Відразу хочу обмовитися, що опис цієї атаки не поподает під розділ злому або крадіжки поролей і вже тим більше не пов’язана з «троянськими кіньми». Атака типу Nuke є найпоширенішою атакою в мережі через її простоти проведення, в основному такі атаки застосовуються на чатах для того щоб «викинути» з каналу (чату). Атака проводиться з використанням спеціальних програм, створених для цих цілей, і називаються вони нюкеры. Словом Nuke (нюк з англійської ядерний вибух) називають сьогодні будь-яку атаку на порти віддалених комп’ютерів, що приводить до «краху» операційної системи або до розриву інтернет-з’єднання. Nuke не порушує стан файлової системи і крім невеликих незручностей не доставляють ніякої шкоди вашому комп’ютеру. Перезавантажити, користувач може продовжити роботу в Мережі. Способів атаки дуже багато, у статті я розгляну тільки деякі з них, і ви зрозумієте, яким чином постоїть nuke атаки. Ідея nuke полягає в тому, що він відсилає неправильні (invalid) ICMP пакети, і машина-хост втрачає зв’язок із з’єднанням інтернету.
1) Атака під назвою Ping o’ Death. (багато поширені операційні системи виявилися до неї дуже чутливі, у багатьох системах дірку вже давним-давно прикрили, але все-таки до цих пір мають місце в успішному проведенні цієї атаки) Ping o’ Death заснована на посиланні більше 65 527 байтів даних + 20 байт заголовка IP + 8 байт ICMP-заголовка в одному IP-пакеті. Так як більшість систем не збирають всі пакети до того, як отримають їх повністю, то отримані дані просто не вмістяться в 16-бітної внутрішньої змінної і виникає невиправна помилка. В Win 95 такі дії призводять до зависання системи. Для проведення цієї атаки не обов’язково користуватися спеціальними програмами, досить обчычной утиліти Ping, яка входить в постачання windows. Просто напросто досить запустити її з параметрами ping -l 65527 victim.dest.ip
2) Атака Out Of Band (WinNuke або OOB). Заснована на тому, що 139 порт Win95 (135 порт WinNT) не закритий для стороннього вторгнення, тому, відіславши на цей порт пакет даних з прапором заголовка OOB, можна спровокувати зависання операційної системи і поява синього екрану. З’ясувалося експериментально, якщо під’єднатися до машині Windows з будь-якого слухав порту і послати туди кілька байт OutOfBand даних, реалізація стека TCP/IP не знає, що робити з цими даними і просто підвішує або перезавантажує машину. Win95(OSR2) видає синій текстовий екран, який повідомляє про помилку в драйвері TCP/IP і неможливість роботи з мережею до перезавантаження ОС. NT 4.0 без сервіс паків перезавантажується, NT 4.0 SP2 випадає синій екран. Атаці схильні так само Windows NT 3.51 і Windows 3.11 for Workgropus. (код на перлі perl -MIO::Socket -e
‘IO::Socket::INET->new(PeerAddr=>«some.windoze.box:139»)->send(«bye»,MSG_OOB)’ ). Windows 98 не схильний до подібної атаки.
Я навів дві атаки і принцип їх дії, в дійсності їх, звичайно, більше, але всі вони виконують тільки одну функцію підвісити, отконнектить користувача від мережі. Також з цих двох прикладів можна з’ясувати, що атака використовує різні методи реалізації, але всі вони пов’язані з відправкою на порт атакується машини. Надіслані пакети містять неправельный розмір або інформацію про склеювання пакетів, деякі несуть прямо в заголовку повідомлення про помилку сполуки, інші просто переповнюють систему запитами з’єднання і з-за неможливості правильно і своєчасно обробити запити система висне або обриває коннект. Думаю я не сильно заморочив вам голову, який принцип атаки НЮК. Давайте тепер звернемося до практики! Звичайно ж проти нюков є захист, наприклад, в Win98 виправили деякі помилки і дірки в протоколі TCP/IP, але це не врятувало систему від атак подібного роду на моєму сайті в розділі DownLoad-> Attack ви можете знайти дійсно діючий нюк, який пробиває не тільки win 95/98/2000/nt, але може іноді підвісити навіть сервер, все залежить від числа надісланих вами пакетів. Програма дійсно легка у використанні, все що вам треба для проведення успішної атаки на удоленный комп’ютер — це IP адреса. Вставте його в поле введення і тисніть кнопку старт, інше програма зробить все за вас. Ви запитаєте, а чому дана атака все-таки можлива? Дана атака можлива не тільки з причини наявності всяких помилок в операційних системах, але і від небажання користувачів прикрити свої вразливі місця, завантаживши лише патч. Існує 2 типу нюков, 1-ий — простий Nuke і Winnuke, і вони трохи відрізняються за типом дії, але ефект у них один. Простий, або класичний, Nuke побудовано на стандартах протоколу TCP/IP. Сенс його в тому, що нехороша людина, використовуючи службовий протокол TCP/IP, ICMP (Internet Control Message Protokol), відправляє запит на перевірку певної адреси в мережі і підсовує відповідь типу «помилка доступу», «адреса недоступний», «мережа недоступна» і т. д. і т. п. Відповідно, сервер починає перенастроювання таблиць маршрутизації і обриває з’єднання з «недоступним» адресою. Дешево і сердито. WinNuke — чистий DoS (Denial of Service, не плутати з MS-DOS). Є такий термін у стандарті TCP/IP — OOB (Out Of Band), і означає він пересилання термінових службових даних. Дуже багато машин під Windows використовують у своїй роботі протокол NetBIOS. Так от, грубо кажучи, цього Netbios ‘ у приймає кілька байт даних по ООВ, і цей NetBIOS починає гальмувати: «Чо робити з ними?» Ну і завішує машину геть. При цьому на екрані на синьому тлі з’являється месидж про помилку TCP/IP або про необробленому виключення в коді ядра, і отримала ця картинка назва — синій екран смерті (blue screen of death). Захист: Якщо ви все-таки не пропатчили вашу систему або вам не сильно хочеться цього робити, то ви можете завантажити firewall — програма яка захистить вас (більш детальніше про програми даного роду читайте в розділі захисту)!!

P/S Дана атака може застосовуватися також в парі з підкинемо троянських коней, наприклад, коли зловмисник отримав доступ до вінчестера по протоколу NetBIOS і поклали вам «троянського коня» в автозавантаження, а чекати коли ви перевантажити йому лінь. Тоді він просто вас нюкает і тим самим змушує вас перезавантажити комп’ютер, після чого він може починати вас адмініструвати.