Моя визитка
Урок 1. Хакинг
Урок 2. Антихакинг
Урок 3. Инструменты хакинга
Урок 4. Защита Windows 2000/XP
Урок 5. Проникновение в систему
Урок 6. Реализация цели вторжения
Урок 7. Сокрытие следов
Урок 8. Хакинг браузеров Web
Урок 9. Хакинг почтовых клиентов
Урок 10. Деструкция почтового клиента
Урок 11. Хакинг Web-сайтов
Урок 12. Атаки DoS
Урок 13. Хакинг компьютеров Windows 2000/XP
Урок 14. Хакинг средств удаленного управления
Урок 15. Хакинг брандмауэров
Урок 16. Перехват сетевых данных
Урок 17. Хакинг коммутируемого доступа
Приложение А
Приложение В
Приложение С
Приложение D
Приложение E

Amaku DoS

Разновидности атак DOS
Атаки насыщением полосы пропускания
Флудер UDP
Флудер ICMP
Атака Smurf
Атаки на истощение ресурсов
Атаки некорректными сетевыми пакетами
Атаки фальсифицированными сетевыми пакетами
Заключение

Сразу после появления и массового распространения сетей, построенных на основе стека протоколов ТСР/IР, хакеры занялись разработкой средств для выполнения в сетях TCP/IP действий, которые можно назвать настоящим кибертерроризмом. Эти действия, при всем их разнообразии, сводятся к одному - атакам, направленным на разрушение или нарушение нормального функционирования различных сетевых сервисов и называемых атаками DoS (Denial of Service -Отказ в обслуживании). Технически атаки DoS реализуются с помощью программ-эксплойтов, использующих уязвимости стека протоколов TCP/IP и сетевого программного обеспечения.

Атаки DoS представляют собой сущее бедствие для современных сетевых компьютерных систем, в особенности для Интернета. Ежегодно атаки DoS опустошают ресурсы различных сайтов Интернета, среди которых присутствуют такие известные сайты, как Yahoo, eBay, CNN.com, www.Microsoft.com, приводя к финансовым потерям их хозяев, исчисляемых миллионами долларов. Как правило, следствием таких атак является выход из строя серверов Интернета из-за перегрузки, что приводит к недоступности услуг этих сайтов и, следовательно, к потере возможных доходов.

Причины применения атак DoS могут быть самыми различными, начиная от простого хулиганства и кончая самым настоящим кибертерроризмом, имеющим своей целью достижение, в том числе, определенных политических целей. Тем не менее для настоящего хакера атаки DoS не представляют особого интереса, вследствие их очевидной никчемности с точки зрения доступа к информации. Мы, однако, не будем обсуждать цели, преследуемые «кул хацкерами», выполняющими атаку DoS против первого попавшегося им под руку Web-сайта; заметим только, что для антихакера атаки DoS иногда становятся единственным средством защиты от нападений из сети. В самом деле, когда сразу с нескольких компьютеров на вас направляется целый шквал сетевых пакетов, защититься от него можно только одним способом - послав в ответ «залп» из сетевого «орудия», представляющего собой аналог хакерского инструмента для атаки DoS.

В данном случае уместно напомнить, что деяния типа атаки DoS никак не могут понравиться ее жертвам, что может иметь для хакера самые печальные последствия. Так что даже применяя атаку DoS против надоедливых киберхулиганов, помните, что нелишне предпринять те же меры защиты, что используют хакеры, - работайте через прокси-сервер и под защитой брандмауэра или системы IDS (например, BlacklCE Defender (http://blackice.iss.net/)), чтобы избежать раскрытия конфиденциальности и возможной реакции объектов атаки.

Разновидности amak DoS

Целью атаки DoS является приведение компьютерной системы в состояние, когда ее функционирование становится невозможным. Технически реализация такой задачи может быть выполнена различными методами, поэтому чтобы было легче ориентироваться, мы разобьем атаки DoS на такие категории.

• Атаки насыщением полосы пропускания - отсылая на атакуемый хост большое число пакетов, хакер перенасыщает полосу пропускания определенной сети, скажем, Интернета (так был неоднократно атакован Web-сайт Yahoo). Такую атаку хакер может выполнить двояким образом. Если хакер использует сетевое подключение с большой полосой пропускания, скажем, Т1 (ширина 1544 Мбит/с), то ему ничего не стоит затопить пакетами сетевое соединение с полосой пропускания, скажем, 56 Кбит/с (модемное подключение). Другой вариант - использование усиливающей сети, когда хакер использует не слишком быстрый канал связи, например, модемное соединение. В этом случае с помощью определенной технологии хакер посылает поток пакетов на атакуемый хост сразу со всех компьютеров усиливающей сети.

• Атаки на истощение ресурсов - отсылая на атакуемый хост специально подготовленные пакеты, хакер вынуждает атакуемый компьютер тратить свои ресурсы на обработку этих пакетов. Происходит захват системных ресурсов атакуемого компьютера - центрального процессора, памяти и других, после чего хост выходит из строя.

• Атаки некорректными сетевыми пакетами - отсылая на атакуемый хост особым образом искаженные пакеты, хакер нарушает работу сетевого программного обеспечения или операционной системы компьютера. В таких атаках используются уязвимости, связанные с ошибками в коде программных средств.

• Атаки фальсифицированными сетевыми пакетами - искажая сетевые пакеты, хакер принуждает хост изменить конфигурацию или состояние атакуемой компьютерной системы, что снижает ее производительность или даже приводит к некорректной работе хостов. Такие атаки основываются на уязвимостях или плохой настройке системы защиты.

Опишем подробнее атаки DoS перечисленных разновидностей, проиллюстрировав их примерами атак, ставших «классикой» этой разновидности хакинга.

Aтaku насыщением полосы nponyckaния

Чтобы переполнить полосу пропускания линии связи атакуемого хоста, хакер должен принять во внимание возможности своего собственного сетевого соединения. Если хакерский компьютер напрямую подключен к Интернету через соединение Т1, то ему вполне по силам в одиночку «завалить» любой Web-сайт, не говоря уже о клиентах, работающих через модемные подключения. Выполнив лавинообразное генерирование пакетов, хакер заполняет ими линию связи атакуемого хоста, после чего работа атакованного хоста в сети становится невозможной.

Для выполнения такой атаки существует множество инструментов, использующих различные сетевые протоколы. Рассмотрим работу двух, весьма популярных программ - флудеры UDP и ICMP.

Все примеры атак DoS, рассмотренные в этой главе, будут иллюстрироваться на экспериментальной локальной сети, которую мы использовали в предыдущих главах для описания атак на службы электронной почты и /СО. Автор категорически отвергает всякую возможность использования этой информации для выполнения реальных атак со своего компьютера и предупреждает о возможной ответственности.

Флудер UDP

Как явствует из названия, флудер UDP должен «затоплять» атакуемого клиента пакетами UDP, нарушая работу компьютера. Весьма удобной программой, реализующей такую атаку DoS, можно назвать утилиту UDP Flooder 2.0 компании Foundstone (http://www.foundstone.com), которая, вообще-то говоря, была создана для проверки устойчивости хостов к атакам такого рода.

Чтобы проиллюстрировать работу утилиты UDP Flooder 2.0, мы воспользуемся нашей экспериментальной сетью и выполним атаку DoS на компьютер А1ех-3 с IP-адресом 1.0.0.5 с помощью такой последовательности действий.

• Запустите утилиту UDP Flooder 2.O.

• В поле IP/hostname (IP/имя хоста) введите IР-адрес или имя NetBIOS атакуемого компьютера - в данном случае введен IP-адрес 192.168.0.47.

• В поле Port (Порт) введите номер порта, в данном случае введен порт 80, поскольку его используют HTTP-серверы.

• Установите ползунок Speed (Скорость) в позицию LAN, поскольку мы исполняем атаку через локальную сеть.

• В группе элементов управления Data (Данные) установите переключатель Random (Случайная генерация), что вынудит флудер генерировать и отсылать на атакуемый компьютер случайные данные.

• В ставшие доступными поля справа от переключателя введите значения, соответственно, 20 000 и 30 000, установив длину передаваемых пакетов.

• Щелкните на кнопке Go (Атаковать).

• Когда вы сочтете, что с вашей жертвы достаточно, щелкните на кнопке Stop (Стоп).

На Рис. 1 представлен результат воздействия атаки на компьютер Alex-З в виде диалога диспетчера задач, открытого на вкладке Networking (Сеть).

Рис. 1. Атака удалась - сетевое соединение заполнено пакетами на 80%

Как видим, результат неплох - сетевое подключение занято в основном приемом пакетов UDP, реакция компьютера замедлена и мощности процессора на 100% заняты обработкой поступающей бессмысленной информации. И все это достигнуто при использовании равноценных подключений - и хакер, и его жертва подсоединены к LAN типа Ethernet lOBase.

Флудер ICMP

Флудеры (или бомберы) ICMP (Internet Control Message Protocol - Протокол управляющих сообщений Интернета) очень похожи на флудеры ICQ. На Рис. 2 представлен диалог одного из флудеров X-Script ICMP Bomber.

Рис. 2. Флудер X-Script ICMP Bomber весьма прост, но эффективен

Чтобы «зафлудить» неприятельский компьютер, хакеру достаточно в поле Host (Хост) указать IP-адрес или имя компьютера жертвы, после чего щелкнуть на кнопке Ping(Пинг). При необходимости, в поле Packet Size (Размер пакета) можно задать размер пакетов, а в поле Number to Send (Количество пакетов) - число отсылаемых пакетов. Размер пакета весьма влияет на эффект применения флудера - большой размер пакета приводит к практически полному затоплению сетевого соединения жертвы. На Рис. 3 представлен диалог диспетчера задач, показывающий загрузку сетевого соединения компьютера Alex-З (его IP-адрес равен, как вы помните, 192.168.0.47).

Рис. 3. Атака DoS вполне удачна!

Атака ICMP особенно эффективна еще и тем, что протокол ICMP (Internet Control Message Protocol - Протокол управляющих сообщений Интернета) предназначен для тестирования работы сети TCP/IP, и пакеты ICMP имеют высокий приоритет обслуживания. Так что флудеры ICMP могут быть весьма полезным инструментом разборки со всякого рода персонажами, не дающим прохода Web-путешественникам; к тому же флудеры ICMP не требуют никаких особенных знаний для их использования.

Amaka Smurf

Но что делать, если намечаемая жертва подключена к сети через быстрое соединение, а хакер не имеет доступа к достаточно мощному подключению, которое позволит ему выполнить атаку DoS достаточно эффективно? Тогда хакеру следует прибегнуть к более сложной атаке Smurf, которая заключается в следующем.

Вместо того, чтобы отсылать пакеты с хакерского компьютера, в атаке Smurf используется усиливающая сеть. С хакерского компьютера на широковещательный адрес усиливающей сети посылаются пакеты ECHO (Эхо) протокола ICMP, которые обычно используются для диагностики сети. В рассылаемых пакетах хакер подменяет исходный адрес пакетов IР-адресом атакуемого хоста, после чего все компьютеры усиливающей сети посылают ответные пакеты жертвенному компьютеру. Эффект от такой атаки может быть весьма велик, поскольку если усиливающая сеть состоит из нескольких десятков компьютеров, то один ЕСНО-запрос размером 10 Кбайт может вызвать лавину ответов общим объемом несколько мегабайт, и сетевое соединение атакуемого компьютера просто захлебнется.

Другой, наиболее опасной атакой описываемой разновидности является распределенная атака DoS, или DDoS (Distributed DoS). Суть атак DDoS состоит в помещении на сетевых компьютерах программ-клиентов, работающих под управлением центральной консоли. В определенный момент времени по команде с хакерской консоли эти клиенты, имеющие выразительное название «зомби», начинают атаку DoS по указанному адресу Интернета. Среди атак DDoS наиболее популярной является WinTrinoo (сайт разработчика находится по адресу http://www.bindview.com), которая, к тому же, представляет собой единственную реализацию атаки DDoS на платформе Win32. В 2000 году атаками DDoS были поражены многие серверы Интернета, включая Web-сайты самых известных фирм (этим, наверное, объясняется отсутствие на сайтах хоть сколько-нибудь работоспособной версии программ, реализующих атаку WinTrinoo). Для исследования и выявления компьютеров-зомби компания Foundstone предложила программные средства где обсуждаются меры защиты от атак DoS.

Aтaku на истощение ресурсов

Атака DoS, направленная на истощение ресурсов, имеет своей целью захват системных ресурсов атакованного хоста, таких как память, процессор, квоты дискового пространства. Как правило, хакер, предпринимающий данную атаку DoS, уже имеет доступ к общим ресурсам системы и своими действиями пытается захватить дополнительные ресурсы, чтобы затруднить доступ к ним других пользователей. Эти действия могут привести к недоступности сервера для подключений остальных пользователей, зависанию процессов и переполнению дискового пространства.

Одна из наиболее интересных и эффективных атак DoS рассматриваемого типа реализуется программой PortFuck, которая выполняет атаку переполнением таблицы процессов (еще ее называют флудером TCP-соединений по причинам, которые изложены далее). Утилита PortFuck открывает с хостом-жертвой все новые и новые TCP-соединения до тех пор, пока не переполнит ресурсы атакованного компьютера. Этот момент наступит независимо от мощности процессора, размера памяти, полосы пропускания линии связи и любых других факторов по той простой причине, что каждое TCP-соединение требует для открытия ресурсы, а они, в любом случае, не беспредельны.

На Рис. 4 представлен главный диалог утилиты PortFuck.

Рис. 4. Программа PortFuck готова сокрушить свою жертву

Чтобы воспользоваться утилитой PortFuck для выполнения атаки DoS, выполните такие шаги.

• В поле Host (Хост) введите IР-адрес атакуемого хоста 192.168.0.47.

• В поле Port (Порт) введите 80 - порт для подключения к серверу HTTP.

• Установите флажки Disconnect on Connect (Отключаться при подключении) и Reconnect on Disconnect (Подключаться при отключении), что приведет к непрерывной цепочке подключений/отключений к атакуемому компьютеру с IP адресом 192.168.0.47.

• Щелкните на кнопке PANIC! (Паника) для искажения пакетов, имеющих целью вызвать панику ядра атакуемого хоста, т.е. непредсказуемое поведение процессора компьютера в ответ на некорректные сетевые пакеты.

• Щелкните на кнопке START (Старт) и подождите несколько минут.

• Когда вы сочтете, что с жертвы достаточно, щелкните на кнопке HALT (Стоп).

На Рис. 5 представлен результат воздействия утилиты PortFuck.

Как видим, результат неплох - загрузка процессора подскочила до 80-90% и, как показал эксперимент, проводник Windows компьютера Alex-З просто перестал реагировать на действия пользователя. Что касается сетевой активности, то на Рис. 6 представлен результат тестирования подключений утилиты PortFuck к порту 80 компьютера Alex-З, полученный с помощью утилиты Attacker 3.0 компании Foundstone (http://www.foundstone.com).

Рис. 5. Процессор хоста Alex-З просто изнемогает под градом ударов!

Рис. 6. Компьютер Alex-З «затоплен» подключениями к ТСР-порту 80

В данном случае несомненно, что работа HTTP-сервера, запущенного на А1ех-3, будет полностью парализована, что и требовалось хакеру. Теперь можно приступить к переговорам с жертвой...

Атаки некорректными сетевыми пакетами

Некорректные, т.е. не соответствующие определенным протоколам сетевые пакеты могут стать причиной совершенно некорректного поведения компьютера, получившего на внешний порт данные с непонятной, т.е. не предусмотренной разработчиком структурой данных. Таким образом, подобные атаки всецело основаны на недостатках и ошибках программирования. Хакеры настойчиво ищут такие уязвимости, а разработчики непрерывно исправляют найденные недостатки - и все это противостояние длится безо всякой надежды на окончание уже много лет. Рассмотрим некоторые «классические» атаки подобного рода.

Amaku Nuke

Слово «Nuke» на английском языке означает «ядерное оружие», и если такое название присвоили атакам DoS, то, очевидно, они чего-то, стоят. На русском эти атаки так и называют - «нюк», и суть классического «нюка» состоит в следующем. В сетях TCP/IP для проверки функционирования хостов применяется протокол ICMP, про который мы упоминали в разделе «Флудер ICMP» выше. При возникновении в сети какой-либо ошибки функционирования - обрыва соединения, недоступности линии связи и т.п. - происходит генерация сообщения ICMP, вслед за которым выполняются определенные действия, например, перестройка маршрутизации сети исключением линии связи из таблицы маршрутизации. Одновременно разрываются все подключения с компьютером, ставшим недоступным.

На этом-то и строится расчет хакера - послав компьютеру А, подключенному к компьютеру В, сообщение, что компьютер В якобы недоступен, можно прервать соединение. Наибольший эффект такие «шалости» имеют при атаках на IRC и Web-чаты, поскольку их посетители подолгу остаются подключенными к серверу, и их легко вычислить и «отсоединить» от сервера. Так что атаки Nuke - это сущее наказание для сетей ERC.

При работе с атаками DoS типа Nuke и хакерам, и антихакерам следует учесть, что системы Windows 2000/XP не позволяют вытворять с собой такие штучки, которые без проблем выводят из строя системы Windows 9x. Это подтверждают как эксперименты по применению «нюков» к компьютерам Windows 2000/XP, так и литературные источники. Тем не менее, учитывая наличие в Интернете множества компьютеров Windows 9x, да еще и лишенных всякой защиты брандмауэрами, не стоит сбрасывать со счетов возможности «нюков». Для антихакеров «нюки» подчас могут стать той дубиной, которая спасет их при путешествиях по виртуальным просторам Интернета от персонажей типа доктора Добрянского.

Существует великое множество утилит для выполнения атак Nuke - все на одно лицо, с очень похожими диалогами. Рабочее окно одной из них, программы Windows Nuke'eM version 1.1.

Чтобы выполнить атаку Nuke на компьютеры нашей экспериментальной локальной сети, добавим к ней еще одного клиента - А1ех-2, с IP-адресом 1.0.0.4 и работающего под управлением системы Windows 95. Далее выполним такие шаги.

• В поле Address (Адрес) рабочего окна программы Windows Nuke'eM version 1.1, представленном на Рис. 8, последовательно введите IP-адреса компьютеров Alex-2 (Windows 95), Alex-3 (Windows XP) и Alex-1 (Windows 2000). По мере ввода IP-адресов щелчком на кнопке Add (Добавить) вносите их в список в левой части диалога.

• Щелкните на кнопке Execute (Исполнить). В окне Windows Nuke'eM version 1.1 отобразится информация о ходе атаки.

• Чтобы проверить результаты применения «нюка» к компьютеру А1ех-2, попробуем обратиться к компьютеру А1ех-2 с помощью проводника Windows. В ответ проводник Windows отображает диалог.

Таким образом, связь с компьютером А1ех-2 нарушена - что и требовалось достичь атакой Nuke. Теперь вы понимаете, почему при общении в чатах и всякого рода IRС-сообществах следует избегать идентификации вашего IP-адреса. Ведь при работе на компьютерах со старыми системами Windows вы практически ничем не защищены от «нюков», если, конечно, не используете толковый брандмауэр или систему IDS (рекомендуем BlacklCE Defender).

Amaku Teardrop

Другой разновидностью атак, приводящих к сбою системы, являются атаки Teardrop, которой подвержены все ранние системы Windows, включая Windows NT 4 без установленных сервисных пакетов. Атака Teardrop заключается в отсылке на атакуемый хост датаграммы с некорректно установленными параметрами начала и длины фрагментов. А именно, эти параметры таковы, что фрагменты пересекаются при сборке полученной датаграммы в памяти компьютера, что приводит к порче памяти.

Суть дела в том, что каждый фрагмент датаграммы позиционируется в памяти двумя величинами - смещением фрагмента от начала датаграммы и длиной фрагмента, и эти величины пересылаются вместе с самой датаграммой на хост-получатель. И если программа, занятая сборкой датаграммы, не рассчитана на обработку искаженных величин смещения и длины фрагментов (а это возможно из-за недочетов в программном обеспечении), то возможен сбой работы системы. Это и происходило с ранними версиями систем Windows 9x/NT, но не в версиях Windows 2000/XP.

Amaka Ping of Death

Атака Ping of Death (Смертоносный пинг) состоит в отсылке на хост-жертву сильно фрагментированного пакета ICMP (каждый фрагмент не более 1К размером), причем общий размер пакета превышает максимально допустимый для пакета ICMP, т.е. 64 Кбайт. После сборки пакета операционная система должна обработать некорректные данные, что, вследствие ошибок программирования, приводит к сбою систем Windows ранних версий, а также компьютеров с системами OS UNIX.

Aтaku Land

Атака Land состоит в отсылке на хост множества пакетов, требующих установления TCP-соединения с другим хостом, IР-адрес которого умышленно искажен (скажем, задан равным IР-адресу хоста жертвы). При установлении TCP-соединения атакуемый хост должен выделить нужные для работы соединения ресурсы, подтвердить готовность к работе отсылкой специального пакета, подождать ответного отклика подсоединяющегося хоста, снова отослать подтверждение, и т.д. вплоть до установления TCP-соединения или отказа от него. Поэтому если операционная система жертвы не рассчитана на такие штучки, как некорректный или отсутствующий IP-адрес в пакете на установление связи, то поведение жертвы будет непредсказуемым. При отсылке множества пакетов, искаженных описанным образом, может произойти как исчерпание ресурсов компьютера, так и аварийный сброс всех имеющихся TCP-соединений.

Так что хакер, который изобрел атаку Land (говорят, это название атака получила по фамилии ее создателя - Land), знал что делал - в свое время атаке Land были подвержены многие старые операционные системы - Windows, Unix, MAC OS, маршрутизаторы CISCO, 3COM. Однако современные версии операционных систем уже не реагируют на атаки Land, что несколько умаляет их значение.

Amaku фальсифицированными сетевыми пakemaмu

Вообще-то в разделе «Атаки Nuke» мы уже описывали пример атаки, приводящей к искажению работы сети или хоста - ведь классическая атака «Nuke» как раз и заключается в разрыве соединений и искажении таблиц маршрутизации сети. Другие атаки DoS фальсифицированными сетевыми пакетами выполняют примерно те же функции, причем очень часто с использованием протокола ICMP. Коротко опишем эти атаки.

• Перенаправление трафика - рассылая ICMP-сообщения Redirect (Перенаправить), требующие изменить таблицы маршрутизации сети, хакер может разрушить всю работу сети, при которой пакеты между хостами уходят в «никуда» или перехватываются хакером.

• Навязывание длинной сетевой маски - передавая ICMP-сообщение Address Mask Reply (Ответ на адресную маску), хакер может изменить маску сети для данной хоста так, что маршрутизатор сети окажется вне «поля зрения» хоста.

• Сброс TCP-соединения - эту атаку мы продемонстрировали в разделе «Атаки Nuke», когда хакер, послав на атакуемый хост ICMP-сообщение Destination Unreachable (Цель недоступна), разрывает связь хоста с сервером.

• Замедление скорости передачи данных - посылая якобы от имени промежуточного маршрутизатора ICMP-сообщение Source Quench (Замедлить источник), хакер принуждает хост снизить скорость передачи данных. Этого же результата можно достичь, посылая ICMP-сообщение Destination Unreachable: Datagram Too Big (Цель недоступна: датаграмма слишком велика).

Как видим, возможности протокола ICMP для создания атак DoS просто неисчерпаемы, однако следует учесть, что владея такой техникой, хакер может получить гораздо больше пользы, если применит ее для достижения других, более плодотворных целей, чем для причинения мелких и средних гадостей своим сетевым соседям.

Напоследок укажем самую, пожалуй, популярную атаку DoS, реализованную в сетях TCP/IP - атаку на протокол NetBIOS от хакера Sir Dystic, создавшего утилиту nbname, которая искажает работу службы NBNS преобразования IP-адресов в имена NetBIOS в сетях Windows 2000. Запустив утилиту nbname, можно полностью нарушить работу всей сети, передавая сообщения NetBIOS об освобождении или регистрации имен NetBIOS. После этого работа сети TCP/IP полностью или частично нарушается - общие ресурсы становятся недоступными, подключения и просмотр сетевых соседей затрудняется, и перестают работать некоторые команды тестирования сети, например, net send.

К сожалению, все попытки обнаружить в Интернете утилиту nbname оказались тщетными - сайты, указанные ссылками на страницах с описанием атаки утилитой nbname, тщательно заглушены, что наводит на мысль об исключительной эффективности nbname.

Защита от amak DoS

Атаки DoS - это бедствие нынешнего виртуального мира, приводящие в хаос мощные вычислительные системы. Борьба с ними усложняется еще и тем, что все эти атаки подчас невозможно отразить иначе, кроме как закрытием всех сетевых соединений атакованного хоста, что очень часто неприемлемо по финансовым соображениям. Тем не менее, в [11] отмечается, что иногда выгоднее увеличить мощности компьютерной системы, подверженной атакам DoS, чем закрыть к ней доступ, скажем, остановить работу Web-сервера организации. Расчет здесь строится на истощение ресурсов атакующей стороны, которой просто не удастся превзойти ресурсы Web-сервера. Другое важное средство защиты - переход на современные операционные системы и программное обеспечение, которое «осведомлено» о последних изобретениях по части атак DoS.

Однако все это может не устоять перед атакой DDoS - хакер, овладевший такими средствами, может стать воистину всемогущим, поскольку нет такого сервера, который мог бы устоять перед атакой, идущей со всех сторон земного шара с неопределенно большого числа комьютеров-зомби. Такие атаки требуют особого подхода, и вот что предлагает компания Foundstone.

Вместо настройки системы защиты сервера, усиления ресурсов подверженного атакам компьютера специалисты Foundstone предлагают меры активной обороны. В ответ на атаку DDoS, использующей сотни и тысячи «зомби», Foundstone предлагает самому перейти в наступление и заглушить работу «зомби» встречной атакой.

Для выполнения такой контратаки сотрудник фирмы Foundstone, неутомимый Робин Кейр (Robin Keir), разработал и предоставил всем желающим возможность загрузить на сайте http://www.foundstone.com бесплатную утилиту DDoSPing 2.0, которая выполняет тестирование компьютера на предмет наличия в нем программы-зомби. Далее работу выявленного зомби можно заглушить, воспользовавшись программой флудера UDP, описанного в разделе «Флудер UDP» выше.

На Рис. 7 представлен диалог программы DDosPing 2.0, содержащий все необходимые элементы для выполнения тестирования.

Рис. 7. Диалог программы выявления зомби DDoS позволяет тестировать целую сеть

Для работы с программой DDoSPing 2.0 следует выполнить такие шаги.

• В поля Start IP address (Начальный IP-адрес) и End IP-address (Конечный IP-адрес) введите начальный и конечный IP-адреса тестируемой сети или отдельного хоста.

• Установите ползунок Speed (Скорость) в позицию, соответствующую тестируемой сети, в данном случае LAN.

• Если необходимо, щелкните на кнопке Configuration (Конфигурация) и откройте диалог настройки программы (Рис. 8).

• В зависимости от тестируемой системы, щелкните на кнопке Windows defaults (Windows по умолчанию) или Unix defaults (Unix по умолчанию), чтобы установить стандартные параметры проверки систем Windows или Unix, соответственно.

• Обратите внимание, что программа DDoSPing 2.0 позволяет выявлять зомби, принимающие участие не только в атаках WinTrinoo, но и других, не менее интересных атаках того же рода - StachelDraht и Tribe Flood Network. Если настройки программы вас устраивают, щелкните на кнопке ОК в диалоге настройки программы (Рис. 8).

Рис. 8. Настройка программы тестирования

• В диалоге DDoSPing 2.0 на рис. Рис. 11 щелкните на кнопке Start (Пуск) и выполните тестирование. Ход проверки отображается в поле Infected Hosts (Зараженные хосты).

Другой, не менее популярной утилитой для выявления компьютеров-зомби является программа Zombie Zapper (http://razor.bindview.com/tools/ZombieZapper_form.shtml), которая как раз и является творцом атаки WinTrinoo. На Рис. 9 представлен диалог этой программы, который, как видим, не очень отличается от DDoSPing 2.O.

Рис. 9. Программа Zombie Zapper также неплоха

Однако в отличие от DDoSPing 2.0, программа Zombie Zapper не позволяет выполнять настройку тестирования хостов и не снабжена такими удобными средствами наблюдения за ходом проверки, как DDoSPing 2.O.

Заключение

Как вы, наверное, уже поняли, атаки DoS - это занятие не для Хакеров с большой буквы, а скорее для типов, на подобие доктора Добрянского. В самом деле, что толку оттого, что где-то за океаном, за тридевять земель, у кого-то перестанет работать Web-сервер и этот кто-то понесет потери. Вам-то что с того, если только, надеюсь, вы не кибертеррорист и не личность с «обугленным черепом и клочками растительности, и обрывками проводов», как у доктора Добрянского. Но вот для Антихакера атаки DoS иногда могут стать просто спасением, если попытки остановить атаки какого-нибудь «кул хацкЁра» (да-да, именно «Ё», уже и такие появились) не получаются никаким образом и нет уже сил и средств на непрерывное наращивание мощностей Web-сервера. Выявите IP-адрес такого «хацкЁра» и затопите его компьютер пакетами ICMP-флудера! Системы IDS всегда готовы предоставить IР-адрес, требуемый для такой контратаки, а простые флудеры, подобные описанным в этой главе, можно найти на многих сайтах Web. Однако помните, что такие методы защиты - на грани допустимого, и их использование чревато. Поэтому антихакер должен применять обоюдоострое оружие атак DoS весьма умело, действуя через прокси-сервер и прикрываясь брандмауэром - а то ведь и ответить могут!

Hosted by uCoz