Sicuramente vi è capitato durante una conversazione
di ritrovarvi sul monitor del PC un bel messaggio di errore oppure Explorer
o mIRC commettono un'operazione non valida e per chiudere la finestra siete
costretti a resettare il vostro PC. Questo potrebbe anche essere un problema
del software oppure dell'hardware ma molte volte anche causa di un attacco:
il cosiddetto Nuke. Quindi nukkare significa attaccare con vari programmi il
vostro computer. L'aggressore ha infatti bisogno solo di un indirizzo IP, facilmente
rintracciabile su IRC net! Innanzitutto il Nuke è solo un tipo di attacco
visto che ne esistono molti altri ma comunque è il più diffuso!
Potete essere attaccati in 2 modi :
1) BUG : vengono inviati al modem del vostro computer
dei dati che fanno si di sfruttare i BUG (errori) del software che è
installato nel computer e quindi far bloccare quel software dovendo così
riavviare il computer oppure facendo cadere la conessione a Internet, ecc....
2) FLOOD : vengono inviati al modem del vostro
computer una grande quantità di dati. Questo fa si che il vostro modem
ovviamente cerchi di ricevere tutti questi dati ma non ci riesce. Ciò
implica un vistoso rallentamento della tua connessione ad internet perchè
il modem, appunto, è occupato a riceve i dati di chi ti sta floddando,
con la concreta possibilità di sconnessione o, poichè tutto procede
troppo lentamente, che tu stesso sia costretto a sconetterti da internet.
ATTACCHI BUG
D.O.S.
Gli attacchi D.O.S. o Denial Of Service (Negazione
dei sistemi di servizio), vanno ad attaccare i bug del sistema, cioè
quelle parti lasciate scoperte dai programmatori, le backdoor, o i limiti strutturali
del software. I principali attacchi D.O.S. sono i cosiddetti Nuke o WinNuke.
WinNuke
WinNuke è stato uno dei primi attacchi
D.O.S. sulla rete a colpire sistemi come Win95 ed NT. Questi e' anche chiamato:
Nuke, Muerte, Bluescreen, Nuke OOB, ecc.! L'attacco avviene di solito sulla
porta 139 per Win95 e spedisce sulla porta NetBIOS 139 un messaggio (quello
di default è un "bye" ma qualunque sequenza di caratteri produce
lo stesso effetto). Per quanto riguarda Win NT la porta è la 137, queste
porte sono usate di solito per gli Out Of Band. Il Nuke si ha tramite l'invio
di un codice OOB non valido al NetBios di Windows che il più delle volte
causa un crash della macchina e richiede un reset o reboot. Se volete testare
personalmente la reazione del vostro computer a un attacco prodotto dal WinNuke
provate a visitare la pagina http://www.darkening.com/cgi-bin/nukeme.cgi ; un
programma remoto leggerà il vostro indirizzo ip e inoltrerà l'attacco
sulla porta 139 ( attenzione: salvate prima tutti i lavori che state effettuando
perché se avete Windows 95 senza l'aggiornamento del Win Sock con le
relative patch un secondo dopo aver visitato quella pagina sarete costretti
a effettuare un reboot "riavvio" ).
ICMP Nuke
Conosciuto anche come Nuke2, il nuke ICMP colpisce
il protocollo tcp del server IRC e del client connesso. Questi attacca entrambe
le porte sulle quali comunicano il client e il server causando la chiusura immediata
della connessione.
Teardrop e Land Nuke
Teadrop e Land sono due nuke che causano l'immediato crash con unica soluzione
il riavvio del sistema.
ATTACCHI FLOOD
Ping of death
E' un modo improprio di usare il comando più
elementare, disponibile su tutti i sistemi, per causare strani effetti sulle
macchine colpite. Questo problema riguarda Windows 95/98, Win NT e moltissimi
sistemi UNIX e periferiche su Internet. Il 18 Dicembre '96 il CERT della Carnegie
Mellon University di Pittsgurg emise un bollettino informando della vulnerabilità
di molti sistemi in rete quando ricevono un pacchetto IP che supera le dimensioni
standard di 64kb; in particolare una richiesta ICMP ECHO prodotta con il comando
"ping" e che supera il limite di 64kb può essere usata per
causare il blocco della macchina a cui viene inoltrata. ICMP (Internet Control
Message Protocol) è un sottogruppo di istruzioni del protocollo TCP/IP
usato per scambiare messaggi di controllo ed errore tra sistemi collegati in
rete; all'interno delle specifiche di questo protocollo sono definite due particolari
istruzioni ICMP_ECHO_REQUEST e ICMP_ECHO_REPLY che sono rispettivamente generate
tramite l'uso del comando ping e dalla risposta di un sistema al ping stesso.
Di norma il comando ping viene usato per determinare se un sistema remoto è
raggiungibile o meno dal proprio sistema locale, valutare i tempi medi in cui
i pacchetti raggiungono la destinazione e la percentuale del numero di pacchetti
che si perdono durante il tragitto. Il problema non si limita ai soli computer,
ma viene di fatto esteso anche agli X-terminal, router, stampanti e a tutto
ciò che viene connesso direttamente in rete. Le specifiche del TCP/IP
fissano la grandezza massima di un datagramma IP in 65536 bytes. Di questi solo
20 sono riservati all'intestazione del pacchetto. All'interno del pacchetto
risiede a sua volta una richiesta ICMP costituita da 8 bytes di header seguita
dal numero di byte riservati per i dati : facendo due conti al volo, la grandezza
massima disponibile per l'area dati è 65535 - 20 - 8 = 65507 bytes. Il
problema del ping of death nasce dalla possibilità di generare una richiesta
ICMP_ECHO in un pacchetto con più di 65507 byte di campo dati sebbene
sia assolutamente fuori dalle specifiche previste dal TCP/IP. Infatti al momento
della trasmissione il pacchetto originale viene frammentato in piccoli pacchetti
e questi spediti al destinatario; ciascun frammento al suo interno porta con
se le informazioni relative alla esatta posizione in cui deve essere collocato
dal ricevitore quando viene assemblato. Poiché la maggior parte dei sistemi
operativi non verificano il pacchetto se non al momento in cui hanno ricevuto
tutti i frammenti in cui è stato scomposto durante la trasmissione, può
capitare che una volta ricomposto, il pacchetto generi un overflow dello stato
delle variabili interne della macchina; le conseguenze ovviamente sono diverse
a seconda del tipo di macchina e del tipo di sistema operativo in questione.
Non è una regola o una costante. Macchine simili possono reagire in maniera
diversa e assolutamente imprevedibile. In alcuni casi il fenomeno si può
verificare in condizioni di carico gravoso su macchine che in altre condizioni
non avevano presentato l'inconveniente; nei casi limite l'effetto è decisamente
sorprendente, si va dal crash al reboot spontaneo con tutte le varie sfumature
di halt e freeze della console possibili e immaginabili. Fortunatamente non
tutti i sistemi operativi permettono di spedire un datagramma IP maggiore di
64kb e questo se volete in parte limita il problema alla sorgente; tuttavia
Windows 95 permette tranquillamente di superare il limite e ci sono in circolazione
decine di programmi per UNIX e altri sistemi operativi nati allo scopo di generare
liberamente un ping di dimensioni volute. Se da una parte è evidente
che attaccare un sistema remoto usando questo artifizio sia estremamente facile
e alla portata di tutti, non è altrettanto ovvio come si possa riuscire
a salvaguardare la propria macchina o rete locale. Per testare se il vostro
computer è soggetto al problema in questione in prima approssimazione
è sufficiente che vi procurate un sistema Windows 95 e provate il comando:
ping -l 65527 127.0.0.1 dove 127.0.0.1 è per convenzione l'IP simbolico
del computer stesso. Tipicamente riceverete il messaggio "Request Timed
Out" o perché la macchina in questione ignora a ragion veduta il
ping, o nella peggiore delle ipotesi perché si è bloccata. Ripetuti
test effettuati su diverse macchine hanno confermato l'effettiva esistenza del
pericolo; le macchine dotate di sistemi operativi di realese più datata
ne sono fortemente soggetti (ad esempio le prime versioni di Windows 95, NT4
sprovvisto di Service Pack 2 e Linux con kernel antecedente alla 2.0.24)
Autore: Tim Nott
Pubblicato da: Pc Magazine del Gruppo editoriale Jackson
ICMP (Internet Control Message Protocol)
Questo è un attacco di tipo flood che avviene
di solito mediante l'invio di molti ping. Il flood si verifica quando un utente
invia una enorme serie di ping che attaccano direttamente il winsock. Praticamente
il modem viene sovraccaricato di pacchetti/ping inutili e questo comporta un
notevole rallentamento della connessione. Il computer attaccato quindi passerà
tutto il tempo a rispondere ai ping dell'aggressore e, in questo modo non sarà
in grado di rispondere ai ping del server IRC che interpreterà questo
come una mancata risposta e disconnette l'utente dal server!
SsPing
SsPing è un tipo di attacco con pacchetti
ICMP in grado di congelare un PC e richiedere un Reboot. Questo attacco è
uno dei più letali visto che può provocare crach a router ed intere
reti! In breve esso manda ad una macchina pacchetti ping non validi o frammentati
di grosse dimensioni causando cosi un irrimediabile blocco.
PROGRAMMI PER NUKKARE (per Windows 95/98) "i
migliori e i più famosi"
Aggressor Exploit Generator v.0.85
Click 2.2
Assault v1.0
Port Fuck v1.0b2
Ora che sapete i principali tipi di Nuke veniamo
a come difenderci. Per difendersi dai nuke uno dei migliori programmi antiNuke
per Windows è il Nuke Nabber. Un altro metodo, probabilmente il migliore,
è quello di usare un Firewall (muro di fuoco) che è in grado di
fermare ogni pacchetto non autorizzato in entrata. Uno dei migliori per Windows
è sicuramente il Pc Conseal. Il terzo metodo è anche quello di
scaricare patch ("pezza") anti OOB Nuke, Winnuke, Jolt, SSPING, IceNuke
TearDrop-2, Bonk, Boink e Lande quindi aggiornare il proprio Win Sock, Windows
98 ha già il Win Sock 2.2 quindi non istallate versioni meno recenti
:) . Per sapere che versione di Win Sock avete se non avete Win98 nel vostro
Computer, potete saperlo con Win Sock Check basta lanciarlo e vi dirà
che versione avete.
PROGRAMMI PER DIFENDERSI (per Windows 95/98)
Nuke Nabber
Pc Conseal FireWall
ICMP Watch
