木马清除大师怎么样_木马清除大师靠谱吗_木马清除大师v8注册机(45)

TCP Sequence Prediction: Class=random positive increments

Difficulty=8696 (Worthy challenge)

TCP ISN Seq. Numbers: 5B9022E2 5B914E12 5B92A495 5B93915A 5B94A9B5 5B95CC64

IPID Sequence Generation: Incremental

Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds

其中 Remote operating system guess: Windows 2000/XP/ME 这行就是NMAP对操作系统类型的判断。还返回了好多信息，NMAP不愧为扫描之王。

2、天眼，采用的是被动式的探测方法。不向目标系统发送数据包，只是被动地探测网络上的通信数据，通过分析这些数据来判断操作系统的类型。配合supersan使用，较果很好。

具体的使用方法，在此就不具体介绍了。有兴趣的的朋友可以到网上搜一下关于天眼使用方法的文章，会有很多的。

以上讲解了一些对操作系统识别的基本方法。由于本人水平有限，不当之处，还请高手斧正！

第一轮进攻：

时间：下午15点30左右

突然发现公司的web server无法访问，尝试远程登录，无法连接，呼叫idc重启服务器。启动后立即登录察看，发现攻击还在继续，并且apache所有230个进程全部处于工作状态。由于服务器较老，内存只有512m，于是系统开始用swap，系统进入停顿状态。于是杀掉所有httpd，稍后服务器恢复正常，load从140降回正常值。

开始抓包，发现流量很小，似乎攻击已经停止，尝试启动httpd，系统正常。察看httpd日志，发现来自的IP在尝试login.php，但是它给错了url，那里没有login.php，其他日志基本正常，除limit RST ....之类较多，由于在攻击中连接数很大，出现该日志也属正常。

观察10分钟，攻击停止。

第二轮进攻：

时间：下午17点50分

由于有了前次攻击经验，我开始注意观察web server的状态，刚好17点50分，机器load急剧升高，基本可以确定，又一轮攻击开始。

首先停掉了httpd，因为已经动弹不得，没办法。然后抓包，tcpdump -c 10000 -i em0 -n dst port 80 > /root/pkts发现大量数据报涌入，过滤其中IP，没有非常集中的IP，于是怀疑属于DDoS接下来根据上次从日志中过滤得到的可疑地址，比较本次抓包结果，发现很多重复记录。

分析：

这不是简单的DDoS，因为所有httpd进程都被启动，并且留下日志，而且根据抓包记录，每个地址都有完整的三次握手，于是确定，所有攻击源都是真实存在的，不是虚假的IP。

这样的可疑IP一共有265个，基本上都是国外的，欧洲居多，尤其。公司客户在欧洲的可为凤毛麟角，只有丢卒保车了。

采取的措施：

把所有265个IP，统统加入_blank">防火墙，全部过滤ipfw add 550 deny tcp from % to me 80，重新启动httpd。

观察了3个小时，ipfw列表中所有ACL的数据报量仍旧持续增长，但是公司的web server已经工作正常。

至此，此次攻击暂告一段落，不排除稍后继续发生，但是由于攻击者使用的都

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-35588-45.html