Статья: DoS умножение.

Автор: Рваный Нерв

Спецвыпуск Xakep, номер #021, стр. 021-048-4

Теперь переводим полученный широковещательный адрес в десятичный вид: 192.168.0.63. Можно было получить то же самое, если бы мы вычли 255-192=63. Но не во всех случаях можно так легко догадаться.

Что делать, если не удается узнать маску?

Остается перебирать широковещательные адреса, благо их не много.

Например, адрес 192.168.0.70. Маску мы не знаем, хотим узнать широковещательный адрес.

Переводим в двоичный вид первый байт IP адреса: 192DEC=1100 0000BIN. УРА! Адрес начинается на 11, значит эта сеть класса C, значит первые три байта сетевые, значит маска будет от 255.255.255.0 до 255.255.255.252.

Переводим в двоичный вид:

_____________Адрес: 1100 0000.1010 1000.0100 0110

Широковещательный1: 1100 0000.1010 1000.0100 0111

Широковещательный2: 1100 0000.1010 1000.0100 1111

Широковещательный3: 1100 0000.1010 1000.0101 1111

Широковещательный4: 1100 0000.1010 1000.0111 1111

Широковещательный5: 1100 0000.1010 1000.1111 1111

Метод подбора простой: хакер постепенно заменяет последний байт адреса единичками и пробует широковещательно пропинговать. По сути, хакер просто сканирует сеть на наличие широковещательного отклика. Во многих сетях и подсетях широковещательный ICMP эхо запрос отключен для безопасности. Но обязательно найдутся сети, в которых забыли отключить эту фичу. Такая сеть будет работать как умножитель DoS атаки.

Как определить толщину канала?

Для атаки DoS очень важно, чтобы канал жертвы был намного уже канала, с которого атакуют, поэтому хорошо бы узнать, на каком канале висит сервер или пользователь. Нужно узнать кто провайдер. Это можно сделать с помощью команды tracert, или с помощью Unix команды Whois, на сервере провайдера или фирмы. Нужно проанализировать инфу о том, какой канал у провайдера, какой канал у фирмы, какие шлюзы задействованы.

Можно, конечно, прикинуть по косвенным признакам толщину канала чужой сети или сервера, но многие фирмы честно пишут какой у них канал. Если пользователь сидит на модеме, то канал не больше 15 килобит в секунду. Если хачат домашнюю сетку, или небольшой офис, или институт, то канал, скорее всего, от 128 килобит в секунду до 2 мегабит в секунду.

Если на домашнем сайте владельца сети ты видишь такие умные цифры, как E1, E2, E3, T1, T2, T3, то, значит, использованы высокоскоростные каналы европейской или американской цифровой иерархии.

Скорости каналов европейской цифровой иерархии:

E1 = 2048 Килобит в секунду

E2 = 8448 Килобит в секунду

E3 = 34368 Килобит в секунду

E4 = 139246 Килобит в секунду

Скорости каналов американской цифровой иерархии:

T1 = 1544 Килобит в секунду

T2 = 6312 Килобит в секунду

T3 = 44736 Килобит в секунду

На дорожку!

Итого, хакеру нужно разобраться с протоколом IP(Internet Protocol), с его адресацией и заголовками. Нужно научиться определять адреса сетей и подсетей, вычислять широковещательный адрес подбором и по маске подсети. Придется разобраться с классами сетей. Полезно будет изучить протокол ICMP(Internet Control Message Protocol), и разобраться с эхо-запросами/ответами, с определением маски подсети по IP адресу.