May 9th, 2012 
admin
Данный этап атаки производится чаще всего одновременно с выяснени- ем открытых портов. Суть его заключается в определении типа и версии про- граммного продукта, отвечающего за получение информации на открытом порту. Это может быть, например, операционная система в целом, web- , ftp- или иной сервер. Зная версию программного продукта, злоумышленник мо-
жет, воспользовавшись известными уязвимостями данной версии, осущест-
вить целенаправленную атаку.
Так, например, выяснив наличие открытого порта 25, злоумышленник отправляет стандартный запрос на соединение с ним и в ответ получает вер- сию программного продукта, реализующего SMTP-сервер (рис. 2.10).
Признаком атаки в данном случае является выполнение входящих за- просов к внутренним сетевым службам, особенно к таким, которые редко ис- пользуются для работы в Интернет.
Рис. 2.10. Пример ответа SMTP-сервера
2.5. Реализации атак
В литературе содержится большое количество упоминаний реализаций атак на различные сетевые службы: «Ping Flood» (затопление ICMP- пакетами), «Ping of Death» (превышение максимально возможного размера IP- пакета), «SYN Flood» (затопление SYN-пакетами), «Teardrop», «UDP Bomb» и т. д. Так как целью пособия не является изучение всех алгоритмов атак, ог- раничимся только двумя атаками типа «отказ в обслуживании» (DoS), приво- дящими к «зависанию» либо сетевой службы, либо компьютера в целом. За-
метим, что описываемые атаки были актуальны для операционных систем предыдущего поколения.
Атака «Ping of Death» приводила к зависанию реализации стека прото- колов TCP/IP в ОС Windows 95. Атака основана на отправке IP-пакета, длина которого превышает стандартную величину. Напомним, что максимальный
размер IP-пакета составляет 65535 байт, из них 20 байт отводится на заголо- вок. Таким образом, максимальный размер данных, передаваемых в одном па- кете, составляет 65515 байт. В реализации ряда ОС именно такой буфер и от- водился для хранения получаемых данных, а размер буфера не контролиро-
вался. Если же приходил пакет большей длины, то получаемые данные зати- рали машинный код в оперативной памяти, находившийся после отведенного буфера. Для реализации атаки достаточно было использовать стандартную
утилиту ping следующим образом:
ping -l 65527 -s 1 адрес_жертвы
В этом случае отправляемые данные составляют 65527 байт, заголовок ICMP — 8 байт, заголовок IP — 20 байт. Таким образом, отправлялся пакет длиной 65555 байт, что на 20 байт превышало максимальный размер IP- пакета.
Другая известная атака, достаточно долго приводившая в неработоспо- собное состояние сетевые узлы под управлением ОС Windows NT версии 4.0, получила название WinNuke. Для ее реализации в Интернет можно было най- ти программу с аналогичным названием и простым интерфейсом (рис. 2.11).
В процессе выполнения программа WinNuke устанавливает стандартное TCP-соединение с портом 139 атакуемого узла. Особенностью соединения яв- ляется то, что атакующим для установки соединения используется TCP-порт с
номером 40, в отличие от обычно используемых номеров портов больших, чем 1024. После установки соединения атакующий отправляет нестандартный для SMB-протокола пакет (рис. 2.12), в результате получения которого ОС
Windows NT версии 4.0 «вылетала в синий экран смерти».
Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс
Опубликовано в рубрике