Удар издалека

Борис Вольфсон

Спецвыпуск: Хакер, номер #048, стр. 048-030-5

pseudo_header.source_address = send_tcp.ip.saddr;

pseudo_header.dest_address = send_tcp.ip.daddr;

pseudo_header.placeholder = 0;

pseudo_header.protocol = IPPROTO_TCP;

pseudo_header.tcp_length = htons(20);

bcopy((char *)&send_tcp.tcp, (char *)&pseudo_header.tcp, 20);

send_tcp.tcp.check = in_cksum((unsigned short *)&pseudo_header, 32);

sinlen = sizeof(sin);

// посылаем пакет

sendto(tcp_socket, &send_tcp, 40, 0, (struct sockaddr *)&sin, sinlen);

}

close(tcp_socket);

Helkern: пандемия

В заключение хочется рассказать о черве, который при своем распространении использует бреши в программном обеспечении, что служит ярким примером использования данного вида уязвимостей. Интернет-червь Helkern (он же Slammer, он же Sapphire) за пять дней своей активности сумел нанести ущерб около миллиарда правильных рублей. Это не рекорд, зато по количеству зараженных компьютеров (около 80000 серверов) и географии своего распространения он один из лидеров. Такую эпидемию, которая прошлась по всему миру, называют пандемией.

Для своего распространения этот червь использует уязвимость в Microsoft SQL Server 2000, которая позволяет ему копировать и запускать свой код на других машинах, с установленным MS SQL Server. Конечно, сыграл свою роль и маленький размер (всего 376 байт!), и алгоритм распространения. Дело в том, что этот червь, попав на компьютер, не создает никаких файлов, а просто через определенные промежутки времени посылает свой код на случайные адреса.

Как не стать жертвой?

Позволим себе парочку-другую банальных советов, которые помогут защититься от различного рода атак. Вытащи из компьютера модем и сетевуху, если же какое-нибудь из этих устройств является встроенным, воспользуйся паяльником или плоскогубцами. Но лучше поставь себе firewall (нынче почти каждый из них умеет блокировать все эти атаки автоматически) и антивирус, не забывай их обновлять время от времени. Если ты поставил себе никсы не для того, чтобы они там были :), а для дела, то настрой свою ось. И, конечно, будь в курсе последних новостей.

WWW

www.insecure.org/ - на этом сайте есть описания и исходники довольно большего количества уязвимостей. Все экпслоиты отсортированы по осям, что очень облегчает поиск. Является вроде как официальным сайтом программы nmap.

www.securityfocus.com/ - довольно информативный сайт для специалистов по безопасности, правда, на финглише. Новости, статьи, тулзы…

packetstorm.linuxsecurity.com/ - на этом сайте можно найти много полезного как для защиты, так и для тестирования безопасности компьютера.

bugtraq.ru/ - матерый русскоязычный ресурс для сисадминов и специалистов по безопасности. На сайте неплохая библиотека.

Для защиты от атаки SMBdie достаточно скачать патч с сайта Microsoft.

Чтобы определить, что на тебе испытывают атаку Smurf, необходимо анализировать сетевой трафик.

Для современных операционных систем атаки Bonk и Teardrop не страшны.

Существует множество других удаленных атак: DNS flooding, Ping flooding, UDP bomb и т.д.