نادر یاری

بررسی حملات هکری DoS و DDoS

در دنیای کامپیوتر ؛ راه های مختلفی برای مختل سازی یا از کار انداختن یک سیستم یا شبکه رایانه ای وجود دارد .
یکی از این راه ها استفاده از حملهٔ منع سرویس (Denial-of-service attack) یا Dos می باشد.

به شکل خلاصه داس ؛ تلاش برای خارج کردن ماشین و منابع شبکه از دسترس کاربران مجازش می‌باشد. با استفاده از این نوع حمله منابع سرور(ها) یا سرویس دهنده که شامل مواردی مثل cpu و ram و پهنای باند است توسط کاربران غیر واقعی که معمولا آن را با عنوان بات نت میشناسیم پر میشود و دیگر کاربر واقعی که نیاز به استفاده از آن سرویس را دارد نمی تواند متصل شود.در واقع هر حمله‌ای علیه دسترس پذیری به عنوان حمله ی منع سرویس تلقی می‌شود.

البته خواسته و انگیزی حمله کننده از حمله DoS میتواند متفاوت باشد اما هدف اصلی قطع موقت یا دائمی یا تعلیق خدمات یک میزبان متصل به اینترنت است.

اهداف حمله DoS معمولاً سایت‌ها یا خدمات میزبانی وب سرور با ویژگی‌های خاص مانند بانک‌ها، سایت های معروف و حتی سرورهای ریشه را هدف قرار می‌دهند. یکی از روش‌های معمول حمله شامل اشباع ماشین هدف با درخواست‌های ارتباط خارجی است به‌طوری‌که ماشین هدف، نمی‌تواند به ترافیک قانونی پاسخ دهد یا پاسخ‌ها با سرعت کم داده می‌شوند یا در دسترس نمی‌باشند. چنین حملاتی منجر به سربار زیاد سرور می‌شوند. حمله DoS کامپیوتر هدف را وادار به ریست شدن یا مصرف منابع اش می‌کند، بنابراین نمی‌تواند به سرویس‌های مورد نظرش سرویس بدهد و همچنین سیاست‌های مورد قبول فراهم کنندگان سرویس‌های اینترنتی را نقض می‌کنند.

تاریخچه حملات DoS

طبق شواهد ، گفته میشود شرکت ارائه دهنده خدمات اینترنت پانیکس ( Panix ) که سومین شرکت ISP از لحاظ قدمت است ، اولین بار هدف حمله ای که تصور می شود ؛ حمله داس بوده قرار گرفت .
در ۶ سپتامبر سال ۱۹۹۶ شرکت پانیکس مورد حمله جریان سیل آسای SYN یا Syn Flood قرار گرفت و باعث شد چند روز سرویس آن ها را down کند.

حمله ای دیگر در سال ۱۹۹۷ در رویداد DEF CON به جریان افتاد و چندین ساعت دسترسی به اینترنت در لاس وگاس استریپ را مختل کرد.

از دیگر حملات مشهور DoS و DDoS میتوان به حمله ۱.۳۵ terabits در ثانیه به سایت گیت هاب و ۲.۳ terabits بر ثانیه ای به آمازون وب سرویس اشاره کرد.

حمله DDoS به تلگرام

یکی دیگر از حملات مهم DDoS در ژوئن ۲۰۱۹ اتفاق افتاد ، در این تاریخ که با تظاهرات ضد استرداد هنگ کنگ همزمان بود ، پیامرسان تلگرام مورد حمله دیداس قرار گرفت .مدیر تلگرام در توضیحات مربوط به این حمله گفت این حملات از طرف دولت چین سازمان دهی شده بودند.

نشانه های وجود حمله

US-CERT علائم حملات منع سرویس را این گونه تعریف می‌کند:

  • کارایی کند و غیر معمول شبکه
  • در دسترس نبودن یک وب سایت خاص
  • ناتوانی در دسترسی به یک وب سایت
  • افزایش چشمگیر در تعداد هرزنامه‌های دریافتی (اسپم)
  • قطع اتصال به اینترنت بی سیم یا سیمی

حملات منع سرویس می‌توانند منجر به مشکلاتی در شاخه‌های شبکه در کامپیوتر واقعی مورد حمله قرار گرفته شده باشند که باعث به خطر افتادن کامپیوتر مورد نظر و کل شبکه یا کامپیوترهای دیگر در LAN می‌شود. اگر حمله در یک مقیاس بزرگ اتفاق افتاده باشد تمام نواحی جغرافیایی اتصالات اینترنت به دلیل پیکربندی نادرست یا سست بودن تجهیزات زیرساختی شبکه به خطر می افتد.

روش های حمله

حملهٔ منع سرویس برای جلوگیری از دسترسی کاربران واقعی و مجاز به سرویس انجام می شود ، به طور کلی دو دسته حمله DoS وجود دارد :
۱-  crash services که باعث خرابی سرویس و یا کاهش کیفیت آن میشود.
۲- flood services که باعث منع استفاده از سرویس میشود.(اصطلاحا سرویس را با بسته های سیل آسا غرق میکند.)
و جدی ترین نوع حمله ، حمله توزیع شده یا distributed میباشد .

حمله DoS به چندین روش انجام می‌شود، پنج نوع اصلی این حمله عبارتند از:

  1. مصرف منابع محاسباتی مانند: پهنای باند، حافظه، فضای دیسک و زمان پردازش
  2. ایجاد تداخل در اطلاعات پیکربندی مثل: اطلاعات مسیریابی
  3. ایجاد تداخل در اطلاعات وضعیت مثل ریست شدن ناخواسته نشست‌های TCP
  4. ایجاد تداخل در تجهیزات فیزیکی شبکه
  5. مانع ارتباطی بین کاربران مجاز و قربانی تا نتوانند با ارتباط ادامه دهند.

حمله DoS ممکن است شامل اجرای نرم‌افزارهای مخرب باشد:

  • حداکثر شدن استفاده از پردازنده از انجام هر کاری جلوگیری می‌کند.
  • خطاهای محرک در میکرو کدهای ماشین
  • خطاهای محرک در توالی دستورالعمل‌ها، به‌طوری‌که کامپیوتر را وادار به یک حالت ناپایدار یا قفل کردن می‌کند.
  • بهره‌برداری از خطاهای موجود در سیستم عامل

در بیشتر موارد حمله DoS با جعل آی پی آدرس فرستنده (آی پی آدرس جعلی)انجام می‌شود، به‌طوری‌که ماشین حمله‌کننده قابل شناسایی نیست.

انواع حمله

جریان سیل آسای آی‌سی‌ام‌پی Internet Control Message Protocol (ICMP) flood

حمله smurf یکی از انواع حملات DoS سیل آسا در بستر اینترنت است. این نوع حمله به پیکربندی نامناسب تجهیزات شبکه که اجازه ارسال بسته‌ها به همه کامپیوترهای میزبان روی یک شبکه خاص با آدرس‌های همه پخشی(broadcast address) را می‌دهد، متکی است. در چنین حمله‌ای مهاجمان با یک آی پی جعلی یک درخواست ping به یک یا چندین سرور broadcast ارسال کرده و آدرس آی پی ماشین هدف (قربانی) را ست می‌کنند .سرور broadcast این درخواست را برای تمام شبکه ارسال می‌کند. تمام ماشین‌های شبکه شروع به ارسال پاسخ به سرور broadcast میکنند. سرور بوردست پاسخ‌های دریافتی را به ماشین هدف هدایت یا ارسال می‌کند. بدین صورت زمانی که ماشین حمله‌کننده درخواستی را به چندین سرور روی شبکه‌های متفاوت broadcast می نماید، مجموعه پاسخ‌های تمامی کامپیوترهای شبکه‌های گوناگون به ماشین هدف ارسال می‌گردند و آن را از کار می اندازند. بنابراین پهنای باند شبکه به سرعت استفاده می‌شود و از انتقال بسته‌های مجاز به مقصدشان جلوگیری به عمل خواهد آمد.برای مبارزه با حمله منع سرویس در اینترنت سرویس‌هایی مانند Smurf Amplifier Registry توانایی تشخیص پیکربندی‌های نامناسب شبکه و انجام عملیات مناسب مثل فیلترینگ را می‌دهند.

بسته‌های سیل آسای Ping، بسته‌های Ping زیادی را به سمت قربانی ارسال می‌کنند. ping of death به ارسال‌هایی از بسته‌های ping با فرمت و شکل نامناسب یه سمت قربانی گفته می‌شود که باعث crash شدن سیستم عامل می‌گردد.

جریان سیل آسای SYN

Syn Flood زمانی اتفاق می افتد که میزبانی از بسته‌های سیل آسای TCP/SYN استفاده کند که آدرس فرستنده آن‌ها جعلی است. هر کدام از این بسته‌ها همانند یک درخواست اتصال بوده و باعث می‌شود سرور درگیر اتصالات متعدد نیمه باز بماند و با فرستادن یا برگرداندن بسته‌های TCP/SYN ACK، منتظر بسته‌های پاسخ از آدرس فرستنده بماند ولی چون آدرس فرستنده جعلی است هیچ پاسخی برگردانده نمی‌شود. این اتصالات نیمه باز تعداد اتصالات در دسترس سرور را اشباع می‌کنند و آن را از پاسخگویی به درخواست‌های مجاز تا پایان حمله باز می دارد. بنابر این منابع سرور به اتصال‌های‌های نیمه باز اختصاص خواهد یافت. و امکان پاسخ گویی به درخواستها از سرور منع می‌شود.

حمله‌های توزیع شده(DDoS)

اگر اتکر برای حمله از یک میزبان استفاده کند به این نوع حمله DoS می‌گوییم ولی حمله DDoS زمانی اتفاق می‌افتد که چندین سیستم به‌طور هم‌زمان پهنای باند یا منابع سیستم مورد هدف را با بسته‌های سیل‌آسا مورد حمله قرار دهند. وقتی سروری با اتصالات زیادی دچار سربار(overload) شود، دیگر نمی‌تواند اتصالات جدیدی را بپذیرد. مزیت عمده‌ای که استفاده از حمله منع سرویس توزیع شده برای مهاجم دارد این است که ماشین‌های چندگانه می‌توانند ترافیک بیشتری را نسبت به یک ماشین تولید کنند و همچنین مسدود کردن منبع حمله را به علت وجود منابع متعدد در حمله غیرممکن می‌سازد.در روش DDoS تمام رایانه‌ها هم‌زمان با هم عمل می‌کنند به‌طوری‌که ممکن است در برخی موارد خسارات جبران‌ناپذیری به بار آورند. در این روش معمولاً مهاجم سیستم‌های زیادی را آلوده کرده و به آن‌ها هم‌زمان فرمان می‌دهد. به سیستم‌های آلوده شده زامبی (zombie) و به شبکه‌ای از این سیستم‌ها که تحت کنترل یک شخص هستند، botnet گفته می‌شود.

حمله Teardrop

این حمله شامل ارسال بسته‌های آی پی است که با هم تداخل دارند یا بسته‌هایی با سایز بزرگ یا بسته‌هایی با ترتیب نامناسب می‌باشند. این حمله می‌تواند سیستم عامل‌های مختلف را به علت اشکالی که در کد بازسازی مجدد بخش‌های TCP/IP دارند crash کند. Windows 3.1x وWindows 95 و سیستم عامل Windows NT و نسخه‌های ۲.۰.۳۲ و ۲.۱.۶۳ لینوکس در برابر این حمله آسیب‌پذیر هستند.

حمله حجمی

این دسته از حملات تلاش می‌کنند با استفاده از تمام پهنای باند موجود بین هدف و اینترنت بزرگتر، باعث ایجاد تراکم شوند. حجم زیادی از داده‌ها با استفاده از یک فرم تقویت یا وسیله ای دیگر برای ایجاد ترافیک بزرگ به سمت یک هدف ارسال می‌شود، مثل درخواست‌های یک بات نت.

حمله نظیر به نظیر

مهاجمان به دنبال راهی برای یافتن اشکال در سرورهای نظیر به نظیر هستند تا حمله DDoS را شروع کنند.حملات نظیر به نظیر متفاوت از حملات مبتنی بر بات نت‌ها هستند. در حملات Peer-to-peer ، بات نت یا مهاجمی برای برقراری ارتباط با کلاینت وجود ندارد به جای آن مهاجم به عنوان دست نشانده‌ای از ارباب، به کلاینت‌های موجود در مراکز به اشتراک‌گذاری فایل‌ها طوری آموزش می‌دهد که شبکه نظیر به نظیر خود را قطع کرده و به جای آن به وب سایت قربانی متصل شوند. در نتیجه چندین هزار کامپیوتر به صورت تهاجمی به وب سایت قربانی وصل می‌شوند. در حالی که وب سرور قبل از این که کارایی اش تنزل پیدا کند قادر به کنترل و مدیریت صدها اتصال در ثانیه بوده‌است بلافاصله بعد از ۵ یا ۶ هزار اتصال در ثانیه شکست می خورد.

حمله منع سرویس دائمی

محرومیت دائم از سرویس که به عنوان phlashing نیز شناخته می‌شود. یک حمله‌ای است که چنان صدمه‌ای به سیستم می زند که نیاز به جایگزینی یا نصب دوباره سخت افزار را به وجود می‌آورد. برخلاف DDoS این نوع حمله از نقص‌های امنیتی که اجازه مدیریت راه دور اینترفیس ‌های سخت افزاری قربانی مثل روتر، چاپگر یا سخت افزارهای شبکه را می‌دهد، سواستفاده می‌کند. مهاجم از این آسیب‌پذیری برای جایگزین کردن سیستم عامل‌های دستگاه با نوع معیوب یا خراب استفاده می‌کند. بنابراین آن‌ها را تا زمان تعمیر یا تعویض، برای هدف اصلی غیرقابل استفاده می‌کند.

Nuke

نوع قدیمی حمله DoS در برابر شبکه‌های کامپیوتری است که متشکل از بسته‌های ICMP تکه تکه یا نامعتبر ارسال شده به سمت هدف است، که با استفاده از ping‌های دستکاری شده و ارسال مکرر داده‌های خراب بدست می‌آید و سرعت سیستم رفته رفته کم شده و متوقف می‌شود. یکی از مثال‌های خاص حمله Nuke،حمله WinNuke است که از آسیب‌پذیری نت بایوس در ویندوز ۹۵ سواستفاده می‌کند.

(R-U-Dead-Yet? (RUDY

این حمله به برنامه‌های کاربردی وب با ایجاد گرسنگی در جلسات در دسترس روی وب سرور حمله می‌کند. شبیه Slowloris، جلسات را با استفاده از انتقال پست‌های بدون پایان و ارسال مقادیر سرآیند با محتویات بزرگ در حالت توقف نگه می‌دارد.

حمله جعل شده/منعکس شده

DrDoS حمله منع سرویس توزیع شده منعکس شده، نوعی از حملات منع سرویس است که طراحی نسبتاً هوشمندانه‌ای دارد. این حمله از آن جهت شبیه به DDoS است که از چندین منبع برای حمله به یک شخص استفاده می‌کند؛ اما این کار به‌طور پنهانی انجام می‌شود. در این حمله مهاجم بسته‌هایی را به تعداد زیادی(صدها نفر) از کاربران می‌فرستد و به آن‌ها هشدار می‌دهد که رایانهٔ قربانی درخواست سرویس خاصی را دارد. به ازای هر بسته میزان بسیار کمی از ترافیک تولید می‌شود، شاید کوچکتر از درخواست‌های معمول؛ از این رو بسیار بعید است که این حمله توسط مدیران مورد توجه قرار گرفته یا حس شود. حملات درخواست echo ICMP به عنوان نوعی حمله منعکس شده در نظر گرفته می‌شوند که در آن میزبان‌های سیل آسا درخواست‌های echo را به آدرس‌های همه پخشی شبکه‌های با پیکربندی نامناسب ارسال می‌کند در نتیجه میزبان مجبور به ارسال بسته‌های پاسخ echo به قربانی می‌شود. DDoS‌های اولیه به این شکل پیاده‌سازی می‌شدند.

حمله منع سرویس تلفنی

  • scammer با بانکدار قربانی یا کارگذار تماس برقرار می‌کند و هویت قربانی را برای درخواست انتقال وجه جعل می‌کند، بانکدار تلاش می‌کند تا با قربانی برای تأیید انتقال، تماس حاصل کند ولی خطوط تلفن قربانی با هزاران تماس ساختگی به صورت سیل آسا مورد حمله قرار گرفته و موجب در دسترس نبودن قربانی می‌شود.
  • scammer با مشتری با ادعای ساختگی برای پرداخت وام فوق العاده زیاد تماس می‌گیرد، scammer‌ها در برخی موارد از شناسه جعلی تماس گیرنده برای جا زدن خودشان به جای پلیس یا آژانس‌های اجرای قانون استفاده می‌کنند.

سوء استفاده‌های مرتبط شامل حملات سیل آسای پیامکی و فکس‌های سیاه یا انتقال حلقه‌ای فکس است.

حمله توزیع شده انکار از سرویس مبتنی بر سرویس دهنده نام دامنه

DNS DDoS Amplification Attack نوعی از حمله DDoS می‌باشد که قربانی(مثلاً یک سرویس دهنده نام) را در سیلابی از پیام‌های جواب DNS گرفتار می‌کند.

شیوه انجام حمله

دراین نوع حمله مهاجم به جای استفاده از سیستم خود از سیستم دیگران استفاده می‌کند. با این کار احتمال شناسایی شدن خود را پایین می‌آورد، به علاوه موفقیت این حمله به زیاد بودن تعداد سیستم‌هایی که در این فعالیت شرکت می‌کنند وابسته است. راه‌های زیادی وجود دارد که مهاجم می‌تواند کنترل سیستم‌های دیگر را به دست آورد مثلاً ارسال ایمیل‌های آلوده به تعداد بسیار زیادی از سیستم ها. به سیستم‌های آلوده شده زامبی (zombie) و به شبکه‌ای از این سیستم‌ها که تحت کنترل یک شخص هستند، بات نت (botnet) می‌گویند. کاربران سیستم‌های زامبی اغلب از آلوده شدن کامپیوترهای خود بی خبر می‌باشند چرا که این سیستم ها برای تخریب سیستم‌های دیگر و نه نابودی خود استفاده می‌شوند.
با فرمان مهاجم تمام سیستم‌های زامبی شروع به ارسال پیام‌های درخواست DNS می‌کنند. این پیام‌ها دو ویژگی دارند،اولاً سیستم‌های زامبی با جعل آدرس مبدأ بسته‌های این پیام ها، آدرس سیستم قربانی را جایگزین آدرس خود می‌کنند. ثانیاً در در این پیام‌ها محتوای رکورد بسط (amplification record) مورد تقاضا می‌باشد. با استفاده از قابلیت گسترش مهاجم می‌تواند حجم ترافیکی مورد استفاده در حمله را بسیار بالا ببرد چرا که با وجود کوچک بودن حجم محتوای این نوع پیام‌های درخواست(تقریباً ۶۰ بایت)،حجم پیام‌های پاسخ بسیار بالا و قابل توجه(تقریباً ۴۰۰۰ بایت) می‌باشد.
مهاجم لیستی از سرویس دهندگان نام دامنه (Domain Name Server) (یا به اختصار DNS) را که از شیوه بازگشتی استفاده می‌کنند، می‌داند و پیام‌های ارسالی سیستم‌های شبکه botnet در این سرویس دهندگان دریافت می‌شود. پس از انجام عملیات لازم و تولید پیام جواب،این پیام به جای ارسال شدن به سمت سیستم‌های زامبی، به سمت قربانی (به دلیل جعل آدرس مبدأ در پیام درخواست) ارسال می‌شود.
قربانی بی خبر، با وجود آنکه حتی یک پیام درخواست ارسال نکرده ناگهان با بمبارانی از پیام‌های جواب روبه‌رو می‌شود.هر پیام جواب حاوی یک رکورد ۴۰۰۰ بایتی می‌باشند بنابراین به دلیل بسیار بزرگ بودن اندازه آن‌ها به مجموعه‌ای از بسته‌های کوچکتر شکسته می‌شوند.این موضوع باعث می‌شود تا سیستم مقصد مجبور به دریافت این بسته‌ها و انجام عملیات روی هم‌گذاری آن‌ها شود که منجر به افزایش بار پردازش در ماشین مقصد می‌شود.

خواص پروتکل DNS در موفقیت حمله

۱- پروتکل DNS از پروتکل UDP و نه از TCP استفاده می‌کند.استفاده از جعل آدرس مبدأ با استفاده از UDP راحت‌تر از TCP می‌باشد.

۲- این موضوع که پیام‌های جواب از نظر اندازه می‌تواند به مراتب بزرگتر از پیام‌های درخواست باشند، به مهاجم در استفاده از خاصیت قابلیت گسترش (amplification record) در انجام حمله کمک می‌کند.

راه‌های مقابله با این حمله

برخلاف پیام‌های درخواست در پیام‌های جواب آدرس مبدأ جعل نمی‌شود پس آدرس مبدأ در این پیام‌ها همان آدرس سرویس دهندگان نام می‌باشد. بسته به میزان شدت حمله بر روی سیستم قربانی، این سیستم می‌تواند نرخ ترافیک دریافتی از این آدرس‌های مبدأ را محدود کند، یا با استفاده از قوانین فیلتر گیرنده تمام بسته‌های جواب DNS را که طولشان به طرز مشکوکی طولانی می‌باشد را حذف کند، یا به‌طور کلی تمام ترافیک‌های مربوط به آدرس سرویس دهندگان نام‌هایی که از شیوه بازگشتی استفاده می‌کنند را بلوکه کند.
موفقیت این حمله بسیار به این موضوع وابسته است که از سیستم‌های سرویس دهندگان نام دامنه‌ای برای تولید پیام‌های جواب استفاده شود که از شیوه بازگشتی استفاده می‌کنند. سرویس دهندگانی که از شیوه بازگشتی استفاده می‌کنند به این صورت رفتار می‌کنند که اگر اطلاعات رکورد مورد نظر در آن‌ها ذخیره نشده باشد خود با ارسال پیام به سرویس دهنده دیگر درخواست دریافت رکورد مورد نظر را اعلام می‌کند. سرویس دهنده دیگر نیز در صورتی که رکورد موردنظر را نداشته باشد همین کار را تکرار می‌کند و این زنجیره ادامه می یابد تا بالاخره یکی از سرویس دهندگان حاوی رکورد مورد نظر باشد و پیام جواب به صورت بازگشتی به دست سرویس دهنده اولیه برسد. در حالی که در شیوه غیر بازگشتی اگر سرویس دهنده دارای رکورد مورد نظر نباشد با ارسال یک پیام به آدرس سیستم ارسال‌کننده پیام درخواست،به وی اطلاع می‌دهد که اطلاعات رکورد مورد نظر را ندارد ولی آدرس سرویس دهنده دیگری که می‌تواند در پیدا کردن این رکورد کمک کند را به مبدأ اعلام می‌کند. پس اگر در حمله از سرویس دهندگانی استفاده میشد که از شیوه غیر بازگشتی استفاده می‌کنند، اگر رکورد مورد نظر را نداشتند پیامی به ماشین قربانی ارسال می شد. ماشین قربانی نیز چون قبلاً هیچ پیام درخواستی ارسال نکرده بود،این پیام را نادیده می گرفت.استفاده از شیوه بازگشتی زمانی مناسب است که سرویس دهندگان از این شیوه برای تولید پیام جواب برای پیام‌های درخواستی ارسال شده از سوی کاربران قابل اعتماد مربوط به شبکه خودش (مثلاً یک رنج مشخصی از آدرس‌های IP) و نه برای هر مبدأ با هر آدرس ممکن استفاده کند.متأسفانه تعداد سرویس دهندگان نام دامنه که از شیوه بازگشتی (پیکربندی نامناسب) استفاده می‌کنند کم نیست.

مدیریت یا اداره حمله

پاسخ دفاعی در برابر حملات منع سرویس شامل استفاده از ترکیبی از روش‌های تشخیص حمله، طبقه‌بندی ترافیک و ابزارهای پاسخ است که هدف آن‌ها بلوکه کردن ترافیک‌های غیرمجاز و اجازه برقراری ترافیک‌های مجاز می‌باشد.

به‌طور کلی هیچ راه تضمین‌کننده‌ای برای جلوگیری از این حمله وجود ندارد و تنها راه‌هایی برای جلوگیری از برخی روش‌های متداول و کم کردن اثرات سایر روش‌ها موجوداست، چرا که بسیاری از روش‌ها به هیچ‌عنوان قابل پیشگیری نیست، به عنوان مثال اگر شبکه botnet با صدهزار zombie صفحه‌ای از سایت را باز کنند، این درخواست یک درخواست عادی بوده و نمی‌توان تشخیص داد که درخواست دهنده سیستم معمولی است یا zombie و به همین جهت نمی‌توان جلوی آن‌را گرفت.

استفاده از سیستم‌های تشخیص دهنده (IPS) سیستم‌های تشخیص براساس سرعت بسته‌ها (RBIPS) و این‌گونه سیستم‌ها نیز روش مناسبی برای جلوگیری از این حملات است.

بسته‌های نرم‌افزاری نیز موجودند که شامل تمام این سیستم‌ها هستند، استفاده از این بسته‌ها علاوه بر حملات DoS بسیاری دیگر از حملات را شناسایی می‌کنند، بسته نرم‌افزاری SSP (Sun Security Package) از جمله این بسته‌ها است که کار شناسایی و جلوگیری را به صورت خودکار انجام می‌دهد.

دیوار آتش

دیوار آتش می‌تواند به این صورت راه اندازی شود که شامل قوانین ساده برای اجازه یا رد کردن پروتکل‌ها، پورت‌ها یا آی پی آدرس‌ها باشد. در مورد حملات ساده‌ای که از آدرس‌های با آی پی غیرمعمول می آیند می‌توان با قرار دادن قانون ساده‌ای که ترافیک‌های ورودی از چنین مهاجمانی را حذف کند. برخی حملات با چنین قوانین ساده‌ای قابل بلوکه شدن نیستند، اگر یک حمله روی پورت ۸۰(وب سرویس)در حال انجام باشد غیرممکن است که همه ترافیک‌های ورودی روی چنین پورتی را حذف کرد، زیرا این کار، سرورها را از ارائه ترافیک قانونی منع می‌کند.

سوئیچ‌ها

برخی سوئیچ‌ها دارای عوامل محدودکننده نرخ و قابلیت لیستهای کنترل دسترسی هستند. برخی سوئیچ‌ها از فیلترینگ برای تشخیص و از بین بردن حملات DoS از طریق فیلتر کردن خودکار نرخ استفاده می‌کنند.

روترها

مشابه سوئیچ‌ها، روترها هم قابلیت ACL و کنترل نرخ را دارند.بیشتر روترها می‌توانند در برابر حملات DoS قرار بگیرند. سیستم عامل‌های سیسکو دارای ویژگی ای هستند که از حملات سیل آسا پیشگیری می‌کند.

استفاده از روتر های جدید و مدرن با توجه به پیشرفت علم و آمدن اینترنت های نسل جدید ای دی اس ال ۲ سبب شد تا برای داشتن سرعت بیشتر کاربران و راحتی آن ها استفاده از طریق روتر های مدرن که سرعت بیشتری داشته اند بسیار مورد استقبال تمامی کاربران قرار بگیرد ، موج جدیدی از حملات دی داس بر روی انواع سرور ها با شروع ای دی اس ال ۲ و نسل جدید مودم های خانگی و سازمانی آغاز شد ، همین موضوع سبب شد تا سازمان های بسیاری در زمینه ارائه دهنده خدمات اینترنت و شرکت های ارائه دهنده هاست و انواع سرور در سر تا سر دنیا ابراز نگرانی کنند.

سیستم پیشگیری از نفوذ

سیستم پیشگیری از نفوذ زمانی مؤثر است که حملات دارای امضا باشند.سیستم پیشگیری از نفوذ که روی شناخت محتوا کار می‌کند نمی‌تواند حملات DoS مبتنی بر رفتار را بلوکه کند. IPS مبتنی بر ASCI می‌تواند حملات منع سرویس را تشخیص و بلوکه کند، زیرا دارای توان پردازشی و تجزیه و تحلیل حملات است. IPS مبتنی بر نرخ(RBIPPS)باید الگوی ترافیک را به صورت تک تک و به‌طور پیوسته مانیتور کند . آنومالی ترافیک را در صورت وجود تعیین کند.

سیاه چاله و گودال

به مدیر اجازه می‌دهد که ترافیک حمله را به یک آدرس آی پی (اینترفیس خالی یا سرور غیرموجود)، هدایت کند تا آن را حذف نماید. وقتی حمله‌ای تشخیص داده می‌شود، یک مسیر ثابت ایجاد می‌شود تا ترافیک حمله را به جای ماشین قربانی به سمت یک سیاه چاله، هدایت کنند. در حالت گودال، ترافیک حمله به یک آدرس آی پی ارسال می‌شود تا برای بررسی بیشتر ثبت شود. مزیت آن این است که ترافیک حمله می‌تواند جمع‌آوری و آنالیز شود تا الگوی حمله مورد مطالعه و بررسی قرارگیرد.

Backscatter

در امنیت شبکه‌های کامپیوتری، برگشت پراکنده مشکل و عارضه جانبی حمله منع سرویس جعلی است. در این نوع حمله، مهاجم آدرس آی پی مبدأ بسته را جعل می‌کند و به قربانی ارسال می‌کند، در کل ماشین قربانی قادر به تشخیص بسته‌های جعلی و مجاز نیست، بنابراین قربانی به بسته‌های جعلی پاسخ می‌دهد،این بسته‌های پاسخ به عنوان برگشت پراکنده تلقی می‌شوند.اگر مهاجم آی پی آدرس‌های مبدأ را به صورت تصادفی جعل کند، بسته‌های پاسخ برگشت پراکنده از قربانی به مقصدهای تصادفی ارسال می‌شوند.

تفاوت حملات Dos و DDos در چیست؟

DOS ‪(denial-of-service)‬ و DDOS ‪(distributed denial-of-service )‬ حملاتی هستند که در آن نفوذگر با ارسال درخواست‌های زیاد به یک کامپیوتر یا سرور منجر به خارج شدن آن از دسترس می‌گردد.

در حملات Dos نفوذگر از یک سیستم درخواست‌ها را ارسال می‌کند. ولی در حملات DDos که نوعی از حملات از Dos می‌باشد، حملات از طریق چند سیستم صورت می‌گیرد. در این نوع حملات نفوذگر امکان دارد از کامپیوتر شما برای حمله به سیستم دیگری استفاده کند به شکلی که کنترل کامپیوتر شما را به دست گرفته و از آن برای حمله به دیگر سرویس‌ها استفاده میکند.

در کل هدف از هر دو نوع حمله خارج نمودن سرور از دسترس کاربران می‌باشد.

منابع :

ویکی پدیا انگلیسی و فارسی

سایت پلیس فتا

منتشر شده

در

توسط

نادر یاری

برچسب‌ها:

, , , , , ,