2003-06-27 02:11:34

Начиная с середины мая, специалисты по компьютерной безопасности пытаются определить источник странного трафика, возникающего в интернете.
Единственной отличительной чертой этого кода является размер окна, который в протоколе TCP показывает, какое количество данных может быть отправлено без ожидания подтверждения со стороны получателя. В случае неизвестного трафика, регистрируемого в последнее время с завидной регулярностью, размер окна составляет 55808 байт. Странный код передается на случайные IP-адреса и случайные порты, источник же трафика замаскирован, и в качестве его источника указывается несуществующий IP-адрес.

Хотя необычный трафик наблюдается в интернете уже около месяца, первые версии о его возможной природе появились только сейчас. В частности, компания Internet Security Systems выпустила бюллетень, в котором источником странного кода называет троянскую программу, которую в компании назвали Stumbler ("сбивающий с толку"). Целью Stumbler является своеобразная разведка — поиск в интернете серверов и служб, потенциально уязвимых для атаки. В отличие от известных программ такого рода Stumbler очень трудно обнаружить и отследить, поскольку авторы программы прибегли к различным уловкам для маскировки своих действий, в частности, подделке IP-адреса.

По данным Internet Security Systems, программа пытается найти уязвимые серверы и службы путем отправки по случайному адресу пакета TCP SYN. Поскольку обратный адрес исходного запроса подделан, то казалось бы, ответ сервера и информацию о его уязвимостях получить невозможно. Однако в Internet Security Systems полагают, что Stumbler имеет распределенную структуру и использует сниффер пакетов, который настраивается на случайные IP-адреса, пытаясь перехватить ответы серверов. Собранную информацию программа передает на адрес 12.108.65.76, порт 22. В целом же, Stumbler является относительно безопасной экспериментальной программой, которая не умеет самостоятельно распространяться по Сети или заражать другие компьютеры. Кроме того, в программе имеются целый ряд ошибок.

До Internet Security Systems свои предположения о природе странного трафика высказала компания Intrusec. Она также связала возникновение трафика с деятельностью экспериментального сетевого червя или трояна. Однако, по данным Intrusec, идентифицированная сотрудниками компании программа является лишь одним из источников странного трафика. Описание Intrusec достаточно близко к сведениям Internet Security Systems, однако не вполне совпадает с ним. В частности, в Intrusec не исключают того, что троян может распространяться самостоятельно и сообщают, что пока его активность замечена лишь на компьютерах под управлением Linux.

В Intrusec также считают программу, генерирующую данный трафик, экспериментальной. Она является своеобразным доказательством в пользу возможности создания маскирующегося трояна. Не исключено, что в будущем наработки авторов программы лягут в основу действительно опасных программ.

КомпьюЛента