بسیاری از سایت‌های بزرگ نیز در حال حاضر قادر به مقابله با حملات DOS نیستند زیرا این حملات به نوع متفاوتی سازماندهی می‌شوند و در بیشتر اوقات با ایجاد ترافیكی بالا لشكری از Packet های TCP را به سمت سرویس‌های خدمات دهنده سرازیر می‌كنند. به عنوان مثال در هنگام به وجود آمدن و شناسایی ویروس Blaster پس از آلوده شدن صدها هزار كامپیوتر در سراسر دنیا بوسیله این كرم كامپیوتری كه از یك ضعف در سیستم عامل‌های ویندوز مایكروسافت استفاده می‌كرد، خبری با این عنوان كه این ویروس در روز 20 اگوست شروع به فرستادن پاكت‌هایی به سمت سایت windowsupdate.com می‌نماید در رسانه‌های امنیتی انتشار یافت كه در پی آن مسئولین امنیتی مایكروسافت چاره‌ای جز از كار انداختن سایت Windowsupdate.com و حذف آن از DNSهای جهانی ندیدند. با اینكه آنها تا آخرین لحظات از عنوان كردن روش خود یعنی از كار انداختن سایت مورد نظر خودداری می‌نمودند، اما قابل پیش‌بینی بود كه به هیچ وجه سرویس‌های خدمات دهنده مایكروسافت نیز قادر به مقابله با این حجم ترافیك بالا نخواهند بود و دیر یا زود از سرویس دهی باز می‌مانند.


چگونگی عملكرد ویروس Blaster برای ایجاد یك حمله DOS

1- در طی یك هفته ویروس Blaster انتشار یافت و حدود 50000 هزار ماشین را در سراسر دنیا آلوده ساخت.

2- پس از رسیدن به روزی كه كرم Blaster برای آن تاریخ برنامه‌ریزی شده بود، قرار بر این بود كه ماشین‌های آلوده از سراسر دنیا شروع به ارسال پاكت‌هایی به پورت 80 سایت www.windowsupdate.com كنند كه یكی از سایت‌های مایكروسافت می‌باشد در نتیجه با مشغول شدن سرویس دهندگان سایت برای رسیدگی به درخواست‌های ماشین‌های آلوده امكان جوابگویی به درخواست‌های مشتریان واقعی نبود و همین باعث به وجود آمدن یك حمله DOS می‌شد.



امروزه نسل جدیدی از حملات DOS به وجود آمده‌اند كه DDOS نام گرفته‌اند. این حملات نوع گسترش یافته حملات DOS هستند كه از اواخر سال 1999 مورد استفاده قرار گرفته‌اند . در سال 2000 حملات DDOS توسط نفوذگران برای از كار انداختن و حمله به سایت‌های بزرگی مانند, e-Bay CNN , Amazon مورد استفاده قرار گرفته است.



بررسی حملات D.D.O.S

در چند ماه گذشته در گیرودار دادگاه جنجالی شركت SCO سایت این شركت توسط طرفداران سیستم عامل‌های لینوكس و كدباز مورد حمله DDOS قرار گرفت و برای چند روز از كار افتاد، این حمله یكی از بی‌سابقه‌ترین و سخت‌ترین حملات DDOS در چند سال اخیر محسوب می‌شود.



نمودار زیر میزان Hit های وارد شده به سایت Sco را در ثانیه نشان می دهد .

منظور از Hit درخواست هایی می باشند كه از سرویس دهنده تقاضا می شوند.







همانطور كه در شكل مشاهده می‌كنید این حملات از تاریخ چهارشنبه 10 دسامبر و در ساعت 3:20 شروع شده كه تعداد پاكت‌های ارسالی 34000 پاكت در ثانیه بوده است. در روز پنجشنبه 11 دسامبر و در ساعت 2:50 صبح حمله كنندگان دست به حمله دیگری زدند این بار با هزاران ماشین از سراسر دنیا سرویس Ftp و WEB شركت Sco را با آدرس های www.Sco.com و Ftp.Sco.com مورد حمله SYN Flood قرار دادند.



تعداد درخواست‌ها برای حمله در این روز به حداكثر خود یعنی 50000 درخواست در ثانیه رسید و بالاخره در ساعت 10:45 روز پنجشنبه شركت Sco مجبور به حذف ماشین سرویس دهنده وب خود شد تا با این كار از ورود درخواست‌های حمله كنندگان برای اتصال به این ماشین جلوگیری كند.



این روزها نسل جدیدی از ویروس ها كه پس از Blaster به وجود می آیند از تكنیك DOS برای حمله به اهداف خود استفاده می‌كنند . این كرم های اینترنتی پس از آلوده كردن تعداد زیادی ماشین در سراسر دنیا در تاریخی خاص شروع به ارسال پكت به سوی اهداف از قبل تعیین شده می‌كنند و حمله ای را به صورت DOS به وجود می آورند مانند انواع ویروس MY. doom . این حملات به علت گستردگی ارسال درخواست‌ها ترافیك زیادی را بر روی اینترنت ایجاد می‌كنند و شركت‌ های مورد حمله قرار گرفته كار زیادی در جهت مقابله با آن نمی‌توانند انجام دهند.



در مورد دیگر می توان به ویروسCycle اشاره كرد كه یك ویروس ایرانی بود و در اهداف خود را به همین وسیله مورد حمله قرار می داد.



با بررسی این حملات می‌توان نتیجه گرفت با این كه در روش DDOS از تكنیك‌های ساده و قدیمی استفاده می‌شود اما می‌توان با ترتیب دادن حملات گسترش یافته شركت‌های بزرگی مانند Microsoft و Sco را نیز دچار مشكل كرد تا جایی كه تنها چاره‌ای كه برای مسئولین امنیتی این شركتها باقی می ماند قطع ارتباط ماشین‌هایی است كه مورد حمله قرار گرفته‌اند.



در ادامه به بررسی روشن‌تری از حملات DOS و آشنایی با چگونگی عملكرد پروتكل TCP می‌پردازیم. سپس انواع حملات DOS را طبقه‌بندی كرده و تشریح می‌كنیم و ابزاری كه نفوذگران از آن برای ایجاد این حملات استفاده می‌كنند را معرفی خواهیم كرد.



D.O.S (Denial Of Service Attack)

حمله‌ای كه باعث جلوگیری از كار یك سرویس یا مانع دسترسی به منابعی شود را حمله DOS گویند . به عنوان مثال حملات D.O.S بر روی ماشین‌های سرویس دهنده وب ممكن است منجرب به این شود كه سرویس دهنده قادر به سرویس دهی به مشتریان نباشد. یا پر كردن پهنای باند یك ماشین باعث قطع ارتباط این ماشین با شبكه اصلی می شود.

برای بررسی دقیق‌تر و بیان نحوه عملكرد حملات D.O.S احتیاج به بررسی پاكتهای TCP و چگونگی برقراری ارتباط تحت پروتكل TCP/IP است كه در این مقاله به بررسی اجمالی از آن می پردازیم .



بررسی اجزای داخل یك پكت TCP :







اجزای داخلی یك پكت TCP شامل اطلاعاتی در مورد درگاه مبدا درگاه مقصد شماره رشته داده ها و... می‌باشد كه باعث می‌شود اطلاعات در مسیر اینترنت جا به جا شوند.



بررسی عملكرد پروتكل TCP

سه مرحله اصلی دست دادن یا برقراری ارتباط بین یك سرویس دهنده و یك مشتری:

در این شكل سرویس دهنده(Server) با اسم TCP B و مشتری(Client) با اسمTCP A نشان داده شده است.



1 - مشتری پكت TCP را با علامت SYN برای سرویس دهنده ارسال می نماید . این پكت باعث می شود سرویس دهنده متوجه گردد كه مشتری درخواست ارسال اطلاعات را دارد. در این هنگام مشتری منتظر جواب از سوی سرویس دهنده باقی می‌ماند تا در صورت برگشت جواب اطلاعات را ارسال كند .

2 - سرویس دهنده پس از دریافت در خواست مشتری یك پكت را با علامت SYN/ACK در پاسخ برای مشتری ارسال می‌نماید. این پكت نشان دهنده اجازه برقراری ارتباط و ارسال اطلاعات می‌باشد.

3- مشتری پس از دریافت پكت از سوی سرویس دهنده یك ACK برای سرویس دهنده ارسال می‌كند .

4 - سپس مشتری اقدام به ارسال اطلاعات می‌كند.







بررسی انواع روش‌های DOS

 

بررسی حمله SYN flood :

این حمله با ارسال درخواست‌های متعدد با علامت SYN به ماشین قربانی باعث پر شدن سف Backlog می‌شود. اما Backlog چیست؟ تمامی درخواست‌هایی كه به ماشین وارد می‌شوند و شامل علامت SYN برای برقراری ارتباط می‌باشند در قسمتی از حافظه به ترتیب ذخیره می‌شوند تا پس از بررسی جواب آنها داده شده و ارتباط برقرار شود، این قسمت از حافظه Backlog Queue نام دارد. وقتی كه این قسمت به علت درخواست‌های زیاد پر شود، سرویس دهنده مجبور به رها كردن درخواست‌های جدید می‌شود و در نتیجه از رسیدگی به این درخواست‌ها باز می ماند (Denial Of Service) . ) شكل شماره 4-1 (







بررسی Reset(RST) :

پاكت‌هایی كه به علامت RST ارسال می‌گردند باعث می‌شوند كه ارتباط مورد نظر قطع گردد. در واقع اگر ماشین A به سمت ماشین B پاكتی را با علامت RST ارسال كند درخواست اتصال مورد نظر از Backlog پاك خواهد شد.

از این حمله می توان برای قطع اتصال دو ماشین استفاده كرد. به این ترتیب كه اتصالی كه بین دو ماشین A و B برقرار است را نفوذگر با ارسال یك در خواست RST به ماشین B از طرف ماشین A قطع می‌كند. در واقع در داخل پكتی كه از سوی ماشین نفوذگر به سمت قربانی ارسال می‌شود IP مشتری گذاشته می‌شود و در این صورت ماشین B كه سرویس دهنده می‌باشد ارتباط مورد نظر ماشین A را از Backlog حذف می‌كند.

در این روش شخص حمله كننده بوسیله ابزاری می‌تواند IP جعلی تولید كرده و در واقع درخواست خود را جای ماشین دیگری ارسال كند. به این تكنیك Spoofing نیز گفته می شود . (شكل شماره 5-1(



با كمی دقت در شكل شماره 5-1 در می‌یابید IP مبدا (SourceIP) كه در پكت ارسالی از سوی ماشین حمله كننده به سمت ماشین B میرود همان IP ماشین شماره A می باشد(1.1.1.1( . در صورتیكه IP ماشین شماره C كه نفوذگر از آن استفاده می‌كند چیز دیگری است . (1.1.1.3(







بررسی حمله Land Attack :

در این حمله با استفاده از روش Spoofing در پاكت‌هایی كه به سمت سرویس دهنده ارسال می‌شود به جای IP و Port مبداء و مقصد IP و Port خود ماشین سرویس دهنده قرار داده می‌شود.

در واقع IP و PORT ماشین سرویس دهنده به سمت خود سرویس دهنده ارسال می‌شود. این عمل باعث می شود تا در سیستم عامل‌های قدیمی یك حلقه داخلی Routing به وجود بیاید كه باعث پر شدن حافظه و به وجود آمدن حمله DOS می شود. این حمله در ماشین‌های Win 95 (winsok 1.0) و Cisco IOS ver 10.x و سیستم‌های قدیمی باعث از كار افتادن سیستم می‌شد اما امروزه تمامی سیستم های هوشمند مانند IDS ها قادر به شناسایی این حملات می باشند و این حمله تاثیر زیادی بر روند كاری سرویس دهنده ندارد.



بررسی حمله Smurf Attack :

این حملات با ارسال درخواست‌های ICMP به سمت محدوده‌ای از IP های amplifier باعث وسعت دادن ترافیك و به وجود آمدن حمله DOS می شوند.

حمله كننده می‌تواند درخواست‌های ICMP خود را به صورت Spoof شده و از طرف ماشین قربانی به IP های amplifier ارسال كند با ارسال هر درخواست صدها جواب برای درخواست ICMP به سمت ماشین قربانی سرازیر می شوند و ترافیك آن را بالا می برند. ( شكل شماره 6 - 1)

Amplifier: تمام شبكه‌هایی كه درخواست‌های ICMP را برای IP broadcast خود فیلتر نكرده‌اند یك Amplifier محسوب می شوند.

حمله كننده می‌تواند در خواست‌های خود را مثلا به IP هایی مانند:

192.168.0.xxx كه X می تواند 255, 223, 191, 159, 127, 95, 63, 31, 15, 7, 3 یعنی IP های Broadcast باشند ارسال كند . البته قابل ذكر است IP broadcast بستگی به چگونگی بخش‌بندی IP در شبكه دارد.







IDS: این برنامه ها نسل جدید برنامه های امنیتی هستند كه قادرند ترافیك یك شبكه را مورد بررسی قرار داده و حملات جدید نفوذگران را شناسایی كرده و جلوی آن را بگیرند خصوصیت این برنامه ها هوشمند بودن آنها است. این برنامه ها در لایه های پایین شبكه تمامی پكتهای رد و بدل شده بین ماشین ها را خوانده و مورد بررسی قرار می‌دهند.



معرفی ایزارهای D.O.S

چند نمونه از برنامه‌هایی كه توسط نفوذگران بر روی ماشین‌های Zombie برای حملات DOS مورد استفاده قرار می‌گیرند به شرح زیر می باشند:

Trin00

TFN2K(Tribe Flood Network)

Stacheldraht

t wintrin00

mstream

Evil bot

Pulse 2002 (BY Security Storm)



تمامی این برنامه‌ها قادرند به عنوان ابزاری برای به وجود آوردن حملات DOS مورد استفاده قرار گیرند.

نفوذگران برای آن كه بتوانند حملات خود را به صورت كامل انجام دهند احتیاج به ماشین‌های زیادی دارند تا با در اختیار گرفتن پهنای باند ماشین‌های آلوده یا همان Zombie ها حملات DOS خود را شكل دهند بیشتر آنها به نفوذ به این ماشین‌ها بر روی آنها برنامه هایی را نصب می‌كنند كه قادرند تا در زمان مشخص فرمان‌های خود را بر روی آنها اجرا كنند یكی از این برنامه ها Evil bot است كه نفوذگر می‌تواند فرمان‌های خود را از طریق یك IRC server به صدها ماشین آلوده در یك زمان ارسال كند.



Zombie: بیشتر ماشین‌های موجود در دانشگاه‌ها و یا مراكز دولتی به علت پهنای باند مناسبی كه دارند و همچنین رعایت نكردن اصول امنیتی كافی هك شده و بعد از نصب ابزار DOS بر روی آنها توسط نفوذگران برای تشكیل حملات DOS مورد استفاده قرار می‌گیرند، در اصطلاح Zombie به ماشین‌هایی گفته می‌شود كه توسط نفوذگران هك شده‌اند و نفوذگران قادرند با درخواست‌های خود از روی این ماشین‌ها قربانی خود را مورد حمله قرار دهند.





--------------------------------------------

1- windowsupdate.comیكی از سایت‌های مایكروسافت كه امكان دریافت اخرین Patch های سیستم عامل‌های مختلف ویندوز بوسیله آن امكان پذیر است.

2- برای اطلاعات و اخبار بیشتر در مورد عملكرد blaster می توانید به پیوندهای زیر مراجعه كنید :

http://www.hat-squad.com/blog/archives/000042.html

http://www.hat-squad.com/blog/archives/000041.html

http://www.hat-squad.com/blog/archives/000038.html

3- اخبار مربوط به حمله DDOS بر روی سرویس شركت SCO :

http://www.computerworld.com/governmenttopics/government/legalissues/story/0,10801,88065,00.html?f=x62

http://www.caida.org/analysis/security/sco-dos

4- برای اطلاعات و اخبار بیشتر در مورد عملكرد ویروس Cycle می توانید به پیوند زیر مراجعه كنید:

http://www.hat-squad.com/pe/000074.html