黑客攻防技术内幕-安全漏洞与修补(1)
4.1 Windows 98常见安全漏洞
本节将介绍Windows98操作系统的一些常见漏洞。
1. 共享密码校验漏洞
微软Net BIOS协议的口令校验服务端在对客户端的口令进行校验时,是以客户端发送的长度数据为依据。如果客户端设置数据包中密码长度域为1,并发送一个字节的明文口令给服务端。服务端就会将客户端发来的口令与服务端保存的共享口令的第一个字节进行明文比较,如果匹配就认为通过了验证。
2. ICMP攻击
补丁程序:http://support.microsoft.com/support/kb/articles/Q154/1/74.asp
关于ICMP的攻击程序有很多,如WINNUKE、SPING和TEARDROP。WINNUKE可对使用Windows 3.11/95/NT操作系统的上网者进行攻击。它可向某一IP地址发送OOB(OUT OF BAND)数据,并攻击139端口(NetBIOS)。如果攻击者进行端口监听的话,还可攻击其他端口。当被攻击的计算机收到OOB数据后,就无法对数据进行处理,并出现Internet连接中断或蓝屏死机等现象。
ICMP通常报告在处理数据报过程中的错误并在以下几种情况下发送:
● 当数据报不能到达目的地时。
● 当网关已经失去缓存功能。
● 当网关能够引导主机在更短路由上发送。一般上网用户可能用不到ICMP,因此可以关闭ICMP。
shotgun早提出关于ICMP木马的设计思路,这种木马对只分析端口的防火墙是杀手。
3. ARP 拒绝服务攻击
它会影响Window 98系统。当向运行Windows的主机发送大量无关的ARP数据包时,会导致系统耗尽所有的CPU和内存资源而停止响应。如果向广播地址发送ARP请求时,可能导致整个局域网停止响应。
该类攻击程序有arpkill.exe。
4. IPX Ping 包拒绝服务漏洞
违规通过端口0x456发送一些不规范的IPX/SPX Ping包,可能导致服务器出现拒绝服务。IPX/SPX协议在Windows 98默认安装的情况下是不安装的,但在Windows 95默认安装时如果系统检测到网卡后此协议将会自动安装。如果IPX/SPX协议被禁止,Windows 9x 将接受特殊的畸形IPX Ping 包,而且发送源地址已被修改为广播地址,而且会导致广播紊乱,促使带宽饱和,出现拒绝服务。如果源地址已被修改为广播地址,这样此网段中的每个机器都将响应此Ping请求,大量的响应将导致网络瘫痪。
5. NetBIOS 缓存漏洞
在Windows 95/98/NT 4.0/2000中的NetBIOS高速缓存执行允许远程插入动态缓存条目,而且可以移走动态和静态缓存条目。这是由NetBIOS缓存的实现和CIFS(Common Internet File System)浏览协议之间的交互引起的。CIFS浏览协议用来生成网络资源的列表,该协议被用在【网上邻居】和【我的网络】等服务中。它还定义了一些浏览帧,这些帧被封装在NetBIOS数据包中。当从138号UDP端口接收到一个浏览帧的请求时,NetBIOS数据包中的信息被提取出来并添加到NetBIOS缓存中。这些信息包括源和目的地的NetBIOS名字、第二源IP地址以及IP头。远程的恶意用户可以通过发送单播或广播类型的UDP数据包,从而使目标计算机对NetBIOS名字到IP地址的解析进行重定向,在其控制之下转发到任意的IP地址。一旦NetBIOS缓存被UDP数据包破坏,就不再需要预测事务标识(事务标识是一个很容易预测的16位的标识)。为了刷新缓存中的动态条目,用户可以发送一个正向名称查询(Positive Name Query)响应,在该响应中提供另一个IP地址给NetBIOS名字映射。
安全建议:Windows的NetBIOS有很多缺陷,建议对NetBIOS进行安全配置。
6. NetBIOS 空源主机名导致系统崩溃
当Windows 95/98收到一个NetBIOS会话包,这个包中源主机名被设置成NULL,那么将导致发生不可预料的错误,如系统崩溃、蓝屏、重启动、死锁或者丢失网络连接等。
攻击程序见netbios空原主机名.txt。
7. 无效驱动器类型拒绝服务漏洞
如果一个Microsoft Windows 9x客户端连接到一个文件/打印共享服务器时,服务器返回一个错误驱动器类型,那么将导致客户端崩溃,必须重新启动来恢复正常正常功能。下列驱动器类型是Windows 9x能识别的:
● 驱动器号
● LPTx
● COMMx
● IPC
返回给客户端的所有其他的驱动器类型会引起拒绝服务。
8. NetBIOS over TCP/IP 耗尽资源漏洞
执行微软的NetBIOS可能由于一个远程开发漏洞而导致拒绝服务攻击。攻击者能够通过连接NBT端口而促使系统耗尽网络资源并停止工作。
攻击可通过如下方式来进行:初始化许多连接,然后关闭它们,让目标机器上的TCP管接字(socket)处于FINWAIT_1状态。尽管这些管接字最终将超时并被释放,但攻击者可以持续地发送更多请求,初始化并关闭新的连接,耗尽任何空闲的网络资源。结果将导致NetBIOS拒绝正常的服务,直到攻击停止。微软在Windows NT 4.0 sp6中发布了一个补丁程序来修补该漏洞。
简单说来,DOS攻击基本是无法解决的,从SYN Flood理论上来说只要是有限带宽的服务都会遭到拒绝服务,服务器可能只是拒绝服务,一般的PC可能就是系统资源耗尽。而且大量的DOS攻击可以造成防火墙增加大量日志,甚至日志满或者日志爆满。天网防火墙据说是6万记录即满,而6万日志可以很快就可以达到,只要知道天网防火墙过滤哪些东西就攻击哪些东西。这就是强行突破FIREWALL或者IDS的前奏。
解决方法:微软已经针对此漏洞开发了补丁程序程序,下载地址为
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25114
9. concon漏洞
可以说,这也是Windows 9x中的一个很老的漏洞了。在Windows 9x中有3个设备驱动程序:CON(输入及输出设备驱动程序)、NUL(空设备驱动程序)、AUX(辅助设备驱动程序)。这3个程序只要被运行,就会引起系统的死机,如运行C:\CON\CON或C:\AUX\AUX等。严重的是此漏洞可以通过资源共享来远程执行,如运行\\192.168.0.2\C\CON\CON(其中\\192.168.0. 2为对方的IP,C为对方的共享盘符)。
解决办法:将系统升级至Windows Me及以上版本、下载安装补丁程序程序 conconfix并添加到“启动”组中或安装网络防火墙。