習慣成失落...

Error 602 The port is already open
問題：撥號網路網路由於設備裝設錯誤或正在使用，不能進行連接
原因：PPPoE軟體沒有完全和正確的裝設
解決：移除PPPoE軟體，重新裝設
Error 605 Cannot set port information
問題：撥號網路網路由於設備裝設錯誤不能設定使用連接埠
原因：PPPoE沒有完全和正確的裝設
解決：移除PPPoE軟體，重新裝設
Error 606 The port is not connected
問題：撥號網路網路不能連接所需的設備連接埠
原因：PPPoE沒有完全和正確的裝設，連接線故障，ADSL MODEM故障
解決：移除PPPoE軟體，重新裝設，檢查網線和 ADSL MODEM
Error 608 The device does not exist
問題：撥號網路網路連接的設備不存在
原因：PPPoE沒有完全和正確的裝設
解決：移除PPPoE軟體，重新裝設
Error 609 The device type does not exist
問題：撥號網路網路連接的設備其種類不能確定
原因：PPPoE沒有完全和正確的裝設
解決：移除PPPoE軟體，重新裝設
Error 611 The route is not available/612 The route is not allocated
問題：撥號網路網路連接路由不正確
原因：PPPoE沒有完全和正確的裝設，ISP伺服器故障
解決：移除PPPoE軟體，重新裝設，致電ISP詢問
Error 617 The port or device is already disconnecting
問題：撥號網路網路連接的設備已經斷開
原因：PPPoE沒有完全和正確的裝設，ISP伺服器故障，連接線，ADSL MODEM故障
解決：移除PPPoE軟體，重新裝設，致電ISP詢問 ，檢查網線和 ADSL MODEM
Error 619 問題：與ISP伺服器不能建立連接
原因：ADSL ISP伺服器故障，ADSL電話線故障
解決：檢查ADSL信號燈是否能正確同步。致電ISP詢問
Error 621 Cannot open the phone book file
Error 622 Cannot load the phone book file
Error 623 Cannot find the phone book entry
Error 624 Cannot write the phone book file
Error 625 Invalid information found in the phone book
問題：Windows NT或者Windows 2000 Server網路RAS網路元件故障
原因：移除PPPoE軟體，重新裝設RAS網路元件和RasPPPoE
Error 630
問題：ADSL MODEM沒有沒有響應
原因：ADSL電話線故障，ADSL MODEM故障（電源沒打開等）
解決：檢查ADSL設備
Error 633
問題：撥號網路網路由於設備裝設錯誤或正在使用，不能進行連接
原因：PPPoE沒有完全和正確的裝設
解決：移除PPPoE軟體，重新裝設
Error 638
問題：過了很長時間，無法連接到ISP的ADSL接入伺服器
原因：ISP伺服器故障；在RasPPPoE所創建的不好連接中你錯誤的輸入了一個電話號碼
解決：運行其創建撥號的Raspppoe.exe檢查是否能列出ISP服務，以確定ISP正常;把所使用的撥號連接中的 電話號碼清除或者只保留一個0。
Error 645
問題：網卡沒有正確響應
原因：網卡故障，或者網卡驅動程式故障
解決：檢查網卡，重新裝設網卡驅動程式
Error 650
問題：遠端電腦沒有響應，斷開連接
原因：ADSL ISP伺服器故障，網卡故障，非正常關機造成網路協議出錯
解決：檢查ADSL信號燈是否能正確同步，致電ISP詢問；檢查網卡，刪除所有網路元件重新裝設網路。
Error 651
問題：ADSL MODEM報告發生錯誤
原因：Windows處於安全模式下，或其他錯誤
解決：出現該錯誤時，進行重撥，就可以報告出新的具體錯誤代碼
Error 691
問題：輸入的用戶名和密碼不對，無法建立連接
原因：用戶名和密碼錯誤，ISP伺服器故障
解決：使用正確的用戶名和密碼，或致電ISP詢問。
Error 718
問題：驗證用戶名時遠端電腦超時沒有響應，斷開連接
原因：ADSL ISP伺服器故障
解決：致電ISP詢問
Error 720
問題：撥號網路無法協調網路中伺服器的協議設定
原因：ADSL ISP伺服器故障，非正常關機造成網路協議出錯
解決：致電ISP詢問，刪除所有網路元件重新裝設網路。
Error 734
問題：PPP連接控制協議中止
原因：ADSL ISP伺服器故障，非正常關機造成網路協議出錯
解決：致電ISP詢問，刪除所有網路元件重新裝設網路。
Error 738
問題：伺服器不能分配IP地址
原因：ADSL ISP伺服器故障，ADSL用戶太多超過ISP所能提供的IP地址
解決：致電ISP詢問
Error 797
問題：ADSL MODEM連接設備沒有找到
原因：ADSL MODEM電源沒有打開，網卡和ADSL MODEM的連接線出現問題，軟體裝設以後相應的協議沒有正確邦定，在創立撥號連接時，建立了錯誤的空連接
解決：檢查電源，連接線；檢查網路屬性，RasPPPoE相關的協議是否正確的裝設並正確邦定（相關協議），檢查網卡是否出現?號或!號，把它設定為Enable;檢查撥號連接的屬性，是否連接的設備使用了一個“ISDN channel-Adapter Name(xx)” 的設備，該設備為一個空設備，如果使用了取消它，並選擇正確的PPPoE設備代替它，或者重新創立撥號連接。

        哈~~今天逛逛我常去的一個論壇，讓我看到了這個東西…有興趣的看看吧!
        現在隨著人們的安全意識加強，防火牆一般都被公司企業採用來保障網路的安全，一般的攻擊者在有防火牆的情況下，一般是很難入侵的。下面談談有防火牆環境下的攻擊和偵測。

　　一 防火牆基本原理
　　首先，我們需要了解一些基本的防火牆實現原理。防火牆目前主要分包過濾，和狀態偵測的包過濾，應用層代理防火牆。但是他們的基本實現都是類似的。
　　︱ ︱---路由器-----網卡︱防火牆︱網卡︱----------內部網路︱ ︱
　　防火牆一般有兩個以上的網路卡，一個連到外部（router)，另一個是連到內部網路。當打開主機網路轉發功能時，兩個網卡間的網路通訊能直接透過。當有防火牆時，他好比插在網卡之間，對所有的網路通訊進行控制。
　　說到訪問控制，這是防火牆的核心了：），防火牆主要透過一個訪問控制表來判斷的，他的形式一般是一連串的如下規則：
　　1 accept from+ 源地址，連接埠 to+ 目的地址，連接埠+ 采取的動作
　　2 deny ...........（deny就是拒絕。。)
　　3 nat ............(nat是地址轉換。後面說）
　　防火牆在網路層（包括以下的煉路層）接受到網路數據包後，就從上面的規則連表一條一條地匹配，如果符合就執行預先安排的動作了！如丟棄包。。。。
　　但是，不同的防火牆，在判斷攻擊行為時，有實現上的差別。下面結合實現原理說說可能的攻擊。
　　二 攻擊包過濾防火牆
　　包過濾防火牆是最簡單的一種了，它在網路層截穫網路數據包，根據防火牆的規則表，來偵測攻擊行為。他根據數據包的源IP地址；目的IP地址；TCP/UDP源連接埠；TCP/UDP目的連接埠來過濾！！很容易受到如下攻擊：
　　1 ip 欺騙攻擊：
　　這種攻擊，主要是修改數據包的源，目的地址和連接埠，模倣一些合法的數據包來騙過防火牆的偵測。如：外部攻擊者，將他的數據報源地址改為內部網路地址，防火牆看到是合法地址就放行了：）。可是，如果防火牆能結合接口，地址來匹配，這種攻擊就不能成功了：（
　　2 d.o.s拒絕服務攻擊
　　簡單的包過濾防火牆不能跟蹤 tcp的狀態，很容易受到拒絕服務攻擊，一旦防火牆受到d.o.s攻擊，他可能會忙於處理，而忘記了他自己的過濾功能。：）你就可以饒過了，不過這樣攻擊還很少的。！
　　3 分片攻擊
　　這種攻擊的原理是：在IP的分片包中，所有的分片包用一個分片偏移字段標志分片包的順序，但是，只有第一個分片包含有TCP連接埠號的資訊。當IP分片包透過分組過濾防火牆時，防火牆隻根據第一個分片包的Tcp資訊判斷是否允許透過，而其他後續的分片不作防火牆偵測，直接讓它們透過。
　　這樣，攻擊者就可以透過先發送第一個合法的IP分片，騙過防火牆的偵測，接著封裝了惡意數據的後續分片包就可以直接穿透防火牆，直接到達內部網路主機，從而威脅網路和主機的安全。
　　4 木馬攻擊
　　對於包過濾防火牆最有效的攻擊就是木馬了，一但你在內部網路裝設了木馬，防火牆基本上是無能為力的。
　　原因是：包過濾防火牆一般隻過濾低連接埠（1-1024），而高連接埠他不可能過濾的（因為，一些服務要用到高連接埠，因此防火牆不能關閉高連接埠的），所以很多的木馬都在高連接埠打開等待，如冰河，subseven等。。。
　　但是木馬攻擊的前提是必須先上傳，運行木馬，對於簡單的包過濾防火牆來說，是容易做的。這裡不寫這個了。大概就是利用內部網路主機開放的服務漏洞。
　　早期的防火牆都是這種簡單的包過濾型的，到現在已很少了，不過也有。現在的包過濾採用的是狀態偵測技術，下面談談狀態偵測的包過濾防火牆。
　　三 攻擊狀態偵測的包過濾
　　狀態偵測技術最早是checkpoint提出的，在國內的許多防火牆都聲稱實現了狀態偵測技術。
　　可是：）很多是沒有實現的。到底什麼是狀態偵測？
　　一句話，狀態偵測就是從tcp連接的建立到終止都跟蹤偵測的技術。
　　原先的包過濾，是拿一個一個單獨的數據包來匹配規則的。可是我們知道，同一個tcp連接，他的數據包是前後關聯的，先是syn包，-》數據包=》fin包。數據包的前後序列號是相關的。
　　如果割裂這些關係，單獨的過濾數據包，很容易被精心夠造的攻擊數據包欺騙！！！如nmap的攻擊掃描，就有利用syn包，fin包，reset包來探測防火牆後面的網路。！
　　相反，一個完全的狀態偵測防火牆，他在發起連接就判斷，如果符合規則，就在記憶體登記了這個連接的狀態資訊（地址，port，選項。。）,後續的屬於同一個連接的數據包，就不需要在偵測了。直接透過。而一些精心夠造的攻擊數據包由於沒有在記憶體登記相應的狀態資訊，都被丟棄了。這樣這些攻擊數據包，就不能饒過防火牆了。
　　說狀態偵測必須提到動態規則技術。在狀態偵測裏，採用動態規則技術，原先高連接埠的問題就可以解決了。實現原理是：平時，防火牆可以過濾內部網路的所有連接埠(1-65535),外部攻擊者難於發現入侵的切入點，可是為了不影響正常的服務，防火牆一但偵測到服務必須開放高連接埠時，如（ftp協議，irc等），防火牆在記憶體就可以動態地天加一條規則打開相關的高連接埠。等服務完成後，這條規則就又被防火牆刪除。這樣，既保障了安全，又不影響正常服務，速度也快。！
　　一般來說，完全實現了狀態偵測技術防火牆，智能性都比較高，一些掃描攻擊還能自動的反應，因此，攻擊者要很小心才不會被發現。
　　但是，也有不少的攻擊手段對付這種防火牆的。
　　1 協議隧道攻擊
　　協議隧道的攻擊思想類似與VPN的實現原理，攻擊者將一些惡意的攻擊數據包隱藏在一些協議分組的頭部，從而穿透防火牆系統對內部網路進行攻擊。
　　例如，許多簡單地允許ICMP回射請求、ICMP回射應答和UDP分組透過的防火牆就容易受到ICMP和UDP協議隧道的攻擊。Loki和lokid（攻擊的用戶端和服務端）是實施這種攻擊的有效的工具。在實際攻擊中，攻擊者首先必須設法在內部網路的一個系統上裝設上lokid服務端，而後攻擊者就可以透過loki用戶端將希望遠端執行的攻擊命令（對應IP分組）嵌入在ICMP或UDP包頭部，再發送給內部網路服務端lokid，由它執行其中的命令，並以同樣的方式返回結果。由
　　於許多防火牆允許ICMP和UDP分組自由出入，因此攻擊者的惡意數據就能附帶在正常的分組，繞過防火牆的認證，順利地到達攻擊目標主機下面的命令是用於啟動lokid伺服器程式：
　　lokid-p–I–vl
　　loki用戶程式則如下啟動：
　　loki–d172.29.11.191(攻擊目標主機)-p–I–v1–t3
　　這樣，lokid和loki就聯合提供了一個穿透防火牆系統訪問目標系統的一個後門。
　　2 利用FTP-pasv繞過防火牆認證的攻擊
　　FTP-pasv攻擊是針對防火牆實施入侵的重要手段之一。目前很多防火牆不能過濾這種攻擊手段。如CheckPoint的Firewall-1，在監視FTP伺服器發送給用戶端的包的過程中，它在每個包中尋找"227"這個字元串。如果發現這種包，將從中提取目標地址和連接埠，並對目標地址加以驗證，透過後，將允許建立到該地址的TCP連接。
　　攻擊者透過這個特性，可以設法連接受防火牆保護的伺服器和服務。詳細的描述可見：http://www.checkpoint.com/techsupport/alerts/pasvftp.html。
　　3 反彈木馬攻擊
　　反彈木馬是對付這種防火牆的最有效的方法。攻擊者在內部網路的反彈木馬定時地連接外部攻擊者控制的主機，由於連接是從內部發起的，防火牆（任何的防火牆）都認為是一個合法的連接，因此基本上防火牆的盲區就是這裡了。防火牆不能區分木馬的連接和合法的連接。
　　但是這種攻擊的侷限是：必須首先裝設這個木馬！！！所有的木馬的第一步都是關鍵！！！
　　四 攻擊代理
　　代理是運行在應用層的防火牆，他實質是啟動兩個連接，一個是用戶到代理，另一個是代理到目的伺服器。
　　實現上比較簡單，和前面的一樣也是根據規則過濾。由於運行在應用層速度比較慢/1
　　攻擊代理的方法很多。
　　這裡就以wingate為例，簡單說說了。（太累了）
　　WinGate是目前應用非常廣泛的一種Windows95/NT代理防火牆軟體，內部用戶可以透過一台裝設有WinGate的主機訪問外部網路，但是它也存在著幾個安全脆弱點。
　　駭客經常利用這些安全漏洞穫得WinGate的非授權Web、Socks和Telnet的訪問，從而偽裝成WinGate主機的身份對下一個攻擊目標發動攻擊。因此，這種攻擊非常難於被跟蹤和記錄。
　　導致WinGate安全漏洞的原因大多數是管理員沒有根據網路的實際情況對WinGate代理防火牆軟體進行合理的設定，隻是簡單地從缺省設定裝設完畢後就讓軟體運行，這就給攻擊者可乘之機。
　　1 非授權Web訪問
　　某些WinGate版本（如運行在NT系統下的2.1d版本）在誤配置情況下，允許外部主機完全匿名地訪問互聯網。因此，外部攻擊者就可以利用WinGate主機來對Web伺服器發動各種Web攻擊（ 如CGI的漏洞攻擊等），同時由於Web攻擊的所有報文都是從80號Tcp連接埠穿過的，因此，很難追蹤到攻擊者的來源。
　　偵測
　　偵測WinGate主機是否有這種安全漏洞的方法如下：
　　1) 以一個不會被過濾掉的連接（譬如說撥號連接）連接到互聯網上。
　　2) 把瀏覽器的代理伺服器地址指向待測試的WinGate主機。
　　如果瀏覽器能訪問到互聯網，則WinGate主機存在著非授權Web訪問漏洞。
　　2 非授權Socks訪問
　　在WinGate的缺省配置中，Socks代理（1080號Tcp連接埠）同樣是存在安全漏洞。與打開的Web代理（80號Tcp連接埠）一樣，外部攻擊者可以利用Socks代理訪問互聯網。
　　防範
　　要防止攻擊WinGate的這個安全脆弱點，管理員可以限制特定服務的捆綁。在多宿主（multi homed）系統上，執行以下步驟以限定如何提供代理服務。
　　1選擇Socks或WWWProxyServer屬性。
　　2選擇Bindings標簽。
　　3按下ConnectionsWillBeAcceptedOnTheFollowingInterfaceOnly按鈕，並指定本WinGate伺服器的內部接口。
　　非授權Telnet訪問
　　它是WinGate最具威脅的安全漏洞。透過連接到一個誤配置的WinGate伺服器的Telnet服務，攻擊者可以使用別人的主機隱藏自己的蹤跡，隨意地發動攻擊。
　　偵測
　　偵測WinGate主機是否有這種安全漏洞的方法如下：
　　1使用telnet嘗試連接到一台WinGate伺服器。
　　[root@happy/tmp]#telnet172.29.11.191
　　Trying172.29.11.191….
　　Connectedto172.29.11.191.
　　Escapecharacteris‘^]’.
　　Wingate>10.50.21.5
　　2如果接受到如上的響應文本，那就輸入待連接到的網站。
　　3如果看到了該新系統的登錄提示符，那麼該伺服器是脆弱的。
　　Connectedtohost10.50.21.5…Connected
　　SunOS5.6
　　Login:
　　對策
　　防止這種安全脆弱點的方法和防止非授權Socks訪問的方法類似。在WinGate中簡單地限制特定服務的捆綁就可以解決這個問題。一般來說，在多宿主（multihomed）系統管理員可以透過執行以下步驟來完成：
　　1選擇TelnetSever屬性。
　　2選擇Bindings標簽。
　　3按下ConnectionsWillBeAcceptedOnTheFollowingInterfaceOnly按鈕，並指定本WinGate伺服器的內部接口。
　　五 後話
　　有防火牆的攻擊不單是上面的一點，我有什麼寫的不對的，大家指正。
　　一直以來，駭客都在研究攻擊防火牆的技術和手段，攻擊的手法和技術越來越智能化和多樣化。但是就駭客攻擊防火牆的過程上看，大概可以分為三類攻擊。
　　第一類攻擊防火牆的方法是探測在目標網路上裝設的是何種防火牆系統並且找出此防火牆系統允許哪些服務。我們叫它為對防火牆的探測攻擊。
　　第二類攻擊防火牆的方法是採取地址欺騙、TCP序號攻擊等手法繞過防火牆的認證機制，從而 對防火牆和內部網路破壞。
　　第三類攻擊防火牆的方法是尋找、利用防火牆系統實現和設計上的安全漏洞，從而有針對性地發動攻擊。這種攻擊難度比較大，可是破壞性很大。

show run                                          執行組態檔
show start                                        開機組態檔
show controller                               顯示DCE or DTE的介面
show history                                    歷史記錄/幾個命令(預設)
show ip route                                  表示這個路由目連接什麼介面
show int (x)                                      單一路由器介面 (x)代表f0/0或是s0/0
show ip int brief                              所有路由器的介面
show session                                 顯示"暫時中斷"的連線
show version                                  這個是老師上次說的密碼回復，最下面會有一個xo2102那個
erase start                                       把舊的組態檔殺掉

由於目前的IPv4 32bit已面臨到不足的問題，
因而IPv6 128bits 的出現而解決IPv4的問題。

我們知道在目前常使用的IPv4中具有
Unicast、Broadcast、Multicast等位址型態。
但在IPv6中，Broadcast已不再使用了，而以Multicast取代。
另外IPv6還加入了一種Anycast的位址。
我們知道就目前的IPv4格式是這樣的
Network ID + Host ID
但是IPv6就大大的不同了
格式如下:
Global routing prefix + subnet ID + interface ID
Global routing prefix(全球路由首碼)
用來辨識特殊的位址，或是指定給一個site的位址範圍
長度不一定。
subnet ID
用來辨識site中的一個Link
長度不一定。
interface ID
用來辨識一個Link上的介面。
在該Link上必須要唯一的。(有點像IPv4的host id)
似乎是固定的，我猜的啦。
定址方式：
IPv6共有128 bit，整個位址被切為8個 16 bit
例如:
FE80:0000:0000:0000:0202:B3FF:FE1E:8329
為了便於讀寫，位址可以縮寫。0可以省略不寫。
FF80::202:B3FF:FE1E:8329
但要注意的是，雙冒號只能在每個位址中出現一次。
如:CAFF:CA01:0000:0056:0000:ABCD:EF12:1234
只能以下例幾種方式表示:
1.CAFF:CA01::56:0:ABCD:EF12:1234
2.CAFF:CA01:0:56::ABCD:EF12:1234
2.CAFF:CA01:0000:0056:0000:ABCD:EF12:1234
千萬不能CAFF:CA01::56::ABCD:EF12:1234
注意
0056可以寫成56(前面的00可以省略)
5600不可省略後面的00
另外一點，在IPv4與IPv6共存的環境中，另一種便利的位址表示
如192.168.0.2
可以寫成
1. 0:0:0:0:0:0:192.168.0.2
2. ::192.168.0.2
3. ::C0A8:2
或許您對IPv6還不是很了解，滿糢糊的！！
沒關係～期待下一篇吧！會讓你更了解的！
from師父

        NetShell 公用程式 (netsh) 是用來設定及監視 Windows 2000 指令執行介面的指令行。設定工具將互動殼層介面提供給使用者。前端是接受指令的指令殼層，而後端是與系統元件或公用程式對應的協助程式。協助程式是延伸 netsh 功能的「動態連結程式庫 (.dll)」檔案。協助程式提供部份服務、公用程式或通訊協定的設定及(或)監視支援，但協助程式也可用來延伸其他協助程式。指令殼層可將指令導向適當的協助程式，而協助程式會完成該指令。 
        如果有上過CCNA的同學應該都知道Router有interface、routing table
有routing protocol等等。
其實PC上也能做類似這樣的事。