『壹』 Windows 事件ID及解釋
Windows 事件ID及解釋
代碼 錯誤信息解釋
--------------------------------------------
0 操作成功完成。
1 函數不正確。
2 系統找不到指定的文件。
3 系統找不到指定的路徑。
4 系統無法打開文件。
5 拒絕訪問。
6 句柄無效。
7 存儲控制塊被損壞。
8 存儲空間不足,無法處理此命令。
9 存儲控制塊地址無效。
10 環境不正確。
11 試圖載入格式不正確的程序。
12 訪問碼無效。
13 數據無效。
14 存儲空間不足,無法完成此操作。
15 系統找不到指定的驅動器。
16 無法刪除目錄。
17 系統無法將文件移到不同的驅動器。
18 沒有更多文件。
19 介質受寫入保護。
20 系統找不到指定的設備。
21 設備未就緒。
22 設備不識別此命令。
23 數據錯誤(循環冗餘檢查)。
24 程序發出命令,但命令長度不正確。
25 驅動器找不到磁碟上特定區域或磁軌。
26 無法訪問指定的磁碟或軟盤。
27 驅動器找不到請求的扇區。
28 列印機缺紙。
29 系統無法寫入指定的設備。
30 系統無法從指定的設備上讀取。
31 連到系統上的設備沒有發揮作用。
32 另一個程序正在使用此文件,進程無法訪問。
33 另一個程序已鎖定文件的一部分,進程無法訪問。
36 用來共享的打開文件過多。
38 已到文件結尾。
39 磁碟已滿。
50 不支持請求。
51 Windows 無法找到網路路徑。請確認網路路徑正確並且目標計算機不忙或已關閉。如果 Windows 仍然無法找到網路路徑,請與網路管理員聯系。
52 由於網路上有重名,沒有連接。請到「控制面板」中的「系統」更改計算機名,然後重試。
53 找不到網路路徑。
54 網路很忙。
55 指定的網路資源或設備不再可用。
56 已達到網路 BIOS 命令限制。
57 網路適配器硬體出錯。
58 指定的伺服器無法運行請求的操作。
59 出現了意外的網路錯誤。
60 遠程適配器不兼容。
61 列印機隊列已滿。
62 伺服器上沒有儲存等待列印的文件的空間。
63 已刪除等候列印的文件。
64 指定的網路名不再可用。
65 拒絕網路訪問。
66 網路資源類型不對。
67 找不到網路名。
68 超出本地計算機網路適配器卡的名稱限制。
69 超出了網路 BIOS 會話限制。
70 遠程伺服器已暫停,或正在啟動過程中。
71 已達到計算機的連接數最大值,無法再同此遠程計算機連接。
72 已暫停指定的列印機或磁碟設備。
80 文件存在。
82 無法創建目錄或文件。
83 INT 24 上的故障。
84 無法取得處理此請求的存儲空間。
85 本地設備名已在使用中。
86 指定的網路密碼不正確。
87 參數不正確。
88 網路上發生寫入錯誤。
89 系統無法在此時啟動另一個進程。
100 無法創建另一個系統信號燈。
101 另一個進程擁有獨占的信號燈。
102 已設置信號燈,無法關閉。
103 無法再設置信號燈。
104 無法在中斷時請求獨占的信號燈。
105 此信號燈的前一個所有權已結束。
107 由於沒有插入另一個軟盤,程序停止。
108 磁碟在使用中,或被另一個進程鎖定。
109 管道已結束。
110 系統無法打開指定的設備或文件。
111 文件名太長。
112 磁碟空間不足。
113 沒有更多的內部文件標識符。
114 目標內部文件標識符不正確。
117 應用程序發出的 IOCTL 調用不正確。
118 驗證寫入的切換參數值不正確。
119 系統不支持請求的命令。
120 這個系統不支持該功能。
121 信號燈超時時間已到。
122 傳遞給系統調用的數據區域太小。
123 文件名、目錄名或卷標語法不正確。
124 系統調用級別不正確。
125 磁碟沒有卷標。
126 找不到指定的模塊。
127 找不到指定的程序。
128 沒有等候的子進程。
130 試圖使用操作(而非原始磁碟 I/O)的已打開磁碟分區的文件句柄。
131 試圖將文件指針移到文件開頭之前。
132 無法在指定的設備或文件上設置文件指針。
133 包含先前加入驅動器的驅動器無法使用 JOIN 或 SUBST 命令。
134 試圖在已被合並的驅動器上使用 JOIN 或 SUBST 命令。
135 試圖在已被合並的驅動器上使用 JOIN 或 SUBST 命令。
136 系統試圖解除未合並驅動器的 JOIN。
137 系統試圖解除未替代驅動器的 SUBST。
138 系統試圖將驅動器合並到合並驅動器上的目錄。
139 系統試圖將驅動器替代為替代驅動器上的目錄。
140 系統試圖將驅動器合並到替代驅動器上的目錄。
141 系統試圖替代驅動器為合並驅動器上的目錄。
142 系統無法在此時運行 JOIN 或 SUBST。
143 系統無法將驅動器合並到或替代為相同驅動器上的目錄。
144 目錄不是根目錄下的子目錄。
145 目錄不是空的。
146 指定的路徑已在替代中使用。
147 資源不足,無法處理此命令。
148 指定的路徑無法在此時使用。
149 企圖將驅動器合並或替代為驅動器上目錄是上一個替代的目標的驅動器。
150 系統跟蹤信息未在 CONFIG.SYS 文件中指定,或不允許跟蹤。
151 為 DosMuxSemWait 指定的信號燈事件數量不正確。
152 DosMuxSemWait 沒有運行;已設置過多的信號燈。
153 DosMuxSemWait 列表不正確。
154 輸入的卷標超過目標文件系統的長度限制。
155 無法創建另一個線程。
156 接收人進程拒絕此信號。
157 段已被放棄且無法鎖定。
158 段已解除鎖定。
159 線程 ID 的地址不正確。
160 至少有一個參數不正確。
161 指定的路徑無效。
162 信號已暫停。
164 無法在系統中創建更多的線程。
167 無法鎖定文件區域。
170 請求的資源在使用中。
173 對於提供取消區域進行鎖定的請求已完成。
174 文件系統不支持鎖定類型的最小單元更改。
180 系統檢測出錯誤的段號。
183 當文件已存在時,無法創建該文件。
186 傳遞的標志不正確。
187 找不到指定的系統信號燈名稱。
196 操作系統無法運行此應用程序。
197 操作系統當前的配置不能運行此應用程序。
199 操作系統無法運行此應用程序。
200 代碼段不可大於或等於 64K。
203 操作系統找不到已輸入的環境選項。
205 命令子樹中的進程沒有信號處理程序。
206 文件名或擴展名太長。
207 第 2 環堆棧已被佔用。
208 沒有正確輸入文件名通配符 * 或 ?,或指定過多的文件名通配符。
209 正在發送的信號不正確。
210 無法設置信號處理程序。
212 段已鎖定且無法重新分配。
214 連到該程序或動態鏈接模塊的動態鏈接模塊太多。
215 無法嵌套調用 LoadMole。
230 管道狀態無效。
231 所有的管道範例都在使用中。
232 管道正在被關閉。
233 管道的另一端上無任何進程。
234 有更多數據可用。
240 已取消會話。
254 指定的擴展屬性名無效。
255 擴展屬性不一致。
258 等待的操作過時。
259 沒有可用的數據了。
266 無法使用復制功能。
267 目錄名無效。
275 擴展屬性在緩沖區中不適用。
276 裝在文件系統上的擴展屬性文件已損壞。
277 擴展屬性表格文件已滿。
278 指定的擴展屬性句柄無效。
282 裝入的文件系統不支持擴展屬性。
288 企圖釋放並非呼叫方所擁有的多用戶終端運行程序。
298 發向信號燈的請求過多。
299 僅完成部分的 ReadProcessMemoty 或 WriteProcessMemory 請求。
300 操作鎖定請求被拒絕。
301 系統接收了一個無效的操作鎖定確認。
302 此卷太碎,不能完成這個操作。
303 不能打開文件,因為它正在被刪除。
487 試圖訪問無效的地址。
534 算術結果超過 32 位。
535 管道的另一端有一進程。
536 等候打開管道另一端的進程。
994 拒絕訪問擴展屬性。
995 由於線程退出或應用程序請求,已放棄 I/O 操作。
996 重疊 I/O 事件不在信號狀態中。
997 重疊 I/O 操作在進行中。
998 內存分配訪問無效。
999 執行頁內操作時的錯誤。
1001 遞歸太深;堆棧溢出。
1002 窗口無法在已發送的消息上操作。
1003 無法完成此功能。
1004 無效標志。
1005 此卷不包含可識別的文件系統。請確定所有請求的文件系統驅動程序已載入,且此卷未損壞。
1006 文件所在的卷已被外部改變,因此打開的文件不再有效。
1007 無法在全屏幕模式下運行請求的操作。
1008 試圖引用不存在的令牌。
1009 配置注冊表資料庫損壞。
1010 配置注冊表項無效。
1011 無法打開配置注冊表項。
1012 無法讀取配置注冊表項。
1013 無法寫入配置注冊表項。
1014 注冊表資料庫中的某一文件必須使用記錄或替代復制來恢復。恢復成功完成。
1015 注冊表損壞。包含注冊表數據的某一文件結構損壞,或系統的文件內存映像損壞,或因為替代副本、日誌缺少或損壞而無法恢復文件。
1016 由注冊表啟動的 I/O 操作失敗並無法恢復。注冊表無法讀入、寫出或清除任意一個包含注冊表系統映像的文件。
1017 系統試圖載入或還原文件到注冊表,但指定的文件並非注冊表文件格式。
1018 試圖在標記為刪除的注冊表項上進行不合法的操作。
1019 系統無法分配注冊表日誌中所需空間。
1020 無法在已有子項或值的注冊表項中創建符號鏈接。
1021 無法在易變父項下創建穩定子項。
1022 正在完成通知更改請求,而且信息沒有返回到呼叫方的緩沖區中。當前呼叫方必須枚舉文件來查找改動。
1051 停止控制被發送到其他正在運行的服務所依賴的服務。
1052 請求的控制項對此服務無效。
1053 服務沒有及時響應啟動或控制請求。
1054 無法創建此服務的線程。
1055 服務資料庫已鎖定。
1056 服務的範例已在運行中。
1057 帳戶名無效或不存在,或者密碼對於指定的帳戶名無效。
1058 無法啟動服務,原因可能是已被禁用或與其相關聯的設備沒有啟動。
1059 指定了循環服務依存。
1060 指定的服務並未以已安裝的服務存在。
1061 服務無法在此時接受控制信息。
1062 服務未啟動。
1063 服務進程無法連接到服務控制器上。
1064 當處理控制請求時,在服務中發生異常。
1065 指定的資料庫不存在。
1066 服務已返回特定的服務錯誤碼。
1067 進程意外終止。
1068 依存服務或組無法啟動。
1069 由於登錄失敗而無法啟動服務。
1070 啟動後,服務停留在啟動暫停狀態。
1071 指定的服務資料庫鎖定無效。
1072 指定的服務已標記為刪除。
1073 指定的服務已存在。
1074 系統當前以最新的有效配置運行。
1075 依存服務不存在,或已被標記為刪除。
1076 已接受使用當前引導作為最後的有效控制設置。
1077 上次啟動之後,仍未嘗試引導服務。
1078 名稱已用作服務名或服務顯示名。
1079 此服務的帳戶不同於運行於同一進程上的其他服務的帳戶。
1080 只能為 Win32 服務設置失敗操作,不能為驅動程序設置。
1081 這個服務所運行的處理和服務控制管理器相同。所以,如果服務處理程序意外中止的話,服務控制管理器無法進行任何操作。
1082 這個服務尚未設置恢復程序。
1083 配置成在該可執行程序中運行的這個服務不能執行該服務。
1084 不能以安全模式開始這項服務
1100 已達磁帶的實際結尾。
1101 磁帶訪問已達文件標記。
1102 已達磁帶或磁碟分區的開頭。
1103 磁帶訪問已達一組文件的結尾。
1104 磁帶上不再有任何數據。
1105 磁帶不能分區。
1106 在訪問多卷分區的新磁帶時,當前的塊大小不正確。
1107 在載入磁帶時找不到磁帶分區信息。
1108 無法鎖定媒體彈出功能。
1109 無法卸載介質。
1110 驅動器中的介質可能已更改。
1111 已復位 I/O 匯流排。
1112 驅動器中沒有媒體。
1113 在多位元組的目標代碼頁中,沒有此 Unicode 字元可以映射到的字元。
1114 動態鏈接庫(DLL)初始化常式失敗。
1115 系統正在關機。
1116 因為沒有任何進行中的關機過程,所以無法中斷系統關機。
1117 由於 I/O 設備錯誤,無法運行此項請求。
1118 串列設備初始化不成功。串列驅動程序將卸載。
1119 無法打開正在與其他設備共享中斷請求(IRQ)的設備。至少有一個使用該 IRQ 的其他設備已打開。
1120 序列 I/O 操作已由另一個串列口的寫入完成。 (IOCTL_SERIAL_XOFF_COUNTER 已達零。)
1121 因為已過超時時間,所以串列 I/O 操作完成。 (IOCTL_SERIAL_XOFF_COUNTER 未達零。)
1122 在軟盤上找不到 ID 地址標記。
1123 軟盤扇區 ID 字元域與軟盤控制器磁軌地址不匹配。
1124 軟盤控制器報告軟盤驅動程序不能識別的錯誤。
1125 軟盤控制器返回與其寄存器中不一致的結果。
1126 訪問硬碟時,重新校準操作失敗。重試之後仍然不成功。
1127 訪問硬碟時,磁碟操作失敗。重試之後仍然不成功。
1128 當訪問硬碟時,即使失敗,仍須復位磁碟控制器。
1129 已達磁帶結尾。
1130 伺服器存儲空間不足,無法處理此命令。
1131 檢測出潛在的死鎖狀態。
1132 指定的基址或文件偏移量沒有適當對齊。
1140 改變系統供電狀態的嘗試被另一應用程序或驅動程序否決。
1141 系統 BIOS 改變系統供電狀態的嘗試失敗。
1142 試圖在文件上創建超過文件系統支持的鏈接數。
1150 指定程序要求更新的 Windows 版本。
1151 指定程序不是 Windows 或 MS-DOS 程序。
1152 只能啟動該指定程序的一個範例。
1153 該指定程序是為以前一個版本的的 Windows 而寫的。
1154 運行該應用程序所需的一個庫文件已被損壞。
1155 沒有應用程序與此操作的指定文件有關聯。
1156 在輸送指令到應用程序的過程中出現錯誤。
1157 執行該應用程序所需的庫文件之一無法找到。
1158 當前程序已使用了 Window 管理器對象的系統允許的所有句柄。
1159 消息只能與同步操作一起使用。
1160 指出的源元素沒有媒體。
1161 指出的目標元素已包含媒體。
1162 指出的元素不存在。
1163 指出的元素是未顯示的存儲資源的一部分。
1164 由於硬體錯誤,顯示設備需要重新初始化。
1165 設備指示在嘗試進一步操作之前需要清除。
1166 設備指示門是打開的。
1167 設備沒有連接。
1168 找不到元素。
1169 索引中沒有同指定項相匹配的項。
1170 在對象上不存在指定的屬性集。
1171 傳遞到 GetMouseMovePoints 的點不在緩沖區中。
1172 跟蹤(工作站)服務沒有運行。
1173 找不到卷 ID。
1175 無法刪除要被替換的文件。
1176 無法將替換文件移到要被替換的文件。要被替換的文件保持原來的名稱。
1177 無法將替換文件移到要被替換的文件。要被替換的文件已被重新命名為備份名稱。
1178 正在刪除卷更改日誌。
1179 卷更改日誌處於非活動狀態。
1180 找到一份文件,但是可能不是正確的文件。
1181 日誌項已從日誌中被刪除。
1200 指定的設備名無效。
1201 設備當前未連接上,但其為一個記錄連接。
1202 本地設備名稱已有到另一網路資源的記錄連接。
1203 無任何網路提供程序接受指定的網路路徑。
1204 指定的網路提供程序名稱無效。
1205 無法打開網路連接配置文件。
1206 網路連接配置文件損壞。
1207 無法枚舉空載體。
1208 出現了擴展錯誤。
1209 指定的組名格式無效。
1210 指定的計算機名格式無效。
1211 指定的事件名格式無效。
1212 指定的域名格式無效。
1213 指定的服務名格式無效。
1214 指定的網路名格式無效。
1215 指定的共享名格式無效。
1216 指定的密碼格式無效。
1217 指定的消息名格式無效。
1218 指定的消息目標格式無效。
1219 不允許一個用戶使用一個以上用戶名與一個伺服器或共享資源的多重連接。中斷與此伺服器或共享資源的所有連接,然後再試一次...
1220 試圖與網路伺服器建立會話,但目前與該伺服器建立的會話太多。
1221 工作組或域名已由網路上的另一部計算機使用。
1222 網路不存在或尚未啟動。
1223 操作已被用戶取消。
1224 請求的操作無法在使用用戶映射區域打開的文件上執行。
1225 遠程系統拒絕網路連接。
1226 網路連接已被適當地關閉了。
1227 網路傳輸終結點已有與其關聯的地址。
1228 地址仍未與網路終結點關聯。
1229 企圖在不存在的網路連接上進行操作。
1230 企圖在使用中的網路連接上進行無效的操作。
1231 不能訪問網路位置。有關網路排除故障的信息,請參閱 Windows 幫助。
1232 不能訪問網路位置。有關網路排除故障的信息,請參閱 Windows 幫助。
1233 不能訪問網路位置。有關網路排除故障的信息,請參閱 Windows 幫助。
1234 沒有任何服務正在遠程系統上的目標網路終結點上操作。
1235 請求被終止。
1236 由本地系統終止網路連接。
1237 操作無法完成。應該重試。
1238 因為已達到此帳戶的最大同時連接數限制,所以無法連接伺服器。
1239 試圖在這個帳戶未被授權的時間內登錄。
1240 此帳戶並未得到從這個工作站登錄的授權。
1241 請求的操作不能使用這個網路地址。
1242 伺服器已經注冊。
1243 指定的服務不存在。
1244 因為用戶還未被驗證,不能執行所要求的操作。
1245 因為用戶還未登錄網路,不能執行所要求的操作。指定的服務不存在。
1246 正在繼續工作。
1247 試圖進行初始操作,但是初始化已完成。
1248 沒有更多的本地設備。
1249 指定的站點不存在。
1250 具有指定名稱的域控制器已經存在。
1251 只有連接到伺服器上時,該操作才受支持。
1252 即使沒有改動,組策略框架也應該調用擴展。
1253 指定的用戶沒有一個有效的配置文件。
1254 Microsoft Small Business Server 不支持此操作。
1255 伺服器已關機。
1256 遠程系統不可用。有關網路疑難解答,請見 Windows 幫助。
1257 提供的安全標識符不是來自一個帳戶域。
1258 提供的安全標識符沒有域組件。
1259 取消了 AppHelp 對話,導致應用程序無法啟動。
1260 由於一個軟體限制策略的阻止,Windows 無法打開此程序。要獲取更多信息,請打開事件查看器或與系統管理員聯系。
1261 一個程序企圖用無效的注冊值。通常由未初始化的注冊表引起。此錯誤是 Itanium 特有的。
1262 該共享目前處於離線狀態,或者不存在。
1263 在智能卡登陸過程中,驗證 KDC 證書時 kerberos 協議遇到一個錯誤。
1264 試圖使用智能卡子系統時,Kerberos 協議出錯。
1265 系統檢測到危害安全的嘗試。請確認您能與對您進行身份驗證的伺服器聯系。
1266 用於身份驗證的智能卡證書被取消。請與系統管理元聯系。事件日誌中可能有額外的信息。
1267 在處理用於身份驗證的智能卡證書時,檢測到一個不受信用證書頒發機構。請與系統管理員聯系。
1268 無法決定用於身份驗證的智能卡證書的取消狀態。請與系統管理員聯系。
1269 用於身份驗證的智能卡證書不被信任。請與系統 管理員聯系。
『貳』 win2000 server 在區域網中開機時可以被訪問,過一會兒就不能被訪問了
應該是受到攻擊了
拒絕服務攻擊是一種遍布全球的系統漏洞,黑客們正醉心於對它的研究,而無數的網路用戶將成為這種攻擊的受害者。Tribe Flood Network, tfn2k, smurf, targa…還有許多的程序都在被不斷的開發出來。這些程序想瘟疫一樣在網路中散布開來,使得我們的村落更為薄弱,我們不得不找出一套簡單易用的安全解決方案來應付黑暗中的攻擊。
由於我們防範手段的加強,拒絕服務攻擊手法也在不斷的發展。 Tribe Flood Network (tfn) 和tfn2k引入了一個新概念:分布式。這些程序可以使得分散在互連網各處的機器共同完成對一台主機攻擊的操作,從而使主機看起來好象是遭到了不同位置的許多主機的攻擊。這些分散的機器由幾台主控制機操作進行多種類型的攻擊,如UDP flood, SYN flood等。
操作系統和網路設備的缺陷在不斷地被發現並被黑客所利用來進行惡意的攻擊。如果我們清楚的認識到了這一點,我們應當使用下面的兩步來盡量阻止網路攻擊保護我們的網路: 盡可能的修正已經發現的問題和系統漏洞。
識別,跟蹤或禁止這些令人討厭的機器或網路對我們的訪問。
我們先來關注第二點我們面臨的主要問題是如何識別那些惡意攻擊的主機,特別是使用拒絕服務攻擊的機器。因為這些機器隱藏了他們自己的地址,而冒用被攻擊者的地址。攻擊者使用了數以千記的惡意偽造包來使我們的主機受到攻擊。"tfn2k"的原理就象上面講的這么簡單,而他只不過又提供了一個形象的界面。假如您遭到了分布式的拒絕服務攻擊,實在是很難處理。
有一些簡單的手法來防止拒絕服務式的攻擊。最為常用的一種當然是時刻關注安全信息以期待最好的方法出現。管理員應當訂閱安全信息報告,實時的關注所有安全問題的發展。:) 第二步是應用包過濾的技術,主要是過濾對外開放的埠。這些手段主要是防止假冒地址的攻擊,使得外部機器無法假冒內部機器的地址來對內部機器發動攻擊。
對於應該使用向內的包過濾還是使用向外的包過濾一直存在著爭論。RFC 2267建議在全球范圍的互連網上使用向內過濾的機制,但是這樣會帶來很多的麻煩,在中等級別的路由器上使用訪問控制列表不會帶來太大的麻煩,但是已經滿載的骨幹路由器上會受到明顯的威脅。另一方面,ISP如果使用向外的包過濾措施會把過載的流量轉移到一些不太忙的設備上。 ISP也不關心消費者是否在他們的邊界路由器上使用這種技術。當然,這種過濾技術也並不是萬無一失的,這依賴於管理人員採用的過濾機制。
1.ICMP防護措施
ICMP最初開發出來是為了"幫助"網路,經常被廣域網管理員用作診斷工具。但今天各種各樣的不充分的ICMP被濫用,沒有遵守RFC 792原先制訂的標准,要執行一定的策略可以讓它變得安全一些。
入站的ICMP時間標記(Timestamp)和信息請求(Information Request)數據包會得到響應,帶有非法或壞參數的偽造數據包也能產生ICMP參數問題數據包,從而允許另外一種形式的主機搜尋。這仍使得站點沒有得到適當保護。
以秘密形式從主方到客戶方發布命令的一種通用方法,就是使用ICMP Echo應答數據包作為載波。 回聲應答本身不能回答,一般不會被防火牆阻塞。
首先,我們必須根據出站和入站處理整個的"ICMP限制"問題。ICMP回聲很容易驗證遠程機器,但出站的ICMP回聲應該被限制只支持個人或單個伺服器/ICMP代理(首選)。
如果我們限制ICMP回聲到一個外部IP地址(通過代理),則我們的ICMP回聲應答只能進入我們網路中預先定義的主機。
重定向通常可以在路由器之間找到,而不是在主機之間。防火牆規則應該加以調整,使得這些類型的ICMP只被允許在需要信息的網際連接所涉及的路由器之間進行。
建議所有對外的傳輸都經過代理,對內的ICMP傳輸回到代理地址的時候要經過防火牆。這至少限制了ICMP超時數據包進入一個內部地址,但它可能阻塞超時數據包。
當ICMP數據包以不正確的參數發送時,會導致數據包被丟棄,這時就會發出ICMP參數出錯數據包。主機或路由器丟棄發送的數據包,並向發送者回送參數ICMP出錯數據包,指出壞的參數。
總的來說,只有公開地址的伺服器(比如Web、電子郵件和FTP伺服器)、防火牆、聯入網際網路的路由器有真正的理由使用ICMP與外面的世界對話。如果調整適當,實際上所有使用進站和出站ICMP的隱密通訊通道都會被中止。
2. SYN Flood防範
SYN Flood是當前最流行的DoS(拒絕服務攻擊)與DdoS(分布式拒絕服務攻擊)的方式之一,這是一種利用TCP協議缺陷,發送大量偽造的TCP連接請求,從而使得被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方式。對於SYN Flood攻擊,目前尚沒有很好的監測和防禦方法,不過如果系統管理員熟悉攻擊方法和系統架構,通過一系列的設定,也能從一定程度上降低被攻擊系統的負荷,減輕負面的影響。
一般來說,如果一個系統(或主機)負荷突然升高甚至失去響應,使用Netstat 命令能看到大量SYN_RCVD的半連接(數量>500或占總連接數的10%以上),可以認定,這個系統(或主機)遭到了SYN Flood攻擊。遭到SYN Flood攻擊後,首先要做的是取證,通過Netstat –n –p tcp >resault.txt記錄目前所有TCP連接狀態是必要的,如果有嗅探器,或者TcpDump之類的工具,記錄TCP SYN報文的所有細節也有助於以後追查和防禦,需要記錄的欄位有:源地址、IP首部中的標識、TCP首部中的序列號、TTL值等,這些信息雖然很可能是攻擊者偽造的,但是用來分析攻擊者的心理狀態和攻擊程序也不無幫助。特別是TTL值,如果大量的攻擊包似乎來自不同的IP但是TTL值卻相同,我們往往能推斷出攻擊者與我們之間的路由器距離,至少也可以通過過濾特定TTL值的報文降低被攻擊系統的負荷(在這種情況下TTL值與攻擊報文不同的用戶就可以恢復正常訪問)。從防禦角度來說,有幾種簡單的解決方法:
2.1縮短SYN Timeout時間:由於SYN Flood攻擊的效果取決於伺服器上保持的SYN半連接數,這個值=SYN攻擊的頻度 x SYN Timeout,所以通過縮短從接收到SYN報文到確定這個報文無效並丟棄改連接的時間,例如設置為20秒以下(過低的SYN Timeout設置可能會影響客戶的正常訪問),可以成倍的降低伺服器的負荷。
2.2設置SYN Cookie:就是給每一個請求連接的IP地址分配一個Cookie,如果短時間內連續受到某個IP的重復SYN報文,就認定是受到了攻擊,以後從這個IP地址來的包會被丟棄。可是上述的兩種方法只能對付比較原始的SYN Flood攻擊,縮短SYN Timeout時間僅在對方攻擊頻度不高的情況下生效,SYN Cookie更依賴於對方使用真實的IP地址,如果攻擊者以數萬/秒的速度發送SYN報文,同時利用SOCK_RAW隨機改寫IP報文中的源地址,以上的方法將毫無用武之地。
2.3負反饋策略:參考一些流行的操作系統,如Windows2000的SYN攻擊保護機制:正常情況下,OS對TCP連接的一些重要參數有一個常規的設置: SYN Timeout時間、SYN-ACK的重試次數、SYN報文從路由器到系統再到Winsock的延時等等。這個常規設置針對系統優化,可以給用戶提供方便快捷的服務;一旦伺服器受到攻擊,SYN Half link 的數量超過系統中TCP活動 Half Connction最大連接數的設置,系統將會認為自己受到了SYN Flood攻擊,並將根據攻擊的判斷情況作出反應:減短SYN Timeout時間、減少SYN-ACK的重試次數、自動對緩沖區中的報文進行延時等等措施,力圖將攻擊危害減到最低。如果攻擊繼續,超過了系統允許的最大Half Connection 值,系統已經不能提供正常的服務了,為了保證系統不崩潰,可以將任何超出最大Half Connection 值范圍的SYN報文隨機丟棄,保證系統的穩定性。
所以,可以事先測試或者預測該主機在峰值時期的Half Connction 的活動數量上限,以其作為參考設定TCP活動 Half Connction最大連接數的值,然後再以該值的倍數(不要超過2)作為TCP最大Half Connection值,這樣可以通過負反饋的手段在一定程度上阻止SYN攻擊。
2.4退讓策略:退讓策略是基於SYN Flood攻擊代碼的一個缺陷,我們重新來分析一下SYN Flood攻擊者的流程:SYN Flood程序有兩種攻擊方式,基於IP的和基於域名的,前者是攻擊者自己進行域名解析並將IP地址傳遞給攻擊程序,後者是攻擊程序自動進行域名解析,但是它們有一點是相同的,就是一旦攻擊開始,將不會再進行域名解析,我們的切入點正是這里:假設一台伺服器在受到SYN Flood攻擊後迅速更換自己的IP地址,那麼攻擊者仍在不斷攻擊的只是一個空的IP地址,並沒有任何主機,而防禦方只要將DNS解析更改到新的IP地址就能在很短的時間內(取決於DNS的刷新時間)恢復用戶通過域名進行的正常訪問。為了迷惑攻擊者,我們甚至可以放置一台「犧牲」伺服器讓攻擊者滿足於攻擊的「效果」(由於DNS緩沖的原因,只要攻擊者的瀏覽器不重起,他訪問的仍然是原先的IP地址)。
2.5分布式DNS負載均衡:在眾多的負載均衡架構中,基於DNS解析的負載均衡本身就擁有對SYN Flood的免疫力,基於DNS解析的負載均衡能將用戶的請求分配到不同IP的伺服器主機上,攻擊者攻擊的永遠只是其中一台伺服器,一來這樣增加了攻擊者的成本,二來過多的DNS請求可以幫助我們追查攻擊者的真正蹤跡(DNS請求不同於SYN攻擊,是需要返回數據的,所以很難進行IP偽裝)。
2.6防火牆Qos:對於防火牆來說,防禦SYN Flood攻擊的方法取決於防火牆工作的基本原理,一般說來,防火牆可以工作在TCP層之上或IP層之下,工作在TCP層之上的防火牆稱為網關型防火牆,網關型防火牆布局中,客戶機與伺服器之間並沒有真正的TCP連接,客戶機與伺服器之間的所有數據交換都是通過防火牆代理的,外部的DNS解析也同樣指向防火牆,所以如果網站被攻擊,真正受到攻擊的是防火牆,這種防火牆的優點是穩定性好,抗打擊能力強,但是因為所有的TCP報文都需要經過防火牆轉發,所以效率比較低由於客戶機並不直接與伺服器建立連接,在TCP連接沒有完成時防火牆不會去向後台的伺服器建立新的TCP連接,所以攻擊者無法越過防火牆直接攻擊後台伺服器,只要防火牆本身做的足夠強壯,這種架構可以抵抗相當強度的SYN Flood攻擊。但是由於防火牆實際建立的TCP連接數為用戶連接數的兩倍(防火牆兩端都需要建立TCP連接),同時又代理了所有的來自客戶端的TCP請求和數據傳送,在系統訪問量較大時,防火牆自身的負荷會比較高,所以這種架構並不能適用於大型網站。(我感覺,對於這樣的防火牆架構,使用TCP_STATE攻擊估計會相當有效:)
工作在IP層或IP層之下的稱為路由型防火牆,其工作原理有所不同:客戶機直接與伺服器進行TCP連接,防火牆起的是路由器的作用,它截獲所有通過的包並進行過濾,通過過濾的包被轉發給伺服器,外部的DNS解析也直接指向伺服器,這種防火牆的優點是效率高,可以適應100Mbps-1Gbps的流量,但是這種防火牆如果配置不當,不僅可以讓攻擊者越過防火牆直接攻擊內部伺服器,甚至有可能放大攻擊的強度,導致整個系統崩潰。
在這兩種基本模型之外,有一種新的防火牆模型,它集中了兩種防火牆的優勢,這種防火牆的工作原理如下所示:
第一階段,客戶機請求與防火牆建立連接:
第二階段,防火牆偽裝成客戶機與後台的伺服器建立連接
第三階段,之後所有從客戶機來的TCP報文防火牆都直接轉發給後台的伺服器
這種結構吸取了上兩種防火牆的優點,既能完全控制所有的SYN報文,又不需要對所有的TCP數據報文進行代理,是一種兩全其美的方法。近來,國外和國內的一些防火牆廠商開始研究帶寬控制技術,如果能真正做到嚴格控制、分配帶寬,就能很大程度上防禦絕大多數的SYN攻擊。
3.Smurf防範的幾種方法
阻塞Smurf攻擊的源頭:Smurf攻擊依靠攻擊者的力量使用欺騙性源地址發送echo請求。用戶可以使用路由路的訪問保證內部網路中發出的所有傳輸信息都具有合法的源地址,以防止這種攻擊。這樣可以使欺騙性分組無法找到反彈站點。
阻塞Smurf的反彈站點:用戶可以有兩種選擇以阻塞Smurf攻擊的反彈站點。第一種方法可以簡單地阻塞所有入站echo請求,這們可以防止這些分組到達自己的網路。如果不能阻塞所有入站echo請求,用戶就需要讓自己的路由器把網路廣播地址映射成為LAN廣播地址。制止了這個映射過程,自己的系統就不會再收到這些echo請求。
阻止Smurf平台:為防止系統成為 smurf攻擊的平台,要將所有路由器上IP的廣播功能都禁止。一般來講,IP廣播功能並不需要。 如果攻擊者要成功地利用你成為攻擊平台,你的路由器必須要允許信息包以不是從你的內網中產生的源地址離開網路。配置路由器,讓它將不是由你的內網中生成的信息包過濾出去,這是有可能做到的。這就是所謂的網路出口過濾器功能。
防止Smurf攻擊目標站點:除非用戶的ISP願意提供幫助,否則用戶自己很難防止Smurf對自己的WAN接連線路造成的影響。雖然用戶可以在自己的網路設備中阻塞這種傳輸,但對於防止Smurf吞噬所有的WAN帶寬已經太晚了。但至少用戶可以把Smurf的影響限制在外圍設備上。通過使用動態分組過濾技術,或者使用防火牆,用戶可以阻止這些分組進入自己的網路。防火牆的狀態表很清楚這些攻擊會話不是本地網路中發出的(狀態表記錄中沒有最初的echo請求記錄),因些它會象對待其它欺騙性攻擊行為那樣把這樣信息丟棄。
4.UDP Flood防範
以前文提到的trinoo為例,分析如下:
在master程序與代理程序的所有通訊中,trinoo都使用了UDP協議。入侵檢測軟體能夠尋找使用UDP協議的數據流(類型17)。
Trinoo master程序的監聽埠是27655,攻擊者一般藉助telnet通過TCP連接到master程序所在計算機。入侵檢測軟體能夠搜索到使用TCP (類型6)並連接到埠27655的數據流。
所有從master程序到代理程序的通訊都包含字元串"l44",並且被引導到代理的UDP 埠27444。入侵檢測軟體檢查到UDP 埠27444的連接,如果有包含字元串l44的信息包被發送過去,那麼接受這個信息包的計算機可能就是DDoS代理。
Master和代理之間通訊受到口令的保護,但是口令不是以加密格式發送的,因此它可以被「嗅探」到並被檢測出來。使用這個口令以及來自Dave Dittrich的trinot腳本http://staff.washington.e/dittrich/misc/trinoo.analysis,要准確地驗證出trinoo代理的存在是很可能的。
一旦一個代理被准確地識別出來,trinoo網路就可以安裝如下步驟被拆除:
在代理daemon上使用"strings"命令,將master的IP地址暴露出來。
與所有作為trinoo master的機器管理者聯系,通知它們這一事件。
在master計算機上,識別含有代理IP地址列表的文件(默認名"..."),得到這些計算機的IP地址列表。
向代理發送一個偽造"trinoo"命令來禁止代理。通過crontab 文件(在UNIX系統中)的一個條目,代理可以有規律地重新啟動, 因此,代理計算機需要一遍一遍地被關閉,直到代理系統的管理者修復了crontab文件為止。
檢查master程序的活動TCP連接,這能顯示攻擊者與trinoo master程序之間存在的實時連接。
如果網路正在遭受trinoo攻擊,那麼系統就會被UDP 信息包所淹沒。Trinoo從同一源地址向目標主機上的任意埠發送信息包。探測trinoo就是要找到多個UDP信息包,它們使用同一來源IP地址、同一目的IP地址、同一源埠,但是不同的目的埠。
在http://www.fbi.gov/nipc/trinoo.htm上有一個檢測和根除trinoo的自動程序。
5.使用DNS來跟蹤匿名攻擊
從一個網管的觀點來看,防範的目標並不是僅僅阻止拒絕服務攻擊,而是要追究到攻擊的發起原因及操作者。當網路中有人使用假冒了源地址的工具(如tfn2k)時,我們雖然沒有現成的工具來確認它的合法性,但我們可以通過使用DNS來對其進行分析:
假如攻擊者選定了目標www.ttttt.com,他必須首先發送一個DNS請求來解析這個域名,通常那些攻擊工具工具會自己執行這一步,調用gethostbyname()函數或者相應的應用程序介面,也就是說,在攻擊事件發生前的DNS請求會提供給我們一個相關列表,我們可以利用它來定位攻擊者。
使用現成工具或者手工讀取DNS請求日誌,來讀取DNS可疑的請求列表都是切實可行的,然而,它有三個主要的缺點:
攻擊者一般會以本地的DNS為出發點來對地址進行解析查詢,因此我們查到的DNS請求的發起者有可能不是攻擊者本身,而是他所請求的本地DNS伺服器。盡管這樣,如果攻擊者隱藏在一個擁有本地DNS的組織內,我們就可以把該組織作為查詢的起點。
攻擊者有可能已經知道攻擊目標的IP地址,或者通過其他手段(host, ping)知道了目標的IP地址,亦或是攻擊者在查詢到IP地址後很長一段時間才開始攻擊,這樣我們就無法從DNS請求的時間段上來判斷攻擊者(或他們的本地伺服器)。
DNS對不同的域名都有一個卻省的存活時間,因此攻擊者可以使用存儲在DNS緩存中的信息來解析域名。為了更好做出詳細的解析記錄,您可以把DNS卻省的TTL時間縮小,但這樣會導致DNS更多的去查詢所以會加重網路帶寬的使用。
6.主機防範
所有對網際網路提供公開服務的主機都應該加以限制。下面建議的策略可以保護暴露在網際網路上的主機。
將所有公開伺服器與DMZ隔離
提供的每種服務都應該有自己的伺服器。
如果使用Linux(建議這樣做),你就可以使用一個或幾個"緩沖溢出/堆棧執行"補丁或增強來防止絕大多數(如果不能全部)本地或遠程緩沖溢出,以避免這些溢出危及根的安全。強烈建議將Solar Designer的補丁包括在附加的安全特徵中。
使用SRP(Secure Remote Password 安全遠程口令)代替SSH。
限制只有內部地址才能訪問支持SRP的telnet和FTP守護程序,強調只有支持SRP的客戶端才可以與這些程序對話。如果你必須為公開訪問運行常規的FTP(比如匿名FTP),可以在另一個埠運行SRP FTP。
使用可信任的路徑。根用戶擁有的二進制執行程序應該放置的目錄的所有權應該是根,不能讓全部用戶或組都有寫許可權。如果有必要的話,為了強制這樣做,你可以改變內核。
使用內置防火牆功能。通過打開防火牆規則,可以經常利用內核狀態表。
使用一些防埠掃描措施。這可以使用Linux的後台程序功能或通過修改內核實現。
使用Tripwire 和相同作用的軟體來幫助發覺對重要文件的修改。
7.電子郵件炸彈防護
對於保護電子件的安全來說,了解一下電子郵件的發送過程是很有必要的。它的過程是這樣的,當有用戶將郵件寫好之後首先連接到郵件伺服器上,當郵件伺服器有響應時便會啟動郵件工具,調用路由(這里指的是郵件的路由)程序Sendmail進行郵件路由,根據郵件所附的接收地址中指定的接收主機,比如: [email protected]里的163.net,與位於主機163.net電子郵件後台守護程序建立25埠的TCP連接,建立後雙方按照SMTP協議進行交互第進,從而完成郵件的投遞工作,接收方電子郵件接收郵件後,再根據接收用戶名稱,放置在系統的郵件目錄里,如/usr/電子郵件目錄的semxa文件中。接收用戶同樣使用郵件工具獲取和閱讀這些已投遞的郵件。如果投遞失敗的話,這些郵件將重新返回到發送方。實際上電子郵件的發送過程要比這里所說的更為復雜些,在過程里將會涉及很多的配置文件。在現在的SMTP協議是一個基於文本的協議,理解和實現都相對比較簡單些,你可以使用telnet直接登陸到郵件伺服器的25埠(由LANA授權分配給SMTP協議)進行交互。
保護電子信箱郵件的信息安全最有效的辦法就是使用加密的簽名技術,像PGP來驗證郵件,通過驗證可以保護到信息是從正確的地方發來的,而且在傳送過程中不被修改。但是這就不是個人用戶所能達到的了,因為PGP比較復雜。
就電子郵件炸彈而言,保護還是可以做得很好的。因為它的復雜性不是很高,多的僅僅是垃圾郵件而已。你可以使用到http://semxa.kstar.com/hacking/echom201.zip E-mail Chomper(砍信機)來保護自己。但是目前就國內用戶而言,大多用戶所使用的都是免費的郵箱,像yeah.net、163.net、263.net等,即便是有人炸頂多也是留在郵件伺服器上了,危害基本上是沒有的。如果是用pop3接的話,可以用Outlook或Foxmail等pop的收信工具來接收的mail,大多用戶使用的是windows的Outlook Express,可以在「工具-收件箱助理」中設置過濾。對於各種利用電子郵件而傳播的Email蠕蟲病毒和對未知的Emai蠕蟲病毒你可以使用防電子郵件病毒軟體來防護。
另外,郵件系統管理員可以使用「黑名單」來過濾一些垃圾信件。對於不同的郵件系統,大都可以在網路上找到最新的黑名單程序或者列表。
8.使用ngrep工具來處理tfn2k攻擊
根據使用DNS來跟蹤tfn2k駐留程序的原理,現在已經出現了稱為ngrep的實用工具。經過修改的ngrep可以監聽大約五種類型的tfn2k拒絕服務攻擊(targa3, SYN flood, UDP flood, ICMP flood 和 smurf),它還有一個循環使用的緩存用來記錄DNS和ICMP請求。如果ngrep發覺有攻擊行為的話,它會將其緩存中的內容列印出來並繼續記錄ICMP回應請求。假如攻擊者通過ping目標主機的手段來鉚定攻擊目標的話,在攻擊過程中或之後記錄ICMP的回應請求是一種捕獲粗心的攻擊者的方法。由於攻擊者還很可能使用其他的服務來核實其攻擊的效果(例如web),所以對其他的標准服務也應當有盡量詳細的日誌記錄。
還應當注意,ngrep採用的是監聽網路的手段,因此,ngrep無法在交換式的環境中使用。但是經過修改的ngrep可以不必和你的DNS在同一個網段中,但是他必須位於一個可以監聽到所有DNS請求的位置。經過修改的ngrep也不關心目標地址,您可以把它放置在DMZ網段,使它能夠檢查橫貫該網路的tfn2k攻擊。從理論上講,它也可以很好的檢測出對外的tfn2k攻擊。
在ICMP flood事件中,ICMP回應請求的報告中將不包括做為tfn2k flood一部分的ICMP包。Ngrep還可以報告檢測出來的除smurf之外的攻擊類型(TARGA, UDP, SYN, ICMP等)。混合式的攻擊在預設情況下表現為ICMP攻擊,除非你屏蔽了向內的ICMP回應請求,這樣它就表現為UDP或SYN攻擊。這些攻擊的結果都是基本類似的。
9.有關入侵檢測系統的建議
由於許多用來擊敗基於網路的入侵檢測系統的方法對絕大多數商業入侵檢測系統產品仍然是有效的,因此建議入侵檢測系統應該至少有能重組或發覺碎片的自定址數據包。下面是部分要注意的事項:
確信包括了現有的所有規則,包括一些針對分布式拒絕服務攻擊的新規則。
如果遵循了ICMP建議項,許多ICMP會被阻塞,入侵檢測系統觸發器存在許多機會。任何通常情況下要被阻塞的入站或出站的ICMP數據包可以被觸發。
"任何"被你用防火牆分離的網路傳輸都可能是一個潛在的IDS觸發器。
如果你的入侵檢測系統支持探測長時間周期的攻擊,確信沒有把允許通過防火牆的被信任主機排除在外。這也包括虛擬專用網。
如果你能訓練每個使用ping的用戶在ping主機時使用小數據包,就可能設置入侵檢測系統尋找超29位元組的Echo和Echo應答數據包。
本頁內容
目標
適用范圍
如何使用本模塊
摘要
必備知識
抵禦 SYN 攻擊
抵禦 ICMP 攻擊
抵禦 SNMP 攻擊
AFD.SYS 保護
其他保護
缺陷
其他資源
目標
使用本模塊可以實現:
? 強化伺服器的 TCP/IP 堆棧安全
? 保護伺服器免遭「拒絕服務」和其他基於網路的攻擊
? 在檢測到攻擊時啟用 SYN 洪水攻擊保護
? 設置用於確認是什麼構成攻擊的閾值
返回頁首
適用范圍
本模塊適用於下列產品和技術:
? Microsoft Windows 2000 Server 和 Windows 2000 Advanced Server
返回頁首
如何使用本模塊
默認情況下,本模塊中的一些注冊表項和值可能不存在。在這些情況下,請創建這些注冊表項、值和數值數據。
有關 Windows 2000 控制的 TCP/IP 網路設置的注冊表的詳細信息,請參閱白皮書「Microsoft Windows 2000 TCP/IP Implementation Details」,網址為 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/network/deploy/depovg/tcpip2k.asp(英文)
注意:這些設置會修改伺服器上 TCP/IP 的工作方式。Web 伺服器的特徵將確定觸發拒絕服務對策的最佳閾值。對於客戶端的連接,一些值可能過於嚴格。在將本模塊的建議部署到產品伺服器之前,要對這些建議進行測試。
返回頁首
摘要
TCP/IP 堆棧負責處理傳入和傳出的 IP 數據包,並將數據包中的數據路由到要處理它們的應用程序。默認情況下,TCP/IP 天生就是一個不安全的協議。但是,Microsoft? Windows? 2000 版本允許您配置其操作,以抵禦網路級別的大多數拒絕服務攻擊。
本模塊解釋如何強化 TCP/IP 堆棧的安全,以及如何在 Windows 注冊表內配置各種 TCP/IP 參數,以便保護伺服器免遭網路級別的拒絕服務攻擊,包括 SYS 洪水攻擊、ICMP 攻擊和 SNMP 攻擊。
返回頁首
必備知識
可以在 Windows 注冊表內配置各種 TCP/IP 參數,以便保護伺服器免遭網路級別的拒絕服務攻擊,包括 SYS 洪水攻擊、ICMP 攻擊和 SNMP 攻擊。可以配置注冊表項,以便:
? 在檢測到攻擊時啟用 SYN 洪水攻擊保護機制。
? 設置用於確認構成攻擊的閾值。
本「如何」向管理員介
『叄』 簡述計算機的網路故障分類及其解決方法
1.故障現象:網路適配器(網卡)設置與計算機資源有沖突。
分析、排除:通過調整網卡資源中的IRQ和I/O值來避開與計算機其它資源的沖突。有些情況還需要通過設置主板的跳線來調整與其它資源的沖突。
2.故障現象:網吧區域網中其他客戶機在「網上鄰居」上都能互相看見,而只有某一台計算機誰看不見它,它也看不見別的計算機。(前提:該網吧的區域網是通過HUB或交換機連接成星型網路結構)
分析、排除:檢查這台計算機系統工作是否正常;檢查這台計算機的網路配置;檢查這台計算機的網卡是否正常工作;檢查這台計算機上的網卡設置與其他資源是否有沖突;檢查網線是否斷開;檢查網線接頭接觸是否正常。
3.故障現象:網吧區域網中有兩個網段,其中一個網網段的所有計算機都不能上網際網路。(前提:該網吧的區域網通過兩個HUB或交換機連接著兩個的網段)
分析、排除:兩個網段的干線斷了或干線兩端的接頭接處不良。檢查伺服器中對該網段的設置項。
4.故障現象:網吧區域網中所有的計算機在「網上鄰居」上都能互相看見。(前提:該網吧的區域網是通過HUB或交換機連接成星型網路結構)
分析、排除:檢查HUB或交換機工作是否正常。
5.故障現象:網吧區域網中某台客戶機在「網上鄰居」上都能看到伺服器,但就是不能上網際網路。(前提:伺服器指代理網吧區域網其他客機上網際網路的那台計算機,以下同)
分析、排除:檢查這台客戶機TCP/IP協議的設置,檢查這台客戶機中IE瀏覽器的設置,檢查伺服器中有關對這台客戶機的設置項。
6.故障現象:網吧整個區域網上的所有的計算機都不能上網際網路。
分析、排除:伺服器系統工作是否正常;伺服器是否掉線了;數據機工作是否正常;局端工作是否正常。
7.故障現象:網吧區域網中除了伺服器能上網其他客戶機都不能上網。
分析、排除:檢查HUB或交換機工作是否正常;檢查伺服器與HUB或交換機連接的網路部分(含:網卡、網線、接頭、網路配置)工作是否正常;檢查伺服器上代理上網的軟體是否正常啟動運行;設置是否正常。
8.故障現象:進行撥號上網操作時,MODEN沒有撥號聲音,始終連接不上網際網路,MODEN上指示燈也不閃。
分析、排除:電話線路是否占線;接MODEN的伺服器的連接(含:連線、接頭)是否正常;電話線路是否正常,有無雜音干擾;撥號網路配置是否正確;MODEN的配置設置是否正確,檢查撥號音的音頻或脈沖方式是否正常。
9.故障現象:系統檢測不到MODEN(若MODEN是正常的)。
分析、排除:重新安裝一遍MODEN,注意通訊埠的正確位置。
10.故障現象:連接網際網路速度過慢。
分析、排除:檢查伺服器系統設置在「撥號網路」中的埠連接速度是否是設置的最大值;線路是否正常;可通過優化MODEN的設置來提高連接的速度;通過修改注冊表也可以提高上網速度;同時上網的客戶機是否很多;若是很多,而使連接速度過慢是正常現象。
11.故障現象:計算機屏幕上出現「錯誤 678」 或「錯誤 650」 的提示框。
分析、排除:一般是你所撥叫的伺服器線路較忙、占線,暫時無法接通,你可進一會後繼續重撥。
12.故障現象:計算機屏幕上出現「錯誤680:沒有撥號音。請檢測數據機是否正確連到電話線。」或者「There is no dialtone。 Make sure your Modem is connected to the phone line properly。」的提示框。
分析、排除:檢測數據機工作是否正常,是否開啟;檢查電話線路是否正常,是否正確接入數據機,接頭有無松動。
13.故障現象:計算機屏幕上出現「The Modem is being used by another Dial-up Networding connection or another program。Disconnect the other connection or close the program,and then try again」的提示框。
分析、排除:檢查是否有另一個程序在使用數據機;檢查數據機與埠是否有沖突。
14.故障現象:計算機屏幕上出現「The computer you are dialing into is not answering。Try again later」的提示框。
分析、排除:電話系統故障或線路忙,過一會兒再撥。
15.故障現象:計算機屏幕上出現「Connection to xx.xx.xx. was terminated. Do you want to reconnect?」的提示框。
分析、排除:電話線路中斷使撥號連接軟體與ISP主機的連接被中斷,過一會重試。
16.故障現象:計算機屏幕上出現「The computer is not receiving a response from the Modem. Check that the Modem is plugged in,and if necessary,turn the Modem off ,and then turn it back on」的提示框。
分析、排除:檢查數據機的電源是否打開;檢查與數據機連接的線纜是否正確的連接。
17.故障現象:計算機屏幕上出現「Modem is not responding」的提示框。
分析、排除:表示數據機沒有應答;檢查數據機的電源是否打開;檢查與數據機連接的線纜是否正確連接;數據機是損壞。
18.故障現象:計算機屏幕上出現「NO CARRIER」的提示信息。
分析、排除:表示無載波信號。這多為非正常關閉數據機應用程序或電話線路故障;檢查與數據機連接的線纜是否正確的連接;檢查數據機的電源是否打開。
19.故障現象:計算機屏幕上出現「No dialtone」 的提示框。
分析、排除:表示無撥號聲音;檢查電話線與數據機是否正確連接。
20.故障現象:計算機屏幕上出現「Disconnected」的提示時。
分析、排除:表示終止連接;若該提示是在撥號時出現,檢查數據機的電源是否打開;若該提示是使用過程中出現,檢查電話是否在被人使用。
21.故障現象:計算機屏幕上出現「ERROR」 的提示框。
分析、排除:是出錯信息;數據機工作是否正常,電源是否打開;正在執行的命令是否正確。
22.故障現象:計算機屏幕上出現「A network error occurred unable to connect to server (TCP Error:No router to host)The server may be down or unreadchable。Try connectin gagain later」的提示時。
分析、排除故障:表示是網路錯誤,可能是TCP協議錯誤;沒有路由到主機,或者是該伺服器關機而導致不能連接,這時只有重試了。
23.故障現象:計算機屏幕上出現「The line id busy, Try again later」或「BUSY」的提示時。
分析、排除:表示占線,這時只在重試了。
24.故障現象:計算機屏幕上出現:「The option timed out」的提示時。
分析、排除:表示連接超時,多為通訊網路故障,或被叫方忙,或輸入網址錯誤。向局端查詢通訊網路工作情況是否正常。檢查輸入網址是否正確。
25.故障現象:計算機屏幕上出現「Another program is dialing the selected connection」的提示時。
分析、排除:表示有另一個應用程序已經在使用撥號網路連接了。只有停止該連接後才能繼續我們的撥號連接。
26.故障現象:在用IE瀏覽器瀏覽中文站點時出現亂碼。
分析、排除故障:IE瀏覽器中西文軟體不兼容造成的漢字會顯示為亂碼,可試用NetScape的瀏覽器看看;我國使用的漢字內碼是GB,而台灣使用的是BIG5,若是這個原因造成的漢字顯示為亂碼,可用RichWin變換內碼試試。
27.故障現象:瀏覽網頁的速度較正常情況慢。
分析、排除:主幹線路較擁擠,造成網速較慢;(屬正常情況)瀏覽某一網頁的人較多,造成網速較慢;(屬正常情況)有關Modem的設置有問題;局端線路有問題。
28.故障現象:能正常上網,但總是時斷時續的。
分析、排除:電話線路問題,線路質量差;數據機的工作不正常,影響上網的穩定性。
29.故障現象:用撥號上網時,聽不見撥號音,無法進行撥號。
分析、排除:檢查數據機工作是否正常,電源打開否,電纜線接好了沒,電話線路是否正常。(大眾網路報)
30.故障現象:在撥號上網的過程中,能聽見撥號音,但沒有撥號的動作,而計算機卻提示「無撥號聲音」。
分析、排除:可通過修改配置,使撥號器不去檢測撥號聲音。可進入「我的連接」的屬性窗口,單擊「配置」標簽,在「連接」一欄中去掉「撥號前等待撥號音」的復選框。
31.故障現象:在撥號上網的過程中,計算機屏幕上出現:「已經與您的計算機斷開,雙擊『連接』重試。」的提示時。
分析、排除:電話線路質量差,雜訊大造成的,可撥打:112報修。也可能是病毒造成的,用殺毒軟體殺一遍毒。
32.故障現象:若計算機屏幕上出現:「撥號網路無法處理在『伺服器類型』設置中指定的兼容網路協議」的提示時。
分析、排除:檢查網路設置是否正確;數據機是否正常;是否感染上了宏病毒,用最新的殺毒軟體殺一遍毒。
33.故障現象:Windows 98網上鄰居中找不到域及伺服器,但可找到其他的工作站。
分析、排除:在「控制面板→網路→Microsoft網路客戶」中,將登錄時Windows 98與網路的連接由慢速改為快速連接。
34.故障現象:在查看"網上鄰居"時,會出現「無法瀏覽網路。網路不可訪問。想得到更多信息,請查看『幫助索引『中的『網路疑難解答』專題。」的錯誤提示。
分析、排除:第一種情況是因為在Windows啟動後,要求輸入Microsoft網路用戶登錄口令時,點了"取消"按鈕所造成的,如果是要登錄NT伺服器,必須以合法的用戶登錄,並且輸入正確口令。第二種情況是與其它的硬體產生沖突。打開「控制面板→系統→設備管理」。查看硬體的前面是否有黃色的問號、感嘆號或者紅色的問號。如果有,必須手工更改這些設備的中斷和I/O地址設置。
35.故障現象:在「網上鄰居」或「資源管理器」中只能找到本機的機器名。
分析、排除:網路通信錯誤,一般是網線斷路或者與網卡的接確不良,還有可能是Hub有問題。
36.故障現象:安裝網卡後,計算機啟動的速度慢了很多。
分析、排除:可能在TCP/IP設置中設置了"自動獲取IP地址",這樣每次啟動計算機時,計算機都會主動搜索當前網路中的DHCP伺服器,所以計算機啟動的速度會大大降低。解決的方法是指定靜態的IP地址。(大眾網路報)
37.故障現象:網路安裝後,在其中一台計算機上的「網路鄰居」中看不到任何計算機?
分析、排除:主要原因可能是網卡的驅動程序工作不正常。請檢查網卡的驅動程序,必要時重新安裝驅動程序。
38.故障現象:從「網路鄰居」中能夠看到別人的機器,但不能讀取別人電腦上的數據?
分析、排除:
(1)首先必須設置好資源共享。選擇"網路→配置→文件及列印共享",將兩個選項全部打勾並確定,安裝成功後在"配置"中會出現"Microsoft網路上的文件與列印機共享"選項。
(2)檢查所安裝的所有協議中,是否綁定了"Microsoft網路上的文件與列印機共享"。選擇"配置"中的協議如"TCP/IP協議",點擊"屬性"按鈕,確保綁定中"Microsoft網路上的文件與列印機共享"、"Microsoft網路用戶"前已經打勾了。
39.故障現象:在安裝網卡後通過"控制面板→系統→設備管理器"查看時,報告"可能沒有該設備,也可能此設備未正常運行,或是沒有安裝此設備的所有驅動程序"的錯誤信息。
分析、排除:
(1)沒有安裝正確的驅動程序,或者驅動程序版本不對。
(2)中斷號與I/O地址沒有設置好。有一些網卡通過跳線開關設置;另外一些是通過隨卡帶的軟盤中的Setup程序進行設置。
40.故障現象:已經安裝了網卡和各種網路通訊協議,但網路屬性中的選擇框"文件及列印共享"為灰色,無法選擇。
分析、排除:原因是沒有安裝"Microsoft網路上的文件與列印共享"組件。在"網路"屬性窗口的"配置"標簽里,單擊"添加"按鈕,在"請選擇網路組件"窗口單擊"服務",單擊"添加"按鈕,在"選擇網路服務"的左邊窗口選擇"Microsoft",在右邊窗口選擇"Microsoft網路上的文件與列印機共享",單擊"確定"按鈕,系統可能會要求插入Windows安裝光碟,重新啟動系統即可。
41.故障現象:無法在網路上共享文件和列印機。
分析、排除:
(1)確認是否安裝了文件和列印機共享服務組件。要共享本機上的文件或列印機,必須安裝"Microsoft網路上的文件與列印機共享"服務。
(2)確認是否已經啟用了文件或列印機共享服務。在"網路"屬性框中選擇"配置"選項卡,單擊"文件與列印機共享"按鈕,然後選擇"允許其他用戶訪問的我的文件"和"允許其他計算機使用我的列印機"選項。
(3)確認訪問服務是共享級訪問服務。在"網路"屬性的"訪問控制"裡面應該選擇"共享級訪問"。
42.故障現象:客戶機無法登錄到網路上。
分析、排除:
(1)檢查計算機上是否安裝了網路適配器,該網路適配器工作是否正常。
(2)確保網路通信正常,即網線等連接設備完好。
(3)確認網路適配器的中斷和I/O地址沒有與其他硬體沖突。
(4)網路設置可能有問題。
43.故障現象:無法將台式電腦與筆記本電腦使用直接電纜連接。
分析、排除:筆記本電腦自身可能帶有PCMCIA網卡,在"我的電腦→控制面板→系統→設備管理器"中刪除該"網路適配器"記錄後,重新連接即可。
44.故障現象:在網上鄰居上可以看到其它機器,別人卻看不到自己?
分析、排除:經檢查網路配置,發現是漏裝"Microsoft網路上的文件與列印機共享"所致。解決辦法:開始設置控制面板網路,單擊"添加",在網路組件中選擇"服務",單擊"添加"按鈕,型號中選擇"Microsoft網路上的文件與列印機共享"即可。重新啟動後問題解決。
45.故障現象:在網上鄰居上只能看到計算機名,卻沒有任何內容?
分析、排除:出現這種問題時一般都以為是將文件夾沒有共享所致。打開資源管理器,點取要共享的文件夾,卻發現右鍵菜單中的"共享"項都消失了。解決辦法是右擊「網上鄰居」圖標,點取「文件及列印共享」,鉤選「允許其它用戶訪問我的文件」,重啟後,問題解決。
46.故障現象:在Windows 98的「網上鄰居」中找不到域及伺服器,但可找到其他的工作站?
分析、排除:在「控制面板→網路→Microsoft網路客戶」中,將登錄時Windows 98與網路的連接由慢速改為快速連接。
47.故障現象:在查看「網上鄰居」時,會出現「無法瀏覽網路。網路不可訪問。想得到更多信息,請查看'幫助索引'中的'網路疑難解答'專題。」的錯誤提示。
分析、排除:
(1)這是在Windows啟動後,要求輸入Microsoft網路用戶登錄口令時,點了「取消」按鈕所造成的,如果是要登錄Windows NT或者Windows 2000伺服器,必須以合法的用戶登錄,並且輸入正確口令。
(2)與其它的硬體起沖突。打開「控制面板→系統→設備管理」。查看硬體的前面是否有黃色的問號、感嘆號或者紅色的問號。如果有,必須手工更改這些設備的中斷和I/O地址設置。
48.故障現象:用Windows 2000專業版做伺服器,然後用Windows 98做客戶機,網上鄰居正常,Windows 98與Windows 98之間突然變得很慢,但從Windows 2000訪問Windows 98卻很快。
分析、排除:大家在通過網路系統瀏覽共享文件時,大概都會要等上30秒鍾。這其實是因為Windows 2000多個BUG,一定要先在「計劃任務」里搜索,再找出共享文件。而我們提到的這個方法就是專門修補這個BUG的,如果做一些改動的話,Windows 2000的用戶就會發現,無論是互聯網還是視窗瀏覽的速度都有了很顯著的提高:
打開注冊表
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer/RemoteComputer/NameSpace
在其分欄出選擇鍵值:
{D6277990 -4C 6A -11CF-8D87-00AA 0060F 5BF
然後刪除。
因為就是這個健值引導Windows去搜索「計劃任務」。不需要重新開機,幾乎立刻就可以感受到你的瀏覽程序快了很多!
49.故障現象:已經按照要求安裝、設置好Sygate,但伺服器仍不能連接網路。
分析、排除:使用Sygate中特有的Sygate Diagnostics(診斷)功能。可以通過以下兩種方式來啟動診斷醫生,在Sygate王界面的工具欄電權擊Diagnosticstool(診斷工具)圖標,或者點去開始一程序一Sygate——Sygate Diagnostics。這時診斷工具會依次測試系統設置、網路適配器、撥號連接、TCP/IP協議與設置等。如果測試不能通過,系統會出現一個提示,描述問題及指點正確的方向。此時你可以根據提示作相應的更改。如果測試通過,診斷工具會顯示已經測試通過的提示。
50.故障現象:正確安裝Sygate4後,網路中的某些客戶機不能正常使用。
分析、排除:一般情況,客戶機不能正常使用多為TCP/IP的配置出現問題,當然也不排除操作系統和硬體(比如網卡已壞等)的問題,在這種情況下,你可以使用Sygate的Troubleshooting(發現並解決故障)功能,在出現的表單中詳細列出使用Sygate後產生的信息資料,例如:sdsys.log、Sygate.log、sgconf.log、sgsys.log等,在這些日誌中包含了伺服器、操作系統、撥號網路、網卡、瀏覽網址、應用程序等詳細資料,你可以根據這些資料來判斷故障,然後作出相應修改。
51.故障現象:自從安裝Sygate後,伺服器經常會莫名其妙自動撥號上網。
分析、排除:這是因為網路中的客戶機啟動了某些網路軟體,例如瀏覽器、電子郵件軟體等,而又在配置中勾進了Enable Dial-on-Demand For Cline(允許客戶機撥號),這樣當SyGate偵測到網路中有連接到Internet的請求,如此時系統尚未建立連接,便會自動撥號。只要去掉前面的小勾,即能解決這個問題。
52.故障現象:用分機電話線上網,Modem為實達網上之星,上網連接速度最快才48000bps。還有,將Modem放在主機箱側,開機後(未打開Modem電源),家裡的電話就處於忙音狀態。
分析、排除:第一個問題跟分機電話線或線接頭質量有很大關系,另外,如果Modem的速度平常都能接近48000bps,也不要太在意,應該重點先看一下它的實際下載速度是否令你滿意。第二個問題,肯定和主機電源的電磁輻射強和屏蔽效果差有關,最好用物體在主機和Modem之間進行屏蔽,或將Modem遠離主機。
53.故障現象:一台計算機通過區域網連接,一切正常。但是換了一個硬碟、重新安裝Win98操作系統後,查看網上鄰居時,只能看到自己的計算機和所屬的工作組;而訪問外部網卻沒有問題,收發郵件也沒問題。
分析、排除:啟動電腦後不要立即打開網上鄰居,而是等一下再打開,並且按F5鍵刷新,一般可以看到新的工作組和用戶。如果實在不行,就用查找計算機,找到其他組的計算機後作成快捷方式放在桌面上。
54.故障現象:有時ADSL的訪問速度較平時慢。
分析、排除:原因很多:可能是出口帶寬及對方站點配置情況等原因的影響;可能是線路的質量情況的影響;可能是接入局端設備影響。
55.故障現象:在Windows NT4.0操作系統上已經安裝了Modem、TCP/IP協議和RAS服務,但在拔號上網鐵過程中,計算機屏幕上出:「734錯誤,對方伺服器終止(口令和用戶名均無誤,在Windows下可以正常上網)」的提示框。
分析、排除:在「設置」中不要輸入域名試試看。
56.故障現象:在Windows NT4.0操作系統上撥號上網的過程中,在檢測用戶名和密碼時要斷線。
分析、排除:可以將驗證密碼的選項改成明文驗證方式試試看;可以把撥號網路屬性中「撥號後出現終端窗口」復選框選中試試看。
57.故障現象: 在Windows NT4.0操作系統上撥號上網的過程中,在檢測用戶名和密碼後自動斷開。
分析、排除:可在「新的電話簿項」中,單擊「安全」項,然後在「認證與加密規則」中選中「接受任何驗證」。
58.故障現象:只要一啟動IE瀏覽器,就會自動執行發送和接收郵件。
分析、排除:可打開IE瀏覽器,在菜單欄中單擊「工具(T)」項,在彈出的下拉式菜單中選中並單擊「Internet選項(O)」項,在彈出的對話框中單擊「常規」標簽,去掉「啟動時自動接收所有帳號怕郵件」項便可以了。
『肆』 FTP連接失敗的原因
考慮以下原因:
1、防火牆擋住了
2、沒有查看內容的許可權
3、網管屏蔽了FTP埠
默認是pasv模式,因為服務端防火牆的設置,客戶端不能用pasv模式,將設置中的pasv模式置為空,就正常了
FTP連接伺服器失敗的原因一般有以下幾種:
1、網路不通導致FTP連接伺服器失敗
有時可能是由伺服器或者電腦本地網路有問題,導致FTP連接伺服器失敗。可以通過瀏覽器查看網頁測試是否是網路問題。
2、伺服器出現宕機、死機、重啟等情況
我們在租用伺服器時,都會對伺服器的訪問速度及穩定性進行考察。伺服器出現右機、死機、重啟等情況不僅會導致FIP連接伺服器失敗,也直接導致網站無法正常運營,從而影響網站優化排名及用戶體驗。如果出現此情況,盡快聯系伺服器提供商進行解決。
3、防火牆設置出現問題導致伺服器連接失敗查看我們的防火牆設置是否勾選了「PASV模式」,如果勾選,那麼將取消,然後嘗試重新連接。
4、FTP軟體出現問題導致連接伺服器失敗有時我們會忘記對軟體的及時更新,所以導致使用的FTP軟體版本過低或者被停用,再或者該軟體出現了問題。此時我們可以先刪除現有軟體,然後重新安裝。
5、短時間內連接伺服器次數過多
可能由於FTP連接伺服器的速度稍微有些慢,我們等待的比較著急,就不停地點擊連接按鈕,導致短時間內容連接次數過於頻繁而連接失敗。
6、伺服器被ISP屏蔽導致FTP連接伺服器失敗判斷伺服器是否被ISP屏蔽,可以通過使用代理伺服器進行連接測試。
7、租用的伺服器後台被關閉
如果以上幾種情況都被排除,那麼很有可能是我們所租用的伺服器後台被關閉了,此時需要連接伺服器提供商進行核查與修改。
FTP連接伺服器失敗的原因有很多,基本比較常見的情況就是以上幾種。為保障網站的正常運營,當出現FTP伺服器失敗的情況,應及時檢查其原因並解決。
拓展資料:
FTP是File Transfer Protocol(文件傳輸協議)的縮寫,用來在兩台計算機之間互相傳送文件。相比於HTTP,FTP協議要復雜得多。復雜的原因,是因為FTP協議要用到兩個TCP連接,一個是命令鏈路,用來在FTP客戶端與伺服器之間傳遞命令;另一個是數據鏈路,用來上傳或下載數據。
『伍』 瀏覽網頁遇到問題:ONE MORE STEP
是CloudFlare的東西,作用是防DDOS之類的攻擊。出現這個的意思是大概你的IP或者IP段被判定為攻擊源了。解決方法是在下面輸驗證碼,但是那個驗證碼好像是Google的需要搭梯子才能填。所以可能目前暫時無解,等一段時間估計會好的,或者聯系一下網站管理員看能否添加白名單過濾掉你的IP。
『陸』 Win10系統delivery optimization服務佔用網速怎麼辦
按下【Win+i】組合鍵打開windows 設置;
點擊【更新和安全】;
在Windows 更新 右側點擊【高級選項】;
點擊【選擇如何提供更新】;
在更新來自多個位置下面將「開關」關閉即可;
操作完成後即可解決delivery optimization暫用網速的問題。
可以查看這個裡面是否有更進一步的進程信息等,
還可能是windows操作系統還在做一些更新處理等。
等它更新完了就好了。
『柒』 如何打開或關閉信息中心的調試/日誌/告警等顯示信息
系統日誌源自航海日誌:當人們出海遠行的時候,總是要做好航海日誌,以便為以後的工作做出依據。日誌文件作為微軟Windows系列操作系統中的一個比較特殊的文件,在安全方面具有無可替代的價值。日誌每天為我們忠實的記錄著系統所發生一切,利用系統日誌文件,可以使系統管理員快速對潛在的系統入侵作出記錄和預測,但遺憾的是目前絕大多數的人都忽略了它的存在。反而是因為黑客們光臨才會使我們想起這個重要的系統日誌文件。7.1日誌文件的特殊性要了解日誌文件,首先就要從它的特殊性講起,說它特殊是因為這個文件由系統管理,並加以保護,一般情況下普通用戶不能隨意更改。我們不能用針對普通TXT文件的編輯方法來編輯它。例如WPS系列、Word系列、寫字板、Edit等等,都奈何它不得。我們甚至不能對它進行「重命名」或「刪除」、「移動」操作,否則系統就會很不客氣告訴你:訪問被拒絕。當然,在純DOS的狀態下,可以對它進行一些常規操作(例如Win98狀態下),但是你很快就會發現,你的修改根本就無濟於事,當重新啟動Windows98時,系統將會自動檢查這個特殊的文本文件,若不存在就會自動產生一個;若存在的話,將向該文本追加日誌記錄。7.1.1黑客為什麼會對日誌文件感興趣黑客們在獲得伺服器的系統管理員許可權之後就可以隨意破壞系統上的文件了,包括日誌文件。但是這一切都將被系統日誌所記錄下來,所以黑客們想要隱藏自己的入侵蹤跡,就必須對日誌進行修改。最簡單的方法就是刪除系統日誌文件,但這樣做一般都是初級黑客所為,真正的高級黑客們總是用修改日誌的方法來防止系統管理員追蹤到自己,網路上有很多專門進行此類功能的程序,例如Zap、Wipe等。7.1.2Windows系列日誌系統簡介1.Windows98的日誌文件因目前絕大多數的用戶還是使用的操作系統是Windows98,所以本節先從Windows98的日誌文件講起。Windows98下的普通用戶無需使用系統日誌,除非有特殊用途,例如,利用Windows98建立個人Web伺服器時,就會需要啟用系統日誌來作為伺服器安全方面的參考,當已利用Windows98建立個人Web伺服器的用戶,可以進行下列操作來啟用日誌功能。(1)在「控制面板」中雙擊「個人Web伺服器」圖標;(必須已經在配置好相關的網路協議,並添加「個人Web伺服器」的情況下)。(2)在「管理」選項卡中單擊「管理」按鈕;(3)在「Internet服務管理員」頁中單擊「WWW管理」;(4)在「WWW管理」頁中單擊「日誌」選項卡;(5)選中「啟用日誌」復選框,並根據需要進行更改。將日誌文件命名為「Inetserver_event.log」。如果「日誌」選項卡中沒有指定日誌文件的目錄,則文件將被保存在Windows文件夾中。普通用戶可以在Windows98的系統文件夾中找到日誌文件schedlog.txt。我們可以通過以下幾種方法找到它。在「開始」/「查找」中查找到它,或是啟動「任務計劃程序」,在「高級」菜單中單擊「查看日誌」來查看到它。Windows98的普通用戶的日誌文件很簡單,只是記錄了一些預先設定的任務運行過程,相對於作為伺服器的NT操作系統,真正的黑客們很少對Windows98發生興趣。所以Windows98下的日誌不為人們所重視。2.WindowsNT下的日誌系統WindowsNT是目前受到攻擊較多的操作系統,在WindowsNT中,日誌文件幾乎對系統中的每一項事務都要做一定程度上的審計。WindowsNT的日誌文件一般分為三類:系統日誌:跟蹤各種各樣的系統事件,記錄由WindowsNT的系統組件產生的事件。例如,在啟動過程載入驅動程序錯誤或其它系統組件的失敗記錄在系統日誌中。應用程序日誌:記錄由應用程序或系統程序產生的事件,比如應用程序產生的裝載dll(動態鏈接庫)失敗的信息將出現在日誌中。安全日誌:記錄登錄上網、下網、改變訪問許可權以及系統啟動和關閉等事件以及與創建、打開或刪除文件等資源使用相關聯的事件。利用系統的「事件管理器」可以指定在安全日誌中記錄需要記錄的事件,安全日誌的默認狀態是關閉的。WindowsNT的日誌系統通常放在下面的位置,根據操作系統的不同略有變化。C:\systemroot\system32\config\sysevent.evtC:\systemroot\system32\config\secevent.evtC:\systemroot\system32\config\appevent.evtWindowsNT使用了一種特殊的格式存放它的日誌文件,這種格式的文件可以被事件查看器讀取,事件查看器可以在「控制面板」中找到,系統管理員可以使用事件查看器選擇要查看的日誌條目,查看條件包括類別、用戶和消息類型。3.Windows2000的日誌系統與WindowsNT一樣,Windows2000中也一樣使用「事件查看器」來管理日誌系統,也同樣需要用系統管理員身份進入系統後方可進行操作,如圖7-1所示。圖7-1在Windows2000中,日誌文件的類型比較多,通常有應用程序日誌,安全日誌、系統日誌、DNS伺服器日誌、FTP日誌、WWW日誌等等,可能會根據伺服器所開啟的服務不同而略有變化。啟動Windows2000時,事件日誌服務會自動啟動,所有用戶都可以查看「應用程序日誌」,但是只有系統管理員才能訪問「安全日誌」和「系統日誌」。系統默認的情況下會關閉「安全日誌」,但我們可以使用「組策略」來啟用「安全日誌」開始記錄。安全日誌一旦開啟,就會無限制的記錄下去,直到裝滿時停止運行。Windows2000日誌文件默認位置:應用程序日誌、安全日誌、系統日誌、DNS日誌默認位置:%systemroot%\system32\config,默認文件大小512KB,但有經驗的系統管理員往往都會改變這個默認大小。安全日誌文件:c:\systemroot\system32\config\SecEvent.EVT系統日誌文件:c:\systemroot\system32\config\SysEvent.EVT應用程序日誌文件:c:\systemroot\system32\config\AppEvent.EVTInternet信息服務FTP日誌默認位置:c:\systemroot\system32\logfiles\msftpsvc1\。Internet信息服務WWW日誌默認位置:c:\systemroot\system32\logfiles\w3svc1\。Scheler伺服器日誌默認位置:c:\systemroot\schedlgu.txt。該日誌記錄了訪問者的IP,訪問的時間及請求訪問的內容。因Windows2000延續了NT的日誌文件,並在其基礎上又增加了FTP和WWW日誌,故本節對FTP日誌和WWW日誌作一個簡單的講述。FTP日誌以文本形式的文件詳細地記錄了以FTP方式上傳文件的文件、來源、文件名等等。不過由於該日誌太明顯,所以高級黑客們根本不會用這種方法來傳文件,取而代之的是使用RCP。FTP日誌文件和WWW日誌文件產生的日誌一般在c:\systemroot\system32\LogFiles\W3SVC1目錄下,默認是每天一個日誌文件,FTP和WWW日誌可以刪除,但是FTP日誌所記錄的一切還是會在系統日誌和安全日誌里記錄下來,如果用戶需要嘗試刪除這些文件,通過一些並不算太復雜的方法,例如首先停止某些服務,然後就可以將該日誌文件刪除。具體方法本節略。Windows2000中提供了一個叫做安全日誌分析器(CyberSafeLogAnalyst,CLA)的工具,有很強的日誌管理功能,它可以使用戶不必在讓人眼花繚亂的日誌中慢慢尋找某條記錄,而是通過分類的方式將各種事件整理好,讓用戶能迅速找到所需要的條目。它的另一個突出特點是能夠對整個網路環境中多個系統的各種活動同時進行分析,避免了一個個單獨去分析的麻煩。4.WindowsXP日誌文件說WindowsXP的日誌文件,就要先說說Internet連接防火牆(ICF)的日誌,ICF的日誌可以分為兩類:一類是ICF審核通過的IP數據包,而一類是ICF拋棄的IP數據包。日誌一般存於Windows目錄之下,文件名是pfirewall.log。其文件格式符合W3C擴展日誌文件格式(W3CExtendedLogFileFormat),分為兩部分,分別是文件頭(HeadInformation)和文件主體(BodyInformation)。文件頭主要是關於Pfirewall.log這個文件的說明,需要注意的主要是文件主體部分。文件主體部分記錄有每一個成功通過ICF審核或者被ICF所拋棄的IP數據包的信息,包括源地址、目的地址、埠、時間、協議以及其他一些信息。理解這些信息需要較多的TCP/IP協議的知識。ICF生成安全日誌時使用的格式是W3C擴展日誌文件格式,這與在常用日誌分析工具中使用的格式類似。當我們在WindowsXP的「控制面板」中,打開事件查看器,如圖7-2所示。就可以看到WindowsXP中同樣也有著系統日誌、安全日誌和應用日誌三種常見的日誌文件,當你單擊其中任一文件時,就可以看見日誌文件中的一些記錄,如圖7-3所示。圖7-2圖7-3在高級設備中,我們還可以進行一些日誌的文件存放地址、大小限制及一些相關操作,如圖7-4所示。圖7-4若要啟用對不成功的連接嘗試的記錄,請選中「記錄丟棄的數據包」復選框,否則禁用。另外,我們還可以用金山網鏢等工具軟體將「安全日誌」導出和被刪除。5.日誌分析當日誌每天都忠實的為用戶記錄著系統所發生的一切的時候,用戶同樣也需要經常規范管理日誌,但是龐大的日誌記錄卻又令用戶茫然失措,此時,我們就會需要使用工具對日誌進行分析、匯總,日誌分析可以幫助用戶從日誌記錄中獲取有用的信息,以便用戶可以針對不同的情況採取必要的措施。7.2系統日誌的刪除因操作系統的不同,所以日誌的刪除方法也略有變化,本文從Windows98和Windows2000兩種有明顯區別的操作系統來講述日誌的刪除。7.2.1Windows98下的日誌刪除在純DOS下啟動計算機,用一些常用的修改或刪除命令就可以消除Windows98日誌記錄。當重新啟動Windows98後,系統會檢查日誌文件的存在,如果發現日誌文件不存在,系統將自動重建一個,但原有的日誌文件將全部被消除。7.2.2Windows2000的日誌刪除Windows2000的日誌可就比Windows98復雜得多了,我們知道,日誌是由系統來管理、保護的,一般情況下是禁止刪除或修改,而且它還與注冊表密切相關。在Windows2000中刪除日誌首先要取得系統管理員許可權,因為安全日誌和系統日誌必須由系統管理員方可查看,然後才可以刪除它們。我們將針對應用程序日誌,安全日誌、系統日誌、DNS伺服器日誌、FTP日誌、WWW日誌的刪除做一個簡單的講解。要刪除日誌文件,就必須停止系統對日誌文件的保護功能。我們可以使用命令語句來刪除除了安全日誌和系統日誌外的日誌文件,但安全日誌就必須要使用系統中的「事件查看器」來控制它,打開「控制面板」的「管理工具」中的「事件查看器」。在菜單的「操作」項有一個名為「連接到另一台計算機」的菜單,點擊它如圖7-5所示。圖7-5輸入遠程計算機的IP,然後需要等待,選擇遠程計算機的安全性日誌,點擊屬性里的「清除日誌」按鈕即可。7.3發現入侵蹤跡如何當入侵者企圖或已經進行系統的時候,及時有效的發現蹤跡是目前防範入侵的熱門話題之一。發現入侵蹤跡的前題就是應該有一個入侵特徵資料庫,我們一般使用系統日誌、防火牆、檢查IP報頭(IPheader)的來源地址、檢測Email的安全性以及使用入侵檢測系統(IDS)等來判斷是否有入侵跡象。我們先來學習一下如何利用埠的常識來判斷是否有入侵跡象:電腦在安裝以後,如果不加以調整,其默認開放的埠號是139,如果不開放其它埠的話,黑客正常情況下是無法進入系統的。如果平常系統經常進行病毒檢查的話,而突然間電腦上網的時候會感到有反應緩慢、滑鼠不聽使喚、藍屏、系統死機及其它種種不正常的情況,我們就可以判斷有黑客利用電子信件或其它方法在系統中植入的特洛伊木馬。此時,我們就可以採取一些方法來清除它,具體方法在本書的相關章節可以查閱。7.3.1遭受入侵時的跡象入侵總是按照一定的步驟在進行,有經驗的系統管理員完全可以通過觀察到系統是否出現異常現象來判斷入侵的程度。1.掃描跡象當系統收到連續、反復的埠連接請求時,就可能意味著入侵者正在使用埠掃描器對系統進行外部掃描。高級黑客們可能會用秘密掃描工具來躲避檢測,但實際上有經驗的系統管理員還是可以通過多種跡象來判斷一切。2.利用攻擊當入侵者使用各種程序對系統進行入侵時,系統可能報告出一些異常情況,並給出相關文件(IDS常用的處理方法),當入侵者入侵成功後,系統總會留下或多或少的破壞和非正常訪問跡象,這時就應該發現系統可能已遭遇入侵。3.DoS或DDoS攻擊跡象這是當前入侵者比較常用的攻擊方法,所以當系統性能突然間發生嚴重下降或完全停止工作時,應該立即意識到,有可能系統正在遭受拒絕服務攻擊,一般的跡象是CPU佔用率接近90%以上,網路流量緩慢、系統出現藍屏、頻繁重新啟動等。7.3.2合理使用系統日誌做入侵檢測系統日誌的作用和重要性大家通過上幾節的講述,相信明白了不少,但是雖然系統自帶的日誌完全可以告訴我們系統發生的任何事情,然而,由於日誌記錄增加得太快了,最終使日誌只能成為浪費大量磁碟空間的垃圾,所以日誌並不是可以無限制的使用,合理、規范的進行日誌管理是使用日誌的一個好方法,有經驗的系統管理員就會利用一些日誌審核工具、過濾日誌記錄工具,解決這個問題。要最大程度的將日誌文件利用起來,就必須先制定管理計劃。1.指定日誌做哪些記錄工作?2.制定可以得到這些記錄詳細資料的觸發器。7.3.3一個比較優秀的日誌管理軟體要想迅速的從繁多的日誌文件記錄中查找到入侵信息,就要使用一些專業的日誌管理工具。SurfstatsLogAnalyzer4.6就是這么一款專業的日誌管理工具。網路管理員通過它可以清楚的分析「log」文件,從中看出網站目前的狀況,並可以從該軟體的「報告」中,看出有多少人來過你的網站、從哪裡來、在系統中大量地使用了哪些搜尋字眼,從而幫你准確地了解網站狀況。這個軟體最主要的功能有:1、整合了查閱及輸出功能,並可以定期用屏幕、文件、FTP或E-mail的方式輸出結果;2.可以提供30多種匯總的資料;3.能自動偵測文件格式,並支持多種通用的log文件格式,如MSIIS的W3Extendedlog格式;4.在「密碼保護」的目錄里,增加認證(Authenticated)使用者的分析報告;5.可按每小時、每星期、或每月的模式來分析;6.DNS資料庫會儲存解析(Resolved)的IP地址;7.每個分析的畫面都可以設定不同的背景、字型、顏色。發現入侵蹤跡的方法很多,如入侵檢測系統IDS就可以很好的做到這點。下一節我們將講解詳細的講解入侵檢測系統。7.4做好系統入侵檢測7.4.1什麼是入侵檢測系統在人們越來越多和網路親密接觸的同時,被動的防禦已經不能保證系統的安全,針對日益繁多的網路入侵事件,我們需要在使用防火牆的基礎上選用一種協助防火牆進行防患於未然的工具,這種工具要求能對潛在的入侵行為作出實時判斷和記錄,並能在一定程度上抗擊網路入侵,擴展系統管理員的安全管理能力,保證系統的絕對安全性。使系統的防範功能大大增強,甚至在入侵行為已經被證實的情況下,能自動切斷網路連接,保護主機的絕對安全。在這種情形下,入侵檢測系統IDS(IntrusionDetectionSystem)應運而生了。入侵檢測系統是基於多年對網路安全防範技術和黑客入侵技術的研究而開發的網路安全產品它能夠實時監控網路傳輸,自動檢測可疑行為,分析來自網路外部入侵信號和內部的非法活動,在系統受到危害前發出警告,對攻擊作出實時的響應,並提供補救措施,最大程度地保障系統安全。NestWatch這是一款運行於WindowsNT的日誌管理軟體,它可以從伺服器和防火牆中導入日誌文件,並能以HTML的方式為系統管理員提供報告。7.4.2入侵檢測系統和日誌的差異系統本身自帶的日誌功能可以自動記錄入侵者的入侵行為,但它不能完善地做好入侵跡象分析記錄工作,而且不能准確地將正常的服務請求和惡意的入侵行為區分開。例如,當入侵者對主機進行CGI掃描時,系統安全日誌能提供給系統管理員的分析數據少得可憐,幾乎全無幫助,而且安全日誌文件本身的日益龐大的特性,使系統管理員很難在短時間內利用工具找到一些攻擊後所遺留下的痕跡。入侵檢測系統就充分的將這一點做的很好,利用入侵檢測系統提供的報告數據,系統管理員將十分輕松的知曉入侵者的某些入侵企圖,並能及時做好防範措施。7.4.3入侵檢測系統的分類目前入侵檢測系統根據功能方面,可以分為四類:1.系統完整性校驗系統(SIV)SIV可以自動判斷系統是否有被黑客入侵跡象,並能檢查是否被系統入侵者更改了系統文件,以及是否留有後門(黑客們為了下一次光顧主機留下的),監視針對系統的活動(用戶的命令、登錄/退出過程,使用的數據等等),這類軟體一般由系統管理員控制。2.網路入侵檢測系統(NIDS)NIDS可以實時的對網路的數據包進行檢測,及時發現埠是否有黑客掃描的跡象。監視計算機網路上發生的事件,然後對其進行安全分析,以此來判斷入侵企圖;分布式IDS通過分布於各個節點的感測器或者代理對整個網路和主機環境進行監視,中心監視平台收集來自各個節點的信息監視這個網路流動的數據和入侵企圖。3.日誌分析系統(LFM)日誌分析系統對於系統管理員進行系統安全防範來說,非常重要,因為日誌記錄了系統每天發生的各種各樣的事情,用戶可以通過日誌記錄來檢查錯誤發生的原因,或者受到攻擊時攻擊者留下的痕跡。日誌分析系統的主要功能有:審計和監測、追蹤侵入者等。日誌文件也會因大量的記錄而導致系統管理員用一些專業的工具對日誌或者報警文件進行分析。此時,日誌分析系統就可以起作用了,它幫助系統管理員從日誌中獲取有用的信息,使管理員可以針對攻擊威脅採取必要措施。4.欺騙系統(DS)普通的系統管理員日常只會對入侵者的攻擊作出預測和識別,而不能進行反擊。但是欺騙系統(DS)可以幫助系統管理員做好反擊的鋪墊工作,欺騙系統(DS)通過模擬一些系統漏洞來欺騙入侵者,當系統管理員通過一些方法獲得黑客企圖入侵的跡象後,利用欺騙系統可以獲得很好的效果。例如重命名NT上的administrator賬號,然後設立一個沒有許可權的虛假賬號讓黑客來攻擊,在入侵者感覺到上當的時候,管理員也就知曉了入侵者的一舉一動和他的水平高低。7.4.4入侵檢測系統的檢測步驟入侵檢測系統一般使用基於特徵碼的檢測方法和異常檢測方法,在判斷系統是否被入侵前,入侵檢測系統首先需要進行一些信息的收集。信息的收集往往會從各個方面進行。例如對網路或主機上安全漏洞進行掃描,查找非授權使用網路或主機系統的企圖,並從幾個方面來判斷是否有入侵行為發生。檢測系統接著會檢查網路日誌文件,因為黑客非常容易在會在日誌文件中留下蛛絲馬跡,因此網路日誌文件信息是常常作為系統管理員檢測是否有入侵行為的主要方法。取得系統管理權後,黑客們最喜歡做的事,就是破壞或修改系統文件,此時系統完整性校驗系統(SIV)就會迅速檢查系統是否有異常的改動跡象,從而判斷入侵行為的惡劣程度。將系統運行情況與常見的入侵程序造成的後果數據進行比較,從而發現是否被入侵。例如:系統遭受DDoS分布式攻擊後,系統會在短時間內性能嚴重下降,檢測系統此時就可以判斷已經被入侵。入侵檢測系統還可以使用一些系統命令來檢查、搜索系統本身是否被攻擊。當收集到足夠的信息時,入侵檢測系統就會自動與本身資料庫中設定的已知入侵方式和相關參數匹配,檢測准確率相當的高,讓用戶感到不方便的是,需要不斷的升級資料庫。否則,無法跟上網路時代入侵工具的步伐。入侵檢測的實時保護功能很強,作為一種「主動防範」的檢測技術,檢測系統能迅速提供對系統攻擊、網路攻擊和用戶誤操作的實時保護,在預測到入侵企圖時本身進行攔截和提醒管理員預防。7.4.5發現系統被入侵後的步驟1.仔細尋找入侵者是如何進入系統的,設法堵住這個安全漏洞。2.檢查所有的系統目錄和文件是否被篡改過,盡快修復。3.改變系統中的部分密碼,防止再次因密碼被暴力破解而生產的漏洞。7.4.6常用入侵檢測工具介紹1.NetProwler作為世界級的互聯網安全技術廠商,賽門鐵克公司的產品涉及到網路安全的方方面面,特別是在安全漏洞檢測、入侵檢測、互聯網內容/電子郵件過濾、遠程管理技術和安全服務方面,賽門鐵克的先進技術的確讓人驚嘆!NetProwler就是一款賽門鐵克基於網路入侵檢測開發出的工具軟體,NetProwler採用先進的擁有專利權的動態信號狀態檢測(SDSI)技術,使用戶能夠設計獨特的攻擊定義。即使最復雜的攻擊也可以由它直觀的攻擊定義界面產生。(1)NetProwler的體系結構NetProwler具有多層體系結構,由Agent、Console和Manager三部分組成。Agent負責監視所在網段的網路數據包。將檢測到的攻擊及其所有相關數據發送給管理器,安裝時應與企業的網路結構和安全策略相結合。Console負責從代理處收集信息,顯示所受攻擊信息,使你能夠配置和管理隸屬於某個管理器的代理。Manager對配置和攻擊警告信息響應,執行控制台發布的命令,將代理發出的攻擊警告傳遞給控制台。當NetProwler發現攻擊時,立即會把攻擊事件記入日誌並中斷網路連接、創建一個報告,用文件或E-mail通知系統管理員,最後將事件通知主機入侵檢測管理器和控制台。(2)NetProwler的檢測技術NetProwler採用具有專利技術的SDSI(狀態化的動態特徵檢測)入侵檢測技術。在這種設計中,每個攻擊特徵都是一組指令集,這些指令是由SDSI虛處理器通過使用一個高速緩存入口來描述目前用戶狀態和當前從網路上收到數據包的法執行。每一個被監測的網路伺服器都有一個小的相關攻擊特徵集,這些攻擊特徵集都是基於伺服器的操作和伺服器所支持的應用而建立的。Stateful根據監視的網路傳輸內容,進行上下文比較,能夠對復雜事件進行有效的分析和記錄基於SDSI技術的NetProwler工作過程如下:第一步:SDSI虛擬處理器從網路數據中獲取當今的數據包;第二步:把獲取的數據包放入屬於當前用戶或應用會話的狀態緩沖中;第三步:從特別為優化伺服器性能的特徵緩沖中執行攻擊特徵;第四步:當檢測到某種攻擊時,處理器立即觸發響應模塊,以執行相應的響應措施。(3)NetProwler工作模式因為是網路型IDS,所以NetProwler根據不同的網路結構,其數據採集部分(即代理)有多種不同的連接形式:如果網段用匯流排式的集線器相連,則可將其簡單的接在集線器的一個埠上即可。(4)系統安裝要求用戶將NetProwlerAgent安裝在一台專門的WindowsNT工作站上,如果NetProwler和其他應用程序運行在同一台主機上,則兩個程序的性能都將受到嚴重影響。網路入侵檢測系統佔用大量的資源,因此製造商一般推薦使用專門的系統運行驅動引擎,要求它有128MRAM和主頻為400MHz的IntelPentiumII或Pentium私密日誌獨立密碼就是在你寫的私密日誌里又加了一層密碼,即便是主人想打開自己寫的私密日誌也需要密碼,打上密碼就可以打開自己的私密日誌了,如果想要關閉的話,在私密日誌的上方會有,如果你設置了私密日誌密碼,就點「關閉私密日誌獨立密碼」就可以了,以後你再打開私密日誌的話就不需要密碼了。
『捌』 asp搜索引擎參數傳遞問題,請高手幫忙解決。搜索不了,請高手指點。。
網站做好了,怎樣才能讓你的網站在各大搜索引擎中排名靠前呢?網上的帖子很多,通過搜索和總結,整理出了一套自己行之有效的方法,寫出來供大家參考
成功案例推薦:
還在繼續整理中,而且我們的網站也在不斷優化中.........
1、 網站建好後首先到各大搜索引擎免費登錄你的網站
2、 下載一個spider模擬器, 來查看你網頁被SE檢測到的信息, 可以在這個網址查看你頁面被搜索引擎收集到的信息: , 根據這些信息, 修改頁面, 去掉無用信息, 增加你認為有用的信息。
3、 盡量不要把整個頁面都用Flash或者圖片來實現, 這樣SE無法找到頁面的有用信息.
4、 用標准代碼設計網頁,一個頁面最主要有2個部分需要關注, 一個是<head></head>, 另外一個是<boy></body>, 至少這2部分應該設計好了, SE喜歡從左到右,自上而下搜索信息, 它認為頁面上面的信息更重要, 所以盡量把你要突出的信息放在頁面的上面
5、 <title>標志:
title標志作為頁面的重要信息, SE非常看重, 應該把本頁面要突出的信息精簡到20個字以內作為title的值. 但不要用與頁面無關的關鍵字作為title值, 否則會被SE懲罰.
6、<Meta>標志:
每頁都加上關鍵詞比較好,但是不要堆砌關鍵詞,堆砌關鍵詞會被搜索引擎視為作弊,最好是有2、3百字的內容。在內容中有主要關鍵詞,而關鍵詞密度在2%到8%之間(這是目前幾個月的最佳關鍵詞密度,以後可能會變). 關鍵詞要注意:Title和網頁內容中含有關鍵詞最重要、其次是Meta描述&Meta 關鍵詞。然後網頁內容中的<h></h>之間的標題中是否含有關鍵詞也很重要。Meta最重要的是Description,而Meta Keywords現在大型的搜索引擎都不會在意,比如Google和Yahoo都不會根據Meta Keywords來進行網頁排名。Description中關鍵詞的原則同樣是搜索量最大最相關的放在最前面,比如我們網站是做汽車保險報價的,原來我們網站的關鍵字是這樣描述的
<meta content="平價車險,搜保,搜保網,低價車險,搜保車險網,車險,北京車險,車險報價,車險超市,搜保車險,汽車保險,車險網,華安車險,中保車險,中華聯合車險,平安車險,太平洋車險,便宜車險,保險超市,在線投保"name="keywords">
,在中打入「保險」,你會發現「車險計算」這個關鍵詞的搜索量是最高的,這個關鍵詞不用,等於浪費,按照網路確定關鍵詞搜索量的方法,排在最前面的關鍵詞是:車險計算,平安車險,人保車險,北京車險,強制車險,中保車險,太平洋車險,車險論壇,車險知識,上海車險,車險理賠,車險種類,保得車險網,車險營銷,武漢車險,天平車險,車險網,中國車險網,網上車險,所以我改成這樣:
<meta content="車險計算和車險投保盡在搜保網。國內首家網上專業代理平安車險,人保車險,中保車險,太平洋車險。向消費者提供平價、快速、高品質的汽車保險銷售服務。" name="DESCRIPTION">
<meta content="車險,車險計算,平安車險,人保車險,北京車險,強制車險,中保車險,太平洋車險,車險知識,車險理賠,車險種類,車險網,網上車險,車險報價,搜保網,車險報價,搜保車險,汽車保險,低價車險,搜保車險網,平價車險,便宜車險,在線投保" name="keywords">
一般可以把這段子寫到一個title.lbi文件中,如
<title>搜保網-全國首家專業車險報價平台,為您提供精確快速的網上報價服務</title>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<meta content="車險,車險計算,平安車險,人保車險,北京車險,強制車險,中保車險,太平洋車險,車險知識,車險理賠,車險種類,車險網,網上車險,車險報價,搜保網,車險報價,搜保車險,汽車保險,低價車險,搜保車險網,平價車險,便宜車險,在線投保" name="keywords">
<meta content="車險計算和車險投保盡在搜保網。國內首家網上專業代理平安車險,人保車險,中保車險,太平洋車險。向消費者提供平價、快速、高品質的汽車保險銷售服務。" name="DESCRIPTION">
然後嵌入到頁面中,如
<HTML>
<HEAD>
<!--#include virtual="/Library/title.lbi" -->
</head>
<html>
7、我之所以把「車險報價」放在了後面,是因為你按照我的方法在網路中搜索會發現「車險報價」這個關鍵詞根本沒有什麼人搜索,所以放在後面,沒有人搜索就表示沒有人流,關鍵詞是別人的搜索習慣,不是俺們做網頁的自己想出來的,所以首先要分析什麼關鍵詞別人用的最多
8、 javascript: SE一般對javascript不感冒, 盡量不要在頁面的<head></head>間放置大量的javascript函數, 這樣會使SE不知所措, 而且大部分SE在爬行你的頁面時都有時間限制, 或者最大信息量限制, 在前面放置很多javascript代碼會使SE運行緩慢, 降低對你的興趣, 最主要還是這部分代碼把你後面有用信息佔用了,使得SE無法獲取你頁面有用的信息, 如果你實在要用javascript, 盡量把所有javascript代碼放在一個js文件里, 然後在頁面連接這個JS文件即可
9、 給所有<img>加上alt屬性, 這個一個好的習慣, 尤其是指向一個連接的圖片一定要加上要連接網址的關鍵信息, SE會對有連接指向的圖片的ALT屬性進行識別, 但對無連接的圖片不作處理.
10、 <h1><h2>: SE對這樣的信息很感興趣, 而且會對其增加權重, 所以把最重要的信息用<h1></h1>標識出來, 把次重要的信息用<h2></h2>標識出來. 注意: 一個頁面應該只有一個<h1></h1>, 可以有多個<h2></h2>, 否則會被SE認為是作弊的
11、 盡量不要用mouseovers, 最好在css里用hover來實現
12、 盡量不要套用多層次的<table>, SE一般最多隻能讀取3個<table>的嵌套, 如果多了, 它就懶得讀下去了, 造成你的有用信息沒有被檢測到.
13、 <b><strong>: 這些標識也會被SE很好的注意到, 雖然權重不如<h1><h2>那麼高, 可以靈活使用.
14、 一個頁面的連接數量最多不要超過100個, google認為只有前100個是有用的
15、 對於搜索引擎來說,頁面各個元素的權重比例。
內部連接: 10 分.
標題title: 10 分.
域名: 7 分.
<h1>和<h2>: 5 分.
頁面第一個段落的開始部分: 5 分.
路徑和文件名: 4 分.
相似關鍵詞: 4 分.
每個句子的開始部分 1.5 分.
<b>和<strong>: 1 分.
內容: 1 分.
Title屬性: 1 分. (注意不是<title>, 是title屬性, 比如<a href=… title=」」>)
alt 標志: 0.5 分.
<meta>的description屬性: 0.5 分.
<meta>的 keywords屬性: 0.05 分.
16、 盡量用HTML的格式, 如果的確要用資料庫, 盡量減少參數的長度
17、 我的網站( )以前顯示商品都是用一個aspx文件通過參數傳遞的, 結果這個aspx文件只能被SE收錄1頁, 而且排名根本找不到; 後來我把動態頁面轉換成了靜態頁面,用HTML格式顯示, 每個商品一個HTML頁面, 結果google收錄增加了5000多頁, 而且每個商品在google的排行基本都在第一頁了, 一搜的也是. 最近來自一搜的訪問量成倍增加. 一搜基本上只對HTML文件感興趣, 對動態頁面不太感冒.
可以寫個基類,如
public class BasePage: System.Web.UI.Page
{
public BasePage()
{
}
protected override void Render(System.Web.UI.HtmlTextWriter writer)
{
string name=Request.Url.AbsolutePath.Substring(1,Request.Url.AbsolutePath.Length-1).Replace("aspx","htm");
string newurl="";
if(name.IndexOf("/")>0)
{
newurl=Server.MapPath("../") + name;
}
else
{
newurl=Server.MapPath("./") + name;
}
MemoryStream ms = new MemoryStream();
StreamWriter sww = new StreamWriter(ms);
StreamWriter swr = new StreamWriter(newurl);
System.Web.UI.HtmlTextWriter htmlw = new HtmlTextWriter(swr);
base.Render(htmlw);
htmlw.Flush();
htmlw.Close();
string strLL = System.Text.Encoding.UTF8.GetString(ms.ToArray());
Response.Write(strLL);
Response.Redirect(Request.Url.AbsoluteUri.Replace("aspx","htm"), true);
}
}
然後在需要生成靜態頁面的頁面中繼承就可以了
18、 反向連接:google非常重視反向連接, 可以通過以下方式來增加反向連接:
A: 友情連接, 最好找PR高的, 而且被SE收錄很多頁面, 排名靠前的連接, 千萬不要和看起來PR很高, 但一眼就看出來是作弊的網站連接. 也不要和PR狀態欄是灰色的連接, 這樣的網站有可能是沒有被收錄, 也有可能是被懲罰了; 另外, 連接的時候也不一定非要連接你的首頁, 也可以多連接些你的其他重要的頁面, 比如網站的站點地圖等頁面, 首頁外部連接不要太多,不超過40個. 20個以內最好.
B: 登陸網址站, 象dmoz, yahoo等目錄要使出渾身解數來登陸, 但不要隔兩天就登陸一次, 其他的網址站登陸越多越好, 至於如果找網址站, 你可以看看你的競爭對手在google里的反向連接, 在google輸入 「link:****.com」, 就可以看到對方網站的反向連接, 你可以挨個進入搜索的結果, 在每個頁面里也申請你的連接, 可以方便的找到很多連接網址站.
C: 留言板留言: 類似網址站登陸, 但寫法一定要科學, 否則就沒有意義了, 一般我是這樣寫的:
<a href=….>網站名</a>
網站名
網站名 申請和貴站友情連接
D: Blog博客
現在博客也在中國興起了, 完全可以充分利用一下, 可以注冊一個帳號,來宣傳你的網站, 也可以直接發表評論, 評論內容基本和留言板的格式一樣
E: 論壇宣傳
這個我就不多說了, 反正不要讓人一看就是廣告就行了
19、 內部連接
很多人只看重外部連接, 豈不知道內部連接也相當重要, 我的基本思路是, 所有頁面都包含主頁和其他重要頁面的連接, 和本頁相關的頁面也加上連接, 最終讓你所有的頁面都能夠互連.
20、 域名和文件名
SE看重域名和頁面文件名, 但多情況下, 域名已經不想改了, 只好修改文件名了, 盡量讓你的文件名包含頁面關鍵字的英文名稱
21、 不要用作弊的手段來欺騙SE, 即使成功一時, 也不會成功永久, 到時候肯定會被懲罰. 所謂善惡到頭終有報, 只掙來早與來遲.況且, 合法優化網站也完全可以達到這個效果
22、 網站速度的影響,網站速度對SE的排名也很有影響, 訪問速度慢, 會讓SE爬行你頁面的時候失去耐性, 從而減少你頁面的信息量, 讓你的排名靠後, 如果你的伺服器非常慢, 就應該考慮重新換應該快點的伺服器了
23、 經常更新你的重要頁面, 哪怕只是更換應該圖片也好, 這樣會讓SE了解到你的網站更新很快, 有生命力, 對你的重視程度會增加, 排名當然也會提高的. 我網站基本2天google更新一
24、 用Blogger.com做一個甚至幾個個人博客,博客中首頁幾篇文章中含有搜保網的鏈接。將這個博客的RSS提交到Yahoo和各個rss登錄站點,因為rss會每天搜索你的網站,一旦rss被別的網站引用,就等於別人免費的間接的加入了你的搜保的網站,而你根本不需要交換鏈接,這種鏈接比交換鏈接更有效
可以從以下網站中登錄
25、 在大型的汽車網站上要求買一個廣告位,買之前先看看PR值,這種地方往往PR在3、4左右的1000到2000元以下就可以搞定(看你的圖片大小),有的甚至100到200元就可以搞定。在這種PR4以上的網站上放廣告3個月以上,你的網站至少會有PR為3。這時候人流自然就會滾滾來。
26、 我用的最多的還有一個方法是寫文章。比如我要做汽車保險,我會找到排名靠前的人氣網站,或者個人網站,我不會說要交換鏈接,我會說我有一篇我自己寫的專業文章,和你的網頁內容很相關,我願意免費放在你的網站上,你只需要允許我的文章中保留我的出處就行,而這個出處就是我的真正要賺錢的商業網站鏈接,這個方法如果你的文章真的寫的很好,有三分之一的站長會同意。而這些網站都是我研究過PR很高,或者人氣很旺的網站,所以在這些網站上一旦發表了你的文章,你的網站PR自然會提高,而且人氣會上來,這個文章一定要原創並且題材吸引人。我的經驗是吸引人的題材90%都是「我是如何解決......?"之類的文章
以下來自笨狼的補充
Google 排名有利因素(一)
關鍵詞:
1.url中的關鍵詞(第一和第二個字是最有價值的......)
2.域名中的關鍵詞(英文網站的優勢)
(Head部分)
3.Title tag中的關鍵詞(10-50個字元,不包含特殊字元)
4.Description tag中的關鍵詞(小於200個字元,這個參數現在Google已不再把它作為重要參數,但仍經常使用)
5.Keywords tag中的關鍵詞(小於10個字,單個關鍵詞必須在頁面Body部分出現2次以上才有效,否則可能會被評估為Spam而受到處罰,Google官方曾說明說不再依據此參數評價,但其實仍在使用)
(Body部分)
6.關鍵詞在Body文字部分的密度(5 - 20% - (all keywords/ total words))
7.單個關鍵詞密度(1 - 6% - (each keyword/ total words))
8.在H1、H2、H3中的關鍵詞(使用H1、H2、H3字體)
9.關鍵詞字體尺寸(使用黑體、粗體、斜體......)
10.關鍵詞接近度(2個關鍵詞之間鄰近的是最佳)
11.關鍵詞短語順序
(其他部分)
12.關鍵詞在Alt文字中(圖形中的Alt屬性)
13.關鍵詞在外部站點鏈接中(錨文本)
導航-內部鏈接部分:
14.內部頁面的關鍵詞(鏈接頁面應該包含關鍵詞)
15.所有內部鏈接必須是有效的
16.結構樹(任何頁面不超過4層深度鏈接)
17.低級頁面之間適當的鏈接
導航-外部鏈接部分:
18.外部頁面的關鍵詞(Google的專利 鏈接須指向優秀站點,不要鏈接frame)
19.外部鏈接的錨文本(Google的專利 應該在此上展開主題和敘述)
20.鏈接穩定性(Google的專利 避免鏈接隨時變換)
21.所有外部鏈接是有效的
22.少於100個外部鏈接(Google官方稱限制100個,實際容許2-3次2000個)
Google排名有利因素(二)
頁面上的其他因素:
24.域名等級(.e是最高等級,其次是.org,而.com由於包含很多spam信息,所以會受到Google的嚴格審查)
25.文件尺寸(頁面尺寸絕對不要超過100K,小於40K的為最佳)
26.URL中的連字元(1個或2個是最佳的,4個以上將被認為是spam,10個很可能被降級)
27.頁面更新率(Google專利 對於新聞、零售、拍賣等站點更新越快越好)
28.頁面數量的更新率(Google專利 老頁面與新頁面的比值)
29.鏈接的的更新率(Google專利 尚未能分析)
30.更新頻率(更新頻率=蜘蛛的抓取頻率)
31.頁面主題
32.關鍵詞衍生.....
33.語義關聯(同義詞等...)
34.潛在的語義索引
35.URL長度(盡可能的小,在IE中只允許2000個字元以內,最好控制在100字元以內)
36.站點大小(Google認為站點越大說明更大的資金支持、更好的組織、更好的架構,因此它會是好的站點)
37.站點年齡(Google專利 越老越好)
38.頁面的年齡與站點上其他頁面的年齡
Google排名不利因素(三)
39.在圖像的form中有文字描述,但Body中沒真正的文字描述;
40.鏡像站點
41.過度優化
42.鏈接一個壞站點(不要鏈接frame....,定期檢查每個外部鏈接站點在Google的狀態)
43.重定向或刷新metatags(除非用戶點擊,否則不要自動跳轉頁面)
44.不要使用一些不文明的詞彙
45.毒葯單詞
46.過多的橫向鏈接(在你的WEB伺服器中有多個站點,它們的橫向鏈接會被視為無效的投票)
47.圖片、文字的反盜鏈
48.關鍵詞重復填充(降級處理)
49.關鍵詞稀釋(頁面存在過多的非相關關鍵詞,將會降低你真實內容的重要性)
50.頁面內容編輯會降低一致性(Google專利 Google定期會對老的cache與新的cache進行比對,如果發現關鍵詞、主題變化了,將會影響它的評價,這是Google針對SEO的有效工具)
51.內容改變頻率(Google專利 過於頻繁是不利的)
52.錨文本更新率(Google專利 過於頻繁是不利的)
53.動態頁面(這是搜索引擎的缺陷,可採用縮短URL,減少變數等辦法,最好不要使用動態頁面)
54.過多的JS代碼(不要使用重定向和隱藏鏈接功能)
55.Flash頁面(搜索引擎的蜘蛛是不能抓取flash內容的,如果要用flash頁面,須同時有一個靜態入口頁面)
56.使用frame
57.Robot中設置了「no index」的tag
58.單個像素的鏈接(會被認為是一個鬼祟的鏈接)
59.不可見的文字(文字與背景色相同,頁面上不可見,但能被蜘蛛檢索到)
60.門頁(Google專利 )
61.內容重復(Google通常選一個最老的推送到前面,把其他的推送下去)
62.HTML代碼需符合W3C標准
Google排名有利因素(非頁面) (四)
反向鏈接:
63.PR(基於指向站點的鏈接數量和質量)
64.總的反向鏈接數(link: Google | linkdomain: Yahoo....)
65.反向鏈接頁面PR>4
66.鏈接流行度(Google專利 推進太快會被認為是作弊)
每個反向鏈接:
67.每個涉及頁面的PR
68.鏈接到你站點的錨文本(Google炸彈)
69.鏈接時間(Google專利 越久越好)
70.錨文本改變頻率(Google專利 頻率越高越不好)
71.涉及頁面的流行度
72.涉及頁面的外部鏈接數(越少越好,證明你的重要性)
73.涉及頁面鏈接的位置(在HTML代碼中最好)
74.涉及頁面的關鍵詞密度(針對搜索關鍵詞)
75.涉及頁面的title
76.鏈接來自"行家"網站(Google專利 極大的推進)
77.涉及頁面主題相同
目錄:
78.被DMOZ收錄(巨大推進,因為Google的目錄是從DMOZ獲取的,一般要28個月才可能被收錄)
79.DMOZ分類(據說綜合類和地理類主題最適合收錄)
80在Yahoo目錄中收錄(巨大推進,但需要每年支付299美金)
81.在LookSmart中收錄
82.被inktomi收錄
83.被其他目錄類網站收錄
84.特大站點的引入鏈接
85.站點歷史悠久表明越穩定(對新的內容至少可以產生1-3周的推動)
86.站點目錄樹
87.站點地圖(關鍵詞在錨文本中體現)
用戶行為:
88.頁面流量(Google專利 visters數量及趨勢)
89.頁面選擇率(Google專利 經常被點擊的頁面數量)
90.在頁面上花費的時間(Google專利 相對長的時間表示對內容的認可)
91.用戶是否將此頁面加入書簽(Google專利 )
92.用戶刪除此書簽(Google專利 )
93.用戶離開後去了哪兒(返回?點擊鏈接?....)
94.用戶使用的關鍵詞
95.在此域名上花費的時間
網站主行為:
96.域名注冊時間 (5年以上是一個有價值的)
97.是否加入合法聯盟(拒絕spam,版權保護等)
Google排名不利因素(非頁面)(五)
98.流量購買(這些流量產生低的轉化率,甚至是0轉化率,被認為是來自壞的外部鏈接)
99.鏈接分析(老的鏈接有價值,新的鏈接暫時沒價值,用來阻止快速更改)
100.零外部鏈接
101.購買鏈接(Google專利)
102.站點排名優先(Google專利)
103.隱藏(給Google蜘蛛讀取的是一個特定的頁面,真正顯示的是另外的頁面)
104.來自壞站點的鏈接
105.域名偷竊(非法行為,將會被剔除)
106.如果同一IP向Google發送100次同一請求,可能將會被BAN這個IP
107.伺服器可靠性>99.9%(注意你的Google更新時間,盡量不在此時間維護)
108.頁面被剔除來自大的站點
109.排名處理由於競爭對手的侵害
另外,虛機團上產品團購,超級便宜