什么是“空会话”？

“空会话”指的是与Windows系统进程间通信共享资源之间的匿名连接。通过这种方式，攻击者可以在无需提供任何凭据的情况下，收集信息或获取未经授权的访问权限。 这种“空会话攻击”自Windows 2000被广泛使用后就已经存在了。不过，系统管理员在实施网络安全措施时，往往不会考虑到这种攻击方式。 这种攻击方式可能会产生难以想象的后果。黑客可以利用这种攻击方式获取所有必要的信息，从而远程访问系统。所谓“空会话”，指的是一种匿名连接SMB服务器的方式，这种连接方式不需要使用用户名或密码。

在本文中，我们将探讨空会话攻击的工作原理，以及如何在您的系统中避免这些攻击。

共享的空会话以及进程间通信

“进程间通信共享”用于通过进程之间进行通信。远程过程调用(RPC)技术使得客户端系统能够向服务器发送各种指令。以下是这些命令的一些示例：

• 列出所有的股票。
• 服务启动/停止
• 请列出所有用户的信息。
• 列出共享文件夹中的所有文件等。

根据服务器参数，使用“空会话”可以匿名访问其中的一些功能。这种“空会话”机制的存在使得攻击者能够从网络上的任何位置（包括互联网）连接到Windows计算机上未受保护的IPC共享资源。

“空会话”是如何形成的呢？

可以通过Windows会话来创建一个“空会话”。使用空白的名称和密码，然后使用net应用程序来进行连接映射。据专家称，这个Windows过程的主要目的就是以一种高度隔离的方式，协助在远程系统上执行RPC操作。

与任何其他进程一样，空会话也存在安全漏洞。这些漏洞很容易被一些无情的网络犯罪分子利用来发起攻击。攻击者可以利用这些漏洞，从远处或通过互联网连接到Windows系统中那些未受保护的进程间通信接口。

恶意盗贼只需在Windows命令提示符下输入特定的代码，就能轻易地利用那些存在安全漏洞的Windows电脑进行攻击。根据研究结果显示，攻击者只需在命令提示符下输入“net use IP_ADDRESS\ipc$”，就能成功访问该计算机。

使用“net use”命令，将路径设置为：“\\192.168.1.10\ipc$”，并输入密码“attacker”。

在这里，192.168.1.10这是目标机器的IP地址。ipc$就是他们试图连接的那个部分/对象。/user:攻击者密码指定用于身份验证的凭据。

在发起攻击时，入侵者还可能利用其他应用程序来辅助他们的攻击行为。这些应用程序包括Winfo、Walksam以及多个Windows资源工具包中的相关组件。此外，还有一些专门为收集大量系统数据而设计的Windows组件。不过，这些设备只有在明确启动了“空会话”之后才能被使用。

即使没有登录，也可以获取以下信息：共享的名称、安全策略设置、用户ID，以及仍然处于登录状态的用户。

因此，我们可以这样说：

• 这些空会话是通过使用 Windows NET 应用程序来生成的，该应用程序利用空白的用户名和密码来建立特定的连接。在命令提示符下输入以下 NET 命令，就可以在 Windows 操作系统上创建出空会话了。而 Windows 操作系统是最容易受到攻击的系统。

• 也可以使用诸如DumpSec、Winfo以及net user这样的程序来手动生成空会话。

空会话攻击所暴露的信息类型：

• 用户名
• 安全策略与配置。
• 请分享这些名字。
• 当前已登录的用户。

无效诉讼的辩护方法：

在涉及黑客攻击和入侵的问题时，首先想到的就是：“我们的系统是否存在漏洞？”这个问题的答案取决于所使用的操作系统以及网络环境。 在某种程度上，如果你使用的是Windows XP、Windows Server 2003或Windows 2000操作系统，那么答案就是“是”。不过，当客户使用更新型号的操作系统时，这种攻击方式就难以实施了。不过，Windows XP和Windows Server 2003仍然是最常见的攻击目标。 我们可以采用多种不同的方法来防止“空会话”现象的发生。 黑客可以通过使用“空会话攻击”来从系统中获取信息。 了解如何执行“空会话”操作，对于负责网络安全的人士来说至关重要。