『壹』 網路中如何截取數據包修改後返回伺服器
截取數據包可以仿照sniffer的方法,將把網卡置於混雜模式(Raw Socket)的方法,然後抓包,分析……
另外你的網路流量監控系統是監控鏈路還是監控節點,監控節點的話直接訪問注冊表就可以了(windows),如果是監控整個網路環境的話可參考icmp協議的使用。
『貳』 如何阻止DNF客戶端向伺服器發送異常數據包
不可能。
當客戶端正在運行的時候,後台有服務端在控制,
所謂服務端控制著客戶端,
客戶端有什麼情況,服務端就能顯示。阻止是阻止不了的,還有,這東西不是一個簡單的破解就能破解的了的,跟破解完全不沾邊。
『叄』 WPE如何攔截接受的過濾數據包中的一段信息,並將其加入到另一個數據包中發送
WPE(Winsock Packet Editor)
它的中文名稱是:網路封包編輯器
在大多數的編程工具中winsock已經封裝成一個控制項,成為網路編程的控制項,是非常方便的,利用這個控制項,編程工具就可以編寫外掛工具.
Wpe工作原理和可行性分析
Client/server模式網路游戲,我們的信息全在伺服器上面,想從伺服器上修改我們的個人用戶信息,可能性為微乎其微,客戶端安裝在你的機器上, 玩游戲的時候,你發出指令,其實就是向伺服器發送封包,伺服器接收到封包後進行分析,然後返回結果,結果也是以封包的形式發送到你的機器上,你的機器接收到後就可以看到結果了。
wpe所要改的,不是[游戲裡面的數值],而是[偽造信息封包]。 什麼意思咧??就是我們用wpe所要改的,並不是"生命力由100變成10000"之類的東西, 這種東西無法用wpe改, 我們要改的可能是把"我賣了一個500元的東西" 改成"我賣了一個50000元的東西"或把"我得了10的exp"改成"我得了10000的exp"之類 的,或者是明明身上沒東西還一直賣"500元的東西"或沒怪物還"一直打10的exp"。
也就是說WPE可以截取網路上的信息...拿封包把起來分析.改裡面的值...如果是壞人用到的話.後過不可想像...更可怕的是用它來截取網路密碼等一些信息....
只能簡單介紹原理,具體怎麼改變,小生也不知道...
『肆』 怎麼樣才能阻止某IP伺服器發送到我機子的數據包
QQ的網路通信協議應該是基於TCP的吧,TCP的鏈接基於鏈接的通信是必須連接上才能發送數據,由於TCP是相對安全的 所以不會產生丟包,如果不想接收對方的數據,據我所知 幾乎是不可能的,除非更改QQ的源代碼
『伍』 如何攔截網路攻擊
黑客攻擊行為特徵分析 反攻擊技術綜合性分析報告 www.rising.com.cn 信息源:計算機與安全 要想更好的保護網路不受黑客的攻擊,就必須對黑客的攻擊方法、攻擊原理、攻擊過程有深入的、詳細的了解,只有這樣才能更有效、更具有針對性的進行主動防護。下面通過對黑客攻擊方法的特徵分析,來研究如何對黑客攻擊行為進行檢測與防禦。一、反攻擊技術的核心問題反攻擊技術(入侵檢測技術)的核心問題是如何截獲所有的網路信息。目前主要是通過兩種途徑來獲取信息,一種是通過網路偵聽的途徑(如Sniffer,Vpacket等程序)來獲取所有的網路信息(數據包信息,網路流量信息、網路狀態信息、網路管理信息等),這既是黑客進行攻擊的必然途徑,也是進行反攻擊的必要途徑;另一種是通過對操作系統和應用程序的系統日誌進行分析,來發現入侵行為和系統潛在的安全漏洞。二、黑客攻擊的主要方式黑客對網路的攻擊方式是多種多樣的,一般來講,攻擊總是利用「系統配置的缺陷」,「操作系統的安全漏洞」或「通信協議的安全漏洞」來進行的。到目前為止,已經發現的攻擊方式超過2000種,其中對絕大部分黑客攻擊手段已經有相應的解決方法,這些攻擊大概可以劃分為以下六類:1.拒絕服務攻擊:一般情況下,拒絕服務攻擊是通過使被攻擊對象(通常是工作站或重要伺服器)的系統關鍵資源過載,從而使被攻擊對象停止部分或全部服務。目前已知的拒絕服務攻擊就有幾百種,它是最基本的入侵攻擊手段,也是最難對付的入侵攻擊之一,典型示例有SYN Flood攻擊、Ping Flood攻擊、Land攻擊、WinNuke攻擊等。2.非授權訪問嘗試:是攻擊者對被保護文件進行讀、寫或執行的嘗試,也包括為獲得被保護訪問許可權所做的嘗試。3.預探測攻擊:在連續的非授權訪問嘗試過程中,攻擊者為了獲得網路內部的信息及網路周圍的信息,通常使用這種攻擊嘗試,典型示例包括SATAN掃描、埠掃描和IP半途掃描等。4.可疑活動:是通常定義的「標准」網路通信范疇之外的活動,也可以指網路上不希望有的活動,如IP Unknown Protocol和Duplicate IP Address事件等。5.協議解碼:協議解碼可用於以上任何一種非期望的方法中,網路或安全管理員需要進行解碼工作,並獲得相應的結果,解碼後的協議信息可能表明期望的活動,如FTU User和Portmapper Proxy等解碼方式。6.系統代理攻擊:這種攻擊通常是針對單個主機發起的,而並非整個網路,通過RealSecure系統代理可以對它們進行監視。三、黑客攻擊行為的特徵分析與反攻擊技術入侵檢測的最基本手段是採用模式匹配的方法來發現入侵攻擊行為,要有效的進反攻擊首先必須了解入侵的原理和工作機理,只有這樣才能做到知己知彼,從而有效的防止入侵攻擊行為的發生。下面我們針對幾種典型的入侵攻擊進行分析,並提出相應的對策。1.Land攻擊攻擊類型:Land攻擊是一種拒絕服務攻擊。攻擊特徵:用於Land攻擊的數據包中的源地址和目標地址是相同的,因為當操作系統接收到這類數據包時,不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況,或者循環發送和接收該數據包,消耗大量的系統資源,從而有可能造成系統崩潰或死機等現象。檢測方法:判斷網路數據包的源地址和目標地址是否相同。反攻擊方法:適當配置防火牆設備或過濾路由器的過濾規則就可以防止這種攻擊行為(一般是丟棄該數據包),並對這種攻擊進行審計(記錄事件發生的時間,源主機和目標主機的MAC地址和IP地址)。2.TCP SYN攻擊攻擊類型:TCP SYN攻擊是一種拒絕服務攻擊。攻擊特徵:它是利用TCP客戶機與伺服器之間三次握手過程的缺陷來進行的。攻擊者通過偽造源IP地址向被攻擊者發送大量的SYN數據包,當被攻擊主機接收到大量的SYN數據包時,需要使用大量的緩存來處理這些連接,並將SYN ACK數據包發送回錯誤的IP地址,並一直等待ACK數據包的回應,最終導致緩存用完,不能再處理其它合法的SYN連接,即不能對外提供正常服務。檢測方法:檢查單位時間內收到的SYN連接否收超過系統設定的值。反攻擊方法:當接收到大量的SYN數據包時,通知防火牆阻斷連接請求或丟棄這些數據包,並進行系統審計。3.Ping Of Death攻擊攻擊類型:Ping Of Death攻擊是一種拒絕服務攻擊。攻擊特徵:該攻擊數據包大於65535個位元組。由於部分操作系統接收到長度大於65535位元組的數據包時,就會造成內存溢出、系統崩潰、重啟、內核失敗等後果,從而達到攻擊的目的。檢測方法:判斷數據包的大小是否大於65535個位元組。反攻擊方法:使用新的補丁程序,當收到大於65535個位元組的數據包時,丟棄該數據包,並進行系統審計。4.WinNuke攻擊攻擊類型:WinNuke攻擊是一種拒絕服務攻擊。攻擊特徵:WinNuke攻擊又稱帶外傳輸攻擊,它的特徵是攻擊目標埠,被攻擊的目標埠通常是139、138、137、113、53,而且URG位設為「1」,即緊急模式。檢測方法:判斷數據包目標埠是否為139、138、137等,並判斷URG位是否為「1」。反攻擊方法:適當配置防火牆設備或過濾路由器就可以防止這種攻擊手段(丟棄該數據包),並對這種攻擊進行審計(記錄事件發生的時間,源主機和目標主機的MAC地址和IP地址MAC)。5.Teardrop攻擊攻擊類型:Teardrop攻擊是一種拒絕服務攻擊。攻擊特徵:Teardrop是基於UDP的病態分片數據包的攻擊方法,其工作原理是向被攻擊者發送多個分片的IP包(IP分片數據包中包括該分片數據包屬於哪個數據包以及在數據包中的位置等信息),某些操作系統收到含有重疊偏移的偽造分片數據包時將會出現系統崩潰、重啟等現象。檢測方法:對接收到的分片數據包進行分析,計算數據包的片偏移量(Offset)是否有誤。反攻擊方法:添加系統補丁程序,丟棄收到的病態分片數據包並對這種攻擊進行審計。6.TCP/UDP埠掃描攻擊類型:TCP/UDP埠掃描是一種預探測攻擊。攻擊特徵:對被攻擊主機的不同埠發送TCP或UDP連接請求,探測被攻擊對象運行的服務類型。檢測方法:統計外界對系統埠的連接請求,特別是對21、23、25、53、80、8000、8080等以外的非常用埠的連接請求。反攻擊方法:當收到多個TCP/UDP數據包對異常埠的連接請求時,通知防火牆阻斷連接請求,並對攻擊者的IP地址和MAC地址進行審計。對於某些較復雜的入侵攻擊行為(如分布式攻擊、組合攻擊)不但需要採用模式匹配的方法,還需要利用狀態轉移、網路拓撲結構等方法來進行入侵檢測。四、入侵檢測系統的幾點思考從性能上講,入侵檢測系統面臨的一個矛盾就是系統性能與功能的折衷,即對數據進行全面復雜的檢驗構成了對系統實時性要求很大的挑戰。從技術上講,入侵檢測系統存在一些亟待解決的問題,主要表現在以下幾個方面:1.如何識別「大規模的組合式、分布式的入侵攻擊」目前還沒有較好的方法和成熟的解決方案。從Yahoo等著名ICP的攻擊事件中,我們了解到安全問題日漸突出,攻擊者的水平在不斷地提高,加上日趨成熟多樣的攻擊工具,以及越來越復雜的攻擊手法,使入侵檢測系統必須不斷跟蹤最新的安全技術。2.網路入侵檢測系統通過匹配網路數據包發現攻擊行為,入侵檢測系統往往假設攻擊信息是明文傳輸的,因此對信息的改變或重新編碼就可能騙過入侵檢測系統的檢測,因此字元串匹配的方法對於加密過的數據包就顯得無能為力。3.網路設備越來越復雜、越來越多樣化就要求入侵檢測系統能有所定製,以適應更多的環境的要求。4.對入侵檢測系統的評價還沒有客觀的標准,標準的不統一使得入侵檢測系統之間不易互聯。入侵檢測系統是一項新興技術,隨著技術的發展和對新攻擊識別的增加,入侵檢測系統需要不斷的升級才能保證網路的安全性。5.採用不恰當的自動反應同樣會給入侵檢測系統造成風險。入侵檢測系統通常可以與防火牆結合在一起工作,當入侵檢測系統發現攻擊行為時,過濾掉所有來自攻擊者的IP數據包,當一個攻擊者假冒大量不同的IP進行模擬攻擊時,入侵檢測系統自動配置防火牆將這些實際上並沒有進行任何攻擊的地址都過濾掉,於是造成新的拒絕服務訪問。6.對IDS自身的攻擊。與其他系統一樣,IDS本身也存在安全漏洞,若對IDS攻擊成功,則導致報警失靈,入侵者在其後的行為將無法被記錄,因此要求系統應該採取多種安全防護手段。7.隨著網路的帶寬的不斷增加,如何開發基於高速網路的檢測器(事件分析器)仍然存在很多技術上的困難。入侵檢測系統作為網路安全關鍵性測防系統,具有很多值得進一步深入研究的方面,有待於我們進一步完善,為今後的網路發展提供有效的安全手段。
『陸』 怎麼拒絕接收一個ip地址傳來的數據包
如何阻止某個IP訪問我的電腦-用本地安全策略限制某個IP段
方法一:通過windows自帶的安全策略限制
打開本地安全設置,點「IP安全策略,在本地機器」——>創建IP安全策略---->下一步---->名稱隨便寫,如輸入阻止,然後一直點下一步,出現提示點是,一直到完成,這個時候就創建了一個名為「阻止」的策略了
下面點「IP安全策略,在本地機器」——>管理IP篩選器表和篩選器操作---->點添加---->名稱添75.156.25(為了識別最好填寫對應的IP段)---->點添加---->下一步---->源地址選擇一個特定的IP子網,IP輸入75.156.25.0 子網掩碼改為255.255.255.0---->下一步---->目標地址選擇我的IP地址---->下一步---->協議類型為任意---->下一步---->完成全部關閉
下面點 我們開始建立的名為「阻止」的策略,點屬性---->填加---->下一步---->下一步網路類型選擇所有網路連接---->下一步---->出現提示點是---->到IP篩選列表,點中我們剛才創建的名為75.156.25的選項---->下一步---->選擇阻止---->下一步到完成、關閉
最後點「阻止」這個策略,右鍵,指派,到這里為止我們就已經阻止了75.156.25開頭的網段了,當然也阻止了75.156.25.192這個IP的攻擊了,如還要封其他IP的攻擊同樣操作即可
方法二:如何禁止本機訪問指定的IP地址
internet選項>安全>選受限站點然後輸入站點或IP
方法三:通過防火牆、路由器的過濾規則可以很方便的進行限制
方法四:修改系統的hosts文件進行限制
用記事本打開HOSTS文件(C:\WINDOWS\system32\drivers\etc\hosts)
在最後一行回車並填寫 0.0.0.0 123.456.789.123
把「123.456.789.123」替換成禁止訪問的IP(或網址)即可
方法五:通過組策略中的IP安全策略限制本機對某IP進行訪問 首先
打開組策略
進入計算機配置裡面的安全設置,點裡面的IP安全策略 創建新的IP策略 下一步
隨便輸入名稱 我就用 "阻止" 然後點 下一步 激活默認響應規則打勾 下一步 驗證方法選第一個 V5協議
可能會有個警告,直接確定就好了 編輯屬性打勾 完成
回到原來的界面,點新建的名稱 "阻止" 他會出來個屬性窗口 點擊添加 下一步 不指定隧道 下一步
所有網路連結 下一步 V5協議 下一步
這時候應該是個安全規則向導界面 點添加
出來IP篩選列表 點添加 下一步
源地址用我的IP地址 下一步
目標IP地址 用一個特定的IP地址,然後輸入你想阻止的IP地址 我這里用192.168.0.1 下一步
協議,針對你的游戲伺服器用的通訊協議,自己選擇,一般都是TCP 我這里使用ICMP 下一步
編輯屬性打勾 下一步
出來篩選器屬性
鏡像一定要打勾,這樣就能屏蔽遠程IP了 然後點確定
回到了IP篩選器列表,點確定
點你剛剛建立的IP篩選器,如果上面沒有命名,那麼她的名字應該是 新的IP篩選器列表,點上圈圈下一步,進入篩選器操作 點阻止,下一步 完成
新規則屬性
不用搞,只要點確定然後點關閉 現在回到原來的組策略界面
右鍵點我們剛剛建立的 名稱為阻止 ,選擇指配 這時候,它的策略已指配 變成 是了 我這邊現在PING 192.168.0.1 已經顯示
C:\Documents and Settings\Administrator>ping 192.168.0.1
Pinging 192.168.0.1 with 32 bytes of data:
Destination host unreachable. Destination host unreachable. Destination host unreachable. Destination host unreachable.
Ping statistics for 192.168.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
然後我們試試右鍵點擊 阻止,選擇 不指配
C:\Documents and Settings\Administrator>ping 192.168.0.1
Pinging 192.168.0.1 with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time=1ms TTL=127 Reply from 192.168.0.1: bytes=32 time=1ms TTL=127 Reply from 192.168.0.1: bytes=32 time=2ms TTL=127 Reply from 192.168.0.1: bytes=32 time=1ms TTL=127
Ping statistics for 192.168.0.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 1ms, Maximum = 2ms, Average = 1ms
很明顯,策略已經成功達到我們要的效果了
『柒』 如何設定拒絕所有的ICMP數據包
ICMP包通常被用作網路攻擊方式,是DDOS攻擊的一種,就是拒絕服務,導致電腦死機(不過通常是針對伺服器而不是個人電腦)。如果數據包超過50-100次/秒,可以斷定是網路攻擊了。注意這里是每妙。假如幾個鍾頭你才收到幾百次,這是很正常的。因為現在很多P2P方式里,不完全是UDP方式傳輸,也會夾帶SYN和ICMP包。如果網鏢中過多提示,你可以設置一下無需提示就行了。100次以內不會造成電腦任何影響,因為網鏢的攔截就足夠了。通常伺服器所使用的硬體防火牆,每秒攔截上萬次數。普通個人電腦的攔截能力不超過3千次。所以不必擔心過多,不會造成什麼影響。
『捌』 如何在路由器上對ICMP數據包進行帶寬限制
禁止ICMP協議的IP Unreachables, Redirects, Mask Replies。
Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
5、 ICMP協議的安全配置。對於進入ICMP流,我們要禁止ICMP協議的ECHO、Redirect、Mask request。也需要禁止TraceRoute命令的探測。對於流出的ICMP流,我們可以允許ECHO、Parameter Problem、Packet too big。還有TraceRoute命令的使用。
! outbound ICMP Control
Router(Config)# access-list 110 deny icmp any any echo
Router(Config)# access-list 110 deny icmp any any redirect
Router(Config)# access-list 110 deny icmp any any mask-request
Router(Config)# access-list 110 permit icmp any any
! Inbound ICMP Control
Router(Config)# access-list 111 permit icmp any any echo
Router(Config)# access-list 111 permit icmp any any Parameter-problem
Router(Config)# access-list 111 permit icmp any any packet-too-big
Router(Config)# access-list 111 permit icmp any any source-quench
Router(Config)# access-list 111 deny icmp any any
! Outbound TraceRoute Control
Router(Config)# access-list 112 deny udp any any range 33400 34400
! Inbound TraceRoute Control
Router(Config)# access-list 112 permit udp any any range 33400 34400 <P>6、 DDoS(Distributed Denial of Service)的防範。
! The TRINOO DDoS system
Router(Config)# access-list 113 deny tcp any any eq 27665
Router(Config)# access-list 113 deny udp any any eq 31335
Router(Config)# access-list 113 deny udp any any eq 27444
! The Stacheldtraht DDoS system
Router(Config)# access-list 113 deny tcp any any eq 16660
Router(Config)# access-list 113 deny tcp any any eq 65000
! The TrinityV3 System
Router(Config)# access-list 113 deny tcp any any eq 33270
Router(Config)# access-list 113 deny tcp any any eq 39168
! The SubSeven DDoS system and some Variants
Router(Config)# access-list 113 deny tcp any any range 6711 6712
Router(Config)# access-list 113 deny tcp any any eq 6776
Router(Config)# access-list 113 deny tcp any any eq 6669
Router(Config)# access-list 113 deny tcp any any eq 2222
Router(Config)# access-list 113 deny tcp any any eq 7000
Router(Config)# access-list 113 permit ip any any
Router(Config-if)# ip access-group 113 in<P>7、 Sql蠕蟲的防範
Router(Config)# access-list 114 deny udp any any eq 1434
Router(Config)# access-list 114 permit ip any any
Router(Config-if)# ip access-group 114 in<P>8、 減少BGP的收斂時間,保證黑客攻擊後網路能盡快恢復。
建議增加如下配置:(需在所有運行BGP的路由器上增加)
1、在每個BGP互連的介面上,增加hold-queue 1500命令,將介面的hold-queue由默認的75增加到1500。在做此配置之前需要先檢查板卡的內存,確保其free memory至少為20M。
2、增加以下有關TCP的配置,增強BGP的收斂性能。
ip tcp selective-ack
ip tcp mss 1460
ip tcp window-size 65535
ip tcp queuemax 50
ip tcp path-mtu-discovery
3、在GSR上,增加ip cef linecard ipc memory 10000命令,提高download FIB的速度。<P>9、 啟用CAR和系統日誌等來增強(略)<P>其他注意事項:
1,及時的升級IOS軟體,並且要迅速的為IOS安裝補丁。
2,要嚴格認真的為IOS作安全備份。
3,要為路由器的配置文件作安全備份。
4,購買UPS設備,或者至少要有冗餘電源。
5,要有完備的路由器的安全訪問和維護記錄日誌。