На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Подчиненные хосты при распределенных атаках отказа щ в обслуживании

Популярность 5 Простота 5
Опасность_ 8
Степень риска_6
Как отмечалось в начале главы, февраль 2000 года стал переломным моментом в распространении атак отказа в обслуживании, поскольку в это время приобрела популярность идея распределенных DoS-атак. Распределенные атаки отказа в обслуживании реализуются путем взлома максимально возможного количества "клиентских" машин с помощью известных уязвимых мест и последующего их использования для совместной атаки одной цели с управлением через централизованную командную консоль.
Термин "зомби" вошел в моду после атак февраля 2000 года и используется для описания подчиненных хостов при распределенных атаках отказа в обслуживании, используемых хакером для атаки выбранной жертвы. В данном разделе мы опишем одну из наиболее популярных программ создания подчиненных хостов ("зомби"-хостов) для Win32, чтобы пользователи смогли лучше понять, как найти подобные программы и удалить их.
Наиболее популярные программы создания "зомби"-хостов распространились, как вы догадываетесь, во время атак в феврале 2000 года. После этого новые утилиты для проведения распределенных атак отказа в обслуживании появлялись почти каждый месяц, поэтому пол­ный и актуальный на сегодняшний день анализ всех программ для DDoS-атак невозможен. Большинство таких программ основаны на ядре, использованном для реализации февральских атак — это пакеты Tribe Fiood Network (TFN), Trinoo, Stacheldraht, TFN2K и WinTrinoo.
Все эти программы работают на системах под управлением UNIX или Linux, за исключением пакета программ WinTrinoo, созданного группой Bindview Razor. Файл "троянской" программы обычно называется service. ехе (если он не был переименован) и имеет размер 23145 байтов. После запуска программа service, ехе добавляет в реестр параметр, который позволяет ей загружаться после каждой перезагрузки компьютера:
НКЕY_LOCAL_MAC Н\£о f Ewaге\Miсгоsо f t\Windows\CurгentVersion\ Run System Services: REG_SZ: sorvice.exe
Конечно, в данном стучае программа будет запущена только, если имя файла service. ехе соответствует полному имени файла в конкретной системе.
ЦЩЩД Будьте вниматепьны и не перепутайте файл service. ехе пакета WinTrinoo с файлом services. ехе.
"Зомби"-агенты, созданные с помощью пакета WinTrinoo, контролируются управляющим хостом (master), которым в свою очередь управляют с консоли удаленного управления. Взаимодействие между клиентом и управляющим хостом выполняется через TCP- или UDP-порт 34555, используется пароль"[] . .Ks" (без кавычек).
Агент DDoS пакета Tribe Flood Network 2000 (TFN2K) использует для взаимодействия разные порты протоколов TCP, UDP и ICMP, которые выбираются случайным образом, к тому же выполняется еще и шифрование данных.
Кроме того, этот пакет оставляет на уровне системы слишком запуганные следы. Сервер пакета TFN2K состоит из трех частей, файла td. ехе (340600 байтов) и двух других файлов, disc.exe (303970байтов) И mkpass.exe (301284байта), которые необходимы для предва-
ритсльной настройки демона. Может помочь и программа strings.exe (из набора Windows Services для UNIX), которая позволяет извлечь из файла td.exe некоторые вьшающие его сигнатуры (в том числе и строку "tfn-daemon"). К сожалению, файл td.exe можно переименовать, как угодно. В списке запущенных процессов эту программу не видно,
О Защита от использования пакета WinTrinoo
Бюллетень Нет
BID_Нет
Исправлено в SP Нет Фиксируется Нет
Как всегда, в борьбе с программами для проведения атак отказа в обслуживании лучшей защитой против пакета WinTrinoo будет предотвращение использования вашей системы в качестве подчиненного хоста. Все системы должны быть надежно защищены на уровне сети и узла, а настройки просмотра Wcb-странлц и почты обеспечивают достаточную безопасность, чтобы не допустить установки в системе '"троянской" программы пакета WinTrinoo.
Если же меры предупреждения атаки были предприняты слишком поздно, то для выявления в системе программ WinTrinoo можно проверить, открыт ли TCP- или UDP-nopr 34555, с помощью программы сканирования портов. Для обнаружения "троянской" программы в системе можно также воспользоваться приведенной ниже методикой, которая бьтла разработана командой Razor.
1. Установите утилиту netcat в режим ожидания соединений.
С:\>пс -u. -п -1 -р 35555 -v -w 100
2. Отправьте ping-пакет для программы Trinoo,
C:\>echo -рпд []..Ке 144" | па -u -n -v -w 3 192.1SB.1.5 34555
3. Если демон пакета Trinoo установлен в системе и ожидает запросов на подключение, то программа netcat покажет ответ PONG. Для остановки демона (kill) используйте следующую команду.
C:\>ecbo 'die []..Ks 144' | nc -u -n -v -w 3 192.168.1.5 34555
Группа Razor также занимается разработкой и поддержкой утилиты Zombie Zapper — это бесплатная программа с открытым исходным кодом, которая может "приказать" атакующей системе-"зомби" перестать рассылать пакеты. Она работает против программ Trinoo, TFN, Stacheldraht, WinTrinoo и Shaft. На 2 показан простой и понятный интерфейс программы Zombie Zapper.
При исследовании взломанных систем следует искать файл с именем service, ехе (хотя файл может быть и переименован) с размером 23145 байтов и параметры реестра, указанные выше в описании утилиты WinTrinoo. Все это удаляется вручную. Можно также воспользоваться антивирусной программой, например, программой Norton Antivirus от компании Symantec, которая автоматически изолирует этот файл еше до того, как он будет запущен.
Если вас не убедили все приведенные до сих пор факты, рассмотрим следующую ситуацию. Один из важных, но часто не учитываемых элементов "побочного ущерба" от атак отказа в обслуживании возникает, когда невиновная организации обнаруживает, что была использована для невольного соучастия в распределенной атаке на чужие хосты. Пример из реальной жизни — два крупных калифорнийских университета обнаружили, что стали главными плацдармами для распределенных атак отказа в обслуживании в феврале 2000 года, когда были выявлены сотни программ-агентов, установленных на плохо защищенных лабораторных компьютерах студенческого городка. В результате не только появляются сообщения
в прессе о плохой защите компьютерных систем в пострадавших организациях, возникает этическая проблема, а в случаях, когда в атака стала причиной убытков в бизнесе, возможна и финансовая ответственность за проявленную халатность, как это случилось в феврале 2000 года. Не станьте источником прибыли для адвокатов во время следующего судебного процесса— просканируйте свои сети на наличие агентов программ для проведения распределенных атак отказа в обслуживании сегодня и неустанно следите за ситуацией.
Рекомендации по защите от атак отказа в обслуживании
Первое, что мы должны сказать о защите от атак отказа в обслуживании: не сдавайтесь! В мае 2001 года большой зануда в делах, связанных с безопасностью Internet, Стив Гибсон (Steve Gibson) написал открытое письмо, в котором целиком и полностью сдался атаковавшим его злоумышленникам. Группа тринадцатилетних вандалов в течение нескольких дней бомбардировала Web-узел Гибсона потоками 1СМР- и UDP-пакетов.
Хотя кажется, что в случае атаки отказа в обслуживании сделать уже почти ничего нельзя, капитуляция Гибсона была преждевременной. Настройка маршрутизатора или брандмауэра помогла бы ограничить тип и объем данных, передаваемых на узел, снизив или совсем исключив тем самым наносимый атакой ущерб. Конечно, Internet-вандалы могут нанести ответный удар с еще большей яростью (скажем, создать на сервере Гибсона состояние наводнения ТСР-соединениями), но, скорее всего, правильно предпринятые меры противодействия в конце концов помогут одержать победу, а бездействие и открытая капитуляция станут толчком к новым атакам. С этой целью мы приводим некоторые основные правила и настройки для Windows 2003, необходимые для снижения вероятности успешного проведения атаки отказа в обслуживании.
Рекомендации
Для начала рассмотрим правила, которые помогут снизить затраты на борьбу с атаками отказа в обслуживании, а затем перейдем к соответствующим настройкам Windows 2003.
Работайте совместно с вашим Internet-провайдером
Наиболее важный шаг в подготовке к отражению атаки отказа в обслуживании — связаться с вашим провайдером услуг internet и выяснить, какие меры он предпринимает (если предпринимает) в настоящее время для борьбы с вероятной атакой отказа в обслуживании, направленной на вашу сеть. Почти все пользователи подключаются к Internet через провайдера, и эффективность ваших собственных мер противодействия не будет иметь значения, если соединение с провайдером окажется разорвано или '"затоплено" наводнением пакетов.
Важно также скоординировать действия с провайдером в случае атаки конкретного узла. По возможности, всегда держите под рукой контактные данные центра сетевых операций (NOC) провайдера. Учтите, что отследить источник атаки трудно, но вполне реально, если провайдер готов к сотрудничеству и имеет доступ к маршрутизаторам между вами и злоумышленниками. Помните, что вам или вашему провайдеру придется поработать с каждым узлом распространения пакетов, который может быть получателем подложных пакетов из вашей сети (в случае атаки Smurf, например, когда подложные ping-пакеты передаются из атакуемой сети на широковещательные адреса вашей сети; более подробная информация об этом содержится в книге Сек-ретыхакеров. Безопасность сетей — готовые решения, четвертое издание, глава 12).
Чтобы противостоять атакам отказа в обслуживании, настройте пограничные маршрутизаторы
Не вдаваясь в подробности конфигурирования маршрутизаторов, которые могут оказать огромную помощь в сдерживании атак отказа в обспуживании, мы очень рекомендуем прочитать статью "Cisco Strategies to Protect Against Distributed Denial of Service (DDoS) Attacks," ссылка на нее приведена в конце главы. В статье описаны настройки устройств Cisco [OS, в том числе параметр verify unicast reverse-path (проверять обратный путьдля однонаправленной передачи), фильтрация адресов согласно RFC 191S, применение фильтрации входящих и исходящих данных, параметр race-limit (ограничение скорости), стратегии фильтрации пакетов 1СМР и UDP, которые должны диктоваться здравым смыслом лля существующего окружения Internet.
Если в вашей организации не используется оборудование Cisco, обязательно узнайте у своего поставщика аппаратных средств, какие меры противодействия он предусмотрел для зашиты от атак отказа в обслуживании (например, SYN Defender широко используется заказчиками поставщика популярного брандмауэра Check Point),
Установите системы обнаружения атак отказа в обслуживании
Для больших организаций, которые серьезно зависят от работы Web-приложений, не достаточно целиком полагаться на защиту, предоставляемую Internet-провайдером (в конце концов, многие организации сами являются провайдерами). На рынке стали появляться новые средства, которые способны идентифицировать потенциальные атаки отказа в обслуживании и даже иногда предоставляют полезные сведения об отправителях вредоносных пакетов. Одним из таких средств является система Peakflow DoS от Arbor Networks, позволяющая выявлять аномальные события в сети, которые часто наблюдаются при DoS и DDoS-атаках. В отличие от стандартной сетевой системы обнаружения вторжений, которая основана на сигнатурах, Peakflow DoS просто отслеживает возникновение пиковых нагрузок, которые
превышают предельное значение, заданное администратором. Эта сйстемадаже предоставляет возможности отслеживания источника рассылки потока сообщений в сети, что позволяет предпринять соответствующие действия против нарушителя.
Фильтрация или поиск недопустимых адресов
Исходя из определения на странице ссылки о недопустимых адресах (bogon, см. ссылку в конце главы в разделе '"Дополнительная литература и ссылки"), мы сделали следующий вывод.
Недопустимый префикс является маршрутом, который никогда не должен появляться в таблице маршрутизации Internet. В пакете, передаваемом по общедоступной сети Internet (не учитывая пакетов сетей VPN или других туннелей), не должно содержаться адреса отправителя из диапазона недопустимых адресов (bogon range). Такие адреса часто используются в качестве адресов отправителей при распределенных атаках отказа в обслуживании.
Хотя этот список недопустимых адресов предназначен в основном дли крупных провайдеров, но как можно догадаться, будет правильно организовать фильтрацию всех пакетов, в которых в качестве адреса отправителя или получателя указан такой адрес. В некоторых иссле­дованиях по происшествиям в Internet указывалось, что около 60% вредоносного трафика передается с недопустимым адресом отправителя, вероятно, из-за недостаточно серьезной проработки элементарных программ для проведения атак отказа в обслуживании.
Кроме фильтрации вредоносного трафика, создание фильтров по недопустимым адресам позволяет не пропустить за пределы своей сети некорректные пакеты.
ВНИМАНИЕ
Текущий список недопустимых адресов включает адресное пространство, определенное в документе RFC 1918, поэтому при использовании этих адресов в своей сети их нужно вычеркнуть из списка фильтрации.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика