       .gif)
Святослав Лемперт
Атака в Интернет
|
В последнее время у хакеров появляется все больше и больше средств для нанесения вреда компьтерным системам. Администраторам и пользователям приходится использовать все более и более совершенные и изощренные средства защиты, чтобы минимизировать материальный ущерб, вызваный простоем оборудования.
Атакой в Интернет принято считать попытку (удачной она будет или нет, зависит во многом от вас) "мальчиша-плохиша" сломать ваш компьютер (программа по выводу страны из кризиса выполнила недопустимую операцию и будет закрыта), украсть данные (11 чемоданов компромата) или совместить все это (пожар на складе в ночь перед ревизией). Сделать это можно по-разному, но все атаки делятся на несколько составляющих. Атаки одним способом не существует, обычно применяется несколько различных типов и способов.
Итак, вот их перечисление:
- Nuke;
- WinNuke;
- IP spoofing;
- SYN flooding;
- SMURF;
- Land & Teardrop;
- Trojan;
- Spam.
Nuke, просто Nuke!
Простой, или классический, Nuke построен на стандартах протокола TCP/IP. Смысл сего явления в том, что "мальчиш-плохиш", используя служебный протокол TCP/IP ICMP (Internet Control Message Protocol), отправляет запрос на проверку определенного адреса в сети и подсовывает ответ типа "ошибка доступа", "адрес недоступен", "сеть недоступна" и т.д. и т.п. Вообще, смысл "нюканья" состоит в посылке сбойного кода на 139-й порт компьютера. Соответственно сервер начинает перенастройку таблиц маршрутизации и обрывает соединение с "недоступным" адресом. Дешево и сердито.
WinNuke
Это уже чистый DoS (Denial of Service). Есть такой термин в стандарте TCP/IP - OOB (Out Of Band), и означает он пересылку срочных служебных данных. Очень много машин под Windows используют в своей работе протокол NetBIOS. Так вот, грубо говоря, этому NetBIOS'у закидывается несколько байт данных по ООВ, и NetBIOS начинает тормозить: "Чо делать-то с ними?" Ну и завешивает машину напрочь. При этом на экране на синем фоне появляется сообщение об ошибке в TCP/IP или о необработанном исключении в коде ядра. Такая картинка зовется "синим экраном смерти" (blue screen of death).
IP spoofing
Этим умным словом называют подмену адреса отправителя в заголовках IP-пакетов. Практически в любой атаке спуфинг присутствует для пробития аутентификации. То, что ответный пакет никогда не вернется к атакующему, почему-то мало волнует последнего. Рядового пользователя может защитить грамотный провайдер, грамотно настроивший свой брандмауэр.
SYN flooding
Это уже DoS (не путать с MS-DOS!) - Denial of Service, что в грубом переводе означает отказ от обслуживания. Принцип работы основан на небольшой коррекции процесса установления соединения. Грубо говоря, процес соединения инициируется клиентом, сервер подтвеждает получение запроса и отправляет об этом сообщение клиенту, а последний молчит и не отвечает. Сервер ждет какое-то время. Потом он, конечно, закроет соединение. Но если подобных запросов будет много, то это вызовет переполнение памяти сервера. В лучшем случае он перестанет открывать новые соединения, в худшем - сервер накроется. Радует в данном случае только одно: страдают от этих атак серверы провайдеров или крупных фирм, структур. Рядовому юзеру ничего не грозит. Провайдер же может себя защитить. Если, конечно, компетентен.
SMURF
И снова DoS! Наверное, многие пользовались командой Ping. Эта команда является одной из функций протокола ICMP. Итак, "мальчиш-плохиш" выбирает "кибальчиша", срисовывает его IP. Затем он посылает от его имени (спуфинг, не забыли?) ICMP-пакет, где в адресе получателя указывается широкий диапазон адресов, например, все, закрепленные за одним или несколькими провайдерами. И вот на "кибальчиша" мчатся толпы и орды ответных пакетов. Причем, как хорошая армия фанов застревает в узком коридорчике кордона из блюстителей порядка, так и эти ответные пакеты могут подвесить сеть своим сумашедшим трафиком. Эта беда тоже лечится ручками и знаниями провайдера.
Land & Teardrop
Сладкая парочка. Мы с Тамарой ходим парой, ... Основана она на ошибках в операционной системе.
Land - отправляется пакет, в котором адрес отправителя и получателя совпадают. Если дырка в TCP/IP ОС не закрыта, то ОС "валится". Напрочь.
Teardrop - тоже основан на багах TCP/IP; отправляются пакеты, не ровно нарезанные, а в нахлест (то есть не так, как паркет на полу, а как черепица на крыше). При сборке таких пакетов дырявая ОС "валится" тоже. Причем, за компанию и машину прихватить может.
Лечение местное - то есть каждый юзер холит и лелеет свою ОС сам, в меру своей любви к ней. И не пытается предложить ей никакого извращения, она сама предложит и вы не сможете отказаться.
Trojan
Бойтесь данайцев, дары приносящих! Да! Вот и он, славный троянец. Самый распространенный и известный, причем печально - Back Orifice. Встречайте, пожалуйста. И любите его, а не то он полюбит вас :).
Отступление от темы, Небольшое. Как-то где-то я слышал, что его назвали "Черным Входом". Это меня порадовало. Ибо все-таки в переводе это означает "Задний Проход".
Это не вирус. И не ошибка в ОС. И даже не ошибка господа бога. Это програмный продукт, представляющий из себя сервер и клиент. Клиент стоит у "мальчиша-плохиша", а сервер рассылается лопоухим юзерам, приклеенным к полезному и бесполезному софту. Зачастую жертвы его скачивают сами, купившись на "новую и сверхнадежную защиту от самого Билла Гейтса". Троянец сам устанавливается на вашей машине и ждет сигнала от клиента. Владелец клиента, зацепив вас, может управлять вашей машиной, как своей. И стереть все, и экран погасить, и матом послать. При этом он может блокировать вашу клавиатуру - и добро пожаловать в театр абсурда! Можно привести список возможностей нескольких троянцев. Ну и конечно срисовать все ваши пароли, файлы, да и еще чего-нибудь. Зачастую, сами пользователи оставляют лазейки для троянцев - банально, но не все отключают в настройках TCP/IP свич NetBIOS.
Отступление от темы номер два или реакция одного из глав АО "Мелкософт" на появление "Черного Входа", ("Заднего Прохода", Back Orifice): "Мы не придаем большого значения появлению этой программы, и не думаем, что на неё следует обращать внимание нашим клиентам".
Spam
Спам - мерзкое явление. Одни считают спамом пакетную рассылку с количеством получателей более 25, другие - письма от незнакомца, третьи - получение информации, в которой не заинтересованы, и которая им просто не нужна и не зависит от того, предназначалось посланное им лично или группе товарищей.
Что можно сказать однозначно - спам очень сильно засоряет почтовый ящик, отнимает время и здорово злит. Ну представьте, вы женились, отдыхаете с молодой, а вам по телефону, по сотовому, на пейджер и просто в двери ломятся старые друзья с подругами, для которых вы всегда желанны, а вот они - уже не очень.
Как можно попасть на удочку спамеру? Легко - конференция. Люди толпами бродят по чатам и конференциям и оставляют там свои адреса. Затем справочники, правда, они пока для России не очень актуальны. Газеты, визитки, объявления. Ну и наконец это может быть "ненавязчивой" услугой, от которой потом трудно избавиться.
Живые примеры - сервер бесплатных страничек XOOM.COM. За то, что вы становитесь пользователем их сервиса, они вас обязывают получать свои рекламки чуть ли не каждый день. На все письма мне отвечал их робот - ответы на вопросы ищите в FAQ. А реклама шла постоянно. Второй пример - Кенигсбергская газетенка "Новые Колеса". Я им отправил письмо с просьбой и с вопросом. В результате, вместо ответа каждую неделю у меня в ящике куча рекламного "мусора".
Как бороться
В борьбе со спамом юзер предоставлен сам себе. Тут он должен полагаться в основном только на себя. В целях профилактики, лучше не "светить" свой реальный адрес. Достаточно сервисов, предоставляющих форвард-адреса. Я пользуюсь уже давно usa.net. И благодаря их фильтрам все новые колеса и xoom.com'ы сразу уходят в мусор и не доходят до моего реального ящика. Фильтры своего почтового клиента я не использую вообще. Но! Этот способ работает только против тех, кто не меняет от рассылки к рассылки своих обратных адресов, инициалов и т.д.
Профессиональные спамеры используют разного рода програмки, позволяющие постоянно менять им адреса отправки, фальсифицировать тексты заголовков. И если появляется подозрение, что вы стали жертвой профессионального спамера - обращайтесь за помощью к своему провайдеру. Опишите проблему и приложите исходник сообщения спамера. Не надо начинать бомбить его письмами - они уйдут в никуда. Никогда не отвечайте спамеру собщением вроде того, что вас там нет, что он дурак или чем-нибудь в этом духе. Для спамера они означают "зеленый свет".
Существует масса програмок, которые могут имитировать ответ робота о неправильном адресе, просматривать и удалять ненужные сообщения прямо на сервере.
Итак, вы получили "мусор" и хотите добраться до отправителя или его провайдера, чтобы высказать последнему все, что вы думаете о некоторых из его клиентов. Существуют алгоритмы определения спамовых сообщений, однако, их описание выходит за рамки данной статьи. Для проведения такой специфичной работы необходимы специальные знания по техническим вопросам организации Интернета. Тем, кто захочет и сможет сам разобраться в ситуации, рекомендую прочитать статью Михаила Кононенко "Что такое спам и как с ним бороться", опубликованной в CompuTerra Online от 13 апреля 1998 года #14 (242).
Эти программы помогут вам бороться со спамом
1. The Bat. Один из наиболее удачных почтовых клиентов. Позволяет просматривать заголовки и несколько первых строк сообщения на сервере и помечать их для загрузки или уничтожения. Кроме того, в нем можно вручную настроить различные схемы фильтрации доставленных вам сообщений.
2. Magic Mail Monitor. Программа монитора почтовых ящиков (POP3). Позволяет "убивать" ненужные сообщения прямо на сервере.
3. CIE-Check Lite. Программа монитора почтовых ящиков. Позволяет "убивать" ненужные сообщения прямо на сервере.
4. Spam Hater. Программа, позволяющая определить настоящего автора письма и связаться с его провайдером.
5. SpammerSlammer. Программа читает приходящие к вам письма и помечает спам, после чего его можно удалить.
6. Bounce Spam Mail. Программа позволяет симулировать ответ сервера, что Ваш адрес не существует.
7. Spamicide. Программа вычисляет спам по адресу отправителя, в том числе по поддельному, или по подстроке. После определения спам помещается в специальную "мусорную корзину", чтобы исключить возможность удаления нужных писем.
8. CheckMail. Программа, которая среди многих своих функций, отслеживая почтовый ящик, может отфильтровать его, "убить" на нем некоторые сообщения и/или отправить их авторам ответы.
9. Spam Buster. Фильтрует приходящую почту, удаляя ненужные сообщения прямо на сервере. Вместе с программой поставляется база с 15000 адресами известных спаммеров.
10. POP3 Scan Mailbox. Автоматически или вручную "убивает" письма на сервере, базируясь на определенных вами критериях. Может показывать заголовки писем. Есть некоторые сложности с русскими текстами.
11. RSVP Mail Processor. Почтовый робот. Автоматически фильтрует и удаляет нежелательную почту на основе заданных критериев, автоматически отправляет авторам писем ответы, есть другие дополнительные функции.
12. JustPOP3. Работает с несколькими почтовыми ящиками, и каждый из них может отфильтровывать по разным критериям. Множество других настроек.
13. CYBER-INFO E-MAIL NOTIFY. Может автоматически удалять письма от спаммеров, базируясь на списке известных спаммеров, который Вы можете дополнять. Может фильтровать почту по ключевым словам в полях FROM и SUBJECT.
Поиск обидчика
Теперь, когда мы уже знаем IP-адрес обидчика, наступает наш звездный час. Начинаем его искать.
Первым делом определяем сетку, из которой он "вылез". Это можно сделать при помощи проги internet Maniac, или на страничках Whois Service (российские ресурсы) и Welcome to the InterNIC (международные ресурсы).
Посылаем администратору сетки сообщение, что на нас "напали". Адрес администратора, как правило, следующий - abuse@имя.сетки, admin@имя.сетки или support@имя.сетки. Впрочем, зная провайдера, найти его служебный адрес, чтобы написать письмо - дело одной минуты. Нужно помнить одно - обязательно в письме сообщать время, установленное на вашем компьютере: каков ваш часовой пояс, зимнее или летнее время у Вас установлено, или хотя бы какова ваша разница с московским временем. Может произойти так, что Вы не сможете все-таки определить сетку атакующего или адрес провайдера. Тогда напишите письмо своему провайдеру.
Помните, что практически все пользователи Интернет не имеют постоянного IP. Если обьяснять популярно, то при каждом входе в Интернет сервер провайдера назначает Вам динамический IP, и когда Вы выходите из сети, этот IP назаначается уже другому человеку. И если ваши системные часы показывают неистинное время, то могут пострадать невиновные люди. Пользователи Windows 95 и 98 могут воспользоваться програмкой Time RC, которая сравнивает время на вашем компьютере с эталоном и синхронизирует с ним. Подобных программ в Интернете много, воспользуйтесь любой. Да, на всякий случай, чтобы синхронизировать часы, надо быть подключенным к Интернету :-).
Полезные "щиты" на вашем компьютере
1. The (Multi-Trojan) Cleaner 2.0 for Windows95/98/NT - новая версия популярной программы, находит и удаляет троянцев с вашего компьютера. Здесь же вы можете научиться находить и удалять троянца своими руками.
2. NukeNabber 2.9b for Windows95/98/NT - ведет мониторинг ваших портов и перехватывает атаки Nuke и прочих ей подобных прог. Пишет логи, в которых указывает время и IP нападавшего. Можно настроить на любые порты.
3. NoBO - ведет мониторинг порта 31337. Прерывает попытки атакавать вас. Пишет логи. Позволяет отправить обидчику любое сообщение, как правило, ненормативную лексику.
4. NetBuster - также ведет мониторинг портов и пресекает атаки. Пишет логи. Веселая штучка. Занимательна тем, что если у атакующего вас на машине установлена серверная часть ВО, то он сам ловится на крючок. Помимо отправки гадкого сообщения вы можете отключить ему мышь, запаролить машину, гудеть, открывать привод CD.
|
|