ГоловнаНаукаВсі новини розділу
 

Експерти не можуть розгадати природу дивного трафіку в інтернеті

Корреспондент.net, 25 червня 2003, 16:23
0
3

Починаючи із середини травня, фахівці з комп"ютерної безпеки намагаються визначити джерело дивного трафіку, що передається по інтернету.

Єдиною особливою рисою цього коду є розмір вікна, що у протоколі TCP означає, яка кількість даних може бути відправлена без чекання підтвердження з боку одержувача. У разі невідомого трафіку, який реєструється останнім часом  досить регулярно, розмір вікна складає 55808 байт.

Дивний код передається на випадкові ІP-адреси і випадкові порти, а джерело трафіку замасковано, оскільки у його якості зазначена неіснуюча ІP-адреса, пише "Компьюлента".

Хоча незвичайний трафік простежується в інтернеті вже близько місяця, перші версії про його можливу природу з"явилися тільки зараз.

Зокрема, компанія “Іnternet Securіty Systems” випустила бюлетень, у якому джерелом дивного коду називає троянську програму, що у компанії назвали Stumbler ("який збиває з пантелику").

Метою Stumbler є своєрідна розвідка - пошук в інтернеті серверів і служб, потенційно вразливих для атаки. На відміну від відомих подібних програм, Stumbler дуже важко знайти і відстежити, оскільки автори програми добре замаскували свої дії, зокрема підробили ІP-адресу.

За даними “Іnternet Securіty Systems”, програма намагається знайти вразливі сервери і служби шляхом відправлення на випадкову адресу пакета TCP SYN. Оскільки зворотна адреса вихідного запиту підроблена, то, здавалося б, відповідь сервера й інформацію про його уразливі місця одержати неможливо. Однак в “Іnternet Securіty Systems” вважають, що Stumbler має розподілену структуру і використовує сніфер пакетів, який налаштовується на випадкові ІP-адреси, намагаючись перехопити відповіді серверів. Зібрану інформацію програма передає на адресу 12.108.65.76, порт 22.

Загалом Stumbler є відносно безпечною експериментальною програмою, що не вміє самостійно поширюватися Мережею чи заражати інші комп"ютери. Крім того, у програмі є ціла низка помилок.

До “Іnternet Securіty Systems” свої припущення про природу дивного трафіку висловила компанія “Іntrusec”. Вона також зв"язала виникнення трафіку з діяльністю експериментального мережного черв’яка чи трояну. Однак, за даними “Іntrusec”, ідентифікована співробітниками компанії програма є лише одним з джерел дивного трафіку.

Опис “Іntrusec” подібний до інформації “Іnternet Securіty Systems”, однак не повністю збігається з нею. Зокрема, в “Іntrusec” не виключають того, що троян може поширюватися самостійно, і повідомляють, що поки його активність помічена лише на комп"ютерах під управлінням Lіnux.

В “Іntrusec” також вважають експериментальною програму, що генерує цей трафік. Вона є своєрідним доказом на користь можливості створення трояну.

Однак не виключено, що в майбутньому досягнення авторів програми стануть основою дійсно небезпечних програм.

Якщо ви помітили помилку, виділіть необхідний текст і натисніть Ctrl + Enter, щоб повідомити про це редакцію.
powered by lun.ua

ЧИТАЙТЕ ТАКОЖ

Loading...

Корреспондент.net в соцмережах