فا

‫ راهنماي سريع حملات انكار سرويس توزيع شده – بخش اول

IRCAR201404207

تاريخ: 12/01/93

دسترس پذيري، صحت و محرمانگي از مفاهيم كليدي امنيت سايبري هستند. حملات انكار سرويس توزيع شده دسترس پذيري منابع اطلاعاتي را تحت تاثير قرار مي‌دهد. اين نوع حمله زماني موفق خواهد بود كه منجر به عدم دسترس پذيري منابع اطلاعاتي شود. موفقيت و پيامد حملات انكار سرويس براساس هر قرباني مشخص خواهد شد و سطح مخاطره، تهديد و پيامد اين حمله براساس هر مورد متفاوت است.

در جدول زير به برخي انواع ترافيك‌هاي ممكن كه مي‌تواند منجر به حمله انكار سرويس توزيع شده شود اشاره مي‌شود:

برخي انواع ممكن براي ترافيك‌هاي DDoS

هدر HTTP

هدرهاي HTTP فيلدهايي براي توضيح منابع -مانند URL، فرم، JPEG و ...- مورد درخواست واقع شده هستند. همچنين، هدرهاي HTTP به وب سرور اعلام مي‌كنند كه چه نوع مرورگر وبي درحال استفاده است. هدرهاي HTTP معمول شامل GET، POST، ACCEPT، LANGUAGE و USER AGENT است. درخواست دهنده مي‌تواند هر تعداد هدري را كه مي‌خواهد اضافه كند.

مهاجمان حمله انكار سرويس توزيع شده مي‌توانند اين هدرها را طوري تغيير دهند كه شناسايي منشا حمله مشكل باشد. علاوه بر اين، هدرهاي HTTP مي‌تواند براي دستكاري سرور‌هاي پروكسي و caching طراحي شوند. به طور مثال، اين امكان وجود دارد كه از يك پروكسي caching (proxy caching) خواسته شود تا اطلاعات را cache نكند.

سيل

HTTP POST

سيل HTTP POST نوع حمله انكار سرويس توزيع شده اي است كه ميزان درخواست‌هاي POST، سرور را طوري از كار مي‌اندازد كه قادر به پاسخ دادن به تمام آن درخواست‌ها نباشد. اين حمله منجر به استفاده زياد از منابع سيستم و سپس crash كردن سرور مي‌شود.

درخواست HTTP POST

درخواست HTTP POST روشي براي ارسال داده‌هايي در بدنه درخواست جهت پردازش توسط سرور است. به طور مثال، درخواست POST اطلاعات درون يك فرم را گرفته، آنرا كدگذاري كرده و سپس محتواي فرم را براي سرور ارسال مي‌كند.

سيل

HTTPS POST

سيل HTTPS POST، يك سيل HTTP POST است كه روي نشست SSL ارسال مي‌شود. بدليل استفاده از SSL، جهت بررسي محتواي اين درخواست بايد آنرا رمزگشايي كرد.

درخواست HTTPS POST

درخواست HTTPS POST، يك نسخه رمزشده از درخواست HTTP POST است. داده واقعي كه انتقال مي‌يابد رمز شده است.

سيل

HTTPS GET

سيل HTTPS GET، يك سيل HTTP GET است كه روي نشست SSL ارسال مي‌شود. بدليل استفاده از SSL، جهت مقابله با اين سيل، درخواست بايد رمزگشايي شود.

درخواست HTTPS GET

درخواست HTTPS GET، يك درخواست HTTP GET است كه روي نشست SSL ارسال مي‌شود. بدليل استفاده از SSL، جهت بررسي محتواي اين درخواست بايد آنرا رمزگشايي كرد.

سيل

HTTP GET

سيل HTTP GET يك روش حمله انكار سرويس توزيع شده لايه كاربرد است كه مهاجمان سيلي زياد از درخواست‌ها را به سرور و با هدف استفاده زياد از منابع آن ارسال مي‌كنند. اين حمله منجر به عدم پاسخ سرور به درخواست‌هاي قانوني كه از آن مي‌شود، مي‌گردد.

درخواست HTTP GET

درخواست HTTP GET روشي است كه درخواست اطلاعاتي را از سرور مي‌كند. درخواست GET از سرور مي‌خواهد كه اقلامي مانند تصوير يا اسكريپت را به شما بدهد.

سيل SYN (TCP/SYN)

سيل SYN از طريق برقراري ارتباطات نيمه باز روي يك گره كار مي‌كند. موقعي كه هدف، يك بسته SYN را روي يك پورت باز دريافت مي‌كند، با يك SYN-ACK به اين بسته پاسخ مي‌دهد و تلاش به برقراري ارتباط مي‌كند. اما در سيل SYN، دست تكاني سه مرحله‌اي هرگز كامل نمي‌شود چراكه كلاينت به SYN-ACK سرور پاسخ نمي‌دهد؛ در نتيجه اين ارتباطات تا زماني كه زمان آن به پايان برسد در حالت نيمه باز باقي مي‌ماند.

سيل UDP

سيل UDP اغلب براي حملات انكار سرويس توزيع شده با پهناي باند بيشتر استفاده مي‌شود چراكه اين سيل‌ها بدون اتصال(connectionless) هستند و به راحتي از طريق زبان‌هاي كامپايل شده و اسكريپتي قابل توليد هستند.

سيل ICMP

ICMP براي پيام رساني خطاها استفاده مي‌شود و عموماً داده‌اي را ميان سيستم‌ها تبادل نمي‌كند. بسته‌هاي ICMP ممكن است موقع اتصال به سرور همراه بسته‌هاي TCP باشند. سيل ICMP، رَوش حمله انكار سرويس توزيع شده زير ساختي روي لايه 3 است كه از پيام‌هاي ICMP براي ايجاد سربار روي پهناي باند شبكه هدف استفاده مي‌كند.

سيل MAC

در يك حمله نادر، مهاجم تعدادي فريم اترنت مصنوعي، هر كدام با MAC آدرس‌ متفاوت، ارسال مي‌كند؛ سوييچ‌هاي شبكه با اين MAC آدرس‌ها به طور جداگانه‌اي رفتار مي‌كنند و از اين رو براي هر كدام از اين درخواست‌ها منابعي را در نظر مي‌گيرند. زماني كه تمام حافظه درون سوييچ استفاده شد، سوييچ يا خاموش و يا غيرپاسخگو مي‌شود. در تعداد كمي از مسيرياب‌ها هم، حمله سيل MAC ممكن است منجر به حذف كل جدول مسيريابي آنها شده و كل شبكه تحت مسيريابي را مختل كند.

برخي راه‌هاي مقابله با حملات انكار سرويس و انكار سرويس توزيع شده در مقياس بزرگ:

در زير به برخي از فعاليت‌ها و سخت افزارهاي مقابله با انكار سرويس توزيع شده اشاره مي‌شود:

- استفاده از ديواره‌هاي آتش Stateful

- استفاده از مكانيزم‌‌هاي stateful SYN Proxy

- محدود كردن تعداد SYNها در ثانيه در هر IP

- محدود كردن تعداد SYNها در ثانيه در هر IP مقصد

- تنظيم تنظيمات (آستانه‌هاي) مربوط به ICMP flood SCREEN در ديوار آتش

- تنظيم تنظيمات (آستانه‌هاي) مربوط به UDP flood SCREEN در ديوار آتش

- محدودسازي نرخ ترافيك دريافتي يا ارسالي (rate limit) مسيرياب‌هاي مجاور ديوار آتش و شبكه


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0