سيستم‌ هاي دفاعي در برابر حملات اينترنتي

نسخه متنی
نمايش فراداده

‌ سيستم‌های دفاعی در برابر حملات اينترنتی

سرويس‌دهندگان اينترنت و صاحبان سايت‌ها همواره يك نگراني دائمي در مورد نقاط ضعف و روزنه‌هاي نفوذ به سيستم‌ها دارند. اين نفوذها با استفاده از ضعف سيستم‌ها صورت مي‌پذيرد و براي دفاع در برابر آنها لازم است اطلاعات جامعي پيرامون آنها در دسترس باشد. اين مقاله نگاهي اجمالي بر انواع مختلف حملات اينترنتي و راهكارهاي جلوگيري از آنها دارد.

جلوگيري از سرويس‌دهي سرورها: از جمله حملاتي كه وب سرورهـــــا بسيار زياد گرفتـــــار آنها مي‌شونـــــد، جلوگيري از سرويس‌دهي (Denial of Service) است. اين نوع حملات بسيار رايج بوده، زيرا كاربران غير حرفه‌اي نيز مي‌توانند آنهـــــا را ايجاد كنند. به عنوان مثال بسياري از سرورها در بانك‌هاي الكترونيكي يا سرويس‌دهندگان پست‌الكترونيكي ممكن است به اين مشكل گرفتار شوند.

در اين نـــــوع از حملات اينترنتي، درخواست‌هايي جعلـــــي از يك يا چند منبع متفـــــاوت به سرور ارســـــال مي‌شود و بـــــا حجم زيـــــاد درخواست‌هـــــاي تقلبـــــي، سرور از پاسخ‌دهـــــي به درخواست‌هاي واقعي عاجز مي‌ماند. اين روش اغلب توسط هكرهــاي غيرحرفه‌اي مورد استفاده قرار مي‌گيرد كه برنامه‌هايي را به‌صورت ويروس، كرم‌هاي اينترنتي يا اسب‌هاي تروا مي‌نويسند تا وب سرور‌ها را از حالت سرويس‌دهي خارج كنند.

حملات DOS عمدتـــــا زيرساخت پروتكل TCP/IP را هدف قرار مي‌دهند و در سه نوع زير طبقه بندي مي‌شوند:

1- ‌حملاتـــــي كه از نواقص پيـــــاده سازي پشته TCP/IP‌ استفاده مي‌كنند.

2- ‌حملاتي كه از نواقص خود پروتكل TCP/IP  ‌استفاده مي‌كننــد.

3- ‌حملاتي كه از روش سعي و خطا استفاده مي‌كنند.

از جمله حملات نوع اول مي‌توان به Ping of Death‌ و Teardrop ‌اشاره كرد. در روش Ping of Death‌، شخص مهاجم بسته‌هاي IP‌ را بـــــا حجم‌هـــــاي غيراستانـــــدارد (خيلي بزرگ) روي شبكه مي‌فرستـــــد تا سرور از كـــــار بيفتد و بتوانـــــد از پشته آسيب پذير TCP/IP ‌و يا سيستم عامل استفاده كند.

اما در روش حمله Teardrop‌، سرور به وسيله بسته‌هـــــاي IP‌ كه فيلدهاي offset آنها همپوشاني دارند، ‌بمباران مي‌شود. سرور يا روتر نمي‌تواند اين بسته‌ها را دور بيندازد و لذا شروع به بازسازي آنها مي‌كند كه همپوشاني فيلدها باعث بروز مشكل خواهد شد.

راهكار جلوگيري از اين نوع حملات، استفاده از ديوار آتش است كه جلوي بسته‌هاي IP ‌غيرمتعارف را مي‌گيرد و مانع بروز اشكال در سيستم مي‌شود.

رايج‌ترين حملات نوع دوم، تهاجم موسوم به SYN است. وقتي كه كامپيوتـــــري قصد برقراري ارتباط بـــــا يك كامپيوتر راه‌دور را دارد، ايـــــن عمل با فرآيندي موسوم بـــــه دست‌دهي سه‌مرحله‌اي (3Way Hand Shake) ‌صورت مي‌پذيـــــرد. بدين‌گونـــــه كه ابتدا كامپيوتر مبدا يك بسته SYN‌ به كامپيوتر مقصد مي‌فرستد و كامپيوتر مقصد بـــــا دريافت بسته، يك تائيديه ACK ‌به مبدا مي‌فرستد و بدين ترتيب كامپيوتر مبدا مي‌تواند ارتباط مورد نياز را با كامپيوتر مقصد برقرار سازد. به طور واضح مشخص است كـــــه اگر كامپيوتـــــر راه دور گرفتار ازدحام بسته‌هاي SYN ‌شود، بايـــد براي هر SYN ‌يك بسته تاييد بفرستد و بدين ترتيب پهناي بانـــــد آن تلف خواهد شــد. حال اگر كامپيوتـــــر حقيقي تقاضـــــاي ايجاد ارتباط كند، بــه علت اشغال‌شدن پهنـــــاي بانـــــد، سرور امكـــــان سرويس‌دهـــــي به ساير كامپيوتر‌ها را نخواهد داشت.

اگر چه پهناي بانــدي كه در اين روش اشغال مي‌شود، اغلب محدود است ولي اگر حملات در حجم بالا صـــــورت پذيرد، مشكلات جدي را براي سرور فراهم مي‌كند.

با استفاده از ديوار آتش جلوي ايـــــن حملات را نيز مي‌توان گرفت.

در حملات نوع سوم شخص مهاجم با ارسال تعداد زيادي بسته‌هاي ICMP ‌(پروتكل كنترل پيام) روتر را مملو از اين بسته‌ها مي‌كند و از آنجائيكه تقريبا همه وب سرورها به اين نوع بسته‌ها پاسخ مي‌دهند، پهناي باند به طور كلي از بين مي‌رود و كاربران واقعي از ادامه كار عاجز مي‌مانند و ترافيك بسيار زيادي براي همه گره‌هاي شبكه ايجاد مي‌شود. امكان اين نـــــوع حملات را نيز مي‌توان بـــــا استفاده از ديوار آتش از بين برد.

اما حملات اينترنتي براي ممــانعت از سرويس دهي سرور‌ها محدود به موارد فوق نيست و تهاجماتي به صورت‌هاي زير نيز وجود دارد.

‌ازدحام بسته‌هاي UDP‌

در اين روش شخص مهاجم بسته‌هاي بلااستفاده‌اي از يك پـــــورت UDP ‌به پورت ديگر UDP‌ روي كامپيوتـــــر مقصد منتقل مي‌كند و از آنجائيكه پروتكل UDP ‌وابسته به ارتباط نيست (Connection Less)، ازدحـــــام بستـــــه‌هـاي UDP، مشكل‌ساز مي‌شود.

‌بمباران سرور به وسيله نامه‌هاي الكترونيكي

ايـــــن روش اغلب بـــــه وسيله كاربـــران غيرحرفه‌اي استفاده مي‌شود و در آن شخص مهاجم هزاران نامه الكترونيكي را بـــــه يك آدرس خـــــاص مي‌فرستـــــد و باعث سرريز نامه‌ها مي‌شود. در اين روش وقتي تعداد نامه‌هاي الكترونيكي از حدمجاز سرورهاي SMTP‌ تجاوز كند، باعث از كار افتادن سرور شده و سايـــــر كاربـــــران ISP ‌از ادامـــــه كار عاجـــــز مي‌شوند. اين نوع حملات به آساني قابل رديابي هستند و با يافتـــــن IP ‌مبدا نامه‌هـــــاي الكترونيكـــــي، مي‌توان بـــه ساير اطلاعات موردنياز دست يافت و جلوي حملات را گرفت.

‌بـــــاز شدن صفحـــــات اينترنتـــي بــــــــه صـــــــورت پشت سر هم

اين نوع از حملات نيز به وسيله كاربران غيرحرفه‌اي صورت مي‌پذيـــــرد. در اين روش مهاجمـــــان با برنامه‌هـــــاي كوچك به‌صورت تكـــــراري بعضي از صفحات اينترنتي را مرتبا و پشت سر هم فراخواني مي‌كنند. اين عمل نيز باعث اشغال بسيار زياد پهناي باند سرورها مي‌شود و كاربران ديگر را از ادامه كار باز مي‌دارد.

جهت رفع اين مشكل بايـــــد مديران شبكه بـــــه هر كاربر فقط امكان برقراري يك ارتباط را بدهند تا چنين مشكلاتي ايجاد نشود.

جلوگيري از سرويس دهي سرورهاي غيرمتمركز

اين نوع از حملات از جمله رايج‌ترين حملات اينترنتـــي است كه در آن هزاران يا ده‌ها هزار كامپيوتر آسيب خواهــــــد ديد. اغلب اين حملات بدين صورت است كه فايلي در كامپيوترهاي آسيب ديده مي‌نشيند و منتظر دستور فرد مهاجم مي‌ماند، وقتي كه شخص مهاجم دستور ازدحام بسته‌هاي كنترل پيام‌هـــــا را مي‌دهـــــد، بـــــه سرعت بسته‌هــاي ICMP ‌روي كامپيوترهـــــاي مختلف پخش‌شده و بـــــاعث از كارافتادن كامپيوترهاي راه دور مي‌شوند.

امروزه امكانات و برنامه‌هاي زيادي براي اين نوع حملات وجود دارد؛ به‌گونه‌اي كه ارتشي از فايل‌هاي جست‌وجوگر، سرويس‌ها و پورت‌هاي سرور را جست‌وجـــــو مي‌كنند تا نقاط ضعف آنها را پيدا كنند و به صورت گروهي حملاتي را بـــــه سرورهاي مختلف انجام دهنـــــد. حل ايـــــن مشكل به وسيله ايمـــــن سازي تك تك كامپيوترهـــــا ممكن نيست زيرا فيلتركردن و يا دنبال كـــــردن ترافيك حملات به علت شباهت آنها با ترافيك واقعي شبكه، بسيـــــار دشوار است. از آنجائيكه همواره تعداد بسيار زيادي از كامپيوترهـــــاي نـــــاامن روي اينتـــــرنت وجود دارد، ايــن كامپيوترها محل بسيار مناسبي براي ايجاد حملات جديد هستند.

از آنجائيكه حمله به سيستم‌هاي غيرمتمركز منجر به بروز مشكلات بسيار جدي مي‌شــود، لذا براي جلوگيري از آنها بايد اصول خاصي در نظر گرفته شود:

1- ‌استفاده از راهكارهاي غيرمتمركز براي سيستم‌هاي غيرمتمركز.

2-‌ اجتناب از راهكارهاي مضر براي كاربران قانوني.

3- ‌ايمن سازي سيستم در مقابل تهديدات داخلي و خارجي.

4- ‌طراحـــي سيستم‌هاي عملي براي هماهنگي با مشكلات واقعي.

5- ‌ارائه راه‌حل‌هـــــاي قابل اجـــــرا در محيط‌هـــــاي كوچك و تعميم آنها به كل سيستم‌ها.

را‌ه‌حل‌هايـــــي كه براي حملات غيرمتمركـــــز ارائه مي‌شود، اغلب بـــــه‌صورت محدودكردن سرويس‌هـــــا و يا قطع آنها هستند كه مشكلاتي جدي براي فعايت‌‌هاي قانوني ايجاد مي‌كنند.

‌اما در اصل بايد براي جلوگيري از اين حملات، گره‌هايي را كه دچار مشكل شده‌اند، شناسايي و آنها را ايزوله كرد و يا از شبكه بيرون انـــــداخت و ايـــــن عمليات بايـــــد به ترتيبي صورت پذيرد كه بهترين نتيجه حاصل شود.

DefCOM ‌يكـــــي از سيستم‌هـــــاي دفاعـــــي در بــرابر اين حملات است كه از چندين گره امنيتي غيرمتجانس تشكيل شده است. اين گـــــره‌ها ترافيك شبكه را بـــــررسي كرده و سپس نرخ منـــــاسب ترافيك در شبكه را بـراي جلوگيري از ترافيك تقلبي مشخص مي‌كنند. درصورت حمله، كامپيوتر قرباني پيام خطـــــر مي‌دهد و كامپيوتر امنيتي آن را به همه كامپيوترهاي امنيتـــــي ديگر مي‌فرستـــــد تا همـــه در حالت تدافعـــــي قرار گيرنـــــد. از اين به بعد كامپيوترهاي امنيتي پيام‌هاي بيـــــن خـــــود را بـا برچسب خاصي مي‌فرستند تا ارتباطي امن بين خودشان برقرار شود; بدين ترتيب ريشه حمله را پيدا مي‌كننـــــد.

در اين ارتباط، داده‌هاي شبكه با 3 نوع برچسب متفاوت ارسال و دريافت مي‌شوند:

1‌- ترافيك بدون برچسب كه تركيبي از داده‌هاي خوب و بد است.

2- ‌ترافيك كنترل شده كه با نرخ پايين مبادله مي‌شود.

3- ترافيك قانونـــــي كـه ترافيك مجاز شبكه است. بررسي روش‌هـــــاي مختلف حملات اينترنتـي و راهكارهاي مقابله با آنهـــــا نشان مي‌دهد كـــــه امكان برطرف كردن كامل آنها وجود ندارد و آنچه كـــــه مديران شبكه‌ها قادر به انجام آنها هستنـــــد، بررســـــي چگونگـــــي حملات اينترنتـــــي است تا تدابيري را جهت جلوگيري از تكرار آنها بينديشند.