"Отказ в предоставлении сервиса"


Атака "Отказ в предоставлении сервиса" состоит в том, что взломщик пытается искусственно загрузить некоторые сервисы настолько, чтобы они не могли отвечать на законные запросы или запрещали доступ к вашей машине законным пользователям.

В последние годы количество атак данного типа очень сильно возросло. Некоторые из наиболее популярных и свежих перечислены ниже. Имейте ввиду, что все время обнаруживаются новые, так что здесь приведены только примеры. Для получения последней информации читайте списки рассылки Linux security и bugtraq, а также архивы.

  • SYN Flooding - SYN flooding является сетевой атакой "отказ в предоставлении доступа". Он использует преимущества "лазейки" (loophole) в методе создания TCP соединения. Последние версии ядер Linux (2.0.30 и выше) имеют несколько конфигурационных настроек для предотвращения SYN Flooding атак. Смотрите раздел "Безопасность ядра" для более детальной информации о настройках.
  • Ошибка "F00F" в процессорах Pentium - Было обнаружено, что данная серия ассемблерного кода, посланная настоящему процессору Intel Pentium, перегружает машину. Это действует на все компьютеры с процессорами Pentium (не клонами, не Pentium Pro или PII), не зависимо от операционной системы на этом компьютере. Ядра Linux выше 2.0.32 содержат код, отслеживающий эту ошибку и не позволяющий перегружать вашу машину. Ядро 2.0.33 имеет улучшенный вариант решения этой ошибки, поэтому более рекомендуем нежели 2.0.32. Если у вас Pentium, лучше вам модернизироваться сейчас.
  • Ping Flooding - Ping flooding является простой грубой реализацией атаки "отказ в предоставлении сервиса". Взломщик посылает "поток" ICMP пакетов вашему компьютеру. Если это происходит с машины с большей полосой пропускания нежели имеет ваш компьютер, то ваша машина будет лишена возможности посылать что-либо в сеть. При вариации этой атаки, называемой "smurfing", посылается на определенный сервер поток ICMP пакетов с обратным IP адресом вашей машины, таким образом атакующих тяжелее обнаружить. Более детальная информация о "smurf" атаках представлена на

  • Если вы подверглись атаке типа ping flood, то для обнаружения машины, с которой пришли пакеты (или откуда они появляются), используйте инструмент типа tcpdump, и затем обратитесь с этой информацией к вашему провайдеру. Ping flood легко можно остановить на уровне маршрутизатора или используя щит (firewall).

  • Ping o' Death - Атака Ping o' Death возникла в результате того, что поступающие пакеты ICMP ECHO REQUEST могут быть больше нежели может вместить структура данных ядра, которая сохраняет эту информацию. Из-за приема единичного большого (65,510 байт) "ping" пакета многие системы зависали или даже ломались, поэтому эта проблема быстро обрела название "Ping o' Death." Вообще-то эта ошибка давно уже исправлена, так что не о чём беспокоится.


  • Teardrop / New Tear - Это одна из недавних еще атак основана на ошибке, присутствующей в коде фрагментации IP в Linux и Windwos платформах. Она исправлена в ядре 2.0.33 и не требует включения какой-либо дополнительной опции во время компиляции ядра. Так что Linux очевидно больше не подвержен атаке "newtear".


  • Вы можете найти большинство из исследованного кода и детальное описание найденных ошибок на используя их поисковую систему.


    Содержание раздела