黑客攻防入门秘籍 学习笔记（一）

1 黑客 Hacker  骇客 Cracker   红客 Honker
2 IP：Internet Protocol 网络协议。计算机之间通过网络通讯遵循的协议。
3 IP地址：互联网协议地址（英语：Internet Protocol Address，又译为网际协议地址），缩写为IP地址（IP Address）。IP地址是IP协议提供的一种统一的地址格式，它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。32位。分为四段每段8位 以  “.” 隔开。
每个IP地址分为两个标识码：网络标识码和主机标识码。前者告诉所处网络，后者告诉网络中是哪个主机。
IP地址分类：
A类IP地址
一个A类IP地址是指， 在IP地址的四段号码中，第一段号码为网络号码，剩下的三段号码为本地计算机的号码。如果用二进制表示IP地址的话，A类IP地址就由1字节的网络地址和3字节主机地址组成，网络地址的最高位必须是“0”。A类IP地址中网络的标识长度为8位，主机标识的长度为24位，A类网络地址数量较少，有126个网络，每个网络可以容纳主机数达1600多万台。
A类IP地址 地址范围1.0.0.0到126.255.255.255[1] （二进制表示为：00000001 0000000000000000 00000000 - 01111110 11111111 11111111 11111111）。最后一个是广播地址。
A类IP地址的子网掩码为255.0.0.0，每个网络支持的最大主机数为256的3次方-2=16777214台] 
B类IP地址
一个B类IP地址是指，在IP地址的四段号码中，前两段号码为网络号码。如果用二进制表示IP地址的话，B类IP地址就由2字节的网络地址和2字节主机地址组成，网络地址的最高位必须是“10”。B类IP地址中网络的标识长度为16位，主机标识的长度为16位，B类网络地址适用于中等规模的网络，有16382个网络，每个网络所能容纳的计算机数为6万多台。
B类IP地址地址范围128.0.0.0-191.255.255.255[3] （二进制表示为：10000000 00000000 00000000 00000000----10111111 11111111 11111111 11111111）。 最后一个是广播地址。
B类IP地址的子网掩码为255.255.0.0，每个网络支持的最大主机数为256的2次方-2=65534
C类IP地址
一个C类IP地址是指，在IP地址的四段号码中，前三段号码为网络号码，剩下的一段号码为本地计算机的号码。如果用二进制表示IP地址的话，C类IP地址就由3字节的网络地址和1字节主机地址组成，网络地址的最高位必须是“110”。C类IP地址中网络的标识长度为24位，主机标识的长度为8位，C类网络地址数量较多，有209万余个网络。适用于小规模的局域网络，每个网络最多只能包含254台计算机。
C类IP地址范围192.0.0.0-223.255.255.255[3] （二进制表示为: 11000000 00000000 00000000 00000000 - 11011111 11111111 11111111 11111111）。
C类IP地址的子网掩码为255.255.255.0，每个网络支持的最大主机数为256-2=254台
D类IP地址
D类IP地址在历史上被叫做多播地址(multicast address)，即组播地址。在以太网中，多播地址命名了一组应该在这个网络中应用接收到一个分组的站点。多播地址的最高位必须是“1110”，范围从224.0.0.0到239.255.255.255。
特殊的网址
1. 每一个字节都为0的地址（“0.0.0.0”）对应于当前主机；
2. IP地址中的每一个字节都为1的IP地址（“255．255．255．255”）是当前子网的广播地址；
3. IP地址中凡是以“11110”开头的E类IP地址都保留用于将来和实验使用。
4. IP地址中不能以十进制“127”作为开头，该类地址中数字127．0．0．1到127．255．255．255用于回路测试，如：127.0.0.1可以代表本机IP地址，用“http://127.0.0.1”就可以测试本机中配置的Web服务器。
5. 网络ID的第一个8位组也不能全置为“0”，全“0”表示本地网络。
（摘自   百度百科）
4 端口：
是指计算机与外界通信交流的接口。不同端口有不同功能：
80号：浏览网页。
21号：FTP服务。
23号：远程登录协议
53号：DNS 域名服务器
79号：Finger Server 说明：入侵者用于获得用户信息，查询操作系统，探测已知的缓冲区溢出错误，回应从自己机器到其他机器Finger扫描。
80号：HTTP 超文本传送协议。
110号：POP3协议
139号：NetBIOS服务
3389号：远程登录服务。
POP3(Post Office Protocol 3)即邮局协议的第3个版本，它是规定个人计算机如何连接到互联网上的邮件服务器进行收发邮件的协议。它是因特网电子邮件的第一个离线协议标准，POP3协议允许用户从服务器上把邮件存储到本地主机（即自己的计算机）上，同时根据客户端的操作删除或保存在邮件服务器上的邮件，而POP3服务器则是遵循POP3协议的接收邮件服务器，用来接收电子邮件的。POP3协议是TCP/IP协议族中的一员，由RFC 1939 定义。本协议主要用于支持使用客户端远程管理在服务器上的电子邮件.(百度百科)
NETBIOS协议是由IBM公司开发，主要用于数十台计算机的小型局域网。该协议是一种在局域网上的程序可以使用的应用程序编程接口（API），为程序提供了请求低级服务的统一的命令集，作用是为了给局域网提供网络以及其他特殊功能。系统可以利用WINS服务、广播及Lmhost文件等多种模式将NetBIOS名-——特指基于NETBIOS协议获得计算机名称——解析为相应IP地址，实现信息通讯，所以在局域网内部使用NetBIOS协议可以方便地实现消息通信及资源的共享。因为它占用系统资源少、传输效率高，所以几乎所有的局域网都是在NetBIOS协议的基础上工作的。（百度百科）
公认端口：常用端口。0-1023号端口。紧密的绑定一些特定的服务。
注册端口：1024-49151号。松散的绑定一些服务。
动态/私有端口：49152-65535,。
按照协议划分端口：
TCP端口和UDP端口
TCP 4000=腾讯QQ客户端
查看本地计算机开放端口：
DOS下用netstat 命令： netstat -a -n
用专业的端口扫面软件 入Superscan
关闭端口：
控制面板---->管理工具---->服务
打开端口（XP系统）：
每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80，smtp是25，ftp是21，win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭无用的服务。 “控制面板”的“管理工具”中的“服务”中来配置。 
1、关闭7.9等等端口：关闭Simple TCP/IP Service,支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。 
2、关闭80口：关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service"，通过 Internet 信息服务的管理单元提供 Web 连接和管理。 
3、关掉25端口：关闭Simple Mail Transport Protocol (SMTP)服务，它提供的功能是跨网传送电子邮件。 
4、关掉21端口：关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。 
5、关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。 
6、还有一个很重要的就是关闭server服务，此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。 
7、还有一个就是139端口，139端口是NetBIOS Session端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。 关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。 对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。 
每一项服务都对应相应的端口，比如众如周知的WWW服务的端口是80，smtp是25，ftp是21，win2000安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要，关掉端口也就是关闭无用的服务。 
“控制面板”的“管理工具”中的“服务”中来配置。 
1、关闭7.9等等端口：关闭Simple TCP/IP Service,支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。 
2、关闭80口：关掉WWW服务。在“服务”中显示名称为"World Wide Web Publishing Service"，通过 Internet 信息服务的管理单元提供 Web 连接和管理。 
3、关掉25端口：关闭Simple Mail Transport Protocol (SMTP)服务，它提供的功能是跨网传送电子邮件。 
4、关掉21端口：关闭FTP Publishing Service,它提供的服务是通过 Internet 信息服务的管理单元提供 FTP 连接和管理。 
5、关掉23端口：关闭Telnet服务，它允许远程用户登录到系统并且使用命令行运行控制台程序。 
6、还有一个很重要的就是关闭server服务，此服务提供 RPC 支持、文件、打印以及命名管道共享。关掉它就关掉了win2k的默认共享，比如ipc$、c$、admin$等等，此服务关闭不影响您的共他操作。 
7、还有一个就是139端口，139端口是NetBIOS Session端口，用来文件和打印共享，注意的是运行samba的unix机器也开放了139端口，功能一样。以前流光2000用来判断对方主机类型不太准确，估计就是139端口开放既认为是NT机，现在好了。 
关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。 
对于个人用户来说，可以在各项服务属性设置中设为“禁用”，以免下次重启服务也重新启动，端口也开放了。 




我们一般采用一些功能强大的反黑软件和防火墙来保证我们的系统安全，但是有些用户不具备上述条件。怎么办呢？下面就介绍一种简易的办法——通过限制端口来帮助大家防止非法入侵。 
非法入侵的方式 
简单说来，非法入侵的方式可粗略分为4种： 
1、扫描端口，通过已知的系统Bug攻入主机。 
2、种植木马，利用木马开辟的后门进入主机。 
3、采用数据溢出的手段，迫使主机提供后门进入主机。 
4、利用某些软件设计的漏洞，直接或间接控制主机。 
非法入侵的主要方式是前两种，尤其是利用一些流行的黑客工具，通过第一种方式攻击主机的情况最多、也最普遍；而对后两种方式来说，只有一些手段高超的黑客才利用，波及面并不广泛，而且只要这两种问题一出现，软件服务商很快就会提供补丁，及时修复系统。 
因此，如果能限制前两种非法入侵方式，就能有效防止利用黑客工具的非法入侵。而且前两种非法入侵方式有一个共同点，就是通过端口进入主机。 
端口就像一所房子(服务器)的几个门一样，不同的门通向不同的房间(服务器提供的不同服务)。我们常用的FTP默认端口为21，而WWW网页一般默认端口是80。但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务，比如139等；还有一些木马程序，比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。那么，只要我们把自己用不到的端口全部封锁起来，不就杜绝了这两种非法入侵吗？ 
限制端口的方法 
对于个人用户来说，您可以限制所有的端口，因为您根本不必让您的机器对外提供任何服务；而对于对外提供网络服务的服务器，我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放，其他的端口则全部关闭。 
这里，对于采用Windows 2000或者Windows XP的用户来说，不需要安装任何其他软件，可以利用“TCP/IP筛选”功能限制服务器的端口。具体设置如下： 
1、右键点击“网上邻居”，选择“属性”，然后双击“本地连接”(如果是拨号上网用户，选择“我的连接”图标)，弹出“本地连接状态”对话框。 
2、点击[属性]按钮，弹出“本地连接属性”，选择“此连接使用下列项目”中的“Internet协议(TCP/IP)”，然后点击[属性]按钮。 
3、在弹出的“Internet协议(TCP/IP)”对话框中点击[高级]按钮。在弹出的“高级TCP/IP设置”中，选择“选项”标签，选中“TCP/IP筛选”，然后点击[属性]按钮。 
4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选”的复选框，然后把左边“TCP端口”上的“只允许”选上(请见附图)。 
这样，您就可以来自己添加或删除您的TCP或UDP或IP的各种端口了。 
添加或者删除完毕，重新启动机器以后，您的服务器就被保护起来了。 
如果只上网浏览的话，可以不添加任何端口。但是要利用一些网络联络工具，比如OICQ的话，就要把“4000”这个端口打开，同理，如果发现某个常用的网络工具不能起作用的时候，请搞清它在您主机所开的端口，然后在“TCP/IP筛选”中添加端口即可。 
（百度知道）


虚拟机相关：VMware
没在本机装 略过。