УКОЛ СМЕРТИ С ШЕЛЛА

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #032, стр. 032-032-1

(forb@real.xakep.ru)

DOS АТАКИ В ПРАВИЛЬНОЙ ОСИ HOWTO

ИЗ ИСТОРИИ...

C DDoS Интернет познакомился еще в далеком 1996 году, когда были предприняты попытки первых массовых атак. До недавнего времени бытовало мнение, что глобал является неуязвимым: при выведении из строя одного сегмента будет работать другой (в силу своей распределенности). Но 21 октября 2002 года был произведен масштабный DDoS, направленный на слабое место всемирной паутины - DNS сервера. Были атакованы 13 корневых серверов имен, в основном находящихся в Штатах. Атака повлекла за собой много потерь, но пользователи мало ощутили на себе задержку связи. Тем не менее ФБР заявило, что осенний DDoS - самая крупная глобальная атака за всю историю существования Интернета. То ли еще будет...

Совсем недавно была обнаружена брешь в правильной оси, а именно в ядре 2.4.x. Через дырку в ядре можно убить Linux кривыми пакетами, после посылки которых процессор на тачке загружается на все 100%, а сервер уходит в даун. DoS-ер еще не вышел, но, судя по открытому объяснению баги, публичный его релиз не за горами. Так что советую админам обновить ядро до самой последней версии, чтобы потом не было мучительно больно...

ОТ ТЕОРИИ К ПРАКТИКЕ

Как я уже говорил, DoS-атаки подразделяются на несколько типов. Но, несмотря на тип ДоСа, для атакующего очень важны несколько факторов:

1. Канал. По определению твой канал должен быть намного шире канала сервера-жертвы, поэтому, если ты сидишь на диалапе города-героя Мухосранска, ничего хорошего из атаки не выйдет :).

2. Траффик. Учитывай тот фактор, что весь траффик, который ты нагонишь удаленному серверу, может учитываться твоим провайдером, так что у тебя есть реальный шанс наступить на твои же собственные грабли (читай: "попасть на огромные бабки").

3. Безопасность. В последнее время DoS-атаками занимается abuse-служба атакованных компаний. Иными словами, если тебя засекут, тебе будет не сладко, поэтому, если уж идешь на грязное дело, иди с умом.

Будем считать, что все факторы были благополучно учтены. Ты же всегда мечтал почувствовать себя злым хакером, производящим DoS-атаку? Тогда следи за моими действиями: сейчас мы совершим глобальный DDoS.

ИЗУЧАЕМ ПУЛЕМЕТ

Для задумки используем tfn2k, описанный в обзоре DDoS-еров под Линь. Установим два сервера-демона на различные машины. После этого приступим к изучению клиента. Поговорим о каждом его параметре, чтобы не возникало лишних вопросов.

Если запустить tfn без параметров, то ты получишь огромный help по его использованию.

Первый параметр -P. Указывает на протокол флуда. Может иметь одно из трех значений: TCP, UDP и ICMP.

Опция -S позволяет заспуффить (заменить) твой реальный ip-адрес. Применим только в случае UDP-протокола.

Параметр -f указывает на файл, в котором хранятся ip-адреса зазомбированных тачек. Это файло должно быть предварительно составлено и проверено.

Если демон установлен лишь на один сервер, используй параметр -h вместо -f, передав ему ip-адрес зомбированной тачки.

Опция -i указывает на сервер, который мы будем флудить. Думаю, указать ее значение для тебя - не проблема.