两招填补Windows DNS服务器漏洞服务器教程

两招填补Windows DNS服务器漏洞服务器教程（共2篇）

篇1：两招填补Windows DNS服务器漏洞服务器教程

DNS 是域名系统 (Domain Name System) 的缩写，大家在上网时输入的网址，是通过域名解析系解析找到相对应的IP地址才能访问到网站。但是最近微软的Windows 2000和Windows 2003的DNS服务出现一个极高的安全漏洞，如果被 成功利用的话，那么我们的上网操作将遇到巨大的麻烦。

姓名：张均诚

特长：Windows系统漏洞研究

使用工具：DNS服务器漏洞利用工具

自白：最近Windows系统的DNS出现了0day漏洞，自从这个安全漏洞的代码被披露，攻击这个漏洞的Nirbot蠕虫已经出现了各种变体。如果这个漏洞被 利用，那么系统就会被 完全控制。

DNS漏洞打开系统防线

Windows DNS如果存在这个漏洞，那么它在工作时，RPC接口如果处理到有非常规的畸形连接请求，就会向外释放管理员权限，让 可以利用这种漏洞完全控制系统。 可以通过向有这个漏洞的系统发送一个经过特别设计的RPC数据包，就能够获得该系统的管理员权限，远程执行任意指令。

小知识：什么是RPC

远程过程调用 (RPC) 是一种协议，程序可使用这种协议向网络中的另一台计算机上的程序请求服务。由于使用 RPC 的程序不必了解支持通信的网络协议的情况，因此 RPC 提高了程序的互操作性。

此前，RPC中也出现过数个漏洞，其中包括导致Blaster蠕虫大爆发的那个漏洞。这一最新的漏洞是一个堆栈溢出漏洞，给微软和Windows用户带来了很 烦。

根据微软发布的消息，Windows XP和Windows Vista不会受到这一DNS漏洞的影响，Windows 2000 Server SP4、Windows Server 2003 SP1、Windows Server 2003 SP2则存在这一漏洞。

轻松利用DNS漏洞

打开系统的命令提示符，接着跳转到DNS服务器漏洞利用工具所在的命令，然后执行该漏洞利用工具(图1)。

在该漏洞的利用程序中执行命令：dns.exe -h 127.0.0.1 -t 1 -p 445，因为我是在本地计算机上进行测试的，所以其中的IP地址为127.0.0.1，而且需要根据服务器版的语言设置参数。当利用工具提示溢出成功以后，就可以利用telnet命令或程序nc连接存在漏洞的服务器中的4444端口，比如telnet 127.0.0.1 4444(图2)，

需要说明的是，该工具的成功率并不是特别的高，所以在测试的时候需要多进行几次

当我们成功利用漏洞进行溢出以后，就可以在命令行输入：net user pcw 1234 /add，回车确定后如果显示命令成功，就说明已经成功的添加了一个用户名为pcw密码为1234的用户。

然后我们再在命令行输入：net localgroup administrators pcw /add，成功执行的话就表示将该用户已经添加到管理员组(图3)。

现在只要利用Windows系统自带的远程桌面功能，接着连接到该DNS服务器的IP地址，然后利用我们刚刚创建的用户名进行登录，就可以进行适时地远程管理操作了(图4)。

如果远程服务器没有开通终端服务功能，也可以通过溢出得到的命令提示符窗口，通过FTP或Tftp命令上传我们的木马程序，这样也可以进行有效的远程管理操作。

漏洞危害大，不可不防

由于这个安全漏洞影响到Windows 2000 Server和Windows Server

关 键 字：DNS 服务器

篇2：找差距，填补服务质量漏洞

预期与感知服务质量的4个差距

对于商业健身俱乐部来说，服务质量是衡量其价值的主要依据。但多数人不知道，健身俱乐部的服务质量，其实包括预期服务质量与感知服务质量两种。预期服务质量即顾客对健身俱乐部提供的服务的预期的满意度。感知服务质量则是顾客对健身俱乐部提供的服务的实际感知的水平。如果顾客对服务的感知水平符合或高于其预期水平，那么，顾客获得的满意度则较高，从而认为俱乐部的服务质量也较高；反之，则会认为俱乐部的服务质量较低。

从这个角度看，商业健身俱乐部的服务质量是顾客的预期服务质量与感知服务质量的比较。预期服务质量是影响顾客对整体健身俱乐部服务质量的感知的重要前提。如果预期服务质量过高、不切实际，即使顾客得到的真实感知服务质量较高，那么，他们仍然会认为俱乐部服务质量低。

商业健身俱乐部的预期服务质量受4个因素的影响：决策者对顾客期望的认知、服务质量的规范化、服务信息向会员和准会员的传递、服务的实际执行。而这4个因素也极大影响着会员和准会员的感知服务质量。理解顾客预期服务质量和感知服务质量之间的差距，是十分必要的，同时也是能够有效提高会员对于俱乐部服务质量认知的关键。

差距1 会员、准会员对服务的期望，与服务提供者认知之间的差距。

健身俱乐部的管理人员可能并不确切知道会员、准会员对服务质量的期望，因此两者之间对于服务质量的认知标准可能存在差异。

这种差异的大小由3个因素造成。首先是市场调查。健身俱乐部对市场调查及其他一些不能带来直接利润效果的营销工作往往重视不够，在确定了经营方向、目标市场、服务范围及价格水平等，几乎从来不做市场调查。这就使得管理者不可能真正理解会员和准会员的期望和要求。其次是内部纵向沟通，即从服务执行人员一直到俱乐部最高管理之间的沟通。服务执行人员在与会员、准会员的直接接触中，最了解顾客的需求和期望，他们掌握的信息要向上逐级传递，直至到达俱乐部最高主管。在这一沟通过程中，只有保证信息渠道的健全畅通，才能使负责决策的管理人员及时、准确地掌握完备的信息，从而对会员、准会员的服务期望作出准确的判断。第三是管理层次。在服务执行人员与最高主管之间的中间管理层次及其管理人员，既是信息的接受者又是信息的发散源。中间层次与人员越多，沟通就越困难，沟通效率就越低，其间的信息丧失率和错误率就越高。

差距2 服务提供者对会员期望的认知，与服务质量规范之间的差距。

健身俱乐部在制定具体的服务质量规范时，会因为质量管理、目标设定、任务标准化和可行性这几个原因，使管理者对会员、准会员服务期望的认知，无法充分体现在所制定的服务质量规范上。首先，健身俱乐部会因为缺乏全面、系统的服务质量管理而使差距加大。许多俱乐部容易把管理重点放在节约成本、短期利润等易于测量且效益明显的目标上，而对服务质量管理缺乏必要的重视，致使服务质量管理水平较低。其次是目标设置。目标设置是一个组织存在的前提，它不仅有利于提高组织和个人的行为水平，而且有助于组织的全面控制。大量的事实表明，能提供优质服务的公司都有一套明确的目标。会员服务目标需要完整地反映在俱乐部的服务质量规范之中，并以这些目标作为服务质量控制的依据。再次是任务的标准化。对会员、准会员期望的认知，向服务质量规范的转化程度还取决于任务的标准化过程。有效的任务标准化工作将有助于缩小这一差距，否则可能使差距进一步扩大。而且通过服务的标准化，使服务行为有统一的标准，将有助于俱乐部进行有效的服务质量控制和管理。对服务的标准化主要依靠各种技术来实现，如用机器设备取代人员服务，改进服务操作方法，对员工进行标准化培训等。但服务任务的标准化是有限制的，任务的标准化决不能搞“一刀切”，只能对那些常规性的服务项目和环节，特别是会员、准会员不参与的服务过程，进行标准化。最后是可行性问题，即满足会员、准会员对于服务的期望，在经济上和技术上是否合理可行。如果管理人员认为会员、准会员的服务期望，根本很难在本机构内被满足，那么对顾客期望的认知与服务质量规范之间的差距就会加大。

差距3 服务质量规范和服务提供者实际行动之间的差距。

当服务提供者不能够或不愿意严格按照服务质量规范提供服务时，这种差距就产生了。由于它是在服务表现过程中形成的，因此也被叫作“服务表现差距”。影响服务表现差距的因素包括服务意识、团队协作、员工胜任程度、技术胜任性（健身俱乐部的技术和设备水平满足一定服务质量要求的程度）、现场控制、跟踪控制、角色冲突和角色模糊等。

差距4 服务提供者的实际行动与服务提供者沟通之间的差距。

健身俱乐部在广告和促销中作出的服务承诺，与实际提供服务之间的差距，往往是由于俱乐部与会员、准会员间的沟通发生差错或者过分夸大其承诺、滥许承诺造成的。服务提供者向会员和准会员传递的信息会影响会员的预期，当这种预期得不到满足时会员和准会员就会失望，从而导致公司的形象受损。为了缩小这种差距，一些服务企业采取了低“姿态”的营销沟通办法。日本一位著名的零售企业家曾说：“顾客来我的店里购买商品，我一定按照实际情况介绍该产品，产品的优点和相对的不足，我一定会介绍清楚。不然，虽然他经过了我的游说，他买了我的商品，回家却发现这个产品不符合他的预期期望，他就会认为我骗了他，商店骗了他，非常影响企业的形象。”因此，如果能适度降低会员、准会员的服务预期，实际上就等于相对地提高了会员、准会员对俱乐部服务的感知质量。

填补“服务差距”的2个方法

1 明确顾客真正关心的服务细节，填补“服务差距”。

为了填补这些差距，国外某健身俱乐部做了一些测试，他们认为首先必须先将服务细化，制定出标准，才能填补差距。为了使服务质量标准能真正成为衡量俱乐部服务行为的标准，而非简单的操作规则，标准必须根据顾客的期望来制定；接下来是据此标准，判断能令顾客满意的服务有哪些，然后，俱乐部管理层才可以根据这些具体的服务项目，落实到工作实处。

据某健身行业机构调查发现，健身俱乐部的会员对服务质量的需要，最基本有8个方面，即舒适与及时、物美与环境、安全与卫生、礼貌与诚信。

☆专业与效果方面：健身俱乐部所拥有的教练，专业训练是否科学；健身俱乐部是否给予顾客个别的关心，是否把顾客最关心的事情放在心上。健身俱乐部的员工是否给予顾客个性化的关注；是否了解顾客的真实需求。

☆价格与服务方面：俱乐部制定的价格与所提供的服务是否相匹配。俱乐部环境是否优雅、整洁，符合健康健身的标准。俱乐部在价格方面是否对老会员给予一定的优惠。

☆安全与卫生方面：俱乐部的信誉是否可靠。俱乐部的员工是否值得完全信赖。对会员的档案是否给予完全保密。

☆舒适与及时方面：俱乐部是否在承诺的时间内提供服务。俱乐部是否充分考虑到顾客的利益，并提供方便、快捷、舒适的服务。

☆器材及环境方面：俱乐部是否有先进的设备、设备齐全，是否有明显的吸引力。俱乐部的健身设施、设备是否达到专业水平，健身锻炼环境是否与俱乐部形象及所制定的价格相符。

☆礼貌和诚信方面：俱乐部的教练、员工是否穿着得体、整洁、有礼貌；是否具有沟通联络的能力。俱乐部的管理者及员工是否能在承诺时间内做到某项服务。俱乐部的教练是否能够及时、准确的提供专业服务，帮助会员有效地达到个人目标。

2 “六西格玛管理法”，精确服务质量管理。

服务质量对一家健身俱乐部而言，就是其生命，为了做好质量管理，国外一些俱乐部采用“六西格玛管理法”来加强俱乐部的服务质量管理。虽然这个管理方法对于国内健身俱乐部来说，有些陌生。但其主要原则是对健身俱乐部内部工作中“隐蔽工程”的探索和开采，即及时发现俱乐部内部被忽略的问题，同时运用精确度和可操作性的工具深入发掘那些可能存在差距的细节。另外，这个管理方法也更加重视顾客满意度，将以顾客满意和创造顾客价值为中心。它能够有预见的、在问题产生之前，处理隐患。这意味着俱乐部管理者可以关注那些被忽略了的业务运作，并养成习惯。如，确定远大的目标并且经常加以检视、确定清晰的工作优先次序、注重预防问题而不是疲于处理已发生的危机、经常质疑做事的目的，而非不加分析地维持现状。简单来说，就是从本质上探究俱乐部存在的问题，从服务质量出发，做到节约成本，提高效率。

在具体应用中，该管理方法要求俱乐部应在人员的配备上，投入大量资金用于人员的培训和聘用。具体到内部员工及服务人员，就是投入较多资金对全体可能影响到俱乐部服务质量的员工进行培训。尤其对于中小型健身俱乐部，培训可以是有针对性的。俱乐部管理者可以把全部员工划分为小组进行培训，这样可以有针对性地提高某一职位或环节的服务质量，并可以避免在空洞的问题上浪费时间资源。