Будьте готовы к атакам Denial of Service

Введение
Недавняя массированная атака Denial of Service (DoS), предпринятая на Yahoo!, Amazon и другие крупные веб-сайты, длилась всего несколько часов, но ее влияние на индустрию будет чувствоваться долгие годы.

Атаки DoS — не новость. Большинство брандмауэров умеет противостоять им, а большинство системных администраторов знает, как относительно легко выследить злоумышленника. Однако при нападении на Yahoo! была применена оригинальная тактика, против которой ни у Yahoo!, ни у ее заказчиков не оказалось подходящих средств защиты.

Как и большинство атак типа DoS, эти атаки состояли в бомбардировке веб-сайтов непрерывными потоками нестандартно сформированных IP-пакетов. Атакующая машина генерирует кажущиеся нормальными сообщения, например пакеты User Datagram Protocol (UDP). Эти пакеты составлены так, что они как будто исходят из того же сервера, который их принимает. Пытаясь отвечать на эти пакеты, бомбардируемый сервер утрачивает способность принимать какую-либо другую информацию.

Кто виноват
В атаку на Yahoo было вовлечено множество невольных участников, что затрудняло восстановление работы службы и выявление злоумышленников. Этот прием, фактически добавляющий промежуточный слой между источником атак и жертвой, одновременно и усиливает атаку, и помогает замести следы. Чтобы добиться этого, злоумышленник создает несколько машин:

Клиент — машина, из которой хакер координирует атаку.
Хосты — машины (от трех до четырех), которые работают под прямым управлением хакера. Они действуют как генералы на поле боя, выполняя его приказы.
Цель. Обычно это одна или несколько машин, расположенных в одной и той же сети, которые вынуждены отвечать на трафик, генерируемый промежуточными узлами.

Чтобы привести все это в действие, атакующий через ПО сканирования портов составляет список узлов, где может получить доступ с привилегией root. Затем он устанавливает на эти машины программу daemon — как правило, сразу целый пакет копий. Эта программа выполняет автоматический процесс, оставаясь незаметной для владельца машины.

Когда промежуточные машины-бродкастеры объявляют о своей готовности трем-четырем хостам, атакующий, используя сильный алгоритм шифрования, пересылает в них список IP-адресов узла-жертвы. После этого главные машины подают на бродкастеры команду начала DoS-атаки против этих IP-адресов с использованием подложных (фальшивых) адресов источника.

Что делать
Такая форма атаки составляет практически неустранимую угрозу для всех подключенных к Интернету компьютеров (таких, как веб-серверы, почтовые серверы, серверы новостей и приложений). Так как она исходит от множества разных машин, потенциальным жертвам, чтобы защититься, приходится либо отключаться от Интернета, либо прекращать обслуживание всех клиентов.

К счастью, у ISP и системных администраторов есть много инструментов, позволяющих следить за атаками на базе пакетов UDP и ICMP. Кроме того, многие инструменты позволяют сканировать системы, определяя, установлено ли на них ПО хоста или бродкастера. Однако в равной степени развивается и программное обеспечение, организующее подобные атаки, разрабатываемое в рамках инициатив ПО с открытым исходным кодом. Например, общество Computer Emergency Response Team / Coordination Center (CERT/CC) насчитывает уже три такие системы:

Tribe FloodNet (TFN)
Trin00
Stacheldraht

Эти инструменты наряду с существующими сканерами портов (которые проверяют систему на уязвимость) позволяют хакерам, не имеющим особого опыта, вывести из строя даже самый крупный веб-сайт, не опасаясь наказания. Кроме того, хакеры пользуются слабым местом, называемым «exploits». Но интернет-exploits — это лишь часть проблемы. С настоящей проблемой сталкиваются те фирмы, у которых отдельные машины находятся за пределами корпоративного брандмауэра.

Конечно, все эти инструменты нацелены на серверы и составляют головную боль для ISP, системных администраторов и операторов служб хостинга. Но и на наших с вами компьютерах лежит ответственность за распространение атак. Домашний ПК, постоянно подключенный к Интернету по линии Digital Subscriber Line (DSL) или кабельному модему, тоже необходимо защищать.

Заключение
Если вы хотите иметь гарантию, что ваш ПК не будет использован для DoS-атаки без вашего ведома, проверьте правильность защиты вашего оборудования с участием ISP. Например, если у вашего ISP на обслуживании линий DSL стоит маршрутизатор Cisco, вам следует убедиться, что на нем установлен фильтр пакетов, препятствующий возвратному трафику.

Кроме того, удостоверьтесь, что в защите ваших Linux- или Windows-машин отсутствуют дыры, позволяющие получать извне права доступа с привилегиями root или administrator. Для начала мы рекомендуем великолепный набор часто задаваемых вопросов и ответов по защите Windows и Unix, расположенный на сайте Internet Security Systems.

Любопытно, что Mac OS 9 особенно предрасположена к соучастию в преступлениях подобного рода. Ошибка в компоненте Open Transport позволяет использовать компьютеры Macintosh в качестве усилителей при DoS-атаках. Конечно, в защите Mac OS есть масса других пробелов, но для данного конкретного случая Apple предлагает заплатку, а рекомендации по ее применению содержатся в специальной статье Help & How-To.

Но даже при всех этих мерах предосторожности вся сеть Интернет, как оказалось, защищена не лучше, чем ее самое слабое звено. Достаточно сотни плохо защищенных машин, и хакер, обладающий решимостью и необходимым инструментарием, может предпринять новую атаку на новую Yahoo!

Обсуждение и комментарии

	Igor - distortedinnocent.com 27 Mar 2000 1:59 PM
стиль -- ужас, и полный сумбур! прежде чем писать, надо самому разобраться

	Fedor - shulgagmx.de 5 Apr 2000 11:57 PM
Хакеры стёрли все вебстраницы у известного немецкого провайдера "Germany Net ".Это произошло примерно в 17.00 3 апреля.Сейчас всё уже работает.

	Михаил 22 Apr 2000 11:42 PM
работа АНБ и вряд ли пока повторится

← январь 2000

7 8 9 10 11 14 15 16 17

март 2000 →