بررسی انواع حمله به شبکه های کامپیوتری
چکیده
شبکه های کامپیوتری زیرساخت های لازم را برای به اشتراک گذاشتن منابع در سازمان و موسسات مختلف فراهم می آورند؛ در صورتی که این زیر ساخت ها به درستی طراحی نشوند ، در زمان استفاده از شبکه مشکلات متفاوتی پیش آمده وباید هزینه های زیادی به منظور نگهداری شبکه و تطبیق آن با خواسته های مورد نظر صرف شود. برای پیشگیری ، شناسایی ، برخورد سریع و توقف حملات، می بایست در مرحله اول قادر به تشخیص و شناسایی زمان و موقعیت بروز یک تهاجم بوده و چگونه در سریع ترین زمان ممکن با آن برخورد کرده و آن را متوقف نماییم تا میزان صدمات و آسیب به منابع اطلاعاتی سازمان به حداقل مقدار خود برسد. شناسایی نوع حملات و نحوه پیاده سازی یک سیستم حفاطتی مطمئن در مقابل آنان یکی از وظایف مهم کارشناسان امنیت اطلاعات شبکه ها کامپیوتری است. شناخت دشمن و آگاهی از روش های تهاجم وی، احتمال موفقیت ما را در رویارویی با آنان افزایش خواهد داد. بنابراین لازم است با انواع حملات و تهاجماتی که تاکنون متوجه شبکه های کامپیوتری شده ، بیشتر آشنا شویم و از این رهگذر تجاربی ارزشمند را کسب کنیم تا در آینده بتوانیم از آن بهره مند شویم.
کلیدواژه ها: شبکه های کامپیوتری ، حمله و نفوذ به شبکه ، امنیت شبکه
1-مقدمه
يكي از مهمترين مشغله هاي کارشناسان امنيت شبكه مقابله با نفوذگران مي باشد . بنابراين کشف راه هاي نفوذ به شبكه بايد همواره مورد توجه مسئولان شبكه هاي کامپيوتري قرار بگيرد. يك مسئول شبكه و حتي يك کاربر ساده بايد با راه هاي نفوذ به شبكه آشنا باشد تا با بستن و کنترل اين راهها شبكه يا سيستم موردنظر را از حملات هكرها محفوظ بدارد. حمله به شبکه را می توان از دیدگاه های متفاوت بررسی کرد و آن را در دسته های متفاوت دسته بندی کرد. یک کارشناش شبکه باید به انواع دید نسبت حملات اشراف کامل داشته باشد و از انواع دسته بندی های آنها و میزان خطری که برای شبکه می توانند داشته باشند ، آگاهی کامل داشته باشد. مهم تر از آن توانایی مقابله با حملات در زمان مناسب است تا سیستم کمترین ضربه ممکن را ببیند . هرگونه تلاش به منطور دستیابی به اطلاعاتی که اجازه دسترسی به آنها را نداریم حمله محسوب می شود و به کسی که اینکار را انجام می دهد نفوذگر یا هکر گفته می شود. لازم به ذکر است که همه ی هکرها شرور نیستند؛بلکه وجود بعضی از آنها برای ارتقای امنیت سیستم ها لازم وضروری است. برای جلوگیری از حمله ، آگاه شدن از حمله و مقابله با حمله در هنگام مواجه شدن با آن نرم افزار هایی وجود دارد که می توانیم از آنها استفاده کنیم و برای امن کردن شبکه از آنها بهره ببریم.
2-دسته بندی نفوذگرها
در اواخر دهه 80 هكرها را بر اساس فعاليتهايشان دسته بندي کردند:
(White Hacker Group) 2-1- نفوذ گران گروه کلاه سفید
اين گروه در واقع دانشجويان و اساتيدي هستند که هدفشان نشان دادن ضعف سيستم هاي امنيتي شبكه هاي کامپيوتري ميباشد. اين گروه به هكرهاي خوب معروفند که در تحكيم ديواره حفاظتي شبك ههاي نقش اساسي دارند.
(Black Hacker Grpoup) نفوذ گران گروه کلاه سیاه 2-2-
اين گروه خرا بکارانه ترين نوع هكرها هستند و به cracker ها معروف هستند. کلاه سياه ها اغلب ويروس نويسند و با ارسال ويروس نوشته شده خود بر روي سيستم قرباني به آن نفوذ مي کنند.
(Gray Hat Haker Group) 2-3- نفوذ گران گروه کلاه خاکستری
نام ديگر اين گروه واکرها است ."whacker" هدف اصلي واکرها استفاده از اطلاعات ساير کامپيوترها به مقاصد مختلف مي باشد. در صورتي که با نفوذ به شبكه صدمه اي به کامپيوترها وارد نمي کنند.
(Pink Hat Haker Group) نفوذ گران گروه کلاه صورتی 2-4-
اين گروه افراد بی سوادي هستند که فقط قادرند به وسيله نر مافزارهاي ديگران در سيستمها اختلال به وجود بياورند و مزاجمت ايجاد کنند. به اين افراد Booter گفته مي شود. [3,4]
3- انواع حمله:
3-1-مجاور:
این نوع حملات توسط افرادی که در نزدیکی سیستم ها قرار دارند و با استفاده از تسهیلات موجود در شبکه جهت نیل به اهدافی نطیر تغییر و جمع آوری اطلاعات صورت می گیرد.
3-2-خودی:
حملات خودی میتواند به صورت مخرب ویا غیر مخرب جلوه کند. حلات مخرب این گروه شامل استراق السمع تعمدی ، سرقت و یا آسیب رساندن به اطلاعات و یا رد درخواست ارتباط کاربران تایید شده می باشد و حملات غیر مخرب آنها عموما به دلیل سهل انگاری و حواس پرتی ، فقدان دانش لازم و یا سرپیچی از سیاست های امنیتی تعیین شده می باشد.
3-3-توزیعی:
حملاتی از این نوع شامل کدهای مخربی است که درزمان تغییر سخت افزار و یا نرم افزار و یا در زمان توزیع آنها ( سخت افزار – نرم افزار ) اتفاق می افتد.این حملات می توانند کد های مخربی را در بطن یک محصول جاسازی نموده و همانندیک تروجان که امکان دستیابی غیر مجاز به اطلاعات وعملیات سیستم را برای نفوذگران فراهم می نماید ، عمل کنند.
3-4-فعال:
این نوع حملات شامل تلاش در جهت خنثی نمودن وحذف ابزارهای امنیتی ، فعال نمودن کدهای مخرب ، سرقت یا تغییر اطلاعات می باشد.پیامد این نوع حملات : افشای اطلاعات،عدم پذیرش سرویس و یا تغییر ازطلاعات موجود می باشد.
3-5-غیر فعال:
این نوع حملات شامل آنالیز ترافیک ، شنود ارتباطات رمزنگاری نشده ، رمزگشایی ترافیکی که به صورت ضعیفی رمزگذاری شده و در ادامه آن بدست آوردن اطلاعات مهمی چون رمز عبور کاربران می باشد.[2]
4-انواع حملات هکرها با توجه به تاثیر گذاری:
- حمله از نوع دستکاری اطلاعات Modification :
به این معنی که هکر در حین انتقال اطلاعات به مقصد آنها را مطابق خواسته خود تغییر داده و به کاربر میفرستد و کاربر بدون اطلاع از تغییر آنها را مورد استفاده قرار میدهد.
- حمله از نوع افزودن اطلاعات Farication :
در این نوع از حمله هکر به جای تغییر دادن اطلاعات، اطلاعات جدیدی را به آن می افزاید مانند یک ویروس جهت اقدامات بعدی.
- حمله از نوع استراق سمع Interception :
در این نوع حمله هکر فقط به اطلاعات در حین تبادل گوش میدهد و در صورت لزوم از آن نسخه برداری میکند.
- حمله از نوع وقفه Interruption:
در این نوع حمله هکر با ایجاد اختلال در شبکه و وقفه در انتقال اطلاعات برای خود فرصت لازم جهت اقدامات بعدی را فراهم می آورد. [2,3,4]
5-انواع حملات شبکه اي با توجه به طريقه حمله
يک نفوذ به شبکه معمولا يک حمله قلمداد مي شود. حملات شبکه اي را مي توان بسته به چگونگي انجام آن به دو گروه اصلي تقسيم کرد.
5-1-حملات از کار انداختن سرويس:
در اين نوع حملات، هکر استفاده از سرويس ارائه شده توسط ارائه کننده خدمات براي کاربرانش را مختل مي کند. در اين حملات حجم بالايي از درخواست ارائه خدمات به سرور فرستاده مي شود تا امکان خدمات رساني را از آن بگيرد.
5-2-حملات دسترسي به شبکه:
در اين نوع از حملات، نفوذگر امکان دسترسي غيرمجاز به منابع شبکه را پيدا مي کند و از اين امکان براي انجام فعاليتهاي غيرمجاز و حتي غيرقانوني استفاده مي کند. دسترسي به شبکه را مي توان به دو گروه تقسيم کرد:
5-2-1-دسترسي به داده:
در اين نوع دسترسي، نفوذگر به داده موجود بر روي اجزاء شبکه دسترسي غيرمجاز پيدا مي کند.
5-2-2-دسترسي به سيستم :
اين نوع حمله خطرناکتر و بدتر است و طي آن حمله کننده به منابع سيستم و دستگاهها دسترسي پيدا مي کند. اين دسترسي مي تواند شامل اجراي برنامه ها بر روي سيستم و به کار گيري منابع آن در جهت اجراي دستورات حمله کننده باشد[1].
6-راه های نفوذ
- حمله از طریق IP : در این روش ابتدا هکر به روشهای مختلف IP سرویس دهنده ( ایستگاه وب، ISP و .. ) را بدست می آورد. این کار با پیدا کردن نقشه ی شبکه راحتتر است. سپس هکر خود را در بین سرویس دهنده و کاربر قرار میدهد و با ارسال بسته های تقلبی اطلاعات را به سرقت میبرد. [3,4]
- حمله به TCP: این حمله از متداولترین نوع حمله به سرویس دهنده ها در اینترنت می باشد. هکر در این روش ارتباط کاربر را از سرویس دهنده قطع میکند و IP خود را به جای کاربر به سرویس دهنده معرفی میکند و از این پس هر گونه تبادل اطلاعات بین سرویس دهنده و هکر صورت میگیرد. [3,4]
- Applet ها
- Cookie ها
- حمله به کلمات عبور
- حمله به برنامه های کاربردی[1,3,4]
7-حملات اینترنتی
سیستم های دفاعی در برابر حملات اینترنتی سرویس دهندگان اینترنت و صاحبان سایت ها همواره یک نگرانی دائمی در مورد نقاط ضعف و روزنه های نفوذ به سیستم ها دارند. این نفوذها با استفاده از ضعف سیستم ها صورت می پذیرد و برای دفاع در برابر آنها لازم است اطلاعات جامعی پیرامون آنها در دسترس باشد. در اینجا نگاهی اجمالی داریم بر انواع حملات اینترنتی:[4]
-1-7جلوگیری از سرویس دهی سرورها
از جمله حملاتی که وب سرورها بسیار زیاد گرفتار آنها می شوند، جلوگیری از سرویس دهی ( Denial of Service ) است. این نوع حملات بسیار رایج بوده، زیرا کاربران غیر حرفه ای نیز می توانند آنها را ایجاد کنند..
در این نوع از حملات اینترنتی، درخواست هایی جعلی از یک یا چند منبع متفاوت به سرور ارسال می شود و با حجم زیاد درخواست های تقلبی، سرور از پاسخ دهی به درخواست های واقعی عاجز می ماند[1,2,3,4].
حملات DOS
حملات DOS عمدتا زیرساخت پروتکل TCP/IP را هدف قرار می دهند و در سه نوع زیر طبقه بندی می شوند:
- حملاتی که از نواقص پیاده سازی پشته TCP/IP استفاده می کنند.
- حملاتی که از نواقص خود پروتکل TCP/IP استفاده می کنند.
- حملاتی که از روش سعی و خطا استفاده می کنند[4].
7-1-1حملات نوع اول:
از جمله حملات نوع اول می توان به Ping of Death و Teardrop اشاره کرد. در روش Ping of Death ، شخص مهاجم بسته های IP را با حجم های غیراستاندارد )خیلی بزرگ( روی شبکه می فرستد تا سرور از کار بیفتد و بتواند از پشته آسیب پذیر TCP/IP و یا سیستم عامل استفاده کند.
اما در روش حمله Teardrop ، سرور به وسیله بسته های IP که فیلدهای offset آنها همپوشانی دارند، بمباران می شود. سرور یا روتر نمی تواند این بسته ها را دور بیندازد و لذا شروع به بازسازی آنها می کند که همپوشانی فیلدها باعث بروز مشکل خواهد شد. [4]
7-1--2حملات نوع دوم:
رایج ترین حملات نوع دوم، تهاجم موسوم به SYN است.[1,4] وقتی که کامپیوتری قصد برقراری ارتباط با یک کامپیوتر راه دور را دارد، این عمل با فرآیندی موسوم به دست دهی سه مرحله ای ( Way Hand Shake 3 ) صورت می پذیرد. بدین گونه که ابتدا کامپیوتر مبدا یک بسته SYN به کامپیوتر مقصد می فرستد و کامپیوتر مقصد با دریافت بسته، یک تائیدیه ACK به مبدا می فرستد و بدین ترتیب کامپیوتر مبدا می تواند ارتباط مورد نیاز را با کامپیوتر مقصد برقرار سازد. به طور واضح مشخص است که اگر کامپیوتر راه دور گرفتار ازدحام بسته های SYN شود، باید برای هر SYN یک بسته تایید بفرستد و بدین ترتیب پهنای باند آن تلف خواهد شد. حال اگر کامپیوتر حقیقی تقاضای ایجاد ارتباط کند، به علت اشغال شدن پهنای باند، سرور امکان سرویس دهی به سایر کامپیوتر ها را نخواهد داشت.[4] .
7-1--3حملات نوع سوم:
در حملات نوع سوم شخص مهاجم با ارسال تعداد زیادی بسته های ICMP )پروتکل کنترل پیام (روتر را مملو از این بسته ها می کند و از آنجائیکه تقریبا همه وب سرورها به این نوع بسته ها پاسخ می دهند، پهنای باند به طور کلی از بین می رود و کاربران واقعی از ادامه کار عاجز می مانند و ترافیک بسیار زیادی برای همه گره های شبکه ایجاد می شود. [1,4]
7-1-4-دیگر حملات:
اما حملات اینترنتی برای ممانعت از سرویس دهی سرور ها محدود به موارد فوق نیست و تهاجماتی به صورت های زیر نیز وجود دارد:
ازدحام بسته هایUDP: در این روش شخص مهاجم بسته های بلااستفاده ای از یک پورت UDP به پورت دیگر UDP روی کامپیوتر مقصد منتقل می کند و از آنجائیکه پروتکل UDP وابسته به ارتباط نیست ( Connection Less) ، ازدحام بسته های UDP ، مشکل ساز می شود[1,4] .
بمباران سرور به وسیله نامه های الکترونیکی: ا ین روش اغلب به وسیله کاربران غیرحرفه ای استفاده می شود و در آن شخص مهاجم هزاران نامه الکترونیکی را به یک آدرس خاص می فرستد و باعث سرریز نامه ها می شود. در این روش وقتی تعداد نامه های الکترونیکی از حدمجاز سرورهای SMTP تجاوز کند، باعث از کار افتادن سرور شده و سایر کاربران ISP از ادامه کار عاجز می شوند [4].
باز شدن صفحات اینترنتی به صورت پشت سر هم :این نوع از حملات نیز به وسیله کاربران غیرحرفه ای صورت می پذیرد. در این روش مهاجمان با برنامه های کوچک به صورت تکراری بعضی از صفحات اینترنتی را مرتبا و پشت سر هم فراخوانی می کنند. این عمل نیز باعث اشغال بسیار زیاد پهنای باند سرورها می شود و کاربران دیگر را از ادامه کار باز می دارد. [4]
جلوگیری از سرویس دهی سرورهای غیرمتمرکز: این نوع از حملات از جمله رایج ترین حملات اینترنتی است که در آن هزاران یا ده ها هزار کامپیوتر آسیب خواهد دید. اغلب این حملات بدین صورت است که فایلی در کامپیوترهای آسیب دیده می نشیند و منتظر دستور فرد مهاجم می ماند، وقتی که شخص مهاجم دستور ازدحام بسته های کنترل پیام ها را می دهد، به سرعت بسته های ICMP روی کامپیوترهای مختلف پخش شده و باعث از کارافتادن کامپیوترهای راه دور می شوند[1,2,4]
8-بعضی از روش هايي که مورد استفاده خرابکاران براي ورود به کامپيوتر يا از کارانداختن آن قرارمي گيرد، بشرح ذيل مي باشد:
8-1-حملات از نوع Back door
برنامه ای است که امکان دسترسی به یک سیستم را بدوون کنترل امنیتی فراهم می نماید. برنامه نویسان معمولا چنین پتانسیل هایی را در برنامه ها پیش بینی می کنند تا امکان اشکال زدایی و ویرایش کدهای نوشته شده در زمان تست بکارگیری نرم افزار ، فراهم گردد. با نوجه به اینکه تعداد زیادی از امکانات فوق ، مستند نمی گردد، پس از اتمام مرحله تست، یه همان وصعیت باقی مانده و تهدیدات امنیتی متعددی را به دنبال خواهد داشت. [2]
8-2- برنامه هاي اسب تروا
برنامه هاي اسب تروا روشي معمول براي گول زدن شما هستند ) گاهی مهندسی اجتماعي نيز گفته مي شود ) تا برنامه هاي “درپشتي” را روي کامپيوتر شما نصب کنند. و به اين ترتيب اجازه دسترسي آسان کامپيوترتان را بدون اطلاعتان به مزاحمين مي دهند، پيکربندي سيستم شما را تغيير مي دهند، يا کامپيوترتان را با يک ويروس آلوده مي کنند.[1]
8-3- اشتراکهاي ويندوزي حفاظت نشده
اشتراکهاي شبکه ويندوزي محافظت نشده مي توانند توسط مزاحمين تحت يک روش خودکار براي قراردادن ابزارها روي تعداد زيادي از کامپيوترهاي ويندوزي متصل به اينترنت مورد سوءاستفاده قرار گيرند. از آنجا که براي امنيت سايت روي اينترنت وابستگي بين سيستمها وجود دارد، يک کامپيوتر مورد حمله قرارگرفته نه تنها مشکلاتي براي صاحبش فراهم مي کند، بلکه تهديدي براي سايتهاي ديگر روي اينترنت محسوب مي شود. [1]
8-4-پسوندهاي مخفي فايل
سيستم عاملهاي ويندوز انتخابي را در اختيار شما قرار مي دهند که “ پسوند فايلهايي که نوع آنها شناخته شده است را پنهان مي کند”. اين انتخاب بصورت پيش فرض فعال است، اما ممکن است يک کاربر اين قابليت را بمنظور به نمايش درآمدن پسوند تمام فايلها توسط ويندوزغيرفعال کند. ويروسهاي داخل ايميل از پنهان ماندن پسوند فايلهاي شناخته شده بهره برداري مي کنند. فايلهاي پيوسته به ايميلها که توسط اين ويروسها فرستاده مي شوند، ممکن است بي ضرر بنظر برسند، فايلهاي متني (.txt) ، فايلهاي تصويری (.avi or .mpg) يا ديگر انواع فايل در حاليکه در حقيقت اين فايل يک اسکريپت يا فايل اجرايي آسيب رسان است (برای مثال .vbs یا .exe ) [1]
8-5- سرويس گيرندگان چت
برنامه هاي چت اينترنتي، مانند برنامه هاي پيام رساني سريع و شبکه هاي IRC، مکانيسمي را فراهم مي کنند تا اطلاعات بصورت دوطرفه بين کامپيوترهاي متصل به اينترنت منتقل شود. برنامه هاي چت براي گروههايي از افراد، امکان مکالمه، تبادل URL و در بسياري موارد انتقال انواع فايلها را فراهم مي کنند[1].
برای امن کردن یک شبکه نیاز به سه ابزار زیر داریم:
- Firewall
- Intrusion Detection System
- Honey Pot
در یک شبکه کامپیوتری برای ایجاد موانع عبور، Firewall نصب می کنیم. برای آگاه شدن از وقوع نفوذ، IDS نصب میکنیم و برای منحرف کردن و شناسایی رفتار و روش نفوذگر، Honey Pot نصب می کنیم[4].
محسن خضری : دانشگاه کردستان - رشته مهندسی فناوری اطلاعات
مراجع
[1] غلامرضا امیریان " آشنایی با تعاریف سیستم های نرم افزاری و شبکه" جلد سه ، امنیت شبکه،واحد طراحی وارزشیابی بخش فناوری آموزشی
[2] دکتر ناصر مدیری ، مهندس مهرداد جنگجو" مهندسی امنیت شبکه های کامپیوتری "
[3]افشین عباسپور " راه های نفوذ به شبکه های کامپوتری"مقاله
[4]نرگس ترنجی زاده " شبکه های کامپیوتری و راه های نفوذ به آن" مقاله ، پاییز 1391