انكار سرويس، تهديد بيصداي رايانه*
آشنايي با انواع حملههاي داس و روشهاي پيشگيري
حملات انكار سرويس يا DOS - Denial of Service - به حملاتي ميگويند كه هدف اصلي آنها ممانعت از دسترسي قربانيان به منابع رايانهيي شبكهيي و يا اطلاعات است. در اينگونه حملات معمولا از دسترسي قربانيان به اطلاعاتي كه براي مقابله با اينگونه حملات مفيد است، نيز جلوگيري ميشود.
خبرگزاري دانشجويان ايران - تهران سرويس: جامعه اطلاعاتي -فناوري اطلاعات
به گزارش خبرنگار فنآوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، در اين نوع حملات مهاجمان با ايجاد ترافيك بيمورد و بياستفاده حجم زيادي از منابع سرويسدهنده و پهناي باند شبكه را مصرف يا به نوعي درگير رسيدگي به اين تقاضاهاي بيمورد ميكنند و اين تقاضاها تا جايي كه دستگاه سرويسدهنده را از كار بيندازد، ادامه پيدا ميكند.
به گزارش خبرنگار فنآوري اطلاعات خبرگزاري دانشجويان ايران (ايسنا)، در اين نوع حملات مهاجمان با ايجاد ترافيك بيمورد و بياستفاده حجم زيادي از منابع سرويسدهنده و پهناي باند شبكه را مصرف يا به نوعي درگير رسيدگي به اين تقاضاهاي بيمورد ميكنند و اين تقاضاها تا جايي كه دستگاه سرويسدهنده را از كار بيندازد، ادامه پيدا ميكند.
يك حمله "انكار سرويس" را از طريق تلاش آشكار حمله كننده براي جلوگيري از استفاده كاربران قانوني يك سرويس از آن سرويس، شناسايي ميكنند. از جمله اين تلاشها ميتوان به مواردي چون انواع طغيانهاي شبكه شامل طغيانهاي TCP، UDP و ICMP كه ترافيك قانوني سايت را منحل ميكنند، تلاش در جهت قطع ارتباط دو ماشين و در نتيجه عدم امكان استفاده از سرويس آنها، تلاش درجهت ممانعت از دسترسي فردي خاص به يك سرويس و تلاش براي خرابكاري در ارائه سرويس به سيستم يا شخص خاص اشاره كرد.
علاوه بر موارد فوق، استفاده غيرقانوني از منابع هم ميتواند منجر به انكار سرويس شود. براي مثال يك نفوذگر قادر است با استفاده از بخش بينام FIP وب سايت شما يك كپي غيرقانوني از يك نرمافزار تجاري را برروي سايت شما قرار دهد كه فضاي شما را اشغال كرده و ترافيك را مختل كند.
البته بايد دقت داشت كه علت از كار افتادگيهاي سرويس، مربوط به حملات انكار سرويس نميشود و بعضي فعاليتهاي بد خواهانه نيز منجر به از كار افتادگي سرويس ميشوند. همچنين گاهي اوقات حملات انكار سرويس جزيي از يك حمله گستردهتر محسوب ميشوند.
* تبعات حملات انكار سرويس
حملات انكار سرويس قاعدتا منجر به از كار افتادن رايانه و يا شبكه شما ميشوند ولي تبعات آنها به همين ميزان محدود نميشود و نبايد آنها را دست كم گرفت چراكه بسته به طبيعت سيستم شبكه و نرمافزارهاي شما، ممكن است منجر به از كار افتادن كل سازمان شوند.
بعضي از اين حملات ميتوانند توسط منابع بسيار محدودي انجام شده و يك سايت بزرگ و مجهز را از كار بيندازد. براي مثال يك مهاجم با استفاده از يك رايانه خانگي قديمي و يك مودم با سرعت پايين قادر است، ماشينها و شبكههايي با سرعتهاي به مراتب بالاتر را از كار بيندازد. اين نوع حملات، گاهي اوقات "حمله غيرمتقارن" يا asymmetric ناميده ميشود.
* انواع حملات انكار سرويس
حملات انكار سرويس با هدف قرار دادن سرويسهاي گوناگون و در اشكال متنوعي ظاهر ميشوند، اما سه شيوه اصلي حمله وجود دارد كه عبارتند از: مصرف كردن منابع نادر، محدود و غير قابل تجديد، از بين بردن يا تغيير دادن اطلاعات مربوط به پيكربندي سيستم، خرابي فيزيكي يا تبديل اجزاي شبكه.
در شيوه مصرف كردن منابع نادر، محدود و غير قابل تجديد، رايانهها و شبكهها به خوب كار كردن برخي از منابع مانند پهناي باند، فضاي حافظه CPU ساختمان دادهها دسترسي به ديگر رايانهها و شبكهها و همچنين منابع محيطي مانند جريان برق، تهويه هوا يا حتي آب نياز دارند.
در زير برخي از حملات شايعي كه با مصرف منابع در ارتباط است ذكر شده است:
* اتصالات شبكه
حملات انكار سرويس غالب بر عليه اتصالات شبكه اجرا ميشوند و هدف آنها ممانعت از ارتباطهاست يا شبكه با بخشها يا شبكههاي ديگر است.
در يك نمونه از اينگونه حملات نفوذگر يك ارتباط را بين ماشين خود و قرباني يكي از ساختمان دادههاي محدود خود را كه براي تكميل ارتباطات مورد نياز است به اين ارتباط ناقص اختصاص ميدهد. در نتيجه ارتباطات قانوني دچار انكار سرويس ميشوند زيرا قرباني منتظر تكميل ارتباطات "نيمه باز" است.
در اين حمله نفوذگر نيازي به مصرف پهناي باند شما نداشته و با استفاده از ساختمان دادههايي كه براي ايجاد ارتباطات به كار ميروند، سيستم شما را از كار مياندازد. به اين ترتيب يك نفوذگر با استفاده از يك مودم dial – up قادر است يك شبكه پرسرعت را از كار بيندازد.
* استفاده از منابع شما بر عليه شما
نفوذگران قادرند با استفاده از روشهاي غيرقابل انتظار از منابع شما بر عليه خود شما سوء استفاده كنند. در يكي از حملات، نفوذگر بستههاي UDP ساختگي را براي متصل ساختن سرويس echo برروي يك ماشين به سرويس chargen برروي ماشين ديگر مورد استفاده قرار داد و در نتيجه اين دو سرويس همه پهناي باند موجود بين خود را مورد مصرف قرار دادند و همچنين بر روي ارتباطات ماشينهاي ديگر برروي شبكه نيز تاثير گذاشتند.
* مصرف پهناي باند
يك نفوذگر ميتواند همه پهناي باند شبكه شما را مورد استفاده قرار دهد، او اين كار را از طريق توليد تعداد زيادي بسته كه به سمت شبكه شما هدايت شدهاند انجام ميدهد. اين بستهها از لحاظ مفهومي ميتوانند هر چيزي باشند ولي معمولا از بستههاي ICPM ECHO براي اينگونه حملات استفاده ميشود.
از طرفي در حمله مصرف پهناي باند، نفوذگر نيازي به حمله از طريق يك ماشين را ندارد، بلكه ميتواند با استفاده از چندين ماشين برروي شبكههاي مختلف تاثير مشابهي را براي قرباني ايجاد كند.
* مصرف ديگر منابع
علاوه بر پهناي باند، نفوذگران قادر به مصرف منابع ديگري نيز هستند كه سيستم شما براي كاركردن به آنها نيازمند است. براي مثال در بسياري از سيستمها تعداد محدودي ساختمان داده براي نگهداري اطلاعات عمليات وجود دارد و يك نفوذگر با نوشتن يك برنامه ساده كه كار خاصي انجام نميدهد و فقط خود را مرتبا بازنويسي ميكند، قادر است اين منابع را مشغول نگه دارد.
البته امروزه بسياري از سيستم عاملهاي جديد امكان سهميهبندي يا Qulta را براي مقابله با اين مشكل فراهم كردهاند. علاوه بر اين اگر جدول پردازهها پر هم نشده باشد، CPU ممكن است توسط تعداد زياد پردازهها و زمان مورد نياز براي سوئيچ كردن بين آنها مشغول باقي بماند. به همين جهت لازم است در مورد امكان سهميهبندي منابع سيستمي در سيستم عامل خود تحقيقات به عمل آورده شود.
يك نفوذگر ممكن است براي مصرف ديسك سخت از راههايي اقدام كند مثل توليد تعداد بسيار زيادي ايميل، توليد خطاهاي عمدي كه بايد ثبت شوند، قرار دادن فايلها برروي مناطق ftp بدون نام و يا فضاهاي به اشتراك گذاشته شده.
در حالت كلي هر چيزي كه اجازه نوشتن داده برروي ديسك را فراهم كند، در صورتي كه حد و مرزي براي ميزان داده نوشته شده قائل نباشد، ميتوان به حملات انكار سرويس منجر شود.
بسياري از سايتها داراي سيستمي هستند كه حساب كاربري را بعد از چند تلاش ناموفق براي ورود به سيستم قفل ميكند. نفوذگر قادر است با استفاده از اين خاصيت، از استفاده كاربران قانوني از حساب كاربريشان ممانعت به عمل آورد. در برخي حالات، حسابهاي كاربري پر اولويت مانند administrator هدف اينگونه حملات قرار دارند لذا بايد مطمئن شد روشي براي دسترسي به سيستم تحت شرايط اضطراري وجود دارد.
يك نفوذگر قادر است سيستم را با استفاده از ارسال دادههاي دور از انتظار برروي شبكه از كار بيندازد. اگر سيستم كاربر اغلب بدون دليل آشكاري از كار ميافتد، ممكن است قرباني اينگونه حملات شده باشد.
موارد ديگري نيز وجود دارند كه ممكن است در مقابل حملات انكار سرويس آسيب پذير باشند و بهتر است بر آنها نيز نظارت لازم را به عمل آورده شود، اين موارد عبارتند از پرينترها، ابزارهاي Tape، اتصالات شبكه، هر منبع محدود ديگري كه براي عمليات سازمان شما مهم محسوب ميشود.
* پيشگيري و پاسخگويي
حملات انكار سرويس ميتوانند براي بسياري از سازمانها منجر به از دست رفتن زمان ارزشمند و منابع مالي شوند. توصيه ميشود سايت احتمال خرابي سرويس گسترده را از قبل در نظر گرفته و گامهاي مناسب را براي كاهش خطر حملات انكار سرويس به درستي بردارند.
بنا بر نياز هر سايت ميتواند از برخي روشها استفاده كند؛ فيلترهاي روتر را در شبكه خود مورد استفاده قرار دهد. اين فيلترها احتمال برقي از انواع حملات انكار سرويس را كاهش ميدهند و همچنين از سوء استفاده كاربران شبكه در هدايت حملات انكار سرويس ممانعت به عمل ميآورند.
همچنين ميتوان بستههاي محافظتي در مقابل طغيان TCP SYN را نصب كرد تا احتمال اينگونه حملات را كاهش دهند ولي بايد به ياد داشت كه اين بستهها قادر به محافظت كامل از شبكه كاربر نيستند.
كاربر بايد هر سرويس شبكه را كه ضروري نيست يا مورد استفاده قرار نميگيرد غيرفعال كند. اين كار قدرت نفوذگران را در سوء استفاده از اين خدمات براي اجراي حملات انكار سرويس محدود ميسازد.
ميتوان سيستم Quota را برروي سيستم عامل فعال كرد. براي مثال اگر سيستم عامل شما سهميهبندي (quota) ديسك سخت را پشتيباني ميكند، آن را براي همه حسابهاي كاربري مخصوصا آنهايي كه خدمات شبكه را اجرا مي كنند فعال كند. به علاوه در صورتي كه سيستم عامل كاربر اجازه ميدهد سيستمهاي فايلي جداگانهاي را براي عملياتهاي مهم و كاربران تعريف و استفاده كند.
كارايي سيستم هم بايد مورد بازبيني قرار داده شود و يكسري حدود اصلي را براي كارهاي معمولي تعريف شود و اين حدود را براي تشخيص استفادههاي غيرمعمول از حافظه CPU و يا ترافيك شبكه به كار برده شود.
همچنين بايد مرتبا امنيت فيزيكي شبكه را با توجه به نيازهاي فعلي سنجيد. در اين سنجش، سرورها، روترها، ترمينالهاي بدون مراقبت، نقاط دسترسي شبكه، جعبه سيستمها، سيستمهاي محيط مانند تهويه هوا و برق و ديگر اجزاي شبكه را مورد وارسي قرار داد.
ميتوان سياستهايي را مورد رمز عبور مناسب ايجاد و نگهداري كرد، خصوصا در مورد حسابهاي كاربري با اولويت بالا مانند ريشه UNIX.
در هر حال امروزه بسياري از موسسات و سازمانها از تبعات حملات انكار سرويس متضرر ميشوند كه با رعايت موارد امنيتي و استفاده از دانش متخصصان اين زمينه ميتوانند اين ضررها را به حداقل كاهش دهند.
كد خبر: 8905-02812
علاوه بر موارد فوق، استفاده غيرقانوني از منابع هم ميتواند منجر به انكار سرويس شود. براي مثال يك نفوذگر قادر است با استفاده از بخش بينام FIP وب سايت شما يك كپي غيرقانوني از يك نرمافزار تجاري را برروي سايت شما قرار دهد كه فضاي شما را اشغال كرده و ترافيك را مختل كند.
البته بايد دقت داشت كه علت از كار افتادگيهاي سرويس، مربوط به حملات انكار سرويس نميشود و بعضي فعاليتهاي بد خواهانه نيز منجر به از كار افتادگي سرويس ميشوند. همچنين گاهي اوقات حملات انكار سرويس جزيي از يك حمله گستردهتر محسوب ميشوند.
* تبعات حملات انكار سرويس
حملات انكار سرويس قاعدتا منجر به از كار افتادن رايانه و يا شبكه شما ميشوند ولي تبعات آنها به همين ميزان محدود نميشود و نبايد آنها را دست كم گرفت چراكه بسته به طبيعت سيستم شبكه و نرمافزارهاي شما، ممكن است منجر به از كار افتادن كل سازمان شوند.
بعضي از اين حملات ميتوانند توسط منابع بسيار محدودي انجام شده و يك سايت بزرگ و مجهز را از كار بيندازد. براي مثال يك مهاجم با استفاده از يك رايانه خانگي قديمي و يك مودم با سرعت پايين قادر است، ماشينها و شبكههايي با سرعتهاي به مراتب بالاتر را از كار بيندازد. اين نوع حملات، گاهي اوقات "حمله غيرمتقارن" يا asymmetric ناميده ميشود.
* انواع حملات انكار سرويس
حملات انكار سرويس با هدف قرار دادن سرويسهاي گوناگون و در اشكال متنوعي ظاهر ميشوند، اما سه شيوه اصلي حمله وجود دارد كه عبارتند از: مصرف كردن منابع نادر، محدود و غير قابل تجديد، از بين بردن يا تغيير دادن اطلاعات مربوط به پيكربندي سيستم، خرابي فيزيكي يا تبديل اجزاي شبكه.
در شيوه مصرف كردن منابع نادر، محدود و غير قابل تجديد، رايانهها و شبكهها به خوب كار كردن برخي از منابع مانند پهناي باند، فضاي حافظه CPU ساختمان دادهها دسترسي به ديگر رايانهها و شبكهها و همچنين منابع محيطي مانند جريان برق، تهويه هوا يا حتي آب نياز دارند.
در زير برخي از حملات شايعي كه با مصرف منابع در ارتباط است ذكر شده است:
* اتصالات شبكه
حملات انكار سرويس غالب بر عليه اتصالات شبكه اجرا ميشوند و هدف آنها ممانعت از ارتباطهاست يا شبكه با بخشها يا شبكههاي ديگر است.
در يك نمونه از اينگونه حملات نفوذگر يك ارتباط را بين ماشين خود و قرباني يكي از ساختمان دادههاي محدود خود را كه براي تكميل ارتباطات مورد نياز است به اين ارتباط ناقص اختصاص ميدهد. در نتيجه ارتباطات قانوني دچار انكار سرويس ميشوند زيرا قرباني منتظر تكميل ارتباطات "نيمه باز" است.
در اين حمله نفوذگر نيازي به مصرف پهناي باند شما نداشته و با استفاده از ساختمان دادههايي كه براي ايجاد ارتباطات به كار ميروند، سيستم شما را از كار مياندازد. به اين ترتيب يك نفوذگر با استفاده از يك مودم dial – up قادر است يك شبكه پرسرعت را از كار بيندازد.
* استفاده از منابع شما بر عليه شما
نفوذگران قادرند با استفاده از روشهاي غيرقابل انتظار از منابع شما بر عليه خود شما سوء استفاده كنند. در يكي از حملات، نفوذگر بستههاي UDP ساختگي را براي متصل ساختن سرويس echo برروي يك ماشين به سرويس chargen برروي ماشين ديگر مورد استفاده قرار داد و در نتيجه اين دو سرويس همه پهناي باند موجود بين خود را مورد مصرف قرار دادند و همچنين بر روي ارتباطات ماشينهاي ديگر برروي شبكه نيز تاثير گذاشتند.
* مصرف پهناي باند
يك نفوذگر ميتواند همه پهناي باند شبكه شما را مورد استفاده قرار دهد، او اين كار را از طريق توليد تعداد زيادي بسته كه به سمت شبكه شما هدايت شدهاند انجام ميدهد. اين بستهها از لحاظ مفهومي ميتوانند هر چيزي باشند ولي معمولا از بستههاي ICPM ECHO براي اينگونه حملات استفاده ميشود.
از طرفي در حمله مصرف پهناي باند، نفوذگر نيازي به حمله از طريق يك ماشين را ندارد، بلكه ميتواند با استفاده از چندين ماشين برروي شبكههاي مختلف تاثير مشابهي را براي قرباني ايجاد كند.
* مصرف ديگر منابع
علاوه بر پهناي باند، نفوذگران قادر به مصرف منابع ديگري نيز هستند كه سيستم شما براي كاركردن به آنها نيازمند است. براي مثال در بسياري از سيستمها تعداد محدودي ساختمان داده براي نگهداري اطلاعات عمليات وجود دارد و يك نفوذگر با نوشتن يك برنامه ساده كه كار خاصي انجام نميدهد و فقط خود را مرتبا بازنويسي ميكند، قادر است اين منابع را مشغول نگه دارد.
البته امروزه بسياري از سيستم عاملهاي جديد امكان سهميهبندي يا Qulta را براي مقابله با اين مشكل فراهم كردهاند. علاوه بر اين اگر جدول پردازهها پر هم نشده باشد، CPU ممكن است توسط تعداد زياد پردازهها و زمان مورد نياز براي سوئيچ كردن بين آنها مشغول باقي بماند. به همين جهت لازم است در مورد امكان سهميهبندي منابع سيستمي در سيستم عامل خود تحقيقات به عمل آورده شود.
يك نفوذگر ممكن است براي مصرف ديسك سخت از راههايي اقدام كند مثل توليد تعداد بسيار زيادي ايميل، توليد خطاهاي عمدي كه بايد ثبت شوند، قرار دادن فايلها برروي مناطق ftp بدون نام و يا فضاهاي به اشتراك گذاشته شده.
در حالت كلي هر چيزي كه اجازه نوشتن داده برروي ديسك را فراهم كند، در صورتي كه حد و مرزي براي ميزان داده نوشته شده قائل نباشد، ميتوان به حملات انكار سرويس منجر شود.
بسياري از سايتها داراي سيستمي هستند كه حساب كاربري را بعد از چند تلاش ناموفق براي ورود به سيستم قفل ميكند. نفوذگر قادر است با استفاده از اين خاصيت، از استفاده كاربران قانوني از حساب كاربريشان ممانعت به عمل آورد. در برخي حالات، حسابهاي كاربري پر اولويت مانند administrator هدف اينگونه حملات قرار دارند لذا بايد مطمئن شد روشي براي دسترسي به سيستم تحت شرايط اضطراري وجود دارد.
يك نفوذگر قادر است سيستم را با استفاده از ارسال دادههاي دور از انتظار برروي شبكه از كار بيندازد. اگر سيستم كاربر اغلب بدون دليل آشكاري از كار ميافتد، ممكن است قرباني اينگونه حملات شده باشد.
موارد ديگري نيز وجود دارند كه ممكن است در مقابل حملات انكار سرويس آسيب پذير باشند و بهتر است بر آنها نيز نظارت لازم را به عمل آورده شود، اين موارد عبارتند از پرينترها، ابزارهاي Tape، اتصالات شبكه، هر منبع محدود ديگري كه براي عمليات سازمان شما مهم محسوب ميشود.
* پيشگيري و پاسخگويي
حملات انكار سرويس ميتوانند براي بسياري از سازمانها منجر به از دست رفتن زمان ارزشمند و منابع مالي شوند. توصيه ميشود سايت احتمال خرابي سرويس گسترده را از قبل در نظر گرفته و گامهاي مناسب را براي كاهش خطر حملات انكار سرويس به درستي بردارند.
بنا بر نياز هر سايت ميتواند از برخي روشها استفاده كند؛ فيلترهاي روتر را در شبكه خود مورد استفاده قرار دهد. اين فيلترها احتمال برقي از انواع حملات انكار سرويس را كاهش ميدهند و همچنين از سوء استفاده كاربران شبكه در هدايت حملات انكار سرويس ممانعت به عمل ميآورند.
همچنين ميتوان بستههاي محافظتي در مقابل طغيان TCP SYN را نصب كرد تا احتمال اينگونه حملات را كاهش دهند ولي بايد به ياد داشت كه اين بستهها قادر به محافظت كامل از شبكه كاربر نيستند.
كاربر بايد هر سرويس شبكه را كه ضروري نيست يا مورد استفاده قرار نميگيرد غيرفعال كند. اين كار قدرت نفوذگران را در سوء استفاده از اين خدمات براي اجراي حملات انكار سرويس محدود ميسازد.
ميتوان سيستم Quota را برروي سيستم عامل فعال كرد. براي مثال اگر سيستم عامل شما سهميهبندي (quota) ديسك سخت را پشتيباني ميكند، آن را براي همه حسابهاي كاربري مخصوصا آنهايي كه خدمات شبكه را اجرا مي كنند فعال كند. به علاوه در صورتي كه سيستم عامل كاربر اجازه ميدهد سيستمهاي فايلي جداگانهاي را براي عملياتهاي مهم و كاربران تعريف و استفاده كند.
كارايي سيستم هم بايد مورد بازبيني قرار داده شود و يكسري حدود اصلي را براي كارهاي معمولي تعريف شود و اين حدود را براي تشخيص استفادههاي غيرمعمول از حافظه CPU و يا ترافيك شبكه به كار برده شود.
همچنين بايد مرتبا امنيت فيزيكي شبكه را با توجه به نيازهاي فعلي سنجيد. در اين سنجش، سرورها، روترها، ترمينالهاي بدون مراقبت، نقاط دسترسي شبكه، جعبه سيستمها، سيستمهاي محيط مانند تهويه هوا و برق و ديگر اجزاي شبكه را مورد وارسي قرار داد.
ميتوان سياستهايي را مورد رمز عبور مناسب ايجاد و نگهداري كرد، خصوصا در مورد حسابهاي كاربري با اولويت بالا مانند ريشه UNIX.
در هر حال امروزه بسياري از موسسات و سازمانها از تبعات حملات انكار سرويس متضرر ميشوند كه با رعايت موارد امنيتي و استفاده از دانش متخصصان اين زمينه ميتوانند اين ضررها را به حداقل كاهش دهند.
كد خبر: 8905-02812
0 نظرهای شما:
Post a Comment