DoS-атаки. Фильтрация на входе сети:

Отражение атак DoS, которые используют подмену IP-адреса отправителя (RFC-2827)


Зам. зав. кафедры "Телекоммуникационные сети и системы" МФТИ
Зам.зав. кафедры Информатики ФНТИ МФТИ
Нач. лаб. Инфокоммуникационных технологий
Института Теоретической и Экспериментальной Физики


1. Введение

Целью DoS (Denial of Service) атаки является блокировка каких-то ресурсов атакуемого, чаще всего это входная полоса пропускания, с целью ограничения доступа клиентов к серверу, узлу или сети жертвы. В качестве объекта атаки помимо полосы пропускания может быть вычислительная мощность процессора или информационные ресурсы операционной системы.

Как правило, атакер пытается организовать дело так, чтобы трафик на входе жертвы превосходил его (атакера) выходной трафик. Решить эту задачу он может разными методами. Наиболее распространенным является способ массового взлома машин и использования их для атаки (DDoS, смотри "The Internet Protocol Journal" - Volume 7, Number 4, "Distributed Denial of Service Attacks", Charalampos Patrikakis, Michalis Masikos, and Olga Zouraraki). Другим приемом является умножение воздействия за счет других сетевых устройств, например, DNS-серверов (ресурсные запросы) или маршрутизаторов (использование широковещательных IP-адресов). Возможно совмещение нескольких методов DoS-атаки (см. также материалы университета Вашингтона).

Атакеры могут применить различные способы для выявления и получения доступа к машинам-жертвам (смотри Nicholas Weaver, "Warhol Worms: The Potential for Very Fast Internet Plagues". Наиболее важными из них являются::
Случайное сканирование. В этом подходе машина, зараженная вредоносным кодом (это может быть машина атакера или другая взломанная им ранее ЭВМ), сканирует определенную IP-область, выбирая адреса случайным образом, и пытается выявить уязвимую машину. Если такая обнаружена, делается попытка ее взлома и, в случае успеха, размещает там свой вредоносный код. Этот метод создает достаточно большой трафик, так как одни и те же адреса сканируются помногу раз. Преимуществом такого способа является достаточно быстрое заражение большого числа машин и создание впечатления, что сканирование происходит отовсюду. Однако высокий уровень трафика препятствует длительному продолжению атаки.
Сканирование по списку. Задолго до начала сканирования атакер подготавливает достаточно обширный список потенциально уязвимых машин. Такой список может готовиться достаточно долгое время, чтобы не привлечь к этому внимания служб безопасности. Сканирование производится только для машин их этого списка. Когда обнаружена уязвимая машина, на нее устанавливается соответствующая программа, а список сканирования делится пополам. Вновь взломанной машине поручается сканирование машин одной из частей списка. Каждая из машин продолжает сканирование пока не сможет найти уязвимую ЭВМ. После этого список снова делится и процедура продолжается. Таким образом, число машин, участвующих во взломах, лавинообразно увеличивается.
Топологическое сканирование. При топологическом сканировании используется информация, содержащаяся в машине жертвы, для поиска новых потенциальных жертв. При этом на диске взломанной машины ищутся URL, которые можно попробовать атаковать. Этот метод может оказаться даже несколько более эффективным, чем сканирование по списку.
Сканирование локальной субсети. Этот вид сканирования работает за firewall. Взломанная машина ищет потенциальные жертвы в своей собственной локальной сети. Эта техника может использоваться в сочетании с другими способами атак, например, взломанная машина может начать сканирование локальной сети, а когда список таких машин будет исчерпан, переключиться на сканирование других сетевых объектов.
Перестановочное сканирование. При этом типе сканирования все машины совместно используют общий псевдослучайный перестановочный список IP-адресов. Такой список может быть сформирован с помощью блочного 32-битного шифра с заранее заданным ключом. Если взломанная машина была инфицирована при сканировании по списку или из локальной сети, она начинает сканирование, начиная со своей позиции в списке перестановок. Если же она оказалась скомпрометирована в процессе перестановочного сканирования, она начинает сканирование с псевдослучайной позиции списка. В случае если она встретит уже инфицированную машину, она выбирает новую псевдослучайную позицию в списке перестановок и продолжает работу с этой точки. Распознавание инфицированных машин происходит за счет того, что их отклики отличаются от откликов невзломанных ЭВМ. Сканирование прекращается, если машина встретит заданное число инфицированных машин. После этого выбирается новый ключ перекодировок и начинается новая фаза сканирования. Факт такого сканирования труднее детектировать.
Распространение вредоносных программ

Можно выделить три механизма рассылки вредоносных кодов и построения сетей для атак (смотри David Moore and Colleen Shannon, "The Spread of the Code Red Worm (crv2)," July 2001).
Централизованная рассылка. В этой схеме после выявления уязвимой системы, которая должна стать зомби, выдается команда в центр рассылки для копирования вредоносного кода (toolkit) во взломанную машину. После копирования этого кода осуществляется инсталляция вредоносной программы на машине жертвы. После инсталляции запускается новый цикл атак с уже захваченной машины. Для передачи кодов программ могут использоваться протоколы HTTP, FTP и RPC.
Доставка от атакера (Back-chaining). В этой схеме все вредоносные коды доставляются в захваченную машину из ЭВМ атакера. В частности, средства атаки, установленные у атакера, включают в себя программы доставки вредоносных кодов жертве. Для этой цели на машине-жертве может использоваться протокол TFTP.
Автономная рассылка. В этой схеме атакующая машина пересылает вредоносный код в машину-жертву в момент взлома.

После того как армия атакующих машин сформирована, атакер определяет вид и объект атаки и ждет удобного момента времени. После начала атаки все машины этой армии начинают слать пакеты по адресу машины-жертвы. Объем трафика при этом может быть столь велик, что может быть заблокирован даже шлюз сети, где расположена машина-жертва. Сейчас в Интернет имеется около дюжины программ автоматизации процесса на всех фазах атаки. Причем для пользования ими не требуется лицензии :-)

Работа машин зомби может быть автономной или синхронизоваться атакером (рис.1).Для того чтобы скрыть свой IP-адрес атакер фальсифицирует адрес отправителя. Помимо описанной выше разновидности DDoS-атаки существует разновидность DRDoS (Distributed Reflector DoS).

Рис. 1. DDoS-атака

DRDoS-атаки более вредоносны и здесь еще труднее выявить первоисточник атаки, так как в процесс вовлечено больше машин (см. рис. 2).

Рис. 2. DRDoS-атака

Описание было бы не полным без некоторого числа известных примеров DDoS-атак (см. http://www.ll.mit.edu/IST/ideval/docs/1999/attackDB.html):
Apache2. Эта атака нацелена против Apache Web-сервера, где клиент посылает запрос с большим числом HTTP-заголовков. Когда Web-сервер получает слишком много таких запросов, он может не справиться и выйти из строя.
ARP Poison. Атака протокола ARP Poison требует, чтобы атакер имел доступ к локальной сети жертвы. Атакер вводит в заблуждения машины данной LAN путем введения неверных MAC-адресов для уже существующих IP адресов. Это может быть реализовано атакером с помощью следующих действий. Осуществляется мониторинг запросов "arp who-has". Как только такой запрос получен, атакер пытается реагировать на него как можно быстрее с целью фальсификации МАС-адреса.
Back. Эта атака предпринимается против apache Web-сервера, который блокируется большим потоком запросов, содержащих большое число символов ( / ) в описании URL. Пытаясь обработать эти запросы, сервер оказывается не способным обслужить другие нормальные запросы.
CrashIIS. Жертвой атаки CrashIIS обычно является Microsoft Windows NT IIS Web-сервер. Атакер посылает неверно сформированный GET-запрос, который выводит из строя Web-сервер.
DoSNuke. В этом типе атак жертвой является ОС Windows NT, которая перегружается "out-of-band" данными (MSG_OOB). Пакеты, посылаемые атакующими машинами, помечаются флагами "urg" из-за флага MSG_OOB. В результате, объект атаки перегружается и у машины-жертвы будет выведен "голубой экран смерти ".
Land. При атаках Land, атакер посылает жертве пакет, содержащий TCP SYN, где IP-адреса отправителя и получателя идентичны. Такой пакет полностью блокирует работу системы жертвы.
Mailbomb. При атаке Mailbomb (почтовая бомба) почтовая очередь жертвы перегружается огромным числом сообщений, вызывая блокировку ее работы.
SYN Flood. Атака SYN flood происходит при диалоге установления TCP-соединения. В ходе диалога установления связи клиент запрашивает соединения, посылая серверу пакет TCP SYN. После этого сервер посылает клиенту пакет SYN/ACK и помещает запрос в очередь. Наконец, клиент подтверждает получение пакета SYN/ACK. Если происходит атака, атакер посылает жертве огромное число пакетов TCP SYN, вынуждая ее открыть соответствующее число TCP-соединений и реагировать на них. Далее атакер не выполняет третьего шага, не давая жертве воспринять любое соединение, так как очередь полуоткрытых TCP соединений переполнена.
Ping of Death. В атаках Ping of Death атакер формирует пакет, который содержит более 65,536 байт, что больше предела, определенного в IP-протоколе. Этот пакет вызывает различного рода разрушения в машине, его получающей, иногда это вызывает rebooting.
Process Table. Эта атака эксплуатирует некоторые сетевые сервисы, формирующие новый процесс при установлении очередного TCP/IP соединения. Атакер пытается сформировать столько незавершенных соединений с машиной жертвы, что жертва перегружается запущенными процессами и не может адекватно реагировать на другие запросы. При этом оказывается перегруженным ЦПУ машины.
Smurf Attack. В атаке "smurf" жертва перегружается большим числом пакетов-откликов ICMP. Атакер посылает огромное число ICMP "echo-запросов" по широковещательным адресам многих субсетей. Эти пакеты содержат IP-адрес жертвы в качестве адреса отправителя. Каждая машина субсети пошлет ICMP отклик машине-жертве. Атаки Smurf достаточно опасны, так как они являются распределенными. Для противодействия этим атакам следует запретить вход внешних пакетов, IP-адрес назначения которых является широковещательным. Следует также не пропускать через шлюз внешние пакеты с адресом отправителя из LAN. В высшей мере эффективным является блокировка передачи в Интернет пакетов из локальной сети с адресами отправителя, несоответствующими локальным адресам. Это отвечает базовым принципам поведения участников сети Интернет - не вредить и заботиться об интересах других клиентов.
SSH Process Table. Как и атака Process Table, эта атака осуществляет сотни соединений с машиной жертвы с привлечением протокола SSH, не завершая процедуру соединения. Таким путем демон машины жертвы оказывается вынужден запустить так много SSH-процессов, что ресурсы ЭВМ оказываются исчерпанными.
Syslogd. Атака Syslogd обрушивает работу программы syslogd на сервере Solaris 2.5 путем посылки ей сообщения с некорректным IP-адресом отправителя.
TCP Reset. В атаках TCP Reset, сеть мониторируется с целью выявления запросов TCP-соединений с машиной-жертвой. Как только такой запрос обнаружен, атакер посылает жертве фальсифицированный пакет TCP RESET и вынуждает ее разорвать TCP-соединение.
Teardrop. Пока пакет путешествует от отправителя до машины получателя, он может быть разделен на небольшие фрагменты. Атака Teardrop создает поток IP-фрагментов с чрезмерно большими значениями поля смещение (offset). Машина места назначения, которая пытается восстановить эти фальсифицированные фрагменты может блокироваться или даже осуществить операцию перезагрузки.
UDP Storm. В протоколе UDP, сервис генерации символов ("chargen") формирует последовательность каждый раз, когда получает UDP-пакет, в то время как сервис эхо реагирует на каждый полученный символ. Используя эти два вида сервиса атакер посылает пакеты с фальсифицированным адресом отправителя sends a packet with the source spoofed to be that of the victim to another machine. Затем, echo-сервис первой машины откликается на данные этого пакета, посылая отклик машине жертвы, а машина-жертва в свою очередь реагирует аналогичным образом. Таким образом создается постоянный бесполезный трафик, загружающий сеть.

Разработка средств детектирования и защиты достаточно сложна. Разработчики должны думать заранее о каждой возможной ситуацией, так как любая слабость может быть использована во вред. Среди трудностей можно назвать:
DDoS-атаки перегружают машину-жертву пакетами. Это означает, что жертвы не могут контактировать ни с кем, для того чтобы попросить помощи. Следовательно, любое ответное действие возможно только в случае, когда атака детектирована заранее. Но можно ли детектировать атаку раньше? Обычно трафик возрастает внезапно и без предупреждения (см. CERT on SMURF Attacks: http://www.cert.org/advisories/CA-1998-01.htm, CERT on TCP SYN Flooding Attacks: http://www.cert.org/advisories/CA-1996-21.html, CERT TRIN00 Report: http://www.cert.org/incident_notes/IN-99-07.html#trinoo). По этой причине механизм реакции должен быть быстрым.
Любая попытка фильтрации входного трафика означает, что и легальный трафик может пострадать. С другой стороны, если число зомби исчисляется тысячами, трафик поглотит всю входную полосу и любая фильтрация станет бессмысленной.
Атакующие пакеты обычно имеют фальсифицированные IP-адреса. По этой причине сложно отследить источник атаки. Более того, промежуточные маршрутизаторы или сервис-провайдеры могут отказаться сотрудничать при решении этой проблемы. При фальсификации адресов атака может происходить с очень большого числа машин и необязательно все они являются зомби.
Механизмы защиты должны работать в разнообразной программной среде. Разработчики должны сделать их платформонезависимыми (см. http://falcon.jmu.edu/~flynngn/whatnext.htm). Использование ACL и репутационных списков в этом случае неэффективно.
RFC-2827

Появление атак DoS [1] явилось новым вызовом для провайдеров (ISP) и для сетевого сообщества. Имеются многочисленные трудности на пути противодействия этим атакам; существуют некоторые простые средства, позволяющие ограничить эффективность этих атак и область их действенности, но они не очень широко используются. Смотри также [12].

Этот метод атаки известен уже некоторое время. Бил Чезвик (Bill Cheswick) цитируется в [2], где он заявляет, что в последнюю минуту удалил главу из своей книги "Файерволы и безопасность Интернет" [3], так как администратор атакованной системы не мог обеспечить ее защиту. Упоминая метод, он считал целесообразным его применение.

В то время как метод фильтрации, обсуждаемый в данном документе, не способен защитить от атак, которые осуществляются из зон с корректными префиксами IP-адресов, он позволяет заблокировать атаки, когда используются фальсифицированные адреса отправителя, не отвечающие входным правилам фильтрации. Все интернет провайдеры стремятся реализовать фильтрацию, описанную в данном документе, чтобы запретить атакерам использовать фальсифицированные адреса отправителей, которые размещены вне пределов диапазона разрешенных префиксов. Другими словами, если Интернет провайдер агрегатирует маршрутные уведомления для последующих сетей, должно быть использована фильтрация, которая запрещает трафик, который исходит извне по отношению объявленному агрегатному пространству.

Дополнительным преимуществом использования этого типа фильтрации является то, что он позволяет отследить отправителя пакетов, так как атакер будет вынужден использовать корректный и легально достижимый адрес отправителя.
2. Состояние дел

Упрощенная диаграмма атаки типа “TCP SYN шторм” изображена ниже:

Предположим, что:
"ЭВМ" является атакуемой машиной.
Атакер находится в пределах префикса, 204.69.207.0/24.
Атакер осуществляет атаку, используя каждый раз случайное значение IP-адреса отправителя; в данном примере, адреса отправителя обозначаются также как в [4], отсутствуют в глобальных таблицах маршрутизации, и, следовательно, не достижим. Однако для реализации данного метода атаки могут использоваться любые недостижимые префиксы.

Полезно также упомянуть вариант, когда адрес отправителя фальсифицирован так, что он соответствует другой вполне легальной зоне маршрутной таблицы. Например, атакер, используя корректный сетевой адрес, может создать иллюзию, что атака предпринята со стороны организации, которая к этому не имеет никакого отношения. В таких случаях, администратор атакуемой системы может начать отфильтровывать трафик, приходящий от мнимого источника атаки. Добавление такого фильтра приведет к отказу обслуживания для вполне легальной оконечной системы. В этом случае, администратор атакуемой системы помимо своей воли становится помощником атакера.

Дальнейшим осложнением ситуации является то, что атаки типа шторма TCP SYN приводят к тому, что пакеты SYN-ACK посылаются одной или многим ЭВМ, которые не имеют никакого отношения к атаке, но которые становятся вторичными жертвами. Это позволяет атакеру использовать в своих целях две или более системы одновременно.

Аналогичные атаки реализовывались с использованием UDP и ICMP лавин. Первая атака (UDP лавина) использует фальсифицированные пакеты, чтобы попытаться подключиться к допустимой UDP услуге и вызвать отклик, адресованный другому сайту. Системные администраторы не должны никогда допускать внешним UDP-дейтограммам попадать в диагностические порты их системы. Последний вид атак (ICMP шторм), использует хитрую особенность откликов на широковещательные IP вызовы. Эта атака базируется на маршрутном обслуживании больших широковещательных сетей с множественным доступом, где IP-адреса места назначения такие как 10.255.255.255 преобразуются в широковещательные кадры уровня 2 (для Ethernet, FF:FF:FF:FF:FF:FF). Оборудование Ethernet NIC (в частности, оборудование MAC-уровня) в нормальных условиях прослушивает только определенное число адресов. Единственным MAC-адресом, используемым всеми устройствами, является широковещательный адрес FF:FF:FF:FF:FF:FF. В этом случае, устройство воспринимает кадр и посылает прерывание процессору. Таким образом, шторм таких широковещательных кадров может исчерпать все доступные ресурсы оконечной системы [9]. Возможно, благоразумно потребовать, чтобы конфигурация пограничных шлюзов (GW) не допускала прямого прохождения широковещательных через эти устройства.

Когда предпринимается атака TCP SYN с применением недостижимого адреса отправителя, ЭВМ-мишень пытается зарезервировать некоторый ресурс, ожидая отклика. Атакер последовательно меняет фальсифицированный адрес отправителя в посылаемых пакетах, что приводит к исчерпыванию ресурсов ЭВМ-мишени.

В противном случае, если атакер использует чей-то еще корректный адрес ЭВМ в качестве адреса отправителя, атакуемая система пошлет большое число пакетов SYN/ACK предполагаемому инициатору установления соединения. Таким образом, атакер оказывает разрушительное воздействие на две системы.

В результате обеих атак рабочие характеристики системы весьма деградируют, или даже хуже, система разрушается. В ответ на эту угрозу, большинство поставщиков операционных систем модифицировало свое программное обеспечение, чтобы позволить атакуемым серверам противостоять атакам с очень высокой частотой попыток установления соединения. Это следует приветствовать, так как является необходимой составляющей решения проблемы. Пройдет определенное время, прежде чем входная фильтрация распространится широко и станет эффективной, а внедрение новых версий ОС может произойти достаточно быстро. Эта комбинация должна быть эффективной против фальсификации адреса отправителя. Смотри [1], где представлены ссылки на модификации программных модификаций поставщиков ОС для различного типа ЭВМ.
3. Ограничение паразитного трафика

Проблемы, с которыми приходится сталкиваться при данном типе атак, многочисленны, и включают в себя недостатки реализации программного обеспечения ЭВМ, методологии маршрутизации, и сами протоколы TCP/IP. Однако, путем ограничения транзитного трафика, который исходит из известных и преднамеренно анонсированных сетевых префиксов, проблема фальсификации адреса отправителя может быть существенно подавлена для этих сценариев атаки.

В вышеприведенном примере, атакер находится в области 204.69.207.0/24, доступ которой к Интернет обеспечивается провайдером D. Фильтр входного трафика канала "маршрутизатора 2", который обеспечивает подключение к Интернет сети атакера, осуществляет ограничение трафика, разрешая прохождение пакетов, посланных из зоны с адресным префиксом 204.69.207.0/24, и запрещая использование атакером "неверных" адресов отправителя, которые находятся вне пределов диапазона, заданного этим префиксом. Другими словами, входной фильтр в "маршрутизаторе 2" должен осуществлять следующую функцию:IF адрес отправителя пакета лежит в пределах 204.69.207.0/24
THEN переадресовать пакет по назначению,
IF адрес отправителя какой-то иной,
THEN отвергнуть пакет



Сетевые администраторы должны регистрировать информацию о пакетах, которые отбрасываются. Это затем служит основой для мониторинга подозрительной деятельности.
4. Другие возможные функции сетевого оборудования

Дополнительные функции могут рассматриваться для будущих реализаций.
Реализация автоматического фильтрования на серверах удаленного доступа. В большинстве случаев, пользователь, дозванивающийся до сервера доступа, является индивидуальным пользователем своей ЭВМ. Единственно разрешенным адресом отправителя для этой ЭВМ является адрес, присвоенный ISP (статически или динамически). Сервер удаленного доступа может проверять каждый пакет на входе, чтобы гарантировать, что пользователь не фальсифицирует адрес отправителя. Очевидно, должна быть предусмотрена возможность того, что клиент легально подключает сеть через удаленный сервер, но это должно реализовываться опционно.



Мы рассматривали вариант, когда маршрутизаторы проверяют IP-адрес отправителя, как это предложено [8], но это методологически не будет работать хорошо в реальных сетях в настоящее время. Предлагаемый метод заключается в просмотре адреса отправителя на предмет того, проходит ли маршрут до него через тот же интерфейс, через который пришел пакет. При большом числе асимметричных маршрутов это будет весьма проблематично.
5. Проблемы

Фильтрация такого рода имеет шансы разрушить некоторые виды "специфических" услуг. В интересах сервис провайдеров, предлагающих такие услуги, рассмотреть альтернативные методы предоставления такого рода услуг, чтобы не страдать от входной фильтрации трафика. Мобильный IP, как это определено в [6], подвержен воздействию входной фильтрации трафика. Как это специфицировано, трафик к мобильному узлу туннелируется, но трафик от мобильного узла не туннелируется. Это приводит к тому, что в пакетах, посылаемых мобильным узлом, адрес отправителя не соответствует сети, к которой он подключен. Чтобы согласовать входную фильтрацию с другими соображениями, Рабочая группа Мобильного IP разработала методологию "реверсивных туннелей", специфицированную в [7]. Там предлагается метод передачи данных, посылаемых мобильным узлом, через туннель “домашнему агенту” до передачи информации в Интернет. У схемы реверсных туннелей существуют дополнительные преимущества, включая лучшую обработку мультикастного трафика. Такие реализации мобильных IP-систем располагают к использованию метода реверсных туннелей.

Как было упомянуто ранее, как входная фильтрация трафика существенно сокращает вероятность успешных атак с фальсифицированными адресами отправителя, это не мешает атакеру использовать реальные адреса других ЭВМ. Это, однако, гарантирует, что в случае действительной реализации такой атаки, сетевой администратор может быть уверен, что она осуществлена из одного ил анонсированных префиксов. Это упрощает отслеживание виновника, и в худшем случае, администратор может блокировать диапазон адресов отправителя до тех пор, пока проблема не будет решена.

Если используется входная фильтрация в среде, где работает DHCP или BOOTP, сетевому администратору рекомендуется предоставить возможность пакетам с адресом отправителя 0.0.0.0 и адресом получателя 255.255.255.255 доходить до соответствующего сервера. Область направленного бродкаста должна контролироваться, произвольная переадресация таких пакетов недопустима.
6. Резюме

Входная фильтрация трафика в сетях на периферии Интернет уменьшит эффективность DoS-атак с фальсификацией адреса отправителя. Сервис провайдеры и администраторы уже начали использовать этот тип фильтрации в периферийных маршрутизаторах. Рекомендуется внедрение такой фильтрации всеми сервис провайдерами причем как можно быстрее. Кроме избавления Интернет сообщества от такого типа атак, предлагаемый метод помогает сервис провайдерам локализовать источник атак.

Администраторы корпоративных сетей должны реализовать фильтрацию, чтобы гарантировать, что их корпоративные сети не станут источником подобных проблем. Действительно, фильтрация может использоваться в организации, чтобы гарантировать пользователям предотвращение возможностей проблем, сопряженных с некорректным подключением к сети. Фильтрация может также, на практике, блокировать анонимные атаки недовольных сослуживцев.

В ответственность всех сетевых администраторов входит предотвращение атак подобного рода.
7. Ссылки

[1] CERT Advisory CA-96.21; TCP SYN Flooding and IP Spoofing Attacks; September 24, 1996.

[2] B. Ziegler, "Hacker Tangles Panix Web Site", Wall Street Journal, 12 September 1996.

[3] "Firewalls and Internet Security: Repelling the Wily Hacker"; William R. Cheswick and Steven M. Bellovin, Addison-Wesley Publishing Company, 1994; ISBN 0-201-63357-4.

[4] Rekhter, Y., Moskowitz, R., Karrenberg, D., de Groot, G., and E. Lear, "Address Allocation for Private Internets", RFC 1918, February 1996.

[5] The North American Network Operators Group; http://www.nanog.org.

[6] Perkins, C., "IP Mobility Support", RFC 2002, October 1996.

[7] Montenegro, G., "Reverse Tunneling for Mobile IP", RFC 2344, May 1998.

[8] Baker, F., "Requirements for IP Version 4 Routers", RFC 1812, June 1995.

[9] Thanks to: Craig Huegen; See: http://www.quadrunner.com/~chuegen/smurf.txt.

[10] Jelena Mirkovic, Janice Martin, and Peter Reiher, UCLA, "A Taxonomy of DDoS Attacks and DDoS Defense Mechanisms."

[11] Distributed Denial of Service Tools, http://www.cert.org/incident_notes/IN-99-07.html

[12] F. Baker and P. Savola, "Ingress Filtering for Multihomed Networks," RFC 3704, March 2004.

[13] "A Chronology of CERT Coordination Center Involvement with Distributed Denial-of-Service Tools,"

[14] http://www.cdt.org/security/dos/000229senatehouse/chron.html

Обновлено: 11.03.2015