������������ ��������� � ��������� ���������
������ ���� [Candid W\"uest]
����������� ����������� �������� ����������,
����������� ������������ ��������� � �����
����. ���. � ����. Oleg Morozov, Mar�nais.
03.11.2005
��������� ������ DA-2003.22 ������ ������� 2002/2003
�������������:
����� �������� [Diego Zamboni] (IBM R\"uschlikon Res. Lab),
���� �������� [Marc Rennhard]
������������:
����. �-� �������� �������� [Bernhard Plattner] 28.02.2002-08.02.2002
���������
������������� ������������ ���������� � ���� ��� �������� �� �������
���������������. ���� ���� ������ - ��������� ������ ������������� ���������-
��� ���������� ��� ������� ��������� �� ������������, ������� � ������ ����.
��������� �������������� ��� �� ������ �������� ������������� ��������� � ���-
���� ������������, ��������� ������, ������������ �� ��� �������� ������������
��� �� ��������� � ������������ ���������� ������ ����� �����. ��������� ����
���������������� ���������� ������ ���������� �������� ������������ ����������
� ��������� ��������� ��������� [intrusion detection system, IDS]. ��� �����
���� �������������� ������� ��������� ���� �� ��������� ����� � ����� �����-
���������� ������ ���� ������������� ���������, ����������� ���������� ����-
����������� ������� �� ��������� �����.
����� 1
��������
1.1 �����������
���������� � ���������� �� ��������� ���� ����� ������������. ����� ���
������������� ���� � �����. ���� ���� ������ ���� ����� ��, ����������� � ��-
�������� 24 ���� � �����. � ������� ����� ����� ����������� ������� ������
����������� ������������� ���������� ���������. ��� ������ ���������� ������,
��� ����� ��������, ��� ��� ������������ �������������� �����������. �����
���������� ���� ������������ ����� ��� ������ ����������� ���� �������������
������, ��������� ��������� ����� ����������� ��� �� �������������. ��� ����-
���� �������� ������� � ������������� �������� � �������, �������������������
�� ��������� � ���������� �����, ������������ ��������, �� ����� �������� ��-
����� � ��������� ��������� � ���� ����������� � ������ �� �� [7].
� ����� ������������ ������� ����������� ������������ ����� �� �� ������
� ���� � ������������ �������, � ������� ��������� ������������, � ������� ��-
��� ��, ��� �������� ����� ���� ����������� ���������� �� ������ ����� � ��� �
��� ������������ � ���������. � ���� ������ ��� ������ � ���, ������ �������-
����� ��� ������� ������� ������������ �����������, ����������� �������������
��������� �����. ����� �� ��������� ��������� � ����� ������, ���, ������ ���-
��������� ������� � ������������� ����, ����� ����� �������� ������ ������ �
���������. �� ���� ������� ���� ������ ������������ ��� ������ �� ���� �����-
������� ���������. �� � ������� �� ������������ ���������, ������� �������
����� � ���� ����� ����� ���������, ������������ �������� ����� �� ������� ��-
�� ��� �� ����.
� ����������������� ������������� �������, ��� ������� ��������� �������-
������ �������������� �� ���������� ���������� � ������ ���������� ������,
������������ ��������� �������������� �� ������� �������� ������������� ���-
������ � ������� ������ ������ � ����������. ��� ��������� ������, �������-
������ �� ��� ������������ �������������� ������������, ���, ������ ����� ���-
���� � ����� ������, ������� � � �����. ��� �������� ������� �� ������� ����
��� ���������� ������� ������������ ������� ���������������� � ����������� ��-
�� ������������ ����������. ������� � ����������� ��������� ������������������
����������� ������� ��� �� ���������������, ������ ���������������� ����� ���-
��������� ������������ ���������� ����� ����� [1]. ��������� �� ����������
������ ������ �������� ���������������� �� �������� ����������� � � ������
������� �� ������� [4].
������ ������ �� ���������� �� ���� ��� ������ �������������� ���������-
��� ������������ ���������� �� ������� �������� �� ������������ ��� ��������-
��������� �� �������� ����. ������ �����, �� ������ ����� ��� ������ ����� ��-
������� ����� ��������� ������������� ������������ ���������� � ������ � ���,
��������� �� ���������� ��� ������ ������ ����� ����� � ����� ������ �������-
�����. �� ������ ����� ������������ ��������� �������������� ����������� ����-
��� � ����� ���������� ������������ ���������� � ������ ������� ������������.
���� � ������������ �������� ������ ����� �� ������������ � � ���������� ���-
����������. �� ����������� ������ ��� ������������� ��������, ��������� �����-
���. ����������� ��� ���� ������������ �������� ������������������ ���������-
��, ���������� ����������������, �������� ��� ����� ������� ������������ ����-
��������� � ��������� ����������� ���� ����������.
1.2 ������ ��������� �� ����
�� ����� ��������� ���� ������ ����� �� ��� ��������� � �����-���� ��-
��������, ��������������� ����������� � ������ ����. ����������� ����� �� ���-
����������� ����� ����������� ������ ��������� �������, � �� ������������
[12]. ����� �������� ���� ��������� ������������ �����, ��������� ������������
���� ���������� ������������. �������� ����� ������� ������� "Symantec's Deep
Sight", ����� ������������ � "Security Focus", ��������� ������������� ����
��������� ������������ ����������, ����., "Zonelabs Zonealarm" [2]. ������
��������� �������� "DShield", ����������� ������������� ����������� �� ����
����������� ������������ [6]. ������ ��� ���������� � ������������ �����������
������ ������������� ������������� ����������� � �� ������������ ������ ��
������. ������ ����������� ���� ������ �������� ��, ��� ������������ ����� ��
�������� ��������� ������ ���� �� ���� �������� ����. ���������� ������ �����-
������ � ����� ����, � ������� ������������ ��� ������� ������.
���, ��� ��� ����� �������������� ������������, ��������, ����� ����� ��-
��� ����������� ������������ ��� ��������� � ������������� ��������� �������-
��� ��������������. �������� ������ ����� ����� ����� ������������� ��������
������������. ������� ���� "DShield" � ������� ��� ������� ������� �������� ��
�������� �������� ����� ������� �������, ������� ����� ���������� ����������,
����� ��� �����, ��������������� �������� �����, �� ��� �� ������� ���������
����� �� ������, ������� ��������������� �� ������. ��������, ��� �����������
����� ������������� ���������� � ������������� ������ ��� �������� �������.
�� ���� ������ ������ �������� ��������� �������� ������, �����������
������ �� ������������� ������������ ���������� � �������� ������� ������� ��-
������� ��������� � ����. ���� �� ��� ����������� ������� ������ [Marcus J.
Ranum [1]], �� ��� �� ������� � ������ ����, ��� ��� ���� ����������� � ���
������ ����� ���������� ������������ ���������� ����� ����. ��� ������ �����-
����, ��� ���, ��������, ����� �����.
� ������ �������, ������������ ������������ ���������� ����������� ���
���������, � ����� ����� ������������ ����� ������������ ���� �� �� ������
������������ ������. ���� �� �������� ������ � ���, ��� ��� � �������� ������-
������� ���� ������ ��������� ������������ � ������ ��������, � ������� ����
�� ����� ��������. ��� ��������, ��� �� �������� ���� ������������� �� ��
���������� ���������� � �������������� ������������ ������������ ����������, �
�� ���, ��������� ������ �������� ����������� ��������� (GUI) ��� ���������
���������� ��������� ������ ���������. ����� ��� ������� ����� ������������
������� ��� �������������, �� ������, ������� ������������� �� ������������
"�� ��������", �� ��� ������������. ������ ����� ������������ ������������
������������ ���������� ����� ����� �� ����� "Boran" [3]. ��������� ����� ���-
���� ����� ������������ ������������ ���������� � ������� �.�. "������� �����-
������� ������", ����� ���������� ����������� ��������� ���������� �� �������-
��� �������. ������ �� ��� ��������� ����� ��������� � ����������, ��� �����-
������� ��������� ����������� � ����������. � ���������, � ��������� �� ���
�������������� ����� �����, �� ������� �������� �������� �� ������������, �
������ ����������� ��� ��������. �������, � ����������������� ����� ������
������ ��� ���������� ��� ������������� �� �������� ������. ������� ������ �
������ �� ����������� ����� ���� ����������� ���� � ��. 5. ���������� �����
����� ���� ������� �� "PC flank" [5] ��� � ������ [4].
1.3 ������������ ���������
1.3.1 �������� ������ ������������ ����������
��� ������ ����� ������������� � ������� ������ ���������� ����� �������-
���� ��������� �������. ������� ����� ���� ��� ���������� ����������, ��� �
���������, ����������� �� ���������� ���������� ������. � ����� ������� ������
�������, �� ������� ����, ��� ������� ����������: ���� ��� ���� ���������� �
���� ��� ���� �������. ������� �������� ���������� � ����� ���������� ��� ���-
�� ����� ����� ������ - ������ ������� ����� � �����, ����� ��� ��������. ���-
��� ������������ ��������� ���� �������� ����������������. ���� �������, ���-
������� ����� ������� ��������, �������������� �, � ����������� �� ����, ���
����� �������� �� �������, ����������� ���, ��������, ������������ [17]. ��
��� �������� ��������� ������������� ������������ ������� �������� ������
������� ������ � �����. ��� ����� �������� ��������, �� ������� ������� �����-
��� ������������ �� ���������� ������� ��������� ���� ��� ����������� ������.
��� ��������� ���� ��������� �������������.
������������ ���������, ������ ����� ���������� "������������� ���������-
����" � "����������� ��������" (���) [����.: "desktop firewalls", "personal
firewall", "distributed firewalls"] ������������� ��� �������� ������������� �
�� �������� ��������� ����� ��������� �������. �� ������ - ���� �������� � ��-
������� � ������������. ����������� ������������ ���������� ����������������
������� ���, ����� �� ���������� ������������ ������� ����������������� ���-
���, � ���, ����� ��� ������������� � �������� ���������� ������������ ������-
�������� �������� � ������������ ������������ ������� ����� �� ��������������.
��� ������� �� ��������, ������������ ��������� - ��� ���������� ������
�����, ����������� �� ���������������� ������. ���������� ����� ��� ��������
������������� ������ �������, ������������ � ���������� ������.
������������ �������� - ��� ������ �������� ������ ��� ���������� ������-
���. ��������� ��������, ��� ������ �� ����������� ��������� ���������� - ��-
����� � �������� ��� ������������ ������� ������ �� ��������� �� �����������-
��� ������ [17]. � ����������������� �����, ������� � ����������� ���������
��������� ������ ������ �����, ����� ������� ��������� ���������� ������ ���
���������. �������, �������� ������ ��� ���������� ��������� - ��� ����������,
������� ��������� ������, �������������� ����������� �� ��������� � �����, �
����������� �� ������, ������������� �������������, ��������� �� ��� �������.
������ ���������� �� ������ IP-�������. ���������� ������� ��� ���������� ���-
������ � ���, ��� ������, ����������� � ����������� ��������� �����, ��� ��
�����, ������������ ���������� ����� ���� ��������.
������������ ��������� ������ �� ������������ ���������� ����������� ��-
�����. ��� ��������, ��� ��� �� ����������� ������������ ������� �� �������
�������� �����������. ������������ �������� ����������� ������ ��������� ����-
���.
1.3.2 ��������� ��� ������������� ������������� ���������
�������� ������� ������������� ��������� �������� ���������� � ���������
������������ ��������� � ���������� �������� �������� ������ �������� ��������
������������. ������ ��� �������������� ����� ������� ���������� �������. �.
�., �������� ���� ���������� �� �������� �������� ���������, �� �����������
����, ��� ��������� ��������� �������, ��������������� ��� ��������� �����,
����� ��� ��������� ������������ ��������� ������ ������, �����������������
����� ��������� ������.
������������� ������������ ��������� ����� ��������� �������� ����������,
���������������� ����������, ��� ��������� �� ����������� �� �������� �������-
���. ��� ��������, ��� ������� ������������ ����� �������� �� ������ IP-����-
��, �� � �������� ���������� ��� ������������ ����������, ������������ �������
�������� � ���������.
������ ������������� ��������� ����� ���� ��������� �� ��� ���������. ��-
������, �� ������ �������� �� ���� �� ���������� ������ �����. ��� ��������
����� �� ���� ��� ������������ ������, ��������������� ��������� �������� ����
������� �������� ����������� ������� � DoS-�����. ������ ��������� - ��� �����
��� ������, ������������ ������� �������, ����� ��� ��������� ������, �����-
����� ���������� ���������� � ����� ��� �������� �������, ���������� ��������
�������� �����-���� ������ ���������� � �������. ������� ������������� ����-
����� �������� ���������� ���, �� ������� ����, ����������� � ���������� � ��-
������ ���������.
���������� ����� ������ ������������ ������������ ��������, ���� �� ����-
��, ������������� �� ����������� ���������� �������.
������ ������� - ��� �������� ������ ����� ������� �� ���� � ���������
����� ������������. ����� ����, ��� ������������ � �������� ����������� �����-
������� ���������� ������� �� ������� � ���������� �������, ������� ������
���������� ������� ��������� ��� ���. ����� ���� ��������� ����������, ����-
��� ����� �� �������� ���������, ������� ����� ����� �� �����. �����, �� ����-
��� ���������, ������� ������ ����������� �� �������� ����, �� �������, �����
����� ��������������� ������� ����. �������� ��������� �������������, �������-
���� ���� ���������� �� ����� ��������� [13]. ���� ���� �� ��������� ���������
����� ��������, �� �� ������ ���� ������� � ���, ��� �� ������ �� �������� �
�� ������������ �� �������.
������ ����������� ������������ ���������� � ���, ��� ��� ��������� ��-
������� ����������. ����� ����, � ��� ���� ������ � ����� ��������� ��� �����-
��� ����������, ���������������� ����������, � �� ������ IP-����� ������. ���-
��������� ���� �������������� ����������, ������ ��������� �������� ������� ��
������ ���������. ����., �����������, ��� ��������� ������ �����������������
���� � ������ � �������� �������� ������ ������ � ������������� �������� �����
HTTP. ����������� ������� ���������� ���������������� ���, ����� �� ��������-
������ ��������� ��������, ��������� �� �������� ��� ������ ���������� ������
�� HTTP. ��������� �� ������������������ �������� ������������, �� ������� ��-
��, ������, ��� �������� ������, �������������� ������������ � ������� �����-
��� �������� ����������. ������, ������������ ��������� ������� �� ������ ���-
��� ����� ���������������� ����� ��� ������, �� � �� �������� ���������� ���-
��� ������. ��� ���������� �������� �������, ������������ ����� ������������-
���� ��� ������, ��� ������������ �� �������� ��������� ���� ������������ ��-
��, ����� �� �����������. ����., ������������ ����� "SQL.Slammer" (���������
����� ��� "Hellkern" ��� "Sapphire") � ������ ������ ������ ��������� ��������
���������� ��������� ����� ������ 9 � [8]. ����� 11 ��� �� ������� ���� ��-
������. ������������ ��������� ������� ����������� � ������� ���������� ���
������������ ������, ������� ���������������� �� ����, ��������� ��������� ��-
������� ���������� ����������� �����������. �������, ���� ����� �������� ����-
���� ���� � ��������� ������, �� �������� ������������ ������������ �������-
���, � ��������� �� ������ ����� ����� �������������. � ���� � ���� ��������
��������� ������ ������ ������������� �� ����, ����� ��������, ��� �� �����,
����������� ��� ���������.
������ �������� ������������ �������, ��� ��� � ������������. ��� ������-
���� ���: "�� ���� ����� ������������ ��� ������, � ���� ��� ������ �������, �
���� ���� � ������� ������, ��� ���������". ���� ���� ����������� � ����� ���-
�����, ������������� ������������ ���������� �� ����� ��������� �����. ���-
����� ��� �������� �������� ������������� ����������� ����������� � ���������
���� DSL, ������� �� ������ � ������ ���������� �������� ����. ������� �� �
��������� ������, � � ���, ��� �� ������� ����� ���� ����� ������������ � ��-
������ ���������� ������� ��� �������� ��������� ��������� ����� �� ������
�������. ����., �� ������� ����� ���� ������������ ��� DoS-����.
����������� �� ���������� ���� ��������� ����� ���� ����� �������� ��-
������������ ������� ����������� ���� [intrusion detection system (IDS)]. Ÿ
������� � ���, ��� ��� ������ ������������ ��� ����������� ����, �� �� ���
�������������� ��� ������ �� ���. IDS ����� �������� � ���, ��� ���������
��������� �������� �������� ������ � ������, �� �� ����� ����������� �������,
�� ������ ��� ����� ���������������. ��� ��������, ��� IDS �� �������� �������
������������ ����������. ����������� ������������� ������������ ����������
����� �������� � ��� ������� ��������� ������� �� ������������ ������, �����-
����� �������� ����������� ����. ��� ������������ ���������� ��������������
����������� � ������������������ ��������. ������� ��������������� ���������
�������� ���������� �����������, ����������� ������������ �� ��������������
������ �������������� ���������� ����������, ����������� � �����, �����������
�������� ��������� ���� ��� ���������� ��������� ����������� ���� ActiveX �
���-���������.
�������, ��� ����� �������� � ������ ������, ������ �������� ����������-
��� ������������� ��������� ����� ���� ���������� ��� � �������� �����������-
���� ��������� ����������, ������� ����� ������ � ��������� ������� ��������-
����� � ��������� ������������ ������� ������. ���� ������������ ����������,
������� ����� ���� ������������ � �������� �������������� �������� ������� �
������� �� �����.
1.4 �����������
����������� ������ ������ � ������ ������� ����������� � ���������� ���-
������ ��������� ����, �� ��������� ������� ���������� �� ������������ ����-
�����. ��� ����� ���� ��������� ��������� ����, � ������� ��� ����������� ���-
��������� ��������� ����������� ����������� �� ��������� ������������������
�������. ���������� ������������������ ����, ����������� ����� �� ���������-
���, ��������� ������, �� ����� �� ��� ��������� �������� �������� ����������
������������ ��������. ����, ��������������� � ����������, ���������� ���
����������� ��������.
� �������� ������� ������������������ ������� ��� ������� ���������������
����� ��� ������������ ���������� ������ ����. ��� ���������� ��������� �����
� ���� ��������������� ������ ���� �������� ��� ������� �� Perl. ������������-
��� ���� ��������������� ��� ���������� ������ �������������� ���� ��������
�������. � ����� �������� ��������� ������� ��� ������� ����������� � ������-
�� ������ ���������� ������������ ���������� � �������� ����.
����� 2
�������������� ������������ ����������
� ���� ����� ����������� ����������� ����������� ����������� ���������,
���������� ��� ������������.
2.1 ��������� ����������� ��������
����������� ������ ������ Unix ��� �������������� Linux ���������� ����-
���� ����������� ���������, ������� ���� ������ � ������������� �����������
��� ������ ������ Windows. �� ���� ������� ��� ������ ���� ������� ������ ���-
��������� ��������� ��� Windows. ������������ �������� ��� ��-Windows �������,
��������, �������� �� ����� ������� �����������, ��������� ������� ��� �������
������� �������� � �� ����� ��������� ����������� ����, �������� ��� �����-
�������. ��������� ����� ������� ������������ ���� ������������� ������� ��-
������� ������������, �������� ���� ������� �� ����� ��������� ������� ������-
�� �����. ���������� ������������ ��������� ���������:
� ��������: Zonealarm
������: 3.1.395
�����������: Zonelabs
����: http://www.zonelabs.com
���: ����������
������� ��: Win98/ME/NT/2K/XP
� ��������: Symantec Desktop Firewall
������: 2.01
�����������: Symantec
����: http://www.symantec.com
���: �������
������� ��: Win95/98/ME/NT/2K/XP
� ��������: Sygate Personal Firewall
������: 5.0.1150
�����������: Sygate
����: http://soho.sygate.com
���: ���������� ��� ������� �����������
������� ��: Win95/98/ME/NT/2K/XP
��� �������� ���� ������� ������, ��� ������������ ����� ������� �����
���������� �� �����, ��������������� �� ��������� ����� � �������� ����������-
���. � ��� �������, ����� � ������ ������ �����-���� �� �������� �����������
��� �������� ������, ��������������� ������, ��������� ����.
2.2 �������������� ������������ ����������
� ���� ����� ����������� ��������� �������������� ������� ��������������
��������� ������������ ����������. ���� �������� �������������, ������ �����,
�� �������� ��������������� � ������������ ������, �������� �������� ���� �
������ ������, ��������� ����� � ������ �������� �����. �������� �� ����������
�� �������, � ����� ������� ��� "������� ����������" ["live update"] � ��� ��
���������������.
2.2.1 "Zonealarm"
������������ �������� "Zonelabs" ������ ��� ��������� ����: "���� �����-
����" � "���� �������". ��� ������ ���� ������������ ����� �������� IP-������
��� ����. ��� ���� ����� ����� ������ ��������� ������������. ������� ������-
����� ������������ ����� ���� ������ �� ��� �������: ��������, �������� �
�������. � ���������� ���������� ����������� ��� ������� ���������� ����� ��-
�������� ����� � ���� ��������� � � ���� �������. ����� ����� ����������, ���-
��� �� ���������� �������� ��� ������, �������� ��� ����� �������� ����������.
��������� �����: ���������, ����������� � ����������.
��������, �� ����������� � ����������, �� �������������� �������, ������-
�� "mailsafe". ��� �������� ������ �� ������� �� ����� Visual Basic � e-mail.
Ÿ ���� ����������� � ����������� ������� � ���������� ����� � ��������������
��� ��������������� �������. ����������� ��� ����������� ����������� ��������
e-mail.
� �������� �������������� ������� ������� ��������� ������, ��� �������
����������� �������� � ����� "����������� ��". ��� ����� ���� ��������, �����
������������ �������� �����-���� ������������ ��������� �������.
����������� ���������� ������� ���������������� ������, ������� ��������-
���� �� ����� ����������, ���������� �� ������� ������, �����������. ��� ����-
����, ��� ������ ����������, �������� ��������� �������� � �����, ����� �����
�� ������������� ���� ������.
2.2.2 "Symantec Desktop Firewall"
"Symantec Desktop Firewall" ����������� ��� �������� �����������: ����-
�������� � �����������.
� "������������" ������������ ����� ����� �� ��� ��������������� ����-
���: �������, ������� � ������. ��� ��� ������ �������� ���������� ����������
�����. ��� ������� �� ��� ������������ ������: ������������ ��������, Java-��-
����� � ActiveX. ��� ������ �� ���� ����� � ���� ������� ����� ������� ���� ��
��� ������� ������. � ������ ������������� ��������� ��� �������� ���������:
������� - ����������� �� ����� ���� ������������ �������������; ������� -
����������� ��������� ����������� ����������; ������� - ��������� ����� ����-
���. ��� ���� ��������� ����� ����� ������� ����������� ��, ���������� ������
��� � ��������� ��.
������������� ������� ��� ��� �����. ������ �������� ������������ �������
������� �� ������ �����, � ������ ����� ��������� �������������� �����. ���-
������ ��������, ��� �������, ������������ � �������������� ���� � �� �������-
�������� ������-���� ������� ����������, ����� ����������, ��� ���� �� �����
������� �������.
������ ��������� - "�����������". �������� ��������� ������������ ������
���� �� ��� ��������������� ������� ������������; �������, ������� � ����-
�������. ������� �������� ���������� �������� ������������ ��� (�����������,
���������� ��� ���������) � ������������ ���������������� ���������� (�������-
����, ���������� ��� ���������). "����������������" ����������� ����� ���� ��-
���, �������� � ���������������� ����, ����., ��������� 4 ����� ������ ���-
������ �����. ���� ���������, ������������ �������� �������� ���������, ���
��� ���������� �� �������� ������.
�����, "Symantec Desktop Firewall" �������� ����������� IGMP-������� �
����������������� IP-������. ��� �������� ����� ����������� ��� ���� DoS ���
Nuke, ������� �������� �������� ������� ���������� ��������������� ��������.
"Symantec Desktop Firewall" ������������� ����������� ��������� ��������-
������ ������������ ����� ������ ����������������. ���� �������������� �����
���������� ���� ������ ��������� ���������� � ��������������� ������ �� ����-
�����. ���� ������������ �������� �������� ����� ����������, ������� ��������
�������� ������ � ����, �������������� ���� �������� � ���� ������ � �������-
��, �������� �� ��� ����������. ���� ��� ���������� ��������, ��� ���� ������-
�������, ��� �����������, �������� ��������������� �������. ��� ����� ����-
���� �������� ��� ������� ����� ������������� ������� ��� ����������� �������-
���, ���� ���-���������.
� ������� �������������� ����� ���� ����������� ���������� ��������������
������� ����������� �� ������ ��������� �����. ��� ��������� ����������� ����-
�� user-agent, ����, referrer � ������ e-mail �� �������� ������.
���������� ����� ������������� ����� ��������� ������ � ��������� ������.
��� ������� ����� �������������� �������� � ��������� ������� � ����������� ��
�������� ��������� ����: ��������, �������� ����������, ������ ������ ��� ��-
���������� IP-������.
���������� ��� ������������ �������� ����� ����: ����������, ���������-
��� ��� �������������. ��������� ��������, ��� ����� ����� ���������������, ��
�� ����������.
� ������ ������� ����� ���� ��������� ���� �������, ������������ � ������
���������� �����.
2.2.3 "Sygate Personal Firewall"
"Sygate Personal Firewall" ���������� ��� ��������� ������ ������: "���-
�������� ��", "��������� ��" � �������.
����������� �� ��������, ��� ������ �������� �������� � ���������
������ ����� ����������.
��������� �� ��������, ��� ���� ������� � � �� ���������� ������
����� ��������. ��� ���� ����� ������� �����������
�������, ��� ������� ������� ��������������� �����-
��.
"�������" ��������, ��� ����� �������������� ������� �������-
���, ������������� �������������.
������� ������� ����������, �������� ��� ������ �� ����� � �������������
�� ��������� ����������. ��� ����� ��������� ����:
FileName: �������� ����������;
Version: ����� ������ (������) ����������;
Access: ������ �������, ����������� ������� ���������� (�������-
����, ����������, ���� ���������);
Path: ������������ ����������.
��� ���� ���������� ���������� ����������� ������� ������� �������. ���
������� ����� ����������� ������� ���������� �� �������������� ����� ���� IP-
������ ��� ������� ������. ������� ���������� ����� ���� ���� ����� ����������
��� ��������� ������� �� ����� ������ ������������ ��� �������� �������� ���-
����.
�����, ���������� ����������� ��������� ������� ������� ��� ����������.
������ ������� ����� �������� ���������� ������� � ������������ � ������������
����������, IP-��������, MAC-�������� � �������� ������. ��� ������� �����
���� ��������� �� ��������� ����������. �������� �� ����������� ����� �����
���� ��� ���������� ��� ������������. ������� ����� ����������� ������ � ��-
������ ������� ������� ��� �� ����� ������ ������������.
������ ��������������� � ���� �������� �������� ������������� � ���������
��������, ��������� ��������� �� e-mail. ��� ����� �������������� ����������
��� ����������� ������� ��� ����� ���������� ��������� �������.
"Sygate Personal Firewall" ������������ ������ �� ������ ���������. ���
������� ��������� ����� ���������� �� ������� � ����, ���� ������������ ��
�������� ���. ���� �����-���� ���������� ������� ��������� ������������� ����-
������� ���� ���������, ��� ����� ����������.
�������, ���������� "�������������� DLL", ����������� ����� DLL � �����-
������� � �������� � � ����������� �������. ������ � ���� �����-���� DLL, �
��� �������������, �����������.
2.3 ����������� ���������������
2.3.1 "Zonealarm"
"Zonealarm" ������������ ����������� ��������������� � ���� � plain text
� ������� �������. ������� ���������� �� � �������� �������, ��������� �����-
��� ����� ���������� �����, ������ ��� �� ����� �������, ������, �������� ���-
������� ����� ������� � �� ����� ����������. ������ ������� ����������� � ��-
������� ������, ���������� ����, ���������� ��������. ���� ������� ������ �
������ ��������� ���� "Zonealarm".
--------------T-----------------T-------------------------------------------�
��������� ����� ������ � ������ ����������� �
+-------------+-----------------+-------------------------------------------+
�Type �FWIN �FWIN|FWOUT|FWLOOP|LOCK|PE|ACCESS|FWROUTE|MS�
�Date �2002/11/26 �YYYY/MM/DD �
�Time �11:38:02 +1 GMT �HH:MM:SS +n GMT �
�Source �192.168.0.66:3244�IP-�����:���� �
�Destination �192.168.0.10:80 �IP-�����:���� �
�Transport �TCP(flags:s) �TCP(flags:x)|UDP|ICMP|IGMP|N/A �
L-------------+-----------------+--------------------------------------------
FWIN,2002/11/26,13:21:22 +1:00 GMT,10.10.50.42:63348,10.10.50.2:17978,TCP (fl�
ags:S)
FWIN,2002/11/26,14:07:22 +1:00 GMT,192.168.0.9:0,10.10.50.2:0,ICMP (type:8/su�
btype:0)
FWIN,2002/11/26,14:22:00 +1:00 GMT,10.10.50.4:0,10.10.50.2:0,IGMP
FWIN,2002/11/25,13:41:36 +1:00 GMT,192.168.0.9:0,10.10.50.2:0,IGMP (type:2/su�
btype:31)
FWIN,2002/11/26,15:31:46 +1:00 GMT,192.168.0.9:7617,10.10.50.2:42,UDP
ACCESS,2002/11/28,14:05:58 +1:00 GMT,,N/A,N/A
ACCESS,2002/11/28,14:05:58 +1:00 GMT,flood.exe was temporarily blocked from c�
onnecting to the Internet (10.10.50.3).,N/A,N/A
PE,2002/11/28,14:09:06 +1:00 GMT,flood.exe,10.10.50.3:0,N/A
PE,2002/11/28,10:10:46 +1:00 GMT,Internet Explorer,192.168.0.9:80,N/A
FWOUT,2002/11/28,14:09:08 +1:00 GMT,10.10.50.2:96,10.10.50.3:66,TCP (flags:S)
FWOUT,2002/11/28,14:09:36 +1:00 GMT,10.10.50.2:0,10.10.50.3:0,IGMP
FWOUT,2002/11/25,14:37:40 +1:00 GMT,10.10.50.2:53,10.10.50.2:53,UDP
FWROUTE,2002/11/28,14:09:58 +1:00 GMT,0.0.0.0:96,10.10.50.3:66,UDP
FWROUTE,2002/11/28,14:11:28 +1:00 GMT,0.0.0.0:0,10.10.50.3:0,ICMP (type:8/sub�
type:0)
2.3.2 "Symantec Desktop Firewall"
"Symantec Desktop Firewall" ������������ ����� ��������� ����� ������� �
��������� ����, ������������� ����. ������ ������ ������������ � 16-������ ��-
�� � ������������� �������. � ���������, "Symantec" ������-���� �������� ���-
���� ���� ������ �� �������������. ���������� ������� �������� ����� � plain
text, �� ����� ���������� ������������� ����, ����������, ������ ���������,
��� ���� �������������. ��� ������������� ������� ����� �� �����, ����������-
������ � plain text. ����� ��������� ����� ����������� �� ����������� � �����-
���� ���������.
��� ������������ �����������
�������� � ����� iamtdi.log. ���� ���� ������������ ���������� � �������-
������ �������� ActiveX ��� Java. ������������ ����� ����������� ������ ������
���������� �� ��� ��������� �������: ������, ������� � �������. ��� �������
�� ����� ����������������� ��������� � ������ ������, ��������� �����������
������� �� �������� ���������� � �������� ���������. ������� ������ ��� �
���������� �� ���������������.
��� ����������
�������� � ����� iamtcp.log. ���� ���� ������������ ��� �������� � ����-
����� ����������, ������� �����, ������� ������� � ���������� ��������� ����.
������ ������� ����� ������������ ���������, ����., ��� �������� ����������
�����. ������� ���������� �� ��� ��������������� �� ������. ���� ������� ���-
��� ���� ���������� "Symantec Desktop Firewall".
1/28/2003 18:00:48 Connection: 192.168.0.33: http from 192.168.0.2: 1802, 537�
bytes sent, 1380 bytes received, 3:35.268 elapsed time
1/28/2003 18:00:12 Connection: 192.168.0.66: http from 192.168.0.2: radius, 3�
162 bytes sent, 8352 bytes received, 21.451 elapsed time
1/28/2003 17:59:54 Connection: 192.168.0.66: http from 192.168.0.63: radacct,�
503 bytes sent, 221 bytes received, 0.650 elapsed time
��� ���������
�������� � ����� iamfw.log. ��� �������� ���. �� ������������ �������� �
��������� ����������, �������� ��������� � �������� ����������. ������ �������
�������������� �� ���������� �������. ��� ���������� ����������, ����������
����� ����� ������������� �� ��� �� �����. ��� ����� �� ������� ����, ������
������� �� ������� �����-���� ������� �������� ��������������. ��� ���������
���������� ��� ������� � ��������������� ������ �����, ��������� � ��. 6.
11/25/2002 14:39:05 Rule "Default Outbound ICMP" permitted (10.10.50.4,systat�
). Details:
Outbound ICMP request
Local address is (10.10.50.1)
Remote address is (10.10.50.4)
Message type is "Time Exceeded for a Datagram"
Process name is "N/A"
11/26/2002 14:14:30 Blocked inbound IGMP packet. Details:
Remote address (10.10.50.4)
Local address (10.10.50.1)
11/27/2002 16:39:53 Rule "block all" blocked (10.10.50.1,441). Details:
Inbound TCP connection
Local address,service is (10.10.50.1,441)
Remote address,service is (10.10.50.4,44614)
Process name is "N/A"
1/27/2003 14:08:45 Rule "Eudora HTTP" blocked (192.168.0.7,http). Details:
Outbound TCP connection
Local address,service is (0.0.0.0,2683)
Remote address,service is (192.168.0.7,http)
Process name is "C:\Program Files\Qualcomm\Eudora\Eudora.exe"
11/26/2002 15:24:28 Rule "block all" blocked (10.10.50.1,nameserver). Details:
Inbound UDP packet
Local address,service is (10.10.50.1,nameserver)
Remote address,service is (192.168.0.2,15897)
Process name is "N/A"
��� �����������
�������� � ����� iampriv.log. ���� ���� ������������ �������, ����������
�����������, ����., �������� ��� ��� �������������� user-agent ��������. ���-
������ ��� �������� �� ��������� ��������������� � ����������, ���� ��� �
���������� �� ���������������.
��������� ���
�������� � ����� iamsys.log. ���� ���� ������������ ������� ���������,
����� ��� ������ � ��������� ������ �����-���� ������. � ������ �������������
������ ������ ��� ������� ������� �� ���������������, ��������� ������ ������-
��� ��� �� �����. � ���������� ��� ������� ������������ ����� ����� �����
��������� � ����� ����, �.�. � ��������� ��������� ��� ���������� ����� �����-
������� �������. ����., ����� ����� �������������� ������������ ��������, ����
� ���������� ����������� ������� ��� �� ���������.
��� ���-�������
�������� � ����� iamwebh.log. ������� ����� ������� ���-�������� ���� ���
������������ ��� ���������� URL-� �� �������� � �����. ���� ������ �� ��������
���� ����������� �����, ���������� ��������������� ���-��������, ���� ��� ��
������������ �������� ��� ���������� ������������� � ������ �� �������������-
��.
2.3.3 "Sygate Personal Firewall"
"Sygate Personal Firewall" ������������ ������� � ������ ��������� �����:
��������� ���, ��� ������������, ��� �������� � �������� ���. ���������� ����
�������� � 16-������ ����, �� ������� ������� �������� � ��������� � plain
text �� ������� ��������� ����.
����� ��� � ��� �� �������� ������� ��� � ���������� ��� ��� ���������
debug.log, ���������� ���������� ������ ���� ��� ����� ������� ���������� GUI
��� ������� ������� � ���� ��� �� ��������. ��� ������� �� ��������, �� ������
������ ���������� ����� � � ������������� ������ ������ �� ������������.
��� ��� ���� ����� ������������ � ���� ��������� �������: "��������� ���"
["local view"] � "�������� ���" ["source view"]. ������������ �������� �����
���� � ���, ��� ��� ������� ��� ���� "�������� ����" � "��������� IP" ["remo-
te host" & "local IP"] � ������ ������ � "���� ����������" � "�������� IP"
["destination host" & "source IP"] � ������. � ����� ����� ���� �����������
��� �������, ������ ������, �.�. ���������� ������� ���� � �� ��. ��� ����
������ �������� �������. �������� �� ��������� ������������ ������ ����� �����
������ ���� ������� � ����������. ��� ��������, �� ���� ���������� ������ ��-
����������� ������ ����� "�������� ���".
��������� ���
�������� � ����� syslog.log. ���� ���� ������������ ��� ������� ������-
���, ����� ��� ������ � ��������� ������ �����, ����������� ������� �������-
���, ��������� ������������ �������� � ������ ���������� ��������. ���������
��� ����� ��� ������ ��������������, �� ��� ����� �������������� ����������, �
������� � ������ ������ ������ �� �� ���������������. ��������� ����� ���� �
������������ ��� ������� ������������ ����� ����� ����� � �������. � ���������
��������� ��� ���������� - ����., � ���, ����� ���� �������� � ����������� ��-
���-���� ������ - ����� ������������ �������. ���� ������� ������ ����������
���� "Sygate Personal Firewall".
*************** Windows Version info ***************
Operating System: Windows 2000 (5.0.2195 Service Pack 2)
*************** Network info ***************
No.0 "Local Area Connection" 00-04-ac-44-ab-ba "Intel 8255x-based PCI Ethernet
Adapter (10/100)" 10.10.50.3
96 01/22/2003 16:00:38 Information 12070202 Start Sygate Personal Firewall...
97 01/22/2003 16:00:38 Information 12070202 Sygate Personal Firewall has been�
started.
98 01/22/2003 16:00:38 Information 12070305 Security level has been changed t�
o Normal
99 01/22/2003 16:00:54 Information 12070305 New Option Settings is applied
100 01/22/2003 16:01:14 Information 12070305 New Advance rule has been applied
101 01/22/2003 16:01:20 Information 12070204 Stopping Sygate Personal Firewal�
l....
102 01/22/2003 16:01:24 Information 12070204 Sygate Personal Firewall is stop�
ped
103 01/22/2003 17:02:08 Information 12070201 Sygate Personal Firewall 5.0.1150
��� ������������
�������� � ����� seclog.log. ���� ���� ������������ ������������ �������-
��� ���� ����������, ������������ � ������, ����., ������������ ������ ���
DoS-�����. ��� ������������ ���������� ������� ������� IDS, ������������� ��-
�����, ��������������� � ���� ��������. ���� ������� ������ � ������ ���������
���� ������������ "Sygate Personal Firewall".
-------------------------T---------------------------------------------------�
� �������� ���� � �������� �
+------------------------+---------------------------------------------------+
�Event number �������� ��������������� ������������� �
�Time ����� � ����� ����������� ������� �
�Information ���������� �� ��������� �
�Severity �������� ����������� ������� (Critical, Major, Minor�
� ���� Information) �
�Direction ������������ ������������ ������������ �
�Protocol ���� ��������� (TCP, UDP ��� ICMP) �
�Destination �IP-����� ��������� ������ �
�Source �IP-����� ������, �� ������� ������� ������� �
�Destination port or ICMP������ ����� ���������� ��� ��� ���������� ICMP-�
� ��������� �
�Source port or ICMP ������ ����� ��������� ��� ��� ������������� ICMP-�
� ��������� �
�Count ����������� ������������������ ������� ������� ���� �
�Application ��������� ����������� ���������� �
�Begin time ������ ������ ������� ����� �
�End time ������ ��������� ������� ����� �
L------------------------+----------------------------------------------------
113 11/28/2002 10:04:56 Executable File Change Denied Major Outgoing TCP 10.1�
0.50.4 0.0.0.0 C:\Program Files\Internet Explorer\IEXPLORE.EXE 1 11/28/2002�
10:04:52 11/28/2002 10:04:52
114 11/28/2002 10:05:19 Executable File Change Accepted Information Outgoing �
TCP 10.10.50.4 0.0.0.0 C:\Program Files\Internet Explorer\IEXPLORE.EXE 1 11�
/28/2002 10:05:15 11/28/2002 10:05:15
56 11/26/2002 14:02:59 Denial of Service Major Incoming ICMP 192.168.0.8 10.1�
0.50.3 1 11/26/2002 14:02:52 11/26/2002 14:02:52
58 11/26/2002 14:45:34 Denial of Service Major Incoming Unknown 10.10.50.4 10�
.10.50.3 7 11/26/2002 14:45:32 11/26/2002 14:45:34
105 11/27/2002 15:55:24 Port Scan Minor Incoming TCP 10.10.50.4 10.10.50.3 6 �
11/27/2002 15:55:18 11/27/2002 15:55:19
��� ��������
�������� � ����� tralog.log. ���� ���� ������������ ���������� � ���� ��-
����� ��������, ������� ������ ��� �������� ����� ���������� ������. ���� ��-
����� ������ � ������ ��������� ���� �������� "Sygate Personal Firewall". ���-
��� ���� ������� (�����) �������� ����� ��������� ������� �������, ������ ����
������� (����� ������) ���������, ����� �������� ������������������ �����, �
������ ���� ������� (����� ���������) - ����� ����� �����������. ��� ��������,
��� ������� ������� ������ ����������� ������: ����� ������ =< ����� ���������
=< �����.
--------------T-------------------------------------------------------------�
��������� ����� �������� �
+-------------+-------------------------------------------------------------+
�Event number �������� ��������������� ������������� �
�Time ����� � ����� ����������� ������� �
�Action ���������, ������������ ���������� (Blocked or Allowed) �
�Protocol ���� ���������, ������������ ��� ������� (TCP, UDP, ICMP ���
� ������������) �
�Direction ������������ ������������ ������������ (Incoming or Outgoing) �
�Source �IP-����� ������, �� ������� ������� ������� �
�Destination �IP-����� ��������� ������ �
�Application ��������� ����������� ���������� �
�Count ����������� ������������������ ������� ������ ���� �
�Begin time ������ ������ ������� ����� �
�End time ������ ��������� ������� ����� �
L-------------+--------------------------------------------------------------
56 11/25/2002 14:22:54 Blocked UDP Incoming 127.0.0.1 53 10.10.50.3 53 2 11/2�
5/2002 14:22:32 11/25/2002 14:22:50 Block_all
57 11/25/2002 14:22:54 Allowed UDP Incoming 10.10.50.4 138 10.10.50.255 138 C�
:\WINNT\System32\ntoskrnl.exe 1 11/25/2002 14:22:52 11/25/2002 14:22:52 GUI�
%GUICONFIG#SRULE@NBENABLEYOU#ALLOW-UDP
30545 11/26/2002 14:01:10 Blocked ICMP Incoming 192.168.0.9 0 10.10.50.3 8 1 �
11/26/2002 14:00:51 11/26/2002 14:00:51 Block_all
1460410 11/28/2002 14:08:22 0.0.0.0 0 0.0.0.0 0 Outgoing Blocked C:\sygate_DF�
W\exploits\flood\flood.exe
�������� ���
�������� � ����� rawlog.log. ���� ���� ������������� ������ ����� ������,
�������� ��� ���������� ���������. ��� ����� ������������� ��� ������� ����-
���, ���������� �� � ������������� [promiscuous] ������. �� ��������� �����
������� ��������������� ���������, ��������� ��� ����� ���������� ����� �����
��������� ������������.
� ���������, ������ ����������������, �������� ��� �������� �� ��������
������, � ������ ����������, ������� ��� ������������ ��� ��������, ����., IP-
������ ��������� � ����������. ��� ���� ��, ����� ������� ���������� �������,
������� �������� ����������� ������������� ����� �������, ������� ������� ��
��������������. �� ���� ��� ��������� ����������� ������� �� ��������� ����,
��� ��� ����������� ���������� ��������������� ������ ��� ���� ��������� ���-
���� ����, ��������� ��� ���������� - ����� ���� "�����" ������ �� �������, ��
��������� ������ �� �� ����� ���������. ��� ����, ����� ���������� ����� ����
������� �������, ����������� ���������� � �� ����������� ��������� ������
����������. ��� ��������� �� ������, ������� ��� ��������� IDS. �����������
������ �� ����� ������ � ������� �� ����� ��������� ������. �� ���� ������� �
������, ��� � ���������������� ���� ������ ��� ������������ �� �� ����� �����-
�����, ��� � ��� ��������, ��, ���� � �������� ����� �� ������ ���������� ��-
��������, � ������ ������ ����� �� ���������������.
���� ������� ������ � ������ ��������� ��������� ���� "Sygate Personal
Firewall". ��� ��� ���� �������, ��� ��������� �� �������� ���������� �������,
��������� ������ ����� ����������� ������ �� ���������� ������������� �����
rawlog.log.
-----------------T---------------------------------------------------------�
� �������� ���� � �������� �
+----------------+---------------------------------------------------------+
�Event number �������� ��������������� ������������� �
�Time ����� � ����� ����������� ������� �
�Source �IP-����� ������, �� ������� ������� ������� �
�Source port ������ ���������� ����� �
�Destination �IP-����� ��������� ������ �
�Destination port������ ��������� ����� �
�Direction ������������ ������������ ������������ (Incoming or Outgo-�
� �ing) �
�Action ���������, ������������ ���������� (Blocked or Allowed) �
�Application ��������� ����������� ���������� �
L----------------+----------------------------------------------------------
1019023 01/22/2003 15:41:01 10.10.50.4 80 10.10.50.3 1038 Outgoing Allowed C:�
\WINNT\system32\telnet.exe
1019034 01/22/2003 15:44:00 10.10.50.4 80 10.10.50.3 1040 Incoming Allowed C:�
\Program Files\Internet Explorer\IEXPLORE.EXE
1019035 01/22/2003 15:44:07 10.10.50.2 138 10.10.50.255 138 Incoming Blocked �
C:\WINNT\System32\ntoskrnl.exe
����� 3
������� ������������
��� ����� ��������� ���������� �������������� ������, ��������������� ���
������������� ���� �� ������������ ���������, ��������� ��� ������������, �
������ �������� � ������������ ���������.
3.1 ���� ������������
� ��������� ����� ����� ��������� ���������� ������, �������������� ���-
��������� ���������� � ����������� �� ������������ [3]. ��� ������������� ���-
�� ������ �������� ������������ ������ IP-������ � �������� �� ��������. �����
�������� ����� ���� ���������� ���������� ����������������, �� ��������� �
������ ������������ ����������� �������������, ��� ������������ ���������
���������������� ��������� � �� ��������� �� ������������, ���� ������ ��� ��
����������.
������ �������������� ����������� ������ �� ���������, ������� ��������
������ ���� �� ���� ��������� �� ������������. � ������������ �� ��������� ���
������������ ��������� ��������� �������� ������� � �� ������� ����������
���������� ������������, ��������� ��� ��� ���. ������� ���������� ����� ���-
�������� ������ � �������� ��������� ������������ ���������� �����������. ���
���� ��� ���� ������� � ��������� ������������ ����������� ������������, ���-
����� �������� ������ ����� � ��� ���������������.
������� �������� ������ ������ ������������� �� ����������� ���������� �
������ � ���������� ������������ ����������, ������� �� ����� ���� ���������
���� ���������� ������������. ����� ����������� ����� ���� ���������� �����-
�������� � ����������� �������, ����� �� �� ����� ���� ���������� ������, ��-
���� ��� ������� � ��������, ��� ������� ������� ������������ ��������� ��
�������������. �� ���������� � ������������������, ��� ������� ����� ��������
��� ����������� ������� �����������. �.�., �������� ������������� �� �������-
��� ����, ������� ��������� ���� ����� ��������� ���������, ������������� �
��. 4.
������ ������� �������� ������������, ����������, �������� ��������� ��-
���, ������� ������������ ����� ���� ������������ ��� �������� ����� �������-
�������. ��� ���� ���� ������������ ��������� ���� ���������������� �� ������-
��������� ���� �������� ����������. ��� ���������� ����������� ������� �����-
���������� ���� � ������� ���������� ��������� ������� ������������ � ������-
��� ��� ������ ����� �������.
3.2 ���������
�������� ������ ������ ������������� �� ��������� ������������ �������-
���, ������� �������, ��������� �� ���������� ������������ ������ ��� �������,
���������� ������������� ��������� ����������� � ������������ ����������, ��
���������������.
������� ����������� ���������, ��� ����������� ������������ ������� ���-
������ ���������� ����� ������������ ����������� � �������� ���������. �����-
������, ��� ������������ ��������� �������� � �������� ������� ������, ������-
�������� ����������� ���������� ������������. � ���� ����� ������������ ��
��������� ������� ��������� ���� ������������ �������� ��� ������������. ���-
��������� ���� ��������� �������, ����� ������������ � "Internet Explorer",
�������� ��� �������� ������ � TCP-������ 80, 8080 � 443, �������������� �����
����������� ���� ���-�������, �������������� ���� ���-������� � ���� SSL-���-
�������. �������� ���������� ����������� ������ ��� ������� Telnet �� TCP-���-
�� 21. ������ ������������ ���� ������� ��� ������������� ������� �������� ��-
���������� ��� ������������ ����� �������� �� ���������, ��������� �������
������������ ����� �������� ������������� ������ �� �����. ������� ������� ��-
��� ��� �������� � ����������� ��������� ������������, ��� ����� ������� ��-
�������� �� ���� ����� �� ��������.
3.3 ������������� �����
��� ������������ ���� ���������� ��������� ���� �� ������ �����. ��� ��-
������ ���������� "IBM PL300" � ������������ "Pentium II" 350 ��� � 128 ��
���. ��� ������ ����� ��������� ������������������� "Windows 2000" � "Service
Pack 2". �� ������ ������� ���������������� ��������������� ����������� �����-
������� ��������. �������� ������ �������������� ��� ��������� � ����� ����-
��� ������� �������� "Windows 2000" � "Service Pack 2" � "RedHat Linux 8.0".
��� ������ ��������� ������������� 100-������� ����� ����� "Netgear Hub". ��
���� �������� Windows ���� ������� ������ �������������� � ������������� ����-
��������.
����� 4
�����
� ���� ����� �������� ����������� �������� ������������ ���� � �����, ��-
����� ��� ����� �������.
4.1 �������� �������������� ����
��������� ���� ���� ������ ����������� � �������� ������� � ������ ����
������������ ����������, � �� ������������ ������, ����� ���� ���������� ��
���������� ���������.
����� ���� �������� ����� ������, ��������������� ��� ����� ������ ����-
����� �� ��������� ������. ��������� ����� ��������� �����, ���������� ��� ��-
�������� � ���� ������ ��� ������, ������� ���� �������� �� ������-������ �
������ ������ ���������� �������� ���������. ��������� �������� ������������
�������� ����� �����, ����������� �� ����������, ��������, ��� ����� ���������
���������� ��� ���������� �� �����. �� ����� �������, ��� ����� � ������� ��-
���-���� �������, ��������������� � ������ ���������, - ������ �� ����������.
�������, ������������� � ���, ��� � ��������� ������� ����� ����� ��������� �
����� �����-���� �����, ������ �� ��������.
�������� ������������� ���� ������������ ����, �� ����������� ���������-
���������� ������� ��������������, ����� ���� �������� ������� � ���������. �
������ ������ ��� �� ��������, ��������� ���������� ��������� ���� ��� ������-
���� �������� ���������� ���������� ������������ ����������� ���������������
�������. ���� ������ �� �������� � �������� ���� �������, ��������� ������ ��-
���� �� �� ������������ ���������� ���� ��� �������, � ��������������� ������-
�� ����������������� ��������, ������� �� �����������. ������������ �� �����-
����� �������� ����� ��������� ����� ��������������, ���� ����������� ��������
��� ������� �� ���.
������� ���� ���������� ���� ����������� ����, �� �������� ���� ��������
��������� ��������.
-�����T-T>-���������T-T>-����� �� ����������--T-T->-���������������--------�
� �-� � �-� ����������� �-� ����������� ����������� �-
L=====--� L=========--� L=====================--� L=======================--
-------� -----------� -----------------------� -------------------------
� � +->-��������� ������-------�
� � � � �-
� � �->L=======================--
� � �� -------------------------
� � +->-��������� ������ ������
� � �� � �-
� � �+>L=======================--
� � �� -------------------------
� L>-����� �� ������������T-�+>-������� ������ "��"----�
� ��������� �-�� � �-
� L=====================--�� L=======================--
� -----------------------�� -------------------------
� L->-��������������---------�
� � � �-
� � L=======================--
� � -------------------------
L>-��������T-T>-����� �� ������������T-T->-��������� �������------�
� �-� ��������� �-�� � �-
L=========--� L=====================--�� L=======================--
-----------� -----------------------�� -------------------------
� �+>-��������---------------�
� �� � �-
� �� L=======================--
� �� -------------------------
� �+>-�����������------------�
� �� � �-
� �� L=======================--
� �� -------------------------
� �+>-���������� ��������----�
� �� � �-
� �� L=======================--
� �� -------------------------
� �+>-���������� ��������----�
� �� � �-
� �� L=======================--
� �� -------------------------
� �+>-������������ ��������--�
� �� � �-
� �� L=======================--
� �� -------------------------
� +->-����������-------------�
� �� � �-
� �+>L=======================--
� �� -------------------------
� �L>-��������� ����---------�
� � � �-
� � L=======================--
� � -------------------------
� L->-���������� ���������---�
� �������� �-
� L=======================--
� -------------------------
L>-���� ����������------T--->-������������ ������----�
� �- � �-
L=====================-- L=======================--
----------------------- -------------------------
-���������������--------T-T>-����� ���� ����������T-T>-����������� ����������
����������� ����������� �-� � �-� ��������� �-
L=======================--� L=====================--� L=====================--
-------------------------� -----------------------� -----------------------
-��������� ������-------T-- �
� �- �
L=======================-- �
------------------------- �
-��������� ������ ������T-T>-���������� ��������--T-+
� �-� ���������� ������� �-�
L=======================--� L=====================--�
-------------------------� -----------------------�
-������� ������ "��"----T-- �
� �- �
L=======================-- �
------------------------- �
-��������������---------T-� �
� �-� �
L=======================--� �
-------------------------� �
-��������� �������------T-->-����� �����������----T--
� �-� ���������� �-
L=======================--� L=====================--
-------------------------� -----------------------
-��������---------------T-+
� �-�
L=======================--�
-------------------------�
-�����������------------T-+>-����� ������������---T-T>-��������� ����������-�
� �- ������� �-� � �-
L=======================-- L=====================--� L=====================--
------------------------- -----------------------� -----------------------
-���������� ��������----T-� �
� �-� �
L=======================--� �
-------------------------� �
-���������� ��������----T-+>-���������� ���������-T--
� �-� ����� ��������� �-
L=======================--� L=====================--
-------------------------� -----------------------
-������������ ��������--T-+
� �-�
L=======================--�
-------------------------�
-����������-------------T-- -������ ����������----T-->-������ ����������----�
� �- � �- � �-
L=======================--T>L=====================-- L=====================--
-------------------------� ----------------------- -----------------------
-��������� ����---------T-+
� �-�
L=======================--�
-------------------------�
-���������� ���������---T-+
�������� �-�
L=======================--�
-------------------------�
-������������ ������----T--
� �-
L=======================--
-------------------------
����� ����������� ��������� ��������� ����, �������������� ��� ���������-
��� ������������ ����������. ����� ����������� ������� � ������ ���� ����, �
����� �����, ������� ��� ����� ��������.
4.1.1 ���������� ��������
��������: ������� ���������� ������ ������������� ��������� ��������.
��������� ������: ���������.
����: ��������� ���������� ������������� ���������.
�����: ����������� ������ ������������� ���������.
����: ����������� �������� � ��������� ����������.
��������: �������� �������������� ��������� �� �������������� ���
�������� ������������.
4.1.2 ��������� � ������ 1
��������: ��������� �������� � ������������ ������ ������������� ����-
�����.
��������� ������: ���������.
����: ������� ����� ������ �������� ���������.
�����: ������������� ���� ������� ���������.
����: ����������� �������� � ��������� ����������.
��������: �������� DLL � ��� ������������ ������, ����� ��������� ����
������ ��� �������, ���������� �� ������� ������ ���������.
4.1.3 ���� ����������
��������: ������������ ������ � ����� ����� ���������� �� ����������
�������.
��������� ������: ��������.
����: ���� ��� ����� ������� ���������� � ������� ��� �����������
����.
�����: ������ ����������.
����: ��������� ����������� ������������� �����.
��������: ������������� ����������� ������ �������� ������������, ��-
�� ������������ XMAS.
4.1.4 ��������� � ������ 2
��������: ��������� �������� � ������������ ������ ����������� �����-
�����.
��������� ������: ���������.
����: ������� ����� ������ ����������� ����������.
�����: � �������� ����� ��������� ���������� ����������� �������-
���.
����: ����������� �������� � ��������� ����������.
��������: �������� DLL � ��� ������������ ������, ����� ��������� ����
������ ��� �������, ���������� �� ������� ������ ����������.
4.1.5 ������ "�������������"
��������: ������� ����������� ���������� ���������� � ������, �����
������������ �������� ������ "�������������" ["more info"] �
���������������� �� �������� �������������.
��������� ������: ��������.
����: ��������� ������������ ��������� �������� ����� ������ � IP-
������ ����� ��� ��������� �������������� ����������.
�����: ������ ����������.
����: ��������� ����������� ������������� �����.
4.1.6 �������� ����������
��������: ������� ������������� ��������� ��������� ������ ��������.
��������� ������: ��������.
����: �������� ���� �������� ��� ���������� ��� ������� ����������
���������.
�����: ����������� ������ ������������� ���������.
����: ����������� �������� � ��������� ����������.
��������: ���������� ��� ���������� ��������� ���������� ���� TCP,
UDP, ICMP ��� IGMP. ���������� ���������� ������������� ��-
����� ���� SYN ��� FYN. ������������ �������� ��������. ���-
������� ��������� ��������� ��������� �������. ���������� �
������� ���������� ������� ��������� � ����������.
4.1.7 ��������� ����������
��������: ������� ��������� ������ �������� � ������, �� ������� ����-
���� ������������ ��������.
��������� ������: ���������.
����: �������� ���� �������� ��� ���������� ��� ������� ����������
���������.
�����: ����������� ������ ������������� ���������.
����: ����������� �������� � ��������� ����������.
��������: ���������� ��� ���������� ��������� ���������� ���� TCP,
UDP, ICMP ��� IGMP. ���������� ���������� ������������� ��-
����� ���� SYN ��� FYN. ������������ �������� ��������. ���-
������� ��������� ��������� IP-������� � ��������� ������-
��� ��������� IP-�������. ���������� � ������� ����������
������� ��������� � ����������.
4.1.8 ��������� ������
��������: ������� ����������� ������� � 127.0.0.1 � �������� ��������-
�� IP-������.
��������� ������: ��������.
����: ��������� �� �������, ��������� �� ����������� ����������
�������� �����.
�����: � �������� ����� ��������� ���������� ����������� ���������.
����: ����������� �������� ����������.
��������: ���������� ��������� ���������� ���� TCP, UDP, ICMP ���
IGMP. ���������� ���������� ������������� ������� ���� SYN
��� FYN.
4.1.9 ������� ��������� ����
��������: ������� ����������� ���������� ������������ �������� � �����
�� ������ � ����.
��������� ������: ���������.
����: �������� ����������� ����������.
�����: � �������� ����� ��������� ���������� ����������� �������-
���.
����: ����������� �������� � ��������� ����������.
��������: ������ �������� ���� ����������� ����������, ��������� ���-
��������� ���������� ��� ����������� �������.
4.1.10 ��������
��������: ������������� ��������� �������� ��� ��������� �������� ��-
��� ���, ��� �� ����� ������ ������������ ����������.
��������� ������: ���������.
����: ��������� �������� �� ����, ��� �� ����� ������������.
�����: � �������� ���������� ��������� �� �����.
����: ����������� �������� ����������.
��������: ������������� ��������� ����� ������� ���������.
4.1.11 ������������ ��������
��������: ������������ �������� ������������� ���������.
��������� ������: ���������.
����: �������������� �������� ������������� ���������.
�����: ����������� ������ ������������� ���������.
����: ����������� �������� � ��������� ����������.
4.1.12 ��������������
��������: ���������� ����������� ���������� �������� ��� ������� ��-
������� �������� � ����� �������.
��������� ������: ���������.
����: ����������� �������� � ������ �������� � ������������� ����-
����������� ������ ��� ��� �������� � ���������.
�����: � �������� ����� ��������� ���������� ����������� �������-
���.
����: ����������� �������� � ��������� ����������.
��������: ���������� ��� ������� ������� ��������� ����������, ����.,
HTTP, SMTP ��� ICMP.
4.1.13 ������� ����� IP
��������: ������������� ������� ����� IP ��� �������� � ��������� ��-
�����.
��������� ������: ���������.
����: ������������ �������� �� ����� �������.
�����: � �������� ���������� ��������� �� �����.
����: ����������� �������� � ��������� ����������.
��������: ����������� ������ �������� ��������. ����������� ����������
�������������� ����� ��� ������� ��������.
4.1.14 �����������
��������: ����������� ����������� �������� ��� ������������� �������-
��.
��������� ������: ���������.
����: ���������� ����� ���� ��� ������� ���������� �� ������� API.
�����: � �������� ���������� ��������� �� �����.
����: ����������� ��������� ����������.
��������: ������������� ��������� �������� ��� ������ Windows.
4.1.15 ���������� ��������
��������: ����������� ���� ��������� �������� ���������� ������.
��������� ������: ���������.
����: ����������� ���� ��������� �������� � ����� ���������� �����
������������� ��������� ���, �� ������� ����, �����������
��� ������.
�����: ����������� ������ ������������� ���������.
����: ����������� �������� � ��������� ����������.
��������: ��������� � ��������� �������� ���� ������������� �������
��� ������.
4.1.16 ��������� ����
��������: ��������� ���� ������������� ���������.
��������� ������: ���������.
����: �������� ������ ����� �������� �����.
�����: ���������� ���� �������.
����: �������������.
��������: ���������� �������� ������� �� �����, �� ������� �����. ���-
����� ����� ����.
4.1.17 ��������� ������ ������
��������: ��������� ������ ������ ������������� ���������.
��������� ������: ���������.
����: �������������� ������ ������ ��� ���������� ������ ��������.
�����: ���������� ����������������� �������.
����: ����������� �������� � ��������� ����������.
��������: ���������� ����� ����������� ������ ��� �������������� ��-
����������.
4.1.18 ������� ������ "��"
��������: ��������� ����������, ������������� ����������� � ��������-
������� ������ ������ "��" ��� �������� ������ �������.
��������� ������: ���������.
����: �������������� �������� ������� ��� ����������� ��������.
�����: ���������� ����������������� �������.
����: ����������� �������� � ��������� ����������.
��������: ������������� ��������������� ��� �������� ���������������
�������.
4.1.19 ���������� ��������� �������
��������: ������� �������� ������������ �������� ��������� �������.
��������� ������: ��������.
����: ���������� ���������� �������� ������� ����� ������� ������-
���� ������ �������� ������� � ����.
�����: ������ ����������.
����: ������������ �����.
��������: ���������� ��������� �������� �����.
4.1.20 ����������� ���������� �����������
��������: �������� ���������� ���������� �����������, ������� ����� �
�����. ���������� COM-�������� ��� �������� �������� ����
��������. ������ � ���� �� ����������� ���-�������� ��� ��-
���� �����������.
��������� ������: ���������.
����: ��������� �� ���������� ����������.
�����: � �������� ����� ��������� ���������� ����������� �������-
���.
����: ����������� �������� � ��������� ����������.
����� 5
����������
� ���� ����� ������������ ����������, ���������� � �������� ������������
������������ ����������, � ��������������� ���������� �������� �� ����������.
5.1 ���������� ����
5.1.1 ���������� ��������
�������� �����:
� �������� ������������� ������������, ���������� ������������� �������
���������� ������������� ���������. � ������ ������, ������ ��������� � ���
������� ����� ����������, ��� ��������� �������������� ������ � ��������. �
������ ��������, ���������� ��������� �� �� ����� � ������� ��������������.
�������������� ��������:
"Process Xplorer" �� "Sysinternals" [11].
"Zonealarm":
����� �������� Zonealarm.exe � �������� �������������� ��������� �������-
�� �������� ���������, ������� ������ "TrueVector" VSmon.exe, ��������������
����������. ��� ���� �� ����� ������������ "TrueVector" ����������� �� ������
���������. ������� ������ �������� �������������� �������� ������������� ���-
���� VSmon.exe � ����� Zonealarm.exe. "Zonealarm" �������, ��� ������ "True-
Vector" ������ �� �����������, � ������� ������������, ������� �� � ������-
�������, �� ���� "Zonealarm" ����� ������������, ����� ��� �� ���������.
����� �������� ��������� � ������ "����������� ��", ���������� �����
"���������", ����� ���������� �������� ���������� ����� �� ���� ������� ��-
���������. ��-��������, � ���� ������ ����� ������� ������� ������ ����������
� ������� ����, ��������� ��� ����������. ���������� �������� ������� �� ���-
����, ��������� ���������� ���������, ����������� �������, �� �� ��������. ��-
�������� ��������, ��� ������ �������������� ���������, ����� ����������, ��-
��� �� ��������� ������� � ���.
"Symantec Desktop Firewall":
������������ ������������ ����� ����������� ������������� ������� IAMAPP.
EXE. � ���������, ��� ���� ������� ������ � ��������� �����. ������������ ���-
����� �������� ������������, ��� ��������� ������� ��������� ������ �������
NISSERV.EXE. ���� ������� ���������� � ���������� �� ���������� ��������. ���-
���� ���������� ��� � ���� ��, ��� �����. � ���������� ������������ ������-
����, ��� ������������ ������������ ������������� ��� ����������� �� �����,
������, � ���������� ������� ����� �� ��������� � ���������, ��� ������� ��
�������� � ������� ���������� ���������� �� ������������. � ������� ��������-
������ ���������� �������� ��������� �� ���������� ������� ��������.
���� ���� ������� �� ���������������, ��������� ���� ������� ������ ����-
���:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : IAMAPP
�������� ��� ����� ������������ ���������. ��� ��������� ������������ �������
�������� ������� �� �����.
"Sygate Personal Firewall":
���� � �������������� �� ���������� ����������� ������������� �������
��������� SCM.EXE ���������������. �� �������� ��������� �������, ������� ���-
������ ��������� ������������� ��������� � �������� ����������� �� ��� ������-
������� ������. ��� ������� ����.
������, ���� ������������� ������� ��������������� ����������, ��� �����
������� ��������. � ������ �������� ������� �������� ���������, ����� ������
�.�. "\Default" ���� "Desktop". ���� ���� ����� �������, ������ �������� ����-
����� "Dr. Watson" � ���, ��� ������� SMC.EXE ������������ ������ � ����� ��-
��������. ���� ���� �� �������� ������ "OK" ����� ���������, ����� 15 � (���
�������� ������), ������� ����� �������� � ������� ��������� ������������. ��-
�������� ����������� ���������� ������ �� ������ � ��������� ������ ���������,
�� ��� �� �������� ��������� ���� �����, ��������� ������ ������ ��� ���� ��
���������.
����� ������
� ������� ���� ��� ���������������� ��������� ����������� ����������
�������� ��������� ����������. ��� ����� ���� ����������� ������������ ����-
��� ��� ��������� ����������, �������� ����� ���������� ��������� ������ ���-
��� � ���������. ����������, ����������� �������, ������� ���� �� ����������
������������� ������������ ��������, ���������� �������������, ��������, ���-
������ ���� �� ����������, ������������� � ������������� ���������, - ��� ���-
�������� ��� ���������� ������������� ��� �������������. ���������� ����� ���-
������� ��, ��� ������������ ��������� ����� ������������ ��������������� ���-
���� ������������� ��������� � ������� ��� ������������� �������, ������� ���-
��������, ����������� ������� ���������. ������� ������� ������ ����������
������������� ��������� �������� ��������� ����������, ���� ������ �� ��������
� ����� �������� � ��������� �������� ����������� ������������.
���������������
"Sygate Personal Firewall" ����� �� ���������� ����, �� ��������� � ����-
������ ��������� � ���, ����� ������� ���������� ���������� ��������� �����-
������, �� ������� ����, ��� �������� ������������� ������������.
5.1.2 ��������� � ������
�������� �����:
��������� ���������� �������� � ������������ ������ ����������� �������-
��� ����� ��������� ������ ��� ������ ������� � ��� ������� ������� � �����-
���� � ��� �����.
�������������� ��������:
"BackStealth"
� ���������, ��������� ������ "BackStealth" ������������ � �����������,
�������������� � ������ ������������, �.�. ���� ����������� ��� ������ �����
������. ��������� �����, ���������� �� ������ ������, ���� ����������, ������-
����������� ����������� ��������� ������ ��� ��� ���������� �� ��������������
���������. ��� ���������, ������������ � ������ ��������� �� �����������.
�������� ��������� ����������, ��������� ���� � ���������� ����������
���������������� �����������. � ��������� ������� ���������� ������� ���� ���
������ ���� �� ��������� ������ ����������������. ����., �������� ��� ���
��������� ����������� ������� � ���������� ����� ����� �� ����� "MADshi" [15].
������������ ��������, ��� �������� ����� ��� ������������ ��� ������ �����-
������� ���������� � ��������� ������� ���� "Assasin".
5.1.3 ���������� SYN 1, �� ���������
�������� �����:
�������� ������� ������ TCP-��������, �������� ������������ ���� SYN. ��-
���� ����������� �� ��������� IP-������� ���������, ���������� ������� �����-
���� � ���������� ������� ����������.
�������������� ��������:
"HGOD_flood.exe"
"Zonealarm":
�������� � ������ ������ ��� �� ��������� �������. ������������ ���������
�� ������������. DoS-������� �� ���������.
"Symantec Desktop Firewall":
�������� � ������ ������ ��� �� ��������� �������. ������������ ���������
�� ������������. DoS-������� �� ���������.
"Sygate Personal Firewall":
�������� � ������ ������ ��� �� ��������� �������. ������������ ���������
�� ������������. � ������� ����� �������� CPU ���������� �� 100%.
����� ������
����� ������� ���� �� ����� ���� ������� � ������ ��������� � �������,
��������� ������� �����������. ������ ����� ����� ��������� IP-����� ���������
� �� ����� ���� ������� �� ������ ��������. ��� �� �����, DoS-������� �� ���-
������.
���������������
�������������� � ���������� DoS-������� ����������� �� ��������� ������ �
CPU. �������� ����� ������������ ������� �� ����������� ������. SYN-����������
������ �������������� � ���������� ��� ��������� �������.
5.1.4 ���������� SYN 2, ��������� �����
�������� �����:
�������� ������� ������ TCP-��������, �������� ������������ ���� SYN. ��-
���� ����������� � ���������� IP-������� ���������, ���������� ������� �����-
���� � ���������� ������� ����������.
�������������� ��������:
"HGOD_flood.exe"
"Zonealarm":
�������� � ������ ������ ��� �� ��������� �������. ������������ ���������
�� ������������. DoS-������� �� ���������.
"Symantec Desktop Firewall":
�������� � ������ ������ ��� �� ��������� �������. ������������ ���������
�� ������������. DoS-������� �� ���������.
"Sygate Personal Firewall":
�������� � ������ ������ ��� �� ��������� �������. � ��������� ���� ���-
������ ��� �������������� ������������ ������ � ������ IP-������. DoS-�������
�� ���������.
����� ������
������ ����� ������ ���������� ��� ������������ ������ ��� DoS-�����.
������ �� ��������� ������ � ������, ����� ��� � ��� ������. ������� ���������
� ��� ��� � ������������ ������ ������� �� ��������, ��������� ��� ���������-
���� ��������� ��� �������� ��� �������.
���������������
������������� ���-���� ������ ������� ���� ���� ��� �������������, ���-
������ ������� ������� ����������� ����������. ��������� ������� ������� ��
���������.
5.1.5 ���������� SYN 3, �����������
�������� �����:
�������� ������� ������ TCP-��������, �������� ������������ ���� SYN. ��-
���� ����������� � ���������� IP-������� ���������, ���������� ������ �������-
�� � ���������� ������ ����������.
�������������� ��������:
"HGOD_flood.exe"
"Zonealarm":
�������� ��� ���� ������� � ��������� �� ����� ������� � ���������������
���������. �������� ���� ����� ���������, �.�. ��������� ���������� �������
��������. ������������ ��������� � ������� �� ������������. DoS-������� ��
���������.
"Symantec Desktop Firewall":
�������� � ������ ������ ��� �� ��������� �������. �������� ���� �����
���������, �.�. ��������� ���������� ������� ��������. ������������ ���������
� ������� �� ������������. DoS-������� �� ���������.
"Sygate Personal Firewall":
�������� ��� ���� ������� � ��������� �� ����� ������� � ���������������
���������. �� ���� ����������� �����, ����� ������������� ���������� �������
��������� ��������� � ����� �������. ������������ ��������� � ������� �� ����-
��������. DoS-������� �� ���������. ��-��������, � �������� ����� ���������
������ ���� ��������.
����� ������
������ ����� ������ ���������� ��� DoS-�����. ����������, ��� ������� �
������� 5.1.4, ��� ����� ����� ���� ������������� ������, �� ����� �����������
���������� ���������� �������, ��������� ������ � ������ ����� ��������� �
���� ���� ����������, ������������ ������ ����� ���� ���������. �������� ����-
����� �� ����� ������ ��� ������������ ������, �� ������ ��� DoS-����.
���������������
������������� ���-���� ������ ������� ���� ���� ��� �������������, ���-
������ ������� ������� ����������� ����������. ��������� ������� ������� ��
���������. ������, ����������, ����� �� ����� ���������� ����������� ��������-
�� � DoS-�����.
5.1.6 ���������� SYN 4, ������
�������� �����:
�������� ������� ������ TCP-��������, �������� ������������ ���� SYN. ��-
���� ����������� �� ���������� IP-�������� ���������, ���������� ������� ��-
������� � ���������� ������� ����������. ���������� �������� ���� ���������
��. 300 ��/�, ��� ��� �������� ���� ����� �����.
�������������� ��������:
"HGOD_flood.exe"
"Zonealarm":
����� �������� ����� �������� CPU �������� 100% � ���������� ������� ��
��������� �����. ������� ������ "����������� ��" �� ������ ���� DoS-���� ��
�������.
"Symantec Desktop Firewall":
����� �������� ����� �������� CPU �������� 100% � ���������� ������� ��
��������� �����.
"Sygate Personal Firewall":
����� �������� ����� �������� CPU �������� 100% � ���������� ������� ��
��������� �����. ������� ������ "����������� ��" �� ������ ���� DoS-���� ��
�������. ����� ����� ��������� ������������� ����� 60 � ��� ����������� � ��-
������ ���������. ��� ���������� ����� ����� ����� ������������� 15 � ��������
� ������� 80 � �� ��� ��������� 100% ������� CPU. ����� ����� �������������
30 �, ��������� ��� �������������� ������������� 100 �.
����� ������
������ ���� ��� ���������� �������� DoS-����� ��������� �����������.
��� ������ ��������� ��������� ������������ ���������� ������� ������.
���������������
����������� ��� DoS-���� ���� �� ������. ������ ������ ������������� ��
����� ��� ����� ������. ���������� � ���� ������� ��������, ��������� �� ���-
������� ��������� ���� ��������� ����� ����������� ��������� ������������ ���
������ �������� ����������� ������� �����. �������� ������ ����� ��������� �
��� ���������. ��� �� �����, �������� ������ �������� �� ����� ����.
5.1.7 ���������� ICMP
�������� �����:
�������� ������� ������ ICMP-��������, ��� echo request, � ����������
IP-��������.
�������������� ��������:
"HGOD_flood.exe"
"Zonealarm":
�������� � ������ ������ ��� �� ��������� �������. ������������ ���������
�� ������������.
"Symantec Desktop Firewall":
�������� � ������ ������ ��� �� ��������� �������. ������������ ���������
�� ������������.
"Sygate Personal Firewall":
�������� � ������ ������ ��� �� ��������� �������. � ��������� ���� ��-
������������ DoS-����� �� ��������� ICMP. �������� �� ��������� ������ �����-
����, �������� �������� ������ ��������� ��������� IP-�������.
����� ������
����� ������� ���� �� ����� ���� ������� � ������ ��������� � �������,
��������� ������� �����������. ������ ����� ����� ��������� IP-����� ���������
� �� ����� ���� ������� �� ������ ��������.
���������������
�� ���������.
5.1.8 ���������� IGMP 1
�������� �����:
�������� ������� ������ IGMP-��������. ������ ������ ���������� � 1480
����, �.�. ��� ������������. ��������� ��������� IP-������ �� �����������.
�������������� ��������:
"HGOD_flood.exe"
"Zonealarm":
�������� ��� ���� ������� � ��������� �� ����� ������� � ���������������
���������. DoS-������� �� ���������.
"Symantec Desktop Firewall":
�������� � ������ ������ ��� �� ��������� �������. DoS-������� �� �����-
����. �������� ����� ����� ������������ �������� IGMP, �� �����-���� �������
��� ��������� ������ ����� �� �����������. ��������, ������ ������� ���������
�� ���� ������� IGMP, � ������ ����������� ����������� ������, ������������ �
����� "kiss of death" [20].
"Sygate Personal Firewall":
�������� �� ������������ �������� IGMP. ������� �� �� ����� ������� ����-
��� � �� �������� �� � ����� ��������. �� ����� ����� �������� ������� CPU
���������� 100%. ����� ��������� ����� ��� ��������� � ����������. ���� ����-
��� ��� "�����" �������, �� ������ � ��� �����������, �� ������� ��������� �
��� � ���� �������� �� �������.
����� ������
��� ������������ ��������� ������ ����� ������ � �������������� �������
IGMP. DoS-������� ��������� �� ������.
���������������
����������� � ������������ ��������� ������ IGMP.
5.1.9 ���������� IGMP 2
�������� �����:
�������� ������� ������ IGMP-��������. ������ ������ ��� ������� �������-
��� � 1481 ����, � ����� � 65 000 ���� ��� ��������� ������������� ���������-
�������� �������. ��������� ��������� IP-������ �� �����������.
�������������� ��������:
"HGOD_flood.exe"
"Zonealarm":
�������� ��� ���� ������� � ��������� �� ����� ������� � ���������������
���������. DoS-������� �� ���������.
"Symantec Desktop Firewall":
�������� � ������ ������ ��� �� ��������� �������. DoS-������� �� �����-
����.
"Sygate Personal Firewall":
�� �������� ����� �������� CPU ��������� 100%. � ��������� ���� ��������-
������ DoS-����� �� ������������ ���������. ���� ���������� ��� "�����" ����-
���, ����� �������, ��� �������� ������� �����������, � �������� ���������.
������� � ���, ��� �������� � 1481 ���� ��������� ��� ����������������� ����-
��.
����� ������ ������ ����� 65 000 ������, ��� ��������� 44 ��������������-
��� ������, 43 �� 44 ������� �������� ������������������, ��������� �� ���
�������� �� ����� 0, � ��� �������������� ���������� ����� 0. ��������� ���
������������ DoS-�����. ��-��������, ������� ����������� DoS-���� ����������-
���� ������ ������ �����������������.
��� ������� ������ "����������� ��" �� ����� �����, �������� CPU �����
��������� ���� 80%, ���� ����� ��� ������� �� 100%. ������� ���� ������ ��
������ ����� ������������ �������� CPU ���������� 50% � ��������� � �� ����
������ � ������� �����. ���, ����������, �� ��, ��� ������ ����������� � ���-
��, ��������� �����������, ����� �������� �����, ����������.
����� ������
�� ��, ��� � ��� ����� ����������� IGMP ������� ���� � ������� 5.1.8.
5.1.10 ���������� UDP
�������� �����:
�������� ������� ������ UDP-�������� �� ���������� ���������� IP-��������
� ���������� ���������� �������, � ������ ������������ ������� � 1000 ����.
�������������� ��������:
"HGOD_flood.exe"
"Zonealarm":
�������� � ������ ������ ��� �� ��������� �������. DoS-������� �� �����-
����.
"Symantec Desktop Firewall":
�������� � ������ ������ ��� �� ��������� �������. DoS-������� �� �����-
����.
"Sygate Personal Firewall":
�������� ��� ���� ������� � ��������� �� ����� ������� � ���������������
���������. ������ ������� � DoS-����� �� ������������, ���� �� ����� �����
�������� CPU ��������� 100%.
����� ������
DoS-������� ��������� �� ������.
���������������
�������� ���������� ������������ ������, ��� ����� DoS-������ �� �����-
���.
5.1.11 ��������� ������ ������
�������� �����:
����������, ��� ������������ �������� ������ ����� ������. �������� ���
���, ����� �������� ���������������� �������, ������� �� �������� �� �������-
��� � ������ �� ����������� �������� ����������, ����������� ��� ������� �
��������.
"Zonealarm":
��������� ����� ������ ��� ���������� � ����� IAMDB.RDB, ������� � �����-
�� "Windows 2000" ��������� � C:\WINNT\internetlogs\. ���� �������-���������.
��� �������� ����������� ������� ��� � ��� ����� - ����� BACKUP.RDB - �������-
��� ������� � ������ ������. ���� �������� ��������, �� ������ ���� ���� ���-
����� � ������������� �������. ��� ����������� � ������� 5.1.1, ����������
����������� ������������� ������� ��������� � ��� ����� ���������� ����������
����� ������, ��� ��� ����������� ��������� ��� ���� ������������� ��������-
����.
"Symantec Desktop Firewall":
������ ��� ������� � plain text � �������. ��������������� ����:
\HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\IAM\FirewallObjects\IPFilterRules\Rule1
����� ��������� ��� ������ ������, ����� ��� ����������� ��� ��������. ������-
���� �� ���������� ����� �������� � ������ ������������������ �������, �����-
������ ����� �������� ����� �������.
"Sygate Personal Firewall":
������ ����� ������ � ����� STDDEF.DAT � ���� ��������������� ��������
�� ���������. ���� �������-���������. ��� �������� ����������� ������� ��� ��-
�������� ������� � ������ ������. ���� �������� ��������, �� ������ ���� ����
�������� � ������������� �������. ��� ����������� � ������� 5.1.1, ����������
����������� ������������� ������� ��������� � ��� ����� ���������� ����������
����� ������, ��� ��� ����������� ��������� ��� ���� ������������� ��������-
����.
����� ������
����� ������ �������� ������ ������������� ���������. ���� ����������
����������� �������� ��� ������, ���� �������� ����������� �����������. �����-
������ ������� ����������� ���������� ���������������� ������ ��� ���� ���
���������������� ����������. ���� ���� ����� ���� ���������� � ���� ������,
������������ �������������� �������, ����� ��������� ����� � ���������� ���
�����������.
���������������
����� ������ ����� ����������� � �������� ����� �������������� ���������
[message authentication code (MAC)], �� ��� ������, � ����������� ����, ����-
������� ��� ��� �����������, ������� ������� �������� � ���� �� ������. �
��������� ������, �������� �� ����� ����� ����������� ������ ������� ����� ��-
���������� ������. ������, �������� ���������� ����� �������� ��������� ���-
�������� � ������� ���������� ������ ��� � ����� ������������ ��� �����������
������.
���� �������� ��������� ���� � ������������� ������, �������� ������ ���-
������ ����������� ������� � ����, ��������� ������, �� �������� �� �� ���-��-
�� � ������, ��� �� ����� ���� �� ��������������?
���� ���� ��������� �� ���������������, ��� ���� �������� � ������� 5.1.
1, ������� ����������� ������������� ������� ������� ��������� � ��� �����
�������� �������������� ����� ������� � ����� ������, ������� ��� ���������-
���.
������ ����� ����������� � ���, ��� � ������ ���, ����� ������������ ���-
��������� ������������ ��������, � ���� ������������� ������. � ���� �������
����� ������ ���������� � �������������� �������������� ��������� ����������.
������ ��� ��� ������� �������� ����� ������������ �������� ���� ��� ��������
��������� ������ ������, ���� ��������� � ���, ��� �� �� ��� ��������. ����
������������ ����� �������� ��������� �������, �� ����������� ���� ��������
���� � ����� ������ �����������. ��� ����� �� ���������, ���� �� �� ���� ����-
����, ������������� � ���, ��� ������������� ����� ������ ��������� ����� ���-
��� � �������� ��� ��������������� �������� ������, ��� ��� ��������� ��������
�� ������� ������. ������ �������� � ���, ��� �� �� ����� ���������� �� ��
����� ������, ��������� ��� �������� ��������, � ������, ����� ���� ���������
���������. �������� ���� ������ �������������, ������ �����������. �����������
�� ��������� �������������� �� ������ ������ �������� � ������������ �����
������.
����� ������ ����� ���� �� �������������� ������ ��� ������ ������������-
�� � ����� ��������� ������, ����������� ������� �� ��������� ������ � ������-
����������� ����������. ��� ��������� �� �������� ���� ������ �� ��������� ��-
������, ��������� ���������� ������������ �������� ���� ���� ���� ����� �� ��-
���.
�� �������� � ���, ��� ���������� ������������ ����������� �������� ����
������������ ������ ����� �����. ����������� ��� ����������� ������������ ��-
������ ������� ������ ��������� ����������� ��� ����������� �������� �������-
���� ��� �� �������. ����., ��� ����� ���� ���������������� ������ ��������-
��������� ����������, ������� ��� ������� ������������� ������������ ��������-
������ �������. ��� ��������� ����� ���������� ��������� ��������. ����������
�������� ������ �������� ��������� ����������������� ��������. ����� ��� ����-
������� ��������������� ������ �����, � ���������� �����������. ��� ��������
������������ ��� ����� ��������� ���, ����� ������ "����������". �� ���� ����-
��������, ���������� ��������� ����� ���� � ������� ������ ��� �������������
���������. ����� �������� �� ����� ������� �������, ����������� ��, ��� �����
��� ������ ���������� ������������. � ����� �������� ����� �����, � ��������-
���� ��������� ������ ������� �� �������.
"Sygate Personal Firewall" ���������� ������ ������. ��� �������� �� ��-
�������� ������� �� ������ ������� � ����. ��� ��������� �������� �����������
������ �� ����� ����������� �������������. � ���������, ���� ����� ������
������ ��� ���������� ����������� �������������� ��������� � ������ � �����-
���� �������� ��������� ������. ����������� ���������� ���� �������� � �������
5.1.1.
���, ���������� ������ ���������� ������� ������ �������� �� ����������-
���� ���������. �� ����� ������, ��� ������ �������� � �������������� �������-
���������� ��������, ������� ������������ ���� ������.
5.1.12 ������� ��������� ����
�������� �����:
��������� ���������� ���������� ������������ ��������, ���������������
��� ����. ��� ������������ "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
��� ������� ����������� telnet.exe, ����������� �������������� � ����������.
����� ����� ������ ��������� ���������� �� TCP ����� 80.
"Zonealarm":
�������� ������� � ���������� ���������� �� ���������� ���� ������. "Zo-
nealarm" ��������� ����� ������ ��� ���������� � ����� IAMDB.RDB, ������� �
������� "Windows 2000" ��������� � C:\WINNT\internetlogs\. ���� �������-����-
�����. ��� �������� ����������� ������� ��� � ��� ����� - ����� BACKUP.RDB -
���������� ������� � ������ ������. ���� �������� ��������, �� ������ ����
���� �������� � ������������� �������. ��� ����������� � ������� 5.1.1, �����-
����� ����������� ������������� ������� ��������� � ��� ����� ���������� ���-
������� ����� ������, ��� ��� ����������� ��������� ��� ���� �������������
������������.
"Symantec Desktop Firewall":
�������� ������� � �������� � ���, ��� ��� "telnet" ����� ���������� ���-
����, �� � ���������� ���� ���� � ����� ���������, � ��������� ������� �����
�������. ��������� ����������� ��������� ������� ��������������, ������� ����-
��� ��� ����� � ����� ��� ����������� "telnet" ���� ������� ����������, ���
�����������. ����., ����������� ����� FTP, Gopher � SSL. ������������� ������-
�������� ������ ���� ��������, ��������� �������� �������� ���������� ������-
������ � ��������� ������. ��� ������� ������� ��� ����������� �������������-
���, �� ��� ����� ���� ����� ������������ � ������������� �����.
��� ��������� ���������� ����������� � ������� � plain text � ��� �����-
���� ���������� �������� �����������. ������� ����� ����� ��������� ��� �����-
���� "Internet Explorer" ����� ����� ����������� ��������. ��� �������� � ���-
�� �������, ������������� �:
HKLM\Software\symantec\IAM\FirewallObjects\Applications\Internet Explorer\App�
licationSignature1 Reg_Binary
���� ��� �������-���������. �����, ��� �� ������������, �������������, ���-
������ ����� ����� ������������� ��� �� ������ ������ � ��������� �� �����-
������� �� ������.
"Sygate Personal Firewall":
���� ������� ����� �������������� ���������� ��� �������, � ��������� ��-
�������, ������������ � ������������, �������� �� ��������� ����������. �
������ ���������� �������� "Internet Explorer" ��������� �� "telnet", �� ����-
��� ���������� ��� "telnet" �� ����� �������� ��������������.
��������� ������, ��� "Sygate Personal Firewall" ������ ���� ����������.
� ������� ������ ����� �� �������. ������� ����� ������������, ��� ��� ������-
�� � �����. � ������� ������� ���������� �� �������� � ������ ����� ���������
������� ������ � ���� stdState.dat, ������������� � ��������������� ��������
���������. � ���� ����� ��������� ������ ������� ��� ������� ����������. ����
����������, ��� ��� �������� ��� ����������. ������, �� ����� ������������
��������� ��������� �������� ������ ���� �� stdState.dat � ������ ������. ����
������� ����������� � �������� ������ ���������, ������ �� ����������, �.�. ��
�������� ��������� ��������������� � ��� ������, �������� �� �� ������. �� ��-
�� �������� �� ��������, ��� ��������� �������, ����, ��������� �� ������ ��-
����, � ��� ������� � ��� �� ���������. ��� ������ ������� ����� ������ �����-
����� ���������.
����� ������
���� ������ � �������� ����� �������� ������ ������������� ���������. ��-
�� ���������� ����������� �������� ��� ������, ���� �������� ����������� ���-
��������. ����������� ������� ����������� ������� ���������� ���������� ���
���� ��� ���������������� ����������. ���� ���� ����� ���� ���������� � ����
������, ������������ ���� � ���������� �����������, � ����������� ����� � ��-
�������� ��� �����������.
���������������
� ����� ��������������� ��. �� ����� � ���������� ������ ������ � �������
5.1.11.
5.1.13 ������������ ������ 1
�������� �����:
� ������� ��������� "Nmap" ���������� ������������ ������ ������� ������
� ������� ��������. ��� ����� ������, ��� ������ ���������, ����� ������ � ��-
�� ������. "Nmap" ��� ����������� � ������� -sT -p 440-450 -v -P0 -T Aggressi�
ve. ������ ����� ������������ TCP-���������� �������� �������� ��������� ���-
��������� ������ � ������� ������ TCP-����������. �� �� ����� �������, �� ��
��� ������ ������������. ������������� ��� TCP-����� �� 440 �� 450 ��� ����
����� ��������������. �������� ������ ������ ��� �����-���� ��������� ������-
�����.
�������������� ��������:
"Nmap"
"Zonealarm":
�������� � ������ ������ ��� �� ��������� �������. "Nmap" �������� ���
���� ������, ��� ���������������.
"Symantec Desktop Firewall":
�������� � ������ ������ ��� �� ��������� �������. "Nmap" �������� ���
���� ������, ��� ���������������.
"Sygate Personal Firewall":
������ ����� ��������������. ��������� ��� ������������ 3 ������� �����-
������� ������ � �������� 6, 4 � 10. "Nmap" �������� ��� ���� ������, ��� ��-
�������������.
����� ������
��� ��� ��������� �� ������ ��������� ����������, �� ��������� ���������
���������. �� ���� ���� �� ��� ������� ��� �������� ��� �������������.
���������������
������������� � ����� ��������������� ���, ��������� ������ ���������� ��
����������.
5.1.14 ������������ ������ 2
�������� �����:
� ������� ��������� "Nmap" ���������� ������������ ������ ������� ������
� ������� ��������. "Nmap" ��� ����������� � ������� -sT -p 440-444 -v -P0 -T
sneaky. ��� ��� �� ����� ������������ TCP-����������, ��� ������������� ���
������������ ������ 1, �� � ����������� ���������� �� 15 � ����� ����������
��������������. ���������� ������������ ����� ��������� ������ ��������� ��-
����������� ������, ��������� ��� ������ �� ������������� ����������� �������-
��� � ������������� ��������� �������.
�������������� ��������:
"Nmap"
"Zonealarm":
�������� � ������ ������ ��� �� ��������� �������. "Nmap" �������� ���
���� ������, ��� ���������������.
"Symantec Desktop Firewall":
�������� � ������ ������ ��� �� ��������� �������. "Nmap" �������� ���
���� ������, ��� ���������������.
"Sygate Personal Firewall":
�������� � ������ ������ ��� �� ��������� �������. "Nmap" �������� ���
���� ������, ��� ���������������. ��������� ��� ������������ 2 ������� �����-
������� ������, ������ � ������� 1.
����� ������
��� ���� ������ ����������, ��� �� ���������������. ��������� � ��������
����� ���������� �� ��������.
���������������
������������� � ����� ��������������� ���, ��������� ������ ���������� ��
����������.
5.1.15 ������������ ������ 3
�������� �����:
� ������� ��������� "Nmap" ���������� ������������ ������ ������� ������
� ������� ��������. "Nmap" ��� ����������� � ������� -sS -p 440-444 -v -P0 -T
sneaky. �� ���� ��� ���������� ������ SYN-������. ���� ���� ����� ����������
"������������" �������������, ��������� ������ ��������� TCP-�������� �� ��-
�������� �� ���������. ����� ��������� ������ �� ������� �������, ����������
���������� RST-�����, ����������� ������ �� ����������.
�������������� ��������:
"Nmap"
"Zonealarm":
�������� � ������ ������ ��� �� ��������� �������. "Nmap" �������� ���
���� ������, ��� ���������������.
"Symantec Desktop Firewall":
�������� � ������ ������ ��� �� ��������� �������. "Nmap" �������� ���
���� ������, ��� ���������������.
"Sygate Personal Firewall":
�������� � ������ ������ ��� �� ��������� �������. "Nmap" �������� ���
���� ������, ��� ���������������. ��������� ��� ������������ 4 ������� �����-
������� ������.
����� ������
��� ���� ������ ����������, ��� �� ���������������. ��������� � ��������
����� ���������� �� ��������.
���������������
������������� � ����� ��������������� ���, ��������� ������ ���������� ��
����������.
5.1.16 ������������ ������ 4
�������� �����:
� ������� ��������� "Nmap" ���������� ������������ ������ ������� ������
� ������� ��������. "Nmap" ��� ����������� � ������� -sX -p 440- 444 -v -P0 -T
normal. � ���� ������ ������������ ������������ XMAS. ��� �������� ��������
������������ ������ � ������������� ������� FIN, URG � PUSH. ��������� ����
SYN �� ���������, ����� ����� ������ ������� ��� ���������� ���������. � ��-
��������� �� ���������� ����� ����������, ������ ���� ��� ���. ������ �����
����������� �� ������, �.�. ������� �� ��.
�������������� ��������:
"Nmap"
"Zonealarm":
�������� ��������� � ������� �� ������������. "Nmap" ��������, ��� ���
����� �������, ��� �������.
"Symantec Desktop Firewall":
�������� ��������� � ������� �� ������������. "Nmap" ��������, ��� ���
����� �������.
"Sygate Personal Firewall":
� ���� �������� ��� ��������� �������� ��������� � ������� �� ����������-
����. ��� "�����" ������ ������� ������������. "Nmap" ��������, ��� ��� �����
�������, ��� �������.
����� ������
����� ��������� ������ ��������� ������������, ����� ������ ������������
�������� ������������ � ������� ������. ������ ���������� ����� ���� ����� ��-
���������� ��� ������� ���������, ����������� �� ���������� ������ ���������-
���� ���������.
���������������
������ �������� ����� ���� ������ ������ ����� ���������� ���������, ���-
��������� ������ � ����������� ���������.
5.1.17 ������������ ��������
�������� �����:
��������� ������������ ��������� ���������� ������� ��� �������� �������
����� ��� ����������� �����. ������� - ��� ����������� ������, �����������
���������� ����������� ������� ��������� ������������ ����� �������� - �����
��� ������ � �����, - �� �� ������������. ��� ������� ��������� �������� ���-
���� � ���������� ���������������. � ����� ������� ����� �����, ����������� �
�������, �� ����� ��� ������������� ������ ������������� ������� ��� ������
�������. ������� ��������������, ����� ������ ����� �� ����� ��� ��������� ��-
�������.
��������� ������ ������������� ��������� � ������������ ��� �������� ���-
��������� �������� ������ ��������� ����������������� �������� ��������� �,
��� ���������, ������ ����.
�������������� ��������:
"ZoneMutex" �� "Diamond Computer Systems Labs"
"Zonealarm":
�������� ����������� ������� ���������� ���������. ����� �������� ���-
���� � ������ "Zone Alarm Mutex", �������������� ������������ ���������� "Zo-
nealarm". ���������� ���������� �������� ������ ���������� ������������. ����-
������ �������� ����� ���� ��������� ������ � ��������� �����, ��������� ���-
������� ������ ���������� ���������.
"Symantec Desktop Firewall" � "Sygate Personal Firewall":
� ���������, ������� ������� ��� ���������� ����� ����� �� ��� ���������
� ������������ �� ����. ��������� �����, ���������� �� ������ ������, ���� ��-
��������, ����������������� ����������� ������������ �������� ��� ������ ����-
������ �� �������������� ���������. ������� ������ ������������ ��� "Symantec
Desktop Firewall" � "Sygate Personal Firewall" �� �����������.
����� ������
������ �������� ����� ����� � ����� ���������� ��������. �.�., ���� ����-
���� ��� �����������, ����� ������������� �������� ������� ��������� �������-
������. ��, ��� ������������ ����� API �������� �������� �����������������
�������� ���������, �������� ����� ���������.
���������������
������������� ����������� �������� �������� ��������� ������ ���������.
��������, ����� ����� ������� �������������� ��� ������ �������� �����������-
������ ����������. ��� ������ ������������. ��, ������� ����� � ����, ��� ���-
���������� ����� ����� �������� ���������� ��������� � ������� �� ���� �����,
���������� �� �������� ��������. ����� ������������ �������� ����� ���������,
���������� �� �������, �������������� ��� ��� ������.
5.1.18 ��������� DLL
�������� �����:
������� DLL, ������� ����� ������������� ��������� ��� ���������� �����-
�����. ����� ��� ������ ������������ ����� ����������� ���������� ��� �������-
����� ������� ����������. � ��������� ������������ ���� ������������ ��������,
��������� DLL, ����������� ������ � "Internet Explorer".
�������������� ��������:
"FireHole"
"Zonealarm":
�� �������� �� � ��� ���������. ������ �������� �� �� �����, ��� � ����-
�������� ���������� ����������.
"Symantec Desktop Firewall":
�� �������� �� � ��� ���������. ������ �������� �� �� �����, ��� � ����-
�������� ���������� ����������.
"Sygate Personal Firewall":
�������� �� ���������� DLL � ����������, ������� �� � ��������� ��� ���-
����������. ��� ���������� � ���������� ��������� DLL �� ���������� �������
�������� � ����������. ��� ��������������� � ������� 5.1.12, ���������� ���-
�������� ��������� ���� ���������� ������ ���, ����� ����� DLL �����������, ��
������� �������� �������.
����� ������
������ ���� ���������� ��������� ������ � ������ �������� �����������
����������.
���������������
������������ �������� ������ ��������� ����� ��� ����������� �����������
DLL � ������� �� ����. "Sygate Personal Firewall" ��� ��� ������. ����������,
��� ���������� ��� � ��������, ��� � ��� ������� ��������� ����������� DLL, �
��� ��� ���������� � ������� 5.1.12.
5.1.19 ����������� URL
�������� �����:
��������� ��������� ���-�������, ��������� ������� ������, ��������������
� URL. ����., ������� URL:
http://www.attackerssite.com\input.php?passwd=secret&IP=192.168.0.7
���� ��������, ����������� ��� �������� ���� ����������, ����� ���� �������
��������� ��� �� ��������� ����������������� ������, ����� �� �������� �����-
�����.
������ ���� ���������� �������� ���� "TooLeaky".
����� ������
���� ���� ����� �������� ������, ������ �������� ���-�������. ���� ���-
�������� ���-�������� ��������� ��������� ����� ��������, ���� ���� �������-
����� ���� �� �����. �� ���������� ����������� ��������� ���-������� �������-
������ � ����������. ��� ���� ��� ������� �������� ����� ���������� ����� ��-
��� �� ����� �������� ���������� �� HTTP. ����� �� ����������� � �������
���������, ��������� ������������ �� ���������� ���������� �� ����������� ��-
���� �� ���������, ���� ���� ������������.
���������������
������������ ���-�������� ��������������� � ������� �� ���������������.
���� ���� �������� ������������ �������� ������� � ����������� ���������, ���-
��� ���� �� ����� ��������� �� �����, �.�. ������� �� ����� ����� ���������
HTTP-���������.
������������ ����, ������� ����� ������ - ��� ������������ �������� ���-
��� ���������� �� �������� URL � �������� �� ���������. �� ��� ����� ���� ��-
��� �� �������, �� ������� ������������ ������������ �� �������. �������������
���-������ �������� �� ��������.
������������� ����� - ����������� ���������� ������ ��������������� ���-
��� ����� �� ����������.
5.1.20 LSP
�������� �����:
����������������� ��������� �������������� ����� ["layered service provi-
der" (LSP)] [16], ��������������� ���� �������� �������. ���� LSP �������� ��-
�������������� � ������������ ���� ��� ����������, ����� ��������� �����������
������ ������ �� ����, ��� ��� ����� ��������� ���������� � ���� ����. ���
���� ���������� � ��� ��������������� ���������� ������� ���������� ��������
�������� ����, ��� ��� ��� �� ����� ������� ����������. ��� ������� ���������
������������ �����, ����� ��������, ���� ����� �� �������������.
�������������� ��������:
"AWP LSP"
"Zonealarm":
LSP �������������� ��� �������. ��������������� �� ������ � LSP �� ����-
������.
"Symantec Desktop Firewall":
LSP �������������� ��� �������. ��������������� �� ������ � LSP �� ����-
������.
"Sygate Personal Firewall":
LSP �������������� ��� �������. ��������������� �� ������ � LSP �� ����-
������.
����� ������
LSP ��� ���������������� � ���� ������������ �������, ����������, �� ���
��������� ���������, ��� �������������� ������ ���� ������� � �������� �������
�����. �������� ������� ��������� � ����� ������������� ������ ������ LSP. �.
�., ����� �� ����������.
���������������
�� ���������, ������, ���������� ��������� � ������������� �������������-
���� LSP ���� �������� ������������� ���������.
5.1.21 ��������� ����������
�������� �����:
���������� ���������� ���������� ��������, ��������� �� ���������� ������
��������� ����. �.�., ���� ������������ �������� ���������� ��� ����� �� ���-
��� ������. � ��������� ������������� TCP-������ � ������������ ������ SYN,
IGMP-������� � UDP-������.
�������������� ��������:
"HGOD_flood.exe"
"Zonealarm":
������������ �������� � ����������, ��������� ��� ������� ��� ���������-
����.
"Symantec Desktop Firewall":
������� ������� �� ����������, ������� ������ �� �����.
"Sygate Personal Firewall":
������������ �������� � ����������, ��������� ��� ������� ��� ���������-
����. ��� ������ ��������� � ���� "�����" �������.
����� ������
�������� �������� ������ ��� DoS-�����, ������������ �� ������. ����.,
��� ����������� ����� [8].
���������������
��������� ���������� ������ �������������� � ������������� � ��� ������,
���� ��� ������������ ��� �����������������. ������� ��������� ������, �����-
������ ������ � ����������� ���������, ��������� �������� ���������� ����� ��-
�������� ������������� ������.
5.1.22 �������� 100% ���������� � ������
�������� �����:
� ������� ���� �� JavaScript ����� ������� 100%-� �������� CPU � ������.
����� ������� ����������� ����������� � ���, ��� ��-�� �������� �������� ����-
����� ������� ����� ���������� �� ������������������. ���� �� �������� �����-
����� ������������ �����������, ���������� ����� ����������� ��� �����.
"Zonealarm":
����� ��������� �� ���������, � ����������� ��� ���������. ������� ����-
��� � �������� ������������ ��������� �� ����.
"Symantec Desktop Firewall":
����� ��������� �� ���������, � ����������� ��� ���������. ������� ����-
��� � �������� ������������ ��������� �� ����.
"Sygate Personal Firewall":
����� ��������� �� ���������, � ����������� ��� ���������. ������� ����-
��� � �������� ������������ ��������� �� ����.
����� ������
������, ��� ����������� ����������� �������� ������� ������� �� �����-
������� �������� �� ������. ����, ����������, �������� �������������������
������� ������.
���������������
�� ���������.
5.1.23 �������� ����������� �������
�������� �����:
��������� ������� ������� ���������� ������������� �����, ����� ������-
����, ����� ���� ������� �� ��������������. �������� �������� ������������� ��
���� ��������� ������, ������� ����� ����� TCP-�����. ���� ���������� ������-
����� ��������� ������, ������� �� ��������������, ��� ������ ��������� ����-
�������� ������� ������ �����, ������������� ����� ������.
�������������� ��������:
"PacketCrafter"
"Zonealarm":
��� ������ ������������ ����� ���������
IP - ���
TCP - ��
TCP URG ��
TCP ACK ��
TCP PSH ��
TCP RST ��
TCP SYN ��
TCP FIN ��
TCP ��� ����� PSH ��
UDP - ��
������� ���������� ���������� �������� ����������� ������� ��� "Zone-
alarm". ����� ��������� � �������� IP-������ ����������� � ��������� �����
(127.0.0.1), ����� �������������� ��� ���������.
"Symantec Desktop Firewall":
��� ������ ������������ ����� ���������
IP - ���
TCP - ���
TCP URG ���
TCP ACK ���
TCP PSH ���
TCP RST ���
TCP SYN ��
TCP FIN ���
TCP ��� ����� PSH ��
UDP - ��
������� ���������� ���������� �������� ����������� ������� ��� "Symantec
Desktop Firewall". �������������� ������ ������, ������� ���� SYN. ����� ����-
����� � �������� IP-������ ����������� � ��������� ����� (127.0.0.1), �����
�������������� ��� ��������.
"Sygate Personal Firewall":
��� ������ ������������ ����� ���������
IP - ���
TCP - ��
TCP URG ��
TCP ACK ��
TCP PSH ��
TCP RST ��
TCP SYN ��
TCP FIN ��
TCP SYN & ACK ���
UDP - ��
������� ���������� ���������� �������� ����������� ������� ��� "Sygate
Personal Firewall". ��� ������ �������������� � ��� "�����" �������. ����� ��-
������� � �������� IP-������ ����������� � ��������� ����� (127.0.0.1), �����
�������������� ��� ��������.
����� ������
���������� �������� ���� ������ ����� ������������ ����������� ������,
����� �����������, ����� ������������ ��������, �.�. ��� ������� �� ��� �����-
����� ���� �������, ������� �� �� ������������.
���������������
������������ ��������� ������ ����� ������, ����������� ������ � �������-
���� ���������, ��������� ������������ ��� ���� �������, � ��������� �� ���-
����������� � ������������������ ����������.
5.1.24 ��������� ����
�������� �����:
���������� �������� ��� ������������� ���������. ��� �������� ����������
������� ��� ��������� ����� ��������� ������. ����� ���������� ����������� ��-
������� ������ ���������� ��� ����������� ������ �����. �������� ������ ����
�� ���� ����� ����� ������ ������ �����������.
"Zonealarm":
������ ��� � plain text. ���� ����� ���� ����� ������� ��� ���� ����� ��
����� ���������� ��������. ������� ���������� ����� ����������� �����, �������
������� �����������, ���� ����� ��������� ������������. ��� ��������, ��� ��-
������� ���� �� ������� ����� �� ���������. ��� �� �����, ��� ����������� ��-
����� ����� ������������ �� ���������������� ������� ������������, ���� ���
������������.
"Symantec Desktop Firewall":
�� ����� ������ ���������, ��� ����� ���� �� �����. �� � ������� ����
����:
HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\IAM\Logs\Firewall
��� ���������� ��������, ������� ����������� � ��� ���������������.
����������, ���� �������� �� ��������, ���� ����� ���� ��������. ��� ���-
������ ������������, ��� ����� ������� ����� �������� � ��������� �������.
"Sygate Personal Firewall":
�� ����� ������ ���������, ��� ����� ���� �� �����. ����������, ����
�������� �� ��������, ���� ����� ���� ��������. ��� ��������� ������������,
��� ����� ������� ����� �������� � ��������� �������.
����� ������
����� ���������� �������� ������������� ��������� ���������� ��� ����
����� �������� ��� ������� ���� ���.
���������������
�������� ��� �� ��������� �� ����� ������ ��������.
�� ���������� ����������� ���������� ������� �������� ��� �� ���������,
����� ������� �� �����������. ���������� ����� ������� �� ��������, ���������
������ ������������ ����������� ���������� ������ ���������� ����������, ���
����� ��� ����� ���������� ������� ����������������� �������������� ������.
��� ������ ��, ��� ���� ��� ����������� ����� ����� ��������� �������� � �����
���� �������� �� ���������. ���� �������� �� ��������, ����� �� ����������
�������� �������� ��� ���� �� ������������ ��������.
5.1.25 ������� ������ "��"
�������� �����:
������� ��������� ����������, ������� ������� � ������ � ������ �� ���-
������� ��������� ����, ������ ��������� ���� ��������������� �������������
���������, ������� ������� ������������, ��������� ��� ����������� ����� ����-
���. � ���� ������ ���������� ���������� ������� ������ "��", ����., �������
������������������ ������ �������� �����. ���� ��� ��������� ���������� ����-
��, ������������ ������ �� �������. ������ ����� ��������� ������� ��� �����
���������� �������, ����������� �� ���������� � ����������.
����� ������
��� ������� ��������� �����, �� ������������ �� ������������ �������� ���
�������. ������, ��� ���������� �������, ��������� �� ���� ������������ ����-
������ � ���������� �� ���������. ������� ������ ����� ����������� �� �����
�������� ������������ ����������.
���������������
����� ������� ����� ����� � ������, �� ������� ������ ������ �������� ��-
��� ����� �������, ��-�� ���� � ��� ������ �������� �����. ������� ��������-
���� ����������� � ������ ������ �����, �� ������� ����, ���� ��� ��� �������-
��� �������� ���������. ���������� ��������������� ������� �� ��������, ���-
������ �� ����������� ������ ��� ����������� ������������. � ��� ������������
�������� �� ������������� ������������, ����� ���� ���������� ��������� ���
����������� ����������. ������� ������ �� ������� ���� ���� �� ����������.
5.1.26 �����������
�������� �����:
���������� ��������� �������� ��� Windows. � ������� ���� ������ �����
������ ����������� ���������� �� �������. �������������� ��� ��������� �������
���� ��� ���������� ������� API � �������.
����� ������
�������������� ������� �������� ������� ������ ������� �� ��������� �����
� "Explorer". �� ��� �� ����� �������� ������������� ��������� ������ � �����-
������ �������. ��������, ����� �������� �������������� ������� ��������� ���,
����� ������������� ���������� �������, ������ ��� �������� ��� ������.
� ������ ������� ����������� ������ �������� ����� ������ �������� �����
������. ��� ����� ����������� ��� ��, ��� ��� ������� � ������� 5.1.20.
���������������
�� ���������.
5.1.27 ��������������
�������� �����:
"���������������" ���������� ����������� ������� � ������ ���������. Ÿ
���� ����������� � ������������� ������������ ���������, ������ ��� HTTP, �
���������� ��� ������� �������� ���������. ��� ���� ���� ����� ������������
��������� ���� HTTP, SMTP ��� ICMP.
����� ������
������ ���� ������ ����������� ������ ������� ����������, ��������� ���
�� ����� ��������� ������ ��������������� � ��������.
������ ���� �� ����� �������� � ����������� �������������, ��������� ���
����� ������ ������� � ��������� ���������� � ����������� ��. ��� �����������-
�� ��������� ���������� ������� ����� ������������, ������� �������� �������.
���������������
�� ���������.
5.1.28 ���� ������
�������� �����:
������������ ��������� ���������� �������, ���������� ������������ �����-
��� ����������.
����� ������
�������� ���������� � ���������� ��������� ����������� ������� � ������-
��� �������� ��������� � ������ � ��������� ������� �������������� � ���������
������, ������ ������������� ������ ����. ������ ����� ���� �����������������-
�� �� ������������� ������ ������� �����, ������� ������������� ���� ������ �
���������� ������� �� ����� ������. � ����� ������ ������������, ������ �����-
��� �� �������� ��������� ��� ������������ ����������, ��������� ��� ��������-
���� ��������� ������, ����� �� �������� �������� ������ � ��������. �����
�������� ���������� ������������� ����������, ����������� ������������ �������
����������.
���������������
�� ���������.
5.2 ������
������������ ��������� ������ ����������� � ������� �� �������� ����. ���
�� ����� ������������� ������������ DoS-�����, �� ��� ���������. ��� �� �����,
������������ ��������, ��� ��� ����� ��������� ����������� ������������� DoS-
������ �� ����� ������� �������.
������������ ����, ������� ������� ����� � ����, - ��� ���������, �����-
��� ������������ � ������������ ��������� ������ ��������������� ������������.
������� �� ������� �������, ��������������� ����������, ������� ����������,
���� �� �� �������� ���������� �� ��������� �����. ����������� ����, ��������-
������ � �������� ������������, ����� ���� ��������� � ����������� ����������
��������, ��� ������ �� ������������ �����������, � ��������, �������������.
������� ������� � �������� ����� - ����� ��� �� �������� �� ����� �����-
�������� ������, - �������� �������, �� �� ������������. �������� ����� ��-
������� ������� ��� ������������ ������ ����� ������ ������������ ��� �����-
���, � ��� ������������, ��� ���������� ����������. ����������, �������, ����-
��� �� ������ ���� �������� �� ����, �������� ������������, �� ��� ������ ���-
�������������.
� ������ �������, ������������ ��������� ������� � ��������� ������, ��-
������� �� �������, � ������� ��� ��������������. ��� �������� �����������.
���������� ����������������� ���������, ������� ����� ����������� � ����������
������������. ����., � ��� ����, � ����� ������������ ����� ��������� � ����-
������ �����-���� ������ ���������, ��� ����������� ����� � ���������� ������-
������� ���������� ��������. �� �� ����� ��������� � � ������ ������. � ���
����, � ����� ������������ ����� �������� ����� ������, �������� ��� ����� �
���������� ��������. �������� �������� ��� �� ����� ������ ������������� ����-
����� � ������������������ �������, ��� ��� ������ ����������� ������������
���������. ������, ��� ����� ������������ �������� ���������� ����� ������ "��
����". �� ��������, ��� �������� �������� ������������ ���������� - ��� ����-
���� � �������, � ������� ����� ������������� ����� �������. ������� ��������-
�� ������� ���-����, ��� ������������� � ������� �������������� �� ��� �� ��-
������.
������������ ��������� ������ ��������� ����������� ������ ������ � ���-
�������� ���������, ����� ���������� ����������� ��� �������� ������ ����� �
�������������� ����������� �������. ��� ����� ������ ��������� ��������� ����-
����� �������� DoS-����, ������� ��-�� ������� ���������� ���� �� ����������-
����. ����������, ������������ ��������� ������ ����������� ��� ������������
���������, �������� IGMP.
����� 6
�������������� � ����������
� ���� ����� �������� ��������������� ������ ���� ������� � ���� ������-
��� ������� �������������� ����� ������������� �����������. ����� �����������-
���� � ���������������� �������������� �������������� ������� ����.
6.1 ����� ������ ����
����� ����� ����������� ���������� � ������������� ������� ����� �����-
������� ���������� � ��������� ������ ������������ ���������� ��� ������
������� ������������, ��������� ��������� ���������� ��������� �������� �����
� ����������������. ���� ������ ������ ��������� ��� ����������� ����������.
������� ����������� ������� �������� ����������� ������, ���������� ��������
�������. � ���������, ������, �������� �� ��������������� ������ ����, �������
��� �� ������ � ������������� ����� ��������������, �� ����������. �������,
��������� ������������� � ���������� �������, �������������� ������������ ���-
���� ������� � ����� ��������������� ������. � ������ ������ ������ ���� ����-
���� ��� ������� �� Perl, ��������� ��� �������� ����� ��� ������������ ����-
������ � ����� ��������������� ������.
6.1.1 �����������
� ��������������� ��� ������� ������ ���� �������� ����������, �������
������ �������� ��� ������������ ���������. ����� ����, ����������������
�������� ������ ���� ��������� ����, ������� �� ������������ � �����, ��, ���
�� �����, �����, ����., ���� �������. ����� ������� ����� � ��������� �� � ��-
���� IDS � ������� ����������, ��� ������� ������ ���������������� ���� ����-
���, ���������� ����, ������� ��������� � ������� ���� � ����������� �����.
�������� �������� ���� ��������
IP-����� ������� SensorIP IP-����� [4 ������]
��� ������� Type [ZOA3|SDF2|SPF5]
����� ������� Time ������� ������� Unix
��������� IP-����� SrcIP IP-����� [4 ������]
��������� ��� ����� SrcName <������>
��������� ����� ����� SrcPort <�����>
�������� IP-����� DestIP IP-����� [4 ������]
�������� ��� ����� DestName <������>
�������� ����� ����� DestPort <�����>
������������ �������� Action [blocked|allowed|ignored|info|N/A]
����������� Direction [incoming|outgoing|N/A]
�������������� �������� Protocol [TCP|UDP|ICMP|IGMP|N/A]
����� ��� ��� ������ Flag [SYN|FIN|ECHO_REPLY|...]
���������� ���������� Application <������>
������� ������� ������� Trust [0-9]
�������� ��������� Signature <������>
������ �������� ��������� Msg <������>
o SensorIP: (������������)
����� ������, � ������� �������� ������������ ��������. ��� ����������
����� ���� ����� ��������� �� ������ ���������� ������, ��������� ������ � ��-
���������, �� � ��������� ������� ���� ������ ����� �� ���������. ����., �����
����� ��� ��������� �� ����������������� �����. ����� ����, ��� ����������
����� ��������������, � ������ ���� ����� ������� � � ��������� ����. ����
����������� ���������������� ��������.
o Type: (������������)
��� � ������ ��������������� ������������� ���������. ��� ����� �����-
������ ��� ���������������� �������, ����������� ��� ������������. ����., ����
��������, ��� ����������� ��������� ������������� ��������� ����� �� ������
�����. ��� �� ��� ���������� ����� ���� ������������ ��� ��������� �������
��������������, ����������� �� ������������� ������������ ����������� �������-
��. ��������, ��������������� � ������ ������, ���� �������������� ��� "ZOA3"
��� "Zonealarm 3", "SDF2" ��� "Symantec Desktop Firewall 2" � "SPF5 ��� "Syga-
te Personal Firewall 5". ���� ����������� ���������������� ��������.
o Time: (������������)
������� ������� ������� � ������� Unix. ����� ���������, ��� ��� �������-
��� ������ ��������� � ����� ������� �����.
o SrcIP: (��������������)
�����, � �������� �������� �������. ����� ���� ������, ���� ������ ����-
���� ���� ���� ��� �����.
o SrcName: (��������������)
��� �����, � �������� �������� �������. �������������� ��� ��� � �����
����� ����� �� ������, �.�. �� �� �����, ���� ��������� ���������, ����� ���
��������� ���������� DNS ����� ����������.
o SrcPort: (��������������)
����� �����, � �������� �������� �������.
o DestIP: (��������������)
�����, � �������� ��� ��������� �������.
o DestName: (��������������)
��� �����, � �������� ��� ��������� �������. �������������� ��� ��� � ��-
��� ����� ����� �� ������, �.�. �� �� �����, ���� ��������� ���������, �����
��� ��������� ���������� DNS ����� ����������.
o DestPort: (��������������)
����� �����, � �������� ��� ��������� �������.
o Action: (������������)
����� ��������� ���� ��������� ������:
"blocked" - ��������, ��� ������� ������������ ���������� ��� �����-
����� � ��������. ��� ���������� ����� ���� ������� ���
�������� ���������� �����.
"allowed" - ��������, ��� ������� �� ��� ���������� � ����� �����-
������� �������� ������. ��� ���������� ����� ���� ��-
����� ��� �������� ���������� �����.
"ignored" - ��������, ��� ������� ��� ���������������, �� ����������
�� ���.
"info" - ��������, ��� ������ ������� �������� ������ ���������-
�����, ���� "��� telnet.exe ��������� ����� �������".
��� ������ �������� ���� ���� ���������� � ������� ����-
����� � ���� "Msg".
"N/A" - ��������, ��� �� ���� �� ����������������� ��������� ��
�������� ��� � �������� ������������� ������ ����� ����-
��� � �������� ���� ��������� ������.
o Direction: (��������������)
�����������: �������� ��� ���������. ��� ���������� ����� ���� ����� ��-
������� �� ������ ��������� � ���������� �������, ������, ��� ������ �����
���� � ����������. ��������� ������������ ���������, ����., "Zonealarm", ����-
��, ��������� ������ ����� ������� � �������� �������, ����� ���������� �����,
������� �������� � ��������� ������, ������ ������ ������ ���������. �, ���-
������ ��������� ����� ����� ����������, ����� �������������� ��� ���������.
����� ����, ��� ���������� ����� ��������������, � ������� ���� ����� �������
� � ��������� ����.
o Protocol: (��������������)
����������� ��������, ����., TCP ��� UDP. ���� ��������������, ���������
��� ������������ �� ��� �������. ����., ��������� �� ����� ��������� �������-
�������.
o Flag: (��������������)
�������������� ���������� �� �������������� ���������, ���� ������� ���-
����. ����., ��� ����� ���� "SYN", ���� � ������ ��� ��������� ���� "SYN".
o Application: (��������������)
�������� ����������, ������������� ��� ������������ ������ � �����������
�������.
o Trust: (������������)
���������� � ����� ������������ ���������� ����������� � ���� ������� ��-
�����������. ��� ��������� �������� ����� �� 0 �� 9, ���������� ������� ����-
��� ������� ������� �������. ����� 0 ��������, ��� �� �� �������� ������� �
������� ��� ������, � ����� 9 ��������, ��� �� �������� ������� � ������� ���
������. ������ �������� ������� ������ � ���������� ������ ������������ ���-
�������� ������ ������� �, ��������, ������������� � �������� ��������������
�������� �������, ������� ������ ������� �������. �� ��������� ���� ��������-
�������� ���������� ������������� ������� ������� 5. � ������ ������ ������-
������ �������, ���������� ��� - ��� ������ �������� �������. �������� ��,
������� ������� ����������, ��������� � ���������� ������, �� ��������� ����-
���� +1 ����, � �������� - -1 ����. ������� ����� � ������� ��� ���������� ��-
������� �������� �������� � ������� ���������� � ���. �������� ������� �����
���� ����� ���������, ����� ��������� ��� ������ ���, ��� ����� ����������.
����., ������������ ������ ����� ����������� � ���������� ��������� IP-����-
���, ��� ����� ��������, ����� ��� ������� ������-�� ���. �������������� ��
���������� ��������� ����������� �������.
o Signature: (��������������)
�������� ���������, ��������������� ������� ������� �������. ����� �����
� ����, ��� ������������ ����� ����� ����� �� ��������� ������� �, �������-
������, ����� �� �������������� ��� � �����, ��������� ������� �� �����������-
����. �� ���� �������������, ��� ���������� � ���������� ��� ������������ ��-
����� ����� ���� �������.
o Msg: (������������)
������ ��������� � ������� � ��� ����, ��� ��� ��������� � �������� ����.
��� ���� ��������� ���������� ��� �������������� ���������. ���� ������� �����
�������������� ��������, ����� ��������� ���������� ������ ���������. �������-
�� ��������� �������������� ��������� ����� �����, �� ����� ������ ������� ��-
��� ���� ��� ������� � �����������. ����� ��� ����� �������������� � ��������
������� �� ������, ���� ���������� ��������� � �������� ������������� �����-
���.
��������� ���� ����� ������������� ��������� ������� ����� ����� ����-
������ �������, ��������� � �������� ��������� � ������� ���������� ����� ���-
����������� �� ���. ������ ������� ���������, ��������� ��� ����� ���� �����-
����������� � �� ������������ ��������. ������������� ����� ��� �����������
������� ����� �, ��������� �����, ������� ����������� ��������� �������.
6.1.2 �������
���� ��������� �������������� ����������� ��������� ���������� ���������-
��� ���������� �� ��������� ��������������� ������. ��� ���� ������� � ������
���� �����, � �������� ������ ������ ���� ������� �������� ���������� �������.
����������� ���� "Zonealarm"
�������� ������� ���� "Zonealarm" �������� ��������� �������:
FWIN,2002/11/25,14:35:52 +1:00 GMT,10.10.10.7:53,10.10.50.2:53,TCP (flags:S)
������� ���������� ���� "Zonealarm"
FWIN, -> Direction
2002/11/25, 14:35:52 +1:00 GMT, -> Time
10.10.10.7:53, -> SrcIPaddr + SrcPort
10.10.50.2:53, -> DestIPaddr + DestPort
TCP (�����:S) -> Protocol + Flag
������ ��������� -> Msg
�������� ������� Trust
������������ �������� SensorIP
������������ �������� Type
������������ �������� Action
����������� ���� "Symantec Desktop Firewall"
�������� ������� ���� "Symantec Desktop Firewall" �������� ��������� ��-
�����:
11/27/2002 15:50:48 Rule "Implicit block rule" blocked (10.10.50.1,446).
Details: Inbound TCP connection
Local address,service is (10.10.50.1,446)
Remote address,service is (10.10.50.4,1684)
Process name is "N/A"
������� ���������� ���� "Symantec Desktop Firewall"
12/27/2002 15:50:48 -> Time
Rule "Implicit block rule" -> Signature
blocked -> Action
(10.10.50.1,446). Details: ������������
Inbound TCP connection -> Direction + Protocol
Local address,service is ������������
(10.10.50.1,446) -> DestIPaddr + DestPort
Remote address,service is ������������
(10.10.50.4,1684) -> SrcIPaddr + SrcPort
Process name is "N/A" -> Application
������ ��������� -> Msg
�������� ������� Trust
������������ �������� SensorIP
������������ �������� Type
� ���������, ������ ������ ��������� ����� ������������� ������������ ��
�� ��������. �.�., ����., ����� ����� 80 � ���� ����� ������� �� ������
"http". ��� ��������� ��������� ����������, �������� ��������� �����. �������
��������� ��� ������� ����� �� �������. ����� ���������� ��������� �������
�������� �������� ����������� �� �������� ������ ������.
������ ���������� ����������� - ��� ��������� IP-������� � ����� ������,
������� ����� ���������� ��������� ����� ����������������.
��������� �������������, �������� ���������� ����, ������������ �� ��-
������������ ��������� � ���������� Action, ������������� � "info":
1/23/2003 9:19:14 Inbound IGMP packets are being blocked
1/23/2003 9:19:14 Inbound IP fragments are being blocked
1/23/2003 9:19:14 NDIS filtering is enabled
1/23/2003 9:19:14 Interactive learning mode is enabled
1/23/2003 9:19:14 Firewall configuration updated: 149 rules
����������� ���� �������� "Sygate Personal Firewall"
�������� ������� ���� �������� "Sygate Personal Firewall" �������� �����-
���� �������:
32104 11/27/2002 15:55:24 Blocked TCP Incoming 10.10.50.4 1897 10.10.50.3 446�
1 11/27/2002 15:55:11 11/27/2002 15:55:11 Block_all_unknown
������� ���������� ���� �������� "Sygate Personal Firewall":
103 ������������
11/27/2002 15:55:14 -> Time
Port Scan Minor -> Action
Incoming -> Direction
TCP -> Protocol
10.10.50.4 -> SrcIPaddr
10.10.50.3 -> DestIPaddr
10 ������������
11/27/2002 15:55:10 ������������
11/27/2002 15:55:13 ������������
������ ��������� Msg
�������� ������� Trust
������������ �������� SensorIP
������������ �������� Type
����������� ���������� ���� "Sygate Personal Firewall"
������� � ��������� ���� ��������� �� ����� ������� ������. ��� ��� ����-
���������� � �������� ��� ������� ���������� IDS. ��� ������ �� ��������� ��
�����, ������������� ����. ��� �� �����, ��� ���������� ������������ ��� ���
�������� ��������, ��������� � ��� ������� ����� � ���� ������ �������.
�������� ������� ���������� ���� "Sygate Personal Firewall" �������� ���-
������ �������:
103 11/27/2002 15:55:14 Port Scan Minor Incoming TCP 10.10.50.4 10.10.50.3 10�
11/27/2002 15:55:10 11/27/2002 15:55:13
������� ���������� ���������� ���� "Sygate Personal Firewall"
32104 ������������
11/27/2002 15:55:24 -> Time
Blocked TCP Incoming Action + Protocol + Direction
10.10.50.4 -> SrcIPaddr
1897 -> SrcPort
10.10.50.3 -> DestIPaddr
446 -> DestPort
1 ������������
11/27/2002 15:55:11 ������������
11/27/2002 15:55:11 ������������
Block all unknown Signature
������ ��������� Msg
�������� ������� Trust
������������ �������� SensorIP
������������ �������� Type
6.2 ���������� ������
6.2.1 ��������� ����� ������ ������������� ���������
������� ���������� ����� ������ ������������� ���������, ����������������
�� ������ ������, ������� ��� �����������. ��� ����� ������������, ��������-
������ ��� ������������ � �������� ��������, ��������� � ������� 6.4.
����� ������������ ����� � ������������, ��������� ���� ������ ���� ���
��������� � ����� ������� ��������� ����� ������, ����������� ��������� ����-
������ �����������. ������������ ����� ������������ ����� ��������� ��������-
���� ������������� ��������� � ������� � ����� � ��� �� ���������� � ������
�����. ��� ��� ����������� ������, ���� �� ����� ���������� �� ��������� ��-
���� ��� �� ����� �������, ��� ��������� ������������ �����, ��������� �� ���-
��� ��������� ������ ���� ��������� �������, �� ��������� - �� ���� ������.
���������� ����������� � ���, ��� ���� ��������� ������������ ��������
����� ����������, ��� ������ � ���� ���������� �� ���������. ��������� ������
����������, ��������� ����� ������� �� ����� ��� ����.
6.2.2 ������ ������������ ���������
������� ���������� ����� ������������ ����������, ���������������� � ���-
����, ����� ����� ������������ ����� ��������� ������������, ��������� � ���-
���� 6.2.1. ������������ ����������� � ���, ���, ��������� �����, �� ��� ���
���������� ����� � ��� �� �����������. ��������� �����, ���������� �������
������� ��� �������.
���������� �� � ���, ��� ����������� ������ ������ ������ ��� ������ ��-
��� ������������ ���������� ���������. �� ���� ������� ����� ����� ����������
������� ������� ������ ����������, � ��� �������� ������� � ��. 8.
����������, ����������� ����, ������������ �� ��������� ������, � ������
������������ ����� ��������.
6.2.3 ��������� ������������ � �������
������������, ���������� ������������ � ������� ��������� � ����� �����-
��, �����-���� �������������� ���������� �� ������������. ��, � ������� ����-
������ ������������ ���������� ����������� ���������, ������������� �� �������
��������������� ��, ��� ������. ����., ���� ��������� �������� ������ �������-
���� ���� Telnet-������� �� ��������� � ��������, � �������� ������������ ��-
������ � �������� Telnet-�������� � IP-������� ��� ���������, ��� ������� �
���, ��� ���-�� �������� �� ���. ���� ������� �������� ����� �����, ���� ��-
���-�� �� ���������� ����� ������� �����������. ��� ��� ��������� ����� ���
����������� �������������.
6.2.4 ������������ ��������� � ������� ����������� ���������
������ ������������, ��������, - ������ �� ���������. ������� ������� ��-
��������� ��������� [network-based intrusion detection system (NIDS)] ��������
����� ����� ����� � �������� ��������. ��� ������ ��������� ������ ����������-
��� ���� �����. ��������� ��� ����������, ���������� �� ����� �������������
��������� ��������� ����� ��������� �������������� �������. ����., ���� �����-
�� IDS �������� � ������������ ����� Nimda, ������������ �������� ������ � ��-
�������� �������, �� ������������ �������� �� ������������ ������ ����� ������
�������� � ������� �� ��������������� �����. ���� �����-���� �� ���� ���������
�����������, ��� ��������� ��� ���������� ����������� ���������� ����������-
���. ����� ��������� ���, ��� ��������� �������� � IDS ������� ������� � �����
����������� �. � ���� ������ ������������ �������� �� � ��� �� �������. ���
����� ���� ���, ��� ��������� �������� ������� IDS � ��������� ���������.
6.3 ��������������
6.3.1 ����� ���������
��������, �������� ������ ������ �� ��������� � ���� ����� - ��� ������-
������ ����� [13]. ����� ��� �������� � e-mail-����������� �, ������ ��������-
����, �������� ����������������, ��������� ��������� �������, ����� ��� ����-
�������� ������ ������� � e-mail-����������, ����� ������� ��������, ��������
��� ����������� �������, ��� �������� �����.
������������ �������� � ���� ������ ����� ������ �����������, ���������
������������ ��������������� �����, �������� ��� ������ � ����. �����, �� ��-
���� �������� ����������, ����������� �����, � ���. � ������� ����� ���� ��-
�������� �������, ��������� �������� �������� ���������� ����������. ��� ���-
������, ���� �������� ����� �������� � ��������� �������������. �� ��� �����
��������, � ����� �������� ����������. ���� �������������� ���������� ��������
�������� ������ � �������� ����������, ������������ �������� ����� ������ ���
�������������� ��� � ������������ �������. ������� ������� ��������� �������-
������ ��� ������� � ��������� ������� �� ���������� ���������� ������. ����
������ ������������ �� ���� ����� ���������� ����� �������, ��� ���� ����� ��-
����� ��������.
��� �� �����, ������������ �������� ������������� ��������� ������ �� ��-
���, ���� ����������� ��������� ��������� � �� �����-���� �����������������
�������, ����., ��������� �� e-mail. � ���� ������ �� ����� ������� ��������-
��� ����� ������ ������ ������������ ������.
6.3.2 ������������ ������
������������ ������ ���� �� ���� ��������� �� ������������ � � ���� �����
����������� �������. ������, ��� ����� �������� ������ ����� � �����, � �� ���
���������� �������.
� ������� ������������� ��������� ���������� ����������� ����������� ���-
��������� ������ ������. ���� ����� � ����������������� ������������� �������-
���� �����, ���������� ����� ����������� ����������� ������������ IP. �� ���
���������� ������� ������������ ������, ��������������� ����������� ��� ���-
������ IP-�������. ���� ����������� ������������ ������ ���������� �������,
����������, ��� �� ��� ����� ��� ������������ ������, ����� ��������������, ��
������������ ����� ����������� ����� ���� ������, ��� ����� ������ �����.
������������ ������ ����� ���� ����� ���������� ��� ����������� �������-
����� ���� �������� � �������� ������ � �������. ��� ������� ��������� ������
����������������. �� ��� ������� ����� ����� ������ �������������, ���������
��������� �� ������������� ������ ����� ���������� � �������� ������������� �
������� ���� ���������. ��� �������� ������������� ����������� ������� ������-
���� �� �� �������, ��-�� ����� ������� �������� ��������������� ����� � ��-
����� ��������, � ��� ����� �������� � ���������� � ���� �������� ����������
������.
��������� ��������� ������������� � ����������, ��������� IP-����� �����-
������� ������ ������ ����� ���� � ��� ��. �� ������� ����, ��� ������� ���-
����. �� � ���������� ���������� ������� ������������ ���� Idlscan ����� ���-
������ ������������ �������� ������ ��� �������� ������� ��������������� ��
[9]. ��������� ���� ������ � ����������� ���������� �������������� [relay]
������� ������ ��������� ������������ ������� ������� � ������ IP-�������, ��
������� �������� IP-����� ��������� � ������ �������������� ���������. ��� ��-
���� ����������� ���������� ��������� ����� ����������� �����������.
� ��������� ������� �������� ��������, ����� ��������� ���������� ����
������ ����������, ��� ������. ����., ������������ ��������, ������� ���������
������������ ���������� ���������� IP-����� � ��������� �������� � ���� �����-
���� ����������������, ����� ��������� ������� �����, ������������� ����������
� ��������������� �������. ���� ��������� �����, ����� ������ ����������, ��
����� ������������� ��� ������ ��� ������������� �������� Idlscan ������ ����-
�����. ��������� ����������� ������ � ����������� ����� �� �����, ��� �����
�������� � ������ ���������� � �������������� ��������� ������. ��� ������
��������� ������������� ������������ ������ �� ��������� ����������, ��� ���
��� �������� ���������� ������ ����� ������� ������ ������������ ������ �����-
����. � ���� ����� ����� ���� ������������ ���� ���-������� ���� "Hexillion"
[10].
��������� ������� ������ �� ����� ���������� �� � �������� �������. �
��������� � ���, ��� ������ ��������� ����� ������������ ������ �����, ��� ��-
���� �������������� ������� ����������� � ������� ������������ ������ �� ��-
������ ������������������.
�� ���� ����������� �������� ��������� ��������.
��������� ������������ ������ �������� ������� � ������� �����������
������ ������ (������ �������) �� �������� ������� ������� (������
�������). �������� ������ ��������������� � ������ ������� �������-
��� �������.
������������ �������, ������������� ����, ������ ����������, ��� ��� ��-
����� ������������ ������ ������ ����� ���� � ��� �� �������� - ������ �����-
���. ��� �� �����, �������������� ������ ������������ �������� ������, �����-
��������� �������, ���� ��������� ������. ����� ���������, ��� ������ ���� ��-
������ IP-����� ��������� �����.
��������� ������������� ����������� IP-������ ���������� ������� ������,
������� ���� ���������� � ��������� �������������� ����������. ���� ���������
������, ��� ��� ������ ����� ������� ��������� ������ � ������� ������ �� ����
���, �� ������ ��������������� ���� ������ ���������� �������. ����., ������-
��� ����� ������������ ������������ ������ ���, ��� ��� ����� �������� �����-
������� � DNS-������� ������. ������������ ��������, ��� ���������, ��������-
����� ��������� DNS �� ���� ���, �������� ��� ����� ������������� ����������
������� DNS-�������.
6.3.3 DoS-�����
DoS-����� (denial of service ("����� � ������������")) ������ ��������
����������� ������� ������ �������� ����������� ��������� �������, ��� ��� ��
���������� �������� �� ����������������� ����������� �������. ��������� ��
������� ���� ��������� ������������� � ������ ���������� �������, ��� �����
��������������� ��� ������������� - �������� ����� � ��� �����������. ��� ���-
������, ������ � �������� DoS-���� ����� ������������ ��������� ������.
�������� �������� ����� ������������� ������ � DoS-������� ������ �����
TCP, ������ ��� SYN-����������, ����� ������, ��������� ��� ��������� ���� �
�� �� ���������. SYN-���������� ����� ���������� ������� ����������� �������,
�� ���� ����� ��������� ��� TCP-�����, ��� ����� ����� ��������� �������� ���-
�� ��������. ������� ������ ������� ���������� ����������, ���������� �����
������ ���� �����.
6.4 ����������� � �������� ��������
����������� � �������� �������� ���������� ��������� �������. ���� �����-
�� ���������, ������������� ������� � ��� �������, ������������� Windows ��
"IBM Zurich Research Lab". ��� ������ ���� ������������ "Symantec Desktop Fi-
rewall" � ������� ������ � ���������� ���������� ���� � ���� ������ ������.
��������� ����������� ������, ��� ������������ ����� ����������� ���������
������� �����, � ������� �� ��������� ���������. ��� ����� ��������� ������
���, ��� �� ��������� ������� ������� ����� �������� �����������, ��-�� ����,
��� ����� ������ ��� ������� ���, ����� ����� �� �����������. ������� �������-
����� ������ ���� ��������, ����� �� ���� � ��������������, ������������� �
��. 6, ����� ������������ ����� � ������ �� ��� �������� � �������� ��������.
�� ��������� ������ ���� ������� ���� � ����� ������� ������ 12 �������,
������������ � ����� ������� "IBM". ����� �������� ����� � ���������������
������ ������� ���������� � ������ ������ ������ �������� �� Perl, ���� �����-
�� ��. 6000 �������� �������. ��� ���������� ��������� ������ ���� ��������� �
������� "Excel". ������ ��������� ����������� ���������� ��������, ����������
�� ��������������� ��������, ������ �������������� �������� ������������.
������ ���� ���������������� ������� �� ������� ����������������� ���������-
������ ������� � ��������� ������������� �� ���������.
����� ����� ������� � ����������� ��������� IP-������� � �������� ������,
��������������� �������������� ������� ������� � ����������������� ��� ������-
��� ���������� ���, ����� ���������� ������ �������� �������, ���������������
������������� ���������. ������������� ���� ����������� ���� �������, �������-
��� �������, ������������ � �������� 1 ���. ��������� ����� ������� ������ ��-
����� ��������� ��������� ������ �������������� �������� �������, ����� ���
���������� � ������� ���� (IP-������ ��������������� � �������� ���� �������
��� ������ �������������.).
Time SrcIP SrcPort DestIP DestPort
16:53:11 10.10.10.66 2703 10.10.10.134 80
16:53:14 10.10.10.66 2703 10.10.10.134 80
16:53:16 10.10.10.66 2728 10.10.10.159 80
16:53:16 10.10.10.66 2728 10.10.10.159 80
16:53:16 10.10.10.66 2771 10.10.10.222 80
16:53:19 10.10.10.66 2771 10.10.10.222 80
�� ������� �����, ��� ������ � IP-������� 10.10.10.66 ����������� ���-
������ ����� � ���� �� TCP-����� 80. ���� ���������� ��������������� ��������
����� ���������� ������� � ������������ �� IP-�������� ����������, �� ��� ���-
�������� �������. � ���� ����� ��������� ��������� ��������:
2728 - 2703 = 25 = 159 - 134
2771 - 2728 = 43 = 222 - 159
������ ���� ��������� �� ��, ��� ���������, ��������, ����������� ���������-
������� ������������ � ��������� IP-�������, �� ������� ����, �� 10.10.10.134
�� 10.10.10.222. IP-����� 10.10.10.135 ������������ � ��������� ������ 2704,
IP-����� 10.10.10.136 - � ��������� ������ 2705 � �.�. ��������� � ���, ���
���� ������ ������ � ����� ������������� ���������, ���������� � ������� ��-
��, ���������� �������, ���� �� ��� ������������ ������ ��� �� ������������
����� ����� �������� ���-�������. ��������� ����������� �������� ������������
������ ���� ����� ������ � ��������� �������, � �� ���������������, �����
������������, ��� ��� ���� ������� ������������ ������. ������ ���������� ��-
������� ������.
������ �������������� ��������� ������ ���������� � ��������� ���������-
������ �� ������� ������� � ����������� IP-�������� � ��������� ������� �����
��������� ��������� ����. ����� ������������ �������� ������� ��������� � ���-
���� ����.
Time SrcIP SrcPort DestIP DestPort
10:12:11 10.10.10.66 1511 10.10.10.134 80
10:12:14 10.10.10.66 1511 10.10.10.134 80
14:53:42 10.10.10.88 1254 10.10.10.134 80
14:53:45 10.10.10.88 1254 10.10.10.134 80
17:23:31 10.10.10.22 1397 10.10.10.134 80
17:23:34 10.10.10.22 1397 10.10.10.134 80
�� ���� ������������ ������ ���� ������� ��. 40 ������� ����� ���������-
��������� �������, ����������� 2 ������� ������� � ��������� � 3 � � ���������
��������� ������ �� 1100 �� 1600. ��� ��� ���� �������� �� ���� �������� ����,
���������� ������ ���-������� TCP 80. ����������� ������������������ ������-
���� � ��� ������ �������� IP-�������, ������ ��� �� ������ �������.
��� ������� �� ������������� � ���, ��� ������ ������� ����� ���� �����-
���� ������������ �����, ����������� �� ������� ���������� ���-�������� ���-
������ IP-������. � ���������, ��� ���� ������� �����, ������� � ���� ��������
�� ����������� ������� ������� �� ����, � ������� ���������, ��� �� ��� �����-
������� �����, �� �������������� ���������. ��� ��������� ������ ������� �����
���� ��������� ����������, ����������� ������ ���������� �������. ��� �� ��-
���, ������ ������ ����� ��������������� ��� �������������� � ���� �������.
������ ����� ����������� ���������� ���� ��� �������� ���� �����.
����� ����������� ����������� ������������������, ������������ ������� ��
3 ������ 2 - ��������, ����������� � ��������� ������������ ������.
�����-���� ����������� ������������ ����, ������� ���� ����������� �� ��-
����������� �����, ���������� �� ����. �������� ������� ������ �������, ���
����������� ������������� ��-�������� ������������ ���� � �� �� ������� ��
���������. � ��� ���� ��������� ��������� ������ ��� ��������� ����������, ��-
����� �� ��������������� �������, ��������, ��������������. ������ ����������
����� ���� ����� ������������� ��� ��������� ������ ������������� ������������
����������� ������������ �� ���� �������.
6.5 ������
���� ������������ ���������� ��� �������������� ������� ���� ��������.
��� ��������� �� ��������, �� ����� ����������������� � ��������� ������-
������. ������� ������� ����� ������� �������� ����� �������, ����� ���������
���������� ������ ���������������� ������������� �������. ��� ����� ���� ���-
������� �������� ������� ��� syslog-��������� ��� ������� �� � ���� � �����
���������������� �������. ������ ������ ������������������� �������� �������-
��� ����������, ����������� ������ � ����������� ���������. � ���� �������� �
��������� � ������� ������ ��������� ��������� ������ �������� ����������,
����., ������ ������� ��� ������� ������������ ���������� � ���-��������. ��-
��� ����, ��� �������� ������������� ����� ������ �������, ��������� ���������
���������� �������.
���� �� ������������� ���� ������� �� ������, ����������������, �� ������
������, ������������� �������� �������������� ������������ ���������� � �����-
��� ����������� ���������. � ��� ���������� ������� ����������� �������������
���� �������� ����������� ��������� � ������������ ������ �� ����������� ����
������������ ����������. ���� ����� ���������� ��������� ���������������� �
����� ����� � ��������������, ����������� ���� ����� ���� ���������� � ������-
�������.
����� 7
����������
� ���� �����, ����� ��������� ����� ����� ���������� ����������� � �����-
���� � �� ������� � ������� �� ����� �������� ������������� ����� � �������
������, ��������� �� ��������� �����. ����������, �������� ������� ����� ��-
��������������, � ��� ������ ������ ���������� ����� ��������. ������������
��������� �������� ����� �� ����� ����� ����� ���������, ����������� ������ �
������� ������� ������. ��������������� ��������������� ��� �������� ��������-
�����, ��� ����� ����� ����������������� � � ������������ �� ������������ ��-
����� ����������.
������ ������ ������� �� ���� ������. ������ ������������� �������� ���-
��������� ���� ������ ������������ ����������, ��� �� ���������, ��� � �� ���-
����� ����������. ������������ ��������� ������ ����������� � ������� �� ��-
���� �� �������� ���� � �������� �����, ����� ��� DoS-�����. ������, ������-
��� �� ��������� ���� ������������ ���������� � �������� ����������� ������-
������� ���� �� �����. ��������� ������������ � �������� ������ �������������
��������� ����� ����������� �������� ����� ������, ��� ����������� ��������,
����������� �������������, ������ ����� ���������� ����������� ��������� �� ��
���������, ��� � ������������. ��� �������� ����� ���� ������ ����� ����������
�������� ������������� ��������� � ������� ��������������, ��� ��� ������
����������� ������������ ���������. ������, ����� ������������ ������� ������-
����� ��������������� ������������ �������� "�� ����". � ���� ����������� ��-
������ �������� ������������ ����������: ��� �������� � �������, ������� �����
���� ��������� �������. ������� �� ���������� ����������� ����������� ���-��-
��, ���� ������������� ������������ � ������� �������������� �� ��� �� ����-
����. ��� ��������� � �����, ������� ������, �������� �������������. � ������
������� ��������� ���� ���� ����� � ������ ������������� ����������� ������-
���������, ����� ��� DoS-����� �� ���������������� ����������� ���� IGMP. ���-
���� � ������������ ���������� ������ ���� ���������� ������, ����������� ��-
���� � ����������� ���������.
������ ����� ������ ���������� ���������� ������������ ���������� ��� ��-
������������� ��������� ����������. ������, ������������ ��������� ����� ����-
��������� ��� ������� ������ ��������� �������������� ����� �������� ������
����� ������������� ������. ������ ����������� ���������� ������������ ����-
�����, �� ������������� ��� ������ �� ����������. � ������� �������, ���������
� ������ ������, ���������� ����������� �������������� ��� ���� � ��������� �
������ ������ ��������������� ������ ������� ���, ����� ��� ����� ����� ����
������������� � ������������ ��������� ������������. ������������� ������
�������� ����� ������ ��������� �������� ������� ��� ����������� ������� �
������������� ������, ����., ������� "IBM Tivoli Risk Manager". �� ���� ����-
�������� ����� ����� ���� ��������� ������� �������������� � ������ ������
������������ ���������� ��� IDS, ��� ����� ������� ���������� �� �������. ��-
�������� ���������� ����� ����������� �������������� �������� ������� ��������
IDS. �� ���� �������������� ������� ���� ����� �������� ������� ���������:
�������� ������ ������� � ������� ��������� ��������. ������� ��������, ���
������ ����� ������������� ��������� ����������, ����������� ��� ������ ����-
��������� ����, ���� �� ���� �� ������������. ����., ����� �� ����� ����� ��
TCP-����� 80, �������� ���� �����, �� ������ ������� ��������, ��� �� ��� ���-
��������� �����, ������������ ������ ��� �� �����-�� ������������ ��������
��� ��� IP-����� � ���� ��������. ��� ���������� �������� ���������� ������-
�� �������������� ������� � ��������� ������ ��� � ������ IDS, ������������
������������� ���������� �������. ������, ������ ����������� ����� ���� �����-
�������� � ������� ������� ������������ ����������.
������ ���������� ������������ ���������� ����� ����� �� ������������ �
�������� ��������, ��� ��������� ���������� ����������� ������������ �������-
��� � ���� ���� �������������� � ������� ������. ���������� ���� ���� ������-
����� ���������������� � ���������������� ��������� �����, ������������ ��
���� ������� �������. ��� �������� ������������� �����, ������� ������� ����-
������������ � ����; ������, ���������� �������� ���������� ����������; � ���-
��������� ������ ���� ��������� � ������� ��������� �����������.
����� 8
�����������
������ ������ ����� ���� ���������� � ��������� ������������.
���� �� �������������� ������������� ����� - ��� �������� ��������������
������, ����������� ���������� �������, � �������� ����, ��� ���� ����� �����-
��� ���������� ������ �� �������� ����������� � ������������� �� �� ���������
���������� ������ ������������. ������ ���������� ����� ������������ �������-
���, �� ������������� � ������ ������, ����� ��� ����� ������� ���������, ���-
�� ����� ������������ �������, ������, ��� �������� ������ �������� �������
��� ��� ����� ��������, �� ���� �� ������� ������������� ��� �������� ������-
������������� �������. �� ������� ����, ��� ��������, ������� ������������
�����, �� ����� �������� � ����� ���� �� ���������� ������� ����������.
������ ����������� - ���������, ���� �� ������ � ����������� �������
��������, ���������� � �����������, ����� ��� ��������� ������ �� ��������
DoS-���� ��� �������������� ��������� ���������� ������ ������ � �����.
����� ����, ����� ������������ ������� ���������� ��������� ����������
������������� ��������� � ��������, � ����������, ��������� ����������� � ��-
�����, �������, ���������� � ������ ������� � ��������� ������������ �������-
��� �������. ���� ��������� ������������ �������� ������ ������ ��������, ���-
������ � ���, ��� �� ����� ���� �������� �� �������, � ������� ��� ��������.
����� ����, �� ����� ������� ���� ������ �� ���������� ��������, �����������-
��� ��������� ������ ������ � ������ �� DoS-����.
������������� ����� ������� ������, �������� �� ����������� ������ ���-
���������� ���������, ����������������� �� ������� ������, � ��� ��������� ���
���������. ��� ���������� ����� �������������� ����� ��������� ������, ��-
���������� ����� ��������� ����� ������������� ���������� ������������ ���-
�������.
��� ���� ������ ��� ������������ - ��� �������� ����������� ����������
������ ������������� ��������� � ��������������� ������� � ����������� �����-
������ ��� � ���������� ������� ��������� ���������� � ������������ ������ �
�� ����������� ������. ����, ������� � ������, - ������� ������ ������ �����
������ � ���������� ��� �� ���� ��������� ����� ����������, ���������������� �
������ �����.
������������
1. M.Ranum. Using Desktop Firewalls as Basic IDSes. - http://www.infosecurit�
ymag.com/2002/oct/cooltools.shtml, 2002.
2. Log File Analyzer Project on Security Focus. - http://analyzer.securityfo�
cus.com, 2003.
3. S.Boran. An Analysis of Mini-Firewalls for Windows Users. - http://www.bo�
ran.com/security/sp/pf/pf_main20001023.html, 2003.
4. G.Bahadur. Article of Attacks Against Personal Firewalls. - http://www.in�
fosecuritymag.com/articles/july01/cover.shtml, 2001.
5. Leak Test Against Desktop Firewalls. - http://www.pcflank.com/art21.htm,
2002.
6. DShield, Distributed Intrusion Detection System Project. - http://www.dsh�
ield.org, 2003.
7. General Informations About Computer Viruses. - http://www.virusbtn.com,
2003.
8. D.Moore, V.Paxson, S.Savage et al. The Spreading of the Sapphire/Slammer
Worm. - http://www.caida.org/outreach/papers/2003/sapphire/sapphire.html,
2003.
9. Fyodor. Information About idlScans with Nmap. - http://www.nmap.org/nmap/
idlescan.html, 2002.
10. Hexillion's Online Information Gathering Tool. - http://www.hexillion.com,
2003.
11. ProcessXplorer, a Process Explorer from Sysinternals. - http://www.sysint�
ernals.com, 2002.
12. T.Bird. This is a Collection of Links Related to Log File Anayzer. - http:
//www.counterpane.com/log-analysis.html, 2002.
13. Analysis and Surveys About Computer Security. - http://www.cert.org/analy�
sis/, 2002.
14. R.Graham. Explains Alarms Seen in Firewall Logs. - http://packetstormsecu�
rity.org/papers/firewall/firewall-seen.htm, 2000.
15. M.Rauen. Website with Low Level System Programming Source Code. - http://
www.madshi.net, 2002.
16. W.Hua, J.Ohlund, B.Butterklee. Microsoft's Introduction to Layered Service
Provider. - http://www.microsoft.com/msj/0599/layeredservice/layeredservi�
ce.htm, 1999.
17. D.Brent Chapman, Elizabeth D.Zwicky. Building Internet Firewalls. -
O'Reilly & Associates, 1995.
18. DiamondCS. How to Shutdown Zonalarm from a Batch File. - http://www.diamo�
ndcs.com.au/alerts/zonedown.txt, 2000.
19. L.Bowyer. Article of Tunneling with HTTP Protocol and Stegano Messages in
Pictures. - http://www.networkpenetration.com/protocol_steg.html, 2002.
20. IGMP Fragmentation Bug. - http://www.iss.net/security_center/static/2341.
php: Internet Security Systems, 1999.