حمله منع سرویس (به انگلیسی: Denial of Service attack)
(یا به اختصار) در محاسبات حمله منع سرویس یا حمله منع سرویس توزیع
شده، تلاش برای خارج کردن ماشین و منابع شبکه از دسترس کاربران مجازش می
باشد.اگرچه منظور از حمله DOS و انگیزه انجام آن ممکن است متفاوت باشد، اما
به طور کلی شامل تلاش برای قطع موقت یا دائمی و یا تعلیق خدمات یک میزبان
متصل به اینترنت است. عاملین حمله DOS معمولاً سایت ها یا خدمات میزبانی وب
سرور با ویژگی های مناسب مانند بانک ها، کارت های اعتباری و حتی سرورهای
ریشه را هدف قرار می دهند. یکی از روش های معمول حمله شامل اشباع ماشین های
هدف با درخواست های ارتباط خارجی است به طوری که نمیتواند به ترافیک
قانونی پاسخ دهد یا پاسخ ها با سرعت کم داده شوند و یا در دسترس نباشد.
چنین حملاتی منجر به سربار زیاد سرور می شوند. حمله DOS کامپیوتر هدف را
وادار به ریست شدن یا مصرف منابع اش می کند، بنابراین نمیتواند به سرویس
های مورد نظرش سرویس بدهد و همچنین سیاست های مورد قبول فراهم کنندگان
سرویس های اینترنتی را نقض می کنند.
US-CERT علائم حملات منع سرویس را این گونه تعریف می کند:
حملات منع سرویس می توانند منجر به مشکلاتی در شاخه های شبکه در کامپیوتر واقعی مورد حمله قرار گرفته شده باشند که منجر به به خطر افتادن کامپیوتر مورد نظر و کل شبکه یا کامپیوترهای دیگر در LAN می شود. اگر حمله در یک مقیاس بزرگ اتفاق افتاده باشد تمام نواحی جغرافیایی اتصالات اینترنت به دلیل پیکربندی نادرست یا سست بودن تجهیزات زیرساختی شبکه به خطر می افتد.
حمله منع سرویس، تلاش صریح مهاجمان در جلوگیری از دسترسی کاربران مجاز به سرویس های مشخص می باشد. دو شکل کلی برای حملات DOSوجود دارد: آنهایی که سرویس ها را crash می کنند و آنهایی که سرویس ها را با بسته های سیل آسا غرق می کنند. حمله DOS به چندین روش انجام می شود، پنج نوع اصلی این حمله عبارتند از:
DOS ممکن است شامل اجرای نرمافزارهای مخرب باشد:
در بیشتر موارد حمله DOS با جعل آی پی آدرس فرستنده (آی پی آدرس جعلی)انجام می شود، به طوری که تعیین ماشین حمله کننده قابل شناسایی نیست.
حملهsmurf یکی از انواع حملات DOS سیل آسا روی اینترنت است.این نوع حمله به پیکربندی نامناسب تجهیزات شبکه که اجازه ارسال بسته ها به همه کامپیوترهای میزبان روی یک شبکه خاص با آدرس های همه پخشی را می دهد، متکی است. در چنین حمله ای مهاجمان با یک آی پی جعلی یک تقاضای ping به یک یا چندین سرور همه پخشی ارسال کرده و آدرس آی پی ماشین هدف (قربانی) را ست می کنند .سرور همه پخشی این تقاضا را برای تمام شبکه ارسال می کند. تمام ماشین های شبکه پاسخ را به سرور، ارسال همه پخشی می کنند. سرور همه پخشی پاسخ های دریافتی را به ماشین هدف هدایت یا ارسال می کند. بدین صورت زمانی که ماشین حمله کننده تقاضائی را به چندین سرور روی شبکه های متفاوت همه پخشی می نماید، مجموعه پاسخ های تمامی کامپیوترهای شبکه های گوناگون به ماشین هدف ارسال می گردند و آن را از کار می اندازند. بنابراین پهنای باند شبکه به سرعت استفاده می شود و از انتقال بسته های مجاز به مقصدشان جلوگیری به عمل خواهد آمد.برای مبارزه با حمله منع سرویس در اینترنت سرویس هایی مانند Smurf Amplifier Registry توانایی تشخیص پیکربندی های نامناسب شبکه وانجام عملیات مناسب مثل فیلترینگ را می دهند.
بسته های سیل آسای Ping ، بسته های Ping زیادی را به سمت قربانی ارسال می کنند. ping of death به ارسال هایی از بسته های ping با فرمت و شکل نامناسب یه سمت قربانی گفته می شودکه باعث crash شدن سیستم عامل می گردد.
Syn Flood زمانی اتفاق می افتد که میزبانی از بسته های سیل آسای TCP/SYN استفاده کند که آدرس فرستنده آنها جعلی است. هر کدام از این بسته ها همانند یک درخواست اتصال بوده و باعث می شود سرور درگیر اتصالات متعدد نیمه باز بماند، با فرستادن یا برگرداندن بسته های TCP/SYN ACK و منتظر بسته های پاسخ از آدرس فرستنده می ماند ولی چون آدرس فرستنده جعلی است هیچ پاسخی برگردانده نمیشود. این اتصالات نیمه باز تعداد اتصالات در دسترس سرور را اشباع می کنند و آن را از پاسخگویی به درخواست های مجاز تا پایان حمله بازمی گذارند. بنابر این منابع سرور به اتصال های های نیمه باز اختصاص خواهد یافت. وامکان پاسخ گویی به درخواستها از سرور منع میشود.
این حمله شامل ارسال بسته های آی پی است که با هم تداخل دارند یا بسته هایی با سایز بزرگ و یا بسته هایی با ترتیب نامناسب می باشند. این حمله می تواند سیستم عامل های مختلف را به علت اشکالی که در کد بازسازی مجدد بخش های TCP/IP دارند crash کند. Windows 3.1x وWindows 95 وسیستم عامل Windows NT و نسخه های 2.0.32 و 2.1.63 در برابر این حمله آسیب پذیر هستند
مهاجمان به دنبال راهی برای یافتن اشکال در سرورهای نظیر به نظیر هستند تا حمله DDOS را شروع کنند.حملات نظیر به نظیر متفاوت از حملات مبتنی بر بات نت ها هستند. در حملات نظیر به نظیر، بات نت یا مهاجمی برای یرقراری ارتباط با کلاینت وجود ندارد به جای آن مهاجم به عنوان دست نشانده ای از ارباب، به کلاینت های موجود در مراکز به اشتراک گذاری فایل ها طوری آموزش می دهد که شبکه نظیر به نظیر خود را قطع کرده و به جای آن به وب سایت قربانی متصل شوند. در نتیجه چندین هزار کامپیوتر به صورت تهاجمی به وب سایت قربانی وصل می شوند. در حالی که وب سرور قبل از این که کارایی اش تنزل پیدا کند قادر به کنترل و مدیریت صدها اتصال در ثانیه بوده است بلافاصله بعد از 5 یا 6 هزار اتصال در ثانیه شکست می خورد.
حمله ای که در مصرف منابع بر روی کامپیوتر قربانی موفق باشد باید:
حملات Smurf attack، SYN flood، Sockstress و NAPTHA از نوع حملات نامتقارن هستند. یک حمله ممکن است برای افزایش توان خود از ترکیبی از این روش ها استفاده کند.
محرومیت دائم از سرویس که به عنوان phlashing نیز شناخته می شود. یک حمله ای است که چنان صدمه ای به سیستم می زند که نیاز به جایگزینی یا نصب دوباره سخت افزار را بوجود می آورد. برخلاف DDOS این نوع حمله از نقص های امنیتی که اجازه مدیریت راه دور اینترفیس های سخت افزاری قربانی مثل روتر، چاپگر یا سخت افزارهای شبکه سواستفاده می کند.مهاجم از این آسیب پذیری برای جایگزین کردن سیستم عاملهای دستگاه با نوع معیوب یا خراب استفاده می کند. بنابراین آنها را تا زمان تعمیر یا تعویض ، برای هدف اصلی غیرقابل استفاده می کند.
نوع قدیمی حمله DOS در برابر شبکه های کامپیوتری است که متشکل از بسته های ICMP تکه تکه یا نامعتبر ارسال شده به سمت هدف است، که با استفاده از ping های دستکاری شده و ارسال مکرر داده های خراب بدست می آید و سرعت سیستم رفته رفته کم شده و متوقف می شود. یکی از مثال های خاص حمله Nuke،حمله WinNuke است که از آسیب پذیری نت بایوس در ویندوز 95 سواستفاده می کند.
این حمله به برنامه های کاربردی وب با ایجاد گرسنگی در جلسات در دسترس روی وب سرور حمله می کند. شبیهSlowloris، جلسات را با استفاده از انتقال پست های بدون پایان و ارسال مقادیر سرآیند با محتویات بزرگ در حالت توقف نگه می دارد.
زمانی اتفاق می افتد که چندین سیستم پهنای باند یا منابع سیستم مورد هدف را با بسته های سیل آسا مورد حمله قرار دهند.وقتی سروری با اتصالات زیادی دچار سربار شود، دیگر نمیتواند اتصالات جدیدی را بپذیرد.مزیت عمده ای که استفاده از حمله منع سرویس توزیع شده برای مهاجم دارد این است که ماشین های چندگانه می توانند ترافیک بیشتری را نسبت به یک ماشین تولید کنند. اگر مهاجم برای حمله از یک میزبان استفاده کند به این نوع حمله DOS می گوئیم. در واقع هر حمله ای علیه دسترس پذیری به عنوان حمله منع سرویس تلقی می شود.از سوی دیگر اگر مهاجم از سیستم های زیادی به طور همزمان برای راه اندازی حملات علیه یک میزبان راه دور استفاده کند به عنوان حمله DDOS تلقی می شود. در روش DDOS تمام رایانهها همزمان با هم عمل میکنند به طوری که ممکن است در برخی موارد خسارات جبران ناپذیری به بار آورند. در این روش معمولاً مهاجم سیستمهای زیادی را آلوده کرده و به آنها همزمان فرمان میدهد. به سیستمهای آلوده شده زامبی (zombie) و به شبکهای از این سیستمها که تحت کنترل یک شخص هستند، botnet گفته میشود.
DrDoSحمله منع سرویس توزیع شده منعکس شده، نوعی از حملات منع سرویس است که طراحی نسبتاً هوشمندانهای دارد. این حمله از آن جهت شبیه به DDoS است که از چندین منبع برای حمله به یک شخص استفاده میکند؛ اما این کار به طور پنهانی انجام میشود. در این حمله مهاجم بستههایی را به تعداد زیادی(صدها نفر) از کاربران میفرستد و به آنها هشدار میدهد که رایانهی قربانی درخواست سرویس خاصی را دارد. به ازای هر بسته میزان بسیار کمی از ترافیک تولید میشود، شاید کوچکتر از درخواستهای معمول؛ از این رو بسیار بعید است که این حمله توسط مدیران مورد توجه قرار گرفته و یا حس شود. حملات درخواست echo ICMP به عنوان نوعی حمله منعکس شده در نطر گرفته می شوند که درآن میزبان های سیل آسا درخواست های echo را به آدرس های همه پخشی شبکه های با پیکربندی نامناسب ارسال می کند در نتیجه میزبان مجبور به ارسال بسته های پاسخ echo به قربانی می شود.DDOS های اولیه به این شکل پیاده سازی می شدند.
سوء استفاده های مرتبط شامل حملات سیل آسای پیامکی و فکس های سیاه یا انتقال حلقه ای فکس است.
برنامه های مختلفی برای اجرای حمله منع سرویس وجود دارند.
پاسخ دفاعی در برابر حملات منع سرویس شامل استفاده از ترکیبی از روش های تشخیص حمله ، طبقه بندی ترافیک و ابزارهای پاسخ است که هدف آنها بلوکه کردن ترافیک های غیرمجاز و اجازه برقراری ترافیک های مجاز می باشد.لیست ابزارهای پاسخ و پیشگیری در زیر آورده شده آورده شده است.
دیوار آتش می تواند به این صورت راه اندازی شودکه شامل قوانین ساده برای اجازه یا رد کردن پروتکل ها، پورت ها یا آی پی آدرس ها باشد. در مورد حملات ساده ای که از آدرس های با آی پی غیرمعمول می آیند می توان با قرار دادن قانون ساده ای که ترافیک های ورودی از چنین مهاجمانی را حذف کند. برخی حملات با چنین قوانین ساده ای قابل بلوکه شدن نیستند، اگر یک حمله روی پورت 80(وب سرویس)در حال انجام باشد غیرممکن است که همه ترافیک های ورودی روی چنین پورتی را حذف کرد، زیرا این کار، سرورها را از ارائه ترافیک قانونی منع می کند.
برخی سوئیچ ها دارای عوامل محدودکننده نرخ و قابلیت لیستهای کنترل دسترسی را دارند. برخی سوئیچ ها از فیلترینگ برای تشخیص و از بین بردن حملات DOS از طریق فیلتر کردن خودکار نرخ استفاده می کنند.
مشابه سوئیچ ها، روترها هم قابلیت ACL و کنترل نرخ را دارند.بیشتر روترها می توانند در برابر حملات DOS قرار بگیرند. سیستم های عامل سیسکو دارای ویژگی هستند که از حملات سیل آسا پیشگیری می کند.
سیستم پیشگیری از نفوذ زمانی موثر است که حملات دارای امضا باشند.سیستم پیشگیری از نفوذ که روی شناخت محتوا کار می کند نمیتواند حملات DOSمبتنی بر رفتار را بلوکه کند.IPS مبتنی بر ASCI می تواند حملات منع سرویس را تشخیص و بلوکه کند، زیرا دارای توان پردازشی و تجزیه و تحلیل حملات است. IPS مبتنی بر نرخ(RBIPPS)باید الگوی ترافیک را به صورت تک تک و بطور پیوسته مانیتور کند . آنومالی ترافیک را در صورت وجود تعیین کند.
به مدیر اجازه می دهد که ترافیک حمله را به یک آدرس آی پی (اینترفیس خالی یا سرور غیرموجود) ، هدایت کند تا آن را حذف نماید. وقتی حمله ای تشخیص داده می شود، یک مسیر ثابت ایجاد می شود تا ترافیک حمله را به جای ماشین قربانی به سمت یک سیاه چاله، هدایت کنند. در حالت گودال ، ترافیک حمله به یک آدرس آی پی ارسال می شود تا برای بررسی بیشتر ثبت شود. مزیت آن این است که ترافیک حمله می تواند جمع آوری و آنالیز شود تا الگوی حمله مورد مطالعه و بررسی قرارگیرد.
در امنیت شبکه های کامپیوتری، برگشت پراکنده مشکل و عارضه جانبی حمله منع سرویس جعلی است. در این نوع حمله، مهاجم آدرس آی پی مبدا بسته را جعل می کند و به قربانی ارسال می کند، در کل ماشین قربانی قادر به تشخیص بسته های جعلی و مجاز نیست، بنابراین قربانی به بسته های جعلی پاسخ می دهد،این بسته های پاسخ بعنوان برگشت پراکنده تلقی می شوند.اگر مهاجم آی پی آدرس های مبدا را به صورت تصادفی جعل کند، بسته های پاسخ برگشت پراکنده از قربانی به مقصدهای تصادفی ارسال می شوند.
به طور کلی هیچ راه تضمین کنندهای برای جلوگیری از این حمله وجود ندارد و تنها راههایی برای جلوگیری از برخی روشهای متداول و کم کردن اثرات سایر روشها موجوداست، چرا که بسیاری از روشها به هیچعنوان قابل پیشگیری نیست، به عنوان مثال اگر شبکه botnet با صدهزار zombie صفحهای از سایت را باز کنند، این درخواست یک درخواست عادی بوده و نمیتوان تشخیص داد که درخواست دهنده سیستم معمولی است یا zombie و به همین جهت نمیتوان جلوی آنرا گرفت.
استفاده از سیستمهای تشخیص دهنده (IPS) سیستمهای تشخیص براساس سرعت بستهها (RBIPS) و اینگونه سیستمها نیز روش مناسبی برای جلوگیری از این حملات است.
بستههای نرمافزاری نیز موجودند که شامل تمام این سیستمها هستند، استفاده از این بستهها علاوه بر حملات DoS بسیاری دیگر از حملات را شناسایی میکنند، بسته نرمافزاری SSP (Sun Security Package) از جمله این بستهها است که کار شناسایی و جلوگیری را به صورت خودکار انجام میدهد.
منبع:ویکی پدیا