一、写在前面的话
  Internet网在我国是从1996年开始进入迅猛发展时期的，随着网络神话的不断诞生，更多的年轻人加入到这个令人神往的行业中来，俗话说的好：“林子大了，什么鸟都有”，网络也一样，良莠不齐，在绝大多数网络人员为祖国的信息产业献策献力的时候，少数人却为展示自己或获得某种利益而实施网络攻击，最终落得身陷囹圄甚至命绝黄泉的下场，实在可悲可叹。但由于网络的特殊魅力，网络攻击者可谓是前仆后继，一浪高过一浪。因此，当大家在与网络接触的过程中往往会遭到一些不明的侵袭，比如：聊天室里你的屏幕上突然被打开了无数的窗口、使用OICQ时一下子收到了大量的垃圾信息、使用从某网站下载的软件后你发现机器处理速度明显变慢了、当你浏览某网站的时候突然机器蓝屏死机了、到电信局交网费的时候你发现拿到的是近乎天文数字的帐单，如此种种，都表明你受到了网上的非法侵害。其实我自从不断地收到网友的求助以来，已经有一些时日了，早就有写一篇关于网络自我防护方面文章的想法，但由于工作和生活等原因，一直没能静下心来写一写，现在大家的呼声越来越高，最终决定仓促提笔，把自己的心得体会用通俗易懂的语言献给大家，但由于本人的经历和水平有限，肯定会有很多不当之处，敬请批评指正。

二、了解一点网络小常识

1、什么是IP地址？

  为了区别所有连接在Intenet上的电脑，我们上网的每台电脑都至少会有一个IP地址，格式为: xxx.xxx.xxx.xxx （其中x代表0-9的数字，xxx的大小在0到255之间）比如：一般机器的本地IP地址是127.0.0.1。其实IP地址相当于你在Internet上的身份证号码，是用于区别他人的，所以在Internet里是没有两个IP地址是相同的。

2、拨号用户的IP地址是每次都变化的

  对于拨号上网的用户，你每次拨号上网被分配的IP地址是变化的。比如：这次你的IP地址是202.102.243.48，下次可能是202.102.243.170或其他，但在整个Internet里仍然是唯一的，并且在你没有挂断之前一直是不变的。不少拨号上网的网友对IP地址每次都变化表示困惑，我是这样理解的：假如你的ISP（网络服务提供商）有1000个拨号用户，而它只拥有500个IP，事实上经你的ISP统计，一般同时上网的用户不超过400人，所以给它的拨号用户随机从500个IP中分配不仅是可行的，而且是划算的。当然你若肯向你的ISP额外付费的话，完全可以获得一个拨号的固定IP，但这对大多数拨号用户来说是不必要的。

3、每个网卡至少可以绑定一个IP地址

  大多数时候，分配给网卡的IP地址是固定的，事实上一个网卡可以同时绑定多个IP地址，网卡主要用在两种环境：一种是绑定一个外部IP地址直接接入Internet网，一般用于Internet服务器或专线用户上网；另一种是绑定一个内部IP地址和其他机器连接成一个局域网，当然若局域网服务器设置有DHCP服务器的话，也可以给局域网内部的每台工作站分配动态的内部IP地址。若有Proxy代理服务器的话，还可以访问外部Internet网，事实上不少企业和网吧都是通过代理服务器实现内部机器上网的，这样不仅节省了IP地址，而且安全性更好些。

4、我上网后怎么才能知道我的IP地址？

首先拨号上网，之后按照如下步骤操作：

n    对于Windows 95: 开始菜单->运行->winipcfg 回车，将看到如下信息：


以上说明这是一个拨号连接，IP地址为：202.102.231.181。

n    对于Windows 98和Me: 开始菜单->程序->MSDOS->ipconfig 回车，将看到如下信息：

Ethernet adapter 本地连接:

  Connection-specific DNS Suffix . :

  IP Address. . . . . . . . . . . . : 192.168.0.2

  Subnet Mask . . . . . . . . . . . : 255.255.255.0

  Default Gateway . . . . . . . . . : 192.168.0.1

以上说明这是一个以太网卡，IP地址为：192.168.0.2，子网掩码为：255.255.255.0，默认网关为：192.168.0.1

PPP adapter 拨号连接:

  Connection-specific DNS Suffix . :

  IP Address. . . . . . . . . . . . : 202.102.231.181

  Subnet Mask . . . . . . . . . . . : 255.255.255.255

  Default Gateway . . . . . . . . . : 202.102.231.181

注：IP地址查看程序文件winipcfg.exe和ipconfig.exe一般就在你安装的Windows目录里，不用到其他地方下载。

5、Port端口有什么作用？

  Port端口是用来标识不同Intenet服务的，具体说是对应于电脑系统里面运行着的能提供某种网络服务的进程。打个比方：某公司的总机电话是88881234，电脑部的分机电话是101，网络部的分机电话是102，依次类推。那么我要找该公司电脑部的人，首先要知道公司总机电话888881234，而且还要知道101才能接通，同样要找网络部的话就要知道102... 这里的88881234就相当于IP地址，101和102就相当于端口，是用来区分同一公司的不同服务部门的，也就是说我知道了某台服务器的IP地址，并向它提供端口号，它才能把你需要的数据传送给你，当然那个端口必须是开放的，就好比公司的电脑部必须有人值班一样。一般来说我们的浏览器默认是向IP地址为80的端口发送请求的。常见的端口号及相应的服务如下:

端口号
协议
作用
说明

21
FTP
文件传送
用CuteFtp等Ftp软件维护网站用的就是该协议

23
TELNET
远程登录
管理员和黑客远程控制系统的最基本手段

25
SMTP
发送邮件
Outlook Express或FoxMail等邮件程序发Email用

53
DNS
域名解析
实现域名和IP地址之间的转换

80
HTTP
Web服务
为Internet Explorer等浏览器提供网页服务，最常用

110
POP3
邮件接收
Outlook Express或FoxMail等邮件程序收Email用


注：端口范围为0-65535， 0-1024为系统使用，剩下的用户自己定义，所以聊天软件和木马等使用的端口大多都大于1024。

6、我知道对方的IP地址，如何判断对方是否在网上？

  基本方法是使用windows系统自己带的网络检测程序ping.exe程序，该程序的原理是，向指定的IP地址发送一定长度的数据包，按照约定，若指定IP地址存在的话，会返回同样大小的数据包，当然，若在特定的时间内没有返回，就是“超时”，就认为指定的IP地址不存在。操作步骤如下（假定对方的IP地址为202.102.224.25）：

开始菜单->程序->MSDOS->ping 202.102.224.25 回车

若出现信息 “Reply from ...”等如下信息 说明对方在网上！

Reply from 202.102.224.25: bytes=32 time<130ms TTL=128

Reply from 202.102.224.25: bytes=32 time<120ms TTL=128

Reply from 202.102.224.25: bytes=32 time<120ms TTL=128

Reply from 202.102.224.25: bytes=32 time<120ms TTL=128

若出现信息 “Request timeout ...” 则说明对方不在网上！

注：由于ping使用的是icmp协议，有些防火墙软件会屏蔽掉icmp协议，所以有时候ping的结果只能做为参考，ping不通并不能就一定说明对方IP不存在。

7、什么是Proxy代理服务？

上网的朋友会经常听到“代理”这个词，总感觉很神秘，实际上代理并不复杂，就好比你做什么事情的时候，由于一些原因无法亲自前往，那么你就可以找个代理人，你把你的要求告诉他，他就会把事情为你办好。当然若他不认识你并且又不愿意学雷峰的话，你也许要付一定的费用，不过若你能够使用一些特殊方法使他误以为你是他的亲属的话，也许他会免费为你服务的，不过你可能会因有“欺骗行为”而受起诉。而Internet网上的代理说白了就是一个能执行代理任务的IP地址和一些特定端口，比如：一个网吧里面，你的机器的内部IP地址是192.168.0.2，其他机器的IP地址分别为192.168.0.3、192.168.0.4、192.168.0.5等，服务器的内部IP地址是192.168.0.1使用ISDN拨号上网，拨号后的IP地址为202.102.248.78，显然现在这个网吧里面能够访问外部网http://www.red8black.com的机器只服务器，那么怎么才能让其他机器也能上网呢？我们会发现虽然我们的IP不能直接访问外部网络，但却都能够和服务器的IP地址192.168.0.1相互通讯（在同一局域网里呀），而服务器的内部IP地址和外部IP地址202.102.248.78之间又能够相互通讯（在同一主机里呀），那么我们能不能把我们的请求告诉给192.168.0.1，让192.168.0.1再告诉给202.102.248.78，由202.102.248.78　http://www.red8black.com递交请求http://www.red8black.com再把返回的结果经过202.102.248.78和192.168.0.1返回给192.168.0.2，如此不就实现上网了啊，答案是肯定的，能够实现这功能的最常用的软件是Ms Proxy、Wingate和Sygate，其中sygate安装设置最简单。那么，从这过程我们可以看出，所有网吧内的上网用户最终都是通过服务器代理上网的，并且所有我们浏览的外部网站的信息也都是通过服务器返回的，也就是说服务器全权代理了所有网吧用户上网。


值得注意的是，使用不同的代理软件在客户端的设置也是不同的。

若使用的是Ms Proxy的话，设置Internet Explorer设置代理服务器的方法如下：

IE菜单“工具”->“Internet选项”->“连接”->“局域网设置”->“代理服务器”，填入代理服务器的IP地址（192.168.0.1）和端口（一般为8080）即可。

对于使用Wingate和Sygate代理软件的客户端设置只需要把tcp/ip协议属性里面的网关设置成192.168.0.1即可。

从以上我们可以看出，使用代理服务器至少有两个好处：一是你不能访问的资源现在可以访问了；二是你没有和你要访问的服务器直接打交道，那个服务器自然就无法知道你的真实的IP地址，它只能知道你的代理服务器的IP地址，而你的代理服务器可能与你一点关系都没有。

注：代理服务器的外部地址可以是固定的（DDN专线上网），也可以是动态的（Modem拨号上网、一线通ISDN或网络快车ADSL等）。

8、什么是TCP和UDP协议？

  TCP是面向连接的传送协议，就是说你首先要把你的IP地址和请求信息发送给对方，对方同意后也会把它的IP地址和许可信息发送给你，你收到对方的许可信息后，还要告诉对方：“我也准备好了！”，然后就可以和对方进行数据传送了。其中建立连接的过程一般叫“三次握手”。因为过程烦琐，所以速度慢些，但可靠性高。数据结构如下：

IP头
TCP头
数据

注：

（1）IP头里包括发送方和接收方的IP地址和使用的协议类型。

（2）TCP头里包括发送方和接收方的端口。

UDP是无连接的传送协议，就是说你不用握手，也不用知道对方是否在网上，只要知道对方的IP地址，发过去就是了，若对方在网上就可能收到了，否则根本收不到。但由于过程简单，所以速度快，当然可靠性就低了。

IP头
UDP头
数据


注：IP头里包括发送方和接收方的IP地址和端口

（1）IP头里包括发送方和接收方的IP地址和使用的协议类型

（2）UDP头里包括发送方和接收方的端口

举例：

HTTP、FTP和mIRC等用的都是TCP协议。

DNS和OICQ等用的是UDP协议。

9、如何才能隐藏上网的IP地址？

  对于这个问题，我个人认为：基本上是不可能的。为什么说是基本上呢？是因为有的时候是可以的、是相对的。具体实现IP隐藏的方法主要有两种：

（1）使用代理服务器

  从上面可以知道使用代理服务器就能实现对其他服务器的IP地址隐藏，但是你对代理服务器是无法隐藏的，因为你是必须和代理服务器直接打交道的。

（2）发送数据时改掉IP数据包里的你的IP地址

  说到底，在Internet网上传输的所有数据（包含有你的IP地址），都是以IP数据包的形式传送的，所以可以在发送IP数据包之前先把自己的IP地址改掉，然后再发送，自然对方就无法获得你的IP地址了，相当于实现了IP地址隐藏。但问题是，你若使用的是TCP协议的话，对方即便许可了也无法把许可信息发送给你，而是发送到了你改掉的IP地址那里去了，结果你和对方无法建立连接，当然也就无法从对方获得数据，基本上没什么意义，但是对于有些探测是可行的，比如端口扫描器。当然对于UDP就很有效果了，不少网络炸弹就是用UDP实现IP地址隐藏的。

  事实上，现在的Windows平台的网络炸弹大多是没有实现IP地址隐藏的。原因是在Windwos 95/98/Me/NT上的Winsock库不支持对IP头的修改和自定义，在Windows2000和Unix/Linux才允许。当然，完全可以通过自己写一套底层的Socket库来实现，但这样并不容易，更多的是通过写Vxd/WDM/Sys等设备驱动程序来实现的，当然对一般编程人员而言，也有一定难度。

所以，总结一下就是：在网络上隐藏IP地址基本上是不现实的。

三、构建一个安全的操作系统

  在这里说是构建一个安全的操作系统，更确切的应该是说保证操作系统的网络功能安全，因为无论是Windows 95还是Windows 98的网络功能都存在安全漏洞，可以导致远程的D.O.S（拒绝服务）攻击，而出现TCP/IP栈崩溃、Modem掉线、系统凝固、蓝屏错误和系统重新启动等现象。

1、常见D.O.S攻击软件介绍

（1）WinNuke: 通过发送OOB漏洞导致系统蓝屏，是最早的Windows 95攻击器。

（2）Bonk: 通过发送大量伪造的UDP数据包导致系统重启动。

（3）TearDrop: 通过发送重叠的IP碎片导致系统的TCP/IP栈崩溃。

（4）WinArp: 通过发特殊数据包在对方机器上产生大量的窗口。

（5）Land：通过发送大量伪造源IP的基于SYN的TCP请求导致系统重启动。

（6）FluShot: 通过发送特定IP包导致系统凝固。

（7）Bloop: 通过发送大量的ICMP数据包导致系统变慢甚至凝固。

（8）PIMP：通过IGMP漏洞导致系统蓝屏甚至重新启动。

（9）Jolt: 通过大量伪造的ICMP和UDP导致系统变的非常慢甚至重新启动。

等等... 还有以上程序的诸多变种！不再一一叙述。

2、安装网络安全补丁程序

[Windows 95]

步骤如下：

（1）下载并安装MS Winsock Update - wsockupd.exe（188K）

（2）下载并安装MS DUN 1.2 Upgrade - msdun12.exe（1.38M）

（3）下载并安装Winsock 2.2 Upgrade - ws2setup.exe（963K）

（4）下载并安装“共享密码验证漏洞补丁程序”- 273991usa5.exe（200K）

注：以上安装顺序不能颠倒，（1）-（3）安装完毕后都要重新启动系统。

文章转载地址：http://www.cnpaf.net/Class/hack/0512182034528509555.htm