防范针对IP地址的***
 
声明:
1、您所看到的是《个人网络用户的安全与维护指南》一文的文本稿,本文已经在《计算机应用文摘》增刊《网络之门》发表,传统媒体如欲转载请同该杂志社联系,获得许可方可转载。
2、本文作者seak(哈工大紫丁香站ID)许可本文可转载于任何非商业BBS、新闻组和WEB站点。但严禁改动、删节或添加或局部抄袭、改头换面用于任何正式出版物。转载必须完整,包括本声明和原文紫丁香BBS信头 (即:发信人、标题、发信站三行)。
3、由于《计算机应用文摘》编辑同志对本文的修改、和作者对文章的再次扩充,等因素,你看到的电子版本部分章节与刊发文章并不一致。同时,作者本人也保留对文章再次扩充修改和网上重新发布的权利。
4、本文是一篇科普文章,是作者考虑到一般网络用户的接受能力而写的, 对本领域的专家本文并无价值。作者力图能给广大用户做准确的描述,但由于作者时间和水平的限制,作者不能保证本文的涉及的观点、处理方法等绝对正确。欢迎大家就各种问题与我探讨,mailto:seak@163.net
一、***的简单机理。
好多网上用户都有这样的经历,在聊天室里与网友谈的正高兴突然机器蓝屏,必须重起。也经常有的ISP的NT SERVER遭到莫名的***。更令人难受的是一个网吧或企业的所有机器几乎同时蓝屏当机。很大的可能是这些机器遭到了OOB***。何谓OOB***,其实,***者是利用Windows下微软网络协定NetBIOS的一个例外处理程序OOB(Out of Band)的漏洞。只要有人以OOB的方式,通过TCP/IP传递一个小小的包到某个IP地址的某个开放的受端上(一般为139)。使没有防护或修订的win95/nt系统瞬间当机。NT将会重新启动,95则一般要手动重起。有的补丁尽管可使机器可用ESC退出蓝屏,正常工作,但不重起,就无法访问tcp/ip类型的网络。除了139,其他可能的oob开放的受端,如137、138、113等等,均有可能遭到***。当然95系列的不稳定性,也是众所周知的,因此大不必把一切蓝屏死机都归罪到oob的头上。一般的95遭受oob***的典型蓝屏提示形如:
Fatal exception 0E at 0028: in VxD MSTCP(01)+000041AE
This was called from 0028: in VxS NDIS(01)+0000D7C
需要说明的是,这种类型的***主要的对象是没有打过补丁95 和NT有效,而对98无效,但根据最新的资料,有人已经发现了WIN98的TCP/IP协议栈的漏洞,并发布了针对这一漏洞的工具,据称,这种***将使98蓝屏,用ESC返回后,同样不能访问TCP/IP资源必须重起,在本文即将完成时,我收到了一组程序UNIX C,根据程序的说明有两个程序可以对98进行***,大概的机理好象分别是对95/98的ICMP协议和对IGMP协议进行DoS(Denial of Service,拒绝服务)***。依照经验,此类***一般是利用目标机器协议上的一些漏洞,连续发送大型的破碎数据包,形成packets的风暴,造成目标机器当机。但是由于时间关系,笔者已经来不及作出分析测试,只能给网友一个提醒,98也不能高枕无忧。(补丁在此)
二、几种典型的***工具
NUKE、WINNUKE及其变种,现在网上流行的OOB***工具已经从最初的简单选择IP***PORT139,发展为可***某一IP范围,可连续***,可验证***效果,可监测及选择端口,因此,常常出现某一区段全部蓝屏死机的结果。
SSPING:SSPING是一种出色的ip***工具,它的机理是,向被***的ip连续发出破碎的大型ICMP数据包,被***的95系统试图将破碎包合并处理,从而造成当机。
TEARDROP(泪滴):泪滴也是采用碎片包***的一种远程***工具,他的最大的特点是除了95/nt外,可***linux。
三、OOB***的防范
由于目前微软尚未就98的ICMP和IGMP漏洞作出反应,因此只能介绍OOB***的防范。
(一)手动防范
WIN3.X
编辑SYSTEM.INI,找到[MSTCP],
下面加入BSDUrgent=0
Windows 95
编辑注册表Regedit
在HKEY-LOCAL-
MACHINE/System/CurrentControlSet/Services/VxD/MSTCP
下加入一个 "BSDUrgent=0"。
并把VNBT.386更名为VNBT.BAK
这可以让95关闭其netbios的服务,但这也使机器丧失了MICROSOFT
网络的Pier-to-Pier打印与文件共享功能。
(二)原厂补丁与安装要点
win95
微软95与此BUG相关的补丁较多,请大家注意,一定要按照步骤安
装。
1:安装MS DUN12升级文件并重启动,(下载MSDUN12.EXE)。
2、安装WINSOCK升级文件并重启动,(下载WS2SETUP.EXE)。
3、安装WINSOCK22补丁并重启动,(文件名一般为VIPUP20.EXE)。
至此系统可防范部分IP***的工具如SSPING和TEARDROP(泪滴)
4、安装补丁文件VTCPUP20.EXE并重启动(下载VTCPUP20.EXE)。
5、将VNBT386更名为VNBT。BAK或者修正VNBT(运行VNBT.EXE)并重起。
可防范WINNUKE等工具。
WIN3X的防范
WIN3X似乎没有相应的补丁,请参考前面手动处理。
NT4
1、安装SERVICE PACK3及以上版本(下载SERVERCE6中文版)
2、安装针对泪滴2等***工具的补丁(下载TEARFIXI.EXE)。
NT3。51
1、针对X86和APLHA芯片不同的NT要分别打一个补丁,
而后升级到SERVICE PACK5。
WIN98
尚未发现类似漏洞。
——————
防止WIN98的IGMP***补丁,请根据你98的版本选择合适的补丁。
98第一版IGMP补丁下载
98OEM-2版IGMP补丁下载
(三)防弹衣与第三方补丁简介
NOCRASH:NOCRASH的命名是因为有OOB***工具名称为CRASH,这个工具这似乎简单的修改注册表,以使NETBIOS功能失效的工具,对传统的基于PORT139的***比较有效,但并不能全面防范。而且会造成无法使用其他的的防弹衣。因此如果你上网比较方便,我们还是建议你下载微软的原厂补丁,或使用NUKENAGER。
ANTINUKE:这是早期的一个外挂式的程序,能防范针对139的***,并捕获***者的IP,但这个程序重要的特点是他会对***者进行反击,而且会使,一些探测139是否打开的工具溢出,另外这个程序在NT上也有效。这个程序的缺欠是:一、只能监听一个PORT,第二是会把网上邻居的方式对你机器的访问也误报为***。
NUKENAB:这是目前功能比较完善的一个防弹衣,除了系统自身设定监听的5个PORT之外,你还可以指定系统监听的一个端口,(一般我们指定为113)即总共可以监听6个端口。他可以捕获***者的IP,另外系统提供了一些自定义参数,如端口开放与关闭、受到***时所发出的声音等等。另外,特别值得一提的是,当你发现有人用BO、NETBUS等***工具***你时,你可以用NUKENAB监听对应的开放端口发现他的地址。