Удар издалека

Борис Вольфсон

Спецвыпуск: Хакер, номер #048, стр. 048-030-1

(borisvolfson@mail.ru, borisvolfson.h11.ru)

Теория и практика удаленных атак

Об удаленных атаках сказано много. В интернете то и дело встречаешь слова «DoS», «DDoS», «Syn-flood», «PoD»... В данной статье мы постараемся не только рассказать об основных видах атак, но и сухим программным кодом показать, как можно использовать различные бреши в системе безопасности для их проведения.

Всемирная паутина зародилась в недрах министерства обороны США. Удивительно, но для интернета были разработаны не самые защищенные и безопасные протоколы TCP/IP. Именно различные тонкости реализации TCP/IP- и других протоколов используются для проведения удаленных атак. Конечно, ошибки и недоработки, которыми может воспользоваться взломщик, есть не только в протоколах и операционных системах: уязвимости в прикладной программе могут быть также использованы для атаки.

С чем едят удаленные атаки

Для начала взломщик должен иметь хотя бы одну машину, подключенную к интернету для проведения удаленной атаки :). Если планируется DDoS-атака (Distributed Denial of Service), то чем больше машин будет использовано, тем лучше. Обычно для захвата пишется вирус (червь, троян), который заражает достаточно большое количество машин. Затем на атакуемый узел одновременно посылается множество запросов, после чего жертва благополучно оказывается в ауте - происходит отказ в обслуживании. Атаку можно провести и с одного компьютера, нарушив функциональность атакуемой машины. Такие атаки называют просто DoS, они заключаются не в незаметной установке DOS'a вместо форточек, как думают некоторые, а в том, чтобы повесить атакуемый комп.

SMBdie: внезапная смерть

SMB (Server Message Block) - это сетевой протокол одной небезызвестной фирмы на букву "M" для работы с файлами, принтерами и тому подобными вещами. Винду (NT/2k/XP/.NET RC1), у которой включен NETBIOS, такая атака запросто отравит в нокаут. Теоретически SMBdie может позволить выполнить на удаленной машине произвольный код. А на практике уже реализована довольно эффективная DoS-атака. Для убийства SMB необходимо послать специальный запрос. Народными умельцами создана программа SMBdie для проведения атаки, скачать ее можно с сайта packetstorm.linuxsecurity.com. Сайт довольно надежный, но лучше лишний раз проверить скачанное антивирусом, ведь в процессе работы SMBdie его нужно будет отключить.

Чтобы провести атаку, достаточно указать IP-адрес и NETBIOS-имя жертвы и нажать OK, то есть Kill, и можно пожелать атакуемому компьютеру спокойной ночи. Ключевой фрагмент этой атаки мы не будем здесь приводить (слишком большой), но настоящие хакеры могут найти исходный код программы для организации атак, использующих SMB, в том числе и под Linux.

Land: сделай сам

Зачем посылать множество запросов удаленному компьютеру, как это происходит при большинстве DoS-атак, если он может сделать это сам? Итак, превращаем компьютер-жертву в камикадзе. Дело в том, что TCP/IP позволяет отправлять IP-пакеты от имени любого хоста сети. Таким образом, ничто не мешает послать жертве IP-пакет, где в качестве адреса отправителя будет указан ее собственный адрес. Порт получателя также должен совпадать с портом отправителя. Как ни странно это звучит, для некоторых операционных систем такой IP-пакет оказывается полной неожиданностью. И компьютер с такой осью пытается послать ответ сам себе, в результате чего возникает зацикливание. Посмотрим на фрагмент кода этой старенькой, но веселой атаки.