На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Флудер

ICMP
Флудеры (или бомберы) ICMP (Internet Control Message Protocol - Протокол управляющих сообщений Интернета) очень похож на только что рассмотренный флудер UDP. На 3 представлен диалог одного из флудеров X-Script ICMP Bomber.
Чтобы «зафлудить» неприятельский компьютер, хакеру достаточно в поле Host (Хост) указать IP-адрес или имя компьютера жертвы, после чего щелкнуть на кнопке Ping (Пинг). При необходимости, в поле Packet Size (Размер пакета) можно задать размер пакетов, а в поле Number to Send (Количество пакетов) -число отсылаемых пакетов. Размер пакета весьма влияет на эффект применения флудера - большой размер пакета приводит к практически полному затоплению сетевого соединения жертвы. На 4 представлен диалог диспетчера задач, показывающий загрузку сетевого соединения компьютера Alex-З (его IP-адрес равен, как вы помните,
Атака ICMP особенно эффективна еще и тем, что протокол ICMP (Internet Con­trol Message Protocol - Протокол управляющих сообщений Интернета) предна­значен для тестирования работы сети TCP/IP, и пакеты ICMP имеют высокий приоритет обслуживания. Так что флудеры ICMP могут быть весьма полезным инструментом разборки со всякого рода персонажами, не дающим прохода Web-путешественникам; к тому же флудеры ICMP не требуют никаких особен­ных знаний для их использования.
Атака Smurf
Но что делать, если намечаемая жертва подключена к сети через быстрое соеди­нение, а хакер не имеет доступа к достаточно мощному подключению, которое позволит ему выполнить атаку DoS достаточно эффективно? Тогда хакеру сле­дует прибегнуть к более сложной атаке Smurf, которая заключается в следующем.
Вместо того, чтобы отсылать пакеты с хакерского компьютера, в атаке Smurf используется усиливающая сеть. С хакерского компьютера на широковещатель­ный адрес усиливающей сети посылаются пакеты ECHO (Эхо) протокола ICMP, которые обычно используются для диагностики сети. В рассылаемых пакетах ха­кер подменяет исходный адрес пакетов IP-адресом атакуемого хоста, после чего все компьютеры усиливающей сети посылают ответные пакеты жертвенному ком­пьютеру. Эффект от такой атаки может быть весьма велик, поскольку если усили­вающая сеть состоит из нескольких десятков компьютеров, то один ЕСНО-запрос размером 10 Кбайт может вызвать лавину ответов общим объемом несколько ме­габайт, и сетевое соединение атакуемого компьютера просто захлебнется.
Другой, наиболее опасной атакой описываемой разновидности является распре­деленная атака DoS, или DDoS (Distributed DoS). Суть атак DDoS состоит в по­мещении на сетевых компьютерах программ-клиентов, работающих под управ­лением центральной консоли. В определенный момент времени по команде с хакерской консоли эти клиенты, имеющие выразительное название «зомби», начинают атаку DoS по указанному адресу Интернета. Среди атак DDoS наибо­лее популярной является WinTrinoo (сайт разработчика находится по адресу http://www.bindview.com), которая, к тому же, представляет собой единствен­ную реализацию атаки DDoS на платформе Win32. В 2000 году атаками DDoS были поражены многие серверы Интернета, включая Web-сайты самых извест­ных фирм (этим, наверное, объясняется отсутствие на сайтах хоть сколько-нибудь работоспособной версии программ, реализующих атаку WinTrinoo). Для исследования и выявления компьютеров-зомби компания Foundstone пред­ложила программные средства, про которые мы еще поговорим в конце главы, где обсуждаются меры защиты от атак DoS.
Атаки на истощение ресурсов
Атака DoS, направленная на истощение ресурсов, имеет своей целью захват сис­темных ресурсов атакованного хоста, таких как память, процессор, квоты диско­вого пространства. Как правило, хакер, предпринимающий данную атаку DoS, уже имеет доступ к общим ресурсам системы и своими действиями пытается захватить дополнительные ресурсы, чтобы затруднить доступ к ним других пользователей. Эти действия могут привести к недоступности сервера для под­ключений остальных пользователей, зависанию процессов и переполнению дис­кового пространства.
Одна из наиболее интересных и эффективных атак DoS рассматриваемого типа реализуется программой которая выполняет атаку переполнением таб-
лицы процессов (еще ее называют флудером TCP-соединений по причинам, ко­торые изложены далее). Утилита PortFuck открывает с хостом-жертвой все но­вые и новые TCP-соединения до тех пор, пока не переполнит ресурсы атакован­ного компьютера. Этот момент наступит независимо от мощности процессора, размера памяти, полосы пропускания линии связи и любых других факторов по той простой причине, что каждое TCP-соединение требует для открытия ресурсы,
а они, в любом случае, не беспредельны.
На 5 представлен главный диалог утилиты PortFuck.
Атаки Nuke
Слово «Nuke» на английском языке означает «ядерное оружие», и если такое название присвоили атакам DoS, то, очевидно, они чего-то, стоят. На русском эти атаки так и называют - «шок», и суть классического «шока» состоит в сле­дующем. В сетях TCP/IP для проверки функционирования хостов применяется протокол ICMP, про который мы упоминали в разделе «Флудер ICMP» выше. При возникновении в сети какой-либо ошибки функционирования - обрыва соединения, недоступности линии связи и т.п. - происходит генерация сообще­ния ICMP, вслед за которым выполняются определенные действия, например, перестройка маршрутизации сети исключением линии связи из таблицы мар­шрутизации. Одновременно разрываются все подключения с компьютером, ставшим недоступным.
На этом-то и строится расчет хакера - послав компьютеру А, подключенному к компьютеру В, сообщение, что компьютер В якобы недоступен, можно прервать соединение. Наибольший эффект такие «шалости» имеют при атаках на и Web-чаты, поскольку их посетители подолгу остаются подключенными к серве­ру, и их легко вычислить и «отсоединить» от сервера. Так что атаки Nuke - это сущее наказание для сетей ШС.
При работе с атаками DoS типа Nuke и хакерам, и антихакерам следует учесть, что системы Windows не позволяют вытворять с собой такие штучки,
которые без проблем выводят из строя системы Windows 9x. Это подтверждают как эксперименты по применению к компьютерам Windows
так и литературные источники (например, Тем не менее, учитывая наличие в Интернете множества компьютеров Windows 9x, да еще и лишенных всякой защиты брандмауэрами, не стоит сбрасывать со счетов возможности «нюков». Для антихакеров «нюки» подчас могут стать той дубиной, которая спасет их при путешествиях по виртуальным просторам Интернета от персонажей типа
доктора Добрянского.
Существует великое множество утилит для выполнения атак Nuke - все на од­но лицо, с очень похожими диалогами. Рабочее окно одной из них, программы Windows Nuke'eM version 1.1, представлено на 8.
Чтобы выполнить атаку Nuke на компьютеры нашей экспериментальной ло­кальной сети, добавим к ней еще одного клиента - Alex-2, с IP-адресом 1.0.0.4 и работающего под управлением системы Windows 95. Далее выполним такие шаги.
В поле Address (Адрес) рабочего окна программы Windows Nuke'eM version
представленном на 8, последовательно введите IP-адреса компьютеров Alex-2 (Windows 95), Alex-3 (Windows ХР) и Alex-1 (Windows 2000). По мере ввода щелчком на кнопке Add (Добавить) вносите их в список в
левой части диалога.
> Чтобы проверить результаты применения «нюка» к компьютеру Alex-2, по­пробуем обратиться к компьютеру А1ех-2 с помощью проводника Windows. В ответ проводник Windows отображает диалог, представленный на 10.
Таким образом, связь с компьютером нарушена - что и требовалось дос-
тичь атакой Nuke. Теперь вы понимаете, почему при общении в чатах и всякого рода IRC-сообществах следует избегать идентификации вашего IP-адреса. Ведь при работе на компьютерах со старыми системами Windows вы практически ни­чем не защищены от если, конечно, не используете толковый бранд­мауэр или систему IDS (рекомендуем BlacklCE Defender).
•  Замедление скорости передачи данных - посылая якобы от имени промежу­точного маршрутизатора ICMP-сообщение Source Quench (Замедлить источ­ник), хакер принуждает хост снизить скорость передачи данных. Этого же ре­зультата можно достичь, посылая ICMP-сообщение Destination Unreachable: Datagram Too Big (Цель недоступна: датаграмма слишком велика).
Как видим, возможности протокола ICMP для создания атак DoS просто неис­черпаемы, однако следует учесть, что владея такой техникой, хакер может полу­чить гораздо больше пользы, если применит ее для достижения других, более плодотворных целей, чем для причинения мелких и средних гадостей своим сетевым соседям.
Напоследок укажем самую, пожалуй, популярную атаку DoS, реализованную в сетях - атаку на протокол NetBIOS от хакера Sir Dystic, создавшего утили-
ту nbname, которая искажает работу службы NBNS преобразования IP-адресов в имена NetBIOS в сетях Windows 2000 [4]. Запустив утилиту nbname, можно пол­ностью нарушить работу всей сети, передавая сообщения NetBIOS об освобож­дении или регистрации имен NetBIOS. После этого работа сети TCP/IP полно­стью или частично нарушается - общие ресурсы становятся недоступными, под­ключения и просмотр сетевых соседей затрудняется, и перестают работать неко­торые команды тестирования сети, например, net send.
К сожалению, все попытки обнаружить в Интернете утилиту nbname оказались
тщетными - сайты, указанные ссылками на страницах с описанием атаки утили­той nbname, тщательно заглушены, что наводит на мысль об исключительной
эффективности nbname.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика