Ce sunt atacurile DDoS și Nuke - Internet Security
Conţinut
Istoria atacurilor distribuite
Care este diferența dintre Nuke și DDoS?
WinNuke ce este?
Să începem, bineînțeles, cu clasicul și binecunoscutul WinNuke, care a apărut pe 7 mai 1997. Autorul metodei a plasat descrierea acesteia și codul sursă al programului în mai multe conferințe de presă. Datorită simplității extreme a metodei, aproape toată lumea ar putea să se înarmeze cu cele mai recente arme și să meargă să distrugă la dreapta și la stânga. Serverul microsoft.com a devenit prima victimă. El a încetat să mai răspundă vineri seara (9 mai) și și-a recăpătat stabilitatea abia luni după-amiază. Rămâne doar să-i pară rău de administratorii săi, care au apăsat regulat combinația magică a trei taste tot weekendul, după care serverul reanimat a căzut din nou. Sau poate, după primele încercări, serverul a încetat să revină, cine știe... Desigur, alături de victima numărul unu din mai 1997, au căzut multe servere, pe care s-a etalat și mândria inscripție „Windows NT Powered” ca servere fără acesta, dar rulează sub Windows NT. Spre creditul Microsoft, trebuie remarcat faptul că patch-urile au apărut destul de repede. Deci, ce este mai exact WinNuke? Alături de datele obișnuite, standardul prevede transferul datelor de serviciu urgente (Out Of Band, OOB) printr-o conexiune TCP. La nivelul formatelor de pachete TCP, aceasta este exprimată în valoarea diferită de zero a câmpului corespunzător (pointer urgent). Majoritatea computerelor care rulează Windows folosesc protocolul de rețea NetBIOS, care are nevoie de trei porturi IP: 137, 138, 139. După cum sa dovedit, dacă vă conectați la o mașină Windows prin portul 139 și trimiteți câțiva octeți de date OOB acolo, atunci NetBIOS nu a nu ști ce să faci cu aceste date pur și simplu blochează sau repornește mașina. În Windows 95, acesta apare de obicei ca un ecran de text albastru cuun mesaj de eroare în driverul TCP/IP și rețeaua devine indisponibilă până când sistemul de operare este repornit. NT 4.0 fără pachete de service repornește. NT 4.0 numai cu cel de-al doilea pachet de servicii cade într-un ecran albastru, raportând o excepție netratată în codul kernelului (această imagine este adesea numită ecran albastru al morții). Conform informațiilor de pe Web, Windows NT 3.51, Windows 3.11 pentru Workgroups și WinFrame, care se bazează pe Windows NT 3.51, sunt de asemenea afectate de acest atac. Patch-uri oficiale de la Microsoft:
Aici se cuvine să menționăm o poveste destul de amuzantă. După cum s-a dovedit la scurt timp după lansarea SP3 (pachet de service 3 pentru Windows NT 4.0), WinNuke, lansat de pe computerele Macintosh, a „piers” cu ușurință protecția pachetului de servicii. Motivul a fost existența a două standarde diferite pentru pachetele IP care conțin date OOB - standardul de la Berkley și standardul descris în RFC. Ei calculează UrgentPointer diferit, iar rezultatul calculelor diferă cu exact unul. Al treilea pachet de servicii, care protejează împotriva pachetelor „sau” OOB, s-a dovedit a fi lipsit de apărare împotriva pachetelor de un alt standard. Prin urmare, aproape imediat după SP3, a fost lansată o remediere OOB suplimentară. Acesta poate fi găsit la ftp://ftp.microsoft.com
Trebuie remarcat faptul că, dacă cele mai banale funcții TCP / IP sunt suficiente pentru a scrie WinNuke original (un program PERL are șapte linii), atunci pentru a „sparge” SP3, va trebui să lucrați cu TCP la un nivel scăzut. sau rulați WinNuke standard de pe o platformă care acceptă o altă implementare a OOB. Însăși existența datelor OOB, indiferent de WinNuke, provoacă o mulțime de probleme tocmai din cauza existenței a două standarde, sau mai degrabă a lipsei unui standard. Prin urmare, nimeni nu poate garanta funcționarea corectă a unui program folosind OOB (mai corect, se poate garanta cu ușurințăoperare incorectă). Oamenii inteligenți recomandă să nu folosească deloc datele OOB în programele lor, iar mulți o fac. Astfel, OOB astăzi este prezența unor potențiale găuri care permit atacatorilor să inventeze din ce în ce mai multe metode noi de atac. Pur și simplu „înregistrând” date OOB pe porturile TCP deschise, puteți încerca să găsiți o nouă gaură într-un program. Unii spun că reușesc...
Ce este SPing-ul?
Rețineți că SPing-ul este mult mai serios decât WinNuke, deoarece folosește pachete ICMP, care de cele mai multe ori nu sunt filtrate de firewall și, dacă sunt filtrate, atunci acest tip de protecție poate fi încercat folosind tehnici de spoofing.