متدهای حملات DDOS
متدهای حملات DOS و DDOS
برخی از متدهای حملات DDOS که بیشتر مورد استفاده قرار می گیرد در فهرست زیر آمده است. برای درک بهتر و راه های پیشگیری از حملات ddos به توضیح برخی از این روش ها می پردازیم.
- Buffer Overflow Attack
- ICMP flood
- SYN flood
- Teardrop attacks
- Low-rate Denial-of-Service attacks
- Peer-to-peer attacks
- Asymmetry of resource utilization in starvation attacks
- Permanent denial-of-service attacks
- Application-level floods
- Nuke
- R-U-Dead-Yet?
- Distributed attack
- Reflected / Spoofed attack
- Unintentional denial of service
- Denial-of-Service Level II
- ICMP Flood
- SYN flood
- Reset یا RST
- Land Attack
- Smurf Attack
- Ping Flood یا Ping of death
- Teardrop
- Trinoo
- TFN/TFN2K
- Stacheldraht
Buffer Overflow Attack
حمله سر ریز بافر هنگامی رخ می دهد که میزان اطلاعات نوشته شده در بافر بیش از میزان پیش بینی شده برای آن در مموری سیستم باشد. حمله کننده می تواند دیتای کنترل کننده مسیر اجرای برنامه را بازنویسی کرده و با سرقت و در دست گرفتن کنترل برنامه کدهای برنامه دلخواه خود را به جای پروسه های سرور به اجرا در آورد.
ICMP Flood
در این روش با ارسال زیادی درخواست های Ping به سمت سرور قربانی، باعث اختلال در سرویس دهی سرور هدف میگردد. فرض کنید تعداد زیادی هاست روی یک سرور باشد و حجم زیادی از درخواست های ICMP به سرور میآید که این کار باعث پاسخگویی تمام هاست های موجود در آن شبکه می شود و باعث از کار افتادن سوییچ شبکه شده و در نهایت سرور از دسترس خارج شده.
SYN Flood
زمانی که یک host سیلی از packet های TCP/SYN را با یک نشانی جعلی ارسال می کند SYN Flood رخ می دهد. هر کدام از این packetها همچون connection request در نظر گرفته می شوند که باعث ایجاد یک ارتباط نیمه باز در سرور شده به طوری که سرور با ارسال یک TCP/SYN-ACK Packet منتظر دریافت پاسخ از فرستنده می ماند.(در پاسخ به ACK Packet).
یا به عبارتی دیگر با ارسال درخواست های متعدد با علامت SYN به ماشین قربانی باعث پر شدن صف Backlog می شود. اما Backlog چیست؟ تمامی درخواست هایی که به ماشین وارد می شوند و شامل علامت SYN برای برقراری ارتباط می باشند در قسمتی از حافظه به ترتیب ذخیره می شوند تا پس از بررسی جواب آنها داده شده و ارتباط برقرار شود، این قسمت از حافظه Backlog Queue نام دارد. وقتی که این قسمت به علت درخواست های زیاد پر شود، سرویس دهنده مجبور به رها کردن درخواست های جدید می شود و در نتیجه از رسیدگی به این درخواست ها باز می ماند.
Teardrop Attacks
حمله Teardrop از طریق ارسال mangled ip با overlap بارگزاری بالایی را برای کارت شبکه سرور مورد هدف بوجود می آورد. این ضعف به دلیل وجود باگ در لایه های شبکه و TCP/IP می باشد. سیستم عامل های ویندوز 3.1 ، 95 ، NT و لینوکس 2.0.32 و 2.1.63 در برابر این حمله آسیب پذیر می باشد. در سپتامبر 2009 این حمله در ویندوز ویستا دیده شد. اما این حمله در لایه SMB2 بالاتر از لایه TCP انجام شده بود. استفاده از سیستم عامل بروز و استفاده از بروز رسانی های امنیتی سهم بسزایی در جلوگیری از این نوع حملات دارد.
و یا به عبارتی دیگر در حملات Teardrop هنگامی که اطلاعات از یک سیستم به سیستم دیگر منتقل می شود به تکه های کوچکی تقسیم شده و در سیستم مقصد این تکه مجددا به هم متصل شده و کامل می شود. این بسته هر کدام دارای یک فیلد افست هستند که نشان می دهد بسته حاوی چه قسمتی از اطلاعات است. این فیلد به همراه شماره ترتیب به سیستم مقصد کمک می کند تا بسته ها را مجددا به هم متصل کند. در صورتی که بسته ها با شماره افست و ترتیب نامربوط (ناقص الخلقه) ارسال شوند در سیستم عامل های مختلف به دلیل باگ های موجود در کد های دوباره سازی بسته های اطلاعاتی مرتبط با پروتکل TCP/IP باعث می شود سیستم مقصد از مرتب کردن آنها عاجز شده و در هم بشکند و در نهایت باعث کرش کردن سیستم می شوند.
حملات DDOS پایدار
حمله PDOS یا Permanent DOS که از آن با عنوان phlashing نیز نام برده می شود. در این نوع از حملات یک سیستم به صورت بسیار جدی آسیب می بیند به طوری که نیاز به جایگزینی یا نصب دوباره سخت افزار پیدا می کند.
Flood های مرتبه Application
بهره برداری های متنوعی با عاملیت DOS همچون سرریز buffer می تواند موجب سردرگمی نرم افزار در حال اجرا و پرشدن فضای دیسک یا مصرف تمامی حافظه RAM یا زمان CPU شود.
Nuke
یکی از قدیمی ترین روش های حملات Dos می باشد. با ارسال درخواستهای اشتباه Ping اقدام به از کار انداختن شبکه می نماید. یکی از نرم افزارهای معروف که این حمله را انجام میدهد WinNuke می باشد. این برنامه با استفاده از ضعف در Netbios ویندوز 95 اقدام به حمله می نماید. با ارسال یک رشته اطلاعات به پورت 139 باعث نمایش صفحه آبی در این نسخه از سیستم عامل ویندوز می شود.
R-U-Dead-Yet
این حمله با استفاده از session هایی که توسط web application ها در انتظار درخواست هستند مورد حمله قرار می گیرد. slowloris برنامه ای است که اکثر session های مربوط به وب سرور را برای برقراری ارتباط باز نگه میدارد. RUDY با استفاده از ارسال درخواست با هدرهای حجم بالا به این Session های در حال انتظار، باعث از کار افتادن وب سرور می شود.
حمله Reset یا RST
پکت هایی که با علامت RST ارسال می گردند باعث می شوند که ارتباط مورد نظر قطع گردد. در واقع اگر ماشین A به سمت ماشین B پکتی را با علامت RST ارسال کند درخواست اتصال مورد نظر از Backlog پاک خواهد شد.
از این حمله می توان برای قطع اتصال دو ماشین استفاده کرد. به این ترتیب که اتصالی که بین دو ماشین A و B برقرار است را نفوذگر با ارسال یک در خواست RST به ماشین B از طرف ماشین A قطع می کند. در واقع در داخل پکتی که از سوی ماشین نفوذگر به سمت قربانی ارسال می شود IP مشتری گذاشته می شود و در این صورت ماشین B که سرویس دهنده می باشد ارتباط مورد نظر ماشین A را از Backlog حذف می کند.
در این روش شخص حمله کننده بوسیله ابزاری می تواند IP جعلی تولید کرده و در واقع درخواست خود را جای ماشین دیگری ارسال کند. به این تکنیک Spoofing نیز گفته می شود.
با کمی دقت در شکل در می یابید IP مبدا (SourceIP) که در پکت ارسالی از سوی ماشین حمله کننده به سمت ماشین B می رود همان IP ماشین شماره A می باشد. در صورتیکه IPماشین شماره C که نفوذگر از آن استفاده میکند چیز دیگری است.
حمله Land Attack
در این حمله با استفاده از روش Spoofing در پکت هایی که به سمت سرویس دهنده ارسال می شود به جای IP و Port مبداء و مقصد IP و Port خود ماشین سرویس دهنده قرار داده می شود.
در واقع IP و PORT ماشین سرویس دهنده به سمت خود سرویس دهنده ارسال می شود. این عمل باعث می شود تا در سیستم عامل های قدیمی یک حلقه داخلی Routing به وجود بیاید که باعث پر شدن حافظه و به وجود آمدن حمله DOS می شود.
این حمله در ماشین های (Win 95 (winsok 1.0 و Cisco IOS ver 10.x و سیستم های قدیمی باعث از کار افتادن سیستم می شد اما امروزه تمامی سیستم های هوشمند مانند IDS ها قادر به شناسایی این حملات می باشند و این حمله تاثیر زیادی بر روند کاری سرویس دهنده ندارد.
حمله Smurf Attack
این حملات با ارسال درخواست های ICMP به سمت محدوده ای از IP های Amplifier باعث وسعت دادن ترافیک و به وجود آمدن حمله DOS می شوند. حمله کننده می تواند درخواست های ICMP خود را به صورت Spoof شده و از طرف ماشین قربانی به IP های amplifier ارسال کند با ارسال هر درخواست صدها جواب برای درخواست ICMP به سمت ماشین قربانی سرازیر می شوند و ترافیک آن را بالا می برند.
Amplifier: تمام شبکه هایی که درخواست های ICMP را برای IP broadcast خود فیلتر نکرده اند یک Amplifier محسوب می شوند.
حمله کننده می تواند در خواست های خود را مثلا به IP هایی مانند: 192.168.0.0xxx که X می تواند 255, 223, 191, 159, 127, 95, 63, 31, 15, 7, 3 یعنی IP های Broadcast باشند ارسال کند. البته قابل ذکر است IP broadcast بستگی به چگونگی بخش بندی IP در شبکه دارد.
این حمله شیوه ای برای ایجاد یک ترافیک معنی دار و آزار دهنده بر روی شبکه کامپیوتری قربانی است. در این شیوه حمله کننده سیستم قربانی را با ارسال پیام های Ping قلابی غرق می کند. در این روش، جانی تعداد بسیار زیادی ترافیک ICMP echo یا همان پینگ تولید می کند و آنها را از منابع ناشناس و قلابی به سمت هاست قربانی ارسال می کند. نتیجه هم تعداد فراوانی پاسخ پینگ است که باعث نابودی سیستم قربانی می شود.
حمله Ping Flood یا Ping of Death
در تمامی قرن بیستم این شیوه یکی از مشهورترین حملات DoS بود. اما امروزه به طور کلی بلوکه شده و جلوی آن گرفته شده است. در این نوع حمله هکر با ارسال مستقیم درخواست Ping به کامپیوتر قربانی سعی می گردد که سرویس ها block و یا فعالیت آن ها کاهش یابد. در این نوع حمله اندازه بسته های اطلاعاتی به حدی زیادی (بالای K64) که در Ping غیر مجاز میباشد ارسال میشود، که کامپیوتر قربانی قادر به برخورد مناسب با آمیختن بسته های اطلاعاتی نیست و مختل می شود.
در این پروتکل فایل در مبدا به بسته های اطلاعاتی خرد شده و پس از ارسال به کامپیوتر مقصد، بسته های اطلاعاتی در مقصد سر هم شده و بر روی کامپیوتر مقصد فایل دوباره ساخته می شود. اما سیستم عامل مقصد از عهده سر هم کردن پاکت های اطلاعاتی با اندازه بزرگتر از استاندارد که حمله کننده به صورت عمدی ساخته و ارسال کرده بود، بر نمی آمد و قفل می کرد، ری استارت می شد یا حتی به راحتی کرش می کرد.
حملات Trinoo
Trinoo در اصل از برنامه های Master/Slave است که با یکدیگر برای یک حمله طغیان UDP بر علیه کامپیوتر قربانی هماهنگ می شوند. در یک روند عادی، مراحل زیر برای برقراری یک شبکه Trinoo DDoS واقع می شوند.
مرحله اول: حمله کننده، با استفاده از یک میزبان هک شده، لیستی از سیستم هایی را که می توانند هک شوند، گردآوری می کند. بیشتر این پروسه بصورت خودکار از طریق میزبان هک شده انجام می گیرد. این میزبان اطلاعاتی شامل نحوه یافتن سایر میزبان ها برای هک در خود نگهداری می کند.
مرحله دوم: به محض اینکه این لیست آماده شد، اسکریپت ها برای هک کردن و تبدیل آنها به اربابان (Masters) یا شیاطین (Daemons) اجراء می شوند. یک ارباب می تواند چند شیطان را کنترل کند. شیاطین میزبانان هک شده ای هستند که طغیان UDP اصلی را روی ماشین قربانی انجام می دهند.
مرحله سوم: حمله DDoS هنگامی که حمله کننده فرمانی به میزبانان Master ارسال می کند، انجام می گیرد. این اربابان به هر شیطانی دستور می دهند که حمله DoS را علیه آدرس IP مشخص شده در فرمان آغاز کنند و با انجام تعداد زیادی حمله DoS یک حمله DDoS شکل می گیرد.
حملات TFN/TFN2K
TFN یا Tribal Flood Network یا شبکه طغیان قبیله ای، مانند Trinoo در اصل یک حمله Master/Slave است که در آن برای طغیان SYN علیه سیستم قربانی هماهنگی صورت می گیرد. شیاطین TFN قادر به انجام حملات بسیار متنوع تری شامل طغیان ICMP طغیان SYN و حملات Smurf هستند، بنابراین TFN از حمله Trinoo پیچیده تر است.
TFN2K نسبت به ابزار TFN اصلی چندین برتری و پیشرفت دارد. حملات TFN2K با استفاده از جعل آدرس های IP اجرا می شوند که باعث کشف مشکل تر منبع حمله می شود.
حملات TFN2K فقط طغیان ساده مانند TFN نیستند. آنها همچنین شامل حملاتی می شوند که از شکاف های امنیتی سیستم عامل ها برای بسته های نامعتبر و ناقص سوء استفاده می کنند تا به این ترتیب باعث از کار افتادن سیستم های قربانی شوند.
حمله کنندگان TFN2K دیگر نیازی به اجرای فرمان ها با وارد شدن به ماشین های مخدوم (Client) به جای Master در TFN ندارند و می توانند این فرمان ها را از راه دور اجراء کنند. ارتباط بین Clientها و Daemonها دیگر به پاسخ های اکوی ICMP محدود نمی شود و می تواند روی واسط های مختلفی مانند TCP و UDP صورت گیرد. بنابراین TFN2K خطرناک تر و همچنین برای کشف کردن مشکل تر است.
حملات Stacheldraht
کد Stacheldraht بسیار شبیه به Trinoo و TFN است، اما Stacheldraht اجازه می دهد که ارتباط بین حمله کننده و Masterها (که در این حمله Handler نامیده می شوند) رمزنگاری شود؛ عامل ها می توانند کد خود را بصورت خودکار ارتقاء دهند، می توانند اقدام به انواع مختلفی از حملات مانند طغیان های ICMP ، طغیان های UDP و طغیان های SYN کنند.
اسکن سیستم های آسیب پذیر ddos
- Random scanning: در این روش هکر یک range آی پی ادرس را به صورت تصادفی اسکن میکند و سیستم های اسیب پذیر را شناسایی میکند.(به صورت پیش فرض کل ipv4)
- Hit-list scanning: در این روش ابتدا اتکر با جمع اوری اطلاعات در مورد سیستم های اسیب پذیر احتمالی یک لیست از انها جمع اوری میکند و سپس انها را اسکن میکند. از این روش برای اسکن و نصب کد مخرب در مدت زمان کوتاه استفاده میشود. (بجای اسکن کورکورانه کل ipv4)
- Topological scanning: این روش برای پیدا کردن سیستم های اسیب پذیر دیگر توسط سیستم الوده شده استفاده میشود که با توجه به اطلاعات داخلی سیستم الوده شده نظیر url های سیستم های دیگر ، ایمیل ها و … صورت میگیرد ، دقت این اسکن تقریبا خوب میباشد
- Local subnet scanning: در این روش هکر سیستم های شبکه محلی را در پشت فایروال اسکن میکند که میتواند در مدت کوتاهی ارتشی از بات نت های زیادی درست کند
- Permutation scanning: در این روش جای ایپی های که اسکن شده تغییر پیدا میکنه و ممکنه مجددا یکی از اون ایپی ها اسکن شده ، مجدد اسکن بشه بصورت رندومی یا همون جایگشتی،چون احتمال با یکبار اسکن کردن به جواب نرسیدن وجود دارد ، این روش زمان بسیار زیادی میبرد.
دیدگاهتان را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.