Распределенные атаки DoS
Контрмеры
Обнаружение
Для выявления атак TFN существует несколько механизмов, и соответствующие средства можно найти в Internet. К заслуживающим внимания инструментам можно отнести следующие: DDOSPing Робина Кейра, Zombie Zapper от группы Razor и find_ddos, разработанный центром NIPC (National Infrastructure Protection Center).
Предотвращение
Конечно, наилучшая зашита компьютеров от использования в качестве "зомби" заключается в предотвращении их взлома на начальной стадии атаки. Это означает, что нужно реализовать все шаги, описанные в главе 8: ограничьте использование служб, установите модули обновления операционной системы и приложений, задайте адекватные разрешения на использование каталогов и файлов, а также воспользуйтесь всеми другими рекомендациями.
Вот еще одна превентивная мера, которая позволит защититься от применения пакета TFN. Поскольку соединения TFN основаны на использовании сообщений ICMP. можно запретить весь входящий трафик ICMP.
Для того чтобы предотвратить ваши компьютеры от их использования в качестве "зомби", реализуйте также некоторые правила фильтрации пакетов на пограничном маршрутизаторе. Обеспечьте фильтрацию пакетов ICMP, чтобы ограничить возможность применения атак Smurf. Аналогичные функции имеются и в операционной системе IOS 12.0 компании Cisco. В системе IOS 12.0 настройте механизм СВАС (Context Based Access Control – средства управления доступом на основе контекста), чтобы уменьшить риск применения атак SYN.
Trinoo
Как и TFN, в состав пакета Trinoo входит программа удаленного управления (клиент), которая взаимодействует с основной программой, передающей команды программе-демону (серверу). Взаимодействие между клиентом и основной программой осуществляется посредством соединения через TCP-порт 27665. При этом обычно используется пароль betaalmostdone. Связь основной программы с сервером устанавливается через UDP-порт 27444, а в обратном направлении – через LJDP-порт 31335.
Для получения более подробной информации о пакете Trinoo читайте аналитическую статью Дэйва Диттриха.
Контрмеры: защита от использования пакета Тrinоо
Обнаружение
Для выявления атак Trinoo существует несколько механизмов, и соответствующие средства можно найти в Internet. К заслуживающим внимания инструментам можно отнести следующие: DDOSPing Робина Кейра, Zombie Zapper от группы Razor () и find_ddos, разработанный центром NIPC (National Infrastructure Protection Center).
Предотвращение
Как и в случае пакета TFN, наилучшая зашита состоит в применении всех рекомендаций, приведенных в главе 8.
Для того чтобы предотвратить нападение на ваши компьютеры узлов-зомби, реализуйте правила фильтрации на пограничных маршрутизаторах. Обеспечьте фильтрацию пакетов ICMP, чтобы ограничить возможность применения атак Smurf. Аналогичные функции имеются и в операционной системе IOS 12.0 компании Cisco. В системе IOS 12.0 настройте механизм СВАС, чтобы уменьшить риск применения атак SYN.
Stacheldraht
Пакет Stacheldraht комбинирует возможности Тrinоо и TFN и является мощным деструктивным средством, реализующим зашифрованный сеанс telnet между главным и подчиненным модулем. Теперь взломщик может блокировать системы выявления вторжений и благодаря этому получать неограниченные возможности по генерации условия DoS. Как и TFN, пакет Stacheldraht предоставляет возможность инициирования ICMP-, UDP-, SYN- и Smurf-атак. Взаимодействие клиента с сервером осуществляется через комбинацию TCP- и ICMP-пакетов ECHO REPLY.
При взаимодействии клиента с сервером применяется алгоритм симметричного шифрования с помощью ключа. Кроме того, по умолчанию активизирован режим защиты с помощью пароля. Стоит упомянуть еще одну дополнительную возможность пакета Stacheldraht: при необходимости взломщик может обновить серверный компонент с использованием команды rср.
Для получения дополнительных сведений обратитесь к статье Дэйва Диттриха.