NetEye防火墙、NetEye IDS成功阻断RPC溢出漏洞攻击测试报告

NetEye防火墙、NetEye IDS成功阻断
RPC溢出漏洞攻击（W32.Blaster.Worm蠕虫）测试报告
　　8月18日，东软针对RPC溢出漏洞攻击（W32.Blaster.Worm蠕虫），发布了《NetEye防火墙、NetEye IDS成功阻断RPC溢出漏洞攻击(W32.Blaster.Worm蠕虫)测试报告》，该报告的提出有力的证明了东软NetEye防火墙及NetEye IDS在安装了相应的升级包后可以成功发现、阻断和检测到Blaster蠕虫病毒的攻击，从而给用户提供更加安全、可靠的保障。

一、概述
　　
　　远程过程调用 (RPC) 是 Windows 操作系统使用的一个协议。RPC 提供了一种进程间通信机制，通过这一机制，在一台计算机上运行的程序可以顺畅地执行某个远程系统上的代码。该协议本身是从 OSF（开放式软件基础）RPC 协议衍生出来的，只是增加了一些 Microsoft 特定的扩展。

　　RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响分布式组件对象模型 (DCOM) 与 RPC 间的一个接口，此接口侦听 TCP/IP 端口 135。此接口处理客户端计算机向服务器发送的 DCOM 对象激活请求（例如通用命名约定 (UNC) 路径）。

　　为利用此漏洞，攻击者可能需要向远程计算机上的 135 端口发送特殊格式的请求。

二、测试

　　本次测试采用msblaster，它的运行模式为：病毒扫描所在网段所有机器135端口，如果能够进行连接，就利用RPC DCOM缓冲区溢出漏洞进行攻击，并利用TFTP将自身复制到受害主机。

1、测试环境

　　包括NetEye 防火墙3.2（加补丁NETi32-dcom_leak-20030807.upgrade）； NetEye IDS 2.1.1(加补丁idslib_2003_08_06.upg)；windows XP一台, windows 2000 professional一台。测试环境见图一。

图一：测试环境
2、测试过程（加载NetEye FW和NetEye IDS）

（1） windows xp 与 windows 2000 professional分别位于防火墙的两个区，其中windows xp与IDS监听口及防火墙内口都连接在hub上；

（2） 首先在XP上执行攻击程序msblast.exe，使用netstat -na可以察看到此主机开始向本网段主机执行135端口的扫描，状态为syn-send到professional主机的连接为established并转变为time-wait；从防火墙的审计器中可以察看到xp主机到professional主机的DCOM溢出攻击的事件（如图二所示），从IDS上可以察看到xp主机到professional主机的RPC DCOM 缓冲溢出攻击企图（如图三所示）的实时报警；


图二：NetEye IDS成功检测到RPC DCOM攻击并报警

图三：NetEye防火墙成功检测到RPC DCOM攻击并报警
（3） 此时windows 2000 professional主机无异常反应。

3、测试过程（不加载NetEye FW和NetEye IDS）

（1） 在windows xp上杀掉msblast进程，清除相关的注册表项，清除system32下的msblast.exe文件，将windows 2000 professional主机也连接到hub上，再在windows xp上执行msblast.exe程序；windows 2000 professional主机提示svchost.exe发生错误，将被windows关闭；

（2） 说明病毒已经攻击到了windows 2000 professional主机，并导致该主机的RPC服务发生错误。

三、结论

　　由本次测试结果来看，东软NetEye防火墙及NetEye IDS在安装了相应的升级包后可以成功发现、阻断和检测到Blaster蠕虫病毒的攻击。