WinNuke 攻击是一种拒绝服务攻击。WinNuke 攻击又称带外传输攻击,它的特征是攻击目标端口,被攻击的目标端口通常是 139、138、137、113、53,而且 URG 位设为“1”,即紧急模式。
检测方法:判断数据包目标端口是否为 139、138、137 等,并判断 URG 位是否为“1”。
反攻击方法:适当配置防火墙设备或过滤路由器就可以防止这种攻击手段(丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间,源主机和目标主机的 MAC 地址和 IP 地址 MAC)。
winnuke 是利用 NetBIOS 协议中一个 OOB(OutofBand)的漏洞,也就是所谓的带外数据漏洞而进行的,它的原理是通过 TCP/IP 协议传递一个 Urgent 紧急数据包到计算机的 137、138 或 139 端口,当 win95/NT 收到这个数据包之后就会瞬间死机或蓝屏,不重新启动计算机就无法继续使用 TCP/IP 协议来访问网络。
带外数据 OOB 是指 TCP 连接中发送的一种特殊数据,它的优先级高于一般的数据,带外数据在报头中设置了 URG 标志,可以不按照通常的次序进入 TCP 缓冲区,而是进入另外一个缓冲区,立即可以被进程读取或根据进程设置使用 SIGURG 信号通知进程有带外数据到来。
后来的 Winnuke 系列工具已经从最初对单个 IP 的攻击发展到可以攻击一个 IP 区间范围的计算机,可以检测和选择端口,并且可以进行连续攻击,还能验证攻击的效果,所以使用它可以造成某个 IP 地址区间的计算机全部蓝屏死机。
此类攻击是由于利用软件开发过程中对某种特定类型的报文或请求没有处理,导致软件遇到这类型报文时运行出现异常,软件崩溃甚至系统崩溃。防范此类攻击的方法就是升级系统或给系统打补丁,也可以删除 NetBIOS 协议或关闭 137、138、139 端口。
正文完
