Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
"новая" атака на TCP
 
http://insecure.org/stf/tcp-dos-attack-explained.html

Ужс какой. Усовершенствованный connect()-флуд теперь называют новой технологией DoS-атаки, к которой уязвимы все реализации :) Это при том, что на например icq серверах уже цать лет стоит защита от такой атаки.
 
Ты читай до конца, парень: "Unfortunately, the attention only helps when it comes with details about the problem. That is why I wrote this page. "
 
Цитата
linux_helper пишет:
Ты читай до конца, парень: "Unfortunately, the attention only helps when it comes with details about the problem. That is why I wrote this page. "
:o

Давненько меня "парень" не называли, возраст уже не тот :) Да и по сути твоего ответа - не понимаю, к чему он. Я веселюсь над ажиотажем, которые подняли два исследователя, сделав программу для распределенного connect-флуда. После анонса о страшной-страшной уязвимости, которая уже годы могла бы терроризировать интернет, даже сам полез в спецификацию протокола, почитать, чо они там откопали. А оказалось - "откопали" connect-флуд. Тьфу!
Изменено: buggzy is back - 08.12.2008 10:24:51
 
Цитата
buggzy is back пишет:
А оказалось - "откопали" connect-флуд. Тьфу!
Ну, они в своем блоге отрицают, что это коннект флуд :) Хотя я больше склоняюсь верить дяде Феде чем этим рисерчерам. В любом случае цисковский PSIRT опубликовал уведомление о том, что расследуют инцидент. Больше вроде данных небыло никаких.
 
Угу. Судя по описанию авторов для сервера-жертвы эта атака выглядит так же как старая - как много-много нормальных коннектов.
Вообще описываемые вещи очень похожи на работу утилиты netkill http://www.securiteam.com/tools/5QR0B000AU.html - но она датирована 2000 годом... она тоже заставляет сервер оставлять подвешенные соединения в состоянии FIN_WAIT_1 на десятки минут.
Для атакующего отличие этой атаки от вызова connect() в том, что ресурсы на создание и поддержку сокетов не тратятся совсем, поскольку просто посылаются нужные RAW пакеты собственным генератором. А то, что не тратятся ресурсы актуально в случае, если вы хотите сделать DoS с зомби-компьютера, поскольку ваша задача состоит в том, чтобы владелец компьютера не замечал работы трояна как можно дольше. А такая же атака, но используя стандарный connect() сожрет ресурсы атакующего тоже, что будет явно заметно в операционной системе атакующего.
 
Robert Lee написал сегодня что их утилита SockStress делает не только то что делает netkill, а делает другие атаки, но об этом он расскажет только в следующем году :)
Страницы: 1
Читают тему (гостей: 1)