Здравствуйте, гость ( Вход | Регистрация )



Гостевой доступ к форуму из Москвы: Телефоны: +7(495)7859696,7376201,7376233,7868796,7390241 Login: demo Password: demo
 
ОтветитьСоздать новую тему
> Dos Атаки и защита
Metallica
сообщение Apr 2 2007, 08:57
Сообщение #1


Oбиженный жизнью заморыш
Group Icon

Группа: Administrators
Сообщений: 2 136
Регистрация: 4-August 06
Из: Матрица
Пользователь №: 504
Имя: TONY MONTANO
Настроение: KILL EM ALL
Заходит на форум с гостевика или полного инета.



Исследование устойчивости ОС семейства Windows к DoS-атакам


Ни для кого не секрет, что у большинства юзеров стоит Windows, а его дефолтовые настройки оставляют желать лучшего. Правда, тут не приходится удивляться, ведь эта система никогда и не была безопасной, несмотря на все усилия мелкомягких... И как ты, наверное, догадался, в этой статье я решил провести небольшое исследование устойчивости ОС семейства Windows к DoS-атакам. Конечно, этот материал не претендует на революционность и уникальность, но является познавательным обзорным текстом с минимумом теории и максимумом практики...

Что такое DoS?

Знаю, вопрос глупый :-)... Но для полноты картины стоит об этом рассказать. DoS (Denial of Service - отказ в обслуживании) - это вид атаки, желаемый результат которой либо замедление работы удаленной/локальной системы, либо ее аварийное завершение. Многие думают, что DoS-атаками занимаются дети. Дети-то, конечно, ими занимаются, но что-то серьезное они вряд ли смогут сделать. Вообще, если дефейс бьет по авторитету компании в глазах ее партнеров, то отказ в обслуживании может привести к очень серьезным финансовым потерям. Например, сколько убытков может принести неработоспособность какого-нибудь крупного интернет-магазина в течение нескольких дней? По сути, "реальная" DoS/DDoS атака - спланированное мероприятие, на подготовку которого уходит не одна неделя, и как ни странно, такое событие вызывает не меньший резонанс, чем тот же дефейс...

Практика 95 и targa2

Здесь мы побеседуем о многофункциональных программах, реализующих сразу несколько типов DoS-атак (скачивать и компилировать большое количество исходников несколько неудобно). Некоторые атаки на 95-е можно провести с помощью утилиты targa2, написанной еще в 99 году Микстером (Mixter):

# gcc -Wall -O2 targa2.c -o targa2

# ./targa2 x

targa 2.1 by Mixter

usage: ./targa2 <startIP> <endIP> [-t type] [-n repeats]

В targa2 доступно 11 видов атак. Информацию о них ты всегда сможешь найти в Сети. Теперь приступим к самому тестированию. Windows 95 OSR2 подвисает (иногда появляется синий экран смерти) при атаках Bonk (1), nestea (4), newtear (5), syndrop (6), teardrop (7), winnuke (8). Возможно, "чистая" версия 95-х будет уязвима к большему количеству атак, но проверять это предположение я не стал, т.к. задача уже была выполнена...

Стоит заметить, что в targa2 несколько неправильно реализованы атаки syndrop, oshare и 1234, при которой Win95 также радостно подвисает. Поэтому, в случае необходимости, качай дополнительные исходники. А вообще, это необязательно, можно просто использовать значение 0 для проведения сразу всех видов атак:

# ./targa2 169.254.178.0 169.254.178.200 -t 0 -n 10

К сожалению, targa2 подходит только для атаки на Win95. По результатам моих независимых исследований :-), 95-е окна уязвимы примерно к 20 DoS-атакам!!! Описывать их здесь нет смысла, так что идем дальше...

98/98SE/Me

Как и 95-е, 98-е не отличаются устойчивостью к DoS-атакам. Во-первых, их очень просто отрубить от Сети - для этого есть утилиты kox/kod/trash2 из пакета toast, который содержит более 50 (!) реализаций DoS-атак, направленных не только на windows-based системы, но и на Linux, *BSD, сетевое оборудование и т.д. При использовании вышеописанных атак появляется синий экран смерти, из которого можно выйти после нажатия any key. Сеть же будет нормально функционировать только после перезагрузки. Что ж, запустим toast (обычный скрипт на шелле):

Usage: ./toast.sh <dest ip> <src ip> <dest port| -s> <attack>

И выполним намеченные атаки через скрипт toast:

# ./toast.sh 169.254.178.209 1.1.1.1 139 7

В результате будут использоваться все атаки на Windows 98/2000/NT. Если это на фиг не сдалось, то проще перейти в каталог bin и запускать отдельные утилиты оттуда. Вот, например, trash2:

# ./trash2 169.254.178.209 5

Повесить 98-е винды вполне реально, например, при помощи oshare_1_gou, koc или pimp/pimp2. Немного сложнее с Windows ME (Millenium Edition). Он не подвержен вышеописанным атакам. Похоже, ребята из микрософта все же подработали стек TCP/IP. Но стоит заметить, что система !КРАЙНЕ! уязвима к различным методам флуда. Для этого можно использовать специальные утилиты, например, nbtstream, oshare1 и прочие. Кроме того, помогают программы, проводящие так называемые stress тесты. Например: ISIC, hammerhead и другие.

Это еще раз доказывает, что стек TCP/IP указанных ОС до сих пор несовершенен, и лучше всего изолировать их от сети (как глобальной, так и локальной). Системы типа Win9x/Me давно отжили свой век, но, тем не менее, являются основной ОС на миллионах машин. Более того, они используются для доступа в локальную и/или глобальную сеть. С одной стороны, это печально, с другой же - весьма радостно.

Windows NT/2k/XP

Сейчас уже довольно трудно найти NT 4.0, но все же посмотрим, каким атакам она подвержена. Авось пригодится. NT, например, валит jolt2, который "грубо" перезагружает систему или RFPoison, "останавливающий" services.exe (а от него зависит очень многое). Кстати, некоторые из типов атак targa2 можно применить и на NT, например: land, 1234, oshare.

Что касается 2k/XP, здесь микрософт серьезно призадумался над стабильностью стека TCP/IP (да и не только его), т.к. эти системы очень отличаются от всех предыдущих версий (естественно, в лучшую сторону)... Скажу честно - эра однопакетных убийц закончилась. Нет, не совсем умерла. Есть приличное количество исходников, реализующих DoS-атаки, например: smbnuke, jolt2, upnp_udp, immunity_svchostkill и др. Но они работают 50/50 (могут завесить, а могут и нет). К примеру, upnp_udp будет вешать XP только при выключенном ICF (Internet Connection Firewall). immunity_svchostkill у меня завесил Win2k SP2, но это почему-то было всего один раз. SP3 протестировать не удалось, правда сам автор утверждает, что именно на SP3 immunity_svchostkill и рассчитана. На XP Professional immunity_svchostkill вообще не пошел... smbnuke завесил и "чистую" Win2k, а также W2k + SP2. jolt2 полностью "замораживает" W2k/W2k SP2, но это происходит только во время атаки, т.е. если убить процесс, то система продолжает нормально функционировать.

Есть еще и другие DoS-утилиты, но, к большому сожалению, они написаны под Win32. Это будет весьма тормозящим фактором, особенно с учетом того, что большинство серверов, где тестят все эти фишки, работают под никсами.

Флуд

Любая сетевая операционная система подвержена флуд-атакам. Некоторые системы справляются с этим лучше, некоторые хуже. Windows относится ко второму типу (а ты чего ожидал?). Но ее стабильность увеличивается по схеме "9x -> Me -> NT -> 2k -> XP" (схема, конечно, относительная).

Тем не менее, если у кого-нибудь есть широкий канал, то зафлудить windows-based систему не составит никакого труда. Если же такого канала нет, то можно пойти другим путем, например, применить атаку типа Smurf.

Будущее DoS (мое имхо)

Эра однопакетных убийц закончилась, но время от времени Сеть еще будут сотрясать подобные исходники. Так называемые "системно-направленные атаки" стали менее интересными, потому что не дают стопроцентной гарантии успеха (особенно, если дело касается 2k/XP). Все идет к разрастанию различных методов флуда и DDoS. Именно эти атаки дают наилучший результат при грамотном подходе.

Х-Релиз: dtdos

И на закуску от Х: утилита dtdos. Это простенький шелл-скрипт, демонстрирующий различные уязвимости ОС Windows (применительно к DoS). Он объединяет возможности пакетов datapool (by spender <spender@exterminator.net>) и toast (by Gridmark <kill@technologist.com>). Некоторые программы из этих пакетов были удалены либо из-за неработоспособности, либо из-за дублирования (повторные программные реализации одной DoS-атаки). Кроме того, из пакета я убрал DoS'еры под сетевое оборудование и системы Linux/*BSD. dtdos создана для проверки уязвимости удаленных систем. Она проводит следующие атаки на 95 винды: fawx, trash, trash2, bloop, flushot, syndrop, 1234, boink, teardrop, bonk, nestea2, nestea, newtear, winnuke, killwin, jaypee.

Некоторые приводят к мертвому зависанию, другие же отрубают от Сети. Лекарство - перезагрузка. Все это добро тестировались на Windows 95 OSR2. Причем не на "голой" системе, а вместе с сетевой защитой. Вот результаты:

Фаервол Версия Результат

----------------------------------------------------------------------

AtGuard 3.1 виснет намертво

Kerio Personal Firewall 2.1.0 виснет намертво

FobiaSoft Guardian 2.0 виснет намертво

----------------------------------------------------------------------

Под 98/98SE задействованы атаки: oshare, pimp2, koc, kod, pimp, trash2. Все реализации тестировались на Windows 98/98 SE (Second Edition). Под системы NT/2k/XP добавлено immunity_svchostkill, smbnuke, xp3me и jolt2. Кроме того, использовано более 10 утилит для флуда. Вот пример использования:

# ./dtdos

dtdos v0.1beta by stalsen <stalsen@real.xakep.ru>

Использование:

./dtdos [адрес_жертвы] [адрес_источника] [тип_атаки]

Пример:

./dtdos windows.host.er 1.1.1.1 2

[тип_атаки]:

1 - Win 95 DoS

2 - Win 98/98SE/Me DoS

3 - Win NT/2k/XP DoS

4 - Win 9x/Me/NT/2k flood

# ./dtdos [win98_ip_or_hostname] [spoofed_addr] 2 - необходимо завесить машину с Win98

# ./dtdos [win98_ip_or_hostname] [spoofed_addr] 3 - цель - NT/2k/XP.

Параметр [spoofed_addr] будет передаваться только программам, поддерживающим данную возможность. Ты также можешь обновлять dtdos, достаточно скачать из Сети какой-нибудь исходник DoS-реализации, скомпилировать его и добавить в скрипт.

Выводы

Решение проблемы DoS, в принципе, довольно простое (заметь, речь идет не о DDoS и не о флуде) - установка необходимых патчей и обеспечение хотя бы минимальной сетевой защиты (например, установка фаервола или системы обнаружения атак). Также необходимо переходить на более свежие версии Windows. Поэтому, если ты счастливый обладатель серии 95/98/Me, тебя можно только поздравить и посоветовать установить 2k/XP. А вообще, главное - следить за багтраком, читать новости и вовремя ставить заплатки. Тогда ты будешь недоступен для сетевых подонков.



--------------------
Самые лучшие отзывы обо мне : [лопатой мозги вправить ], [Oбиженный жизнью заморыш],[ грубый и туповатый] , [не хватает интеллекта смотреть на мир шире. И все враги.], [озлобленный мальчик, помешанный на «членах» ] , [узколобость и шовинизм - это к имбецилам и другим болезням]
Пользователь offlineПрофайлОтправить личное сообщение
Вернуться к началу страницы
+Цитировать сообщение

ОтветитьСоздать новую тему
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0

 

- Текстовая версия Сейчас: 17th April 2021 - 18:01
 
     
Rambler's Top100 службы мониторинга серверов
Gentoo Powered Lighttpd Powered