На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Aтаки DoS

Сразу после появления и массового распространения сетей, построенных на ос­нове стека протоколов хакеры занялись разработкой средств для выпол­нения в сетях TCP/IP действий, которые можно назвать настоящим кибертерро-ризмом. Эти действия, при всем их разнообразии, сводятся к одному - атакам, направленным на разрушение или нарушение нормального функционирования различных сетевых сервисов и называемых атаками DoS (Denial of Service -Отказ в обслуживании). Технически атаки DoS реализуются с помощью про-грамм-эксплойтов, использующих уязвимости стека протоколов TCP/IP и сете­вого программного обеспечения.
Атаки DoS представляют собой сущее бедствие для современных сетевых ком­пьютерных систем, в особенности для Интернета. Ежегодно атаки DoS опусто­шают ресурсы различных сайтов Интернета, среди которых присутствуют такие известные сайты, как Yahoo, eBay, CNN.com, www.Microsoft.com, приводя к финансовым потерям их хозяев, исчисляемых миллионами долларов [3]. Как правило, следствием таких атак является выход из строя серверов Интернета из-за перегрузки, что приводит к недоступности услуг этих сайтов и, следова­тельно, к потере возможных доходов.
Причины применения атак DoS могут быть самыми различными, начиная от простого хулиганства и кончая самым настоящим кибертерроризмом, имеющим своей целью достижение, в том числе, определенных политических целей. Тем не менее, как справедливо указано в [3], для настоящего хакера атаки DoS не представляют особого интереса, вследствие их очевидной никчемности с точ­ки зрения доступа к информации. Мы, однако, не будем обсуждать цели, пре­следуемые «кул выполняющими атаку DoS против первого попав­шегося им под руку Web-сайта; заметим только, что для антихакера атаки DoS иногда становятся единственным средством защиты от нападений из сети. В са­мом деле, когда сразу с нескольких компьютеров на вас направляется целый шквал сетевых пакетов, защититься от него можно только одним способом - по­слав в ответ «залп» из сетевого «орудия», представляющего собой аналог хакер-ского инструмента для атаки DoS.
В данном случае уместно напомнить, что деяния типа атаки DoS никак не могут понравиться ее жертвам, что может иметь для хакера самые печальные последствия. Так что даже приме­няя атаку DoS против надоедливых киберхулиганов, помните, что нелишне предпринять те же меры защиты, что используют хакеры, - работайте через прокси-сервер и под защитой бранд­мауэра или системы IDS (например, BlacklCE Defender (http://blackice.iss.net/)), чтобы избежать раскрытия конфиденци­альности и возможной реакции объектов атаки.

В этой главе мы вначале рассмотрим общую классификацию атак DoS, а потом рассмотрим разновидности этих атак вместе с некоторыми программами, во­шедшими в классический набор инструментов хакинга.
Разновидности атак DoS
Целью атаки DoS является приведение компьютерной системы в состояние, когда ее функционирование становится невозможным. Технически реализация такой задачи может быть выполнена различными методами, поэтому чтобы бы­ло легче ориентироваться, мы разобьем атаки DoS на такие категории.
• Атаки насыщением полосы пропускания - отсылая на атакуемый хост боль­шое число пакетов, хакер перенасыщает полосу пропускания определенной сети, скажем, Интернета (так был неоднократно атакован Web-сайт Yahoo). Такую атаку хакер может выполнить двояким образом. Если хакер исполь­зует сетевое подключение с большой полосой пропускания, скажем, Т1 (ши­рина 1544 Мбит/с), то ему ничего не стоит затопить пакетами сетевое соеди­нение с полосой пропускания, скажем, 56 Кбит/с (модемное подключение). Другой вариант - использование усиливающей сети, когда хакер использует не слишком быстрый канал связи, например, модемное соединение. В этом случае с помощью определенной технологии хакер посылает поток пакетов на атакуемый хост сразу со всех компьютеров усиливающей сети.
• Атаки на истощение ресурсов - отсылая на атакуемый хост специально под­готовленные пакеты, хакер вынуждает атакуемый компьютер тратить свои ресурсы на обработку этих пакетов. Происходит захват системных ресурсов атакуемого компьютера - центрального процессора, памяти и других, после чего хост выходит из строя.
• Атаки некорректными сетевыми пакетами - отсылая на атакуемый хост осо­бым образом искаженные пакеты, хакер нарушает работу сетевого программ­ного обеспечения или операционной системы компьютера. В таких атаках
используются уязвимости, связанные с ошибками в коде программных средств.
• Атаки фальсифицированными сетевыми пакетами - искажая сетевые пакеты, хакер принуждает хост изменить конфигурацию или состояние атакуемой компьютерной системы, что снижает ее производительность или даже приво­дит к некорректной работе хостов. Такие атаки основываются на уязвимостях
или плохой настройке системы защиты.
Опишем подробнее атаки DoS перечисленных разновидностей, проиллюстриро­вав их примерами атак, ставших «классикой» этой разновидности хакинга.
Атаки насыщением полосы пропускания
Чтобы переполнить полосу пропускания линии связи атакуемого хоста, хакер должен принять во внимание возможности своего собственного сетевого соедине­ния. Если хакерский компьютер напрямую подключен к Интернету через соедине­ние Т1, то ему вполне по силам в одиночку «завалить» любой Web-сайт [3], не го­воря уже о клиентах, работающих через модемные подключения. Выполнив лави­нообразное генерирование пакетов, хакер заполняет ими линию связи атакуемого хоста, после чего работа атакованного хоста в сети становится невозможной.
Для выполнения такой атаки существует множество инструментов, использую­щих различные сетевые протоколы. Рассмотрим работу двух, весьма популяр­ных программ - и ICMP.
Все примеры атак DoS, рассмотренные в этой главе, будут ил­люстрироваться на экспериментальной локальной сети, кото­рую мы использовали в предыдущих главах для описания атак на службы электронной почты и ICQ. Автор категорически отвер­гает всякую возможность использования этой информации для выполнения реальных атак со своего компьютера и предупреж­дает о возможной ответственности.
4>лус>ер Ш
Как явствует из названия, флудер UDP должен «затоплять» атакуемого клиента пакетами UDP, нарушая работу компьютера. Весьма удобной программой, реа­лизующей такую атаку DoS, можно назвать утилиту UDP Flooder 2.0 компании Foundstone (http://www.foundstone.com), которая, вообще-то говоря, была соз­дана для проверки устойчивости хостов к атакам такого рода.
На 1 представлен диалог программы UDP Flooder 2.O.
Чтобы проиллюстрировать работу утилиты UDP Flooder 2.0, мы воспользуемся нашей экспериментальной сетью и выполним атаку DoS на компьютер А1ех-3 с IP-адресом 1.0.0.5 с помощью такой последовательности действий.
> Запустите утилиту UDP Flooder 2.O.
у В поле IP/hostname (IP/имя хоста) введите IP-адрес или имя NetBIOS атакуе­мого компьютера - в данном случае введен IP-адрес 1.0.0.5.
> В поле Port (Порт) введите номер порта, в данном случае введен порт 80, по­скольку его используют HTTP-серверы.
Установите ползунок Speed (Скорость) в позицию LAN, поскольку мы ис­полняем атаку через локальную сеть.
В группе элементов управления Data (Данные) установите переключатель Random (Случайная генерация),
что вынудит флудер генериро­вать и отсылать на атакуемый компьютер случайные данные.
> В ставшие доступными поля справа от переключателя введи­те значения, соответственно, 20 000 и 30 000, установив дли­ну передаваемых пакетов.
Щелкните на кнопке Go (Ата­ковать).
Когда вы сочтете, что с вашей жертвы достаточно, щелкните на кнопке Stop (Стоп).
На 2 представлен результат воздействия атаки на компьютер Alex-З в виде диалога диспетчера задач, открытого на вкладке Net­working (Сеть).
Как видим, результат неплох - сетевое подключение занято в основном приемом пакетов реакция компьютера замедлена и мощности процессора на 50%
заняты обработкой поступающей бессмысленной информации. И все это дос­тигнуто при использовании равноценных подключений - и хакер, и его жертва подсоединены к LAN типа Ethernet I dBase.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика