هجمات حجب الخدمه DoS Attacks

عام 0 geek4arab
Spread the love

السلام عليكم ..

ألف مبروك على افتتاح المنتدى أولا 🙂

و ها هو ذا أول مواضيعي به ..

هجمات حجب الخدمه(هـ.ح.خ)

DoS Attacks

الوصف ..

هذا المقال يقدم رؤية عامة عن ماهية الهجمات التي تؤدي إلى إلى حجب الضحية من الوصول إلى أحدى الخدمات مع بعض المعلومات التي تصف كيفية الإستجابة إلى هذا النوع الهجمات .

ما هي هجمات حجب الخدمه ؟

DoS هنا لا نقصد بها نظام التشغيل المشهور و لكنها اختصار للعبارة Denial-of-Service و هي تعني حجب أو منع الخدمه .

و هجمات حجب الخدمه يقصد بها : المحاولات الواضحة من المهاجم لمنع المصرح لهم بالوصول إلى الخدمة ، من استخدامها . و من امثلتها ..

– المحاوله ل “إغراق” Flood الشبكة . و التي تؤدي إلى ازدحام غير مبرر في مروور Traffic الشبكة مما يمنع المتخدمين من الوصول اليها .

– محاولة قطع الإتصال بين جهازين ، و بالتالي منع الوصول إلى الخدمه .

– محاولة منع أحد الأفراد من الوصول إلى الخدمه .

بدون كسر ملفات كلمات السر أو سرقة البيانات السرية، هجمات حجب الخدمه تتم ببساطه بان يقوم المهاجم بإطلاق أحد البرامج التي تزحم المرور للموقع الخاص بك و بالتالي تمنع أي مستخدم آخر من الوصول اليه .

هجمات Ping Of Death و Teardrop

هناك ثلاثة أنواع من هـ.ح.خ :

– الهجمات التي تستغل خطأ برمجي Bug في بناء TCP/IP

– الهجمات التي تستغل تقصير في مواصفات TCP/IP

– الهجمات التي تعيق المرور في شبكتك حتى لا تستطيع أي بيانات ان تصل اليها أو تغادرها .

و الهجمتين المميتتين المشهورين Ping Of Death و الهجمه Teardrop ،يصنفا مع النوع الأول .فهجمه Ping Of Death تستخدم أي برنامج Ping لتخلق حزمه IP تتعدى الحد الأقصي (65536 بايت) من البانات المسموح بها لحزمة IP .و تلك الحزمة بإرسالها إلى اي نظام من الممكن لهذا النظام ان ينهار او يتوقف عن العمل او يعيد التشغيل من تلقاء نفسه. و تلك الهجمة ليست بجديده و كل منتجي انظمة التشغيل قاموا بعلاجها .

ping.gif

أما عن الهجمه Teardrop فهي تستغل ضعف في إعادة تجميع اجزاء حزمة ال IP .خلال رحلتها في الأنترنت ،تقسم حزمة ال IP إلى اجزاء اصغر .و كل جزء يبدوا مثل الحزمه الأصلية ما عدا أنه يحتوي على حقل يقول -كمثال- “هذا الجزء يحمل البايتات من 600 إلى 800 من الحزمة الأصلية غير المجزئه” .

هجمة Teardrop تخلق حزمة IP مجزئة و لكنها متداخلة Overlapped في محتويات حقل تعريف هذا الجزء . و عندما يتم تجميع تلك الحزمه من جديد بعض الأنظمة قد تنهار و بعضها يتوقف عن العمل و بعضها قد يعيد تشغيلة من تلقاء نفسه .

teardrop.gif

هجمات SYN

الضعف في مواصفات ال TCP/IP تجعله عرضة لهجمات SYN التي تنفذ اثناء المصافحة الثلاثية Three way handshaake و التي تتم بين تطبيقين لبدء الإتصال بينهما .في الظروف العادية التطبيق الذي يبدأ الإتصال (المرسل) يرسل حزمة TCP-SYN إلى التطبيق المستقبل. و المستقبل يرد بإرسال حزمة TCP-SYN-ACK بعلم و صول الحزمة الأولى و عندئذ يرسل التطبيق (المرسل) حزمة ACK بعم الوصول و عندئذ يبدأ التطبيقان في تبادل البيانات فيما بينهما .

و لكن هجمة SYN تغرق flood الهدف بسلسلة من حزم TCP-SYN .كل حزمة تؤدي بالهدف إلى تجهيز استجابة SYN-ACK . و بينما الهدف ينتظر المصافحة الثالثة ACK ،يقوم بوضع كل حزم SYN-ACK المنتظرة دورها في الإرسال في طابور queue يسمى طابور المتراكمات backlog queue .و هذا الطابور له سعة محددة و التى هي غالبا صغيرة إلى حد ما .و بمجرد أن يمتلئ هذا الطابور ،سيتجاهل النظام كل طلبات SYN الواردة . SYN-ACK تغادر الطابور فقط عندما يتم الرد ب ACK او ينهي العداد الداخلي (والذي يجهز للعد لفتره طويلة نسبيا) المصافحة الثلاثية .

و هجمة SYN تخلق كل حزمة SYN بعنوان IP مزيف للمرسل .و كل الإستجابات من الهدف ترسل إلى ذلك العنوان المزيف و الذي يكون إما غير موجود في الأساس او لنظام لا يعمل حاليا و بالتالي فان جزمة ACK التي تلى حزمة SYN-ACK لن تصل إلى الهدف ابدا .و هذا يؤدي إلى امتلاء طابور المتراكمات على الدوام فيجعل من المستحيل تقريبا على أي مستخدم الوصول إلى هذا النظام .

منتجي حوائط النيران Firewalls مثل Checkpoint و Cisco و Raptor قاموا يإضافة ميزات في منتجاتهم لتزودك بدورع ضد هجمات SYN .و بالإضافة إلى ذلك يجب على حائط النيران الخاص بك التأكد من أن الحزم الصادرة من شبكتك تحتوي على عنوان IP مصدره سليم، و الذي هو احد عناوين شبكتك الداخلية، وبالتالي لن يتم تزيف عنوان IP المصدر من داخل شبكتك .

syn.gif

هجمة إغراق UDP

أغراق UDP أو User Datagram Protocol flood أيضا تتم بربط نظامين ببعض . بالخداع Spooofing ،هجمة إغراق UDP تتم بالسيطرة على خدمة chargen لأحد النظامين ،و تلك الخدمة لأغراض اختبارية تقوم بتوليد سلسلة من الحروف Characters لكل حزمة تستقبلها ،مع خدمة الصدى UDP echo للنظام الاخر ، والتي تردد كالصدى كل حرف تستقبله كمحاولة لإختبار برامج الشبكه .و نتيجة لهذا الربط يتم تبادل سيل لا يتوقف من البيانات العقيمة بين النظامين .

و لكي تمنع هجمة إغراق UDP ،يمكنك اما ان توقف عمل كل خدمات UDP لكل جهاز على شبكتك ،أو من الأسهل أن تعد حائط النيران Firewall الخاص بك لتنقية كل طلبات UDP . و بما أن UDP صمم لعمل التشخيصات الداخلية ،يمكنك غالبا الإستمرار بتجاهل طلبات UDP من مجتمع الإنترنت .و لكنك لو حجبت كل خدمات UDP ،ستصد بالتالي بعض التطبيقات الجيدة و المعتمده على UDP مثل RealAudio .

udpflood.gif

الطريقة المثلى لجعل شبكتك آمنه من هـ.ح.خ المستقبلية هي الإشتراك في القائمة البريدية “لفريق الإستجابة لطوارئ الحاسب” CERT أو Computer Emergency Responce Team من موقعهم الخاص http://www.cert.org

لمزيد من المعلومات يمكنك زيارة المواقع التالية ..

http://www.w3.org/security/faq/wwwsf9.html

http://www.cert.org/tech_tips/denial_of_service.html

http://www.zdnet.com/pcmag/pctech/content/…nt1708.001.html

http://www.infosyssec.net/infosyssec/secdos1.htm

Zorro-TmH

الكاتب geek4arab

geek4arab

مواضيع متعلقة

التعليقات مغلقة