今天又被天气欺骗了一次，昨天最高温度21度，看了一下天气预报说今天的最低温度11度，早上起床前看了一眼天气好象不象昨天那天气预报说的那样，不过呢还是相信了它，穿的就很少，昨天那可是一个热哟，到了现在连太阳的影子都没看到，天气阴沉沉的，中午好象还的下雨，哎，再一次被天气欺骗。

不过呢，我好象善于被欺骗一样，呵呵，不管是什么，就算自己的眼睛看见了耳朵听见了也不愿意去接受这是事实，而偏要去接受一些所谓的真实的事实的谎言，这个毛病总是修改不了，所以被欺骗和被伤害那就是理所当然了，这样的话也就没有可说的了，哎，善良的人总是善于被伤害。

很久没写东西了，这段时间除了忙以外就没有感觉了，麻木了，就象被伤害的太深一样，痛的过头了就麻木了不知道什么是痛了，这一星期是我在这里上班以来最轻松的一星期，而这一星期也有足够的时间让我游走各个我喜欢的论坛，好好的欣赏着各种有趣的文字，感觉非常享受，这样的日子也即将过去，轻松惬意的日子总是很短暂的，就象拥有的快乐感觉的幸福很短暂只有那短短的几天，而伤痛却是持续了几个月还在继续痛着，将持续多久才会忘记曾今自己也这么痛过，更是一个未知的答案。

现在头晕的厉害，眼睛内充满了刺痛，想睡觉，更想一睡不起，起来后什么都发生了变化，不再是现在这样，记忆中什么也没有，一片空白，再由自己重新去绘制色彩，呵呵，又在发痴了。白天做梦，不过还好，今天没太阳，阴阴的就当是晚上也还是不错的，有时候是需要这些思想来安慰自己的，如果只一味的接受现实和想现实的话，我想可能早就疯了，精神粮食还是不可缺少的，毕竟我们是生活在一个精神性质的国家和社会里的嘛，怎么能少掉生活最根本的东西呢？文学家和诗人经常都会在嘴边挂一句话除了物质外还有很多东西是可以去追求的嘛，是呀，没有物质还有精神嘛，谁叫我们是社会主义国家呢，本来就是精神的世界嘛，肚子饿的时候就望着空中张开嘴心里叫着掉肉下来，万一肉没掉下来，掉个野蛮女友下来也是相当不错的嘛。

我只有在瞎吹牛和非常忙的时候才会感觉不到内心的疼痛，我是一个孤独的人，我害怕孤独，却又喜欢孤独时候的安静，我害怕一个人呆在那里发呆，因为那时候的我是最伤感最痛苦的时候，我也不需要任何人的安慰，因为我知道这是我自己必须去承受的，在记忆中自己很早就告诉了自己一句话，选择了什么样的路就要承受这条路上所带来的痛苦，我选择了这样，我就必须承受比这选择多很多的痛苦，现实就是这样，既然选择了就没有后悔的余地，当然我更不会后悔，因为这是我自己选择的，后悔不是我的个性，我只会记得更深，感激的更多，让我承受的底线再一次的延长，只有底线越长倒下的几率才会越小。如果再给我一次机会我还会做出同样的选择，那时候的我会倍加的珍惜，不会让自己再受同样的伤害，更不会让你痛苦，选择一样结果不一样，考了几十年的试做了成千上万的选择题，总是错的多对的少，没办法，敏感度太低了，所以才考了一个很差的专科大学，呵呵，没想到走上社会上班了选择题还是一样的做不正确，哎，没的救了。

酒肉穿肠过，痛苦心中留。哈哈，我现在越来越发觉我伟大的不得了，居然能出口就是名言呀，伟大的人难道都是受到了过度的刺激而才伟大的，还是名言都是受了过猛刺激的疯子说出来呢？哈哈，可能都是吧，我现在就是要疯了，但是我不得疯，我不会给自己疯的机会。所以我总是在调整我的承受底线。

不写了，痛是不可能用文字抹掉的，它躲在心里最深处，这个痛的印记将永远存在。

　　Tracert（跟踪路由）是路由跟踪实用程序，用于确定 IP 数据报访问目标所采取的路径。Tracert 命令用 IP 生存时间 (TTL) 字段和 ICMP 错误消息来确定从一个主机到网络上其他主机的路由。

　　Tracert 工作原理

　　通过向目标发送不同 IP 生存时间 (TTL) 值的“Internet 控制消息协议 (ICMP)”回应数据包，Tracert 诊断程序确定到目标所采取的路由。要求路径上的每个路由器在转发数据包之前至少将数据包上的 TTL 递减 1。数据包上的 TTL 减为 0 时，路由器应该将“ICMP 已超时”的消息发回源系统。

　　Tracert 先发送 TTL 为 1 的回应数据包，并在随后的每次发送过程将 TTL 递增 1，直到目标响应或 TTL 达到最大值，从而确定路由。通过检查中间路由器发回的“ICMP 已超时”的消息确定路由。某些路由器不经询问直接丢弃 TTL 过期的数据包，这在 Tracert 实用程序中看不到。

　　Tracert 命令按顺序打印出返回“ICMP 已超时”消息的路径中的近端路由器接口列表。如果使用 -d 选项，则 Tracert 实用程序不在每个 IP 地址上查询 DNS。

　　在下例中，数据包必须通过两个路由器（10.0.0.1 和 192.168.0.1）才能到达主机 172.16.0.99。主机的默认网关是 10.0.0.1，192.168.0.0 网络上的路由器的 IP 地址是 192.168.0.1。

　　C:\>tracert 172.16.0.99 -d

　　Tracing route to 172.16.0.99 over a maximum of 30 hops

　　1 2s 3s 2s 10,0.0,1

　　2 75 ms 83 ms 88 ms 192.168.0.1

　　3 73 ms 79 ms 93 ms 172.16.0.99

　　Trace complete.

　　用 tracert 解决问题

　　可以使用 tracert 命令确定数据包在网络上的停止位置。下例中，默认网关确定 192.168.10.99 主机没有有效路径。这可能是路由器配置的问题，或者是 192.168.10.0 网络不存在（错误的 IP 地址）。

　　C:\>tracert 192.168.10.99

　　Tracing route to 192.168.10.99 over a maximum of 30 hops

　　1 10.0.0.1 reports:Destination net unreachable.

　　Trace complete.

　　Tracert 实用程序对于解决大网络问题非常有用，此时可以采取几条路径到达同一个点。

　　Tracert 命令行选项

　　Tracert 命令支持多种选项，如下表所示。

　　tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name

选项	描述
-d	指定不将 IP 地址解析到主机名称。
-h maximum_hops	指定跃点数以跟踪到称为 target_name 的主机的路由。
-j host-list	指定 Tracert 实用程序数据包所采用路径中的路由器接口列表。
-w timeout	等待 timeout 为每次回复所指定的毫秒数。
target_name	目标主机的名称或 IP 地址。

“Ping”命令是我们在判断网络故障常用的命令，但您真正明白这个命令运行后会发生什么，以及出现的各种信息说明了什么吗?其实熟练的掌握Ping命令的各种技巧可以帮助你解决很多网络故障。下面我们就来详细的了解一下Ping命令。

“Ping”的幕后过程

我们以下面一个网络为例：有A、B、C、D四台机子，一台路由RA，子网掩码均为255.255.255.0，默认路由为192.168.0.1

1.在同一网段内

在主机A上运行“Ping 192.168.0.5”后，都发生了些什么呢? 首先，Ping命令会构建一个固定格式的ICMP请求数据包，然后由ICMP协议将这个数据包连同地址“192.168.0.5”一起交给IP层协议(和ICMP一样，实际上是一组后台运行的进程)，IP层协议将以地址“192.168.0.5”作为目的地址，本机IP地址作为源地址，加上一些其他的控制信息，构建一个IP数据包，并想办法得到192.168.0.5的MAC地址(物理地址，这是数据链路层协议构建数据链路层的传输单元——帧所必需的)，以便交给数据链路层构建一个数据帧。关键就在这里，IP层协议通过机器B的IP地址和自己的子网掩码，发现它跟自己属同一网络，就直接在本网络内查找这台机器的MAC,如果以前两机有过通信，在A机的ARP缓存表应该有B机IP与其MAC的映射关系，如果没有，就发一个ARP请求广播，得到B机的MAC,一并交给数据链路层。后者构建一个数据帧，目的地址是IP层传过来的物理地址，源地址则是本机的物理地址，还要附加上一些控制信息，依据以太网的介质访问规则，将它们传送出去。

主机B收到这个数据帧后，先检查它的目的地址，并和本机的物理地址对比，如符合，则接收;否则丢弃。接收后检查该数据帧，将IP数据包从帧中提取出来，交给本机的IP层协议。同样，IP层检查后，将有用的信息提取后交给ICMP协议，后者处理后，马上构建一个ICMP应答包，发送给主机A，其过程和主机A发送ICMP请求包到主机B一模一样。

2.不在同一网段内

在主机A上运行“Ping 192.168.1.4”后，开始跟上面一样，到了怎样得到MAC地址时，IP协议通过计算发现D机与自己不在同一网段内，就直接将交由路由处理，也就是将路由的MAC取过来，至于怎样得到路由的MAC，跟上面一样，先在ARP缓存表找，找不到就广播吧。路由得到这个数据帧后，再跟主机D进行联系，如果找不到，就向主机A返回一个超时的信息。

对Ping后返回信息的分析

1.Request timed out

这是大家经常碰到的提示信息，很多文章中说这是对方机器置了过滤ICMP数据包，从上面工作过程来看，这是不完全正确的，至少有下几种情况。

(1) 对方已关机，或者网络上根本没有这个地址：比如在上图中主机A中PING 192.168.0.7 ,或者主机B关机了，在主机A中PING 192.168.0.5 都会得到超时的信息。

(2)对方与自己不在同一网段内，通过路由也无法找到对方，但有时对方确实是存在的，当然不存在也是返回超时的信息。

(3)对方确实存在，但设置了ICMP数据包过滤(比如防火墙设置)。

怎样知道对方是存在，还是不存在呢，可以用带参数 -a 的Ping命令探测对方，如果能得到对方的NETBIOS名称，则说明对方是存在的，是有防火墙设置，如果得不到，多半是对方不存在或关机，或不在同一网段内。

(4)错误设置IP地址

正常情况下，一台主机应该有一个网卡，一个IP地址，或多个网卡，多个IP地址(这些地址一定要处于不同的IP子网)。但如果一台电脑的“拨号网络适配器”(相当于一块软网卡)的TCP/IP设置中，设置了一个与网卡IP地址处于同一子网的IP地址，这样，在IP层协议看来，这台主机就有两个不同的接口处于同一网段内。当从这台主机Ping其他的机器时，会存在这样的问题:

A.主机不知道将数据包发到哪个网络接口，因为有两个网络接口都连接在同一网段。

B.主机不知道用哪个地址作为数据包的源地址。因此，从这台主机去Ping其他机器，IP层协议会无法处理，超时后，Ping 就会给出一个“超时无应答”的错误信息提示。但从其他主机Ping这台主机时，请求包从特定的网卡来，ICMP只须简单地将目的、源地址互换，并更改一些标志即可，ICMP应答包能顺利发出，其他主机也就能成功Ping通这台机器了。

2.Destination host Unreachable

(1) 对方与自己不在同一网段内，而自己又未设置默认的路由，比如上例中A机中不设定默认的路由，运行Ping 192.168.0.1.4就会出现“Destination host Unreachable”。

(2)网线出了故障

这里要说明一下“destination host unreachable”和 “time out”的区别，如果所经过的路由器的路由表中具有到达目标的路由，而目标因为其他原因不可到达，这时候会出现“time out”，如果路由表中连到达目标的路由都没有，那就会出现“destination host unreachable”。

3.Bad IP address

这个信息表示您可能没有连接到DNS服务器，所以无法解析这个IP地址，也可能是IP地址不存在。

4.Source quench received

这个信息比较特殊，它出现的机率很少。它表示对方或中途的服务器繁忙无法回应。

5.Unknown host——不知名主机

这种出错信息的意思是，该远程主机的名字不能被域名服务器(DNS)转换成IP地址。故障原因可能是域名服务器有故障，或者其名字不正确，或者网络管理员的系统与远程主机之间的通信线路有故障。

6.No answer——无响应

这种故障说明本地系统有一条通向中心主机的路由，但却接收不到它发给该中心主机的任何信息。故障原因可能是下列之一：中心主机没有工作;本地或中心主机网络配置不正确;本地或中心的路由器没有工作;通信线路有故障;中心主机存在路由选择问题。

7.Ping 127.0.0.1：127.0.0.1是本地循环地址

如果本地址无法Ping通，则表明本地机TCP/IP协议不能正常工作。

8.no rout to host：网卡工作不正常

9.transmit failed,error code：10043网卡驱动不正常

10.unknown host name：DNS配置不正确

　　 ARP协议的概念和工作原理对学习网络安全知识的初学者来说是首先遇到的几个重要的知识点之一，其中ARP欺骗技术和及其对策更是学习网络安全中的重点与难点，往往难以一下子掌握这些抽象复杂的机理。因此很有必要用详细介始一下网络安全中的ARP协议和欺骗技术相应的对策。

　　 一，TCP/IP协议之ARP协议的定义

　　 ARP协议即地址解析协议Address Resolution Protocol，ARP协议是将IP地址与网络物理地址一一对应的协议。负责IP地址和网卡实体地址(MAC)之间的转换。也就是将网络层（IP层，也就是相当于ISO OSI 的第三层）地址解析为数据连接层（MAC层，也就是相当于ISO OSI的第二层）的MAC地址。如果您对网路七层协定有比较清晰的理解的话应该知道各个层级之间都使用其各自的协定。一张ARP的表，用来支持在MAC地址和IP地址之间的一一对应关系。它提供两者的相互转换。

　　  二，ARP协议的工作原理

　　 在以太网（Ethernet）中，一个网络设备要和另一个网络设备进行直接通信，除了知道目标设备的网络层逻辑地址（如IP地址）外，还要知道目标设备的第二层物理地址（MAC地址）。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。

　　 当一个网络设备需要和另一个网络设备通信时，它首先把目标设备的IP地址与自己的子网掩码进行"与"操作，以判断目标设备与自己是否位于同一网段内。如果目标设备在同一网段内，并且源设备没有获得与目标IP地址相对应的MAC地址信息，则源设备以第二层广播的形式（目标MAC地址为全1）发送ARP请求报文，在ARP请求报文中包含了源设备与目标设备的IP地址。同一网段中的所有其他设备都可以收到并分析这个ARP请求报文，如果某设备发现报文中的目标IP地址与自己的IP地址相同，则它向源设备发回ARP响应报文，通过该报文使源设备获得目标设备的MAC地址信息。

　　 如果目标设备与源设备不在同一网段，则源设备首先把IP分组发向自己的缺省网关（Default Gateway），由缺省网关对该分组进行转发。如果源设备没有关于缺省网关的MAC信息，则它同样通过ARP协议获取缺省网关的MAC地址信息。为了减少广播量，网络设备通过ARP表在缓存中保存IP与MAC地址的映射信息。在一次ARP的请求与响应过程中，通信双方都把对方的MAC地址与IP地址的对应关系保存在各自的ARP表中，以在后续的通信中使用。ARP表使用老化机制，删除在一段时间内没有使用过的IP与MAC地址的映射关系。

　　 还有当传送过来的包要传向一个LAN的主机时，当它到达网关时，网关要求ARP程序找到物理主机或与IP地址相对应的MAC地址。ARP程序在缓存中寻找，如果找到地址，就提供此地址，以便让此包转换成相应的长度和格式，以传送到此主机。

如果未找到，ARP程序就在网上广播一个特殊格式的消息，看哪个机器知道与这个IP地址相关的MAC地址。如果一台机器发现那是自己的IP地址，它就发送回应，这样就指出了相应的地址。ARP程序就更新自己的缓存然后发送此包到回应的MAC地址。因为不同协议的相应处理方法不同，所以有不同网络的地址解析请求。也有反向地址解析协议（RARP）供不知道IP地址的主机从ARP缓存中获得IP地址。

　　 我们还是来通过实验更加深入直观地了解ARP协议的工作原理吧。我们假设有两台主机：A机的IP地址是192.168.0.1，MAC地址是52-54-ab-27-82-83 。

　　 B机的IP地址是192.168.0.2，MAC地址是52-54-ab-27-82-84 。

　　 当主机A想与主机B进行通讯时，A机只知道B机的IP地址是192.168.0.2,当数据包封装到MAC层时他如何知道B

　　 的MAC地址呢，一般的OS中是这样做的，在OS的内核中保存一分MAC地址表，就是我们一中介始到的。用arp -a就可以看见这个表的内容了，例如：

　　 C:/>arp -a

　　 Interface: 192.168.0.X on Interface 0x1000002

　　 Internet Address Physical Address Type

　　 192.168.0.1 52-54-ab-27-82-83 dynamic

　　 其中表内有IP和MAC地址的对应关系，当要过进行通讯时，系统先查看这个表中是否有相关的表项，如果有就直接使用，如果没有系统就会发出一个ARP请求包,这个包的目的地址为ffffffffffff的广播地址，他的作用就是询问局域网内IP地址为192.168.0.2的主机的MAC地址，就像是A在局域网中发信息找一个IP地址为192.168 .0.2的主机MAC地址，同样A机把自已的MAC地址告诉出去是52-54-ab-27-82-83 ，随后所有主机都会接收到这个包，但只有IP为192.168.0.2的B才会响应一个ARP应答包给主机A,B机会回信息给A机说他的MAC地址是52-54-ab-27-82-84 ,好这下主机A就知道B的MAC地址了，于时他就可以封包发送了，同时主机A将B的MAC地址放入ARP缓冲中，隔一定时间就将其删除，确保不断更新。

　　注意，在这个过程中，如果主机A在发送ARP请求时，假如该局域网内有一台主机C的IP和A相同，C就会得知有一台主机的IP地址同自已的IP地址相同，于时就蹦出一个IP冲突的对话筐。与ARP相对应的还有一个协议RARP:Reverse

　　 Address Resolution Protocol，

　　 反向地址解析协议，该协议主要用于工作站模型动态获取IP的过程中，作用是由MAC地址向服务器取回IP地址。

　　 三，如何实现ARP协议的欺骗技术和相应的对策

　　 1，ARP协议欺骗技术

　　 当我们设定一个目标进行ARP欺骗时，也就是把MAC地址通过一主机A发送到主机B上的数据包都变成发送给主机C的了，如果C能够接收到A发送的数据包后，第一步属于嗅探成功了，而对于主机A来目前是不可能意识到这一点，主机C接收到主机A发送给主机B的数据包可没有转交给B。当进行ARP重定向。打开主机C的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。但是这就是ARP协议欺骗真正的一步，假如主机C进行发送ICMP重定向的话就麻烦了，因为他可以直接进行整个包的修改转发，捕获到主机A发送给的数据包，全部进行修改后再转发给主机B，而主机B接收到的数据包完全认为是从主机A发送来的。这样就是主机C进行ARP协议欺骗技术，对于网络安全来是很重要的。当然还可以通过MAC地址进行欺骗的。

　　 2，ARP协议欺骗技术相应对策

　　 各种网络安全的对策都是相对的，主要要看网管平时对网络安全的重视性了。下面介始一些相应的对策：

　　 1) 在系统中建立静态ARP表 ,建立后对本身自已系统影响不大的，对网络影响较大，破坏了动态ARP解析过程。静态ARP协议表不会过期的，我们用“arp -d”命令清除ARP表，即手动删除。但是有的系统的静态ARP表项可以被动态刷新，如Solaris系统,那样的话依靠静态ARP表项并不能对抗ARP欺骗攻击，相反纵容了ARP欺骗攻击，因为虚假的静态ARP表项不会自动超时消失。当然， 可以考虑利用cron机制补救之。(增加一个crontab) 为了对抗ARP欺骗攻击，对于Solaris系统来说，应该结合"禁止相应网络接口做ARP解 析"和"使用静态ARP表"的设置

　　 2)在相对系统中禁止某个网络接口做ARP解析(对抗ARP欺骗攻击)，可以做静态ARP协议设置(因为对方不会响应ARP请求报文) 如：arp -s XXX.XXX.XX.X 08-00-20-a8-2e-ac

　　在绝大多数操作系统如：Unix，BSD，NT等，都可以结合"禁止相应网络 接口做ARP解析"和"使用静态ARP表"的设置来对抗ARP欺骗攻击。而Linux系统，其静态ARP表项不会被动态刷新，所以不需要"禁止相应网络接口做ARP解析"即可对抗ARP欺骗攻击。

解决ARP攻击的方法

【故障原因】 

　　局域网内有人使用ARP欺骗的木马程序（比如：传奇盗号的软件，某些传奇外挂中也被恶意加载了此程序）。 

　　【故障原理】 

　　要了解故障原理，我们先来了解一下ARP协议。 

　　在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。 

　　ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 

　　每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。　　 

　　主机 IP地址 MAC地址 

　　A 192.168.16.1 aa-aa-aa-aa-aa-aa 

　　B 192.168.16.2 bb-bb-bb-bb-bb-bb 

　　C 192.168.16.3 cc-cc-cc-cc-cc-cc 

　　D 192.168.16.4 dd-dd-dd-dd-dd-dd　　 

　　我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。 

　　从上面可以看出，ARP协议的基础就是信任局域网内所有的人，那么就很容易实现在以太网上的ARP欺骗。对目标A进行欺骗，A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候，把C的MAC地址骗为DD-DD-DD-DD-DD-DD，于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么，嗅探成功。 

　　A对这个变化一点都没有意识到，但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。 

　　做“man in the middle”，进行ARP重定向。打开D的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。不过，假如D发送ICMP重定向的话就中断了整个计划。 

　　D直接进行整个包的修改转发，捕获到A发送给C的数据包，全部进行修改后再转发给C，而C接收到的数据包完全认为是从A发送来的。不过，C发送的数据包又直接传递给A，倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了，对于A和C之间的通讯就可以了如指掌了。 

　　【故障现象】 

　　当局域网内某台主机运行ARP欺骗的木马程序时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。 

　　切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。 

　　由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。 

　　【HiPER用户快速发现ARP欺骗木马】 

　　在路由器的“系统历史记录”中看到大量如下的信息（440以后的路由器软件版本中才有此提示）： 

　　MAC Chged 10.128.103.124 

　　MAC Old 00:01:6c:36:d1:7f 

　　MAC New 00:05:5d:60:c7:18 

　　这个消息代表了用户的MAC地址发生了变化，在ARP欺骗木马开始运行的时候，局域网所有主机的MAC地址更新为病毒主机的MAC地址（即所有信息的MAC New地址都一致为病毒主机的MAC地址），同时在路由器的“用户统计”中看到所有用户的MAC地址信息都一样。 

　　如果是在路由器的“系统历史记录”中看到大量MAC Old地址都一致，则说明局域网内曾经出现过ARP欺骗（ARP欺骗的木马程序停止运行时，主机在路由器上恢复其真实的MAC地址）。 

　　【在局域网内查找病毒主机】 

　　在上面我们已经知道了使用ARP欺骗木马的主机的MAC地址，那么我们就可以使用NBTSCAN（下载地址：http://www.utt.com.cn/upload/nbtscan.rar）工具来快速查找它。 

　　NBTSCAN可以取到PC的真实IP地址和MAC地址，如果有”传奇木马”在做怪，可以找到装有木马的PC的IP/和MAC地址。 

　　命令：“nbtscan -r 192.168.16.0/24”（搜索整个192.168.16.0/24网段, 即 

　　192.168.16.1-192.168.16.254）；或“nbtscan 192.168.16.25-137”搜索192.168.16.25-137 网段，即192.168.16.25-192.168.16.137。输出结果第一列是IP地址，最后一列是MAC地址。 

　　NBTSCAN的使用范例： 

　　假设查找一台MAC地址为“000d870d585f”的病毒主机。 

　　1）将压缩包中的nbtscan.exe 和cygwin1.dll解压缩放到c:下。 

　　2）在Windows开始—运行—打开，输入cmd（windows98输入“command”），在出现的DOS窗口中输入：C:

btscan -r 192.168.16.1/24（这里需要根据用户实际网段输入），回车。　　 

　　C:Documents and SettingsALAN>C:

btscan -r 192.168.16.1/24 

　　Warning: -r option not supported under Windows. Running without it.　　 

　　Doing NBT name scan for addresses from 192.168.16.1/24　　 

　　IP address NetBIOS Name Server User MAC address 

　　------------------------------------------------------------------------------ 

　　192.168.16.0 Sendto failed: Cannot assign requested address 

　　192.168.16.50 SERVER 00-e0-4c-4d-96-c6 

　　192.168.16.111 LLF ADMINISTRATOR 00-22-55-66-77-88 

　　192.168.16.121 UTT-HIPER 00-0d-87-26-7d-78 

　　192.168.16.175 JC 00-07-95-e0-7c-d7 

　　192.168.16.223 test123 test123 00-0d-87-0d-58-5f　　 

　　3）通过查询IP--MAC对应表，查出“000d870d585f”的病毒主机的IP地址为“192.168.16.223”。 

　　【解决思路】 

　　1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。 

　　2、设置静态的MAC-->IP对应表，不要让主机刷新你设定好的转换表。 

　　3、除非很有必要，否则停止使用ARP，将ARP做为永久条目保存在对应表中。 

　　4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。 

　　5、使用""proxy""代理IP的传输。 

　　6、使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。 

　　7、管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应的真实性。 

　　8、管理员定期轮询，检查主机上的ARP缓存。 

　　9、使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。 

【HiPER用户的解决方案】 

　　建议用户采用双向绑定的方法解决并且防止ARP欺骗。 

　　1、在PC上绑定路由器的IP和MAC地址： 

　　1）首先，获得路由器的内网的MAC地址（例如HiPER网关地址192.168.16.254的MAC地址为0022aa0022aa局域网端口MAC地址>）。 

　　2）编写一个批处理文件rarp.bat内容如下： 

　　@echo off 

　　arp -d 

　　arp -s 192.168.16.254 00-22-aa-00-22-aa 

　　将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。 

　　将这个批处理软件拖到“windows--开始--程序--启动”中。 

[本问转自网络！]

什么是ARP?

     ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。

什么是ARP欺骗?

     从影响网络连接通畅的方式来看，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。

     第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。

      近期，一种新型的“ ARP 欺骗”木马病毒正在校园网中扩散，严重影响了校园网的正常运行。感染此木马的计算机试图通过“ ARP 欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。ARP欺骗木马的中毒现象表现为：使用校园网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果校园网是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。ARP欺骗木马十分猖狂，危害也特别大，各大学校园网、小区网、公司网和网吧等局域网都出现了不同程度的灾情，带来了网络大面积瘫痪的严重后果。ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。

   如何检查和处理“ ARP 欺骗”木马的方法

1 ．检查本机的“ ARP 欺骗”木马染毒进程

同时按住键盘上的“ CTRL ”和“ ALT ”键再按“ DEL ”键，选择“任务管理器”，点选“进程”标签。察看其中是否有一个名为“ MIR0.dat ”的进程。如果有，则说明已经中毒。右键点击此进程后选择“结束进程”。参见右图。

2 ．检查网内感染“ ARP 欺骗”木马染毒的计算机

在“开始” - “程序” - “附件”菜单下调出“命令提示符”。输入并执行以下命令：

ipconfig

记录网关 IP 地址，即“ Default Gateway ”对应的值，例如“ 59.66.36.1 ”。再输入并执行以下命令：

arp –a

在“ Internet Address ”下找到上步记录的网关 IP 地址，记录其对应的物理地址，即“ Physical Address ”值，例如“ 00-01-e8-1f-35-54 ”。在网络正常时这就是网关的正确物理地址，在网络受“ ARP 欺骗”木马影响而不正常时，它就是木马所在计算机的网卡物理地址。

也可以扫描本子网内的全部 IP 地址，然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同，那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。

3 ．设置 ARP 表避免“ ARP 欺骗”木马影响的方法

本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址，然后在 “命令提示符”窗口中输入并执行以下命令：

arp –s 网关 IP 网关物理地址

4.态ARP绑定网关

   步骤一：

   在能正常上网时，进入MS-DOS窗口，输入命令：arp －a，查看网关的IP对应的正确MAC地址， 并将其记录下来。

   注意：如果已经不能上网，则先运行一次命令arp －d将arp缓存中的内容删空，计算机可暂时恢复上网（攻击如果不停止的话）。一旦能上网就立即将网络断掉（禁用网卡或拔掉网线），再运行arp －a。

   步骤二：

   如果计算机已经有网关的正确MAC地址，在不能上网只需手工将网关IP和正确的MAC地址绑定，即可确保计算机不再被欺骗攻击。

   要想手工绑定，可在MS-DOS窗口下运行以下命令：

   arp －s 网关IP 网关MAC

   例如：假设计算机所处网段的网关为192.168.1.1，本机地址为192.168.1.5，在计算机上运行arp －a后输出如下：

   Cocuments and Settings>arp -a

   Interface:192.168.1.5 --- 0x2

   Internet Address Physical Address Type

   192.168.1.1   00-01-02-03-04-05 dynamic

   其中，00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址，类型是动态（dynamic）的，因此是可被改变的。

   被攻击后，再用该命令查看，就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器，彻底根除攻击，可以在此时将该MAC记录下来，为以后查找该攻击的机器做准备。

   手工绑定的命令为：

   arp －s 192.168.1.1   00-01-02-03-04-05

   绑定完，可再用arp －a查看arp缓存：

   Cocuments and Settings>arp -a

   Interface: 192.168.1.5 --- 0x2

   Internet Address Physical Address Type

   192.168.1.1   00-01-02-03-04-05 static

   这时，类型变为静态（static），就不会再受攻击影响了。

   但是，需要说明的是，手工绑定在计算机关机重启后就会失效，需要再次重新绑定。所以，要彻底根除攻击，只有找出网段内被病毒感染的计算机，把病毒杀掉，才算是真正解决问题。

5 .作批处理文件

   在客户端做对网关的arp绑定，具体操作步骤如下：

   步骤一：

   查找本网段的网关地址，比如192．168．1．1，以下以此网关为例。在正常上网时，“开始→运行→cmd→确定”，输入：arp －a，点回车，查看网关对应的Physical Address。

比如：网关192.168.1.1 对应00－01－02－03－04－05。

   步骤二：

   编写一个批处理文件rarp.bat，内容如下：

   @echo off

   arp －d

   arp -s   192.168.1.1   00－01－02－03－04－05

   保存为：rarp.bat。

   步骤三：

   运行批处理文件将这个批处理文件拖到“Windows→开始→程序→启动”中，如果需要立即生效，请运行此文件。

   注意：以上配置需要在网络正常时进行

6.使用安全工具软件

   及时下载Anti ARP Sniffer软件保护本地计算机正常运行。具体使用方法可以在网上搜索。

   如果已有病毒计算机的MAC地址，可使用NBTSCAN等软件找出网段内与该MAC地址对应的IP，即感染病毒的计算机的IP地址，然后报告单位的网络中心对其进行查封。

   或者利用单位提供的集中网络防病毒系统来统一查杀木马。另外还可以利用木马杀客等安全工具进行查杀。

7.应急方案

   网络管理管理人员利用上面介绍的ARP木马检测方法在局域网的交换机上查出受感染该病毒的端口后，立即关闭中病毒的端口，通过端口查出相应的用户并通知其彻底查杀病毒。而后，做好单机防范，在其彻底查杀病毒后再开放相应的交换机端口，重新开通上网。

附录一

清华大学校园网络安全响应小组编的一个小程序

下载地址： ftp://166.111.8.243/tools/ArpFix.rar

清华大学校园网络安全响应小组编了一个小程序，它可以保护您的计算机在同一个局域网内部有ARP欺骗木马计算机的攻击时，保持正常上网。具体使用方法：

1、 程序运行后请先选择网卡，选定网卡后点击“选定”按钮。

2、 选定网卡后程序会自动获取您机器的网关地址。

3、获得网关地址后请点击获取MAC地址按钮获取正确的网关MAC地址。

4、 确认网关的MAC地址后请点击连接保护，程序开始保护您的机器。

5、 点击程序右上角的叉，程序自动隐藏到系统托盘内。

6、要完全退出程序请在系统托盘中该程序图标上点击右键选择EXIT。

注意：

1、这个程序只是一个ARP攻击保护程序，即受ARP木马攻击时保持自己计算机的MAC地址不被恶意篡改，从而在遭受攻击时网络不会中断。本程序并不能清除已经感染的ARP木马，要预防感染或杀除木马请您安装正版的杀毒软件！

附录二

Anti Arp Sniffer 的用法

下载地址：http://www.wipe.edu.cn/Files/wlzx/Antiarp.rar

双击Antiarp文件，出现图二所示对话框。

图二
输入网关地址（网关地址获取方式：[开始] -->[程序]--> [附件]菜单下调出“命令提示符”，输入ipconfig，其中Default Gateway即为网关地址）；点击获取网关MAC地址，点击自动防护保证当前网卡与网关的通信不被第三方监听。
点击恢复默认，然后点击防止地址冲突，如频繁的出现IP地址冲突，这说明攻击者频繁发送ARP欺骗数据包。

右击[我的电脑]-->[管理]-->点击[事件查看器]-->点击[系统]-->查看来源为[TcpIP]--->双击事件可以看到显示地址发生冲突，并记录了该MAC地址，请复制该MAC地址并填入Anti ARP Sniffer的本地MAC地址输入框中(请注意将:转换为-)，输入完成之后点击[防护地址冲突]，为了使MAC地址生效请禁用本地网卡然后再启用网卡，在CMD命令行中输入Ipconfig /all，查看当前MAC地址是否与本地MAC地址输入框中的MAC地址相符，如果成功将不再会显示地址冲突。
注：1、如果您想恢复默认MAC地址,请点击[恢复默认],为了使MAC地址生效请禁用本地网卡然后再启用网卡；本软件不支持多网卡，部分网卡可能更改MAC会无效。

       雨断断续续，时大时小，生活就在这断断续续之间消失，也在这断断续续之间成就与失败。其实自己一直都不是很喜欢下雨的，不知道为什么就是不喜欢，潮湿的天气好象就连自己的心情也潮湿了一样，发生了霉变。其实也并不是一下雨自己的心情就变的很坏，而是下雨的过程长了一点后自己就好象有某种的承受超限一样，心情就无名的坏了起来。

        曾今有朋友对我说下雨是老天的事情，你心情坏什么呀，下雨和你有关吗？你难道还想和天斗，嘿嘿，想想还真是，它下它的雨关我什么事呀？关我心情什么事呀？可这心情就象着了魔一样的还就和这天气有点不大不小的关系呢，哎，有时候想想我这是怎么了，难道就这么难得适应吗？天气炎热的时候自己心情也烦躁，下雨的时候自己的心情也坏到极点，你说我这是怎么啦？

       看着外面撒豆般的雨点，看看那阴沉的天气，坐在办公室里的我突然就没有了上班的心情，想想就到BLOG里来转一下吧，写点什么分散一下这糊涂的心情也好。可是当自己准备写的时候又不知道写点什么，真的是没有话说，也不知道从哪里说起，就这样的矛盾。

       想想这两年来的低谷状态和消极的生活着，有时候在想这难道就是生活本身，就是的不停的去承受着什么吗？有朋友说我可能是以前太顺了吧，我想也可能是吧，可能是我以前的一年的太顺利了，以至于这两年的不顺自己都不知道该怎么去调整，怎么让自己恢复，以至消极到现在。我知道这不是要的，但是我真的不知道该怎么办，很多时候都告诉自己放慢心情，把这两年的不顺把这两年的思路好好的整理一下，也该理理了，不能在这样消极糊涂的过了，我要的一种生活，而不是一种可有可无的日子。可是当自己一个人静静的坐在角落里整理思绪的时候却不知道从何处整理起，该怎么整理，曾今的规划到现在都成了一连串的省略号了。曾今我以为我是一个很坚强很乐观的人，什么事情都可以很轻松的面对，什么事情也都可以很好的解决好，但是经过这两年的低谷我才知道，原来什么都不是，自己也很脆弱，生活并不是什么都那么平稳的。人生都有几起几落，生活的好坏只不过是前进路上的两道互相交织的风景，看你用什么心情和态度去欣赏他们。

       我相信在有一天下雨的时候我可以笑着对天空说，你看我现在心情多好，潮湿的天气不能阻止我放肆的心情的。呵呵，虽然很无奈，但是我还是会笑着面对现在的一切。

[本文来自价值中国]

关键字： 人力资源管理 中小企业  

　　我国中小民营企业非常多，但存活率非常低。在物竞天择的过程中，由于自身的原因或者环境的原因，一批又一批的企业倒下了。应该说，中小民营企业所面临的生存压力最大。然而，一些中小企业虽然生存下来了，但是在发展中过程中仍然面临着各种多样的问题，有自身的，也有环境的。

　　一、总体特征：成功的老板，但不成熟的企业

　　作为社会中的个体，老板无疑是成功的。创办的从无到有，资产不断增多，社会地位不断增强，是社会中成功的个体。然而，作为企业来讲，却非常不成熟，甚至有些企业发展了十多年，投资分析方式还如同创业一样凭老板拍脑袋，生产管理方式还如创业期的粗放，人力资源管理仍然在低水平徘徊等等。许多企业成了大企业的“块头“，却依然是小企业的“智力”。表象上看大约包括三个方面：

　　一是企业的效力问题。企业越来越大，市场应变能力却似乎越来越差，应变速度也越来越低。企业的效率明显变低，相互推诿，相互扯皮现象开始增多，指令不能迅速得到执行，小企业那种随着环境变化迅速变化的优势越来越不明显，以至于一些企业规模不大，却出现了大企业病，令老板们非常苦恼。效率、效益及盈利能力都在下降，效力问题张现。

　　二是企业的文化问题。企业凝聚力在迅速下降，创业期的竞争力正在失去。创业时，伙伴们忘我精神不在了，代之而来的是，大家普遍感到不如当初了。“想来的人不一定能来，想走的人说走就走”，激励与约束的问题让人头痛不已。企业到底要成为什么样的企业，老板不知，下边也不知，企业文化阻碍着企业发展，但没有人知道为什么阻碍。

　　三是企业的老板问题。实质上，一切问题的根源恰好都在于老板身上。老板并不知道企业该向何处去，也不知道企业该成为什么样的企业。许多时候，老板只是偶而为企业快速扩张感到恐慌，但不知如何解决做快做强的问题。困惑之后，常常只能简单地将问题归结为没有职业化员工，或者仅仅瞬间烦恼，之后仍然依惯性生存着。实际上，很多时候，老板自身并未能意识到问题的根源恰恰在于自己，但是意识到之后又不知如何解决，以至于被动地看着企业烦恼。

　　二、人力资源管理：存在七大瓶颈

　　人力资源是企业最重要也是最有能动性的活力资源。从人力资源管理角度来看，中小企业常常存在七大瓶颈。

　　之一：企业在发展，人力资源管理还在原地徘徊

　　很多中小民营企业，人力资源管理实际上就是写写招聘广告，管管考勤，跑跑福利。所谓的人力资源管理根本不能叫人力资源管理，或者是最低级的人力资源管理。长期以来，都是老板本人直接一杆子管到底，谈不上什么人力资源管理。

　　在市场竞争中，且不论方向稳定不稳定，明确不明确，中小企业都会有自己的发展方向，但人力资源管理却还与创业期无二致。如何根据企业的发展战略下制定人力资源管理的发展战略，如何通过有效的人力资源管理来支持公司的发展战略，却常常被忽视。换句话讲，如何一步步地提高人力资源管理水平，使企业走上人力资源管理的正轨，却常常没有具体的思路。也有许多民营企业认识到了人力资源很重要，但却不能突现人力资源部门的地位，人力资源工作最后还是成为事务性的工作。

　　之二：薪酬激励作用越来越弱，却找不到合适的激励手段

　　企业规模不断扩大，人们的需求也变得越来越多样，工资激励的作用越来越弱。相当一部分企业采取协议工作制，新进来的人与老板谈工资，根据市场行情及个人情况定个标准。企业小的时候还好说，在协议的基础上，老板灵活把握。企业规模大了，问题随之而来。一是后进来的人员工资与原有人员工资之间矛盾。企业规模扩大，后进来的往往素质要求高，工资自然就高，但原来的人是有功元老，怎么平衡？二是进来谈好的工资以后变不变，该怎么变？有些企业工资三年五不变，老板想起了三百五百地增加。要么不变，要么大变，是一个通病；三是不同岗位之间工资如何平衡，行政副总与市场副总工资应该一样吗？一系列问题，直接导致员工公平感降低。

　　之三：没有考核或者不会考核，精神激励作用减弱

　　企业规模小时，大家凭着一股创业冲动，与老板同甘共苦。因为人少，谁干的好，谁干的差，大家一目了然，老板发红包大小，大家也无怨言。但是企业大了，老板看不清了，人员也复杂了，凭老板精神激励也收效甚微了。有任务，有目标，如果没有考核，一切只能是没有结果。考核要从结果进行考核，但是影响结果的因素非常多，甚至可能是多个人参与共同形成的结果，又怎么考核？没有考核或不会考核使得老板们头痛不已。

　　之四：岗位职责模糊，人浮于事比较普遍

　　企业规模小时，各就其位，职责相对清晰。然而，这种清晰很大程度是建立在对老板与同事的信任的感觉基础上的，没有科学性但有实用性。企业规模变大了，并不是事事与老板打交道，感觉式的基础变得脆弱。一个岗位应该负什么责任，应该具备什么样的素质，没有人知道。在缺乏明确岗位职责时，人们最好地趋利避害方法就是以老板为中心。当人们都以老板为中心，而不是以岗位职责为中心时，组织层级就会被打乱，推诿就自然成为了主流。

　　之五：用人机制灵活却缺乏系统性，员工职业发展缺乏规划

　　用人机制灵活是民营企业的最大优势，然而，过于灵活的机制则是实际上没有机制。组织应该有组织的相对稳定性。一些民营企业，提拔人员非常灵活。今天还是实习生，明天可能会成为部门经理，后天可能会成为副总，大后天可能就会离职。灵活的用人机制，必须有用人的科学选拔标准，必须将员工的个人职业规划与公司的发展规划结合起来，仅凭老板本人的好恶或一件事情的表现缺乏科学性。如果仔细考察，越是用人机制过分灵活的企业，员工流动性越大。提拔是因为得“宠”，失宠就只有走人了，组织呈现出混乱状态。

　　之六：招聘瓶颈，不知自己需用什么样的人

　　缺乏科学的岗位分析及能力素质分析，企业常常根本不知自己需要什么样的人。企业常常感觉到自己是缺人，但是什么岗位缺人，岗位缺什么样素质的人，该如何与应聘者谈条件，都一概不知。没有深入的人力资源需求分析，只能凭感觉寻找高学历、高职称的人员，但是高的不来，低的又不想要，或者高的来了却留不住，低的来了又不相留。

　　之七：将人才未当资源，不会开发或不愿开发

　　人力资源作为企业一项非常重要的资源，在于其可以不断开发，持久使用。中小民营企业老板在对人才认识上有矛盾的认识，一是将人才当做商品，甚至有人声称只要有钱可以招到任何样的员工，不需要时可以开掉任何人；二是内部的人都不行，外部人又找不到，企业就是缺乏人才。根源在于，根本未认识到开发人力资源的重要性，未认识到不断开发人力资源使之与企业共同发展更重要。有些企业是认识到人力资源重要性，但是又不知如何开发。结果，要么忽视培训，要么做大量没有效果的培训。

　　三、问题的根本在于老板，解决还需老板推动

　　管理问题必须用管理问题来解决，任何企图通过个人魅力，通过个人威信之类企图一促而蹴，只能是舍本求末。以上所谈论的七大瓶颈，是一些共性的问题，不同企业也会有其特殊性。然而，造成人力资源管理的瓶颈的根源，还在于老板自己。老板是问题产生的引起者，也是问题解决的推动者。

　　总体来说，提高中小企业人力资源管理水平，需要从以下几个方面进行着手：

　　1）提高对人力资源管理的认识，促进人力资源管理从劳资管理、人事管理向人力资源管理、人力资本管理转变；

　　2）建立与企业战略发展相适应的人力资源管理体系，促进人力资源战略管理与企业战略管理方向相一致；

　　3）在流程分析基础上科学调整组织机构和设置工作岗位，明确岗位职责的基础上，进行岗位说明书的确立。

　　4）建立科学的绩效管理制度，有效管理员工绩效，促进企业目标的实现。

　　5）建立科学的薪酬管理制度，使薪酬发挥杠杆作用。

　　6）人力资源盘点、招聘及员工职业发展的统一规划。

　　7）建立培训体系，在培训需求评估的基础上，促进培训工作实际化。

　　人力资源管理是企业非常重要的一项工作，它是企业战略管理、企业文化等各个方面密切相关，它不仅决定着企业的现在，也决定着企业的未来。它需要每个企业老板按照企业的规律思考企业的人力资源管理问题，运用管理手段来解决人力资源问题，不断提高对人力资源的认识水平，促进企业良性发展。

作者:元动力管理咨询   任俊正

[本文来自价值中国]

关键字： 中小企业 部门级 管理思想 企业占 企业总数  

在日益激烈的市场竞争中，信息化是中小企业提高竞争能力、促进持续发展的必然选择。本文是一项对河南省部分中小企业信息化建设情况的调查分析报告的一部分，希望通过我们的分析，为中小企业的信息化建设提供一些思路。本次调查得到了有关厅局的大力支持和被调查企业的密切配合，通过召开座谈会、寄送调查表等方式发出调查表380份，收回有效调查表276份，回收率72.6%。由于受到调查范围、时间、业务能力等各方面的限制，本文的调查结果难免存在局限性，不足之处希望各位专家学者批评指出。

一、 信息化机构及管理模式调查分析

调查中我们发现：设立专门信息化机构的企业占所调查企业总数的16%；在信息化管理模式的选择上，分散式管理的比例大约是集中式管理的两倍。16%的比例说明中小企业对于信息化建设的重视程度还不够，没有从企业全局的高度考虑；而信息化管理模式的调查结果表明：当前企业对数据的综合利用率不高，信息的共享度较低。对于信息化层次的认识，大多数企业仍然停留在部门级信息化。部门级信息化与企业级信息化的区别在于：部门级信息化是针对某一个部门的信息化，主要工作是利用计算机等先进技术，模拟手工作业来提高本部门工作效率。而企业级信息化则是要打破原有的管理框架，将新的管理模式利用信息化的手段引入到企业全面管理中去，达到企业资源的最大整合和集中。从部门级信息化上升到企业级信息化，是企业信息化的必由之路。其中的最大难点，不是新系统的引进，而是新的管理观念和模式的实现，这是当前信息化建设一个重要突破点。

同时，通过座谈我们发现企业信息化管理模式也会影响信息化机构的设置：集中式管理的企业通常对于采集到的数据集中处理，设置类似与信息处理中心这样的专门信息化机构；而分散式管理的企业通常会将各部门采集到的数据分别在各部门进行数据处理，因此一般不设置信息处理中心。

二、 信息化应用领域调查分析

企业信息化的主要领域包括：会计电算化、进销存管理、人力资源管理、供应链管理、生产管理、客户关系管理、计算机辅助设计、办公自动化和电子商务等方面。

调查发现：中小企业现在应用较多的项目是办公自动化和会计电算化。实现计算机办公的企业约占95%，只有5%的企业尚未涉及办公自动化。可见计算机能够提高办公效率的意识已在中小企业中普及。但是调查中我们发现企业办公自动化的应用范围太窄，大多数企业仅局限于文件编辑、打印等工作，而在内部的信息管理方面如内部邮件、电子文件传递等尚未得到应用，办公自动化应用的范围需要进一步扩展。应用会计电算化的企业占被调查企业的67%，已经实现全面电算化的约占8%。这说明：（1）我省近几年来大力推进企业会计电算化的工作已经取得显著成果；（2）8%的全面实现电算化的比例，表明中小企业会计信息化工作还需要进一步的加强。

对于行业不同的中小企业，由于其业务处理流程不同，实现信息化的程度也各也不同。这表现为高新技术型的企业在计算机辅助设计方面应用比例较高；商业企业在进销存系统以及电子商务方面应用比例较高；生产型工业企业则在生产管理、计算机辅助设计等方面应用较多。但总体来说，中小企业在人力资源管理、供应链管理、客户关系管理等方面的应用较少，这是下一步中小企业需要注意的问题。

电子商务是我们此次调查的一个重点。众所周知，在工业经济时代，中小企业由于其资金、人才等自身的局限性，在与一些大型企业的竞争中处于劣势。在如今的这个超越时空、地点的互联网时代，中小企业第一次与大型企业在信息方面处于平等的竞争地位，电子商务建设势在必行!

企业的电子商务建设主要包括：企业局域网建设、互联网络接入、企业网站建设等方面。从调查结果看：已经接入互联网的企业约占81%；已经建成内部局域网的约占22%；已在互联网上建立企业网页的占42%，其中建成网站的企业占25%，另外还有22%的企业网站正在建设中。这表明一部分中小企业已经具备了开展电子商务的基本条件，可以利用现代信息技术为企业服务。

然而，进一步的调查我们发现：在这些具备基本条件的企业中，真正已经开展电子商务的的比例却很小，大部分企业的应用还处于企业宣传、获取信息的层面上。这和被调查企业建设网络的目的有关。调查显示：78%的企业上网是为了获取信息，38%的企业是为了宣传企业形象，只有28%的企业上网是为了发展电子商务。我们认为：这是目前中小企业的电子商务建设目的不明确的表现，电子商务的目的是利用互联网为企业发展业务，与供应商、客户进行双向的信息沟通，而不仅仅是信息查询和广告宣传。

三、 企业信息化实施情况调查

在进行企业信息化实施情况调查时，我们侧重调查3个问题：（1）是否对原有业务流程进行重组；（2）是否对原有管理思想进行改进；（3）是否愿意接受工作模式的改变。

对于第一项调查，选择“对原有业务流程进行部分或全部重组”的企业占被调查企业总数的38%。选择“完全重复原有业务流程”的企业占总数的62%。从这些数据可以看出:在企业信息化过程中有相当一部分企业完全是手工模式的照搬，信息化的结果只是改变了业务或信息处理的工具罢了。如果不从改变管理思想入手，重构企业业务流程，这种 “新瓶装旧酒”的方式无法实现企业信息化的目标。

针对第二项调查，选择“完全遵循原有管理思想”的企业占企业总数的64%。选择“部分或完全改变原有管理思想”的企业占36%。这表明：相当一部分中小企业还没有意识到信息化过程中转变管理思想的重要性。当前我国正在推进的信息化战略，信息化不是目的，只是手段，最终目的是通过信息化改进管理思想和方法，全面提高企业管理水平。对于我国企业而言，目前面临的最迫切问题是管理特别是基础管理问题，基础管理包括基础数据管理、基本业务流程设计、内部控制设计和人的行为规范四个方面。企业只有实现了基础管理信息化，才能确保企业在规模不断扩大和业务迅速发展的过程中保持坚实的管理基础和繁殖内核，促进企业的可持续发展。通常信息化采用的软件都包含有先进的管理思想，要求企业的基础工作比较规范。如果一味的遵循原有的思想，势必会影响信息化后企业管理水平的提高和内部控制措施的有效实施，从而对企业业务的规范没有起到应有的作用，也就没有最大程度发挥信息化的作用。

在第三项调查中，选择“是否愿意接受工作模式改变”的企业约占企业总数的38%；仍有62%选择“不愿改变当前工作模式”。管理思想的转变必然导致工作模式的改变！不愿意接受工作模式的改变，可能是不愿意打破原有工作习惯，也可能是由于知识结构老化不能适应新工作模式的需要，这需要企业不断的对员工进行信息化教育，使其对信息化有一个正确的认识，能够感受到信息化给企业业务处理和管理带来质的飞跃和升华，使员工由信息化的消极等待变为积极参与。

四、 企业信息化人才队伍建设分析

企业信息化的关键之一是要拥有一支知识全面、技术过硬的信息化人才队伍。在对企业信息化人才队伍建设的调查时，我们主要从以下几个方面进行：

1． 信息化人才的学历分析

信息化人才的学历决定着其理论水平的高低，同时也影响其对信息化建设过程中的一些实际问题的思考和理解，比如系统工程思想等。需要说明的是本文提到的信息化人才主要指的是专职计算机人员。通过分析调查结果发现：被调查企业中有35家企业拥有计算机本科及以上毕业生，占企业总数的13.2%；有248家企业拥有计算机专科毕业生，约占企业总数的93.23 %；有236家企业拥有计算机中专及其他毕业生，约占企业总数的88.7%。并且不同学历的计算机专业毕业生在相应单位的专职计算机人才当中的比例分布是：本科生约0-8%，专科生约6-63%，中专及其他毕业生大约为16%-72%。上述数据表明在我省的中小企业中，高层次的专业人才偏少，不利于企业信息化的实施，人才已经成为制约企业信息化发展的主要因素。企业应该不断扩大人才引进的渠道，多招聘高学历的专业人才，这样才能提高信息化人才队伍的战斗力，进一步提高企业信息化实施成功的比例。

2． 信息化人才流失状况分析

关于信息化人才流失是业内一个不争的事实。通过对“企业信息化人才的流失状况”调查发现：我省中小企业中信息化人才严重流失的有74家，约占27% ；流失情况比较严重的有58家，占21%，情况基本稳定的有80家，占30%；情况很稳定的有64家，约占23%。目前我国信息技术人才需求日益增加，高水平的专家更是奇缺，导致人才流失情况在全国范围内普遍存在。人才流失会导致企业信息技术的外流，会造成企业现行信息化无法正常进行下去。一支稳定的技术队伍是企业实现信息化的前提。因此，企业应该在不断引进人才的同时，也要考虑如何留住人才，反思人才流失的原因。从激励机制、思想教育方面等方面着手，建立良好的工作氛围，争取留住企业信息化的关键人才。

3． 信息化人才的继续教育情况分析

近年来信息知识发展迅速，知识更新速度加快。业内有一种说法是：计算机专业的毕业生刚毕业时所学知识有50%已经老化。这说明继续教育对企业信息化中的人才建设具有重要作用。从调查结果可以看出：当前我省大部分中小企业对于信息化的继续教育重视不足：仅仅有13%的企业偶尔进行信息化教育，采取的形式通常是短期培训。大多数计算机人员是通过自学、网络浏览或参加会议等形式进行学习。相对于自发学习信息化知识而言，由单位组织的定期培训是一种更好的学习模式，针对性强，与企业发展的需求相一致。中小企业应重视并加大员工继续教育的投入，创造积极学习的气氛，不断提高和充实员工的业务水平。

五、 企业信息化系统咨询方式及内容分析

随着信息化进程的不断推进，企业逐渐认识到咨询在企业信息化过程中的重要作用。而所选择的咨询方式在很大程度上会影响企业信息化的成败。对企业采用的咨询方式的调查显示：“向业内专家咨询”的企业有83家，占被调查企业的30%；“参观同行企业”的有78家，占28%；“向IT厂商咨询”的有62家，占22%；“向专业咨询结构”的有53家，占19%。这个调查结果说明企业还没有形成接受专业咨询服务的观念，仍然以传统的个人咨询、参观学习等方式为主要咨询方式。向专业咨询机构咨询，企业能够享受到专业的咨询服务，可以从咨询公司得到专业的建议及不同企业实现信息化的方案比较，同时还可以在咨询公司的帮助下进行公司业务流程的重组和管理制度的更新，具有较高的实施成功保证；向IT厂商咨询，IT厂商通常会在企业信息化的构成、造价、技术等方面给出细致的说明，同时也会给出一些解决方案和成功实施信息化的示例；参观同行企业并咨询也不失为一种好的方法，企业可以从同行企业的实施过程中吸取经验和教训，避免走弯路，造成不必要的损失。但由于不同企业在管理上以及规范上都有自己的特点，因此同行企业的信息化解决方案不一定完全适合。 

六、 系统验收模式分析

在调查中我们发现：被调查企业信息化的验收工作有84%是企业自行验收；10%的企业由独立受聘的第三方来验收；还有6%的企业根本没有经过验收就直接运行。“虎头蛇尾”是企业信息化建设中常见的问题。企业信息化作为一项系统工程，在工程完工时要进行验收，这样才能够保证工程质量，明确责任。企业自行验收可以利用企业自身实际的业务进行检验、测试，通过观察结果来分析系统功能是否符合实际需求。当然自行验收也存在着一些缺陷，比如过分考虑局部功能的实现而忽略了总体功能的优化。聘请有专业知识和经验的独立的第三方来验收可以对系统做出更加客观的评价。我们注意到最近有学者提出：作为一项工程，企业信息化也应该向建筑工程那样引入工程监理，以保证工程能够按时、按质地完成。我们认为：要改变我省中小企业信息化实施过程中成功率不足10%的现状，引入工程监理是有必要的。

七、 企业信息化的规划分析

作为系统工程，实施企业信息化之前应该进行科学合理的规划。一个企业是否制定信息化的长短期规划，从某种程度上决定着企业信息化的成败。

我们把企业信息化规划一般分为短期（1年以内）、中期（2到3年）、长期（5年以上）。通过调查我们发现：约40%的中小企业制定了企业信息化的短期规划；有12%的企业制定了中期规划；另外有7%的企业制定了长期规划。

超过半数的中小企业已经制订了信息化发展规划，这说明我省企业对信息化建设的重视，已经开始着手把信息化建设发展列入企业发展规划。但是中长期规划的比例偏低说明企业对于信息化建设的长期性认识还不够，还没有意识到企业信息化建设是一个持续的不断螺旋上升的过程，它随着企业经营管理思想、水平、环境以及科技的发展而发生变化。近一半的没有制订规划的比例更是让我们感到这些企业信息化建设的无计划性和盲目性。

以上资料全转自别处，经自己有WORD转换为PDF再做成JPG格式上传。资料仅供下载参考！

ERP企业资源规划系统流程图

 图片顺序传的可能有点乱，以后注意。（以上资料全部是转摘，再由自己制作成图片上传。）

       这个时候的夜晚静的出奇，这个时候自己的思绪也活跃的出奇，简直就超出了自己的想象，倒上一大杯自己泡的杨梅酒不自觉的就来到了电脑前，感觉这也是一种享受。

       很久都没来自己的BLOG里宁静一下了，也许是今晚太宁静，也许是今晚多喝了点酒的缘故，更有可能再过几小时就是鬼神仙节日的时候吧，思绪飞快的转动，想来这里转一转，写点什么，以酬劳和感谢自己这难得的活跃的思维。

       说实话今天晚上的这个酒并不是很好喝的，因为泡的时间还不够。当我喝第一口的感觉的是有点苦，并不是我买的酒有问题，而是泡的时间不够，没有泡出好的味道来，不过呢，可能也有心情的原因吧，第一次感觉到这酒也有苦的时候。我是一个有话就爱说的人，从来不喜欢藏在心里玩什么高智商的心理游戏。这个题目也是我喝了酒才想出来的。不知道为什么我只要一喝酒那思维就飞起飞的转，不管心情的好坏。（没酒了，先去倒点，不然的不能继续下去。鄙人就这毛病，什么东西惹的就要什么东西治。）

        孤雁！！！我突然在想这个问题，大雁都是一群一群的从来很少有单独活动的，为什么要叫孤雁呢？趁着着酒喝高的时候想问题也明白的快，其实呀可能是到了秋天的时候基本上所有的大雁都飞到南方过冬了，而只有少数的大雁不愿意离开它熟悉生长的地方，才成为人们口中的孤雁。是呀，一个地方如果让我生活几个春秋我也不会离开那里的。可能有人会问，你在那生活了二十多年，怎么还是离开了呢？其实呀？这是非常的冤枉了。我虽然二十多年在那地方。仔细算算读书的时间就是多少年呀？从村小到镇上再到县里高中再到外地（省内）的大学，我在小村里或者说在小镇里呆了几年时间呀？甚至在家的时间都可以用年和天来计算的。还是别说家的好。一说起家，我现在就想打电话回家，问问家中的父母，可是现已经是凌晨四点二十了。他们的儿子在一边喝着小酒一边诉说着心情，这个时候给他们打电话好象对他们不太公平，虽然已经对他们很不公平了，但是作为儿子的总是不希望不公平对父母来说开平方吧。

       一边喝酒一边写心情我很少这样做的，再加上喝这根本就没泡好的酒，这事根本就从来没有过，至少在我身上。但是今天晚上还真的在我身上出现了。不为别的。就为想写点什么，孤雁。就这样。

       很多时候，如果自己要认真的仔细的去想去计算的话可能孤雁比起我来还要幸运和幸福的多呢，孤雁只要一过了秋天和冬天就可以欢迎自己的伙伴回来，就可以欢迎它们回到本来就属于它们的家，可是我呢？除了读书一起在家带的时间可以用年计算外，其他的时候可能就要用时间和小时来计算了。一直到书基本上读完到外上班。好象从来没有好好的在家呆过一天，知道现在才觉得家原来是那样值得依赖。说的这里，我就拿起电话准备往家里打，可是号码刚刚开始拨就忘记了后面想想自己真的有一段时间没给家里打电话了，作为一个家里的孩子，甚至对于农村一个儿子来说是多么的可悲呀，自己家里的电话都忘记了，这可就相当于不孝呀！对于这我可不敢承当。

　　其实自己想想比起孤雁来差的远了，他至少还有的的期盼吧！我呢？不管春夏还秋冬都是一个样，没有任何的变化，除了自己还是自己，没有一点的变化，然之后就是想想自己的父母和家乡的父老乡亲是否都安详，其他的我还能想什么呀？漂泊之人除了想这些之外还能想什么呀？

　　其实呢我喝了一点酒在晕的时候就有很多话想说，可是现在呢？喝多了就什么都说不出来了。只能继续听歌喝酒，也算是一种解脱吧！

    一个人世界，一个人的心情，每当一个人静静的坐在那里，在孤寂的角落里发着呆，静静的享受着一个人世界，享受着寂静的空间。同时也忍受着一个人的孤寂，不知道一个人的世界到底是怎么样的世界，不知道一个人的空间到底是怎么样的一个空间。也在想自己还要承受多久的这样的孤寂。

    从学校实习到现在已经两年时间了，两年的时间中，我承受了多少个孤独的时间。还在学校的时候自己是多么的向往这样漂泊的生活，甚至为了能过这样的漂泊生活放弃了很多东西，可当自己真的过着这样的生活的时候怎么就感觉到累呢？好象承受不了漂泊中的孤寂。我一直在告诉我自己，选择了什么样的路就要去承受这条路上带来的一切。不管是痛与哭，喜与悲，自己都得去承受，因为这是自己选择的，没有办法逃避。既然选择了这条漂泊的路，就只有将它走到底，虽然这是一条没有尽头的路，不知道什么时候才是停下的时候。

    当一个人静静的时候，更是无聊的时候，当然了一个人的时间更多的是无聊。坐在孤独的角落总是会想些无聊的东西，也许这些无聊的东西能给自己孤独的身影带来一点安慰吧。孤独的世界只能享受着无聊，而无聊的人生并不一定要去享受孤独。

    从没有这样享受过孤独，也许走上了社会才是享受孤独的开始吧，我自己还要享受这样的世界多久呢？这完全是一个没有答案的问题，就象是有鸡还是先有蛋一样的无聊的话题。自己本来就选择了一条一个人走的路，在这条路上是不会有同伴的，有的只是从自己身边走过和自己一样的过客。

    也许是喜欢上了这个安静的地方吧，离开了又回来了，也许是对这里有着某种留念，让我再次回到这里，也许只有这里才能容下自己吧，也许什么都是。第二次来到这里，但是我想如果再让我离开一次这里就不会再选择回来了。漂泊的路是只能向前的，不可能停下。不过自己有时候是真的喜欢这个安静的地方，没有喧闹，没有激烈的竞争，一切都那么平静。

    就这样吧，也许这才是最好的选择，就这样好好的享受着自己一个人的世界，享受着孤寂。

    人生如风，漂泊无痕！