Virus 版 (精华区)

发信人: seak (江海客), 信区: Virus
标  题: 第一章：防范针对IP地址的攻击
发信站: 紫 丁 香 (Fri Nov 12 19:53:03 1999) WWW-POST

第一章：防范针对IP地址的攻击
      文/江海客（seak@163.net）
___________________________________________________________________
声明：
1、您所看到的是《个人网络用户的安全与维护指南》一文的文本稿，本文
已经在《计算机应用文摘》增刊《网络之门》发表，传统媒体如欲转载请同
该杂志社联系，获得许可方可转载。
2、本文作者seak（哈工大紫丁香站ID）许可本文可转载于任何非商业BBS、
新闻组和WEB站点。但严禁改动、删节或添加或局部抄袭、改头换面用于任
何正式出版物。转载必须完整，包括本声明和原文紫丁香BBS信头 (即：发
信人、标题、发信站三行)。
3、由于《计算机应用文摘》编辑同志对本文的修改、和作者对文章的再次
扩充，等因素，你看到的电子版本部分章节与刊发文章并不一致。同时，
作者本人也保留对文章再次扩充修改和网上重新发布的权利。
4、本文是一篇科普文章，是作者考虑到一般网络用户的接受能力而写的，
对本领域的专家本文并无价值。作者力图能给广大用户做准确的描述，但由
于作者时间和水平的限制，作者不能保证本文的涉及的观点、处理方法等绝
对正确。欢迎大家就各种问题与我探讨，seak@163.net。
____________________________________________________________________

一、攻击的简单机理。

    好多网上用户都有这样的经历，在聊天室里与网友谈的正高兴突
然机器蓝屏，必须重起。也经常有的ISP的NT SERVER遭到莫名的
攻击。更令人难受的是一个网吧或企业的所有机器几乎同时蓝屏当
机。很大的可能是这些机器遭到了OOB攻击。何谓OOB攻击，其实，
攻击者是利用Windows下微软网络协定NetBIOS的一个例外处理程
序OOB（Out of Band）的漏洞。只要有人以OOB的方式，通过TCP/ 
IP传递一个小小的包到某个IP地址的某个开放的受端上（一般为
139）。使没有防护或修订的win95/nt系统瞬间当机。NT将会重新启
动，95则一般要手动重起。有的补丁尽管可使机器可用ESC退出蓝
屏，正常工作，但不重起，就无法访问tcp/ip类型的网络。
除了139，其他可能的oob开放的受端，如137、138、113等等，均
有可能遭到攻击。
当然95系列的不稳定性，也是众所周知的，因此大不必把一切蓝屏
死机都归罪到oob的头上。一般的95遭受oob攻击的典型蓝屏提示
形如：
Fatal exception 0E at 0028: in VxD MSTCP(01)+000041AE
This was called from 0028: in VxS NDIS(01)+0000D7C 
    需要说明的是，这种类型的攻击主要的对象是没有打过补丁95
和NT有效，而对98无效，但根据最新的资料，有人已经发现了WIN98
的TCP/IP协议栈的漏洞，并发布了针对这一漏洞的工具，据称，这
种攻击将使98蓝屏，用ESC返回后，同样不能访问TCP/IP资源必
须重起，在本文即将完成时，我收到了一组程序UNIX C，根据程序
的说明有两个程序可以对98进行攻击，大概的机理好象分别是对
95/98的ICMP协议和对IGMP协议进行DoS（Denial of Service，拒
绝服务）攻击。依照经验，此类攻击一般是利用目标机器协议上的一
些漏洞，连续发送大型的破碎数据包，形成packets的风暴，造成目
标机器当机。但是由于时间关系，笔者已经来不及作出分析测试，只
能给网友一个提醒，98也不能高枕无忧。
二、几种典型的攻击工具

NUKE、WINNUKE及其变种，现在网上流行的OOB攻击工具已经从
最初的简单选择IP攻击PORT139，发展为可攻击某一IP范围，可连
续攻击，可验证攻击效果，可监测及选择端口，因此，常常出现某一
区段全部蓝屏死机的结果。
SSPING：SSPING是一种出色的ip攻击工具，它的机理是，向被攻
击的ip连续发出破碎的大型ICMP数据包，被攻击的95系统试图将
破碎包合并处理，从而造成当机。
TEARDROP（泪滴）：泪滴也是采用碎片包攻击的一种远程攻击工具，
他的最大的特点是除了95/nt外，可攻击linux。

三、OOB攻击的防范
由于目前微软尚未就98的ICMP和IGMP漏洞作出反应，因此只
能介绍OOB攻击的防范
（一）手动防范
WIN3.X
编辑SYSTEM.INI，找到[MSTCP]，
下面加入BSDUrgent=0

Windows 95
编辑注册表Regedit
在HKEY-LOCAL-
MACHINE/System/CurrentControlSet/Services/VxD/MSTCP
下加入一个 "BSDUrgent=0"。
并把VNBT.386更名为VNBT.BAK
这可以让95关闭其netbios的服务，但这也使机器丧失了MICROSOFT
网络的Pier-to-Pier打印与文件共享功能。

（二）原厂补丁与安装要点
win95
微软95与此BUG相关的补丁较多，请大家注意，一定要按照步骤安
装。
1：安装MS DUN12升级文件并重启动，（文件名一般可能为
MSDUN12EXE）。
2、安装WINSOCK升级文件并重启动，（文件名一般为
WS2SETUPEXE）。
3、安装WINSOCK22补丁并重启动，（文件名一般为VIPUP20EXE）。
至此系统可防范部分IP攻击的工具如SSPING和TEARDROP（泪滴）
4、安装补丁文件VTCPUP20EXE并重启动。
5、将VNBT386更名为VNBT。BAK或者修正VNBT（运行VNBTEXE）
并重起。
可防范WINNUKE等工具。


WIN3X的防范
WIN3X似乎没有相应的补丁，请参考前面手动处理。

NT4
1、安装SERVICE PACK3及以上版本（文件名一般为NT4SP3I。EXE）
2、安装针对泪滴2等攻击工具的补丁（TEARFIXIEXE）。

NT3。51
1、针对X86和APLHA芯片不同的NT要分别打一个补丁，
而后升级到SERVICE PACK5。

WIN98
尚未发现类似漏洞。


  （三）防弹衣与第三方补丁简介

NOCRASH：NOCRASH的命名是因为有OOB攻击工具名称为
CRASH，这个工具这似乎简单的修改注册表，以使NETBIOS功能失
效的工具，对传统的基于PORT139的攻击比较有效，但并不能全面
防范。而且会造成无法使用其他的的防弹衣。因此如果你上网比较方
便，我们还是建议你下载微软的原厂补丁，或使用NUKENAGER。

ANTINUKE：这是早期的一个外挂式的程序，能防范针对139的攻击，
并捕获攻击者的IP，但这个程序重要的特点是他会对攻击者进行反
击，而且会使，一些探测139是否打开的工具溢出，另外这个程序在
NT上也有效。这个程序的缺欠是：一、只能监听一个PORT，第二
是会把网上邻居的方式对你机器的访问也误报为攻击。

NUKENAB：这是目前功能比较完善的一个防弹衣，除了系统自身设
定监听的5个PORT之外，你还可以指定系统监听的一个端口，（一
般我们指定为113）即总共可以监听6个端口。他可以捕获攻击者的
IP，另外系统提供了一些自定义参数，如端口开放与关闭、受到攻击
时所发出的声音等等。另外，特别值得一提的是，当你发现有人用BO、
NETBUS等黑客工具入侵你时，你可以用NUKENAB监听对应的开放
端口发现他的地址。

___________________________________________________________________

--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 )|)             ●   |江海客     seak@163.net
\-----/               |之天涯看台 http://seak.163.net(163)
ぺべぺべぺべぺ                    http://personal.yn.cninfo.net/seak(169)           
        问人间沧桑几许；看书生胆气如何
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

※ 来源:·紫 丁 香 bbs.hit.edu.cn·[FROM: 202.97.232.107]