从 Zone 文件理解 IP 反向解析续

Author： Hagen.GoO 转载请联系作者
MSN_contact： wantm009@hotmail.com
Keyword： BIND、PTR、反向解析、
Quote：


　　看过前篇《从 Zone 文件理解 IP 反向解析》的朋友一定注意到了，我提到了 JPNIC APNIC Verisign IANA 等负责域名维护的公司或组织，单单没有提及到万网，新网，中国频道等这些域名注册机构。所以在中国 IP 地址的反向解析应该是找 CNNIC 做，由于 CNNIC 把 IP 反向解析的配置已经落实到了每个省市的 ISP（电信、网通、铁通等），所以最终还是要找给你分配 IP 地址的 ISP。

　　在国内，IP 反向解析不太重用，所有向 ISP 申请解析要大费周章的。

　　如果 ISP 愿意，你可以让你的 IP 解析成任意域名，但必须遵守一个原则：比如你向 ISP 要求这样的 PTR 记录：

　　　　　　4.3.2.1.in-addr.arpa. PTR mx.domain.com.

　　此时，你必须保证在 domain.com 的 DNS 配置文件中有对应一条：

　　　　　　mx.domain.com. IN A 1.2.3.4

从 Zone 文件理解 IP 反向解析

Author： Hagen.GoO 转载请联系作者
MSN_contact： wantm009@hotmail.com
Keyword： BIND、PTR、反向解析、
Quote：


　　很多朋友还是问IP反向解析到底是谁来做的？哪里去注册申请等？本人也看了很多网上的资料，感觉有些表述不太好理解，现结合自己的了解，从 DNS Zone 文件入手，简单的叙述一下：

1.　反向解析在 DNS 记录中叫 PTR。一般的写法是先把目标IP地址倒写，并加上 .in-addr.arpa. 的特殊后缀。
　　比如 202.250.1.4 要写成 4.1.250.202，再加上那个特殊后缀，即常见写法是：

　　　　　　4.1.250.202.in-addr.arpa. PTR xxx.domain.com.


2.　在 root.zone 文件中不仅记录了GTLD（比如 .com .net）和 ccTLD（比如 .jp .tw）等域名的NS和NS的A记录，同时也包含了 .ARPA 等特殊域名的NS资源，下面是我从 root.zone 中截取的一段记录，以助理解。

　　　　　　ARPA. NS A.ROOT-SERVERS.NET.
　　　　　　A.ROOT-SERVERS.NET. A 198.41.0.4
　　　　　　……
　　　　　　COM. NS A.GTLD-SERVERS.NET.
　　　　　　A.GTLD-SERVERS.NET. A 192.5.6.30
　　　　　　……


3.　在 arpa.zone 文件中，同样记录了一些特殊的二级后缀的域名，其中 4.1.250.202.in-addr.arpa. 相关的是：

　　　　　　IN-ADDR.ARPA. NS A.ROOT-SERVERS.NET.
　　　　　　……


4.　同理在 inaddr.zone 中包含 4.1.250.202.in-addr.arpa. 相关的记录是：

　　　　　　202.in-addr.arpa. NS NS1.APNIC.NET.
　　　　　　……


5.　在 APNIC 的 202.in-addr.arpa.zone 中包含了：

　　　　　　250.202.in-addr.arpa. IN NS a.dns.jp.
　　　　　　……


6.　在 JPNIC 的 250.202.in-addr.arpa.zone 中记录了：

　　　　　　1.250.202.in-addr.arpa. IN NS ktns1.ktokai-u.ac.jp.
　　　　　　……


7.　在 ktns1.ktokai-u.ac.jp 1.250.202.in-addr.arpa.zone 上就配置了我们所要求的记录：

　　　　　　4.1.250.202.in-addr.arpa. PTR proxy.ktokai-u.ac.jp.


所以：一个典型的 DNS PTR 查询过程是：

1 “递归DNS” 发送 4.1.250.202.in-addr.arpa 的 PTR 查询请求到 198.41.0.4 (a.root-servers.net.)

2 198.41.0.4 (a.root-servers.net.) 返回无目标记录，由于 root.zone、arpa.zone、inaddr.zone 同在 ROOT Server 中，所以他直接返回 202.in-addr-arpa.的 NS 是 NS1.APNIC.NET.

3 由于NS1.APNIC.NET. 在这个递归中是 NO-GLUE 的NS，所以不能直接得到其 IP 地址（ A 记录），因此“递归DNS” 会重开一个查询，从 A.GTLD-SERVERS.net. 得到 NS1.APNIC.NET 的 A 记录是 202.12.29.25 。

4 “递归DNS” 发送 4.1.250.202.in-addr.arpa 的 PTR 查询到 202.12.29.25 (NS1.APNIC.NET.)

5 202.12.29.25 (NS1.APNIC.NET.) 返回无目标记录，但他知道 250.202.in-addr.arpa. 的 NS 是 a.dns.jp.

6 同理3，“递归DNS” 会重开一个查询，从 a.root-servers.net. 得到 a.dns.jp. 的 A 记录 203.119.1.1

7 “递归DNS” 发送 4.1.250.202.in-addr.arpa 的 PTR 查询到 203.119.1.1 (a.dns.jp.)

8 203.119.1.1 (a.dns.jp.) 返回无目标记录，但他知道 1.250.202.in-addr.arpa. 的 NS 是 ktns1.ktokai-u.ac.jp.

9 同理3，“递归DNS” 会重开一个查询，从 a.dns.jp. 得到 ktns1.ktokai-u.ac.jp. 的 A 记录 202.250.0.10

10 “递归DNS” 发送 4.1.250.202.in-addr.arpa 的 PTR 查询到 202.250.0.10 (ktns1.ktokai-u.ac.jp.)

11 202.250.0.10 (ktns1.ktokai-u.ac.jp.) 返回 4.1.250.202.in-addr.arpa. PTR proxy.ktokai-u.ac.jp.

12 “递归DNS” 把得到的这个结果发回给查询客户，本次查询结束。


注：
A 为了行文方便，有多个 NS (Name Server) 的时候，只写出了一个。
B 实例中提到的“递归DNS”，一般指的就是 ISP 的 DNS 转发服务器。
C 在 DNS 配置文件中所有的域名都是 . 结尾的，但在平常在应用中域名末尾是省略这个点号的，所以叙文的时候，可能有疏漏。

行文仓促，难免错误，请留言或者EMail赐教。

Windows 集成的防火墙功能速评

Author： Hagen.GoO 转载请联系作者
MSN_contact： wantm009@hotmail.com
Keyword： Firewall、Windows、Security、防火墙
Quote：


1、 Windows 防火墙
操作系统： WindowsXP.SP2、Windows2003
易用性： 设置方便，面向普通用户的
特点说明： 这是 XP SP2 和 2003 Server 上才有的功能，只要简单的勾选，就能启用。可以针对应用程序和端口进行规则设置
应用方法： 控制面板－Windows防火墙

2、 TCP/IP 筛选
操作系统： Windows2000、WindowsXP、Windows.SP2、Windows2003
易用性： 使用不方便，每次修改都要重启计算机
特点说明： 只能适合开启少量端口的计算机，设置中只能单个单个端口加入允许设置，不能针对应用程序设置
应用方法： TCP/IP的高级属性－之TCP/IP筛选属性

3、 组策略之IP安全策略
操作系统： Windows2000、WindowsXP、Windows.SP2、Windows2003
易用性： 使用方便，设置比较简单，用户需要有组策略设置的经验
特点说明： 一个“筛选器”应对一个“操作”，可以选用 Kerberos、证书、字符口令等进行IP身份验证
应用方法： 管理工具－本地安全策略

4、 路由和远程访问
操作系统： 安装双网卡的 Windows 2000/2003 Server
易用性： 使用方便，设置比较简单，需要用户有较深入的TCP/IP知识
特点说明： 这是全功能的IP防火墙，和普通的防火墙操作类似，但不能针对应用程序进行规则设置
应用方法： Server 版操作系统，管理工具－路由和远程访问

某 ASP 网上商城模版的 COOKIE 漏洞

Author： Hagen.GoO 转载请联系作者
MSN_contact： wantm009@hotmail.com
Keyword： 网上商城、ASP、源码、Cookie
Quote：


　　最近在给朋友网站做安检的时候，发现他们采用的某套网上商城模版，在用户中心版块有 Cookie 校验不严密的问题。具体模版名我不是非常清楚，但在 ASP (非 ASP.net )的网上商城网站中被引用比较多。贴上该模版的原始截图。

　　比如，我们抓到如下一个 Cookie

bookshop
username=******
www.******.com/
1536
62504960
29839240
1117435328
29839107
*

　　由于 Cookie 没有加密，所以只要修改其中的 Username 字段，刷新以后就能非法切换到另外一个已经存在的用户。不停的修改这个 Cookie 中的 Username 字段，就可以遍历整个网站上的注册用户。

　　用“asp?action=userziliao”做为关键词，在 Google 中搜出的网站，有很多都有类似问题。建议程序员加密 Cookie，或者单使用服务端 Session 。

开启 Windows 2000 命令行的路径补全功能

关键词：Windows 2000、命令行、Tab

进入注册表 HKEY_CURRENT_USER\Software\Microsoft\Command Processor，将 CompletionChar 的键值设置为十六进制的 9

定购的 DELL 电脑收到了

Author： Hagen.GoO 转载请联系作者
MSN_contact： wantm009@hotmail.com
Keyword： DELL电脑、保修、销售
Quote：


　　给邻居定购的 DELL 电脑已经到货了。嘉里大通的快递服务还行，可以把电脑送到嘉兴的农村。

　　价格4800元，基本配置是：

Dimension(TM) C521 N系列 AMD Athlon(TM) 64处理器 3200+
NForce 430 (C51-PVG/MCP51) 芯片组
512MB (1x512) NECC DDR2 533MHz SDRAM 内存
集成NVIDIA(R) GeForce(R) 6150 LE
19" 液晶显示器(仅支持模拟信号)
80 GB SATA II 3.0 Gb/s
3年下一工作日上门服务

　　以前买 DELL 电脑一直没有仔细询问过保修期限的细节问题，这次特地询问了销售代表，被告知 DELL 的保修期是从发货之日起算的。换句话说：DELL 电脑的每个用户都将因为快递需时而损失掉 5-10 天的保修时间。对于普通用户来说，在最末 5-10 天内出现硬件问题的概念很小，但作为世界销量第一第二的美国戴尔公司，这可是一笔不小的节省。况且这样苛刻，近乎不通情理的保修解释，确实有失大家风范。

　　经销过计算机硬件的朋友都知道，一般厂家给代理商的保修都是在最终用户的保修期上外加不同时长的宽限期，比如某品牌主板，终端用户的保修时间是12个月，而提供给代理的保修时间是14个月。一贯采取直销模式的 DELL，在物流上的时间耗损是不可避免的，但对于终端用户来说也是非常不公平的！嘉里大通是 DELL 在国内的物流伙伴，其网站上，可以确切查询到每台 DELL 电脑的签收时间，DELL 公司为何不使用签收时间做为 DELL 电脑的保修起算日期？

　　最近有媒体报道新掌权的迈克戴尔先生，因公司2006年度业绩不佳，准备裁掉部分高管，并不发年终奖金。傲慢的 DELL 再在顽梗，恐怕2007年的红包都会省了！

　　再有一点： DELL 销售代表发送给我的报价单/订单，（PDF格式） 是没有加密的。看来北美 VeriSign、GeoTrust、Thawte 这些卖数字证书的公司的销售人员也不应该发年终奖金。倘大的一个 DELL 公司，给客户发出的合同性质的单证竟然都是可直接修改的，真是令人可发一笑！

　　附上用报价单号查询 DELL 电脑递送情况的方法：

1 http://support.sg.dell.com/apordstat_cn/index_1.asp?c=cn&s=bsd&~ck=pn 在名为“戴尔报价单编号”的空格后面输入报价单号 CNSO 后面的7位数字，即可查询生产情况。

2 http://www.kerryeas.com/gb/client_enquiry_2c.jsp 输入完整的 CNSO+7位数字，可以查询到大通的递送情况。

Loves7 首页木马发现图解

Author： Hagen.GoO 转载请联系作者
MSN_contact： wantm009@hotmail.com
Keyword： 病毒、木马、黑客
Quote：


　　有网友在 Loves7 的BBS上反映该站首页被黑植入了木马。浏览首页时，卡巴斯基报 Trojan-Downloader.VBS 毒。

　　我不是管理员，所以不能简单的重传网页来解决此网页木马。因此使用 Sniffer 的工具（Wireshark/commview），来逐步定位被修改的网页。看下面附图说明：

　　说明：

1 http://www.loves7.com/friend 的ASP页面里面有SQL注入漏洞，黑客就是从此突破的。

2 其木马服务端123.exe文件是加了EXPRESSOR壳的，我粗略测试了一下，常用的杀毒软件中只有 AntiVir BitDefender VirusBuster　可以查处。Avast AVG Dr.Web F-Prot F-Secure Kaspersky NOD32 Norman Symantec McAfee 等，都无法脱壳查杀。http://www.cgsoftlabs.ro/ 这是EXPRESSOR的官方。

3 之所以楼主的卡巴斯基有报病毒，我猜测是楼主开启卡巴斯基6的主动防御或Internet防御。因此卡巴斯基截获了wyan.htm 中的恶意js脚本，而非木马服务端本身。经过测试，能报 wyan.htm 文件中包含有恶意脚本的常用杀毒软件只有有：ClamAV F-Secure Kaspersky。

Video 2 MP3

关键词：Audio、MP3、Video、视频、音频、转换、

SC Audio Extractor
http://www.softwareclub.ws/a_extractor.html
这是免费软件,支持多种音频格式输出。

Video mp3 Extractor 1.6
http://www.geovid.com/video_mp3_extractor/
这是免费软件：支持AVI, ASF, WMV到MP3的剥离。

Top Video Sound Extractor 1.0
http://www.dptop.com/app/videosound/videosound.htm
非免费软件，支持的视频格式有 AVI(DivX, XviD, MPEG4), MPEG I and II, RealMedia(.RM,.RMVB), WMV, ASF, VCD(.DAT), DVD(.VOB), QuickTime(.MOV)

Easy Video to Audio Converter 1.6.4
http://www.aone-video.com/video2audio.htm
非免费软件，支持AVI(DivX, XviD, MPEG4...), MPEG I/II, RealMedia(.RM,.RMVB), WMV, ASF, VCD(.DAT), DVD(.VOB), QuickTime(.MOV)到MP3, WAV, WMA and OGG的转换

Video To MP3/WAVE Extract 1.12
http://www.8864soft.com/avi_dvd_vcd_mpeg_rm_to_mp3/index.html
非免费软件，支持WMV DivX AVI, MPEG1 (layer1, layer2, and layer3), MPEG2, MPEG4 RM RAM and RMVB 等格式。

AVI MPEG WMV RM to MP3 Converter 1.6.8
http://www.alloksoft.com/rm2mp3.htm
非免费软件，支持AVI MPEG WMV ASF RM MOV到MP3 WAV WMA

Powerpoint 2 Video

关键词：DVD、VCD、视频、格式、转换、Powerpoint

1 PowerPoint to Video http://www.ppt2video.com/powerpoint-to-video.html
2 PowerPoint to DVD http://www.ppt2video.com/powerpoint-to-dvd.html
3 Wondershare PPT2DVD http://www.ppt-to-dvd.com/ppt2dvd/overview.html

也可以使用视频捕捉的方法：
My Screen Recorder
Techsmith SnagIt Studio + TechSmith Camtasia Studio
HyperCam
Macromedia Captivate

把 DVD 转换成 VCD 格式

关键词：DVD、VCD、视频、格式、转换、

1 Xilisoft DVD Ripper、Cucusoft DVD Ripper 或者其他DVD剥离软件；
2 Xilisoft Video Converter 、WinAVI Video Converter、Advanced X Video Converter 等类似的视频转换软件。

IE 浏览器无法打开带脚本网页

关键词：脚本、IE、浏览器

regsvr32 jscript.dll
regsvr32 vbscript.dll

file:// 协议打开系统资源管理器

关键词：资源管理、Explorer、

我的电脑 file:///::{20D04FE0-3AEA-1069-A2D8-08002B30309D}
网上邻居 file:///::{208D2C60-3AEA-1069-A2D7-08002B30309D}
回收站　 file:///::{645FF040-5081-101B-9F08-00AA002F954E}
控制面板 file:///::{20D04FE0-3AEA-1069-A2D8-08002B30309D}\::{21EC2020-3AEA-1069-A2DD-08002B30309D}
打印机　 file:///::{20D04FE0-3AEA-1069-A2D8-08002B30309D}\::{2227A280-3AEA-1069-A2DE-08002B30309D}

恢复 IE 浏览器的默认选项

关键词：IE、浏览器、

RUNDLL32.EXE IEdkcs32.dll,Clear (注意 Clear 的首字母大写)

WindowsNT 无 GUI 启动

关键词：GUI、启动、无图像、无图象、

编辑 boot.ini 添加参数 /noguiboot，
例： multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows 2000 Professional" /fastdetect /noguiboot

Windows 锁定命令

关键词：锁定、Ctrl+Alt+Del

Rundll32.exe user32.dll,LockWorkStation

一种感情叫“记得”

　　那是网易上一篇关于金话筒奖得主邢质斌的八卦新闻，下图是该新闻评论的截图。当然截图里的评论已经让网易管理员删除了。

　　……一切尽在不言中……，……。……坦克和枪口下幸存的，以及受此影响的，都记得曾经那位漂亮的、真实的、且有思想的主持人！……

QQGame.exe 报病毒后

Author： Hagen.GoO 转载请联系作者
MSN_contact： wantm009@hotmail.com
Keyword： 病毒、防病毒、杀毒、腾讯、QQ、马化腾、Kaspersky、卡巴斯基
Quote：


　　腾讯公司最新发布的 QQ2006 正式版，其中所包含的 QQGame.exe （QQGame.exe MD5为 e17771b553331dd6b521191fa70c0da5 ）被俄罗斯卡巴斯基反病毒软件列入 2007-1-27 的病毒库，罪名是 Trojan-Downloader.Win32.Agent.bff 。

　　腾讯官方于 2007-01-29 09:15:40 只在其BBS上发布了一个简单公告：http://bbs.qq.com/cgi-bin/bbs/show/content?groupid=131:10329&st=&sc=&messageid=286256&gpc=4&ggpc=0 ，声称：“不会带有任何病毒或恶意代码”。随后，卡巴斯基公司也解除了对 QQGame.exe 的报毒。

　　如果只是卡巴斯基一家报毒，那可以说是：卡巴斯基太敏感了，误报了。但在事出半月有余的二月中旬，依然有 ArcaVir、AVG Antivirus、VBA32、eSafe、Ikarus、TheHacker 等六家反病毒/反黑客软件厂商把 QQGame.exe 列为病毒。本人不是程序员，更没有对 QQGame.exe 脱壳和反编译，但作为普通的 QQ 用户还是想问腾讯公司：为什么要在编程中使用这种 Trojan-Downloader 手段？如果该文件是使用常规方式实现的，那腾讯公司为何不接洽上述几家公司，寻求报毒解除？难道这就是腾讯官方声称的：“为用户提供更优质的服务”？

　　如下图片，立此存照！