IDC运维总结之远程连接
IDC运维总结之远程连接
问:远程连接不上原因何为?或远程连接时断时续,究竟因从何处?(通过远程桌面连接
程序访问时却出现了“中断远程桌面连接,远程计算机已结束连接”的提示)
答:其实,远程一旦中断,首先要确保网线有无问题,交换机端口是否有问题,其次在
说别的原因。第一、远程连接不上首当其冲要检查网络的稳定性(这其中包括客户端方和服务器方的网络访问情况及其稳定性)并查看是否有攻击或受到了攻击的影响;
第二、保证服务器的质量问题,即服务器的老化时间;再者,查看服务器是否是已长时间访问或运行,或者服务器有无死机、宕机,温度是否过高(重启即可)保证服务器的正常运行第三、客户在远程服务器时做了一些不当操作(比如使用360软件进行开机加速一键优化时关闭了远程连接;擅自修改远程端口;开启防火墙却未做一些相关设置等)解决办法①开启远程连接:【我的电脑】右击“属性”选项“远程”勾选项
确定(检查是否已设管理员或远程用户的密码)
问题补充:可以连接到该计算机,但是马上中断。怀疑是否在远程桌面登录时是默认使用当前帐户的,所以将自己的计算机帐户和密码设置为和远程那台计算机一致,谁知道问题依旧。看来故障应该是该计算机远程桌面服务本身的设置问题。解决办法:第一步、通过“开始->运行->输入regedit”,打开注册表编辑器。第二步、找到键值,在左侧的RDPDR上点鼠标右键,选择“权限”。
第三步、在弹出的对RDPDR设置权限窗口后,将everyone组添加到完全控制权限,如果你只想让某个特定的用户远程管理该计算机的话,将该帐户添加到权限设置窗口中即可,记住一定要给予“完全控制”权限。
第四步、接下来将如下内容复制到一个记事本txt文件中,并保存成后缀为.reg的文件。WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\RDPDR\\0000]"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}""Class"="System"
"HardwareID"=hex(7):52,00,4f,00,4f,00,54,00,5c,00,52,00,44,00,50,00,44,00,52,\\00,00,00,00,00
"Driver"="{4D36E97D-E325-11CE-BFC1-08002BE10318}\\\\0030""Mfg"="(标准系统设备)""Service"="rdpdr"
"DeviceDesc"="终端服务器设备重定向器""ConfigFlags"=dword:00000000"Capabilities"=dword:00000000
第五步、接下来我们双击运行保存后的注册表文件,当出现“注册表导入成功”的提示后说明我们操作正确。第六步、再通过“开始->运行->输入services.msc”,打开服务管理窗口,找到名为“RemoteDesktopHelpSessionManager”和“Telnet”的服务并将服务开启。第七步、重新启动计算机后再通过远程桌面连接程序访问此台计算机就不会再出现任何问题了,程序自动进入输入管理员帐号和密码的步骤。
至此我们通过启动服务和导入注册表,以及修改注册表键值使用权限三个步骤完成了解决一连接远程桌面程序就中断的故障,我们又可以轻松正常的使用远程管理程序操纵网络另一端的计算机了。
②注册表修改远程端口(如有必要的话以防攻击)首先,开始运行输入“regedit”,打开本地工作站的注册表编辑界面,找到项,在右侧找到并双击即可修改;其次,同样找到项,在右侧找到并双击即可修改(两次修改要完全一致);此时,修改后的远程端口就可以用了(如果连接不上,就在运行中输入“gpupdate”刷新策略,并重启服务器);另外,如果安装了防火墙,在更改了远程登陆的端口请记得在系防火墙上打开这个例外端口
③网络连接里打开远程端口【网上邻居】右击“属性”找到【本地连接】右击“属性”属性在右下角找到“高级”单机“选项选择“属性”勾选,并选择“全部允许”(也可
以只允许几个个别的端口)
若开启了防火墙,则在中选择的“例外”,勾选项,或选择自定义一条策略,将自己新修改的远程端口加上以上所讲述的只是适用于Windows系统的,下面是有关Linux修改远程SSH的端口号的linux修改端口
首先,修改配置文件:vi/etc/ssh/sshd_config找到#Port22一段,这里是标识默认使用22端口,修改为如下:Port22Port50000
然后保存退出,执行/etc/init.d/sshdrestart,这样SSH端口将同时工作与22和50000上。然后,编辑防火墙配置:vi/etc/sysconfig/iptables启用50000端口。
执行/etc/init.d/iptablesrestart,现在请使用ssh工具连接50000端口,来测试是否成功。如果连接成功了,则再次编辑sshd_config的设置,将里边的Port22删除,即可
扩展阅读:IDC运维总结
IDC运维总结
作者:企鹅(编注)
IDC运维总结第-2-页
目录
一、远程连接3二、网页打不开7三、机房攻击11
附录17
附录一:IP攻击方式一18附录二:IP攻击方式二20附录三:通州机房网络故障记录一26附录四:通州机房网络故障记录二30
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-3-页
一、远程连接
问:远程连接不上原因何为?或远程连接时断时续,究竟因从何处?(通过远程桌面连接程序访问时却出现了“中断远程桌面连接,远程计算机已结束连接”的提示)
答:其实,远程一旦中断,首先要确保网线有无问题,交换机端口是否有问题,其次在说别的原因。
第一、远程连接不上首当其冲要检查网络的稳定性(这其中包括客户端方和服务器方的网络访问情况及其稳定性)并查看是否有攻击或受到了攻击的影响;
第二、保证服务器的质量问题,即服务器的老化时间;再者,查看服务器是否是已长时间访问或运行,或者服务器有无死机、宕机,温度是否过高(重启即可),保证服务器的正常运行
第三、客户在远程服务器时做了一些不当操作(比如使用360软件进行开机加速一键优化时关闭了远程连接;擅自修改远程端口;开启防火墙却未做一些相关设置等)
解决办法①开启远程连接:【我的电脑】右击“属性”选项“远程”勾选项用户的密码)
问题补充:可以连接到该计算机,但是马上中断。怀疑是否在远程桌面登录时是默认使用当前帐户的,所以将自己的计算机帐户和密码设置为和远程那台计算机一致,谁知道问题依旧。看来故障应该是该计算机远程桌面服务本身的设置问题。
解决办法:第一步、通过“开始->运行->输入regedit”,打开注册表编
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-63701600
确定(检查是否已设管理员或远程IDC运维总结第-4-页
辑器。
第二步、找到
左侧的RDPDR上点鼠标右键,选择“权限”。
第三步、在弹出的对RDPDR设置权限窗口后,将everyone组添加到完全控制权限,如果你只想让某个特定的用户远程管理该计算机的话,将该帐户添加到权限设置窗口中即可,记住一定要给予“完全控制”权限。
第四步、接下来将如下内容复制到一个记事本txt文件中,并保存成后缀为.reg的文件。
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\Root\\RDPDR\\0000]"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}""Class"="System"
"HardwareID"=hex(7):52,00,4f,00,4f,00,54,00,5c,00,52,00,44,00,50,00,44,00,52,\\
00,00,00,00,00
"Driver"="{4D36E97D-E325-11CE-BFC1-08002BE10318}\\\\0030""Mfg"="(标准系统设备)""Service"="rdpdr"
"DeviceDesc"="终端服务器设备重定向器""ConfigFlags"=dword:00000000"Capabilities"=dword:00000000
第五步、接下来我们双击运行保存后的注册表文件,当出现“注册表导入成功”的提示后说明我们操作正确。
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-63701600
键值,在IDC运维总结第-5-页
第六步、再通过“开始->运行->输入services.msc”,打开服务管理窗口,找到名为“RemoteDesktopHelpSessionManager”和“Telnet”的服务并将服务开启。
第七步、重新启动计算机后再通过远程桌面连接程序访问此台计算机就不会再出现任何问题了,程序自动进入输入管理员帐号和密码的步骤。
至此我们通过启动服务和导入注册表,以及修改注册表键值使用权限三个步骤完成了解决一连接远程桌面程序就中断的故障,我们又可以轻松正常的使用远程管理程序操纵网络另一端的计算机了。
②注册表修改远程端口(如有必要的话以防攻击)
首先,开始运行输入“regedit”,打开本地工作站的注册表编辑界面,找到项在右侧找到项,在右侧找到
并双击即可修改;其次,同样找到
并双击即可修改(两次修改要完全一致);此时,修
,改后的远程端口就可以用了(如果连接不上,就在运行中输入“gpupdate”刷新策略,并重启服务器);另外,如果安装了防火墙,在更改了远程登陆的端口请记得在系防火墙上打开这个例外端口
③网络连接里打开远程端口
【网上邻居】右击“属性”找到【本地连接】右击“属性”属性右下角“高级”单机“选项”,选择
“属性”勾选“
,”,
并选择“全部允许”(也可以只允许几个个别的端口)
若开启了防火墙,则在勾选
项,或选择
中选择
的“例外”,
自定义一条策略,将自己新修改的远程端口
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-6-页
加上。
以上所讲述的只是适用于Windows系统的,下面是有关Linux修改远程SSH的端口号的
linux修改端口
首先,修改配置文件:vi/etc/ssh/sshd_config找到#Port22一段,这里是标识默认使用22端口,修改为如下:
Port22Port50000
然后保存退出,执行/etc/init.d/sshdrestart,这样SSH端口将同时工作与22和50000上。
然后,编辑防火墙配置:vi/etc/sysconfig/iptables启用50000端口。执行/etc/init.d/iptablesrestart,现在请使用ssh工具连接50000端口,来测试是否成功。如果连接成功了,则再次编辑sshd_config的设置,将里边的Port22删除,即可。
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-7-页
二、网页打不开
问:网页打不开,浏览器打不开,怎么办?
答:出现此类问题首先先看一下网络是否正常、服务器是否正常运行,
再言其他。倘若,网络和服务器均正常,再看下面:
第一、网络设置的问题
这种原因比较多出现在需要手动指定IP、网关、DNS服务器联网方式下,及使用代理服务器上网的(仔细检查计算机的网络设置)。
第二、DNS服务器的问题
当IE无法浏览网页时,可先尝试用IP地址来访问,如果可以访问,那么应该是DNS的问题,造成DNS的问题可能是连网时获取DNS出错或DNS服务器本身问题,这时你可以手动付—NS服务(地址可以是你当地ISP提供的DNS服务器地址,也可以用其它地方可正常使用DNS服务器地址。)在网络的属性里进行,(控制面板网络和拔号连接本地连接右键属性TCP/IP协议属性使用下面的DNS服务器地址)。不同的ISP有不同的DNS地址。有时候则是路由器或网卡的问题,无法与ISP的DNS服务连接,这种情况的话,可把路由器关一会再开,或者重新设置路由器。还有一种可能,是本地DNS缓存出现了问题。为了提高网站访问速度,系统会自动将已经访问过并获取IP地址的网站存入本地的DNS缓存里,一旦再对这个网站进行访问,则不再通过DNS服务器而直接从本地DNS缓存取出该网站的IP地址进行访问。所以,如果本地DNS缓存出现了问题,会导致网站无法访问。可以在“运行”中执行ipconfig/flushdns来清除本地DNS缓存。
第三、IE浏览器本身的问题
当IE浏览器本身出现故障时,自然会影响到浏览了;或者IE被恶意修
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-8-页
改破坏也会导致无法浏览网页。这时可以尝试用“黄山IE修复专家”来修复(建议到安全模式下修复),或者重新IE。
第四、网络防火墙的问题
如果网络防火墙设置不当,如安全等级过高、不小心把IE放进了阻止访问列表、错误的防火墙策略等,可尝试检查策略、降低防火墙安全等级或直接关掉试试是否恢复正常。
第五、网络协议和网卡驱动的问题
IE无法浏览,有可能是网络协议(特别是TCP/IP协议)或网卡驱动损坏导致,可尝试重新网卡驱动和网络协议。
第六、HOSTS文件的问题
HOSTS文件被修改,也会导致浏览的不正常,解决方法当然是清空HOSTS文件里的内容。
第七、系统文件的问题
当与IE有关的系统文件被更换或损坏时,会影响到IE正常的使用,这时可使用SFC命令修复一下,WIN98系统可在“运行”中执行SFC,然后执行扫描;WIN201*/XP/201*则在“运行”中执行sfc/scannow尝试修复。其中当只有IE无法浏览网页,而QQ可以上时,则往往由于winsock.dll、wsock32.dll或wsock.vxd(VXD只在WIN9X系统下存在)等文件损坏或丢失造成,Winsock是构成TCP/IP协议的重要组成部分,一般要重装TCP/IP协议。但xp开始集成TCP/IP协议,所以不能像98那样简单卸载后重装,可以使用netsh命令重置TCP/IP协议,使其恢复到初次安装操作系统时的状态。
具体操作如下:【开始】运行输入“CMD”命令输入“netshintipresetc:\\resetlog.txt”命令(其中“resetlog.txt”
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-9-页
文件是用来记录命令执行结果的日志文件,该参数选项必须指定,这里指定的日志文件的完整路径是“c:\\resetlog.txt”。执行此命令后的结果与删除并重新安装TCP/IP协议的效果相同)。
小提示:netsh命令是一个基于命令行的脚本编写工具,你可以使用此命令配置和监视Windows系统,此外它还提供了交互式网络外壳程序接口,netsh命令的使用格式请参看帮助文件(在令提示符窗口中输入“netsh/?”即可)。第二个解决方法是修复以上文件,WIN9X使用SFC重新提取以上文件,WIN201*/XP/201*使用sfc/scannow命令修复文件,当用sfc/scannow无法修复时,可试试网上发布的专门针对这个问题的修复工具WinSockFix。
第八、杀毒软件的实时监控问题
这倒不是经常见,但有时的确跟实时监控有关,因为现在杀毒软件的实时监控都添加了对网页内容的监控。举一个实例:KV201*就会在个别的机子上会导致IE无法浏览网页(不少朋友遇到过),其具体表现是只要打开网页监控,一开机上网大约20来分钟后,IE就会无法浏览网页了,这时如果把KV201*的网页监控关掉,就一切恢复正常;经过彻底地重装KV201*也无法解决。虽然并不是安装KV201*的每台机子都会出现这种问题,毕竟每台机子的系统有差异,安装的程序也不一样。但如果出现IE无法浏览网页时,也要注意检查一下杀毒软件。
第九、ApplicationManagement服务的问题
出现只能上QQ不能开网页的情况,重新启动后就好了。不过就算重新启动,开7到8个网页后又不能开网页了,只能上QQ。有时电信往往会让你禁用ApplicationManagement服务,就能解决了。具体原因不明。
第十、感染了病毒所致
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-10-页
这种情况往往表现在打开IE时,在IE界面的左下框里提示:正在打开网页,但老半天没响应。在任务管理器里查看进程,(进入方法,把鼠标放在任务栏上,按右键任务管理器进程)看看CPU的占用率如何,如果是100%,可以肯定,是感染了病毒,这时你想运行其他程序简直就是受罪。这就要查查是哪个进程贪婪地占用了CPU资源.找到后,最好把名称记录下来,然后点击结束,如果不能结束,则要启动到安全模式下把该东东删除,还要进入注册表里,(方法:开始运行,输入regedit)在注册表对话框里,点编辑查找,输入那个程序名,找到后,点鼠标右键删除,然后再进行几次的搜索,往往能彻底删除干净。有很多的病毒,杀毒软件无能为力时,唯一的方法就是手动删除。
第十一、无法打开二级链接
还有一种现象也需特别留意:就是能打开网站的首页,但不能打开二级链接,如果是这样,处理的方法是重新注册如下的DLL文件:在开始运行里输入:regsvr32Shdocvw.dll
regsvr32Shell32.dll(注意这个命令,先不用输)regsvr32Oleaut32.dllregsvr32Actxprxy.dllregsvr32Mshtml.dllregsvr32Urlmon.dllregsvr32Msjava.dllregsvr32Browseui.dll
注意:每输入一条,按回车。第二个命令可以先不用输,输完这些命令后重新启动windows,如果发现无效,再重新输入一遍,这次输入第二个命令。
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-11-页
三、机房攻击
问:如何查看机房是否受到攻击?答:首先要知道攻击的原理。其原理如下:
(1)源地址欺骗(SourceAddressSpoofing)、IP欺骗(IPSpoofing)和DNS欺骗(DNSSpoofing).其基本原理:是利用IP地址并不是出厂的时候与MAC固定在一起的,攻击者通过自封包和修改网络节点的IP地址,冒充某个可信节点的IP地址,进行攻击。主要有三种手法:
1.瘫痪真正拥有IP的可信主机,伪装可信主机攻击服务器;2.中间人攻击;
3.DNS欺骗(DNSSpoofing)和“会话劫持”(SessionHijack);(2)源路由选择欺骗(SourceRoutingSpoofing)。原理:利用IP数据包中的一个选项-IPSourceRouting来指定路由,利用可信用户对服务器进行攻击,特别是基于UDP协议的由于其是面向非连接的,更容易被利用来攻击;
(3)路由选择信息协议攻击(RIPAttacks)。原理:攻击者在网上发布假的路由信息,再通过ICMP重定向来欺骗服务器路由器和主机,将正常的路由器标志为失效,从而达到攻击的目的。
(4)TCP序列号欺骗和攻击(TCPSequenceNumberSpoofingandAttack),基本有三种:
1.伪造TCP序列号,构造一个伪装的TCP封包,对网络上可信主机进行攻击;
2.SYN攻击(SYNAttack)。这类攻击手法花样很多,蔚为大观。但是其原理基本一致,让TCP协议无法完成三次握手协议;
3.Teardrop攻击(TeardropAttack)和Land攻击(LandAttack)。原理:
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-12-页
利用系统接收IP数据包,对数据包长度和偏移不严格的漏洞进行的。
下面将要介绍一些利用TCP/IP协议的处理程序中错误进行攻击的原理:这些攻击包括当前流行的Teardrop和Land攻击。利用协议实现的攻击方法,都是故意错误地设定数据包头的一些重要字段,例如,IP包头部的TotalLength、Fragmentoffset、IHL和Sourceaddress等字段。使用RawSocket将这些错误的IP数据包发送出去。在接受数据端,接收程序通常都存在一些问题,因而在将接受到的数据包组装成一个完整的数据包的过程中,就会使系统当机、挂起或系统崩溃(具体的攻击方式详见附录一和二)。
既然明白了这些,TCP/IP攻击便显而易见,接下来就是实时分析,在机房中观察流量图或抓包如何判断该网络或某一台服务器是否受到攻击。
图一
图二
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-13-页
图三
很显然,图一受到了瞬间闪断的攻击,而图二和图三则不然,是客户访问下载量过大,导致流量超高,而不是受到了攻击(具体的攻击详见附录三和四)。
下面分析一下抓包文件:
图四
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-14-页
图五
图六
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-15-页
图七
图八
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-16-页
图九
分析:
图四至图七很明显是均是机房服务器119.161.130.117、119.161.130.119、123.108.221.107、119.161.130.21均受到来自外界的攻击,攻击者(或黑客)通过模拟IP来造成对服务器的大量连接数和ping攻击从而使得服务器遭受崩溃至流量受阻或流量超高;然而对比看图八和图九则是正常的抓包,以此来更加确定你的判断是否受到攻击
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-17-页
附录
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-18-页
附录一:IP攻击一
1.OOB攻击
这是利用NETBIOS中一个OOB(OutofBand)的漏洞而来进行的,它的原理是通过TCP/IP协议传递一个数据包到计算机某个开放的端口上(一般是137、138和139),当计算机收到这个数据包之后就会瞬间死机或者蓝屏现象,不重新启动计算机就无法继续使用TCP/IP协议来访问网络。
2.DoS攻击
这是针对Windows9X所使用的ICMP协议进行的DOS(DenialofService,拒绝服务)攻击,一般来说,这种攻击是利用对方计算机上所安装协议的漏洞来连续发送大量的数据包,造成对方计算机的死机。
3.WinNuke攻击
目前的WinNuke系列工具已经从最初的简单选择IP攻击某个端口发展到可以攻击一个IP区间范围的计算机,并且可以进行连续攻击,还能够验证攻击的效果,还可以对检测和选择端口,所以使用它可以造成某一个IP地址区间的计算机全部蓝屏死机。
4.SSPing
这是一个IP攻击工具,它的工作原理是向对方的计算机连续发出大型的ICMP数据包,被攻击的机器此时会试图将这些文件包合并处理,从而造成系统死机。$TL"i-p:s
5.TearDrop攻击
这种攻击方式利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击,由于IP分段中含有指示该分段所包含的是原包哪一段的信息,所以一些操作系统下的TCP/IP协议在收到含有重叠
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-19-页
偏移的伪造分段时将崩溃。TeadDrop最大的特点是除了能够对Windows9X/NT进行攻击之外,连Linux也不能幸免。
TCP/IP攻击原理
利用协议实现的攻击方法,都是故意错误地设定数据包头的一些重要字段,例如,IP包头部的TotalLength、Fragmentoffset、IHL和Sourceaddress等字段。使用RawSocket将这些错误的IP数据包发送出去。在接受数据端,接收程序通常都存在一些问题,因而在将接受到的数据包组装成一个完整的数据包的过程中,就会使系统当机、挂起或系统崩溃。
在下章,我们将结合一些程序来讨论这种攻击能够实施的原理的同时,读者也可以使用这些程序来检查自己系统针对这类攻击的安全程度,并采取相应的措施。
在最后,是一个服务程序错误而导致攻击的例子:OOB。
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-20-页
附录二:IP攻击二
1、攻击的现象及其后果
使用了Windows95和Windows98NT的人们都经历过系统陷入混乱,对任何输入都没有响应的情况。这时候,屏幕出现蓝屏,迟迟无法重新刷新。按下Ctrl+Alt+Del时,看到系统CPU利用率达到100%,同时显示一个应用程序无响应。这是程序出错或者使用了盗版软件的缘故。通过网络,也可以使正在使用的计算机出现这种无响应、死机的现象。事实上,大量的程序往往经不住人们恶意的攻击。
人们已经使用了许多方法来专门对付上网的Windows95和WindowsNT。目前,能够对Windows95和WindowsNT进行攻击的方法很多,当前流行的有:tearDrop(也称为“泪滴”)、OOB、Land和PingofDeath等。其中,关于PingofDeath在缓冲区溢出一章中对这种攻击做了介绍,并给出了一些对策。
一般的攻击过程是这样的:当入侵者发现了一台Windows95或者WindowsNT(这只需用端口扫描工具扫一下就可以辨认出来),便用一个OOB或者TearDrop攻击,再次用ping命令时,目标主机就没有响应了。事实上,这些攻击并不是局限于WindowsNT和Windows95平台,一些攻击,如Land已被发现对Linux、Cisco路由器以及其他大量的UNIX操作系统都具有相当的攻击能力。
能够实施这种攻击的原因是在Windows95和WindowsNT中存在错误,这是一种处理TCP/IP协议或者服务程序的错误。人们利用这些错误。通过给端口送一些故意弄错的数据包,在这个数据包的偏移字段和长度字段,写入一个过大或过小的值。Windows95和WindowsNT都不能处理这个情况,然后
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-21-页
Windows95就先变成蓝屏,WindowsNT是非死机不可。据称TearDrop可以使被攻击的主机立刻当机。
这些攻击的危险性在于可以通过网络发起攻击,当攻击者发现了一台上网的Windows95、WindowsNT或者Linux操作系统主机时,只需启动这一程序,输入入口参数假冒IP、端口号,被攻击主机的IP地址和端口号,便可以发起攻击了。通常是Linux一遭到攻击就当机,而Windows在受到十几次攻击之后也会死机。这时候,用ping命令,被攻击的主机就再也没有回应了。
服务程序存在错误的情况是很多的,例如,WindowsNT中的RPC服务存在漏洞。某个用户可以远程登录到WindowsNT3。5x或者服务器的端口135,并任意输入10个字符,然后回车,切断连接。这便可以使目标主机的CPU利用率达到100%。虽然一个简单的重启动就消除了这个问题,但毕竟这是很讨厌的,是系统安全的重要隐患并严重地影响系统性能。
对于OOB攻击,人们已经提出一些对策,如在WindowsNT4.0中,呆以对发到端口若悬河39的包进行过滤等,都需要对系统的网络设置进行一番配置,来分别处理拔号上网和使用LAN的情况。
目前网上已经出现补丁程序,用来对付这些攻击方法的攻击。在Windows95和WindowsNT上的安装非常简单,只需运行一下安装包即可。在没有找到补丁程序之前,也可能性安装一个PC防火墙。该工具非常有效,例如,当禁止从主机的所有端口发出数据包,同时禁止数据包发向本主机的所有端口时,实际上已将本主机应用层的服务功能和访问功能切断。此时,虽然可以ping通一台有帐户和口令的UNIX主机,但却地法登上(telnet)该主机或从该主机用ftp取回文件。
可以用该工具来过滤发向本主机一些端口(例如139)的数据包。
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-22-页
2、泪滴(TearDrop)攻击工具
这个攻击工具起名为泪滴,它确实可以让人们恨得咬牙切齿。当辛苦的劳动成果突然因为一次莫名其妙的当机而化为乌有。也许,这次当机便是一个人随意地向你的计算机动了一次小小的攻击所致。
这个攻击利用的是系统在实现时的一个错误,我们以Linux上的一个实现为例,也就是说,某些Linux操作系统也是脆弱的,我们也可以用这种方法攻击Linux操作系统。
Linux操作系统在它的IP数据包重装模块有一个严重的错误,更确切一点地说,是在ip-glue()函数中。当Linux收到一个个IP包,送到IP层进行组装,以形成发送端原来的IP包时,它将进入了一个循环中,将接收队列中的一个个数据包中的有效数据,拷贝到一个新分配的缓冲区中。
这段代码如下:fp=qp->fragments;while(fp!=NULL){
if(count+fp->len>skb->len)]{
error-to-big;}
memcpy(ptr+fp->offaet),fp->ptr,fp->len);count+=fp->len;fp=fp->next;}
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-23-页
在程序中,检查了每段数据是否过长,因为如果数据部分过长,将会向内核拷贝过多的数据,引起内核发生某种危险。然而在程序中并没有检查包中有效数据的长度是否过分小,例如,当表示包中数据长度的变量变成了一个负数时(例如fp->lentot-len)ihl;
在正常情况下一切也正常。但是,当我们精心准备这样的数据包,让前后包中的“fragmentoffset”字段交叠在一起,会发生什么呢?
看看程序对“fragmentoffset”做了那些处理:if(prev!=NULL&&offset{
I=prev->endoffset;
Offset+=I:/*ptrintodatagram*/Ptr+=I/*ptrintofragmentdata*/}
如果我们发现当前包的段偏移在前一包数据内部,也就是说根据偏移字段的值,前后两数据包的数据部分有重叠。组装程序试图正确对齐它们的边界。程序代码如上所示。这一步是对的。除非当前包中的有效数据碰巧没有
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-24-页
足够的数据来满足对齐的要求。在这种情况下,“offset”域中的值将会比“end”域中的值大。这两个数值被交给“ip-frag-create()”模块,在这个模块中,将会计算当前包的长度。
/*Fillinthestructure.*/fp->offset=offset;fp->end=end;
fp->len=endoffset;
在这种极少见的情况下,计算出来的fp-len竟变成了一个负数,于是memcpy()最终将会把大量的数据拷贝到内核中,因为memcpy()中的记数器是一个反码,是一个非常大的数值。根据使用的内存管理机制的不同,将会引起系统重启动或停机。
这种情况完全可以通过编程来实现,例如可以发送两个特殊的数据包,第一个包中的“offset”域置为0,包中有效数据(IP数据)长度为N,MF位置1。第二个包中MF位置0,“offset”为一个小于N的数,包中的IP数据也少于N。
当将收到的两个数据包组装时,先将第一个数据包拷贝到一个缓冲区中去,然后拷贝第二个数据包。因为
next->offset
cur->offset=next->offset+(pre->end-next->offest);cur->end=next->offest+(next->iph->tot-len)-ihl);cur->len=cur->end-cur->offest;
当ntohs(next->iph->tot-len)-ihlend-next->offset)时,错误就发生了。这时候,cur->len为负数。
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-25-页
在正常情况下,无法预言这种情况是否会发生,发生的频率如何。但是在人为的情况下,尤其是在一处故意的情况下,那就一定会发生的。
人们可以自己编写发送raw数据包的程序。在数据包中,从IP包头开始,都可以填入自己想要的任意数值。而我们使用软件并不能处理这类非常复杂的情况。事实上,即使对软件曾经进行了详细的测试,也很难说会发现这种错误。
当前的许多Linux的实现中都有这个错误,向Linux发送很少几个这样的数据包,便可以引起Linux当机,因为通常这种IP包重组和缓冲区开在系统核心态,缓冲区溢出将使系统崩溃。同样地,向Windows95、WindowsNT发送10-15个这样的包,也会引起死机。
现在在网上已经出现了大量类似这样的程序,这些攻击的方法依然是对一些字段使用错误的值,但和“泪滴”相反,将段偏移字段写入一个大于头的长度的数值或者伪造UDP的长度,直到伪造为真实长度的两倍。或者将原来专门攻击53端口的程序改造为可以攻击一系列端口。
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-26-页
附录三:通州机房网络故障记录一
201*年1月22日晚23:21到23:38左右,通州机房双线客户(119.161.146.34)受到攻击,导致顺义联通G口和万通电信口拥塞,因为出口带宽不同,受影响程度不一样,顺义联通中断4分钟,万通电信中断13分钟,随后攻击量逐步减少,攻击时间持续17-20分钟左右,客户受影响时长约5-15分钟不等,具体信息截图如下:
受攻击时抓包截图
联通G口故障时截图
电信出口故障时截图
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-27-页
联通封堵146.34后该地址Trace截图
电信封堵146.34后该地址Trace截图
PING监控中断截图
PING监控恢复截图
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-28-页
联通ICMP质量检测截图
电信ICMP质量检测截图
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-29-页
故障原因:通州机房用户IP:119.161.146.34受到攻击,力度较大,攻击总量至少1G以上,从客户了解到其服务器某些内容被黑客盯上导致的攻击。
处理结果:电信和联通上层均接收我司申请,对该IP进行封堵,目前恢复正常。
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-30-页
附录四:通州机房网络故障记录二
201*年5月17日晚20:40到21:05左右,通州机房双线客户(119.161.148.203)受到攻击,导致顺义联通G口和万通电信口拥塞,因为出口带宽不同,联通没有影响,万通电信延时和丢包率增大,随后立即进行封堵和抓包,并让客户将该IP的域名全部切走,网络恢复正常,攻击时间持续25分钟左右,其他客户受影响时长约5-15分钟不等,具体信息截图如下:
受攻击时抓包截图
联通G口故障时截图
电信出口故障时截图
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-31-页
PING监控截图
电信ICMP质量检测截图
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016IDC运维总结第-32-页
受影响客户截图
故障原因:通州机房用户IP:119.161.148.203受到攻击,力度较大,总量在700M以上,断定是由于客户网站引起。
处理结果:联通没有影响,只对电信方向将该IP封堵,客户将域名全切走后恢复正常。
北京市振隆科技股份有限公司地址:北京市丰台区南四环西路188号网址:电话:010-637016
友情提示:本文中关于《IDC运维总结之远程连接》给出的范例仅供您参考拓展思维使用,IDC运维总结之远程连接:该篇文章建议您自主创作。
来源:网络整理 免责声明:本文仅限学习分享,如产生版权问题,请联系我们及时删除。