NetEye防火墙、NetEye IDS成功阻断RPC溢出漏洞攻击测试报告

NetEye防火墙、NetEye IDS成功阻断
RPC溢出漏洞攻击(W32.Blaster.Worm蠕虫)测试报告

  8月18日,东软针对RPC溢出漏洞攻击(W32.Blaster.Worm蠕虫),发布了《NetEye防火墙、NetEye IDS成功阻断RPC溢出漏洞攻击(W32.Blaster.Worm蠕虫)测试报告》,该报告的提出有力的证明了东软NetEye防火墙及NetEye IDS在安装了相应的升级包后可以成功发现、阻断和检测到Blaster蠕虫病毒的攻击,从而给用户提供更加安全、可靠的保障。

一、概述

  
  远程过程调用 (RPC) 是 Windows 操作系统使用的一个协议。RPC 提供了一种进程间通信机制,通过这一机制,在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码。该协议本身是从 OSF(开放式软件基础)RPC 协议衍生出来的,只是增加了一些 Microsoft 特定的扩展。

  RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响分布式组件对象模型 (DCOM) 与 RPC 间的一个接口,此接口侦听 TCP/IP 端口 135。此接口处理客户端计算机向服务器发送的 DCOM 对象激活请求(例如通用命名约定 (UNC) 路径)。

  为利用此漏洞,攻击者可能需要向远程计算机上的 135 端口发送特殊格式的请求。

二、测试


  本次测试采用msblaster,它的运行模式为:病毒扫描所在网段所有机器135端口,如果能够进行连接,就利用RPC DCOM缓冲区溢出漏洞进行攻击,并利用TFTP将自身复制到受害主机。

1、测试环境

  包括NetEye 防火墙3.2(加补丁NETi32-dcom_leak-20030807.upgrade); NetEye IDS 2.1.1(加补丁idslib_2003_08_06.upg);windows XP一台, windows 2000 professional一台。测试环境见图一。

图一:测试环境

2、测试过程(加载NetEye FW和NetEye IDS)

(1) windows xp 与 windows 2000 professional分别位于防火墙的两个区,其中windows xp与IDS监听口及防火墙内口都连接在hub上;

(2) 首先在XP上执行攻击程序msblast.exe,使用netstat -na可以察看到此主机开始向本网段主机执行135端口的扫描,状态为syn-send到professional主机的连接为established并转变为time-wait;从防火墙的审计器中可以察看到xp主机到professional主机的DCOM溢出攻击的事件(如图二所示),从IDS上可以察看到xp主机到professional主机的RPC DCOM 缓冲溢出攻击企图(如图三所示)的实时报警;


图二:NetEye IDS成功检测到RPC DCOM攻击并报警


图三:NetEye防火墙成功检测到RPC DCOM攻击并报警

(3) 此时windows 2000 professional主机无异常反应。

3、测试过程(不加载NetEye FW和NetEye IDS)

(1) 在windows xp上杀掉msblast进程,清除相关的注册表项,清除system32下的msblast.exe文件,将windows 2000 professional主机也连接到hub上,再在windows xp上执行msblast.exe程序;windows 2000 professional主机提示svchost.exe发生错误,将被windows关闭;

(2) 说明病毒已经攻击到了windows 2000 professional主机,并导致该主机的RPC服务发生错误。

三、结论


  由本次测试结果来看,东软NetEye防火墙及NetEye IDS在安装了相应的升级包后可以成功发现、阻断和检测到Blaster蠕虫病毒的攻击。

联系我们

欢迎致电4006556789,或通过在线方式与我们联系

close

关闭