IRCAR200903013
مقدمه
حملات انكار سرويس يا DoS(Denial of Service) به حملاتي مي گويند كه هدف اصلي آنها ممانعت از دسترسي قربانيان به منابع كامپيوتري، شبكه اي و يا اطلاعات است. در اينگونه حملات معمولاً از دسترسي قربانيان به اطلاعاتي كه براي مقابله با اينگونه حملات مفيد است، نيز جلوگيري مي شود. در اين نوع حملات، مهاجمان با ايجاد ترافيك بي مورد و بي استفاده، حجم زيادي از منابع سرويس دهنده و پهناي باند شبكه را مصرف يا به نوعي درگير رسيدگي به اين تقاضاهاي بي مورد مي كنند و اين تقاضاها تا جايي كه دستگاه سرويس دهنده را از كار بيندازد، ادامه پيدا مي كند. يك حمله "انكار سرويس" را از طريق تلاش آشكار حمله كننده براي جلوگيري از استفاده كاربران قانوني يك سرويس از آن سرويس، شناسايي مي كنند. از جمله اين تلاشها مي توان به موارد زير اشاره كرد:
- انواع طغيانهاي شبكه شامل طغيانهاي TCP، UDP و ICMP كه ترافيك قانوني سايت را مختل مي كنند.
- تلاش در جهت قطع ارتباط دو ماشين و در نتيجه عدم امكان استفاده از سرويس آنها.
- تلاش در جهت ممانعت از دسترسي فردي خاص به يك سرويس.
- تلاش براي خرابكاري در ارائه سرويس به سيستم يا شخص خاصي.
علاوه بر موارد فوق، استفاده غير قانوني از منابع هم مي تواند منجر به انكار سرويس شود. براي مثال يك نفوذگر قادر است با استفاده از بخش بي نام FTP وب سايت شما يك كپي غيرقانوني از يك نرم افزار تجاري را بر روي سايت شما قرار دهد كه فضاي شما را اشغال كرده و ترافيك را مختل كند. البته بايد دقت داشت كه علت همه از كارافتادگي هاي سرويس، مربوط به حملات انكار سرويس نمي شود و بعضي فعاليت هاي بدخواهانه نيز منجر به از كارافتادگي سرويس مي شوند. همچنين گاهي اوقات حملات انكار سرويس جزئي از يك حمله گسترده تر محسوب مي شوند.
تبعات حملات انكار سرويس
حملات انكار سرويس قاعدتاً منجر به از كار افتادن رايانه و يا شبكه شما ميشوند ولي تبعات آنها به همين ميزان محدود نمي شود و نبايد آنها را دست كم گرفت چرا كه بسته به طبيعت سيستم شبكه و نرم افزارهاي شما، ممكن است منجر به از كار افتادن كل سازمان شوند. بعضي از اين حملات مي توانند توسط منابع بسيار محدودي انجام شده و يك سايت بزرگ و مجهز را از كار بيندازند. براي مثال يك مهاجم با استفاده از يك رايانه خانگي قديمي و يك مودم با سرعت پايين، قادر است ماشينها و شبكه هايي با سرعتهاي به مراتب بالاتر را از كار بيندازد. اين نوع حملات، گاهي اوقات "حمله غيرمتقارن" يا asymmetric attack ناميده مي شود.
انواع حملات انكار سرويس
حملات انكار سرويس با هدف قرار دادن سرويسهاي گوناگون و در اشكال متنوعي ظاهر مي شوند، اما سه شيوه اصلي حمله وجود دارد كه عبارتند از:
- مصرف كردن منابع نادر، محدود و غير قابل تجديد
- از بين بردن يا تغيير دادن اطلاعات مربوط به پيكربندي سيستم
- خرابي فيزيكي يا تبديل اجزاي شبكه
حال به جزئيات هريك از اين سه شيوه مي پردازيم.
- مصرف كردن منابع نادر، محدود و غير قابل تجديد رايانه ها و شبكه ها به خوب كار كردن برخي از منابع مانند پهناي باند، فضاي حافظه، CPU، ساختمان داده ها، دسترسي به ديگر رايانه ها و شبكه ها و همچنين منابع محيطي مانند جريان برق، تهويه هوا يا حتي آب نياز دارند. در زير برخي از حملات شايعي كه با مصرف منابع در ارتباط است، ذكر شده است:
- اتصالات شبكه حملات انكار سرويس غالباً بر عليه اتصالات شبكه اجرا مي شوند و هدف آنها ممانعت از ارتباط هاست يا شبكه با بخشها يا شبكه هاي ديگر است. در يك نمونه از اينگونه حملات نفوذگر يك ارتباط را بين ماشين خود و قرباني ايجاد مي كند به گونه اي كه اتصال نهايي برقرار نشود و ارتباط تكميل نگردد. در اين فاصله ماشين قرباني يكي از ساختمان داده هاي محدود خود را كه براي تكميل ارتباطات مورد نياز است به اين ارتباط ناقص اختصاص مي دهد. در نتيجه ارتباطات قانوني دچار انكار سرويس مي شوند زيرا قرباني منتظر تكميل ارتباطات "نيمه باز" است. توجه داشته باشيد كه در اين حمله نفوذگر نيازي به مصرف پهناي باند شما نداشته و با استفاده از ساختمان داده هايي كه براي ايجاد ارتباطات به كار مي روند، سيستم شما را از كار مي اندازد. به اين ترتيب يك نفوذگر با استفاده از يك مودم dial-up قادر است يك شبكه پرسرعت را از كار بيندازد. (يك نمونه خوب از حملات غير متقارن)
- استفاده از منابع شما بر عليه شما نفوذگران قادرند با استفاده از روشهاي غير قابل انتظار از منابع شما بر عليه خود شما سوءاستفاده كنند. در يكي از اين حملات، نفوذگر بسته هاي UDP ساختگي را براي متصل ساختن سرويس echo بر روي يك ماشين به سرويس chargen بر روي ماشين ديگر مورد استفاده قرار داد و در نتيجه اين دو سرويس همه پهناي باند موجود بين خود را مورد مصرف قرار دادند و همچنين بر روي ارتباطات ماشينهاي ديگر بر روي شبكه نيز تأثير گذاشتند
- مصرف پهناي باند يك نفوذگر مي تواند همه پهناي باند شبكه شما را مورد استفاده قرار دهد. او اين كار را از طريق توليد تعداد زيادي بسته كه به سمت شبكه شما هدايت شده اند انجام مي دهد. اين بستهها از لحاظ مفهومي مي توانند هر چيزي باشند ولي معمولاً از بسته هاي ICMP ECHO براي اينگونه حملات استفاده مي شود. از طرفي در حمله مصرف پهناي باند، نفوذگر نيازي به حمله از طريق يك ماشين را ندارد، بلكه مي تواند با استفاده از چندين ماشين بر روي شبكه هاي مختلف تأثير مشابهي را براي قرباني ايجاد كند.
- مصرف ديگر منابع علاوه بر پهناي باند، نفوذگران قادر به مصرف منابع ديگري نيز هستند كه سيستم شما براي كار كردن به آنها نيازمند است. براي مثال در بسياري از سيستمها تعداد محدودي ساختمان داده براي نگهداري اطلاعات عمليات وجود دارد و يك نفوذگر با نوشتن يك برنامه ساده كه كار خاصي انجام نمي دهد و فقط خود را مرتباً بازنويسي مي كند، قادر است اين منابع را مشغول نگه دارد. البته امروزه بسياري از سيستم عاملهاي جديد امكان سهميه بندي يا Quota را براي مقابله با اين مشكل فراهم كرده اند. علاوه بر اين اگر جدول پردازه ها پر هم نشده باشد، CPU ممكن است توسط تعداد زياد پردازه ها و زمان مورد نياز براي سوئيچ كردن بين آنها مشغول باقي بماند. به همين جهت لازم است در مورد امكان سهميه بندي منابع سيستمي در سيستم عامل خود تحقيقات به عمل آوريد. يك نفوذگر ممكن است براي مصرف ديسك سخت از راههاي زير اقدام كند:
- توليد تعداد بسيار زيادي ايميل.
- توليد خطاهاي عمدي كه بايد ثبت شوند.
- قرار دادن فايلها بر روي مناطق ftp بدون نام و يا فضاهاي به اشتراك گذاشته شده.
در حالت كلي هر چيزي كه اجازه نوشتن داده بر روي ديسك را فراهم كند، در صورتي كه حد و مرزي براي ميزان داده نوشته شده شده قائل نباشد، مي تواند منجر به حملات انكار سرويس شود. بسياري از سايتها داراي سيستمي هستند كه حساب كاربري را بعد از چند تلاش ناموفق براي ورود به سيستم قفل مي كند. نفوذگر قادر است با استفاده از اين خاصيت، از استفاده كاربران قانوني از حساب كاربريشان ممانعت به عمل آورد. در برخي حالات، حسابهاي كاربري پراولويت مانند root يا administrator هدف اينگونه حملات قرار دارند. لذا مطمئن شويد روشي براي دسترسي به سيستم تحت شرايط اضطراري وجود دارد. يك نفوذگر قادر است سيستم شما را با استفاده از ارسال داده هاي دور از انتظار بر روي شبكه از كار بياندازد. اگر سيستم شما اغلب بدون دليل آشكاري از كار مي افتد، ممكن است قرباني اينگونه حملات شده باشد. موارد ديگري نيز وجود دارند كه ممكن است در مقابل حملات انكار سرويس آسيبپذير باشند و بهتر است بر آنها نيز نظارت لازم را به عمل آوريد. اين موارد عبارتند از:
- پرينترها
- ابزارهاي Tape
- اتصالات شبكه
- هر منبع محدود ديگري كه براي عمليات سازمان شما مهم محسوب مي شود.
2. از بين بردن يا تغيير دادن اطلاعات مربوط به پيكربندي سيستم رايانه اي كه به صورت نادرست پيكربندي شده باشد يا به خوبي كار نمي كند يا كاملاً از كار مي افتد. يك نفوذگر قادر است با دستكاري يا از بين بردن اطلاعات پيكربندي، از به كارگيري رايانه يا شبكه شما ممانعت به عمل آورد. براي مثال در صورتي كه يك نفوذگر اطلاعات مسيريابي را در روترها تغيير دهد، ممكن است كل شبكه غيرفعال شود، يا اگر نفوذگر بتواند رجيستري را در ويندوز NT دستكاري كند، برخي از عمليات غيرقابل استفاده مي شوند.
3. خرابي فيزيكي يا تبديل اجزاي شبكه اين نوع از حمله ارتباط مستقيم با امنيت فيزيكي دارد. شما بايد از شبكه خود در مقابل هر گونه دسترسي غير مجاز به رايانه ها، روترها، سيم هاي شبكه، اجزاي اسكلت شبكه، ايستگاه هاي برق و دستگاه هاي خنك كننده و هر يك از اجزاي مهم ديگر شبكه محافظت به عمل آوريد. البته امنيت فيزيكي يكي از اركان اصلي در مقابله با بسياري از حملات ديگر علاوه بر انكار سرويس نيز مي باشد و بهتر است از متخصصان و مشاوران براي راهنمايي بيشتر در اين زمينه كمك گرفته شود.
پيشگيري و پاسخگويي
حملات انكار سرويس مي توانند براي بسياري از سازمانها منجر به از دست رفتن زمان ارزشمند و منابع مالي شوند. توصيه مي شود سايتها احتمال خرابي سرويس گسترده را از قبل در نظر گرفته و گامهاي مناسب را براي كاهش خطر حملات انكار سرويس به درستي بردارند. برخي از اقداماتي كه بنا بر نياز هر سايت ميتوان از آنها استفاده كرد به شرح زير است:
- فيلترهاي روتر را در شبكه خود مورد استفاده قرار دهيد. اين فيلترها احتمال برخي از انواع حملات انكار سرويس را كاهش مي دهند و همچنين از سوء استفاده كاربران شبكه در هدايت حملات انكار سرويس ممانعت به عمل مي آورند.
- بسته هاي محافظتي در مقابل طغيان TCP SYN را نصب كنيد تا احتمال اينگونه حملات را كاهش دهند ولي به ياد داشته باشيد اين بسته ها قادر به محافظت كامل از شبكه شما نيستند.
- هر سرويس شبكه را كه ضروري نيست يا مورد استفاده قرار نمي گيرد غيرفعال كنيد. اين كار قدرت نفوذگران را در سوء استفاده از اين خدمات براي اجراي حملات انكار سرويس محدود مي سازد.
- سيستم Quota را بر روي سيستم عامل خود فعال سازيد. براي مثال اگر سيستم عامل شما سهميه بندي (quota) ديسك سخت را پشتيباني مي كند، آن را براي همه حسابهاي كاربري مخصوصاً آنهايي كه خدمات شبكه را اجرا مي كنند فعال سازيد. به علاوه در صورتي كه سيستم عامل شما اجازه مي دهد سيستمهاي فايلي جداگانه اي را براي عملياتهاي مهم و كاربران تعريف و استفاده كنيد.
- كارايي سيستم خود را مورد بازبيني قرار دهيد و يك سري حدود اصلي را براي كارهاي معمولي تعريف كنيد و اين حدود را براي تشخيص استفاده هاي غير معمول از حافظه، CPU و يا ترافيك شبكه به كار ببريد.
- مرتباً امنيت فيزيكي شبكه را با توجه به نيازهاي فعلي بسنجيد. در اين سنجش، سرورها، روترها، ترمينالهاي بدون مراقبت، نقاط دسترسي شبكه، جعبه سيمها، سيستمهاي محيطي مانند تهويه هوا و برق و ديگر اجزاي شبكه را مورد وارسي قرار دهيد.
- از Tripwire يا ابزار مشابه ديگري براي تشخيص تغييرات در اطلاعات مربوط به پيكربندي يا تغييرات در ديگر فايلها، استفاده كنيد.
- براي ماشينهاي جايگزين يا hot spares سرمايه گذاري كرده و از آنها نگهداري كنيد تا در مواقع اضطراري جايگزين ماشينهاي از كارافتاده شوند.
- در مورد پيكربندي شبكه خطاپذير يا داراي افزونگي تحقيق به عمل آوريد.
- سياستها و زمانبنديهاي منظمي را براي پشتيبان گيري ايجاد و نگهداري كنيد، مخصوصاً براي اطلاعات مهم مربوط به پيكربندي.
- سياستهايي را در مورد رمز عبور مناسب ايجاد و نگهداري كنيد، خصوصاً در مورد حسابهاي كاربري با اولويت بالا مانند ريشهUNIX يا مدير Windows NT (UNIX Root and Windows NT Administrator).
امروزه بسياري از مؤسسات و سازمانها از تبعات حملات انكار سرويس متضرر مي شوند كه با رعايت موارد امنيتي و استفاده از دانش متخصصان اين زمينه مي توانند اين ضررها را به حداقل كاهش دهند.
منبع: www.cert.org
- 11