网络安全讲座之7：攻击与渗透（3）

Telnet的拒绝服务攻击

　　Windows中的Telnet一直以来都是网络管理员们最喜爱的网络实用工具之一，但是一个新的漏洞表明，在Windows2000中Telnet在守护其进程时，在已经被初始化的会话还未被复位的情况下很容易受到一种普通的拒绝服务攻击。Telnet连接后，在初始化的对话还未被复位的情况下，在一定的时间间隔之后，此时如果连接用户还没有提供登录的用户名及密码，Telnet的对话将会超时。直到用户输入一个字符之后连接才会被复位。如果恶意用户连接到Windows2000的Telnet守护进程中，并且对该连接不进行复位的话，他就可以有效地拒绝其他的任何用户连接该Telnet服务器，主要是因为此时Telnet的客户连接数的最大值是1。在此期间任何其他试图连接该Telnet服务器的用户都将会收到如下错误信息：

　　Microsoft Windows Workstation allows only 1 Telnet Client LicenseServer has closed connection

　　察看“列出当前用户”选项时并不会显示超时的会话，因为该会话还没有成功地通过认证。

　　Windows NT的TCP port 3389存在漏洞

　　Windows NT Server 4.0 终端服务器版本所作的 DoS 攻击。这个安全性弱点让远端使用者可以迅速的耗尽 Windows NT Terminal Server 上所有可用的内存，造成主机上所有登陆者断线，并且无法再度登入。

　　说明：

　　1. Windows NT Server 4.0 终端服务器版本在 TCP port 3389 监听终端连接 (terminal connection)，一旦某个 TCP 连接连上这个端口, 终端服务器会开始分配系统资源，以处理新的客户端连接，并作连接的认证工作。

　　2. 此处的漏洞在于：在认证工作完成前，系统需要拨出相当多的资源去处理新的连 接，而系统并未针对分配出去的资源作节制。因此远端的攻击者可以利用建立大 量 TCP 连接到 port 3389 的方法，造成系统存储体配置达到饱和。

　　3. 此时服务器上所有使用者连接都会处于超时状态，而无法继续连接到服务器上，远端攻击者仍能利用一个仅耗用低频宽的程式，做出持续性的攻击，让此 服务器处於最多记忆体被耗用的状态，来避免新的连接继续产生。

　　4. 在国外的测试报告中指出，长期持续不断针对此项弱点的攻击，甚至可以导致服务器持续性当机，除非重新开机，服务器将无法再允许新连接的完成。

　　解决方案：

　　1. 以下是修正程序的网址：

　　ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40tse/hotfixes postSP4/Flood-fix/

　　[注意]：因为行数限制，上面网址请合并为一行。

　　2. 更详细资料请参考 Microsoft 网站的网址：

　　http://www.microsoft.com/security/bulletins/ms99-028.asp.

　　防范拒绝服务攻击

　　你可以通过以下方法来减小拒绝服务攻击的危害：

　　· 加强操作系统的补丁等级。

　　· 如果有雇员建立特定的程序，请特别留意代码的产生过程。

　　· 只使用稳定版本的服务和程序。

　　审计非法服务，特洛伊木马和蠕虫

　　非法服务开启一个秘密的端口，提供未经许可的服务，常见的非法服务包括：

　　· NetBus

　　· BackOrifice 和 BackOrifice 2000

　　· Girlfriend

　　· 冰河2.X

　　· 秘密的建立共享的程序

　　许多程序将不同的非法服务联合起来。例如，BackOrifice2000允许你将HTTP服务配置在任意端口。你可以通过扫描开放端口来审计这类服务，确保你了解为什么这些端口是开放的。如果你不知道这些端口的用途，用包嗅探器和其它程序来了解它的用途。

　　技术提示：不要混淆非法服务和木马。木马程序通常包含非法服务，而且，木马程序还可以包含击键记录程序，蠕虫或病毒。

　　特洛伊木马

　　特洛伊木马是在执行看似正常的程序时还同时运行了未被察觉的有破坏性的程序。木马通常能够将重要的信息传送给攻击者。攻击者可以把任意数量的程序植入木马。例如，他们在一个合法的程序中安放root kit或控制程序。还有一些通常的策略是使用程序来捕获密码和口令的hash值。类似的程序可以通过E-mail把信息发送到任何地方。

　　审计木马

　　扫描开放端口是审计木马攻击的途径之一。如果你无法说明一个开放端口用途，你也许就检测到一个问题。所以，尽量在你的系统上只安装有限的软件包，同时跟踪这些程序和服务的漏洞。许多TCP/IP程序动态地使用端口，因此，你不应将所有未知的端口都视为安全漏洞。在建立好网络基线后，你便可以确定哪些端口可能存在问题了。

　　蠕虫

　　Melissa病毒向我们展示了TCP/IP网络是如何容易遭受蠕虫攻击的。在你审计系统时，通常需要配置防火墙来排除特殊的活动。防火墙规则的设置超出了本术的范围。但是，作为审计人员，你应当对建议在防火墙上过滤那些从不信任的网络来的数据包和端口有所准备。

　　蠕虫靠特定的软件传播。例如，在2000年三月发现的Win32/Melting.worm蠕虫只能攻击运行Microsoft Outlook程序的Windows操作系统。这种蠕虫可以自行传播，瘫痪任何种类的Windows系统而且使它持续地运行不稳定。

……