简单的网络入侵法.doc

简单的网络入侵法 1.取得对方IP地址如0，方法太多不细讲了。 2.判断对方上网的地点，开个DOS窗口键入 TRACERT0 第4和第5行反映的信息既是对方的上网地点。 3.得到对方电脑的名称，开个DOS窗口键入 NBTSTAT -A XX.XX.XX.XX 第一行是对方电脑名称 第二行是对方电脑所在工作组 第三行是对方电脑的说明 4.在Windows目录下有一文件名为LMHOSTS.SAM，将其改名为LMHOSTS，删除其内容，将对方的IP及电脑名按以下格式写入文件： XX.XX.XX.XX 电脑名 5.开DOS窗口键入 NBTSTAT -R 6.在开始-查找-电脑中输入对方电脑名，出现对方电脑点击即可进入。 那么对方的IP地址该如何搜查得到呢?这样的问题你也许会嗤之以鼻，的确，查询对方计算机的IP地址，实在简单得不值得一提;可是，要让你列举出多种IP地址搜查方法时，你可能就感到勉为其难了。下面，本文就对如何快速、准确地搜查出对方好友的计算机IP地址，提出如下几种方法，相信能对大家有所帮助! 1、邮件查询法 使用这种方法查询对方计算机的IP地址时，首先要求对方先给你发一封电子邮件，然后你可以通过查看该邮件属性的方法，来获得邮件发送者所在计算机的IP地址;下面就是该方法的具体实施步骤: 首先运行OutLookexpress程序，并单击工具栏中的“接受全部邮件”按钮，将朋友发送的邮件接受下来，再打开收件箱页面，找到朋友发送过来的邮件，并用鼠标右键单击之，从弹出的右键菜单中，执行“属性”命令; 在其后打开的属性设置窗口中，单击“详细资料”标签，并在打开的标签页面中，你将看到“Received:fromxiecaiwen(unknown5)”这样的信息，其中的“5”就是对方好友的IP地址;当然，要是对方好友通过Internet中的WEB信箱给你发送电子邮件的话，那么你在这里看到的IP地址其实并不是他所在工作站的真实IP地址，而是WEB信箱所在网站的IP地址。 当然，如果你使用的是其他邮件客户端程序的话，查看发件人IP地址的方法可能与上面不一样;例如要是你使用foxmail来接受好友邮件的话，那么你可以在收件箱中，选中目标邮件，再单击菜单栏中的“邮件”选项，从弹出的下拉菜单中选中“原始信息”命令，就能在其后的界面中看到对方好友的IP地址了。 2、日志查询法 这种方法是通过防火墙来对QQ聊天记录进行实时监控，然后打开防火墙的日志记录，找到对方好友的IP地址。为方便叙述，本文就以KV2004防火墙为例，来向大家介绍一下如何搜查对方好友的IP地址: 考虑到与好友进行QQ聊天是通过UDP协议进行的，因此你首先要设置好KV防火墙，让其自动监控UDP端口，一旦发现有数据从UDP端口进入的话，就将它自动记录下来。在设置KV2004防火墙时，先单击防火墙界面中的“规则设置”按钮，然后单击“新建规则”按钮，弹出设置窗口; 在该窗口的“名称”文本框中输入“搜查IP地址”，在“说明”文本框中也输入“搜查IP地址”;再在“网络条件”设置项处，选中“接受数据包”复选框，同时将“对方IP地址”设置为“任何地址”，而在“本地IP地址”设置项处不需要进行任何设置; 下面再单击“UDP”标签，并在该标签页面下的“本地端口”设置项处，选中“端口范围”选项，然后在起始框中输入“0”，在结束框中输入“65535”;同样地，在“对方端口”设置项处，也选中“端口范围”选项，然后在起始框中输入“0”，在结束框中输入“65535”。 接着在“当所有条件满足时”设置项处，选中“通行”选项，同时将“其他处理”处的“记录”选项选中，而“规则对象”设置项不需要进行任何设置;完成了上面的所有设置后，单击“确定”按钮，返回到防火墙的主界面;再在主界面中选中刚刚创建好的“搜查IP地址”规则，同时单击“保存”按钮，将前面的设置保存下来。 完成好上面的设置后，KV防火墙将自动对QQ聊天记录进行全程监控，一旦对方好友给你发来QQ信息时，那么对方好友的IP地址信息就会自动出现在防火墙的日志文件中，此时你可以进入到KV防火墙的安装目录中，找到并打开“kvfwlog”文件，就能搜查到对方好友的IP地址3、工具查询法 这种方法是通过专业的IP地址查询工具，来快速搜查到对方计算机的IP地址。例如，借助一款名为WhereIsIP的搜查工具，你可以轻松根据对方好友的Web网站地址，搜查得到对方好友的IP地址，甚至还能搜查到对方好友所在的物理位置。在用WhereIsIP程序搜查对方IP地址时，首先启动该程序打开搜查界面，然后单击该界面的“Website”按钮，在其后的窗口中输入对方好友的Web地址，再单击“next”按钮，这样该程序就能自动与Internet中的DomainNameWhois数据库联系，然后从该数据库中搜查到与该Web网站地址对应的IP地址了。当然，除了可以知道IP地址外，你还能知道对方好友所在的具体物理位置。 倘若要想查看局域网中某个工作站的IP地址时，可以使用“网络刺客II”之类的工具来帮忙;只要你运行该工具进入到它的主界面，然后执行工具栏中的“IP地址主机名”命令，在其后打开的对话框中，输入对方好友的计算机名称，再单击“转换成IP”按钮，就能获得对方好友所在计算机的IP地址了。 如果你使用Oicqsniffer工具的话，那么查询QQ好友的IP地址就更简单了。只要你单击该程序界面中的“追踪”按钮，然后向对方好友发送一条QQ消息，那么Oicqsniffer工具就会自动将对方好友的IP地址以及端口号显示出来了。除此之外，优酷还有许多可以查找IP地址的专业工具可以选择，例如IPsniper软件。 4、命令查询法 这种方法是通过Windows系统内置的网络命令“netstat”，来查出对方好友的IP地址，不过该方法需要你先想办法将对方好友邀请到QQ的“二人世界”中说上几句话才可以。下面就是该方法的具体实现步骤: 首先单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入“cmd”命令，单击“确定”按钮后，将屏幕切换到MS-DOS工作状态;然后在DOS命令行中执行“netstat-n”命令，在弹出的界面中，你就能看到当前究竟有哪些地址已经和你的计算机建立了连接(如果对应某个连接的状态为“Established”，就表明你的计算机和对方计算机之间的连接是成功的); 其次打开QQ程序，邀请对方好友加入“二人世界”，并在其中与朋友聊上几句，这样你的计算机就会与对方好友的计算机之间建立好了TCP连接;此时，再在DOS命令行中执行“netstat-n”命令，看看现在又增加了哪个tcp连接，那个新增加的连接其实就是对方好友与你之间的UDP连接，优酷网查看对应连接中的“ForeignAddress”就能知道对方好友的IP地址了。 5、ping检查法 这种方法就是利用“ping”命令，来检查当前计算机是否能与对方好友的网站连通，在检查的过程中该地址能自动获得对方网站的IP地址。比方说，要是你想搜查天极网站的IP地址时，可以先打开系统的运行对话框，然后在其中输入“”字符串命令，再单击“确定”按钮，在弹出的窗口中，就能知道网站的IP地址了。同样地，你也可以搜查其他网站的IP地址。 好了，上面就是查询好友计算机IP地址的几种常用方法;要是你还有其他更好方法的话，恳请不断补充完善! 两个网络命令-netstat/nbtstat 使用PurpleFire 2:31 netstat和nbtstat可以说都是Windows下的网络检测工具，他们的输入形式很相似而且都是需要在安装了TCP/IP协议以后才可以使用的，但两者的功能却不同。首先我们来看看netstat这个命令： C:netstat -h Displays protocol statistics and current TCP/IP network connections. 显示协议统计和当前的 TCP/IP 网络连接。 NETSTAT -a -e -n -s -p proto -r interval -a Displays all connections and listening ports. 显示所有连接和侦听端口。 此命令可以显示出你的计算机当前所开放的所有端口，其中包括TCP端口和UDP端口。有经验的管理员会经常的使用它，以此来查看计算机的系统服务是否正常，是否被“黑客”留下后门，木马等。比如说我就有一个习惯，在刚刚装了系统配置好服务器以后我就会运行一下netstat -a看看系统开放了什么端口，并记录下来，以便以后作为参考使用，当发现有不明的端口时就可以及时的做出对策。由于这个参数同时还会显示出当前计算机有什么人的IP正连接着你的服务器，所以也是一种实时入侵检测工具，如发现有个IP连接着不正常的端口，你也可以及时做出有效对策。示例： C:netstat -a Active Connections Proto Local Address Foreign Address State TCP iceblood:ftp :0 LISTENING TCP iceblood:telnet :0 LISTENING TCP iceblood:smtp :0 LISTENING TCP iceblood:http :0 LISTENING TCP iceblood:https :0 LISTENING TCP iceblood:1171 :3306 ESTABLISHED TCP iceblood:ms-sql-s :0 LISTENING TCP iceblood:3306 :1171 ESTABLISHED UDP iceblood:ms-sql-m *:* 从上面的情况就可以知道我的计算机现在开放的TCP端口有ftp(21),telnet(23),smtp(25),http(80),https(443),1171连接着自己的mysql(3306)，ms-sql-s(1433),UDP端口有ms-sql-m(1433)。-e Displays Ethernet statistics. This may be combined with the -s option. 显示以太网统计。该参数可以与 -s 选项结合使用。 这个参数正如所说的，将在下面再跟大家说。 -n Displays addresses and port numbers in numerical form. 以数字格式显示地址和端口号（而不是尝试查找名称）。 大家如果只输入netstat的话就会看见如下类似的结果： C:netstat Active Connections Proto Local Address Foreign Address State TCP iceblood:1171 :3306 ESTABLISHED TCP iceblood:3306 :1171 ESTABLISHED TCP iceblood:1219 0:6667 ESTABLISHED TCP iceblood:3566 SERVER-2:microsoft-ds ESTABLISHED 你会发现这些和netstat -a有相同的地方，只不过netstat可以很清楚的列举出来当前和你连接的所有计算机，在Local Address和Foreign Address里你也发现大多数给出的只是计算机NetBios名，却还是不知道当前和你连接的IP，但如果你加上-n参数就不同了，示例如下： C:netstat -n Active Connections Proto Local Address Foreign Address State TCP :1171 :3306 ESTABLISHED TCP :3306 :1171 ESTABLISHED TCP 1:1219 0:6667 ESTABLISHED TCP 1:3566 :445 ESTABLISHED TCP 1:3577 87:110 TIME_WAIT TCP 1:3578 4:445 ESTABLISHED 看！是不是很明了了？对方的IP全部都出来了。其实-n参数其实也就是告诉netstat不解析对方计算机的NetBios名。 -p proto Shows connections for the protocol specified by proto; proto may be TCP or UDP. If used with the -s option to display per-protocol statistics, proto may be TCP, UDP, or IP. 显示由 protocol 指定的协议的连接；protocol 可以是 tcp 或 udp。如果与 -s 选项一同使用显示每个协议的统计，protocol 可以是 tcp udp、icmp 或 ip。 这个参数你可以指定查看什么协议的连接状态，比如我想查看当前计算机正在连接的所有TCP端口，示例如下： C:netstat -p tcp Active Connections Proto Local Address Foreign Address State TCP iceblood:1171 :3306 ESTABLISHED TCP iceblood:3306 :1171 ESTABLISHED TCP iceblood:1219 0:6667 ESTABLISHED -r Displays the routing table. 显示路由表的内容。 这个没有特别的，可以输入netstat -r以后自己研究。 -s Displays per-protocol statistics. By default, statistics are shown for TCP, UDP and IP; the -p option may be used to specify a subset of the default. 显示每个协议的统计。默认情况下，显示 TCP、UDP、ICMP 和 IP 的统计。-p 选项可以用来指定默认的子集。 这个参数让我们来配合-e来使用。 C:netstat -s -e Interface Statistics Received Sent Bytes 505385542 41745793 Unicast packets 150106 150547 Non-unicast packets 313008 807 Discards 0 0 Errors 0 0 Unknown protocols 327149 IP Statistics Packets Received = 379906 Received Header Errors = 0 Received Address Errors = 215043 Datagrams Forwarded = 0 Unknown Protocols Received = 0 Received Packets Discarded = 0 Received Packets Delivered = 166002 Output Requests = 151620 Routing Discards = 0 Discarded Output Packets = 0 Output Packet No Route = 0 Reassembly Required = 0 Reassembly Successful = 0 Reassembly Failures = 0 Datagrams Successfully Fragmented = 0 Datagrams Failing Fragmentation = 0 Fragments Created = 0 TCP Statistics Active Opens = 1556 Passive Opens = 1 Failed Connection Attempts = 4 Reset Connections = 143 Current Connections = 4 Segments Received = 141243 Segments Sent = 140462 Segments Retransmitted = 477 UDP Statistics Datagrams Received = 15125 No Ports = 9634 Receive Errors = 0 Datagrams Sent = 10628 看！嘿嘿！你的网络基本状态都在这里面，比如你接受了多少数据包，多少字节，有多少TCP端口打开，有多少UDP端口打开，太丰富了这些就留给各位高手自己慢慢琢磨去了。 interval Redisplays ed statistics, pausing interval seconds between each display. Press CTRL+C to stop redisplaying statistics. If omitted, netstat will print the current configuration information once. 重新显示所选的统计，在每次显示之间暂停 interval 秒。按 CTRL+B 停止重新显示统计。如果省略该参数，netstat 将打印一次当前的配置信息。 这个就是自己定义检查网络状况的时间的参数，比如我想每过10秒检查一次我的计算机当前TCP连接的状态你就输入netstat 10 -p tcp这样netstat就会每过10秒就把你所有的TCP端口检查一次。 -好了，netstat命令的介绍就到此基本完了，其实关键是要看自己怎么去灵活的使用了。我们再来看看nbtstat C:nbtstat Displays protocol statistics and current TCP/IP connections using NBT (NetBIOS over TCP/IP). 该诊断命令使用 NBT（TCP/IP 上的 NetBIOS）显示协议统计和当前 TCP/IP 连接。 NBTSTAT -a RemoteName -A IP address -c -n -r -R -RR -s -S interval -a (adapter status) Lists the remote machines name table given its name 使用远程计算机的名称列出其名称表。 此参数可以通过远程计算机的NetBios名来查看他的当前状态。示例 C:nbtstat -a iceblood 本地连接: Node IpAddress: Scope Id: NetBIOS Remote Machine Name Table Name Type Status - ICEBLOOD UNIQUE Registered WORK GROUP Registered ICEBLOOD UNIQUE Registered WORK GROUP Registered ICEBLOOD UNIQUE Registered ICEBLOOD$ UNIQUE Registered LIU_ICEBLOOD UNIQUE Registered MAC Address = 00-D0-09-52-91-DC 看见了？从上面就可以知道我的计算机当前计算机的NetBios名为iceblood属于work组或域，当前有liu_iceblood登陆的该计算机，嘿嘿全都出来了。当然你也可以把计算机名换为IP也就是netstat -a 1，效果和上面的一样。这就有点像UNIX/Linux的finger了，如果你经常去netstat -a一台NT主机，你也可以收集到一些对方计算机中的用户列表了。 -A (Adapter status) Lists the remote machines name table given its IP address. 使用远程计算机的 IP 地址并列出名称表。 这个和-a不同的是就是这个只能使用IP，其实-a就包括了-A的功能了，我也不再介绍。 -c (cache) Lists NBTs cache of remote machine names and their IP addresses 给定每个名称的 IP 地址并列出 NetBIOS 名称缓存的内容。 这个参数表示的是在你的NetBIOS里缓存的你连接过的计算机的IP。示例： C:nbtstat -c 本地连接: Node IpAddress: 1 Scope Id: NetBIOS Remote Cache Name Table Name Type Host Address Life sec - WORK UNIQUE 0 597 从上面就可以知道你刚刚和IP为0的计算机的NetBIOS连接过。而这个命令也提供给了“黑客”在入侵了对方的主机以后进而入侵到内部网的一个有利的线索。因为NetBIOS的Cache里储存的IP是对方已经信任你的计算机的IP。聪明的“黑客”当然也会从这个方便的地方入手了。 -n Lists local NetBIOS names. 列出本地 NetBIOS 名称。 此参数和netstat -a类似，只是这个是检查本地的，如果把netstat -a后面的IP换为自己的就和netstat -n的效果是一样的了。 -r Lists names resolved by broadcast and via WINS 列出 Windows 网络名称解析的名称解析统计。在配置使用 WINS 的 Windows 2000 计算机上，此选项返回要通过广播或 WINS 来解析和注册的名称数。 这个正如上面所说的，列出当前Windows 网络名称解析的名称解析统计。 -R Purges and reloads the remote cache name table 清除 NetBIOS 名称缓存中的所有名称后，重新装入