第三章拒绝服务攻击.pptVIP

直接进行攻击邮件，间接攻击邮件服务器 本地攻击是指不能通过网络直接对本地主机进行攻击，网络攻击必须通过网络连接， * * 2、运行IIS5Exploit C:\IIS5Exploint 250 3.稍等片刻，如果成功在本机NC舰艇的端口出现： C:\nc -l -p 99 Microsoft Windows 2000[Version 5.00.2195] (C) Copyright 1985-1999 Microsoft Corp. C:\ 3．Unicode目录遍历漏洞 漏洞描述 该漏洞是微软IIS4.0/5.0扩展Unicode目录遍历漏洞。这既是一个远程漏洞，同时也是一个本地漏洞，攻击者可通过IE浏览器远程运行被攻击计算机的cmd.exe文件，从而使该计算机的文件暴露，且可随意执行和更改文件. 微软IIS 4.0和5.0都存在利用扩展Unicode字符取代“/”和“\”而能利用“../”目录遍历的漏洞。未经授权的用户可能利用IUSR_machinename账号的上下文空间访问任何已知的文件。该账号在默认情况下属于Everyone 和Users组的成员，因此任何与Web根目录在同一逻辑驱动器上的能被这些用户组访问的文件都能被删除、修改或执行，就如同一个用户成功登录所能完成的一样 表3.3 Unicode目录遍历漏洞简介 攻击方法 攻击者通过访问根目录，发送一系列”../”字符来遍历高层目录，并且可以执行系统命令，甚至使系统崩溃。 受影响系统 Microsoft Windows NT / 2000(IIS 5.0) Microsoft Windows NT 4.0(IIS4.0) 检测工具 手工检测；工具检测（X-Scan） 续表 解决方案 （1）为Windows 2000操作系统安装补丁SP4 （2）安装漏洞补丁 IIS 4.0：/ntserver/nts/downloads/critical/q269862/default.asp IIS 5.0：/windows2000/downloads/critical/q269862/default.asp （3）安装IIS Lockdown和URL Scan来加固系统 （4）临时解决方法 如果不需要可执行的CGI，可以删除可执行虚拟目录，例如 /scripts等。如果确实需要可执行的虚拟目录，建议可执行虚拟目录单独在一个分区 续表 4．.asp映射分块编码漏洞 漏洞描述 Windows 2000和NT4 IIS .asp映射存在远程缓冲溢出漏洞 ASP ISAPI过滤器默认在所有NT4和Windows 2000系统中装载，存在的漏洞可以导致远程执行任意命令 恶意攻击者可以使用分块编码形式把数据传送给IIS服务器，当解码和解析这些数据时，可以强迫IIS把入侵者提供的数据写到内存的任意位置。通过此漏洞可以导致Windows 2000系统产生缓冲溢出，并以IWAM_computer_name用户的权限执行任意代码，而在Windows NT4下可以以system的权限执行任意代码 表3.4 .asp映射分块编码漏洞简介 受影响系统 Microsoft Windows NT 4.0 + IIS 4.0 Microsoft Windows 2000 + IIS 5.0 检测工具 X-Scan 解决方案 （1）为操作系统打补丁 （2）安装漏洞补丁 续表 5．WebDAV远程缓冲区溢出漏洞 漏洞描述 Microsoft IIS 5.0带有WebDAV组件、对用户输入的、传递给ntdll.dll程序处理的请求未做充分的边界检查，远程入侵者可以通过向WebDAV提交一个精心构造的超长数据请求而导致发生缓冲区溢出。这可能使入侵者以local system的权限在主机上执行任意指令 受影响系统 Windows 2000(SP0-SP3) 检测工具 WebDAVScan.exe是IIS中WebDAV漏洞的专用扫描器。 解决方案 为操作系统打补丁 表3.5 WebDAV远程缓冲区溢出漏洞简介 6．Microsoft IIS 6.0 Web安全漏洞 安全解决方案如下所示。 (1) 转移根目录，不要把Web根目录建在系统磁盘（C:\）。 (2)把IIS目录的权限设置为只读。 (3) 如果IIS只用来提供静态网页，即不提供ASP、JSP、CGI等脚本服务，那么建议删除脚本目录，或者说，删除全部默认安装目录，并禁止任何脚本、应用程序执行，并删除应用程序配置里面的“ISAPI”应用程序、禁止脚本测试等。 (4)设置安全日志，并把该日志存在一个不显眼的路径下。 (5）安装网络