Уязвимость удаленных соединений


Атаки DoS


Атаки DoS
Атаки DoS Взрыв и медленно рассеивающееся облако. Нет, сейчас речь пойдет не о детском безалкогольном напитке. Мы познакомимся с различными средствами, которыми пользуются взломщики. В последние г...
Атаки DoS систем UNIX и Windows NT
Атаки DoS систем UNIX и Windows NT Последние двадцать лет популярность системы UNIX неустанно возрастает. И это абсолютно закономерно, поскольку эта система обладает мощью, элегантностью и позвол...
Удаленные атаки DoS
Удаленные атаки DoS В настоящее время большинство условий DoS связано с ошибками в программировании, которые имеют отношение к реализации стека IP различными разработчиками. Как упоминалось в гла...
Перекрытие фрагментов пакетов IP
Перекрытие фрагментов пакетов IPЭти атаки связаны с изъянами в программном коде определенной реализации стека IP, который используется для восстановления пакетов. Когда пакеты проходят через разли...
Контрмеры
КонтрмерыОшибки, используемые в описанных выше атаках, были исправлены в более поздних версиях ядра 2.0.x и 2.2.x. Для обеспечения защиты обновите ядро операционной системы до версии 2.0.x или 2.2...
Утечка памяти в Windows NT именованные каналы поверх RPC
Утечка памяти в Windows NT -именованные каналы поверх RPCВ системе Windows NT возможна утечка памяти, управляемой файлом spoolss.exe, позволяющая неавторизованному пользователю подсоединиться к ре...
Контрмеры предотвращение утечки памяти
Контрмеры: предотвращение утечки памятиДля предотвращения этой атаки через нулевое соединение нужно удалить параметр SPOOLSS, расположенный в поддереве системного реестра HKLM\System\CCS\ Services...
Переполнение буфера в FTPсервере IIS
Переполнение буфера в FTP-сервере IISКак вы узнали из главы 8, атаки с использованием переполнения буфера чрезвычайно эффективны при нарушении зашиты уязвимых систем. Кроме того, переполнение буфе...
Контрмеры защита от переполнения буфера в RPсервере IIS
Контрмеры: защита от переполнения буфера в RP-сервере IISОписанную проблему позволяют устранить сервисный пакет SP5 и модули обновления, выпушенные компанией Microsoft после появления сервисного п...
Атаки stream и raped
Атаки stream и rapedПрограмма stream, с (неизвестного автора) и raped.с, написанная Ликвидом Стилом (Liquid Steel), появились в начале 2000 года. С их использованием можно осуществить две похожие...
Контрмеры защита от атак stream и raped
Контрмеры: защита от атак stream и rapedК сожалению, для защиты от таких атак модули обновления выпущены лишь для некоторых операционных систем. Нам неизвестно о каких-либо модулях обновления Wind...
Атака на сервер ColdFusion
Атака на сервер ColdFusionЭта атака была исследована в июне 2000 года компанией Foundstone. Она основана на ошибке программы и позволяет нарушить функционирование сервера. Условие DoS возникает в...
Контрмеры
КонтрмерыПодробные рекомендации по устранению этого изъяна приведены в главе 15, "Хакинг в Web"....
Распределенные атаки DoS
Распределенные атаки DoS В сентябре 1999 года в момент появления первого издания этой книги концепция распределенных атак DoS была не более чем предположением. А сейчас разговор о компьютерах без...
TFN
TFNПакет TFN (Tribe Flood Network), разработанный хакером Микстером (Mixter), является первым общедоступным средством реализации атаки DDoS, который предназначен для использования в системе UNIX....
Контрмеры
Контрмеры...
Обнаружение
ОбнаружениеДля выявления атак TFN существует несколько механизмов, и соответствующие средства можно найти в Internet. К заслуживающим внимания инструментам можно отнести следующие: DDOSPing Робина...
Предотвращение
ПредотвращениеКонечно, наилучшая зашита компьютеров от использования в качестве "зомби" заключается в предотвращении их взлома на начальной стадии атаки. Это означает, что нужно реализов...
Trinoo
TrinooКак и TFN, в состав пакета Trinoo входит программа удаленного управления (клиент), которая взаимодействует с основной программой, передающей команды программе-демону (серверу). Взаимодействи...
Контрмеры защита от использования пакета Тrinоо
Контрмеры: защита от использования пакета Тrinоо...
Обнаружение
ОбнаружениеДля выявления атак Trinoo существует несколько механизмов, и соответствующие средства можно найти в Internet. К заслуживающим внимания инструментам можно отнести следующие: DDOSPing Роб...
Предотвращение
ПредотвращениеКак и в случае пакета TFN, наилучшая зашита состоит в применении всех рекомендаций, приведенных в главе 8. Для того чтобы предотвратить нападение на ваши компьютеры узлов-зомби, реа...
Stacheldraht
StacheldrahtПакет Stacheldraht комбинирует возможности Тrinоо и TFN и является мощным деструктивным средством, реализующим зашифрованный сеанс telnet между главным и подчиненным модулем. Теперь вз...
Контрмеры
Контрмеры...
Обнаружение
ОбнаружениеДля выявления атак Stacheldraht существует несколько механизмов, и соответствующие средства можно найти в Internet. К заслуживающим внимания инструментам можно отнести следующие: DDOSPi...
Предотвращение
ПредотвращениеКак и ранее, лучше всего предотвратить использование компьютеров в качестве "зомби". Это означает, что необходимо учесть все рекомендации, приведенные в главе 8, т.е. огран...
TFN2K
TFN2KАббревиатура TFN2K — это обозначение пакета TFN 2000. который является преемником пакета TFN, разработанного хакером Микстером (Mixter). Это одно из самых последних средств DDoS, которое прин...
Контрмеры
Контрмеры...
Обнаружение
ОбнаружениеДта выявления атак TFN2K существует несколько механизмов, и соответствующие средства можно найти в Internet. К заслуживающим внимания инструментам можно отнести следующие: DDOSPing Роб...
Предотвращение
ПредотвращениеКак и ранее, лучше всего предотвратить использование компьютеров в качестве "зомби". Это означает, что необходимо учесть все рекомендации, приведенные в главе 8, т.е. огран...
WinTrinoo
WinTrinooШирокой общественности программа WinTrinoo впервые была представлена группой Razor. Это версия пакета Trinoo, предназначенная для использования в системе Windows. Это средство представляе...
Контрмеры
КонтрмерыДля того чтобы выявить программу WinTrinoo, нужно проверить сеть на предмет открытого порта с номером 34555 или выполнить поиск файла с именем service. ехе (если он не был переименован) р...
Локальные атаки DoS
Локальные атаки DoS Несмотря на то что удаленные атаки DoS получили большее распространение, локальные атаки тоже способны принести немало бед. Существует множество многопользовательских систем, в...
Терминальный сервер Windows NT и процесс proquota ехе
Терминальный сервер Windows NT и процесс proquota. ехеКлассическим примером атаки, направленной на захват ресурсов, является использование свободного дискового пространства сверх выделенной квоты....
Контрмеры
КонтрмерыПрактика подсказывает, что системные файлы и пользовательские данные лучше всего хранить в разных разделах. Эта аксиома как нельзя лучше подходит к приведенному примеру. Переменная %syste...
Паника ядра
Паника ядраВ ядре системы Linux версии 2.2.0 появлялась потенциальная возможность для возникновения условия DoS, если программа idd, используемая для печати зависимостей совместно используемых биб...
Контрмеры против паники ядра
Контрмеры против паники ядраМодуль обновления, позволяющий заделать эту брешь в программном обеспечении, был встроен в ядро версии 2.2.1. Практически ничего нельзя сделать для исправления ошибок в...
Резюме
Резюме Как вы убедились при чтении этой главы, существует много типов атак DoS, с использованием которых злоумышленники могут нарушить функционирование различных служб. Атаки, направленные на насы...
Причины использования атак DoS
Причины использования атак DoSНа протяжении этой книги обсуждались и демонстрировались многочисленные средства и приемы, используемые взломщиками для нарушения системы защиты различных систем. За...
Типы атак DoS
Типы атак DoSЗачастую гораздо проще нарушить функционирование сети или системы, чем на самом деле получить к ней доступ. Сетевые протоколы типа TCP/IP были разработаны для применения в открытом и...
Насыщение полосы пропускания
Насыщение полосы пропускания Наиболее коварной формой атак DoS является насыщение полосы пропускания (bandwidth consumption). По существу, взломщики могут заполнить всю доступную полосу пропускан...
Сценарий 1
Сценарий 1Взломщик может насытить сетевое подключение целевой системы, воспользовавшись более широкой полосой пропускания. Такой сценарий вполне возможен, если злоумышленник обладает сетевым подкл...
Сценарий 2
Сценарий 2Взломщики усиливают атаку DoS, вовлекая в процесс насыщения целевого сетевого соединения несколько узлов. Воспользовавшись таким подходом, сеть с доступом ТЗ (45 Мбит/с) можно насытить с...
Недостаток ресурсов
Недостаток ресурсов Атака, приводящая к недостатку ресурсов (resource starvation), отличается от предыдущей атаки тем, что она направлена на захват системных ресурсов, таких как центральный проце...
Ошибки программирования
Ошибки программирования Ошибки программирования (programming flaw) заключаются в неспособности приложения, операционной системы или логической микросхемы обрабатывать исключительные ситуации. Обы...
Маршрутизация и атаки DNS
Маршрутизация и атаки DNS Такие атаки DoS основываются на манипуляции записями таблицы маршрутизации, что приводит к прекращению обслуживания легитимных систем или сетей. Большинство протоколов ма...
Общие атаки DoS
Общие атаки DoS Некоторые атаки DoS можно использовать для нескольких типов систем. Мы будем называть такие атаки общими (generic). В основном общие атаки направлены на насыщение полосы пропускан...
Атака Smurf
Атака SmurfАтака Smurf — это одна из наиболее опасных атак DoS, поскольку при ее реализации на целевые узлы осуществляется усиленное воздействие. Эффект усиления возникает из-за рассылки направлен...
Контрмеры защита от атак Smurf
Контрмеры: защита от атак SmurfДля того чтобы предотвратить возможность использования вашей сети (компьютера) для усиления, запретите прохождение направленных широковещательных запросов на пограни...
Системы Solaris 2 6 2 5 1 2 5 2 4 и 2 3
Системы Solaris 2.6, 2.5.1, 2.5, 2.4 и 2.3Чтобы предотвратить генерацию ответных сообщений на запросы ECHO в системах Solaris, добавьте в файл /etc/rc2 .d/S69inet следующую строку, ndd -set /dev/i...
Linux
LinuxДля того чтобы обеспечить такую же защиту в системе Linux, необходимо активизировать функции брандмауэра на уровне ядра с помощью утилиты ipfw. Убедитесь, что эти требования учтены при компил...
FreeBSD
FreeBSDСистема FreeBSD версии 2.2.5 и выше запрещает обработку направленных широковещательных запросов по умолчанию. Этот режим можно активизировать или отключить, изменив параметр sysctl в файле...
AIX
AIXСистема AIX 4.x запрещает генерировать ответные сообщения на широковещательные запросы по умолчанию. Для переключения этого режима можно воспользоваться командой по с параметром bcastping. Эта...
Все версии системы UNIX
Все версии системы UNIXДля того чтобы предотвратить генерацию узлами сообщений в ответ на атаку Fraggle, отключите службы echo и chargen в файле /etc/inetd/conf, поместив в начало соответствующих...
Узлы под воздействием атак
Узлы под воздействием атак Конечно, очень важно понимать, как предотвратить возможность использования узла в качестве усилителя атаки, однако еще важнее разобраться в том, как определить, что узе...
Атака с помощью переполнения пакетами SYN
Атака с помощью переполнения пакетами SYNДо того как атака Smurf не стала такой популярной, наиболее разрушительной считалась атака с помощью переполнения пакетами SYN. Упоминавшаяся в начале этой...
Соединение SYN
Рисунок 12.1. Соединение SYN В обычной ситуации пакет SYN отсылается с определенного порта системы А на конкретный порт системы в, который находится в состоянии LISTEN. В этот момент потенциально...
Контрмеры защита от атак с использованием пакетов SYN
Контрмеры: защита от атак с использованием пакетов SYNЧтобы определить, подвержена ли атаке ваша система, можно воспользоваться командой netstat, если она поддерживается операционной системой. Мно...
Увеличение размера очереди на установку соединений
Увеличение размера очереди на установку соединенийНесмотря на то что стек протокола IP каждым производителем реализуется по-своему, вполне возможно настроить размер очереди на установку соединений...
Уменьшение периода ожидания установки соединения
Уменьшение периода ожидания установки соединенияСокращение интервала ожидания установки соединения также поможет снизить влияние атаки. Тем не менее, это тоже не самое оптимальное решение проблемы...
Использование пакетов обновления
Использование пакетов обновления программного обеспечения и защита от потенциальных атак SYNКак следует из названия подраздела, большинство современных операционных систем имеет встроенные механиз...
Использование сетевых систем IDS
Использование сетевых систем IDSНекоторые системы IDS уровня сети могут обнаруживать и активно противодействовать атакам SYN. Такие атаки можно обнаружить по возросшему потоку пакетов SYN, который...
Атаки DNS
Атаки DNSВ 1997 году группа специалистов по вопросам безопасности Secure Networks, Inc. (SNI), которая в настоящее время называется Network Associates, Inc. (NAI), опубликовала отчет о различных и...
Контрмеры защита службыDNS
Контрмеры: защита службыDNSДля разрешения проблем службы BIND обновите ее версию до 4.9.6 или 8.1.1 и выше. Поскольку изъян многих версий BIND связан с возможностью повреждения буфера, лучше всего...


Начало



Книжный магазин