Распределенные атаки DoS
Распределенные атаки DoS
В сентябре 1999 года в момент появления первого издания этой книги концепция распределенных атак DoS была не более чем предположением. А сейчас разговор о компьютерах без упоминания фразы "распределенная атака DoS" (DDoS — Distributed Denial of Service) можно считать неполным. Как и вирусы, появляющиеся в Internet как сорная трава, атаки DDoS привлекают все большее внимание средств массовой информации.
В феврале 2000 года была предпринята первая массированная атака DDoS. Сначала ей подвергся Web-сервер Yahoo, а затем E*TRADE, eBay, buy.com, CNN.com и другие серверы. В результате было нарушено функционирование семи всем известных Web-узлов. Некоторые склонны считать, что эта атака была инициирована группой опытных хакеров, которые решили удовлетворить свои низменные желания за счет простых пользователей Internet, однако это не совсем так. Верно как раз обратное.
Атака DoS начинается в том случае, когда кто-либо (обычно скуки ради) воспользовался каким-либо свободно распространяемым программным обеспечением и отправил большое количество пакетов в определенную сеть или узел, чтобы завладеть его ресурсами. Однако в случае распределенной атаки DoS ее источником является несколько узлов. Этот сценарий можно реализовать лишь одним способом: взломав существующие в Internet системы.
Первый шаг любого взломщика, решившего прибегнуть к атаке DDoS, заключается во взломе максимального количества узлов и получении на них административных привилегий. Эта задача обычно выполняется с помощью специальных сценариев, используемых для выявления потенциально уязвимых узлов. На протяжении всей книги постоянно рассматривались методы, с использованием которых взломщик может разработать такие сценарии. С их помощью можно просканировать многочисленные сети и найти в них плохо сконфигурированные узлы или уязвимое программное обеспечение, с помощью которого можно получить неограниченный доступ.
После получения необходимых привилегий взломщик загрузит специальное программное обеспечение, предназначенное для реализации атаки DDoS, а затем запустит его. После этого большинство серверов DDoS (или демонов) ожидают поступления определенных команд. Это позволяет взломщику сначала разместить требуемые программы, а затем ждать удобного момента, чтобы приступить к нападению.
Ниже представлен весь ход типичной атаки, начиная с "захвата" нескольких узлов и заканчивая ее завершающей стадией.
Количество средств, предназначенных для проведения атак DDoS, увеличивается ежемесячно, так что представить их полный обзор невозможно. Поэтому в следующих разделах мы ограничимся рассмотрением лишь основных инструментов: TFN, Trinoo, Stacheldraht, TFN2K и WinTrinoo. Конечно, появляются и другие средства DDoS, такие как Shaft и mStreams, однако они основываются на вышеупомянутых программах.
