تکنولوژی حملات DoS اولیه شامل ابزار ساده ای بود که بسته ها را تولید و از «یک منبع به یک مقصد» ارسال می کرد. با گذشت زمان، ابزارها تا حد اجرای حملات از «یک منبع به چندین هدف»، «از چندین منبع به هدف های تنها» و «چندین منبع به چندین هدف»، پیشرفت کرده اند.
امروزه بیشترین حملات گزارش شده به CERT/CC مبنی بر ارسال تعداد بسیار زیادی بسته به یک مقصد است که باعث ایجاد نقاط انتهایی بسیار زیاد و مصرف پهنای باند شبکه می شود. از چنین حملاتی معمولاً به عنوان حملات طغیان بسته (Packet flooding ) یاد می شود. اما در مورد «حمله به چندین هدف» گزارش کمتری دریافت شده است.
2- بررسی پاکتهای TCP و چگونگی برقراری ارتباط تحت پروتکل TCP/IP
برای بررسی دقیقتر و بیان نحوه عملکرد حملات D.O.S احتیاج به بررسی پاکتهای TCP و چگونگی برقراری ارتباط تحت پروتکل TCP/IP است که در این مقاله به بررسی اجمالی از آن می پردازیم .
2-1- بررسی اجزای داخل یک پکت TCP
اجزای داخلی یک پکت TCP شامل اطلاعاتی در مورد درگاه مبدا درگاه مقصد شماره رشته داده ها و... میباشد که باعث میشود اطلاعات در مسیر اینترنت جا به جا شوند.
شکل (2): فرمت بستهTCP
2-2- بررسی عملکرد پروتکل TCP
در این شکل سرویس دهنده(Server ) با اسم TCP B و مشتری(Client ) با اسمTCP A نشان داده شده است.
شکل (3): دیاگرام اتصال در TCP
1. مشتری پکت TCP را با علامت SYN برای سرویس دهنده ارسال می نماید . این پکت باعث می شود سرویس دهنده متوجه گردد که مشتری درخواست ارسال اطلاعات را دارد. در این هنگام مشتری منتظر جواب از سوی سرویس دهنده باقی میماند تا در صورت برگشت جواب اطلاعات را ارسال کند .
2. سرویس دهنده پس از دریافت در خواست مشتری یک پکت را با علامت SYN/ACK در پاسخ برای مشتری ارسال مینماید. این پکت نشان دهنده اجازه برقراری ارتباط و ارسال اطلاعات میباشد.
3. مشتری پس از دریافت پکت از سوی سرویس دهنده یک ACK برای سرویس دهنده ارسال میکند .
4. سپس مشتری اقدام به ارسال اطلاعات میکند.
3- بررسی انواع روشهای DOS
3-1- بررسی حمله SYN flood
این حمله با ارسال درخواستهای متعدد با علامت SYN به ماشین قربانی باعث پر شدن سف Backlog میشود. اما Backlog چیست؟ تمامی درخواستهایی که به ماشین وارد میشوند و شامل علامت SYN برای برقراری ارتباط میباشند در قسمتی از حافظه به ترتیب ذخیره میشوند تا پس از بررسی جواب آنها داده شده و ارتباط برقرار شود، این قسمت از حافظه Backlog Queue نام دارد. وقتی که این قسمت به علت درخواستهای زیاد پر شود، سرویس دهنده مجبور به رها کردن درخواستهای جدید میشود و در نتیجه از رسیدگی به این درخواستها باز می ماند .
شکل (4): حمله SYN Flood Attack
3-2- بررسی Reset RST) )
پاکتهایی که به علامت RST ارسال میگردند باعث میشوند که ارتباط مورد نظر قطع گردد. در واقع اگر ماشین A به سمت ماشین B پاکتی را با علامت RST ارسال کند درخواست اتصال مورد نظر از Backlog پاک خواهد شد.
از این حمله می توان برای قطع اتصال دو ماشین استفاده کرد. به این ترتیب که اتصالی که بین دو ماشین A و B برقرار است را نفوذگر با ارسال یک در خواست RST به ماشین B از طرف ماشین A قطع میکند. در واقع در داخل پکتی که از سوی ماشین نفوذگر به سمت قربانی ارسال میشود IP مشتری گذاشته میشود و در این صورت ماشین B که سرویس دهنده میباشد ارتباط مورد نظر ماشین A را از Backlog حذف میکند.
در این روش شخص حمله کننده بوسیله ابزاری میتواند IP جعلی تولید کرده و در واقع درخواست خود را جای ماشین دیگری ارسال کند. به این تکنیک Spoofing نیز گفته می شود .
با کمی دقت در شکل شماره 5-1 در مییابید IP مبدا (SourceIP ) که در پکت ارسالی از سوی ماشین حمله کننده به سمت ماشین B میرود همان IP ماشین شماره A می باشد(1.1.1.1( . در صورتیکه IP ماشین شماره C که نفوذگر از آن استفاده میکند چیز دیگری است . (1.1.1.3(
شکل (5): حمله RST Attack
3-3- بررسی حمله Land Attack
در این حمله با استفاده از روش Spoofing در پاکتهایی که به سمت سرویس دهنده ارسال میشود به جای IP و Port مبداء و مقصد IP و Port خود ماشین سرویس دهنده قرار داده میشود.در واقع IP و PORT ماشین سرویس دهنده به سمت خود سرویس دهنده ارسال میشود. این عمل باعث می شود تا در سیستم عاملهای قدیمی یک حلقه داخلی Routing به وجود بیاید که باعث پر شدن حافظه و به وجود آمدن حمله DOS می شود.این حمله در ماشینهای Win 95 (winsok 1.0) و Cisco IOS ver 10 .x و سیستمهای قدیمی باعث از کار افتادن سیستم میشد اما امروزه تمامی سیستم های هوشمند مانند IDS ها قادر به شناسایی این حملات می باشند و این حمله تاثیر زیادی بر روند کاری سرویس دهنده ندارد.
شکل (6): حمله Land Attack
3-4- بررسی حمله Smurf Attack
این حملات با ارسال درخواستهای ICMP به سمت محدودهای از IP های amplifier باعث وسعت دادن ترافیک و به وجود آمدن حمله DOS می شوند.
حمله کننده میتواند درخواستهای ICMP خود را به صورت Spoof شده و از طرف ماشین قربانی به IP های amplifier ارسال کند با ارسال هر درخواست صدها جواب برای درخواست ICMP به سمت ماشین قربانی سرازیر می شوند و ترافیک آن را بالا می برند. ( شکل شماره 6
Amplifier : تمام شبکههایی که درخواستهای ICMP را برای IP broadcast خود فیلتر نکردهاند یک Amplifier محسوب می شوند. حمله کننده میتواند در خواستهای خود را مثلا به IP هایی مانند: 192.168.0.xxx که X می تواند 255, 223, 191, 159, 127, 95, 63, 31, 15, 7, 3 یعنی IP های Broadcast باشند ارسال کند . البته قابل ذکر است IP broadcast بستگی به چگونگی بخشبندی IP در شبکه دارد.
شکل (7): حمله Smurf Attack
3-5- Ping Floodیا Ping of death
در این نوع حمله با ارسال مستقیم درخواست Ping به کامپیوتر قربانی سعی می گردد که سرویس ها بلاک و یا فعالیت آن ها کاهش یابد. در این نوع حمله اندازه بسته های اطلاعاتی به حدی زیاد (بالای K 64 که در Ping غیر مجاز) می شودکه کامپیوتر قربانی قادر به برخورد مناسب با آمیختن بسته های اطلاعاتی نیست و مختل می شود.
شکل (8): استاندارد فرمت Ping
3-6- حملات Teardrop
هنگامی که اطلاعات از یک سیستم به سیستم دیگر منتقل می شود به تکه های کوچکی تقسیم شده و در سیستم مقصد این تکه مجددا به هم متصل شده و کامل می شود. این بسته هر کدام دارای یک فیلد افست هستند که نشان می دهد بسته حاوی چه قسمتی از اطلاعات است. این فیلد به همراه شماره ترتیب به سیستم مقصد کمک می کند تا بسته ها را مجددا به هم متصل کند. در صورتی که بسته ها با شماره افست و ترتیب نامربوط ارسال شوند باعث می شود سیستم مقصد از مرتب کردن آنها عاجز شده و در هم بشکند
متن کامل این مقاله که در صد و سه صفحه تنظیم شده است را می توانید از اینجا خریداری کنید!