统进程和网络带宽达相当长的时间。攻击引起数据包风暴就象smurf和fraggle攻击 并且还象snork攻击。
严重性:攻击能摧毁目标系统或消耗其的CPU资源使之不能进行其它活动。
误判断: 无。这个信号经常预示着恶意的企图。
受影响系统:Windows NT 4.0
采取措施: 这个问题已在Windows NT 4.0 Service Pack 4(SP4)中得到修补,同时还进行了其它几个问题的修补。如果用户不想安装SP4可以得到和使用Snk-fix post-SP3热修补。
? Ping Flooding
Ping Flooding
类型: 拒绝服务攻击
控制台名:PingFlood
技术描述:PingFlood是一种企图向网络上发大量的ICMP Echo的请求包,要求被请求主机回应,连续的请求和回应将堵塞网络,使正常的业务通讯变得异常缓慢,甚至中断连接。
严重性:这种攻击可以有效的利用大量的PING充满网络带宽,禁止正常的网络连接。
误判断:一些系统管理工具(如SNMP工具和ISS网络扫描软件)使用ICMP再网络上查找地址时可能会引起这种警告。
受影响系统:所有的TCP/IP系统。
采取措施:发出PING请求的源地址有可能是虚假的地址,所以必须找出它的真实地址,并禁止它。(ISS建议可通过移动实时监控引擎的网段,一级一级地查找源地址。)
修补方法:最好的解决方法是重新设置周边路由器和防火墙,禁止ICMP请求进入内网段。(但这不能防止内部的攻击。)
? Ping Of Death
Ping Of Death
类型:拒绝服务攻击
控制台名:PingOfDeath
技术描述:通过在ICMP Echo请求包(ping)中附加大量的信息,攻击者可使试图回应的目标主机的内核内存溢出,使系统瘫痪。
严重性:这种攻击可使主机瘫痪。
误判断:有些情况下,如使用包含大量数据(大于4000字符)的ping包测试系统强度,会触发这种事件。如果有人向一台对此种攻击免疫的主机发出Ping Of Death攻击后,主机也将回应Ping Of Death攻击,两者都将触发事件,但前者说明是一种恶意攻击企图。备注:Ping Of Death检测不仅仅针对ICMP协议,它是基于IP协议的检测。
受影响系统:Digital Unix 4.0a以下版本,digital Ulpix 4.5以下版本,FreeBSD 2.15以下版本,HPUX 10.20以下版本,AIX 4.2以下版本,Linux 2.0.17以下版本,OSF/1 R1.3.2以下版本,SCO Unix 系统 V/386 Release 3.2 Version 4.2以下版本,Solaris 2.5.1以下版本。联系您的软件提供商以获取更多的信息。
采取措施:设置通向Internet的路由器和防火墙,禁止从Internet传入ICMP echo请求。
修补方法:升级操作系统。
? Rwhod Vulnerability Check
Rwhod Vulnerability Check
类型:拒绝服务攻击
控制台名:Rwhod_Overflow
技术描述:该检测侦察包含缓冲溢出的非法UDP包,该手段常被黑客用来执行对rwho服务的拒绝服务,并试图在远程机执行arbipary code。
严重性:击垮目标系统上rwho daemon。管理员无法发现正在登录目标服务器的攻击者。
误判断:无。
受影响系统:所有UNIX系统。
采取措施:重新启动rwho进程,或选择放弃。Rwho并不是关键性的服务,许多管理员不启用它。
修补方法:Disable rwho服务。
? SMURF Denial Of Service Attacks
SMURF Denial Of Service Attacks拒绝服务攻击
类型:拒绝服务攻击
控制台名:smurf
技术描述:当子网上的每个主机响应同一个ping的请求时,每个ICMP(ping)请求打包的IP广播地址能造成大量的回应,这些大量的回应能消耗掉所有网络带宽,特别当数据添加到ping请求时。在攻击期间这能阻止合法通信的传送。这种攻击较多的被用于防御第三方,在攻击者伪装目标源地址的地方使用smurf攻击抵御不同的目标。在端点上,这种攻击能使两目标同时中断能力,注意:运行Windows NT和 Windows 95系统对广播ping无响应,然而,这并不意味着所有微软网络对SMURF攻击是无防御能力。
影响:在攻击期间合法的通信将停止传送。
误判断:大量合法的ping包在同一时间里也能触发这一信号,如当管理员发送ping命令给子网广播地址(指有时操纵APR绶冲器或检测某台主机)。当额外数据添加到ping请求时,都将是可疑行径和恶意企图。
受影响系统:大部分TCP/IP实现。卖主可提供更详细信息。
处理:网络管理员可查看是否有人传送广播ping,检测传送包是否有额外数据被添加到ping请求。(你需要通过记录下原始数据日志来决定)
补救措施:重新配置网络上周围的路由或防火墙可阻止ICMP请求进入你的内部网络,防止有人在你的网络上使用SMURF攻击另一个目标。而且重新配置还可阻止ICMP应答入侵你的网络,防止SMURF攻击你内部网络上的主机。然而,内部SMURF攻击将不会停止。
? SNMP Delete WINS Database 攻击
SNMP Delete WINS Database 攻击
SNMP删除WINS数据库攻击
类型:拒绝服务攻击。
控制台:SNMP_Delete_WINS
技术描述:通过一个文件化MIB变量,一个SNMP SET命令可远程删除Windows NT服务器上的WINS(Windows Internet Naming Service)数据库的所有内容。
影响:此攻击能清除掉WINS数据库,造成在网上通过名字来相互定位的困难。这可能是扮演攻击的前奏。由于SNMP较差的安全性,任何人都可发出这种攻击的通信指令。
误判断:无
受影响系统:Windows NT服务器上运行WINS服务及SNMP协议。
处理:检测WINS服务是否能在目标机器上正常运行。
补救措施:停止在目标服务器上SNMP服务,改用其它方法管理WINS。
? SYN Flood
SYN Flood(同步)溢出
类型:拒绝服务攻击
控制台名:SYN(同步)溢出
技术描述:一个TCP的会话是通过以下方式来建立的,源主机首先向目标主机发送一个SYN(同步)数据包,如果目标主机在一特定的端口(PORT)等待连接时,它会返回对应于同步数据包的响应数据包(SYN/ACK),源主机接收后再返回确认的响应数据包(ACK),这样会话连接建立。当目标主机向源主机返回响应数据包(SYN/ACK)时,目标主机会分配一定的内存以存储当前建立的会话连接的状态信息。这部分内存会一直占用着以等待接收源主机发送来的更多信息,除非最终的响应数据包(ACK)到达或连接超时。当向一台主机传送大量的SYN(同步)数据包时,目标主机必定会使用很多的内存专门用来处理打开的连接,而其它的合法连接就无法与这台主机建立了。如果主机检测到有大量的无相应响应的SYN(同步)数据包存在,它会采取如下纠错方式:主机首先向目标主机发送一重置(RST)数据包以初始化SYN(同步)数据包,随后目标主机就可以释放原本用来接收响应数据包的内存,腾出内存空间以接收其它合法的连接。
严重性:大多数系统会对激活的TCP连接有一预定义
严重性:攻击能摧毁目标系统或消耗其的CPU资源使之不能进行其它活动。
误判断: 无。这个信号经常预示着恶意的企图。
受影响系统:Windows NT 4.0
采取措施: 这个问题已在Windows NT 4.0 Service Pack 4(SP4)中得到修补,同时还进行了其它几个问题的修补。如果用户不想安装SP4可以得到和使用Snk-fix post-SP3热修补。
? Ping Flooding
Ping Flooding
类型: 拒绝服务攻击
控制台名:PingFlood
技术描述:PingFlood是一种企图向网络上发大量的ICMP Echo的请求包,要求被请求主机回应,连续的请求和回应将堵塞网络,使正常的业务通讯变得异常缓慢,甚至中断连接。
严重性:这种攻击可以有效的利用大量的PING充满网络带宽,禁止正常的网络连接。
误判断:一些系统管理工具(如SNMP工具和ISS网络扫描软件)使用ICMP再网络上查找地址时可能会引起这种警告。
受影响系统:所有的TCP/IP系统。
采取措施:发出PING请求的源地址有可能是虚假的地址,所以必须找出它的真实地址,并禁止它。(ISS建议可通过移动实时监控引擎的网段,一级一级地查找源地址。)
修补方法:最好的解决方法是重新设置周边路由器和防火墙,禁止ICMP请求进入内网段。(但这不能防止内部的攻击。)
? Ping Of Death
Ping Of Death
类型:拒绝服务攻击
控制台名:PingOfDeath
技术描述:通过在ICMP Echo请求包(ping)中附加大量的信息,攻击者可使试图回应的目标主机的内核内存溢出,使系统瘫痪。
严重性:这种攻击可使主机瘫痪。
误判断:有些情况下,如使用包含大量数据(大于4000字符)的ping包测试系统强度,会触发这种事件。如果有人向一台对此种攻击免疫的主机发出Ping Of Death攻击后,主机也将回应Ping Of Death攻击,两者都将触发事件,但前者说明是一种恶意攻击企图。备注:Ping Of Death检测不仅仅针对ICMP协议,它是基于IP协议的检测。
受影响系统:Digital Unix 4.0a以下版本,digital Ulpix 4.5以下版本,FreeBSD 2.15以下版本,HPUX 10.20以下版本,AIX 4.2以下版本,Linux 2.0.17以下版本,OSF/1 R1.3.2以下版本,SCO Unix 系统 V/386 Release 3.2 Version 4.2以下版本,Solaris 2.5.1以下版本。联系您的软件提供商以获取更多的信息。
采取措施:设置通向Internet的路由器和防火墙,禁止从Internet传入ICMP echo请求。
修补方法:升级操作系统。
? Rwhod Vulnerability Check
Rwhod Vulnerability Check
类型:拒绝服务攻击
控制台名:Rwhod_Overflow
技术描述:该检测侦察包含缓冲溢出的非法UDP包,该手段常被黑客用来执行对rwho服务的拒绝服务,并试图在远程机执行arbipary code。
严重性:击垮目标系统上rwho daemon。管理员无法发现正在登录目标服务器的攻击者。
误判断:无。
受影响系统:所有UNIX系统。
采取措施:重新启动rwho进程,或选择放弃。Rwho并不是关键性的服务,许多管理员不启用它。
修补方法:Disable rwho服务。
? SMURF Denial Of Service Attacks
SMURF Denial Of Service Attacks拒绝服务攻击
类型:拒绝服务攻击
控制台名:smurf
技术描述:当子网上的每个主机响应同一个ping的请求时,每个ICMP(ping)请求打包的IP广播地址能造成大量的回应,这些大量的回应能消耗掉所有网络带宽,特别当数据添加到ping请求时。在攻击期间这能阻止合法通信的传送。这种攻击较多的被用于防御第三方,在攻击者伪装目标源地址的地方使用smurf攻击抵御不同的目标。在端点上,这种攻击能使两目标同时中断能力,注意:运行Windows NT和 Windows 95系统对广播ping无响应,然而,这并不意味着所有微软网络对SMURF攻击是无防御能力。
影响:在攻击期间合法的通信将停止传送。
误判断:大量合法的ping包在同一时间里也能触发这一信号,如当管理员发送ping命令给子网广播地址(指有时操纵APR绶冲器或检测某台主机)。当额外数据添加到ping请求时,都将是可疑行径和恶意企图。
受影响系统:大部分TCP/IP实现。卖主可提供更详细信息。
处理:网络管理员可查看是否有人传送广播ping,检测传送包是否有额外数据被添加到ping请求。(你需要通过记录下原始数据日志来决定)
补救措施:重新配置网络上周围的路由或防火墙可阻止ICMP请求进入你的内部网络,防止有人在你的网络上使用SMURF攻击另一个目标。而且重新配置还可阻止ICMP应答入侵你的网络,防止SMURF攻击你内部网络上的主机。然而,内部SMURF攻击将不会停止。
? SNMP Delete WINS Database 攻击
SNMP Delete WINS Database 攻击
SNMP删除WINS数据库攻击
类型:拒绝服务攻击。
控制台:SNMP_Delete_WINS
技术描述:通过一个文件化MIB变量,一个SNMP SET命令可远程删除Windows NT服务器上的WINS(Windows Internet Naming Service)数据库的所有内容。
影响:此攻击能清除掉WINS数据库,造成在网上通过名字来相互定位的困难。这可能是扮演攻击的前奏。由于SNMP较差的安全性,任何人都可发出这种攻击的通信指令。
误判断:无
受影响系统:Windows NT服务器上运行WINS服务及SNMP协议。
处理:检测WINS服务是否能在目标机器上正常运行。
补救措施:停止在目标服务器上SNMP服务,改用其它方法管理WINS。
? SYN Flood
SYN Flood(同步)溢出
类型:拒绝服务攻击
控制台名:SYN(同步)溢出
技术描述:一个TCP的会话是通过以下方式来建立的,源主机首先向目标主机发送一个SYN(同步)数据包,如果目标主机在一特定的端口(PORT)等待连接时,它会返回对应于同步数据包的响应数据包(SYN/ACK),源主机接收后再返回确认的响应数据包(ACK),这样会话连接建立。当目标主机向源主机返回响应数据包(SYN/ACK)时,目标主机会分配一定的内存以存储当前建立的会话连接的状态信息。这部分内存会一直占用着以等待接收源主机发送来的更多信息,除非最终的响应数据包(ACK)到达或连接超时。当向一台主机传送大量的SYN(同步)数据包时,目标主机必定会使用很多的内存专门用来处理打开的连接,而其它的合法连接就无法与这台主机建立了。如果主机检测到有大量的无相应响应的SYN(同步)数据包存在,它会采取如下纠错方式:主机首先向目标主机发送一重置(RST)数据包以初始化SYN(同步)数据包,随后目标主机就可以释放原本用来接收响应数据包的内存,腾出内存空间以接收其它合法的连接。
严重性:大多数系统会对激活的TCP连接有一预定义
