Генерируемые ими потоки мусорных пакетов в состоянии закупорить любой канал

Крис Клоус: «Сейчас слишком много компаний начинают заниматься электронной коммерцией, совершенно не думая о безопасности»

Что общего может быть у хакеров с колдунами вуду? Оказывается, схожие методы: хакеры засоряют глобальные сети, командуя целыми армиями послушных компьютеров-«зомби».

Новый вид атак, приводящих к так называемому отказу в обслуживании (Denial of Service — DoS), реализуется при помощи программ trin00 и Tribe Network Flood. Атака может быть весьма масштабной и привести к перегрузке сети, сколь бы производительной она ни была.

Принцип DoS-атаки прост — с удаленного ПК на IP-маршрутизаторы отправляются мусорные пакеты, которые скапливаются и со временем закупоривают канал. Опасность, которую таит в себе такой подход, очевидна, поскольку для атаки на одну-единственную жертву хакер может задействовать тысячи компьютеров-«зомби».

«Поток запросов с одной машины, направленный в чью-то сеть, особого ущерба ей не принесет, но если такие потоки льются с тысяч компьютеров, это серьезная угроза, — говорит Крис Клоус, основатель и технический директор компании Internet Security Systems (ISS). — Маршрутизаторы и сетевые соединения забиваются мусором, и в сети становится невозможным даже простой обмен сообщениями. Так можно закупорить даже самый толстый канал, T3 например».

По словам Клоуса, наиболее уязвимы для атак подобного типа высшие учебные заведения (из-за отсутствия межсетевых экранов и наличия большого числа систем, работающих без оператора); правительственные организации; компании, занимающиеся электронной коммерцией; сети военных и финансовых учреждений. Обычно в качестве компьютеров-«зомби» используются машины, работающие под управлением Unix (в частности, Linux), но атака может нанести ущерб любой системе, потому что поражаются не узлы сети, а соединения.

«Остановка бизнес-операций, особенно в «горячее» время года, может обойтись очень дорого, — продолжил Клоус. — Если не принять меры по защите, то из-за бомбардировки мусорными пакетами из строя могут выйти самые различные системы, используемые в организации. Сейчас слишком много компаний начинают заниматься электронной коммерцией, совершенно не думая о безопасности».

Аналитик Yankee Group Мэтт Ковар отмечает, что факт DoS-атаки очень трудно обнаружить. Не менее сложно идентифицировать и ее источник, поскольку потоки мусорных пакетов идут не с одного, а сразу с многих IP-адресов, набор которых к тому же динамически меняется.

«Перед злоумышленниками открывается широчайшее поле возможностей для нападения с использованием чужих машин, — говорит Ковар. — Можно провести массированную единовременную атаку или наносить удары последовательно, один за другим. Например, сделать так, чтобы атаки происходили ежедневно, в самые напряженные часы».

Один из способов узнать о вторжении — обратить внимание на количество UDP-пакетов с одним из тем же портом-источником и разными портами назначения. Второй метод — следить за количеством ICMP-сообщений «Port Unreachable» с одинаковыми IP-адресами источника и назначения.

По словам Клоуса, лучший способ предотвратить атаку — провести для своей сети оценку рисков, связанных с защитой информации; в частности, выяснить, уязвима ли сеть для DoS-атак или других вторжений «с черного хода». Неплохо также установить систему, способную определить местонахождение компьютера, управляющего бригадой «зомби».

«Хакеры непрерывно совершенствуют методы вторжений, а многие компании даже не задумываются о том, чтобы навесить на свои ?двери? замки. Создается очень опасная ситуация, когда критически важные ресурсы подвергаются серьезному риску».

Поделитесь материалом с коллегами и друзьями