Какво представляват DDoS и Nuke атаките

Съдържание

Историята на разпределените атаки

Nuke и DDoS каква е разликата?

WinNuke какво е това?

Нека започнем, разбира се, с класическия и добре познат WinNuke, издаден на 7 май 1997 г. Авторът на метода е публикувал неговото описание и изходния код на програмата в няколко новинарски конференции. Предвид изключителната простота на метода, почти всеки можеше да се въоръжи с най-новите оръжия и да отиде да разбие надясно и наляво. Първата жертва беше сървърът на microsoft.com. Той спря да реагира в петък вечерта (9 май) и едва до понеделник следобед си възвърна стабилността. Остава само да съжаляват администраторите му, които редовно натискаха магическата комбинация от три клавиша през целия уикенд, след което реанимираният сървър отново се срива. Или може би след първите няколко опита сървърът е спрял да се съживява, кой знае ... Разбира се, заедно с жертвата колко пъти през май 97 г. са паднали и много сървъри с гордия надпис „Windows NT Powered“, както и сървъри без него но работи под Windows NT. За кредит на Microsoft трябва да се отбележи, че кръпките се появиха доста бързо. И така, какво е WinNuke? Наред с обичайните данни, стандартът предвижда изпращане през TCP връзки и спешни (Out Of Band, OOB) данни за услуги. На нивото на TCP пакетни формати това се изразява в ненулева стойност на съответното поле (спешен указател). Повечето компютри с Windows използват мрежовия протокол NetBIOS, който се нуждае от три IP порта: 137, 138, 139. Както се оказа, ако се свържете с машина с Windows през порт 139 и изпратите там няколко байта OOB данни, NetBIOS ще без да знае какво да прави с тези данни, просто затваря или рестартира машината. В Windows 95 това обикновено изглежда като син текстов екран със съобщение за грешка в драйвера за TCP/IP и свързването в мрежа става невъзможно, докато операционната система не бъде рестартирана. NT 4.0 се рестартира без сервизни пакети. NT 4.0 само с втория сервизен пакет се срива в син екран, съобщавайки за необработено изключение в кода на ядрото (тази картина често се нарича син екран на смъртта). Съдейки по информацията в Интернет, както Windows NT 3.51, така и Windows 3.11 за работни групи и WinFrame, който е базиран на Windows NT 3.51, са податливи на такава атака. Официални корекции от Microsoft:

Тук е уместно да споменем доста забавна история. Както се оказа малко след пускането на SP3 (сервизен пакет 3 за Windows NT 4.0), WinNuke, стартиран от компютри Macintosh, лесно проникна в защитата на сервизния пакет. Това се дължи на съществуването на два различни стандарта за IP пакети, съдържащи OOB данни - стандартът от Berkley и стандартът, описан в RFC. Те изчисляват UrgentPointer по различен начин и резултатът от изчислението се различава точно с един. Третият сервизен пакет, който предпазва от "собствени" OOB пакети, се оказа беззащитен срещу пакети от различен стандарт. Следователно, почти веднага след SP3, беше пусната допълнителна OOB-корекция. Тя може да бъде намерена на ftp://ftp.microsoft.com

Трябва да се отбележи, че ако най-тривиалните функции за работа с TCP/IP са достатъчни, за да напишете оригиналния WinNuke (програма в PERL отнема седем реда), тогава, за да "пробиете" SP3, ще трябва да работите с TCP на ниско ниво или стартирайте стандартен WinNuke от платформа, която поддържа друга реализация на OOB. Самото съществуване на OOB данни, независимо от WinNuke, създава много проблеми именно поради съществуването на два стандарта, или по-скоро липсата на стандарт. Следователно никой не може да гарантира правилната работа на програма, използваща OOB (по-правилно е лесно да се гарантира нейната неправилна работа). Умните хора препоръчват изобщо да не използват OOB данни в своите програми и много от тях го правят. По този начин OOB днес е наличието на потенциални дупки, които позволяват на нападателите да измислят все повече и повече нови методи за атака. Чрез просто "заснемане" на OOB данни на отворени TCP портове можете да опитате да намерите нова дупка във всяка програма. Някои казват, успяват ...

Какво е SPing?

Имайте предвид, че SPing е много по-сериозен от WinNuke, тъй като използва ICMP пакети, които най-често не се филтрират от защитна стена и ако са, тогава този вид защита може да бъде преодолян с помощта на техники за подправяне.