بررسی حملات محرومیت از سرویس DOS و DDOS – بخش اول

حملات (محرومیت از سرویس) یا DOS , DDOS به حملاتی گفته می شود که هدف اصلی آنها ممانعت از دسترسی کاربران واقعی به منابع کامپیوتری، شبکه ها و یا اطلاعات است. این حمله یک نوع خطرناک و نسبتا جدید از حملات اینترنتی است. در این حملات، تعداد زیادی بسته از طریق یک (DoS) یا چند (DDoS) ماشین برای از کار انداختن قدرت محاسباتی و منابع شبکه یا از کار انداختن ماشین هدف ارسال می شود.

حملات DDoS قدرتمند تر و تشخیص و مقابله با آن ها سخت تر از حملات DoS می باشد. زیرا در این حملات چندین ماشین می توانند به منظور ارسال جریان کوچکی از ترافیک به سمت ماشین هدف هماهنگ شوند که اداره مجموع این ترافیک ها برای ماشین هدف سخت می باشد. اینگونه حملات معمولاً از دسترسی کاربران واقعی برنامه، به اطلاعات جلوگیری می کند. مهاجمان با ایجاد ترافیک بی مورد و بی استفاده، حجم زیادی از منابع سرویس دهنده (سرور) و پهنای باند شبکه را مصرف می کنند یا به نوعی سرور را درگیر رسیدگی به این تقاضاهای بی مورد می کند و این تقاضاها تا جایی که دستگاه سرویس دهنده را از کار بیندازد ادامه می یابد. بعبارت دیگر در آن مهاجم با ارسال درخواست های گسترده به یک کارگزار، آن را مشغول کرده و از انجام فعالیت های عادی و رسیدگی به درخواست های واقعی باز می­دارد و در نتیجه باعث از کارافتادگی و به اصطلاح خوابیدن سرویس می­شود.

با توجه به گسترش روز افزون حملات DoS و DDoS در شبکه های کامپیوتری، به خصوص از طریق اینترنت و با توجه به اهمیت امنیت اطلاعات و لزوم ارائه درست سرویس ها و خدمات از طریق این شبکه ها، نیاز به آشنایی با این حملات روز به روز افزایش می یابد؛ ولی داشتن دید کامل نسبت به این حملات سخت است و دسته بندی قابل قبولی از آن ها وجود ندارد. در واقع هر محقق سعی می کند این حملات را بر اساس مشخصه مورد بررسی خود دسته بندی کند. بررسی تمامی دسته بندیها کاری دشوار و خسته کننده است لذا ما در اینجا به بررسی انواع حمله در DoS و DDoS خواهیم پرداخت. البته باید یادآوری کنیم که این حملات، حملات شناخته شده “محرومیت از سرویس” هستند.

بررسی حملات محرومیت از سرویس DOS و DDOSتصویر 1: حمله DoS و DDoS

بررسی انواع روش‌های حمله DOS

برای بررسی دقیق‌تر و بیان نحوه عملکرد حملات DOS احتیاج به بررسی پاکتهای TCP و چگونگی برقراری ارتباط تحت پروتکل TCP/IP است. اجزای داخلی یک پکت TCP شامل اطلاعاتی در مورد درگاه مبدا، درگاه مقصد، شماره رشته داده ها و… می‌باشد که باعث می‌شود اطلاعات در مسیر اینترنت جا به جا شوند. در شکل زیر اجزای این پکت نشان داده شده است.

بررسی حملات محرومیت از سرویس DOS و DDOSتصویر 2: فرمت بسته TCP

بررسی حملات محرومیت از سرویس DOS و DDOSتصویر 3 : دیاگرام اتصال در TCP

در شکل بالا سرویس دهنده(Server) و مشتری(Client) نشان داده شده است.

1- مشتری پکت TCP را با علامت SYN برای سرویس دهنده ارسال می نماید . این پکت باعث می شود سرویس دهنده متوجه گردد که مشتری درخواست ارسال اطلاعات را دارد. در این هنگام مشتری منتظر جواب از سوی سرویس دهنده باقی می‌ماند تا در صورت برگشت جواب اطلاعات را ارسال کند .

2- سرویس دهنده پس از دریافت در خواست مشتری یک پکت را با علامت SYN/ACK در پاسخ برای مشتری ارسال می‌نماید. این پکت نشان دهنده اجازه برقراری ارتباط و ارسال اطلاعات می‌باشد.

3- مشتری پس از دریافت پکت از سوی سرویس دهنده یک ACK برای سرویس دهنده ارسال می‌کند .

4- سپس مشتری اقدام به ارسال اطلاعات می‌کند.

حمله SYN flood

این حمله با ارسال درخواست‌های متعدد با علامت SYN به ماشین قربانی باعث پر شدن سف Backlog می‌شود. اما Backlog چیست؟ تمامی درخواست‌هایی که به ماشین وارد می‌شوند و شامل علامت SYN برای برقراری ارتباط می‌باشند در قسمتی از حافظه به ترتیب ذخیره می‌شوند تا پس از بررسی جواب آنها داده شده و ارتباط برقرار شود، این قسمت از حافظه Backlog Queue نام دارد. وقتی که این قسمت به علت درخواست‌های زیاد پر شود، سرویس دهنده مجبور به رها کردن درخواست‌های جدید می‌شود و در نتیجه از رسیدگی به این درخواست‌ها باز می ماند.

بررسی حملات محرومیت از سرویس DOS و DDOSتصویر 4: حمله SYN flood

حمله (RST (RESET

پاکت‌هایی که به علامت RST ارسال می‌گردند باعث می‌شوند که ارتباط مورد نظر قطع گردد. در واقع اگر ماشین A به سمت ماشین B پاکتی را با علامت RST ارسال کند؛ درخواست اتصال مورد نظر از Backlog پاک خواهد شد. از این حمله می توان برای قطع اتصال دو ماشین استفاده کرد. به این ترتیب که اتصالی که بین دو ماشین A و B برقرار است را نفوذگر با ارسال یک در خواست RST به ماشین B از طرف ماشین A قطع می‌کند. در واقع در داخل پکتی که از سوی ماشین نفوذگر به سمت قربانی ارسال می‌شود IP مشتری گذاشته می‌شود و در این صورت ماشین B که سرویس دهنده می‌باشد ارتباط مورد نظر ماشین A را از Backlog حذف می‌کند.

در این روش شخص حمله کننده بوسیله ابزاری می‌تواند IP جعلی تولید کرده و در واقع درخواست خود را جای ماشین دیگری ارسال کند. به این تکنیک Spoofing نیز گفته می شود. با کمی دقت در شکل شماره 5 در می‌یابید IP مبدا (SourceIP) که در پکت ارسالی از سوی ماشین حمله کننده به سمت ماشین B میرود همان IP ماشین شماره A می باشد(1.1.1.1). در صورتیکه IP ماشین شماره C که نفوذگر از آن استفاده می‌کند چیز دیگری است.

بررسی حملات محرومیت از سرویس DOS و DDOSتصویر 5: حمله RESET

حمله Land Attack

در این حمله با استفاده از روش Spoofing در پاکت‌هایی که به سمت سرویس دهنده ارسال می‌شود به جای IP و Port مبداء و مقصد IP و Port خود ماشین سرویس دهنده قرار داده می‌شود. در واقع IP و PORT ماشین سرویس دهنده به سمت خود سرویس دهنده ارسال می‌شود. این عمل باعث می شود تا در سیستم عامل‌های قدیمی یک حلقه داخلی Routing به وجود بیاید که باعث پر شدن حافظه و به وجود آمدن حمله DOS می شود.

این حمله در ماشین‌های Win 95 (winsok 1.0) و Cisco IOS ver 10.x و سیستم‌های قدیمی باعث از کار افتادن سیستم می‌شد اما امروزه تمامی سیستم های هوشمند قادر به شناسایی این حملات می باشند و این حمله تاثیر زیادی بر روند کاری سرویس دهنده ندارد.

بررسی حملات محرومیت از سرویس DOS و DDOSتصویر 6: حمله Land Attack

حمله Smurf Attack

این حملات با ارسال درخواست‌های ICMP[3]d به سمت محدوده‌ای از IP های amplifier باعث وسعت دادن ترافیک و به وجود آمدن حمله DOS می شوند. حمله کننده می‌تواند درخواست‌های ICMP خود را به صورت Spoof شده و از طرف ماشین قربانی به IP های amplifier ارسال کند با ارسال هر درخواست صدها جواب برای درخواست ICMP به سمت ماشین قربانی سرازیر می شوند و ترافیک آن را بالا می برند.

Amplifier : تمام شبکه‌هایی که درخواست‌های ICMP را برای IP broadcast خود فیلتر نکرده‌اند یک Amplifier محسوب می شوند.

حمله کننده می‌تواند در خواست‌های خود را مثلا به IP هایی مانند: 192.168.0.xxx که X می تواند 255, 223, 191, 159, 127, 95, 63, 31, 15, 7, 3 یعنی IP های Broadcast باشند ارسال کند . البته قابل ذکر است IP broadcast بستگی به چگونگی بخش‌بندی IP در شبکه دارد.

بررسی حملات محرومیت از سرویس DOS و DDOSتصویر 7: حمله Smurf Attack

حمله Ping Flood یا Ping of death

در این نوع حمله با ارسال مستقیم درخواست Ping به کامپیوتر قربانی سعی می گردد که سرویس ها بلاک و یا فعالیت آن ها کاهش یابد. در این نوع حمله اندازه بسته های اطلاعاتی به حدی زیاد (بالای K64 که در Ping غیر مجاز) می شودکه کامپیوتر قربانی قادر به برخورد مناسب یا آمیختن بسته های اطلاعاتی نیست و به همین دلیل دچار اختلال می شود.

بررسی حملات محرومیت از سرویس DOS و DDOSتصویر 8 : حمله Ping Flood یا Ping of death

حمله Teardrop

هنگامی که اطلاعات از یک سیستم به سیستم دیگر منتقل می شود به تکه های کوچکی تقسیم شده و در سیستم مقصد این تکه مجددا به هم متصل شده و کامل می شود. این بسته هر کدام دارای یک فیلد افست هستند که نشان می دهد بسته حاوی چه قسمتی از اطلاعات است. این فیلد به همراه شماره ترتیب به سیستم مقصد کمک می کند تا بسته ها را مجددا به هم متصل کند. در صورتی که بسته ها با شماره افست و ترتیب نامربوط ارسال شوند باعث می شود سیستم مقصد از مرتب کردن آنها عاجز شده و در هم بشکند.

بررسی حملات محرومیت از سرویس DOS و DDOSتصویر 9: حمله Teardrop

در بخش دوم به بررسی حملات DDOS خواهیم پرداخت و بخشی از راهکارهای مقابله با چنین حملاتی را مطرح خواهیم نمود.smile icon

دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.