荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: ainny (为你等待), 信区: Hacker
标 题: 回复好友luther(关于igmp)
发信站: BBS 荔园晨风站 (Sun Apr 2 18:12:14 2000), 转信
发信人: tanking (tanking), 信区: Security
标 题: 回复好友luther(关于igmp)
发信站: 武汉白云黄鹤站 (Fri Mar 31 19:26:48 2000), 站内信件
luther:以下资料供你参考
IGMP据说可以攻击98,我在NT局域网试验过(感谢问问朋友提供IGMPNUKE),的确可以
使98的机器蓝屏死机;在INTERNET上需要大家自己去试验啦。其工作原理引用goodwell
的原句如下:Windows 95, 98 and Windows 2000's TCP/IP stacks were not built t
o tolerate malformed IGMP (Internet Group Management Protocol) headers. When
one is received, the stack will fail with unpredictable results ranging fro
m a Blue Screen to instantaneous reboot
下面是袁哥(嘿嘿,这个名字倒是起得古怪,谁都得叫他哥:()在安全论坛发表的有关
意见,我整理一下贴给大家,不过争议确实颇多,希望有朋友们多提宝贵意见。
WIN95,WIN98的NMPI协议有个BUG,可以炸死机(炸后毫无反映,鼠标键盘都不管用)。
因为此协议是IPX/SPX协议里面的,所以只能炸内部网的,如果有IPX路由可能可以炸得
远点。如果没有安装IPX/SPX协议或者没有IPX/SPX协议绑定MICROSOFT客户可能不能炸。
此BUG与原来的一些BUG很不一样,不是包中哪个字段非法,造成非法访问或者溢出破坏
系统,是因为此协议的回复包与此协议包没多少区别造成(没有字段指明是这种包还是
回复包,其他的协议一般都有字段指明),此死机包关键就是伪造机器名和网卡地址MA
C2,造成受攻击机器收到包后的回复包又是受攻击机器本身,而回复包因为包没有字段
表明是回复包,所以查到机器名是自己(此协议就是以机器名识别是不是该接收)又回
复包,所以就造成发包的死循环,而这处理是在VXD中就是系统内核中,所以不能切换任
务处理键盘鼠标等,也就是死机毫无反应了。
务处理键盘鼠标等,也就是死机毫无反应了。
下面是此协议的正常包的数据,有NETXRAY的可以截获这样的包或者输入查看每个字段的
含义。你只要把MAC2(网卡号)和机器名(注意机器名可能应该都是大写,还有都有两
个地方)改成要攻击的机器的,然后简单的发包一次就够了(不像很多攻击是大量的包
或者错误包) 。有NETXRY的可以很简单的一试,有空闲时间有兴趣的可以做好方便的N
UKE程序(可以取名网络恶邻居?),记得也妹儿yuange@163.net一份。
我还有别的支持IP的方法,欢迎大家交流。我的可是我自己的方法哦!
FF FF FF FF FF FF 00 10 4B 13 CB 06 00 65 E0 E0
| MAC1 | MAC2 | LONG |LLC|
03 FF FF 00 62 00 14 00 00 00 00 FF FF FF FF FF
| MAC1
FF 05 51 00 00 00 00 00 10 4B 13 CB 06 05 50 00
| SOCK| |MAC2 | SOCK|
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 F1
01 00 00 CE BA C0 F6 D3 A2 20 20 20 20 20 20 20
| COMPUTER NAME
20 20 20 CE BA C0 F6 D3 A2 20 20 20 20 20 20 20
| COMPUTER NAME
20 20 20
|
看大家又开始玩IGMP NUKE了,那就给一个简单的预防方法吧。你用DEBUG或者可以编辑
16进制的软件,打开文件VIP。386,找16进制代码 6A 02 E8 找到把 02 改成F2就可以
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 F1
。
原理是那儿代码是安装IGMP协议的(那02就是IP协议里面的IGMP,01是ICMP,06是TCP,
11是UDP),改成F2就是协议类型安装成了F2,那样02就不是解释成IGMP协议了,其实这
样大致就是把IGMP协议关了,因为单机根本就可以不要IGMP协议的,所以没什么影响。
还有那ICMP预防攻击可以找 6A 01 E8 ,把01改成 F1,但这稍微有点影响,因为PING就
是用的ICMP协议,还有有些站点访问不了的可能就会多等一会儿才知道访问不了,还有
路由,反正影响不是很大。
TCP,UDP的攻击不能这么预防了,一个是协议太重要,另一个是那安装的代码特征不是
这样,因为TCP,UDP的安装不在文件VIP。386里面。
--
☆ 来源:.BBS 荔园晨风站 bbs.szu.edu.cn.[FROM: bbs@192.168.28.106]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店