ttrasn
05-01-2012, 10:11 AM
حملات DOS
شاید تا حالا شنیده باشید که یک وب سایت مورد تهاجمی از نوع DOS قرار گرفته است این نوع از حملات صرفا متوجه وب سایت ها نبوده و ممکن است شما قربانی بعدی باشد . تشکیل حملات DOS از طریق عملیات متداول شبکه امری مشکل است ولی با مشاهده برخی علائم در یک شبکه و یا کامپیوتر میتوان از میزان پیشرفت این نوع از حملات اگاهی یافت
حملات از نوع DOS DENIAL – OF – SERVICE
در این تهاجم از نوع DOS یک مهاجم باعث ممانعت دستیابی کاربران تائید نشده و به اطلاعات و یا سرویس های خاصی مینماید . یک مهاجم با هدف قرار دادن کامپیوتر شما و اتصال شبکه ای انها و یا کامپیوتر ها و شبکه ای از سایت هائی که شما قصد استفاده از انها را دارید باعث سلب دستیابی شما به سایت های EMAIL ، وب سایت ها ، ACCOUNT های ONLINE و سایر سرویس های ارائه شده بر روی کامپیوترهای سرویس دهنده میگردد
متداول ترین و مشهور ترین نوع حملات DOS زمانی محقق مییگردد که یک مهاجم اقدام به ایجاد یک سیلاب اطلاعاتی در یک شبکه نماید زمانی که شما ادرس URL یک وب سایت خاص را را از طریق مرورگر خود تایپ میکنید درخواست شما برای سرویس دهنده ارسال میگردد . سرویس دهنده در هر لحظه قادر به پاسخگویی به حجم محدودی از درخواست ها میباشد بنابراین اگر یک مهاجم با ارسال درخواستهای متعدد و سیلاب گونه باعث افزایش حجم عملیات سرویس دهنده گردد قطعا امکان پردازش درخواست شما برای سرویس دهنده وجود نخواهد داشت حملات فوق از نوع DOS میباشد چراکه امکان دستیابی شما به سایت مورد نظر سلب شده است
یک مهاجم میتواند با ارسال پیام های الکترونیکی ناخواسته که از انان با نام SPAM یاد میشود حملات مشابهی را متوجه سرویس دهنده پست الکترونیکی نماید . هر ACCOUNT پست الترونیکی دارای ظرفیت محدودی میباشند پس از تکمیل ظرفیت فوق عملا امکان ارسال EMAIL دیگری به ACCOUNT فوق وجود نخواهد داشت . مهاجمان با ارسال نامه های الکترونیکی ناخواسته سعی مینمایند که ظرفیط ACCOUNT مورد نظر را تکمیل و عملا امکان دریافت EMAIL های معتبر ACCOUNT فوق سلب میشود .
حملات از نوع (DDOS ( DISTRIBUTED DENIAL – OF – SERVICE
در این تهاجم از نوع DDOS یک تهاجم ممکن است از کامپیوتر شما برای تهاجم بر علیه کامپیوتر دیگری استفاده نماید . مهاجمان با استفاده از نقاط اسیپ پذیر و یا ضعف امینتی موجود بر روی سیستم شما میتواند کنترول کامپیوتر شما را بدست گرفته و در ادامه از ان به منظور انجام عملیات مخرب خود استفاده نماییند . ارسال حجم بسیار بالائی داداه از طریق کامپیوتر شما برای یک وب سایت و یا ارسال نامه های الکترونیکی ناخواسته برای ادرس های EMAIL خاصی نمونه هائی از همکارای کامپیوتر در بروز یک تهاجم DDOS میباشد حملات فوق توزیع شده میباشد چراکه مهاجم از چندین کامپیوتر به منظور اجرای یک تهاجم DOS استفاده مینمایند .
نحوه پیشگیری از حملات
متاسفانه روش موثری به منظور پیشگیری در مقابل یک تهاجم DOS و یا DDOS وجود ندارد علیرغم موضوع فوق میتوان با رعایت برخی نکات و انجام عملیات پیشگیری احتمال بروز چنین حملاتی ( استفاده از کامپیوتر شما برای تهاجم بر علیه سایر کامپیوتر ها ) را کاهش داد .
نصب و نگهداری نرم افزار انتی ویروس
نصب و پیکربندی یک فایروال
تبعیت از مجموعه سیاست های خاصی در خصوص توزیع و ارائه ادرس EMAIL خود به دیگران
چگونه از وقوع حملات DOS و یا DDOS اگاه شویم ؟
خرابی و یا بروز اشکال در یک سیستم شبکه همواره بدلیل بروز یک تهاجم DOS نمیباشد در این رابطه ممکن است دلایل متعددی فنی وجود داشته و یا مدیر شبکه به منظور انجام عملیات نگهداری موقتا برخی سرویس ها را غیر فعال کرده باشد .
وجود و یا مشاهده علائم زیر میتواند نشان دهنده بروز یک تهاجم از نوع DOS و یا DDOS باشد :
کاهش سرعت و یا کارائی شبکه بطرز غیر معمول ( در زمان باز نمودن فایل ها و یا دستیابی به وب سایتها )
عدم در دسترس بودن یک سایت خاص ( بدون دلیل فنی )
عدم امکان دستیابی به هر سایتی ( بدون وجود دلیل فنی )
افزایش محسوس حجم نامه های الکترونیکی ناخواسته دریافتی
در صورت بروز یک تهاجم چه عملیاتی را میبایست انجام داد؟
حتی در صورتی که شما قادر به شناسائی حملات از نوع DOS و یا DDOS باشید امکان شناسائی مقصد و یا منبع واقعی تهاجم وجود نخواهد داشت در این رابطه لازم است با کارشناسان فنی ماهر تماس گرفته تا انان موضوع را بررسی و برای ان راهکار مناسب ارائه نماید .
در صورتی که برای شما مسلم شده است که نمیتوانید به برخی از فایل های خود و یا هر وب سایتی خارج از شبکه خود دستیابی داشته باشد بلافاصله با مدیران شبکه تماس گرفته و موضوع را به اطلاع انها برسانید ، وضعیت فوق میتواند نشان دهنده بروز یک تهاجم برعلیه کامپیوتر یا سازمان شما باشد
در صورتی که وضعیت مشابه انچه اشاره گردید را در خصوص کامپیوترهای موجود در منازل مشاهده می نمائید با مرکز ارائه دهنده خدمات اینترنت isp تماس گرفته و موضوع را به طالاع ان برسانید . isp مورد نظر میتواند توصیه های لازم به منظور انجام عملیات مناسب را در اختیار شما قرار دهد .
عدم پذیرش سرویس :
قصد داریم تا طی چند قسمت با نوعی از حمله به نام dos اشنا شویم که مخفف عبارت denial of service یا عدم پذیرش سرویس میباشد . همانطور که در روش های معمول حمله به کامپیوتر ها اشاره مختصری شد این نوع حمله باعث از کارافتادن یا مشغول شدن بیش از اندازه کامپیوتر میشود تا حدی که غیر قابل استفاده شود در بیشتر موارد حفره های امنیتی محل انجام این حملات است که لذا نصب اخرین وصله های امنیتی از حمله جلوگیری میکند .
علاوه بر اینکه کامپیوتر شما هدف یک حمله dos قرار میگیرد ممکن است که در حمله dos علیه یک سیستم دیگر نیز شرکت داده شود . نفوزگران با ایجاد ترافیک بی مورد و بی استفاده باعث میشود که حجم زیادی از منابع سرویس دهنده و پهنای باند شبکه مصرف یا به نوعی درگیر رسیدگی به این تقاضاهای بی مورد شود و این تقاضا تا جایی که دستگاه سرویس دهنده را به زانو در اورد ادامه پیدا میکند . نیت اولیه و تاثیر حملات dos جلوگیری از استفاده صحیح از منابع کامپیوتری و شبکه ای و از بین بردن این منابع است .
علیرغم تلاش و منابعی که برای ایمن سازی علیه نفوز و خرابکاری مصرف گشته است سیستم های متصل به اینترنت با تهدیدی واقعی و مداوم به نام حملات dos مواجه هستند این امر بدلیل دو مشخصه اساسی اینترنت است :
منابع تشکیل دهنده اینترنت به نوعی محدود و مصرف شدنی هستند .
زیر ساخت سیستم ها و شبکه های بهم متصل که اینترنت را میسازد کاملا از منابع محدود تشکیل شده است . پهنای باند قدرت پردازش و ظرفیت های ذخیره سازی همگی محدود و هدف های معمول dos هستند مهاجمان با انجام این حملات سعی میکنند با مصرف کردن مقدار قابل توجهی از منابع در دسترس باعث قطع میزانی از سرویس ها میشود . وفور منابعی که به درستی طراحی و استفاده شده اند ممکن است عاملی برای کاهش میزان تاثیر یک حمله dos باشد اما شیوه های و ابزار امروزی حمله حتی در کارکرد فروان ترین منابع نیز اختلال ایجاد میکند .
امنیت اینترنت تا حد زیادی وابسته به تمام عوامل است .
حملات dos مهمولا از یک یا چند نقطه که از دید سیستم یا شبکه قربانی عامل بیرونی هستند صورت میگیرد در بسیاری موارد نقطه اغاز حمله شامل یک یا چند سیستم است که از طریق سو استفاده امنیتی را در اختیار یک نفوزگر قرار میگیرد و لذا حملات از سیستم یا سیستم های خود نفوزگر صورت نمیگیرد . بنابراین دفاع برعلیه نفوز نه تنها به حفاظت از اموال مرتبط با اینترنت کمک میکند بلکه به جلوگیری از استفاده از این اموال برای حمله به سایر شبکه ها و سیستم ها نیز کمک میکند . پس بدون توجه به اینکه سیستم هایتان به چه میزان محافظت میشوند قرار گرفتن در معرض بسیاری از انواع حملات و مشخصا dos به وضعیت امنیتی در سایر قسمت های اینترنت بستگی دارد .
مقابله با حملات dos تنها یک بحث عملی نیست . محدود میزان تقاضا فیلتر کردن بسته ای و دستکاری پارامترهای نرم افزاری در بعضی موارد میتواند به محدود کردن اثر حملات dos کمک کند اما بشرطی که حمله Dos در حال مصرف کردن تمام منابع موجود نباشد . در بسیاری از موارد تنها میتوان یک دفاع واکنشی داشت و این در صورتی است که منبع یا منبع حمله مشخص شوند . استفاده از جعل ادرس ip در طول حمله و ظهور روش های حمله توزیع شده و ابزارهای موجود یک چالش همیشگی را در مقابل کسانی که باید به حملات dos پاشخ دهند قرار داده است .
تکنولوژی حملات dos اولیه شامل ابزارهای ساده بود که بسته ها را تولید و از یک منبع به یک مقصد ارسال میکرد . با گذشت زمان ابزار تا حد اجرای حملات از یک منبع به چندین هدف از چندین منبع به هدف های تنها و چندین منبع و چندین هدف پیشرفت کرده اند .
امروزه بیشترین حملات گزارش شده به CERT/CC مبنی بر ارسال های تعداد بسیار زیادی بسته به یک مقصد است که باعث ایجاد نقاط انتهایی بسیار زیاد و مصرف پهنای باند شبکه میشود . از چندین حملاتی معمولا به عنوان حملات طغیان بسته packet flooding یاد میشود . اما در مورد حمله به چندین هدف گزارش کمتری دریافت شده است . انواع بسته ها packets مورد استفاده برای حملات طغیان بسته در طول زمان تغییر کرده است اما چندیدن نوع بسته معمول وجود دارند که هنوز توسط ابزار حمله dos استفاده میکند .
طغیان های TCP : رشته ای از بسته های tcp با پرچم های flag متفاوت به ادرس ip قربانی فرستاده میشوند . پرچم های RST , ACK , SYN بیشتر استفاده میشوند .
طغیان های تقاضا / پاسخ ICMP : مانند طغیان های PING رشته ای از بسته های ICMP به ادرس IP قربانی میشود .
طغیان های UDP : رشته ای از بسته های UDP به ادرس IP قربانی ارسال میشود .
منبع (http://ashiyane.org/forums/showthread.php?t=25300)
شاید تا حالا شنیده باشید که یک وب سایت مورد تهاجمی از نوع DOS قرار گرفته است این نوع از حملات صرفا متوجه وب سایت ها نبوده و ممکن است شما قربانی بعدی باشد . تشکیل حملات DOS از طریق عملیات متداول شبکه امری مشکل است ولی با مشاهده برخی علائم در یک شبکه و یا کامپیوتر میتوان از میزان پیشرفت این نوع از حملات اگاهی یافت
حملات از نوع DOS DENIAL – OF – SERVICE
در این تهاجم از نوع DOS یک مهاجم باعث ممانعت دستیابی کاربران تائید نشده و به اطلاعات و یا سرویس های خاصی مینماید . یک مهاجم با هدف قرار دادن کامپیوتر شما و اتصال شبکه ای انها و یا کامپیوتر ها و شبکه ای از سایت هائی که شما قصد استفاده از انها را دارید باعث سلب دستیابی شما به سایت های EMAIL ، وب سایت ها ، ACCOUNT های ONLINE و سایر سرویس های ارائه شده بر روی کامپیوترهای سرویس دهنده میگردد
متداول ترین و مشهور ترین نوع حملات DOS زمانی محقق مییگردد که یک مهاجم اقدام به ایجاد یک سیلاب اطلاعاتی در یک شبکه نماید زمانی که شما ادرس URL یک وب سایت خاص را را از طریق مرورگر خود تایپ میکنید درخواست شما برای سرویس دهنده ارسال میگردد . سرویس دهنده در هر لحظه قادر به پاسخگویی به حجم محدودی از درخواست ها میباشد بنابراین اگر یک مهاجم با ارسال درخواستهای متعدد و سیلاب گونه باعث افزایش حجم عملیات سرویس دهنده گردد قطعا امکان پردازش درخواست شما برای سرویس دهنده وجود نخواهد داشت حملات فوق از نوع DOS میباشد چراکه امکان دستیابی شما به سایت مورد نظر سلب شده است
یک مهاجم میتواند با ارسال پیام های الکترونیکی ناخواسته که از انان با نام SPAM یاد میشود حملات مشابهی را متوجه سرویس دهنده پست الکترونیکی نماید . هر ACCOUNT پست الترونیکی دارای ظرفیت محدودی میباشند پس از تکمیل ظرفیت فوق عملا امکان ارسال EMAIL دیگری به ACCOUNT فوق وجود نخواهد داشت . مهاجمان با ارسال نامه های الکترونیکی ناخواسته سعی مینمایند که ظرفیط ACCOUNT مورد نظر را تکمیل و عملا امکان دریافت EMAIL های معتبر ACCOUNT فوق سلب میشود .
حملات از نوع (DDOS ( DISTRIBUTED DENIAL – OF – SERVICE
در این تهاجم از نوع DDOS یک تهاجم ممکن است از کامپیوتر شما برای تهاجم بر علیه کامپیوتر دیگری استفاده نماید . مهاجمان با استفاده از نقاط اسیپ پذیر و یا ضعف امینتی موجود بر روی سیستم شما میتواند کنترول کامپیوتر شما را بدست گرفته و در ادامه از ان به منظور انجام عملیات مخرب خود استفاده نماییند . ارسال حجم بسیار بالائی داداه از طریق کامپیوتر شما برای یک وب سایت و یا ارسال نامه های الکترونیکی ناخواسته برای ادرس های EMAIL خاصی نمونه هائی از همکارای کامپیوتر در بروز یک تهاجم DDOS میباشد حملات فوق توزیع شده میباشد چراکه مهاجم از چندین کامپیوتر به منظور اجرای یک تهاجم DOS استفاده مینمایند .
نحوه پیشگیری از حملات
متاسفانه روش موثری به منظور پیشگیری در مقابل یک تهاجم DOS و یا DDOS وجود ندارد علیرغم موضوع فوق میتوان با رعایت برخی نکات و انجام عملیات پیشگیری احتمال بروز چنین حملاتی ( استفاده از کامپیوتر شما برای تهاجم بر علیه سایر کامپیوتر ها ) را کاهش داد .
نصب و نگهداری نرم افزار انتی ویروس
نصب و پیکربندی یک فایروال
تبعیت از مجموعه سیاست های خاصی در خصوص توزیع و ارائه ادرس EMAIL خود به دیگران
چگونه از وقوع حملات DOS و یا DDOS اگاه شویم ؟
خرابی و یا بروز اشکال در یک سیستم شبکه همواره بدلیل بروز یک تهاجم DOS نمیباشد در این رابطه ممکن است دلایل متعددی فنی وجود داشته و یا مدیر شبکه به منظور انجام عملیات نگهداری موقتا برخی سرویس ها را غیر فعال کرده باشد .
وجود و یا مشاهده علائم زیر میتواند نشان دهنده بروز یک تهاجم از نوع DOS و یا DDOS باشد :
کاهش سرعت و یا کارائی شبکه بطرز غیر معمول ( در زمان باز نمودن فایل ها و یا دستیابی به وب سایتها )
عدم در دسترس بودن یک سایت خاص ( بدون دلیل فنی )
عدم امکان دستیابی به هر سایتی ( بدون وجود دلیل فنی )
افزایش محسوس حجم نامه های الکترونیکی ناخواسته دریافتی
در صورت بروز یک تهاجم چه عملیاتی را میبایست انجام داد؟
حتی در صورتی که شما قادر به شناسائی حملات از نوع DOS و یا DDOS باشید امکان شناسائی مقصد و یا منبع واقعی تهاجم وجود نخواهد داشت در این رابطه لازم است با کارشناسان فنی ماهر تماس گرفته تا انان موضوع را بررسی و برای ان راهکار مناسب ارائه نماید .
در صورتی که برای شما مسلم شده است که نمیتوانید به برخی از فایل های خود و یا هر وب سایتی خارج از شبکه خود دستیابی داشته باشد بلافاصله با مدیران شبکه تماس گرفته و موضوع را به اطلاع انها برسانید ، وضعیت فوق میتواند نشان دهنده بروز یک تهاجم برعلیه کامپیوتر یا سازمان شما باشد
در صورتی که وضعیت مشابه انچه اشاره گردید را در خصوص کامپیوترهای موجود در منازل مشاهده می نمائید با مرکز ارائه دهنده خدمات اینترنت isp تماس گرفته و موضوع را به طالاع ان برسانید . isp مورد نظر میتواند توصیه های لازم به منظور انجام عملیات مناسب را در اختیار شما قرار دهد .
عدم پذیرش سرویس :
قصد داریم تا طی چند قسمت با نوعی از حمله به نام dos اشنا شویم که مخفف عبارت denial of service یا عدم پذیرش سرویس میباشد . همانطور که در روش های معمول حمله به کامپیوتر ها اشاره مختصری شد این نوع حمله باعث از کارافتادن یا مشغول شدن بیش از اندازه کامپیوتر میشود تا حدی که غیر قابل استفاده شود در بیشتر موارد حفره های امنیتی محل انجام این حملات است که لذا نصب اخرین وصله های امنیتی از حمله جلوگیری میکند .
علاوه بر اینکه کامپیوتر شما هدف یک حمله dos قرار میگیرد ممکن است که در حمله dos علیه یک سیستم دیگر نیز شرکت داده شود . نفوزگران با ایجاد ترافیک بی مورد و بی استفاده باعث میشود که حجم زیادی از منابع سرویس دهنده و پهنای باند شبکه مصرف یا به نوعی درگیر رسیدگی به این تقاضاهای بی مورد شود و این تقاضا تا جایی که دستگاه سرویس دهنده را به زانو در اورد ادامه پیدا میکند . نیت اولیه و تاثیر حملات dos جلوگیری از استفاده صحیح از منابع کامپیوتری و شبکه ای و از بین بردن این منابع است .
علیرغم تلاش و منابعی که برای ایمن سازی علیه نفوز و خرابکاری مصرف گشته است سیستم های متصل به اینترنت با تهدیدی واقعی و مداوم به نام حملات dos مواجه هستند این امر بدلیل دو مشخصه اساسی اینترنت است :
منابع تشکیل دهنده اینترنت به نوعی محدود و مصرف شدنی هستند .
زیر ساخت سیستم ها و شبکه های بهم متصل که اینترنت را میسازد کاملا از منابع محدود تشکیل شده است . پهنای باند قدرت پردازش و ظرفیت های ذخیره سازی همگی محدود و هدف های معمول dos هستند مهاجمان با انجام این حملات سعی میکنند با مصرف کردن مقدار قابل توجهی از منابع در دسترس باعث قطع میزانی از سرویس ها میشود . وفور منابعی که به درستی طراحی و استفاده شده اند ممکن است عاملی برای کاهش میزان تاثیر یک حمله dos باشد اما شیوه های و ابزار امروزی حمله حتی در کارکرد فروان ترین منابع نیز اختلال ایجاد میکند .
امنیت اینترنت تا حد زیادی وابسته به تمام عوامل است .
حملات dos مهمولا از یک یا چند نقطه که از دید سیستم یا شبکه قربانی عامل بیرونی هستند صورت میگیرد در بسیاری موارد نقطه اغاز حمله شامل یک یا چند سیستم است که از طریق سو استفاده امنیتی را در اختیار یک نفوزگر قرار میگیرد و لذا حملات از سیستم یا سیستم های خود نفوزگر صورت نمیگیرد . بنابراین دفاع برعلیه نفوز نه تنها به حفاظت از اموال مرتبط با اینترنت کمک میکند بلکه به جلوگیری از استفاده از این اموال برای حمله به سایر شبکه ها و سیستم ها نیز کمک میکند . پس بدون توجه به اینکه سیستم هایتان به چه میزان محافظت میشوند قرار گرفتن در معرض بسیاری از انواع حملات و مشخصا dos به وضعیت امنیتی در سایر قسمت های اینترنت بستگی دارد .
مقابله با حملات dos تنها یک بحث عملی نیست . محدود میزان تقاضا فیلتر کردن بسته ای و دستکاری پارامترهای نرم افزاری در بعضی موارد میتواند به محدود کردن اثر حملات dos کمک کند اما بشرطی که حمله Dos در حال مصرف کردن تمام منابع موجود نباشد . در بسیاری از موارد تنها میتوان یک دفاع واکنشی داشت و این در صورتی است که منبع یا منبع حمله مشخص شوند . استفاده از جعل ادرس ip در طول حمله و ظهور روش های حمله توزیع شده و ابزارهای موجود یک چالش همیشگی را در مقابل کسانی که باید به حملات dos پاشخ دهند قرار داده است .
تکنولوژی حملات dos اولیه شامل ابزارهای ساده بود که بسته ها را تولید و از یک منبع به یک مقصد ارسال میکرد . با گذشت زمان ابزار تا حد اجرای حملات از یک منبع به چندین هدف از چندین منبع به هدف های تنها و چندین منبع و چندین هدف پیشرفت کرده اند .
امروزه بیشترین حملات گزارش شده به CERT/CC مبنی بر ارسال های تعداد بسیار زیادی بسته به یک مقصد است که باعث ایجاد نقاط انتهایی بسیار زیاد و مصرف پهنای باند شبکه میشود . از چندین حملاتی معمولا به عنوان حملات طغیان بسته packet flooding یاد میشود . اما در مورد حمله به چندین هدف گزارش کمتری دریافت شده است . انواع بسته ها packets مورد استفاده برای حملات طغیان بسته در طول زمان تغییر کرده است اما چندیدن نوع بسته معمول وجود دارند که هنوز توسط ابزار حمله dos استفاده میکند .
طغیان های TCP : رشته ای از بسته های tcp با پرچم های flag متفاوت به ادرس ip قربانی فرستاده میشوند . پرچم های RST , ACK , SYN بیشتر استفاده میشوند .
طغیان های تقاضا / پاسخ ICMP : مانند طغیان های PING رشته ای از بسته های ICMP به ادرس IP قربانی میشود .
طغیان های UDP : رشته ای از بسته های UDP به ادرس IP قربانی ارسال میشود .
منبع (http://ashiyane.org/forums/showthread.php?t=25300)