防范针对IP地址的攻击

Marlboro-yan

一、攻击的简单机理。
% e( S0 U) Q( W
好多网上用户都有这样的经历，在聊天室里与网友谈的正高兴突然机器蓝屏，必须重起。也经常有的ISP的NT SERVER遭到莫名的攻击。更令人难受的是一个网吧或企业的所有机器几乎同时蓝屏当机。很大的可能是这些机器遭到了OOB攻击。何谓OOB攻击，其实，攻击者是利用Windows下微软网络协定NetBIOS的一个例外处理程序OOB（Out of Band）的漏洞。只要有人以OOB的方式，通过TCP/IP传递一个小小的包到某个IP地址的某个开放的受端上（一般为139）。使没有防护或修订的win95/nt系统瞬间当机。NT将会重新启动，95则一般要手动重起。有的补丁尽管可使机器可用ESC退出蓝屏，正常工作，但不重起，就无法访问tcp/ip类型的网络。除了139，其他可能的oob开放的受端，如137、138、113等等，均有可能遭到攻击。当然95系列的不稳定性，也是众所周知的，因此大不必把一切蓝屏死机都归罪到oob的头上。一般的95遭受oob攻击的典型蓝屏提示形如：
Fatal exception 0E at 0028: in VxD MSTCP(01)+000041AE
This was called from 0028: in VxS NDIS(01)+0000D7C
需要说明的是，这种类型的攻击主要的对象是没有打过补丁95 和NT有效，而对98无效，但根据最新的资料，有人已经发现了WIN98的TCP/IP协议栈的漏洞，并发布了针对这一漏洞的工具，据称，这种攻击将使98蓝屏，用ESC返回后，同样不能访问TCP/IP资源必须重起，在本文即将完成时，我收到了一组程序UNIX C，根据程序的说明有两个程序可以对98进行攻击，大概的机理好象分别是对95/98的ICMP协议和对IGMP协议进行DoS（Denial of Service，拒绝服务）攻击。依照经验，此类攻击一般是利用目标机器协议上的一些漏洞，连续发送大型的破碎数据包，形成packets的风暴，造成目标机器当机。但是由于时间关系，笔者已经来不及作出分析测试，只能给网友一个提醒，98也不能高枕无忧。(补丁在此)
二、几种典型的攻击工具

NUKE、WINNUKE及其变种，现在网上流行的OOB攻击工具已经从最初的简单选择IP攻击PORT139，发展为可攻击某一IP范围，可连续攻击，可验证攻击效果，可监测及选择端口，因此，常常出现某一区段全部蓝屏死机的结果。
% Y( @+ I% P* y* ^SSPING：SSPING是一种出色的ip攻击工具，它的机理是，向被攻击的ip连续发出破碎的大型ICMP数据包，被攻击的95系统试图将破碎包合并处理，从而造成当机。
7 ?# E9 `/ F5 s( V" [! WTEARDROP（泪滴）：泪滴也是采用碎片包攻击的一种远程攻击工具，他的最大的特点是除了95/nt外，可攻击linux。
. X, v: O" R7 J3 ?5 M7 g/ r/ c% F6 c
2 Y  a) _" C  X" @: K+ ^6 U三、OOB攻击的防范
7 A# l6 e/ D3 G由于目前微软尚未就98的ICMP和IGMP漏洞作出反应，因此只能介绍OOB攻击的防范。
$ s1 y  k8 G- N- i$ C（一）手动防范
WIN3.X
6 M8 n0 h% P1 w7 U" W1 C% l! F, P编辑SYSTEM.INI，找到[MSTCP]，
" N0 c, y4 ~; y3 ^下面加入BSDUrgent=0

( v9 l: {  t6 L7 q8 MWindows 95
编辑注册表Regedit
" J% B( L; h% z! X5 e4 T: i3 i在HKEY-LOCAL-
MACHINE/System/CurrentControlSet/Services/VxD/MSTCP
下加入一个 "BSDUrgent=0"。
! k8 k/ C% T% K& J并把VNBT.386更名为VNBT.BAK
这可以让95关闭其netbios的服务，但这也使机器丧失了MICROSOFT
网络的Pier-to-Pier打印与文件共享功能。
# O5 Y4 }9 d7 p8 h, v2 c
（二）原厂补丁与安装要点
  g3 S5 W4 k) k  Z* _: D) gwin95
微软95与此BUG相关的补丁较多，请大家注意，一定要按照步骤安
  Y5 J$ {% E5 f$ P0 S9 C$ O1 B装。
1：安装MS DUN12升级文件并重启动，（下载MSDUN12.EXE）。
2、安装WINSOCK升级文件并重启动，（下载WS2SETUP.EXE）。
" m+ X" ?: o8 v% B3、安装WINSOCK22补丁并重启动，（文件名一般为VIPUP20.EXE）。
* X% S( b  Y5 Y) R至此系统可防范部分IP攻击的工具如SSPING和TEARDROP（泪滴）
4、安装补丁文件VTCPUP20.EXE并重启动(下载VTCPUP20.EXE)。
" w2 a$ z  N, t, J, U7 k5、将VNBT386更名为VNBT。BAK或者修正VNBT（运行VNBT.EXE）并重起。
/ X8 u+ U: q$ A; Y可防范WINNUKE等工具。
$ ]0 E* }3 {/ c
2 y! w/ w/ p7 S$ {9 n6 b& E6 {WIN3X的防范
WIN3X似乎没有相应的补丁，请参考前面手动处理。
# G, P# v5 `1 z1 J4 Y, i0 I
+ s4 r4 k4 D% ]0 t' TNT4
+ i% _: F. E- m6 w. l1、安装SERVICE PACK3及以上版本（下载SERVERCE6中文版）
2、安装针对泪滴2等攻击工具的补丁（下载TEARFIXI.EXE）。

NT3。51
1、针对X86和APLHA芯片不同的NT要分别打一个补丁，
( r( [1 Q" e; u! G: k3 H! u而后升级到SERVICE PACK5。
; d. O& k5 b, r5 z1 ]2 s
WIN98
0 h9 ^. |$ Z3 q' I' ]/ I- B尚未发现类似漏洞。
: l6 W6 }5 _8 n7 j1 s! V) R8 G——————
; K" U4 L7 g$ I防止WIN98的IGMP攻击补丁，请根据你98的版本选择合适的补丁。
+ ^& I) q( U9 f7 Q# Q4 B, H: y' t) ?98第一版IGMP补丁下载
98OEM-2版IGMP补丁下载
* o- i5 S8 l7 B: u4 Y, z: F0 D
（三）防弹衣与第三方补丁简介

NOCRASH：NOCRASH的命名是因为有OOB攻击工具名称为CRASH，这个工具这似乎简单的修改注册表，以使NETBIOS功能失效的工具，对传统的基于PORT139的攻击比较有效，但并不能全面防范。而且会造成无法使用其他的的防弹衣。因此如果你上网比较方便，我们还是建议你下载微软的原厂补丁，或使用NUKENAGER。

9 B- e0 J, |- D6 |4 n: xANTINUKE：这是早期的一个外挂式的程序，能防范针对139的攻击，并捕获攻击者的IP，但这个程序重要的特点是他会对攻击者进行反击，而且会使，一些探测139是否打开的工具溢出，另外这个程序在NT上也有效。这个程序的缺欠是：一、只能监听一个PORT，第二是会把网上邻居的方式对你机器的访问也误报为攻击。
, L4 s- {) q8 q) h! I! V
4 K! n9 o7 Q1 G+ z% ]* r! F' i" R3 G. XNUKENAB：这是目前功能比较完善的一个防弹衣，除了系统自身设定监听的5个PORT之外，你还可以指定系统监听的一个端口，（一般我们指定为113）即总共可以监听6个端口。他可以捕获攻击者的IP，另外系统提供了一些自定义参数，如端口开放与关闭、受到攻击时所发出的声音等等。另外，特别值得一提的是，当你发现有人用BO、NETBUS等黑客工具入侵你时，你可以用NUKENAB监听对应的开放端口发现他的地址