Атака Nuke.

Статья написана о Nuke атаках. Тут же хочу оговориться, что описание этой атаки не поподает под раздел взлома или кражи поролей и уж тем паче не связана с "троянскими конями". Атака типа Nuke является самой распространённой атакой в сети из-за её простоты проведения, в основном подобные атаки используются на чатах для того чтоб "выкинуть" юзера с канала (чата). Атака производится с использованием специальных программ, созданных для таких целей, и называются они нюкеры.

 

Словом Nuke (нюк с английского атомный взрыв) именуют сейчас любую атаку на порты удаленных компьютеров, приводящую к "краху" операционной системы или к разрыву интернет-соединения. Nuke не нарушает состояние файловой системы и за исключением некрупных неудобств не доставляют ни какого вреда вашему компьютеру. Перезагрузившись, юзер может продолжить работу в Сети. Способов атаки немало, в статье я рассмотрю лишь отдельные из них, и вы поймёте, как постоены nuke атаки. Идея nuke заключается в том, что он отсылает неправильные (invalid) ICMP пакеты, и машина-хост теряет связь с соединением интернета.

 

1) Атака под названием Ping o' Death. (многие распространёные операционные системы стали к ней вполне чувствительны, во массы системах дыру уже давным-много времени назад прикрыли, однако всё-таки до сих пор имеют место в успешном проведении этой атаки) Ping o' Death основана на отсылке более 65 527 байтов данных + 20 байт заголовка АЙПИ + 8 байт ICMP-заголовка в одном АЙПИ-пакете. Так как большая часть систем не собирают все пакеты прежде чем получат их целиком, то полученные данные просто не уместятся в 16-битной внутренней переменной и появляется неустранимая ошибка. В Win 95 подобные действия приводят к зависанию системы. Для проведения этой атаки не непременно пользоваться специальными программами, довольно обчычной программы Ping, которая входит в поставку винда. Просто напросто довольно запустить её с параметрами ping -l 65527 victim.dest.айпи

2) Атака Out Of Band (WINNUKE или OOB). Основана на том, что 139 порт Win95 (135 порт WINNT) не закрыт для постороннего вторжения, по этой причине, отослав на этот порт пакет данных с флагом заголовка OOB, возможно вызвать зависание операционной системы и появление синего дисплея. Оказалось экспериментально, если подсоединиться к Винда машине по любому слушающему порту и послать туда несколько байт OUTOFBAND данных, реализация стека TCP/АЙПИ не знает, что делать с этими данными и попpосту подвешивает или пеpезагpужает машину. Win95(OSR2) выдаёт синий текстовый экpан, сообщающий об ошибке в дpайвеpе TCP/АЙПИ и невозможность pаботы с сетью до пеpезагpузки ОC. NT 4.0 без сеpвис паков пеpезагpужается, NT 4.0 с SP2 выпадает синий экpан. Атаке подвеpжены так же Винда NT 3.51 и Винда 3.11 for Workgropus. (код на перле перл -MIO::Socket -e \
'IO::Socket::INET->new(PEERADDR=>"some.windoze.box:139")->send("bye",MSG_OOB)' ). Винда 98 не подвержен подобной атаке.

Я привёл 2 атаки и принцип их действия, фактически их, естественно, более, однако все они выполняют лишь одну функцию подвесить, отконнектить юзера от сети. Тоже из таких 2-х примеров возможно узнать, что атака использует различные методы реализации, однако все они связаны с отправкой на порт атакуемой машины.

Отосланные пакеты содержат неправельный размер или информацию о склейке пакетов, кое-какие несут прямо в заголовке сообщение об ошибке соединения, иные просто-напросто переполняют систему запросами на соединение и из-за невозможности верно и своевременно обработать запросы система виснет или обрывает коннект. Думаю я не очень заморочил вам голову, каков принцип атаки НЮК. Давайте сейчас обратимся к практике! Конечно против нюков есть защита, к примеру, в Win98 поправили кое-какие ошибки и дырки в протоколе TCP/АЙПИ, однако это не спасло систему от атак такого рода на моем веб-сайте в разделе DOWNLOAD-> Attack вы можете отыскать на самом деле действующий нюк, который прошибает не только лишь win 95/98/2000/nt, однако может порой подвесить даже сервак, всё зависит от количества посланных вами пакетов. Софтина на самом деле легка в использовании, всё что вам нужно для проведения успешной атаки на удолённый компьютер - АЙПИ адрес. Вставьте его в поле ввода и жмите кнопку начало, остальное софтина сделает всё за вас. Вы спросите, а по какой причине эта атака всё-таки возможна? Эта атака возможна не только только из-за наличия всяких багов в операционных системах, но еще и чаще всего от нежелания пользователей прикрыть свои уязвимые места, скачав лишь только патч. Есть 2 типа нюков, 1-ый - простой Nuke и Winnuke, и они слегка отличаются по типу действия, однако эффект у них 1. Простой, или классический, Nuke построен на стандартах протокола TCP/АЙПИ. Смысл его в том, что нехороший человек, применяя служебный протокол TCP/АЙПИ ICMP (Internet Control Message Protokol), отправляет запрос на проверку определенного адреса в сети и подсовывает ответ типа "ошибка доступа", "адрес недоступен", "сеть недоступна" и т.д. и т.п. Соответственно, сервак начинает перенастройку таблиц маршрутизации и обрывает соединение с "недоступным" адресом. Дёшево и сердито. WINNUKE - чистый DOS (Denial of Service, не путать с MS-DOS). Есть подобный термин в стандарте TCP/АЙПИ - OOB (Out Of Band), и обозначает он пересылку срочных служебных данных. Немало машин под Винда применяют в собственной работе протокол NETBIOS. Так вот, грубо говоря, этому NETBIOS'у закидывается несколько байт данных по ООВ, и этот NETBIOS начинает тормозить: "Чо делать-то с ними?" Ну и завешивает машину напрочь. При этом на экране на синем фоне возникает мессидж об ошибке в TCP/АЙПИ или о необработанном исключении в коде ядра, и заполучила эта картинка имя - синий экран смерти (blue screen of death). Защита: Если вы всё-таки не пропатчили вашу систему или вам не очень хочется этого делать, то вы можете скачать firewall - прога которая вас защитит (более точнее о программах данного рода читайте в разделе защиты)!!

P/S Эта атака может применятся к тому же в паре с подбросом троянских коней, к примеру, когда злоумышленник заполучил доступ к винчестеру по протоколу NETBIOS и положили вам "троянского жеребца" в автозагрузку, а ожидать когда вы перегрузитесь ему лень. Тогда он просто вас нюкает и этим заставляет вас перегрузить компьютер, затем он может начинать вас администрировать.