آموزش CEH (هکر کلاه سفید): سرویس‌ها و خدمات ارتباطی چگونه از دسترس خارج می‌شوند؟

برای مطالعه قسمت قبل آموزش رایگان  دوره CEH اینجا کلیک کنید.

حمله انکار سرویس (Denial of Service attack) و نسخه پیشرفته‌تر آن حمله انکار سرویس توزیع شده تلاشی برای مسدودسازی دسترسی به سرویس یا قطع سرویس‌دهی به کاربران مجاز و مصرف بی رویه منابع شبکه است. به‌طور خلاصه، یک حمله‌ منع سرویس توزیع شده یک حمله سیل‌آسا بوده که ترافیک افسارگسیخته‌ای را به سمت هاست یا سرور روانه می‌کند. در واقع حملاتی که اصل دسترس‌پذیری را نشانه روند، در گروه حملات انکار سرویس طبقه‌بندی می‌شوند. حملات انکار سرویس به‌طور معمول سایت‌ها یا خدمات میزبانی وب سرور که بانک‌ها، کارت‌های اعتباری و سرورهای ریشه را شامل می‌شوند هدف قرار می‌دهند. از روش‌های معمول حمله در این زمینه می‌توان به اشباع ماشین هدف با درخواست‌های جعلی خارجی اشاره کرد که اجازه نمی‌دهند ماشین هدف به ترافیک قانونی پاسخ دهد یا پاسخ‌ها با سرعت کم داده می‌شوند یا در دسترس نیستند. چنین حملاتی سرباره زیاد سرور را به وجود می‌آورد. حمله انکار سرویس توزیعی کامپیوتر را مجبور می‌کند تا منابع را بی رویه مصرف کند، بنابراین نمی‌تواند به سرویس‌های مورد نظر سرویس بدهد که در نهایت نقض تعهدات را به همراه دارد.

حمله منع سرویس چه نشانه‌هایی دارد؟

از مهم‌ترین علایم حملات انکار سرویس می‌توان به کارایی آهسته و غیرمعمول شبکه، در دسترس نبودن یک سایت یا سرویس خاص، ناتوانی در دسترسی به یک سایت، افزایش چشمگیر تعداد هرزنامه‌های دریافتی و قطع اتصال به اینترنت اشاره کرد. اگر حمله در مقیاس بزرگ اتفاق افتاده بیافتد تمام تجهیزات و خدمات مرتبط با آن شبکه تحت تاثیر قرار می‌گیرند و دسترسی به آن‌ها غیر ممکن می‌شود. مشابه با حالتی که برای شرکت داین اتفاق افتاد.

حمله انکار سرویس چگونه پیاده‌سازی می‌شود

حمله انکار سرویس، به تلاش هکرها در جلوگیری از دسترسی کاربران مجاز به سرویس‌های مشخص اشاره دارد. در حالت کلی این حملات به دو شکل کلی انجام می‌شود. در حالت اول سرویس‌ها از کار می‌افتند و در حالت دوم سرویس‌ها با بسته‌های سنگین و متعدد از دسترس خارج می‌شوند. به‌طور کلی پنج گرایش اصلی مصرف منابع محاسباتی (پهنای باند، حافظه، فضای دیسک و زمان پردازش، ایجاد تداخل در اطلاعات پیکربندی (اطلاعات مسیریابی، ایجاد تداخل در اطلاعات وضعیت مثل ریست شدن ناخواسته نشست‌های TCP، ایجاد تداخل در تجهیزات فیزیکی شبکه و ناتوانی کاربران در دسترسی به ارتباطات اشاره کرد. در بیشتر موارد حملات انکار سرویس همراه با اجرای نرم‌افزارهای مخرب هستند که در این حالت میزان به‌کارگیری پردازنده در وضعیت حداکثری قرار می‌گیرد، خطاهای عجیبی توسط سیستم‌عامل گزارش می‌شود، وضعیت سیستم‌عامل در حالت ناپایداری قرار می‌گیرد و کرنل سیستم‌عامل دچار مشکل می‌شود. در بیشتر موارد حمله انکار سرویس با جعل آدرس آی‌پی فرستنده انجام می‌شود تا آدرس واقعی حمله‌کننده ناشناس باقی بماند.

انواع رایج حملات انکار سرویس

اجرای یک حمله انکار سرویس ممکن است به شکل دستی یا به‌کارگیری سرویس‌های آماده انجام شود.

اجرای حملات سیلابی  

حمله اسمورف یکی از انواع حملات انکار سرویس سیل‌آسا است. این حمله بر مبنای پیکربندی نامناسب تجهیزات شبکه انجام می‌شود و به هکر اجازه می‌دهد بسته‌هایی را برای تمامی کامپیوترهای میزبان روی یک شبکه خاص با آدرس‌های همه پخشی ارسال کند. در این حمله مهاجمان با یک آدرس آی‌پی جعلی یک تقاضای ping به یک یا چند سرور پخشی ارسال می‌کنند و آدرس آی‌پی ماشین هدف (قربانی) را راه‌اندازی می‌کنند. در این حالت سرور این درخواست را برای تمام شبکه ارسال می‌کند. تمام ماشین‌های شبکه پاسخ خود را برای سرور ارسال می‌کنند. در نهایت سرور همه‌پخشی پاسخ‌های دریافتی را برای ماشین هدف ارسال می‌کند. در این حالت زمانی که ماشین حمله‌کننده درخواستی را به چند سرور روی شبکه‌های متفاوت ارسال می‌کند، مجموعه پاسخ‌های تمامی کامپیوترهای شبکه‌های گوناگون به ماشین هدف ارسال می‌شوند و آن‌را از کار می اندازند. در این حالت پهنای باند شبکه به سرعت استفاده می‌شود و انتقال بسته‌های مجاز به مقصدها غیر ممکن می‌شود. NIDS (سیستم تشخیص نفوذ مبتنی بر شبکه) برای محافظت از یک شبکه یا بخشی از یک شبکه استفاده شده و معمولا در لبه شبکه یا در یک محیط محافظت شده شبکه که منطقه غیرنظامی (demilitarized zone) نام دارد نصب می‌شود. در اینجا، سامانه فوق می‌تواند انواع مختلفی از الگوهای ترافیکی مشکوک همچون حملات انکار سرویس یا حملات smurf را شناسایی کند. البته برای مقابله با این حمله می‌توان پروتکل ICMP که پینگ از آن استفاده می‌کند را غیر فعال کرد.

حملات سیلابی

یک حمله سیلابی SYN با ارسال تعداد زیادی بسته‌های جعلی از طریق TCP و مجموعه‌ای از پرچم‌هایSYN  پیاده‌سازی می‌شود. این تعداد زیاد از اتصالات TCP نیمه باز، بافر سیستم قربانی را پر می‌کند و مانع از دریافت ارتباطات معتبر می‌شود.. سیستم‌های متصل به اینترنت که خدماتی مانند HTTP یا پروتکل انتقال پست الکترونیکی ساده (SMTP) ارائه می‌دهند در معرض این آسیب‌پذیری قرار دارند. از آن‌جایی که آدرس آی‌پی منبع در حمله SYN جعل می‌شود، روند شناسایی مهاجم را سخت‌تر می‌کند.

حمله Teardrop

این حمله شامل ارسال بسته‌های آی‌پی دارای تداخل،  بسته‌هایی با اندازه بزرگ یا بسته‌هایی با ترتیب نامناسب است. این حمله می‌تواند سیستم عامل‌های مختلف را به علت اشکالی که در کد بازسازی مجدد بخش‌های TCP/IP دارند با مشکل جدی روبرو کند. حمله Teardrop از پردازش همپوشانی بسته‌های آی‌پی در سیستم‌های مجهز به سیستم‌عامل قدیمی ویندوز استفاده می‌کند.

حمله نظیر به نظیر

حملات نظیر به نظیر به دلیل وجود رخنه‌هایی در پروتکل کلاینت به‌اشتراک‌گذاری مستقیم فایل (DC++) پیاده‌سازی می‌شوند. پروتکل فوق برای اتصال به شبکه Direct Connect استفاده می‌شود. هر کلاینت در یک شبکه مبتنی بر DC++ در یک مکان مرکزی مشخص می‌شود. این هاب نرم‌افزاری در برابر چالش‌های امنیتی آسیب‌پذیر است. در حملات نظیر به نظیر، بات‌نت یا مهاجمی برای برقراری ارتباط با کلاینت وجود ندارد، به جای آن هکر به کلاینت‌های موجود در مراکز به اشتراک‌گذاری فایل‌ها همچون شبکه نظیر به نظیر فرمان می‌دهد تا ارتباط خود را قطع کنند و به جای آن به وب سایت قربانی متصل شوند. در نتیجه هزاران کامپیوتر به صورت تهاجمی به وب سایت قربانی وصل می‌شوند. در حالی که وب سرور قبل از این که عملکردش کاهش پیدا کند قادر به کنترل و مدیریت صدها اتصال در ثانیه بوده، بلافاصله بعد از 5 یا 6 هزار اتصال در ثانیه شکست می‌خورد.

حمله انکار سرویس دائمی

حمله دائمی انکار سرویس به‌نام phlashing شناخته می‌شود. ایده phlashing این است که دستگاه یا سخت‌افزار به شکل دائم غیرقابل استفاده شود.  برخلاف انکار سرویس توزیع شده این حمله از نقص‌های امنیتی که اجازه مدیریت راه دور رابط‌های سخت‌افزاری قربانی مثل روتر، چاپگر یا سخت‌افزارهای شبکه را می‌دهد، سواستفاده می‌کند. مهاجم از این آسیب‌پذیری برای جایگزین کردن سیستم‌عامل‌های دستگاه با نوع خراب استفاده می‌کند. بنابراین آن‌ها را تا زمان تعمیر یا تعویض، برای هدف اصلی غیرقابل استفاده می‌کند.

Nuke

نوع قدیمی حمله انکار سرویس است که شامل بسته‌های ICMP تکه تکه یا نامعتبر ارسال شده به سمت هدف است. این حمله از پینگ‌های دستکای شده برای ارسال مداوم داده‌های خراب استفاده می‌کند تا سرعت سیستم به تدریج کند شود.

حمله‌های انکار سرویس توزیع شده

اگر مهاجم برای حمله از یک میزبان استفاده کند به این مدل حمله انکار سرویس گفته می‌شود، اما حمله انکار سرویس توزیع هنگامی اتفاق می‌افتد که چند سیستم به‌طور هم‌زمان پهنای باند یا منابع سیستم مورد هدف را با بسته‌های سیل‌آسا مورد حمله قرار دهند. وقتی سروری با اتصالات زیادی دچار سربار شود، دیگر نمی‌تواند اتصالات جدیدی را بپذیرد. مزیت عمده‌ای که استفاده از حمله منع سرویس توزیع شده برای مهاجم دارد این است که ماشین‌های چندگانه می‌توانند ترافیک بیشتری را نسبت به یک ماشین تولید کنند و همچنین مسدود کردن منبع حمله را به علت وجود منابع متعدد در حمله غیرممکن می‌سازد.در روش DDoS تمام رایانه‌ها هم‌زمان با هم عمل می‌کنند به‌طوری‌که ممکن است در برخی موارد خسارات جبران‌ناپذیری به بار آورند. در این روش معمولاً مهاجم سیستم‌های زیادی را آلوده کرده و به آن‌ها هم‌زمان فرمان می‌دهد. به سیستم‌های آلوده شده زامبی (zombie) و به شبکه‌ای از این سیستم‌ها که تحت کنترل یک شخص هستند، botnet گفته می‌شود.

حمله انعکاسی

DrDoS حمله انکار سرویس توزیعی و انعکاسی، گونه دیگری از حملات منع سرویس است که پیاده‌سازی زیرکانه‌ای دارد. این حمله شبیه به انکار سرویس توزیعی است که از منابع مختلف برای حمله به یک هدف استفاده می‌کند؛ با این تفاوت که حمله در اختفای کامل انجام می‌شود. در این مدل حمله هکرها بسته‌هایی را به تعداد زیادی کاربران همراه با یک هشدار ارسال می‌کنند. در مقابل ارسال هر بسته ترافیک مختصری ایجاد می‌شود که اندازه‌ای کمتر از درخواست‌های رایج دارد، به همین دلیل متخصصان امنیتی به سختی متوجه آن می‌شوند. درخواست‌های echo ICMP ار حملات انعکاسی استفاده می‌شوند که در آن میزبان‌ها درخواست‌های اکو را به آدرس‌های همه پخشی شبکه‌ها با پیکربندی نامناسب ارسال می‌کند، در نتیجه میزبان مجبور به ارسال بسته‌های پاسخ اکو به قربانی می‌شود.

مدیریت در برابر حمله

دفاع در برابر حملات منع سرویس شامل استفاده از ترکیبی از روش‌های تشخیص حمله، طبقه‌بندی ترافیک و ابزارهای پاسخ است که هدف آن‌ها بلوکه کردن ترافیک‌های غیرمجاز و اجازه برقراری ترافیک‌های مجاز می‌باشد. به‌طور کلی یک مکانیزم دفاعی جامع در برابر این مدل حملات وجود ندارد، اما راهکارهایی برای پیشگیری از بروز رایج این حملات یا کم کردن اثر آن به‌طور خلاصه، یک حمله‌ منع سرویس توزیع شده یک حمله سیل‌آسا بوده که ترافیک افسارگسیخته‌ای را به سمت هاست یا سرور روانه می‌کند.ها در دسترس است. به‌طور خلاصه، یک حمله‌ منع سرویس توزیع شده یک حمله سیل‌آسا بوده که ترافیک افسارگسیخته‌ای را به سمت هاست یا سرور روانه می‌کند. به‌طور مثال، اگر شبکه بات‌نت‌ها با صدهزار کامپیوتر تسخیر شده به یک سایت حمله کنند، این درخواست از جانب سرور منطقی به نظر می‌رسد و امکان تشخیص این موضوع که ترافیک از جانب سامانه‌های عادی یا تسخیر شده ارسال شده وجود ندارد و در نتیجه امکان مهار آن وجود ندارد. به‌کارگیری سامانه‌های تشخیص دهنده (IPS) و سامانه‌های تشخیص بر مبنای سرعت بسته‌ها (RBIPS) روش‌های مناسبی برای پیشگیری از بروز این مدل حملات است. یکسری ابزارهای امنیتی نیز وجود دارند که تمامی این سامانه‌ها را شامل می‌شوند و ضمن شناسایی حملات انکار سرویس قادر به شناسایی گونه‌های دیگری از بردارهای حمله هستند. بسته نرم‌افزاری SSP (Sun Security Package) از جمله این بسته‌ها است که فرآیند شناسایی و پیشگیری را به شکل خودکار انجام می‌دهد.

دیوار آتش

دیوار آتش می‌تواند بر مبنای قواعد ساده برای اجازه یا رد کردن پروتکل‌ها، پورت‌ها یا آدرس‌های آی‌پی پیکربندی شود. در مورد حملات ساده‌ای که از آدرس‌های آی‌پی غیرمعمول استفاده می‌کنند این امکان وجود دارد که با قرار دادن قواعد ساده‌ای ترافیک‌های ورودی این آدرس‌ها را حذف کند. برخی حملات با چنین قواعد ساده‌ای قابل حذف نیستند، اگر حمله‌ای روی پورت 80 انجام شود تقریبا غیر ممکن است که بتوان تمامی ترافیک‌ ورودی این پورت را حذف کرد، زیرا مانع سرویس‌دهی عادی سرورها می‌شود.

سوئیچ‌ها

برخی سوئیچ‌ها دارای پارامترهای محدودکننده نرخ و قابلیت فهرست‌های کنترل دسترسی هستند. برخی سوئیچ‌ها از فیلترینگ برای تشخیص و از بین بردن حملات DoS از طریق فیلتر کردن خودکار نرخ استفاده می‌کنند.

روترها

مشابه سوئیچ‌ها، روترها به ویژگی فهرست کنترل دسترسی و کنترل نرخ تجهیز هستند. بیشتر روترها می‌توانند در برابر حملات DoS قرار بگیرند. سیستم‌عامل‌های سیسکو دارای ویژگی پیشگیری از حملات سیلابی هستند.

سیستم پیشگیری از نفوذ

سیستم پیشگیری از نفوذ زمانی مؤثر است که حملات دارای امضا باشند. سیستم پیشگیری از نفوذ که روی شناخت محتوا کار می‌کند نمی‌تواند حملات انکار سرویس مبتنی بر رفتار را بلوکه کند. سامانه تشخیص نفوذ مبتنی بر ASCI می‌تواند حملات منع سرویس را تشخیص و بلوکه کند، زیرا دارای توان پردازشی و تجزیه و تحلیل حملات است. IPS مبتنی بر نرخ(RBIPPS)باید الگوی ترافیک را به صورت تک تک و به‌طور پیوسته مانیتور کند . آنومالی ترافیک را در صورت وجود تعیین کند.

رویکرد جعبه شن

به مدیر اجازه می‌دهد ترافیک حمله را به یک آدرس آی پی هدایت کند و آن را حذف کند. وقتی حمله‌ای تشخیص داده می‌شود، یک مسیر ثابت ایجاد می‌شود تا ترافیک حمله را به جای ماشین قربانی به سمت یک جعبه شن، هدایت کنند. در حالت جعبه شن، ترافیک حمله به یک آدرس آی پی ارسال می‌شود تا برای بررسی بیشتر انجام شود. مزیت روش فوق این است که ترافیک حمله می‌تواند جمع‌آوری و تحلیل شود تا الگوی حمله به شکل کارآمدتری ارزیابی شود.

Backscatter

بازگشت غیرمتراکم از جمله عوارض جانبی حمله انکار سرویس جعلی است. در این حالت، هکر آدرس آی پی مبدأ بسته را جعل و برای قربانی ارسال می‌کند. در چنین شرایطی ماشین قربانی نمی‌تواند بسته‌های جعلی و مجاز را از هم تشخیص دهد، و در نتیجه قربانی به بسته‌های جعلی پاسخ می‌دهد، این پاسخ‌ها به عنوان بازگشت غیر متراکم شناخته می‌شوند. اگر هکر آی‌پی آدرس‌های مبدأ را به شکل تصادفی جعل کند، بسته‌های بازگشتی غیر متراکم از قربانی به مقصدهای تصادفی ارسال خواهند شد.

در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه رایگان تمام بخش‌های دوره CEH  روی لینک زیر کلیک کنید:

آموزش رایگان دوره CEH