بررسی جامع حملات DOS و DDOS و مقابله با آن

 بنام خدا

مقاله' بررسی جامع حملات DOS و DDOS و مقابله با آن

مقدمه
حملات DoS معمولا از یک یا چند نقطه که از دید سیستم یا شبکه قربانی عامل بیرونی هستند، صورت می گیرند. در بسیاری موارد، نقطه آغاز حمله شامل یک یا چند سیستم است که از طریق سوءاستفاده های امنیتی در اختیار یک نفوذگر قرار گرفته اند و لذا حملات از سیستم یا سیستم های خود نفوذگر صورت نمی گیرد. بنابراین، دفاع برعلیه نفوذ نه تنها به حفاظت از اموال مرتبط با اینترنت کمک می کند، بلکه به جلوگیری از استفاده از این اموال برای حمله به سایر شبکه ها و سیستم ها نیز کمک می کند. پس بدون توجه به اینکه سیستم هایتان به چه میزان محافظت می شوند، قرار گرفتن در معرض بسیاری از انواع حمله و مشخصاً DoS، به وضعیت امنیتی در سایر قسمت های اینترنت بستگی زیادی دارد.
مقابله با حملات DoS تنها یک بحث عملی نیست. محدودکردن میزان تقاضا، فیلترکردن بسته ها و دستکاری پارامترهای نرم افزاری در بعضی موارد می تواند به محدودکردن اثر حملات DoS کمک کند، اما بشرطی که حمله DoS در حال مصرف کردن تمام منابع موجود نباشد. در بسیاری موارد، تنها می توان یک دفاع واکنشی داشت و این در صورتی است که منبع یا منابع حمله مشخص شوند. استفاده از جعل آدرس IP در طول حمله و ظهور روش های حمله توزیع شده و ابزارهای موجود یک چالش همیشگی را در مقابل کسانی که باید به حملات DoS پاسخ دهند، قرار داده است.تکنولوژی حملات DoS اولیه شامل ابزار ساده ای بود که بسته ها را تولید و از "یک منبع به یک مقصد" ارسال می کرد. با گذشت زمان، ابزارها تا حد اجرای حملات از "یک منبع به چندین هدف"، "از چندین منبع به هدف های تنها" و "چندین منبع به چندین هدف"، پیشرفت کرده اند. با توجه به اهمیت فراگیری این گونه حملات توسط مدیران سایت ها به معرفی انواع اینگونه حملات در آی تی پورت می پردازیم. در بخش دوم به راهکارهای مقابله با اینگونه حملات خواهیم پرداخت
.
بررسی انواع حملات DOS
حملات DoS معمولا از یک یا چند نقطه که از دید سیستم یا شبکه قربانی عامل بیرونی هستند، صورت می گیرند. در بسیاری موارد، نقطه آغاز حمله شامل یک یا چند سیستم است که از طریق سوءاستفاده های امنیتی در اختیار یک نفوذگر قرار گرفته اند و لذا حملات از سیستم یا سیستم های خود نفوذگر صورت نمی گیرد. بنابراین، دفاع برعلیه نفوذ نه تنها به حفاظت از اموال مرتبط با اینترنت کمک می کند، بلکه به جلوگیری از استفاده از این اموال برای حمله به سایر شبکه ها و سیستم ها نیز کمک می کند. پس بدون توجه به اینکه سیستم هایتان به چه میزان محافظت می شوند، قرار گرفتن در معرض بسیاری از انواع حمله و مشخصاً DoS، به وضعیت امنیتی در سایر قسمت های اینترنت بستگی زیادی دارد.

حمله SYN flood
این حمله با ارسال درخواست های متعدد با علامت SYN به ماشین قربانی باعث پر شدن سف Backlog می شود. اما Backlog چیست؟ تمامی درخواست هایی که به ماشین وارد می شوند و شامل علامت SYN برای برقراری ارتباط می باشند در قسمتی از حافظه به ترتیب ذخیره می شوند تا پس از بررسی جواب آنها داده شده و ارتباط برقرار شود، این قسمت از حافظه Backlog Queue نام دارد. وقتی که این قسمت به علت درخواست های زیاد پر شود، سرویس دهنده مجبور به رها کردن درخواست های جدید می شود و در نتیجه از رسیدگی به این درخواست ها باز می ماند.

حمله SYN Flood Attack

حمله Reset یا RST
پاکت هایی که به علامت RST ارسال می گردند باعث می شوند که ارتباط مورد نظر قطع گردد. در واقع اگر ماشین A به سمت ماشین B پاکتی را با علامت RST ارسال کند درخواست اتصال مورد نظر از Backlog پاک خواهد شد.
از این حمله می توان برای قطع اتصال دو ماشین استفاده کرد. به این ترتیب که اتصالی که بین دو ماشین A و B برقرار است را نفوذگر با ارسال یک در خواست RST به ماشین B از طرف ماشین A قطع می کند. در واقع در داخل پکتی که از سوی ماشین نفوذگر به سمت قربانی ارسال می شود IP مشتری گذاشته می شود و در این صورت ماشین B که سرویس دهنده می باشد ارتباط مورد نظر ماشین A را از Backlog حذف می کند.
در این روش شخص حمله کننده بوسیله ابزاری می تواند IP جعلی تولید کرده و در واقع درخواست خود را جای ماشین دیگری ارسال کند. به این تکنیک Spoofing نیز گفته می شود.با کمی دقت در شکل در می یابید IP مبدا (SourceIP) که در پکت ارسالی از سوی ماشین حمله کننده به سمت ماشین B می رود همان IP ماشین شماره A می باشد. در صورتیکه IPماشین شماره C که نفوذگر از آن استفاده می کند چیز دیگری است.

حمله RST Attack

حمله Land Attack
در این حمله با استفاده از روش Spoofing در پاکت هایی که به سمت سرویس دهنده ارسال می شود به جای IP و Port مبداء و مقصد IP و Port خود ماشین سرویس دهنده قرار داده می شود.
در واقع IP و PORT ماشین سرویس دهنده به سمت خود سرویس دهنده ارسال می شود. این عمل باعث می شود تا در سیستم عامل های قدیمی یک حلقه داخلی Routing به وجود بیاید که باعث پر شدن حافظه و به وجود آمدن حمله DOS می شود.این حمله در ماشین های (Win 95 (winsok 1.0 و Cisco IOS ver 10.x و سیستم های قدیمی باعث از کار افتادن سیستم می شد اما امروزه تمامی سیستم های هوشمند مانند IDS ها قادر به شناسایی این حملات می باشند و این حمله تاثیر زیادی بر روند کاری سرویس دهنده ندارد.

حمله Land Attack

حمله Smurf Attack
این حملات با ارسال درخواست های ICMP به سمت محدوده ای از IP های amplifier باعث وسعت دادن ترافیک و به وجود آمدن حمله DOS می شوند.
حمله کننده می تواند درخواست های ICMP خود را به صورت Spoof شده و از طرف ماشین قربانی به IP های amplifier ارسال کند با ارسال هر درخواست صدها جواب برای درخواست ICMP به سمت ماشین قربانی سرازیر می شوند و ترافیک آن را بالا می برند.
: Amplifier تمام شبکه هایی که درخواست های ICMP را برای IP broadcast خود فیلتر نکرده اند یک Amplifier محسوب می شوند.
حمله کننده می تواند در خواست های خود را مثلا به IP هایی مانند: ۱۹۲٫۱۶۸٫۰٫xxx که X می تواند ۲۵۵, ۲۲۳, ۱۹۱, ۱۵۹, ۱۲۷, ۹۵, ۶۳, ۳۱, ۱۵, ۷, ۳ یعنی IP های Broadcast باشند ارسال کند. البته قابل ذکر است IP broadcast بستگی به چگونگی بخش بندی IP در شبکه دارد.

حمله Smurf Attack

حمله Ping Flood یا Ping of death
در این نوع حمله با ارسال مستقیم درخواست Ping به کامپیوتر قربانی سعی می گردد که سرویس ها بلاک و یا فعالیت آن ها کاهش یابد. در این نوع حمله اندازه بسته های اطلاعاتی به حدی زیاد (بالای K64 که در Ping غیر مجاز) می شودکه کامپیوتر قربانی قادر به برخورد مناسب با آمیختن بسته های اطلاعاتی نیست و مختل می شود.

استاندارد فرمت Ping

حمله Ping of death

حملات Teardrop
هنگامی که اطلاعات از یک سیستم به سیستم دیگر منتقل می شود به تکه های کوچکی تقسیم شده و در سیستم مقصد این تکه مجددا به هم متصل شده و کامل می شود. این بسته هر کدام دارای یک فیلد افست هستند که نشان می دهد بسته حاوی چه قسمتی از اطلاعات است. این فیلد به همراه شماره ترتیب به سیستم مقصد کمک می کند تا بسته ها را مجددا به هم متصل کند. در صورتی که بسته ها با شماره افست و ترتیب نامربوط ارسال شوند باعث می شود سیستم مقصد از مرتب کردن آنها عاجز شده و در هم بشکند.

حملات Teardrop

بررسی حملات عدم سرویس دهی توزیع شده D.DoS
حملات DDoS -Distributed Denial of Service حمله گسترده ای از DoS است. در اصل DDos حمله هماهنگ شده ای برعلیه سرویس های موجود در اینترنت است. در این روش حملات DoS بطور غیرمستقیم از طریق تعداد زیادی از کامپیوترهای هک شده بر روی کامپیوتر قربانی انجام می گیرد. سرویس ها و منابع مورد حمله، (قربانی های اولیه) و کامپیوترهای مورد استفاده در این حمله (قربانی های ثانویه) نامیده می شوند. حملات DDoS عموماً در از کار انداختن سایت های کمپانی های عظیم از حملات DoS موثرتر هستند.این نوع حمله طبیعت توزیعی اینترنت را با میزبان هایی که دارای ماهیت جداگانه اطراف دنیا می باشند را به هم وصل می نماید تا جریان یکسوی حجیمی از بسته ھا در برابر یک یا چند قربانی ایجاد نماید. برای اجرای جریان یکسوی DDoS ھکر در ابتدا کنترل تعداد بسیار زیادی از دستگاه ھای قربانی را دست خواھد گرفت، که زومبی نامیده می شوند.سیستم ھای زومبی در ھر جای اینترنت واقع شده اند و دارای یک سری آسیب پذیریھای ساده می باشند که ھکر میتونه به سرعت برای بدست آوردن کنترل سیستم استفاده نماید. تا کنون در این نوع حملات، زومبی ھا در سرویس دھندگان آسیب پذیر دانشگاه ھا، سیستم ھای شرکتھای بزرگ، دستگاه ھای سرویس دھنده و حتی سیستم ھای کاربران خانگی که به Loop Digital-Subscriber یا سرویس ھای کابل مدم متصل می باشند نصب می شود. ھکر نوارھای بزرگی از اینترنت را پویش خواھد نمود که به دنبال دستگاه ھای آسیب پذیر استفاده از آنھا و نصب نرم افزار زومبی بر روی سیستم ھای آنھا می باشد. بیشتر دستگاه ھایی که در آن زومبی ھا نصب میشود با استفاده از حمله پر نمودن بیش از حد توده بافر، یا برنامه آسیب رسان مربوطه نصب می شوند. ھکرھا گروه ھایی از صدھا، ھزاران زومبی را ایجاد خواھند کرد.

امنیت وب سرور ها و وب سایت ها در دست کارشناسان با تجربه قرار گرفته ولی هر از چند گاهی سرور ها و سایت ها دچار مشکل میشون.

پیاده سازی حملات DOS,DDOS
قبل از بررسی کردن حملات DDoS بهتر است که در مورد حملات DoS یا Denial of Service توضیحاتی را ارائه کنم. هدف این نوع حملات همانطور که از نام آن مشخص است جلوگیری دسترسی به سرویس ارائه شده برای کاربران می باشد. هکرهایی که از این نوع حملات استفاده می کنند قصد برداشتن اطلاعات یا نفوذ کردن به شبکه را ندارند بلکه می خواهند با اختلال در سرویس به شرکت سرویس دهنده ضرر وارد کنند. این نوع حملات در این چند سال اخیر رواج زیادی پیدا کرده است. یکی از دلایل این امر اهمیت روز افزونی است که سرویس های آنلاین پیدا کرده اند. موفق بودن حملات DoS را United States Computer Emergency Readiness Team
(US-CERT) بصورت زیر عنوان می کند:
• پایین آوردن سرعت و کیفیت سرویس دهی شبکه (دسترسی به سایت یا انتقال فایل
• از دسترس خارج کردن وب سایت مورد نظر
• قطع دسترسی تمام وب سایت ها (با حمله به name serverها
• افزایش تعداد هرزنامه ها (که به بمب ایمیلی نیز معروف است
این حمله ها معمولا سرویس دهنده های وب سایت را هدف قرار می دهد. یکی از معمول ترین روش های حمله اشباع کردن کامپیوتر مقصد (قربانی) با استفاده از متدهای مختلف می باشد. در این روش قربانی نمی تواند بدرستی به کاربران خود سرویس دهد یا آنقدر سرویس دهی بسیار کند خواهد شد. حملاتDoS باعث می شود که منابع قربانی قادر به پاسخگویی به کاربران خود نباشد و یا سرور مورد نظر ریستارت شود.

روش های حمله:
یک حمله DoS می تواند از راه های مختلفی پیاده سازی شود. پنج نوع اولیه این نوع حملات بصورت زیر می باشد:
۱- مصرف کردن منابع کامپیوتری مانند پهنای باند، فضای ذخیره سازی و یا توان پردازشی
۲- اختلال در تنظیم های انجام شده مانند اطلاعات مسیریابی
۳- اختلال در وضعیت اطلاعات مانند reset کردن ناخواسته TCP session ها
۴- اختلال در اجزای فیزیکی شبکه
۵- اختلال در رسانه برقرار کننده ارتباط بین قربانی و کاربران آن تا امکان برقراری ارتباط وجود نداشته باشد.
همچنین حملات DoS می تواند بصورت اجرای یک بدافزار بر روی قربانی باشد تا بتواند در کار سرویس دهنده اختلال ایجاد کند. این اختلال می تواند بصورت بالا بردن میزان نیاز پردازش بر روی قربانی باشد تا قربانی نتواند به کاربران خود سرویس دهد یا باعث شود که سیستم قربانی کرش کند و خود به خود قادر به سرویس دهی نباشد.

در بیشتر حملات DoS حمله کنند هویت و IP خود را مخفی نگه می دارد تا نتوان آن را ردگیری و از حمله جلوگیری کرد.
یکی از روش هایی که برای حمله DoS استفاده می شود با عنوان ICPM flood شناخته می شود. در این روش تعداد بسیار زیادی پکت Ping ICMP فرستاده می شود. این پکت ها حجم بسیار بالایی دارند. این روش با عنوان Ping of death نیز شناخته می شود. ارسال پکت های زیاد با حجم بالا باعث می شود تا قربانی توانایی سوریس دهی به کاربران خود را از دست بدهد. امروزه راهکارهای زیادی برای جلوگیری از این حملات وجود دارد. معمولا فایروال این نوع حملات را شناسایی و از آن ها جلوگیری می کند.

روش دیگری که استفاده می شود SYN flood می باشد. این حمله زمانی رخ می دهد که میزبان با جریانی از TCP/SYN روبرو می شود. فرستنده معمولا آدرس خود را مخفی می کند تا قابل ردگیری نباشد. همانطور که می دانید برای برقراری ارتباط TCP سه مرحله باید انجام شود. در این روش مرحله سوم از طرف هکر انجام نمی شود. به همین خاطر ارتباط باز می ماند و هکر جلسه جدیدی با سرور ایجاد می کند و آن را نیز باز رها می کند. در این حالت سرور تا مدتی ارتباط مورد نظر را نمی بندد و منتظر پاسخ می ماند. این ارتباط های باز می تواند تمام توانایی سرور برای برقراری ارتباط را پر کند و سرور قادر به برقراری ارتباط جدیدی با کاربران خود نباشد.

دو روش بالا تقریبا بیشتر حملات را در بر می گیرند. اما حملات DoS بشکل متفاوتی می توانند پیاده سازی شوند که خطرناکترین نوع حملات می باشد در روش های قبلی با استفاده از log ها و گزارش هایی که بر روی فایروال ایجاد می شود می توان حمله کننده را ردگیری و حملات را خنثی کرد. اما حملات دیگری که تقریبا تمام مدیران شبکه از آن میترسند و دردسر بسیار زیادی را برای آنها بوجود می آورد با عنوانDistributed Dentinal of Service یا DDoS می باشد. این نوع حملات مدل توزیع یافته DoS می باشد. حملات توزیع یافته محرومیت از دسترسی به سرویس یا DDoS بصورت گسترده اجرا می شود. برعکس حملات DoS که توسط یک منبع انجام می شود حملات DDoS از طریق سیستم های بسیار زیادی انجام می شود که با عنوان زامبی شناخته می شوند. زامبی به سیستم هایی گفته می شود که تحت کنترل یک هکر قرار دارند و بدون اینکه خود بدانند تحت فرمان هکر قرار دارند تا در یک زمان مشخص همان کاری را انجام دهند که هکر می خواهد. پیاده سازی این نوع حمله ها نیاز به دانش بالایی در هک کردن سیستم ها دارد چون هکر اول باید راهی را پیدا کند که سیستم کاربر را تحت کنترل خود درآورد و مسلما برای اینکه این نوع حمله کارساز باشد باید تعداد بسیار زیادی از سیستم ها را هک کند. با توجه به امن شدن سیستم کاربران پیاده سازی این نوع حملات روز به روز سخت تر می شود و کار هر کسی نمی باشد. اما در طرف مقابل قضیه کنترل و جلوگیری از این نوع حملات تقریبا غیر ممکن می باشد. شاید یکی از بدترین کابوس هایی که می تواند برای یک مدیر شبکه پیش بیاید انجام حملات DDoS به ساختار شبکه ای می باشد.
بزرگترین مزیت این نوع حملات این است که مقدار ترافیکی که چند کامپیوتر می تواند پیاده کند بسیار بیشتر از ترافیکی از است که یک سیستم می تواند ایجاد کند.
در سال های اخیر ایجاد حملات DDoS توسط تشکل های هکری و با استفاده از کمک های مردمی نیز انجام می شود. مانند حملاتی که گروه ناشناس بر علیه یک سری از ارایه دهنده های سرویس های اینترنتی پیاده کرده است و یا حمله ای که توسط طرفداران WikiLeaks بر علیه یک سری از سرویس دهنده های کارت های اعتباری انجام داده اند. در این روش گروه از مردم و افرادی درخواست می کنند که در یک ساعت مشخص برنامه ای (یا کار خاصی) را اجرا کنند. اثر این نوع حملات بسته به استقبالی دارد که از آن می شود. در صورتی که پایگاه مردمی داشته باشد و با استفبال روبرو شود می تواند موفق باشد در غیر این صورت حمله ای از پیش شکست خورده خواهد بود.
vv

حملات D.DoS
در زیر چند مورد از حملات گسترده عدم سرویس دهی D.DoS معرفی و نحوه عملکرد حملات را توضیح داده ایم.

حملات Trinoo
Trinoo در اصل از برنامه های Master/Slave است که با یکدیگر برای یک حمله طغیان UDP بر علیه کامپیوتر قربانی هماهنگ می شوند. در یک روند عادی، مراحل زیر برای برقراری یک شبکه Trinoo DDoS واقع می شوند.

حمله Trinoo
مرحله۱: حمله کننده، با استفاده از یک میزبان هک شده، لیستی از سیستم هایی را که می توانند هک شوند، گردآوری می کند. بیشتر این پروسه بصورت خودکار از طریق میزبان هک شده انجام می گیرد. این میزبان اطلاعاتی شامل نحوه یافتن سایر میزبان ها برای هک در خود نگهداری می کند.
مرحله۲: به محض اینکه این لیست آماده شد، اسکریپت ها برای هک کردن و تبدیل آنها به اربابان (Masters) یا شیاطین (Daemons) اجراء می شوند. یک ارباب می تواند چند شیطان را کنترل کند. شیاطین میزبانان هک شده ای هستند که طغیان UDP اصلی را روی ماشین قربانی انجام می دهند.
مرحله۳: حمله DDoS هنگامی که حمله کننده فرمانی به میزبانان Master ارسال می کند، انجام می گیرد. این اربابان به هر شیطانی دستور می دهند که حمله DoS را علیه آدرس IP مشخص شده در فرمان آغاز کنند و با انجام تعداد زیادی حمله DoS یک حمله DDoS شکل می گیرد.

حملات TFN/TFN2K
TFN -Tribal Flood Network یا شبکه طغیان قبیله ای، مانند Trinoo ، در اصل یک حمله Master/Slave است که در آن برای طغیان SYN علیه سیستم قربانی هماهنگی صورت می گیرد. شیاطین TFN قادر به انجام حملات بسیار متنوع تری شامل طغیان ICMP ، طغیان SYN و حملات Smurfهستند، بنابراین TFN از حمله Trinoo پیچیده تر است.
TFN2Kنسب به ابزار TFN اصلی چندین برتری و پیشرفت دارد. حملات TFN2K با استفاده ازجعل آدرس های IP اجرا می شوند که باعث کشف مشکل تر منبع حمله می شود. حملات TFN2K فقط طغیان ساده مانند TFN نیستند. آنها همچنین شامل حملاتی می شوند که از شکاف های امنیتی سیستم عامل ها برای بسته های نامعتبر و ناقص سوءاستفاده می کنند تا به این ترتیب باعث از کار افتادن سیستم های قربانی شوند. حمله کنندگان TFN2K دیگر نیازی به اجرای فرمان ها با وارد شدن به ماشین های مخدوم (Client) به جای Master در TFN ندارند و می توانند این فرمان ها را از راه دور اجراء کنند. ارتباط بین Clientها و Daemonها دیگر به پاسخ های اکوی ICMP محدود نمی شود و می تواند روی واسط های مختلفی مانند TCP و UDP صورت گیرد. بنابراین TFN2K خطرناک تر و همچنین برای کشف کردن مشکل تر است.

حملات TFN/TFN2K

حملات Stacheldraht
کد Stacheldraht بسیار شبیه به Trinoo و TFN است، اما Stacheldraht اجازه می دهد که ارتباط بین حمله کننده و Masterها (که در این حمله Handler نامیده می شوند) رمزنگاری شود؛ عامل ها می توانند کد خود را بصورت خودکار ارتقاء دهند، می توانند اقدام به انواع مختلفی از حملات مانند طغیان های ICMP ، طغیان های UDP و طغیان های SYN کنند.

حملات Stacheldraht
دفاع علیه حملات Smurf
اگر در معرض حمله Smurf قرار گرفته باشید، کار چندانی از شما ساخته نیست. هرچند که این امکان وجود دارد که بسته های مهاجم را در روتر خارجی مسدود کنید، اما پهنای باند منشاء آن روتر مسدود خواهد شد. برای اینکه فراهم کننده شبکه بالاسری شما، حملات را در مبداء حمله مسدود کند، به هماهنگی نیاز است.
بمنظور جلوگیری از آغاز حمله از سایت خودتان، روتر خارجی را طوری پیکربندی کنید که تمام بسته های خارج شونده را که آدرس مبداء متناقض با زیرشبکه شما دارند، مسدود کند. اگر بسته جعل شده نتواند خارج شود، نمی تواند آسیب چندانی برساند.

برای جلوگیری از قرار گرفتن بعنوان یک واسطه و شرکت در حمله DoS شخص دیگر، روتر خود را طوری پیکربندی کنید که بسته هایی را که مقصدشان تمام آدرس های شبکه شماست، مسدود کند. یعنی، به بسته های ICMP منتشر شده به شبکه خود، اجازه عبور از روتر ندهید. این عمل به شما اجازه می دهد که توانایی انجام pingبه تمام سیستم های موجود در شبکه خود را حفظ کنید، در حالیکه اجازه این عمل را از یک سیستم بیرونی بگیرید. اگر واقعاً نگران هستید، می توانید سیستم های میزبان خود را طوری پیکربندی کنید که از انتشارهای ICMP کاملاً جلوگیری کنند.

دفاع علیه حملات طغیان SYN
بلاک های کوچک بجای تخصیص یک شیء از نوع ارتباط کامل (که باعث اشغال فضای زیاد و نهایتاً اشکال در حافظه می شود)، یک رکورد کوچک تخصیص دهید. پیاده سازی های جدیدتر برای SYN های ورودی ، تنها ۱۶ بایت تخصیص می دهد.
کوکی های SYN یک دفاع جدید علیه طغیان SYN "کوکی های SYN" است. در کوکی های SYN، هر طرف ارتباط، شماره توالی (Sequence Number) خودش را دارد. در پاسخ به یک SYN، سیستم مورد حمله واقع شده، یک شماره توالی مخصوص از ارتباط ایجاد می کند که یک "کوکی" است و سپس همه چیز را فراموش می کند یا بعبارتی از حافظه خارج می کند (کوکی بعنوان مشخص کننده یکتای یک تبادل یا مذاکره استفاده می شود). کوکی در مورد ارتباط اطلاعات لازم را در بردارد، بنابراین بعداً می تواند هنگامی که بسته ها از یک ارتباط سالم می آیند، مجدداً اطلاعات فراموش شده در مورد ارتباط را ایجاد کند.
با دستور netstat -an|grep :80 تمام کانکشن هایی که به پورت ۸۰ وصل هستند را میتوانید مشاهده کنید، سپس با استفاده از دستور netstat -an|grep SYN_RECV میتوانیم مشاهده کنیم کجا با SYN_RECV شروع شده است.

تعداد کانکشن های آپاجی و تعداد کانکشن های SYN_RECV :
netstat -an|grep :80|wc -l

netstat -an|grep SYN_RECV|wc -l

مقابله با حملات DdoS
چگونه می توانید از سرورهای خود در مقابل یورش دیتاهای ارسالی از طرف کامپیوترهای آلوده موجود در اینترنت مراقبت کنید تا شبکه شرکت شما مختل نشود؟ در اینجا به چند روش بطور مختصر اشاره می شود:

سیاه چاله:
این روش تمام ترافیک را مسدود می کند و به سمت سیاه چاله! یعنی جایی که بسته ها دور ریخته می شود هدایت می کند. اشکال در این است که تمام ترافیک – چه خوب و چه بد- دور ریخته می شود و در حقیقت شبکه مورد نظر بصورت یک سیستم off-line قابل استفاده خواهد بود. در روش های اینچنین حتی اجازه دسترسی به کاربران قانونی نیز داده نمی شود.

مسیریاب ها و فایروال ها:
روتر ها می توانند طوری پیکربندی شوند که از حملات ساده ping با فیلترکردن پروتکل های غیرضروری جلوگیری کنند و می توانند آدرس های IP نامعتبر را نیز متوقف کنند. بهرحال، روترها معمولاً در مقابل حمله جعل شده پیچیده تر و حملات در سطح Application با استفاده از آدرس های IP معتبر، بی تاثیر هستند.

سیستم های کشف نفوذ
روش های سیستم های کشف نفوذ( intrusion detection systems ) توانایی هایی ایجاد می کند که باعث تشخیص استفاده از پروتکل های معتبر بعنوان ابزار حمله می شود. این سیستمها می توانند بهمراه فایروال ها بکار روند تا بتوانند بصورت خودکار در مواقع لزوم ترافیک را مسدود کنند. در بعضی مواقع سیستم تشخیص نفوذ نیاز به تنظیم توسط افراد خبره امنیتی دارد و البته گاهی در تشخیص نفوذ دچار اشتباه می شود.

سرورها
پیکربندی مناسب application های سرویس دهنده در به حداقل رساندن تاثیر حمله DDoS تاثیر بسیار مهمی دارند. یک سرپرست شبکه می تواند بوضوح مشخص کند که یک application از چه منابعی می تواند استفاده کند و چگونه به تقاضاهای کلاینت ها پاسخ دهد. سرورهای بهینه سازی شده، در ترکیب با ابزار تخفیف دهنده، می توانند هنوز شانس ادامه ارائه سرویس را در هنگامی که مورد حمله DDoS قرار می گیرند، داشته باشند.
شما میتوانید از نرمافزار Dos_Deflate استفاده کنید. با کمک این نرمافزار می توانید تعداد اتصالات هر آیپی که به سرویس دهنده شما برقرار کرده است را مدیریت کنید. برخی نکات لازم در مورد ویرایش فایل پیکربندی (nano /usr/local/ddos/ddos.conf) که باید به آنها دقت داشته باشید، مقادیر EMAIL_TO که شما ایمیل مورد نظر جهت دریافت گزارشات را مشخص میکنید، FREQ برای مشخص کردن تعداد کانکشن هر آیپی در دقیقه است که پیشنهاد می کنیم مقدار بالاتر از ۵ را به آن اختصاص ندهید، NO_OF_CONNECTIONS که بیشترین کانکشنی که هر آیپی میتواند داشته باشد را مشخص میکند. (بهترین مقدار بین ۱۰۰ تا ۲۰۰ است.) و …
علاوه بر نصب نرمافزار بالا نصب دیوار آتش CSF و BFD میتوانید امنیت وب سرور را بالاتر ببرید. فراموش نکنید که مهمترین کار قبل از نصب هر گونه نرمافزار بهینه سازی خود وب سرور آپاچی است.

ابزار تخفیف DDoS
چندین شرکت ابزارهایی تولید می کنند که برای ضدعفونی ! کردن ترافیک یا تخفیف حملات DDoS استفاده می شوند که این ابزار قبلاً بیشتر برای متعادل کردن بار شبکه یا فایروالینگ استفاده می شد. این ابزارها سطوح مختلفی از میزان تاثیر دارند. هیچکدام کامل نیستند. بعضی ترافیک قانونی را نیز متوقف می کنند و بعضی ترافیک غیرقانونی نیز اجازه ورود به سرور پیدا می کنند. زیرساخت سرور هنوز باید مقاوم تر شود تا در تشخیص ترافیک درست از نادرست بهتر عمل کند.

پهنای باند زیاد
خرید یا تهیه پهنای باند زیاد یا شبکه های افزونه برای سروکار داشتن با مواقعی که ترافیک شدت می یابد، می تواند برای مقابله با DDoS موثر باشد.
عموماً، شرکت ها از قبل نمی دانند که یک حمله DDoS بوقوع خواهد پیوست. طبیعت یک حمله گاهی در میان کار تغییر می کند و به این نیاز دارد که شرکت بسرعت و بطور پیوسته در طی چند ساعت یا روز، واکنش نشان دهد. از آنجا که تاثیر اولیه بیشتر حملات، مصرف کردن پهنای باند شبکه شماست، یک ارائه کننده سرویس های میزبان روی اینترنت که بدرستی مدیریت و تجهیز شده باشد، هم پهنای باند مناسب و هم ابزار لازم را در اختیار دارد تا بتواند تاثیرات یک حمله را تخفیف دهد.

برخی از روشهای حملات DOS و یا DDOS به روش های زیر است که پیشنهاد میکنیم جهت مقابله با آنها هر کدام از آنها را به خوبی بررسی کنید تا راهکار مناسب جهت مقابل با آنها را پیدا کنید.
* ICMP flood
* Low-rate Denial-of-Service attacks
* Peer-to-peer attacks
* Asymmetry of resource utilization in starvation attacks
* Permanent denial-of-service attacks
* Application-level floods
* Nuke
* R-U-Dead-Yet
* Distributed attack
* Reflected / Spoofed attack
* Unintentional denial of service
* Denial-of-Service Level II

حملات تحت شبکه

Back Doorدر پشتی
به هر معبر باز در نرم افزار، به طوری که کسی بتواند بدون اطلاع صاحب نرم افزار و کاربر نرم افزار ، از آن عبور کرده و به داخل سیستم نفوذ کند ، Back Door گفته می شود.

· Back Door ها اغلب به دلیل عدم توجه ایجاد کننده نرم افزار ، به صورت باز رها می شود و همین امر باعث می شود علاوه بر ایجاد کننده ، دیگران نیز از آن سوءاستفاده کنند.

Spoofing

تکنیکی است برای دسترسی غیر مجار به کامپیوتر ها
· هکر ابتدا آدرس IP یک کامپیوتر مورد اعتماد را پیدا می کند.
· پس از به دست آوردن این اطلاعات هکر شروع ارسال اطلاعات به سیستم قربانی کرده و خود را مورد اعتماد وانمود می کند (خود را به جای یک کامپیوتر مورد اعتماد جا می زند
· پس از برقراری ارتباط شروع به دریافت اطلاعاتی می کند که در حالت معمول ، مجاز به دسترسی به آنها نیست

Man in the Middle

· نفوذگر بین دو کامپیوتر که در حال تبادل اطلاعات هستند قرار می گیرد.
· نفوذگر ترتیبی را اتخاذ می کند که دو کامپیوتر از وجود او بی اطلاع باشند.
· به این ترتیب دسترسی کاملی به اطلاعات دارد. یعنی هم می تواند آنها را دریافت کند و هم می تواند آنها را مطابق میل خود تغییر دهد و به نفر بعدی تحویل دهد.
· سیستم های Wireless در معرض این حمله قرار دارند.

Replay

· وقتی یک هکر به وسیله ابزار Sniffer بسته های اطلاعاتی را از روی سیم بر می دارد ، یک حمله Replay رخ داده است
· وقتی بسته ها دزدیده شدند ، هکر اطلاعات مهم و نامهای کاربری و کلمات عبور را از درون آن استخراج می کند
· وقتی که اطلاعات ازبسته ها استخراج شدند ، دوباره بسته ها روی خط قرار می گیرند و یا بدانها به صورت دروغین پاسخ داده می شود.

TCP/IP Hijacking

· معمولا به آن جعل نشست (Session Hijacking ) نیز گفته می شود.
· هکر می تواند نشست TCP بین دو ماشین را به دست آورد
· یک روش مشهور استفاده از Source-rout کردن IP ها می باشد.
· Source-rout کردن یعنی بسته های IP را طوری تغییر دهیم که از مسیری خاص بگذرند.

Social Engineeringمهندسی اجتماعی
بیشتری زمانی رخ می دهد که هکر به سیستم های واقعی قصد نفوذ دارد
· راه دیگر هنگامی می باشد که نفوذگر با استفاده از نقاط ضعف کاربر انتهایی (End User ) راه نفوذ به شبکه را پیدا می کند.
· سوءاستفاده از نقاط ضعف افراد با به دست آوردن عادت های شخصیتی افراد برای اغفال آنها و یا تحت فشار قرار دادن آنها تا اطلاعات مورد نیاز برای نفوذ به شبکه را در اختیار فرد هکر قرار دهد

Birthday

یک حمله Birthday نامی است برای یک رده از حملات Brute-Force
· برای فهم بهتر این حمله شما باید به روشهای رمز کردن و شکاندن آنها، اطلاع داشته باشید

Brute force

· یک روش برای به شکستن کلمات رمز و به دست آوردن آنهاست
· حمله Brute-force حروف را به صورت ترکیبی استفاده می کند و با تست کردن آنها رمز عبور را پیدا می کند.

· برای مقابله با این روش باید کلمات رمز با طول زیاد انتخاب کرد و یا کلمات رمز را هر دفعه تغییر داد

Dictionary

· یک روش برای به دست آوردن کلمات رمز عبور است
· کلمه Dictionary در اصل لغتنامه ای از کلمات معروف می باشد که در یک فایل ذخیره شده اند و به وسیله یک ابزار برای شکستن کلمات رمز ، مورد استفاده قرار می گیرند
· برای مقابله با این حمله باید از کلماتی استفاده کرد که در لغتنامه وجود ندارد

Software Explotation

· حمله علیه سوراخها و باگهای موجود در کدهای سیستم
· برای اصلاح آنها باید از Hotfix ها و Service Pack ها استفاده کرد

War Dialing

· استفاده از یک ابزار پویشگر برای اتصال به یک رنجی از شماره های تلفن به وسیله مودم برای اهداف نفوذگرانه
· یک War Dialer نرم افزار می باشد که با استفاده از مودم با یک رنجی از شماره ها تماس گرفته و شماره هایی که تماسی موفق داشته اند را جمع آوری می کند

Buffer Overflow

· حمله سرریزی بافر از کدهای نوشته شده ضعیف استفاده می کند
· اگر در کدهای مختلف نرم افزاری طول آرگومانها بررسی نگردد در معرض این حمله قرار دارند.

· حملات SYN flood از مکانیزم دست تکانی سه مرحله ای (Three-Way handshaking ) در پروتکلهای TCP/IP سوءاستفاده می کند.

· تعداد زیادی از درخواست ها به صورت نصفه کاره ارسال و رها می شود و باعث می شود که سیستم به علت مواجهه با کمبود حافظه از کار بیافتد

Smurfing

· سوء استفاده از ICMP

· فرستادن بسته های به سوی یک شبکه سراسری با آدرسهای منبع دروغین

· قربانی به صورت ناگهانی با سیلی از اینگونه بسته ها مواجهه می گردد و از کار می افتد

Sniffing

· حملات Sniffing با استفاده از شنود و جذب کلیه اطلاعات شبکه انجام می گیرد

· با استفاده از یک تحلیلگر داده های شبکه ، کلیه اطلاعات جذب شده ، تجزیه و تحلیل می شود و کلیه رمزهای عبور و نامهای کاربری شبکه استخراج می گردد.

پروتکلهای مستعد برای استراق سمع
نرم افزار sniffer، برای بدست آوردن بستههایی است که بجای ارسال به MAC address سیستم، به MAC هدف ، ارسال میشوند. این عمل، حالت بیقاعده (promiscuous mode) نامیده میشود. در حالت طبیعی،یک سیستم بر روی شبکه، تنها ترافیکی که بطور مستقیم به آن MAC address ارسال میشود، را میخواند و پاسخ میدهد. در حالت بیقاعده (promiscuous mode)، سیستم تمام ترافیک را میخواند و آنها را برای پردازش به اسنیفرمیفرستد. با نصب نرمافزار درایور مخصوص، حالت بیقاعده (promiscuous mode ) بر روی کارت شبکه فعال میشود. بسیاری از ابزارهای هک برای استراق سمع، دارای درایور promiscuous-mode برای تسهیل این فرآیند هستند.

Ping of Death
فرستادن بسته های بزرگتر از حد معمول برای درهم شکستن سیستم شما
· این حمله به صورت واقعی روی سیستمهای قدیمی ویندوز ، لینوکس و مسیریابهای سیسکو انجام می گیرد.

پویش پورت

· پویش کردن پورت به وسیله نرم افزارهایی انجام می شود تا پورتهای باز سیستم مشخص شود
· بعد از آن با پیدا کردن نقاط آسیب پذیر پورتهای فوق ، یک حمله شکل می گیرد

حملات قطعه قطعه کردن (Fragmentation Attack )

· هدف این دسته از حملات قطعه قطعه کردن یک بسته IP و دوباره بازیابی کردن آن و ایجاد یک کد اجرایی می باشد.
· این دسته حملات بسیار متنوع می باشد
· از جمله :
o Teardrop
o Teardrop2
o NewTear
o SynDrop
o Bonk
o Boink

بخش حملات رایج در شبکه بیان شد حال به بخشی از حملاتی که روی برنامه های کاربردی تحت وب یا همان سایتها اینترنتی ما صورت می گیرد می پردازیم:

در طول حمله SQL injection، کد مخرب وارد فیلدهای وب فرم میشود یا کدهای وب سایت، سبب اجرای پوسته یا دستورات دلخواه دیگر میشوند . هکر میتواند از طریق فیلدهای وب فرم، دستوراتی به SQL server اضافه کند. برای مثال، دستورات هکر میتواند Cmd ر ا باز کند و یا جداول پایگاه داده را نمایش دهد. ممکن است جدول پایگاه داده شامل اطلاعات شخصی از قبیل شمارههای کارت اعتباری، شماره شناسنامه ها و یا پسوردها باشد . بسیاری از سازمانها برای ذخیرهسازی دادههای محرمانه خود از پایگاه دادههای SQL server استفاده میکنند. به همین خاطر، SQL serverها هدف با ارزشی برای هکرها هستند

SQL injection و Buffer overflow
از این نظر مشابه هم هستند که هر دو از طریق کادر ورودی کاربر انجام میگیرند. کادر ورودی کاربر، جائی است که ممکن است کاربری، نام کاربری و کلمه عبورخود را در یک وب سایت وارد کند
این آسیب پذیریها هر دو به خاطر یک مشکل انجام میگیرند
پارامترهای نادرست (invalid) اگر برنامه نویسان، زمان کافی برای بررسی متغیرهایی که کاربر میتواند وارد کند صرف نکنند، نتایج جدی و غیرقابل پیش بینی به همراه خواهد داشت. هکرهای حرفهای، میتوانند از این آسیب پذیریها استفاده کنند و سیستم یا برنامه را خاموش کنند یا shell بگیرند تا دستورات خود را اجرا کنند.

Buffer Overflow Expliots
سرریزی بافر سوءاستفاده از کدنویسی های ضعیف اغلب روی سیستم عامل و یا سرورهای وب انجام می گیرد همچنین روی پارامترهای فرم های درخواستی و یا پارامتر های CGI ها نیز صورت می گیرد و هکر با ایجاد یک سرریزی بافر در پارامترهای خواسته شده به سرور نفوذ می کند

مثال :

کرم Code Red که با فرستادن یک URL بسیار طولانی باعث سرریزی بافر در سرور وی IIS شد.

دستکاری پارامترهای cgi-bin

دستکاری پارامترهایی که در اسکریپت انتهایی سرور مورد استفاده قرار می گیرد. در جهت کارهای خرابکارانه
این پارامترها اغلب به وسیله URL ها به سمت اسکریپت فرستاده می شود

مثال :

هکر در سایت شما URL زیر را مشاهده می کند :

http://app.com/proc.cgi?file=prod.xml

او فایل مورد تحلیل توسط اسکریپت proc.cgi را به صورت دستی تغییر می دهد و URL زیر را به سمت سرور شما ارسال می کند:

http://app.com/proc.cgi?file=../../etc/passwd

و به همین وسیله باعث می شود که اسکریپت proc.cgi به جای نمایش prod.xml فایل پسورد شما را نمایش دهد
دستکاری فیلد های مخفی در فرمهای شما تغییر ارزش فیلد های مخفی برای تجاوز به محدوده فیلد های غیر قابل تغییر.

مثال:

یک صفحه ای از سایت شما که جدولی از فروش کامپیوترهای شخصی می باشد ممکن است شامل چیزی شبیه به این باشد :

<input type="hidden" value="2149.38" >2149.38 …

که نشان می دهد که یک کامپیوتر شخصی 2149.38 دلار قیمت دارد و در هنگام خرید این جنس ، این فیلد به سمت سرور فرستاده می شود و هکر آن را به صورت زیر تغییر می دهد:

نام برنامه
توضیحات
Atomic-Booter
یک بوتر ساده برای یاهو مسنجر 6
AnsweringMachine
یک روبوت که پی ام ها را اتوماتیک جواب میده
Behzad-psV1.7
یک تروجان خوب
Bomsquad
یک بوتر قوی برای یاهو مسنجر 6
Rush V 8.0
یک بوتر با کاربرد زیاد برای یاهو مسنجر 6
Y! Buggies Booter
دو بوتر خوب برای یاهو مسنجر 6
Y Boot
یه بوتر ساده برای یاهو مسنجر 6
Matrix Booter
یه بوتر ساده برای یاهو مسنجر 6
Cam viewer
برای دیدن وب کم دیگران بدون اجازه آنان
Cdidlockerv.6
یک آی دی لاکر ضعیف
Exploite
باگ اکتینیتی یاهو
F3DX
میل بمبر
HoldIt
قفل کردن ویس
Id Locker
برنامه ای قوی برای لاک کردن آی دی
Id Locker 72
برنامه ای قوی برای لاک کردن آی دی
Ip Easy
برنامه ای برای بدست آوردن آی پی
Room Logger
یه بوتر قوی برای روم ها
Emotion Sender
برنامه برای فرستادن شکلک ها مخفی
Toxic
برنامه برای درست کردن ویروس
Multi Messenger
با این برنامه 2 تا یاهو باز کنید
Y-Exploit V.01
ساخت آی دی های نقطه دار
Y-Spy
یک تروجان قوی
007 Spy
یک تروجان معروف
007PWD11
برداشتن پسورد های ستاره
666 Wicked 666
اسکنر پورت
187FINAL
بوتر برای یاهو مسنجر های قدیمی
3 Monitors
نشان دادن پورت باز
7th Portscan
یک پورت اسکنر ساده
Crack Tools
مجموعه برنامه های مفید برای یاهو
Yahoo Pass Finder
یک کراکر خوب ولی قدیم

4