Сейчас мы будем их жестоко тестить на предмет противодействия различным видам сетевых атак. Выясним же, кто действительно стоит того, чтобы занимать достойное место в системе, защищая её от всяческих напастей; а кто - разрекламированный друшлаг. 1. Безобразие начинается 2. Подопотные 3. Обещания разработчиков 4. Флудим 5. SYN - ICMP - IGMP - UDP 6. Нюкаем 7. Эксплоиты 8. Прослушиваем 9. Сканим 10. Отключаем 11. Кто здесь Лидер? Посмотрим же как реализуют себя стенки в защите вашего любимого компа. Сейчас мы будем их жестоко тестить на предмет противодействия различным видам сетевых атак. Выясним же, кто действительно стоит того, чтобы занимать достойное место в системе, защищая её от всяческих напастей; а кто - разрекламированный друшлаг. Заниматься мы будем простейшим и в то же время важнейшим делом - валить систему в синий экран всеми доступнымии способами. Вот щас и выясним - кто тут лидер ))). А если говорить интелегентно - мы будем испытывать фаерволы на предмет противодействия атакам, вызывающим отказ в обслуживании,.. и не только. Предполагается начальные знания читателя основы ТСР\!Р протокола, а также некоторого хакерского опыта smile.gif . Итак, мы имеем: 1. Винда ХРеновая\SamPostavil_2, пропатченная под завязку. 2. Фаерволы популярные: - Kaspersky AntiHacker - OutpostPro - ZoneAlarm_PRO 2. Четыре вида флудеров: SYN, ICMP, IGMP, UDP. 3. Вагон нюкеров с маленькой тележкой: WinNuke, SmbDie, Fragmentation.... 4. Три самых популярных масдайных эксплоита\червя: LoveSun, Sasser, Messenger, UP&P. 5. Снифер, крутой и професиональный. 6. Сканер портовый, многофункциональный. 7. Мозг - воспалённый, руки - выпрямленные smile.gif Замечу что производители этих фаерволов обещали защищать нас конкретно от: 1. Kaspersky AntiHacker * Ping of Death- Эта атака состоит в отправке на ваш компьютер ICMP - пакета, размер которого превышает допустимое значение в 64 КБ. Эта атака может привести к аварийному завершению работы. * Land - Эта атака заклюсается в отправке на ваш компьютер большого количества запросов на установку соединения с самим собой. Атака приводит к тому, что компьютер не реагирует на другие попытки установить соединения. * Сканирование TCP-портов - Эта атака заключается в попытке определить открытые TCP-порты на вашем компьютере. Атака используется для поиска слабых мест и предшествует более опасным атакам. * Сканирование UDP-портов - Эта атака заключается в попытке определить открытые UDP-порты на вашем компьютере. Атака используется для поиска слабых мест и предшествует более опасным атакам. * SYN-Flood - Эта атака заключается в отпраке на ваш компьютер большого кол-ва запросов на установку соединения. Атака приводит к тому, что компьютер не реагирует на другие попытки установить соединения. * UDP-Flood - Эта атака заключается в отправке специальных UDP-пакетов, которые бесконечно пересылаються между атакованными компьютерами. В результате атаки тратяться ресурсы компьютеров и загружается центральный процессор. * ICMP-Flood - Эта атака заключается в отправке большого кол-ва ICMP-пакетов на ваш компьютер. Атака приводит к большому росту загрузки процессора в силу реагирования на каждый пакет. * Helkern - Эта атака заключается в в отпраке на ваш компьютер UDP-пакетов специального вида, способных выполнить вредоносный код. Атака приводит к замедлению работы в интернете. * SmbDie - Эта атака заключается в попытке установить соединение с вашим компьютером по SMB-протоколу, в случае успеха на компьютер отправляется пакет особого вида, который пытаеться переполнить буфер. Атаке подвержены ОС Windows 2k\XP\NT. * Lovesan - Эта атака заключается в попытке обнаружения на вашем компьютере бреши в сервисе DCOM_RPC операционной системе Windows и пересылке вредоносной программы с её использованием, которая потенциально позволит производить любые манипуляции на вашем компьютере. 2. OutpostPro * Сканирование порта - атакующий запрашивает TCP и UDP порты Вашей системы, чтобы определить к какому порту он может подсоединиться, чтобы получить контроль. * Denial of Service - Большое кол-во данных посылается на порт вашей системы при попытке вызвать ошибку или зависание системы. * Fragmented ICMP - пакет ICMP, посланный в виде фрагментов, превышает 1472 байта после сборки. Это может привести к сбоям в стеке TCP и зависанию системы. * Fragmented IGMP - пакет IGMP, посланный в виде фрагментов, превышает 1472 байта после сборки. Это может привести к сбоям в стеке TCP и зависанию системы. * Short fragments - Пакет разбивается на несколько фрагментов, которые затем изменяються таким образом, что после сборки пакет приводит к зависанию системы. * Teardrop - ещё один вид Short fragments атаки. * My Address - Атака, состоящая в перехвате IP - адреса Вашей системы, имитации системы в сети и захвате всех соединений. * Перекрывающиеся фрагменты - Пакет разбивается на несколько фрагментов , которые затем изменяються таким образом, что накладываються друг на друга и вызывают зависание системы из-зи ошибок памяти. * WinNuke - Источник проблемы состоит в уязвимости протокола TCP, приводящей к зависанию некоторых версий операционных систем Windows при получении специфических пакетотв. * Nestea - опасное перекрытие IP - пакетов, вызываемое программой Nestea, может привести к нестабильности и зависанию системы. * Iseping - Большой ICMP пакет разбивается на большое число фрагментов. После сборки приводит к зависанию системы. * ICMP атака - TCP\IP стек Windows некорректно обрабатывает фрагментированные ICMP-пакеты. Система, получившая такой пакет, с большой вероятностью, зависнет. * Opentear - программа Opentear использует фрагментированные UDP-пакеты, чтобы подвергнуть компьютер жертвы перезагрузке. * Nuke - Попытка захватить TCP-соединение и обойти брандмауэр и другие системы обнаружения атак. * IGMP атака - TCP\IP стек Windows некорректно обрабатывает фрагментированные IGMP-пакеты. Система, получившая такой пакет, с большой вероятностью, зависнет. * Port139 - Фрейм с нулевым полем имени, который может привести системы Windows 95 или 98 к нестабильному состояниюили зависанию. * Неверное поле IP Options - атака использует переполнение буфера стэка TCP\IP (когда размер поля IP Options превышает 38 байт) для выполнения вредоносного кода на вашем компьютере. * Атака RPC DCOM - Различные черви и утилиты используют RPC_DCOM - уязвимость, что может привести к выполнению злонамеренного кода и падениям системы. * Отравление ARP-кеша - опасная атака направленная на перехват трафика. 3. ZoneAlarm * Детектора атак нету * Зато защита ARP-кэша есть * А остальное надо ручками настраивать, ибо фаервол очень серьёзный. Итак, приступим. Выставим фаерволам вот такие режимы. Для Касперского - это "Высокий". Для Аутпоста - "Блокировать". А вот Мистер Аларм на высоком уровне защиты блокировал ВСЕ мои домогательства (можно считать его вне конкуренции и лидером в области высокого уровня запрета), поэтому, чтоб было интересней, я его перевёл в средний режим тревожности. Начнём сначала, испытывая флудеры: * SYN-флудер *Без фаервола система падала секунд за 10. *Касперский, как положено, опознал атаку и заблокировал айпи негодяя, однако процессор всё равно грузился (?). Какого.. ! Видимо, приоритет загруженного драйвера фаервола стоит на равном (или ниже) виндового, в чем я так же убедился на других атаках. Это вери бэд, ибо по сути должного противодействия атаке не оказывается. Это означает, что если атакующих будет двое или более - системе пипец. *Аутпост не опознал атаку(замечу, что опознание флуд-атак в него не заложено!!!), и загрузка процессора была вдвое больше. *Аларм молчал (детектора атак у него вообще нет), однако каким-то чудом не давал процессору загружаться. Хм.. может флудер не правильный?.. * ICMP-флудер *Касперский определяет флуд... и всё равно грузит проц. *Аутпост даже при стандартных настройках режет ICMP по самое не балуйся. Урезав всё вручную и оставив только необходимое он превратился в настоящую ICMP-крепость, которой до такого флуда просто пофиг. Респект. *Аларм был настроен на фильтрацию этих пакетов. Атака провалена. * IGMP-флудер *Без фаервола процессор грузился на 100%, однако система была работоспособна(приоритет IGMP низок). *Касперский не знает ничего об IGMP вообще и молчал. Процессор на 80%. *Outpost при первом включении обычно спрашивает, разрешать ли обработку IGMP. Нах. И так как IGMP был просто запрещен, проц - 50%. *Аларм был настроен на фильтрацию пакетов. Проц 35%. * UDP-флудер *Без фаерволов проц на 100%(приоритет удп выше чем тср) , система жутко тормозила, но (я оч удивлен) всё же выжила. *Касперский, как обычно всё распознал... и продолжал грузить процессор ))) *Аутпост каким то неизвестным образом умудрялся противостоять натиску без блокировки. *Аларм как обычно молчал, не давая мне ни шанса ($ly ..!!!). Теперь по-нюкаем *Касперский опознал лишь LAND атаку - пожалуй единственную, которой подвержена ХР. Вобщем то можно сказать, что ставить фаервол от дяди каспера можно только на пропатченную ХР, так как если б это была другая винда - она свалилась бы без вопросов. *Аутпост как и было обещано опознал многие типы нюкеров. А вот с LAND как раз не справился. *По причине отсутствия детектора атак, Алармик был безмолвен. Если его ставить на старую систему, есть реальный шанс свалить её, при условии достаточно демократичных настроек фаервола. Эксплоиты Ну с DCOM'ом и Lsass'ом как оказалось, был знаком KAV и Outpost. А вот остальные сплоиты они видели явно впервые ) А ещё говорят, что если слегка переписать код эксплоита, то его ваще никто не замечает... Снифер - тест Теперь заценим новую фичу Аутпоста - защиту от отравления арп-кэша. Берём специальный снифер и травим кэш жертвы. Вот, без фаервола ВЕСЬ трафик между сервером и жертвой пошел через нас. А из него мы можем легко выловить пароли. Включаем Аутпост - тревожная табличка и все хакеры идут лесом ))). А так же обратим внимание на встроенный в Аутпост антиспайвэа-модуль, который призван находить в вашей системе разных шпионов. Фича полезная. Определила 3 из 3-х запущенных шпионских паблик-прог. Про огромную гору фишек в Аларме я рассказывать устану. Там их дофигища. Защита АРП-кэша имеется. Сканим порты. Ну теперь - самое любимое )) При сканировании нескольких портов каждый фаер сразу опознавал нарушителя, независимо от типа сканирования. Теперь усложним задачу. Кто мешает нам посканить один порт? Прально. А если удасться, то через секунд 10 можно просканить и ещё один, и ещё... Сканить будем в два этапа. Оба - стелс-сканирование, первое поверхностное, второе - углубленное. Скажу, что на поверхностном удалось просканить всех. *Касперский показал неплохой результат, заблокировав хакера при начале углубленного скана. *Аутпост при стандартных настройках сканиться просто на ура. Однако слегка поднастроив детектор атак он показал отличный результат. *Аларм ничего не стал скрывать и устроил моему сканеру чистосердечное признание, сдав систему и сервисы с потрохами smile.gif)) Отключаем Теперь просто и незатейлево пытаемся изменить настройки\отключить\деинсталировать фаервол и посмотрим его реакцию. Предположим, мы удаленно получили доступ к командной строке с привелегиями SYSTEM или Администратора. Из-за криво настроенного фаервола мы имеем сам доступ, однако нам этого мало и надо любой ценой устранить сетевой экран. *Касперский абсолютно не возражал против отключения своего сервиса и убийства процесса. У него даже защиты паролем нет. *Аутпост был защищён паролем. Однако умер от простейшего тасккила с выгрузкой сервиса(можно сбацать сишную прогу с "TerminateProcess") *Аларм послал меня куда подальше, вывел табличку с предупреждением. Мало того, он защищен паролем и от деинсталяции. Безупречно. Отключив таки сервис, загрузившись в безопасносном режиме, я снова потерпел неудачу. Оказывается, Аларм глубоко интегрируется в сетевые дровишки и при его несанкционированном отключении происходит полная блокировка сетевого трафика. Просто зверюга. Кто здесь Лидер? Ну вот. Чтож, могу сказать, что фаервол Касперского я бы назвал не Анти-Хакер, а Анти-Ламер ))) ибо защищает он лишь от них. Также использование его на системах, отличных от WinXP\SP2 будем иметь печальный итог. Тут уж я и не знаю кто кого и от кого защищает )). Меня сильно позабавил смачный глюк, когда несмотря на "блокировку атакующего" я таки смог определить открытые порты. Ето вери-вери бэд. Аутпост показал неплохую устойчивость от различного вида атак. Огорчает его безразличие к флуду (однако айпи хакера можно легко посмотреть, открыв вкладку сетевой активности), но радует повышенная безопасность от сниферства, spy-детектор и гибкость настроек детектора атак (да и всех остальных модулей - оч. профессиональный подход). Почти некчему придраться. Зон Аларм ваще зверь, но только при высоком уровне защиты. Видите ли, разработчики делали режимы фаервола в расчете на СТРАШНЫЙ Интернет и БЕЗОПАСНУЮ локальную сеть... Поэтому, если вам все надоели, вы хакер, единоличник, или агент FBI - ставьте Алармик и врубайте высокий режим защиты. Тогда достучаться до вас можно будет только через дверь.
Аутпост - сложнонастраиваемая система,лочит практически все,если граммотно настроить,но настраивать трудно и муторно) Касперский - Ресурсы жрет не по детски,файр видит все.... ZoneAlarm - Лично я юзаю его,оптимизированно хавает ресурсы,и защита не слабая...
В качестве бесплатного фаера юзай comodo, у меня давно используется - всем доволен. PS Содержимое не соответствует заголовку, ибо о комодо там не слова.
