打印本文 打印本文  关闭窗口 关闭窗口  
攻防秘技:彻底防范网络炸弹
作者:陈鹏  文章来源:eNet  点击数  更新时间:2009/9/11 19:28:09  文章录入:陈鹏  责任编辑:陈鹏

所谓“网络炸弹”是一种恶意的破坏程序。随着“网络炸弹”功能越来越强大,操作界面日趋简单,它影响的范围正逐渐扩大,已经从电子邮件波及到聊天工具。“网络炸弹”能够造成的破坏包括:丢失QQ号,聊天记录被盗;邮箱被毁,信件丢失;甚至于硬盘数据被恶意删除等。下面我们就将互联网上最常见的四种“网络炸弹”及防范技巧向读者作详细的介绍。

防范IP炸弹

IP炸弹是最常见的一种,IP是Internet Protocol的缩写,电脑通过它来识别网络中的其它服务器,然后连接上网。IP炸弹在网络上攻击某一个IP地址段内的服务器,其攻击过程是不断发送大量数据包,消耗100%的系统资源,导致服务器停机或重启。

现在常见的攻击IP地址的工具对Windows 95/NT来说,主要是利用NetBIOS网络协定的例行处理程序OOB的漏洞,将一些特定的数据封包,以OOB方式放在某个IP地址的某个开启的端口上(通常为139、137、135),使你的电脑突然死机;对Windows 98系统的攻击主要是针对Windows98系统的自身蓝屏漏洞;而对Windows 2000的攻击,是通过其本身存在很多拒绝服务的漏洞。下面就介绍几款常见的IP炸弹工具,以便加深读者认识。

IPHacker

IPHacker是款具有多种功能的网络攻击程序。在IPHacker进行攻击时,要先在TOOLS选单添加IP地址,因为攻击网络服务器都是靠IP指定位置的,所以要事先把得到的域名转换成IP然后进行攻击。添加想要转换的域名(例如www.netname.com),按下转换键就可在左上方要测试的IP地址后显示出所填写的域名的IP地址,这样比用PING www.netname.com转换域名要方便,但要注意的是转换必须在在线情况下才能实现。PING的功能是来测试目标主机是否和网络连接,也就是目标服务器是否开启,从返回历时可以看出目标主机的响应速率;主机信息功能是对目标主机进行简单的扫描以获得主机的基本配置信息;端口扫描功能可以扫描出目标IP开放的端口号,解释协议类型和端口功能描述。在要测试的IP地址添入目标主机IP,再填入起始端口和终止端口,就可以扫描出指定范围的所有端口,然后只要通过简单的操作就可以产生不小的破坏。

蜗牛炸弹

蜗牛炸弹是一种分布式攻击的工具,即使攻击结束,在网络上的攻击效应还会持续下去,直到对方死机为止。蜗牛炸弹有两大功能,一是测试某个服务器的安全性,另一个是搜索指定IP段的可用服务器。选择第一个功能,只要填入测试的IP,填好要测试的次数,选择服务器次数,就能以广播形式攻击某一台主机。第二种功能,要在搜索选项里填入起始IP和结束IP地址,才可扫描出这段IP里可用的服务器数据,然后添加IP地址进行攻击(图1)。



图1


CGSiOOBMessageGFPGen

CGSiOOBMessageGFPGen是一款专门进行OOB攻击的工具,可以对单一的地址进行攻击,也可以攻击多个主机,只要在IP/MachineName中输入主机IP地址或主机名,选择目标主机开放的端口,按“Kill”即可攻击某一主机;要攻击多个主机,点击“AddtoMulti-Kill”把要攻击的主机依次添加到“Multi-KillList”列表中,按下“Kill All Now”可以对列表中的所有主机攻击一次;循环攻击则可选择“Repeat Kill”,会弹出选择提示选择次数,选好后按确定即可实施攻击。如果安装有CGSiPortSniffer,还可以用菜单File中的OpenPortSniffer激活端口嗅探器。

UDP Flooder1.02

UDP Flooder是进行UDP攻击的利器。打开UDP Flooder后标题栏就显示出本机的IP地址。在Destination选项目的地下面的IP/hostname里添加要攻击的目标主机IP或者域名,在Port里添上目标主机的端口,在Maxduration(secs)里填入持续时间,Maxpackets里填上数据包大小,运用Speed(pkts/sec)移动滑块来设置攻击速度,在Data里可以自定义发送数据包的内容,选择Random选项,可以发送指定大小的杂乱数据包,Text选项是向目标主机发送UDP Flooder中携带的攻击数据包,From file里可以选择指定的文件内容做为攻击用的数据包,填好上面各种项目按“GO”键即可实施攻击。

防止IP炸弹的攻击

防止IP炸弹攻击的解决办法,主要是尽快更新系统,及时安装相应的补丁程序,去掉多余的网络协议。如果你是一个单机用户,那么完全可以禁止NetBIOS服务,从而堵上这个危险的“漏洞”。

● Windows 9x用户

在Windows 9x下,如果你通过拨号上网,就完全不需要登录到NT局域网络环境,只需要在“控制面板” “网络”中,删除“Microsoft网络用户”,使用“Microsoft友好登录”,也不要去设置“文件打印共享”就可以。

● Windows NT用户

在Windows NT下,可以取消NetBIOS与TCP/IP协议的绑定,方法是:“控制面板” “网络” “NetBIOS接口” “WINS客户(TCP/IP)”,选择“禁用”,确定后重启。

● Windows 2000/Windows XP用户

先用鼠标右键单击“网络邻居”,选择“属性”,进入“网络和拨号连接”;再用鼠标右键单击“本地连接”,选择“属性”,进入“本地连接属性”;双击“Internet 协议(TCP/IP)”后,点击“高级”,选择“选项”条中的“TCP/IP 筛选”,在“只允许”中填入除了139之外要用到的端口。注意,如果你在局域网中,这样会影响局域网的使用。

● 自己定制防火墙规则

这种方法适合所有Windows操作系统的用户。以天网个人防火墙为例,选择一条空规则,规定如下:“数据包方向”为“接收”,“对方IP地址”为“任何”,“协议”为“TCP”,“本地端口”选“139到139”,“对方端口”为“0到0”,在“标志位”中选上“SYN标志”,“动作”选“拦截”,保存即可。

防范邮件炸弹

邮件炸弹是利用发送大量超出邮箱规定空间的文件,使目标信箱无法再处理信件,导致信箱报废的一种破坏性攻击。下面认识一些邮件炸弹工具。

EmailKiller

EmailKiller在同类邮件炸弹里相对比较麻烦。它可以在“目标信箱”选项里添加要攻击的目标信箱地址,不过每次发送的邮件长度都被限定(这要看目标信箱的容量而定),线程数还要看网速而定。在“设定信件内容”里可以编辑所发信件的标题和内容,发信时会自动填加上乱码发送出去。其它选项里则可以选择SMTP发件服务器地址,填写邮件发件人信箱地址,需要注意的是,所填写的发件服务器必需和发件人信箱使用的发件服务器是同一个地址,如果不知怎样填写,也可以取默认值。

MailBomb

MailBomb也是一个比较常见的邮件炸弹工具,它不但可以发匿名信件,还可以在要发的信件里加入附件。在使用这个工具时,首先要填入目标地址,填入一个已知的发信服务器,再填入自己的信箱地址(通常都是假的)。不过发件人信箱的服务器必需和添加的服务器一致才能顺利发送。邮件内容可以自由编辑,“ADD”选项可以加入要发送的附件,发送次数也可自定。在“more”选项中还有很多的功能选项,包括:可以设置自动回复信息地址、自动回复信件的主题、显示发送者姓名等功能。当添好以上选项后,只要在发送相关邮件时来回变换主题,按“发送”即可进行攻击(图2)。



图2


红客信使

红客信使可以实现邮件群发,是一款用于“捣乱”的邮件炸弹。在信箱黑名单里填上目标信箱的地址,按“+”号即可把要传送的地址加入列表,按“-”号即可把列表中目标信箱清除。用红客信使发送邮件,可以不用添加内容,使用默认选项,红客信使会把一些如同问候的信发到目标信箱里,红客信使发出的信如果被打开,就会占用目标系统源直至死机。

防止邮件炸弹攻击的方法

首先,不要公开自己重要的信箱地址;其次,使用邮件过滤程序来拒绝一些破坏过你信箱的发信地址。只要遵循以上两种方法,即可防止邮件炸弹攻击。

防范硬盘炸弹

硬盘炸弹专门破坏硬盘数据给对方造成损失,还可使目标硬盘不能启动。

江民炸弹

这是一个极危险的硬盘炸弹,运行后它会把硬盘磁头锁死在引导区的某个位置上,造成软硬盘假物理损伤,致使DOS3.3以上的各种系统无法正常启动。

大家知道,计算机在引导DOS系统时将会搜索所有逻辑盘的顺序,当DOS被引导时,首先要去找主引导扇区的分区表信息——位于硬盘的零头零柱面第一个扇区的OBEH地址开始的地方——当分区信息开始的地方为80H时表示是主引导分区,其他的为扩展分区,主引导分区被定义为逻辑盘C盘,扩展分区的逻辑盘被定义为D盘,以此类推找到E,F,G……江民炸弹就是在此下手,修改了正常的主引导分区记录,将扩展分区的第一个逻辑盘指向自己,DOS在启动时查找到第一个逻辑盘后,查找下个逻辑盘总是找到自己,这样一来就形成了死循环,这就是使用软驱,光驱,双硬盘都不能正常启动的原因。实际上江民炸弹只是利用了DOS在启动时的一个小小缺陷,便令不少人都束手无策。知道了江民炸弹的“上锁”原理,要解锁也就比较容易了。曾经有读者采用“热插拔”硬盘电源的方法来处理:就是当系统启动时,先不给被锁的硬盘插上电源线,等待启动完成后再给硬盘“热插”上电源线,这时如果硬盘没有烧坏的话,系统就可以控制硬盘了,这是一种非常危险的方法,大家不要轻易尝试。下面介绍一种比较简单和安全的处理方法。

下载江民炸弹提供的恢复程序解锁是个简单易行的办法,该软件解压缩后有4个文件:说明文件readme.exe、制作解锁盘用的文件rescue.com,还有两个文件则是江民炸弹,它们的名字分别为Jmbs.arj、JMBOS. zip,其实都是一个文件压缩而成,只不过扩展名不同而已。解压后会看到jmbs.exe文件,大小为1809字节,这就是江民炸弹,如果你不小心运行了它,机器的硬盘将会被死锁住,无论用软驱还是光驱,都不能启动计算机,硬盘和报废了没什么区别。解决办法是,把rescue.exe拷贝到一张空白软盘上,插入软驱后运行。显示“OK”的提示信息后,你就有了一张江民炸弹的解锁盘,你会发现里面一个文件也没有,不要惊讶,就是这样的。用这张恢复盘启动机器,如果出现unlock的字样,那就成功地解锁了。

HDBreaker(硬盘终结者)

这是一款极其恶劣的硬盘炸弹程序。它是Win32PE程序,因为用了VxD技术,所以能在Windows环境中直接写硬盘扇区,而无需像其它同类软件一样要等待重启时进行破坏。这个软件可以直接运行于Windows环境中,运行后立即进行破坏,不显示任何界面。它会从硬盘第一物理扇区(0柱0面1扇区)开始,向其中写入内存垃圾数据,是与CIH发作效果相同的危险工具,请勿轻易实验。硬盘终结者对硬盘数据破坏之后,只有江民公司的KVW3000杀毒王和金山毒霸2002能成功修复部分数据,其它杀毒软件都无法恢复被硬盘终结者破坏后的硬盘数据。所有的杀毒软件创建的恢复盘都无法恢复C盘数据。另外,硬盘终结者只能运行于Windows 95/98/Me下,所以对Windows 2000和Windows XP用户没有任何威胁。

Carem3




图3


Carem3是网络休闲庄(一个黑客网站)技术顾问Carem的作品,这是一个非常狠毒的恶意攻击软件,运行后如果不知道正确的破解方法,必须重装系统。解压后的Carem3只有一个文件Carem3.exe(图3),一定不要轻易运行使用这个图标的软件;此外由于这个炸弹的,文件名通常都会被更改,所以记住它的文件大小也是个不错的识别方法,Carem3.exe文件大小为321536字节。如果不小心运行了Carem3,会出现如图所示画面(图4),此时鼠标被控制在一定范围内,无法点击屏幕上的按钮,按动回车键就会弹出个窗口警告你不要随意运行可执行程序,提示这只是个教训之类的警告信息,然后会自动重新启动电脑,但你再也无法进入Windows桌面了。如果没有按动任何键,Carem3也会自动倒计时,从20秒到0就重新启动电脑,使系统崩溃。



图4


该程序的基本原理是破坏C:\windows\system\下的vmm32.vxd文件。vmm32.vxd是虚拟设备驱动程序,由于它被破坏了,导致计算机不能进入Windows系统。

该恶意软件的作者提供的破解方法是:在开机的时候按F8选择Command prompt only方式进入DOS界面,之后在提示符后执行repair即可。另外你如果事先备份了vmm32.vxd文件,就可以使用另外一个破解方法:用启动盘从软驱启动计算机,将备份的vmm32.vxd复制到c:\windows\system\里,重新启动计算机就可以了,如果没有备份,可以到其他计算机上复制。

硬盘炸弹的防范方法

首先,不要随便运行自己不了解的程序;其次,做好系统恢复盘;第三,定期备份重要数据;第四,准备好最新的杀毒软件,许多杀毒软件已经将上面的几款炸弹定义为病毒,可以查杀它们;第五,把危险的命令改个名字,如将format.com改为format.old等。

防范QQ炸弹

QQ拥有众多用户,是一款常用的即时通讯工具,而QQ炸弹则给这些用户带来了不少麻烦。

QQBomb

这是红盟做出的攻击QQ“拒绝服务”的炸弹,只要填入目标的IP和端口号,点击“发送”即可把对方的QQ关掉,或使其出现非法操作而关闭。

FuckTencen

FuckTencen可以对一个IP地址进行连续攻击,需要加入要攻击的IP地址,端口可以添加起始端口到截止端口,这样即使不知对方具体端口号也可以进行攻击,在主界面下有设置速度的快慢滑块,主要是调整选择了循环攻击时的连续攻击速度。

Q死一大片

该工具可以对多个IP地址多端口进行攻击,只要填入开始IP和结束IP段,再选择开始端口和结束端口段,便可对选择区内的所有IP和端口进行攻击。除此之外,该工具还可以查看自己IP地址,另外两个选项是轰炸完成后恢复开始IP。

飘叶OICQ千夫指

飘叶OICQ千夫指属于QQ消息炸弹,通过给你的QQ发送大量的垃圾信息,迫使你下线。目前,飘叶千夫指出了第四代(图5),可攻击多种版本的QQ,使得被攻击方QQ不得不关闭,或者出现非法操作。只要你升级到最新版本的QQ,那么飘叶千夫指这项功能就没有用了。另外,你也可以采用下线再上线的方法,但这样也很麻烦,而且不能从根本上解决问题。



图5


我们可以采用一个简便的方法对付它,具体做法是:运行QQ,用鼠标右键点击任务栏中的QQ图标,在弹出的菜单中选择“个人设置”(图6),弹出“QQ2004设置”对话框,在该对话框中点击“个人资料”标签,在“用户呢称”前加上“275297”(注意输入时没有引号);接下来在该对话框中点击“联系方式”标签,然后在“电子邮件”栏中把你的E-mail改成作者飘叶的QQ号码“275297”就可以了(图7)。这样只要有人用飘叶OICQ千夫指向你发消息,对方的计算机就会重新启动,那些垃圾信息也就被拒之门外了。




图6


这个方法的原理就是作者飘叶在该软件中留下了后门——通过在程序中做的处理,屏蔽了对QQ号码“275297”的攻击,一旦该号码遭到飘叶千夫指的攻击,就会调动程序中相关代码,重新启动攻击者的电脑。




图7


QQ炸弹的防范方法

首先,隐藏自己的真实IP,可以用隐身方式,还可以使用代理服务器;其次,安装最新版的QQ软件;第三,在QQ参数里选择“直接通过服务器中转”选项。

目前,各种攻击工具层出不穷,手段多种多样,但大多是针对单一的漏洞进行攻击,所以防范起来并不太难。只要大家小心谨慎而且及时安装系统补丁程序,安装最新的防火墙,受攻击的机会将大大减小。
打印本文 打印本文  关闭窗口 关闭窗口