Распределенные атаки DoS

В сентябре 1999 года в момент появления первого издания этой книги концепция распределенных атак DoS была не более чем предположением. А сейчас разговор о компьютерах без упоминания фразы "распределенная атака DoS" (DDoS — Distributed Denial of Service) можно считать неполным. Как и вирусы, появляющиеся в Internet как сорная трава, атаки DDoS привлекают все большее внимание средств массовой информации.
В феврале 2000 года была предпринята первая массированная атака DDoS. Сначала ей подвергся Web-сервер Yahoo, а затем E*TRADE, eBay, buy.com, CNN.com и другие серверы. В результате было нарушено функционирование семи всем известных Web-узлов. Некоторые склонны считать, что эта атака была инициирована группой опытных хакеров, которые решили удовлетворить свои низменные желания за счет простых пользователей Internet, однако это не совсем так. Верно как раз обратное.
Атака DoS начинается в том случае, когда кто-либо (обычно скуки ради) воспользовался каким-либо свободно распространяемым программным обеспечением и отправил большое количество пакетов в определенную сеть или узел, чтобы завладеть его ресурсами. Однако в случае распределенной атаки DoS ее источником является несколько узлов. Этот сценарий можно реализовать лишь одним способом: взломав существующие в Internet системы.
Первый шаг любого взломщика, решившего прибегнуть к атаке DDoS, заключается во взломе максимального количества узлов и получении на них административных привилегий. Эта задача обычно выполняется с помощью специальных сценариев, используемых для выявления потенциально уязвимых узлов. На протяжении всей книги постоянно рассматривались методы, с использованием которых взломщик может разработать такие сценарии. С их помощью можно просканировать многочисленные сети и найти в них плохо сконфигурированные узлы или уязвимое программное обеспечение, с помощью которого можно получить неограниченный доступ.
После получения необходимых привилегий взломщик загрузит специальное программное обеспечение, предназначенное для реализации атаки DDoS, а затем запустит его. После этого большинство серверов DDoS (или демонов) ожидают поступления определенных команд. Это позволяет взломщику сначала разместить требуемые программы, а затем ждать удобного момента, чтобы приступить к нападению.
Ниже представлен весь ход типичной атаки, начиная с "захвата" нескольких узлов и заканчивая ее завершающей стадией.
Количество средств, предназначенных для проведения атак DDoS, увеличивается ежемесячно, так что представить их полный обзор невозможно. Поэтому в следующих разделах мы ограничимся рассмотрением лишь основных инструментов: TFN, Trinoo, Stacheldraht, TFN2K и WinTrinoo. Конечно, появляются и другие средства DDoS, такие как Shaft  и mStreams, однако они основываются на вышеупомянутых программах.


TFN


Пакет TFN (Tribe Flood Network), разработанный хакером Микстером (Mixter), является первым общедоступным средством реализации атаки DDoS, который предназначен для использования в системе UNIX. В состав пакета входит как клиентский, так и серверный компонент. Это позволяет взломщику установить серверную часть на удаленном взломанном узле, а затем с помощью нескольких команд, введенных с использованием клиентной части, инициировать полномасштабную распределенную атаку DoS. С помощью пакета TFN можно реализовать атаки с использованием ICMP-, UDP-пакетов, пакетов SYN, а также атаку Smurf. Помимо этих компонентов, в состав пакета TFN входит модуль, позволяющий получить доступ к удаленной командной оболочке, связанной с TCP-портом.
Для получения более подробной информации о пакете TFN прочтите статью Дэйва Дитгриха (Dave Dittrich)ю

Контрмеры


Обнаружение


Для выявления атак TFN существует несколько механизмов, и соответствующие средства можно найти в Internet. К заслуживающим внимания инструментам можно отнести следующие: DDOSPing Робина Кейра , Zombie Zapper от группы Razor  и find_ddos, разработанный центром NIPC (National Infrastructure Protection Center).

Предотвращение


Конечно, наилучшая зашита компьютеров от использования в качестве "зомби" заключается в предотвращении их взлома на начальной стадии атаки. Это означает, что нужно реализовать все шаги, описанные в главе 8: ограничьте использование служб, установите модули обновления операционной системы и приложений, задайте адекватные разрешения на использование каталогов и файлов, а также воспользуйтесь всеми другими рекомендациями.
Вот еще одна превентивная мера, которая позволит защититься от применения пакета TFN. Поскольку соединения TFN основаны на использовании сообщений ICMP. можно запретить весь входящий трафик ICMP.
Для того чтобы предотвратить ваши компьютеры от их использования в качестве "зомби", реализуйте также некоторые правила фильтрации пакетов на пограничном маршрутизаторе. Обеспечьте фильтрацию пакетов ICMP, чтобы ограничить возможность применения атак Smurf. Аналогичные функции имеются и в операционной системе IOS 12.0 компании Cisco. В системе IOS 12.0 настройте механизм СВАС (Context Based Access Control — средства управления доступом на основе контекста), чтобы уменьшить риск применения атак SYN.

Trinoo


Как и TFN, в состав пакета Trinoo входит программа удаленного управления (клиент), которая взаимодействует с основной программой, передающей команды программе-демону (серверу). Взаимодействие между клиентом и основной программой осуществляется посредством соединения через TCP-порт 27665. При этом обычно используется пароль betaalmostdone. Связь основной программы с сервером устанавливается через UDP-порт 27444, а в обратном направлении — через LJDP-порт 31335.
Для получения более подробной информации о пакете Trinoo читайте аналитическую статью Дэйва Диттриха.

Контрмеры: защита от использования пакета Тrinоо


Обнаружение


Для выявления атак Trinoo существует несколько механизмов, и соответствующие средства можно найти в Internet. К заслуживающим внимания инструментам можно отнести следующие: DDOSPing Робина Кейра, Zombie Zapper от группы Razor () и find_ddos , разработанный центром NIPC (National Infrastructure Protection Center).

Предотвращение


Как и в случае пакета TFN, наилучшая зашита состоит в применении всех рекомендаций, приведенных в главе 8.
Для того чтобы предотвратить нападение на ваши компьютеры узлов-зомби, реализуйте правила фильтрации на пограничных маршрутизаторах. Обеспечьте фильтрацию пакетов ICMP, чтобы ограничить возможность применения атак Smurf. Аналогичные функции имеются и в операционной системе IOS 12.0 компании Cisco. В системе IOS 12.0 настройте механизм СВАС, чтобы уменьшить риск применения атак SYN.

Stacheldraht


Пакет Stacheldraht комбинирует возможности Тrinоо и TFN и является мощным деструктивным средством, реализующим зашифрованный сеанс telnet между главным и подчиненным модулем. Теперь взломщик может блокировать системы выявления вторжений и благодаря этому получать неограниченные возможности по генерации условия DoS. Как и TFN, пакет Stacheldraht предоставляет возможность инициирования ICMP-, UDP-, SYN- и Smurf-атак. Взаимодействие клиента с сервером осуществляется через комбинацию TCP- и ICMP-пакетов ECHO REPLY.
При взаимодействии клиента с сервером применяется алгоритм симметричного шифрования с помощью ключа. Кроме того, по умолчанию активизирован режим защиты с помощью пароля. Стоит упомянуть еще одну дополнительную возможность пакета Stacheldraht: при необходимости взломщик может обновить серверный компонент с использованием команды rср.
Для получения дополнительных сведений обратитесь к статье Дэйва Диттриха.

Контрмеры


Обнаружение


Для выявления атак Stacheldraht существует несколько механизмов, и соответствующие средства можно найти в Internet. К заслуживающим внимания инструментам можно отнести следующие: DDOSPing Робина Кейра , Zombie Zapper от группы Razor  и find_ddos, разработанный центром NIPC (National Infrastructure Protection Center).

Предотвращение


Как и ранее, лучше всего предотвратить использование компьютеров в качестве "зомби". Это означает, что необходимо учесть все рекомендации, приведенные в главе 8, т.е. ограничить использование служб, установить модули обновления операционной системы и приложений, задать необходимые разрешения на использование файлов/каталогов и т.д.
Другая превентивная мера аналогична приведенной в разделе, посвященному пакету TFN. Поскольку взаимодействие компонентов Stacheldraht осуществляется посредством пакетов ICMP, можно полностью запретить входящий трафик сообщений IСМР.
Для того чтобы предотвратить нападение на ваши компьютеры со стороны узлов-зомби, реализуйте правила фильтрации на пограничных маршрутизаторах. Обеспечьте фильтрацию пакетов ICMP, чтобы ограничить возможность применения атак Smurf. Аналогичные функции имеются и в операционной системе IOS 12.0 компании Cisco. В системе IOS 12.0 настройте механизм СВАС, чтобы уменьшить риск применения атак SYN.

TFN2K


Аббревиатура TFN2K — это обозначение пакета TFN 2000. который является преемником пакета TFN, разработанного хакером Микстером (Mixter). Это одно из самых последних средств DDoS, которое принципиально отличается от своего предшественника и позволяет в процессе взаимодействия использовать порты с произвольно выбранными номерами. Благодаря этому можно обойти блокирование портов на пограничных маршрутизаторах. Как и TFN, пакет TFN2K поддерживает SYN-, UDP-, ICMP- и Smurf-атаки. а, кроме того, позволяет случайным образом переключаться между различными методами проведения атаки. Однако в отличие от алгоритма шифрования, используемого в пакете Stacheldraht, в TFT2K применяется более слабый алгоритм Base 64.
Глубокий анализ TFN2K был выполнен Ясоном Барлоу (Jason Barlow) и Вуди Сроувером (Woody Thrower) из группы экспертов AXENT. 

Контрмеры


Обнаружение


Дта выявления атак TFN2K существует несколько механизмов, и соответствующие средства можно найти в Internet. К заслуживающим внимания инструментам можно отнести следующие: DDOSPing Робина Кейра , Zombie Zapper or группы Razor и find_ddos , разработанный центром N1PC (National Infrastructure Protection Center).

Предотвращение


Как и ранее, лучше всего предотвратить использование компьютеров в качестве "зомби". Это означает, что необходимо учесть все рекомендации, приведенные в главе 8, т.е. ограничить использование служб, установить модули обновления операционной системы и приложений, задать необходимые разрешения на использование файлов/каталогов и т.д.
Для того чтобы предотвратить нападение на ваши компьютеры узлов-"зомби", реализуйте правила фильтрации на пограничных маршрутизаторах. Обеспечьте фильтрацию пакетов ICMP, чтобы ограничить возможность применения атак Smurf. Аналогичные функции имеются и в операционной системе IOS 12.0 компании Cisco. В системе 1OS 12.0 настройте механизм СВАС, чтобы уменьшить риск применения атак SYN.

WinTrinoo


Широкой общественности программа WinTrinoo впервые была представлена группой Razor. Это версия пакета Trinoo, предназначенная для использования в системе Windows. Это средство представляет собой программу типа "троянский конь", которая обычно называется service, ехе (если не была переименована) и имеет размер 23,145 байт.
 Не путайте имя service.exe с именем во множественном числе services.exe
После запуска этого исполняемого файла в системный реестр Windows будет добавлен новый параметр, после чего его автоматический запуск будет выполняться при каждой перезагрузке компьютера.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run System Services: REG_SZ: service.exe
Конечно, это значение будет корректно интерпретироваться, если файл service.exe будет находиться в требуемом каталоге. Программа WinTrinoo прослушивает TCP- и UDP-порт 34555.

Контрмеры


Для того чтобы выявить программу WinTrinoo, нужно проверить сеть на предмет открытого порта с номером 34555 или выполнить поиск файла с именем service. ехе (если он не был переименован) размером 23,145 байт. Кроме такого "ручного" способа можно воспользоваться также антивирусной программой Norton Antivirus компании Symantec, которая автоматически изолирует этот файл еше до его запуска.