جلوگيري از سرويسدهي سرورها: از جمله حملاتي كه وب سرورهـــــا بسيار زياد گرفتـــــار آنها ميشونـــــد، جلوگيري از سرويسدهي (Denial of Service) است. اين نوع حملات بسيار رايج بوده، زيرا كاربران غير حرفهاي نيز ميتوانند آنهـــــا را ايجاد كنند. به عنوان مثال بسياري از سرورها در بانكهاي الكترونيكي يا سرويسدهندگان پستالكترونيكي ممكن است به اين مشكل گرفتار شوند.
در اين نـــــوع از حملات اينترنتي، درخواستهايي جعلـــــي از يك يا چند منبع متفـــــاوت به سرور ارســـــال ميشود و بـــــا حجم زيـــــاد درخواستهـــــاي تقلبـــــي، سرور از پاسخدهـــــي به درخواستهاي واقعي عاجز ميماند. اين روش اغلب توسط هكرهــاي غيرحرفهاي مورد استفاده قرار ميگيرد كه برنامههايي را بهصورت ويروس، كرمهاي اينترنتي يا اسبهاي تروا مينويسند تا وب سرورها را از حالت سرويسدهي خارج كنند.
حملات DOS عمدتـــــا زيرساخت پروتكل TCP/IP را هدف قرار ميدهند و در سه نوع زير طبقه بندي ميشوند:
1- حملاتـــــي كه از نواقص پيـــــاده سازي پشته TCP/IP استفاده ميكنند.
2- حملاتي كه از نواقص خود پروتكل TCP/IP استفاده ميكننــد.
3- حملاتي كه از روش سعي و خطا استفاده ميكنند.
از جمله حملات نوع اول ميتوان به Ping of Death و Teardrop اشاره كرد. در روش Ping of Death، شخص مهاجم بستههاي IP را بـــــا حجمهـــــاي غيراستانـــــدارد (خيلي بزرگ) روي شبكه ميفرستـــــد تا سرور از كـــــار بيفتد و بتوانـــــد از پشته آسيب پذير TCP/IP و يا سيستم عامل استفاده كند.
اما در روش حمله Teardrop، سرور به وسيله بستههـــــاي IP كه فيلدهاي offset آنها همپوشاني دارند، بمباران ميشود. سرور يا روتر نميتواند اين بستهها را دور بيندازد و لذا شروع به بازسازي آنها ميكند كه همپوشاني فيلدها باعث بروز مشكل خواهد شد.
راهكار جلوگيري از اين نوع حملات، استفاده از ديوار آتش است كه جلوي بستههاي IP غيرمتعارف را ميگيرد و مانع بروز اشكال در سيستم ميشود.
رايجترين حملات نوع دوم، تهاجم موسوم به SYN است. وقتي كه كامپيوتـــــري قصد برقراري ارتباط بـــــا يك كامپيوتر راهدور را دارد، ايـــــن عمل با فرآيندي موسوم بـــــه دستدهي سهمرحلهاي (3Way Hand Shake) صورت ميپذيـــــرد. بدينگونـــــه كه ابتدا كامپيوتر مبدا يك بسته SYN به كامپيوتر مقصد ميفرستد و كامپيوتر مقصد بـــــا دريافت بسته، يك تائيديه ACK به مبدا ميفرستد و بدين ترتيب كامپيوتر مبدا ميتواند ارتباط مورد نياز را با كامپيوتر مقصد برقرار سازد. به طور واضح مشخص است كـــــه اگر كامپيوتـــــر راه دور گرفتار ازدحام بستههاي SYN شود، بايـــد براي هر SYN يك بسته تاييد بفرستد و بدين ترتيب پهناي بانـــــد آن تلف خواهد شــد. حال اگر كامپيوتـــــر حقيقي تقاضـــــاي ايجاد ارتباط كند، بــه علت اشغالشدن پهنـــــاي بانـــــد، سرور امكـــــان سرويسدهـــــي به ساير كامپيوترها را نخواهد داشت.
اگر چه پهناي بانــدي كه در اين روش اشغال ميشود، اغلب محدود است ولي اگر حملات در حجم بالا صـــــورت پذيرد، مشكلات جدي را براي سرور فراهم ميكند.
با استفاده از ديوار آتش جلوي ايـــــن حملات را نيز ميتوان گرفت.
در حملات نوع سوم شخص مهاجم با ارسال تعداد زيادي بستههاي ICMP (پروتكل كنترل پيام) روتر را مملو از اين بستهها ميكند و از آنجائيكه تقريبا همه وب سرورها به اين نوع بستهها پاسخ ميدهند، پهناي باند به طور كلي از بين ميرود و كاربران واقعي از ادامه كار عاجز ميمانند و ترافيك بسيار زيادي براي همه گرههاي شبكه ايجاد ميشود. امكان اين نـــــوع حملات را نيز ميتوان بـــــا استفاده از ديوار آتش از بين برد.
اما حملات اينترنتي براي ممــانعت از سرويس دهي سرورها محدود به موارد فوق نيست و تهاجماتي به صورتهاي زير نيز وجود دارد.
جهت رفع اين مشكل بايـــــد مديران شبكه بـــــه هر كاربر فقط امكان برقراري يك ارتباط را بدهند تا چنين مشكلاتي ايجاد نشود.
امروزه امكانات و برنامههاي زيادي براي اين نوع حملات وجود دارد؛ بهگونهاي كه ارتشي از فايلهاي جستوجوگر، سرويسها و پورتهاي سرور را جستوجـــــو ميكنند تا نقاط ضعف آنها را پيدا كنند و به صورت گروهي حملاتي را بـــــه سرورهاي مختلف انجام دهنـــــد. حل ايـــــن مشكل به وسيله ايمـــــن سازي تك تك كامپيوترهـــــا ممكن نيست زيرا فيلتركردن و يا دنبال كـــــردن ترافيك حملات به علت شباهت آنها با ترافيك واقعي شبكه، بسيـــــار دشوار است. از آنجائيكه همواره تعداد بسيار زيادي از كامپيوترهـــــاي نـــــاامن روي اينتـــــرنت وجود دارد، ايــن كامپيوترها محل بسيار مناسبي براي ايجاد حملات جديد هستند.
از آنجائيكه حمله به سيستمهاي غيرمتمركز منجر به بروز مشكلات بسيار جدي ميشــود، لذا براي جلوگيري از آنها بايد اصول خاصي در نظر گرفته شود:
1- استفاده از راهكارهاي غيرمتمركز براي سيستمهاي غيرمتمركز.
2- اجتناب از راهكارهاي مضر براي كاربران قانوني.
3- ايمن سازي سيستم در مقابل تهديدات داخلي و خارجي.
4- طراحـــي سيستمهاي عملي براي هماهنگي با مشكلات واقعي.
5- ارائه راهحلهـــــاي قابل اجـــــرا در محيطهـــــاي كوچك و تعميم آنها به كل سيستمها.
راهحلهايـــــي كه براي حملات غيرمتمركـــــز ارائه ميشود، اغلب بـــــهصورت محدودكردن سرويسهـــــا و يا قطع آنها هستند كه مشكلاتي جدي براي فعايتهاي قانوني ايجاد ميكنند.
اما در اصل بايد براي جلوگيري از اين حملات، گرههايي را كه دچار مشكل شدهاند، شناسايي و آنها را ايزوله كرد و يا از شبكه بيرون انـــــداخت و ايـــــن عمليات بايـــــد به ترتيبي صورت پذيرد كه بهترين نتيجه حاصل شود.
DefCOM يكـــــي از سيستمهـــــاي دفاعـــــي در بــرابر اين حملات است كه از چندين گره امنيتي غيرمتجانس تشكيل شده است. اين گـــــرهها ترافيك شبكه را بـــــررسي كرده و سپس نرخ منـــــاسب ترافيك در شبكه را بـراي جلوگيري از ترافيك تقلبي مشخص ميكنند. درصورت حمله، كامپيوتر قرباني پيام خطـــــر ميدهد و كامپيوتر امنيتي آن را به همه كامپيوترهاي امنيتـــــي ديگر ميفرستـــــد تا همـــه در حالت تدافعـــــي قرار گيرنـــــد. از اين به بعد كامپيوترهاي امنيتي پيامهاي بيـــــن خـــــود را بـا برچسب خاصي ميفرستند تا ارتباطي امن بين خودشان برقرار شود; بدين ترتيب ريشه حمله را پيدا ميكننـــــد.
در اين ارتباط، دادههاي شبكه با 3 نوع برچسب متفاوت ارسال و دريافت ميشوند:
1- ترافيك بدون برچسب كه تركيبي از دادههاي خوب و بد است.
2- ترافيك كنترل شده كه با نرخ پايين مبادله ميشود.
3- ترافيك قانونـــــي كـه ترافيك مجاز شبكه است. بررسي روشهـــــاي مختلف حملات اينترنتـي و راهكارهاي مقابله با آنهـــــا نشان ميدهد كـــــه امكان برطرف كردن كامل آنها وجود ندارد و آنچه كـــــه مديران شبكهها قادر به انجام آنها هستنـــــد، بررســـــي چگونگـــــي حملات اينترنتـــــي است تا تدابيري را جهت جلوگيري از تكرار آنها بينديشند.