بررسی انواع حملات DOS و 6 روش پیشگیری از آن

در این مطلبمیخواییم در مورد حملات DOS صحبت کنیم و روش هاي پيشگيري از اون رو هم بررسي کنيم که اميدوارم مورد توجه تون واقع بشه. حمله Denial of Service يا همون DOS که ترجمش ميشه يک چيزي تو همون مايه ي از بين بردن دسترسي پذيري يک شبکه يا سايت طبق امار پر استفاده ترين نوع حمله مخرب توسط هکر هاست. اين نوع حمله نسبت به انواع ديگر اسان تر ميباشد ولي با اين حال ميتواند بسيار تخريب کننده باشد. به معناي واقعي کلمه هر کسي ميتواند يک وب سايت را با Command Prompt خود داون(Down) کند.حال سوال اينجاست که چگونه ميتوان از اين نوع حملات که ميتواند ظرف چند دقيقه شبکه يا وب سايت شما را فلج کند پيشگيري کرد؟؟

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

انواع حملات DoS

اگر ميخواهيد از خودتان درمقابل يک حمله محافظت کنيد ابتدا بايد بدانيد که روش انجام آن به چه صورت است؟ شما بايد خودتان را با انواع مختلف آن ها , متد ها و پلن هايي که هکر ها از ان ها استفاده ميکنند اشنا کنيد.خوشبختانه تا به حال فقط هفت دسته بندي حملات Dosتا کنون شناخته شده که ما قصد داريم در انجمن تخصصي علم و فناوري ايران به آن بپردازيم.

شماره 1 : Ping Flood

آسان ترين نوع حمله, حمله Ping Flood است که تحت پروتکل ICMP کار ميکند و امروزه به عنوان Ping شناخته ميشود.در شرايط عادي از دستور Ping براي بررسي صحت ارتباط بين دو کامپيوتر استفاده ميشود اما در حمله Ping Flood باعث ميشود تا سيل عظيمي از پکت هاي با حجم بالا براي کامپيوتر قرباني جهت Overload شدن ارسال شود.شما در تصوير زير ميتوانيد نمونه اي از اين نوع حمله را مشاهده کنيد.

وب سایت توسینسو

دو آپشن دستور Ping جهت حمله

1- آپشن n- که به CMD ميگويد که چندبار درخواست را ارسال کن.در حالت پيش فرض 4 دفعه است اما با اپشن t- ميتوان بدون محدوديت تعداد اين درخواست را ارسال کرد.

2- آپشن l- که به CMD ميگويد سايز پکت هاي ارسالي چه قدر باشند؟ حداکثر سايز65,535 بايت ميباشد در حالي که مقدار پيش فرض ان 32 بايت است.

اين نوع حمله عمدتا براي شبکه ها يا وب سايت هاي بزرگ بي استفاده است چون از يک کامپيوتر براي ارسال درخواست استفاده ميشود. اگر ما از چند کامپيوتر براي حمله استفاده کنيم به ان حملات توزيع شده Dos يا به اختصار DDoS ميگويند(Distributed Denial of Service) . معمول ترين روش جلوگيري از Ping Flood اين است که اي پي فرستنده را از دسترسي به شبکه بن کنيم. حملات DDoS مقداري پيچيده تر هستند که در ادامه به بررسي آن ها ميپردازيم.

شماره 2 : Ping of Death

حمله Ping of Death يا به اختصار PoD ميتواند با استفاده از نقصي در سيستم TCPIP باعث فلج شدن شبکه شما شود. حداکثر سايز پکتي که ميتوان ارسال کرد 65,535 بايت است. اگر ما يک پکت با حجم بالاتر از 65,535 ارسال کنيم کامپيوتر گيرنده گيج شده و کرش ميشود. ارسال بالاتر از حجم 65,535 خلاف قوانين پروتکل TCPIP است ولي هکر ها با قطعه قطعه کردن پکت ها اين را دور ميزنند.هنگامي که پکت ها در کامپيوتر گيرنده به يک ديگر ميپوندند حجم نهايي بسيار زياد ميشود که موجب Buffer Overlflow شده و سبب کرش دستگاه ميشود.

وب سایت توسینسو

خوشبختانه اکثر ديوايس هاي ساخته شدخ بعد از سال 1998 به اين نوع حمله ايمن هستند.اگر شما در شبکه ي خود هنوز از اين سخت افزار هاي تاريخ مصرف گذشته استفاده ميکنيد به طور حتم احتمال حمله به شبکه ي شما وجود دارد. در اين مورد در صورت امکان سخت افزار خود را اپگريد کنيد.

شماره 3 : Smurf / Smurfing

در جريان يک حمله Smurf هکر IP خود را جعل کرده و به IP کامپيوتر قرباني تبديل کرده و سبب سردرگمي بزرگ در شبکه قرباني شده و ترافيک قابل توجهي به ديوايس هاي شبکه قرباني ارسال ميشود اگر که به درستي اجرا شود. اکثر فايروال ها ميتوانند از شبکه شما در مقابل اين نوع حمله محافظت کنند اما اگر فايروال نداشتيد و مورد تهاجم قرارگرفتيد ميتوانيد با دسترسي به راوتر شبکه يا وبسايت خود به ان بگوييد که پکت هارا به ادرس هاي Broadcast فوروارد نکن. در راوتر هاي سيسکو به سادگي ميتوانيد از اين دستور استفاده کنيد:

no ip directed-broadcast

اين عمل الزاما باعث بي اثر شدن و دفاع از حمله Smurf نميشود ولي مقدار بسيار زيادي از ضريه را کاهش ميدهد و باعث پيشگيري از ديگر حملاتي که هکر ها قصد انجام به شبکه يا وب سايت شما دارند ميشود.به صورت دلخواه اگر بتوانيد شبکه خود را به راوتر هاي جديد شرکت Ciscoمجهز کنيد آنها ميتوانند به صورت اتوماتيک IP هاي جعل شده را که حملات Smurf براساس ان کار ميکند را فيلتر کنند.

شماره 4 : Fraggle

حمله ي Fraggle دقيقا مشابه حمله ي Smurf است با اين تفاوت که از پروتکل UDP يا (User Datagram Proocol) استفاده ميکند حملات Fraggle همانندSmurf در حال انقضا ميباشند زيرا عموما توسط فايروال ها و رواتر ها موقف ميشوند.اگر شما متوجه شديد که تحت اين نوع حمله قرار گرفتيد به سادگي پورت هفت خود يا echo راببنديد.قدرت این نوع حمله عموما از حمله ی Smurf کمتر است زیر پروتکل UDP استفاده کمتری نسبت به TCP/IP دارد.

شماره 5 : SYN Flood

حمله ی SYN Flood از مزایای پروتکل TCP در فرایند سه طرفه ی Handshake استفاده میکند.این روش به دو صورت مجزا انجام میشود.در هر دو روش مهاجم سعی میکند تا یک فرایند سه طرفه ی Handshake را اغاز کند ولی ان را به اتمام نرساند.در تصویر زیر شما میتوانید یک فرایند سه طرفه ی Handshake کامل را مشاهده کنید.

وب سایت توسینسو

در روش اول مهاجم یک در خواست Synchronize یا هماهنگ سازی با یک IP جعلی ارسال میکند.وقتی که سرور سعی میکند که به درخواست پاسخ دهد و تاییده یا SYN-ACK را ارسال کند هیچ پاسخی دریافت نمیکند.در این صورت سرور هیچ وقت در خواست Acknowledge را دریافت نمیکند و ان Sessionایجاد شده به صورت نیمه باز میماند وباعث هدر رفتن منابع سرور میشود.در روش دوم مهاجم عمدا درخواست ACK را ارسال نمیکند.در هر دو روش، با منتظر گذاشتن سرور و سرگرداندن ان باعث از بین رفتن منابع ان میشوند.خوشبختانه این ضعف امنیتی مانند روش Ping of Deathسال هاست که برطرف شده البته در سخت افزار های جدید.اگ شما هنوز از سخت افرار های قدیمی استفاده می کنید به سرعت برق وباد سایت ITPro را بسته و سراغ پگرید انها بروید.

شماره 6 : Teardrop

در روش Teardrop قطعه های پکت به صورت نامنظم و درهم ورهم یا همون خر تو خر خودمون فرستاده میشوند.به طور حتم وقتی سخت افزار گیرنده سعی میکند تا تکه های پکت را اسمبل یا وصل کند نمیداند که چگونه این کار را باید انجام دهد و درخواست را مدیرت کند. ورژن های قدیمی تر سیستم عامل ها هنگام مواجه با این نوع حمله Crash میکردند.سیستم عامل هایی مانند ویندوز NT,95 و حتی لینوکس ورژن های قبل از 2.1.63 نسبت به این نوع حمله اسیب پذیر هستند.همان طور که قبلا گفتم و هی میگم(دیگه رو زبونم قارچ دراومد)اپگرید کردن سخت افزار و نرم افزار بهترین راه برای جلوگیری از این گونه حملات میباشد.

Distributed Denial of Service (DDoS

و بالاخره میرسیم به حمله DDos که مهلک ترین نوع آن تا به حال میباشد.مدیران شبکه علاوه بر نصب اخرین نرم افزار ها و سخت افزار معمولا به کمک های اضافی هم برای این نوع حمله نیازمندند.حمله ی توزیع شده نقض سرویس دهی(عجب ترجمه مضخرفی)یا همون DDos بسیار شبیه حمله Ping Flood میباشد با این تفاوت که از چندین کامپیوتر استفاده میشود.در این نمونه کامپیوتر هایی که برای حمله استفاده میشوند ممکن است از این حقیقت که ان ها قصد دارند به یک وب سایت یا شبکه حمله کنند خبر داشته باشند یا خیر ،بی اطلاع باشند.تروجان ها و ویروس ها عمدتا به هکر ها کنترل یک کامپیوتر را میدهند و درنهایت امکان استفاده برای یک حمله.در این مورد کامپیوتر های قربانی Zombie (همون مرده های متحرکی که توی سریال واکینگ دد میبیند)نام دارند.

وب سایت توسینسو

مهار یک حمله DDos بسیار مشکل است.اولین کاری که باید شما انجام دهید این است که با شرکت هاستینگ یا ISP خود تماس گرفته.ان ها معمولا میتوانند حجمی از ترافیک را بر اساس اینکه از کجا می ایند را فیلتر کنند.البته در مقیاس بزرگتر شما باید به فکر دیگری باشید و هوشمندانه تر عمل کنید.(چون رسما دهنتون سرویسه) اگر به راوتر خودتون دسترسی دارید و این نوع رواتر از برند سیسکو هست این دستور را در ترمینال راوتر خود وارد کنید

No ip verify unicast reverse-path

چند راهکار برای پیشگیری ازDDoS

1-موثر ترین روش استفاده از سرویس های DDos Protection شرکت هایی مانند Cloudflare ,blacklotus , غیره

2-خرید یک سیستم حفاظتی IDS مانند Ax3soft Sax2

به عنوان اخرین راهکار ترافیک را میتوان به یک جای دیگر هدایت کرد(Sink Hole) تا یک راه حل برای رفع مشکل پیدا کرد.البته هدایت ترافیک به یک مکان دیگر یک مشکل دارد و ان هم این است که همه ی ترافیک را منتقل میکند چه ترافیک خوب و چه ترافیک بد!!

جمع بندی کلی

همان طور که قبلا هم بار ها گفتم با اپگرید سخت افزار و نرم افزار به اخرین نسخه میتوان از عمده ی حملاتDoS جلوگیری کرد اما در مورد حمله نوع DDoS راه حل های کمتری وجود دارد.حتی شرکت های بزرگی مانند ماکروسافت و سونی قربانی حملات DDoS شده اند.درکل سعی کنید دشمن تراشی نکنید و همیشه شبکه ی خود را مانیتورینگ و محافظت کنید و زمانی که قصد دارید یک مهاجم را پیدا کنید دو چیز را مد نظر داشته باشید. اولا ممکن است که IP مهاجم جعلی باشد و شما را به راه دیگر و نادرستی هدایت کند و ثانیا به قصد انتقام به او حمله نکنید.مثل اب خوردن زنگ میزنید پلیس و اجازه میدید که قانون کار خودشو انجام بده(البته تو کشور ما یکم قانون زیادی خوبه...)


نظرات