网络安全 频道

彻底防范网络炸弹

所谓“网络炸弹”是一种恶意的破坏程序。随着“网络炸弹”功能越来越强大,操作界面日趋简单,它影响的范围正逐渐扩大,已经从电子邮件波及到聊天工具。“网络炸弹”能够造成的破坏包括:丢失QQ号,聊天记录被盗;邮箱被毁,信件丢失;甚至于硬盘数据被恶意删除等。下面我们就将互联网上最常见的四种“网络炸弹”及防范技巧向读者作详细的介绍。

防范IP炸弹

IP炸弹是最常见的一种,IP是Internet Protocol的缩写,电脑通过它来识别网络中的其它服务器,然后连接上网。IP炸弹在网络上攻击某一个IP地址段内的服务器,其攻击过程是不断发送大量数据包,消耗100%的系统资源,导致服务器停机或重启。

现在常见的攻击IP地址的工具对
Windows 95/NT来说,主要是利用NetBIOS网络协定的例行处理程序OOB的漏洞,将一些特定的数据封包,以OOB方式放在某个IP地址的某个开启的端口上(通常为139、137、135),使你的电脑突然死机;对Windows 98系统的攻击主要是针对Windows98系统的自身蓝屏漏洞;而对Windows 2000的攻击,是通过其本身存在很多拒绝服务的漏洞。下面就介绍几款常见的IP炸弹工具,以便加深读者认识。

IPHacker

IPHacker是款具有多种功能的网络攻击程序。在IPHacker进行攻击时,要先在TOOLS选单添加IP地址,因为攻击网络服务器都是靠IP指定位置的,所以要事先把得到的域名转换成IP然后进行攻击。添加想要转换的域名(例如www.netname.com),按下转换键就可在左上方要测试的IP地址后显示出所填写的域名的IP地址,这样比用PING www.netname.com转换域名要方便,但要注意的是转换必须在在线情况下才能实现。PING的功能是来测试目标主机是否和网络连接,也就是目标服务器是否开启,从返回历时可以看出目标主机的响应速率;主机信息功能是对目标主机进行简单的扫描以获得主机的基本配置信息;端口扫描功能可以扫描出目标IP开放的端口号,解释协议类型和端口功能描述。在要测试的IP地址添入目标主机IP,再填入起始端口和终止端口,就可以扫描出指定范围的所有端口,然后只要通过简单的操作就可以产生不小的破坏。

蜗牛炸弹

蜗牛炸弹是一种分布式攻击的工具,即使攻击结束,在网络上的攻击效应还会持续下去,直到对方死机为止。蜗牛炸弹有两大功能,一是测试某个服务器的安全性,另一个是搜索指定IP段的可用服务器。选择第一个功能,只要填入测试的IP,填好要测试的次数,选择服务器次数,就能以广播形式攻击某一台主机。第二种功能,要在搜索选项里填入起始IP和结束IP地址,才可扫描出这段IP里可用的服务器数据,然后添加IP地址进行攻击(图1)。



图1


CGSiOOBMessageGFPGen

CGSiOOBMessageGFPGen是一款专门进行OOB攻击的工具,可以对单一的地址进行攻击,也可以攻击多个主机,只要在IP/MachineName中输入主机IP地址或主机名,选择目标主机开放的端口,按“Kill”即可攻击某一主机;要攻击多个主机,点击“AddtoMulti-Kill”把要攻击的主机依次添加到“Multi-KillList”列表中,按下“Kill All Now”可以对列表中的所有主机攻击一次;循环攻击则可选择“Repeat Kill”,会弹出选择提示选择次数,选好后按确定即可实施攻击。如果安装有CGSiPortSniffer,还可以用菜单File中的OpenPortSniffer激活端口嗅探器。

UDP Flooder1.02

UDP Flooder是进行UDP攻击的利器。打开UDP Flooder后标题栏就显示出本机的IP地址。在Destination选项目的地下面的IP/hostname里添加要攻击的目标主机IP或者域名,在Port里添上目标主机的端口,在Maxduration(secs)里填入持续时间,Maxpackets里填上数据包大小,运用Speed(pkts/sec)移动滑块来设置攻击速度,在Data里可以自定义发送数据包的内容,选择Random选项,可以发送指定大小的杂乱数据包,Text选项是向目标主机发送UDP Flooder中携带的攻击数据包,From file里可以选择指定的文件内容做为攻击用的数据包,填好上面各种项目按“GO”键即可实施攻击。

防止IP炸弹的攻击

防止IP炸弹攻击的解决办法,主要是尽快更新系统,及时安装相应的补丁程序,去掉多余的网络协议。如果你是一个单机用户,那么完全可以禁止NetBIOS服务,从而堵上这个危险的“漏洞”。

Windows 9x用户

Windows 9x下,如果你通过拨号上网,就完全不需要登录到NT局域网络环境,只需要在“控制面板” “网络”中,删除“Microsoft网络用户”,使用“Microsoft友好登录”,也不要去设置“文件打印共享”就可以。

Windows NT用户

Windows NT下,可以取消NetBIOS与TCP/IP协议的绑定,方法是:“控制面板” “网络” “NetBIOS接口” “WINS客户(TCP/IP)”,选择“禁用”,确定后重启。

Windows 2000/Windows XP用户

先用鼠标右键单击“网络邻居”,选择“属性”,进入“网络和拨号连接”;再用鼠标右键单击“本地连接”,选择“属性”,进入“本地连接属性”;双击“Internet 协议(TCP/IP)”后,点击“高级”,选择“选项”条中的“TCP/IP 筛选”,在“只允许”中填入除了139之外要用到的端口。注意,如果你在局域网中,这样会影响局域网的使用。

● 自己定制防火墙规则

这种方法适合所有Windows操作系统的用户。以天网个人防火墙为例,选择一条空规则,规定如下:“数据包方向”为“接收”,“对方IP地址”为“任何”,“协议”为“TCP”,“本地端口”选“139到139”,“对方端口”为“0到0”,在“标志位”中选上“SYN标志”,“动作”选“拦截”,保存即可。

防范邮件炸弹

邮件炸弹是利用发送大量超出邮箱规定空间的文件,使目标信箱无法再处理信件,导致信箱报废的一种破坏性攻击。下面认识一些邮件炸弹工具。

EmailKiller

EmailKiller在同类邮件炸弹里相对比较麻烦。它可以在“目标信箱”选项里添加要攻击的目标信箱地址,不过每次发送的邮件长度都被限定(这要看目标信箱的容量而定),线程数还要看网速而定。在“设定信件内容”里可以编辑所发信件的标题和内容,发信时会自动填加上乱码发送出去。其它选项里则可以选择SMTP发件服务器地址,填写邮件发件人信箱地址,需要注意的是,所填写的发件服务器必需和发件人信箱使用的发件服务器是同一个地址,如果不知怎样填写,也可以取默认值。

MailBomb

MailBomb也是一个比较常见的邮件炸弹工具,它不但可以发匿名信件,还可以在要发的信件里加入附件。在使用这个工具时,首先要填入目标地址,填入一个已知的发信服务器,再填入自己的信箱地址(通常都是假的)。不过发件人信箱的服务器必需和添加的服务器一致才能顺利发送。邮件内容可以自由编辑,“ADD”选项可以加入要发送的附件,发送次数也可自定。在“more”选项中还有很多的功能选项,包括:可以设置自动回复信息地址、自动回复信件的主题、显示发送者姓名等功能。当添好以上选项后,只要在发送相关邮件时来回变换主题,按“发送”即可进行攻击(图2)。



图2


红客信使

红客信使可以实现邮件群发,是一款用于“捣乱”的邮件炸弹。在信箱黑名单里填上目标信箱的地址,按“+”号即可把要传送的地址加入列表,按“-”号即可把列表中目标信箱清除。用红客信使发送邮件,可以不用添加内容,使用默认选项,红客信使会把一些如同问候的信发到目标信箱里,红客信使发出的信如果被打开,就会占用目标系统源直至死机。

防止邮件炸弹攻击的方法

首先,不要公开自己重要的信箱地址;其次,使用邮件过滤程序来拒绝一些破坏过你信箱的发信地址。只要遵循以上两种方法,即可防止邮件炸弹攻击。


防范硬盘炸弹

硬盘炸弹专门破坏硬盘数据给对方造成损失,还可使目标硬盘不能启动。

江民炸弹

这是一个极危险的硬盘炸弹,运行后它会把硬盘磁头锁死在引导区的某个位置上,造成软硬盘假物理损伤,致使DOS3.3以上的各种系统无法正常启动。

大家知道,计算机在引导DOS系统时将会搜索所有逻辑盘的顺序,当DOS被引导时,首先要去找主引导扇区的分区表信息——位于硬盘的零头零柱面第一个扇区的OBEH地址开始的地方——当分区信息开始的地方为80H时表示是主引导分区,其他的为扩展分区,主引导分区被定义为逻辑盘C盘,扩展分区的逻辑盘被定义为D盘,以此类推找到E,F,G……江民炸弹就是在此下手,修改了正常的主引导分区记录,将扩展分区的第一个逻辑盘指向自己,DOS在启动时查找到第一个逻辑盘后,查找下个逻辑盘总是找到自己,这样一来就形成了死循环,这就是使用软驱,光驱,双硬盘都不能正常启动的原因。实际上江民炸弹只是利用了DOS在启动时的一个小小缺陷,便令不少人都束手无策。知道了江民炸弹的“上锁”原理,要解锁也就比较容易了。曾经有读者采用“热插拔”硬盘电源的方法来处理:就是当系统启动时,先不给被锁的硬盘插上电源线,等待启动完成后再给硬盘“热插”上电源线,这时如果硬盘没有烧坏的话,系统就可以控制硬盘了,这是一种非常危险的方法,大家不要轻易尝试。下面介绍一种比较简单和安全的处理方法。

下载江民炸弹提供的恢复程序解锁是个简单易行的办法,该软件解压缩后有4个文件:说明文件readme.exe、制作解锁盘用的文件rescue.com,还有两个文件则是江民炸弹,它们的名字分别为Jmbs.arj、JMBOS. zip,其实都是一个文件压缩而成,只不过扩展名不同而已。解压后会看到jmbs.exe文件,大小为1809字节,这就是江民炸弹,如果你不小心运行了它,机器的硬盘将会被死锁住,无论用软驱还是光驱,都不能启动计算机,硬盘和报废了没什么区别。解决办法是,把rescue.exe拷贝到一张空白软盘上,插入软驱后运行。显示“OK”的提示信息后,你就有了一张江民炸弹的解锁盘,你会发现里面一个文件也没有,不要惊讶,就是这样的。用这张恢复盘启动机器,如果出现unlock的字样,那就成功地解锁了。

HDBreaker(硬盘终结者)

这是一款极其恶劣的硬盘炸弹程序。它是Win32PE程序,因为用了VxD技术,所以能在Windows环境中直接写硬盘扇区,而无需像其它同类软件一样要等待重启时进行破坏。这个软件可以直接运行于Windows环境中,运行后立即进行破坏,不显示任何界面。它会从硬盘第一物理扇区(0柱0面1扇区)开始,向其中写入内存垃圾数据,是与CIH发作效果相同的危险工具,请勿轻易实验。硬盘终结者对硬盘数据破坏之后,只有江民公司的KVW3000杀毒王和金山毒霸2002能成功修复部分数据,其它杀毒软件都无法恢复被硬盘终结者破坏后的硬盘数据。所有的杀毒软件创建的恢复盘都无法恢复C盘数据。另外,硬盘终结者只能运行于Windows 95/98/Me下,所以对Windows 2000和Windows XP用户没有任何威胁。

0
相关文章