تور لحظه آخری
امروز : سه شنبه ، 13 آذر 1403    احادیث و روایات:  امام موسی کاظم (ع):افطارى دادن به برادر روزه دارت از گرفتن روزه بهتر است.
سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون شرکت ها

تبلیغات

تبلیغات متنی

صرافی ارکی چنج

صرافی rkchange

سایبان ماشین

دزدگیر منزل

تشریفات روناک

اجاره سند در شیراز

قیمت فنس

armanekasbokar

armanetejarat

صندوق تضمین

Future Innovate Tech

پی جو مشاغل برتر شیراز

آراد برندینگ

خرید یخچال خارجی

موسسه خیریه

واردات از چین

حمية السكري النوع الثاني

ناب مووی

دانلود فیلم

بانک کتاب

دریافت دیه موتورسیکلت از بیمه

طراحی سایت تهران سایت

irspeedy

درج اگهی ویژه

تعمیرات مک بوک

دانلود فیلم هندی

قیمت فرش

درب فریم لس

زانوبند زاپیامکس

روغن بهران بردبار ۳۲۰

قیمت سرور اچ پی

خرید بلیط هواپیما

بلیط اتوبوس پایانه

قیمت سرور dl380 g10

تعمیرات پکیج کرج

لیست قیمت گوشی شیائومی

خرید فالوور

پوستر آنلاین

بهترین وکیل کرج

بهترین وکیل تهران

خرید اکانت تریدینگ ویو

خرید از چین

خرید از چین

تجهیزات کافی شاپ

ساختمان پزشکان

محصولات فوراور

خرید سرور اچ پی ماهان شبکه

دوربین سیمکارتی چرخشی

همکاری آی نو و گزینه دو

کاشت ابرو طبیعی و‌ سریع

الک آزمایشگاهی

الک آزمایشگاهی

خرید سرور مجازی

قیمت بالابر هیدرولیکی

قیمت بالابر هیدرولیکی

قیمت بالابر هیدرولیکی

لوله و اتصالات آذین

قرص گلوریا

نمایندگی دوو در کرج

خرید نهال سیب

وکیل ایرانی در استانبول

وکیل ایرانی در استانبول

وکیل ایرانی در استانبول

رفع تاری و تشخیص پلاک

پرگابالین

دوره آموزش باریستا

مهاجرت به آلمان

بهترین قالیشویی تهران

بورس کارتریج پرینتر در تهران

تشریفات روناک

نوار اخطار زرد رنگ

ثبت شرکت فوری

تابلو برق

 






آمار وبسایت

 تعداد کل بازدیدها : 1837537359




هواشناسی

نرخ طلا سکه و  ارز

قیمت خودرو

فال حافظ

تعبیر خواب

فال انبیاء

متن قرآن



اضافه به علاقمنديها ارسال اين مطلب به دوستان آرشيو تمام مطالب
archive  refresh

بررسي حملات D.O.S


واضح آرشیو وب فارسی:سایت ریسک: View Full Version : بررسي حملات D.O.S M.e.h.r.a.n_Swe15-11-2004, 10:12 PMبررسي حملات D.O.S شايد بيشتر مديران شبكه‌ها و علاقه مندان به امنيت اسم حملاتي موسوم به DOS را در سال‌هاي اخير شنيده باشند. اما بيشتر آنها ندانند DOS چگونه عمل مي‌كند و پيامدهاي ناشي از اين حمله چيست ؟ گروهي نيز تفكرات نادرسي از حملات DOS در ذهن دارند و فكر مي‌كنند كه مي توان با استفاده از يك ديوار آتش نرم‌افزاري يا برنامه‌هايي ديگر از اين قبيل با حملات DOS و DDOS مقابله كرد و جلوي آن را گرفت. سياري از سايت‌هاي بزرگ نيز در حال حاضر قادر به مقابله با حملات DOS نيستند زيرا اين حملات به نوع متفاوتي سازماندهي مي‌شوند و در بيشتر اوقات با ايجاد ترافيكي بالا لشكري از Packet هاي TCP را به سمت سرويس‌هاي خدمات دهنده سرازير مي‌كنند. به عنوان مثال در هنگام به وجود آمدن و شناسايي ويروس Blaster پس از آلوده شدن صدها هزار كامپيوتر در سراسر دنيا بوسيله اين كرم كامپيوتري كه از يك ضعف در سيستم عامل‌هاي ويندوز مايكروسافت استفاده مي‌كرد، خبري با اين عنوان كه اين ويروس در روز 20 اگوست شروع به فرستادن پاكت‌هايي به سمت سايت windowsupdate.com مي‌نمايد در رسانه‌هاي امنيتي انتشار يافت كه در پي آن مسئولين امنيتي مايكروسافت چاره‌اي جز از كار انداختن سايت Windowsupdate.com و حذف آن از DNSهاي جهاني نديدند. با اينكه آنها تا آخرين لحظات از عنوان كردن روش خود يعني از كار انداختن سايت مورد نظر خودداري مي‌نمودند، اما قابل پيش‌بيني بود كه به هيچ وجه سرويس‌هاي خدمات دهنده مايكروسافت نيز قادر به مقابله با اين حجم ترافيك بالا نخواهند بود و دير يا زود از سرويس دهي باز مي‌مانند. http://img37.exs.cx/img37/1738/Death1.gif چگونگي عملكرد ويروس Blaster براي ايجاد يك حمله DOS 1- در طي يك هفته ويروس Blaster انتشار يافت و حدود 50000 هزار ماشين را در سراسر دنيا آلوده ساخت. 2- پس از رسيدن به روزي كه كرم Blaster براي آن تاريخ برنامه‌ريزي شده بود، قرار بر اين بود كه ماشين‌هاي آلوده از سراسر دنيا شروع به ارسال پاكت‌هايي به پورت 80 سايت www.windowsupdate.com كنند كه يكي از سايت‌هاي مايكروسافت مي‌باشد در نتيجه با مشغول شدن سرويس دهندگان سايت براي رسيدگي به درخواست‌هاي ماشين‌هاي آلوده امكان جوابگويي به درخواست‌هاي مشتريان واقعي نبود و همين باعث به وجود آمدن يك حمله DOS مي‌شد. امروزه نسل جديدي از حملات DOS به وجود آمده‌اند كه DDOS نام گرفته‌اند. اين حملات نوع گسترش يافته حملات DOS هستند كه از اواخر سال 1999 مورد استفاده قرار گرفته‌اند . در سال 2000 حملات DDOS توسط نفوذگران براي از كار انداختن و حمله به سايت‌هاي بزرگي مانند, e-Bay CNN , Amazon مورد استفاده قرار گرفته است. بررسي حملات D.D.O.S در چند ماه گذشته در گيرودار دادگاه جنجالي شركت SCO سايت اين شركت توسط طرفداران سيستم عامل‌هاي لينوكس و كدباز مورد حمله DDOS قرار گرفت و براي چند روز از كار افتاد، اين حمله يكي از بي‌سابقه‌ترين و سخت‌ترين حملات DDOS در چند سال اخير محسوب مي‌شود. نمودار زير ميزان Hit هاي وارد شده به سايت Sco را در ثانيه نشان مي دهد . منظور از Hit درخواست هايي مي باشند كه از سرويس دهنده تقاضا مي شوند. http://www.itna.ir/archives/images/ddos_1.jpg همانطور كه در شكل مشاهده مي‌كنيد اين حملات از تاريخ چهارشنبه 10 دسامبر و در ساعت 3:20 شروع شده كه تعداد پاكت‌هاي ارسالي 34000 پاكت در ثانيه بوده است. در روز پنجشنبه 11 دسامبر و در ساعت 2:50 صبح حمله كنندگان دست به حمله ديگري زدند اين بار با هزاران ماشين از سراسر دنيا سرويس Ftp و WEB شركت Sco را با آدرس هاي www.Sco.com و Ftp.Sco.com مورد حمله SYN Flood قرار دادند. تعداد درخواست‌ها براي حمله در اين روز به حداكثر خود يعني 50000 درخواست در ثانيه رسيد و بالاخره در ساعت 10:45 روز پنجشنبه شركت Sco مجبور به حذف ماشين سرويس دهنده وب خود شد تا با اين كار از ورود درخواست‌هاي حمله كنندگان براي اتصال به اين ماشين جلوگيري كند. اين روزها نسل جديدي از ويروس ها كه پس از Blaster به وجود مي آيند از تكنيك DOS براي حمله به اهداف خود استفاده مي‌كنند . اين كرم هاي اينترنتي پس از آلوده كردن تعداد زيادي ماشين در سراسر دنيا در تاريخي خاص شروع به ارسال پكت به سوي اهداف از قبل تعيين شده مي‌كنند و حمله اي را به صورت DOS به وجود مي آورند مانند انواع ويروس MY. doom . اين حملات به علت گستردگي ارسال درخواست‌ها ترافيك زيادي را بر روي اينترنت ايجاد مي‌كنند و شركت‌ هاي مورد حمله قرار گرفته كار زيادي در جهت مقابله با آن نمي‌توانند انجام دهند. در مورد ديگر مي توان به ويروسCycle اشاره كرد كه يك ويروس ايراني بود و در اهداف خود را به همين وسيله مورد حمله قرار مي داد. با بررسي اين حملات مي‌توان نتيجه گرفت با اين كه در روش DDOS از تكنيك‌هاي ساده و قديمي استفاده مي‌شود اما مي‌توان با ترتيب دادن حملات گسترش يافته شركت‌هاي بزرگي مانند Microsoft و Sco را نيز دچار مشكل كرد تا جايي كه تنها چاره‌اي كه براي مسئولين امنيتي اين شركتها باقي مي ماند قطع ارتباط ماشين‌هايي است كه مورد حمله قرار گرفته‌اند. در ادامه به بررسي روشن‌تري از حملات DOS و آشنايي با چگونگي عملكرد پروتكل TCP مي‌پردازيم. سپس انواع حملات DOS را طبقه‌بندي كرده و تشريح مي‌كنيم و ابزاري كه نفوذگران از آن براي ايجاد اين حملات استفاده مي‌كنند را معرفي خواهيم كرد. D.O.S (Denial Of Service Attack حمله‌اي كه باعث جلوگيري از كار يك سرويس يا مانع دسترسي به منابعي شود را حمله DOS گويند . به عنوان مثال حملات D.O.S بر روي ماشين‌هاي سرويس دهنده وب ممكن است منجرب به اين شود كه سرويس دهنده قادر به سرويس دهي به مشتريان نباشد. يا پر كردن پهناي باند يك ماشين باعث قطع ارتباط اين ماشين با شبكه اصلي مي شود. براي بررسي دقيق‌تر و بيان نحوه عملكرد حملات D.O.S احتياج به بررسي پاكتهاي TCP و چگونگي برقراري ارتباط تحت پروتكل TCP/IP است كه در اين مقاله به بررسي اجمالي از آن مي پردازيم . بررسي اجزاي داخل يك پكت TCP : http://www.itna.ir/archives/images/ddos_2.jpg اجزاي داخلي يك پكت TCP شامل اطلاعاتي در مورد درگاه مبدا درگاه مقصد شماره رشته داده ها و... مي‌باشد كه باعث مي‌شود اطلاعات در مسير اينترنت جا به جا شوند. بررسي عملكرد پروتكل TCP سه مرحله اصلي دست دادن يا برقراري ارتباط بين يك سرويس دهنده و يك مشتري: در اين شكل سرويس دهنده(Server) با اسم TCP B و مشتري(Client) با اسمTCP A نشان داده شده است. 1 - مشتري پكت TCP را با علامت SYN براي سرويس دهنده ارسال مي نمايد . اين پكت باعث مي شود سرويس دهنده متوجه گردد كه مشتري درخواست ارسال اطلاعات را دارد. در اين هنگام مشتري منتظر جواب از سوي سرويس دهنده باقي مي‌ماند تا در صورت برگشت جواب اطلاعات را ارسال كند . 2 - سرويس دهنده پس از دريافت در خواست مشتري يك پكت را با علامت SYN/ACK در پاسخ براي مشتري ارسال مي‌نمايد. اين پكت نشان دهنده اجازه برقراري ارتباط و ارسال اطلاعات مي‌باشد. 3- مشتري پس از دريافت پكت از سوي سرويس دهنده يك ACK براي سرويس دهنده ارسال مي‌كند . 4 - سپس مشتري اقدام به ارسال اطلاعات مي‌كند. http://www.itna.ir/archives/images/ddos_3.jpg بررسي انواع روش‌هاي DOS بررسي حمله SYN flood : اين حمله با ارسال درخواست‌هاي متعدد با علامت SYN به ماشين قرباني باعث پر شدن سف Backlog مي‌شود. اما Backlog چيست؟ تمامي درخواست‌هايي كه به ماشين وارد مي‌شوند و شامل علامت SYN براي برقراري ارتباط مي‌باشند در قسمتي از حافظه به ترتيب ذخيره مي‌شوند تا پس از بررسي جواب آنها داده شده و ارتباط برقرار شود، اين قسمت از حافظه Backlog Queue نام دارد. وقتي كه اين قسمت به علت درخواست‌هاي زياد پر شود، سرويس دهنده مجبور به رها كردن درخواست‌هاي جديد مي‌شود و در نتيجه از رسيدگي به اين درخواست‌ها باز مي ماند (Denial Of Service) . ) شكل شماره 4-1 ( http://www.itna.ir/archives/images/ddos_4.jpg بررسي Reset(RST) : پاكت‌هايي كه به علامت RST ارسال مي‌گردند باعث مي‌شوند كه ارتباط مورد نظر قطع گردد. در واقع اگر ماشين A به سمت ماشين B پاكتي را با علامت RST ارسال كند درخواست اتصال مورد نظر از Backlog پاك خواهد شد. از اين حمله مي توان براي قطع اتصال دو ماشين استفاده كرد. به اين ترتيب كه اتصالي كه بين دو ماشين A و B برقرار است را نفوذگر با ارسال يك در خواست RST به ماشين B از طرف ماشين A قطع مي‌كند. در واقع در داخل پكتي كه از سوي ماشين نفوذگر به سمت قرباني ارسال مي‌شود IP مشتري گذاشته مي‌شود و در اين صورت ماشين B كه سرويس دهنده مي‌باشد ارتباط مورد نظر ماشين A را از Backlog حذف مي‌كند. در اين روش شخص حمله كننده بوسيله ابزاري مي‌تواند IP جعلي توليد كرده و در واقع درخواست خود را جاي ماشين ديگري ارسال كند. به اين تكنيك Spoofing نيز گفته مي شود . (شكل شماره 5-1( با كمي دقت در شكل شماره 5-1 در مي‌يابيد IP مبدا (SourceIP) كه در پكت ارسالي از سوي ماشين حمله كننده به سمت ماشين B ميرود همان IP ماشين شماره A مي باشد(1.1.1.1( . در صورتيكه IP ماشين شماره C كه نفوذگر از آن استفاده مي‌كند چيز ديگري است . (1.1.1.3( http://www.itna.ir/archives/images/ddos_5.jpg بررسي حمله Land Attack : در اين حمله با استفاده از روش Spoofing در پاكت‌هايي كه به سمت سرويس دهنده ارسال مي‌شود به جاي IP و Port مبداء و مقصد IP و Port خود ماشين سرويس دهنده قرار داده مي‌شود. در واقع IP و PORT ماشين سرويس دهنده به سمت خود سرويس دهنده ارسال مي‌شود. اين عمل باعث مي شود تا در سيستم عامل‌هاي قديمي يك حلقه داخلي Routing به وجود بيايد كه باعث پر شدن حافظه و به وجود آمدن حمله DOS مي شود. اين حمله در ماشين‌هاي Win 95 (winsok 1.0) و Cisco IOS ver 10.x و سيستم‌هاي قديمي باعث از كار افتادن سيستم مي‌شد اما امروزه تمامي سيستم هاي هوشمند مانند IDS ها قادر به شناسايي اين حملات مي باشند و اين حمله تاثير زيادي بر روند كاري سرويس دهنده ندارد. بررسي حمله Smurf Attack : اين حملات با ارسال درخواست‌هاي ICMP به سمت محدوده‌اي از IP هاي amplifier باعث وسعت دادن ترافيك و به وجود آمدن حمله DOS مي شوند. حمله كننده مي‌تواند درخواست‌هاي ICMP خود را به صورت Spoof شده و از طرف ماشين قرباني به IP هاي amplifier ارسال كند با ارسال هر درخواست صدها جواب براي درخواست ICMP به سمت ماشين قرباني سرازير مي شوند و ترافيك آن را بالا مي برند. ( شكل شماره 6 - 1) Amplifier: تمام شبكه‌هايي كه درخواست‌هاي ICMP را براي IP broadcast خود ----- نكرده‌اند يك Amplifier محسوب مي شوند. حمله كننده مي‌تواند در خواست‌هاي خود را مثلا به IP هايي مانند: 192.168.0.xxx كه X مي تواند 255, 223, 191, 159, 127, 95, 63, 31, 15, 7, 3 يعني IP هاي Broadcast باشند ارسال كند . البته قابل ذكر است IP broadcast بستگي به چگونگي بخش‌بندي IP در شبكه دارد. http://www.itna.ir/archives/images/ddos_6.jpg IDS: اين برنامه ها نسل جديد برنامه هاي امنيتي هستند كه قادرند ترافيك يك شبكه را مورد بررسي قرار داده و حملات جديد نفوذگران را شناسايي كرده و جلوي آن را بگيرند خصوصيت اين برنامه ها هوشمند بودن آنها است. اين برنامه ها در لايه هاي پايين شبكه تمامي پكتهاي رد و بدل شده بين ماشين ها را خوانده و مورد بررسي قرار مي‌دهند. معرفي ايزارهاي D.O.S http://img48.exs.cx/img48/7637/disk_media_revolution_lg_wm.gif چند نمونه از برنامه‌هايي كه توسط نفوذگران بر روي ماشين‌هاي Zombie براي حملات DOS مورد استفاده قرار مي‌گيرند به شرح زير مي باشند: Trin00 TFN2K(Tribe Flood Network) Stacheldraht t wintrin00 mstream Evil bot Pulse 2002 (BY Security Storm) تمامي اين برنامه‌ها قادرند به عنوان ابزاري براي به وجود آوردن حملات DOS مورد استفاده قرار گيرند. نفوذگران براي آن كه بتوانند حملات خود را به صورت كامل انجام دهند احتياج به ماشين‌هاي زيادي دارند تا با در اختيار گرفتن پهناي باند ماشين‌هاي آلوده يا همان Zombie ها حملات DOS خود را شكل دهند بيشتر آنها به نفوذ به اين ماشين‌ها بر روي آنها برنامه هايي را نصب مي‌كنند كه قادرند تا در زمان مشخص فرمان‌هاي خود را بر روي آنها اجرا كنند يكي از اين برنامه ها Evil bot است كه نفوذگر مي‌تواند فرمان‌هاي خود را از طريق يك IRC server به صدها ماشين آلوده در يك زمان ارسال كند. Zombie: بيشتر ماشين‌هاي موجود در دانشگاه‌ها و يا مراكز دولتي به علت پهناي باند مناسبي كه دارند و همچنين رعايت نكردن اصول امنيتي كافي هك شده و بعد از نصب ابزار DOS بر روي آنها توسط نفوذگران براي تشكيل حملات DOS مورد استفاده قرار مي‌گيرند، در اصطلاح Zombie به ماشين‌هايي گفته مي‌شود كه توسط نفوذگران هك شده‌اند و نفوذگران قادرند با درخواست‌هاي خود از روي اين ماشين‌ها قرباني خود را مورد حمله قرار دهند. ------------------------------------------- 1- windowsupdate.comيكي از سايت‌هاي مايكروسافت كه امكان دريافت اخرين Patch هاي سيستم عامل‌هاي مختلف ويندوز بوسيله آن امكان پذير است. 2- براي اطلاعات و اخبار بيشتر در مورد عملكرد blaster مي توانيد به پيوندهاي زير مراجعه كنيد : http://www.hat-squad.com/blog/archives/000042.html http://www.hat-squad.com/blog/archives/000041.html http://www.hat-squad.com/blog/archives/000038.html 3- اخبار مربوط به حمله DDOS بر روي سرويس شركت SCO : http://www.computerworld.com/governmenttopics/government/legalissues/story/0,10801,88065,00.html?f=x62 http://www.caida.org/analysis/security/sco-dos 4- براي اطلاعات و اخبار بيشتر در مورد عملكرد ويروس Cycle مي توانيد به پيوند زير مراجعه كنيد: http://www.hat-squad.com/pe/000074.html منبع ITNA موفق و پیروز باشید مهران Sinagood15-11-2004, 10:16 PM:shock: بابا اين يكي ماجرا خيلي جديه راستي آقا مهران پيغام خصوصي رو هم ببين M.e.h.r.a.n_Swe16-11-2004, 02:32 AM:shock: بابا اين يكي ماجرا خيلي جديه راستي آقا مهران پيغام خصوصي رو هم ببين ایمیلتو چک کن سینا موفق باشی مهران 30naa16-11-2004, 04:33 PMممنون مهران جان pcockz8016-11-2004, 05:32 PMبسیار جامع و عالی بود .ممنون 8) M.e.h.r.a.n_Swe16-11-2004, 09:39 PMخواهش دوستان راستش دیدم در بخش اموزش حرفی در موردش زده نشده گفتم اینم باشه من خودم از بخش اموزش انجمن مثل یک فرهنگ لغت استفاده میکنم و هر چقدر این فرهنگ لغت کاملتر باشد بیشتر میتوان ازش استفاده کرد موفق باشید مهران Amir_P3017-11-2004, 03:57 PMمهران جان ممنون و متشكر خيلي خوب بود بازهم از اين كارها بكن tntman31-12-2005, 01:49 PMبا سلام .. دوست عزيز گذاشتن لينك سايت هاي ف ي ل ت ر ش ك ن و ... خلاف قوقنين است .. با تشكر .. Mpsjavad mr_abadani200217-01-2006, 01:40 PMاطلاعات جالبي بود ممنون آقا مهران saeid_azad21-01-2006, 07:17 AMجالب بود مرسي سایت ما را در گوگل محبوب کنید با کلیک روی دکمه ای که در سمت چپ این منو با عنوان +1 قرار داده شده شما به این سایت مهر تأیید میزنید و به دوستانتان در صفحه جستجوی گوگل دیدن این سایت را پیشنهاد میکنید که این امر خود باعث افزایش رتبه سایت در گوگل میشود




این صفحه را در گوگل محبوب کنید

[ارسال شده از: سایت ریسک]
[مشاهده در: www.ri3k.eu]
[تعداد بازديد از اين مطلب: 427]

bt

اضافه شدن مطلب/حذف مطلب




-


گوناگون

پربازدیدترینها
طراحی وب>


صفحه اول | تمام مطالب | RSS | ارتباط با ما
1390© تمامی حقوق این سایت متعلق به سایت واضح می باشد.
این سایت در ستاد ساماندهی وزارت فرهنگ و ارشاد اسلامی ثبت شده است و پیرو قوانین جمهوری اسلامی ایران می باشد. لطفا در صورت برخورد با مطالب و صفحات خلاف قوانین در سایت آن را به ما اطلاع دهید
پایگاه خبری واضح کاری از شرکت طراحی سایت اینتن