。 关闭 Windows。 下载文件。 转至 Internet 上的 URL 目标。 监听并发送击键。 捕获屏幕图象。 增大或减小音量。 用麦克风录制声音。 上传文件。 每次按下键时,发出敲击的声音。 如果发现了 NetBus,应立刻去除。 NetBIOS 网络基本输入/输出系统是针对 PC 局域网的网络协议。 NetBIOS 通常用于一个网段或公司中,但若没有其他协议的帮助将无法通过路由器实现数据传输。 一般来说 NetBIOS 地址就是计算机的名称,因此简化了连网和从用户处进行寻址的任务。 NetBIOS 提供会话并传输服务(OSI 模型 的第 4 层和第 5 层),但是不提供通过网络传输的标准格式。 NetBIOS 的不同实现已经正式集成到 NetBEUI 中,用于所有支持连网的 Windows 操作系统。 LDAP 轻量级目录访问协议(Lightweight Directory Access Protocol)。一个使用 Web 浏览器和与 LDAP 兼容的电子邮件程序访问在线目录服务的协议。一些人可能希望 LDAP 提供搜索 Internet 上的电子邮件地址的通用方法,最终带来一个全球性的白页。 LDAP 在 Internet Engineering Task Force (IETF) 中定义,以推动对 X.500 目录的采用。LDAP 是一种相对简单的协议,它用于更新和搜索基于 TCP/IP 运行的目录。对于简单的 Internet 客户机的使用来说,LDAP 以前的“目录访问协议 (DAP)”太复杂。 LDAP 目录项是带有名称的属性集合。称为识别名称 (DN)。DN 清楚的指明是项目。 各项目的属性包括一个类型和一个或更多值。这些类型通常是有助于记忆的字符串,如 cn 指常见名称,或 mail 指电子邮件地址。值取决于类型。 LDAP 目录项以一种等级结构排列,它反映了政治的、地理的、和/或组织边界。代表国家的项出现在该树的最顶端,随后是代表州或国家组织的项,然后是代表民族、组织单位、打印机和文档等的项。 Land 攻击 land 攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。 KDC Key Distribution Centers (KDCs) 发行 Kerberos 票。每一个 KDC 包含 Kerberos 数据库的一个副本。主 KDC 包含数据库的主副本,它以固定的间隔向从 KDC 复制自身。所有的数据库更改(如密码更改)都作用于主 KDC。从 KDC 提供 Kerberos 票许可服务,但是没有数据库访问。这可使客户在主 KDC 不可用时持续获得票。 前缀扫描攻击 黑客和攻击者可以利用军用拨号器(war-dialer)扫描调制调解器线路,这些调制解调器线路绕过网络防火墙,可以作为闯入系统的后门,最滑稽的事情是公司在安全软件上花了大量的钱财,到头来对各种攻击却仍然是门洞大开,其原因盖出于它忘记了保护它的所有调制解调器……。 特洛伊木马 特洛伊木马是一种看似合法的程序,实际上在其运行时执行不合法的活动。 该程序可用于查找密码信息,使系统出现更多漏洞、或者只是单纯破坏程序和硬盘数据。 引导型病毒 引导型病毒驻留于系统内存中,伺机传染所访问的每一张磁盘,直到机器重新启动。这类病毒是驻留内存的,因此,我们可以使用chkdsk命令查看系统内存,并观察正常的内存总量是否减少了几千字节,以确定系统是否感染有病毒。 分区型病毒 分区型病毒将硬盘的分区住处表转移到另外一个扇区,然后用自身的病毒代码代替原分区信息表,以此入侵硬盘。在读写软盘时,这类病毒可以从分区信息表传染到软盘的引导扇区。 黑客 是英文hacker的译音。在Internet上有一批熟谙网络技术的人,其中不乏网络天才,经常用网络上现存的一些漏洞,想方设法进入他人的计算机系统。有些人只是为了一饱眼福,或纯粹出于个人兴趣,喜欢探人隐私,这些人通常不会造成一些危害。但也有一 些人是存着不良动机侵入他人计算机系统的,通常会偷窥机密信息,或将其计算机系统捣毁。这部分人我们就称其为Internet上的 “黑客” CIH病毒 是迄今为止发现的最阴险的病毒之一。它发作时不仅破坏硬盘的引导区和分区表,而且破坏计算机系统flashBIOS芯片中的系统程序,导致主板损坏。CIH病毒是发现的首例直接破坏计算机系统硬件的病毒。 欺骗病毒 它被激活时,它会隐藏它对文件或引导记录所做的修改, 这种修改是通过监视系统功能来完成的,这种系统功能是用于从存储介质读取文件或扇区,并且伪装成调用了这种功能的结果。 这意味着所读取的被感染的文件和扇区似乎与未被感染的一样。因此病毒所做的修改可以不被反病毒程序检测到。然而,为了达到这一点,在反病毒程序被执行的时候,它必须驻留内存,所以通过这点,它可以被反病毒程序检测到。 计算机蠕虫 是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。蠕虫不需要将其自身附着到宿主程序。有两种类型的蠕虫---主机蠕虫与网络蠕虫。 主计算机蠕虫完全包含在他们运行的计算机中,并且使用网络的连接仅将其自身拷贝到其它的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止他自身。(因此在任意给定的时刻,只有一个蠕虫的拷贝运行) 这种蠕虫有时也叫“野兔”。 网络蠕虫由许多部分组成。而且每一个部分运行在不同的机器上 (可能进行不同的动作)并且使用网络来达到一些通信的目的。从一台机器上繁殖一部分到另一台机器上仅是那些目的的一种。网络蠕虫有一主段,这个主段与其他段的工作相协调匹配,有时叫做“章鱼”。 CERT 计算机应急小分队(Computer Emergency ResponseTeam)是由美国联邦政府资助专门研究计算机及网络安全的组织,它们随时提供最新发现的计算机及网络安全问题,并提供一些解决方法。 远程攻击 远程攻击是这样一种攻击,其攻击对象是攻击者还无法控制的计算机;也可以说,远程攻击是一种专门攻击除攻击者自己计算机以外的计算机(无论被攻击的计算机和攻击者位于同一子网还是有千里之遥)。“远程 计算机”此名词最确切的定义是:“一台远程计算机是这样一台机器,它不是你正在其上工作的平台,而是能利用某协议通过Internet网或任何其他网络介质被使用的计算机”。 幽灵病毒 幽灵病毒(又叫多形型病毒)是这样的病毒:它产生了与它自身不同的,但是操作可用的拷贝,其目的是希望病毒扫描程序将不能检测到所有的病毒的情况。 宏病毒 是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转到计算机上,并驻留在 Normal 模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。 隐形病毒 隐形病毒将其附加到文件或引导扇区中,但是检测宿主软件时,却显示正常无误。隐形病毒运行后即藏匿于内存中,然后玩起它的鬼把戏。在内存中病毒监控并截获系统的DOS调用。若系统想打开一个带毒文件,病毒会立刻“冲上前来”对文件解毒,允许DOS打开该文 件,一切均显正常。DOS关闭文件后,病毒进行相反的操作,重新将其感染。 变异型病毒 这类病毒内部包含一个加密子程序,借此帮助病毒躲避检查;另外还有一个解密程序,以使病毒在发作时得以复原。变异型病毒可以感染各种宿主软件。这类病
UID 用户身份证明(User Identification)的缩写。 在NFS中,UID (也拼做 uid)是文件所有者的用户 ID。 漏洞 漏洞是系统中的安全缺陷,漏洞可以导致入侵者获取信息并导致不正确的访问。 病毒 病毒是一种软件,它可以感染您的系统并将自己隐藏在现有的程序、系统或文档中。一旦执行了受感染的项目,病毒代码就被激活,并将自己发送给系统中的其它程序。受感染的项目又将病毒复制给其它项目。 VPN 虚拟专用网(VPN)是一种在公用网络中配置的专用网络。公共运营商 多年以来已经建立了许多 VPN,这些 VPN 对于客户而言,是一种专用的内部或外部网络,但实际上是与其它客户共享主干网。已经基于 X.25、Switched 56、帧中继和 ATM 构建了许多 VPN。现在的潮流是在 Internet 上构建 VPN。VPN 使用访问控制和加密在公共环境中保护隐私。 Windows NT 注册表漏洞 这一类型的漏洞允许攻击者远程访问 Windows NT 机器的注册表。可以检查 Windows NT Remote Access Service (RAS)、Local Security Authority (LSA)、自动登录、可更改的注册表文件关联、DCOM 权限、IP 转发、以及多种丢失的补丁程序。 Windows NT 用户漏洞 这一类型的漏洞允许用户通过检查可猜测的密码、遗失的密码、密码历史、不安全的策略、注销设置和锁定设置,从而检索 Windows NT 用户帐户和密码,达到访问系统的目的。 SYN 包 TCP连接的第一个包,非常小的一种数据包。SYN 攻击包括大量此类的包,由于这些包看上去来自实际不存在的站点,因此无法有效进行处理。每个机器的欺骗包都要花几秒钟进行尝苑娇煞牌峁┱O煊Α?BR> 文件型病毒 在数千种已知的病毒中,大多数属文件型,例如friday the 13th(黑色星期五)病毒。文件型病毒的传染机制是:将自身附加到其他文件上,宿主文件主要是以EXE或COM为扩展名的可执行文件。这类病毒可以修改宿主代码,将其自身代码插入到文件的任何位置,在某个时刻扰乱程序的正常执行过程,以使病毒代码在合法 程序之前被抢先执行。 SYS 用于诸如 admind 或 sadmind 等程序的认证安全级别。 在这个安全级别上,服务器从客户端系统收到初始的用户和组识别信息,并将它们用做验证检查。没有任何检查来确定用户的 UID 在服务器系统上代表同一个用户。这就是说,假定 Administrator 已经使 UID 和 GID 在网络中的所有系统中保持一致。要进行检查,以确定该用户有权限执行该请求。 TCP/IP 传输控制协议/Internet 协议。由美国国防部签约开发的一种用于内部网络系统的通讯协议。它实际上是 Unix 标准,作为一种 Internet 的协议,并被所有平台广泛支持。它也是一种常用的速记方式,指的是运行在 IP 上的传输和应用程序协议的集合。 TCP/IP 的 TCP 部分提供传输功能,保证发送的所有字节都能在另一端正确接收。TCP/IP 的 IP 部分提供路由机制。TCP/IP 是一个可路由的协议,这意味着所传输的信息包含目标网络的地址以及目标站。TCP/IP 消息可以发送到公司内部或全世界的多个网络,因此可以在 Internet 中使用。 超级用户 一个有不受限制的访问权限的计算机帐户,可以在计算机上执行任何操作。 SSL 加密套接字协议层(Secure Sockets Layer)是 Internet 上领先的安全协议。当 SSL 会话开始后,Web 浏览器将公共密钥发送给 Web 服务器,这样服务器可以很安全地将私人密钥发送给浏览器。浏览器和服务器在会话期间,用私人密钥加密交换数据。SSL 是由 Netscape 开发的,SSL 可能与由IETF提出的协议和验证方法并入名为 Transaction Layer Security (TLS) 的新协议。 Ssh Ssh (Secure Shell) 是一种程序,用于从网络登录到其他计算机、执行远程机器上的命令、以及将文件从一台计算机移到另一台计算机上。它提供了对于不安全频道的强身份验证和安全通信。它监听端口 22 的连接。 SshSsh 可以完全替代 rlogin、rsh、rcp 和 rdist。 在很多情况下,该程序可以替换 telnet。 Spoofing 假冒传输信息的发送地址,以非法进入安全系统。掠取或假冒另一个用户的 IP 地址通常剥夺了该用户使用该 IP 地址的权力。 SNMP 简单网络管理协议(Simple Network Management Protocol)广泛用于网络监视和控制协议。数据从 SNMP 代理发出,代理将每个网络设备(集线器、路由器、桥等等)的活动报告给监视整个网络的工作站控制台。代理返回的信息包含在 MIB (Management Information Base)中,MIB 是一个定义可从设备获取的以及可控制的(打开、关闭等等)的数据结构。SNMP 起源于 Unix,现在已经广泛用于所有主要平台上。 Sniffing 捕捉用于网络上其它机器的信息。Sniffing 是攻击者最长使用的攻击形式。 例如,可以配置 Ethernet 网中的机器以接收所有的包,不管其包头中的目的地如何。由于经常以明码方式传输帐户和密码信息,入侵者很容易攻击网络中的所有机器。 Shadow 密码 包含用户名和加密密码的文件。 防止用户读取其他用户的密码,但是需要合法访问的程序可访问阴影密码文件。 在 Unix 系统中,shadow 密码方案替代在密码文件框中的星号(*)或无意义的字符。 安全区域 在 Windows NT 和 Windows 95/98 中,当您使用网络或访问已认为是可信的 web 站点时,“安全区”提供对您的计算机和隐私的保护,而不用重复的警告中断您。公司“管理员”特征允许公司设置自动边界,因此用户不必使安全决策基于个例的基础。 根据指定 Web 站点的安全区域,Internet Explorer 4.x 提供不同级别的安全。例如,您很可能信任公司 intranet 中的站点,因此您很可能想允许所有类型的活动内容在此处运行。您可能对 Internet 中站点感觉不太信任,因此可以指定它们到“未信任”区,防止活动内容运行和防止代码下载到您的计算机。 关于“安全区”的更多信息,请参阅“Internet Explorer 功能概览”的“安全区交付能力和保护”,网址是:http://www.microsoft.com/ie/ie40/fe...s/sec-zones.htm 扫描 扫描运行扫描策略,执行检测系统中弱点和漏洞的检查。 RFC RFC(备注请求)是一个公开发表的文档,描述了建议的技术的规格说明。 Internet Engineering Task Force (IETF) 和其他的标准团体使用 RFC。RFC 可从很多来源获得,包括 http://www.yahoo.com/Computers_and_...Standards/RFCs/ 缓冲溢出 缓冲溢出指所传递参数的长度超出了某个函数所定义的范围。该函数没有校验参数的长度是否小于或等于其定义范围。然后将整个参数(过长)复制到一段长度很短的存储区域中,从而引起该函数的某部分存储区域被覆盖,通常是改变了参数栈/调用栈。 缓冲 指对数据进行处理之前或处理期间用于保存它们的一段存储区域。 强力攻击漏洞 这种类型的漏洞允许攻击者可以通过很多次的尝试轰击系统以进入该系统,常用的方法是通过使用各种可能的服务进行登录。这种方法基于假设用户不会经常更改他们的密码,或者使用了脆弱的密码,最终强力攻击将会破解这些密码。 后门 有时也称陷门。一种用于获得对程序或在线服务访问权限的秘密方式。它是由程序的开发者内置于程序中,通过它可以对特定的功能进行特殊的访问。例如,内置于操作系统中的某个后门可能会允许运行该操作系统的任何计算机进行不受限制的访问。 AUSCERT Australian Computer Emergency Response Team (AUSCERT) ,位于澳大利亚,为计算机社团解决计算机事故和预防提供可信任的单独服务。AUSCERT 的宗旨是减少安全攻击的可能性,减少组织的安全的直接成本,最小化由于成功的攻击而引发的安全风险。 AUSCERT 是 Incident Response and Security Teams (FIRST) 论坛的成员,并和 CERT Coordination Center (CCC) 以及其他国际的 Incident Response Teams (IRTs) 和 Australian Federal Police 有紧密的联系。 AUSCERT 提供匿名 FTP 服务,网址为:ftp://ftp.auscert.org.au/pub/。这里包含过去的 SERT 和 AUSCERT Advisories,以及其他计算机安全信息。AUSCERT 同时也支持 World Wide Web 服务,网址为:http://www.auscert.org.au/ 匿名 FTP 在其他计算机上使用 FTP 而无需拥有在其上的帐号或口令的功能。此时,您作为匿名登录。因此,这种从其他计算机上存放或取回文件的方式称为 匿名 ftp Alerter服务 一种 Windows NT 服务,通知选定的用户和计算机在一台计算机上发生了管理警告。由“Server”服务和其他服务调用。需要Messenger 服务。 Admind 或 Sadmind 一种分布式系统管理守护程序,用于在管理任务通过网络执行时执行安全任务。 SunOS 5.4 和更低版本使用 admind,而 SunOS 5.5 和更高版本使用 sadmind。 任何时间接收到一个请求后,守护程序即通过 inetd 自动运行,也可从命令行运行。在遵循这一请求之前,守护程序必须先到服务器鉴别该客户端。当客户端身份得到核实后,该守护程序使用此身份允许授权。 Admind 默认的安全等级为 SYS。 您可以使用更安全的 DES 安全等级,方法是:首先确定在域中所有的服务器已正确的设置为使用 DES 安全等级,
1:获取操作系统存放文件的目录:UINT GetSystemDirectory(LPTSTR lpBuffer,UINT uSize); 2:获取操作系统存放可执行文件的目录:UINT GetWindowsDirectory(LPTSTR lpBuffer,UINT uSize); 3:获取当前进程的当前目录:DWORD GetCurrentDirectory(DWORD nBufferLength,LPTSTR lpBuffer); 4:获取系统时间:BOOL GetLocalTime(),设置:BOOL SetSystemTime(CONST SYSTEMTIME *lpSystemTime); 5:文件拷贝函数:BOOL CopyFile(LPCTSTR lpExistingFileName,LPCTSTR lpNewFileName,BOOL bFailIfExits); 6:BOOL GetComputerName(LPTSTR lpBuffer,LPDWORD nSize); BOOL SetComputerName(); 这几篇的VC++学习原是在我的天涯博客上面的,最近转移了地方..
1:避免一个程序运行多个事例:先用API函数HANDLE OpenMutex(DWORD dwDesiredAccess,BOOL bInheritHandle,LPCTSTR lpName),然后用函数 HANDLE CreateMutex(LPSECURITY_ATTRIBUTES lpMutexAttributes,BOOL bInitialOwner,LPCTSTR lpName); 2:在程序中运行其他程序:HINSTANCE ShellExecute(HWND hwnd,LPCTSTR lpVerb,LPCTSTR lpFile,LPCTSTR lpParameters,LPCTSTR lpDirectory,INT nShowCmd); 3:隐藏应用程序: DWORD RegisterServiceProcess(DWORD dwProcessId,DWORD dwType) 该函数是动态链接库kernel32.dll中的函数. API函数 HMODULE GetModuleHandle(LPCTSTR lpModuleName)可以获得一个模块句柄. API函数 FARPROC GetProcAddress(HMODULE hModule,LPCTSTR lpProcName); 4:获取文件的相关信息: 获取扩展名的函数 LPTSTR PathFindExtension(LPCTSTR pPath), 获取文件大小的函数 DWORD GetFileSize(HANDLE hFile,LPDWORD lpFileSizeHigh); 获取文件的属性函数 DWORD GetFileAttributes(LPCTSTR lpFileName);删除文件 BOOL DeleteFile(LPCTSTR lpFileName);
While there is a life,there is hope 1:格式化磁盘:首先调用动态连接库Shell32.DLL中的函数SHFormatDrive来格式化 SHSTDAPI_(DWORD)SHFormatDrive(HWND,WORD,WORD,WORD); 应用程序中:SHFormatDrive(HWND,hWnd,WORD,wDrive,WORD,wOption,Word uFlag); 2:注册系统热键:BOOL RegisterHotKey(HWND hWnd,int id,UINT fsModifies,UINT vk); 注销,关闭,重起系统:BOOL ExitWindowsEx(UINT uFlag,DWORD dwReserved); 3:获取分辨率:BOOL EnumDisplaySettings(LPCTSTR lpszDeviceName,DWORD iModeNum,LPDEVMODE lpDevMode); 第二个办法:int GetSystemMetrics(int nIndex); 4:启动屏幕保护程序: 方法一:PostMessage(WM_SYSCOMMAND,SC_SCREENSAVE,0); 方法二:HINSTANCE ShellExecute(HWND hwnd,LPCTSTR lpVerb,LPCSTRS lpFile,LPCTSTR lpParameters,LPCTSTR lpDirectory,INT nShowCmd);
|