امروز بوک | مرجع دانستنی ها

تکنولوژی حملات DoS اولیه شامل ابزار ساده ای بود که بسته ها را تولید و از «یک منبع به یک مقصد» ارسال می کرد. با گذشت زمان، ابزارها تا حد اجرای حملات از «یک منبع به چندین هدف»، «از چندین منبع به هدف های تنها» و «چندین منبع به چندین هدف»، پیشرفت کرده اند.

امروزه بیشترین حملات گزارش شده به CERT/CC مبنی بر ارسال تعداد بسیار زیادی بسته به یک مقصد است که باعث ایجاد نقاط انتهایی بسیار زیاد و مصرف پهنای باند شبکه می شود. از چنین حملاتی معمولاً به عنوان حملات طغیان بسته (Packet flooding ) یاد می شود. اما در مورد «حمله به چندین هدف» گزارش کمتری دریافت شده است.

2- بررسی پاکتهای TCP و چگونگی برقراری ارتباط تحت پروتکل TCP/IP

برای بررسی دقیق‌تر و بیان نحوه عملکرد حملات D.O.S احتیاج به بررسی پاکتهای TCP و چگونگی برقراری ارتباط تحت پروتکل TCP/IP است که در این مقاله به بررسی اجمالی از آن می پردازیم .

2-1- بررسی اجزای داخل یک پکت TCP

اجزای داخلی یک پکت TCP شامل اطلاعاتی در مورد درگاه مبدا درگاه مقصد شماره رشته داده ها و... می‌باشد که باعث می‌شود اطلاعات در مسیر اینترنت جا به جا شوند.

شکل (2): فرمت بستهTCP

2-2- بررسی عملکرد پروتکل TCP

در این شکل سرویس دهنده(Server ) با اسم TCP B و مشتری(Client ) با اسمTCP A نشان داده شده است.

شکل (3): دیاگرام اتصال در TCP

1.  مشتری پکت TCP را با علامت SYN برای سرویس دهنده ارسال می نماید . این پکت باعث می شود سرویس دهنده متوجه گردد که مشتری درخواست ارسال اطلاعات را دارد. در این هنگام مشتری منتظر جواب از سوی سرویس دهنده باقی می‌ماند تا در صورت برگشت جواب اطلاعات را ارسال کند .

2.  سرویس دهنده پس از دریافت در خواست مشتری یک پکت را با علامت SYN/ACK در پاسخ برای مشتری ارسال می‌نماید. این پکت نشان دهنده اجازه برقراری ارتباط و ارسال اطلاعات می‌باشد.

3.  مشتری پس از دریافت پکت از سوی سرویس دهنده یک ACK برای سرویس دهنده ارسال می‌کند .

4.  سپس مشتری اقدام به ارسال اطلاعات می‌کند.

3- بررسی انواع روش‌های DOS

3-1- بررسی حمله SYN flood

این حمله با ارسال درخواست‌های متعدد با علامت SYN به ماشین قربانی باعث پر شدن سف Backlog می‌شود. اما Backlog چیست؟ تمامی درخواست‌هایی که به ماشین وارد می‌شوند و شامل علامت SYN برای برقراری ارتباط می‌باشند در قسمتی از حافظه به ترتیب ذخیره می‌شوند تا پس از بررسی جواب آنها داده شده و ارتباط برقرار شود، این قسمت از حافظه Backlog Queue نام دارد. وقتی که این قسمت به علت درخواست‌های زیاد پر شود، سرویس دهنده مجبور به رها کردن درخواست‌های جدید می‌شود و در نتیجه از رسیدگی به این درخواست‌ها باز می ماند .

شکل (4): حمله SYN Flood Attack

3-2- بررسی Reset RST) )

پاکت‌هایی که به علامت RST ارسال می‌گردند باعث می‌شوند که ارتباط مورد نظر قطع گردد. در واقع اگر ماشین A به سمت ماشین B پاکتی را با علامت RST ارسال کند درخواست اتصال مورد نظر از Backlog پاک خواهد شد.

از این حمله می توان برای قطع اتصال دو ماشین استفاده کرد. به این ترتیب که اتصالی که بین دو ماشین A و B برقرار است را نفوذگر با ارسال یک در خواست RST به ماشین B از طرف ماشین A قطع می‌کند. در واقع در داخل پکتی که از سوی ماشین نفوذگر به سمت قربانی ارسال می‌شود IP مشتری گذاشته می‌شود و در این صورت ماشین B که سرویس دهنده می‌باشد ارتباط مورد نظر ماشین A را از Backlog حذف می‌کند.

در این روش شخص حمله کننده بوسیله ابزاری می‌تواند IP جعلی تولید کرده و در واقع درخواست خود را جای ماشین دیگری ارسال کند. به این تکنیک  Spoofing  نیز گفته می شود .

با کمی دقت در شکل شماره 5-1 در می‌یابید IP مبدا (SourceIP ) که در پکت ارسالی از سوی ماشین حمله کننده به سمت ماشین B میرود همان IP ماشین شماره A می باشد(1.1.1.1( . در صورتیکه IP ماشین شماره C که نفوذگر از آن استفاده می‌کند چیز دیگری است . (1.1.1.3(

شکل (5): حمله RST Attack  

3-3- بررسی حمله Land Attack

در این حمله با استفاده از روش Spoofing در پاکت‌هایی که به سمت سرویس دهنده ارسال می‌شود به جای IP و Port مبداء و مقصد IP و Port خود ماشین سرویس دهنده قرار داده می‌شود.در واقع IP و PORT ماشین سرویس دهنده به سمت خود سرویس دهنده ارسال می‌شود. این عمل باعث می شود تا در سیستم عامل‌های قدیمی یک حلقه داخلی Routing به وجود بیاید که باعث پر شدن حافظه و به وجود آمدن حمله DOS می شود.این حمله در ماشین‌های Win 95 (winsok 1.0) و Cisco IOS ver 10 .x و سیستم‌های قدیمی باعث از کار افتادن سیستم می‌شد اما امروزه تمامی سیستم های هوشمند مانند IDS ها قادر به شناسایی این حملات می باشند و این حمله تاثیر زیادی بر روند کاری سرویس دهنده ندارد.

شکل (6): حمله Land Attack  

3-4- بررسی حمله Smurf Attack

این حملات با ارسال درخواست‌های ICMP به سمت محدوده‌ای از IP های amplifier باعث وسعت دادن ترافیک و به وجود آمدن حمله DOS می شوند.

حمله کننده می‌تواند درخواست‌های ICMP خود را به صورت Spoof شده و از طرف ماشین قربانی به IP های amplifier ارسال کند با ارسال هر درخواست صدها جواب برای درخواست ICMP به سمت ماشین قربانی سرازیر می شوند و ترافیک آن را بالا می برند. ( شکل شماره 6

Amplifier : تمام شبکه‌هایی که درخواست‌های ICMP را برای IP broadcast خود فیلتر نکرده‌اند یک Amplifier محسوب می شوند. حمله کننده می‌تواند در خواست‌های خود را مثلا به IP هایی مانند: 192.168.0.xxx که X می تواند 255, 223, 191, 159, 127, 95, 63, 31, 15, 7, 3 یعنی IP های Broadcast باشند ارسال کند . البته قابل ذکر است IP broadcast بستگی به چگونگی بخش‌بندی IP در شبکه دارد.

شکل (7): حمله  Smurf Attack

3-5- Ping Floodیا Ping of death

در این نوع حمله با ارسال مستقیم درخواست  Ping به کامپیوتر قربانی سعی می گردد که سرویس ها بلاک و یا فعالیت آن ها کاهش یابد. در این نوع حمله اندازه بسته های اطلاعاتی به حدی زیاد (بالای  K 64 که در Ping  غیر مجاز) می شودکه کامپیوتر قربانی قادر به برخورد مناسب با آمیختن بسته های اطلاعاتی نیست و مختل می شود.

شکل (8): استاندارد فرمت Ping  

3-6- حملات Teardrop

هنگامی که اطلاعات از یک سیستم به سیستم دیگر منتقل می شود به تکه های کوچکی تقسیم شده و در سیستم مقصد این تکه مجددا به هم متصل شده و کامل می شود. این بسته هر کدام دارای یک فیلد افست هستند که نشان می دهد بسته حاوی چه قسمتی از اطلاعات است. این فیلد به همراه شماره ترتیب به سیستم مقصد کمک می کند تا بسته ها را مجددا به هم متصل کند. در صورتی که بسته ها با شماره افست و ترتیب نامربوط ارسال شوند باعث می شود سیستم مقصد از مرتب کردن آنها عاجز شده و در هم بشکند

متن کامل این مقاله که در صد و سه صفحه تنظیم شده است را می توانید از اینجا خریداری کنید!