NT��ȫ����

�� �������ߣ�aben ����ʱ�䣺2006-03-24 | ���壺�� �� С��

[����]TCP/IP����:1�� TCP/IP��ȫ�����ص㣺�򵥡����㣬ϵͳ�Ѿ����ɣ����Ե�����һ�������������ã�ȱ�㣺�����ֻ��������û�н�ֹ����Щ���õ������ͽ�ֹ����Firewall��IDS�ȵ������ͽ�ֹ������ͬ���˿�����û������...

TCP/IP����:
1�� TCP/IP��ȫ����


�ص㣺�򵥡����㣬ϵͳ�Ѿ����ɣ����Ե�����һ�������������ã�
ȱ�㣺�����ֻ��������û�н�ֹ��
��Щ���õ������ͽ�ֹ����Firewall��IDS�ȵ������ͽ�ֹ������ͬ��
�˿�����û���������ķ�Χ�ڣ���ʾ��������Ӧ�Ķ˿��ϰ󶨷���(Bingding�����м���)��
��������ͨѶ���ǿ��Եģ�����Firewall��IDS���Dz������ġ�

�������У�(�μ�������/Ӧ�ö�Ӧ�˿�)
TCP������2433��5631(pcAnywhere)��
UDP������5632(pcAnywhere)��
IPЭ�飺6(TCP)��17(UDP);

2�� ɾ������Ҫ����������


3�� ����TCP/IP �ϰ���NetBIOSЭ��


4�� ȡ��IPת��




5�� TCP/IPע��������
SynAttackProtect
λ�ã� TcpipParameters
���ͣ� REG_DWORD
���� 0, 1, 2
0 û�б���
1 ��TcpMaxHalfOpen �� TcpMaxHalfOpenRetried ������������ʱ�������ط����Ժ� �ӳ�
RCE (route cache entry) ������
2 in addition to 1 a delayed indication to Winsock is made.)

ע�⣺��ϵͳ���⵽������ʱ��������socket����������Ч��Scalable windows (RFC 1323
) ��ÿ�������ӿڵ�TCP ���� (Initial RTT, window size)��������Ϊ��ϵͳ���ڱ���״̬
��ʱ����SYN-ACK���ɹ�����֮ǰ��������ѯ route cache entry ��Winsock ������Ч.

Ĭ��ֵ�� 0 (False)
����ֵ�� 2
˵���� Synattack ����������SYN-ACKS,�ط��Ĵ���, �����ͼ�������Դ�����µ�ʱ�䣻 r
oute cache entry �ӳٷ��䣬ֱ�����ӽ���������synattackprotect ��Ϊ 2, AFDҲ�ᱻ��
ʱֱ�������������ɡ���Ҫע������������������ֻ����TcpMaxHalfOpen ��TcpMaxHalfOpe
nRetried ��ֵ����ʱ����Ч��

TcpMaxHalfOpen
λ�ã�TcpipParameters
���ͣ�REG_DWORD
����100�C0xFFFF
Ĭ��ֵ�� 100 (Professional, Server), 500 (advanced server)
����ֵ�� Ĭ������
˵���� ��������������SYN-ATTACK ����֮ǰ������SYN-RCVD ״̬����������������Ŀ����
��SynAttackProtect ��Ϊ 1, ȷ�ϸ�ֵС��AFD Backlog ������ֵ(�μ� AFD Backlog ����
) ��

TcpMaxHalfOpenRetried
λ�ã�TcpipParameters
���ͣ�REG_DWORD
����80�C0xFFFF
Ĭ��ֵ��80 (Professional, Server), 400 (Advanced Server)
����ֵ�� Ĭ������
˵������������������SYN-ATTACK ����֮ǰ������SYN-RCVD ״̬���ѳ����ط�����������
������Ŀ��

EnablePMTUDiscovery
λ�ã�TcpipParameters
���ͣ�REG_DWORD��Boolean
����0, 1 (False, True)
Ĭ��ֵ��1 (True)
����ֵ��0
˵��������Ϊ1ʱ��ϵͳ�᳢���ڵ���Ŀ��·����Ѱ��������MTUֵ��������Ϊ0ʱ��ϵͳ����
���ڲ�������ʹ�ù̶���MTUֵ(576 byte)��

NoNameReleaseOnDemand
λ�ã�NetbtParameters
���ͣ�REG_DWORD
����0, 1 (False, True)
Ĭ��ֵ��0 (False)
����ֵ��1
˵����������������ϵͳ�յ�һ��NetBIOS ���ֽ�������ʱ���Ƿ��������ֽ��͡�����Ա��
�����ø�ֵ���Է�ֹϵͳ�������߹�����

EnableDeadGWDetect
λ�ã�TcpipParameters
���ͣ�REG_DWORD
����0, 1 (False, True)
Ĭ��ֵ��1 (True)
����ֵ��0
˵��������Ϊ1ʱ, TCP ����������Ч���ء���Ĭ��������Чʱ���������ؽ�������Ĭ������
������������TCP/IPЭ���������ġ��߼����������á�

KeepAliveTime
λ�ã�TcpipParameters
���ͣ�REG_DWORD (����)
����1�C0xFFFFFFFF
Ĭ��ֵ��7,200,000 (two hours)
����ֵ��300,000
˵��������������TCP�����೤��ʱ��ȥ����һ��keep-alive ���ݰ���ȥ��֤һ�����е���
���Ƿ��������Զ��ϵͳ��Ȼ�������������keep-aliveӦ����Ĭ�������£� Keep-al
ive ���ݰ����ᱻ���ͣ���Ҫ�������øù��ܡ�

PerformRouterDiscovery
λ�ã�TcpipParametersInterfaces
���ͣ�REG_DWORD
����0,1,2
0 (��Ч)
1 (��Ч)
2 (DHCP ���͵�·�ɷ�����Ч)
Ĭ��ֵ��2.
����ֵ��0
˵���������Ƿ�����·�ɷ��֡�

EnableICMPRedirects
λ�ã�TcpipParameters
���ͣ�REG_DWORD
����0, 1 (False, True)
Ĭ��ֵ��1 (True)
����ֵ��0 (False)
˵��������ϵͳ��һ�������豸���յ�һ��ICMP �ض�����Ϣʱ���Ƿ��޸�������·�ɱ���

ϵͳ����
1�� ʹ��NTFS�����ļ���ʽ
ʹ��CONVERT����ת��ΪNTFS�����ļ���ʽ
CONVERT ���� /FS:NTFS [/V]

2�� �ر�NTFS 8.3�ļ���ʽ��֧��
NtfsDisable8dot3NameCreation
λ�ã�HKEY_LOCAL_MACHINESYSTEM
���ͣ�REG_DWORD
����0, 1 (False, True)
Ĭ��ֵ��0 (False)
����ֵ��1 (True)

3�� ɾ��OS/2 ��POSIX ��ϵͳ
λ�ã�HKEY_LOCAL_MACHINESOFTWARE
��ֵ��MicrosoftOS/2 Subsystem for NT
������ɾ�������Ӽ�

λ�ã�HKEY_LOCAL_MACHINESYSTEM
��ֵ��CurrentControlSetControlSession ManagerEnvironment
���ƣ�Os2LibPath
������ɾ��Os2LibPath

λ�ã�HKEY_LOCAL_MACHINESYSTEM
��ֵ��CurrentControlSetControlSession ManagerSubSystems
������ɾ��Optional��Posix ��OS/2

4�� ����LanManager ������֤
Windows NT Servers Service Pack 4 �ͺ����İ汾��֧�����ֲ�ͬ��������֤������

l LanManager (LM) ������֤��
l Windows NT (Ҳ�� NTLM) ������֤��
l Windows NT Version 2.0 (Ҳ��NTLM2) ������֤��

Ĭ�ϵ������£���һ���ͻ���������һ̨ͬʱ֧��LM �� NTLM ������֤�����ķ�����ʱ��L
M ������֤�����ȱ�ʹ�á����ڰ�ȫ�����ɣ����Խ�����ֹLM ������֤������

1. ����ע�����༭����
2. ��� HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa��
3. ѡ���˵����༭������������ֵ����
4. ��ֵ���������룺LMCompatibilityLevel ����ֵ����Ϊ��DWORD������ ȷ����
5. ˫���½������ݣ������ݾ���������������ֵ��
0 - ���� LM �� NTLM��Ӧ��
1 - ���� LM �� NTLM��Ӧ��
2 - ������ NTLM��Ӧ��
3 - ������ NTLMv2��Ӧ��(Windows 2000��Ч)
4 - ������ NTLMv2��Ӧ���ܾ� LM��(Windows 2000��Ч)
5 - ������ NTLMv2��Ӧ���ܾ� LM �� NTLM��(Windows 2000��Ч)
6. �ر�ע�����༭����
7. ��������������

��Ҫ���ø�������Ϣ�������ģ� http://support.microsoft.com/support/kb/articles/q1
47/7/06.asp

5�� �ܾ�guest �û������¼���־
���¼���־����ܴ�����һЩ��Ҫ����Ϣ��������Ĭ�ϵ������£�Guests�������û��ǿ�
�Բ鿴�¼���־�� �� �������DZ�����ֹGuests�������û������¼���־��

1. ����ע�����༭����
2. ��� HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventLog
3. ѡ��Application ��Ŀ¼��
4. ѡ���˵����༭������������ֵ����
5. ��ֵ���������룺RestrictGuestAccess����ֵ����Ϊ��DWORD������ ȷ����
6. ˫���½������ݣ���������ֵΪ1 ��
7. ����Ŀ¼Security �� System �ظ�4-6���裻

6�� ɾ������Ĭ�Ϲ���
λ�ã�HKEY_LOCAL_MACHINESYSTEM
��ֵ��CurrentControlSetServicesLanmanServerParameters
���֣�AutoShareServer
���ͣ�REG_DWORD
��ֵ��0��

7�� ȡ����ʾ������¼�û�
λ�ã�HKEY_LOCAL_MACHINESOFTWARE
��ֵ��MicrosoftWindows NTCurrent VersionWinlogon
���ƣ�DontDisplayLastUserName
���ͣ�REG_SZ
��ֵ��1

8�� �������볤��

9�� �������븴����Ҫ��
Windows NT 4.0 Service Pack 2 �������汾������һ������ɸѡ�� DLL �ļ� (Passfilt.
dll) �����Լ�ǿ�û��ĸ�ǿ����Ҫ����Passfilt.dll �ṩ��ǿ�İ�ȫ�����Է�����������
�ߵġ������²⡱�����ֵ乥������

l ���벻������ 6 ���ַ����������ġ��������ԡ������ø���ֵ���Խ�һ��������С���볤
�ȣ���
l ���������������� 4 ���ַ������� 3 �����ַ���
- Ӣ����д��ĸ A-Z
- Ӣ��Сд��ĸ a-z
- ���������� 0-9
- ���������֣��������ַ���������������
l ���벻�ܰ����û�����ȫ�������ⲿ�֡�

Ҫʹ�� Passfilt.Dll������Ա��������������������ϵͳע��������������ɸѡ DLL��

1. ����ע�����༭�� (regedt32.exe, ��Ҫʹ��regedit.exe)��
2. ��� HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa��
3. ˫�� "Notification Packages"��
4. �� PASSFILT �ӵ��µ��� (�������ܰ���FPNWCLNT ������ֵ)������ ȷ����
5. �ر�ע�����༭����
6. ��������������

ʹ�� ���û������������������õ�Ӱ�죻


10�� ����SYSKEY���ߣ������ʺ�����
�������syskey

11�� ������Administrator�ʺ�
12�� ����Administrator�ʺ���������
passprop /complex /adminlockout

13�� �ܾ�δ��֤�û�(����)����ע����
λ�ã�HKEY_LOCAL_MACHINESYSTEM
��ֵ��CurrentControlSetControlSecurePipeServers
���ƣ�winreg

14�� �ܾ� Anonymous �ʺ�(NULL Session)����
�����������о��û�������������Service Pack 3 ��ʼ�ṩ�������á�

λ�ã�HKEY_LOCAL_MACHINESYSTEM
��ֵ��CurrentControlSetControlLSA
���ƣ�RestrictAnonymous
���ͣ�REG_DWORD
��ֵ��1

15�� ����ע��������Ȩ��
��������ע�����ķ���Ȩ�ޣ�
λ�ã�HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run
RunOnce
RunOnceEx

λ�ã�HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion
AeDebug
WinLogonGinaDLL
WinLogonUserinit

16�� �޸ġ����������ʴ˼�������Ȩ�޷���
17�� �������˹���
18�� ����SAM ��������
1. ȷ���������ˣ���δ���ã�����ʹ�á����û����������������� ��
2. ȷ������schedule����δ������ʹ���������������÷�����

C:> net start schedule

3. ������ʹ��At ��������������

C:> at <ʱ��> /interactive "regedt32.exe"

4. Ȼ��Regedt32.exe����ϵͳ�ʺ�������
5. ѡ�� HKEY_LOCAL_MACHINE ���ڣ�
6. ѡ�� SAM ���ӡ���ȫ���˵�ѡ�������ˡ�������ͼ��

7. ���������ӡ���Ȼ������ʾ�û�����
8. ���������ʺţ�
- SYSTEM
- Domain Admins
- Administrator
- Backup Operators

����ӵ������Ȩ�޵��ʺţ�
- Take ownership of files or other objects��ȡ���ļ�����������������Ȩ��
- Back up files and directories�������ļ���Ŀ¼��
- Manage auditing and security log���������˺Ͱ�ȫ��־��
- Restore files and directories����ԭ�ļ���Ŀ¼��
- Add workstations to domain���������ӹ���վ��
- Replace a process level token���滻���̼��Ǻţ�
������ȷ������

9. ѡ�� "��������������Ȩ��"��
10. Ϊ�������á��ɹ����͡�ʧ�ܡ������ˣ�
- Query Value����ѯ��ֵ��
- Set Value��������ֵ��
- Write DAC���DAC��
- Read Control����ȡ���ƣ�


11. ������ȷ�������������ǡ���
12. ֹͣschedule������
C:> net stop schedule

19�� �ƶ�����/Σ�չ��ߣ������÷���Ȩ��
xcopy.exewscript.execscript.exenet.exeftp.exetelnet.exe arp.exeedlin.exeping.exe
route.exeat.exe finger.exeposix.exersh.exeatsvc.exeqbasic.exerunonce.exe syskey.
execacls.exeipconfig.exercp.exesecfixup.exe nbtstat.exerdisk.exe debug.exeregedt
32.exeregedit.exeedit.comnetstat.exetracert.exe nslookup.exerexec.execmd.exe

20�� ֹͣ����Ҫ�ķ���
HTTP/FTP��������Ҫ���ٵķ�����
l Event Log
l License Logging Service
l Windows NTLM Security Support Provider
l Remote Procedure Call (RPC) Service
l Windows NT Server or Windows NT Workstation
l IIS Admin Service
l MSDTC
l World Wide Web Publishing Service
l Protected Storage

IIS����:
1�� ����WebĿ¼����Ȩ��(NTFS)
����������������WebĿ¼/�ļ���Ȩ�ޣ�
�ļ����� ACL
CGI etc .EXE, .DLL, .CMD, .PL Everyone (RX)Administrators (Full Control)System (
Full Control)
Script Files .ASP etc Everyone (RX)Administrators (Full Control)System (Full Con
trol)
Include Files .INC, .SHTML, .SHTM Everyone (RX)Administrators (Full Control)Syst
em (Full Control)
Static Content .HTML, .GIF, .JPEG Everyone (R)Administrators (Full Control)Syste
m (Full Control)

2�� ����IIS ��־�ļ��ķ���Ȩ��
����֪��IIS��־���������
Ĭ���Ǵ�����% SystemRoot%System32LogFilesĿ¼�£�

3�� ɾ��ʾ��(Sample)����
ʾ������ ����λ��
IIS c:inetpubiissamples
IIS SDK c:inetpubiissamplessdk
Admin Scripts c:inetpubAdminScripts
Data access c:Program FilesCommon FilesSystemmsadcSamples

4�� ɾ���ű�ӳ��

5�� ��ֹRDS֧��
�޸�ע������ɾ�����¼�ֵ���Ӽ�ֵ��
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices W3SVCParametersADCLaunch
RDSServer.DataFactory

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices W3SVCParametersADCLaunch
AdvancedDataFactory

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices W3SVCParametersADCLaunch
VbBusObj.VbBusObjCls

6�� ��ֹʹ��#exec��������
λ�ã�HKEY_LOCAL_MACHINESYSTEM
��ֵ��CurrentControlSetServicesW3SVCParameters
���ƣ�SSIEnableCmdDirective
���ͣ�REG_DWORD
��ֵ��0

7�� Ϊ�ű����ļ�ȡ����ȡ����Ȩ��
ע�⣺����NTFS�Ķ�Ȩ�ޣ���Web�����������õĶ�ȡ�������á�

8�� ȡ�������ø�·����

SQL Server����:
1�� ѡ�����ʵ���֤Ĭ��
SQL Server�ṩ�����ֲ�ͬ���û�������֤ģʽ��

��֤ģʽ ����
��׼ģʽ(ֻ��6.5�汾����)��Ҳ�ж���ģʽ Ӧ�ó��������ṩһ��SQL Server user ID ��
�������ܷ������ݿ⡣��ʹ��Windows �ͻ�����֤������
Windows NT����ģʽ ʹ��Windows �ʺ���Ϊ��֤�ķ�����
����ģʽ ����ͬʱ�ṩ����������֤������һ�ֻ�����֤ģʽ��

l ��׼ģʽ �Cֻ��6.5�汾����
��׼ģʽ��SQL ServerĬ�ϰ�װ���Ѿ�ѡ����һ��ѡ� ���ṩ�˼򵥰�ȫ��֤ģʽ����Ϊ
��������WIndows NT����ģʽ��������ͨ������SQL Server���İ�ȫѡ���������û�������
�ݿ��Ͷ����ķ��ʼ�����

��׼ģʽʹ��SQL Server�������ķ���ȥ��֤һ���û������ݡ�Ҫʹ�ñ�׼ģʽ�Ļ���ÿ��
�û�����Ҫ��SQL Server�ṩһ��User ID ����������֤���ݡ�ÿ����֤�����û������Է�
������Ȩ�޷��ʵ����ݿ��Ͷ���(������ͼ���洢����)�� ����һ���Ƚ����׸�IIS���ɵ�һ
������֤ģʽ��

�����㲻ʹ��multi-protocol �� Named PipesЭ����Ϊ����SQL Server�ṩ�����Ļ�������
��ҪҪʹ�ñ�׼ģʽ����׼ģʽ�������κ�һ��SQL Server֧�ֵ�Э���ϡ�ʹ�ñ�׼ģʽ��
SQL Server ���ؿ���̫�����������أ�������Windows NT �ʺŵȵȡ�

��������Ӧ�ó�����IIS,��ô��׼ģʽ��һ�����õ�ѡ����������Ϊ��׼ģʽ������������
ʹ�õ�������Э�顣

ֵ��ע�����ǣ���7.0��ʼ�����ٵ����ṩ��������֤ģʽ��Ҫʹ������ģʽ��ֻ��ѡ������
���ܵĻ���ģʽ��

l ��Windows
ʹ�ý�Windows����֤ģʽ��, SQL Server ʹ��Windows NT ��������֤ȥ��֤һ���û�����
�ݡ� ���ַ�ʽ���û�����Ҫ�ṩUser ID�������Ϳ��Է������ݿ⣬������ΪSQL Serverʹ
����Windows NT����֤�������Ա�׼ģʽ����֤������

��Windows��ģʽ������Named Pipes ��Multi-Protocol Э���ϵ��������ӡ����ε����ӿ�
��������Windows NT, Windows 95, �� Windows for Workgroups ����վ, ��������DOS��M
icrosoft LAN Manager�� Microsoft Windows �ͻ���

SQL Server Ӧ�ó�������l��Windows ģʽ�еõ��ܶ��ô������磬����Χ���ʺţ����ܵ�
���룬����ͬ��,��¼���˺ͼ򵥵��û�������

ע�⣺��������Ӧ�ó�����IIS���������Dz���ʹ�ô���֤ģʽ�ġ�

l ����ģʽ��SQL Server �� Windows��
����ģʽ�����û�ʹ������ģʽ�е�����һ�ַ�ʽȥ��֤�Լ������ݡ�

2�� ѡ�����ʵ�����Э��
Ϊ��Ҫʹ��SQL Server's �Ľ�Windows ģʽ��������ʹ��Named Pipes ��Multi-Protocol��
Named Pipes����

l TCP/IP Sockets
TCP/IP Sockets ��һ����������֤��Э�顣��˼����������û��ʵʱ��֤���ġ�ֻ�ڿ�ʼ��
������ʱ�����ݵ���֤��������SQL Server �ж���/����ÿ���û��ķ���Ȩ�ޣ�TCP/IP Soc
kets��Named Pipes ��Ҫ�����Ĺ�����

�����㲻��ҪSQL Server�Ľ�Windowsģʽ�� TCP/IP Sockets ��һ���õ�ѡ����

l Named Pipes
Named Pipes ��һ�ֿɿ���Э�顣ÿ���û�ʹ��Named Pipes����SQL Server ���������Ӷ�
�ᱻȷ�����ݡ���Ҳ��Ϊʲô����SQL Server Ĭ�ϰ�װ�ﱻ��װ����Ҫԭ��������һ����Ҫ
��ԭ����Named Pipes�������ٶ����졣

l Multi-Protocol
Multi-Protocolһ����Ҫ�ĺô������м��ܵĹ��ܡ�


3�� ����ͨNT�ʺ���������
����ʹ�á�Enterprise Manager���޸ġ�
1. �ʺ���Ҫ����Ȩ�ޣ�
2. �滻���̼��Ǻţ�
3. �������
4. �Բ���ϵͳ��ʽ������
5. �Է�����¼��
6. ��д����ע������
HKEY_LOCAL_MACHINESoftwareMicrosoftMSSQLServer.
����HKEY_LOCAL_MACHINESoftwareMicrosoftMicrosoft SQL Server.

HKEY_LOCAL_MACHINESystemCurrentControlsetServicesMSSQLServer.
��(ֻ����SQL 2000)��
HKEY_LOCAL_MACHINESystemCurrentControlsetServicesMSSQL$Instancename.

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionPerflib
7. ��ȡ������SQL Server Ŀ¼ ��
SQL 2000 Program FilesMicrosoft SQL ServerMssql
SQL 7.0 MSSQL7.
8. ��ȡ������ .mdf, .ndf, ��.ldf �����ļ���


4�� �������˼���
a) Failure
b) Success
c) ALL

5�� ɾ��master..xp_cmdshell �洢����
a) ɾ���洢����
============================
use master
go
execute sp_dropextendedproc 'xp_cmdshell'
go

b) ���Ӵ洢����
============================

use master
go
execute sp_addextendedproc 'xp_cmdshell' ,'xpsql70.dll'
go

c) ���Ҵ洢���̶�Ӧ��Dll�ļ�
============================
select o.name,c.text from dbo.syscomments c, dbo.sysobjects o where c.id = o.id
and o.name = 'xp_cmdshell'

d) ����Dll�ļ���Ӧ�Ĵ洢����
============================
select o.name,c.text from dbo.syscomments c, dbo.sysobjects o where c.id = o.id
and c.text = 'xplog70.dll'

6�� ɾ��OLE automation�洢����(�ᵼ�¹�����һЩ���ܲ���ʹ��)
l Sp_OACreate
l Sp_OADestroy
l Sp_OAGetErrorInfo
l Sp_OAGetProperty
l Sp_OAMethod
l Sp_OASetProperty
l Sp_OAStop

7�� ɾ������ע�����Ĵ洢����
l Xp_regaddmultistring
l Xp_regdeletekey
l Xp_regdeletevalue
l Xp_regenumvalues
l Xp_regread
l Xp_regremovemultistring
l Xp_regwrite

�磺��ȡע����SAM���ݣ�
xp_regread 'HKEY_LOCAL_MACHINE', 'SECURITYSAMDomainsAccount', 'F'

8�� ɾ����������в�Ĵ洢����
sp_sdidebugxp_availablemediaxp_deletemailxp_dirtreexp_dropwebtaskxp_dsninfoxp_en
umdsnxp_enumerrorlogsxp_enumgroupsxp_enumqueuedtasksxp_eventlogxp_findnextmsgxp_
fixeddrivesxp_getfiledetailsxp_getnetnamexp_grantloginxp_logeventxp_loginconfigx
p_logininfoxp_makewebtaskxp_msver xp_perfend xp_perfmonitorxp_perfsamplexp_perfs
tartxp_readerrorlogxp_readmailxp_revokeloginxp_runwebtaskxp_schedulersignalxp_se
ndmailxp_servicecontrolxp_snmp_getstatexp_snmp_raisetrapxp_sprintfxp_sqlinventor
yxp_sqlregisterxp_sqltracexp_sscanfxp_startmailxp_stopmailxp_subdirsxp_unc_to_dr
ive

��¼һ������/Ӧ�ö�Ӧ�˿�

������/Ӧ�� UDP TCP
Browsing datagram responses of NetBIOS over TCP/IP 138
Browsing requests of NetBIOS over TCP/IP 137
Client/Server Communication 135
Common Internet File System (CIFS) 445 139, 445
Content Replication Service 560
Cybercash Administration 8001
Cybercash Coin Gateway 8002
Cybercash Credit Gateway 8000
DCOM (SCM uses udp/tcp to dynamically assign ports for DCOM) 135 135
DHCP client 67
DHCP server 68
DHCP Manager 135
DNS Administration 139
DNS client to server lookup (varies) 53 53
Exchange Server 5.0
Client Server Communication 135
Exchange Administrator 135
IMAP 143
IMAP (SSL) 993
LDAP 389
LDAP (SSL) 636
MTA - X.400 over TCP/IP 102
POP3 110
POP3 (SSL) 995
RPC 135
SMTP 25
NNTP 119
NNTP (SSL) 563
File shares name lookup 137
File shares session 139
FTP 21
FTP-data 20
HTTP 80
HTTP-Secure Sockets Layer (SSL) 443
Internet Information Services (IIS) 80
IMAP 143
IMAP (SSL) 993
IKE (For more information, see Table C.4) 500
IPSec Authentication Header (AH) (For more information, see Table C.4)
IPSec Encapsulation Security Payload (ESP) (For more information, see Table C.4)

IRC 531
ISPMOD (SBS 2nd tier DNS registration wizard) 1234
Kerberos de-multiplexer 2053
Kerberos klogin 543
Kerberos kpasswd (v5) 464 464
Kerberos krb5 88 88
Kerberos kshell 544
L2TP 1701
LDAP 389
LDAP (SSL) 636
Login Sequence 137, 138 139
Macintosh, File Services (AFP/IP) 548
Membership DPA 568
Membership MSN 569
Microsoft Chat client to server 6667
Microsoft Chat server to server 6665
Microsoft Message Queue Server 1801 1801
Microsoft Message Queue Server 3527 135, 2101
Microsoft Message Queue Server 2103, 2105
MTA - X.400 over TCP/IP 102
NetBT datagrams 138
NetBT name lookups 137
NetBT service sessions 139
NetLogon 138
NetMeeting Audio Call Control 1731
NetMeeting H.323 call setup 1720
NetMeeting H.323 streaming RTP over UDP Dynamic
NetMeeting Internet Locator Server ILS 389
NetMeeting RTP audio stream Dynamic
NetMeeting T.120 1503
NetMeeting User Location Service 522
NetMeeting user location service ULS 522
Network Load Balancing 2504
NNTP 119
NNTP (SSL) 563
Outlook (see for ports)
Pass Through Verification 137, 138 139
POP3 110
POP3 (SSL) 995
PPTP control 1723
PPTP data (see Table C.4)
Printer sharing name lookup 137
Printer sharing session 139
Radius accounting (Routing and Remote Access) 1646 or 1813
Radius authentication (Routing and Remote Access) 1645 or 1812
Remote Install TFTP 69
RPC client fixed port session queries 1500
RPC client using a fixed port session replication 2500
RPC session ports Dynamic
RPC user manager, service manager, port mapper 135
SCM used by DCOM 135 135
SMTP 25
SNMP 161
SNMP Trap 162
SQL Named Pipes encryption over other protocols name lookup 137
SQL RPC encryption over other protocols name lookup 137
SQL session 139
SQL session 1433
SQL session 1024 - 5000
SQL session mapper 135
SQL TCP client name lookup 53 53
Telnet 23
Terminal Server 3389
UNIX Printing 515
WINS Manager 135
WINS NetBios over TCP/IP name service 137
WINS Proxy 137
WINS Registration 137
WINS Replication 42
X400 102

��¼��������Microsoft SQL�汾�ű�����
SET NOCOUNT ON
SELECT CONVERT(CHAR(25),@@SERVERNAME) AS 'SQL SERVER',
SUBSTRING(@@VERSION,23,4) AS 'PRODUCT VERSION',
SUBSTRING(@@VERSION,35,3) AS 'BUILD NUMBER',
CASE SUBSTRING(@@VERSION,35, 3)
-- 6.5
WHEN '121' THEN 'NO SP'
WHEN '124' THEN 'SP1'
WHEN '139' THEN 'SP2'
WHEN '151' THEN 'SP3'
WHEN '201' THEN 'NO SP'
WHEN '213' THEN 'SP1'
WHEN '240' THEN 'SP2'
WHEN '252' THEN 'SP3 ** BAD **'
WHEN '258' THEN 'SP3'
WHEN '259' THEN 'SP3 + SBS'
WHEN '281' THEN 'SP4'
WHEN '297' THEN 'SP4 + SBS'
WHEN '339' THEN 'SP4 + Y2K'
WHEN '415' THEN 'SP5 ** BAD **'
WHEN '416' THEN 'SP5a'
-- 7.0
WHEN '198' THEN 'Beta 1'
WHEN '517' THEN 'Beta 3'
WHEN '583' THEN 'RC1'
WHEN '623' THEN 'NO SP'
WHEN '689' THEN 'SP1 Beta'
WHEN '699' THEN 'SP1'
WHEN '835' THEN 'SP2 Beta'
WHEN '842' THEN 'SP2'
WHEN '961' THEN 'SP3'
-- 2000
WHEN '194' THEN 'NO SP'
ELSE 'Unknown - may be a Hot-Fix version or script out of date'
END AS 'SERVICE PACK'
set nocount off

��¼��:SYN����

xxx.xx.xxx.xxx��������netstat �Cn �Cp tcp�����鿴�����Է��ֺܶ�SYN_RECEIVED���ӡ�
���Ҷ��Ƿ�����80�˿��ϣ������޷���������80�˿��ϵķ������������������ӡ���������
�����ġ����������²�Ӧ�ó��ִ���SYN_RECEIVED״̬��TCP���ӡ�������Щ���ӵ���Դ��ַ
������һ���Ĺ��ɡ����ݾ�������ȷ�����ж����߶�xxx.xx.xxx.xxx����D.o.S��Denial of
Service��������

ִ��netstat�����������£�

Active Connections

Proto Local Address Foreign Address State
TCP 127.0.0.1:1025 127.0.0.1:1033 ESTABLISHED
TCP 127.0.0.1:1033 127.0.0.1:1025 ESTABLISHED
TCP xxx.xx.xxx.xxx:80 1.129.155.213:56048 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 8.71.96.232:18544 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 17.95.29.168:33072 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 33.212.238.226:29024 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 33.250.131.21:46336 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 41.254.157.63:26688 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 44.6.143.72:14352 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 44.233.0.83:2368 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 46.172.194.36:60560 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 52.141.107.180:34048 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 58.92.189.37:59680 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 147.24.54.140:42160 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 150.41.8.196:50864 SYN_RECEIVED
........................
........................
TCP xxx.xx.xxx.xxx:80 157.176.98.17:49712 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 165.217.228.103:18416 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 171.191.13.61:64656 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 174.45.224.245:30896 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 181.118.121.182:23984 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 191.3.0.46:2864 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 196.235.126.62:57024 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 208.104.144.7:50912 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 209.232.143.50:57248 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 214.14.49.76:50496 SYN_RECEIVED
TCP xxx.xx.xxx.xxx:80 223.71.101.172:62528 SYN_RECEIVED
........................
........................


������ʽ�ķ���:

ͨ����netstat���������ķ���������֪����������TCP�Ĵ����Խ��й����ġ�����˵���ǹ�
����α��һ���ٵ�IP�������͵�Ŀ�깥���Ļ������˷�Ŀ�������ϵ�TCP��Դ���Ӷ���Ŀ����
���޷�Ϊ�����������ṩ������һ�ֹ�����

�ֽ��ܶ�Internt�ķ������ǽ�����TCP���������ģ�����Telnet ,WWW, Email����һ̨����
�����dz���Ϊ�ͻ��ˣ���ͼ��һ��̨�ṩ�����Ļ��������dz���Ϊ�����ˣ�����TCP����ʱ��
���DZ����Ȱ����򽻻�ͨѶ�ü��Σ�����TCP���Ӳ��ܽ���������

��ʼ�ͻ��˻ᷢ��һ����SYN���ǵİ��������ˣ�
�������յ�������SYN���ǵİ��󣬻ᷢ��һ����SYN-ACK���ǵİ����ͻ�����Ϊȷ�ϣ�
���ͻ����յ������˴�SYN-ACK���ǵİ��� �����������˷���һ����ACK���ǵİ���
�������⼸�����裨����ͼ�������ǵ�TCP���Ӿͽ��������ˣ����Խ�������ͨѶ��

�ͻ��� ������
SYN ��
�� SYN-ACK
ACK ��


�����߾�������TCP���ӵĽ�����Ҫ�����Ĺ��̵��ص㣬��Ϊ�������ֶΡ�

���ǣ������ߣ�α��һ��IP����������������һ��SYN���Ǻͼٵ�ԴIP��ַ�����͵�Ŀ������
���ܹ����Ļ�������

Ŀ���������ܹ����Ļ������յ������߷��͹�����α����IP�����᳢����IP��������¼��Դ
IP��ַ����һ����SYN-ACK���ǵİ���ԴIP��ַ�Ļ����ϡ�

���ڹ����߷��͹�����IP������������ԴIP��ַΪα���ģ�����Ŀ���������ܹ����Ļ�����
�����޷��ɹ����ʹ�SYN-ACK���ǵİ���α����ԴIP��ַ�Ļ����ϡ�����Ŀ���������ܹ�����
�������ĵȴ������������ӡ�

��ΪĿ���������ܹ����Ļ������ĵȴ�����Ҫռ��ϵͳһ������Դ�ġ��������������ӵ���
һ������Ŀ��ϵͳû�и�������Դ��Ϊ�µ�����������Ӧ����ôTCP���Ӿ��޷�������������
֮�������޷��ṩ�����ķ�����

����Щ�ȴ�����Դ����һ����ʱ��(Time Out)�����ͷš���Windows NT��Ĭ�����õ�һ��Ϊ
3���ij�ʱ������5�Σ�ÿ�γ��Եij�ʱʱ��Ϊǰһ�ε����������±���


����ʱ�䣨�룩 �ۼƻ���ʱ�䣨�룩
��һ�Σ�ʧ�� 3 3
���Ե�1�Σ�ʧ�� 6 9
���Ե�2�Σ�ʧ�� 12 21
���Ե�3�Σ�ʧ�� 24 45
���Ե�4�Σ�ʧ�� 48 93
���Ե�5�Σ�ʧ�� 96 189


���ϱ������ǿ��Կ�����������Windows NTĬ�ϵ����ã���ôһ��������������������Ӧ��
��Դռ��189�룬189����ϵͳ�Ż��Զ��ͷš�����������������Ŀ����һ���̶�֮����ϵͳ
���޷��ṩ�����ķ����ˡ�

• ת����ע����Դ��ITѧϰ�� ��ַ��http://www.t086.com/ �����������Ƽ�������
• �ر������� ��վ�������ر�������ֹת�ص�ר�������������¿�������ת�أ���������ע��������ԭʼ���ߡ����°�Ȩ������ԭʼ�������С����ڱ���վת�����µĸ��˺���վ�����DZ�ʾ������л�⡣������վת�ص������а�Ȩ��������ϵ���ǣ����ǻᾡ�����Ը�����

• ��һƪ�����θ��� pcAnywhere IP �˿�
• ��һƪ�����״�ʼ����άʤ��Webboy����̸��¼
• �鿴2006��03�µ����¹鵵