На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Защита от атаки отказа в обслуживании


Бюллетень
MSOI-016

BID
2453

Исправлено в SP
Windows 2000 SP2

Фиксируется
Да

Во время подготовки заплаты для рассмотренной выше ошибки компания Microsoft рекомендовала отключить функции протокола WebDAV. Как указано в главе 10, "Хакинг сервера I1S", протокол WebDAV можно отключить согласно инструкциям в статье базы знаний KB Q241520 (см. ссылки в конце главы.) Конечно, при отключенном протоколе WebDAV, запросы WebDAV обрабатываться не будут, что приведет к недоступности некоторых функций, среди которых:
т папки Web;
■ публикация в Web с использованием программ Office 2000 (но не через серверные расширения программы FrontPage);
* мониторинг сервера IIS 5.0 через программу Digital Dashboard.
Мы очередной раз утверждаем, что все расширенные функции сервера IIS должны быть отключены, если только в них нет серьезной необходимости. Это касается и протокола WebDAV. Даже одна эта рекомендация поможет вам избавиться от существующих и будущих проблем с безопасностью, потому надеемся, что вы сможете прожить без папок Web и программы Digital Dashboard, зато будете спокойно спать ночью.
В конце концов компания Microsoft выпустила заплату WebDAV Propfind DoS (см. бюллетень MS01-016 по адресу, указанному в конце данной главы).
Выявить атаку отказа в обслуживании на сервер Propfind можно по наличию строк "propfind / - 500 -" в журналах IIS.
на заметку
В версии сервера IIS5 (и спедующих версиях) реализован автоматический перезапуск после сбоев подобного вида (в сервере IIS 4 в таких случаях просто происходит сбой).
Атаки отказа в обслуживании в локальных сетях
Популярность
5

Простота
5

Опасность
8

Степень риска
6

До сих пор основной темой обсуждения были сценарии атак отказа в обслуживании, ориентированные на Internet, поскольку это наиболее распространенное проявление эффекта отказа в обслуживании. Однако нельзя не обратить внимание на класс атак отказа в обслуживании, направленных на локальные сети, особенно если вы управляете большой структурой, сравнимой по размерам и поведению пользователей с "просторами" Internet.
В большей части атак отказа в обслуживании против Windows-систем в локальных сетях используется протокол NetBIOS, который до сих пор составляет фундамент сетевой функциональности Windows (хотя Windows 2000 и более поздние версии этой ОС могут нормально существовать и без этого протокола). Традиционная для протокола NetBIOS проблема — низкая надежность служб, на которых он основан, и отсутствие аутентификации в них. Например, службу NetBIOS Name Service (NBNS), которая выполняет преобразование IP-адресов в имена NetBIOS и наоборот, можно легко обмануть, так что любой пользователь с доступом к локальной линии связи может вызвать отключение от сети легитимных клиентов, объявив их имена NetBIOS зарегистрированными или передав определенным узлам пакет с запросом "освободить имя" ("name release"). Клиенты, получившие такие пакеты, по существу теряют возможность принимать участие в работе сети NetBIOS, в том числе теряют доступ к совместно используемым файлам и не в состоянии проходить аутентификацию в домене Windows И Т.Д. Если в вашем окружении по-прежнему поддерживается NetBIOS или WINS, то следует остерегаться таких хитростей и знать, как с ними бороться.
Подобные атаки легко реализовать, опять-таки благодаря сообществу исследователей в Internet. Известный гуру в области безопасности NetBIOS, хакер Sir Dystic, создал программу nbname, которая обеспечивает полную декодировку трафика NBNS, а также возможность атаки отказа в обслуживании против отдельных машин или сетей, поддерживающих работу со службой NBNS.
Ниже показан пример использования программы nbname для организации атаки отказа в обслуживании против одного узла. В Windows 2000 и следующих версиях этой ОС необходимо сначала отключить службу NetBIOS по протоколу TCP/IP, чтобы избежать конфликтов с действительными сервисами NBNS, которые обычно используют UDP-порт 137. Затем запустите программу nbname, как показано ниже (адрес 192.168. 234.222 замените IP-адресом узла, против которого проводится атака):
C:\>nbnent« /eatat 192.168.234.222 /conflict
NBNaine v2.51 - Decodes and displays NetBIOS Name traffic (UDP 137], with options
Copyright 2000: Sir Dystic, Cult of the Dead Cow -:|:- New Hack City Send complaints, ideas and donations to sd9cu.ltdeadcow.com 4jsd.iinewhackcity.net
WinSock v2.0 (v2.2> WinSock 2.0 WihSock status: Running
Bound to.port 137 on address 192.16S.234.244
Broadcast address: 192.168.234.255 Netmask: 255.255.255.0
"** NBSTAT QUERY packet sent to 192.168.234.222
Waiting for packets...
** Received 301 bytes from 192.168.234.222:137 via local net Ь at Wed Jun 20 15:46:12 200 OPCode: QUERY
Flags: Response AuthoratativeAnswer Answer(0J:
<00>
Node Status Resource Record:
MANDALAY <00> ACTIVE UNIQUE NOT PERM INCONFLICT NOTDEREGED B-NODE MANDALAYFS <00> ACTIVE GROUP NOTPERM NOCONFLICT NOTDEREGED B-NODE *«** Name release sent to 192.168.234.222 [etc.1
Параметр командной строки /ASTAT позволяет получить от атакуемого компьютера сведения о состоянии его адаптера, параметр /CONFLICT включает передачу пакетов освобождения имени (name release) для каждого имени из таблицы имен машин удаленного хоста, полученной в ответ на запросы состояния адаптеров. Злоумышленник может провести атаку отказа в обслуживании всей сети, используя параметры /QUERY [IP-адрес] /CONFLICT /DENY [имя_или_файл] .
На атакуемом узле при этом наблюдаются следующие симптомы, т Возникают проблемы соединения с сетью.
■ Не работают такие утилиты, как Network Neighborhood (Сетевое окружение).
■ Не работают аналоги команды net send.
■ Подключения к домену не аутентифицируются атакованным сервером.
■ Невозможно получение доступа к совместно используемым ресурсам и базовым службам NetBIOS, таким как преобразование имен NetBIOS.
*■ Узнать об атаке иногда позволяет команда nbtsts -п, которая может вывести сообщение Conflict в графе состояния службы имен NetBIOS, как показано ниже.
C:\>nbtstat -п
Local Area Connection:
Node IpAddress: [192.1GS . 23й .222] Scope Id: []
NetBIOS Local Name Table
Name

Туре
Status

MANDALAV
<оо>
UNIQUE
Conflict

MANDALAYFS
<00>
GROUP
Registered

MANDALAYFS
<1С>
GROUP
Regis tiered

MANDALAY
-=20>
UNIQUE
Conflict

MANDALAYFS
<1Е>
GROUP
Registered

MANDALAYFS
<1D>
UNIQUE
Conflict

. ._MSBROWSE_
. <01>
GROUP
Registered

MANDALAYFS
<1В>
UNIQUE
Conflict

INet-Services
<1С>
GROUP
Registered

IS--MANDAIiAY . . .
,<00>
UtJIQOE
Conflict

Защита от освобождения имен Ne

Бюллетень

MSOO-047

BID

1515

Исправлено в
SP
Windows 2000 SP2

Фиксируется

Hem

Как и в большинстве других случаев, когда проблемы связаны со службами NetBIOS, мы рекомендуем использовать несколько уровней зашиты от подобных атак.
На уровне сети заблокируйте UDP-порт 137 на иесх сетевых шлюзах. Учитывайте, что такое блокирование на внутренних шлюзах может привести к нарушению работы служб NBNS/WINS между локальными сетями. В качестве альтернативы блокированию порта может быть рассмотрена настройка фильтра Windows 2000 IPSec на аутентификацию данных, передаваемых через UDP-порты 137-139 на контроллер домена Windows 2000.
. На уровне узла необходимо сделать следующие настройки в реестре.
F.KLM\£YST£M\Си г rentControl Set \ Service s\NetBT\Parameter s\ NoNanie Re 1 e a s e OnDema nd
Reg_DWORD = 1 (Name release is ignored)
Такие настройки помогут предотвратить атаки с использованием освобождения имен. Чтобы предотвратить атаки с помощью подложных дейтаграмм Name Conflict (конфликт имен) в Windows 2000. установите заплату из бюллетеня MS00-047.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика