Иллюстрированный самоучитель по Secure Web


Удаленные атаки DoS - часть 3


Контрмеры: защита от переполнения буфера в RP-сервере IIS


Описанную проблему позволяют устранить сервисный пакет SP5 и модули обновления, выпушенные компанией Microsoft после появления сервисного пакета SP4

(ftp://ftp.microsoft.com/bussYS/iis/iis-public/fixes/usa/security/ftpls-fix/).

Атаки stream и raped


Программа stream, с (неизвестного автора) и raped.с, написанная Ликвидом Стилом (Liquid Steel), появились в начале 2000 года. С их использованием можно осуществить две похожие друг На друга простые атаки, которые, несмотря на это, будут очень эффективными.

Обе атаки направлены на захват ресурсов, в результате чего операционная система становится неспособной управлять всеми пакетами, отправленными ей одновременно. Изначально программы stream и raped были предназначены для атак на систему FreeBSD, однако в настоящее время их можно использовать для нарушения работы многих операционных систем, включая (но не ограничиваясь) Windows NT. Признаком нападения служит увеличение нагрузки на центральный процессор (см. рисунок ниже), однако после прекращения атаки система возвращается к своему обычному состоянию. Программа stream.с передает TCP-пакеты дек группе портов с произвольно выбранными номерами и случайным образом заданными исходными IP-адресами. В процессе атаки raped отправляются TCP-пакеты АСК, в которых указан ложный исходный IP-адрес.


Контрмеры: защита от атак stream и raped


К сожалению, для защиты от таких атак модули обновления выпущены лишь для некоторых операционных систем. Нам неизвестно о каких-либо модулях обновления Windows NT. Однако в системе FreeBSD можно воспользоваться неофициальным модулем, который можно получить по адресу http: //www. freebsd.org/~alfred/tcp_fix.diff.

Атака на сервер ColdFusion


Эта атака была исследована в июне 2000 года компанией Foundstone. Она основана на ошибке программы и позволяет нарушить функционирование сервера. Условие DoS возникает в процессе конвертирования введенного и хранящегося паролей в форму, пригодную для их сравнения, когда введенный пароль имеет очень большой размер (более 40000 символов). Воспользоваться этим приемом очень просто. Для получения более подробной информации читайте главу 15.

Контрмеры


Подробные рекомендации по устранению этого изъяна приведены в главе 15, "Хакинг в Web".





Начало  Назад  Вперед



Книжный магазин