سلام خوبان
بخاطر مطالب آموزنده جانبی و مکانیزم حمله، بر آن شدم تا این مطلب را تقدیم حضورتون کنم. منتظر نظرات خوبتون هستم
.
################################################## #############
اول اینکه حملات DOS چیستند:
حملات DOS یا Denial of Service به حملاتی اطلاق می شود که در آنها Attacker (آدم بدِ) تلاش خود را جهت ایجاد اختلال در امر سرویس دهی (یک سرور – چند سرور یا کل شبکه) بکار می بندد (آقا یعنی اینکه یه بدخواه اساسی داری که می خواد حسابی شبکت رو نوازش کنه)
حملات DOS اشکال، انواع و اهداف گوناگونی دارند که در اینجا من ابتدا به تشریح Smurf و Fraggle می پردازم.
توجه: Smurf و Fraggle نام های 2 Exploit بسیار معروف در این زمینه می باشند که متعاقبا این نوع حملات با این نام ها شهرت یافتند.
################################################## #############
مواد لازم جهت Smurf
- پرتکل ICMP
- فعال بودن قابلیت Directed IP Broadcast
مواد لازم جهت Fraggle
- پرتکل UDP
- فعال بودن قابلیت Directed IP Broadcast
################################################## #############
(ICMP (Internet Control Message Protocol:
تعریف:
یک پروتکل که برای تست شبکه به کار گرفته می شود و چون معمولا از دستور ping در کار با این پرتکل استفاده می شود، با نام ping هم خوانده می شود.
مکانیزم:
بسته های ICMP دارای یک فیلد خواص در هدر IP هستند بنابر این بدون نیاز به پورت و لایه TCP با ماشین مقابل ارتباط برقرار می کنند (به خاطر همین قضیه است که خیلی از Back door ها از این پرتکل استفاده میکنند و مامورین امنیتی هم همیشه با مرتب کردن روند فعایت این پرتکل در شبکه کارشون رو مرتب می کنند)
مثال: ماشین A یک بسته ICMP echo request را به B می فرستد، B با یک بسته ICMP echo reply میگه دارمت (A میگه: ما خیلی مخلصیم، B میگه: ما بیشتر) وبر این اساس A از وضعیت شبکه و وضعیت کامپیوتر B اگاه میشه.
################################################## #############
Directed IP Broadcast:
تعریف:
یک بسته را به یک( IP (Destination IP می فرستید او دریافت میکند و به IP فرستنده (Source IP) جواب می دهد، وقتی یک بسته را به یک( Broadcast IP(Destination Broadcast IP می فرستید، همه IP های آن Subnet یا Network آنرا دریافت و به فرستنده جواب می دهند
مثال:
فرض کنید شما در اینترنت هستید و IP شما برابر 213.213.213.30 میباشد. شبکه ای هم در گوشه ی دیگر دنیا هست که Network IP آن برار 10.0.0.0 است وقتی شما یک بسته درست کنید که آدرس مبدا (Source IP) برابر با 213.213.213.30 باشد و آدرس مقصد (Destination IP 10.255.255.255 باشد، بسته فوق به روتر شبکه 10.0.0.0 میرسد (اگر Directed IP Broadcast روی ان فعال باشد) بسته شما با Destination MAC Address FF-FF-FF-FF-FF-FF به همه ی ماشین های شبکه ارسال می شود. و همه آنها به 213.213.213.30 جواب خواهند داد.
################################################## #############
Smurf چه می کند:
فرض کنی در شبکه فرضی فوق یک Web Server با IP ، 10.0.0.1 در حال فعالیت باشد، Attacker با قصد حمله به Web Server وبا استفاده از Smurf بسته ی ICMP echo requestی را آماده میکند که آدرس مقصد همان Broadcast IP از شبکه قربانی یعنی 10.255.255.255 و آدرس مبدا بجای خودش و به دروغ آدرس Web Server یعنی 10.0.0.1 است. بعد از ارسال بسته فوق همه کامپیوترهای شبکه خود را موظف به پاسخ گویی می یابند و بسته ی ICMP echo reply را به آدرس 10.0.0.1 که وب سرور است ارسال می کنند. در این مثال اگر Attacker هر یک ثانیه 20 بسته بفرستد و اگر در شبکه 2000 کامپیوتر باشد و اندازه هر بسته ارسالی Byte 32 یا bit 256 باشد، قربانی با سیلی از ترافیک مواجه می شود که در هر ثانیه برابربا 10,240,000 bit است، حال Attacker هم بصورت اتوماتیک بسته ها را می فرستد و هم اینکه می تواند ماشینهای مختلفی را بصورت موازی مورد حمله قرار دهد. پس در این صورت پهنای باند شبکه تعطیل و سرور های مورد حمله کرش می نمایند.
اما Fraggle:
ممکن است شما ICMP را بسته باشید. مکانیزم Fraggle کاملا شبیه Smurf است اما او بجای ICMP از بسته های UDP استفاده می کند که به پورت 7 ارسال می شوند. (پورت 7 یا echo : هر بسته ای از نوع TCP یا UDP که به این پورت ارسال شود عینا به فرستنده بازگردانده می شود) کامپیوتر های شبکه آ نرا دریافت و بسته را عینا به آدرس فرستنده (که به دروغ آدرس قربانی است) می فرستند.
################################################## #############
راه های مقابله:
1-دستور no ip directed broadcast را روی روتر اجرا کنید (این دستور در سالهای اخیر روی روتر بصورت پیش فرض اجرا شده است) – توجه داشته باشید که تنها تعداد بسیار کمی از IP Application ها به فعال بودن این قضیه نیاز دارند-
2-روی همه روترها، حتی روتر های داخل شبکه که مابین LAN ها هستند نیز دستور فوق اجرا شود
3-بسته هایی که آدرس مبدا آنها شبیه آدرسهای شبکه شما هستند را روی فیلتر ها و روتر های لبه شبکه حذف کنید و اجازه ورود به شبکه را از آنها صلب نمایید
4-ICPM را روی روتر ها و یا فیلتر ها ببندید و تنها اجازه Ping از داخل به بیرون آن هم برای تعداد محدودی از IP های مقصد که شناخته شده اند بدهید.
5-روی کامپیوترهای شبکه پورت 7 را ببندید
6-ICMP را روی همه کامپیوتر ها ببندید و تنها برای مدیران شبکه حق Reply را بدهید
7-همچنین می توانید ICMP را فقط برای بسته هایBroadcast IP ببندید (اگر مجبور شدید)
8-حالا پاشید و 2 تا فنجان قهوه درست کنید تا با هم بنوشیم – White Coffee Please-