В результате отражения DDOS атаки, возможно удалось установить брешь в Remote Administrator. Как ни странно, этот факт меньше всего касается администраторов ОС линейки Windows.Начавшаяся 21-го января 2004 года DDOS (Distributed Denial of Service Attack) атака, затронувшая некоторые интернет-ресурсы в России, включая <a target="_blank" href=http://www.peterhost.ru>http://www.peterhost.ru</a> и <a target="_blank" href=http://masterhost.ru>http://masterhost.ru</a>, продолжается по настоящий момент и растёт по мощности со временем.
Данная атака в начале представляла собой флуд пакетами tcp-syn и udp на порты 21,22,53,80,110 и характерными пакетами IP с установленным кодом протокола 255 (зарезервирован). Атака периодически перерастает в tcp-ack флуд на порт 80.
По результатам исследований специалисты установили, что "замусоривание" создают небольшие по размеру исполняемые программы на "заражённых" компьютерах. Это ".exe" файлы, расположенные в корневом каталоге диска C каждого компьютера. Они имеют различный размер - от 3072 до 5120 байтов. Возможные имена программ:
666.exe
rich.exe
ric1.exe
fich.exe
tcpf.exe
udpf.exe
tzpf.exe
tzpy.exe
Все эти программы уже распознаются антивирусом DrWeb (<a target="_blank" href=http://drweb.ru>http://drweb.ru</a>)как вредоносные.
Скорее всего, это ненастоящая "инфекция". Поражённые компьютеры имеют различные установленные версии Microsoft Windows, такие как Windows'98, Windows'2000, Windows'XP. Некоторые из этих компьютеров защищены с помощью firewall. На компьютерах установлено различное программное обеспечение, но все они сходятся в одном - на них установлена программа Remote Administrator 2.x (<a target="_blank" href=http://www.famatech.com>http://www.famatech.com</a>), открытая для доступа извне.
Предположение, что пароли доступа к управлению этой программой были простыми и легко подбираются, маловероятно. В результате переписки одного из специалистов и владельца одной из машин, совершавшей атаку, выяснилось, что пароль был достаточно надёжен. Обсуждение этой проблемы можно посмотреть на форуме
производителя Remote Administrator:
<a target="_blank" href=http://www.famatech.com/support/forum/read.php?PAGEN_1=1&FID...
На 12-ое февраля 2004 года в атаке принимали участие компьютеры, расположенные в основном в подсетях, начинающихся на:
200, 202, 203, 210-213, 217-220, 24, 61-69, 80-82
Специалисты, принимавшие участие в исследовании, считают, что если их гипотеза верна, то в ближайшее время интернет ожидают атаки такой мощности и результативности, по сравнению с которыми атаки через почтовые вирусы, поражающие в основном маломощные машины и раcсчитанные на малограмотность пользователей компьютеров, будут казаться невинными шутками.
<h3>Комментарии по оптимизации сетевой подсистемы FreeBSD</h3>
Простейшая команда "netstat -w 1" помогла определить мощность атаки, vmstat показал чем занята атакуемая машина и что именно её грузит (системная область, пользовательская область, прерывания). Оказалось,
что 70% - прерывания при мощности входящего потока до 150kps.
На атакуемой машине стояла карточка Intel Ethernet Express Pro 10/100 с драйвером fxp, система FreeBSD-4.7R. Добавление в ядро опции:
options DEVICE_POLLING
options HZ=1000
привело к тому, что загрузка сократилась до 30% на прерывания.
Эта оптимизация позволила машине работать в обычном режиме и использовать её ресурсы для слежения за атакой (в противном случае, атака прекращалась по отсутствию атакуемого объекта).
Сетевая карточка Intel Ethernet Express Pro 10/100/1000 имеет ограничения на уровне ядра на количество прерываний и достаточно стойка к атакам мощности до 150kps. В ядре 5.2 добавлена возможность настраивать этот параметр, но на практике нами не проверялось.
URL: http://www.securityfocus.com/archive/1/354305/2004-02-16/200...
Новость: http://www.opennet.dev/opennews/art.shtml?num=3424