WinNuke攻击又称“带外传输攻击”,它的特征是攻击目标端口,被攻击的目标端口通常是139、138、137、113、53,而且URG位设为1,即紧急模式。WinNuke攻击就是利用了Windows操作系统的一个漏洞,向这些端口发送一些携带TCP带外(OOB)数据报文的,但这些攻击报文与正常携带OOB数据报文不同的是,其指针字段与数据的实际位置不符,即存在重合。这样Windows操作系统在处理这些数据的时候,就会崩溃。NetBIOS作为一种基本的网络资源访问接口,广泛地应用于文件共享、打印共享、进程间通信(IPC),以及不同操作系统之间的数据交换。一般情况下,NetBIOS是运行在LLC2链路协议之上的,是一种基于组播的网络访问接口。为了在TCP/IP协议栈上实现NetBIOS,RFC规定了一系列交互标准,以及几个常用的TCP/UDP端口。
139:NetBIOS会话服务的TCP端口。
137:NetBIOS名字服务的UDP端口。
136:NetBIOS数据报服务的UDP端口。
Windows操作系统的早期版本(Windows 9x/NT)的网络服务(文件共享等)都是建立在NetBIOS之上的。因此,这些操作系统都开放了139端口(最新版本的Windows 2000/XP/ Server 2003等,为了兼容,也实现了NetBIOS over TCP/IP功能,开放了139端口)。
目前的WinNuke系列工具已经从最初的简单选择IP攻击某个端口,发展到可以攻击一个IP区间范围的计算机,并且可以进行连续攻击,还能够验证攻击的效果,还可以检测和选择端口。所以,使用它可以造成某一个IP地址区间的计算机全部蓝屏死机。
防御方法:首先判断数据包目标端口是否为139、138、137等,并判断URG位是否为1。适当配置防火墙设备或过滤路由器就可以防止这种攻击手段(丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间、源主机和目标主机的MAC地址和IP地址)。
Sourse:www.isbase.net
评论关闭。