在正式进行各种“黑客行为”之前，黑客会采取各种手段，探测（也可以说“侦察”）对方的主机信息，以便决定使用何种最有效的 *** 达到自己的目的。来看看黑客是如何获知最基本的 *** 信息——对方的IP地址；以及用户如何防范自己的IP泄漏。

　　■获取IP

　　“IP”作为Net用户的重要标示，是黑客首先需要了解的。获取的 *** 较多，黑客也会因不同的 *** 情况采取不同的 *** ，如：在局域网内使用Ping指令，Ping对方在 *** 中的名称而获得IP；在Internet上使用IP版的 *** 直接显示。而最“牛”，也是最有效的办法是截获并分析对方的 *** 数据包。如图1所示，这是用Windows2003的 *** 监视器捕获的 *** 数据包，可能一般的用户比较难看懂这些16进制的代码，而对于了解 *** 知识的黑客，他们可以找到并直接通过软件解析截获后的数据包的IP包头信息，再根据这些信息了解具体的IP。

　　■隐藏IP

　　虽然侦察IP的 *** 多样，但用户可以隐藏IP的 *** 同样多样。就拿对付最有效的“数据包分析 *** ”而言，就可以安装能够自动去掉发送数据包包头IP信息的“NortonInternetSecurity2003”。不过使用“NortonInternetSecurity”有些缺点，譬如：它耗费资源严重，降低计算机性能；在访问一些论坛或者网站时会受影响；不适合网吧用户使用等等。现在的个人用户采用最普及隐藏IP的 *** 应该是使用 *** ，由于使用 *** 服务器后，“转址服务”会对发送出去的数据包有所修改，致使“数据包分析”的 *** 失效。一些容易泄漏用户IP的 *** 软件（ *** 、MSN、IE等）都支持使用 *** 方式连接Internet，特别是 *** 使用“ezProxy”等 *** 软件连接后，IP版的 *** 都无法显示该IP地址。这里笔者介绍一款比较适合个人用户的简易 *** 软件—— *** 新手IP隐藏器（如图2），只要在“ *** 服务器”和“ *** 服务器端”填入正确的 *** 服务器地址和端口，即可对http使用 *** ，比较适合由于IE和 *** 泄漏IP的情况。

　　不过使用 *** 服务器，同样有一些缺点，如：会影响 *** 通讯的速度；需要 *** 上的一台能够提供 *** 能力的计算机，如果用户无法找到这样的 *** 服务器就不能使用 *** （查找 *** 服务器时，可以使用“ *** 猎手”等工具软件扫描 *** 上的 *** 服务器）。

　　虽然 *** 可以有效地隐藏用户IP，但高深的黑客亦可以绕过 *** ，查找到对方的真实IP地址，用户在何种情况下使用何种 *** 隐藏IP，也要因情况而论。

　　黑客的探测方式里除了侦察IP，还有一项——端口扫描。通过“端口扫描”可以知道被扫描的计算机哪些服务、端口是打开而没有被使用的（可以理解为寻找通往计算机的通道）。

　　一、端口扫描

　　网上很容易找到远程端口扫描的工具，如Superscan、IPScanner、Fluxay（流光）等(如图1)，这就是用“流光”对试验主机192.168.1.8进行端口扫描后的结果。从中我们可以清楚地了解，该主机的哪些非常用端口是打开的；是否支持FTP、Web服务；且FTP服务是否支持“匿名”，以及IIS版本，是否有可以被成功攻破的IIS漏洞也显示出来。

　　二、阻止端口扫描

　　防范端口扫描的 *** 有两个：

　　1．关闭闲置和有潜在危险的端口

　　这个 *** 有些“死板”，它的本质是——将所有用户需要用到的正常计算机端口外的其他端口都关闭掉。因为就黑客而言，所有的端口都可能成为攻击的目标。换句话说“计算机的所有对外通讯的端口都存在潜在的危险”，而一些系统必要的通讯端口，如访问网页需要的HTTP（80端口）； *** （4000端口）等不能被关闭。

　　在WindowsNT核心系统（Windows2000/XP/2003）中要关闭掉一些闲置端口是比较方便的，可以采用“定向关闭指定服务的端口”和“只开放允许端口的方式”。计算机的一些 *** 服务会有系统分配默认的端口，将一些闲置的服务关闭掉，其对应的端口也会被关闭了（如图2）。进入“控制面板”、“管理工具”、“服务”项内，关闭掉计算机的一些没有使用的服务（如FTP服务、DNS服务、IISAdmin服务等等），它们对应的端口也被停用了。至于“只开放允许端口的方式”，可以利用系统的“TCP/IP筛选”功能实现，设置的时候，“只允许”系统的一些基本 *** 通讯需要的端口即可（关于“TCP/IP的筛选”，请参看本期应用专题）。