Обнаружение и разрушение DDoS-сетей

В Internet можно найти множество разнообразных программ, способных помочь в обнаружении и разрушении DDoS-сетей. Одни утилиты могут остановить атаку, другие — найти вредоносные программы, участвующие в нападении. Средства, о которых пойдет речь, могут быть сконфигурированы для повседневной работы по выявлению враждебных сетей и узлов. С другой стороны, те же программы могут использоваться и в более агрессивном режиме — как активное противодействие осуществляемой в данный момент DDoS-атаки. Одно из комплексных решений сводится к применению программы пшар как автоматического сканера находящихся в режиме прослушивания портов и программ find_ddos и Tripwire, которые, в свою очередь, проверят подозрительные порты на наличие DDoS-программ. Nmap — многоцелевой сканер, который входит в набор инструментов любого специалиста по безопасности. Оснастив скрипты вызовами этой программы, администратор может проверить сетевое окружение на наличие потенциально опасных программ, работающих с UDP — или TCP-портами. В частности, nmap можно запрограммировать таким образом, чтобы сканер отсылал на порт SYN-пакет и протоколировал возвращаемые узлом АСК-пакеты (или отсутствие таковых). Простейшее сканирование подсети с маской 255.255.255.0 на предмет выявления Stacheldraht-зомби или мастер-компьютеров может выглядеть следующим образом: Результаты сканирования могут быть записаны в файл для последующей обработки. Например, можно написать скрипт, отправляющий администратору письмо с адресами узлов, на которых были обнаружены подозрительные порты. То есть nmap можно превратить в полностью автоматическое средство обнаружения зомби и мастер-компьютеров. Сама программа находится по адресу: Www. insecure. org/nmap.