Ø прийом від клієнта RST-пакету у відповідь на SYN/ACK.
На жаль, при достатньо розумній поведінці крекера (наприклад, сканування з низькою швидкістю або перевірка лише конкретних портів) детектувати пасивне сканування неможливо, оскільки воно нічим не відрізняється від звичних спроб встановити з'єднання.
Як захист можна лише порадити закрити на firewall всі сервіси, доступ до яких не потрібен ззовні.
Затоплення ICMP-пакетами
Традиційний англомовний термін - "ping flood". З'явився він тому, що програма "ping", призначена для оцінки якості лінії, має ключ для "агресивного" тестування. У цьому режимі запити посилаються з максимально можливою швидкістю і програма дозволяє оцінити, як працює мережа при максимальному навантаженні.
Дана атака вимагає від крекера доступу до швидких каналів в Інтернет.
Пригадаємо, як працює ping. Програма посилає ICMP-пакет типа ECHO REQUEST, виставляючи в ньому час і його ідентифікатор. Ядро машини-одержувача відповідає на подібний запит пакетом ICMP ECHO REPLY. Одержавши його ping видає швидкість проходження пакету.
При стандартному режимі роботи пакети вислаются через деякі проміжки часу, практично не навантажуючи мережу. Але в "агресивному" режимі потік ICMP echo request/reply-пакетов може викликати перевантаження невеликої лінії, позбавивши її здатності передавати корисну інформацію.
Природно, випадок з ping є окремим випадком загальнішої ситуації, пов'язаний з перевантаженням каналів. Наприклад, крекер може посилати безліч UDP-пакетів на 19-й порт машини-жертви, і горе їй, якщо вона, слідуючи загальноприйнятим правилам, має на 19-у UDP-порту знакогенератор, що відповідає на пакети строчками по 80 байт.
Помітимо, що крекер може також підроблювати зворотну адресу подібних пакетів, утрудняючи його виявлення. Відстежити його допоможе хіба що скоординована робота фахівців на проміжних маршрутизаторах, що практично нереальність.
Однієї з варіантів атаки - посилати ICMP echo request-пакети з початковою адресою, вказуючому на жертву, на broadcast-адреси крупних мереж. В результаті кожна з машин відповість на цей фальшивий запит, і машина-відправник одержить більше кількість відповідей. Посилка безліч broadcast-echo requests від імені "жертви" на broadcast-адреси крупних мереж, можна викликати різанням заполнененіє каналу "жертви".
Прикмети затоплення - різко збільшене навантаження на мережу (або канал) і підвищення кількість специфічних пакетів (таких, як ICMP).
Як захист можна порекомендувати настройку маршрутизаторів, при яких вони фільтруватимуть той же ICMP трафік, перевищуючі деяку задану наперед величину (пакетов/ед. часу). Для того, щоб переконатися, що Ваші машини не можуть служити джерелом ping flood'а, обмежте доступ до ping (наприклад, багато реалізацій
Локальна буря
Зробимо невеликий відступ у бік реалізації TCP/IP і розглянемо "локальні бурі" на приклад UDP-бурі. Як правило, за умовчанням системи підтримують роботу таких UDP-портів, як 7 ("луна", одержаний пакет відсилається назад), 19 ("знакогенератор", у відповідь на одержаний пакет відправнику вислаєтся рядок знакогенератора) і інших (date etc).
В даному випадку крекер може послати єдиний UDP-пакет, де як початковий порт буде вказаний 7, як одержувач - 19-й, а як адреса одержувача і відправника будуть вказані, наприклад, дві машини вашої мережі (або навіть 127.0.0.1). Одержавши пакет, 19-й порт відповідає рядком, який потрапляє на порт 7. Сьомий порт дублює її і знов посилає на 19.. і так до безкінечності.
Нескінченний цикл з'їдає ресурси машин і додає на канал безглузде навантаження. Звичайно, при першому втраченому UDP-пакеті буривши припинитися. Як недавно стало відомо, дана атака тимчасово виводить з ладу (до перезавантаження) деякі старі моделі маршрутизаторів.
Очевидно, що в нескінченну розмову можуть бути залучені багато демонів (у разі TCP/IP може бути застосований TCP/IP spoofing, у разі UDP/ICMP досить пари фальшивих пакетів)
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.