انجمن هاي گفتگو پارسياتک

نسخه‌ی کامل: مفاهیم امنیت شبکه
شما در حال مشاهده نسخه آرشیو هستید. برای مشاهده نسخه کامل کلیک کنید.
امنیت شبکه لایه بندی شده

امروزه امنیت برای سازمانها و شرکت ها خیلی مهم شده چون تهدیدهای پیشرفته ای از سوی تروریست های فضای سایبر به سیستم ها و شبکه ها انجام میشود .

رویکرد امنیت شبکه لایه بندی شده یک استراتژی است که ابزار و امکانات مختلفی را در سطوح مختلف در زیر شبکه فراهم میکند

رویکرد امنیتی شبکه لایه بندی شده در 5 لایه قابل تعریف میباشد :

1.پیرامون
2.شبکه
3.میزبان
4.برنامه کاربردی
5.دیتا

و یک دید کلی از ابزار ها و سیستم هایی امنیتی گوناگون که روی هریک عمل میکنند ارائه میشود و هدف ایجاد درکی در سطح پایه ، از امنیت شبکه هایی لایه بندی شده میباشد .
محافظت از اطلاعات به منابع مالی نامحدود احتیاج ندارد با درک کلی از مساله ،خلق یک طرح استراتژی و تاکتیکی میتوان کا را اسان حل کرد .

افزودن به ضریب عملکرد هکرها :

متخصصان امنیت شبکه از اصطلاحی با عنوان ضریب عملکرد work factorاستفاده میکنند که مفهومی مهم در پیاده سازی امنیت شبکه لایه بندی شده دارد .
ضریب عملکرد بعنوان میزان تلاش مورد نیاز توسط یک نفوزگر بمنظور تحت تاثیر قرار دادن یک یا چند سیستم و ابزار های امنیتی تعریف میشود که باعث رخنه کردن در شبکه میشود . شبکه با work factort بالا به سختی مورد دستبرد قرار میگیرد


در زیر مدل امنیت لایه بندی شده در زیر امده :

پیرامون:

فایروال ، انتی ویروس در سطح شبکه
رمزنگاری شبکه خصوصی مجازی

شبکه :

سیستم تشخیص / جلوگیری از نفوز IDS/IPS
سیستم مدیریت اسیب پذیری
تبعیت امنیتی کابر انتهایی
کنترول دسترسی / تایید هویت کاربر

میزبان :

سیستم تشخیص نفوز میزبان
سیستم ارزیابی اسیب پذیری میزبان
تبعیت امنیتی کاربرانتهایی
انتی ویروس
کنترول دسترسی / تایید هویت کاربر

برنامه کاربردی :

سیستم تشخیص نفوز میزبان
سیستم ارزیابی اسیب پذیری میزبان
کنترول دسترسی / تایید هویت کاربر
تعیین صحت ورودی

داده :
رمزنگاری
کنترول دسترسی / تایید هویت کاربر
لایه های امنیتی

امنیت پیرامون :

منظور از پیرامون اولین خط دفاعی نسبت به بیرون و به عبارتی به شبکه غیرقابل اعتماد است .
پیرامون اولین و اخرین نقطه تماس برای دفاع امنیتی محافظ کننده شبکه میباشد .
در این ناحیه شبکه به پایان میرسد و اینترنت اغاز میشود پیرامون شامل یک یا چند فایروال و مجموعه ای از سرورهای به شدت کنترول شده که در بخشی از پیرامون قرار دارند
بعنوان DMZ Demilitarized Zone شناخته میشوند .DMZt معمولا وب سرور ، مدخل ایمیل ها انتی ویروس ها شبکه و سرور های DNS را در بر میگیرد که باید در معرض اینترنت باشند .
فایروال قوانین سفت و سختی در مورد اینکه چه چیزی وارد شبکه بشود و چگونه سرورها در DMZ میتوانند با اینترنت و شبکه داخلی تعامل داشته باشند را دارد .

تکنولوژی زیر امنیت را در پیرامون شبکه ایجاد میکند :

فایروال– معمولا یک فایروال روی سروری نصب میگردد که به بیرون و درون پیرامون شبکه متصل میباشد . فایروال سه عمل اصلی را انجام میدهد
1. کنترول ترافیک 2 . تبدیل ادرس 3 . نقطه پایانی وی پی ان .

فایروال کنترول ترافیک را با سنجیدن مبدا و مقصد تمام ترافیک وارد شده و خارج شده انجام میدهد و تضمین میکند که تنها تقاضای مجاز اجازه عبور دارند بعلاوه فایروال به شبکه امن در تبدیل ادرسهای ip داخلی به ادرش های قابل رویت در اینترنت کمک میکند . این کار از افشای اطلاعات مهم درباره ساختار شبکه تحت پوشش فایروال جلوگیری میکند و به عنوان نقطه پایانی تونل وی پی ان عمل میکند

انتی ویروس شبکه– این نرم افزار درDMZ نصب میشود و محتوای ایمیل های وارد شده و خارج شده را با پایگاه داده ای از مشخصات ویروس های شناخته شده مقایسه میکند . این انتی ویروس ها ایمیل های الوده SPAM را بلاک کرده و به مدیران شبکه خبر میدهد . انتی ویروس شبکه مکملی برای حفاظت ضد ویروسی است که در سرور ایمیل و کامپیوتر های مجزا صورت میگیرد

وی پی ان - یک شبکه اختصاصی مجازیوی پی ان از رمزنگاری سطح بالایی برای ایجاد ارتباط امن بین ابزار دور از یکدیگر مانند لپ تاپ ها و شبکه های مقصد استفاده میکنند .
وی پی ان اساسا یک تونل رمز نگاری شده تقریبا با امنیت و محرمانگی یک شبکه اختصاصی اما از میان اینترنت ایجاد میکند این تونل وی پی ان میتواند در یک مسیریاب بر پایه وی پی انفایروال با یک سرور در ناحیه DMZ پایان پذیرد . برقراری ارتباط وی پی ان برای تمام بخش های دور و بیسیم شبکه یک عمل مهم است که نسبتا اسان و ارزان پیاده سازی میشود .

مزایا و معایب :

تکنولوژی ایجاد شده سطح پیرامون سال هاست که مورد استفاده قرار میگیرد و از نظر اقتصادی مغلوم به صرفه میباشد اما درای معایبی هم دارد ، از انجا که این سیستم پایه ای است بیشتر هکرها روی ان متمرکز شده و راه های مختلفی را در جهت دور زدن این امنیت پیدا کرده اند
 [font]لایه امنیت شبکه [/font]

سطح شبکه در مدل امنیت لایه بندی شده به wan ,lan داخلی شما اشاره دارد .
شبکه داخلی شما ممکن است شامل چند کامیپوتر و سرور و یا شاید پیچیده تر یعنی شامل اتصالات نقطه به نقطه به دفترهای کار دور باشد بیشتر شبکه های امروزی در ورای پیرامون باز هستند یعنی هنگامی که داخل شبکه قرار دارید میتوانید به راحتی در میان شبکه حرکت کنید .

[font]تکنولوژی ذیل امنیت را در سطح شبکه برقرارمیکنند :[/font]

[font]ids ها (سیستم تشخیص نفوز ) و ipsها (سیستم جلوگیری از نفوز )[/font] تکنولوژی ids و isp ترافیک گذرنده در شبکه شما را با جزئیات بیشتر نسبت به فایروال ها تحلیل میکنند .
مشابه سیستم انتی ویروس ابزارهای [font]ids , ips[/font] ترافیک را تحلیل و هر بسته اطلاعات را با پایگاه داده ای از مشخصات حملات شناخته مقایسه میکنند . هنگامی که حملات تشخیص داده میشود این ابزار وارد عمل شده .
ابزارهای ids مسوولین it را از وقوع یک حمله مطلع میکند ابزارهای [font]ips[/font] یک گام جلوتر رفته و به طور خودکار ترافیک اسیب رسان را مسدود میکند .
[font]ids ها و ips ه[/font]ا مشخصات مشترک زیادی دارند در حقیقت بیشتر [font]ips[/font] ها در هسته خود یک ids دارند تفاوت کلیدی بین این دو تکنولوژی ها از نام انها استنباط میشود و محصولات [font]ids[/font] تنها ترافیک اسیب رسان را تشخیص میدهند در حالیکه محصولات [font]ips[/font] از ورود چنین ترافیکی به شبکه شما جلوگیری میکنند .

[font]مدیریت اسیب پذیری[/font] – سیستم های مدیریت اسیب پذیری دو عملکرد مرتبط را انجام میدهند :
شبکه را برای اسیب پذیری ها پیمایش میکنند و روند مرمت اسیب پذیری یافته شده را مدیریت میکنند در گذشته این تکنولوژی va[font] (تخمین اسیب پذیری )[/font] نامیده میشود اما این تکنولوژی اصلاح شده است و بیشتر سیستم های موجود عملی بیش از [font]va[/font] انجام میدهند .
سیستم مدیریت اسیب پذیر تمام راهای نفوز را پجستجو میکند انها پایگاهای داده ای data base از قوانین را نگه داری میکنند که اسیب پذیری شناخته شده را خود جای میدهد . این سیستم روند باسازی را مدیریت میکند

[font]تابعیت امنیتی کاربر انتهایی[/font] – روش های تابعیت امنیتی کاربر انتهایی تضمین میکنند کاربران انتهایی استانداردهای امنیتی تعریف شده را از قبل اینکه اجازه دسترسی به شبکه داشته باشد از شبکه محافظت میکنند این عمل جلوی حمله به شبکه از داخل خود شبکه را از طریق سیستم های ناامن کارمندان و ابزارهای [font] وی پی ان, ras[/font] میگیرد . روشهای امنیت نقاط اتهایی بر اساس ازمایش هایی که روی سیستم های که قصد اتصال دارند انجام میدهند ، اجازه دسترسی میدهند .

[font]کنترول دسترسی / تایید هویت[/font] – کنترول دسترسی نیازمند تایید هویت کاربرانی است که به شبکه شما دسترسی دارند . کاربران و ابزارها باید با ابزارهای کنترول دسترسی کنترول شوند در ایتجا باید گفت میان طرح های کنترول دسترسی بین لایه های مختلف همپوشانی قابل توجهی وجود دارد . معمولا تراکنش های تایید هویت در مقابل دید کاربر اتفاق میافتد اما به خاطر داشته باشد که کنترول دسترسی و تایید هویت مراحل پیچیده هستند که برای ایجاد بیشترین میزان امنیت در شبکه باید به دقت مدیریت شوند.

[font]مزایا : [/font]

تکنولوژی های [font]ids,ips[/font] و مدیریت اسیب پذیری تحلیل های پیچیده ای روی تهدیدهای و اسیب پذیری های شبکه انجام میدهند . در حالیکه فایروال به ترافیک بر پایه مقصد نهیی ان اجازه عبور می دهند ابزار ips و ids تجزیه و تحلیل عمیق تری را بر عهده دارند بنابراین سطح بالاتری را از امنیت را ارائه میدهند . سیستم های مدیریت اسیب پذیری روند بررسی هایی به صورت دستی با تناوب مورد نیاز برای تضمین امنیت تا حدودی زیادی غیر عملی خواهد بود بعلاوه شبکه ساختار پویایی دارد . روش تابعیت امنیتی کاربران انتهایی به سازمان ها سطح بالاتری از کنترول بر روی ابزاری را میدهد که به صورت دستی کنترول کمی بر روی انها باشند . [font]معایب :[/font] [font]ids[/font] تمایل به تولید تعداد زیادی علائم هشدار غلط دارند که به عنوان [font]false positives[/font] نیز شناخته میشوند در حالیکه [font]ids[/font] ممکن است که یک حمله را کشف و به اطلاع شما برسانند . مدیران [font]ids[/font] ممکن است به سرعت حساسیت خود را نسبت به اطلاعات تولید شده توسط از دست بدهند برای تاثیر گذاری بالا یک [font]ids[/font] باید بصورت پیوسته بررسی شود و برای الگوهای مورد استفاده و اسیب پذیری های کشف شده در محیط شما تنظیم گردد . سطح خودکار [font]ips[/font] ها میتواند میزان زیادی در میان محصولات متفاوت باشد بسیاری از انها باید با دقت پیکربندی و مدیریت شوند تا مشخصات الگوهای ترافیک شبکه ای را که در ان نصب شده اند منعکس کنند . 
 [font]لایه امنیت میزبان[/font]

سطح میزبان در مدل امنیت لایه بندی شده مربوط به ابزارمنفرد مانند سرورها کامپیوتر های شخصی ، سوئیچ ها ، روتر ها ، و غیره در شبکه است .
هر ابزار تعدادی پارامتر قابل تنظیم دارد و هنگامی که به نادرستی تنظیم شوند میتوانند سوراخ های امنیتی نفوز پذیری ایجاد کنند . این پارامتر شامل تنظیمات رجیستری ، سرویس ها ، توابع عملیاتی روی خود ابزار یا وصله های سیستم های عامل یا نرم افزاری مهم میشود .

[font]تکنولوژی های زیر امنیت را در سطح میزبان فراهم میکنند :[/font]

[font]ids در سطح میزبان[/font] – ids های سطح میزبان عملیاتی مشابه ids های شبکه انجام میدهند ، تفاوت اصلی در نمایش ترافیک در یک ابزار شبکه به تنهایی است . Ids های سطح میزبان برای مشخصات عملیاتی بخصوص از ابزار میزبان تنظیم میگردند و بنابراین اگر به درستی مدیریت شوند درجه بالایی از مراقبت را فراهم میکنند .

[font]va (تخمین اسیب پذیری ) سطح میزبان[/font] – ابزارهای va سطح میزبان یک ابزار شبکه مجزا را برای اسیب پذیری های امنیتی پویش میکنند . دارای دقت بالایی میباشد و از انجایی که va ها بطور مشخص برای ابزار میزبان پیکربندی میشوند .

[font]تابعیت امنیتی کاربر انتهایی[/font] – روش های تابعیت امنیتی کاربر اتهایی وظیفه دوچندانی ایفا میکند و هم شبکه و هم میزبان های جداگانه را محافظت میکند . این روش ها بطور پیوسته میزبان را برای عملیات زیان رسان و الودگی ها بررسی میکنند و همچنین به نصب و به روز بودن فایروال ها و انتی ویروس ها رسیدگی میکنند .

[font]انتی ویروس[/font] – هنگامی که انتی ویروس های مشخص شده برای ابزار در کنار انتی ویروس های شبکه استفاده میشوند لایه اضافه ای برای محافظت فراهم میکنند .

[font]کنترول دسترسی / تصدیق هویت[/font] – ابزار کنترول دسترسی در سطح ابزار یک روش مناسب است که تضمین میکند دسترسی به ابزار تنها توسط کاربران مجاز صورت پذیرد . در اینجا احتمال سطح بالایی از تراکنش بین ابزار کنترول دسترسی شبکه و کنترول دسترسی میزبان وجود دارد . 
 [font]لایه امنیت دیتا [/font]

[font]امنیت سطح دیتا[/font] ترکیبی از سیاست امنیتی و رمزنگاری را دربر میگیرد ، [font]رمزنگاری دیتا[/font] هنگامی که ذخیره میشود و یا در شبکه شما حرکت میکند به عنوان روشی بسیار مناسب توصیه میشود زیرا چنانچه تمام ابزارهای امنیتی دیگر از کارها بیفتد یک طرح رمزنگاری قوی دیتای مختص شما را محافظت میکند .
تکنولوژی زیر امنیت در سطح دیتا را فراهم میکند :

[font]رمزنگاری[/font] – طرح های رمزنگاری دیتا در سطوح دیتا ، برنامه و سیستم عامل پیاده میشود . تقریبا تمام طرح ها شامل کلید های رمزنگاری / رمزگشایی هستند که تمام افرادی که به دیتا دسترسی دارند باید داشته باشند . استراتژی های رمزنگاری معمول شامل [font]pki,pgp,rsa[/font] هستند

[font]کنترول دسترسی / تصدیق هویت [/font]– مانند تصدیق هویت سطوح شبکه میزبان و برنامه تنها کابران مجاز دسترسی به دیتا خواهد داشت . 
 [font]جمع بندی :[/font]

[font]دفاع در مقابل تهدیدها و حملات معمول[/font]

قسمت گذشته نشان میدهد که چگونه رویکرد امنیت لایه بندی شده در مقابل تهدیدها و حملات معمول از شبکه حفاظت میکند و نشان میدهد که چگونه هر سطح با داشتن نقشی کلیدی در برقراری امنیت شبکه جامع و موثر شرکت میکند .

[font]برخی حملات معمول شامل موار زیر می باشد :[/font]

[font]حملات به وب سرور[/font] – حملات به وب سرور دامنه زیادی از مشکلاتی را که تقریبا برای هر وب سرور ایجاد میشود در بر میگیرد از دستکاری های ساده در صفحات گرفته تا در اختیار گرفتن سیستم از راه دور و تا حملات dos امروزه حملات به وب سرور یکی از معمول ترین حملات هستند . Code rd , nimda به عنوان حمله کنندگان به وب سرورها از شهرت زیادی برخوردارند .

[font]بازپخش ایمیل ها بصورت نامجاز [/font]– سرورهای ایمیلی که به صورت مناسب پیکربندی نشده اند یک دلیل عمده برای ارسال هرزنامه بشمار میروند بسیاری از شرکت های هرزنامه ساز در پیدا کردن ایت سرورها و ارسال صدها و هزاران پیام هرزنامه به این سرورها متخصص هستند .

[font]دستکاری میزبان دور در سطح سیستم[/font] – تعدادی از اسیب پذیری ها یک سیستم را از راه دور در اختیار حمله کننده قرار میدهند بیشتر ایت نوع کنترول در سطح سیستم است و به حمله کننده اختیاراتی بابر با مدیر محلی سیستم میدهد .

[font]فراهم بودن سرویس های اینترنتی غیر مجاز [/font]– توانایی اسان بکارگیری یک وب سرور یا سرویس اینترنتی دیگر روی یک کامپیوتر ریسک افشای سهوی اطلاعات را بالا میبرند اغلب چنین سرویس هایی کشف نمیشوند در حالی که در شعاع رادار دیگران قرار میگیرند .

[font]تشخیص فعالیت ویروسی[/font] – در حالی که برنامه ضد ویروسی در تشخیص ویروس ها مهارت دارد این نرم افزار برای تشخیص فعالیت ویروسی طراحی نشده اند در این شرایط بکارگیری یک برنامه تشخیص نفوز یا ids شبکه برای تشخیص این نوع فعالیت بسیار مناسب است . 
 [font]مقدمه ای بر تشخیص نفوذ intrusion detection[/font]

تشخیص نفوذ عبارت است از پردازه تشخیص تلاش های که جهت دسترسی غیر مجاز به یک شبکه یا کاهش کارایی ان انجام میشود .در تشخیص نفوز باید ابتدا درک صحیحی از چگونگی انجام حملات پیدا کرد .

سپس بنابر درک بدست امده روشی دو مرحله ای را برای متوقف کردن حملات حملات برگزید اول این که مطمئن شوید که الگوی عمومی فعالیتهای خطرناک تشخیص داداه شده است .

دوم اینکه اطمینان حاصل کنید که با حوادث مشخصی که در طبقه بندی مشترک حملات نمی گنجند به سرعت رفتار میشوند .
به همین دلیل است که بیشتر سیستم های تشخیص نفوز [font]ids[/font] بر مکانیزم هایی جهت بروزرسانی نرم افزارشان متکی هستند که جهت جلوگیری از تهدیدات شبکه به اندازه کافی سریع هستند
البته تشخیص نفوز به تنهایی کافی نیست و باید مسیر حمله را تا هکر دنبال کند تا بتواند به شیوه مناسبی با وی نیز برخورد کرد .

[font]انواع حملات شبکه ای با توجه به طریقه حمله [/font]

یک نفوذ به شبکه معمولا یک حمله قلمداد میشود . حملات شبکه ای را میتوان بسته به چگونگی انجام ان به دو گروه اصلی تقسیم کرد یک [font]حمله شبکه ای را میتوان با هدف نفوذگر[/font] از حمله توصیف و مشخص کرد این اهداف معمولا از کار انداختن سرویس dos یا denial of service یا دسترسی غیر مجاز به منابع شبکه است .

[font]حملات از کار انداختن سرویس [/font]

در این نوع حملات هکر استفاده از سرویس ارائه شده توسط ارائه کننده خدمات برای کاربرانش را مختل میکند در این حملات حجم بالایی از درخواست ارائه خدمات به سرور فرستاده میشود تا امکان خدمات رسانی را از ان بگیرد در واقع سرور به پاسخگویی به در خواستهای بی شمار هکر مشعول مشود و از پاسخگویی به کاربران واقعی باز می ماند .

[font]حملات دسترسی شبکه[/font]

در این نوع از حملات نفوذگر [font]امکان دسترسی غیر مجاز به منابع شبکه[/font] را پیدا میکند و از این امکان برای انجام فعالیتهای غیر مجاز و حتی غیر قانونی استفاده میکند .
برای مثال از شبکه به عنوان مبدا حملات DOS خود استفاده میکند تا در صورت شناسایی مبدا ، خود گرفتار نشود .

دسترسی به شبکه را میتوان به دو گروه تقسیم کرد :

[font]دسترسی به داده[/font] – در این نوع دسترسی ، نفوذگر به داده موجود بر روی اجزا شبکه دسترسی غیر مجاز پیدا میکند . حمله کننده میتواند یک کاربر داخلی یا یک فرد خارج از مجموعه باشد . داداه های ممتاز و هم معمولا تنها در اختیار بعضی کاربران شبکه قرار میگیرند
سایرین حق دسترسی به انها را ندارند در واقع سایرین امتیاز کافی را جهت دسترسی به اطلاغات محرمانه ندارند اما میتوان با افزایش امتیاز به شکل غیر مجاز به اطلاعات محرمانه دسترسی پیدا کرد ، این روش تعدیل امتیاز یا PRIVILEGE ESCALATION مشهور است .

[font]دسترسی به سیستم[/font] – این نوع حمله خطرناک تر و بدتر است و طی ان حمله کننده به منابع سیستم و دستگاها دسترسی پیدا میکند.
این دسترسی میتواند شامل اجرای برنامه ها بر روی سیستم و به کارگیری منابع ان در جهت اجرای دستورات حمله کننده باشد .

همچنین حمله کننده میتواند به تجهیزات شبکه مانند دوربین ها ، پرینترها و وسایل ذخیره سازی دسترسی پیدا کند حملات اسب تروا ها ، [font]BRUTE FORCE[/font] و یا استفاده از ابزارهایی جهت تشخیص نقاط ضعف یک نرم افزار نصب شده بر روی سیستم از جمله نمونه های قابل ذکر از این نوع حملات هستند

فعالیت مهمی که معمولا پیش از [font]حملات DOS[/font] و دسترسی به شبکه انجام میشود شناسایی یا [font]RECONNAISSANCE[/font] است . یک حمله کننده از این فاز جهت افتادن حفره های امنیتی و نقاط ضعف شبکه استفاده میکند . این کار میتواند به کمک بعضی ابزارها اماده انجام پذیرد که به بررسی پورتها رایانه های موجود بر روی شبکه میپردازد و امادگی انها را جهت انجام حملات مختلف بر روی انها بررسی میکنند . 
 [font]انواع حملات شبکه ای با توجه به حمله کننده[/font]

[font]حملات شبکه ای را میتوان با توجه به حمله کننده به چهار گروه تقسیم کرد :[/font]

1[font] – حملات انجام شده توسط کاربر مورد اعتماد – داخلی - [/font]: این حمله یکی از مهمترین و خطرناکترین نوع حملات است ، چون از یک طرف کاربر به منابع مختلف شبکه دسترسی دارد و از طرف دیگر سیاست های امنیتی معمولا محدودیتهای کافی درباره این کاربران اعمال نمیکنند .

2 [font]– حملات انجام شده توسط افراد غیر معتمد – خارجی - [/font]: این معمولترین نوع حمله است که یک کاربر خارجی که مورد اعتماد نیست شبکه را مورد حمله قرار می دهد . این افراد معمولا سخت ترین راه را در پیش دارند زیرا بیشتر سیاست های امنیتی درباره این افراد تنظیم شده اند .

3 [font]– حملات انجام شده توسط هکرهای بی تجربه [/font]: بسیاری از ابزارهای حمله و نفوز بر روی اینترنت وجود دارند . در واقع بسیاری از افراد میتوانند بدون تجربه خاصی و تنها با اتفاده از ابزارهای اماده برای شبکه ایجاد مشکل کنند .

4 [font]– حملات انجام شده توسط کاربران مجرب[/font] : هکرهای باتجربه و حرفه ای در نوشتن انواع کدهای مخرب متبحرند . انها از شبکه و پروتکل های ان و همچنین از انواع سیستم های عمل اگاهی کامل دارند معمولا این افراد ابزارهایی تولید میکنند که توسط گروه اول به کار گرفته میشود انها معمولا پیش از هر حمله اگاهی کافی درباره قربانی خود کسب میکنند .

5 [font]پردازش تشخیص نفوز[/font] – تا بحال با انواع حملات اشنا شدیم . حالا باید چگونگی شناسایی حملات و جلوگیری از انها را بشناسیم .

[font]امروزه دو روش اصلی برای تشخیص نفوز به شبکه ها مورد استفاده قرار میگیرد :[/font]

[font]ids مبتنی بر خلاف قاعده اماری

ids مبتنی بر امضا یا تطبیق الگو [/font]


روش اول مبتنی بر تعیین استانه انواع فعالیت ها بر روی شبکه است مثلا چند بار یک دستور مشخص توسط یک کاربر در یک تماس با یک میزبان host اجرا میشود لذا در صورت بروز یک نفوذ امکان تشخیص ان به علت خلاف معمول بودن ان وجود دارد اما بسیاری از حملات به گونه است که نمیتوان براحتی یا با کمک این روش انها را تشخیص داد .

در واقع روشی که در بیشتر سیستمها تشخیص نفوذ به کار گرفته میشود ids مبتنی بر امضا یا تطبیق الگو است منظور از امضا مجموعه قواعدی است که یک حمله در حال انجام را تشخیص میدهد . دستگاهی که قرار است نفوذ را تشخیص دهد با مجموعه ای از قواعد بارگزاری میشود هر امضا دارای اطلاعاتی است که نشان میدهد در داده های در حال عبور باید به دنبال چه فعالیتهایی گشت .

هرگاه ترافیک در حال عبور با الگوی موجود در امضا تطبیق کند ، پیغام اخطار تولید میشود و مدیر شبکه را از وقوع یک نفوذ اگاه میکند در بسیاری از موارد ids علاوه بر اگاه کردن مدیر شبکه با کمک فایروال و انجام عملیات کنترول دسترسی با نفوذ بیشتر مقابله میکند . 
 [font]مقایسه تشخیص نفوذ و پیش گیری از نفوذ [/font]

[font]intrusion prevention[/font]

ایده پیش گیری از نفوذ این است کخ تمام حملات علیه هر بخش از محیط محافظت شده توسط روشهای به کار گرفته شده ناکام بماند . این روش میتوانند تمام بسته های شبکه را بگیرد و نیت انها را مشخص کند – ایا هرکدام یک حمله هستند یا یک استفاده قانونی – سپس عمل مناسب را انجام دهند .

تفاوت شکلی تشخیص با پیش گیری

در ضاهر روشهای تشخیص نفوذ و پیشگیری از نفوذ رقیب هستند به هر حال انها لیست بالایی از عملکردهای مشابه مانند بررسی بسته داده تحلیل با توجه به حفظ وضعیت ، گرداوری بخش های tcp ، ارزیابی پروتکل و تطبیق امضا دارند . اما این قابلیت ها به عنوان ابزاری برای رسیدن به اهداف متفاوت و در این دو روش به کار گرفته میشود .

یک ips intrusion prevention system یا سیستم پیش گیری مانند یک محافظ امنیتی در مداخل یک اجتماع اختصاصی عمل میکند که بر پایه بعضی گواهی ها و قوانین یا سیاست های از پپیش تعیین شده اجازه عبور میدهد .

یک ids intrusion detection system یا سیستم تشخیص مانند یک اتومبیل گشت زنی در میان اجتماع عمل میکند که فعالیت ها را به نمایش میگذارد و دنبال موقعیت های غیر عادی میگردد . بدون توجه به قدرت امنیت در مداخل گشت زنها به کار خود در سیستم ادامه میدهند و بررسی های خود را انجام میدهند . 
تشخیص نفوذ

هدف از تشخیص نفوذ بررسی و ارائه گزارش از فعالیت های شبکه است . این سیستم روی بسته های داده که از ابزار کنترول دسترسی عبور کرده اند عمل میکند . به دلیل وجود محدویت های اطمینان پذیری تهدید های داخلی و وجود شک و تردید مورد نیاز پیش گیری از نفوز باید به بعضی از موارد مشک.ک به حمله اجازه عبور میدهد تا احتمال تشخیص های غلط positive false کاهش یابد . از طرف دیگر روش ها IDS با هوشمندی همراه هستند و از تکنیک های مختلفی برای تشخیص حملات بالقوه نفوز ها و سو استفاده بهره میگیرد یک IDS معمولا به گونه ای از پهنای باند استفاده میکند که میتواند بدون تاثیر گذاشتن روی معماری محاسباتی و شبکه های به کار خود ادامه دهد طبیعت منفعل IDS ان چیزی است که قدرت هدایت تحلیل هوشمند جریان بسته های را ایجاد میکند همین امر IDS را در جایگاه خوبی برای تشخیص موارد زیر قرار میدهد :
 
  1. حملات شناخته شده از طریق امظا ها و قوانین
  2. تغییرات در حجم و جهت ترافیک با ایتفاده از قواین پچیدده و تحلیل اماری
  3. تغییرات الگوی ترافیک ارتباطی با اتفاده از تحلیل جریان
  4. تشخیص فعالیت های غیر عادی با استفاده از تحلیل انحراف معیار
  5. تشخیص فعالیت مشکوک با استفاده از تکنیک های اماری تحلیل جریان و تشخیص خلاف قاعده



بعضی از حملات تا در درجه ای از یقین بسختی قابل تشخیص هستند و بیشتر انها میتوانند توسط روش های که دارای طبیعت غیر قطغی هستند تشخیص داداه شوند . یعین این روش برای تصمیم گیری مسدود سازی بر اساس سیاست مناسب نیستند

پیش گیری از نفوز

چنانچه قبلا ذکر کردیم روش های پیش از نفوز به منظور محافظت از دارایی ها منابع ، داداه و شبکه ها استفاده میشود انتظار اصلی از انها این است که خطر حمله را با حذف ترافیک مضر شبکه کاهش دهند در حالیکه به فعالیت صحیح اجازه ادامه کار میدهد هدف نهایی یک سیستم کامل است یعنی نه تشخیص غلط حمله که از بازدهی شبکه میکاهد و نه عدم تشخیص حمله FALSE NEGATIVE که باعث ریسک بیمورد در محیط شبکه شود .

شاید یک نقش اساسی تر نیاز به مطمئن بودن است یعنی فعالیت به روش مورد نیاز تحت هر شرایطی به منظور حصول این منظور به روش های ISP باید طبیعت قطعی DETERMINISTIC داشته باشند

قابلیت های قطعی اطمینان مورد نیاز برای تصمیم گیری های سخت افزاری را ایجاد کند به این معنی که روش های پیش گیری از نفوز برای سروکار داشتن با موارد زیر ایده ال هستند :

برنامه های نا خواسته و حملات اسب تروای فعال علیه شبکه ها و برنامه های اختصاصی با استفاده از از قوانین قطعی و لیست های کنترول دسترسی

بسته ای دیتای متعلق به حمله با استفاده از فیلترهای بسته های داده ای سرعت بالا

سو استفاده از پروتکل های و دستکاری پروتکل های شبکه با استفاده از بازسازی هوشمند

حملات DOS و DDOS مانند ظغیان ICMP /SYN با استفاده از الگوریتم های فلترینگ بر پایه حد استانه

سو ایتفاده از برنامه های و دستکاری های پروتکل – حملات شناخته شده و شناخته نشده علیه SMTP / DNS / FTP / HTTP و غیره با استفده از قواین پروتکل برنامه و امظا ها

بار اظافی برنامه با استفاده از ایجاد محدویت های مصرف منابع

تمام این حملات و وضعیت های و اسیب پذیری اکه به انها اجازه وقوع مبدهد به خوبی مستند سازی اند و به علاوه انحراف از پروتکل های ارتباطی از لایه های شبکه تا لایه برنامه جایگاهی در هیچ ترافیک صحیح ندارد

نتیجه نهایی

تفاوت های بین IDS , IPS به فلسفه جبرگرایی می انجامد یعنی IDS میتواند از روش های غیر منظقی برای استنباط هر نوع تهدید یا تهدید بالقوه از ترافیک موجود استفاده کند . این شامل انجام تحیلی های اماری از حجم ترافیک الگوهای ترافیک و فعالیت های غیر عادی میشود IDS به درد افرادی میخورد که واقعا میخواهند بدانند چه چیزی در شبکه شان در حال رخ دادان است

از طرف دیگر IPS باید در تمام تصمیمات برای انجام وظیفه اش در پالاش ترافیک قطعیت داشته باشد از یک ابزار IPS انتظار میرود که در تمام مدت کار کند و در مورد کنترول دسترسی تصمیم گیری کند . فایروال ها اولین رویکرد قطعی را برای کنترول دسترسی درشبکه ها با ایجاد قابلیت اولیه IPS فراهم میکنند . ابزارهای IPS قابلیت نسل بعد را به این فایروال ها اظافه کردند و هنوز در این فعالیت های قطعی در تصمیم گیری برای کنترول دسترسی مشارکت دارند .
حملات DOS]

شاید تا حالا شنیده باشید که یک وب سایت مورد تهاجمی از نوع DOS قرار گرفته است این نوع از حملات صرفا متوجه وب سایت ها نبوده و ممکن است شما قربانی بعدی باشد . تشکیل حملات DOS از طریق عملیات متداول شبکه امری مشکل است ولی با مشاهده برخی علائم در یک شبکه و یا کامپیوتر میتوان از میزان پیشرفت این نوع از حملات اگاهی یافت

حملات از نوع DOS DENIAL – OF – SERVICE]

در این تهاجم از نوع DOS یک مهاجم باعث ممانعت دستیابی کاربران تائید نشده و به اطلاعات و یا سرویس های خاصی مینماید . یک مهاجم با هدف قرار دادن کامپیوتر شما و اتصال شبکه ای انها و یا کامپیوتر ها و شبکه ای از سایت هائی که شما قصد استفاده از انها را دارید باعث سلب دستیابی شما به سایت های EMAIL ، وب سایت ها ، ACCOUNT های ONLINE و سایر سرویس های ارائه شده بر روی کامپیوترهای سرویس دهنده میگردد

متداول ترین و مشهور ترین نوع حملات DOS زمانی محقق مییگردد که یک مهاجم اقدام به ایجاد یک سیلاب اطلاعاتی در یک شبکه نماید زمانی که شما ادرس URL یک وب سایت خاص را را از طریق مرورگر خود تایپ میکنید درخواست شما برای سرویس دهنده ارسال میگردد . سرویس دهنده در هر لحظه قادر به پاسخگویی به حجم محدودی از درخواست ها میباشد بنابراین اگر یک مهاجم با ارسال درخواستهای متعدد و سیلاب گونه باعث افزایش حجم عملیات سرویس دهنده گردد قطعا امکان پردازش درخواست شما برای سرویس دهنده وجود نخواهد داشت حملات فوق از نوع DOS میباشد چراکه امکان دستیابی شما به سایت مورد نظر سلب شده است

یک مهاجم میتواند با ارسال پیام های الکترونیکی ناخواسته که از انان با نام SPAM یاد میشود حملات مشابهی را متوجه سرویس دهنده پست الکترونیکی نماید . هر ACCOUNT پست الترونیکی دارای ظرفیت محدودی میباشند پس از تکمیل ظرفیت فوق عملا امکان ارسال EMAIL دیگری به ACCOUNT فوق وجود نخواهد داشت . مهاجمان با ارسال نامه های الکترونیکی ناخواسته سعی مینمایند که ظرفیط ACCOUNT مورد نظر را تکمیل و عملا امکان دریافت EMAIL های معتبر ACCOUNT فوق سلب میشود .

حملات از نوع (DDOS ( DISTRIBUTED DENIAL – OF – SERVICE]

در این تهاجم از نوع DDOS یک تهاجم ممکن است از کامپیوتر شما برای تهاجم بر علیه کامپیوتر دیگری استفاده نماید . مهاجمان با استفاده از نقاط اسیپ پذیر و یا ضعف امینتی موجود بر روی سیستم شما میتواند کنترول کامپیوتر شما را بدست گرفته و در ادامه از ان به منظور انجام عملیات مخرب خود استفاده نماییند . ارسال حجم بسیار بالائی داداه از طریق کامپیوتر شما برای یک وب سایت و یا ارسال نامه های الکترونیکی ناخواسته برای ادرس های EMAIL خاصی نمونه هائی از همکارای کامپیوتر در بروز یک تهاجم DDOS میباشد حملات فوق توزیع شده میباشد چراکه مهاجم از چندین کامپیوتر به منظور اجرای یک تهاجم DOS استفاده مینمایند .

نحوه پیشگیری از حملات
متاسفانه روش موثری به منظور پیشگیری در مقابل یک تهاجم DOS و یا DDOS وجود ندارد علیرغم موضوع فوق میتوان با رعایت برخی نکات و انجام عملیات پیشگیری احتمال بروز چنین حملاتی ( استفاده از کامپیوتر شما برای تهاجم بر علیه سایر کامپیوتر ها ) را کاهش داد .
نصب و نگهداری نرم افزار انتی ویروس
نصب و پیکربندی یک فایروال
تبعیت از مجموعه سیاست های خاصی در خصوص توزیع و ارائه ادرس EMAIL خود به دیگران

چگونه از وقوع حملات DOS و یا DDOS اگاه شویم ؟

خرابی و یا بروز اشکال در یک سیستم شبکه همواره بدلیل بروز یک تهاجم DOS نمیباشد در این رابطه ممکن است دلایل متعددی فنی وجود داشته و یا مدیر شبکه به منظور انجام عملیات نگهداری موقتا برخی سرویس ها را غیر فعال کرده باشد .

جود و یا مشاهده علائم زیر میتواند نشان دهنده بروز یک تهاجم از نوع DOS و یا DDOS باشد :

کاهش سرعت و یا کارائی شبکه بطرز غیر معمول ( در زمان باز نمودن فایل ها و یا دستیابی به وب سایتها )
عدم در دسترس بودن یک سایت خاص ( بدون دلیل فنی )
عدم امکان دستیابی به هر سایتی ( بدون وجود دلیل فنی )
افزایش محسوس حجم نامه های الکترونیکی ناخواسته دریافتی
در صورت بروز یک تهاجم چه عملیاتی را میبایست انجام داد؟

حتی در صورتی که شما قادر به شناسائی حملات از نوع DOS و یا DDOS باشید امکان شناسائی مقصد و یا منبع واقعی تهاجم وجود نخواهد داشت در این رابطه لازم است با کارشناسان فنی ماهر تماس گرفته تا انان موضوع را بررسی و برای ان راهکار مناسب ارائه نماید .

در صورتی که برای شما مسلم شده است که نمیتوانید به برخی از فایل های خود و یا هر وب سایتی خارج از شبکه خود دستیابی داشته باشد بلافاصله با مدیران شبکه تماس گرفته و موضوع را به اطلاع انها برسانید ، وضعیت فوق میتواند نشان دهنده بروز یک تهاجم برعلیه کامپیوتر یا سازمان شما باشد

در صورتی که وضعیت مشابه انچه اشاره گردید را در خصوص کامپیوترهای موجود در منازل مشاهده می نمائید با مرکز ارائه دهنده خدمات اینترنت isp تماس گرفته و موضوع را به طالاع ان برسانید . isp مورد نظر میتواند توصیه های لازم به منظور انجام عملیات مناسب را در اختیار شما قرار دهد .

عدم پذیرش سرویس :
قصد داریم تا طی چند قسمت با نوعی از حمله به نام dos اشنا شویم که مخفف عبارت denial of service یا عدم پذیرش سرویس میباشد . همانطور که در روش های معمول حمله به کامپیوتر ها اشاره مختصری شد این نوع حمله باعث از کارافتادن یا مشغول شدن بیش از اندازه کامپیوتر میشود تا حدی که غیر قابل استفاده شود در بیشتر موارد حفره های امنیتی محل انجام این حملات است که لذا نصب اخرین وصله های امنیتی از حمله جلوگیری میکند .

علاوه بر اینکه کامپیوتر شما هدف یک حمله dos قرار میگیرد ممکن است که در حمله dos علیه یک سیستم دیگر نیز شرکت داده شود . نفوزگران با ایجاد ترافیک بی مورد و بی استفاده باعث میشود که حجم زیادی از منابع سرویس دهنده و پهنای باند شبکه مصرف یا به نوعی درگیر رسیدگی به این تقاضاهای بی مورد شود و این تقاضا تا جایی که دستگاه سرویس دهنده را به زانو در اورد ادامه پیدا میکند . نیت اولیه و تاثیر حملات dos جلوگیری از استفاده صحیح از منابع کامپیوتری و شبکه ای و از بین بردن این منابع است .

علیرغم تلاش و منابعی که برای ایمن سازی علیه نفوز و خرابکاری مصرف گشته است سیستم های متصل به اینترنت با تهدیدی واقعی و مداوم به نام حملات dos مواجه هستند این امر بدلیل دو مشخصه اساسی اینترنت است :

منابع تشکیل دهنده اینترنت به نوعی محدود و مصرف شدنی هستند .

زیر ساخت سیستم ها و شبکه های بهم متصل که اینترنت را میسازد کاملا از منابع محدود تشکیل شده است . پهنای باند قدرت پردازش و ظرفیت های ذخیره سازی همگی محدود و هدف های معمول dos هستند مهاجمان با انجام این حملات سعی میکنند با مصرف کردن مقدار قابل توجهی از منابع در دسترس باعث قطع میزانی از سرویس ها میشود . وفور منابعی که به درستی طراحی و استفاده شده اند ممکن است عاملی برای کاهش میزان تاثیر یک حمله dos باشد اما شیوه های و ابزار امروزی حمله حتی در کارکرد فروان ترین منابع نیز اختلال ایجاد میکند .

امنیت اینترنت تا حد زیادی وابسته به تمام عوامل است .

حملات dos مهمولا از یک یا چند نقطه که از دید سیستم یا شبکه قربانی عامل بیرونی هستند صورت میگیرد در بسیاری موارد نقطه اغاز حمله شامل یک یا چند سیستم است که از طریق سو استفاده امنیتی را در اختیار یک نفوزگر قرار میگیرد و لذا حملات از سیستم یا سیستم های خود نفوزگر صورت نمیگیرد . بنابراین دفاع برعلیه نفوز نه تنها به حفاظت از اموال مرتبط با اینترنت کمک میکند بلکه به جلوگیری از استفاده از این اموال برای حمله به سایر شبکه ها و سیستم ها نیز کمک میکند . پس بدون توجه به اینکه سیستم هایتان به چه میزان محافظت میشوند قرار گرفتن در معرض بسیاری از انواع حملات و مشخصا dos به وضعیت امنیتی در سایر قسمت های اینترنت بستگی دارد .
مقابله با حملات dos تنها یک بحث عملی نیست . محدود میزان تقاضا فیلتر کردن بسته ای و دستکاری پارامترهای نرم افزاری در بعضی موارد میتواند به محدود کردن اثر حملات dos کمک کند اما بشرطی که حمله Dos در حال مصرف کردن تمام منابع موجود نباشد . در بسیاری از موارد تنها میتوان یک دفاع واکنشی داشت و این در صورتی است که منبع یا منبع حمله مشخص شوند . استفاده از جعل ادرس ip در طول حمله و ظهور روش های حمله توزیع شده و ابزارهای موجود یک چالش همیشگی را در مقابل کسانی که باید به حملات dos پاشخ دهند قرار داده است .

تکنولوژی حملات dos اولیه شامل ابزارهای ساده بود که بسته ها را تولید و از یک منبع به یک مقصد ارسال میکرد . با گذشت زمان ابزار تا حد اجرای حملات از یک منبع به چندین هدف از چندین منبع به هدف های تنها و چندین منبع و چندین هدف پیشرفت کرده اند .
امروزه بیشترین حملات گزارش شده به CERT/CC مبنی بر ارسال های تعداد بسیار زیادی بسته به یک مقصد است که باعث ایجاد نقاط انتهایی بسیار زیاد و مصرف پهنای باند شبکه میشود . از چندین حملاتی معمولا به عنوان حملات طغیان بسته packet flooding یاد میشود . اما در مورد حمله به چندین هدف گزارش کمتری دریافت شده است . انواع بسته ها packets مورد استفاده برای حملات طغیان بسته در طول زمان تغییر کرده است اما چندیدن نوع بسته معمول وجود دارند که هنوز توسط ابزار حمله dos استفاده میکند .

طغیان های TCP : رشته ای از بسته های tcp با پرچم های flag متفاوت به ادرس ip قربانی فرستاده میشوند . پرچم های RST , ACK , SYN بیشتر استفاده میشوند .

طغیان های تقاضا / پاسخ ICMP : ]مانند طغیان های PING رشته ای از بسته های ICMP به ادرس IP قربانی میشود .

]طغیان های UDP : رشته ای از بسته های UDP به ادرس IP قربانی ارسال میشود .
عدم پذیرش سرویس – انواع حملات

در قسمت قبلی با حمله DOS اشنا شدیم . از انجا که حملات طغیان بسته های دیتا معمولا تلاش میکنند منابع پهنای باند و پردازش را خلع سلاح کنند ، میزان بسته ها و حجم دیتای متناظر با رشته های بسته ها عواملی مهمی در تغیین درجه موفقیت حمله هستند .

بعضی از ابزارهای حمله خواص بسته ها را در رشته بسته ها بدلایلی تغییر میدهند :

ادرس IP منبع – در بعضی موارد یک ادرس IP منبع نا صحیح روشی که جعل IP نامیده میشود برای پنهان کردن منبع واقعی یک رشته بسته استفاده میشود در موارد دیگر جعل IP هنگامی استفاده میشود که رشته های بسته به یک یا تعداد بیشتری از سایت های واسطه فرستاده میشود تا باعث شود که پاسخ ها به سمت قربانی ارسال شود . مثال بعدی در مورد حملات افزایش بسته است مانند SMURF , FRAGGLE
پورتهای منبع / مقصد – ابزار حمله طغیان بسته بر اساس TCP , UDP گاهی اوقات پورت منبع و یا مقصد را تغییر میدهند تا واکنشی توسط فیلتر کردن بسته را مشکل تر کنند .

مقادیر IP HEADER دیگر – در نهایت در ابزار حمله DOS مشاهده کرده ایم که برای مقدار دهی تصادفی مقادیر HEADER هر بسته در رشته بسته طراحی شده اند که تنها ادرس IP مقصد است که بین بسته ها ثابت میماند .

بسته ها با خواص ساختگی بسادگی در صوال شبکه تولید و ارسال میشود . پروتکل TCP/IP با اسانی مکانیزم های برای تضمین پیوستگی خواص بسته ها در هنگام تولید و یا ارسال نقطه به نقطه بسته ها ارائه نمیکند . معمولا یک نفوذگر فقط به داشتن اختیار کافی روی سیستم برای بکار گیری ابزار و حملاتی که قادر به تولید و ارسال بسته های با خواص تغییر یافته باشند نیاز دارد . ژوئن 1999 اغاز بکار گیری ابزار DOS با چندین منبع یا DDOS بود .

روش های حمله DOS

Fraggle or Smurf

حملات SMURF یکی از مخرب ترین حملات DOS هستند . در حمله SMURF حمله بر اساس ازدیاد بسته های ICMP نفوزگر یک تقاضای اکوی ICMP (PING) به یک ادرس ناحیه میفرستد . ادرس منبع تقاضای اکو ادرس IP قربانی است ( از ادرس IP قربانی بعنوان ادرس برگشت استفاده میشود ) بعد از دریافت تقاضای اکو تمام ماشین های ناحیه پاسخ های اکو را به ادرس IP قربانی میفرستد . در این حالت قربانی هنگام دریافت طغیان بسته های با اندازه بزرگ از تعداد زیادی ماشین از کار خواهد افتاد .

حمله SMURF برای ازکار انداختن منابع شبکه سیستم قربانی ازروش مصرف پهنای باند استفاده میکند . این حمله این عمل را با استفاده از تقویت پهنای باند نفوزگران انجام میدهد . اگر شبکه تقویت کننده 100 ماشین دارد سیگنال میتواند 100 برابر شود و بنابراین حمله کننده با پهنای باند پایین ( مانند مودم 56 کیلوبایتی ) میتواند سیستم قربانی را با پهنای باند بیشتری مانند اتصال T1 از کار بندازد .

حمله FRAGGLE تقویت بسته UDP در حقیقت شباهت هایی به حمله SMURF دارد . حمله FRAGGLE از بسته های اکوی UDF بر طبق همان روش بسته های اکوی ICMP در حمله SMURF استفاده میکند . FRAGGLE معمولا به ضریب تقویت کمتری نسبت به SMURF میرد و در بیشتر شبکه های اکوی UDP سرویسی با اهمیت کمتری نسبت به اکوی ICMP است بنابراین FRAGGLE عمومیت SMURF را ندارد .


SYN Flood
حمله طغیان SYN قبل از کشف حمله SMURF بعنوان مخرب ترین شیوه حمله DOS بشمار میرفت . این روش برای ایجاد حمله DOS بر اساس قحطی منابع عمل میکند .
در طول برقراری یک ارتباط معمولی TCP سرویس گیرنده یک تقاضای SYN به سرویس دهنده میفرستد سپس سرور با یک ACK/SYN با کلاینت پاسخ میدهد در نهایت کلاینت یک ACK نهایی را به سرور ارسال میکند و این ترتیب ارتباط برقرار میشود .

اما در حمله ظغیان SYN حمله کننده چند تقاضای SYN به سرور قربانی با ادرس های منبع جعلی بعنوان ادرس برگشت میفرستد . ادرس های جعلی روی شبکه وجود ندارد سرور قربانی سپس با ACK/SYN به ادرس های ناموجود پاسخ میدهد . از انجا که هیچ ادرسی این ACK/SYN را دریافت نمیکند سرور قربانی منتظر ACK از طرفکلاینت میماند . ACK هرگز نمیرسد و زمان انتظار سرور قربانی پس از مدتی پایان میرسد . اگر حمله کننده به اندازه کافی مرتب تقاضاهای SYN بفرستد منابع موجود سرور قربانی برای برقراری یک اتصال و انتظار برای این ACK های در حقیقت تقلبی مصرف خواهد شد . این منابع معمولا از نظر تعداد زیاد نیست . بنابر این تقاضاهای SYN جعلی حتی با تعداد نسبتا کم میتواند باعث وقوع یک حمله DOS شوند

حملات DOS

در نسخه اولیه BIND (Berkely Internet Name Domain) حمله کنندگان میتوانند بطور موثری حافظه نهان یک سرور DNS را که در حال استفاده از عملیات بازگشت برای جستجوی یک ناحیه بود که توسط این سرور سرویس داده نمیشود مسموم کنند . زمانی که حافظه نهان مسموم میشود یک کاربر قانونی به سمت شبکه مورد نظر حمله کننده با یک شبکه نا موجود هدایت میشود . این مشکل با نسخه های جدیدتر BIND برطرف شده است . در این روش حمله کننده اطلاعات اطلاعات DNS غلط که میتواند باعث تغییر مسیر درخواست ها شود ارسال میکند .

حملات DDOS

حملات DDOS (Distributed Denial Of Service ) حمله گسترده ای از dos میباشد در اصل DdOS حمله هماهنگ شده ای بر علیه سرویس موجود در اینترنت است . در این روش حملات Dos بطور غیر مستقیم از طریق تعداد زیادی از کامپیوتر های هک شده بر روی سیستم قربانی انجام میگیرد . سرویس ها و منابع مورد حمله قربانی اولیه و کامپیوتر های مورد استفاده در این حمله قربانی های ثانویه نامیده میشود حملات DDOS عموما در از کار انداختن سایت های کمپانی های عظیم از حملات DOS موثر تر هستند
انواع حملات DDoS

عموماً حملات DDoS به سه گروه Stecheldraht و TFN/TFN2K ،Trinoo تقسيم مي شوند

Trinoo در اصل از برنامه هاي Master/Slave است که با يکديگر براي يک حمله طغيان UDP بر عليه کامپيوتر قرباني هماهنگ مي شوند. در يک روند عادي، مراحل زير براي برقراري يک شبکه Trinoo DDoS واقع مي شوند:

مرحله ۱: حمله کننده، با استفاده از يک ميزبان هک شده، ليستي از سيستم هايي را که مي توانند هک شوند، گردآوري مي کند. بيشتر اين پروسه بصورت خودکار از طريق ميزبان هک شده انجام مي گيرد. اين ميزبان اطلاعاتي شامل نحوه يافتن ساير ميزبان ها براي هک در خود نگهداري مي کند.

مرحله ۲: به محض اينکه اين ليست آماده شد، اسکريپت ها براي هک کردن و تبديل آنها به اربابان (Masters) يا شياطين (Daemons) اجراء مي شوند. يک ارباب مي تواند چند شيطان را کنترل کند. شياطين ميزبانان هک شده اي هستند که طغيان UDP اصلي را روي ماشين قرباني انجام مي دهند.

مرحله ۳: حمله DDoS هنگامي که حمله کننده فرماني به ميزبانانMaster ارسال مي کند، انجام مي گيرد. اين اربابان به هر شيطاني دستور مي دهند که حمله DoS را عليه آدرس IP مشخص شده در فرمان آغاز کنند و با انجام تعداد زيادي حمله DoS يک حمله ddos شکل میگیرد .

TFN/TFN2K

Tribal Flood Network) TFN) يا شبکه طغيان قبيله اي، مانند Trinoo در اصل يک حمله Master/Slave است که در آن براي طغيان SYN عليه سيستم قرباني هماهنگي صورت مي گيرد. شياطين TFN قادر به انجام حملات بسيار متنوع تري شامل طغيان ICMP طغيان SYN و حملات Smurf هستند، بنابراين TFN از حمله Trinoo پيچيده تر است.

TFN2K نسبت به ابزار TFN اصلي چندين برتري و پيشرفت دارد. حملات TFN2K با استفا