ttrasn
05-01-2012, 10:16 AM
عدم پذیرش سرویس – انواع حملات
در قسمت قبلی با حمله DOS اشنا شدیم . از انجا که حملات طغیان بسته های دیتا معمولا تلاش میکنند منابع پهنای باند و پردازش را خلع سلاح کنند ، میزان بسته ها و حجم دیتای متناظر با رشته های بسته ها عواملی مهمی در تغیین درجه موفقیت حمله هستند .
بعضی از ابزارهای حمله خواص بسته ها را در رشته بسته ها بدلایلی تغییر میدهند :
ادرس IP منبع – در بعضی موارد یک ادرس IP منبع نا صحیح روشی که جعل IP نامیده میشود برای پنهان کردن منبع واقعی یک رشته بسته استفاده میشود در موارد دیگر جعل IP هنگامی استفاده میشود که رشته های بسته به یک یا تعداد بیشتری از سایت های واسطه فرستاده میشود تا باعث شود که پاسخ ها به سمت قربانی ارسال شود . مثال بعدی در مورد حملات افزایش بسته است مانند SMURF , FRAGGLE
پورتهای منبع / مقصد – ابزار حمله طغیان بسته بر اساس TCP , UDP گاهی اوقات پورت منبع و یا مقصد را تغییر میدهند تا واکنشی توسط فیلتر کردن بسته را مشکل تر کنند .
مقادیر IP HEADER دیگر – در نهایت در ابزار حمله DOS مشاهده کرده ایم که برای مقدار دهی تصادفی مقادیر HEADER هر بسته در رشته بسته طراحی شده اند که تنها ادرس IP مقصد است که بین بسته ها ثابت میماند .
بسته ها با خواص ساختگی بسادگی در صوال شبکه تولید و ارسال میشود . پروتکل TCP/IP با اسانی مکانیزم های برای تضمین پیوستگی خواص بسته ها در هنگام تولید و یا ارسال نقطه به نقطه بسته ها ارائه نمیکند . معمولا یک نفوذگر فقط به داشتن اختیار کافی روی سیستم برای بکار گیری ابزار و حملاتی که قادر به تولید و ارسال بسته های با خواص تغییر یافته باشند نیاز دارد . ژوئن 1999 اغاز بکار گیری ابزار DOS با چندین منبع یا DDOS بود .
روش های حمله DOS
Fraggle or Smurf
حملات SMURF یکی از مخرب ترین حملات DOS هستند . در حمله SMURF حمله بر اساس ازدیاد بسته های ICMP نفوزگر یک تقاضای اکوی ICMP (PING) به یک ادرس ناحیه میفرستد . ادرس منبع تقاضای اکو ادرس IP قربانی است ( از ادرس IP قربانی بعنوان ادرس برگشت استفاده میشود ) بعد از دریافت تقاضای اکو تمام ماشین های ناحیه پاسخ های اکو را به ادرس IP قربانی میفرستد . در این حالت قربانی هنگام دریافت طغیان بسته های با اندازه بزرگ از تعداد زیادی ماشین از کار خواهد افتاد .
حمله SMURF برای ازکار انداختن منابع شبکه سیستم قربانی ازروش مصرف پهنای باند استفاده میکند . این حمله این عمل را با استفاده از تقویت پهنای باند نفوزگران انجام میدهد . اگر شبکه تقویت کننده 100 ماشین دارد سیگنال میتواند 100 برابر شود و بنابراین حمله کننده با پهنای باند پایین ( مانند مودم 56 کیلوبایتی ) میتواند سیستم قربانی را با پهنای باند بیشتری مانند اتصال T1 از کار بندازد .
حمله FRAGGLE تقویت بسته UDP در حقیقت شباهت هایی به حمله SMURF دارد . حمله FRAGGLE از بسته های اکوی UDF بر طبق همان روش بسته های اکوی ICMP در حمله SMURF استفاده میکند . FRAGGLE معمولا به ضریب تقویت کمتری نسبت به SMURF میرد و در بیشتر شبکه های اکوی UDP سرویسی با اهمیت کمتری نسبت به اکوی ICMP است بنابراین FRAGGLE عمومیت SMURF را ندارد .
SYN Flood
حمله طغیان SYN قبل از کشف حمله SMURF بعنوان مخرب ترین شیوه حمله DOS بشمار میرفت . این روش برای ایجاد حمله DOS بر اساس قحطی منابع عمل میکند .
در طول برقراری یک ارتباط معمولی TCP سرویس گیرنده یک تقاضای SYN به سرویس دهنده میفرستد سپس سرور با یک ACK/SYN با کلاینت پاسخ میدهد در نهایت کلاینت یک ACK نهایی را به سرور ارسال میکند و این ترتیب ارتباط برقرار میشود .
اما در حمله ظغیان SYN حمله کننده چند تقاضای SYN به سرور قربانی با ادرس های منبع جعلی بعنوان ادرس برگشت میفرستد . ادرس های جعلی روی شبکه وجود ندارد سرور قربانی سپس با ACK/SYN به ادرس های ناموجود پاسخ میدهد . از انجا که هیچ ادرسی این ACK/SYN را دریافت نمیکند سرور قربانی منتظر ACK از طرفکلاینت میماند . ACK هرگز نمیرسد و زمان انتظار سرور قربانی پس از مدتی پایان میرسد . اگر حمله کننده به اندازه کافی مرتب تقاضاهای SYN بفرستد منابع موجود سرور قربانی برای برقراری یک اتصال و انتظار برای این ACK های در حقیقت تقلبی مصرف خواهد شد . این منابع معمولا از نظر تعداد زیاد نیست . بنابر این تقاضاهای SYN جعلی حتی با تعداد نسبتا کم میتواند باعث وقوع یک حمله DOS شوند
حملات DOS
در نسخه اولیه BIND (Berkely Internet Name Domain) حمله کنندگان میتوانند بطور موثری حافظه نهان یک سرور DNS را که در حال استفاده از عملیات بازگشت برای جستجوی یک ناحیه بود که توسط این سرور سرویس داده نمیشود مسموم کنند . زمانی که حافظه نهان مسموم میشود یک کاربر قانونی به سمت شبکه مورد نظر حمله کننده با یک شبکه نا موجود هدایت میشود . این مشکل با نسخه های جدیدتر BIND برطرف شده است . در این روش حمله کننده اطلاعات اطلاعات DNS غلط که میتواند باعث تغییر مسیر درخواست ها شود ارسال میکند .
حملات DDOS
حملات DDOS (Distributed Denial Of Service ) حمله گسترده ای از dos میباشد در اصل DdOS حمله هماهنگ شده ای بر علیه سرویس موجود در اینترنت است . در این روش حملات Dos بطور غیر مستقیم از طریق تعداد زیادی از کامپیوتر های هک شده بر روی سیستم قربانی انجام میگیرد . سرویس ها و منابع مورد حمله قربانی اولیه و کامپیوتر های مورد استفاده در این حمله قربانی های ثانویه نامیده میشود حملات DDOS عموما در از کار انداختن سایت های کمپانی های عظیم از حملات DOS موثر تر هستند
در قسمت قبلی با حمله DOS اشنا شدیم . از انجا که حملات طغیان بسته های دیتا معمولا تلاش میکنند منابع پهنای باند و پردازش را خلع سلاح کنند ، میزان بسته ها و حجم دیتای متناظر با رشته های بسته ها عواملی مهمی در تغیین درجه موفقیت حمله هستند .
بعضی از ابزارهای حمله خواص بسته ها را در رشته بسته ها بدلایلی تغییر میدهند :
ادرس IP منبع – در بعضی موارد یک ادرس IP منبع نا صحیح روشی که جعل IP نامیده میشود برای پنهان کردن منبع واقعی یک رشته بسته استفاده میشود در موارد دیگر جعل IP هنگامی استفاده میشود که رشته های بسته به یک یا تعداد بیشتری از سایت های واسطه فرستاده میشود تا باعث شود که پاسخ ها به سمت قربانی ارسال شود . مثال بعدی در مورد حملات افزایش بسته است مانند SMURF , FRAGGLE
پورتهای منبع / مقصد – ابزار حمله طغیان بسته بر اساس TCP , UDP گاهی اوقات پورت منبع و یا مقصد را تغییر میدهند تا واکنشی توسط فیلتر کردن بسته را مشکل تر کنند .
مقادیر IP HEADER دیگر – در نهایت در ابزار حمله DOS مشاهده کرده ایم که برای مقدار دهی تصادفی مقادیر HEADER هر بسته در رشته بسته طراحی شده اند که تنها ادرس IP مقصد است که بین بسته ها ثابت میماند .
بسته ها با خواص ساختگی بسادگی در صوال شبکه تولید و ارسال میشود . پروتکل TCP/IP با اسانی مکانیزم های برای تضمین پیوستگی خواص بسته ها در هنگام تولید و یا ارسال نقطه به نقطه بسته ها ارائه نمیکند . معمولا یک نفوذگر فقط به داشتن اختیار کافی روی سیستم برای بکار گیری ابزار و حملاتی که قادر به تولید و ارسال بسته های با خواص تغییر یافته باشند نیاز دارد . ژوئن 1999 اغاز بکار گیری ابزار DOS با چندین منبع یا DDOS بود .
روش های حمله DOS
Fraggle or Smurf
حملات SMURF یکی از مخرب ترین حملات DOS هستند . در حمله SMURF حمله بر اساس ازدیاد بسته های ICMP نفوزگر یک تقاضای اکوی ICMP (PING) به یک ادرس ناحیه میفرستد . ادرس منبع تقاضای اکو ادرس IP قربانی است ( از ادرس IP قربانی بعنوان ادرس برگشت استفاده میشود ) بعد از دریافت تقاضای اکو تمام ماشین های ناحیه پاسخ های اکو را به ادرس IP قربانی میفرستد . در این حالت قربانی هنگام دریافت طغیان بسته های با اندازه بزرگ از تعداد زیادی ماشین از کار خواهد افتاد .
حمله SMURF برای ازکار انداختن منابع شبکه سیستم قربانی ازروش مصرف پهنای باند استفاده میکند . این حمله این عمل را با استفاده از تقویت پهنای باند نفوزگران انجام میدهد . اگر شبکه تقویت کننده 100 ماشین دارد سیگنال میتواند 100 برابر شود و بنابراین حمله کننده با پهنای باند پایین ( مانند مودم 56 کیلوبایتی ) میتواند سیستم قربانی را با پهنای باند بیشتری مانند اتصال T1 از کار بندازد .
حمله FRAGGLE تقویت بسته UDP در حقیقت شباهت هایی به حمله SMURF دارد . حمله FRAGGLE از بسته های اکوی UDF بر طبق همان روش بسته های اکوی ICMP در حمله SMURF استفاده میکند . FRAGGLE معمولا به ضریب تقویت کمتری نسبت به SMURF میرد و در بیشتر شبکه های اکوی UDP سرویسی با اهمیت کمتری نسبت به اکوی ICMP است بنابراین FRAGGLE عمومیت SMURF را ندارد .
SYN Flood
حمله طغیان SYN قبل از کشف حمله SMURF بعنوان مخرب ترین شیوه حمله DOS بشمار میرفت . این روش برای ایجاد حمله DOS بر اساس قحطی منابع عمل میکند .
در طول برقراری یک ارتباط معمولی TCP سرویس گیرنده یک تقاضای SYN به سرویس دهنده میفرستد سپس سرور با یک ACK/SYN با کلاینت پاسخ میدهد در نهایت کلاینت یک ACK نهایی را به سرور ارسال میکند و این ترتیب ارتباط برقرار میشود .
اما در حمله ظغیان SYN حمله کننده چند تقاضای SYN به سرور قربانی با ادرس های منبع جعلی بعنوان ادرس برگشت میفرستد . ادرس های جعلی روی شبکه وجود ندارد سرور قربانی سپس با ACK/SYN به ادرس های ناموجود پاسخ میدهد . از انجا که هیچ ادرسی این ACK/SYN را دریافت نمیکند سرور قربانی منتظر ACK از طرفکلاینت میماند . ACK هرگز نمیرسد و زمان انتظار سرور قربانی پس از مدتی پایان میرسد . اگر حمله کننده به اندازه کافی مرتب تقاضاهای SYN بفرستد منابع موجود سرور قربانی برای برقراری یک اتصال و انتظار برای این ACK های در حقیقت تقلبی مصرف خواهد شد . این منابع معمولا از نظر تعداد زیاد نیست . بنابر این تقاضاهای SYN جعلی حتی با تعداد نسبتا کم میتواند باعث وقوع یک حمله DOS شوند
حملات DOS
در نسخه اولیه BIND (Berkely Internet Name Domain) حمله کنندگان میتوانند بطور موثری حافظه نهان یک سرور DNS را که در حال استفاده از عملیات بازگشت برای جستجوی یک ناحیه بود که توسط این سرور سرویس داده نمیشود مسموم کنند . زمانی که حافظه نهان مسموم میشود یک کاربر قانونی به سمت شبکه مورد نظر حمله کننده با یک شبکه نا موجود هدایت میشود . این مشکل با نسخه های جدیدتر BIND برطرف شده است . در این روش حمله کننده اطلاعات اطلاعات DNS غلط که میتواند باعث تغییر مسیر درخواست ها شود ارسال میکند .
حملات DDOS
حملات DDOS (Distributed Denial Of Service ) حمله گسترده ای از dos میباشد در اصل DdOS حمله هماهنگ شده ای بر علیه سرویس موجود در اینترنت است . در این روش حملات Dos بطور غیر مستقیم از طریق تعداد زیادی از کامپیوتر های هک شده بر روی سیستم قربانی انجام میگیرد . سرویس ها و منابع مورد حمله قربانی اولیه و کامپیوتر های مورد استفاده در این حمله قربانی های ثانویه نامیده میشود حملات DDOS عموما در از کار انداختن سایت های کمپانی های عظیم از حملات DOS موثر تر هستند