MRTG（Multi Router Traffic Grapher）是一个跨平台的监控网络链路流量负载的工具软件，目前它可以运行在大多数Unix系统和Windows NT之上。它通过snmp协议从设备得到设备的流量信息，并将流量负载以包含PNG格式的图形的HTML 文档方式显示给用户，以非常直观的形式显示流量负载。

或许你还不知道，MRTG还是一个有效的入侵检测工具。大家都知道，入侵者扫描与破坏后都能生成一些异常的网络流量，而人们在一般情况下是意识不到的。但是MRTG却能通过图形化的形式给管理员提供入侵的信息。并可以查出数周之前的入侵信息，以备管理员参考。

一，攻击行为对服务器造成的信息

1，攻击者使用CGI漏洞扫描器对潜在的CGI漏洞脚本进行扫描时，HTTP 404 Not Found errors的记录会增长。

2，攻击者尝试暴力破解服务器上的帐户，HTTP 401 Authorization Required errors 的记录会增长。

3，一种新的蠕虫出现，某一个特定的协议的流量会增长。

4，蠕虫通过傀儡主机，攻击其他的服务器，出外的流量增加，并增大CPU的负荷。

5，入侵者尝试SQL injection攻击，HTTP 500 Server Errors记录会增长。

6，垃圾邮件发送者在网络上寻找中继SMTP服务器来发送垃圾邮件，会造成SMTP的和DNS lookups流量大增，同时造成CPU负荷增大。

7，攻击者进行DDOS攻击，会造成ICMP流量，TCP连接，虚假的IP，多播广播流量大增。造成浪费大量的带宽。

看完上面的，我们可以总结出，攻击者要入侵必须会影响到服务器的这些资源：: CPU, RAM,磁盘空间，网络连接和带宽。入侵者还有可能对服务器建立进程后门，开放端口，他们还对他们的入侵行为进行伪装掩盖，避免遭到入侵检测系统的监视。

二，攻击者使用以下的方法避免被检测到：

1，探测扫描很长时间后，才进行真正的入侵进攻。

2，从多个主机进行攻击，避免单一的主机记录。

3，尽量避免入侵造成的CPU, RAM和驱动器的负荷。

4，利用管理员无人职守时入侵，在周末或者节假日发起攻击。

三，对于IIS 6，我们需要监视的是

1，网络流量，包括带宽，数据包，连接的数量等。

2，网络协议的异常错误。

3，网站的内外流量，包括用户的权限设置，外部请求的错误流量等。

4，线程和进程。

四，在Windows 2003下安装MRTG

在使用MRTG之前，你需要在你的服务器里安装SNMP 服务。具体步骤如下：从控制面板中选择添加/删除程序，点击添加和删除windows组件。管理和监视工具中的详细资料里就可以找到简单网络管理协议，即可安装。

安装成功后，你需要立刻安全配置一下，我们大家都知道，SNMP在网络上决不是一个安全的协议，你可以通过http://support.microsoft.com/?kbid=324261 这个连接来具体了解。但是我们只是在本地使用SNMP，但是还是建议你通过防火墙屏蔽SNMP的161与162端口和使用IPSec。并且要配置为obscure community string。在管理工具中，在服务中选择安全，设为只读访问。尽管community string安全问题不多，但是你还是要避免使用community string为只读访问。

MRTG是一个用Perl编译的C程序。你还要安装ActivePerl来解决支持脚本的问题。下载最新的MRTG。可以到http://people.ee.ethz.ch/~oetiker/webtools/mrtg/pub/下载，
注意要选择.zip的文件下载。这篇文章所使用的版本请到http://securityfocus.com/microsoft/images/burnett_MRTG_files.zip下载。
把MRTG解压到C:\Program Files\MRTG目录下。

在你的Inetpub目录下为MRTG建立一个子目录。为了安全，不要建立在wwwroot目录下。然后，使用IIS建立一个MRTG的新站点。如果可能的话，最好能为MRTG站点配置一个主机头和一个独立的IP。也可以在一个已存在的目录下为MRTG站点建立一个合法的虚拟目录，也能达到同样的目的。

注意，在新建立的MRTG站点不要运行可执行的脚本，只提供只读访问。在NTFS下，要注意对用户的权限的设置。如果可能的话，最好对指定MRTG站点的IP来选择特定的主机。

现在，就可以把配置文件放到C:\Program Files\MRTG\Bin下了，并把index.html 文件拷贝到你的\Inetpub\MRTG 目录下。

下面，我们来测试一下，在命令提示符下输入：

C:\ProgramFiles\MRTG>perl mrtg mrtg.cfg

如果一些正常的话，就会在在你的MRTG站点就有了一些配置文件。如果安装失败，你可以回顾一下你安装的步骤，是否有错误，并参考MRTG 的参考手册。

五，具体配置SNMP计数器

图1为我所配置的MRTG的以及所获得流量的截图：

尽管微软提供了SNMP的计数器，但是我发现它对一些应用程序支持有些问题，然而，MRTG却能从很多的应用程序中得到消息。但是我们通过Windows Management Instrumentation (WMI) 也能得到包括所有的计数器的性能信息。同SNMP不同的是，微软在WMI下了很大的时间和金钱。比如：我想得到关于线程和进程的信息，我可以使用以下的脚本轻易实现：

Set oWService=GetObject("winmgmts:\\localhost\root\cimv2")
Set colItems=oWService.ExecQuery("SELECT * FROM Win32_PerfFormattedData_PerfOS_System",,48)

For Each Item in colItems
Param1=Param1 + Item.Processes
Param2=Param2 + Item.Threads
Uptime=Item.SystemUptime
Next

WScript.Echo Param1
WScript.Echo Param2
WScript.Echo Uptime & " seconds"
WScript.Echo "LocalHost"

Another problem I had was getting detailed or custom web statistics through either SNMP or WMI. To solve that, I used Microsoft's LogParser tool to run custom queries from a simple batch file:

@for /f "tokens=1,2,3,4* delims=/ " %%i in ('date /t') do @set year=%%l&& @set month=%%j&& @set day=%%k
@set logfile=c:\windows\system32\LogFiles\%1\ex%YEAR:~2,2%%month%%day%.log
@If Exist %logfile% (
@logparser "SELECT COUNT(*) FROM %logfile% WHERE (sc-status>= 400AND sc-status<500)
AND TO_TIMESTAMP(date, time) > SUB(SYSTEM_TIMESTAMP(), TO_TIMESTAMP('5','m'))" -q
@logparser "SELECT COUNT(*) FROM %logfile% WHERE (sc-status>= 500AND sc-status<600)
AND TO_TIMESTAMP(date, time) > SUB(SYSTEM_TIMESTAMP(), TO_TIMESTAMP('5','m'))" -q
) ELSE (
@Echo %logfile%
@Echo 0
)
@Echo Unknown
@Echo %1

因为微软的日志记录工具也非常强大，和MRTG的计数器配合使用，在加上免费的入侵检测系统Snort，效果会更好。

六，最后

在你自定义的完你的计数器完成之后，通过图行化的状况就可以轻易的找出入侵者。可以在网站http：//snmpboy.msft.net看到在Windows 2003 server中的snmp更多的信息。

Microsoft Windows Server 2003 Service Pack1(32位)

      此安装包旨在便于 IT 专业人员和管理员在网络中的多台计算机上进行下载和安装。如果您只是更新一台服务器，请访问 Windows Update。

快速信息

文 件 名 ： WindowsServer2003-KB889101-SP1-x86-CHS.exe

下载大小： 331254 KB

发布日期： 2005-4-26

版      本： SP1

语      言：简体中文

下载地址：http://www.microsoft.com/downloads/info.aspx?na=90&p=&SrcDisplayLang=zh-cn&SrcCategoryId=&SrcFamilyId=22cfc239-337c-4d81-8354-72593b1c1f43&genscs=&u=http://download.microsoft.com/download/9/d/e/9deaa3de-90d4-4b91-8f4f-79ecf404cca5/WindowsServer2003-KB889101-SP1-x86-CHS.exe

概      述：安装 Microsoft Windows Server 2003 Service Pack 1 (SP1) 可以有助于保护您的服务器的安全并更好地防御黑客的攻击。Windows Server 2003 SP1 通过提供诸如安全配置向导之类的新安全工具增强了安全基础结构，它有助于确保服务器的基于角色的操作的安全、通过数据执行保护提高纵深防御能力并通过后安装安全更新向导提供安全可靠的第一次引导方案。Windows Server 2003 SP1 协助 IT 专业人员确保其服务器基础结构的安全并为 Windows Server 2003 用户提供增强的可管理性和控制。

最新资料，好东西呀。

SQL服务器是怎样储存密码的？
SQL服务器使用了一个没有公开的函数pwdencrypt()对用户密码产生一个hash。通过研究我们可以发现这个hash储存在mater数据库的sysxlogins表里面。这个可能已经是众所周知的事情了。
附一篇E文资料和破解代码。

下载请去MY505论坛

转载：

文章出自《幻影旅团》

作者：LONG

首先说说WSUS的下载，可以在Microsoft的<http://www.microsoft.com/windowsser...al/default.mspx>申请WSUS的OEP，但是申请后Microsoft没有直接提供下载链接，需要使用IE下载，慢得没法忍。于是我把WSUS的下载地址挖出来了<http://download.microsoft.com/downl...1/WSUSSetup.exe>，大家可以直接下载。

安装WSUS需要IIS和BITS 2.0，如果使用SQL Server来保存数据库，也请先准备好。WSUS的官方文档上说，暂时只支持英语，日语和德语的OEP，并只能在英语，日语和德语的操作系统上安装WSUS OEP。不过实践证明，在中文版的Windows 2003上是可以顺利安装的，前提是你要有中文版的BITS 2.0。Windows 2003的BITS 2.0可以在这里下载<http://www.microsoft.com/downloads/...80-bf9b83261372>。

依次安装好IIS和BITS 2.0后，便可进行WSUS的安装，安装是傻瓜式向导，没有什么特别要说的。如果你没有SQL Server，WSUS会自动给你安装MSDE。

客户端的设置可以在组策略(gpedit.msc)中的计算机配置\管理模版\Windows Update\指定Intranet Microsoft更新服务位置中进行：

安装好后，进入管理界面，可以看到WSUS的管理主界面：

我们先来看看WSUS对于更新同步的设置选项：

1. 取消了原来对指定时间更新的设置，现在只能选择手动更新，或每日指定时间更新。

2. 产品分类更加详细，目前支持：Windows 2000, Windows 2003, Windows XP, Office XP, Office 2003, SQL Server, Exchange。日后还会增加更多的产品。

3. 更新分类更加细致，包括了：Feature Pack, Service Pack, 安全更新, 更新程序, 更新程序集, 工具, 关键更新程序, 开发套件, 连接器, 驱动程序, 指导等。

4. 允许在没有批准部署前，只将补丁信息下回服务器。还可以下载快速安装文件。

5. 提供了更多的语言支持。

6. 同步的时候有了进度显示，SUS同步的时候，都不知道它究竟有没有干活。

其他部分与SUS基本相同，不再繁述。

看完了更新同步的设置，我们再来看看WSUS的补丁管理功能。我们发现WSUS将整个的补丁管理分为了3大部分：更新管理，报告管理，计算机管理

首先我们看看更新管理方面的改进：
1. 左侧多了一个更新的搜索，方便管理员对特定更新的查询。
2. 对于每个更新，在右下方由更加详细的说明，并提供打印选项。
3. 允许检测客户端是否已经部署该更新。
4. 可以了解客户端部署某一项补丁的状态及其统计。

我们再来看看WSUS强化了的报告管理：
 
1. 更新状态管理：可以了解到每个更新的部署情况及其统计。
 
2. 计算机的状态：了解每台计算机上更新的部署情况。

3. 同步结果：过去更新同步的详细信息。

4. 设置摘要：WSUS的系统设置信息。

WSUS还引入了计算机组的管理。对于不同组的计算机，我们可以采取不同的部署策略，这将极大地方便管理员对企业内复杂的环境进行管理。

总体来说，WSUS无论从功能的角度，还是从管理的角度，都是SUS不可比拟的。WSUS是Microsoft补丁管理策略的重要构件，对于企业的补丁管理起到了巨大的作用。故强烈推荐所有SUS用户迁移到WSUS。

准备

1. Windows XP 或 Windows XP SP1集成安装 CD 或 ISO. (pro/home)(RTL或所谓的VOL版本均可)
2. Microsoft.Windows.XP.SP2.RC1.CHS.SSiTE 中解压的 xpsp2_2096_chs_x86fre_RC1.iso
3. ISO刻录工具(nero,ezcd等)或ISO制作工具(winiso,ultraiso等)

注意1: 由于SP集成过程需要对单独的源文件进行覆盖操作, 所以对硬盘空间的需求几乎等同于准备项1中的XP安装的硬盘空间需求.
注意2: 使用SP2集成安装, 将无法单独卸载SP2.

本地镜像制作

1. 进入符合安装空间需求的本地硬盘分区或者网络目录, 假设盘符为E: (如果是网络目录请相应修改)
2. 建立目录 E:\wxpsp2_int\original
3. 放入你的XP CD, 假设你的XPCD驱动器盘符为X:
4. 使用命令 xcopy X:\ E:\wxpsp2_int\original /E 复制源CD内容至E:\wxpsp2_int\original
5. 取出XPCD, 加载XP2镜像xpsp2_2096_chs_x86fre_RC1.iso至虚拟光驱(或刻盘后放入SP2 CD)(或者解压iso 至单独的任意的目录, 假设解压目录为 E:\wxpsp2_int\sp2), 假设虚拟光驱盘符为Y:
6. 运行虚拟光驱的 /update 下的 update.exe 进行集成(如果是解压方式, 运行E:\wxpsp2_int\sp2\update下的 update.exe), 命令方式: Y:\update\update.exe /S:E:\wxpsp2_int\original (解压方式: E:\wxpsp2_int\sp2\update\update.exe /S:E:\wxpsp2_int\original)
7. 安装向导将显示集成进度直至结束.

8. 集成结束, E:\wxpsp2_int\original 下已经是集成了SP2的完整 Windows XP安装包:

注意：如果是网络部署安装， 到这一步已经结束了制作过程。
9. 在你当前的Windows目录下可以找到一个spslpsrm.log文件, 里面记录了集成的过程：

［spslpsrm.log］
0.016: ================================================================================
0.016: 2004/04/04 04:24:26.156 (local)
0.016: L:\update\update.exe (version 5.5.5.0)
0.016: Slipstream mode
0.016: Service Pack 是用以下命令行启动的: /s:F:\wxpsp2_int\original
2.547: CreateSlipstream: InfProductBuildType=ServicePackFiles.BuildType.Sel.Files
3.219: 正在复制文件 1394BUS.SY_
3.266: 正在复制文件 6TO4SVC.DL_
3.422: 正在复制文件 ACCWIZ.EX_
..................
144.469: 正在复制文件 SECUPD.SIG
144.657: 正在复制文件 SP2.CAT
144.719: 正在复制文件 SPNOTES.HTM
201.844: Message displayed to the user: 集成安装已成功结束。
201.844: User Input: OK
201.844: 集成安装已成功结束。

10. 用ISO工具打开源WXP的ISO镜像， 提取引导文件。（或者直接从WXP源CD中提取）(本图使用ultraISO)

11. 在ISO工具中新建ISO, 并加载刚刚提取的引导文件， 修改CD卷标。

12. 设置ISO属性。

13. 将E:\wxpsp2_int\original下的所有文件及目录添加至ISO中， 保存ISO。我制作的大小为：699 MB (733,573,120 bytes)

14. 刻录ISO镜像，具体操作就不是本教程的内容了。:)

使用Remote Installation Services (RIS)安装

RIS 安装参见： http://go.microsoft.com/fwlink/?LinkId=3649

RIS安装支持两种镜像类型：
- CD-based images (RISetup) : 这种类型类是直接从XPCD中制作（如上），只是源文件在RIS服务器上。
- Remote Installation Preparation (RIPrep) images : 这种类型允许管理员配置网络上的客户端计算机安装的选项。

制作RISetup镜像

1. 在服务器上安装RIS.
2. 按照“本地镜像制作” 制作SP2集成ISO(只须制作到集成结束， ISO生成不必须)。
3. 在服务器上运行： risetup.exe -add
4. 出现Remote Installation Services设置向导，向导提示输入安装源位置，输入之前制作的SP2集成所在的网络目录(UNC路径): \\machine_x\wxpsp2_int\original
5. 向导开始设置， 并显示进度。
6. 设置完成。你可以用添加的这个镜像进行RIS安装。

制作RIPrep镜像

1. 用RIS安装之前制作的RISetup镜像到本地的安装点计算机上
2. 在安装好的系统上添加你想包含的附加程序和设置
3. 在服务器上运行 RIPrep 将本地镜像复制回RIS服务器(RIPrep 使用参见： http://go.microsoft.com/fwlink/?LinkId=3649 )
4. 完成。你可以用这个新的镜像进行RIS安装。

附： update 命令行参考

一般选项
/help 或 /? 显示帮助信息

安装模式选项
/quiet 或 /q 安静模式（没有用户交互操作或显示）
/passive 或 /u 无人参与模式（仅显示进度栏）
/uninstall 卸载此软件包

重新启动选项
/norestart 或 /z 安装完成后不需要重新启动
/forcerestart 安装后重新启动

特别选项
/l 列出已经安装的Windows修补程序或更新的软件包
/o 不提示覆盖OEM文件
/n 不备份卸载需要的文件
/f 强迫其他程序在关机时关闭
/integrate:<fullpath> 或 /s:<fullpath> 将此软件更新集成到 <fullpath>
/d:<fullpath> 备份卸载需要的文件到<fullpath>, 如果不注明这个选项，将自动备份到$ntservicepackuninstall$
/er 允许扩展返回代码(具体代码参见白皮书)

注意： 如果使用了/q 或 /u， 则必须使用 /o 参数, 否则 HAL文件和disk miniport驱动文件不会更新。

参考

白皮书: Inside Update.exe - The Package Installer for Windows and Windows Components

了解Windows Server 2003家族操作系统的新特性以及增强的功能。

教材包括以下内容：

介绍
Unit 1: 管理用户、计算机和组
Unit 2: 管理DNS
Unit 3: 管理组策略
Unit 4: 管理组策略高级安全设置
Unit 5: 使用组策略部署和限制软件
Unit 6: 实现安全的路由和远程访问
Unit 7: 实现和管理Software Update Services
Unit 8: 使用远程桌面进行管理
Unit 9: 管理Internet Information Services (IIS) 6.0 Web服务
Unit 10: 管理灾难恢复

链接:Microsoft Windows Server 2003 Academic Training

Microsoft is expected to announce tomorrow that Windows XP Professional 64-bit and Service Pack 1 for Windows Server 2003 have been released to manufacturing to be produced for general release next month WinBeta has learnt.

Build 1830 has been deemed worthy of release after 18 long months of beta testing of a product that many companies showed inital reluctance to install after Microsoft let slip that Service Pack 1 was already in the works at the release of Windows Server 2003 itself.

The service pack offers a compilation of updates as well as new security enhancements and originally was due in the first half of 2004.

The new Windows editions are designed to take advantage of 64-bit extensions to the standard x86 instruction set in processors from both Advanced Micro Devices Inc. (AMD) and Intel Corp. 64-bit systems offer users greater computing power as systems can process more data per clock cycle and have greater access to memory.



One key benefit of 64-bit extension technology is that applications written for 32-bit computers will run well on the processors. The 64-bit extensions are currently supported in AMD's Athlon64 and Opteron processors, as well as Intel's Xeon processor, code-named Nocona, released late last month.

Microsoft has high expectations of 64-bit technology. In May of 2004, Chairman and Chief Software Architect Bill Gates predicted at the Windows Hardware Engineering Conference (WinHEC) that by the end of 2005 all the processors sold by AMD and the majority of processors sold by Intel will support 64-bit computing.

Windows Server 2003 SP1 is currently available via Windows Update.