Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

DDoS-атаки

Рубрика: Безопасность -> Уязвимости Linux-сервера
Метки:
Среда, 21 января 2009 г.
Просмотров: 6722

Атака "пинг-понг"

Интересный вид атаки, основанный на IP-спуфинге, то есть на подмене адреса отправителя в UDP-дейтаграмме. Как работает данный вид атаки:

1.   Хакер выбирает две машины, на которых запущены UDP-сервисы echo или chargen. Будем рассматривать сервис echo.


2.              Атакующий отправляет UDP-дейтаграммы на порт 7 (это порт демона echo) машины А, но в качестве адреса отправителя устанавливает адрес машины В (номер порта также равен 7).

3.              Демон echo на машине А «думает», что дейтаграмма пришла от машины В, и отправляет ей ответ.

4.              Машина В, получив дейтаграмму от машины А, отправляет ей обратно эхо.

5.              Машина А, получив эхо от машины В, отправляет ей эхо обратно. Процесс будет происходить до тех пор, пока одна из машин не будет остановлена или не станет отбрасывать эхо-пакеты.

    Теперь понятно, почему эту атаку назвали пинг-понг атакой. Дейтаграммы отправляются туда-сюда, как шарик в пинг-понге. Преимущество этой атаки для хакера заключается в том, что ему нужно только запустить атаку - дальнейшие действия будут происходить без его вмешательства. От одной дейтаграммы обоим машинам «плохо» не станет, а если таких дейтаграмм будет очень много? Чтобы предотвратить этот вид атаки, нужно отключить ненужные сервисы echo и chargen.     Распределенные флудинг-сети

     У хакера может быть своя флудинг-сеть - сеть, состоящая из машин, скомпрометированных атакующим. Такие машины называются зомби. Хакер может зарегистрироваться на каждой машине и запустить атаку на каждой из них. Обычно в таких сетях несколько сотен машин.
     1999г. запомнился пиком DDoS-атак, именно в этом году вышло несколько инструментов, позволяющих управлять скомпрометированными компьютерами. Хакеру уже не нужно заходить на каждую из 200 машин и вручную запускать атаку - ему достаточно на своем компьютере выполнить одну команду, и атака будет запущена.

     Наиболее популярными были средства Тrinоо и TFN, сегодня они считаются устаревшими, но все еще заслуживают внимания, поскольку послужили основой для нового поколения DDoS-агентов.Trinoo-сеть состоит из двух частей - мастеров и демонов, которые запущены на предварительно скомпрометированных машинах. Один мастер может контролировать множество демонов, каждый мастер контролируется злоумышленником.

     Для запуска атаки крекер открывает TCP-соединение (например, с помощью telnet) с каждым мастером по порту 27665. Затем он вводит пароль. Соединившись с мастером, он может выполнять различные команды управления флудинг-сетыо, например управлять демонами или запускать атаку. Мастер применяет эти команды для каждого демона.

     Вторым популярным ранее инструментом являлся TFN (Tribal Flood Network). Данный инструмент использует аналогичную мастер-демон архитектуру, но считается более продвинутым, поскольку позволяет осуществлять ICMP-, SYN- и UDP-флудинг. TFN-мастеры «общаются» с демонами через ICMP-запросы echo: команда, которую необходимо выполнить, находится в сегменте данных ICMP-пакета.

     После выхода TFN и Trinoo появилось очень много различных DDoS-агентов, использующих архитектуру мастер-демон. Наиболее известными являются TFN2k, Shaft, Mstream и Stacheldraht - все они появились в 1999-2001 гг. В последнее время появилось огромное количество DDoS-агентов, работающих под Widows, под Linux нет ничего нового.