叱

夏天 貓村 咬筆妹 奶機妹 美女市長 

閒論虛實
不!其實我也不習慣談人不習慣的話題.....那會如送人禮,人未必適用,卻又要彼此客套一番.這累!...............這對武術的嚴謹的實際性與現實性有礙 我有時會故意說只是要你有更多的可塑性.....不在要讓你聽的進我所說 ....當可塑性增加....當聽自己聽的進的,反會有更活的見解.....這叫醉翁之意....跟我出拳一樣 .....我不可能白出 .....我很節省.....虧本打死不做的......太極不傳心法:打死不吃一點虧....寧死要佔一絲便宜.......苦命媳婦只為熬成富貴惡婆.....蝕手一把米 .... 只為滿山土雞 .... 延續以上觀念 .....我丟一個思考讓你去想想 .....[手無虛實...能虛實].....怎麼去思考?一般人都知有[虛][實]....我是[無虛實]說者.....如圓上一點那點是虛,又那點比他點實? 又圓點若有虛點那非圓是缺...但若是實,.那.....圓上的[點],跟直線上的[點]意義不同在那?......我說[話出如拳] ....拳不虛出....所出必有其意.故說手無虛實.........常人推手時多誤解虛實....故自退解成[虛化],其實已成扁 ,妄進誤為[實掤]卻是明頂不自知 ......手若了圓的實意 .....手動之軌跡必如圓滾過的形跡.....點點不斷,,,,綿綿相連......在拳經稱此現象為:[走即是黏].....而於實用上就是[化].....所以我曾告訴你化不是你想要去化的化......是你知走的道理後.....逢人變力又能圓走不凹扁斷續....就已是化.不需在想化.......不是受驚之亂動,慌忙之急動.

單眼皮 收藏 走山 陳以庭 大炳 

懸之觀念
你在從這篇梢做體會 .....懂多少算多少......記得!是觀念轉化跟你怎麼練沒太大關係......其時真正要喚醒這種沉睡的觀念,要透過他 家腿的重拳的快.....內家的靈魂活存空間,是根值在他家快狠猛烈動作的空間中......故一般自認練內家者都只是處在半醒 半睡睡眼腥鬆狀態中......我只是天天試著去製造較近似的環境防自己睡著...睡著後所說的道理再怎高深,都只是夢話 ....
............................................... ....
一切緩,慢,鬆,沉,柔,運只為得一[懸] 意.....一有此感....拳經一切道理都可從此發生與實踐......如化就是打....沾黏連隨....不丟不頂.... 等只出於這[懸] 故頂一懸,就是備戰狀態.故初即言:交手初....萇論理避用同[字]....以頭聚的[聚]轉代意. 以前所談過之道理觀念,都只是[過程]演練與體會,都無需有敵情觀念....但既無敵情觀念就不能有一絲絲要用在打的念頭 那是騙自己....觀念只是要導化身體儲存驅動程式,如此而已.....打時又不是你怎麼想,而是驅動程式已自我驅動. 但一值用,只一個頭頂[懸]......試吊一物以動之 .....止時必垂中 ,但說[中]是死定之中?一動即動.這就是中定的實意.即一動無不動.才能稱[定,]是常人借[定]子來撐力用來頂力......且所動物之力,必只等其物重,過重之力只轉化成物動之[速] 身之本力只等於其物之本重.力減動即緩,力離動即回隨......這一切的現象,只因一個懸....沒身亂動的化,力失無丟,力 加不頂.... 這裡只是要丟一個[懸]的觀念,讓你思考,,,,,[化]不是值力點之妄動叫化.而是整體的化動....但這整體的動又只是因一點懸自生.....這點較難體會,故說是觀念的轉化

貢寮 戲水 隨手拍 塞爾維亞 利得彙 

手揮琵琶之練與用
就談些自己認為的......[手揮琵琶]......我視招為勁用,非只招式,.....是[結果]非[過程]....因若不能在結果落點生勁,過程都可變招換勢....所以雖或出之在[揮],不一定成之在揮... 揮過人首,他手一掩,手收變拳中出,或已成[拱鎚].....因沒斷的拳勢
故我強分24用訣...如履.採...等單勢..再是搬攔鎚分可三合可一...又斜飛之[飛]..抱虎之抱..左右之披....彎弓之之射...手揮之揮亦是其一
雖單一[揮]我可強分三段用勁....端視來勢急緩....短是[腕勁]主掀頸.勁貴在指實..中出在[肘],主彼顴骨.勁重在掌沉,我稱[震肘揮],..長出在[肩],專主人太陽,勁孫鬆放在臂重,我稱[鬆肩揮]...勁越長,越毒狠.....[揮]應屬禁式....揮我借以練聚實於掌貫指.鬆放臂
雖說[揮]式,當然人各有自認定 .....但大從大處解....不管那家,應絕不會是由後而前或由上而下吧!多的應是[左右]才稱揮吧!
既是[左右],使用時機必只兩種....1.是揮手在人內...另一是揮手在人外....前者我稱[退中打]...後者我稱[進側打]......前者若在人內必是順我手後順揮其面....若沒順人勢,你打人,人也可同時打你.....若手在人外...揮手想空揮人面.....另一手必已撫制人同側手,我手方能如入無人之地盡情成[揮 ]
所以結論是,不管片中藍白想表示甚麼,那只有當事者知道.....但我的習慣是 ,我拳雖中入我意卻只在人手 ....因身不會打人....手會!....彼手若能為我制,身只是等著挨.....故中入其實是佔位成[攔]......若是側揮,前其實已截其手....稱[中攔][側截]......
但若我意只重在[打],而無處理人[手]之意,......不管那方,怎看都怎麼不對,勁
故為什麼要人沾,黏,連,隨....多此一舉,拖泥帶水?......沒那麼囉嗦!只是要人,別只想出就出,想打就打

衝浪 護士 PK賽 會飛的蝦子 汪詩敏 

[轉]區域網路ARP攻擊防禦的解決方案
Catalog. 一、 前言 二、 何謂ARP、RARP? 三、 何謂ARP欺騙攻擊? 四、 ARP欺騙被使用的目的為何? 它攻擊的特色為何? 五、 ARP攻擊分類、手法；為何IPS難以辨識及防禦ARP的攻擊 ? 六、 ARP攻擊的防禦需要依賴安全交換器 – 介紹NBADswitch、 NBADsensor 七、 結語 Appendix 補充資料 一、 前言 在廣大無疆的網際網路世界裡，潛藏了許許多多的危機，但也由於資安設備技術進步有效的阻隔了大多數外在攻擊，而雖然如此，由於IT使用習慣的改變及入侵與病毒的傳播技術日新月異，近年來的資訊及網路安全威脅開始來自於企業infrastrunture內部。2007 舊金山 RSA conference 正說明了這一點，會中一致的共識說明「單純的單點防禦，或是築起一道堅固的資訊防禦外牆，已經逐漸不能滿足企業(機?)在資訊安全上的需求，取而代之的，未來企業(機?)越來越需要整體內部網路與系統的協同防禦機制。」本章節以技術角度說明ARP 欺騙攻擊對企業(機?)內部使用者造成的資訊安全問題，為何ARP欺騙攻擊是現階段病毒攻擊網路最喜歡的攻擊工具，也是現階段駭客最喜歡使用的入侵工具之一，有了這些了解後，網路管理者將可更有效佈署或整合適當的網路與資訊安全設備，檢測出網路與資訊威脅來源。 二、 何謂ARP、RARP? 位置解析協定( Address Resolution Protocol –簡稱ARP)是位址轉換協定，RARP被稱為反向位址轉換協議,他們負責把IP位址和MAC位址進行相互轉換對應。ARP主要被設計用於以OSI model 第三層位址（IP address）求得第二層位址（MAC 位址），這是由於IP資料包常通過乙太網傳送,而乙太網設備本身並不識別第三層32個位元的IP位址，而是以第二層48個位元的乙太網位址(MAC位址)傳輸乙太網資料包的。因此，必須把IP目的地址轉換成乙太網地目的地址。在這兩種位址之間存在著某種靜態的映射，這是就是所為的ARP表。 ARP封包只會在同一個子網路（subnet）內傳送，它很少透過路由器（router）傳送至不同的網路。主機的作業系統會依照封包目地IP位址與本機之子網路遮罩（subnet mask）的值進行運算，以判斷封包目地IP是否與本機同屬於一個子網路，如果封包的源IP位址與目的IP位址不屬於同一子網路則封包必然須要傳送至路由器，而ARP則正可以讓本機獲得路由器乙太網設備網卡MAC位址，而讓封包可以透過本機乙太網設備網卡傳送至路由器。ARP、RARP是一個非常重要且使用頻繁的協定，在任何一個TCP/IP的連線被建立之前，都必需經由位置解析協定（Address Resolution Protocol）取得目地主機的實體網路位址（MAC），在區域網路（Local area network）中，兩部電腦要彼此互相通訊，首先必須彼此知道彼此網卡的MAC地址才能將封包送往對方；例如: 如果某ㄧ電腦 (ip1/ mac1) 得到另一台電腦 (ip2/mac2) 錯誤的 MAC地址 ( ip2/mac3), 那麼這台電腦 (ip1/mac1) 將無法傳送數據包到 Ip2 電腦。 三、 何謂ARP欺騙 ? ARP Spoofing (ARP欺騙) 攻擊的根本原理是因為Windows電腦中維護著一個 ARP 快取記憶體（讓你可以使用 arp 命令來查看你自己的ARP快取記憶體），並且這個ARP 快取記憶體是隨著電腦不斷的發出ARP請求和收到ARP回應而不斷的更新的， ARP 快取記憶體的目的是把機器的IP位址和MAC位址相互映射，使得IP資料包在乙太網內得順利而正確找到目的MAC位址，然後正確無誤的傳送。 如果你可以藉由發出標準的ARP請求或ARP回應來擾亂或竄改某電腦或路由器內正常的ARP表，而導致該電腦(或路由器)發出的資料包誤傳目的地，或使OSI的第二層乙太網和第三層無法連接，進而癱瘓網路，我們就稱你使用了ARP欺騙攻擊。 舉例說明： 現在有三部機器分別是機器A：IP1/MAC1、機器B：IP2/MAC2、機器C：IP3/MAC3 。現在機器B上的用戶是位駭客企圖干擾機器A或是監視SNIFFER機器A與C之間的通訊，首先他向機器A發出一個 ARP Reply，其中的目的IP位址為IP1，目的(Destination) MAC 位址為MAC1，而源(Source)IP地址為IP3，源MAC地址為 MAC2 。好了， 現在機器A更新了他的 ARP快取記憶體，並相信了IP3地址的機器的MAC地址是 MAC2 。當機器A上的管理員發出一條FTP命令時---ftp IP3，資料包被送到了Switch，Switch查看資料包中的目的地址，發現MAC為 MAC2 ，於是，他把資料包發到了機器B上，因此成功攻擊機器A。現在如果不想影響A和C之間的通信該怎麼辦？僅是sniffer監視兩者之間的通訊，你可以同時欺騙他們雙方，使用 man-in-middle攻擊，便可以達到效果 。 總之本機在傳送資料包之前，會送出一個關於查詢目的IP位址的MAC乙太網廣播包。正常情況下，只有對應目的IP的主機會以一個自己的48位元MAC主機位址unicast包來做回應，並且將該IP與MAC位址對應更新本機內ARP快取記憶體，以節約不必要的ARP通信。如果有一個中毒的電腦或是網內合法授權進行非法活動的駭客，他們是對本地網路具有寫訪問許可權，極可能這樣一台機器就會發佈虛假的ARP請求或回應通訊，欺騙其他電腦或路由器將所有通信都轉向它自己，然後它就可以扮演某些機器，或對資料流程進行修改。這樣就造成arp欺騙攻擊，影響正常的主機通信。 四、 ARP欺騙被使用的目的為何? 它攻擊的特色為何? 不管是中毒無特定目標的攻擊或是駭客進行特定標的非法監聽、竊取活動，ARP欺騙是主要攻擊的一種手法也是目的。事實上很多的知名的駭客使用的工具就是使用ARP欺騙為手法的。最有名駭客攻擊的手法如中間人攻擊(Man-in-the-Middle attack) 與連線劫奪(Session Hijacking) 就是採取ARP spoofing等攻擊手法達到欺騙主機、反追蹤或是避開交換器訪問安全存取的安全機制的防護。連線劫奪(Session Hijacking) 利用ARP欺騙將使用者正常的連線搶過來；中間人攻擊則利用ARP同時欺騙使用者(Client)與服務器(Server)兩邊使所有兩邊的交談都要透過入侵人的轉述，達到欺騙、側錄、竄改資料的目的。 另外中毒的電腦發送ARP欺騙封包，或是市面上也有些軟體如網路剪刀手（NetCut），利用製造ARP欺騙封包，它則是以攻擊為目的，使得特定或不特定的目標癱瘓，並嫁禍於人。網路剪刀手（NetCut）它的原理是負責假造ARP封包，提供給目標主機假的實體網路位址（MAC）資訊，通訊閘道（Gateway）收到後，將錯誤的實體網路位址（MAC）記到ARP 表內，伺服端（Client）的返回封包就無法送達，也就無法上網，達到攻擊的目的。 ARP欺騙手法最大的特色是隱密難以偵測，和過去駭客或中毒攻擊手法 – DsS攻擊或洪水攻擊(Flooding)不同，DoS或洪水攻擊所造成的網路危害明顯，但是容易被查覺；而ARP欺騙則是以欺騙為目的，並且為了維持持續的欺騙效果，必須持續發送ARP欺騙包，這些ARP欺騙包長度短但是為數可能頗多，因此造成的網路危害不僅是可能的資料側錄、竊取，也可以是對網路特定目標的攻擊，甚至大量ARP廣播包也可造成整個或部份網路的癱瘓。 五、 ARP攻擊分類、手法；為何IPS難以辨識及防禦ARP的攻擊 ? ARP欺騙攻擊分類基本上可以分為刻意的特定目標攻擊，及因為中毒無意的攻擎。這二種的攻擊本意有所不同，(一)通常是利用網路下載的工具、例如網路翦刀手netcut程式 然後惡意攻擊他人並將攻擊封包偽裝以駕禍於他人，其危害常是少數特定目標，但是由於攻擊者以Unicast 包方式傳送且善於偽裝，因此網路管理員極難找出問題所在，也由於此類型程式下載容易操作簡單，近期於網路中快速擴散，造成網路管理人員極大負擔，也由於目前尚無完整機制快速偵測出此類型規則來源，因此常會使管理人員處理此類問題時疲於奔命，處理耗費時間同時效果不彰，過程中也讓網路管理人員專業能力受到極大的質疑。〈二〉通常是使用者中毒後中毒軟體發送ARP欺騙封包以誤導其他人將封包送往錯誤的路徑,導致變像的攻擊使閘道受害或某用戶的遭炴,其主要的目的是造成部份或整體網路的危害 位置解析協定（Address Resolution Protocol）在區域網路中極其重要，他是屬於區域網路同ㄧ子網段內部主機對主機的傳輸或主機與路由器之間傳輸重要的協定。如果局域網內是屬於中大型網路具有多個子網路，那麼防火牆/IPS入侵偵測設備通常被設置在核心路由交換器之後根本沒有機會接觸ARP封包，因此對ARP攻擊束手無策。即使局域網內只有一個網段，防火牆/IPS入侵偵測設備兼具路由器功能也僅能偵測部分ARP廣播包，且大部分的產品如使用作業系統(如Linux)的TCP/IP Socket就難以偵測ARP數據包，因此目前的防火牆/IPS入侵偵測設備幾乎不具有即時防止「欺騙位置解析協定攻擊（ARP Spoofing Attack）」的功能，就算有也僅止於出口控制無法由網路底層第一時間阻隔此類攻擊。 六、 ARP攻擊的防禦需要依賴安全交換器 – 介紹NBADswitch、 NBADsensor 既然ARP欺騙攻擊是屬於區域網路內部的攻擊手法，而且又是許多病毒、蠕虫、駭客攻擊（如Session Hijacking連線劫奪、Man-in-The-Middle中間人攻擊）經常使用的基本工具。因此，如果是可以由二層交換器來偵測及阻擋防禦最為恰當，一方面可以不需要支付昂貴的IPS入侵偵測器的成本，而且可從網路最底層從事非法ARP的偵測及阻擋防禦，根本解決ARP衍伸的負面攻擊。 NBAD switch是目前筆者了解市面上具備有ARP攻擊防衛較完整的解決方案。NBAD switch設計上是屬於二層的交換器，主要應用在區域網路底層的佈署，一方面提供正常網路封包的基本交換功能，另ㄧ方面也同時解決網路攻擊或流量異常的偵測，以即時反應邊際端的異常狀況，並減輕負荷、保護企業核心網路。NBAD switch基本上提供了ARP掃描偵測 (xarp scan detection)、ARP異常偵測 (xarp anomaly detection) 及ARP攻擊偵測 (xarp attack detection)三種防護裝置。. ARP掃描偵測- 主要目的是偵測LAN內部arp掃描行為，ARP異常偵測- 則是偵測LAN內部哪些用戶送一些不合法封包，ARP攻擊偵測- 主要目的是偵測出哪些用戶遭受攻擊，並找出攻擊來源。藉由利用這些偵測(detection), NBAD switch 可以檢測出PC開始攻擊前的異常行為，並送出通知讓PC了解可能是因為中毒正準備蓄意對外攻擊。如果該PC正式對外攻擊，NBAD switch會立即偵測到並通知管理者攻擊者、被攻擊者是誰，因此可以採取快速反應的動作。 NBAD sensor設計的目的、佈署的方式與NBAD switch不同，NBAD switch 主要佈署於新建或者是全面更新的區域網路上，而NBAD sensor則是佈署於暨有已存在的區域網路上側聽的偵測器，主要目的除了可以映射(mirror)方式側聽(sniffer)網路上是否有異常ARP 欺騙攻擊的封包之外，也可收集、偵測、防禦MAC/IP綁定的管理，有效解決區域網路內IP衝突與病毒攻擊問題。 七、 結語 ARP Spoofing Attack確實在區域網路（Local area network）中具有極大的威脅，而且ARP攻擊的手法也越來越精湛，由broadcast 轉向Unicast 使得一般的偵測器或防火牆無法做出有效而廣泛的偵測，而如果想要掃描整體網路ARP的攻擊顯然就必須要依賴交換器基礎的解決方案，在區域網路（Local area network）建立的時候，依賴交換器主動偵測是否又異常ARP訊息，經由內建晶片過濾一旦發現異常ARP封包便可自動封鎖並通知網路管理者，有效處理「欺騙位置解析協定攻擊（ARP Spoofing Attack）」癱瘓區域網路這一個棘手的問題。

水之教堂 阿密特 咬筆妹 戲水 小布 

[轉]從頭開始學代理(新手必讀)
掃盲篇什麼是代理伺服器？    代理伺服器是介於瀏覽器和Web伺服器之間的一台伺服器，當你通過代理伺服器上網瀏覽時，瀏覽器不是直接到Web伺服器去取回網頁，而是向代理伺服器發出請求，由代理伺服器來取回瀏覽器所需要的訊息，並傳輸給你的瀏覽器。 什麼是免費代理伺服器？    在使用代理獵手等軟體搜尋代理伺服器位址時，會在驗證狀態列中出現類似「要密碼」、「Free」等字樣。若果你把「Free」的位址設定為代理伺服器，那你就會發現訪問網頁時不會要求你輸入密碼了。這就是「免費的代理伺服器」。為什 麼會出現free的呢？有以下幾種情況：    1、是系統漏洞，一旦被網管發現就會被堵上；     2、是善良的網管和其他有機會接近主電腦的人，將機器設成了代理伺服器；     3、是真正的好心人，就是將自己的機器作為免費代理，造福廣大同仁。這真 值得欽佩！但被查封關閉得也最快。     4、是ISP商為了提高影響，在一段時間內免費開放，一般很短。 使用代理伺服器的好處     Proxy Server(代理伺服器)是Internet鏈路級通訊閘所提供的一種重要的安全功能，它的工作主要在開放系統互聯(OSI)型的對話層，主要的功能有：     突破自身IP訪問限制：     1、訪問國外站台。教育網、169網等網路使用者可以通過代理訪問國外網站。     2、訪問一些單位或團體內定資源，如某大學FTP(前提是該代理位址在該資源的容許訪問範圍之內)，使用教育網內位址段免費代理伺服器，就可以用於對教育網開放的各類FTP下載上傳，以及各類資料查詢共享等服務。     3、突破中國電信的IP封鎖：中國電信使用者有很多網站是被限制訪問的，這種限制是人為的，不同Serve對位址的封鎖是不同的。所以不能訪問時可以換一個國外的代理伺服器試試。     4、提高訪問速度：通常代理伺服器都設定一個較大的硬碟緩沖區，當有外界的訊息通過時，同時也將其儲存到緩沖區中，當其他使用者再訪問相同的訊息時，則直接由緩沖區中取出訊息，傳給使用者，以提高訪問速度。     5、隱藏真實IP：上網者也可以通過這種方法隱藏自己的IP，免受攻擊。     6、嘿嘿，免費全文。 上手篇 在IE4.0中的代理設定方法     在主選單上選取「檢視」→「Internet選項」→「連線」→「通過代理伺服器訪問Internet」，此時將你找到的代理伺服器位址和連接埠填入，然後點擊「確定」，就可以通過代理伺服器瀏覽網頁了。 IE5.0的代理設定方法    在主選單上選取「工具」→「Internet選項」→「連線」→「設定」→「使用代理伺服器」，這時將你找到的代理伺服器位址和連接埠填入即可。     提示：對於局域網使用者，應點擊「連線『標籤下面的』局網域設定」來設定代理。NETSCAPE 4.x的代理設定方法    選取主選單上的「Edit」→「Preferences」→「advanced」→「proxies」→「Manual proxy configuration」→「View」，將你找到的代理伺服器位址和連接埠填入，按「OK」完成。 Opera的代理設定方法    選取主選單上的「設定」→「Proxy選項」，將你找到的代理伺服器位址和連接埠填入即可。 網路螞蟻的代理設定方法    在主選單上選取「選項設定」→「參數設定」→「代理」→「加入」，然後將可用的代理伺服器位址根據類型填入，如該伺服器需要輸入使用者名和密碼，選中代理伺服器選項下的「認證」，填入即可。大多數下載軟體的代理設定與網路螞蟻相似，如FlashGet。 進階篇哪裡能找到代理    最原始的方法就是用軟體搜尋某個網段(現在網上還有很多搜尋代理的工具軟體)，不過這種搜尋代理伺服器可是很費時的活。通常大家是不會把自己經常使用的代理伺服器告訴別人的，因為用的人多了速度自然就會慢。不過網上也有很多網站和BBS都提供免費代理伺服器的位址，你可以自己用搜尋引擎(如搜狐、新浪)查一下Proxy或是免費代理，就能發現很多類似的網站。     說到搜尋代理軟體那就首推代理獵手，精靈式的線上幫助說明，就算你是第一次使用也應不存在太大的問題。具體步驟如下： 　　1、從網上收錄到盡可能多的代理清單(最好都是可用的)，儲存為一個以.txt後綴的文字檔案，格式如下： 　　10.19.193.109:1080@SOCKS4 　　10.19.193.109:1080@SOCKS5 　　10.19.193.109:21@ftp 　　10.19.193.109:80@http 　　10.19.193.109:8080@http 　　…… 　　(以上位址皆為舉例，不一定可用) 　　2、運用代理獵手到「搜尋結果」頁面中,點「匯入結果」，將.txt格式的代理清單匯入。 　　3、點擊「系統」按鈕，選取「參數設定」。 　　4、在「搜尋驗證設定」頁面中對「驗證設定」項中的兩個逾時時間參數進行設定。 　　5、最後當然是上網的校驗。 什麼樣的代理是好代理     代理好用的標準：速度快，穩定，當然前提是免費。     在代理獵手3.0以上版本，驗證時間欄為「時間特性」，顯示情況類似這樣：「0.9│1.3│2.6」、「26.3│0.0│26.3」，這三個時間依次代表：連線時間、首次接收資料時間、總驗證時間。當然也是越小越好了。決定一個代理的速度的因素有很多，主要有：     1、免費代理伺服器所在的網路。大家用proxy主要還是為了出國，因而，四大網路的出口局的頻寬就直接決定著其中的proxy的速度。     2、代理伺服器的效能。前面的文章提到，proxy不過是一個大cache而已，因此它的硬碟大小、網路的頻寬就會影響速度。這和你自己機器是一樣的。     3、代理伺服器與你的機器之間的距離。proxy主要是為特定物件服務的，其地理分佈通常不會太廣泛。而廣大網友就不會與你所用的proxy之間的距離有多遠了。自然，距離越遠，速度也就越慢。     4、你所訪問的站台的情況。這也是影響proxy速度的原因。你要訪問對方的站台，自然要以對方的標準為主，就如同兩架速度不同的Modem一樣。可惜很多網友常常忽略這點。 高手篇 怎樣使用代理訪問被屏蔽掉的網站     由於某些原因，中國電信把一些國外網站屏蔽掉了，所有國內使用者不能與之訪問，比如以前非常紅火的賺錢網站(Speida)，還有一些國外的網站禁止中國的IP訪問，解決方法就是使用國外的代理伺服器。但是教育網使用者不能訪問國外網站，所有國外的代理也不能為之使用，是否我們便無能為力了呢？不，我們可以參照下面二次代理的使用方法解決。 　　1、去Download一個Sockscap32，在設定中填好Socks代理伺服器位址。 　　2、將瀏覽器的捷徑拖到SocksCap32的空白框中。 　　聯網後，先啟動Sockscap32。再在瀏覽器中填上國外代理伺服器的位址，在SocksCap32中執行瀏覽器即可。 如何通過代理使用FoxMail收信     可以使用sockscap32解決。前提：有一個好用的Socks代理，通過一個可以訪問的Socks代理(Socks5或是Sock4代理)，將FoxMail的捷徑拖到SocksCap32的空白框中，你的Foxmail即可以暢通無阻了。同樣的方法也適用於Cterm、Sterm等Telnet軟體訪問教育網內的各大BBS站台，加快速度，而又能隱藏真實IP位址等等。有時會出現不能解析伺服器位址的現象，可以先使用ping pop.mail.yahoo.com指令，然後把解析到的IP位址填入Foxmal的POP3伺服器選項。     另一法：假設你有POP3代理伺服器，例如:203.95.7.196，你的賬號為Algam@21cn.com；則在OutlookExpress或FOXMAIL30中應按如下設定：POP3伺服器位址中填寫:代理伺服器位址，203.95.7.196（連接埠無須設定）；SMTP伺服器位址為：原來的SMTP伺服器位址，smtp.21cn.com(實際上因為不需要用他發信,所以SMTP伺服器位址可以隨便填寫)；帳號為:原來賬號Algam#21cn.com(既用'#'取代原來的'@'符號)；密碼為：原來的賬號密碼。 QQ可以使用代理嗎     有一次筆者的同學在QQ上說：「你怎麼跑到深圳去了，你不是在上海嗎？」其實筆者知道這傢伙愛賣弄，不就是裝了個可以看IP的QQ版本嗎，現在有幾個人用的QQ不是可以看IP的。QQ使用代理可以隱藏真實IP，這樣可以避免一些不必要的騷擾。QQ的會員可以能夠使用HTTP代理的功能，而非會員就只能使用Socks代理了。有些公司網路只能上網瀏覽不能使用QQ，主要是封了Socks連接埠，避免員工上班的時候用QQ聊天。其實這種情況也有辦法解決。首先下載一個SocksOnline軟體，是將普通HTTP代理轉換為「萬能」的Socks5代理的工具，SocksOnline代理是利用了CommOnline的線上通信能力，進行Socks代理轉接。SocksOnline代理使用非常簡單，只要將用戶端套用的Socks5代理設定到SocksOnline的位址，用戶端即能標準使用。 ICQ中使用代理     假設你有Socks5代理伺服器，例如:202.96.58.241；則在oicq系統選單==>喜好設定==>連線下,選取 「我在防火牆下或PROXY下」==>點擊「防火牆設定」==>選取「我使用Socks5 proxy伺服器」==>下一步==〉在socks5(防火牆)主電腦位址中填入代理的位址==> 連接埠號中填入sockes5的連接埠號(一般是1080),若果不確定代理伺服器是否可用,可以按「檢查我的防火牆/PROXY設定」。==>點擊「完成」。 ICQ2000中使用代理     icq==>preferences==>connections==>firewall==>proxies/firewall==>選取代理伺服器類型 socks4 or socks5 or https ==>在proxy server 頁裡填上host位址和port ==>最後不要忘記選取use proxy to resolve hostnames。注意：沒試驗過，但是據一些網友們說在安裝時候若果不使用代理伺服器，後來使用時可能將不能使用代理伺服器上icq。 使用代理上oicq     假設你有Socks5代理伺服器，例如:202.96.58.241；則在oicq系統選單==>系統參數==>網路設定下,在使用Proxy Socks5 防火牆前面打勾==>在防火牆位址中填入代理的位址==> 連接埠號中填入socks5的連接埠號(一般是1080),若果不確定代理伺服器是否可用,可以按校驗使用者密碼邊上的測試按鈕進行測試。 使用FTP代理伺服器（上傳/下載文件）    1、一般FTP軟體設定。伺服器欄：代理伺服器位址，賬號為：賬號@原FTP伺服器位址，密碼為：原來的賬號密碼。以CUTE FTP之中使用FTP代理為例子。選單欄「FPT」==〉「SETTINGS」==〉「OPTIONS」==〉「FIRE WALL==〉HOST：代理伺服器位址==〉PORT：21==〉TYPE：USERuser@site==〉選取「Enable firewall...」     2、CUTE FTP中使用socks代理伺服器。以CUTE FTP4.0為例：Edit==>Settings...==>Connection==>Socks==>選取「socks4」或「socks5」==>在Host旁邊填寫上socks4或socks5代理伺服器的位址（鑒於socks5十分緊俏，又不穩定，請使用socks4為好）==>選取「Firewall」把「Enable fire ac..」旁邊的復選框中的鉤去掉。==>點擊確定。現在就可以大大方方的使用socks4代理伺服器上傳主頁了。（雖然多數socks代理都能上傳主頁，但有部分socks代理由於不容許同一ip重複聯接，可能不能上傳，出現這種情況時，請換一個socks代理） 使用代理伺服器上聯眾打遊戲     無聊的時候喜歡到聯眾打牌，單位有兩台電腦(相同IP)，由於聯眾有禁止於相同IP玩家同桌的選項，所以玩的時候一個不用代理，一個用Socks代理，或是使用Sockscap32，這種玩法基本是百戰百勝，呵呵。另外一種辦法就是一台電腦用來玩，用另外一台電腦通過代理去偷看對手的棋。這兩種方法也適合在網吧的朋友。若果你在聯眾看到一個叫筆者的人千萬不要和他玩，不然你會死的很慘，同樣的方法也可以在中國遊戲中心之類的遊戲網站使用。執行「聯眾網路遊戲世界」 ==>點擊「設定代理伺服器」==〉選取要使用的socks4還是socks5代理（因為socks5代理奇缺，建議打遊戲時候使用socks4代理）==>在「代理伺服器位址」中填寫socks代理伺服器位址==>連接埠預設1080==>不要忘記選取「通過代理伺服器聯接internet」的復選框。==>「確定」==>在「位址」中填寫遊戲伺服器的ip位址（若果不知道它的ip位址，以上海分站為例,可以把位址sh.ourgame.com抄下來。然後開啟"開始選單" 下的msdos模式鍵入"ping sh.ourgame.com",他會把ip位址返回來）==>最後點擊「連線」 使用socks代理上IRC聊天    在mirc的選單「檔案」==〉「選項」==〉「連線」==>「防火牆」==>選取「使用代理伺服器」==> 選取「socks4」或是「socks5」==>在「主電腦」裡填寫上socks4或是socks5代理伺服器的ip位址==>連接埠用1080==>確定 V2語音聊天軟體中使用socks5代理     系統設定==> 「網路」==> 「連線模式」中選取「我使用的是支援socks協定的代理伺服器」==> 「代理伺服器（proxy）」==>選取socks5==>填寫socks5代理伺服器的ip位址和連接埠1080==>「確定」==>現在你可以使用語音聊天和朋友打電話了。 CTERM2000中使用telnet代理訪問BBS     檔案==>通訊錄==>選取自己要去的bbs或是自己增加新的bbs站==>將原來放置在「位址」欄中的bbs的位址（例如：網易的bbs.nease.net）剪貼到「自動登陸」欄中，原來的地方填寫telnet代理伺服器的ip位址（例如：203.93.37.248）==>然後最好在「自動登陸」欄中bbs.nease.net後面加上「\n」表示Enter，若果知道進入時需要鍵入什麼使用者名之類的還可以加上其他的轉意符和字元。（具體可以看他的Help）==>為了方便，建議點擊「輸出到文件」按鈕，將設定存入文件，方便以後使用==>然後就可以按「連線站台」了。順便說一句：我對cterm2000的印象很好，使用也很簡單，建議要上bbs的使用者使用。 二級代理篇    對於在教育網和科技網內的朋友，直接從國外下載需要支付高額流量費，或機器不能直接連出國，所以要使用國外的代理，還得先學會用二級代理。二級代理的設定方法參見 "Httport"的說明文章。"socks2http + Sockscap" 設定，參見其它代理設定網站。有一點需要注意的是：並不是所有的代理都能用作一級代理，只有支援SSL的HTTP代理才行。 一句話：一級代理用支援SSL的免費HTTP代理，二級代理用下載文獻的國外代理！ Httport中二級代理設定簡介     若果只是想使用二級代理的話，這個軟體比socks2http+SocksCap32要方便得多。至於Httport的其它功用，自己慢慢摸索吧，對於這方面的詢問，恕不回覆！當然有一個前提，就是你所用的一級代理得要支援SSL,其實在socks2http裡設的代理也有這個要求。這也就是為什麼有些代理不能用在socks2http裡的原因。以202.120.25.36:8080作為一級代理為例，首先在代理頁面將202.120.25.36填入主電腦名或IP位址欄中，別忘了填連接埠。勾選身份驗證，填入使用者名和密碼（免費代理隨便填）。使用者代理選IE，用過SSL連線模式，其餘不填。二級代理設定在連接埠映射選單。"外部HTTP代理"下面的就是你要用的二級代理了，比如2.25.56.58:80。即"遠端主電腦"裡填上2.25.56.58,"遠端連接埠"就是80，至於那個"近端連接埠"，比如用3128，那麼你在IE裡設代理localhost:3128 。點擊左邊那個的"開始"就行了。Httport下載：http://202.38.64.10/~adamxc/zip/httport3.zipHTTP代理轉為SOCKS代理     首先向大家推薦兩個軟體:sockscap和socks2http。sockscap我想就不用多說了吧，若果你有socks代理,用了這個自然就能實現二級代理，不過socks代理倒是不多。而socks2http是用http代理類比socks5代理. 比如用202.38.64.4:8080做socks代理，在socks2http設定中如是填入後，填入你的帳號和密碼。再點擊 "完成"即可。使用時，在你所用的軟體中的socks5代理欄處填入localhost，連接埠1080。這樣你所用的自然就是202.38.64.4的socks代理了。或是執行sockscap，在socks代理設定中填localhost，注意只能用socks5，不能做socks4代理。但用http類比的socks代理限於很少的一些網路軟體。http瀏覽沒什麼問題(注意IE4不支援sockacap)，可telnet,ftp就不一定了，好像只有本身支援socks代理的軟體才行。建議在telnet時使用Sterm1.0，在ftp時用Absoluteftp。(注意需要使用二級代理的軟體，一定要在sockscap裡執行，你所用的第一級代理才能生效)。 用了這個法子，好處可多多喲！特別是使用64.4的大俠們。用它telnet，ftp前面已述。當教育網那條路斷了時，用64.4還是可以的，特別是可以不再有什麼幾條執行緒的限制了，也沒有什麼不能下載mp3及rm檔案的限制了，不信你試試看！只是有點遺憾不能用這個方法上oicq！我想有了這個方法後,大家再也不用愁什麼二級代理的問題了吧。像你若果用64.4類比成socks5後，照上述方法，再用一個國內的免費代理，連出國，速度也還不馬馬虎虎，只是你的鈔票會嘩啦嘩啦往外流得少一點了吧！下載socks2http：http://mail.ustc.edu.cn/~adamxc/zip/s2h.zip下載sockscap：http://mail.ustc.edu.cn/~adamxc/zip/SocksCap32.zip    對於一些沒有出校IP，只有學校proxy的朋友，得要用三級代理。設定三級代理就得要httport +socks2http+ sockscap一起用了。先搜尋校內可用的代理，例如：202.120.25.36（假設），在httport中用第一級202.120.25.36；或申請國內瀏覽伺服器（注意要填上你的帳號和密碼）。第二級用支援SSL的免費代理，在httport的"連接埠映射"=>外部http代理"中設定。然後在socks2http裡用代理localhost，連接埠就是你在上述"外部http代理"中你用的近端連接埠（202.120.25.36）。下面就是用sockscap,在裡面啟動IE，那個能下載文獻的代理就往IE裡設代理的地方填吧。二次代理進階篇    其實二次代理就是兩個代理的級聯，有很多Proxy Server本來就支援級聯，如：Winproxy、Wingate，不是我們自己開代理，只是使用代理，所以不討論這個問題，（只討論如何使用代理，建立代理的問題看看WINGATE等的說明，很容易的。）先說說要用到的一些軟體，Sockscap、Httport、MProxy，這幾個軟體在網上都能很方便的找到，代理級聯一般有http代理和socks代理為基礎來進行，常用代理級聯大概有以下幾種模式：     1、http代理之間的級聯。     2、socks代理之間的級聯。     3、http代理和其他代理的級聯。     4、socks代理和其他代理的級聯。     5、tlenet代理之間的級聯。 http代理之間的級聯     http代理級聯可以有多種模式來實現，我說說簡單的兩種吧，最簡單的方法就是使用Mproxy，它支援三級http代理級聯，支援輸入前兩級代理的位址和連接埠即可，然後就可以使用近端127.0.0.1:888作為代理來訪問，不如這個方法的缺陷就是不支援http代理的認證，不能使用需要認證http代理；另外一種方法使用Httport，其實這個代理功能很強大，現在只是用來http代理間的級聯，開啟Httport，在proxy頁輸入第一級http代理的位址和連接埠，若果需要認證就選取上認證，輸入使用者名和密碼，然後到port mapping頁，點擊Add按鈕，在清單中出現New mapping，然後在Remote Host裡輸入第二級http代理的位址，Remote port裡輸入第二級http代理的連接埠，local port裡輸入近端監聽的連接埠，如3128、8080等連接埠，在Proxy頁點start按鈕後就可以使用近端127.0.0.1:3128作為代理來訪問了，需要注意的是第一級http代理必須支援ssl連線，否則不能級聯第二級http代理。（所謂SSL，是指Secure Sockets Layer，是由Netscape公司開發的一套Internet資料安全協定，目前版本為3.0。它已被廣泛地用於Web瀏覽器與伺服器之間的身份認證和加密資料傳輸。需要說明的是，雖然你瀏覽的內容是加密的，不過連線站台在代理伺服器上邊的是可見的。另外，站台的URL和IP在代理伺服器上仍然是可見的。找SSL的代理很簡單，可以使用AATools之類的軟體，也可以直接用FLASHGAT來驗證）    需要補充一點的就是，上面的二次代理可以供別人使用，因為是在近端所有ip上進行監聽的，如在你的機器ip是10.9.1.11，近端連接埠是888，別人能訪問10.9.0.11:888 作為二次代理使用，這樣你就可以與別人共享你的二次代理了，這裡介紹的Mproxy不是Multiproxy，Multiproxy是做代理驗證和調度用的。 socks代理之間的級聯    socks代理級聯也有幾種模式，常用的方法是使用sockscap來實現，在sockscap的Setting對話框中輸入socks代理位址、連接埠，如是socks5還有使用者和密碼，然後加入可使用socks代理的軟體（FREE的SOCKS更好了！！），如IE，在Internet選項裡socks裡設定二級socks代理的位址和連接埠，在sockscap裡執行IE就可以使用上二次socks代理了，像其他的Flashfxp、Sterm和Leapftp裡也一樣，在這些軟體上設定二級socks代理，然後在sockscap裡執行就可以使用二次socks代理了；另外也可以使用SkSockServer來實現，這個軟體支援256級socks代理的級聯，本身也可以作為socks proxy server來使用，跟mproxy差不多，只要加入各級socks代理位址和連接埠即可，另外sockschain也是做socks級聯的工具。 http代理和其他代理的級聯     http代理跟別的代理級聯，這裡用的是上面提到的httport，注意第一級http代理一定要求ssl連線（一定是SSL的代理呀，否則不行的！！），在proxy頁輸入http代理的位址和連接埠，然後在 port mapping頁加入其他要級聯的代理，如telnet代理，在remote host和remoteport裡輸入分別telnet代理的位址和連接埠，在local port輸入近端監聽連接埠，如23，在proxy頁點擊start，這樣telnet 127.0.0.1 23就是連線到二次代理上，接著輸入要遠端登入位址和連接埠即可，級聯socks代理也一樣，在port mapping頁輸入二次代理的位址、連接埠和近端監聽連接埠(如1080)，這樣你就可以在其他軟體上使用127.0.0.1:1080 作為二次代理使用了，其他的如ftp、pop3代理也一樣這樣作為二級代理與http代理級聯。 socks代理和其他代理的級聯     socks代理與其他代理級聯，這裡介紹的是sockscap，跟上面介紹的一樣，在setting 對話框裡輸入socks代理的位址和連接埠，然後add其他需要用二次代理的軟體，如IE，OE 和flashfxp等軟體，只要在internet選項裡輸入第二級http和ftp代理的位址和連接埠，在sockscap裡執行IE就能使用二級的http和ftp代理，其他的軟體也一樣，設定上二級代理在sockscap裡執行即可使用二級代理。 tlenet代理之間的級聯     其實telnet代理之間的級聯很簡單，以常用的wingate代理為例，當我們telnet到代理時出現Wingate>的提示，直接輸入另外一個telnet代理的位址和連接埠即可，一般是"ip port"，有些代理是"ip:port"(如CSM Proxy Server)，輸入即可連到二次代理上，在二次代理輸入要telnet登入的位址就可以了。     上面介紹了幾種常用代理的級聯方法，其實就是靈活使用上面的httport、 sockscap等幾個軟體，只要熟練掌握軟體的使用，能夠玩出很多的花樣來，比如跟其它的軟體配合使用，至於國外的二次代理，http代理可以到multiproxy的主頁上去找，其他代理可以在google上輸入free proxy http socks來搜尋，最新軟體可以到軟體的主頁獲得，最後說一句，學好httport軟體的使用大有前途， 對那些只開了http代理，其他連接埠被封的人大有用處，對了大家別用這些方法幹壞事哦（幹什麼壞事呀？代理伺服器上把我幹的事記錄的清清楚楚的，先找你事還不容易，只是......只是我想看會電影！）     sockscap的主頁：http://www.socks.nec.com/    httport的主頁：http://www.htthost.com/    multiproxy的主頁：http://www.multiproxy.org/SOCKS4/5代理加上SOCKSCAP     1、先找一個國內的SOCKS4或是SOCKS5代理，之所以是國內的，主要是避免國際流量。同時，教育網內的 使用者還要注意的，不同學校定義的免費流量IP段是不同的，為了保護你免遭巨額流量費，一定要確認該FREE的SOCKS代理是免費的！     2、執行SOCKSCAP—檔案—設定—填入代理（區分SOCKS4和SOCKS5）     3、填加：新增—瀏覽—你要執行的軟體（如IE）------確定。     記住，每次要執行軟體，只有從SCOKSCAP裡面執行才生效！！！ 三級代理

收藏 夏天 郭泓志 世博 章魚哥 

[轉]入侵檢驗術語全接觸
入侵檢驗術語全接觸隨著IDS（入侵檢驗系統）的超速發展，與之關聯的術語同樣急劇演變。本文向大家介紹一些IDS技術術語，其中一些是非常基本並相對通用的，而另一些則有些生僻。由於IDS的飛速發展以及一些IDS產商的市場影響力，不同的產商可能會用同一個術語表示不同的意義，從而導致某些術語的確切意義出現了混亂。對此，本文會試圖將所有的術語都囊括進來。 Alerts（警報） 當一個入侵正在發生或是試圖發生時，IDS系統將發佈一個alert訊息知會系統管理員。若果控制台與IDS系統同在一台機器，alert訊息將顯示在監視器上，也可能伴隨著音效提示。若果是遠端控制台，那麼alert將通過IDS系統內置方法（通常是加密的）、SNMP（簡單網路管理協定，通常不加密）、email、SMS（短訊息）或是以上幾種方法的混合模式傳遞給管理員。 Anomaly（異常） 當有某個事件與一個已知攻擊的信號相符合時，多數IDS都會告警。一個基於anomaly（異常）的IDS會構造一個當時活動的主電腦或網路的大致輪廓，當有一個在這個輪廓以外的事件發生時，IDS就會告警，例如有人做了以前他沒有做過的事情的時候，例如，一個使用者突然取得了管理員或根目錄的權限。有些IDS廠商將此方法看做啟髮式功能，但一個啟髮式的IDS應該在其推理判斷方面具有更多的智慧。 Appliance（IDS硬體） 除了那些要安裝到現有系統上去的IDS軟體外，在市場的貨架上還可以買到一些現成的IDS硬體，只需將它們接入網路中就可以套用。一些可用IDS硬體內含CaptIO、Cisco Secure IDS、OpenSnort、Dragon以及SecureNetPro。 ArachNIDS ArachNIDS是由Max Visi開發的一個攻擊特徵資料庫，它是動態更新的，適用於多種基於網路的入侵檢驗系統，它的URL地http://www.whitehats.com/ids/。 ARIS：Attack Registry & Intelligence Service（攻擊事件註冊及智慧服務） ARIS是SecurityFocus公司提供的一個附加服務，它容許使用者以網路匿名模式連線到Internet上向SecurityFocus報送網路安全事件，隨後SecurityFocus會將這些資料與許多其它參與者的資料結合起來，最終形成詳細的網路安全統計分析及趨勢預測，發佈在網路上。它的URL地http://aris.securityfocus.com/。 Attacks（攻擊） Attacks可以理解為試圖滲透系統或繞過系統的安全策略，以取得訊息、修改訊息以及破壞目的網路或系統功能的行為。以下列出IDS能夠檢驗出的最常見的Internet攻擊類型： ●攻擊類型1－DOS（Denial Of Service attack，拒絕服務攻擊）：DOS攻擊不是通過黑客手段破壞一個系統的安全，它只是使系統癱瘓，使系統拒絕向其使用者提供服務。其種類內含緩沖區溢出、通過洪流（flooding）耗盡系統資源等等。 ●攻擊類型2－DDOS（Distributed Denial of Service，分散式拒絕服務攻擊）：一個標準的DOS攻擊使用大量來自一個主電腦的資料向一個遠端主電腦發動攻擊，卻無法發出足夠的訊息包來達到理想的結果，因此就產生了DDOS，即從多個分散的主電腦一個目的發動攻擊，耗盡遠端系統的資源，或是使其連線失效。 ●攻擊類型3－Smurf：這是一種老式的攻擊，但目前還時有發生，攻擊者使用攻擊目的的偽裝源位址向一個smurf放大器廣播位址執行ping動作，然後所有活動主電腦都會向該目的應答，從而中斷網路連線。以下是10大smurf放大器的參考資料URhttp://www.powertech.no/smurf/。 ●攻擊類型4－Trojans（特洛伊木馬）：Trojan這個術語來源於古代希臘人攻擊特洛伊人使用的木馬，木馬中藏有希臘士兵，當木馬運到城裡，士兵就湧出木馬向這個城市及其居民發起攻擊。在電腦術語中，它原本是指那些以合法程式的形式出現，其實包藏了惡意軟體的那些軟體。這樣，當使用者執行合法程式時，在不知情的情況下，惡意軟體就被安裝了。但是由於多數以這種形式安裝的惡意程式都是遠端控制工具，Trojan這個術語很快就演變為專指這類工具，例如BackOrifice、SubSeven、NetBus等等。 Automated Response（自動響應） 除了對攻擊發出警報，有些IDS還能自動抵禦這些攻擊。抵禦模式有很多：首先，可以通過重新組態路由器和防火牆，拒絕那些來自同一位址的訊息流；其次，通過在網路上傳送reset包切斷連線。但是這兩種模式都有問題，攻擊者可以反過來利用重新組態的裝置，其方法是：通過偽裝成一個友方的位址來發動攻擊，然後IDS就會組態路由器和防火牆來拒絕這些位址，這樣實際上就是對「自己人」拒絕服務了。傳送reset包的方法要求有一個活動的網路接口，這樣它將置於攻擊之下，一個補救的辦法是：使活動網路接口位於防火牆內，或是使用專門的發包程式，從而避開標準IP棧需求。 CERT（Computer Emergency Response Team，電腦應急響應小群組） 這個術語是由第一支電腦應急反映小群組選取的，這支團隊建立在Carnegie Mellon大學，他們對電腦安全方面的事件做出反應、採取行動。現在許多群組織都有了CERT，比如CNCERT/CC（中國電腦網路應急處理協調中心）。由於emergency這個詞有些不夠明確，因此許多群組織都用Incident這個詞來取代它，產生了新詞Computer Incident Response Team（CIRT），即電腦事件反應團隊。response這個詞有時也用handling來代替，其含義是response表示緊急行動，而非長期的研究。 CIDF（Common Intrusion Detection Framework；通用入侵檢驗框架） CIDF力圖在某種程度上將入侵檢驗標準化，開發一些協定和套用程式接口，以使入侵檢驗的研究項目之間能夠共享訊息和資源，並且入侵檢驗元件也能夠在其它系統中再利用。CIDF的URL位址http://www.isi.edu/gost/cidf/。 CIRT（Computer Incident Response Team，電腦事件響應小群組） CIRT是從CERT演變而來的，CIRT代表了對安全事件在哲學認識上的改變。CERT最初是專門針對特定的電腦緊急情況的，而CIRT中的術語incident則表明並不是所有的incidents都一定是emergencies，而所有的emergencies都可以被看成是incidents。 CISL（Common Intrusion Specification Language，通用入侵規範語系） CISL是CIDF元件間彼此通信的語系。由於CIDF就是對協定和接口標準化的嘗試，因此CISL就是對入侵檢驗研究的語系進行標準化的嘗試。 CVE（Common Vulnerabilities and Exposures，通用漏洞披露） 關於漏洞的一個老問題就是在設計掃瞄程式或應對策略時，不同的廠商對漏洞的稱謂也會完全不同。還有，一些產商會對一個漏洞定義多種特徵並套用到他們的IDS系統中，這樣就給人一種錯覺，好像他們的產品更加有效。MITRE建立了CVE，將漏洞名稱進行標準化，參與的廠商也就順理成章按照這個標準開發IDS產品。CVE的URL位址http://cve.mitre.org/。 Crafting Packets（自訂封包） 建立自訂封包，就可以避開一些慣用規定的封包結構，從而製造封包欺騙，或是使得收到它的電腦不知該如何處理它。製作自訂封包的一個可用程式Nemesis，它的URL位址http://jeff.chi.wwti.com/nemesis/。 Desynchronization（同步失效） desynchronization這個術語本來是指用序列數逃避IDS的方法。有些IDS可能會對它本來期望得到的序列數感到迷惑，從而導致無法重新構建資料。這一技術在1998年很流行，現在已經由時了，有些文章把desynchronization這個術語代指其它IDS逃避方法。 Eleet 當黑客編寫漏洞開發程式時，他們通常會留下一個簽名，其中最聲名狼藉的一個就是elite。若果將eleet轉換成數字，它就是31337，而當它是指他們的能力時，elite=eleet，表示精英。31337通常被用做一個連接埠號或序號。目前流行的詞是「skillz」。 Enumeration（列舉） 經由被動研究和社會工程學的工作後，攻擊者就會開始對網路資源進行列舉。列舉是指攻擊者主動探查一個網路以發現其中有什麼以及哪些可以被他利用。由於現在的行動不再是被動的，它就有可能被檢驗出來。當然為了避免被檢驗到，他們會盡可能地悄悄進行。 Evasion（躲避） Evasion是指發動一次攻擊，而又不被IDS成功地檢驗到。其中的竅門就是讓IDS只看到一個方面，而實際攻擊的卻是另一個目的，所謂明修棧道，暗渡陳倉。Evasion的一種形式是為不同的訊息包設定不同的TTL（有效時間）值，這樣，經由IDS的訊息看起來好像是無害的，而在無害訊息位上的TTL比要到達目的主電腦所需要的TTL要短。一旦經由了IDS並接近目的，無害的部分就會被丟掉，只剩下有害的。 Exploits（漏洞利用） 對於每一個漏洞，都有利用此漏洞進行攻擊的機制。為了攻擊系統，攻擊者編寫出漏洞利用代碼或教本。 對每個漏洞都會存在利用這個漏洞執行攻擊的模式，這個模式就是Exploit。為了攻擊系統，黑客會編寫出漏洞利用程式。 漏洞利用：Zero Day Exploit（零時間漏洞利用） 零時間漏洞利用是指還未被瞭解且仍在肆意橫行的漏洞利用，也就是說這種類型的漏洞利用目前還沒有被發現。一旦一個漏洞利用被網路安全界發現，很快就會出現針對它的補丁程式，並在IDS中寫入其特徵標識訊息，使這個漏洞利用無效，有效地捕獲它。 False Negatives（漏報） 漏報是指一個攻擊事件未被IDS檢驗到或被分析人員認為是無害的。 False Positives（誤報） 誤報是指實際無害的事件卻被IDS檢驗為攻擊事件。 Firewalls（防火牆） 防火牆是網路安全的第一道關卡，雖然它不是IDS，但是防火牆日誌可以為IDS提供寶貴訊息。防火牆工作的原理是根據規則或標準，如源位址、連接埠等，將危險連線阻擋在外。 FIRST（Forum of Incident Response and Security Teams，事件響應和安全團隊論壇） FIRST是由國際性政府和私人群組織聯合起來交換訊息並協調響應行動的聯盟，一年一度的FIRST受到高度的重視，它的URL位址http://www.first.org/。 Fragmentation（分片） 若果一個訊息包太大而無法裝載，它就不得不被分成片斷。分片的依據是網路的MTU（Maximum Transmission Units，最大傳輸單元）。例如，靈牌環網（token ring）的MTU是4464，乙太網（Ethernet）的MTU是1500，因此，若果一個訊息包要從靈牌環網傳輸到乙太網，它就要被分裂成一些小的片斷，然後再在目的地重建。雖然這樣處理會造成效率降低，但是分片的效果還是很好的。黑客將分片視為躲避IDS的方法，另外還有一些DOS攻擊也使用分片技術。 Heuristics（啟發） Heuristics就是指在入侵檢驗中使用AI（artificial intelligence，人工智慧）思想。真正使用啟發理論的IDS已經出現大約10年了，但他們還不夠「聰明」，攻擊者可以通過訓練它而使它忽視那些惡意的訊息流。有些IDS使用異常模式去檢驗入侵，這樣的IDS必須要不斷地學習什麼是標準事件。一些產商認為這已經是相當「聰明」的IDS了，所以就將它們看做是啟髮式IDS。但實際上，真正套用AI技術對輸入資料進行分析的IDS還很少很少。 Honeynet Project（Honeynet工程） Honeynet是一種學習工具，是一個包括安全缺陷的網路系統。當它受到安全威脅時，入侵訊息就會被捕獲並接受分析，這樣就可以瞭解黑客的一些情況。Honeynet是一個由30餘名安全專業群組織成員群組成、專門致力於瞭解黑客團體使用的工具、策略和動機以及共享他們所掌握的知識的項目。他們已經建立了一系列的honeypots，提供了看似易受攻擊的Honeynet網路，觀察入侵到這些系統中的黑客，研究黑客的戰術、動機及行為。 Honeypot（蜜罐） 蜜罐是一個包括漏洞的系統，它類比一個或多個易受攻擊的主電腦，給黑客提供一個容易攻擊的目的。由於蜜罐沒有其它任務需要完成，因此所有連線的嘗試都應被視為是可疑的。蜜罐的另一個用途是拖延攻擊者對其真正目的的攻擊，讓攻擊者在蜜罐上浪費時間。與此同時，最初的攻擊目的受到了保護，真正有價值的內容將不受侵犯。 蜜罐最初的目的之一是為起訴惡意黑客搜集證據，這看起來有「誘捕」的感覺。但是在一些國家中，是不能利用蜜罐收集證據起訴黑客的。 IDS Categories（IDS分類） 有許多不同類型的IDS，以下分別列出： ●IDS分類1－Application IDS（套用程式IDS）：套用程式IDS為一些特殊的套用程式發現入侵信號，這些套用程式通常是指那些比較易受攻擊的套用程式，如Web伺服器、資料庫等。有許多原本著眼於動作系統的基於主電腦的IDS，雖然在預設狀態下並不針對套用程式，但也可以經由訓練，套用於套用程式。例如，KSE（一個基於主電腦的IDS）可以告訴我們在事件日誌中正在進行的一切，內含事件日誌報告中有關套用程式的輸出內容。套用程式IDS的一個例子是Entercept的Web Server Edition。 ●IDS分類2－Consoles IDS（控制台IDS）：為了使IDS適用於協同環境，分散式IDS代理需要向中心控制台報告訊息。現在的許多中心控制台還可以接收其它來源的資料，如其它產商的IDS、防火牆、路由器等。將這些訊息綜合在一起就可以呈現出一幅更完整的攻擊圖景。有些控制台還將它們自己的攻擊特徵新增到代理層級的控制台，並提供遠端管理功能。這種IDS產品有Intellitactics Network Security Monitor和Open Esecurity Platform。 ●IDS分類3－File Integrity Checkers（檔案完整性檢查器）：當一個系統受到攻擊者的威脅時，它經常會改變某些關鍵檔案來提供持續的訪問和預防檢驗。通過為關鍵檔案附加訊息摘要（加密的雜亂信號），就可以定時地檢查檔案，檢視它們是否被改變，這樣就在某種程度上提供了保證。一旦檢驗到了這樣一個變化，完整性檢查器就會發出一個警報。而且，當一個系統已經受到攻擊後，系統管理員也可以使用同樣的方法來確定系統受到危害的程度。以前的檔案檢查器在事件發生好久之後才能將入侵檢驗出來，是「事後諸葛亮」，最近出現的許多產品能在檔案被訪問的同時就進行檢查，可以看做是實時IDS產品了。該類產品有Tripwire和Intact。 ●IDS分類4－Honeypots（蜜罐）：關於蜜罐，前面已經介紹過。蜜罐的例子內含Mantrap和Sting。 ●IDS分類5－Host-based IDS（基於主電腦的IDS）：這類IDS對多種來源的系統和事件日誌進行監控，發現可疑活動。基於主電腦的IDS也叫做主電腦IDS，最適合於檢驗那些可以信賴的內定人員的誤用以及已經避開了傳統的檢驗方法而滲透到網路中的活動。除了完成類似事件日誌閱讀器的功能，主電腦IDS還對「事件/日誌/時間」進行簽名分析。許多產品中還包括了啟髮式功能。因為主電腦IDS幾乎是實時工作的，系統的錯誤就可以很快地檢驗出來，技術人員和安全人士都非常喜歡它。現在，基於主電腦的IDS就是指基於伺服器/工作站主電腦的所有類型的入侵檢驗系統。該類產品內含Kane Secure Enterprise和Dragon Squire。 ●IDS分類6－Hybrid IDS（混合IDS）：現代交換網路的結構給入侵檢驗動作帶來了一些問題。首先，預設狀態下的交換網路不容許網卡以混雜模式工作，這使傳統網路IDS的安裝非常困難。其次，很高的網路速度意味著很多訊息包都會被NIDS所丟棄。Hybrid IDS（混合IDS）正是解決這些問題的一個專案，它將IDS提升了一個層次，群組合了網路節點IDS和Host IDS（主電腦IDS）。雖然這種解決專案覆蓋面極大，但同時要考慮到由此引起的巨大資料量和費用。許多網路只為非常關鍵的伺服器保留混合IDS。有些產商把完成一種以上任務的IDS都叫做Hybrid IDS，實際上這只是為了廣告的效應。混合IDS產品有CentraxICE和RealSecure Server Sensor。 ●IDS分類7－Network IDS（NIDS，網路IDS）：NIDS對所有流經監測代理的網路通信量進行監控，對可疑的異常活動和包括攻擊特徵的活動作出反應。NIDS原本就是帶有IDS過濾器的混合訊息包嗅探器，但是近來它們變得更加智慧化，可以破譯協定並維護狀態。NIDS存在基於套用程式的產品，只需要安裝到主電腦上就可套用。NIDS對每個訊息包進行攻擊特徵的分析，但是在網路高負載下，還是要丟棄些訊息包。網路IDS的產品有SecureNetPro和Snort。 ●IDS分類8－Network Node IDS（NNIDS，網路節點IDS）：有些網路IDS在高速下是不可靠的，裝載之後它們會丟棄很高比例的網路訊息包，而且交換網路經常會妨礙網路IDS看到混合傳輸的訊息包。NNIDS將NIDS的功能委託給單獨的主電腦，從而緩解了高速和交換的問題。雖然NNIDS與個人防火牆功能相似，但它們之間還有區別。對於被歸類為NNIDS的個人防火牆，應該對企圖的連線做分析。例如，不像在許多個人防火牆上發現的「試圖連線到連接埠xxx」，一個NNIDS會對任何的探測都做特徵分析。另外，NNIDS還會將主電腦接收到的事件傳送到一個中心控制台。NNIDS產品有BlackICE Agent和Tiny CMDS。 ●IDS分類9－Personal Firewall（個人防火牆）：個人防火牆安裝在單獨的系統中，防止不受歡迎的連線，無論是進來的還是出去的，從而保護主電腦系統。注意不要將它與NNIDS混淆。個人防火牆有ZoneAlarm和Sybergen。 ●IDS分類10－Target-Based IDS（基於目的的IDS）：這是不明確的IDS術語中的一個，對不同的人有不同的意義。可能的一個定義是檔案完整性檢查器，而另一個定義則是網路IDS，後者所尋找的只是對那些由於易受攻擊而受到保護的網路所進行的攻擊特徵。後面這個定義的目的是為了提高IDS的速度，因為它不搜尋那些不必要的攻擊。 IDWG（Intrusion Detection Working Group，入侵檢驗工作群組） 入侵檢驗工作群組的目的是定義資料格式和交換訊息的程式步驟，這些訊息是對於入侵檢驗系統、響應系統以及那些需要與它們交互作用的管理系統都有重要的意義。入侵檢驗工作群組與其它IETF群組織協同工作。 IDWG的URL位址http://www.ietf.org/html.charters/idwg-charter.html。 IETF的URL位址http://www.ietf.org/。 Incident Handling（事件處理） 檢驗到一個入侵只是開始。更普遍的情況是，控制台動作員會不斷地收到警報，由於根本無法分出時間來親自追蹤每個潛在事件，動作員會在感興趣的事件上做出標誌以備將來由事件處理團隊來調查研究。在最初的反應之後，就需要對事件進行處理，也就是諸如調查、辯論和起訴之類的事宜。 Incident Response（事件響應） 對檢驗出的潛在事件的最初反應，隨後對這些事件要根據事件處理的程式進行處理。 Islanding（孤島） 孤島就是把網路從Internet上完全切斷，這幾乎是最後一招了，沒有辦法的辦法。一個群組織只有在大規模的病毒爆發或受到非常明顯的安全攻擊時才使用這一手段。 Promiscuous（混雜模式） 預設狀態下，IDS網路接口只能看到進出主電腦的訊息，也就是所謂的non-promiscuous（非混雜模式）。若果網路接口是混雜模式，就可以看到網段中所有的網路通信量，不管其來源或目的地。這對於網路IDS是必要的，但同時可能被訊息包嗅探器所利用來監控網路通信量。交換型HUB可以解決這個問題，在能看到全面通信量的地方，會都許多跨越（span）連接埠。 Routers（路由器） 路由器是用來連線不同子網的中樞，它們工作於OSI 7層模型的傳輸層和網路層。路由器的基本功能就是將網路訊息包傳輸到它們的目的地。一些路由器還有訪問控制清單（ACLs），容許將不想要的訊息包過濾出去。許多路由器都可以將它們的日誌訊息注入到IDS系統中，提供有關被阻擋的訪問網路企圖的寶貴訊息。 Scanners（掃瞄器） 掃瞄器是自動化的工具，它掃瞄網路和主電腦的漏洞。同入侵檢驗系統一樣，它們也分為很多種，以下分別描述。 ●掃瞄器種類1－Network Scanners（網路掃瞄器）：網路掃瞄器在網路上搜尋以找到網路上所有的主電腦。傳統上它們使用的是ICMP ping技術，但是這種方法很容易被檢驗出來。為了變得隱蔽，出現了一些新技術，例如ack掃瞄和fin掃瞄。使用這些更為隱蔽掃瞄器的另一個好處是：不同的動作系統對這些掃瞄會有不同的反應，從而為攻擊者提供了更多有價值的訊息。這種工具的一個例子是nmap。 ●掃瞄器種類2－Network Vulnerability Scanners（網路漏洞掃瞄器）：網路漏洞掃瞄器將網路掃瞄器向前發展了一步，它能檢驗目的主電腦，並突出一切可以為黑客利用的漏洞。網路漏洞掃瞄器可以為攻擊者和安全專家使用，但會經常讓IDS系統「緊張」。該類產品有Retina和CyberCop。 ●掃瞄器種類3－Host Vulnerability Scanners（主電腦漏洞掃瞄器）：這類工具就像個有特權的使用者，從內定掃瞄主電腦，檢驗密碼強度、安全策略以及檔案許可等內容。網路IDS，特別是主電腦IDS可以將它檢驗出來。該類產品有SecurityExpressions，它是一個遠端Windows漏洞掃瞄器，並且能自動修復漏洞。還有如ISS資料庫掃瞄器，會掃瞄資料庫中的漏洞。 Script Kiddies（腳本小子） 有些受到大肆宣揚的Internet安全破壞，如2000年2月份對Yahoo的拒絕服務攻擊，是一些十來歲的國中生干的，他們幹這些壞事的目的好像是為了揚名。安全專家通常把這些人稱為腳本小子（Script Kiddies）。腳本小子通常都是一些自發的、不太熟練的cracker，他們使用從Internet 上下載的訊息、軟體或腳本對目的站台進行破壞。黑客群組織或法律實施權威機構都對這些腳本小孩表示輕蔑，因為他們通常都技術不熟練，手上有大把時間可以來搞破壞，他們的目的一般是為了給他們的朋友留下印象。腳本小子就像是拿著搶的小孩，他們不需要懂得彈道理論，也不必能夠製造槍支，就能成為強大的敵人。因此，無論何時都不能低估他們的實力。 Shunning（躲避） 躲避是指組態邊界裝置以拒絕所有不受歡迎的訊息包，有些躲避甚至會拒絕來自某些國家所有IP位址的訊息包。 Signatures（特徵） IDS的核心是攻擊特徵，它使IDS在事件發生時觸發。特徵訊息過短會經常觸發IDS，導致誤報或錯報，過長則會減慢IDS的工作速度。有人將IDS所支援的特徵數視為IDS好壞的標準，但是有的產商用一個特徵涵蓋許多攻擊，而有些產商則會將這些特徵單獨列出，這就會給人一種印象，好像它包括了更多的特徵，是更好的IDS。大家一定要清楚這些。 Stealth（隱藏）

劉謙 ECFA 花蓮 男人in起來 KITTY 

音樂
我ㄍ人滿喜歡這首ㄍ  我ㄉ車車裡ㄝ有 
ㄎ是有ㄉ我還是不喜歡 不過ㄝ只有一小段
我還有一堆 ㄝ是這種ㄉㄍ (哈哈哈) 聽聽看囉!!
五支煙2006.01.03連續 五支煙2005.12.08連續
      

美女家教 3D麥田圈 LOMO 女悟空 楊一展 

音樂 MV 無聊ㄎ以聽聽唷!
蔡依林-唇唇欲動 假裝(蔡依林) 馬德里不思議(蔡依林) 開場白(蔡依林)
離人節(蔡依林)     舞孃(蔡依林)     獨佔神話(蔡依林)     心型圈(蔡依林)

主播 墾丁 上海世博 模型 女球迷 

太陽到底有多大？看了圖片就知道 (組圖)
先看看地球有多大
再來看看九大行星有多大
最後看看太陽老大有多大
哇...大自然...真是奧妙ㄚ...人類是多ㄇ渺小ㄚ

昏倒羊 龍紋身的女孩 大炳 宋紀妍 咬筆妹 

綜合明星~小mm表情動圖收錄

歡迎引用～收集分享請整篇引用