FAQ

Матушка Лень (MLen@mail.ru)

Спецвыпуск Xakep, номер #023, стр. 023-006-5


Как спастись от NetBIOS?

Если тебе не нужен этот протокол, то нечего его устанавливать. Если он уже установился самостоятельно в "Свойствах сети" на "Контрольной панели" твоего Windows, его можно удалить. Ну а если у тебя локальная сеть и без него не обойтись, то нужно отключить NetBIOS через TCP/IP. Тогда тебя хакнуть смогут только другие пользователи локалки. 139-порт - любимый порт для нюков и прочей хакерской гадости, поэтому полезно закрывать его файрволлом или в реестре. Есть множество программ и заплаток, которые закрывают этот порт для безопасности.

Что такое Nuke?

Нюк - это атака на отказ услуги (Denial Of Service). То есть это когда мы даем продавщице такой запрос, от которого она падает в обморок и роняет за собой весь отдел с другими продавщицами. Когда хакер сканирует порты пользователя или сервера, он обязательно проверяет их на возможность нюка. Ведь можно завалить сервер или выкинуть врага из сети. Раньше все давали неправильные инструкции NetBIOS по 139 порту, после чего он вешал всю систему и зажигал синий экран Windows. Сейчас все поприкрывали этот порт, поэтому можно открыть множество половинчатых TCP соединений. Толпа из тысячи человек накидывается с вопросами на продавщицу, и та сходит с ума. Это называется SYN flood.

Что такое логи?

Log-файлы - самая стремная часть сканирования. Дело в том, что любое обращение к порту, попытка установить сеанс связи фиксируются в специальном файле. Поэтому, если хакер решил посканить порты на каком-то сервере, то времени у него не много. Админ очень быстро заметит в логах, что кто-то перебирает порты, и решит, что его хакают. Поэтому хакеру нужно скорее ломать сервер и стирать логи. Ну и, конечно, нужно скрывать свой настоящий адрес, чтобы не сели на хвост спецслужбы. Ведь по реальному IP очень легко найти реального человека из Интернета. Ведь IP обязательно зарегистрирован на конкретную организацию. Это значит, что если хакер засветил IP своего провайдера при сканировании, то туда придут спецслужбы. Следователи глянут логи и найдут хацорский номер телефона (сейчас на любом модеме стоит определитель) или IP-адрес, на который зарегистрирован хакерский компьютер. Через 15 минут они вламываются в гости и отбирают у хацкера комп.

Кстати, не вздумай сканить своего провайдера. Провайдеры очень не любят, когда к ним ломятся во все порты с их же айпишника. Обычно такого пользователя сразу удаляют из базы и закрывают с его телефона доступ навсегда.

Что такое анонимный Proxy?

Proxy переводится как представитель. Это сервер, который лазит в Инете по заданию хакера, но под своим айпишником, то есть во всех логах остается айпишник прокси, а не хакера. Поэтому вредитель может сидеть в Москве, а спецслужбы будут лазить в Париже. Конечно, каждый анонимный прокси ведет логи, по которым можно вычислить злоумышленника. Поэтому хакеры используют целую цепочку из анонимщиков, которая постоянно меняется. Для того чтобы расследовать хак по логам, людям в черном придется съездить в Одессу, Нью-Йорк, Улан-Батор и Гонконг. Конечно, у хакеров все тормозит, зато все анонимно. Но как ни странно, проказников все равно постоянно ловят.

Назад на стр. 023-006-4  Содержание  Вперед на стр. 023-006-6