فا

‫ چگونه با حملات انكار سرويس توزيع شده (DDoS) مقابله كنيم؟

IRCAR200904014

1- حملات انكار سرويس توزيع شده چه هستند؟

آيا تا كنون پيش آمده است كه بخواهيد يك تماس تلفني برقرار نماييد ولي به دليل مشغول بودن تمام مسيرهاي ارتباطي نتوانيد اين كار را انجام دهيد؟ گاهي چنين اتفاقي در برخي تعطيلات و روزهاي خاص مانند نوروز رخ مي­دهد. دليل اين مشكل آن است كه سيستم تلفن طوري طراحي شده است كه مي­تواند تعداد محدودي تماس را در يك زمان واحد برقرار كند. اين حد بر اساس تخمين تعداد تماسهاي همزمان و حجم ترافيكي كه سيستم دريافت مي­كند تعيين مي­شود. اگر تعداد تماسها هميشه زياد باشد، از نظر اقتصادي براي شركت مخابرات مقرون به صرفه است كه ظرفيت بيشتري را براي سرويس دادن به اين تماسها ايجاد نمايد. ولي اگر تعداد تماسها در روزهاي عادي كم و فقط در برخي روزهاي خاص زياد باشد، شركت مخابرات شبكه اي ايجاد مي­كند كه ظرفيت كمتري داشته باشد و از كاربران مي­خواهد كه از برقراري تماس در ساعات اوج ترافيك تلفني خودداري نمايند. حال تصور كنيد كه يك فرد نفوذگر بخواهد به سيستم تلفن حمله كرده و آن را براي مشتركان تلفن غير قابل استفاده نمايد. يكي از روشهاي حمله آن است كه تماسهاي مكرر و پشت سر هم برقرار كرده و تمامي خطوط تلفن را اشغال كند. اين نوع از حمله به حمله انكار سرويس يا DoS مشهور است كه قبلا در مقاله اي راجع به آن توضيح داده ايم. در حقيقت فرد مهاجم كاري كرده است كه سيستم تلفن مجبور شود تماسهاي تلفني مشتركان را رد و انكار نمايد. البته واقعيت اين است كه احتمال اينكه يك فرد به تنهايي بتواند تمامي مسيرهاي تلفن را مشغول كند بسيار كم است. براي انجام اين كار بايد تعداد بسيار زيادي تماس از تعداد بسيار زيادي تلفن برقرار گردد. به اين كار حمله انكار سرويس توزيع شده يا DDoS گفته مي­شود. سيستمهاي كامپيوتري نيز ممكن است دچار حملات DoS يا DDoS گردند. براي مثال، ارسال حجم زيادي پست الكترونيكي براي يك نفر مي­تواند حافظه كامپيوتري را كه پست الكترونيك در آن قرار دارد پر كند. اين بدان معناست كه افرادي كه از آن كامپيوتر استفاده مي­كنند قادر نخواهند بود هيچ ايميل جديدي دريافت كنند مگر اينكه شرايط به نوعي تغيير نمايد. اين يكي از انواع قديمي حملات DoS است. علاوه بر اين، افراد نفوذگر تلاش خود را بر روي حملات انكار سرويس روي شبكه هاي كامپيوتري معطوف كرده اند. از جمله اين شبكه ها مي­توان به World Wide Web، سرويسهاي اشتراك فايلها و سرويسهاي نام دامنه((DNS اشاره كرد. از آنجايي كه تعداد بسيار زيادي كامپيوتر از طريق اينترنت به يكديگر متصلند، حمله به يكي از اين سرويسها مي­تواند تاثير زيادي روي كل جامعه اينترنتي داشته باشد. براي مثال با ايجاد يك حمله DoS روي يك شبكه فروش مشهور در زمان اوج فروش آن، نه تنها فروشنده تحت تاثير قرار مي­گيرد، بلكه تمامي كساني كه نمي­توانند مايحتاج خود را خريداري نمايند نيز تحت تاثير قرار مي­گيرند. افراد نفوذگر براي انكار سرويسهاي مورد نياز كاربران يك سرويس كامپيوتري، برنامه هاي كامپيوتري خاصي را اجرا مي­كنند كه درخواستهاي اينترنتي بسيار زيادي را به كامپيوتري كه آن سرويسها را ارائه مي­دهد ارسال مي­كند. اين كار دقيقا شبيه همان كاري است كه در مورد سيستم تلفن اتفاق مي افتد. زماني كه يك كامپيوتر به چنين درخواستي پاسخ مي­دهد، در اغلب موارد كسي در طرف ديگر تماس قرار ندارد و در نتيجه پاسخ دادن به اين درخواست فقط تلف شدن زمان است. متاسفانه در اين موارد سرويسي كه مورد حمله قرار مي­گيرد نمي­تواند تفاوتي بين يك تماس واقعي و چنين تماسي قائل شود و در نتيجه مجبور است به تمامي درخواستها پاسخ دهد. علاوه بر اين ممكن است حجم ترافيك چنان بالا باشد كه شبكه هاي متصل كننده كامپيوترهاي مهاجمان به كامپيوترهاي قرباني نيز با مشكل كمبود ظرفيت مواجه شوند. درست مانند سيستم تلفن و كامپيوترهاي سرويس دهنده، اين شبكه ها نيز نمي­توانند بيش از حد مشخصي ترافيك را تحمل كنند. در نتيجه درخواست كاربراني كه سرويسهايي از كامپيوترهاي آن شبكه ها بخواهند، نيز رد خواهد شد و اين شبكه ها نيز قرباني اين حملات DDoS محسوب مي­شوند.

2- افراد نفوذگر چگونه از حملات انكار سرويس توزيع شده بر عليه كامپيوتر يك قرباني استفاده مي­كنند؟

ابتدا افراد مهاجم شبكه اي از كامپيوترهايي كه براي توليد ترافيك مورد نياز براي انكار سرويس لازم است ايجاد مي­كنند. به اين شبكه يك شبكه حمله گفته مي شود. براي ساختن اين شبكه حمله، افراد نفوذگر به دنبال كامپيوترهايي مي­گردند كه به لحاظ امنيتي ضعيف هستند. براي مثال كامپيوترهايي كه اصلاحيه ها را نصب نكرده اند و يا كامپيوترهايي كه آنتي ويروس قوي و به روز ندارند براي اين كار مناسب هستند. زماني كه افراد نفوذگر اين كامپيوترها را پيدا كردند، برنامه هاي جديدي روي اين كامپيوترها نصب مي­كنند تا از راه دور براي انجام حملات قابل كنترل باشند. قبلا افراد نفوذگر كامپيوترهاي مورد استفاده در شبكه حمله را به صورت دستي انتخاب مي­كردند. اما اين روزها عمليات ساختن يك شبكه حمله بصورت خودكار و با استفاده از برنامه هايي كه خود را منتشر مي­كنند انجام مي­گيرد. اين برنامه­ها به صورت خودكار كامپيوترهاي آسيب پذير را پيدا كرده و به آنها حمله مي­كنند و سپس برنامه هاي لازم را نصب مي كنند. سپس تمام اين عمليات به وسيله اين كامپيوترهاي جديد تكرار شده و آنها نيز كامپيوترهاي آسيب پذير ديگري را مي يابند. زماني كه يك برنامه DDoS روي يك كامپيوتر نصب مي­شود، اين برنامه اين كامپيوتر را به عنوان يكي از اعضاي شبكه حمله معرفي مي­كند. از آنجايي كه اين برنامه­ها اين ويژگي را دارا هستند كه خودشان را منتشر مي­كنند، يك شبكه حمله بزرگ به سرعت ساخته مي­شود. عمليات ساختن يك شبكه حمله به خودي خود نيز يك حمله DDoS است. چراكه جستجو براي يافتن كامپيوترهاي آسيب پذير ديگر ترافيك سنگيني ايجاد مي­كند. وقتي كه يك شبكه حمله ساخته شد، فرد نفوذگر آماده حمله به قرباني يا قربانيان منتخب است. برخي متخصصين امنيت اطلاعات معتقدند كه بسياري از شبكه هاي حمله در حالت عادي وجود دارند و مانند آتش زير خاكسترند. اين شبكه ها منتظر دريافت دستوري براي ايجاد يك حمله بر عليه كامپيوترهاي قرباني هستند. برخي ديگر اعتقاد دارند كه شبكه حمله پس از شناسايي يك قرباني ساخته شده و سپس حمله آغاز مي­گردد. نفوذگران براي اينكه امكان شناسايي خود را كم كنند، حملات خود را روي كامپيوترهاي مختلف در حوزه هاي زماني مختلف، در حوزه هاي قضايي متفاوت و با مديريت هاي متفاوت توزيع مي­كنند. همچنين نفوذگران كاري مي­كنند كه به نظر برسد ترافيك توليدشده از منبعي به جز منبع حقيقي آن ارسال شده است. به اين كار جعل IP گفته مي­شود و روشي مرسوم براي پنهان كردن منبع حمله است. طبيعي است كه اگر منبع حمله ناشناس باقي بماند، متوقف كردن آن نيز كار دشواري خواهد بود. ويروس MyDoom يك مثال از چنين شبكه هاي حمله اي است. شبكه حمله MyDoom به جاي آسيب پذيريهاي فني بر اساس آسيب پذيريهاي خود كاربران (روشهاي مهندسي اجتماعي) ساخته شده بود. كاربران سيستم كامپيوتر ترغيب مي­شدند كه يك برنامه خرابكار را اجرا كنند كه به عنوان يك ضميمه پست الكترونيك ارسال شده و يا به عنوان يك فايل از طريق ارتباط نقطه به نقطه دريافت شده بود. اين برنامه كامپيوتر آنها را به شبكه حمله اضافه مي­كرد. ولي به جاي اينكه برنامه خرابكار نصب شده از راه دور كنترل شود، فرد نفوذگر طوري برنامه ريزي كرده بود كه اين برنامه به طور خودكار حجم بالايي از ترافيك را در تاريخ 1 فوريه 2004 به سايت www.sco.com و در تاريخ 3 فوريه 2004 به سايت www.microsoft.com ارسال نمايد.

3- چه كاري براي مقابله با حملات انكار سرويس توزيع شده مي­توان انجام داد؟

در واقع راه مشخصي براي حذف حملات DDoS وجود ندارد. بهترين راه آن است كه كامپيوترها و شبكه ها را در مقابل حملات مقاوم كنيم. به اين مساله قابليت بقا (survivability) گفته مي­شود. تمامي سيستمها محدوديتهاي خود را دارا هستند. يك راه براي افزايش قابليت بقاي يك سيستم اين است كه ظرفيت آن را افزايش دهيم. هر چه منابع موجود بيشتر باشند، شانس بقاي سيستم در مقابل افزايش درخواستها بيشتر مي­شود. براي افزايش ظرفيت سيستم تلفن، شركت مخابرات مسيرهاي ارتباطي تلفنها را افزايش مي­دهد. در مورد يك سرويس وب نيز ممكن است مدير شبكه تعداد ارتباطاتي را كه يك سرويس وب مي­تواند قبول كند افزايش دهد. براي مثال يك سايت مي­تواند وب سرورهاي بيشتري را اضافه نمايد. اين كار باعث مي­شود كه بار ترافيك بين كامپيوترهاي بيشتري تقسيم شود و احتمال رسيدن به نقطه اي كه اين سايت نتواند پاسخگوي درخواستهاي كاربران خود باشد كمتر گردد. هر چه ظرفيت تمام سيستمهايي كه بطور بالقوه در معرض خطرند بالاتر باشد، امكان بقاي شبكه در زمان حمله DDoS افزايش مي يابد. براي اطمينان از اينكه كامپيوتر شما بخشي از يك شبكه حمله DDoS نيست مي­توانيد راهكارهاي ارائه شده در اين مطلب را مطالعه نماييد. سوالهاي زير را از خود بپرسيد:

  • آيا كامپيوترهاي شما خيلي كندتر از حالت معمول كار مي­كنند؟
  • آيا اينترنت شما كندتر از حالت معمول است؟
  • آيا چراغهاي مودم شما بيشتر مواقع ثابت يا روشن هستند؟

هر كدام از موارد فوق مي­تواند نشان دهنده اين موضوع باشد كه كامپيوتر شما عضوي از يك شبكه حمله DDoS است. اگر چنين اتفاقي رخ داده است با يك متخصص امنيت تماس گرفته و به توصيه هاي وي عمل نماييد. علاوه بر اين حتما موقتا كامپيوتر يا مودم خود را خاموش نماييد تا از ادامه جريان ترافيك DDoS جلوگيري كنيد. اگر كامپيوتر شما عضوي از يك شبكه حمله DDoS است به اين معناست كه سيستم شما مورد سوء استفاده قرار گرفته و ابزارهاي حمله روي كامپيوتر شما نصب شده است. شما ابتدا بايد بفهميد كه نفوذگران چه كاري انجام داده اند و سپس خرابي ايجاد شده را ترميم نماييد. حملات انكار سرويس توزيع شده يك مشكل جدي هستند و با اينكه تحقيقات زيادي براي جلوگيري از آنها انجام شده، هنوز دردسر ساز مي­­شوند.

منبع:
http://www.cert.org


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 مرداد 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0