آشنايي با حملات اينترنتي از نوع DOS بخش دوم

edame matlab....

از آنجا که حملات طغيان بسته هاي ديتا معمولاً تلاش مي کنند منابع پهناي باند و پردازش را خلع سلاح کنند، ميزان بسته ها و حجم ديتاي متناظر با رشته بسته ها عوامل مهمي در تعيين درجه موفقيت حمله هستند. بعضي از ابزارهاي حمله خواص بسته ها را در رشته بسته ها بدلايلي تغيير مي دهند: · آدرس IP منبع – در بعضي موارد، يک آدرس IP منبع ناصحيح، (روشي که جعل IP ناميده مي شود) براي پنهان کردن منبع واقعي يک رشته بسته استفاده مي شود. در موارد ديگر، جعل IP هنگامي استفاده مي شود که رشته هاي بسته به يک يا تعداد بيشتري از سايت هاي واسطه فرستاده مي شوند تا باعث شود که پاسخ ها به سمت قرباني ارسال شود. مثال بعدي در مورد حملات افزايش بسته است (مانند smurf و fraggle) · پورتهاي منبع\مقصد- ابزار حمله طغيان بسته بر اساس TCP و UDP ، گاهي اوقات پورت منبع و يا مقصد را تغيير مي دهند تا واکنش توسط فيلتر کردن بسته را مشکل تر کنند. · مقادير IP Header ديگر - در نهايت در ابزار حمله DoS مشاهده کرده ايم که براي مقداردهي تصادفي، مقادير Header هر بسته در رشته بسته ها طراحي شده اند که تنها آدرس IP مقصد است که بين بسته ها ثابت مي ماند.

بسته ها با خواص ساختگي بسادگي در طول شبکه توليد و ارسال مي شوند. پروتکل TCP/IP به آساني مکانيزم هايي براي تضمين پيوستگي خواص بسته ها در هنگام توليد و يا ارسال نقطه به نقطه بسته ها ارائه نمي کند. معمولاً، يک نفوذگر فقط به داشتن اختيار کافي روي يک سيستم براي بکارگيري ابزار و حملاتي که قادر به توليد و ارسال بسته هاي با خواص تغييريافته باشند، نياز دارد. ژوئن ????، آغاز بکارگيري ابزار DoS با چندين منبع يا DDos (Distributed DoS) بود. روش هاي حمله DoS در اين قسمت به يک تقسيم بندي کلي درباره انواع حملات DoS مي پردازيم: Smurf يا Fraggle حملات smurf يک از مخرب ترين حملات DoS هستند. در حمله Smurf (حمله براساس ازدياد بسته هاي ICMP)، نفوذگر يک تقاضاي اکوي ICMP (ping) به يک آدرس ناحيه مي فرستد. آدرس منبع تقاضاي اکو، آدرس IP قرباني است.

(از آدرس IP قرباني بعنوان آدرس برگشت استفاده مي شود). بعد از دريافت تقاضاي اکو، تمام ماشين هاي ناحيه پاسخ هاي اکو را به آدرس IP قرباني مي فرستند. در اين حالت قرباني هنگام دريافت طغيان بسته هاي با اندازه بزرگ از تعداد زيادي ماشين، از کار خواهد افتاد. حمله Smurf براي ازکار انداختن منابع شبکه سيستم قرباني از روش مصرف پهناي باند استفاده مي کند. اين حمله اين عمل را با استفاده از تقويت پهناي باند نفوذگران انجام مي دهد. اگر شبکه تقويت کننده ??? ماشين دارد، سيگنال مي تواند ??? برابر شود، و بنابراين حمله کننده با پهناي باند پايين (مانند مودم ?? کيلوبيتي) مي تواند سيستم قرباني را با پهناي باند بيشتري (مانند اتصال T1) از کار بيندازد. حمله Fraggle (تقويت بسته UDP) در حقيقت شباهت هايي به حمله Smurf دارد. حمله Fraggle از بسته هاي اکوي UDP بر طبق همان روش بسته هاي اکوي ICMP در حمله Smurf استفاده مي کند. Fraggle معمولاً به ضريب تقويت کمتري نسبت به Smurf مي رسد، و در بيشتر شبکه ها اکوي UDP سرويسي با اهميت کمتر نسبت به اکوي ICMP است، بنابراين Fraggle عموميت Smurf را ندارد. SYN Flood حمله طغيان SYN قبل از کشف حمله Smurf بعنوان مخرب ترين شيوه حمله DoS بشمار مي رفت. اين روش براي ايجاد حمله DoS بر اساس قحطي منابع عمل مي کند. در طول برقراري يک ارتباط معمولي TCP، سرويس گيرنده يک تقاضاي SYN به سرويس دهنده مي فرستد، سپس سرور با يک ACK/SYN به کلاينت پاسخ مي دهد، در نهايت کلاينت يک ACK نهايي را به سرور ارسال مي کند و به اين ترتيب ارتباط برقرار مي شود.

اما در حمله طغيان SYN، حمله کننده چند تقاضاي SYN به سرور قرباني با آدرس هاي منبع جعلي بعنوان آدرس برگشت، مي فرستد. آدرس هاي جعلي روي شبکه وجود ندارند. سرور قرباني سپس با ACK/SYN به آدرس هاي ناموجود پاسخ مي دهد. از آنجا که هيچ آدرسي اين ACK/SYN را دريافت نمي کند، سرور قرباني منتظر ACK از طرف کلاينت مي ماند. ACK هرگز نمي رسد، و زمان انتظار سرور قرباني پس از مدتي به پايان مي رسد. اگر حمله کننده به اندازه کافي و مرتب تقاضاهاي SYN بفرستد، منابع موجود سرور قرباني براي برقراري يک اتصال و انتظار براي اين ACKهاي در حقيقت تقلبي مصرف خواهد شد. اين منابع معمولاً از نظر تعداد زياد نيستند، بنابراين تقاضاهاي SYN جعلي حتي با تعداد نسبتاً کم مي توانند باعث وقوع يک حمله DoS شوند. حملات DNS در نسخه هاي اوليه BIND (Berkely Internet Name Domain)، حمله کنندگان مي توانستند بطور مؤثري حافظه نهان يک سرور DNS را که در حال استفاده از عمليات بازگشت براي جستجوي يک ناحيه بود که توسط اين سرور سرويس داده نمي شد، مسموم کنند. زماني که حافظه نهان مسموم مي شد، يک کاربر قانوني به سمت شبکه مورد نظر حمله کننده يا يک شبکه ناموجود هدايت مي شد.

اين مشکل با نسخه هاي جديدتر BIND برطرف شده است. در اين روش حمله کننده اطلاعات DNS غلط که مي تواند باعث تغيير مسير درخواست ها شود، ارسال مي کند. حملات DDoS حملات DDoS (Distributed Denial of Service) حمله گسترده اي از DoS است. در اصل DDos حمله هماهنگ شده اي برعليه سرويس هاي موجود در اينترنت است. در اين روش حملات DoS بطور غيرمستقيم از طريق تعداد زيادي از کامپيوترهاي هک شده بر روي کامپيوتر قرباني انجام مي گيرد. سرويس ها و منابع مورد حمله ، «قرباني هاي اوليه» و کامپيوترهاي مورد استفاده در اين حمله «قرباني هاي ثانويه» ناميده مي شوند. حملات DDoS عموماً در از کار انداختن سايت هاي کمپاني هاي عظيم از حملات DoS مؤثرتر هستند. انواع حملات DDoS عموماً حملات DDoS به سه گروه Trinoo، TFN/TFN2K و Stecheldraht تقسيم مي شوند.

Trinoo Trinoo در اصل از برنامه هاي Master/Slave است که با يکديگر براي يک حمله طغيان UDP بر عليه کامپيوتر قرباني هماهنگ مي شوند. در يک روند عادي، مراحل زير براي برقراري يک شبکه Trinoo DDoS واقع مي شوند: مرحله?: حمله کننده، با استفاده از يک ميزبان هک شده، ليستي از سيستم هايي را که مي توانند هک شوند، گردآوري مي کند. بيشتر اين پروسه بصورت خودکار از طريق ميزبان هک شده انجام مي گيرد. اين ميزبان اطلاعاتي شامل نحوه يافتن ساير ميزبان ها براي هک در خود نگهداري مي کند. مرحله?: به محض اينکه اين ليست آماده شد، اسکريپت ها براي هک کردن و تبديل آنها به اربابان(Masters) يا شياطين (Daemons) اجراء مي شوند. يک ارباب مي تواند چند شيطان را کنترل کند. شياطين ميزبانان هک شده اي هستند که طغيان UDP اصلي را روي ماشين قرباني انجام مي دهند.

مرحله?: حمله DDoS هنگامي که حمله کننده فرماني به ميزبانان Master ارسال مي کند، انجام مي گيرد. اين اربابان به هر شيطاني دستور مي دهند که حمله DoS را عليه آدرس IP مشخص شده در فرمان آغاز کنند و با انجام تعداد زيادي حمله DoS يک حمله DDoS شکل مي گيرد. TFN/TFN2K TFN (Tribal Flood Network) يا شبکه طغيان قبيله اي، مانند Trinoo، در اصل يک حمله Master/Slave است که در آن براي طغيان SYN عليه سيستم قرباني هماهنگي صورت مي گيرد. شياطين TFN قادر به انجام حملات بسيار متنوع تري شامل طغيان ICMP، طغيان SYN و حملات Smurf هستند، بنابراين TFN از حمله Trinoo پيچيده تر است. TFN2K نسبت به ابزار TFN اصلي چندين برتري و پيشرفت دارد. حملات TFN2K با استفاده از جعل آدرس هاي IP اجرا مي شوند که باعث کشف مشکل تر منبع حمله مي شود.

حملات TFN2K فقط طغيان ساده مانند TFN نيستند. آنها همچنين شامل حملاتي مي شوند که از شکاف هاي امنيتي سيستم عامل ها براي بسته هاي نامعتبر و ناقص سوءاستفاده مي کنند تا به اين ترتيب باعث از کار افتادن سيستم هاي قرباني شوند. حمله کنندگان TFN2K ديگر نيازي به اجراي فرمان ها با وارد شدن به ماشين هاي مخدوم (Client) )به جاي Master در TFN) ندارند و مي توانند اين فرمان ها را از راه دور اجراء کنند. ارتباط بين Clientها و Daemonها ديگر به پاسخ هاي اکوي ICMP محدود نمي شود و مي تواند روي واسط هاي مختلفي مانند TCP و UDP صورت گيرد.

بنابراين TFN2K خطرناک تر و همچنين براي کشف کردن مشکل تر است. Stacheldraht کد Stacheldraht بسيار شبيه به Trinoo و TFN است، اما Stacheldraht اجازه مي دهد که ارتباط بين حمله کننده و Masterها (که در اين حمله Handler ناميده مي شوند) رمزنگاري شود؛ عامل ها مي توانند کد خود را بصورت خودکار ارتقاء دهند، مي توانند اقدام به انواع مختلفي از حملات مانند طغيان هاي ICMP، طغيان هاي UDP و طغيان هاي SYN کنند.