网络管理员入门入侵检测(编辑修改稿)

网络管理员入门入侵检测(编辑修改稿)内容摘要：

ps：有很多好程序用来检测木马，但你的目的是想成为真正的 hacker，手工检测要比只 按一下 “scan” 按钮好些 仅个人观点）。 如果您 Netstat你自己的话，发现下面的信息： Port 12345(TCP) Netbus Port 31337(UDP) Back Orifice 祝贺 !您中了最常见的木马（ ^_^，上面 4899是我连别人的，而且这个 radmin是商业软件，目前我最喜欢的远程控制软件） 如果你需要木马及其端口列表的话，去国内的 H 站找找，或者 baidu， google吧 ***************************************************************** 一些原理：也许你有这样的问题： “ 在机器名后的端口号代表什么。 例子： Eagle:2929 小于 1024的端口通常运行一些网络服务，大于 1024的端口用来与远程机器建立连接。 ***************************************************************** 继续我们的探讨，使用 n 参数。 （ Netstat n) Netstat n 基本上是 a 参 数的数字形式： C:\stat n Active Connections Proto Local Address Foreign Address State TCP :445 :1031 ESTABLISHED TCP :1031 :445 ESTABLISHED TCP :1213 :9002 CLOSE_WAIT TCP :2416 :443 CLOSE_WAIT TCP :2443 :443 CLOSE_WAIT TCP :2907 :2774 CLOSE_WAIT TCP :2916 :23 ESTABLISHED TCP :2929 :4899 ESTABLISHED TCP :3048 :8004 SYN_SENT TCP :3455 :9002 ESTABLISHED stat an 这个命令能看到所有和本地计算机建立连接的 IP，它包含四个部分 —— proto（连接方式）、 local address（本地连接地址）、 foreign address（和本地建立连接的地址）、state（当前端口状态）。 a 和 － n 是最常用的两个，据我不完全测试得出以下结果： 1. n 显示用数字化主机名，即 IP地址，而不是 pute_name【 eagle】 网友 （ 洪枫 ） 倾情为您奉献， ： 332985688，个人主页 网友 （ 洪枫 ） 倾情为您奉献， ： 332985688，个人主页 2. n 只显示 TCP连接（没有在哪里见过微软的相关文档，有哪个朋友见到的话，记得告诉我喔 ^_^） 得到 IP等于得到一切，它是最容易使机器受到攻击的东东，所以隐藏自己 IP，获得别人的 IP对 hacker来说非常重要，现在隐藏 IP技术很流行，但那些隐藏工具或服务真的让你隐身吗。 我看不见得，呵呵，代理，跳板不属于今天讨论，一个获取对方 IP的简单例子请参考我前面的文章【 用 DOS命令查 好友 IP地址 】 a 和 n 是最常用的命令，如果要显示一些协议的更详细信息 ，就要用 p 这个参数了，它其实是 a 和 n 的一个变种，我们来看一个实例，你就明白了：【 stat p @@@ 其中 @@@为 TCP 或者 UDP】 C:\stat p tcp Active Connections Proto Local Address Foreign Address State TCP Eagle:microsoftds localhost:1031 ESTABLISHED TCP Eagle:1031 localhost:microsoftds ESTABLISHED TCP Eagle:1213 :9002 CLOSE_WAIT TCP Eagle:2416 : CLOSE_WAIT TCP Eagle:2443 : CLOSE_WAIT TCP Eagle:2907 :2774 CLOSE_WAIT TCP Eagle:2916 :tel ESTABLISHED TCP Eagle:2929 :4899 ESTABLISHED TCP Eagle:3455 :9002 ESTABLISHED 继续我们的参数讲解 e 含义：本选项用于显示关于以太网的统计数据。 它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。 这些统计数据既有发送的数据报数量，也有接收的数据报数量。 这个选项可以用来统计一些基本的网络流量。 C:\stat e Interface Statistics Received Sent Bytes 143090206 44998789 Unicast packets 691805 363603 Nonunicast packets 886526 2386 Discards 0 0 网友 （ 洪枫 ） 倾情为您奉献， ： 332985688，个人主页 网友 （ 洪枫 ） 倾情为您奉献， ： 332985688，个人主页 Errors 0 0 Unknown protocols 4449 若接收错和发送错接近为零或全为零，网络的接口无问题。 但当这两个字段有 100个以上的出错分组时就可以认为是高出错率了。 高的发送错表示本地网络饱和或在主机与网络之间有不良的物理连接。 高的接收错表示整体网络饱和、本地主机过载或物理连接有问题，可以用Ping命令统计误码率，进一步确定故障的程度。 stat e 和 ping结合使用能解决一大部分网络故障。 接下来我们开始讲解两个比较复杂的参数 r 和 s ，也正因为如此，笔者把他放到最后讲解，这里面可能会涉及到其他方面的知识，以后在我 的博客中将会继续写出来，呵呵，最近比较忙 r 是用来显示路由表信息，我们来看例子： C:\stat r Route Table（路由表） =========================================================================== Interface List（网络接口列表） 0x1 ........................... MS TCP Loopback interface 0x10003 ...00 0c f1 02 76 81 ...... Intel(R) PRO/Wireless LAN 2100 3B Mini PCI dapter 0x10004 ...00 02 3f 00 05 cb ...... Realtek RTL8139/810x Family Fast Ether C =========================================================================== =========================================================================== Active Routes:（动态路由） Network Destination Netmask Gateway Interface Metric 30 20 .1 1 0 20 1 30 .1 20 .1 30 网友 （ 洪枫 ） 倾情为您奉献， ： 332985688，个人主页 网友 （ 洪枫 ） 倾情为您奉献， ： 332985688，个人主页 0 20 1 30 .180 20 .181 30 0 1 1 1 Default Gateway: （默认网关） =========================================================================== Persistent Routes:（静态路由） None C:\ s 参数的作用前面有详细的说明，来看例子 C:\stat s IPv4 Statistics （ IP统计结果） Packets Received = 369492（接收包数） Received Header Errors = 0（接收头错误数） Received Address Errors = 2（接收地址错误数） Datagrams Forwarded = 0（数据报递送数） Unknown Protocols Received = 0（未知协议接收数） Received Packets Discarded = 4203（接收后丢弃的包数） Received Packets Delivered = 365287（接收后转交的包数） Output Requests = 369066（请求数） Routing Discards = 0（路由丢弃数 ） Discarded Output Packets = 2172（包丢弃数） Output Packet No Route = 0（不路由的请求包） Reassembly Required = 0（ 重组的请求数 ） Reassembly Successful = 0（重组成功数） Reassembly Failures = 0（重组失败数） Datagrams Successfully Fragmented = 0（ 分片成功的数据报数 ） Datagrams Failing Fragmentation = 0（ 分片失败的数据报数 ） Fragments Created = 0（ 分片建立数） ICMPv4 Statistics （ ICMP 统计结果）包括 Received 和 Sent两种状态 Received Sent Messages 285 784（ 消息数 ） Errors 0 0（错误数） 网友 （ 洪枫 ） 倾情为您奉献， ： 332985688，个人主页。