سخاروش – در بخش اول اين مقاله به ضرورت شناسائى سرويس ها و پروتکل ها ى غيرضرورى ، نصب و پيکربندى سرويس ها و پروتکل هاى مورد نياز با لحاظ نمودن مسائل امنيتى در يک شبکه ، اشاره گرديد . همانگونه که در بخش اول اين مقاله اشاره شد ، حملات در يک شبکه کامپيوترى ، حاصل پيوند سه عنصر مهم سرويس ها ى فعال ، پروتکل هاى استفاده شده و پورت هاى باز مى باشد. کارشناسان امنيت اطلاعات مى بايست با تمرکز بر سه محور فوق ، شبکه اى ايمن و مقاوم در مقابل انواع حملات را ايجاد و نگهدارى نمايند.
انواع حملات
Denial of Service (DoS) & Distributed Denial of Service (DDoS)
Back Door Spoofing
Man in the Middle Replay
TCP/IP Hijacking Weak Keys
Mathematical Password Guessing
Brute Force Dictionary
Birthday Software Exploitation
Malicious Code Viruses
Virus Hoaxes Trojan Horses
Logic Bombs Worms
Social Engineering Auditing
System Scanning
حملات از نوع DoS
هدف از حملات DoS ، ايجاد اختلال در منابع و يا سرويس هائى است که کاربران قصد دستيابى و استفاده از آنان را دارند ( از کار انداختن سرويس ها ) . مهمترين هدف اين نوع از حملات ، سلب دستيابى کاربران به يک منبع خاص است . در اين نوع حملات، مهاجمان با بکارگيرى روش هاى متعددى تلاش مى نمايند که کاربران مجاز را به منظور دستيابى و استفاده از يک سرويس خاص ، دچار مشکل نموده و بنوعى در مجموعه سرويس هائى که يک شبکه ارائه مى نمايد ، اختلال ايجاد نمايند . تلاش در جهت ايجاد ترافيک کاذب در شبکه ، اختلال در ارتباط بين دو ماشين ، ممانعت کاربران مجاز به منظور دستيابى به يک سرويس ، ايجاد اختلال در سرويس ها ، نمونه هائى از ساير اهدافى است که مهاجمان دنبال مى نمايند . در برخى موارد و به منظور انجام حملات گسترده از حملات DoS به عنوان نقطه شروع و يک عنصر جانبى استفاده شده تا بستر لازم براى تهاجم اصلى ، فراهم گردد . استفاده صحيح و قانونى از برخى منابع نيز ممکن است ، تهاجمى از نوع DoS را به دنبال داشته باشد .
مثلا” يک مهاجم مى تواند از يک سايت FTP که مجوز دستيابى به آن به صورت anonymous مى باشد ، به منظور ذخيره نسخه هائى از نرم افزارهاى غيرقانونى ، استفاده از فضاى ذخيره سازى ديسک و يا ايجاد ترافيک کاذب در شبکه استفاده نمايد . اين نوع از حملات مى تواند غيرفعال شدن کامپيوتر و يا شبکه مورد نظر را به دنبال داشته باشد . حملات فوق با محوريت و تاکيد بر نقش و عمليات مربوط به هر يک از پروتکل هاى شبکه و بدون نياز به اخذ تائيديه و يا مجوزهاى لازم ، صورت مى پذيرد . براى انجام اين نوع حملات از ابزارهاى متعددى استفاده مى شود که با کمى حوصله و جستجو در اينترنت مى توان به آنان دستيابى پيدا کرد . مديران شبکه هاى کامپيوترى مى توانند از اين نوع ابزارها ، به منظور تست ارتباط ايجاد شده و اشکال زدائى شبکه استفاده نمايند . حملات DoS تاکنون با اشکال متفاوتى ، محقق شده اند . در ادامه با برخى از آنان آشنا مى شويم .
Smurf/smurfing : اين نوع حملات مبتنى بر تابع Reply پروتکل Internet Control Message Protocol) ICMP) ،بوده و بيشتر با نام ping شناخته شده مى باشند .( Ping ، ابزارى است که پس از فعال شدن از طريق خط دستور ، تابع Reply پروتکل ICMP را فرامى خواند) . در اين نوع حملات ، مهاجم اقدام به ارسال بسته هاى اطلاعاتى Ping به آدرس هاى Broadcast شبکه نموده که در آنان آدرس مبداء هر يک از بسته هاى اطلاعاتى Ping شده با آرس کامپيوتر قربانى ، جايگزين مى گردد .بدين ترتيب يک ترافيک کاذب در شبکه ايجاد و امکان استفاده از منابع شبکه با اختلال مواجه مى گردد.
Fraggle : اين نوع از حملات شباهت زيادى با حملات از نوع Smurf داشته و تنها تفاوت موجود به استفاده از User Datagram Protocol ) UDP) در مقابل ICMP ، برمى گردد . در حملات فوق ، مهاجمان اقدام به ارسال بسته هاى اطلاعاتى UDP به آدرس هاى Broadcast ( مشابه تهاجم Smurf ) مى نمايند . اين نوع از بسته هاى اطلاعاتى UDP به مقصد پورت 7 ( echo ) و يا پورت 19 ( Chargen ) ، هدايت مى گردند.
Ping flood : در اين نوع تهاجم ، با ارسال مستقيم درخواست هاى Ping به کامپيوتر فربانى ، سعى مى گردد که سرويس ها بلاک و يا فعاليت آنان کاهش يابد. در يک نوع خاص از تهاجم فوق که به ping of death ، معروف است ، اندازه بسته هاى اطلاعاتى به حدى زياد مى شود که سيستم ( کامپيوتر قربانى ) ، قادر به برخورد مناسب با اينچنين بسته هاى اطلاعاتى نخواهد بود .
SYN flood : در اين نوع تهاجم از مزاياى three-way handshake مربوط به TCP استفاده مى گردد . سيستم مبداء اقدام به ارسال مجموعه اى گسترده از درخواست هاى synchronization ) SYN) نموده بدون اين که acknowledgment ) ACK) نهائى آنان را ارسال نمايد. بدين ترتيب half-open TCP sessions (ارتباطات نيمه فعال ) ، ايجاد مى گردد . با توجه به اين که پشته TCP ، قبل از reset نمودن پورت ، در انتظار باقى خواهد ماند ، تهاجم فوق ، سرريز بافر اتصال کامپيوتر مقصد را به دنبال داشته و عملا” امکان ايجاد ارتباط وى با سرويس گيرندگان معتبر ، غير ممکن مى گردد .
Land : تهاجم فوق، تاکنون در نسخه هاى متفاوتى از سيستم هاى عامل ويندوز ، يونيکس ، مکينتاش و IOS سيسکو،مشاهده شده است . در اين نوع حملات ، مهاجمان اقدام به ارسال يک بسته اطلاعاتى TCP/IP synchronization ) SYN) که داراى آدرس هاى مبداء و مقصد يکسان به همراه پورت هاى مبداء و مقصد مشابه مى باشد ، براى سيستم هاى هدف مى نمايند . بدين ترتيب سيستم قربانى، قادر به پاسخگوئى مناسب بسته اطلاعاتى نخواهد بود .
Teardrop : در اين نوع حملات از يکى از خصلت هاى UDP در پشته TCP/IP برخى سيستم هاى عامل ( TCPپياده سازى شده در يک سيستم عامل ) ، استفاده مى گردد. در حملات فوق ، مهاجمان اقدام به ارسال بسته هاى اطلاعاتى fragmented براى سيستم هدف با مقادير افست فرد در دنباله اى از بسته هاى اطلاعاتى مى نمايند . زمانى که سيستم عامل سعى در بازسازى بسته هاى اطلاعاتى اوليه fragmented مى نمايد، قطعات ارسال شده بر روى يکديگر بازنويسى شده و اختلال سيستم را به دنبال خواهد داشت . با توجه به عدم برخورد مناسب با مشکل فوق در برخى از سيستم هاى عامل ، سيستم هدف ، Crash و يا راه اندازى مجدد مى گردد .
Bonk : اين نوع از حملات بيشتر متوجه ماشين هائى است که از سيستم عامل ويندو استفاده مى نمايند . در حملات فوق ، مهاجمان اقدام به ارسال بسته هاى اطلاعاتى UDP مخدوش به مقصد پورت 53 DNS ، مى نمايند بدين ترتيب در عملکرد سيستم اختلال ايجاد شده و سيستم Crash مى نمايد .
Boink : اين نوع از حملات مشابه تهاجمات Bonk مى باشند. با اين تفاوت که در مقابل استفاده از پورت 53 ، چندين پورت ، هدف قرارمى گيرد .
يکى ديگر از حملات DoS ، نوع خاص و در عين حال ساده اى از يک حمله DoS مى باشد که با نام Distributed DoS ) DDoS) ، شناخته مى شود .در اين رابطه مى توان از نرم افزارهاى متعددى به منظور انجام اين نوع حملات و از درون يک شبکه ، استفاده بعمل آورد. کاربران ناراضى و يا افرادى که دارى سوء نيت مى باشند، مى توانند بدون هيچگونه تاثيرى از دنياى خارج از شيکه سازمان خود ، اقدام به ازکارانداختن سرويس ها در شبکه نمايند. در چنين حملاتى ، مهاجمان نرم افزارى خاص و موسوم به Zombie را توزيع مى نمايند . اين نوع نرم افزارها به مهاجمان اجازه خواهد داد که تمام و يا بخشى از سيستم کامپيوترى آلوده را تحت کنترل خود درآورند. مهاجمان پس از آسيب اوليه به سيستم هدف با استفاده از نرم افزار نصب شده Zombie ، تهاجم نهائى خود را با بکارگيرى مجموعه اى وسيع از ميزبانان انجام خواهند داد. ماهيت و نحوه انجام اين نوع از حملات ، مشابه يک تهاجم استاندارد DoS بوده ولى قدرت تخريب و آسيب که مهاجمان متوجه سيستم هاى آلوده مى نمايند ، متاثر از مجموع ماشين هائى ( Zombie ) است که تحت کنترل مهاجمان قرار گرفته شده است .
به منظور حفاظت شبکه ، مى توان فيلترهائى را بر روى روترهاى خارجى شبکه به منظور دورانداختن بسته هاى اطلاعاتى مشمول حملات DoS ، پيکربندى نمود .در چنين مواردى مى بايست از فيلترى ديگر که امکان مشاهده ترافيک (مبداء از طريق اينترنت) و يک آدرس داخلى شبکه را فراهم مى نمايد ، نيز استفاده گردد .
حملات از نوع Back door
Back door ، برنامه اى است که امکان دستيابى به يک سيستم را بدون بررسى و کنترل امنيتى ، فراهم مى نمايد . برنامه نويسان معمولا” چنين پتانسيل هائى را در برنامه ها پيش بينى تا امکان اشکال زدائى و ويرايش کدهاى نوشته شده در زمان تست بکارگيرى نرم افزار ، فراهم گردد. با توجه به اين که تعداد زيادى از امکانات فوق ، مستند نمى گردند ، پس از اتمام مرحله تست به همان وضعيت باقى مانده و تهديدات امنيتى متعددى را به دنبال خواهند داشت .
برخى از متداولترين نرم افزارها ئى که از آنان به عنوان back door استفاده مى گردد ، عبارتند از :
Back Orifice : برنامه فوق يک ابزار مديريت از راه دور مى باشد که به مديران سيستم امکان کنترل يک کامپيوتر را از راه دور ( مثلا” از طريق اينترنت ) ، خواهد داد. نرم افزار فوق ، ابزارى خطرناک است ک توسط گروهى با نام Cult of the Dead Cow Communications ، ايجاد شده است . اين نرم افزار داراى دو بخش مجزا مى باشد : يک بخش سرويس گيرنده و يک بخش سرويس دهنده . بخش سرويس گيرنده بر روى يک ماشين اجراء و زمينه مانيتور نمودن و کنترل يک ماشين ديگر که بر روى آن بخش سرويس دهنده اجراء شده است را فراهم مى نمايد .
NetBus : اين برنامه نيز نظير Back Orifice ، امکان دستيابى و کنترل از راه دور يک ماشين از طريق اينترنت را فراهم مى نمايد.. برنامه فوق تحت سيستم عامل ويندوز ( نسخه هاى متفاوت از NT تا 95 و 98 ) ، اجراء و از دو بخش جداگانه تشکيل شده است : بخش سرويس دهنده ( بخشى که بر روى کامپيوتر قربانى مستقر خواهد شد ) و بخش سرويس گيرنده ( برنامه اى که مسوليت يافتن و کنترل سرويس دهنده را برعهده دارد ) . برنامه فوق ، به حريم خصوصى کاربران در زمان اتصال به اينترنت ، تجاوز و تهديدات امنيتى متعددى را به دنبال خواهد داشت .
Sub7) SubSeven) ، اين برنامه برنامه نيز تحت ويندوز اجراء شده و داراى عملکردى مشابه Back Orifice و NetBus مى باشد . پس از فعال شدن برنامه فوق بر روى سيستم هدف و اتصال به اينترنت ،هر شخصى که داراى نرم افزار سرويس گيرنده باشد ، قادر به دستيابى نامحدود به سيستم خواهد بود .
نرم افزارهاى Back Orifice ، NetBus, Sub7 داراى دو بخش ضرورى سرويس دهنده و سرويس گيرنده، مى باشند . سرويس دهنده بر روى ماشين آلوده مستقر شده و از بخش سرويس گيرنده به منظور کنترل از راه دور سرويس دهنده ، استفاده مى گردد.به نرم افزارهاى فوق ، ” سرويس دهندگان غيرقانونى ” گفته مى شود .
برخى از نرم افزارها از اعتبار بالائى برخوردار بوده ولى ممکن است توسط کاربرانى که اهداف مخربى دارند ، مورد استفاده قرار گيرند :
Virtual Network Computing)VNC) : نرم افزار فوق توسط آزمايشگاه AT&T و با هدف کنترل از راه دور يک سيستم ، ارائه شده است . با استفاده از برنامه فوق ، امکان مشاهده محيط Desktop از هر مکانى نظير اينترنت ، فراهم مى گردد . يکى از ويژگى هاى جالب اين نرم افزار ، حمايت گسترده از معمارى هاى متفاوت است .
PCAnywhere : نرم افزار فوق توسط شرکت Symantec ، با هدف کنترل از راه دور يک سيستم با لحاظ نمودن فن آورى رمزنگارى و تائيد اعتبار ، ارائه شده است . با توجه به سهولت استفاده از نرم افزار فوق ، شرکت ها و موسسات فراوانى در حال حاضر از آن و به منظور دستيابى به يک سيستم از راه دور استفاده مى نمايند .
Terminal Services : نرم افزار فوق توسط شرکت مايکروسافت و به همراه سيستم عامل ويندوز و به منظور کنترل از راه دور يک سيستم ، ارائه شده است .
همانند ساير نرم افزارهاى کاربردى ، نرم افزارهاى فوق را مى توان هم در جهت اهداف مثبت و هم در جهت اهداف مخرب بکارگرفت.
بهترين روش به منظور پيشگيرى از حملات Back doors ، آموزش کاربران و مانيتورينگ عملکرد هر يک از نرم افزارهاى موجود مى باشد. به کاربران مى بايست آموزش داده شود که صرفا” از منابع و سايت هاى مطمئن اقدام به دريافت و نصب نرم افزار بر روى سيستم خود نمايند . نصب و استفاده از برنامه هاى آنتى ويروس مى تواند کمک قابل توجهى در بلاک نمودن عملکرد اينچنين نرم افزارهائى ( نظير : Back Orifice, NetBus, and Sub7 ) را به دنبال داشته باشد . برنامه هاى آنتى ويروس مى بايست به صورت مستمر بهنگام شده تا امکان شناسائى نرم افزارهاى جديد ، فراهم گردد .
در بخش سوم اين مقاله به بررسى ساير حملات ، خواهيم پرداخت .
