Netkill

  • ОС: UNIX, Windows, Другие
  • Ссылки:

Эксплуатируя особенности, свойственные к TCP протоколу, отдаленные нападавшие могут исполнять DoS нападения на широкий диапазон операционных систем. Нападение наиболее эффективно против HTTP серверов.
Что не может Netkill :
- Netkill не наводняет connect() . Последний устанавливает подключения и держит их открытыми, вынуждая сервер обслуживать их, используя большое количество описателей файла.
- Netkill - не наводненяет SYN. Последний не устанавливает какие либо TCP подключения, но вместо этого пытается сокрушать сервер с подключениями в SYN_RCVD состоянии.
- Netkill - не сетевое наводнение пропускной способности. Последний пытается использовать всю доступную пропускную способность посылая неинтересными пакетами.
Что на самом деле может Netkill:
* Подключаться к установленному адресату, и посылать HTTP запрос;
* Процесс на адресате принимает подключение;
* читает запрос;
* пишет некоторые данные (до 16 или 48КБ в зависимости от OS) в ответе;
* закрывает описатель файла;
* Процесс, который обработал такое подключение, выходит или перемещается.
Сетевой результат - то, что десятки килобайтов данных проведены в модуль ядра, в non-pageable RAM до подключения (который находится в состоянии FIN_WAIT_1) порядка десяти минут. Это подключения не связанны с описателем файла или процессом. Когда оперативная память достигает предела, сервер перестает отвечать на запросы.
Когда машина устанавливает TCP связь, каждое такое TCP подключение распределяет некоторые ресурсы. Неоднократно устанавливая TCP подключение и затем отказываясь от них, злонамеренный host может связывать существенные ресурсы на сервере.

Воздействующиеся системы:
Любая система, которая управляет службой TCP, может быть атакована этим путем. Эффективность(КПД) такого нападения изменяется очень в зависимости от очень большого количества условий.
Web Сервера особенно уязвимы к этому нападению из-за природы протокола (короткий запрос производит произвольно длинный ответ).