A. 有用Postgresql的嗎,哪個package好用一些
特性 MySQL PostgreSQL
實例 通過執行 MySQL 命令(mysqld)啟動實例。一個實例可以管理一個或多個資料庫。一台伺服器可以運行多個 mysqld 實例。一個實例管理器可以監視 mysqld 的各個實例。
通過執行 Postmaster 進程(pg_ctl)啟動實例。一個實例可以管理一個或多個資料庫,這些資料庫組成一個集群。集群是磁碟上的一個區域,這個區域在安裝時初始化並由一個目錄組成,所有數據都存儲在這個目錄中。使用 initdb 創建第一個資料庫。一台機器上可以啟動多個實例。
資料庫 資料庫是命名的對象集合,是與實例中的其他資料庫分離的實體。一個 MySQL 實例中的所有資料庫共享同一個系統編目。 資料庫是命名的對象集合,每個資料庫是與其他資料庫分離的實體。每個資料庫有自己的系統編目,但是所有資料庫共享 pg_databases。
數據緩沖區 通過 innodb_buffer_pool_size 配置參數設置數據緩沖區。這個參數是內存緩沖區的位元組數,InnoDB 使用這個緩沖區來緩存表的數據和索引。在專用的資料庫伺服器上,這個參數最高可以設置為機器物理內存量的 80%。 Shared_buffers 緩存。在默認情況下分配 64 個緩沖區。默認的塊大小是 8K。可以通過設置 postgresql.conf 文件中的 shared_buffers 參數來更新緩沖區緩存。
資料庫連接 客戶機使用 CONNECT 或 USE 語句連接資料庫,這時要指定資料庫名,還可以指定用戶 id 和密碼。使用角色管理資料庫中的用戶和用戶組。 客戶機使用 connect 語句連接資料庫,這時要指定資料庫名,還可以指定用戶 id 和密碼。使用角色管理資料庫中的用戶和用戶組。
身份驗證 MySQL 在資料庫級管理身份驗證。 基本只支持密碼認證。 PostgreSQL 支持豐富的認證方法:信任認證、口令認證、Kerberos 認證、基於 Ident 的認證、LDAP 認證、PAM 認證
加密 可以在表級指定密碼來對數據進行加密。還可以使用 AES_ENCRYPT 和 AES_DECRYPT 函數對列數據進行加密和解密。可以通過 SSL 連接實現網路加密。 可以使用 pgcrypto 庫中的函數對列進行加密/解密。可以通過 SSL 連接實現網路加密。
審計 可以對 querylog 執行 grep。 可以在表上使用 PL/pgSQL 觸發器來進行審計。
查詢解釋 使用 EXPLAIN 命令查看查詢的解釋計劃。 使用 EXPLAIN 命令查看查詢的解釋計劃。
備份、恢復和日誌 InnoDB 使用寫前(write-ahead)日誌記錄。支持在線和離線完全備份以及崩潰和事務恢復。需要第三方軟體才能支持熱備份。 在數據目錄的一個子目錄中維護寫前日誌。支持在線和離線完全備份以及崩潰、時間點和事務恢復。 可以支持熱備份。
JDBC 驅動程序 可以從 參考資料 下載 JDBC 驅動程序。 可以從 參考資料 下載 JDBC 驅動程序。
表類型 取決於存儲引擎。例如,NDB 存儲引擎支持分區表,內存引擎支持內存表。 支持臨時表、常規表以及范圍和列表類型的分區表。不支持哈希分區表。 由於PostgreSQL的表分區是通過表繼承和規則系統完成了,所以可以實現更復雜的分區方式。
索引類型 取決於存儲引擎。MyISAM:BTREE,InnoDB:BTREE。 支持 B-樹、哈希、R-樹和 Gist 索引。
約束 支持主鍵、外鍵、惟一和非空約束。對檢查約束進行解析,但是不強制實施。 支持主鍵、外鍵、惟一、非空和檢查約束。
存儲過程和用戶定義函數 支持 CREATE PROCEDURE 和 CREATE FUNCTION 語句。存儲過程可以用 SQL 和 C++ 編寫。用戶定義函數可以用 SQL、C 和 C++ 編寫。 沒有單獨的存儲過程,都是通過函數實現的。用戶定義函數可以用 PL/pgSQL(專用的過程語言)、PL/Tcl、PL/Perl、PL/Python 、SQL 和 C 編寫。
觸發器 支持行前觸發器、行後觸發器和語句觸發器,觸發器語句用過程語言復合語句編寫。 支持行前觸發器、行後觸發器和語句觸發器,觸發器過程用 C 編寫。
系統配置文件 my.conf Postgresql.conf
資料庫配置 my.conf Postgresql.conf
客戶機連接文件 my.conf pg_hba.conf
XML 支持 有限的 XML 支持。 有限的 XML 支持。
數據訪問和管理伺服器 OPTIMIZE TABLE —— 回收未使用的空間並消除數據文件的碎片
myisamchk -analyze —— 更新查詢優化器所使用的統計數據(MyISAM 存儲引擎)
mysql —— 命令行工具
MySQL Administrator —— 客戶機 GUI 工具 Vacuum —— 回收未使用的空間
Analyze —— 更新查詢優化器所使用的統計數據
psql —— 命令行工具
pgAdmin —— 客戶機 GUI 工具
並發控制 支持表級和行級鎖。InnoDB 存儲引擎支持 READ_COMMITTED、READ_UNCOMMITTED、REPEATABLE_READ 和 SERIALIZABLE。使用 SET TRANSACTION ISOLATION LEVEL 語句在事務級設置隔離級別。 支持表級和行級鎖。支持的 ANSI 隔離級別是 Read Committed(默認 —— 能看到查詢啟動時資料庫的快照)和 Serialization(與 Repeatable Read 相似 —— 只能看到在事務啟動之前提交的結果)。使用 SET TRANSACTION 語句在事務級設置隔離級別。使用 SET SESSION 在會話級進行設置。
MySQL相對於PostgreSQL的劣勢:
MySQL
PostgreSQL
最重要的引擎InnoDB很早就由Oracle公司控制。目前整個MySQL資料庫都由Oracle控制。
BSD協議,沒有被大公司壟斷。
對復雜查詢的處理較弱,查詢優化器不夠成熟
很強大的查詢優化器,支持很復雜的查詢處理。
只有一種表連接類型:嵌套循環連接(nested-loop),不支持排序-合並連接(sort-merge join)與散列連接(hash join)。
都支持
性能優化工具與度量信息不足
提供了一些性能視圖,可以方便的看到發生在一個表和索引上的select、delete、update、insert統計信息,也可以看到cache命中率。網上有一個開源的pgstatspack工具。
InnoDB的表和索引都是按相同的方式存儲。也就是說表都是索引組織表。這一般要求主鍵不能太長而且插入時的主鍵最好是按順序遞增,否則對性能有很大影響。
不存在這個問題。
大部分查詢只能使用表上的單一索引;在某些情況下,會存在使用多個索引的查詢,但是查詢優化器通常會低估其成本,它們常常比表掃描還要慢。
不存在這個問題
表增加列,基本上是重建表和索引,會花很長時間。
表增加列,只是在數據字典中增加表定義,不會重建表
存儲過程與觸發器的功能有限。可用來編寫存儲過程、觸發器、計劃事件以及存儲函數的語言功能較弱
除支持pl/pgsql寫存儲過程,還支持perl、python、Tcl類型的存儲過程:pl/perl,pl/python,pl/tcl。
也支持用C語言寫存儲過程。
不支持Sequence。
支持
不支持函數索引,只能在創建基於具體列的索引。
不支持物化視圖。
支持函數索引,同時還支持部分數據索引,通過規則系統可以實現物化視圖的功能。
執行計劃並不是全局共享的, 僅僅在連接內部是共享的。
執行計劃共享
MySQL支持的SQL語法(ANSI SQL標准)的很小一部分。不支持遞歸查詢、通用表表達式(Oracle的with 語句)或者窗口函數(分析函數)。
都 支持
不支持用戶自定義類型或域(domain)
支持。
對於時間、日期、間隔等時間類型沒有秒以下級別的存儲類型
可以精確到秒以下。
身份驗證功能是完全內置的,不支持操作系統認證、PAM認證,不支持LDAP以及其它類似的外部身份驗證功能。
支持OS認證、Kerberos 認證 、Ident 的認證、LDAP 認證、PAM 認證
不支持database link。有一種叫做Federated的存儲引擎可以作為一個中轉將查詢語句傳遞到遠程伺服器的一個表上,不過,它功能很粗糙並且漏洞很多
有dblink,同時還有一個dbi-link的東西,可以連接到oracle和mysql上。
Mysql Cluster可能與你的想像有較大差異。開源的cluster軟體較少。
復制(Replication)功能是非同步的,並且有很大的局限性.例如,它是單線程的(single-threaded),因此一個處理能力更強的Slave的恢復速度也很難跟上處理能力相對較慢的Master.
有豐富的開源cluster軟體支持。
explain看執行計劃的結果簡單。
explain返回豐富的信息。
類似於ALTER TABLE或CREATE TABLE一類的操作都是非事務性的.它們會提交未提交的事務,並且不能回滾也不能做災難恢復
DDL也是有事務的。
PostgreSQL主要優勢:
1. PostgreSQL完全免費,而且是BSD協議,如果你把PostgreSQL改一改,然後再拿去賣錢,也沒有人管你,這一點很重要,這表明了PostgreSQL資料庫不會被其它公司控制。oracle資料庫不用說了,是商業資料庫,不開放。而MySQL資料庫雖然是開源的,但現在隨著SUN被oracle公司收購,現在基本上被oracle公司控制,其實在SUN被收購之前,MySQL中最重要的InnoDB引擎也是被oracle公司控制的,而在MySQL中很多重要的數據都是放在InnoDB引擎中的,反正我們公司都是這樣的。所以如果MySQL的市場范圍與oracle資料庫的市場范圍沖突時,oracle公司必定會犧牲MySQL,這是毫無疑問的。
2. 與PostgreSQl配合的開源軟體很多,有很多分布式集群軟體,如pgpool、pgcluster、slony、plploxy等等,很容易做讀寫分離、負載均衡、數據水平拆分等方案,而這在MySQL下則比較困難。
3. PostgreSQL源代碼寫的很清晰,易讀性比MySQL強太多了,懷疑MySQL的源代碼被混淆過。所以很多公司都是基本PostgreSQL做二次開發的。
4. PostgreSQL在很多方面都比MySQL強,如復雜SQL的執行、存儲過程、觸發器、索引。同時PostgreSQL是多進程的,而MySQL是線程的,雖然並發不高時,MySQL處理速度快,但當並發高的時候,對於現在多核的單台機器上,MySQL的總體處理性能不如PostgreSQL,原因是MySQL的線程無法充分利用CPU的能力。
目前只想到這些,以後想到再添加,歡迎大家拍磚。
PostgreSQL與oracle或InnoDB的多版本實現的差別
PostgreSQL與oracle或InnoDB的多版本實現最大的區別在於最新版本和歷史版本是否分離存儲,PostgreSQL不分,而oracle和InnoDB分,而innodb也只是分離了數據,索引本身沒有分開。
PostgreSQL的主要優勢在於:
1. PostgreSQL沒有回滾段,而oracle與innodb有回滾段,oracle與Innodb都有回滾段。對於oracle與Innodb來說,回滾段是非常重要的,回滾段損壞,會導致數據丟失,甚至資料庫無法啟動的嚴重問題。另由於PostgreSQL沒有回滾段,舊數據都是記錄在原先的文件中,所以當資料庫異常crash後,恢復時,不會象oracle與Innodb資料庫那樣進行那麼復雜的恢復,因為oracle與Innodb恢復時同步需要redo和undo。所以PostgreSQL資料庫在出現異常crash後,資料庫起不來的幾率要比oracle和mysql小一些。
2. 由於舊的數據是直接記錄在數據文件中,而不是回滾段中,所以不會象oracle那樣經常報ora-01555錯誤。
3. 回滾可以很快完成,因為回滾並不刪除數據,而oracle與Innodb,回滾時很復雜,在事務回滾時必須清理該事務所進行的修改,插入的記錄要刪除,更新的記錄要更新回來(見row_undo函數),同時回滾的過程也會再次產生大量的redo日誌。
4. WAL日誌要比oracle和Innodb簡單,對於oracle不僅需要記錄數據文件的變化,還要記錄回滾段的變化。
PostgreSQL的多版本的主要劣勢在於:
1、最新版本和歷史版本不分離存儲,導致清理老舊版本需要作更多的掃描,代價比較大,但一般的資料庫都有高峰期,如果我們合理安排VACUUM,這也不是很大的問題,而且在PostgreSQL9.0中VACUUM進一步被加強了。
2、由於索引中完全沒有版本信息,不能實現Coverage index scan,即查詢只掃描索引,直接從索引中返回所需的屬性,還需要訪問表。而oracle與Innodb則可以;
進程模式與線程模式的對比
PostgreSQL和oracle是進程模式,MySQL是線程模式。
進程模式對多CPU利用率比較高。
進程模式共享數據需要用到共享內存,而線程模式數據本身就是在進程空間內都是共享的,不同線程訪問只需要控制好線程之間的同步。
線程模式對資源消耗比較少。
所以MySQL能支持遠比oracle多的更多的連接。
對於PostgreSQL的來說,如果不使用連接池軟體,也存在這個問題,但PostgreSQL中有優秀的連接池軟體軟體,如pgbouncer和pgpool,所以通過連接池也可以支持很多的連接。
堆表與索引組織表的的對比
Oracle支持堆表,也支持索引組織表
PostgreSQL只支持堆表,不支持索引組織表
Innodb只支持索引組織表
索引組織表的優勢:
表內的數據就是按索引的方式組織,數據是有序的,如果數據都是按主鍵來訪問,那麼訪問數據比較快。而堆表,按主鍵訪問數據時,是需要先按主鍵索引找到數據的物理位置。
索引組織表的劣勢:
索引組織表中上再加其它的索引時,其它的索引記錄的數據位置不再是物理位置,而是主鍵值,所以對於索引組織表來說,主鍵的值不能太大,否則佔用的空間比較大。
對於索引組織表來說,如果每次在中間插入數據,可能會導致索引分裂,索引分裂會大大降低插入的性能。所以對於使用innodb來說,我們一般最好讓主鍵是一個無意義的序列,這樣插入每次都發生在最後,以避免這個問題。
由於索引組織表是按一個索引樹,一般它訪問數據塊必須按數據塊之間的關系進行訪問,而不是按物理塊的訪問數據的,所以當做全表掃描時要比堆錶慢很多,這可能在OLTP中不明顯,但在數據倉庫的應用中可能是一個問題。
PostgreSQL9.0中的特色功能:
PostgreSQL中的Hot Standby功能
也就是standby在應用日誌同步時,還可以提供只讀服務,這對做讀寫分離很有用。這個功能是oracle11g才有的功能。
PostgreSQL非同步提交(Asynchronous Commit)的功能:
這個功能oracle中也是到oracle11g R2才有的功能。因為在很多應用場景中,當宕機時是允許丟失少量數據的,這個功能在這樣的場景中就特別合適。在PostgreSQL9.0中把synchronous_commit設置為false就打開了這個功能。需要注意的是,雖然設置為了非同步提交,當主機宕機時,PostgreSQL只會丟失少量數據,非同步提交並不會導致數據損壞而資料庫起不來的情況。MySQL中沒有聽說過有這個功能。
PostgreSQL中索引的特色功能:
PostgreSQL中可以有部分索引,也就是只能表中的部分數據做索引,create index 可以帶where 條件。同時PostgreSQL中的索引可以反向掃描,所以在PostgreSQL中可以不必建專門的降序索引了。
B. 常用埠
埠:0
服務:Reserved
說明:通常用於分析操作系統。這一方法能夠工作是因為在一些系統中「0」是無效埠,當你試圖使用通常的閉合埠連接它時將產生不同的結果。一種典型的掃描,使用IP地址為0.0.0.0,設置ACK位並在乙太網層廣播。
埠:1
服務:tcpmux
說明:這顯示有人在尋找SGI Irix機器。Irix是實現tcpmux的主要提供者,默認情況下tcpmux在這種系統中被打開。Irix機器在發布是含有幾個默認的無密碼的帳戶,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。許多管理員在安裝後忘記刪除這些帳戶。因此HACKER在INTERNET上搜索tcpmux並利用這些帳戶。
埠:7
服務:Echo
說明:能看到許多人搜索Fraggle放大器時,發送到X.X.X.0和X.X.X.255的信息。
埠:19
服務:Character Generator
說明:這是一種僅僅發送字元的服務。UDP版本將會在收到UDP包後回應含有垃圾字元的包。TCP連接時會發送含有垃圾字元的數據流直到連接關閉。HACKER利用IP欺騙可以發動DoS攻擊。偽造兩個chargen伺服器之間的UDP包。同樣Fraggle DoS攻擊向目標地址的這個埠廣播一個帶有偽造受害者IP的數據包,受害者為了回應這些數據而過載。
埠:21
服務:FTP
說明:FTP伺服器所開放的埠,用於上傳、下載。最常見的攻擊者用於尋找打開anonymous的FTP伺服器的方法。這些伺服器帶有可讀寫的目錄。木馬Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所開放的埠。
埠:22
服務:Ssh
說明:PcAnywhere建立的TCP和這一埠的連接可能是為了尋找ssh。這一服務有許多弱點,如果配置成特定的模式,許多使用RSAREF庫的版本就會有不少的漏洞存在。
埠:23
服務:Telnet
說明:遠程登錄,入侵者在搜索遠程登錄UNIX的服務。大多數情況下掃描這一埠是為了找到機器運行的操作系統。還有使用其他技術,入侵者也會找到密碼。木馬Tiny Telnet Server就開放這個埠。
埠:25
服務:SMTP
說明:SMTP伺服器所開放的埠,用於發送郵件。入侵者尋找SMTP伺服器是為了傳遞他們的SPAM。入侵者的帳戶被關閉,他們需要連接到高帶寬的E-MAIL伺服器上,將簡單的信息傳遞到不同的地址。木馬Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個埠。
埠:31
服務:MSG Authentication
說明:木馬Master Paradise、Hackers Paradise開放此埠。
埠:42
服務:WINS Replication
說明:WINS復制
埠:53
服務:Domain Name Server(DNS)
說明:DNS伺服器所開放的埠,入侵者可能是試圖進行區域傳遞(TCP),欺騙DNS(UDP)或隱藏其他的通信。因此防火牆常常過濾或記錄此埠。
埠:67
服務:Bootstrap Protocol Server
說明:通過DSL和Cable modem的防火牆常會看見大量發送到廣播地址255.255.255.255的數據。這些機器在向DHCP伺服器請求一個地址。HACKER常進入它們,分配一個地址把自己作為局部路由器而發起大量中間人(man-in-middle)攻擊。客戶端向68埠廣播請求配置,伺服器向67埠廣播回應請求。這種回應使用廣播是因為客戶端還不知道可以發送的IP地址。
埠:69
服務:Trival File Transfer
說明:許多伺服器與bootp一起提供這項服務,便於從系統下載啟動代碼。但是它們常常由於錯誤配置而使入侵者能從系統中竊取任何 文件。它們也可用於系統寫入文件。
埠:79
服務:Finger Server
說明:入侵者用於獲得用戶信息,查詢操作系統,探測已知的緩沖區溢出錯誤,回應從自己機器到其他機器Finger掃描。
埠:80
服務:HTTP
說明:用於網頁瀏覽。木馬Executor開放此埠。
埠:99
服務:Metagram Relay
說明:後門程序ncx99開放此埠。
埠:102
服務:Message transfer agent(MTA)-X.400 over TCP/IP
說明:消息傳輸代理。
埠:109
服務:Post Office Protocol -Version3
說明:POP3伺服器開放此埠,用於接收郵件,客戶端訪問伺服器端的郵件服務。POP3服務有許多公認的弱點。關於用戶名和密碼交 換緩沖區溢出的弱點至少有20個,這意味著入侵者可以在真正登陸前進入系統。成功登陸後還有其他緩沖區溢出錯誤。
埠:110
服務:SUN公司的RPC服務所有埠
說明:常見RPC服務有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
埠:113
服務:Authentication Service
說明:這是一個許多計算機上運行的協議,用於鑒別TCP連接的用戶。使用標準的這種服務可以獲得許多計算機的信息。但是它可作為許多服務的記錄器,尤其是FTP、POP、IMAP、SMTP和IRC等服務。通常如果有許多客戶通過防火牆訪問這些服務,將會看到許多這個埠的連接請求。記住,如果阻斷這個埠客戶端會感覺到在防火牆另一邊與E-MAIL伺服器的緩慢連接。許多防火牆支持TCP連接的阻斷過程中發回RST。這將會停止緩慢的連接。
埠:119
服務:Network News Transfer Protocol
說明:NEWS新聞組傳輸協議,承載USENET通信。這個埠的連接通常是人們在尋找USENET伺服器。多數ISP限制,只有他們的客戶才能訪問他們的新聞組伺服器。打開新聞組伺服器將允許發/讀任何人的帖子,訪問被限制的新聞組伺服器,匿名發帖或發送SPAM。
埠:135
服務:Location Service
說明:Microsoft在這個埠運行DCE RPC end-point mapper為它的DCOM服務。這與UNIX 111埠的功能很相似。使用DCOM和RPC的服務利用計算機上的end-point mapper注冊它們的位置。遠端客戶連接到計算機時,它們查找end-point mapper找到服務的位置。HACKER掃描計算機的這個埠是為了找到這個計算機上運行Exchange Server嗎?什麼版本?還有些DOS攻擊直接針對這個埠。
埠:137、138、139
服務:NETBIOS Name Service
說明:其中137、138是UDP埠,當通過網上鄰居傳輸文件時用這個埠。而139埠:通過這個埠進入的連接試圖獲得NetBIOS/SMB服務。這個協議被用於windows文件和列印機共享和SAMBA。還有WINS Regisrtation也用它。
埠:143
服務:Interim Mail Access Protocol v2
說明:和POP3的安全問題一樣,許多IMAP伺服器存在有緩沖區溢出漏洞。記住:一種LINUX蠕蟲(admv0rm)會通過這個埠繁殖,因此許多這個埠的掃描來自不知情的已經被感染的用戶。當REDHAT在他們的LINUX發布版本中默認允許IMAP後,這些漏洞變的很流行。這一埠還被用於IMAP2,但並不流行。
埠:161
服務:SNMP
說明:SNMP允許遠程管理設備。所有配置和運行信息的儲存在資料庫中,通過SNMP可獲得這些信息。許多管理員的錯誤配置將被暴露在Internet。Cackers將試圖使用默認的密碼public、private訪問系統。他們可能會試驗所有可能的組合。SNMP包可能會被錯誤的指向用戶的網路。
埠:177
服務:X Display Manager Control Protocol
說明:許多入侵者通過它訪問X-windows操作台,它同時需要打開6000埠。
埠:389
服務:LDAP、ILS
說明:輕型目錄訪問協議和NetMeeting Internet Locator Server共用這一埠。
埠:443
服務:Https
說明:網頁瀏覽埠,能提供加密和通過安全埠傳輸的另一種HTTP。
埠:456
服務:[NULL]
說明:木馬HACKERS PARADISE開放此埠。
埠:513
服務:Login,remote login
說明:是從使用cable modem或DSL登陸到子網中的UNIX計算機發出的廣播。這些人為入侵者進入他們的系統提供了信息。
埠:544
服務:[NULL]
說明:kerberos kshell
埠:548
服務:Macintosh,File Services(AFP/IP)
說明:Macintosh,文件服務。
埠:553
服務:CORBA IIOP (UDP)
說明:使用cable modem、DSL或VLAN將會看到這個埠的廣播。CORBA是一種面向對象的RPC系統。入侵者可以利用這些信息進入系統。
埠:555
服務:DSF
說明:木馬PhAse1.0、Stealth Spy、IniKiller開放此埠。
埠:568
服務:Membership DPA
說明:成員資格 DPA。
埠:569
服務:Membership MSN
說明:成員資格 MSN。
埠:635
服務:mountd
說明:Linux的mountd Bug。這是掃描的一個流行BUG。大多數對這個埠的掃描是基於UDP的,但是基於TCP的mountd有所增加(mountd同時運行於兩個埠)。記住mountd可運行於任何埠(到底是哪個埠,需要在埠111做portmap查詢),只是Linux默認埠是635,就像NFS通常運行於2049埠。
埠:636
服務:LDAP
說明:SSL(Secure Sockets layer)
埠:666
服務:Doom Id Software
說明:木馬Attack FTP、Satanz Backdoor開放此埠
埠:993
服務:IMAP
說明:SSL(Secure Sockets layer)
埠:1001、1011
服務:[NULL]
說明:木馬Silencer、WebEx開放1001埠。木馬Doly Trojan開放1011埠。
埠:1024
服務:Reserved
說明:它是動態埠的開始,許多程序並不在乎用哪個埠連接網路,它們請求系統為它們分配下一個閑置埠。基於這一點分配從埠1024開始。這就是說第一個向系統發出請求的會分配到1024埠。你可以重啟機器,打開Telnet,再打開一個窗口運行natstat -a 將會看到Telnet被分配1024埠。還有SQL session也用此埠和5000埠。
埠:1025、1033
服務:1025:network blackjack 1033:[NULL]
說明:木馬netspy開放這2個埠。
埠:1080
服務:SOCKS
說明:這一協議以通道方式穿過防火牆,允許防火牆後面的人通過一個IP地址訪問INTERNET。理論上它應該只允許內部的通信向外到達INTERNET。但是由於錯誤的配置,它會允許位於防火牆外部的攻擊穿過防火牆。WinGate常會發生這種錯誤,在加入IRC聊天室時常會看到這種情況。
埠:1170
服務:[NULL]
說明:木馬Streaming Audio Trojan、Psyber Stream Server、Voice開放此埠。
埠:1234、1243、6711、6776
服務:[NULL]
說明:木馬SubSeven2.0、Ultors Trojan開放1234、6776埠。木馬SubSeven1.0/1.9開放1243、6711、6776埠。
埠:1245
服務:[NULL]
說明:木馬Vodoo開放此埠。
埠:1433
服務:SQL
說明:Microsoft的SQL服務開放的埠。
埠:1492
服務:stone-design-1
說明:木馬FTP99CMP開放此埠。
埠:1500
服務:RPC client fixed port session queries
說明:RPC客戶固定埠會話查詢
埠:1503
服務:NetMeeting T.120
說明:NetMeeting T.120
埠:1524
服務:ingress
說明:許多攻擊腳本將安裝一個後門SHELL於這個埠,尤其是針對SUN系統中Sendmail和RPC服務漏洞的腳本。如果剛安裝了防火牆就看到在這個埠上的連接企圖,很可能是上述原因。可以試試Telnet到用戶的計算機上的這個埠,看看它是否會給你一個SHELL。連接到600/pcserver也存在這個問題。
埠:1600
服務:issd
說明:木馬Shivka-Burka開放此埠。
埠:1720
服務:NetMeeting
說明:NetMeeting H.233 call Setup。
埠:1731
服務:NetMeeting Audio Call Control
說明:NetMeeting音頻調用控制。
埠:1807
服務:[NULL]
說明:木馬SpySender開放此埠。
埠:1981
服務:[NULL]
說明:木馬ShockRave開放此埠。
埠:1999
服務:cisco identification port
說明:木馬BackDoor開放此埠。
埠:2000
服務:[NULL]
說明:木馬GirlFriend 1.3、Millenium 1.0開放此埠。
埠:2001
服務:[NULL]
說明:木馬Millenium 1.0、Trojan Cow開放此埠。
埠:2023
服務:xinuexpansion 4
說明:木馬Pass Ripper開放此埠。
埠:2049
服務:NFS
說明:NFS程序常運行於這個埠。通常需要訪問Portmapper查詢這個服務運行於哪個埠。
埠:2115
服務:[NULL]
說明:木馬Bugs開放此埠。
埠:2140、3150
服務:[NULL]
說明:木馬Deep Throat 1.0/3.0開放此埠。
埠:2500
服務:RPC client using a fixed port session replication
說明:應用固定埠會話復制的RPC客戶
埠:2583
服務:[NULL]
說明:木馬Wincrash 2.0開放此埠。
埠:2801
服務:[NULL]
說明:木馬Phineas Phucker開放此埠。
埠:3024、4092
服務:[NULL]
說明:木馬WinCrash開放此埠。
埠:3128
服務:squid
說明:這是squid HTTP代理伺服器的默認埠。攻擊者掃描這個埠是為了搜尋一個代理伺服器而匿名訪問Internet。也會看到搜索其他代理伺服器的埠8000、8001、8080、8888。掃描這個埠的另一個原因是用戶正在進入聊天室。其他用戶也會檢驗這個埠以確定用戶的機器是否支持代理。
埠:3129
服務:[NULL]
說明:木馬Master Paradise開放此埠。
埠:3150
服務:[NULL]
說明:木馬The Invasor開放此埠。
埠:3210、4321
服務:[NULL]
說明:木馬SchoolBus開放此埠
埠:3333
服務:dec-notes
說明:木馬Prosiak開放此埠
埠:3389
服務:超級終端
說明:WINDOWS 2000終端開放此埠。
埠:3700
服務:[NULL]
說明:木馬Portal of Doom開放此埠
埠:3996、4060
服務:[NULL]
說明:木馬RemoteAnything開放此埠
埠:4000
服務:QQ客戶端
說明:騰訊QQ客戶端開放此埠。
埠:4092
服務:[NULL]
說明:木馬WinCrash開放此埠。
埠:4590
服務:[NULL]
說明:木馬ICQTrojan開放此埠。
埠:5000、5001、5321、50505
服務:[NULL]
說明:木馬blazer5開放5000埠。木馬Sockets de Troie開放5000、5001、5321、50505埠。
埠:5400、5401、5402
服務:[NULL]
說明:木馬Blade Runner開放此埠。
埠:5550
服務:[NULL]
說明:木馬xtcp開放此埠。
埠:5569
服務:[NULL]
說明:木馬Robo-Hack開放此埠。
埠:5632
服務:pcAnywere
說明:有時會看到很多這個埠的掃描,這依賴於用戶所在的位置。當用戶打開pcAnywere時,它會自動掃描區域網C類網以尋找可能的代理(這里的代理是指agent而不是proxy)。入侵者也會尋找開放這種服務的計算機。,所以應該查看這種掃描的源地址。一些搜尋pcAnywere的掃描包常含埠22的UDP數據包。
埠:5742
服務:[NULL]
說明:木馬WinCrash1.03開放此埠。
埠:6267
服務:[NULL]
說明:木馬廣外女生開放此埠。
埠:6400
服務:[NULL]
說明:木馬The tHing開放此埠。
埠:6670、6671
服務:[NULL]
說明:木馬Deep Throat開放6670埠。而Deep Throat 3.0開放6671埠。
埠:6883
服務:[NULL]
說明:木馬DeltaSource開放此埠。
埠:6969
服務:[NULL]
說明:木馬Gatecrasher、Priority開放此埠。
埠:6970
服務:RealAudio
說明:RealAudio客戶將從伺服器的6970-7170的UDP埠接收音頻數據流。這是由TCP-7070埠外向控制連接設置的。
埠:7000
服務:[NULL]
說明:木馬Remote Grab開放此埠。
埠:7300、7301、7306、7307、7308
服務:[NULL]
說明:木馬NetMonitor開放此埠。另外NetSpy1.0也開放7306埠。
埠:7323
服務:[NULL]
說明:Sygate伺服器端。
埠:7626
服務:[NULL]
說明:木馬Giscier開放此埠。
埠:7789
服務:[NULL]
說明:木馬ICKiller開放此埠。
埠:8000
服務:OICQ
說明:騰訊QQ伺服器端開放此埠。
埠:8010
服務:Wingate
說明:Wingate代理開放此埠。
埠:8080
服務:代理埠
說明:WWW代理開放此埠。
埠:9400、9401、9402
服務:[NULL]
說明:木馬Incommand 1.0開放此埠。
埠:9872、9873、9874、9875、10067、10167
服務:[NULL]
說明:木馬Portal of Doom開放此埠。
埠:9989
服務:[NULL]
說明:木馬iNi-Killer開放此埠。
埠:11000
服務:[NULL]
說明:木馬SennaSpy開放此埠。
埠:11223
服務:[NULL]
說明:木馬Progenic trojan開放此埠。
埠:12076、61466
服務:[NULL]
說明:木馬Telecommando開放此埠。
埠:12223
服務:[NULL]
說明:木馬Hack'99 KeyLogger開放此埠。
埠:12345、12346
服務:[NULL]
說明:木馬NetBus1.60/1.70、GabanBus開放此埠。
埠:12361
服務:[NULL]
說明:木馬Whack-a-mole開放此埠。
埠:13223
服務:PowWow
說明:PowWow是Tribal Voice的聊天程序。它允許用戶在此埠打開私人聊天的連接。這一程序對於建立連接非常具有攻擊性。它會駐扎在這個TCP埠等回應。造成類似心跳間隔的連接請求。如果一個撥號用戶從另一個聊天者手中繼承了IP地址就會發生好象有很多不同的人在測試這個埠的情況。這一協議使用OPNG作為其連接請求的前4個位元組。
埠:16969
服務:[NULL]
說明:木馬Priority開放此埠。
埠:17027
服務:Concent
說明:這是一個外向連接。這是由於公司內部有人安裝了帶有Concent"adbot"的共享軟體。Concent"adbot"是為共享軟體顯示廣告服務的。使用這種服務的一種流行的軟體是Pkware。
埠:19191
服務:[NULL]
說明:木馬藍色火焰開放此埠。
埠:20000、20001
服務:[NULL]
說明:木馬Millennium開放此埠。
埠:20034
服務:[NULL]
說明:木馬NetBus Pro開放此埠。
埠:21554
服務:[NULL]
說明:木馬GirlFriend開放此埠。
埠:22222
服務:[NULL]
說明:木馬Prosiak開放此埠。
埠:23456
服務:[NULL]
說明:木馬Evil FTP、Ugly FTP開放此埠。
埠:26274、47262
服務:[NULL]
說明:木馬Delta開放此埠。
埠:27374
服務:[NULL]
說明:木馬Subseven 2.1開放此埠。
埠:30100
服務:[NULL]
說明:木馬NetSphere開放此埠。
埠:30303
服務:[NULL]
說明:木馬Socket23開放此埠。
埠:30999
服務:[NULL]
說明:木馬Kuang開放此埠。
埠:31337、31338
服務:[NULL]
說明:木馬BO(Back Orifice)開放此埠。另外木馬DeepBO也開放31338埠。
埠:31339
服務:[NULL]
說明:木馬NetSpy DK開放此埠。
埠:31666
服務:[NULL]
說明:木馬BOWhack開放此埠。
埠:33333
服務:[NULL]
說明:木馬Prosiak開放此埠。
埠:34324
服務:[NULL]
說明:木馬Tiny Telnet Server、BigGluck、TN開放此埠。
埠:40412
服務:[NULL]
說明:木馬The Spy開放此埠。
埠:40421、40422、40423、40426、
服務:[NULL]
說明:木馬Masters Paradise開放此埠。
埠:43210、54321
服務:[NULL]
說明:木馬SchoolBus 1.0/2.0開放此埠。
埠:44445
服務:[NULL]
說明:木馬Happypig開放此埠。
埠:50766
服務:[NULL]
說明:木馬Fore開放此埠。
埠:53001
服務:[NULL]
說明:木馬Remote Windows Shutdown開放此埠。
埠:65000
服務:[NULL]
說明:木馬Devil 1.03開放此埠。
埠:88
說明:Kerberos krb5。另外TCP的88埠也是這個用途。
埠:137
說明:SQL Named Pipes encryption over other protocols name lookup(其他協議名稱查找上的SQL命名管道加密技術)和SQL RPC encryption over other protocols name lookup(其他協議名稱查找上的SQL RPC加密技術)和Wins NetBT name service(WINS NetBT名稱服務)和Wins Proxy都用這個埠。
埠:161
說明:Simple Network Management Protocol(SMTP)(簡單網路管理協議)。
埠:162
說明:SNMP Trap(SNMP陷阱)
埠:445
說明:Common Internet File System(CIFS)(公共Internet文件系統)
埠:464
說明:Kerberos kpasswd(v5)。另外TCP的464埠也是這個用途。
埠:500
說明:Internet Key Exchange(IKE)(Internet密鑰交換)
埠:1645、1812
說明:Remot Authentication Dial-In User Service(RADIUS)authentication(Routing and Remote Access)(遠程認證撥號用戶服務)
埠:1646、1813
說明:RADIUS accounting(Routing and Remote Access)(RADIUS記帳(路由和遠程訪問))
埠:1701
說明:Layer Two Tunneling Protocol(L2TP)(第2層隧道協議)
埠:1801、3527
說明:Microsoft Message Queue Server(Microsoft消息隊列伺服器)。還有TCP的135、1801、2101、2103、2105也是同樣的用途。
埠:2504
說明:Network Load Balancing(網路平衡負荷)
C. kerberos系統隱患有什麼方法可修復
windows repair是一個全能型的系統修復軟體工具,Win8、Win7、WinXP系統不管是32位還是64位都可以修復,可以把windows恢復到初始設置,可以修復諸如注冊表許可權問題、ie、自動更新、防火牆等等一系列故障 主要功能: 1、重置注冊表許可權 2、重置文件許可權 3、注冊系統文件 4、修復wmi.(一項核心的windows管理技術),可能也就是windows自帶的「管理」功能 5、修復windows防火牆 6、修復ie瀏覽器 7、修復MDAC和MS jet(微軟資料庫訪問組件和資料庫引擎) 8、還原host文件 9、修復圖標 10、修復winsock和刷新DNS緩存 11、刪除臨時文件 12、修復代理設置 13、不隱藏非系統文件 14、修復windows更新功能
D. 關於用戶登錄方式
一、了解Windows XP的
幾種登錄類型
1. 互動式登錄
互動式登錄是我們平常登錄時最常見的類型,就是用戶通過相應的用戶賬號(User Account)和密碼在本機進行登錄。有些網友認為「互動式登錄」就是「本地登錄」,其實這是錯誤的。「互動式登錄」還包括「域賬號登錄」,而「本地登錄」僅限於「本地賬號登錄」。
這里有必要提及的是,通過終端服務和遠程桌面登錄主機,可以看做「互動式登錄」,其驗證的原理是一樣的。
在互動式登錄時,系統會首先檢驗登錄的用戶賬號類型,是本地用戶賬號(Local User Account),還是域用戶賬號(Domain User Account),再採用相應的驗證機制。因為不同的用戶賬號類型,其處理方法也不同。
◇ 本地用戶賬號
採用本地用戶賬號登錄,系統會通過存儲在本機SAM資料庫中的信息進行驗證。所以也就是為什麼Windows2000忘記Administrator密碼時可以用刪除SAM文件的方法來解決。不過對於Windows XP則不可以,可能是出於安全方面的考慮吧。用本地用戶賬號登錄後,只能訪問到具有訪問許可權的本地資源。(圖1)
圖1
◇域用戶賬號
採用域用戶賬號登錄,系統則通過存儲在域控制器的活動目錄中的數據進行驗證。如果該用戶賬號有效,則登錄後可以訪問到整個域中具有訪問許可權的資源。
小提示:如果計算機加入域以後,登錄對話框就會顯示「登錄到:」項目,可以從中選擇登錄到域還是登錄到本機。
2. 網路登錄
如果計算機加入到工作組或域,當要訪問其他計算機的資源時,就需要「網路登錄」了。如圖2,當要登錄名稱為Heelen的主機時,輸入該主機的用戶名稱和密碼後進行驗證。這里需要提醒的是,輸入的用戶賬號必須是對方主機上的,而非自己主機上的用戶賬號。因為進行網路登錄時,用戶賬號的有效性是由受訪主機控制的。
圖2
3. 服務登錄
服務登錄是一種特殊的登錄方式。平時,系統啟動服務和程序時,都是先以某些用戶賬號進行登錄後運行的,這些用戶賬號可以是域用戶賬號、本地用戶賬號或SYSTEM賬號。採用不同的用戶賬號登錄,其對系統的訪問、控制許可權也不同,而且,用本地用戶賬號登錄,只能訪問到具有訪問許可權的本地資源,不能訪問到其他計算機上的資源,這點和「互動式登錄」類似。
從圖3的任務管理器中可以看到,系統的進程所使用的賬號是不同的。當系統啟動時,一些基與Win32的服務會被預先登錄到系統上,從而實現對系統的訪問和控制。運行Services.msc,可以設置這些服務。由於系統服務有著舉足輕重的地位,一般都以SYSTEM賬號登錄,所以對系統有絕對的控制許可權,因此很多病毒和木馬也爭著加入這個貴族體系中。除了SYSTEM,有些服務還以Local Service和Network Service這兩個賬號登錄。而在系統初始化後,用戶運行的一切程序都是以用戶本身賬號登錄的。
圖3
從上面講到的原理不難看出,為什麼很多電腦文章告訴一般用戶,平時使用計算機時要以Users組的用戶登錄,因為即使運行了病毒、木馬程序,由於受到登錄用戶賬號相應的許可權限制,最多也只能破壞屬於用戶本身的資源,而對維護系統安全和穩定性的重要信息無破壞性。
4. 批處理登錄
批處理登錄一般用戶很少用到,通常被執行批處理操作的程序所使用。在執行批處理登錄時,所用賬號要具有批處理工作的權利,否則不能進行登錄。
平常我們接觸最多的是「互動式登錄」,所以下面筆者將為大家詳細講解「互動式登錄」的原理。
二、互動式登錄,系統用了哪些組件
1. Winlogon.exe
Winlogon.exe是「互動式登錄」時最重要的組件,它是一個安全進程,負責如下工作:
◇載入其他登錄組件。
◇提供同安全相關的用戶操作圖形界面,以便用戶能進行登錄或注銷等相關操作。
◇根據需要,同GINA發送必要信息。
2. GINA
GINA的全稱為「Graphical Identification and Authentication」——圖形化識別和驗證。它是幾個動態資料庫文件,被Winlogon.exe所調用,為其提供能夠對用戶身份進行識別和驗證的函數,並將用戶的賬號和密碼反饋給Winlogon.exe。在登錄過程中,「歡迎屏幕」和「登錄對話框」就是GINA顯示的。
一些主題設置軟體,例如StyleXP,可以指定Winlogon.exe載入商家自己開發的GINA,從而提供不同的Windows XP的登錄界面。由於這個可修改性,現在出現了盜取賬號和密碼的木馬。
一種是針對「歡迎屏幕」登錄方式的木馬,它模擬了Windows XP的歡迎界面。當用戶輸入密碼後,就被木馬程序所獲取,而用戶卻全然不知。所以建議大家不要以歡迎屏幕來登錄,且要設置「安全登錄」。
另一種是針對登錄對話框的GINA木馬,其原理是在登錄時載入,以盜取用戶的賬號和密碼,然後把這些信息保存到%systemroot%system32下的WinEggDrop.dat中。該木馬會屏蔽系統以「歡迎屏幕」方式登錄和「用戶切換」功能,也會屏蔽「Ctrl-Alt-Delete」的安全登錄提示。
用戶也不用太擔心被安裝了GINA木馬,筆者在這里提供解決方案給大家參考:
◇正所謂「解鈴還需系鈴人」,要查看自己電腦是否安裝過GINA木馬,可以下載一個GINA木馬程序,然後運行InstGina -view,可以查看系統中GinaDLL鍵值是否被安裝過DLL,主要用來查看系統是否被人安裝了Gina木馬作為登錄所用。如果不幸被安裝了GINA木馬,可以運行InstGina -Remove來卸載它。
3. LSA服務
LSA的全稱為「Local Security Authority」——本地安全授權,Windows系統中一個相當重要的服務,所有安全認證相關的處理都要通過這個服務。它從Winlogon.exe中獲取用戶的賬號和密碼,然後經過密鑰機制處理,並和存儲在賬號資料庫中的密鑰進行對比,如果對比的結果匹配,LSA就認為用戶的身份有效,允許用戶登錄計算機。如果對比的結果不匹配,LSA就認為用戶的身份無效。這時用戶就無法登錄計算機。
怎麼看這三個字母有些眼熟?對了,這個就是和前陣子鬧得沸沸揚揚的「震盪波」 扯上關系的服務。「震盪波」蠕蟲就是利用LSA遠程緩沖區溢出漏洞而獲得系統最高許可權SYSTEM來攻擊電腦的。解決的方法網上很多資料,這里就不多講了。
4. SAM資料庫
SAM的全稱為「Security Account Manager」——安全賬號管理器,是一個被保護的子系統,它通過存儲在計算機注冊表中的安全賬號來管理用戶和用戶組的信息。我們可以把SAM看成一個賬號資料庫。對於沒有加入到域的計算機來說,它存儲在本地,而對於加入到域的計算機,它存儲在域控制器上。
如果用戶試圖登錄本機,那麼系統會使用存儲在本機上的SAM資料庫中的賬號信息同用戶提供的信息進行比較;如果用戶試圖登錄到域,那麼系統會使用存儲在域控制器中上的SAM資料庫中的賬號信息同用戶提供的信息進行比較。
5. Net Logon服務
Net Logon服務主要和NTLM(NT LAN Manager,Windows NT 4.0 的默認驗證協議)協同使用,用戶驗證Windows NT域控制器上的SAM資料庫上的信息同用戶提供的信息是否匹配。NTLM協議主要用於實現同Windows NT的兼容性而保留的。
6. KDC服務
KDC(Kerberos Key Distribution Center——Kerberos密鑰發布中心)服務主要同Kerberos認證協議協同使用,用於在整個活動目錄范圍內對用戶的登錄進行驗證。如果你確保整個域中沒有Windows NT計算機,可以只使用Kerberos協議,以確保最大的安全性。該服務要在Active Directory服務啟動後才能啟用。
7. Active Directory服務
如果計算機加入到Windows 2000或Windows 2003域中,則需啟動該服務以對Active Directory(活動目錄)功能的支持。
三、登錄前後,Winlogon到底幹了什麼
如果用戶設置了「安全登錄」,在Winlogon初始化時,會在系統中注冊一個SAS (Secure Attention Sequence——安全警告序列)。SAS是一組組合鍵,默認情況下為Ctrl-Alt-Delete。它的作用是確保用戶互動式登錄時輸入的信息被系統所接受,而不會被其他程序所獲取。所以說,使用「安全登錄」進行登錄,可以確保用戶的賬號和密碼不會被黑客盜取。要啟用「安全登錄」的功能,可以運行「Control userpasswords2」命令,打開「用戶賬戶」對話框,選擇「高級」。(如圖4)選中「要求用戶按Ctrl-Alt-Delete」選項後確定即可。以後,在每次登錄對話框出現前都有一個提示,要求用戶按Ctrl-Alt-Delete組合鍵,目的是為了在登錄時出現Windows XP的GINA登錄對話框,因為只有系統本身的GINA才能截獲這個組合鍵信息。而如前面講到的GINA木馬,會屏蔽掉「安全登錄」的提示,所以如果「安全登錄」的提示無故被屏蔽也是發現木馬的一個前兆。「安全登錄」功能早在Windows 2000時就被應用於保護系統安全性。
圖4
在Winlogon注冊了SAS後,就調用GINA生成3個桌面系統,在用戶需要的時候使用,它們分別為:
◇Winlogon桌面 用戶在進入登錄界面時,就進入了Winlogon桌面。而我們看到的登錄對話框,只是GINA負責顯示的。
如果用戶取消以「歡迎屏幕」方式登錄,在進入Windows XP中任何時候按下「Ctrl-Alt-Delete」,都會激活Winlogon桌面,並顯示圖5的「Windows安全」對話框(注意,Winlogon桌面並不等同對話框,對話框只是Winlogon調用其他程序來顯示的)。
圖5
◇用戶桌面 用戶桌面就是我們日常操作的桌面,它是系統最主要的桌面系統。用戶需要提供正確的賬號和密碼,成功登錄後才能顯示「用戶桌面」。而且,不同的用戶,Winlogon會根據注冊表中的信息和用戶配置文件來初始化用戶桌面。
◇屏幕保護桌面 屏幕保護桌面就是屏幕保護,包括「系統屏幕保護」和「用戶屏幕保護」。在啟用了「系統屏幕保護」的前提下,用戶未進行登錄並且長時間無操作,系統就會進入「系統屏幕保護」;而對於「用戶屏幕保護」來說,用戶要登錄後才能訪問,不同的用戶可以設置不同的「用戶屏幕保護」。
四、想登錄,也要過GINA這一關
在「互動式登錄」過程中,Winlogon調用了GINA組文件,把用戶提供的賬號和密碼傳達給GINA,由GINA負責對賬號和密碼的有效性進行驗證,然後把驗證結果反饋給Winlogon程序。在與Winlogon.exe對話時,GINA會首先確定Winlogon.exe的當前狀態,再根據不同狀態來執行不同的驗證工作。通常Winlogon.exe有三種狀態:
1. 已登錄狀態
顧名思義,用戶在成功登錄後,就進入了「已登錄狀態」。在此狀態下,用戶可以執行有控制許可權的任何操作。
2. 已注銷狀態
用戶在已登錄狀態下,選擇「注銷」命令後,就進入了「已注銷狀態」,並顯示Winlogon桌面,而由GINA負責顯示登錄對話框或歡迎屏幕。
3. 已鎖定狀態
當用戶按下「Win+L」鍵鎖定計算機後,就進入了「已鎖定狀態」。在此狀態下,GINA負責顯示可供用戶登錄的對話框。此時用戶有兩種選擇,一種是輸入當前用戶的密碼返回「已登錄狀態」,另一種是輸入管理員賬號和密碼,返回「已注銷狀態」,但原用戶狀態和未保存數據丟失。
五、登錄到本機的過程
1. 用戶首先按Ctrl+Alt+Del組合鍵。
2. Winlogon檢測到用戶按下SAS鍵,就調用GINA,由GINA顯示登錄對話框,以便用戶輸入賬號和密碼。
3. 用戶輸入賬號和密碼,確定後,GINA把信息發送給LSA進行驗證。
4. 在用戶登錄到本機的情況下,LSA會調用Msv1_0.dll這個驗證程序包,將用戶信息處理後生成密鑰,同SAM資料庫中存儲的密鑰進行對比。
5. 如果對比後發現用戶有效,SAM會將用戶的SID(Security Identifier——安全標識),用戶所屬用戶組的SID,和其他一些相關信息發送給LSA。
6. LSA將收到的SID信息創建安全訪問令牌,然後將令牌的句柄和登錄信息發送給Winlogon.exe。
7. Winlogon.exe對用戶登錄稍作處理後,完成整個登錄過程。
六、登錄到域的過程
登錄到域的驗證過程,對於不同的驗證協議也有不同的驗證方法。如果域控制器是Windows NT 4.0,那麼使用的是NTLM驗證協議,其驗證過程和前面的「登錄到本機的過程」差不多,區別就在於驗證賬號的工作不是在本地SAM資料庫中進行,而是在域控制器中進行;而對於Windows 2000和Windows 2003域控制器來說,使用的一般為更安全可靠的Kerberos V5協議。通過這種協議登錄到域,要向域控制器證明自己的域賬號有效,用戶需先申請允許請求該域的TGS(Ticket-Granting Service——票據授予服務)。獲准之後,用戶就會為所要登錄的計算機申請一個會話票據,最後還需申請允許進入那台計算機的本地系統服務。
其過程如下:
1. 用戶首先按Ctrl+Alt+Del組合鍵。
2. Winlogon檢測到用戶按下SAS鍵,就調用GINA,由GINA顯示登錄對話框,以便用戶輸入賬號和密碼。
3. 用戶選擇所要登錄的域和填寫賬號與密碼,確定後,GINA將用戶輸入的信息發送給LSA進行驗證。
4. 在用戶登錄到本機的情況下,LSA將請求發送給Kerberos驗證程序包。通過散列演算法,根據用戶信息生成一個密鑰,並將密鑰存儲在證書緩存區中。
5. Kerberos驗證程序向KDC(Key Distribution Center——密鑰分配中心)發送一個包含用戶身份信息和驗證預處理數據的驗證服務請求,其中包含用戶證書和散列演算法加密時間的標記。
6. KDC接收到數據後,利用自己的密鑰對請求中的時間標記進行解密,通過解密的時間標記是否正確,就可以判斷用戶是否有效。
7. 如果用戶有效,KDC將向用戶發送一個TGT(Ticket-Granting Ticket——票據授予票據)。該TGT(AS_REP)將用戶的密鑰進行解密,其中包含會話密鑰、該會話密鑰指向的用戶名稱、該票據的最大生命期以及其他一些可能需要的數據和設置等。用戶所申請的票據在KDC的密鑰中被加密,並附著在AS_REP中。在TGT的授權數據部分包含用戶賬號的SID以及該用戶所屬的全局組和通用組的SID。注意,返回到LSA的SID包含用戶的訪問令牌。票據的最大生命期是由域策略決定的。如果票據在活動的會話中超過期限,用戶就必須申請新的票據。
8. 當用戶試圖訪問資源時,客戶系統使用TGT從域控制器上的Kerberos TGS請求服務票據(TGS_REQ)。然後TGS將服務票據(TGS_REP)發送給客戶。該服務票據是使用伺服器的密鑰進行加密的。同時,SID被Kerberos服務從TGT復制到所有的Kerberos服務包含的子序列服務票據中。
9. 客戶將票據直接提交到需要訪問的網路服務上,通過服務票據就能證明用戶的標識和針對該服務的許可權,以及服務對應用戶的標識。
七、我要偷懶——設置自動登錄
為了安全起見,平時我們進入Windows XP時,都要輸入賬號和密碼。而一般我們都是使用一個固定的賬號登錄的。面對每次煩瑣的輸入密碼,有的朋友乾脆設置為空密碼或者類似「123」等弱口令,而這些賬號也多數為管理員賬號。殊不知黑客用一般的掃描工具,很容易就能掃描到一段IP段中所有弱口令的計算機。
所以,還是建議大家要把密碼盡量設置得復雜些。如果怕麻煩,可以設置自動登錄,不過自動登錄也是很不安全的。因為自動登錄意味著能直接接觸計算機的人都能進入系統;另一方面,賬號和密碼是明文保存在注冊表中的,所以任何人,只要具有訪問注冊表的許可權,都可以通過網路查看。因此如果要設置登錄,最好不要設置為管理員賬號,可以設置為USERS組的用戶賬號。設置自動登錄的方法是:運行「Control userpasswords2」,在「用戶賬戶」窗口中取消「要使用本機,用戶必須輸入用戶名和密碼」選項,確定後會出現一個對話框,輸入要自動登錄的賬號和密碼即可。注意,這里不對密碼進行驗證,用戶要確保密碼和賬號的正確性。
E. 如何設置企業安全管理制度體系的層級架構
一、設置企業安全管理制度體系的層級架構的背景
隨著信息技術的發展和快速通信的需求,現代企業的運營越來越依賴於企業IT基礎架構的建設水平,特別是一些分支機構分布全國或者跨國范圍的大型企業。與此同時,如何保證這些企業的IT基礎架構的安全性和穩定性成為一項迫切的需求,特別是在美國的薩班斯法案生效後,給企業在如何保證數據的准確性和安全性方面提出了更高的要求。
二、實現體系所需的網路安全知識
1、網路安全基礎
隨著工nternet的發展,信息安全也迎來了第二次變革,分布式系統、終端用戶與計算機之間以及計算機與計算機之間傳送數據的網路和通信設施的廣泛應用,使得在信息傳輸時,需要有網路安全措施來保護數據傳輸。這就是「網路安全」的產生。
網路安全包含兩個方面的內容:
a)所有與網路相關,特別是互聯網相關的安全問題,包括各種系統的安全漏洞、協議的弱點和各式各樣的攻擊行為;
b)解決這些問題的技術或手段,包括密碼技術、防火牆、虛擬專用網技術、入侵檢測技術等應用技術,也包括相關的協議規范和管理策略。
2)網路與信息安全的目標
人們對信息的使用主要是通過計算機網路來實現的,在計算機和網路上信息的處理是數據的形式進行,在這種情況下,信息就是數據,因而從這個角度來說,網路與信息安全可以分為數據安全和系統安全。即信息安全可以從兩個層次來看:
從消息的層次來看,包括信息的:
a)完整性(Integrity):即保證消息的來源、去向、內容真實無誤;
b)保密性(Coflfidefltiality):即保證消息不會被非法泄露擴散;
e)不可否認性(Non一repudiation)一也稱為不可抵賴性:即保證消息的發送和接受者無法否認自己所做過的操作行為。
4)網路安全技術體系
一般的,可以從兩個方面來設計網路安全的體系結構:
a)網路安全技術服務的不同對象
b)網路安全技術提供安全功能的特點
網路安全的服務對象有系統(包括一般主機和伺服器)、區域網和網路的通信。根據服務對象的不同,分別有不同特性的網路安全技術。例如對於保護系統安全的技術有:數據備份、數據恢復和反病毒等技術;對於區域網安全的技術有:
防火牆、網路監控等技術;對於通信安全的技術則有:PKI、VPN等技術提供服務。
從網路安全技術自身特點來分析,網路安全技術可以分為:基礎的網路支撐技術、主流的網路安全技術、專業的網路安全技術和具體的網路安全應用系統等。
密碼技術和訪問控制技術屬於基礎的網路安全支撐技術,提供所有其它網路安全技術所需要的基本安全服務;防火牆、VPN和PKI技術則屬於目前流行的主流網路安全技術,己有較多的成熟產品面向用戶。網路標准和法規則可以看成屬於管理層面的網路安全技術。
從網路層次來看,包括:
a)可用性:即保證網路和信息系統隨時可用,運行過程中不出現故障,若遇意外打擊能夠盡量減少並盡早恢復正常;
b)可控性(Controllability):是對網路信息的傳播及內容具有控制能力的特性。
3)網路的安全威脅
網路的安全威脅來自於以下幾個方面:
a)網路協議的弱點
TCP/IP協議是如今最流行的網路協議,它的設計本身並沒有較多地考慮安全方面的需求,因而TCP/IP協議存在一些弱點,這些弱點帶來許多直接的安全威脅。
b)網路操作系統的漏洞
操作系統是網路協議和服務得以實現的最終載體之一,它不僅負責網路硬體設備的介面封裝,同時還提供網路通信所需要的各種協議和服務的程序實現。一般情況,操作系統規模都很大,其中的網路協議實現尤其復雜,這點己經決定了操作系統必然存在各種實現過程所帶來的缺陷和漏洞。網路操作系統的漏洞成為網路所面臨的重要的安全威脅之一。
c)應用系統設計的漏洞
與操作系統情況類似,應用程序的設計過程中也會帶來很多由於人的局限性所導致的缺陷或漏洞。軟體和硬體設計都存在這種問題,而其中軟體的問題為我們所直接面對。
由於硬體設計方面的缺陷,特別是晶元的技術缺陷,使得硬體的後門與漏洞是我們網路所面臨的最為深刻的威脅之一。
d)惡意攻擊
惡意攻擊是人們最易理解,而又最難防範的網路安全威脅。惡意的黑客攻擊、網路病毒等都屬於這類。
e)來自合法用戶的攻擊
來自合法用戶的攻擊是最容易被管理者忽視的安全威脅之一,事實上,80%的網路安全事件與內部人員的參與相關。網路管理的漏洞往往是導致這種威脅的直接原因。
2、PKI技術原理
pKI(PublieKeyInfrastrueture),即公開密鑰體系。它是利用公鑰理論和技術建立的提供信息安全服務的基礎設施,是國際公認的現代網路安全認證機制。它利用現代密碼學中的公鑰密碼技術在開放的網路環境中提供數據加密以及數字簽名服務的統一的技術框架。
公鑰是目前應用最廣泛的一種加密體制,在此體系中,加密密鑰與解密密鑰各不相同,發送信息的人利用接收者的公鑰發送加密信息,接收者再利用自己專有的私鑰進行解密。這種方式既保證了信息的機密性,又能保證信息具有不可抵賴性。
PKI是一種遵循標准並利用公鑰技術,為開放性網路應用的開展提供一套安全基礎平台的技術與規范,它能夠透明地提供基於公開密鑰的加密和數字簽名等安全服務。利用PKI可以方便地建立和維護一個可信的網路計算環境,從而使得人們在這個無法直接相互面對的環境中能夠確認彼此的身份和所交換的信息。為實現以上目的,典型實用的PK工系統應由以下部分組成:PKI客戶端、注冊機構(RA)、認證機構(以)和證書庫。
1)PKI客戶端
PK工客戶端的主要功能是使各種網路應用能夠以透明、安全、一致、可信的方式與PKI交互,從而使用戶能夠方便地使用加密、數字簽名等安全服務。
2)注冊機構(RA)
RA則是用戶與認證中心的介面,其主要功能是核實證書申請者的身份,它所獲證書的申請者身份的准確性是以頒發證書的基礎。
3)認證機構(以)
作為PKI核心的認證中心是證書頒發機構,由以簽發的證書是網上用戶的電子身份標識。
4)證書庫
證書庫用來存放經以簽發的證書和證書注銷列表(CRL),為用戶和網路應用提供證書及驗證證書狀態。
3、kerberos技術原理
KerberoS身份認證協議提供了一種客戶和伺服器之間,或者是伺服器彼此之間,在打開網路連接之前進行相互身份認證的機制。該協議假設客戶和伺服器之間最初的事務處理是發生在一個開放的網路當中,在這個網路中,絕大多數的計算機不是完全可靠的,而且包在線路上的傳輸可以被監聽,並且可以被任意修改。換句話說,這種假設的環境和今天的Internet非常相似,一個攻擊者可以輕松地假裝成一個客戶或者伺服器,可以輕易地竊聽或者篡改合法的客戶同伺服器之間的通信。
1)基本概念
KerberoS協議完全依賴於一個涉及共享秘密的身份認證技術。基本的概念是:如果一個秘密只有兩個人知道,那麼兩個人中的任何一個都可以通過證實另一個人也知道該秘密,從而確認他的身份。
我們可以假設這么一個例子,愛麗絲經常發消息給鮑勃,而且鮑勃需要先確認消息的確來自愛麗絲,然後才能對消息的內容進行處理。他們決定通過選擇一個口令來解決他們的這個問題,而且他們約定不把這個秘密告訴別的任何人。如果愛麗絲的消息能夠以某種方式證明發送者確實知道這個口令,那麼鮑勃就能夠確認發送消息的一定是愛麗絲。
愛麗絲和鮑勃需要解決的問題就剩下一個,那就是愛麗絲如何才`能顯示她知道這個口令呢?她可以簡單地將這個口令包含在她消息中的某處,也許在最後的簽名部分一八ice,Our$ecret。這種方法簡單而且高效,而且如果愛麗絲和鮑勃能夠確認沒有別的人也在讀他們的信的話,這種方法是完全有效的。然而不幸的是,這種條件無法達到。他們的消息是在一個卡蘿爾這樣的人也在使用的網路上傳輸,卡蘿爾有一個網路分析器,而且她有這樣一個愛好,她喜歡掃描網路通信量,並且希望能有一天認出一個口令。因此,愛麗絲光靠說出口令已經不可能證明他知道這個秘密了。為了保證口令的保密性,她必須在不暴露口令的情況下顯示她知道口令。
KerberoS協議使用秘密密鑰加密來解決這個問題。通信的雙方不是共享口令,而是共享一個加密密鑰,而且雙方使用有關這個密鑰的知識來確認對方的身份。要讓這個技術起作用,這個共享的密鑰必須是對稱的—單獨一個密鑰必須既可以加密也可以解密。一方通過加密一段信息來顯示對該密鑰的了解,而另一方通過解密這段信息來顯示對該密鑰的了解。
2)密鑰分配
KerberoS協議的名稱就暗示了它解決密鑰分配問題的方法。KerberoS(或者CerberuS)是古典希臘神話當中的一個動物,它是一種兇猛的,有三個頭的狗,守衛在冥府的入口。像守衛的Kerberos一樣,KerberoS協議有三個頭:一個客戶,一個伺服器,一個可信賴的第三方作在他們之間進行調解。協議當中的這個可信任的中介被稱作密鑰分配中心(KDC)。
KDC是運行在一個真正安全的伺服器上的一個服務。它維護著一個存儲所有處於它領域范圍內的安全委託人的賬戶信息的資料庫。除了關於每個安全委託人的其他信息以外,KDC還存儲了一個只有安全委託人和KDC知道的加密密鑰。這個密鑰是用來在安全委託人和KDC之間交換信息的,被稱作長期密鑰。在該協議的絕大部分實現當中,這個密鑰從一個用戶的登錄口令派生出來的。
3)會話票證(sessionTieket)
如圖2一1所示,作為對客戶請求同伺服器通話的回答,K民將會話密鑰的兩個拷貝都發送給客戶。會話密鑰的客戶拷貝是用KDC同客戶共享的密鑰加密的。會話密鑰的伺服器拷貝同關於客戶的信息一起包含在一個叫做會話票證的數據結構當中。然後整個結構用KDC同伺服器共享的密鑰進行加密。在客戶聯系伺服器之前,保管好這個安全地保存會話密鑰伺服器拷貝的票證就成為客戶的責任。
2、技術選型和論證
目前在世界上有很多家大型企業都有自己的基於LDAP協議的統一身份認證管理產品。有微軟公司的AetiveDireetory,Novell公司的NDS,IBM公司的TivoliDireetoryServer,SUN公司的iPlanetDireetoryServer,Apple公司的opendirectory。其中在國內使用較多的產品為微軟公司的ActiveDireetory,Novell公司的NDS,IBM公司的TivoliDireetoryServer。
各家公司設計的身份認證管理產品都符合LDAP的統一標准,主要的差異在於對於信息的存儲機制、信息的更新機制、部署結構等具體的實施措施上。其中從大類上可以分為兩類:一類是以ActiveDirectory為代表的多主復制結構,另一類為以NDS為代表的單主復制結構。由於IBM公司的DireCtoryServer更多的被用在應用Directory場合,很少使用於企業IT管理內,所以主要的產品對t匕將在ACtiveDireetory與NDS之間進行。
3、設備選型
在確定技術路線和產品後,從節省費用考慮,確定選擇IBM的主流底端PC伺服器作為系統承載平台。最終選擇IBMX336型伺服器,主要配置為ZCPU/ZGRAM/73*ZHI)。
4、總結
設計企業安全管理系統的層級結構面臨著諸多考驗,必須結合實際管理模式出發才能夠完成。本回答中的架構依照中國網通集團作為參考,具體到公司內需要區別對待。
F. 運行在Linux常用的configure腳本時,使用哪個參數可以停用soname功能
下面對每一個選項進行簡略的介紹:
--cache-file=FILE
'configure'會在你的系統上測試存在的特性(或者bug!)。為了加速隨後進行的配置,測試的結果會存儲在一個cache
file里。當configure一個每個子樹里都有'configure'腳本的復雜的源碼樹時,一個很好的cache file的存在會有很大幫助。
--help
輸出幫助信息。即使是有經驗的用戶也偶爾需要使用使用'--help'選項,因為一個復雜的項目會包含附加的選項。例如,GCC包里的'configure'腳本就包含了允許你控制是否生成和在GCC中使用GNU匯編器的選項。
--no-create
'configure'中的一個主要函數會製作輸出文件。此選項阻止'configure'生成這個文件。你可以認為這是一種演習(dry run),盡管緩存(cache)仍然被改寫了。
--quiet
--silent
當'configure'進行他的測試時,會輸出簡要的信息來告訴用戶正在作什麼。這樣作是因為'configure'可能會比較慢,沒有
這種輸出的話用戶將會被扔在一旁疑惑正在發生什麼,使用這兩個選項中的任何一個都會把你扔到一旁。(譯註:這兩句話比較有意思,原文是這樣的:If
there was no such output, the user would be left wondering what is
happening. By using this option, you too can be left wondering!)
--version
列印用來產生'configure'腳本的Autoconf的版本號。
--prefix=PEWFIX
'--prefix'是最常用的選項。製作出的'Makefile'會查看隨此選項傳遞的參數,當一個包在安裝時可以徹底的重新安置他的結
構獨立部分。舉一個例子,當安裝一個包,例如說Emacs,下面的命令將會使Emacs Lisp file被安裝到"/opt/gnu/share":
$ ./configure --prefix=/opt/gnu
--exec-prefix=EPREFIX
與'--prefix'選項類似,但是他是用來設置結構倚賴的文件的安裝位置,編譯好的'emacs'二進制文件就是這樣一個問件。如果沒有設置這個選項的話,默認使用的選項值將被設為和'--prefix'選項值一樣。
--bindir=DIR
指定二進制文件的安裝位置,這里的二進制文件定義為可以被用戶直接執行的程序。
--sbindir=DIR
指定超級二進制文件的安裝位置。這是一些通常只能由超級用戶執行的程序。
--libexecdir=DIR
指定可執行支持文件的安裝位置。與二進制文件相反,這些文件從來不直接由用戶執行,但是可以被上面提到的二進制文件所執行。
--datadir=DIR
指定通用數據文件的安裝位置。
--sysconfdir=DIR
指定在單個機器上使用的只讀數據的安裝位置。
--sharedstatedir=DIR
指定可以在多個機器上共享的可寫數據的安裝位置。
--localstatedir=DIR
指定只能單機使用的可寫數據的安裝位置。
--libdir=DIR
指定庫文件的安裝位置。
--includedir=DIR
指定C頭文件的安裝位置。其他語言如C++的頭文件也可以使用此選項。
--oldincludedir=DIR
指定為除GCC外編譯器安裝的C頭文件的安裝位置。
--infodir=DIR
指定Info格式文檔的安裝位置.Info是被GNU工程所使用的文檔格式。
--mandir=DIR
指定手冊頁的安裝位置。
--srcdir=DIR
這個選項對安裝沒有作用,他會告訴'configure'源碼的位置。一般來說不用指定此選項,因為'configure'腳本一般和源碼文件在同一個目錄下。
--program-prefix=PREFIX
指定將被加到所安裝程序的名字上的前綴。例如,使用'--program-prefix=g'來configure一個名為'tar'的程序將會使
安裝的程序被命名為'gtar'。當和其他的安裝選項一起使用時,這個選項只有當他被`Makefile.in'文件使用時才會工作。
--program-suffix=SUFFIX
指定將被加到所安裝程序的名字上的後綴。
--program-transform-name=PROGRAM
這里的PROGRAM是一個sed腳本。當一個程序被安裝時,他的名字將經過`sed -e PROGRAM'來產生安裝的名字。
--build=BUILD
指定軟體包安裝的系統平台。如果沒有指定,默認值將是'--host'選項的值。
--host=HOST
指定軟體運行的系統平台。如果沒有指定。將會運行`config.guess'來檢測。
--target=GARGET
指定軟體面向(target to)的系統平台。這主要在程序語言工具如編譯器和匯編器上下文中起作用。如果沒有指定,默認將使用'--host'選項的值。
--disable-FEATURE
一些軟體包可以選擇這個選項來提供為大型選項的編譯時配置,例如使用Kerberos認證系統或者一個實驗性的編譯器最優配置。如果默認是提供這些特性,可以使用'--disable-FEATURE'來禁用它,這里'FEATURE'是特性的名字,例如:
$ ./configure --disable-gui
-enable-FEATURE[=ARG]
相反的,一些軟體包可能提供了一些默認被禁止的特性,可以使用'--enable-FEATURE'來起用它。這里'FEATURE'是特性的名字。一個特性可能會接受一個可選的參數。例如:
$ ./configure --enable-buffers=128
`--enable-FEATURE=no'與上面提到的'--disable-FEATURE'是同義的。
--with-PACKAGE[=ARG]
在自由軟體社區里,有使用已有軟體包和庫的優秀傳統。當用'configure'來配置一個源碼樹時,可以提供其他已經安裝的軟體包的信息。例如,
倚賴於Tcl和Tk的BLT器件工具包。要配置BLT,可能需要給'configure'提供一些關於我們把Tcl和Tk裝的何處的信息:
$ ./configure --with-tcl=/usr/local --with-tk=/usr/local
'--with-PACKAGE=no'與下面將提到的'--without-PACKAGE'是同義的。
--without-PACKAGE
有時候你可能不想讓你的軟體包與系統已有的軟體包交互。例如,你可能不想讓你的新編譯器使用GNU ld。通過使用這個選項可以做到這一點:
$ ./configure --without-gnu-ld
--x-includes=DIR
這個選項是'--with-PACKAGE'選項的一個特例。在Autoconf最初被開發出來時,流行使用'configure'來作為
Imake的一個變通方法來製作運行於X的軟體。'--x-includes'選項提供了向'configure'腳本指明包含X11頭文件的目錄的方
法。
--x-libraries=DIR
類似的,'--x-libraries'選項提供了向'configure'腳本指明包含X11庫的目錄的方法。
G. 應使用哪個命令行工具來查看緩存的 kerberos 服務票據
1、QQ是不能直接看到對方的IP地址的。當和對方通話或發送文件圖片時,可以通過第三方的軟體查看到對方的IP。例於360安全衛士的高級工具中的網路連接查看器就可以查看對方的IP。如果知道了對方機的IP地址,要想知道對方機的MAC地址,又相距較遠,不方便在其本機上操作IPCONFIG/all查得,可能命令 arp -a IP地址 (執行該命令前應使用Ping命令測試一下連通性,因為ARP命令查詢通過存於緩存中,通過廣播獲取的IP對MAC地址的對話關系表,如果事先沒有Ping一下,則可能緩存表中沒有記載,從而不能查得,不信你試試!!)值得注意的是ARP協議不能穿越路由器或VLAN(路由器是分割廣播的!!!),因此,ARP命令是不能用於廣域網的。2、在區域網管理中經常遇到已知某個MAC地址,要查詢其IP地址的情況,總結一下有如下幾種方法:
方法一:用ARP -A 查詢
這種方法只能查到與本機通訊過(20分鍾內)的主機MAC地址和IP地址。可在遠程主機所屬網段中的任一台主機上運行此命令,這樣可查出IP欺騙類病毒的主機。
方法二:用專用軟體查,如nbtscan
命令方式是:nbtscan -r 網路號/掩碼位,這種方法可查詢某網段的所有IP與MAC對應關系,但裝有防火牆的主機則禁止查詢。
方法三: 如果所連交換機有網管功能,可用ARP SHOW 命令顯示交換機的arp緩存信息,這種方式基本可查詢所有的IP 與MAC地址,但只有網管才有這個許可權。
方法四:用sniffer類的嗅探軟體抓包分析,packet中一般都含用IP地址與MAC地址。
方法五:用solarwinds類軟體中的MAC ADDRESS DISCOVERY查詢,但這個工具好象不能跨網段查詢。
3、用ipconfig /all 查自己的MAC地址
查同網段其他機器的nbtstat -A ip 或者ping過的IP地址其主機nic的mac地址都會保存到arp緩存裡面用arp
-a就可以查看裡面的內容。
(1)根據IP地址查對方的機器名和MAC地址:
C:\>nbtstat
-A 202.110.96.75
NetBIOS Remote Machine Name
Table Name Type
Status---------------------------------------------------------------------
JANKER
UNIQUE Registered
WORKGRP GROUP
Registered
MAC Address = 00-B0-D0-7A-9C-12
說明:則對方的機器名為JANKER,組為WORKGRP,其中為NetBios名字的最後一個字元。
(2)列出本地所有NetBios名:
C:\>nbtstat
-n
NetBIOS Local Name Table Name
Type
Status--------------------------------------------
JANKER
UNIQUE Registered
JANKER UNIQUE
Registered
JANKER UNIQUE
Registered;
機器名為JANKERPUBLIC GROUP
Registered;組名為PUBLICINet~Services GROUP
Registered;說明機器安裝有Internet Information
Service服務..__MSBROWSE__.. GROUP Registered;說明機器安裝有MsBrowser
Service服務
H. framework是什麼
Microsoft .NET Framework安全概述
本文概述了微軟.NET Framework安全結構,包括基於證據的安全,基於角色的安全,認證和授權的概念,以及隔離存儲,密碼加密和擴展性。本文還概述了.NET Framework安全策略帶給開發人員,管理員和最終用戶的主要好處。本文假定讀者已經基本熟悉了.NET Framework通用語言運行時和管理代碼的概念。
引言
目前的安全問題
在今天的軟體環境中,應用程序的來源很多,它們執行很多任務。對應用程序代碼的信任是一個主要需求,因為我們誰也不想軟體或信息遭到破壞。給予許可的安全策略不會允許對敏感信息的不適當的訪問,或將本地機器暴露給惡意的程序或甚至是有平常錯誤的代碼。
過去,安全結構提供了基於用戶帳號的隔離和訪問控制--在這些限制內給予代碼完全訪問權,並假定由特定用戶可運行的代碼具有相同的信任度。不幸的是,如果所有程序都代表某用戶運行,根據用戶對代碼的隔離對於保護一個程序不被其它用戶使用是不夠的。另一種情況,不能被完全信任的代碼經常被轉移到"沙箱"模型中執行,在此代碼運行於隔離環境,而不會訪問大部分的服務。
對今天應用程序的成功的安全解決方案必須能強化兩個安全模型間的平衡。它必須提供對資源的訪問,以便以完成有用的工作,它需要對應用程序的安全性作細致的控制以確保代碼被識別,檢測,並給予合適的安全級別。.NET Framework就提供了一個這樣的安全模型。
Microsoft .NET Framework安全解決方案
.NET Framework安全解決方案基於管理代碼的概念,以及由通用語言運行時(CLR)加強的安全規則。大部分管理代碼需要進行驗證以確保類型安全及預先定義好的其它屬性的行為的安全。例如,在驗證的代碼中,聲明為接收4位元組值的訪問將拒絕提供8位元組參數的調用,因為不是類型安全的。驗證過程還確保了執行流只傳送到已知的位置,如方法入口點--這個過程去除了跳轉到任意位置執行的能力。
驗證將阻止不是類型安全的代碼執行,在它們引起破壞前捕獲很多常見的編程錯誤。通常的弱點--如緩存溢出,對任意內存或沒有初始化的內存的讀取,對控制項的隨意傳送--都不再可能出現。這將使最終用戶受益,因為在他們執行代碼前對其進行檢查。這也有益於開發人員,他們會發現很多常見錯誤(過去一直在困繞前開發)現在可以查明,並能阻止它們引起破壞。
CLR也能使非管理代碼運行,但非管理代碼不能從這些安全措施中受益。特殊的許可與對非管理代碼的調用能力相關,一個強大的安全策略能確保這些許可被恰當地給予。經過很長時間後,非管理代碼到管理代碼的移植將減少對非管理代碼的調用頻率。
微軟.NET Framework安全機制的構件
基於證據的安全
.NET Framework引入了"基於證據的安全"的概念。在本質上,它是對安全策略暴露出來問題的解答:
· 組合從哪個站點獲得?
組合是.NET Framework應用程序的構件。它們組成了部署,版本控制,重用,激活作用域,安全認證的基本單元。應用程序的組合是從網站上下載到客戶端的。
· 組合是從哪個URL獲得的?
安全策略需要明確的地址,而組合是從這個地址下載的。
· 組合是從哪個區獲得的?
區是基於代碼的位置,對安全標准,如 Internet, intranet和本機等等,的描述。
· 組合的強名(strong name)是什麼?
強名是由組合的創建者提供了密碼強化後的標識符。盡管它沒有提供對創建者的任何證明,但它唯一標識了組合,確保了組合沒有被破壞過。
根據對這些問題的回答,及其它證據,安全策略可以對賦予組合垢合適許可進行計算。從多種來源可以得到證據,包括CLR,瀏覽器,微軟ASP.NET,及外殼--這依賴於代碼的來源。
策略驅動的信任模型使用代碼證據
當組合被調入內存進,CLR策略系統通過收集組合的證據並在策略環境中對證據進行計算,從而決定賦予組合什麼樣的許可權。CLR策略系統然後根據評估過的證據和組合作出的許可請求給予組合一組許可。只有在組合被給予了一組最少的許可後,或組合根本不需要許可權,組合的創建者才能知道組合正確運行。通過一個或多個對特定許可的請求,這樣的附加需求可以被傳送室策略系統。
根據許可請求的類型,策略系統可以進一步限制給予組合的許可(刪除不必要的許可)或甚至拒絕將組合裝入內存(如果運行組合所需的最小許可沒有被策略給予)。在不存在任何許可請求的情況下,組合永遠不會被給予多於策略系統將會給予的許可許可權,請求只是進一步限製得到的許可。
安全策略包含了許多代碼組,這些組包含了根據證據應給予的許可權。代碼組描述的許可可提供給從特定的安全區域獲得的組合,或提供給由特定發行商簽名過的組合,等等。盡管隨CLR發行了一組默認的代碼組(及相關許可),但管理員可以對這些CLR安全的進行定置,以適合他們的特殊需求。記住,通過定義與證據相關的代碼組,任何東西都可以作為證據提交,只要安全策略可以使用它。
創建許可的的過程涉及到對證據的評估,以確定代碼組適用於哪個等級:企業,機器,和用戶。策略按上面順序對這三個等級進行評估,然後創建交插了三個等級的許可設置。管理員可以將任何一個策略等級標記為終結(final),這樣做應付阻止在其它等級上對策略做進一步評估。例如,管理員可以在機器級別上對組合終止策略,這樣就會阻止用戶級策略對該組合的應用。
一旦策略完成,許可的最初設置也就創建了。組合通過從三個方面做出特定的請求可以優化這些許可:
· 第一方面是指定為了使組合運行它必須擁有的最小許可設置。如果這些許可沒有給予,那麼組合將不同調入到內存,並拋出例外。
· 第二,可以指定一組可選的許可。盡管組合希望存在這些許可,但如果無法獲得這些許可,它仍可以調入到內存。
· 最後,行為特別好的組合實際上會拒絕它們所不需的有風險的許可。這三個優化選項是調入時作為聲明語句實現的。
在運行時,許可是根據代碼的執行計算的。右側的圖總結了這個過程的發生順序。組合A3將它的證據和來自主機的證據提供給策略評估器。策略評估器在創建許可時也要考慮從組合得到的許可請求,"G3"。組合A3由組合A2調用,而A2又是由組合A1調用的。當組合A3執行一個引發安全檢查的操作時,A2和A1獲得的許可同樣也要進行檢查,以確保它們擁有A3所請求的許可許可權。在這個過程中,此過程稱為堆棧遍歷(walking),堆棧中每個組合的許可許可權都要進行檢查以確定所給予的許可權設置是否包含安全檢查所需要的許可。如果堆棧中的每個組合被給予了安全檢查所需要的許可,調用將成功。如何任何組合沒有給予所需要的許可,堆棧遍歷過程失敗,安全例外將被拋出。
圖 1.主機和組合為策略評估器提供證據,評估器使用安全策略和許可請求確定組合的許可許可權。應用程序中不同運行組件的許可許可權然後用於作出授權決定。
代碼訪問安全堆棧遍歷可以保護代碼不受攻擊。在精通的攻擊中,惡意代碼欺騙受信任代碼執行它獨自不能運行的操作--有效地利用代碼的許可許可權實現惡意的目的。對這類攻擊,開發人員很難進行防備--但堆棧遍歷確保了如果涉及到了低級信任等級的代碼,有效許可將被減少到信任等級最低的代碼具有的許可。
結果,代碼將從源處獲得不同的信任等級,並在適合於特定的代碼執行環境的限制下運行。
.NET Framework調用的"自由"安全性
一些活動,如讀寫文件,顯示對話框,讀寫環境變數,可以通過包含在框架安全構架中的.NET Framework方法實現。這就使.NET Framework能根據安全策略允許或不允許一個操作,而不需要程序員做額外的工作。盡管暴露了保護資源的管理類的創建者在他們的庫中做了明確的安全需求,使用.NET Framework類庫訪問受保護資源的開發人員可以自由地利用代碼訪問安全系統;他們不必作出明確的安全調用。
管理員可以通過決定給予哪些許可來優化安全策略,然後,依靠.NET Framework處理所有的安全操作。代碼訪問安全能阻止大部分的惡意攻擊,對代碼的驗證減少了緩存溢出和其它會導致安全攻擊的不期望的行為。因此,應用程序和組件生來就受到了保護,它們免於大多數安全問題的沖擊,而這些安全問題一直困繞著本地代碼的實現。
基於角色的安全
有時根據已認證的身份或根據與代碼執行上下文相關的角色作出認證決定是合適的。例如,金融和企業軟體可以通過評估角色信息的企業邏輯加強策略。根據作出請求的用戶角色可以對金融交易的數據進行限制。出納被允許可以處理一定金額的請求,而多於該金額的所有工作需要監督人的角色來處理。
身份可以映射到登錄系統的用戶,或由應用程序定義。相應的原則封裝了身份和其它相關的角色信息(例如,但並不限於此,用戶的"組"由操作系統定義)。
認證和授權
認證是一個過程,它接收來自用戶的證書,並對證書的授權進行確認。如果證書是有效的,那麼用戶就可以說他擁有已認證的身份。而授權的過程是:確定認證用戶是否能夠訪問給定的資源。認證可通過系統或企業邏輯來完成,通過某個API它是或獲得的。認證API是完全可擴展的,因此開發人員根據需要使用自己的企業邏輯。開發人員可以對他們的認證需求進行編碼,也可以修改底層的認證方法而無需對他們的代碼作太大變化。除了微軟Windows?操作系統身份認證外,還有的認證方法包括基本HTTP,摘要和 Kerberos,以及微軟Passport和基於窗體的認證。這些認證方法已經完全集成到ASP.NET中了。
在ASP.NET窗體認證中,用戶提供證書,並提交窗體。如果應用程序簦別請求,系統發送一個cookie ,該cookie以某種形式包含包含了證書或包含重新獲得身份的關鍵字。接下來發送的請求在頭中包含了cookie,ASP.NET處理程序通過應用程序所期望的任何有效方法對這些請求認證和授權。如果請求沒有經過認證,HTTP客戶端將用於把請求發送到認證窗體,在那裡用戶可能提供信任證書。窗體認證有時用於個性化--為已知用戶的內容進行定置。在一些情況下,身份是問題所在而不是認證,因此用戶的個性化信息可以簡單地通過訪問用戶或獲得。
授權的目的是確定作出請求的身份是否被給予了對給定資源的訪問權。ASP.NET提供了兩種類型的授權服務:文件授權和URL授權。文件授權根據正在作用的方法和作出請求的身份決定用戶使用於哪個訪問控制列表。URL授權是URI名稱空間和不同用戶或角色間的邏輯映射。
隔離存儲
.NET Framework提供了一個特殊的功能,隔離存儲,用於存儲數據,甚至是當不允許對文件進行訪問時--例如,當從Internet下載了一個管理控制項,並運行它,為它提供了有限的許可權但沒有權力讀寫文件。
隔離存儲是一組新的用於.NET支持的用於本地存儲的類型和方法。在本質上,每個組合可以訪問磁碟上一斷被隔離的存儲空間。它不允許訪問其它數據,隔離存儲只對為它創建的組合有效。
隔離存儲也可被應用程序用於保存活動記錄,保存設置,或者將狀態數據保存到磁碟上以備將來之用。因為隔離存儲的位置是預先決定好的,所以隔離存儲為指定唯一存儲空間提供了一種方便的方式,而不需要決定文件路徑。
從本地企業區域網獲得的代碼具有相似的限制,但更少,它可以訪問大限額的隔離存儲。最後,從受限站點區域(不信任站點)來的代碼沒有對隔離存儲的訪問權。
加密
.NET Framework提供了一組加密對象,它們支持加密演算法、數字簽名、散列、生成隨機數,是通過眾所周知的運演算法則實現的,如RSA, DSA, Rijndael/AES, Triple DES, DES, 和 RC2, 以及MD5, SHA1, SHA-256, SHA-384 和 SHA-512散列演算法。同時還支持在IETF和W3C開發的XML數字簽名規范。.NET Framework使用加密對象支持內部服務。這些對象還作為管理代碼提供給需要加密支持的開發人員。
如何指定安全性?
如果要對組合運行時的行為進行修改,根據程序員的需要,可以作出聲明式安全或強迫式安全的修改。
聲明式安全
聲明式安全使程序員可以直接在組合代碼的元數據中為組合指定安全需求。許可請求和所有其它形式的聲明式安全是在代碼中是作為定置屬性指定的。類,屬性和方法的注釋用於優化許可。例如,聲明式安全可用於類的調用者在調用方法前檢查調用者是否被已知地行商簽名過,或有一個特定的強名。
由於聲明屬性是組合元數據的一部分,所以組合的安全需求易於辨別。可以使用工具對組合進行掃描,以發現哪些方法需要某些許可,哪些方法斷言了某些許可。
當被請求的活動和許可在編譯時是知道時,聲明式檢查可作為選擇的解決方案之一。例如,如果方法總是檢查對C:\temp的寫訪問許可,那麼許可檢查就會從聲明中得到好處。另一方面,如果被請求的具有訪問權的位置發生了變化,那麼強迫式安全也許是一個比較好的解決方案。
強迫式安全
強迫式安全直接在代碼中實現。程序員通過程序採取安全活動,並且根據安全堆棧的狀態決定是給予還是拒絕許可。例如,當一個方法請求訪問一個特定的文件時,如果調用者(或方法的任何一個調用者)沒有被給予必需的許可許可權,那麼請求失敗。因為強迫式安全是通過程序實現的,所以滿足了動態需求。如果你需要對一個特定文件的訪問許可,但該許可還要根據其它信息發生變化,那麼,強迫式安全就是可選的解決方案。
總結
.NET Framework安全迎合了這種事實:軟體向多樣化的移動組件發發展,並根據這種事實提供保護。在一個細化的、可擴展的策略和許可系統下,用戶能夠運行功能強大的代碼,而同時減少相關的風險。在沒有運行時對用戶作出信任決定時,管理員可以在各個級別創建強壯的安全策略。策略是完全可定置的。開發人員能夠集中解決應用程序邏輯,而不用關心核心的安全問題(它由CLR透明地處理)。然而,開發人員可以在任何時候擴展安全模型。
I. Windows安全認證是如何進行的[Kerberos篇]
如果時間允許,我很樂意寫一系列的文章與廣大網友分享、交流。對於很多讀者來說,今天討論的可能是一個既熟悉、又陌生的話題——Windows認證。目錄
一、Kerberos認證簡介
四、憑票入場一、Kerberos認證簡介Windows認證協議有兩種NTLM(NT LAN Manager)和Kerberos,前者主要應用於用於Windows NT 和 Windows 2000 Server(or Later) 工作組環境,而後者則主要應用於Windows 2000 Server(or Later) 域(Domain)環境。Kerberos較之NTLM更高效、更安全,同時認證過程也相對復雜。Kerberos這個名字來源於希臘神話,是冥界守護神獸的名字。Kerberos是一個三頭怪獸,之所以用它來命名一種完全認證協議,是因為整個認證過程涉及到三方:客戶端、服務端和KDC(Key Distribution Center)。在Windows域環境中,KDC的角色由DC(Domain Controller)來擔當。某個用戶採用某個域帳號登錄到某台主機,並遠程訪問處於相同域中另一台主機時,如何對訪問者和被訪問者進行身份驗證(這是一種雙向的驗證)?這就是Kerberos需要解決的場景。接下來我盡量以比較直白的語言來介紹我所知道的Kerberos認證的整個流程。Kerberos實際上是一種基於票據(Ticket)的認證方式。客戶端要訪問伺服器的資源,需要首先購買服務端認可的票據。也就是說,客戶端在訪問伺服器之前需要預先買好票,等待服務驗票之後才能入場。在這之前,客戶端需要先買票,但是這張票不能直接購買,需要一張認購權證。客戶端在買票之前需要預先獲得一張認購權證。這張認購權證和進入伺服器的入場券均有KDC發售。右圖(點擊看大圖)一張圖基本揭示了Kerberos整個認證的過程。二、如何獲得「認購權證」?首先,我們來看看客戶端如何獲得「認購權證」。這里的認購權證有個專有的名稱——TGT(Ticket Granting Ticket),而TGT的是KDC一個重要的服務——認證服務(KAS:Kerberos Authentication Service)。當某個用戶通過輸入域帳號和密碼試圖登錄某台主機的時候,本機的Kerberos服務會向KDC的認證服務發送一個認證請求。該請求主要包括兩部分內容,明文形式的用戶名和經過加密的用於證明訪問者身份的Authenticator(我實在找不到一個比較貼切的中文翻譯沒,Authenticator在這里可以理解為僅限於驗證雙反預先知曉的內容,相當於聯絡暗號)。當KDC接收到請求之後,通過AD獲取該用戶的信息。通過獲取的密碼信息生成一個秘鑰對Authenticator進行解密。如果解密後的內容和已知的內容一致,則證明請求著提供的密碼正確,即確定了登錄者的真實身份。KAS成功認證對方的身份之後,會先生成一個用於確保該用戶和KDC之間通信安全的會話秘鑰——Logon Session Key,並採用該用戶密碼派生的秘鑰進行加密。KAS接著為該用戶創建「認購權證」——TGT。TGT主要包含兩方面的內容:用戶相關信息和Logon Session Key,而整個TGT則通過KDC自己的密鑰進行加密。最終,被不同密鑰加密的Logon Session Key和TGT返回給客戶端。(以上的內容對應流程圖中的步驟1、2)三、如何通過「認購權證」購買「入場券」?經過上面的步驟,客戶端獲取了購買進入同域中其他主機入場券的「認購憑證」——TGT,以及Logon Session Key,它會在本地緩存此TGT和Logon Session Key。如果現在它需要訪問某台伺服器的資源,它就需要憑借這張TGT向KDC購買相應的入場券。這里的入場券也有一個專有的名稱——服務票據(ST:Service Ticket)。具體來說,ST是通過KDC的另一個服務TGS(Ticket Granting Service)出售的。客戶端先向TGS發送一個ST購買請求,該請求主要包含如下的內容:客戶端用戶名;通過Logon Session Key加密的Authenticator;TGT和訪問的伺服器(其實是服務)名。TGS接收到請求之後,現通過自己的密鑰解密TGT並獲取Logon Session Key,然後通過Logon Session Key解密Authenticator,進而驗證了對方的真實身份。TGS存在的一個根本的目有兩點:其一是避免讓用戶的密碼客戶端和KDC之間頻繁傳輸而被竊取。其二是因為密碼屬於Long Term Key(我們一般不會頻繁的更新自己的密碼),讓它作為加密密鑰的安全系數肯定小於一個頻繁變換得密鑰(Short Term Key)。而這個Short Term Key就是Logon Session Key,它確保了客戶端和KDC之間的通信安全。TGS完成對客戶端的認證之後,會生成一個用於確保客戶端-伺服器之間通信安全的會話秘鑰——Service Session Key,該會話秘鑰通過Logon Session Key進行加密。然後出售給客戶端需要的入場券——ST。ST主要包含兩方面的內容:客戶端用戶信息和Service Session Key,整個ST通過伺服器密碼派生的秘鑰進行加密。最終兩個被加密的Service Session Key和ST回復給客戶端。(以上的內容對應流程圖中的步驟3、4)四、憑票入場客戶端接收到TGS回復後,通過緩存的Logon Session Key解密獲取Service Session Key。同時它也得到了進入伺服器的入場券——ST。那麼它在進行服務訪問的時候就可以藉助這張ST憑票入場了。該Serivce Session Key和ST會被客戶端緩存。但是,服務端在接收到ST之後,如何確保它是通過TGS購買,而不是自己偽造的呢?這很好辦,不要忘了ST是通過自己密碼派生的秘鑰進行加密的。具體的操作過程是這樣的,除了ST之外,服務請求還附加一份通過Service Session Key加密的Authenticator。伺服器在接收到請求之後,先通過自己密碼派生的秘鑰解密ST,並從中提取Service Session Key。然後通過提取出來的Service Session Key解密Authenticator,進而驗證了客戶端的真實身份。實際上,到目前為止,服務端已經完成了對客戶端的驗證,但是,整個認證過程還沒有結束。談到認證,很多人都認為只是伺服器對客戶端的認證,實際上在大部分場合,我們需要的是雙向驗證(Mutual Authentication)——訪問者和被訪問者互相驗證對方的身份。現在伺服器已經可以確保客戶端是它所聲稱的那麼用戶,客戶端還沒有確認它所訪問的不是一個釣魚服務呢。為了解決客戶端對伺服器的驗證,服務要需要將解密後的Authenticator再次用Service Session Key進行加密,並發揮給客戶端。客戶端再用緩存的Service Session Key進行解密,如果和之前的內容完全一樣,則可以證明自己正在訪問的伺服器和自己擁有相同的Service Session Key,而這個會話秘鑰不為外人知曉(以上的內容對應流程圖中的步驟5、6)以上的內容僅僅講述的是基於Kerberos的Windows認證的大體流程,並不涉及到一些細節的東西,比如如何確保時間的同步,如何抵禦Replay Attack等。此外,由於本文對Windows底層的知識有限,不能確保所有的內容都是完全正確,如有錯誤,還往不吝指正。Windows安全認證是如何進行的?[NTLM篇]
J. 如何實現用戶認證授權系統
1、首先打開I電腦桌面,單擊此電腦右鍵選擇屬性按鈕。