Видалені атаки DOS

В даний час більшість умов DOS пов'язана з помилками в програмуванні, які мають відношення до реалізації стека IP різними розробниками. Як згадувалося в розділі 2, кожен розробник реалізує стек IP по-різному. Оскільки реалізація стека є достатньо складним завданням, вирішення якого постійно еволюціонує, то завжди є велика вірогідність появи найрізноманітніших помилок. У основі багатьох атак лежить можливість передачі пакету або послідовності пакетів на цільовий вузол і використання певної вади програмного забезпечення. Після того, як ці пакети будуть отримані цільовою системою, можуть виникати самі різні ситуації, починаючи з некоректної обробки пакетів, що поступили, до краху всієї системи в цілому.

Перекриття фрагментів пакетів IP

Ці атаки пов'язані з вадами в програмному коді певної реалізації стека IP, який використовується для відновлення пакетів. Коли пакети проходять через різні мережі, може виявитися необхідним розділити ці пакети на менші частини (фрагменти), розмір яких визначається заданим в мережі значенням MTU (Maximum Transmission unit — максимальна одиниця передачі). Така атака була характерна для старих версій ядра системи Linux, в якому некоректно оброблялися IP-фрагменты, що перекриваються. Хоча ядро Linux і стежить за тим, щоб фрагменти не перевищували максимально допустимого розміру, така перевірка не виконується для дуже малих фрагментів. Таким чином, ретельно сконструйовані пакети після їх відправки системі Linux можуть привести до її перезавантаження або останову функціонування. Linux є далеко не єдиною системою, яка уразлива для таких атак. Системи Windows Nt/95 також можуть піддаватися подібним нападам (newtear.c, syndrop.c, boink.c).

Контрзаходи

Помилки, використовувані в описаних вище атаках, були виправлені в пізніших версіях ядра 2.0.x і 2.2.x. Для забезпечення захисту відновите ядро операційної системи до версії 2.0.x або 2.2.x. У цих версіях виправлений не тільки алгоритм відновлення фрагментів IP-пакетов, але і багато інших помилок підсистеми захисту.
Для системи Windows NT вада фрагментації була виправлена в сервісному пакеті Service Pack 3 і пізніших модулях оновлення. Користувачі Windows 95 також повинні встановити відповідні сервісні пакети. 

Витік пам'яті в Windows NT -іменованниє канали поверх RPC

У системі Windows NT можливий витік пам'яті, керованої файлом spoolss.exe, що дозволяє неавторизованому користувачеві під'єднатися до ресурсу \\server\ PIPEXSPOOLSS і захопити всю доступну пам'ять цільової системи. Ситуація посилюється ще і тим, що цю атаку можна реалізувати через нульове з'єднання навіть у тому випадку, коли в системному реєстрі встановлено значення Restrictanonymous. Для повного і прихованого захоплення всіх ресурсів може потрібно якийсь час, тому діяльність вхтомшика може виявитися досить тривалою.

Контрзаходи: запобігання витоку пам'яті

Для запобігання цій атаці через нульове з'єднання потрібно видалити параметр SPOOLSS, розташований в поддереве системного реєстру Hklm\system\ccs\ Services\lanmanserver\ Parameters\nullsessionpipes (Reg_multi_sz). Проте не забувайте, що цей захід не дозволить забезпечити систему від проведення атаки авторизованими користувачами.

Переповнювання буфера в FTP-сервере IIS

Як ви дізналися з розділу 8, атаки з використанням переповнювання буфера надзвичайно ефективні при порушенні зашиті уразливих систем. Крім того, переповнювання буфера виявляється ефективним також для створення умови DOS. Якщо в результаті переповнювання буфера не вдалося отримати привілею адміністратора, то в більшості випадків його можна використовувати для того, щоб видалено викликати крах уразливого застосування.
Від переповнювання буфера не захищена служба FTP, що входить до складу Internet Information Server (IIS 3.0 і 4.0). При використанні команди list видалені користувачі можуть видалено викликати крах сервера. Ця команда стає доступною лише після успішного завершення аутентифікації, проте анонімні FTP-пользователи можуть без проблем її використовувати. Важливо не забувати про небезпеку, що виникає при виникненні умови DOS. Ступінь риски значно зростає, якщо у зломщика є можливість виконати на цільовому вузлі довільний код, скориставшись умовою переповнювання буфера.

Контрзаходи: захист від переповнювання буфера в RP-сервере IIS

Описану проблему дозволяють усунути сервісний пакет Sp5 і модулі оновлення, випушенниє компанією Microsoft після появи сервісного пакету Sp4
(ftp://ftp.microsoft.com/bussYS/iis/iis-public/fixes/usa/security/ftpls-fix/).

Атаки stream і raped

Програма stream, з (невідомого автора) і raped.с, написана Ліквідом Стілом (Liquid Steel), з'явилися на початку 2000 року. З їх використанням можна здійснити дві схожі один на одного прості атаки, які, не дивлячись на це, будуть дуже ефективними.
Обидві атаки направлено на захоплення ресурсів, внаслідок чого операційна система стає нездібною управляти всіма пакетами, відправленими їй одночасно. Спочатку програми stream і raped були призначені для атак на систему FREEBSD, проте в даний час їх можна використовувати для порушення роботи багатьох операційних систем, включаючи (але не обмежуючись) Windows NT. Ознакою нападу служить збільшення навантаження на центральний процесор (див. малюнок нижчий), проте після припинення атаки система повертається до свого звичайного стану. Програма stream.с передає TCP-пакеты дек групі портів з довільно вибраними номерами і випадковим чином заданими початковими IP-адресами. В процесі атаки raped відправляються TCP-пакеты АСЬК, в яких вказана помилкова початкова IP-адрес.

Контрзаходи: захист від атак stream і raped

На жаль, для захисту від таких атак модулі оновлення випущені лише для деяких операційних систем. Нам невідомо про які-небудь модулі оновлення Windows NT. Проте в системі FREEBSD можна скористатися неофіційним модулем, який можна отримати за адресою http: //www. freebsd.org/~alfred/tcp_fix.diff.

Атака на сервер Coldfusion

Ця атака була досліджена в червні 2000 року компанією Foundstone. Вона заснована на помилці програми і дозволяє порушити функціонування сервера. Умова DOS виникає в процесі конвертації введених паролів, що зберігаються, у форму, придатну для їх порівняння, коли введений пароль має дуже великий розмір (більше 40000 символів). Скористатися цим прийомом дуже просто. Для отримання докладнішої інформації читайте розділ 15.

Контрзаходи

Докладні рекомендації по усуненню цієї вади приведені в розділі 15, "Хакинг в Web".