暗黑破坏神之后黑客问题

具体的我说不明白，不过我找了一片相关文章，如下：

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

暗黑黑客技术之终极篇，看一位通信高才生的杰作（希望给其他战网一些警示）

管理提醒： 本帖被 konrad 执行置顶操作(2008-07-12)

有一部分人碰到过这个情况吧，有的是TTBN的，有的是91D2的。这是怎么回事呢？真的是电信在调整吗？

下面要让大家看一些东西，给大家展示一下一位通信高才生的杰作。在讲述问题之前为防止一些人完全看不

懂，先简单补充下网络通信的一点基础知识。众所周知现在联网的游戏都是通过TCP/IP协议与FWQ通信的，

那么通过TCP/IP协议客户端是怎样跟FWQ进行连接的呢？业内的一种叫法叫做TCP/IP的三次握手，我们就

简单讲讲这三次握手是怎么回事。TCP/IP协议实际就是由一定格式的数据和一定通信流程构成的规范，在

这个格式中包含了通信用的地址跟通信用的端口，如FWQ和客户端的IP地址跟端口，还有一些标志位用来

标识每个包的类别。常用的标志位有SYN ACK PSH FIN RST这5个，在客户端向FWQ连接的时候先发送

一个SYN的包称为第一次握手，FWQ收到这个包后向客户端返回一个SYN和ACK同时标志的包称为第二次

握手，客户端收到FWQ返回的SYN ACK包后再发送一个ACK包称为第三次握手。在完成这三次握手以后客

户端到FWQ的连接就建立起来了，那么有什么方法会让这个连接中断呢？很简单，只要任何一方向另一方

发送一个标志了RST位的包这个连接就断掉了。RST是什么意思？在这里RST就是RESET连接重置的意思

到这里基础知识就讲完了，我们接下来看点有趣的东西吧。

首先感谢TTBN论坛的落魄孤星提供以下数据。

当时5月中旬正值TTBN宣布开荒之际，LS找到我说有人经常出现连接被排除的情况，一位叫落魄孤星的朋

友配合我们检查网络数据。在多次截包和在测试FWQ上记录的数据显示有人能在网络上截获用户到FWQ的

TCP/IP连接并伪造FWQ和用户向双方发送带有RST标志位的包使其中断连接。

收到FWQ正常的SYN ACK包

收到伪造的RST ACK包

以上是落魄孤星在电脑上的抓包图，完整的截包数据放在帖子的附件里，有兴趣的可以用ethereal这个抓包

软件打开看。专家一眼就能看出那些RST ACK包是伪造的，至于为什么我就不多说了，这超出了部分人的

理解范围。下面还有一些我在测试FWQ上用tcpdump抓包时跟落魄孤星的对话记录。

使用非222.240.204网段FWQ时没有排除现象，tcpdump抓包正常

使用222.240.204网段测试FWQ时连接被排除，tcpdump抓到大量RST ACK包

同样使用222.240.204网段FWQ，但将端口改为80连接没有问题，抓包也没有异常

通过以上的验证，我们确定了只要是访问222.240.204.xx这个网段的FWQ的6112端口就会抓到大量伪造包

这是导致连接被排除的直接原因。开始我们一直在想这个网络连接是在哪个地方被截获的，因为FWQ收到

的RST ACK包在客户端没有抓到，在客户端收到的RST ACK包在FWQ上没抓到，那么这个东西就只可能

在网络上。我与绿盟的技术支持谈论的时候他们问是不是临近的FWQ有ARP截包，但是那样解释不通湖

南本地的为什么没有问题，后来听说91D2也有这种现象并且在一个长沙的玩家那里得到证实，在同91D2

的管理员对话时得到这样一个情况，那就是只有湖南和湖北地区的有这种现象。而到TTBN连接被排除的

地区分布很多，有四川的、广东的、江苏的、福建的、山东的和一些西部地区的，而湖南电信的一个出口

在武汉局所以断定这个劫持设备应该在武汉局，在干网上。

91D2服务器返回的正常包

伪造91D2服务器的RST ACK包

由于是在开荒前出现的问题，所以得到了及时的防范，但是TTBN开荒后新的问题又出现了，那就是干网

上的路由经常被改掉导致外界无法访问。开荒后一跳到222.240.204.1的路由经常无原无故的消失，而同

一级的其他路由均正常。

更有意思的是在CNC开通后第二天由CNC58.20.250网段到222.240.204这个网段的路由在61.137.0.230

这一跳就停止了，而其他网通地址段则没有问题。

北京网通用户到222.240.204网段的路由

网通FWQ网段到222.240.204网段的路由

到后来与91D2的管理员对话，劫持网络连接被排除的问题已经消失了。因为事先得知此人能轻而易举的

截获主干网上的连接，那当然也能劫持D2GS到存档FWQ的连接。由于这个赛季TTBN有外地FWQ连进来

因此也做了必要的防范，因为目前现有的FWQ软件传送存档数据都是以明文传送的，要在这些人的眼皮

底下用明文在FWQ之间传递存档那简直是找死，这个人要改点装备什么的真是小菜一碟。虽然不能断定

改动干网路由和干网截包是同一个人做的，但此人能在干网截包就已经很不简单了。如果真的是同一人

还请中国电信部门引起重视，此人控制核心路由如取囊中之物，要么是干网上有其他部门的机器被控制了

要么就是此人本来就是电信内部的，这种人还是尽快清理掉。至于为什么攻击TTBN，我想可能是TTBN

影响了他在其他大战网的业务吧，所以还请各大战网引起注意，尤其是有跨网FWQ而且还在以明文传递

存档的战网。话就说到这里，最后我要对这个人说一句，不要以为你做的事别人就不知道，不要把别人当SB。

最后把落魄孤星抓包的完整数据传上来，有兴趣的朋友可以看看，注意要用ethereal打开

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

图贴不上来，如果你有战网中国bbs的id，可以查看原文！

在UT上骂起来那个人给我弄的所有UT号掉线

ping

它是用来检查网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管

理员或者黑客来说，ping命令是第一个必须掌握的DOS命令，它所利用的原理是这样的：

网络上的机器都有唯一确定的IP地址，我们给目标IP地址发送一个数据包，对方就要返

回一个同样大小的数据包，根据返回的数据包我们可以确定目标主机的存在，可以初步

判断目标主机的*作系统等。下面就来看看它的一些常用的*作。先看看帮助吧，在DOS

窗口中键入：ping /? 回车，。所示的帮助画面。在此，我们只掌握一些基本的很有用

的参数就可以了（下同）。

-t 表示将不间断向目标IP发送数据包，直到我们强迫其停止。试想，如果你使用

100M的宽带接入，而目标IP是56K的小猫，那么要不了多久，目标IP就因为承受不了这么

多的数据而掉线，呵呵，一次攻击就这么简单的实现了。

-l 定义发送数据包的大小，默认为32字节，我们利用它可以最大定义到65500字节

。结合上面介绍的-t参数一起使用，会有更好的效果哦。

-n 定义向目标IP发送数据包的次数，默认为3次。如果网络速度比较慢，3次对我们

来说也浪费了不少时间，因为现在我们的目的仅仅是判断目标IP是否存在，那么就定义

为一次吧。

说明一下，如果-t 参数和 -n参数一起使用，ping命令就以放在后面的参数为标准

，比如“ping IP -t -n 3”，虽然使用了-t参数，但并不是一直ping下去，而是只ping

3次。另外，ping命令不一定非得ping IP，也可以直接ping主机域名，这样就可以得到

主机的IP。

下面我们举个例子来说明一下具体用法。

这里time=2表示从发出数据包到接受到返回数据包所用的时间是2秒，从这里可以判

断网络连接速度的大小 。从TTL的返回值可以初步判断被ping主机的*作系统，之所以

说“初步判断”是因为这个值是可以修改的。这里TTL=32表示*作系统可能是win98。

（小知识：如果TTL=128，则表示目标主机可能是Win2000；如果TTL=250，则目标主

机可能是Unix）

至于利用ping命令可以快速查找局域网故障，可以快速搜索最快的QQ服务器，可以

对别人进行ping攻击……这些就靠大家自己发挥了。

新浪UT令人失望

做了一个网站就因该注意维护，不然怎么对的起用户和浏览者？

不注意更新和维护这样的网站迟早会没生命力的，将会逐渐被网

络用户渐渐忘却。不可能达到百度谷歌这样大型网站的收益。

请三思而后行……