Привет!
Только сегодня "стал свидетелем" DoS взлома, произошедшего в районной сети, к которой подключен мой домашний компьютер и тут в форуме (тред "ipfw rules", ссылка http://www.opennet.me/openforum//vsluhforumID1/24530.html) вижу такую вещь:
----skipped-----
00200 1729 124370 allow icmp from any to any
----skipped-----
Так много говорят и пишут про Smurf взломы, но народ с завидным постоянством продолжает упорно доверять любому ICMP трафику...
Описанная здесь атака -- один из примеров множества атак, совершающихся в последнее время.
Пугает то, что количество попыток взлома в последнее время растет в арифметической прогрессии.
Мало того, что подобные действия злоумышленников повышают вероятность взлома и разрушения систем пользователей, ресурсы домашних сетей, и без того дефицитные, расходуются на злонамеренный трафик.
Надеюсь, что время, затраченное на описание взлома, не пропадет даром, а само описание станет кому-нибудь стимулом для повышения защищенности своих локальных сетей и рабочих станций...
С наступающим Новым Годом, Страна! ;-)))
--------------------------------------------
Описание атаки:
Симптомы свидетельствуют, что это известная DoS-атака Smurf (отказ в обслуживании в следствие перерасхода системных ресурсов из-за огромного наплыва ICMP Echo Reply сообщений).
Жертва:
Атака была направлена против хоста host.under.attack.ru.
Соотношения:
С IP 10.2.2.20 наша сеть сканировалась на предмет выяснения дополнительной информации.
Фрагмент лога брендмауэра хоста my.home.host.ru, находящегося в подсети host.under.attack.ru, свидетельствующий о сборе информации:
Dec 24 23:58:55 myserver /kernel: ipfw: 65200 Deny ICMP:17.0 10.2.2.20 my.home.host.ru in via ed0 # address mask request
Dec 24 23:58:55 myserver /kernel: ipfw: 65200 Deny ICMP:13.0 10.2.2.20 my.home.host.ru in via ed0 # timestamp request
Dec 24 23:58:55 myserver /kernel: ipfw: 65200 Deny ICMP:15.0 10.2.2.20 my.home.host.ru in via ed0 # information request
После того, как какой-то хост в нашей подсети предоставил запрашивающему маску подсети, у него появилась возможность организовать атаку DoS, подделав адрес отправителя для того, чтобы ответы на широковещательные запросы отправлялись на поддельный адрес (т.е. на адрес жертвы).
Вероятнее всего хост host.under.attack.ru, против которого была направлена атака, и был хостом, предоставившим информацию по этим запросам.
Вот фрагмент лога, свидетельствующего об организации атаки:
Dec 25 23:52:45 myserver /kernel: ipfw: 65200 Deny ICMP:8.0 host.under.attack.ru my.subnet.broadcast.ip in via ed0
Dec 25 23:53:52 myserver /kernel: ipfw: 65200 Deny ICMP:8.0 host.under.attack.ru my.subnet.broadcast.ip in via ed0
Расшифровка кодов ICMP сообщений:
echo reply (0), destination unreachable (3), source quench (4), redirect
(5), echo request (8), router adver-tisement (9), router solicitation(10), time-to-live exceeded (11), IP header bad (12), timestamp request (13), timestamp reply (14), information request (15), information reply (16), address mask request (17) and address mask reply (18).
Подлог IP-адреса отправителя:
Не смотря на то, что хоcт 10.2.2.20 при сканировании должен был получать ответы от сканируемых систем, это не настоящий адрес нарушителя.
Здесь возможны два варианта:
1. Это адрес анонимного прокси, который был использован для сокрытия источника угрозы
2. Либо была задействована схема "кто-то посреди", и адрес отправителя на самом деле поддельный.
На мой взгляд наиболее вероятен пункт 2, т.к. адрес 10.2.2.20 входит в диапазон зарезервированных адресов, отведенных для частных сетей.
Выводы:
1. Взлом произведен на высоком техническом уровне, что свидетельствует о высокой потенциальной угрозе сканируемой сети.
2. Необходимо принимать контрмеры, для повышения защиты сети и рабочих станций.
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
on
26-Дек-02, 17:50 (MSK)
