一、常用命令
1、ping命令
2、net start、net pause、net stop:管理系统服务
3、net user:管理用户账号
4、net share:管理共享资源
5、net view
6、net config
7、net use
8、at命令
9、Assoc
10、ftype命令
11、shutdown命令
二、端口
1、什么是端口
2、端口的分类
3、端口的作用
4、查看本机开放的端口
5、关闭端口
一、常用命令
1、ping命令
利用ping命令可以测试TCP/IP协议是否安装好,测试网络是否畅通等。
按照默认设置,Windows上运行的ping命令发送4个ICMP(网间控制报文协议)回送请求,每个32字节数据,如果一切正常,我们应能得到4个回送应答。
Ping能够以毫秒为单位显示发送回送请求到返回回送应答之间的时间量。如果应答时间短,表示数据报不必通过太多的路由器或网络连接速度比较快。
Ping向目标主机发送一个回送请求数据包,要求目标主机收到请求后给予答复,从而判断网络的响应时间以及本机是否与目标主机连通。
只有在安装 TCP/IP 协议之后才能使用该命令。
(1)ping命令详解
参数 | 含义 |
-t | 指定在中断前 ping 可以持续发送回响请求信息到目的地。要中断并显示统计信息,请按 CTRL+BREAK。要中断并退出 ping,请按 CTRL+C。 |
-a | 指定对目的地 IP 地址进行反向名称解析。如果解析成功,ping 将显示相应的主机名 |
-n Count | 指定发送回响请求消息的次数。默认值为 4 |
-l Size | 指定发送的回响请求消息中“数据”字段的长度(以字节表示)。默认值为 32字节。size 的最大值是 65,527字节 |
/? | 在命令提示符显示帮助 |
(2)使用ping命令探测主机操作系统类型
不通的操作系统的主机设置的TTL值是不同的,所以利用这个TTL值可以帮助识别操作系统类型。一般Windows NT/2000/XP操作系统ICMP回显应答TTL值为128;Linux操作系统的TTL值为64;一般Unix操作系统的TTL为255。
注意:虽然可以根据TTL值来判断目标主机的操作系统类型,但是该方法不一定正确,因为管理员可以通过注册表修改TTL值而达到欺骗的效果。
(3)使用ping命令攻击远程主机
Ping命令带了一个“- t”的参数,可以不断地向某台主机发送大量的数据包,对远程主机进行攻击。例如许多大型的网站就是被黑客利用数百台可以高速接入互联网的电脑连续发送大量Ping数据包而瘫痪的。
2、net start、net pause、net stop:管理系统服务
要实现Telnet远程登录到目标计算机,目标计算机就必须开启Telent服务;要进行文件传输,就必须开启FTP服务。
服务是指执行指定系统功能的程序、例程或进程,以便支持其他程序。系统中有很多种服务,如:FTP、WWW、Messenger等。
(1)查看系统已经启用了哪些服务
(2)启动某一服务
命令格式:net start 服务名称
(3)暂停某一服务
(4)停止某一服务
3、net user:管理用户账号
(1)查看本机中已有的用户账号
(2)查看用户的详细信息
(3)创建一个用户
(4)修改用户密码
(5)将用户提升为管理员组用户
(6)收回用户的管理员权限
(7)删除用户
4、net share:管理共享资源
(1)显示本机所有的共享资源信息
Windows XP提供了默认共享功能,这些默认的共享都有“$”标志,意为隐含的,包括所有的逻辑盘(C$,D$,E$……)和系统目录Windows(admin$)。主要用于管理员远程登录时使用。
(2)删除本地共享
参见:http://wenda.tianya.cn/wenda/thread?tid=79e8e1b7e29ac235&clk=wttpcts
方法1:右键“停止共享”法
在“计算机管理”窗口中,在某个共享项(比如C$)上右键单击,选择“停止共享” 并确认后就会关闭这个共享。
注意:该方法治标不治本,机器重启后,这些默认共享又会恢复。
方法2:批处理自启动法
在记事本中输入以下内容(注意:有几个硬盘分区就写几行对应的命令),并将文件保存为.bat格式。然后,将该批处理文件拖到“程序”—“启动”项,这样每次开机就会自动运行。
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete
net share e$ /delete
方法3:修改注册表键值法
关闭硬盘各分区的默认共享:
将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters项,双击右侧窗口中的“AutoShareServer“项将键值由1改为0即可。
关闭admin$共享:
关闭IPC$共享:
将HKEY-LOCAL_MACHINE\SYSTEM\CurrentControSet\Control\LSA项里数值名称RestrictAnonymous的数值数据由0改为1即可。
方法4:停止服务法
关闭server服务,此服务提供RPC支持、文件、打印以及命名管道共享。关掉它就关掉了winXP的默认共享,比如ipc$、c$、admin$等。
方法5:卸载“文件和打印机共享法”
注意:本方法的缺陷是以后不能共享文件夹了。
(3)创建、删除文件夹共享
5、net view
(1)查看远程主机的所有共享资源
其语法格式为:net view
(2)查看网络上的所有域或工作组名
(3)查看当前域的计算机列表
6、net config
使用net config命令可以将计算机隐藏起来,不在网上邻居中显示。
7、net use
将计算机连接到某个共享资源或与其断开连接,或者显示有关计算机连接的信息。
(1)建立IPC$空连接
语法格式为:net use \\ip\\ipc$
IPC$(Internet Process Connection)是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。
NT在提供了IPC$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$,……)和系统目录windows(admin$)共享。微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。
在Windows NT 4.0中,客户机与远程机器建立一个会话,建立成功的会话将成为一个安全隧道,双方通过它互通信息。空会话是在没有信任的情况下与远程机器建立的会话(即未提供用户名与密码)。
语法格式为:net use \\ip\ipc$
(3)将远程主机系统目录映射到本地硬盘
(4)删除IPC$连接
net use * /del
8、at命令
使用at命令可以使指定的命令或程序在特定的日期或时间运行。相对于Windows中的“任务计划”功能更全、使用更灵活,甚至还可以管理远程计算机的计划任务。
当使用IPC入侵时,可以使用at命令来安排计划任务,让指定的程序在目标计算机中按指定的时间运行。
At命令运行的前提是“schedule”服务必须已经运行。此服务可以使用户在计算机上制定自动任务的日程。
(1)为本机添加计划任务
(2)查看远程主机的计划任务列表
(3)为远程主机添加计划任务
9、Assoc
显示或修改文件扩展名关联。语法格式为: assoc
. ext指定跟文件类型关联的文件扩展名。FileType指定跟指定的文件扩展名相关联的文件类型。
(1)键入 “ASSOC” 或“ assoc | more”,显示所有当前文件扩展名关联列表
(2)显示与指定文件扩展名关联的文件类型
10、ftype命令
显示或者修改在文件名扩展关联中使用的文件类型。使用不带参数的 ftype 显示已定义打开命令字符串的文件类型。
语法格式:Ftype [FileType[=[OpenCommandString]]]
(参考:Ftype [文件类型[=[打开方式/程序]]])
fileType:指定要检查或改变的文件类型
openCommandString:指定调用这类文件时要使用的开放式命令字符串。
(1)键入“ftype”或“ftype|more”,显示当前所有定义的开放式命令字符串的文件类型
(2)显示指定文件类型的开放式命令字符串
(3)修改指定文件类型的开放式命令字符串
注意:在执行完上述命令,关闭cmd窗口后,就会导致无法打开cmd窗口了,解决办法是右键单击任何文件,选择“打开方式”,然后点击“浏览”,转到Windows\System32下,选择cmd.exe,这样就可以再次打开“命令提示符”窗口了。
有时,机器中毒后,exe文件提示无法打开,我们可以手动恢复.exe的文件关联。
演示2.1:修改文件关联,让用户无法正常打开exe文件
工具:无
11、shutdown命令
Shutdown命令可以用来关闭或重新启动本地或远程计算机,可注销用户、定时关机等。
(1)注销用户
Shutdown –l
(2)关闭本地计算机
Shutdown –s
Shutdown –s –t 10
at 23:00 shutdown –s
(3)终止关机
Shutdown –a
(4)重启计算机
Shutdown –r
(5)设置自动关机
Shutdown –i
Shutdown –m \\IP –t
演示2.2:使用shutdown命令让对方机器无法正常开机
工具:BAT转换EXE工具
二、端口
1、什么是端口
端口是计算机与外部通信的途径,没有它,计算机便又聋又哑。
2、端口的分类
电脑在Internet上相互通信需要使用TCP/IP协议,根据TCP/IP协议规定,电脑有256×256(65536)个端口。
网络上常用的通信有两种,分别是面向连接(TCP,传输控制协议)和无连接(UDP协议,用户数据报协议)。面向连接,如打电话;无连接,如写信。
按照网络协议类型划分,端口可分为TCP端口和UDP端口两种。
由于TCP和UDP两个协议是独立的,因此各自的端口号也相互独立,比如TCP有235端口,UDP也可以有235端口,两者并不冲突。
(1)TCP端口
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠的数据传输。
常见的包括:HTTP服务的80端口,FTP服务的21端口,Telnet服务的23端口,SMTP服务的25端口以及POP3服务的110端口等等。
(2)UDP端口
UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保障。
常见的有: DNS服务器的53端口,SNMP(简单网络管理协议)服务的162端口,QQ使用的8000和4000端口等。
按照端口号划分,可以分为知名端口和动态端口两大类:
(1)知名端口
知名端口,即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。
比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给HTTP服务,23端口分配给Telnet服务,135端口分配给RPC(远程过程调用)服务等等。
(2)动态端口
动态端口,范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些端口号中分配一个供该程序使用。
比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后,就会释放所占用的端口号。
不过,动态端口也常常被病毒木马程序所利用,如冰河默认连接端口是7626、WAY 2.4是8011、Netspy 3.0是7306等。
3、端口的作用
端口有什么用呢?
一台拥有IP地址的主机可以提供许多服务,比如Web服务、FTP服务、SMTP服务等,这些服务完全可以通过1个IP地址来实现。那么,主机是怎样区分不同的网络服务呢?显然不能只靠IP地址,因为IP地址与网络服务的关系是一对多的关系。实际上是通过“IP地址+端口号”来区分不同的服务的。
需要注意的是,端口并不是一一对应的。比如你的电脑作为客户机访问一台WWW服务器时,WWW服务器使用“80”端口与你的电脑通信,但你的电脑则可能使用“3457”这样的端口,如图所示。
端口是用来解决主机应该把接收到的数据包传送给众多同时运行的进程中的哪一个的问题的。例如,http协议使用80号端口,ftp协议使用21号端口,这样,通过不同的端口,电脑同时运行的不同进程就可以互不干扰地进行通信了。
4、查看本机开放的端口
在默认状态下,Windows会打开很多“服务端口”,如果你想查看本机打开了哪些端口、有哪些电脑正在与本机连接,可以使用以下两种方法。
(1)利用netstat命令
显示协议统计信息和当前 TCP/IP 网络连接。
语法格式:NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]
参数说明:
-a
-n
-o
-p proto
Active Connections:指当前本机活动连接
Proto:是指连接使用的协议名称
Local Address:是本地计算机的 IP 地址和连接正在使用的端口号
Foreign Address:是连接该端口的远程计算机的 IP 地址和端口号
State:连接的状则,是表明TCP 连接状态,其中包括ESTABLISHED(已经建立)、TIME_WAIT(等待)、SYN_SENT(正在连接)等状态。UDP协议没有State表示的状态。
PID:显示每个连接都是由哪些程序创建的
(2)利用端口监视软件
如安全监视工具VStat ,它是一个拥有 GUI 界面的小型系统安全监视工具。VStat 允许你关闭任何现有 TCP 和 UDP 连接的建立和终止活动。
5、关闭端口
为了让你的系统变为铜墙铁壁,应该封闭一些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口和远程服务访问端口3389。
(1)通过停止服务来关闭端口
每一项服务都对应相应的端口,比如众如周知的WWW服务的端口是80,SMTP是25,ftp是21,默认情况下这些服务都是开启的。在“控制面板”--“管理工具”--“服务”中来配置,禁用不需要的服务,对应的端口也就关闭了。
?
端口说明: ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。
关闭方法:关闭FTP Publishing Service服务。
?
关闭方法:关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运行控制台程序。
?
关闭方法:关闭Simple Mail Transport Protocol (SMTP)服务,它提供的功能是
跨网传送电子邮件
?
端口说明: 80端口是为HTTP(超文本传输协议)开放的,这是上网冲浪使用最多的协议,主要用于在WWW(World Wide Web,万维网)服务上传输信息的协议。
关闭方法:关闭WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service"。
(2)创建IP安全策略来屏蔽端口
?
(3)利用“TCP/IP筛选”功能限制服务器的端口
对于个人用户来说,可以限制所有的端口,因为你根本不必让你的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。
“本地连接属性”—“Internet协议(TCP/IP)” – “属性” – “高级”- - “高级TCP/IP设置” – “选项” --
(4)其它方法
?
139端口是为“NetBIOS Session Service”提供的,主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Internet上共享自己的硬盘是可能是最常见的问题。
IPC$就是要依赖这个端口的。
?
135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务。通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码;使用DCOM可以通过网络直接进行通信,能够跨包括HTTP协议在内的多种网络传输。“冲击波”病毒就是利用RPC漏洞来攻击计算机的,该漏洞侦听的端口就是135。
关闭方法:
(1)开始---运行---输入“dcomcnfg”,单击“确定”按钮,打开组件服务
(2)在“组件服务”对话框中,选择“计算机”选项
(3)在“计算机”选项右边,右键单击“我的电脑”,选择“属性”
(4)在出现的“我的电脑属性”对话框“默认属性”选项卡中,去掉“在此计算机上启用分布式COM”前的勾。
(5)选择“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”按钮。
(6)单击“确定”按钮,设置完成,重新启动后即可关闭135端口。
?
3389又称Terminal Service,服务终端。在XP系统中又叫做“远程桌面”。
方法:右键单击“我的电脑” -- 属性 – “远程”选项卡 -- 去掉“远程协助和远程桌面”两个选项框里的勾。
?
在注册表找到找注册表项“HKEY_LOCAL_MACHINE\System\CurrentControlset\Services\NetBT\Parameters”-- 选择“Parameters”项-- 右键单击,选择“新建”--“DWORD值” -- 将DWORD值的数值名称设为“SMBDeviceEnabled” -- 将“数值数据”设为0 --
292
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
