( DoS ( denial-of-service چیست؟
در يک تهاجم از نوع DoS ، يک مهاجم باعث ممانعت دستيابى کاربران تائيد شده به اطلاعات و يا سرويس هاى خاصى مى نمايد . يک مهاجم با هدف قرار دادن کامپيوتر شما و اتصال شبکه اى آن و يا کامپيوترها و شبکه اى از سايت هائى که شما قصد استفاده از آنان را داريد ، باعث سلب دستيابى شما به سايت هاى Email ، وب سايت ها ، account هاى online و ساير سرويس هاى ارائه شده بر روى کامپيوترهاى سرويس دهنده مى گردد .
متداولترين و مشهودترين نوع حملات DoS ، زمانى محقق مى گردد که يک مهاجم اقدام به ايجاد يک سيلاب اطلاعاتى در يک شبکه نمايد .
زمانى که شما آدرس URL يک وب سايت خاص را از طريق مرورگر خود تايپ مى نمائيد ، درخواست شما براى سرويس دهنده ارسال مى گردد . سرويس دهنده در هر لحظه قادر به پاسخگوئى به حجم محدودى از درخواست ها مى باشد، بنابراين اگر يک مهاجم با ارسال درخواست هاى متعدد و سيلاب گونه باعث افزايش حجم عمليات سرويس دهند گردد ، قطعا" امکان پردازش درخواست شما براى سرويس دهنده وجود نخواهد داشت. حملات فوق از نوع DoS مى باشند، چراکه امکان دستيابى شما به سايـت مورد نظر سلب شده است .
يک مهاجم مى تواند با ارسال پيام هاى الکترونيکى ناخواسته که از آنان با نام Spam ياد مى شود ، حملات مشابهى را متوجه سرويس دهنده پست الکترونيکى نمايد . هر account پست الکترونيکى ( صرفنظر از منبعى که آن را در اختيار شما قرار مى دهد ، نظير سازمان مربوطه و يا سرويس هاى رايگانى نظير ياهو و hotmail ) داراى ظرفيت محدودى مى باشند. پس از تکميل ظرفيت فوق ، عملا" امکان ارسال Email ديگرى به account فوق وجود نخواهد داشت . مهاجمان با ارسال نامه هاى الکترونيکى ناخواسته سعى مى نمايند که ظرفيت account مورد نظر را تکميل و عملا" امکان دريافت email هاى معتبر را از account فوق سلب نمايند .
حملات DOS باید داون شدن سایت معتبر GoDaddy برای 19 ساعت شده است
حملات از نوع ( DDoS (distributed denial-of-service
در يک تهاجم از نوع DDoS ، يک مهاجم ممکن است از کامپيوتر شما براى تهاجم بر عليه کامپيوتر ديگرى استفاده نمايد . مهاجمان با استفاده از نقاط آسيب پذير و يا ضعف امنتيى موجود بر روى سيستم شما مى توانند کنترل کامپيوتر شما را بدست گرفته و در ادامه از آن به منظور انجام عمليات مخرب خود استفاده نمايند. ارسال حجم بسيار بالائى داده از طريق کامپيوتر شما براى يک وب سايت و يا ارسال نامه هاى الکترونيکى ناخواسته براى آدرس هاى Email خاصى ، نمونه هائى از همکارى کامپيوتر شما در بروز يک تهاجم DDOS مى باشد . حملات فوق ، "توزيع شده " مى باشند ، چراکه مهاجم از چندين کامپيوتر به منظور اجراى يک تهاجم DoS استفاده مى نمايد .
نمونه عملی: چگونگی عملكرد ویروس Blaster برای ایجاد یك حمله DOS
1- در طی یك هفته ویروس Blaster انتشار یافت و حدود 50000 هزار ماشین را در سراسر دنیا آلوده ساخت.
2- پس از رسیدن به روزی كه كرم Blaster برای آن تاریخ برنامهریزی شده بود، قرار بر این بود كه ماشینهای آلوده از سراسر دنیا شروع به ارسال پاكتهایی به پورت 80 سایت www.windowsupdate.com كنند كه یكی از سایتهای مایكروسافت میباشد در نتیجه با مشغول شدن سرویس دهندگان سایت برای رسیدگی به درخواستهای ماشینهای آلوده امكان جوابگویی به درخواستهای مشتریان واقعی نبود و همین باعث به وجود آمدن یك حمله DOS میشد.
امروزه نسل جدیدی از حملات DOS به وجود آمدهاند كه DDOS نام گرفتهاند. این حملات نوع گسترش یافته حملات DOS هستند كه از اواخر سال 1999 مورد استفاده قرار گرفتهاند . در سال 2000 حملات DDOS توسط نفوذگران برای از كار انداختن و حمله به سایتهای بزرگی مانند, e-Bay CNN , Amazon مورد استفاده قرار گرفته است.
بررسی حملات D.D.O.S
در چند ماه گذشته در گیرودار دادگاه جنجالی شركت SCO سایت این شركت توسط طرفداران سیستم عاملهای لینوكس و كدباز مورد حمله DDOS قرار گرفت و برای چند روز از كار افتاد، این حمله یكی از بیسابقهترین و سختترین حملات DDOS در چند سال اخیر محسوب میشود.
نمودار زیر میزان Hit های وارد شده به سایت Sco را در ثانیه نشان می دهد .
منظور از Hit درخواست هایی می باشند كه از سرویس دهنده تقاضا می شوند.
همانطور كه در شكل مشاهده میكنید این حملات از تاریخ چهارشنبه 10 دسامبر و در ساعت 3:20 شروع شده كه تعداد پاكتهای ارسالی 34000 پاكت در ثانیه بوده است. در روز پنجشنبه 11 دسامبر و در ساعت 2:50 صبح حمله كنندگان دست به حمله دیگری زدند این بار با هزاران ماشین از سراسر دنیا سرویس Ftp و WEB شركت Sco را با آدرس های www.Sco.com و Ftp.Sco.com مورد حمله SYN Flood قرار دادند.
تعداد درخواستها برای حمله در این روز به حداكثر خود یعنی 50000 درخواست در ثانیه رسید و بالاخره در ساعت 10:45 روز پنجشنبه شركت Sco مجبور به حذف ماشین سرویس دهنده وب خود شد تا با این كار از ورود درخواستهای حمله كنندگان برای اتصال به این ماشین جلوگیری كند.
این روزها نسل جدیدی از ویروس ها كه پس از Blaster به وجود می آیند از تكنیك DOS برای حمله به اهداف خود استفاده میكنند . این كرم های اینترنتی پس از آلوده كردن تعداد زیادی ماشین در سراسر دنیا در تاریخی خاص شروع به ارسال پكت به سوی اهداف از قبل تعیین شده میكنند و حمله ای را به صورت DOS به وجود می آورند مانند انواع ویروس MY. doom . این حملات به علت گستردگی ارسال درخواستها ترافیك زیادی را بر روی اینترنت ایجاد میكنند و شركت های مورد حمله قرار گرفته كار زیادی در جهت مقابله با آن نمیتوانند انجام دهند.
در مورد دیگر می توان به ویروسCycle اشاره كرد كه یك ویروس ایرانی بود و در اهداف خود را به همین وسیله مورد حمله قرار می داد.
با بررسی این حملات میتوان نتیجه گرفت با این كه در روش DDOS از تكنیكهای ساده و قدیمی استفاده میشود اما میتوان با ترتیب دادن حملات گسترش یافته شركتهای بزرگی مانند Microsoft و Sco را نیز دچار مشكل كرد تا جایی كه تنها چارهای كه برای مسئولین امنیتی این شركتها باقی می ماند قطع ارتباط ماشینهایی است كه مورد حمله قرار گرفتهاند.
نحوه پيشگيرى از حملات
متاسفانه روش موثرى به منظور پيشگيرى در مقابل يک تهاجم DoS و يا DDoS وجود ندارد . عليرغم موضوع فوق ، مى توان با رعايت برخى نکات و انجام عمليات پيشگيرى ، احتمال بروز چنين حملاتى ( استفاده از کامپيوتر شما براى تهاجم بر عليه ساير کامپيوتر ها ) را کاهش داد .
نصب و نگهدارى نرم افزار آنتى ويروس ( جايگاه نرم افزارهاى ضدويروس ) .
نصب و پيکربندى يک فايروال ( فايروال چيست ؟ )
تبعيت از مجموعه سياست هاى خاصى در خصوص توزيع و ارائه آدرس Email ( توصيه هائى براى کاهش Spam ) .
چگونه از وقوع حملات DoS و يا DDoS آگاه شويم ؟
خرابى و يا بروز اشکال در يک سرويس شبکه ، همواره بدليل بروز يک تهاجم DoS نمى باشد . در اين رابطه ممکن است دلايل متعددى فنى وجود داشته و يا مدير شبکه به منظور انجام عمليات نگهدارى موقتا" برخى سرويس ها را غير فعال کرده باشد . وجود و يا مشاهده علائم زير مى تواند نشاندهنده بروز يک تهاجم از نوع DoS و يا DDoS باشد :
کاهش سرعت و يا کارآئى شبکه بطرز غير معمول ( در زمان باز نمودن فايل ها و يا دستيابى به وب سايت ها ) .
عدم در دسترس بودن يک سايـت خاص (بدون وجود دلايل فنى )
عدم امکان دستيابى به هر سايتى (بدون وجود دلايل فنى )
افزايش محسوس حجم نامه هاى الکترونيکى ناخواسته دريافتى
در صورت بروز يک تهاجم ، چه عملياتى را مى بايست انجام داد ؟
حتى در صورتى که شما قادر به شناسائى حملات از نوع DoS و يا DDoS باشيد ، امکان شناسائى مقصد و يا منبع واقعى تهاجم ، وجود نخواهد داشت . در اين رابطه لازم است با کارشناسان فنى ماهر ، تماس گرفته تا آنان موضوع را بررسى و براى آن راهکار مناسب را ارائه نمايند .
در صورتى که براى شما مسلم شده است که نمى توانيد به برخى از فايل ها ى خود و يا هر وب سايتى خارج از شبکه خود دستيابى داشته باشيد ، بلافاصله با مديران شبکه تماس گرفته و موضوع را به اطلاع آنان برسانيد . وضعيت فوق مى تواند نشاندهنده بروز يک تهاجم بر عليه کامپيوتر و يا سازمان شما باشد .
در صورتى که وضعيت مشابه آنچه اشاره گرديد را در خصوص کامپيوترهاى موجود در منازل مشاهده مى نمائيد با مرکز ارائه دهنده خدمات اينترنت ( ISP ) تماس گرفته و موضوع را به اطلاع آنان برسانيد . ISP مورد نظر مى تواند توصيه هاى لازم به منظور انجام عمليات مناسب را در اختيار شما قرار دهد .
معرفی ایزارهای D.O.S
چند نمونه از برنامههایی كه توسط نفوذگران بر روی ماشینهای Zombie برای حملات DOS مورد استفاده قرار میگیرند به شرح زیر می باشند:
Trin00
TFN2K(Tribe Flood Network)
Stacheldraht
t wintrin00
mstream
Evil bot
Pulse 2002 (BY Security Storm)
تمامی این برنامهها قادرند به عنوان ابزاری برای به وجود آوردن حملات DOS مورد استفاده قرار گیرند.
نفوذگران برای آن كه بتوانند حملات خود را به صورت كامل انجام دهند احتیاج به ماشینهای زیادی دارند تا با در اختیار گرفتن پهنای باند ماشینهای آلوده یا همان Zombie ها حملات DOS خود را شكل دهند بیشتر آنها به نفوذ به این ماشینها بر روی آنها برنامه هایی را نصب میكنند كه قادرند تا در زمان مشخص فرمانهای خود را بر روی آنها اجرا كنند یكی از این برنامه ها Evil bot است كه نفوذگر میتواند فرمانهای خود را از طریق یك IRC server به صدها ماشین آلوده در یك زمان ارسال كند.
Zombie: بیشتر ماشینهای موجود در دانشگاهها و یا مراكز دولتی به علت پهنای باند مناسبی كه دارند و همچنین رعایت نكردن اصول امنیتی كافی هك شده و بعد از نصب ابزار DOS بر روی آنها توسط نفوذگران برای تشكیل حملات DOS مورد استفاده قرار میگیرند، در اصطلاح Zombie به ماشینهایی گفته میشود كه توسط نفوذگران هك شدهاند و نفوذگران قادرند با درخواستهای خود از روی این ماشینها قربانی خود را مورد حمله قرار دهند.
در يک تهاجم از نوع DoS ، يک مهاجم باعث ممانعت دستيابى کاربران تائيد شده به اطلاعات و يا سرويس هاى خاصى مى نمايد . يک مهاجم با هدف قرار دادن کامپيوتر شما و اتصال شبکه اى آن و يا کامپيوترها و شبکه اى از سايت هائى که شما قصد استفاده از آنان را داريد ، باعث سلب دستيابى شما به سايت هاى Email ، وب سايت ها ، account هاى online و ساير سرويس هاى ارائه شده بر روى کامپيوترهاى سرويس دهنده مى گردد .
متداولترين و مشهودترين نوع حملات DoS ، زمانى محقق مى گردد که يک مهاجم اقدام به ايجاد يک سيلاب اطلاعاتى در يک شبکه نمايد .
زمانى که شما آدرس URL يک وب سايت خاص را از طريق مرورگر خود تايپ مى نمائيد ، درخواست شما براى سرويس دهنده ارسال مى گردد . سرويس دهنده در هر لحظه قادر به پاسخگوئى به حجم محدودى از درخواست ها مى باشد، بنابراين اگر يک مهاجم با ارسال درخواست هاى متعدد و سيلاب گونه باعث افزايش حجم عمليات سرويس دهند گردد ، قطعا" امکان پردازش درخواست شما براى سرويس دهنده وجود نخواهد داشت. حملات فوق از نوع DoS مى باشند، چراکه امکان دستيابى شما به سايـت مورد نظر سلب شده است .
يک مهاجم مى تواند با ارسال پيام هاى الکترونيکى ناخواسته که از آنان با نام Spam ياد مى شود ، حملات مشابهى را متوجه سرويس دهنده پست الکترونيکى نمايد . هر account پست الکترونيکى ( صرفنظر از منبعى که آن را در اختيار شما قرار مى دهد ، نظير سازمان مربوطه و يا سرويس هاى رايگانى نظير ياهو و hotmail ) داراى ظرفيت محدودى مى باشند. پس از تکميل ظرفيت فوق ، عملا" امکان ارسال Email ديگرى به account فوق وجود نخواهد داشت . مهاجمان با ارسال نامه هاى الکترونيکى ناخواسته سعى مى نمايند که ظرفيت account مورد نظر را تکميل و عملا" امکان دريافت email هاى معتبر را از account فوق سلب نمايند .
حملات DOS باید داون شدن سایت معتبر GoDaddy برای 19 ساعت شده است
حملات از نوع ( DDoS (distributed denial-of-service
در يک تهاجم از نوع DDoS ، يک مهاجم ممکن است از کامپيوتر شما براى تهاجم بر عليه کامپيوتر ديگرى استفاده نمايد . مهاجمان با استفاده از نقاط آسيب پذير و يا ضعف امنتيى موجود بر روى سيستم شما مى توانند کنترل کامپيوتر شما را بدست گرفته و در ادامه از آن به منظور انجام عمليات مخرب خود استفاده نمايند. ارسال حجم بسيار بالائى داده از طريق کامپيوتر شما براى يک وب سايت و يا ارسال نامه هاى الکترونيکى ناخواسته براى آدرس هاى Email خاصى ، نمونه هائى از همکارى کامپيوتر شما در بروز يک تهاجم DDOS مى باشد . حملات فوق ، "توزيع شده " مى باشند ، چراکه مهاجم از چندين کامپيوتر به منظور اجراى يک تهاجم DoS استفاده مى نمايد .
نمونه عملی: چگونگی عملكرد ویروس Blaster برای ایجاد یك حمله DOS
1- در طی یك هفته ویروس Blaster انتشار یافت و حدود 50000 هزار ماشین را در سراسر دنیا آلوده ساخت.
2- پس از رسیدن به روزی كه كرم Blaster برای آن تاریخ برنامهریزی شده بود، قرار بر این بود كه ماشینهای آلوده از سراسر دنیا شروع به ارسال پاكتهایی به پورت 80 سایت www.windowsupdate.com كنند كه یكی از سایتهای مایكروسافت میباشد در نتیجه با مشغول شدن سرویس دهندگان سایت برای رسیدگی به درخواستهای ماشینهای آلوده امكان جوابگویی به درخواستهای مشتریان واقعی نبود و همین باعث به وجود آمدن یك حمله DOS میشد.
امروزه نسل جدیدی از حملات DOS به وجود آمدهاند كه DDOS نام گرفتهاند. این حملات نوع گسترش یافته حملات DOS هستند كه از اواخر سال 1999 مورد استفاده قرار گرفتهاند . در سال 2000 حملات DDOS توسط نفوذگران برای از كار انداختن و حمله به سایتهای بزرگی مانند, e-Bay CNN , Amazon مورد استفاده قرار گرفته است.
بررسی حملات D.D.O.S
در چند ماه گذشته در گیرودار دادگاه جنجالی شركت SCO سایت این شركت توسط طرفداران سیستم عاملهای لینوكس و كدباز مورد حمله DDOS قرار گرفت و برای چند روز از كار افتاد، این حمله یكی از بیسابقهترین و سختترین حملات DDOS در چند سال اخیر محسوب میشود.
نمودار زیر میزان Hit های وارد شده به سایت Sco را در ثانیه نشان می دهد .
منظور از Hit درخواست هایی می باشند كه از سرویس دهنده تقاضا می شوند.
همانطور كه در شكل مشاهده میكنید این حملات از تاریخ چهارشنبه 10 دسامبر و در ساعت 3:20 شروع شده كه تعداد پاكتهای ارسالی 34000 پاكت در ثانیه بوده است. در روز پنجشنبه 11 دسامبر و در ساعت 2:50 صبح حمله كنندگان دست به حمله دیگری زدند این بار با هزاران ماشین از سراسر دنیا سرویس Ftp و WEB شركت Sco را با آدرس های www.Sco.com و Ftp.Sco.com مورد حمله SYN Flood قرار دادند.
تعداد درخواستها برای حمله در این روز به حداكثر خود یعنی 50000 درخواست در ثانیه رسید و بالاخره در ساعت 10:45 روز پنجشنبه شركت Sco مجبور به حذف ماشین سرویس دهنده وب خود شد تا با این كار از ورود درخواستهای حمله كنندگان برای اتصال به این ماشین جلوگیری كند.
این روزها نسل جدیدی از ویروس ها كه پس از Blaster به وجود می آیند از تكنیك DOS برای حمله به اهداف خود استفاده میكنند . این كرم های اینترنتی پس از آلوده كردن تعداد زیادی ماشین در سراسر دنیا در تاریخی خاص شروع به ارسال پكت به سوی اهداف از قبل تعیین شده میكنند و حمله ای را به صورت DOS به وجود می آورند مانند انواع ویروس MY. doom . این حملات به علت گستردگی ارسال درخواستها ترافیك زیادی را بر روی اینترنت ایجاد میكنند و شركت های مورد حمله قرار گرفته كار زیادی در جهت مقابله با آن نمیتوانند انجام دهند.
در مورد دیگر می توان به ویروسCycle اشاره كرد كه یك ویروس ایرانی بود و در اهداف خود را به همین وسیله مورد حمله قرار می داد.
با بررسی این حملات میتوان نتیجه گرفت با این كه در روش DDOS از تكنیكهای ساده و قدیمی استفاده میشود اما میتوان با ترتیب دادن حملات گسترش یافته شركتهای بزرگی مانند Microsoft و Sco را نیز دچار مشكل كرد تا جایی كه تنها چارهای كه برای مسئولین امنیتی این شركتها باقی می ماند قطع ارتباط ماشینهایی است كه مورد حمله قرار گرفتهاند.
نحوه پيشگيرى از حملات
متاسفانه روش موثرى به منظور پيشگيرى در مقابل يک تهاجم DoS و يا DDoS وجود ندارد . عليرغم موضوع فوق ، مى توان با رعايت برخى نکات و انجام عمليات پيشگيرى ، احتمال بروز چنين حملاتى ( استفاده از کامپيوتر شما براى تهاجم بر عليه ساير کامپيوتر ها ) را کاهش داد .
نصب و نگهدارى نرم افزار آنتى ويروس ( جايگاه نرم افزارهاى ضدويروس ) .
نصب و پيکربندى يک فايروال ( فايروال چيست ؟ )
تبعيت از مجموعه سياست هاى خاصى در خصوص توزيع و ارائه آدرس Email ( توصيه هائى براى کاهش Spam ) .
چگونه از وقوع حملات DoS و يا DDoS آگاه شويم ؟
خرابى و يا بروز اشکال در يک سرويس شبکه ، همواره بدليل بروز يک تهاجم DoS نمى باشد . در اين رابطه ممکن است دلايل متعددى فنى وجود داشته و يا مدير شبکه به منظور انجام عمليات نگهدارى موقتا" برخى سرويس ها را غير فعال کرده باشد . وجود و يا مشاهده علائم زير مى تواند نشاندهنده بروز يک تهاجم از نوع DoS و يا DDoS باشد :
کاهش سرعت و يا کارآئى شبکه بطرز غير معمول ( در زمان باز نمودن فايل ها و يا دستيابى به وب سايت ها ) .
عدم در دسترس بودن يک سايـت خاص (بدون وجود دلايل فنى )
عدم امکان دستيابى به هر سايتى (بدون وجود دلايل فنى )
افزايش محسوس حجم نامه هاى الکترونيکى ناخواسته دريافتى
در صورت بروز يک تهاجم ، چه عملياتى را مى بايست انجام داد ؟
حتى در صورتى که شما قادر به شناسائى حملات از نوع DoS و يا DDoS باشيد ، امکان شناسائى مقصد و يا منبع واقعى تهاجم ، وجود نخواهد داشت . در اين رابطه لازم است با کارشناسان فنى ماهر ، تماس گرفته تا آنان موضوع را بررسى و براى آن راهکار مناسب را ارائه نمايند .
در صورتى که براى شما مسلم شده است که نمى توانيد به برخى از فايل ها ى خود و يا هر وب سايتى خارج از شبکه خود دستيابى داشته باشيد ، بلافاصله با مديران شبکه تماس گرفته و موضوع را به اطلاع آنان برسانيد . وضعيت فوق مى تواند نشاندهنده بروز يک تهاجم بر عليه کامپيوتر و يا سازمان شما باشد .
در صورتى که وضعيت مشابه آنچه اشاره گرديد را در خصوص کامپيوترهاى موجود در منازل مشاهده مى نمائيد با مرکز ارائه دهنده خدمات اينترنت ( ISP ) تماس گرفته و موضوع را به اطلاع آنان برسانيد . ISP مورد نظر مى تواند توصيه هاى لازم به منظور انجام عمليات مناسب را در اختيار شما قرار دهد .
معرفی ایزارهای D.O.S
چند نمونه از برنامههایی كه توسط نفوذگران بر روی ماشینهای Zombie برای حملات DOS مورد استفاده قرار میگیرند به شرح زیر می باشند:
Trin00
TFN2K(Tribe Flood Network)
Stacheldraht
t wintrin00
mstream
Evil bot
Pulse 2002 (BY Security Storm)
تمامی این برنامهها قادرند به عنوان ابزاری برای به وجود آوردن حملات DOS مورد استفاده قرار گیرند.
نفوذگران برای آن كه بتوانند حملات خود را به صورت كامل انجام دهند احتیاج به ماشینهای زیادی دارند تا با در اختیار گرفتن پهنای باند ماشینهای آلوده یا همان Zombie ها حملات DOS خود را شكل دهند بیشتر آنها به نفوذ به این ماشینها بر روی آنها برنامه هایی را نصب میكنند كه قادرند تا در زمان مشخص فرمانهای خود را بر روی آنها اجرا كنند یكی از این برنامه ها Evil bot است كه نفوذگر میتواند فرمانهای خود را از طریق یك IRC server به صدها ماشین آلوده در یك زمان ارسال كند.
Zombie: بیشتر ماشینهای موجود در دانشگاهها و یا مراكز دولتی به علت پهنای باند مناسبی كه دارند و همچنین رعایت نكردن اصول امنیتی كافی هك شده و بعد از نصب ابزار DOS بر روی آنها توسط نفوذگران برای تشكیل حملات DOS مورد استفاده قرار میگیرند، در اصطلاح Zombie به ماشینهایی گفته میشود كه توسط نفوذگران هك شدهاند و نفوذگران قادرند با درخواستهای خود از روی این ماشینها قربانی خود را مورد حمله قرار دهند.