بررسي حملات D.O.S

واضح آرشیو وب فارسی:سایت ریسک: View Full Version : بررسي حملات D.O.S M.e.h.r.a.n_Swe15-11-2004, 10:12 PMبررسي حملات D.O.S شايد بيشتر مديران شبكه‌ها و علاقه مندان به امنيت اسم حملاتي موسوم به DOS را در سال‌هاي اخير شنيده باشند. اما بيشتر آنها ندانند DOS چگونه عمل مي‌كند و پيامدهاي ناشي از اين حمله چيست ؟ گروهي نيز تفكرات نادرسي از حملات DOS در ذهن دارند و فكر مي‌كنند كه مي توان با استفاده از يك ديوار آتش نرم‌افزاري يا برنامه‌هايي ديگر از اين قبيل با حملات DOS و DDOS مقابله كرد و جلوي آن را گرفت. سياري از سايت‌هاي بزرگ نيز در حال حاضر قادر به مقابله با حملات DOS نيستند زيرا اين حملات به نوع متفاوتي سازماندهي مي‌شوند و در بيشتر اوقات با ايجاد ترافيكي بالا لشكري از Packet هاي TCP را به سمت سرويس‌هاي خدمات دهنده سرازير مي‌كنند. به عنوان مثال در هنگام به وجود آمدن و شناسايي ويروس Blaster پس از آلوده شدن صدها هزار كامپيوتر در سراسر دنيا بوسيله اين كرم كامپيوتري كه از يك ضعف در سيستم عامل‌هاي ويندوز مايكروسافت استفاده مي‌كرد، خبري با اين عنوان كه اين ويروس در روز 20 اگوست شروع به فرستادن پاكت‌هايي به سمت سايت windowsupdate.com مي‌نمايد در رسانه‌هاي امنيتي انتشار يافت كه در پي آن مسئولين امنيتي مايكروسافت چاره‌اي جز از كار انداختن سايت Windowsupdate.com و حذف آن از DNSهاي جهاني نديدند. با اينكه آنها تا آخرين لحظات از عنوان كردن روش خود يعني از كار انداختن سايت مورد نظر خودداري مي‌نمودند، اما قابل پيش‌بيني بود كه به هيچ وجه سرويس‌هاي خدمات دهنده مايكروسافت نيز قادر به مقابله با اين حجم ترافيك بالا نخواهند بود و دير يا زود از سرويس دهي باز مي‌مانند. http://img37.exs.cx/img37/1738/Death1.gif چگونگي عملكرد ويروس Blaster براي ايجاد يك حمله DOS 1- در طي يك هفته ويروس Blaster انتشار يافت و حدود 50000 هزار ماشين را در سراسر دنيا آلوده ساخت. 2- پس از رسيدن به روزي كه كرم Blaster براي آن تاريخ برنامه‌ريزي شده بود، قرار بر اين بود كه ماشين‌هاي آلوده از سراسر دنيا شروع به ارسال پاكت‌هايي به پورت 80 سايت www.windowsupdate.com كنند كه يكي از سايت‌هاي مايكروسافت مي‌باشد در نتيجه با مشغول شدن سرويس دهندگان سايت براي رسيدگي به درخواست‌هاي ماشين‌هاي آلوده امكان جوابگويي به درخواست‌هاي مشتريان واقعي نبود و همين باعث به وجود آمدن يك حمله DOS مي‌شد. امروزه نسل جديدي از حملات DOS به وجود آمده‌اند كه DDOS نام گرفته‌اند. اين حملات نوع گسترش يافته حملات DOS هستند كه از اواخر سال 1999 مورد استفاده قرار گرفته‌اند . در سال 2000 حملات DDOS توسط نفوذگران براي از كار انداختن و حمله به سايت‌هاي بزرگي مانند, e-Bay CNN , Amazon مورد استفاده قرار گرفته است. بررسي حملات D.D.O.S در چند ماه گذشته در گيرودار دادگاه جنجالي شركت SCO سايت اين شركت توسط طرفداران سيستم عامل‌هاي لينوكس و كدباز مورد حمله DDOS قرار گرفت و براي چند روز از كار افتاد، اين حمله يكي از بي‌سابقه‌ترين و سخت‌ترين حملات DDOS در چند سال اخير محسوب مي‌شود. نمودار زير ميزان Hit هاي وارد شده به سايت Sco را در ثانيه نشان مي دهد . منظور از Hit درخواست هايي مي باشند كه از سرويس دهنده تقاضا مي شوند. http://www.itna.ir/archives/images/ddos_1.jpg همانطور كه در شكل مشاهده مي‌كنيد اين حملات از تاريخ چهارشنبه 10 دسامبر و در ساعت 3:20 شروع شده كه تعداد پاكت‌هاي ارسالي 34000 پاكت در ثانيه بوده است. در روز پنجشنبه 11 دسامبر و در ساعت 2:50 صبح حمله كنندگان دست به حمله ديگري زدند اين بار با هزاران ماشين از سراسر دنيا سرويس Ftp و WEB شركت Sco را با آدرس هاي www.Sco.com و Ftp.Sco.com مورد حمله SYN Flood قرار دادند. تعداد درخواست‌ها براي حمله در اين روز به حداكثر خود يعني 50000 درخواست در ثانيه رسيد و بالاخره در ساعت 10:45 روز پنجشنبه شركت Sco مجبور به حذف ماشين سرويس دهنده وب خود شد تا با اين كار از ورود درخواست‌هاي حمله كنندگان براي اتصال به اين ماشين جلوگيري كند. اين روزها نسل جديدي از ويروس ها كه پس از Blaster به وجود مي آيند از تكنيك DOS براي حمله به اهداف خود استفاده مي‌كنند . اين كرم هاي اينترنتي پس از آلوده كردن تعداد زيادي ماشين در سراسر دنيا در تاريخي خاص شروع به ارسال پكت به سوي اهداف از قبل تعيين شده مي‌كنند و حمله اي را به صورت DOS به وجود مي آورند مانند انواع ويروس MY. doom . اين حملات به علت گستردگي ارسال درخواست‌ها ترافيك زيادي را بر روي اينترنت ايجاد مي‌كنند و شركت‌ هاي مورد حمله قرار گرفته كار زيادي در جهت مقابله با آن نمي‌توانند انجام دهند. در مورد ديگر مي توان به ويروسCycle اشاره كرد كه يك ويروس ايراني بود و در اهداف خود را به همين وسيله مورد حمله قرار مي داد. با بررسي اين حملات مي‌توان نتيجه گرفت با اين كه در روش DDOS از تكنيك‌هاي ساده و قديمي استفاده مي‌شود اما مي‌توان با ترتيب دادن حملات گسترش يافته شركت‌هاي بزرگي مانند Microsoft و Sco را نيز دچار مشكل كرد تا جايي كه تنها چاره‌اي كه براي مسئولين امنيتي اين شركتها باقي مي ماند قطع ارتباط ماشين‌هايي است كه مورد حمله قرار گرفته‌اند. در ادامه به بررسي روشن‌تري از حملات DOS و آشنايي با چگونگي عملكرد پروتكل TCP مي‌پردازيم. سپس انواع حملات DOS را طبقه‌بندي كرده و تشريح مي‌كنيم و ابزاري كه نفوذگران از آن براي ايجاد اين حملات استفاده مي‌كنند را معرفي خواهيم كرد. D.O.S (Denial Of Service Attack حمله‌اي كه باعث جلوگيري از كار يك سرويس يا مانع دسترسي به منابعي شود را حمله DOS گويند . به عنوان مثال حملات D.O.S بر روي ماشين‌هاي سرويس دهنده وب ممكن است منجرب به اين شود كه سرويس دهنده قادر به سرويس دهي به مشتريان نباشد. يا پر كردن پهناي باند يك ماشين باعث قطع ارتباط اين ماشين با شبكه اصلي مي شود. براي بررسي دقيق‌تر و بيان نحوه عملكرد حملات D.O.S احتياج به بررسي پاكتهاي TCP و چگونگي برقراري ارتباط تحت پروتكل TCP/IP است كه در اين مقاله به بررسي اجمالي از آن مي پردازيم . بررسي اجزاي داخل يك پكت TCP : http://www.itna.ir/archives/images/ddos_2.jpg اجزاي داخلي يك پكت TCP شامل اطلاعاتي در مورد درگاه مبدا درگاه مقصد شماره رشته داده ها و... مي‌باشد كه باعث مي‌شود اطلاعات در مسير اينترنت جا به جا شوند. بررسي عملكرد پروتكل TCP سه مرحله اصلي دست دادن يا برقراري ارتباط بين يك سرويس دهنده و يك مشتري: در اين شكل سرويس دهنده(Server) با اسم TCP B و مشتري(Client) با اسمTCP A نشان داده شده است. 1 - مشتري پكت TCP را با علامت SYN براي سرويس دهنده ارسال مي نمايد . اين پكت باعث مي شود سرويس دهنده متوجه گردد كه مشتري درخواست ارسال اطلاعات را دارد. در اين هنگام مشتري منتظر جواب از سوي سرويس دهنده باقي مي‌ماند تا در صورت برگشت جواب اطلاعات را ارسال كند . 2 - سرويس دهنده پس از دريافت در خواست مشتري يك پكت را با علامت SYN/ACK در پاسخ براي مشتري ارسال مي‌نمايد. اين پكت نشان دهنده اجازه برقراري ارتباط و ارسال اطلاعات مي‌باشد. 3- مشتري پس از دريافت پكت از سوي سرويس دهنده يك ACK براي سرويس دهنده ارسال مي‌كند . 4 - سپس مشتري اقدام به ارسال اطلاعات مي‌كند. http://www.itna.ir/archives/images/ddos_3.jpg بررسي انواع روش‌هاي DOS بررسي حمله SYN flood : اين حمله با ارسال درخواست‌هاي متعدد با علامت SYN به ماشين قرباني باعث پر شدن سف Backlog مي‌شود. اما Backlog چيست؟ تمامي درخواست‌هايي كه به ماشين وارد مي‌شوند و شامل علامت SYN براي برقراري ارتباط مي‌باشند در قسمتي از حافظه به ترتيب ذخيره مي‌شوند تا پس از بررسي جواب آنها داده شده و ارتباط برقرار شود، اين قسمت از حافظه Backlog Queue نام دارد. وقتي كه اين قسمت به علت درخواست‌هاي زياد پر شود، سرويس دهنده مجبور به رها كردن درخواست‌هاي جديد مي‌شود و در نتيجه از رسيدگي به اين درخواست‌ها باز مي ماند (Denial Of Service) . ) شكل شماره 4-1 ( http://www.itna.ir/archives/images/ddos_4.jpg بررسي Reset(RST) : پاكت‌هايي كه به علامت RST ارسال مي‌گردند باعث مي‌شوند كه ارتباط مورد نظر قطع گردد. در واقع اگر ماشين A به سمت ماشين B پاكتي را با علامت RST ارسال كند درخواست اتصال مورد نظر از Backlog پاك خواهد شد. از اين حمله مي توان براي قطع اتصال دو ماشين استفاده كرد. به اين ترتيب كه اتصالي كه بين دو ماشين A و B برقرار است را نفوذگر با ارسال يك در خواست RST به ماشين B از طرف ماشين A قطع مي‌كند. در واقع در داخل پكتي كه از سوي ماشين نفوذگر به سمت قرباني ارسال مي‌شود IP مشتري گذاشته مي‌شود و در اين صورت ماشين B كه سرويس دهنده مي‌باشد ارتباط مورد نظر ماشين A را از Backlog حذف مي‌كند. در اين روش شخص حمله كننده بوسيله ابزاري مي‌تواند IP جعلي توليد كرده و در واقع درخواست خود را جاي ماشين ديگري ارسال كند. به اين تكنيك Spoofing نيز گفته مي شود . (شكل شماره 5-1( با كمي دقت در شكل شماره 5-1 در مي‌يابيد IP مبدا (SourceIP) كه در پكت ارسالي از سوي ماشين حمله كننده به سمت ماشين B ميرود همان IP ماشين شماره A مي باشد(1.1.1.1( . در صورتيكه IP ماشين شماره C كه نفوذگر از آن استفاده مي‌كند چيز ديگري است . (1.1.1.3( http://www.itna.ir/archives/images/ddos_5.jpg بررسي حمله Land Attack : در اين حمله با استفاده از روش Spoofing در پاكت‌هايي كه به سمت سرويس دهنده ارسال مي‌شود به جاي IP و Port مبداء و مقصد IP و Port خود ماشين سرويس دهنده قرار داده مي‌شود. در واقع IP و PORT ماشين سرويس دهنده به سمت خود سرويس دهنده ارسال مي‌شود. اين عمل باعث مي شود تا در سيستم عامل‌هاي قديمي يك حلقه داخلي Routing به وجود بيايد كه باعث پر شدن حافظه و به وجود آمدن حمله DOS مي شود. اين حمله در ماشين‌هاي Win 95 (winsok 1.0) و Cisco IOS ver 10.x و سيستم‌هاي قديمي باعث از كار افتادن سيستم مي‌شد اما امروزه تمامي سيستم هاي هوشمند مانند IDS ها قادر به شناسايي اين حملات مي باشند و اين حمله تاثير زيادي بر روند كاري سرويس دهنده ندارد. بررسي حمله Smurf Attack : اين حملات با ارسال درخواست‌هاي ICMP به سمت محدوده‌اي از IP هاي amplifier باعث وسعت دادن ترافيك و به وجود آمدن حمله DOS مي شوند. حمله كننده مي‌تواند درخواست‌هاي ICMP خود را به صورت Spoof شده و از طرف ماشين قرباني به IP هاي amplifier ارسال كند با ارسال هر درخواست صدها جواب براي درخواست ICMP به سمت ماشين قرباني سرازير مي شوند و ترافيك آن را بالا مي برند. ( شكل شماره 6 - 1) Amplifier: تمام شبكه‌هايي كه درخواست‌هاي ICMP را براي IP broadcast خود ----- نكرده‌اند يك Amplifier محسوب مي شوند. حمله كننده مي‌تواند در خواست‌هاي خود را مثلا به IP هايي مانند: 192.168.0.xxx كه X مي تواند 255, 223, 191, 159, 127, 95, 63, 31, 15, 7, 3 يعني IP هاي Broadcast باشند ارسال كند . البته قابل ذكر است IP broadcast بستگي به چگونگي بخش‌بندي IP در شبكه دارد. http://www.itna.ir/archives/images/ddos_6.jpg IDS: اين برنامه ها نسل جديد برنامه هاي امنيتي هستند كه قادرند ترافيك يك شبكه را مورد بررسي قرار داده و حملات جديد نفوذگران را شناسايي كرده و جلوي آن را بگيرند خصوصيت اين برنامه ها هوشمند بودن آنها است. اين برنامه ها در لايه هاي پايين شبكه تمامي پكتهاي رد و بدل شده بين ماشين ها را خوانده و مورد بررسي قرار مي‌دهند. معرفي ايزارهاي D.O.S http://img48.exs.cx/img48/7637/disk_media_revolution_lg_wm.gif چند نمونه از برنامه‌هايي كه توسط نفوذگران بر روي ماشين‌هاي Zombie براي حملات DOS مورد استفاده قرار مي‌گيرند به شرح زير مي باشند: Trin00 TFN2K(Tribe Flood Network) Stacheldraht t wintrin00 mstream Evil bot Pulse 2002 (BY Security Storm) تمامي اين برنامه‌ها قادرند به عنوان ابزاري براي به وجود آوردن حملات DOS مورد استفاده قرار گيرند. نفوذگران براي آن كه بتوانند حملات خود را به صورت كامل انجام دهند احتياج به ماشين‌هاي زيادي دارند تا با در اختيار گرفتن پهناي باند ماشين‌هاي آلوده يا همان Zombie ها حملات DOS خود را شكل دهند بيشتر آنها به نفوذ به اين ماشين‌ها بر روي آنها برنامه هايي را نصب مي‌كنند كه قادرند تا در زمان مشخص فرمان‌هاي خود را بر روي آنها اجرا كنند يكي از اين برنامه ها Evil bot است كه نفوذگر مي‌تواند فرمان‌هاي خود را از طريق يك IRC server به صدها ماشين آلوده در يك زمان ارسال كند. Zombie: بيشتر ماشين‌هاي موجود در دانشگاه‌ها و يا مراكز دولتي به علت پهناي باند مناسبي كه دارند و همچنين رعايت نكردن اصول امنيتي كافي هك شده و بعد از نصب ابزار DOS بر روي آنها توسط نفوذگران براي تشكيل حملات DOS مورد استفاده قرار مي‌گيرند، در اصطلاح Zombie به ماشين‌هايي گفته مي‌شود كه توسط نفوذگران هك شده‌اند و نفوذگران قادرند با درخواست‌هاي خود از روي اين ماشين‌ها قرباني خود را مورد حمله قرار دهند. ------------------------------------------- 1- windowsupdate.comيكي از سايت‌هاي مايكروسافت كه امكان دريافت اخرين Patch هاي سيستم عامل‌هاي مختلف ويندوز بوسيله آن امكان پذير است. 2- براي اطلاعات و اخبار بيشتر در مورد عملكرد blaster مي توانيد به پيوندهاي زير مراجعه كنيد : http://www.hat-squad.com/blog/archives/000042.html http://www.hat-squad.com/blog/archives/000041.html http://www.hat-squad.com/blog/archives/000038.html 3- اخبار مربوط به حمله DDOS بر روي سرويس شركت SCO : http://www.computerworld.com/governmenttopics/government/legalissues/story/0,10801,88065,00.html?f=x62 http://www.caida.org/analysis/security/sco-dos 4- براي اطلاعات و اخبار بيشتر در مورد عملكرد ويروس Cycle مي توانيد به پيوند زير مراجعه كنيد: http://www.hat-squad.com/pe/000074.html منبع ITNA موفق و پیروز باشید مهران Sinagood15-11-2004, 10:16 PM:shock: بابا اين يكي ماجرا خيلي جديه راستي آقا مهران پيغام خصوصي رو هم ببين M.e.h.r.a.n_Swe16-11-2004, 02:32 AM:shock: بابا اين يكي ماجرا خيلي جديه راستي آقا مهران پيغام خصوصي رو هم ببين ایمیلتو چک کن سینا موفق باشی مهران 30naa16-11-2004, 04:33 PMممنون مهران جان pcockz8016-11-2004, 05:32 PMبسیار جامع و عالی بود .ممنون 8) M.e.h.r.a.n_Swe16-11-2004, 09:39 PMخواهش دوستان راستش دیدم در بخش اموزش حرفی در موردش زده نشده گفتم اینم باشه من خودم از بخش اموزش انجمن مثل یک فرهنگ لغت استفاده میکنم و هر چقدر این فرهنگ لغت کاملتر باشد بیشتر میتوان ازش استفاده کرد موفق باشید مهران Amir_P3017-11-2004, 03:57 PMمهران جان ممنون و متشكر خيلي خوب بود بازهم از اين كارها بكن tntman31-12-2005, 01:49 PMبا سلام .. دوست عزيز گذاشتن لينك سايت هاي ف ي ل ت ر ش ك ن و ... خلاف قوقنين است .. با تشكر .. Mpsjavad mr_abadani200217-01-2006, 01:40 PMاطلاعات جالبي بود ممنون آقا مهران saeid_azad21-01-2006, 07:17 AMجالب بود مرسي سایت ما را در گوگل محبوب کنید با کلیک روی دکمه ای که در سمت چپ این منو با عنوان +1 قرار داده شده شما به این سایت مهر تأیید میزنید و به دوستانتان در صفحه جستجوی گوگل دیدن این سایت را پیشنهاد میکنید که این امر خود باعث افزایش رتبه سایت در گوگل میشود

این صفحه را در گوگل محبوب کنید

[ارسال شده از: سایت ریسک]

[مشاهده در: www.ri3k.eu]

[تعداد بازديد از اين مطلب: 426]