СЕМЕЙСТВО DoS

Спецвыпуск Xakep, номер #021, стр. 021-040-2

Smurf

Уязвимы: почти все оси и маршрутизаторы

Тип: полоса пропускания

Наиболее массовая атака из всех пинговых. Самое страшное, что на данный момент от smurf'a не существует эффективной защиты :). В чем фишка: в любой сети обязательно существует бродкаст адрес, который дублирует посланные на него сообщения ВСЕМ компьютерам в сети (*.255.255.255 для сети класса А, *.*.255.255 для сети класса B и так далее). А теперь представь себе, что кто-то начнет жестоко пинговать этот адрес здоровенными пакетами. Да еще и айпишник в заголовке липовый (хотя лучше не липовый, а реальный, принадлежащий жертве). В итоге каждый из компов, получивших замечательный запрос, ответит на него... жертве. Отсюда страшная загруженность подопытной сетки и возможная смерть компа-жертвы от перенапряжения. Заметь, что smurf-атаку можно усилить в несколько раз, если найти комп, позволяющий отсылать ICMP-запросы не только по локалке, но и во внешнюю сеть. Нехилый списочек таких бродкастеров ты найдешь на http://www.pulltheplug.com/broadcasts.html. Если составить грамотный список широковещательных адресов и пропинговать их от имени жертвы, то этой самой жертве придется несладко :). Как я уже говорил, абсолютной защиты от smurf'a обеспечить нельзя, зато слегка обезопаситься реально: если в сетке стоит игнор на широковещательные пакеты, атака не пойдет дальше ее маршрутизатора. Из-за широкого распространения smurf-атак многие стали отключать бродкастеры, но... все не поотключаете, мать вашу! Даешь smurfing для народа!

Land

Уязвимы: все непропатченные оси

Тип: маршрутизация

Поднимемся на уровень выше - нас ждут многочисленные баги протокола IP. Land работает следующим образом: на атакуемую машину отправляется пакет TCP SYN с секретом. Отличие SYN-пакета от обычного в установленном бите синхронизации - это означает, что пакет будет гордым представителем новой цепочки данных. А секрет его вот в чем: адреса отправителя и получателя совпадают, а равно совпадает и порт передачи. В итоге получивший такой пакетик комп немедленно отправит подтверждение: готов к связи и все такое. Только отправит он его себе %). А получив, надолго задумается - на хрена ему коннект с собой, любимым? Тем более, что он его не заказывал... Снова приятный эффект висяка. Жалко, что все уже знают об этом нехитром способе DoS'a. Проапгрейженный TCP/IP стек не будет реагировать на пакеты, исходящие от своего же компа, а мудрые маршрутизаторы могут запросто не пропустить глючное послание смерти :(. А когда-то Land рулил немерено. Кстати, на его примере очень хорошо видно, КАК надо бороться с 3.14zDoS'ами - левые пакеты просто не доходят до жертв из-за мудрой работы сети на аппаратном уровне. Так что надо становиться умнее и творить зло-атаки нестандартными средствами.