Защита от amak DoS

Атаки DoS - это бедствие нынешнего виртуального мира, приводящие в хаос мощные вычислительные системы. Борьба с ними усложняется еще и тем, что все эти атаки подчас невозможно отразить иначе, кроме как закрытием всех сетевых соединений атакованного хоста, что очень часто неприемлемо по финансовым соображениям. Тем не менее, в [11] отмечается, что иногда выгоднее увеличить мощности компьютерной системы, подверженной атакам DoS, чем закрыть к ней доступ, скажем, остановить работу Web-сервера организации. Расчет здесь строится на истощение ресурсов атакующей стороны, которой просто не удастся превзойти ресурсы Web-сервера. Другое важное средство защиты - переход на современные операционные системы и программное обеспечение, которое «осведомлено» о последних изобретениях по части атак DoS.

Однако все это может не устоять перед атакой DDoS - хакер, овладевший такими средствами, может стать воистину всемогущим, поскольку нет такого сервера, который мог бы устоять перед атакой, идущей со всех сторон земного шара с неопределенно большого числа комьютеров-зомби. Такие атаки требуют особого подхода, и вот что предлагает компания Foundstone.

Вместо настройки системы защиты сервера, усиления ресурсов подверженного атакам компьютера специалисты Foundstone предлагают меры активной обороны. В ответ на атаку DDoS, использующей сотни и тысячи «зомби», Foundstone предлагает самому перейти в наступление и заглушить работу «зомби» встречной атакой.

Для выполнения такой контратаки сотрудник фирмы Foundstone, неутомимый Робин Кейр (Robin Keir), разработал и предоставил всем желающим возможность загрузить на сайте http://www.foundstone.com бесплатную утилиту DDoSPing 2.0, которая выполняет тестирование компьютера на предмет наличия в нем программы-зомби. Далее работу выявленного зомби можно заглушить, воспользовавшись программой флудера UDP, описанного в разделе «Флудер UDP» выше.

На Рис. 7 представлен диалог программы DDosPing 2.0, содержащий все необходимые элементы для выполнения тестирования.

Рис. 7. Диалог программы выявления зомби DDoS позволяет тестировать целую сеть

Для работы с программой DDoSPing 2.0 следует выполнить такие шаги.

• В поля Start IP address (Начальный IP-адрес) и End IP-address (Конечный IP-адрес) введите начальный и конечный IP-адреса тестируемой сети или отдельного хоста.

• Установите ползунок Speed (Скорость) в позицию, соответствующую тестируемой сети, в данном случае LAN.

• Если необходимо, щелкните на кнопке Configuration (Конфигурация) и откройте диалог настройки программы (Рис. 8).

• В зависимости от тестируемой системы, щелкните на кнопке Windows defaults (Windows по умолчанию) или Unix defaults (Unix по умолчанию), чтобы установить стандартные параметры проверки систем Windows или Unix, соответственно.

• Обратите внимание, что программа DDoSPing 2.0 позволяет выявлять зомби, принимающие участие не только в атаках WinTrinoo, но и других, не менее интересных атаках того же рода - StachelDraht и Tribe Flood Network. Если настройки программы вас устраивают, щелкните на кнопке ОК в диалоге настройки программы (Рис. 8).

Рис. 8. Настройка программы тестирования

• В диалоге DDoSPing 2.0 на рис. Рис. 11 щелкните на кнопке Start (Пуск) и выполните тестирование. Ход проверки отображается в поле Infected Hosts (Зараженные хосты).

Другой, не менее популярной утилитой для выявления компьютеров-зомби является программа Zombie Zapper (http://razor.bindview.com/tools/ZombieZapper_form.shtml), которая как раз и является творцом атаки WinTrinoo. На Рис. 9 представлен диалог этой программы, который, как видим, не очень отличается от DDoSPing 2.O.

Рис. 9. Программа Zombie Zapper также неплоха

Однако в отличие от DDoSPing 2.0, программа Zombie Zapper не позволяет выполнять настройку тестирования хостов и не снабжена такими удобными средствами наблюдения за ходом проверки, как DDoSPing 2.O.

Заключение

Как вы, наверное, уже поняли, атаки DoS - это занятие не для Хакеров с большой буквы, а скорее для типов, на подобие доктора Добрянского. В самом деле, что толку оттого, что где-то за океаном, за тридевять земель, у кого-то перестанет работать Web-сервер и этот кто-то понесет потери. Вам-то что с того, если только, надеюсь, вы не кибертеррорист и не личность с «обугленным черепом и клочками растительности, и обрывками проводов», как у доктора Добрянского. Но вот для Антихакера атаки DoS иногда могут стать просто спасением, если попытки остановить атаки какого-нибудь «кул хацкЁра» (да-да, именно «Ё», уже и такие появились) не получаются никаким образом и нет уже сил и средств на непрерывное наращивание мощностей Web-сервера. Выявите IP-адрес такого «хацкЁра» и затопите его компьютер пакетами ICMP-флудера! Системы IDS всегда готовы предоставить IР-адрес, требуемый для такой контратаки, а простые флудеры, подобные описанным в этой главе, можно найти на многих сайтах Web. Однако помните, что такие методы защиты - на грани допустимого, и их использование чревато. Поэтому антихакер должен применять обоюдоострое оружие атак DoS весьма умело, действуя через прокси-сервер и прикрываясь брандмауэром - а то ведь и ответить могут!