flower611的博客

今天是袁世凯称帝的日子，呵呵

快过生日了

快20了

快考试了

计算机协会工作收尾了

一年就要过去了

我们的爱走到尽头

看了一天汇编，思绪很清晰，没有头大

有4个月没来自己的blog了，只有4篇文章，却意外发现访问数量还不错

暑假期间因为自己的台式电脑主板返厂维修，只要用笔记本上网，不巧笔记本上的win系统刚换成linux

mozilla浏览器不能正常维护这个blog，所以废弃了一段时间

转眼4年大学时间所剩无几，I wish, that I could turn back time..

以后会经常“光顾”

发现不少问我怎么盗QQ的留言，没有看内容

没什么意义，建议去google搜，包准有大量无聊人事的大作

my life for the computer

也许这个blog还会象以前一样记录我的心情...

最近听说XXX盗QQ号码被抓了，一年赚7W云云

我想正应了那句话：抓住的都是虾米，大鱼都在偷着乐

大量网站还在明目张胆的收购密码邮箱，一天数万密码的不足为奇

公安抓网络犯罪不过是形式主义

胡乱写点东西，希望误打误撞进来的朋友们有空一起讨论技术

：）

中学的网站让人入侵了

留言好不得意，居然还用我的帐号骂人，不可原谅

知道BBS有漏洞，随便一个黑客工具就能从数据流读出admin明文密码

因为没想到有人对这个站有兴趣，就没管他

登陆后台，发现日志被删除了

把数据库下回来（路径默认没改）一切都明白了...

本来还以为那小黑知道用代理跳一下

没想到傻到这程度，同一时间用同一IP，登陆我和他的帐号

还不一眼找出是谁干的

检查下有没有其他后门，看了下文件修改日期，没什么问题

警告那白痴一下..呵呵

学校论坛又出了点问题，文件上传大小受限制，不知道哪里设置有点问题，本来以为是DVBBS本身或  serv-u的限制，查过资料发现serv-u只限制流量和速度

想起服务器用的serve2003，于是找到了问题所在，IIS 6 出于安全考虑, 默认最大请求200K(也即最大提交数据限额为200KByte, 204800Byte).

　　解决办法:

　　1. 关闭 IIS Admin Service 服务

　　2. 打开 \Windows\system32\inesrv\metabase.xml

　　3. 修改 ASPMaxRequestEntityAllowed 的值为自己需要的, 默认为 204800

　　4. 启动 IIS Admin Service

　　 解决方法2 ：

　　1. 新建文本文件：

 'use VBS
set obj1=GetObject("winmgmts:/root/MicrosoftIISv2")
set obj2=obj1.get("IIsWebVirtualDirSetting='W3SVC/1/ROOT'")
'Output default value
WScript.Echo "AspMaxRequestEntityAllowed Default Value: " & obj2.AspMaxRequestEntityAllowed
'Reset the value
obj2.AspMaxRequestEntityAllowed=1024000 ' set to 1mbyte, u can set to other what you want :)
' Save data
obj2.Put_()
'Output new value
WScript.Echo "AspMaxRequestEntityAllowed New Value: " & obj2.AspMaxRequestEntityAllowed

　　2. 保存为requestchange.vbs

　　3. 进入命令行, 运行:
cscript [path]requestchange.vbs

连续考了7科，最后又给人替考一科电子电路与数字逻辑

一个月都处于非常紧张的状态

看着大家晚上还都去长明教室，就感觉到不少压力

自己没去不是因为心里塌实，而是体力不支

看编译原理的时候又一次心烦，从 小到大，我一直对自己的理解能力很有自信

这一科彻底粉碎了我的自信心，时间一点点过去，复习没有任何进展

最后发现不是我理解能力的问题，也不是因为这门学科就是难学

而是教材太垃圾，大学教材不如中学教材成熟

而专业课教材又不如基础课，乱七八糟的狗屁教授随便翻译一段外国教材

就拿过来拼凑成课本，标上自己的名字，好拿职称

不知道坑害了多少学生

没有水平还不如就用国外经典教材

随着一门一门考完。我越来越疲惫，不是身体累，而是心累

好在成绩也在慢慢公布，今年的成绩是进大学以来最好的一次

其实全靠她了。。：）

现在终于放假，其实并不轻松，5月还有程序员考试

但愿一切顺利！

 windows系统进程
 
 上次有协会成员问到进程的问题，于是我搜集了windows常见进程列表抽出最常见的进程并添加部分注释，系统进程为主还包括个别win自带程序进程。末尾是相关知识补充。
1．常见进程列表，及简介
alg.exe
进程名称: 应用层网关服务
描述: 这是一个应用层网关服务用于网络共享。
csrss.exe
进程名称: Client/Server Runtime Server Subsystem
描述: 客户端服务子系统，用以控制Windows图形相关子系统。
CSRSS.EXE存在栈溢出漏洞 (MS05-018)，攻击者可以远程执行任意代码。
dllhost.exe
进程名称: DCOM DLL Host进程
描述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。
Explorer.exe
描述: 资源管理器，我们常用的桌面、任务栏等就是由它来管理的。XP系统常因为这个进程异常终止或停止响应而丢失桌面，可以在任务管理器中重起这个进程，另外重起这个进程可以使注册表的修改立即生效，可以免除部分软件安装后的重起要求，在运行大型程序，系统。资源紧张时，可以暂时结束这个进程，可以节约40M左右的内存使用量。
inetinfo.exe
进程名称: IIS Admin Service Helper
描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug调试除错。安装IIS后的新增服务。
internat.exe
进程名称: Input Locales
描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。
kernel32.dll
进程名称: Windows壳进程
描述: Windows壳进程用于管理多线程、内存和资源。
lsass.exe
进程名称: 本地安全权限服务
描述: 这个本地安全权限服务控制Windows安全机制。
存在溢出漏洞，可获得admin权限，著名的震荡波 (Worm.Sasser)就是利用这个漏洞传播的
mstask.exe
进程名称: Windows计划任务
描述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。
regsvc.exe
进程名称: 远程注册表服务
描述: 远程注册表服务用于访问在远程计算机的注册表。建议禁用此服务。
services.exe
进程名称: Windows Service Controller
描述: 管理Windows服务。
smss.exe
进程名称: Session Manager Subsystem
描述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。
spoolsv.exe
进程名称: Printer Spooler Service
描述: Windows打印任务控制程序，用以打印机就绪。没有安装打印机的机器完全可以禁用这个服务。
svchost.exe
进程名称: Service Host Processt，那就应该引起注意了。
taskmon.exe
进程名称: Windows Task Optimizer
描述: windows任务优化器监视你使用某个程序的频率，并且通过加载那些经常使用的程序来整理优化硬盘。
taskmgr.exe
描述:任务管理器，使用任务管理器查看进程时肯定会看见这个的。
winlogon.exe
描述: Service Host Process是一个标准的动态连接库主机处理服务。其实Svchost.exe是Windows XP系统的一个核心进程。Svchost.exe不单单只出现在Windows XP中，在使用NT内核的Windows系统中都会有Svchost.exe的存在。一般在Windows 2000中Svchost.exe进程的数目为2个，而在Windows XP中Svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个Svchost.exe不用那么担心。
如果你怀疑计算机有可能被病毒感染，Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会找到一个，在：“C:WindowsSystem32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话，那很可能就是中毒了。也可以利用tasklist /svc查看每个进程对应的服务，如果发现非服务进程svchos
进程名称: Windows Logon Process
描述: Windows NT用户登陆程序。winlogon是一个和网络安全关系比较密切的进程，它的个个数也就是计算机上登陆用户的个数
熟悉网络安全的朋友都知道利用findpass可以从winlogon进程中把当前用户的明文密码找出来，当然是在内存中读取，这种方法仅适用于获得
winxp以前的win操作系统，XP及以后的操作系统都不再在winlogon进程中保存密码。系统进程中另外一个和帐户有关的进程是lsass，其中虽然包含明文的帐户密码，但因为密码存放在lsass进程中的内存地址没有规律，密码前后数据也没有规律，所以定位有一定困难。
ctfmon.exe
进程名称: Alternative User Input Services
描述: 控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条。Ctfmon.exe提供语音识别、手写识别、
键盘、翻译和其它用户输入技术的支持。
hh.exe
进程名称: Gator Windows Help
描述: Windows Help程序用以打开帮助文件和文档，包括在很多Windows程序中。
iexplore.exe
进程名称: Internet Explorer
描述: Microsoft Internet Explorer网络浏览器透过HTTP访问WWW万维网。
mmc.exe
进程名称: Microsoft Management Console
描述: Microsoft Management Console管理控制程序集成了很多的系统控制选项。例如设备管理（系统、硬件 ）或者计算机权限控制。控制面板中的管理工具大部分都用控制台打开。
mplayer.exe
进程名称: Windows Media Player
描述: Windows Media Player是一个用以打开音乐、声音和视频文件的软件。windows自带播放器。
msiexec.exe
进程文件: msiexec or msiexec.exe
描述: Windows Installer的一部分。用来帮助Windows Installer package files (MSI)格式的安装文件。安装卸载软件时会出现这个进程。
nwiz.exe
进程名称: NVIDIA nView Control Panel
描述: NVIDIA nView控制面板在NVIDA显卡驱动中被安装，用于调整和设定。可能会自动添加到注册表启动项，基本没什么用，可以删除。
wowexec.exe
进程名称: Windows On Windows Execution Process
描述: Windows On Windows Execution Support Process和ntvdm.exe作用类似，为了兼容16位应用程序。建议禁止系统运行16位程序。

Windows操作系统中只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的，最后那个是Win32子系统，ntsd本身需要它。systerm idle process 进程CPU使用量即空闲CPU占用率，这个数字当然是越高越好。System和System Idle Process：系统默认服务，它作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。

其他相关

1 进程查毒
 当电脑出现速度变慢，硬盘狂响等等异常现象时，大部分人的第一反映是按Ctrl+Alt+Del或Ctrl+Shift+Esc打开任务管理器查看进程。
 以前有人认为病毒不能取得sestem权限，所以排查重点是当前用户的进程，现在看来这种推断是错误的，本人就见过一个病毒进程时而以sestem身份运行，时而以admin身份运行。所以sestem的进程同样在排查范围内。
 大量占用系统资源的进程需要特别关注，每个系统进程所占用的资源是不断变化的，但通常只在一定范围内变化，熟悉自己电脑中每个进程的特点有助于快速找出软件故障的根源。
 如果发现含backdoor  password PSW 等字眼 或进程名奇怪，如空格.exe  123.exe等，对于这类伪装粗糙，明目张胆的病毒进程可以毫不犹豫的结束掉。
还有如vschost  expl0rer  exploere 分别模仿 svchost  explorer等系统进程，如果没有打开IE时却出现了IE的进程，发现这些现象应该马上意识到自己八成中毒了，立即结束进程并杀毒。对于比较陌生的进程可以可以利用各种进程管理工具查找进程文件，或到google上搜索有关信息。
 另外，还可以通过查看进程开放的端口号来帮助判断。
    随着进程隐藏技术的推广，利用查看进程查毒的可靠性逐渐降低，但现在来说还是比较有效的。
2 进程终止
 对于任务管理器不能列举或终止的进程可以考虑利用其他进程管理工具，如pslist，pskill，还有XP系统自带的工具taskkill和kasklist，这个工具可以强行终止进程，并且还可以同时终止多个进程，对于杀死使用守护进程的多进程病毒，使用taskkill是不错的选择。
    从Windows 2000开始，Windows系统就自带了一个用户态调试工具Ntsd，它能够杀掉大部分进程，因为被调试器附着的进程会随调试器一起退出，所以只要你在命令行下使用Ntsd调出某进程，然后退出Ntsd即可终止该进程，而且使用Ntsd会自动获得Debug权限，因此Ntsd能杀掉大部分的进程。

　　操作方法：单击“开始”/程序/附件/命令提示符，输入命令：ntsd -c q -p PID(把最后那个PID，改成你要终止的进程的PID)。在进程列表中你可以查到某个进程的PID，输入：ntsd -c q -p PID即可。
3 进程优化
 系统会随安装软件的增多，运行速度会越来越慢，其中的重要一个原因是不少软件会把自己加到注册表启动项或服务中以开机自动运行，而且软件的升级一般会使相应进程占用更多的系统资源，对于第一个原因，完全可以通过手工清理注册表启动项以及优化服务来避免。通常注册表启动项中除安全软件，和系统检测工具外，其他的都可以清理掉。对于服务，普通用户完全可以禁用打印，messenger，远程注册表，远程协助，系统还原等服务。详细服务配置建议网上有相关文章，通过配置服务不但可以有效减少开机自启动进程，以及部分系统进程的资源占用量，还可以提高系统的安全性。
 在系统资源紧张的情况下，可以考虑在任务管理器中降低不重要进程的优先级来为当前运行程序誊出更多系统资源。在任务管理器中右键单击某进程名，在弹出的右键菜单中即可修改优先级。
 

寝室局域网架设

   
1.规划

     在组建局域网之前，确定组网方案相当重要，这样可以避免很多不必要的麻烦，让整个组网过程更加条理化。

     星型网与总线网是两种截然不同的组网方案。总线网具有一通到底的特性，它使用多段网线将各个计算机依次连接，所需要的设备仅仅是网卡。但是，总线网最大的不足就是稳定性差，一旦其中任何一台机器出了故障，整个网络将陷于瘫痪。所以在寝室局域网架设中基本不考虑这种拓扑结构。相反，星型网可以克服总线网的这一缺点。在星型网中，我们可以将所有的电脑都接入集线器，因此网络结构非常简单。星型网的稳定性与效率都非常出色，不过它却需要集线器，因此成本略高。

     对于在寝室中只有3台以下机器的用户来说，没有必要使用集线器。主机安装双网卡，一块用于上网，另一块用双机线连接到第二台机器，即可实现共享上网。而如果有3台以上机器，甚至是跨寝室组网，那么就得好好考虑一番了。值得一提的是，对于3台机器的情况，还有4网卡的组建方案，这就是变相式对等网。在3台机器中选择性能最佳的一台安装两块网卡，分别连接另外两台机器。从效率来看，“3台机器4张网卡”的组建方案确实很不错，它省下了集线器，而功能又与之类似。

　　很明显，当机器不多时，不使用集线器更加经济划算。而当机器数目大于3台时，还是使用集线器更加明智，特别是在跨寝室组建局域网的情况下。当然以上完全是基于成本的考虑，而事实上，我们还需要考虑一些其他的因素。相对而言，使用集线器后，机器的硬件更为简洁，不易产生硬件冲突，也便于今后再加入机器，而采用多网卡的方式则不易升级维护。
在实际组网过程中各种连接方式可以混合使用。
  
     对等网与主从网是目前最为流行的两大网络模式。主从网由一个专用的主机来做“服务器”（Server），其他取用服务器资源的工作电脑则称“工作站”（Workstation），它们之间存在着主从关系，硬件、软件的资源共享都必须通过服务器的相应软件来控制（如：文件服务器、打印服务器等）。而对等式网络则不用一台专用的服务器，各电脑之间处于一个对等平行的关系，资源也不必集中管理，而是分散在各自的机器上，若想共享他人的资源（不论硬件或软件），只需借助“网上邻居”。这种网络形式简单、易上手，同时也不用系统管理员，减轻了学习和管理上的负担。

　　如果寝室间希望能够更好地做到不间断资源共享，那么使用主从网是较好选择，通过不间断运行的主机，客户端才能保证资源共享顺利地进行.而对于没有特殊要求，仅需要联机游戏，共享文件，共享上网的寝室来说，对等网+网关是最合适的选择。连接几个寝室的交换机即可方便的达到扩大规模的目的。

2.器材

     网卡：现在市面上的有线网卡产品的类型也比较多，主要有适用于台式机的PCI网卡、适用于台式机和笔记本的USB接口的网卡、适用于笔记本的PCMCIA网卡。一般电脑无论台式机还是笔记本都配备了网卡，这里所说的主要是给主机加装第二块网卡，通常是10/100M自适应网卡。TP-Link ,D-Link ,Intel等都是不错的品牌。

     网线：我们知道网线（这里是指常见的非屏蔽双绞线）按其传输带宽来分，通常可以分为4、5、6、7类，目前用得最多的还是5类/超5类线。超五类非屏蔽双绞线采用8条芯线和1条抗拉线，芯线颜色分别为白橙、橙、白绿、绿、白蓝、蓝、白棕和棕。超五类非屏蔽双绞线通常只被应用于100Mbps快速以太网，实现工作组交换机到计算机的连接。购买前需要测量长度。安装水晶头时要说明是用于连交换机与计算机的线还是做双机互连线，两种线的排线顺序有所不同。

     交换机：随着网络设备的降价，集线器（HUB）已经处在淘汰的边缘。性价比高的交换机成了寝室组网的首选设备。主要的选择标准是品牌和端口数量。

3.设置与维护

     买好器材就可以开始假设局域网了，以对等网为例，首先给网关加装网卡，将网卡插入PC机的对应的插槽中，固定好，重新启动计算机，如重启后计算机没有自动识别网卡则需要安装驱动程序。拥有双网卡的网关一块网卡用于连接互联网，设置成自动获取IP和DNS，并连接modem。另外一块手工设置IP地址和DNS，如192.168.0.1 ，子网掩码默认，网关可以不填，并连接交换机。

     其他电脑的网卡全部连接到交换机剩余端口上，并手工设置IP地址如192.168.0.XXX
子网掩码默认，网关填写主机的IP地址，注意局域网内不能出现相同的IP地址，否则会出现IP冲突。

     再下来就是设置计算机的“标识”项。将“计算机名”设为一个唯一的任意值（一般为数字与英文字符，也可以用中文），而“工作组”则必须使用相同的内容，包括所有字符都必须一致，否则将不能相互访问到！修改标识的方法：右键单击“网上邻居”，打开属性，如没有网上邻居则需打开控制面板中的“网络”，进入标识一栏，在这里就可以修改计算机名和工作组。设置完成后点击“确定”。

     根据提示重新启动计算机，重新启动之后，再双击“网上邻居”就可以从中看到自己和本网内的其他计算机的名字，最后就只剩下设置共享文件了。右键单击需要共享出来的硬盘或文件夹，选择共享一栏，点击“共享为”，根据需要在下面的“访问类型”及“密码”两栏中进行设置，完成后点击确定即可在网上邻居上看到你共享出来的文件了。

     至此，对等网已经架设完毕，如果一切顺利即可实现文件共享和上网共享。但实际情况往往不如人意。通常各种软硬故障会接踵而至。

     硬件方面，网卡冲突，不识别网卡，接口接触不良，以及网线接错导致交换机出现循环回路等等，都会导致局域网不能正常工作，网卡冲突可以通过察看设备管理器来发现。而不识别通常是因为网卡接触不良，需要重新安装。使用ping命令可以检查任意两台机器是否连通，从而推断是那台机器连接出问题。至于循环回路，会导致交换机瘫痪，整个局域望不能工作，此时交换机指示灯基本混乱，很容易找到问题根源，此外通过观察交换机及网卡指示灯判断个别机器连接是否正确也是常用的方法。

     软件方面的故障更是千奇百怪，首先保证网关能顺利上网，内网机器完全可以关闭各种防火墙，从安全角度来讲，只要网关安全，突破内网是很困难的，而各种防火墙往往成为机器不能互访的直接原因。工作组不同，IP冲突或设置错误，DNS设置错误，组策略设置不当以及services服务关闭等等原因都会导致个别机器无法正常连接，察看网络连接，使用IPCONFIG，PING命令排除故障
测试方法：命令行下输入ipconfig 回车
Ethernet adapter 本地连接:

        Connection-specific DNS Suffix  . :
        IP Address. . . . . . . . . . . . :       221.14.180.20
        Subnet Mask . . . . . . . . . . . : 255.255.255.128
        Default Gateway . . . . . . . . . : 221.14.180.126
即可得到IP地址，子网掩码，默认网关等信息，若全部为0或得不到网关，则说明没有正确连接，可以用ping命令进一步确定问题所在。
 Ping  221.14.180.20（ping本机IP）
Pinging 221.14.180.20 with 32 bytes of data:
Reply from 221.14.180.20: bytes=32 time<1ms TTL=64
Reply from 221.14.180.20: bytes=32 time<1ms TTL=64
Reply from 221.14.180.20: bytes=32 time<1ms TTL=64
Reply from 221.14.180.20: bytes=32 time<1ms TTL=64

Ping statistics for 221.14.180.20:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),如上提示表示本机网卡工作正常。同理可以分别ping网关和DNS等检查网络连接是否通畅，如果出现Request timeout或unknown host name等提示则表示网络不通或设置错误。
   
    实在查不出毛病可以尝试重新启动网络连接或重起机器。

发现最近越来越不能控制自己的心情

下午看书看的恶心

不知道怎么的,心烦的难受

要考试了,还要复习,真他妈垃圾!

今天凑的文章，一点网络。一点溢出                                                                                                    

          DDOS攻击概述

   进入2000年以来，网络遭受攻击事件不断发生，全球许多著名网站如yahoo、cnn、buy、ebay、fbi，包括中国的新浪网相继遭到不名身份的黑客攻击，中美黑客大站期间，美国白宫网站一度被迫关闭2小时。2004年，腾讯公司遭到攻击，国内除广东省，其他地区QQ用户在此期间都出现登陆困难甚至无法登陆现象，随之而来的国内安全站点内战中，不少知名网站纷纷倒下，导致这一切的是一种叫做DDOS的攻击方式。

一  什么是DDoS

　　要想理解DDoS的概念，必须先介绍DoS（Denial of Service，拒绝服务）。从网络攻击的各种方法和所产生的破坏性来看，DoS算是一种很简单但又很有效的进攻方式。它的目的就是拒绝你的服务访问，使你的部分Internet连接和网络系统失效。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来大量占用的服务资源，从而使合法用户无法得到服务。DDoS（Distributed Denial of Service，分布式拒绝服务），是一种分布的大规模攻击方式，DoS攻击只要一台单机和一个modem就可实现，DDoS攻击则是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。

二  攻击原理

    完整的DDoS攻击分为3层：攻击者、主控端、代理端，三者在攻击中扮演着不同的角色。

    1、攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，操纵整个攻击过程，它向主控端发送攻击命令。

　　2、主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的指令，并且可以把这些命令发送到代理主机上。

　  3、代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受主控端发来的命令后，对目标主机进行攻击。

三  种类

   1 利用软件的缺陷

   OOB攻击（常用工具winnuke），teardrop攻击（常用工具teardrop.c boink.c bonk.c），land攻击，IGMP碎片包攻击，jolt攻击，Cisco 2600路由器IOS version 12.0(10)远程拒绝服务攻击等等，这些攻击都是利用了被攻击软件的实现上的缺陷完成DoS攻击的。通常这些攻击工具向被攻击系统发送特定类型的一个或多个报文，通常是软件开发过程中对某种特定类型的报文、或请求没有处理，导致软件遇到这种类型的报文运行出现异常，导致软件崩溃甚至系统崩溃。这些攻击通常都是致命的。而且很多攻击是可以伪造源地址的，所以即使通过IDS或者别的sniffer软件记录到攻击报文也不能找到谁发动的攻击。软件缺陷一旦被发现，相关厂商会很快发布漏洞补丁，所以这种攻击可利用的时间很短。

   2 利用协议的漏洞

   和第一种攻击种类一样，这种攻击也是典型的以小搏大的攻击，使用自己少量的资源占用对方大量资源，由于网络协议的普遍运用，所有遵循此协议的软件都会受到影响。最经典的攻击是synflood攻击，它利用TCP/IP协议的漏洞完成攻击。通常一次TCP连接的建立包括3个步骤，客户端发送SYN包给服务器端，服务器分配一定的资源给这里连接并返回SYN/ACK包，并等待连接建立的最后的ACK包，最后客户端发送ACK报文，这样两者之间的连接建立起来，并可以通过连接传送数据了。而攻击的过程就是疯狂发送SYN报文，而不返回ACK报文，服务器占用过多资源，而导致系统资源占用过多，没有能力响应别的操作，或者不能响应正常的网络请求。

   3  进行资源比拼

   这种攻击方式属于无赖打法，也是在无法找到目标主机可利用漏洞的情况下的无奈之举，凭借着手中的资源丰富，发送大量的垃圾数据侵占目标主机的资源，导致DoS。比如，ICMP flood，mstream flood，Connection flood。利用DDOS，只要流量足够大，就可以耗尽目标主机服务资源。

   按照攻击的表现形式又可以分为流量攻击和资源耗尽攻击，利用软件和协议漏洞进行的攻击通常属于资源耗尽攻击，使目标主机CPU，内存资源耗尽，出现假死机甚至死机。资源比拼攻击中的发送大量数据包堵塞目标机器宽带的方式属于流量攻击。

四，隐蔽性

   从攻击原理就可以了解追查攻击者的困难了，目标主机接收到来自不同主机上的大量服务请求，对这些线索进行分析也许可以找到部分主控端机器，但攻击者只要清除主控端机器上的相关日志，就可以有效阻止别人的追踪。有些 DDoS 会伪装攻击来源，假造封包的来源 ip，使人难以追查。

五，防御

    对付DDOS是一个系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90%的DDOS攻击是可以做到的

    1 及时给系统打补丁，及时升级应用软件，尽可能的修正已经发现的问题和系统漏洞。对于网站来说，尽量做成静态页面。这样可以有效减少因为软件缺陷而受到DDOS攻击的机会。另外，及时打补丁也可以防止自己的机器变成黑客的傀儡机。

    2 通过包过滤及其他的路由设置禁止潜在的危险主机的访问。

3 采用高性能的网络设备，升级服务器硬件，以增加攻击者的攻击难度。

本文本着重原理轻过程的原则，着重简单介绍DDOS攻击的基本原理和特点，不提供具体方法和相关工具，目前对于DDOS攻击还没有可靠的防御方法，但愿安全界人士能在这方面有所突破。

木马内嵌后门，
1种类，和合法软件区别
CS，ES，发密码，截密码区别，破坏木马，DDOS木马。代理木马。反弹木马，脚本，
功能 
方便操作  修改IE安全等级  开共想 改变分辨率 更改墙纸  杀杀毒软件
2传播方式
木马内嵌后门，自己误点 CHM  JPEG
邮件附件，钓鱼
捆绑
IPC植入
网页
感染
邮件网页

3协议 TCP UDP  ICMP
4伪装
命名，名字加150个空格。txt。exe。scr，修改图标，捆绑，自解压。显示出错，自我销毁，任务栏隐藏，修改断口 进程名发生变化
任务管理隐藏pstools，端口复用，进程嵌入，替换服务，狱名欺骗，
5启动
win。ini  system。ini   关联  注册标  服务
6查杀原理，特征码，加壳，脱壳，反盗号，UE，UltraEdit，