هدف از تشخیص نفوذ بررسی و ارائه گزارش از فعالیت های شبکه است . این سیستم روی بسته های داده که از ابزار کنترول دسترسی عبور کرده اند عمل میکند . به دلیل وجود محدویت های اطمینان پذیری تهدید های داخلی و وجود شک و تردید مورد نیاز پیش گیری از نفوز باید به بعضی از موارد مشک.ک به حمله اجازه عبور میدهد تا احتمال تشخیص های غلط positive false کاهش یابد . از طرف دیگر روش ها IDS با هوشمندی همراه هستند و از تکنیک های مختلفی برای تشخیص حملات بالقوه نفوز ها و سو استفاده بهره میگیرد یک IDS معمولا به گونه ای از پهنای باند استفاده میکند که میتواند بدون تاثیر گذاشتن روی معماری محاسباتی و شبکه های به کار خود ادامه دهد طبیعت منفعل IDS ان چیزی است که قدرت هدایت تحلیل هوشمند جریان بسته های را ایجاد میکند همین امر IDS را در جایگاه خوبی برای تشخیص موارد زیر قرار میدهد :
حملات شناخته شده از طریق امظا ها و قوانین
تغییرات در حجم و جهت ترافیک با ایتفاده از قواین پچیدده و تحلیل اماری
تغییرات الگوی ترافیک ارتباطی با اتفاده از تحلیل جریان
تشخیص فعالیت های غیر عادی با استفاده از تحلیل انحراف معیار
تشخیص فعالیت مشکوک با استفاده از تکنیک های اماری تحلیل جریان و تشخیص خلاف قاعده
بعضی از حملات تا در درجه ای از یقین بسختی قابل تشخیص هستند و بیشتر انها میتوانند توسط روش های که دارای طبیعت غیر قطغی هستند تشخیص داداه شوند . یعین این روش برای تصمیم گیری مسدود سازی بر اساس سیاست مناسب نیستند
پیش گیری از نفوز
چنانچه قبلا ذکر کردیم روش های پیش از نفوز به منظور محافظت از دارایی ها منابع ، داداه و شبکه ها استفاده میشود انتظار اصلی از انها این است که خطر حمله را با حذف ترافیک مضر شبکه کاهش دهند در حالیکه به فعالیت صحیح اجازه ادامه کار میدهد هدف نهایی یک سیستم کامل است یعنی نه تشخیص غلط حمله که از بازدهی شبکه میکاهد و نه عدم تشخیص حمله FALSE NEGATIVE که باعث ریسک بیمورد در محیط شبکه شود .
شاید یک نقش اساسی تر نیاز به مطمئن بودن است یعنی فعالیت به روش مورد نیاز تحت هر شرایطی به منظور حصول این منظور به روش های ISP باید طبیعت قطعی DETERMINISTIC داشته باشند
قابلیت های قطعی اطمینان مورد نیاز برای تصمیم گیری های سخت افزاری را ایجاد کند به این معنی که روش های پیش گیری از نفوز برای سروکار داشتن با موارد زیر ایده ال هستند :
برنامه های نا خواسته و حملات اسب تروای فعال علیه شبکه ها و برنامه های اختصاصی با استفاده از از قوانین قطعی و لیست های کنترول دسترسی
بسته ای دیتای متعلق به حمله با استفاده از *****های بسته های داده ای سرعت بالا
سو استفاده از پروتکل های و دستکاری پروتکل های شبکه با استفاده از بازسازی هوشمند
حملات DOS و DDOS مانند ظغیان ICMP /SYN با استفاده از الگوریتم های فلترینگ بر پایه حد استانه
سو ایتفاده از برنامه های و دستکاری های پروتکل – حملات شناخته شده و شناخته نشده علیه SMTP / DNS / FTP / HTTP و غیره با استفده از قواین پروتکل برنامه و امظا ها
بار اظافی برنامه با استفاده از ایجاد محدویت های مصرف منابع
تمام این حملات و وضعیت های و اسیب پذیری اکه به انها اجازه وقوع مبدهد به خوبی مستند سازی اند و به علاوه انحراف از پروتکل های ارتباطی از لایه های شبکه تا لایه برنامه جایگاهی در هیچ ترافیک صحیح ندارد
نتیجه نهایی
تفاوت های بین IDS , IPS به فلسفه جبرگرایی می انجامد یعنی IDS میتواند از روش های غیر منظقی برای استنباط هر نوع تهدید یا تهدید بالقوه از ترافیک موجود استفاده کند . این شامل انجام تحیلی های اماری از حجم ترافیک الگوهای ترافیک و فعالیت های غیر عادی میشود IDS به درد افرادی میخورد که واقعا میخواهند بدانند چه چیزی در شبکه شان در حال رخ دادان است
از طرف دیگر IPS باید در تمام تصمیمات برای انجام وظیفه اش در پالاش ترافیک قطعیت داشته باشد از یک ابزار IPS انتظار میرود که در تمام مدت کار کند و در مورد کنترول دسترسی تصمیم گیری کند . فایروال ها اولین رویکرد قطعی را برای کنترول دسترسی درشبکه ها با ایجاد قابلیت اولیه IPS فراهم میکنند . ابزارهای IPS قابلیت نسل بعد را به این فایروال ها اظافه کردند و هنوز در این فعالیت های قطعی در تصمیم گیری برای کنترول دسترسی مشارکت دارند .
شاید تا حالا شنیده باشید که یک وب سایت مورد تهاجمی از نوع DOS قرار گرفته است این نوع از حملات صرفا متوجه وب سایت ها نبوده و ممکن است شما قربانی بعدی باشد . تشکیل حملات DOS از طریق عملیات متداول شبکه امری مشکل است ولی با مشاهده برخی علائم در یک شبکه و یا کامپیوتر میتوان از میزان پیشرفت این نوع از حملات اگاهی یافت
حملات از نوع DOS DENIAL – OF – SERVICE
در این تهاجم از نوع DOS یک مهاجم باعث ممانعت دستیابی کاربران تائید نشده و به اطلاعات و یا سرویس های خاصی مینماید . یک مهاجم با هدف قرار دادن کامپیوتر شما و اتصال شبکه ای انها و یا کامپیوتر ها و شبکه ای از سایت هائی که شما قصد استفاده از انها را دارید باعث سلب دستیابی شما به سایت های EMAIL ، وب سایت ها ، ACCOUNT های ONLINE و سایر سرویس های ارائه شده بر روی کامپیوترهای سرویس دهنده میگردد
متداول ترین و مشهور ترین نوع حملات DOS زمانی محقق مییگردد که یک مهاجم اقدام به ایجاد یک سیلاب اطلاعاتی در یک شبکه نماید زمانی که شما ادرس URL یک وب سایت خاص را را از طریق مرورگر خود تایپ میکنید درخواست شما برای سرویس دهنده ارسال میگردد . سرویس دهنده در هر لحظه قادر به پاسخگویی به حجم محدودی از درخواست ها میباشد بنابراین اگر یک مهاجم با ارسال درخواستهای متعدد و سیلاب گونه باعث افزایش حجم عملیات سرویس دهنده گردد قطعا امکان پردازش درخواست شما برای سرویس دهنده وجود نخواهد داشت حملات فوق از نوع DOS میباشد چراکه امکان دستیابی شما به سایت مورد نظر سلب شده است
یک مهاجم میتواند با ارسال پیام های الکترونیکی ناخواسته که از انان با نام SPAM یاد میشود حملات مشابهی را متوجه سرویس دهنده پست الکترونیکی نماید . هر ACCOUNT پست الترونیکی دارای ظرفیت محدودی میباشند پس از تکمیل ظرفیت فوق عملا امکان ارسال EMAIL دیگری به ACCOUNT فوق وجود نخواهد داشت . مهاجمان با ارسال نامه های الکترونیکی ناخواسته سعی مینمایند که ظرفیط ACCOUNT مورد نظر را تکمیل و عملا امکان دریافت EMAIL های معتبر ACCOUNT فوق سلب میشود .
حملات از نوع (DDOS ( DISTRIBUTED DENIAL – OF – SERVICE
در این تهاجم از نوع DDOS یک تهاجم ممکن است از کامپیوتر شما برای تهاجم بر علیه کامپیوتر دیگری استفاده نماید . مهاجمان با استفاده از نقاط اسیپ پذیر و یا ضعف امینتی موجود بر روی سیستم شما میتواند کنترول کامپیوتر شما را بدست گرفته و در ادامه از ان به منظور انجام عملیات مخرب خود استفاده نماییند . ارسال حجم بسیار بالائی داداه از طریق کامپیوتر شما برای یک وب سایت و یا ارسال نامه های الکترونیکی ناخواسته برای ادرس های EMAIL خاصی نمونه هائی از همکارای کامپیوتر در بروز یک تهاجم DDOS میباشد حملات فوق توزیع شده میباشد چراکه مهاجم از چندین کامپیوتر به منظور اجرای یک تهاجم DOS استفاده مینمایند .
نحوه پیشگیری از حملات
متاسفانه روش موثری به منظور پیشگیری در مقابل یک تهاجم DOS و یا DDOS وجود ندارد علیرغم موضوع فوق میتوان با رعایت برخی نکات و انجام عملیات پیشگیری احتمال بروز چنین حملاتی ( استفاده از کامپیوتر شما برای تهاجم بر علیه سایر کامپیوتر ها ) را کاهش داد .
نصب و نگهداری نرم افزار انتی ویروس
نصب و پیکربندی یک فایروال
تبعیت از مجموعه سیاست های خاصی در خصوص توزیع و ارائه ادرس EMAIL خود به دیگران
چگونه از وقوع حملات DOS و یا DDOS اگاه شویم ؟
خرابی و یا بروز اشکال در یک سیستم شبکه همواره بدلیل بروز یک تهاجم DOS نمیباشد در این رابطه ممکن است دلایل متعددی فنی وجود داشته و یا مدیر شبکه به منظور انجام عملیات نگهداری موقتا برخی سرویس ها را غیر فعال کرده باشد .
وجود و یا مشاهده علائم زیر میتواند نشان دهنده بروز یک تهاجم از نوع DOS و یا DDOS باشد :
کاهش سرعت و یا کارائی شبکه بطرز غیر معمول ( در زمان باز نمودن فایل ها و یا دستیابی به وب سایتها )
عدم در دسترس بودن یک سایت خاص ( بدون دلیل فنی )
عدم امکان دستیابی به هر سایتی ( بدون وجود دلیل فنی )
افزایش محسوس حجم نامه های الکترونیکی ناخواسته دریافتی
در صورت بروز یک تهاجم چه عملیاتی را میبایست انجام داد؟
حتی در صورتی که شما قادر به شناسائی حملات از نوع DOS و یا DDOS باشید امکان شناسائی مقصد و یا منبع واقعی تهاجم وجود نخواهد داشت در این رابطه لازم است با کارشناسان فنی ماهر تماس گرفته تا انان موضوع را بررسی و برای ان راهکار مناسب ارائه نماید .
در صورتی که برای شما مسلم شده است که نمیتوانید به برخی از فایل های خود و یا هر وب سایتی خارج از شبکه خود دستیابی داشته باشد بلافاصله با مدیران شبکه تماس گرفته و موضوع را به اطلاع انها برسانید ، وضعیت فوق میتواند نشان دهنده بروز یک تهاجم برعلیه کامپیوتر یا سازمان شما باشد
در صورتی که وضعیت مشابه انچه اشاره گردید را در خصوص کامپیوترهای موجود در منازل مشاهده می نمائید با مرکز ارائه دهنده خدمات اینترنت isp تماس گرفته و موضوع را به طالاع ان برسانید . isp مورد نظر میتواند توصیه های لازم به منظور انجام عملیات مناسب را در اختیار شما قرار دهد .
عدم پذیرش سرویس :
قصد داریم تا طی چند قسمت با نوعی از حمله به نام dos اشنا شویم که مخفف عبارت denial of service یا عدم پذیرش سرویس میباشد . همانطور که در روش های معمول حمله به کامپیوتر ها اشاره مختصری شد این نوع حمله باعث از کارافتادن یا مشغول شدن بیش از اندازه کامپیوتر میشود تا حدی که غیر قابل استفاده شود در بیشتر موارد حفره های امنیتی محل انجام این حملات است که لذا نصب اخرین وصله های امنیتی از حمله جلوگیری میکند .
علاوه بر اینکه کامپیوتر شما هدف یک حمله dos قرار میگیرد ممکن است که در حمله dos علیه یک سیستم دیگر نیز شرکت داده شود . نفوزگران با ایجاد ترافیک بی مورد و بی استفاده باعث میشود که حجم زیادی از منابع سرویس دهنده و پهنای باند شبکه مصرف یا به نوعی درگیر رسیدگی به این تقاضاهای بی مورد شود و این تقاضا تا جایی که دستگاه سرویس دهنده را به زانو در اورد ادامه پیدا میکند . نیت اولیه و تاثیر حملات dos جلوگیری از استفاده صحیح از منابع کامپیوتری و شبکه ای و از بین بردن این منابع است .
علیرغم تلاش و منابعی که برای ایمن سازی علیه نفوز و خرابکاری مصرف گشته است سیستم های متصل به اینترنت با تهدیدی واقعی و مداوم به نام حملات dos مواجه هستند این امر بدلیل دو مشخصه اساسی اینترنت است :
منابع تشکیل دهنده اینترنت به نوعی محدود و مصرف شدنی هستند .
زیر ساخت سیستم ها و شبکه های بهم متصل که اینترنت را میسازد کاملا از منابع محدود تشکیل شده است . پهنای باند قدرت پردازش و ظرفیت های ذخیره سازی همگی محدود و هدف های معمول dos هستند مهاجمان با انجام این حملات سعی میکنند با مصرف کردن مقدار قابل توجهی از منابع در دسترس باعث قطع میزانی از سرویس ها میشود . وفور منابعی که به درستی طراحی و استفاده شده اند ممکن است عاملی برای کاهش میزان تاثیر یک حمله dos باشد اما شیوه های و ابزار امروزی حمله حتی در کارکرد فروان ترین منابع نیز اختلال ایجاد میکند .
امنیت اینترنت تا حد زیادی وابسته به تمام عوامل است .
حملات dos مهمولا از یک یا چند نقطه که از دید سیستم یا شبکه قربانی عامل بیرونی هستند صورت میگیرد در بسیاری موارد نقطه اغاز حمله شامل یک یا چند سیستم است که از طریق سو استفاده امنیتی را در اختیار یک نفوزگر قرار میگیرد و لذا حملات از سیستم یا سیستم های خود نفوزگر صورت نمیگیرد . بنابراین دفاع برعلیه نفوز نه تنها به حفاظت از اموال مرتبط با اینترنت کمک میکند بلکه به جلوگیری از استفاده از این اموال برای حمله به سایر شبکه ها و سیستم ها نیز کمک میکند . پس بدون توجه به اینکه سیستم هایتان به چه میزان محافظت میشوند قرار گرفتن در معرض بسیاری از انواع حملات و مشخصا dos به وضعیت امنیتی در سایر قسمت های اینترنت بستگی دارد .
مقابله با حملات dos تنها یک بحث عملی نیست . محدود میزان تقاضا ***** کردن بسته ای و دستکاری پارامترهای نرم افزاری در بعضی موارد میتواند به محدود کردن اثر حملات dos کمک کند اما بشرطی که حمله Dos در حال مصرف کردن تمام منابع موجود نباشد . در بسیاری از موارد تنها میتوان یک دفاع واکنشی داشت و این در صورتی است که منبع یا منبع حمله مشخص شوند . استفاده از جعل ادرس ip در طول حمله و ظهور روش های حمله توزیع شده و ابزارهای موجود یک چالش همیشگی را در مقابل کسانی که باید به حملات dos پاشخ دهند قرار داده است .
تکنولوژی حملات dos اولیه شامل ابزارهای ساده بود که بسته ها را تولید و از یک منبع به یک مقصد ارسال میکرد . با گذشت زمان ابزار تا حد اجرای حملات از یک منبع به چندین هدف از چندین منبع به هدف های تنها و چندین منبع و چندین هدف پیشرفت کرده اند .
امروزه بیشترین حملات گزارش شده به CERT/CC مبنی بر ارسال های تعداد بسیار زیادی بسته به یک مقصد است که باعث ایجاد نقاط انتهایی بسیار زیاد و مصرف پهنای باند شبکه میشود . از چندین حملاتی معمولا به عنوان حملات طغیان بسته packet flooding یاد میشود . اما در مورد حمله به چندین هدف گزارش کمتری دریافت شده است . انواع بسته ها packets مورد استفاده برای حملات طغیان بسته در طول زمان تغییر کرده است اما چندیدن نوع بسته معمول وجود دارند که هنوز توسط ابزار حمله dos استفاده میکند .
طغیان های TCP : رشته ای از بسته های tcp با پرچم های flag متفاوت به ادرس ip قربانی فرستاده میشوند . پرچم های RST , ACK , SYN بیشتر استفاده میشوند .
طغیان های تقاضا / پاسخ ICMP : مانند طغیان های PING رشته ای از بسته های ICMP به ادرس IP قربانی میشود .
طغیان های UDP : رشته ای از بسته های UDP به ادرس IP قربانی ارسال میشود .
در قسمت قبلی با حمله DOS اشنا شدیم . از انجا که حملات طغیان بسته های دیتا معمولا تلاش میکنند منابع پهنای باند و پردازش را خلع سلاح کنند ، میزان بسته ها و حجم دیتای متناظر با رشته های بسته ها عواملی مهمی در تغیین درجه موفقیت حمله هستند .
بعضی از ابزارهای حمله خواص بسته ها را در رشته بسته ها بدلایلی تغییر میدهند :
ادرس IP منبع – در بعضی موارد یک ادرس IP منبع نا صحیح روشی که جعل IP نامیده میشود برای پنهان کردن منبع واقعی یک رشته بسته استفاده میشود در موارد دیگر جعل IP هنگامی استفاده میشود که رشته های بسته به یک یا تعداد بیشتری از سایت های واسطه فرستاده میشود تا باعث شود که پاسخ ها به سمت قربانی ارسال شود . مثال بعدی در مورد حملات افزایش بسته است مانند SMURF , FRAGGLE
پورتهای منبع / مقصد – ابزار حمله طغیان بسته بر اساس TCP , UDP گاهی اوقات پورت منبع و یا مقصد را تغییر میدهند تا واکنشی توسط ***** کردن بسته را مشکل تر کنند .
مقادیر IP HEADER دیگر – در نهایت در ابزار حمله DOS مشاهده کرده ایم که برای مقدار دهی تصادفی مقادیر HEADER هر بسته در رشته بسته طراحی شده اند که تنها ادرس IP مقصد است که بین بسته ها ثابت میماند .
بسته ها با خواص ساختگی بسادگی در صوال شبکه تولید و ارسال میشود . پروتکل TCP/IP با اسانی مکانیزم های برای تضمین پیوستگی خواص بسته ها در هنگام تولید و یا ارسال نقطه به نقطه بسته ها ارائه نمیکند . معمولا یک نفوذگر فقط به داشتن اختیار کافی روی سیستم برای بکار گیری ابزار و حملاتی که قادر به تولید و ارسال بسته های با خواص تغییر یافته باشند نیاز دارد . ژوئن 1999 اغاز بکار گیری ابزار DOS با چندین منبع یا DDOS بود .
روش های حمله DOS
Fraggle or Smurf
حملات SMURF یکی از مخرب ترین حملات DOS هستند . در حمله SMURF حمله بر اساس ازدیاد بسته های ICMP نفوزگر یک تقاضای اکوی ICMP (PING) به یک ادرس ناحیه میفرستد . ادرس منبع تقاضای اکو ادرس IP قربانی است ( از ادرس IP قربانی بعنوان ادرس برگشت استفاده میشود ) بعد از دریافت تقاضای اکو تمام ماشین های ناحیه پاسخ های اکو را به ادرس IP قربانی میفرستد . در این حالت قربانی هنگام دریافت طغیان بسته های با اندازه بزرگ از تعداد زیادی ماشین از کار خواهد افتاد .
حمله SMURF برای ازکار انداختن منابع شبکه سیستم قربانی ازروش مصرف پهنای باند استفاده میکند . این حمله این عمل را با استفاده از تقویت پهنای باند نفوزگران انجام میدهد . اگر شبکه تقویت کننده 100 ماشین دارد سیگنال میتواند 100 برابر شود و بنابراین حمله کننده با پهنای باند پایین ( مانند مودم 56 کیلوبایتی ) میتواند سیستم قربانی را با پهنای باند بیشتری مانند اتصال T1 از کار بندازد .
حمله FRAGGLE تقویت بسته UDP در حقیقت شباهت هایی به حمله SMURF دارد . حمله FRAGGLE از بسته های اکوی UDF بر طبق همان روش بسته های اکوی ICMP در حمله SMURF استفاده میکند . FRAGGLE معمولا به ضریب تقویت کمتری نسبت به SMURF میرد و در بیشتر شبکه های اکوی UDP سرویسی با اهمیت کمتری نسبت به اکوی ICMP است بنابراین FRAGGLE عمومیت SMURF را ندارد .
SYN Flood
حمله طغیان SYN قبل از کشف حمله SMURF بعنوان مخرب ترین شیوه حمله DOS بشمار میرفت . این روش برای ایجاد حمله DOS بر اساس قحطی منابع عمل میکند .
در طول برقراری یک ارتباط معمولی TCP سرویس گیرنده یک تقاضای SYN به سرویس دهنده میفرستد سپس سرور با یک ACK/SYN با کلاینت پاسخ میدهد در نهایت کلاینت یک ACK نهایی را به سرور ارسال میکند و این ترتیب ارتباط برقرار میشود .
اما در حمله ظغیان SYN حمله کننده چند تقاضای SYN به سرور قربانی با ادرس های منبع جعلی بعنوان ادرس برگشت میفرستد . ادرس های جعلی روی شبکه وجود ندارد سرور قربانی سپس با ACK/SYN به ادرس های ناموجود پاسخ میدهد . از انجا که هیچ ادرسی این ACK/SYN را دریافت نمیکند سرور قربانی منتظر ACK از طرفکلاینت میماند . ACK هرگز نمیرسد و زمان انتظار سرور قربانی پس از مدتی پایان میرسد . اگر حمله کننده به اندازه کافی مرتب تقاضاهای SYN بفرستد منابع موجود سرور قربانی برای برقراری یک اتصال و انتظار برای این ACK های در حقیقت تقلبی مصرف خواهد شد . این منابع معمولا از نظر تعداد زیاد نیست . بنابر این تقاضاهای SYN جعلی حتی با تعداد نسبتا کم میتواند باعث وقوع یک حمله DOS شوند
حملات DOS
در نسخه اولیه BIND (Berkely Internet Name Domain) حمله کنندگان میتوانند بطور موثری حافظه نهان یک سرور DNS را که در حال استفاده از عملیات بازگشت برای جستجوی یک ناحیه بود که توسط این سرور سرویس داده نمیشود مسموم کنند . زمانی که حافظه نهان مسموم میشود یک کاربر قانونی به سمت شبکه مورد نظر حمله کننده با یک شبکه نا موجود هدایت میشود . این مشکل با نسخه های جدیدتر BIND برطرف شده است . در این روش حمله کننده اطلاعات اطلاعات DNS غلط که میتواند باعث تغییر مسیر درخواست ها شود ارسال میکند .
حملات DDOS
حملات DDOS (Distributed Denial Of Service ) حمله گسترده ای از dos میباشد در اصل DdOS حمله هماهنگ شده ای بر علیه سرویس موجود در اینترنت است . در این روش حملات Dos بطور غیر مستقیم از طریق تعداد زیادی از کامپیوتر های هک شده بر روی سیستم قربانی انجام میگیرد . سرویس ها و منابع مورد حمله قربانی اولیه و کامپیوتر های مورد استفاده در این حمله قربانی های ثانویه نامیده میشود حملات DDOS عموما در از کار انداختن سایت های کمپانی های عظیم از حملات DOS موثر تر هستند
عموماً حملات DDoS به سه گروه Stecheldraht و TFN/TFN2K ،Trinoo تقسيم مي شوند
Trinoo در اصل از برنامه هاي Master/Slave است که با يکديگر براي يک حمله طغيان UDP بر عليه کامپيوتر قرباني هماهنگ مي شوند. در يک روند عادي، مراحل زير براي برقراري يک شبکه Trinoo DDoS واقع مي شوند:
مرحله ۱: حمله کننده، با استفاده از يک ميزبان هک شده، ليستي از سيستم هايي را که مي توانند هک شوند، گردآوري مي کند. بيشتر اين پروسه بصورت خودکار از طريق ميزبان هک شده انجام مي گيرد. اين ميزبان اطلاعاتي شامل نحوه يافتن ساير ميزبان ها براي هک در خود نگهداري مي کند.
مرحله ۲: به محض اينکه اين ليست آماده شد، اسکريپت ها براي هک کردن و تبديل آنها به اربابان (Masters) يا شياطين (Daemons) اجراء مي شوند. يک ارباب مي تواند چند شيطان را کنترل کند. شياطين ميزبانان هک شده اي هستند که طغيان UDP اصلي را روي ماشين قرباني انجام مي دهند.
مرحله ۳: حمله DDoS هنگامي که حمله کننده فرماني به ميزبانانMaster ارسال مي کند، انجام مي گيرد. اين اربابان به هر شيطاني دستور مي دهند که حمله DoS را عليه آدرس IP مشخص شده در فرمان آغاز کنند و با انجام تعداد زيادي حمله DoS يک حمله ddos شکل میگیرد .
TFN/TFN2K
Tribal Flood Network) TFN) يا شبکه طغيان قبيله اي، مانند Trinoo در اصل يک حمله Master/Slave است که در آن براي طغيان SYN عليه سيستم قرباني هماهنگي صورت مي گيرد. شياطين TFN قادر به انجام حملات بسيار متنوع تري شامل طغيان ICMP طغيان SYN و حملات Smurf هستند، بنابراين TFN از حمله Trinoo پيچيده تر است.
TFN2K نسبت به ابزار TFN اصلي چندين برتري و پيشرفت دارد. حملات TFN2K با استفاده از جعل آدرس هاي IP اجرا مي شوند که باعث کشف مشکل تر منبع حمله مي شود. حملاتTFN2K فقط طغيان ساده مانند TFN نيستند.
آنها همچنين شامل حملاتي مي شوند که از شکاف هاي امنيتي سيستم عامل ها براي بسته هاي نامعتبر
و ناقص سوءاستفاده مي کنند تا به اين ترتيب باعث از کار افتادن سيستم هاي قرباني شوند. حمله کنندگان TFN2K ديگر نيازي به اجراي فرمان ها با وارد شدن به ماشين هاي مخدوم (Client) ( به جای Master , TFN ) ندارند و مي توانند اين فرمان ها را از راه دور اجراء کنند.
ارتباط بين Client ها و Daemon ها ديگر به پاسخ هاي اکوي ICMP محدود نمي شود و مي تواند روي واسط هاي مختلفي مانند TCP , UDP صورت گيرد. بنابراين TFN2K خطرناک تر و همچنين براي کشف کردن مشکل تر است
Stacheldraht
کد Stacheldraht بسيار شبيه به TFN و Trinoo است، اما Stacheldraht اجازه مي دهد که ارتباط بين حمله کننده و Master ها (که در اين حمله Handler ناميده مي شوند) رمزنگاري شود؛ عامل ها مي توانند کد خود را بصورت خودکار ارتقاء دهند، مي توانند اقدام به انواع مختلفي از حملات مانند طغيان هايICMP طغيان هاي UDP و طغیان های SYN کنند
در قسمت پيش با انواع حملات DDoS و DoS آشنا شديم. در اين شماره با چند روش مقابله با حملات DDoS و DoS آشنا مي شويم.
دفاع عليه حملات Fraggle يا Smurf
اگر در معرض حمله Smurf قرار گرفته باشيد، کار چنداني از شما ساخته نيست. هرچند که اين امکان وجود دارد که بسته هاي مهاجم را در روتر خارجي مسدود کنيد، اما پهناي باند منشاء آن روتر مسدود خواهد شد. براي اينکه فراهم کننده شبکه بالاسري شما، حملات را در مبداء مله مسدود کند، به هماهنگي نياز است.
بمنظور جلوگيري از آغاز حمله از سايت خودتان، روتر خارجي را طوري پيکربندي کنيد که تمام بسته هاي خارج شونده را که آدرس مبداء متناقض با زيرشبکه شما دارند، مسدود کند. اگر بسته جعل شده نتواند خارج شود، نمي تواند آسيب چنداني برساند.
براي جلوگيري از قرار گرفتن بعنوان يک واسطه و شرکت در حمله DoS شخص ديگر، روتر خود را طوري پيکربندي کنيد که بسته هايي را که مقصدشان تمام آدرس هاي شبکه شماست، مسدود کند. يعني، به بسته هاي ICMP منتشر شده به شبکه خود، اجازه عبور از روتر ندهيد.
اين عمل به شما اجازه مي دهد که توانايي انجام ping به تمام سيستم هاي موجود در شبکه خود را حفظ کنيد، در حاليکه اجازه اين عمل را از يک سيستم بيروني بگيريد. اگر واقعاً نگران هستيد، مي توانيد سيستم هاي ميزبان خود را طوري پيکربندي کنيد که از انتشارهاي ICMP کاملاً جلوگيري کنند
دفاع عليه حملات طغيان SYN
بلاک هاي کوچک
بجاي تخصيص يک شيء از نوع ارتباط کامل (که باعث اشغال فضاي زياد و نهايتاً اشکال در حافظه مي شود)، يک رکورد کوچک (micro-record) تخصيص دهيد. پياده سازي هاي جديدتر براي SYN هاي ورودي ، تنها ۱۶ بايت تخصيص مي دهد
کوکي هاي SYN
يک دفاع جديد عليه طغيان ( SYN کوکي هاي SYN ) است. در کوکي هاي SYN هر طرف ارتباط، شماره توالي (Sequence Number) خودش را دارد. در پاسخ به يک SYN سيستم مورد حمله واقع شده، يک شماره توالي مخصوص از ارتباط ايجاد مي کند که يک « کوکي » است و سپس همه چيز را فراموش مي کند يا بعبارتي از حافظه خارج مي کند (کوکي بعنوان مشخص کننده يکتاي يک تبادل يا مذاکره استفاده مي شود). کوکي در مورد ارتباط اطلاعات لازم را در بردارد، بنابراين بعدًا مي تواند هنگامي که بسته ها از يک ارتباط سالم مي آيند، مجددًا اطلاعات فراموش شده در مورد ارتباط را ايجاد کند.
کوکي هاي RST
جايگزيني براي کوکي هايSYN است، اما ممکن است با سيستم عامل هاي ويندوز 98 که پشت فايروال قرار دارند، مشکل ايجاد کند. روش مذکور به اين ترتيب است که سرور يک ACK/SYN اشتباه به کلاينت ارسال مي کند.
کلاينت بايد يک بسته RST توليد کند تا به سرور بگويد که چيزي اشتباه است. در RST کلاينت بايد يک بسته اين نگام، سرور مي فهمد که کلاينت معتبر است و ارتباط ورودي از آن کلاينت را بطور طبيعي خواهد پذيرفت .
پشته هاي (stack) هاي TCP بمنظور کاستن از تأثير طغيان هاي SYN مي توانند دستکاري شوند. معمول ترين مثال کاستن زمان انقضاء (timeout) قبل از اين است که پشته، فضاي تخصيص داده شده به يک ارتباط را آزاد کند. تکنيک ديگر قطع بعضي از ارتباطات بصورت انتخابي است.
دفاع عليه حملات DNS
دفاع از سرور اصلي (root server)
پايگاه داده سرور اصلي کوچک است و بندرت تغيير مي کند. يک کپي کامل از پايگاه داده اصلي تهيه کنيد، روزي يک بار آپديت ها را چک کنيد و گاه و بيگاه بارگذاري هاي مجدد انجام دهيد. از سرورهاي اصلي با استفاده از آدرس هاي anycast استفاده کنيد (اين عمل باعث مي شود که سيستم ها در شبکه هاي با موقعيت هاي مختلف بعنوان يک سرور بنظر برسند.)
دفاع از سازمان تان
اگر سازمان شما يک اينترانت دارد، بايد دسترسي هاي جداگانه اي از DNS براي کاربران داخلي و مشتريان خارجي خود فراهم کنيد. اين عمل DNS داخلي را از حملات خارجي در امان نگاه مي دارد. ناحيه اصلي را کپي کنيد تا سازمان خود را از حملات DDoS آتي روي قسمت هاي اصلي محفوظ نگه داريد. همچنين به کپي کردن نواحي DNS از شرکاي تجاري خود که در خارج از شبکه شما قرار دارند، توجه کنيد. هنگامي که بروز رسان هاي DNS به روي اينترنت مي روند، مي توانند در هنگام انتقال مورد ربايش و دستکاري قرار گيرند. از TSIG ها (transaction signature) يا امضاهاي معاملاتي براي امضاي آن ها يا ارسال بروز رسان ها روي v p n (شبکه هاي خصوصي مجازي) يا ساير کانال ها استفاده کنيد.
مقابله با حملات DDoS
چگونه مي توانيد از سرورهاي خود در مقابل يورش ديتاهاي ارسالي از طرف کامپيوترهاي آلوده موجود در اينترنت مراقبت کنيد تا شبکه شرکت شما مختل نشود؟ در اينجا به چند روش بطور مختصر اشاره مي شود:
سياه چاله
اين روش تمام ترافيک را مسدود مي کند و به سمت سياه چاله! يعني جايي که بسته ها دور ريخته مي شود هدايت مي کند. اشکال در اين است که تمام ترافيک – چه خوب و چه بد- دور ريخته مي شود و در حقيقت شبکه مورد نظر صورت يک سيستم off-line قابل استفاده خواهد بود. در روش هاي اينچنين حتي اجازه دسترسي به کاربران قانوني نيز داده نمي شود.
مسيرياب ها و فايروال ها
روتر ها مي توانند طوري پيکربندي شوند که از حملات ساده ping با فيلترکردن پروتکل هاي غيرضروري جلوگيري کنند و مي توانند آدرس هاي IP نامعتبر را نيز متوقف کنند. بهرحال، روترها معمولاً در مقابل حمله جعل شده پيچيده تر و حملات در سطح Application با استفاده از آدرس هاي IP معتبر، بي تأثير هستند
سيستم هاي کشف نفوذ
روش هاي سيستم هاي کشف نفوذ (intrusion detection systems) توانايي هايي ايجاد مي کند که باعث تشخيص استفاده از پروتکل هاي معتبر بعنوان ابزار حمله مي شود. اين سيستمها مي توانند بهمراه فايروال ها بکار روند تا بتوانند بصورت خودکار در مواقع لزوم ترافيک را مسدود کنند. در بعضي مواقع سيستم تشخيص نفوذ نياز به تنظيم توسط افراد خبره امنيتي دارد و البته گاهي در تشخيص نفوذ دچار اشتباه مي شود.
سرورها
پيکربندي مناسب application هاي سرويس دهنده در به حداقل رساندن تأثير حمله DDoS تأثير بسيار مهمي دارند. يک سرپرست شبکه مي تواند بوضوح مشخص کند که يک application از چه منابعي مي تواند استفاده کند و چگونه به تقاضاهاي کلاينت ها پاسخ دهد. سرورهاي بهينه سازي شده، در ترکيب با ابزار تخفيف دهنده، مي توانند هنوز شانس ادامه ارائه سرويس را در هنگامي که مورد حمله DDoS قرار مي گيرند، داشته باشند.
ابزار تخفيف DDoS
چندين شرکت ابزارهايي توليد مي کنند که براي ضدعفوني ! کردن ترافيک يا تخفيف حملات DDoS استفاده مي شوند که اين ابزار قبلاً بيشتر براي متعادل کردن بار شبکه يا فايروالينگ استفاده مي شد. اين ابزارها سطوح مختلفي از ميزان تأثير دارند. هيچکدام کامل نيستند. بعضي ترافيک قانوني را نيز متوقف مي کنند و بعضي ترافيک غيرقانوني نيز اجازه ورود به سرور پيدا مي کنند. زيرساخت سرور هنوز بايد مقاوم تر شود تا در تشخيص ترافيک درست از نادرست بهتر عمل کند.
پهناي باند زياد
خريد يا تهيه پهناي باند زياد يا شبکه هاي افزونه براي سروکار داشتن با مواقعي که ترافيک شدت مي يابد، مي تواند براي مقابله با DDoS مؤثر باشد
عموماً، شرکت ها از قبل نمي دانند که يک حمله DDoS بوقوع خواهد پيوست. طبيعت يک حمله گاهي در ميان کار تغيير مي کند و به اين نياز دارد که شرکت بسرعت و بطور پيوسته در طي چند ساعت يا روز، واکنش نشان دهد. از آنجا که تأثير اوليه بيشتر حملات، مصرف کردن پهناي باند شبکه شماست، يک ارائه کننده سرويس هاي ميزبان روي اينترنت که بدرستي مديريت و تجهيز شده باشد، هم پهناي باند مناسب و هم ابزار لازم را در اختيار دارد تا بتواند تأثيرات يک حمله را تخفيف دهد.
Nessus محبوبترین اسکنر آسیب پذیری تا سال 2005 بود، این ابزار تا آن زمان open source بود اما از سال 2005 این ويژگي با انتشار نسخه ی جدید از بين رفت. این ابزار تنها برای استفاده در شبکه*های خانگی مناسب است.
این ابزار مناسب محیط Unix می باشد و هنوز هم سرآمدترین ابزار امنیتی مناسب این محیط است.
2.Wireshark
Wireshark یک ابزار تحلیل پروتکل شبکه open source است که برای محیطهای Unix و Windows مناسب است. این ابزار این امکان را فراهم می آورد تا داده های بدست امده از یک شبکه آنلاین مورد تجزیه و تحلیل قرار بگیرد. البته می توان داده های آفلاین که بر روی دیسکها ذخیره شده ا ند را نیز با استفاده از این ابزار تحلیل کرد.ابزار Wireshark انواع پروتکلها را تحت پوشش قرار داده است و تمامی داده های شبکه را می تواند در سطح بسته های داده ای و سرآيند بسته ها تحلیل کند.
3. Snort
Snort یک ابزار کشف مداخله در شبکه و یک سیستم پیشگیری از مداخله است. این ابزار با ثبت و تحلیل ترافیک گذرنده از شبکه کار خود را انجام می دهد. Snort از طریق تحلیل پروتکل، جستجوی محتوا و پیش پردازشهای بسیار، می تواند بسیاری از کرمها، آسیب پذیریها و دیگر رفتارهای مشکوک را کشف کند. Snort از یک زبان انعطاف پذیر و مبتنی بر قاعده برای توصیف ترافیک استفاده می کند. Snort برای استفاده تمامی کاربران عادی، تجارتهای کوچک و بخشهای مختلف یک سازمان مناسب است.
4.Netcat
این ابزار داده ها را از طریق ارتباطات شبکه ای UDP و TCP می خواند و می نویسد.Netcat ابزار قابل اعتمادی است که به صورت مستقیم می تواند استفاده شود و به همراه بسیاری برنامه ها و اسکریپتهای مختلف در دسترس قرار دارد. البته Netcat یک ابزار قوی در تحلیل شبکه و رفع مشکل در شبکه هست و می تواند هر نوع ارتباط مورد نیاز را برقرار کند.
5. Metasploit Framework
Metasploit یک زيربناي open-source برای توسعه، تست و استفاده از کد افشا می باشد. اين ابزار، مدل انعطاف پذیری است که بسیاری از افشاها و آسیب پذیریهای موجود در شبکه را کشف می کند. این ابزار هم برای کشف اسیب پذیری در سیستمهای عادی و هم براي سيستم هاي سازمانی مناسب است و این امکان را در اختیار کاربران قرار می دهد تا اسیب پذیریهای مورد نظر خود را بنویسند و انها را تست كرده و درصدد رفع ان بر آیند.
6. Hping2
این ابزار بسته های ICMP، UDP و یا TCP را اسمبل می کند و انها را می فرستد و هر بسته ای را که در پاسخ آنها دریافت می شود، نمایش می دهد. همچنین اين ابزار دارای مد ردگیری مسیر بسته و تقسیم بندی بسته های IP می باشد. این نرم افزار زمانی مفید است که قصد ردیابی مسیر، ping و تحلیل میزبانها، از پشت یک فايروال وجود دارد. Hping در نگاشت و تطابق قوانین فايروال کمک می کند. این ابزار برای یادگیری بیشتر در مورد TCP/IP بسیار مناسب است.
7. Kismet
Kismet یک سیستم کشف مداخله شبکه و کشف کننده شبکه است که با گوش دادن به ترافیک آفلاین شبکه سعی در شناسایی اختلالات و آسیب پذیریهای موجود در شبکه دارد. همچنین اين ابزار، به صورت اتوماتیک می تواند ترافیک را مسدود کند و یا با استفاده از Wireshark/TCPDump آن را ثبت نماید.
8. Tcpdump
Tcpdump یک ابزار برای گوش دادن به ترافیک IP هست که کاری شبیه به Wireshark انجام می دهد با این تفاوت که این ابزار قبل از Wireshark وارد عرصه شده و از یک محیط Console استفاده مي كند.
9. Cain and Abel
کاربران Unix می توانند از این ابزار رایگان امنیتی استفاده کنند که البته برای محیط windows نیز مناسب است. کاربرد اصلی این ابزار کشف کلمات عبور از طریق گوش دادن به ترافیک شبکه است. البته اين نرم افزار، کاربردهای دیگری نیز دارد که شامل شکستن کلمات عبور رمز شده با استفاده از دیکشنری، حملات brute-force، بدست اوردن کلمات عبور ذخیره شده، مسیریابی پروتکلها و آشکار کردن بسته های مربوط به کلمات عبور مي شود.
10.John the Ripper
John the Ripper، ابزار قدرتمند، انعطاف پذیر و سریع شکننده کلمات عبور می باشد که ابتدا برای بدست اوردن کلمات عبور ضعیف در محیط Unix ساخته شد و هم اکنون در تمامی محیطها نیز کاربرد دارد.
آموزش کامل امنیت شبکه و نفوز و روش های جلوگیری از آن
در این ویدئو آموزشی شما با آموزش ایمن سازی سیستم های کاربران ( Client ها ),آموزش استفاده از برنامه های امنیت شبکه ,آموزش برنامه های ایمن سازی وب سایت ها ,آموزش روش های رمزنگاری داده ها ,آموزش تست نفوذ ( هک ) به شبکه سازمان و یا شرکت ,آموزش استفاده از ابزارهای کشف جرم های کامپیوتری چندین و چند مورد آموزشی دیگر آشنا خواهید شد. امیدواریم مورد پسند واقع شود .
این آموزش برای اولین بار در ایران به صورت کامل برای دانلود قرار داده شده است .
مفاهیم امنیت شبکه
