ГлавнаяНаукаВсе новости раздела
 

Эксперты не могут разгадать природу странного трафика в интернете

Корреспондент.net, 25 июня 2003, 13:05
0
1

Начиная с середины мая, специалисты по компьютерной безопасности пытаются определить источник странного трафика, передающегося по интернету.

Единственной отличительной чертой этого кода является размер окна, который в протоколе TCP показывает, какое количество данных может быть отправлено без ожидания подтверждения со стороны получателя. В случае неизвестного трафика, регистрируемого в последнее время с завидной регулярностью, размер окна составляет 55808 байт.

Странный код передается на случайные IP-адреса и случайные порты, источник же трафика замаскирован, и в качестве его источника указывается несуществующий IP-адрес, пишет "Компьюлента".

Источник трафика замаскирован
Хотя необычный трафик наблюдается в интернете уже около месяца, первые версии об его возможной природе появились только сейчас.

В частности, компания Internet Security Systems выпустила бюллетень, в котором источником странного кода называет троянскую программу, которую в компании назвали Stumbler ("сбивающий с толку").

Целью Stumbler является своеобразная разведка - поиск в интернете серверов и служб, потенциально уязвимых для атаки. В отличие от известных программ такого рода Stumbler очень трудно обнаружить и отследить, поскольку авторы программы прибегли к различным уловкам для маскировки своих действий, в частности, подделке IP-адреса.

По данным Internet Security Systems, программа пытается найти уязвимые серверы и службы путем отправки по случайному адресу пакета TCP SYN. Поскольку обратный адрес исходного запроса подделан, то, казалось бы, ответ сервера и информацию о его уязвимостях получить невозможно. Однако в Internet Security Systems полагают, что Stumbler имеет распределенную структуру и использует сниффер пакетов, который настраивается на случайные IP-адреса, пытаясь перехватить ответы серверов. Собранную информацию программа передает на адрес 12.108.65.76, порт 22.

В целом же, Stumbler является относительно безопасной экспериментальной программой, которая не умеет самостоятельно распространяться по Сети или заражать другие компьютеры. Кроме того, в программе имеются целый ряд ошибок.

До Internet Security Systems свои предположения о природе странного трафика высказала компания Intrusec. Она также связала возникновение трафика с деятельностью экспериментального сетевого червя или трояна. Однако, по данным Intrusec, идентифицированная сотрудниками компании программа является лишь одним из источников странного трафика.

Пока активность возможного трояна замечена лишь на компьютерах под управлением Linux
Описание Intrusec достаточно близко к сведениям Internet Security Systems, однако не вполне совпадает с ним. В частности, в Intrusec не исключают того, что троян может распространяться самостоятельно, и сообщают, что пока его активность замечена лишь на компьютерах под управлением Linux.

В Intrusec также считают программу, генерирующую данный трафик, экспериментальной. Она является своеобразным доказательством в пользу возможности создания маскирующегося трояна.

Однако не исключено, что в будущем наработки авторов программы лягут в основу действительно опасных программ.

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции.
powered by lun.ua

ЧИТАЙТЕ ТАКЖЕ

Корреспондент.net в cоцсетях