‘壹’ Windows 事件ID及解释
Windows 事件ID及解释
代码 错误信息解释
--------------------------------------------
0 操作成功完成。
1 函数不正确。
2 系统找不到指定的文件。
3 系统找不到指定的路径。
4 系统无法打开文件。
5 拒绝访问。
6 句柄无效。
7 存储控制块被损坏。
8 存储空间不足,无法处理此命令。
9 存储控制块地址无效。
10 环境不正确。
11 试图加载格式不正确的程序。
12 访问码无效。
13 数据无效。
14 存储空间不足,无法完成此操作。
15 系统找不到指定的驱动器。
16 无法删除目录。
17 系统无法将文件移到不同的驱动器。
18 没有更多文件。
19 介质受写入保护。
20 系统找不到指定的设备。
21 设备未就绪。
22 设备不识别此命令。
23 数据错误(循环冗余检查)。
24 程序发出命令,但命令长度不正确。
25 驱动器找不到磁盘上特定区域或磁道。
26 无法访问指定的磁盘或软盘。
27 驱动器找不到请求的扇区。
28 打印机缺纸。
29 系统无法写入指定的设备。
30 系统无法从指定的设备上读取。
31 连到系统上的设备没有发挥作用。
32 另一个程序正在使用此文件,进程无法访问。
33 另一个程序已锁定文件的一部分,进程无法访问。
36 用来共享的打开文件过多。
38 已到文件结尾。
39 磁盘已满。
50 不支持请求。
51 Windows 无法找到网络路径。请确认网络路径正确并且目标计算机不忙或已关闭。如果 Windows 仍然无法找到网络路径,请与网络管理员联系。
52 由于网络上有重名,没有连接。请到“控制面板”中的“系统”更改计算机名,然后重试。
53 找不到网络路径。
54 网络很忙。
55 指定的网络资源或设备不再可用。
56 已达到网络 BIOS 命令限制。
57 网络适配器硬件出错。
58 指定的服务器无法运行请求的操作。
59 出现了意外的网络错误。
60 远程适配器不兼容。
61 打印机队列已满。
62 服务器上没有储存等待打印的文件的空间。
63 已删除等候打印的文件。
64 指定的网络名不再可用。
65 拒绝网络访问。
66 网络资源类型不对。
67 找不到网络名。
68 超出本地计算机网络适配器卡的名称限制。
69 超出了网络 BIOS 会话限制。
70 远程服务器已暂停,或正在启动过程中。
71 已达到计算机的连接数最大值,无法再同此远程计算机连接。
72 已暂停指定的打印机或磁盘设备。
80 文件存在。
82 无法创建目录或文件。
83 INT 24 上的故障。
84 无法取得处理此请求的存储空间。
85 本地设备名已在使用中。
86 指定的网络密码不正确。
87 参数不正确。
88 网络上发生写入错误。
89 系统无法在此时启动另一个进程。
100 无法创建另一个系统信号灯。
101 另一个进程拥有独占的信号灯。
102 已设置信号灯,无法关闭。
103 无法再设置信号灯。
104 无法在中断时请求独占的信号灯。
105 此信号灯的前一个所有权已结束。
107 由于没有插入另一个软盘,程序停止。
108 磁盘在使用中,或被另一个进程锁定。
109 管道已结束。
110 系统无法打开指定的设备或文件。
111 文件名太长。
112 磁盘空间不足。
113 没有更多的内部文件标识符。
114 目标内部文件标识符不正确。
117 应用程序发出的 IOCTL 调用不正确。
118 验证写入的切换参数值不正确。
119 系统不支持请求的命令。
120 这个系统不支持该功能。
121 信号灯超时时间已到。
122 传递给系统调用的数据区域太小。
123 文件名、目录名或卷标语法不正确。
124 系统调用级别不正确。
125 磁盘没有卷标。
126 找不到指定的模块。
127 找不到指定的程序。
128 没有等候的子进程。
130 试图使用操作(而非原始磁盘 I/O)的已打开磁盘分区的文件句柄。
131 试图将文件指针移到文件开头之前。
132 无法在指定的设备或文件上设置文件指针。
133 包含先前加入驱动器的驱动器无法使用 JOIN 或 SUBST 命令。
134 试图在已被合并的驱动器上使用 JOIN 或 SUBST 命令。
135 试图在已被合并的驱动器上使用 JOIN 或 SUBST 命令。
136 系统试图解除未合并驱动器的 JOIN。
137 系统试图解除未替代驱动器的 SUBST。
138 系统试图将驱动器合并到合并驱动器上的目录。
139 系统试图将驱动器替代为替代驱动器上的目录。
140 系统试图将驱动器合并到替代驱动器上的目录。
141 系统试图替代驱动器为合并驱动器上的目录。
142 系统无法在此时运行 JOIN 或 SUBST。
143 系统无法将驱动器合并到或替代为相同驱动器上的目录。
144 目录不是根目录下的子目录。
145 目录不是空的。
146 指定的路径已在替代中使用。
147 资源不足,无法处理此命令。
148 指定的路径无法在此时使用。
149 企图将驱动器合并或替代为驱动器上目录是上一个替代的目标的驱动器。
150 系统跟踪信息未在 CONFIG.SYS 文件中指定,或不允许跟踪。
151 为 DosMuxSemWait 指定的信号灯事件数量不正确。
152 DosMuxSemWait 没有运行;已设置过多的信号灯。
153 DosMuxSemWait 列表不正确。
154 输入的卷标超过目标文件系统的长度限制。
155 无法创建另一个线程。
156 接收人进程拒绝此信号。
157 段已被放弃且无法锁定。
158 段已解除锁定。
159 线程 ID 的地址不正确。
160 至少有一个参数不正确。
161 指定的路径无效。
162 信号已暂停。
164 无法在系统中创建更多的线程。
167 无法锁定文件区域。
170 请求的资源在使用中。
173 对于提供取消区域进行锁定的请求已完成。
174 文件系统不支持锁定类型的最小单元更改。
180 系统检测出错误的段号。
183 当文件已存在时,无法创建该文件。
186 传递的标志不正确。
187 找不到指定的系统信号灯名称。
196 操作系统无法运行此应用程序。
197 操作系统当前的配置不能运行此应用程序。
199 操作系统无法运行此应用程序。
200 代码段不可大于或等于 64K。
203 操作系统找不到已输入的环境选项。
205 命令子树中的进程没有信号处理程序。
206 文件名或扩展名太长。
207 第 2 环堆栈已被占用。
208 没有正确输入文件名通配符 * 或 ?,或指定过多的文件名通配符。
209 正在发送的信号不正确。
210 无法设置信号处理程序。
212 段已锁定且无法重新分配。
214 连到该程序或动态链接模块的动态链接模块太多。
215 无法嵌套调用 LoadMole。
230 管道状态无效。
231 所有的管道范例都在使用中。
232 管道正在被关闭。
233 管道的另一端上无任何进程。
234 有更多数据可用。
240 已取消会话。
254 指定的扩展属性名无效。
255 扩展属性不一致。
258 等待的操作过时。
259 没有可用的数据了。
266 无法使用复制功能。
267 目录名无效。
275 扩展属性在缓冲区中不适用。
276 装在文件系统上的扩展属性文件已损坏。
277 扩展属性表格文件已满。
278 指定的扩展属性句柄无效。
282 装入的文件系统不支持扩展属性。
288 企图释放并非呼叫方所拥有的多用户终端运行程序。
298 发向信号灯的请求过多。
299 仅完成部分的 ReadProcessMemoty 或 WriteProcessMemory 请求。
300 操作锁定请求被拒绝。
301 系统接收了一个无效的操作锁定确认。
302 此卷太碎,不能完成这个操作。
303 不能打开文件,因为它正在被删除。
487 试图访问无效的地址。
534 算术结果超过 32 位。
535 管道的另一端有一进程。
536 等候打开管道另一端的进程。
994 拒绝访问扩展属性。
995 由于线程退出或应用程序请求,已放弃 I/O 操作。
996 重叠 I/O 事件不在信号状态中。
997 重叠 I/O 操作在进行中。
998 内存分配访问无效。
999 执行页内操作时的错误。
1001 递归太深;堆栈溢出。
1002 窗口无法在已发送的消息上操作。
1003 无法完成此功能。
1004 无效标志。
1005 此卷不包含可识别的文件系统。请确定所有请求的文件系统驱动程序已加载,且此卷未损坏。
1006 文件所在的卷已被外部改变,因此打开的文件不再有效。
1007 无法在全屏幕模式下运行请求的操作。
1008 试图引用不存在的令牌。
1009 配置注册表数据库损坏。
1010 配置注册表项无效。
1011 无法打开配置注册表项。
1012 无法读取配置注册表项。
1013 无法写入配置注册表项。
1014 注册表数据库中的某一文件必须使用记录或替代复制来恢复。恢复成功完成。
1015 注册表损坏。包含注册表数据的某一文件结构损坏,或系统的文件内存映像损坏,或因为替代副本、日志缺少或损坏而无法恢复文件。
1016 由注册表启动的 I/O 操作失败并无法恢复。注册表无法读入、写出或清除任意一个包含注册表系统映像的文件。
1017 系统试图加载或还原文件到注册表,但指定的文件并非注册表文件格式。
1018 试图在标记为删除的注册表项上进行不合法的操作。
1019 系统无法分配注册表日志中所需空间。
1020 无法在已有子项或值的注册表项中创建符号链接。
1021 无法在易变父项下创建稳定子项。
1022 正在完成通知更改请求,而且信息没有返回到呼叫方的缓冲区中。当前呼叫方必须枚举文件来查找改动。
1051 停止控制被发送到其他正在运行的服务所依赖的服务。
1052 请求的控件对此服务无效。
1053 服务没有及时响应启动或控制请求。
1054 无法创建此服务的线程。
1055 服务数据库已锁定。
1056 服务的范例已在运行中。
1057 帐户名无效或不存在,或者密码对于指定的帐户名无效。
1058 无法启动服务,原因可能是已被禁用或与其相关联的设备没有启动。
1059 指定了循环服务依存。
1060 指定的服务并未以已安装的服务存在。
1061 服务无法在此时接受控制信息。
1062 服务未启动。
1063 服务进程无法连接到服务控制器上。
1064 当处理控制请求时,在服务中发生异常。
1065 指定的数据库不存在。
1066 服务已返回特定的服务错误码。
1067 进程意外终止。
1068 依存服务或组无法启动。
1069 由于登录失败而无法启动服务。
1070 启动后,服务停留在启动暂停状态。
1071 指定的服务数据库锁定无效。
1072 指定的服务已标记为删除。
1073 指定的服务已存在。
1074 系统当前以最新的有效配置运行。
1075 依存服务不存在,或已被标记为删除。
1076 已接受使用当前引导作为最后的有效控制设置。
1077 上次启动之后,仍未尝试引导服务。
1078 名称已用作服务名或服务显示名。
1079 此服务的帐户不同于运行于同一进程上的其他服务的帐户。
1080 只能为 Win32 服务设置失败操作,不能为驱动程序设置。
1081 这个服务所运行的处理和服务控制管理器相同。所以,如果服务处理程序意外中止的话,服务控制管理器无法进行任何操作。
1082 这个服务尚未设置恢复程序。
1083 配置成在该可执行程序中运行的这个服务不能执行该服务。
1084 不能以安全模式开始这项服务
1100 已达磁带的实际结尾。
1101 磁带访问已达文件标记。
1102 已达磁带或磁盘分区的开头。
1103 磁带访问已达一组文件的结尾。
1104 磁带上不再有任何数据。
1105 磁带不能分区。
1106 在访问多卷分区的新磁带时,当前的块大小不正确。
1107 在加载磁带时找不到磁带分区信息。
1108 无法锁定媒体弹出功能。
1109 无法卸载介质。
1110 驱动器中的介质可能已更改。
1111 已复位 I/O 总线。
1112 驱动器中没有媒体。
1113 在多字节的目标代码页中,没有此 Unicode 字符可以映射到的字符。
1114 动态链接库(DLL)初始化例程失败。
1115 系统正在关机。
1116 因为没有任何进行中的关机过程,所以无法中断系统关机。
1117 由于 I/O 设备错误,无法运行此项请求。
1118 串行设备初始化不成功。串行驱动程序将卸载。
1119 无法打开正在与其他设备共享中断请求(IRQ)的设备。至少有一个使用该 IRQ 的其他设备已打开。
1120 序列 I/O 操作已由另一个串行口的写入完成。 (IOCTL_SERIAL_XOFF_COUNTER 已达零。)
1121 因为已过超时时间,所以串行 I/O 操作完成。 (IOCTL_SERIAL_XOFF_COUNTER 未达零。)
1122 在软盘上找不到 ID 地址标记。
1123 软盘扇区 ID 字符域与软盘控制器磁道地址不匹配。
1124 软盘控制器报告软盘驱动程序不能识别的错误。
1125 软盘控制器返回与其寄存器中不一致的结果。
1126 访问硬盘时,重新校准操作失败。重试之后仍然不成功。
1127 访问硬盘时,磁盘操作失败。重试之后仍然不成功。
1128 当访问硬盘时,即使失败,仍须复位磁盘控制器。
1129 已达磁带结尾。
1130 服务器存储空间不足,无法处理此命令。
1131 检测出潜在的死锁状态。
1132 指定的基址或文件偏移量没有适当对齐。
1140 改变系统供电状态的尝试被另一应用程序或驱动程序否决。
1141 系统 BIOS 改变系统供电状态的尝试失败。
1142 试图在文件上创建超过文件系统支持的链接数。
1150 指定程序要求更新的 Windows 版本。
1151 指定程序不是 Windows 或 MS-DOS 程序。
1152 只能启动该指定程序的一个范例。
1153 该指定程序是为以前一个版本的的 Windows 而写的。
1154 运行该应用程序所需的一个库文件已被损坏。
1155 没有应用程序与此操作的指定文件有关联。
1156 在输送指令到应用程序的过程中出现错误。
1157 执行该应用程序所需的库文件之一无法找到。
1158 当前程序已使用了 Window 管理器对象的系统允许的所有句柄。
1159 消息只能与同步操作一起使用。
1160 指出的源元素没有媒体。
1161 指出的目标元素已包含媒体。
1162 指出的元素不存在。
1163 指出的元素是未显示的存储资源的一部分。
1164 由于硬件错误,显示设备需要重新初始化。
1165 设备指示在尝试进一步操作之前需要清除。
1166 设备指示门是打开的。
1167 设备没有连接。
1168 找不到元素。
1169 索引中没有同指定项相匹配的项。
1170 在对象上不存在指定的属性集。
1171 传递到 GetMouseMovePoints 的点不在缓冲区中。
1172 跟踪(工作站)服务没有运行。
1173 找不到卷 ID。
1175 无法删除要被替换的文件。
1176 无法将替换文件移到要被替换的文件。要被替换的文件保持原来的名称。
1177 无法将替换文件移到要被替换的文件。要被替换的文件已被重新命名为备份名称。
1178 正在删除卷更改日志。
1179 卷更改日志处于非活动状态。
1180 找到一份文件,但是可能不是正确的文件。
1181 日志项已从日志中被删除。
1200 指定的设备名无效。
1201 设备当前未连接上,但其为一个记录连接。
1202 本地设备名称已有到另一网络资源的记录连接。
1203 无任何网络提供程序接受指定的网络路径。
1204 指定的网络提供程序名称无效。
1205 无法打开网络连接配置文件。
1206 网络连接配置文件损坏。
1207 无法枚举空载体。
1208 出现了扩展错误。
1209 指定的组名格式无效。
1210 指定的计算机名格式无效。
1211 指定的事件名格式无效。
1212 指定的域名格式无效。
1213 指定的服务名格式无效。
1214 指定的网络名格式无效。
1215 指定的共享名格式无效。
1216 指定的密码格式无效。
1217 指定的消息名格式无效。
1218 指定的消息目标格式无效。
1219 不允许一个用户使用一个以上用户名与一个服务器或共享资源的多重连接。中断与此服务器或共享资源的所有连接,然后再试一次...
1220 试图与网络服务器建立会话,但目前与该服务器建立的会话太多。
1221 工作组或域名已由网络上的另一部计算机使用。
1222 网络不存在或尚未启动。
1223 操作已被用户取消。
1224 请求的操作无法在使用用户映射区域打开的文件上执行。
1225 远程系统拒绝网络连接。
1226 网络连接已被适当地关闭了。
1227 网络传输终结点已有与其关联的地址。
1228 地址仍未与网络终结点关联。
1229 企图在不存在的网络连接上进行操作。
1230 企图在使用中的网络连接上进行无效的操作。
1231 不能访问网络位置。有关网络排除故障的信息,请参阅 Windows 帮助。
1232 不能访问网络位置。有关网络排除故障的信息,请参阅 Windows 帮助。
1233 不能访问网络位置。有关网络排除故障的信息,请参阅 Windows 帮助。
1234 没有任何服务正在远程系统上的目标网络终结点上操作。
1235 请求被终止。
1236 由本地系统终止网络连接。
1237 操作无法完成。应该重试。
1238 因为已达到此帐户的最大同时连接数限制,所以无法连接服务器。
1239 试图在这个帐户未被授权的时间内登录。
1240 此帐户并未得到从这个工作站登录的授权。
1241 请求的操作不能使用这个网络地址。
1242 服务器已经注册。
1243 指定的服务不存在。
1244 因为用户还未被验证,不能执行所要求的操作。
1245 因为用户还未登录网络,不能执行所要求的操作。指定的服务不存在。
1246 正在继续工作。
1247 试图进行初始操作,但是初始化已完成。
1248 没有更多的本地设备。
1249 指定的站点不存在。
1250 具有指定名称的域控制器已经存在。
1251 只有连接到服务器上时,该操作才受支持。
1252 即使没有改动,组策略框架也应该调用扩展。
1253 指定的用户没有一个有效的配置文件。
1254 Microsoft Small Business Server 不支持此操作。
1255 服务器已关机。
1256 远程系统不可用。有关网络疑难解答,请见 Windows 帮助。
1257 提供的安全标识符不是来自一个帐户域。
1258 提供的安全标识符没有域组件。
1259 取消了 AppHelp 对话,导致应用程序无法启动。
1260 由于一个软件限制策略的阻止,Windows 无法打开此程序。要获取更多信息,请打开事件查看器或与系统管理员联系。
1261 一个程序企图用无效的注册值。通常由未初始化的注册表引起。此错误是 Itanium 特有的。
1262 该共享目前处于脱机状态,或者不存在。
1263 在智能卡登陆过程中,验证 KDC 证书时 kerberos 协议遇到一个错误。
1264 试图使用智能卡子系统时,Kerberos 协议出错。
1265 系统检测到危害安全的尝试。请确认您能与对您进行身份验证的服务器联系。
1266 用于身份验证的智能卡证书被取消。请与系统管理元联系。事件日志中可能有额外的信息。
1267 在处理用于身份验证的智能卡证书时,检测到一个不受信用证书颁发机构。请与系统管理员联系。
1268 无法决定用于身份验证的智能卡证书的取消状态。请与系统管理员联系。
1269 用于身份验证的智能卡证书不被信任。请与系统 管理员联系。
‘贰’ win2000 server 在局域网中开机时可以被访问,过一会儿就不能被访问了
应该是受到攻击了
拒绝服务攻击是一种遍布全球的系统漏洞,黑客们正醉心于对它的研究,而无数的网络用户将成为这种攻击的受害者。Tribe Flood Network, tfn2k, smurf, targa…还有许多的程序都在被不断的开发出来。这些程序想瘟疫一样在网络中散布开来,使得我们的村落更为薄弱,我们不得不找出一套简单易用的安全解决方案来应付黑暗中的攻击。
由于我们防范手段的加强,拒绝服务攻击手法也在不断的发展。 Tribe Flood Network (tfn) 和tfn2k引入了一个新概念:分布式。这些程序可以使得分散在互连网各处的机器共同完成对一台主机攻击的操作,从而使主机看起来好象是遭到了不同位置的许多主机的攻击。这些分散的机器由几台主控制机操作进行多种类型的攻击,如UDP flood, SYN flood等。
操作系统和网络设备的缺陷在不断地被发现并被黑客所利用来进行恶意的攻击。如果我们清楚的认识到了这一点,我们应当使用下面的两步来尽量阻止网络攻击保护我们的网络: 尽可能的修正已经发现的问题和系统漏洞。
识别,跟踪或禁止这些令人讨厌的机器或网络对我们的访问。
我们先来关注第二点我们面临的主要问题是如何识别那些恶意攻击的主机,特别是使用拒绝服务攻击的机器。因为这些机器隐藏了他们自己的地址,而冒用被攻击者的地址。攻击者使用了数以千记的恶意伪造包来使我们的主机受到攻击。"tfn2k"的原理就象上面讲的这么简单,而他只不过又提供了一个形象的界面。假如您遭到了分布式的拒绝服务攻击,实在是很难处理。
有一些简单的手法来防止拒绝服务式的攻击。最为常用的一种当然是时刻关注安全信息以期待最好的方法出现。管理员应当订阅安全信息报告,实时的关注所有安全问题的发展。:) 第二步是应用包过滤的技术,主要是过滤对外开放的端口。这些手段主要是防止假冒地址的攻击,使得外部机器无法假冒内部机器的地址来对内部机器发动攻击。
对于应该使用向内的包过滤还是使用向外的包过滤一直存在着争论。RFC 2267建议在全球范围的互连网上使用向内过滤的机制,但是这样会带来很多的麻烦,在中等级别的路由器上使用访问控制列表不会带来太大的麻烦,但是已经满载的骨干路由器上会受到明显的威胁。另一方面,ISP如果使用向外的包过滤措施会把过载的流量转移到一些不太忙的设备上。 ISP也不关心消费者是否在他们的边界路由器上使用这种技术。当然,这种过滤技术也并不是万无一失的,这依赖于管理人员采用的过滤机制。
1.ICMP防护措施
ICMP最初开发出来是为了"帮助"网络,经常被广域网管理员用作诊断工具。但今天各种各样的不充分的ICMP被滥用,没有遵守RFC 792原先制订的标准,要执行一定的策略可以让它变得安全一些。
入站的ICMP时间标记(Timestamp)和信息请求(Information Request)数据包会得到响应,带有非法或坏参数的伪造数据包也能产生ICMP参数问题数据包,从而允许另外一种形式的主机搜寻。这仍使得站点没有得到适当保护。
以秘密形式从主方到客户方发布命令的一种通用方法,就是使用ICMP Echo应答数据包作为载波。 回声应答本身不能回答,一般不会被防火墙阻塞。
首先,我们必须根据出站和入站处理整个的"ICMP限制"问题。ICMP回声很容易验证远程机器,但出站的ICMP回声应该被限制只支持个人或单个服务器/ICMP代理(首选)。
如果我们限制ICMP回声到一个外部IP地址(通过代理),则我们的ICMP回声应答只能进入我们网络中预先定义的主机。
重定向通常可以在路由器之间找到,而不是在主机之间。防火墙规则应该加以调整,使得这些类型的ICMP只被允许在需要信息的网际连接所涉及的路由器之间进行。
建议所有对外的传输都经过代理,对内的ICMP传输回到代理地址的时候要经过防火墙。这至少限制了ICMP超时数据包进入一个内部地址,但它可能阻塞超时数据包。
当ICMP数据包以不正确的参数发送时,会导致数据包被丢弃,这时就会发出ICMP参数出错数据包。主机或路由器丢弃发送的数据包,并向发送者回送参数ICMP出错数据包,指出坏的参数。
总的来说,只有公开地址的服务器(比如Web、电子邮件和FTP服务器)、防火墙、联入因特网的路由器有真正的理由使用ICMP与外面的世界对话。如果调整适当,实际上所有使用进站和出站ICMP的隐密通讯通道都会被中止。
2. SYN Flood防范
SYN Flood是当前最流行的DoS(拒绝服务攻击)与DdoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。对于SYN Flood攻击,目前尚没有很好的监测和防御方法,不过如果系统管理员熟悉攻击方法和系统架构,通过一系列的设定,也能从一定程度上降低被攻击系统的负荷,减轻负面的影响。
一般来说,如果一个系统(或主机)负荷突然升高甚至失去响应,使用Netstat 命令能看到大量SYN_RCVD的半连接(数量>500或占总连接数的10%以上),可以认定,这个系统(或主机)遭到了SYN Flood攻击。遭到SYN Flood攻击后,首先要做的是取证,通过Netstat –n –p tcp >resault.txt记录目前所有TCP连接状态是必要的,如果有嗅探器,或者TcpDump之类的工具,记录TCP SYN报文的所有细节也有助于以后追查和防御,需要记录的字段有:源地址、IP首部中的标识、TCP首部中的序列号、TTL值等,这些信息虽然很可能是攻击者伪造的,但是用来分析攻击者的心理状态和攻击程序也不无帮助。特别是TTL值,如果大量的攻击包似乎来自不同的IP但是TTL值却相同,我们往往能推断出攻击者与我们之间的路由器距离,至少也可以通过过滤特定TTL值的报文降低被攻击系统的负荷(在这种情况下TTL值与攻击报文不同的用户就可以恢复正常访问)。从防御角度来说,有几种简单的解决方法:
2.1缩短SYN Timeout时间:由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数,这个值=SYN攻击的频度 x SYN Timeout,所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃改连接的时间,例如设置为20秒以下(过低的SYN Timeout设置可能会影响客户的正常访问),可以成倍的降低服务器的负荷。
2.2设置SYN Cookie:就是给每一个请求连接的IP地址分配一个Cookie,如果短时间内连续受到某个IP的重复SYN报文,就认定是受到了攻击,以后从这个IP地址来的包会被丢弃。可是上述的两种方法只能对付比较原始的SYN Flood攻击,缩短SYN Timeout时间仅在对方攻击频度不高的情况下生效,SYN Cookie更依赖于对方使用真实的IP地址,如果攻击者以数万/秒的速度发送SYN报文,同时利用SOCK_RAW随机改写IP报文中的源地址,以上的方法将毫无用武之地。
2.3负反馈策略:参考一些流行的操作系统,如Windows2000的SYN攻击保护机制:正常情况下,OS对TCP连接的一些重要参数有一个常规的设置: SYN Timeout时间、SYN-ACK的重试次数、SYN报文从路由器到系统再到Winsock的延时等等。这个常规设置针对系统优化,可以给用户提供方便快捷的服务;一旦服务器受到攻击,SYN Half link 的数量超过系统中TCP活动 Half Connction最大连接数的设置,系统将会认为自己受到了SYN Flood攻击,并将根据攻击的判断情况作出反应:减短SYN Timeout时间、减少SYN-ACK的重试次数、自动对缓冲区中的报文进行延时等等措施,力图将攻击危害减到最低。如果攻击继续,超过了系统允许的最大Half Connection 值,系统已经不能提供正常的服务了,为了保证系统不崩溃,可以将任何超出最大Half Connection 值范围的SYN报文随机丢弃,保证系统的稳定性。
所以,可以事先测试或者预测该主机在峰值时期的Half Connction 的活动数量上限,以其作为参考设定TCP活动 Half Connction最大连接数的值,然后再以该值的倍数(不要超过2)作为TCP最大Half Connection值,这样可以通过负反馈的手段在一定程度上阻止SYN攻击。
2.4退让策略:退让策略是基于SYN Flood攻击代码的一个缺陷,我们重新来分析一下SYN Flood攻击者的流程:SYN Flood程序有两种攻击方式,基于IP的和基于域名的,前者是攻击者自己进行域名解析并将IP地址传递给攻击程序,后者是攻击程序自动进行域名解析,但是它们有一点是相同的,就是一旦攻击开始,将不会再进行域名解析,我们的切入点正是这里:假设一台服务器在受到SYN Flood攻击后迅速更换自己的IP地址,那么攻击者仍在不断攻击的只是一个空的IP地址,并没有任何主机,而防御方只要将DNS解析更改到新的IP地址就能在很短的时间内(取决于DNS的刷新时间)恢复用户通过域名进行的正常访问。为了迷惑攻击者,我们甚至可以放置一台“牺牲”服务器让攻击者满足于攻击的“效果”(由于DNS缓冲的原因,只要攻击者的浏览器不重起,他访问的仍然是原先的IP地址)。
2.5分布式DNS负载均衡:在众多的负载均衡架构中,基于DNS解析的负载均衡本身就拥有对SYN Flood的免疫力,基于DNS解析的负载均衡能将用户的请求分配到不同IP的服务器主机上,攻击者攻击的永远只是其中一台服务器,一来这样增加了攻击者的成本,二来过多的DNS请求可以帮助我们追查攻击者的真正踪迹(DNS请求不同于SYN攻击,是需要返回数据的,所以很难进行IP伪装)。
2.6防火墙Qos:对于防火墙来说,防御SYN Flood攻击的方法取决于防火墙工作的基本原理,一般说来,防火墙可以工作在TCP层之上或IP层之下,工作在TCP层之上的防火墙称为网关型防火墙,网关型防火墙布局中,客户机与服务器之间并没有真正的TCP连接,客户机与服务器之间的所有数据交换都是通过防火墙代理的,外部的DNS解析也同样指向防火墙,所以如果网站被攻击,真正受到攻击的是防火墙,这种防火墙的优点是稳定性好,抗打击能力强,但是因为所有的TCP报文都需要经过防火墙转发,所以效率比较低由于客户机并不直接与服务器建立连接,在TCP连接没有完成时防火墙不会去向后台的服务器建立新的TCP连接,所以攻击者无法越过防火墙直接攻击后台服务器,只要防火墙本身做的足够强壮,这种架构可以抵抗相当强度的SYN Flood攻击。但是由于防火墙实际建立的TCP连接数为用户连接数的两倍(防火墙两端都需要建立TCP连接),同时又代理了所有的来自客户端的TCP请求和数据传送,在系统访问量较大时,防火墙自身的负荷会比较高,所以这种架构并不能适用于大型网站。(我感觉,对于这样的防火墙架构,使用TCP_STATE攻击估计会相当有效:)
工作在IP层或IP层之下的称为路由型防火墙,其工作原理有所不同:客户机直接与服务器进行TCP连接,防火墙起的是路由器的作用,它截获所有通过的包并进行过滤,通过过滤的包被转发给服务器,外部的DNS解析也直接指向服务器,这种防火墙的优点是效率高,可以适应100Mbps-1Gbps的流量,但是这种防火墙如果配置不当,不仅可以让攻击者越过防火墙直接攻击内部服务器,甚至有可能放大攻击的强度,导致整个系统崩溃。
在这两种基本模型之外,有一种新的防火墙模型,它集中了两种防火墙的优势,这种防火墙的工作原理如下所示:
第一阶段,客户机请求与防火墙建立连接:
第二阶段,防火墙伪装成客户机与后台的服务器建立连接
第三阶段,之后所有从客户机来的TCP报文防火墙都直接转发给后台的服务器
这种结构吸取了上两种防火墙的优点,既能完全控制所有的SYN报文,又不需要对所有的TCP数据报文进行代理,是一种两全其美的方法。近来,国外和国内的一些防火墙厂商开始研究带宽控制技术,如果能真正做到严格控制、分配带宽,就能很大程度上防御绝大多数的SYN攻击。
3.Smurf防范的几种方法
阻塞Smurf攻击的源头:Smurf攻击依靠攻击者的力量使用欺骗性源地址发送echo请求。用户可以使用路由路的访问保证内部网络中发出的所有传输信息都具有合法的源地址,以防止这种攻击。这样可以使欺骗性分组无法找到反弹站点。
阻塞Smurf的反弹站点:用户可以有两种选择以阻塞Smurf攻击的反弹站点。第一种方法可以简单地阻塞所有入站echo请求,这们可以防止这些分组到达自己的网络。如果不能阻塞所有入站echo请求,用户就需要让自己的路由器把网络广播地址映射成为LAN广播地址。制止了这个映射过程,自己的系统就不会再收到这些echo请求。
阻止Smurf平台:为防止系统成为 smurf攻击的平台,要将所有路由器上IP的广播功能都禁止。一般来讲,IP广播功能并不需要。 如果攻击者要成功地利用你成为攻击平台,你的路由器必须要允许信息包以不是从你的内网中产生的源地址离开网络。配置路由器,让它将不是由你的内网中生成的信息包过滤出去,这是有可能做到的。这就是所谓的网络出口过滤器功能。
防止Smurf攻击目标站点:除非用户的ISP愿意提供帮助,否则用户自己很难防止Smurf对自己的WAN接连线路造成的影响。虽然用户可以在自己的网络设备中阻塞这种传输,但对于防止Smurf吞噬所有的WAN带宽已经太晚了。但至少用户可以把Smurf的影响限制在外围设备上。通过使用动态分组过滤技术,或者使用防火墙,用户可以阻止这些分组进入自己的网络。防火墙的状态表很清楚这些攻击会话不是本地网络中发出的(状态表记录中没有最初的echo请求记录),因些它会象对待其它欺骗性攻击行为那样把这样信息丢弃。
4.UDP Flood防范
以前文提到的trinoo为例,分析如下:
在master程序与代理程序的所有通讯中,trinoo都使用了UDP协议。入侵检测软件能够寻找使用UDP协议的数据流(类型17)。
Trinoo master程序的监听端口是27655,攻击者一般借助telnet通过TCP连接到master程序所在计算机。入侵检测软件能够搜索到使用TCP (类型6)并连接到端口27655的数据流。
所有从master程序到代理程序的通讯都包含字符串"l44",并且被引导到代理的UDP 端口27444。入侵检测软件检查到UDP 端口27444的连接,如果有包含字符串l44的信息包被发送过去,那么接受这个信息包的计算机可能就是DDoS代理。
Master和代理之间通讯受到口令的保护,但是口令不是以加密格式发送的,因此它可以被“嗅探”到并被检测出来。使用这个口令以及来自Dave Dittrich的trinot脚本http://staff.washington.e/dittrich/misc/trinoo.analysis,要准确地验证出trinoo代理的存在是很可能的。
一旦一个代理被准确地识别出来,trinoo网络就可以安装如下步骤被拆除:
在代理daemon上使用"strings"命令,将master的IP地址暴露出来。
与所有作为trinoo master的机器管理者联系,通知它们这一事件。
在master计算机上,识别含有代理IP地址列表的文件(默认名"..."),得到这些计算机的IP地址列表。
向代理发送一个伪造"trinoo"命令来禁止代理。通过crontab 文件(在UNIX系统中)的一个条目,代理可以有规律地重新启动, 因此,代理计算机需要一遍一遍地被关闭,直到代理系统的管理者修复了crontab文件为止。
检查master程序的活动TCP连接,这能显示攻击者与trinoo master程序之间存在的实时连接。
如果网络正在遭受trinoo攻击,那么系统就会被UDP 信息包所淹没。Trinoo从同一源地址向目标主机上的任意端口发送信息包。探测trinoo就是要找到多个UDP信息包,它们使用同一来源IP地址、同一目的IP地址、同一源端口,但是不同的目的端口。
在http://www.fbi.gov/nipc/trinoo.htm上有一个检测和根除trinoo的自动程序。
5.使用DNS来跟踪匿名攻击
从一个网管的观点来看,防范的目标并不是仅仅阻止拒绝服务攻击,而是要追究到攻击的发起原因及操作者。当网络中有人使用假冒了源地址的工具(如tfn2k)时,我们虽然没有现成的工具来确认它的合法性,但我们可以通过使用DNS来对其进行分析:
假如攻击者选定了目标www.ttttt.com,他必须首先发送一个DNS请求来解析这个域名,通常那些攻击工具工具会自己执行这一步,调用gethostbyname()函数或者相应的应用程序接口,也就是说,在攻击事件发生前的DNS请求会提供给我们一个相关列表,我们可以利用它来定位攻击者。
使用现成工具或者手工读取DNS请求日志,来读取DNS可疑的请求列表都是切实可行的,然而,它有三个主要的缺点:
攻击者一般会以本地的DNS为出发点来对地址进行解析查询,因此我们查到的DNS请求的发起者有可能不是攻击者本身,而是他所请求的本地DNS服务器。尽管这样,如果攻击者隐藏在一个拥有本地DNS的组织内,我们就可以把该组织作为查询的起点。
攻击者有可能已经知道攻击目标的IP地址,或者通过其他手段(host, ping)知道了目标的IP地址,亦或是攻击者在查询到IP地址后很长一段时间才开始攻击,这样我们就无法从DNS请求的时间段上来判断攻击者(或他们的本地服务器)。
DNS对不同的域名都有一个却省的存活时间,因此攻击者可以使用存储在DNS缓存中的信息来解析域名。为了更好做出详细的解析记录,您可以把DNS却省的TTL时间缩小,但这样会导致DNS更多的去查询所以会加重网络带宽的使用。
6.主机防范
所有对因特网提供公开服务的主机都应该加以限制。下面建议的策略可以保护暴露在因特网上的主机。
将所有公开服务器与DMZ隔离
提供的每种服务都应该有自己的服务器。
如果使用Linux(建议这样做),你就可以使用一个或几个"缓冲溢出/堆栈执行"补丁或增强来防止绝大多数(如果不能全部)本地或远程缓冲溢出,以避免这些溢出危及根的安全。强烈建议将Solar Designer的补丁包括在附加的安全特征中。
使用SRP(Secure Remote Password 安全远程口令)代替SSH。
限制只有内部地址才能访问支持SRP的telnet和FTP守护程序,强调只有支持SRP的客户端才可以与这些程序对话。如果你必须为公开访问运行常规的FTP(比如匿名FTP),可以在另一个端口运行SRP FTP。
使用可信任的路径。根用户拥有的二进制执行程序应该放置的目录的所有权应该是根,不能让全部用户或组都有写权限。如果有必要的话,为了强制这样做,你可以改变内核。
使用内置防火墙功能。通过打开防火墙规则,可以经常利用内核状态表。
使用一些防端口扫描措施。这可以使用Linux的后台程序功能或通过修改内核实现。
使用Tripwire 和相同作用的软件来帮助发觉对重要文件的修改。
7.电子邮件炸弹防护
对于保护电子件的安全来说,了解一下电子邮件的发送过程是很有必要的。它的过程是这样的,当有用户将邮件写好之后首先连接到邮件服务器上,当邮件服务器有响应时便会启动邮件工具,调用路由(这里指的是邮件的路由)程序Sendmail进行邮件路由,根据邮件所附的接收地址中指定的接收主机,比如: a@163.net里的163.net,与位于主机163.net电子邮件后台守护程序建立25端口的TCP连接,建立后双方按照SMTP协议进行交互第进,从而完成邮件的投递工作,接收方电子邮件接收邮件后,再根据接收用户名称,放置在系统的邮件目录里,如/usr/电子邮件目录的semxa文件中。接收用户同样使用邮件工具获取和阅读这些已投递的邮件。如果投递失败的话,这些邮件将重新返回到发送方。实际上电子邮件的发送过程要比这里所说的更为复杂些,在过程里将会涉及很多的配置文件。在现在的SMTP协议是一个基于文本的协议,理解和实现都相对比较简单些,你可以使用telnet直接登陆到邮件服务器的25端口(由LANA授权分配给SMTP协议)进行交互。
保护电子信箱邮件的信息安全最有效的办法就是使用加密的签名技术,像PGP来验证邮件,通过验证可以保护到信息是从正确的地方发来的,而且在传送过程中不被修改。但是这就不是个人用户所能达到的了,因为PGP比较复杂。
就电子邮件炸弹而言,保护还是可以做得很好的。因为它的复杂性不是很高,多的仅仅是垃圾邮件而已。你可以使用到http://semxa.kstar.com/hacking/echom201.zip E-mail Chomper(砍信机)来保护自己。但是目前就国内用户而言,大多用户所使用的都是免费的邮箱,像yeah.net、163.net、263.net等,即便是有人炸顶多也是留在邮件服务器上了,危害基本上是没有的。如果是用pop3接的话,可以用Outlook或Foxmail等pop的收信工具来接收的mail,大多用户使用的是windows的Outlook Express,可以在“工具-收件箱助理”中设置过滤。对于各种利用电子邮件而传播的Email蠕虫病毒和对未知的Emai蠕虫病毒你可以使用防电子邮件病毒软件来防护。
另外,邮件系统管理员可以使用“黑名单”来过滤一些垃圾信件。对于不同的邮件系统,大都可以在网络上找到最新的黑名单程序或者列表。
8.使用ngrep工具来处理tfn2k攻击
根据使用DNS来跟踪tfn2k驻留程序的原理,现在已经出现了称为ngrep的实用工具。经过修改的ngrep可以监听大约五种类型的tfn2k拒绝服务攻击(targa3, SYN flood, UDP flood, ICMP flood 和 smurf),它还有一个循环使用的缓存用来记录DNS和ICMP请求。如果ngrep发觉有攻击行为的话,它会将其缓存中的内容打印出来并继续记录ICMP回应请求。假如攻击者通过ping目标主机的手段来铆定攻击目标的话,在攻击过程中或之后记录ICMP的回应请求是一种捕获粗心的攻击者的方法。由于攻击者还很可能使用其他的服务来核实其攻击的效果(例如web),所以对其他的标准服务也应当有尽量详细的日志记录。
还应当注意,ngrep采用的是监听网络的手段,因此,ngrep无法在交换式的环境中使用。但是经过修改的ngrep可以不必和你的DNS在同一个网段中,但是他必须位于一个可以监听到所有DNS请求的位置。经过修改的ngrep也不关心目标地址,您可以把它放置在DMZ网段,使它能够检查横贯该网络的tfn2k攻击。从理论上讲,它也可以很好的检测出对外的tfn2k攻击。
在ICMP flood事件中,ICMP回应请求的报告中将不包括做为tfn2k flood一部分的ICMP包。Ngrep还可以报告检测出来的除smurf之外的攻击类型(TARGA, UDP, SYN, ICMP等)。混合式的攻击在缺省情况下表现为ICMP攻击,除非你屏蔽了向内的ICMP回应请求,这样它就表现为UDP或SYN攻击。这些攻击的结果都是基本类似的。
9.有关入侵检测系统的建议
由于许多用来击败基于网络的入侵检测系统的方法对绝大多数商业入侵检测系统产品仍然是有效的,因此建议入侵检测系统应该至少有能重组或发觉碎片的自寻址数据包。下面是部分要注意的事项:
确信包括了现有的所有规则,包括一些针对分布式拒绝服务攻击的新规则。
如果遵循了ICMP建议项,许多ICMP会被阻塞,入侵检测系统触发器存在许多机会。任何通常情况下要被阻塞的入站或出站的ICMP数据包可以被触发。
"任何"被你用防火墙分离的网络传输都可能是一个潜在的IDS触发器。
如果你的入侵检测系统支持探测长时间周期的攻击,确信没有把允许通过防火墙的被信任主机排除在外。这也包括虚拟专用网。
如果你能训练每个使用ping的用户在ping主机时使用小数据包,就可能设置入侵检测系统寻找超29字节的Echo和Echo应答数据包。
本页内容
目标
适用范围
如何使用本模块
摘要
必备知识
抵御 SYN 攻击
抵御 ICMP 攻击
抵御 SNMP 攻击
AFD.SYS 保护
其他保护
缺陷
其他资源
目标
使用本模块可以实现:
? 强化服务器的 TCP/IP 堆栈安全
? 保护服务器免遭“拒绝服务”和其他基于网络的攻击
? 在检测到攻击时启用 SYN 洪水攻击保护
? 设置用于确认是什么构成攻击的阈值
返回页首
适用范围
本模块适用于下列产品和技术:
? Microsoft Windows 2000 Server 和 Windows 2000 Advanced Server
返回页首
如何使用本模块
默认情况下,本模块中的一些注册表项和值可能不存在。在这些情况下,请创建这些注册表项、值和数值数据。
有关 Windows 2000 控制的 TCP/IP 网络设置的注册表的详细信息,请参阅白皮书“Microsoft Windows 2000 TCP/IP Implementation Details”,网址为 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/itsolutions/network/deploy/depovg/tcpip2k.asp(英文)
注意:这些设置会修改服务器上 TCP/IP 的工作方式。Web 服务器的特征将确定触发拒绝服务对策的最佳阈值。对于客户端的连接,一些值可能过于严格。在将本模块的建议部署到产品服务器之前,要对这些建议进行测试。
返回页首
摘要
TCP/IP 堆栈负责处理传入和传出的 IP 数据包,并将数据包中的数据路由到要处理它们的应用程序。默认情况下,TCP/IP 天生就是一个不安全的协议。但是,Microsoft? Windows? 2000 版本允许您配置其操作,以抵御网络级别的大多数拒绝服务攻击。
本模块解释如何强化 TCP/IP 堆栈的安全,以及如何在 Windows 注册表内配置各种 TCP/IP 参数,以便保护服务器免遭网络级别的拒绝服务攻击,包括 SYS 洪水攻击、ICMP 攻击和 SNMP 攻击。
返回页首
必备知识
可以在 Windows 注册表内配置各种 TCP/IP 参数,以便保护服务器免遭网络级别的拒绝服务攻击,包括 SYS 洪水攻击、ICMP 攻击和 SNMP 攻击。可以配置注册表项,以便:
? 在检测到攻击时启用 SYN 洪水攻击保护机制。
? 设置用于确认构成攻击的阈值。
本“如何”向管理员介
‘叁’ 简述计算机的网络故障分类及其解决方法
1.故障现象:网络适配器(网卡)设置与计算机资源有冲突。
分析、排除:通过调整网卡资源中的IRQ和I/O值来避开与计算机其它资源的冲突。有些情况还需要通过设置主板的跳线来调整与其它资源的冲突。
2.故障现象:网吧局域网中其他客户机在“网上邻居”上都能互相看见,而只有某一台计算机谁看不见它,它也看不见别的计算机。(前提:该网吧的局域网是通过HUB或交换机连接成星型网络结构)
分析、排除:检查这台计算机系统工作是否正常;检查这台计算机的网络配置;检查这台计算机的网卡是否正常工作;检查这台计算机上的网卡设置与其他资源是否有冲突;检查网线是否断开;检查网线接头接触是否正常。
3.故障现象:网吧局域网中有两个网段,其中一个网网段的所有计算机都不能上因特网。(前提:该网吧的局域网通过两个HUB或交换机连接着两个的网段)
分析、排除:两个网段的干线断了或干线两端的接头接处不良。检查服务器中对该网段的设置项。
4.故障现象:网吧局域网中所有的计算机在“网上邻居”上都能互相看见。(前提:该网吧的局域网是通过HUB或交换机连接成星型网络结构)
分析、排除:检查HUB或交换机工作是否正常。
5.故障现象:网吧局域网中某台客户机在“网上邻居”上都能看到服务器,但就是不能上因特网。(前提:服务器指代理网吧局域网其他客机上因特网的那台计算机,以下同)
分析、排除:检查这台客户机TCP/IP协议的设置,检查这台客户机中IE浏览器的设置,检查服务器中有关对这台客户机的设置项。
6.故障现象:网吧整个局域网上的所有的计算机都不能上因特网。
分析、排除:服务器系统工作是否正常;服务器是否掉线了;调制解调器工作是否正常;局端工作是否正常。
7.故障现象:网吧局域网中除了服务器能上网其他客户机都不能上网。
分析、排除:检查HUB或交换机工作是否正常;检查服务器与HUB或交换机连接的网络部分(含:网卡、网线、接头、网络配置)工作是否正常;检查服务器上代理上网的软件是否正常启动运行;设置是否正常。
8.故障现象:进行拨号上网操作时,MODEN没有拨号声音,始终连接不上因特网,MODEN上指示灯也不闪。
分析、排除:电话线路是否占线;接MODEN的服务器的连接(含:连线、接头)是否正常;电话线路是否正常,有无杂音干扰;拨号网络配置是否正确;MODEN的配置设置是否正确,检查拨号音的音频或脉冲方式是否正常。
9.故障现象:系统检测不到MODEN(若MODEN是正常的)。
分析、排除:重新安装一遍MODEN,注意通讯端口的正确位置。
10.故障现象:连接因特网速度过慢。
分析、排除:检查服务器系统设置在“拨号网络”中的端口连接速度是否是设置的最大值;线路是否正常;可通过优化MODEN的设置来提高连接的速度;通过修改注册表也可以提高上网速度;同时上网的客户机是否很多;若是很多,而使连接速度过慢是正常现象。
11.故障现象:计算机屏幕上出现“错误 678” 或“错误 650” 的提示框。
分析、排除:一般是你所拨叫的服务器线路较忙、占线,暂时无法接通,你可进一会后继续重拨。
12.故障现象:计算机屏幕上出现“错误680:没有拨号音。请检测调制解调器是否正确连到电话线。”或者“There is no dialtone。 Make sure your Modem is connected to the phone line properly。”的提示框。
分析、排除:检测调制解调器工作是否正常,是否开启;检查电话线路是否正常,是否正确接入调制解调器,接头有无松动。
13.故障现象:计算机屏幕上出现“The Modem is being used by another Dial-up Networding connection or another program。Disconnect the other connection or close the program,and then try again”的提示框。
分析、排除:检查是否有另一个程序在使用调制解调器;检查调制解调器与端口是否有冲突。
14.故障现象:计算机屏幕上出现“The computer you are dialing into is not answering。Try again later”的提示框。
分析、排除:电话系统故障或线路忙,过一会儿再拨。
15.故障现象:计算机屏幕上出现“Connection to xx.xx.xx. was terminated. Do you want to reconnect?”的提示框。
分析、排除:电话线路中断使拨号连接软件与ISP主机的连接被中断,过一会重试。
16.故障现象:计算机屏幕上出现“The computer is not receiving a response from the Modem. Check that the Modem is plugged in,and if necessary,turn the Modem off ,and then turn it back on”的提示框。
分析、排除:检查调制解调器的电源是否打开;检查与调制解调器连接的线缆是否正确的连接。
17.故障现象:计算机屏幕上出现“Modem is not responding”的提示框。
分析、排除:表示调制解调器没有应答;检查调制解调器的电源是否打开;检查与调制解调器连接的线缆是否正确连接;调制解调器是损坏。
18.故障现象:计算机屏幕上出现“NO CARRIER”的提示信息。
分析、排除:表示无载波信号。这多为非正常关闭调制解调器应用程序或电话线路故障;检查与调制解调器连接的线缆是否正确的连接;检查调制解调器的电源是否打开。
19.故障现象:计算机屏幕上出现“No dialtone” 的提示框。
分析、排除:表示无拨号声音;检查电话线与调制解调器是否正确连接。
20.故障现象:计算机屏幕上出现“Disconnected”的提示时。
分析、排除:表示终止连接;若该提示是在拨号时出现,检查调制解调器的电源是否打开;若该提示是使用过程中出现,检查电话是否在被人使用。
21.故障现象:计算机屏幕上出现“ERROR” 的提示框。
分析、排除:是出错信息;调制解调器工作是否正常,电源是否打开;正在执行的命令是否正确。
22.故障现象:计算机屏幕上出现“A network error occurred unable to connect to server (TCP Error:No router to host)The server may be down or unreadchable。Try connectin gagain later”的提示时。
分析、排除故障:表示是网络错误,可能是TCP协议错误;没有路由到主机,或者是该服务器关机而导致不能连接,这时只有重试了。
23.故障现象:计算机屏幕上出现“The line id busy, Try again later”或“BUSY”的提示时。
分析、排除:表示占线,这时只在重试了。
24.故障现象:计算机屏幕上出现:“The option timed out”的提示时。
分析、排除:表示连接超时,多为通讯网络故障,或被叫方忙,或输入网址错误。向局端查询通讯网络工作情况是否正常。检查输入网址是否正确。
25.故障现象:计算机屏幕上出现“Another program is dialing the selected connection”的提示时。
分析、排除:表示有另一个应用程序已经在使用拨号网络连接了。只有停止该连接后才能继续我们的拨号连接。
26.故障现象:在用IE浏览器浏览中文站点时出现乱码。
分析、排除故障:IE浏览器中西文软件不兼容造成的汉字会显示为乱码,可试用NetScape的浏览器看看;我国使用的汉字内码是GB,而台湾使用的是BIG5,若是这个原因造成的汉字显示为乱码,可用RichWin变换内码试试。
27.故障现象:浏览网页的速度较正常情况慢。
分析、排除:主干线路较拥挤,造成网速较慢;(属正常情况)浏览某一网页的人较多,造成网速较慢;(属正常情况)有关Modem的设置有问题;局端线路有问题。
28.故障现象:能正常上网,但总是时断时续的。
分析、排除:电话线路问题,线路质量差;调制解调器的工作不正常,影响上网的稳定性。
29.故障现象:用拨号上网时,听不见拨号音,无法进行拨号。
分析、排除:检查调制解调器工作是否正常,电源打开否,电缆线接好了没,电话线路是否正常。(大众网络报)
30.故障现象:在拨号上网的过程中,能听见拨号音,但没有拨号的动作,而计算机却提示“无拨号声音”。
分析、排除:可通过修改配置,使拨号器不去检测拨号声音。可进入“我的连接”的属性窗口,单击“配置”标签,在“连接”一栏中去掉“拨号前等待拨号音”的复选框。
31.故障现象:在拨号上网的过程中,计算机屏幕上出现:“已经与您的计算机断开,双击‘连接’重试。”的提示时。
分析、排除:电话线路质量差,噪声大造成的,可拨打:112报修。也可能是病毒造成的,用杀毒软件杀一遍毒。
32.故障现象:若计算机屏幕上出现:“拨号网络无法处理在‘服务器类型’设置中指定的兼容网络协议”的提示时。
分析、排除:检查网络设置是否正确;调制解调器是否正常;是否感染上了宏病毒,用最新的杀毒软件杀一遍毒。
33.故障现象:Windows 98网上邻居中找不到域及服务器,但可找到其他的工作站。
分析、排除:在“控制面板→网络→Microsoft网络客户”中,将登录时Windows 98与网络的连接由慢速改为快速连接。
34.故障现象:在查看"网上邻居"时,会出现“无法浏览网络。网络不可访问。想得到更多信息,请查看‘帮助索引‘中的‘网络疑难解答’专题。”的错误提示。
分析、排除:第一种情况是因为在Windows启动后,要求输入Microsoft网络用户登录口令时,点了"取消"按钮所造成的,如果是要登录NT服务器,必须以合法的用户登录,并且输入正确口令。第二种情况是与其它的硬件产生冲突。打开“控制面板→系统→设备管理”。查看硬件的前面是否有黄色的问号、感叹号或者红色的问号。如果有,必须手工更改这些设备的中断和I/O地址设置。
35.故障现象:在“网上邻居”或“资源管理器”中只能找到本机的机器名。
分析、排除:网络通信错误,一般是网线断路或者与网卡的接确不良,还有可能是Hub有问题。
36.故障现象:安装网卡后,计算机启动的速度慢了很多。
分析、排除:可能在TCP/IP设置中设置了"自动获取IP地址",这样每次启动计算机时,计算机都会主动搜索当前网络中的DHCP服务器,所以计算机启动的速度会大大降低。解决的方法是指定静态的IP地址。(大众网络报)
37.故障现象:网络安装后,在其中一台计算机上的“网络邻居”中看不到任何计算机?
分析、排除:主要原因可能是网卡的驱动程序工作不正常。请检查网卡的驱动程序,必要时重新安装驱动程序。
38.故障现象:从“网络邻居”中能够看到别人的机器,但不能读取别人电脑上的数据?
分析、排除:
(1)首先必须设置好资源共享。选择"网络→配置→文件及打印共享",将两个选项全部打勾并确定,安装成功后在"配置"中会出现"Microsoft网络上的文件与打印机共享"选项。
(2)检查所安装的所有协议中,是否绑定了"Microsoft网络上的文件与打印机共享"。选择"配置"中的协议如"TCP/IP协议",点击"属性"按钮,确保绑定中"Microsoft网络上的文件与打印机共享"、"Microsoft网络用户"前已经打勾了。
39.故障现象:在安装网卡后通过"控制面板→系统→设备管理器"查看时,报告"可能没有该设备,也可能此设备未正常运行,或是没有安装此设备的所有驱动程序"的错误信息。
分析、排除:
(1)没有安装正确的驱动程序,或者驱动程序版本不对。
(2)中断号与I/O地址没有设置好。有一些网卡通过跳线开关设置;另外一些是通过随卡带的软盘中的Setup程序进行设置。
40.故障现象:已经安装了网卡和各种网络通讯协议,但网络属性中的选择框"文件及打印共享"为灰色,无法选择。
分析、排除:原因是没有安装"Microsoft网络上的文件与打印共享"组件。在"网络"属性窗口的"配置"标签里,单击"添加"按钮,在"请选择网络组件"窗口单击"服务",单击"添加"按钮,在"选择网络服务"的左边窗口选择"Microsoft",在右边窗口选择"Microsoft网络上的文件与打印机共享",单击"确定"按钮,系统可能会要求插入Windows安装光盘,重新启动系统即可。
41.故障现象:无法在网络上共享文件和打印机。
分析、排除:
(1)确认是否安装了文件和打印机共享服务组件。要共享本机上的文件或打印机,必须安装"Microsoft网络上的文件与打印机共享"服务。
(2)确认是否已经启用了文件或打印机共享服务。在"网络"属性框中选择"配置"选项卡,单击"文件与打印机共享"按钮,然后选择"允许其他用户访问的我的文件"和"允许其他计算机使用我的打印机"选项。
(3)确认访问服务是共享级访问服务。在"网络"属性的"访问控制"里面应该选择"共享级访问"。
42.故障现象:客户机无法登录到网络上。
分析、排除:
(1)检查计算机上是否安装了网络适配器,该网络适配器工作是否正常。
(2)确保网络通信正常,即网线等连接设备完好。
(3)确认网络适配器的中断和I/O地址没有与其他硬件冲突。
(4)网络设置可能有问题。
43.故障现象:无法将台式电脑与笔记本电脑使用直接电缆连接。
分析、排除:笔记本电脑自身可能带有PCMCIA网卡,在"我的电脑→控制面板→系统→设备管理器"中删除该"网络适配器"记录后,重新连接即可。
44.故障现象:在网上邻居上可以看到其它机器,别人却看不到自己?
分析、排除:经检查网络配置,发现是漏装"Microsoft网络上的文件与打印机共享"所致。解决办法:开始设置控制面板网络,单击"添加",在网络组件中选择"服务",单击"添加"按钮,型号中选择"Microsoft网络上的文件与打印机共享"即可。重新启动后问题解决。
45.故障现象:在网上邻居上只能看到计算机名,却没有任何内容?
分析、排除:出现这种问题时一般都以为是将文件夹没有共享所致。打开资源管理器,点取要共享的文件夹,却发现右键菜单中的"共享"项都消失了。解决办法是右击“网上邻居”图标,点取“文件及打印共享”,钩选“允许其它用户访问我的文件”,重启后,问题解决。
46.故障现象:在Windows 98的“网上邻居”中找不到域及服务器,但可找到其他的工作站?
分析、排除:在“控制面板→网络→Microsoft网络客户”中,将登录时Windows 98与网络的连接由慢速改为快速连接。
47.故障现象:在查看“网上邻居”时,会出现“无法浏览网络。网络不可访问。想得到更多信息,请查看'帮助索引'中的'网络疑难解答'专题。”的错误提示。
分析、排除:
(1)这是在Windows启动后,要求输入Microsoft网络用户登录口令时,点了“取消”按钮所造成的,如果是要登录Windows NT或者Windows 2000服务器,必须以合法的用户登录,并且输入正确口令。
(2)与其它的硬件起冲突。打开“控制面板→系统→设备管理”。查看硬件的前面是否有黄色的问号、感叹号或者红色的问号。如果有,必须手工更改这些设备的中断和I/O地址设置。
48.故障现象:用Windows 2000专业版做服务器,然后用Windows 98做客户机,网上邻居正常,Windows 98与Windows 98之间突然变得很慢,但从Windows 2000访问Windows 98却很快。
分析、排除:大家在通过网络系统浏览共享文件时,大概都会要等上30秒钟。这其实是因为Windows 2000多个BUG,一定要先在“计划任务”里搜索,再找出共享文件。而我们提到的这个方法就是专门修补这个BUG的,如果做一些改动的话,Windows 2000的用户就会发现,无论是互联网还是视窗浏览的速度都有了很显着的提高:
打开注册表
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Explorer/RemoteComputer/NameSpace
在其分栏出选择键值:
{D6277990 -4C 6A -11CF-8D87-00AA 0060F 5BF
然后删除。
因为就是这个健值引导Windows去搜索“计划任务”。不需要重新开机,几乎立刻就可以感受到你的浏览程序快了很多!
49.故障现象:已经按照要求安装、设置好Sygate,但服务器仍不能连接网络。
分析、排除:使用Sygate中特有的Sygate Diagnostics(诊断)功能。可以通过以下两种方式来启动诊断医生,在Sygate王界面的工具栏电权击Diagnosticstool(诊断工具)图标,或者点去开始一程序一Sygate——Sygate Diagnostics。这时诊断工具会依次测试系统设置、网络适配器、拨号连接、TCP/IP协议与设置等。如果测试不能通过,系统会出现一个提示,描述问题及指点正确的方向。此时你可以根据提示作相应的更改。如果测试通过,诊断工具会显示已经测试通过的提示。
50.故障现象:正确安装Sygate4后,网络中的某些客户机不能正常使用。
分析、排除:一般情况,客户机不能正常使用多为TCP/IP的配置出现问题,当然也不排除操作系统和硬件(比如网卡已坏等)的问题,在这种情况下,你可以使用Sygate的Troubleshooting(发现并解决故障)功能,在出现的表单中详细列出使用Sygate后产生的信息资料,例如:sdsys.log、Sygate.log、sgconf.log、sgsys.log等,在这些日志中包含了服务器、操作系统、拨号网络、网卡、浏览网址、应用程序等详细资料,你可以根据这些资料来判断故障,然后作出相应修改。
51.故障现象:自从安装Sygate后,服务器经常会莫名其妙自动拨号上网。
分析、排除:这是因为网络中的客户机启动了某些网络软件,例如浏览器、电子邮件软件等,而又在配置中勾进了Enable Dial-on-Demand For Cline(允许客户机拨号),这样当SyGate侦测到网络中有连接到Internet的请求,如此时系统尚未建立连接,便会自动拨号。只要去掉前面的小勾,即能解决这个问题。
52.故障现象:用分机电话线上网,Modem为实达网上之星,上网连接速度最快才48000bps。还有,将Modem放在主机箱侧,开机后(未打开Modem电源),家里的电话就处于忙音状态。
分析、排除:第一个问题跟分机电话线或线接头质量有很大关系,另外,如果Modem的速度平常都能接近48000bps,也不要太在意,应该重点先看一下它的实际下载速度是否令你满意。第二个问题,肯定和主机电源的电磁辐射强和屏蔽效果差有关,最好用物体在主机和Modem之间进行屏蔽,或将Modem远离主机。
53.故障现象:一台计算机通过局域网连接,一切正常。但是换了一个硬盘、重新安装Win98操作系统后,查看网上邻居时,只能看到自己的计算机和所属的工作组;而访问外部网却没有问题,收发邮件也没问题。
分析、排除:启动电脑后不要立即打开网上邻居,而是等一下再打开,并且按F5键刷新,一般可以看到新的工作组和用户。如果实在不行,就用查找计算机,找到其他组的计算机后作成快捷方式放在桌面上。
54.故障现象:有时ADSL的访问速度较平时慢。
分析、排除:原因很多:可能是出口带宽及对方站点配置情况等原因的影响;可能是线路的质量情况的影响;可能是接入局端设备影响。
55.故障现象:在Windows NT4.0操作系统上已经安装了Modem、TCP/IP协议和RAS服务,但在拔号上网铁过程中,计算机屏幕上出:“734错误,对方服务器终止(口令和用户名均无误,在Windows下可以正常上网)”的提示框。
分析、排除:在“设置”中不要输入域名试试看。
56.故障现象:在Windows NT4.0操作系统上拨号上网的过程中,在检测用户名和密码时要断线。
分析、排除:可以将验证密码的选项改成明文验证方式试试看;可以把拨号网络属性中“拨号后出现终端窗口”复选框选中试试看。
57.故障现象: 在Windows NT4.0操作系统上拨号上网的过程中,在检测用户名和密码后自动断开。
分析、排除:可在“新的电话簿项”中,单击“安全”项,然后在“认证与加密规则”中选中“接受任何验证”。
58.故障现象:只要一启动IE浏览器,就会自动执行发送和接收邮件。
分析、排除:可打开IE浏览器,在菜单栏中单击“工具(T)”项,在弹出的下拉式菜单中选中并单击“Internet选项(O)”项,在弹出的对话框中单击“常规”标签,去掉“启动时自动接收所有帐号怕邮件”项便可以了。
‘肆’ FTP连接失败的原因
考虑以下原因:
1、防火墙挡住了
2、没有查看内容的权限
3、网管屏蔽了FTP端口
默认是pasv模式,因为服务端防火墙的设置,客户端不能用pasv模式,将设置中的pasv模式置为空,就正常了
FTP连接服务器失败的原因一般有以下几种:
1、网络不通导致FTP连接服务器失败
有时可能是由服务器或者电脑本地网络有问题,导致FTP连接服务器失败。可以通过浏览器查看网页测试是否是网络问题。
2、服务器出现宕机、死机、重启等情况
我们在租用服务器时,都会对服务器的访问速度及稳定性进行考察。服务器出现右机、死机、重启等情况不仅会导致FIP连接服务器失败,也直接导致网站无法正常运营,从而影响网站优化排名及用户体验。如果出现此情况,尽快联系服务器提供商进行解决。
3、防火墙设置出现问题导致服务器连接失败查看我们的防火墙设置是否勾选了“PASV模式”,如果勾选,那么将取消,然后尝试重新连接。
4、FTP软件出现问题导致连接服务器失败有时我们会忘记对软件的及时更新,所以导致使用的FTP软件版本过低或者被停用,再或者该软件出现了问题。此时我们可以先删除现有软件,然后重新安装。
5、短时间内连接服务器次数过多
可能由于FTP连接服务器的速度稍微有些慢,我们等待的比较着急,就不停地点击连接按钮,导致短时间内容连接次数过于频繁而连接失败。
6、服务器被ISP屏蔽导致FTP连接服务器失败判断服务器是否被ISP屏蔽,可以通过使用代理服务器进行连接测试。
7、租用的服务器后台被关闭
如果以上几种情况都被排除,那么很有可能是我们所租用的服务器后台被关闭了,此时需要连接服务器提供商进行核查与修改。
FTP连接服务器失败的原因有很多,基本比较常见的情况就是以上几种。为保障网站的正常运营,当出现FTP服务器失败的情况,应及时检查其原因并解决。
拓展资料:
FTP是File Transfer Protocol(文件传输协议)的缩写,用来在两台计算机之间互相传送文件。相比于HTTP,FTP协议要复杂得多。复杂的原因,是因为FTP协议要用到两个TCP连接,一个是命令链路,用来在FTP客户端与服务器之间传递命令;另一个是数据链路,用来上传或下载数据。
‘伍’ 浏览网页遇到问题:ONE MORE STEP
是CloudFlare的东西,作用是防DDOS之类的攻击。出现这个的意思是大概你的IP或者IP段被判定为攻击源了。解决方法是在下面输验证码,但是那个验证码好像是Google的需要搭梯子才能填。所以可能目前暂时无解,等一段时间估计会好的,或者联系一下网站管理员看能否添加白名单过滤掉你的IP。
‘陆’ Win10系统delivery optimization服务占用网速怎么办
按下【Win+i】组合键打开windows 设置;
点击【更新和安全】;
在Windows 更新 右侧点击【高级选项】;
点击【选择如何提供更新】;
在更新来自多个位置下面将“开关”关闭即可;
操作完成后即可解决delivery optimization暂用网速的问题。
可以查看这个里面是否有更进一步的进程信息等,
还可能是windows操作系统还在做一些更新处理等。
等它更新完了就好了。
‘柒’ 如何打开或关闭信息中心的调试/日志/告警等显示信息
系统日志源自航海日志:当人们出海远行的时候,总是要做好航海日志,以便为以后的工作做出依据。日志文件作为微软Windows系列操作系统中的一个比较特殊的文件,在安全方面具有无可替代的价值。日志每天为我们忠实的记录着系统所发生一切,利用系统日志文件,可以使系统管理员快速对潜在的系统入侵作出记录和预测,但遗憾的是目前绝大多数的人都忽略了它的存在。反而是因为黑客们光临才会使我们想起这个重要的系统日志文件。7.1日志文件的特殊性要了解日志文件,首先就要从它的特殊性讲起,说它特殊是因为这个文件由系统管理,并加以保护,一般情况下普通用户不能随意更改。我们不能用针对普通TXT文件的编辑方法来编辑它。例如WPS系列、Word系列、写字板、Edit等等,都奈何它不得。我们甚至不能对它进行“重命名”或“删除”、“移动”操作,否则系统就会很不客气告诉你:访问被拒绝。当然,在纯DOS的状态下,可以对它进行一些常规操作(例如Win98状态下),但是你很快就会发现,你的修改根本就无济于事,当重新启动Windows98时,系统将会自动检查这个特殊的文本文件,若不存在就会自动产生一个;若存在的话,将向该文本追加日志记录。7.1.1黑客为什么会对日志文件感兴趣黑客们在获得服务器的系统管理员权限之后就可以随意破坏系统上的文件了,包括日志文件。但是这一切都将被系统日志所记录下来,所以黑客们想要隐藏自己的入侵踪迹,就必须对日志进行修改。最简单的方法就是删除系统日志文件,但这样做一般都是初级黑客所为,真正的高级黑客们总是用修改日志的方法来防止系统管理员追踪到自己,网络上有很多专门进行此类功能的程序,例如Zap、Wipe等。7.1.2Windows系列日志系统简介1.Windows98的日志文件因目前绝大多数的用户还是使用的操作系统是Windows98,所以本节先从Windows98的日志文件讲起。Windows98下的普通用户无需使用系统日志,除非有特殊用途,例如,利用Windows98建立个人Web服务器时,就会需要启用系统日志来作为服务器安全方面的参考,当已利用Windows98建立个人Web服务器的用户,可以进行下列操作来启用日志功能。(1)在“控制面板”中双击“个人Web服务器”图标;(必须已经在配置好相关的网络协议,并添加“个人Web服务器”的情况下)。(2)在“管理”选项卡中单击“管理”按钮;(3)在“Internet服务管理员”页中单击“WWW管理”;(4)在“WWW管理”页中单击“日志”选项卡;(5)选中“启用日志”复选框,并根据需要进行更改。将日志文件命名为“Inetserver_event.log”。如果“日志”选项卡中没有指定日志文件的目录,则文件将被保存在Windows文件夹中。普通用户可以在Windows98的系统文件夹中找到日志文件schedlog.txt。我们可以通过以下几种方法找到它。在“开始”/“查找”中查找到它,或是启动“任务计划程序”,在“高级”菜单中单击“查看日志”来查看到它。Windows98的普通用户的日志文件很简单,只是记录了一些预先设定的任务运行过程,相对于作为服务器的NT操作系统,真正的黑客们很少对Windows98发生兴趣。所以Windows98下的日志不为人们所重视。2.WindowsNT下的日志系统WindowsNT是目前受到攻击较多的操作系统,在WindowsNT中,日志文件几乎对系统中的每一项事务都要做一定程度上的审计。WindowsNT的日志文件一般分为三类:系统日志:跟踪各种各样的系统事件,记录由WindowsNT的系统组件产生的事件。例如,在启动过程加载驱动程序错误或其它系统组件的失败记录在系统日志中。应用程序日志:记录由应用程序或系统程序产生的事件,比如应用程序产生的装载dll(动态链接库)失败的信息将出现在日志中。安全日志:记录登录上网、下网、改变访问权限以及系统启动和关闭等事件以及与创建、打开或删除文件等资源使用相关联的事件。利用系统的“事件管理器”可以指定在安全日志中记录需要记录的事件,安全日志的默认状态是关闭的。WindowsNT的日志系统通常放在下面的位置,根据操作系统的不同略有变化。C:\systemroot\system32\config\sysevent.evtC:\systemroot\system32\config\secevent.evtC:\systemroot\system32\config\appevent.evtWindowsNT使用了一种特殊的格式存放它的日志文件,这种格式的文件可以被事件查看器读取,事件查看器可以在“控制面板”中找到,系统管理员可以使用事件查看器选择要查看的日志条目,查看条件包括类别、用户和消息类型。3.Windows2000的日志系统与WindowsNT一样,Windows2000中也一样使用“事件查看器”来管理日志系统,也同样需要用系统管理员身份进入系统后方可进行操作,如图7-1所示。图7-1在Windows2000中,日志文件的类型比较多,通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等,可能会根据服务器所开启的服务不同而略有变化。启动Windows2000时,事件日志服务会自动启动,所有用户都可以查看“应用程序日志”,但是只有系统管理员才能访问“安全日志”和“系统日志”。系统默认的情况下会关闭“安全日志”,但我们可以使用“组策略”来启用“安全日志”开始记录。安全日志一旦开启,就会无限制的记录下去,直到装满时停止运行。Windows2000日志文件默认位置:应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\system32\config,默认文件大小512KB,但有经验的系统管理员往往都会改变这个默认大小。安全日志文件:c:\systemroot\system32\config\SecEvent.EVT系统日志文件:c:\systemroot\system32\config\SysEvent.EVT应用程序日志文件:c:\systemroot\system32\config\AppEvent.EVTInternet信息服务FTP日志默认位置:c:\systemroot\system32\logfiles\msftpsvc1\。Internet信息服务WWW日志默认位置:c:\systemroot\system32\logfiles\w3svc1\。Scheler服务器日志默认位置:c:\systemroot\schedlgu.txt。该日志记录了访问者的IP,访问的时间及请求访问的内容。因Windows2000延续了NT的日志文件,并在其基础上又增加了FTP和WWW日志,故本节对FTP日志和WWW日志作一个简单的讲述。FTP日志以文本形式的文件详细地记录了以FTP方式上传文件的文件、来源、文件名等等。不过由于该日志太明显,所以高级黑客们根本不会用这种方法来传文件,取而代之的是使用RCP。FTP日志文件和WWW日志文件产生的日志一般在c:\systemroot\system32\LogFiles\W3SVC1目录下,默认是每天一个日志文件,FTP和WWW日志可以删除,但是FTP日志所记录的一切还是会在系统日志和安全日志里记录下来,如果用户需要尝试删除这些文件,通过一些并不算太复杂的方法,例如首先停止某些服务,然后就可以将该日志文件删除。具体方法本节略。Windows2000中提供了一个叫做安全日志分析器(CyberSafeLogAnalyst,CLA)的工具,有很强的日志管理功能,它可以使用户不必在让人眼花缭乱的日志中慢慢寻找某条记录,而是通过分类的方式将各种事件整理好,让用户能迅速找到所需要的条目。它的另一个突出特点是能够对整个网络环境中多个系统的各种活动同时进行分析,避免了一个个单独去分析的麻烦。4.WindowsXP日志文件说WindowsXP的日志文件,就要先说说Internet连接防火墙(ICF)的日志,ICF的日志可以分为两类:一类是ICF审核通过的IP数据包,而一类是ICF抛弃的IP数据包。日志一般存于Windows目录之下,文件名是pfirewall.log。其文件格式符合W3C扩展日志文件格式(W3CExtendedLogFileFormat),分为两部分,分别是文件头(HeadInformation)和文件主体(BodyInformation)。文件头主要是关于Pfirewall.log这个文件的说明,需要注意的主要是文件主体部分。文件主体部分记录有每一个成功通过ICF审核或者被ICF所抛弃的IP数据包的信息,包括源地址、目的地址、端口、时间、协议以及其他一些信息。理解这些信息需要较多的TCP/IP协议的知识。ICF生成安全日志时使用的格式是W3C扩展日志文件格式,这与在常用日志分析工具中使用的格式类似。当我们在WindowsXP的“控制面板”中,打开事件查看器,如图7-2所示。就可以看到WindowsXP中同样也有着系统日志、安全日志和应用日志三种常见的日志文件,当你单击其中任一文件时,就可以看见日志文件中的一些记录,如图7-3所示。图7-2图7-3在高级设备中,我们还可以进行一些日志的文件存放地址、大小限制及一些相关操作,如图7-4所示。图7-4若要启用对不成功的连接尝试的记录,请选中“记录丢弃的数据包”复选框,否则禁用。另外,我们还可以用金山网镖等工具软件将“安全日志”导出和被删除。5.日志分析当日志每天都忠实的为用户记录着系统所发生的一切的时候,用户同样也需要经常规范管理日志,但是庞大的日志记录却又令用户茫然失措,此时,我们就会需要使用工具对日志进行分析、汇总,日志分析可以帮助用户从日志记录中获取有用的信息,以便用户可以针对不同的情况采取必要的措施。7.2系统日志的删除因操作系统的不同,所以日志的删除方法也略有变化,本文从Windows98和Windows2000两种有明显区别的操作系统来讲述日志的删除。7.2.1Windows98下的日志删除在纯DOS下启动计算机,用一些常用的修改或删除命令就可以消除Windows98日志记录。当重新启动Windows98后,系统会检查日志文件的存在,如果发现日志文件不存在,系统将自动重建一个,但原有的日志文件将全部被消除。7.2.2Windows2000的日志删除Windows2000的日志可就比Windows98复杂得多了,我们知道,日志是由系统来管理、保护的,一般情况下是禁止删除或修改,而且它还与注册表密切相关。在Windows2000中删除日志首先要取得系统管理员权限,因为安全日志和系统日志必须由系统管理员方可查看,然后才可以删除它们。我们将针对应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志的删除做一个简单的讲解。要删除日志文件,就必须停止系统对日志文件的保护功能。我们可以使用命令语句来删除除了安全日志和系统日志外的日志文件,但安全日志就必须要使用系统中的“事件查看器”来控制它,打开“控制面板”的“管理工具”中的“事件查看器”。在菜单的“操作”项有一个名为“连接到另一台计算机”的菜单,点击它如图7-5所示。图7-5输入远程计算机的IP,然后需要等待,选择远程计算机的安全性日志,点击属性里的“清除日志”按钮即可。7.3发现入侵踪迹如何当入侵者企图或已经进行系统的时候,及时有效的发现踪迹是目前防范入侵的热门话题之一。发现入侵踪迹的前题就是应该有一个入侵特征数据库,我们一般使用系统日志、防火墙、检查IP报头(IPheader)的来源地址、检测Email的安全性以及使用入侵检测系统(IDS)等来判断是否有入侵迹象。我们先来学习一下如何利用端口的常识来判断是否有入侵迹象:电脑在安装以后,如果不加以调整,其默认开放的端口号是139,如果不开放其它端口的话,黑客正常情况下是无法进入系统的。如果平常系统经常进行病毒检查的话,而突然间电脑上网的时候会感到有反应缓慢、鼠标不听使唤、蓝屏、系统死机及其它种种不正常的情况,我们就可以判断有黑客利用电子信件或其它方法在系统中植入的特洛伊木马。此时,我们就可以采取一些方法来清除它,具体方法在本书的相关章节可以查阅。7.3.1遭受入侵时的迹象入侵总是按照一定的步骤在进行,有经验的系统管理员完全可以通过观察到系统是否出现异常现象来判断入侵的程度。1.扫描迹象当系统收到连续、反复的端口连接请求时,就可能意味着入侵者正在使用端口扫描器对系统进行外部扫描。高级黑客们可能会用秘密扫描工具来躲避检测,但实际上有经验的系统管理员还是可以通过多种迹象来判断一切。2.利用攻击当入侵者使用各种程序对系统进行入侵时,系统可能报告出一些异常情况,并给出相关文件(IDS常用的处理方法),当入侵者入侵成功后,系统总会留下或多或少的破坏和非正常访问迹象,这时就应该发现系统可能已遭遇入侵。3.DoS或DDoS攻击迹象这是当前入侵者比较常用的攻击方法,所以当系统性能突然间发生严重下降或完全停止工作时,应该立即意识到,有可能系统正在遭受拒绝服务攻击,一般的迹象是CPU占用率接近90%以上,网络流量缓慢、系统出现蓝屏、频繁重新启动等。7.3.2合理使用系统日志做入侵检测系统日志的作用和重要性大家通过上几节的讲述,相信明白了不少,但是虽然系统自带的日志完全可以告诉我们系统发生的任何事情,然而,由于日志记录增加得太快了,最终使日志只能成为浪费大量磁盘空间的垃圾,所以日志并不是可以无限制的使用,合理、规范的进行日志管理是使用日志的一个好方法,有经验的系统管理员就会利用一些日志审核工具、过滤日志记录工具,解决这个问题。要最大程度的将日志文件利用起来,就必须先制定管理计划。1.指定日志做哪些记录工作?2.制定可以得到这些记录详细资料的触发器。7.3.3一个比较优秀的日志管理软件要想迅速的从繁多的日志文件记录中查找到入侵信息,就要使用一些专业的日志管理工具。SurfstatsLogAnalyzer4.6就是这么一款专业的日志管理工具。网络管理员通过它可以清楚的分析“log”文件,从中看出网站目前的状况,并可以从该软件的“报告”中,看出有多少人来过你的网站、从哪里来、在系统中大量地使用了哪些搜寻字眼,从而帮你准确地了解网站状况。这个软件最主要的功能有:1、整合了查阅及输出功能,并可以定期用屏幕、文件、FTP或E-mail的方式输出结果;2.可以提供30多种汇总的资料;3.能自动侦测文件格式,并支持多种通用的log文件格式,如MSIIS的W3Extendedlog格式;4.在“密码保护”的目录里,增加认证(Authenticated)使用者的分析报告;5.可按每小时、每星期、或每月的模式来分析;6.DNS资料库会储存解析(Resolved)的IP地址;7.每个分析的画面都可以设定不同的背景、字型、颜色。发现入侵踪迹的方法很多,如入侵检测系统IDS就可以很好的做到这点。下一节我们将讲解详细的讲解入侵检测系统。7.4做好系统入侵检测7.4.1什么是入侵检测系统在人们越来越多和网络亲密接触的同时,被动的防御已经不能保证系统的安全,针对日益繁多的网络入侵事件,我们需要在使用防火墙的基础上选用一种协助防火墙进行防患于未然的工具,这种工具要求能对潜在的入侵行为作出实时判断和记录,并能在一定程度上抗击网络入侵,扩展系统管理员的安全管理能力,保证系统的绝对安全性。使系统的防范功能大大增强,甚至在入侵行为已经被证实的情况下,能自动切断网络连接,保护主机的绝对安全。在这种情形下,入侵检测系统IDS(IntrusionDetectionSystem)应运而生了。入侵检测系统是基于多年对网络安全防范技术和黑客入侵技术的研究而开发的网络安全产品它能够实时监控网络传输,自动检测可疑行为,分析来自网络外部入侵信号和内部的非法活动,在系统受到危害前发出警告,对攻击作出实时的响应,并提供补救措施,最大程度地保障系统安全。NestWatch这是一款运行于WindowsNT的日志管理软件,它可以从服务器和防火墙中导入日志文件,并能以HTML的方式为系统管理员提供报告。7.4.2入侵检测系统和日志的差异系统本身自带的日志功能可以自动记录入侵者的入侵行为,但它不能完善地做好入侵迹象分析记录工作,而且不能准确地将正常的服务请求和恶意的入侵行为区分开。例如,当入侵者对主机进行CGI扫描时,系统安全日志能提供给系统管理员的分析数据少得可怜,几乎全无帮助,而且安全日志文件本身的日益庞大的特性,使系统管理员很难在短时间内利用工具找到一些攻击后所遗留下的痕迹。入侵检测系统就充分的将这一点做的很好,利用入侵检测系统提供的报告数据,系统管理员将十分轻松的知晓入侵者的某些入侵企图,并能及时做好防范措施。7.4.3入侵检测系统的分类目前入侵检测系统根据功能方面,可以分为四类:1.系统完整性校验系统(SIV)SIV可以自动判断系统是否有被黑客入侵迹象,并能检查是否被系统入侵者更改了系统文件,以及是否留有后门(黑客们为了下一次光顾主机留下的),监视针对系统的活动(用户的命令、登录/退出过程,使用的数据等等),这类软件一般由系统管理员控制。2.网络入侵检测系统(NIDS)NIDS可以实时的对网络的数据包进行检测,及时发现端口是否有黑客扫描的迹象。监视计算机网络上发生的事件,然后对其进行安全分析,以此来判断入侵企图;分布式IDS通过分布于各个节点的传感器或者代理对整个网络和主机环境进行监视,中心监视平台收集来自各个节点的信息监视这个网络流动的数据和入侵企图。3.日志分析系统(LFM)日志分析系统对于系统管理员进行系统安全防范来说,非常重要,因为日志记录了系统每天发生的各种各样的事情,用户可以通过日志记录来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志分析系统的主要功能有:审计和监测、追踪侵入者等。日志文件也会因大量的记录而导致系统管理员用一些专业的工具对日志或者报警文件进行分析。此时,日志分析系统就可以起作用了,它帮助系统管理员从日志中获取有用的信息,使管理员可以针对攻击威胁采取必要措施。4.欺骗系统(DS)普通的系统管理员日常只会对入侵者的攻击作出预测和识别,而不能进行反击。但是欺骗系统(DS)可以帮助系统管理员做好反击的铺垫工作,欺骗系统(DS)通过模拟一些系统漏洞来欺骗入侵者,当系统管理员通过一些方法获得黑客企图入侵的迹象后,利用欺骗系统可以获得很好的效果。例如重命名NT上的administrator账号,然后设立一个没有权限的虚假账号让黑客来攻击,在入侵者感觉到上当的时候,管理员也就知晓了入侵者的一举一动和他的水平高低。7.4.4入侵检测系统的检测步骤入侵检测系统一般使用基于特征码的检测方法和异常检测方法,在判断系统是否被入侵前,入侵检测系统首先需要进行一些信息的收集。信息的收集往往会从各个方面进行。例如对网络或主机上安全漏洞进行扫描,查找非授权使用网络或主机系统的企图,并从几个方面来判断是否有入侵行为发生。检测系统接着会检查网络日志文件,因为黑客非常容易在会在日志文件中留下蛛丝马迹,因此网络日志文件信息是常常作为系统管理员检测是否有入侵行为的主要方法。取得系统管理权后,黑客们最喜欢做的事,就是破坏或修改系统文件,此时系统完整性校验系统(SIV)就会迅速检查系统是否有异常的改动迹象,从而判断入侵行为的恶劣程度。将系统运行情况与常见的入侵程序造成的后果数据进行比较,从而发现是否被入侵。例如:系统遭受DDoS分布式攻击后,系统会在短时间内性能严重下降,检测系统此时就可以判断已经被入侵。入侵检测系统还可以使用一些系统命令来检查、搜索系统本身是否被攻击。当收集到足够的信息时,入侵检测系统就会自动与本身数据库中设定的已知入侵方式和相关参数匹配,检测准确率相当的高,让用户感到不方便的是,需要不断的升级数据库。否则,无法跟上网络时代入侵工具的步伐。入侵检测的实时保护功能很强,作为一种“主动防范”的检测技术,检测系统能迅速提供对系统攻击、网络攻击和用户误操作的实时保护,在预测到入侵企图时本身进行拦截和提醒管理员预防。7.4.5发现系统被入侵后的步骤1.仔细寻找入侵者是如何进入系统的,设法堵住这个安全漏洞。2.检查所有的系统目录和文件是否被篡改过,尽快修复。3.改变系统中的部分密码,防止再次因密码被暴力破解而生产的漏洞。7.4.6常用入侵检测工具介绍1.NetProwler作为世界级的互联网安全技术厂商,赛门铁克公司的产品涉及到网络安全的方方面面,特别是在安全漏洞检测、入侵检测、互联网内容/电子邮件过滤、远程管理技术和安全服务方面,赛门铁克的先进技术的确让人惊叹!NetProwler就是一款赛门铁克基于网络入侵检测开发出的工具软件,NetProwler采用先进的拥有专利权的动态信号状态检测(SDSI)技术,使用户能够设计独特的攻击定义。即使最复杂的攻击也可以由它直观的攻击定义界面产生。(1)NetProwler的体系结构NetProwler具有多层体系结构,由Agent、Console和Manager三部分组成。Agent负责监视所在网段的网络数据包。将检测到的攻击及其所有相关数据发送给管理器,安装时应与企业的网络结构和安全策略相结合。Console负责从代理处收集信息,显示所受攻击信息,使你能够配置和管理隶属于某个管理器的代理。Manager对配置和攻击警告信息响应,执行控制台发布的命令,将代理发出的攻击警告传递给控制台。当NetProwler发现攻击时,立即会把攻击事件记入日志并中断网络连接、创建一个报告,用文件或E-mail通知系统管理员,最后将事件通知主机入侵检测管理器和控制台。(2)NetProwler的检测技术NetProwler采用具有专利技术的SDSI(状态化的动态特征检测)入侵检测技术。在这种设计中,每个攻击特征都是一组指令集,这些指令是由SDSI虚处理器通过使用一个高速缓存入口来描述目前用户状态和当前从网络上收到数据包的法执行。每一个被监测的网络服务器都有一个小的相关攻击特征集,这些攻击特征集都是基于服务器的操作和服务器所支持的应用而建立的。Stateful根据监视的网络传输内容,进行上下文比较,能够对复杂事件进行有效的分析和记录基于SDSI技术的NetProwler工作过程如下:第一步:SDSI虚拟处理器从网络数据中获取当今的数据包;第二步:把获取的数据包放入属于当前用户或应用会话的状态缓冲中;第三步:从特别为优化服务器性能的特征缓冲中执行攻击特征;第四步:当检测到某种攻击时,处理器立即触发响应模块,以执行相应的响应措施。(3)NetProwler工作模式因为是网络型IDS,所以NetProwler根据不同的网络结构,其数据采集部分(即代理)有多种不同的连接形式:如果网段用总线式的集线器相连,则可将其简单的接在集线器的一个端口上即可。(4)系统安装要求用户将NetProwlerAgent安装在一台专门的WindowsNT工作站上,如果NetProwler和其他应用程序运行在同一台主机上,则两个程序的性能都将受到严重影响。网络入侵检测系统占用大量的资源,因此制造商一般推荐使用专门的系统运行驱动引擎,要求它有128MRAM和主频为400MHz的IntelPentiumII或Pentium私密日志独立密码就是在你写的私密日志里又加了一层密码,即便是主人想打开自己写的私密日志也需要密码,打上密码就可以打开自己的私密日志了,如果想要关闭的话,在私密日志的上方会有,如果你设置了私密日志密码,就点“关闭私密日志独立密码”就可以了,以后你再打开私密日志的话就不需要密码了。
‘捌’ asp搜索引擎参数传递问题,请高手帮忙解决。搜索不了,请高手指点。。
网站做好了,怎样才能让你的网站在各大搜索引擎中排名靠前呢?网上的帖子很多,通过搜索和总结,整理出了一套自己行之有效的方法,写出来供大家参考
成功案例推荐:
还在继续整理中,而且我们的网站也在不断优化中.........
1、 网站建好后首先到各大搜索引擎免费登录你的网站
2、 下载一个spider模拟器, 来查看你网页被SE检测到的信息, 可以在这个网址查看你页面被搜索引擎收集到的信息: , 根据这些信息, 修改页面, 去掉无用信息, 增加你认为有用的信息。
3、 尽量不要把整个页面都用Flash或者图片来实现, 这样SE无法找到页面的有用信息.
4、 用标准代码设计网页,一个页面最主要有2个部分需要关注, 一个是<head></head>, 另外一个是<boy></body>, 至少这2部分应该设计好了, SE喜欢从左到右,自上而下搜索信息, 它认为页面上面的信息更重要, 所以尽量把你要突出的信息放在页面的上面
5、 <title>标志:
title标志作为页面的重要信息, SE非常看重, 应该把本页面要突出的信息精简到20个字以内作为title的值. 但不要用与页面无关的关键字作为title值, 否则会被SE惩罚.
6、<Meta>标志:
每页都加上关键词比较好,但是不要堆砌关键词,堆砌关键词会被搜索引擎视为作弊,最好是有2、3百字的内容。在内容中有主要关键词,而关键词密度在2%到8%之间(这是目前几个月的最佳关键词密度,以后可能会变). 关键词要注意:Title和网页内容中含有关键词最重要、其次是Meta描述&Meta 关键词。然后网页内容中的<h></h>之间的标题中是否含有关键词也很重要。Meta最重要的是Description,而Meta Keywords现在大型的搜索引擎都不会在意,比如Google和Yahoo都不会根据Meta Keywords来进行网页排名。Description中关键词的原则同样是搜索量最大最相关的放在最前面,比如我们网站是做汽车保险报价的,原来我们网站的关键字是这样描述的
<meta content="平价车险,搜保,搜保网,低价车险,搜保车险网,车险,北京车险,车险报价,车险超市,搜保车险,汽车保险,车险网,华安车险,中保车险,中华联合车险,平安车险,太平洋车险,便宜车险,保险超市,在线投保"name="keywords">
,在中打入“保险”,你会发现“车险计算”这个关键词的搜索量是最高的,这个关键词不用,等于浪费,按照网络确定关键词搜索量的方法,排在最前面的关键词是:车险计算,平安车险,人保车险,北京车险,强制车险,中保车险,太平洋车险,车险论坛,车险知识,上海车险,车险理赔,车险种类,保得车险网,车险营销,武汉车险,天平车险,车险网,中国车险网,网上车险,所以我改成这样:
<meta content="车险计算和车险投保尽在搜保网。国内首家网上专业代理平安车险,人保车险,中保车险,太平洋车险。向消费者提供平价、快速、高品质的汽车保险销售服务。" name="DESCRIPTION">
<meta content="车险,车险计算,平安车险,人保车险,北京车险,强制车险,中保车险,太平洋车险,车险知识,车险理赔,车险种类,车险网,网上车险,车险报价,搜保网,车险报价,搜保车险,汽车保险,低价车险,搜保车险网,平价车险,便宜车险,在线投保" name="keywords">
一般可以把这段子写到一个title.lbi文件中,如
<title>搜保网-全国首家专业车险报价平台,为您提供精确快速的网上报价服务</title>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<meta content="车险,车险计算,平安车险,人保车险,北京车险,强制车险,中保车险,太平洋车险,车险知识,车险理赔,车险种类,车险网,网上车险,车险报价,搜保网,车险报价,搜保车险,汽车保险,低价车险,搜保车险网,平价车险,便宜车险,在线投保" name="keywords">
<meta content="车险计算和车险投保尽在搜保网。国内首家网上专业代理平安车险,人保车险,中保车险,太平洋车险。向消费者提供平价、快速、高品质的汽车保险销售服务。" name="DESCRIPTION">
然后嵌入到页面中,如
<HTML>
<HEAD>
<!--#include virtual="/Library/title.lbi" -->
</head>
<html>
7、我之所以把“车险报价”放在了后面,是因为你按照我的方法在网络中搜索会发现“车险报价”这个关键词根本没有什么人搜索,所以放在后面,没有人搜索就表示没有人流,关键词是别人的搜索习惯,不是俺们做网页的自己想出来的,所以首先要分析什么关键词别人用的最多
8、 javascript: SE一般对javascript不感冒, 尽量不要在页面的<head></head>间放置大量的javascript函数, 这样会使SE不知所措, 而且大部分SE在爬行你的页面时都有时间限制, 或者最大信息量限制, 在前面放置很多javascript代码会使SE运行缓慢, 降低对你的兴趣, 最主要还是这部分代码把你后面有用信息占用了,使得SE无法获取你页面有用的信息, 如果你实在要用javascript, 尽量把所有javascript代码放在一个js文件里, 然后在页面连接这个JS文件即可
9、 给所有<img>加上alt属性, 这个一个好的习惯, 尤其是指向一个连接的图片一定要加上要连接网址的关键信息, SE会对有连接指向的图片的ALT属性进行识别, 但对无连接的图片不作处理.
10、 <h1><h2>: SE对这样的信息很感兴趣, 而且会对其增加权重, 所以把最重要的信息用<h1></h1>标识出来, 把次重要的信息用<h2></h2>标识出来. 注意: 一个页面应该只有一个<h1></h1>, 可以有多个<h2></h2>, 否则会被SE认为是作弊的
11、 尽量不要用mouseovers, 最好在css里用hover来实现
12、 尽量不要套用多层次的<table>, SE一般最多只能读取3个<table>的嵌套, 如果多了, 它就懒得读下去了, 造成你的有用信息没有被检测到.
13、 <b><strong>: 这些标识也会被SE很好的注意到, 虽然权重不如<h1><h2>那么高, 可以灵活使用.
14、 一个页面的连接数量最多不要超过100个, google认为只有前100个是有用的
15、 对于搜索引擎来说,页面各个元素的权重比例。
内部连接: 10 分.
标题title: 10 分.
域名: 7 分.
<h1>和<h2>: 5 分.
页面第一个段落的开始部分: 5 分.
路径和文件名: 4 分.
相似关键词: 4 分.
每个句子的开始部分 1.5 分.
<b>和<strong>: 1 分.
内容: 1 分.
Title属性: 1 分. (注意不是<title>, 是title属性, 比如<a href=… title=””>)
alt 标志: 0.5 分.
<meta>的description属性: 0.5 分.
<meta>的 keywords属性: 0.05 分.
16、 尽量用HTML的格式, 如果的确要用数据库, 尽量减少参数的长度
17、 我的网站( )以前显示商品都是用一个aspx文件通过参数传递的, 结果这个aspx文件只能被SE收录1页, 而且排名根本找不到; 后来我把动态页面转换成了静态页面,用HTML格式显示, 每个商品一个HTML页面, 结果google收录增加了5000多页, 而且每个商品在google的排行基本都在第一页了, 一搜的也是. 最近来自一搜的访问量成倍增加. 一搜基本上只对HTML文件感兴趣, 对动态页面不太感冒.
可以写个基类,如
public class BasePage: System.Web.UI.Page
{
public BasePage()
{
}
protected override void Render(System.Web.UI.HtmlTextWriter writer)
{
string name=Request.Url.AbsolutePath.Substring(1,Request.Url.AbsolutePath.Length-1).Replace("aspx","htm");
string newurl="";
if(name.IndexOf("/")>0)
{
newurl=Server.MapPath("../") + name;
}
else
{
newurl=Server.MapPath("./") + name;
}
MemoryStream ms = new MemoryStream();
StreamWriter sww = new StreamWriter(ms);
StreamWriter swr = new StreamWriter(newurl);
System.Web.UI.HtmlTextWriter htmlw = new HtmlTextWriter(swr);
base.Render(htmlw);
htmlw.Flush();
htmlw.Close();
string strLL = System.Text.Encoding.UTF8.GetString(ms.ToArray());
Response.Write(strLL);
Response.Redirect(Request.Url.AbsoluteUri.Replace("aspx","htm"), true);
}
}
然后在需要生成静态页面的页面中继承就可以了
18、 反向连接:google非常重视反向连接, 可以通过以下方式来增加反向连接:
A: 友情连接, 最好找PR高的, 而且被SE收录很多页面, 排名靠前的连接, 千万不要和看起来PR很高, 但一眼就看出来是作弊的网站连接. 也不要和PR状态栏是灰色的连接, 这样的网站有可能是没有被收录, 也有可能是被惩罚了; 另外, 连接的时候也不一定非要连接你的首页, 也可以多连接些你的其他重要的页面, 比如网站的站点地图等页面, 首页外部连接不要太多,不超过40个. 20个以内最好.
B: 登陆网址站, 象dmoz, yahoo等目录要使出浑身解数来登陆, 但不要隔两天就登陆一次, 其他的网址站登陆越多越好, 至于如果找网址站, 你可以看看你的竞争对手在google里的反向连接, 在google输入 “link:****.com”, 就可以看到对方网站的反向连接, 你可以挨个进入搜索的结果, 在每个页面里也申请你的连接, 可以方便的找到很多连接网址站.
C: 留言板留言: 类似网址站登陆, 但写法一定要科学, 否则就没有意义了, 一般我是这样写的:
<a href=….>网站名</a>
网站名
网站名 申请和贵站友情连接
D: Blog博客
现在博客也在中国兴起了, 完全可以充分利用一下, 可以注册一个帐号,来宣传你的网站, 也可以直接发表评论, 评论内容基本和留言板的格式一样
E: 论坛宣传
这个我就不多说了, 反正不要让人一看就是广告就行了
19、 内部连接
很多人只看重外部连接, 岂不知道内部连接也相当重要, 我的基本思路是, 所有页面都包含主页和其他重要页面的连接, 和本页相关的页面也加上连接, 最终让你所有的页面都能够互连.
20、 域名和文件名
SE看重域名和页面文件名, 但多情况下, 域名已经不想改了, 只好修改文件名了, 尽量让你的文件名包含页面关键字的英文名称
21、 不要用作弊的手段来欺骗SE, 即使成功一时, 也不会成功永久, 到时候肯定会被惩罚. 所谓善恶到头终有报, 只挣来早与来迟.况且, 合法优化网站也完全可以达到这个效果
22、 网站速度的影响,网站速度对SE的排名也很有影响, 访问速度慢, 会让SE爬行你页面的时候失去耐性, 从而减少你页面的信息量, 让你的排名靠后, 如果你的服务器非常慢, 就应该考虑重新换应该快点的服务器了
23、 经常更新你的重要页面, 哪怕只是更换应该图片也好, 这样会让SE了解到你的网站更新很快, 有生命力, 对你的重视程度会增加, 排名当然也会提高的. 我网站基本2天google更新一
24、 用Blogger.com做一个甚至几个个人博客,博客中首页几篇文章中含有搜保网的链接。将这个博客的RSS提交到Yahoo和各个rss登录站点,因为rss会每天搜索你的网站,一旦rss被别的网站引用,就等于别人免费的间接的加入了你的搜保的网站,而你根本不需要交换链接,这种链接比交换链接更有效
可以从以下网站中登录
25、 在大型的汽车网站上要求买一个广告位,买之前先看看PR值,这种地方往往PR在3、4左右的1000到2000元以下就可以搞定(看你的图片大小),有的甚至100到200元就可以搞定。在这种PR4以上的网站上放广告3个月以上,你的网站至少会有PR为3。这时候人流自然就会滚滚来。
26、 我用的最多的还有一个方法是写文章。比如我要做汽车保险,我会找到排名靠前的人气网站,或者个人网站,我不会说要交换链接,我会说我有一篇我自己写的专业文章,和你的网页内容很相关,我愿意免费放在你的网站上,你只需要允许我的文章中保留我的出处就行,而这个出处就是我的真正要赚钱的商业网站链接,这个方法如果你的文章真的写的很好,有三分之一的站长会同意。而这些网站都是我研究过PR很高,或者人气很旺的网站,所以在这些网站上一旦发表了你的文章,你的网站PR自然会提高,而且人气会上来,这个文章一定要原创并且题材吸引人。我的经验是吸引人的题材90%都是“我是如何解决......?"之类的文章
以下来自笨狼的补充
Google 排名有利因素(一)
关键词:
1.url中的关键词(第一和第二个字是最有价值的......)
2.域名中的关键词(英文网站的优势)
(Head部分)
3.Title tag中的关键词(10-50个字符,不包含特殊字符)
4.Description tag中的关键词(小于200个字符,这个参数现在Google已不再把它作为重要参数,但仍经常使用)
5.Keywords tag中的关键词(小于10个字,单个关键词必须在页面Body部分出现2次以上才有效,否则可能会被评估为Spam而受到处罚,Google官方曾说明说不再依据此参数评价,但其实仍在使用)
(Body部分)
6.关键词在Body文字部分的密度(5 - 20% - (all keywords/ total words))
7.单个关键词密度(1 - 6% - (each keyword/ total words))
8.在H1、H2、H3中的关键词(使用H1、H2、H3字体)
9.关键词字体尺寸(使用黑体、粗体、斜体......)
10.关键词接近度(2个关键词之间邻近的是最佳)
11.关键词短语顺序
(其他部分)
12.关键词在Alt文字中(图形中的Alt属性)
13.关键词在外部站点链接中(锚文本)
导航-内部链接部分:
14.内部页面的关键词(链接页面应该包含关键词)
15.所有内部链接必须是有效的
16.结构树(任何页面不超过4层深度链接)
17.低级页面之间适当的链接
导航-外部链接部分:
18.外部页面的关键词(Google的专利 链接须指向优秀站点,不要链接frame)
19.外部链接的锚文本(Google的专利 应该在此上展开主题和叙述)
20.链接稳定性(Google的专利 避免链接随时变换)
21.所有外部链接是有效的
22.少于100个外部链接(Google官方称限制100个,实际容许2-3次2000个)
Google排名有利因素(二)
页面上的其他因素:
24.域名等级(.e是最高等级,其次是.org,而.com由于包含很多spam信息,所以会受到Google的严格审查)
25.文件尺寸(页面尺寸绝对不要超过100K,小于40K的为最佳)
26.URL中的连字符(1个或2个是最佳的,4个以上将被认为是spam,10个很可能被降级)
27.页面更新率(Google专利 对于新闻、零售、拍卖等站点更新越快越好)
28.页面数量的更新率(Google专利 老页面与新页面的比值)
29.链接的的更新率(Google专利 尚未能分析)
30.更新频率(更新频率=蜘蛛的抓取频率)
31.页面主题
32.关键词衍生.....
33.语义关联(同义词等...)
34.潜在的语义索引
35.URL长度(尽可能的小,在IE中只允许2000个字符以内,最好控制在100字符以内)
36.站点大小(Google认为站点越大说明更大的资金支持、更好的组织、更好的架构,因此它会是好的站点)
37.站点年龄(Google专利 越老越好)
38.页面的年龄与站点上其他页面的年龄
Google排名不利因素(三)
39.在图像的form中有文字描述,但Body中没真正的文字描述;
40.镜像站点
41.过度优化
42.链接一个坏站点(不要链接frame....,定期检查每个外部链接站点在Google的状态)
43.重定向或刷新metatags(除非用户点击,否则不要自动跳转页面)
44.不要使用一些不文明的词汇
45.毒药单词
46.过多的横向链接(在你的WEB服务器中有多个站点,它们的横向链接会被视为无效的投票)
47.图片、文字的反盗链
48.关键词重复填充(降级处理)
49.关键词稀释(页面存在过多的非相关关键词,将会降低你真实内容的重要性)
50.页面内容编辑会降低一致性(Google专利 Google定期会对老的cache与新的cache进行比对,如果发现关键词、主题变化了,将会影响它的评价,这是Google针对SEO的有效工具)
51.内容改变频率(Google专利 过于频繁是不利的)
52.锚文本更新率(Google专利 过于频繁是不利的)
53.动态页面(这是搜索引擎的缺陷,可采用缩短URL,减少变量等办法,最好不要使用动态页面)
54.过多的JS代码(不要使用重定向和隐藏链接功能)
55.Flash页面(搜索引擎的蜘蛛是不能抓取flash内容的,如果要用flash页面,须同时有一个静态入口页面)
56.使用frame
57.Robot中设置了“no index”的tag
58.单个像素的链接(会被认为是一个鬼祟的链接)
59.不可见的文字(文字与背景色相同,页面上不可见,但能被蜘蛛检索到)
60.门页(Google专利 )
61.内容重复(Google通常选一个最老的推送到前面,把其他的推送下去)
62.HTML代码需符合W3C标准
Google排名有利因素(非页面) (四)
反向链接:
63.PR(基于指向站点的链接数量和质量)
64.总的反向链接数(link: Google | linkdomain: Yahoo....)
65.反向链接页面PR>4
66.链接流行度(Google专利 推进太快会被认为是作弊)
每个反向链接:
67.每个涉及页面的PR
68.链接到你站点的锚文本(Google炸弹)
69.链接时间(Google专利 越久越好)
70.锚文本改变频率(Google专利 频率越高越不好)
71.涉及页面的流行度
72.涉及页面的外部链接数(越少越好,证明你的重要性)
73.涉及页面链接的位置(在HTML代码中最好)
74.涉及页面的关键词密度(针对搜索关键词)
75.涉及页面的title
76.链接来自"行家"网站(Google专利 极大的推进)
77.涉及页面主题相同
目录:
78.被DMOZ收录(巨大推进,因为Google的目录是从DMOZ获取的,一般要28个月才可能被收录)
79.DMOZ分类(据说综合类和地理类主题最适合收录)
80在Yahoo目录中收录(巨大推进,但需要每年支付299美金)
81.在LookSmart中收录
82.被inktomi收录
83.被其他目录类网站收录
84.特大站点的引入链接
85.站点历史悠久表明越稳定(对新的内容至少可以产生1-3周的推动)
86.站点目录树
87.站点地图(关键词在锚文本中体现)
用户行为:
88.页面流量(Google专利 visters数量及趋势)
89.页面选择率(Google专利 经常被点击的页面数量)
90.在页面上花费的时间(Google专利 相对长的时间表示对内容的认可)
91.用户是否将此页面加入书签(Google专利 )
92.用户删除此书签(Google专利 )
93.用户离开后去了哪儿(返回?点击链接?....)
94.用户使用的关键词
95.在此域名上花费的时间
网站主行为:
96.域名注册时间 (5年以上是一个有价值的)
97.是否加入合法联盟(拒绝spam,版权保护等)
Google排名不利因素(非页面)(五)
98.流量购买(这些流量产生低的转化率,甚至是0转化率,被认为是来自坏的外部链接)
99.链接分析(老的链接有价值,新的链接暂时没价值,用来阻止快速更改)
100.零外部链接
101.购买链接(Google专利)
102.站点排名优先(Google专利)
103.隐藏(给Google蜘蛛读取的是一个特定的页面,真正显示的是另外的页面)
104.来自坏站点的链接
105.域名偷窃(非法行为,将会被剔除)
106.如果同一IP向Google发送100次同一请求,可能将会被BAN这个IP
107.服务器可靠性>99.9%(注意你的Google更新时间,尽量不在此时间维护)
108.页面被剔除来自大的站点
109.排名处理由于竞争对手的侵害
另外,虚机团上产品团购,超级便宜