حملات DoS و DDOS-قسمت دوم

حملات DoS و DDOS-قسمت دوم

 در مقاله قبلی حملات DOS و DDOS معرفی شدند؛ و همان طور که بیان شد این حملات، تهدیداتی هستند، که موجب از بین رفتن  منابع  و از دسترس خارج کردن آنها برای کاربران مجاز می­ گردند.سپس به دسته بندی این حملات پرداخته شد که بر اساس IPv4 و IPv6 تقسیم شده و هر دو مورد به حملات لایه 4 و لایه 7 (طبق مدل OSI) تقسیم می شوند. در این مقاله به ادامه توضیح سایر حملات در دسته بندی بیان شده می پردازیم.

حمله ICMP(v6)-flood

استفاده از (ICMP(v6 مبتنی بر ping از مکانیسم پاسخ اکو استفاده می کند. در این حمله مهاجم  حجم وسیعی از بسته ها را با آدرس IP منبع جعلی غیرمعتبر مختلف به قربانی ارسال می کند. در نتیجه باعث هدر رفتن منابع قربانی و تخریب پهنای باند می شود. بنابراین بسته های مجاز قادر به دریافت خدمات نیستند.

حمله smurf

این حمله تا حدودی شبیه به جریان (ICMP (v6 است. در این حمله، مهاجم بسته هایی با آدرس IP منبع جعلی (برای هدف قرار دادن قربانی) broadcast می کند. از آنجا که بسته ها به صورت broadcast ارسال می شوند، بنابراین توسط تمام گره های درون شبکه دریافت می شوند. با توجه به اینکه که آدرس IP منبع به عنوان آدرس قربانی جعل شده است، در نتیجه هر کدام از گره ها پاسخی را به قربانی برمی گردانند. از آنجا که این عمل باعث ایجاد مقدار زیادی از بسته های پاسخ اکو می شود ،منابع قربانی را می تواند به راحتی تمام کند.

حملات لایه 7

در این بخش حملات DoS و DDOS مبتنی بر لایه 7 (لایه  Application)  که ممکن است تحت IPv4 و IPv6 رخ دهد، بررسی می گردد.

درخواست های HTTP ناقص با استفاده از متد GET

این حمله مبتنی بر نحوه ارسال اطلاعات کلاینت به سرور  است (در حالی که ارتباط بین آنها ادامه دارد).در این حمله، کلاینت درخواست های HTTP را  با روشی متفاوت به وب سرور می فرستد. در واقع در این روش فقط بخشی از هدر HTTP  ارسال شده و هرگز سربرگ کامل ارسال نمی شود. کلاینت همچنان به ارسال هدرهای بعدی در فواصل منظم برای برقرار نگه داشتن سوکت.  ادامه می دهد.

کلاینت چندین درخواست ناقص برای اتمام منابع سرور ارسال می کند. در نتیجه ، این درخواست ها تمام منابع موجود در سرور را مصرف می کنند، بنابراین درخواست های کاربران مجاز رد می شود.

درخواست های HTTP ناقص با استفاده از متد post

این حمله مشابه درخواست های HTTP ناقص با استفاده از متد GET است تنها تفاوت در این مورد کلاینت، درخواست  HTTP ناقص را بجای متد GET با کمک POST ارسال می کند.

درخواست HTTP با استفاده از متد HEAD

در متد HEAD، سرور نباید یک بدنه پیام  را در پاسخ  برگرداند، این موجب صرفه جویی در منابع طرف مهاجم می شود . مهاجم با کمک روش HEAD صفحه ای که ایجاد کردن  آن برای سرور گران باشد را هدف قرار می دهد.

اقدامات متقابل برای جلوگیری از حملات DoS و DDOS 

حملات DoS و DDOS حملات مستقلی نیستند. برای انجام این حملات ابتدا نیاز به انجام حملات دیگری است. برخی از نمونه های این حملات عبارتند از

• IP Spoofing
• ARP spoofing/poisoning
• MAC  spoofing
• حملات MITM
• و…

اگر از این حملات جلوگیری شود اجرای حملات Dos/DDOS برای مهاجمین بسیار دشوار خواهد بود.

دفاع در برابر حملات  DoS و DDOS لایه 4

از آنجا که تمام حملات DoS و DDOS لایه انتقال، براساس جعل IP است، به سادگی دفاع در برابر جعل آی پی (IP Spoofing) برای متوقف کردن حملات DoS و DDOS کافی خواهد بود.

به طور کلی ، مدیران شبکه برای جلوگیری از IP Spoofing از IPSec استفاده می کنند. با این حال ، اگر مهاجم از  تعداد زیادی گره به عنوان زامبی استفاده کند،این دفاع کار نخواهد کرد. زیرا ممکن است زامبی ها در time zone های مختلفی توزیع شده باشند که این باعث شده آدرس های IP آنها به صورت وسیع تغییر کرده و متفاوت خواهد شد. در نتیجه، ترافیک ایجاد شده را نمی توان با ترافیک مجاز متمایز کرد.

یکی ازبهترین و پرکابردترین نوع دفاع، استفاده از سیستم تشخیص نفوذ(IDS) مبتنی بر ابزار نرم افزاری مانند Snort است. snort  یک سیستم تشخیص نفوذ شبکه متن باز است.

دفاع در برابر حملات DoS و DDOS لایه 7

این حملات خطرناک هستند زیرا اینگونه حملات محدود به استفاده از IP spoofing نیستند و می تواند با استفاده از پهنای باند حداقل نیز راه اندازی شود. یک راه حل ممکن این است که یک وب سرور یک درخواست را تا زمانی که یک درخواست HTTP کامل باشد، قبول نکند. در نتیجه، درخواست های جزئی که فقط بخشی از سرایند HTTP را دارند توسط سرور رد می شود.

راه حل دیگر که می تواند اجرا شود، نوعی محاسبه پازل ریاضی در سمت کلاینت قبل از برقراری ارتباط است. در نتیجه، هزینه محاسبه در سمت کلاینت به دلیل اتصالاتی چندگانه  موجب می شود که نتواند درخواست های زیادی را ارسال کند.