Центр стратегических оценок и прогнозов

Автономная некоммерческая организация

Главная / Оборона и безопасность / Вопросы информационной безопасности / Статьи
Распределенная атака с отказом в обслуживании
Материал разместил: Гриняев Сергей НиколаевичДата публикации: 21-08-2001

Один из многочисленных видов удаленных атак на компьютерные системы известен как «атака с отказом в обслуживании» (Denial-of-Service, DoS). Данный тип нападения имеет целью не допустить доступ законных пользователей к ресурсам информационной системы. Традиционные атаки отказа в обслуживании используют ошибки в программном обеспечении, связанные с переполнением буфера, истощения ресурсов системы или эксплуатируют дефекты системы, в результате чего система «валится» и некоторое время необходимо на ее восстановление.

Краткий обзор

Летом 1999 года был зарегистрирован новый тип нападения на информационные системы с использованием сети Интернет. Он получил название «распределенная атака с отказом в обслуживании» (Distributed Denial of Service, DDoS). Ряд известных интернет-сайтов был успешно атакован с использованием этого типа нападения. Среди них сайты eBay, Yahoo! и др.

Распределенная атака с отказом в обслуживании использует множество вычислительных машин, работающих совместно, и воздействующих на сеть или участок сети, выбранный в качестве мишени. Мало что можно сделать, если ваша информационная система стала мишенью для DDoS атаки. Природа этих нападений порождает так много дополнительного трафика в сети, что сеть оказывается перегруженной, и нет возможности заблокировать враждебные пакеты данных.

Ввиду повышенной опасности данный вид атаки на компьютерные системы в течении длительного времени являлся предметом исследования многих лабораторий, занимающихся вопросами обеспечения защиты информации.

Результаты одного из исследований проведенных в Национальной лаборатории Лоуренса Ливермора Министерства энергетики США, было опубликовано в феврале 2000 года. Данный отчет и послужил основой для подготовки материалов настоящей статьи.

В статье обсуждаются принципы организации DDoS-атак, работа средств по их организации, а также приемы обнаружения таких атак.

 

Топология распределенных атак с отказом в обслуживании

Первыми инструментальными средствами организации этого типа атак были программные комплексы Trin00 и Tribe Flood Network (tfn). Они породили следующее поколение средств организации DdoS-атак: Tribe Flood Network 2000 (TFN2K) и STACHELDRAHT. Эти средства проведения распределенных атак с отказом в обслуживании создавались с целью блокирования одного или нескольких узлов сети, затопляя мишень большим потоком пакетов данных, организованным от множества узлов и удаленно контролируемым единственным компьютером.

Большинство из существующих сегодня средств организации DDoS-атак основано на одной и той же базовой концепции и топологии. Подчеркнем, что эти инструменты не используются для захвата данных или проникновения в компьютерную систему. Они используются исключительно для разрушения нормального трафика в районе узла-мишени.

Данные нападения чрезвычайно трудно проследить в силу реализованных в инструментах приемах маскировки их деятельности, о чем мы расскажем подробнее чуть ниже. Ряд утилит использует шифрование с целью скрыть их коммуникации, а также изменяют их исходные адреса, что позволяет скрыть их истинное местоположение.

Как правило, средства организации DDoS-атак управляются удаленно. Если администратор сайта, подвергшегося нападению, сможет проследить адреса агентов, то для выхода на инициатора нападения ему необходимо будет также проследить трафик до узла-руководителя, и только после этого он сможет выйти на нападающего.

DDoS-атаки включают две стадии. Как правило, противник затрачивает значительное  время при подготовке к проведению первой стадии (рис.1) нападения.

 

Рис.1. Первая стадия атаки

Эта стадия нападения заключается в поиске и компрометации как можно большего количества компьютеров. Нападающий нуждается в большом количестве компьютеров, чтобы затем сгенерировать мощные потоки фиктивных пакетов данных, необходимых для «затопления» выбранной мишени.

Большинство рассматриваемых инструментов нападения, работают под управлением операционных систем Linux или Solaris, в то время как TFN2K может функционировать как под Windows, так и под Linux и Solaris.

 

Рис.2. Вторая стадия DDoS-атаки

 Таким образом, нападающий должен найти множество компьютерных систем со слабой защитой, чтобы скрытно проникнуть в них и установить необходимый DDoS-инструментарий, а также скрыть присутствие этих средств. Отсюда вытекает первое правило борьбы с атаками этого вида: чтобы обезопасить вашу систему от участи генератора ложных пакетов важно, что вы поддерживаете необходимый уровень безопасности ваших компьютерных систем и своевременно реагируете на обнаружение в программном обеспечении новых каналов воздействия.

Вторая стадия этого нападения не может быть реализована до тех пор, пока не будет скомпрометировано достаточно много машин для формирования мощного потока ложных пакетов.

Именно вторая стадия - фактическое осуществление нападения с отказом в обслуживании. Компрометированные системы порождают атакующий трафик в сети с целью заблокировать нормальную работу целевого сайта или подсети. Сами эти скомпрометированные системы рассматриваются вторичными жертвами нападения.

Порожденный трафик использует TCP протокол. Цель, на которую обрушивается этот поток, не может сразу обработать все поступающие пакеты, и распределяет под их последующую обработку некоторый ресурс. В конечном счете, это приводит к полному истощению ресурсов и блокировке системы, что и является целью атаки. Во множестве случаев вообще не имеет значения, как обрабатываются пакеты, поскольку объем пакетов настолько большой, что сама сеть переполняется порожденным трафиком, что не позволяет проходить законному трафику.

Топология распределенной атаки отказа в обслуживании (рис. 3) состоит из четырех уровней. Компрометированные системы играют роль «руководителей» групп «агентов» и самих агентов. Агенты - это собственно те компьютеры, где порождается атакующий поток пакетов. Один или более руководителей управляют этими агентами. Руководители поддерживают список всех агентов. Руководители также сигнализируют агентам, когда начать нападение и определяют метод нападения. Нападающий управляет одним или более руководителями, а каждый агент может ответить на запрос больше чем одному руководителю.  Существует общее название для скомпрометированных в ходе подготовки DDoS-атаки компьютеров – «зомби».

Рис. 3. Топология распределенной атаки

Связь между руководителями и агентами в двух ранних инструментах, Trin00 и TFN, была сделана с использованием TCP/IP протокола. Эти коммуникации не использовали шифрование за исключением элементарного пароля, используемого для сокрытия передачи команд. Самые последние инструменты, TFN2K и Stacheldraht, шифруют большинство коммуникаций между руководителями и агентами, используя алгоритмы шифрования Blowfish или CAST.

В указанных средствах метод нападения различен. Trin00 нападает только с использованием UDP-потока. Все другие инструменты позволяют нападающему выбирать между потоками UDP, SYN и ICMP. В TFN2K добавлен метод нападения targa3 и смешанное нападение, которое использует UDP, SYN и ICMP-потоки в равных пропорциях.

 

Описание средств проведения распределенных атак с отказом в обслуживании

Trino00 

Программное обеспечение агента может быть установлено на Linux и Solaris системах. На некоторых системах метод, используемый для установки Trin00 агента, использует crontab вход, чтобы ежеминутно возобновлять процесс, это позволяет программе заново возобновлять работу, если локальная система ее завершает.

Как правило, сервер-руководитель устанавливается на системах, которые обычно имеют достаточно высокий трафик и большое число TCP и UDP-связей, типа сервера имен, с целью скрыть активность Trin00-сервера. Компрометированные системы обычно имеют инструменты, скрывающие присутствие программ и файлов в системе, типа rootkit. Программа-руководитель поддерживает список агентов, с которыми она может входить в контакт, этот список содержится в скрытом файле "..." (три точки).  

Создатели программы предусмотрели ввод пароля для установления связи. Если фиксируется попытка установления другой связи к тому же серверу, в то время как кто-то уже связан с руководителем, первой связи посылается сигнал тревоги с IP-адресом второго соединения. Например, если местный администратор системы или кто-то другой делают попытку связи с руководителем, в то время как с ним уже соединен злоумышленник, ему и будет послан сигнал тревоги.

Trin00 нападает на систему по случайным UDP-портам. По этой причине не выполнимо блокировать весь UDP-трафик. Однако можно блокировать типовые UDP-порты, которые руководитель и агенты используют для связи (как правило, это порты 27444 и 31335).

Обнаружение Trin00 достаточно затруднительно. Существует множество имен Trin00-агента: ns, http, rpc. Trin00, rpc.listen, trinix, rpc.irix, и irix. Агенты могут быть обнаружены путем контроля crontab-файлов. Сценарии, используемые для автоматизированной установки Trin00 в сети, используют UNIX-команду "rcp".

Сервер-руководитель обнаружить еще сложнее. Единственный действенный метод обнаружения состоит в том, чтобы искать скрытый файл "...", который является типовым названием файла для известных агентов, которыми руководитель может управлять. Этот файл расположен в том же самом каталоге, что и бинарный код сервера руководителя.

Когда агент обнаружен, список IP-адресов руководителей может быть также найден, путем использования команды UNIX "string" на бинарном файле агента. Далее, когда уже и руководитель найден, расположение агентов может быть установлено, используя известный список хостов. Если файл был зашифрован, тогда необходимо взять под свой контроль работу компьютера-руководителя. Помните, это посылает сигнал тревоги нападающему, если он подключен к системе вместе с вами!

Когда Trin00-агент активирован, он объявляет готовность, посылая UDP-пакет, содержащий строку «*HELLO*» по запрограммированному IP-адресу его Trin00-руководителя. Агенты получают ответ руководителя с UDP-пакетом, содержащим строку «PONG». Контроль двух UDP-портов связи (27444 и 31335) на предмет наличия этих строк может дать хорошие результаты.

 

TribeFloodNetwork 

Действие Tribe Flood Network (tfn) подобно таковому для Trin00. Руководители поддерживают список известных агентов (названный "iplist") с которыми они могут входить в контакт. В текущей версии программы "iplist", однако, согласно имеющимся данным, в последних обнаруженных установках tfn-агентов выявлены сигнатуры, которые указали на то, что автор добавил Blowfish шифрование.

Управление руководителями выполнено с использованием команд командной строки. Это может быть выполнено различными методами. Агент и руководитель связываются через пакеты ICMP_ECHOREPLY. Многие средства сетевого контроля не показывают часть данных пакетов ICMP, так что достаточно трудно контролировать связь между агентом и руководителем.

TFN может организовывать атаку с использованием четырех различных протоколов: UDP-поток, TCP-поток с SYN, ICMP-поток и др. Другая «особенность» TFN - то, что «по требованию» корневая оболочка может быть «привязана» к TCP-порту.

Взаимодействие с клиентом устанавливается путем передачи 16-разрядного двоичного числа в поле «ID» ICMP_ECHOREPLY-пакета. Эти числа легко могут быть изменены в исходном тексте программы. Любые параметры прослеживаются как ASCII-текст в поле данных ICMP_ECHOREPLY-пакета.

Связь между руководителем и агентами реализована с использованием  обработанных  ICMP_ECHOREPLY-пакетов. Очень трудно блокировать весь ICMP-трафик без того, чтобы не нарушить нормальную работу большинства программ в сегменте Internet. Оперативный контроль за "rcp"-соединением (514/TCP) от нескольких систем в вашей сети в поисках отдельного IP-адреса вне вашей сети, является хорошим сигналом при обнаружении атаки.

Программное обеспечение обнаружения вторжения может быть конфигурировано так, чтобы обнаруживать большое число ICMP-пакетов с различными исходными IP-адресами, отправленными по одному и тому же IP-адресу.

 

Tribe Flood Network 2000

Создатель TFN2K разработал этот инструмент нападения, чтобы иллюстрировать тот факт, что инструментальные средства злоумышленников становятся все более искушенными. Разработчик выбрал атаку с отказом в обслуживании потому, что в этом случае результаты наиболее красноречивы.

Инструмент был разработан с тем, чтобы возможно было компилировать его на разных операционных системах. Исходный текст может компилироваться под Linux, Solaris, большинство разновидностей UNIX и Windows.

TFN2K использует классические типы атак с отказом в обслуживании типа ICMP-потока, SMURF-потока, SYN-потока и UDP-потока. В дополнение к ним также используется  атака Targa3, а также смешанные атаки.

Targa3 использует случайные нестандартные IP-пакеты, которые разрушают некоторые IP-стеки или ведут к их некорректной работе. Смешанная атака посылает UDP, SYN и ICMP-пакеты в равных пропорциях. Это ведет к непредсказуемым результатам на некоторых маршрутизаторах, сетевом программном обеспечении обнаружения вторжения и и т.д.

Все нападения используют имитацию IP-адресов. Связь между нападающим и руководителем сделана со случайным выбором протоколов (TCP, UDP или ICMP), таким образом, чтобы никакой распознаваемый образец (сигнатура) не мог быть найден в таких пакетах. Данный подход дает возможность проходить сквозь любые механизмы фильтрации. Специальный протокол, называемый «Tribe Protocol», содержится в полях данных пакетов. Этот протокол шифруется с помощью алгоритма CAST-256 и кодируется с использованием Base64, а далее декодируется и расшифровывается руководителем. В отличие от других инструментальных средств DDoS здесь нет никакой обратной связи к нападающему. Вместо этого атакующий компьютер генерирует команды каждые 20 тактов, полагаясь на вероятность того, что руководитель примет, по крайней мере, одну из них.

Могут также использоваться  пакеты-приманки, которые генерируются вместе с каждым реальным пакетом, когда участники обмениваются сообщениями. Это полностью затеняет связь «нападающий-руководитель», делая чрезвычайно трудным определение истинного местоположения атакующих хостов. Нет никаких заданных по умолчанию паролей в исходном тексте. Все команды – единичный символ, так что чрезвычайно трудно распознать его в пакетах. Разработчик дополняет это шифрованием тела пакета.

Указанные характеристики делают утилиты, написанные Дейвом Диттричом и Дэвидом Брумлей, малоэффективными. Инструмент NIPC в этом случае также неприменим.

Создатели TFN2K заявляют, что нет никаких строк, которые могут быть найдены в исполняемой программе руководителя, но есть строки, которые могут быть найдены в агенте. Проектировщик продолжает комментировать, что есть общедоступные программы, которые  преобразовывают бинарные файлы в самораспаковывающиеся программы. Это делает строки необнаружимыми инструментальными средствами поиска по сигнатуре.

Вместе с тем, ряд экспертов по безопасности отмечают, что есть одна особенность кодирования информации с помощью base64. В конце каждого пакета TFN2K, независимо от протокола и алгоритма шифрования, есть последовательность 0x41, которая транслируется как «A».

 

STACHELDRAHT

Данная программа объединяет особенности Trin00 и TFN, добавляет зашифрованную связь между клиентом и руководителем, а также автоматизированное удаленное обновление агентов. Подобно инструментальным средствам, рассмотренным выше, Stacheldraht выполняется на Linux и Solaris. Топология такая же, как у TFN и Trin00.

Нападающий использует зашифрованный сеанс связи, подобный telnet, чтобы связаться с руководителями. Существует предел в 6000 агентов, которыми обработчик может управлять. Обработчик и агент могут связываться по ICMP_ECHOREPLY. Связь между нападающим и обработчиком сделана с симметричным ключевым шифрованием.

 Stacheldraht также обеспечивает возможность модифицировать агентов дистанционно по требованию. Эта особенность позволяет нападающему непрерывно изменять портовые пароли и значения команд.

Есть достаточно много строк, которые могут использоваться при идентификации бинарных файлов в файловой системе. Поэтому инструментальное средство NIPC достаточно эффективно при обнаружении агентов этой системы. Однако если бинарные файлы сжимаются, это средство неэффективно.

Когда агенты активизируются, они пытаются читать файл конфигурации списка руководителя, чтобы обнаружить, который из них в настоящий момент управляет этим агентом. Данный файл и список IP-адресов зашифрован алгоритмом blowfish. Если этот файл не может быть обнаружен, есть заданный по умолчанию обработчик IP-адресов. Как только агент получает список потенциальных руководителей, он начинает посылать пакеты ICMP_ECHOREPLY с полем ID равным 666 и полем даты, содержащим строку «skillz». Как показывает практика, это было справедливо для версии 1.1 и все еще остается в версии 4.0. Руководитель отвечает строкой "ficken" и значением 667 в поле ID. Вся эта связь сделана открытым текстом и может быть перехвачена.

Как отмечается в ряде публикаций. Stacheldraht гораздо труднее обнаружить чем любое из предыдущих средств нападения.

Этот инструмент связывается между участниками сеанса связи главным образом с использованием пакетов ICMP_ECHOREPLY. Как отмечалось выше, достаточно трудно блокировать эти пакеты без того, чтобы не нарушить нормальную работу большинства программ, которые используют ICMP. Программное обеспечение обнаружения вторжения могло бы искать сигнатуры в ICMP _ECHO-трафике. Однако это будет все сложнее и сложнее с увеличением размеров сети, потому что количество нормального трафика увеличится.

Недостаток установления подлинности пакетов ICMP агенту и отказ разработчика в  шифровании указанных строк в пакетах ICMP, является единственными слабым звеном этого инструмента. Если порты, пароли и значения команды не были изменены, агентов системы можно предупредить работой различных сканирующих утилит, написанных Дейвом Диттричом и Дэвидом Брумлей.

 

Обнаружение и предотвращение DDoS-атак

Наиболее важный аспект распределенных нападений - то, что нападающий нуждается в компрометированных компьютерных системах для реализации нападения. Если Интернет, как сообщество, будет уверено, что каждая из его подсетей безопасна, то не будет места для злоумышленников, размещающих свои инструменты в плохо поддерживаемых системах. Чтобы усилить безопасность, введите использование сильных правил генерации паролей всеми пользователями, так как злоумышленники используют слабые пароли, чтобы получить неправомочный доступ к системам.

Один из приемов маскировки, используемый средствами DDoS-атак, состоит в подмене IP-адреса источника в заголовке IP-пакетов. Подмененный исходный адрес предотвращает целевой участок сети от знания того, откуда на самом деле нападение исходит. Маршрутизатор может быть сконфигурирован таким образом, чтобы пакеты не маршрутизировались, если адрес отправителя не находится внутри подсети, обслуживаемой данным маршрутизатором.

 

Средства обнаружения инструментария DDoS-атаки

Сегодня в Интернет доступны, как минимум, три утилиты, которые помогут вам обнаружить в вашей системе компьютеры-агенты и компьютеры-руководители, а проще – «зомби», способные по сигналу начать массированную атаку на выбранную жертву.

Первое средство было создано Национальным центром защиты инфраструктуры (NIPC) в США и названо "find_ddosv31". Эта утилита функционирует под управлением операционной системы Solaris версии 2.5.1, 2.6, и 7 для процессоров Sparc и Intel, а также для Linux на платформе Intel.

Версия 3.1 инструмента обнаруживает TFN2K-сервер, TFN2K-агент, Trin00-агент, Trin00-руководитель, TFN-агент, TFN-сервер, Stacheldraht-сервер, Stacheldraht-руководитель, Stacheldraht-агент и TFN-клиент. Данная утилита обнаруживает агентов и руководителей при помощи поиска известных бинарных последовательностей (сигнатур), характерных для средств нападения. Программа должна выполняться локально на каждом узле, чтобы обнаружить присутствие инструментов нападения.   

Серьезный недостаток указанной утилиты состоит в том, что в последних версиях средств DDoS-атак используется технология полиморфных вирусов, затрудняющая поиск по сигнатуре. Данное средство поиска враждебного ПО может быть загружено с сайта NIPC http://www.fbi.gov/NIPC/trinoo.htm.

Один из специалистов Вашингтонского Университета, Дэвид Диттрич, разработал инструмент, называемый им "DDoS_scan". Эта утилита обнаруживает Trin00-агента, tfn-агента и Stacheldraht-агента. Существующая версия программы не обнаруживает компоненты  комплекса TFN2K. Утилита работает путем сканирования сети на предмет выявления в трафике управляющих пакетов взаимодействия «руководитель-агент», и поиска в них характерных бинарных строк. Эта утилита просматривает всю подсеть с единственного узла сети.

Если исходный код программы нападения был изменен, чтобы установить связь с другого коммуникационного порта или были изменены пароли, то данный инструмент не будет успешно справляться со своими функциями. Его можно найти по адресу http://staff.washington.edu/dittrich/misc/DDoS_scan.tar.

Еще одна утилита была разработана Дэвидом Брумлейем из Станфордского Университета. Им реализован удаленный детектор - "Rid", для поиска Trin00-агента, tfn-агент, и Stacheldraht-агент. Это средство также просматривает стандартные порты и пароли, используемые инструментами нападения.

Rid осуществляет поиск по всем узлам в сети (либо по ограниченному списку хостов) с одного из узлов. Эта программа использует файл конфигурации для изменения портов и сигнатуры, которые он ищет, а также список хостов, которые просматриваются. Указанный файл может быть легко изменен в случае, если инструмент нападения уже обнаружен другими средствами. Порты и пароли могут быть введены в файл конфигурации путем добавления к списку поиска.

Это средство может быть найдено по адресу http://packetstorm.securify.com/distributed/rid-1_0.tgz.

 

Рекомендации

Чтобы препятствовать использованию ваших систем в качестве «зомби», необходимо удостовериться, что все системы безопасности актуализированы последними «заплатками» от разработчика. Удостоверьтесь, что хорошая политика пароля реализована на каждой машине в сети, используйте схему одноразовых паролей или шифрование, чтобы предотвратить доступ злоумышленнику к любой машине в сети и не допустить установки вспомогательного программного обеспечения (типа сниффера) и получения информации для доступа к остальной части сети. Выключите все ненужные сервисы. Злоумышленники постоянно совершенствуют средства проникновения на основе выявляемых уязвимостей в программном обеспечении информационных систем. Как только представлена новая технология, сразу появляется и новая уязвимость, которая быстро принимается на вооружение злоумышленником. Удостоверьтесь, что все серверы и маршрутизаторы ведут журналы всех событий.

По мнению ряда экспертов, инструмент Дэвида Брумлея, rid, является наиболее многообещающим в настоящее время. Он идентичен программе Дейва Диттрича в способе обнаружения агентов. Специалистами по информационной безопасности рекомендуется использование rid после применения DDoS_scan, в силу возможности добавления к параметрам поиска через файл конфигурации новых данных. Большинство пользователей может изменять этот файл, в то время как для DDoS_scan модификация исходного кода - единственный путь, которым параметры поиска могут быть изменены.

Инструмент NIPC достаточно успешен в обнаружении бинарных сигнатур для всех инструментов нападения под управлением Solaris.

Далее следует отметить, что межсетевой экран должен быть установлен на внешнем краю сетей. Эти экраны могут быть конфигурированы, чтобы фильтровать и регистрировать поступающий и исходящий трафик. Они позволят вам предотвратить использование некоторых протоколов на входе или выходе из подсети. Например, весь ICMP-трафик может быть заблокирован от входа или выхода подсети. Это позволяет нарушить коммуникации, используемые агентами для связи и координации работы. 

Как рекомендуется рядом экспертов, маршрутизаторы должны быть сконфигурированы так, что весь исходящий трафик был проверен, с целью удостовериться, что источник IP-пакета принадлежит подсети, которую этот маршрутизатор обслуживает. Подразделением по компьютерной безопасности Ливерморской Национальной лаборатории Министерства энергетики США. Разработан руководящий документ RFC 2267, который обсуждает, как можно использовать указанный выше прием в ограничении эффективности и возможностей нападения DDoS (см. http://www.landfield.com/rfcs/rfc2267.html). Это не остановило бы DDoS-атаки, но помогло расследованию в обратном прослеживании пакетов к их источнику и остановке нападения. Такая конфигурация могла бы служить как ранняя система предупреждения на случай, если подсеть используется для атаки.

Любой из методов нападения провоцирует и значительный трафик назад к агенту. Этот трафик должен спровоцировать генерацию сигнала программным обеспечением обнаружения вторжения и инициировать прослеживание пакетов, а возможно и разорвать связь к маршрутизатору так, чтобы не причинять вред целевому участку сети.

Компания Cisco опубликовала «Белую книгу» о том, как DDoS-атаки могут быть предотвращены, и как собрать необходимую для расследования информацию путем изменения конфигурации маршрутизаторов в каждой из подсетей. Она может быть найдена по адресу http://www.Cisco.com/warp/public/707/newsflash.html*prevention.

Наконец, когда ваша сеть уже принимает участие в DDoS-атаке против другого участка сети, отключите системы, действующие как агенты, от базовой сети. Если агенты не могут быть быстро обнаружены, то может стать необходимым и отключение маршрутизатора к внешней сети. Это остановит большинство разрушающих пакетов к цели, в то время, как   агенты продолжат генерировать трафик, что даст возможность их вычислить. При этом обязательно необходимо помнить, что злоумышленник имеет почти полный контроль над компьютером-зомби.

Сергей Гриняев

 

Литература

  1. Paul Criscuolo – Distributed Denial of Service, CIAC-2319, Feb. 14, 2000.
  2. Axent Technologies - TFN2K - An Analysis by Jason Barlow and Woody Thrower http://www2.axent.com/swat/swat.htm
  3. David Dittrich - The DoS Projects "trinoo" distributed Denial of Service attack tool, http://staff.washington.edu/dittrich/misc/trinoo.analysis
  4. David  Dittrich  -  The  "Tribe  Flood  Network"  distributed  Denial  of  Service  attack  tool, http://staff.washington.edu/dittrich/misc/tfn.analysis
  5. David Dittrich - The "stacheldraht" distributed Denial of Service attack tool, http://staff.washington.edu/dittrich/misc/stacheldraht.analysis
  6. ISS X Force Alert - Denial of Service Attack using the Trin00 and Tribe Flood Network programs, http://xforce.iss.net/alerts/advise40.php3
  7. Results  of  the  Distributed-System  Intruder  Tools  Workshop,  Pittsburgh,  Pennsylvania USA November 2-4, 1999, http://www.cert.org/reports/dsit_workshop.pdf

МАТЕРИАЛЫ ПО ТЕМЕ: Оборона и безопасность
Возрастное ограничение