打印

[原创]Ms 4011 exploit与port 445的思考

haiwanxue

版主

Rank: 7 Rank: 7 Rank: 7

-=辣B小心=-

精华: 11
积分: 5795

Wildpackets专家 Sniffer专家

发短消息
加为好友
当前离线

1^# 大中小发表于 2005-4-28 23:29 只看该作者

[原创]Ms 4011 exploit与port 445的思考

附件中是文章中的.pkt文件

附件: 您所在的用户组无法下载或查看附件

TOP

1259

认证专家

Rank: 4

精华: 3
积分: 1662

发短消息
加为好友
当前离线

2^# 大中小发表于 2005-4-29 07:16 只看该作者

楼主的杀毒软件是趋势的么?记得趋势的就是这个统计图...感觉楼主仅仅从445端口进行判断病毒有点鲁莽,不过从某一台PC存在连接或者大量连接多台PC的445端口的话可以大致确定其感染病毒的可能,然后具体查看数据包特征是否有感染病毒的可能性(或者查看数据包的大小是否一样,连接PC的IP是否连续等等特征),偶没有ETHERPEEK软件.无法看具体数据包了......

喜神过境，活人勿近，天高地宽，各走一半......

TOP

DragonGo

七哥

超级版主

Rank: 8 Rank: 8

-=行者=-

精华: 8
积分: 5445

发短消息
加为好友
当前离线

3^# 大中小发表于 2005-4-29 09:17 只看该作者

鼓励原创！

像学校这种网络确实不好管理
一方面缺乏相应的制度约束，学生特别是大学生一向散漫成性（大部分）
经常自以为是。
另一方面学校里面网管力量也有限！

我觉得像学校这种大型园区网，仅仅靠人工去这些捕捉，并封堵端口的做法也不太现实！光靠堵也根绝不了问题

我认为解决的方法分两个方面
1。学校制订相关的制度，提供安全紧急相应服务，做好宣传工作！
2。技术层面上，我认为通过联动的方式来保障
比如Cisco的主动防御，Nortel和Sygate的联动方案以及锐捷也有相应的解决方案
把问题遏制在网络的末端

信心源自实力，努力成就未来！
欢迎访问龙七客栈和睿博工作室

TOP

haiwanxue

版主

Rank: 7 Rank: 7 Rank: 7

-=辣B小心=-

精华: 11
积分: 5795

Wildpackets专家 Sniffer专家

发短消息
加为好友
当前离线

4^# 大中小发表于 2005-4-29 10:22 只看该作者

引用:

Originally posted by 1259 at 2005-4-29 07:16 AM:
楼主的杀毒软件是趋势的么?记得趋势的就是这个统计图...感觉楼主仅仅从445端口进行判断病毒有点鲁莽,不过从某一台PC存在连接或者大量连接多台PC的445端口的话可以大致确定其感染病毒的可能,然后具体查看数据包特 ...

是金山毒霸2005网络版，不过感觉客户端做的很傻瓜化！

TOP

Vader

管理员

Rank: 9 Rank: 9 Rank: 9

网络亲善大使

精华: 15
积分: 6258

发短消息
加为好友
当前离线

5^# 大中小发表于 2005-4-29 10:29 只看该作者

445是windows dce端口，是windows 2000系统相对NT/98系统的一个重要改动，
在纯win2k系统环境里，大量的通讯都是基于445端口的。

其实可以先在一个正常端口上不进行任何通讯，只进行捕获所有流量，就已经能够发现很多感染病毒的主机在扫描或者ARP的动作了

题外话，我突然冒出一个念头，就是“基于网络异常流量的自动采样生成过滤器”，好像可以写篇论文了，要采样出异常的流量，然后进行计算，生成的过滤器要避免误捕获正常流量。

TOP

Vader

管理员

Rank: 9 Rank: 9 Rank: 9

网络亲善大使

精华: 15
积分: 6258

发短消息
加为好友
当前离线

6^# 大中小发表于 2005-4-29 10:47 只看该作者

推荐到安全分析版吧

TOP

haiwanxue

版主

Rank: 7 Rank: 7 Rank: 7

-=辣B小心=-

精华: 11
积分: 5795

Wildpackets专家 Sniffer专家

发短消息
加为好友
当前离线

7^# 大中小发表于 2005-4-29 12:09 只看该作者

引用:

Originally posted by Vader at 2005-4-29 10:29 AM:
445是windows dce端口，是windows 2000系统相对NT/98系统的一个重要改动，
在纯win2k系统环境里，大量的通讯都是基于445端口的。

其实可以先在一个正常端口上不进行任何通讯，只进行捕获所有流量，就已经能够 ...

支持啊，etherpeek的那几个病毒filter原理就是怎样，比如随便两个看：

附件: 您所在的用户组无法下载或查看附件

TOP

kemu

劳苦功高

Rank: 3 Rank: 3

精华: 0
积分: 111

发短消息
加为好友
当前离线

8^# 大中小发表于 2005-4-29 21:11 只看该作者

v大能不说说说锐捷解决方案我们学校全线是ruijie的产品高端汇聚接入以及radius
能谈谈吗而且我上次发的网络执法官的帖子这种arp欺骗有什么可以做的没有谢谢

相遇很困难，错过很简单

TOP

DragonGo

七哥

超级版主

Rank: 8 Rank: 8

-=行者=-

精华: 8
积分: 5445

发短消息
加为好友
当前离线

9^# 大中小发表于 2005-4-29 21:12 只看该作者

引用:

Originally posted by kemu at 2005-4-29 09:11 PM:
v大能不说说说锐捷解决方案我们学校全线是ruijie的产品高端汇聚接入以及radius
能谈谈吗而且我上次发的网络执法官的帖子这种arp欺骗有什么可以做的没有谢谢

召唤huangHH

信心源自实力，努力成就未来！
欢迎访问龙七客栈和睿博工作室

TOP

scz

版主

Rank: 7 Rank: 7 Rank: 7

精华: 7
积分: 3508

发短消息
加为好友
当前离线

10^# 大中小发表于 2005-5-9 15:06 只看该作者

引用:

Originally posted by Vader at 2005-4-29 10:29:
445是windows dce端口，是windows 2000系统相对NT/98系统的一个重要改动，

445/TCP是SMB Over TCP的口，所谓DCE应该是指DCE/RPC，这可就未必了。
445/TCP与139/TCP的实质区别是:

1) 从网络通信层面来讲

与139相比，445口的通信没有NBT层的Session Request这个步骤。

2) 从mrxsmb.sys、srv.sys的处理层面来讲

445/TCP直接将原139/TCP上通信报文中的前4字节当成固有数据，换个说法，
不再先剥离NBT层，再绕一个N大的圈交给SMB层来处理，而是直接将这4字节
裹着一起交给SMB层来处理。

TOP

Vader

管理员

Rank: 9 Rank: 9 Rank: 9

网络亲善大使

精华: 15
积分: 6258

发短消息
加为好友
当前离线

11^# 大中小发表于 2005-5-9 23:22 只看该作者

引用:

Originally posted by scz at 2005-5-9 15:06:

445/TCP是SMB Over TCP的口，所谓DCE应该是指DCE/RPC，这可就未必了。
445/TCP与139/TCP的实质区别是:

1) 从网络通信层面来讲

与139相比，445口的通信没有NBT层的Session Request这个步骤。

2) 从m ...

受教，这一阵有点浮躁，发言开始随意，检讨之。 dce/rpc是 135 口的特长 .

发一个analyzing W2K traffic with Sniffer 的ppt,其中有一些关于CIFS/SMB in W2K(445 vs 139)的描述，作为Scz TX发言的陪衬

附件: 您所在的用户组无法下载或查看附件

TOP

金州

功不可没

Rank: 2

精华: 0
积分: 54

发短消息
加为好友
当前离线

12^# 大中小发表于 2006-2-10 08:32 只看该作者

445一般转接的是139.135.136
445端口的一般都是能侵入共享，弱口令的
对于局域网，尤其学校公司本身共享很多设备的最容易造成巨大影响

TOP