使用wireshark查看局域网内安全问题

使用wireshark查看局域网内安全问题 使用Wireshark查看局域网内安全问题 早就听说过局域网的安全性有问题，但是也一直没放在心上，祥子是计算机专业毕业的，平时上网行为很规矩，从不上那些乱七八糟的网站，小方格子里有自己专用 的电脑，里面装着网络版的杀毒软件，定时更新病毒库，系统里装着360安全卫生，系统的漏洞啊、补丁啊什么的都堵上和补上了，这样在局域网还能不安全吗, 至少，自己认为是安全的，而且相对于同事们经常重装系统的行为，自己的系统重装的次数是少多了，那么真的是这样吗,让我们用几款软件试试吧。 虚拟机:安全检测的有效工具 为什么要这样，那些检测局域网安全性的软件不能直接安装在机器上吗，当然不能，第一，这些软件很多会被杀毒软件当作病毒给杀掉，第二，你打算直接拿这些软件来对别人的机器进行测试吗,不安全，太不安全了，无论是对别人还是对自己来说都太不安全了。 所以我们要先装一个虚拟机，里面装一个“裸奔”的XP系统就可以了，所有的软件都装在这个虚拟的系统里面，自己对自己进行测试，学习了，再拿到局域网中进行实验，这样无论对别人还是自己都是负责任的，虚拟机本次安装的是VMware6.0.2这个版本。 用Sniffer工具抓取用户名/密码 SNIFFER软件有很多，比如大名鼎鼎的 Sniffer Pro 4.7，但是这款软件太大了，不好上手(但是经典就是经典，祥子以后会为大家介绍这款软件的使用的)，这次我们选一个轻量级的Wireshark，它的使 用也是非常简单，这没什么说的，双击该程序的图标启动即可。 点击“List the available capture interfaces”按钮，按中自己的网卡， 再点“Options”，再点“Start”，就可以开始监控本网段内的一切网络活动了。 我们在真实的机器上进行一次FTP操作，查看捕获到用户名/密码: 这时就可以看到有数据了，点“Stop”，再选中“Info”栏中带有“ftp[SYN]”字样的一栏(因为在FTP的同步过程中会传输用户名和密码)，点右键，选择“Follow TCP Stream”如图1所示，我们就得到了一次FTP操作的用户名和密码。 图1 利用Cain，做ARP欺骗 SNIFFER类的软件功能很强大，但是对于一般的用户来说，在众多的信息中寻找自己需要内容太麻烦了，好在Cain可以帮我们记录多种网络操作的密码，操作步骤如下: 让我们启动Cain，点选Sniffer，再点击Start/Stop Sniffer按钮，这时再点击“，”，会对本局域内的MAC地址列表进行扫描(这里也要说明一下，Cain软件也只能对同一网段的机器进行扫描)。 再点下面的“APR”，继续点击“，”，在出现的对话框中左边一栏选网关的地址，右边一栏选择需要监控的地址，一切就绪后再点“Start/Stop APR”按钮，下面就等着用户名和密码出现吧，比如我们再做一次登录FTP服务器的操作，就会看到很轻松的就把FTP的用户名和密码得到了，如图2所示。 图2 使用wireshark找回遗忘管理地址问题 作为网络管理员的我们经常要针对路由器，交换机，VPN接入等网络设备进行配置，不知道各位是否遇到过忘记了设备管理地址的情况，也许你记得用户名和密 码，但是要进行配置就必须访问管理界面，这个管理地址的丢失或遗忘却让我们束手无策。最近笔者就遇到了这么一个让人头疼的问题，最终通过sniffer找 到了管理地址信息，下面笔者就为各位呈现忘记管理地址莫慌用sniffer巧解决的全功略。 一，什么时候会忘记管理地址: 忘记管理地址的情况多出现网络管理员交接工作时，老网管离职新网管接手，但是移交时只过多的关注用户名和密码，而没有将各个设备的管理地址写清楚。另外对于一些设备来说可能会因为说明书丢失，而在RESET后忘记管理地址的情况也经常出现。 二，传统获取设备管理地址的方法: 就算没有得到设备的管理地址我们依然可以通过传统方法解决，主要的解决办法有三个。 (1)RESET恢复法: 通过设备自身的RESET键可以顺利的将设备所有配置信息清空，从而恢复到出厂状态。这样相应的设备管理地址也被重置。不过RESET恢复法存 在局限，那就是如果设备自身没有RESET恢复功能，又或者本身就没有说明书不知道恢复后的出厂设置中管理地址信息的话同样无法通过此方法解决管理地址辩 识的问题。 (2)DHCP自动获得法: 找到一台计算机连接要恢复管理地址的网络设备，如果设备自身提供了DHCP自动分配地址功能的话，我们在计算机上将会获得由网络设备自身提供的 IP，网关等网络信息，这个网关地址就是设备的管理地址。我们可以通过此地址来访问管理界面。不过此方法也同样存在缺点，那就是假如设备自身设置时就没有 开启DHCP服务，又或者出厂设置中默认关闭了DHCP服务的话，我们计算机上将无法获得任何DHCP分配的信息，自然也就无法定位管理地址了。 (3)密码恢复控制台恢复法: 最后一种方法多出现在路由器和交换机上，传统路由交换设备都可以通过开机特殊方法进入到密码恢复控制台，通过这个控制台我们可以针对设备的基本 信息进行修改，可以强行将密码，管理IP等参数更改为你输入的地址，这样就实现了管理地址的恢复。不过这种方法局限性比较大，很多设备不支持。另外就算支 持的设备要恢复起来也需要通过命令行来完成，难度相对比较大。 三，忘记管理地址莫慌用sniffer巧解决: 最近笔者遇到了一个棘手的情况，手里有一台VPN设备默认的管理地址被修改，通过说明书中提示的各个端口默认地址都无法顺利连接到管理界面。而 该设备自身也没有提供RESET功能，默认DHCP服务也被关闭;同时无法通过密码恢复控制台来强置修改管理地址。也就是说通过以上种种传统的恢复管理地 址的方法都不行，于是笔者决定用sniffer工具来解决。 第一步:首先找到一台电脑连接要查找到管理地址的网络设备相应端口，然后在本地计算机上启动sniffer工具，笔者选择的是wireshark网络分析专家这个软件，启动软件选择本地网卡。(如图1) 第二步:由于本地计算机无法通过DHCP动态获得IP地址等信息，所以我们要为其设置一个地址，地址设置讲究技巧，可以尝试10.X.X.X或 192.168.x.x，这些都是内网IP，大部分设备的管理地址都会属于这个范畴。而子网掩码的选择就更加讲究了，一定要使用255.0.0.0，这样 才能保证与管理地址尽可能的在一个网段内。例如管理地址为192.168.5.1，那么如果你的计算机IP是192.168.1.1，那么 255.255.255.0作为子网掩码的话两者是PING不通的，如果255.0.0.0作为子网掩码的话由于MASK的关系两者在一个网关是互相能够 PING通的，这样更提高了我们猜测和扫描出设备管理地址的概率。 第三步:之后把网线从设备接口上拔掉，然后重新插上，一般来说由于该端口重新有连接产生，端口会向外发送数据包，我们从wireshark管理 工具中也看到了扫描到的数据包中除了本地发出的数据包外，还有一个来自lannere1_0a:41:87的数据包，内容是gratuitous arp for 10.254.250.254，这个是ARP更新数据包。(如图2) 第四步:通过gratuitous arp for 10.254.250.254这个ARP更新数据包我们可以判断设备的管理地址为10.254.250.254。因此我们就可以重新设置本机IP地址来连接这个管理IP。(如图3) 第五步:设置本地IP地址与10.254.250.254在一个网段，同时网关指向10.254.250.254。(如图4) 第六步:设置生效后我们在本机就可以顺利的PING通10.254.250.254这个 管理地址了。(如图5) 第七步:同时可以通过IE浏览器访问管理界面针对设备其他端口的信息进行设置。(如图6) 小提示: 通过sniffer查找网络设备管理地址的方法往往需要反复尝试，并不是设备所有接口都能够通过此方法获得管理地址，因为在实际破解和恢复时需要针对设备各个接口进行sniffer，反复测试后往往才能够找到真正的管理地址。 四，小结: 本文介绍了通过sniffer类工具wireshark成功获取已经遗忘或丢失的网络设备管理界面IP地址，通过此 方法可以解决没有RESET功能又默认没有开启DHCP服务而又忘记管理地址的麻烦。除了sniffer检测法外各位用户还可以通 过笔者在文中提到的另外 一个方法——修改子网掩码为255.0.0.0的技巧来提高破解概率，通过反复尝试PING各个网段第一个地址和最后一个254地址来暴力破解管理地址。 欺骗攻击技术常见种类简析及防范 IP欺骗攻击 IP欺骗技术就是通过伪造某台主机的IP地址骗取特权从而进行攻击的技术。许多应用程序认为如果数据包能够使其自身沿着路由到达目的地，而且应答包也可以回到源地，那么源IP地址一定是有效的，而这正是使源IP地址欺骗攻击成为可能的前提。 假设同一网段内有两台主机A、B，另一网段内有主机X。B 授予A某些特权。X 为获得与A相同的特权，所做欺骗攻击如下:首先，X冒充A，向主机 B发送一个带有随机序列号的SYN包。主机B响应，回送一个应答包给A，该应答号等于原序 列号加1。然而，此时主机A已被主机X利用拒绝服务攻击 “淹没”了，导致主机A服务失效。结果，主机A将B发来的包丢弃。为了完成三次握手，X还需要向B回送一个应答包，其应答号等于B向A发送数据 包的序列号加1。此时主机X 并不能检测到主机B的数据包(因为不在同一网段)，只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确，B则认为收到的 ACK是来自内部主机A。此时，X即获得了主机A在主机B上所享有的特权，并开始对这些服务实施攻击。 要防止源IP地址欺骗行为，可以采取以下措施来尽可能地保护系统免受这类攻击: ?抛弃基于地址的信任策略: 阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用;删除.rhosts 文件;清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段，如telnet、ssh、skey等等。 ?使用加密方法: 在包发送到 网络上之前，我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境，但它将保证数据的完整性和真实性。 ?进行包过滤:可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且，当包的IP地址不在本网内时，路由器不应该把本网主机的包发送出去。 有一点要注意，路由器虽然可以封锁试图到达内部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此，它们仅能对声称是来自于内部网络的外来包进行过滤，若你的网络存在外部可信任主机，那么路由器将无法防止别人冒充这些主机进行IP欺骗。 ARP欺骗攻击 在局域网中，通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP协议对网络安全具有重要的意义，但是当初ARP 方式的设计没有考虑到过多的安全问题，给ARP留下很多的隐患，ARP欺骗就是其中一个例子。而ARP欺骗攻击就是利用该协议漏洞，通过伪造IP地址和 MAC地址实现ARP欺骗的攻击技术。 我们假设有三台主机A,B,C位于同一个交换式局域网中，监听者处于主机A，而主机B,C正在通信。现在A希望能嗅探到B->C的数据， 于是A就可以伪装成C对B做ARP欺骗——向B发送伪造的ARP应答包，应答包中IP地址为C的IP地址而MAC地址为A的MAC地址。 这个应答包会刷新B的ARP缓存，让B认为A就是C，说详细点，就是让B认为C的IP地址映射到的MAC地址为主机A的MAC地址。 这样，B想要发送给C的数据实际上却发送给了A，就达到了嗅探的目的。我们在嗅探到数据后，还必须将此数据转发给C， 这样就可以保证B,C的通信不被中断。 以上就是基于ARP欺骗的嗅探基本原理，在这种嗅探方法中，嗅探者A实际上是插入到了B->C中， B的数据先发送给了A，然后再由A转发给C，其数据传输关系如下所示: B----->A----->C B<----A<------C 于是A就成功于截获到了它B发给C的数据。上面这就是一个简单的ARP欺骗的例子。 ARP欺骗攻击有两种可能，一种是对路由器ARP表的欺骗;另一种是对内网电脑ARP表的欺骗，当然也可能两种攻击同时进行。但不管怎么样，欺骗发送后，电脑和路由器之间发送的数据可能就被送到错误的MAC地址上。 防范ARP欺骗攻击可以采取如下措施: ?在客户端使用arp命令绑定网关的真实MAC地址命令 ?在交换机上做端口与MAC地址的静态绑定。 ?在路由器上做IP地址与MAC地址的静态绑定 ?使用“ARP SERVER”按一定的时间间隔广播网段内所有主机的正确IP-MAC映射表。 DNS欺骗攻击 DNS欺骗即域名信息欺骗是最常见的DNS安全问题。当一个DNS服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信息，那么该DNS服务器 就被欺骗了。DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题，例如:将用户引导到错误的互联网站点，或者发送一个电子邮件到一个未经授权的邮 件服务器。网络攻击者通常通过以下几种方法进行DNS欺骗。 (1)缓存感染 黑客会熟练的使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。 (2)DNS信息劫持 入侵者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。黑客在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。 (3)DNS重定向 攻击者能够将DNS名称查询重定向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。 防范DNS欺骗攻击可采取如下措施: ?直接用IP访问重要的服务，这样至少可以避开DNS欺骗攻击。但这需要你记住要访问的IP地址。 ?加密所有对外的数据流，对服务器来说就是尽量使用SSH之类的有加密支持的协议，对一般用户应该用PGP之类的软件加密所有发到网络上的数据。这也并不是怎么容易的事情。 源路由欺骗攻击 通过指定路由，以假冒身份与其他主机进行合法通信或发送假报文，使受攻击主机出现错误动作，这就是源路由攻击。在通常情况下，信息包从起点到终点走 过的路径是由位于此两点间的路由器决定的，数据包本身只知道去往何处，但不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里， 使数据包循着一个对方不可预料的路径到达目的主机。下面仍以上述源IP欺骗中的例子给出这种攻击的形式: 主机A享有主机B的某些特权，主机X想冒充主机A从主机B(假设IP为aaa.bbb.ccc.ddd)获得某些服务。首先，攻击者修改距离X最近 的路由器，使得到达此路由器且包含目的地址aaa.bbb.ccc.ddd的数据包以主机X所在的网络为目的地;然后，攻击者X利用IP欺骗向主机B发送 源路由(指定最近的路由器)数据包。当B回送数据包时，就传送到被更改过的路由器。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些 被保护数据。 为了防范源路由欺骗攻击，一般采用下面两种措施: ?对付这种攻击最好的办法是配置好路由器，使它抛弃那些由外部网进来的却声称是内部主机的报文。 ?在路由器上关闭源路由。用命令no ip source-route。 局域网IP地址非法使用解决问题 在大多数局域网的运行管理工作中，网络管理员负责管理用户IP地址的分配，用户通过正确地注册后才被认为是合法用户。在局域网上任何用户使用未经授 权的IP地址都应视为IP非法使用。但在Windows操作系统中，终端用户可以自由修改IP地址的设置，从而产生了IP地址非法使用的问题。改动后的 IP地址在局域网中运行时可能出现的情况如下。 a. 非法的IP地址即IP地址不在规划的局域网范围内。 b.重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源冲突，使合法用户无法上网。 c.冒用合法用户的IP地址当合法用户不在线时，冒用其IP地址联网，使合法用户的权益受到侵害。 1 IP地址非法使用的动机? IP地址的非法使用问题，不是普通的技术问题，而是一个管理问题。只有找到其存在的理由，根除其存在的基础，才可能从根本上杜绝其发生。分析非法使用者的动机有以下几种情况: a. 干扰、破坏网络服务器和网络设备的正常运行。 b. 企图拥有被非法使用的IP地址所拥有的特权。最典型的，就是因特网访问权限。 c. 因机器重新安装、临时部署等原因，无意中造成的非法使用。 2 非法使用方法 2.1 静态修改IP地址配置 用户在配置TCP/IP选项时，使用的不是管理员分配的IP地址，就形成了IP地址的非法使用。 2.2 同时修改MAC地址和IP地址 非法用户还有可能将一台计算机的IP地址和MAC地址都改为另一台合法主机的IP地址和MAC地址。他们可以使用允许自定义MAC地址的网卡或使用软件修改MAC地址。 2.3 IP电子欺骗 IP电子欺骗是伪造某台主机IP地址的技术。它通常需要编程来实现。通过使用SOCKET编程，发送带有假冒的源IP地址的IP数据包 3 管理员的技术手段 3.1 静态ARP表的绑定 对于静态修改IP地址的问题，可以采用静态路由技术加以解决，即IP-MAC地址绑定。因为在一个网段内的网络寻址不是依靠IP地址而是物理地址。 IP地址只是在网际之间寻址使用的。因此作为网关的路由器上有IP-MAC的动态对应表，这是由ARP协议生成并维护的。配置路由器时，可以指定静态的 ARP表，路由器会根据静态的ARP表检查数据包，如果不能对应，则不进行数据转发。 该方法可以阻止非法用户在不修改MAC地址的情况下，冒用IP地址进行跨网段的访问。 3.2 交换机端口绑定 借助交换机的端口—MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。可管理的交换机中都有端口—MAC地址绑定功能。 使用交换机提供的端口地址过滤模式，即交换机的每一个端口只具有允许合法MAC地址的主机通过该端口访问网络，任何来自其它MAC地址的主机的访问将被拒 绝。 3.3 VLAN划分 严格来说，VLAN划分不属于技术手段，而是管理与技术结合的手段。将具有相近权限的IP地址划分到同一个VLAN，设置路由策略，可以有效阻止非法用户冒用其他网段的IP地址的企图。 3.4 与应用层的身份认证相结合 避免采用针对IP地址的直接授权的管理模式，综合运用用户名、口令、加密、VPN及其他应用层的身份认证机制，构成多层次的严密的安全体系，可以有效降低IP地址非法使用所带来的危害。 4 管理建议 a.普通用户明白非法使用IP地址所产生的危害和处罚措施，制定并实施严格的IP地址#管理#，包括:IP地址申请和发放，IP地址变更流程，临时IP地址分配流程，机器MAC地址登记管理，IP地址非法使用的处罚制度。 b.非法使用IP的行为，总是内部网络少数人的行为。因此，对于已经建成的网络，管理员要根据当前存在的问题，有针对性的运用技术措施，重点阻止个别用户的非法行为。 c. 划分VLAN时，兼顾可管理性和易用性。在不增加网络复杂性的前提下，充分运用VLAN的划分手段，将权限相近的用户划分到同一个VLAN内，弱化非法使用同网段IP地址所带来的利益。 d. 部署网络管理系统。网络管理软件可以实现静态ARP表绑定的初始化操作，避免网络管理员的大量重复性劳动。网络管理软件的日常监视和日志功能，可以及时有 效的发现网络中的IP地址变化、MAC地址变化、交换机端口改变等异常行为，帮助网络管理员查找网络故障的根源。同时，网络管理员还可以借助网管系统，很 方便的管理网络交换机，针对个别问题突出的用户，进行交换机端口绑定操作，禁止其修改MAC地址。 e. 与应用层的身份认证相结合，建立完整严密的多层次的安全认证体系，弱化IP地址在身份认证体系中的重要性。与IP地址非法使用的问题类似，用户名和口令也属于容易盗用的资源，建议有条件的单位采用指纹鼠标等先进的身份认证系统，强化重要系统的安全强度。 5 结束语 内部人员非法使用IP地址，并不是为了进行侵入和破坏，而是为了谋取某些特定的权限和利益。网络管理员除有法律手段和技术手段，还拥有各种内部管理 手段。如果单纯使用技术手段来防范IP地址的非法使用，必然产生高昂的系统投资成本和人员开支。因此，只有综合运用管理手段和技术手段，来处理IP地址非 法使用问题，才能实现高可靠性的系统运行与低成本的管理维护的统一。 下面是诗情画意的句子欣赏,不需要的朋友可以编辑删除!! 谢谢!!!!! 1. 染火枫林，琼壶歌月，长歌倚楼。岁岁年年，花前月下，一尊芳酒。水落红莲，唯闻玉磬，但此情依旧。 2. 玉竹曾记凤凰游，人不见，水空流。 3. 他微笑着，在岁月的流失中毁掉自己。 4. 还能不动声色饮茶，踏碎这一场，盛世烟花。 5. 红尘嚣 浮华一世转瞬空。 6. 我不是我 你转身一走苏州里的不是我 。 7. 几段唏嘘几世悲欢 可笑我命由我不由天。 8. 经流年 梦回曲水边 看烟花绽出月圆。 9. 人生在世，恍若白驹过膝，忽然而已。然，我长活一世，却能记住你说的每一话。 10. 雾散，梦醒，我终于看见真实，那是千帆过尽的沉寂。 11. 纸张有些破旧，有些模糊。可每一笔勾勒，每一抹痕迹，似乎都记载着跨越千年万载的思念。 12. 生生的两端，我们彼此站成了岸 。 13. 缘聚缘散缘如水，背负万丈尘寰，只为一句，等待下一次相逢。 14. 握住苍老，禁锢了时空，一下子到了地老天荒 15. 人永远看不破的镜花水月，不过我指间烟云 世间千年,如我一瞬。 16. 相逢一醉是前缘，风雨散，飘然何处。 17. 虚幻大千两茫茫，一邂逅，终难忘。相逢主人留一笑，不相识，又何妨。 18. 天下风云出我辈,一入江湖岁月催;皇图霸业谈笑间,不胜人生一场醉。 19. 得即高歌失即休，多愁多恨亦悠悠，今朝有酒今朝醉，明日愁来明日愁。 20. 直道相思了无益，未妨惆怅是清狂。 21. 看那天地日月，恒静无言;青山长河，世代绵延;就像在我心中，你从未离去，也从未改变。 22. 就这样吧，从此山水不相逢。 23. 人天自两空，何相忘，何笑何惊人。 24. 既不回头,何必不忘。 既然无缘,何须誓言。 今日种种,似水无痕。 明夕何 夕,君已陌路。 25. 有缘相遇,无缘相聚,天涯海角,但愿相忆。有幸相知,无幸相守,苍海明月,天 长地久。 26. 相见得恨晚，相爱的太慢，进退让我两难。缘过了远分，缘过了聚散，是 否回头就能够上岸 27. 天凉了,凉尽了天荒 地老了,人间的沧桑，爱哭了,这么难舍 心都空了,想放 不能放。天亮了,照亮了泪光 泪干了,枕边地彷徨 28. 心微动奈何情己远.物也非,人也非,事事非,往日不可追 29. 渺渺时空,茫茫人海,与君相遇,莫失莫忘。 30. 如果换我先开口，日子是否还一样细水长流 31. 也许是前世的姻 也许是来生的缘 错在今生相见 徒增一段无果的恩怨 32. 人道海水深，不抵相思半。海水尚有涯，相思渺无畔。 33. 醉眼看别人成双作对， 34. 无人处暗弹相思泪。 35. 终于为那一身江南烟雨覆了天下，容华谢后，不过一场，山河永寂。 36. 千秋功名，一世葬你，玲珑社稷，可笑却无君王命。 37. 凤凰台上凤凰游，负约而去，一夜苦等，从此江南江北，万里哀哭。 38. 嗟叹红颜泪、英雄殁，人世苦多。山河永寂、怎堪欢颜。 39. 风华是一指流砂，苍老是一段年华。 40. 夜雨染成天水碧。有些人不需要姿态，也能成就一场惊鸿。 41. 你要记得，紫檀未灭，我亦未去。 42. 谁在岁月里长长叹息。 43. 汉霄苍茫，牵住繁华哀伤，弯眉间，命中注定，成为过往。 44. 红尘初妆，山河无疆。 最初的面庞，碾碎梦魇无常，命格无双。 45. 江南风骨，天水成碧，天教心愿与身违。 46. 山河拱手，为君一笑 。 47. 如是颠簸生世亦无悔。 48. 荏苒岁月覆盖的过往，白驹过隙，匆匆的铸成一抹哀伤。 49. 那被岁月覆盖的花开，一切白驹过隙成为空白。 50. 褪尽风华，我依然在彼岸守护你。 51. 那些繁华哀伤终成过往， 52. 请不要失望，平凡是为了最美的荡气回肠。 53. 你的路途，从此不见我的苍老。 54. 长歌当哭，为那些无法兑现的诺言，为生命中最深的爱恋，终散作云烟。 55. 随你走在天际，看繁花满地。 56. 我自是年少，韶华倾负。 57. 你要记得，那年那月，垂柳紫陌洛城东。 58. 苍茫大地一剑尽挽破，何处繁华笙歌落。 59. 寄君一曲，不问曲终人聚散。 60. 谁将烟焚散，散了纵横的牵绊;听弦断，断那三千痴缠。61. 清风湿润，茶烟轻扬。重温旧梦，故人已去。 1. 水滴虽小，却可以折射出太阳的光彩。 2. 梦落三千尺愁深似海，繁华遗落散满地。记忆轮回里，我举杯，在奈何桥上满口饮尽。 3. 人生没有轮回，就像花，人活一世，花开一季、人生如花，花似梦。 4. 生活的苦涩和美好给了我对人生的领悟，如今，千山万水走遍，我发现自己再也不愿离开文学的蓝天，再也不愿离开那个让我痴迷的文学舞台。 5. 在烟雨红尘中，轻拾季节花瓣飘落的音符，组成美妙曲符，然后，倚在时光的路口，撷一缕明媚，许自己一份唯美的怀想，与快乐、浪漫相约，闲淡清欢。 6. 未经历坎坷泥泞的艰难，哪能知道阳光大道的可贵;未经历风雪交加的黑夜，哪能体会风和日丽的可爱;未经历挫折和磨难的考验，怎能体会到胜利和成功的喜悦。挫折，想说恨你不容易 7. 燕子斜飞人家，炊烟零乱，柳絮飘飘，弥漫了山里人家。 8. 这样知解自己的生命即使是心灵空荡我也无所畏惧 9. 中秋之曰不可能岁月明如水，偶然的暗淡，恰似镜子的背后之面，有所缺憾，人生才会是积翠如云的空濛山色。 10. 在经受了失败和挫折后，我学会了坚韧;在遭受到误解和委屈时，我学会了宽容;在经历了失落和离别后，我懂得了珍惜。 11. 曾经盛开的蔷薇，虽经风吹雨打，但和着微风，还有屡屡暗香飘过。 12. 我只希望，不管三年，五年，或是十年以后。某一天，我们相遇，还能相认，你大喊一声，我想死你了。那一刻，我定会泪流满面。我们是朋友，永远的朋友。 13. 最爱的未必适合在一起，相爱是让彼此做自己。 14. 时间断想，时间不断。流逝，像是水，可弯可直，像是风，可柔可刚。 15. 如果说人生是一望无际的大海，那么挫折则是一个骤然翻起的浪花。如果说人生是湛蓝的天空，那么失意则是一朵飘浮的淡淡的白云。 16. 云层雾气，缠着几户古木人家，清新自然，如诗如画。 17. 我喜欢你，只是一个现在;我爱你，却是一整个未来。 18. 夜雨染成天水碧。有些人不需要姿态，也能成就一场惊鸿。 19. 再大的风不会永不停息，在浓得雾不会经久不散，风息雾散仍是阳光灿烂。 20. 牵着时光的衣襟，走进芳菲五月，轻轻地将春光拥入怀中，于一抹素白流韵中，弹奏一曲江南的婉韵，把盏，将似水流年浅斟轻酌。 21. 我穿越轮回而来，在奈何桥相思盈袖，凄然守候。莫落泪，纵若水落三千尺东流，云动八万里西散，我依旧会化身城碟，翩翩起舞跨过奈何桥与你相会。 22. 如果我爱你，我就会理解你，通过你的眼睛去看世界。我能理解你，是因为我能在你身上看到我自己，在我身上也看到了你。 23. 似乎风在转向，送走了缓缓袭来的味道，又将刚刚溜走的风，静静地换回来。 24. 生活告诉我，童话只不过是小孩子幻想的游戏。 25. 人生就像穿着一件长满虱子的华丽睡袍，外表美丽，而内心却充满了干啊和恐慌。 26. 必须用另一种真实方式来代替时光里已经逝去的东西 27. 岁月，依一抹浅香于心间，看年华向晚，闻花香送暖。给时光一个浅浅的回眸;给自己一份微笑从容。沉淀，馨香;念起，温暖。 28. 人生的起起落落间，总会有一些情怀需要安静回味;总会有一些伤痛需要独自体会;总会有一段路需要一个人走;总会有一些事需要坦然面对。 29. 疏影横斜水清浅，暗香浮动月黄昏。 30. 心若没有栖息的地方，到哪里都是在流浪。 31. 今后，我会从尘世中的纷争走出，远离喧嚣，把岁月打磨成诗，让自己的文字静如睡莲，动如涟漪，无论何时都能描绘成美丽的水墨丹青。 32. 全是理智的心，恰如一柄全是锋刃的刀，它叫使用它的人手上流血。——泰戈尔 33. 我们都不擅长表达，以至于我们习惯了揣测。去肯定，去否定，反反复复，后来我们就变得敏感而脆弱。 34. 心心念念的往事、曾经深爱过的人、年少琐碎的过往，它们就像缠绕之间的一阵风，来的缱绻，去的时候让人来不及挽留。 35. 如果在乎的没有那么多，想要的没有那么多，生活便会简单得很多。 36. 在极度的喧嚣中，独自微笑独自平静是憾，落花是美的，淡淡的书香，淡淡的花香，淡淡的馨香。 37. 曾芬芳过的那片土地，幸福的花儿虽早已凋谢，只留下风雨吹打的痕迹。 38. 辗转半世红尘，缘去缘灭，空留满池伤痕。雨花迟落，霜雪纷飞，池水泛冰，已益处月的苍凉。 39. 一条古道，一匹瘦马，一个人影，被落日的余晖缓缓拉长。 40. 我们人生的大幕才刚刚拉启:刀光剑影，英雄本色;是非恩怨，儿女情常。 41. 我们要去流浪，虔诚地定格住每一寸记忆;我们要去成长，潇洒地忘却掉每一条纹路。 42. 嗅着昨日芬芳遗留的气息，寻寻觅觅，仍不见踪迹。邂逅了一场烟火，终还是那般凄凉。迷失的夜晚，点缀了无数颗孤单的星星，不知道那是否有属于我的一颗。 43. 像这样轻飘飘的日子和平平静静的心情，也算是生活中的一种享受吧。 44. 想着远方的你，绝美的笑容，只为你一个人展露，那一泓羞涩的笑容，悄悄。 45. 细碎的声音，如羞涩的蓓蕾，夜暮花影，轻浅六月，寂寂流年，拢一阙清绝，归隐在宋词里。 46. 夕阳沉落在海水深处却不见浪花翻滚，淡淡的只留下一个让人沉思的背影。落雨是晚风中的殇，带着晨曦的翘首滑落最后的伤痕!雨尽含羞，淡抹嫣红! 47. 无影击碎了泪水，岁月在那个光年划下的痕迹原来是一刀一刀地刻在了我的心上。 48. 我收拢了梦想的翅膀，我停却了信念的脚步，却再也作不回曾经的那一天。 49. 我宁愿用尽此生，为那些尘世的硝烟尘雾，潸然泪下，为菩提落花，为世间繁华。 50. 阳光依旧在，我们穿越光影，沿着历史的足迹继续前行，创造美好生活，走向美丽明天! 51. 洋溢着春日的微笑，坚强了外表，却虚伪了内心，脆弱了，是不敢触及的。 52. 也许，就在那一刻里，梦境还在，柔情亦在。 53. 一个人的戏，自己独自导演，诠释精彩。在剧中尽情释放着自己的喜怒哀乐。笑得凄然绝美;哭得肝肠寸断。 54. 但生命中被你刻上痕迹的那些岁月无法抹去。 55. 往事悠然一笑间，不必空忧。我们一路走来，只是为了告别往事，走入下一段风景。倘若让忧伤填补了生命的空白，就真的是亵渎了生命。 56. 人生只有回不去的过去，没有过不去的当下。上帝只会给你过得去的坎，再不好过的生活，再难过的坎，咬咬牙，也就过去了。 57. 我一直以为山是水的故事，云是风的故事，你是我的故事。可是却不知道，我是不是你的故事。 58. 生命并不是一场竞赛，而是一段旅程。如果你在途中一直都试图给他人留下深刻印象，超过别人，那你就浪费了这段旅程。 59. 比如新的朋友新的感情新的思绪我想要知道的 60. 我以为我已经将爱情忘记，将你忘记。可是有一天，我听到一首歌，我的眼泪就出来了。因为这首歌，我们曾一起听过。 61. 忍花开花落，云卷云舒，品人生似棋。 62. 我离开你这一种信仰又会以怎样全新的姿势去面临更深沉的挑战 63. 人生路，路迢迢，谁道自古英雄多寂寥，若一朝，看透了，一身清风挣多少。 64. 只有夕阳站在那里。灵魂像无数的雪花飘过，光明闪烁，渐渐清醒。 65. 终于为那一身江南烟雨覆了天下，容华谢后，不过一场，山河永寂。 66. 荏苒岁月覆盖的过往，白驹过隙，匆匆的铸成一抹哀伤。 67. 忘川水不枯，记忆不散;奈何桥不断，思卿不弃;今夕，彼岸花又放，佳期约又到，我轮回践约而来，等你归来。红尘路上，伊人在否? 68. 十年生死两茫茫，不思量，自难忘，千里孤坟，无处话凄凉，纵使相逢应不识，尘满面，鬓如霜。 69. 天空飘过一朵云，有时是晴，有时是阴。但白昼终归还是白昼。 70. 我知道回不去，但还是会想念会回忆会心疼到无法自拔。 71. 天空不曾留下鸟的痕迹，但是我已飞过、在大地上画满窗子，让所有习惯黑暗的眼睛都习惯光明。 72. 人生首先要是望远镜，看远;再就是显微镜，看细;接下来是放大镜，看透;其次是太阳镜，看淡;最后是哈哈镜，笑看生活。 73. 我不是公主，也不会有等待救赎我的王子。