Статья: DoS умножение.

Автор: Рваный Нерв

Спецвыпуск Xakep, номер #021, стр. 021-048-1

Мыло: MLen@mail.ru

Слышал ли ты, что такое цепная реакция? Цепную реакцию запросто можно устроить из чего угодно. Например, расставил фишки домино рядышком, уронил одну и цепная реакция зацепила все остальные. Допустим, твоя задача оглушить толпу друзей, которые сидят в комнате. Но звук одной падающей доминошки очень тихий, чтобы порвать им барабанные перепонки. А теперь представь, что миллиард доминошек рухнули вместе. Готово атакованные уши твоих друзей, наконец, оглохли! Когда я учился в школе, мы делали такие штуки со школьными стульями, которые ставят на парты. Роняешь один стул и падает весь ряд.

Как мы жили без DoS умножения?

А теперь представь, что твой сосед крутой мега хакер Петя атакует сервер Microsoft. У Петьки стоит модем, на котором инфа разгоняется от 2 до 15 килобит в секунду, а у Майкрософта канал держит несколько десятков мегабит в секунду. Понятно, что даже если Петька забьет полностью свой канал, то серваку от этого не убудет. Зато зловредный администратор обязательно найдет в логах остатки Петиного спама и устроит репрессии.

Есть вариант, когда Петя ломанул чужой сервер и долбает Микрософтину уже с него. Флудит наш герой с нормального канала, на котором висит этот сервер. Команды для сервера твой сосед, естественно, посылает по модему. Тут есть риск, что Петра заловит админ взломанного сервера.

Есть еще вариант, когда Петр на митинге ФИДО договаривается с друзьями валить Микрософт вместе. Ну, и половина владельцев модемов всего бывшего СССР атакует вражеский сервак. Такая атака называется распределенной, если тебе удалось найти столько друзей или написать атакующий вирус. За вирус, кстати, можно сесть, равно как и за организацию преступной группы, атакующих друзей.

Так что же такое DoS умножение?

Представь, что сосед решил устроить цепную реакцию в Интернет. То есть на один его запрос рождаются десятки ответов, от компов, которые сидят на неплохом канале. И эти ответы валят вражеский сервак.

Протокол, на котором работает DoS умножение.

Мы тебе уже рассказывали в этом номере про протокол ICMP. Напоминаю, ICMP - это служебный протокол для передачи сообщений об ошибках в интернете. В этом протоколе есть очень удобный тип пакетов - эхо. Этот вид ICMP запросов нужен для того, чтобы протестить наличие удаленного хоста и проверить связь с ним.

По-простому это называется пинговать. Есть такая программа PING. Ты ей указываешь IP адрес, который хочешь проверить. Программа по этому адресу направляет ICMP эхо запрос, в котором прописывает твой обратный адрес и тестовые данные (песенку про серенького козлика, к примеру). Если чужой комп доступен и на нем включен ICMP, то он отсылает тебе ICMP эхо-ответ. Твой IP адрес чужой комп узнает из заголовка IP. Простыми словами: ты послал тестовое письмо, и оно тебе пришло по обратному адресу. Если вернулось, то все хорошо. А если не вернулось, то адресат недоступен. Если вернулось с большой задержкой, то либо канал, либо комп тормозные.

Простейшее использование PING для DoS.

Допустим, хакер сидит на крутом серваке, а ты на модеме. Чтобы забить твой модемный канал достаточно тебя хорошенько пингонуть. Для того чтобы забить твой канал хакер использует ICMP эхо-запросы с огроменным тестовым блоком данных. При этом с его каналом все в порядке, так как он толще, чем твой. А твой канал давиться этим толстым блоком данных.