سفارش تبلیغ
صبا ویژن
چون حدیثى را شنیدید آن را فهم و رعایت کنید ، نه بشنوید و روایت کنید که راویان علم بسیارند و به کاربندان آن اندک در شمار . [نهج البلاغه]
 
جمعه 90 اردیبهشت 2 , ساعت 7:22 صبح

بررسی حملات D.O.S(3)

بررسی انواع روش‌های DOS

بررسی حمله SYN flood :


این حمله با ارسال درخواست‌های متعدد با علامت SYN به ماشین قربانی باعث پر شدن سف Backlog می‌شود. اما Backlog چیست؟ تمامی درخواست‌هایی که به ماشین وارد می‌شوند و شامل علامت SYN برای برقراری ارتباط می‌باشند در قسمتی از حافظه به ترتیب ذخیره می‌شوند تا پس از بررسی جواب آنها داده شده و ارتباط برقرار شود، این قسمت از حافظه Backlog Queue نام دارد. وقتی که این قسمت به علت درخواست‌های زیاد پر شود، سرویس دهنده مجبور به رها کردن درخواست‌های جدید می‌شود و در نتیجه از رسیدگی به این درخواست‌ها باز می ماند (Denial Of Service) .

بررسی Reset(RST) :

پاکت‌هایی که به علامت RST ارسال می‌گردند باعث می‌شوند که ارتباط مورد نظر قطع گردد. در واقع اگر ماشین A به سمت ماشین B پاکتی را با علامت RST ارسال کند درخواست اتصال مورد نظر از Backlog پاک خواهد شد.
از این حمله می توان برای قطع اتصال دو ماشین استفاده کرد. به این ترتیب که اتصالی که بین دو ماشین A و B برقرار است را نفوذگر با ارسال یک در خواست RST به ماشین B از طرف ماشین A قطع می‌کند. در واقع در داخل پکتی که از سوی ماشین نفوذگر به سمت قربانی ارسال می‌شود IP مشتری گذاشته می‌شود و در این صورت ماشین B که سرویس دهنده می‌باشد ارتباط مورد نظر ماشین A را از Backlog حذف می‌کند.
در این روش شخص حمله کننده بوسیله ابزاری می‌تواند IP جعلی تولید کرده و در واقع درخواست خود را جای ماشین دیگری ارسال کند. به این تکنیک Spoofing نیز گفته می شود .
با کمی دقت در شکل در می‌یابید IP مبدا (SourceIP) که در پکت ارسالی از سوی ماشین حمله کننده به سمت ماشین B میرود همان IP ماشین شماره A می باشد(1.1.1.1( . در صورتیکه IP ماشین شماره C که نفوذگر از آن استفاده می‌کند چیز دیگری است . (1.1.1.3(

بررسی حمله Land Attack :

در این حمله با استفاده از روش Spoofing در پاکت‌هایی که به سمت سرویس دهنده ارسال می‌شود به جای IP و Port مبداء و مقصد IP و Port خود ماشین سرویس دهنده قرار داده می‌شود.در واقع IP و PORT ماشین سرویس دهنده به سمت خود سرویس دهنده ارسال می‌شود. این عمل باعث می شود تا در سیستم عامل‌های قدیمی یک حلقه داخلی Routing به وجود بیاید که باعث پر شدن حافظه و به وجود آمدن حمله DOS می شود. این حمله در ماشین‌های Win 95 (winsok 1.0) و Cisco IOS ver 10.x و سیستم‌های قدیمی باعث از کار افتادن سیستم می‌شد اما امروزه تمامی سیستم های هوشمند مانند IDS ها قادر به شناسایی این حملات می باشند و این حمله تاثیر زیادی بر روند کاری سرویس دهنده ندارد.

بررسی حمله Smurf Attack :

این حملات با ارسال درخواست‌های ICMP به سمت محدوده‌ای از IP های amplifier باعث وسعت دادن ترافیک و به وجود آمدن حمله DOS می شوند.حمله کننده می‌تواند درخواست‌های ICMP خود را به صورت Spoof شده و از طرف ماشین قربانی به IP های amplifier ارسال کند با ارسال هر درخواست صدها جواب برای درخواست ICMP به سمت ماشین قربانی سرازیر می شوند و ترافیک آن را بالا می برند.
:Amplifier تمام شبکه‌هایی که درخواست‌های ICMP را برای IP broadcast خود ----- نکرده‌اند یک Amplifier محسوب می شوند. حمله کننده می‌تواند در خواست‌های خود را مثلا به IP هایی مانند:
192.168.0.xxx که X می تواند 255, 223, 191, 159, 127, 95, 63, 31, 15, 7, 3 یعنی IP های Broadcast باشند ارسال کند . البته قابل ذکر است IP broadcast بستگی به چگونگی بخش‌بندی IP در شبکه دارد.

ادامه دارد...



لیست کل یادداشت های این وبلاگ