星期五, 12月 30, 2005

robots.txt 檔案的用途

robots.txt 是一個文字檔
功能是告訴各個搜尋引擎的機器人程式,不要將某個部份的網頁納入到他們的資料庫中

robots.txt 檔案要放在 網頁 的根目錄下
內容包含兩個指令:
User-agent: 那個搜尋引擎,ex:googlebot, * 代表全部的搜尋引擎
Disallow: 不允許搜尋的目錄

ex:
User-agent: *
Disallow: /abc/
Disallow: /cde/
意思是不允許所有的搜尋引擎來搜尋 /abc 及 /cde 下的網頁資料

如果希望所有的網頁都不要被搜尋,那就要寫
User-agent: *
Disallow: /

星期日, 12月 25, 2005

SMB的操作指令碼

在封包中有SMB指令碼的意義如下:








SMBr登入需求 
SMBs登入訊息 
SMBsm登入失敗帳號 or 密碼錯誤
..X...SMBs登入成功X是一個英文字母
'.SMBt登出 
SMBu登入成功後傳送一個空連結
SMB%登入成功後分享共用的訊息傳遞

網芳的廣播封包的特殊編碼方式

數字編碼表

0123456789
DADBDCDDDEDFDGDHDIDJ



英文編碼表

ABCDEFGHIJKLM
EBECEDEEEFEGEHEIEJEKELEMEN

NOPQRSTUVWXYZ
EOEPFAFBFCFDFEFFFGFHFIFJFK

snort 的 rule 撰寫簡單說明

用個實例來說明:
我想要抓取 PostgreSQL 中的 SQL 語法

rule檔中可以寫下
alert tcp any any -> any 5432 (msg:"someone access PSQL command:SELECT"; content:"select"; nocase;)
意思是 從任何的 ip 的任何一 port 連接到 任一個ip 的 5432 port 的封包中,內容有 'select' 字元的就出現 alert

  1. alert :警示
  2. any any:任何的 ip 的任何一 port
  3. ->:到
  4. any 5432:任一個ip 的 5432 port
  5. msg:出現在 alert檔案中的訊息
  6. content:比對封包內容的是否有content中的字元
  7. nocase:不管 content 字元的大小寫


可以將自己撰寫的 rule 放在 local.rules 中,這樣以後就會把你寫的 rules 也列入比對的條件中

如果你不要放在 local.rules 中,而要自己寫個 rules檔名,要記得在 snort.conf 中要 include 進來
ex:新寫的 rules 檔名為 abc.rules
在 snort.conf 中要加入 include abc.rules 這些字

星期五, 12月 23, 2005

用 netcat 來 scan ports

netcat 號稱是網路瑞士刀
如何用 netcat 來掃 ports 呢?

nc -v -w 2 -z 192.168.0.1 1-65535
  1. -v:verbose, 顯示資訊,兩個 v 會顯示更多的資訊
  2. -w 2:連線等待 timeout 的秒數
  3. -z:不要傳送任何資料到目的 ip
  4. 192.168.0.1:要掃ports的 ip,自行修改
  5. 1-65535:要掃的 port,1-65535代表全掃了
預設是掃 TCP 如果要掃 UDP,加上 -u 如果只要掃某些特定的 port ,試試 nc -v -w 2 -z 192.168.0.1 25 80 110

星期二, 12月 20, 2005

ngrep 簡單說明

ngrep 可以說是簡單的封包擷取工具,可以拿來監看封包情況
格式:ngrep 參數 過濾條件 host port
幾個常用參數的說明:

  1. -L:列出 pcap 的 device,也就是網路介面(interface)
  2. -d [device no.]:指定要由那個 device 來擷取封包
  3. -O [filename]:輸出 pcap 檔案到 filename
  4. -tD:每筆記錄加上日期時間,方便了解封包產生時間
  5. -x:以十六進位方式顯示
  6. -F [filename]:讀取 bpf 檔案來作為過去的條件
  7. -i:過濾條件不管大小寫

範例:
ngrep -d 2 -i "get" => 監看 device 2 中有封包含有 "get" 字元的 (不管大小寫)
ngrep -d 2 host 192.168.0.1 =>監看device 2 中來源或目的是 192.168.0.1 的封包
ngrep -O ngrep.log port 80 =>監看 port 80,且將記錄資料存到 ngrep.log 中

星期二, 12月 13, 2005

snort 的 IDS 模式及 conf 檔設定

snort 可以使用 -c 參數來指定設定檔
ex: snort -c "../etc/snort.conf" -i 2 -l "/var/log/snort"
意思是: 使用 ../etc/snort.conf 設定檔, interface:2,記錄檔放在 /var/log/snort目錄中

snort.conf 的內容可以分為五類:
variable:設定變數,方便以後 rules 可以使用,一旦有改變,只要改 conf 檔的值就好了
config:snort設定
preprocessors:前置處理器設定
output:輸出格式設定
include:載入的 rule 檔

ex:
  1. var HOME_NET 192.168.1.1/24
  2. var RULE_PATH /etc/snort/rules
  3. output alert_syslog: LOG_AUTH LOG_ALERT
  4. config order: pass alert log activation (優先順序設定)
  5. include $RULE_PATH/ddos.rules

星期一, 12月 12, 2005

如何讓電腦讀不到USB隨身碟

使用 regedit
找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
裡面有個 機碼名稱 start 類型 REG_DWORD 內容 3
將內容 3 改為 4 , 以後插入隨身碟時電腦不會有所反應
如果要讓 USB 隨身碟有所反應,再把 4 改為 3

ps:如果找不到 這個機碼,有可能是這台電腦都沒有用過USB隨身碟,使用過後可能就會出現了

snort 封包監聽模式簡介

snort 是一個輕量型的入侵偵測系統(IDS)
採用特徵比對的方式來偵測
官網


先介紹封包監聽模式:
snort 參數介紹

  • -v 顯示資訊到 console
  • -d 包含所有網路表頭資訊 (TCP , UDP , ICMP)
  • -e 包含第二層的表頭資訊
  • -i 選擇 interface 。 ex : -i eth0 or -i 1,可以先用 snort -W 來列出網路卡 list
  • -l 存放記錄檔的目錄。 ex : snort -de -l /var/log/snort,預設存成 pcap 的格式
  • -F file 監聽的條件,檔案 aa 的內容是 host 192.168.0.1 and port 23,snort -dev -F aa,代表只監聽 192.168.0.1 and port 23 的封包

如果要讀出紀錄檔: snort -dev -r [記錄檔案名稱]
如果記錄檔要存成 ascii 模式: snort -de -K ascii -l /var/log/snort