انواع حملات در شبكه‌های كامپیوتری

بخش دوم

در بخش اول این مقاله به ضرورت شناسائى سرویس ها و پروتكل ها ى غیرضرورى ، نصب و پیكربندى سرویس ها و پروتكل هاى مورد نیاز با لحاظ نمودن مسائل امنیتى در یك شبكه ، اشاره گردید . همانگونه كه در بخش اول این مقاله اشاره شد ، حملات در یك شبكه كامپیوترى ، حاصل پیوند سه عنصر مهم سرویس ها ى فعال ، پروتكل هاى استفاده شده و پورت هاى باز مى باشد. كارشناسان امنیت اطلاعات مى بایست با تمركز بر سه محور فوق ، شبكه اى ایمن و مقاوم در مقابل انواع حملات را ایجاد و نگهدارى نمایند.

انواع حملات

Denial of Service (DoS) & Distributed Denial of Service (DDoS)
Back Door Spoofing
Man in the Middle Replay
TCP/IP Hijacking Weak Keys
Mathematical Password Guessing
Brute Force Dictionary
Birthday Software Exploitation
Malicious Code Viruses
Virus Hoaxes Trojan Horses
Logic Bombs Worms
Social Engineering Auditing
System Scanning

حملات از نوع DoS

هدف از حملات DoS ، ایجاد اختلال در منابع و یا سرویس هائى است كه كاربران قصد دستیابى و استفاده از آنان را دارند ( از كار انداختن سرویس ها ) . مهمترین هدف این نوع از حملات ، سلب دستیابى كاربران به یك منبع خاص است . در این نوع حملات، مهاجمان با بكارگیرى روش هاى متعددى تلاش مى نمایند كه كاربران مجاز را به منظور دستیابى و استفاده از یك سرویس خاص ، دچار مشكل نموده و بنوعى در مجموعه سرویس هائى كه یك شبكه ارائه مى نماید ، اختلال ایجاد نمایند . تلاش در جهت ایجاد ترافیك كاذب در شبكه ، اختلال در ارتباط بین دو ماشین ، ممانعت كاربران مجاز به منظور دستیابى به یك سرویس ، ایجاد اختلال در سرویس ها ، نمونه هائى از سایر اهدافى است كه مهاجمان دنبال مى نمایند . در برخى موارد و به منظور انجام حملات گسترده از حملات DoS به عنوان نقطه شروع و یك عنصر جانبى استفاده شده تا بستر لازم براى تهاجم اصلى ، فراهم گردد . استفاده صحیح و قانونى از برخى منابع نیز ممكن است ، تهاجمى از نوع DoS را به دنبال داشته باشد .

مثلا" یك مهاجم مى تواند از یك سایت FTP كه مجوز دستیابى به آن به صورت anonymous مى باشد ، به منظور ذخیره نسخه هائى از نرم افزارهاى غیرقانونى ، استفاده از فضاى ذخیره سازى دیسك و یا ایجاد ترافیك كاذب در شبكه استفاده نماید . این نوع از حملات مى تواند غیرفعال شدن كامپیوتر و یا شبكه مورد نظر را به دنبال داشته باشد . حملات فوق با محوریت و تاكید بر نقش و عملیات مربوط به هر یك از پروتكل هاى شبكه و بدون نیاز به اخذ تائیدیه و یا مجوزهاى لازم ، صورت مى پذیرد . براى انجام این نوع حملات از ابزارهاى متعددى استفاده مى شود كه با كمى حوصله و جستجو در اینترنت مى توان به آنان دستیابى پیدا كرد . مدیران شبكه هاى كامپیوترى مى توانند از این نوع ابزارها ، به منظور تست ارتباط ایجاد شده و اشكال زدائى شبكه استفاده نمایند . حملات DoS تاكنون با اشكال متفاوتى ، محقق شده اند . در ادامه با برخى از آنان آشنا مى شویم .

Smurf/smurfing :

این نوع حملات مبتنى بر تابع Reply پروتكل Internet Control Message Protocol) ICMP) ،بوده و بیشتر با نام ping شناخته شده مى باشند .( Ping ، ابزارى است كه پس از فعال شدن از طریق خط دستور ، تابع Reply پروتكل ICMP را فرامى خواند) . در این نوع حملات ، مهاجم اقدام به ارسال بسته هاى اطلاعاتى Ping به آدرس هاى Broadcast شبكه نموده كه در آنان آدرس مبداء هر یك از بسته هاى اطلاعاتى Ping شده با آدرس كامپیوتر قربانى ، جایگزین مى گردد .بدین ترتیب یك ترافیك كاذب در شبكه ایجاد و امكان استفاده از منابع شبكه با اختلال مواجه مى گردد.

Fraggle :

این نوع از حملات شباهت زیادى با حملات از نوع Smurf داشته و تنها تفاوت موجود به استفاده از User Datagram Protocol ) UDP) در مقابل ICMP ، برمى گردد . در حملات فوق ، مهاجمان اقدام به ارسال بسته هاى اطلاعاتى UDP به آدرس هاى Broadcast ( مشابه تهاجم Smurf ) مى نمایند . این نوع از بسته هاى اطلاعاتى UDP به مقصد پورت 7 ( echo ) و یا پورت 19 ( Chargen ) ، هدایت مى گردند.

Ping flood :

در این نوع تهاجم ، با ارسال مستقیم درخواست هاى Ping به كامپیوتر فربانى ، سعى مى گردد كه سرویس ها بلاك و یا فعالیت آنان كاهش یابد. در یك نوع خاص از تهاجم فوق كه به ping of death ، معروف است ، اندازه بسته هاى اطلاعاتى به حدى زیاد مى شود كه سیستم ( كامپیوتر قربانى ) ، قادر به برخورد مناسب با اینچنین بسته هاى اطلاعاتى نخواهد بود .

SYN flood :

در این نوع تهاجم از مزایاى three-way handshake مربوط به TCP استفاده مى گردد . سیستم مبداء اقدام به ارسال مجموعه اى گسترده از درخواست هاى synchronization ) SYN) نموده بدون این كه acknowledgment ) ACK) نهائى آنان را ارسال نماید. بدین ترتیب half-open TCP sessions (ارتباطات نیمه فعال ) ، ایجاد مى گردد . با توجه به این كه پشته TCP ، قبل از reset نمودن پورت ، در انتظار باقى خواهد ماند ، تهاجم فوق ، سرریز بافر اتصال كامپیوتر مقصد را به دنبال داشته و عملا" امكان ایجاد ارتباط وى با سرویس گیرندگان معتبر ، غیر ممكن مى گردد .

Land :

تهاجم فوق، تاكنون در نسخه هاى متفاوتى از سیستم هاى عامل ویندوز ، یونیكس ، مكینتاش و IOS سیسكو،مشاهده شده است . در این نوع حملات ، مهاجمان اقدام به ارسال یك بسته اطلاعاتى TCP/IP synchronization ) SYN) كه داراى آدرس هاى مبداء و مقصد یكسان به همراه پورت هاى مبداء و مقصد مشابه مى باشد ، براى سیستم هاى هدف مى نمایند . بدین ترتیب سیستم قربانى، قادر به پاسخگوئى مناسب بسته اطلاعاتى نخواهد بود .

Teardrop :

در این نوع حملات از یكى از خصلت هاى UDP در پشته TCP/IP برخى سیستم هاى عامل ( TCPپیاده سازى شده در یك سیستم عامل ) ، استفاده مى گردد. در حملات فوق ، مهاجمان اقدام به ارسال بسته هاى اطلاعاتى fragmented براى سیستم هدف با مقادیر افست فرد در دنباله اى از بسته هاى اطلاعاتى مى نمایند . زمانى كه سیستم عامل سعى در بازسازى بسته هاى اطلاعاتى اولیه fragmented مى نماید، قطعات ارسال شده بر روى یكدیگر بازنویسى شده و اختلال سیستم را به دنبال خواهد داشت . با توجه به عدم برخورد مناسب با مشكل فوق در برخى از سیستم هاى عامل ، سیستم هدف ، Crash و یا راه اندازى مجدد مى گردد .

Bonk :

این نوع از حملات بیشتر متوجه ماشین هائى است كه از سیستم عامل ویندوز استفاده مى نمایند . در حملات فوق ، مهاجمان اقدام به ارسال بسته هاى اطلاعاتى UDP مخدوش به مقصد پورت 53 DNS ، مى نمایند بدین ترتیب در عملكرد سیستم اختلال ایجاد شده و سیستم Crash مى نماید .

Boink :

این نوع از حملات مشابه تهاجمات Bonk مى باشند. با این تفاوت كه در مقابل استفاده از پورت 53 ، چندین پورت ، هدف قرارمى گیرد .


یكى دیگر از حملات DoS ، نوع خاص و در عین حال ساده اى از یك حمله DoS مى باشد كه با نام Distributed DoS ) DDoS) ، شناخته مى شود .در این رابطه مى توان از نرم افزارهاى متعددى به منظور انجام این نوع حملات و از درون یك شبكه ، استفاده بعمل آورد. كاربران ناراضى و یا افرادى كه داراى سوء نیت مى باشند، مى توانند بدون هیچگونه تاثیرى از دنیاى خارج از شیكه سازمان خود ، اقدام به ازكارانداختن سرویس ها در شبكه نمایند. در چنین حملاتى ، مهاجمان نرم افزارى خاص و موسوم به Zombie را توزیع مى نمایند . این نوع نرم افزارها به مهاجمان اجازه خواهد داد كه تمام و یا بخشى از سیستم كامپیوترى آلوده را تحت كنترل خود درآورند. مهاجمان پس از آسیب اولیه به سیستم هدف با استفاده از نرم افزار نصب شده Zombie ، تهاجم نهائى خود را با بكارگیرى مجموعه اى وسیع از میزبانان انجام خواهند داد. ماهیت و نحوه انجام این نوع از حملات ، مشابه یك تهاجم استاندارد DoS بوده ولى قدرت تخریب و آسیبى كه مهاجمان متوجه سیستم هاى آلوده مى نمایند ، متاثر از مجموع ماشین هائى ( Zombie ) است كه تحت كنترل مهاجمان قرار گرفته شده است .

به منظور حفاظت شبكه ، مى توان فیلترهائى را بر روى روترهاى خارجى شبكه به منظور دورانداختن بسته هاى اطلاعاتى مشمول حملات DoS ، پیكربندى نمود .در چنین مواردى مى بایست از فیلترى دیگر كه امكان مشاهده ترافیك (مبداء از طریق اینترنت) و یك آدرس داخلى شبكه را فراهم مى نماید ، نیز استفاده گردد .

حملات از نوع Back door

Back door ، برنامه اى است كه امكان دستیابى به یك سیستم را بدون بررسى و كنترل امنیتى ، فراهم مى نماید . برنامه نویسان معمولا" چنین پتانسیل هائى را در برنامه ها پیش بینى تا امكان اشكال زدائى و ویرایش كدهاى نوشته شده در زمان تست بكارگیرى نرم افزار ، فراهم گردد. با توجه به این كه تعداد زیادى از امكانات فوق ، مستند نمى گردند ، پس از اتمام مرحله تست به همان وضعیت باقى مانده و تهدیدات امنیتى متعددى را به دنبال خواهند داشت .
برخى از متداولترین نرم افزارها ئى كه از آنان به عنوان back door استفاده مى گردد ، عبارتند از :

Back Orifice : برنامه فوق یك ابزار مدیریت از راه دور مى باشد كه به مدیران سیستم امكان كنترل یك كامپیوتر را از راه دور ( مثلا" از طریق اینترنت ) ، خواهد داد. نرم افزار فوق ، ابزارى خطرناك است كه توسط گروهى با نام Cult of the Dead Cow Communications ، ایجاد شده است . این نرم افزار داراى دو بخش مجزا مى باشد : یك بخش سرویس گیرنده و یك بخش سرویس دهنده . بخش سرویس گیرنده بر روى یك ماشین اجراء و زمینه مانیتور نمودن و كنترل یك ماشین دیگر كه بر روى آن بخش سرویس دهنده اجراء شده است را فراهم مى نماید .

NetBus : این برنامه نیز نظیر Back Orifice ، امكان دستیابى و كنترل از راه دور یك ماشین از طریق اینترنت را فراهم مى نماید.. برنامه فوق تحت سیستم عامل ویندوز ( نسخه هاى متفاوت از NT تا 95 و 98 ) ، اجراء و از دو بخش جداگانه تشكیل شده است : بخش سرویس دهنده ( بخشى كه بر روى كامپیوتر قربانى مستقر خواهد شد ) و بخش سرویس گیرنده ( برنامه اى كه مسولیت یافتن و كنترل سرویس دهنده را برعهده دارد ) . برنامه فوق ، به حریم خصوصى كاربران در زمان اتصال به اینترنت ، تجاوز و تهدیدات امنیتى متعددى را به دنبال خواهد داشت .

Sub7) SubSeven) ، این برنامه برنامه نیز تحت ویندوز اجراء شده و داراى عملكردى مشابه Back Orifice و NetBus مى باشد . پس از فعال شدن برنامه فوق بر روى سیستم هدف و اتصال به اینترنت ،هر شخصى كه داراى نرم افزار سرویس گیرنده باشد ، قادر به دستیابى نامحدود به سیستم خواهد بود .

نرم افزارهاى Back Orifice ، NetBus, Sub7 داراى دو بخش ضرورى سرویس دهنده و سرویس گیرنده، مى باشند . سرویس دهنده بر روى ماشین آلوده مستقر شده و از بخش سرویس گیرنده به منظور كنترل از راه دور سرویس دهنده ، استفاده مى گردد.به نرم افزارهاى فوق ، " سرویس دهندگان غیرقانونى " گفته مى شود .
برخى از نرم افزارها از اعتبار بالائى برخوردار بوده ولى ممكن است توسط كاربرانى كه اهداف مخربى دارند ، مورد استفاده قرار گیرند :

Virtual Network Computing)VNC) :

نرم افزار فوق توسط آزمایشگاه AT&T و با هدف كنترل از راه دور یك سیستم ، ارائه شده است . با استفاده از برنامه فوق ، امكان مشاهده محیط Desktop از هر مكانى نظیر اینترنت ، فراهم مى گردد . یكى از ویژگى هاى جالب این نرم افزار ، حمایت گسترده از معمارى هاى متفاوت است .

PCAnywhere :

نرم افزار فوق توسط شركت Symantec ، با هدف كنترل از راه دور یك سیستم با لحاظ نمودن فن آورى رمزنگارى و تائید اعتبار ، ارائه شده است . با توجه به سهولت استفاده از نرم افزار فوق ، شركت ها و موسسات فراوانى در حال حاضر از آن و به منظور دستیابى به یك سیستم از راه دور استفاده مى نمایند .

Terminal Services : نرم افزار فوق توسط شركت مایكروسافت و به همراه سیستم عامل ویندوز و به منظور كنترل از راه دور یك سیستم ، ارائه شده است .

همانند سایر نرم افزارهاى كاربردى ، نرم افزارهاى فوق را مى توان هم در جهت اهداف مثبت و هم در جهت اهداف مخرب بكارگرفت.
بهترین روش به منظور پیشگیرى از حملات Back doors ، آموزش كاربران و مانیتورینگ عملكرد هر یك از نرم افزارهاى موجود مى باشد. به كاربران مى بایست آموزش داده شود كه صرفا" از منابع و سایت هاى مطمئن اقدام به دریافت و نصب نرم افزار بر روى سیستم خود نمایند . نصب و استفاده از برنامه هاى آنتى ویروس مى تواند كمك قابل توجهى در بلاك نمودن عملكرد اینچنین نرم افزارهائى ( نظیر : Back Orifice, NetBus, and Sub7 ) را به دنبال داشته باشد . برنامه هاى آنتى ویروس مى بایست به صورت مستمر بهنگام شده تا امكان شناسائى نرم افزارهاى جدید ، فراهم گردد .

در بخش سوم این مقاله به بررسى سایر حملات ، خواهیم پرداخت .

برگرفته از سایت www.data-srco.com