حمله عدم سرویسدهی (Denial-of-service attack) تلاشی است برای عدم دسترسی منبعی رایانهای برای کاربران.
عدم سرویس دهی ۱ و عدم سرویس دهی توزیع شده، تهدیدات اصلی به قابلیت دستیابی سرویسهای اینترنتی هستند. امکان به همراه ساختار وسیع و توزیع شده IP جعل آدرس منبع در لایهٔ اینترنت امکان پنهان سازی این حملهها را فراهم کرده و تشخیص آنها را مشکل میکنند. یک حملهٔ عدم سرویس دهی توزیع شده ۲ سیل گونه میتواند در زمانی کوتاه تمامی منابع محاسباتی و ارتباطی سیستم هدف خود را با استفاده از ترافیک مجاز شبکه مصرف کند. گوناگونی سازوکارهای حمله عدم سرویس دهی و دفاع در برابر آن به حدی است که در سالهای اخیر چندین طبقه بندی در راستای مرتب سازی آنها ارائه شدهاست. در این تحقیق به انواع حملههای عدم سرویس دهی ۳، طبقه بندی آنها، معماری آنها و روشهای مقابله با آنها پرداخته میشود و همچنین مکانیسم کنترل تودههای تراکم برای مقابله با این حملهها را مطرح میشود.
مقدمه
ره آورد مهم شبکههای رایانهای افزایش قابلیت دستیابی از راه دور و به اشتراک گذاشتن منابع است. با توسعهٔ استفاده از این شبکهها و گسترش کاربرد آنها جابجایی اطلاعات حساس تجاری، نظامی، دولتی و... مسئلهٔ حملههای کامپیوتری و نفوذ به این سیستمها اهمیت ویژهای یافت. از اینرو سیستمهای نظارت و رسیدگی به رویدادهای سیستم، به عنوان مکانیزمی در جهت کشف نفوذ به سیستم ۱ Denial Of Service ۲ Distribiuted Denial Of Service Attack ۳ Denial Of Service Attackهای حساس ارائه شدند. با افزایش سرعت، پیچیدگی و تعداد کامپیوترها، نیاز به خودکار کردن سیستم رسیدگی به علائم و نشانههای نفوذ و همچنین پیوسته نمودن این عملیات بیش از پیش احساس میشد. با توجه به آنکه موضوع اصلی این تحقیق در ارتباط با امنیت کامپیوتری است، در اینجا به ارائهٔ مفاهیم و تعاریف پایهای میپردازیم. تهدید یا حمله: یک تجاوز بالقوه به امنیت است. فعالیتهایی که میتوانند باعث بروز این تجاوز شوند، حمله یا تهدید نامیده میشوند. افرادی که مبادرت به چنین فعالیتهایی میکنند و یا باعث اجرای آنها میشوند نفوذگر یا مهاجم نام دارند. یک نقطهٔ آسیب پذیر ۴، ضعفی است که یک سیستم، جزیی از سیستم، مانند یک ارتباط شبکه و یا مشخصهای از سیستم باشد.
حملهٔ عدم سرویس دهی و عدم سرویس دهی توزیع شده
نفوذگران با ایجاد ترافیک بی مورد و بی استفاده باعث میشوند که حجم زیادی از منابع سرویس دهنده و پهنای باند شبکه مصرف یا به نوعی درگیر رسیدگی به این تقاضاهای بی مورد شود و این تقاضا تا جایی که دستگاه سرویس دهنده را به زانو در آورد ادامه پیدا میکند. نیت اولیه و تأثیر حملههای عدم سرویس دهی جلوگیری از استفاده صحیح از منابع کامپیوتری و شبکهای و از بین بردن این منابع است. حملههای عدم سرویس دهی توزیع شده نوعی از حملههای هوشمند و زیرکانه عدم سرویس دهی است که: هزینهای برای نفوذگر در پی نخواهد داشت، هویت نفوذگر پنهان میماند، احتمال موفقیت آن بسیار بالا است، میتواند طولانی مدت باشد، مبارزه با آن بسیار مشکل است. ۴ vulnerable
معماری حملههای عدم سرویس دهی توزیع شده
دو نوع معماری برا ی حملههای عدم سرویس دهی توزیع شده در نظر گرفته شدهاست: ۱ مدل مأمور‐ رسیدگی کننده ‐۳ این مدل شامل کلاینتها، رسیدگی کنندهها ۲ و مأموران ۳ است. کلاینت ۴ سیستمی است که حمله کنندگان با سیستم حملههای عدم سرویس دهی توزیع شده ارتباط برقرار میکند. رسیدگی کنندهها بستههای نرم افزاری هستند که سرتاسر اینترنتی که کلاینت حمله کنندگان برای ارتباط با مأموران استفاده میکنند قرار دارند. نرم افزار مأمور روی سیستمهای توافق شدهای موجود است که سرانجام حمله را انجام میدهد. صاحبان و کاربران مأموران از اینکه سیستم آنها در حملههای عدم سرویس دهی توزیع شده شرکت میکنند، اطلاعی ندارند. ۲ مدل مبتنی بر گپ آنی اینترنتی ‐۳ معماری این مدل نیز مانند مدل قبل است بااین تفاوت که در اینجا بجای استفاده از برنامه نصب شده روی سرور شبکه، کانال ارتباطی مدل مبتنی بر گپ آنی اینترنتی برای ارتباط کلاینت و مأمور استفاده میشود. این کانال با مزایای اضافه مانند استفاده از پورت قانونی مدل مبتنی بر گپ آنی اینترنتی برای فرستادن دستورات به مأمور، نفوذگر را تأمین میکند. این کار باعث دشوار شدن پیگیری حملههای عدم سرویس دهی توزیع شده میشود.
طبقه بندی حملههای عدم سرویس دهی توزیع شده
حملههای عدم سرویس دهی توزیع شده تنوع زیادی دارند در اینجا طبقه بندی اصلی آنها مطرح میشود. ۱ حملههای پهنای باند ‐۴ ۱ حملههای طغیان ‐۱‐۴ در این حمله برای متراکم کردن پهنای شبکهٔ سیستم سیستمهای زامبی درگیر فرستادن حجم، IP قربانی با ترافیک زیادی از ترافیک به سیسیتم قربانی میشوند. سیستم قربانی کم ۱ Agent-Handler model ۲ ۳ Agent ۴ Client (where the attacker communicates with the rest of the DDoS attack system) کم از کار میافتد ۵، سقوط میکند ۶ یا از پهنای شبکهٔ اشباع شده رنج میبرد و مانع دسترسی کاربران قانونی میشود. حمله استفاده میکنند. ICMP و هم از بستههای ۸ UDPها هم از ۷ کنند. ۲ حملههای توسعه ‐۱‐۴ در این حمله نفوذگر یا قربانی دوم پیامها را به صورت پخشی ۹می فرستد تا تمام سیستمهای آن زیرشبکه برای پخشی IP فرستادن پاسخ به قربانی بکار روند. در این حمله آدرس برای تقویت و برگرداندن ترافیک حمله و در نتیجه کاهش پهنای باند سیستمهای قربانی است. اگر نفوذگر خود بستهها را مستقیمًا بفرستد دیگر نیازی به نفوذ در سیستم قربانی دوم یا اجرای نرم افزار مأمور ندارد. حملههای اسمارف ۱۰ و فراگل ۱۱ از این نوع اند. ۲ حملههای تهی سازی منابع ۱۲ ‐۴ در این حمله نفوذگر بستههایی را میفرستد که از ارتباطات پروتکل شبکهای یا بستههایی که ناهنجار هستند ۱۳ سوءاستفاده میکنند در نتیجه منابع شبکه برای کاربران قانونی مسدود میشوند. ۱ حملههای بهره وری از پروتکل ‐۲‐۴ از این PUSH+ACK و حملهٔ SYN حملهٔ طغیان و TCP SYN نوع اند که به ترتیب از پروتکلهای ۱۴ سوءاستفاده میکنند. PUSH+ACK ۲ حملههای بستههای ناهنجار ‐۲‐۴ پاسخ ۵ slow down ۶ crash ۷ User Datagram Protocol ۸ Internet Control Message Protocol ۹ Broadcast IP address ۱۰ Smurf ۱۱ fraggle ۱۲ Resource Depletion Attacks ۱۳ Malformed Packet attacks ۱۴ Transfer Control Protocol Synchronize در این حمله نفوذگر قربانی دوم را راهنمایی میکند تا بستههایی با هدر نادرست به سیستم قربانی برای سقوط او بفرستد. حداقل دو نوع از این حمله وجود دارد. در حملهٔ آدرس بسته حاوی آدرس مبدأ و مقصد یکسان است و میتواند IP۱ روی سیستم عامل سیستم قربان تمرکز کند و باعث سقوط آن بستههای ناهنجار می، IP شود. در حملهٔ اختیارهای بستهٔ ۲میتوانند فیلدهای اختیاری در بسته را به صورت تصادفی درآورند و تمام بیتهای سرویس را یک کنند به طوری که سیستم قربانی برای تحلیل ترافیک باید زمان پردازش اضافی را صرف کند. اگر این حمله تکثیر شود، میتواند سیستم قربانی را از پا درآورد. ۵‐
روشهای مقابله با حملههای عدم سرویس دهی
(عدم سرویس دهی توزیع شده) در اینجا راههای مقابله با چند نوع حملهٔ عدم سرویس دهی یا عدم سرویس دهی توزیع شده آمدهاست: ۱ روش مقابله با توقف سرویس دهندهها ‐۵ به عنوان مسئول شبکه برای پیشگیری از حملههایی که از درون تدارک دیده میشود بایستی به موارد زیر دقت داشته باشید: • همیشه بایستی با شرکت طراح سیستم عامل خود در ارتباط باشید و نرم افزارهایی را که بنام برنامه اصلاح کننده ۳ عرضه عرضه میشوند، جهت رفع نقاط ضعف سیستم بکار بگیرید (این شکافها حتی به یک آماتور قدرت ضربه زدن به سیستم را میدهد). • سطوح دسترسی به سیستم را برای کاربران مختلف، بدقت تنظیم کنید. هیچ کاربری بجز مسئول شبکه نیازمند ورود به سیستم در عالیترین سطح ۴ نیست. • بطور منظم و متوالی تنظیمات سیسیتم را بررسی کرده و آنها را یادداشت نمایید. از نزم افزارهای کشف تغییر در.(Tripwire تنظیمات سیستم استفاده کنید(مثل نرم افزار ۲ روش پیشگیری از اشباع منابع سیستمی ‐۵ ۱ IP address attack ۲ IP packet options attack ۳ Patch ۴ super-user (admin) مسئول شبکه برای پیشگیری از اشباع منابع سیستمی باید نکات زیر را مد نظر قرار بدهد: • برای هر کاربر حداقل منابع و امکانات مورد نیاز را تعریف کنید و هیچگونه سخاوتی به خرج ندهید. • سرویس دهنده خود را با بالاترین حجم منابع سیستمی مانند حافظهٔ رم (حداقل ۱ گیگابایت)، پردازندههای بسیار سریع و پهنای باند بالای کانال مجهز کنید تا قبل از آنکه یک حمله منجر به فروپاشی و سقوط یک سرویس دهنده شود بتوانید آن را کشف کنید. • از نرم افزارهای (سیستمهای کشف مزاحم) استفاده کنید.. SYN ۳ مقابله جدی با حمله طغیان ‐۵ بهترین و در عین حال پرهزینه ترین راه مقابله با حملهٔ طغیان در اختیار داشتن پهنای باند کافی و کانالهای متعدد برای SYN سرویس دهنده هاست. • سرویس دهندهها باید منابع حافظه بسیار زیاد و سخاوتمندانهای در اختیار داشته باشند. • اگر یک سرویس دهنده حساس و کلیدی در شبکه وجود دارد که باید دائمًا فعال باشد، لازم است دارای یک ماشین پشتیبان در نقطه دیگری از اینترنت باشد • برای دفاع در مقابل اشباع شدن صف ارتباطات نیمه باز، سازندگان سیستمهای عامل روشهای متفاوتی را در پیش گرفتهاند. برخی از آنها اندازه صف مورد استفاده را تا حد نهایت بزرگ در نظر گرفته را TCP اند و برخی دیگر زمان انتظار برای تکمیل این ارتباط کوتاهتر فرض کردهاند. ۴ مقابله با حملههای عدم سرویس دهی توزیع شده ‐۵ هر چند مقابله با حملههای عدم سرویس دهی توزیع شده دشوار به نظر میرسد ولی لازم است مسئولین شبکه سیاستهای امنیتی زیر را به اجرا بگذارند: • چون هیچ مسئول شبکهای تمایل ندارد ماشینهای شبکه تحت مدیریت او در اختیار یک بدخواه قرار بگیرد لذا بایستی بطور مداوم ماشینهای شبکه آزمایش شوند. • مسئول شبکه باید در جریان آخرین اخبار و گزارشها در مورد انتشار نرم افزارهای زامبی قرار بگیرد چون ممکن است گروهی قبل از عملیاتی شدن یک نرم افزار زامبی آنرا کشف کند. • از نرم افزارهای ضد کلاه برداری دو طرفه بر روی مسیریابهای با IP خود بهره بگیرید. این نرم افزارها اجازه عبور بستههای آدرسهای جعلی را نمیدهند. بدین ترتیب هیچ بستهای حق ندارد از درون یک شبکه که شناسهٔ شبکهٔ ۵ آن مشخص است است با آدرس جعلی بیرون برود. ۵ NetID • اگر شک دارید که آیا ماشینهای شبکه شما آلوده به نرم افزارهای زامبی هستند میتوانید با سایتهایی که بطور رایگان خدمات مشاورهای ارائه میدهند و ابزارهای مناسبی در اختیار دارند تماس بگیرید. یکی از این سایتهای بسیار ارزشمند و مفید، در http://www.nipc.gov/: آدرس روبرو در دسترس میباشد ۶‐ نتیجه گیری مقابله با حملههای عدم دسترسی تنها یک بحث عملی نیست. محدودکردن میزان تقاضا، فیلترکردن بستهها و دستکاری پارامترهای نرم افزاری در بعضی موارد میتواند به محدودکردن اثر حملات حملههای عدم دسترسی کمک کند، اما بشرطی که حملههای عدم دسترسی در حال مصرف کردن تمام منابع موجود نباشد. در بسیاری موارد، تنها میتوان یک دفاع واکنشی داشت و این در صورتی است که منبع یا منابع حمله مشخص شوند. در طول حمله و ظهور روشهای حمله توزیع شده IP استفاده از جعل آدرس و ابزارهای موجود یک چالش همیشگی را در مقابل کسانی که باید به حملههای عدم دسترسی پاسخ دهند، قرار دادهاست.