缓冲区溢出是指在程序重写内存块时出现的问题。所有程序都需要内存空间和缓冲区来运行。如果有正确的权限,操作系统可以为程序分配空间。C和C++等编程语言容易造成缓冲区溢出,主要因为它们不先检查是否有存在的内存块就直接调用系统内存。一个低质量的程序会不经检查就重写被其它程序占用的内存,而造成程序或整个系统死掉,而留下的shell有较高的权限,易被黑客利用运行任意代码。
据统计,缓冲区溢出是当前最紧迫的安全问题。要获得关于缓冲区溢出的更多信息,请访问
Telnet的拒绝服务攻击
Windows中的Telnet一直以来都是网络管理员们最喜爱的网络实用工具之一,但是一个新的漏洞表明,在Windows2000中Telnet在守护其进程时,在已经被初始化的会话还未被复位的情况下很容易受到一种普通的拒绝服务攻击。Telnet连接后,在初始化的对话还未被复位的情况下,在一定的时间间隔之后,此时如果连接用户还没有提供登录的用户名及密码,Telnet的对话将会超时。直到用户输入一个字符之后连接才会被复位。如果恶意用户连接到Windows2000的Telnet守护进程中,并且对该连接不进行复位的话,他就可以有效地拒绝其他的任何用户连接该Telnet服务器,主要是因为此时Telnet的客户连接数的最大值是1。在此期间任何其他试图连接该Telnet服务器的用户都将会收到如下错误信息:
Microsoft Windows Workstation allows only 1 Telnet Client LicenseServer has closed connection
察看“列出当前用户”选项时并不会显示超时的会话,因为该会话还没有成功地通过认证。
Windows NT的TCP port 3389存在漏洞
Windows NT Server 4.0 终端服务器版本所作的 DoS 攻击。这个安全性弱点让远端使用者可以迅速的耗尽 Windows NT Terminal Server 上所有可用的内存,造成主机上所有登陆者断线,并且无法再度登入。
说明:
1. Windows NT Server 4.0 终端服务器版本在 TCP port 3389 监听终端连接 (terminal connection),一旦某个 TCP 连接连上这个端口, 终端服务器会开始分配系统资源,以处理新的客户端连接,并作连接的认证工作。
2. 此处的漏洞在于:在认证工作完成前,系统需要拨出相当多的资源去处理新的连 接,而系统并未针对分配出去的资源作节制。因此远端的攻击者可以利用建立大 量 TCP 连接到 port 3389 的方法,造成系统存储体配置达到饱和。
3. 此时服务器上所有使用者连接都会处于超时状态,而无法继续连接到服务器上,远端攻击者仍能利用一个仅耗用低频宽的程式,做出持续性的攻击,让此 服务器处於最多记忆体被耗用的状态,来避免新的连接继续产生。
4. 在国外的测试报告中指出,长期持续不断针对此项弱点的攻击,甚至可以导致服务器持续性当机,除非重新开机,服务器将无法再允许新连接的完成。
解决方案:
1. 以下是修正程序的网址:
ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40tse/hotfixes postSP4/Flood-fix/
[注意]:因为行数限制,上面网址请合并为一行。
2. 更详细资料请参考 Microsoft 网站的网址:
.
防范拒绝服务攻击
你可以通过以下方法来减小拒绝服务攻击的危害:
· 加强操作系统的补丁等级。
· 如果有雇员建立特定的程序,请特别留意代码的产生过程。
· 只使用稳定版本的服务和程序。
审计非法服务,特洛伊木马和蠕虫
非法服务开启一个秘密的端口,提供未经许可的服务,常见的非法服务包括:
· NetBus
· BackOrifice 和 BackOrifice 2000
· Girlfriend
· 冰河2.X
· 秘密的建立共享的程序
许多程序将不同的非法服务联合起来。例如,BackOrifice2000允许你将HTTP服务配置在任意端口。你可以通过扫描开放端口来审计这类服务,确保你了解为什么这些端口是开放的。如果你不知道这些端口的用途,用包嗅探器和其它程序来了解它的用途。
技术提示:不要混淆非法服务和木马。木马程序通常包含非法服务,而且,木马程序还可以包含击键记录程序,蠕虫或病毒。
特洛伊木马
特洛伊木马是在执行看似正常的程序时还同时运行了未被察觉的有破坏性的程序。木马通常能够将重要的信息传送给攻击者。攻击者可以把任意数量的程序植入木马。例如,他们在一个合法的程序中安放root kit或控制程序。还有一些通常的策略是使用程序来捕获密码和口令的hash值。类似的程序可以通过E-mail把信息发送到任何地方。
审计木马