原子弹——OOB Nuke
1.原理
OOB Nuke又名Windows nuke,是在1997年5月被发现的,这种攻击将导致Windows 95/98蓝屏,在当时的IRC聊天用户中很流行。OOB Nuke攻击的实现是由于Windows 95/98不能正确的处理带外数据。在TCP协议中提供了“紧急方式”,是传输的一端告诉另一端有些具有某种方式的“紧急数据”已经放到普通的数据流中,如何处理由接受方决定。通过设置TCP首部中的两个字段发出这种通知,URG比特被设置为1,并且一个16比特的紧急指针被设置为一个正的偏移量,某些实现将TCP的紧急方式称之为带外数据。问题在于Windows 95/98不知道如何处理带外数据。OOB Nuke一般使用139端口。
2.攻击
仅提供一款工具:WindowsNuke2,如下图3所示:
图3
打相关的补丁或者将你的Windows 95/98升级到2000或更高,不过连微软都已经放弃了Windows 95/98,估计现在还在使用它的人少之又少了。
Land攻击
1.原理
Land攻击是由著名的黑客组织RootShell发现的,于1997年11月20日公布的,原理比较简单,就是利用TCP连接三握手中的缺陷,向目标主机发送源地址与目标地址一样的数据包,造成目标主机解析Land包占用太多的资源,从而使网络功能完全瘫痪。具体说应该是,Land攻击打造一个特别的SYN包,其源地址和目标地址被设置成同一个计算机的地址,这时将导致该计算机向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每个这样的连接都将保留直到超时。
2.攻击
Land攻击对Windows 95很有效,但实际上,很多基于BSD的操作系统都有这个漏洞。不同的操作系统对Land攻击反应不同,很多Unix将崩溃,而Windows NT会变得非常缓慢,而且对Linux,路由器,其它大量的Unix都具有相当的攻击力。这里提供Land程序的源代码(请见光盘)。
3.防御
打最新的相关的安全补丁,在防火墙上进行配置,将那些在外部接口上进入的含有内部源地址的包过滤掉,包括10域,127域,192.168域, 172.16到172.31域。由于Land攻击主要是构造IP包,使源IP和目标IP相同,源端口和目的端口相同,所以如果使用Tcpdump,可记录到攻击特征为:
23:45:13 815705 192.168.0.111 23>192.168.0.111 23:S 3868:3868(0) Windows 2048
