Используя особенности, свойственные к TCP протоколу,
удаленные нападающие могут инициировать DoS-атаки
на множестве ОС. Нападение наиболее эффективно против серверов HTTP. Прилагаемый cценарий Perl демонстрирует эту проблему.
Когда устанавливается TCP сессия, каждая
машина отдает на нее некоторые ресурсы. Неоднократно устанавливая подключения TCP и затем, отказываясь от них, злонамеренный хост может
поглощать существенные ресурсы на сервере. Сервер Unix может выделять
некоторое число mbufs или даже процесс на каждое из таких подключений. Если есть много
незакрытых оставленных подключений такого сорта, система может
разрушится, стать непригодной, или просто
прекратить обслуживать специфический порт.
Любая система, которая выполняет обслуживание TCP, , может быть атакована этим путем. Эффективность такого нападения зависит от очень большого количества факторов. Web Серверы особенно уязвимы к этому нападению из-за природы протокола (короткий запрос генерирует произвольно длинный ответ).
Если у вас произошел сбой сервиса, следующие признаки помогут идентифицировать этот
инструмент:
* Ваши серверы HTTP имеют сотни или тысячи подключений с 80 портом в состоянии FIN_WAIT_1.
* коэффициент (число уходящих пакетов/номера входящих пакетов) необычно высокий.
* есть большое количество подключений с 80 портом в УСТАНОВЛЕННОМ состоянии, и большинство
из них имеет одинаковую длину. (Или, есть большие группы подключений, совместно использующих то же самое ненулевое значение длины)
Уязвимость найдена в следующих продуктах:
LINUX:kernel 2.4
NETBSD:NetBSD 1.5
FREEBSD:FreeBSD 4.3
SUN:Solaris 2.8
