حمله محروم‌سازی از سرویس

حمله سایبری
(تغییرمسیر از انکار سرویس)

حملهٔ محروم‌سازی از سرویس به قول ایروان حمله دیداس مولتی[نیازمند منبع] (واژه مصوب فرهنگستان:حملهٔ بندآوری خدمات)[۱] (به انگلیسی: Denial of Service attack) (یا به اختصار DoS)، تلاش برای خارج کردن ماشین و منابع شبکه از دسترس کاربران مجازش است؛ در واقع هر حمله‌ای علیه دسترس پذیری به عنوان حملهٔ منع سرویس تلقی می‌شود. اگرچه منظور از حمله DoS و انگیزهٔ انجام آن ممکن است متفاوت باشد، اما به‌طور کلی شامل تلاش برای قطع موقت یا دائمی یا تعلیق خدمات یک میزبان متصل به اینترنت است.

نمایی از حملهٔ دیداس. توجه داشته باشید که چگونه چندین رایانه به یک رایانه حمله می‌کنند

اهداف حمله DoS معمولاً سایت‌ها یا خدمات میزبانی وب سرور با ویژگی‌های مناسب مانند بانک‌ها، کارت‌های اعتباری و حتی سرورهای ریشه را هدف قرار می‌دهند. یکی از روش‌های معمول حمله شامل اشباع ماشین هدف با درخواست‌های ارتباط خارجی است به‌طوری‌که ماشین هدف، نمی‌تواند به ترافیک قانونی پاسخ دهد یا پاسخ‌ها با سرعت کم داده می‌شوند یا در دسترس نمی‌باشند. چنین حملاتی منجر به سربار زیاد سرور می‌شوند. حمله DoS کامپیوتر هدف را وادار به ریست شدن یا مصرف منابع‌اش می‌کند، بنابراین نمی‌تواند به سرویس‌های مورد نظرش سرویس بدهد و همچنین سیاست‌های مورد قبول فراهم کنندگان سرویس‌های اینترنتی را نقض می‌کنند.

اهداف حمله

ویرایش

به طور کلی انجام این حمله برای اهداف زیر صورت می‌گیرد:

  1. پایین آوردن سرعت و کیفیت سرویس‌دهی شبکه (دسترسی به سایت یا انتقال فایل)
  2. از دسترس خارج کردن وب‌سایت مورد نظر
  3. قطع دسترسی تمام وب‌سایت‌ها (با حمله به name serverها)
  4. افزایش تعداد ایمیل‌های spam (که به e-mail bombing نیز معروف است)

لازم به ذکر است که این حمله فقط مختص به سرورها نیست و ممکن است یک شبکه یا حتی روتر نیز مورد حمله قرار گیرد و ممکن است کار بخش عمده‌ای از اینترنت را مختل کند.

علائم و نشانه‌ها

ویرایش

US-CERT علائم حملات منع سرویس را این گونه تعریف می‌کند:

حملات منع سرویس می‌توانند منجر به مشکلاتی در شاخه‌های شبکه در کامپیوتر واقعی مورد حمله قرار گرفته شده باشند که باعث به خطر افتادن کامپیوتر مورد نظر و کل شبکه یا کامپیوترهای دیگر در LAN می‌شود. اگر حمله در یک مقیاس بزرگ اتفاق افتاده باشد تمام نواحی جغرافیایی اتصالات اینترنت به دلیل پیکربندی نادرست یا سست بودن تجهیزات زیرساختی شبکه به خطر می‌افتد.

روش‌های حمله

ویرایش

این حملات در 3 لایه 3/4/7 انجام میشود که هرکدام برای از دسترس خارج کردن سرویس خاصی استفاده میشود.

پروتکل های حملات لایه 3 : از پروتکل های لایه 3 می‌توان به : ICMP , ARP و IGMP و... اشاره کرد.

پروتکل های حملات لایه 4 : از پروتکل های لایه 4 می‌توان به : UDP , SYN , ACK , DNS , TCP , SYN-ACK , SSDP و... اشاره کرد.

پروتکل های حملات لایه 7 : از نمونه بارز این حملات می‌توان به HTTP FLOOD اشاره کرد.

حمله منع سرویس، تلاش صریح مهاجمان در جلوگیری از دسترسی کاربران مجاز به سرویس‌های مشخص است. دو شکل کلی برای حملات DoS وجود دارد: آنهایی که سرویس‌ها را از کار می‌اندازد و آن‌هایی که سرویس‌ها را با بسته‌های سیل آسا غرق می‌کنند. حمله DoS به چندین روش انجام می‌شود، پنج نوع اصلی این حمله عبارتند از:

  1. مصرف منابع محاسباتی مانند: پهنای باند، حافظه، فضای دیسک و زمان پردازش
  2. ایجاد تداخل در اطلاعات پیکربندی مثل: اطلاعات مسیریابی
  3. ایجاد تداخل در اطلاعات وضعیت مثل ریست شدن ناخواسته نشست‌های TCP
  4. ایجاد تداخل در تجهیزات فیزیکی شبکه
  5. مانع ارتباطی بین کاربران مجاز و قربانی تا نتوانند با ارتباط ادامه دهند.

حمله DoS ممکن است شامل اجرای نرم‌افزارهای مخرب باشد:

  • حداکثر شدن استفاده از پردازنده از انجام هر کاری جلوگیری می‌کند.
  • خطاهای محرک در میکرو کدهای ماشینخطاهای محرک در توالی دستورالعمل‌ها، به‌طوری‌که کامپیوتر را وادار به یک حالت ناپایدار یا قفل کردن می‌کند.
  • بهره‌برداری از خطاهای موجود در سیستم عامل

در بیشتر موارد حمله DoS با جعل آی پی آدرس فرستنده (آی پی آدرس جعلی) انجام می‌شود، به‌طوری‌که ماشین حمله‌کننده قابل شناسایی نیست.

انواع حمله

ویرایش

اجرای یک حمله ممکن است به صورت دستی یا اجرای برنامه‌های آماده منع سرویس وجود باشد.

جریان سیل آسای ICMP

ویرایش

حملهsmurf یکی از انواع حملات DoS سیل آسا روی اینترنت است. این نوع حمله به پیکربندی نامناسب تجهیزات شبکه که اجازه ارسال بسته‌ها به همه کامپیوترهای میزبان روی یک شبکه خاص با آدرس‌های همه پخشی را می‌دهد، متکی است. در چنین حمله‌ای مهاجمان با یک آی پی جعلی یک تقاضای ping به یک یا چندین سرور همه پخشی ارسال کرده و آدرس آی پی ماشین هدف (قربانی) را ست می‌کنند. سرور همه پخشی این تقاضا را برای تمام شبکه ارسال می‌کند. تمام ماشین‌های شبکه پاسخ را به سرور، ارسال همه پخشی می‌کنند. سرور همه پخشی پاسخ‌های دریافتی را به ماشین هدف هدایت یا ارسال می‌کند. بدین صورت زمانی که ماشین حمله‌کننده تقاضائی را به چندین سرور روی شبکه‌های متفاوت همه پخشی می‌نماید، مجموعه پاسخ‌های تمامی کامپیوترهای شبکه‌های گوناگون به ماشین هدف ارسال می‌گردند و آن را از کار می‌اندازند؛ بنابراین پهنای باند شبکه به سرعت استفاده می‌شود و از انتقال بسته‌های مجاز به مقصدشان جلوگیری به عمل خواهد آمد. برای مبارزه با حمله منع سرویس در اینترنت سرویس‌هایی مانند Smurf Amplifier Registry توانایی تشخیص پیکربندی‌های نامناسب شبکه و انجام عملیات مناسب مثل فیلترینگ را می‌دهند.

بسته‌های سیل آسای Ping، بسته‌های Ping زیادی را به سمت قربانی ارسال می‌کنند. ping of death به ارسال‌هایی از بسته‌های ping با فرمت و شکل نامناسب یه سمت قربانی گفته می‌شود که باعث crash شدن سیستم عامل می‌گردد.

جریان سیل آسایSYN

ویرایش

Syn Flood زمانی اتفاق می‌افتد که میزبانی از بسته‌های سیل آسای TCP/SYN استفاده کند که آدرس فرستنده آن‌ها جعلی است. هر کدام از این بسته‌ها همانند یک درخواست اتصال بوده و باعث می‌شود سرور درگیر اتصالات متعدد نیمه باز بماند و با فرستادن یا برگرداندن بسته‌های TCP/SYN ACK، منتظر بسته‌های پاسخ از آدرس فرستنده بماند ولی چون آدرس فرستنده جعلی است هیچ پاسخی برگردانده نمی‌شود. این اتصالات نیمه باز تعداد اتصالات در دسترس سرور را اشباع می‌کنند و آن را از پاسخگویی به درخواست‌های مجاز تا پایان حمله بازمی‌دارد. بنابر این منابع سرور به اتصال‌های‌های نیمه باز اختصاص خواهد یافت. و امکان پاسخ گویی به درخواستها از سرور منع می‌شود.

حمله Teardrop

ویرایش

این حمله شامل ارسال بسته‌های آی پی است که با هم تداخل دارند یا بسته‌هایی با سایز بزرگ یا بسته‌هایی با ترتیب نامناسب می‌باشند. این حمله می‌تواند سیستم عامل‌های مختلف را به علت اشکالی که در کد بازسازی مجدد بخش‌های TCP/IP دارند crash کند. Windows 3.1x وWindows 95 و سیستم عامل Windows NT و نسخه‌های ۲٫۰٫۳۲ و ۲٫۱٫۶۳ در برابر این حمله آسیب‌پذیر هستند

حمله حجمی

ویرایش

این دسته از حملات تلاش می‌کنند با استفاده از تمام پهنای باند موجود بین هدف و اینترنت بزرگتر، باعث ایجاد تراکم شوند. حجم زیادی از داده‌ها با استفاده از یک فرم تقویت یا وسیله ای دیگر برای ایجاد ترافیک بزرگ به سمت یک هدف ارسال می‌شود، مثل درخواست‌های یک بات نت.

حمله نظیر به نظیر

ویرایش

مهاجمان به دنبال راهی برای یافتن اشکال در سرورهای نظیر به نظیر هستند تا حمله DDoS را شروع کنند. حملات نظیر به نظیر متفاوت از حملات مبتنی بر بات نت‌ها هستند. در حملات نظیر به نظیر، بات نت یا مهاجمی برای برقراری ارتباط با کلاینت وجود ندارد به جای آن مهاجم به عنوان دست نشانده‌ای از ارباب، به کلاینت‌های موجود در مراکز به اشتراک‌گذاری فایل‌ها طوری آموزش می‌دهد که شبکه نظیر به نظیر خود را قطع کرده و به جای آن به وب سایت قربانی متصل شوند. در نتیجه چندین هزار کامپیوتر به صورت تهاجمی به وب سایت قربانی وصل می‌شوند. در حالی که وب سرور قبل از این که کارایی اش تنزل پیدا کند قادر به کنترل و مدیریت صدها اتصال در ثانیه بوده‌است بلافاصله بعد از ۵ یا ۶ هزار اتصال در ثانیه شکست می‌خورد.

عدم تقارن استفاده از منابع در حملات گرسنگی

ویرایش

حمله‌ای که در مصرف منابع بر روی کامپیوتر قربانی موفق باشد باید:

  • توسط مهاجمی با منابع بیشتر انجام شود
    • کنترل کامپیوتر با قدرت محاسباتی بیشتر یا پهنای باند بیشتر شبکه
    • کنترل تعداد زیادی کامپیوتر و هدایت آن‌ها به سمت قربانی به عنوان حمله گروهی. حمله DDoS نمونه اولیه آن است.
  • بهره‌گیری از یک ویژگی سیستم عامل یا برنامه کاربردی روی سیستم قربانی که باعث می‌شود مصرف منابع قربانی بیشتر از مهاجم باشد (حمله نامتقارن).

حملات Smurf attack, SYN flood, Sockstress و NAPTHA از نوع حملات نامتقارن هستند. یک حمله ممکن است برای افزایش توان خود از ترکیبی از این روش‌ها استفاده کند.

حمله منع سرویس دائمی

ویرایش

محرومیت دائم از سرویس که به عنوان phlashing نیز شناخته می‌شود. یک حمله‌ای است که چنان صدمه‌ای به سیستم می‌زند که نیاز به جایگزینی یا نصب دوباره سخت‌افزار را به وجود می‌آورد. برخلاف DDoS این نوع حمله از نقص‌های امنیتی که اجازه مدیریت راه دور اینترفیس‌های سخت‌افزاری قربانی مثل روتر، چاپگر یا سخت‌افزارهای شبکه را می‌دهد، سوءاستفاده می‌کند. مهاجم از این آسیب‌پذیری برای جایگزین کردن سیستم عامل‌های دستگاه با نوع معیوب یا خراب استفاده می‌کند؛ بنابراین آن‌ها را تا زمان تعمیر یا تعویض، برای هدف اصلی غیرقابل استفاده می‌کند.

نوع قدیمی حمله DoS در برابر شبکه‌های کامپیوتری است که متشکل از بسته‌های ICMP تکه‌تکه یا نامعتبر ارسال شده به سمت هدف است، که با استفاده از pingهای دستکاری شده و ارسال مکرر داده‌های خراب به‌دست می‌آید و سرعت سیستم رفته رفته کم شده و متوقف می‌شود. یکی از مثال‌های خاص حمله Nuke، حمله WinNuke است که از آسیب‌پذیری نت بایوس در ویندوز ۹۵ سوءاستفاده می‌کند.

(R-U-Dead-Yet? (RUDY

ویرایش

این حمله به برنامه‌های کاربردی وب با ایجاد گرسنگی در جلسات در دسترس روی وب سرور حمله می‌کند. شبیه Slowloris، جلسات را با استفاده از انتقال پست‌های بدون پایان و ارسال مقادیر سرآیند با محتویات بزرگ در حالت توقف نگه می‌دارد.

حمله‌های توزیع شده(DDoS)

ویرایش

اگر مهاجم برای حمله از یک میزبان استفاده کند به این نوع حمله DoS می‌گوییم ولی حمله DDoS زمانی اتفاق می‌افتد که چندین سیستم به‌طور هم‌زمان پهنای باند یا منابع سیستم مورد هدف را با بسته‌های سیل‌آسا مورد حمله قرار دهند. وقتی سروری با اتصالات زیادی دچار سربار شود، دیگر نمی‌تواند اتصالات جدیدی را بپذیرد. مزیت عمده‌ای که استفاده از حمله منع سرویس توزیع شده برای مهاجم دارد این است که ماشین‌های چندگانه می‌توانند ترافیک بیشتری را نسبت به یک ماشین تولید کنند و همچنین مسدود کردن منبع حمله را به علت وجود منابع متعدد در حمله غیرممکن می‌سازد. در روش DDoS تمام رایانه‌ها هم‌زمان با هم عمل می‌کنند به‌طوری‌که ممکن است در برخی موارد خسارات جبران‌ناپذیری به بار آورند. در این روش معمولاً مهاجم سیستم‌های زیادی را آلوده کرده و به آن‌ها هم‌زمان فرمان می‌دهد. به سیستم‌های آلوده شده زامبی (zombie) و به شبکه‌ای از این سیستم‌ها که تحت کنترل یک شخص هستند، botnet گفته می‌شود.

حمله جعل شده/منعکس شده

ویرایش

DrDoS حمله منع سرویس توزیع شده منعکس شده، نوعی از حملات منع سرویس است که طراحی نسبتاً هوشمندانه‌ای دارد. این حمله از آن جهت شبیه به DDoS است که از چندین منبع برای حمله به یک شخص استفاده می‌کند؛ اما این کار به‌طور پنهانی انجام می‌شود. در این حمله مهاجم بسته‌هایی را به تعداد زیادی (صدها نفر) از کاربران می‌فرستد و به آن‌ها هشدار می‌دهد که رایانهٔ قربانی درخواست سرویس خاصی را دارد. به ازای هر بسته میزان بسیار کمی از ترافیک تولید می‌شود، شاید کوچکتر از درخواست‌های معمول؛ از این رو بسیار بعید است که این حمله توسط مدیران مورد توجه قرار گرفته یا حس شود. حملات درخواست echo ICMP به عنوان نوعی حمله منعکس شده در نظر گرفته می‌شوند که در آن میزبان‌های سیل آسا درخواست‌های echo را به آدرس‌های همه پخشی شبکه‌های با پیکربندی نامناسب ارسال می‌کند در نتیجه میزبان مجبور به ارسال بسته‌های پاسخ echo به قربانی می‌شود. DDoSهای اولیه به این شکل پیاده‌سازی می‌شدند.

حمله منع سرویس تلفنی

ویرایش
  • scammer با بانکدار قربانی یا کارگذار تماس برقرار می‌کند و هویت قربانی را برای درخواست انتقال وجه جعل می‌کند، بانکدار تلاش می‌کند تا با قربانی برای تأیید انتقال، تماس حاصل کند ولی خطوط تلفن قربانی با هزاران تماس ساختگی به صورت سیل آسا مورد حمله قرار گرفته و موجب در دسترس نبودن قربانی می‌شود.
  • scammer با مشتری با ادعای ساختگی برای پرداخت وام فوق‌العاده زیاد تماس می‌گیرد، scammerها در برخی موارد از شناسه جعلی تماس گیرنده برای جا زدن خودشان به جای پلیس یا آژانس‌های اجرای قانون استفاده می‌کنند.

سوء استفاده‌های مرتبط شامل حملات سیل آسای پیامکی و فکس‌های سیاه یا انتقال حلقه‌ای فکس است.

حمله توزیع شده انکار از سرویس مبتنی بر سرویس دهنده نام دامنه

ویرایش

حمله انکار سرویس (به انگلیسی: Denial of Service attack) (یا به اختصار DoS) به معنای تلاش برای خارج کردن ماشین و منابع شبکه از دسترس کاربران مجازش است. اگرچه منظور از حمله DOS و انگیزه انجام آن ممکن است متفاوت باشد، اما به‌طور کلی شامل تلاش برای قطع موقت یا دائمی یا تعلیق خدمات یک میزبان متصل به اینترنت است. عاملان حمله DOS معمولاً سایت‌ها یا خدمات میزبانی وب سرور با ویژگی‌های مناسب مانند بانک‌ها، کارت‌های اعتباری و حتی سرورهای ریشه را هدف قرار می‌دهند؛ مثلاً با ارسال سیل آسای بسته‌ها به سمت یک سرور و اشغال بخش بزرگی از حافظه سرور امکان استفاده از خدمات سرور برای کاربران واقعی را غیرممکن کند.
حمله توزیع شده انکار از سرویس (به انگلیسی: Distributed Denial of Service attack) (یا به اختصار DDoS) از نظر عملکرد مشابه با DOS است ولی یک تفاوت اساسی با آن دارد. در حمله DOS از یک کامپیوتر و یک ارتباط اینترنتی جهت فلج کردن سرور در سیلابی از بسته‌ها استفاده می‌شود ولی در حمله DDoS از چندین سیستم و چندین ارتباط اینترنتی برای ارسال سیل آسای بسته‌ها جهت مصرف پهنای باند و منابع سرور استفاده می‌شود.
حمله توزیع شده انکار از سرویس مبتنی بر سرویس دهنده نام دامنه (به انگلیسی: DNS DDoS Amplification Attack) نوعی از حمله DDoS است که قربانی (مثلاً یک سرویس دهنده نام) را در سیلابی از پیام‌های جواب DNS گرفتار می‌کند.

شیوه انجام حمله

ویرایش

دراین نوع حمله مهاجم به جای استفاده از سیستم خود از سیستم دیگران استفاده می‌کند. با این کار احتمال شناسایی شدن خود را پایین می‌آورد، به علاوه موفقیت این حمله به زیاد بودن تعداد سیستم‌هایی که در این فعالیت شرکت می‌کنند وابسته است. راه‌های زیادی وجود دارد که مهاجم می‌تواند کنترل سیستم‌های دیگر را به دست آورد مثلاً ارسال ایمیل‌های آلوده به تعداد بسیار زیادی از سیستم‌ها. به سیستم‌های آلوده شده زامبی (zombie) و به شبکه‌ای از این سیستم‌ها که تحت کنترل یک شخص هستند، بات نت (botnet) می‌گویند. کاربران سیستم‌های زامبی اغلب از آلوده شدن کامپیوترهای خود بی‌خبر می‌باشند چرا که این سیستم‌ها برای نابودی سیستم‌های دیگر و نه نابودی خود استفاده می‌شوند.
با فرمان مهاجم تمام سیستم‌های زامبی شروع به ارسال پیام‌های درخواست DNS می‌کنند. این پیام‌ها دو ویژگی دارند، اولاً سیستم‌های زامبی با جعل آدرس مبدأ بسته‌های این پیام‌ها، آدرس سیستم قربانی را جایگزین آدرس خود می‌کنند. ثانیاً در این پیام‌ها محتوای رکورد بسط (به انگلیسی: amplification record) مورد تقاضا است. با استفاده از قابلیت گسترش مهاجم می‌تواند حجم ترافیکی مورد استفاده در حمله را بسیار بالا ببرد چرا که با وجود کوچک بودن حجم محتوای این نوع پیام‌های درخواست (تقریباً ۶۰ بایت)، حجم پیام‌های پاسخ بسیار بالا و قابل توجه (تقریباً ۴۰۰۰ بایت) است.
مهاجم لیستی از سرویس دهندگان نام دامنه (به انگلیسی: Domain Name Server) (یا به اختصار DNS) را که از شیوه بازگشتی استفاده می‌کنند، می‌داند و پیام‌های ارسالی سیستم‌های شبکه botnet در این سرویس دهندگان دریافت می‌شود. پس از انجام عملیات لازم و تولید پیام جواب، این پیام به جای ارسال شدن به سمت سیستم‌های زامبی، به سمت قربانی (به دلیل جعل آدرس مبدأ در پیام درخواست) ارسال می‌شود.
قربانی بی‌خبر، با وجود آنکه حتی یک پیام درخواست ارسال نکرده ناگهان با بمبارانی از پیام‌های جواب روبه‌رو می‌شود. هر پیام جواب حاوی یک رکورد ۴۰۰۰ بایتی می‌باشند بنابراین به دلیل بسیار بزرگ بودن اندازه آن‌ها به مجموعه‌ای از بسته‌های کوچکتر شکسته می‌شوند. این موضوع باعث می‌شود تا سیستم مقصد مجبور به دریافت این بسته‌ها و انجام عملیات روی هم‌گذاری آن‌ها شود که منجر به افزایش بار پردازش در ماشین مقصد می‌شود.

خواص پروتکل DNS در موفقیت حمله

ویرایش
  1. پروتکل DNS از پروتکل UDP و نه از TCP استفاده می‌کند. استفاده از جعل آدرس مبدأ با استفاده از UDP راحت‌تر از TCP است.
  2. این موضوع که پیام‌های جواب از نظر اندازه می‌تواند به مراتب بزرگتر از پیام‌های درخواست باشند، به مهاجم در استفاده از خاصیت قابلیت گسترش (به انگلیسی: amplification record) در انجام حمله کمک می‌کند.

راه‌های مقابله با این حمله

ویرایش

برخلاف پیام‌های درخواست در پیام‌های جواب آدرس مبدأ جعل نمی‌شود پس آدرس مبدأ در این پیام‌ها همان آدرس سرویس دهندگان نام است. بسته به میزان شدت حمله بر روی سیستم قربانی، این سیستم می‌تواند نرخ ترافیک دریافتی از این آدرس‌های مبدأ را محدود کند، یا با استفاده از قوانین فیلتر گیرنده تمام بسته‌های جواب DNS را که طولشان به طرز مشکوکی طولانی است را حذف کند، یا به‌طور کلی تمام ترافیک‌های مربوط به آدرس سرویس دهندگان نام‌هایی که از شیوه بازگشتی استفاده می‌کنند را بلوکه کند.
موفقیت این حمله بسیار به این موضوع وابسته است که از سیستم‌های سرویس دهندگان نام دامنه‌ای برای تولید پیام‌های جواب استفاده شود که از شیوه بازگشتی استفاده می‌کنند. سرویس دهندگانی که از شیوه بازگشتی استفاده می‌کنند به این صورت رفتار می‌کنند که اگر اطلاعات رکورد مورد نظر در آن‌ها ذخیره نشده باشد خود با ارسال پیام به سرویس دهنده دیگر درخواست دریافت رکورد مورد نظر را اعلام می‌کند. سرویس دهنده دیگر نیز در صورتی که رکورد موردنظر را نداشته باشد همین کار را تکرار می‌کند و این زنجیره ادامه می‌یابد تا بالاخره یکی از سرویس دهندگان حاوی رکورد مورد نظر باشد و پیام جواب به صورت بازگشتی به دست سرویس دهنده اولیه برسد. در حالی که در شیوه غیر بازگشتی اگر سرویس دهنده دارای رکورد مورد نظر نباشد با ارسال یک پیام به آدرس سیستم ارسال‌کننده پیام درخواست، به وی اطلاع می‌دهد که اطلاعات رکورد مورد نظر را ندارد ولی آدرس سرویس دهنده دیگری که می‌تواند در پیدا کردن این رکورد کمک کند را به مبدأ اعلام می‌کند. پس اگر در حمله از سرویس دهندگانی استفاده می‌شد که از شیوه غیر بازگشتی استفاده می‌کنند، اگر رکورد مورد نظر را نداشتند پیامی به ماشین قربانی ارسال می‌شد. ماشین قربانی نیز چون قبلاً هیچ پیام درخواستی ارسال نکرده بود، این پیام را نادیده می‌گرفت. استفاده از شیوه بازگشتی زمانی مناسب است که سرویس دهندگان از این شیوه برای تولید پیام جواب برای پیام‌های درخواستی ارسال شده از سوی کاربران قابل اعتماد مربوط به شبکه خودش (مثلاً یک رنج مشخصی از آدرس‌های IP) و نه برای هر مبدأ با هر آدرس ممکن استفاده کند. متأسفانه تعداد سرویس دهندگان نام دامنه که از شیوه بازگشتی (پیکربندی نامناسب) استفاده می‌کنند کم نیست.

Ping Flood

ویرایش

در این روش تنها با فرستادن بیش از حد بسته‌های ping از طرف تعداد زیادی از سیستم‌ها، صورت می‌گیرد. در شبکه‌هایی که به درستی تنظیم نشده‌اند با جعل‌کردن (spoofing) آدرس سیستم مورد نظر و ارسال درخواست ping به broadcast تمامی سیستم‌های موجود در شبکه به سیستم هدف پاسخ ارسال می‌کنند و ارسال تعداد زیاد این درخواست‌ها باعث شلوغ شدن شبکه و از کار افتادن سیستم مورد نظر می‌شود.

مدیریت یا اداره حمله

ویرایش

پاسخ دفاعی در برابر حملات منع سرویس شامل استفاده از ترکیبی از روش‌های تشخیص حمله، طبقه‌بندی ترافیک و ابزارهای پاسخ است که هدف آن‌ها بلوکه کردن ترافیک‌های غیرمجاز و اجازه برقراری ترافیک‌های مجاز است.

به‌طور کلی هیچ راه تضمین‌کننده‌ای برای جلوگیری از این حمله وجود ندارد و تنها راه‌هایی برای جلوگیری از برخی روش‌های متداول و کم کردن اثرات سایر روش‌ها موجوداست، چرا که بسیاری از روش‌ها به هیچ‌عنوان قابل پیشگیری نیست، به عنوان مثال اگر شبکه botnet با صدهزار zombie صفحه‌ای از سایت را باز کنند، این درخواست یک درخواست عادی بوده و نمی‌توان تشخیص داد که درخواست دهنده سیستم معمولی است یا zombie و به همین جهت نمی‌توان جلوی آن را گرفت.

استفاده از سیستم‌های تشخیص دهنده (IPS) سیستم‌های تشخیص براساس سرعت بسته‌ها (RBIPS) و این‌گونه سیستم‌ها نیز روش مناسبی برای جلوگیری از این حملات است.

بسته‌های نرم‌افزاری نیز موجودند که شامل تمام این سیستم‌ها هستند، استفاده از این بسته‌ها علاوه بر حملات DoS بسیاری دیگر از حملات را شناسایی می‌کنند، بسته نرم‌افزاری SSP (Sun Security Package) از جمله این بسته‌ها است که کار شناسایی و جلوگیری را به صورت خودکار انجام می‌دهد.

دیوار آتش

ویرایش

دیوار آتش می‌تواند به این صورت راه اندازی شود که شامل قوانین ساده برای اجازه یا رد کردن پروتکل‌ها، پورت‌ها یا آی پی آدرس‌ها باشد. در مورد حملات ساده‌ای که از آدرس‌های با آی پی غیرمعمول می‌آیند می‌توان با قرار دادن قانون ساده‌ای که ترافیک‌های ورودی از چنین مهاجمانی را حذف کند. برخی حملات با چنین قوانین ساده‌ای قابل بلوکه شدن نیستند، اگر یک حمله روی پورت ۸۰(وب سرویس) در حال انجام باشد غیرممکن است که همه ترافیک‌های ورودی روی چنین پورتی را حذف کرد، زیرا این کار، سرورها را از ارائه ترافیک قانونی منع می‌کند.

سوئیچ‌ها

ویرایش

برخی سوئیچ‌ها دارای عوامل محدودکننده نرخ و قابلیت لیستهای کنترل دسترسی هستند. برخی سوئیچ‌ها از فیلترینگ برای تشخیص و از بین بردن حملات DoS از طریق فیلتر کردن خودکار نرخ استفاده می‌کنند.

روترها

ویرایش

مشابه سوئیچ‌ها، روترها هم قابلیت ACL و کنترل نرخ را دارند. بیشتر روترها می‌توانند در برابر حملات DoS قرار بگیرند. سیستم عامل‌های سیسکو دارای ویژگی ای هستند که از حملات سیل آسا پیشگیری می‌کند.

استفاده از روترهای جدید و مدرن با توجه به پیشرفت علم و آمدن اینترنت‌های نسل جدید ای دی اس ال ۲ سبب شد تا برای داشتن سرعت بیشتر کاربران و راحتی آن‌ها استفاده از طریق روترهای مدرن که سرعت بیشتری داشته‌اند بسیار مورد استقبال تمامی کاربران قرار بگیرد، موج جدیدی از حملات دی داس بر روی انواع سرورها با شروع ای دی اس ال ۲ و نسل جدید مودم‌های خانگی و سازمانی آغاز شد، همین موضوع سبب شد تا سازمان‌های بسیاری در زمینه ارائه دهنده خدمات اینترنت و شرکت‌های ارائه دهنده هاست و انواع سرور در سر تا سر دنیا ابراز نگرانی کنند.[۲]

سیستم پیشگیری از نفوذ

ویرایش

سیستم پیشگیری از نفوذ زمانی مؤثر است که حملات دارای امضا باشند. سیستم پیشگیری از نفوذ که روی شناخت محتوا کار می‌کند نمی‌تواند حملات DoSمبتنی بر رفتار را بلوکه کند.IPS مبتنی بر ASCI می‌تواند حملات منع سرویس را تشخیص و بلوکه کند، زیرا دارای توان پردازشی و تجزیه و تحلیل حملات است. IPS مبتنی بر نرخ(RBIPPS)باید الگوی ترافیک را به صورت تک تک و به‌طور پیوسته مانیتور کند. آنومالی ترافیک را در صورت وجود تعیین کند.

سیاه چاله و گودال

ویرایش

به مدیر اجازه می‌دهد که ترافیک حمله را به یک آدرس آی پی (اینترفیس خالی یا سرور غیرموجود)، هدایت کند تا آن را حذف نماید. وقتی حمله‌ای تشخیص داده می‌شود، یک مسیر ثابت ایجاد می‌شود تا ترافیک حمله را به جای ماشین قربانی به سمت یک سیاه چاله، هدایت کنند. در حالت گودال، ترافیک حمله به یک آدرس آی پی ارسال می‌شود تا برای بررسی بیشتر ثبت شود. مزیت آن این است که ترافیک حمله می‌تواند جمع‌آوری و آنالیز شود تا الگوی حمله مورد مطالعه و بررسی قرارگیرد.

Backscatter

ویرایش

در امنیت شبکه‌های کامپیوتری، برگشت پراکنده مشکل و عارضه جانبی حمله منع سرویس جعلی است. در این نوع حمله، مهاجم آدرس آی پی مبدأ بسته را جعل می‌کند و به قربانی ارسال می‌کند، در کل ماشین قربانی قادر به تشخیص بسته‌های جعلی و مجاز نیست، بنابراین قربانی به بسته‌های جعلی پاسخ می‌دهد، این بسته‌های پاسخ به عنوان برگشت پراکنده تلقی می‌شوند. اگر مهاجم آی پی آدرس‌های مبدأ را به صورت تصادفی جعل کند، بسته‌های پاسخ برگشت پراکنده از قربانی به مقصدهای تصادفی ارسال می‌شوند.

منابع

ویرایش
  1. «حملهٔ بندآوری خدمات» مصوب فرهنگستان زبان و ادب فارسی در برابر «Denial of service attack» است (دفتر پنجم). «منبع». (آخرین بازدید: ۲۴ خرداد ۱۳۹۹)
  2. «ADSL و ADSL+2 چیست ؟». 🆃🅴🅲🅷🅾🅻🅸🅵🅴. ۲۰۲۰-۰۵-۰۸. دریافت‌شده در ۲۰۲۰-۰۷-۱۸.