Атака на сервисы Windows

Атака осуществляется путем отправки большого количества пакетов в единицу времени на компьютер-жертву. Как правило, выбираются порты, использующиеся протоколом NetBIOS. NetBIOS является протоколом для работы в локальных сетях и представляет из себя интерфейс сеансового уровня. Он обеспечивает выполнение сетевых операций ввода/вывода, а так же управляет транспортным протоколом, в качестве которого могут выступать либо TCP, либо UDP протоколы. По умолчанию порты протокола NetBIOS открыты, поэтому приложения могут через NETBIOS найти необходимые им ресурсы и установить связь, а так же послать или получить информацию.

Порты данного протокола:

- порт № 137 – используется для службы имен;

- порт № 138 – используется для службы дейтограмм;

- порт № 139 – используется для сессий;

Уязвимыми можно считать и порты № 135, 445. Порт 135 используется для удаленного управления служб, включая DNS-сервер, в то время как 445 используется в Microsoft Windows 2000 и поздних версий для прямого TCP/IP-доступа без использования NetBIOS (например, в Active Directory). Порт № 445 способен предоставить также доступ к жесткому диску персонального компьютера.

Лабораторный стенд сообщает об атаке при интенсивности поступления пакетов на данные порты более чем 1000 в секунду. Такая интенсивность может свидетельствовать о наличии DoS- или DDos-атаке.

Рисунок 18. Алгоритм обнаружения атаки на сервисы Windows

3.2.6. Запрещённые комбинации TCP-флагов

В TCP-пакете может быть установлены различные комбинации 6 флагов:

- URG – наличие флага URG говорит о том, что TCP-пакет содержит важные (urgent) данные.

- ACK – его наличие означает, что TCP-пакет содержит в поле «номер подтверждения» верные данные.

- PSH – его наличие говорит о том, что данные TCP-пакета должны быть немедленно переданы прикладной программе, для которой они адресованы.

- RST – данный флаг устанавливается, когда получен неверный TCP-пакет или необходимо переустановить логического соединения.

- SYN – флаг является запросом на установление логического соединения. При получении пакета с данным флагом принимающая сторона должна ответить на него.

- FIN – пакет с таким флагом является запросом на закрытие логического соединения и признаком конца потока данных, передаваемых в этом направлении. При получении пакета с данным флагом принимающая сторона должна ответить на него.

К одним из запрещённых комбинаций относят сочетание SYN и FIN – два взаимоисключающих флага (первый устанавливает соединение, второй завершает его) – данные флаги не могут встречаться вместе. Данное сочетание флагов очень часто используют различные сканеры, в том числе сканер Nmap. Иногда добавляют к данной комбинации ещё несколько флагов с целью обхода некоторых средств сетевой безопасности, например, комбинации SYN – FIN – PSH или SYN – FIN – RST, SYN – FIN – RST – PSH. Аналитики называют эти сочетания «шаблоном рождественской елки» («Christmas Tree Pattern»). К подозрительным также относят комбинации RST – FIN и SYN – RST.

TCP-пакеты, содержащие запрещённые комбинации, называются неправильными.