Smb relay, Атаки по протоколу icmp – Инструкция по эксплуатации ESET NOD32 Smart Security 6

120

6.2.6 SMB Relay

SMBRelay и SMBRelay2 являются особыми программами, которые способны атаковать удаленные
компьютеры. Эти программы используют уязвимость протокола SMB, который встроен в NetBIOS. Если
пользователь предоставляет общий доступ к каким-либо папкам через локальную сеть, скорее всего это
осуществляется с помощью протокола SMB.

В рамках обмена данными по локальной сети происходит обмен данными хеш-таблиц паролей.

SMBRelay принимает соединения по UDP на портах 139 и 445, транслирует пакеты, которыми обменивается
клиент и сервер, и подменяет их. После подключения и аутентификации соединение с клиентом прерывается.
SMBRelay создает новый виртуальный IP-адрес. Новый адрес доступен с помощью следующей команды: net use
\\192.168.1.1. После этого доступ к адресу открыт для любой сетевой функции Windows. SMBRelay транслирует
весь обмен данными через себя, кроме процессов установления соединения и аутентификации. Удаленная
атакующая сторона может использовать IP-адрес, пока подключен клиентский компьютер.

SMBRelay2 работает на основе того же принципа, что и SMBRelay, но использует имена NetBIOS вместо IP-
адресов. Обе программы используют атаки «злоумышленник в середине». Эти атаки позволяют удаленной
атакующей стороне считывать, вставлять и изменять сообщения между двумя сторонами, не обнаруживая
себя. Атакованные таким методом компьютеры зачастую прекращают отвечать на запросы пользователя или
внезапно перезагружаются.

Для того чтобы избежать проблем подобного рода, рекомендуется использовать пароли для аутентификации
или ключи.

6.2.7 Атаки по протоколу ICMP

Протокол ICMP является популярным и широко используемым протоколом Интернета. Применяется он
преимущественно подключенными к сети компьютерами для отправки сообщений об ошибках.

Удаленные злоумышленники пытаются использовать уязвимости протокола ICMP. Протокол ICMP
предназначен для передачи данных в одном направлении без аутентификации. Это позволяет
злоумышленникам организовывать DoS-атаки (отказ в обслуживании) или атаки, предоставляющие не
имеющим на это права лицам доступ ко входящим и исходящим пакетам.

Типичными примерами атак по протоколу ICMP являются ping-флуд, флуд эхо-запросов по протоколу ICMP и
smurf-атаки. Компьютеры, подвергающиеся атаке по протоколу ICMP, значительно замедляют свою работу
(это касается всех приложений, использующих Интернет), и у них возникают проблемы при подключении к
Интернету.