This page is an archived copy on Gagin.ru personal site



4Internet -- ежемесячное приложение к сети
АрхивРеклама в журналеКнига отзывов
SearchВыходные данныеОбратная связь



Технология



Время синих экранов


Алексей КОВАЛЕВ
alexsys@elnet.msk.ru

В сети доступно все и для каждого -- теперь человек, располагающий минимальными познаниями в области computer science, в состоянии доставить окружающим немало неприятностей.

И очень часто жертва даже не подозревает, что ее коварно атаковали, по привычке списывая зависания системы, программные ошибки и ухудшение связи на несовершенство оборудования и программного обеспечения или на провайдера и телефонные линии.

Краткая историческая справка

Словом Nuke (ньюк) называют сегодня любую атаку на порты удаленных компьютеров, приводящую к краху операционной системы или разрыву интернет-соединения. Nuke не нарушает состояние файловой системы и не рушит "железо" компьютера -- перезагрузившись, пользователь может продолжить работу в Сети.

Все началось с атаки, исходный код которой на языке С назывался nuke.c. Атака не получила широкого распространения, так как могла работать только на UNIX системах с правами root. Идея nuke.c заключалась в том, что она отсылала неправильные (invalid) ICMP пакеты, и машина-хост теряла связь.

В январе 1997 появилась атака под названием Ping o' Death, и 18 распространенных операционных систем оказались к ней весьма чувствительны. Ping o' Death основана на отсылке более 65 507 байтов данных. Так как большинство систем не собирают все пакеты до того, как получат их полностью, то при определенных ухищрениях можно добиться эффектного результата -- полученные данные просто не уместятся в 16-битной внутренней переменной, возникает неустранимая ошибка и рушится операционная система.

Но, пожалуй, первой широко известной атакой стала Out Of Band (WinNuke). 7 июня 1997 г. некто по имени "_eci" впервые опубликовал в Сети исходный код реализующей ее программы. В течение 15 дней, что специалисты из Мicrosoft устраняли эту дыру, в Интернете росла эпидемия синих экранов. Не угасла она и до сих пор, поскольку далеко не каждый пользователь удосужился "залатать дыры" своей операционки. Атака Out Of Band (OOB) основана на том, что 139 порт Win95 (135 порт WinNT) не закрыт для постороннего вторжения, поэтому, отослав на этот порт пакет данных с флагом заголовка OOB, можно спровоцировать зависание операционной системы и появление синего экрана.

Не успели утихнуть разговоры по поводу OOB, как появилась новая напасть под названием Ssping (Jolt). При этой атаке в адрес хоста отсылаются поддельные TCP/IP пакеты, что приводит к замедлению работы или разрыву связи. Эта атака не была столь летальной, как OOB, но тоже смогла доставить немало неприятностей.

В начале июля 1997 года на арену вышла Fragmentation Attack (Teardrop), основанная на отсылке IP пакетов заведомо неправильной длины. Атакованный компьютер не может соединить эти пакеты и зависает.

В начале декабря 1997 года появилась атака под названием Land. Методы воздействия схожи с методами SSPing за одним маленьким исключением -- программные заплатки, справлявшиеся с SSPing, оказались бессильны.

Январь 1998 года. Bonk и Bonik -- модификации TearDrop, основанные на несформированной UDP информации заголовков IP пакетов. Уже к третьей декаде месяца Microsoft выпустила защищающие от этой атаки дополнения, но многие входящие в "группу риска" пользователи так и не удосужились эту "заплатку" установить. Расплатой за небрежность стала ночь со 2 на 3 марта 1998 года, когда неизвестный злоумышленник вывел из строя тысячи Windows-машин в США именно этой атакой. Среди пострадавших оказались NASA и Массачусетский технологический университет.

Часто атаки комбинируются. Например, Land & IP Spoofing: нападающая сторона многократно провоцирует сервер на обмен сообщениями, но в качестве обратного адреса указывает вымышленный. Таким образом, возникают полуоткрытые соединения (half-open connections), при определенном количестве которых сервер просто не в состоянии открывать новые. В большинстве случаев сервер-жертва ощутимо замедляет свою работу, хотя может возникнуть аварийная перезагрузка памяти. (Spoofing -- подмена реального адреса отправителя вымышленным. Как правило, используется в сочетании с разными видами атак, чтобы жертва не смогла определить адрес нападавшего.)

Моральная сторона вопроса

Некоторые newbies наивно полагают, что для того, чтобы прослыть крутым хакером, достаточно списать где-нибудь программку-"ньюкалку" с аляповатым графическим интерфейсом и свалить пару-тройку никому не нужных NT-серверов. Увы, вряд ли кому-нибудь удастся таким образом снискать лавры компьютерного гения. Ну разве что среди полных "чайников"... Если у вас в руках винтовка М-16, то это еще не значит, что вы -- Рэмбо.

Хакер -- человек, в первую очередь демонстрирующий нестандартное решение, новый взгляд, глубокие знания и, простите за банальность, полет мысли. А какой полет мысли демонстрирует тот, кто научился вводить ip-адрес в специальное окошко и после этого жать на "гашетку" уверенной рукой?

Вы по-прежнему стремитесь заполучить что-нибудь эдакое, чем можно свалить зазевавшегося новичка? Что ж, пожалуйста, идите на www.ipclub.ru/nuke/ и выбирайте. Выбирайте и помните, что ничего особенно серьезного вы не получите, потому что все самое серьезное надо писать самостоятельно. Посмотрите как это делается, разберитесь в исходных кодах на языке С, которые находятся на страничке человека с подозрительным именем Федор -- www.dhp.com/~fyodor/sploits.html . Программы и исходные коды для атак и спуфинга, в которых, кстати, тоже придется разобраться, прежде чем они станут работать, можно также найти по адресу www.warforge.com.

И, наконец, самое главное.

Защитить свой компьютер гораздо проще, чем качать все эти часто не работающие груды "ньюков". Все "заплатки" и подробные инструкции по их установке находятся на уже указанной страничке www.ipclub.ru/nuke/ . Процедура их установки, не считая самого процесса перекачки, займет у вас 10 минут. Желательно взять там и программы для прослушивания портов. Если вы так и поступили и теперь с улыбкой наблюдаете ip-адрес "ньюкера", не поленитесь написать письмо интернет-провайдеру этого умника с указанием адреса, с которого вас атаковали и точного времени атаки. В США, между прочим, такой информации может быть достаточно для судебного обвинения.

Граждане! Будьте бдительны! Не проходите мимо нарушителей общественного порядка!



4 FAQСледующий материалКнига отзывов
К оглавлениюПредыдущий материалОбратная связь

Журнал "Интернет". Регистрационное свидетельство Госкомпечати РФ N. 016370 от 16.07.1997 г. Распространяется через сети розничной торговли, через компьютерные сети, а также путем подписки. Мнение редакции по тем или иным вопросам может не всегда совпадать с мнениями авторов. Редакция не несет ответственности за содержание рекламных материалов. Перепечтка или копирование запрещены, при цитировании ссылка на журнал "Интернет" обязательна.
Copyright © 1997-1998 Журнал "Internet"
Copyright © 1997-1998 Netskate
Netskate E-mail: imag@netskate.ru
Телефон: 245-45-84