Инструментальные средства обеспечения безопасности


Реализация - часть 3


Жестокий Ping II: Smurfing. Изящный прием, который можно применить в своей собственной сети - это попытаться провести Ping своего адреса широковещательного доступа. К примеру, если ваш IP-адрес 192.168.1.100, а сетевая комбинация разрядов 255.255.255.0, то вы в сети 192.168.1.0 с адресом широковещательного доступа 192.168.1.255. Если вы попытаетесь провести Ping 192.168.1.255 (в некоторых системах вам придется использовать флаг -b и иметь корневые привилегии root), вы должны получить ICMP-ответы от каждого хоста своей сети. Это полезно для быстрого определения соседних хостов.

Проблема в том, что это может быть использовано в очень недобрых целях - в частности для smurfing. Эта широко известная атака Denial-of-Service (DoS) всплыла, когда люди начали понимать, как много сетевого трафика может быть сгенерировано при проведении Ping с сетевым адресом общего доступа. Большие сети класса B (с более чем 65000 главных машин) будут отсылать ICMP-ответы на главную машину Ping. Вряд ли вы захотите подвергнуться этому: поток ответов убьет вашу систему. Но что, если вы обманете IP-адрес главной машины Ping? Это достаточно просто (см. лекцию "NETCAT и CRYPTCAT"). Если вы не нуждаетесь в ответе от вашего Ping (черт возьми, вы не хотите получить ответ!), то можете направить все эти ответы какому-нибудь несчастному и разрушить его систему.

Как можно от этого защититься? Системы не должны отвечать на сообщения от Ping. Брандмауэры и маршрутизаторы должны быть сконфигурированы так, чтобы не только уберечь вашу машину от атаки smurf, но также и от участия в smurf.




- Начало -  - Назад -  - Вперед -