优化NFR之一 --MSSQL Hello Buffer Overflow

2024-05-04 22:16:13

字体：大中小

来源：转载

供稿：网友

1.  前言  3
2.  报警信息  3
3.  NFR的检测  4
4.  协议分析  8
5.  漏洞说明  15
6.  漏洞分析  18
7.  小结  20

1.  前言
NFR（Network Flight Recorder）是一个老牌的商业网络IDS产品，最初由Firewall的牛人Marcus J. Ranum创建，是作为一个通用的网络流量分析和记录软件来实现的，为了最大限度地发挥分析工具的灵活性，NFR提供了完善强大的N-Code脚本语言，在很多的评测中表现出色。虽然L0pht为NFR提供过数百个签名库，但是缺乏一个可靠的签名集一直是他的软肋。

使用NFR有一段时间后，发现NFR存在着不少问题。且不说AI对中文的兼容性差而经常退出，也不说NFR版本升级而攻击事件说明却一直用旧版本的说明，单是IDS中最关键的攻击签名库，却让我大跌眼镜。除了升级缓慢以外，甚至还存在不少错误的签名。本系列文章针对其中我发现的部分问题进行分析和阐述，以便各位更好地利用NFR产品，同时也想和各位同仁讨论IDS中攻击签名库的编写。由于知识和时间的限制，错误之处在所难免，还希望得到各位的指教，任何意见或建议请发至:benjurry@xfocus.org

SQL Server是微软为对抗Oracle推出的数据库, 占领的市场份额已经仅次于Oracle，居世界第二，但是其安全性也一直受到用户的置疑。从1996年，Microsoft公司推出的SQL Server 6.5版本到1998年推出的SQL Server 7.0，以及到2000年8月推出了SQL Server 2000，在版本和功能不断升级的情况下，安全问题却没有得到很好地改善，不断发布针对SQL Server的安全公告和补丁。在2003年1月24日，针对SQL Server的“Slammer”蠕虫在Internet上肆虐，导致网络流量激增，严重影响了世界范围内的计算机和网络系统。SQL Server的漏洞引起了各大安全公司和厂商的重视，因此NFR也立即发布了多个针对SQL Server的攻击签名，其中包括了2002年8月7日Immunity公司Dave Aitel发现的Hello Buffer Overflow漏洞。但是在使用过程中，我发现NFR针对该漏洞的报警非常多，于是我对此进行了分析，于是写成了这个文章，以做记录。

2.  报警信息
下面是NFR针对MS SQL Hello Buffer Overflow的报警信息：

Severity:      Attack
Time:        13:54:21 15-Jul-2003
Source File:    packages/mssql/sql2k.nfr
Line:        226
Host:        benjurry-xfocus
Alert ID:      mssql_sql2k:buffered_hello
Source ID:     mssql_sql2k:source_me
Source:       mssql_sql2k:source_me

上一篇：PHP数据库开发知多少

下一篇：PHP设计聊天室步步通

学习交流

硬盘分区如何设置准确的分区空间

硬盘分区如何设置准确的分区空间...

热门图片

猜你喜欢的新闻

猜你喜欢的关注