حمله عدم سرویس دهی (DOS)

Images
Images
Images
Images

حمله عدم سرویس دهی (DOS)

  • مقالات
  • 2,900 بازدید

حمله عدم سرویس‌دهی (Denial-of-service attack) تلاشی است برای عدم دسترسی منبعی رایانه‌ای برای کاربران.

عدم سرویس دهی ۱ و عدم سرویس دهی توزیع شده، تهدیدات اصلی به قابلیت دستیابی سرویس‌های اینترنتی هستند. امکان به همراه ساختار وسیع و توزیع شده IP جعل آدرس منبع در لایهٔ اینترنت امکان پنهان سازی این حمله‌ها را فراهم کرده و تشخیص آنها را مشکل می‌کنند. یک حملهٔ عدم سرویس دهی توزیع شده ۲ سیل گونه می‌تواند در زمانی کوتاه تمامی منابع محاسباتی و ارتباطی سیستم هدف خود را با استفاده از ترافیک مجاز شبکه مصرف کند. گوناگونی سازوکارهای حمله عدم سرویس دهی و دفاع در برابر آن به حدی است که در سال‌های اخیر چندین طبقه بندی در راستای مرتب سازی آنها ارائه شده‌است. در این تحقیق به انواع حمله‌های عدم سرویس دهی ۳، طبقه بندی آنها، معماری آنها و روش‌های مقابله با آنها پرداخته می‌شود و همچنین مکانیسم کنترل توده‌های تراکم برای مقابله با این حمله‌ها را مطرح می‌شود.

مقدمه

ره آورد مهم شبکه‌های رایانه‌ای افزایش قابلیت دستیابی از راه دور و به اشتراک گذاشتن منابع است. با توسعهٔ استفاده از این شبکه‌ها و گسترش کاربرد آنها جابجایی اطلاعات حساس تجاری، نظامی، دولتی و... مسئلهٔ حمله‌های کامپیوتری و نفوذ به این سیستم‌ها اهمیت ویژه‌ای یافت. از اینرو سیستم‌های نظارت و رسیدگی به رویدادهای سیستم، به عنوان مکانیزمی در جهت کشف نفوذ به سیستم ۱ Denial Of Service ۲ Distribiuted Denial Of Service Attack ۳ Denial Of Service Attack‌های حساس ارائه شدند. با افزایش سرعت، پیچیدگی و تعداد کامپیوترها، نیاز به خودکار کردن سیستم رسیدگی به علائم و نشانه‌های نفوذ و همچنین پیوسته نمودن این عملیات بیش از پیش احساس می‌شد. با توجه به آنکه موضوع اصلی این تحقیق در ارتباط با امنیت کامپیوتری است، در اینجا به ارائهٔ مفاهیم و تعاریف پایه‌ای می‌پردازیم. تهدید یا حمله: یک تجاوز بالقوه به امنیت است. فعالیت‌هایی که می‌توانند باعث بروز این تجاوز شوند، حمله یا تهدید نامیده می‌شوند. افرادی که مبادرت به چنین فعالیت‌هایی می‌کنند و یا باعث اجرای آنها می‌شوند نفوذگر یا مهاجم نام دارند. یک نقطهٔ آسیب پذیر ۴، ضعفی است که یک سیستم، جزیی از سیستم، مانند یک ارتباط شبکه و یا مشخصه‌ای از سیستم باشد.

حملهٔ عدم سرویس دهی و عدم سرویس دهی توزیع شده

نفوذگران با ایجاد ترافیک بی مورد و بی استفاده باعث می‌شوند که حجم زیادی از منابع سرویس دهنده و پهنای باند شبکه مصرف یا به نوعی درگیر رسیدگی به این تقاضاهای بی مورد شود و این تقاضا تا جایی که دستگاه سرویس دهنده را به زانو در آورد ادامه پیدا می‌کند. نیت اولیه و تأثیر حمله‌های عدم سرویس دهی جلوگیری از استفاده صحیح از منابع کامپیوتری و شبکه‌ای و از بین بردن این منابع است. حمله‌های عدم سرویس دهی توزیع شده نوعی از حمله‌های هوشمند و زیرکانه عدم سرویس دهی است که: هزینه‌ای برای نفوذگر در پی نخواهد داشت، هویت نفوذگر پنهان می‌ماند، احتمال موفقیت آن بسیار بالا است، می‌تواند طولانی مدت باشد، مبارزه با آن بسیار مشکل است. ۴ vulnerable

معماری حمله‌های عدم سرویس دهی توزیع شده

دو نوع معماری برا ی حمله‌های عدم سرویس دهی توزیع شده در نظر گرفته شده‌است: ۱ مدل مأمور‐ رسیدگی کننده ‐۳ این مدل شامل کلاینت‌ها، رسیدگی کننده‌ها ۲ و مأموران ۳ است. کلاینت ۴ سیستمی است که حمله کنندگان با سیستم حمله‌های عدم سرویس دهی توزیع شده ارتباط برقرار می‌کند. رسیدگی کننده‌ها بسته‌های نرم افزاری هستند که سرتاسر اینترنتی که کلاینت حمله کنندگان برای ارتباط با مأموران استفاده می‌کنند قرار دارند. نرم افزار مأمور روی سیستم‌های توافق شده‌ای موجود است که سرانجام حمله را انجام می‌دهد. صاحبان و کاربران مأموران از اینکه سیستم آنها در حمله‌های عدم سرویس دهی توزیع شده شرکت می‌کنند، اطلاعی ندارند. ۲ مدل مبتنی بر گپ آنی اینترنتی ‐۳ معماری این مدل نیز مانند مدل قبل است بااین تفاوت که در اینجا بجای استفاده از برنامه نصب شده روی سرور شبکه، کانال ارتباطی مدل مبتنی بر گپ آنی اینترنتی برای ارتباط کلاینت و مأمور استفاده می‌شود. این کانال با مزایای اضافه مانند استفاده از پورت قانونی مدل مبتنی بر گپ آنی اینترنتی برای فرستادن دستورات به مأمور، نفوذگر را تأمین می‌کند. این کار باعث دشوار شدن پیگیری حمله‌های عدم سرویس دهی توزیع شده می‌شود.

طبقه بندی حمله‌های عدم سرویس دهی توزیع شده

حمله‌های عدم سرویس دهی توزیع شده تنوع زیادی دارند در اینجا طبقه بندی اصلی آنها مطرح می‌شود. ۱ حمله‌های پهنای باند ‐۴ ۱ حمله‌های طغیان ‐۱‐۴ در این حمله برای متراکم کردن پهنای شبکهٔ سیستم سیستم‌های زامبی درگیر فرستادن حجم، IP قربانی با ترافیک زیادی از ترافیک به سیسیتم قربانی می‌شوند. سیستم قربانی کم ۱ Agent-Handler model ۲ ۳ Agent ۴ Client (where the attacker communicates with the rest of the DDoS attack system) کم از کار می‌افتد ۵، سقوط می‌کند ۶ یا از پهنای شبکهٔ اشباع شده رنج می‌برد و مانع دسترسی کاربران قانونی می‌شود. حمله استفاده می‌کنند. ICMP و هم از بسته‌های ۸ UDP‌ها هم از ۷ کنند. ۲ حمله‌های توسعه ‐۱‐۴ در این حمله نفوذگر یا قربانی دوم پیام‌ها را به صورت پخشی ۹می فرستد تا تمام سیستم‌های آن زیرشبکه برای پخشی IP فرستادن پاسخ به قربانی بکار روند. در این حمله آدرس برای تقویت و برگرداندن ترافیک حمله و در نتیجه کاهش پهنای باند سیستم‌های قربانی است. اگر نفوذگر خود بسته‌ها را مستقیمًا بفرستد دیگر نیازی به نفوذ در سیستم قربانی دوم یا اجرای نرم افزار مأمور ندارد. حمله‌های اسمارف ۱۰ و فراگل ۱۱ از این نوع اند. ۲ حمله‌های تهی سازی منابع ۱۲ ‐۴ در این حمله نفوذگر بسته‌هایی را می‌فرستد که از ارتباطات پروتکل شبکه‌ای یا بسته‌هایی که ناهنجار هستند ۱۳ سوءاستفاده می‌کنند در نتیجه منابع شبکه برای کاربران قانونی مسدود می‌شوند. ۱ حمله‌های بهره وری از پروتکل ‐۲‐۴ از این PUSH+ACK و حملهٔ SYN حملهٔ طغیان و TCP SYN نوع اند که به ترتیب از پروتکل‌های ۱۴ سوءاستفاده می‌کنند. PUSH+ACK ۲ حمله‌های بسته‌های ناهنجار ‐۲‐۴ پاسخ ۵ slow down ۶ crash ۷ User Datagram Protocol ۸ Internet Control Message Protocol ۹ Broadcast IP address ۱۰ Smurf ۱۱ fraggle ۱۲ Resource Depletion Attacks ۱۳ Malformed Packet attacks ۱۴ Transfer Control Protocol Synchronize در این حمله نفوذگر قربانی دوم را راهنمایی می‌کند تا بسته‌هایی با هدر نادرست به سیستم قربانی برای سقوط او بفرستد. حداقل دو نوع از این حمله وجود دارد. در حملهٔ آدرس بسته حاوی آدرس مبدأ و مقصد یکسان است و می‌تواند IP۱ روی سیستم عامل سیستم قربان تمرکز کند و باعث سقوط آن بسته‌های ناهنجار می، IP شود. در حملهٔ اختیارهای بستهٔ ۲می‌توانند فیلدهای اختیاری در بسته را به صورت تصادفی درآورند و تمام بیت‌های سرویس را یک کنند به طوری که سیستم قربانی برای تحلیل ترافیک باید زمان پردازش اضافی را صرف کند. اگر این حمله تکثیر شود، می‌تواند سیستم قربانی را از پا درآورد. ۵‐

روش‌های مقابله با حمله‌های عدم سرویس دهی

(عدم سرویس دهی توزیع شده) در اینجا راه‌های مقابله با چند نوع حملهٔ عدم سرویس دهی یا عدم سرویس دهی توزیع شده آمده‌است: ۱ روش مقابله با توقف سرویس دهنده‌ها ‐۵ به عنوان مسئول شبکه برای پیشگیری از حمله‌هایی که از درون تدارک دیده می‌شود بایستی به موارد زیر دقت داشته باشید: • همیشه بایستی با شرکت طراح سیستم عامل خود در ارتباط باشید و نرم افزارهایی را که بنام برنامه اصلاح کننده ۳ عرضه عرضه می‌شوند، جهت رفع نقاط ضعف سیستم بکار بگیرید (این شکاف‌ها حتی به یک آماتور قدرت ضربه زدن به سیستم را می‌دهد). • سطوح دسترسی به سیستم را برای کاربران مختلف، بدقت تنظیم کنید. هیچ کاربری بجز مسئول شبکه نیازمند ورود به سیستم در عالیترین سطح ۴ نیست. • بطور منظم و متوالی تنظیمات سیسیتم را بررسی کرده و آنها را یادداشت نمایید. از نزم افزارهای کشف تغییر در.(Tripwire تنظیمات سیستم استفاده کنید(مثل نرم افزار ۲ روش پیشگیری از اشباع منابع سیستمی ‐۵ ۱ IP address attack ۲ IP packet options attack ۳ Patch ۴ super-user (admin) مسئول شبکه برای پیشگیری از اشباع منابع سیستمی باید نکات زیر را مد نظر قرار بدهد: • برای هر کاربر حداقل منابع و امکانات مورد نیاز را تعریف کنید و هیچگونه سخاوتی به خرج ندهید. • سرویس دهنده خود را با بالاترین حجم منابع سیستمی مانند حافظهٔ رم (حداقل ۱ گیگابایت)، پردازنده‌های بسیار سریع و پهنای باند بالای کانال مجهز کنید تا قبل از آنکه یک حمله منجر به فروپاشی و سقوط یک سرویس دهنده شود بتوانید آن را کشف کنید. • از نرم افزارهای (سیستم‌های کشف مزاحم) استفاده کنید.. SYN ۳ مقابله جدی با حمله طغیان ‐۵ بهترین و در عین حال پرهزینه ترین راه مقابله با حملهٔ طغیان در اختیار داشتن پهنای باند کافی و کانالهای متعدد برای SYN سرویس دهنده هاست. • سرویس دهنده‌ها باید منابع حافظه بسیار زیاد و سخاوتمندانه‌ای در اختیار داشته باشند. • اگر یک سرویس دهنده حساس و کلیدی در شبکه وجود دارد که باید دائمًا فعال باشد، لازم است دارای یک ماشین پشتیبان در نقطه دیگری از اینترنت باشد • برای دفاع در مقابل اشباع شدن صف ارتباطات نیمه باز، سازندگان سیستمهای عامل روشهای متفاوتی را در پیش گرفته‌اند. برخی از آنها اندازه صف مورد استفاده را تا حد نهایت بزرگ در نظر گرفته را TCP اند و برخی دیگر زمان انتظار برای تکمیل این ارتباط کوتاهتر فرض کرده‌اند. ۴ مقابله با حمله‌های عدم سرویس دهی توزیع شده ‐۵ هر چند مقابله با حمله‌های عدم سرویس دهی توزیع شده دشوار به نظر می‌رسد ولی لازم است مسئولین شبکه سیاست‌های امنیتی زیر را به اجرا بگذارند: • چون هیچ مسئول شبکه‌ای تمایل ندارد ماشین‌های شبکه تحت مدیریت او در اختیار یک بدخواه قرار بگیرد لذا بایستی بطور مداوم ماشین‌های شبکه آزمایش شوند. • مسئول شبکه باید در جریان آخرین اخبار و گزارش‌ها در مورد انتشار نرم افزارهای زامبی قرار بگیرد چون ممکن است گروهی قبل از عملیاتی شدن یک نرم افزار زامبی آنرا کشف کند. • از نرم افزارهای ضد کلاه برداری دو طرفه بر روی مسیریاب‌های با IP خود بهره بگیرید. این نرم افزارها اجازه عبور بسته‌های آدرسهای جعلی را نمی‌دهند. بدین ترتیب هیچ بسته‌ای حق ندارد از درون یک شبکه که شناسهٔ شبکهٔ ۵ آن مشخص است است با آدرس جعلی بیرون برود. ۵ NetID • اگر شک دارید که آیا ماشین‌های شبکه شما آلوده به نرم افزارهای زامبی هستند می‌توانید با سایت‌هایی که بطور رایگان خدمات مشاوره‌ای ارائه می‌دهند و ابزارهای مناسبی در اختیار دارند تماس بگیرید. یکی از این سایت‌های بسیار ارزشمند و مفید، در http://www.nipc.gov/: آدرس روبرو در دسترس می‌باشد ۶‐ نتیجه گیری مقابله با حمله‌های عدم دسترسی تنها یک بحث عملی نیست. محدودکردن میزان تقاضا، فیلترکردن بسته‌ها و دستکاری پارامترهای نرم افزاری در بعضی موارد می‌تواند به محدودکردن اثر حملات حمله‌های عدم دسترسی کمک کند، اما بشرطی که حمله‌های عدم دسترسی در حال مصرف کردن تمام منابع موجود نباشد. در بسیاری موارد، تنها می‌توان یک دفاع واکنشی داشت و این در صورتی است که منبع یا منابع حمله مشخص شوند. در طول حمله و ظهور روش‌های حمله توزیع شده IP استفاده از جعل آدرس و ابزارهای موجود یک چالش همیشگی را در مقابل کسانی که باید به حمله‌های عدم دسترسی پاسخ دهند، قرار داده‌است.

پست های تصادفی

طوفان فکری با تیم مشاوران آکو

درخواست مشاوره
مشاوره با آکو