قبل از ارائه توضیحات در ارتباط با این نوع حمله ، به توضیحاتی مقدماتی در این ارتباط پرداخته و در نهایت نحوه عملکرد این حمله شرح داده خواهد شد.
تعریف پروتکل ICMP
پروتکلICMP(INTERNET CONTROL MESSAGE PROTOCOL) ، یک پروتکل کنترل پیام اینترنته که همانند پروتکل IP در لایه NETWORK قرار می گیرد اما نوع کاربرد آن شبیه پروتکل TRANSPORT بوده، از این پروتکل جهت اشکالیابی در ارتباطات شبکه ای استفاده می شود. بعبارتی اشکال زدایی، گزارش خطاها و همچنین مبادله اطلاعات محدود در بستر شبکه را ارائه می دهد و حاوی اطلاعات خاصی در ارتباط با اعلام وصول بسته های اطلاعاتی نیست بطور مثال یک مسیر یاب می تواند از icmp استفاده کند تا به سیستم مبدا اطلاع دهد که راهی به مقصد مورد نیاز ندارد و یک میزبان می تواند به سیستم دیگر بگوید که سرعت تعداد پیام هایی که مبدا ICMP می فرستد را کاهش دهد.
حملات DOS
حملات از نوع DoS که مخفف عبارتDenial-of-Service است، حمله ای است که در آن موجب از کارافتادن یک سرویس و حتی خراب شدن سرویس می شود. در واقع هکرها با ایجاد ترافیک بیش از حد و اضافی، حجم زیادی از منابع سرویس دهنده و پهنای باند شبکه را صرف تقاضاهای بی مورد می کنند تا جائیکه دستگاه سرویس دهنده از کار بیافتد.
زیرساخت های اینترنت کاملاً از منابع محدود تشکیل شده و پهنای باند، قدرت پردازش و ظرفیت های ذخیره سازی، همگی محدود و هدف های معمول حملات DoS هستند. مهاجمان با انجام این حملات سعی می کنند با مصرف کردن مقدار قابل توجهی از منابع در دسترس، باعث قطع میزانی از سرویس ها شوند. حملات DoS معمولاً از یک یا چند نقطه که از دید سیستم یا شبکه قربانی عامل بیرونی هستند، صورت می گیرند.
امروزه بیشترین حملات مبنی بر ارسال تعداد بسیار زیادی بسته به یک مقصد است که باعث مصرف پهنای باند شبکه می شود.(Packet flooding)
چندین نوع بسته معمول که هنوز توسط ابزار حمله DoS استفاده می شوند عبارتند از :
روش های حمله DoS
حملات smurf یک از مخرب ترین حملات DoS هستند که نفوذگر یک تقاضای ICMP (ping echo) به یک آدرس ناحیه می فرستد. آدرس منبع تقاضای echo، آدرس IP قربانی است که بعد از دریافت تقاضای اکو، تمام ماشین های ناحیه پاسخ های اکو را به آدرس IP قربانی می فرستند. در این حالت قربانی هنگام دریافت طغیان بسته های با اندازه بزرگ از تعداد زیادی ماشین، از کار خواهد افتاد.این نوع حملات ، برای ازکار انداختن منابع شبکه سیستم قربانی از روش مصرف پهنای باند استفاده می کند.
حمله Fraggle (تقویت بسته UDP) از بسته های اکوی UDP بر طبق همان روش بسته های اکوی ICMP در حمله Smurf استفاده می کند. Fraggle معمولاً به ضریب تقویت کمتری نسبت به Smurf می رسد، و در بیشتر شبکه ها اکوی UDP سرویسی با اهمیت کمتر نسبت به اکوی ICMP است، بنابراین Fraggle عمومیت Smurf را ندارد.
حمله طغیان SYN برای ایجاد حمله DoS بر اساس قحطی منابع عمل می کند که در آن هکر درخواست های متعدد SYN به سرور قربانی با آدرس های منبع جعلی بعنوان آدرس برگشت، می فرستد سپس سرور قربانی با ACK/SYN به آدرس های ناموجود پاسخ می دهد و منتظر ACK از طرف کلاینت می ماند. در حالیکه ACK هرگز نمی رسد، و زمان انتظار سرور قربانی پس از مدتی به پایان می رسد. لذا اگر حمله کننده به اندازه کافی و مرتب تقاضاهای SYN بفرستد، منابع موجود سرور قربانی برای برقراری یک اتصال و انتظار برای این ACKهای در حقیقت تقلبی مصرف خواهد شد.
اخیرا یک نوع حمله تحت عنوان BlackNurse این امکان را بوجود آورده تا تمامی فایروالهای سازمانی با پهنای باند بالا را غیرفعال کرد در این حمله بسته های ICMP حاوی کدهای ویژه ای هستند.حملات سایبری نیز با هدف غیرفعال کردن سیستم،پیامهای مرتبط با این بستهها را مورد استفاده قرار میدهند.در این نوع حمله سایبری بستههای نوع ICMP Type 8 Code 0 به کار گرفته میشوند و از این طریق تمامی فایروالهای سازمانی با پهنای باند بالا غیرفعال میشود.آخرین نمونه از حمله BlackNurse بستههای ICMP Type 3 Code 3 را مورد استفاده قرار میدهد و بر این اساس پردازنده اصلی شبکه سازمانی مجبور میشود برای پردازش آنها، بخش اعظم توانایی خود را به کار بگیرد و در نهایت کل شبکه مختل شود.
به گفته مرکز عملیات امنیتی موبایل TDC دانمارک، ارسال همزمان ۴۰ تا ۵۰ هزار بسته ICMP Type 3 Code 3 در یک ثانیه میتواند فایروال یک سازمان را کاملا از کار خواهد انداخت. این تعداد بسته بسیار زیاد است و شبکه سازمانی میبایست پهنای باندی معادل ۱۵ تا ۱۸ مگابیت بر ثانیه داشته باشد تا بتواند آن را تحلیل کند و از کار نیفتد.ولی حمله BlackNurse با ارسال همزمان این تعداد بسته، معمولا اختلال گسترده شبکههای سازمانی را باعث میشود و باعث از کار افتادن آنها میگردد.
توصیه : دفاع برعلیه حملات dos ، علاوه بر اینکه موجب حفاظت از شبکه و کامپیوترهای مرتبط با اینترنت می شود، بلکه موجب جلوگیری از استفاده از این کامپیوترها برای حمله به سایر شبکه ها و سیستم ها نیز خواهد شد.پس بدون توجه به اینکه سیستم هایتان به چه میزان محافظت می شوند، قرار گرفتن در معرض بسیاری از انواع حمله و مشخصاً DoS ، به وضعیت امنیتی در سایر قسمت های اینترنت بستگی زیادی دارد.
مرجع : IRCERT
مرجع: رایورز
مرجع : Even A Single Computer Can Take Down Big Servers Using BlackNurse Attack
نویسنده : علیرضا(ARAF)
منبع:ITPRO
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
کارشناس ارشد فناوری اطلاعات و مدرس کامپیوتر
کارشناس ارشد فناوری اطلاعات هستم ، مدرس دوره های کامپیوتر ، مدیر فناوری اطلاعات و دارای گواهینامه های MCSA ، CCNA ، CEH و Network Plus و خوشحالم از اینکه می تونم دانشم رو در توسینسو به اشتراک بگذارم
28 آبان 1395 این مطلب را ارسال کرده