IDC運(yùn)維總結(jié)之遠(yuǎn)程連接

IDC運(yùn)維總結(jié)之遠(yuǎn)程連接

問：遠(yuǎn)程連接不上原因何為?或遠(yuǎn)程連接時(shí)斷時(shí)續(xù)，究竟因從何處？（通過遠(yuǎn)程桌面連接

程序訪問時(shí)卻出現(xiàn)了“中斷遠(yuǎn)程桌面連接，遠(yuǎn)程計(jì)算機(jī)已結(jié)束連接”的提示）

答：其實(shí)，遠(yuǎn)程一旦中斷，首先要確保網(wǎng)線有無問題，交換機(jī)端口是否有問題，其次在

說別的原因。第一、遠(yuǎn)程連接不上首當(dāng)其沖要檢查網(wǎng)絡(luò)的穩(wěn)定性（這其中包括客戶端方和服務(wù)器方的網(wǎng)絡(luò)訪問情況及其穩(wěn)定性）并查看是否有攻擊或受到了攻擊的影響；

第二、保證服務(wù)器的質(zhì)量問題，即服務(wù)器的老化時(shí)間；再者，查看服務(wù)器是否是已長(zhǎng)時(shí)間訪問或運(yùn)行，或者服務(wù)器有無死機(jī)、宕機(jī)，溫度是否過高（重啟即可）保證服務(wù)器的正常運(yùn)行第三、客戶在遠(yuǎn)程服務(wù)器時(shí)做了一些不當(dāng)操作（比如使用360軟件進(jìn)行開機(jī)加速一鍵優(yōu)化時(shí)關(guān)閉了遠(yuǎn)程連接；擅自修改遠(yuǎn)程端口；開啟防火墻卻未做一些相關(guān)設(shè)置等）解決辦法①開啟遠(yuǎn)程連接：【我的電腦】右擊“屬性”選項(xiàng)“遠(yuǎn)程”勾選項(xiàng)

確定（檢查是否已設(shè)管理員或遠(yuǎn)程用戶的密碼）

問題補(bǔ)充：可以連接到該計(jì)算機(jī)，但是馬上中斷。懷疑是否在遠(yuǎn)程桌面登錄時(shí)是默認(rèn)使用當(dāng)前帳戶的，所以將自己的計(jì)算機(jī)帳戶和密碼設(shè)置為和遠(yuǎn)程那臺(tái)計(jì)算機(jī)一致，誰知道問題依舊�？磥砉收蠎�(yīng)該是該計(jì)算機(jī)遠(yuǎn)程桌面服務(wù)本身的設(shè)置問題。解決辦法：第一步、通過“開始->運(yùn)行->輸入regedit”，打開注冊(cè)表編輯器。第二步、找到鍵值，在左側(cè)的RDPDR上點(diǎn)鼠標(biāo)右鍵，選擇“權(quán)限”。

第三步、在彈出的對(duì)RDPDR設(shè)置權(quán)限窗口后，將everyone組添加到完全控制權(quán)限，如果你只想讓某個(gè)特定的用戶遠(yuǎn)程管理該計(jì)算機(jī)的話，將該帳戶添加到權(quán)限設(shè)置窗口中即可，記住一定要給予“完全控制”權(quán)限。

第四步、接下來將如下內(nèi)容復(fù)制到一個(gè)記事本txt文件中，并保存成后綴為.reg的文件。WindowsRegistryEditorVersion5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\RDPDR\\0000]"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}""Class"="System"

"HardwareID"=hex(7):52,00,4f,00,4f,00,54,00,5c,00,52,00,44,00,50,00,44,00,52,\\00,00,00,00,00

"Driver"="{4D36E97D-E325-11CE-BFC1-08002BE10318}\\\\0030""Mfg"="(標(biāo)準(zhǔn)系統(tǒng)設(shè)備)""Service"="rdpdr"

"DeviceDesc"="終端服務(wù)器設(shè)備重定向器""ConfigFlags"=dword:00000000"Capabilities"=dword:00000000

第五步、接下來我們雙擊運(yùn)行保存后的注冊(cè)表文件，當(dāng)出現(xiàn)“注冊(cè)表導(dǎo)入成功”的提示后說明我們操作正確。第六步、再通過“開始->運(yùn)行->輸入services.msc”，打開服務(wù)管理窗口，找到名為“RemoteDesktopHelpSessionManager”和“Telnet”的服務(wù)并將服務(wù)開啟。第七步、重新啟動(dòng)計(jì)算機(jī)后再通過遠(yuǎn)程桌面連接程序訪問此臺(tái)計(jì)算機(jī)就不會(huì)再出現(xiàn)任何問題了，程序自動(dòng)進(jìn)入輸入管理員帳號(hào)和密碼的步驟。

至此我們通過啟動(dòng)服務(wù)和導(dǎo)入注冊(cè)表，以及修改注冊(cè)表鍵值使用權(quán)限三個(gè)步驟完成了解決一連接遠(yuǎn)程桌面程序就中斷的故障，我們又可以輕松正常的使用遠(yuǎn)程管理程序操縱網(wǎng)絡(luò)另一端的計(jì)算機(jī)了。

②注冊(cè)表修改遠(yuǎn)程端口（如有必要的話以防攻擊）首先，開始運(yùn)行輸入“regedit”，打開本地工作站的注冊(cè)表編輯界面，找到項(xiàng),在右側(cè)找到并雙擊即可修改；其次，同樣找到項(xiàng)，在右側(cè)找到并雙擊即可修改（兩次修改要完全一致）；此時(shí)，修改后的遠(yuǎn)程端口就可以用了（如果連接不上，就在運(yùn)行中輸入“gpupdate”刷新策略，并重啟服務(wù)器）；另外，如果安裝了防火墻，在更改了遠(yuǎn)程登陸的端口請(qǐng)記得在系防火墻上打開這個(gè)例外端口

③網(wǎng)絡(luò)連接里打開遠(yuǎn)程端口【網(wǎng)上鄰居】右擊“屬性”找到【本地連接】右擊“屬性”屬性在右下角找到“高級(jí)”單機(jī)“選項(xiàng)選擇“屬性”勾選，并選擇“全部允許”（也可

以只允許幾個(gè)個(gè)別的端口）

若開啟了防火墻，則在中選擇的“例外”，勾選項(xiàng)，或選擇自定義一條策略，將自己新修改的遠(yuǎn)程端口加上以上所講述的只是適用于Windows系統(tǒng)的，下面是有關(guān)Linux修改遠(yuǎn)程SSH的端口號(hào)的linux修改端口

首先，修改配置文件：vi/etc/ssh/sshd_config找到#Port22一段，這里是標(biāo)識(shí)默認(rèn)使用22端口，修改為如下：Port22Port50000

然后保存退出，執(zhí)行/etc/init.d/sshdrestart，這樣SSH端口將同時(shí)工作與22和50000上。然后，編輯防火墻配置：vi/etc/sysconfig/iptables啟用50000端口。

執(zhí)行/etc/init.d/iptablesrestart，現(xiàn)在請(qǐng)使用ssh工具連接50000端口，來測(cè)試是否成功。如果連接成功了，則再次編輯sshd_config的設(shè)置，將里邊的Port22刪除，即可

擴(kuò)展閱讀：IDC運(yùn)維總結(jié)

IDC運(yùn)維總結(jié)

作者：企鵝（編注）

IDC運(yùn)維總結(jié)第-2-頁

目錄

一、遠(yuǎn)程連接3二、網(wǎng)頁打不開7三、機(jī)房攻擊11

附錄17

附錄一：IP攻擊方式一18附錄二：IP攻擊方式二20附錄三：通州機(jī)房網(wǎng)絡(luò)故障記錄一26附錄四：通州機(jī)房網(wǎng)絡(luò)故障記錄二30

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-3-頁

一、遠(yuǎn)程連接

問：遠(yuǎn)程連接不上原因何為?或遠(yuǎn)程連接時(shí)斷時(shí)續(xù)，究竟因從何處？（通過遠(yuǎn)程桌面連接程序訪問時(shí)卻出現(xiàn)了“中斷遠(yuǎn)程桌面連接，遠(yuǎn)程計(jì)算機(jī)已結(jié)束連接”的提示）

答：其實(shí)，遠(yuǎn)程一旦中斷，首先要確保網(wǎng)線有無問題，交換機(jī)端口是否有問題，其次在說別的原因。

第一、遠(yuǎn)程連接不上首當(dāng)其沖要檢查網(wǎng)絡(luò)的穩(wěn)定性（這其中包括客戶端方和服務(wù)器方的網(wǎng)絡(luò)訪問情況及其穩(wěn)定性）并查看是否有攻擊或受到了攻擊的影響；

第二、保證服務(wù)器的質(zhì)量問題，即服務(wù)器的老化時(shí)間；再者，查看服務(wù)器是否是已長(zhǎng)時(shí)間訪問或運(yùn)行，或者服務(wù)器有無死機(jī)、宕機(jī)，溫度是否過高（重啟即可），保證服務(wù)器的正常運(yùn)行

第三、客戶在遠(yuǎn)程服務(wù)器時(shí)做了一些不當(dāng)操作（比如使用360軟件進(jìn)行開機(jī)加速一鍵優(yōu)化時(shí)關(guān)閉了遠(yuǎn)程連接；擅自修改遠(yuǎn)程端口；開啟防火墻卻未做一些相關(guān)設(shè)置等）

解決辦法①開啟遠(yuǎn)程連接：【我的電腦】右擊“屬性”選項(xiàng)“遠(yuǎn)程”勾選項(xiàng)用戶的密碼）

問題補(bǔ)充：可以連接到該計(jì)算機(jī)，但是馬上中斷。懷疑是否在遠(yuǎn)程桌面登錄時(shí)是默認(rèn)使用當(dāng)前帳戶的，所以將自己的計(jì)算機(jī)帳戶和密碼設(shè)置為和遠(yuǎn)程那臺(tái)計(jì)算機(jī)一致，誰知道問題依舊�？磥砉收蠎�(yīng)該是該計(jì)算機(jī)遠(yuǎn)程桌面服務(wù)本身的設(shè)置問題。

解決辦法：第一步、通過“開始->運(yùn)行->輸入regedit”，打開注冊(cè)表編

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-63701600

確定（檢查是否已設(shè)管理員或遠(yuǎn)程IDC運(yùn)維總結(jié)第-4-頁

輯器。

第二步、找到

左側(cè)的RDPDR上點(diǎn)鼠標(biāo)右鍵，選擇“權(quán)限”。

第三步、在彈出的對(duì)RDPDR設(shè)置權(quán)限窗口后，將everyone組添加到完全控制權(quán)限，如果你只想讓某個(gè)特定的用戶遠(yuǎn)程管理該計(jì)算機(jī)的話，將該帳戶添加到權(quán)限設(shè)置窗口中即可，記住一定要給予“完全控制”權(quán)限。

第四步、接下來將如下內(nèi)容復(fù)制到一個(gè)記事本txt文件中，并保存成后綴為.reg的文件。

WindowsRegistryEditorVersion5.00

[HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\RDPDR\\0000]"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}""Class"="System"

"HardwareID"=hex(7):52,00,4f,00,4f,00,54,00,5c,00,52,00,44,00,50,00,44,00,52,\\

00,00,00,00,00

"Driver"="{4D36E97D-E325-11CE-BFC1-08002BE10318}\\\\0030""Mfg"="(標(biāo)準(zhǔn)系統(tǒng)設(shè)備)""Service"="rdpdr"

"DeviceDesc"="終端服務(wù)器設(shè)備重定向器""ConfigFlags"=dword:00000000"Capabilities"=dword:00000000

第五步、接下來我們雙擊運(yùn)行保存后的注冊(cè)表文件，當(dāng)出現(xiàn)“注冊(cè)表導(dǎo)入成功”的提示后說明我們操作正確。

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-63701600

鍵值，在IDC運(yùn)維總結(jié)第-5-頁

第六步、再通過“開始->運(yùn)行->輸入services.msc”，打開服務(wù)管理窗口，找到名為“RemoteDesktopHelpSessionManager”和“Telnet”的服務(wù)并將服務(wù)開啟。

第七步、重新啟動(dòng)計(jì)算機(jī)后再通過遠(yuǎn)程桌面連接程序訪問此臺(tái)計(jì)算機(jī)就不會(huì)再出現(xiàn)任何問題了，程序自動(dòng)進(jìn)入輸入管理員帳號(hào)和密碼的步驟。

至此我們通過啟動(dòng)服務(wù)和導(dǎo)入注冊(cè)表，以及修改注冊(cè)表鍵值使用權(quán)限三個(gè)步驟完成了解決一連接遠(yuǎn)程桌面程序就中斷的故障，我們又可以輕松正常的使用遠(yuǎn)程管理程序操縱網(wǎng)絡(luò)另一端的計(jì)算機(jī)了。

②注冊(cè)表修改遠(yuǎn)程端口（如有必要的話以防攻擊）

首先，開始運(yùn)行輸入“regedit”，打開本地工作站的注冊(cè)表編輯界面，找到項(xiàng)在右側(cè)找到項(xiàng)，在右側(cè)找到

并雙擊即可修改；其次，同樣找到

并雙擊即可修改（兩次修改要完全一致）；此時(shí)，修

,

改后的遠(yuǎn)程端口就可以用了（如果連接不上，就在運(yùn)行中輸入“gpupdate”刷新策略，并重啟服務(wù)器）；另外，如果安裝了防火墻，在更改了遠(yuǎn)程登陸的端口請(qǐng)記得在系防火墻上打開這個(gè)例外端口

③網(wǎng)絡(luò)連接里打開遠(yuǎn)程端口

【網(wǎng)上鄰居】右擊“屬性”找到【本地連接】右擊“屬性”屬性右下角“高級(jí)”單機(jī)“選項(xiàng)”，選擇

“屬性”勾選“

，”，

并選擇“全部允許”（也可以只允許幾個(gè)個(gè)別的端口）

若開啟了防火墻，則在勾選

項(xiàng)，或選擇

中選擇

的“例外”，

自定義一條策略，將自己新修改的遠(yuǎn)程端口

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-6-頁

加上。

以上所講述的只是適用于Windows系統(tǒng)的，下面是有關(guān)Linux修改遠(yuǎn)程SSH的端口號(hào)的

linux修改端口

首先，修改配置文件：vi/etc/ssh/sshd_config找到#Port22一段，這里是標(biāo)識(shí)默認(rèn)使用22端口，修改為如下：

Port22Port50000

然后保存退出，執(zhí)行/etc/init.d/sshdrestart，這樣SSH端口將同時(shí)工作與22和50000上。

然后，編輯防火墻配置：vi/etc/sysconfig/iptables啟用50000端口。執(zhí)行/etc/init.d/iptablesrestart，現(xiàn)在請(qǐng)使用ssh工具連接50000端口，來測(cè)試是否成功。如果連接成功了，則再次編輯sshd_config的設(shè)置，將里邊的Port22刪除，即可。

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-7-頁

二、網(wǎng)頁打不開

問：網(wǎng)頁打不開，瀏覽器打不開，怎么辦？

答：出現(xiàn)此類問題首先先看一下網(wǎng)絡(luò)是否正常、服務(wù)器是否正常運(yùn)行，

再言其他。倘若，網(wǎng)絡(luò)和服務(wù)器均正常，再看下面：

第一、網(wǎng)絡(luò)設(shè)置的問題

這種原因比較多出現(xiàn)在需要手動(dòng)指定IP、網(wǎng)關(guān)、DNS服務(wù)器聯(lián)網(wǎng)方式下，及使用代理服務(wù)器上網(wǎng)的（仔細(xì)檢查計(jì)算機(jī)的網(wǎng)絡(luò)設(shè)置）。

第二、DNS服務(wù)器的問題

當(dāng)IE無法瀏覽網(wǎng)頁時(shí)，可先嘗試用IP地址來訪問，如果可以訪問，那么應(yīng)該是DNS的問題，造成DNS的問題可能是連網(wǎng)時(shí)獲取DNS出錯(cuò)或DNS服務(wù)器本身問題，這時(shí)你可以手動(dòng)付—NS服務(wù)（地址可以是你當(dāng)?shù)豂SP提供的DNS服務(wù)器地址，也可以用其它地方可正常使用DNS服務(wù)器地址。）在網(wǎng)絡(luò)的屬性里進(jìn)行，（控制面板網(wǎng)絡(luò)和拔號(hào)連接本地連接右鍵屬性TCP/IP協(xié)議屬性使用下面的DNS服務(wù)器地址）。不同的ISP有不同的DNS地址。有時(shí)候則是路由器或網(wǎng)卡的問題，無法與ISP的DNS服務(wù)連接，這種情況的話，可把路由器關(guān)一會(huì)再開，或者重新設(shè)置路由器。還有一種可能，是本地DNS緩存出現(xiàn)了問題。為了提高網(wǎng)站訪問速度，系統(tǒng)會(huì)自動(dòng)將已經(jīng)訪問過并獲取IP地址的網(wǎng)站存入本地的DNS緩存里，一旦再對(duì)這個(gè)網(wǎng)站進(jìn)行訪問，則不再通過DNS服務(wù)器而直接從本地DNS緩存取出該網(wǎng)站的IP地址進(jìn)行訪問。所以，如果本地DNS緩存出現(xiàn)了問題，會(huì)導(dǎo)致網(wǎng)站無法訪問�？梢栽凇斑\(yùn)行”中執(zhí)行ipconfig/flushdns來清除本地DNS緩存。

第三、IE瀏覽器本身的問題

當(dāng)IE瀏覽器本身出現(xiàn)故障時(shí)，自然會(huì)影響到瀏覽了；或者IE被惡意修

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-8-頁

改破壞也會(huì)導(dǎo)致無法瀏覽網(wǎng)頁。這時(shí)可以嘗試用“黃山IE修復(fù)專家”來修復(fù)（建議到安全模式下修復(fù)），或者重新IE。

第四、網(wǎng)絡(luò)防火墻的問題

如果網(wǎng)絡(luò)防火墻設(shè)置不當(dāng)，如安全等級(jí)過高、不小心把IE放進(jìn)了阻止訪問列表、錯(cuò)誤的防火墻策略等，可嘗試檢查策略、降低防火墻安全等級(jí)或直接關(guān)掉試試是否恢復(fù)正常。

第五、網(wǎng)絡(luò)協(xié)議和網(wǎng)卡驅(qū)動(dòng)的問題

IE無法瀏覽，有可能是網(wǎng)絡(luò)協(xié)議（特別是TCP/IP協(xié)議）或網(wǎng)卡驅(qū)動(dòng)損壞導(dǎo)致，可嘗試重新網(wǎng)卡驅(qū)動(dòng)和網(wǎng)絡(luò)協(xié)議。

第六、HOSTS文件的問題

HOSTS文件被修改，也會(huì)導(dǎo)致瀏覽的不正常，解決方法當(dāng)然是清空HOSTS文件里的內(nèi)容。

第七、系統(tǒng)文件的問題

當(dāng)與IE有關(guān)的系統(tǒng)文件被更換或損壞時(shí)，會(huì)影響到IE正常的使用，這時(shí)可使用SFC命令修復(fù)一下，WIN98系統(tǒng)可在“運(yùn)行”中執(zhí)行SFC，然后執(zhí)行掃描；WIN201*/XP/201*則在“運(yùn)行”中執(zhí)行sfc/scannow嘗試修復(fù)。其中當(dāng)只有IE無法瀏覽網(wǎng)頁，而QQ可以上時(shí)，則往往由于winsock.dll、wsock32.dll或wsock.vxd（VXD只在WIN9X系統(tǒng)下存在）等文件損壞或丟失造成，Winsock是構(gòu)成TCP/IP協(xié)議的重要組成部分，一般要重裝TCP/IP協(xié)議。但xp開始集成TCP/IP協(xié)議，所以不能像98那樣簡(jiǎn)單卸載后重裝，可以使用netsh命令重置TCP/IP協(xié)議，使其恢復(fù)到初次安裝操作系統(tǒng)時(shí)的狀態(tài)。

具體操作如下：【開始】運(yùn)行輸入“CMD”命令輸入“netshintipresetc:\\resetlog.txt”命令（其中“resetlog.txt”

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-9-頁

文件是用來記錄命令執(zhí)行結(jié)果的日志文件，該參數(shù)選項(xiàng)必須指定，這里指定的日志文件的完整路徑是“c:\\resetlog.txt”。執(zhí)行此命令后的結(jié)果與刪除并重新安裝TCP/IP協(xié)議的效果相同）。

小提示：netsh命令是一個(gè)基于命令行的腳本編寫工具，你可以使用此命令配置和監(jiān)視Windows系統(tǒng)，此外它還提供了交互式網(wǎng)絡(luò)外殼程序接口，netsh命令的使用格式請(qǐng)參看幫助文件（在令提示符窗口中輸入“netsh/?”即可）。第二個(gè)解決方法是修復(fù)以上文件，WIN9X使用SFC重新提取以上文件，WIN201*/XP/201*使用sfc/scannow命令修復(fù)文件,當(dāng)用sfc/scannow無法修復(fù)時(shí)，可試試網(wǎng)上發(fā)布的專門針對(duì)這個(gè)問題的修復(fù)工具WinSockFix。

第八、殺毒軟件的實(shí)時(shí)監(jiān)控問題

這倒不是經(jīng)常見，但有時(shí)的確跟實(shí)時(shí)監(jiān)控有關(guān)，因?yàn)楝F(xiàn)在殺毒軟件的實(shí)時(shí)監(jiān)控都添加了對(duì)網(wǎng)頁內(nèi)容的監(jiān)控。舉一個(gè)實(shí)例：KV201*就會(huì)在個(gè)別的機(jī)子上會(huì)導(dǎo)致IE無法瀏覽網(wǎng)頁（不少朋友遇到過），其具體表現(xiàn)是只要打開網(wǎng)頁監(jiān)控，一開機(jī)上網(wǎng)大約20來分鐘后，IE就會(huì)無法瀏覽網(wǎng)頁了，這時(shí)如果把KV201*的網(wǎng)頁監(jiān)控關(guān)掉，就一切恢復(fù)正常；經(jīng)過徹底地重裝KV201*也無法解決。雖然并不是安裝KV201*的每臺(tái)機(jī)子都會(huì)出現(xiàn)這種問題，畢竟每臺(tái)機(jī)子的系統(tǒng)有差異，安裝的程序也不一樣。但如果出現(xiàn)IE無法瀏覽網(wǎng)頁時(shí)，也要注意檢查一下殺毒軟件。

第九、ApplicationManagement服務(wù)的問題

出現(xiàn)只能上QQ不能開網(wǎng)頁的情況，重新啟動(dòng)后就好了。不過就算重新啟動(dòng)，開7到8個(gè)網(wǎng)頁后又不能開網(wǎng)頁了，只能上QQ。有時(shí)電信往往會(huì)讓你禁用ApplicationManagement服務(wù)，就能解決了。具體原因不明。

第十、感染了病毒所致

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-10-頁

這種情況往往表現(xiàn)在打開IE時(shí)，在IE界面的左下框里提示：正在打開網(wǎng)頁，但老半天沒響應(yīng)。在任務(wù)管理器里查看進(jìn)程，（進(jìn)入方法，把鼠標(biāo)放在任務(wù)欄上，按右鍵任務(wù)管理器進(jìn)程）看看CPU的占用率如何，如果是100%，可以肯定，是感染了病毒，這時(shí)你想運(yùn)行其他程序簡(jiǎn)直就是受罪。這就要查查是哪個(gè)進(jìn)程貪婪地占用了CPU資源．找到后，最好把名稱記錄下來，然后點(diǎn)擊結(jié)束，如果不能結(jié)束，則要啟動(dòng)到安全模式下把該東東刪除，還要進(jìn)入注冊(cè)表里，（方法：開始運(yùn)行，輸入regedit）在注冊(cè)表對(duì)話框里，點(diǎn)編輯查找，輸入那個(gè)程序名，找到后，點(diǎn)鼠標(biāo)右鍵刪除，然后再進(jìn)行幾次的搜索，往往能徹底刪除干凈。有很多的病毒，殺毒軟件無能為力時(shí)，唯一的方法就是手動(dòng)刪除。

第十一、無法打開二級(jí)鏈接

還有一種現(xiàn)象也需特別留意：就是能打開網(wǎng)站的首頁，但不能打開二級(jí)鏈接，如果是這樣，處理的方法是重新注冊(cè)如下的DLL文件：在開始運(yùn)行里輸入：regsvr32Shdocvw.dll

regsvr32Shell32.dll（注意這個(gè)命令，先不用輸）regsvr32Oleaut32.dllregsvr32Actxprxy.dllregsvr32Mshtml.dllregsvr32Urlmon.dllregsvr32Msjava.dllregsvr32Browseui.dll

注意：每輸入一條，按回車。第二個(gè)命令可以先不用輸，輸完這些命令后重新啟動(dòng)windows，如果發(fā)現(xiàn)無效，再重新輸入一遍，這次輸入第二個(gè)命令。

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-11-頁

三、機(jī)房攻擊

問：如何查看機(jī)房是否受到攻擊？答：首先要知道攻擊的原理。其原理如下：

(1)源地址欺騙(SourceAddressSpoofing)、IP欺騙(IPSpoofing)和DNS欺騙(DNSSpoofing).其基本原理:是利用IP地址并不是出廠的時(shí)候與MAC固定在一起的，攻擊者通過自封包和修改網(wǎng)絡(luò)節(jié)點(diǎn)的IP地址，冒充某個(gè)可信節(jié)點(diǎn)的IP地址，進(jìn)行攻擊。主要有三種手法：

1.癱瘓真正擁有IP的可信主機(jī)，偽裝可信主機(jī)攻擊服務(wù)器;2.中間人攻擊;

3.DNS欺騙(DNSSpoofing)和“會(huì)話劫持”(SessionHijack);(2)源路由選擇欺騙(SourceRoutingSpoofing)。原理:利用IP數(shù)據(jù)包中的一個(gè)選項(xiàng)-IPSourceRouting來指定路由，利用可信用戶對(duì)服務(wù)器進(jìn)行攻擊，特別是基于UDP協(xié)議的由于其是面向非連接的，更容易被利用來攻擊;

(3)路由選擇信息協(xié)議攻擊(RIPAttacks)。原理:攻擊者在網(wǎng)上發(fā)布假的路由信息，再通過ICMP重定向來欺騙服務(wù)器路由器和主機(jī)，將正常的路由器標(biāo)志為失效，從而達(dá)到攻擊的目的。

(4)TCP序列號(hào)欺騙和攻擊(TCPSequenceNumberSpoofingandAttack),基本有三種：

1.偽造TCP序列號(hào)，構(gòu)造一個(gè)偽裝的TCP封包，對(duì)網(wǎng)絡(luò)上可信主機(jī)進(jìn)行攻擊;

2.SYN攻擊(SYNAttack)。這類攻擊手法花樣很多，蔚為大觀。但是其原理基本一致，讓TCP協(xié)議無法完成三次握手協(xié)議;

3.Teardrop攻擊(TeardropAttack)和Land攻擊(LandAttack)。原理:

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-12-頁

利用系統(tǒng)接收IP數(shù)據(jù)包，對(duì)數(shù)據(jù)包長(zhǎng)度和偏移不嚴(yán)格的漏洞進(jìn)行的。

下面將要介紹一些利用TCP/IP協(xié)議的處理程序中錯(cuò)誤進(jìn)行攻擊的原理：這些攻擊包括當(dāng)前流行的Teardrop和Land攻擊。利用協(xié)議實(shí)現(xiàn)的攻擊方法，都是故意錯(cuò)誤地設(shè)定數(shù)據(jù)包頭的一些重要字段，例如，IP包頭部的TotalLength、Fragmentoffset、IHL和Sourceaddress等字段。使用RawSocket將這些錯(cuò)誤的IP數(shù)據(jù)包發(fā)送出去。在接受數(shù)據(jù)端，接收程序通常都存在一些問題，因而在將接受到的數(shù)據(jù)包組裝成一個(gè)完整的數(shù)據(jù)包的過程中，就會(huì)使系統(tǒng)當(dāng)機(jī)、掛起或系統(tǒng)崩潰（具體的攻擊方式詳見附錄一和二）。

既然明白了這些，TCP/IP攻擊便顯而易見，接下來就是實(shí)時(shí)分析，在機(jī)房中觀察流量圖或抓包如何判斷該網(wǎng)絡(luò)或某一臺(tái)服務(wù)器是否受到攻擊。

圖一

圖二

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-13-頁

圖三

很顯然，圖一受到了瞬間閃斷的攻擊，而圖二和圖三則不然，是客戶訪問下載量過大，導(dǎo)致流量超高，而不是受到了攻擊（具體的攻擊詳見附錄三和四）。

下面分析一下抓包文件：

圖四

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-14-頁

圖五

圖六

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-15-頁

圖七

圖八

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-16-頁

圖九

分析：

圖四至圖七很明顯是均是機(jī)房服務(wù)器119.161.130.117、119.161.130.119、123.108.221.107、119.161.130.21均受到來自外界的攻擊，攻擊者（或黑客）通過模擬IP來造成對(duì)服務(wù)器的大量連接數(shù)和ping攻擊從而使得服務(wù)器遭受崩潰至流量受阻或流量超高；然而對(duì)比看圖八和圖九則是正常的抓包，以此來更加確定你的判斷是否受到攻擊

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-17-頁

附錄

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-18-頁

附錄一：IP攻擊一

1.OOB攻擊

這是利用NETBIOS中一個(gè)OOB（OutofBand）的漏洞而來進(jìn)行的，它的原理是通過TCP／IP協(xié)議傳遞一個(gè)數(shù)據(jù)包到計(jì)算機(jī)某個(gè)開放的端口上（一般是137、138和139），當(dāng)計(jì)算機(jī)收到這個(gè)數(shù)據(jù)包之后就會(huì)瞬間死機(jī)或者藍(lán)屏現(xiàn)象，不重新啟動(dòng)計(jì)算機(jī)就無法繼續(xù)使用TCP／IP協(xié)議來訪問網(wǎng)絡(luò)。

2.DoS攻擊

這是針對(duì)Windows9X所使用的ICMP協(xié)議進(jìn)行的DOS（DenialofService，拒絕服務(wù)）攻擊，一般來說，這種攻擊是利用對(duì)方計(jì)算機(jī)上所安裝協(xié)議的漏洞來連續(xù)發(fā)送大量的數(shù)據(jù)包，造成對(duì)方計(jì)算機(jī)的死機(jī)。

3.WinNuke攻擊

目前的WinNuke系列工具已經(jīng)從最初的簡(jiǎn)單選擇IP攻擊某個(gè)端口發(fā)展到可以攻擊一個(gè)IP區(qū)間范圍的計(jì)算機(jī)，并且可以進(jìn)行連續(xù)攻擊，還能夠驗(yàn)證攻擊的效果，還可以對(duì)檢測(cè)和選擇端口，所以使用它可以造成某一個(gè)IP地址區(qū)間的計(jì)算機(jī)全部藍(lán)屏死機(jī)。

4.SSPing

這是一個(gè)IP攻擊工具，它的工作原理是向?qū)Ψ降挠?jì)算機(jī)連續(xù)發(fā)出大型的ICMP數(shù)據(jù)包，被攻擊的機(jī)器此時(shí)會(huì)試圖將這些文件包合并處理，從而造成系統(tǒng)死機(jī)。$TL"i-p:s

5.TearDrop攻擊

這種攻擊方式利用那些在TCP／IP堆棧實(shí)現(xiàn)中信任IP碎片中的包的標(biāo)題頭所包含的信息來實(shí)現(xiàn)自己的攻擊，由于IP分段中含有指示該分段所包含的是原包哪一段的信息，所以一些操作系統(tǒng)下的TCP／IP協(xié)議在收到含有重疊

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-19-頁

偏移的偽造分段時(shí)將崩潰。TeadDrop最大的特點(diǎn)是除了能夠?qū)�Windows9X／NT進(jìn)行攻擊之外，連Linux也不能幸免。

TCP/IP攻擊原理

利用協(xié)議實(shí)現(xiàn)的攻擊方法，都是故意錯(cuò)誤地設(shè)定數(shù)據(jù)包頭的一些重要字段，例如，IP包頭部的TotalLength、Fragmentoffset、IHL和Sourceaddress等字段。使用RawSocket將這些錯(cuò)誤的IP數(shù)據(jù)包發(fā)送出去。在接受數(shù)據(jù)端，接收程序通常都存在一些問題，因而在將接受到的數(shù)據(jù)包組裝成一個(gè)完整的數(shù)據(jù)包的過程中，就會(huì)使系統(tǒng)當(dāng)機(jī)、掛起或系統(tǒng)崩潰。

在下章，我們將結(jié)合一些程序來討論這種攻擊能夠?qū)嵤┑脑�理的同時(shí)，讀者也可以使用這些程序來檢查自己系統(tǒng)針對(duì)這類攻擊的安全程度，并采取相應(yīng)的措施。

在最后，是一個(gè)服務(wù)程序錯(cuò)誤而導(dǎo)致攻擊的例子：OOB。

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-20-頁

附錄二：IP攻擊二

1、攻擊的現(xiàn)象及其后果

使用了Windows95和Windows98NT的人們都經(jīng)歷過系統(tǒng)陷入混亂，對(duì)任何輸入都沒有響應(yīng)的情況。這時(shí)候，屏幕出現(xiàn)藍(lán)屏，遲遲無法重新刷新。按下Ctrl+Alt+Del時(shí)，看到系統(tǒng)CPU利用率達(dá)到100%，同時(shí)顯示一個(gè)應(yīng)用程序無響應(yīng)。這是程序出錯(cuò)或者使用了盜版軟件的緣故。通過網(wǎng)絡(luò)，也可以使正在使用的計(jì)算機(jī)出現(xiàn)這種無響應(yīng)、死機(jī)的現(xiàn)象。事實(shí)上，大量的程序往往經(jīng)不住人們惡意的攻擊。

人們已經(jīng)使用了許多方法來專門對(duì)付上網(wǎng)的Windows95和WindowsNT。目前，能夠?qū)�Windows95和WindowsNT進(jìn)行攻擊的方法很多，當(dāng)前流行的有：tearDrop(也稱為“淚滴”)、OOB、Land和PingofDeath等。其中，關(guān)于PingofDeath在緩沖區(qū)溢出一章中對(duì)這種攻擊做了介紹，并給出了一些對(duì)策。

一般的攻擊過程是這樣的：當(dāng)入侵者發(fā)現(xiàn)了一臺(tái)Windows95或者WindowsNT（這只需用端口掃描工具掃一下就可以辨認(rèn)出來），便用一個(gè)OOB或者TearDrop攻擊，再次用ping命令時(shí)，目標(biāo)主機(jī)就沒有響應(yīng)了。事實(shí)上，這些攻擊并不是局限于WindowsNT和Windows95平臺(tái)，一些攻擊，如Land已被發(fā)現(xiàn)對(duì)Linux、Cisco路由器以及其他大量的UNIX操作系統(tǒng)都具有相當(dāng)?shù)墓�擊能力�?/p>

能夠?qū)嵤┻@種攻擊的原因是在Windows95和WindowsNT中存在錯(cuò)誤，這是一種處理TCP/IP協(xié)議或者服務(wù)程序的錯(cuò)誤。人們利用這些錯(cuò)誤。通過給端口送一些故意弄錯(cuò)的數(shù)據(jù)包，在這個(gè)數(shù)據(jù)包的偏移字段和長(zhǎng)度字段，寫入一個(gè)過大或過小的值。Windows95和WindowsNT都不能處理這個(gè)情況，然后

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-21-頁

Windows95就先變成藍(lán)屏，WindowsNT是非死機(jī)不可。據(jù)稱TearDrop可以使被攻擊的主機(jī)立刻當(dāng)機(jī)。

這些攻擊的危險(xiǎn)性在于可以通過網(wǎng)絡(luò)發(fā)起攻擊，當(dāng)攻擊者發(fā)現(xiàn)了一臺(tái)上網(wǎng)的Windows95、WindowsNT或者Linux操作系統(tǒng)主機(jī)時(shí)，只需啟動(dòng)這一程序，輸入入口參數(shù)假冒IP、端口號(hào)，被攻擊主機(jī)的IP地址和端口號(hào)，便可以發(fā)起攻擊了。通常是Linux一遭到攻擊就當(dāng)機(jī)，而Windows在受到十幾次攻擊之后也會(huì)死機(jī)。這時(shí)候，用ping命令，被攻擊的主機(jī)就再也沒有回應(yīng)了。

服務(wù)程序存在錯(cuò)誤的情況是很多的，例如，WindowsNT中的RPC服務(wù)存在漏洞。某個(gè)用戶可以遠(yuǎn)程登錄到WindowsNT3。5x或者服務(wù)器的端口135，并任意輸入10個(gè)字符，然后回車，切斷連接。這便可以使目標(biāo)主機(jī)的CPU利用率達(dá)到100%。雖然一個(gè)簡(jiǎn)單的重啟動(dòng)就消除了這個(gè)問題，但畢竟這是很討厭的，是系統(tǒng)安全的重要隱患并嚴(yán)重地影響系統(tǒng)性能。

對(duì)于OOB攻擊，人們已經(jīng)提出一些對(duì)策，如在WindowsNT4.0中，呆以對(duì)發(fā)到端口若懸河39的包進(jìn)行過濾等，都需要對(duì)系統(tǒng)的網(wǎng)絡(luò)設(shè)置進(jìn)行一番配置，來分別處理拔號(hào)上網(wǎng)和使用LAN的情況。

目前網(wǎng)上已經(jīng)出現(xiàn)補(bǔ)丁程序，用來對(duì)付這些攻擊方法的攻擊。在Windows95和WindowsNT上的安裝非常簡(jiǎn)單，只需運(yùn)行一下安裝包即可。在沒有找到補(bǔ)丁程序之前，也可能性安裝一個(gè)PC防火墻。該工具非常有效，例如，當(dāng)禁止從主機(jī)的所有端口發(fā)出數(shù)據(jù)包，同時(shí)禁止數(shù)據(jù)包發(fā)向本主機(jī)的所有端口時(shí)，實(shí)際上已將本主機(jī)應(yīng)用層的服務(wù)功能和訪問功能切斷。此時(shí)，雖然可以ping通一臺(tái)有帳戶和口令的UNIX主機(jī)，但卻地法登上（telnet）該主機(jī)或從該主機(jī)用ftp取回文件。

可以用該工具來過濾發(fā)向本主機(jī)一些端口（例如139）的數(shù)據(jù)包。

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-22-頁

2、淚滴（TearDrop）攻擊工具

這個(gè)攻擊工具起名為淚滴，它確實(shí)可以讓人們恨得咬牙切齒。當(dāng)辛苦的勞動(dòng)成果突然因?yàn)橐淮文�名其妙的�?dāng)機(jī)而化為烏有。也許，這次當(dāng)機(jī)便是一個(gè)人隨意地向你的計(jì)算機(jī)動(dòng)了一次小小的攻擊所致。

這個(gè)攻擊利用的是系統(tǒng)在實(shí)現(xiàn)時(shí)的一個(gè)錯(cuò)誤，我們以Linux上的一個(gè)實(shí)現(xiàn)為例，也就是說，某些Linux操作系統(tǒng)也是脆弱的，我們也可以用這種方法攻擊Linux操作系統(tǒng)。

Linux操作系統(tǒng)在它的IP數(shù)據(jù)包重裝模塊有一個(gè)嚴(yán)重的錯(cuò)誤，更確切一點(diǎn)地說，是在ip-glue()函數(shù)中。當(dāng)Linux收到一個(gè)個(gè)IP包，送到IP層進(jìn)行組裝，以形成發(fā)送端原來的IP包時(shí)，它將進(jìn)入了一個(gè)循環(huán)中，將接收隊(duì)列中的一個(gè)個(gè)數(shù)據(jù)包中的有效數(shù)據(jù)，拷貝到一個(gè)新分配的緩沖區(qū)中。

這段代碼如下：fp=qp->fragments;while(fp!=NULL){

if(count+fp->len>skb->len)]{

error-to-big;}

memcpy(ptr+fp->offaet),fp->ptr,fp->len);count+=fp->len;fp=fp->next;}

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-23-頁

在程序中，檢查了每段數(shù)據(jù)是否過長(zhǎng)，因?yàn)槿绻麛?shù)據(jù)部分過長(zhǎng)，將會(huì)向內(nèi)核拷貝過多的數(shù)據(jù)，引起內(nèi)核發(fā)生某種危險(xiǎn)。然而在程序中并沒有檢查包中有效數(shù)據(jù)的長(zhǎng)度是否過分小，例如，當(dāng)表示包中數(shù)據(jù)長(zhǎng)度的變量變成了一個(gè)負(fù)數(shù)時(shí)（例如fp->lentot-len)ihl;

在正常情況下一切也正常。但是，當(dāng)我們精心準(zhǔn)備這樣的數(shù)據(jù)包，讓前后包中的“fragmentoffset”字段交疊在一起，會(huì)發(fā)生什么呢？

看看程序?qū)Α癴ragmentoffset”做了那些處理：if(prev!=NULL&&offset{

I=prev->endoffset;

Offset+=I:/*ptrintodatagram*/Ptr+=I/*ptrintofragmentdata*/}

如果我們發(fā)現(xiàn)當(dāng)前包的段偏移在前一包數(shù)據(jù)內(nèi)部，也就是說根據(jù)偏移字段的值，前后兩數(shù)據(jù)包的數(shù)據(jù)部分有重疊。組裝程序試圖正確對(duì)齊它們的邊界。程序代碼如上所示。這一步是對(duì)的。除非當(dāng)前包中的有效數(shù)據(jù)碰巧沒有

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-24-頁

足夠的數(shù)據(jù)來滿足對(duì)齊的要求。在這種情況下，“offset”域中的值將會(huì)比“end”域中的值大。這兩個(gè)數(shù)值被交給“ip-frag-create()”模塊，在這個(gè)模塊中，將會(huì)計(jì)算當(dāng)前包的長(zhǎng)度。

/*Fillinthestructure.*/fp->offset=offset;fp->end=end;

fp->len=endoffset;

在這種極少見的情況下，計(jì)算出來的fp-len竟變成了一個(gè)負(fù)數(shù)，于是memcpy()最終將會(huì)把大量的數(shù)據(jù)拷貝到內(nèi)核中，因?yàn)閙emcpy()中的記數(shù)器是一個(gè)反碼，是一個(gè)非常大的數(shù)值。根據(jù)使用的內(nèi)存管理機(jī)制的不同，將會(huì)引起系統(tǒng)重啟動(dòng)或停機(jī)。

這種情況完全可以通過編程來實(shí)現(xiàn)，例如可以發(fā)送兩個(gè)特殊的數(shù)據(jù)包，第一個(gè)包中的“offset”域置為0，包中有效數(shù)據(jù)（IP數(shù)據(jù)）長(zhǎng)度為N，MF位置1。第二個(gè)包中MF位置0，“offset”為一個(gè)小于N的數(shù)，包中的IP數(shù)據(jù)也少于N。

當(dāng)將收到的兩個(gè)數(shù)據(jù)包組裝時(shí)，先將第一個(gè)數(shù)據(jù)包拷貝到一個(gè)緩沖區(qū)中去，然后拷貝第二個(gè)數(shù)據(jù)包。因?yàn)?/p>

next->offset

cur->offset=next->offset+(pre->end-next->offest);cur->end=next->offest+(next->iph->tot-len)-ihl);cur->len=cur->end-cur->offest;

當(dāng)ntohs(next->iph->tot-len)-ihlend-next->offset)時(shí)，錯(cuò)誤就發(fā)生了。這時(shí)候，cur->len為負(fù)數(shù)。

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-25-頁

在正常情況下，無法預(yù)言這種情況是否會(huì)發(fā)生，發(fā)生的頻率如何。但是在人為的情況下，尤其是在一處故意的情況下，那就一定會(huì)發(fā)生的。

人們可以自己編寫發(fā)送raw數(shù)據(jù)包的程序。在數(shù)據(jù)包中，從IP包頭開始，都可以填入自己想要的任意數(shù)值。而我們使用軟件并不能處理這類非常復(fù)雜的情況。事實(shí)上，即使對(duì)軟件曾經(jīng)進(jìn)行了詳細(xì)的測(cè)試，也很難說會(huì)發(fā)現(xiàn)這種錯(cuò)誤。

當(dāng)前的許多Linux的實(shí)現(xiàn)中都有這個(gè)錯(cuò)誤，向Linux發(fā)送很少幾個(gè)這樣的數(shù)據(jù)包，便可以引起Linux當(dāng)機(jī)，因?yàn)橥ǔ＿@種IP包重組和緩沖區(qū)開在系統(tǒng)核心態(tài)，緩沖區(qū)溢出將使系統(tǒng)崩潰。同樣地，向Windows95、WindowsNT發(fā)送10-15個(gè)這樣的包，也會(huì)引起死機(jī)。

現(xiàn)在在網(wǎng)上已經(jīng)出現(xiàn)了大量類似這樣的程序，這些攻擊的方法依然是對(duì)一些字段使用錯(cuò)誤的值，但和“淚滴”相反，將段偏移字段寫入一個(gè)大于頭的長(zhǎng)度的數(shù)值或者偽造UDP的長(zhǎng)度，直到偽造為真實(shí)長(zhǎng)度的兩倍�；蛘邔⒃瓉韺ｉT攻擊53端口的程序改造為可以攻擊一系列端口。

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-26-頁

附錄三：通州機(jī)房網(wǎng)絡(luò)故障記錄一

201*年1月22日晚23：21到23：38左右，通州機(jī)房雙線客戶（119.161.146.34）受到攻擊，導(dǎo)致順義聯(lián)通G口和萬通電信口擁塞，因?yàn)槌隹趲�寬不同，受影響程度不一樣，順義聯(lián)通中斷4分鐘，萬通電信中斷13分鐘，隨后攻擊量逐步減少，攻擊時(shí)間持續(xù)17-20分鐘左右，客戶受影響時(shí)長(zhǎng)約5-15分鐘不等，具體信息截圖如下：

受攻擊時(shí)抓包截圖

聯(lián)通G口故障時(shí)截圖

電信出口故障時(shí)截圖

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-27-頁

聯(lián)通封堵146.34后該地址Trace截圖

電信封堵146.34后該地址Trace截圖

PING監(jiān)控中斷截圖

PING監(jiān)控恢復(fù)截圖

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-28-頁

聯(lián)通ICMP質(zhì)量檢測(cè)截圖

電信ICMP質(zhì)量檢測(cè)截圖

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-29-頁

故障原因：通州機(jī)房用戶IP：119.161.146.34受到攻擊，力度較大，攻擊總量至少1G以上，從客戶了解到其服務(wù)器某些內(nèi)容被黑客盯上導(dǎo)致的攻擊。

處理結(jié)果：電信和聯(lián)通上層均接收我司申請(qǐng)，對(duì)該IP進(jìn)行封堵，目前恢復(fù)正常。

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-30-頁

附錄四：通州機(jī)房網(wǎng)絡(luò)故障記錄二

201*年5月17日晚20：40到21：05左右，通州機(jī)房雙線客戶（119.161.148.203）受到攻擊，導(dǎo)致順義聯(lián)通G口和萬通電信口擁塞，因?yàn)槌隹趲�寬不同，�?lián)通沒有影響，萬通電信延時(shí)和丟包率增大，隨后立即進(jìn)行封堵和抓包，并讓客戶將該IP的域名全部切走，網(wǎng)絡(luò)恢復(fù)正常，攻擊時(shí)間持續(xù)25分鐘左右，其他客戶受影響時(shí)長(zhǎng)約5-15分鐘不等，具體信息截圖如下：

受攻擊時(shí)抓包截圖

聯(lián)通G口故障時(shí)截圖

電信出口故障時(shí)截圖

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-31-頁

PING監(jiān)控截圖

電信ICMP質(zhì)量檢測(cè)截圖

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016IDC運(yùn)維總結(jié)第-32-頁

受影響客戶截圖

故障原因：通州機(jī)房用戶IP：119.161.148.203受到攻擊，力度較大，總量在700M以上，斷定是由于客戶網(wǎng)站引起。

處理結(jié)果：聯(lián)通沒有影響，只對(duì)電信方向?qū)⒃揑P封堵，客戶將域名全切走后恢復(fù)正常。

北京市振隆科技股份有限公司地址：北京市豐臺(tái)區(qū)南四環(huán)西路188號(hào)網(wǎng)址：電話：010-637016

友情提示：本文中關(guān)于《IDC運(yùn)維總結(jié)之遠(yuǎn)程連接》給出的范例僅供您參考拓展思維使用，IDC運(yùn)維總結(jié)之遠(yuǎn)程連接：該篇文章建議您自主創(chuàng)作。

來源：網(wǎng)絡(luò)整理 免責(zé)聲明：本文僅限學(xué)習(xí)分享，如產(chǎn)生版權(quán)問題，請(qǐng)聯(lián)系我們及時(shí)刪除。

《IDC運(yùn)維總結(jié)之遠(yuǎn)程連接》由互聯(lián)網(wǎng)用戶整理提供,轉(zhuǎn)載分享請(qǐng)保留原作者信息,謝謝!
鏈接地址：http://www.weilaioem.com/gongwen/515342.html

• 上一篇：港邊中學(xué)機(jī)房管理工作總結(jié)
• 下一篇：配電線路專業(yè)個(gè)人工作總結(jié)