WinNuke

WinNuke

 

  1. Предистория

Вие сте в IRC една нощ и срещате този пич. Двамата започвате да се изтъквате като група ученички. Другият пич казва, че ще те съсипе, така че да го предизвикаш да го направи! Внезапно, вашата супер Кутия –  K-rad Windows95 забива ви оставя със синия екран на смъртта. “Какво по дяволите?!” идва от вашите напукани устни. Какво стана с компютъра ви? Дали кутията ви се срина заради този загубеняк? Как е причинил този син екран? Въпреки че е обичайно да се получи син екран, таймингът е прекалено перфектен. Добре дошли в гадния свят на WinNuke дами и господа!

 

  1. Какво е WinNuke и как работи?

Синият екран, който видяхте, е визитната картичка за вече скандалната атака на DoS (отказ от услуга), наречена WinNuke . Афектирайки само Win95, WinNuke работи само чрез изпращане на пакет с данни “Out of Band” до порт 139 на целевия хост. Първоначално, порт 139 е NetIOS порт (виж rfc1700 за присвояване на портове) и не приема пакети, освен ако флагът OOB не е зададен във входящия пакет. OBB означава “Out Of Band”.Когато устройството ви приеме този пакет, то причинява срив на компютъра ви и не ви оставя нищо повече от син екран (ако сте използвали Windows преди това, вероятно сте виждали този син екран много пъти преди това). Тъй като програмата, приемаща пакетите, не знае как да се справя по подходящ начин с данните от групата, тя прави това, което прави всяка добра програма на Microsoft. Той се срива.

 

III. Някои WinNuke програми

WinNuke е отдавна вече е остаряла и други атаки на DoS са много по-популярни, но WinNuke е първият DoS, използван от масите, за да предизвикват сривове помежду си. Поради това отдавна е основата за сходни атаки, които използват един пакет за разрушаване на машина от разстояние. Други програми / атаки като ______________________ използват същата тактика като WinNuke. Специално изработен пакет, който отдалечената система не може да разбере или да се справи с него, и всичко свършва. Това, което започна като неразработена помощна програма за команден ред, предназначена да експлоатира слабостта, разцъфна в десетки комунални услуги, изпълняващи същата функция. По-късните версии на програмата WinNuke бяха предназначени за изпращане на пакета на хиляди машини наведнъж. След широко разпространената злоупотреба, която се получава, доставчиците на интернет услуги и правоохранителните органи започнаха да приемат нападението по-сериозно. Малко след като WinNuke придоби популярност, Microsoft предостави “кръпка”, за да “поправи” проблема. Оригиналната помощна програма WinNuke изпрати думата bewm като част от полезния товар на пакета OOB WinNuke. Майкрософт в цялата си интелигентност не се справи с проблема. “Кръпката” просто филтрира всички пакети с “bewm” и ги пренебрегна. Както вероятно сте предположили, беше въпрос на часове преди излизането на WinNuke2, което оставя на случаен принцип полезения товар на пакета. В края на краищата Майкрософт разбра това и направи истинска “кръпка”. През следващите месеци атаката на WinNuke е пренесена почти на всеки език, вградена в IRC скриптове, и имаща широк набор от функции.

 

  1. Как да предотвратите тази атака

Има два основни начина да се спрат атаките на WinNuke. Препоръчвам ви да предприемете и двете стъпки поради очевидни ползи.

# 1. Ако използвате по-стара версия на Windows, инсталирайте кръпка от Microsoft (и информация) тук.

# 2. Стартирайте външна помощна програма като NukeNabber. Не само, че тази програма ще ви защити от WinNuke, тя също така ще следи няколко други порта, търсещи няколко други известни атаки на Denial of Service. Освен че ви защитава от тези пакети, той ще регистрира IP адреса на човека, който се опитва да ви удари. Това може да се използва за уведомяване на ISP за нападателя, ако е необходимо. Въпреки, че тази атака донякъде не е актуална, знанието за това как работи и как да се защитите е важно. То се явява като основа за няколко други атаки.

 

Написано от:

Аларик (alaric@attrition.org)

Редактирано от: Джерико и Минцере

HTMLized от: Mcintyre

в) авторско право 1999 Alaric