Розподілені атаки DOS

У вересні 1999 року у момент появи першого видання цієї книги концепція розподілених атак DOS була не більше ніж припущенням. А зараз розмова про комп'ютери без згадки фрази "розподілена атака DOS" (Ddos — Distributed Denial of Service) можна вважати за неповний. Як і віруси, що з'являються в Internet як бур'ян, атаки Ddos привертають всю більшу увагу засобів масовій інформації.
У лютому 2000 року була зроблена перша масована атака Ddos. Спочатку їй піддався Web-сервер Yahoo, а потім E*trade, ebay, buy.com, CNN.com і інші сервери. В результаті було порушено функціонування семи всім відомих Web-узлов. Деякі схильні вважати, що ця атака була ініційована групою досвідчених хакерів, які вирішили задовольнити свої низовинні бажання за рахунок простих користувачів Internet, проте це не зовсім так. Вірно якраз зворотне.
Атака DOS починається у тому випадку, коли хто-небудь (зазвичай нудьги ради) скористався яким-небудь вільно поширюваним програмним забезпеченням і відправив велику кількість пакетів до певної мережі або вузла, щоб оволодіти його ресурсами. Проте у разі розподіленої атаки DOS її джерелом є декілька вузлів. Цей сценарій можна реалізувати лише одним способом: зламавши ті, що існують в Internet системи.
Перший крок будь-якого зломщика, що вирішив удатися до атаки Ddos, полягає в зломі максимальної кількості вузлів і отриманні на них адміністративних привілеїв. Це завдання зазвичай виконується за допомогою спеціальних сценаріїв, використовуваних для виявлення потенційно уразливих вузлів. Впродовж всієї книги постійно розглядалися методи, з використанням яких зломщик може розробити такі сценарії. З їх допомогою можна просканувати численні мережі і знайти в них погано конфігуровані вузли або уразливе програмне забезпечення, за допомогою якого можна дістати необмежений доступ.
Після отримання необхідних привілеїв зломщик завантажить спеціальне програмне забезпечення, призначене для реалізації атаки Ddos, а потім запустить його. Після цього більшість серверів Ddos (або демонів) чекають надходження певних команд. Це дозволяє зломщикові спочатку розмістити необхідні програми, а потім чекати зручного моменту, щоб приступити до нападу.
Нижче представлений весь хід типової атаки, починаючи з "захоплення" декількох вузлів і закінчуючи її завершуючою стадією.
Кількість засобів, призначених для проведення атак Ddos, збільшується щомісячно, так що представити їх повний огляд неможливо. Тому в наступних розділах ми обмежимося розглядом лише основних інструментів: TFN, Trinoo, Stacheldraht, Tfn2k і Wintrinoo. Звичайно, з'являються і інші засоби Ddos, такі як Shaft  і mstreams, проте вони грунтуються на вищезазначених програмах.

TFN

Пакет TFN (Tribe Flood Network), розроблений хакером Мікстером (Mixter), є першим загальнодоступним засобом реалізації атаки Ddos, який призначений для використання в системі UNIX. До складу пакету входить як клієнтський, так і серверний компонент. Це дозволяє зломщикові встановити серверну частину на видаленому зламаному вузлі, а потім за допомогою декількох команд, введених з використанням клієнтной частини, ініціювати повномасштабну розподілену атаку DOS. За допомогою пакету TFN можна реалізувати атаки з використанням ICMP-, UDP-пакетов, пакетів SYN, а також атаку Smurf. Окрім цих компонентів, до складу пакету TFN входить модуль, що дозволяє дістати доступ до видаленої командної оболонки, пов'язаної з TCP-портом.
Для отримання докладнішої інформації про пакет TFN прочитайте статтю Дейва Дітгріха (Dave Dittrich) ю

Контрзаходи

Виявлення

Для виявлення атак TFN існує декілька механізмів, і відповідні кошти можна знайти в Internet. До заслуговуючих уваги інструментів можна віднести наступні: Ddosping Робіна Кейра, Zombie Zapper від групи Razor  і find_ddos, розроблений центром NIPC (National Infrastructure Protection Center).

Запобігання

Звичайно, якнайкраща зашита комп'ютерів від використання як "зомбі" полягає в запобіганні їх злому на початковій стадії атаки. Це означає, що потрібно реалізувати всі кроки, описані в розділі 8: обмежте використання служб, встановите модулі оновлення операційної системи і додатків, задайте адекватні дозволи на використання каталогів і файлів, а також скористайтеся всіма іншими рекомендаціями.
Ще чого одна превентивна міра, яка дозволить захиститися від застосування пакету TFN. Оскільки з'єднання TFN засновані на використанні повідомлень ICMP. можна заборонити весь вхідний трафік ICMP.
Для того, щоб запобігти вашим комп'ютерам від їх використання як "зомбі", реалізуйте також деякі правила фільтрації пакетів на прикордонному маршрутизаторі. Забезпечте фільтрацію пакетів ICMP, щоб обмежити можливість застосування атак Smurf. Аналогічні функції є і в операційній системі IOS 12.0 компаній Cisco. У системі IOS 12.0 набудуйте механізм СВАС (Context Based Access Control — засоби управління доступом на основі контексту), щоб зменшити ризик застосування атак SYN.

Trinoo

Як і TFN, до складу пакету Trinoo входить програма видаленого управління (клієнт), яка взаємодіє з основною програмою, передавальною команди програмі-демонові (серверу). Взаємодія між клієнтом і основною програмою здійснюється за допомогою з'єднання через TCP-порт 27665. При цьому зазвичай використовується пароль betaalmostdone. Зв'язок основної програми з сервером встановлюється через UDP-порт 27444, а у зворотному напрямі — через LJDP-порт 31335.
Для отримання докладнішої інформації про пакет Trinoo читайте аналітичну статтю Дейва Діттріха.

Контрзаходи: захист від використання пакету Тrinоо

Виявлення

Для виявлення атак Trinoo існує декілька механізмів, і відповідні кошти можна знайти в Internet. До заслуговуючих уваги інструментів можна віднести наступні: Ddosping Робіна Кейра, Zombie Zapper від групи Razor () і find_ddos, розроблений центром NIPC (National Infrastructure Protection Center).

Запобігання

Як і у разі пакету TFN, якнайкраща зашита полягає в застосуванні всіх рекомендацій, приведених в розділі 8.
Для того, щоб запобігти нападу на ваші комп'ютери вузлів-зомбі, реалізуйте правила фільтрації на прикордонних маршрутизаторах. Забезпечте фільтрацію пакетів ICMP, щоб обмежити можливість застосування атак Smurf. Аналогічні функції є і в операційній системі IOS 12.0 компаній Cisco. У системі IOS 12.0 набудуйте механізм СВАС, щоб зменшити ризик застосування атак SYN.

Stacheldraht

Пакет Stacheldraht комбінує можливості Тrinоо і TFN і є могутнім деструктивним засобом, що реалізовує зашифрований сеанс telnet між головним і підлеглим модулем. Тепер зломщик може блокувати системи виявлення вторгнень і завдяки цьому діставати необмежені можливості по генерації умови DOS. Як і TFN, пакет Stacheldraht надає можливість ініціації ICMP-, UDP-, SYN- і Smurf-атак. Взаємодія клієнта з сервером здійснюється через комбінацію TCP- і ICMP-пакетов ECHO REPLY.
При взаємодії клієнта з сервером застосовується алгоритм симетричного шифрування за допомогою ключа. Крім того, за умовчанням активізований режим захисту за допомогою пароля. Варто згадати ще одну додаткову можливість пакету Stacheldraht: при необхідності зломщик може відновити серверний компонент з використанням команди rср.
Для отримання додаткових відомостей звернетеся до статті Дейва Діттріха.

Контрзаходи

Виявлення

Для виявлення атак Stacheldraht існує декілька механізмів, і відповідні кошти можна знайти в Internet. До заслуговуючих уваги інструментів можна віднести наступні: Ddosping Робіна Кейра, Zombie Zapper від групи Razor  і find_ddos, розроблений центром NIPC (National Infrastructure Protection Center).

Запобігання

Як і раніше, краще всього запобігти використанню комп'ютерів як "зомбі". Це означає, що необхідно врахувати всі рекомендації, приведені в розділі 8, тобто обмежити використання служб, встановити модулі оновлення операційної системи і додатків, задати необхідні дозволи на використання файлів/каталогів і так далі
Інша превентивна міра аналогічна приведеною в розділі, присвяченому пакету TFN. Оскільки взаємодія компонентів Stacheldraht здійснюється за допомогою пакетів ICMP, можна повністю заборонити вхідний трафік повідомлень Iсмр.
Для того, щоб запобігти нападу на ваші комп'ютери з боку вузлів-зомбі, реалізуйте правила фільтрації на прикордонних маршрутизаторах. Забезпечте фільтрацію пакетів ICMP, щоб обмежити можливість застосування атак Smurf. Аналогічні функції є і в операційній системі IOS 12.0 компаній Cisco. У системі IOS 12.0 набудуйте механізм СВАС, щоб зменшити ризик застосування атак SYN.

Tfn2k

Абревіатура Tfn2k — це позначення пакету TFN 2000. який є наступником пакету TFN, розробленого хакером Мікстером (Mixter). Це один з найостанніших засобів Ddos, яке принципово відрізняється від свого попередника і дозволяє в процесі взаємодії використовувати порти з довільно вибраними номерами. Завдяки цьому можна обійти блокування портів на прикордонних маршрутизаторах. Як і TFN, пакет Tfn2k підтримує SYN-, UDP-, ICMP- і Smurf-атаки. а, крім того, дозволяє випадковим чином перемикатися між різними методами проведення атаки. Проте на відміну від алгоритму шифрування, використовуваного в пакеті Stacheldraht, в Tft2k застосовується слабкіший алгоритм Base 64.
Глибокий аналіз Tfn2k був виконаний Ясоном Барлоу (Jason Barlow) і Вуді Сроувером (Woody Thrower) з групи експертів AXENT. 

Контрзаходи

Виявлення

Дта виявлення атак Tfn2k існує декілька механізмів, і відповідні кошти можна знайти в Internet. До заслуговуючих уваги інструментів можна віднести наступні: Ddosping Робіна Кейра, Zombie Zapper or групи Razor і find_ddos, розроблений центром N1pc (National Infrastructure Protection Center).

Запобігання

Як і раніше, краще всього запобігти використанню комп'ютерів як "зомбі". Це означає, що необхідно врахувати всі рекомендації, приведені в розділі 8, тобто обмежити використання служб, встановити модулі оновлення операційної системи і додатків, задати необхідні дозволи на використання файлів/каталогів і так далі
Для того, щоб запобігти нападу на ваші комп'ютери узлов-"зомбі", реалізуйте правила фільтрації на прикордонних маршрутизаторах. Забезпечте фільтрацію пакетів ICMP, щоб обмежити можливість застосування атак Smurf. Аналогічні функції є і в операційній системі IOS 12.0 компаній Cisco. У системі 1os 12.0 набудуйте механізм СВАС, щоб зменшити ризик застосування атак SYN.

Wintrinoo

Широкій громадськості програма Wintrinoo вперше була представлена групою Razor. Це версія пакету Trinoo, призначена для використання в системі Windows. Цей засіб є програмою типу "троянський кінь", яка зазвичай називається service, ехе (якщо не була перейменована) і має розмір 23,145 байт.
 Не плутайте ім'я service.exe з ім'ям в множині services.exe
Після запуску цього виконуваного файлу в системний реєстр Windows буде доданий новий параметр, після чого його автоматичний запуск виконуватиметься при кожному перезавантаженні комп'ютера.
Hkey_local_machine\software\microsoft\windows\ Currentversion\run System Services: Reg_sz: service.exe
Звичайно, це значення коректно інтерпретуватиметься, якщо файл service.exe знаходитиметься в необхідному каталозі. Програма Wintrinoo прослуховує TCP- і UDP-порт 34555.

Контрзаходи

Для того, щоб виявити програму Wintrinoo, потрібно перевірити мережу на предмет відкритого порту з номером 34555 або виконати пошук файлу з ім'ям service. ехе (якщо він не був перейменований) розміром 23,145 байт. Окрім такого "ручного" способу можна скористатися також антивірусною програмою Norton Antivirus компанії Symantec, яка автоматично ізолює цей файл еше до його запуску.