防御RPC攻击.docVIP

防御RPC攻击 防御RPC攻击1.RPC攻击????RPC攻击是利用Window系统的漏洞进行攻击，RPC发动攻击时损耗大量的网络带宽，引起网络堵塞。这个漏洞跟冲击波(MSBlaster)?和冲击波杀手(Nachi)所使用的漏洞不同，补丁KB823980对RPC漏洞无效。????远程调用(RPC)是Windows?操作系统使用的一个协议。RPC提供一种内部进程通讯机制，允许在一台电脑上运行的程序无缝的执行远程系统中的代码。协议本身源于开放软件基金会(OSF)RPC协议，但添加了一些微软特定的扩展。????最近发现Windows的RPCSS服务中用于处理分布式组件对象模型(DCOM)接口的组件中存在三个漏洞，其中两个是缓冲溢出漏洞，一个是拒绝服务漏洞。它们分别是：1）Windows?RPC?DCOM接口长文件名堆缓冲区溢出漏洞????Windows?RPC在分布式组件对象模型(DCOM)接口的处理中存在一个缓冲区溢出漏洞。Windows的DCOM实现在处理一个参数的时候没有检查长度。通过提交一个超长（数百字节）的文件名参数可以导致堆溢出，从而使RpcSS?服务崩溃。精心构造提交的数据就可以在系统上以本地系统权限运行代码。成功利用此漏洞攻击者可以在系统中采取任何行为，包括安装木马程序，窃取更改或删除数据，或以完全权限创建新帐号。2）Windows?RPC?DCOM接口报文长度域堆缓冲区溢出漏洞????Windows?RPC?DCOM接口对报文的长度域缺乏检查导致发生基于堆的溢出，远程攻击者可以利用这些漏洞以本地系统权限在系统上执行任意指令。漏洞实质上影响的是使用RPC的DCOM接口，此接口处理由客户端机器发送给服务器的DCOM对象激活请求(如UNC路径)。攻击者通过向目标发送畸形RPC?DCOM请求来利用这些漏洞。成功利用此漏洞可以以本地系统权限执行任意指令。成功利用此漏洞攻击者可以在系统上执行任意操作?，如安装木马程序、查看或更改、删除数据或创建系统管理员权限的帐户。3）Windows?RPC?DCOM接口拒绝服务和权限提升漏洞????Windows?RPC?DCOM服务存在拒绝服务缺陷，一个远程的攻击者通过发送特定的消息可以导致RPC服务产生拒绝服务攻击，而本地的攻击者可发送畸形的消息到__RemoteGetClassObject界面，可导致一个空的指令被传送到PerformScmStage函数，这会造成拒绝服务攻击，并且攻击者可以劫持epmapper的管道来达到提升权限的目的。攻击者正是利用RPC漏洞对目标电脑进行攻击，发送大量的无效信息，向目标电脑安装木马程序，造成网络系统瘫痪，以达到攻击者的进一步目的。2.防御RPC攻击????在政府部门或企业发生RPC攻击，政府部门或企业的机密文件有可能造成泄漏，甚至RPC攻击者正是以盗取机密文件为目的进行攻击的，这对于政府部门和企业都是十分严重的问题。很多时候，网络管理人员都无法及时发现RPC的漏洞攻击，导致机密文件泄漏的可能性大大增加。针对RPC攻击，一种世界顶尖的网络管理设备PacketShaper（如图1）可以帮助网络管理人员及时发现RPC的入侵,?有效地迅速阻止RPC攻击者的攻击，确保机密文件及网络系统的安全。????????????????????????????????????????????????????????????图1????PacketShaper拥有深入网络七层的智能化管理系统（如图2），帮助网络管理人员有效地对网络进行监控管理。????????????????????????????????????????????????????????????图2????PacketShaper的监控能力非常强大，对网络七层进行分类识别，而不仅仅是基于简单地址和端口的分析，而且提供应用智能管理，对连接在该网络上的每台电脑的使用进行监控、数据流量的分析和自动分类所有网络流量（如图3），发现异常情况马上进行报告，以最快速度帮助网络管理人员发现RPC的攻击。????????????????????????????????????????????????????????????图3????PacketShaper还可以对该网络上每台电脑所使用的应用程序进行监控，一旦受到RPC等漏洞攻击(如图4)，马上进行漏洞攻击定位。攻击者在被攻击电脑上安装的任何病毒，木马程序都会及时受到PacketShaper的监控，帮助网络管理人员有效阻止这类漏洞攻击。????????????????????????????????????????????????????????????图4????利用PacketShaper的监控功能，可以清