Xpoint
   [напомнить пароль]

Новая эпидемия: I-Worm.Novarg

Метки: [без меток]
[удл]
2004-01-27 11:44:55 [обр] Виталий Ульченков(22/116)[досье]
сообщение промодерировано

Посыпались уведомления от почтового сервера об обнаружении вируса. Если судить по количеству приходящих зараженных писем даже на мой забытый домен, то по всему интернету должно быть очень плохо. Касперский со мной согласен: http://www.viruslist.com/alert.html?id=144487727

Темы письма: HI, test, Server Report, Error и т.д.
Может содержать присоединённый zip файл (message.zip, test.zip и т.д.) или pif-файл. Внутри zip - исполняемый файл: cmd, exe(c двойным расширением:".txt .exe"),...

В качестве получателя может быть существующий адрес или <какое-нибудь случайное английское имя>@ваш_домен.ru

Очень разнообразный вирус:) И агрессивный...

спустя 2 часа 27 минут [обр] Юрий Щапов(0/114)[досье]
С утра отбрыкивался, не понял сразу в чём дело. В двух письмах сообщение было от Mail Delivery System. Якобы кто-то не получил мою почту :-) Домены левые — только так и понял, что неладно дело.
спустя 3 дня [обр] Udjin(3/3)[досье]

Исходные данные

Имеется N - зараженных машин которые организуют 1 - го числа
DOS на microsoft.com и sco.com
КОличество реквестов с зараженного хоста сотавит 50 req/sec
Размер пакета запроса составит примерно 238 - 350 байт и есть вероятность
что один реквест хоста будет соизмерим с 1 реквестом
process svitching cisco в численном виде.
Таким образом каждая я зараженная машина будет генерировать траффик равный
97 килобит / сек (12 килобайт/сек) восходящего трафика.

По данным нашей статистики в периоды максимальной загруженности наше
оборудование обрабатывает 1150 req/sec. Загрузка процессора backbone cisco
при этом не превышает 10-15%.

ПРедел для оборудоваиния провайдеров нашего города для кисок на бекбонах
колеблется от 800 до 12000 req/sec по реквестам и исходя из навороченности конфигурации от 1 до 18 мегабит/сек по объему (при жестких условиях работы - мелкие и фрагментированные пакеты).

Реально нужно поделить указаное кол - во реквестов на 3 чтобы
скомпенсировать реалити жизни Ж-)

Теперь считалочка.
Исходные посылы и допущения.

  1. Реальная пропускная способность ЛЮБОГО модемного канала на

коммутируемом соединении в сторону провайдера составит 32 килобита в
среднем. и соответственно это буде 10 req/s

  1. Среднее количество клиентов с болезными машинами на выделенке положим

равным 5 на клиента (один IP) и кол - во реквестов будет соответственно
250 req/s

Отталкиваясь от реквестов
Бекбон киски начнут задыхаться при 5 - 15 больных выделенщиках / офисах
Или при 50 - 100 больных модемных коннектах.

ПРи этом трафик будет генерироваться по 360 - 512 кбит от клиента /
офиса выделенного канала.
Или по 90 килобит от каждого станд алон больного ДСЛ - клиента

Решение проблемы
Я вижу 3 различных варианта решения проблемы начиная от ACL и заканчивая
бриджами с фильтрацией но наиболее элегантным мне видится следующее
решение

Прописать в конфигурации DNS
что резолвятся дополнительно 2 зоны

microsoft.com
sco.com

Соответственно создать 2 зоновых файла
соотнести алиасы в этих доменах с фейк адресным пространством

оптимльно - 127.0.0.1

Прописать в hosts
127.0.0.1 www.sco.com
127.0.0.1 www.microsoft.com

hosts.conf
order hosts,bind

Что даст.
После ресолва сответственно червь обернет атаку против самого себя.
Больные машины будут жутко тормозить но сеть устоит и сервис не будет
потерян.

Если политика компании совпадает с моим взгладом на происходящее - то стоит делать. Но это мое видение, возможно есть и более элегантное решение.
Эксперименты которые мы провели подтверждают эффективность такого решения.

Опровергнуть или подтвердить мои выкладки можно основываясь на этой таблице
http://www.i2r.ru/static/258/out_10648.shtml

PS
Егго величество эксперимент показал что:
Больная машина генерирует на халф дуплекс 10 мегабитном интерфейсе трафик
в 87 килобит / сек
Экспериментальные данные коррелируются с теоретическими выкладами.

Powered by POEM™ Engine Copyright © 2002-2005