逝去的安全--win98终极防范

/ns/cn/jc/data/20030323234648.htm

[ccbirds入门级教程]--基础知识4--win98安全防范


一 唠叨一下
1很多朋友都问我怎样才能让他们的个人电脑更安全,不会轻易的被攻破。仔细想来,这的确是一个值得探讨的问题,况且对于个人用户来说这也很重要,因此就写了这片教程,希望能让你的电脑更安全。
2让我们先讨论一下win98操作系统吧(2000会在以后的教程中讨论).为什么还要讨论win98呢?不是说98已经过时了吗?原因有2:首先,98的用户不在少数,不能说它过时,应该会有不少人需要这篇教程;其次,使用98做操作系统的人,他们的安全水平也许不是很高(他们大多是办公或是游戏爱好者,但也不绝对),因此这篇教程会对他们是很有必要的。
3此篇教程属于总结性质,因此各种攻击方法及防范或许并不十分详细,且内容并无多少新意,老鸟可以掠过此文。

注:
1本教程针对win98的个人用户,假设环境为:win98系统,个人使用,拨号上网,拥有完全权限;
2本教程所涉及程序并不保证任何时候,任何情况都能试验成功,由于程序更新较快,建议大家到网上寻找相应的最新程序。


二 对win98的简单说明
由于98对网络的支持不完善,且默认没有什么网络服务启动,也就找不到什么可利用的漏洞,因此对98的攻击并不像对2000那样‘丰富多彩’。但即使这样,98的用户仍然不能高枕无忧,看看下面的各种攻击方法,你会觉得98并不是像想象的那样安全,我们仍需要多加防备。



三 基于win98的攻击方法
既然要讲防守,就要知道怎样进攻,只有搞清楚了各种攻击方法,我们才能对症下药,有的放矢。
下面总结了一下常用的攻击方法,当然有些方法对别的操作系统也是适用的。

1 蓝屏炸弹(IGMP,ICMP)
2 木马攻击
3 OICQ安全
4 恶意代码
5 共享密码检验漏洞
6 ARP拒绝服务攻击
7 IPX Ping 包拒绝服务漏洞
8 NetBIOS缓存漏洞
9 NetBIOS 空源主机名导致系统崩溃
10 无效驱动器类型拒绝服务漏洞
11 NetBIOS over TCP/IP 耗尽资源漏洞
12 concon漏洞



四 攻击方法具体介绍及防范

1 蓝屏炸弹
*攻击原理:
蓝屏攻击的对象一般是Microsoft的WINDOWS95/98操作系统,这种攻击实际上是利用WINDOWS操作系统的内核缺陷,采用大量的非法格式数据包发向被攻击的机器,使WINDOWS操作系统的网络层受到破坏,而引起蓝屏当机。
蓝屏炸弹一般使用的是IGMP协议(Internet Group Management Protocol),由于IGMP是一种类似ICMP(PING报文)的无连接协议,所以在向服务器连接时不需要指定连接的端口,只需要指定IP地址即可,由于WIN98不能很好的处理过大的IGMP数据包,很容易出现系统崩溃的情况,又因为WINDOWS95/98在崩溃的时候,通常是显示一个蓝色的屏幕,上面写着一些复杂的符号和数字,便形成了我们所说得蓝屏攻击。
当然,现在的蓝屏炸弹不光只使用IGMP,还会使用ICMP进行攻击:它可向某一IP地址发送“OOB”(OUT OF BAND)数据,并攻击139端口(NETBIOS),如果攻击者进行端口监听的话,还可攻击其它端口。当被攻击的电脑收到大量的“OOB"数据后,无法对数据进行处理,导致出现Internet连接中断或蓝屏幕死机等现象。

*攻击工具:
WINNUKE,SPING,TEARDROP等

*攻击后果:
导致Internet连接中断,windows蓝屏或死机。

*解决办法:
1)将NETBIOS(控制面板-网络)关闭,关闭NETBIOS还可以阻止别人访问你的共享资源;
2)IGMP,ICMP关闭(两者可以用防火墙来屏蔽),关闭这些协议不会影响你使用INTERNET。关闭ICMP可以使陌生人对你的Ping无效(但不会影响你用ping命令去探测别人,除非对方也安装了防火墙,并且也关闭了ICMP),关闭TCP监听可以阻止木马服务端程序响应客户端软件的控制,并可防止端口扫描程序的扫描;
3)安装防火墙,并进行配置,则基本上可以防范此类攻击;
4) 下在相关补丁。


2 木马攻击

*攻击原理:
木马,即后门程序,它包括两个部分:服务端和控制端,当目标机器运行了服务端后,黑客就可以利用控制端来控制你的机器了。
如果你中了木马,那么它有可能对你的电脑做以下事情:创建,移动,复制,上传,删除你的文件;管理共享,格式化硬盘;记录键盘并从中提取密码;查找隐藏密码并发送到指定邮箱;控制进程,远程关机,重起,锁定鼠标和热键;操作注册表,包括浏览,增删,复制主键;向被控方法送信息等。

*感染方式:
1)欺骗法:利用一切欺骗行为引诱你运行服务端
2)捆绑法:与正常程序捆绑,让你无防备的运行服务端(比如与flash捆绑)
3)改名法:更改木马的图标并将程序改名为*.jpg.exe或*.tex.exe形式,因为windows默认不显示文件后缀,让你以为不是可执行文件,从而运行
4)网页法:在网页中插入恶意代码

*常见木马:
国产的冰河、蓝色火焰、广外女生等,国外的软件有Back Orifice、NetBus等,(树大招风这个道理大家知道吧,由于这些木马太有名了,所以各大杀毒软件都能够查杀它们,但一些不知名的小木马,或个人写的木马程序,防火墙也许就无能为力了)

*防范办法:
1)不执行陌生,可疑的文件,必要时用杀毒软件查杀(但不要过于相信杀毒软件)
2)对于捆绑程序,要注意文件大小,如果你发现600k的txt文件,那你应该小心了
3)让windows显示文件后缀:文件夹选项-查看-把‘显示已知文件的扩展名’前的勾去掉
4)不要随便观看可疑的网页(不过,谁也说不好哪个网页可疑)
5)定期使用查毒软件或查杀木马软件检查系统,如Iparmor
6)安装防火墙

如果你确定你已经中了木马,你可以在网上寻找相应的清除方法加以清除,我在此不做过多介绍了。


3 OICQ安全
虽然OICQ并不是WIN98系统的一部分,但98用户问题最多的可能就是关于OICQ了,而且一些木马也可能通过OICQ传到你的电脑,因此在次我们将讨论一下OICQ的安全防护。

*攻击类型:
1)获取信息
攻击描述:受害者一般都是在公共场合(或多人登陆一台电脑)使用OICQ,倘若你选择了保存密码登陆,则别人可以轻而易举地登录到你的帐号下,这样你的密码、好友名单、聊天记录就毫无任何安全可言了,还有更高级的,就是利用一个叫做oicqreader的软件,只要选好oicq的安装路径,则oicq安装目录下的所有oicq帐号都在劫难逃,好友名单和聊天记录就都乖乖地展示在入侵者眼前。
解决方法:不使用保存密码登陆;下线后删除以你号码命名的文件夹

2)记录/破解密码
攻击描述:破解可分为本地破解和远程破解,本地破解又可分为暴力破解和后台记录
本地暴力破解:用破解软件对本地相应文件加进行破解,破解成功将直接获得密码
本地后台记录:用密码记录软件或键盘记录软件对密码进行后台记录,并将密码保存到相应文件或发送到指定邮箱
远程暴力破解:在联网的情况下对密码进行强行猜解,从而直接获得密码,但猜解速度与网络情况有关,老牌软件比如:ICQ Hack
解决方法:设置一个安全,复杂的密码;公共场所下线后,删除以你号码命名的文件夹

3)轰炸帐号
攻击描述:简单地讲就是在极短的时间内发出大量的数据给某个oicq帐号,使之应接不暇,系统速度变慢直至下线或当机。
此类攻击首先得知道他的ip地址和端口,以前大家都用相关的软件来查,比如冯志宏的oicqsniffer,第三只眼的xoicq等,但现在有了更简便的方法,就是使用能显示对方IP和端口的OICQ,比如珊瑚虫工作室的,很好用的。
攻击软件有oicqbomb、oicqnuke、oicqspy 、oicqjoke等众多软件,而且都是傻瓜型,不会用都很难。由于此类攻击并不是利用什么漏洞,而是基于TCP/IP协议,发送大量数据,因此并不是很好防范。
解决方法:使用代理服务器(可隐藏自己真实IP);安装防火墙

*以下为使用QQ的注意事项:  

一、没有申请“密码保护”功能和刚申请到号码之后的网友应该立刻申请密码保护http://www.tencent.com/service/;
二、QQ的密码不要太简单,许多破QQ密码的工具,都是采用的穷举法。所以你的密码最好设为8位数以上,数字字母和特殊符号相结合;
三、在网吧输入密码时不要让旁边的人看到,上完后把c:\program files\OICQ\中你的QQ号目录删除(shift+del);
四、密码要不定期地更换;
五、安装防火墙(如天网)和防毒软件(如金山毒霸),提防别人对你的机器进行扫描、安装木马;
六、使用最新版本的OICQ,将系统参数设置项打开,选择安全设置项,将高级安全设置中的拒绝旧版陌生人消息或拒绝旧版所有消息打上钩;
七、个人资料上填写的E-mail和申请密码保护所用E-mail不要相同;
八、OICQ密码、上网账号密码和信箱密码不要相同;
九、如果同时拥有几个号码,又不经常上网。那么要在每个号码上都加上好友,防止腾讯回收号码;
十、上网时谦虚谨慎,在聊天室里不要恶意辱骂、中伤网友,要明白一山还有一山高的道理。


(本教程不定期更新,欲获得最新版本,请登陆官方网站:菜菜鸟社区原创http://ccbirds.yeah.net)



4 恶意代码
*攻击原理:恶意网页中包含有恶意代码,利用浏览器或者其他已知系统弱点/漏洞,对访问者的电脑进行非法设置和恶意攻击。

*攻击类型:

1修改注册表
利用IE的文本漏洞通过编辑的脚本程序修改注册表,如修改IE的起始主页,工具栏,默认的搜索引擎,IE标题栏,修改或禁止IE右键,定时弹出IE新窗口;禁止修改注册表;系统启动时弹出网页或对话框
常用恢复工具:超级兔子魔法配置,优化大师,3721魔宝石,杀毒王自带的IE修复器等(建议初学者用工具修复)

2无聊恶意网页
这一类网页是利用编写JAVASCRIPT代码,比如弹出无数关不完的窗口,让CPU资源耗尽重新启动。
防范方法:将JAVA禁用(但对个别正常网页稍有影响),升级IE到高版本

3利用IE漏洞
此类攻击方法是利用IE漏洞对用户进行攻击,由于WIN98用户IE版本都比较低,如果没有及时打补丁,将很容易受到此方法攻击。
1)格式化硬盘
2)执行.exe文件
3)自动运行木马程序(利用IE的MIME头错误漏洞)
4)泄露用户的信息(IE框架漏洞)
解决方法:
最简便安全的就是升级你的IE,并将它进行配置。


以下是一些常用的防范恶意代码的方法:
1)要避免中招,关键是不要轻易去一些自己并不了解的站点,特别是那些看上去美丽诱人的网址更不要贸然前往,否则吃亏的往往是你。
2)运行IE,点击“工具→Internet选项→安全→Internet区域的安全级别,把安全极别由“中”改为“高”。
3)由于这些网页往往是含有有害代码的ActiveX或Applet、Javascript的网页文件,因此在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以避免中招。具体方法是:在IE窗口中点击“工具→Internet选项,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。
不过,这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。唉,有利就有弊,您还是自己看着办吧。
4)对于Windows98用户,请打开C:\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP,把其中的“ActiveXComponent.class”删掉;对于WindowsMe用户,请打开C:\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP,把其中的“ActiveXComponent.class”删掉。请放心,删除这个组件不会影响到你。
5)安装网络防火墙,特别是安装了Norton2001后,进入该类网页就会报警提示有脚本写注册表,国产反病毒软件KVW3000也有此类功效,建议您也安装一个这样的软件。
6)虽然经过一番辛苦的劳动修改回了标题和默认连接首页,但如果以后又不小心进入该站就又得麻烦一次。其实,你可以在IE中做一些设置以便永远不进该站点:
打开IE,点击“工具”→ “Internet选项”→“内容”→“分级审查”,点“启用”按钮,会调出“分级审查”对话框,然后点击“许可站点”标签,输入不想去的网站网址,如输入:http://www.XXX.com,按“从不”按钮,再点击“确定”即大功告成!
7)设置注册表相关值项,为注册表"加锁"
(1)运行注册表编辑器regedit.exe;
(2)在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下,增加名为DisableRegistryTools的DWORD值项,并将其值改为“1”,即可禁止使用注册表编辑器regedit.exe。
如果你由于其它原因需要修改注册表,可用如下解锁方法:
用记事本编辑一个任意名字的.reg文件,比如recover.reg,内容如下:
REGEDIT4
;这里一定要空一行,否则将修改失败
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
对于WIN 2000或XP,把 REGEDIT4 改为Windows Registry Editor Version 5.00即可



5 共享密码检验漏洞
受影响系统:
Microsoft Windows ME
Microsoft Windows 98se
Microsoft Windows 98
Microsoft Windows 95

攻击原理:
Windows9x/Me中提供的文件和打印共享服务的共享级密码保护可以被绕过。
共享级访问提供windows9x/ME环境中的对等网特性。由密码保护来决定批准或拒绝对资源的访问。由于在文件及打印共享安全性的实现有缺陷,一个远程入侵者不用输入完整的密码,通过程序修改密码的数据段长度,就能访问受共享级保护的资源。这个漏洞是由密码确认(共享级访问利用方案)中的NetBIOS实现引起的。
在密码认证处理过程中密码长度会与发送的数据长度作比较,如果程序设定密码为一个字节,那么只有第一个字节会验证有效,如果一个远程攻击者能正确猜出目标机器上的密码的第一个字节,那么他对资源的访问就会得到共享级保护的批准。Windows9x远程管理也会受到这个漏洞影响,应为它使用了相同的认证方案。
有效地利用这个漏洞,会导致攻击者获得对受文件及打印共享保护的文件的恢复、修改、删除、增加的权限。

解决方法:
1)安装补丁
2)建议个人用户不要共享自己的任何盘,否则,你将随时处于危险中。


--------以下攻击方法对个人用户来说相对不常见,大家了解一下便可,部分内容引自相关安全报告--------


6 ARP拒绝服务攻击
攻击原理:影响WINDOWS98系统,当向运行Windows的主机发送大量无关的ARP数据包时,会导致系统耗尽所有的CPU和内存资源而停止响应。如果向广播地址发送ARP请求时,可能导致整个居域网停止响应。
攻击程序:arpkill



7 IPX Ping 包拒绝服务漏洞
*攻击原理:
由于不正确的通过端口0x456发送一些不规范的IPX/SPX Ping包可能导致服务器出现拒绝服务攻击。IPX/SPX协议在Windows 98默认安装情况下是没有安装的,而在Windows 95默认安装时如果系统检测到网卡后此协议将自动安装。
如果IPX/SPX协议被禁止,Windows 9x 将接受特殊的畸形IPX Ping 包,而且发送源地址已被修改为广播地址,并且将导致广播紊乱,促使带宽饱和,出现拒绝服务。如果源地址已被修改为广播地址,这样此网段中的每个机器都将响应此Ping请求,如此多的响应将导致网络瘫痪。


8 NetBIOS缓存漏洞
*攻击原理:
在Windows 95, 98, NT 4.0, and 2000中的NetBIOS高速缓存执行允许远程插入动态缓存条目,而且可以移走动态和静态缓存条目。这是由NetBIOS缓存的实现和CIFS(Common Internet File System)浏览协议之间的交互引起的。CIFS浏览协议用来生成网络资源的列表,该协议被用在“网上邻居”和“我的网络”等服务中。它还定义了一些浏览帧,这些帧被封装在NetBIOS数据包中。
当从138号UDP端口接收到一个浏览帧的请求时,NetBIOS数据包中的信息被提取出来并添加到NetBIOS缓存中。这些信息包括源和目的地的NetBIOS名字、第二源IP地址以及IP头。远程的恶意用户可以通过发送单播或广播类型的UDP数据包,从而使得NetBIOS名字到IP地址的解析进行重定向,在其控制之下转发到任意的IP地址。
一旦NetBIOS缓存被UDP数据包破坏,就不再需要预测事务标识(据报道,事务标识是一个很容易预测的16 bit的标识)。为了刷新缓存中的动态条目,用户可以发送一个正向名字查询(Positive Name Query)响应,在该响应中提供另一个IP地址给NetBIOS名字映射。
*解决方法:WINDOWS的NETBIOS有很多缺陷,建议对NETBIOS进行安全配置。


9 NetBIOS 空源主机名导致系统崩溃
*攻击原理:
当Windows 95/98收到一个NetBIOS会话的包,这个包中源主机名被设置成NULL,那么将导致发生不可预料的错误:系统崩溃,蓝屏,重起动,死锁或者丢失网络连接等等。
*攻击程序见:netbios空原主机名.txt


10 无效驱动器类型拒绝服务漏洞
*攻击原理:如果一个MicrosoftWindows9X客户端连接到一个文件/打印共享服务器时,服务器返回一个错误驱动器类型,那么将导致客户端崩溃,必须重新启动来恢复正常正常功能。
下列驱动器类型是Windows9X能识别的:
1)驱动器号:
2)LPTx:
3)COMMx
4)IPC
返回给客户端的所有其他的驱动器类型会引起拒绝服务。


11 NetBIOS over TCP/IP 耗尽资源漏洞
*攻击原理:
微软的执行NetBIOS可能由于一个远程开发漏洞而导致拒绝服务攻击。攻击者能够通过连接NBT端口而促使系统耗尽网络资源并停止工作。 攻击可通过如下方式来进行:初始化许多连接,然后关闭它们,让目标机器上的TCP管套(socket)处于FINWAIT_1状态。尽管这些管套最终将超时并被释放,但攻击者可以持续地发送更多请求,初始化并关闭新的连接,耗尽任何空闲的网络资源。结果将导致NetBIOS拒绝正常的服务,直到攻击停止。
微软在NT 4.0 sp6中发布了一个补丁来修补该漏洞。 简单说来,DDOS攻击基本是无法解决的,我特别喜欢,从SYN FLOOD理论上来说只要是有限带宽的服务都会被攻击到拒绝服务,服务器可能只是拒绝服务,而一般的PC可能就是系统资源耗尽了。而且,大量的DOS攻击可以造成防火墙大量日志,甚至日志满或者日志爆满掉。天网据说是6万记录即满,而6万日志,可以很快就搞定,只要知道天网过滤哪些东西就攻击哪些东西。呵呵,这就是强行突破FIREWALL或者IDS的前奏。
*解决方法: 微软已经针对此漏洞开发了补丁程序,下载地址:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=25114


12 concon漏洞   
*攻击原理:
Win9X中的一个很老的漏洞了,在Win9X中有三个设备驱动程序,CON:输入及输出设备驱动程序;NUL:空设备驱动程序;AUX:辅助设备驱动程序,这三个程序只要被运行,就会引起系统的死机。如运行C:\CON\CON或C:\AUX\AUX等。严重的是此漏洞可以通过资源共享来远程执行,如运行\\192.168.0.2\C\CON\CON(其中\\192.168.0. 2为对方的IP,C为对方的共享盘符)。   
解决办法:
1)将系统升级至WinMe及以上版本;或下载安装补丁程序 conconfix并添加到“启动”组中
2)安装网络防火墙,设置不共享。   


四 总结一下
虽然说win98的网络功能不是很强大,但从安全性来讲,这可以算是一款比较安全的操作系统(当然,这与其提供了较少的服务有关)了,只要大家正确配置,经常检查一下系统,并安装好第三方软件(包括:防火墙,杀毒软件,网页防火墙,优化大师,超级兔子魔法配置,木马查杀软件等),我想,你的电脑应该是安全的;)

完成时间:iqst-2003/3/16 14:50 http://ccbirds.yeah.net
更新时间:
[ccbirds入门级教程]--基础知识4--win98安全防范
===============================================
本文版权属20CN网络安全小组及其作者所有,如有转载,请保持文章完整性并注明出处
文章类型:原创 提交:iqst 核查:NetDemon