Общие атаки DoS
Некоторые атаки DoS можно использовать для нескольких типов систем. Мы будем называть такие атаки общими (generic). В основном общие атаки направлены на насыщение полосы пропускания или захват ресурсов. Стандартным элементом атак этого типа является манипулирование протоколами. При использовании протокола ICMP одновременно можно воздействовать на несколько систем. Например, взлом-шик может воспользоваться "почтовой бомбой" и отправить тысячи почтовых сообщений целевой системе, чтобы насытить полосу пропускания и истощить ресурсы почтового сервера. Хотя вирус Melissa не планировалось использовать в качестве средства генерации атаки DoS, однако на гребне лавины почтовых сообщений он может привести к краху почтового сервера. Его саморепликация оказалась настолько успешной, что из-за недостатка ресурсов почтовые серверы просто завершают свою работу.
Атака Smurf
Атака Smurf — это одна из наиболее опасных атак DoS, поскольку при ее
реализации на целевые узлы осуществляется усиленное воздействие. Эффект усиления возникает из-за рассылки направленных широковещательных ping-запросов на узлы сети, которые должны сгенерировать ответные сообщения. Направленный широковещательный запрос может передаваться либо на сетевой адрес, либо на сетевой широковещательный адрес, однако в любом случае требуется устройство, выполняющее преобразование данных уровня 3 (IP) к уровню 2 (сеть). (Более подробную информацию по этому вопросу можно получить в документе RFC 1812, Requirements for IP Version 4 Routers.) Если предполагается, что сеть принадлежит к классу С, то сетевым адресом будет .0, а широковещательным адресом — .255. Направленные широковещательные запросы обычно используются для диагностики, позволяя выявить функционирующие узлы без использования утилиты ping отдельно для каждого адреса используемого диапазона.
Контрмеры: защита от атак Smurf
Для того чтобы предотвратить возможность использования вашей сети (компьютера) для усиления, запретите прохождение направленных широковещательных запросов на пограничном маршрутизаторе. На маршрутизаторах Cisco для этого можно воспользоваться командой no ip directed-broadcast. На устройствах Cisco IOS версии 12 этот режим включен по умолчанию. При использовании других устройств обратитесь к документации, входящей в комплект поставки.
Системы Solaris 2.6, 2.5.1, 2.5, 2.4 и 2.3
Чтобы предотвратить генерацию ответных сообщений на запросы ECHO в системах Solaris, добавьте в файл /etc/rc2 .d/S69inet следующую строку, ndd -set /dev/ip ip_respond_to_echo_broadcast 0
Linux
Для того чтобы обеспечить такую же защиту в системе Linux, необходимо активизировать функции брандмауэра на уровне ядра с помощью утилиты ipfw. Убедитесь, что эти требования учтены при компиляции ядра и выполните следующие команды
ipfwadm -I -a deny -Р icmp -D 10.10.10.0 -S О/О 0 8 FreeBSD
Система FreeBSD версии 2.2.5 и выше запрещает обработку направленных широковещательных запросов по умолчанию. Этот режим можно активизировать или отключить, изменив параметр sysctl в файле net. inet. icmp. bmcastecho.
AIX
Система AIX 4.x запрещает генерировать ответные сообщения на широковещательные запросы по умолчанию. Для переключения этого режима можно воспользоваться командой по с параметром bcastping. Эта команда служит для настройки сетевых атрибутов в выполняющемся ядре. Данные атрибуты должны устанавливаться при каждом запуске системы.
Все версии системы UNIX
Для того чтобы предотвратить генерацию узлами сообщений в ответ на атаку Fraggle, отключите службы echo и chargen в файле /etc/inetd/conf, поместив в начало соответствующих строк символ #.
|