Перейти к содержимому

Фотография

Dos и DDoS

- - - - -

  • Авторизуйтесь для ответа в теме

#1
+s.p.a.m.+

Отправлено 05 2008 - 09:49

+s.p.a.m.+

    Личный хакер форума=)

  • Banned
  • 228 сообщений
В этой теме я буду выкладывать статьи (самые интересные) найденные мной при изучении этой интереснейшей атаки. Да я изучаю эту тему и невижу в этом ничего такого, я считаю если ты знаеш что-то о чем-то, всеравно учи еще и еще.

#2
+s.p.a.m.+

Отправлено 05 2008 - 09:52

+s.p.a.m.+

    Личный хакер форума=)

  • Banned
  • 228 сообщений
Ну вот собственно и первая статья В этой статье я расскажу о самой интересной атаке! О самой серьезной атаке! Я расскажу вам о DoS! Вы не знаете что это такое? Вы отстали от жизни, это дело надо исправлять. Пора вам продвинуться в области компьютерной безопасности. Новички, эта статья посвящается вам и только вам! DoS (Denial of Service) – отказ об обслуживании. Суть атаки состоит в убиении системы удаленного компьютера, повисания системы или отключения от сети и в вынужденной перезагрузке. Способов DoS’а существует много, вот некоторые из них: засорение Интернет канала, посылка неправильных пакетов, посылка огромного числа пакетов. Причин еще больше: конкуренция (отключение от сети несет большие убытки), месть (мечта любого подростка отомстить своему другу), выгода (для некоторых людей взлом – работа), в целях самоутверждения (подростковый максимализм), изучение (поиск уязвимостей, защиты). Ничего из этого я не приветствую, кроме последнего пункта. DoS – одна из самых страшных атак, которые используют хакеры, взломщики и даже вирмейкеры! Я вам хочу преподнести знания о DoS’е. Я понимаю, что таких статей по этой тематике и так много, но я хочу все это преподнести в более упрощенном варианте. Я очень старался, что бы этот материал был понятен для новичков. Над этой статьей я работал очень долго. Прошу строго не судить. DoS атаки совершаются с помощью специальных программ DoS’еров, либо вручную с использованием штатных средств, а иногда при помощи вирусов-червей. Так была совершена величайшая DDoS атака на сервера Microsoft и SCO. Червь MyDoom выполнил колоссальную работу (правда, с некоторыми ошибками). Но о DDoS мы позже поговорим, а пока давайте посмотрим, какими бывают DoS атаки. Ping of Death Представьте себе такую ситуацию: хакер начинает пинговать удаленную машину пакетами нестандартного размера. Пинговать значит слать пакеты «echo-request». Я понимаю, что это не совсем понятно. Объясняю. В таких пакетах хранится только адрес и служебная информация. После этого удаленная машина, получившая эти пакеты должна отослать «echo-reply». Первое, что должен сделать хакер - это увеличить размер пакетов. Это, я думаю, понятно почему. Интернет канал не выдержит больших пакетов (если канал маленький). Можно эту ситуацию более усложнить, т. Е. при помощи специального софта увеличить размер пакетов больше максимального! Да, да! Это возможно! Как вы понимаете, комп не сможет отослать «echo-reply» на такой неправильный «echo-request». И тогда только синий экран смерти. Не даром эта атака называется «Ping of Death» (рус. Пинг смерти). Но здесь есть одна проблема: сейчас такие умные программисты, что научили свою ОС отсеивать такие пакеты, поэтому она действует только на старые ОС. Но, поверьте мне, и сейчас такие остались в Internet. Если вы ничего не поняли, то объясняю попроще. Атакующий посылает неправильный пакет жертве. Компьютер жертвы не может послать подтверждение и зависает. Теперь понятно? Вот и хорошо. SYN Flood Линуксоиды! Радуйтесь, эта атака вам не страшна, а вот остальным нужно быть начеку. Атакующий посылает пакеты синхронизации (TCP SYN). После первого пакета комп жертвы посылает ответный пакет (SYN ACK) и ждет пакет ACK. А он не приходит. Как это сделать? Все просто. Есть такое понятие как IP Spoofing. Каждый пакет имеет два поля: «source IP» (адрес отправителя) и «destination IP» (адрес получателя). Так вот, IP Spoofing – это подмена поля «source IP». Т.е. при такой атаке хакер меняет source IP на IP компьютера, который не в сети. Вся прелесть в том, что если комп получает пакет, где вписан IP-шник левого компьютера, то он и ответит этому, и будет ждать от него ответа. Еще с помощью этого можно зафлудить канал. После такой атаки компьютер зависает или не может ни к чему подключиться. CPU Hog Атака достаточно старая и простая. Действует на WinNT. В этой системе каждый процесс имеет свой приоритет (16 максимально). И программа, имеющая больший приоритет, будет ставить свой процесс выше других, т.е. «заглушая» другие. Хакер пишет такую программу и отсылает жертве, жертва же врубает ее… комп виснет. Это далеко не все DoS атаки. Я описал самые простые. И все они доступны для вас. Но ни в коем случае я не советую их вам применять. Не будьте скрипт-кидди, который, увидев новую уязвимость с эксплоитом, мчится все дефейсить и крушить. Существует так же множество уже «умерших атак» (Land, WinNuke). С типами DoS атак дальше, я думаю, вы разберетесь сами. Теперь перейдем к более серьезному, а именно к DDoS. DDoS Attack – Distributed Denial of Service Attack (рус. Распределенная атака на отказ об обслуживании). Это намного серьезнее, чем DoS. При DoS один компьютер атакует жертву. При DDoS 2, 3, 30 или даже 100! При таких атаках сервера не выдерживают и приказывают долго жить. Для того, что бы устроить DDoS атаку, вы должны иметь ботов в сети. В этом случае DDoS-бот – это сервер, зараженный специальной хакерской программой-трояном. Этот способ называется зомбированием. Можно весь процесс зомбирования автоматизировать, создав специального вируса-червя. Это самое сложное, но идеальное решение. Кстати, хороший DDoS’ер-хакер всегда должен иметь под рукой 60 серверов-зомби в среднем. DDoS-ботом может быть программа для зомбирования серверов, для совершения атак. Программы эти очень дорогие (500-1500 $). Еще бы! DDoS – это игрушка не для ламеров. Это очень опасная штука! Хотя встречаются бесплатные DDoS-боты, но они мало функциональны. Существует много способов ограждения этих ботов от ламеров. Один из самых удачных: бот предоставляется в виде исходников на C. Их нужно откомпилировать, но в коде исходников допущены ошибки, которые найти и исправить сможет только хакер. Я даже боюсь представить, что будет, если готовый бот попадет в руки ламера. 90%, что он пойдет крушить все подряд. Хакеры создают свои ботнеты (зомби-сети) через IRC в большинстве случаев, но можно не только через Ирку. Более умные и дерзкие DDoS’еры-хакеры перехватывают чужие ботнеты, делая свою армию зомби-серверов больше и сильнее. Это и к лучшему. Я считаю, что в этом деле нельзя допустить монополии. Описывать сами атаки на практике я не буду. Мне за это спасибо не скажут. Но смогу описать одну игрушку для ламеров. Denyo Launch III – это очень удобный DoS’ер с очень простым интерфейсом. С его помощью можно повесить сайт. Что бы понять, как ей пользоваться, советую посмотреть обучающее видео, а найти это видео можно на inattack.ru. Ссылку на саму прогу я не имею, придется поискать вам самим. Суть действия программы заключается в следующем: Denyo Launch III запоминает ваше действие/запрос на определенный сервер, а потом повторяет это действие 100-200 раз. В итоге сайт виснет. Но на то эта игрушка для ламеров. А вот самая страшная DDoS атака – это Smurf. Суть атаки состоит в следующем: с помощью спуфинга (IP Spoofing) в заголовке source IP echo-пакета меняется адрес на адрес жертвы и посылается на широковещательный канал. Все компы начинают отвечать жертве. В итоге… очень плохо. ? Как вы уже поняли, зомбировать сервера приходится с помощью программ-троянов. Такие программы обычно состоят из двух exe-файлов: сервера и клиента. Сервер засылается жертве, а у хакера клиент. Между ними создается порт. Сервер принимает команды клиента. Т.е. хакер может управлять чужим компьютером словно он администратор, а если может управлять, значит может и DoS’ить. А вот как сделать, что бы жертва получила Троян (сервер) и не знала об этом? Способов много. Есть такие программы – Джойнеры (Joiner). Они могут склеивать файлы. Т.е. вы сможете склеить безобидную игрушку с сервером и отдать это жертве. Жертва запустит игру и Трояна вместе с ней, но Троян себя не выдаст. Я пользуюсь MicroJoiner. А впарить все это можно с помощью Социальной инженерии. Читайте мою статью на ХЗ «Основы СИ. Часть 2.». Лично я DDoS’ером не являюсь, но если бы я занимался DDoS’ером не являюсь, но если бы я занимался DDoS’ом, я бы старался перехватывать ботнеты и отдавал бы их машины их администраторам. И если вы в будующем планируете стать DDoS’ером, то именно так и делайте. Я уверен, что положение в Интернете улучшиться. И одной программой держать свой один большой ботнет я тоже не советую. Держите несколькими прогами. Всегда маскируйте скрипты и Трояны. Для всех ботов в IRC и ICQ делайте разные Ники, что бы никто не догадался. Из литературы советую полностью прочитать журнал «Спец Хакер выпуск №21». Весь этот выпуск посвящен DoS и DDoS атакам. Так же прочитайте статью на hackzona.ru «Огород из DDoS-ботов». Обязательно посетите inattack.ru и прочитайте все статьи в разделах «DDoS/Флуд» и «Ботнет». Так же советую в Интернете поискать все о таких понятиях как DoS, DDoS, Spoofing, флуд, переполнение буфера, черви и защита от всего этого. Кстати, не надо путать понятии «флуд» и «DoS». Флуд – это закидование пакетами ненужной информации, а DoS закидование пакетами неправильной информации. Это совсем разные вещи. Прошу меня извинить, что не показал реальных практических примеров, не дал важных ссылок (хотя я вообще никаких ссылок не дал), не показал листингов. Ну что? Подведем итоги? DoS и DDoS одни из самых опасных атак в Интернете. Попади DDoS-бот в руки скрипт-кидди или ламеру – крах провайдеру. Когда червь MyDoom совершил DDoS атаку на сервера Microsoft и SCO, они так разозлились, что объявили охоту на злобного программиста, обещая за его поимку 500 тысяч долларов. Но хакер остался в тени. Вся информация предоставлена только для ознакомления. Это не подталкивание к криминальным действиям. Это я серьезно, т.е. я это не просто пишу. Я вас не призываю крушить сервера, а даже наоборот. Мы хакеры, а не вандалы. Главное помнить об этом всегда. Особо потчеркну последние два предложения!!

#3
+s.p.a.m.+

Отправлено 13 2008 - 07:10

+s.p.a.m.+

    Личный хакер форума=)

  • Banned
  • 228 сообщений
Я очень удивился что в эту тему никто не отвечает)) Вот я выкладываю еще одну более полезную статью жду ваших отзывов и предложений. Цель Основная цель DoS/DDoS-атак - вывести объект из рабочего состояния. Конечно, в большинстве случаев глобальная атака приводит к большим финансовым потерям со стороны атакуемого. Например, если какой-либо коммерческий сайт упадет на несколько часов, то это нанесет вред бизнесу, а если на неделю, то владелец ресурса вполне может разориться. Или взять локальные сети. Дело в том, что одним из эффектов популярных атак на Denial of Service (DoS) является огромный трафик, направляемый на жертву. Если для крупной западной фирмы это мелочь, то для небольшой отечественной домашней сети средняя атака может грозить разорением. Кроме огромного вреда, наносимого жертве, такие нападения отличаются простотой и огромной эффективностью. Против них нет стопроцентной защиты. Именно названные выше факторы привлекают к DoS внимание специалистов по сетевой безопасности и... DoS'еров. Принцип работы Для того чтобы обнаружить, а уж тем более организовать DoS/DDoS-атаку, нужно разобраться в ее принципах. Эти атаки не направлены на получение доступа к ресурсам или к важной информации. Атака DoS делает ресурс недоступным для использования путем нарушения его нормальной работы. Атаку на отказ в обслуживании можно провести всего двумя способами: использовав уязвимости в программном обеспечении жертвы и при помощи отсылки большого количества определенно составленных сетевых пакетов (флуд). Первый способ состоит в том, чтобы, используя уязвимости типа переполнения буфера, отослать код, выполняющий DoS на сервере. Поскольку атака будет проводиться "изнутри", то через очень короткое время объект зависнет или будет отключен от интернета. Этот способ не требует больших вычислительных ресурсов нападающего, однако такая атака предполагает использование уязвимостей, что само по себе усложняет задачу. Поскольку никто не хочет излишне заморачиваться, в народе более популярен второй способ, которому мы и уделим основное внимание. Это пример применения простой грубой силы, которая практически не нуждается в приложении ума. Идея состоит в том, чтобы переслать как можно больше "кривых" запросов серверу (впрочем, не только "кривых": от огромного количества нормальных пакетов, например GET-запросов для HTTP-сервера хосты падают с таким же успехом). Дело в том, что при получении сервером пакета данных происходит его обработка. Если приходит пакет, но сервер занят приемом или обработкой другого пакета, то вновь приходящий запрос ставится в очередь, занимая при этом часть ресурсов системы. При проведении DoS-атаки серверу отсылается большое количество пакетов определенного размера. При этом ответ сервера не ожидается (обычно адрес отправителя фальсифицируется - спуфинг). В результате, из-за того что сервер оказывается перегружен информацией, он либо отключается от интернета, либо зависает. В любом случае, нормальные пользователи некоторое время (иногда довольно продолжительное) не могут пользоваться услугами пострадавшего сервера. Просто и со вкусом :). Однако если сервер атакует одна "точка", он вполне может закрыться от нее фаерволом. Кроме того, для проведения качественной DoS-атаки необходима довольно высокая пропускная способность канала. Поэтому атака на отказ в обслуживании в большинстве случаев проводится сразу с нескольких машин. Атака, в проведении которой участвует много машин (обычно это затрояненные десктопы, их называют "зомби"), получила название DDoS (Distributed Denial of Service). Для сколь угодно мощного сервера всегда можно подобрать достаточное количество зомбиков (благо дырявых систем и ушастых юзверей по миру много развелось). Есть несколько способов получения "зомби". Во-первых, это массовое внедрение трояна на компьютеры мирных пользователей. Самый популярный способ управления троянами - IRC, то есть организация ботнета. При посылке определенных команд троян активируется и мирный домашний компьютер (с широкополосным выходом в интернет) становится источником большого количества мусора, съедающего ресурсы атакуемого сервера. Чтобы более детально разобраться в DoS-атаках, рассмотрим их наиболее известные разновидности. Выделяют пять наиболее популярных: * TCP SYN Flood; * TCP flood; * Ping of Death; * ICMP flood; * UDP flood. TCP SYN Flood и TCP flood Основная цель этого вида атак - превысить ограничение на количество соединений, которые находятся в состоянии установки. В результате, система не может устанавливать новые соединения. После этого каждый дополнительный запрос еще сильнее увеличивает нагрузку. Для того чтобы достичь желаемого результата, при проведении атаки направляется большое количество запросов на инициализацию TСP-соединения с потенциальной жертвой. Такие атаки не нуждаются в обратной связи с атакующим, и поэтому можно не использовать настоящий адрес источника. Ниже приведен пример установки заголовка IP пакета, который можно использовать в атаке типа "SYN Flood". Листинг packet.ip.version=4; // Версия packet.ip.ihl=5; // Длина заголовка packet.ip.tos=0; // Тип сервиса packet.ip.tot_len=htons(40); // Общая длина packet.ip.id=getpid(); // Идентификатор packet.ip.frag_off=0; // Смещение фрагмента packet.ip.ttl=255; // Время жизни packet.ip.protocol=IPPROTO_TCP; // Протокол packet.ip.check=0; // Контрольная сумма packet.ip.saddr=saddress; // Адрес источника packet.ip.daddr=daddress; // Адрес назначения TCP flood - это вид атаки, при котором потенциальной жертве отправляется множество TCP-пакетов, что приводит к связыванию системных ресурсов. Следующие виды DoS-атак основаны на совершенно другом принципе. При помощи таких атак можно переполнить сеть или отдельно взятую мишень абсолютно бесполезными ping-пакетами. Для реализации следующих видов атаки достаточно нескольких строк кода. Итак, это атаки, основанные на протоколе ICMP: Ping of Death и ICMP flood Большое количество DoS-атак основывается на протоколе ICMP. Некоторые его функции могут быть полезны для создания нападений такого рода. ICMP flood - это далеко не новый вид атаки, который, тем не менее, не теряет популярности. Здесь используется ping. Ping изначально задумывался для проверки качества соединения с удаленным компьютером. Принцип работы следующий: программа отсылает некое сообщение, на которое удаленный компьютер автоматически отвечает. Вроде бы все нормально. Однако при атаке используются большие (64 кБ), сильно фрагментированные ICMP-пакеты. При получении таких пакетов удаленная машина зависает. Ping of Death основывается на ICMP flood, однако усиливает атаку за счет того, что ping-запросы пересылаются по адресу широковещательной рассылки. Используемый в пакетах запроса адрес - это адрес атакуемого сервера. Получившие такие "посылки смерти" системы отвечают на них и забивают жертву. Это очень серьезный вид атаки, который, правда, требует длительной подготовки. Требуется много "зомби", необходимо собрать достаточное количество информации о жертве и посредниках. UDP flood Это наиболее опасный вид атаки. UDP-сервис одной машины генерирует последовательность символов для каждого получаемого системой пакета. Делается это в целях тестирования. Далее связывается с echo-сервисом другой машины, которая повторяет эти символы. В результате, передается большое количество UDP-пакетов с подделанным IP источника. Основная проблема для защиты состоит в том, что протокол UDP не устанавливает соединения и нет никаких индикаторов состояния, чтобы помочь межсетевой защите выявить нападение. Чтобы с большей долей вероятности избежать такой атаки, нужно удалить все ненужные UDP-сервисы, а остальным сервисам использовать механизм прокси-сервера. Самые мощные DoS/DDoS-атаки Теперь ты знаешь, что собой представляет атака на отказ в обслуживании. Пришло время составить небольшой хит-парад DoS/DDoS-атак. 1) Пожалуй, самой нашумевшей атакой из разряда DoS стала атака на корневые DNS-сервера, произошедшая в ноябре 2002 года. Тогда распределенной атаке подверглись все 13 DNS-серверов, семь из которых вышли из строя. Только высокий уровень избыточности в структуре интернета позволил избежать задержек при обращении к ресурсам. 2) Атака на сайт SCO, совершенная при помощи вируса MyDoom и всех его подцепивших. 22 августа 2003 года сайт компании SCO перестал отвечать на запросы пользователей. Атака продолжалась несколько дней и прекратилась только 25 августа. Поскольку вирус MyDoom имел очень широкое распространение, то атака получилась мощнейшей. Вторая редакция вируса MyDoom.B, созданная для атаки на сайт Microsoft, не имела такого "успеха" у пользователей. 3) Серверы Osirusoft крупнейшего хранилища IP-адресов, замеченных в спаме, были отключены после большого количества распределенных атак на отказ в обслуживании. Данная служба занималась ведением динамического списка IP-адресов, замеченных в спаме. Атаки на отказ в обслуживании, несомненно, большое зло на просторах интернета. И если отдельно взятую пользовательскую машину можно защитить с помощью фаервола, то для серверов стопроцентной защиты нет и в скором времени не предвидится. Так что с DoS/DDoS-атаками сложилась довольно грустная (или веселая? :)) ситуация. Многие хостеры при обнаружении атаки просто выключают сервера. Это о чем-то говорит ;). очень жду отзывов=)

#4
+s.p.a.m.+

Отправлено 13 2008 - 10:21

+s.p.a.m.+

    Личный хакер форума=)

  • Banned
  • 228 сообщений
Главной особенностью DDoS-атак является то, что для них не существует сервера, который нельзя "завалить". чтоб вопросов небыло

#5
+s.p.a.m.+

Отправлено 13 2008 - 10:24

+s.p.a.m.+

    Личный хакер форума=)

  • Banned
  • 228 сообщений
Вот как сварганить свою армию=) Создание и маскировка собственного IRC-ботнета Случалось ли тебе, мой дорогой товарищ, находиться в роли администратора? Я думаю, что большинству читателей случалось. Кто-то успешно админил локальную сеть, а кто-то — отдельный сервер. Но лишь немногим удалось возвести и поддерживать настоящий ботнет — приватную IRC-сеть для боевых ботов. Сейчас я поделюсь опытом и выдам все секреты бывалого ботмастера. И хоть сама концепция управления ботами по IRC уже немного устарела, описанные навыки не пропадут зря. Вот увидишь! [кто они, боты?] Позволь мне немного отойти от главного вопроса и рассказать тебе о вражеских ботах. Не думай, что это те самые ламоботы, развлекающие онлайн-играми в IRC и кикающие наглых чатлан. Наши роботы не такие примитивные существа, они способны зарабатывать деньги. И очень большие деньги. Давай условимся, что под сочетанием «вражеский бот» я буду подразумевать программу, незаконно проживающую на компьютере и выполняющую нехорошие действия. Большинство ботов ориентировано на спам либо DDoS-атаки. Я думаю, теперь ты понял, почему держать ботнет прибыльно. Однако чтобы добиться желаемого результата в сетевом бизнесе, нужно иметь в запасе не менее тысячи электронных солдат. Ясен пень, что построить виртуальную казарму для такой армии на первый взгляд довольно сложно. Но если подойти к проблеме с умом, задача решается за один вечер. [подготовка фундамента] Если тебе предложили работать ботмастером либо ты захотел создать собственный ботнет, необходимо задуматься над вопросом: на чем он будет держаться? Здесь существуют два варианта: либо ты покупаешь выделенный сервер для IRCD, либо водружаешь плацдарм на взломанном шелле. На мой взгляд, второй вариант более реален, так как многие хостинги попросту не дают отдельный сервер для IRC. Либо дают, но если администраторы узнают, что на этом сервере живут боты, тебе точно не поздоровится. Лично я за минувшие два года создал и поддерживал целых два ботнета, состоявшие из четырех серверов. И надо сказать, все они были на взломанных шеллах. Разумеется, в некоторых случаях администраторы убивали мои бэкдоры и переустанавливали систему, но в большинстве своем боты жили и здравствовали. Поэтому я советую найти три-четыре взломанные машины (необязательно с root-правами) и установить на них подходящий софт. Либо, если ты точно знаешь, что хостер предоставляет дедики под любые дела и ему плевать, что на его сервере будет жить стадо ботов, покупай отдельную машину для будущего ботнета. [собираем UnrealIRCD] Теперь определимся с софтом, который будет крутиться на сервере. На мой взгляд, самая лучшая программа, которая подходит для этого, — это UnrealIRCD. Этот демон обладает массой настроек и примочек, а посему достоин обслуживать всех твоих ботов. Начнем с того, что ты зайдешь на свой сервер и скачаешь архив с демоном (www.unrealircd.com/?page=downloads). Если бы я писал статью об установке IRCD для общения, то не стал бы обращать внимания на все тонкости инсталляции. Но в данном случае нам придется позаботиться о таких мелочах, так как именно они будут залогом твоей безопасности. Ведь ты же не хочешь, чтобы администратор убил ботнет на второй день после его установки, правда? После распаковки архива можешь смело запускать ./Config. Сценарий задаст тебе несколько вопросов, и здесь тебе не надо особо задумываться над ответами. Скажу лишь, что необходимо собрать ircd в режиме хаба (главный сервер, к которому будут прилинкованы остальные) либо в режиме лифа (ведомый сервер, впоследствии залинкованный к хабу). Также следует определить пути к каталогу, где будет находиться IRCD, и выбрать имя самого демона. К этому вопросу нужно отнестись творчески. Допустим, у тебя нет рут-прав, и администратор каждый день бдит в консоли. Тогда разумнее задать путь в виде /tmp/.mc-root либо указать другой каталог, сливающийся с соседними. Следующим шагом надо бы запустить команду make. Однако не будем торопиться со сборкой демона. Прежде чем заняться компиляцией, переопределим некоторые дефолтные пути. К примеру, для маскировки определимся, что бинарник ircd будет находиться в каталоге /tmp/.mc-root и называться inetd или другим невзрачным именем. Необходимо помнить, что по умолчанию конфиг-файл для ирки назван unrealircd.conf, но нам это название не подходит, лучше переименуем конф в /tmp/php-11223344 (или другой номер, подобный тому, что находится в /tmp). Откроем файл include/config.h и найдем переменную CPATH. Затем изменим ее значение на указанное выше, а также поменяем все пути, которые могут понадобиться (путь к motd и т.п.). Теперь стоит рассказать еще об одном неприятном моменте: для маскировки ip-адресов (а мы, ясное дело, их будем скрывать) используются модули cloak.o и commands.o. Путь к ним объявляется в конфе и может быть любым. Но вся беда в том, что перед загрузкой модули помещаются в папку tmp и называются произвольным именем. Нам такого палева не надо, поэтому открываем файл src/modules.c и изменяем все встречающиеся слова «tmp/» на «/tmp/.mc-root/». Теперь будь уверен, что модули перед загрузкой скопируются в этот каталог. Только не забудь создать эту директорию перед запуском демона :). И еще один предкомпиляционный штрих. Найди переменную SHOW_INVISIBLE_LUSERS в хидере config.h и андефни ее. Это поможет скрыть пребывание твоих ботов на ircd, если кто-нибудь решит выполнить команду /lusers. Все! Теперь можно смело собирать демон командами make и make install. После этого в каталоге /tmp/.mc-root появится ряд файлов и каталогов. Удаляй все, кроме бинарника inetd. Затем перенеси модули cloak.o и commands.o в оговоренную ранее папку, а также возьми example.conf из дистрибутива UnrealIRCD (каталог doc). Пожалуй, теперь все готово для редактирования конфига. [параноидальная настройка конфига] Конфиг от UnrealIRCD состоит из нескольких независимых блоков. В каждый могут быть внесены подблоки, а также переменные и их значения. Самое первое, что необходимо сделать, это прописать инклуды на модули. Раскомментируй соответствующие строки и радуйся жизни :). Затем заполняется блок me {}. В нем находится информация о IRC-сервере. Думаю, понятно, что домашний адрес и телефон ботмастера мы давать не будем. Ограничимся лишь заданием трех переменных: name со значением «irc.sweetly.net» (или любым другим дружелюбным именем, необязательно существующим в сети), info, имеющую значение «Sweetly IRC Server», а также numeric — уникальный номер сервера. Надо заметить, что у всех серверов, находящихся в одной IRC-сети, не должно быть совпадающих номеров. Иначе они попросту не залинкуются. Далее следует блок admin. Не рекомендую вписывать сюда твой реальный ник. Лучше напиши какое-нибудь фейковое описание администратора, например «Alexander S. Pushkin» :). Затем идут объявления классов clients и servers. Я думаю, ты понял, что это настройки серверов и клиентов. Здесь можно оставить все по дефолту, лишь изменив количество клиентов на большее число (боты, как-никак). Размеры буферов и время пингов лучше оставить как есть. Чуть ниже объявляется секция allow, позволяющая открыть доступ лишь с определенных IP. Нам эта затея ни к чему, поэтому объявляй абсолютный userhost в виде *@*. А вот последующий блок allow channel может быть очень полезен. Теперь настало время поговорить об IRC-операторах. В нашей приватной сети иркопы должны быть наделены всеми правами, однако следует позаботиться, чтобы левый хакер не стал оператором. Для этого нужно объявить всего один блок oper NAME (где NAME — имя иркопа) со следующими вложенными переменными: * from { userhost [email protected]; }. Обязательно укажи здесь свой ident и hostname, так как парольную защиту очень просто обойти. Любой заинтересованный человек может написать брутфорс либо каким-то образом войти на сервер и прочитать конфиг. * password HASH { crypt; };. В этой конструкции HASH имеет вид DES-хэша, а crypt означает метод шифрования пароля. Здесь необходимо отметить, что шифрование пароля обязательно, а метод можно выбрать более криптостойкий — md5 или sha1, например. * flags {netadmin; can_gkline; global; };. Достаточно этих флагов, чтобы администратор не чувствовал себя ущемленным в правах. Впрочем, можешь посмотреть мануал и добавить избыточные. С операторами разобрались. Теперь следует обратить внимание еще на пару блоков. Во-первых, нужно объявить порт, на котором будет вертеться ircd. Это делается с помощью конструкции «listen ip:port». Настоятельно рекомендую выбрать нестандартный порт, чтобы не притягивать внимание администраторов и хакеров (разумеется, если твои боты понимают нестандартные IRC-порты). И наконец, самый важный блок под названием set должен быть настроен с особой тщательностью. Здесь можно увидеть глобальные опции. Обсудим самые важные из них. 1 network-name "SweetNET". Здесь мы объявляем имя сети. Разумеется, лучше воздержаться от названий «BotNET» и т.п. :). 2 hiddenhost-prefix "sweet". Этот префикс будет фигурировать в IP-адресе пользователя. После этой частицы можно будет увидеть рандомное число, а уже затем какую-то часть реальной сети. Данная особенность будет весьма кстати — никто не узнает твоего IP-адреса и не сможет переманить ботов на свою сторону. 3 cloak-keys {}. В этом блоке необходимо указать три рандомные фразы. Первый пример дан, аналогично сформируй еще два. Данная опция нужна только для генерации случайного префикса в IP-адресе. 4 kline-address "[email protected]". Здесь необходимо указать почту k-line поддержки. Если этого не сделать, ircd не запустится, поэтому впиши сюда какой-нибудь фейковый, но правдивый на первый взгляд адресок. 5 modes-on-connect "+ixw". Эти режимы лучше оставить по умолчанию. Обязательно ставь пользователям (читай ботам :)) моду +i, иначе любой встречный хакер может узнать его IP-адрес. 6 maxchannelsperuser 1. Я намеренно установил лимит каналов равным единице. Это может быть полезно, чтобы случайно зашедшие пользователи не устраивали чат на твоей территории (всякое бывает, поверь мне :)). 7 oper-only-stats "okfGsMRUEelLCXzdD". Эта опция запрещает пользователям юзать команду /stats. Здесь я объявил все допустимые режимы, поэтому будь уверен, что никто не сможет запросить список операторов либо посмотреть состояние серверов в сети. 8 options { flat-map; }. Этот параметр является очень полезным. Он записывается во вложенном блоке и нужен для запрещения связей между серверами. Скажем, выполнит юзер команду /LINKS, а в ответ получит несвязную цепочку из серверов. Конечно, абсолютной защиты эта надстройка не дает, но лишней точно не будет. В конфиге также может присутствовать блок log {}, но устанавливать его не рекомендую, поскольку на сервере не должно быть логов. В первую очередь ботоводы просят вырубить всяческие логи. Действительно, без них будет намного безопаснее. [запуск и линковка] Когда конфиг настроен, можно попробовать запустить ircd. Зайди в каталог /tmp/.mc-root, затем скомандуй export PATH=.:$PATH и набери слово «inetd». Махинация с патчем избавит тебя от относительного пути в списке процессов. Если в конфиге нет ошибок, то демон запустится. Теперь можешь подключаться к IRCD и проверять oper-аутентификацию, настройки конфига и т.п. Но ты понимаешь, что сеть из одной машины — не сеть. Чтобы соединить несколько однотипных серверов, необходимо повторить весь процесс установки на других машинах. Но последующие инсталляции будут намного проще, ведь все отредактированные конфиги у тебя на руках. Когда у тебя будет как минимум один хаб и один лиф, можешь попытаться их слинковать. Перед началом линковки убедись, что опции numeric в секциях me {} имеют разные значения. Об этом я уже писал, но это очень распространенная ошибка. Затем необходимо правильно составить блок link "имя.сервера". Здесь имя — название машины, к которой производится линк, опять же, необязательно существующее в сети, но явно прописанное в секции me {}. В этом блоке нужно указать переменные hostname (IP-адрес сервера), port (порт, который слушает IRCD) и два пароля: password-connect и password-receive (рекомендую сделать их одинаковыми во всех конфигах, чтобы лишний раз не путаться). Здесь же обязательно находится опция hub *; или leaf *, объявляющая тип сервера. Помимо этого, в секции может находиться вложенный блок class {} с параметром autoconnect. Это дело лучше прописать в конфиге хаба. Все! Теперь можешь командовать /connect server.name на любом сервере, и ты увидишь, как оба IRCD поспешно слинкуются в единую сеть. Я рекомендую впускать ботнет в IRC, когда число серверов будет достигать четырех-пяти.

#6
+s.p.a.m.+

Отправлено 13 2008 - 10:26

+s.p.a.m.+

    Личный хакер форума=)

  • Banned
  • 228 сообщений
вот виды дос атак=) Типы атак DoS Зачастую гораздо проще нарушить функционирование сети или системы, чем на самом деле получить к ней доступ. Сетевые протоколы типа TCP/IP были разработаны для применения в открытом и доверенном сообществе пользователей, и его текущая версия 4 унаследовала все слабые места своих предшественников. Кроме того, многие операционные системы и сетевые устройства имеют различные изъяны в используемой реализации сетевого стека, что значительно снижает их способность противостоять атакам DoS. Мы были свидетелями, как на устройствах управления различными процессами, в которых использовался устаревший стек протокола IP, сбой происходил от простого перенаправления ICMP с некорректным параметром. Поскольку существует много средств для реализации атак DoS, очень важно идентифицировать их типы, а также разобраться с тем, как выявить и предотвратить эти атаки. Сначала мы познакомимся с теорией, лежащей в основе четырех стандартных типов атак DoS. Насыщение полосы пропускания Наиболее коварной формой атак DoS является насыщение полосы пропускания (bandwidth consumption). По существу, взломщики могут заполнить всю доступную полосу пропускания определенной сети. Это можно осуществить и в локальной сети, однако чаще всего злоумышленники захватывают ресурсы удаленно. Для реализации такой атаки можно воспользоваться двумя сценариями. Сценарий 1 Взломщик может насытить сетевое подключение целевой системы, воспользовавшись более широкой полосой пропускания. Такой сценарий вполне возможен, если злоумышленник обладает сетевым подключением Т1 (1.544 Мбит/с) или более быстрым, и лавинно заполняет сетевое соединение с полосой пропускания 56 или 128 Кбит/с. Это эквивалентно столкновению трактора-тягача с автомобилем Yugo: большее транспортное средство, или в данном случае канал, наверняка станет победителем в этой битве. Этот тип атак не ограничивается возможностью применения к низкоскоростным сетевым соединениям. Нам встречались ситуации, когда взломщики получали доступ к сетям с полосой пропускания более 100 Мбит/с. Для атаки на Web-узел и насыщения его канала взломщику достаточно иметь канал Т1. Сценарий 2 Взломщики усиливают атаку DoS, вовлекая в процесс насыщения целевого вого соединения несколько узлов. Воспользовавшись таким подходом, сеть с доел ТЗ (45 Мбит/с) можно насытить с помощью канала связи 56 Кбит/с. Благодаря чему это возможно? Используя другие узлы для усиления атаки DoS, взломщик с помощью ограниченной полосы пропускания может насытить полосу пропускания 100 Мб Для того чтобы успешно реализовать эту возможность, взломщик должен привлечь дополнительные узлы. Как вы увидите ниже в данной главе, в некоторых случаях осуществить усиление атаки гораздо проще, чем может показаться на первый взгляд. На протяжении всей книги многократно упоминалось об опасности трафика ICMP. Несмотря на то, что пакеты ICMP удобно использовать для сетевой диагностики, можно легко захватить график ICMP и воспользоваться им для атак с насыщением полосы пропускания. Кроме того, такие атаки могут оказаться еще более разрушительными, поскольку большинство взломщиков скрывают свой адрес. Это значительно затрудняет выявление реального злоумышленника. Недостаток ресурсов Атака, приводящая к недостатку ресурсов (resource starvation), отличается от предыдущей атаки тем, что она направлена на захват системных ресурсов, таких как центральный процессор, память, дисковые квоты или другие системные процессы. Зачастую взломщик обладает легитимным доступом к ограниченному количеству системных ресурсов. Однако он предпринимает попытку захватить и дополнительные ресурсы. Таким образом, система или законные пользователи будут испытывать достаток в совместно используемых ресурсах. Атаки такого типа обычно приводят к недоступности ресурса, и, следовательно, к краху системы, переполнению файловой системы или зависанию процессов. Ошибки программирования Ошибки программирования (programming flaw) заключаются в неспособности приложения, операционной системы или логической микросхемы обрабатывать исключительные ситуации. Обычно эти ситуации возникают при передаче уязвимому элементу санкционированных данных. Взломщики будут много раз передавать пакеты, в которых не учитываются рекомендации документов RFC, чтобы определить, способен ли сетевой стек справиться с этими исключениями или это приведет к панике ядра (kernel par или краху всей системы. Для определенных приложений, которым требуются пользовательские входные данные, взломщики будут передавать строковые данные длиной в тысячи строк. Если программой используется буфер фиксированной длины, скажем, 1 байт, то злоумышленники попробуют сгенерировать условие переполнения буфера вызвать крах приложения. Что еще хуже, взломщики могут также выполнить привилегированные команды, как описывалось в главах 5 и 7. Ошибки программирования час встречаются и в логических микросхемах. Печально известная атака под назван" Pentium f00f основывается на том, что пользовательский процесс, выполнив некорректную инструкцию Oxf00fc7c8, приведет к краху любой операционной системы. Не трудно догадаться, что программы, операционной системы или даже центрального процессора, в которых отсутствуют любые дефекты, не существует. Взломщика прекрасно известна эта аксиома. Будьте уверены, что они полностью воспользуются преимуществами краха важных приложений. К сожалению, в большинстве случаев в атаки происходят в совершенно неподходящее время. Атака на DNS Такие атаки DoS основываются на манипуляции записями таблицы маршрутизации, что приводит к прекращению обслуживания легитимных систем или сетей. Большинство протоколов маршрутизации, такие как RIP версии 1 (Routing Information Protocol) и BGP (Border Gateway Protocol), не имеют вообще или используют слабые алгоритмы аутентификации. Это предоставляет взломщикам прекрасную возможность изменять маршруты, зачастую указывая ложный исходный IP-адрес и вызывая состояние отказа в обслуживании. В результате таких атак трафик целевой сети маршрутизируется через сеть взломщика или в черную дыру, т.е. в никуда - в сеть, которой не существует. Атаки DoS, направленные на серверы DNS, также являются достаточно эффективными. Большинство таких атак приводит к кэшированию на целевом сервере фиктивных адресов. Когда сервер DNS выполняет обратный поиск, взломщик может перенаправить его на требуемый узел или в некоторых случаях в "черную дыру". Существует несколько типов подобных атак, которые приводят к тому, что большие узлы в течение продолжительного времени оказываются недоступными. Пользуюсь лисой, но сегодня зашел осликом на родной сайт посмотреть обновления и осел завис, по всей вероятности была произведена атака (programming flaw), осел завис намертво, диспетчером убирал зависший процесс, опять запускал и опять то же самое, решил перезагружаться и во время перезагрузки появилось инструкция Oxf00fc7c8 "отладка да нет". У кого есть мнения по защите от таких атак, для машины юзера скорее всего будет идти именно такая атака(ошибка программы), другие больше идут для сервера.

#7
+s.p.a.m.+

Отправлено 13 2008 - 10:28

+s.p.a.m.+

    Личный хакер форума=)

  • Banned
  • 228 сообщений
а вот эта статья для тех кто даже непонимает о чем идет речь=) DDoS - сокращение от английского Distributed Denial of Service, что означает "распределенная атака "отказ в обслуживании"". Слово "распределенная" говорит о том, что атака производится не одним компьютером и, соответственно, не по одному каналу, а целой группой компьютеров-зомби, которые одновременно начинают атаку. Используется как грубая сила, так сказать, танком напролом, для завала сервера (3.14zDoS серверу) или роутера (3.14zDoS целому сегменту сети). Приблизительная схема DDoS такова: хакер ломает кучу серваков по всему Инету, устанавливает туда DDoS-модули, а потом, когда возникает соответствующая необходимость, командует всем своим зомбированным сервакам валить жертву. Соответственно, чем больше у него таких зомби, тем страшнее атака. Только представь, ведь существуют DoS-атаки, которые позволяют забить более мощный канал, чем у атакующего, а при DDoS общая пропускная способность всех зазомбированных машин может в десятки раз превосходить пропускную способность атакуемого! Хорош этот способ тем, что не требует от устроителя данного веселья толстого канала связи. В принципе, он может даже не находиться в сети во время атаки, так как в данном случае используется чужой канал, чужой трафик и чужие компьютеры. Еще один плюс, даже если при DDoS вылетит (вовремя выключат) половину компьютеров, атака все равно будет чувствительна для жертвы. Работает это очень просто, и до сих пор загадка, почему данный вид атаки является наиболее свежим и малоиспользуемым. Как известно, любой канал Интернета не резиновый и имеет свои ограничения. Вот на этом все и основано, то есть забивание канала мусором. Иногда бессмысленным, иногда конкретными запросами, иногда пакеты формируются так, чтобы ответ сервера был по размеру больше запроса. DDoS-модули могут быть также разными по написанию и использованию, например, бывают этакие навороченные троянские кони с системой прицеливания, а бывают просто бомбы с часовым механизмом. Даже баннер при желании можно использовать как DDoS-модуль. Для распространения можно использовать чаты, форумы или мыло. В принципе, для DDoS можно заюзать прокси-сервер, но данный метод пока мало обкатан и не дает нужных результатов. По видам можно разделить DDoS-модули на саморазмножающиеся (e-mail вирусяги) и размножающиеся вручную (ломаешь и ставишь). Для размножения вручную хорошо подходят компы в интернет-кафе, и если приготовиться к акции за пару месяцев, то можно осуществить хорошую атаку, а если есть друзья в других городах, готовые пройтись по местным интернет-кафешкам, то атака получится просто замечательная. Как правило, серверные модули после установки слушают порт и ждут команд, поэтому вероятность обнаружения у них выше, чем у молчаливых, которые имеют все данные о жертве в себе и ждут своего часа, никак не проявляя себя. Еще делят по запросам: на посылающих "мусор", это случайные данные, как правило, посылаются по UDP или ICMP; расширяющиеся, например, минимальный запрос на HTTP-сервер имеет длину пакета 7 байт, а ответ зависит от сервера, www.yahoo.com в ответ послал 21239 байт, что в 3000 раз больше; и загружающие сервер, что очень эффективно против поисковых машин и страниц, собранных с использованием Perl или PHP. Итак, хакер нашел себе кучу компов и хочет завалить любимый сервер, как же найти слабое место? Для начала, как и перед любой битвой, надо изучить своего противника. Прежде всего узнать, какая стоит система на сервере, хотя бы примерно. Если это 95 или 98 форточки (что крайне маловероятно), то достаточно знать, что максимальное количество соединений на данной ОС - 255. Понадобится флудилка вроде PortFucker и примерно 3-4 машины. Запустив этот агрегат на порт 80, можно идти пить кофе, поскольку порты забьются достаточно быстро, и до тех пор, пока админ файрволом или роутером не отрежет запросы, сервер будет недоступен ввиду слишком большой занятости. Это больше всего похоже на анекдот про Ржевского, помнишь? Дали мне одну свечку в левую руку, вторую - в правую, дают третью, а я и не знаю, куда ее деть... Вот так и сервер - вроде как занят, вроде работает, а никто этого не видит. Пойдем дальше: если это NT4/2000/XP, то можно и старым способом, но надо значительно больше машин, при 64М RAM на сервере он нормально держит 7000 соединений, а значит надо 30 машин под 95/98, можно и 2-3 под NT, но сами зомби тоже порядком подвиснут. В данном случае можно просто загрузить сервер мусором и забить канал (UDP пакеты), что сильно затормозит сервер. Но как на NT, так и на любом сервере Linux есть такая хорошая вещь, как timeout, то есть ограничение по времени. Это очень скользкая часть, поскольку если ограничение маленькое (1-2 секунды), то клиенты на медленном канале будут с трудом получать необходимое. Но если Timeout около минуты, то это самое слабое место, причем нет разницы, где он установлен, на POP3-порту или на FTP. Можно написать прогу, которая будет коннектиться, посылать команду типа "help" и опять коннектиться, и опять "help", поскольку сервер не отличает "хорошего" клиента от зомби, он будет вынужден висеть с каждым клиентом по минуте, а это достаточно для забивания всех возможных ресурсов. Если же жертва - поисковый сервер, то можно сконнектиться, сделать запрос по букве "а", вторым сконнектиться, сделать запрос по букве "б" и т.д. Все закончится тем, что сервер будет искать и мучить себя до потери пульса, а пульс сервак "пень-3/256Mb/канал на 64к" потерял после двенадцатого запроса. Если же это определенно линух, да еще и на хорошей машине, то тут только мусор, то есть если машина хороша, то слабое место в ней - это ее канал в И-нет, а следовательно, надо набирать как можно больше зомби и устраивать одноразовую массовую бомбардировку. Ну, допустим, что с жертвой мы разобрались, теперь давай посмотрим на хакерское "оборудование", то есть программы для зомбирования машин. Прежде надо определиться, что именно лучше всего подходит. Если есть доступ к большому количеству интернет-кафе и им подобным заведениям, то писать надо определенно под форточки. Если же есть огромное количество серваков с возможностью запуска Perl, то на нем и надо писать. А если имеется просто 2000000 показов баннеров и при этом есть возможность показывать Flash-баннеры или html-баннеры (что значительно лучше) то ими и надо пользоваться. Затем, выбрав на чем писать и выбрав тактику нападения, неплохо посчитать, сколько надо машин и что лучше делать - серверподобного зомби или же все-таки бомбу с часами. Определившись и прикинув план работы программы (например, ждем 12:00 пятницы тринадцатого, затем начинаем бомбежку), стоит приступить к написанию программы. При реальных взломах не рекомендуется пользоваться готовыми DDoS-модулями, они хороши в обучающих целях, но на практике их быстро найдут, и жертвоприношение не осуществится.

#8
+s.p.a.m.+

Отправлено 13 2008 - 10:34

+s.p.a.m.+

    Личный хакер форума=)

  • Banned
  • 228 сообщений
И для ламеров внесу корректив... Чтобы открыть порты, (если все закрыты) нужно использовать сплоит, шелл, и руткит... как использовать и в какой последовательновти не пишу по понятным причинам... а знаюшим людям это и ненужно... Да и мне под статью лезть нихони както...

#9
+s.p.a.m.+

Отправлено 14 2008 - 09:04

+s.p.a.m.+

    Личный хакер форума=)

  • Banned
  • 228 сообщений
Ну а это введение в DoS для тех кто хоть что-то знает это будет понятно=) Введение Недавно была проведена координированная атака на несколько корневых серверов имен Интернет. Эта сложная атака известна как DDoS (distributed denial of service – распределенная атака на отказ в обслуживании). Хотя никаких серьезных последствий не произошло, это стало главной темой в мире безопасности. Похожие атаки проводились также в феврале 2000 г. Хотя эта тема обсуждалась и до этого, тем не менее, это был первый пример такой длительной DDoS атаки, на несколько часов перекрывшей доступ легитимного трафика к главным серверам. Yahoo, eBay, Buy.com, и CNN – всего лишь некоторые из крупных сайтов, ставших недоступными в течение длительного периода времени. Сейчас, спустя почти три года, может ли оказаться, что мы все еще не защищены? К сожалению, ответ – да. В этой статье рассматриваются основы DDoS атак, как они работают, что делать, если вы стали целью атаки, и что может сделать сообщество по безопасности, чтобы предотвратить их. Что такое DoS? Чтобы понять инциденты, описанные выше, будет полезно отступить немного назад и рассмотреть более простую форму этой атаки – отказ в обслуживании. Отказ в обслуживании, или DoS - самая базовая категория атак в сфере компьютерной безопасности, которая может использоваться в нескольких вариантах. Этот термин может быть применен к любой ситуации, в которой атакующий пытается помешать использованию кем-либо какого-либо ресурса. Это может быть реализовано различными методами, физическими и виртуальными. Например, атакующий может перекрыть доступ к телефонной системе путем перерезания главного телефонного кабеля, идущего к зданию, непрерывных звонков по всем свободным телефонным линиям, или взломав мини-АТС. Во всех трех случаях, атакующий достигает цели, закрывая доступ пользователей к ресурсу, т. к. становится невозможно произвести ни входящие, ни исходящие звонки. Концепции DoS легко применимы к миру сетей. Маршрутизаторы и серверы могут обрабатывать ограниченный объем трафика в любой момент времени, в зависимости от таких факторов, как характеристика оборудования, количество памяти и полоса пропускания. Если этот предел превышается, новый запрос будет отвергнут. В результате, будет проигнорирован легитимный трафик, и пользователи получат отказ в доступе. Таким образом, атакующий, который хочет нарушить работу определенного сервиса или устройства, может сделать это, просто забросав цель пакетами, которые поглотят все доступные ресурсы. DoS не является обычным взломом, в котором целью атакующего является получение неавторизованного доступа, но может оказаться столь же зловредным. Цель DoS – нарушение работы и причинение неудобств. Успех измеряется в продолжительности хаоса. Примененные против ключевых целей, таких как корневые DNS сервера, эти атаки могут быть серьезной угрозой. Угроза DoS атак зачастую стоит на первом месте при обсуждении концепций информационной войны. Их легко осуществить, трудно остановить, и они очень эффективны. Что такое DDoS? Темой этой статьи является специфичный тип DoS, который реализует координированную атаку от множества источников. DDoS, известная как распределенная атака на отказ в обслуживании, легко выполняется в большой сети, и может быть ужасающе эффективной. DDoS можно рассматривать как продвинутую форму традиционной DoS атаки. Вместо того, чтобы один атакующий наводнял цель атаки трафиком, используется множество компьютеров в связанной конфигурации "master-slave". Процесс относительно прост. Взломщик получает доступ к множеству компьютеров, подсоединенных к Интернет (часто используя автоматизированные программы, известные как авторутеры) и устанавливает программное обеспечение DDoS (коих существует несколько вариантов). Это программное обеспечение позволяет атакующему удаленно управлять взломанным компьютером, делая его slave’ом. От устройства – master’а взломщик информирует slave’ов о цели и направляет атаку. Тысячи машин могут контролироваться из одной точки. Время старта, время остановки, адрес цели и тип атаки – все можно передать slave’ам от master’а через Интернет. Использованная для определенной цели одна машина может создать трафик в несколько мегабайт. Несколько сотен машин могут создать трафик в несколько гигабайт. Осознав это, легко понять, как разрушительна может быть эта внезапная высокая активность для практически любой цели. Технологии взлома сети различны. При достаточном количестве машин, эффективной будет атака любого типа: можно направить ICMP запросы на широковещательный адрес (Smurf атаки), поддельные HTTP запросы, фрагментированные пакеты, или случайный трафик. Цель будет наверняка так сокрушена, что перестанет работать вообще, или как минимум качество ее работы очень сильно упадет. Атака может быть направлена на любое сетевое устройство: маршрутизаторы (эффективно блокирует всю сеть), серверы (Web, mail, DNS), или специфичные компьютеры (firewalls, IDS). Почему так трудно противодействовать DDoS? Очевидно, что неожиданный, резко возросший трафик бросится в глаза любому компетентному системному администратору (если раньше не начнет звонить телефон и надрываться пейджер!). Однако, к сожалению, весь этот трафик будет наверняка подделанным, то есть истинный источник атаки будет скрыт. Это значит, что нет очевидного правила, которое позволит файрволлу защитить от этой атаки, так как трафик зачастую выглядит легитимным и может приходить откуда угодно. Так что же остается делать? Остается ужасно тяжелая и нудная задача: исследование DDoS. На каждом шаге в цепочке маршрутизаторов, которые пересылали злонамеренный трафик в вашу сеть нужно сделать множество административных контактов: телефонных звонков, e-mail, и исследований перехваченных пакетов. Это требует много времени, особенно если учесть, что сеть или компьютер в настоящее время не работают. Принимая во внимание, что slave’ы могут быть расположены по всему миру, печальная правда состоит в том, DDoS атака чаще всего прекращается по милости атакующего, чем из-за каких-либо действий, предпринимаемых системным администратором атакованной системы. Спасение от DDoS атак Существует множество шагов, которые можно предпринять для смягчения эффекта от DDoS атак. Как было упомянуто в предыдущем разделе, начинать нужно с процесса исследования. Определите, какой магистральный маршрутизатор (маршрутизатор, обрабатывающий основной трафик Интернет) передает пакеты на ваш граничный маршрутизатор (маршрутизатор, который соединяет вашу сеть с Интернет). Свяжитесь с владельцами магистрального маршрутизатора, наверняка это будет телекоммуникационная компания или ISP, и проинформируйте их о вашей проблеме. В идеале, у них должна быть соответствующая служба, которая займется вашим вопросом. Им, в свою очередь, нужно будет определить, откуда в их сеть приходит злонамеренный трафик и связаться с источником. Но от вас здесь уже ничего не зависит. Так что же тем временем можете сделать вы? Поскольку вы вряд ли сможете быстро остановить DDoS атаку, существует несколько шагов, которые могут помочь временно ослабить атаку. Если цель – единичная машина, простая смена IP адреса прекратит атаку. Новый адрес можно прописать на внутреннем DNS сервере и дать его только наиболее важным внешним пользователям. Это не очень красивое решение, но быстрое и действенное. Особенно оно применимо к ключевым серверам (например, почтовым, или баз данных), которые атакованы в вашей сети. Есть шанс, что могут помочь некоторые методики фильтрации. Если атака не фальсифицирована, можно обнаружить в трафике определенную сигнатуру. Тщательное исследование перехваченных пакетов иногда дает характерные следы, на основе которых вы можете создать ACL (access control lists – списки контроля доступа) маршрутизатора или правила файрволла. К тому же, большая часть трафика может исходить от определенного провайдера или магистрального маршрутизатора. В этом случае вы можете временно заблокировать весь трафик от этого источника, что позволит пройти части легитимного трафика. Помните при этом, что вы также блокируете «реальные» пакеты, или легитимный трафик, но этим придется пожертвовать. И последней возможностью, доступной для больших компаний и сетей, является установка дополнительного оборудования и увеличения пропускной способности во время атаки и ожидание ее прекращения. Конечно, это не лучшее решение, и не самое дешевое, но оно может временно устранить проблему. Важно подчеркнуть, что процесс исследования необходимо начать сразу. Без сомнения, придется сделать множество телефонных звонков, e-mail, факсов между вашей организацией, вашим провайдером и другими людьми и компаниями, имеющими к этому отношение. На это, конечно, уйдет много времени, так что лучше раньше начать. Предотвращение DDoS атак Проблема DDoS может быть решена только всеобщими усилиями и более жесткими стандартами безопасности. Во-первых, администраторы и домашние пользователи должны в одинаковой степени быть уверены, что их компьютеры защищены. Slave’ы, используемые в DDoS атаках – продукт работы авторутеров, программ, которые сканируют тысячи машин, взламывают те из них, которые уязвимы, и устанавливают программное обеспечение. Установка последних патчей, остановка ненужных сервисов, и использование базовой файрволл фильтрации помогут вашей машине не стать добычей и участником в таких атаках. Регулярно проверяйте свои компьютеры на наличие уязвимостей с помощью специальных сканеров, например XSpider. Наибольшая сложность при защите от DDoS состоит в поддельных IP адресах атакующих машин. Эта проблема может быть решена с использованием методики, называемой «исходящая фильтрация» (Egress filtering). Исходящая фильтрация анализирует пакеты, направленные в Интернет на граничном маршрутизаторе, стоящем перед магистральным маршрутизатором. Эти маршрутизаторы должны знать адреса всех устройств, стоящих за ним, поэтому все, что отправлено с других адресов – подделка. Поддельные пакеты должны отбрасываться до их попадания в Интернет или на магистральный маршрутизатор. Если сетевые администраторы установят такую фильтрацию по умолчанию, поддельные пакеты станут почти невозможными, что многократно сократит процесс идентификации в исследовании DDoS. К сожалению, в большинстве сетей эти фильтры отключены, и поддельные пакеты беспрепятственно проходят. IPv6, будущий IP стандарт, также имеет возможности защиты от этой фундаментальной сетевой проблемы. Всегда имейте под рукой список административных и технических контактов с вашим ISP. Узнайте также, имеет ли ваш провайдер методику обнаружения и работы с DDoS атаками в своей сети. Некоторые крупные провайдеры имеют сенсоры, которые определяют неожиданный рост трафика в определенных точках, что служит сигналом для обнаружения и изоляции крупных DDoS инцидентов. Если вы сейчас ищите провайдера, спросите его, что они делают с DoS атаками. Если у вас уже есть провайдер, задайте ему тот же вопрос. В зависимости от ответа вы можете принять решение сменить провайдера. Заключение Распределенные атаки на отказ в обслуживании очень эффективны, и их трудно остановить. Окончательное решение этой проблемы требует от мирового сетевого сообщества неусыпно следовать строгим стандартам безопасности. В настоящий момент лучшей техникой защиты является готовность к такой атаке. Очень важно иметь план реагирования на DDoS инцидент. А использование исходящей фильтрации является хорошим стандартом безопасности, гарантирующим, что машина, находящаяся под вашим контролем, не участвует в таких атаках. Осведомленное компьютерное сообщество может сделать DDoS сегодня пережитком прошлого.

#10
Skither

Отправлено 30 2009 - 10:54

Skither

    Свояк

  • Пользователи
  • 299 сообщений
Хорошо иметь нашего личного хакера, большое спасибо, недавно как раз какой-то сервер был закрыт на некоторое время из-за Ddos атаки, статьи просто супер много что стало полезно.