Behzad AZ
07-15-2010, 08:44 AM
بررسي حملات D.O.S
شايد بيشتر مديران شبكهها و علاقه مندان به امنيت اسم حملاتي موسوم به DOS را در سالهاي اخير شنيده باشند. اما بيشتر آنها ندانند DOS چگونه عمل ميكند و پيامدهاي ناشي از اين حمله چيست ؟ گروهي نيز تفكرات نادرسي از حملات DOS در ذهن دارند و فكر ميكنند كه مي توان با استفاده از يك ديوار آتش نرمافزاري يا برنامههايي ديگر از اين قبيل با حملات DOS و DDOS مقابله كرد و جلوي آن را گرفت.
سياري از سايتهاي بزرگ نيز در حال حاضر قادر به مقابله با حملات DOS نيستند زيرا اين حملات به نوع متفاوتي سازماندهي ميشوند و در بيشتر اوقات با ايجاد ترافيكي بالا لشكري از Packet هاي TCP را به سمت سرويسهاي خدمات دهنده سرازير ميكنند. به عنوان مثال در هنگام به وجود آمدن و شناسايي ويروس Blaster پس از آلوده شدن صدها هزار كامپيوتر در سراسر دنيا بوسيله اين كرم كامپيوتري كه از يك ضعف در سيستم عاملهاي ويندوز مايكروسافت استفاده ميكرد، خبري با اين عنوان كه اين ويروس در روز 20 اگوست شروع به فرستادن پاكتهايي به سمت سايت windowsupdate.com مينمايد در رسانههاي امنيتي انتشار يافت كه در پي آن مسئولين امنيتي مايكروسافت چارهاي جز از كار انداختن سايت Windowsupdate.com و حذف آن از DNSهاي جهاني نديدند. با اينكه آنها تا آخرين لحظات از عنوان كردن روش خود يعني از كار انداختن سايت مورد نظر خودداري مينمودند، اما قابل پيشبيني بود كه به هيچ وجه سرويسهاي خدمات دهنده مايكروسافت نيز قادر به مقابله با اين حجم ترافيك بالا نخواهند بود و دير يا زود از سرويس دهي باز ميمانند.
http://img37.exs.cx/img37/1738/Death1.gif
چگونگي عملكرد ويروس Blaster براي ايجاد يك حمله DOS
1- در طي يك هفته ويروس Blaster انتشار يافت و حدود 50000 هزار ماشين را در سراسر دنيا آلوده ساخت.
2- پس از رسيدن به روزي كه كرم Blaster براي آن تاريخ برنامهريزي شده بود، قرار بر اين بود كه ماشينهاي آلوده از سراسر دنيا شروع به ارسال پاكتهايي به پورت 80 سايت www.windowsupdate.com كنند كه يكي از سايتهاي مايكروسافت ميباشد در نتيجه با مشغول شدن سرويس دهندگان سايت براي رسيدگي به درخواستهاي ماشينهاي آلوده امكان جوابگويي به درخواستهاي مشتريان واقعي نبود و همين باعث به وجود آمدن يك حمله DOS ميشد.
امروزه نسل جديدي از حملات DOS به وجود آمدهاند كه DDOS نام گرفتهاند. اين حملات نوع گسترش يافته حملات DOS هستند كه از اواخر سال 1999 مورد استفاده قرار گرفتهاند . در سال 2000 حملات DDOS توسط نفوذگران براي از كار انداختن و حمله به سايتهاي بزرگي مانند, e-Bay CNN , Amazon مورد استفاده قرار گرفته است.
بررسي حملات D.D.O.S
در چند ماه گذشته در گيرودار دادگاه جنجالي شركت SCO سايت اين شركت توسط طرفداران سيستم عاملهاي لينوكس و كدباز مورد حمله DDOS قرار گرفت و براي چند روز از كار افتاد، اين حمله يكي از بيسابقهترين و سختترين حملات DDOS در چند سال اخير محسوب ميشود.
نمودار زير ميزان Hit هاي وارد شده به سايت Sco را در ثانيه نشان مي دهد .
منظور از Hit درخواست هايي مي باشند كه از سرويس دهنده تقاضا مي شوند.
http://www.itna.ir/archives/images/ddos_1.jpg
همانطور كه در شكل مشاهده ميكنيد اين حملات از تاريخ چهارشنبه 10 دسامبر و در ساعت 3:20 شروع شده كه تعداد پاكتهاي ارسالي 34000 پاكت در ثانيه بوده است. در روز پنجشنبه 11 دسامبر و در ساعت 2:50 صبح حمله كنندگان دست به حمله ديگري زدند اين بار با هزاران ماشين از سراسر دنيا سرويس Ftp و WEB شركت Sco را با آدرس هاي www.Sco.com و Ftp.Sco.com مورد حمله SYN Flood قرار دادند.
تعداد درخواستها براي حمله در اين روز به حداكثر خود يعني 50000 درخواست در ثانيه رسيد و بالاخره در ساعت 10:45 روز پنجشنبه شركت Sco مجبور به حذف ماشين سرويس دهنده وب خود شد تا با اين كار از ورود درخواستهاي حمله كنندگان براي اتصال به اين ماشين جلوگيري كند.
اين روزها نسل جديدي از ويروس ها كه پس از Blaster به وجود مي آيند از تكنيك DOS براي حمله به اهداف خود استفاده ميكنند . اين كرم هاي اينترنتي پس از آلوده كردن تعداد زيادي ماشين در سراسر دنيا در تاريخي خاص شروع به ارسال پكت به سوي اهداف از قبل تعيين شده ميكنند و حمله اي را به صورت DOS به وجود مي آورند مانند انواع ويروس MY. doom . اين حملات به علت گستردگي ارسال درخواستها ترافيك زيادي را بر روي اينترنت ايجاد ميكنند و شركت هاي مورد حمله قرار گرفته كار زيادي در جهت مقابله با آن نميتوانند انجام دهند.
در مورد ديگر مي توان به ويروسCycle اشاره كرد كه يك ويروس ايراني بود و در اهداف خود را به همين وسيله مورد حمله قرار مي داد.
با بررسي اين حملات ميتوان نتيجه گرفت با اين كه در روش DDOS از تكنيكهاي ساده و قديمي استفاده ميشود اما ميتوان با ترتيب دادن حملات گسترش يافته شركتهاي بزرگي مانند Microsoft و Sco را نيز دچار مشكل كرد تا جايي كه تنها چارهاي كه براي مسئولين امنيتي اين شركتها باقي مي ماند قطع ارتباط ماشينهايي است كه مورد حمله قرار گرفتهاند.
در ادامه به بررسي روشنتري از حملات DOS و آشنايي با چگونگي عملكرد پروتكل TCP ميپردازيم. سپس انواع حملات DOS را طبقهبندي كرده و تشريح ميكنيم و ابزاري كه نفوذگران از آن براي ايجاد اين حملات استفاده ميكنند را معرفي خواهيم كرد.
D.O.S (Denial Of Service Attack
حملهاي كه باعث جلوگيري از كار يك سرويس يا مانع دسترسي به منابعي شود را حمله DOS گويند . به عنوان مثال حملات D.O.S بر روي ماشينهاي سرويس دهنده وب ممكن است منجرب به اين شود كه سرويس دهنده قادر به سرويس دهي به مشتريان نباشد. يا پر كردن پهناي باند يك ماشين باعث قطع ارتباط اين ماشين با شبكه اصلي مي شود.
براي بررسي دقيقتر و بيان نحوه عملكرد حملات D.O.S احتياج به بررسي پاكتهاي TCP و چگونگي برقراري ارتباط تحت پروتكل TCP/IP است كه در اين مقاله به بررسي اجمالي از آن مي پردازيم .
بررسي اجزاي داخل يك پكت TCP :
http://www.itna.ir/archives/images/ddos_2.jpg
اجزاي داخلي يك پكت TCP شامل اطلاعاتي در مورد درگاه مبدا درگاه مقصد شماره رشته داده ها و... ميباشد كه باعث ميشود اطلاعات در مسير اينترنت جا به جا شوند.
بررسي عملكرد پروتكل TCP
سه مرحله اصلي دست دادن يا برقراري ارتباط بين يك سرويس دهنده و يك مشتري:
در اين شكل سرويس دهنده(Server) با اسم TCP B و مشتري(Client) با اسمTCP A نشان داده شده است.
1 - مشتري پكت TCP را با علامت SYN براي سرويس دهنده ارسال مي نمايد . اين پكت باعث مي شود سرويس دهنده متوجه گردد كه مشتري درخواست ارسال اطلاعات را دارد. در اين هنگام مشتري منتظر جواب از سوي سرويس دهنده باقي ميماند تا در صورت برگشت جواب اطلاعات را ارسال كند .
2 - سرويس دهنده پس از دريافت در خواست مشتري يك پكت را با علامت SYN/ACK در پاسخ براي مشتري ارسال مينمايد. اين پكت نشان دهنده اجازه برقراري ارتباط و ارسال اطلاعات ميباشد.
3- مشتري پس از دريافت پكت از سوي سرويس دهنده يك ACK براي سرويس دهنده ارسال ميكند .
4 - سپس مشتري اقدام به ارسال اطلاعات ميكند.
http://www.itna.ir/archives/images/ddos_3.jpg
بررسي انواع روشهاي DOS
بررسي حمله SYN flood :
اين حمله با ارسال درخواستهاي متعدد با علامت SYN به ماشين قرباني باعث پر شدن سف Backlog ميشود. اما Backlog چيست؟ تمامي درخواستهايي كه به ماشين وارد ميشوند و شامل علامت SYN براي برقراري ارتباط ميباشند در قسمتي از حافظه به ترتيب ذخيره ميشوند تا پس از بررسي جواب آنها داده شده و ارتباط برقرار شود، اين قسمت از حافظه Backlog Queue نام دارد. وقتي كه اين قسمت به علت درخواستهاي زياد پر شود، سرويس دهنده مجبور به رها كردن درخواستهاي جديد ميشود و در نتيجه از رسيدگي به اين درخواستها باز مي ماند (Denial Of Service) . ) شكل شماره 4-1 (
http://www.itna.ir/archives/images/ddos_4.jpg
بررسي Reset(RST) :
پاكتهايي كه به علامت RST ارسال ميگردند باعث ميشوند كه ارتباط مورد نظر قطع گردد. در واقع اگر ماشين A به سمت ماشين B پاكتي را با علامت RST ارسال كند درخواست اتصال مورد نظر از Backlog پاك خواهد شد.
از اين حمله مي توان براي قطع اتصال دو ماشين استفاده كرد. به اين ترتيب كه اتصالي كه بين دو ماشين A و B برقرار است را نفوذگر با ارسال يك در خواست RST به ماشين B از طرف ماشين A قطع ميكند. در واقع در داخل پكتي كه از سوي ماشين نفوذگر به سمت قرباني ارسال ميشود IP مشتري گذاشته ميشود و در اين صورت ماشين B كه سرويس دهنده ميباشد ارتباط مورد نظر ماشين A را از Backlog حذف ميكند.
در اين روش شخص حمله كننده بوسيله ابزاري ميتواند IP جعلي توليد كرده و در واقع درخواست خود را جاي ماشين ديگري ارسال كند. به اين تكنيك Spoofing نيز گفته مي شود . (شكل شماره 5-1(
با كمي دقت در شكل شماره 5-1 در مييابيد IP مبدا (SourceIP) كه در پكت ارسالي از سوي ماشين حمله كننده به سمت ماشين B ميرود همان IP ماشين شماره A مي باشد(1.1.1.1( . در صورتيكه IP ماشين شماره C كه نفوذگر از آن استفاده ميكند چيز ديگري است . (1.1.1.3(
http://www.itna.ir/archives/images/ddos_5.jpg
بررسي حمله Land Attack :
در اين حمله با استفاده از روش Spoofing در پاكتهايي كه به سمت سرويس دهنده ارسال ميشود به جاي IP و Port مبداء و مقصد IP و Port خود ماشين سرويس دهنده قرار داده ميشود.
در واقع IP و PORT ماشين سرويس دهنده به سمت خود سرويس دهنده ارسال ميشود. اين عمل باعث مي شود تا در سيستم عاملهاي قديمي يك حلقه داخلي Routing به وجود بيايد كه باعث پر شدن حافظه و به وجود آمدن حمله DOS مي شود. اين حمله در ماشينهاي Win 95 (winsok 1.0) و Cisco IOS ver 10.x و سيستمهاي قديمي باعث از كار افتادن سيستم ميشد اما امروزه تمامي سيستم هاي هوشمند مانند IDS ها قادر به شناسايي اين حملات مي باشند و اين حمله تاثير زيادي بر روند كاري سرويس دهنده ندارد.
بررسي حمله Smurf Attack :
اين حملات با ارسال درخواستهاي ICMP به سمت محدودهاي از IP هاي amplifier باعث وسعت دادن ترافيك و به وجود آمدن حمله DOS مي شوند.
حمله كننده ميتواند درخواستهاي ICMP خود را به صورت Spoof شده و از طرف ماشين قرباني به IP هاي amplifier ارسال كند با ارسال هر درخواست صدها جواب براي درخواست ICMP به سمت ماشين قرباني سرازير مي شوند و ترافيك آن را بالا مي برند. ( شكل شماره 6 - 1)
Amplifier: تمام شبكههايي كه درخواستهاي ICMP را براي IP broadcast خود ----- نكردهاند يك Amplifier محسوب مي شوند.
حمله كننده ميتواند در خواستهاي خود را مثلا به IP هايي مانند:
192.168.0.xxx كه X مي تواند 255, 223, 191, 159, 127, 95, 63, 31, 15, 7, 3 يعني IP هاي Broadcast باشند ارسال كند . البته قابل ذكر است IP broadcast بستگي به چگونگي بخشبندي IP در شبكه دارد.
http://www.itna.ir/archives/images/ddos_6.jpg
IDS: اين برنامه ها نسل جديد برنامه هاي امنيتي هستند كه قادرند ترافيك يك شبكه را مورد بررسي قرار داده و حملات جديد نفوذگران را شناسايي كرده و جلوي آن را بگيرند خصوصيت اين برنامه ها هوشمند بودن آنها است. اين برنامه ها در لايه هاي پايين شبكه تمامي پكتهاي رد و بدل شده بين ماشين ها را خوانده و مورد بررسي قرار ميدهند.
معرفي ايزارهاي D.O.S
http://img48.exs.cx/img48/7637/disk_media_revolution_lg_wm.gif
چند نمونه از برنامههايي كه توسط نفوذگران بر روي ماشينهاي Zombie براي حملات DOS مورد استفاده قرار ميگيرند به شرح زير مي باشند:
Trin00
TFN2K(Tribe Flood Network)
Stacheldraht
t wintrin00
mstream
Evil bot
Pulse 2002 (BY Security Storm)
تمامي اين برنامهها قادرند به عنوان ابزاري براي به وجود آوردن حملات DOS مورد استفاده قرار گيرند.
نفوذگران براي آن كه بتوانند حملات خود را به صورت كامل انجام دهند احتياج به ماشينهاي زيادي دارند تا با در اختيار گرفتن پهناي باند ماشينهاي آلوده يا همان Zombie ها حملات DOS خود را شكل دهند بيشتر آنها به نفوذ به اين ماشينها بر روي آنها برنامه هايي را نصب ميكنند كه قادرند تا در زمان مشخص فرمانهاي خود را بر روي آنها اجرا كنند يكي از اين برنامه ها Evil bot است كه نفوذگر ميتواند فرمانهاي خود را از طريق يك IRC server به صدها ماشين آلوده در يك زمان ارسال كند.
Zombie: بيشتر ماشينهاي موجود در دانشگاهها و يا مراكز دولتي به علت پهناي باند مناسبي كه دارند و همچنين رعايت نكردن اصول امنيتي كافي هك شده و بعد از نصب ابزار DOS بر روي آنها توسط نفوذگران براي تشكيل حملات DOS مورد استفاده قرار ميگيرند، در اصطلاح Zombie به ماشينهايي گفته ميشود كه توسط نفوذگران هك شدهاند و نفوذگران قادرند با درخواستهاي خود از روي اين ماشينها قرباني خود را مورد حمله قرار دهند.
-------------------------------------------
1- windowsupdate.comيكي از سايتهاي مايكروسافت كه امكان دريافت اخرين Patch هاي سيستم عاملهاي مختلف ويندوز بوسيله آن امكان پذير است.
2- براي اطلاعات و اخبار بيشتر در مورد عملكرد blaster مي توانيد به پيوندهاي زير مراجعه كنيد :
http://www.hat-squad.com/blog/archives/000042.html
http://www.hat-squad.com/blog/archives/000041.html
http://www.hat-squad.com/blog/archives/000038.html
3- اخبار مربوط به حمله DDOS بر روي سرويس شركت SCO :
http://www.computerworld.com/governmenttopics/government/legalissues/story/0,10801,88065,00.html?f=x62
http://www.caida.org/analysis/security/sco-dos
4- براي اطلاعات و اخبار بيشتر در مورد عملكرد ويروس Cycle مي توانيد به پيوند زير مراجعه كنيد:
http://www.hat-squad.com/pe/000074.html
شايد بيشتر مديران شبكهها و علاقه مندان به امنيت اسم حملاتي موسوم به DOS را در سالهاي اخير شنيده باشند. اما بيشتر آنها ندانند DOS چگونه عمل ميكند و پيامدهاي ناشي از اين حمله چيست ؟ گروهي نيز تفكرات نادرسي از حملات DOS در ذهن دارند و فكر ميكنند كه مي توان با استفاده از يك ديوار آتش نرمافزاري يا برنامههايي ديگر از اين قبيل با حملات DOS و DDOS مقابله كرد و جلوي آن را گرفت.
سياري از سايتهاي بزرگ نيز در حال حاضر قادر به مقابله با حملات DOS نيستند زيرا اين حملات به نوع متفاوتي سازماندهي ميشوند و در بيشتر اوقات با ايجاد ترافيكي بالا لشكري از Packet هاي TCP را به سمت سرويسهاي خدمات دهنده سرازير ميكنند. به عنوان مثال در هنگام به وجود آمدن و شناسايي ويروس Blaster پس از آلوده شدن صدها هزار كامپيوتر در سراسر دنيا بوسيله اين كرم كامپيوتري كه از يك ضعف در سيستم عاملهاي ويندوز مايكروسافت استفاده ميكرد، خبري با اين عنوان كه اين ويروس در روز 20 اگوست شروع به فرستادن پاكتهايي به سمت سايت windowsupdate.com مينمايد در رسانههاي امنيتي انتشار يافت كه در پي آن مسئولين امنيتي مايكروسافت چارهاي جز از كار انداختن سايت Windowsupdate.com و حذف آن از DNSهاي جهاني نديدند. با اينكه آنها تا آخرين لحظات از عنوان كردن روش خود يعني از كار انداختن سايت مورد نظر خودداري مينمودند، اما قابل پيشبيني بود كه به هيچ وجه سرويسهاي خدمات دهنده مايكروسافت نيز قادر به مقابله با اين حجم ترافيك بالا نخواهند بود و دير يا زود از سرويس دهي باز ميمانند.
http://img37.exs.cx/img37/1738/Death1.gif
چگونگي عملكرد ويروس Blaster براي ايجاد يك حمله DOS
1- در طي يك هفته ويروس Blaster انتشار يافت و حدود 50000 هزار ماشين را در سراسر دنيا آلوده ساخت.
2- پس از رسيدن به روزي كه كرم Blaster براي آن تاريخ برنامهريزي شده بود، قرار بر اين بود كه ماشينهاي آلوده از سراسر دنيا شروع به ارسال پاكتهايي به پورت 80 سايت www.windowsupdate.com كنند كه يكي از سايتهاي مايكروسافت ميباشد در نتيجه با مشغول شدن سرويس دهندگان سايت براي رسيدگي به درخواستهاي ماشينهاي آلوده امكان جوابگويي به درخواستهاي مشتريان واقعي نبود و همين باعث به وجود آمدن يك حمله DOS ميشد.
امروزه نسل جديدي از حملات DOS به وجود آمدهاند كه DDOS نام گرفتهاند. اين حملات نوع گسترش يافته حملات DOS هستند كه از اواخر سال 1999 مورد استفاده قرار گرفتهاند . در سال 2000 حملات DDOS توسط نفوذگران براي از كار انداختن و حمله به سايتهاي بزرگي مانند, e-Bay CNN , Amazon مورد استفاده قرار گرفته است.
بررسي حملات D.D.O.S
در چند ماه گذشته در گيرودار دادگاه جنجالي شركت SCO سايت اين شركت توسط طرفداران سيستم عاملهاي لينوكس و كدباز مورد حمله DDOS قرار گرفت و براي چند روز از كار افتاد، اين حمله يكي از بيسابقهترين و سختترين حملات DDOS در چند سال اخير محسوب ميشود.
نمودار زير ميزان Hit هاي وارد شده به سايت Sco را در ثانيه نشان مي دهد .
منظور از Hit درخواست هايي مي باشند كه از سرويس دهنده تقاضا مي شوند.
http://www.itna.ir/archives/images/ddos_1.jpg
همانطور كه در شكل مشاهده ميكنيد اين حملات از تاريخ چهارشنبه 10 دسامبر و در ساعت 3:20 شروع شده كه تعداد پاكتهاي ارسالي 34000 پاكت در ثانيه بوده است. در روز پنجشنبه 11 دسامبر و در ساعت 2:50 صبح حمله كنندگان دست به حمله ديگري زدند اين بار با هزاران ماشين از سراسر دنيا سرويس Ftp و WEB شركت Sco را با آدرس هاي www.Sco.com و Ftp.Sco.com مورد حمله SYN Flood قرار دادند.
تعداد درخواستها براي حمله در اين روز به حداكثر خود يعني 50000 درخواست در ثانيه رسيد و بالاخره در ساعت 10:45 روز پنجشنبه شركت Sco مجبور به حذف ماشين سرويس دهنده وب خود شد تا با اين كار از ورود درخواستهاي حمله كنندگان براي اتصال به اين ماشين جلوگيري كند.
اين روزها نسل جديدي از ويروس ها كه پس از Blaster به وجود مي آيند از تكنيك DOS براي حمله به اهداف خود استفاده ميكنند . اين كرم هاي اينترنتي پس از آلوده كردن تعداد زيادي ماشين در سراسر دنيا در تاريخي خاص شروع به ارسال پكت به سوي اهداف از قبل تعيين شده ميكنند و حمله اي را به صورت DOS به وجود مي آورند مانند انواع ويروس MY. doom . اين حملات به علت گستردگي ارسال درخواستها ترافيك زيادي را بر روي اينترنت ايجاد ميكنند و شركت هاي مورد حمله قرار گرفته كار زيادي در جهت مقابله با آن نميتوانند انجام دهند.
در مورد ديگر مي توان به ويروسCycle اشاره كرد كه يك ويروس ايراني بود و در اهداف خود را به همين وسيله مورد حمله قرار مي داد.
با بررسي اين حملات ميتوان نتيجه گرفت با اين كه در روش DDOS از تكنيكهاي ساده و قديمي استفاده ميشود اما ميتوان با ترتيب دادن حملات گسترش يافته شركتهاي بزرگي مانند Microsoft و Sco را نيز دچار مشكل كرد تا جايي كه تنها چارهاي كه براي مسئولين امنيتي اين شركتها باقي مي ماند قطع ارتباط ماشينهايي است كه مورد حمله قرار گرفتهاند.
در ادامه به بررسي روشنتري از حملات DOS و آشنايي با چگونگي عملكرد پروتكل TCP ميپردازيم. سپس انواع حملات DOS را طبقهبندي كرده و تشريح ميكنيم و ابزاري كه نفوذگران از آن براي ايجاد اين حملات استفاده ميكنند را معرفي خواهيم كرد.
D.O.S (Denial Of Service Attack
حملهاي كه باعث جلوگيري از كار يك سرويس يا مانع دسترسي به منابعي شود را حمله DOS گويند . به عنوان مثال حملات D.O.S بر روي ماشينهاي سرويس دهنده وب ممكن است منجرب به اين شود كه سرويس دهنده قادر به سرويس دهي به مشتريان نباشد. يا پر كردن پهناي باند يك ماشين باعث قطع ارتباط اين ماشين با شبكه اصلي مي شود.
براي بررسي دقيقتر و بيان نحوه عملكرد حملات D.O.S احتياج به بررسي پاكتهاي TCP و چگونگي برقراري ارتباط تحت پروتكل TCP/IP است كه در اين مقاله به بررسي اجمالي از آن مي پردازيم .
بررسي اجزاي داخل يك پكت TCP :
http://www.itna.ir/archives/images/ddos_2.jpg
اجزاي داخلي يك پكت TCP شامل اطلاعاتي در مورد درگاه مبدا درگاه مقصد شماره رشته داده ها و... ميباشد كه باعث ميشود اطلاعات در مسير اينترنت جا به جا شوند.
بررسي عملكرد پروتكل TCP
سه مرحله اصلي دست دادن يا برقراري ارتباط بين يك سرويس دهنده و يك مشتري:
در اين شكل سرويس دهنده(Server) با اسم TCP B و مشتري(Client) با اسمTCP A نشان داده شده است.
1 - مشتري پكت TCP را با علامت SYN براي سرويس دهنده ارسال مي نمايد . اين پكت باعث مي شود سرويس دهنده متوجه گردد كه مشتري درخواست ارسال اطلاعات را دارد. در اين هنگام مشتري منتظر جواب از سوي سرويس دهنده باقي ميماند تا در صورت برگشت جواب اطلاعات را ارسال كند .
2 - سرويس دهنده پس از دريافت در خواست مشتري يك پكت را با علامت SYN/ACK در پاسخ براي مشتري ارسال مينمايد. اين پكت نشان دهنده اجازه برقراري ارتباط و ارسال اطلاعات ميباشد.
3- مشتري پس از دريافت پكت از سوي سرويس دهنده يك ACK براي سرويس دهنده ارسال ميكند .
4 - سپس مشتري اقدام به ارسال اطلاعات ميكند.
http://www.itna.ir/archives/images/ddos_3.jpg
بررسي انواع روشهاي DOS
بررسي حمله SYN flood :
اين حمله با ارسال درخواستهاي متعدد با علامت SYN به ماشين قرباني باعث پر شدن سف Backlog ميشود. اما Backlog چيست؟ تمامي درخواستهايي كه به ماشين وارد ميشوند و شامل علامت SYN براي برقراري ارتباط ميباشند در قسمتي از حافظه به ترتيب ذخيره ميشوند تا پس از بررسي جواب آنها داده شده و ارتباط برقرار شود، اين قسمت از حافظه Backlog Queue نام دارد. وقتي كه اين قسمت به علت درخواستهاي زياد پر شود، سرويس دهنده مجبور به رها كردن درخواستهاي جديد ميشود و در نتيجه از رسيدگي به اين درخواستها باز مي ماند (Denial Of Service) . ) شكل شماره 4-1 (
http://www.itna.ir/archives/images/ddos_4.jpg
بررسي Reset(RST) :
پاكتهايي كه به علامت RST ارسال ميگردند باعث ميشوند كه ارتباط مورد نظر قطع گردد. در واقع اگر ماشين A به سمت ماشين B پاكتي را با علامت RST ارسال كند درخواست اتصال مورد نظر از Backlog پاك خواهد شد.
از اين حمله مي توان براي قطع اتصال دو ماشين استفاده كرد. به اين ترتيب كه اتصالي كه بين دو ماشين A و B برقرار است را نفوذگر با ارسال يك در خواست RST به ماشين B از طرف ماشين A قطع ميكند. در واقع در داخل پكتي كه از سوي ماشين نفوذگر به سمت قرباني ارسال ميشود IP مشتري گذاشته ميشود و در اين صورت ماشين B كه سرويس دهنده ميباشد ارتباط مورد نظر ماشين A را از Backlog حذف ميكند.
در اين روش شخص حمله كننده بوسيله ابزاري ميتواند IP جعلي توليد كرده و در واقع درخواست خود را جاي ماشين ديگري ارسال كند. به اين تكنيك Spoofing نيز گفته مي شود . (شكل شماره 5-1(
با كمي دقت در شكل شماره 5-1 در مييابيد IP مبدا (SourceIP) كه در پكت ارسالي از سوي ماشين حمله كننده به سمت ماشين B ميرود همان IP ماشين شماره A مي باشد(1.1.1.1( . در صورتيكه IP ماشين شماره C كه نفوذگر از آن استفاده ميكند چيز ديگري است . (1.1.1.3(
http://www.itna.ir/archives/images/ddos_5.jpg
بررسي حمله Land Attack :
در اين حمله با استفاده از روش Spoofing در پاكتهايي كه به سمت سرويس دهنده ارسال ميشود به جاي IP و Port مبداء و مقصد IP و Port خود ماشين سرويس دهنده قرار داده ميشود.
در واقع IP و PORT ماشين سرويس دهنده به سمت خود سرويس دهنده ارسال ميشود. اين عمل باعث مي شود تا در سيستم عاملهاي قديمي يك حلقه داخلي Routing به وجود بيايد كه باعث پر شدن حافظه و به وجود آمدن حمله DOS مي شود. اين حمله در ماشينهاي Win 95 (winsok 1.0) و Cisco IOS ver 10.x و سيستمهاي قديمي باعث از كار افتادن سيستم ميشد اما امروزه تمامي سيستم هاي هوشمند مانند IDS ها قادر به شناسايي اين حملات مي باشند و اين حمله تاثير زيادي بر روند كاري سرويس دهنده ندارد.
بررسي حمله Smurf Attack :
اين حملات با ارسال درخواستهاي ICMP به سمت محدودهاي از IP هاي amplifier باعث وسعت دادن ترافيك و به وجود آمدن حمله DOS مي شوند.
حمله كننده ميتواند درخواستهاي ICMP خود را به صورت Spoof شده و از طرف ماشين قرباني به IP هاي amplifier ارسال كند با ارسال هر درخواست صدها جواب براي درخواست ICMP به سمت ماشين قرباني سرازير مي شوند و ترافيك آن را بالا مي برند. ( شكل شماره 6 - 1)
Amplifier: تمام شبكههايي كه درخواستهاي ICMP را براي IP broadcast خود ----- نكردهاند يك Amplifier محسوب مي شوند.
حمله كننده ميتواند در خواستهاي خود را مثلا به IP هايي مانند:
192.168.0.xxx كه X مي تواند 255, 223, 191, 159, 127, 95, 63, 31, 15, 7, 3 يعني IP هاي Broadcast باشند ارسال كند . البته قابل ذكر است IP broadcast بستگي به چگونگي بخشبندي IP در شبكه دارد.
http://www.itna.ir/archives/images/ddos_6.jpg
IDS: اين برنامه ها نسل جديد برنامه هاي امنيتي هستند كه قادرند ترافيك يك شبكه را مورد بررسي قرار داده و حملات جديد نفوذگران را شناسايي كرده و جلوي آن را بگيرند خصوصيت اين برنامه ها هوشمند بودن آنها است. اين برنامه ها در لايه هاي پايين شبكه تمامي پكتهاي رد و بدل شده بين ماشين ها را خوانده و مورد بررسي قرار ميدهند.
معرفي ايزارهاي D.O.S
http://img48.exs.cx/img48/7637/disk_media_revolution_lg_wm.gif
چند نمونه از برنامههايي كه توسط نفوذگران بر روي ماشينهاي Zombie براي حملات DOS مورد استفاده قرار ميگيرند به شرح زير مي باشند:
Trin00
TFN2K(Tribe Flood Network)
Stacheldraht
t wintrin00
mstream
Evil bot
Pulse 2002 (BY Security Storm)
تمامي اين برنامهها قادرند به عنوان ابزاري براي به وجود آوردن حملات DOS مورد استفاده قرار گيرند.
نفوذگران براي آن كه بتوانند حملات خود را به صورت كامل انجام دهند احتياج به ماشينهاي زيادي دارند تا با در اختيار گرفتن پهناي باند ماشينهاي آلوده يا همان Zombie ها حملات DOS خود را شكل دهند بيشتر آنها به نفوذ به اين ماشينها بر روي آنها برنامه هايي را نصب ميكنند كه قادرند تا در زمان مشخص فرمانهاي خود را بر روي آنها اجرا كنند يكي از اين برنامه ها Evil bot است كه نفوذگر ميتواند فرمانهاي خود را از طريق يك IRC server به صدها ماشين آلوده در يك زمان ارسال كند.
Zombie: بيشتر ماشينهاي موجود در دانشگاهها و يا مراكز دولتي به علت پهناي باند مناسبي كه دارند و همچنين رعايت نكردن اصول امنيتي كافي هك شده و بعد از نصب ابزار DOS بر روي آنها توسط نفوذگران براي تشكيل حملات DOS مورد استفاده قرار ميگيرند، در اصطلاح Zombie به ماشينهايي گفته ميشود كه توسط نفوذگران هك شدهاند و نفوذگران قادرند با درخواستهاي خود از روي اين ماشينها قرباني خود را مورد حمله قرار دهند.
-------------------------------------------
1- windowsupdate.comيكي از سايتهاي مايكروسافت كه امكان دريافت اخرين Patch هاي سيستم عاملهاي مختلف ويندوز بوسيله آن امكان پذير است.
2- براي اطلاعات و اخبار بيشتر در مورد عملكرد blaster مي توانيد به پيوندهاي زير مراجعه كنيد :
http://www.hat-squad.com/blog/archives/000042.html
http://www.hat-squad.com/blog/archives/000041.html
http://www.hat-squad.com/blog/archives/000038.html
3- اخبار مربوط به حمله DDOS بر روي سرويس شركت SCO :
http://www.computerworld.com/governmenttopics/government/legalissues/story/0,10801,88065,00.html?f=x62
http://www.caida.org/analysis/security/sco-dos
4- براي اطلاعات و اخبار بيشتر در مورد عملكرد ويروس Cycle مي توانيد به پيوند زير مراجعه كنيد:
http://www.hat-squad.com/pe/000074.html