一、攻擊的簡單機理。
好多網上用戶都有這樣的經歷,在聊天室里與網友談的正高興突然機器藍屏,必須重起。也經常有的ISP的NT SERVER遭到莫名的攻擊。更令人難受的是一個網吧或企業的所有機器幾乎同時藍屏當機。很大的可能是這些機器遭到了OOB攻擊。何謂OOB攻擊,其實,攻擊者是利用Windows下微軟網絡協定NetBIOS的一個例外處理程序OOB(Out of Band)的漏洞。只要有人以OOB的方式,通過TCP/IP傳遞一個小小的包到某個IP地址的某個開放的受端上(一般為139)。使沒有防護或修訂的win95/nt系統瞬間當機。NT將會重新啟動,95則一般要手動重起。有的補丁盡管可使機器可用ESC退出藍屏,正常工作,但不重起,就無法訪問tcp/ip類型的網絡。除了139,其他可能的oob開放的受端,如137、138、113等等,均有可能遭到攻擊。當然95系列的不穩定性,也是眾所周知的,因此大不必把一切藍屏死機都歸罪到oob的頭上。一般的95遭受oob攻擊的典型藍屏提示形如:
Fatal exception 0E at 0028: in VxD MSTCP(01)+000041AE
This was called from 0028: in VxS NDIS(01)+0000D7C
需要說明的是,這種類型的攻擊主要的對象是沒有打過補丁95 和NT有效,而對98無效,但根據最新的資料,有人已經發現了WIN98的TCP/IP協議棧的漏洞,并發布了針對這一漏洞的工具,據稱,這種攻擊將使98藍屏,用ESC返回后,同樣不能訪問TCP/IP資源必須重起,在本文即將完成時,我收到了一組程序UNIX C,根據程序的說明有兩個程序可以對98進行攻擊,大概的機理好象分別是對95/98的ICMP協議和對IGMP協議進行DoS(Denial of Service,拒絕服務)攻擊。依照經驗,此類攻擊一般是利用目標機器協議上的一些漏洞,連續發送大型的破碎數據包,形成packets的風暴,造成目標機器當機。但是由于時間關系,筆者已經來不及作出分析測試,只能給網友一個提醒,98也不能高枕無憂。(補丁在此)
二、幾種典型的攻擊工具
NUKE、WINNUKE及其變種,現在網上流行的OOB攻擊工具已經從最初的簡單選擇IP攻擊PORT139,發展為可攻擊某一IP范圍,可連續攻擊,可驗證攻擊效果,可監測及選擇端口,因此,常常出現某一區段全部藍屏死機的結果。
SSPING:SSPING是一種出色的ip攻擊工具,它的機理是,向被攻擊的ip連續發出破碎的大型ICMP數據包,被攻擊的95系統試圖將破碎包合并處理,從而造成當機。
TEARDROP(淚滴):淚滴也是采用碎片包攻擊的一種遠程攻擊工具,他的最大的特點是除了95/nt外,可攻擊linux。
三、OOB攻擊的防范
由于目前微軟尚未就98的ICMP和IGMP漏洞作出反應,因此只能介紹OOB攻擊的防范。
(一)手動防范
WIN3.X
編輯SYSTEM.INI,找到[MSTCP],
下面加入BSDUrgent=0
Windows 95
編輯注冊表Regedit
在HKEY-LOCAL-
MACHINE/System/CurrentControlSet/Services/VxD/MSTCP
下加入一個 "BSDUrgent=0"。
并把VNBT.386更名為VNBT.BAK
這可以讓95關閉其netbios的服務,但這也使機器喪失了MICROSOFT
網絡的Pier-to-Pier打印與文件共享功能。
(二)原廠補丁與安裝要點
win95
微軟95與此BUG相關的補丁較多,請大家注意,一定要按照步驟安
裝。
1:安裝MS DUN12升級文件并重啟動,(下載MSDUN12.EXE)。
2、安裝WINSOCK升級文件并重啟動,(下載WS2SETUP.EXE)。
3、安裝WINSOCK22補丁并重啟動,(文件名一般為VIPUP20.EXE)。
至此系統可防范部分IP攻擊的工具如SSPING和TEARDROP(淚滴)
4、安裝補丁文件VTCPUP20.EXE并重啟動(下載VTCPUP20.EXE)。
5、將VNBT386更名為VNBT。BAK或者修正VNBT(運行VNBT.EXE)并重起。
可防范WINNUKE等工具。
WIN3X的防范
WIN3X似乎沒有相應的補丁,請參考前面手動處理。
NT4
1、安裝SERVICE PACK3及以上版本(下載SERVERCE6中文版)
2、安裝針對淚滴2等攻擊工具的補丁(下載TEARFIXI.EXE)。
NT3。51
1、針對X86和APLHA芯片不同的NT要分別打一個補丁,
而后升級到SERVICE PACK5。
WIN98
尚未發現類似漏洞。
——————
防止WIN98的IGMP攻擊補丁,請根據你98的版本選擇合適的補丁。
98第一版IGMP補丁下載
98OEM-2版IGMP補丁下載
