中新網安安全研究院SMBLoris漏洞分析報告

近日,在DEF CON黑客大會上,有人曝光了Windows系統上一個隱藏了20年的漏洞,安全研究人員稱他作“SMBLoris”,利用這個漏洞可以發起“拒絕服務”(DoS攻擊),影響Windws 2000及以上系統任一版本的SMB協議。

【風險等級】高危

【風險等級】運行在Windows 2000及以上版本系統上的SMBv1協議。

【漏洞危害】遠程攻擊者可以導致系統內存資源耗盡。

【漏洞利用前置條件】系統開放TCP139或445端口。

【漏洞分析】

NBSS是NetBIOS會話服務協議,每個連接都會分配128KB的內存,在連接關閉時釋放內存。當沒有活動執行的時候,連接會在30秒后關閉。

使用65535個TCP端口,攻擊者可以填充超過8GB的數據,在IPv4和IPv6協議下,DDoS攻擊可以達到16GB數據,兩個IP的話,攻擊流量可以翻倍,即達到32GB。

【漏洞實現】

一臺普通的PC計算機最大只能覆蓋目標機器8G內存,IPv6協議暫不討論,但是現在的高性能服務器動輒幾十甚至上百G內存,一臺普通PC也就無法造成拒絕服務。其實我們可以使用原始套接字構造偽造攻擊源IP突破8G內存限制

源IP范圍1.1.1.1-255.255.255.255 端口:1-65535

1502255624958392.png

如上圖所示 每偽造一次IP就可以發送65535次數據包填充目標服務器8G內存,一個for循環不間斷偽造IP發送數據,最終導致操作系統通過很長的內存列表來尋找未分配的內存,而這樣會使操作系統崩潰,CPU占用率也會達到峰值。

【效果演示】

2.png

1502255644302795.png

【修復建議】

禁用SMBv1協議或使用聯機設備(包括防火墻)來限制單個IP地址到SMB端口的活動連接數來緩解這種情況。

辉煌娱乐app官方下载