玻璃杯的博客

写一篇读后感---关于我的外爷

2008-08-17T18:37:28+08:00

      今天在新垦上看到月儿姐姐写的一篇文章：学会淡然！当我看到她今天的回复的时候，使我眼泪止不住流了下来，这让我想起了我外爷，他离开我们已经8年了，记得那天送走外爷的时候，我还发着烧，头疼头晕，妈妈抱着我大哭了一场，说：小云啊，你再忍一忍，你外爷在天之灵会保佑你好的，送走你外爷之后我回来就带你去看医生.. 我说：不，妈妈，我也要跟你一起最后一次送外爷......

       那年我上高二，表哥不是我的班主任，但他教2个班的英语，他那个班和我这个班，那天是周五，很让我奇怪的是，他今天一直到下课都没来给我们上课，那节课英语课代表说让自己温习。我哪里能安下心来呢？明明早上上早学我起床表哥和嫂子都在家呢，现在怎么会不见了呢？突然使我想起课间操他们班上一个学生问我:你表哥他们俩都没来上课，他们去哪儿了？我说不知道啊。这是上午的第四节课，心里开始乱想乱想。恨不得冲出教室跑回去看看回来了没有？那时我靠着窗户坐，一直盯着窗外看，期望能看到他的身影....下课铃响了，我飞一般冲出了教室，一口气跑回去，门紧紧的锁着，我顿时靠在了门外面蹲了下去。

    不知道多长时间，邻居的那个老教师回来了，告诉我：好像他们家里出事了？很早都回去了。我没有回话，低着头走回去了教室。

    那天下午两节课后就该过周末了，可是就像是坐在了钉子上，很难受很担心。当时连个手机都没有的，也不知道他的手机，只有苦苦的等待了。

    第二节快要下课的时候，班主任来了，把我叫了出去，说：你表哥说一会下课后让你去他家，你外公去世了，到....去坐车，到....哪儿下车，然后你就知道该怎么走了.班主任刚说完，我连教室都没回，直接走了。

   冲到外面的公路上，等车。我对那边的路一点都不熟悉，并且还下着雪，我穿了袄，但寒风刺骨，使我站在哪里还是发颤。我就在想：外爷不是身体好好的吗？怎么会突然间不行了呢？一连串的问题使我很吃惊，前天晚上我知道大舅给表哥打电话说什么后，他让我别看电视了，早些睡觉。我从来很听话的，就回我屋睡觉去了。怎么可能想到会发生这样的事情呢？哭着想着，就是想不通，只期待车快点过来，等了一个小时，依旧不见影子，一向倔强的我，就自己步行往前走，就算走着，问着，我也要走回舅舅家去。

   我走了大概又一个小时候，听见后面有汽车喇叭的响声，迷糊的双眼依稀看见汽车前面的玻璃上写着：*** 三个字，我用手拦车，坐上去了，那个时候由于下雪的缘故，天已经黑了下来。

   半个小时后，我说我不知道路，让他们把我送到舅舅村里的一个桥头，从哪儿我就知道怎么到舅舅家了。没想到，下车后，在哪儿的桥头，看见表哥已经在等我了......

     他给我说了一些事情，到了后先去看看外爷，跪下磕头。我问他是怎么回事？他说是有病没治好。不知道我是冻得麻木了，还是一向发生什么事总爱发呆的我，到哪儿磕头后，进了屋，走到妈妈跟前说：妈，我想看看外爷，他根本没死。妈妈说：傻孩子，我也没见到你外爷最后一面，他生病后，我就天天照顾他，看着他难受，也无能为力，正好家里有事，你哥把我接回去了，就是那天晚上，我再也不能跟他说话了。

    听完妈妈的话，我还是很不懂。当时舅舅舅妈都在跟前，我也不好再问，就坐着在妈妈跟前，陪着消瘦的妈妈和外爷。

    过了很久，记得都凌晨了，我靠着墙上睡着了，妈妈叫醒了我，我说我可冷，妈妈说：你去你大舅们睡吧！我今晚就在这儿陪着你外爷了，之后就让我三舅把我送过去了。

    连我自己都不知道，其实我那冷的迹象已经表明我发烧了。等第二天早上，表哥叫我起床，我才发现头很沉很沉，一点力气都没有的。但还是忍着起来了，也许当时还很小吧，就告诉了妈妈，她摸了摸我的额头，说这么烫啊！她让我还回去先躺在床上，等回来带我去看病。我怎么可能会这样呢？赶紧面带笑容说：那是刚从被窝里出来的缘故，我要跟你们一起送外爷！最后，我的笑容妈妈答应了。

    送走外爷的时候，妈妈舅舅他们都哭成泪人，只有我傻傻的立在哪里，看着他们没有哭，又像是在发呆。记得我打吊针的时候，有些好了，告诉妈妈：今天我没哭出来，因为我看见外爷躺在里面的时候好像脸上也在笑着，我就没有哭。妈妈说：你还小，以后长大了，记得多回来你外爷坟上看看他。没有想到，现在算算，距离那一年已经过去了八年。

    现在依旧能回忆起外爷总是面带微笑的脸庞，很和蔼可亲。

这一天

2008-08-12T08:57:58+08:00

  这一天
  再过2个小时就要过去了
  可是
  让我来计算，却很慢很慢
  我，宁可这一天没过
  因为有失望，有疑惑
  在我的生活里
  无形中就多了这些传奇色彩

  下班后满怀希望的匆忙赶到家
  打开电脑，QQ直播，等待着...
  一心只为了观看中国女篮的球赛
  虽然，我仅仅抱有那么一点希望
  女篮可能会赢
  但你们不要让我太失望了吧
  就算输了也要输得漂亮一点
  昨天晚上我睡得很香
  就是因为中国男篮的决心和勇气可嘉
  深深的感动了我
  而中国女篮...
  我爱篮球，也喜欢篮球
  不允许别人说中国篮球一点的不好
  因此，我只能叹一口气
  默默的祝福你们：下次加油吧！

  除此之外
  这一天
  不再像往常一样
  清凉的早晨，手机没有响
  好像很刻意的在公交车上几次掏出手机来看
  表面上是看时间，其实没有这么简单
  我看的是内心的呼唤
  这一天，它终究没有，哪怕是一次
  七夕前的那天晚上，我答应过你
  无论发生什么事，我都不会离开你
  而如今，我连发生什么事都不知道

  没有反抗，没有埋怨
  无声的沉默
  彻底刺伤了我的心
  不想去想，也不愿再去想
  记得谁给我说过：时间可以淡化一切
  至于，是否真的会这样？
  只有我自己明白.

  这一天
  此时此刻
  有些悲伤，有些遗憾
  但明天，太阳依旧从冬天升起!!!

  PS:刚看完球赛，当时正写这篇文章，停电了，可是，不想把今天的不快留在明天，就又起来写完.

为爱的约定

2008-07-23T15:08:52+08:00

    应该首先祝贺自己走出单身的家族欢呼一声吧

   他，是从一个朋友那儿认识的，并未见过面，只是平时空闲时聊聊... 只知道他是挺好的一个人，说话很懂事，有上进心，待人真诚.  还记得当时朋友说他长胖了，我说他是猪啦.  就这样，认识了。

   突然之间，很想找一个男朋友来，我就跟他说了下，最后给我们以后的爱做出了一个约定：从现在起，到过年他回来，我们暂时是的，如果在此期间，谁又遇到了跟自己更有缘分的人还可以去追求，但要告诉对方，让对方知道.

    呵呵，不管怎么说，我总算是走出了这一步，不再把自己给禁锢起来啦。封锁从此与我告别了。

  我相信，和他在一起生活，肯定会很快乐。现在我要做的是，就是好好的找一份工作，和他一起共同为了明天而奋斗，也是他后来跟我说的话。

   林林，我会好好爱你的。如果真的有缘，那就是今生今世永远永远！

                     2008年07月22日

诉说心情

2008-07-21T14:17:44+08:00

终于长大了，干什么事都会去思考了，会去多想一想了，可是，一旦这样，就会使我总是不快乐，还是比较喜欢以前那个自由自在无忧无虑无拘无束的我，虽然认识的人不多，虽然总是把自己紧闭起来，但很快乐，很开心....

    最近发生了一些事情，心里特不爽，工作上吧，好不容易得到的机会让自己因为屁点小事给失去了；也许没事做，对于一个让自己闲不住的人来说，是多么痛苦的事。

   前天买车票，无缘无故钱飞了，莫名其妙的，不过这个怪自己不小心，两个字：活该！

   昨天在家里小忙了一个下午，心情别提有多高兴了，一直到晚上，表哥考察我对上次交待的事情准备得怎么样？其实我根本没去准备，搪塞着应付着过去，幸亏他今天开始给学生补课，不然再多几分钟估计该露出马脚。

   昨晚上一夜几乎没怎么睡着，苦思瞑想，连我自己都很意外，睡觉天才也会失眠....我决定的事，谁也说服不了，早上一大早起来，不知是眩晕还是没睡好，一脚撞在了床沿上，很好啊，脚后面流出血来了，忍着疼痛，擦掉血迹，穿上袜子和休闲鞋，就奔去了火车站....退票了。

   之后就又乘车去了图书城，终于把表哥交待的事情给完成了，下一步就该好好复习，去应付考试了。

   除此之外，还要去工作，再这样下去该与西北风打交道的。

   像这样的文章，记个流水账吧！刚刚到家，浑身无力，毕竟跑了很大一圈，从郑州的最北跑到最南，又从最南跑了回来。

   当我发现自己遇到最讨厌看见的事时，更何况是亲眼目睹过，感受过，耳听过...根本无法控制住心中的怒火，无论是对谁。从那一刻起，我很气愤，很无奈，还是做了自己决定，从小到大，这点性格，从未改变过... 若对谁，不图你谅解，我只对事，不对人，不管你以后如何看待我，一切都无所谓，不为自己做过的事而后悔，因为我都认真的思考过，只要有一点与我相冲突，我都会婉言拒绝。

    面对着电脑发呆好久了，就跑来江南写下这些文字...我是一个容易忘记的人，也许明天我就会好了的，不会因一件事而影响自己的心情太久的，根本没这个必要。

    努力了，付出了，就无怨无悔了。

一段代码整不死气死你！

2008-07-19T20:24:12+08:00

Private Sub command1_Click()
Form1.Hide
Dim a(1 To 20) As String
a(1) = "恭喜你,你上当了"
a(2) = "你点点试试"
a(3) = "还不相信?@_@"
a(4) = "哪你再试试--!"
a(5) = "傻了吧!!!!"
a(6) = "吃亏了吧!!!"
a(7) = "哭了吧.上当了吧"
a(8) = "你再点也没有用!!"
a(9) = "你鼠标坏了没有<_>"
a(10) = "要不你试试键盘吧&&*"
a(11) = "你还真听话~~~"
a(12) = "无语....."
a(13) = "你自己玩吧.我先睡会.等没有了叫我"
a(14) = "要不你给我唱首歌也行#######"
a(15) = "难听的就不要来了************"
a(16) = "还了不陪你玩了,看来你点是没有用的了"
a(17) = "自己玩好吧"
a(18) = "晕,你还在没有完呀"
a(19) = "我又回来了,嘻嘻"
a(20) = "再来一次吧"
For i = 1 To 10 Step 0
    answer = MsgBox(a(1), vbOKOnly, "^_^,你上当了")
        If answer = vbOK Then answer = MsgBox(a(2), vbOKOnly, "^_^,你上当了")
        If answer = vbOK Then answer = MsgBox(a(3), vbOKOnly, "^_^,你上当了")
        If answer = vbOK Then answer = MsgBox(a(4), vbOKOnly, "^_^,你上当了")
        If answer = vbOK Then answer = MsgBox(a(5), vbOKOnly, "^_^,你上当了")
        If answer = vbOK Then answer = MsgBox(a(6), vbOKOnly, "^_^,你上当了")
        If answer = vbOK Then answer = MsgBox(a(7), vbOKOnly, "^_^,你上当了")
        If answer = vbOK Then answer = MsgBox(a(8), vbOKOnly, "^_^,你上当了")
        If answer = vbOK Then answer = MsgBox(a(9), vbOKOnly, "^_^,你上当了")
        If answer = vbOK Then answer = MsgBox(a(10), vbOKOnly, "^_^,你上当了")
        If answer = vbOK Then answer = MsgBox(a(11), vbOKOnly, "^_^,你上当了")
        If answer = vbOK Then answer = MsgBox(a(12), vbOKOnly, "^_^,你上当了")
        If answer = vbOK Then answer = MsgBox(a(13), vbOKOnly, "^_^,你上当了")
        If answer = vbOK Then answer = MsgBox(a(14), vbOKOnly, "^_^,你上当了")
        If answer = vbOK Then answer = MsgBox(a(15), vbOKOnly, "^_^,你上当了")
        If answer = vbOK Then answer = MsgBox(a(16), vbOKOnly, "^_^,你上当了")
        If answer = vbOK Then answer = MsgBox(a(17), vbOKOnly, "^_^,你上当了")
        If answer = vbOK Then answer = MsgBox(a(18), vbOKOnly, "^_^,你上当了")
        If answer = vbOK Then answer = MsgBox(a(19), vbOKOnly, "^_^,你上当了")
        If answer = vbOK Then answer = MsgBox(a(20), vbOKOnly, "^_^,你上当了")

Next i

        End Sub

组策略答疑部分(禁止止安装软件)

2008-07-17T11:58:42+08:00

woody 提问:实施组策略控制对服务器的性能配置有没有特别的要求?

答：没有特别的要求。对服务器的性能要求是取决于您的公司活动目录域的规模，并通过对一些数据的分析来决定服务器的性能时候达到要求，例如有多少用户，多少组，多少计算机，每秒本地登陆次数，每秒网络登陆的次数等等。您可以ADSIZER这样的工具对您的活动目录做评估。

enric 提问:组策略中的每个项目都可以在注册表中找到对应的项目吗？

答：不是。在管理模板下面设定的组策略设置可以在组策表中找到对应的项目。

vinson 将问题更改为:在域环境下是否可以通过组策略定期整理磁盘?

答：您可以编写一个BAT脚本，设置为用户的登陆脚本。假设您想整理的磁盘为C:，脚本的内容为defrag c: -f。但是这个脚本只能在windows xp以上的计算机上运行。并且需要登陆客户端计算机的用户具管理员的权限。

Leo 提问:一个比较具体的问题,组策略是否可以锁定IE属性中的代理服务器,也就是使用固定的代理服务器.

答：完全可以。打开组策略对象的编辑器，展开“用户配置”，“windows设置”，“IE维护”，“连接”，双击“代理设置”，指定好代理服务器的地址和端口，然后展开“管理模板”，“windows组件”，“IE”，双击“禁止更改代理服务器设置”，启用改策略即可。

lzf 将问题更改为:我想问一下,怎样限制注册表的修改呢

答：打开组策略对象的编辑器，展开“计算机配置”，“windows设置”，“安全设置”，“注册表”，右击选择“添加项”，为对应的注册表项目(例如HKLM)设置好权限。

edison 提问:如果我用了软件限制的哈希规则后，我为了防止客户用ＱＱ，但我禁了一个ＱＱ的版本，但客户又安装了另一个ＱＱ的版本，有什么比较好的方法吗？谢谢

答：确实，HASH规则由于是根据文件的HASH值来限制的，更换版本必然导致HASH的变化。

这个时候限制客户端软件最好的办法是将软件限制策略的默认安全级别设置为“不允许”。然后为您公司允许的软件添加允许的规则。当然由于默认规则的存在，所以不用担心windows内置的软件和安装在program files下的软件不能使用(例如IE)。这样的话用户就只能使用您允许的软件。在您的公司中相信允许运行的的软件一定远远小于您不允许运行的软件。

686 提问:笔记本用户权限很大，他可以重装系统，不接受域管理。

答：他可以通过重装系统来获得管理员的权限，从技术上讲没有什么好的办法。您需要使用公司的一些管理制度来杜绝这种现象的发生。

enric 将问题更改为:软件限制策略的路径规则中，能直接写应用程序名而不加路径吗？例如直接写qq.exe，而省略掉c:\program files\tencent\qq\qq.exe

答：可以，例如你可以使用通配符*QQ*。这样的路径规则的含义是指要客户端运行的软件的路径加名字中包含QQ两个字母，将会被阻止运行。

xuyu 提问:组策略可以控制用户的磁盘限额么？服务器设置文件访问权限，可以在组策中设置用户的限额么？

答：可以的。你可以在设置文件访问权限的服务器所在的OU上创建组策略对象，然后编辑该组策略对象。展开“计算机配置”，“管理模板”，“系统”，“磁盘配额”，然后设定对应的策略设置。

oldbug 提问:如何在组策略中设置限制客户端的下载和安装?

答：限制客户端软件的下载的最好方法，是在您的防火墙上做设置，而不是组策略，组策略做不到这一点。限制客户端不能安全软件的话，我认为最好的办法是不要给用户客户端计算机本地管理员的权限。当然也可以在用户所在的上创建组策略对象，然后编辑该、组策略对象，设置“用户配置”下面的软件限制策略的默认安全级别为“不允许的”。

Edward 将问题更改为:除了用gpedit.msc,还有其它办法打开组策略吗？

答：有的。在运行的输入“MMMC”，然后“添加\删除管理单元”，选择“组策略对象编辑器”。

Stone 提问:WindowXP Home不带组策略，可以让Home也用上组策略么？

答：不行，设计使然。

柳轩提问:我的默认域策略也损坏了,请问你讲一下默认的域外策略如何恢复?

答：windows 2003域可以使用自带的dcgpofix.exe。windows 2000域可以使用recreatedfpol.exe这个软件可以在微软的网站上免费下载的。

green 提问:GMPC中域名前的图标带蓝色感叹号代表什么意思？可能是什么原因引起的！

答：图标前带蓝色的感叹号，代表“阻止继承”。

Daniel 将问题更改为:有没有些异常处理的资料如:丢失/损坏后点恢复

答：您所说的“丢失/损坏后点恢复“应该指的是组策略对吗？您使用GPMC可以对GPO实施备份的。

朱晓辉提问:用户和计算机本身是否有guid？

答：在活动目录当中任何对象都有GUID。

achang 提问:在没有DC的环境里能不能one to mone？

答：不可以的，工作组环境的话，只能一台一台设定本地计算机策略。

xyang 提问:请问王讲师，能不能说一说在win03默认组策略对象Default Domain Policy和Default Domain Controllers Policy的区别？

答：Default Domain Policy是对域中所有的用户和计算机生效的。而Default Domain Controllers Policy是对域中所有的域控制器生效的。

charlie 提问:如何得到组策略编辑器？

答：您选定一个组策略对象，然后右击点“编辑”，打开的就是“组策略对象编辑器”。

Zhu Minghua 提问:Add the client into domain automatically? Do not do it on client machine?

解答:您可以使用netdom join命令将客户端自动加入域，netdom需要安装windows的支持工具才能使用.

组策略应用设置大全

2008-07-17T11:51:11+08:00

如何打开组策略编辑器？
答：运行里输入gpedit.msc
系统里提示没有打开组策略这条命令？
答：1：看是不是注册表中锁住了组策略“HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer”，把“RestrictRun”的键值改为0即可。
2：开始－－运行－－MMC－－文件－－添加删除管理单元－－添加－－组策略－－添加，后面的你应该会了。看你要开哪个策略，就添加哪个策略。

一、桌面项目设置
1、隐藏不必要的桌面图标
2、禁止对桌面的改动
3、启用或禁止活动桌面
4、给“开始”菜单减肥
5、保护好“任务栏”和“开始”菜单的设置
二、隐藏或禁止控制面板项目
1. 禁止访问“控制面板”
2、隐藏或禁止“添加/删除程序”项
3、隐藏或禁止“显示”项
三、系统项目设置
1、登录时不显示欢迎屏幕界面
2、禁用注册表编辑器
3、关闭系统自动播放功能
4、关闭Windows自动更新
5、删除任务管理器
四、隐藏或删除Windows XP资源管理器中的项目
1、删除“文件夹选项”
2、隐藏“管理”菜单项
五、IE浏览器项目设置
1、限制IE浏览器的保存功能
2、给工具栏减肥
3、在IE工具栏添加快捷方式
4、让IE插件不再骚扰你
5、保护好你的个人隐私
6、禁止修改IE浏览器的主页
7、禁用导入和导出收藏夹
六、系统安全/共享/权限设置
1、密码策略
2、用户权利指派
3、文件和文件夹设置审核
4、Windows 98访问Windows XP共享目录被拒绝的问题解决
5、阻止访问命令提示符
6、阻止访问注册表编辑工具

一、桌面项目设置
在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点，便能看到
有关桌面的所有设置。此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。
1、隐藏不必要的桌面图标
桌面上的一些快捷方式我们可以轻而易举地删除，但要删除“我的电脑”、“回收站”、
“网上邻居”等默认图标，就需要依靠“组策略”了。例如要删除“我的文档”，只需在
“删除桌面上的‘我的文档’图标”一项中设置即可。若要隐藏桌面上的“网上邻居”和
“Internet Explorer”图标，只要在右侧窗格中将“隐藏桌面上‘网上邻居’图标”和“
隐藏桌面上的Internet Explorer图标”两个策略选项启用即可；如果隐藏桌面上的所有图
标，只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上的‘我的
文档’图标”和“删除桌面上的‘我的电脑’图标”两个选项以后，“我的电脑”和“我
的文档”图标将从你的电脑桌面上消失了；如果在桌面上你不再喜欢“回收站”这个图标
，那么也可以把它给删除，具体方法是将“从桌面删除回收站”策略项启用。
2、禁止对桌面的改动
利用组策略可达到禁止别人改动桌面某些设置的目的。“禁止用户更改‘我的文档’路径
”项可防止用户更改“我的文档”文件夹的路径。“禁止添加、拖、放和关闭任务栏的工
具栏”项可阻止用户从桌面上添加或删除任务栏。双击启用“退出时不保存设置”后，用
户将不能保存对桌面的更改。最后，双击启用“隐藏和禁用桌面上的所有项目”设置项，
将从桌面上删除图标、快捷方式以及其他默认的和用户定义的所有项目，连桌面右键菜单
都将被禁止。
3、启用或禁止活动桌面
利用“Active Desktop”项，可根据自己的需要设置活动桌面的各种属性。“启用活动桌
面”项可启用活动桌面并防止用户禁用它。“活动桌面墙纸”项可指定在所有用户的桌面
上显示的桌面墙纸。而启用“不允许更改”项便可防止用户更改活动桌面配置。
4、给“开始”菜单减肥
Windows XP的“开始”菜单的菜单项很多，可通过组策略将不需要的删除掉。提供了删除
“开始”菜单中的公用程序组、“我的文档”图标、“文档”菜单、“网络连接”、“收
藏夹”菜单、“搜索”菜单、“帮助”命令、“运行”菜单、“图片收藏”图标、“我的
音乐”图标和“网上邻居”图标等策略。只要将不需要的菜单项所对应的策略启用即可。
以删除开始菜单中的“我的文档”图标为例看看其具体操作方法：在右边窗口中双击“从
‘开始’菜单上删除‘我的文档’图标”项，在弹出对话框的“设置”标签中点选“已启
用”，然后单击“确定”，这样在“开始”菜单中“我的文档”图标将会隐藏。
5、保护好“任务栏”和“开始”菜单的设置
倘若不想随意让他人更改“任务栏”和“开始”菜单的设置，只要将右侧窗格中的“阻止
更改‘任务栏和「开始」菜单’设置”和“阻止访问任务栏的上下文菜单”两个策略项启
用即可。这样，当用鼠标右键单击任务栏并单击“属性”时，系统会出现一个错误消息，
提示信息是某个设置禁止了这个操作。

二、隐藏或禁止控制面板项目
这里讲到的控制面板项目设置是指配置控制面板程序的各项设置，主要用于隐藏或禁止控制面板项目。在组策略左边窗口依次展开“用户配置”→“管理模板”→“控制面板”项，便可看到“控制面板”节点下面的所有设置和子节点。
1. 禁止访问“控制面板”
如果您不希望其他用户访问计算机的“控制面板”，您只要运行组策略编辑器（gpedit.msc），在左侧窗格中逐极展开“‘本地计算机’策略”→“用户配置”→“管理模板”→
“控制面板”分支，然后将右侧窗格的“禁止访问控制面板”策略启用即可。此项设置可以防止“控制面板”程序文件（Control.exe）的启动。其结果是，他人将无法启动“控制
面板”（或运行任何“控制面板”项目）。另外，这个设置将从“开始”菜单中删除“控制面板”。同时这个设置还从 Windows 资源管理器中删除“控制面板”文件夹。
3、隐藏或禁止“添加/删除程序”项
展开“添加/删除程序”项：双击启用“删除‘添加/删除程序’程序”设置项后，控制面板中的“添加/删除程序”项将被删除。此外在“添加或删除程序”对话框中共有3个页面
：“更改或删除程序”、“添加新程序”以及“添加/删除Windows组件”；而当你进入“添加新程序”页面时，会发现有3个选项：“从CD-ROM或软盘添加程序”、“从 Microsof
t添加程序”以及“从网络中添加程序”，如果你想这些具体页面或选项隐藏，可直接在组策略“添加/删除程序”项中将相应隐藏功能启用。
3、隐藏或禁止“显示”项
展开“显示”项，发现这一项和上一项一样，可隐藏“显示属性”对话框中的选项卡。这
里就不细讲了，例如双击启用“隐藏‘桌面’选项卡”后，“显示窗口”中将不再出现“
桌面”项。此外，在这里用户还可启用“删除控制面板中的‘显示’”，这样在控制面板
中双击打开“显示”项时，就会弹出一个对话框提示你：系统管理员禁止使用“显示”控
制面板。
4、其他
自定义控制面板程序:“隐藏指定的控制面板程序”或“只显示指定的控制面板程序”,根据提示提示操作,隐藏或显示控制面板项目.
依次展开“显示”→“桌面主题”项，双击启用“删除主题选项”、“阻止选择窗口和按
钮式样”、“禁止选择字体大小”项后，可阻止他人更改主题、窗口和按钮式样、字体。
展开“打印机”项，双击启用“阻止添加打印机”或“阻止删除打印机”可防止别的用户
添加或删除打印机。最后，直接在“控制面板”一项下启用“禁止访问控制面板”，控制
面板将无法启动。

三、系统项目设置
这一项在“用户配置”→“管理模板”→“系统”中设置（图15）。组策略中对系统的设
置涉及到登录、电源管理、组策略、脚本等很多项目，下面把和我们联系紧密的部分清理
出来分类列举如下：
1、登录时不显示欢迎屏幕界面
Windows 2000和Windows XP系统登录时默认情况下都有欢迎屏幕，虽然漂亮但也麻烦且延
长登录时间，通过组策略便可将其除去。双击启用“系统”节点下的“登录时不显示欢迎
屏幕”，则每次用户登录时欢迎屏幕将隐藏。
2、禁用注册表编辑器
为防止他人修改注册表，可在组策略中禁止访问注册表编辑器。双击启用“系统”节点下
的“阻止访问注册表编辑器”项后，用户试图启动注册表编辑器时，系统将提示：注册编
辑已被管理员停用（图16）。另外，如果你的注册表编辑器被锁死，也可双击此设置，在
弹出对话框的“设置”标签中点选“未被配置”项，这样你的注册表便解锁了。如果要防
止用户使用其他注册表编辑工具打开注册表，请双击启用“只运行许可的Windows应用程序
”。
3、关闭系统自动播放功能
一旦你将光盘插入光驱中，Windows XP就会开始读取光驱，并启动相关的应用程序。这样
虽然给我们的工作带来了便利，在某些时候也带来了不少麻烦。在“系统”节点下有一项
为“关闭自动播放”设置项，双击其并在弹出对话框的“设置”标签中点选“已启用”，
在“关闭自动播放”框中选择“CD-ROM启动器”或“所有驱动器”项即可。
注意：此设置不阻止自动播放音乐CD。
4、关闭Windows自动更新
每当用户连接到Internet，Windows XP就会搜索用户计算机上的可用更新，根据配置的具
体情况，在下载的组件准备好安装时或在下载之前，给用户以提示。如果你不喜欢比尔老
大这种自作主张的态度，可通过组策略关闭这一功能。只须双击“系统”节点下的“Windows自动更新”设置项，在弹出来的对话框中点选“已禁用”并确定即可。
5、删除任务管理器
若Windows XP用户已取消“使用欢迎屏幕”项，若同时按下“Ctrl+Alt+Del”键，便会弹
出一个“Windows安全”对话框，此对话框中有“锁定计算机”、“注销”、“关机”、“
更改密码”、“任务管理器”、“取消”6个功能按钮。大家都知道这里的每个按钮对系统
都起着关键的作用。为了阻止别人操作，可通过组策略屏蔽这些按钮。
找到“系统”下的“Ctrl+Alt+Del选项”，双击启用“删除任务管理器”、“删除‘锁定
计算机’”、“删除改变密码”、“删除注销”项便能屏蔽掉“Windows安全”对话框的“
任务管理器”、“锁定计算机”、“更改密码”、“取消”4个功能按钮。
注意：“注销”、“关机”两个菜单项的屏蔽，在“用户配置”→“管理模板”→“任务
栏和‘开始’菜单”节点下。

四、隐藏或删除Windows XP资源管理器中的项目
一直以来，资源管理器就是Windows系统中最重要的工具，如何高效、安全地管理资源也一
直是电脑用户的不懈追求。依次展开“用户配置”→“管理模板”→“Windows组件”→“
Windows资源管理器”项，可以看到“Windows资源管理器”节点下的所有设置。下面就来
看看怎样通过组策略实现资源管理器个性化
1、删除“文件夹选项”
“文件夹选项”是资源管理器中一个重要的菜单项，通过它可修改文件的查看方式，编辑
文件类型的打开方式。我们自己对其设定好后，为了防止他人随意更改，可将此菜单项删
除，你只须双击启用“从‘工具’菜单删除‘文件夹选项’菜单”便能完成这一设置。
2、隐藏“管理”菜单项
在资源管理器中右键单击“我的电脑”出现的快捷菜单中有一个“管理”菜单项，通过此
菜单项，可以打开一个包含“事件查看器”、“本地用户和组”、“设备管理器”、“磁
盘管理”等众多工具的“计算机管理”窗口。为了保障你的计算机免受他人无意破坏，可
通过双击启用“隐藏Windows资源管理器上下文菜单上的‘管理’项目”项来屏蔽此菜单项
。
3、其他项目的隐藏
此外通过启用“隐藏‘我的电脑’中的这些指定的驱动器”可隐藏你指定的驱动器。还可
通过启用“‘网上邻居’中不含‘整个网络’”屏蔽掉“整个网络”项。双击启用“删除
CD烧录功能”删除Windows XP自带的光盘刻录功能。双击启用“不要将已删除的文件移到
‘回收站’”则以后删除文件时将不进入回收站直接删除掉。当然还有不少项目这里没有
讲到，大家可根据需要自行探讨，进行适当的配置。

五、IE浏览器项目设置
在组策略左边窗口中依次展开“用户配置”→“管理模板”→“Windows组件”→“Internet Explorer”项，在右边窗口中便能看到“Internet Explorer”节点下的所有设置和子
节点。IE是Windows XP自带的网页浏览器，也是大多数用户采用的浏览器，但其安全性也
为人所诟病，下面就通过组策略来对其进行“改造”。
1、限制IE浏览器的保存功能
当多人共用一台计算机时，为了保持硬盘的整洁，需要对浏览器的保存功能进行限制使用
，那么如何才能实现呢？具体方法为：选择“用户设置”→“管理模板”→“Windows组件
”→“Internet Explorer”→“浏览器菜单”分支，然后将右侧窗格中的“‘文件’菜单
：禁用‘另存为…’菜单项”、“‘文件’菜单：禁用另存为网页菜单项”、“‘查看’
菜单：禁用‘源文件’菜单项”和“禁用上下文菜单”等策略项目启用即可。
另外，倘若您不希望别人对IE浏览器的设置进行随意更改，您只要将“‘工具’菜单：禁
用‘Internet选项…’”策略启用即可。另外，根据您个人的需要，在该窗格中还可以对
其他项目进行禁用。
2、给工具栏减肥
倘若您要隐藏工具栏中的工具按扭，具体方法是：选择“用户设置”→“管理模板”→“
Windows组件”→“Internet Explorer”→“工具栏”分支，然后在右侧窗格中双击“配
置工具栏按扭”策略，弹出“配置工具栏按扭属性”窗口，在“设置”选项卡中选择“已
启用”单选按扭，将列表中将要显示按扭名称前面的复选框打上勾选标记，若要隐藏某些
按扭，则不要将其前面的复选框进行勾选。然后单击“确定”按扭即可
3、在IE工具栏添加快捷方式
不知道大家注意到了没有，不少软件在安装完之后都会在IE工具栏上添加图标，单击其便
能启用相应程序。其实用组策略可以在IE工具栏上为任何程序添加快捷方式，这里举例说
明如何添加一个ICQ的启动图标。展开“Internet Explorer维护”下的“浏览器用户界面
”，双击“浏览器工具栏自定义”设置项，在弹出来的对话框中单击“添加”按钮，在“
浏览器工具栏按钮信息”对话框的“工具栏标题”中输入：ICQ，在“工具栏操作”中输入
D:\Fun\ICQLite\ICQLite.exe，然后再随便选择一个“颜色图标”和“灰度图标”，当然
你也可以用ExeScope等来提取ICQ的图标）。单击“确定”后IE工具栏中便多了一个ICQ图
标！
4、让IE插件不再骚扰你
我们平常上网浏览网页时，总会弹出一些诸如“是否安装Flash插件”、“是否安装3721网
络实名”的提示，就像广告窗口一样烦人。实际上我们可在组策略中通过启用“Internet Explorer”节点下的“禁用Internet Explorer组件的自动安装”来禁止这种提示的出现
。不过有时这一功能也是很用的，所以在禁止此功能之前请稍加考虑。
5、保护好你的个人隐私
一般通过单击IE工具栏上的“历史”按钮，便可了解以前浏览过的网页和文件。为保密起
见，你可以通过双击启用“Internet Explorer”节点下的“不要保留最近打开文档的记录
”和“退出时清除最近打开的文档记录”两个设置项，这样再单击IE工具栏上的“历史”
按钮，你访问过的历史网页记录将全部消失。
6、禁止修改IE浏览器的主页
如果不希望他人对你的主页进行修改，可启用“Internet Explorer”节点下的“禁用更改
主页设置”设置项禁止别人更改你的主页。你也可通过访问“浏览器菜单”，启用其中的
设置项对IE浏览器的若干菜单项进行屏蔽。最后，在“Internet控制面板”节点下，你还可对“Internet选项”对话框中的部分选项卡进行隐藏。
倘若启用了这个策略，在IE浏览器的“Internet 选项”对话框中，其“常规”选项卡的“主页”区域的设置将变灰。
特别提示：如果设置了位于“用户配置”→“管理模板”→“Windows 组件”→“Internet Explorer”→“Internet 控制面板”中的“禁用常规页”策略，则无需设置该策略，因为“禁用常规页”策略将删除界面上的“常规”选项卡。
7、禁用导入和导出收藏夹
禁止用户使用“导入/导出向导”菜单项导入或导出收藏夹链接。\用户配置\管理模板\Windows组件\Internet Explorer。
如果启用该策略，“导入/导出向导”菜单项将无法导入/导出收藏夹链接和Cookie。如果
禁用该功能或不对其进行配置，则用户可以通过单击“文件”菜单上的“导入和导出”菜
单项，然后运行“导入/导出向导”，导入/导出IE中的收藏夹。
注意：如果启用该策略，用户仍然可以查看“导入/导出向导”，但当用户单击“完成”按
钮时，将出现说明该功能已被禁用的提示信息。

六、系统安全/共享/权限设置
自有计算机以来，安全一直就是人们关注的焦点问题，Windows XP也不例外。在组策略中
，系统安全配置一般在“计算机配置”→“Windows设置”→“安全设置”中进行。
1、密码策略
这一策略在“账户策略”→“密码策略”节点中配置。口令是系统安全的一大隐患，可通
过组策略设置密码（口令）的最小长度：双击启用“密码必须符合复杂性要求”设置项，
确定后双击“密码长度最小值”设置项，在弹出来的对话框中将密码长度最小值设为8或更
大，这样以后设置账户密码时就必须输入8位以上，安全性就高多了。
2、用户权利指派
展开“本地策略”→“用户权利指派”节点，在右边窗口中便能看到“用户权利指派”节
点下的所有设置。合适地指派用户权利可以解决一些奇怪的问题，例如在局域网中使用Wi
ndows XP系统的朋友一般会发现一个奇怪的现象，那就是即使你启用guest用户并给予权限
，局域网中的其他Win9X操作系统的用户还是无法访问Windows XP系统中的共享资源。这个
问题可在组策略中通过修改有关设置解决：双击“用户权利指派”节点下的“拒绝从网络
访问这台计算机”设置项，在弹出对话框中点选“guest”，然后单击“删除”，最后确定
即可。在“用户权利指派”节点下还可给用户添加许多权限，例如给guest添加远程关机权
限、给一般用户添加更改系统时间的权限。
3、文件和文件夹设置审核
Windows XP Professional可以使用审核跟踪用于访问文件或其他对象的用户账户、登录尝
试、系统关闭或重新启动以及类似的事件。审核文件、文件夹（只适用于 NTFS文件系统）
可以保证文件和文件夹的安全。在审核发生之前，您必须使用“组策略”指定要审核的事
件类型。为文件和文件夹设置审核的步骤如下。
a.单击选择“开始”→“运行”命令，在弹出的“运行”对话框中键入“gpedit.msc”命
令，然后单击“确定”按扭即可；当然你也可以在桌面上创建一个相应的快捷方式。
b.在弹出的“组策略”窗口中，逐级展开右侧窗格中的“计算机配置”→“Windows设置”
→“安全设置”→“本地策略”分支，然后在该分支下选择“审核策略”选项。
c.在右侧窗格中用鼠标双击“审核对象访问”选项，在弹出的“本地安全策略设置”窗口
中，将“本地策略设置”框内的“成功”和“失败”复选框都打上勾选标记。如图12所示
。然后单击“确定”按扭
d.用鼠标右键单击想要审核的文件（或文件夹）。选择快捷菜单的“属性”命令，然后在
弹出的窗口中选择“安全”选项卡。
e.单击“高级”按扭，然后选择“审核”选项卡。
f.根据具体情况选择您的操作：
(1)倘若对一个新组（或用户）设置审核, 请单击“添加”按扭，在“名称”框中键入新用
户名，然后单击“确定”按扭，将打开“审核项目”对话框。
　　(2)要查看（或更改）原有的组（或用户）审核, 选择用户名，然后单击“查看/编辑
”按扭。
　　(3)要删除原有的组（或用户）审核, 选择用户名，然后单击“删除”按扭即可。
g.如有必要的话，在“审核项目”对话框中的“应用到”列表中选取您希望审核的地方（
“应用到”列表仅对文件夹有效）。
h.如果您想禁止目录树中的文件和子文件夹继承这些审核项目，选择“仅对此容器内的对
象和/或容器应用这些审核项”复选框。
如果在“审核项目”对话框中的“访问”之下的复选框变暗，或在“访问控制设置”对话
框中“删除”按钮不可用，那么说明已经继承了来自父文件夹的审核。
需要注意的是：必须是管理员组成员或在组策略中被授权有“管理审核和安全日志”权限
的用户可以审核文件或文件夹。在Windows XP审核文件、文件夹之前，您必须启用“组策
略”中“审核策略”的“审核对象访问”。否则，当您设置完文件、文件夹审核时会返回
一个错误消息，并且文件、文件夹都没有被审核。通过事件查看器（Event Viewer）可以
检查那些访问审核过的文件和文件夹的成功或失败的尝试。
4、Windows 98访问Windows XP共享目录被拒绝的问题解决
在局域网内，经常可以遇到装有Windows 2000的电脑开了共享目录，而装有Windows 98的
电脑却无法访问的问题。这个在微软的官方网页上可以找到答案，提示开启Windows 2000
的GUEST用户就行了。可是Windows XP出来以后，同样的又面临这个问题，结果有些人发现
这个方法不灵了，从网上邻居访问Windows XP的共享目录不一定能被允许。原因何在？这
个问题本也困扰过我好几天，后来在无意中发现了问题的答案，也许这是Windows XP的一
个BUG？
在开启了系统Guest用户的情况下，运行组策略编辑器程序，在“本地计算机策略”→“计
算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权利指派”→“拒
绝从网络访问这台计算机”中赫然可以看到有Guest用户！如果在这里删除Guest用户，那
么其他电脑就可以从网上邻居中查看这台电脑的共享目录了
5、阻止访问命令提示符
防止用户运行命令提示符窗口(Cmd.exe)。这个设置还决定批文件(.cmd和.bat)是否可以在
计算机上运行。位置：\用户配置\管理模板\系统\ 如果启用这个设置，用户试图打开命
令窗口，系统会显示一个消息，解释设置阻止这种操作。
注意：如果计算机使用登录、注销、启动或关闭批文件脚本，不防止计算机运行批文件；
也不防止使用终端服务的用户运行批文件。
6、阻止访问注册表编辑工具
该策略将禁用Regedit.exe，以禁用Windows注册表编辑器。这样可以很大程度防止网页上
的恶意代码篡改IE。位置：\用户配置\管理模板\系统\ 如果这个设置被启用，并且用户试
图启动注册表编辑器，解释设置禁止这类操作的消息会出现。要防止用户使用其他系统管
理工具，请使用“只运行许可的Windows应用程序”策略设置。

补充

1.禁止程序后组策略无法使用
可以通过以下方法来恢复设置：重新启动计算机，在启动菜单出现时按F8键，在Windows高
级选项菜单中选择“带命令行提示的安全模式”选项，然后在命令提示符下运行mmc.exe。
在打开的“控制台”窗口中，依次点击“文件→添加/删除管理单元→添加→组策略→添加
→完成→关闭→确定”，现在已经添加了一个组策略控制台，接下来把原来的设置改回来
，然后重新进入Windows即可。
2、从“我的电脑”中删除共享文档
当Windows用户在一个工作组中，一个“共享文档”图标会以Windows资源管理器的Web视图
出现在“其他位置”和“在这台计算机上存储的其他文件”中。使用此设置，你可选择不
显示这些项目。
本地计算机策略——>用户配置——>管理模板——>Windows组件——>Windows资源管理器
\
如果启用此设置，“共享文档”文件夹将不会以Web视图方式显示或在“我的电脑”中出现
。如果禁用或不配置此设置，当用户是“工作组”的一部分时，“共享文档”文件夹将会
以Web视图方式显示或在“我的电脑”中出现。

教你如何完全的重新安装IIS！

2008-07-16T02:48:14+08:00

如何重新安装IIS，有的时候IIS出现严重错误，比如metabase坏掉，又没有备份….

　　一般的做法，直接在控制面板添加删除程序中卸载IIS重装。

　　这样并不是保险的做法，很多人在重装IIS后问题依旧。

　　所以建议在任何情况下都用以下步骤重新安装IIS：　　

　　1、把IIS卸载。

　　2、把 %windir%\system32\inetsrv 删除。

　　3、把%windir%\iisX.log删除，X 是IIS版本。

　　4、把 \inetpub\ 目录删除。

　　（以上操作可以在安全模式中进行。）

　　5、重装IIS。　　

Microsoft IIS6.0实现WAP应用！

2008-07-16T02:47:15+08:00

本文介绍如何使Windows2003+IIS6.0版本支持WAP应用，该信息同样适用于Windows2000+IIS5.0。
　　首先，打开IIS为其设置新的MIME类型，在网站属性的HTTP头选项中设置。
添加WAP所需的MIME类型。

扩展名 MIME类型
.wml text/vnd.wap.wml
.wbmp image/vnd.wap.wbmp
.wmlc application/vnd.wap.wmlc
.wmls text/vnd.wap.wmlscript
.wmlsc application/vnd.wap.wmlscriptc

确定后你的IIS已经可以支持WAP，但是当我们在浏览器输入WAP页地址访问的时候却提示将WML文件下载，这时你必须安装WAP浏览器才行，我用的是M3Gate，大家可以去百度搜索下

安装后再次用IE访问你建立的WAP站点目录，就会自动启动M3Gate，并且显示到默认页面，比如是index.wml。

为了便于描述，我直接将wap.sina.com.cn的首页下载下来保存为index.wml，并且在默认网站中建立了一个名为test的虚拟目录指向其，通过http://localhost/test/index.wml访问即可！

OK，现在你也可以象那些大网站一样提供WAP站点服务了。

DDOS攻击防御全攻略

2008-07-15T13:17:45+08:00

一、为何要DDOS？

　　随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布，DDOS拒绝服务攻击的实施越来越容易，DDOS攻击事件正在成上升趋势。出于商业竞争、打击报复和网络敲诈等多种因素，导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDOS攻击所困扰，随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题，因此，解决DDOS攻击问题成为网络服务商必须考虑的头等大事。

二、什么是DDOS？

　　DDOS是英文Distributed Denial of Service的缩写，意即“分布式拒绝服务”，那么什么又是拒绝服务（Denial of Service）呢？可以这么理解，凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。虽然同样是拒绝服务攻击，但是DDOS和DOS还是有所不同，DDOS的攻击策略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“洪水式攻击”，常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能，从而造成拒绝服务，常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言，危害较大的主要是DDOS攻击，原因是很难防范，至于DOS攻击，通过给主机服务器打补丁或安装防火墙软件就可以很好地防范，后文会详细介绍怎么对付DDOS攻击。

三、被DDOS了吗？

　　DDOS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。

　　如何判断网站是否遭受了流量攻击呢？可通过Ping命令来测试，若发现Ping超时或丢包严重(假定平时是正常的)，则可能遭受了流量攻击，此时若发现和你的主机接在同一交换机上的服务器也访问不了了，基本可以确定是遭受了流量攻击。当然，这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽，否则可采取Telnet主机服务器的网络服务端口来测试，效果是一样的。不过有一点可以肯定，假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的，突然都Ping不通了或者是严重丢包，那么假如可以排除网络故障因素的话则肯定是遭受了流量攻击，再一个流量攻击的典型现象是，一旦遭受流量攻击，会发现用远程终端连接网站服务器会失败。

　　相对于流量攻击而言，资源耗尽攻击要容易判断一些，假如平时Ping网站主机和访问网站都是正常的，发现突然网站访问非常缓慢或无法访问了，而Ping还可以Ping通，则很可能遭受了资源耗尽攻击，此时若在服务器上用Netstat -na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在，而ESTABLISHED很少，则可判定肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是，Ping自己的网站主机Ping不通或者是丢包严重，而Ping与自己的主机在同一交换机上的服务器则正常，造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令，其实带宽还是有的，否则就Ping不通接在同一交换机上的主机了。

　　当前主要有三种流行的DDOS攻击：

　　1、SYN/ACK Flood攻击：这种攻击方法是经典最有效的DDOS方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持。少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用Netstat -na命令会观察到存在大量的SYN_RECEIVED状态，大量的这种攻击会导致Ping失败、TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。

　　2、TCP全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序（如：IIS、Apache等Web服务器）能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此容易被追踪。

　　3、刷Script脚本攻击：这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。一般来说，提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过Proxy代理向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务，常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护，轻松找一些Proxy代理就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣，并且有些Proxy会暴露攻击者的IP地址。

四、怎么抵御DDOS？

　　对付DDOS是一个系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90%的DDOS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDOS攻击。以下为笔者多年以来抵御DDOS的经验和建议，和大家分享！

　　1、采用高性能的网络设备

　　首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。

　　2、尽量避免NAT的使用

　　无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此技术会较大降低网络通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间，但有些时候必须使用NAT，那就没有好办法了。

　　3、充足的网络带宽保证

　　网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在1000M的主干上了。但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚。

　　4、升级主机服务器硬件

　　在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，服务器的配置至少应该为：P4 2.4G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存，若有志强双CPU的话就用它吧，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，别只贪IDE价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用3COM或Intel等名牌的，若是Realtek的还是用在自己的PC上吧。

　　5、把网站做成静态页面

　　大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现，看看吧！新浪、搜狐、网易等门户网站主要都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的，此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网站的80%属于恶意行为。

　　6、增强操作系统的TCP/IP栈

　　Win2000和Win2003作为服务器操作系统，本身就具备一定的抵抗DDOS攻击的能力，只是默认状态下没有开启而已，若开启的话可抵挡约10000个SYN攻击包，若没有开启则仅能抵御数百个，具体怎么开启，自己去看微软的文章吧！《强化 TCP/IP 堆栈安全》- http://www.microsoft.com/china/techn...secmod109.mspx
　　也许有的人会问，那我用的是Linux和FreeBSD怎么办？很简单，按照这篇文章去做吧！《SYN Cookies》－ http://cr.yp.to/syncookies.html

　　7、安装专业抗DDOS防火墙

　　8、其他防御措施

　　以上的七条对抗DDOS建议，适合绝大多数拥有自己主机的用户，但假如采取以上措施后仍然不能解决DDOS问题，就有些麻烦了，可能需要更多投资，增加服务器数量并采用DNS轮巡或负载均衡技术，甚至需要购买七层交换机设备，从而使得抗DDOS攻击能力成倍提高，只要投资足够深入，总有攻击者会放弃的时候，那时候你就成功了！

文章来自: 站长网(admin5)