防范针对ip地址的攻击.txt

当今

发信人: aeroboy (为人民服务), 信区: security 
标  题: 防范针对IP地址的攻击 
发信站: 北大 (Wed Apr 19 09:56:30 2000), 转信 
  
一、攻击的简单机理。 
好多网上用户都有这样的经历，在聊天室里与网友谈的正高兴突 
然机器蓝屏，必须重起。也经常有的ISP的NT SERVER遭到莫名的 
攻击。更令人难受的是一个网吧或企业的所有机器几乎同时蓝屏当 
机。很大的可能是这些机器遭到了OOB攻击。何谓OOB攻击，其实， 
攻击者是利用Windows下微软网络协定NetBIOS的一个例外处理程 
序OOB（Out of Band）的漏洞。只要有人以OOB的方式，通过TCP/ 
IP传递一个小小的包到某个IP地址的某个开放的受端上（一般为 
139）。使没有防护或修订的win95/nt系统瞬间当机。NT将会重新启 
动，95则一般要手动重起。有的补丁尽管可使机器可用ESC退出蓝 
屏，正常工作，但不重起，就无法访问tcp/ip类型的网络。 
除了139，其他可能的oob开放的受端，如137、138、113等等，均 
有可能遭到攻击。 
当然95系列的不稳定性，也是众所周知的，因此大不必把一切蓝屏 
死机都归罪到oob的头上。一般的95遭受oob攻击的典型蓝屏提示 
形如： 
Fatal exception 0E at 0028: in VxD MSTCP(01)+000041AE 
This was called from 0028: in VxS NDIS(01)+0000D7C 
需要说明的是，这种类型的攻击主要的对象是没有打过补丁95 
和NT有效，而对98无效，但根据最新的资料，有人已经发现了WIN98 
的TCP/IP协议栈的漏洞，并发布了针对这一漏洞的工具，据称，这 
种攻击将使98蓝屏，用ESC返回后，同样不能访问TCP/IP资源必 
须重起，在本文即将完成时，我收到了一组程序UNIX C，根据程序 
的说明有两个程序可以对98进行攻击，大概的机理好象分别是对 
95/98的ICMP协议和对IGMP协议进行DoS（Denial of Service，拒 
绝服务）攻击。依照经验，此类攻击一般是利用目标机器协议上的一 
些漏洞，连续发送大型的破碎数据包，形成packets的风暴，造成目 
标机器当机。但是由于时间关系，笔者已经来不及作出分析测试，只 
能给网友一个提醒，98也不能高枕无忧。(补丁在此) 
二、几种典型的攻击工具 
NUKE、WINNUKE及其变种，现在网上流行的OOB攻击工具已经从 
最初的简单选择IP攻击PORT139，发展为可攻击某一IP范围，可连 
续攻击，可验证攻击效果，可监测及选择端口，因此，常常出现某一 
区段全部蓝屏死机的结果。 
SSPING：SSPING是一种出色的ip攻击工具，它的机理是，向被攻 
击的ip连续发出破碎的大型ICMP数据包，被攻击的95系统试图将 
破碎包合并处理，从而造成当机。 
TEARDROP（泪滴）：泪滴也是采用碎片包攻击的一种远程攻击工具， 
他的最大的特点是除了95/nt外，可攻击linux。 
三、OOB攻击的防范 
由于目前微软尚未就98的ICMP和IGMP漏洞作出反应，因此只 
能介绍OOB攻击的防范 
（一）手动防范 
WIN3.X 
编辑SYSTEM.INI，找到[MSTCP]， 
下面加入BSDUrgent=0 
Windows 95 
编辑注册表Regedit 
在HKEY-LOCAL- 
MACHINE/System/CurrentControlSet/Services/VxD/MSTCP 
下加入一个 "BSDUrgent=0"。 
并把VNBT.386更名为VNBT.BAK 
这可以让95关闭其netbios的服务，但这也使机器丧失了MICROSOFT 
网络的Pier-to-Pier打印与文件共享功能。 
（二）微软补丁与安装要点 
win95 
微软95与此BUG相关的补丁较多，请大家注意，一定要按照步骤安 
装。 
1：安装MS DUN12升级文件并重启动，（下载MSDUN12.EXE）。 
2、安装WINSOCK升级文件并重启动，（下载WS2SETUP.EXE）。 
3、安装WINSOCK22补丁并重启动，（文件名一般为VIPUP20.EXE）。 
至此系统可防范部分IP攻击的工具如SSPING和TEARDROP（泪滴） 

4、安装补丁文件VTCPUP20.EXE并重启动(下载VTCPUP20.EXE)。 
5、将VNBT386更名为VNBT。BAK或者修正VNBT（运行VNBT.EXE） 
并重起。 
可防范WINNUKE等工具。 
  
  
--