Рассказать о всех видах атак не есть тема этого обзора. В данном обзоре я расскажу об атаках, которые направлены на пользователей ОС Windows. Из-за ее исключительной распространенности.

Атакой в интернет принято считать попытку (удачной она будет или нет зависит во многом от вас) мальчиша-плохиша сломать ваш компьютер (программа по выводу страны из кризиса выполнила недопустимую операцию и будет закрыта), украсть данные (11 чемоданов компромата) или совместить все это (пожар на складе в ночь перед ревизией). Сделать это можно по разному, но все атаки можно разделить на несколько составляющих. Атаки одним способом не существует также, как и законной водки. Разливают все кому ни лень, мешая компонеты кто как хочет.

Все эти компоненты можно разделить на три группы:

• основанные на стандартах протоколов передачи данных (Nuke);
• DoS - Denial of Service, отказ от обслуживания (WinNuke, SUN Flooding, Land, Teardrop, SMURF);
• троянцы (Back Orifice, NetBus, Girl Friend).

Принцип действия их различен, но если кратко, то классический Nuke просто подсовывает серверу мессидж, что адрес недоступен, что приводит к разрыву соединения. Очень изобретательны DoS'овцы, то они отправляют криво нарезанные пакеты данных, то кривые байты в порт запихивают, то начинают открывать тысячи соединений, то отправляют запрос с широким адресом, то запрос с совпадающими адресами получателя и отправителя. Что полностью подвешивает компьютер. Совсем по другому ведут себя троянцы. Собственно троянцы - это программы, которые вы скачиваете из интернета, приклеенными к каким-нибудь супер-ускорителям или супер-нюкам. Их задача дать возможность управлять вашим компом одному нехорошему человеку. И что он натворит, известно только ему. Может просто гадость написать и приводом похлопать, может форматнуть диск, а может тихо украсть пароли доступа в инет или коммерческие данные.

Способы защиты от этой напасти разнообразны. Начнем потихоньку.

И классический Нюк, и все DoS'ы основаны на ошибках в ОС, на так называемых багах или дырках. Поэтому эти баги нужно закрывать заплатками, патчами. Для этого запускается Winsock Version Check v0.5 for Windows 95/98/NT, в зависимости от того, какой ответ он вам даст, будут развиваться остальные действия по залатыванию дырок Windows'а. Если будет дан ответ, что версия DUN 1.3, a Winsock 2.2, значит у вас основные ошибки исправлены, в противном слу-чае необходим апдейт до этих версий. Пошаговая процедура апдейта приведена на http://new.russian.net.ru/.

ВО - Back Orifice, это уже программа, поэтому ее можно найти и стандартными средствами Windows. ВО кидает файл WINDLL.DLL в Windows\System. Редактором реестра проверяете строчку HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\RunServices, если там стоит <ехе> - у вас ВО. Netstat очень хорошо сканирует порты во время сеанса связи, и соотвественно легко засекает все, что пытается послать или принять данные. В том числе и ВО. MSInfo показывает список работающих программ. С путями и названиями файлов.

Но жизнь на месте не стоит, семейство троянцев множится, начинает прятаться и маскиро-ваться. Поэтому для обнаружения и защиты лучше пользоваться специальным софтом. Список наиболее удачных прог и предлагается вашему вниманию

• The (Multi-Trojan) Cleaner 2.0 for Windows95/98/NT - новая версия популярной программы, находит и удаляет троянцев с вашего компьютера. В списке узнаваемых более тридцати троянцев.
• NukeNabber 2.9a for Windows95/98/NT - ведет мониторинг ваших портов и перехватывает атаки Nuke и прочих ей подобных прог. Пишет логи, в которых указывает время и IP нападавшего. Можно настроить на любые порты.
• NoBO - ведет мониторинг порта 31337. Прерывает попытки сканирования вас на предмет наличия у вас сервера ВО. Пишет логи. Позволяет отправить обидчику любой мессидж, как правило ненормативную лексику.
• NetBuster - также ведет мониторинг портов и пресекает сканирование NetBus'ом. При запуске тестирует ваш комп на наличие сервера NetBus'а и при его обнаружении удаляет. Пишет логи. Веселая штучка. Занимательна тем, что если у атакующего вас на компе установлена серверная часть NetBus'а, то он сам ловится на крючок. И помимо отправки гадкого мессиджа можете отключить ему мышь, запаролить машину, гудеть, открывать привод CD.

Итак, вы вооружились, очистились, закрыли порты и вышли на охоту. Смею вас уверить, что пищать мониторы портов будут. Не надо впадать в паранойю. Помните, что количество атакующих прог в инете немеренно, и попробовать может каждый. Поэтому не нужно воспринимать это слишком близко к сердцу. Одиночная атака ничего не значит. Зато раз два в месяц вы можете поймать особо упертых индивидуумов. О их посещении вам скажет постоянный писк мониторов, вы увидите десятки попыток проникновения в течении одной минуты, плюс ко всему мерзкие мессиджи. Тут уже надо принимать меры, благо IP атакующего у вас есть.

Первым делом определяем сетку, из которой он вылез. Это можно сделать при помощи проги internet Maniac, или на страничках Whois Service (российские ресурсы) и Welcome to the InterNIC (международные ресурсы).

Теперь, когда известна сетка, из которой вылез мальчиш-плохиш, кидаем админу или суппортам сетки сообщение, что на нас напали. Вкладываем логи для убедительности. Адрес как правило следующий - abuse@имя.сетки, admin@имя.сетки или support@имя.сетки. Впрочем, зная провайдера, найти его служебный адрес что бы написать письмо - дело одной минуты. Нужно помнить только одно - обязательно в письме сообщать время, установленное на вашем компьютере, часовой пояс, зимнее или летнее время у Вас установлено, или хотя бы разницу с московским временем указать. Может произойти так, что Вы не сможете все-таки определить сетку атакующего или адрес провайдера. Тогда напишите письмо своему провайдеру.

Помните, что практически все пользователи Интернета не имеют постоянного IP. Если объяснять популярно, то при каждом входе в интернет сервер провайдера назначает Вам динамический IP, и когда Вы выходите из сети, этот IP назаначается уже другому человеку. И если ваши системные часы показывают не истинное время - то могут пострадать невиновные люди. Пользователи Windows 95 и 98 могут воспользоваться программкой Time RC, которая сравнивает время на вашем компьютере с эталоном и синхронизирует с ним. Подобных программ в интернете много, воспользуйтесь любой.