在正式进行各种“黑客行为”之前，黑客会采取各种手段，探测（也可以说“侦察”）对方的主机信息，以便决定使用何种最有效的 *** 达到自己的目的。来看看黑客是如何获知最基本的 *** 信息——对方的IP地址；以及用户如何防范自己的IP泄漏。 

　　■ 获取IP 

　　“IP”作为Net用户的重要标示，是黑客首先需要了解的。获取的 *** 较多，黑客也会因不同的 *** 情况采取不同的 *** ，如：在局域网内使用Ping指令，Ping对方在 *** 中的名称而获得IP；在Internet上使用IP版的 *** 直接显示。而最“牛”，也是最有效的办法是截获并分析对方的 *** 数据包。如图1所示，这是用Windows 2003的 *** 监视器捕获的 *** 数据包，可能一般的用户比较难看懂这些16进制的代码，而对于了解 *** 知识的黑客，他们可以找到并直接通过软件解析截获后的数据包的IP包头信息，再根据这些信息了解具体的IP。 

　　■ 隐藏IP 

　　虽然侦察IP的 *** 多样，但用户可以隐藏IP的 *** 同样多样。就拿对付最有效的“数据包分析 *** ”而言，就可以安装能够自动去掉发送数据包包头IP信息的“Norton Internet Security 2003”。不过使用“Norton Internet Security”有些缺点，譬如：它耗费资源严重，降低计算机性能；在访问一些论坛或者网站时会受影响；不适合网吧用户使用等等。现在的个人用户采用最普及隐藏IP的 *** 应该是使用 *** ，由于使用 *** 服务器后，“转址服务”会对发送出去的数据包有所修改，致使“数据包分析”的 *** 失效。一些容易泄漏用户IP的 *** 软件（ *** 、MSN、IE等）都支持使用 *** 方式连接Internet，特别是 *** 使用“ezProxy”等 *** 软件连接后，IP版的 *** 都无法显示该IP地址。这里笔者介绍一款比较适合个人用户的简易 *** 软件—— *** 新手IP隐藏器（如图2），只要在“ *** 服务器”和“ *** 服务器端”填入正确的 *** 服务器地址和端口，即可对http使用 *** ，比较适合由于IE和 *** 泄漏IP的情况。 

　　不过使用 *** 服务器，同样有一些缺点，如：会影响 *** 通讯的速度；需要 *** 上的一台能够提供 *** 能力的计算机，如果用户无法找到这样的 *** 服务器就不能使用 *** （查找 *** 服务器时，可以使用“ *** 猎手”等工具软件扫描 *** 上的 *** 服务器）。 

　　虽然 *** 可以有效地隐藏用户IP，但高深的黑客亦可以绕过 *** ，查找到对方的真实IP地址，用户在何种情况下使用何种 *** 隐藏IP，也要因情况而论。 

　　黑客的探测方式里除了侦察IP，还有一项——端口扫描。通过“端口扫描”可以知道被扫描的计算机哪些服务、端口是打开而没有被使用的（可以理解为寻找通往计算机的通道）。 

　　一、端口扫描 

　　网上很容易找到远程端口扫描的工具，如Superscan、IP Scanner、Fluxay（流光）等(如图1)，这就是用“流光”对试验主机192.168.1.8进行端口扫描后的结果。从中我们可以清楚地了解，该主机的哪些非常用端口是打开的；是否支持FTP、Web服务；且FTP服务是否支持“匿名”，以及IIS版本，是否有可以被成功攻破的IIS漏洞也显示出来。 

　　二、阻止端口扫描 

　　防范端口扫描的 *** 有两个： 

　　1． 关闭闲置和有潜在危险的端口 

　　这个 *** 有些“死板”，它的本质是——将所有用户需要用到的正常计算机端口外的其他端口都关闭掉。因为就黑客而言，所有的端口都可能成为攻击的目标。换句话说“计算机的所有对外通讯的端口都存在潜在的危险”，而一些系统必要的通讯端口，如访问网页需要的HTTP（80端口）； *** （4000端口）等不能被关闭。 

　　在Windows NT核心系统（Windows 2000/XP/ 2003）中要关闭掉一些闲置端口是比较方便的，可以采用“定向关闭指定服务的端口”和“只开放允许端口的方式”。计算机的一些 *** 服务会有系统分配默认的端口，将一些闲置的服务关闭掉，其对应的端口也会被关闭了（如图2）。进入“控制面板”、“管理工具”、“服务”项内，关闭掉计算机的一些没有使用的服务（如FTP服务、DNS服务、IIS Admin服务等等），它们对应的端口也被停用了。至于“只开放允许端口的方式”，可以利用系统的“TCP/IP筛选”功能实现，设置的时候，“只允许”系统的一些基本 *** 通讯需要的端口即可（关于“TCP/IP的筛选”，请参看本期应用专题）。 

　　2． 检查各端口，有端口扫描的症状时，立即屏蔽该端口 

　　这种预防端口扫描的方式显然用户自己手工是不可能完成的，或者说完成起来相当困难，需要借助软件。这些软件就是我们常用的 *** 防火墙。 

　　防火墙的工作原理是：首先检查每个到达你的电脑的数据包，在这个包被你机上运行的任何软件看到之前，防火墙有完全的否决权，可以禁止你的电脑接收Internet上的任何东西。当之一个请求建立连接的包被你的电脑回应后，一个“TCP/IP端口”被打开；端口扫描时，对方计算机不断和本地计算机建立连接，并逐渐打开各个服务所对应的“TCP/IP端口”及闲置端口，防火墙经过自带的拦截规则判断，就能够知道对方是否正进行端口扫描，并拦截掉对方发送过来的所有扫描需要的数据包。 

　　现在市面上几乎所有 *** 防火墙都能够抵御端口扫描，在默认安装后，应该检查一些防火墙所拦截的端口扫描规则是否被选中，否则它会放行端口扫描，而只是在日志中留下信息而已。 

　　黑客在进行攻击前的准备工作，就此介绍完毕。在以后的内容中，将转入正式的入侵、窃取和攻击等具体的介绍。 
　　上网了吧，用Q了吧，被盗了吧，正常。想上网吧，想用Q吧，不想被盗Q吧，正常。那就来了解一些盗方面的知识吧！