فا

‫ راهنماي سريع حملات DDoS – بخش دوم

IRCAR201404212

تاريخ: 07/02/93

در قسمت قبل برخي انواع ترافيك‌هاي ممكن كه مي‌تواند منجر به حمله انكار سرويس توزيع شده شود، توضيح داده شد. در اين بخش برخي حملات DDoS كه ممكن است روي لايه‌هاي شبكه مدل OSI به وقوع بپيوندد به همراه راه‌حل‌هاي مقابله در قالب جدول زير شرح داده مي‌شود:

 
 

برخي انواع ممكن حملات DDoS روي لايه‌هاي OSI

 

لايه OSI

واحد داده پروتكل (PDU)

توصيف لايه

پروتكل‌ها

مثال‌هايي از روش‌هاي DoS در هر لايه

پيامد محتمل حمله DoS

راه حل‌هاي ممكن براي مقابله با حمله

لايه هفتم: كاربرد

داده

شروع ساخت پيام و بسته از اين لايه شروع مي‌شود. دسترسي پايگاه داده در اين سطح است. پروتكل‌هاي مورد استفاده توسط كاربر نهايي -مانند FTP، SMTP، Telnet و RAS - در اين لايه كار مي‌كند.

اين لايه از پروتكل‌هايي مانند FTP، HTTP، POP3 و SMTP استفاده مي‌كند.

درخواست‌هاي PDF GET، HTTP GET، HTTP POST = فرم‌هاي وب سايت‌ها (لاگين، بارگذاري عكس، ويدئو، ارسال بازخورد)

رسيدن به محدوديت‌هاي خدمات سرويس؛ فقدان منابع

مانيتورينگ برنامه‌هاي كاربردي با استفاده از مجموعه اي از الگوريتم ها، فناوري‌ها و خط مشي هاي اختصاصي براي تشخيص آسيب پذيري‌هاي اصلاح نشده و حملات لايه برنامه‌هاي كاربردي.

گاهي اوقات اين حملات شناسايي شده، مي‌توانند راحت تر از بقيه انواع حملات DDoS متوقف و رديابي شوند و به منبع حمله برسند.

لايه ششم: نمايش

داده

ترجمه قالب داده از ارسال كننده به دريافت كننده

استفاده از پروتكل‌هاي فشرده سازي و رمزنگاري

درخواست‌هاي SSL تغيير شكل يافته (بررسي بسته‌هاي رمزنگاري SSL به شدت منابع در دسترس را مصرف مي‌كند).

مهاجمين از SSL براي تونل كردن حملات HTTP براي هدف گرفتن يك سرور خاص استفاده مي‌كنند.

پذيرش اتصالات SSL توسط سيستم‌هاي تحت تاثير قرار گرفته مي‌تواند متوقف شود يا سيستم هاي تحت تاثير قرار گرفته به طور خودكار راه اندازي مجدد شوند.

براي مقابله، از گزينه هايي مانند انتقال رمزگذاري هاي SSL از زيرساخت اصلي به سرور مجزا (SSl offloading) و بررسي ترافيك برنامه هاي كاربردي جهت تشخيص نشانه هايي از ترافيك حملات يا نقض خط مشي در پلت فرم تحويل برنامه (ADP) استفاده شود. يك ADP خوب مي تواند اطمينان دهد كه ترافيك شما پس از رمزگشايي، با محتوي غيررمز شده به زيرساخت اصلي بازگردانده مي شود حتي اگر اين محتوي در يك حافظه حفاظت شده بر روي يك ميزبان امن شده مستقر باشد.

لايه پنجم: نشست

داده

كنترل برقراري، خاتمه و بهنگام سازي نشست در OS از طريق شبكه (به طور مثال: موقعي كه كاربر خارج و سپس وارد مي‌شود)

استفاده از پروتكل ورود/خروج

مهاجم DDoSTelnet از رخنه‌اي در نرم افزار سرور Telnet كه روي سوييچ در حال اجرا است استفاده مي‌كند تا ارائه سرويس‌هاي Telnet را غيرقابل دسترس كند.

جلوگيري از انجام فعاليت‌هاي مديريت سوييچ توسط مديران

از فراهم كننده سخت افزار خود بپرسيد كه آيا به روزرساني يا وصله‌اي براي مقابله با اين آسيب پذيري وجود دارد؟

لايه چهارم:انتقال

قطعه

تضمين انتقال بدون خطا ميان ميزبان‌ها: مديريت انتقال پيام‌ها از لايه 1 تا 3

استفاده از پروتكل‌هاي TCP و UDP

سيل SYN (SYN flood)، حمله Smurf

رسيدن به حداكثر پهناي باند يا اتصالات ميزبان‌ها يا تجهيزات شبكه‌اي

مسدود كردن حمله DDoS، كه عموماً به آن blackholing گويند، روشي است كه توسط ISPها براي متوقف كردن حمله DDoS استفاده مي‌شود. اين رهيافت مسدود كردن حملات DDoS منجر به اين مي‌شود كه سايت مورد حمله براي تمامي ترافيك‌ها  -مهاجمان و كاربران قانوني- غيرقابل دسترس شود. Blackholing عموماً توسط ISPها و براي محافظت ديگر كاربرانشان در برابر تاثير مخرب حملات DDoS -مانند كاهش كارايي شبكه- استفاده مي‌شود.

لايه سوم: شبكه

بسته

مختص مسيريابي و سوييچينگ اطلاعات به شبكه‌هاي مختلف (LANها يا internetworkها)

استفاده از پروتكل‌هاي IP، ICMP، ARP و RIP و استفاده از مسيرياب‌ها به عنوان دستگاه خود

سيل ICMP (حمله DDOSاي است كه از پيام‌هاي ICMP براي اضافه كردن پهناي باند شبكه هدف استفاده مي‌كند)

مي‌تواند پهناي باند دردسترس شبكه را تحت تاثير قرار دهد و يك بار اضافي روي ديوار آتش تحميل كند

محدوديت در نرخ ترافيك ICMP و جلوگيري از حمله جهت تحت تاثير قرار دادن كارآيي پهناي باند و ديوار آتش

لايه دوم: پيوند داده

فريم

برقراري، نگهداري و تصميم گيري روي چگونگي انجام انتقال روي لايه فيزيكي

استفاده از پروتكل‌هاي 802.3 و 802.5؛ دستگاه‌هاي آن NICها، سوييچ‌ها، پل‌ها (bridge) و WAPها هستند.

سيل MAC (سوييچ شبكه را با بسته‌هاي داده اشباع مي‌كند).

تخريب ارسال معمول جريان داده از ارسال كننده به فرستنده

بسياري از سوييچ‌هاي پيشرفته مي‌توانند به گونه‌اي پيكربندي شوند كه تعداد MAC آدرس‌هايي كه مي‌تواند به سوييچ متصل شود محدود باشد؛ MAC آدرس‌هاي كشف شده اجازه داده مي شود در برابر سرور AAA، احرازهويت شوند و  از اين طريق MAC آدرس‌ها فيلتر مي‌شوند.

لايه اول: فيزيكي

بيت

شامل، و نه محدود به، كابل‌ها، جك‌ها و هاب‌ها

استفاده از پروتكل‌هاي 100Base-T و 100Base-X و استفاده از هاب‌ها، پچ پنل‌ها (patch panel) و RJ45 Jacks به عنوان دستگاه

خرابكاري، انسداد، دستكاري يا نقص عملكرد دارايي‌هاي فيزيكي

دارايي‌هاي فيزيكي غيرپاسخگو خواهند شد و ممكن است براي افزايش دسترس پذيري نياز به ترميم داشته باشند.

انجام تاكتيك‌هاي دفاع در عمق، استفاده از كنترل دسترسي، حسابرسي و مميزي جهت رديابي و كنترل دارايي‌هاي فيزيكي.

 

مطالب مرتبط:

راهنماي سريع حملات انكار سرويس توزيع شده – بخش اول


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0