NUKE

Sicuramente vi sarà capitato durante una conversazione di ritrovarvi con il monitor del PC un bel messaggio di errore oppure Explorer o mIRC commette un'operazione non valida e per chiudere la finestra siete costretti ad resettare il vostro PC. Questo potrebbe anche essere un problema del software oppure dell'hardware ma molte volte anche causa di un attacco il cosiddetto Nuke (polverizzare), quindi nukkare è attaccare con vari programmi il vostro computer. L'aggressore ha infatti bisogno solo di un indirizzo IP, facilmente rintracciabile su IRC net! Innanzitutto il Nuke è solo un tipo di attacco onsiderando che ne esistono molti altri, egli comunque è il più diffuso! Potete essere attaccati in 2 modi : 

1) BUG : vengono inviati al modem del vostro computer dei dati che fanno si di sfruttare i BUG (errori) del software che è installato nel computer è far si quindi di far bloccare quel software dovendo così riavviare il computer oppure facendodi cadere la conessione a Internet, ecc....

2) FLOOD : vengono inviati al modem del vostro computer una grande quantità di dati questo fa si che il vostro modem ovviamente cerca di ricevere tutti questi dati ma non ci riesce e quindi fa si di rallentare la tua connessione a internet perché è occupato a riceve i dati di chi ti sta floddando con la possibile sconessione o dato che è tutto lento dover tu stesso sconnetterti da internet.

Se trovi collegamenti sbagliati o descrizioni confuse, o vuoi in ogni caso collaborare o esprimere critiche/commenti invia il tutto a webmaster@raulken.it

Denial of Service D.O.S.
Gli attacchi D.O.S. o Denial Of Service (Negazione dei sistemi di servizio), vanno ad attaccare i bug del sistema, cioè quelle parti lasciate scoperte dai programmatori, le backdoor, o i limiti strutturali del software. I principali attacchi D.O.S. sono i cosiddetti Nuke o WinNuke.WinNuke è stato uno dei primi attacchi D.O.S. sulla rete a colpire sistemi come Win95 ed NT. Questi e' anche chiamato: Nuke, Muerte, Bluescreen, Nuke OOB, ecc.! L'attacco avviene di solito sulla porta 139 per Win95 e spedisce sulla porta NetBIOS 139 un messaggio (quel lo di default è un "bye" ma qualunque sequenza di caratteri produce lo stesso effetto). Per quanto riguarda Win NT la porta è la 137, queste porte sono usate di solito per gli Out Of Band. Il Nuke si ha tramite l'invio di un codice OOB non valido al NetBios di Windows che il più delle volte causa un crash della macchina e richiede un reset o reboot. Se volete testare personalmente la reazione del vostro computer a un attacco prodotto dal WinNuke provate a visitare la pagina http://www.darkening.com/cgi-bin/nukeme.cgi ; un programma remoto leggera il vostro indirizzo ip e inoltrerà l'attacco sulla porta 139 (attenzione: salvate prima tutti i lavori che state effettuando perché se avete Windows 95 senza l'aggiornamento del Win Sock con le relative patch un secondo dopo aver visitato quella pagina sarete costretti a effettuare un reboot"riavvio"). Tuttavia questi bug sono stati corretti e adesso funzionano solo su pochi pc con w95 e wnt non aggiornati... adesso ne esistono dei nuovi :-)

 

Teardrop e Land Nuke
Teadrop e Land sono due nuke che causano l'immediato crash con unica soluzione il riavvio del sistema.

 

ATTACCHI FLOOD

Ping of death
E' un modo improprio di usare il comando più elementare, disponibile su tutti i sistemi, per causare strani effetti sulle macchine colpite. Questo problema riguarda Windows 95/98, Win NT e moltissimi sistemi UNIX e periferiche su Internet. Il 18 Dicembre '96 il CERT della Carnegie Mellon University di Pittsgurg emise un bollettino informando della vulnerabilità di molti sistemi in rete quando ricevono un pacchetto IP che supera le dimensioni standard di 64kb; in particolare una richiesta ICMP ECHO prodotta con il co mando "ping" e che supera il limite di 64kb può essere usata per causare il blocco della macchina a cui viene inoltrata. ICMP (Internet Control Message Protocol) è un sotto gruppo di istruzioni del protocollo TCP/IP usato per scambiare messaggi di controllo ed errore tra sistemi collegati in rete; all'interno delle specifiche di questo protocollo sono definite due particolari istruzioni ICMP_ECHO_REQUEST e ICMP_ECHO_REPLY che sono rispettivamente generate tramite l'uso del comando ping e dalla risposta di un sistema al ping stesso. Di norma il comando ping viene usato per determinare se un sistema remoto è raggiungibile o meno dal proprio sistema locale, valutare i tempi medi in cui i pacchetti raggiungono la destinazione e la percentuale del numero di pacchetti che si perdono durante il tragitto. Il problema non si limita ai soli computer, ma viene di fatto esteso anche agli X-terminal, router, stampanti e a tutto ciò che viene connesso direttamente in rete. Le specifiche del TCP/IP fissano la grandezza massima di un datagramma IP in 65536 bytes di questi solo 20 sono riservati all'intestazione del pacchetto. All'interno del pacchetto risiede a sua volta una richiesta ICMP costituita da 8 bytes di header seguita dal numero di byte riservati per i dati : facendo due conti al volo la grandezza massima disponibile per l'area dati è 65535 - 20 - 8 = 65507 bytes. Il problema del ping of death nasce dalla possibilità di generare una richiesta ICMP_ECHO in un pacchetto con più di 65507 byte di campo dati sebbene sia assolutamente fuori dalle specifiche previste dal TCP/IP. Infatti al momento della trasmissione il pacchetto originale viene frammentato in piccoli pacchetti e questi spediti al destinatario; ciascun frammento al suo interno porta con se le informazioni relative alla esatta posizione in cui deve essere collocato dal ricevitore quando viene assemblato. Poiché la maggior parte dei sistemi operativi non verificano il pacchetto se non al momento in cui hanno ricevuto tutti i frammenti in cui è stato scomposto durante la trasmissione, può capitare che una volta ricomposto, il pacchetto generi un overflow dello stato delle variabili interne della macchina; le conseguenze ovviamente sono diverse a seconda del tipo di macchina e del tipo di sistema operativo in questione. Non è una regola o una costante; macchine simili possono reagire in maniera diversa e assolutamente imprevedibile; in alcuni casi il fenomeno si può verificare in condizioni di carico gravoso su macchine che in altre condizioni non avevano presentato l'inconveniente; nei casi limite l'effetto è decisamente sorprendente, si va dal crash al reboot spontaneo con tutte le varie sfumature di halt e freeze della console possibili e immaginabili. Fortunatamente non tutti i sistemi operativi permettono di spedire un datagramma IP maggiore di 64kb e questo se volete in parte limita il problema alla sorgente; tuttavia Windows 95 permette tranquillamente di superare il limite e ci sono in circolazione decine di programmi per UNIX e altri sistemi operativi nate allo scopo di generare liberamente un ping di dimensioni volute. Se da una parte è evidente che attaccare un sistema remoto usando questo artifizio sia estremamente facile e alla portata di tutti, non è altrettanto ovvio come si possa riuscire a salvaguardare la propria macchina o rete locale. Per testare se il vostro computer è soggetto al problema in questione in prima approssimazione è sufficiente che vi procurate un sistema Windows 95 e provate il comando: ping -l 65527 127.0.0.1 dove 127.0.0.1 è per convenzione l'IP simbolico del computer stesso. Tipicamente riceverete il messaggio "Request Timed Out" o perché la macchina in questione ignora a ragion veduta il ping, o nella peggiore delle ipotesi perché si è bloccata. Ripetuti test effettuati su diverse macchine hanno confermato l'effettiva esistenza del pericolo; le macchine dotate di sistemi operativi di realese più datata ne sono fortemente soggetti (ad esempio le prime versioni di Windows 95, NT4 sprovvisto di Service Pack 2 e Linux con kernel antecedente alla 2.0.24) Autore: Tim Nott Pubblicato da: Pc Magazine del Gruppo editoriale Jackson.
Questo è un attacco di tipo flood che avviene di solito mediante l'invio di molti ping. Il flood si verifica quando un utente invia una enorme serie di ping che attaccano direttamente il winsock. Praticamente il modem viene sovraccaricato di pacchetti/ping inutili e questo comporta un notevole rallentamento della connessione. Il computer attaccato quindi passerà tutto il tempo a rispondere ai ping dell'aggressore e, in questo modo non sarà in grado di rispondere ai ping del server IRC che interpreterà questo come una mancata risposta e disconnette l'utente dal server!


SsPing

SsPing è un tipo di attacco con pacchetti ICMP in grado di congelare un PC e richiedere un Reboot. Questo attacco è uno dei più letali visto che può provocare crach a router ed intere reti! In breve esso manda ad una macchina pacchetti ping non validi o frammentati di grosse dimensioni causando cosi un irrimediabile blocco.


UDP (user datagram protocol)
E' utilizzato x stabilire una connessione ma non controlla se il dato arriva a destinazione, quindi è un protocollo inaffidabile e può essere attaccato con flood.