Атаки
DoS являются самыми разрушительными в сети Internet. Ежегодно, они
приносят различным компаниям убытки в миллионы долларов. DoS
расшифровывается как Denial of Service или отказ в обслуживании. Целью
данных атак является нарушение работы сервера (при котором блокируется
обслуживание пользователей, сетей и систем). На протяжении какого-то
время WEB-узлы ФБР и других правительственных организаций США были
подвергнуты атакам DoS, которые являлись ответом хакеров на
предпринятый против них рейд.
Раньше считалось, что количество произведённых DoS атак растёт из-за
быстрого распространения систем Windows95/98/NT. Но последние несколько
лет показали, что системы UNIX также подвержены таким атакам.
Доказательством этого является огромное количество эксплоитов для DoS
на различных сайтах.
WHY? Итак приступим. Перед тем как изучить анатомию DoS атак надо
ответить на один вопрос: “Зачем делаются DoS?”. Как правило DoS атаки
применяются для того, чтобы перезагрузить атакуемый сервер. Пример: Я
получил ограниченный доступ к какому-то серверу. Моих прав хватает для
того, чтобы закачать на сервер трояна и прописать его в автозапуск.
Пять минут, и троян закачан и прописан в автозагрузку. Теперь, чтобы он
запустился, надо перезагрузить атакуемый сервер. А как это сделать если
не достаточно прав? Правильно! DoS. Качаю эксплоит, компилирую,
запускаю, сервер в дауне. Следует ребут и мой троян бороздит просторы
сервака.
Это один из многих случаев применения DoS атак. Но более часто их
используют для того, чтобы насолить админу/серверу/компании. Т.к.
ломать компьютер, на котором стоит Web-сервер долго, а порой и почти
невозможно, DoS-лучший выход. 15 минут работы и сервер на несколько
часов в дауне (если повезёт).
DoS HowTo
Существует четыре основных формы DoS атак:
I. Насыщение полосы пропускания (bandwidth consumption).
Эта одна из самых распространённых форм DoS’а. Она заключается в том,
что атакующий комп забивает мусорными пакетами канал атакуемого компа.
Эта атака проходить лишь в том случае, когда канал атакующего шире
канала атакуемого, что чаще всего наоборот (особенно в России=]).
Собственно сам DoS происходит следующим образом. Хакер отсылает на
сервер огромное количество запросов и другой мусорной информации.
Вследствие чего сервер не может принимать запросы от других
пользователей. Вроде звучит глупо, а работает=]. В основном сейчас этот
вид атаки мало используется для атак на сервера и большое
распространение получила атака DDoS, о которой я расскажу ниже.
В основном данный тип DoS атак используется для воин в IRC или просто для атак на простых диалапных пользователей.
Самым ярким примером атак типа bandwidth consumption является
тривиальный пинг. Это классика DoS’а. Я понимаю, что звучит это весьма
неубедительно. Но поверь мне, завалить простым пингом можно очень
многих.
Итак, пример.
Есть цель, которая сидит на модеме со скоростью 14400 и жутко катит на
тебя в IRC’е. Эту цель, ясен пень, надо проучить (она же не знает что у
тебя ADSL=]). Что делаем? Правильно, берём очень полезную нам программу
PING. Ставим размер пакета на максимум и начинаем проверять связь с
целью=]. Пять минут и чувак полетел в offline. Всё бы хорошо, но есть
одна проблема. В данном случае соотношение толщины канала примерно один
к четырём в твою пользу. А если всё наоборот?=]. Тут просто пинг не
прокатит.
Рассмотрим поверхностно принцип работы утилиты Ping. Один компьютер
отправляет эхо запрос другому компьютеру, и если тот отвечает на этот
запрос, то компьютер считается активным. НО! Размер запроса и ответа
примерно равны по размерам. Из этого следует, что отправляя 1мб трафика
ты получаешь его обратно. Понятно, что канал забивается и у одного и у
другого в равной степени. А кто кому устроит DoS уже определяется
толщиной канала=]. Вроде бы закон, сколько отправил столько и получил.
Но однажды кто-то сказал “Да клал я на эти законы” и заменил IP адрес
отправителя (своей тачки) на чужой. И получился IP Spoofing (замена
своего IP адреса на чужой). Это дало bandwidth consumption’у новое
продолжение. Появились такие вариации как Pinf of Death и Smurf. О
которые будут описаны ниже.
Плюсы:
идеальная атака на простых юзеров Internet’а.
Минусы:
канал атакующего в 90% случаев должен быть шире атакуемого.
Личное мнение:
на мой взгляд, атака без будущего.
II. Недостаток ресурсов (resource starvation).
Этот тип атак схож с насыщением полосы пропускания. Всё это безобразие
основано на том, что хакер отправляет на сервер кучу пакетов, которые
отъедают какое-то количество ресурсов, вследствие чего ресурсов не
хватает, и сервер падает. Классическим примером является заполнение
всего пространства на харде логами. Т.е. берётся пакет, при получении
которого на сервере в лог пишутся события и начинается бомбёжка им
сервера. И если админ не ограничил размер лога, всё место на харде
очень быстро забивается. Ну а потом уже начинается тормозняк и глюки
сервака. Примером такого пакета можно считать пакет регистрации в
системе.
Плюсы:
завалить можно практически всё
Минусы:
взломщика очень легко обнаружить
Личное мнение:
всё отлично, если бы не минусы
III. Ошибки программирования (programming flaw).
Ну здесь я думаю и объяснять ничего не надо. Вот это рулез в чистом
проявлении. DoS основанный на ошибках программистов, написавших софт.
Завалить сервер можно отослав только один пакет. Это делает
маловероятной возможность обнаружения нападающего. Экслоитов под каждый
софт навалом. Найти их можно по всему интернету. Единственная проблема
состоит в том, что чтобы обнаружить такую дыру весьма проблематично.
Есть два варианта: Или иметь исходники исследуемой на дыру программы
или быть спецом асма. Так что, в принципе, идеальная DoS атака.
Плюсы:
один пакет - один заваленный сервер
Минусы:
сложно найти новую дыру самому
Личное мнение:
идеальная атака, будущее за ней.
IV. Доменная система и маршрутизация.
Собственно DoS’ом это назвать трудно. Атаки такого типа заключаются в
том, что хакер заменяет в DNS и маршрутизаторах IP адрес сервера на
другой. Вследствие чего на сервер не может пробиться ни один клиент.
Плюсы:
не надо возиться с пакетами
Минусы:
надо взламывать маршрутизаторы
Личное мнение:
глупо и не нужно
DETAILS :: Вариации DoS
Итак. Выше я рассмотрел 4 основные формы DoS’а. Теперь ты знаешь, что
такое DoS атаки и вообще зачем они нужны. Теперь настало время
рассмотреть их существующие разновидности.
Ping of Death
Уязвимые ОС: все
Суть данной атаки предельно проста – пингование удалённого хоста пакетами чрезмерно большого размера.
Nuke
Уязвимые ОС: Win9x/NT
Вот это классика. Старый добрый нюк знают все, но не все знают, как он
работает. Итак. Как стало известно, 139 порт, т.е. NetBIOS очень не
любит нестандартное содержание входящих пакетов. А если и получает
такой пакет, то сразу показывает Blue Screen of Death. Так что Nuke –
простейшая программа, отсылающая пакет нестандартного содержания на 139
порт удалённого хоста. Итог – зависон компа до следующего ребута.
Smurf
Уязвимые ОС: Все OS и даже(!) маршрутизаторы.
Привлекателен тем, что на данный момент от него не существует
эффективной защиты. Smurf является очень массовой атакой. Как известно,
в любой сети есть broadcast адрес, который пересылает полученные пакеты
всем остальным компам сети. Итак, собственно фишка. Берём пинг (лучше
утилу типа Ping of Death), подменяем свой IP адрес на адрес одного
компа из атакуемой сетки и начинаем пинговать broadcast адрес. Итог:
Каждый добропорядочный комп сети будет отвечать на пинг по
поставленному нами IP адерсу. Т.е. одному из компов сети. И если в
данной сетке компов много, атакуемый комп склеивает ласты.
SYN Flood
Уязвимые ОС: Windows 9x/NT/2K/XP
Ещё один тривиально реализуемый тип DOS’а. Берём самый обыкновенный
пакет синхронизации и начинаем слать его на атакуемый комп. Вроде бы
ему паралельно на это дело. Не порядок. Берём и изменяем IP адрес
отправителя на не существующий IP. Посмотрим что получилось. Атакуемый
комп, получив TCP SYN пакет пошлёт обратно запрос, на который будет
ждать ответ. И что-то мне подсказывает, что ждать его он будет очень
долго=]. Итог. Комп клинит от большого количества ожиданий ответов.
Jolt2
Уязвимые ОС: Windows 9x/NT/2K/XP и BeOs
А вот это моя самая любимая. Действует это безобразие следующим
образом. На атакуемый комп отправляется туча фрагментированных пакетов,
которые невозможно собрать. В итоге с каждым пакетом занимаются
какое-то количество ресурсов, в конце концов отжирая все ресурсы компа.
DDOS
DDoS – расшифровывается как распределённая DoS атака. На мой взгляд –
самая прогрессирующая и универсальная DoS атака. DDoS относится к
насыщенности полосы пропускания. Работает она следующим образом.
Пакеты, заполняющие канал, посылает на сервер не один компьютер, а
несколько. Если этих компьютеров будет 2 то ещё как-нибудь сервер ещё
сможет удержаться. А если тысяча? То-то и оно. Для DDoS’а существует
специальный софт, схожий по функциям с “троянскими конями”. Самая
термоядерная атака во всемирной паутине. Скоро я напишу отдельную
статью по DDOS в которой эта атака будет расписана самым подробным
образом..
|
