حمله منع سرویس (یا به اختصار DoS) در علم رایانه حمله منع سرویس یا حمله منع سرویس توزیع شده، تلاش برای خارج کردن ماشین و منابع شبکه از دسترس کاربران مجازش می‌باشد؛ در واقع هر حمله‌ای علیه دسترس پذیری به عنوان حمله منع سرویس تلقی می‌شود. اگرچه منظور از حمله DOS و انگیزه انجام آن ممکن است متفاوت باشد، اما به‌طور کلی شامل تلاش برای قطع موقت یا دائمی یا تعلیق خدمات یک میزبان متصل به اینترنت است.

اهداف حمله DOS معمولاً سایت‌ها یا خدمات میزبانی وب سرور با ویژگی‌های مناسب مانند بانک ها، کارت‌های اعتباری و حتی سرورهای ریشه را هدف قرار می دهند. یکی از روش‌های معمول حمله شامل اشباع ماشین هدف با درخواست‌های ارتباط خارجی است به‌طوری‌که ماشین هدف، نمی‌تواند به ترافیک قانونی پاسخ دهد یا پاسخ‌ها با سرعت کم داده می‌شوند یا در دسترس نمی باشند. چنین حملاتی منجر به سربار زیاد سرور می‌شوند. حمله DOS کامپیوتر هدف را وادار به ریست شدن یا مصرف منابع اش می‌کند، بنابراین نمی‌تواند به سرویس‌های مورد نظرش سرویس بدهد و همچنین سیاست‌های مورد قبول فراهم کنندگان سرویس‌های اینترنتی را نقض می‌کنند.

علائم و نشانه‌ها

US-CERT علائم حملات منع سرویس را این گونه تعریف می‌کند:

  • کارایی کند وغیرمعمول شبکه
  • در دسترس نبودن یک وب سایت خاص
  • ناتوانی در دسترسی به یک وب سایت
  • افزایش چشمگیر در تعداد هرزنامه‌های دریافتی
  • قطع اتصال به اینترنت بی سیم یا سیمی

حملات منع سرویس می‌توانند منجر به مشکلاتی در شاخه‌های شبکه در کامپیوتر واقعی مورد حمله قرار گرفته شده باشند که منجر به به خطر افتادن کامپیوتر مورد نظر و کل شبکه یا کامپیوترهای دیگر در LAN می‌شود. اگر حمله در یک مقیاس بزرگ اتفاق افتاده باشد تمام نواحی جغرافیایی اتصالات اینترنت به دلیل پیکربندی نادرست یا سست بودن تجهیزات زیرساختی شبکه به خطر می افتد.

توضیحات بیشتر در مورد حمله داس (DoS)

روش‌های حمله

حمله منع سرویس، تلاش صریح مهاجمان در جلوگیری از دسترسی کاربران مجاز به سرویس‌های مشخص می‌باشد. دو شکل کلی برای حملات DOSوجود دارد: آنهایی که سرویس‌ها را از کار میاندازد و آنهایی که سرویس‌ها را با بسته‌های سیل آسا غرق می‌کنند. حمله DOS به چندین روش انجام می‌شود، پنج نوع اصلی این حمله عبارتند از:

  1. مصرف منابع محاسباتی مانند: پهنای باند، حافظه، فضای دیسک و زمان پردازش
  2. ایجاد تداخل در اطلاعات پیکربندی مثل: اطلاعات مسیریابی
  3. ایجاد تداخل در اطلاعات وضعیت مثل ریست شدن ناخواسته نشست‌های TCP
  4. ایجاد تداخل در تجهیزات فیزیکی شبکه
  5. مانع ارتباطی بین کاربران مجاز و قربانی تا نتوانند با ارتباط ادامه دهند.

حمله DOS ممکن است شامل اجرای نرم‌افزارهای مخرب باشد:

  • حداکثر شدن استفاده از پردازنده از انجام هر کاری جلوگیری می‌کند.
  • خطاهای محرک در میکروکدهای ماشین
  • خطاهای محرک در توالی دستورالعمل ها، به‌طوری‌که کامپیوتر را وادار به یک حالت ناپایدار یا قفل کردن می‌کند.
  • بهره‌برداری از خطاهای موجود در سیستم عامل

در بیشتر موارد حمله DOS با جعل آی پی آدرس فرستنده (آی پی آدرس جعلی)انجام می‌شود، به‌طوری‌که ماشین حمله‌کننده قابل شناسایی نیست.

انواع حمله

اجرای یک حمله ممکن است به صورت دستی یا اجرای برنامه‌های آماده منع سرویس وجود باشد.

جریان سیل آسای آی‌سی‌ام‌پی

حملهsmurf یکی از انواع حملات DOS سیل آسا روی اینترنت است.این نوع حمله به پیکربندی نامناسب تجهیزات شبکه که اجازه ارسال بسته‌ها به همه کامپیوترهای میزبان روی یک شبکه خاص با آدرس‌های همه پخشی را می دهد، متکی است. در چنین حمله‌ای مهاجمان با یک آی پی جعلی یک تقاضای ping به یک یا چندین سرور همه پخشی ارسال کرده و آدرس آی پی ماشین هدف (قربانی) را ست می‌کنند .سرور همه پخشی این تقاضا را برای تمام شبکه ارسال می‌کند. تمام ماشین‌های شبکه پاسخ را به سرور، ارسال همه پخشی می‌کنند. سرور همه پخشی پاسخ‌های دریافتی را به ماشین هدف هدایت یا ارسال می‌کند. بدین صورت زمانی که ماشین حمله‌کننده تقاضائی را به چندین سرور روی شبکه‌های متفاوت همه پخشی می نماید، مجموعه پاسخ‌های تمامی کامپیوترهای شبکه‌های گوناگون به ماشین هدف ارسال می گردند و آن را از کار می اندازند. بنابراین پهنای باند شبکه به سرعت استفاده می‌شود و از انتقال بسته‌های مجاز به مقصدشان جلوگیری به عمل خواهد آمد.برای مبارزه با حمله منع سرویس در اینترنت سرویس‌هایی مانند Smurf Amplifier Registry توانایی تشخیص پیکربندی‌های نامناسب شبکه وانجام عملیات مناسب مثل فیلترینگ را می دهند.

آشنایی با حمله داس

بسته‌های سیل آسای Ping ، بسته‌های Ping زیادی را به سمت قربانی ارسال می‌کنند. ping of death به ارسال‌هایی از بسته‌های ping با فرمت و شکل نامناسب یه سمت قربانی گفته می‌شودکه باعث crash شدن سیستم عامل می گردد.

جریان سیل آسایSYN

Syn Flood زمانی اتفاق می افتد که میزبانی از بسته‌های سیل آسای TCP/SYN استفاده کند که آدرس فرستنده آن‌ها جعلی است. هر کدام از این بسته‌ها همانند یک درخواست اتصال بوده و باعث می‌شود سرور درگیر اتصالات متعدد نیمه باز بماند و با فرستادن یا برگرداندن بسته‌های TCP/SYN ACK، منتظر بسته‌های پاسخ از آدرس فرستنده بماند ولی چون آدرس فرستنده جعلی است هیچ پاسخی برگردانده نمی‌شود. این اتصالات نیمه باز تعداد اتصالات در دسترس سرور را اشباع می‌کنند و آن را از پاسخگویی به درخواست‌های مجاز تا پایان حمله بازمیددارد. بنابر این منابع سرور به اتصال‌های‌های نیمه باز اختصاص خواهد یافت. وامکان پاسخ گویی به درخواستها از سرور منع می‌شود.

حمله Teardrop

این حمله شامل ارسال بسته‌های آی پی است که با هم تداخل دارند یا بسته‌هایی با سایز بزرگ یا بسته‌هایی با ترتیب نامناسب می‌باشند. این حمله می‌تواند سیستم عامل‌های مختلف را به علت اشکالی که در کد بازسازی مجدد بخش‌های TCP/IP دارند crash کند. Windows 3.1x وWindows 95 وسیستم عامل Windows NT و نسخه‌های 2.0.32 و 2.1.63 در برابر این حمله آسیب پذیر هستند

حمله نظیر به نظیر

مهاجمان به دنبال راهی برای یافتن اشکال در سرورهای نظیر به نظیر هستند تا حمله DDOS را شروع کنند.حملات نظیر به نظیر متفاوت از حملات مبتنی بر بات نت‌ها هستند. در حملات نظیر به نظیر، بات نت یا مهاجمی برای یرقراری ارتباط با کلاینت وجود ندارد به جای آن مهاجم به عنوان دست نشانده‌ای از ارباب، به کلاینت‌های موجود در مراکز به اشتراک‌گذاری فایل‌ها طوری آموزش می دهد که شبکه نظیر به نظیر خود را قطع کرده و به جای آن به وب سایت قربانی متصل شوند. در نتیجه چندین هزار کامپیوتر به صورت تهاجمی به وب سایت قربانی وصل می‌شوند. در حالی که وب سرور قبل از این که کارایی اش تنزل پیدا کند قادر به کنترل و مدیریت صدها اتصال در ثانیه بوده‌است بلافاصله بعد از 5 یا 6 هزار اتصال در ثانیه شکست می خورد.

اتک داس و روشهای پیشگیری از آن

عدم تقارن استفاده از منابع در حملات گرسنگی

حمله‌ای که در مصرف منابع بر روی کامپیوتر قربانی موفق باشد باید:

  • توسط مهاجمی با منابع بیشتر انجام شود
    • کنترل کامپیوتر با قدرت محاسباتی بیشتر یا پهنای باند بیشتر شبکه
    • کنترل تعداد زیادی کامپیوتر و هدایت آن‌ها به سمت قربانی به عنوان حمله گروهی .حمله DDOs نمونه اولیه آن است.
  • بهره‌گیری از یک ویژگی سیستم عامل یا برنامه کاربردی روی سیستم قربانی که باعث می‌شود مصرف منابع قربانی بیشتر از مهاجم باشد(حمله نامتقارن).

حملات Smurf attack، SYN flood، Sockstress و NAPTHA از نوع حملات نامتقارن هستند. یک حمله ممکن است برای افزایش توان خود از ترکیبی از این روش‌ها استفاده کند.

حمله منع سرویس دائمی

محرومیت دائم از سرویس که به عنوان phlashing نیز شناخته می‌شود. یک حمله‌ای است که چنان صدمه‌ای به سیستم می زند که نیاز به جایگزینی یا نصب دوباره سخت افزار را بوجود می‌آورد. برخلاف DDOS این نوع حمله از نقص‌های امنیتی که اجازه مدیریت راه دور اینترفیس‌های سخت افزاری قربانی مثل روتر، چاپگر یا سخت افزارهای شبکه را می دهد، سواستفاده می‌کند. مهاجم از این آسیب‌پذیری برای جایگزین کردن سیستم عاملهای دستگاه با نوع معیوب یا خراب استفاده می‌کند. بنابراین آن‌ها را تا زمان تعمیر یا تعویض، برای هدف اصلی غیرقابل استفاده می‌کند.

Nuke

نوع قدیمی حمله DOS در برابر شبکه‌های کامپیوتری است که متشکل از بسته‌های ICMP تکه تکه یا نامعتبر ارسال شده به سمت هدف است، که با استفاده از ping‌های دستکاری شده و ارسال مکرر داده‌های خراب بدست می‌آید و سرعت سیستم رفته رفته کم شده و متوقف می‌شود. یکی از مثال‌های خاص حمله Nuke،حمله WinNuke است که از آسیب‌پذیری نت بایوس در ویندوز 95 سواستفاده می‌کند.

(R-U-Dead-Yet? (RUDY

این حمله به برنامه‌های کاربردی وب با ایجاد گرسنگی در جلسات در دسترس روی وب سرور حمله می‌کند. شبیهSlowloris، جلسات را با استفاده از انتقال پست‌های بدون پایان و ارسال مقادیر سرآیند با محتویات بزرگ در حالت توقف نگه می دارد.

حمله‌های توزیع شده(DDOS)

اگر مهاجم برای حمله از یک میزبان استفاده کند به این نوع حمله DOS می‌گوییم ولی حمله DDOS زمانی اتفاق می‌افتد که چندین سیستم به‌طور هم‌زمان پهنای باند یا منابع سیستم مورد هدف را با بسته‌های سیل‌آسا مورد حمله قرار دهند. وقتی سروری با اتصالات زیادی دچار سربار شود، دیگر نمی‌تواند اتصالات جدیدی را بپذیرد. مزیت عمده‌ای که استفاده از حمله منع سرویس توزیع شده برای مهاجم دارد این است که ماشین‌های چندگانه می‌توانند ترافیک بیشتری را نسبت به یک ماشین تولید کنند و همچنین مسدود کردن منبع حمله را به علت وجود منابع متعدد در حمله غیرممکن می‌سازد.در روش DDOS تمام رایانه‌ها هم‌زمان با هم عمل می‌کنند به‌طوری‌که ممکن است در برخی موارد خسارات جبران‌ناپذیری به بار آورند. در این روش معمولاً مهاجم سیستم‌های زیادی را آلوده کرده و به آن‌ها هم‌زمان فرمان می‌دهد. به سیستم‌های آلوده شده زامبی (zombie) و به شبکه‌ای از این سیستم‌ها که تحت کنترل یک شخص هستند، botnet گفته می‌شود.

حمله جعل شده/منعکس شده

DrDoS حمله منع سرویس توزیع شده منعکس شده، نوعی از حملات منع سرویس است که طراحی نسبتاً هوشمندانه‌ای دارد. این حمله از آن جهت شبیه به DDoS است که از چندین منبع برای حمله به یک شخص استفاده می‌کند؛ اما این کار به‌طور پنهانی انجام می‌شود. در این حمله مهاجم بسته‌هایی را به تعداد زیادی(صدها نفر) از کاربران می‌فرستد و به آن‌ها هشدار می‌دهد که رایانهٔ قربانی درخواست سرویس خاصی را دارد. به ازای هر بسته میزان بسیار کمی از ترافیک تولید می‌شود، شاید کوچکتر از درخواست‌های معمول؛ از این رو بسیار بعید است که این حمله توسط مدیران مورد توجه قرار گرفته یا حس شود. حملات درخواست echo ICMP به عنوان نوعی حمله منعکس شده در نطر گرفته می‌شوند که درآن میزبان‌های سیل آسا درخواست‌های echo را به آدرس‌های همه پخشی شبکه‌های با پیکربندی نامناسب ارسال می‌کند در نتیجه میزبان مجبور به ارسال بسته‌های پاسخ echo به قربانی می‌شود. DDOS‌های اولیه به این شکل پیاده‌سازی می شدند.

حمله منع سرویس تلفنی

  • scammer با بانکدار قربانی یا کارگذار تماس برقرار می‌کند و هویت قربانی را برای درخواست انتقال وجه جعل می‌کند، بانکدار تلاش می‌کند تا با قربانی برای تأیید انتقال، تماس حاصل کند ولی خطوط تلفن قربانی با هزاران تماس ساختگی به صورت سیل آسا مورد حمله قرار گرفته و موجب در دسترس نبودن قربانی می‌شود.
  • scammer با مشتری با ادعای ساختگی برای پرداخت وام فوق العاده زیاد تماس می‌گیرد، scammer‌ها در برخی موارد از شناسه جعلی تماس گیرنده برای جازدن خودشان به جای پلیس یا آژانس‌های اجرای قانون استفاده می‌کنند.

سوء استفاده‌های مرتبط شامل حملات سیل آسای پیامکی و فکس‌های سیاه یا انتقال حلقه‌ای فکس است.

مدیریت یا اداره حمله

پاسخ دفاعی در برابر حملات منع سرویس شامل استفاده از ترکیبی از روش‌های تشخیص حمله ، طبقه‌بندی ترافیک و ابزارهای پاسخ است که هدف آن‌ها بلوکه کردن ترافیک‌های غیرمجاز و اجازه برقراری ترافیک‌های مجاز می‌باشد.

به‌طور کلی هیچ راه تضمین‌کننده‌ای برای جلوگیری از این حمله وجود ندارد و تنها راه‌هایی برای جلوگیری از برخی روش‌های متداول و کم کردن اثرات سایر روش‌ها موجوداست، چرا که بسیاری از روش‌ها به هیچ‌عنوان قابل پیشگیری نیست، به عنوان مثال اگر شبکه botnet با صدهزار zombie صفحه‌ای از سایت را باز کنند، این درخواست یک درخواست عادی بوده و نمی‌توان تشخیص داد که درخواست دهنده سیستم معمولی است یا zombie و به همین جهت نمی‌توان جلوی آن‌را گرفت.

استفاده از سیستم‌های تشخیص دهنده (IPS) سیستم‌های تشخیص براساس سرعت بسته‌ها (RBIPS) و این‌گونه سیستم‌ها نیز روش مناسبی برای جلوگیری از این حملات است.

بسته‌های نرم‌افزاری نیز موجودند که شامل تمام این سیستم‌ها هستند، استفاده از این بسته‌ها علاوه بر حملات DoS بسیاری دیگر از حملات را شناسایی می‌کنند، بسته نرم‌افزاری SSP (Sun Security Package) از جمله این بسته‌ها است که کار شناسایی و جلوگیری را به صورت خودکار انجام می‌دهد.

 

دیوار آتش

دیوار آتش می‌تواند به این صورت راه اندازی شودکه شامل قوانین ساده برای اجازه یا رد کردن پروتکل ها، پورت‌ها یا آی پی آدرس‌ها باشد. در مورد حملات ساده‌ای که از آدرس‌های با آی پی غیرمعمول می آیند می‌توان با قرار دادن قانون ساده‌ای که ترافیک‌های ورودی از چنین مهاجمانی را حذف کند. برخی حملات با چنین قوانین ساده‌ای قابل بلوکه شدن نیستند، اگر یک حمله روی پورت 80(وب سرویس)در حال انجام باشد غیرممکن است که همه ترافیک‌های ورودی روی چنین پورتی را حذف کرد، زیرا این کار، سرورها را از ارائه ترافیک قانونی منع می‌کند.

سوئیچ‌ها

برخی سوئیچ‌ها دارای عوامل محدودکننده نرخ و قابلیت لیستهای کنترل دسترسی هستند. برخی سوئیچ‌ها از فیلترینگ برای تشخیص و از بین بردن حملات DOS از طریق فیلتر کردن خودکار نرخ استفاده می‌کنند.

روترها

مشابه سوئیچ ها، روترها هم قابلیت ACL و کنترل نرخ را دارند.بیشتر روترها می‌توانند در برابر حملات DOS قرار بگیرند. سیستم عامل‌های سیسکو دارای ویژگی ای هستند که از حملات سیل آسا پیشگیری می‌کند.

سیستم پیشگیری از نفوذ

سیستم پیشگیری از نفوذ زمانی مؤثر است که حملات دارای امضا باشند.سیستم پیشگیری از نفوذ که روی شناخت محتوا کار می‌کند نمی‌تواند حملات DOSمبتنی بر رفتار را بلوکه کند.IPS مبتنی بر ASCI می‌تواند حملات منع سرویس را تشخیص و بلوکه کند، زیرا دارای توان پردازشی و تجزیه و تحلیل حملات است. IPS مبتنی بر نرخ(RBIPPS)باید الگوی ترافیک را به صورت تک تک و بطور پیوسته مانیتور کند . آنومالی ترافیک را در صورت وجود تعیین کند.

سیاه چاله و گودال

به مدیر اجازه می دهد که ترافیک حمله را به یک آدرس آی پی (اینترفیس خالی یا سرور غیرموجود)، هدایت کند تا آن را حذف نماید. وقتی حمله‌ای تشخیص داده می‌شود، یک مسیر ثابت ایجاد می‌شود تا ترافیک حمله را به جای ماشین قربانی به سمت یک سیاه چاله، هدایت کنند. در حالت گودال ، ترافیک حمله به یک آدرس آی پی ارسال می‌شود تا برای بررسی بیشتر ثبت شود. مزیت آن این است که ترافیک حمله می‌تواند جمع‌آوری و آنالیز شود تا الگوی حمله مورد مطالعه و بررسی قرارگیرد.

Backscatter

در امنیت شبکه‌های کامپیوتری، برگشت پراکنده مشکل و عارضه جانبی حمله منع سرویس جعلی است. در این نوع حمله، مهاجم آدرس آی پی مبدأ بسته را جعل می‌کند و به قربانی ارسال می‌کند، در کل ماشین قربانی قادر به تشخیص بسته‌های جعلی و مجاز نیست، بنابراین قربانی به بسته‌های جعلی پاسخ می دهد،این بسته‌های پاسخ به عنوان برگشت پراکنده تلقی می‌شوند.اگر مهاجم آی پی آدرس‌های مبدأ را به صورت تصادفی جعل کند، بسته‌های پاسخ برگشت پراکنده از قربانی به مقصدهای تصادفی ارسال می‌شوند.

منبع: ویکی پدیا