Windows系統(tǒng)常見漏洞分析

　　由于windows NT/2000操作系統(tǒng)的普及率和市場占有率比較高，所以很容易使它成為很多黑客攻擊的目標(biāo)。目前，Windows NT/2000最主要的漏洞有Unicode漏洞、.ida/.idq緩沖區(qū)溢出漏洞、Microsoft IIS CGI文件名錯誤解碼漏洞、MSADCS RDS弱點(diǎn)漏洞、FrontPage服務(wù)器擴(kuò)展和.Printer漏洞等等。下面筆者將對這些漏洞的原理、危害程度、檢測和解決辦法分別進(jìn)行介紹。?
　　

　　一、Unicode漏洞?

　　
　　1．漏洞危害?
　　
　　在Unicode字符解碼時，IIS 4.0/5.0存在一個安全漏洞，導(dǎo)致用戶可以遠(yuǎn)程通過iis執(zhí)行任意命令。當(dāng)用戶用IIS打開文件時，如果該文件名包含Unicode字符，系統(tǒng)會對其進(jìn)行解碼。如果用戶提供一些特殊的編碼，將導(dǎo)致IIS錯誤地打開或者執(zhí)行某些Web根目錄以外的文件。未經(jīng)授權(quán)的用戶可能會利用IUSR_machinename賬號的上下文空間訪問任何已知的文件。該賬號在默認(rèn)情況下屬于Everyone和Users組的成員，因此任何與Web根目錄在同一邏輯驅(qū)動器上的能被這些用戶組訪問的文件都可能被刪除、修改或執(zhí)行。通過此漏洞，您可查看文件內(nèi)容、建立文件夾、刪除文件、拷貝文件且改名、顯示目標(biāo)主機(jī)當(dāng)前的環(huán)境變量、把某個文件夾內(nèi)的全部文件一次性拷貝到另外的文件夾去、把某個文件夾移動到指定的目錄和顯示某一路徑下相同文件類型的文件內(nèi)容等等。?
　　
　　2．漏洞成因?
　　
　　Unicode漏洞的成因可大致歸結(jié)為: 從中文windows IIS 4.0+SP6開始，還影響中文Windows 2000+IIS 5.0、中文Windows 2000+IIS5.0+SP1。臺灣繁體中文也同樣存在這樣的漏洞。它們利用擴(kuò)展Unicode字符（如利用“../”取代“/”和“＼”）進(jìn)行目錄遍歷漏洞。據(jù)了解，在Windows NT中編碼為%c1%9c，在Windows 2000英文版中編碼為%c0%af。?
　　
　　3．漏洞檢測?
　　
　　首先，對網(wǎng)絡(luò)內(nèi)IP地址為*.*.*.*的windows NT/2000主機(jī)，您可以在IE地址欄輸// *.*.*.*/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir(其中%c1%1c為Windows 2000漏洞編碼，在不同的操作系統(tǒng)中，您可使用不同的漏洞編碼)，如漏洞存在，您還可以將Dir換成Set和Mkdir等命令。?
　　
　　其次，您要檢測網(wǎng)絡(luò)中某IP段的Unicode漏洞情況，可使用有如Red.exe、SuperScan、RangeScan掃描器、Unicode掃描程序Uni2.pl及流光Fluxay4.7和SSS等掃描軟件來檢測。?
　　
　　4．解決方法?
　　
　　若網(wǎng)絡(luò)內(nèi)存在Unicode漏洞，可采取如下方法進(jìn)行補(bǔ)救：?
　　
　　（1）限制網(wǎng)絡(luò)用戶訪問和調(diào)用CMD命令的權(quán)限；?
　　
　　（2）若沒必要使用SCRIPTS和MSADC目錄，刪除或改名；?
　　
　　（3）安裝windows NT系統(tǒng)時不要使用默認(rèn)WINNT路徑，您可以改為其他的文件夾，如C:\mywindowsnt；?
　　
　　(4)用戶可從如下地址下載Microsoft提供的補(bǔ)丁：t.asp為IIS 4.0的補(bǔ)丁地址，.asp為IIS 5.0補(bǔ)丁地址。?
　　

　　二、.ida/.idq緩沖區(qū)溢出漏洞?

　　
　　1．漏洞危害及成因?
　　
　　作為安裝IIS過程的一部分，系統(tǒng)還會安裝幾個ISAPI擴(kuò)展.dlls，其中idq.dll是Index Server的一個組件，對管理員腳本和Internet數(shù)據(jù)查詢提供支持。但是，idq.dll在一段處理URL輸入的代碼中存在一個未經(jīng)檢查的緩沖區(qū)，攻擊者利用此漏洞能導(dǎo)致受影響服務(wù)器產(chǎn)生緩沖區(qū)溢出，從而執(zhí)行自己提供的代碼。更為嚴(yán)重的是，idq.dll是以System身份運(yùn)行的，攻擊者可以利用此漏洞取得系統(tǒng)管理員權(quán)限。?
　　
　　2．解決方法?
　　
　　用戶可以分別到?ReleaseID=30833和?ReleaseID=30800處下載補(bǔ)丁，或刪除對.idq和.ida的腳本映射。如果其他系統(tǒng)組件被增刪，有可能導(dǎo)致該映射被重新自動安裝。?
　　
　　注意：安裝Index Server或Index Services而沒有安裝IIS的系統(tǒng)無此漏洞；另外，即使Index Server/Indexing Service沒有開啟，但是只要對.idq或.ida文件的腳本映射存在，攻擊者也能利用此漏洞。受影響平臺有windows NT 4.0、Windows 2000、Windows XP beta; 受影響的版本有Microsoft Index Server 2.0、Indexing Service in windows 2000。?
　　

　　三、Microsoft IIS CGI 文件名錯誤解碼漏洞?

　　
　　1．漏洞危害及成因?
　　
　　IIS在加載可執(zhí)行CGI程序時，會進(jìn)行兩次解碼。第一次解碼是對CGI文件名進(jìn)行Http解碼，然后判斷此文件名是否為可執(zhí)行文件，如檢查后綴名是否為“.exe”或”等。在文件名檢查通過之后，IIS會進(jìn)行第二次解碼。正常情況下，應(yīng)該只對該CGI的參數(shù)進(jìn)行解碼，然而，當(dāng)漏洞被攻擊后，IIS會錯誤地將已經(jīng)解過碼的CGI文件名和CGI參數(shù)一起進(jìn)行解碼。這樣，CGI文件名就被錯誤地解碼兩次。通過精心構(gòu)造CGI文件名，攻擊者可以繞過IIS對文件名所做的安全檢查。在某些條件下，攻擊者可以執(zhí)行任意系統(tǒng)命令。?
　　
　　2．漏洞檢測?
　　
　　該漏洞對IIS 4.0/5.0（SP6/SP6a沒有安裝）遠(yuǎn)程本地均適用，您可通過前文所述的SSS軟件進(jìn)行測試。?
　　
　　3．解決方法?
　　
　　如果您的主機(jī)有此漏洞，可在?ReleaseID=29787處下載補(bǔ)丁。?
　　

　　四、MSADCS RDS弱點(diǎn)漏洞?

　　
　　1．漏洞危害?
　　
　　雖然MSADCS RDS弱點(diǎn)漏洞對許多黑客來說已經(jīng)有點(diǎn)兒過時，不過，對于網(wǎng)絡(luò)上一些粗心大意的網(wǎng)管來說，還是有為數(shù)眾多的機(jī)器并沒有針對這個漏洞進(jìn)行防堵。?
　　
　　該漏洞可以導(dǎo)致攻擊者遠(yuǎn)程執(zhí)行用戶系統(tǒng)的命令，并以設(shè)備用戶的身份運(yùn)行。?
　　
　　2．漏洞成因?
　　
　　此漏洞是因windows NT 4.0 Option Pack中的組件MDAC（即Microsoft Data Access Components）引起的，它包含了一項(xiàng)RDS（Remote Data Service）的功能。RDS是Microsoft提供給使用者遠(yuǎn)程訪問數(shù)據(jù)庫的服務(wù)，它能夠讓使用者透過ODBC遠(yuǎn)程存取/查詢服務(wù)器數(shù)據(jù)庫中的數(shù)據(jù)信息，而在IIS服務(wù)器中，還能夠讓使用者通過一個位于/msadc虛擬目錄內(nèi)名為msadcs.dll的文件提供RDS服務(wù)，以便與遠(yuǎn)程使用者溝通。?
　　
　　3．漏洞檢測?
　　
　　用戶可使用Shadow Security Scanner 5.35（本文簡稱SSS）、流光Fluxay 4.7、Nmap以及SuperScan或MSADC2.PL（Perl程序，執(zhí)行需要ActivePerl環(huán)境，您可去雨林小狗網(wǎng)站下載，網(wǎng)址為）來進(jìn)行測試，也可以通過以下辦法測試本機(jī)是否存在這個漏洞。?
　　
　　c:\>nc -nw -w 2 <目標(biāo)機(jī)> 80?
　　
　　GET /msadc/msadcs.dll HTTP?
　　
　　4．解決方法?
　　
　　其實(shí)，Microsoft對關(guān)于Msadc的問題發(fā)了3次以上的補(bǔ)丁，但仍然存在問題。?
　　
　　筆者認(rèn)為最好的辦法是：通過移除或刪除系統(tǒng)內(nèi)/msadc目錄，同時移除c:\Program Files\Common Files\System\Msadc\msadcs.dll，或安裝MDAC 2.1 SP2補(bǔ)丁（下載網(wǎng)址為），并注意及時上網(wǎng)更新。?
　　

　　五、FrontPage 服務(wù)器擴(kuò)展漏洞?

　　
　　1．漏洞危害?
　　
　　該漏洞對網(wǎng)站構(gòu)成嚴(yán)重威脅，可以讓入侵者輕易地獲得整個網(wǎng)站的信息。?
　　
　　2．漏洞成因?
　　
　　對于安裝Frontpage服務(wù)器的網(wǎng)站，通常會在Web目錄（缺省）下有若干個以字母“_vti”開頭的目錄，正是這些目錄隱藏了潛在的攻擊性。當(dāng)用戶在任何常用的搜索引擎上搜索默認(rèn)的Frontpage目錄時，會得到大量從引擎上返回的信息，這時，給入侵者一可乘之機(jī)，使他們得以對服務(wù)器進(jìn)行簡單而又反復(fù)的攻擊。?
　　
　　對攻擊者來說，此漏洞可使他們獲得被攻擊方的Frontpage口令文件、通過Frontpage擴(kuò)展名執(zhí)行任意二進(jìn)制文件，以及通過用_vti_cnf替換l，即入侵者能看到該目錄下的所有文件，并有可能獲得訪問權(quán)限等。?
　　
　　3．解決方法?
　　
　　如對目錄定義許可、移去某些目錄、設(shè)置用戶密碼或不安裝Frontpage擴(kuò)展服務(wù)器等。
　　

　　六、.Printer漏洞?

　　
　　1．漏洞危害及成因?
　　
　　此漏洞只存在于運(yùn)行IIS 5.0的windows 2000服務(wù)器中。由于IIS 5的打印ISAPI擴(kuò)展接口建立了.printer擴(kuò)展名到Msw3prt.dll的映射關(guān)系（缺省情況下該映射也存在），當(dāng)遠(yuǎn)程用戶提交對.printer的URL請求時，IIS 5.0會調(diào)用Msw3prt.dll解釋該請求，加之Msw3prt.dll缺乏足夠的緩沖區(qū)邊界檢查，遠(yuǎn)程用戶可以提交一個精心構(gòu)造的針對.printer的URL請求，其“Host:”域包含大約420B的數(shù)據(jù)，此時在Msw3prt.dll中發(fā)生典型的緩沖區(qū)溢出，潛在地允許執(zhí)行任意代碼。在溢出發(fā)生后，Web服務(wù)會停止用戶響應(yīng)，而windows 2000將接著自動重啟它，進(jìn)而使得系統(tǒng)管理員很難檢查到已發(fā)生的攻擊。?
　　
　　2．漏洞檢測?
　　
　　針對.Printer漏洞的檢測軟件很多，如easyscan（）、x-scaner()和SSS等。?
　　
　　3．解決方法?
　　
　　可通過安裝Microsoft漏洞補(bǔ)丁來解決此影響系統(tǒng)的安全問題。?


========

Windows 常見端口漏洞分析

99端口
99端口是用于一個名為“Metagram Relay”（亞對策延時）的服務(wù)，該服務(wù)比較少見，一般是用不到的。
　　端口漏洞：雖然“Metagram Relay”服務(wù)不常用，可是Hidden Port、NCx99等木馬程序會利用該端口，比如在Windows 2000中，NCx99可以把cmd．exe程序綁定到99端口，這樣用Telnet就可以連接到服務(wù)器，隨意添加用戶、更改權(quán)限。


　　操作建議：建議關(guān)閉該端口。


-------------------------------------
　　109、110端口
109端口是為POP2（Post Office Protocol Version 2，郵局協(xié)議2）服務(wù)開放的，110端口是為POP3（郵件協(xié)議3）服務(wù)開放的，POP2、POP3都是主要用于接收郵件的。


端口說明：109端口是為POP2（Post Office Protocol Version 2，郵局協(xié)議2）服務(wù)開放的，110端口是為POP3（郵件協(xié)議3）服務(wù)開放的，POP2、POP3都是主要用于接收郵件的，目前POP3使用的比較多，許多服務(wù)器都同時支持POP2和POP3。客戶端可以使用POP3協(xié)議來訪問服務(wù)端的郵件服務(wù)，如今ISP的絕大多數(shù)郵件服務(wù)器都是使用該協(xié)議。在使用電子郵件客戶端程序的時候，會要求輸入POP3服務(wù)器地址，默認(rèn)情況下使用的就是110端口。


　　端口漏洞：POP2、POP3在提供郵件接收服務(wù)的同時，也出現(xiàn)了不少的漏洞。單單POP3服務(wù)在用戶名和密碼交換緩沖區(qū)溢出的漏洞就不少于20個，比如WebEasyMail POP3 Server合法用戶名信息泄露漏洞，通過該漏洞遠(yuǎn)程攻擊者可以驗(yàn)證用戶賬戶的存在。另外，110端口也被ProMail trojan等木馬程序所利用，通過110端口可以竊取POP賬號用戶名和密碼。


　　操作建議：如果是執(zhí)行郵件服務(wù)器，可以打開該端口。


-------------------------------------------
　　111端口
111端口是SUN公司的RPC（Remote Procedure Call，遠(yuǎn)程過程調(diào)用）服務(wù)所開放的端口，主要用于分布式系統(tǒng)中不同計(jì)算機(jī)的內(nèi)部進(jìn)程通信，RPC在多種網(wǎng)絡(luò)服務(wù)中都是很重要的組件。
端口漏洞：SUN RPC有一個比較大漏洞，就是在多個RPC服務(wù)時xdr＿array函數(shù)存在遠(yuǎn)程緩沖溢出漏洞，通過該漏洞允許攻擊者傳遞超




　　113端口
113端口主要用于Windows的“Authentication Service”（驗(yàn)證服務(wù)）。
端口說明：113端口主要用于Windows的“Authentication Service”（驗(yàn)證服務(wù)），一般與網(wǎng)絡(luò)連接的計(jì)算機(jī)都運(yùn)行該服務(wù)，主要用于驗(yàn)證TCP連接的用戶，通過該服務(wù)可以獲得連接計(jì)算機(jī)的信息。在Windows 2000/2003 Server中，還有專門的IAS組件，通過該組件可以方便遠(yuǎn)程訪問中進(jìn)行身份驗(yàn)證以及策略管理。


　　端口漏洞：113端口雖然可以方便身份驗(yàn)證，但是也常常被作為FTP、POP、SMTP、IMAP以及IRC等網(wǎng)絡(luò)服務(wù)的記錄器，這樣會被相應(yīng)的木馬程序所利用，比如基于IRC聊天室控制的木馬。另外，113端口還是Invisible Identd Deamon、Kazimas等木馬默認(rèn)開放的端口。




　　119端口
119端口是為“Network News Transfer Protocol”（網(wǎng)絡(luò)新聞組傳輸協(xié)議，簡稱NNTP）開放的。
端口說明：119端口是為“Network News Transfer Protocol”（網(wǎng)絡(luò)新聞組傳輸協(xié)議，簡稱NNTP）開放的，主要用于新聞組的傳輸，當(dāng)查找USENET服務(wù)器的時候會使用該端口。


　　端口漏洞：著名的Happy99蠕蟲病毒默認(rèn)開放的就是119端口，如果中了該病毒會不斷發(fā)送電子郵件進(jìn)行傳播，并造成網(wǎng)絡(luò)的堵塞。


　　操作建議：如果是經(jīng)常使用USENET新聞組，就要注意不定期關(guān)閉該端口。




　　135端口
135端口主要用于使用RPC（Remote Procedure Call，遠(yuǎn)程過程調(diào)用）協(xié)議并提供DCOM（分布式組件對象模型）服務(wù)。
端口說明：135端口主要用于使用RPC（Remote Procedure Call，遠(yuǎn)程過程調(diào)用）協(xié)議并提供DCOM（分布式組件對象模型）服務(wù)，通過RPC可以保證在一臺計(jì)算機(jī)上運(yùn)行的程序可以順利地執(zhí)行遠(yuǎn)程計(jì)算機(jī)上的代碼；使用DCOM可以通過網(wǎng)絡(luò)直接進(jìn)行通信，能夠跨包括HTTP協(xié)議在內(nèi)的多種網(wǎng)絡(luò)傳輸。


　　端口漏洞：相信去年很多Windows 2000和Windows XP用戶都中了“沖擊波”病毒，該病毒就是利用RPC漏洞來攻擊計(jì)算機(jī)的。RPC本身在處理通過TCP/IP的消息交換部分有一個漏洞，該漏洞是由于錯誤地處理格式不正確的消息造成的。該漏洞會影響到RPC與DCOM之間的一個接口，該接口偵聽的端口就是135。


　　操作建議：為了避免“沖擊波”病毒的攻擊，建議關(guān)閉該端口。




　　137端口
137端口主要用于“NetBIOS Name Service”（NetBIOS名稱服務(wù)）。
端口說明：137端口主要用于“NetBIOS Name Service”（NetBIOS名稱服務(wù)），屬于UDP端口，使用者只需要向局域網(wǎng)或互聯(lián)網(wǎng)上的某臺計(jì)算機(jī)的137端口發(fā)送一個請求，就可以獲取該計(jì)算機(jī)的名稱、注冊用戶名，以及是否安裝主域控制器、IIS是否正在運(yùn)行等信息。


　　端口漏洞：因?yàn)槭荱DP端口，對于攻擊者來說，通過發(fā)送請求很容易就獲取目標(biāo)計(jì)算機(jī)的相關(guān)信息，有些信息是直接可以被利用，并分析漏洞的，比如IIS服務(wù)。另外，通過捕獲正在利用137端口進(jìn)行通信的信息包，還可能得到目標(biāo)計(jì)算機(jī)的啟動和關(guān)閉的時間，這樣就可以利用專門的工具來攻擊。


　　操作建議：建議關(guān)閉該端口。


　　139端口
139端口是為“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印機(jī)共享以及Unix中的Samba服務(wù)。
端口說明：139端口是為“NetBIOS Session Service”提供的，主要用于提供Windows文件和打印機(jī)共享以及Unix中的Samba服務(wù)。在Windows中要在局域網(wǎng)中進(jìn)行文件的共享，必須使用該服務(wù)。比如在Windows 98中，可以打開“控制面板”，雙擊“網(wǎng)絡(luò)”圖標(biāo)，在“配置”選項(xiàng)卡中單擊“文件及打印共享”按鈕選中相應(yīng)的設(shè)置就可以安裝啟用該服務(wù)；在Windows 2000/XP中，可以打開“控制面板”，雙擊“網(wǎng)絡(luò)連接”圖標(biāo)，打開本地連接屬性；接著，在屬性窗口的“常規(guī)”選項(xiàng)卡中選擇“Internet協(xié)議（TCP/IP）”，單擊“屬性”按鈕；然后在打開的窗口中，單擊“高級”按鈕；在“高級TCP/IP設(shè)置”窗口中選擇“WINS”選項(xiàng)卡，在“NetBIOS設(shè)置”區(qū)域中啟用TCP/IP上的NetBIOS。


　　端口漏洞：開啟139端口雖然可以提供共享服務(wù)，但是常常被攻擊者所利用進(jìn)行攻擊，比如使用流光、SuperScan等端口掃描工具，可以掃描目標(biāo)計(jì)算機(jī)的139端口，如果發(fā)現(xiàn)有漏洞，可以試圖獲取用戶名和密碼，這是非常危險的。


　　操作建議：如果不需要提供文件和打印機(jī)共享，建議關(guān)閉該端口。


　　143端口
143端口主要是用于“Internet Message Access Protocol”v2（Internet消息訪問協(xié)議，簡稱IMAP）。
端口說明：143端口主要是用于“Internet Message Access Protocol”v2（Internet消息訪問協(xié)議，簡稱IMAP），和POP3一樣，是用于電子郵件的接收的協(xié)議。通過IMAP協(xié)議我們可以在不接收郵件的情況下，知道信件的內(nèi)容，方便管理服務(wù)器中的電子郵件。不過，相對于POP3協(xié)議要負(fù)責(zé)一些。如今，大部分主流的電子郵件客戶端軟件都支持該協(xié)議。


　　端口漏洞：同POP3協(xié)議的110端口一樣，IMAP使用的143端口也存在緩沖區(qū)溢出漏洞，通過該漏洞可以獲取用戶名和密碼。另外，還有一種名為“admv0rm”的Linux蠕蟲病毒會利用該端口進(jìn)行繁殖。


　　操作建議：如果不是使用IMAP服務(wù)器操作，應(yīng)該將該端口關(guān)閉。


　　161端口
161端口是用于“Simple Network Management Protocol”（簡單網(wǎng)絡(luò)管理協(xié)議，簡稱SNMP）。


　　端口說明：161端口是用于“Simple Network Management Protocol”（簡單網(wǎng)絡(luò)管理協(xié)議，簡稱SNMP），該協(xié)議主要用于管理TCP/IP網(wǎng)絡(luò)中的網(wǎng)絡(luò)協(xié)議，在Windows中通過SNMP服務(wù)可以提供關(guān)于TCP/IP網(wǎng)絡(luò)上主機(jī)以及各種網(wǎng)絡(luò)設(shè)備的狀態(tài)信息。目前，幾乎所有的網(wǎng)絡(luò)設(shè)備廠商都實(shí)現(xiàn)對SNMP的支持。


　　在Windows 2000/XP中要安裝SNMP服務(wù)，我們首先可以打開“Windows組件向?qū)А?#xff0c;在“組件”中選擇“管理和監(jiān)視工具”，單擊“詳細(xì)信息”按鈕就可以看到“簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）”，選中該組件；然后，單擊“下一步”就可以進(jìn)行安裝。


　　端口漏洞：因?yàn)橥ㄟ^SNMP可以獲得網(wǎng)絡(luò)中各種設(shè)備的狀態(tài)信息，還能用于對網(wǎng)絡(luò)設(shè)備的控制，所以黑客可以通過SNMP漏洞來完全控制網(wǎng)絡(luò)。


　　操作建議：建議關(guān)閉該端口。


　　443端口
43端口即網(wǎng)頁瀏覽端口，主要是用于HTTPS服務(wù)，是提供加密和通過安全端口傳輸?shù)牧硪环NHTTP。
端口說明：443端口即網(wǎng)頁瀏覽端口，主要是用于HTTPS服務(wù)，是提供加密和通過安全端口傳輸?shù)牧硪环NHTTP。在一些對安全性要求較高的網(wǎng)站，比如銀行、證券、購物等，都采用HTTPS服務(wù)，這樣在這些網(wǎng)站上的交換信息其他人都無法看到，保證了交易的安全性。網(wǎng)頁的地址以https://開始，而不是常見的http://。


　　端口漏洞：HTTPS服務(wù)一般是通過SSL（安全套接字層）來保證安全性的，但是SSL漏洞可能會受到黑客的攻擊，比如可以黑掉在線銀行系統(tǒng)，盜取信用卡賬號等。


　　操作建議：建議開啟該端口，用于安全性網(wǎng)頁的訪問。另外，為了防止黑客的攻擊，應(yīng)該及時安裝微軟針對SSL漏洞發(fā)布的最新安全補(bǔ)丁。


　　554端口
554端口默認(rèn)情況下用于“Real Time Streaming Protocol”（實(shí)時流協(xié)議，簡稱RTSP）。
端口說明：554端口默認(rèn)情況下用于“Real Time Streaming Protocol”（實(shí)時流協(xié)議，簡稱RTSP），該協(xié)議是由RealNetworks和Netscape共同提出的，通過RTSP協(xié)議可以借助于Internet將流媒體文件傳送到RealPlayer中播放，并能有效地、最大限度地利用有限的網(wǎng)絡(luò)帶寬，傳輸?shù)牧髅襟w文件一般是Real服務(wù)器發(fā)布的，包括有.rm、.ram。如今，很多的下載軟件都支持RTSP協(xié)議，比如FlashGet、影音傳送帶等等。


　　端口漏洞：目前，RTSP協(xié)議所發(fā)現(xiàn)的漏洞主要就是RealNetworks早期發(fā)布的Helix Universal Server存在緩沖區(qū)溢出漏洞，相對來說，使用的554端口是安全的。


　　操作建議：為了能欣賞并下載到RTSP協(xié)議的流媒體文件，建議開啟554端口。


　　1024端口
1024端口一般不固定分配給某個服務(wù)，在英文中的解釋是“Reserved”（保留）。
端口說明：1024端口一般不固定分配給某個服務(wù)，在英文中的解釋是“Reserved”（保留）。之前，我們曾經(jīng)提到過動態(tài)端口的范圍是從1024～65535，而1024正是動態(tài)端口的開始。該端口一般分配給第一個向系統(tǒng)發(fā)出申請的服務(wù)，在關(guān)閉服務(wù)的時候，就會釋放1024端口，等待其他服務(wù)的調(diào)用。


　　端口漏洞：著名的YAI木馬病毒默認(rèn)使用的就是1024端口，通過該木馬可以遠(yuǎn)程控制目標(biāo)計(jì)算機(jī)，獲取計(jì)算機(jī)的屏幕圖像、記錄鍵盤事件、獲取密碼等，后果是比較嚴(yán)重的。


　　操作建議：一般的殺毒軟件都可以方便地進(jìn)行YAI病毒的查殺，所以在確認(rèn)無YAI病毒的情況下建議開啟該端口。


　　1080端口
1080端口是Socks代理服務(wù)使用的端口，大家平時上網(wǎng)使用的WWW服務(wù)使用的是HTTP協(xié)議的代理服務(wù)。
端口說明：1080端口是Socks代理服務(wù)使用的端口，大家平時上網(wǎng)使用的WWW服務(wù)使用的是HTTP協(xié)議的代理服務(wù)。而Socks代理服務(wù)不同于HTTP代理服務(wù)，它是以通道方式穿越防火墻，可以讓防火墻后面的用戶通過一個IP地址訪問Internet。Socks代理服務(wù)經(jīng)常被使用在局域網(wǎng)中，比如限制了QQ，那么就可以打開QQ參數(shù)設(shè)置窗口，選擇“網(wǎng)絡(luò)設(shè)置”，在其中設(shè)置Socks代理服務(wù)。另外，還可以通過安裝Socks代理軟件來使用QQ，比如Socks2HTTP、SocksCap32等。


　　端口漏洞：著名的代理服務(wù)器軟件WinGate默認(rèn)的端口就是1080，通過該端口來實(shí)現(xiàn)局域網(wǎng)內(nèi)計(jì)算機(jī)的共享上網(wǎng)。不過，如Worm.Bugbear.B（怪物II）、Worm.Novarg.B（SCO炸彈變種B）等蠕蟲病毒也會在本地系統(tǒng)監(jiān)聽1080端口，給計(jì)算機(jī)的安全帶來不利。


　　操作建議：除了經(jīng)常使用WinGate來共享上網(wǎng)外，那么其他的建議關(guān)閉該端口。


　　1755端口
1755端口默認(rèn)情況下用于“Microsoft Media Server”（微軟媒體服務(wù)器，簡稱MMS）。
端口說明：1755端口默認(rèn)情況下用于“Microsoft Media Server”（微軟媒體服務(wù)器，簡稱MMS），該協(xié)議是由微軟發(fā)布的流媒體協(xié)議，通過MMS協(xié)議可以在Internet上實(shí)現(xiàn)Windows Media服務(wù)器中流媒體文件的傳送與播放。這些文件包括.asf、.wmv等，可以使用Windows Media Player等媒體播放軟件來實(shí)時播放。其中，具體來講，1755端口又可以分為TCP和UDP的MMS協(xié)議，分別是MMST和MMSU，一般采用TCP的MMS協(xié)議，即MMST。目前，流媒體和普通下載軟件大部分都支持MMS協(xié)議。


　　端口漏洞：目前從微軟官方和用戶使用MMS協(xié)議傳輸、播放流媒體文件來看，并沒有什么特別明顯的漏洞，主要一個就是MMS協(xié)議與防火墻和NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）之間存在的兼容性問題。


　　操作建議：為了能實(shí)時播放、下載到MMS協(xié)議的流媒體文件，建議開啟該端口。


　　4000端口
4000端口是用于大家經(jīng)常使用的QQ聊天工具的，再細(xì)說就是為QQ客戶端開放的端口，QQ服務(wù)端使用的端口是8000。
端口說明：4000端口是用于大家經(jīng)常使用的QQ聊天工具的，再細(xì)說就是為QQ客戶端開放的端口，QQ服務(wù)端使用的端口是8000。通過4000端口，QQ客戶端程序可以向QQ服務(wù)器發(fā)送信息，實(shí)現(xiàn)身份驗(yàn)證、消息轉(zhuǎn)發(fā)等，QQ用戶之間發(fā)送的消息默認(rèn)情況下都是通過該端口傳輸?shù)摹?000和8000端口都不屬于TCP協(xié)議，而是屬于UDP協(xié)議。


　　端口漏洞：因?yàn)?000端口屬于UDP端口，雖然可以直接傳送消息，但是也存在著各種漏洞，比如Worm_Witty.A（維迪）蠕蟲病毒就是利用4000端口向隨機(jī)IP發(fā)送病毒，并且偽裝成ICQ數(shù)據(jù)包，造成的后果就是向硬盤中寫入隨機(jī)數(shù)據(jù)。另外，Trojan.SkyDance特洛伊木馬病毒也是利用該端口的。


　　操作建議：為了用QQ聊天，4000大門敞開也無妨。


　　5554端口
在今年4月30日就報(bào)道出現(xiàn)了一種針對微軟lsass服務(wù)的新蠕蟲病毒——震蕩波（Worm.Sasser），該病毒可以利用TCP 5554端口開啟一個FTP服務(wù)，主要被用于病毒的傳播。
端口說明：在今年4月30日就報(bào)道出現(xiàn)了一種針對微軟lsass服務(wù)的新蠕蟲病毒——震蕩波（Worm.Sasser），該病毒可以利用TCP 5554端口開啟一個FTP服務(wù)，主要被用于病毒的傳播。


　　端口漏洞：在感染“震蕩波”病毒后會通過5554端口向其他感染的計(jì)算機(jī)傳送蠕蟲病毒，并嘗試連接TCP 445端口并發(fā)送攻擊，中毒的計(jì)算機(jī)會出現(xiàn)系統(tǒng)反復(fù)重啟、運(yùn)行緩慢、無法正常上網(wǎng)等現(xiàn)象，甚至?xí)缓诳屠脢Z取系統(tǒng)的控制權(quán)限。


　　操作建議：為了防止感染“震蕩波”病毒，建議關(guān)閉5554端口。


　　5632端口
5632端口是被大家所熟悉的遠(yuǎn)程控制軟件pcAnywhere所開啟的端口。
端口說明：5632端口是被大家所熟悉的遠(yuǎn)程控制軟件pcAnywhere所開啟的端口，分TCP和UDP兩種，通過該端口可以實(shí)現(xiàn)在本地計(jì)算機(jī)上控制遠(yuǎn)程計(jì)算機(jī)，查看遠(yuǎn)程計(jì)算機(jī)屏幕，進(jìn)行文件傳輸，實(shí)現(xiàn)文件同步傳輸。在安裝了pcAnwhere被控端計(jì)算機(jī)啟動后，pcAnywhere主控端程序會自動掃描該端口。


　　端口漏洞：通過5632端口主控端計(jì)算機(jī)可以控制遠(yuǎn)程計(jì)算機(jī)，進(jìn)行各種操作，可能會被不法分子所利用盜取賬號，盜取重要數(shù)據(jù)，進(jìn)行各種破壞。


　　操作建議：為了避免通過5632端口進(jìn)行掃描并遠(yuǎn)程控制計(jì)算機(jī)，建議關(guān)閉該端口。


　　8080端口
8080端口同80端口，是被用于WWW代理服務(wù)的，可以實(shí)現(xiàn)網(wǎng)頁瀏覽。
端口說明：8080端口同80端口，是被用于WWW代理服務(wù)的，可以實(shí)現(xiàn)網(wǎng)頁瀏覽，經(jīng)常在訪問某個網(wǎng)站或使用代理服務(wù)器的時候，會加上“:8080”端口號，比如http://www.cce.com.cn:8080。


　　端口漏洞：8080端口可以被各種病毒程序所利用，比如Brown Orifice（BrO）特洛伊木馬病毒可以利用8080端口完全遙控被感染的計(jì)算機(jī)。另外，RemoConChubo，RingZero木馬也可以利用該端口進(jìn)行攻擊。


　　操作建議：一般我們是使用80端口進(jìn)行網(wǎng)頁瀏覽的，為了避免病毒的攻擊，我們可以關(guān)閉該端口。
========

?微軟Windows系統(tǒng)最危險的10個漏洞?

來自SANS/FBI聯(lián)合發(fā)表了以往找出的微軟Windows系統(tǒng)最危險的10個漏洞：
W1 IIS（互聯(lián)網(wǎng)信息服務(wù)器）
W2 微軟數(shù)據(jù)訪問部件（MDAC）－遠(yuǎn)程數(shù)據(jù)服務(wù)
W3 微軟SQL Server
W4 NETBIOS－不受保護(hù)的Windows網(wǎng)絡(luò)共享
W5 匿名登入 -- Null Sessions（空會話，注二）
W6 LAN Manager 身份認(rèn)證 －易被攻擊的LAN Manager口令散列（注三）
W7 一般Windows身份認(rèn)證－帳戶密碼太脆弱或干脆為空
W8 IE瀏覽器漏洞
W9 遠(yuǎn)程注冊表訪問
W10 WSH（Windows腳本主機(jī)服務(wù)）

（1） IIS服務(wù)器

微軟的IIS服務(wù)器存在緩存溢出漏洞，它難以合適地過濾客戶端請求，執(zhí)行應(yīng)用腳本的能力較差。部分問題可以通過已發(fā)布的補(bǔ)丁解決，但每次IIS的新版本發(fā)布都帶來新的漏洞，因此IIS出現(xiàn)安全漏洞并不能完全歸罪于網(wǎng)管的疏漏。建議管理人員運(yùn)行HFNetChk來檢查目前可更新的補(bǔ)丁。?


適用性說明——Windows NT 4運(yùn)行 IIS 4， Windows 2000 運(yùn)行IIS 5，Windows XP Pro運(yùn)行 IIS 5.1 。
修復(fù)方法——安裝補(bǔ)丁文件。為你的系統(tǒng)安裝最新的IIS補(bǔ)丁，并在IIS中排除惡意用戶的訪問IP地址（相關(guān)解釋見：http://www.microsoft.com/technet/security/tools/urlscan.asp）。刪除IIS中缺省支持的ISAPI擴(kuò)展名，諸如：.htr、.idq、.ism以及.printer，這些可執(zhí)行腳本的擴(kuò)展名在IIS安裝時缺省支持，但用戶很少會需要它們。刪除\inetput\wwwroot\scripts目錄中的腳本樣本文件。同樣，在進(jìn)行IIS安裝時不要安裝遠(yuǎn)程管理工具。

（2）MDAC

微軟數(shù)據(jù)訪問部件的遠(yuǎn)程數(shù)據(jù)服務(wù)單元有一個編碼錯誤，遠(yuǎn)程訪問用戶有可能通過這一漏洞獲得遠(yuǎn)程管理的權(quán)限，并有可能使數(shù)據(jù)庫遭到外部匿名攻擊。
適用性說明——NT 4.0系統(tǒng)運(yùn)行IIS 3.0和4.0，RDS 1.5或是 VS 6.0。
修復(fù)方法——升級MDAC到2.1或更新的版本，或者基于以下發(fā)布的方法進(jìn)行系統(tǒng)配置：
Q184375
MS98-004
MS99-025
從上述公告發(fā)布的時間可以看出，這些漏洞是所謂的well-know (著名的) 漏洞。實(shí)際上上述漏洞常被用來攻擊Windows網(wǎng)絡(luò) ，尤其是那些較早的系統(tǒng)。

（3）微軟SQL數(shù)據(jù)庫

Internet Storm Center始終在警告用戶微軟SQL數(shù)據(jù)庫的1433端口是攻擊者必定掃描的十大現(xiàn)存漏洞端口之一。
適用性說明——SQL服務(wù)器7.0，SQL服務(wù)器2000以及SQL桌面安裝版本。
修復(fù)方法——根據(jù)各自的系統(tǒng)安裝下面的其中一個補(bǔ)丁：
SQL Server 7.0 服務(wù)包 4
SQL Server 2000 服務(wù)包 2

（4）NETBIOS/Windows網(wǎng)絡(luò)共享

由于使用了服務(wù)器信息塊(SMB)?
協(xié)議或通用互聯(lián)網(wǎng)文件系統(tǒng)(CIFS)，將使遠(yuǎn)程用戶可以訪問本地文件，但也向攻擊者開放了系統(tǒng)。
適用性說明——所有的windows系統(tǒng)。
風(fēng)險——肆虐一時的Sircam和Nimda蠕蟲病毒都利用這一漏洞進(jìn)行攻擊和傳播，因此用戶對此絕對不能掉以輕心。
修復(fù)方法——限制文件的訪問共享，并指定特定IP的訪問限制以避免域名指向欺騙。關(guān)閉不必要的文件服務(wù)，取消這一特性并關(guān)閉相應(yīng)端口。?
注一：SANS（System Administration， Networking， and?
Security-系統(tǒng)管理、網(wǎng)絡(luò)和安全學(xué)會）SANS和FBI已經(jīng)陸續(xù)聯(lián)合發(fā)表多個網(wǎng)絡(luò)安全危險名單，這似乎已經(jīng)成了一個慣例。
注二：Null?
Session被認(rèn)為是WIN2K自帶的一個后門。當(dāng)建立一個空會話之后，對于一臺配置不到位的WIN2K服務(wù)器來說，那么將能夠得到非常多的信息，比如枚舉帳號等等。
注三：微軟在Windows NT 和 2000系統(tǒng)里缺省安裝了LAN Manager口令散列。由于LAN?
Manager使用的加密機(jī)制比微軟現(xiàn)在的方法脆弱，LAN Manager的口令能在很短的時間內(nèi)被破解。

（5）匿名登錄

Window操作系統(tǒng)的帳戶服務(wù)至關(guān)重要，但一旦用戶通過匿名登錄進(jìn)程(空對話)后就可以匿名訪問其它系統(tǒng)中的文件。不幸的是，這意味著攻擊者也可以匿名進(jìn)入系統(tǒng)。
適用性說明——Windows NT， 2000以及XP系統(tǒng)
修復(fù)方法——用戶唯一可以補(bǔ)救的就是修改注冊表限制這一潛在的威脅。

（6）LAN Manager身份認(rèn)證(易被攻擊的LAN Manager口令散列)

盡管Windows的大多數(shù)用戶不再需要LAN?
Manager的支持，微軟還是在Windows NT 和 2000系統(tǒng)里缺省安裝了LAN Manager口令散列。由于LAN?
Manager使用的早期加密機(jī)制比微軟現(xiàn)在的方法脆弱，即使相當(dāng)強(qiáng)健的LAN Manager的口令也能在很短的時間內(nèi)被破解。
適用性說明——所有的Windows操作系統(tǒng): 缺省安裝的Windows NT，Windows 2000，Windows XP都存在這一漏洞。
修復(fù)方法——只要用戶用不到它，就盡快取消LM認(rèn)證支持。

（7）Window 密碼

脆弱的密碼是管理人員的心腹大患。盡管各種系統(tǒng)設(shè)置都要求用戶使用足夠強(qiáng)壯的密碼并進(jìn)行定期更換，但用戶往往抱怨系統(tǒng)管理員做出的各種限制，這就引發(fā)了訪問控制的脆弱性。既然這一漏洞名列第七大系統(tǒng)漏洞，系統(tǒng)管理員就可以理直氣壯地要求用戶遵守足夠強(qiáng)壯的密碼策略。
適用性說明——所有使用密碼保護(hù)的系統(tǒng)和應(yīng)用軟件。
修復(fù)方法——略。

（8）IE瀏覽器

對于IE瀏覽器的用戶有以下幾個方面的威脅
ActiveX控件
腳本漏洞
MIME 類型和內(nèi)容的誤用
緩存區(qū)溢出
風(fēng)險——Cookies 和其它本地文件有可能被利用來威脅系統(tǒng)安全，惡意代碼有可能趁虛而入安裝并運(yùn)行，甚至惡意代碼可以執(zhí)行刪除和格式化硬盤的命令。
修復(fù)方法——升級并安裝補(bǔ)丁文件。微軟不再支持版本早于5.01的IE瀏覽器，因此用戶必須升級到5.01或更高版本。完成瀏覽器升級到IE5.01或5.5后，安裝IE?
5.01服務(wù)包2或IE 5.5服務(wù)包2 。然后安裝安全補(bǔ)丁的最新累積版本Q32375。

（9）注冊表訪問

在任何Windows系統(tǒng)中，注冊表都是最重要的文件，而允許遠(yuǎn)程訪問注冊表將帶來很大危害。
適用性說明——所有的Windows版本：在NT Resource Kit（資源套件）中有一個軟件 regdump.exe?
，可以用來測試系統(tǒng)是否開放了遠(yuǎn)程注冊表訪問權(quán)限。
修復(fù)方法——限制訪問：這并非是軟件的bug，而是Windows系統(tǒng)所具備的一個特性，因此用戶必須通過限制訪問權(quán)限來避免潛在的威脅。
微軟知識庫的文章Q153183說明了如何限制遠(yuǎn)程訪問NT系統(tǒng)注冊表，而SANS/FBI報(bào)告中也提到了幾種方法來限制授權(quán)和非授權(quán)的遠(yuǎn)程注冊表訪問。

（10）WSH?

（Windows腳本主機(jī)服務(wù)）：用VB來編輯宏非常方便，但類似愛蟲和其它VB腳本蠕蟲病毒卻可以給用戶系統(tǒng)帶來難以預(yù)見的災(zāi)難，用戶無意間下載的該類惡意腳本文件，很可能通過WSH服務(wù)自動在系統(tǒng)中執(zhí)行。
適用性說明——任何Windows系統(tǒng)
修復(fù)方法——取消WSH：按賽門鐵克公司Symantec或Sophos）提供的方法取消系統(tǒng)中WSH服務(wù)，這樣惡意VB腳本就無法自動執(zhí)行了。然后運(yùn)行反病毒軟件并保證病毒定義庫的同步更新，以降低此類安全問題的風(fēng)險。

========

相關(guān)鏈接

http://blog.csdn.net/miromelo/article/category/749746

http://www.educity.cn/labs/c211.html

總結(jié)

以上是生活随笔為你收集整理的Windows系统漏洞学习总结的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。