PDA

توجه ! این یک نسخه آرشیو شده می باشد و در این حالت شما عکسی را مشاهده نمی کنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : نفوذ هكر ها را چگونه بشناسيم



Shαhαβ
08-06-2009, 12:01 AM
تشخيص نفوذ، عبارت است از پردازه تشخيص تلاش هايي كه براي دسترسي غيرمجاز به يك شبكه يا كاهش كارايي آن انجام مي شوند. در تشخيص نفوذ بايد ابتدا درك صحيحي از چگونگي انجام حملات پيدا كرد. سپس بنابر درك به دست آمده، روشي دو مرحله اي را براي متوقف كردن حملات برگزيد. اول اين كه مطمئن شويد كه الگوي عمومي فعاليت هاي خطرناك تشخيص داده شده است. دوم اين كه اطمينان حاصل كنيد كه با حوادث مشخصي كه در طبقه بندي مشترك حملات نمي گنجند، به سرعت رفتار مي شود.
به همين دليل است كه بيشتر سيستم هاي تشخيص نفوذ (IDS) به مكانيزم هايي براي به روزرساني نرم افزارشان متكي هستند كه براي جلوگيري از تهديدات شبكه به اندازه كافي سريع هستند. البته تشخيص نفوذ به تنهايي كافي نيست و بايد مسير حمله را تا هكر دنبال كرد تا بتوان به شيوه مناسبي با وي نيز برخورد كرد.

- انواع حملات شبكه اي با توجه به طريقه حمله
يك نفوذ به شبكه معمولا يك حمله قلمداد مي شود. حملات شبكه اي را مي توان بسته به چگونگي انجام آن به دو گروه اصلي تقسيم كرد. يك حمله شبكه اي را مي توان با هدف نفوذگر از حمله توصيف و مشخص كرد. اين اهداف معمولا از كار انداختن سرويس (DOS) يا Denial of Service يا دسترسي غيرمجاز به منابع شبكه است.

1- حملات از كار انداختن سرويس

در اين نوع حملات، هكر استفاده از سرويس ارائه شده توسط ارائه كننده خدمات براي كاربرانش را مختل مي كند. در اين حملات حجم بالايي از درخواست ارائه خدمات به سرور فرستاده مي شود تا امكان خدمات رساني را از آن بگيرد. در واقع سرور به پاسخگويي به درخواست هاي بي شمار هكر مشغول مي شود و از پاسخگويي به كاربران واقعي باز مي ماند.

2- حملات دسترسي به شبكه

در اين نوع از حملات، نفوذگر امكان دسترسي غيرمجاز به منابع شبكه را پيدا مي كند و از اين امكان براي انجام فعاليت هاي غيرمجاز و حتي غيرقانوني استفاده مي كند. براي مثال از شبكه به عنوان مبدا حملات DOS خود استفاده مي كند تا درصورت شناسايي مبدا، خود گرفتار نشود. دسترسي به شبكه را مي توان به دو گروه تقسيم كرد.

الف دسترسي به داده: در اين نوع دسترسي ، نفوذگر به داده موجود بر روي اجزاء شبكه دسترسي غيرمجاز پيدا مي كند. حمله كننده مي تواند يك كاربر داخلي يا يك فرد خارج از مجموعه باشد. داده هاي ممتاز و مهم معمولا تن ها در اختيار بعضي كاربران شبكه قرار مي گيرد و سايرين حق دسترسي به آن ها را ندارند. در واقع سايرين امتياز كافي را جهت دسترسي به اطلاعات محرمانه ندارند، اما مي توان با افزايش امتياز به شكل غير مجاز به اطلاعات محرمانه دسترسي پيدا كرد. اين روش به تعديل امتياز ياPrivilege Escalation مشهور است.

ب- دسترسي به سيستم: اين نوع حمله خطرناك تر و بدتر است و طي آن حمله كننده به منابع سيستم و دستگاه ها دسترسي پيدا مي كند. اين دسترسي مي تواند شامل اجراي برنامه ها روي سيستم و به كارگيري منابع آن براي اجراي دستورات حمله كننده باشد. همچنين حمله كننده مي تواند به تجهيزات شبكه مانند دوربين ها ، پرينتر ها و وسايل ذخيره سازي دسترسي پيدا كند. حملات اسب تروا ها، Brute Force و يا استفاده از ابزار هايي براي تشخيص نقاط ضعف يك نرم افزار نصب شده روي سيستم از جمله نمونه هاي قابل ذكر از اين نوع حملات هستند.

فعاليت مهمي كه معمولا پيش از حملات DoS و دسترسي به شبكه انجام مي شود، شناسايي يا
reconnaissance است. يك حمله كننده از اين فاز جهت شناسايي حفره هاي امنيتي و نقاط ضعف شبكه استفاده مي كند. اين كار مي تواند به كمك بعضي ابزار ها آماده انجام پذيرد كه به بررسي پورت هاي رايانه هاي موجود روي شبكه مي پردازند و آمادگي آن ها را براي انجام حملات مختلف روي آن ها بررسي مي كنند.

- انواع حملات شبكه اي با توجه به حمله كننده
حملات شبكه اي را مي توان با توجه به حمله كننده به چهار گروه تقسيم كرد :

1- حملات انجام شده توسط كاربر مورد اعتماد (داخلي): اين حمله يكي از مهم ترين و خطرناك ترين نوع حملات است، چون از يك طرف كاربر به منابع مختلف شبكه دسترسي دارد و از طرف ديگر سياست هاي امنيتي معمولا محدوديت هاي كافي درباره اين كاربران اعمال نمي كنند.

2- حملات انجام شده توسط افراد غير معتمد (خارجي): اين معمول ترين نوع حمله است كه يك كاربر خارجي كه مورد اعتماد نيست شبكه را مورد حمله قرار مي دهد. اين افراد معمولا سخت ترين راه را پيش رو دارند، زيرا بيشتر سياست هاي امنيتي درباره اين افراد تنظيم شده اند.

3- حملات انجام شده توسط هكر هاي بي تجربه: بسياري از ابزار هاي حمله و نفوذ روي اينترنت وجود دارند. در واقع بسياري از افراد مي توانند بدون تجربه خاصي و تنها با استفاده از ابزار هاي آماده براي شبكه ايجاد مشكل كنند.

4- حملات انجام شده توسط كاربران مجرب: هكر هاي با تجربه و حرفه اي در نوشتن انواع كد هاي خطرناك متبحرند. آن ها از شبكه و پروتكل هاي آن و همچنين از انواع سيستم هاي عامل آگاهي كامل دارند. معمولا اين افراد ابزار هايي توليد مي كنند كه توسط گروه اول به كار گرفته مي شوند. آن ها معمولا پيش از هر حمله، آگاهي كافي درباره قرباني خود كسب مي كنند.

- پردازه تشخيص نفوذ
تابه حال با انواع حملات آشنا شديم. حال بايد چگونگي شناسايي حملات و جلوگيري از آن ها را بشناسيم. امروزه دو روش اصلي براي تشخيص نفوذ به شبكه ها مورد استفاده قرار مي گيرد:

1 - IDSمبتني بر خلاف قاعده آماري

2 - IDS مبتني بر امضا يا تطبيق الگو

روش اول مبتني بر تعيين آستانه انواع فعاليت ها روي شبكه است، مثلا چند بار يك دستور مشخص توسط يك كاربر در يك تماس با يك ميزبان (host) اجرا مي شود. لذا در صورت بروز يك نفوذ امكان تشخيص آن به علت خلاف معمول بودن آن وجود دارد. اما بسياري از حملات به گونه اي هستند كه نمي توان به راحتي و با كمك اين روش آن ها را تشخيص داد.

در واقع روشي كه در بيشتر سيستم هاي موفق تشخيص نفوذ به كار گرفته مي شود،IDS مبتني بر امضا يا تطبيق الگو است. منظور از امضا مجموعه قواعدي است كه يك حمله در حال انجام را تشخيص مي دهد. دستگاهي كه قرار است نفوذ را تشخيص دهد با مجموعه اي از قواعد بارگذاري مي شود. هر امضا داراي اطلاعاتي است كه نشان مي دهد در داده هاي در حال عبور بايد به دنبال چه فعاليت هايي گشت. هرگاه ترافيك در حال عبور با الگوي موجود در امضا تطبيق كند، پيغام اخطار توليد مي شود و مدير شبكه را از وقوع يك نفوذ آگاه مي كند. در بسياري از موارد IDS علاوه بر آگاه كردن مدير شبكه، با كمك يك فايروال و انجام عمليات كنترل دسترسي با نفوذ بيشتر هكر مقابله مي كند. اما بهترين روش براي تشخيص نفوذ، استفاده از تركيبي از دو روش فوق است.
مترجم:بهروز كماليان