Sicuramente vi è capitato durante una conversazione di ritrovarvi sul monitor del PC un bel messaggio di errore oppure Explorer o mIRC commettono un'operazione non valida e per chiudere la finestra siete costretti a resettare il vostro PC. Questo potrebbe anche essere un problema del software oppure dell'hardware ma molte volte anche causa di un attacco: il cosiddetto Nuke. Quindi nukkare significa attaccare con vari programmi il vostro computer. L'aggressore ha infatti bisogno solo di un indirizzo IP, facilmente rintracciabile su IRC net! Innanzitutto il Nuke è solo un tipo di attacco visto che ne esistono molti altri ma comunque è il più diffuso! Potete essere attaccati in 2 modi :

1) BUG : vengono inviati al modem del vostro computer dei dati che fanno si di sfruttare i BUG (errori) del software che è installato nel computer e quindi far bloccare quel software dovendo così riavviare il computer oppure facendo cadere la conessione a Internet, ecc....

2) FLOOD : vengono inviati al modem del vostro computer una grande quantità di dati. Questo fa si che il vostro modem ovviamente cerchi di ricevere tutti questi dati ma non ci riesce. Ciò implica un vistoso rallentamento della tua connessione ad internet perchè il modem, appunto, è occupato a riceve i dati di chi ti sta floddando, con la concreta possibilità di sconnessione o, poichè tutto procede troppo lentamente, che tu stesso sia costretto a sconetterti da internet.

ATTACCHI BUG

D.O.S.

Gli attacchi D.O.S. o Denial Of Service (Negazione dei sistemi di servizio), vanno ad attaccare i bug del sistema, cioè quelle parti lasciate scoperte dai programmatori, le backdoor, o i limiti strutturali del software. I principali attacchi D.O.S. sono i cosiddetti Nuke o WinNuke.

WinNuke

WinNuke è stato uno dei primi attacchi D.O.S. sulla rete a colpire sistemi come Win95 ed NT. Questi e' anche chiamato: Nuke, Muerte, Bluescreen, Nuke OOB, ecc.! L'attacco avviene di solito sulla porta 139 per Win95 e spedisce sulla porta NetBIOS 139 un messaggio (quello di default è un "bye" ma qualunque sequenza di caratteri produce lo stesso effetto). Per quanto riguarda Win NT la porta è la 137, queste porte sono usate di solito per gli Out Of Band. Il Nuke si ha tramite l'invio di un codice OOB non valido al NetBios di Windows che il più delle volte causa un crash della macchina e richiede un reset o reboot. Se volete testare personalmente la reazione del vostro computer a un attacco prodotto dal WinNuke provate a visitare la pagina http://www.darkening.com/cgi-bin/nukeme.cgi ; un programma remoto leggerà il vostro indirizzo ip e inoltrerà l'attacco sulla porta 139 ( attenzione: salvate prima tutti i lavori che state effettuando perché se avete Windows 95 senza l'aggiornamento del Win Sock con le relative patch un secondo dopo aver visitato quella pagina sarete costretti a effettuare un reboot "riavvio" ).

ICMP Nuke

Conosciuto anche come Nuke2, il nuke ICMP colpisce il protocollo tcp del server IRC e del client connesso. Questi attacca entrambe le porte sulle quali comunicano il client e il server causando la chiusura immediata della connessione.

Teardrop e Land Nuke
Teadrop e Land sono due nuke che causano l'immediato crash con unica soluzione il riavvio del sistema.

ATTACCHI FLOOD

Ping of death

E' un modo improprio di usare il comando più elementare, disponibile su tutti i sistemi, per causare strani effetti sulle macchine colpite. Questo problema riguarda Windows 95/98, Win NT e moltissimi sistemi UNIX e periferiche su Internet. Il 18 Dicembre '96 il CERT della Carnegie Mellon University di Pittsgurg emise un bollettino informando della vulnerabilità di molti sistemi in rete quando ricevono un pacchetto IP che supera le dimensioni standard di 64kb; in particolare una richiesta ICMP ECHO prodotta con il comando "ping" e che supera il limite di 64kb può essere usata per causare il blocco della macchina a cui viene inoltrata. ICMP (Internet Control Message Protocol) è un sottogruppo di istruzioni del protocollo TCP/IP usato per scambiare messaggi di controllo ed errore tra sistemi collegati in rete; all'interno delle specifiche di questo protocollo sono definite due particolari istruzioni ICMP_ECHO_REQUEST e ICMP_ECHO_REPLY che sono rispettivamente generate tramite l'uso del comando ping e dalla risposta di un sistema al ping stesso. Di norma il comando ping viene usato per determinare se un sistema remoto è raggiungibile o meno dal proprio sistema locale, valutare i tempi medi in cui i pacchetti raggiungono la destinazione e la percentuale del numero di pacchetti che si perdono durante il tragitto. Il problema non si limita ai soli computer, ma viene di fatto esteso anche agli X-terminal, router, stampanti e a tutto ciò che viene connesso direttamente in rete. Le specifiche del TCP/IP fissano la grandezza massima di un datagramma IP in 65536 bytes. Di questi solo 20 sono riservati all'intestazione del pacchetto. All'interno del pacchetto risiede a sua volta una richiesta ICMP costituita da 8 bytes di header seguita dal numero di byte riservati per i dati : facendo due conti al volo, la grandezza massima disponibile per l'area dati è 65535 - 20 - 8 = 65507 bytes. Il problema del ping of death nasce dalla possibilità di generare una richiesta ICMP_ECHO in un pacchetto con più di 65507 byte di campo dati sebbene sia assolutamente fuori dalle specifiche previste dal TCP/IP. Infatti al momento della trasmissione il pacchetto originale viene frammentato in piccoli pacchetti e questi spediti al destinatario; ciascun frammento al suo interno porta con se le informazioni relative alla esatta posizione in cui deve essere collocato dal ricevitore quando viene assemblato. Poiché la maggior parte dei sistemi operativi non verificano il pacchetto se non al momento in cui hanno ricevuto tutti i frammenti in cui è stato scomposto durante la trasmissione, può capitare che una volta ricomposto, il pacchetto generi un overflow dello stato delle variabili interne della macchina; le conseguenze ovviamente sono diverse a seconda del tipo di macchina e del tipo di sistema operativo in questione. Non è una regola o una costante. Macchine simili possono reagire in maniera diversa e assolutamente imprevedibile. In alcuni casi il fenomeno si può verificare in condizioni di carico gravoso su macchine che in altre condizioni non avevano presentato l'inconveniente; nei casi limite l'effetto è decisamente sorprendente, si va dal crash al reboot spontaneo con tutte le varie sfumature di halt e freeze della console possibili e immaginabili. Fortunatamente non tutti i sistemi operativi permettono di spedire un datagramma IP maggiore di 64kb e questo se volete in parte limita il problema alla sorgente; tuttavia Windows 95 permette tranquillamente di superare il limite e ci sono in circolazione decine di programmi per UNIX e altri sistemi operativi nati allo scopo di generare liberamente un ping di dimensioni volute. Se da una parte è evidente che attaccare un sistema remoto usando questo artifizio sia estremamente facile e alla portata di tutti, non è altrettanto ovvio come si possa riuscire a salvaguardare la propria macchina o rete locale. Per testare se il vostro computer è soggetto al problema in questione in prima approssimazione è sufficiente che vi procurate un sistema Windows 95 e provate il comando: ping -l 65527 127.0.0.1 dove 127.0.0.1 è per convenzione l'IP simbolico del computer stesso. Tipicamente riceverete il messaggio "Request Timed Out" o perché la macchina in questione ignora a ragion veduta il ping, o nella peggiore delle ipotesi perché si è bloccata. Ripetuti test effettuati su diverse macchine hanno confermato l'effettiva esistenza del pericolo; le macchine dotate di sistemi operativi di realese più datata ne sono fortemente soggetti (ad esempio le prime versioni di Windows 95, NT4 sprovvisto di Service Pack 2 e Linux con kernel antecedente alla 2.0.24)

Autore: Tim Nott
Pubblicato da: Pc Magazine del Gruppo editoriale Jackson



ICMP (Internet Control Message Protocol)

Questo è un attacco di tipo flood che avviene di solito mediante l'invio di molti ping. Il flood si verifica quando un utente invia una enorme serie di ping che attaccano direttamente il winsock. Praticamente il modem viene sovraccaricato di pacchetti/ping inutili e questo comporta un notevole rallentamento della connessione. Il computer attaccato quindi passerà tutto il tempo a rispondere ai ping dell'aggressore e, in questo modo non sarà in grado di rispondere ai ping del server IRC che interpreterà questo come una mancata risposta e disconnette l'utente dal server!

SsPing

SsPing è un tipo di attacco con pacchetti ICMP in grado di congelare un PC e richiedere un Reboot. Questo attacco è uno dei più letali visto che può provocare crach a router ed intere reti! In breve esso manda ad una macchina pacchetti ping non validi o frammentati di grosse dimensioni causando cosi un irrimediabile blocco.

PROGRAMMI PER NUKKARE (per Windows 95/98) "i migliori e i più famosi"

Aggressor Exploit Generator v.0.85

Click 2.2

Assault v1.0

Port Fuck v1.0b2

Ora che sapete i principali tipi di Nuke veniamo a come difenderci. Per difendersi dai nuke uno dei migliori programmi antiNuke per Windows è il Nuke Nabber. Un altro metodo, probabilmente il migliore, è quello di usare un Firewall (muro di fuoco) che è in grado di fermare ogni pacchetto non autorizzato in entrata. Uno dei migliori per Windows è sicuramente il Pc Conseal. Il terzo metodo è anche quello di scaricare patch ("pezza") anti OOB Nuke, Winnuke, Jolt, SSPING, IceNuke TearDrop-2, Bonk, Boink e Lande quindi aggiornare il proprio Win Sock, Windows 98 ha già il Win Sock 2.2 quindi non istallate versioni meno recenti :) . Per sapere che versione di Win Sock avete se non avete Win98 nel vostro Computer, potete saperlo con Win Sock Check basta lanciarlo e vi dirà che versione avete.

PROGRAMMI PER DIFENDERSI:

Nuke Nabber

Pc Conseal FireWall

ICMP Watch