Комментарий
За двадцать пять лет своего существования различные узлы сети Internet многократно подвергались атакам хакеров, что иногда приводило к драматическим последствиям. Однако чаще всего сообщество Internet отделывалось легким испугом после очередного "штурма" или вновь изобретенного способа взлома. Internet Engineering Task Force выпускало новый RFC, уточняющий стандарты протоколов, а производители "железа" и программного обеспечения накладывали "заплатки" на свои продукты. Собственно, этот процесс совершенно закономерен. В течение года различного сорта "дырок" в реализациях протоколов стека TCP/IP, судя по сообщениям CIAC (Computer Incident Advisory Capability) и CERT (Computer Emergency Response Team), находят несколько десятков. Однако не все эти находки становятся достоянием широкой общественности и, соответственно, не все из них вызывают очередную волну сомнений в реальности применения Internet в бизнесе.
Особое место в пропаганде способов взлома играют электронные компьютерные издания типа журналов для хакеров, которые часто публикуют исходные тексты программ, использующих слабые места протоколов для взлома систем защиты или затруднения работы сетевых информационных служб.
Другим катализатором использования этих кодов выступают традиционные издания типа New York Times, которые считают своим долгом осветить на своих страницах наиболее значимые атаки. Раньше, до эпохи World Wide Web, на страницы газет и журналов попадали сообщения о проникновениях в компьютерные системы Пентагона, ФБР или, в крайнем случае, крупного банка. В настоящее время жертвами описанных атак чаще всего становятся интерактивные информационные службы Internet.
Читая сообщения печати, можно прийти к выводу, что слабые места порождены новой технологией (World Wide Web), однако события этой осени показывают, что и в "старых добрых" TCP и IP еще остались области приложения талантов новых хакеров. Героями конца года стали атаки типа SYN flood, Ping o`Death и Web spoofing.
Атака типа SYN flood опирается на особенности ориентированного на соединение протокола транспортного уровня TCP. Дело в том, что соединение в рамках этого протокола устанавливается в три фазы: сначала посылается запрос SYN (синхронизация), в котором определяются сокеты и базовый номер пакетов в сообщении. Принимающая сторона должна дать согласие на работу с этими данными стороне, устанавливающей соединение, которая, в свою очередь, в заключительной фазе подтверждает получение информации. Вот на этой заключительной стадии и базируется атака. Дело в том, что при установке соединения принимающая запрос сторона начинает резервировать место под будущее соединение, и модуль TCP ведет стек запросов, в котором сохраняется до времени информация о незавершенной установке содинения. Если, начав установку соединения, атакующая сторона не завершает его, а порождает новые запросы, то стек переполняется, что может привести не только к отказам на установку новых соединений, но и к краху системы. Атака усугубляется тем, что атакующий одновременно подменяет адреса отправителя.
Понятно, что защитить свою сеть от избыточного трафика все равно не удастся, но вот защитить систему можно. Большинство производителей ПО изменили алгоритмы размещения данных в стеке и, таким образом, защитились от последствий атаки. Но наиболее действенным оружием признано конфигурирование маршрутизаторов таким образом, чтобы из защищаемой сети нельзя было послать пакеты с другими адресами, кроме адресов компьютеров данной сети, что локализует место нахождения атакующего.
Другой тип атаки, Ping o`Death, использует пробелы в реализациях модуля межсетевого обмена по протоколу IP. Пакет IP может содержать 216 байт, но реальные среды передачи данных общаются посредством более мелких фрагментов. Это означает, что при инкапсуляции IP в протоколы более низкого уровня пакет нарезается на более мелкие части, которые потом собираются принимающей стороной. Смещение получаемого фрагмента задается специальным полем в заголовке IP-пакета. Так вот, в принципе можно послать такие фрагменты, которые в сумме превысят допустимый максимальный размер - в итоге может, как и в предыдущем случае, произойти крах системы, что и отражено в названии атаки. Большинство современных систем устойчиво к этому типу атаки, но существуют системы, на которые нужно поставить соответствующие "заплатки" производителей.
Последний тип атаки, Web spoofing, или подмена адресов Web-узлов, с одной стороны опирается на тот факт, что большинство браузеров не проверяют запрос по протоколу HTTP на наличие в GET или POST нескольких URL, а с другой стороны - на популярность поисковых машин Internet, которые "засасывают" в свой индекс все подряд. Идея достаточно проста: перед настоящим адресом ресурса вставить ложный, а строку TITLE и Status Bar подменить так, чтобы пользователь не видел, куда он на самом деле обратился.
Атаке последнего типа в последнее время подвергается все больше информационных служб Internet, но здесь уж, что называется, сами виноваты: не тащи все, что ни попадя.
В принципе, подобные сюрпризы у Web еще впереди, ведь данная технология существует только с 1989 года.
