IRCAR200904014
1- حملات انكار سرويس توزيع شده چه هستند؟
آيا تا كنون پيش آمده است كه بخواهيد يك تماس تلفني برقرار نماييد ولي به دليل مشغول بودن تمام مسيرهاي ارتباطي نتوانيد اين كار را انجام دهيد؟ گاهي چنين اتفاقي در برخي تعطيلات و روزهاي خاص مانند نوروز رخ ميدهد. دليل اين مشكل آن است كه سيستم تلفن طوري طراحي شده است كه ميتواند تعداد محدودي تماس را در يك زمان واحد برقرار كند. اين حد بر اساس تخمين تعداد تماسهاي همزمان و حجم ترافيكي كه سيستم دريافت ميكند تعيين ميشود. اگر تعداد تماسها هميشه زياد باشد، از نظر اقتصادي براي شركت مخابرات مقرون به صرفه است كه ظرفيت بيشتري را براي سرويس دادن به اين تماسها ايجاد نمايد. ولي اگر تعداد تماسها در روزهاي عادي كم و فقط در برخي روزهاي خاص زياد باشد، شركت مخابرات شبكه اي ايجاد ميكند كه ظرفيت كمتري داشته باشد و از كاربران ميخواهد كه از برقراري تماس در ساعات اوج ترافيك تلفني خودداري نمايند. حال تصور كنيد كه يك فرد نفوذگر بخواهد به سيستم تلفن حمله كرده و آن را براي مشتركان تلفن غير قابل استفاده نمايد. يكي از روشهاي حمله آن است كه تماسهاي مكرر و پشت سر هم برقرار كرده و تمامي خطوط تلفن را اشغال كند. اين نوع از حمله به حمله انكار سرويس يا DoS مشهور است كه قبلا در مقاله اي راجع به آن توضيح داده ايم. در حقيقت فرد مهاجم كاري كرده است كه سيستم تلفن مجبور شود تماسهاي تلفني مشتركان را رد و انكار نمايد. البته واقعيت اين است كه احتمال اينكه يك فرد به تنهايي بتواند تمامي مسيرهاي تلفن را مشغول كند بسيار كم است. براي انجام اين كار بايد تعداد بسيار زيادي تماس از تعداد بسيار زيادي تلفن برقرار گردد. به اين كار حمله انكار سرويس توزيع شده يا DDoS گفته ميشود. سيستمهاي كامپيوتري نيز ممكن است دچار حملات DoS يا DDoS گردند. براي مثال، ارسال حجم زيادي پست الكترونيكي براي يك نفر ميتواند حافظه كامپيوتري را كه پست الكترونيك در آن قرار دارد پر كند. اين بدان معناست كه افرادي كه از آن كامپيوتر استفاده ميكنند قادر نخواهند بود هيچ ايميل جديدي دريافت كنند مگر اينكه شرايط به نوعي تغيير نمايد. اين يكي از انواع قديمي حملات DoS است. علاوه بر اين، افراد نفوذگر تلاش خود را بر روي حملات انكار سرويس روي شبكه هاي كامپيوتري معطوف كرده اند. از جمله اين شبكه ها ميتوان به World Wide Web، سرويسهاي اشتراك فايلها و سرويسهاي نام دامنه((DNS اشاره كرد. از آنجايي كه تعداد بسيار زيادي كامپيوتر از طريق اينترنت به يكديگر متصلند، حمله به يكي از اين سرويسها ميتواند تاثير زيادي روي كل جامعه اينترنتي داشته باشد. براي مثال با ايجاد يك حمله DoS روي يك شبكه فروش مشهور در زمان اوج فروش آن، نه تنها فروشنده تحت تاثير قرار ميگيرد، بلكه تمامي كساني كه نميتوانند مايحتاج خود را خريداري نمايند نيز تحت تاثير قرار ميگيرند. افراد نفوذگر براي انكار سرويسهاي مورد نياز كاربران يك سرويس كامپيوتري، برنامه هاي كامپيوتري خاصي را اجرا ميكنند كه درخواستهاي اينترنتي بسيار زيادي را به كامپيوتري كه آن سرويسها را ارائه ميدهد ارسال ميكند. اين كار دقيقا شبيه همان كاري است كه در مورد سيستم تلفن اتفاق مي افتد. زماني كه يك كامپيوتر به چنين درخواستي پاسخ ميدهد، در اغلب موارد كسي در طرف ديگر تماس قرار ندارد و در نتيجه پاسخ دادن به اين درخواست فقط تلف شدن زمان است. متاسفانه در اين موارد سرويسي كه مورد حمله قرار ميگيرد نميتواند تفاوتي بين يك تماس واقعي و چنين تماسي قائل شود و در نتيجه مجبور است به تمامي درخواستها پاسخ دهد. علاوه بر اين ممكن است حجم ترافيك چنان بالا باشد كه شبكه هاي متصل كننده كامپيوترهاي مهاجمان به كامپيوترهاي قرباني نيز با مشكل كمبود ظرفيت مواجه شوند. درست مانند سيستم تلفن و كامپيوترهاي سرويس دهنده، اين شبكه ها نيز نميتوانند بيش از حد مشخصي ترافيك را تحمل كنند. در نتيجه درخواست كاربراني كه سرويسهايي از كامپيوترهاي آن شبكه ها بخواهند، نيز رد خواهد شد و اين شبكه ها نيز قرباني اين حملات DDoS محسوب ميشوند.
2- افراد نفوذگر چگونه از حملات انكار سرويس توزيع شده بر عليه كامپيوتر يك قرباني استفاده ميكنند؟
ابتدا افراد مهاجم شبكه اي از كامپيوترهايي كه براي توليد ترافيك مورد نياز براي انكار سرويس لازم است ايجاد ميكنند. به اين شبكه يك شبكه حمله گفته مي شود. براي ساختن اين شبكه حمله، افراد نفوذگر به دنبال كامپيوترهايي ميگردند كه به لحاظ امنيتي ضعيف هستند. براي مثال كامپيوترهايي كه اصلاحيه ها را نصب نكرده اند و يا كامپيوترهايي كه آنتي ويروس قوي و به روز ندارند براي اين كار مناسب هستند. زماني كه افراد نفوذگر اين كامپيوترها را پيدا كردند، برنامه هاي جديدي روي اين كامپيوترها نصب ميكنند تا از راه دور براي انجام حملات قابل كنترل باشند. قبلا افراد نفوذگر كامپيوترهاي مورد استفاده در شبكه حمله را به صورت دستي انتخاب ميكردند. اما اين روزها عمليات ساختن يك شبكه حمله بصورت خودكار و با استفاده از برنامه هايي كه خود را منتشر ميكنند انجام ميگيرد. اين برنامهها به صورت خودكار كامپيوترهاي آسيب پذير را پيدا كرده و به آنها حمله ميكنند و سپس برنامه هاي لازم را نصب مي كنند. سپس تمام اين عمليات به وسيله اين كامپيوترهاي جديد تكرار شده و آنها نيز كامپيوترهاي آسيب پذير ديگري را مي يابند. زماني كه يك برنامه DDoS روي يك كامپيوتر نصب ميشود، اين برنامه اين كامپيوتر را به عنوان يكي از اعضاي شبكه حمله معرفي ميكند. از آنجايي كه اين برنامهها اين ويژگي را دارا هستند كه خودشان را منتشر ميكنند، يك شبكه حمله بزرگ به سرعت ساخته ميشود. عمليات ساختن يك شبكه حمله به خودي خود نيز يك حمله DDoS است. چراكه جستجو براي يافتن كامپيوترهاي آسيب پذير ديگر ترافيك سنگيني ايجاد ميكند. وقتي كه يك شبكه حمله ساخته شد، فرد نفوذگر آماده حمله به قرباني يا قربانيان منتخب است. برخي متخصصين امنيت اطلاعات معتقدند كه بسياري از شبكه هاي حمله در حالت عادي وجود دارند و مانند آتش زير خاكسترند. اين شبكه ها منتظر دريافت دستوري براي ايجاد يك حمله بر عليه كامپيوترهاي قرباني هستند. برخي ديگر اعتقاد دارند كه شبكه حمله پس از شناسايي يك قرباني ساخته شده و سپس حمله آغاز ميگردد. نفوذگران براي اينكه امكان شناسايي خود را كم كنند، حملات خود را روي كامپيوترهاي مختلف در حوزه هاي زماني مختلف، در حوزه هاي قضايي متفاوت و با مديريت هاي متفاوت توزيع ميكنند. همچنين نفوذگران كاري ميكنند كه به نظر برسد ترافيك توليدشده از منبعي به جز منبع حقيقي آن ارسال شده است. به اين كار جعل IP گفته ميشود و روشي مرسوم براي پنهان كردن منبع حمله است. طبيعي است كه اگر منبع حمله ناشناس باقي بماند، متوقف كردن آن نيز كار دشواري خواهد بود. ويروس MyDoom يك مثال از چنين شبكه هاي حمله اي است. شبكه حمله MyDoom به جاي آسيب پذيريهاي فني بر اساس آسيب پذيريهاي خود كاربران (روشهاي مهندسي اجتماعي) ساخته شده بود. كاربران سيستم كامپيوتر ترغيب ميشدند كه يك برنامه خرابكار را اجرا كنند كه به عنوان يك ضميمه پست الكترونيك ارسال شده و يا به عنوان يك فايل از طريق ارتباط نقطه به نقطه دريافت شده بود. اين برنامه كامپيوتر آنها را به شبكه حمله اضافه ميكرد. ولي به جاي اينكه برنامه خرابكار نصب شده از راه دور كنترل شود، فرد نفوذگر طوري برنامه ريزي كرده بود كه اين برنامه به طور خودكار حجم بالايي از ترافيك را در تاريخ 1 فوريه 2004 به سايت www.sco.com و در تاريخ 3 فوريه 2004 به سايت www.microsoft.com ارسال نمايد.
3- چه كاري براي مقابله با حملات انكار سرويس توزيع شده ميتوان انجام داد؟
در واقع راه مشخصي براي حذف حملات DDoS وجود ندارد. بهترين راه آن است كه كامپيوترها و شبكه ها را در مقابل حملات مقاوم كنيم. به اين مساله قابليت بقا (survivability) گفته ميشود. تمامي سيستمها محدوديتهاي خود را دارا هستند. يك راه براي افزايش قابليت بقاي يك سيستم اين است كه ظرفيت آن را افزايش دهيم. هر چه منابع موجود بيشتر باشند، شانس بقاي سيستم در مقابل افزايش درخواستها بيشتر ميشود. براي افزايش ظرفيت سيستم تلفن، شركت مخابرات مسيرهاي ارتباطي تلفنها را افزايش ميدهد. در مورد يك سرويس وب نيز ممكن است مدير شبكه تعداد ارتباطاتي را كه يك سرويس وب ميتواند قبول كند افزايش دهد. براي مثال يك سايت ميتواند وب سرورهاي بيشتري را اضافه نمايد. اين كار باعث ميشود كه بار ترافيك بين كامپيوترهاي بيشتري تقسيم شود و احتمال رسيدن به نقطه اي كه اين سايت نتواند پاسخگوي درخواستهاي كاربران خود باشد كمتر گردد. هر چه ظرفيت تمام سيستمهايي كه بطور بالقوه در معرض خطرند بالاتر باشد، امكان بقاي شبكه در زمان حمله DDoS افزايش مي يابد. براي اطمينان از اينكه كامپيوتر شما بخشي از يك شبكه حمله DDoS نيست ميتوانيد راهكارهاي ارائه شده در اين مطلب را مطالعه نماييد. سوالهاي زير را از خود بپرسيد:
- آيا كامپيوترهاي شما خيلي كندتر از حالت معمول كار ميكنند؟
- آيا اينترنت شما كندتر از حالت معمول است؟
- آيا چراغهاي مودم شما بيشتر مواقع ثابت يا روشن هستند؟
هر كدام از موارد فوق ميتواند نشان دهنده اين موضوع باشد كه كامپيوتر شما عضوي از يك شبكه حمله DDoS است. اگر چنين اتفاقي رخ داده است با يك متخصص امنيت تماس گرفته و به توصيه هاي وي عمل نماييد. علاوه بر اين حتما موقتا كامپيوتر يا مودم خود را خاموش نماييد تا از ادامه جريان ترافيك DDoS جلوگيري كنيد. اگر كامپيوتر شما عضوي از يك شبكه حمله DDoS است به اين معناست كه سيستم شما مورد سوء استفاده قرار گرفته و ابزارهاي حمله روي كامپيوتر شما نصب شده است. شما ابتدا بايد بفهميد كه نفوذگران چه كاري انجام داده اند و سپس خرابي ايجاد شده را ترميم نماييد. حملات انكار سرويس توزيع شده يك مشكل جدي هستند و با اينكه تحقيقات زيادي براي جلوگيري از آنها انجام شده، هنوز دردسر ساز ميشوند.
منبع: http://www.cert.org
- 4