2005年07月01日
    最近,围绕美国国防部即将出台的《中国军力报告》,因9.1 1“反恐”一度在美国沉寂的“中国威胁
论”又沉渣泛起,并且变 本加厉,进一步升级定格为“中国军事威胁论”。随着 美国发动的“反恐”战争尘埃落定,美国的战略重心又逐渐转移到 “头号潜在竞争对手”中国上来。小布什再任总统时宣称要向一切 专制开战的“自由演讲”,已预先铺垫了这种战略变化。近来,据媒体报导,从美国总统到国务卿、从国防部长到中央情报局长 ,都高调宣扬“中国军事威胁”。今年三月中旬,美国中央情报局 长戈斯不但宣称中国军力发展能够倾覆台海均势,而且向参议院作证说中国还威胁到了部署在亚太地区的美国军队;布什则以导致中 国军力威胁亚太美军的安全为由,强烈反对欧盟解除对华军售禁令;最近,美国国防部长拉姆斯菲尔德和国务卿赖斯相继宣扬中国 增加军费开支是对地区安全构成的一个威胁,中国提高其投送兵力 的能力和先进的军事技术正使亚太地区微妙的军事平衡处于危险之中; 即将出笼的五角大楼本年度军力评估报导更认为中国的核 威慑能力增强,新一代潜艇配备的带有核弹头的导弹可以使中国在 核战争中具有反击的能力,因此要显着提升“中国威胁”的级别,使之近乎甚或在一定意义上等同于 恐怖主义的对美威胁。这是何等的傲慢与偏执!每年军费开支几达全球总开支一半 的国家,可以道貌岸然地指责军费开支不及其十分之一的国家对它 构成了“军事威胁”,这是真正的无耻!按照上述美国大佬们的宣 示,拥有960万平方公里国土、13亿多人口的中国大陆,只能 保持与仅有3万多平方公里、2300万人口的台湾对等的军事实 力,否则就会“倾覆台海均势”,“使亚太地区微妙的军事平衡 处于危险之中”。更有甚之,连“中国在核战争中具有反击的能力 ”,也成了“中国军事威胁”已“近乎甚或一定意义上等同于恐怖 主义”的罪状,言下之意是只有任由美国打骂、没有还手之力的 国家,才是国际社会的良性力量。
  这是典型罔顾公平、合理、正义的强盗逻辑!美国为什么能够公开宣扬这种“别人只能任 他打骂不能还手”的强盗逻辑,无非是因为它的实力天下第一。当今世界,确实还是强者为尊、强者依据自身利益决定游戏规则 、其他人只有俯首顺从的强权时代;所谓普世价值,不过是强权利 益的遮羞布。最明显的证据是:除了美国,还有哪个国家敢于宣称“你只能保持在无力还手的军事水平上,我打你时你还能还手就 是对国际安全的威胁”?恰恰就是这个以强权横行天下的国家,却 自诩在国际上代表了公理、正义!
  不要以为上述宣示仅 仅只是美国政府的观点,与美国人民无关。美国是个民主社会,官 员的公开言行都要顾忌民众反应。美国政府从总统到国务卿、从 国防部长到中央情报局长都公开使用同一种强盗逻辑,这说明美国 人民对此早已习以为常,至少在观念上并不排斥反感,这是美国能 够将其霸权扩展至全球的社会基础。曾经被许多国家人民视为反对国际强权希望所在的美国政府及人民,现在自己却心安理得地做 起了新的国际强权,这既是历史的讽刺,也是历史的必然–平等 、自由,往往只是弱者的诉求;一旦位居强势,就必然追求不平等 的利益,致其他人于不自由。美国人民已逐渐被“一强独大”的 强势地位腐蚀,他们至少已经在国际关系领域摒弃了自由平等的“ 普世价值理念”,开始心安理得地追求和享受独裁与专制的好处。正是在这种背景下,主张单边主义强硬路线的共和党在美国国 内逐渐一强独大,这种趋势与美国作为唯一超级大国在国际社会的 一强独大,二者共同促成了美国当前的帝国化特徵;也是在此背景 下,布什提名担任空军总参谋长的迈克尔·莫塞里将军29日称,美国国防部正在“艰难决定”在必要情况下与中国作战所需的轰 炸机与其他军用飞机的数量;莫塞里并表示,如果他最终被任命为 美国空军总参谋长,部署针对中国的空中火力将是他工作的“重中之重”。
   比美国“一强独大”的硬实力更可怕的,是它“不战而屈人之兵”的软实力,即意识形态的话语霸权。美国自己一边以强盗逻辑追求不对称利益,一边标榜自己是带给世界光明 的救世主,这并不奇怪,历史上的强权霸主从希特勒的纳粹主义到 日本的大东亚共荣圈都是这么干的。奇怪的是,在美国之外有许 多人也深信这一点。中国就有一些自由派知识分子,鹦鹉学舌说什 么“维持对中国的武器禁运,具有保持地区性力量平衡的军事意义 ”;即使是对“中国军事威胁论”持否定态度的学者,往往也只是将美国的强盗逻辑归结为“中美两国结构性矛盾更为深刻”– 在这些人的评论中,丝毫没有提到国际社会的公平、正义!不要以 为他们早已认可国际社会只讲实力,没有道理;只要美国一旦举起诸如“反恐”之类的正义旗帜,他们又会随声附和。
   美国的洗脑战术可以运用到这种程度:它可以让一些中国人视公理正义为美国的独家专利,只有当美国运用公理正义指责对手时,公理正义才是存在的;一旦美国自己也成为评判对象时,所谓的公理正义、普世价值就突然不翼而飞,剩下来作评价标准的,就只 有由实力决定的游戏规则与相互利益。
2005年06月22日

用户在Web开发技术领域面临多种选择:ASP、JSP、Servlet、PHP等等不一而足。然而,任何商务活动的焦点并不仅仅是哪一种技术能达到最好的性能而是哪种技术能令公司在最短的时间之内交付稳固的应用程序,而我们都知道,员工们可不是一堆爱因斯坦的克隆。因此,我们要寻求一种工作在结构化格式下的技术,它应该足够灵活的适合变化中的应用的需要,而且(也是最重要的)能清晰地界定各种各样的任务。


在这篇文章里,我就要讨论一种此类技术,这就是所谓的Cocoon Web发布框架。首先让我们了解下Web发布框架的基本概念。

Web发布框架
Web发布框架可不是什么新技术了。它是一种使能器,营造和集成各种各样的技术,把它们的力量集中起来提供一个完整而且有效的Web开发框架。在基于 Java的体系结构下,大多数Web发布框架多半要利用servlet、JSP乃至XML的强大力量和灵活性。这类框架相当多,比较著名的有:

Apache Cocoon
Apache Struts
Expresso Framework(同Apache Struts集成)
大多数的这类框架采用了流行的MVC(Model-View-Controller:模型-视图-控制器)设计模式。就MVC模式而言,所有的流程都被导引到一个中央控制器。这个控制器把请求转交给适当的处理器。接着,相应的处理器捆绑到系统的业务逻辑(模型)。作为响应,流程再导向中央控制器并转到适当的视图。这一过程有效地实现了视图和业务逻辑的松弛耦合,令创建和维持基于MVC的系统更为容易。现在,我们转过头来专注于Cocoon。

什么是Cocoon?
Apache Cocoon是一种使用而且充分利用了XML强大功能的发布框架。所谓的“充分利用了XML的强大功能”这句话是当前最令人耳熟能详的用语了,几乎每一种新型软件都做过如此一番的真情表白。然而,Cocoon倚赖XML的程度却到了绝对关键的地步,这种框架的绝妙之处正是在于XML利用方面的聪明之举。
你所有需要的就是关于XML、XSLT以及Java的一些基本的知识。然而,对Java和XSLT的理解程度却有必要依据所开发的应用程序的复杂性而变动。

Cocoon是xml.apache.org的组成部分,你可以轻松下载Cocoon的二进制发布版本或者从Apache CVS获取最新开发版本。

Cocoon文档宣称Cocoon最最重要的革新就是其SoC(Separation of Concerns)设计。这一设计把Web发布就的4个主要领域隔离开来:

管理
逻辑
内容
风格
由于这些要素不再相互牵扯,任务即可分配给擅长某一方面技术的有关人员;他们不需要理解其它方面。这样,程序员就不必再关心站点的风格,而Web设计人员也不必关心所涉及的业务逻辑。


Cocoon的工作原理

Cocoon的工作原理


Cocoon 2的全部功能都建立在一个关键概念基础之上,这就是所谓的组件流水线(component pipelines)。正如名字所提供的信息,流水线意味着一系列的事件,它以请求作为输入,处理并转换这些请求,然后做出相应的反应(参见图A)。
流水线组件分为生成器、转换器和连载器:

生成器(generator)负责接受请求并且根据输入来源创建XML结构。
生成器的输出采用XML格式。采用转换器(transformer)之后这些输出还可以转换为其他类型的XML结构。要得到所希望的结果可能会用到一种或者一种以上的转换器。最常用到的转换器就是XSLT转换器。
转变完成之后,你需要以希望的格式做出响应。连载器(serializer)就是完成该项任务的。连载器的输入是XML;然而,其输出却不一定是XML。HTML连载器最常用来产生网页的连载。连载器不必总是被转换器调用;生成器也能直接调用连载器。
图A

Click to Open in New Window

基本的Cocoon流程


在这3种部件之间传递的是SAX事件。Cocoon的另两种组件在其功能中起到了关键的作用,这就是站点地图(sitemap)和匹配器(matcher)。


站点地图

站点地图经常被称做Cocoon的核心。它主要由流水线、组件以及资源的声明所组成。只要请求到来站点地图就会派上用场。没有这张地图,Cocoon就无法解释该如何处理这些请求或者如何找到必要的资源。

站点地图的管理应该由站点管理器处理而且不应该受到程序员的关注。流水线应该是你与之打交道的唯一对象。你可以在以后阶段创建自己的资源或组件。


如何理解站点地图的工作原理呢?现在不妨用你熟悉的XML编辑器打开sitemap.xmap文件,通过这些文件学习下现有的XML结构,或者创建自己的XML。


匹配器

匹配器是一种强大的站点地图组件。站点地图根据匹配器进行匹配操作,辨识进来的请求以及将被用到的资源。当请求到来时,根据第一项正确的匹配进行相应的处理。匹配器的强大功能仰仗于它们对通配符和正则表达式的有力支持,从而令站点地图的创建工作成为一项相对简单的任务。


其他
除了给Web发布带来系统化的、清晰界定的技术措施以外,Cocoon还大大简化了大部分的开发工作。Cocoon随带了的大量连载器、生成器以及其它有用的小发明。因此,创建Acrobat的.pdf文件或通过XML创建可伸缩矢量图形(SVG)都成为了简单的转换操作而已。因为Cocoon对XML的依赖程度令其也能享受到后者所带来的独立性。这样一来,为各种各样的设备(比如WAP或者语音设备等)创建或修改应用程序也随之得到了极大地简化。 Cocoon可以很容易地同RDBMS、LDAP以及本机XML数据库之类的数据源交互。

Cocoon项目还有一项重要的副产品XSP(extensible Server Pages)。XSP的宗旨是弥补JSP可能无法起作用的软肋。XSP把逻辑同表示区分开来,这正是JSP试图尝试但却没有达到目标的地方。

反过来,要熟悉Cocoon也得花费点时间。培养相应的开发力量、理解Cocoon的工作原理可不是项简单的任务。考虑到JSP开发人员的数量和JSP的普遍接受程度,适当采用标签库的基本JSP有时相比采用Cocoon的XSP或许是更好一些的选择。Cocoon在功能上还依赖于其他的Apache项目。


小结
Cocoon是一项相当出色的Web发布技术,值得各种规模的业务结构认真地加以考虑。

从snoopy汉化的xplorer2知道的 nircmd。挺有意思的。

2005年05月25日

    我早就想去偷盗、抢劫甚至杀人。你问我:为什么你要去抢劫?我说:还不是为了钱嘛;你又问我:怎么才能让你不再去抢呢?我说:条件很简单,用高薪养我吧!听懂我的意思没有,我们的法官大人和公仆大人?

高薪养廉?听了我真佩服那些肉食者的愚蠢。

一定有人在骂我疯狂。我只是想问:贪污贿赂跟偷盗抢劫一样,都是违法行为,为何要厚此薄彼?想用金钱防止贪污,而为什么要用镣铐防止抢劫呢?不要说我疯狂,照中国那些伟大的立法者的说法,高薪养廉可行而且合法,为何我的高薪养我不抢劫理论就是胡说八道?

原因恐怕在于,有贪污资格的人手中掌握着法律这件利器,而抢劫犯只是在野的无赖!还是马克思分析得好,统治阶级的任何措施都是为了维护统治阶级的利益。清政府给满人发津贴,清朝灭亡了汉人就把该津贴取消。

有人会说,新加坡有高薪养廉的例子,而且很成功。我只是回答,不管这个制度是在地球还是太阳系之外,都是极为非法的!它的实质就是不平等,他都是以当权者的利益为立足点的。新加坡当然有清官,但也有偷盗抢劫之辈,可是我很奇怪,为什么新加坡的抢劫犯们竟然没有去争取高薪?真是不可思议。按新加坡的文明程度和法制程度,他们都应该懂得法律面前人人平等这个简单的道理。可我还是失望了。没想到这个坏习惯今天竟然传染到了中国,而且还有人把它奉为圭臬,以为找到了治腐的法宝而得意非凡!正准备凭此邀功领赏呢。

真是无话可说。

高薪养廉岂止是愚蠢,简直是虚妄得厉害。

    它们说高薪养廉很有好处。那是自然,做任何事都有好处,比如放一个屁能让人周身通泰,挥刀杀人可以舒筋活血,迫害异己可以国泰民安。只可惜人的贪欲是无秋.

http://post.news.163.com/bbs/rep.jsp?b=jueqi_bbs&i=1114846797643

2005年05月21日

2003 Server密码忘记了,习惯性的将 windows\system32\config\sam 文件与 windows\repair\sam 删除,其实windows\repair\sam是不用删除的。结果出现了,安全帐户管理器初始化失败.原因是以下错误.连到系统上的设备没有发挥作用.错误状态.oxc0000001.请单击确定.关闭这个系统并重新回到安全模式中.有关详细情况.请查阅系统日志!  这个漏洞没有了,2003崩溃了,其实早在XP中这个办法也是行不通的。其实,还有一个解决办法,但是也被我自己给封死了,那就是将 repair目录下的五个文件 software,system,security,default和sam 拷贝到 windows\system32\config下覆盖原文件。结果repair下的sam目录也被我删除了!

有两台安装Windows XP系统的计算机,都开启了Guest账户,但是现在出现了这样的问题:机器A可以正常访问机器B,
而机器B在访问机器A时,提示没有权限而无法访问,请与这台机器的管理员联系。请问这个问题如何解决?
  原因一:防火墙问题,你可以将防火墙的相关设置更改一下。
  原因二:注册表问题,查看键“HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Control\Lsa”
中的dword型键值项“restrictanonymous”的值是不是为1,如为1,改为0,重启后就能访问了。

2005年05月08日

Event ID 10016 (DCOM) on Windows 2003 Server Service Pack 1 (SP 1)

After installing Service Pack 1 on a Windows 2003 Server I recieved the following error:

Event ID : 100016
Source : DCOM

The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID

{BA126AD1-2166-11D1-B1D0-00805FC1270E}

to the user NT AUTHORITY\NETWORK SERVICE SID (S-1-5-20). This security permission can be modified using the Component Services administrative tool.

The COM Server application with CLSID has to be tracked down in the
registry, in this case the following reg key:

HKEY_CLASSES_ROOT\CLSID\{BA126AD1-2166-11D1-B1D0-00805FC1270E}

In this key you can acquire the AppID, in this case the following AppID:

{27AF75ED-20D9-11D1-B1CE-00805FC1270E}

The AppID has to be tracked down in the registry, in this case the following
reg key:

HKEY_CLASSES_ROOT\AppID\{27AF75ED-20D9-11D1-B1CE-00805FC1270E}

In this key you can acquire the LocalService name, in the case the following
name:

Netman

The LocalService has to be tracked down in the Component Services MMC; in
this case Netman is listed within the DCOM Config section.

Browse to the Security Tab, edit the Launch and Activation Permissions, and
make necessary changes. In this case, NETWORK SERVICE needed to be added with
Remote Launch and Remote Activation permissions.

大概翻译一下:
安装完2003 sp1后,服务会出现下面的错误:

Event ID : 100016
Source : DCOM

The application-specific permission settings do not grant Local Activation permission for the COM Server application with CLSID

{BA126AD1-2166-11D1-B1D0-00805FC1270E}

to the user NT AUTHORITY\NETWORK SERVICE SID (S-1-5-20). This security permission can be modified using the Component Services administrative tool.

这时候可以去注册表里寻找这个键值

HKEY_CLASSES_ROOT\CLSID\{BA126AD1-2166-11D1-B1D0-00805FC1270E} 查看 Appid:

{27AF75ED-20D9-11D1-B1CE-00805FC1270E}

然后在HKEY_CLASSES_ROOT\AppID\{27AF75ED-20D9-11D1-B1CE-00805FC1270E}下查看localservice:Netman

寻找对应的服务名称,用以下办法授权即可

开始→控制面板→管理工具→组件服务
打开 组件服务 树目录 →计算机→我的电脑→DCOM配置
右边的面板里 找到 netman 右键→属性→安全→ 启动和激活权限 →自定义→编辑  添加 network service 用户

2005年04月30日

本文将向你解释你在防火墙的记录(Log)中看到了什么?尤其是那些端口是什么意思?你将能利用这些信息做出判断:我是否受到了Hacker的攻击?他/她到底想要干什么?本文既适用于维护企业级防火墙的安全专家,又适用于使用个人防火墙的家庭用户。

一、目标端口ZZZZ是什么意思

  所有穿过防火墙的通讯都是连接的一个部分。一个连接包含一对相互“交谈”的IP地址以及一对与IP地址对应的端口。目标端口通常意味着正被连接的某种服务。当防火墙阻挡(block)某个连接时,它会将目标端口“记录在案”(logfile)。这节将描述这些端口的意义。

  端口可分为3大类:

  1) 公认端口(Well Known Ports):从0到1023,它们紧密绑定于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。

  2) 注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。

  3) 动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。

  从哪里获得更全面的端口信息:

  1.ftp://ftp.isi.edu/in-notes/iana/assignments/port-numbers

  "Assigned Numbers" RFC,端口分配的官方来源。

  2.http://advice.networkice.com/advice/Exploits/Ports/

  端口数据库,包含许多系统弱点的端口。

  3./etc/services

  UNIX 系统中文件/etc/services包含通常使用的UNIX端口分配列表。Windows NT中该文件位于%systemroot%/system32/drivers/etc/services。

  4.http://www.con.wesleyan.edu/~triemer/network/docservs.html

  特定的协议与端口。

  5.http://www.chebucto.ns.ca/~rakerman/trojan-port-table.html

  描述了许多端口。

  6.http://www.tlsecurity.com/trojanh.htm

  TLSecurity的Trojan端口列表。与其它人的收藏不同,作者检验了其中的所有端口。

  7.http://www.simovits.com/nyheter9902.html

  Trojan Horse 探测




  二、通常对于防火墙的TCP/UDP端口扫描有哪些?

  本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。记住:并不存在所谓ICMP端口。如果你对解读ICMP数据感兴趣,请参看本文的其它部分。

  0 通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”是无效端口,当你试图使用一种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描:使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。

  1 tcpmux 这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,缺省情况下tcpmux在这种系统中被打开。Iris机器在发布时含有几个缺省的无密码的帐户,如lp, guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox, 和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索tcpmux并利用这些帐户。

  7 Echo 你能看到许多人们搜索Fraggle放大器时,发送到x.x.x.0和x.x.x.255的信息。

  常见的一种DoS攻击是echo循环(echo-loop),攻击者伪造从一个机器发送到另一个机器的UDP数据包,而两个机器分别以它们最快的方式回应这些数据包。(参见Chargen)

  另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做“Resonate Global Dispatch”,它与DNS的这一端口连接以确定最近的路由。

  Harvest/squid cache将从3130端口发送UDP echo:“如果将cache的source_ping on选项打开,它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。

  11 sysstat 这是一种UNIX服务,它会列出机器上所有正在运行的进程以及是什么启动了这些进程。这为入侵者提供了许多信息而威胁机器的安全,如暴露已知某些弱点或帐户的程序。这与UNIX系统中“ps”命令的结果相似

  再说一遍:ICMP没有端口,ICMP port 11通常是ICMP type=11

  19 chargen 这是一种仅仅发送字符的服务。UDP版本将会在收到UDP包后回应含有垃圾字符的包。TCP连接时,会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。由于服务器企图回应两个服务器之间的无限的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。

  21 ftp 最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方法。这些服务器带有可读写的目录。Hackers或Crackers 利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。

  22 ssh PcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点。如果配置成特定的模式,许多使用RSAREF库的版本有不少漏洞。(建议在其它端口运行ssh)
 
  还应该注意的是ssh工具包带有一个称为make-ssh-known-hosts的程序。它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。

  UDP(而不是TCP)与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632(十六进制的0×1600)位交换后是0×0016(使进制的22)。

  23 Telnet 入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是为了找到机器运行的操作系统。此外使用其它技术,入侵者会找到密码。

  25 smtp 攻击者(spammer)寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总被关闭,他们需要拨号连接到高带宽的e-mail服务器上,将简单的信息传递到不同的地址。SMTP服务器(尤其是sendmail)是进入系统的最常用方法之一,因为它们必须完整的暴露于Internet且邮件的路由是复杂的(暴露+复杂=弱点)。

  53 DNS Hacker或crackers可能是试图进行区域传递(TCP),欺骗DNS(UDP)或隐藏其它通讯。因此防火墙常常过滤或记录53端口。

  需要注意的是你常会看到53端口做为UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker常使用这种方法穿透防火墙。

  67和68 Bootp和DHCP UDP上的Bootp/DHCP:通过DSL和cable-modem的防火墙常会看见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中间人”(man-in-middle)攻击。客户端向68端口(bootps)广播请求配置,服务器向67端口(bootpc)广播回应请求。这种回应使用广播是因为客户端还不知道可以发送的IP地址。

  69 TFTP(UDP) 许多服务器与bootp一起提供这项服务,便于从系统下载启动代码。但是它们常常错误配置而从系统提供任何文件,如密码文件。它们也可用于向系统写入文件。

  79 finger Hacker用于获得用户信息,查询操作系统,探测已知的缓冲区溢出错误,回应从自己机器到其它机器finger扫描。

  98 linuxconf 这个程序提供linux boxen的简单管理。通过整合的HTTP服务器在98端口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuid root,信任局域网,在/tmp下建立Internet可访问的文件,LANG环境变量有缓冲区溢出。此外因为它包含整合的服务器,许多典型的HTTP漏洞可能存在(缓冲区溢出,历遍目录等)

  109 POP2 并不象POP3那样有名,但许多服务器同时提供两种服务(向后兼容)。在同一个服务器上POP3的漏洞在POP2中同样存在。

  110 POP3 用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交换缓冲区溢出的弱点至少有20个(这意味着Hacker可以在真正登陆前进入系统)。成功登陆后还有其它缓冲区溢出错误。

  111 sunrpc portmap rpcbind Sun RPC PortMapper/RPCBIND。访问portmapper是扫描系统查看允许哪些RPC服务的最早的一步。常见RPC服务有:rpc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提供服务的特定端口测试漏洞。

  记住一定要记录线路中的daemon, IDS, 或sniffer,你可以发现入侵者正使用什么程序访问以便发现到底发生了什么。

  113 Ident auth 这是一个许多机器上运行的协议,用于鉴别TCP连接的用户。使用标准的这种服务可以获得许多机器的信息(会被Hacker利用)。但是它可作为许多服务的记录器,尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过防火墙访问这些服务,你将会看到许多这个端口的连接请求。记住,如果你阻断这个端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在TCP连接的阻断过程中发回RST,着将回停止这一缓慢的连接。

  119 NNTP news 新闻组传输协议,承载USENET通讯。当你链接到诸如:news://comp.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送spam。

  135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或RPC的服务利用机器上的end-point mapper注册它们的位置。远端客户连接到机器时,它们查询end-point mapper找到服务的位置。同样Hacker扫描机器的这个端口是为了找到诸如:这个机器上运行Exchange Server吗?是什么版本?

  这个端口除了被用来查询服务(如使用epdump)还可以被用于直接攻击。有一些DoS攻击直接针对这个端口。

  137 NetBIOS name service nbtstat (UDP) 这是防火墙管理员最常见的信息,请仔细阅读文章后面的NetBIOS一节

  139 NetBIOS File and Print Sharing 通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。

  大量针对这一端口始于1999,后来逐渐变少。2000年又有回升。一些VBS(IE5 VisualBasic Scripting)开始将它们自己拷贝到这个端口,试图在这个端口繁殖。

  143 IMAP 和上面POP3的安全问题一样,许多IMAP服务器有缓冲区溢出漏洞运行登陆过程中进入。记住:一种Linux蠕虫(admw0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允许IMAP后,这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。

  这一端口还被用于IMAP2,但并不流行。

  已有一些报道发现有些0到143端口的攻击源于脚本。

  161 SNMP(UDP) 入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息都储存在数据库中,通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们可能会试验所有可能的组合。

  SNMP包可能会被错误的指向你的网络。Windows机器常会因为错误配置将HP JetDirect remote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名,你会看见这种包在子网内广播(cable modem, DSL)查询sysName和其它信息。

  162 SNMP trap 可能是由于错误配置

  177 xdmcp 许多Hacker通过它访问X-Windows控制台, 它同时需要打开6000端口。

  513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。这些人为Hacker进入他们的系统提供了很有趣的信息。

  553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN,你将会看到这个端口的广播。CORBA是一种面向对象的RPC(remote procedure call)系统。Hacker会利用这些信息进入系统。

  600 Pcserver backdoor 请查看1524端口

  一些玩script的孩子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统– Alan J. Rosenthal.

  635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端口的扫描是基于UDP的,但基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住,mountd可运行于任何端口(到底在哪个端口,需要在端口111做portmap查询),只是Linux默认为635端口,就象NFS通常运行于2049端口。

  1024 许多人问这个端口是干什么的。它是动态端口的开始。许多程序并不在乎用哪个端口连接网络,它们请求操作系统为它们分配“下一个闲置端口”。基于这一点分配从端口1024开始。这意味着第一个向系统请求分配动态端口的程序将被分配端口1024。为了验证这一点,你可以重启机器,打开Telnet,再打开一个窗口运行“natstat -a”,你将会看到Telnet被分配1024端口。请求的程序越多,动态端口也越多。操作系统分配的端口将逐渐变大。再来一遍,当你浏览Web页时用“netstat”查看,每个Web页需要一个新端口。

  1025 参见1024

  1026 参见1024

  1080 SOCKS

  这一协议以管道方式穿过防火墙,允许防火墙后面的许多人通过一个IP地址访问Internet。理论上它应该只允许内部的通信向外达到Internet。但是由于错误的配置,它会允许Hacker/Cracker的位于防火墙外部的攻击穿过防火墙。或者简单地回应位于Internet上的计算机,从而掩饰他们对你的直接攻击。WinGate是一种常见的Windows个人防火墙,常会发生上述的错误配置。在加入IRC聊天室时常会看到这种情况。

  1114 SQL

  系统本身很少扫描这个端口,但常常是sscan脚本的一部分。

  1243 Sub-7木马(TCP)

  参见Subseven部分。

  1524 ingreslock后门

  许多攻击脚本将安装一个后门Shell于这个端口(尤其是那些针对Sun系统中Sendmail和RPC服务漏洞的脚本,如statd, ttdbserver和cmsd)。如果你刚刚安装了你的防火墙就看到在这个端口上的连接企图,很可能是上述原因。你可以试试Telnet到你的机器上的这个端口,看看它是否会给你一个Shell。连接到600/pcserver也存在这个问题。

  2049 NFS

  NFS程序常运行于这个端口。通常需要访问portmapper查询这个服务运行于哪个端口,但是大部分情况是安装后NFS运行于这个端口,Hacker/Cracker因而可以闭开portmapper直接测试这个端口。

  3128 squid

  这是Squid HTTP代理服务器的默认端口。攻击者扫描这个端口是为了搜寻一个代理服务器而匿名访问Internet。你也会看到搜索其它代理服务器的端口:8000/8001/8080/8888。扫描这一端口的另一原因是:用户正在进入聊天室。其它用户(或服务器本身)也会检验这个端口以确定用户的机器是否支持代理。请查看5.3节。

  5632 pcAnywere

  你会看到很多这个端口的扫描,这依赖于你所在的位置。当用户打开pcAnywere时,它会自动扫描局域网C类网以寻找可能得代理(译者:指agent而不是proxy)。Hacker/cracker也会寻找开放这种服务的机器,所以应该查看这种扫描的源地址。一些搜寻pcAnywere的扫描常包含端口22的UDP数据包。参见拨号扫描。

  6776 Sub-7 artifact

  这个端口是从Sub-7主端口分离出来的用于传送数据的端口。例如当控制者通过电话线控制另一台机器,而被控机器挂断时你将会看到这种情况。因此当另一人以此IP拨入时,他们将会看到持续的,在这个端口的连接企图。(译者:即看到防火墙报告这一端口的连接企图时,并不表示你已被Sub-7控制。)

  6970 RealAudio

  RealAudio客户将从服务器的6970-7170的UDP端口接收音频数据流。这是由TCP7070端口外向控制连接设置的。

  13223 PowWow

  PowWow 是Tribal Voice的聊天程序。它允许用户在此端口打开私人聊天的连接。这一程序对于建立连接非常具有“进攻性”。它会“驻扎”在这一TCP端口等待回应。这造成类似心跳间隔的连接企图。如果你是一个拨号用户,从另一个聊天者手中“继承”了IP地址这种情况就会发生:好象很多不同的人在测试这一端口。这一协议使用“OPNG”作为其连接企图的前四个字节。

  17027 Conducent

  这是一个外向连接。这是由于公司内部有人安装了带有Conducent "adbot" 的共享软件。Conducent "adbot"是为共享软件显示广告服务的。使用这种服务的一种流行的软件是Pkware。有人试验:阻断这一外向连接不会有任何问题,但是封掉IP地址本身将会导致adbots持续在每秒内试图连接多次而导致连接过载:
机器会不断试图解析DNS名—ads.conducent.com,即IP地址216.33.210.40 ;216.33.199.77 ;216.33.199.80 ;216.33.199.81;216.33.210.41。(译者:不知NetAnts使用的Radiate是否也有这种现象)

  27374 Sub-7木马(TCP)

  参见Subseven部分。

  30100 NetSphere木马(TCP)

  通常这一端口的扫描是为了寻找中了NetSphere木马。

  31337 Back Orifice “elite”

  Hacker中31337读做“elite”/ei’li:t/(译者:法语,译为中坚力量,精华。即3=E, 1=L, 7=T)。因此许多后门程序运行于这一端口。其中最有名的是Back Orifice。曾经一段时间内这是Internet上最常见的扫描。现在它的流行越来越少,其它的木马程序越来越流行。

  31789 Hack-a-tack

  这一端口的UDP通讯通常是由于"Hack-a-tack"远程访问木马(RAT, Remote Access Trojan)。这种木马包含内置的31790端口扫描器,因此任何31789端口到317890端口的连接意味着已经有这种入侵。(31789端口是控制连接,317890端口是文件传输连接)

  32770~32900 RPC服务

  Sun Solaris的RPC服务在这一范围内。详细的说:早期版本的Solaris(2.5.1之前)将portmapper置于这一范围内,即使低端口被防火墙封闭仍然允许Hacker/cracker访问这一端口。扫描这一范围内的端口不是为了寻找portmapper,就是为了寻找可被攻击的已知的RPC服务。

  33434~33600 traceroute

  如果你看到这一端口范围内的UDP数据包(且只在此范围之内)则可能是由于traceroute。参见traceroute部分。

  41508 Inoculan

  早期版本的Inoculan会在子网内产生大量的UDP通讯用于识别彼此。参见
  http://www.circlemud.org/~jelson/software/udpsend.html
  http://www.ccd.bnl.gov/nss/tips/inoculan/index.html

  下面的这些源端口意味着什么?

  端口1~1024是保留端口,所以它们几乎不会是源端口。但有一些例外,例如来自NAT机器的连接。参见1.9。

  常看见紧接着1024的端口,它们是系统分配给那些并不在乎使用哪个端口连接的应用程序的“动态端口”。

  Server Client 服务 描述

  1-5/tcp 动态 FTP 1-5端口意味着sscan脚本

  20/tcp 动态 FTP FTP服务器传送文件的端口

  53 动态 FTP DNS从这个端口发送UDP回应。你也可能看见源/目标端口的TCP连接。

  123 动态 S/NTP 简单网络时间协议(S/NTP)服务器运行的端口。它们也会发送到这个端口的广播。

  27910~27961/udp 动态 Quake Quake或Quake引擎驱动的游戏在这一端口运行其服务器。因此来自这一端

  口范围的UDP包或发送至这一端口范围的UDP包通常是游戏。

  61000以上 动态 FTP 61000以上的端口可能来自Linux NAT服务器(IP Masquerade)

三、我发现一种对于同一系列端口的扫描来自于Internet上变化很大的源地址这通常是由于“诱骗”扫描(decoy scan),如nmap。其中一个是攻击者,其它的则不是。

  利用防火墙规则和协议分析我们可以追踪他们是谁?例如:如果你ping每个系统,你就可以将获得的TTL与那些连接企图相匹配。这样你至少可以哪一个是“诱骗”扫描(TTL应该匹配,如果不匹配则他们是被“诱骗”了)。不过,新版本的扫描器会将攻击者自身的TTL随机化,这样要找出他们回更困难。

  你可以进一步研究你的防火墙记录,寻找在同一子网中被诱骗的地址(人)。你通常会发现攻击者刚刚试图对你连接,而被诱骗者不会。




四、特洛伊木马扫描是指什么?

  特洛伊木马攻击的第一步是将木马程序放置到用户的机器上。常见的伎俩有:

  1) 将木马程序发布在Newsgroup中,声称这是另一种程序。
  2) 广泛散布带有附件的E-mail
  3) 在其Web上发布木马程序
  4) 通过即时通讯软件或聊天系统发布木马程序(ICQ, AIM, IRC等)
  5) 伪造ISP(如AOL)的E-mail哄骗用户执行程序(如软件升级)
  6) 通过“文件与打印共享”将程序Copy至启动组

  下一步将寻找可被控制的机器。最大的问题是上述方法无法告知Hacker/Cracker受害者的机器在哪里。因此,Hacker/Cracker扫描Internet。

  这就导致防火墙用户(包括个人防火墙用户)经常看到指向他们机器的扫描。他们的机器并没有被攻击,扫描本身不会造成什么危害。扫描本身不会造成机器被攻击。真正的管理员会忽略这种“攻击”

  以下列出常见的这种扫描。为了发现你的机器是否被种了木马,运行“NETSTAT -an”。查看是否出现下列端口的连接。

  Port Trojan
  555 phAse zero
  1243 Sub-7, SubSeven
  3129 Masters Paradise
  6670 DeepThroat
  6711 Sub-7, SubSeven
  6969 GateCrasher
  21544 GirlFriend
  12345 NetBus
  23456 EvilFtp  
  27374 Sub-7, Seven
  30100 NetSphere
  31789 Hack‘a‘Tack
  31337 BackOrifice, and many others
  50505 Sockets de Troie

  更多信息查看:http://www.commodon.com/threat/threat-ports.htm

  什么是SUBSEVEN(sub-7)

  Sub-7是最有名的远程控制木马之一。现在它已经成为易于使用,功能强大的一种木马。原因是:

  1〕它易于获得,升级迅速。大部分木马产生后除了修改bug以外开发就停止了。
  2〕这一程序不但包含一个扫描器,还能利用被控制的机器也进行扫描。
  3〕制作者曾比赛利用sub-7控制网站。
  4〕支持“端口重定向”,因此任何攻击者都可以利用它控制受害者的机器。
  5〕具有大量与ICQ, AOL IM, MSN Messager和Yahoo messenger相关的功能,包括密码嗅探,发送消息等。

  6〕 具有大量与UI相关的功能,如颠倒屏幕,用受害者扩音器发声,偷窥受害者屏幕。

  简而言之它不仅是一种hacking工具而且是一种玩具,恐吓受害者的玩具。

  Sub-7是由自称“Mobman”的人写的,他的站点是http://subseven.slak.org/。
  Sub-7可能使用以下端口:
  1243 老版本缺省连接端口
  2772 抓屏端口
  2773 键盘记录端口
  6711 ???
  6776 我并不清楚这个端口是干什么用的,但是它被作为一些版本的后面 (即不用密码也能连接)。
  7215 "matrix" chat程序
  27374 v2.0缺省端口
  54283 Spy端口

五、来自低端口的DNS包

  Q:我看见许多来自1024端口以下的DNS请求。这些服务是“保留”的吗?他们不是应该使用1024-65535端口吗?

  A:他们来自于NAT防火墙后面的机器。NAT并不需要保留端口。(Ryan Russell >http://www.sybase.com/)

  Q:我的防火墙丢弃了许多源端口低于1024的包,所以DNS查询失败。

  A:不要用这种方式过滤。许多防火墙有类似的规则,但这是一种误导。因为Hacker/Cracker能伪造任何端口。

  Q:这些NAT防火墙工作不正常吗?

  A:理论上不是,但实际上会导致失败。正确的方式是在任何情况下完全保证DNS通讯。(尤其在那些“代理”DNS并强迫DNS通过53端口的情况下)

  Q:我以为DNS查询应该使用1024端口以上的随机端口?

  A:实际上,一般DNS客户将使用非保留端口。但是有许多程序使用53端口。在任何情况下,NAT都会完全不同,因为它改变了所有SOCKET(IP+port combo)




  六、一旦我拨号连接到ISP后,我的个人防火墙就开始警告“有人在探测你的xxxx端口”。

  这种情况很常见。因为你使用ISP分配给你的IP,而在你使用之前刚有人使用。你看到的是上一个用户的“残留”信息。

  常见的例子是聊天程序。如果有人刚刚挂断,刚才和他聊天的人会继续试图连接。一些程序的“超时”设置很长。如POWWOW或ICQ。

  另一个例子是多人在线游戏。你会看到来自游戏提供者的通讯(如MPlayer),或其它不知名的游戏服务器。这些游戏通常基于UDP,因此无法建立连接。但为了获得较好的用户感觉,他们对于建立连接又很“执着”。以下是一些游戏的端口:

  7777 Unreal, Klingon Honor Guard
  7778 Unreal Tournament
  22450 Sin
  26000 Quake
  26900 Hexen 2
  26950 HexenWorld
  27015 Half-life, Team Fortress Classic (TFC)
  27500 QuakeWorld
  27910 Quake 2
  28000-28008 Starsiege TRIBES (TRIBES.DYNAMIX.COM)
  28910 Heretic 2

  另一个例子是多媒体广播、电视。如RealAudio客户端使用6970-7170端口接收声音数据。

  你需要连接的来源。例如ICQ服务器运行于4000端口,而其客户端使用更高的随机端口。这就是说你会看到你会看到从4000端口到高端随机端口的UDP包。换句话说,不要试图查询端口列表找到随机高端端口的用途。重要的是源端口。

  Sub-7也有类似问题。它使用不同的TCP连接用于不同的服务。如果受害者的机器下线,它会持续企图连接受害者机器的端口,特别是6776端口。




  七、IRC服务器在探测我

  最流行的聊天方式之一是IRC。这种聊天程序的特点之一就是它能告诉你正在和你聊天的人的IP地址。聊天室的问题之一是:人们匿名登陆并四处闲逛,往往会遭遇跑题的评论、粗鲁的话语、被打断谈话、被服务器“冲洗”或被其它客户踢下线。

  因此,服务器端和客户端都默认禁止在聊天室内使用匿名登陆。特别需要指出的是,当有人进入聊天室时要检查他们是否通过其它代理服务器连接。最常见的这种扫描是SOCKS。假设你来的那个地方支持SOCKS,那么你完全有可能有一台完全独立的机器,你试图通过明处的代理服务器隐藏你在暗处的真实身份。Undernet’s关于这方面的策略可参考http://help.undernet.org/proxyscan.

  同时,crackers/hackers会试图扫描人们的机器以确定他们是否运行某种服务,可被他们用做跳板。同样,通过检查SOCKS,攻击者希望发现某人打开了SOCKS,例如一个家庭的个人用户SOCKS实现共享连接,但将其错误设置成Internet上所有用户都能通过它。




  八、什么是“重定向”端口

 一种常见的技术是把一个端口重定向到另一个地址。例如默认的HTTP端口是80,许多人把他们重定向到令一个端口,如8080( 这样,如果你打算访问本文就得写成http://www.robertgraham.com:8080/pubs/firewall-seen.html )

  实现重定向是为了让端口更难被发现,从而使Hacker更难攻击。因为Hacker不能对一个公认的默认端口进行攻击而必须进行端口扫描。

  大多数端口重定向与原端口有相似之处。因此,大多数HTTP端口由80变化而来:81,88,8000,8080,8888。同样POP的端口原来在110,也常被重定向到1100。

  也有不少情况是选取统计上有特别意义的数,象1234,23456,34567等。许多人有其它原因选择奇怪的数,42,69,666,31337。近来,越来越多的远程控制木马( Remote Access Trojans, RATs )采用相同的默认端口。如NetBus的默认端口是12345。

  Blake R. Swopes指出使用重定向端口还有一个原因,在UNIX系统上,如果你想侦听1024以下的端口需要有root权限。如果你没有root权限而又想开web服务,你就需要将其安装在较高的端口。此外,一些ISP的防火墙将阻挡低端口的通讯,所以即使你拥有整个机器你还是得重定向端口。




  九、我还是不明白当某人试图连接我的某个端口时我该怎么办?

  你可以使用Netcat建立一个侦听进程。例如,你想侦听1234端口:
  NETCAT -L -p 1234

  许多协议都会在连接开始的部分发送数据。当使用Netcat侦听某个端口时,你能想办法搞清在使用什么协议。如果幸运的话,你会发现是HTTP协议,它会为你提供大量信息,使你能追踪发生的事情。

  “-L”参数是让Netcat持续侦听。正常情况下Netcat会接受一个连接,复制其内容,并退出。加上这个参数后,它可以持续运行以侦听多个连接。

接下来更加深刻的向大家解释防火墙。


ICMP

  TCP和UDP能承载数据,但ICMP仅包含控制信息。因此,ICMP信息不能真正用于入侵其它机器。Hacker们使用ICMP通常是为了扫描网络,发动DoS攻击,重定向网络交通。(这个观点似乎不正确,可参考shotgun关于木马的文章,译者注)

  一些防火墙将ICMP类型错误标记成端口。要记住,ICMP不象TCP或UDP有端口,但它确实含有两个域:类型(type)和代码(code)。而且这些域的作用和端口也完全不同,也许正因为有两个域所以防火墙常错误地标记了他们。更多关于ICMP的知识请参考Infosec Lexicon entry on ICMP。
  关于ICMP类型/代码的含义的官方说明请参阅http://www.isi.edu/in-notes/iana/assignments/icmp-parameters。该文献描述官方含义,而本文描述Hacker的企图,详见下文。

  类型 代码 名称 含义
  0 * Echo replay 对ping的回应
  3 * Destination Unreachable 主机或路由器返回信息:一些包未达到目的地
  0 Net Unreachable 路由器配置错误或错误指定IP地址
  1 Host Unreachable 最后一个路由器无法与主机进行ARP通讯
  3 Port unreachable 服务器告诉客户端其试图联系的端口无进程侦听
  4 Fragmentation Needed but DF set 重要:如果你在防火墙丢弃记录中发现这些包,你应该让他们通过否则你的客户端将发现TCP连接莫名其妙地断开
  4 * Source Quench Internet阻塞
  5 * Redirect 有人试图重定向你的默认路由器,可能Hacker试图对你进行“man-in-middle”的攻击,使你的机器通过他们的机器路由。
  8 * Echo Request ping
  9 * Router Advertisement hacker可能通过重定向你的默认的路由器DoS攻击你的Win9x 或Solaris。邻近的Hacker也可以发动man-in-the-middle的攻击
  10 * Time Exceeded In Transit 因为超时包未达到目的地
  0 TTL Exceeded 因为路由循环或由于运行traceroute,路由器将包丢弃
  1 Fragment reassembly timeout 由于没有收到所有片断,主机将包丢弃
  11 * Parameter Problem 发生某种不正常,可能遇到了攻击

  (一) type=0 (Echo reply)

  发送者在回应由你的地址发送的ping,可能是由于以下原因:

  有人在ping那个人:防火墙后面有人在ping目标。

  自动ping:许多程序为了不同目的使用ping,如测试联系对象是否在线,或测定反应时间。很可能是使用了类似VitalSign‘s Net.Medic的软件,它会发送不同大小的ping包以确定连接速度。

  诱骗ping扫描:有人在利用你的IP地址进行ping扫描,所以你看到回应。

  转变通讯信道:很多网络阻挡进入的ping(type=8),但是允许ping回应(type=0)。因此,Hacker已经开始利用ping回应穿透防火墙。例如,针对internet站点的DdoS攻击,其命令可能被嵌入ping回应中,然后洪水般的回应将发向这些站点而其它Internet连接将被忽略。

  (二) Type=3 (Destination Unreachable)

  在无法到达的包中含有的代码(code)很重要记住这可以用于击败“SYN洪水攻击”。即如果正在和你通讯的主机受到“SYN洪水攻击”,只要你禁止ping(type=3)进入,你就无法连接该主机。

  有些情况下,你会收到来自你从未听说的主机的ping(type=3)包,这通常意味着“诱骗扫描”。攻击者使用很多源地址向目标发送一个伪造的包,其中有一个是真正的地址。Hacker的理论是:受害者不会费力从许多假地址中搜寻真正的地址。

  解决这个问题的最好办法是:检查你看到的模式是否与“诱骗扫描”一致。比如,在ICMP包中的TCP或UDP头部分寻找交互的端口。

  1) Type = 3, Code = 0 (Destination Net Unreachable)

  无路由器或主机:即一个路由器对主机或客户说,:“我根本不知道在网络中如何路由!包括你正连接的主机”。这意味着不是客户选错了IP地址就是某处的路由表配置错误。记住,当你把自己UNIX机器上的路由表搞乱后你就会看到“无路由器或主机”的信息。这常发生在配置点对点连接的时候。

  2) Type = 3, Code = 3 (Destination Port Unreachable)

  这是当客户端试图连击一个并不存在的UDP端口时服务器发送的包。例如,如果你向161端口发送SNMP包,但机器并不支持SNMP服务,你就会收到ICMP Destination Port Unreachable包。

  解码的方案

  解决这个问题的第一件事是:检查包中的端口。你可能需要一个嗅探器,因为防火墙通常不会记录这种信息。这种方法基于ICMP原始包头包含IP和UDP头。以下是复制的一个ICMP unreachable包:

  00 00 BA 5E BA 11 00 60 97 07 C0 FF 08 00 45 00
  00 38 6F DF 00 00 80 01 B4 12 0A 00 01 0B 0A 00
  01 C9 03 03 C2 D2 00 00 00 00 45 00 00 47 07 F0
  00 00 80 11 1B E3 0A 00 01 C9 0A 00 01 0B 08 A7
  79 19 00 33 B8 36

  其中字节03 03是ICMP的类型和代码。最后8个字节是原始UDP头,解码如下:

  08A7 UDP源端口 port=2215,可能是临时分配的,并不是很重要。
  7919 UDP目标端口 port=31001,很重要,可能原来用户想连接31001端口的服务。
  0033 UDP长度 length=51,这是原始UDP数据的长度,可能很重要。
  B836 UDP校验和 checksum=0xB836,可能不重要。

  你为什么会看到这些?

  “诱骗UDP扫描”:有人在扫描向你发送ICMP的机器。他们伪造源地址,其中之一是你的IP地址。他们实际上伪造了许多不同的源地址使受害者无法确定谁是攻击者。如果你在短时间内收到大量来自同一地址的这种包,很有可能是上述情况。检查UDP源端口,它总在变化的话,很可能是Scenario。

  “陈旧DNS”:客户端会向服务器发送DNS请求,这将花很长时间解析。当你的DNS服务器回应的时候,客户端可能已经忘记你并关闭了用于接受你回应的UDP端口。如果发现UDP端口值是53,大概就发生了这种情况。这是怎么发生的?服务器可能在解析一个递归请求,但是它自己的包丢失了,所以它只能超时然后再试。当回到客户时,客户认为超时了。许多客户程序(尤其是Windows中的程序)自己做DNS解析。即它们自己建立SOCKET进行DNS解析。如果它们把要求交给操作系统,操作系统就会一直把端口开在那里。

  “多重DNS回应”:另一种情况是客户收到对于一个请求的多重回应。收到一个回应,端口就关闭了,后序的回应无法达到。此外,一个Sun机器与同一个以太网中的多个NICs连接时,将为两个NICs分配相同的MAC地址,这样Sun机器每桢会收到两个拷贝,并发送多重回复。还有,一个编写的很糟糕的客户端程序(特别是那些吹嘘是多线程DNS解析但实际上线程不安全的程序)有时发送多重请求,收到第一个回应后关闭了Socket。但是,这也可能是DNS欺骗,攻击者既发送请求由发送回应,企图使解析缓存崩溃。

  “NetBIOS解析”:如果Windows机器接收到ICMP包,看看UDP目标端口是否是137。如果是,那就是windows机器企图执行gethostbyaddr()函数,它将将会同时使用DNS和NetBIOS解析IP地址。DNS请求被发送到某处的DNS服务器,但NetBIOS直接发往目标机器。如果目标机器不支持NetBIOS,目标机器将发送ICMP unreachable。

  “Traceroute”:大多数Traceroute程序(Windows中的Tracert.exe除外)向关闭的端口发送UDP包。这引起一系列的背靠背的ICMP Port Unreachable包发回来。因此你看到防火墙显示这样ICMP包,可能是防火墙后面的人在运行Traceroute。你也会看到TTL增加。

  3) Type = 3, Code = 4 (Fragmentation Needed and Don‘t Fragment was Set)

  这是由于路由器打算发送标记有(DF, 不允许片断)的IP报文引起的。为什么?IP和TCP都将报文分成片断。TCP在管理片断方面比IP有效得多。因此,饯堆趋向于找到“Path MTU”(路由最大传输单元)。在这个过程将发送这种ICMP包。

  假设ALICE和BOB交谈。他们在同一个以太网上(max frame size = 1500 bytes),但是中间有连接限制最大IP包为600 byte。这意味着所有发送的IP包都要由路由器切割成3个片断。因此在TCP层分割片断将更有效。TCP层将试图找到MTU(最大传输单元)。它将所有包设置DF位(Don‘t Fragment),一旦这种包碰到不能传输如此大的包的路由器时路由器将发回ICMP错误信息。由此,TCP层能确定如何正确分割片断。

  你也许应该允许这些包通过防火墙。否则,当小的包可以通过达到目的地建立连接,而大包会莫名其妙的丢失断线。通常的结果是,人们只能看到Web页仅显示一半。

  路由最大传输单元的发现越来越整合到通讯中。如IPsec需要用到这个功能。

  (三) Type = 4 (Source Quench)

  这种包可能是当网络通讯超过极限时由路由器或目的主机发送的。但是当今的许多系统不生成这些包。原因是现在相信简单包丢失是网络阻塞的最后信号(因为包丢失的原因就是阻塞)。

  现在source quenches的规则是(RFC 1122):
  路由器不许生成它们
  主机可以生成它们
  主机不能随便生成它们
  防火墙应该丢弃它们

  但是,主机遇到Source Quench仍然减慢通讯,因此这被用于DoS。防火墙应该过滤它们。如果怀疑发生DoS,包中的源地址是无意义的,因为IP地址肯定是虚构的。

  已知某些SMTP服务器会发送Source Quench。

  (四) Type = 8 (Echo aka PING)

  这是ping请求包。有很多场合使用它们;它可能意味着某人扫描你机器的恶意企图,但它也可能是正常网络功能的一部分。参见Type = 0 (Echo Response)

  很多网络管理扫描器会生成特定的ping包。包括ISS扫描器,WhatsUp监视器等。这在扫描器的有效载荷中可见。许多防火墙并不记录这些,因此你需要一些嗅探器捕捉它们或使用入侵检测系统(IDS)标记它们。

  记住,阻挡ping进入并不意味着Hacker不能扫描你的网络。有许多方法可以代替。例如,TCP ACK扫描越来越流行。它们通常能穿透防火墙而引起目标系统不正常的反应。

  发送到广播地址(如x.x.x.0或x.x.x.255)的ping可能在你的网络中用于smurf放大。

  (五) Type = 11 (Time Exceeded In Transit)

  这一般不会是Hacker或Cracker的攻击

  1) Type = 11, Code = 0 (TTL Exceeded In Transit)

  这可能有许多事情引起。如果有人从你的站点traceroute到Internet,你会看到许多来自路由器的TTL增加的包。这就是traceroute的工作原理:强迫路由器生成TTL增加的信息来发现路由器。

  防火墙管理员看到这种情况的原因是Internet上发生路由循环。路由器Flapping(持续变换路由器)是一个常见的问题,常会导致循环。这意味着当一个IP包朝目的地前进时,这个包被一个路由器错误引导至一个它曾经通过的路由器。如果路由器在包经过的时候把TTL域减一,这个包只好循环运动。实际上当TTL值为0时它被丢弃。

  造成这种情况的另一个原因是距离。许多机器(Windows)的默认TTL值是127或更低。路由器也常常会把TTL值减去大于1的值,以便反应诸如电话拨号或跨洋连接的慢速连接。因此,可能由于初始TTL值太小,而使站点无法到达。此外,一些Hacker/Cracker也会使用这种办法使站点无法到达。

  2) Type = 11, Code = 1 (Fragment Reassembly Time Exceeded)

  当发送分割成片断的IP报文时,发送者并不接收所有片断。通常,大多数TCP/IP通讯甚至不分割片断。你看到这种情况必定是采用了分割片断而且你和目的地之间有阻塞。

  (六) Type = 12 (Parameter Problem)

  这可能意味着一种进攻。有许多足印技术会生成这种包。

【分享】病毒木马入侵招数大曝光

网络时代可不太平,谁没有遭遇过病毒或木马?从CIH、I Love You到红色代码、Nim
da,从BO到冰河,无一不是网友经常懈逅的对象。怎么避免这些“艳遇”是广大用户孜孜
以求的目标,不过,“道高一尺,魔高一丈”,“防”永远是落后的,主动消灭它们才是
积极主动的。

  要消灭它们,首先就要掌握病毒及木马是怎么入侵我们的"爱机"的。有关病毒及木马
的入侵招数的文章很多,但都不太全面,编者偶然间发现了一篇作者不详,但内容颇为全
面的文章,特意整理出来,希望对大家有所帮助。

  一、修改批处理

  很古老的方法,但仍有人使用。一般通过修改下列三个文件来作案:

  Autoexec.bat(自动批处理,在引导系统时执行)
  Winstart.bat(在启动GUI图形界面环境时执行)
  Dosstart.bat(在进入MS-DOS方式时执行)

  例如:编辑C:\windows\Dosstart.bat,加入:start Notepad,当你进入“MS-DOS方
式”时,就可以看到记事本被启动了。

  二、修改系统配置

  常使用的方法,通过修改系统配置文件System.ini、Win.ini来达到自动运行的目的,
涉及范围有:

  在Win.ini文件中:
  [windows]
  load=程序名
  run=程序名

  在System.ini文件中:
  [boot]
  shell=Explorer.exe

  其中修改System.ini中Shell值的情况要多一些,病毒木马通过修改这里使自己成为S
hell,然后加载Explorer.exe,从而达到控制用户电脑的目的。
  三、借助自动运行功能

  这是黑客最新研发成果,之前该方法不过被发烧的朋友用来修改硬盘的图标而已,如今它被赋予了新的意义,黑客甚至声称这是Windows的新BUG。

  Windows的自动运行功能确实很烂,早年许多朋友因为自动运行的光盘中带有CIH病毒
而中招,现在不少软件可以方便地禁止光盘的自动运行,但硬盘呢?其实硬盘也支持自动
运行,你可尝试在D盘根目录下新建一个Autorun.inf,用记事本打开它,输入如下内容:

  [autorun]
  open=Notepad.exe

  保存后进入“我的电脑”,按F5键刷新一下,然后双击D盘盘符,怎么样?记事本打开
了,而D盘却没有打开。

  当然,以上只是一个简单的实例,黑客做得要精密很多,他们会把程序改名为“ .e
xe”(不是空格,而是中文的全角空格,这样在Autorun.inf中只会看到“open= ”而被忽
略,此种行径在修改系统配置时也常使用,如“run= ”;为了更好地隐藏自己,其程序
运行后,还会替你打开硬盘,让你难以查觉。

  由此可以推想,如果你打开了D盘的共享,黑客就可以将木马和一个Autorun.inf存入
该分区,当Windows自动刷新时,你也就“中奖”了,因此,大家千万不要共享任何根目录
,当然更不能共享系统分区(一般为C:)。

  四、通过注册表中的Run来启动

  很老套的方法,但80%的黑客仍在使用,通过在Run、RunOnce、RunOnceEx、RunServi
ces、RunServicesOnce中添加键值,可以比较容易地实现程序的加载,黑客尤其方便在带
”Once”的主键中作手脚,因此带“Once”的主键中的键值,在程序运行后将被删除,因
此当用户使用注册表修改程序查看时,不会发现异样。另外,还有这样的程序:在启动时
删除Run中的键值,而在退出时(或关闭系统时)又添加键值,达到隐蔽自己的目的。(这
种方法的缺点是:害怕恶意关机或停电,呵呵!)

  五、通过文件关联启动

  很受黑客喜爱的方式,通过EXE文件的关联(主键为:exefile),让系统在执行任何程
序之前都运行木马,真的好毒!通常修改的还有txtfile(文本文件的关联,谁不用用记事
本呢?)、regfile(注册表文件关联,一般用来防止用户恢复注册表,例如让用户双击.reg文件就关闭计算机)、unkown(未知文件关联)。为了防止用户恢复注册表,用此法的黑客
通常还连带谋杀scanreg.exe、sfc.exe、Extrac32.exe、regedit.exe等程序,阻碍用户修
复。
  六、通过API HOOK启动

  这种方法较为高级,通过替换系统的DLL文件,让系统启动指定的程序。例如:拨号上
网的用户必须使用Rasapi32.dll中的API函数来进行连接,那么黑客就会替换这个DLL,当
用户的应用程序调用这个API函数,黑客的程序就会先启动,然后调用真正的函数完成这个
功能(特别提示:木马可不一定是EXE,还可以是DLL、VXD),这样既方便又隐蔽(不上网
时根本不运行)。中此绝毒的虫子,只有两种选择:Ghost或重装系统,幸好此毒廖廖无几
,实属万虫之幸!

  API的英文全称为:Application Programming Interface,也就是应用程序编程接口
。在Windows程序设计领域发展初期,Windows程序员所能使用的编程工具唯有API函数,这
些函数是Windows提供给应用程序与操作系统的接口,他们犹如“积木块”一样,可以搭建
出各种界面丰富,功能灵活的应用程序。所以可以认为API函数是构筑整个Windows框架的
基石,在它的下面是Windows的操作系统核心,而它的上面则是所有华丽的Windows应用程
序。

  七、通过VXD启动

  此法也是高手专用版,通过把木马写成VXD形式加载,直接控制系统底层,极为罕见。
它们一般在注册表[HKEY_ LOCAL_MACHINE\System\CurrentControlSet\Services\VxD]主键
中启动,很难发觉,解决方法最好也是用Ghost恢复或重新干净安装。

  八、通过浏览网页启动

  通过此种途径有两种方法:

  利用MIME漏洞:这是2001年黑客中最流行的手法,因为它简单有效,加上宽带网的流
行,令用户防不胜防,想一想,仅仅是鼠标变一下“沙漏”,木马就安装妥当,Internet
真是太“方便”了!不过今年有所减少,一方面许多人都改用IE6.0;另一方面,大部分个
人主页空间都不允许上传.eml文件了。

  MIME被称为多用途Internet邮件扩展(Multipurpose Internet Mail Extensions),
是一种技术规范,原用于电子邮件,现在也可以用于浏览器。MIME对邮件系统的扩展是巨
大的,在它出现前,邮件内容如果包含声音和动画,就必须把它变为ASCII码或把二进制的
信息变成可以传送的编码标准,而接收方必须经过解码才可以获得声音和图画信息。MIME
提供了一种可以在邮件中附加多种不同编码文件的方法,这与原来的邮件是大大不同的。
而现在MIME已经成为了HTTP协议标准的一个部分。
  九、利用Java applet

  划时代的Java更高效、更方便——不过是悄悄地修改你的注册表,让你千百次地访问
黄(黑)色网站,让你关不了机,让你……,还可以让你中木马。这种方法其实很简单,先
利用HTML把木马下载到你的缓存中,然后修改注册表,指向其程序。

  十、利用系统自动运行的程序

  这一条主要利用用户的麻痹大意和系统的运行机制进行,命中率很高。在系统运行过
程中,有许多程序是自动运行的,比如:磁盘空间满时,系统自动运行“磁盘清理”程序
(cleanmgr.exe);启动资源管理器失败时,双击桌面将自动运行“任务管理器”程序(Tas
kman.exe);格式化磁盘完成后,系统将提示使用“磁盘扫描”程序(scandskw.exe);点击
帮助或按F1时,系统将运行Winhelp.exe或Hh.exe打开帮助文件;启动时,系统将自动启动
“系统栏”程序(SysTray.exe)、“输入法”程序(internat.exe)、“注册表检查” 程序
(scanregw.exe)、“计划任务”程序(Mstask.exe)、“电源管理”程序等。

  这为恶意程序提供了机会,通过覆盖这些文件,不必修改任何设置系统就会自动执行
它们!而用户在检查注册表和系统配置时不会引起任何怀疑,例如“注册表检查” 程序的
作用是启动时检查和备份注册表,正常情况不会有任何提示,那么它被覆盖后真可谓是“
神不知、鬼不觉”。当然,这也许会被“系统文件检查器”检查(但勤快的人不多)出来


  黑客还有一高招“偷天换日”!不覆盖程序也可达到这个目的,方法是:利用System
目录比Windows目录优先的特点,以相同的文件名,将程序放到System目录中。你可以试试
,将Notepad.exe(记事本)复制到System目录中,并改名为Regedit.exe(注册表编辑器),
然后从“开始”→“运行”中,输入“Regedit”回车,你会发现运行的竟然是那个假冒的
Notepad.exe!同样,如果黑客将程序放到System中,然后在运行时调用真正的Regedit,
谁知道呢?(这种方法由于大部分目标程序不是经常被系统调用,因此常被黑客用来作为被
删除后的恢复方法,如果某个东东被删除了又出现,不妨检查检查这些文件。)

  十一、还有什么“高招”

  黑客还常常使用名字欺骗技术和运行假象与之配合。名字欺骗技术如上述的全角空格
主文件名“ .exe”就是一例,另外常见的有在修改文件关联时,使用“ ”(ASCII值25
5,输入时先按下Alt键,然后在小键盘上输入255)作为文件名,当这个字符出现在注册表
中时,人们往往很难发现它的存在。此外还有利用字符相似性的,如:“Systray.exe”和
“5ystray”(5与大写S相似);长度相似性的,如:“Explorer.exe”和“Explore.exe”
(后者比前者少一个字母,心理学实验证明,人的第一感觉只识别前四个字母,并对长度不
敏感);运行假象则是指运行某些木马时,程序给出一个虚假的提示来欺骗用户。一个运行
后什么都没有的程序,地球人都知道不是什么好东西;但对于一个提示“内存不足的程序
,恐怕还在埋怨自己的内存太少哩!

浙江乌镇
  乌镇古时候称为乌墩,春秋时此地为吴疆越界,到唐代咸通年间始称乌镇。这里历史渊源流长,六千多年前,乌镇的祖先就繁衍、生息在这里。
  乌镇位于浙江省桐乡县北部,地势低洼,为河流冲积和湖沼淤积平原,河港密布、纵横交叉,具有浓厚的水乡特色。
  此处钟灵毓秀,自古人才辈出。历代著名人物有编《昭明文选》的梁昭明太子、《唐宋八大家文抄》编者茅坤、理学家张杨园、文学家茅盾等……如今的乌镇仍保留着许多水乡所特有的河港、桥梁、临河建筑、街道、店面等。清晨或傍晚你若沿东西市河漫步,将使你留恋忘返。 



云南罗平
  罗平位于云南省东部,地处滇、桂、黔三省(区)结合部,素有“滇东门户”、“滇黔锁钥”之称;历史悠久,山奇水秀:境内深沟峡谷纵横,盆岭相间,碳酸盐岩广布,是非常典型的喀斯特地貌奇观。
  这里有气势雄伟的瀑布群落、幽深险峻的峡谷、挺拨秀丽的峰丛、独特的地貌奇观、苍莽的林海、溢彩溜金的油菜花海、蜿蜒曲折的河流、玲珑剔透的滩跌、碧绿如玉的湖泊、古朴浓郁的民族风情、丰富的文物古迹等构成了自然、人文景观荟萃的旅游胜地。 



新疆阿尔泰白哈巴(中哈边境)
  美丽的阿尔泰山,自古被誉为“金山”,深藏于内陆腹地,美丽而神秘。这里的野山野水无处不入画,当你行走其间,你会真正领悟到宁静、美丽、和谐才是人类最佳的栖居地。在这里,你会感觉到生命已融入到一种自然的从容恬淡中。
  白哈巴村,虽小但很精致。随意点缀在村中木屋栏栅旁的白桦树,或金黄或翠绿,在晨光和夕阳下,闪烁金光,与木屋、炊烟、挑水的村妇,以及牧羊的孩童一起,营造着家园的温馨,释放着一种生命独有的暖意。



太湖
  太湖跨江、浙两省是我国第三大淡水湖泊,总面积达2400平方公里,苏州占3分之2强,太湖72峰,苏州揽入58峰,国务院规划的沿太湖13个风景区69个景点,苏州有6个景区34个风景点,正所谓"太湖风光美,一半在姑苏"。太湖风景名胜区素以宏大的层次,丰富秀丽的湖岛山水风光而著称,苏州沿太湖地区尤为得天独厚,漫长而多变的湖岸线,形成丰富的沿湖景观,山林丰茂、花果飘香、文物古迹遍布其间。
  游览太湖,四季皆宜,真所谓“春可观花品茗、夏有赏荷食鲈、秋能持蟹吟菊、冬日踏雪探梅 



泸沽湖
  被摩梭人称为“母亲湖”的泸沽湖,是泸沽湖风景名胜自然景观的重要组成部分和背景,素有“高原明珠”之称。湖的水域面积达58平方公里,海拨2690米,平均水深45米,最深处90余米,透明度高达11米。湖中有五个全岛、三个半岛和一个海堤连岛。湖中各岛婷婷玉立,形态各异,林木葱郁,翠绿如画,身临其间,水天一色,清澈如镜,藻花点缀其间,缓缓滑行于碧波之上的猪槽船和徐徐飘浮于水天之间的摩梭民歌,使其更增添几分古朴、几分宁静,是一个远离嚣市,未被污染的处女湖 



红水河岸上风光
    处处是高耸的峰丛,放眼望去重峦迭嶂,高低错落变化无穷,拟人拟物,裸露着奇特的形体r遍地可见深幽的洼地,俯首远眺隐约察觉村寨、田间和水池交织其间,不禁嗟汉这小小的一隅之谷犹如世外桃源,大有恍若隔世之感。这个奇妙的境地,磊磊多石,山岩嶙刚,崎岖突兀,间或夹杂坚韧虬典的林木盘根错节的榕树,显示出一种昏螟、空灵而粗犷的气势,令人十分骇异 



广西龙胜梯田
  龙脊梯田,始建于元朝、完工于清初,距今已有近700年的历史。
  龙脊是一个广泛的地理名词,是因为龙脊周围的群山山脉的走向像一条长龙,这里的老百姓世世代代都在神龙的脊背上生活而得名;这里蕴含着丰富多姿的少数民族文化。
  梯田的规模磅礴壮观、气势恢宏,线条行云流水、潇洒流畅,为天下梯田所望尘莫及;虽说南国山区处处有梯田,可是像龙脊梯田这样大规模的集中实属罕见。从流水湍急的河谷,到白云缭绕的山巅,从万木葱茏的林边到石壁陡崖前,凡有泥土的地方,都开辟了梯田。垂直高度达五六里,横向伸延五六里,那起伏的、高耸入云的山,蜿蜓的如同一级级登上蓝天的天梯,像天与地之间一幅幅巨大的抽象画……每位看见这一景色的游客,心灵也都会被深深地震撼!这是一种难以言表的,一种被大自然的雄奇以及人的伟力所引起的震撼! 



长白山天池
  长白山天池又称白头山天池,坐落在吉林省东南部,是中国和朝鲜的界湖,湖的北部在吉林省境内。长白山系复合式盾形休眠火山,为中国东北和欧亚大陆东部最高峰,是松花江、鸭绿江、图们江之源。史料记载天池水“冬无冰,夏无萍”,夏无萍是真,冬无冰却不尽然,冬季冰层一般厚1.2米,且结冰期长达六、七个月。不过,天池内还有温泉多处,形成几条温泉带,长150米,宽30 – 40米,水温常保持在42摄氏度,隆冬时节热气腾腾,冰消雪融,故有人又将天池叫温凉泊。
  天池除了水之外,就是巨大的岩石。天池水中原本无任何生物,但近几年,天池中出现一种冷水鱼-虹鳟鱼,此鱼生长缓慢,肉质鲜美,来长白山旅游能品尝到这种鱼,也是一大口福.据说天池中的虹鳟鱼是北朝鲜在天池放养的 



北海围洲岛风光
  涠洲岛是我国最大的死火山岛,位于北海市东南面36海里处,与银滩隔海相望,面积26平方公里。在它的附近有一个斜阳岛,站在涠洲岛上可以观看到太阳斜照该岛的情景,这就是著名的“涠州斜阳”。
  涠洲岛的最高海拔79米,岛上生活着热情好客、勤劳淳朴的客家人。这里海蚀、海积及溶岩构成一个个奇特的景观:“龟豚拱碧”、“滴水丹屏”、“法国传教士人头像”、“火山弹荟萃”、“三婆庙”及“汤显祖观海处”……在沙滩上还可以拾到各种海螺和贝壳,充满梦幻的岛屿。 



周庄
  周庄镇位于苏州城东南38公里,著名古画家吴冠中撰文说“黄山集中国山川之美、周庄集中国水乡之美”,海外报刊则称“周庄为中国第一水乡。周庄有着近九百年的历史,有丰富的文化蕴涵。西晋文学家张翰,唐代诗人刘禹锡、陆龟蒙等曾居周庄。周庄也是元末明初江南巨富沈万三的故乡;周庄也曾留下柳亚子、陈去病等人的足迹。 



云南元阳梯田
  层层叠叠的梯田,天梯一样沿着山坡直上云天。梯田适合开在土质好、水源充足的向阳坡地,云南哀牢山地区属于海洋性带气候,雨量充沛,那里的人们开垦了规模庞大、世界闻名的梯田。其中元阳的梯田比较有代表性,特别是云雾天气多的季节,山坡上大片的梯田在云雾笼罩下,就像从人间登上天堂的天梯,非常壮观美丽。
  海拔2500米的云南哀牢山区元阳梯田平地极少,到处是浓绿的原始森林的哀牢山区,世代居住着哈尼族为主的山地居民。2500年前,哈尼族的祖先从西藏高原来到云南南部这个边陲山区,初来乍到就遇到了一大难题:周围的山谷根本不适宜种植。哈尼族人以顽强的民族性格与大自然搏斗,用石块砌起围墙,围住新开垦的农田,还引来山泉灌溉,并在水雾缭绕的梯田中种植稻谷。
  14世纪明朝年代,这种把崎岖山地开垦成良田的技术传遍了中国和东南亚,哈尼人更把哀牢山这一带的山区变成了一幅幅“艺术品”。于是明朝皇帝给哈尼族人赐名“山岳神雕手”,这一美名便世代相传下来。
  二、三月间到元阳,从县城沿公路一路走来,但见水平如镜的梯田从座座山头层层延展下来,交汇成万顷良田,在阳光和云雾的交替变幻中,气象万千,壮阔无比。时见身着色彩亮丽的民族服饰的哈尼族、彝族男女,或挥锄修整田埂,或驱牛犁田,不禁生出无限敬意。 


云南丽江玉龙山
  玉龙雪山——位于丽江的西北部,距离县城约15公里。在丽江古城中可以看到玉龙雪山的主峰–海拔5596米的扇子陡,如果想要看清玉龙十三峰,需要乘车到鸣音览雪亭。雪山上植物资源非常丰富,有"植物王国"之称。种类繁多的植物,按不同的气候带生长在山体的不同高度上,成为滇西北横断山脉植物区的缩影。玉龙雪山主峰还是一座处女峰,尚未被人类征服。山上经常云遮雾罩,只有太阳很好的时候,才能一睹真容 


新疆帕米尔高原
  帕米尔位于新疆西南部,古代称为葱岭,向有世界屋脊之称;按照自然地理状况,可分为八个部分,文称八“帕”。清朝在阿尔楚尔帕内立有记功碑;在各帕共建有八所卡伦;帕米尔是我国塔吉克族和柯尔克孜族居住、游牧的地方,直到19世纪70年代一直属于中国。柏米尔共分八“帕”,由北向南依次为:和什库珠克帕米尔、萨雷兹帕米尔、郎库里帕米尔、阿尔楚尔柏米尔、大帕米尔、小帕米尔、塔克敦巴什帕米尔、瓦罕帕米尔 



四川阿坝
  阿坝县为藏名的译音,走音甚大,对“阿坝”名的由来和含义说法多样,但执以下解释者居多。在藏族知识界、宗教界和原上层人士中认为:“阿坝”一名形成于1200年以上的时间。唐太宗贞观年间,吐蕃王松赞干布以武力进攻松潘向唐求婚,占领松州以西地区后,从土蕃腹地阿里一带迁民至本地并居住下来繁衍生息。他们自称“阿里娃”。
  县内野生动、植物中药材品种繁多,量多质好,植物药材有69科179种,储量达600万斤。主要产品有贝母、虫草、甘松、大黄、秦艽、羌活、赤芍、佛手参、川党参、鹅参等,尤其贝母、甘松、羌活、大黄、赤芍、佛手参、秦艽产量大、品质优良。贝母、甘松在国内外市场上享有盛誉,动物药材资源有熊胆、熊掌、豹骨、猴骨、麝香、鹿茸、獭肝、羌活鱼等。
  旅游资源十分丰富,分布全县。东北部有高原湿地生态系统自然景观区,西北部有奇峰异石、冰川雪峰、湖泊草原等高原山地生态系统自然景观区,南部有高山峡谷、原始森林生态系统自然景观区,中部有民居建筑、服饰歌舞、饮食文化、宗教文化和民风民俗等组成的“安多民族文化走廊”等人文景观区。 



湖南吉首凤凰
  凤凰县位于湖南吉首市与怀化市之间偏西的地方,城区傍沱江而建。沱江如酒,沿江的吊角楼就如美人醉酒一样憨态可掬。城内大街小巷中辣子与熏肉的香味四季飘香,多情湘女婆娑而过。有月光的晚上,苗民男女的对歌声可惊醒每一扇临水的窗户。出了城,见一山如利剑穿空,拔地而起,为天星山。山顶有一平台豁然开朗,中有一方池为“天池”,汩汩溪流,却久旱不涸,常有麝獐临水,百鸟低回。山下有奇梁洞,洞内有云雾山、天堂、龙宫、阴阳河等景,集桂林、张家界奇景于一洞 



贵州雷山县西江千户苗寨
  雷山县西江千户苗寨是全国最大的苗族村寨,全寨1200多户、6000余人,苗族占99%。黎平肇兴侗寨有900多户人家、3800余人,故有“侗乡第一寨”之称。全寨有5个家族,每个家族有一座鼓楼,共5座鼓楼、5座花桥、5座侗戏楼,这些极富侗族建筑特点的建筑物至今保存完好 


稻城
  稻城位于四川省甘孜州稻城县,方圆7323平方公里的土地存留着大地最古老的记忆和大自然最真最纯的心灵