所謂“網絡炸彈”是一種惡意的破壞程序。隨著“網絡炸彈”功能越來越強大,操作界面日趨簡單,它影響的范圍正逐漸擴大,已經從電子郵件波及到聊天工具。“網絡炸彈”能夠造成的破壞包括:丟失QQ號,聊天記錄被盜;郵箱被毀,信件丟失;甚至於硬盤數據被惡意刪除等。下面我們就將互聯網上最常見的四種“網絡炸彈”及防范技巧向讀者作詳細的介紹。
防范IP炸彈 IP炸彈是最常見的一種,IP是Internet Protocol的縮寫,電腦通過它來識別網絡中的其它服務器,然後連接上網。IP炸彈在網絡上攻擊某一個IP地址段內的服務器,其攻擊過程是不斷發送大量數據包,消耗100%的系統資源,導致服務器停機或重啟。
現在常見的攻擊IP地址的工具對Windows 95/NT來說,主要是利用NetBiOS網絡協定的例行處理程序OOB的漏洞,將一些特定的數據封包,以OOB方式放在某個IP地址的某個開啟的端口上(通常為139、137、135),使你的電腦突然死機;對Windows 98系統的攻擊主要是針對Windows98系統的自身藍屏漏洞;而對Windows 2000的攻擊,是通過其本身存在很多拒絕服務的漏洞。下面就介紹幾款常見的IP炸彈工具,以便加深讀者認識。
IPHacker IPHacker是款具有多種功能的網絡攻擊程序。在IPHacker進行攻擊時,要先在TOOLS選單添加IP地址,因為攻擊網絡服務器都是靠IP指定位置的,所以要事先把得到的域名轉換成IP然後進行攻擊。添加想要轉換的域名(例如www.netname.com),按下轉換鍵就可在左上方要測試的IP地址後顯示出所填寫的域名的IP地址,這樣比用PING www.Netname.com轉換域名要方便,但要注意的是轉換必須在在線情況下才能實現。PING的功能是來測試目標主機是否和網絡連接,也就是目標服務器是否開啟,從返回歷時可以看出目標主機的響應速率;主機信息功能是對目標主機進行簡單的掃描以獲得主機的基本配置信息;端口掃描功能可以掃描出目標IP開放的端口號,解釋協議類型和端口功能描述。在要測試的IP地址添入目標主機IP,再填入起始端口和終止端口,就可以掃描出指定范圍的所有端口,然後只要通過簡單的操作就可以產生不小的破壞。
蝸牛炸彈 蝸牛炸彈是一種分布式攻擊的工具,即使攻擊結束,在網絡上的攻擊效應還會持續下去,直到對方死機為止。蝸牛炸彈有兩大功能,一是測試某個服務器的安全性,另一個是搜索指定IP段的可用服務器。選擇第一個功能,只要填入測試的IP,填好要測試的次數,選擇服務器次數,就能以廣播形式攻擊某一台主機。第二種功能,要在搜索選項裡填入起始IP和結束IP地址,才可掃描出這段IP裡可用的服務器數據,然後添加IP地址進行攻擊(圖1)。
CGSiOOBMessageGFPGen CGSiOOBMessageGFPGen是一款專門進行OOB攻擊的工具,可以對單一的地址進行攻擊,也可以攻擊多個主機,只要在IP/MachineName中輸入主機IP地址或主機名,選擇目標主機開放的端口,按“Kill”即可攻擊某一主機;要攻擊多個主機,點擊“AddtoMulti-Kill”把要攻擊的主機依次添加到“Multi-KillList”列表中,按下“Kill All Now”可以對列表中的所有主機攻擊一次;循環攻擊則可選擇“Repeat Kill”,會彈出選擇提示選擇次數,選好後按確定即可實施攻擊。如果安裝有CGSiPortSniffer,還可以用菜單File中的OpenPortSniffer激活端口嗅探器。
UDP Flooder1.02 UDP Flooder是進行UDP攻擊的利器。打開UDP Flooder後標題欄就顯示出本機的IP地址。在Destination選項目的地下面的IP/hostname裡添加要攻擊的目標主機IP或者域名,在Port裡添上目標主機的端口,在Maxduration(secs)裡填入持續時間,Maxpackets裡填上數據包大小,運用Speed(pkts/sec)移動滑塊來設置攻擊速度,在Data裡可以自定義發送數據包的內容,選擇Random選項,可以發送指定大小的雜亂數據包,Text選項是向目標主機發送UDP Flooder中攜帶的攻擊數據包,From file裡可以選擇指定的文件內容做為攻擊用的數據包,填好上面各種項目按“GO”鍵即可實施攻擊。
防止IP炸彈的攻擊 防止IP炸彈攻擊的解決辦法,主要是盡快更新系統,及時安裝相應的補丁程序,去掉多余的網絡協議。如果你是一個單機用戶,那麼完全可以禁止NetBiOS服務,從而堵上這個危險的“漏洞”。
●
Windows 9x用戶 在Windows 9x下,如果你通過撥號上網,就完全不需要登錄到NT局域網絡環境,只需要在“控制面板” “網絡”中,刪除“Microsoft網絡用戶”,使用“Microsoft友好登錄”,也不要去設置“文件打印共享”就可以。
●
Windows NT用戶 在Windows NT下,可以取消NetBIOS與TCP/IP協議的綁定,方法是:“控制面板” “網絡” “NetBiOS接口” “WINS客戶(TCP/IP)”,選擇“禁用”,確定後重啟。
●
Windows 2000/Windows XP用戶 先用鼠標右鍵單擊“網絡鄰居”,選擇“屬性”,進入“網絡和撥號連接”;再用鼠標右鍵單擊“本地連接”,選擇“屬性”,進入“本地連接屬性”;雙擊“Internet 協議(TCP/IP)”後,點擊“高級”,選擇“選項”條中的“TCP/IP 篩選”,在“只允許”中填入除了139之外要用到的端口。注意,如果你在局域網中,這樣會影響局域網的使用。
●
自己定制防火牆規則 這種方法適合所有Windows操作系統的用戶。以天網個人防火牆為例,選擇一條空規則,規定如下:“數據包方向”為“接收”,“對方IP地址”為“任何”,“協議”為“TCP”,“本地端口”選“139到139”,“對方端口”為“0到0”,在“標志位”中選上“SYN標志”,“動作”選“攔截”,保存即可。
防范郵件炸彈 郵件炸彈是利用發送大量超出郵箱規定空間的文件,使目標信箱無法再處理信件,導致信箱報廢的一種破壞性攻擊。下面認識一些郵件炸彈工具。
EmailKiller
EmailKiller在同類郵件炸彈裡相對比較麻煩。它可以在“目標信箱”選項裡添加要攻擊的目標信箱地址,不過每次發送的郵件長度都被限定(這要看目標信箱的容量而定),線程數還要看網速而定。在“設定信件內容”裡可以編輯所發信件的標題和內容,發信時會自動填加上亂碼發送出去。其它選項裡則可以選擇SMTP發件服務器地址,填寫郵件發件人信箱地址,需要注意的是,所填寫的發件服務器必需和發件人信箱使用的發件服務器是同一個地址,如果不知怎樣填寫,也可以取默認值。
MailBomb MailBomb也是一個比較常見的郵件炸彈工具,它不但可以發匿名信件,還可以在要發的信件裡加入附件。在使用這個工具時,首先要填入目標地址,填入一個已知的發信服務器,再填入自己的信箱地址(通常都是假的)。不過發件人信箱的服務器必需和添加的服務器一致才能順利發送。郵件內容可以自由編輯,“ADD”選項可以加入要發送的附件,發送次數也可自定。在“more”選項中還有很多的功能選項,包括:可以設置自動回復信息地址、自動回復信件的主題、顯示發送者姓名等功能。當添好以上選項後,只要在發送相關郵件時來回變換主題,按“發送”即可進行攻擊(圖2)。
紅客信使 紅客信使可以實現郵件群發,是一款用於“搗亂”的郵件炸彈。在信箱黑名單裡填上目標信箱的地址,按“+”號即可把要傳送的地址加入列表,按“-”號即可把列表中目標信箱清除。用紅客信使發送郵件,可以不用添加內容,使用默認選項,紅客信使會把一些如同問候的信發到目標信箱裡,紅客信使發出的信如果被打開,就會占用目標系統源直至死機。
防止郵件炸彈攻擊的方法
首先,不要公開自己重要的信箱地址;其次,使用郵件過濾程序來拒絕一些破壞過你信箱的發信地址。只要遵循以上兩種方法,即可防止郵件炸彈攻擊。
防范硬盤炸彈 硬盤炸彈專門破壞硬盤數據給對方造成損失,還可使目標硬盤不能啟動。
江民炸彈 這是一個極危險的硬盤炸彈,運行後它會把硬盤磁頭鎖死在引導區的某個位置上,造成軟硬盤假物理損傷,致使DOS3.3以上的各種系統無法正常啟動。
大家知道,計算機在引導DOS系統時將會搜索所有邏輯盤的順序,當DOS被引導時,首先要去找主引導扇區的分區表信息——位於硬盤的零頭零柱面第一個扇區的OBEH地址開始的地方——當分區信息開始的地方為80H時表示是主引導分區,其他的為擴展分區,主引導分區被定義為邏輯盤C盤,擴展分區的邏輯盤被定義為D盤,以此類推找到E,F,G……江民炸彈就是在此下手,修改了正常的主引導分區記錄,將擴展分區的第一個邏輯盤指向自己,DOS在啟動時查找到第一個邏輯盤後,查找下個邏輯盤總是找到自己,這樣一來就形成了死循環,這就是使用軟驅,光驅,雙硬盤都不能正常啟動的原因。實際上江民炸彈只是利用了DOS在啟動時的一個小小缺陷,便令不少人都束手無策。知道了江民炸彈的“上鎖”原理,要解鎖也就比較容易了。曾經有讀者采用“熱插拔”硬盤電源的方法來處理:就是當系統啟動時,先不給被鎖的硬盤插上電源線,等待啟動完成後再給硬盤“熱插”上電源線,這時如果硬盤沒有燒壞的話,系統就可以控制硬盤了,這是一種非常危險的方法,大家不要輕易嘗試。下面介紹一種比較簡單和安全的處理方法。
下載江民炸彈提供的恢復程序解鎖是個簡單易行的辦法,該軟件解壓縮後有4個文件:說明文件readme.exe、制作解鎖盤用的文件rescue.com,還有兩個文件則是江民炸彈,它們的名字分別為Jmbs.arj、JMBOS. zip,其實都是一個文件壓縮而成,只不過擴展名不同而已。解壓後會看到jmbs.exe文件,大小為1809字節,這就是江民炸彈,如果你不小心運行了它,機器的硬盤將會被死鎖住,無論用軟驅還是光驅,都不能啟動計算機,硬盤和報廢了沒什麼區別。解決辦法是,把rescue.exe拷貝到一張空白軟盤上,插入軟驅後運行。顯示“OK”的提示信息後,你就有了一張江民炸彈的解鎖盤,你會發現裡面一個文件也沒有,不要驚訝,就是這樣的。用這張恢復盤啟動機器,如果出現unlock的字樣,那就成功地解鎖了。
HDBreaker(硬盤終結者) 這是一款極其惡劣的硬盤炸彈程序。它是Win32PE程序,因為用了VxD技術,所以能在Windows環境中直接寫硬盤扇區,而無需像其它同類軟件一樣要等待重啟時進行破壞。這個軟件可以直接運行於Windows環境中,運行後立即進行破壞,不顯示任何界面。它會從硬盤第一物理扇區(0柱0面1扇區)開始,向其中寫入內存垃圾數據,是與CIH發作效果相同的危險工具,請勿輕易實驗。硬盤終結者對硬盤數據破壞之後,只有江民公司的KVW3000殺毒王和金山毒霸2002能成功修復部分數據,其它殺毒軟件都無法恢復被硬盤終結者破壞後的硬盤數據。所有的殺毒軟件創建的恢復盤都無法恢復C盤數據。另外,硬盤終結者只能運行於Windows 95/98/Me下,所以對Windows 2000和Windows XP用戶沒有任何威脅。
Carem3 Carem3是網絡休閒莊(一個黑客網站)技術顧問Carem的作品,這是一個非常狠毒的惡意攻擊軟件,運行後如果不知道正確的破解方法,必須重裝系統。解壓後的Carem3只有一個文件Carem3.exe(圖3),一定不要輕易運行使用這個圖標的軟件;此外由於這個炸彈的,文件名通常都會被更改,所以記住它的文件大小也是個不錯的識別方法,Carem3.exe文件大小為321536字節。如果不小心運行了Carem3,會出現如圖所示畫面(圖4),此時鼠標被控制在一定范圍內,無法點擊屏幕上的按鈕,按動回車鍵就會彈出個窗口警告你不要隨意運行可執行程序,提示這只是個教訓之類的警告信息,然後會自動重新啟動電腦,但你再也無法進入Windows桌面了。如果沒有按動任何鍵,Carem3也會自動倒計時,從20秒到0就重新啟動電腦,使系統崩潰。
該程序的基本原理是破壞C:\windows\system\下的vmm32.vxd文件。vmm32.vxd是虛擬設備驅動程序,由於它被破壞了,導致計算機不能進入Windows系統。
該惡意軟件的作者提供的破解方法是:在開機的時候按F8選擇Command prompt only方式進入DOS界面,之後在提示符後執行repair即可。另外你如果事先備份了vmm32.vxd文件,就可以使用另外一個破解方法:用啟動盤從軟驅啟動計算機,將備份的vmm32.vxd復制到c:\Windows\system\裡,重新啟動計算機就可以了,如果沒有備份,可以到其他計算機上復制。
硬盤炸彈的防范方法 首先,不要隨便運行自己不了解的程序;其次,做好系統恢復盤;第三,定期備份重要數據;第四,准備好最新的殺毒軟件,許多殺毒軟件已經將上面的幾款炸彈定義為病毒,可以查殺它們;第五,把危險的命令改個名字,如將format.com改為format.old等
防范QQ炸彈 QQ擁有眾多用戶,是一款常用的即時通訊工具,而QQ炸彈則給這些用戶帶來了不少麻煩。
QQBomb 這是紅盟做出的攻擊QQ“拒絕服務”的炸彈,只要填入目標的IP和端口號,點擊“發送”即可把對方的QQ關掉,或使其出現非法操作而關閉
FuckTencen FuckTencen可以對一個IP地址進行連續攻擊,需要加入要攻擊的IP地址,端口可以添加起始端口到截止端口,這樣即使不知對方具體端口號也可以進行攻擊,在主界面下有設置速度的快慢滑塊,主要是調整選擇了循環攻擊時的連續攻擊速度。
Q死一大片 該工具可以對多個IP地址多端口進行攻擊,只要填入開始IP和結束IP段,再選擇開始端口和結束端口段,便可對選擇區內的所有IP和端口進行攻擊。除此之外,該工具還可以查看自己IP地址,另外兩個選項是轟炸完成後恢復開始IP。
飄葉OICQ千夫指 飄葉OICQ千夫指屬於QQ消息炸彈,通過給你的QQ發送大量的垃圾信息,迫使你下線。目前,飄葉千夫指出了第四代(圖5),可攻擊多種版本的QQ,使得被攻擊方QQ不得不關閉,或者出現非法操作。只要你升級到最新版本的QQ,那麼飄葉千夫指這項功能就沒有用了。另外,你也可以采用下線再上線的方法,但這樣也很麻煩,而且不能從根本上解決問題。
我們可以采用一個簡便的方法對付它,具體做法是:運行QQ,用鼠標右鍵點擊任務欄中的QQ圖標,在彈出的菜單中選擇“個人設置”(圖6),彈出“QQ2004設置”對話框,在該對話框中點擊“個人資料”標簽,在“用戶呢稱”前加上“275297”(注意輸入時沒有引號);接下來在該對話框中點擊“聯系方式”標簽,然後在“電子郵件”欄中把你的E-mail改成作者飄葉的QQ號碼“275297”就可以了(圖7)。這樣只要有人用飄葉OICQ千夫指向你發消息,對方的計算機就會重新啟動,那些垃圾信息也就被拒之門外了。
這個方法的原理就是作者飄葉在該軟件中留下了後門——通過在程序中做的處理,屏蔽了對QQ號碼“275297”的攻擊,一旦該號碼遭到飄葉千夫指的攻擊,就會調動程序中相關代碼,重新啟動攻擊者的電腦。
QQ炸彈的防范方法 首先,隱藏自己的真實IP,可以用隱身方式,還可以使用代理服務器;其次,安裝最新版的QQ軟件;第三,在QQ參數裡選擇“直接通過服務器中轉”選項。
目前,各種攻擊工具層出不窮,手段多種多樣,但大多是針對單一的漏洞進行攻擊,所以防范起來並不太難。只要大家小心謹慎而且及時安裝系統補丁程序,安裝最新的防火牆,受攻擊的機會將大大減小。