حملات محرومیت از سرویس DOS و DDOS - بخش دوم

 

 

در بخش قبل به بررسی حملات Dos پرداختیم. در این بخش نیز به بررسی حملات DDOS پرداخته و بخشی از مهمترین راهکارهای مقابله را از نظرتان می گذرانیم.

2-  بررسي انواع روش‌هاي حمله DDOS

حملات DDoS (Distributed Denial of Service) حمله گسترده تریاز DoS  است. در اصل DDos  حمله هماهنگ شده ای برعلیه سرویس های موجود در اینترنت است. در این روش حملات DoS بطور غیرمستقیم از طریق تعداد زیادی از کامپیوترهای هک شده بر روی کامپیوتر قربانی انجام می گیرد. سرویس ها و منابع مورد حمله ، «قربانی های اولیه» و کامپیوترهای مورد استفاده در این حمله «قربانی های ثانویه» نامیده می شوند. حملات DDoS  عموماً در از کار انداختن سایت های کمپانی های عظیم از حملات DoS مؤثرتر هستند.

این نوع حمله طبیعت توزیعی اینترنت را با میزبان هایی که دارای ماهیت جداگانه اطراف دنیا میباشند را به هم وصل مینماید تا جریان یکسوی حجیمی از بسته ها در برابر یک یا چند قربانی ایجاد نماید .برای اجرای جریان یکسوی DDoS هکر در ابتدا کنترل تعداد بسیار زیادی از دستگاه های قربانی را بدست خواهد گرفت. که زامبی نامیده میشوند. سیستم های زامبی در هر جای اینترنت واقع شده اند و دارای یک سری آسیب پذیری های ساده میباشند که هکر میتواند به سرعت برای بدست آوردن کنترل آن سیستم استفاده نماید. تا کنون در این نوع حملات، از زامبی هایی که در سرویس دهندگان آسیب پذیر دانشگاه ها، سیستم های شرکت های بزرگ ، دستگاه های سرویس دهنده و حتی سیستم های کاربران خانگی که به Loop Digital-Subscriber یا سرویس های کابل مداوم متصل، وجود داشته اند استفاده شده است. هکر نوارهای بزرگی از اینترنت را پویش خواهد نمود و به دنبال دستگاههای آسیب پذیر خواهد بود تا بتواند به راحتی برنامه های مورد نیاز را روی آنها کار گزاری نماید. هکر ها در این راه گروههایی از هزاران و میلیونها زامبی را ایجاد می کنند.

در زیر چند مورد از حملات گسترده عدم سرویس دهی DDoS معرفی و نحوه عملکرد این حملات را توضیح داده ایم.

- حملات Trinoo

Trinoo  در اصل از برنامه های  Master/Slave است که با یکدیگر برای یک حمله ( طغیان  UDP)بر علیه کامپیوتر قربانی هماهنگ می شوند. در یک روند عادی، مراحل زیر برای برقراری یک شبکه Trinoo DDoS  واقع می شوند:

 مرحله۱:  حمله کننده، با استفاده از یک میزبان هک شده، لیستی از سیستم هایی را که می توانند هک شوند، گردآوری می کند. بیشتر این پروسه بصورت خودکار از طریق میزبان هک شده انجام می گیرد. این میزبان اطلاعاتی شامل نحوه یافتن سایر میزبان ها برای هک در خود نگهداری می کند.

مرحله۲: به محض اینکه این لیست آماده شد، اسکریپت ها برای هک کردن و تبدیل آنها به اربابان (Masters) یا شیاطین  (Daemons) اجراء می شوند. یک ارباب می تواند چند شیطان را کنترل کند. شیاطین میزبانان هک شده ای هستند که طغیان  UDP اصلی را روی ماشین  قربانی انجام می دهند.

مرحله۳: حمله DDoS  هنگامی که حمله کننده فرمانی به میزبانان Master ارسال می کند، انجام می گیرد. این اربابان به هر شیطانی دستور می دهند که حمله  DoS را علیه آدرس  IP مشخص شده در فرمان آغاز کنند و با انجام تعداد زیادی حمله DoS  یک حمله  DDoS شکل می گیرد.

تصویر 10: حمله DDOS

- حملات TFN/TFN2K

TFN (Tribal Flood Network) یا شبکه طغیان قبیله ای، مانند Trinoo ، در اصل یک حمله  Master/Slave است که در آن برای طغیان SYN  علیه سیستم قربانی هماهنگی صورت می گیرد. شیاطین TFN  قادر به انجام حملات بسیار متنوع تری شامل طغیان ICMP ، طغیان  SYN و حملات Smurf هستند، بنابراین  TFN از حمله Trinoo  پیچیده تر است.

TFN2K  نسبت به ابزار  TFN اصلی چندین برتری و پیشرفت دارد. حملات  TFN2K با استفاده از جعل آدرس های  IP اجرا می شوند که باعث کشف مشکل تر منبع حمله می شود. حملات TFN2K فقط طغیان ساده مانند  TFN نیستند. آنها همچنین شامل حملاتی می شوند که از شکاف های امنیتی سیستم عامل ها برای بسته های نامعتبر و ناقص سوءاستفاده می کنند تا به این ترتیب باعث از کار افتادن سیستم های قربانی شوند. حمله کنندگان TFN2K دیگر نیازی به اجرای فرمان ها با وارد شدن به ماشین های مخدوم (Client) به جای Master در  TFN ندارند و می توانند این فرمان ها را از راه دور اجراء کنند.  ارتباط بین  Clientها و Daemon ها دیگر به پاسخ های اکوی ICMP محدود نمی شود و می تواند روی واسط های مختلفی مانند TCP و UDP صورت گیرد. بنابراین TFN2K خطرناک تر و همچنین  برای کشف کردن مشکل تر است.

- حملات Stacheldraht

حمله  Stacheldraht  بسیار شبیه به  Trinoo و TFN است، اما Stacheldraht اجازه می دهد که ارتباط بین حمله کننده و Master ها (که در این حمله Handler  نامیده می شوند) رمزنگاری شود؛ عامل ها می توانند کد خود را بصورت خودکار ارتقاء دهند، می توانند اقدام به انواع مختلفی از حملات مانند طغیان های ICMP ، طغیان های UDP  و طغیان های  SYN کنند.

 

- راه های مقابله با DOS , DDOS  

دفاع عليه حملات  Smurf

اگر در معرض حمله Smurf قرار گرفته باشيد، كار چنداني از شما ساخته نيست. هرچند كه اين امكان وجود دارد كه بسته هاي مهاجم را در روتر خارجي مسدود كنيد، اما پهناي باند منشاء آن روتر مسدود خواهد شد. براي اينكه فراهم كننده شبكه بالاسري شما، حملات را در مبداء حمله مسدود كند، به هماهنگي نياز است.

بمنظور جلوگيري از آغاز حمله از سايت خودتان، روتر خارجي را طوري پيكربندي كنيد كه تمام بسته هاي خارج شونده را كه آدرس مبداء متناقض با زيرشبكه شما دارند، مسدود كند. اگر بسته جعل شده نتواند خارج شود، نمي تواند آسيب چنداني برساند.

براي جلوگيري از قرار گرفتن بعنوان يك واسطه و شركت در حمله DoS شخص ديگر، روتر خود را طوري پيكربندي كنيد كه بسته هايي را كه مقصدشان تمام آدرس هاي شبكه شماست، مسدود كند. يعني، به بسته هاي ICMP منتشر شده به شبكه خود، اجازه عبور از روتر ندهيد. اين عمل به شما اجازه مي دهد كه توانايي انجام ping به تمام سيستم هاي موجود در شبكه خود را حفظ كنيد، در حاليكه اجازه اين عمل را از يك سيستم بيروني بگيريد. اگر واقعاً نگران هستيد، مي توانيد سيستم هاي ميزبان خود را طوري پيكربندي كنيد كه از انتشارهاي ICMP كاملاً جلوگيري كنند.

- دفاع عليه حملات طغيان SYN

بلاك هاي كوچك

بجاي تخصيص يك شيء از نوع ارتباط كامل (كه باعث اشغال فضاي زياد و نهايتاً اشكال در حافظه مي شود)، يك ركورد كوچك تخصيص دهيد. پياده سازي هاي جديدتر براي SYN هاي ورودي ، تنها ۱۶بايت تخصيص مي دهد.

كوكي هاي SYN

يك دفاع جديد عليه طغيان SYN «كوكي هاي SYN» است. در كوكي هاي SYN، هر طرف ارتباط، شماره توالي (Sequence Number) خودش را دارد. در پاسخ به يك SYN، سيستم مورد حمله واقع شده، يك شماره توالي مخصوص از ارتباط ايجاد مي كند كه يك «كوكي» است و سپس همه چيز را فراموش مي كند يا بعبارتي از حافظه خارج مي كند (كوكي بعنوان مشخص كننده يكتاي يك تبادل يا مذاكره استفاده مي شود). كوكي در مورد ارتباط اطلاعات لازم را در بردارد، بنابراين بعداً مي تواند هنگامي كه بسته ها از يك ارتباط سالم مي آيند، مجدداً اطلاعات فراموش شده در مورد ارتباط را ايجاد كند.

مقابله با حملات  DDoS

چگونه مي توانيد از سرورهاي خود در مقابل يورش ديتاهاي ارسالي از طرف كامپيوترهاي آلوده موجود در اينترنت مراقبت كنيد تا شبكه شركت شما مختل نشود؟ در اينجا به چند روش بطور مختصر اشاره مي شود:

- سياه چاله

اين روش تمام ترافيك را مسدود مي كند و به سمت سياه چاله! يعني جايي كه بسته ها دور ريخته مي شود هدايت مي كند. اشكال در اين است كه تمام ترافيك – چه خوب و چه بد- دور ريخته مي شود و در حقيقت شبكه مورد نظر بصورت يك سيستم off-line قابل استفاده خواهد بود. در روش هاي اينچنين حتي اجازه دسترسي به كاربران قانوني نيز داده نمي شود.

- مسيرياب ها و فايروال ها

روتر ها مي توانند طوري پيكربندي شوند كه از حملات ساده ping با فيلتركردن پروتكل هاي غيرضروري جلوگيري كنند و مي توانند آدرس هاي IP نامعتبر را نيز متوقف كنند. بهرحال، روترها معمولاً در مقابل حمله جعل شده پيچيده تر و حملات در سطح Application با استفاده از آدرس هاي IP معتبر، بي تأثير هستند.

- سيستم هاي كشف نفوذ

روش هاي سيستم هاي كشف نفوذ (intrusion detection systems) توانايي هايي ايجاد مي كند كه باعث تشخيص استفاده از پروتكل هاي معتبر بعنوان ابزار حمله مي شود. اين سيستمها مي توانند بهمراه فايروال ها بكار روند تا بتوانند بصورت خودكار در مواقع لزوم ترافيك را مسدود كنند. در بعضي مواقع سيستم تشخيص نفوذ نياز به تنظيم توسط افراد خبره امنيتي دارد و البته گاهي در تشخيص نفوذ دچار اشتباه مي شود.

- سرورها

پيكربندي مناسب application هاي سرويس دهنده در به حداقل رساندن تأثير حمله DDoS  تأثير بسيار مهمي دارند. يك سرپرست شبكه مي تواند به وضوح مشخص كند كه يك application  از چه منابعي مي تواند استفاده كند و چگونه به تقاضاهاي كلاينت ها پاسخ دهد. سرورهاي بهينه سازي شده، در تركيب با ابزار کاهش دهنده، مي توانند هنوز شانس ادامه ارائه سرويس را در هنگامي كه مورد حمله DDoS قرار مي گيرند، داشته باشند.

- ابزار کاهش DDoS 

چندين شركت ابزارهايي توليد مي كنند كه براي ضدعفوني كردن ترافيك يا تخفيف حملات DDoS استفاده مي شوند. اين ابزارها قبلاً بيشتر براي متعادل كردن بار شبكه يا فايروالينگ استفاده مي شد. اين ابزارها سطوح مختلفي از ميزان تأثير دارند. هيچكدام كامل نيستند. بعضي ترافيك قانوني را نيز متوقف مي كنند و در بعضي ترافيك غيرقانوني نيز اجازه ورود به سرور پيدا مي كنند. زيرساخت سرور هنوز بايد مقاوم تر شود تا در تشخيص ترافيك درست از نادرست بهتر عمل كند.

- پهناي باند زياد

خريد يا تهيه پهناي باند زياد يا شبكه هاي افزونه براي سروكار داشتن با مواقعي كه ترافيك شدت مي يابد، مي تواند براي مقابله با DDoS مؤثر باشد.

عموماً، شركت ها از قبل نمي دانند كه يك حمله DDoS به وقوع خواهد پيوست. طبيعت يك حمله گاهي در ميان كار تغيير مي كند و به اين نياز دارد كه شركت به سرعت و به طور پيوسته در طي چند ساعت يا روز، واكنش نشان دهد. از آنجا كه تأثير اوليه بيشتر حملات، مصرف كردن پهناي باند شبكه شماست، يك ارائه كننده سرويس هاي ميزبان روي اينترنت كه بدرستي مديريت و تجهيز شده باشد، هم پهناي باند مناسب و هم ابزار لازم را در اختيار دارد تا بتواند تأثيرات يك حمله را کاهش دهد.

ارسال نظر

نام
ایمیل (منتشر نمی‌شود) (لازم)
وبسایت
:) :( ;) :D ;)) :X :? :P :* =(( :O @};- :B /:) :S
نظر خصوصی
مشخصات شما ذخیره شود ؟ [حذف مشخصات] [شکلک ها]
کد امنیتی