انواع حملات در شبکه‌های کامپیوتری (۲)

بخش دوم

در بخش اول این مقاله به ضرورت شناسائى سرویس ها و پروتکل ها ى غیرضرورى ، نصب و پیکربندى سرویس ها و پروتکل هاى مورد نیاز با لحاظ نمودن مسائل امنیتى در یک شبکه ، اشاره گردید . همانگونه که در بخش اول این مقاله اشاره شد ، حملات در یک شبکه کامپیوترى ، حاصل پیوند سه عنصر مهم سرویس ها ى فعال ، پروتکل هاى استفاده شده و پورت هاى باز مى باشد. کارشناسان امنیت اطلاعات مى بایست با تمرکز بر سه محور فوق ، شبکه اى ایمن و مقاوم در مقابل انواع حملات را ایجاد و نگهدارى نمایند.

انواع حملات

Denial of Service (DoS) & Distributed Denial of Service (DDoS)
Back Door Spoofing
Man in the Middle Replay
TCP/IP Hijacking Weak Keys
Mathematical Password Guessing
Brute Force Dictionary
Birthday Software Exploitation
Malicious Code Viruses
Virus Hoaxes Trojan Horses
Logic Bombs Worms
Social Engineering Auditing
System Scanning

حملات از نوع DoS

هدف از حملات DoS ، ایجاد اختلال در منابع و یا سرویس هائى است که کاربران قصد دستیابى و استفاده از آنان را دارند ( از کار انداختن سرویس ها ) . مهمترین هدف این نوع از حملات ، سلب دستیابى کاربران به یک منبع خاص است . در این نوع حملات، مهاجمان با بکارگیرى روش هاى متعددى تلاش مى نمایند که کاربران مجاز را به منظور دستیابى و استفاده از یک سرویس خاص ، دچار مشکل نموده و بنوعى در مجموعه سرویس هائى که یک شبکه ارائه مى نماید ، اختلال ایجاد نمایند . تلاش در جهت ایجاد ترافیک کاذب در شبکه ، اختلال در ارتباط بین دو ماشین ، ممانعت کاربران مجاز به منظور دستیابى به یک سرویس ، ایجاد اختلال در سرویس ها ، نمونه هائى از سایر اهدافى است که مهاجمان دنبال مى نمایند . در برخى موارد و به منظور انجام حملات گسترده از حملات DoS به عنوان نقطه شروع و یک عنصر جانبى استفاده شده تا بستر لازم براى تهاجم اصلى ، فراهم گردد . استفاده صحیح و قانونى از برخى منابع نیز ممکن است ، تهاجمى از نوع DoS را به دنبال داشته باشد .

مثلا" یک مهاجم مى تواند از یک سایت FTP که مجوز دستیابى به آن به صورت anonymous مى باشد ، به منظور ذخیره نسخه هائى از نرم افزارهاى غیرقانونى ، استفاده از فضاى ذخیره سازى دیسک و یا ایجاد ترافیک کاذب در شبکه استفاده نماید . این نوع از حملات مى تواند غیرفعال شدن کامپیوتر و یا شبکه مورد نظر را به دنبال داشته باشد . حملات فوق با محوریت و تاکید بر نقش و عملیات مربوط به هر یک از پروتکل هاى شبکه و بدون نیاز به اخذ تائیدیه و یا مجوزهاى لازم ، صورت مى پذیرد . براى انجام این نوع حملات از ابزارهاى متعددى استفاده مى شود که با کمى حوصله و جستجو در اینترنت مى توان به آنان دستیابى پیدا کرد . مدیران شبکه هاى کامپیوترى مى توانند از این نوع ابزارها ، به منظور تست ارتباط ایجاد شده و اشکال زدائى شبکه استفاده نمایند . حملات DoS تاکنون با اشکال متفاوتى ، محقق شده اند . در ادامه با برخى از آنان آشنا مى شویم .

Smurf/smurfing :

این نوع حملات مبتنى بر تابع Reply پروتکل Internet Control Message Protocol) ICMP) ،بوده و بیشتر با نام ping شناخته شده مى باشند .( Ping ، ابزارى است که پس از فعال شدن از طریق خط دستور ، تابع Reply پروتکل ICMP را فرامى خواند) . در این نوع حملات ، مهاجم اقدام به ارسال بسته هاى اطلاعاتى Ping به آدرس هاى Broadcast شبکه نموده که در آنان آدرس مبداء هر یک از بسته هاى اطلاعاتى Ping شده با آدرس کامپیوتر قربانى ، جایگزین مى گردد .بدین ترتیب یک ترافیک کاذب در شبکه ایجاد و امکان استفاده از منابع شبکه با اختلال مواجه مى گردد.

Fraggle :

این نوع از حملات شباهت زیادى با حملات از نوع Smurf داشته و تنها تفاوت موجود به استفاده از User Datagram Protocol ) UDP) در مقابل ICMP ، برمى گردد . در حملات فوق ، مهاجمان اقدام به ارسال بسته هاى اطلاعاتى UDP به آدرس هاى Broadcast ( مشابه تهاجم Smurf ) مى نمایند . این نوع از بسته هاى اطلاعاتى UDP به مقصد پورت 7 ( echo ) و یا پورت 19 ( Chargen ) ، هدایت مى گردند.

Ping flood :

در این نوع تهاجم ، با ارسال مستقیم درخواست هاى Ping به کامپیوتر فربانى ، سعى مى گردد که سرویس ها بلاک و یا فعالیت آنان کاهش یابد. در یک نوع خاص از تهاجم فوق که به ping of death ، معروف است ، اندازه بسته هاى اطلاعاتى به حدى زیاد مى شود که سیستم ( کامپیوتر قربانى ) ، قادر به برخورد مناسب با اینچنین بسته هاى اطلاعاتى نخواهد بود .

SYN flood :

در این نوع تهاجم از مزایاى three-way handshake مربوط به TCP استفاده مى گردد . سیستم مبداء اقدام به ارسال مجموعه اى گسترده از درخواست هاى synchronization ) SYN) نموده بدون این که acknowledgment ) ACK) نهائى آنان را ارسال نماید. بدین ترتیب half-open TCP sessions (ارتباطات نیمه فعال ) ، ایجاد مى گردد . با توجه به این که پشته TCP ، قبل از reset نمودن پورت ، در انتظار باقى خواهد ماند ، تهاجم فوق ، سرریز بافر اتصال کامپیوتر مقصد را به دنبال داشته و عملا" امکان ایجاد ارتباط وى با سرویس گیرندگان معتبر ، غیر ممکن مى گردد .

Land :

تهاجم فوق، تاکنون در نسخه هاى متفاوتى از سیستم هاى عامل ویندوز ، یونیکس ، مکینتاش و IOS سیسکو،مشاهده شده است . در این نوع حملات ، مهاجمان اقدام به ارسال یک بسته اطلاعاتى TCP/IP synchronization ) SYN) که داراى آدرس هاى مبداء و مقصد یکسان به همراه پورت هاى مبداء و مقصد مشابه مى باشد ، براى سیستم هاى هدف مى نمایند . بدین ترتیب سیستم قربانى، قادر به پاسخگوئى مناسب بسته اطلاعاتى نخواهد بود .

Teardrop :

در این نوع حملات از یکى از خصلت هاى UDP در پشته TCP/IP برخى سیستم هاى عامل ( TCPپیاده سازى شده در یک سیستم عامل ) ، استفاده مى گردد. در حملات فوق ، مهاجمان اقدام به ارسال بسته هاى اطلاعاتى fragmented براى سیستم هدف با مقادیر افست فرد در دنباله اى از بسته هاى اطلاعاتى مى نمایند . زمانى که سیستم عامل سعى در بازسازى بسته هاى اطلاعاتى اولیه fragmented مى نماید، قطعات ارسال شده بر روى یکدیگر بازنویسى شده و اختلال سیستم را به دنبال خواهد داشت . با توجه به عدم برخورد مناسب با مشکل فوق در برخى از سیستم هاى عامل ، سیستم هدف ، Crash و یا راه اندازى مجدد مى گردد .

Bonk :

این نوع از حملات بیشتر متوجه ماشین هائى است که از سیستم عامل ویندوز استفاده مى نمایند . در حملات فوق ، مهاجمان اقدام به ارسال بسته هاى اطلاعاتى UDP مخدوش به مقصد پورت 53 DNS ، مى نمایند بدین ترتیب در عملکرد سیستم اختلال ایجاد شده و سیستم Crash مى نماید .

Boink :

این نوع از حملات مشابه تهاجمات Bonk مى باشند. با این تفاوت که در مقابل استفاده از پورت 53 ، چندین پورت ، هدف قرارمى گیرد .


یکى دیگر از حملات DoS ، نوع خاص و در عین حال ساده اى از یک حمله DoS مى باشد که با نام Distributed DoS ) DDoS) ، شناخته مى شود .در این رابطه مى توان از نرم افزارهاى متعددى به منظور انجام این نوع حملات و از درون یک شبکه ، استفاده بعمل آورد. کاربران ناراضى و یا افرادى که داراى سوء نیت مى باشند، مى توانند بدون هیچگونه تاثیرى از دنیاى خارج از شیکه سازمان خود ، اقدام به ازکارانداختن سرویس ها در شبکه نمایند. در چنین حملاتى ، مهاجمان نرم افزارى خاص و موسوم به Zombie را توزیع مى نمایند . این نوع نرم افزارها به مهاجمان اجازه خواهد داد که تمام و یا بخشى از سیستم کامپیوترى آلوده را تحت کنترل خود درآورند. مهاجمان پس از آسیب اولیه به سیستم هدف با استفاده از نرم افزار نصب شده Zombie ، تهاجم نهائى خود را با بکارگیرى مجموعه اى وسیع از میزبانان انجام خواهند داد. ماهیت و نحوه انجام این نوع از حملات ، مشابه یک تهاجم استاندارد DoS بوده ولى قدرت تخریب و آسیبى که مهاجمان متوجه سیستم هاى آلوده مى نمایند ، متاثر از مجموع ماشین هائى ( Zombie ) است که تحت کنترل مهاجمان قرار گرفته شده است .

به منظور حفاظت شبکه ، مى توان فیلترهائى را بر روى روترهاى خارجى شبکه به منظور دورانداختن بسته هاى اطلاعاتى مشمول حملات DoS ، پیکربندى نمود .در چنین مواردى مى بایست از فیلترى دیگر که امکان مشاهده ترافیک (مبداء از طریق اینترنت) و یک آدرس داخلى شبکه را فراهم مى نماید ، نیز استفاده گردد .

حملات از نوع Back door

Back door ، برنامه اى است که امکان دستیابى به یک سیستم را بدون بررسى و کنترل امنیتى ، فراهم مى نماید . برنامه نویسان معمولا" چنین پتانسیل هائى را در برنامه ها پیش بینى تا امکان اشکال زدائى و ویرایش کدهاى نوشته شده در زمان تست بکارگیرى نرم افزار ، فراهم گردد. با توجه به این که تعداد زیادى از امکانات فوق ، مستند نمى گردند ، پس از اتمام مرحله تست به همان وضعیت باقى مانده و تهدیدات امنیتى متعددى را به دنبال خواهند داشت .
برخى از متداولترین نرم افزارها ئى که از آنان به عنوان back door استفاده مى گردد ، عبارتند از :

Back Orifice : برنامه فوق یک ابزار مدیریت از راه دور مى باشد که به مدیران سیستم امکان کنترل یک کامپیوتر را از راه دور ( مثلا" از طریق اینترنت ) ، خواهد داد. نرم افزار فوق ، ابزارى خطرناک است که توسط گروهى با نام Cult of the Dead Cow Communications ، ایجاد شده است . این نرم افزار داراى دو بخش مجزا مى باشد : یک بخش سرویس گیرنده و یک بخش سرویس دهنده . بخش سرویس گیرنده بر روى یک ماشین اجراء و زمینه مانیتور نمودن و کنترل یک ماشین دیگر که بر روى آن بخش سرویس دهنده اجراء شده است را فراهم مى نماید .

NetBus : این برنامه نیز نظیر Back Orifice ، امکان دستیابى و کنترل از راه دور یک ماشین از طریق اینترنت را فراهم مى نماید.. برنامه فوق تحت سیستم عامل ویندوز ( نسخه هاى متفاوت از NT تا 95 و 98 ) ، اجراء و از دو بخش جداگانه تشکیل شده است : بخش سرویس دهنده ( بخشى که بر روى کامپیوتر قربانى مستقر خواهد شد ) و بخش سرویس گیرنده ( برنامه اى که مسولیت یافتن و کنترل سرویس دهنده را برعهده دارد ) . برنامه فوق ، به حریم خصوصى کاربران در زمان اتصال به اینترنت ، تجاوز و تهدیدات امنیتى متعددى را به دنبال خواهد داشت .

Sub7) SubSeven) ، این برنامه برنامه نیز تحت ویندوز اجراء شده و داراى عملکردى مشابه Back Orifice و NetBus مى باشد . پس از فعال شدن برنامه فوق بر روى سیستم هدف و اتصال به اینترنت ،هر شخصى که داراى نرم افزار سرویس گیرنده باشد ، قادر به دستیابى نامحدود به سیستم خواهد بود .

نرم افزارهاى Back Orifice ، NetBus, Sub7 داراى دو بخش ضرورى سرویس دهنده و سرویس گیرنده، مى باشند . سرویس دهنده بر روى ماشین آلوده مستقر شده و از بخش سرویس گیرنده به منظور کنترل از راه دور سرویس دهنده ، استفاده مى گردد.به نرم افزارهاى فوق ، " سرویس دهندگان غیرقانونى " گفته مى شود .
برخى از نرم افزارها از اعتبار بالائى برخوردار بوده ولى ممکن است توسط کاربرانى که اهداف مخربى دارند ، مورد استفاده قرار گیرند :

Virtual Network Computing)VNC) :

نرم افزار فوق توسط آزمایشگاه AT&T و با هدف کنترل از راه دور یک سیستم ، ارائه شده است . با استفاده از برنامه فوق ، امکان مشاهده محیط Desktop از هر مکانى نظیر اینترنت ، فراهم مى گردد . یکى از ویژگى هاى جالب این نرم افزار ، حمایت گسترده از معمارى هاى متفاوت است .

PCAnywhere :

نرم افزار فوق توسط شرکت Symantec ، با هدف کنترل از راه دور یک سیستم با لحاظ نمودن فن آورى رمزنگارى و تائید اعتبار ، ارائه شده است . با توجه به سهولت استفاده از نرم افزار فوق ، شرکت ها و موسسات فراوانى در حال حاضر از آن و به منظور دستیابى به یک سیستم از راه دور استفاده مى نمایند .

Terminal Services : نرم افزار فوق توسط شرکت مایکروسافت و به همراه سیستم عامل ویندوز و به منظور کنترل از راه دور یک سیستم ، ارائه شده است .

همانند سایر نرم افزارهاى کاربردى ، نرم افزارهاى فوق را مى توان هم در جهت اهداف مثبت و هم در جهت اهداف مخرب بکارگرفت.
بهترین روش به منظور پیشگیرى از حملات Back doors ، آموزش کاربران و مانیتورینگ عملکرد هر یک از نرم افزارهاى موجود مى باشد. به کاربران مى بایست آموزش داده شود که صرفا" از منابع و سایت هاى مطمئن اقدام به دریافت و نصب نرم افزار بر روى سیستم خود نمایند . نصب و استفاده از برنامه هاى آنتى ویروس مى تواند کمک قابل توجهى در بلاک نمودن عملکرد اینچنین نرم افزارهائى ( نظیر : Back Orifice, NetBus, and Sub7 ) را به دنبال داشته باشد . برنامه هاى آنتى ویروس مى بایست به صورت مستمر بهنگام شده تا امکان شناسائى نرم افزارهاى جدید ، فراهم گردد .