На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Создание "поглощающих колодцев"

Интересным вариантом фильтрации пакетов с недопустимыми адресами и одновременного отслеживания источников проблем является создание так называемых "поглощающих колодцев" (sink holes). "Пожертвовав" один маршрутизатор для обслуживания всех недопустимых маршрутов, можно установить центральную "ловушку" для вредоносного трафика всех типов. Например, мы знаем одного крупного провайдера, который установил "поглощающий колодец" в январе 2003 года в целях выявления систем, пораженных "червем" Slammer (этот "червь" заставлял компьютеры отправлять пакеты по случайно генерируемым адресам получателей).
Мы только поверхностно затронули тему поглощающих колодцев, а подробную информацию советуем прочесть в отличном материале по данной теме от Cisco и Arbor Networks (см. раздел "Дополнительная литература и ссылки").
И наконец, мы рекомендуем более подробно изучить меры противодействия атакам отказа в обслуживании, описанные в 12 главе книги Секреты хакеров. Безопасность сетей — готовые решения, четвертое издание.
Специальный совет по атакам отказа в обслуживании в Windows-системах
Меры противодействия атакам отказа в обслуживании для систем семейства Windows NT можно свести кдвум пунктам.
т Следите за выпуском исправлений и заплат.
* Правильно настройте параметры протокола TCP/IP.
Рассмотрим каждый пункт отдельно.
Следите за появлением заплат, связанных с защитой от DoS-атак
Во многих атаках отказа в облуживанин. например, в атаках land, teardrop, ООВ, используются особенности работы операционной системы Windows на уровне кода. Единственный способ борьбы с такими низкоуровневыми атаками — исправить код системы.
Напомним, что важно использовать выпускаемые заплаты и для внутренних серверов, вспомните об описанных выше атаках отказа в обслуживании против службы имен NetBIOS. Как уже было сказано, службы NetBIOS не выполняют аутентификацию, поэтому они всегда будут целью длялтак. но заплаты помогут избежать наиболее плохого варианта развития событий.
Настройка параметров протокола TCP/IP для борьбы с DoS-атаками
Несколько взаимосвязанных параметров протокола TCP/IP можно использовать для снижения ущерба от атак отказа в обслуживании на подключенных к Internet внешних серверах. Втабл. 15.1 перечислены настройки, использованные командой сервера windows2000test.com во время "игры в царя горы" в Internet осенью 1999 года. Файл Regentry. chm, на который есть ссылки в таблице, — это справка по реестру из пакета Reskit (Windows 2000 Reskit Technical Reference to the Registry), скомпилированная в формате HTML (если установлен пакет Reskit, то будет достаточно ввести команду "regentry. chm", чтобы открыть файл). Обратите внимание, что эти параметры подходят только для Windows 2000 и более поздних версий.
Таблица 15.1. Параметры протокола TCP/IP, использованные компанией -Л Microsoft для защиты от атак отказа в обслуживании во время тестирования узла windows2000test.com
Параметр реестра (в ветви
HKLM\Sys\CCS\Services\ Терip\Parameterя\)
Рекомендуемое значение
Справка
SynAttackProtect
TcpMaxKalfOpen
TcpMaxHalfOpenRet r ied
T cpMax Po r t s Exhaus t ed.
TcpMaxConnectResponso Retransmi б s ions
EnableDeadGWDeeect
EnablePMTODiscovery
KeepAliveTime
EnablelCKPRedi rects
I nte r face s \ Ре г £ о rraRoi; t er Di ё с о ve ry
(NetBt\Parameters\) NoSaineRe 1easeOnDercand
2 I . 100 (500 для версии Advaneed Server) 80 [400 для версии Advanced Server) 1
0 0
300,000 (5 мин.) 0
0
1
Q142641
Regentry.chm Regentry.chm Regentry.chm 0142641
Regentry.chm Regentry.chm Regentry.chm Regentry.chm Regentry.chm Regentry.chm
нтмя Приведенные настройки использовались для защиты Web-узла, который ата-■МИЙиИЯ ковался очень упорно и активно. В других случаях они могут оказаться слишком жесткими (или недостаточно жесткими).
Дополнительные параметры настраиваются через другие параметры реестра И тоже могут помочь в борьбе с атаками отказа в обслуживании. Эти параметры перечислены в табл. 15.2, там же указаны их значения для зашиты от мощной атаки, а также ресурсы, которые помогут читателям понять значение указанных настроек.
Попытки соединения из приложений Windows Sockets, таких как Web и FTP-серверы, обрабатываются драйвером Afa.sys. Параметры этого драйвера настраиваются с помощью параметров реестра в ветви HKLM\system\ CurrContrlSet\ Services\AFD\Parameters.
Таблица 15.2, Дополнительные настройки, используемые для борьбы с отказа в обслуживании :ftSfe ■ ~ >Щ
атаками
Параметр реестра
(в ветви MKLM\$y$tetrt\
CunContrlSet\Services\)
Значение
Рекомендуемое значение
Справка
\Tcpip\Paraineter<A
AFD\Parame ters
Ег.аЫе-ICMP Redirects
Enable
Security Filters
DisablelPSource Routing
TcpMaxDa ta Retransmissions
EnableDynamic Backlog
К i n i mumDynam i с Backlog
Kax imumDynami с Backlog
DynamicBacklog GrawthDelCa reg_dwoR3=o, система игнорирует переадресацию ICMP-пакетов reg_dword=i включает фильтрацию TCP/IP, но не устанавливает порты и протоколы
reg_dword=i отключает возможность отправителя назначить маршрут IP, по которому дейтаграмма передается в сети
reg_№»rb=3 количество повторных TCP-передач не подтвержденных сегментов данных для существующего соединения
reg_dword=1 включает функцию динамического выделения соединений reg„dword=20 минимальное число свободны)! соединений, разрешенное для ожидающей подключения конечной точки
reg_DWORd=2000D устанавливает количество свободных соединений плюс количество соединений, которые находятся в состоянии завершения установки соединения
(syn_received)
reg_dword=io устанавливает количество свободных соединений, которые необходимо создать при необходимости в дополнительных свободных соединениях
0225344
Regeatry.chm Regentry.chm
Regentry.chm
0142641 0142641
Q142641
0142641

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика