针对昨日全球发生的互联网受攻击导致网络速度变慢一事，国内专业从事网络安全服务的中联绿盟信息技术(北京)有限公司独家授权新浪网发布紧急公告，供广大中国互联网企业及用户参考。公告全文如下：

　　绿盟科技紧急公告(Alert2003-zh-01)

　　Nsfocus安全小组(security@nsfocus.com)http://www.nsfocus.com

　　防范DoS攻击！

　　发布日期：2003-01-25

　　受影响的软件及系统：Microsoft SQL Server 2000 SP1Microsoft SQL Server 2000 Desktop EngineMicrosoft SQL Server 2000

　　- Microsoft Windows NT 4.0 SP6a

　　- Microsoft Windows NT 4.0 SP6

　　- Microsoft Windows NT 4.0 SP5

　　- Microsoft Windows NT 4.0

　　- Microsoft Windows 2000 Server SP3

　　- Microsoft Windows 2000 Server SP2

　　- Microsoft Windows 2000 Server SP1

　　- Microsoft Windows 2000

　　综述：绿盟科技安全小组监测到一种针对Microsoft SQL Server 2000的蠕虫正在活跃，危害极大。

　　分析：北京时间2003年01月25日14时许，绿盟科技安全小组监测到忽然发生了世界范围的大规模网络访问速度减慢甚至阻塞的情况，经过绿盟科技安全小组对捕获的数据样本分析和研究，已经明确，这是一种新出现的针对Microsoft SQL Server 2000的蠕虫。

　　该蠕虫本身非常小，仅仅是一段376个字节的数据。利用的安全漏洞是“Microsoft SQL Server 2000 Resolution服务远程栈缓冲区溢出漏洞”(http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=3148)。

　　蠕虫利用的端口是UDP/1434，该端口是SQL Server Resolution服务。Microsoft SQL Server 2000支持在单个物理主机上伺服多个SQL服务器的实例，每个实例操作需要通过单独的服务，不过多个实例不能全部使用标准SQL服务会话会话端口(TCP 1433)，所以SQL Server Resolution服务操作监听在UDP 1434端口，提供一种使客户端查询适当的网络末端用于特殊的SQL服务实例的途径。

　　当SQL Server Resolution服务在UDP 1434端口接收到第一个字节设置为0x04的UDP包时，SQL监视线程会获取UDP包中的数据并使用此用户提供的信息来尝试打开注册表中的某一键值，如发送\x04\x41\x41\x41\x41类似的UDP包，SQL服务程序就会打开如下注册表键：HKLM\Software\Microsoft\Microsoft SQL Server\AAAA\MSSQLServer\CurrentVersion攻击者可以通过在这个UDP包后追加大量字符串数据，当尝试打开这个字符串相对应的键值时，会发生基于栈的缓冲区溢出，通过包含"jmp esp"或者"call esp"指令的地址覆盖栈中保存的返回地址，可导致以SQL Server进程的权限在系统中执行任意指令。

　　蠕虫溢出成功取得系统控制权后，就开始向随机IP地址发送自身，由于这是一个死循环的过程，发包密度仅和机器性能和网络带宽有关，所以发送的数据量非常大。在绿盟科技安全小组的测试中，和被感染机器在同一网段的每一台分析机每秒钟都收到了近千个数据包。

　　该蠕虫对被感染机器本身并没有进行任何恶意破坏行为，也没有向硬盘上写文件。对于感染的系统，重新启动后就可以清除蠕虫，但是仍然会重复感染。由于发送数据包占用了大量系统资源和网络带宽，形成Udp Flood，感染了该蠕虫的网络性能会极度下降。一个百兆网络内只要有一两台机器感染该蠕虫就会导致整个网络访问阻塞。

　　解决方法：绿盟科技安全小组建议所有运行Microsoft SQL Server 2000和近期发现网络访问异常的用户按照以下解决方案操作：

　　1、找到被感染的主机

　　启动网络监视程序(譬如Sniffer Pro)，找到网络中大量发送目的端口为UDP/1434的主机，这些主机极为可能感染了该蠕虫。如果由于蠕虫发出的数据包流量过大导致网络监视程序工作不正常，则可尝试设定规则为捕获一定大小数据后停止捕获。

　　如果不能确定，则认为所有运行Microsoft SQL Server 2000而没有安装补丁程序的机器都是被感染的机器。可尝试使用端口扫描器(例如Nmap)扫描TCP/1433端口来找到运行Microsoft SQL Server的系统(但不能肯定版本是Microsoft SQL Server 2000 )。

　　如果确定本系统内没有可能被感染的机器(譬如一个UNIX网络)则直接进行步骤3即可。

　　2、拔掉被感染主机的网线

　　3、在边界防火墙或者路由器上阻塞外部对内和内部对外的UDP/1434端口的访问

　　如果该步骤实现有困难可使用系统上的TCP-IP筛选来阻塞对本机UDP/1434端口的访问。

　　4、重新启动所有被感染机器

　　5、插上所有机器的网线

　　6、为被感染机器安装最新的Microsoft SQL Server 2000 Service Pack：

　　虽然Microsoft SQL Server 2000 SP2(http://www.microsoft.com/sql/downloads/2000/sp2.asp)就已经解决了该问题，但考虑到在SP2之后又出现了一些严重安全问题，强烈建议安装Microsoft SQL Server 2000 SP3(http://www.microsoft.com/sql/downloads/2000/sp3.asp)。

　　或者至少应该下载针对该漏洞的热修复补丁：

　　http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp

　　注：上述步骤仅供参考。

　　绿盟科技公司产品的冰之眼IDS(http://www.nsfocus.com/homepage/products/nids.htm)早在该漏洞发布时(2002年7月)就已经可以检测此种攻击；RSAS(http://www.nsfocus.com/homepage/products/rsas.htm)也早就可以检测到网络内受该漏洞影响的主机；对于大量的UDP数据流导致的拒绝服务，黑洞(http://www.nsfocus.com/homepage/products/collapsar.htm)是目前最佳解决方案之一。

　　附加信息: Microsoft SQL Server 2000 Resolution服务远程栈缓冲区溢出漏洞

　　发布日期：2002-07-25更新日期：2002-07-30

　　受影响系统：Microsoft SQL Server 2000 SP1Microsoft SQL Server 2000 Desktop EngineMicrosoft SQL Server 2000

　　- Microsoft Windows NT 4.0 SP6a

　　- Microsoft Windows NT 4.0 SP6

　　- Microsoft Windows NT 4.0 SP5

　　- Microsoft Windows NT 4.0

　　- Microsoft Windows 2000 Server SP2

　　- Microsoft Windows 2000 Server SP1

　　- Microsoft Windows 2000描述：BUGTRAQ ID: 5311CVE(CAN) ID: CAN-2002-0649

　　Microsoft SQL Server 2000是一款由Microsoft公司开发的商业性质大型数据库系统。

　　Microsoft SQL Server 2000的Resolution服务对用户提交的UDP包缺少正确的处理，远程攻击者可以利用这个漏洞进行基于栈的缓冲区溢出攻击。

　　Microsoft SQL Server 2000支持在单个物理主机上伺服多个SQL服务器的实例，每个实例操作需要通过单独的服务，不过多个实例不能全部使用标准SQL服务会话会话端口(TCP 1433)，所以SQL Server Resolution服务操作监听在UDP 1434端口，提供一种使客户端查询适当的网络末端用于特殊的SQL服务实例的途径。

　　当SQL Server Resolution服务在UDP 1434端口接收到第一个字节设置为0x04的UDP包时，SQL监视线程会获取UDP包中的数据并使用此用户提供的信息来尝试打开注册表中的某一键值，如发送\x04\x41\x41\x41\x41类似的UDP包，SQL服务程序就会打开如下注册表键：

　　HKLM\Software\Microsoft\Microsoft SQL Server\AAAA\MSSQLServer\CurrentVersion

　　攻击者可以通过在这个UDP包后追加大量字符串数据，当尝试打开这个字符串相对应的键值时，会发生基于栈的缓冲区溢出，通过包含"jmp esp"或者"call esp"指令的地址覆盖栈中保存的返回地址，可导致以SQL Server进程的权限在系统中执行任意指令。

　　<*来源：NGSSoftware Insight Security Research (nisr@nextgenss.com)

　　链接：http://archives.neohapsis.com/archives/bugtraq/2002-07/0291.html

　　http://www.microsoft.com/technet/security/bulletin/MS02-039.asp

　　http://www.ngssoftware.com/advisories/mssql-udp.txt*>

　　建议：临时解决方法：

　　如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

　　*在边界防火墙、网关设备或者SQL Server主机上限制对UDP/1434端口的访问。由于UDP报文的源地址很容易伪造，所以不能简单地限制只允许可信IP访问。

　　厂商补丁：

　　Microsoft---Microsoft已经为此发布了一个安全公告(MS02-039)以及相应补丁:MS02-039：Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution (Q323875)链接：http://www.microsoft.com/technet/security/bulletin/MS02-039.asp

　　补丁下载：

　　* Microsoft SQL Server 2000:

　　http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602

　　参考：

　　http://www.microsoft.com/technet/security/bulletin/MS02-039.asp、http://archives.neohapsis.com/archives/bugtraq/2002-07/0291.html、http://www.microsoft.com/technet/security/bulletin/MS02-039.asp、http://www.ngssoftware.com/advisories/mssql-udp.txt、http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=3148

　　声明

　　本安全公告仅用来描述可能存在的安全问题，中联绿盟信息技术(北京)有限公司不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，中联绿盟信息技术(北京)有限公司以及安全公告作者不为此承担任何责任。中联绿盟信息技术(北京)有限公司拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经中联绿盟信息技术(北京)有限公司允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

　　关于我们

　　中联绿盟信息技术(北京)有限公司成立于2000年3月，是国内专业从事网络安全服务的高科技企业，致力于网络安全技术研究、网络安全产品开发，提供由网络系统入侵检测、操作系统安全、网络服务安全、程序安全为重点的整体网络安全方案，并协助建立严密的网络安全制度，提高国内的网络安全水平，为客户提供强有力的安全保障。

　　中联绿盟信息技术(北京)有限公司成立后，其安全技术研究部门对国内外最新的网络系统安全漏洞进行最及时和最紧密的跟踪，对重大安全问题更成立专项研究小组进行技术攻关，取得了一系列在国内、甚至是国外处于领先水平的优秀成果。安全产品开发部门具有开发网络安全评估系统、网络/系统防火墙、入侵监测系统、内容过滤系统等高技术含量网络安全产品的技术实力和经验，已经推出了具有国际领先水平的安全产品系列。

　　中联绿盟信息技术(北京)有限公司定位于网络系统安全集成商，提供全面的网络安全整体解决方案、先进的网络安全技术服务和优秀的网络安全产品。

　　中联绿盟信息技术(北京)有限公司联系方式：

　　北京总部：地址：北京市海淀区北洼路4号益泰大厦5层邮编：100089电话：010-68438880传真：010-68437328email：webmaster@nsfocus.com

　　上海分公司：地址：上海市南京西路758号晟新大厦24层A座邮编：200041电话：021-62179591/92传真：021-62176862

　　广州分公司：地址：广州市人民中路555号美国银行中心1702邮编：510180电话：020-81301251,81301252传真：020-81303835

　　新浪天堂隆重发布，百万玩家迎接公开测试