Использование анонимных ftp-серверов для подмены IP-адреса
Об использовании ftp-серверов для сокрытия своего IP-адреса следует сказать особо. Во-первых, анонимных ftp-серверов много больше, чем Proxy- и telnet- всех вместе взятых. Во-вторых, об этом способе знают далеко не все, а кто не знает – тот и не защищается!
Кратко о сути приема. Из документа RFC-959 можно узнать, что для своей работы протокол ftp требует, по крайней мере, двух соединений: одно – для приема команд от пользователя, а второе – для приема (передачи) файлов. Причем, адрес узла-получателя файла не обязательно должен совпадать с адресом клиента! Отдавая серверу команду "PORT", клиент самостоятельно назначает адрес и порт хоста, который будет использоваться как активный участник соединения по каналу передачи данных. И ничто не помещает ему выбрать сервер спонсора (точнее, почти ничего, об ограничениях будет сказано ниже).
-
Анонимный ftp-сервер установит с web-сервером спонсора TCP-соединение и передаст ему файл, содержащий команды HTTP-протокола, имитирующие запрос браузера на показ баннера. Если злоумышленник корректно подделает все поля, сервер не сможет отличить такой запрос от запроса браузера!
Единственная проблема, с которой может столкнуться злоумышленник, – проверка ftp-сервером корректности номера порта. Некоторые ftp-серверы не позволяют устанавливать соединения со стандартными портами, в том числе и восьмидесятым. Но, во-первых, именно некоторые, а не все. Во-вторых, можно использовать любой не анонимный Proxy-сервер, работающий через нестандартный порт (использование не анонимных Proxy большинством спонсоров разрешается), и, в-третьих, сервера некоторых спонсоров сами работают через нестандартные порты, например, 8081.
Таким образом, накрутки через анонимные ftp-сервера представляют собой вполне серьезную угрозу. Как ей противостоять? Создать список всех-всех анонимных ftp невозможно – число их огромно и с каждым днем продолжает расти. Уж лучше попытаться установить соединение с клиентом по двадцать первому порту, проверяя наличие установленного ftp-сервера. Подавляющее большинство клиентов не имеют собственного ftp, и такой метод идентификации вполне надежен. Единственный его недостаток – увеличение нагрузки на сервер спонсора, что не всегда приемлемо. Но лучшего решения, по-видимому, просто не существует. Впрочем, злоумышленник направленным SYN-штормом может запросто переполнить очередь соединений ftp-сервера и тогда такой метод проверки не сработает.
Словом, IP-адрес не позволяет надежно идентифицировать клиента и его контроль отсекает лишь самых глупых и неопытных злоумышленников. Поэтому, помимо IP-адреса рекомендуется использовать и другие способы идентификации клиента.
