در اینگونه حملات معمولاً از دسترسی کاربران به اطلاعات جلوگیری می شود. در این نوع حملات، مهاجمان با ایجاد ترافیک بی مورد و بی استفاده، حجم زیادی از منابع سرویس دهنده (سرور) و پهنای باند شبکه را مصرف می کنند یا به نوعی سرور را درگیر رسیدگی به این تقاضاهای بی مورد می کنند و این تقاضاها تا جایی که دستگاه سرویس دهنده را از کار بیندازد، ادامه پیدا می کند!
یکی از حملات DoS تلاش آشکار مهاجم، جهت جلوگیری از استفاده کاربران قانونی یک سرویس از آن سرویس است. از جمله این تلاش ها می توان به موارد زیر اشاره کرد:
1. انواع طغیان های شبکه شامل طغیان های TCP، UDP و ICMP که ترافیک قانونی سایت را مختل می کنند.
2. تلاش در جهت قطع ارتباط دو ماشین و در نتیجه عدم امکان استفاده از سرویس آنها.
3. تلاش در جهت ممانعت از دسترسی فردی خاص به یک سرویس.
4. تلاش برای خرابکاری در ارائه سرویس به سیستم یا شخص خاص.
علاوه بر موارد فوق، استفاده غیر قانونی از منابع هم می تواند منجر به حمله DoS شود. برای مثال یک هکر قادر است با استفاده از بخش FTP ناشناس وب سایت شما یک کپی غیرقانونی از یک نرم افزار تجاری را بر روی سایت شما قرار دهد و فضای سایت شما را اشغال و ترافیک را مختل کند.
البته باید دقت داشت که علت همه از کارافتادگی های سرویس، مربوط به حملات DoS نمی شود و بعضی از فعالیت های بدخواهانه نیز منجر به از کار افتادگی سرویس می شوند. همچنین گاهی اوقات حملات DoS جزئی از یک حمله گسترده تر محسوب می شوند!
تبعات حملات DoS
حملات DoS قاعدتاً منجر به از کار افتادن رایانه و یا شبکه شما می شوند ولی تبعات آنها به همین میزان محدود نمی شود و نباید آنها را دست کم گرفت چرا که بسته به طبیعت سیستم شبکه و نرم افزارهای شما، ممکن است منجر به از کار افتادن کل سازمان شوند.
بعضی از این حملات می توانند توسط منابع بسیار محدودی انجام شود و یک سایت بزرگ و مجهز را از کار بیندازند. برای مثال یک مهاجم با استفاده از یک رایانه خانگی قدیمی و یک مودم با سرعت پایین، قادر است ماشین ها و شبکه هایی با سرعت های بالاتر را از کار بیندازد. این نوع حملات، گاهی اوقات "حمله غیر متقارن" یا Asymmetric Attack نامیده می شود.
انواع حملات DoS
حملات DoS با هدف قرار دادن سرویس های گوناگون در اشکال متنوعی ظاهر می شوند، اما سه شیوه اصلی حمله وجود دارد که عبارتند از:
مصرف کردن منابع نادر، محدود و غیر قابل تجدید
از بین بردن یا تغییر دادن اطلاعات مربوط به پیکربندی سیستم
خرابی فیزیکی یا تبدیل اجزای شبکه
حال به جزئیات هریک از این سه شیوه می پردازیم:
الف- مصرف کردن منابع نادر، محدود و غیر قابل تجدید
رایانه ها و شبکه ها به خوب کار کردن برخی از منابع مانند پهنای باند، فضای حافظه، CPU، ساختمان داده ها، دسترسی به دیگر رایانه ها، شبکه ها و همچنین منابع محیطی مانند جریان برق، تهویه هوا یا حتی آب نیاز دارند. در زیر برخی از حملات شایعی که با مصرف منابع در ارتباط است، ذکر شده است:
1- اتصالات شبکه
حملات DoS غالباً بر علیه اتصالات شبکه اجرا می شوند و هدف آنها جلوگیری از ارتباط هاست (یا شبکه) با بخش (یا شبکه های) دیگر است. در یک نمونه از اینگونه حملات هکر یک ارتباط بین ماشین خود و قربانی ایجاد می کند، به گونه ای که اتصال نهایی برقرار نشود و ارتباط تکمیل نگردد. در این فاصله ماشین قربانی یکی از منابع محدود خود را که برای تکمیل ارتباطات مورد نیاز است را به این ارتباط ناقص اختصاص می دهد. در نتیجه ارتباطات قانونی دچار "محرومیت از سرویس" می شوند زیرا قربانی منتظر تکمیل ارتباطات "نیمه باز" است.
توجه داشته باشید که در این حمله هکر نیازی به مصرف پهنای باند شما نداشته و با استفاده از منابعی که برای ایجاد ارتباط به کار می روند، سیستم شما را از کار می اندازد. به این ترتیب یک هکر با استفاده از یک مودم Dial-Up قادر است یک شبکه پر سرعت را از کار بیندازد. (یک نمونه خوب از حملات غیر متقارن)
2- استفاده از منابع شما بر علیه شما
هکرها قادرند با استفاده از روش های دور از انتظار، از منابع سیستم شما بر علیه خود شما سوء استفاده کنند. در یکی از این حملات، هکر بسته های UDP ساختگی را برای متصل ساختن سرویس echo بر روی یک ماشین به سرویس chargen بر روی ماشین دیگر، مورد استفاده قرار می دهد، در نتیجه این دو سرویس همه پهنای باند موجود بین خود را مصرف می کنند و همچنین بر روی ارتباطات ماشین های دیگر بر روی شبکه نیز تأثیر می گذارند.
3- مصرف پهنای باند
یک هکر می تواند همه پهنای باند شبکه شما را مورد استفاده قرار دهد. او این کار را از طریق تولید و هدایت تعداد زیادی بسته به سمت شبکه شما انجام می دهد. این بسته ها از لحاظ مفهومی می توانند هر چیزی باشند ولی معمولاً از بسته های ICMP ECHO برای اینگونه حملات استفاده می شود. از طرفی در حمله "مصرف پهنای باند"، هکر نیازی به حمله از طریق یک ماشین ندارد، بلکه می تواند با استفاده از چندین ماشین و بر روی شبکه های مختلف تأثیر مشابهی را برای قربانی ایجاد کند.
4- مصرف دیگر منابع
علاوه بر پهنای باند، هکرها قادر به مصرف منابع دیگری نیز هستند که سیستم شما برای کار کردن به آنها نیازمند است. برای مثال در بسیاری از سیستم ها تعداد محدودی ساختمان داده برای نگهداری اطلاعات عملیات وجود دارد و یک هکر با نوشتن یک برنامه ساده که کار خاصی انجام نمی دهد و فقط خود را مرتباً بازنویسی می کند، قادر است این منابع را مشغول نگه دارد. البته امروزه بسیاری از سیستم عامل های جدید امکان سهمیه بندی یا Quota را برای مقابله با این مشکل فراهم کرده اند. علاوه بر این اگر جدول پردازه ها پر هم نشده باشد، CPU ممکن است توسط تعداد زیاد پردازه و مصرف زمان مورد نیاز برای سوئیچ کردن بین آنها مشغول باقی بماند. به همین جهت لازم است در مورد امکان سهمیه بندی منابع سیستمی در سیستم عامل خود تحقیقات به عمل آورید.
یک نفوذگر ممکن است برای مصرف دیسک سخت از راههای زیر اقدام کند:
تولید تعداد بسیار زیادی ایمیل
تولید خطاهای عمدی که باید ثبت شوند (log)
قرار دادن فایل ها بر روی فضای ftp ناشناس و یا فضای به اشتراک گذاشته شده
در حالت کلی هر چیزی که اجازه نوشتن داده بر روی دیسک را فراهم کند، در صورتی که حد و مرزی برای میزان داده نوشته شده وجود نداشته باشد، می تواند منجر به حملات DoS شود.
بسیاری از سایت ها دارای سیستمی هستند که حساب کاربری را بعد از چند تلاش ناموفق برای ورود به سیستم قفل می کند. هکر قادر است با استفاده از همین ویژگی، مانع از ورود کاربران قانونی سایت به حساب کاربریشان شود. در برخی حالات، حساب های کاربری پر اولویتی مانند root یا administrator هدف اینگونه حملات قرار می گیرند. لذا مطمئن شوید روشی برای دسترسی به سیستم تحت شرایط اضطراری وجود دارد.
یک هکر قادر است سیستم شما را با استفاده از ارسال داده های غیر منتظره بر روی شبکه از کار بیاندازد. اگر سیستم شما اغلب بدون دلیل آشکاری از کار می افتد، ممکن است قربانی اینگونه حملات شده باشد.
منابع دیگری نیز وجود دارند که ممکن است در برابر حملات DoS آسیب پذیر باشند و بهتر است بر آنها نیز نظارت لازم را به عمل آورید. این موارد عبارتند از:
پرینترها
ابزارهای Tape
اتصالات شبکه
هر منبع محدود دیگری که برای عملیات سازمان شما مهم محسوب شود
ب- از بین بردن یا تغییر دادن اطلاعات مربوط به پیکربندی سیستم
رایانه ای که به صورت نادرست پیکربندی شده باشد، یا به خوبی کار نمی کند یا کاملاً از کار می افتد. یک هکر قادر است با دستکاری یا از بین بردن اطلاعات پیکربندی، از به کارگیری رایانه یا شبکه شما ممانعت به عمل آورد. برای مثال در صورتی که یک هکر اطلاعات مسیریابی در روترها را تغییر دهد، ممکن است کل شبکه غیر فعال شود، یا اگر هکر بتواند رجیستری را در ویندوز NT دستکاری کند، برخی از عملیات غیر قابل استفاده می شوند.
ج- خرابی فیزیکی یا تبدیل اجزای شبکه
این نوع از حمله ارتباط مستقیم با امنیت فیزیکی دارد. شما باید از شبکه خود در مقابل هر گونه دسترسی غیر مجاز به رایانه ها، روترها، سیم های شبکه، اجزای اسکلت شبکه، ایستگاه های برق و دستگاه های خنک کننده و هر یک از اجزای مهم دیگر شبکه محافظت به عمل آورید. البته امنیت فیزیکی یکی از ارکان اصلی در مقابله با بسیاری از حملات دیگر علاوه بر DoS نیز می باشد و بهتر است از متخصصان و مشاوران برای راهنمایی بیشتر در این زمینه کمک گرفته شود.
روش های مقابله
حملات DoS می توانند برای بسیاری از سازمانها منجر به از دست رفتن زمان ارزشمند و منابع مالی شوند. به سایت ها توصیه می شود احتمال خرابی سرویس بطور گسترده را از قبل در نظر بگیرند و گام های مناسب برای کاهش خطر حملات DoS را بردارند. برخی از اقداماتی که بنا بر نیاز هر سایت می توان از آنها استفاده کرد به شرح زیر است:
- فیلترهای روتر را در شبکه خود مورد استفاده قرار دهید. این فیلترها احتمال برخی از انواع حملات DoS را کاهش می دهند و همچنین از سوء استفاده کاربران شبکه در هدایت حملات DoS جلوگیری می کند.
- بسته های محافظتی در مقابل طغیان TCP SYN را نصب کنید تا احتمال اینگونه حملات را کاهش دهند ولی به یاد داشته باشید این بسته ها قادر به محافظت کامل از شبکه شما نیستند.
- هر سرویس شبکه را که ضروری نیست یا مورد استفاده قرار نمی گیرد را غیر فعال کنید. این کار قدرت هکرها را در سوء استفاده از این سرویس ها برای اجرای حملات DoS محدود می سازد.
- سیستم Quota را بر روی سیستم عامل خود فعال سازید. برای مثال اگر سیستم عامل شما سهمیه بندی (quota) هارددیسک را پشتیبانی می کند، آن را برای همه حساب های کاربری مخصوصاً آنهایی که سرویس شبکه را اجرا می کنند فعال سازید. به علاوه در صورتی که سیستم عامل شما اجازه می دهد سیستم های فایلی جداگانه ای را برای عملیاتهای مهم و کاربران تعریف و استفاده کنید.
- کارایی سیستم خود را مورد بازبینی قرار دهید و یک سری حدود اصلی را برای کارهای معمولی تعریف کنید و این حدود را برای تشخیص استفاده های غیر معمول از حافظه، CPU و یا ترافیک شبکه به کار ببرید.
- مرتباً امنیت فیزیکی شبکه را با توجه به نیازهای فعلی بسنجید. در این سنجش، سرورها، روترها، ترمینال های بدون مراقبت، نقاط دسترسی شبکه، جعبه سیم ها، سیستم های محیطی مانند تهویه هوا و برق و دیگر اجزای شبکه را مورد وارسی قرار دهید.
- از Tripwire یا ابزار مشابه دیگری برای تشخیص تغییرات در اطلاعات مربوط به پیکربندی یا تغییرات در دیگر فایلها، استفاده کنید.
- برای ماشینهای جایگزین یا hot spares سرمایه گذاری کرده و از آنها نگهداری کنید تا در مواقع اضطراری جایگزین ماشین های از کار افتاده شوند.
- در مورد خطاپذیری پیکربندی شبکه تحقیق به عمل آورید.
- سیاست ها و زمانبندی های منظمی را برای پشتیبان گیری ایجاد و نگهداری کنید، مخصوصاً برای اطلاعات مهم مربوط به پیکربندی.
- سیاست هایی را در مورد رمز عبور مناسب ایجاد و نگهداری کنید، خصوصاً در مورد حساب های کاربری با اولویت بالا مانند ریشه UNIX یا مدیر Windows NT (UNIX Root and Windows NT Administrator).
امروزه بسیاری از مؤسسات و سازمان ها از تبعات حملات DoS متضرر می شوند که با رعایت موارد امنیتی و استفاده از دانش متخصصان این زمینه می توانند این ضررها را به حداقل کاهش دهند.
منبع خبر:http://www.certcc.ir