امنیت شبکه چیست؟
استفاده از تکنولوژی سخت افزاری و نرم افزاری جهت حفظ و سیانت از داده های و یکپارچگی شبکه در اصطلاح امنیت شبکه گفته می شود. امنیت شبکه به طور موثر به معنای انجام اقدامات لازم با هدف جلوگیری از آسیب پذیری سیستم و یا گسترش آن در شبکه است.
نحوه عملکرد چگونه است؟
در واقع فرآیند امنیت شبکه ترکیبی از چند لایه مختلف دفاع در مبادی ورودی و یا درون شبکه است که هر یک از لایه ها، خود از سیاست ها و کنترل های دسترسی مختلفی تشکیل شده اند. در این راهکار همه کاربران مجاز به دسترسی به شبکه و منابع آن هستند اما از فعالیت کاربران مخرب که فعالیت هایی پرخطر و تهدید کننده انجام می دهند جلوگیری می شود.
مزایای امنیت شبکه کدام است ؟
امروزه همه چیز با سرعت سرسام آوری به سمت دیجیتالی شدن پیش می رود ، نوع زندگی ، بازیهای رایانه ای ، فعالیت ها و کارهای افراد، یادگیری افراد در مراکز آموزشی و بسیاری از موارو دستخوش تغییر شده است. هر سازمانی برای ارائه خدمات ادامه دار به مشتریان خود، باید از شبکه خود بالاترین سطح حمایتی را داشته باشد و امنیت آن را تضمین کند تا با ایجاد شبکه ای امن خیال مشتریان را راحت کرده و به نوعی از شهرت خود دفاع کند.
آشنایی با مرکز عملیات امنیت SOC
اطمینان از محرمانگی، یکپارچگی و در دسترس بودن شبکه و اطلاعات در هر شبکه ای به ویژه شبکه های بزرگ کار بسیار مهم و برجسته ای است. امروزه شنیدن نقض امنیت سایبری سازمان ها و شرکت های بزرگ به اخبار روزمره زندگی ما تبدیل شده است و در کنار آن نقش امنیت اطلاعات هر روز پرنگ تر گشته است. برای حل مسائل امنیتی، ارائه ی راه حل های سریع و پاسخ به رخداد های امنیتی، بسیاری از سازمان ها و شرکت ها به سمت راه اندازی و استفاده از واحدی تحت عنوان SOC (Security Operations Center) حرکت کرده اند.SOC این توانایی را دارد تا با عملکرد متمرکز خود بسیاری از مخاطرات را به راحتی حل کند و راهکارهایی را برای پایبندی به سه اصل مطرح شده در ابتدای این نوشته فراهم سازد.
در این مراکز اطلاعات سازمانی درکنار سایر مراکز حساس مانند سامانه های تحت وب، پایگاه های داده، سرورها، شبکه و ... تحت نظارت مستمر و دقیق قرار خواهند گرفت و شاید بتوان گفت سه وظیفه ی اصلی یک مرکز SOC نظارت، ارزیابی و دفاع است. صرف نظر از اندازه ی سازمان معیار مهم در ارزیابی یک SOC خوب، توانایی آن در محافظت و رسیدگی به مشکلات امنیتی سازمان است.
چرا به مرکز عملیات امنیت (SOC) نیازمندیم؟
استفاده از راهکارهای امنیتی مانند استفاده از ضد ویروسهای معتبر ، دیواره آتش و غیره بدون داشتن یک مدیریت مرکزی چندان کارآمد به نظر نمیآید. در صورت مجتمع شدن گزارشات و لاگهای این راهکارهای امنیتی در یک مرکز و تحلیل آنها میتوان به تشخیص به موقع تهدیدات امنیتی و ارائه راهکار در کمترین زمان ممکن امیدوار بود. این مرکز را SOC یا همان مرکز عملیات امنیت مینامند. مرکز عملیات امنیت (SOC) مجموعهای است که تمامی فعالیتهاي ورود و خروج اطلاعات در شبکه را زیر نظر گرفته، رخدادهای امنیتی را جمعآوري و تحلیل کرده و مخاطرات امنیتی رخ داده و یا در حال وقوع را کشف نموده و با اعمال سیاستهای امنیتی بر روی بخشهای مختلف شبکه، اقدامات لازم را انجام میدهد. رصد یکپارچه و جامع امنیتی شبکه علاوه بر اینکه این امکان را فراهم میسازد تا در مقابل تهدیدات بهترین عکس العمل انجام شود، باعث میشود تا مدیران تحلیل دقیقتري از وضعیت امنیتی شبکه و میزان خطرپدیري آن داشته باشند. این روند نهایتاً منجر به اصلاح روشها، سیاستها و راهکارهای امنیتی خواهد شد.
یک تیم SOC در درجه ی اول از تحلیلگران امنیتی برای شناسایی، تجزیه و تحلیل، گزارش گیری، پاسخ و جلوگیری از حملات سایبری تشکیل می شود. شاید همین جمله ی قبل نشان از اهمیت وجود این تیم در سازمان دارد.
برای تعیین ماهیت حملات، تیم پاسخ به رخداد های SOC اغلب در حال تجزیه و تحلیل و تحقیقات قانونی بروی شواهدی مانند کپی اطلاعات هارد دیسک ها، مهندسی معکوس بدافزارها و جمع آوری اطلاعاتی است که می تواند در محیط کاملا عملیاتی به کار گرفته شوند. شواهد قانونی باید به شیوه ای دقیق و کارآمد دسته بندی و جمع آوری شوند تا بتوان در زمان هایی مانند بررسی دقیق رویداد های قبلی از آنها به دفعات استفاده کرد بطوری که به اصل اطلاعات کشف شده در یک روند واقعی لطمه ای وارد نشود.
هنگامی که نشانه های از یک حمله مطابق با الگوهای از پیش تعریف شده در سیستم های تشخیص نفوذ (IDS) دیده می شود، حمله ممکن است در همان نقاط اولیه به کمک سیستم جلوگیری از نفوذ شبکه (NIPS) و یا به وسیله ی سیستم جلوگیری از نفوذ میزبان (HIPS) با تمهیدات دفاعی لازم روبرو شود. در حالی که اگر این حملات با الگوی رفتاری پیچیده تر پیاده سازی می شد به سادگی به مقصود خود می رسید و دلیل آن تنها یک مطلب است فقدان تجزیه و تحلیل حملات و بروز رسانی پایگاه دانش سیستم های مورد استفاده در فاز شناسایی و جلوگیری از حملات.
مزایای پیاده سازی مرکز عملیات امنیت SOC
- مدیریت تهدید (Threat Management): این قابلیت باعث می شود حملات و رخدادهای امنیتی بصورت مرکزی مدیریت شده و بصورت هوشمندانه ای بر روی آنها کنترل صورت گیرد و امکان تحلیل تهدیداتی که در شبکه وجود دارد با استفاده از گزارشات میسر باشد.
- تشخیص آسیب پذیری (Vulnerability Assessment): یکی از بهترین روش های جلوگیری از حملات در شبکه، تشخیص نقاط آسیب پذیر، قبل از وقوع رخداد است.
- مدیریت تجهیزات امنیتی (Security Device management): این قابلیت باعث می شود برای انجام تنظیمات بر روی تجهیزات امنیتی داخل شبکه، نیاز به مراجعه به بخش های دیگر نبوده و تمامی تنظیمات بر روی نرم افزارها و سخت افزارهای موجود در شبکه به صورت مرکزی قابل انجام باشد.
- نمایشگر لحظه ای وضعیت امنیت شبکه (Online Security Dashboard): وضعیت رخدادها و خروجی بخش های اصلی SOC را نمایش می دهد تا نیروهای فنی بتوانند به صورت لحظه ای از تمامی وقایع در شبکه اطلاع یابند.
- سیستم پیگیری مشکلات (Trouble Ticket System): بعد از پیاده سازی SOC یکی از قابلیت هایی که ایجاد می شود، سیستم رهگیری مشکلات توسط تجهیزات مرکز عملیات است، به این صورت که بعد از وقوع رخداد در شبکه، سیستم این مشکل را به شخص تعریف شده ای اختصاص می دهد و شماره ای را برای آن ثبت می نماید تا هر زمان که یکی از مسئولین خواست مشکلات را پیگیری نماید، بتواند از روی شماره های ایجاد شده مراحل رفع مشکل را بررسی کند.
- سیستم اعلام گزارش (Reporting System): این قابلیت باعث می شود که گزارشاتی از عملکرد شبکه و اتفاقاتی که در آن در حال رخداد می باشند، ایجاد شده و در اختیار مسئولین و مدیران شبکه قرار گیرد. همچنین قابلیتی ایجاد می شود که در هر زمان نیاز باشد، بتوان در تاریخ های مورد نظر گزارشی را تهیه کرد.
کارهای اصلی که SOC برای سازمان شما انجام خواهد داد
کارهایی که مرکز عملیات امنیت برای سازمان شما انجام خواهد داد به چهار دسته اصلی تقسیم میگردد:
- محافظت فعالانه و شبانهروزی از شبکه
- مدیریت آسیبپذیری
- مدیریت لاگهای تولید شده توسط راهکارهای امنیتی
- آگاهی بلادرنگ از تهدیدات امنیتی
ارکان اصلی مرکز عملیات امنیت
حسگرهای شبکه
حسگرها در SOC منابع جمعآوری رخدادهای امنیتی میباشند. از جمله حسگرهای مهم و معمول جهت جمع آوری رخدادها میتوان به IDS ها، IPSها، فایروالها، تجهیزات شبکه شامل سوئیچها و مسیریابها، سیستم عاملها، سرویسهای اینترنت و ضد بدافزارها اشاره نمود.
IDSها بستههای عبوری از شبکه را شنود کرده و با تحلیل بستههای شنود شده براساس الگوی حملات شناخته شده و یکسری قواعد، برخی از حملات، تهدیدها و وضعیت غیر عادی در شبکه را کشف و نتایج را به صورت رخدادهایی ثبت میکند. یک IDS، روزانه حجم زیادی از رخدادها را تولید میکند. به عنوان مثال، در یک مرکز داده ممکن است به طور متوسط روزانه چندین میلیون رخداد توسط IDS تولید گردد، که بخش عمده آنها بلااستفاده میباشد. بررسی این حجم عظیم رویدادهای تولید شده توسط IDS ها و کشف حملات و تهدیدهای واقعی از چالشهای بزرگ مدیریت امنیتی میباشد.
فایروالها براساس قواعد و سیاستهای امنیتی تعریف شده به پایش بستههای شبکه به منظور کنترل دسترسی به منابع میپردازند. این دستگاهها رخدادهای مربوط به پایش ترافیک شبکه را ثبت میکنند. این رخدادها یکی از منابع مهم جمع آوری داده در SOC میباشند. البته امروزه به دلیل پیچیده شدن روشهای حملات، مهاجمان فایروالها را دور میزنند. با این حال اطلاعات ثبت شده توسط این تجهیزات هنگامی که در کنار سایر اطلاعات قرار گرفته و تحلیل میشود، به کشف حملات توسط SOC کمک میکند.
سیستم عاملها و نرم افزارهای مختلف نصب شده بر روی کارگزارها انواع مختلفی از رخدادها را تولید میکنند. اطلاعات مربوط به دسترسی کاربران به منابع، احراز هویت کاربران، تغییرات پیکربندی، خطاهای رخ داده و غیره، توسط این منابع ثبت میشوند.
جمع آوری رخدادهای امنیتی از حسگرها توسط واحد LOG GENERATOR سامانه انجام میشود. بطورکلی این واحد رخدادها را از منابع مختلف و با استفاده از روشها و پروتکلهای مربوطه جمع آوری و پس از انجام عمل پیش پردازش و پایش، آنها را در بانک اطلاعاتی رخدادها ذخیره میکند. از آنجا که رخدادهای مربوط به حسگرهای مختلف دارای قالبهای متفاوتی هستند، قبل از ذخیره شدن توسط واحد تجمیع رخدادها به قالب یکسانی تبدیل میشوند.
تحلیلگر SOC
هر یک از سامانههای یک زیرساخت اطلاعاتی، روزانه حجم بسیار زیادی از رخدادها را تولید میکند که لزوماً تمامی آنها به طور مستقیم یا غیر مستقیم مربوط به مسائل امنیتی نمیشوند. با افزایش تعداد کارگزارها، خدمات و در نتیجه ترافیک شبکه، بررسی بی درنگ رخدادهای تولید شده توسط نیروی انسانی غیرممکن میشود. تنها راه حل پیشِرو، انتقال دانش و مهارتهای کارشناسان امنیتی خبره به یک برنامۀ هوشمند است که بتواند با تحلیل گزارشها و رخدادهای دریافتی از اجزای موجود، اقدام به تشخیص حملات و تهدیدها و یا خلاصه کردن رخدادها نمایند، همچنین در صورت تشخیص هر نوع حملۀ احتمالی بتواند نسبت به آن واکنش مناسب نشان دهد. این واکنش بسته به شرایط، ممکن است تغییر در پیکربندی یک فایروال یا مسیریاب، از کار انداختن موقت یک یا چند سامانه و یا سرویس و یا ارسال اعلان خطر از طریق روشهای ارتباطی تعبیه شده در سامانه (مانند پست الکترونیک، پیامک، ارتباط تلفنی، اخطار صوتی و ….) باشد.
واحد تحلیل و Correlation رخدادها در مرکز عملیات امنیت، وظیفه آنالیز رخدادهای جمع آوری شده از سراسر زیرساخت اطلاعاتی را بر عهده دارد. تحلیل رخدادها به منظور کشف تهدیدها، بر اساس اطلاعاتی است که در پایگاه دانش ذخیره و نگهداری میشود.
روشها و الگوریتمهای آنالیز رخدادها و تشخیص حملات در حال حاضر از موضوعات روز تحقیقاتی در سراسر دنیا میباشد از آنجا که هر کدام از الگورتیمهای تحلیل و Correlation دستههای خاصی از حملات را تشخیص میدهند، باید ماژولهای متعددی جهت آنالیز رخداد در SOC طراحی و پیادهسازی گردند. سامانه SOC باید همواره امکان اضافه کردن ماژول جدید تحلیل را به سهولت فراهم نماید.
زیرسامانه دیگری در واحد تحلیل رخدادها وجود دارد که وظیفه واکنش به رویدادهای تولید شده را بر عهده خواهد داشت. این زیر سامانه نسبت به برخی از رویدادهای امنیتی کشف شده توسط موتورهای تحلیل، درصورت اضطرار و بر اساس قواعد واکنش تعریف شده در SOC واکنش های لازم را انجام میدهد.
پورتال و کنسول
یکی از مهمترین قسمتهای سامانه، بخش داشبورد و کنسول که از طریق آن میتوان با ماشینها و تنظیمات مختلف دسترسی پیدا کرد و همچنین بتوان نتایج حاصل از عملیات انجام گرفته بر روی لاگها و رخدادها را مشاهده نمود.
قلب SOC
ابزار SIEM (Security Information and Event Management)، به عنوان قلب یک مرکز عملیات امنیت است.
بخشهای اصلی SIEM
- تولید کننده وقایع (Event Generator) این ماژول، شامل تمامی تجهیزات امنیتی (سخت افزاری و نرم افزاری) که در بخشهای مختلف شبکه قرار گرفتهاند و وقایع امنیتی را شناسایی و برای تجهیزات مربوط به ماژول Event Collector ارسال مینمایند.
- جمع کننده وقایع (Event Collector) این ماژول، شامل تجهیزاتی است که مسئول دریافت وقایع از تجهیزات داخل شبکه یا تولید کنندههای وقایع میباشند که بعد از دسته بندی برای ماژولهای دیگر ارسال میشود.
- پایگاه داده وقایع (Event Database )این ماژول شامل پایگاه دادههایی می باشد که بعد از دریافت اطلاعات از جمع کننده وقایع، آنها را ذخیره کرده و در اختیار ماژولهای دیگر قرار میدهد.
- تحلیلگر وقایع (Event Analysis) این ماژول شامل تجهیزاتی میباشد که بعد از ثبت وقایع در پایگاه داده، آنها را آنالیز و بررسی کرده و نتیجه آن را در اختیار ماژولهای دیگر قرار میدهد. این تحلیل میتواند منجر به شناسایی رخداد در شبکه شده که با ارائه آن به ماژول واکنش دهنده از بروز رخداد جلوگیری نماید.
- واکنش دهنده وقایع (Event Reaction) این ماژول در صورت تشخیص رخداد توسط تحلیلگر وقایع، میتواند به تجهیزات امنیتی فرمان داده و از عبور ترافیک مخرب در شبکه جلوگیری نماید.
- گزارش دهنده وقایع (Event Reporting) این ماژول به منظور ارائه گزارش رخدادهای صورت گرفته در شبکه به مدیران شبکه و یا اپراتورهای بخش SOC میباشد. اطلاعات رخدادها توسط ماژول تحلیلگر، شناسایی گشته و توسط ماژول گزارش، اعلام خواهند شد.
منابع شبکه
در یک شبکه مدرن منابع بسیاری جهت محافظت وجود دارند. لیست ذیل مجموعه ای از منابع شبکه را معرفی می کند که باید در مقابل انواع حمله ها مورد حفاظت قرار گیرند
- تجهیزات شبکه مانند روترها، سوئیچ ها و فایروالها
- اطلاعات عملیات شبکه مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده
- منابع نامحسوس شبکه مانند عرض باند و سرعت
- اطلاعات و منابع اطلاعاتی متصل به شبکه مانند پایگاه های داده و سرورهای اطلاعاتی
- ترمینالهایی که برای استفاده از منابع مختلف به شبکه متصل می شوند.
- اطلاعات در حال تبادل بر روی شبکه در هر لحظه از زمان
- خصوصی نگهداشتن عملیات کاربرن و استفاده آنها از منابع شبکه جهت جلوگیری از شناسایی کاربران
- مجموعه فوق به عنوان دارایی های یک شبکه قلمداد می شود
انواع تهدیدات و حملات به شبکه های کامپیوتری
نرم افزارهای مخرب
Malware به معنای نرم افزار مخرب یا بدافزار است كه بدون اطلاع كاربران بر روي كامپيوترها و دستگاه هاي هوشمند نصب مي شود كه عامل اصلي توقف اجراي برنامه ها به شمار مي آيد و هكرها از آن براي انجام فعاليت هاي مجرمانه استفاده مي كنند. به عنوان مثال كاربران را تشويق به كليك بر روي لينك هايي كه حاوي نرم افزارهاي مخرب است مي كنند. اين نرم افزارها در سيستم هايي كه از نظر امنيتي در سطح پاييني هستند اجرا مي شوند که از راه های مقابله با آنها می توان به موارد زیر اشاره کرد:
از اطلاعات خود مرتباً بك آپ تهيه نماييد.
دانلودهاي ناخواسته را به حداقل برسانيد.
نرم افزارهاي امنيتي خود را مكرراً آپديت كنيد.
نرم افزارهاي مورد نياز خود را از سايت هاي مطمئن دانلود و نصب كنيد.
یك نرم افزارضدجاسوسي و فايروال مجزا بر روي سيستم خود نصب كنيد.
بر روي فايل هاي پيوست شده در ايميل ها كه از طرف اشخاص ناشناس ارسال شده كليك نكنيد.
و...
ویروسها
ویروس کامپیوتری، نرم افزاری است که دائما از خود کپی میگیرد و آنها را در فایلها و برنامههای دیگر قرار میدهد. این فایلها پس از وارد شدن به کامپیوتر اقدامات غیرمنتظرهای انجام میدهند. با وجود این که همه ویروسها خطرناک نیستند، ولی بسیاری از آنها با هدف تخریب انواع مشخصی از فایلها، برنامههای کاربردی یا سیستم عامل نوشته شدهاند. ویروسها هم مشابه همه برنامههای دیگر از منابع سیستم مانند حافظه و فضای دیسک سخت، توان پردازنده مرکزی و سایر منابع بهره میگیرند و میتوانند اعمال خطرناکی را انجام دهند؛ به عنوان مثال فایلهای روی دیسک را پاک کرده و یا کل دیسک سخت را فرمت کنند. همچنین یک ویروس میتواند مجوز دسترسی به دستگاه را از طریق شبکه و بدون احراز هویت فراهم کند. ویروس همیشه خود را به یک فایل اجرایی یا فایلی که طراحی شده تا با برنامهای خاص باز شود، وصل میکند. او همیشه برای فعال شدن نیاز به اجرا شدن برنامه میزبانش دارد و اگر این اتفاق نیفتد، ویروس همیشه خفته خواهد ماند. هنگامی که برنامه میزبان اجرا شود، ویروس هم کار خود را شروع میکند. ویروسها ممکن است برخی مواقع اثرات منفی و ناخواستهای داشته باشند. آنها میتوانند به گونهای به نرم افزارها آسیب برسانند که دیگر درست اجرا نشوند، فایلها را پاک میکنند و حتی ممکن است کاری کنند تا کامپیوتر دچار نقص فنی شده، آهسته کار کرده یا کرش کند، حتی باعث میشود تا سیستم به طور تصادفی از اول راه اندازی شود.
آنتی ویروسها هنگام اجرا یا دانلود فایل آسیب دیده، میتوانند ویروس را شناسایی و حذف کنند. معمولا آنتی ویروسها ابتدا محتوای رم و هارد دیسک را کاملا بررسی میکنند و سپس آن را با دیتابیس الگوریتمها و هشها مقایسه میکنند و هر کدام که به نوعی منحصر به فرد باشد به عنوان ویروس شناسایی میشود. برخی از آنتی ویروسها ممکن است فایلهای باز و حتی فایلهایی را که توسط ایمیل فرستاده میشوند چک کنند. باید برای تشخیص ویروسهای جدید آنتی ویروسها را مرتبا به روز رسانی کرد
ابزارهای تبلیغاتی Adware
این ابزارها به عنوان ابزارهای تبلیغاتی مزاحم شناخته میشوند که توسط هکرهای آنلاین برای به دست آوردن غیر قانونی پول زیاد توسعه مییابند. این ابزارهای تبلیغاتی مزاحم معمولا همراه با نرم افزارهای رایگان کاربران را وادار میکنند تا آنها را از وبسایتهای مشکوک دانلود کنند. زمانی که کاربر در حال گشت و گذار در اینترنت است، تعدا زیادی از پاپآپها، لینکها و دیگر تبلیغات مزاحم نمایش داده میشود. این ابزارها برای کاربران بسیار آزاردهنده هستند، زیرا لینکهای موجود در این تبلیغات آلوده هستند. به واسطهی کلیک روی این تبلیغات، کاربر به سایت دیگری هدایت شده و کامپیوتر در معرض خطر قرار میگیرد. این ابزارهای تبلیغاتی مزاحم و زننده، ترافیک وب کاربر را جمع آوری کرده و آنها را برای دیگر وبسایتهای مشکوک منتقل میکنند. همیشه تبلیغات و مزاحمهای اینترنتی در کامپیوترها باعث نارضایتی کاربران میشود، گاهی میتوان از نصب آنها جلوگیری کرد ولی در بعضی موارد به صورت خودکار نصب میشوند و ایجاد مزاحمتها و نارضایتی فراوان میکنند، از این دسته میتوان به انواع نوار ابزارها اشاره کرد که اکثرا هنگام نصب نرم افزارها همراه با برنامه روی ویندوز نصب میشوند و گاهی بسیاری از تنظیمات را نیز تغییر میدهند، مانند موتور جستجو یا صفحه خانگی.
تروجان و دربهای پشتی
- تروجان کنترل دسترسی «RTA»: برای فراهم کردن دسترسی مهاجمان به کنترل کامل سیستم کامپیوتر قربانی، طراحی شده است.
- تروجان مخرب: این نوع از تروجانها برای تخریب و حذف فایلها طراحی شدهاند و از این جهت بسیار شبیه به ویروسها هستند. آنها اغلب با نرم افزارهای آنتی ویروس قابل ردیابی نیستند.
- تروجانهای پراکسی: این نوع از تروجانها برای تخریب برنامههای کامپیوتر قربانی، به عنوان پراکسی سرور، طراحی شدهاند. ورود تروجانها از این طریق اجازۀ هر عملی را در کامپیوتر شما، به مهاجمان میدهد، از جمله: کلاهبرداری از کارتهای اعتباری و فعالیتهای غیر قانونی و حتی استفاده از کامپیوتر شما برای فرستادن حملههای خطرناک به دیگر کامپیوترهای شبکه.
- تروجانهای FTP: این تروجانها پورت ۲۱ کامپیوتر شما را باز میگذارند و به مهاجمان اجازه اتصال به کامپیوتر شما و استفاده از FTP را میدهند.
- تروجان مخرب نرم افزارهای امنیتی: این تروجانها، نرم افزار امنیتی کامپیوتر، مانند آنتی ویروسها یا دیوارهای آتش را بدون اینکه شما متوجه شوید، متوقف میکنند یا از بین میبرند. این نوع از تروجان اغلب با دیگر انواع تروجان ترکیب میشوند و آثار بسیار مخربی دارند.
دربهای پشتی همان گونه که از نام آن معلوم است یک راه نفوذ پیش بینی نشده برای ورود غیر مجاز ایجاد میکنند. درپشتی نوعی بدافزار است که به ظاهر برنامهای ساده و سالم است ولی در شرایطی خاص زمینه ورود و دسترسی مهاجمان به دادههای سیستمی را که روی آن نصب شده است مهیا میکند. درهای پشتی به سه دسته فعال، غیرفعال و حمله بنیان تقسیم میشوند: درهای پشتی را که منتظر رسیدن دستورات از طریق درگاهها میشوند غیرفعال مینامند. درهای پشتی فعال خودشان آغازگر ارتباط با میزبانهای دیگر هستند. درهای پشتی حملهبنیان به درهایی گفته میشود که با استفاده از حملهای مبتنی بر کدهای مخرب به دسترسیهای لازم میرسند. برای جلوگیری از این نوع آسیب پذیری موارد زیر را رعایت کنید:
- هرگز پیوست ایمیلهای دریافتی را از سوی کاربران ناشناس باز نکنید.
- در بسیاری از وبسایتها کلیدهایی با عنوان دانلود در نزدیکی لینکهای واقعی دانلود وجود دارد. حتما قبل از کلیک کردن روی آنها از هدف آن لینکها، با نگه داشتن ماوس و مشاهده آدرسی که با کلیک کردن به آن هدایت خواهید شد، مطمئن شوید.
- از نصب نرم افزارهای ناشناخته و نرم افزارهایی که نیاز ندارید خودداری کنید و در صورت نیاز به نرم افزار جدید حتما از منابع تایید شده مانند وبسایتهای رسمی تولید کننده نرم افزار یا وبسایتهای شناخته شده در زمینه معرفی نرم افزارها، سورس آنها را تهیه کنید و در صورت ناآگاهی با اشخاص مطلع مشورت کنید.
نرم افزارهای جاسوسی
Spyware نرم افزاری است که اقدام به جمع آوری اطلاعات شخصی بدون آگاهی و یا اجازه کاربران میکند. برخی از برنامههای Spyware، قادر به ردیابی و تشخیص اطلاعات تایپ شده از طریق صفحه کلید نیز هستند. با توجه به انجام پردازشهای اضافی توسط اینگونه نرم افزارها، سیستمهای کاربران کند و کارآیی آنان به طرز محسوسی کاهش خواهد یافت. در صورت دریافت موزیک از طریق برنامههای اشتراک فایل، بازیهای رایگان از سایتهای ناامن یا سایر نرم افزارها از منابع ناشناخته، شرایط لازم به منظور نصب این گونه نرم افزارها و در نهایت آلودگی سیستم فراهم میشود. نرمافزارهای جاسوسی، برنامه کامپیوتری است که اطلاعات شما را بطور پنهانی جمعآوری و آنها را در اختیار تبلیغکنندگان یا هر کسی که میتواند از این اطلاعات استفاده قرار میدهد. نوع اطلاعاتی که از کامپیوتر شما جمعآوری میشود متفاوت است. بعضی نرمافزارهای جاسوسی فقط اطلاعات سیستمی شما را جمع میکنند و بعضی از نرمافزارهای جاسوسی اطلاعات شخصی را جمعآوری میکنند، مثلا ردگیری عادات و علایق شما در هنگام کار با اینترنت یا گاهی بدتر، با فایلهای شخصی شما سروکار دارند. از این اطلاعات برای مقاصد مختلف استفاده میشود.
ترسافزار
scareware یا ترس افزار برنامهی کامپیوتری است که به عنوان بدافزار شناخته میشود. این بدافزار برای آسیب زدن یا مختل کردن یک سیستم کامپیوتری طراحی میشود. به بیان دقیقتر نه تنها به سیستم کاربر آسیب میزند بلکه او را میترساند و مجبور میکند که با استفاده از کارت اعتباری خود خرید انجام دهد. Scareware معمولا با استفاده از یک سری ترفند، کاری میکند که کاربر تصور کند سیستمش به یک ویروس کامپیوتری یا دیگر برنامههای مخرب آلوده شده است و تنها برنامه scareware است که میتواند آن را پاکسازی کند. به محض اینکه کاربر این برنامه را دانلود و نصب کرد ممکن است برنامه مخرب دیگری نیز همزمان روی کامپیوتر نصب شود که میتواند اطلاعات شخصی کاربر را برباید یا به سیستم کاربر از راه دور دسترسی داشته باشد و از این طریق حملات دیگری را اجرا کند. اما ممکن است هدف بدافزار تنها واریز پول به حساب تولید کننده آن از طریق خرید یک برنامه ضد ویروس یا برنامه افزایش کارایی سیستم یا دیگر برنامههای قانونی باشد. در مجموع میتوان گفت scareware با ترساندن کاربر او را مجبور میکند تا برنامه ی مخربی را روی سیستمش نصب کند یا با پرداخت هزینه نرم افزار خاصی را بخرد.
کرمها
كرم هاي كامپيوتري نوعي از بدافزارها هستند كه بوسيله شبكه هاي كامپيوتري كپي هايي از خودشان را براي ديگران ارسال مي كنند. تفاوت كرم ها با ويروس ها در اين است كه ويروس ها با متصل شدن به برنامه هاي ديگر تكثير مي شوند اما كرم ها بدون نياز به برنامه هاي ديگر خود را تكثير كرده و جابجا مي شوند.جدي ترين آسيب كرم ها آسيبي است كه به شبكه وارد مي كنند. به عنوان مثال با تكثير خود از كامپيوتري به كامپيوتر ديگر و پر كردن هارد ديسك و مصرف كردن پهناي باند شبكه مشكلات جدي را به بار مي آورند.
در آخر اين مورد را در نظر داشته باشيد كه بسياري از تهديدهاي كامپيوتري نيز وجود دارند كه شناخته نشده اند و يا ممكن است در صورت شناسايي تركيبي از چند نوع بدافزار باشند. همچنين شناسايي بدافزارها عمليات ساده اي نيست و ممكن است ماه ها به طول انجامد كه با اين تفاسير مي بايست سيستم عامل ها مكرراً به روز رساني شوند. در هرحال اگر شك دارید كه سيستم شما به نوعي از بدافزارها آلوده شده از خريدهاي اينترنتي كه نياز به وارد كردن اطلاعات مهم و شخصي شما دارند اجتناب كنيد و در اسرع وقت آنتي ويروس خود را آپديت كنيد.
فیسبوک و تلگرام
امروزه امنیت کامپیوترهای شخصی و شبکهها از جمله موضوعاتی است که کانون توجه تمامی کاربران و حتی موسسات قرار گرفته است. در یک شبکه کامپیوتری و کامپیوترهای شخصی، سرویسها و پروتکلهای متعددی نصب و پیکربندی میشود. در همین راستا، آشنایی با انواع حملات و تهدیدهای شبکه کمک بسیاری برای ایمن سازی سیستمها خواهد کرد.
در ادامه مقاله در مورد انواع حملاتی که می تواند از طرف هکر ها رخ دهد و امنیت شبکه را دچار اختلال کند سخن خواهیم گفت:
|
انواع حملات
|
|
Distributed Denial of Service (DDoS)
|
|
Back Door
|
Spoofing
|
|
Man in the Middle
|
Replay
|
|
TCP/IP Hijacking
|
Weak Keys
|
|
Mathematical
|
Password Guessing
|
|
Brute Force
|
Dictionary
|
|
Birthday
|
Software Exploitation
|
|
Malicious Code
|
Viruses
|
|
Virus Hoaxes
|
Trojan Horses
|
|
Logic Bombs
|
Worms
|
|
Social Engineering
|
System Scanning
|
| |
|
حملات خارج کردن از سرویس یا Denial Of Service و حملات خارج کردن از سرویس توزیع شده یا Distributed Denial Of Service
علائم حمله DDoS چیست؟
خوشبختانه یکی از موارد مثبت این نوع حملات این است که به سرعت می توان به نحوه عملکرد سرویس مشکوک شد و جلوی اختلال بیشتر را گرفت، پس از اینکه سروری مورد حمله DDoS قرار می گیرد ممکن است با توجه به اهداف و شیوه به کار رفته یک قسمت از منابع یا همه ی قسمت های آن دچار اختلال شود، در زیر لیستی از این علائم را ذکر می کنیم.
- کندی در پاسخگویی به درخواست ها
سروری که مود حمله قرار گرفته باشد معمولا خیلی کند و با وقفه به درخواست بارگذاری صفحات پاسخ می دهد، البته این نشانه همیشه دلیل حمله DDoS نیست چرا که این اتفاق به طور طبیعی نیز برای سرورها و سایت های با بازدید بالا ممکن است رخ دهد یا کنترل این امر بستگی زیادی به قدرت سخت افزاری سرور و تنظیمات آن دارد.
- عدم اتصال به پایگاه داده
گاهی ممکن است صفحات استاتیک که نیازی به اتصال پایگاه داده ندارند به راحتی بارگذاری شوند اما اتصال به پایگاه داده برای صفحات داینامیک برقرار نشود، در چنین مواقعی معمولا پیام تکمیل ظرفیت اتصال به پایگاه داده یاToo Many Connections ظاهر خواهد شد، بهترین کار در چنین حالتی این است که با تنظیم یک دستور هِدر 500 HTTP به ربات های جستجوگر بگوییم که سایت ما فعلا دچار مشکلی است و بعدا مراجعه نمائید!، چرا که در غیر اینصورت با وجود Down بودن دیتابیس سرور، ربات ها با دریافت وضعیت HTTP 200 صفحه خالی را ایندکس می کنند که این حالت قاعدتا مناسب نیست، در PHP این کار را با استفاده از دستورات header می توانیم انجام دهیم.
- مصرف بیش از حد منابع سرور
یکی دیگر از نشانه های حمله DDoS می تواند مصرف بیش از حد و غیر طبیعی منابع سرور از قبیل حافظه و یا پهنای باند در یک بازه زمانی کوتاه باشد.
- افزایش انفجاری درخواست ها
یکی دیگر از نشانه های حمله DDoS، وجود شمار زیادی درخواست HTTP به سرور است که با مشاهده فایل Log و قسمت آمار می توان به این موضوع پی برد.
- اختلالات در سرویس های جانبی نظیر ایمیل
گاهی مواقع حملات DDoS سرویس های جانبی یک سرور نظیر سرویس ایمیل را هدف می گیرند، در این مواقع ارسال و دریافت ایمیل ممکن است به کندی صورت گیرد یا دچار وقفه شود، البته همانطور که گفتیم هر وقفه و اختلالی به معنی حمله DDoS نیست، اختلال در سرویس های جانبی اگر بدون علت فنی خاصی باشد می تواند نشانه ای از حملات محسوب شود که با کنار هم قرار دادن شواهد دیگر می توانیم از وجود یا عدم وجود DDoS مطمئن شویم.
این نوع حملات با هدف خارج کردن منبع اطلاعاتی از سرویس به گونه ای که دیگر آن منبع قادر به ارائه سرویس به دیگران نبوده و نتواند تبادل اطلاعات درستی با کاربرانش داشته باشد ، انجام می شود . حملات DDOS یا خارج از سرویس کردن بصورت توزیع شده ، برای حمله به هدف مورد نظر از چندین کامپیوتر مختلف استفاده می کنند ، در اینگونه حملات نرم افزارهای حمله به هدف بر روی تعداد زیادی از کامپیوترهای موجود در شبکه ارتباطی نصب می شوند ، این نصب شدن حتی از دید مالک سیستم هم مخفی می ماند و صاحب سیستم از اینکه این نرم افزارها بر روی سیستم او نصب شده اند کاملا بی خبر است ، زمانی که تعداد اینگونه ماشین های طعمه زیاد شد ، مهاجم به این تعداد کثیر از کامپیوترها دستور می دهد که حملات خود را به یک هدف تعیین شده شروع کنند و سرور مورد نظر به دلیل عدم توانایی در پاسخگویی به این حجم زیاد از درخواست ها از سرویس خارج شده و به اصطلاح Overwhelm یا دستپاچه می شود . برخی از مهمترین و معروفترین نوع از این حملات DOS به شرح زیر هستند :
- حمله :Buffer Overflow در این نوع حمله یک فرآیند ( Process ) بیش از اندازه مورد نیاز خود اطلاعات دریافت می کند . اگر این فرآینده به گونه ای طراحی نشده باشد که در چنین مواقعی از خود پاسخ درستی ارائه دهد ، با به وجود آمدن چنین حالتی این امکان را برای یک مهاجم ایجاد می کند که از نرم افزار مربوطه سوء استفاده کند . یک نوع حمله به نام Ping Of Death وجود دارد که در این نوع حمله مهاجم بسته های اطلاعاتی ICMP ٍاز نوع ECHO را با حجمی بیش از اندازه معمول آن ، یعنی بیشتر از 65 کیلوبایت برای سرور مقصد ارسال می کند ، اینکار می تواند باعث از کار افتاده شدن سرور مقصد و به هم خوردن متغیرهای سیستم و در نهایت منجر به یک نوع حمله از نوع Buffer Overflow شود.
- حمله :SYN در این نوع حمله ، مهاجم از فضای بافری که در ایجاد نشست یا Session Handshake مربوط به پروتکل TCP/IP وجود دارد استفاده می کند و از این طریق از سیستم سوء استفاده می کند . در این نوع حمله مهاجم سرور را با حجم عظیمی از درخواست های برقراری ارتباط یا SYN پر می کند ، پس از اینکه سرور به این درخواست ها پاسخ داد ، مهاجم به جای اینکه پاسخ این درخواست ها را بدهد ، به هیچکدام پاسخ نمی دهد و سرور همچنان منتظر دریافت پاسخ از مهاجم باقی می ماند . این زمانی که سرور در انتظار پاسخ مهاجم می باشد ممکن است دچار از کار افتادگی یا Crash شود و سیستم دیگر قادر به ارائه سرویس نباشد.
روش جلوگیری
بلاک های کوچک بجای تخصیص یک شیء از نوع ارتباط کامل (که باعث اشغال فضای زیاد و نهایتاً اشکال در حافظه می شود)، یک رکورد کوچک تخصیص دهید. پیاده سازی های جدیدتر برای SYN های ورودی ، تنها 16 بایت تخصیص می دهد.
کوکی های SYN یک دفاع جدید علیه طغیان SYN «کوکی های SYN» است. در کوکی های SYN، هر طرف ارتباط، شماره توالی (Sequence Number) خودش را دارد. در پاسخ به یک SYN، سیستم مورد حمله واقع شده، یک شماره توالی مخصوص از ارتباط ایجاد می کند که یک «کوکی» است و سپس همه چیز را فراموش می کند یا بعبارتی از حافظه خارج می کند (کوکی بعنوان مشخص کننده یکتای یک تبادل یا مذاکره استفاده می شود). کوکی در مورد ارتباط اطلاعات لازم را در بردارد، بنابراین بعداً می تواند هنگامی که بسته ها از یک ارتباط سالم می آیند، مجدداً اطلاعات فراموش شده در مورد ارتباط را ایجاد کند.
- حمله :Teardrop در این نوع حمله مهاجم Fragmentation Offset و طول بسته اطلاعاتی پروتکل IP را دستکاری می کند . سیستم هدف پس از اینکه بسته اطلاعاتی دستکاری شده را دریافت کرد ، برای سر هم کردن و بازساری بسته اطلاعاتی به دلیل دستکاری شدن صف پروتکل مورد نظر دچار مشکل و ابهام می شود و بنا به دستوراتی که این بسته اطلاعاتی در خصوص اطلاعات موجود به سیستم هدف می دهد عمل می کند و در نهایت سیستم دچار مشکل و Crash خواهد شد .
- حمله :Smurf این نوع حمله با استفاده از تکنیک های IP Spoofing و پروتکل ICMP سعی در اشباع کردن سیستم هدف از ترافیک های بیهوده می کند که در نهایت منجر به انجام شدن حملات DOS خواهد شد. ساختار این نوع حمله از سه پایه و اساس ساخته شده است : سایت مبداء ، سایت پرش یا Bounce و سایت هدف . مهاجم یا سایت مبداء بسته اطلاعاتی Spoof شده ای از نوع Ping را برای آدرس Broadcast یک شبکه ( سابت پرش ) ارسال می کند . بسته اطلاعاتی دستکاری شده آدرس مبداء سایت هدف را به عنوان آدرس مبدا و مقصد در خود دارد . این بسته اطلاعاتی در کل شبکه پخش می شود و همگی سیستم ها به جای اینکه به درخواست مبدا که از طرف مهاجم ارسال شده اند پاسخ دهد همگی پاسخ ها را به سمت سرور هدف ارسال می کنند . در این هنگام سرور هدف که در مورد بسته های دریافتی خود دچار ابهام شده است قادر به پاسخگویی نبوده و در نهایت Crash می کند . در روشی دیگر از متد three-way handshake در TCP استفاده میکند. حمله کننده درخواست ارتباط با سرور را با ارسال SYN به سرور ارسال میکند و سرور در پاسخ SYN-ACK را ارسال میکند و منتظر ارسال ACK از سمت کاربر است اما کاربر ACK را ارسال نمیکند و سرور در حالت wait باقی میماند، ارسال تعداد زیاد درخواست ها بدون پاسخ باعث میشود سرور از دسترس خارج شود.
روش های زیادی برای پیاده سازی این حمله وجود دارد:
filtering
increasing backlog
reducing SYN-RECEIVED Timer
recycling half-opened TCP connection
SYN caching
SYN cookies
روش جلوگیری
اگر در معرض حمله Smurf قرار گرفته باشید، کار چندانی از شما ساخته نیست. هرچند که این امکان وجود دارد که بسته های مهاجم را در روتر خارجی مسدود کنید، اما پهنای باند منشاء آن روتر مسدود خواهد شد. برای اینکه فراهم کننده شبکه بالاسری شما، حملات را در مبداء حمله مسدود کند، به هماهنگی نیاز است.
بمنظور جلوگیری از آغاز حمله از سایت خودتان، روتر خارجی را طوری پیکربندی کنید که تمام بسته های خارج شونده را که آدرس مبداء متناقض با زیرشبکه شما دارند، مسدود کند. اگر بسته جعل شده نتواند خارج شود، نمی تواند آسیب چندانی برساند.
برای جلوگیری از قرار گرفتن بعنوان یک واسطه و شرکت در حمله DOS شخص دیگر، روتر خود را طوری پیکربندی کنید که بسته هایی را که مقصدشان تمام آدرس های شبکه شماست، مسدود کند. یعنی، به بسته های ICMP منتشر شده به شبکه خود، اجازه عبور از روتر ندهید. این عمل به شما اجازه می دهد که توانایی انجام ping به تمام سیستم های موجود در شبکه خود را حفظ کنید، در حالیکه اجازه این عمل را از یک سیستم بیرونی بگیرید. اگر واقعاً نگران هستید، می توانید سیستم های میزبان خود را طوری پیکربندی کنید که از انتشارهای ICMP کاملاً جلوگیری کنند.
- حمله سیل آسا بصورت مستقیم (UDP flood and ping flood):
این نوع حمله لایه ۳ و ۴ مدل OSI تمرکز می کند، هدف اصلی حمله سیل آسا به سرور با ارسال ترافیک غیرواقعی و مخرب جهت از کار اندختن منابع سرویس دهنده است. برای مثال اگر شبکه شما قدرت تحمل ۲۰G ترافیک ورودی را داشته باشید، مهاجم با ارسال ۲۱G ترافیک سرویس دهی شبکه شما را مختل میکند. حملات سیل می تواند بسته های UDP و ICMP به سمت ماشین هدف بصورت مستقیم ارسال کند.
روش جلوگیری:
استفاده از پهنای باند بیشتر
استفاده از load balancer
استفاده از روش های امن سازی شبکه در برابر IP spoofing ( مانند تنظیمات خاص در سوئیچ و روتر)
همکاری با سرویس دهندهای حفاظت در مقابل حملات DOS -DDoS protection service provider (مانند CloudFlare ) این سرویس دهنده ها سرویس هایی با نام های DDoS Protection یا DDoS Protection ارائه میدهند.
- حمله Reflection:
ایده ای که پشت این حمله وجود دارد جعل(spoof) آدرس IP در بسته منبع ارسالی است. بسته ها طوری تغییر میکنند که به نظر میرسد از مقصد خاصی دریافت شده و سرویس دهنده پاسخ بست های دریافتی را به منبع ذکر شده باز میگرداند، با تغییر وسیع IP ها و ارسال آن، دریافت کننده ها پاسخ ها را به سرویس قربانی باز میگردانند، این در حالی است که سرویس دهنده قربانی شده اصلا درخواستی ارسال نکرده است اما با سیلی از پاسخ ها مواجه میشود.
روش جلوگیری:
استفاده از تکنیک های anti spoofing برای شناسایی و عدم پذیرش آدرس IP هایی با source جعلی (spoofed source IP address)
- حمله HTTP Flood (web Spidering)
این نوع حمله از طریق crawl کردن وب سایت با استفاده از web spider برای مشغول کردن منابع سرور می باشد.
روش جلوگیری:
اطمینان حاصل کردن از اینکه تنها ربات های شناخته شده امکان دسترسی به وب سایت را دارند.
- حمله PUSH and ACK
این حمله مشابه حمله SYN flood است. push flag از سرور گیرنده تقاضا میکند که داده های موجود در این بسته را بافر نکند و در سریع ترین زمان آن ها را جهت پردازش به برنامه کاربردی( سرویس) مرتبط تحویل دهد ( مانند برنامه telnet)
بنابراین سرور مجبور به پردازش اطلاعات بسته ارسالی میشود. زمانی که بسته های TCP حاوی Push و Ack بیش از ظرفیت بافر ماشین(سرور) هدف باشد، سیستم قربانی دچار crash میشود.
از جایی که Push وAck پیام بخشی از ترافیک استاندارد می باشد، سیل عظیم چنین درخواست هایی نشان گر وجود حمله است.
روش جلوگیری:
استفاده از معماری Full-proxy برای مدیریت هر مکالمه بین کلاینت و سرور
استفاده از LTM (Local Traffic Manager) یا مدیریت IP پیشرفته (AFM) جهت استفاده در معماری Full-proxy، جهت شناسایی ترافیک Valid و Drop کردن ترافیک PUSH and ACK
- حمله Land
در این حمله قدیمی یک بسته TCP SYN جعلی شامل IP و port های باز سرور مقصد ( به شکلی که یک Loop ایجاد شود)، این گونه به نظر می رسد یک درخواست از سرور(به کمک بسته جعل شده) به همان سرور ارسال شده است، این موضوع باعث میشود ماشین(سرور) مداوم به خود پاسخ دهد و دچار کمبود منابع شود.
- حمله DNS amplification
حمله به سرویس DNS با کمک آدرس IP جعلی (آدرس IP ماشین قربانی) تعداد زیادی درخواست به سرور ارسال میکند، از طرفی چنین آدرس هایی روی سرور قرار ندارد، بدین صورت تعداد زیادی درخواست DNS به سیستم قربانی ارسال میشود که باعث مصرف ترافیک و بروز اختلال در سیستم قربانی خواهد شد. بنابراین ماشین میزبان در پاسخ گویی به سیل درخواست ها با مشکل مواجه میشود.
روش جلوگیری:
استفاده از DNSSEC
استفاده از تکنیک های anti-spoofing
استفاده از load balancers و یا استفاده از multi DNS و انتقال ترافیک حمله به سرورهای دیگر با استفاده از IP anycast address
- حمله Layer 7
حمله به برنامه های کاربردی در لایه هفتم که در آن توابع خاص از یک برنامه تحت وب مورد هدف قرارمیگیرد. ایجاد ترافیک به وب سایت که همانند ترافیک معمولی می باشد و تشخیص آن نیز مشکل خواهد بود. به عنوان مثال حمله میتواند بروی لوگو و یا یک دکمه وب سایت از طریق دانلود مکرر با درخواست های بسیار زیاد انجام شود که منابع سرور را بشدت درگیر کند. ویا ارسال نظر به یک مطلب یا پست خاص بصورت آبشاری و پی در پی در جهت از کار انداختن سرویس دهی.
روش جلوگیری:
بلاک کردن spoofed TCP قبل از وارد شدن به شبکه شما
بستن پورت هایی که استفاده نمیشوند.
محدود کردن تعداد دسترسی ها برای هر source IP
محدود کردن تعداد کانکشن های همزمان برای هر source IP
فیلتر کردن بسته های TCP ناشناخته دارای هدرهای نامعمول
بررسی ترافیک های مشابه
- حمله Multi-Vector
این یک حمله خاص نیست، بلکه استفاده از چندین نوع حمله بصورت همزمان و توام می باشد. جلوگیری و کنترل این نوع حملات به هماهنگی و توانایی های بالاتری در شبکه و سیستم نیاز دارد.
- حملات Trinoo
Trinoo در اصل از برنامه های Master/Slave است که با یکدیگر برای یک حمله طغیان UDP بر علیه کامپیوتر قربانی هماهنگ می شوند. در یک روند عادی، مراحل زیر برای برقراری یک شبکهTrinoo DDoS واقع می شوند.
مرحله اول : حمله کننده، با استفاده از یک میزبان هک شده، لیستی از سیستم هایی را که می توانند هک شوند، گردآوری می کند. بیشتر این پروسه بصورت خودکار از طریق میزبان هک شده انجام می گیرد. این میزبان اطلاعاتی شامل نحوه یافتن سایر میزبان ها برای هک در خود نگهداری می کند.
مرحله دوم : به محض اینکه این لیست آماده شد، اسکریپت ها برای هک کردن و تبدیل آنها به اربابان (Masters) یا شیاطین (Daemons) اجراء می شوند. یک ارباب می تواند چند شیطان را کنترل کند. شیاطین میزبانان هک شده ای هستند که طغیان UDP اصلی را روی ماشین قربانی انجام می دهند.
مرحله سوم : حمله DDoS هنگامی که حمله کننده فرمانی به میزبانان Master ارسال می کند، انجام می گیرد. این اربابان به هر شیطانی دستور می دهند که حمله DoS را علیه آدرس IP مشخص شده در فرمان آغاز کنند و با انجام تعداد زیادی حمله DoS یک حمله DDoS شکل می گیرد.
- حملات TFN/TFN2K
TFN یا Tribal Flood Network یا شبکه طغیان قبیله ای، مانند Trinoo در اصل یک حمله Master/Slave است که در آن برای طغیان SYN علیه سیستم قربانی هماهنگی صورت می گیرد. شیاطین TFN قادر به انجام حملات بسیار متنوع تری شامل طغیان ICMP طغیان SYN و حملات Smurf هستند، بنابراین TFN از حمله Trinoo پیچیده تر است.
TFN2K نسبت به ابزار TFN اصلی چندین برتری و پیشرفت دارد. حملات TFN2K با استفاده از جعل آدرس های IP اجرا می شوند که باعث کشف مشکل تر منبع حمله می شود. حملات TFN2K فقط طغیان ساده مانند TFN نیستند. آنها همچنین شامل حملاتی می شوند که از شکاف های امنیتی سیستم عامل ها برای بسته های نامعتبر و ناقص سوء استفاده می کنند تا به این ترتیب باعث از کار افتادن سیستم های قربانی شوند. حمله کنندگان TFN2K دیگر نیازی به اجرای فرمان ها با وارد شدن به ماشین های مخدوم (Client) به جای Master در TFN ندارند و می توانند این فرمان ها را از راه دور اجراء کنند. ارتباط بین Clientها و Daemonها دیگر به پاسخ های اکوی ICMP محدود نمی شود و می تواند روی واسط های مختلفی مانند TCP و UDP صورت گیرد. بنابراین TFN2K خطرناک تر و همچنین برای کشف کردن مشکل تر است.
- حملات Stacheldraht
کد Stacheldraht بسیار شبیه به Trinoo و TFN است، اما Stacheldraht اجازه می دهد که ارتباط بین حمله کننده و Masterها (که در این حمله Handler نامیده می شوند) رمزنگاری شود؛ عامل ها می توانند کد خود را بصورت خودکار ارتقاء دهند، می توانند اقدام به انواع مختلفی از حملات مانند طغیان های ICMP ، طغیان های UDP و طغیان های SYN کنند.
جلوگیری از حمله DDoS
نکته کلیدی در کاهش خطر حمله DDoS ، توانایی تمایز دادن بین ترافیک عادی و ترافیک حمله است. به عنوان مثال، وقتی یک شرکت مشهور، محصول جدید خود را ارائه می دهد و مشتریان مشتاق برای بررسی یا خرید این محصول به وب سایت آن شرکت هجوم می آورند، قطع ترافیک وب سایت کاری صد در صد اشتباه است. اما اگر همین شرکت ناگهان با حجم بالایی از ترافیک از سمت افراد ناشناخته مواجه شود، تلاش برای کاهش حملات احتمالا ضروری است. مشکل اینجاست که جدا کردن مشتری واقعی از ترافیک حمله واقعا سخت است.
در اینترنت مدرن، ترافیک DDoS به شکل های مختلفی به وجود می آید. ترافیک از لحاظ طراحی می تواند از حملات تک منبع غیرمحرمانه تا حملات پیچیده و انعطاف پذیر چند برداری متفاوت باشد. یک حمله چند برداری DDoS از چندین مسیر حمله به منظور غلبه بر هدف از راه های مختلف استفاده می کند، و به طور بالقوه مانع تلاش های مهار حمله در هر یک ازین مسیرها می شود. حمله ای که چندین لایه پشته پروتکل را همزمان هدف قرار دهد، مانند DNS amplification (لایه های ۳/۴ هدف گرفته می شود) همچنین حمله HTTP flood (لایه ۷ هدف گرفته می شود)، نمونه ای از حمله DDoS چند برداری است.
مقابله با حمله چند برداری DDoS نیاز به استراتژی های متفاوت برای مقابله با مسیرهای مختلف دارد. به طور کلی، هرچقدر حمله پیچیده تر باشد، جدا کردن ترافیک عادی از ترافیک حمله دشوار تر است، هدف مهاجم اینست که این دو را تا حد ممکن با هم ترکیب کند و عمل مهار حملات را تا حد ممکن ناکارامد کند، بی تردید تلاش هایی که شامل حذف یا محدود کردن ترافیک می شود، ترافیک خوب را از بد جدا می کند و همچنین ممکن است با ایجاد تغییر و سازگاری در حمله، اقدامات مخالف متوقف شود. به منظور غلبه بر یک تلاش اختلال پیچیده ، راه حل لایه ای مفیدتر خواهد بود.
پاسخ دفاعی در برابر حملات منع سرویس شامل استفاده از ترکیبی از روشهای تشخیص حمله ، طبقهبندی ترافیک و ابزارهای پاسخ است که هدف آنها بلوکه کردن ترافیکهای غیرمجاز و اجازه برقراری ترافیکهای مجاز میباشد.
بهطور کلی هیچ راه تضمینکنندهای برای جلوگیری از این حمله وجود ندارد و تنها راههایی برای جلوگیری از برخی روشهای متداول و کم کردن اثرات سایر روشها موجوداست، چرا که بسیاری از روشها به هیچعنوان قابل پیشگیری نیست، به عنوان مثال اگر شبکه botnet با صدهزار zombie صفحهای از سایت را باز کنند، این درخواست یک درخواست عادی بوده و نمیتوان تشخیص داد که درخواست دهنده سیستم معمولی است یا zombie و به همین جهت نمیتوان جلوی آنرا گرفت.
در علم کامپیوتر Zombie به کامپیوتری گفته می شود که به اینترنت متصل میباشد و نیز از قبل توسط هکر مورد حمله واقع شده و در آن رخنه ایجاد کرده و یا به ویروس یا تروجان آلوده شده باشد. Zombie ها معمولا از راه دور برای یک سری اهداف مخرب و غیر قانونی توسط هکر مورد استفاده واقع می شوند. معمولا ایجادbotnet هایی از کامپیوتر های آلوده شده برای تدارک دیدن حملاتی از قبیلE – Mail Spam یا DDoS پیاده سازی می شوند.
دیوار آتش
دیوار آتش میتواند به این صورت راه اندازی شود که شامل قوانین ساده برای اجازه یا رد کردن پروتکل ها، پورتها یا آی پی آدرسها باشد. در مورد حملات سادهای که از آدرسهای با آی پی غیرمعمول می آیند میتوان با قرار دادن قانون سادهای که ترافیکهای ورودی از چنین مهاجمانی را حذف کند. برخی حملات با چنین قوانین سادهای قابل بلوکه شدن نیستند، اگر یک حمله روی پورت 80(وب سرویس)در حال انجام باشد غیرممکن است که همه ترافیکهای ورودی روی چنین پورتی را حذف کرد، زیرا این کار، سرورها را از ارائه ترافیک قانونی منع میکند.
سوئیچها
برخی سوئیچها دارای عوامل محدودکننده نرخ و قابلیت لیستهای کنترل دسترسی هستند. برخی سوئیچها از فیلترینگ برای تشخیص و از بین بردن حملات DOS از طریق فیلتر کردن خودکار نرخ استفاده میکنند.
روترها
مشابه سوئیچ ها، روترها هم قابلیت ACL و کنترل نرخ را دارند.بیشتر روترها میتوانند در برابر حملات DOS قرار بگیرند. سیستم عاملهای سیسکو دارای ویژگی ای هستند که از حملات سیل آسا پیشگیری میکند.
سیستم پیشگیری از نفوذ
سیستم پیشگیری از نفوذ زمانی مؤثر است که حملات دارای امضا باشند.سیستم پیشگیری از نفوذ که روی شناخت محتوا کار میکند نمیتواند حملات DOSمبتنی بر رفتار را بلوکه کند.IPS مبتنی بر ASCI میتواند حملات منع سرویس را تشخیص و بلوکه کند، زیرا دارای توان پردازشی و تجزیه و تحلیل حملات است. IPS مبتنی بر نرخ(RBIPPS)باید الگوی ترافیک را به صورت تک تک و بطور پیوسته مانیتور کند . آنومالی ترافیک را در صورت وجود تعیین کند.
سیاه چاله و گودال
به مدیر اجازه میدهد که ترافیک حمله را به یک آدرس آی پی (اینترفیس خالی یا سرور غیرموجود)، هدایت کند تا آن را حذف نماید. وقتی حملهای تشخیص داده میشود، یک مسیر ثابت ایجاد میشود تا ترافیک حمله را به جای ماشین قربانی به سمت یک سیاه چاله، هدایت کنند. در حالت گودال ، ترافیک حمله به یک آدرس آی پی ارسال میشود تا برای بررسی بیشتر ثبت شود. مزیت آن این است که ترافیک حمله میتواند جمعآوری و آنالیز شود تا الگوی حمله مورد مطالعه و بررسی قرارگیرد.
Backscatter
در امنیت شبکههای کامپیوتری، برگشت پراکنده مشکل و عارضه جانبی حمله منع سرویس جعلی است. در این نوع حمله، مهاجم آدرس آی پی مبدأ بسته را جعل میکند و به قربانی ارسال میکند، در کل ماشین قربانی قادر به تشخیص بستههای جعلی و مجاز نیست، بنابراین قربانی به بستههای جعلی پاسخ میدهد،این بستههای پاسخ به عنوان برگشت پراکنده تلقی میشوند.اگر مهاجم آی پی آدرسهای مبدأ را به صورت تصادفی جعل کند، بستههای پاسخ برگشت پراکنده از قربانی به مقصدهای تصادفی ارسال میشوند.
سرورها
پیکربندی مناسب application های سرویس دهنده در به حداقل رساندن تأثیر حمله DDoS تأثیر بسیار مهمی دارند. یک سرپرست شبکه می تواند بوضوح مشخص کند که یک application از چه منابعی می تواند استفاده کند و چگونه به تقاضاهای کلاینت ها پاسخ دهد. سرورهای بهینه سازی شده، در ترکیب با ابزار تخفیف دهنده، می توانند هنوز شانس ادامه ارائه سرویس را در هنگامی که مورد حمله DDoS قرار می گیرند، داشته باشند.
شما می توانید از نرم افزار Dos_Deflate استفاده کنید. با کمک این نرم افزار می توانید تعداد اتصالات هر آی پی که به سرویس دهنده شما برقرار کرده است را مدیریت کنید. برخی نکات لازم در مورد ویرایش فایل پیکربندی (nano /usr/local/ddos/ddos.conf) که باید به آنها دقت داشته باشید، مقادیر EMAIL_TO که شما ایمیل مورد نظر جهت دریافت گزارشات را مشخص می کنید، FREQ برای مشخص کردن تعداد کانکشن هر آی پی در دقیقه است که پیشنهاد می کنیم مقدار بالاتر از 5 را به آن اختصاص ندهید، NO_OF_CONNECTIONS که بیشترین کانکشنی که هر آی پی می تواند داشته باشد را مشخص می کند. (بهترین مقدار بین 100 تا 200 است.) و …
ابزار تخفیف DDoS
چندین شرکت ابزارهایی تولید می کنند که برای ضدعفونی! کردن ترافیک یا تخفیف حملات DDoS استفاده می شوند که این ابزار قبلاً بیشتر برای متعادل کردن بار شبکه یا فایروالینگ استفاده می شد. این ابزارها سطوح مختلفی از میزان تأثیر دارند. هیچکدام کامل نیستند. بعضی ترافیک قانونی را نیز متوقف می کنند و بعضی ترافیک غیرقانونی نیز اجازه ورود به سرور پیدا می کنند. زیرساخت سرور هنوز باید مقاوم تر شود تا در تشخیص ترافیک درست از نادرست بهتر عمل کند.
پهنای باند زیاد
خرید یا تهیه پهنای باند زیاد یا شبکه های افزونه برای سروکار داشتن با مواقعی که ترافیک شدت می یابد، می تواند برای مقابله با DDoS مؤثر باشد. عموماً، شرکت ها از قبل نمی دانند که یک حمله DDoS بوقوع خواهد پیوست. طبیعت یک حمله گاهی در میان کار تغییر می کند و به این نیاز دارد که شرکت بسرعت و بطور پیوسته در طی چند ساعت یا روز، واکنش نشان دهد. از آنجا که تأثیر اولیه بیشتر حملات، مصرف کردن پهنای باند شبکه شماست، یک ارائه کننده سرویس های میزبان روی اینترنت که بدرستی مدیریت و تجهیز شده باشد، هم پهنای باند مناسب و هم ابزار لازم را در اختیار دارد تا بتواند تأثیرات یک حمله را تخفیف دهد.
محدودیت سرعت
محدود کردن تعداد درخواست هایی که سرور در یک بازه زمانی مشخص قبول می کند نیز یک راه کاهش حملات انکار سرویس است. در حالی که محدود کردن سرعت باعث کاهش سرعت سرقت محتوا از وب سایت ها و کاهش میزان حملات بروت فورس می گردد. به احتمال زیاد به تنهایی برای مقابله با یک حمله پیچیده DDoS مؤثر نخواهد بود. با این وجود، محدودیت سرعت جزء مفیدی در استراتژی کاهش اثربخشی DDoS است.
فایروال برنامه وب (Web Application Firewall)
یک فایروال برنامه وب یا WAF ابزاریست که می تواند در کاهش حمله DDoS لایه ۷ کمک کند. با قرار دادن WAF بین اینترنت و یک سرور مبدا، WAF می تواند به عنوان یک پروکسی معکوس عمل کند، و کار محافظت سرور هدف از انواع مشخصی از ترافیک مخرب را انجام دهد. با فیلتر کردن درخواست ها بر اساس یک سری از قوانین مورد استفاده برای شناسایی ابزارهای DDoS، با حملات لایه ۷ می توان مقابله کرد. یک مقدار کلیدی از یک WAF موثر، توانایی اعمال سریع قوانین سفارشی در پاسخ به حمله است.
انتشار شبکه Anycast
این رویکرد کاهش، از شبکه Anycast برای پراکنده کردن ترافیک حمله در یک شبکه از سرورهای توزیع شده به نقطه ای که ترافیک توسط شبکه جذب می شود استفاده می کند. مثل تقسیم شدن یک رودخانه خروشان به چندین کانال های آب مجزای کوچکتر ، این روش نیز تاثیر ترافیک حمله توزیع شده را به نقطه ای که در آنجا قابل کنترل باشد، و انتشار هر گونه قابلیت اختلال غیرممکن باشد، پخش می کند.
قابلیت اعتماد به یک شبکه Anycast برای کاهش حمله DDOS به اندازه حمله بستگی به اندازه حمله و اندازه و کارایی شبکه دارد. بخش مهمی از کاهش DDoS که توسط Cloudflare اجرا می شود استفاده از یک شبکه توزیع Anycast است. Cloudflare دارای یک شبکه ۱۵ Tbps(ترابایت در ثانیه ) است که به مراتب بزرگتر از بزرگترین حمله DDoS ایست که ثبت شده است.
Blackholing و Sinkholing
با استفاده از blackholding تمامی ترافیک DNS مورد تهاجم یا نشانی IP به (black hole (null interface، non-existent server ارسال می شود. جهت موثرتر بودن و دوری از تحت تأثیر قرار گرفتن ارتباطات شبکه، این راه حل توسط ISP مورد استفاده قرار می گیرد.
Clean pipes
تمامی ترافیک از “cleaning center” یا یک “scrubbing center” به واسطه روش هایی همچون پروکسی ها، تونل ها یا حتی مدارات مستقیم که ترافیک “بد” DDOS و همچنین دیگر حملات اینترنتی را تفکیک می کنند و تنها ترافیک خوب را به سرور انتقال می دهند، عبور می کنند. اجراکننده می بایست ارتباط مرکزی به اینترنت داشته باشد تا این نوع سرویس را مدیریت نماید مگر اینکه آنها را بتوان به آسانی استفاده از “cleaning center” یا “scrubbing center” پیاده سازی نمود
حمله backdoor
به هر معبر باز در نرم افزار، به طوري كه كسي بتواند بدون اطلاع صاحب نرم افزار و كاربر نرم افزار ، از آن عبور كرده و به داخل سيستم نفوذ كند ، Back Doorگفته مي شود.
Back Door ها اغلب به دليل عدم توجه ايجاد كننده نرم افزار ، به صورت باز رها مي شود و همين امر باعث مي شود علاوه بر ايجاد كننده ، ديگران نيز از آن سوءاستفاده كنند.
حملات از نوع Backdoor معمولا از طریق مودم های Dialup و یا ADSL و یا هر وسیله ارتباطی انجام می شوند که مستقیما به داخل شبکه هدف متصل شده است . هر گونه ارتباط خارجی می تواند به نوعی در ایجاد یک Backdoor به هکر ها کمک کند . استراتژی اصلی در اینگونه حملات این است که یک مهاجم بتواند بدون درگیر شدن با مکانیزم های امنیت و کنترل های امنیت تعبیه شده در شبکه هدف وارد یک شبکه شود که معمولا اینگونه حملات از طریق همین ارتباطات شخصی درون سازمانی انجام می شوند . Backdoor در ساختار های برنامه نویسی به درگاهی اطلاق می شود که معمولا توسط برنامه نویسی اصلی سیستم برای انجام و اعمال تغییرات بعدی در سیستم ایجاد شده است و صرفا خود برنامه نویس از آنها خبر دارد.
برخى از متداولترین نرم افزارهایى كه از آنان به عنوان back door استفاده مى گردد ، عبارتند از :
:Back Orifice برنامه فوق یك ابزار مدیریت از راه دور مى باشد كه به مدیران سیستم امكان كنترل یك كامپیوتر را از راه دور ( مثلا" از طریق اینترنت ) ، خواهد داد. نرم افزار فوق ، ابزارى خطرناك است كه توسط گروهى با نام Cult of the Dead Cow Communications ، ایجاد شده است . این نرم افزار داراى دو بخش مجزا مى باشد : یك بخش سرویس گیرنده و یك بخش سرویس دهنده . بخش سرویس گیرنده بر روى یك ماشین اجراء و زمینه مانیتور نمودن و كنترل یك ماشین دیگر كه بر روى آن بخش سرویس دهنده اجراء شده است را فراهم مى نماید .
:NetBus این برنامه نیز نظیر Back Orifice ، امكان دستیابى و كنترل از راه دور یك ماشین از طریق اینترنت را فراهم مى نماید.. برنامه فوق تحت سیستم عامل ویندوز ( نسخه هاى متفاوت از NT تا 95 و 98 ) ، اجراء و از دو بخش جداگانه تشكیل شده است : بخش سرویس دهنده ( بخشى كه بر روى كامپیوتر قربانى مستقر خواهد شد ) و بخش سرویس گیرنده ( برنامه اى كه مسولیت یافتن و كنترل سرویس دهنده را برعهده دارد ) . برنامه فوق ، به حریم خصوصى كاربران در زمان اتصال به اینترنت ، تجاوز و تهدیدات امنیتى متعددى را به دنبال خواهد داشت .
(Sub7) (SubSeven) ، این برنامه برنامه نیز تحت ویندوز اجراء شده و داراى عملكردى مشابه Back Orifice و NetBus مى باشد . پس از فعال شدن برنامه فوق بر روى سیستم هدف و اتصال به اینترنت ،هر شخصى كه داراى نرم افزار سرویس گیرنده باشد ، قادر به دستیابى نامحدود به سیستم خواهد بود .
نرم افزارهاى Back Orifice ، NetBus, Sub7 داراى دو بخش ضرورى سرویس دهنده و سرویس گیرنده، مى باشند . سرویس دهنده بر روى ماشین آلوده مستقر شده و از بخش سرویس گیرنده به منظور كنترل از راه دور سرویس دهنده ، استفاده مى گردد.به نرم افزارهاى فوق ، " سرویس دهندگان غیرقانونى " گفته مى شود .
برخى از نرم افزارها از اعتبار بالائى برخوردار بوده ولى ممكن است توسط كاربرانى كه اهداف مخربى دارند ، مورد استفاده قرار گیرند .
بهترین روش به منظور پیشگیرى از حملات Back doors ، آموزش كاربران و مانیتورینگ عملكرد هر یك از نرم افزارهاى موجود مى باشد. به كاربران مى بایست آموزش داده شود كه صرفا" از منابع و سایت هاى مطمئن اقدام به دریافت و نصب نرم افزار بر روى سیستم خود نمایند . نصب و استفاده از برنامه هاى آنتى ویروس مى تواند كمك قابل توجهى در بلاك نمودن عملكرد اینچنین نرم افزارهائى نظیر : Back Orifice, NetBus, and Sub7را به دنبال داشته باشد . برنامه هاى آنتى ویروس مى بایست به صورت مستمر بهنگام شده تا امكان شناسائى نرم افزارهاى جدید ، فراهم گردد
حمله Spoofing
تكنيكي است براي دسترسي غير مجار به كامپيوتر ها
هكر ابتدا آدرس IP يك كامپيوتر مورد اعتماد را پيدا مي كند. پس از به دست آوردن اين اطلاعات هكر شروع ارسال اطلاعات به سيستم قرباني كرده و خود را مورد اعتماد وانمود مي كند (خود را به جاي يك كامپيوتر مورد اعتماد جا مي زند! ) پس از برقراري ارتباط شروع به دريافت اطلاعاتي مي كند كه در حالت معمول ، مجاز به دسترسي به آنها نيست
مهاجمین آدرس های IP و همچنین آدرس های سخت افزاری خود یا MAC ها را دستکاری کرده و به سیستم هدف اینطور القا می کنند که در حال برقراری ارتباط با سیستم درستی هستند و این در حالی است که سیستم هدف فریب اینکار را خورده است . در این حالت سیستم هدف به دلیل اینکه به آن آدرس IP و یا MAC اعتماد دارد به سیستم مهاجم اجازه دسترسی به منابع تعیین شده در سیستم را خواهد داد . دستکاری آدرس IP یا IP Spoofing در سطح بسته های اطلاعاتی از نوع TCP انجام می شوند ، به این دلیل بیشتر از پروتکل TCP استفاده می شود که اکثر سیستم هایی که در اینترنت مورد استفاده قرار می گیرند از پروتکل TCP/IP به عنوان پروتکل ارتباطی خود استفاده می کنند در این روش مهاجم درخواستی برای سیستم هدف از طرف یک آدرس IP مورد اعتماد و شناخته شده برای سیستم هدف ارسال می کند و آدرس IP و سایر مشخصات خود را نیز مخفی نگه می دارد . سیستم هدف معمولا این درخواست درست و مورد اعتماد دانسته و به آن پاسخ می دهد .
حمله Man in the Middel
نفوذگر بين دو كامپيوتر كه در حال تبادل اطلاعات هستند قرار مي گيرد. نفوذگر ترتيبي را اتخاذ مي كند كه دو كامپيوتر از وجود او بي اطلاع باشند.
به اين ترتيب دسترسي كاملي به اطلاعات دارد. يعني هم مي تواند آنها را دريافت كند و هم مي تواند آنها را مطابق ميل خود تغيير دهد و به نفر بعدي تحويل دهد سيستم هاي Wireless در معرض اين حمله قرار دارند.
حمله از نوع MITM از دو عنصر تشکیل شده است ، ابتدا از یک مهاجم یا Attacker که در اینجا به اختصار آنرا A می نامیم و دیگر از یک شخص دیگر یا Person که در اینجا به اختصار به آن P می گوییم . A در اینجا دارای یک کلید عمومی است که در شبکه این کلید عمومی را به عنوان کلید عمومی P معرفی می کند ، در این حالت زمانی که کاربران دیگر قصد ارسال اطلاعات به P را دارند از کلید عمومی A برای رمزنگاری اطلاعات استفاده می کنند و این همان لحظه ای است که A می تواند با استفاده از کلید خصوصی که در اختیار دارد اطلاعات را رمز گشایی و بازخوانی کند . در این میان A می تواند مجددا اطلاعات را تغییر داده و اطلاعات تغییر یافته را مجددا به P ارسال کند .
حمله Replay
هنگامی که يك هكر به وسيله ابزار Sniffer بسته هاي اطلاعاتي را از روي سيم بر مي دارد ، يك حمله Replay رخ داده است وقتي بسته ها دزديده شدند ، هكر اطلاعات مهم و نامهاي كاربري و كلمات عبور را از درون آن استخراج مي كند وقتي كه اطلاعات ازبسته ها استخراج شدند ، دوباره بسته ها روي خط قرار مي گيرند و يا بدانها به صورت دروغين پاسخ داده مي شود.
این نوع حمله زمانی رخ می دهد که مهاجم اطلاعاتی از قبیل نام کاربری و رمز عبور را یافته و همچنین پیام های قبلی سیستم را در خود ذخیره می کند و در هنگام قطع شدن اتصال یا Session مربوطه مجددا اقدام به استفاده از این اطلاعات می کند و خود را به عنوان یکی از طرف های مورد اعتماد در ارتباط معرفی می کند . یکی از روش های مقابله در مقابل اینگونه حملات استفاده از یک مجموعه از شماره های تصادفی و ی رشته های تصادفی به نام Nonce است . اگر فرض کنیم که محمد بخواهد با شهاب ارتباط برقرار کند ، با اولین پیغام خود به شهاب یک Nonce برای وی ارسال می کند ، زمانی که شهاب به محمد پاسخ می دهد Nonce را نیز به محمد باز می گرداند تا ثابت کند که این شهاب است که قصد ارسال مجدد اطلاعات به محمد را دارد . هر شخص دیگری که بخواهد وارد این ارتباط بشود نمی تواند از Nonce جدید استفاده کند . روش دیگری که برای ایمن سازی در مقابل اینگونه حملات وجود دارد ، این است که در هنگامی که محمد قصد ارسال اطلاعات را دارد به اطلاعات ایجاد شده فاکتور زمان را نیز اضافه می کند یا به قولی به اطلاعات خود Timestamp را نیز اضافه می کند . این پارامتر زمانی نشان دهنده زمانی است که پیام ارسال شده است ، بنابر این اگر کسی مجددا قصد استفاده از این اطلاعات را داشته باشد مشخص می شود که در همان زمان قبلی از این اطلاعات استفاده نشده است و اطلاعات جدید نامعتبر هستند .
TCP/IP Hijacking
معمولا به آن جعل نشست (Session Hijacking ) نيز گفته مي شود. هكر مي تواند نشست TCP بين دو ماشين را به دست آورد يك روش مشهور استفاده از Source-rout كردن IP ها مي باشد. Source-routكردن يعني بسته هاي IP را طوري تغيير دهيم كه از مسيري خاص بگذرند.
برای تشریح این نوع حمله بایستی بگوییم که در این نوع حمله مهاجم در بین راه قرار گرفته و یک Session فعال را از یکی از طرفین ارتباط ربوده و خود را در میان این Session فعال و البته مورد اعتماد قرار می دهد . این Session ممکن است که میان یک سرور و یک کلاینت باشد . کامپیوتر مهاجم آدرس IP خود را به جای آدرس IP کلاینت قرار داده و ارتباط درست خود با سرور را ادامه می دهد ، بطوریکه سرور گمان می کند که این همان کلاینت مورد اعتمادش است ، این مورد می تواند در مورد سرور نیز بصورت متقابل انجام شود . برای وضوع بیشتر این مسئله به مراحل زید توجه کنید :
- کلاینت مورد اعتماد به سرور شبکه متصل می شود.
- کامپیوتر مهاجم کنترل کامپیوتر کلاینت مورد اعتماد را به دست می گیرد .
- کامپیوتر مهاجم ، کامپیوتر کلاینت مورد اعتماد شبکه را از سرور شبکه قطع ارتباط می کند .
- کامپیوتر مهاجم آدرس کامپیوتر کلاینت را به جای آدرس IP خود قرار داده و Sequence Number های کلاینت را دستکاری می کند.
- کامپیوتر مهاجم همچنان ارتباط خود را با سرور شبکه ادامه می دهد . ( سرور شبکه گمان می کند که همچنا با کلاینت در ارتباط است.
DNS Poisoning
اين حمله هنگامي است كه فايل DNS شما با اطلاعات ناجوري پر شود به صورت ساده تر هنگامي مي باشد كه نفوذگر ركوردهاي DNS را كه به Host هاي صحيحي اشاره دارند ، به Host مورد نظر خود تغيير مي دهد.
Social Engineering مهندسي اجتماعي
بيشتر زماني رخ مي دهد كه هكر به سيستم هاي واقعي قصد نفوذ دارد راه ديگر هنگامي مي باشد كه نفوذگر با استفاده از نقاط ضعف كاربر انتهايي (End User ) راه نفوذ به شبكه را پيدا مي كند. سوءاستفاده از نقاط ضعف افراد با به دست آوردن عادت هاي شخصيتي افراد براي اغفال آنها و يا تحت فشار قرار دادن آنها تا اطلاعات مورد نياز براي نفوذ به شبكه را در اختيار فرد هكر قرار دهد.
این نوع حمله که همیشه بیشترین درصد موفقیت و همیشه بیشترین میزان آسیب رسانی را دارد با استفاده از دانش رواشناسی و روابط عمومی مهاجمین برای بدست آوردن رمز های عبور و یا شماره پین ها و بسیاری دیگر از اطلاعات بکار می رود. برای مثال یک هکر می تواند خود را به عنوان یکی از کارشناسان واحد انفورماتیک سازمان به یکی از پرسنل در یک تماس تلفنی معرفی کرده و از وی درخواست کند که به دلیل بروز مشکلات فنی در نرم افزار اتوماسیون نیازمند رمز عبور و نام کاربری وی هستند تا بتوانند مشکل بوجود آمده را مرتفع سازند . این نوع حملات انواع و اقسام مختلفی دارند که برخی از آنها به شرح ذیل می باشد :
- بعد از بروز مشکل در شبکه یک سازمان برای پرسنل این سازمان ایمیل هایی ارسال می شود که در این ایمیل ها از کارمندان خواسته شده که جهت بازسازی مشکلات بوجود آمده در شبکه سازمان رمز های عبور و نام های کاربری خود را به آدرس مورد نظر ارسال کنند.
- ایمیلی به پرسنل یک سزمان ارسال می شود و در آن عنوان می شود که جهت وارد کردن اطلاعات مربوط به اضافه کاری ماه جاری ،رمز عبور خود را به این آدرس ارسال نمایید ، اینکار بایستی تا انتهای هفته انجام شود در غیز اینصورت حقوق های این ماه واریز نخواهند شد .
- یک نفر خود را به عنوان پشتیبان فنی سیستم معرفی می کند و به شما می گوید که هارد دیسک کامپیوتر شما دچار مشکل شده است و سوخته است ، وی هارد دیسک را جهت تعمیر از دستگاه خارج می کند و به جای آن کی دستگاه هارد دیسک دیگر قرار میدهد که در نهایت اطلاعات موجود در هارد دیسک قبلی شما را کاملا تخلیه و بدست می آورد .
همیشه خطرناکترین نوع حملات به یک شبکه از همین نوع هستند و تنها راهی که می توان در برابر اینگونه حملات مقابله کرد ، ایجاد یک بیانیه امنیت اطلاعات در این خصوص و همچنین برگزاری کلاسهای آموزشی و توجیهی برای کارکنان است.
Dumpster Diving
Dumpster Diving در واقع یک روش برای بدست آوردن اطلاعات است ، در این روش مهاجم با استفاده از اطلاعاتی که از طرف سازمان یا افرادی در سازمان دور ریخته شده اند ، اطلاعاتی در خصوص هدف حمله خود بدست می آورد . در بسیار از مواقع اطلاعاتی که در سطح زباله یک سازماین یافت می شود می تواند برای یک مهاجم بسیار ارزشمند باشد . اطلاعات دور ریخته شده می توانند شامل نامه های داری ، لیست شماره تلفن ها و یا رمزهای عبور و نام های کاربری و یا حتی چارت سازمانی یک سازمان را در خود داشته باشد . همیشه به خاطر داشته باشید که یکی از مواردی که در امنیت اطلاعات بسیار حساس است ، محرمانگی اطلاعات است و این یعنی صرفا کسانی که مجاز به دسترسی به اطلاعات هستند بایستی توان دسترسی به اطلاعات را داشته باشند . تصور کنید که یک مستد محرمانه اداری در سطح زباله یک سازمان یافت می شود ، اگر شخصی به منظور سوء استفاده از این اطلاعات استفاده کند می تواند سازمان را دچار مشکل کند و این یکی از مسائلی است که در خصوص حفظ محرمانگی بایستی رعایت شود .
حدس زدن رمزهای عبور یا Password Guessing
به دلیل اینکه استفاده از رمزهای عبور از معمولترین روشهای احراز هویت برای ورود افراد به سیستم های اطلاعاتی در همه جا می باشد ، بدست آوردن رمزهای عبور یکی از روشهای موثر و معمل برای انجام یک حمله است . بدست آوردن رمز عبور افراد می تواند به روش های متنوعی انجام شود ، این روش ها می توانند قرارگرفتن بصورت فیزیکی در کنار فرد و مشاهده رمز وارد شده در سیستم ، شنود شبکه برای بدست آوردن رمز های منتقل شده در شبکه ، مهندسی اجتماعی و فریب دادن کاربر ، سوء استفاده کردن از پایگاه های داده و در نهایت حدس زدن رمز های عبور کاربران باشد . مرحله آخر از این موارد می تواند به روشهای اصولی و یا تصادفی انجام شود .
تکنیک Brute Force
در این روش برای بدست آوردن و حدس زدن رمز عبور ، رمز های تصادفی تولید می شود و با Hash رمز اصی مقایسه می شود ، در این روش که معمولا زمانگیر نیز هست ، مهاجم امیدوار است که بتواند رمز مورد نظر را بصورت تصادفی حدس بزند . در این روش نیز می توان از یک سری منطق های استفاده کرد ، به این معنا که مثلا برای رمز های از نام های کاربری ، شماره های پرسنلی، عنوان های شغلی و نام افراد در حدس زدن رمزها استفاده شود که تا حد زیادی کارایی این تکنیک را بالا می برد.
تکنیک حمله دیکشنری یا Dictionary Attack
در این روش همانطور که از نامش پیداست از یک فرهنگ لغت یا همان دیکشنری که در آن مجموعه ای از رمزهای عبور معمول در دنیا وجود دارد استفاده می شود تا از این طریق بتوان رمز عبور شخص یا شبکه را پیدا کرد و به منابع آن دسترسی یافت . یکی از معمولترین روش ها در این تکنیک این است که فایل رمزنگاری شده حاوی رمزهای عبور را به یک نرم افزار که کار حمله دیکشنری را انجام می دهد معرفی می کنیم ، و سپس این نرم افزار رشته های رمزنگاری شده یا Hash شده داخل این فایل را با رشته های تولید شده در این نرم افزار مقایسه می کند و در صورت یکی بودن رمز مورد نظر پیدا می شود .
سوء استفاده از نرم افزارها یا Software Exploitation
نقاط ضعف موجود در نرم افزار ها ( Vulnerabilities ) می تواند برای سوء استفاده مهاجمین و پیدا کردن دسترسی غیر مجاز به اطلاعات سیستم مورد استفاده قرار بگیرند ، برای مثال برخی از نقاط ضعف شناخته در نرم افزار های به شکل زیر می باشند :
- سرویس دهنده وب ناول یا Novell Web Server : یک مهاجم با ارسال یک حجم زیاد از دستور GET به پورت مدیریت از راه دور این سرور می توانست باعث بوجود آمدن یک حمله از نوع DOS Buffer Overflow شود . این باعث می شد که داده هایی که به سمت بافر حافظه منتقل می شوند سرریز شده و همچنان در حافظه اصلی به شکل دستورات اجرایی باقی بمانند .
- سیستم عامل AIX : رمزهای عبور با استفاده از دستورات سیستمی قابل افشاء شدن هستند .
- سیستم عامل IRIX : یک نقطه ضعف امنیتی از نوع Buffer Overflow در سیستم وجود دارد که می تواند باعث دستیابی مهاجم به دسترسی مدیریتی یا Root سیستم شود .
- ویندوز 9x : نقطه ضعف امنیت در سیستم وجود دارد که به مهاجم اجازه بدست آوردن رمز های عبور Screen Saver را می دهد . همین امر می تواند باعث ارائه شدن دسترسی غیرمجاز به منابع سیستمی شود .
- ویندوز NT : نقطه صعف امنیتی در اینگونه سیستم ها وجود دارد که از این طریق یک کاربر محدود شده می تواند دسترسی های خود را به یک کاربر مدیر تغییر دهد و از منابع سیستم سوء استفاده کند .
اسب های تروا یا Trojan Horse
اسب های تروا یا Trojan Horse ها نوعی از کدهای مخرب هستند که خود را در درون یک نرم افزار میزبان قرار می دهند و به ظاهر نرم افزاری کاربردی هستند. به محض اینکه نرم افزار مورد نظر توسط کاربر اجرا می شود ، آن کد مخرب که می تواند از نوع ویروس ، کرم و یا انواع دیگر کدهای مخرب باشد از درون نرم افزار میزبان اجرا شده و ایستگاه کاری ، سرور و یا شبکه ای را که در آن قرار دارد را آلوده خواهد کرد و بر همین اساس می تواند باعث دسترسی غیرمجاز به منابع سیستمی نیز بشود . اسب های تروا ابزارهایی هستند که معمولا هکر ها برای حفظ دسترسی ها و ایجاد درب های پشتی ( Backdoor ) برای سوء استفاده های بعدی از سیستم استفاده می شوند . اسب های تروا معمولا از طریق اینترنت و با استفاده از پروتکل FTP و یا نرم افزارهای مفید رایگان و یا حتی از طریق ایمیل و وب سایت ها و بسیاری دیگر از روش ها ... وارد سیستم هدف می شوند . اسب های تروا شناخته شده معمولا از پورت های زیر برای کارهای خود استفاده می کنند :
- Trinoo : پورت های 1524 و 27444 و 27665 و 31335
- Back Orifice : پورت 31337
- Netbus : پورت 12345
- Subseven : پورت های 1080 و 1234 و 2773
برخی از انواع اسب های تروا به گونه ای برنامه نویسی شده اند که بتوانند یک سری پورت های خاص را برای سوء استفاده بر روی سیستم هدف باز کنند . معمولا زمانی که یک اسب تروا بر روی یک سیستم نصب می شود یک پورت با شماره بالا را برای خود باز می کند و معمولا از محدوده پورت های شناخته شده استفاده نمی کند. بعد ها همین پورت های باز می تواند توسط مهاجم مجددا اسکن شده و از طریق آنها به سیستم حمله می شود. اسکن کردن مخرب سیستم ها در قسمت بعدی بیشتر بررسی می شود .
اسکن سیستم یا System Scanning
هیچ سیستم کامپیوتری که به یک شبکه داخلی و یا یک شبکه عمومی متصل است از اسکن های غیرمجاز مصون نیست .اسکن سیستم فرآیندی است که برای بدست آوردن اطلاعات از سیستم هدف در جهت برنامه ریزی حمله به آن سیستم انجام می شود . مهاجمین از این روش برای شناسایی پورت های باز سیستم ، سرویس های موجود بر روی سیستم ، و همچنین سیستم عامل و نرم افزارهای نصب شده بر روی سیستم هدف استفاده می کنند . اسکن کردن سیستم هدف به مهاجم این امکان را می دهد که با شناسایی درست هدف ، نقاط ضعف آنرا بررسی و از طریق این نقاط ضعف براحتی به سیستم حمله کند. اسکن کردن سیستم های هدف یکی از مراحل انجام یک طرح حمله هکری است که این طرح شامل مراحل زیر می شود :
شناسایی شبکه ( Network Reconnaissance ) : در مرحله شناسایی شبکه ، مهاجم اطلاعات ارزشمندی در خصوص شبکه مقصد از قبیل موارد زیر را بدست می آورد :
- نام دامنه های موجود و بلوک های ip
- سیستم های تشخیص نفوذ
- سرویس های فعال
- نوع سیستم عامل ها و پروتکل ها مورد استفاده
- فایروال ها و تجهیزات محافظت شبکه
- اطلاعات در خصوص زیرساختارهای شبکه
بدست آوردن دسترسی سیستمی ( Gaining System Access ) : بدست آوردن دسترسی به سیستم هدف از چندین روش به شرح زیر ممکن است انجام شود :
- ربودن نشست یا Session Hijacking
- بدست آوردن رمز عبور یا Password Cracking
- شنود شبکه یا Sniffing
- دسترسی مستقیم فیزیکی به سیستم های کنترل نشده شبکه
- سوء استفاده از حسابهای کاربری پیشفرض
- مهندسی اجتماعی
حذف آثار حمله ( Removing Evidence Of the Attack ) : بعد از اینکه حمله به درستی انجام شد ، آثار حمله می تواند به روش های زیر حذف شود :
- ویرایش و حذف لاگ های امنیتی ( Security Logs )
- دستکاری Syslog سرور
- جابجا کردن فایل های سیستمی با ابزارهای Rootkit
- ایجاد حساب های کاربری مجاز
- ایجاد و نگهداری اسب های تروا ، ویروس هایی مانند Subseven و Netbus
Brute force
يك روش براي به شكستن كلمات رمز و به دست آوردن آنهاست حمله Brute-force حروف را به صورت تركيبي استفاده مي كند و با تست كردن آنها رمز عبور را پيدا مي كند. براي مقابله با اين روش بايد كلمات رمز با طول زياد انتخاب كرد و يا كلمات رمز را هر دفعه تغيير داد
War Dialing
استفاده از يك ابزار پويشگر براي اتصال به يك رنجي از شماره هاي تلفن به وسيله مودم براي اهداف نفوذگرانه يك War Dialer نرم افزاری مي باشد كه با استفاده از مودم با يك رنجي از شماره ها تماس گرفته و شماره هايي كه تماسي موفق داشته اند را جمع آوري مي كند
Port Scanner
یکی از نرم افزارهایی که می تواند ابزار دست هکر ها و افراد سودجو قرار بگیرد استفاده از نرم افزار Port Scanner است. این نرم افزار با ارسال درخواستهای مکرر از یک کلاینت به سرور، پورت های فعال سرور را شناسایی می کند. این کار معمولا توسط مدیران شبکه و برای پیدا کردن پورت های باز سرور انجام می شود . البته هکرها با استفاده از این ابزار قادر خواهند بود پورتهای باز سرور خواهند بود و از آن طریق اقدام به حملات خرابکارانه می زنند با فرایند حمله هکری خود را طراحی می کنند.
Arp Poisoning or Arp Spoofing
وظیفه پروتکل Arp تبدیل Ip به Mac می باشد. هکرها با سو استفاده از وظیفه ای که این پروتکل انجام می دهد و ایجاد یک بسته GArp تقلبی و معرفی آدرس آی پی و گیت وی شبکه طبق ادرس Mac خودشان اقدام به حملات خرابکارانه می کنند سیستم های شبکه براساس این بسته Arp Table خود را به روز رسانی می کنند و در نتیجه از این پس ترافیک مربوط به خارج شبکه را تحویل هکر می دهند و مهاجم بعد از شنود و جمع آوری اطلاعات (MITM) ،ترافیک را به گیت وی اصلی ارسال می کند در این شیوه مدیران شبکه از بروز مشکل خبردار نخواهند شد.
Scripting
XSS یکی از نقاط ضعف امنیتی میباشد که معمولا در Web Application ها یافت می شود. XSS این قابلیت را به هکر میدهد که اسکریپت های مخربی در سمت کلاینت، در هنگامی که کاربران درخواست اتصال به صفحه وب خاصی را داشته باشند تزریق می کند. از قابلیت دیگر این حمله ، هکر می تواند سطح دسترسی های خاص تعیین شده توسط برخی سیاست ها یا به عبارت دیگر Same-Origin-Policy را Bypass کند.
میزان و شدت تهدید حملات XSS براساس محتوای که وب سایت آسیب پذیر دارد، می تواند در قالب یک حمله خطرناک و یا فقط یک مزاحمت ساده و عادی ظاهر شود. در این حمله هکر به صورت مستقیم با قربانی تعامل نمی کند بلکه هکر یک وب سایت آسیب پذیری را یافته و پس از نفوذ آن را به عنوان وسیله ای قرار میدهد که با بازدید کاربرانی که آسیب پذیر به حمله XSS هستند، هکر Script مخرب خود را بر روی سیستم قربانی منتقل و اجرا می کند. XSS برای انجام حمله خود ازvBscript، Flash و Java Script سوء استفاده می کند.
نحوه عملکرد Cross-Site-Script :
برای اینکه هکر بتواند JavaScript مخرب خود را بر روی Browser آسیب پذیر قربانی راه اندازی کند ابتدا باید راهی را پیدا کند که وب سایت پر بازدید را هک کند تا با اتصال کاربران اینترنتی آسیب پذیر به حمله XSS این کد مخرب بر روی Web Browser آنها اجرا می شود. روش دیگری که هکر می تواند این حمله را پیاده سازی کند از طریق تکنیک مهندسی اجتماعی یا Soctial Engineering میباشد که هکر با استفاده ترفند های زیرکانه ای قربانی را متقاعد کرده که از صفحه خاصی بازدید کند این در حالی است که این صفحه از قبل تحت تاثیر JavaScript Payload قرار گرفته است.
برای اینکه حمله XSS اتفاق بیوفتد وب سایت آسیب پذیر باید به صورت مستقیم داده های وارد شده توسط کاربران در درون وب سایت قرار گیرد. هکر آنگاه می تواند برخی رشته های خاص – String – خود را در این صفحات تزریق کند تا این String ها در browser قربانی پردازش شوند. در زیر Pseudo-Code نمایش داده شده است که اخرین گفتگوهای رد و بدل شده در صفحات را نمایش می دهد.
Script بالا صرقا اخرین گفتگوهای ذخیره شده در database را به فرمت HTML نمایش میدهد هر صفحه بالا نشان می دهد که به حمله XSS آسیب پذیر است زیرا که هکر می تواند Commed های را اجرا کند که شامل Payload مخربی باشد مانند <script>doSomethingEvil();</script>. که کاربران با بازدید از وب سایت صفحه HTML زیر را دریافت خواهند کرد :
که با بالا آمدن این صفحه بر روی Browser قربانی کد مخرب هکر اجرا خواهد شد بدون اینکه کاربر از این موضوع آگاهی داشته باشد یا اینکه بتواند جلوی این اجرا شدن کد مخرب را بگیرد.
خطرناکترین نوع حملاتی که با JavaScript می توان انجام داد
نتایجی که هکر چه کار می تواند با اجرا کردن JavaScript انجام دهد ممکن است در همان لحظه مشخص نشود به خصوص در زمانی که این در محیطی کاملا امن و کنترل شده باشد که در این شرایط هکر فقط به سیستم عامل و فایل های قربانی دسترسی دارد که بر این اساس می توان فهمید هکر چه اقداماتی را می تواند انجام دهد که به صورت زیر است:
- JavaScript مخرب می تواند به تمامی صفحات مشابهی که آسیب پذیر هستند دسترسی داشته باشد که شامل دسترسی به Cookie هاکه معمولا برای ذخیره کردن Token نشست ها انجام شده با سایر وب سایت ها ذخیره می شوند که هکر با استفاده از این نشست ها می تواند خود را جای کاربر معتبر جایگزین کند و از اعتبار کاربر سوء استفاده کند.
- JavaScript از طریق XMLHttpRequest برای ارسال در خواست http با محتوای دلخواه به مقصد دلخواه استفاده کند.
- JavaScript می تواند در Web Browser های پیشرفته به موقعیت جغرافیای، WebCame و حتی فایل های را از روی سیستم قربانی دست کاری کند که در صورت ادغام شدن این حملات و social engineering هکر می تواند حملات پیشرفته ای شامل دزدیدن Cookie ها، Keylogger، Phishing و دزدیدن اطلاعات حساب کاربری را انجام دهد.
آیا آسیب پذیری به XSS مشکل کاربران می باشد ؟
اگر هکر بتواند به راحتی از نقطه ضعف XSS سوء استفاده کند و نیز بتواند به راحتی JavaScript های خود را بر روی Browser بازدید کننده اجرا کند در نتیجه امنیت آن وب سایت ویا آن Web Browser به همراه کاربران آن به خطر افتاده است در نتیجه XSS مشکل کاربر نمی باشد و مانند هر آسیب پذیری امنیتی دیگر آین آسیب پذیری بر روی کاربران شما تاثیر می گذارد و در نهایت بر شما نیز تاثیر خواهد گذاشت و شما نیز در امان نخواهید بود.
ساختار حمله XSS :
هکر در حمله XSS به سه مهره کلیدی که بازیگر این حمله می باشند نیاز دارد که شامل .وب سایت، قربانی و هکر می باشند در شکل زیر این گونه فرض شده است که هکر قصد دراد برای تدارک دیدن حمله impersonate اقدام به دزدیدن Cookie های قربانی میکند . که هکر برای ارسال این Cookie ها به سرور کنترلی خود راه های زیادی دارد که یکی از آنها اجرا کردن JavaScript در Browser آسیب پذیر به XSS قربانی می باشد. در شکل زیر مراحل کلی حمله نمایش داده شده است.
- هکر در ابتدا از طریق روش های مختلفی کد مخرب خود را به سایت تزریق می کند
- قربانی در خواست اتصال به صفح وب سایت را ارسال می کند .
- وب سرور نیز Web Page خود را به همراه کد مخرب هکر به سمت قربانی ارسال می کند
- هکر با اجرای این Web Page آلوده به کد HTML مخرب تمام Cookie های قربانی دزدیده و به سرور هکر ارسال می شوند که در اینجا کافی است هکر با خارج کردن Cookie ها از حالت فشرده بر روی سرور خود از آنها استفاده کرده و اقدام به جعل هویت یا حمله impersonate را انجام دهد
انواع XSS :
XSS را می توان در طیف وسیعی از روش ها برای ایجاد مشکلات جدی استفاده کرد. استفاده سنتی (و خطرناک) XSS توانایی یک مهاجم برای سرقت کوکی های جلسه های که از قبل توسط برخی وب سایت ها در Browser قربانی ذخیره شده است که اجازه می دهد مهاجم با دزدیدن این Cookie ها به جعل هویت قربانی بپردازد. با این حال، XSS صرفا در مورد سرقت کوکی ها نیست، استفاده از XSS برای خرابکاری در شبکه های اجتماعی، گسترش نرم افزارهای مخرب، defacements وب سایت و حتی در ارتباط با تکنیک های مهندسی اجتماعی برای گسترش بیشتر آسیب پذیری در سیستم قربانی مورد استفاده قرار گرفت.
بدترین نوع XSS حمله Stored XSS (پایدار) است. در این حمله مهاجم اسکریپتی را تزریق می کند (که به عنوان Payload شناخته می شود) که باعث میشود این اسکریپت بطور دائمی در برنامه هدف (به عنوان مثال در یک پایگاه داده) ذخیره می شود.Stored XSSClassic یک اسکریپت مخرب است که توسط مهاجم در قسمت نظرسنجی یک وبلاگ یا در پست فروم وارد می شود.
معمول ترین نوع حمله xss موسوم به حمله Reflected XSS است. در Reflected XSS، اسکریپت بارگیری مهاجم باید بخشی از درخواست است که به سرور وب فرستاده می شود باشد و نیز پاسخی که به شکل HTML بازگردانی میشود نیز باید حاوی این اسکریپت مخرب باشد . با استفاده از ایمیل های فیشینگ و سایر تکنیک های مهندسی اجتماعی، مهاجم قربانی را ترقیب می کند که درخواست خود را برای اتصال به سرور آلوده ارسال می کند و اسکریپت های مخرب را اجرا کند . شبکه های اجتماعی اغلب به راحتی برای انتشار حملات Reflected XSS مورد استفاده قرار می گیرند.
- XSS مبتنی بر DOM
- XSS مبتنی بر DOM یک نوع پیشرفته از حمله XSS است که ممکن است هکر اسکریپت های مخرب خود را به همراه برخی داده به سمت Object Model Document (DOM) ارسال می کند. سپس داده ها توسط DOM که توسط برنامه وب خوانده می شوند به مرورگر منتقل می شوند. اگر داده ها به صورت نادرست مورد استفاده قرار گیرند، یک مهاجم می تواند یکPayload را تزریق کند، که به عنوان بخشی از DOM ذخیره می شود و هنگامی که داده ها از DOM خوانده می شوند، اجرا می شوند.
بخش خطرناکی از XSS مبتنی بر DOM این است که حمله اغلب یک حمله از طرف مشتری است و Payload مهاجم هرگز به سرور ارسال نمی شود. این باعث می شود که فایروال های Web Application (WAF) و مهندسان امنیت را برای تجزیه و تحلیل سیاهت های مربوط به سرور بسیار دشوار تر کند به شکلی کهنتوانند متوجه حمله شوند. در میان اشیاء مختلف که DOM را تشکیل می دهند، برخی از اشیا به طور خاص وجود دارد که مهاجم می تواند به منظور تولید شرایط XSS دستکاری کند. چنین اشیا شامل URL (document.URL)، بخشی از URL (location.hash) و Referrer (document.referrer) است.
در این گزارش به بررسی ۱۰ بدافزاری که در حملات سایبری اخیر متهم ردیف اول به شمار می روند، خواهیم پرداخت:
۱. نوت پتیا (NotPetya)
باج افزار نوت پتیا که به عنوان یک نسخه بهروزرسانی شده نرم افزار مالیاتی در اوکراین آغاز بکار کرد، تا بحال هزاران هزار رایانه را در صدها کشور مورد تهاجم قرار داده است. این باج افزار که نوعی دیگر از بدافزار پتیا (Petya) است، تاکنون به زیر ساخت های بسیاری در کشورهایی همچون اوکراین، روسیه، انگلستان و تعدادی دیگر از کشورهای جهان حمله کرده است.
از بزرگترین قربانیان این حمله سایبری می توان به شرکتهایی عظیمی نظیر روس نفت بعنوان بزرگترین تولیدکننده نفت روسیه، مائرسک بعنوان یکی از غولهای کشتیرانی اتریش، شرکت Wpp بعنوان یکی از بزرگترین شرکتهای تبلیغاتی انگلیسی، بانک های روسی و اوکراینی، فرودگاه بینالمللی اوکراین و بسیاری از شرکتهای آلمانی و فرانسوی اشاره کرد.
۲. واناکرای (WannaCry)
به طور قطع می توان گفت که باج افزار و بدافزار واناکرای از مهلک ترین حملات سایبری در طول تاریخ کشورهای جهان به شمار می رود. بعنوان مثال، باج افزار مذکور توانست بخش های سلامت و بهداشت و خدمات بیمارستان های انگلستان را برای چندین روز از کار بیندازد و عمل های جراحی بسیاری از شهروندان را مختل کرده و یا به تعویق بیندازد.
همچنین سرورها و زیرساخت های موسسات و شرکت های عظیمی را در جهان با مشکلات عدیده ای مواجه کند. از جمله قربانیان دیگر این حمله سایبری می توان از فدکس، دویچه بان، وزارت کشور، وزارت بحران و شرکت مخابراتی مگافون روسیه و همچنین بزرگترین شرکت مخابراتی تلفنی اسپانیا به نام تلفنیکا نام برد.
طبق گزارش های منتشر شده، بد افزار واناکرای حدود ۲۰۰ هزار رایانه و سیستم را در بیش از ۱۵۰ کشور در جهان مورد حمله قرار داده و اطلاعات خصوصی و محرمانه آنها را به سرقت برده و یا از آنها سوءاستفاده کرده است.
مشاور امور حقوقی شرکت مایکروسافت نیز پیشتر اعلام کرده بود که در حملات سایبری موسوم به باج افزار واناکرای، ردپای هکرهای کره شمالی دیده می شود. باج افزار واناکرای WannaCry با استفاده از حفره های امنیتی که در ویندوز وجود دارد، فایل های کاربران را رمزگذاری کرده و برای جلوگیری از حذف داده ها، ۳۰۰ دلار به صورت بیت کوین طلب می کند.
۳. لاکی (Locky)
بر اساس گزارش های منتشر شده از سوی موسسه Proofpoint، بدافزار لاکی در فهرست خطرناک ترین بدافزارها در حملات سایبری، در جایگاه سوم قرار گرفته است.
بد افزار لاکی در سال گذشته میلادی ۲۰۱۶ جز پر کاربردترین بدافزارهایی بود که مقصر شماره نخست حملات سایبری در این سال به شمار می رفت. این بدافزار، انواع مختلفی به نام های Diabloو Lukitusدارد که آنها نیز هر کدام به نوبه خود خطرات و تهدیدات بسیاری را برای مراکز و سازمان های مختلف ایجاد کرده بودند.
۴. کرایسیس (CrySis)
این بدافزار در کشورهایی نظیر نیوزلند و استرالیا بیشترین آمار حملا سایبری را به نام خود ثبت کرده است و در فهرست مهلک ترین بدافزارها در جهان، در رتبه چهارم جدول جای گرفته است.
۵. نِموکُد (Nemucod)
بدافزار نموکد از سال ۲۰۱۵ میلادی تاکنون فعالیت خود را در زمینه سرقت اطلاعات در فضای سایبری آغاز کرد. نموکد نخست در قالب یک ایمیل فیشینگ، به رایانه های بسیاری از کاربران در جهان حمله کرده و اطلاعات محرمانه ذخیره شده آنها را به سرقت برد.
۶. جاف (Jaff)
باج افزار جاف که در ماه مه سال جاری میلادی ۲۰۱۷ آغاز بکار کرد، شباهت بسیاری به باج افزار لاکی (Locky) دارد و از طریق ارسال ایمیل های اسپم به رایانه های قربانیان در سراسر جهان حمله کرده و به ازای بازگرداندن اطلاعات آنها پول الکترونیکی بیت کوین با مبالغ هنگفتی درخواست می کرده است.
۷. اسپورا (Spora)
باج افزار اسپورا (Spora) نیز در فهرست خطرناک ترین حملات سایبری، در جایگاه هفتم جای گرفته است و از طریق ارسال پیام برای بهروزرسانی مرورگر گوگل کروم، به رایانه های کاربران حمله می کرده و اطلاعات و پول های آنها را به سرقت می برده است.
۸. کربر (Cerber)
این بدافزار از سایر باج افزارها به عنوان یک پلتفرم برای اخاذی پول و سرقت اطلاعات سوءاستفاده می کرده است و بدین ترتیب پول بسیاری را به جیب می زده است.
۹. کریپتومیکس (Cryptomix)
بر اساس گزارش های منتشر شده، باج افزار کریپتومیکس یکی از باج افزارهای معدودی است که برای اخاذی و انتقال وجه دارای درگاه اینترنتی مخصوص خود نیست و قربانیان در قبال دریافت و احیای اطلاعات و فایلهای رایانه خود، برای ارسال پول الکترونیکی یا بیت کوین باید تا زمانی که مجرمان سایبری دستورات انتقال وجه را برایشان با ایمیل بفرستند، صبر کنند.
۱۰. جیگسا (Jigsaw)
باج افزار جیگسا که برای نخستین بار در سال ۲۰۱۶ رصد شد، به صورت یک تصویر آلوده داخل ایمیل های اسپم به کاربران ارسال می شود و در صورتی که قربانیان روی آن کلیک کنند، باج افزار مذکور فعال شده و تمامی فایل ها و اطلاعات ذخیره شده در رایانه را رمزنگاری می کند. پس از آن پیغامی به کاربران ارسال می شود و از آنها در قبال بازگرداندن و احیای اطلاعات شان، ۱۵۰ دلار درخواست می کند.
تهیه و تدوین: ئاکو فرجی
اگر احساس می کنید این مطلب برای شما مفید بود ، از 1 تا
10 به این مطلب امتیاز دهید
دیدگاه کاربران در مورد این مطلب
