Иллюстрированный самоучитель по Secure Web


Распределенные атаки DoS - часть 3


Вот еще одна превентивная мера, которая позволит защититься от применения пакета TFN. Поскольку соединения TFN основаны на использовании сообщений ICMP. можно запретить весь входящий трафик ICMP.

Для того чтобы предотвратить ваши компьютеры от их использования в качестве "зомби", реализуйте также некоторые правила фильтрации пакетов на пограничном маршрутизаторе. Обеспечьте фильтрацию пакетов ICMP, чтобы ограничить возможность применения атак Smurf. Аналогичные функции имеются и в операционной системе IOS 12.0 компании Cisco. В системе IOS 12.0 настройте механизм СВАС (Context Based Access Control — средства управления доступом на основе контекста), чтобы уменьшить риск применения атак SYN.

Trinoo


Как и TFN, в состав пакета Trinoo входит программа удаленного управления (клиент), которая взаимодействует с основной программой, передающей команды программе-демону (серверу). Взаимодействие между клиентом и основной программой осуществляется посредством соединения через TCP-порт 27665. При этом обычно используется пароль betaalmostdone. Связь основной программы с сервером устанавливается через UDP-порт 27444, а в обратном направлении — через LJDP-порт 31335.

Для получения более подробной информации о пакете Trinoo читайте аналитическую статью Дэйва Диттриха.

Контрмеры: защита от использования пакета Тrinоо


Обнаружение


Для выявления атак Trinoo существует несколько механизмов, и соответствующие средства можно найти в Internet. К заслуживающим внимания инструментам можно отнести следующие: DDOSPing Робина Кейра, Zombie Zapper от группы Razor () и find_ddos , разработанный центром NIPC (National Infrastructure Protection Center).

Предотвращение


Как и в случае пакета TFN, наилучшая зашита состоит в применении всех рекомендаций, приведенных в главе 8.

Для того чтобы предотвратить нападение на ваши компьютеры узлов-зомби, реализуйте правила фильтрации на пограничных маршрутизаторах. Обеспечьте фильтрацию пакетов ICMP, чтобы ограничить возможность применения атак Smurf. Аналогичные функции имеются и в операционной системе IOS 12.0 компании Cisco. В системе IOS 12.0 настройте механизм СВАС, чтобы уменьшить риск применения атак SYN.



Начало  Назад  Вперед



Книжный магазин