سیستمهای دفاعی در برابر حملات اینترنتی
نوشته شده توسط:اشکان کریوند در مهندسی کامپیوتر » سیستمهای دفاعی | ۱۹ آبان ۱۳۹۳ - ۲۲:۰۰ | ۱ دیدگاهسرویسدهندگان اینترنت و صاحبان سایتها همواره یک نگرانی دائمی در مورد نقاط ضعف و روزنههای نفوذ به سیستمها دارند. این نفوذها با استفاده از ضعف سیستمها صورت میپذیرد و برای دفاع در برابر آنها لازم است اطلاعات جامعی پیرامون آنها در دسترس باشد. این مقاله نگاهی اجمالی بر انواع مختلف حملات اینترنتی و راهکارهای جلوگیری از آنها دارد.
جلوگیری از سرویسدهی سرورها: از جمله حملاتی که وب سرورهـــــا بسیار زیاد گرفتـــــار آنها میشونـــــد، جلوگیری از سرویسدهی (Denial ofService) است. این نوع حملات بسیار رایج بوده، زیرا کاربران غیر حرفهای نیز میتوانند آنهـــــا را ایجاد کنند. به عنوان مثال بسیاری از سرورها در بانکهای الکترونیکی یا سرویسدهندگان پستالکترونیکی ممکن است به این مشکل گرفتار شوند. در این نـــــوع از حملات اینترنتی، درخواستهایی جعلـــــی از یک یا چند منبع متفـــــاوت به سرور ارســـــال میشود و بـــــا حجم زیـــــاد درخواستهـــــای تقلبـــــی، سرور از پاسخدهـــــی به درخواستهای واقعی عاجز میماند. این روش اغلب توسط هکرهــای غیرحرفهای مورد استفاده قرار میگیرد که برنامههایی را بهصورت ویروس، کرمهای اینترنتی یا اسبهای تروا مینویسند تا وب سرورها را از حالت سرویسدهی خارج کنند. حملات DOS عمدتـــــا زیرساخت پروتکل TCP/IP را هدف قرار میدهند و در سه نوع زیر طبقه بندی میشوند: 1- حملاتـــــی که از نواقص پیـــــاده سازی پشته TCP/IP استفاده میکنند. 2- حملاتی که از نواقص خود پروتکل TCP/IP استفاده میکننــد. 3- حملاتی که از روش سعی و خطا استفاده میکنند.
از جمله حملات نوع اول میتوان به Ping of Death و Teardrop اشاره کرد. در روش Ping of Death، شخص مهاجم بستههای IP را بـــــا حجمهـــــای غیراستانـــــدارد (خیلی بزرگ) روی شبکه میفرستـــــد تا سرور از کـــــار بیفتد و بتوانـــــد از پشته آسیب پذیر TCP/IP و یا سیستم عامل استفاده کند. اما در روش حمله Teardrop، سرور به وسیله بستههـــــای IP که فیلدهای offset آنها همپوشانی دارند، بمباران میشود. سرور یا روتر نمیتواند این بستهها را دور بیندازد و لذا شروع به بازسازی آنها میکند که همپوشانی فیلدها باعث بروز مشکل خواهد شد. راهکار جلوگیری از این نوع حملات، استفاده از دیوار آتش است که جلوی بستههای IP غیرمتعارف را میگیرد و مانع بروز اشکال در سیستم میشود. رایجترین حملات نوع دوم، تهاجم موسوم به SYN است. وقتی که کامپیوتـــــری قصد برقراری ارتباط بـــــا یک کامپیوتر راهدور را دارد، ایـــــن عمل با فرآیندی موسوم بـــــه دستدهی سهمرحلهای (3Way Hand Shake) صورت میپذیـــــرد. بدینگونـــــه که ابتدا کامپیوتر مبدا یک بسته SYN به کامپیوتر مقصد میفرستد و کامپیوتر مقصد بـــــا دریافت بسته، یک تائیدیه ACK به مبدا میفرستد و بدین ترتیب کامپیوتر مبدا میتواند ارتباط مورد نیاز را با کامپیوتر مقصد برقرار سازد. به طور واضح مشخص است کـــــه اگر کامپیوتـــــر راه دور گرفتار ازدحام بستههای SYN شود، بایـــد برای هر SYN یک بسته تایید بفرستد و بدین ترتیب پهنای بانـــــد آن تلف خواهد شــد. حال اگر کامپیوتـــــر حقیقی تقاضـــــای ایجاد ارتباط کند، بــه علت اشغالشدن پهنـــــای بانـــــد، سرور امکـــــان سرویسدهـــــی به سایر کامپیوترها را نخواهد داشت. اگر چه پهنای بانــدی که در این روش اشغال میشود، اغلب محدود است ولی اگر حملات در حجم بالا صـــــورت پذیرد، مشکلات جدی را برای سرور فراهم میکند. با استفاده از دیوار آتش جلوی ایـــــن حملات را نیز میتوان گرفت. در حملات نوع سوم شخص مهاجم با ارسال تعداد زیادی بستههای ICMP (پروتکل کنترل پیام) روتر را مملو از این بستهها میکند و از آنجائیکه تقریبا همه وب سرورها به این نوع بستهها پاسخ میدهند، پهنای باند به طور کلی از بین میرود و کاربران واقعی از ادامه کار عاجز میمانند و ترافیک بسیار زیادی برای همه گرههای شبکه ایجاد میشود. امکان این نـــــوع حملات را نیز میتوان بـــــا استفاده از دیوار آتش از بین برد. اما حملات اینترنتی برای ممــانعت از سرویس دهی سرورها محدود به موارد فوق نیست و تهاجماتی به صورتهای زیر نیز وجود دارد.
ازدحام بستههای UDPدر این روش شخص مهاجم بستههای بلااستفادهای از یک پـــــورت UDP به پورت دیگر UDP روی کامپیوتـــــر مقصد منتقل میکند و از آنجائیکه پروتکل UDP وابسته به ارتباط نیست (Connection Less)، ازدحـــــام بستـــــههـای UDP، مشکلساز میشود.
بمباران سرور به وسیله نامههای الکترونیکی ایـــــن روش اغلب بـــــه وسیله کاربـــران غیرحرفهای استفاده میشود و در آن شخص مهاجم هزاران نامه الکترونیکی را بـــــه یک آدرس خـــــاص میفرستـــــد و باعث سرریز نامهها میشود. در این روش وقتی تعداد نامههای الکترونیکی از حدمجاز سرورهای SMTP تجاوز کند، باعث از کار افتادن سرور شده و سایـــــر کاربـــــران ISP از ادامـــــه کار عاجـــــز میشوند. این نوع حملات به آسانی قابل ردیابی هستند و با یافتـــــن IP مبدا نامههـــــای الکترونیکـــــی، میتوان بـــه سایر اطلاعات موردنیاز دست یافت و جلوی حملات را گرفت.
بـــــاز شدن صفحـــــات اینترنتـــی بــــــــه صـــــــورت پشت سر هم این نوع از حملات نیز به وسیله کاربران غیرحرفهای صورت میپذیـــــرد. در این روش مهاجمـــــان با برنامههـــــای کوچک بهصورت تکـــــراری بعضی از صفحات اینترنتی را مرتبا و پشت سر هم فراخوانی میکنند. این عمل نیز باعث اشغال بسیار زیاد پهنای باند سرورها میشود و کاربران دیگر را از ادامه کار باز میدارد. جهت رفع این مشکل بایـــــد مدیران شبکه بـــــه هر کاربر فقط امکان برقراری یک ارتباط را بدهند تا چنین مشکلاتی ایجاد نشود.
جلوگیری از سرویس دهی سرورهای غیرمتمرکز این نوع از حملات از جمله رایجترین حملات اینترنتـــی است که در آن هزاران یا دهها هزار کامپیوتر آسیب خواهــــــد دید. اغلب این حملات بدین صورت است که فایلی در کامپیوترهای آسیب دیده مینشیند و منتظر دستور فرد مهاجم میماند، وقتی که شخص مهاجم دستور ازدحام بستههای کنترل پیامهـــــا را میدهـــــد، بـــــه سرعت بستههــای ICMP روی کامپیوترهـــــای مختلف پخششده و بـــــاعث از کارافتادن کامپیوترهای راه دور میشوند. امروزه امکانات و برنامههای زیادی برای این نوع حملات وجود دارد؛ بهگونهای که ارتشی از فایلهای جستوجوگر، سرویسها و پورتهای سرور را جستوجـــــو میکنند تا نقاط ضعف آنها را پیدا کنند و به صورت گروهی حملاتی را بـــــه سرورهای مختلف انجام دهنـــــد. حل ایـــــن مشکل به وسیله ایمـــــن سازی تک تک کامپیوترهـــــا ممکن نیست زیرا فیلترکردن و یا دنبال کـــــردن ترافیک حملات به علت شباهت آنها با ترافیک واقعی شبکه، بسیـــــار دشوار است. از آنجائیکه همواره تعداد بسیار زیادی از کامپیوترهـــــای نـــــاامن روی اینتـــــرنت وجود دارد، ایــن کامپیوترها محل بسیار مناسبی برای ایجاد حملات جدید هستند. از آنجائیکه حمله به سیستمهای غیرمتمرکز منجر به بروز مشکلات بسیار جدی میشــود، لذا برای جلوگیری از آنها باید اصول خاصی در نظر گرفته شود:
1- استفاده از راهکارهای غیرمتمرکز برای سیستمهای غیرمتمرکز. 2- اجتناب از راهکارهای مضر برای کاربران قانونی. 3- ایمن سازی سیستم در مقابل تهدیدات داخلی و خارجی 4- طراحـــی سیستمهای عملی برای هماهنگی با مشکلات واقعی. 5- ارائه راهحلهـــــای قابل اجـــــرا در محیطهـــــای کوچک و تعمیم آنها به کل سیستمها. راهحلهایـــــی که برای حملات غیرمتمرکـــــز ارائه میشود، اغلب بـــــهصورت محدودکردن سرویسهـــــا و یا قطع آنها هستند که مشکلاتی جدی برای فعایتهای قانونی ایجاد میکنند. اما در اصل باید برای جلوگیری از این حملات، گرههایی را که دچار مشکل شدهاند، شناسایی و آنها را ایزوله کرد و یا از شبکه بیرون انـــــداخت و ایـــــن عملیات بایـــــد به ترتیبی صورت پذیرد که بهترین نتیجه حاصل شود. DefCOM یکـــــی از سیستمهـــــای دفاعـــــی در بــرابر این حملات است که از چندین گره امنیتی غیرمتجانس تشکیل شده است. این گـــــرهها ترافیک شبکه را بـــــررسی کرده و سپس نرخ منـــــاسب ترافیک در شبکه را بـرای جلوگیری از ترافیک تقلبی مشخص میکنند. درصورت حمله، کامپیوتر قربانی پیام خطـــــر میدهد و کامپیوتر امنیتی آن را به همه کامپیوترهای امنیتـــــی دیگر میفرستـــــد تا همـــه در حالت تدافعـــــی قرار گیرنـــــد. از این به بعد کامپیوترهای امنیتی پیامهای بیـــــن خـــــود را بـا برچسب خاصی میفرستند تا ارتباطی امن بین خودشان برقرار شود; بدین ترتیب ریشه حمله را پیدا میکننـــــد. در این ارتباط، دادههای شبکه با 3 نوع برچسب متفاوت ارسال و دریافت میشوند:
1- ترافیک بدون برچسب که ترکیبی از دادههای خوب و بد است. 2- ترافیک کنترل شده که با نرخ پایین مبادله میشود. 3- ترافیک قانونـــــی کـه ترافیک مجاز شبکه است. بررسی روشهـــــای مختلف حملات اینترنتـی و راهکارهای مقابله با آنهـــــا نشان میدهد کـــــه امکان برطرف کردن کامل آنها وجود ندارد و آنچه کـــــه مدیران شبکهها قادر به انجام آنها هستنـــــد، بررســـــی چگونگـــــی حملات اینترنتـــــی است تا تدابیری را جهت جلوگیری از تکرار آنها بیندیشند.
نظرات
ارسال نظر
manicure
What's Taking place i am new to this, I stumbled upon this I've discovered It absolutely helpful and it has aided
me out loads. I am hoping to give a contribution & help other users
like its helped me. Great job.