 |
| 
Выражаю благодарность человеку с красивым ником 5703171 (бывает же) за присланные ссылки.
Если бы не вторая - я бы тихо посмеялся, и этим бы всё и закончилось. Итак,
[1] и
[2].
Вкратце. Или не вкратце. Есть такой сайт - grc.com. В ссылке [1] идет высокохудожественный
рассказ того, как сервер grc.com
(подключенный к интернет двумя Т1 хвостами по 1.54 мбит, что в сумме дает 3.08 мбит)
банально зафлудили. Зафлудили по udp и icmp. Админ (Steve Gibson) оказался не дурак,
быстренько зафильтровал udp и icmp на роутере со стороны провайдера, вернув тем самым сервер
к жизни, и начал расследование.
Вскрытие показало, что DDoS (Distributed Denial-of-Service) шел с windows-машин,
на которых был установлен троян. Троян подключался к irc-серверу (адрес задавался в виде
wkdbots.где.то.там, что давало возможность быстро сменить "место явки"), входил на запароленный
irc-канал, "рапортовал
о прибытии" и слушал команды. Далее идет изложение того, как господин Гибсон
узнал о том, что и как это делает, раздобыл копию троянской программы, пролез на irc-канал
где сумел поболтать с юными хакерами (и попытался убедить их что это неправильно),
даже немного попереписывался с одним из них. Естественно, без особого успеха -
интернет есть достаточно анонимное пространство, чтобы реально поймать кого-то было сложно.
Читается как приключенческий роман, обильно приправленный техническими деталями, но
я не про это :-) Хотя - и про это тоже: текстик преинтереснейший.
Интереснее другое. См. в частности [2]. Упомянутый Стив Гибсон, утверждает, что
"It is impossible for an application running under
any version of Windows 3.x/95/98/ME or NT
to "spoof" its source IP or generate malicious
TCP packets such as SYN or ACK floods." - короче говоря, что под windows до NT5
невозможен спуфинг (подмена адреса), и что
"This has horribly changed for the worse
with the release of Windows 2000 and
the pending release of Windows XP.
For no good reason whatsoever, Microsoft has equipped Windows 2000 and XP with the ability FOR ANY APPLICATION to generate incredibly malicious Internet traffic, including spoofed source IPs and SYN-flooding full scale Denial of Service (DoS) attacks!"'
- что в w2k и win XP спуфить уже можно, штатными функциями сокетного api.
Первое утверждение спорное, но об этом потом. Так вот, утверждая, все это он страстно хочет заставить
Микрософт отказаться от поддержки raw sockets и, как следствие, прикрыть возможность
посылать пакеты с подмененным адресом. Желание, ээ... любопытное, учитывая, что
на самом деле возможность послать пакет с подмененным адресом есть
и в "более ранних" windows (не так тривиально - через установку специального драйвера,
но есть), и, что если уж компьютер с виндами, как говорится, compromised,
то на него можно и драйвер соостветствующий поставить, будь то win95 или winXP.
Вопрос только в том, будет ли кто-то заморачиваться в написании "троянов" такой
сложности.
Оставляя в стороне разнообразные юниксы (линукс тоже ломают, а там с raw sockets всё в порядке от рождения),
идея у мужика действительно странная. С одной стороны - вроде как да, поскольку спуфить под
виндами 9х и NT сложно - то DDoS атаки можно (пытаться) зафильтровывать по адресу,
а в случае w2k и win XP это как бы сложновато, что дает больший простор хакерам
и большую беззащитность серверов,
с другой стороны - если хакерам приспичит, то спуф можно и под 95 сделать, да и вообще -
фильтрацией спуфленых пакетов неплохо бы заставить озаботиться провайдеров.
В-общем, интересный вопрос. Я полностью понимаю мужика на тему желания прикрыть хоть что-то
и хоть как-то (сейчас он в лоб зафильтровал icmp и udp, но скажем от syn-flood'а, да "накрывающего" целиком канал
в три мегабита, да если со спуфлеными адресами защиты нет и быть не может),
и вроде и хочется сказать, что бесполезно это, и с другой стороны - тринадцатилетнему "хакеру"
нет ни что написать спуфинг через raw sockets и сильно сложней - через vxd, с третьей стороны -
оно всё и так давно написано, надо только найти где написано и содрать к себе...
В-общем, сухой остаток. Спуфить из под 9x и NT4 - сложно, но можно. Из под 2000 и ХР -
легко и приятно :-) Спуфить из под юниксообазных - ещё легче, но их статистически немного.
Но ломают чаще. А если уж спуфить (и флудить) - то не udp и icmp (без пингов прожить можно, а по udp
не так уж и много ходит. dns можно и к провайдеру унести), а нормальными, серьезными методами, вроде
того же syn flood. От которого есть защита ("открывать" сессии на файрволле, и передавать серверу
только успешно "открытые" сессии), но при потоке в десятки-сотни мегабит - любой файрволл
ляжет в попытке это обработать. Просто памяти под это не хватит :-)
Уфф. Хоть кто-нибудь чего-нибудь понял? Ну и ладно :-)
| |
| |