آشنايي با حملات اينترنتي از نوع DOS (بخش اول)

قصد داريم تا طي چند مقاله با نوعي از حمله به نام DoS آشنا شويم که مخفف عبارتDenial-of-Service يا عدم پذيرش سرويس است.

اين نوع حمله باعث از کارافتادن يا مشغول شدن بيش از اندازه کامپيوتر مي شود تا حدي که غيرقابل استفاده مي شود. در بيشتر موارد، حفره هاي امنيتي محل انجام اين حملات است و لذا نصب آخرين وصله هاي امنيتي از حمله جلوگيري خواهند کرد. شايان گفتن است که علاوه بر اينکه کامپيوتر شما هدف يک حمله DoS قرار مي گيرد، ممکن است که در حمله DoS عليه يک سيستم ديگر نيز شرکت داده شود. نفوذگران با ايجاد ترافيک بي مورد و بي استفاده باعث مي شوند که حجم زيادي از منابع سرويس دهنده و پهناي باند شبکه مصرف يا به نوعي درگير رسيدگي به اين تقاضاهاي بي مورد شود و اين تقاضا تا جايي که دستگاه سرويس دهنده را به زانو در آورد ادامه پيدا مي کند. نيت اوليه و تأثير حملات DoS جلوگيري از استفاده صحيح از منابع کامپيوتري و شبکه اي و از بين بردن اين منابع است.

عليرغم تلاش و منابعي که براي ايمن سازي عليه نفوذ و خرابکاري مصروف گشته است، سيستم هاي متصل به اينترنت با تهديدي واقعي و مداوم به نام حملات DoS مواجه هستند. اين امر بدليل دو مشخصه اساسي اينترنت است: · منابع تشکيل دهنده اينترنت به نوعي محدود و مصرف شدني هستند. زيرساختار سيستم ها و شبکه هاي بهم متصل که اينترنت را مي سازند، کاملاً از منابع محدود تشکيل شده است. پهناي باند، قدرت پردازش و ظرفيت هاي ذخيره سازي، همگي محدود و هدف هاي معمول حملات DoS هستند. مهاجمان با انجام اين حملات سعي مي کنند با مصرف کردن مقدار قابل توجهي از منابع در دسترس، باعث قطع ميزاني از سرويس ها شوند.

وفور منابعي که بدرستي طراحي و استفاده شده اند ممکن است عاملي براي کاهش ميزان تاثير يک حمله DoS باشد، اما شيوه ها و ابزار امروزي حمله حتي در کارکرد فراوان ترين منابع نيز اختلال ايجاد مي کند. · امنيت اينترنت تا حد زيادي وابسته به تمام عوامل است. حملات DoS معمولاً از يک يا چند نقطه که از ديد سيستم يا شبکه قرباني عامل بيروني هستند، صورت مي گيرند. در بسياري موارد، نقطه آغاز حمله شامل يک يا چند سيستم است که از طريق سوءاستفاده هاي امنيتي در اختيار يک نفوذگر قرار گرفته اند و لذا حملات از سيستم يا سيستم هاي خود نفوذگر صورت نمي گيرد. بنابراين، دفاع برعليه نفوذ نه تنها به حفاظت از اموال مرتبط با اينترنت کمک مي کند، بلکه به جلوگيري از استفاده از اين اموال براي حمله به ساير شبکه ها و سيستم ها نيز کمک مي کند.

پس بدون توجه به اينکه سيستم هايتان به چه ميزان محافظت مي شوند، قرار گرفتن در معرض بسياري از انواع حمله و مشخصاً DoS ، به وضعيت امنيتي در ساير قسمت هاي اينترنت بستگي زيادي دارد. مقابله با حملات DoS تنها يک بحث عملي نيست. محدودکردن ميزان تقاضا، فيلترکردن بسته ها و دستکاري پارامترهاي نرم افزاري در بعضي موارد مي تواند به محدودکردن اثر حملات DoS کمک کند، اما بشرطي که حمله DoS در حال مصرف کردن تمام منابع موجود نباشد.

در بسياري موارد، تنها مي توان يک دفاع واکنشي داشت و اين در صورتي است که منبع يا منابع حمله مشخص شوند. استفاده از جعل آدرس IP در طول حمله و ظهور روش هاي حمله توزيع شده و ابزارهاي موجود يک چالش هميشگي را در مقابل کساني که بايد به حملات DoS پاسخ دهند، قرار داده است. تکنولوژي حملات DoS اوليه شامل ابزار ساده اي بود که بسته ها را توليد و از «يک منبع به يک مقصد» ارسال مي کرد.

با گذشت زمان، ابزارها تا حد اجراي حملات از «يک منبع به چندين هدف»، «از چندين منبع به هدف هاي تنها» و «چندين منبع به چندين هدف»، پيشرفت کرده اند. امروزه بيشترين حملات گزارش شده به CERT/CC مبني بر ارسال تعداد بسيار زيادي بسته به يک مقصد است که باعث ايجاد نقاط انتهايي بسيار زياد و مصرف پهناي باند شبکه مي شود. از چنين حملاتي معمولاً به عنوان حملات طغيان بسته (Packet flooding) ياد مي شود.

اما در مورد «حمله به چندين هدف» گزارش کمتري دريافت شده است. انواع بسته ها (Packets) مورد استفاده براي حملات طغيان بسته ، در طول زمان تغيير کرده است، اما چندين نوع بسته معمول وجود دارند که هنوز توسط ابزار حمله DoS استفاده مي شوند. · طغيان هاي TCP: رشته اي از بسته هاي TCP با پرچم هاي ( flag ) متفاوت به آدرس IP قرباني فرستاده مي شوند. پرچم هاي SYN، ACK و RST بيشتر استفاده مي شوند.

· طغيان هاي تقاضا\پاسخ ICMP (مانند طغيان هاي ping): رشته اي از بسته هاي ICMP به آدرس IP قرباني فرستاده مي شود. · طغيان هاي UDP: رشته اي از بسته هاي UDP به آدرس IP قرباني ارسال مي شوند. در مقالات بعدي به بررسي بيشتر حملات DoS خوهيم پرداخت.