СЕМЕЙСТВО DoS

Спецвыпуск Xakep, номер #021, стр. 021-040-1

разбор самых опасных DoS-атак

Андрей "Дронич" Михайлюк (dronich@real.xakep.ru)

Веселая семейка DoS'ов живет и процветает. Многие ее члены уже состарились и отошли на покой, дедушка Вин Нюк вспоминает боевые времена и нянчит внуков. Но не расстраивайся - многие еще на плаву и способны доставить кучу неприятностей бородатым админам и кучу fun`а злобным хацкерам :). В этой статье ты найдешь разбор и описание наиболее популярных и известных DoS-атак.

Ping of death

Уязвимы: все непропатченные оси

Тип: насыщение полосы пропускания + недостаток ресурсов + ошибки программирования

Самая простая, но тем не менее до жути универсальная атака. Суть ее в пинговании удаленной машины пакетами нестандартного и достаточно большого размера. Сама по себе команда ping посылает пакеты «echo-request» размером в 20 октетов (1 октет - это восемь бит), где хранятся только адрес и служебная информация, и неутомимо ждет пакетов «echo-reply» от той машины, на которую засылались реквесты. Типа так проверяется скорость и качество связи. Вроде бы и все, но нам оставили маааленькую фичу, пригодную для дестроя всех и вся. Чтобы сымитировать реальную ситуацию, в опциях ping'a можно задать размер пакета (вдруг мелкие пакетики проходят без проблем, а на больших объемах данных канал возьмет и рухнет?). А нам того и надо, ведь посылать большие пакеты умеют все, а вот грамотно их обрабатывать - немногие %). Максимальный размер пакета составляет 65536 байт, но при помощи левых прог можно отправить пакет большего объема. Вот западло, а :)? Если комп не справляется с составлением реплая на такой реквест, его ждет BSoD и вечная память. Со стандартным пингом тоже можно попробовать похулиганить, достаточно задать размер пакета достаточно большим, но не делящимся на двойку (типа 65527). Не факт, что он тоже будет обработан правильно :). И самое главное - если вражеский комп пропатчен и грамотно отсеивает левые пакеты, можно запросто забить ему канал, не прекращая атаки в течение большого промежутка времени. Если у атакующего канал шире, а коннект лучше - атакуемого по-любому ждет вынужденная перезагрузка. Ведь работать в условиях полной забитости просто невозможно :).

SSPing

Уязвимы: Win95+WinNT

Тип: ошибки программирования

Этот метод тоже использует протокол ICMP, занимаясь фактически тем же пингом удаленной системы. На этот раз прикол заключается в грамотном использовании фрагментации пакетов ICMP. Любой большой пакет при проходе через маршрутизатор разбивается на более мелкие части, а соберется ли он в одно целое на атакуемой машине - большой вопрос. SSPing занимается посылкой по айпишнику друга или недруга сразу кучи сильно фрагментированных здоровых пакетов. Атакуемый компьютер пытается выдрать из стека TCP/IP инфу о сборке пакета, но, естественно, не находит ее :). А к компу уже летят новые пакеты, жаждущие обработки. Глюк, переполнение буфера, висяк. Главная заковыка - атаки SSPing очень сложно отследить, так как фрагментированные пакеты для сети - дело обычное, а поймать хаксора по айпишнику вообще нереально - после атаки комп вырубается, а соединение, соответственно, рвется. И хотя Microsoft давно поправила организацию стека в своих системах, надежда на успешность атаки остается - в сети еще много компов, живущих под NT без сервиспаков и даже под 95-ми. Не веришь? Судя по статистике моей странички, таких аж 12%. Ищи, и все будет ОК.