Win常见安全漏洞于解决方案.docVIP

Win98常见安全漏洞于解决方案 1、共享密码校验漏洞 老漏洞了，绿盟袁哥发现的。微软NETBIOS协议的口令校验服务端在对客户端的口令进行校验时是以客户端发送的长度数据为依据。如果客户端设置数据包中密码长度域为1, 并发送一个字节的明文口令给服务端。服务端就会将客户端发来口令与服务端保存的共享口令的第一个字节进行明文比较，如果匹配就认为通过了验证。 2、ICMP攻击 补丁：/support/kb/articles/Q154/1/74.asp 关于ICMP攻击的有很多了，WINNUKE、SPING和TEARDROP，比如WINNUKE，可对使用Windows 3.11/95/NT操作系统的上网者进行攻击。它可向某一IP地址发送“OOB”(OUT OF BAND)数据，并攻击139端口(NETBIOS)，如果攻击者进行端口监听的话，还可攻击其它端口。当被攻击的电脑收到“OOB数据后，即无法对数据进行处理，并出现Internet连接中断或蓝屏幕死机等现象。 ICMP通常报告在处理数据报过程中的错误，在以下几种情况下发送：当数据报不能到达目的地时，当网关已经失去缓存功能，当网关能够引导主机在更短路由上发送。一般上网用户可能不用到多少，不知道我理解得对不对，因此可以关闭ICMP。 而且shotgun早提出关于ICMP木马的设计思路，台湾的**实现了（具体的程序我忘记了），这种木马可能对于只分析端口的防火墙防范木马简直是绝杀。 3、ARP 拒绝服务攻击 影响WINDOWS98系统，当向运行Windows的主机发送大量无关的ARP数据包时，会导致系统耗尽所有的CPU和内存资源而停止响应。如果向广播地址发送ARP请求时，可能导致整个居域网停止响应。 攻击程序见：arpkill4、IPX Ping 包拒绝服务漏洞 由于不正确的通过端口0x456发送一些不规范的IPX/SPX Ping包可能导致服务器出现拒绝服务攻击。IPX/SPX协议在Windows 98默认安装情况下是没有安装的，而在Windows 95默认安装时如果系统检测到网卡后此协议将自动安装。如果IPX/SPX协议被禁止，Windows 9x 将接受特殊的畸形IPX Ping 包，而且发送源地址已被修改为广播地址，并且将导致广播紊乱，促使带宽饱和，出现拒绝服务。如果源地址已被修改为广播地址，这样此网段中的每个机器都将响应此Ping请求，如此多的响应将导致网络瘫痪。 5、NetBIOS 缓存漏洞 在Windows 95, 98, NT 4.0, and 2000中的NetBIOS高速缓存执行允许远程插入动态缓存条目，而且可以移走动态和静态缓存条目。这是由NetBIOS缓存的实现和CIFS（Common Internet File System）浏览协议之间的交互引起的。CIFS浏览协议用来生成网络资源的列表，该协议被用在“网上邻居”和“我的网络”等服务中。它还定义了一些浏览帧，这些帧被封装在NetBIOS数据包中。当从138号UDP端口接收到一个浏览帧的请求时，NetBIOS数据包中的信息被提取出来并添加到NetBIOS缓存中。这些信息包括源和目的地的NetBIOS名字、第二源IP地址以及IP头。远程的恶意用户可以通过发送单播或广播类型的UDP数据包，从而使得NetBIOS名字到IP地址的解析进行重定向，在其控制之下转发到任意的IP地址。一旦NetBIOS缓存被UDP数据包破坏，就不再需要预测事务标识（据报道，事务标识是一个很容易预测的16 bit的标识）。为了刷新缓存中的动态条目，用户可以发送一个正向名字查询（Positive Name Query）响应，在该响应中提供另一个IP地址给NetBIOS名字映射。 安全建议：WINDOWS的NETBIOS有很多缺陷，建议对NETBIOS进行安全配置。 6、NetBIOS 空源主机名导致系统崩溃 当Windows 95/98收到一个NetBIOS会话的包，这个包中源主机名被设置成NULL,那么将导致发生不可预料的错误：系统崩溃，蓝屏，重起动，死锁或者丢失网络连接等等。 攻击程序见：netbios空原主机名.txt 7、无效驱动器类型拒绝服务漏洞 如果一个MicrosoftWindows9X客户端连接到一个文件／打印共享服务器时，服务器返回一个错误驱动器类型，那么将导致客户端崩溃，必须重新启动来恢复正常正常功能。下列驱动器类型是Windows9X能识别的： 1)驱动器号： 2)LPTx: 3)COMMx 4)IPC 返回给客户端的所有其他的驱动器类型会引起拒绝服务。 8、NetBIOS over TCP/IP 耗尽资源漏洞 微软的执行NetBIOS可能由于一个远程开发漏洞而导致拒绝服务攻击。