一、ICMP攻击漏洞 现在关于ICMP攻击的软件有很多,比如“Winnuke”,可对使用Win9x/NT操作系统的上网者进行攻击。它可向某一IP地址发送OOB(Out of band)数据,并攻击139端口,如果攻击者进行端口监听的话,还可攻击其它端口。当被攻击的电脑收到OOB数据后,即无法对数据进行处理,并出现互联网连接中断或蓝屏幕死机等现象。 ICMP通常报告在处理数据包过程中的错误,在以下几种情况下发送:当数据包不能到达目的地时;当网关已经失去缓存功能时;当网关能够引导主机在更短路由上发送时。一般上网用户对此使用不多,因此可以关闭ICMP。
二、NetBIOS缓存漏洞 在Win95/98/NT4.0/2000中的NetBIOS高速缓存执行允许远程插入动态缓存条目,而且可以移走动态和静态缓存条目。这是由NetBIOS缓存的实现和CIFS(Common Internet File System)浏览协议之间的交互引起的。CIFS浏览协议用来生成网络资源的列表,该协议被用在“网上邻居”和“我的网络”等服务中。它还定义了一些浏览帧,这些帧被封装在NetBIOS数据包中。当从138号UDP端口接收到一个浏览帧的请求时,NetBIOS数据包中的信息被提取出来并添加到NetBIOS缓存中。这些信息包括源和目的地的NetBIOS名字、第二源IP地址以及IP头。远程的恶意用户可以通过发送单播或广播类型的UDP数据包,从而使得NetBIOS名字到IP地址的解析进行重定向,在其控制之下转发到任意的IP地址。一旦NetBIOS缓存被UDP数据包破坏,就不再需要预测事务标识(事务标识是一个很容易预测的16 bit的标识)。为了刷新缓存中的动态条目,用户可以发送一个正向名字查询(Positive Name Query)响应,在该响应中提供另一个IP地址给NetBIOS名字映射。 补救措施: 建议对NETBIOS进行安全配置或者关闭,普通上网用户可以关闭掉它。
三、NetBIOS over TCP/IP 耗尽资源漏洞 微软的执行NetBIOS可能由于一个远程开发漏洞而导致拒绝服务(DoS)攻击。攻击者能够通过连接NBT端口而促使系统耗尽网络资源并停止工作。 补救措施: 下载并安装补丁程序即可,下载地址为:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25114