【正文】 ? WinDir= WIN95 目 錄 的 位 置 ? 缺 省 值 為 安 裝 時(shí) 指 定 的 目 錄 ( 如 C: \WINDOWS)， 其 作 用 是 列 出 安 裝 過(guò) 程 中 指 定 的 WIN95 目 錄 的 位 置。 有 關(guān) MSDOS. SYS 的 內(nèi) 容， ? 這 部 分 內(nèi) 容 包 括 三 項(xiàng)： ? HostWinBootDrv= 引 導(dǎo) 盤 的 根 目 錄 ? 缺 省 值 為 C， 其 作 用 是 指 明 引 導(dǎo) 盤 的 根 目 錄。 119 BNCC 分析問(wèn)題及恢復(fù) ? 3. 在 MSDOS 狀 態(tài) 下 去 除 及 文 件 的 只 讀、 系 統(tǒng)、 隱 藏 屬 性： ? attrib r h s attrib r h s ? 4. 將 、 兩 文 件 改 名 為、 ： ? rename rename 5. 重 新 啟 動(dòng) 機(jī) 器， 系 統(tǒng) 會(huì) 自 動(dòng) 修： 在 引 導(dǎo) 時(shí)， 如 果 Windows95 找 不 著 注 冊(cè) 表 文 件， 它 用 備 份 的 和 做 為 注 冊(cè) 表 文 件； 假 如 這 倆 文 件 運(yùn) 行 正 常 的 話， 系 統(tǒng) 就 把 它 們 分 別 改 為 和 。 118 BNCC 分析問(wèn)題及恢復(fù) ? 出 現(xiàn) 注 冊(cè) 表 故 障 的 可 能 原 因 有 三 個(gè)： WIN95 目 錄 中 的 文 件 不 存 在、 崩 潰 或 文 件 中 的 ［ Paths ］ 部 分 丟 失 了。 117 BNCC 破壞注冊(cè)表的途徑 由于注冊(cè)表中的數(shù)據(jù)是非常復(fù)雜的（在第 5章中，我們花費(fèi)了大量的篇幅詳解了注冊(cè)表），所以，用戶在手工修改注冊(cè)表的時(shí)候，經(jīng)常導(dǎo)致注冊(cè)表中的內(nèi)容的毀壞。另外，在夏天工作時(shí)，由于溫度過(guò)高，對(duì)于發(fā)熱量較大的 CPU（如 AMD、 Cyrix、 IBM、 WinChip等）極易燒毀。 116 BNCC 破壞注冊(cè)表的途徑 (2) 斷電 在非正常斷電情況下，可能會(huì)燒毀主板或者其他硬件設(shè)備。還有一些病毒可能會(huì)隱藏在 Cache中，使系統(tǒng)運(yùn)行不正常。 如果計(jì)算機(jī)系統(tǒng)本身出現(xiàn)了問(wèn)題，常常會(huì)導(dǎo)致注冊(cè)表的毀壞。 (4) 應(yīng)用程序在注冊(cè)表中添加了錯(cuò)誤的內(nèi)容 某些應(yīng)用程序在修改注冊(cè)表時(shí)，增加了不該增加的內(nèi)容，或者將原來(lái)正確的注冊(cè)表內(nèi)容修改為不正確的內(nèi)容。因此，誰(shuí)也不可能測(cè)試所有的可能性，這樣就有不兼容的可能性存在。那些做 Beta測(cè)試的軟件，就是因?yàn)橄到y(tǒng)還沒(méi)有定型，還有相當(dāng)多的錯(cuò)誤，希望被測(cè)試用戶在使用的過(guò)程中發(fā)現(xiàn)。最好的情況就是用戶在使用軟件過(guò)程中沒(méi)有遇到到錯(cuò)誤，而且那些看似微小的錯(cuò)誤，可能會(huì)導(dǎo)致非常嚴(yán)重的后果。 注冊(cè)表?xiàng)l目有誤。 無(wú)法調(diào)入驅(qū)動(dòng)程序。 ? 例如，在啟動(dòng) Windows 95/98時(shí)，可能會(huì)出現(xiàn)如下提示信息： 111 BNCC 注冊(cè)表常見(jiàn)問(wèn)題 Cannot find a device file that may be needed to run Windows or a windows application. The Windows Registry or file refers to this device file,but the device file no longer exists If you deleted this file on purpose,try uninsalling the associated application using its uninstall Or Setup program. If you still want to use the application associared with this device file, Try reinstalling the application to replace the missing file. Press a key to continue. 112 BNCC 注冊(cè)表常見(jiàn)問(wèn)題 沒(méi)有訪問(wèn)應(yīng)用程序的權(quán)限。 應(yīng)用程序無(wú)法正常運(yùn)行。 例如，在啟動(dòng) Windows 95/98時(shí)，將出現(xiàn)如對(duì)話框。建議要找到規(guī)律，不要盲目預(yù)測(cè)，這需要時(shí)間和耐心。不過(guò)路由器只防得了外部入侵，內(nèi)部入侵呢？ TCP的 ISN選擇不是隨機(jī)的，增加也不是隨機(jī)的，這使攻擊者有規(guī)可循，可以修改與 ISN相關(guān)的代碼，選擇好的算法，使得攻擊者難以找到規(guī)律。設(shè)置路由器，過(guò)濾來(lái)自外部而信源地址卻是內(nèi)部 IP的報(bào)文。 95 BNCC 96 BNCC 未雨綢繆 ? 雖然 IP欺騙攻擊有著相當(dāng)難度，但我們應(yīng)該清醒地意識(shí)到，這種攻擊非常廣泛，入侵往往由這里開(kāi)始。如果 Z是 A與 B之間的路由器，就不用說(shuō)了； 或者 Z動(dòng)用了別的技術(shù)可以監(jiān)聽(tīng)到 A與 B之間的通信，也容易些； 否則預(yù)測(cè)太難。就是如何以第三方身份切斷 A與 B之間的 TCP連接，實(shí)際上也是預(yù)測(cè) sequence number的問(wèn)題。和 IP欺騙等沒(méi)有直接聯(lián)系，和安全校驗(yàn)是有關(guān)系的。相反，如果 Z修改了自己的 IP，這種 ARP沖突就有可能出現(xiàn)，示具體情況而言。如果 Z向 A發(fā)送數(shù)據(jù)段時(shí)，企圖解析 A的 MAC地址或者路由器的 MAC地址，必然會(huì)發(fā)送 ARP請(qǐng)求包，但這個(gè) ARP請(qǐng)求包中源 IP以及源 MAC都是 Z的，自然不會(huì)引起 ARP沖突。那么在 IP欺騙攻擊過(guò)程中是否存在 ARP沖突問(wèn)題。利用 IP欺騙攻擊得到一個(gè) A上的 shell，對(duì)于許多高級(jí)入侵者，得到目標(biāo)主機(jī)的 shell，離 root權(quán)限就不遠(yuǎn)了，最容易想到的當(dāng)然是接下來(lái)進(jìn)行buffer overflow攻擊。并且與 A、 B、 Z之間具體的網(wǎng)絡(luò)拓?fù)溆忻芮嘘P(guān)系，在某些情況下顯然大幅度降低了攻擊難度。當(dāng)然在準(zhǔn)備階段可以用 xray之類的工具進(jìn)行協(xié)議分析。否則 Z必須精確地預(yù)見(jiàn)可能從 A發(fā)往 B的信息，以及 A期待來(lái)自 B的什么應(yīng)答信息，這要求攻擊者對(duì)協(xié)議本身相當(dāng)熟悉。作者認(rèn)為攻擊難度雖然大，但成功的可能性也很大，不是很理解，似乎有點(diǎn)矛盾。 89 BNCC IP欺騙攻擊的描述 ? Z(B) SYN A B SYN+ACK A Z(B) ACK A Z(B) PSH A ...... 6. IP欺騙攻擊利用了 RPC服務(wù)器僅僅依賴于信源 IP地址進(jìn)行安全校驗(yàn)的特性，建議閱讀rlogind的源代碼。問(wèn)題在于即使連接建立，A仍然會(huì)向 B發(fā)送數(shù)據(jù)，而不是 Z， Z 仍然無(wú)法看到 A發(fā)往 B的數(shù)據(jù)段， Z必須蒙著頭按照rlogin協(xié)議標(biāo)準(zhǔn)假冒 B向 A發(fā)送類似 cat + + ~/.rhosts 這樣的命令，于是攻擊完成。然后 Z再次偽裝成 B向 A發(fā)送 ACK，此時(shí)發(fā)送的數(shù)據(jù)段帶有 Z預(yù)測(cè)的 A的 ISN+1。 )， B的 TCP層只是簡(jiǎn)單地丟棄 A的回送數(shù)據(jù)段。我也是想了又想，還沒(méi)來(lái)得及看看老外的源代碼，不妥之處有待商榷。 87 BNCC IP欺騙攻擊的描述 ? 除非 Z模仿 B發(fā)起連接請(qǐng)求時(shí)打破常規(guī)，主動(dòng)在客戶端調(diào)用 bind函數(shù)，明確完成全相關(guān)，這樣必然知道 A會(huì)向 B的某個(gè)端口回送，在 2中也針對(duì)這個(gè)端口攻擊 B。 86 BNCC IP欺騙攻擊的描述 ? 4. Z向 A發(fā)送帶有 SYN標(biāo)志的數(shù)據(jù)段請(qǐng)求連接，只是信源 IP改成了 B，注意是針對(duì) TCP513端口(rlogin)?，F(xiàn)在 Z知道了 A的 ISN基值和增加規(guī)律 (比如每秒增 加 128000，每次連接增加 64000)，也知道了從 Z到 A需要 RTT/2 的時(shí)間。首先連向 25端口(SMTP是沒(méi)有安全校驗(yàn)機(jī)制的 )，與 1中類似，不過(guò)這次需要記錄 A的 ISN，以及 Z到 A的大致的 RTT(round trip time)。 } close(newsockid)。 do(newsockid)。 /* 阻塞 */ if (newsockid 0) { error(accept error)。 } 84 BNCC IP欺騙攻擊的描述 ? for (。 } if (bind(initsockid, ...) 0) { error(bind error)。 if ((initsockid = socket(...)) 0) { error(can39。著名的 SYN flood常常是一次 IP欺騙攻擊的前奏。動(dòng)用了自以為很有成就感的技術(shù)，卻不比人家酒桌上的巧妙提問(wèn)，攻擊只以成功為終極目標(biāo)，不在乎手段。我的建議就是平時(shí)注意搜集蛛絲馬跡，厚積薄發(fā)。 81 BNCC ? B SYN A B SYN+ACK A B ACK A 82 BNCC IP欺騙攻擊的描述 ? 1. 假設(shè) Z企圖攻擊 A，而 A信任 B，所謂信任指 /etc/$HOME/.rhosts中有相關(guān)設(shè)置。 2. A回傳給 B一個(gè)帶有 SYS+ACK標(biāo)志的數(shù)據(jù)段，告之自己的 ISN，并確認(rèn) B發(fā)送來(lái)的第一個(gè)數(shù)據(jù)段，將 acknowledge number設(shè)置成 B的 ISN+1。 一般來(lái)說(shuō)，如下的服務(wù)易受到 IP欺騙攻擊： ■任何使用 Sun RPC調(diào)用的配置 ■任何利用 IP地址認(rèn)證的網(wǎng)絡(luò)服務(wù) ■ MIT的 X Window系統(tǒng) ■ R服務(wù) 80 BNCC IP欺騙的原理 ? 假設(shè) B上的客戶運(yùn)行 rlogin與 A上的 rlogind通信： 1. B發(fā)送帶有 SYN標(biāo)志的數(shù)據(jù)段通知 A需要建立 TCP連接。其實(shí)質(zhì)就是讓一臺(tái)機(jī)器來(lái)扮演另一臺(tái)機(jī)器，籍以達(dá)到蒙混過(guò)關(guān)的目的。這些網(wǎng)絡(luò)通訊都可被追蹤。因?yàn)?TFN2K的守護(hù)進(jìn)程不會(huì)對(duì)接收到的命令作任何回復(fù)， TFN2K客戶端一般會(huì)繼續(xù)向代理端主機(jī)發(fā)送命令數(shù)據(jù)包。 ◆ 監(jiān)視含有相同數(shù)據(jù)內(nèi)容的連續(xù)數(shù)據(jù)包（有可能混合了 TCP、UDP和 ICMP包）。 78 BNCC ? ◆ 檢查 ICMP_ECHOREPLY數(shù)據(jù)包的尾部是否含有連續(xù)的 0x41。 ◆ 根據(jù)前面列出的特征字符串掃描所有可執(zhí)行文件。 ◆ 對(duì)系統(tǒng)進(jìn)行補(bǔ)丁和安全配置，以防止攻擊者入侵并安裝 TFN2K。 77 BNCC ? ◆ 禁止不在允許端口列表中的所有 UDP和 TCP包。特別是對(duì)于 ICMP數(shù)據(jù)，可只允許 ICMP類 型 3（ destination unreachable目標(biāo)不可到達(dá)）數(shù)據(jù)包通過(guò)。但只使用應(yīng) 用代理服務(wù)器通常是不切合實(shí)際的，因此只能盡可能使用最少的非代理服務(wù)。 預(yù) 防 ◆ 只使用應(yīng)用代理型防火墻。)就成了捕獲TFN2K命令數(shù)據(jù)包的特征了 75 BNCC ? fork ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/ /dev/urandom /dev/random %d.%d.%d.%d sh* ksh* ** ** tfndaemon*** tfnchild*** 76 BNCC ? 目前仍沒(méi)有能有效防御 TFN2K拒絕服務(wù)攻擊的方法。這些位于數(shù)據(jù)包尾部的 0x41(39。)。可能是程序作者為了使每一個(gè)數(shù)據(jù)包的長(zhǎng)度變化而填充了 1到 16個(gè)零 (0x00)，經(jīng)過(guò) Base 64編碼后就成為多個(gè)連續(xù)的 0x41(39。 74 BNCC ? TFN2K仍然有弱點(diǎn)。因此，只是簡(jiǎn)單地檢 查進(jìn)程列表未必能找到 TFN2K守護(hù)進(jìn)程（及其子進(jìn)程）。偽造的進(jìn)程名在編譯時(shí)指定，因此每次安裝時(shí)都有可能不同。 73 BNCC ? ◆ 守護(hù)進(jìn)程為每一個(gè)攻擊產(chǎn)生子進(jìn)程。 ◆ 所有加密數(shù)據(jù)在發(fā)送前都被編碼（ Base 64）成可打印的 ASCII字符。 ◆ 所有命令都經(jīng)過(guò)了 CAST256算法（ RFC 2612）加密。 72 BNCC ? ◆ 這些命令數(shù)據(jù)包可能混雜了許多發(fā)送到隨機(jī) IP地址的偽造數(shù)據(jù)包。 ◆ 與其上一代版本 TFN不同， TFN2K的守護(hù)程序是完全沉默的，它不會(huì)對(duì)接收 到的命令有任何回應(yīng)。對(duì)目標(biāo)的攻擊方法包括 TCP/SYN、 UDP、ICMP/PING或 BROADCAST PING (SMURF)數(shù)據(jù)包 flood等。所有這些特性都使發(fā)展防御 TFN2K攻擊的策略和技術(shù)都非常困難或效率低下。整個(gè) TFN2K網(wǎng)絡(luò)可能使用不同的 TCP、 UD