引用: |
【jsszlfd的贴子】两位大侠你们好: 我更新了8月19日的防火墙规则后,出现了这个问题,是在开机后进入桌面(但网络还没有连接)时,防火墙就出现了这个警报.我没有上网怎么也会有这个? 再有我用上了新的防火墙规则后防火墙总是不停的报警,是不是说明网络中的病毒或黑客在增多?因为最近我发现网速有点慢(卡). 特此请教! ........................... |
UPnP服务漏洞
“寿宁”出国了,要半年后才回来,你的问题我来回答,其实你说的是计算机安全常识了。
1、UPnP(通用即插即用协议,全称Universal Plug and Play),是一种允许主机定位和使用局域网上设备的服务,它可以利用IP协议使计算机、扫描仪、打印机、数码相机等设备能互相自动搜寻以便进行通讯,网络设备利用UPnP,可以查找出连接于同一网络中的其它设备,这就如同即插即用程序那样,安装了新硬件后PC即可自动找到硬件。
UPnp眼下算是比较先进的技术,已经包含在Windows XP中,这本是件好事,但却惹出了麻烦,因为UPnp会带来一些安全漏洞。黑客利用这类漏洞可以取得其他PC的完全控制权,或者发动DOS攻击。如果他知道某一PC的IP地址,就可以通过互联网控制该PC,甚至在同一网络中,即使不知道PC的IP地址,也能够控制该PC。具体来讲,UPnP服务可以导致以下两个安全漏洞:
(1)缓冲溢出漏洞
UPnP存在缓冲区溢出问题,当处理 NOTIFY 命令中的
Location字段时,如果IP地址、端口和文件名部分超长,就会发生缓冲区溢出,由此会造成服务器程序的一些进程,其内存空间的内容被覆盖。该安全漏洞是eEye数字安全公司发现并通知微软的,这是Windows中有史以来最严重的缓冲溢出漏洞。由于UPnP服务运行在系统的上下文,因此利用该漏洞,黑客可以进行Dos攻击,水平高的黑客甚至可以一举控制他人的电脑,接管用户的计算机、查阅或删除文件。更为严重的是服务器程序监听广播和多播接口,这样攻击者即可同时攻击多个机器而不需要知道单个主机的IP地址。
安全对策:由于Windows XP打开了UPnP(通用即插即用)功能,因此所有WinXP用户都应该立即安装该补丁;而WinME的用户,只有在运行了UPnP的情况下才需要该补丁,因为Windows ME的UPnP功能在安装时是关闭的;至于Win98,由于其中并没有UPnP,只有当用户自己安装了UPnP的情况下,才需要使用该补丁,你可以从微软的网站下载该补丁程序(尽管微软分布了相关补丁,但到现在还有安全专家认为这还是个高危漏洞)。
(2)UDP和UDP欺骗
攻击运行了UPnP服务的系统也很容易,只要向该系统的1900端口发送一个UDP包,其中“
LOCATION”域的地址指向另一个系统的Chargen端口,就可能使系统进入一个无限的连接循环,由此会导致系统CPU被100%占用,无法提供正常服务。另外,攻击者只要向某个拥有众多XP主机的网络发送一个伪造的UDP报文,也可能会强迫这些XP主机对指定主机进行攻击。
安全对策:单击XP的控制面板/管理工具/服务,双击“Universal Plug and Play Device Host”服务,在启动类型中选择“已禁用。
如果你不想关闭UPnP服务堵住此类安全漏洞,可以到微软的网站下载安装对应的补丁;或者设置防火墙,禁止网络外部数据包对相关端口的连接。
2、 这段时间来网络很不宁静,尤其是针对443-445、134-139等具备系统共享通道性质的端口流量很反常,部分地区网速慢是正常,对不明规则包或恶意扫描的拦截很正常,防火墙拦截住了就没事。