Загальні атаки DOS

Деякі атаки DOS можна використовувати для декількох типів систем. Ми називатимемо такі атаки загальними (generic). В основному загальні атаки направлені на насичення смуги пропускання або захоплення ресурсів. Стандартним елементом атак цього типу є маніпулювання протоколами. При використанні протоколу ICMP одночасно можна впливати на декілька систем. Наприклад, злом-шик може скористатися "поштовою бомбою" і відправити тисячі поштових повідомлень цільовій системі, щоб наситити смугу пропускання і виснажити ресурси поштового сервера. Хоча вірус Melissa не планувалося використовувати як засіб генерації атаки DOS, проте на гребені лавини поштових повідомлень він може привести до краху поштового сервера. Його самореплікация виявилася настільки успішною, що через нестачу ресурсів поштові сервери просто завершують свою роботу.
Оскільки неможливо проаналізувати всі умови виникнення стану DOS, частину, що залишилася, ми присвятимо атакам DOS, застосовним до більшості комп'ютерних мереж.

Атака Smurf

Атака Smurf — це одна з найбільш небезпечних атак DOS, оскільки при її реалізації на цільові вузли здійснюється посилена дія. Ефект посилення виникає із-за розсилки направлених широкомовних ping-запросов на вузли мережі, які повинні згенерувати у відповідь повідомлення. Направлений широкомовний запит може передаватися або на мережеву адресу, або на мережеву широкомовну адресу, проте у будь-якому випадку потрібний пристрій, що виконує перетворення даних рівня 3 (IP) до рівня 2 (мережа). (Докладнішу інформацію з цього питання можна отримати в документі RFC 1812, Requirements for IP Version 4 Routers.) Якщо передбачається, що мережа належить до класу З, то мережевою адресою буде .0, а широкомовною адресою — .255. Направлені широкомовні запити зазвичай використовуються для діагностики, дозволяючи виявити функціонуючі вузли без використання утиліти ping окремо для кожної адреси використовуваного діапазону.
Атака Smurf дозволяє скористатися перевагами розсилки широкомовних направлених запитів і вимагає як мінімум трьох учасників: зломщика, що підсилює мережі (amplifying network) і цілі. Зловмисник відправляє помилкові ICMP-пакеты ECHO на широкомовну адресу підсилюючої мережі. Початкова адреса пакетів підміняється так, як ніби то сама жертва згенерувала запит. Потім починається найцікавіше. Як тільки пакет ECHO передається на широкомовну адресу, всі системи підсилюючої мережі згенерують відповідь на запит вузла-жертви (якщо не заплановані які-небудь інші дії). Якщо зломщик посилає один ICMP-пакет в підсилюючу мережу, в якій міститься 100 вузлів, що генерують у відповідь повідомлення на широкомовний запит, то можна вважати, що зломщик в сто разів збільшив ефективність атаки DOS. Відношення кількості переданих пакетів до вузлів, що генерують у відповідь повідомлення, ми називаємо коефіцієнтом посилення (amplification ratio). Таким чином, зломщик постарається знайти підсилюючу мережу з великим коефіцієнтом посилення, щоб збільшити вірогідність насичення трафіку цільової мережі.
Для того, щоб краще познайомитися з атакою такого роду, розглянемо приклад. Припустимо, що зломщик відправив 14 До даних ICMP на широкомовну адресу підсилюючої мережі із ста вузлами. Мережа зломщика приєднана до Internet через двоканальне з'єднання ISDN; підсилююча мережа — через лінію зв'язку ТЗ (45 Мбіт/с); а цільова мережа — через канал Т1 (1.544 Мбіт/с). Неважко підрахувати, що в даному випадку зломщикові вдасться згенерувати 14 Мбіт даних, які будуть відправлені до цільової мережі. Це практично не залишить їй шансів на виживання, оскільки вся доступна смуга пропускання лінії зв'язку Т1 буде швидко зайнята.
Одін з варіантів описаного підходу називається атакою Fraggle ("осколкова граната"). При цьому виконуються все ті ж дії, за винятком того, що замість ICMP-пакетов використовуються дейтаграмми UDP. Зломщик може відправляти помилкові пакети UDP на широкомовну адресу підсилюючої мережі, зазвичай на порт 7 (echo). При цьому кожен вузол або мережа з активною службою echo згенерують для цільового вузла у відповідь повідомлення, тим самим значно збільшуючи кількість передаваних даних. Якщо на якому-небудь з вузлів підсилюючої мережі служба echo відключена, то згенерує ICMP-сообщение про недосяжність, що також приведе до насичення смуги пропускання.

Контрзаходи: захист від атак Smurf

Для того, щоб запобігти можливості використання вашої мережі (комп'ютера) для посилення, забороните проходження направлених широкомовних запитів на прикордонному маршрутизаторі. На маршрутизаторах Cisco для цього можна скористатися командою no ip directed-broadcast. На пристроях Cisco IOS версії 12 цей режим включений за умовчанням. При використанні інших пристроїв звернетеся до документації, що входить в комплект постачання.
Крім того, деякі операційні системи можна набудувати так, щоб відкидалися всі широкомовні ICMP-пакеты ECHO.

Системи Solaris 2.6, 2.5.1, 2.5, 2.4 і 2.3

Щоб запобігти генерації у відповідь повідомлень на запити ECHO в системах Solaris, додайте у файл /etc/rc2 .d/S69inet наступний рядок ndd -set /dev/ip ip_respond_to_echo_broadcast 0

Linux

Для того, щоб забезпечити такий же захист в системі Linux, необхідно активізувати функції брандмауера на рівні ядра за допомогою утиліти ipfw. Переконаєтеся, що ці вимоги враховані при компіляції ядра і виконаєте наступні команди

ipfwadm -i -a deny -р icmp -d 10.10.10.0 -s О/о 0 8
ipfwadm -i -a deny -р icmp -d 10.10.10.255 -s О/о 0 8

FREEBSD

Система FREEBSD версії 2.2.5 і вище забороняє обробку направлених широкомовних запитів за умовчанням. Цей режим можна активізувати або відключити, змінивши параметр sysctl у файлі net. inet. icmp. bmcastecho.

AIX

Система AIX 4.x забороняє генерувати у відповідь повідомлення на широкомовні запити за умовчанням. Для перемикання цього режиму можна скористатися командою по з параметром bcastping. Ця команда служить для налаштування мережевих атрибутів в ядрі, що виконується. Дані атрибути повинні встановлюватися при кожному запуску системи.

Всі версії системи UNIX

Для того, щоб запобігти генерації вузлами повідомлень у відповідь на атаку Fraggle, відключите служби echo і chargen у файлі /etc/inetd/conf, помістивши в початок відповідних рядків символ #.