نگاهی نزدیک به حملات انسداد سرویس (Denial of Service attacks)

حملات انسداد سرویس روز به روز افزایش پیدا می‌کنند، این پیشامد با توجه به وابستگی روزافزون کابران به سرویس‌‌های تحت وب چندان هم دور از ذهن و تعجب‌برانگیز نیست؛ این حقیقت را هم نباید فراموش کرد که پیاده‌سازی این‌گونه حملات نسبتاً ارزان و بی‌دردسر تمام می‌شود. در این مطلب قصد داریم به بررسی موشکافانه‌ی حملات انسداد سرویس، انواع متفاوت آن، نکاتی مفید راجع به سد کردن راه این‌گونه حملات، و اشاره به برخی ابزارهای امنیتی مناسب جهت کمک به کاهش تبعات زیان‌بار ناشی از آسیب‌پذیری‌های مربوطه بپردازیم.

حملات DoS و تأثیرات آن

حمله‌ی انسداد سرویس تلاشی آشکار برای ممانعت از دست‌رسی کاربران مجاز به اطلاعات و سرویس‌های موجود روی یک سامانه‌ی میزبان است. این هدف مجرمان سایبری از طریق بارگذاری بیش از حد درخواست‌ها روی سرویس‌ها یا دستگاه‌های هدف عملی می‌شود؛ به این ترتیب منابع مورد نظر کاربرانی که هدف حمله قرار گرفته‌اند از دست‌رسی‌شان خارج شده و دیگر جواب‌گوی نیازهای آن‌ها نخواهد بود. حملات DoS از نقاط ضعف و آسیب‌پذیری‌های شناخته‌شده‌ی موجود در سامانه‌ها و برنامه‌های کاربردی سوءاستفاده می‌کنند. درواقع این‌گونه حملات قصد دارند با مصرف منابع ارزش‌مند، سرویس ویژه‌ای را با اختلال مواجه نمایند. از جمله منابعی که ممکن است در یک حمله‌ی DoS مورد تهاجم قرار بگیرد می‌توان به این موارد اشاره کرد:

  • اتصالات شبکه
  • ساختارهای داده
  • پهنای باند
  • حافظه
  • پردازنده
  • فضای دیسک
  • مدیریت استثناءهای برنامه‌های کاربردی
  • اتصال به پایگاه داده

متأسفانه رفته‌رفته بر میزان پیچیدگی حملات DoS افزوده می‌شود و به همین ترتیب از امکان شناسایی آن‌ها نیز کاسته می‌گردد. DoS ممکن است با متوقف ساختن سرویس‌های تجاری و جلوگیری از دست‌رسی کاربران به وب، هر روزه سازمان‌ها را دچار زیان‌های مالی قابل ملاحظه‌ای نماید.

نفوذگران پشت پرده از شیوه‌های گوناگونی برای پایه‌ریزی حملات DoS استفاده می‌کنند؛ حملات انسداد سرویس در ابعاد و اشکال مختلفی ظاهر می‌شوند، حال می‌خواهیم نگاهی گذرا به برخی گونه‌های این حمله‌ی سایبری داشته باشیم:

۱. حملات هم‌گام (Syn)

در یک حمله‌ی هم‌گام، ممکن است قابلیت‌های شبکه‌ی سامانه‌ی هدف با بارگذاری بیش از حد پشته‌ی پروتکل شبکه با درخواست‌های اطلاعات و یا تلاش‌هایی که برای برقراری اتصال صورت می‌گیرد، زیر سؤال برود. یک حمله‌ی هم‌گام از نقطه‌ضعف‌های مطرح پروتکل TCP سوءاستفاده می‌کند و می‌تواند هر سامانه‌ای را که ارائه‌دهنده‌ی سرویس‌های مبتنی بر TCP است تحت تأثیر قرار دهد، سرویس‌هایی مانند وب، رایانامه، TCP، کارگزارهای چاپ و غیره.

در یک ارتباط TCP معمولی، کارگزار و سرویس‌گیرنده مجموعه‌ای از پیام‌ها را رد و بدل می‌کنند تا ارتباطی را صورت دهند، حتماً می‌دانید که این فرآیند به دست‌ دادن سه‌طرفه۱ شهرت دارد. در اولین گام سرویس‌گیرنده یک پیام SYN را به کارگزار ارسال می‌کند. کارگزار دریافت این پیام را با فرستادن یک پیام ۲SYN-ACK به سرویس‌گیرنده تأیید می‌نماید. در گام آخر سرویس‌گیرنده با ارسال یک پیام ACK به پیام دریافتی از سوی کارگزار پاسخ داده و در نهایت اتصال برقرار می‌شود.

مهاجم با سوءاستفاده از این فرآیند، بسته‌های متعدد SYN را به‌طور پیوسته ارسال می‌کند اما هیچ پاسخی را ارائه نمی‌نماید. این بدان معناست که میزبانِ هدف دست به هیچ کاری نزده و فقط منتظر دریافت تأییدیه‌ی درخواست‌ها می‌ماند که این موضوع تعداد اتصال‌های ممکن را به حداقل می‌رساند. این امر نیز به نوبه‌ی خود باعث می‌شود تلاش‌هایی که کاربران مجاز سامانه برای برقراری اتصال از خود نشان می‌دهند با شکست مواجه شوند.

نکات لازم برای ایمن‌سازی:

پیش از هر چیز مطمئن شوید دیوار آتش یا سامانه‌ی امنیتی را در اختیار دارید که قادر به تشخیص نشانه‌های این نوع حملات است. همچنین اطمینان حاصل کنید که پیکربندی فیلترهای خود را به نحو احسن تنظیم نموده‌اید، به‌طور مثال این تنظیمات به گونه‌ای در نظر گرفته شوند که جریان ورودی‌ به رابط‌های۳ خارجی‌تان از طریق سد کردن راه بسته‌هایی که دارای آدرس منبعی از شبکه‌ی داخلی‌تان هستند، محدود شود. همچنین می‌بایست بسته‌های خروجی را که دارای آدرس منبعی متفاوت با نمونه آدرس‌های داخلی‌ شما هستند، فیلتر نمایید. علاوه بر این بررسی کنید که آیا جدیدترین وصله‌های امنیتی نظیر به‌روزرسانی‌های مربوط به سامانه‌ی عامل و برنامه‌های کاربردی را اِعمال نموده‌اید یا خیر، همچنین به‌روزرسانی‌های سفت‌افزاریِ۴ دستگاه‌های امنیتی و شبکه را نباید فراموش کنید.

۲. آلوده‌سازی حافظه‌ی نهان۵ دی‌ان‌اس۶

 آلوده‌سازی حافظه‌ی نهان دی‌ان‌اس از آسیب‌پذیری‌های موجود در سامانه‌ی نام دامنه سوءاستفاده می‌کند. در این‌گونه از حمله مهاجم سعی می‌کند یک مدخل آدرس جعلی را به پایگاه داده‌ی حافظه‌ی نهان کارگزار دی‌ان‌اس اضافه کند تا به این ترتیب ترافیک اینترنت را از وب‌گاه‌های مجاز به وب‌گاه‌های جعلی منحرف نماید. هدف این است که کاربران ساده‌لوح برنامه‌های مخرب را بارگیری کنند، برنامه‌هایی که بعداً توسط مجرمان سایبری مورد سوءاستفاده واقع می‌شوند.

نکات لازم برای ایمن‌سازی:

در وهله‌ی اول باید اطمینان حاصل کنید که جدیدترین نسخه‌ی نرم‌افزار  DNS خود را اجرا می‌کنید؛ همچنین می‌بایست دیوار آتش را خود را به گونه‌ای تنظیم کنید تا به این ترتیب بسته‌هایی که دارای یک آدرس منبع داخلی هستند روی یک رابط خارجی رها شوند، زیرا این آدرس‌ها در اکثر موارد از نوع جعلی هستند. گام مهم دیگر این است که پرونده‌های گزارش ِ کارگزارهای دی‌ان‌اس خود جمع‌آوری و تجزیه و تحلیل نمایید تا متوجه اِشکال‌ها و الگوهای مشکوک شوید، از جمله پرس‌وجوهای۷ متعددی که در یک بازه‌ی زمانی کوتاه از طرف یک آدرس IP صادر می‌شوند.

۳. سیل ICMP/Ping

در این شیوه‌، مهاجم جریان مداومی از درخواست‌های اکوی۸ ICMP را با بیشترین سرعت ممکن و بدون انتظار برای دریافت پاسخ به قربانی ارسال می‌کند. به بیان دیگر، کاربر را با سیلی از بسته‌های پینگ مواجه می‌نماید. 
این رگبار بی‌امانی که از بسته‌های داده تشکیل شده پهنای باند ورودی و خروجی کاربر قربانی را مصرف می‌کند و از رسیدن بسته‌های مجاز به مقصد جلوگیری به عمل می‌آورد.

نکات لازم برای ایمن‌سازی:

ترافیک ICMP را به گونه‌ای مناسب فیلتر نمایید. در حقیقت ترافیک ICMP را مسدود کنید، مگر آنکه به آن نیاز خاصی داشته باشید. مانند آن دست از ابزارهایی که برای مدیریت و عیب‌یابی‌هایی متداول استفاده می‌شوند. در مورد ترافیک ICMP هم این‌گونه عمل کنید و فقط میزبان‌های خاصی را که به آن‌ها احتیاج دارید مسدود نکنید. همچنین پارامترهای مناسب را تنظیم نموده و نرخ عبوری از دیوارهای آتش و مسیریاب‌ها را محدود کنید؛ به‌طور مثال سقفی را برای حداکثر تعداد بسته‌ی مجاز  در ثانیه برای هر آدرس IP منبع در نظر بگیرید. علاوه بر این موارد مطمئن شوید گزارش آن دستگاه‌ها را به‌صورت بی‌درنگ پایش می‌کنید و به این ترتیب قادرید الگوهای حجم بالای ICMP را شناسایی نمایید.

۴. بمب‌های رایانامه‌
در این نوع از حمله حجم عظیمی از رایانامه‌های ساختگی به‌طور هم‌زمان ارسال می‌شود، رایانامه‌هایی که در بسیاری از موارد دربرگیرنده‌ی پرونده‌های پیوست بسیار بزرگی هستند. بمب‌های رایانامه‌ بخش قابل توجهی از پهنای باند را در کنار منابع ارزش‌مند کارگزار و فضای دیسک استفاده می‌کنند. یک حمله‌ی این‌چنینی می‌تواند سرویس‌های رایانامه‌ی شما را از دست‌رس خارج کرده و باعث توقف ناگهانی سامانه‌ی شما شود.

نکات لازم برای ایمن‌سازی:

شما می‌توانید علاوه بر دیوار آتش، حفاظت‌های محیطی دیگری همچون دستگاه‌های فیلترسازی محتوا را نیز لحاظ نمایید. همچنین می‌بایست با حجم رایانامه‌ها و ضمیمه‌ها عاقلانه‌تر برخورد کرد و تعداد اتصال‌های ورودی به کارگزار رایانامه را محدود نمود.

۵. سیل حمله به برنامه‌های کاربردی

حملات انسداد سرویسِ برنامه‌های کاربردی، کارگزارهای وب را هدف قرار می‌دهند و از شکاف‌های موجود در کد نرم‌افزارها و مدیریت استثناءها سوءاستفاده می‌کنند. این نوع حملات رایج هستند و مقابله با آن‌ها دشوار است، زیرا بیشتر دیوارهای آتش پورت ۸۰ را باز می‌گذارند و به ترافیک اجازه می‌دهند برنامه‌های کاربردی پشتیبان را درگیر نماید.

نکات لازم برای ایمن‌سازی:

پیش از هر کاری بررسی کنید که آیا کارگزارها و نرم‌افزارهای شما به وصله‌های امنیتی به‌روز مجهز هستند یا خیر. همچنین بد نیست به توسعه‌دهندگان مربوطه درباره‌ی کدهای مخرب آموزش بدهید و از یک Web Application Firewall یا به اختصار WAF کمک بگیرد تا به این صورت مقابل کدهایی با اهداف سوء و نیز آسیب‌پذیری‌های نرم‌افزاری از خود محافظت به عمل آورید. همچنین ضروری است گزارشی را از اطلاعات مربوط به تمامی برنامه‌های حساس تجاری خود تهیه نمایید.

   

ابزارهای امنیتی مؤثر برای کاهش آسیب‌پذیری‌ها

تا زمانی که سامانه‌های آسیب‌پذیری در بستر وب وجود داشته باشند، حملات انسداد سرویس نیز صحنه را ترک نخواهند کرد. از آنجایی‌که مقابله با برخی از حملات DoS کار ساده‌ای نیست، راه‌هایی برای کاهش خطرات ناشی از حملات این‌چنینی در نظر گرفته شده است.

اولین و مهم‌ترین راه این است که مطمئن شوید سامانه‌های شما با بهره‌گیری از تازه‌ترین وصله‌ها به‌روز شده‌اند. حتماً تاکنون شنیده‌اید که مدیریت وصله‌ها یکی از حائز اهمیت‌ترین فرآیندها در زمینه‌ی مدیریت آسیب‌پذیری می‌باشد. شما ملزم به آن‌اید که تازه‌ترین وصله‌های امنیتی و به‌روزرسانی‌ها را روی سامانه‌ی عامل و نرم‌افزارهای خود اِعمال نمایید. همچنین سفت‌افزارهای مربوط به دستگاه‌های شبکه اعم از دیوارهای آتش و مسیریاب‌های خود را مشمول به‌روزرسانی کنید.

در وهله‌ی بعدی به‌طور دائم سامانه‌ها و دستگاه‌های خود را پایش نمایید. برای این کار لازم است در درجه‌ی اول مبنایی را در نظر بگیرید سپس براساس آن مبنا رفتار شبکه را مورد بررسی قرار دهید تا به ناهنجاری‌های آن واقف شوید. برای کسب موفقیت در این فرآیند باید راه‌کاری را انتخاب کنید که از قابلیت پایش و تشخیص ارتباط میان اطلاعات رویدادهایی برخوردار باشد که در محیط عملیاتی شما رخ داده‌اند و مهم‌تر از همه اینکه قادر به واکنشِ بی‌درنگ باشد. این درست همان‌جایی است که پای راه‌‌کارهای Security Information and Event Management به میان می‌آید. ابزارهای مبتنی بر مدیریت گزارش به جمع‌آوری و ارتباط‌سنجیِ مرکزی گزارش‌های رسیده از دستگاه‌های امنیتی و شبکه،‌ کارگزارهای نرم‌افزارهای کاربردی، پایگاه‌های داده و غیره می‌پردازند تا به این طریق اطلاعات عملی و نگرش جامعی را نسبت به امنیت زیرساخت‌های فناوری اطلاعات ارائه نمایند.

گام مهم دیگر این است که مطمئن شوید دستگاه‌های شبکه و دیوارهای آتش شما به طرز مناسبی پیکربندی شده‌اند، همچنین در مورد وضع قوانین مناسب نباید اهمال ورزید.

مدیریت تغییرات و پیکربندی نقش حیاتی را در حفاظت از شبکه‌ی شما، مقابل دست‌کاری‌های غیرمجاز و ناصحیحی که ممکن است دستگاه‌های حیاتی‌تان را در معرض حمله قرار دهند، بازی می‌کند.
پیروی از دستورالعمل‌های ارئه‌شده می‌تواند راه حفاظت از سرویس‌ها و زیرساخت‌های فناوری اطلاعات را برای شما هموار کند. مثل همیشه نتایج حاصل از اقدام‌های پیش‌گیرانه‌ای که قبل از وقوع حملات انجام می‌شوند خیلی بهتر از بازیابی و ترمیمی است که پس از حمله صورت می‌گیرد.  
 

  • ۱. three-way handshake
  • ۲. synchronize-acknowledgement
  • ۳. Interface
  • ۴. Firmware
  • ۵. Cache
  • ۶. DNS
  • ۷. Query
  • ۸. Echo: انتقال بلافاصله‌ی هر نویسه‌ای که توسط رایانه دریافت شده به منبع مربوطه به نحوی که نشان‌دهنده‌ی تأیید دریافت باشد.

 

ابوالفضل محمدی

درباره من

شاید این مطالب را هم دوست داشته باشید

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *