Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4606 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
493.doc
Скачиваний:
18
Добавлен:
30.04.2022
Размер:
8.68 Mб
Скачать
►Содержание►

5.2.1.3 Реализация атаки Smurf

Атака Smurf — это одна из наиболее опасных атак DoS, поскольку при ее реализации на целевые узлы осуществляется усиленное воздействие. Эффект усиления возникает из-за рассылки направленных широковещательных ping-запросов на узлы сети, которые должны сгенерировать ответные сообщения. Направленный широковещательный запрос может передаваться либо на сетевой адрес, либо на сетевой широковещательный адрес, однако в любом случае требуется устройство, выполняющее преобразование данных уровня 3 (IP) к уровню 2 (сеть). Для сети класса «С» сетевым адресом будет .0, а широковещательным адресом — .255. Направленные широковещательные запросы обычно используются для диагностики, позволяя выявить функционирующие узлы без применения утилиты ping отдельно для каждого адреса используемого диапазона.

Атака Smurf позволяет воспользоваться преимуществами рассылки широковещательных направленных запросов и требует как минимум трех участников: взломщика, «усиливающей сети» (amplifying network) и цели. Злоумышленник отправляет ложные ICMP-пакеты ECHO на широковещательный адрес усиливающей сети. Исходный адрес пакетов изменяется так, как будто бы сама жертва сгенерировала запрос. Как только пакет ECHO передается на широковещательный адрес, все системы усиливающей сети сгенерируют ответ на запрос узла-жертвы (если не запланированы какие-нибудь другие действия). Если взломщик отсылает один ICMP-пакет в усиливающую сеть, в которой содержится 100 узлов, генерирующих ответные сообщения на широковещательный запрос, то можно считать, что взломщик в сто раз увеличил эффективность атаки DoS. Отношение количества переданных пакетов к числу узлов, генерирующих ответные сообщения, назовем «коэффициентом усиления» (amplification ratio). Таким образом, взломщик постарается найти усиливающую сеть с большим коэффициентом усиления, чтобы увеличить вероятность насыщения трафика целевой сети.

Для того чтобы лучше познакомиться с атакой такого рода, рассмотрим пример (Рисунок 5.11). Предположим, что взломщик отправил n данных ICMP на широковещательный адрес усиливающей сети со ста узлами. Сеть взломщика подключена к Internet через двухканальное соединение ISDN; усиливающая сеть — через линию связи ТЗ (100 Мбит/с); а целевая сеть — через канал Т1 (10 Мбит/с). Нетрудно подсчитать, что в данном случае взломщику удастся сгенерировать 100*n данных, которые будут отправлены в целевую сеть. Канал связи атакуемой сети будет быстро занят.

Рисунок 5.11 - Топология реализации Smurf атаки

Стоит заметить, что в данный момент вероятность реализация такого типа атак в различных сетях сведёна к минимуму, так как многие производители сетевого оборудования и сетевых операционных систем, в настройках «по умолчанию» закладывают запрет на ответ на широковещательные запросы.

5.2.2 UDP-storm и Fraggle

DoS-атака UDP-storm имеет еще другое название Chargen или Echo-Chargen так как эта атака использует службы с данными названиями. UDP-служба chargen (порт 19) в ответ на UDP-запрос выдает пакет с набором символов, а UDP-служба echo (порт 7) возвращает пришедший пакет обратно. Таким образом, отосланные пакеты с порта 19 на порт 7 приводят к зацикливанию UDP-пакетов. Причем такой цикл можно создать как на одном узле, так и между двумя удаленными узлами, главное, чтобы на них были включены службы chargen и echo. Следует отметить, что вместо порта 7 с теми же целями может быть использован другой порт, автоматически отвечающий на любой направленный на него запрос, например, 13 (daytime) или 37 (time).

DoS-атака Fraggle подобна атаке Smurf, только в ней используются UDP-пакеты. Атакующий посылает обманные UDP-пакеты от имени "жертвы" на широковещательный адрес усиливающей сети (обычно на порт 7 (echo)). Каждый узел сети, в которой разрешен ответ на эхо-пакеты, возвратит пакеты узлу-жертве, вызвав на нем наводнение.

Рассмотрим реализацию атаки ICMP-storm. Топология атакуемой подсети останется прежней (Рисунок 5.3). На хост C3 порт 7 будут отправляться UDP-пакеты с обратным адресом «жертвы» и портом 19. Атакующий – хост C4. Данный атака должна вызвать зацикливание пакетов (рисунок 5.13), а, следовательно, максимальную загрузку центрального процессора.

Атака инициализируется запуском атакующей утилиты:

timur:/home/timur/testc/udpstorm # ./udpstorm 192.168.12.51 19 192.168.12.51 7

Первый и второй параметр – IP-адрес и порт отправителя. Далее идет IP-адрес и порт получателя UDP-пакета. Для того, что осуществить зацикливание пакетов данная утилита подделывает адрес и порт отправителя.

В ходе атаки на атакуемом узле наблюдается максимальная загрузка центрального процессора (Рисунок 5.12).

Рисунок 5.12 - Уровень загрузки процессора при атаке UDP-storm

Рисунок 5.13 - Схема реализации атаки UDP-storm с зацикливанием пакетов между портами жертвы

В данном случае на обработка UDP-пакетов тратиться максимальное количество процессорного времени атакуемой системы. Таким образом, сервисы, запущенные на атакуемом узле начинают испытывать «дефицит» системных ресурсов и не могут нормально функционировать. Это может повлечь за собой невозможность их использования удаленными хоста, то есть вызвать отказ в обслуживании.

Подобно портам 19 и 7, для атаки, возможно использовать и другие порты, на которых запущены службы, использующие для обмена информацией UDP-пакеты. Определить номера портов открытых на прием UDP-дейтаграмм можно с помощью UDP-сканера портов.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности