مفاهیم امنیت شبکه

[bel-lzad]

عدم پذيرش سرويس ( ۳) : روش هاي مقابله

در قسمت پيش با انواع حملات DDoS و DoS آشنا شديم. در اين شماره با چند روش مقابله با حملات DDoS و DoS آشنا مي شويم.

دفاع عليه حملات Fraggle يا Smurf

اگر در معرض حمله Smurf قرار گرفته باشيد، کار چنداني از شما ساخته نيست. هرچند که اين امکان وجود دارد که بسته هاي مهاجم را در روتر خارجي مسدود کنيد، اما پهناي باند منشاء آن روتر مسدود خواهد شد. براي اينکه فراهم کننده شبکه بالاسري شما، حملات را در مبداء مله مسدود کند، به هماهنگي نياز است.

بمنظور جلوگيري از آغاز حمله از سايت خودتان، روتر خارجي را طوري پيکربندي کنيد که تمام بسته هاي خارج شونده را که آدرس مبداء متناقض با زيرشبکه شما دارند، مسدود کند. اگر بسته جعل شده نتواند خارج شود، نمي تواند آسيب چنداني برساند.

براي جلوگيري از قرار گرفتن بعنوان يک واسطه و شرکت در حمله DoS شخص ديگر، روتر خود را طوري پيکربندي کنيد که بسته هايي را که مقصدشان تمام آدرس هاي شبکه شماست، مسدود کند. يعني، به بسته هاي ICMP منتشر شده به شبکه خود، اجازه عبور از روتر ندهيد.

اين عمل به شما اجازه مي دهد که توانايي انجام ping به تمام سيستم هاي موجود در شبکه خود را حفظ کنيد، در حاليکه اجازه اين عمل را از يک سيستم بيروني بگيريد. اگر واقعاً نگران هستيد، مي توانيد سيستم هاي ميزبان خود را طوري پيکربندي کنيد که از انتشارهاي ICMP کاملاً جلوگيري کنند

دفاع عليه حملات طغيان SYN

بلاک هاي کوچک

بجاي تخصيص يک شيء از نوع ارتباط کامل (که باعث اشغال فضاي زياد و نهايتاً اشکال در حافظه مي شود)، يک رکورد کوچک (micro-record) تخصيص دهيد. پياده سازي هاي جديدتر براي SYN هاي ورودي ، تنها ۱۶ بايت تخصيص مي دهد

کوکي هاي SYN

يک دفاع جديد عليه طغيان ( SYN کوکي هاي SYN ) است. در کوکي هاي SYN هر طرف ارتباط، شماره توالي (Sequence Number) خودش را دارد. در پاسخ به يک SYN سيستم مورد حمله واقع شده، يک شماره توالي مخصوص از ارتباط ايجاد مي کند که يک « کوکي » است و سپس همه چيز را فراموش مي کند يا بعبارتي از حافظه خارج مي کند (کوکي بعنوان مشخص کننده يکتاي يک تبادل يا مذاکره استفاده مي شود). کوکي در مورد ارتباط اطلاعات لازم را در بردارد، بنابراين بعدًا مي تواند هنگامي که بسته ها از يک ارتباط سالم مي آيند، مجددًا اطلاعات فراموش شده در مورد ارتباط را ايجاد کند.


کوکي هاي RST

جايگزيني براي کوکي هايSYN است، اما ممکن است با سيستم عامل هاي ويندوز 98 که پشت فايروال قرار دارند، مشکل ايجاد کند. روش مذکور به اين ترتيب است که سرور يک ACK/SYN اشتباه به کلاينت ارسال مي کند.

کلاينت بايد يک بسته RST توليد کند تا به سرور بگويد که چيزي اشتباه است. در RST کلاينت بايد يک بسته اين نگام، سرور مي فهمد که کلاينت معتبر است و ارتباط ورودي از آن کلاينت را بطور طبيعي خواهد پذيرفت .

پشته هاي (stack) هاي TCP بمنظور کاستن از تأثير طغيان هاي SYN مي توانند دستکاري شوند. معمول ترين مثال کاستن زمان انقضاء (timeout) قبل از اين است که پشته، فضاي تخصيص داده شده به يک ارتباط را آزاد کند. تکنيک ديگر قطع بعضي از ارتباطات بصورت انتخابي است.