Named Pipe File System является виртуальной файловой системой, которая не управляет файлами, а управляет каналами named pipes. Кана¬лы named pipes относятся к классу файловых объектов вместе с файлами, дисковыми директориями, устройствами и почтовыми ящиками (mail-slots). Поэтому большинство функций, предназначенных для работы с файлами (в том числе CreateFile, ReadFile и WriteFile), работает и с кана¬лами. Канал named pipes представляет собой виртуальное соединение, по которому передается информация от одного процесса к другому. Инфор¬мация может передаваться как в одну сторону (однонаправленный канал), так и в обе стороны (двунаправленный или дуплексный канал). Создание виртуального канала в Windows NT происходит следующим образом:
? Серверный процесс создает канал на локальном компьютере с помощью функции программного интерфейса Win32 «CreateNamedPipe».
? Серверный процесс активизирует канал при помощи функции «ConnectNamedPipe», после чего к каналу могут подключаться клиенты.
? Далее производится подключение к каналу \\computer_name\pipe\pipe_name посредством вызова функции «CreateFile».
Клиентский процесс может отключиться от канала в любой мо¬мент с помощью функции «CloseHandle». Серверный процесс может от¬ключить клиента в любой момент с помощью функции «DisconnectNa-medPipe».
После прекращения связи с клиентом серверный процесс может повторно использовать канал с помощью повторного вызова функции «ConnectNamedPipe».
При помощи одного и того же канала сервер может одновременно обслуживать нескольких клиентов. Для этого серверный процесс может создать N-ное количество экземпляров канала, вызвав N-ное количество раз функцию «CreateNamedPipe» (при этом в каждом вызове должно быть указано одно и то же имя канала).
Если канал имеет несколько экземпляров, клиент может быть подключен к любому свободному (не занятому другим клиентом) эк¬земпляру этого канала.
После установления виртуального соединения серверный процесс и клиентский процесс могут обмениваться информацией при помощи пар функций «ReadFile» и «WriteFile». Если один участник информаци¬онного обмена записывает данные в канал при помощи функции «WriteFile», то другой участник может прочитать, используя функцию «ReadFile».
Интерфейс Named Pipe File System широко используется операци¬онной системой Windows NT для множества задач, некоторые из кото¬рых играют важную роль в обеспечении безопасности операционной си¬стемы. Например, удаленный вызов процедур (RPC) в Windows NT реализован как надстройка над NPFS.
Однако в смысле защиты информации и устойчивости программ интерфейс Named Pipe File System может использован для взлома или вы¬ведения из строя операционной системы. Ниже приведены две програм¬мы PipeBomb и AdminTrap, которые используют непродуманность реали¬зации Named Pipe File System.
Глава 7.
Программа PipeBomb
Прикладная программа PipeBomb производит открытие на запись в вечном цикле новых экземпляров определенного системного канала и записывает в них порции бесполезной информации. Через довольно ко¬роткий промежуток времени все свободные экземпляры канала будут за¬няты, после чего серверный процесс определяет, что все экземпляры его канала заняты, после чего начинает создавать новые экземпляры канала.
Каждый новый экземпляр канала обслуживается новым потоком (thread), под который отводится новый буфер в оперативной памяти для хранения информации. Клиентский процесс постоянно открывает но¬вые экземпляры канала, поэтому серверному процессу приходится со¬здавать новые потоки. Это приводит к максимальной загрузке процессо¬ра сервера, а объем свободной оперативной памяти этого компьютера быстро уменьшается. Через несколько минут атакованный компьютер становится практически неработоспособным. Данная программа одина¬ково эффективно работает для атак как на рабочие станции, так и на сер¬вера Windows NT 4.0. Для начала атаки необходимо запустить программу PipeBomb и в поле ввести имя атакуемого компьютера.
Затем следует нажать кнопку «Create» (Создать) или «Write» (За¬писать), после чего любой сервер Windows NT будет завешен в течение двух минут.
Эту атаку можно применять через Internet, инкапсулируя пакеты SMB в пакеты TCP/IP (сетевая составляющая интерфейса Named Pipe File System организована как надстройка над протоколом SMB).