حملات انکار سرویس یا DOS - Denial of Service - به حملاتی میگویند که هدف اصلی آنها ممانعت از دسترسی قربانیان به منابع رایانهیی شبکهیی و یا اطلاعات است. در اینگونه حملات معمولا از دسترسی قربانیان به اطلاعاتی که برای مقابله با اینگونه حملات مفید است، نیز جلوگیری میشود.
به گزارش خبرنگار فنآوری اطلاعات خبرگزاری دانشجویان ایران (ایسنا)، در این نوع حملات مهاجمان با ایجاد ترافیک بیمورد و بیاستفاده حجم زیادی از منابع سرویسدهنده و پهنای باند شبکه را مصرف یا به نوعی درگیر رسیدگی به این تقاضاهای بیمورد میکنند و این تقاضاها تا جایی که دستگاه سرویسدهنده را از کار بیندازد، ادامه پیدا میکند.
یک حمله "انکار سرویس" را از طریق تلاش آشکار حمله کننده برای جلوگیری از استفاده کاربران قانونی یک سرویس از آن سرویس، شناسایی میکنند. از جمله این تلاشها میتوان به مواردی چون انواع طغیانهای شبکه شامل طغیانهای TCP، UDP و ICMP که ترافیک قانونی سایت را منحل میکنند، تلاش در جهت قطع ارتباط دو ماشین و در نتیجه عدم امکان استفاده از سرویس آنها، تلاش درجهت ممانعت از دسترسی فردی خاص به یک سرویس و تلاش برای خرابکاری در ارائه سرویس به سیستم یا شخص خاص اشاره کرد.
علاوه بر موارد فوق، استفاده غیرقانونی از منابع هم میتواند منجر به انکار سرویس شود. برای مثال یک نفوذگر قادر است با استفاده از بخش بینام FIP وب سایت شما یک کپی غیرقانونی از یک نرمافزار تجاری را برروی سایت شما قرار دهد که فضای شما را اشغال کرده و ترافیک را مختل کند.
البته باید دقت داشت که علت از کار افتادگیهای سرویس، مربوط به حملات انکار سرویس نمیشود و بعضی فعالیتهای بد خواهانه نیز منجر به از کار افتادگی سرویس میشوند. همچنین گاهی اوقات حملات انکار سرویس جزیی از یک حمله گستردهتر محسوب میشوند.
* تبعات حملات انکار سرویس
حملات انکار سرویس قاعدتا منجر به از کار افتادن رایانه و یا شبکه شما میشوند ولی تبعات آنها به همین میزان محدود نمیشود و نباید آنها را دست کم گرفت چراکه بسته به طبیعت سیستم شبکه و نرمافزارهای شما، ممکن است منجر به از کار افتادن کل سازمان شوند.
بعضی از این حملات میتوانند توسط منابع بسیار محدودی انجام شده و یک سایت بزرگ و مجهز را از کار بیندازد. برای مثال یک مهاجم با استفاده از یک رایانه خانگی قدیمی و یک مودم با سرعت پایین قادر است، ماشینها و شبکههایی با سرعتهای به مراتب بالاتر را از کار بیندازد. این نوع حملات، گاهی اوقات "حمله غیرمتقارن" یا asymmetric نامیده میشود.
* انواع حملات انکار سرویس
حملات انکار سرویس با هدف قرار دادن سرویسهای گوناگون و در اشکال متنوعی ظاهر میشوند، اما سه شیوه اصلی حمله وجود دارد که عبارتند از: مصرف کردن منابع نادر، محدود و غیر قابل تجدید، از بین بردن یا تغییر دادن اطلاعات مربوط به پیکربندی سیستم، خرابی فیزیکی یا تبدیل اجزای شبکه.
در شیوه مصرف کردن منابع نادر، محدود و غیر قابل تجدید، رایانهها و شبکهها به خوب کار کردن برخی از منابع مانند پهنای باند، فضای حافظه CPU ساختمان دادهها دسترسی به دیگر رایانهها و شبکهها و همچنین منابع محیطی مانند جریان برق، تهویه هوا یا حتی آب نیاز دارند.
در زیر برخی از حملات شایعی که با مصرف منابع در ارتباط است ذکر شده است:
* اتصالات شبکه
حملات انکار سرویس غالب بر علیه اتصالات شبکه اجرا میشوند و هدف آنها ممانعت از ارتباطهاست یا شبکه با بخشها یا شبکههای دیگر است.
در یک نمونه از اینگونه حملات نفوذگر یک ارتباط را بین ماشین خود و قربانی یکی از ساختمان دادههای محدود خود را که برای تکمیل ارتباطات مورد نیاز است به این ارتباط ناقص اختصاص میدهد. در نتیجه ارتباطات قانونی دچار انکار سرویس میشوند زیرا قربانی منتظر تکمیل ارتباطات "نیمه باز" است.
در این حمله نفوذگر نیازی به مصرف پهنای باند شما نداشته و با استفاده از ساختمان دادههایی که برای ایجاد ارتباطات به کار میروند، سیستم شما را از کار میاندازد. به این ترتیب یک نفوذگر با استفاده از یک مودم dial – up قادر است یک شبکه پرسرعت را از کار بیندازد.
* استفاده از منابع شما بر علیه شما
نفوذگران قادرند با استفاده از روشهای غیرقابل انتظار از منابع شما بر علیه خود شما سوء استفاده کنند. در یکی از حملات، نفوذگر بستههای UDP ساختگی را برای متصل ساختن سرویس echo برروی یک ماشین به سرویس chargen برروی ماشین دیگر مورد استفاده قرار داد و در نتیجه این دو سرویس همه پهنای باند موجود بین خود را مورد مصرف قرار دادند و همچنین بر روی ارتباطات ماشینهای دیگر برروی شبکه نیز تاثیر گذاشتند.
* مصرف پهنای باند
یک نفوذگر میتواند همه پهنای باند شبکه شما را مورد استفاده قرار دهد، او این کار را از طریق تولید تعداد زیادی بسته که به سمت شبکه شما هدایت شدهاند انجام میدهد. این بستهها از لحاظ مفهومی میتوانند هر چیزی باشند ولی معمولا از بستههای ICPM ECHO برای اینگونه حملات استفاده میشود.
از طرفی در حمله مصرف پهنای باند، نفوذگر نیازی به حمله از طریق یک ماشین را ندارد، بلکه میتواند با استفاده از چندین ماشین برروی شبکههای مختلف تاثیر مشابهی را برای قربانی ایجاد کند.
* مصرف دیگر منابع
علاوه بر پهنای باند، نفوذگران قادر به مصرف منابع دیگری نیز هستند که سیستم شما برای کارکردن به آنها نیازمند است. برای مثال در بسیاری از سیستمها تعداد محدودی ساختمان داده برای نگهداری اطلاعات عملیات وجود دارد و یک نفوذگر با نوشتن یک برنامه ساده که کار خاصی انجام نمیدهد و فقط خود را مرتبا بازنویسی میکند، قادر است این منابع را مشغول نگه دارد.
البته امروزه بسیاری از سیستم عاملهای جدید امکان سهمیهبندی یا Qulta را برای مقابله با این مشکل فراهم کردهاند. علاوه بر این اگر جدول پردازهها پر هم نشده باشد، CPU ممکن است توسط تعداد زیاد پردازهها و زمان مورد نیاز برای سوئیچ کردن بین آنها مشغول باقی بماند. به همین جهت لازم است در مورد امکان سهمیهبندی منابع سیستمی در سیستم عامل خود تحقیقات به عمل آورده شود.
یک نفوذگر ممکن است برای مصرف دیسک سخت از راههایی اقدام کند مثل تولید تعداد بسیار زیادی ایمیل، تولید خطاهای عمدی که باید ثبت شوند، قرار دادن فایلها برروی مناطق ftp بدون نام و یا فضاهای به اشتراک گذاشته شده.
در حالت کلی هر چیزی که اجازه نوشتن داده برروی دیسک را فراهم کند، در صورتی که حد و مرزی برای میزان داده نوشته شده قائل نباشد، میتوان به حملات انکار سرویس منجر شود.
بسیاری از سایتها دارای سیستمی هستند که حساب کاربری را بعد از چند تلاش ناموفق برای ورود به سیستم قفل میکند. نفوذگر قادر است با استفاده از این خاصیت، از استفاده کاربران قانونی از حساب کاربریشان ممانعت به عمل آورد. در برخی حالات، حسابهای کاربری پر اولویت مانند administrator هدف اینگونه حملات قرار دارند لذا باید مطمئن شد روشی برای دسترسی به سیستم تحت شرایط اضطراری وجود دارد.
یک نفوذگر قادر است سیستم را با استفاده از ارسال دادههای دور از انتظار برروی شبکه از کار بیندازد. اگر سیستم کاربر اغلب بدون دلیل آشکاری از کار میافتد، ممکن است قربانی اینگونه حملات شده باشد.
موارد دیگری نیز وجود دارند که ممکن است در مقابل حملات انکار سرویس آسیب پذیر باشند و بهتر است بر آنها نیز نظارت لازم را به عمل آورده شود، این موارد عبارتند از پرینترها، ابزارهای Tape، اتصالات شبکه، هر منبع محدود دیگری که برای عملیات سازمان شما مهم محسوب میشود.
* پیشگیری و پاسخگویی
حملات انکار سرویس میتوانند برای بسیاری از سازمانها منجر به از دست رفتن زمان ارزشمند و منابع مالی شوند. توصیه میشود سایت احتمال خرابی سرویس گسترده را از قبل در نظر گرفته و گامهای مناسب را برای کاهش خطر حملات انکار سرویس به درستی بردارند.
بنا بر نیاز هر سایت میتواند از برخی روشها استفاده کند؛ فیلترهای روتر را در شبکه خود مورد استفاده قرار دهد. این فیلترها احتمال برقی از انواع حملات انکار سرویس را کاهش میدهند و همچنین از سوء استفاده کاربران شبکه در هدایت حملات انکار سرویس ممانعت به عمل میآورند.
همچنین میتوان بستههای محافظتی در مقابل طغیان TCP SYN را نصب کرد تا احتمال اینگونه حملات را کاهش دهند ولی باید به یاد داشت که این بستهها قادر به محافظت کامل از شبکه کاربر نیستند.
کاربر باید هر سرویس شبکه را که ضروری نیست یا مورد استفاده قرار نمیگیرد غیرفعال کند. این کار قدرت نفوذگران را در سوء استفاده از این خدمات برای اجرای حملات انکار سرویس محدود میسازد.
میتوان سیستم Quota را برروی سیستم عامل فعال کرد. برای مثال اگر سیستم عامل شما سهمیهبندی (quota) دیسک سخت را پشتیبانی میکند، آن را برای همه حسابهای کاربری مخصوصا آنهایی که خدمات شبکه را اجرا می کنند فعال کند. به علاوه در صورتی که سیستم عامل کاربر اجازه میدهد سیستمهای فایلی جداگانهای را برای عملیاتهای مهم و کاربران تعریف و استفاده کند.
کارایی سیستم هم باید مورد بازبینی قرار داده شود و یکسری حدود اصلی را برای کارهای معمولی تعریف شود و این حدود را برای تشخیص استفادههای غیرمعمول از حافظه CPU و یا ترافیک شبکه به کار برده شود.
همچنین باید مرتبا امنیت فیزیکی شبکه را با توجه به نیازهای فعلی سنجید. در این سنجش، سرورها، روترها، ترمینالهای بدون مراقبت، نقاط دسترسی شبکه، جعبه سیستمها، سیستمهای محیط مانند تهویه هوا و برق و دیگر اجزای شبکه را مورد وارسی قرار داد.
میتوان سیاستهایی را مورد رمز عبور مناسب ایجاد و نگهداری کرد، خصوصا در مورد حسابهای کاربری با اولویت بالا مانند ریشه UNIX.
در هر حال امروزه بسیاری از موسسات و سازمانها از تبعات حملات انکار سرویس متضرر میشوند که با رعایت موارد امنیتی و استفاده از دانش متخصصان این زمینه میتوانند این ضررها را به حداقل کاهش دهند.
منبع : ایسنا