|  12/12/2018 - چهارشنبه 21 آذر 1397
Menu
نوع جستجو را انتخاب کنید.
  • سایت
  • وب
جستجو
بایگانی اطلاعات > مشاهده

حملات Dos و DDOs (ابراهیم عباسپور )


به نام خدا

Dos و DDOs

استاد دکتر ساجدی

ابراهیم عباسپور

درس سیستم های توزیع شده

زمستان 90

چکیده : (حملات Dos یا DDos چیست ؟ DoS نوعی حمله است که باعث ممانعت عملکرد درست وب سایتها ،سرورها و سایر منابع می شوند .راههای مختلفی است که هکرها باعث اینکار می شوند ،آنها با فرستادن درخواستهای متعدد به سرور باعث از کارافتادن آن می شوند. حمله DDoS نیز شبیه نوع قبلی می باشد با یک تفاوت که هکرها برای حمله و نفوذ به سیستمها از چند ماشین استفاده می کنند .)

انواع حملات در شبکه های کامپيوتری
حملات در يک شبکه کامپيوتری ، حاصل پيوند سه عنصر مهم  سرويس ها ی فعال  ، پروتکل های استفاده شده  و پورت های باز می باشد. کارشناسان امنيت اطلاعات می بايست با تمرکز بر سه محور فوق ، شبکه ای ايمن و مقاوم در مقابل انواع حملات را ايجاد و نگهداری نمايند.

انواع حملات

Denial of Service (DoS) & Distributed Denial of Service (DDoS)

Back Door

Spoofing

Man in the Middle

Replay

TCP/IP Hijacking

Weak Keys

Mathematical

Password Guessing

Brute Force

Dictionary

Birthday

Software Exploitation

Malicious Code

Viruses

Virus Hoaxes

Trojan Horses

Logic Bombs

Worms

Social Engineering

Auditing

System Scanning

 

 

حملات از نوع DoS
هدف از حملات DoS ، ايجاد اختلال در منابع و يا سرويس هائی است که کاربران قصد دستيابی و استفاده از آنان را دارند ( از کار انداختن سرويس ها ) . مهمترين هدف اين نوع از حملات ، سلب دستيابی کاربران به يک منبع خاص است . در اين نوع حملات، مهاجمان با بکارگيری روش های متعددی تلاش می نمايند که کاربران مجاز را به منظور دستيابی و استفاده از يک سرويس خاص ، دچار مشکل نموده و بنوعی در مجموعه سرويس هائی که يک شبکه ارائه می نمايد ، اختلال ايجاد نمايند . تلاش در جهت ايجاد ترافيک کاذب در شبکه ، اختلال در ارتباط بين دو ماشين ، ممانعت کاربران مجاز به منظور دستيابی به يک سرويس ، ايجاد اختلال در سرويس ها ، نمونه هائی از ساير اهدافی است که مهاجمان دنبال می نمايند . در برخی موارد و به منظور انجام حملات گسترده از حملات DoS به عنوان نقطه شروع و يک عنصر جانبی استفاده شده تا بستر لازم برای تهاجم اصلی ، فراهم گردد . استفاده صحيح و قانونی از برخی منابع نيز ممکن است ، تهاجمی از نوع DoS را به دنبال داشته باشد . مثلا" يک مهاجم می تواند از يک سايت FTP که مجوز دستيابی به آن به صورت anonymous می باشد ، به منظور ذخيره نسخه هائی از نرم افزارهای غيرقانونی ، استفاده از فضای ذخيره سازی ديسک و يا ايجاد ترافيک کاذب در شبکه استفاده نمايد . اين نوع از حملات می تواند غيرفعال شدن کامپيوتر و يا شبکه مورد نظر را به دنبال داشته باشد . حملات فوق با محوريت و تاکيد بر نقش و عمليات مربوط به هر يک از پروتکل های شبکه و بدون نياز به اخذ تائيديه و يا مجوزهای لازم ، صورت می پذيرد . برای انجام اين نوع حملات از ابزارهای متعددی استفاده می شود که با کمی حوصله و جستجو در اينترنت می توان به آنان دستيابی پيدا کرد . مديران شبکه های کامپيوتری می توانند از اين نوع ابزارها ، به منظور تست ارتباط ايجاد شده و اشکال زدائی شبکه استفاده نمايند . حملات DoS تاکنون با اشکال متفاوتی ، محقق شده اند . در ادامه با برخی از آنان آشنا می شويم .

  • Smurf/smurfing : اين نوع حملات مبتنی بر تابع Reply  پروتکل  Internet Control Message Protocol) ICMP)  ،بوده و بيشتر با نام  ping شناخته شده می باشند .( Ping ، ابزاری است که پس از فعال شدن از طريق خط دستور ، تابع Reply  پروتکل ICMP را فرامی خواند) .  در اين نوع حملات ، مهاجم اقدام به ارسال بسته های اطلاعاتی Ping به آدرس های Broadcast شبکه نموده که در آنان آدرس مبداء هر يک از بسته های اطلاعاتی Ping شده با آدرس کامپيوتر قربانی ، جايگزين می گردد .بدين ترتيب يک ترافيک کاذب در شبکه ايجاد و امکان استفاده از منابع شبکه با اختلال مواجه می گردد.
  • Fraggle : اين نوع از حملات شباهت زيادی با حملات از نوع  Smurf داشته و تنها تفاوت موجود به استفاده از User Datagram Protocol ) UDP) در مقابل ICMP ، برمی گردد . در حملات فوق ، مهاجمان  اقدام به ارسال بسته های اطلاعاتی UDP به آدرس های Broadcast  ( مشابه تهاجم  Smurf  ) می نمايند . اين نوع از بسته های اطلاعاتی UDP به مقصد پورت 7 ( echo ) و يا پورت 19 ( Chargen ) ، هدايت می گردند.
  • Ping flood : در اين نوع تهاجم ، با ارسال مستقيم درخواست های Ping به کامپيوتر فربانی ، سعی می گردد که  سرويس ها  بلاک  و يا فعاليت آنان کاهش يابد. در يک نوع خاص از تهاجم فوق که به ping of death ، معروف است ، اندازه بسته های اطلاعاتی به حدی زياد می شود که سيستم ( کامپيوتر قربانی ) ، قادر به برخورد مناسب با اينچنين بسته های اطلاعاتی نخواهد بود .
  • SYN flood : در اين نوع تهاجم از مزايای three-way handshake  مربوط به TCP استفاده می گردد . سيستم مبداء اقدام به ارسال  مجموعه ای  گسترده از درخواست های synchronization ) SYN)  نموده بدون اين که acknowledgment ) ACK) نهائی  آنان را ارسال نمايد. بدين ترتيب half-open TCP sessions (ارتباطات نيمه فعال ) ، ايجاد می گردد . با توجه به اين که پشته TCP ، قبل از reset نمودن پورت ، در انتظار باقی خواهد ماند ، تهاجم فوق ، سرريز بافر اتصال کامپيوتر مقصد را به دنبال داشته و عملا" امکان ايجاد ارتباط وی با سرويس گيرندگان معتبر ، غير ممکن می گردد .
  •  Land : تهاجم فوق، تاکنون در نسخه های متفاوتی از سيستم های عامل ويندوز ، يونيکس ، مکينتاش و IOS سيسکو،مشاهده شده است . در اين نوع حملات ، مهاجمان اقدام به ارسال يک بسته اطلاعاتی TCP/IP synchronization ) SYN) که دارای آدرس های مبداء و مقصد يکسان به همراه  پورت های مبداء و مقصد مشابه می باشد ، برای سيستم های هدف  می نمايند . بدين ترتيب سيستم قربانی، قادر به پاسخگوئی مناسب بسته اطلاعاتی نخواهد بود .
  • Teardrop : در اين نوع حملات از يکی از خصلت های UDP در پشته TCP/IP برخی سيستم های عامل ( TCPپياده سازی شده در يک سيستم عامل ) ، استفاده می گردد. در حملات  فوق ، مهاجمان اقدام به ارسال بسته های اطلاعاتی fragmented برای سيستم هدف با مقادير افست فرد در دنباله ای از بسته های اطلاعاتی می نمايند . زمانی که سيستم عامل سعی در بازسازی بسته های اطلاعاتی اوليه  fragmented می نمايد،  قطعات ارسال شده بر روی يکديگر بازنويسی شده و اختلال سيستم را به دنبال خواهد داشت . با توجه به عدم برخورد مناسب با مشکل فوق در برخی از سيستم های عامل ، سيستم هدف ، Crash و يا راه اندازی مجدد می گردد .
  •  Bonk : اين نوع از حملات بيشتر متوجه ماشين هائی است که از سيستم عامل ويندوز استفاده می نمايند . در حملات فوق ، مهاجمان اقدام به ارسال  بسته های اطلاعاتی UDP  مخدوش به مقصد  پورت 53 DNS ، می نمايند  بدين ترتيب در عملکرد سيستم  اختلال ايجاد شده و سيستم  Crash می نمايد .
  • Boink : اين نوع از حملات مشابه تهاجمات  Bonk می باشند. با اين تفاوت که در مقابل استفاده از  پورت 53 ، چندين پورت ، هدف قرارمی گيرد .

Port

Service

7

Echo

11

Systat

15

Netstat

19

Chargen

20

FTP-Data

21

FTP

22

SSH

23

Telnet

25

SMTP

49

TACACS

53

DNS

80

HTTP

110

POP3

111

Portmap

161/162

SNMP

443

HTTPS

1812

RADIUS

متداولترين  پورت های استفاده شده در حملات DoS

يکی ديگر از حملات DoS ، نوع خاص و در عين حال ساده ای از يک حمله DoS می باشد که با نام Distributed DoS ) DDoS) ، شناخته  می شود .در اين رابطه می توان از نرم افزارهای  متعددی  به منظور انجام اين نوع حملات و از درون يک شبکه ، استفاده بعمل آورد. کاربران ناراضی و يا افرادی که دارای سوء نيت می باشند، می توانند بدون هيچگونه تاثيری از دنيای خارج از شیکه سازمان خود ، اقدام به ازکارانداختن سرويس ها در شبکه نمايند. در چنين حملاتی ، مهاجمان نرم افزاری خاص و موسوم به  Zombie  را توزيع  می نمايند . اين نوع نرم افزارها به مهاجمان اجازه خواهد داد که تمام و يا بخشی از سيستم کامپيوتری آلوده را تحت کنترل خود درآورند. مهاجمان پس از آسيب اوليه به سيستم هدف  با استفاده از نرم افزار نصب شده Zombie ، تهاجم نهائی خود را با بکارگيری مجموعه ای  وسيع از ميزبانان انجام خواهند داد.  ماهيت و نحوه انجام اين نوع از حملات ، مشابه يک تهاجم استاندارد DoS بوده ولی  قدرت تخريب و آسيبی که مهاجمان متوجه سيستم های آلوده می نمايند ، متاثر از مجموع ماشين هائی ( Zombie )  است که تحت کنترل مهاجمان  قرار گرفته شده است .
به منظور حفاظت شبکه ، می توان فيلترهائی را بر روی روترهای خارجی شبکه به منظور دورانداختن بسته های اطلاعاتی مشمول حملات  DoS ، پيکربندی نمود .در چنين مواردی می بايست از فيلتری ديگر که امکان مشاهده ترافيک (مبداء از طريق اينترنت)  و يک آدرس داخلی شبکه را فراهم می نمايد ، نيز استفاده گردد .

دفاع در مقابل DoS

براي دفاع در مقابل يك حمله DoS توزيع‌شده (DDOS)، راه‌هاي مختلفي وجود دارد، البته اگر يكي از اين روش‌ها درست كار نكند، سرور قطعا با مشكل مواجه شده و براي بازه كوتاهي از زمان، زمين‌‌گير حملات خواهد شد. با اين وجود، اگر يكي از حملات رخ داد، 3 حالت براي رفع آن وجود دارد:

ف@ي@ل@ت@رينگ: بيشتر حملات DDOS قابل شناسايي و ف@ي@ل@ت@رشدن هستند. مسيرياب‌هاي لبه شبكه مي‌توانند طوري تنظيم شوند كه اتصالات DDOS را تشخيص داده و قبل از رسيدن به سرور، آنها را از كار بيندازند تا شبكه يا سرور را كند نكنند.

انتقال: اگر حمله به يك آدرس آي‌پي خاص مسيريابي شده، مي‌توان با جابه‌جا كردن سايت به يك شناسه آي‌پي ديگر در همان شبكه، از اين حمله فرار كرد. اين اقدام را يك بار كاخ سفيد در مقابل با حمله ويروسي DDOS به سايت‌هايش انجام داده است.

سياه‌چاله‌سازي: اين روش به عنوان روشي نااميدانه مطرح است، اما صاحب سايت مي‌تواند تمام ترافيك دريافتي را به يك آدرس نامعتبر منتقل كند تا فشار حملات روي سرور خود يا هيچ سرور ديگري تاثير نگذارد.

علاوه بر اين روش‌ها، نرم‌افزارها و سخت‌افزارهاي خاص بسياري توليد شده‌اند كه بتوانند حملات DDoS را تشخيص داده و دفع كنند.

با اين وجود، بيشتر مواقع بايد صبر كرد و منتظر به پايان رسيدن موج حملات بود. بيشتر حملات كوتاه هستند، چرا كه بات‌نت‌ها نمي‌خواهند شبكه‌هاي خود را دچار مشكل كنند و گروه‌هاي مهاجم هم نمي‌توانند به‌صورت پيوسته به حملات ادامه دهند. در نهايت، بزرگ‌ترين و طولاني‌ترين حملات يكي‌دو روز به ‌طول خواهد انجاميد و پس از آن شرايط به حالت سابق باز خواهد گشت.

به‌ هر حال حملات DOS وجهي از وب را نشان مي‌دهد كه متاسفانه وب‌مسترهاي سرورهاي بزرگ و كوچك بايد گاه و بيگاه با آن مواجه شوند. بهتر است به ذهن بسپاريم كه حملات DDOS هك كردن نيستند (سيستم مورد نفوذ قرار نمي‌گيرد، داده‌اي دزديده نمي‌شود و...) بلكه تنها سرور را از سرويس‌دهي درست به كاربران هدف باز مي‌دارند. كساني هم كه از اين حملات استفاده مي‌كنند، هكرهاي ماهري نيستند و ابزارهاي لازم براي اين اقدام‌ها به صورت گسترده در اينترنت پخش‌شده است

تاریخ خبر : 1390/11/13      آدرس خبر : http://majame.tehran.irhttp://majame.tehran.ir/default.aspx?tabid=341&ArticleId=987
تعداد مشاهده : 48143
چاپprint

  نظرات

هیچ نظری ثبت نشده است.

نام شما
پست الکترونیک
وب سایت
عنوان
نظر
تصویر امنیتی CAPTCHA
کد را وارد کنید