سیستم‌های دفاعی در برابر حملات اینترنتی

‌سرویس‌دهندگان اینترنت و صاحبان سایت‌ها همواره یک نگرانی دائمی در مورد نقاط ضعف و روزنه‌های نفوذ به سیستم‌ها دارند. این نفوذها با استفاده از ضعف سیستم‌ها صورت می‌پذیرد و برای دفاع در برابر آنها لازم است اطلاعات جامعی پیرامون آنها در دسترس باشد. این مقاله نگاهی اجمالی بر انواع مختلف حملات اینترنتی و راهکارهای جلوگیری از آنها دارد.

جلوگیری از سرویس‌دهی سرورها: از جمله حملاتی که وب سرورهـــــا بسیار زیاد گرفتـــــار آنها می‌شونـــــد، جلوگیری از سرویس‌دهی (Denial of Service) است. این نوع حملات بسیار رایج بوده، زیرا کاربران غیر حرفه‌ای نیز می‌توانند آنهـــــا را ایجاد کنند. به عنوان مثال بسیاری از سرورها در بانک‌های الکترونیکی یا سرویس‌دهندگان پست‌الکترونیکی ممکن است به این مشکل گرفتار شوند.
در این نـــــوع از حملات اینترنتی، درخواست‌هایی جعلـــــی از یک یا چند منبع متفـــــاوت به سرور ارســـــال می‌شود و بـــــا حجم زیـــــاد درخواست‌هـــــای تقلبـــــی، سرور از پاسخ‌دهـــــی به درخواست‌های واقعی عاجز می‌ماند. این روش اغلب توسط هکرهــای غیرحرفه‌ای مورد استفاده قرار می‌گیرد که برنامه‌هایی را به‌صورت ویروس، کرم‌های اینترنتی یا اسب‌های تروا می‌نویسند تا وب سرور‌ها را از حالت سرویس‌دهی خارج کنند.

حملات DOS عمدتـــــا زیرساخت پروتکل TCP/IP را هدف قرار می‌دهند و در سه نوع زیر طبقه بندی می‌شوند:
1- ‌حملاتـــــی که از نواقص پیـــــاده سازی پشته TCP/IP‌ استفاده می‌کنند.
2- ‌حملاتی که از نواقص خود پروتکل TCP/IP ‌استفاده می‌کننــد.
3- ‌حملاتی که از روش سعی و خطا استفاده می‌کنند.

از جمله حملات نوع اول می‌توان به Ping of Death‌ و Teardrop ‌اشاره کرد. در روش Ping of Death‌، شخص مهاجم بسته‌های IP‌ را بـــــا حجم‌هـــــای غیراستانـــــدارد (خیلی بزرگ) روی شبکه می‌فرستـــــد تا سرور از کـــــار بیفتد و بتوانـــــد از پشته آسیب پذیر TCP/IP ‌و یا سیستم عامل استفاده کند.
اما در روش حمله Teardrop‌، سرور به وسیله بسته‌هـــــای IP‌ که فیلدهای offset آنها همپوشانی دارند، ‌بمباران می‌شود. سرور یا روتر نمی‌تواند این بسته‌ها را دور بیندازد و لذا شروع به بازسازی آنها می‌کند که همپوشانی فیلدها باعث بروز مشکل خواهد شد.
راهکار جلوگیری از این نوع حملات، استفاده از دیوار آتش است که جلوی بسته‌های IP ‌غیرمتعارف را می‌گیرد و مانع بروز اشکال در سیستم می‌شود.
رایج‌ترین حملات نوع دوم، تهاجم موسوم به SYN است. وقتی که کامپیوتـــــری قصد برقراری ارتباط بـــــا یک کامپیوتر راه‌دور را دارد، ایـــــن عمل با فرآیندی موسوم بـــــه دست‌دهی سه‌مرحله‌ای (3Way Hand Shake) ‌صورت می‌پذیـــــرد. بدین‌گونـــــه که ابتدا کامپیوتر مبدا یک بسته SYN‌ به کامپیوتر مقصد می‌فرستد و کامپیوتر مقصد بـــــا دریافت بسته، یک تائیدیه ACK ‌به مبدا می‌فرستد و بدین ترتیب کامپیوتر مبدا می‌تواند ارتباط مورد نیاز را با کامپیوتر مقصد برقرار سازد. به طور واضح مشخص است کـــــه اگر کامپیوتـــــر راه دور گرفتار ازدحام بسته‌های SYN ‌شود، بایـــد برای هر SYN ‌یک بسته تایید بفرستد و بدین ترتیب پهنای بانـــــد آن تلف خواهد شــد. حال اگر کامپیوتـــــر حقیقی تقاضـــــای ایجاد ارتباط کند، بــه علت اشغال‌شدن پهنـــــای بانـــــد، سرور امکـــــان سرویس‌دهـــــی به سایر کامپیوتر‌ها را نخواهد داشت.
اگر چه پهنای بانــدی که در این روش اشغال می‌شود، اغلب محدود است ولی اگر حملات در حجم بالا صـــــورت پذیرد، مشکلات جدی را برای سرور فراهم می‌کند.
با استفاده از دیوار آتش جلوی ایـــــن حملات را نیز می‌توان گرفت.
در حملات نوع سوم شخص مهاجم با ارسال تعداد زیادی بسته‌های ICMP ‌(پروتکل کنترل پیام) روتر را مملو از این بسته‌ها می‌کند و از آنجائیکه تقریبا همه وب سرورها به این نوع بسته‌ها پاسخ می‌دهند، پهنای باند به طور کلی از بین می‌رود و کاربران واقعی از ادامه کار عاجز می‌مانند و ترافیک بسیار زیادی برای همه گره‌های شبکه ایجاد می‌شود. امکان این نـــــوع حملات را نیز می‌توان بـــــا استفاده از دیوار آتش از بین برد.
اما حملات اینترنتی برای ممــانعت از سرویس دهی سرور‌ها محدود به موارد فوق نیست و تهاجماتی به صورت‌های زیر نیز وجود دارد.

‌ازدحام بسته‌های UDP‌
در این روش شخص مهاجم بسته‌های بلااستفاده‌ای از یک پـــــورت UDP ‌به پورت دیگر UDP‌ روی کامپیوتـــــر مقصد منتقل می‌کند و از آنجائیکه پروتکل UDP ‌وابسته به ارتباط نیست (Connection Less)، ازدحـــــام بستـــــه‌هـای UDP، مشکل‌ساز می‌شود.

‌بمباران سرور به وسیله نامه‌های الکترونیکی
ایـــــن روش اغلب بـــــه وسیله کاربـــران غیرحرفه‌ای استفاده می‌شود و در آن شخص مهاجم هزاران نامه الکترونیکی را بـــــه یک آدرس خـــــاص می‌فرستـــــد و باعث سرریز نامه‌ها می‌شود. در این روش وقتی تعداد نامه‌های الکترونیکی از حدمجاز سرورهای SMTP‌ تجاوز کند، باعث از کار افتادن سرور شده و سایـــــر کاربـــــران ISP ‌از ادامـــــه کار عاجـــــز می‌شوند. این نوع حملات به آسانی قابل ردیابی هستند و با یافتـــــن IP ‌مبدا نامه‌هـــــای الکترونیکـــــی، می‌توان بـــه سایر اطلاعات موردنیاز دست یافت و جلوی حملات را گرفت.

‌بـــــاز شدن صفحـــــات اینترنتـــی بــــــــه صـــــــورت پشت سر هم
این نوع از حملات نیز به وسیله کاربران غیرحرفه‌ای صورت می‌پذیـــــرد. در این روش مهاجمـــــان با برنامه‌هـــــای کوچک به‌صورت تکـــــراری بعضی از صفحات اینترنتی را مرتبا و پشت سر هم فراخوانی می‌کنند. این عمل نیز باعث اشغال بسیار زیاد پهنای باند سرورها می‌شود و کاربران دیگر را از ادامه کار باز می‌دارد.
جهت رفع این مشکل بایـــــد مدیران شبکه بـــــه هر کاربر فقط امکان برقراری یک ارتباط را بدهند تا چنین مشکلاتی ایجاد نشود.

جلوگیری از سرویس دهی سرورهای غیرمتمرکز
این نوع از حملات از جمله رایج‌ترین حملات اینترنتـــی است که در آن هزاران یا ده‌ها هزار کامپیوتر آسیب خواهــــــد دید. اغلب این حملات بدین صورت است که فایلی در کامپیوترهای آسیب دیده می‌نشیند و منتظر دستور فرد مهاجم می‌ماند، وقتی که شخص مهاجم دستور ازدحام بسته‌های کنترل پیام‌هـــــا را می‌دهـــــد، بـــــه سرعت بسته‌هــای ICMP ‌روی کامپیوترهـــــای مختلف پخش‌شده و بـــــاعث از کارافتادن کامپیوترهای راه دور می‌شوند.
امروزه امکانات و برنامه‌های زیادی برای این نوع حملات وجود دارد؛ به‌گونه‌ای که ارتشی از فایل‌های جست‌وجوگر، سرویس‌ها و پورت‌های سرور را جست‌وجـــــو می‌کنند تا نقاط ضعف آنها را پیدا کنند و به صورت گروهی حملاتی را بـــــه سرورهای مختلف انجام دهنـــــد. حل ایـــــن مشکل به وسیله ایمـــــن سازی تک تک کامپیوترهـــــا ممکن نیست زیرا فیلترکردن و یا دنبال کـــــردن ترافیک حملات به علت شباهت آنها با ترافیک واقعی شبکه، بسیـــــار دشوار است. از آنجائیکه همواره تعداد بسیار زیادی از کامپیوترهـــــای نـــــاامن روی اینتـــــرنت وجود دارد، ایــن کامپیوترها محل بسیار مناسبی برای ایجاد حملات جدید هستند.
از آنجائیکه حمله به سیستم‌های غیرمتمرکز منجر به بروز مشکلات بسیار جدی می‌شــود، لذا برای جلوگیری از آنها باید اصول خاصی در نظر گرفته شود:

1- ‌استفاده از راهکارهای غیرمتمرکز برای سیستم‌های غیرمتمرکز.
2-اجتناب از راهکارهای مضر برای کاربران قانونی.
3- ‌ایمن سازی سیستم در مقابل تهدیدات داخلی و خارجی
4- ‌طراحـــی سیستم‌های عملی برای هماهنگی با مشکلات واقعی.
5- ‌ارائه راه‌حل‌هـــــای قابل اجـــــرا در محیط‌هـــــای کوچک و تعمیم آنها به کل سیستم‌ها.

را‌ه‌حل‌هایـــــی که برای حملات غیرمتمرکـــــز ارائه می‌شود، اغلب بـــــه‌صورت محدودکردن سرویس‌هـــــا و یا قطع آنها هستند که مشکلاتی جدی برای فعایت‌‌های قانونی ایجاد می‌کنند.
‌اما در اصل باید برای جلوگیری از این حملات، گره‌هایی را که دچار مشکل شده‌اند، شناسایی و آنها را ایزوله کرد و یا از شبکه بیرون انـــــداخت و ایـــــن عملیات بایـــــد به ترتیبی صورت پذیرد که بهترین نتیجه حاصل شود.
DefCOM ‌یکـــــی از سیستم‌هـــــای دفاعـــــی در بــرابر این حملات است که از چندین گره امنیتی غیرمتجانس تشکیل شده است. این گـــــره‌ها ترافیک شبکه را بـــــررسی کرده و سپس نرخ منـــــاسب ترافیک در شبکه را بـرای جلوگیری از ترافیک تقلبی مشخص می‌کنند. درصورت حمله، کامپیوتر قربانی پیام خطـــــر می‌دهد و کامپیوتر امنیتی آن را به همه کامپیوترهای امنیتـــــی دیگر می‌فرستـــــد تا همـــه در حالت تدافعـــــی قرار گیرنـــــد. از این به بعد کامپیوترهای امنیتی پیام‌های بیـــــن خـــــود را بـا برچسب خاصی می‌فرستند تا ارتباطی امن بین خودشان برقرار شود; بدین ترتیب ریشه حمله را پیدا می‌کننـــــد. در این ارتباط، داده‌های شبکه با 3 نوع برچسب متفاوت ارسال و دریافت می‌شوند:

1‌- ترافیک بدون برچسب که ترکیبی از داده‌های خوب و بد است.
2- ‌ترافیک کنترل شده که با نرخ پایین مبادله می‌شود.
3- ترافیک قانونـــــی کـه ترافیک مجاز شبکه است. بررسی روش‌هـــــای مختلف حملات اینترنتـی و راهکارهای مقابله با آنهـــــا نشان می‌دهد کـــــه امکان برطرف کردن کامل آنها وجود ندارد و آنچه کـــــه مدیران شبکه‌ها قادر به انجام آنها هستنـــــد، بررســـــی چگونگـــــی حملات اینترنتـــــی است تا تدابیری را جهت جلوگیری از تکرار آنها بیندیشند.

منبع : مجله Web -ندا عالی پناه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اجرا شده توسط: همیار وردپرس