cmaedu.com

我公司电脑网络被加密，如何破解 请高手指教，

cmaedu.com个人网络密码安全是整个网络安全的一个重要环节，如果个人密码遭到黑客破解，将引起非常严重的后果，例如网络银行的存款被转账盗用，网络游戏内的装备或者财产被盗，QQ币被盗用等等，增强网民的网络安全意识是网络普及进程的一个重要环节，因此，在网民采取安全措施保护自己的网络密码之前，有必要了解一下流行的网络密码的破解方法，方能对症下药，以下是我总结的十个主要的网络密码破解方法。

1、暴力穷举

密码破解技术中最基本的就是暴力破解，也叫密码穷举。如果黑客事先知道了账户号码，如邮件帐号、QQ用户帐号、网上银行账号等，而用户的密码又设置的十分简单，比如用简单的数字组合，黑客使用暴力破解工具很快就可以破解出密码来。因此用户要尽量将密码设置的复杂一些。

2、击键记录

cmaedu.com 如果用户密码较为复杂，那么就难以使用暴力穷举的方式破解，这时黑客往往通过给用户安装木马病毒，设计“击键记录”程序，记录和监听用户的击键操作，然后通过各种方式将记录下来的用户击键内容传送给黑客，这样，黑客通过分析用户击键信息即可破解出用户的密码。

cmaedu.com 3、屏幕记录

cmaedu.com 为了防止击键记录工具，产生了使用鼠标和图片录入密码的方式，这时黑客可以通过木马程序将用户屏幕截屏下来然后记录鼠标点击的位置，通过记录鼠标位置对比截屏的图片，从而破解这类方法的用户密码。

4、网络钓鱼

“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的网站登陆站点来进行诈骗活动，受骗者往往会泄露自己的敏感信息（如用户名、口令、帐号、PIN码或信用卡详细信息），网络钓鱼主要通过发送电子邮件引诱用户登录假冒的网上银行、网上证券网站，骗取用户帐号密码实施盗窃。

cmaedu.com 5、Sniffer（嗅探器）

cmaedu.com 在局域网上，黑客要想迅速获得大量的账号（包括用户名和密码），最为有效的手段是使用Sniffer程序。Sniffer，中文翻译为嗅探器，是一种威胁性极大的被动攻击工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式窃取网上的传送的数据包。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。任何直接通过HTTP、FTP、POP、SMTP、TELNET协议传输的数据包都会被Sniffer程序监听。

cmaedu.com 6、Password Reminder

cmaedu.com 对于本地一些保存的以星号方式密码，可以使用类似Password Reminder这样的工具破解，把Password Reminder中的放大镜拖放到星号上，便可以破解这个密码了。

cmaedu.com 7、远程控制

cmaedu.com 使用远程控制木马监视用户本地电脑的所有操作，用户的任何键盘和鼠标操作都会被远程的黑客所截取。

cmaedu.com 8、不良习惯

有一些公司的员工虽然设置了很长的密码，但是却将密码写在纸上，还有人使用自己的名字或者自己生日做密码，还有些人使用常用的单词做密码，这些不良的习惯将导致密码极易被破解。

9、分析推理

cmaedu.com 如果用户使用了多个系统，黑客可以通过先破解较为简单的系统的用户密码，然后用已经破解的密码推算出其他系统的用户密码，比如很多用户对于所有系统都使用相同的密码。

10、密码心理学

cmaedu.com 很多著名的黑客破解密码并非用的什么尖端的技术，而只是用到了密码心理学，从用户的心理入手，从细微入手分析用户的信息，分析用户的心理，从而更快的破解出。

其次还有……

cmaedu.com

电脑被黑客入侵并设了网关,换硬盘有用吗

当然有用，不管什么软件都是在硬盘存放的。硬盘一换，什么都没有了。

cmaedu.com

什么是网关欺骗攻击

cmaedu.com所谓的网关欺骗攻击，指的就是ARP欺骗。ARP（Address Resolution Protocol）地址解析协议是一种将IP地址转化成物理地址的协议。

ARP欺骗的种类

cmaedu.com ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。 一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。

cmaedu.com编辑本段如何避免ARP欺骗攻击

cmaedu.com 安装ARP防火墙（百度一下“ARP防火墙”），可以有效的防止ARP欺骗，并且可以追踪网内的攻击源

黑客攻防的过滤网关防护

cmaedu.com这里，过滤网关主要指明防火墙，当然路由器也能成为过滤网关。防火墙部署在不同网络之间，防范外来非法攻击和防止保密信息外泄，它处于客户端和服务器之间，利用它来防护SYN攻击能起到很好的效果。过滤网关防护主要包括超时设置，SYN网关和SYN代理三种。

cmaedu.com·网关超时设置：

cmaedu.com防火墙设置SYN转发超时参数(状态检测的防火墙可在状态表里面设置)，该参数远小于服务器的timeout时间。当客户端发送完SYN包，服务端发送确认包后(SYN+ACK)，防火墙如果在计数器到期时还未收到客户端的确认包(ACK)，则往服务器发送RST包，以使服务器从队列中删去该半连接。值得注意的是，网关超时参数设置不宜过小也不宜过大，超时参数设置过小会影响正常的通讯，设置太大，又会影响防范SYN攻击的效果，必须根据所处的网络应用环境来设置此参数。

·SYN网关：

SYN网关收到客户端的SYN包时，直接转发给服务器;SYN网关收到服务器的SYN/ACK包后，将该包转发给客户端，同时以客户端的名义给服务器发ACK确认包。此时服务器由半连接状态进入连接状态。当客户端确认包到达时，如果有数据则转发，否则丢弃。事实上，服务器除了维持半连接队列外，还要有一个连接队列，如果发生SYN攻击时，将使连接队列数目增加，但一般服务器所能承受的连接数量比半连接数量大得多，所以这种方法能有效地减轻对服务器的攻击。

·SYN代理：

当客户端SYN包到达过滤网关时，SYN代理并不转发SYN包，而是以服务器的名义主动回复SYN/ACK包给客户，如果收到客户的ACK包，表明这是正常的访问，此时防火墙向服务器发送ACK包并完成三次握手。SYN代理事实上代替了服务器去处理SYN攻击，此时要求过滤网关自身具有很强的防范SYN攻击能力。

2、加固tcp/ip协议栈防范SYN攻击的另一项主要技术是调整tcp/ip协议栈，修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、增加最大半连接和缩短超时时间等。tcp/ip协议栈的调整可能会引起某些功能的受限，管理员应该在进行充分了解和测试的前提下进行此项工作。otect机制

为防范SYN攻击，Windows2000系统的tcp/ip协议栈内嵌了SynAttackProtect机制，Win2003系统也采用此机制。SynAttackProtect机制是通过关闭某些socket选项，增加额外的连接指示和减少超时时间，使系统能处理更多的SYN连接，以达到防范SYN攻击的目的。默认情况下，Windows2000操作系统并不支持SynAttackProtect保护机制，需要在注册表以下位置增加SynAttackProtect键值：

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

当SynAttackProtect值(如无特别说明，本文提到的注册表键值都为十六进制)为0或不设置时，系统不受SynAttackProtect保护。

cmaedu.com当SynAttackProtect值为1时，系统通过减少重传次数和延迟未连接时路由缓冲项(route cache entry)防范SYN攻击。

cmaedu.com当SynAttackProtect值为2时(Microsoft推荐使用此值)，系统不仅使用backlog队列，还使用附加的半连接指示，以此来处理更多的SYN连接，使用此键值时，tcp/ip的TCPInitialRTT、window size和可滑动窗囗将被禁止。

我们应该知道，平时，系统是不启用SynAttackProtect机制的，仅在检测到SYN攻击时，才启用，并调整tcp/ip协议栈。那么系统是如何检测SYN攻击发生的呢?事实上，系统根据TcpMaxHalfOpen,TcpMaxHalfOpenRetried 和TcpMaxPortsExhausted三个参数判断是否遭受SYN攻击。

cmaedu.comTcpMaxHalfOpen 表示能同时处理的最大半连接数，如果超过此值，系统认为正处于SYN攻击中。Windows2000　server默认值为100，Windows2000 Advanced server为500。

cmaedu.comTcpMaxHalfOpenRetried定义了保存在backlog队列且重传过的半连接数，如果超过此值，系统自动启动SynAttackProtect机制。Windows2000 server默认值为80，Windows2000 Advanced server为400。

cmaedu.comTcpMaxPortsExhausted　是指系统拒绝的SYN请求包的数量，默认是5。

如果想调整以上参数的默认值，可以在注册表里修改(位置与SynAttackProtect相同)

cmaedu.com· SYN cookies技术

cmaedu.com我们知道，TCP协议开辟了一个比较大的内存空间backlog队列来存储半连接条目，当SYN请求不断增加，并这个空间，致使系统丢弃SYN连接。为使半连接队列被塞满的情况下，服务器仍能处理新到的SYN请求，SYN cookies技术被设计出来。

cmaedu.comSYN cookies应用于linux、FreeBSD等操作系统，当半连接队列满时，SYNcookies并不丢弃SYN请求，而是通过加密技术来标识半连接状态。

cmaedu.com在TCP实现中，当收到客户端的SYN请求时，服务器需要回复SYN+ACK包给客户端，客户端也要发送确认包给服务器。通常，服务器的初始序列号由服务器按照一定的规律计算得到或采用随机数，但在SYN cookies中，服务器的初始序列号是通过对客户端IP地址、客户端端囗、服务器IP地址和服务器端囗以及其他一些安全数值等要素进行hash运算，加密得到的，称之为cookie。当服务器遭受SYN攻击使得backlog队列满时，服务器并不拒绝新的SYN请求，而是回复cookie(回复包的SYN序列号)给客户端， 如果收到客户端的ACK包，服务器将客户端的ACK序列号减去1得到cookie比较值，并将上述要素进行一次hash运算，看看是否等于此cookie。如果相等，直接完成三次握手(注意：此时并不用查看此连接是否属于backlog队列)。

cmaedu.com在RedHat linux中，启用SYN cookies是通过在启动环境中设置以下命令来完成：

cmaedu.com# echo 1 ?? /proc/sys/net/ipv4/tcp_syncookies

· 增加最大半连接数

cmaedu.com大量的SYN请求导致未连接队列被塞满，使正常的TCP连接无法顺利完成三次握手，通过增大未连接队列空间可以缓解这种压力。当然backlog队列需要占用大量的内存资源，不能被无限的扩大。

cmaedu.comWindows2000：除了上面介绍的TcpMaxHalfOpen, TcpMaxHalfOpenRetried参数外，Windows2000操作系统可以通过设置动态backlog(dynamic backlog)来增大系统所能容纳的最大半连接数，配置动态backlog由AFD.SYS驱动完成，AFD.SYS是一种内核级的驱动，用于支持基于window socket的应用程序，比如ftp、telnet等。AFD.SYS在注册表的位置：

HKLM\System\CurrentControlSet\Services\AFD\Parameters\EnableDynamicBacklog值为1时，表示启用动态backlog，可以修改最大半连接数。

MinimumDynamicBacklog表示半连接队列为单个TCP端囗分配的最小空闲连接数，当该TCP端囗在backlog队列的空闲连接小于此临界值时，系统为此端囗自动启用扩展的空闲连接(DynamicBacklogGrowthDelta)，Microsoft推荐该值为20。

MaximumDynamicBacklog是当前活动的半连接和空闲连接的和，当此和超过某个临界值时，系统拒绝SYN包，Microsoft推荐MaximumDynamicBacklog值不得超过2000。

cmaedu.comDynamicBacklogGrowthDelta值是指扩展的空闲连接数，此连接数并不计算在MaximumDynamicBacklog内，当半连接队列为某个TCP端囗分配的空闲连接小于MinimumDynamicBacklog时，系统自动分配DynamicBacklogGrowthDelta所定义的空闲连接空间，以使该TCP端囗能处理更多的半连接。Microsoft推荐该值为10。

cmaedu.comLINUX：Linux用变量tcp_max_syn_backlog定义backlog队列容纳的最大半连接数。在Redhat 7.3中，该变量的值默认为256，这个值是远远不够的，一次强度不大的SYN攻击就能使半连接队列占满。我们可以通过以下命令修改此变量的值：

cmaedu.com# sysctl -w net.ipv4.tcp_max_syn_backlog=`2048`

cmaedu.comSun Solaris Sun Solaris用变量tcp_conn_req_max_q0来定义最大半连接数，在Sun Solaris 8中，该值默认为1024，可以通过add命令改变这个值：

cmaedu.com# ndd -set /dev/tcp tcp_conn_req_max_q0 2048

HP-UX：HP-UX用变量tcp_syn_rcvd_max来定义最大半连接数，在HP-UX　11.00中，该值默认为500，可以通过ndd命令改变默认值：

cmaedu.com#ndd -set /dev/tcp tcp_syn_rcvd_max 2048

·缩短超时时间

cmaedu.com上文提到，通过增大backlog队列能防范SYN攻击;另外减少超时时间也使系统能处理更多的SYN请求。我们知道，timeout超时时间，也即半连接存活时间，是系统所有重传次数等待的超时时间总和，这个值越大，半连接数占用backlog队列的时间就越长，系统能处理的SYN请求就越少。为缩短超时时间，可以通过缩短重传超时时间(一般是第一次重传超时时间)和减少重传次数来实现。

Windows2000第一次重传之前等待时间默认为3秒，为改变此默认值，可以通过修改网络接囗在注册表里的TcpInitialRtt注册值来完成。重传次数由TcpMaxConnectResponseRetransmissions 来定义，注册表的位置是：

HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters registry key

cmaedu.com当然我们也可以把重传次数设置为0次，这样服务器如果在3秒内还未收到ack确认包就自动从backlog队列中删除该连接条目。

cmaedu.comLINUX：Redhat使用变量tcp_synack_retries定义重传次数，其默认值是5次，总超时时间需要3分钟。

cmaedu.comSun Solaris Solaris　默认的重传次数是3次，总超时时间为3分钟，可以通过ndd命令修改这些默认值。

还原端到端加密会怎么样

会泄漏用户数据。

端到端加密为保护通信提供了最高标准，只有发送方和指定的接收方可以访问数据，而其他人、黑客、或任何第三方机构都不能访问服务器上的加密数据。

cmaedu.com在真正的端到端加密中，加密发生在终端设备。也就是说，消息和文件在离开手机或电脑之前被加密，直到到达目的地才会解密。因此，黑客无法访问服务器上的数据，因为他们没有解密数据的私钥。相反，密钥存储在个人用户的设备上，只能通过用户设备访问，这大大增加了访问个人数据的难度

cmaedu.com

网关欺骗的ARP欺骗的危害

cmaedu.com三.ARP欺骗的危害：

前面也提到了ARP欺骗可以造成内部网络的混乱，让某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信。实际上他的危害还不仅仅如此，一般来说IP地址的冲突我们可以通过多种方法和手段来避免，而ARP协议工作在更低层，隐蔽性更高。系统并不会判断ARP缓存的正确与否，无法像IP地址冲突那样给出提示。而且很多黑客工具例如网络剪刀手等，可以随时发送ARP欺骗数据包和ARP恢复数据包，这样就可以实现在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否，甚至还可以直接对网关进行攻击，让所有连接网络的计算机都无法正常上网。这点在以前是不可能的，因为普通计算机没有管理权限来控制网关，而现在却成为可能，所以说ARP欺骗的危害是巨大的，而且非常难对付，非法用户和恶意用户可以随时发送ARP欺骗和恢复数据包，这样就增加了网络管理员查找真凶的难度。