А,В,Соколов, 0,М, Степанюк - Скачать документы

Глава 1. Современное состояние информационной безопасности 37
Прежде чем начать атаку DDoS, хакер должен проделать предварительную работу,
в том числе получить доступ с правами корня (root) или администратора на максимально
возможное число систем. До сих пор в качестве агентов при атаке DDoS использовались
системы Solaris и Linux. Для получения доступа проводится поиск уязвимых
мест систем с помощью таких сканирующих инструментальных средств, как
sscan. Затем хакер, используя соответствующий сценарий, проникает в каждую из систем
и выполняет установку серверного программного обеспечения.
Для такой инсталляции часто применяется команда удаленного копирования. Сервер,
на котором устанавливается программное обеспечение, станет еще одной жертвой
взлома, и внезапное увеличение частоты применения команды удаленного копирования
обычно служит признаком того, что система не только взломана, но и может
использоваться для проникновения на многие другие.
Как только установлен и запущен атакующий сервер — все готово к началу атаки.
Чем больше вовлеченных систем, тем массивнее будет атака.
Основными источниками и объектами атак DDoS до сих пор были некоммерческие
узлы. Большинство компаний имеют межсетевые экраны, которые помогают предотвратить
проникновение на узлы с целью их использования для распределения агентов
или в качестве хостов для самих агентов. Однако если межсетевой экран плохо сконфигурирован,
это равносильно его отсутствию, поэтому сам факт установки экрана
вовсе не гарантирует надежную защиту.
Если атака DDoS началась, остановить ее очень сложно. Пакеты, появляющиеся
на вашем межсетевом экране, можно здесь блокировать, но они могут столь же легко
переполнить вход вашего Internet-соединения. Если адреса отправителей этих пакетов
не были искажены, можно попытаться связаться с задействованными системами и попросить
их отключить агентов. Таких систем может быть несколько сотен по всему
миру. Если же адреса искажены, вы не узнаете, действительно ли они соответствуют
адресам отправителей пакетов до тех пор, пока не разыщете несколько мнимых отправителей
(если только выбранные адреса не были адресами RFC 1918).
TFN и trinoo используют различные подходы к удаленному управлению. В обоих
случаях хакер применяет клиента для передачи команд, управляющих агентами. Ядро
trinoo, называемое обработчиком, ждет сигнала, приходящего на порт 27665/ТСР для
организации соединения, устанавливая его только после того, как передан соответствующий
пароль (по умолчанию это betaalmostdone). Как только хакер аутентифицирован
обработчиком, он может послать команды всем агентам о начале передачи потоков
UDP на одну или несколько целевых систем в течение известного периода
времени (от 1 до 2000 с). Адреса отправителя пакетов trinoo не искажаются, в силу
чего определить, какие системы являются агентами, довольно просто. Единственная
трудность состоит в том, что их может оказаться очень много.
TFN использует ответные сообщения ICMP (Internet Control Message Protocol,) для
взаимодействия с клиентами и агентами. Пакеты того же типа пересылаются и в ответных
сообщениях команды Ping. Различным командам присваиваются разные кодовые значения;
например, 345 означает старт потока SYN. Инструментарий TFN поддерживает
несколько разновидностей атак на отказ от обслуживания: потоки SYN, UDP, ICMP
и smurftng. Поскольку сервер TFN работает как корневой, адреса отправителя могут быть
искажены (скорее всего, так и будет сделано), чтобы затруднить поиск источников атаки.