【誰在你的電腦裡進出?從cmd上來看是一目暸然的。】

天相周一五月 04, 2009 5:46 pm

原帖由天翁于 2009-1-9 09:34 發表于 http://wskybbs.com/bbs/index.php

【誰在你的電腦裡進出?從cmd上來看是一目暸然的。】

誰在你的電腦裡進出？

任何段數的駭客如果沒有透過Email或網上對話介面的竊入，都必須知道對方的Ip位址和連結埠port，才能遂行攻擊，因此以網路而言，護衛IP&port是頂重要的一件事。

誰在你的電腦裡進出？從cmd上來看是一目暸然的。

開始\執行，然後再鍵入"cmd"，按確定後，就可以看到這個介面。

或～開始\程式集\附屬應用程式\命令提示字元

鍵入「netstat」，此時在Foreign Address下面會出現所有連到自己電腦上面來的清單。

舉例來說： Grace:5438

代表有個電腦名稱叫做Grace的經由5438這個連接埠連上你的電腦，由於不認識此人，故認定他是駭客。

接著再把這個秘密客的ip找出來：

繼續鍵入「netstat -n」，此時Foreign Address下方出現的就是ip位置了。

舉例來說： 140.112.2.100:5438
瞧！那個從5438連進來的傢伙，IP位置就是140.112.2.100
(這是台大椰林風情BBS的位置啦，借用來說明一下..^^)，現在把這個IP位置給記下來。

接著我們來查一下這人到底是誰？

進入台灣網路資訊中心的網頁 http://www.whois.twnic.net.tw/

輸入剛剛那個ip查詢一下，相關資料就出來了！

如果從cmd字幕上顯示出來，有以下這些訊息字樣出來，則証實你的電腦目前的確正在遭受到惡意攻擊。

(不過糟的是，如果能有機會讓你在cmd上看到這些訊息，你的電腦要打救可能就已經來不及了！)

IP攻擊程式

name INTRODUCTION R.A.S 此程式可以毀掉對方主機。

CG_OB 一次能攻擊一群IP。

PortScan 可以知道對方主機的狀態。

Host:主機位置,可以填IP Port:掃描的port Start Scan:開始掃描

Stop Scan:停止

slow 讓電腦變慢的程式!

Agressor Exploit Generator

設定自己的TCP/IP封包來建立自己的攻擊模式

click 弄當mirc 程式

CPUHog 弄當NT系統

divine intervention 攻擊程式

elite 一些綜合性的攻擊程式

Hang Up Ping 讓某些撥接上網的用戶斷線

Horus UDP Flooder v 10.2 UDP攻擊程式

ICMP Flooder 利用ICMP封包弄當或使對方機器變慢

IGMP Nuke IGMP 攻擊程式

krate 端口轟炸程式

Meliksah Nuke 防火牆攻擊程式

Misoskian's Packet Builder

設定自己的TCP/IP封包來建立自己的攻擊模式

Muerte 攻擊程式

OOBNuke 攻擊程式

Pepsi UDP攻擊程式

pinger.zip 讓對方的數據機斷線

pingui.zip 圖形化介面的Ping程式

Port*** 端口攻擊程式

NETSTAT 偵測對外連接的程式,偵測誰在用Portscan掃別人的Port？

PortWiz 攻擊／Port掃描程式

Rocket 讓對方連線的數據機斷線

vai-te ja 攻擊掃瞄偵測程式

win nuke 攻擊Windows的程式

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

netstat 相關指令

netstat參數-->qqw轉移

-A 顯示任何關聯的協議控制塊的地址。主要用於調試

-a 顯示所有套接字的狀態。在一般情況下不顯示與服務器進程相關聯的套接字

-i 顯示自動配置接口的狀態。那些在系統初始引導后配置的接口狀態不在輸出之列

-m 打印網絡存儲器的使用情況

-n 打印實際地址，而不是對地址的解釋或者顯示主電腦，網絡名之類的符號

-r 打印路由選擇表

-f address -family對於給出名字的地址簇打印統計數字和控制塊資訊。到目前為止，唯一支持的地址簇是inet

-I inte***ce 只打印給出名字的接口狀態

-p protocol-name 只打印給出名字的協議的統計數字和協議控制塊資訊

-s 打印每個協議的統計數字

-t 在輸出顯示中用時間資訊代替隊列長度資訊。

netstat命令的列標題

Name 接口的名字

Mtu 接口的最大傳輸單位

Net/Dest 接口所在的網絡

Address 接口的IP地址

Ipkts 接收到的資料包數目

Ierrs 接收到時已損坏的資料包數目

Opkts 送出的資料包數目

Oeers 送出時已損坏的資料包數目

Collisions 由這個接口所記錄的網絡沖突數目

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

送訊息給駭客(此項尚未確認)

有人非法進入你的電腦，是否該警告他一句？

雖然知道對方IP以後，還有人不知道要如何與對方聯絡吧？

Windows裡面已經有內建了，只要是知道對方的IP以後開個"命令提示字元"，(或開啟CMD)

然後,......打上字，按ENTER

接下來就是重點了

net send IP ADDRESS 後面再加上你要傳給他的訊息

^^^ ^^^^ ^^ ^^^^^^^ ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

NET 就是利用網路

SEND 傳送訊息

IP ADDRESS 打上對方的IP(可以打上你的自己試試看。)

後面就是加上你要給他的訊息

本指令可以穿透防火牆喔

也就是說就算對方有防火牆，你一樣可以寄MESSAGE給他

如果要針對整個網段..可以使用如下指令:

net send * 訊息內容

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

CurrPorts 1.32 中文版(免費軟體) 下載處 http://www.badongo.com/file/7487462

(感謝"山水一族"網友提供軟體下載)

通訊埠聽診器---CurrPorts

某個執行中的程式在本機開啟那個連接埠？

在遠端開啟什麼連接埠？

用這個程式讓你一目了然，可以應用在電腦抓毒上，判斷有沒有中木馬程式，也可供網管人員設定防火牆參數的參考。

參考IP訊息的意義～

LISTEN：表示等待從任何遠端 TCP 和 port 而來的連結要求。

SYN-SENT：表示在送出連結要求後，等待與其相對應的連結要求。

SYN-RECEIVED：表示在接收並傳送出連結要求後，等待連結要求認可的確認。

ESTABLISHED：表示一個 open connection ，在資料收到後可傳送給 user ，這是在連結的資料傳輸階段中的一個標準狀態。

FIN-WAIT-1：表示等待從遠端 TCP 而來的連結終止要求，或等待先前送出的連結終止要求的認可。

FIN-WAIT-2：表示等待從遠端 TCP 而來的連結終止要求。

CLOSE-WAIT：表示等待從本地 user 而來的連結終止要求。

CLOSING：表示從遠端 TCP 而來的連結終止要求之確認。

LAST-ACK：表示等待先前傳送給遠端 TCP 的連結終止要求之確認。

TIME-WAIT：表示等待一段足夠長的時間，以確保遠端的 TCP 已接收到他的連結終止要求的確認。

CLOSED：表示已不再處於連結狀態。

引用：http://tw.myblog.yahoo.com/jw!e61s0tyXGh5VV562ITtYuls-/article?mid=3650

1
評分次數

感謝提供查看網絡情況的方法喲！ 現有財富 + 300 元
積極學習 + 3 分

文昌