3. Smurf-атака

Атака SMURF являются разновидностью атаки DDoS, так как имеет эффект усиления, являющийся результатом отправки прямых широковещательных запросов рing к системам, которые обязаны послать ответ.

Принцип реализации атаки.

Атакующий компьютер посылает мистифицированный пакет IСМР ЕСНО по адресу широковещательной рассылки усиливающей сети. Адрес источника запроса заменяется адресом жертвы. Так как пакет ЕСНО послан по широковещательному адресу, все системы данной сети должны ответить компьютеру-жертве (если только конфигурация не определяет другого поведения). Послав одно IСМР-сообщение в сеть из 100 систем, атакующий обеспечивает усиление атаки DDoS примерно в сто раз. Так как коэффициент усиления зависит от состава сети, атакующему необходимо найти большую сеть, способную полностью подавить работу системы-жертвы.

Обнаружение SMURF-атаки.

Сообщение IСМР ЕСНО REPLY:

21:33:47.454618 IP 192.168.1.3 > 192.168.1.2: ICMP echo reply, id 1, seq 9, length 40

Данное сообщение приходит только в качестве ответа на запрос вида:

21:33:47.454210 IP 192.168.1.2 > 192.168.1.3: ICMP echo request, id 1, seq 9, length 40

Сообщению IСМР ЕСНО REPLY всегда должно предшествовать сообщение IСМР ЕСНО REQUEST с одинаковыми номерами последовательности (параметром seq). Однако существует вероятность того, что сообщения IСМР ЕСНО REQUEST были отправлены, но не были пойманы анализатором трафика (сниффер запустили после отправки данных запросов), поэтому определенное количество запросов ЕСНО REPLY без запросов ЕСНО REQUEST всё-таки возможно обнаружить. Одним широковещательным IСМР-сообщением в сети реализовать SMURF-атаку не получится, значит, таких сообщений должно быть довольно много. Локальная сеть, в которой будет использоваться лабораторной стенд, состоит из 11 компьютеров. Приняв в качестве нормы вероятность потери 1 IСМР-запроса, получаем, что при посылке одного широковещательного запроса, на него откликнутся 10 компьютеров сети. Таким образом, при обнаружении 11 сообщений IСМР ЕСНО REQUEST без предшествующих на них запросов, можно говорить об атаке.

Рисунок 15. Алгоритм обнаружения атаки SMURF

4. Land-атака

Атака Land использует уязвимости реализаций стека TCP/IP в некоторых операционных системах. На сегодня такой уязвимости подвержены все версии ОС Windows NT/95.

Принцип атаки заключается в том, что на открытый порт компьютера-жертвы передаётся TCP-пакет с установленным флагом SYN, исходный адрес и порт данного пакета соответственно равны адресу и порту атакуемого компьютера. Загрузка процессора сильно возрастает в результате того, что компьютер-жертва пытается установить соединение сам с собой, может произойти «зависание» системы или ее перезагрузка.

Рисунок 16. Алгоритм обнаружения атаки LAND

Обнаружение атаки заключается в поиске пакета с флагом SYN и одинаковыми сокетами (совокупность порта и IP-адреса) отправителя и получателя.

5. Атака на сервисы Windows

Атака осуществляется путем отправки большого количества пакетов в единицу времени на компьютер-жертву. Как правило, выбираются порты, использующиеся протоколом NetBIOS. NetBIOS является протоколом для работы в локальных сетях и представляет из себя интерфейс сеансового уровня. Он обеспечивает выполнение сетевых операций ввода/вывода, а так же управляет транспортным протоколом, в качестве которого могут выступать либо TCP, либо UDP протоколы. По умолчанию порты протокола NetBIOS открыты, поэтому приложения могут через NETBIOS найти необходимые им ресурсы и установить связь, а так же послать или получить информацию.

Порты данного протокола:

• порт № 137 – используется для службы имен;

• порт № 138 – используется для службы дейтограмм;

• порт № 139 – используется для сессий;

Уязвимыми можно считать и порты № 135, 445. Порт 135 используется для удаленного управления служб, включая DNS-сервер, в то время как 445 используется в Microsoft Windows 2000 и поздних версий для прямого TCP/IP-доступа без использования NetBIOS (например, в Active Directory). Порт № 445 способен предоставить также доступ к жесткому диску персонального компьютера.

Лабораторный стенд сообщает об атаке при интенсивности поступления пакетов на данные порты более чем 1000 в секунду. Такая интенсивность может свидетельствовать о наличии DoS- или DDos-атаке.

Рисунок 17. Алгоритм обнаружения атаки на сервисы Windows