Перейти к содержимому

Фотография

Атака Nuke

- - - - -

  • Авторизуйтесь для ответа в теме

#1
BENQs

Отправлено 07 ������� 2009 - 03:05

BENQs

    Новоприбывший

  • Пользователи
  • 19 сообщений
Статья написана о Nuke атаках. Сразу хочу оговориться, что описание этой атаки не поподает под раздел взлома или кражи поролей и уж тем более не связана с "троянскими конями". Атака типа Nuke является самой распространённой атакой в сети из-за её простоты проведения, в основном такие атаки применяются на чатах для того чтобы "выкинуть" пользователя с канала (чата). Атака производится с использованием специальных программ, созданных для этих целей, и называются они нюкеры. Словом Nuke (нюк с английского ядерный взрыв) называют сегодня любую атаку на порты удаленных компьютеров, приводящую к "краху" операционной системы или к разрыву интернет-соединения. Nuke не нарушает состояние файловой системы и кроме небольших неудобств не доставляют ни какого вреда вашему компьютеру. Перезагрузившись, пользователь может продолжить работу в Сети. Способов атаки очень много, в статье я рассмотрю только некоторые из них, и вы поймёте, каким образом постоены nuke атаки. Идея nuke заключается в том, что он отсылает неправильные (invalid) ICMP пакеты, и машина-хост теряет связь с соединением интернета.

1) Атака под названием Ping o' Death. (многие распространёные операционные системы оказались к ней весьма чувствительны, во многих системах дыру уже давным-давно прикрыли, но всё-таки до сих пор имеют место в успешном проведении этой атаки) Ping o' Death основана на отсылке более 65 527 байтов данных + 20 байт заголовка IP + 8 байт ICMP-заголовка в одном IP-пакете. Так как большинство систем не собирают все пакеты до того, как получат их полностью, то полученные данные просто не уместятся в 16-битной внутренней переменной и возникает неустранимая ошибка. В Win 95 такие действия приводят к зависанию системы. Для проведения этой атаки не обязательно пользоваться специальными программами, достаточно обчычной утилиты Ping, которая входит в поставку windows. Просто напросто достаточно запустить её с параметрами ping -l 65527 victim.dest.ip

2) Атака Out Of Band (WinNuke или OOB). Основана на том, что 139 порт Win95 (135 порт WinNT) не закрыт для постороннего вторжения, поэтому, отослав на этот порт пакет данных с флагом заголовка OOB, можно спровоцировать зависание операционной системы и появление синего экрана. Выяснилось экспериментально, если подсоединиться к Windows машине по любому слушающему порту и послать туда несколько байт OutOfBand данных, реализация стека TCP/IP не знает, что делать с этими данными и попpосту подвешивает или пеpезагpужает машину. Win95(OSR2) выдаёт синий текстовый экpан, сообщающий об ошибке в дpайвеpе TCP/IP и невозможность pаботы с сетью до пеpезагpузки ОC. NT 4.0 без сеpвис паков пеpезагpужается, NT 4.0 с SP2 выпадает синий экpан. Атаке подвеpжены так же Windows NT 3.51 и Windows 3.11 for Workgropus. (код на перле perl -MIO::Socket -e \
'IO::Socket::INET->new(PeerAddr=>"some.windoze.box:139")->send("bye",MSG_OOB)' ). Windows 98 не подвержен подобной атаке.

Я привёл две атаки и принцип их действия, в действительности их, конечно же, больше, но все они выполняют только одну функцию подвесить, отконнектить пользователя от сети. Также из этих двух примеров можно выяснить, что атака использует разные методы реализации, но все они связаны с отправкой на порт атакуемой машины. Отправленные пакеты содержат неправельный размер или информацию о склейке пакетов, некоторые несут прямо в заголовке сообщение об ошибке соединения, другие просто-напросто переполняют систему запросами на соединение и из-за невозможности правильно и своевременно обработать запросы система виснет или обрывает коннект. Думаю я не сильно заморочил вам голову, каков принцип атаки НЮК. Давайте теперь обратимся к практике! Конечно же против нюков есть защита, например, в Win98 исправили некоторые ошибки и дыры в протоколе TCP/IP, но это не спасло систему от атак подобного рода на моем сайте в разделе DownLoad-> Attack вы можете найти действительно действующий нюк, который прошибает не только win 95/98/2000/nt, но может иногда подвесить даже сервер, всё зависит от числа посланных вами пакетов. Программа действительно легка в использовании, всё что вам надо для проведения успешной атаки на удолённый компьютер - это IP адрес. Вставьте его в поле ввода и жмите кнопку старт, остальное программа сделает всё за вас. Вы спросите, а почему данная атака всё-таки возможна? Данная атака возможна не только по причине наличия всяких багов в операционных системах, но и зачастую от нежелания пользователей прикрыть свои уязвимые места, скачав всего лишь патч. Существует 2 типа нюков, 1-ый - простой Nuke и Winnuke, и они немного отличаются по типу действия, но эффект у них один. Простой, или классический, Nuke построен на стандартах протокола TCP/IP. Смысл его в том, что нехороший человек, используя служебный протокол TCP/IP ICMP (Internet Control Message Protokol), отправляет запрос на проверку определенного адреса в сети и подсовывает ответ типа "ошибка доступа", "адрес недоступен", "сеть недоступна" и т.д. и т.п. Соответственно, сервер начинает перенастройку таблиц маршрутизации и обрывает соединение с "недоступным" адресом. Дёшево и сердито. WinNuke - чистый DoS (Denial of Service, не путать с MS-DOS). Есть такой термин в стандарте TCP/IP - OOB (Out Of Band), и означает он пересылку срочных служебных данных. Очень много машин под Windows используют в своей работе протокол NetBIOS. Так вот, грубо говоря, этому NetBIOS'у закидывается несколько байт данных по ООВ, и этот NetBIOS начинает тормозить: "Чо делать-то с ними?" Ну и завешивает машину напрочь. При этом на экране на синем фоне появляется мессидж об ошибке в TCP/IP или о необработанном исключении в коде ядра, и получила эта картинка название - синий экран смерти (blue screen of death). Защита: Если вы всё-таки не пропатчили вашу систему или вам не сильно хочется этого делать, то вы можете скачать firewall - программа которая вас защитит (более подробнее о программах данного рода читайте в разделе защиты)!!

P/S Данная атака может применятся также в паре с подбросом троянских коней, например, когда злоумышленник получил доступ к винчестеру по протоколу NetBIOS и положили вам "троянского коня" в автозагрузку, а ждать когда вы перегрузитесь ему лень. Тогда он просто вас нюкает и тем самым заставляет вас перегрузить компьютер, после чего он может начинать вас администрировать.