حملات DOS

نوشته شده توسط admin    دیدگاه(0)

حملات “محرومیت از سرویس” یا Denial of Service به حملاتی می گویند که هدف اصلی آنها ممانعت از دسترسی کاربران به منابع کامپیوتری، شبکه ها و یا اطلاعات است.

در اینگونه حملات معمولاً از دسترسی کاربران به اطلاعات جلوگیری می شود. در این نوع حملات، مهاجمان با ایجاد ترافیک بی مورد و بی استفاده، حجم زیادی از منابع سرویس دهنده (سرور) و پهنای باند شبکه را مصرف می کنند یا به نوعی سرور را درگیر رسیدگی به این تقاضاهای بی مورد می کنند و این تقاضاها تا جایی که دستگاه سرویس دهنده را از کار بیندازد، ادامه پیدا می کند!

یکی از حملات DoS تلاش آشکار مهاجم، جهت جلوگیری از استفاده کاربران قانونی یک سرویس از آن سرویس است. از جمله این تلاش ها می توان به موارد زیر اشاره کرد:

• انواع طغیان های شبکه شامل طغیان های TCP، UDP و ICMP که ترافیک قانونی سایت را مختل می کنند.
• تلاش در جهت قطع ارتباط دو ماشین و در نتیجه عدم امکان استفاده از سرویس آنها.
• تلاش در جهت ممانعت از دسترسی فردی خاص به یک سرویس.
• تلاش برای خرابکاری در ارائه سرویس به سیستم یا شخص خاص.

علاوه بر موارد فوق، استفاده غیر قانونی از منابع هم می تواند منجر به حمله DoS شود. برای مثال یک هکر قادر است با استفاده از بخش FTP ناشناس وب سایت شما یک کپی غیرقانونی از یک نرم افزار تجاری را بر روی سایت شما قرار دهد و فضای سایت شما را اشغال و ترافیک را مختل کند.

البته باید دقت داشت که علت همه از کارافتادگی های سرویس، مربوط به حملات DoS نمی شود و بعضی از فعالیت های بدخواهانه نیز منجر به از کار افتادگی سرویس می شوند. همچنین گاهی اوقات حملات DoS جزئی از یک حمله گسترده تر محسوب می شوند!

از آنجا که حملات طغیان بسته های دیتا معمولاً تلاش می کنند منابع پهنای باند و پردازش را خلع سلاح کنند، میزان بسته ها و حجم دیتای متناظر با رشته بسته ها عوامل مهمی در تعیین درجه موفقیت حمله هستند. بعضی از ابزارهای حمله خواص بسته ها را در رشته بسته ها به دلایلی تغییر می دهند:
۱-آدرس IP منبع: در بعضی موارد، یک آدرس IP منبع ناصحیح، (روشی که جعل IP نامیده می شود) برای پنهان کردن منبع واقعی یک رشته بسته استفاده می شود. در موارد دیگر، جعل IP هنگامی استفاده می شود که رشته های بسته به یک یا تعداد بیشتری از سایت های واسطه فرستاده می شوند تا باعث شود که پاسخ ها به سمت قربانی ارسال شود. مثال بعدی در مورد حملات افزایش بسته است. براي مثال مي توان به smurf و fraggle اشاره كرد.
۲-  پورت های منبع/مقصد: ابزار حمله طغیان بسته بر اساس TCP و UDP گاهی اوقات پورت منبع و یا مقصد را تغییر می دهند تا واکنش توسط فیلتر کردن بسته را مشکل تر کنند.
۳- مقادیر IP Header: در نهایت در ابزار حمله DoS مشاهده کرده ایم که برای مقدار دهی تصادفی، مقادیر Header هر بسته در رشته بسته ها طراحی شده اند که تنها آدرس IP مقصد است که بین بسته ها ثابت می ماند. بسته ها با خواص ساختگی به سادگی در طول شبکه تولید و ارسال می شوند. پروتکل TCP/IP به آسانی مکانیزم هایی برای تضمین پیوستگی خواص بسته ها در هنگام تولید و یا ارسال نقطه به نقطه بسته ها ارائه نمی کند. معمولاً یک نفوذگر فقط به داشتن اختیار کافی روی یک سیستم برای بکارگیری ابزار و حملاتی که قادر به تولید و ارسال بسته های با خواص تغییریافته باشند، نیاز دارد.
ژوئن ۱۹۹۹، آغاز بکارگیری ابزار DoS با چندین منبع یا DDos Distributed DoS بود. روش های حمله DoS در این قسمت به یک تقسیم بندی کلی درباره انواع حملات DoS می پردازیم:
Smurf یا Fraggle: حملات smurf یک از مخرب ترین حملات DoS هستند. در حمله Smurfحمله براساس افزايش بسته های ICMP))، نفوذگر یک تقاضای اکوی Ping يا همان ICMP به یک آدرس ناحیه می فرستد. آدرس منبع تقاضای اکو، آدرس IP قربانی است. (از آدرس IP قربانی بعنوان آدرس برگشت استفاده می شود).
بعد از دریافت تقاضای اکو، تمام ماشین های ناحیه پاسخ های اکو را به آدرس IP قربانی می فرستند. در این حالت قربانی هنگام دریافت طغیان بسته های با اندازه بزرگ از تعداد زیادی ماشین، از کار خواهد افتاد. حمله Smurf برای ازکار انداختن منابع شبکه سیستم قربانی از روش مصرف پهنای باند استفاده می کند. این حمله این عمل را با استفاده از تقویت پهنای باند نفوذگران انجام می دهد. اگر شبکه تقویت کننده ۱۰۰ ماشین دارد، سیگنال می تواند ۱۰۰ برابر شود و بنابراین حمله کننده با پهنای باند پائین (مانند مودم ۵۶ کیلوبیتی) می تواند سیستم قربانی را با پهنای باند بیشتری (مانند اتصال T1 )را از کار بیندازد.
حمله Fraggle (تقویت بسته) UDP): در حقیقت شباهت هایی به حمله Smurf دارد. حمله Fraggle از بسته های اکوی UDP بر طبق همان روش بسته های اکوی ICMP در حمله Smurf استفاده می کند. Fraggle معمولاً به ضریب تقویت کمتری نسبت به Smurf می رسد و در بیشتر شبکه ها اکوی UDP سرویسی با اهمیت کمتر نسبت به اکوی ICMP است، بنابراین Fraggle عمومیت Smurf را ندارد. SYN Flood حمله طغیان SYN قبل از کشف حمله Smurf بعنوان مخرب ترین شیوه حمله DoS بشمار می رفت. این روش برای ایجاد حمله DoS بر اساس قحطی منابع عمل می کند. در طول برقراری یک ارتباط معمولی TCP، سرویس گیرنده یک تقاضای SYN به سرویس دهنده می فرستد، سپس سرور با یک ACK/SYN به کلاینت پاسخ می دهد، در نهایت کلاینت یک ACK نهایی را به سرور ارسال می کند و به این ترتیب ارتباط برقرار می شود. اما در حمله طغیان SYN، حمله کننده چند تقاضای SYN به سرور قربانی با آدرس های منبع جعلی بعنوان آدرس برگشت، می فرستد. آدرس های جعلی روی شبکه وجود ندارند. سرور قربانی سپس با ACK/SYN به آدرس های ناموجود پاسخ می دهد. از آنجا که هیچ آدرسی این ACK/SYN را دریافت نمی کند، سرور قربانی منتظر ACK از طرف کلاینت می ماند. ACK هرگز نمی رسد و زمان انتظار سرور قربانی پس از مدتی به پایان می رسد. اگر حمله کننده به اندازه کافی و مرتب تقاضاهای SYN بفرستد، منابع موجود سرور قربانی برای برقراری یک اتصال و انتظار برای این ACK های در حقیقت تقلبی مصرف خواهد شد.
این منابع معمولاً از نظر تعداد زیاد نیستند، بنابراین تقاضاهای SYN جعلی حتی با تعداد نسبتاً کم می توانند باعث وقوع یک حمله DoS شوند. حملات DNS در نسخه های اولیه BIND (Berkely Internet Name Domain)، حمله کنندگان می توانستند بطور مؤثری حافظه نهان یک سرور DNS را که در حال استفاده از عملیات بازگشت برای جستجوی یک ناحیه بود که توسط این سرور سرویس داده نمی شد مسموم کنند. زمانی که حافظه نهان مسموم می شد، یک کاربر قانونی به سمت شبکه مورد نظر حمله کننده یا یک شبکه ناموجود هدایت می شد. این مشکل با نسخه های جدیدتر BIND برطرف شده است. در این روش حمله کننده اطلاعات DNS غلط که می تواند باعث تغییر مسیر درخواست ها شود ارسال می کند. حملات DDoS حملات DDoS (Distributed Denial of Service) )حمله گسترده ای از DoS است. در اصل DDos حمله هماهنگ شده ای برعلیه سرویس های موجود در اینترنت است.
در این روش حملات DoS بطور غیرمستقیم از طریق تعداد زیادی از کامپیوترهای هک شده بر روی کامپیوتر قربانی انجام می گیرد. سرویس ها و منابع مورد حمله «قربانی های اولیه» و کامپیوترهای مورد استفاده در این حمله «قربانی های ثانویه» نامیده می شوند. حملات DDoS عموماً در از کار انداختن سایت های کمپانی های عظیم از حملات DoS مؤثرتر هستند. انواع حملات DDoS عموماً حملات DDoS به سه گروه Trinooو TFN/TFN2K و Stecheldraht تقسیم می شوند. Trinoo Trinoo در اصل از برنامه های Master/Slave است که با یکدیگر برای یک حمله طغیان UDP بر علیه کامپیوتر قربانی هماهنگ می شوند. در یک روند عادی، مراحل زیر برای برقراری یک شبکه Trinoo DDoS واقع می شوند:
مرحله۱: حمله کننده با استفاده از یک میزبان هک شده، لیستی از سیستم هایی را که می توانند هک شوند را گردآوری می کند. بیشتر این پروسه بصورت خودکار از طریق میزبان هک شده انجام می گیرد. این میزبان اطلاعاتی شامل نحوه یافتن سایر میزبان ها برای هک در خود نگهداری می کند.
مرحله۲: به محض اینکه این لیست آماده شد، اسکریپت ها برای هک کردن و تبدیل آنها به اربابان (Masters) یا شیاطین (Daemons) اجراء می شوند. یک ارباب می تواند چند شیطان را کنترل کند. شیاطین میزبانان هک شده ای هستند که طغیان UDP اصلی را روی ماشین قربانی انجام می دهند.
مرحله۳: حمله DDoS هنگامی که حمله کننده فرمانی به میزبانان Master ارسال می کند، انجام می گیرد. این اربابان به هر شیطانی دستور می دهند که حمله DoS را علیه آدرس IP مشخص شده در فرمان آغاز کنند و با انجام تعداد زیادی حمله DoS یک حمله DDoS شکل می گیرد.

TFN/TFN2K TFN (Tribal Flood Network) یا شبکه طغیان قبیله ای، مانند Trinoo، در اصل یک حمله Master/Slave است که در آن برای طغیان SYN علیه سیستم قربانی هماهنگی صورت می گیرد. شیاطین TFN قادر به انجام حملات بسیار متنوع تری شامل طغیان ICMP، طغیان SYN و حملات Smurf هستند، بنابراین TFN از حمله Trinoo پیچیده تر است. TFN2K نسبت به ابزار TFN اصلی چندین برتری و پیشرفت دارد. حملات TFN2K با استفاده از جعل آدرس های IP اجرا می شوند که باعث کشف مشکل تر منبع حمله می شود. حملات TFN2K فقط طغیان ساده مانند TFN نیستند.
آنها همچنین شامل حملاتی می شوند که از شکاف های امنیتی سیستم عامل ها برای بسته های نامعتبر و ناقص سوءاستفاده می کنند تا به این ترتیب باعث از کار افتادن سیستم های قربانی شوند. حمله کنندگان TFN2K دیگر نیازی به اجرای فرمان ها با وارد شدن به ماشین های مخدوم (Client) )به جای Master در TFN) ندارند و می توانند این فرمان ها را از راه دور اجراء کنند.
ارتباط بین Client ها و Daemon ها دیگر به پاسخ های اکوی ICMP محدود نمی شود و می تواند روی واسط های مختلفی مانند TCP و UDP صورت گیرد. بنابراین TFN2K خطرناک تر و همچنین برای کشف کردن مشکل تر است. Stacheldraht کد Stacheldraht بسیار شبیه به Trinoo و TFN است اما Stacheldraht اجازه می دهد که ارتباط بین حمله کننده و Masterها (که در این حمله Handler نامیده می شوند) رمزنگاری شود؛ عامل ها می توانند کد خود را بصورت خودکار ارتقاء دهند، می توانند اقدام به انواع مختلفی از حملات مانند طغیان های ICMP، طغیان های UDP و طغیان های SYN کنند.

تبعات حملات DoS

حملات DoS قاعدتاً منجر به از کار افتادن رایانه و یا شبکه شما می شوند ولی تبعات آنها به همین میزان محدود نمی شود و نباید آنها را دست کم گرفت چرا که بسته به طبیعت سیستم شبکه و نرم افزارهای شما، ممکن است منجر به از کار افتادن کل سازمان شوند.

بعضی از این حملات می توانند توسط منابع بسیار محدودی انجام شود و یک سایت بزرگ و مجهز را از کار بیندازند. برای مثال یک مهاجم با استفاده از یک رایانه خانگی قدیمی و یک مودم با سرعت پایین، قادر است ماشین ها و شبکه هایی با سرعت های بالاتر را از کار بیندازد. این نوع حملات، گاهی اوقات “حمله غیر متقارن” یا Asymmetric Attack نامیده می شود.

حملات DoS در شبکه های IPv6

براساس گزارشی که توسط شرکت امنیتی Arbor تهیه شده، حملات “از کاراندازی سرویس” (Denial of Services – DoS) به شبکه هایی که از پودمان IPv6 استفاده می کنند، آغاز شده و رو به افزایش است.

گرچه اولین حمله DoS که اختصاصاً یک شبکه IPv6 را هدف قرار داده بود، در سال میلادی گذشته مشاهده شد ولی تا به حال، وقوع این نوع حمله ها بسیار نادر و اندک بوده است. به دلیل عدم استفاده گسترده از پودمان IPv6، حمله و نفوذ به این نوع شبکه های انگشت شمار، برای افراد خلافکار سود و درآمد اقتصادی نمی تواند داشته باشد. لذا فعلاً بطور گسترده مورد توجه خرابکاران و نفوذگران قرار نگرفته اند.

با آنکه برخی شرکت ها اعلام کرده اند که ترافیک IPv6 شبکه آنها طی یکسال آینده دو برابر خواهد شد ولی با این حال ترافیک IPv6 درصد اندکی از کل ترافیک را تشکیل خواهد داد. بسیاری از شرکت ها و سازمان ها به دلیل عدم سازگاری کامل تجهیزات امنیتی و نظارتی موجود خود با پودمان IPv6، انتقال از IPv4 به IPv6 را به تاخیر انداخته اند.
طبق آمار نظرسنجی صورت گرفته در گزارش شرکت Arbor، در حدود ۶۵ درصد از مدیران شبکه به دلیل اینکه امکانات و قابلیت های IPv4 عیناً در IPv6 وجود ندارد و ۶۰ درصد مدیران نظرسنجی شده، به دلیل عدم توانایی تجزیه و تحلیل ترافیک IPv6، از استفاده از پودمان IPv6 خودداری می کنند.

ساختار شبکه های فعلی، امکانات و قابلیت هایی را که برای IPv4 فراهم می آورند، در IPv6 ارائه نمی کنند. لذا مسئولان امنیت شبکه، آن نظارت و کنترلی را که برای شناسایی حملات از نوع IPv6 لازم دارند، در حال حاضر در اختیار ندارند.
پیش بینی می شود حملات DoS علیه شبکه های IPv6 رو به افزایش باشد. حملات فعلی DoS که به تدریج نیز در حال افزایش است، احتمالاً آزمایش ها و سعی و خطاهای نفوذگران و ویروس نویسان است که خود را برای روزی که پودمان IPv6 به طور گسترده مورد استفاده قرار گیرد، آماده می کنند.

حملات DoS به سرورهای Apache

حفره امنیتی موجود در Apache این سرویس‎دهنده معروف را نسبت به نوعی از حملات “ازکاراندازی سرویس” (Denial of Services – DoS) آسیب‎پذیر کرده است. این نقص که در تمامی نسخه‎های ۱٫۳ و ۲ این سرویس‎دهنده وجود دارد، بطور گسترده‎ای مورد سوءاستفاده نفوذگران قرار گرفته است.

این در حالی است که این حفره امنیتی حدود چهار سال پیش کشف شد و اکنون به نظر می‎رسد این اشکال هیچگاه رفع نشده است. چندی پیش، انتشار برنامه‎ای که وجود این حفره امنیتی را اثبات می‎کرد، بار دیگر آن را به سر زبانها آورد. حفره مذکور به نفوذگر اجازه می دهد که با ارسال بسته‎های درخواست دستکاری شده، حافظه را اشغال و در نهایت سرویس دهنده را از کار بیندازد.

در زمان نگارش این خبر، بنیاد نرم‎افزاری Apache در حال تهیه اصلاحیه‎ای برای رفع این نقص امنیتی است. طبق آماری که منتشر شده است بیش از ۶۵ درصد سرویس دهنده‎های اینترنتی به کمک Apache سرویس‎دهی می‎کنند.

انواع حملات DoS

حملات DoS با هدف قرار دادن سرویس های گوناگون در اشکال متنوعی ظاهر می شوند، اما سه شیوه اصلی حمله وجود دارد که عبارتند از:

• مصرف کردن منابع نادر، محدود و غیر قابل تجدید
• از بین بردن یا تغییر دادن اطلاعات مربوط به پیکربندی سیستم
• خرابی فیزیکی یا تبدیل اجزای شبکه

حال به جزئیات هریک از این سه شیوه می پردازیم:

الف- مصرف کردن منابع نادر، محدود و غیر قابل تجدید

رایانه ها و شبکه ها به خوب کار کردن برخی از منابع مانند پهنای باند، فضای حافظه، CPU، ساختمان داده ها، دسترسی به دیگر رایانه ها، شبکه ها و همچنین منابع محیطی مانند جریان برق، تهویه هوا یا حتی آب نیاز دارند. در زیر برخی از حملات شایعی که با مصرف منابع در ارتباط است، ذکر شده است:

۱– اتصالات شبکه

حملات DoS غالباً بر علیه اتصالات شبکه اجرا می شوند و هدف آنها جلوگیری از ارتباط هاست (یا شبکه) با بخش (یا شبکه های) دیگر است. در یک نمونه از اینگونه حملات هکر یک ارتباط بین ماشین خود و قربانی ایجاد می کند، به گونه ای که اتصال نهایی برقرار نشود و ارتباط تکمیل نگردد. در این فاصله ماشین قربانی یکی از منابع محدود خود را که برای تکمیل ارتباطات مورد نیاز است را به این ارتباط ناقص اختصاص می دهد. در نتیجه ارتباطات قانونی دچار “محرومیت از سرویس” می شوند زیرا قربانی منتظر تکمیل ارتباطات “نیمه باز” است.

توجه داشته باشید که در این حمله هکر نیازی به مصرف پهنای باند شما نداشته و با استفاده از منابعی که برای ایجاد ارتباط به کار می روند، سیستم شما را از کار می اندازد. به این ترتیب یک هکر با استفاده از یک مودم Dial-Up قادر است یک شبکه پر سرعت را از کار بیندازد. (یک نمونه خوب از حملات غیر متقارن)

۲-  استفاده از منابع شما بر علیه شما

هکرها قادرند با استفاده از روش های دور از انتظار، از منابع سیستم شما بر علیه خود شما سوء استفاده کنند. در یکی از این حملات، هکر بسته های UDP ساختگی را برای متصل ساختن سرویس echo بر روی یک ماشین به سرویس chargen بر روی ماشین دیگر، مورد استفاده قرار می دهد، در نتیجه این دو سرویس همه پهنای باند موجود بین خود را مصرف می کنند و همچنین بر روی ارتباطات ماشین های دیگر بر روی شبکه نیز تأثیر می گذارند.

۳- مصرف پهنای باند

یک هکر می تواند همه پهنای باند شبکه شما را مورد استفاده قرار دهد. او این کار را از طریق تولید و هدایت تعداد زیادی بسته به سمت شبکه شما انجام می دهد. این بسته ها از لحاظ مفهومی می توانند هر چیزی باشند ولی معمولاً از بسته های ICMP ECHO برای اینگونه حملات استفاده می شود. از طرفی در حمله “مصرف پهنای باند”، هکر نیازی به حمله از طریق یک ماشین ندارد، بلکه می تواند با استفاده از چندین ماشین و بر روی شبکه های مختلف تأثیر مشابهی را برای قربانی ایجاد کند.

۴- مصرف دیگر منابع

علاوه بر پهنای باند، هکرها قادر به مصرف منابع دیگری نیز هستند که سیستم شما برای کار کردن به آنها نیازمند است. برای مثال در بسیاری از سیستم ها تعداد محدودی ساختمان داده برای نگهداری اطلاعات عملیات وجود دارد و یک هکر با نوشتن یک برنامه ساده که کار خاصی انجام نمی دهد و فقط خود را مرتباً بازنویسی می کند، قادر است این منابع را مشغول نگه دارد. البته امروزه بسیاری از سیستم عامل های جدید امکان سهمیه بندی یا Quota را برای مقابله با این مشکل فراهم کرده اند. علاوه بر این اگر جدول پردازه ها پر هم نشده باشد، CPU ممکن است توسط تعداد زیاد پردازه و مصرف زمان مورد نیاز برای سوئیچ کردن بین آنها مشغول باقی بماند. به همین جهت لازم است در مورد امکان سهمیه بندی منابع سیستمی در سیستم عامل خود تحقیقات به عمل آورید.

یک نفوذگر ممکن است برای مصرف دیسک سخت از راههای زیر اقدام کند:

• تولید تعداد بسیار زیادی ایمیل
• تولید خطاهای عمدی که باید ثبت شوند (log)
• قرار دادن فایل ها بر روی فضای ftp ناشناس و یا فضای به اشتراک گذاشته شده

در حالت کلی هر چیزی که اجازه نوشتن داده بر روی دیسک را فراهم کند، در صورتی که حد و مرزی برای میزان داده نوشته شده وجود نداشته باشد، می تواند منجر به حملات DoS شود.

بسیاری از سایت ها دارای سیستمی هستند که حساب کاربری را بعد از چند تلاش ناموفق برای ورود به سیستم قفل می کند. هکر قادر است با استفاده از همین ویژگی، مانع از ورود کاربران قانونی سایت به حساب کاربریشان شود. در برخی حالات، حساب های کاربری پر اولویتی مانند root یا administrator هدف اینگونه حملات قرار می گیرند. لذا مطمئن شوید روشی برای دسترسی به سیستم تحت شرایط اضطراری وجود دارد.

یک هکر قادر است سیستم شما را با استفاده از ارسال داده های غیر منتظره بر روی شبکه از کار بیاندازد. اگر سیستم شما اغلب بدون دلیل آشکاری از کار می افتد، ممکن است قربانی اینگونه حملات شده باشد.

منابع دیگری نیز وجود دارند که ممکن است در برابر حملات DoS آسیب پذیر باشند و بهتر است بر آنها نیز نظارت لازم را به عمل آورید. این موارد عبارتند از:

• پرینترها
• ابزارهای Tape
• اتصالات شبکه
• هر منبع محدود دیگری که برای عملیات سازمان شما مهم محسوب شود

ب- از بین بردن یا تغییر دادن اطلاعات مربوط به پیکربندی سیستم

رایانه ای که به صورت نادرست پیکربندی شده باشد، یا به خوبی کار نمی کند یا کاملاً از کار می افتد. یک هکر قادر است با دستکاری یا از بین بردن اطلاعات پیکربندی، از به کارگیری رایانه یا شبکه شما ممانعت به عمل آورد. برای مثال در صورتی که یک هکر اطلاعات مسیریابی در روترها را تغییر دهد، ممکن است کل شبکه غیر فعال شود، یا اگر هکر بتواند رجیستری را در ویندوز NT دستکاری کند، برخی از عملیات غیر قابل استفاده می شوند.

ج- خرابی فیزیکی یا تبدیل اجزای شبکه

این نوع از حمله ارتباط مستقیم با امنیت فیزیکی دارد. شما باید از شبکه خود در مقابل هر گونه دسترسی غیر مجاز به رایانه ها، روترها، سیم های شبکه، اجزای اسکلت شبکه، ایستگاه های برق و دستگاه های خنک کننده و هر یک از اجزای مهم دیگر شبکه محافظت به عمل آورید. البته امنیت فیزیکی یکی از ارکان اصلی در مقابله با بسیاری از حملات دیگر علاوه بر DoS نیز می باشد و بهتر است از متخصصان و مشاوران برای راهنمایی بیشتر در این زمینه کمک گرفته شود.

نتیجه گیری
خرابی و يا بروز اشکال در يک سرويس شبکه ، همواره بدليل بروز يک تهاجم DoS نمی باشد . در اين رابطه ممکن است دلايل متعددی فنی وجود داشته و يا مدير شبکه به منظور انجام عمليات نگهداری موقتا” برخی سرويس ها را غير فعال کرده باشد . وجود و يا مشاهده علائم  زير می تواند نشاندهنده بروز يک تهاجم از نوع DoS و يا DDoS باشد :

• کاهش سرعت و يا کارآئی شبکه بطرز غير معمول ( در زمان باز نمودن فايل ها و يا دستيابی به وب سايت ها ) .
• عدم در دسترس بودن يک سايـت خاص (بدون وجود دلايل فنی )
• عدم امکان دستيابی به هر سايتی (بدون وجود دلايل فنی )
• افزايش محسوس حجم نامه های الکترونيکی ناخواسته دريافتی

در صورت بروز يک تهاجم ، چه عملياتی را می بايست انجام داد ؟
حتی در صورتی که شما قادر به شناسائی حملات از نوع DoS و يا DDoS باشيد ، امکان شناسائی مقصد و يا منبع واقعی تهاجم ، وجود نخواهد داشت . در اين رابطه لازم است با کارشناسان فنی ماهر ، تماس گرفته تا آنان موضوع را بررسی و برای آن راهکار مناسب را ارائه نمايند .

• در صورتی که برای شما مسلم شده است که نمی توانيد به برخی از فايل ها ی خود و يا هر وب سايتی خارج از شبکه خود دستيابی داشته باشيد ، بلافاصله با مديران شبکه تماس گرفته و موضوع را به اطلاع آنان برسانيد . وضعيت فوق می تواند نشاندهنده بروز يک تهاجم بر عليه کامپيوتر و يا سازمان شما باشد .

در صورتی که وضعيت مشابه آنچه اشاره گرديد را در خصوص کامپيوترهای موجود در منازل مشاهده می نمائيد با مرکز ارائه دهنده خدمات اينترنت ( ISP ) تماس گرفته و موضوع را به اطلاع آنان برسانيد . ISP مورد نظر می تواند توصيه های لازم به منظور انجام عمليات مناسب را در اختيار شما قرار دهد .

روش های مقابله

حملات DoS می توانند برای بسیاری از سازمانها منجر به از دست رفتن زمان ارزشمند و منابع مالی شوند. به سایت ها توصیه می شود احتمال خرابی سرویس بطور گسترده را از قبل در نظر بگیرند و گام های مناسب برای کاهش خطر حملات DoS را بردارند. برخی از اقداماتی که بنا بر نیاز هر سایت می توان از آنها استفاده کرد به شرح زیر است:

– فیلترهای روتر را در شبکه خود مورد استفاده قرار دهید. این فیلترها احتمال برخی از انواع حملات DoS را کاهش می دهند و همچنین از سوء استفاده کاربران شبکه در هدایت حملات DoS جلوگیری می کند.

– بسته های محافظتی در مقابل طغیان TCP SYN را نصب کنید تا احتمال اینگونه حملات را کاهش دهند ولی به یاد داشته باشید این بسته ها قادر به محافظت کامل از شبکه شما نیستند.

– هر سرویس شبکه را که ضروری نیست یا مورد استفاده قرار نمی گیرد را غیر فعال کنید. این کار قدرت هکرها را در سوء استفاده از این سرویس ها برای اجرای حملات DoS محدود می سازد.

– سیستم Quota را بر روی سیستم عامل خود فعال سازید. برای مثال اگر سیستم عامل شما سهمیه بندی (quota) هارددیسک را پشتیبانی می کند، آن را برای همه حساب های کاربری مخصوصاً آنهایی که سرویس شبکه را اجرا می کنند فعال سازید. به علاوه در صورتی که سیستم عامل شما اجازه می دهد سیستم های فایلی جداگانه ای را برای عملیاتهای مهم و کاربران تعریف و استفاده کنید.

– کارایی سیستم خود را مورد بازبینی قرار دهید و یک سری حدود اصلی را برای کارهای معمولی تعریف کنید و این حدود را برای تشخیص استفاده های غیر معمول از حافظه، CPU و یا ترافیک شبکه به کار ببرید.

– مرتباً امنیت فیزیکی شبکه را با توجه به نیازهای فعلی بسنجید. در این سنجش، سرورها، روترها، ترمینال های بدون مراقبت، نقاط دسترسی شبکه، جعبه سیم ها، سیستم های محیطی مانند تهویه هوا و برق و دیگر اجزای شبکه را مورد وارسی قرار دهید.

– از Tripwire یا ابزار مشابه دیگری برای تشخیص تغییرات در اطلاعات مربوط به پیکربندی یا تغییرات در دیگر فایلها، استفاده کنید.

– برای ماشینهای جایگزین یا hot spares سرمایه گذاری کرده و از آنها نگهداری کنید تا در مواقع اضطراری جایگزین ماشین های از کار افتاده شوند.

– در مورد خطاپذیری پیکربندی شبکه تحقیق به عمل آورید.

– سیاست ها و زمانبندی های منظمی را برای پشتیبان گیری ایجاد و نگهداری کنید، مخصوصاً برای اطلاعات مهم مربوط به پیکربندی.

– سیاست هایی را در مورد رمز عبور مناسب ایجاد و نگهداری کنید، خصوصاً در مورد حساب های کاربری با اولویت بالا مانند ریشه UNIX یا مدیر Windows NT (UNIX Root and Windows NT Administrator).

امروزه بسیاری از مؤسسات و سازمان ها از تبعات حملات DoS متضرر می شوند که با رعایت موارد امنیتی و استفاده از دانش متخصصان این زمینه می توانند این ضررها را به حداقل کاهش دهند.

نحوه پيشگيری از حملات
متاسفانه روش موثری به منظور پيشگيری در مقابل يک تهاجم DoS و يا DDoS  وجود ندارد . عليرغم موضوع فوق ، می توان با رعايت برخی نکات و انجام عمليات پيشگيری ، احتمال بروز چنين حملاتی ( استفاده از کامپيوتر شما برای تهاجم بر عليه ساير کامپيوتر ها )  را کاهش داد .

• نصب و نگهداری نرم افزار آنتی ويروس (  جايگاه نرم افزارهای ضدويروس ) .
• نصب و پيکربندی يک فايروال (   فايروال چيست ؟  )
• تبعيت از مجموعه سياست های خاصی در خصوص توزيع و ارائه آدرس Email (  توصيه هائی برای کاهش Spam ) .