Иллюстрированный самоучитель по Secure Web


Распределенные атаки DoS - часть 5


TFN2K


Аббревиатура TFN2K — это обозначение пакета TFN 2000. который является преемником пакета TFN, разработанного хакером Микстером (Mixter). Это одно из самых последних средств DDoS, которое принципиально отличается от своего предшественника и позволяет в процессе взаимодействия использовать порты с произвольно выбранными номерами. Благодаря этому можно обойти блокирование портов на пограничных маршрутизаторах. Как и TFN, пакет TFN2K поддерживает SYN-, UDP-, ICMP- и Smurf-атаки. а, кроме того, позволяет случайным образом переключаться между различными методами проведения атаки. Однако в отличие от алгоритма шифрования, используемого в пакете Stacheldraht, в TFT2K применяется более слабый алгоритм Base 64.

Глубокий анализ TFN2K был выполнен Ясоном Барлоу (Jason Barlow) и Вуди Сроувером (Woody Thrower) из группы экспертов AXENT. 

Контрмеры


Обнаружение


Дта выявления атак TFN2K существует несколько механизмов, и соответствующие средства можно найти в Internet. К заслуживающим внимания инструментам можно отнести следующие: DDOSPing Робина Кейра , Zombie Zapper or группы Razor и find_ddos , разработанный центром N1PC (National Infrastructure Protection Center).

Предотвращение


Как и ранее, лучше всего предотвратить использование компьютеров в качестве "зомби". Это означает, что необходимо учесть все рекомендации, приведенные в главе 8, т.е. ограничить использование служб, установить модули обновления операционной системы и приложений, задать необходимые разрешения на использование файлов/каталогов и т.д.

Для того чтобы предотвратить нападение на ваши компьютеры узлов-"зомби", реализуйте правила фильтрации на пограничных маршрутизаторах. Обеспечьте фильтрацию пакетов ICMP, чтобы ограничить возможность применения атак Smurf. Аналогичные функции имеются и в операционной системе IOS 12.0 компании Cisco. В системе 1OS 12.0 настройте механизм СВАС, чтобы уменьшить риск применения атак SYN.

WinTrinoo


Широкой общественности программа WinTrinoo впервые была представлена группой Razor. Это версия пакета Trinoo, предназначенная для использования в системе Windows. Это средство представляет собой программу типа "троянский конь", которая обычно называется service, ехе (если не была переименована) и имеет размер 23,145 байт.



Начало  Назад  Вперед