Статья: DoS умножение.

Автор: Рваный Нерв

Спецвыпуск Xakep, номер #021, стр. 021-048-2

Однако если твой канал не такой тонкий, как думал хакер, то ты сможешь определить его адрес, с помощью файрвола, например. IP адрес хакера поможет взять его за задницу.

Подмена обратного адреса в ICMP.

А теперь представь, что хакер отправляет ICMP эхо-запрос на чужой комп. А обратный адрес указывает твоего компа. Тогда добропорядочный чужой комп отвечает тебе ICMP эхо-ответом. Конечно, ты его ни о чем не спрашивал, но чужой комп думает, что ты спросил, и отвечает. Эти толстые ответы забивают твой канал.

В таком случае хакера никак не поймать, ведь никак не узнаешь его обратный адрес. В логах DoS атаки стоит адрес ни в чем не повинного добропорядочного компа. А в логах этого добропорядочного компа стоит твой адрес и там тоже не прикопаешься. Вот и остается админам со спецслужбами отыскивать хакера по каким-то косвенным признакам. Если, например, он захочет как-то воспользоваться результатами атаки и полезет со своим IP.

Подмена рождает умножение.

Хакеру Пете все мало, поэтому он отправляет ICMP эхо-запрос с твоим адресом для целой сети. То есть хакерский эхо-запрос с твоим адресом получат все компьютеры сети. И каждый честный компьютер постарается ответить на такой запрос. Ответы на хакерский запрос получишь ты, и ответ будет не один. Количество хакерских ICMP эхо-запросов умножается на количество компов в сети, так получается количество ICMP эхо ответов.

Эффект превосходит все ожидания, так как флуд идет по толстому каналу, и хакера найти невозможно. Получается, что DoS умножение - один из вариантов распределенной атаки, когда тебя отакуют сразу несколько компов. Не имей сто друзей, а умей пинговать.

Одно маленькое "НО".

Дело в том, что во время перемножения сетка-умножитель тоже перегружается. Да еще потом приходят дяденьки в масках и начинают рыться в логах. Админам, понятное дело, это не нравится, и они настраивают шлюз так, чтобы он не пропускал ICMP сообщения для всех компьютеров сети. Другие бородачи вообще отключают ICMP или ограничивают количество ответов на ICMP до 5-10 в минуту. Поэтому хакеру придется поискать сетку, в которой разрешены ICMP сообщения для всех машин.

Что такое IP адрес?

Это что-то типа телефона только в интернете. Если ты хочешь обратиться к компу, ты должен знать его IP. По IP можно найти человека в сети и привлечь его к ответственности. IP состоит из четырех байт. Каждый байт состоит из восьми бит. IP адрес обычно записывают с помощью четырех десятичных чисел: каждый байт – десятичное число.

Чтобы научиться пинговать группу компов ты должен научиться переводить IP в двоичный вид. Я не буду напрягать тебя дискретной математикой, просто открой стандартный микрокалькулятор, который есть в любом Windows. В меню View(вид) нужно выбрать scientific(научный), тогда калькулятор станет раза в 3 больше и там появятся функции перевода из одной системы счисления в другую. Допустим, ты решил перевести число 255 в двоичный вид. Набираешь на калькуляторе 255 и ставишь галочку BIN(Binary), тогда твое число переводится в двоичную систему и записывается как нули с единицами: 255DEC=1111 1111BIN. Чтобы перевести 8 единиц в десятичную систему, нужно поставить галочку DEC(decimal).