Сетевые «атаки» через порты

Вы когда-нибудь задумывались над тем, каким именно образом программы (вредоносные или нет — пока не важно) получают доступ к вашему компьютеру через Сеть? Каким именно образом вообще организован обмен данных между вашей «персоналкой» и Интернетом? Как именно компьютер определяет, какую программу допустить к себе, а перед какой надобно закрыть все ворота на засов?

Возьмем тот же вирус Blaster — каким именно образом он может перезагрузить ваш компьютер через Сеть, даже не проникая в его нутро?

Компьютер в своей «защитной стене» прорубает не одни ворота, а множество. При этом каждый вход он закрепляет за определенной программой или сервисом, который будет отныне полновластным хозяином данной «двери».

Проблема в том, что дверей таких существует слишком уж много. Протокол TCP, который и является основным для современной Сети, предполагает использование целых 65536 (216) портов. А ведь могут использоваться еще и другие протоколы — например, UDP, в ассортименте которого находится точно такое же количество портов...

Первые 100 портов (0—99) относятся к категории стандартных — их использование жестко регламентировано и навсегда закреплено за определенными службами. Следующий диапазон портов (до 1024) именуется «широко используемым» и предоставляет своим клиентам чуть меньше полномочий. А вот дальше начинается «темный лес» — более 60 000 портов, большая часть которых дается на откуп сторонним программам.

В идеале открытыми для использования могут быть лишь те порты, которые зарезервированы за определенными, известными системе программами — остальные «двери» должны быть надежно заблокированы. К тому же для каждого порта должны быть созданы четкие правила, каждому должны быть делегированы свои полномочия. Одни из них открыты только на «вход», другие — на «выход» информации, а третьи допускают и двустороннюю передачу данных. Ведь мы же не только скачиваем информацию из Сети — порой нам приходится и отправлять туда информацию в виде команд или данных...

Но самое главное — не должно случаться так, чтобы, получив доступ к компьютеру через какой-либо порт, программа (или управляющий ею человек) могли копировать или изменять файлы на компьютере, вносить изменения в настройки системы.

В теории так и предусмотрено. Однако на деле в системе защиты Windows имеется множество «дырок», которые позволяют злоумышленнику получить доступ к вашей информации через «недозволенный» канал. Конечно, это не значит, что, получив доступ к определенному порту, вы можете хозяйничать в чужом компьютере, как в собственной персоналке — такое бывает только в кино. К тому же просто так, наобум, ломиться в любой попавшийся логический порт бесполезно — атаки на большинство из них успешно отражаются самой операционной системой.

Кандидат на «взлом» может быть выбран как случайно, так и намеренно — достаточно лишь отследить момент, когда нужный вам пользователь войдет в сеть. Конечно, при модемном соединении, когда времени на сканирование у вашего противника немного, вероятность «взлома» не так уж высока. Но при постоянном подключении к сети (например, кабельном) опасность «взлома» резко возрастает.

Существуют специальные программы для сканирования портов, с помощью которых можно отыскать лазейку практически в любой компьютер. Или наоборот — выход из него. Именно так работают многие «троянские» программы, отправляющие данные из вашего компьютера.

Именно поэтому в качестве дополнительного «орудия производства» многие хакеры используют популярные программы мгновенного обмена сообщениями — например, ICQ. Ведь она не только может проинформировать злоумышленника о присутствии его «клиента» в Сети, но и поможет узнать его текущий IP-адрес. А заодно, за счет своей слабой защищенности, и предоставит канал для «взлома». «Сев на хвост» нужному компьютеру, хакер начинает незаметно для вас сканировать порты с помощью специальной программы. И, найдя открытые для доступа «дырки», начинает разбойничать в стиле уже знакомых нам вируса или «троянца».

Защититься от подобных атак традиционными способами уже не получится. Антивирус бессилен — это не по его специальности, да и встроенная защита Windows частенько пасует...

Однако рецепт спасительного «лекарства» от этой болезни все же существует. Состоит он из двух частей:

1. Регулярно скачивать обновления для вашей версии Windows. Для этого достаточно просто зайти на сайт Windows Update (http://windowsupdate.microsoft.com) или щелкнуть по значку Windows Update в меню Сервис программы Internet Explorer.

2. Установить специальную программу, которая возьмет на себя полный контроль над всеми портами и сможет оперативно оповестить вас об атаке. А то и просто отразить ее. Такие программы называются файрволлами (firewall) или брандмауэрами — в переводе оба этих слова означают «огненная стена». Даже без дополнительных настроек эти программы способны отразить большую часть сетевых атак, а уж если вы еще и заблокируете с их помощью самые опасные порты вручную, то можете чувствовать себя относительно спокойно.

DoS-атаки

Воровство информации — далеко не единственная цель хакеров. В большинстве случаев им вполне достаточно просто на какое-то время вывести компьютер из строя, сделать невозможным его дальнейшую работу в Сети.

Для этой цели используется другой вид атак — DoS-атаки. Слово DoS никакого отношения к древней операционной системе не имеет — это просто аббревиатура английского Denial of Service (отказ в обслуживании).

Суть DoS-атаки проста — за короткое время на удаленный сервер отправляется громадное количество запросов (до нескольких сотен в секунду), которые почти неизбежно вызывают эффект «переполнения стека». Погребенный под грудой запросов, компьютер просто «зависает».

От одиночных DoS-атак большинство серверов худо-бедно защищено. Но как быть, когда компьютер атакуют таким образом сотни и тысячи людей? А это случается не так редко...

Первая массовая DoS-атака была зарегистрирована в декабре 1999 года, когда жертвами взломщиков пал целый десяток крупных серверов, включая поисковик Yahoo, интернет-магазин Amazon, новостной портал CNN и аукцион eBay. С тех пор ежегодно количество таких атак увеличивается в несколько раз. Изменилась и их суть — если первые «налеты» осуществлялись «вручную», путем координации действий хакерских групп, то сегодня все чаще атаки проводятся в «безлюдном», автоматическом режиме.

Особо урожайным выдался 2003 год, когда Сеть поразили сразу несколько вирусов, способных самостоятельно осуществлять DoS-атаку. «Первым звонком» стало появление вируса Blaster, который атаковал в августе 2003 года сайт Windows Update корпорации Microsoft. Затем последовала январская эпидемия вируса Novarg (MyDooM), нацеленного на сайт компании SCO. В обоих случаях атаки провалились, хотя ущерб от вирусных атак составил миллиарды долларов.

Не нашли, что искали? Воспользуйтесь поиском: