مفاهیم امنیت شبکه

[bel-lzad]

انواع حملات DDoS

عموماً حملات DDoS به سه گروه Stecheldraht و TFN/TFN2K ،Trinoo تقسيم مي شوند

Trinoo در اصل از برنامه هاي Master/Slave است که با يکديگر براي يک حمله طغيان UDP بر عليه کامپيوتر قرباني هماهنگ مي شوند. در يک روند عادي، مراحل زير براي برقراري يک شبکه Trinoo DDoS واقع مي شوند:

مرحله ۱: حمله کننده، با استفاده از يک ميزبان هک شده، ليستي از سيستم هايي را که مي توانند هک شوند، گردآوري مي کند. بيشتر اين پروسه بصورت خودکار از طريق ميزبان هک شده انجام مي گيرد. اين ميزبان اطلاعاتي شامل نحوه يافتن ساير ميزبان ها براي هک در خود نگهداري مي کند.

مرحله ۲: به محض اينکه اين ليست آماده شد، اسکريپت ها براي هک کردن و تبديل آنها به اربابان (Masters) يا شياطين (Daemons) اجراء مي شوند. يک ارباب مي تواند چند شيطان را کنترل کند. شياطين ميزبانان هک شده اي هستند که طغيان UDP اصلي را روي ماشين قرباني انجام مي دهند.

مرحله ۳: حمله DDoS هنگامي که حمله کننده فرماني به ميزبانانMaster ارسال مي کند، انجام مي گيرد. اين اربابان به هر شيطاني دستور مي دهند که حمله DoS را عليه آدرس IP مشخص شده در فرمان آغاز کنند و با انجام تعداد زيادي حمله DoS يک حمله ddos شکل میگیرد .

TFN/TFN2K

Tribal Flood Network) TFN) يا شبکه طغيان قبيله اي، مانند Trinoo در اصل يک حمله Master/Slave است که در آن براي طغيان SYN عليه سيستم قرباني هماهنگي صورت مي گيرد. شياطين TFN قادر به انجام حملات بسيار متنوع تري شامل طغيان ICMP طغيان SYN و حملات Smurf هستند، بنابراين TFN از حمله Trinoo پيچيده تر است.

TFN2K نسبت به ابزار TFN اصلي چندين برتري و پيشرفت دارد. حملات TFN2K با استفاده از جعل آدرس هاي IP اجرا مي شوند که باعث کشف مشکل تر منبع حمله مي شود. حملاتTFN2K فقط طغيان ساده مانند TFN نيستند.

آنها همچنين شامل حملاتي مي شوند که از شکاف هاي امنيتي سيستم عامل ها براي بسته هاي نامعتبر
و ناقص سوءاستفاده مي کنند تا به اين ترتيب باعث از کار افتادن سيستم هاي قرباني شوند. حمله کنندگان TFN2K ديگر نيازي به اجراي فرمان ها با وارد شدن به ماشين هاي مخدوم (Client) ( به جای Master , TFN ) ندارند و مي توانند اين فرمان ها را از راه دور اجراء کنند.

ارتباط بين Client ها و Daemon ها ديگر به پاسخ هاي اکوي ICMP محدود نمي شود و مي تواند روي واسط هاي مختلفي مانند TCP , UDP صورت گيرد. بنابراين TFN2K خطرناک تر و همچنين براي کشف کردن مشکل تر است

Stacheldraht

کد Stacheldraht بسيار شبيه به TFN و Trinoo است، اما Stacheldraht اجازه مي دهد که ارتباط بين حمله کننده و Master ها (که در اين حمله Handler ناميده مي شوند) رمزنگاري شود؛ عامل ها مي توانند کد خود را بصورت خودکار ارتقاء دهند، مي توانند اقدام به انواع مختلفي از حملات مانند طغيان هايICMP طغيان هاي UDP و طغیان های SYN کنند