MS17-010
漏洞描述:
如果攻击者向 Microsoft 服务器消息块SMB服务器发送经特殊设计的消息,则其中最严重的漏洞可能允许远程代码执行。
受影响的系统:
SMBv2漏洞(MS17-010):Windows XP(32bit),Windows Server 2008 R2(32bit/64bit),Windows 7(32bit/64bit)
SMB协议
Server Message Block,服务器消息块,是一种协议名,smb服务的作用在于计算机间共享文件、打印机和串口等。SMB是应用在会话层和表示层以及小部分应用层的协议。SMB使用了NetBIOS的应用程序接口。另外,它是一个开放性的协议,允许协议扩展。
SMB协议是基于TCP-NETBIOS协议的,使用的端口为139和445,在NetBIOS出现之后,Microsoft就使用NetBIOS实现了一个网络文件/打印服务系统,这个系统基于NetBIOS设定了一套文件共享协议,Microsoft称之为SMB(Server Message Block)协议。Windows系统均包括这个协议的客户端软件。
Samba服务
Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。
工作流程:
1.协议协商:客户端发送netprot指令包,包含smb类型等数据给服务器,服务器响应netprot数据包。
2.建立连接:当smb确认之后,客户端发送session setup指令,提交账号密码,服务器端响应session setup数据包。
3.客户端访问共享资源,发送tree connect指令包,服务器端响应。
4.断开。
RDP协议
远程桌面协议(RDP, Remote Desktop Protocol)是一个多通道(multi-channel)的协议,让用户(客户端或称“本地电脑”)连上提供微软终端机服务的电脑(服务器端或称“远程电脑”)。Windows几乎都有客户端所需软件:mstsc.exe。其他操作系统也有这些客户端软件,例如Linux、FreeBSD、Mac OS X。服务端电脑方面,则监听TCP3389端口的数据。
ICMP协议
ICMP是(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。ICMP协议是一种面向无连接的协议,用于传输出错报告控制信息。从技术角度来说,ICMP就是一个“错误侦测与回报机制”,其目的就是让我们能够检测网路的连线状况﹐也能确保连线的准确性。