ip
-
2023年4月23日发(作者:电脑摄像头)可以用Windows本身自带的netstat命令 关于netstat命令,我们先来看看windows帮助文件中的介绍: Netstat 显示协议统计和当前的 TCP/IP 网络连接。该命令只有在安装了 TCP/IP 协议后才可以使用。 netstat [-a] [-e] [-n] [-s] [-p protocol] [-r] [interval] 参数 -a 显示所有连接和侦听端口。服务器连接通常不显示。 -e 显示以太网统计。该参数可以与 -s 选项结合使用。 -n 以数字格式显示地址和端口号(而不是尝试查找名称)。 -s 显示每个协议的统计。默认情况下,显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。 -p protocol 显示由 protocol 指定的协议的连接;protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计,protocol 可以是 tcp、udp、icmp 或 ip。 -r 显示路由表的内容。 interval 重新显示所选的统计,在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数,netstat 将打印一次当前的配置信息。 好了,看完这些帮助文件,我们应该明白netstat命令的使用方法了。现在就让我们现学现用,用这个命令看一下自己的机器开放的端口。进入到命令行下,使用netstat命令的a和n两个参数: C:>netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:80 0.0.0.0:0 LISTENING TCP 0.0.0.0:21 0.0.0.0:0 LISTENING TCP 0.0.0.0:7626 0.0.0.0:0 LISTENING UDP 0.0.0.0:445 0.0.0.0:0 UDP 0.0.0.0:1046 0.0.0.0:0 UDP 0.0.0.0:1047 0.0.0.0:0 解释一下,Active Connections是指当前本机活动连接,Proto是指连接使用的协议名称,Local Address是本地计算机的 IP 地址和连接正在使用的端口号,Foreign Address是连接该端口的远程计算机的 IP 地址和端口号,State则是表明TCP 连接的状态,你可以看到后面三行的监听端口是UDP协议的,所以没有State表示的状态。看!我的机器的7626端口已经开放,正在监听等待连接,像这样的情况极有可能是已经感染了冰河!急忙断开网络,用杀毒软件查杀病毒是正确的做法。 每一项服务都对应相应的端口,比如众如周知的WWW服务的端口是80,smtp是25,ftp是21,win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要,关掉端口也就是关闭无用的服务。 “控制面板”的“管理工具”中的“服务”中来配置。 1、关闭7.9等等端口:关闭Simple TCP/IP Service,支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。 2、关闭80口:关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service",通过 Internet 信息服务的管理单元提供 Web 连接和管理。 3、关掉25端口:关闭Simple Mail Transport Protocol (SMTP)服务,它提供的功能是跨网传送电子邮件。 4、关掉21端口:关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。 5、关掉23端口:关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。 6、还有一个很重要的就是关闭server服务,此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享,比如ipc$、c$、admin$等等,此服务关闭不影响您的共他操作。 7、还有一个就是139端口,139端口是NetBIOS Session端口,用来文件和打印共享,注意的是运行samba的unix机器也开放了139端口,功能一样。以前流光2000用来判断对方主机类型不太准确,估计就是139端口开放既认为是NT机,现在好了。 关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。 对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。 每一项服务都对应相应的端口,比如众如周知的WWW服务的端口是80,smtp是25,ftp是21,win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要,关掉端口也就是关闭无用的服务。 “控制面板”的“管理工具”中的“服务”中来配置。 1、关闭7.9等等端口:关闭Simple TCP/IP Service,支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。 2、关闭80口:关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service",通过 Internet 信息服务的管理单元提供 Web 连接和管理。 3、关掉25端口:关闭Simple Mail Transport Protocol (SMTP)服务,它提供的功能是跨网传送电子邮件。 4、关掉21端口:关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。 5、关掉23端口:关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。 6、还有一个很重要的就是关闭server服务,此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享,比如ipc$、c$、admin$等等,此服务关闭不影响您的共他操作。 7、还有一个就是139端口,139端口是NetBIOS Session端口,用来文件和打印共享,注意的是运行samba的unix机器也开放了139端口,功能一样。以前流光2000用来判断对方主机类型不太准确,估计就是139端口开放既认为是NT机,现在好了。 关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。 对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动,端口也开放了。 我们一般采用一些功能强大的反黑软件和防火墙来保证我们的系统安全,但是有些用户不具备上述条件。怎么办呢?下面就介绍一种简易的办法——通过限制端口来帮助大家防止非法入侵。 非法入侵的方式 简单说来,非法入侵的方式可粗略分为4种: 1、扫描端口,通过已知的系统Bug攻入主机。 2、种植木马,利用木马开辟的后门进入主机。 3、采用数据溢出的手段,迫使主机提供后门进入主机。 4、利用某些软件设计的漏洞,直接或间接控制主机。 非法入侵的主要方式是前两种,尤其是利用一些流行的黑客工具,通过第一种方式攻击主机的情况最多、也最普遍;而对后两种方式来说,只有一些手段高超的黑客才利用,波及面并不广泛,而且只要这两种问题一出现,软件服务商很快就会提供补丁,及时修复系统。 因此,如果能限制前两种非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且前两种非法入侵方式有一个共同点,就是通过端口进入主机。 端口就像一所房子(服务器)的几个门一样,不同的门通向不同的房间(服务器提供的不同服务)。我们常用的FTP默认端口为21,而WWW网页一般默认端口是80。但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务,比如139等;还有一些木马程序,比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。那么,只要我们把自己用不到的端口全部封锁起来,不就杜绝了这两种非法入侵吗? 限制端口的方法 对于个人用户来说,您可以限制所有的端口,因为您根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。 这里,对于采用Windows 2000或者Windows XP的用户来说,不需要安装任何其他软件,可以利用“TCP/IP筛选”功能限制服务器的端口。具体设置如下: 1、右键点击“网上邻居”,选择“属性”,然后双击“本地连接”(如果是拨号上网用户,选择“我的连接”图标),弹出“本地连接状态”对话框。 2、点击[属性]按钮,弹出“本地连接属性”,选择“此连接使用下列项目”中的“Internet协议(TCP/IP)”,然后点击[属性]按钮。 3、在弹出的“Internet协议(TCP/IP)”对话框中点击[高级]按钮。在弹出的“高级TCP/IP设置”中,选择“选项”标签,选中“TCP/IP筛选”,然后点击[属性]按钮。 4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选”的复选框,然后把左边“TCP端口”上的“只允许”选上(请见附图)。 这样,您就可以来自己添加或删除您的TCP或UDP或IP的各种端口了。 添加或者删除完毕,重新启动机器以后,您的服务器就被保护起来了。 如果只上网浏览的话,可以不添加任何端口。但是要利用一些网络联络工具,比如OICQ的话,就要把“4000”这个端口打开,同理,如果发现某个常用的网络工具不能起作用的时候,请搞清它在您主机所开的端口,然后在“TCP/IP筛选”中添加端口即可。 参考资料:参考资料:/user1/210/archives/2005/1)如何查看本机所开端口:用netstat -an命令查看!再stat下面有一些英文,我来简单说一下这些英文具体都代表什么~LISTEN:侦听来自远方的TCP端口的连接请求SYN-SENT:再发送连接请求后等待匹配的连接请求SYN-RECEIVED:再收到和发送一个连接请求后等待对方对连接请求的确认ESTABLISHED:代表一个打开的连接FIN-WAIT-1:等待远程TCP连接中断请求,或先前的连接中断请求的确认FIN-WAIT-2:从远程TCP等待连接中断请求CLOSE-WAIT:等待从本地用户发来的连接中断请求CLOSING:等待远程TCP对连接中断的确认LAST-ACK:等待原来的发向远程TCP的连接中断请求的确认TIME-WAIT:等待足够的时间以确保远程TCP接收到连接中断请求的确认CLOSED:没有任何连接状态2)如何获得一个IP地址的主机名?利用ping -a ip 命令查看!再第一行的pinging后面的 『ip』前面的英文就是对方主机名!同样道理,利用ping machine_name也可以得到对方的ip获得一个网站的ip地址的方法是:ping 比如想知道sohu的ip,就用ping 来查看就可以了~顺便说一句:如果返回:Reply from *.*.*.*: TTL expired in transit的话,呵呵,代表TTL(生命周期)在传输过程中过期什么意思呢?我来解释一下!导致这个问题出现的原因有两个:1)TTL值太小!TTL值小于你和对方主机之间经过的路由器数目。 2)路由器数量太多,经过路由器的数量大于TTL值!呵呵,其实这两点是一个意思!只不过说法不同而已!3)如何查看本机的ip地址?用ipconfig来查看就可以!也可以再Windows中的开始菜单,运行中输入winipcfg,同样可以看到自己的ipipconfig命令后面如果加一个参数 /all的话,可以得到更加详细的资料,比如DNS、网关等……4)再使用net命令的时候遇到一些错误代码,如何查看对应的错误信息?用命令 net helpmsg erorr_code来查看就可以了比如错误代码为:88则查看命令为:net helpmsg 88 下面有这个错误代码的中文显示!5)利用telnet连接到对方主机上,想获得一些系统信息,用什么命令?set命令可以很好的完成你所需要收集信息的任务的!方法:再cmd下直接输入set(telnet对方主机以后,也是直接set就可以了~然后能够得到NNNNN多的信息)再这里,computername:呵呵,还用说么?主机名!OS=Windows_NT :操作系统的类型哦~path=C:perlbin :(perl的解释器位置!)systemDrive=c: 操作系统盘符!USERNAME=coldcrysky 当前登陆使用机器的用户6)跟踪路由器的命令是什么?tracert 格式:tracert ip中间会列出所有经过的路由器列表!这些路由器如果是暴露再防火墙外面的话,还可以看到路由的IP哦~呵呵(这里又涉及到了另外一个问题:为什么要把路由放在防火墙后面?原因呢,主要有两点:1)保护路由器!因为现在越来越多的攻击和入侵已经开始瞄准路由器了~如果直接把路由暴露在外面,呵呵,是非常危险的!被DoS了就不好了啊~呵呵,所以要放在防火墙里面;2)为路由器减少负担!如果所有的过滤功能统统都压在路由器上面,呵呵,路由器的负担就太大了!)当然,利用pathping也可以达到同样效果!格式与tracert一样!7)简单介绍一下cookie!cookie,又名小甜点。它的作用:记录访问者的一些信息。例如利用cookie记录你所登陆这个网页的次数、登陆时曾经输入的信息……最常见的是,大家再登陆论坛(邮箱)的时候,经常在输入第一个字母的时候,往往下面就显示出了所有在本机登陆过该论坛(邮箱)的用户名吧?呵呵,这个就是cookie的作用!大家在Administrator的cookies目录中可以看到很多的记事本文档吧?这些都是cookie,虽然经过了加密,但是仔细查找的话,仍然能够看到一些敏感信息!况且现在也已经有了专门查看cookie的软件!利用这些软件,你的隐私将不保哦~那么,如何清除cookie呢?一般情况下,可以在Internet选项中的常规选项卡中看到一个删除cookies的按钮,点击就可以清楚掉了~除此以外,还要在internet选项中的内容选项卡中找到自动完成按钮,把里面的四项都选中!然后点击清除表单,清除密码~然后到操作系统目录所在的分区中!进入Winnt(98为windows)目录(当然了,这些都是默认的目录!如果你安装的时候改名了,就对应的去相应目录)之后找到Temporary Internet Files目录(2000的目录在c:Documents and settingsadministratorLocal settingsTemporary Internet Files)98直接到windows目录下找Temporary Internet Files就可以了~,找到这个文件夹后,打开!看到里面有NNNNNNNNNNNN多的文件了么?呵呵,这些是你浏览过的网页的记录(有的时候从网站上面看到漂亮的FLASH,可是不能保存怎么办?只要在线浏览一遍以后,断线到这里来找*.swf,之后依次打开查看的话,相信你会找到你所需要的FLASH的!),好了,跑题了~继续说:这些文件是网站的页面记录,直接删除就可以了!另外,有没有彻底禁止cookie的方法呢?呵呵,当然有了!在IE的Internet选项中,找到隐私选项卡!,把里面的滑块拖到最上面,边上写着:阻止所有cookie,呵呵,是不是?另外一种方法:找到Windows目录下的cookies目录!把里面的txt文件全部删除!,最后应该只剩下一个文件!之后把这个文件夹设置成只读就可以了~不过,禁止cookie后,大部分的论坛都无法正常登陆了啊!呵呵,到底禁止不禁止就看你自己的了~8)安装2000的时候,速度会特别特别特别慢,怎么加快安装速度呢?在DOS上面安装,应该用98启动光盘来引导系统!然后按照下面的方法来做,可以提高安装速度:g:>cd windows -------假设G为光驱 windows为98的安装目录!g:windows>smartdrv -------加载smartdrv程序!加载后没有任何提示信息!只要不返回错误信息就是加载成功了~这时候安装2K的话,速度会很快的哦~9)Windows2K密码忘记了,如何才能进入系统?Windows2K的用户配置信息和密码保存在SAM文件里!该文件位于:c:winntsystem32config目录中!只要删除这个文件就可以了~另外,在c:winntepair目录中也同样有一个SAM文件(这个是前者的备份!)如果你在登陆肉鸡的时候,copy前面那个目录中的SAM文件,你会发现COPY不下来!呵呵,为什么?因为运行着的2K系统会保护SAM文件啊~这个时候你就COPY这个就可以了!10)ping不到,tracert不到,但是却能用nbtstat显示对方的一些信息,为什么?因为tracert和ping命令使用的是ICMP协议!而nbtstat是通过对方的netbios端口来获得对方的主机信息的!使用的是UDP和TCP协议!如果对方仅仅只对ICMP协议做了禁止的话,那通过这个命令获得系统信息是正常的!11)telnet上去后,如何给对方开共享?开共享的命令如下:net share c=c:winntsystem 返回共享成功之后直接利用ipc来访问对方的system目录了~删除共享用share c /del 命令就可以了12)如何判断对方的具体操作系统版本?首先用ver命令查看对方的版本号!如果是5.00.2195的话,为2K;5.1.2600为XP从这里可以区分出来到底是2K还是XP了~下面进行更加具体的区分!2K的pro和svr版本区分:在telnet下,net shart查看启动的服务~如果对方开启了Terminal Services服务的话,基本上可以判断为svr以上的版本了~如果没有开启,则为pro!(具体方法有三种,因为前几天在论坛中我回复过暗界了~所以这里就不再重复了~)XP的pro和home版的区分:home edition是无法安装iis的!所以,可以通过iis服务来判断到底是home版或者是pro了~当然了,如果对方是pro,但是将iis删除(停用)的话,就没办法判断了~呵呵13)如何查看98的随机启动的程序?在98下有一个实用配置程序(msconfig),中文名为:系统配置实用程序,调用的方法是在:开始——运行中输入msconfig,在里面,有一个启动的选项卡,点击后,可以看到很多随即启动程序,如果前面带有钩的话,就是启动时随机启动的,取消的话就是把前面的小钩去掉就可以了~(如果在这里查看到了一些未知的启动文件——比如没有文件的具体路径,或者没有文件名的话,最好取消它的自启动!因为很有可能是木马!)除了这里以外,还有、、、几个选项卡,他们分别对应这几个文件!只不过在这里更方便查看而已!14)设置了BIOS密码,可是却忘记了,该怎么办?如果是可以进入Windows的话,可以找找biospwds和cmospwd这两个软件看看~还有利用DEBUG法:简单介绍两种:1)-o 70 16-o 71 13-q2)-o 70 16-o 71 16-q另一种方法:copy法:copy con 输入下面10个字符:alt+176,alt+17,alt+230, p,alt+176,alt+20,alt+230,q,alt+205,空格,然后按下F6并回车,退出,运行这个程序就可以了~恩,如果不能进入Windows怎么办呢?简单介绍两种方法:1)用通用密码:Award Bios密码:j256,LKW-PPETER,wantgirl,EBBB,Syxz,AWARD? SW,AWARD_SW,j262,HLT SER,SKY_FOX,BIOSTAR,ALFARO_ME,lkwpeter,589721,awkard,h996,CONCAT,589589AMI bios密码:AMI,BIOS,PASSWORD,HEWITT RAND,AMI_SW,LKWPETER,A.M.I.这是常见的密码,不妨试试~如果不行的话,可以利用CMOS放电:就是把主板上的电池取下来,等一会儿再插上去~15)如何自制一个让98蓝屏的炸弹?恩,这个是前几天QQ上面朋友问我的问题,整理的时候突然间想起来了,就写一下好了~首先,打开Word,再插入菜单中选择对象,这时,弹出对象包装程序窗口,再这个窗口中,点击导入,随便找一个文本或者程序就可以!之后点:编辑菜单。这里选择命令行,出现一个命令行窗口,在里面协商c:concon,点击保存,完成后,再点编辑包中的复制包,把他随便到一个地方复制下来,之后看到的是一个名位片断的东西!给这个文件起一个名字,呵呵,传给那个可怜的家伙吧,等待他蓝屏,掉线!(这个命令行中可以插入很多的命令,不见得非要用这个98蓝屏漏洞哦~)顺便说一下:这个已经不是什么新鲜的技术了,这个技术的名字叫做:碎片对象。呵呵,碎片?记忆碎片么?不是的!他的后缀是:.shs!之所以说一下这个,是因为有的朋友还不知道~做一个整理而已!不知道的朋友看过后就知道了,知道的朋友就权当复习了~另外,不要利用这个方法做破坏!否则后果自负!16)如何再命令行下杀死对方进程?利用微软的2K以上操作系统都是含有这个工具的!该工具包含在2K光盘的supporttools文件夹下!里面有安装程序,点击后,就安装了2K的support tools工具包,里面有kill这个工具,这时候再cmd下可以输入kill/?,就可以看到帮助了,使用这个命令的格式是:kill pid (pid是进程的ID号!)再任务管理器中可以看到进程的ID号!(不知道有几位朋友用过蓝色火焰?呵呵,用法跟这个一摸一样!还有很多类似的木马、后门软件都有类似的功能!这个是windows自带的大木马『后门工具』而已!)这时候,有朋友问了,那再命令行下如何查看进程呢?呵呵,这就用到了系统自带的有一个后门工具了:再刚才说得那个目录中,还有一个工具叫tlist 看名字就能看出来是干什么的吧?用法更简单!直接输入tlist就可以得到pid遇队形程序的列表了~那对方机器如果没有安装这两个程序怎么办呢?没关系,你把你操作系统盘符下面programfilessupport tools目录下面的这两个对应的exe文件上传到对方的winntsystem32目录中就可以了!呵呵~-
本地连接2没有有效的ip配置