Board logo

标题: 漏洞攻击与防范 [打印本页]

作者: 0°3    时间: 2004-1-10 19:30

一、ICMP攻击漏洞
  现在关于ICMP攻击的软件有很多,比如“Winnuke”,可对使用Win9x/NT操作系统的上网者进行攻击。它可向某一IP地址发送OOB(Out of band)数据,并攻击139端口,如果攻击者进行端口监听的话,还可攻击其它端口。当被攻击的电脑收到OOB数据后,即无法对数据进行处理,并出现互联网连接中断或蓝屏幕死机等现象。
  ICMP通常报告在处理数据包过程中的错误,在以下几种情况下发送:当数据包不能到达目的地时;当网关已经失去缓存功能时;当网关能够引导主机在更短路由上发送时。一般上网用户对此使用不多,因此可以关闭ICMP。

补救措施:
下载并安装补丁程序,下载地址为:http://support.microsoft.com/support/kb/articles/Q154/1/74.asp,下载完成后,安装即可。

二、NetBIOS缓存漏洞
在Win95/98/NT4.0/2000中的NetBIOS高速缓存执行允许远程插入动态缓存条目,而且可以移走动态和静态缓存条目。这是由NetBIOS缓存的实现和CIFS(Common Internet File System)浏览协议之间的交互引起的。CIFS浏览协议用来生成网络资源的列表,该协议被用在“网上邻居”和“我的网络”等服务中。它还定义了一些浏览帧,这些帧被封装在NetBIOS数据包中。当从138号UDP端口接收到一个浏览帧的请求时,NetBIOS数据包中的信息被提取出来并添加到NetBIOS缓存中。这些信息包括源和目的地的NetBIOS名字、第二源IP地址以及IP头。远程的恶意用户可以通过发送单播或广播类型的UDP数据包,从而使得NetBIOS名字到IP地址的解析进行重定向,在其控制之下转发到任意的IP地址。一旦NetBIOS缓存被UDP数据包破坏,就不再需要预测事务标识(事务标识是一个很容易预测的16 bit的标识)。为了刷新缓存中的动态条目,用户可以发送一个正向名字查询(Positive Name Query)响应,在该响应中提供另一个IP地址给NetBIOS名字映射。
补救措施:
建议对NETBIOS进行安全配置或者关闭,普通上网用户可以关闭掉它。

三、NetBIOS over TCP/IP 耗尽资源漏洞
  微软的执行NetBIOS可能由于一个远程开发漏洞而导致拒绝服务(DoS)攻击。攻击者能够通过连接NBT端口而促使系统耗尽网络资源并停止工作。
补救措施:
下载并安装补丁程序即可,下载地址为:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25114

四、Win2000登录安全的漏洞
Win2000的安全性与Win98相比有了很大的提高,但对简体中文版用户来说,由于在系统初始安装时一般都要安装几种中文输入法,使得在登录时存在着一个极其危险的安全漏洞:
 将鼠标光标移到用户名输入框中,按“Ctrl+Shift”组合键切换输入法,当选择“全拼”、“郑码”或“微软拼音”等中文输入法(智能ABC除外)时,在输入条上右击鼠标,选择快捷菜单中的“帮助”或“帮助”中的“操作指南…”(也可选“输入法入门”),会打开相应输入法的帮助窗口。按“选项”按钮,在对话框中选择“主页”,虽然这时会出现此页不可显示的信息,但单击检测网络设置链接,就可对网络设置甚至控制面板进行修改。如果你的系统中已安装了Service Pack 1或IE5.5,该链接虽然不会出现,但如果按“选项”按钮后选择“Internet选项”,就可以对IE进行全面修改。
 更为危险的是,不管你有没有安装Service Pack 1或IE5.5,当在窗口标题栏上右击鼠标,在菜单中选择“跳至URL”命令时会出现一对话框,输入硬盘中存在的任何路径如“C:\”,在右侧就会出现类似资源管理器的窗口,并显示C盘所有文件和文件夹。虽然我们还没有登录到Windows2000,但已具有了系统管理员的所有权限。一旦你的系统被非法用户控制,后果将不堪设想。
补救措施:
要解决该安全漏洞,一种方法是删除除智能ABC外的所有中文输入法并删除对应的输入法文件,或者删除相应的帮助文件。在这里,笔者再给大家介绍一种简便有效的方法:
在登录时出现的这个安全漏洞,主要是因为系统在登录时不能识别应该给用户提供哪些功能,尤其是没有限制“微软拼音”、“全拼”和“郑码”等中文输入法的帮助功能。所以我们可以通过修改注册表,在登录窗口中只提供“英文”和“智能ABC”两种输入法。因为有的用户可能要输入中文用户名,所以仍需提供一种中文输入法。
具体操作如下:
 运行注册表编辑器(依次点击“开始”→“运行”,在对话框中填入regedit后回车即可),依次展开HKEY_USERS\.DEFAULT\Keyboard Layout\Preload注册表项,右边窗口中显示的数据分别对应着这几种输入法:
名称 数据 对应输入法
1 00000804 英文
2 E00E0804 微软拼音
3 E0010804 全拼
4 E0030804 郑码
5 E0040804 智能ABC
  将除表示“英文”和“智能ABC”外的字串值全部删除,然后重新启动计算机或注销当前用户重新登录,在登录时就只能切换英文和智能ABC两种输入法,智能ABC中的帮助命令也无法运行,登录安全漏洞就消除了。
  如果你不想在登录时使用中文输入法,可以直接将“HKEY_USERS\.DEFAULT\Keyboard Layout\P-reload”注册表项删除。
  用此法设置后并不影响登录后系统中所有已安装的中文输入法的使用,在Win2000的各种启动方式中均运行通过,大家可以放心使用




欢迎光临 摆渡论坛 (http://bbs.wakinchau.net/) wakinchau.net