2003年1月刊

      ·NetEye向各界朋友拜年！
      ·东软NetEye防火墙荣获《中国计算机报》“编辑选择”奖
      ·第十二期“高级网络信息安全”国家证书培训班胜利结束
      ·东软安全实验室协助某省公安厅破获黑客攻击案
      ·东软NETEYE安全公告030126
      ·网络安全词汇辨析（二）

浏览往期交流中心

返回目录

东软NetEye防火墙荣获《中国计算机报》“编辑选择”奖
　　2003年1月8日，《中国计算机报》在赛迪大厦举办了创刊以来首次编辑选择奖的颁奖大会--即“2002年度IT产品编辑选择奖暨优秀应用方案奖颁奖大会”。

　　为了向中国IT消费市场推荐最优秀的产品、最佳的应用，《中国计算机报》从2002年开始，每年都将举行年度“编辑选择奖”评选工作，作为《中国计算机报》对当年优秀IT产品和应用的最高褒奖，并将通过颁奖大会的方式进行公开推荐，同时做到客观地评价中国IT产业的发展现状，以成为中国IT产品、技术和应用发展走向的风向标。

　　作为中国最大的软件企业之一的东软此次是以优秀的网络安全专家的身份亮相在颁奖大会上，东软的NetEye防火墙以其独特的流过滤技术架构为用户带来了使用更安全、管理更方便、传输更快捷、升级更简单等诸多好处，获得了用户及业界的广泛赞誉与认可。与东软同时参加此次颁奖大会的还有IBM、CISCO、HP、SUN等国际知名IT厂商。

－－NetEye防火墙获得的“编辑选择奖”奖牌

返回目录

第十二期“高级网络信息安全”国家证书培训班胜利结束
　　2003年1月4日至1月10日，由中国科学院、中国计算机用户协会等单位共同举办的第十二期“高级网络信息安全”国家证书培训班在北京胜利结束。

　　参加本次培训的学员来自政府、金融、航空系统及相关企事业单位信息中心的技术负责人，共有将近30余人参加了为期7天的培训。

　　培训由北京电子科技学院的王仲文、刘培鹤教授及东软网络安全事业部网络安全咨询顾问姚伟栋共同授课，课程内容包含网络安全体系结构及其现状、网络信息安全发展趋势、网络信息安全加密技术、数据备份技术及其应用、黑客入侵的手段分析、常用软硬件的漏洞分析、入侵防范措施等，其中防火墙与入侵监测技术与应用、行业信息安全解决方案案例介绍由东软网络安全事业部姚伟栋进行了授课。

返回目录

东软安全实验室协助某省公安厅破获黑客攻击案
   近日，东软信息安全实验室协助某省公安厅成功的破获了一起对针对电信网络进行的恶意攻击案件。

   从2002年10月开始，某电信下属公司发现其网络的数据访问量突增，导致系统无法对外正常提供服务，最初都仅仅以为是网络故障，所以曾经找过其总部及网络设备提供商进行解决，设备供应商的工程师也曾经到该公司进行实地检查，但除了数据传输及访问量增大外没有发现任何其他的异常。公司方面也采取了一些补救措施，更换了几次设备的IP地址，刚开始换完后网络工作会恢复正常，但短时间内又会回到负载数据量超负荷的故障状态。而长时间的网络非正常工作状态给该公司的声誉及业务方面都带来了很坏的影响，于是不得已向省公安厅报案。

   该省公安厅在接到报案后马上组织警力进行侦破，并于2002年的12月中旬邀请东软协助侦破工作。东软在接到邀请后当即委派信息安全实验室的系统分析员李青山前往了解情况。在经过对该公司网络的精心分析及大量检测后，认为这是一起严重的针对电信网络进行的分布式服务拒绝攻击（Dos），并且在细致、认真的工作后，最终确定了产生攻击行为的IP地址，并协助警方于2003年1月中旬将发动恶性攻击的肇事者一举抓获。

   攻击者采用的是目前比较先进的、被称作分布式DoS的网络攻击手段，这种方式的攻击隐蔽性较高，破坏性很大，就目前网络安全产品的技术现状还无法识别和有效防范。而由此给铁通造成的直接经济损失达数百万元。

    侦破总历时约一个月的时间，但东软信息安全实验室的实际工作时间仅为一周，该公司和该省公安厅相关领导也对东软的网络安全工作给予充分的肯定及赞誉。

返回目录

东软NETEYE安全公告030126
--NETEYE安全小组 http://neteye.neusoft.com
SQL Server 2000 蠕虫紧急公告发布日期：2003-01-25

受影响的软件及系统：
====================
MS SQL Server 2000 （SP2及以下版本）

综述：
======
    从1月25日开始一种新的利用MS SQL Server 2000漏洞转播的攻击性蠕虫病毒大规模爆发，这种病毒转播的手段和去年的红色代码和NIMUDA病毒非常相似都是利用系统自身的漏洞进行感染后，后台开大线程在网络中以随机的IP地址为目标进行传播，由于大量的UDP包采用随机地址转播给网关设备路由器等造成了负载压力过大，导致众多网络速度减慢直至瘫痪停止响应。

分析：
======
    该蠕虫本身非常小，仅仅是一段376个字节的数据。利用的安全漏洞是“Microsoft SQL Server 2000 Resolution服务远程栈缓冲区溢出漏洞”（http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id =3148）。

    该蠕虫利用的端口是UDP/1434，该端口是SQL Server Resolution服务。Microsoft SQL Server 2000支持在单个物理主机上伺服多个SQL服务器的实例，每个实例操作需要通过单独的服务，不过多个实例不能全部使用标准SQL服务会话会话端口(TCP 1433)，所以SQL Server Resolution服务操作监听在UDP 1434端口，提供一种使客户端查询适当的网络末端用于特殊的SQL服务实例的途径。

    当SQL Server Resolution服务在UDP 1434端口接收到第一个字节设置为0x04的UDP包时，SQL监视线程会获取UDP包中的数据并使用此用户提供的信息来尝试打开注册表中的某一键值，如发送\x04\x41\x41\x41\x41类似的UDP包，SQL服务程序就会打开如下注册表键：
        HKLM\Software\Microsoft\Microsoft SQL Server\AAAA\MSSQLServer\CurrentVersion
攻击者可以通过在这个UDP包后追加大量字符串数据，当尝试打开这个字符串相对应的键值时，会发生基于栈的缓冲区溢出，通过包"jmp esp"或者"call esp"指令的地址覆盖栈中保存的返回地址，可导致以SQL Server进程的权限在系统中执行任意指令。就开始向随机IP地址发送自身，由于这是一个死循环的过程，发包密度仅和机器性能和网络带宽有关，所以发送的数据量非常大。

    该蠕虫对被感染机器本身并没有进行任何恶意破坏行为，也没有向硬盘上写文件。对于感染的系统，重新启动后就可以清除蠕虫，但是仍然会重复感染。由于发送数据包占用了大量系统资源和网络带宽，形成Udp Flood，感染了该蠕虫的网络性能会极度下降。一个百兆网络内只要有一两台机器感染该蠕虫就会导致整个网络访问阻塞。

解决方案：
==========
我们建议所有运行Microsoft SQL Server 2000和近期发现网络访问异常的用户按照以下解决方案操作：

1、定位到被感染的主机

    启动网络监视程序（比如IRIS或者是利用我们防火墙和入侵检测内置的SNIFFER也可以），设置一个过滤捕获的条件协议为UDP端口为 1434（由于网络中的数据量非常大所以不设置捕获条件的话没有办法正常分析），然后找到网络中发送目的端口为UDP/1434主机的IP地址，这些主机已经感染了该蠕虫（目前没有发现该病毒伪造源地址所以方便定位，但是不保证未来会有变种病毒伪造源地址的可能UDP协议可以伪造源地址）。

2、立即在防火墙或者路由器上阻塞外部对内和内部对外的UDP/1434端口的访问，这个端口的禁止对原有的SQL SERVER的服务没有直接影响。如果该步骤实现有困难可使用系统上的TCP-IP筛选来阻塞对本机UDP/1434端口的访问。

3、重新启动所有被感染机器，可以将该病毒暂时消除，该病毒目前不对系统文件进行破坏转播的手段也很单一就是利用UDP的协议发送数据包，没有其他方式比如利用邮件方式转播等。

4、为被感染机器安装最新的Microsoft SQL Server 2000 Service Pack：
    建议立即安装最新的SQL SERVER2000的补丁工具包Microsoft SQL Server 2000 SP3可以到下面地址下载该补丁程序（http://www.microsoft.com/sql/downloads/2000/sp3.asp ）。

    或者至少应该下载针对该漏洞的热修复补丁： http://www.microsoft.com/technet/treeview/default.asp? url=/technet/security/bulletin/MS02-039.asp

注：上述步骤仅供参考。

附录：
======

Microsoft SQL Server 2000 Resolution服务远程栈缓冲区溢出漏洞

发布日期：2002-07-25      更新日期：2002-07-30

受影响系统：
    - Microsoft SQL Server 2000 SP1
    - Microsoft SQL Server 2000 Desktop Engine
    - Microsoft SQL Server 2000
    - Microsoft Windows NT 4.0 SP6a
    - Microsoft Windows NT 4.0 SP6
    - Microsoft Windows NT 4.0 SP5
    - Microsoft Windows NT 4.0
    - Microsoft Windows 2000 Server SP2
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000

描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 5311       CVE(CAN) ID: CAN-2002-0649

    Microsoft SQL Server 2000是一款由Microsoft公司开发的商业性质大型数据库系统，其Resolution服务对用户提交的UDP包缺少正确的处理，远程攻击者可以利用这个漏洞进行基于栈的缓冲区溢出攻击。

    Microsoft SQL Server 2000支持在单个物理主机上伺服多个SQL服务器的实例，每个实例操作需要通过单独的服务，不过多个实例不能全部使用标准SQL服务会话会话端口(TCP 1433)，所以SQL Server Resolution服务操作监听在UDP 1434端口，提供一种使客户端查询适当的网络末端用于特殊的SQL服务实例的途径。

    当SQL Server Resolution服务在UDP 1434端口接收到第一个字节设置为0x04的UDP包时，SQL监视线程会获取UDP包中的数据并使用此用户提供的信息来尝试打开注册表中的某一键值，如发送\x04\x41\x41\x41\x41类似的UDP包，SQL服务程序就会打开如下注册表键：
        HKLM\Software\Microsoft\Microsoft SQL Server\AAAA\MSSQLServer\CurrentVersion
攻击者可以通过在这个UDP包后追加大量字符串数据，当尝试打开这个字符串相对应的键值时，会发生基于栈的缓冲区溢出，通过包含"jmp esp"或者"call esp"指令的地址覆盖栈中保存的返回地址，可导致以SQL Server进程的权限在系统中执行任意指令。

<--来源：NGSSoftware Insight Security Research （nisr@nextgenss.com）

链接：http://archives.neohapsis.com/archives/bugtraq/2002-07/0291.html
      http://www.microsoft.com/technet/security/bulletin/MS02-039.asp
      http://www.ngssoftware.com/advisories/mssql-udp.txt     //-- >

建议：
--------------------------------------------------------------------------------
临时解决方法：

如果您不能立刻安装补丁或者升级，建议您采取以下措施以降低威胁：

    ·在边界防火墙、网关设备或者SQL Server主机上限制对UDP/1434端口的访问。由于UDP报文的源地址很容易伪造，所以不能简单地限制只允许可信IP访问。

厂商补丁：

Microsoft
---------
    Microsoft已经为此发布了一个安全公告（MS02-039）以及相应补丁: MS02-039：Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution (Q323875)。
链接：http://www.microsoft.com/technet/security/bulletin/MS02-039.asp

补丁下载： * Microsoft SQL Server 2000:
      http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602

返回目录

网络安全词汇析辨(二)
　　·ASIC：全称为Application Specific Integrated Circuit，意思为专用的系统集成电路，是一种带有逻辑处理的加速处理器。简单地说，ASIC就是用硬件的逻辑电路实现软件的功能。使用ASIC可把一些原先由CPU完成的通用工作用专门的硬件实现，从而在性能上获得突破性的提高。因此，在单一领域，人们希望ASIC能带来较高的运算效率。

　　·DDN：全称Digital Data Network，即数字数据网。它利用光纤（数字微波和卫星）数字传输通道和数字交叉复用节点组成的数字数据传输网，为用户提供各种速率的高质量数字专用电路和其它新业务。可以满足用户多媒体通信和组建中高速计算机通信网的需要。其显著特点是数字电路传输质量高，时延小，通信速率可根据需要选择；电路可以自动迂回，可靠性高；一线可以多用，即可以通话、传真、传送数据，还可以组建会议电视系统，开放帧中续业务，做多媒体服务，或组建自己的虚拟专网，设立网管中心，自己管理自己的网络。

　　·GRE：全称Generic Routing Encapsulation，它规定了怎样用一种网络层协议去封住另一种网络层协议地方法。GRE的隧道由两端的源IP地址贺目的IP地址来定义，它允许用户使用IP包封装IP、IPX、AppleTalk包，并支持全部的路由协议（如RIP、OSPF、IGRP、ELGRP）。通过GRE，用户可以利用公共IP网络连接IPX网AppleTalk网络，还可以使用保留地址进行网络互联，或者对公网隐藏企业网的IP地址。在实际环境中常和IPSec在一起使用，因为它只提供数据包的封住，而未能实现加密功能。

　　·L2F： layer two forwording，是VPN隧道协议的第二层隧道协议中的一种，可以在多种介质（如ATM、帧中继、IP网）上建立多协议的安全虚拟专用网（即VPN）。它将链路层的协议（如HDLC、PPP、ASYNC、HDLC）封住起来传送。因此，网络的链路层完全独立于用户的链路层协议。L2F远端用户能够通过任何拨号方式接入公共IP网络，首先按常规方式拨号到ISP的接入服务器（NAS），建立PPP连接；NAS根据客户名等信息，发起第二重连接，呼叫用户网络的服务器。并且这种情况下隧道的配置和建立对用户是完全透明的。L2F允许拨号接入服务器发送PPP帧传输并通过WAN连接到达L2F服务器。L2F服务器将包去封装后接入到公司自己的网络中。不同于PPTP和L2TP的是，L2F没有定义用户。

　　·PPTP：点到点的隧道安全协议，为使用电话上网的用户（PSTN、ISDN）提供安全VPN功能。提供客户机和服务器之间的加密通信，允许在Internet上建立多协议的安全VPN的通信方式。远端用户能够通过任何支PPTP的ISP访问公司的专用网络。PPTP采用RC4的数据加密方法来保证虚拟连接通道的安全性。

返回目录

　　NetEye安全月刊是NetEye安全网站推出的网络安全刊物，希望大家通过这个平台交流NetEye 的使用经验，或者对NetEye系列产品的意见或者不解的问题，以及有关网络安全问题的探讨，我们的资深安全顾问将竭诚为您提供咨询服务。欢迎广大客户来信发表高论。来信请寄NetEye@neusoft.com.

　　如果您有对NetEye安全月刊的改进意见；以及订阅、退订本刊；企盼来信给以指正、探讨。另如果您是NetEye安全网站的注册用户，忘记登录密码请发信给我们。

　　欲希望了解更多的网络安全知识，请登录我们的网站http://neteye.neusoft.com