荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: sorceress (sorceress), 信区: Security
标 题: IGMP原理
发信站: BBS 荔园晨风站 (Thu Aug 31 23:10:11 2000), 转信
IGMP据说可以攻击98,我在NT局域网试验过(感谢问问朋友提供IGMPNUKE),的确
可以使98的机器蓝屏死机;在INTERNET上需要大家自己去试验啦。其工作原理引用
goodwell的原句如下:Windows 95, 98 and Windows 2000's TCP/IP stacks were not
built to tolerate malformed IGMP (Internet Group Management Protocol) headers.
When one is received, the stack will fail with unpredictable results ranging
from a Blue Screen to instantaneous reboot
下面是袁哥(嘿嘿,这个名字倒是起得古怪,谁都得叫他哥:()在安全论坛发表的
有关意见,我整理一下贴给大家,不过争议确实颇多,希望有朋友们多提宝贵意见。
WIN95,WIN98的NMPI协议有个BUG,可以炸死机(炸后毫无反映,鼠标键盘都不管用)。
因为此协议是IPX/SPX协议里面的,所以只能炸内部网的,如果有IPX路由可能可以
炸得远点。如果没有安装IPX/SPX协议或者没有IPX/SPX协议绑定MICROSOFT客户可能不
能炸。此BUG与原来的一些BUG很不一样,不是包中哪个字段非法,造成非法访问或者溢出
破坏系统,是因为此协议的回复包与此协议包没多少区别造成(没有字段指明是这种包
还是回复包,其他的协议一般都有字段指明),此死机包关键就是伪造机器名和网卡地
址MAC2,造成受攻击机器收到包后的回复包又是受攻击机器本身,而回复包因为包没有
字段表明是回复包,所以查到机器名是自己(此协议就是以机器名识别是不是该接收)
又回复包,所以就造成发包的死循环,而这处理是在VXD中就是系统内核中,所以不能
切换任务处理键盘鼠标等,也就是死机毫无反应了。
下面是此协议的正常包的数据,有NETXRAY的可以截获这样的包或者输入查看每个
字段的含义。你只要把MAC2(网卡号)和机器名(注意机器名可能应该都是大写,还有都
有两个地方)改成要攻击的机器的,然后简单的发包一次就够了(不像很多攻击是大量
的包或者错误包) 。有NETXRY的可以很简单的一试,有空闲时间有兴趣的可以做好方
便的NUKE程序(可以取名网络恶邻居?),记得也妹儿yuange@163.net一份。
我还有别的支持IP的方法,欢迎大家交流。我的可是我自己的方法哦!FF FF FF FF FF
FF 00 10 4B 13 CB 06 00 65 E0 E0
| MAC1 | MAC2 | LONG |LLC|03 FF FF 00 62 00 14 00 00 00 00 FF FF FF FF FF| M
AC1
FF 05 51 00 00 00 00 00 10 4B 13 CB 06 05 50 00| SOCK| |MAC2 | SOCK|
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 F1
01 00 00 CE BA C0 F6 D3 A2 20 20 20 20 20 20 20| COMPUTER NAME
20 20 20 CE BA C0 F6 D3 A2 20 20 20 20 20 20 20| COMPUTER NAME20 20 20 |
看大家又开始玩IGMP NUKE了,那就给一个简单的预防方法吧。你用DEBUG或者可以
编辑16进制的软件,打开文件VIP。386,找16进制代码 6A 02 E8 找到把 02 改成F2就
可以。
原理是那儿代码是安装IGMP协议的(那02就是IP协议里面的IGMP,01是ICMP,06是TCP,
11是UDP),改成F2就是协议类型安装成了F2,那样02就不是解释成IGMP协议了,
其实这样大致就是把IGMP协议关了,因为单机根本就可以不要IGMP协议的,所以没什么影
响。
还有那ICMP预防攻击可以找 6A 01 E8 ,把01改成 F1,但这稍微有点影响,因为
PING就是用的ICMP协议,还有有些站点访问不了的可能就会多等一会儿才知道访问不了,
还有路由,反正影响不是很大。
TCP,UDP的攻击不能这么预防了,一个是协议太重要,另一个是那安装的代码特征
不是这样,因为TCP,UDP的安装不在文件VIP。386里面。
--
※ 来源:·BBS 荔园晨风站 bbs.szu.edu.cn·[FROM: bbs.xanet.edu.cn]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店