منع سرویس
حمله منع سرویس (به انگلیسی: Denial of Service) (یا به اختصار DoS) نوعی از حملهاست که هدف آن از کار انداختن سرویس یا سرویسهای خاصی روی سرور مورد نظر است که معمولاً برای از کار انداختن سرویس http به کار میرود که باعث میشود سایتهای روی سرور از دسترس خارج شوند. انجام این حمله (برخلاف بسیاری از انواع دیگر حملهها) تحت هر شرایطی جرم محسوب میشود و پیگرد قانونی دارد.
اهداف حمله
به طور کلی انجام این حمله برای اهداف زیر صورت میگیرد:
- پایین آوردن سرعت و کیفیت سرویسدهی شبکه (دسترسی به سایت یا انتقال فایل)
- از دسترس خارج کردن وبسایت مورد نظر
- قطع دسترسی تمام وبسایتها (با حمله به name serverها)
- افزایش تعداد ایمیلهای spam (که به e-mail bombing نیز معروف است)
لازم به ذکر است که این حمله فقط مختص به سرورها نیست و ممکن است یک شبکه یا حتی روتر نیز مورد حمله قرار گیرد و ممکن است کار بخش عمدهای از اینترنت را مختل کند (همانطور که در طول تاریخ ۲بار اینترنت کل دنیا با این حمله مختل شدهاست).
روشهای حمله
این حمله به دو بخش کلی تقسیم میشود، حملههایی که باعث crash کردن سرویس مورد نظر میشوند و حملههایی که باعث شلوغ شدن سرویس مورد نظر میشوند.
DDoS
حمله منع سرویس توزیعشده(Distributed Denial of Service) روشی از حملهاست که در آن حملهکننده با تعداد زیادی از کامپیوترها و شبکههایی که در اختیار دارد، حمله را صورت میدهد. در این روش تمام کامپیوترها یکی از روشهای حمله را که در ذیل ذکر شدهاند را همزمان با هم انجام میدهند که ممکن است در برخی موارد خسارات جبران ناپذیری را به بار آورد.
در این روش معمولاحملهکننده سیستمهای زیادی را آلوده کرده و به آنها همرمان فرمان میدهد، به سیستمهای آلوده شده zombie و به شبکهای از این سیستمها که تحت کنترل یک شخص هستند، botnet میگویند.
SYN Flood
در این روش بسیار متداول، حملهکننده تعداد زیادی بسته TCP حاوی SYN ارسال میکند که به معنای تقاضای شروع ارتباط است، در این صورت گیرنده بسته (هدف حمله کننده) با توجه به درخواست ارتباطی را شروع کرده و در انتظار دریافت ادامه درخواست میماند و چون ادامه درخواست از طریق حملهکننده ارسال نمیشود، سرور مورد نظر برای مدتی ارتباط را در خود نگه میدارد که تعداد زیاد این روند باعث استفاده زیاد از پهنای باند، RAM و CPU سرور مورد نظر شده و توانایی پاسخ به سایر درخواستها را نخواهد داشت.
Ping Flood
در این روش تنها با فرستادن بیش از حد بستههای ping از طرف تعداد زیادی از سیستمها، صورت میگیرد. در شبکههایی که به درستی تنظیم نشدهاند با جعلکردن (spoofing) آدرس سیستم مورد نظر و ارسال درخواست ping به broadcast تمامی سیستمهای موجود در شبکه به سیستم هدف پاسخ ارسال میکنند و ارسال تعداد زیاد این درخواستها باعث شلوغ شدن شبکه و از کار افتادن سیستم مورد نظر میشود.
سایر روشها
Smurf Attack، Ping of Death، Teardrop، Billion laughs، Christmas tree packet و صدها روش دیگر تنها روشهای شناخته شده این حمله هستند و بسیاری روشهای ابداعی و ابتکاری دیگر نیز موجود است.
روشهای جلوگیری
به طور کلی هیچ راه تضمین کنندهای برای جلوگیری از این حمله وجود ندارد و تنها راههایی برای جلوگیری از برخی روشهای متداول و کم کردن اثرات سایر روشها موجوداست، چرا که بسیاری از روشها به هیچعنوان قابل پیشگیری نیست، به عنوان مثال اگر شبکه botnet با صدهزار zombie صفحهای از سایت را باز کنند، این درخواست یک درخواست عادی بوده و نمیتوان تشخیص داد که درخواست دهنده سیستم معمولی است یا zombie و به همین جهت نمیتوان جلوی آنرا گرفت.
استفاده از دیوارههایآتش یکی از راههای متداول و بهترین راه جلوگیری است، البته استفاده از هر دیوارهآتشی توصیه نمیشود و تنها دیوارههای آتشی مناسبند که به هدف جلوگیری از DoS طراحی شدهاند.
استفاده از Switch و Routerهای مناسب که برخی دارای firewall و سیستمهای تشخیصدهنده هستند نیز راه مناسبی است. همچنین درست تنظیم کردن Switchها و Routerها امری ضروری برای جلوگیری از بسیاری از انواع حملهاست.
استفاده از سیستمهای تشخیص دهنده (IPS) سیستمهای تشخیص براساس سرعت بستهها (RBIPS) و اینگونه سیستمها نیز روش مناسبی برای جلوگیری از این حملات است.
بستههای نرمافزاری نیز موجودند که شامل تمام این سیستمها هستند، استفاده از این بستهها علاوه بر حملات DoS بسیاری دیگر از حملات را شناسایی میکنند، بسته نرمافزاری SSP (Sun Security Package) از جمله این بستهها است که کار شناسایی و جلوگیری را به صورت خودکار انجام میدهد.
منابع
غفارینیا، امید. گروه امنیتی آفتاب. حملات سرور - تکذیب سرور. عصر ارتباط، ۲ بهمن ۱۳۸۹، شماره ۳۹۲.