Библиотека Интернет Индустрии I2R.ru |
|||
|
DDoS. Распределенные системы атак отказ от обслуживанияПрактически любую систему подключенную ко всемирной сети можно сделать недоступной путем flood атаки, называемой просто флудом. Эффективных методов защиты от этой атаки не существует, но есть некоторые методы позволяющие предупредить такую атаку и по возможности облегчить её. Описание метода атак подобного рода: Сами системы DDoS состоят в основном из 2х частей. Это клиент и сервер. Клиент находится у зачинщика атаки, а сервера в свою очередь устанавливаются на уязвимых машинах, с которых в дальнейшим и будет осуществлена атака. Зачинщик атаки посылает с помощью клиента команду для сервера в которой он указывает IP адрес и порт системы которую необходимо атаковать. Сервер в свою очередь принимая данную команду начинает атаку. Один сервер скорее всего и не нанесет урон удаленной системе, но когда таких серверов сотня или две? Это заставляется задуматься. Так же DDoS могут устраивать SYN flood для системы, сказать что страшнее SYN flood или просто flood атака однозначно нельзя, но устойчивость систем к SYN flood гораздо меньше чем к просто flood атаке. Так же нередко DDoS системы используют IP spoofing т.е подделку IP адреса в заголовке пакета таким образом пытаясь скрыть атаку. IP spoofing очень сильно мешает устранению атаки т.к пакеты идут отосвюду и приходится закрывать систему "от всего интернета". Способы защиты: Как было сказанно ранее конкретного способа нет. Но существуют программные продукты, которые умеют распозновать такие атаки и после обнаружения такой атаки можно предпринимать меры по защите системы. Snort (www.snort.org) данный продукт отностится к числу Network IDS. Snort анализирует заголовки пакетов и на основе анализа делает вывод атака это или нет. Замечательная возможность Snort умение "обрывать" плохие на его взгляд соеденения. Т.е если Snort видит, что система подвергается атаке, и он скомпилирован с возможностью flex-rst, то он посылает RST пакет и таким образом прекращает соеденение. Но если используется IP spoofing то это бесполезно т.к Snort посылает RST серверу от которого пришел пакет, а пакеты посылаются каждый раз с разного IP адреса. PortSenrty (www.psionic.com) этот продудкт нельзя полностью отнести к IDS (системам обнаружения вторжений) т.к основная его функция скрывать открытые порты системы, причем скрывает он их довольно хитрым образом. Он разрешает соеденятся с портом физически на котором нет ничего. Т.е даже если у вас нет FTP демона то PortSentry будет говорить злоумышленнику что порт 21 открыт. Обычно атака проводится на порты со слабыми демонами, например 23(telnet) 21(ftp) Вы можете эмулировать такой порт при помощи PortSentry и ломящийся на него злоумышленник не будет знать что реально там ничего нет, а сам демон FTP или какой-другой повесить на другой порт. У PortSentry есть замечательная возможность, при обнаружении сканирования портов (а обычно это первое действие, предпринимаемое перед атакой) она может при помощи firewall прикращать прием пакетов от данного IP адреса. Что это нам дает? При атаке PortSentry будет запрещать соеденения с каждого IP откуда прозиводится атака. А если вы еще и поймали злоумышленника на эмулируемый порт то практически вы избавитесь от атаки. Но! Диапазон IP spoofingа может быть огромным и в IP адреса с которых PortSenrty запрещает соединения могут попасть IP адреса нужные вам. Остается только следить за этим. Немного о IP spoofing, если адреса в вашей сети такие как 10.x.x.x, 172.16.x.x, 192.168.x.x, или так называемые "нереальные IP адреса", то сказанное выше о PortSentry действительно эффективно. А если злоумышленик решил посылает пакеты якобы из вашей сети? Т.е он подделывает адресы вашей сети? PortSentry будет закрывать каждый такой адрес и получится что до сервера из вашей сети никто не доберется. Рассмотрим некоторые системы DDoS: TRIN00 Данная система является самой опасной из всех систем подобного типа, так как способна автоматически обнаруживать уязвимые сервера, использовать данные уязвимости и распространяться. ПЕРВИЧНЫЕ ЦЕЛИ Системы Sun Solaris 2.x, имеющие уязвимость в некоторых серивсах remote procedure call. Системы RH Linux cтарых версий, подверженные переполнению буффера в многих сервисах. ОБНАРУЖЕНИЕ Признаками того, что Ваши системы подверглись установке "агентов" trin00, являются: -открытый шелл с uid 0 на TCP-порту 1254 -траффик UDP по порту 27444 -траффик UDP по порту 31335 -траффик TСP по порту 27665 -беспричинный большой исходящий траффик УДАЛЕНИЕ NATIONAL INFRASTRUCTURE PROTECTION CENTER выпустил утилиту для удаления агента сети trin00, которая доступна с адреса http://www.fbi.gov/nipc/trinoo.htm TFN Данная система содержит многочисленные средства denial-of-service различных типов, коммуникации между серверами и клиентами сети зашифрованы по алгоритму CAST-256 и осуществляются по случайно выбранному протоколу. Это крайне затрудняет обнаружение серверов и клиентов путём анализа траффика. ПЕРВИЧНЫЕ ЦЕЛИ Так как TFN пока не есть самораспостраняющаяся сеть, то целью для установки агента может стать любая система, имеющая уязвимости, которые могут привести к получению рутовских прав удалённым пользователем. ОБНАРУЖЕНИЕ Признаками того, что Ваши системы подверглись установке "агентов" tfn, являются -файлы *tfn* в вашей файловой системе -беспричинный большой исходящий траффик УДАЛЕНИЕ NATIONAL INFRASTRUCTURE PROTECTION CENTER выпустил утилиту для удаления агентов сети trin00 и tfn, которая доступна с адреса http://www.fbi.gov/nipc/trinoo.htm P.S Мы рассмотрели те методы борьбы, которые успешно практикуются и применяются нами (null security systems) Из DDoS trin00 и tfn являются самыми известными и опасными, остальные системы действуют по этому же принципу. Pheonix |
|
2000-2008 г. Все авторские права соблюдены. |
|