ourweb
January 23rd, 2015, 15:09
آیا تا كنون پیش آمده است كه بخواهید یك تماس تلفنی برقرار نمایید ولی به دلیل مشغول بودن تمام مسیرهای ارتباطی نتوانید این كار را انجام دهید؟ 1- حملات انكار سرویس توزیع شده چه هستند؟ آیا تا كنون پیش آمده است كه بخواهید یك تماس تلفنی برقرار نمایید ولی به دلیل مشغول بودن تمام مسیرهای ارتباطی نتوانید این كار را انجام دهید؟ گاهی چنین اتفاقی در برخی تعطیلات و روزهای خاص مانند نوروز رخ میدهد. دلیل این مشكل آن است كه سیستم تلفن طوری طراحی شده است كه میتواند تعداد محدودی تماس را در یك زمان واحد برقرار كند. این حد بر اساس تخمین تعداد تماسهای همزمان و حجم ترافیكی كه سیستم دریافت میكند تعیین میشود. اگر تعداد تماسها همیشه زیاد باشد، از نظر اقتصادی برای شركت مخابرات مقرون به صرفه است كه ظرفیت بیشتری را برای سرویس دادن به این تماسها ایجاد نماید. ولی اگر تعداد تماسها در روزهای عادی كم و فقط در برخی روزهای خاص زیاد باشد، شركت مخابرات شبكه ای ایجاد میكند كه ظرفیت كمتری داشته باشد و از كاربران میخواهد كه از برقراری تماس در ساعات اوج ترافیك تلفنی خودداری نمایند. حال تصور كنید كه یك فرد نفوذگر بخواهد به سیستم تلفن حمله كرده و آن را برای مشتركان تلفن غیر قابل استفاده نماید. یكی از روشهای حمله آن است كه تماسهای مكرر و پشت سر هم برقرار كرده و تمامی خطوط تلفن را اشغال كند. این نوع از حمله به حمله انكار سرویس یا DoS مشهور است كه قبلا در مقاله ای راجع به آن توضیح داده ایم. در حقیقت فرد مهاجم كاری كرده است كه سیستم تلفن مجبور شود تماسهای تلفنی مشتركان را رد و انكار نماید. البته واقعیت این است كه احتمال اینكه یك فرد به تنهایی بتواند تمامی مسیرهای تلفن را مشغول كند بسیار كم است. برای انجام این كار باید تعداد بسیار زیادی تماس از تعداد بسیار زیادی تلفن برقرار گردد. به این كار حمله انكار سرویس توزیع شده یا DDoS گفته میشود. سیستمهای كامپیوتری نیز ممكن است دچار حملات DoS یا DDoS گردند. برای مثال، ارسال حجم زیادی پست الكترونیكی برای یك نفر میتواند حافظه كامپیوتری را كه پست الكترونیك در آن قرار دارد پر كند. این بدان معناست كه افرادی كه از آن كامپیوتر استفاده میكنند قادر نخواهند بود هیچ ایمیل جدیدی دریافت كنند مگر اینكه شرایط به نوعی تغییر نماید. این یكی از انواع قدیمی حملات DoS است. علاوه بر این، افراد نفوذگر تلاش خود را بر روی حملات انكار سرویس روی شبكه های كامپیوتری معطوف كرده اند. از جمله این شبكه ها میتوان به World Wide Web، سرویسهای اشتراك فایلها و سرویسهای نام دامنه((DNS اشاره كرد. از آنجایی كه تعداد بسیار زیادی كامپیوتر از طریق اینترنت به یكدیگر متصلند، حمله به یكی از این سرویسها میتواند تاثیر زیادی روی كل جامعه اینترنتی داشته باشد. برای مثال با ایجاد یك حمله DoS روی یك شبكه فروش مشهور در زمان اوج فروش آن، نه تنها فروشنده تحت تاثیر قرار میگیرد، بلكه تمامی كسانی كه نمیتوانند مایحتاج خود را خریداری نمایند نیز تحت تاثیر قرار میگیرند. افراد نفوذگر برای انكار سرویسهای مورد نیاز كاربران یك سرویس كامپیوتری، برنامه های كامپیوتری خاصی را اجرا میكنند كه درخواستهای اینترنتی بسیار زیادی را به كامپیوتری كه آن سرویسها را ارائه میدهد ارسال میكند. این كار دقیقا شبیه همان كاری است كه در مورد سیستم تلفن اتفاق می افتد. زمانی كه یك كامپیوتر به چنین درخواستی پاسخ میدهد، در اغلب موارد كسی در طرف دیگر تماس قرار ندارد و در نتیجه پاسخ دادن به این درخواست فقط تلف شدن زمان است. متاسفانه در این موارد سرویسی كه مورد حمله قرار میگیرد نمیتواند تفاوتی بین یك تماس واقعی و چنین تماسی قائل شود و در نتیجه مجبور است به تمامی درخواستها پاسخ دهد. علاوه بر این ممكن است حجم ترافیك چنان بالا باشد كه شبكه های متصل كننده كامپیوترهای مهاجمان به كامپیوترهای قربانی نیز با مشكل كمبود ظرفیت مواجه شوند. درست مانند سیستم تلفن و كامپیوترهای سرویس دهنده، این شبكه ها نیز نمیتوانند بیش از حد مشخصی ترافیك را تحمل كنند. در نتیجه درخواست كاربرانی كه سرویسهایی از كامپیوترهای آن شبكه ها بخواهند، نیز رد خواهد شد و این شبكه ها نیز قربانی این حملات DDoS محسوب میشوند.
2- افراد نفوذگر چگونه از حملات انكار سرویس توزیع شده بر علیه كامپیوتر یك قربانی استفاده میكنند؟
ابتدا افراد مهاجم شبكه ای از كامپیوترهایی كه برای تولید ترافیك مورد نیاز برای انكار سرویس لازم است ایجاد میكنند. به این شبكه یك شبكه حمله گفته می شود. برای ساختن این شبكه حمله، افراد نفوذگر به دنبال كامپیوترهایی میگردند كه به لحاظ امنیتی ضعیف هستند. برای مثال كامپیوترهایی كه اصلاحیه ها را نصب نكرده اند و یا كامپیوترهایی كه آنتی ویروس قوی و به روز ندارند برای این كار مناسب هستند. زمانی كه افراد نفوذگر این كامپیوترها را پیدا كردند، برنامه های جدیدی روی این كامپیوترها نصب میكنند تا از راه دور برای انجام حملات قابل كنترل باشند. قبلا افراد نفوذگر كامپیوترهای مورد استفاده در شبكه حمله را به صورت دستی انتخاب میكردند. اما این روزها عملیات ساختن یك شبكه حمله بصورت خودكار و با استفاده از برنامه هایی كه خود را منتشر میكنند انجام میگیرد. این برنامهها به صورت خودكار كامپیوترهای آسیب پذیر را پیدا كرده و به آنها حمله میكنند و سپس برنامه های لازم را نصب می كنند. سپس تمام این عملیات به وسیله این كامپیوترهای جدید تكرار شده و آنها نیز كامپیوترهای آسیب پذیر دیگری را می یابند. زمانی كه یك برنامه DDoS روی یك كامپیوتر نصب میشود، این برنامه این كامپیوتر را به عنوان یكی از اعضای شبكه حمله معرفی میكند. از آنجایی كه این برنامهها این ویژگی را دارا هستند كه خودشان را منتشر میكنند، یك شبكه حمله بزرگ به سرعت ساخته میشود. عملیات ساختن یك شبكه حمله به خودی خود نیز یك حمله DDoS است. چراكه جستجو برای یافتن كامپیوترهای آسیب پذیر دیگر ترافیك سنگینی ایجاد میكند. وقتی كه یك شبكه حمله ساخته شد، فرد نفوذگر آماده حمله به قربانی یا قربانیان منتخب است. برخی متخصصین امنیت اطلاعات معتقدند كه بسیاری از شبكه های حمله در حالت عادی وجود دارند و مانند آتش زیر خاكسترند. این شبكه ها منتظر دریافت دستوری برای ایجاد یك حمله بر علیه كامپیوترهای قربانی هستند. برخی دیگر اعتقاد دارند كه شبكه حمله پس از شناسایی یك قربانی ساخته شده و سپس حمله آغاز میگردد. نفوذگران برای اینكه امكان شناسایی خود را كم كنند، حملات خود را روی كامپیوترهای مختلف در حوزه های زمانی مختلف، در حوزه های قضایی متفاوت و با مدیریت های متفاوت توزیع میكنند. همچنین نفوذگران كاری میكنند كه به نظر برسد ترافیك تولیدشده از منبعی به جز منبع حقیقی آن ارسال شده است. به این كار جعل IP گفته میشود و روشی مرسوم برای پنهان كردن منبع حمله است. طبیعی است كه اگر منبع حمله ناشناس باقی بماند، متوقف كردن آن نیز كار دشواری خواهد بود. ویروس MyDoom یك مثال از چنین شبكه های حمله ای است. شبكه حمله MyDoom به جای آسیب پذیریهای فنی بر اساس آسیب پذیریهای خود كاربران (روشهای مهندسی اجتماعی) ساخته شده بود. كاربران سیستم كامپیوتر ترغیب میشدند كه یك برنامه خرابكار را اجرا كنند كه به عنوان یك ضمیمه پست الكترونیك ارسال شده و یا به عنوان یك فایل از طریق ارتباط نقطه به نقطه دریافت شده بود. این برنامه كامپیوتر آنها را به شبكه حمله اضافه میكرد. ولی به جای اینكه برنامه خرابكار نصب شده از راه دور كنترل شود، فرد نفوذگر طوری برنامه ریزی كرده بود كه این برنامه به طور خودكار حجم بالایی از ترافیك را در تاریخ 1 فوریه 2004 به سایت Xinuos | Home (http://www.sco.com) و در تاریخ 3 فوریه 2004 به سایت Microsoft – Official Home Page (http://www.microsoft.com) ارسال نماید.
3- چه كاری برای مقابله با حملات انكار سرویس توزیع شده میتوان انجام داد؟
در واقع راه مشخصی برای حذف حملات DDoS وجود ندارد. بهترین راه آن است كه كامپیوترها و شبكه ها را در مقابل حملات مقاوم كنیم. به این مساله قابلیت بقا (survivability) گفته میشود. تمامی سیستمها محدودیتهای خود را دارا هستند. یك راه برای افزایش قابلیت بقای یك سیستم این است كه ظرفیت آن را افزایش دهیم. هر چه منابع موجود بیشتر باشند، شانس بقای سیستم در مقابل افزایش درخواستها بیشتر میشود. برای افزایش ظرفیت سیستم تلفن، شركت مخابرات مسیرهای ارتباطی تلفنها را افزایش میدهد. در مورد یك سرویس وب نیز ممكن است مدیر شبكه تعداد ارتباطاتی را كه یك سرویس وب میتواند قبول كند افزایش دهد. برای مثال یك سایت میتواند وب سرورهای بیشتری را اضافه نماید. این كار باعث میشود كه بار ترافیك بین كامپیوترهای بیشتری تقسیم شود و احتمال رسیدن به نقطه ای كه این سایت نتواند پاسخگوی درخواستهای كاربران خود باشد كمتر گردد. هر چه ظرفیت تمام سیستمهایی كه بطور بالقوه در معرض خطرند بالاتر باشد، امكان بقای شبكه در زمان حمله DDoS افزایش می یابد. برای اطمینان از اینكه كامپیوتر شما بخشی از یك شبكه حمله DDoS نیست میتوانید راهكارهای ارائه شده در این مطلب را مطالعه نمایید. سوالهای زیر را از خود بپرسید:
آیا كامپیوترهای شما خیلی كندتر از حالت معمول كار میكنند؟
آیا اینترنت شما كندتر از حالت معمول است؟
آیا چراغهای مودم شما بیشتر مواقع ثابت یا روشن هستند؟
هر كدام از موارد فوق میتواند نشان دهنده این موضوع باشد كه كامپیوتر شما عضوی از یك شبكه حمله DDoS است. اگر چنین اتفاقی رخ داده است با یك متخصص امنیت تماس گرفته و به توصیه های وی عمل نمایید. علاوه بر این حتما موقتا كامپیوتر یا مودم خود را خاموش نمایید تا از ادامه جریان ترافیك DDoS جلوگیری كنید. اگر كامپیوتر شما عضوی از یك شبكه حمله DDoS است به این معناست كه سیستم شما مورد سوء استفاده قرار گرفته و ابزارهای حمله روی كامپیوتر شما نصب شده است. شما ابتدا باید بفهمید كه نفوذگران چه كاری انجام داده اند و سپس خرابی ایجاد شده را ترمیم نمایید. حملات انكار سرویس توزیع شده یك مشكل جدی هستند و با اینكه تحقیقات زیادی برای جلوگیری از آنها انجام شده، هنوز دردسر ساز میشوند.
منبع:
The CERT Division | SEI | CMU (http://www.cert.org)
2- افراد نفوذگر چگونه از حملات انكار سرویس توزیع شده بر علیه كامپیوتر یك قربانی استفاده میكنند؟
ابتدا افراد مهاجم شبكه ای از كامپیوترهایی كه برای تولید ترافیك مورد نیاز برای انكار سرویس لازم است ایجاد میكنند. به این شبكه یك شبكه حمله گفته می شود. برای ساختن این شبكه حمله، افراد نفوذگر به دنبال كامپیوترهایی میگردند كه به لحاظ امنیتی ضعیف هستند. برای مثال كامپیوترهایی كه اصلاحیه ها را نصب نكرده اند و یا كامپیوترهایی كه آنتی ویروس قوی و به روز ندارند برای این كار مناسب هستند. زمانی كه افراد نفوذگر این كامپیوترها را پیدا كردند، برنامه های جدیدی روی این كامپیوترها نصب میكنند تا از راه دور برای انجام حملات قابل كنترل باشند. قبلا افراد نفوذگر كامپیوترهای مورد استفاده در شبكه حمله را به صورت دستی انتخاب میكردند. اما این روزها عملیات ساختن یك شبكه حمله بصورت خودكار و با استفاده از برنامه هایی كه خود را منتشر میكنند انجام میگیرد. این برنامهها به صورت خودكار كامپیوترهای آسیب پذیر را پیدا كرده و به آنها حمله میكنند و سپس برنامه های لازم را نصب می كنند. سپس تمام این عملیات به وسیله این كامپیوترهای جدید تكرار شده و آنها نیز كامپیوترهای آسیب پذیر دیگری را می یابند. زمانی كه یك برنامه DDoS روی یك كامپیوتر نصب میشود، این برنامه این كامپیوتر را به عنوان یكی از اعضای شبكه حمله معرفی میكند. از آنجایی كه این برنامهها این ویژگی را دارا هستند كه خودشان را منتشر میكنند، یك شبكه حمله بزرگ به سرعت ساخته میشود. عملیات ساختن یك شبكه حمله به خودی خود نیز یك حمله DDoS است. چراكه جستجو برای یافتن كامپیوترهای آسیب پذیر دیگر ترافیك سنگینی ایجاد میكند. وقتی كه یك شبكه حمله ساخته شد، فرد نفوذگر آماده حمله به قربانی یا قربانیان منتخب است. برخی متخصصین امنیت اطلاعات معتقدند كه بسیاری از شبكه های حمله در حالت عادی وجود دارند و مانند آتش زیر خاكسترند. این شبكه ها منتظر دریافت دستوری برای ایجاد یك حمله بر علیه كامپیوترهای قربانی هستند. برخی دیگر اعتقاد دارند كه شبكه حمله پس از شناسایی یك قربانی ساخته شده و سپس حمله آغاز میگردد. نفوذگران برای اینكه امكان شناسایی خود را كم كنند، حملات خود را روی كامپیوترهای مختلف در حوزه های زمانی مختلف، در حوزه های قضایی متفاوت و با مدیریت های متفاوت توزیع میكنند. همچنین نفوذگران كاری میكنند كه به نظر برسد ترافیك تولیدشده از منبعی به جز منبع حقیقی آن ارسال شده است. به این كار جعل IP گفته میشود و روشی مرسوم برای پنهان كردن منبع حمله است. طبیعی است كه اگر منبع حمله ناشناس باقی بماند، متوقف كردن آن نیز كار دشواری خواهد بود. ویروس MyDoom یك مثال از چنین شبكه های حمله ای است. شبكه حمله MyDoom به جای آسیب پذیریهای فنی بر اساس آسیب پذیریهای خود كاربران (روشهای مهندسی اجتماعی) ساخته شده بود. كاربران سیستم كامپیوتر ترغیب میشدند كه یك برنامه خرابكار را اجرا كنند كه به عنوان یك ضمیمه پست الكترونیك ارسال شده و یا به عنوان یك فایل از طریق ارتباط نقطه به نقطه دریافت شده بود. این برنامه كامپیوتر آنها را به شبكه حمله اضافه میكرد. ولی به جای اینكه برنامه خرابكار نصب شده از راه دور كنترل شود، فرد نفوذگر طوری برنامه ریزی كرده بود كه این برنامه به طور خودكار حجم بالایی از ترافیك را در تاریخ 1 فوریه 2004 به سایت Xinuos | Home (http://www.sco.com) و در تاریخ 3 فوریه 2004 به سایت Microsoft – Official Home Page (http://www.microsoft.com) ارسال نماید.
3- چه كاری برای مقابله با حملات انكار سرویس توزیع شده میتوان انجام داد؟
در واقع راه مشخصی برای حذف حملات DDoS وجود ندارد. بهترین راه آن است كه كامپیوترها و شبكه ها را در مقابل حملات مقاوم كنیم. به این مساله قابلیت بقا (survivability) گفته میشود. تمامی سیستمها محدودیتهای خود را دارا هستند. یك راه برای افزایش قابلیت بقای یك سیستم این است كه ظرفیت آن را افزایش دهیم. هر چه منابع موجود بیشتر باشند، شانس بقای سیستم در مقابل افزایش درخواستها بیشتر میشود. برای افزایش ظرفیت سیستم تلفن، شركت مخابرات مسیرهای ارتباطی تلفنها را افزایش میدهد. در مورد یك سرویس وب نیز ممكن است مدیر شبكه تعداد ارتباطاتی را كه یك سرویس وب میتواند قبول كند افزایش دهد. برای مثال یك سایت میتواند وب سرورهای بیشتری را اضافه نماید. این كار باعث میشود كه بار ترافیك بین كامپیوترهای بیشتری تقسیم شود و احتمال رسیدن به نقطه ای كه این سایت نتواند پاسخگوی درخواستهای كاربران خود باشد كمتر گردد. هر چه ظرفیت تمام سیستمهایی كه بطور بالقوه در معرض خطرند بالاتر باشد، امكان بقای شبكه در زمان حمله DDoS افزایش می یابد. برای اطمینان از اینكه كامپیوتر شما بخشی از یك شبكه حمله DDoS نیست میتوانید راهكارهای ارائه شده در این مطلب را مطالعه نمایید. سوالهای زیر را از خود بپرسید:
آیا كامپیوترهای شما خیلی كندتر از حالت معمول كار میكنند؟
آیا اینترنت شما كندتر از حالت معمول است؟
آیا چراغهای مودم شما بیشتر مواقع ثابت یا روشن هستند؟
هر كدام از موارد فوق میتواند نشان دهنده این موضوع باشد كه كامپیوتر شما عضوی از یك شبكه حمله DDoS است. اگر چنین اتفاقی رخ داده است با یك متخصص امنیت تماس گرفته و به توصیه های وی عمل نمایید. علاوه بر این حتما موقتا كامپیوتر یا مودم خود را خاموش نمایید تا از ادامه جریان ترافیك DDoS جلوگیری كنید. اگر كامپیوتر شما عضوی از یك شبكه حمله DDoS است به این معناست كه سیستم شما مورد سوء استفاده قرار گرفته و ابزارهای حمله روی كامپیوتر شما نصب شده است. شما ابتدا باید بفهمید كه نفوذگران چه كاری انجام داده اند و سپس خرابی ایجاد شده را ترمیم نمایید. حملات انكار سرویس توزیع شده یك مشكل جدی هستند و با اینكه تحقیقات زیادی برای جلوگیری از آنها انجام شده، هنوز دردسر ساز میشوند.
منبع:
The CERT Division | SEI | CMU (http://www.cert.org)