گزارشى از حمله به قلب اينترنت
نام نویسنده: شهرام شريف
21 اکتبر 2002 – ساعت 4 بعدازظهر به وقت شرق آمريکا
8 آبان 81 – بخش مقاله – ITiran در حالى که افکار عمومى خصوصا در ايالات متحده در سرگردانى و وحشت اضافه شدن آخرين قتل تک تيرانداز آمريکايى به سر مى بردند خبرى روى سايت اينترنتى Matrix Net System همچون بمبى بر خبرهاى ديگر سايه مى اندازد. در اين سايت آمده است:” يک حمله اينترنتى از نوع Service Distibiuted Denial Of (که به اختصار به آن DDOS گفته مى شود) توسط سيستم کنترل کننده اين شرکت گزارش شده است. اين حمله 13 سرور اصلى اينترنتى را دربرمى گيرد که وظيفه آن ها کنترل آدرس هاى اينترنتى و ترجمه آن براى شبکه هاى DNS است.”
هر چند اين خبر در هياهوى دستگيرى “جان آلن محمد” فردى که مظنون شماره يک قتل هاى زنجيره اى در ايالات متحده معرفى شده – گم مى شود اما واقعيت اين است که ارزش خبرى آن در محيط مجازى اينترنت همچون برخورد هواپيما به برج هاى تجارت جهانى در واقعيت است.
اين حمله حساب شده که به سرورهاى اصلى اينترنت در سراسر جهان صورت گرفت در حقيقت نخستين و بزرگترين حمله در نوع خود بود که به اعتقاد بسيارى از کارشناسان در حافظه اينترنت چنين حمله اى مشاهده نشده است.
سايت ماتريکس نت سيستم که در حقيقت وظيفه مانيتور و مواظبت از ترافيک اينترنتى را بر عهده دارد ضمن اشاره به کاهش بار ترافيک در اثر اين حمله – اسامى سرورهاى مورد حمله قرار گرفته را به ترتيب زير اعلام مى کند:
1- Verisign واقع در ويرجيناى آمريکا
2- U.S DOD واقع در ويرجينياى آمريکا
3- لابراتوار تحقيقات ارتش واقع در مريلند آمريکا
4- Atonomica استکهلم سوئد
5- Verisign واقع در ويرجيناى آمريکا
6- Reseaux IP Europeens لندن انگلستان
7- Wide Project توکيو ژاپن
چند ساعت بعد از اين اعلام مى شود که 5 سرور مرکزى ديگر نيز مورد حمله قرار گرفته اند يعنى از 13 سرور مرکزى که به دلايل امنيت فيزيکى در سراسر جهان پراکنده اند همه بدون استثنا مورد حمله واقع شده اند آن هم درست در يک زمان مشخص و از اين ميان 9 سرور به طور کامل ز کار مى افتند. اما چهار سرور باقى مانده در غياب ديگر هسته هاى مرکزى اينترنت کار انتقال ترافيک اينترنت را برعهده مى گيرند.
فيشر: در حال بررسى هستيم
واقعه آنقدر بزرگ هست که آرى فيشر سخنگوى کاخ سفيد با تمام سعى و تلاشى که در خونسرد نشان دادن خود به کار مى برد کمى بلرزد . او مى گويد:” مشخص نيست که اين حمله از کجا سرچشمه مى گيرد هر چند ممکن است در نهايت مشخص شود که اين حمله يک کار تروريستى مجازى (Cyber Terorism) باشد.”
او در عين حال اضافه مى کند:” سابقه تاريخى نشان مى دهد که اين گونه حمله ها معمولا توسط گروههاى نفوذگر (هکر) سازماندهى مى شوند البته ماموران ما در حال تحقيات هستند.”
اما با سخنان فيشر کار به پايان نمى رسد. بوش نيز کمى بعد در سخنرانى خود درباره محافظت کودکان دربرابر خطرات اينترنتى به اين حمله اشاره مى کند و آن را يک نوع تروريسم اينترنتى مى نامد.
درست يک روز بعد از اين حادثه FBI اعلام مى کند هر چند تاثير اين حمله روى کاربران معمولى اينترنت ناچيز مى نمايد اما حمله بزرگترين تلاش براى از کار انداختن اينترنت (و نه فقط چند سايت ) از ابتداى پيدايش آن بوده است.
حرکت تا قلب فاجعه
22 اکتبر – واشينگتن پست: “قلب اينترنت متحمل بزرگترين حمله در سطحى کاملا غير طبيعى شد. به گفته مقامات رسمى Key Online BackBone حمله خارج از سرويس سازى DDOS در يک زمان 13 سرور مرکزى اينترنت را دربر گرفت .”
جملاتى از اين دست در اين روز در ميان اخبار سايت هاى اينترنتى به وفور ديده مى شد. اما نکته جالب توجهى که در گزارش واشنگتن پست به آن اشاره شده بود جنگ پنهان مدافعان سرور با مهاجمان در زمان حمله بود. پل ويکسى از کمپانى Internet Software Consortium مى گويد:” اگر سرورهاى تنها کمى بيشتر خاموش مى ماند و اگر هکرها تنها موفق به حفظ موقعيت خود در خاموش نگاه داشتن سرورها مى شدند آن گاه هم اکنون هيچ کاربرى به اينترنت متصل نبود و حالا همه درگير يک فاجعه بزرگ بوديم.”
اما شايد چنين اتفاقى لازم بود تا طراحى دقيق شبکه بزرگى که همه آن را اينترنت مى نامند مشخص شود. کريس مارو متخصص امنيت شبکه UUNET مى گويد: اين شايد بزرگ ترين حمله همه جانبه و هماهنگ به ساختار اينترنت بود اما UUNET که دو سرور از 13 سرور اصلى را در اختيار دارد توانست در غياب سرورهاى خاموش ديگر ترافيک اينترنت را کنترل کند. اين موضوع نشان دهنده ساختار کامل و بى عيب اينترنت است.”
به گفته پل ويکسى تنها 4 يا 5 سرور در مقابل حمله اخير مقاومت کردند در حقيقت هکرها با برنامه ريزى مشخص قصد خاموش کردن اينترنت را داشتند و اگر مقاومت يکى دو سرور و انتقال ترافيک به آن ها نبود حالا وضعيت کاملا بحرانى بود.
آرى فيشر هم مى گويد: “اين حمله تنها کمى تاخير و ترافيک روى اينترنت ايجاد کرد که براى کاربران معمولى قابل درک نبود اما متخصصان بلافاصله همان مقدار ضعف را هم جبران کردند.”
اما چگونه اين چند سرور در مقابل اين حمله مقاومت کردند. پل ويکسى که سرور شرکت او در مقابل حمله ضربه نخورده مى گويد: ما انتظار چنين چيزى را مى کشيديم و در حقيقيت Verisign کاملا آماده بود.
به گفته کارشناسان هکرها خوب مى دانستند که چه مى خواهند آن ها از روش ساده و پيش پا افتاده اى براى حمله استفاده کردند اما به دليل حجم زياد و حمله هماهنگ کار آن ها مثل يک موج بزرگ درآمد. هکرها قصد داشتند سيستم نام دامنه يا Domain Name اينترنت را از کار بيندازند. اين سيستم وظفه برگرداندن يا ترجمه کدهاى آدرس پروتکل اينترنت به لغات معمولى را دارد. در حقيقت وقتى اين سيستم از کار بيفتند حتى در صورت وجود ارتباط اينترنتى دستورهاى کاربران به هدر رفته و در هياهوى دستورهاى نامشخص در اينترنت گم خواهد شد.
اما از طرف ديگر هکرها چنين شانسى را براى از کار انداختن اينترنت حداقل در کوتاه مدت از دست دادند. چراکه با اين حمله توجه متخصصان امنيت شبکه روى اين بخش اينترنت کاملا متمرکز شده است.مهندسان اينترنتى خيلى زود با برطرف کردن ضعف سرورهاى خود راه هاى نفوذ از اين طريق را خواهند بست. اما از طرف ديگر هکرها هم بيکار نخواهند نشست آن ها نيز با بررسى شکست خود در اين حمله راه هاى ديگرى را خواهند آزمود.
چه کسى حمله کرده است؟
تحقيقات درمورد يافتن عوامل حمله کننده اين واقعه از نخستين ساعات حمله آغاز شده است. پليس اف بى آى که يک دايره ويژه براى رسيدگى به چنين جرم هايى را در اختيار دارد بلافاصله بعد از حمله خبر از جست و جو براى يافتن عوامل حمله کننده داده است. اما واقعيت اين است که يک ويژگى اصلى حمله از نوع خارج سازى سرويس DDOS ناشناس ماندن حمله کننده اصلى است.
هکرها در اين نوع حمله از کامپيوترهاى افراد ديگر براى حمله استفاده مى کنند و خود در پوشش اين افراد و کامپيوترهاى آنان نقشه هاى خود را به اجرا مى گذارند. به فته متخصصان تنها راه پيدا کردن افرادى که به اين حمله مبادرت کرده اند يافتن منابع واقعى و ردپايى است که آن ها در کامپيوترهاى ميزبان( کامپيوترهايى که براى حمله مورد استفاده قرار گرفته اند) است. نمونه چنين حملاتى در سطحى پايين تر پيشتر هم مشاهده شده بود. در فوريه سال 2000 سايت هاى آمازون – ebay – ياهو و چندين Host (فروشنده و نگهدارنده فضا) مورد حمله DDOS قرار گرفته بود که موجب از کار افتادن چند ساعته اين سايت ها شد. عاملان اين حمله هماهنگ هيچ گاه مشخص نشدند و تحقيقات درباره عاملان آن ها راه به جايى نيافت.
آلن پالر مدير انستيتو تحقيقاتى SANS که معمولا با پليس فدرال در مورد شاساى نويسندگان ويروسهاى کامپيوترى همکارى مى کند مى گويد:” فقط يک سيستم دفاعى قدرتمند و کارآمد دربرابر چنين حملات هماهنگ و گسترده اى تاب مى آورند.
او که کمى پيش از اين به عنوان شاهد در دادگاه مافيا بوى (يکى از سرشناس ترين ويروس نويسان جهان) حاضر شده و عليه او شهادت داده مى گويد:”تنها راه جلوگيرى از اين گونه حملات پرکردن منافذ و سوراخ هايى است که معمولا در امن ترين سرورها نيز يافت مى شوند.
حمله خارج از سرويس سازى چيست؟
يک حمله خارج از سرويس سازى يا به اصطلاح DDOS به گونه اى طراحى مى شودکه سايت ها را با اضافه کردن ترافيک کاذب از کار مى اندازد. مثلا تصور کنيد در يک زمان صدها نفر از مردم به يک شماره تلفن زنگ بزنند و عملا استفاده از آن را مختل کنند. در اين حمله از بسته هايى استفاده مى شود که معمولا غير قابل استفاده هستند. اين بسته ها در انبوه زيادى براى يک سرور فرستاده مى شوند و اين کار باعث اشغال شدن پهناى باند وسيع و از کار افتادن آن مى شود.
معمولا گسترش DDOS از طرق مختلفى انجام مى گيرد. هکرها با استفاده از ابزارهاى Download هاست(HOST) هايى را که از فيلتر و يا فايروال استفاده نمى کنند شناسايى کرده و از آن ها براى طرح يک حمله بزرگ استفاده مى کنند. هکر ها پس از يافتن يک حساب دسترسى به اين گونه هاست ها نرم افزارهايى را روى سرور نصب مى کنند. اين نرم افزارها تا زمانى که دستور خاصى به آن ها داده نشود بدون فعاليت باقى مى مانند. پس از اعلام دستور آنها عليه يک هدف مشخص به کار مى افتند. با گسترش مودم هاى کابلى و DSL قدرت و ابزار هکرها هم گسترش پيدا کرد.
امروزه آن ها با نرم افزارهاى جست و جو گر کامپيوترهاى بى دفاعى را که با سرعت بالا به اينترنت متصل هستند را انتخاب کرده و بدون اين که صاحب آن متوجه شود از آن براى ايجاد ترافيک کاذب روى يک سرور استفاده مى کنند. شبيه سازى درخواستى که آن ها از طريق اين گونه کامپيوترها به سرورهاى هدف مى فرستند گاه به ميليونها درخواست مى رسد – چيزى که کمتر سرورى دربرابر آن تاب مى آورد.
پليس اين گونه کامپيوترهايى را که توسط هکرها به کار گرفته مى شوند و در حقيقت ميزبانى عمل غير قانونى آن ها بر عهده دارند خيلى زود شناسايى مى کند و جالب اين جاست که مطابق قانون ايالات متحده اگر از کامپيوتر شخصى بدون اطلاع وى براى حمله استفاده شود شخص مورد نظر نيز مقصر است چراکه کامپيوتر خود را به خوبى محافظت نکرده و آن را براى يک کار خرابکارانه مهيا کرده است. هکرها براى يک حمله از اين نوع از انواع مختلفى از نرم افزارها نيز بهره مى برند بسيارى از حرفه اى ها خود نرم افزارهايى را به اين منظور مى نويسند. جالب اينجاست که منابع معرفى کننده اين نوع حمله همگى اتفاق نظر دارند که در هنگام حمله به هيچ عنوان نمى توان جلوى آن را گرفت و بايد منتظر ماند و پيروزى هکرها را ديد ! اما مثل هر چيز ديگر بهترين کار پيشگيرى است. نصب فايروال ها روى کامپيوترها و شبکه ها (خصوصا کامپيوترهايى که در طول شبانه روز به اينترنت متصل هستند) يکى از پيش پا افتاده ترين اين روش هاست. استفاده از scanner ها يکى ديگر از روشهاى جلوگيرى است اما براى اطمينان بيشتر بهتر است سرى به سايت هايى مثل cert.org و يا www.fbi.com/progroms/ipcis/ipcis.htm بزنيد.
البته گفتنى است که DDOS انوع مختلفى دارد که ذکر آن ها در اين گزارش چندان ضرورى به نظر نمى رسد اما براى اطلاعات بيشتر در مورد اين نوع حمله مى توان به اين آدرس مراجعه کرد: www.iss.net/news/denialfaq.php
راستى مراقب تک تيراندازها در دنياى مجازى باشيد!
منبع : واشنگتن پست – رويتر – AP – Matrix Net System