حمله DoS

انواع حملات DoS و مدیریت حملات DDoS

حملات DoS یا Denial of Service که به آن حمله محروم سازی از سرویس نیز می‌گویند، نوعی حمله سایبری در سطح شبکه است که به منظور از کار انداختن سرور یا وب‌سایت مورد استفاده قرار می‌گیرد. گرچه ممکن است انگیزه و هدف از انجام حملات DoS متفاوت باشد اما در حقیقت هر حمله‌ای علیه دسترسی به عنوان حمله DoS تلقی می‌شود و به طور کلی شامل تلاش برای قطع موقت، دائمی یا تعلیق خدمات یک میزبان متصل به اینترنت است.

روش حمله DoS

حمله DoS تلاش صریح مهاجمان در جهت جلوگیری از دسترسی کاربران مجاز به سرویس‌های مشخص است. دو شکل کلی از برای حملات Dos وجود دارد:

• آن‌هایی که سرور را از کار می‌اندازند.
• آن‌هایی که سرویس‌ها را با بمباران بسته‌ها از مختل می‌کنند.

حمله DoS به روش‌های مختلفی انجام می‌شود که پنج نوع اصلی آن عبارتند از:

1. مصرف منابع محاسباتی مثل: ترافیک شبکه، پردازنده، رم، فضای دیسک و ...
2. ایجاد تداخل در اطلاعات پیکربندی شبکه مانند اطلاعات مسیریابی
3. ایجاد تداخل در اطلاعات وضعیت‌ها مانند ریست شدن ناخواسته‌های نشست‌های TCP
4. ایجاد تداخل در تجهیزات فیزیکی شبکه
5. مانع ارتباطی میان کاربران مجاز و قربانی تا نتوانند با یکدیگر ارتباط داشته باشند.

ممکن است حمله DoS به کمک اجرای یک نرم‌افزار مخرب انجام شود که ممکن است باعث استفاده از حداکثر قدرت پردازنده شود و سرور را از انجام هر کاری باز دارد. یا دستورالعمل‌ها را دچار اختلال کند به طوری که سرور را به یک حالت ناپایدار یا قفل کردن درآورد. همچنین می‌تواند میکروکدهای ماشین را دچار خطا کند و از خطاهای موجود در سیستم‌عامل به بهره‌برداری کند.

در بیشتر موارد در حملات DoS با جعل مداوم IP فرستنده این کار انجام می‌شود، به نحوی که ماشین حمله کننده قابل شناسی نیست.

انواع حمله DoS

این حملات انواع متعددی دارند و اجرای یک حمله ممکن است به صورت دستی یا اجرای برنامه‌های آماده برای حمله DoS باشد.

حمله‌های توزیع شده DDoS

در صورتی که مهاجم برای حمله از یک منبع استفاده کند به این نوع حمله DoS گفته می‌شود اما حمله DDoS زمانی اتفاق می‌افتد که مهاجم برای حمله از چندین منبع برای ارسال بسته‌های سیل‌آسا به سمت سرور قربانی استفاده می‌کند. مزیت عمده‌ای که حمله DDoS برای مهاجم دارد این است که چندین منبع می‌تواند ترافیک بیشتر را به نسب به یک سرور تولید کند و سرور قربانی با اتصالات بسیار زیادی روبرو خواهد شد و به علت وجود منابع مختلف برای حمله، مسدود کردن حمله دشوار می‌شود. در حملات DDoS تمام سرورها هم‌زمان با یکدیگر حمله را شروع می‌کنند و در برخی موارد خسارات جبران ناپذیری به بار می‌آورند. در این روش معمولا مهاجم با ایجاد شبکه‌ای از سیستم‌های آلوده به عنوان زامبی (Zombie) توسط یک botnet همزمان به تمام آن‌ها فرمان می‌دهد و به سمت قربانی حمله می‌کند.

حمله جعل شده/منعکس شده DrDos

حمله DrDoS نوعی حملات DDoS است که طراحی نسبتا هوشمندانه‌ای دارد. حمله DrDoS از این جهت شبیه به DDoS است که از چندین منبع برای حمله به قربانی استفاده می‌کند؛ با این تفاوت که این کار را به صورت پنهانی انجام می‌دهد. در این نوع حمله مهاجم بسته‌های مخرب زیادی را به تعداد زیادی برای کاربران مختلف می‌فرستد و به آن‌ها هشدار می‌دهد که رایانه شما نیاز به سرویس خاصی دارد. این نوع حمله بسیار رایج است و شاید کمتر مورد توجه مدیران قرار گیرد اما با اولین پاسخ به این هشدار بمباران درخواست‌های echo ICMP به عنوان نوعی حمله منعکس در کامپیوتر قربانی شروع می‌شود.

حمله منع سرویس دائمی

حمله منع سرویس دائمی یا phlashing نوعی حمله سایبری است که چنان صدمه‌ای به سیستم‌ قربانی می‌زند که نیاز به تعویض کامل یا نصب دوباره سخت افزار به وجود می‌آورد. در این نوع حمله مهاجم با استفاده از نقص‌های امنیتی که اجازه می‌دهد از راه دور به سخت‌افزارهایی مانند روتر، چاپگر، سخت افزارهای شبکه و ... دسترسی داشت سوء استفاده می‌کند و سیستم عامل آن‌ها را با یک نرم‌افزار مخرب جایگزین می‌کند. بنابراین تا زمان تعمیر یا تعویض کامل آن سخت استفاده از آن غیر ممکن خواهد شد.

جریان سیل آسای ICMP

حمله smurf با بمباران ICMP یکی از قدیمی‌ترین حملات DoS سیل آسا روی اینترنت است. این نوع حمله پیکربندی نامناسب تجهیزات شبکه که اجازه ارسال بسته‌های داده به کامپیوتر میزبان را بر عهده دارد مورد هدف قرار می‌دهد. در چنین حمله‌ای مهاجمان آی پی‌های جعلی را برای تقاضای پینگ به سرور قربانی، در یک سرور یا چندین سرور تنظیم می‌کنند. تمام سرورها این تقاضا را به سرور قربانی ارسال می‌کنند بنابراین ترافیک شبکه به سرعت استفاده می‌شود و بسته‌های سیل‌آسای Ping بسیار زیادی را به سمت سرور قربانی ارسال می‌کند تا در نهایت ping of death و crash کردن سیستم‌عامل اتفاق می‌افتد. برای جلوگیری از بمباران smurf در اینترنت سرویس‌هایی مانند Smurf Amplifier Registry تشخیص پیکربندی‌های نامناسب شبکه و انجام عملیات مناسب مثل فیلترینگ را انجام می‌دهد.

جریان سیل آسای SYN

حملات Syn Flood زمانی رخ می‌دهد که مهاجم از بسته‌های سیل‌آسال TCP/SYN استفاده کند که آدرس فرستنده آن‌ها جعلی است. هر کدام از این بسته‌های بسیار زیاد یک درخواست اتصال بوده و سرور قربانی را درگیر پردازش برای اتصال و بازگرداندن بسته TCP/SYN کند و چون آدرس فرستنده جعلی است هیچ پاسخی برگردانده نمی‌شود. این اتصالات نمی‌باید مسیرهای در دسترس سرور را اشباع می‌کنند و سرور را از پاسخگویی به درخواست‌های مجاز باز می‌دارند.

حمله Teardrop

حملات Teardrop نیز یکی از حملات قدیمی DoS است. این نوع حمله شامل ارسال بسته‌های IP است که یا با یکدیگر تداخل دارند یا بسته‌هایی با سایز بسیار بزرگ و ترتیب نامناسب هستند. این حمله می‌توانست سیستم‌عامل‌های مختلف را به دلیل اشکالی که در بخش‌های مختلف TCP/IP دچار مشکل کند و سیستم‌عامل crash کند. Windows 3.1، Windows 95 و سیستم‌عامل Windows NT در برابر این حمله آسیب‌پذیر هستند.

حمله حجمی

این دسته از حملات تلاش می‌کنند با استفاده از تمام پهنای باند موجود بین هدف و اینترنت باعث ایجاد تراکم شود. حجم زیادی از داده‌ها را با استفاده یک فرم غیر ایمن یا وسیله‌ای دیگر برای ایجاد یک ترافیک بسیار بزرگ توسط یک بات نت به سمت سرور قربانی ارسال می‌کنند.

حمله نظیر به نظیر

مهاجمان سایبری به دنبال راهی برای پیدا کردن خطا در سرورهای Point-To-Point هستند تا حمله DDoS را شروع کنند. حملات نظیر به نظیر دیگر مبتنی به بات نت‌ها نیست و مهاجمی برای برقراری ارتباط با کلاینت وجود ندارد به جای آن مهاجم به عنوان دست نشانده‌ای از ارباب، به کلاینت‌های موجود در مراکز به اشتراک‌گذاری فایل‌ها طوری آموزش می‌دهد که شبکه نظیر به نظیر خود را قطع کرده و به جای آن به وب سایت قربانی متصل شوند. در نتیجه چندین هزار کامپیوتر به صورت تهاجمی به وب سایت قربانی وصل می‌شوند. در حالی که وب سرور قبل از این که کارایی اش تنزل پیدا کند قادر به کنترل و مدیریت صدها اتصال در ثانیه بوده‌است بلافاصله بعد از ۵ یا ۶ هزار اتصال در ثانیه شکست می‌خورد.

مدیریت حملات DDoS

پاسخ دفاعی در برابر حملات DoS یا DDoS شامل استفاده ترکیبی از روش‌های تشخیص حمله، طبقه‌بندی ترافیک و ابزارهای پاسخ است که هدف آن‌ها بلوکه کردن ترافیک‌های غیرمجاز و اجازه برقراری ترافیک‌های مجاز است. به صورت کلی هیچ را تضمین‌کننده‌ای برای جلوگیری از حملات سایبری وجود ندارد و به هیچ عنوان قابل پیشگیری نیست، به عنوان مثال اگر یک botnet به کمک صدهزار zombie یک صفحه از سایت را باز کنند، این درخواست یک درخواست معمولی بوده و نمی‌توان تشخیص داد که درخواست دهنده سیستم معمولی است یا zombie و به همین جهت نمی‌توان جلوی آن را گرفت. اما استفاده از سیستم‌های تشخیص دهنده (IPS) سیستم‌های تشخیص بر اساس سرعت بسته‌ها (RBIPS) و این‌گونه سیستم‌ها نیز روش مناسبی برای جلوگیری از این حملات توصیه می‌شود.

بسته‌های نرم‌افزاری بسیار زیادی وجود دارند که شامل تمام این سیستم‌ها هستند و برای جلوگیری ز حملات DoS بسیاری مناسب هستند. بسته نرم‌افزاری SSP (Sun Security Package) از جمله این بسته‌ها است که کار شناسایی و جلوگیری را به صورت خودکار انجام می‌دهد.

دیوار آتش

دیوار آتش می‌تواند به این صورت راه اندازی شود که شامل قوانین ساده برای اجازه یا رد کردن پروتکل‌ها، پورت‌ها یا آی پی آدرس‌ها باشد. در مورد حملات ساده‌ای که از آدرس‌های با آی پی غیرمعمول می‌آیند می‌توان با قرار دادن قانون ساده‌ای که ترافیک‌های ورودی از چنین مهاجمانی را حذف کند. برخی حملات با چنین قوانین ساده‌ای قابل بلوکه شدن نیستند، اگر یک حمله روی پورت ۸۰(وب سرویس) در حال انجام باشد غیرممکن است که همه ترافیک‌های ورودی روی چنین پورتی را حذف کرد، زیرا این کار، سرورها را از ارائه ترافیک قانونی منع می‌کند.

سوئیچ‌ها

برخی سوئیچ‌ها دارای عوامل محدودکننده نرخ و قابلیت لیستهای کنترل دسترسی هستند. برخی سوئیچ‌ها از فیلترینگ برای تشخیص و از بین بردن حملات DoS از طریق فیلتر کردن خودکار نرخ استفاده می‌کنند.

روترها

مشابه سوئیچ‌ها، روترها هم قابلیت ACL و کنترل نرخ را دارند. بیشتر روترها می‌توانند در برابر حملات DoS قرار بگیرند. سیستم عامل‌های سیسکو دارای ویژگی ای هستند که از حملات سیل آسا پیشگیری می‌کند.

استفاده از روترهای جدید و مدرن با توجه به پیشرفت علم و آمدن اینترنت‌های نسل جدید ای دی اس ال ۲ سبب شد تا برای داشتن سرعت بیشتر کاربران و راحتی آن‌ها استفاده از طریق روترهای مدرن که سرعت بیشتری داشته‌اند بسیار مورد استقبال تمامی کاربران قرار بگیرد، موج جدیدی از حملات دی داس بر روی انواع سرورها با شروع ای دی اس ال ۲ و نسل جدید مودم‌های خانگی و سازمانی آغاز شد، همین موضوع سبب شد تا سازمان‌های بسیاری در زمینه ارائه دهنده خدمات اینترنت و شرکت‌های ارائه دهنده هاست و انواع سرور در سر تا سر دنیا ابراز نگرانی کنند.

سیستم پیشگیری از نفوذ

سیستم پیشگیری از نفوذ زمانی مؤثر است که حملات دارای امضا باشند. سیستم پیشگیری از نفوذ که روی شناخت محتوا کار می‌کند نمی‌تواند حملات DoSمبتنی بر رفتار را بلوکه کند.IPS مبتنی بر ASCI می‌تواند حملات منع سرویس را تشخیص و بلوکه کند، زیرا دارای توان پردازشی و تجزیه و تحلیل حملات است. IPS مبتنی بر نرخ(RBIPPS)باید الگوی ترافیک را به صورت تک تک و به‌طور پیوسته مانیتور کند. آنومالی ترافیک را در صورت وجود تعیین کند.

سیاه چاله و گودال

به مدیر اجازه می‌دهد که ترافیک حمله را به یک آدرس آی پی (اینترفیس خالی یا سرور غیرموجود)، هدایت کند تا آن را حذف نماید. وقتی حمله‌ای تشخیص داده می‌شود، یک مسیر ثابت ایجاد می‌شود تا ترافیک حمله را به جای ماشین قربانی به سمت یک سیاه چاله، هدایت کنند. در حالت گودال، ترافیک حمله به یک آدرس آی پی ارسال می‌شود تا برای بررسی بیشتر ثبت شود. مزیت آن این است که ترافیک حمله می‌تواند جمع‌آوری و آنالیز شود تا الگوی حمله مورد مطالعه و بررسی قرارگیرد.

Backscatter

در امنیت شبکه‌های کامپیوتری، برگشت پراکنده مشکل و عارضه جانبی حمله منع سرویس جعلی است. در این نوع حمله، مهاجم آدرس آی پی مبدأ بسته را جعل می‌کند و به قربانی ارسال می‌کند، در کل ماشین قربانی قادر به تشخیص بسته‌های جعلی و مجاز نیست، بنابراین قربانی به بسته‌های جعلی پاسخ می‌دهد، این بسته‌های پاسخ به عنوان برگشت پراکنده تلقی می‌شوند. اگر مهاجم آی پی آدرس‌های مبدأ را به صورت تصادفی جعل کند، بسته‌های پاسخ برگشت پراکنده از قربانی به مقصدهای تصادفی ارسال می‌شوند.