Как сообщил Крис Чифлер, президент WebCom, сервер компании буквально захлебнулся пакетами данных, которые имели фиктивные обратные адреса, а результатом стал отказ от обслуживания. Когда сервер попытался послать ответы на эти запросы, он обнаружил, что таких адресов не существует, и поместил их в стек отложенных запросов. Стек, естественно, очень быстро переполнился, что и привело сервер к сбою.

К сожалению, все серверы, использующие стек протоколов TCP/IP, восприимчивы к таким атакам.

Этот инцидент обошелся компании WebCom и интерактивным службам, которые она поддерживает, в десятки тысяч долларов.

Последняя атака, затронувшая все три тысячи узлов Web, которыми владеет WebCom, началась вскоре после полуночи в субботу. 14 часов спустя, когда аналогичные явления были отмечены в сети MCI, удалось проследить обратную цепочку: канадский оператор сервиса CA-Net — колледж в Британской Колумбии. «Представители колледжа заявили, что кто-то, возможно извне, внедрился в их систему и удалил файл паролей и журнал, стремясь скрыть следы своего пребывания. Мы делали попытки восстановить удаленную информацию», — сообщил Чифлер.

Представители CIAC и CERT не выработали способа, позволяющего полностью «застраховаться» от повторения подобных атак; однако они рекомендуют операторам Internet переконфигурировать свои маршрутизаторы таким образом, чтобы те не позволяли посылать сообщения с IP-адресами, которые не принадлежат их собственной сети.

Это по крайней мере не позволит подобному бедствию «зародиться» в вашей сети, считают представители CIAC. Если такие шаги предпримет достаточно большое количество компаний, хакерам придется изрядно потрудиться, чтобы найти место, откуда можно было бы начать атаку.

Серверы могут быть переконфигурированы таким образом, чтобы иметь более длинные очереди соединений и быстрее сбрасывать запросы, помещенные в очередь. Это также не радикальная мера, но и она поможет серверам выдержать атаку.

Используемое WebCom серверное программное обеспечение, предоставленное компанией Netscape Communications, не имеет таких «защитных» механизмов, но в модернизированной версии они появятся.

Новая угроза безопасности сети Web

Новый тип хакерской атаки на Internet, именуемый Web spoofing, вскоре может создать гораздо более серьезную угрозу ее безопасности, чем Syn flood, вирусы и так называемый Ping o’Death.

Пока еще не зафиксированы случаи применения этого новейшего метода, представляющего собой «спуфинг» сервера и подмену данных, разыскиваемых браузером пользователя. Однако, по мнению профессора Эдварда Фелтена, возглавляющего группу, занимающуюся исследованиями в области безопасности Internet в Принстонском университете, которая и обнаружила такую возможность, он может быть даже более опасен, чем атаки других типов.

Это обусловлено тем, что, в отличие от атак типа Syn, которые привели недавно к нарушению работы провайдера услуг Internet из Калифорнии (этот случай получил широкую известность), атаки типа Web spoofing могут поставить под угрозу целостность данных владельца Web-узла.

Атаки типа Syn просто разрывают Internet-соединения пользователей, при этом сервер заполняется запросами на соединение — и все они исходят от компьютера хакера, генерирующего ложные IР-адреса; в результате сервер провайдера услуг Internet перегружается; создается ситуация, когда вполне законные запросы игнорируются. К счастью, чтобы избежать атаки такого типа, можно принять некоторые меры предосторожности.

Для осуществления «спуфинга» Web тот, кто его предпринимает, должен сначала привлечь внимание пользователя к ложному Web-узлу.

Это может быть сделано несколькими способами: проникновением на существующий узел и подменой локаторов URL путем внесения имитируемого узла в список механизма поиска или путем посылки электронной почты пользователям с указанием адреса, который сможет стимулировать их посещение. Данное пояснение принадлежит Фелтену, недавно раскрывшему технику имитации сервера.

Имитируемый узел затем помещает свой собственный адрес перед любым указателем ресурсов URL, запрашиваемым пользователем, так что адрес http://www.anyurl.com превращается в http://www.spoofserver.com/http://www.anyurl.com.

«Правильная» Web-страница затем отсылается назад пользователю через сервер, где эту информацию можно изменить, а любую информацию, которую передает пользователь, — перехватить.

Процесс может быть продлен, в результате чего все другие оперативные связи будут иметь пристыкованный впереди адрес; как следствие, все запросы других локаторов URL будут нарушаться.

Те два признака, которые могли бы насторожить пользователя, подсказывая ему, что его соединения осуществляются через другой сервер, — статусная строка внизу экрана и адрес назначения наверху, — могут быть изменены путем использования апплетов Java, как утверждает Фелтен.