بخشی از مقاله
چکیده
امروزه یکی از بزرگترین تهدیدات شبکهها و سامانهها در بستر اینترنت، حملات منع سرویس میباشد. علیرغم تحقیقات زیادي که در این زمینه انجام شده است، مقابله با این حملات هنوز از چالشهاي امنیتی محسوب می شود. از آنجاکه این حمله داراي گونههاي بسیار زیادي است، شناسایی صحیح آنها میتواند منجر به انتخاب راهکار مقابله موثر شود؛ و در مقابله با آن و یا کاهش تأثیر حمله را ممکن سازد. در ادبیات حمله منعسرویس به دوصورت حمله منعسرویس عادي و توزیع شده توصیف شده است و براي تشخیص، پا سخ و کاهش تاثیر آن راهکارهاي مختلفی پی شنهاد شده ا ست. در این مقاله ق صد بر این ا ست که ضمن ت شریح انواع حملات منع سرویس یک د ستهبندي جدید از این نوع حملات ارائه گردد. د ستهبندي پی شنهادي، حملات منع سرویس را برا ساس تخریب داراییهاي قربانی که خود شامل تخریب پهنايباند و تخریب برنامهکاربردي قربانی است، تقسیم میکند. در ادامه راهکارهاي امنسازي مطرح که براي اینحملات وجود دارند مورد بررسی قرار میگیرند. در انتها راهحل پیشنهادي براي مقابله با حملات منعسرویس حجمی ارائه میگردد. نتایج پیادهسازيهاي روش پیشنهادي نشاندهنده آن است که این راهکار میتواند تأثیر حملات حجمی را در اتلاف منابع شبکه از جمله پهنايباند بهشدت کاهش دهد.
کلمات کلیدي:حملات منعسرویس، حملات منعسرویس توزیعشده، دستهبندي حملات، راهکارهاي مقابله
-1 مقدمه
اینترنت با حذف محدودیتهاي جغرافیایی این توانایی را در اختیار سیستمهاي سرویسدهنده قرار میدهد که بتوانند از راهدور به میلیونها کاربر در سراسر جهان خدمات ارائه نمایند. کاربران از امکانات این سرویسدهندهها در محیطهاي مختلفی نظیر تجارتالکترونیک، دولتالکترونیک، آموزشالکترونیک، بانکداريالکترونیک، دولتالکترونیک و نظایر آن بهرهمند میشوند. در کنار تمام مزایاي ایجاد شده، باید امنیت را بهعنوان یکی از اصلیترین چالشهاي این فناوري مورد بررسی قرار داد. در این مقاله سعی شده است نقض یکی از جنبههاي اصلی امنیت یعنی دسترسپذیري که توسط
حملات منعسرویس1 انجام میشود را مورد بحث و بررسی قرار دهیم و با دستهبنديهاي مختلف به شناخت کاملی از این حملات برسیم. در دنیاي امروز درد سترس بودن و سریعبودن ک سبوکارها امري ب سیار مهم و حیاتی محسوب میگردد که میبایست سعی شود با شناخت تمام تهدیدهاي موجود در این راستا، طبق خط مشیهاي امنیتی وضعشده راهکارهاي امنیتی مناسب انتخاب گردد بطوريکه دسترسپذیري سیستم مورد نظر تضمین گردد.
دسترسپذیري یعنی افراد مجاز امکان دسترسی به دادههاي مجاز را در زمان مناسب داشته باشند و این تعریف با مفهوم متضاد آن یعنی منعسرویس شناخته میشود. در بسیاري از سازمانها و کسبوکارها در صورت ایجاد مشکل در ارائه خدمات، آنها جهت جبران مشکل، مجبور به پرداخت هزینههاي زیادي خواهند بود و در اینصورت با کاهش اعتبار و سوددهی روبهرو خواهند شد. از اینرو، با توجه به اهمیت مو ضوع، در این مقاله حملات منعسرویس مورد توجه قرار گرفتهاند تا ضمن تعریف دقیق از رخداد این حملات در لایههاي مختلف؛ مکانیزمهاي دفاعی آنها هم مورد بحث قرار گیرد. در ادامه، در بخش دوم مقاله، معماري رخداد این حملات ارائه میگردد. در بخش سوم به د ستهبندي حملات منع سرویس پرداخته می شود. در بخش چهارم، مکانیزمهاي مقابله با این حملات و راهکار پیشنهادي ارائه میگردد و در نهایت به جمعبندي موضوع خواهیم پرداخت.
-2 حملات منع سرویس و مدلهاي مختلف آن
همانطور که ذکر گردید هدف حملات منعسرویس تلاش براي عدم د ستر سی کاربران م شروع به منابع شبکه و یا یک سرویسدهنده میبا شد. حملات منعسرویس معمولی که حالت توزیعشده ندارند بهعنوان حملات DoS مرسوم هستند که توسط یک میزبان - یا یک تعداد محدودي میزبان در یک موقعیت - انجام میگیرند. اما نوع دیگر این حملات که امروزه بیشتر شاهد آنها هستیم، حملات منعسرویس توزیعشده یا DDoS میباشد که در آنها از منابع مختلف براي انجام حمله بهره گرفته میشود که علاوهبر قدرتمندتر شدن ترافیک حمله، سبب میشود شناسایی مهاجم سختتر شده و همچنین مکانیزمهاي دفاعی نیز تا حدودي با چالش روبرو شود چراکه این حملات به فراخور چگونگی حمله، میتوانند از پیچیدگی زیادي برخوردار باشند .[1]
ذکر این موضوع لازم است که، همیشه از دسترس خارجشدن یک سرویس، دلیلی بر رخداد حمله منعسرویس نمیباشد. در برخی موارد ممکن است یک سامانه از دسترس خارج گردد و کاربران قادر به استفاده از آن نباشند بهعنوان حمله منع سرویس در نظر گرفته شود. اما با برر سی دقیق مجموع ترافیک مشخص خواهد شد که عوامل بدخواهی در این رویداد دخیل نبودهاندفقط در آن لحظه کاربران قانونی زیادي بهطور همزمان - یا در یک زمان کوتاه - به سرویسدهنده متصل شدهاند و بهدلیل افزایش بازدید کابران مشروع، سامانه با حجم بالاي ترافیک مواجه شده و در نهایت سامانه از دسترس خارج شده ا ست.
بهاین رویداد در ا صطلاح Flash Crowd گفته می شود که در جدول - 1 - تفاوت این رویداد با حمله منع سرویس آورده شده ا ست .[1] براي مقابله با این رخداد، کافی است وضعیت بار کاري سیستم مورد توجه قرار گیرد با طراحی مناسب سعی در رفع بروز این رخداد نمود.در حملات منع سرویس مهاجم سعی مینماید ویژگیهاي بسته را تغییر داده تا با دور زدن برخی محدودیتها، امکان حمله می سر گردد. در این ارتباط،براي حملات منعسرویسی کهحالت توزیعشده ندارند این موارد بسیار بیشتر از حالت توزیعشده مورد استفاده قرار میگیرند. برخی از این ویژگیها عبارتند از:
•آدرس IP منبع : در برخی موارد، یک آدرس IP منبع ناصحیح، - روشی که جعلآدرسIP یا IP Spoofing نامیده میشود - براي پنهان نمودن موقعیت مهاجم استفاده میشود. در موارد دیگر، جعل IP هنگامی استفاده میشود که رشتههاي بسته به یک یا تعداد بیشتري از سرویسدهندههاي واسطه فرستاده میشوند تا باعث شود که پاسخها به سمت قربانی ارسال شود .[2] - مانند حملات smurf و - Fraggle
•پورتهاي منبع/مقصد : حملات سیلاب بسته که براساس پروتکلهاي TCP و UDP کار میکنند، گاهی اوقات پورت منبع و یا پورت مقصد را تغییر میدهند تا مانع از فیلترشدن بسته شوند .[2]
•سایر مقادیر سرآیند : IP علاوه بر تغییرات ذکر شده در بالا، در برخی از ابزارهاي حمله شاهدیم که بقیه پارامترهاي بسته IP تغییر یابد .[2] بهعنوان م ثال میتوان 2TTL را بهعنوان یکی از این م قادیر در نظر گرفت.
بستهها با خواص ساختگی بهسادگی در طول شبکه تولید و ارسال میشوند. متأسفانه پروتکل TCP/IP مکانیزمهایی را براي تضمین پیوستگی خواص بستهها در هنگام تولید و یا ارسال نقطهبهنقطه ارائه نمیکند که یکی از عیوب وارد شده به این پروتکل میباشدمعمولاً،. یک نفوذگر فقط نیاز به داشتن اختیار کافی روي یک سیستم براي بکارگیري ابزار و حملاتی که قادر به تولید و ارسال بستههاي با خواص تغییر یافته باشند، دارد.در حملات منعسرویس توزیعشده، مهاجمان با در اختیار داشتن زنجیرهاي از رایانهها، حجم گ ستردهاي از تقا ضاها را به سمت سرویسدهنده هاي مقصد روانه میکنند کهدر نهایت با اشغال تمامی ترافیک مربوط به آنها، موجب ازکارافتادن سرویسدهی میشوند.
حملات DDoSمعمولاً بهوسیلهي شبکههاي بات انجام میگیرند. شبکههاي بات، کامپیوترهاي تسخیر شدهاي هستند که مهاجم از آنها براي انجام حمله استفاده میکند. باتوجه به اندازهي عظیم شبکههاي بات - چند دههزار کامپیوتر شناخته شده متصل بههم - ، این شبکهها میتوانند تهدیدي جدي براي اینترنت به شمار آیند.براي شکلگیري حملات DDoS ، باتها و یا بطورکل عاملها3 باید با مهاجم هماهنگ عمل نمایند. این هماهنگی م ستلزم ایجاد کانالهاي ارتباطی بین آنهاست که از طریق آن مهاجم بتواند براساس دستوراتی که ارسال میکند ترافیک حمله را از سمت عاملها به سیستم قربانی ایجاد نمایند. ترکیب مهاجم، عاملها و کانالهاي ارتباطی، شبکهاي را شکل میدهند که از چهار معماري مختلف تبعیت مینمایند .[3]
•مدل : Agent-Handler مدل Agent-Handler که در شکل - 1 - ن شان داده شده ا ست، شامل مهاجم، ادارهکنندهها4 و عاملها میبا شد. در این مدل مهاجمین بهطور غیرم ستقیم با مابقی شبکه حمله، از طریق ادارهکنندهها ارتباط برقرار میکنند. ادارهکنندهها میزبانهاي به مخاطره افتادهاي هستند که عاملها را کنترل میکنند و عاملها سیستمهاي میزبان به مخاطره افتادهاي هستند که حمله را بر روي هدف انجام میدهند .[3]
•مدل مبتنی بر کانالهاي : 5IRC این مدل که در شکل - 2 - نشان داده شده است تا حدودي شبیه مدل قبلی است، با این تفاوت که بهجاي استفاده از ادارهکنندهها در مدل قبلی، از یک کانال گفتگوي IRC استفاده شده است. IRC یک پروتکل سرویسدهنده/مشتري است که بهکاربران اجازه میدهد تا پیامها را به صورت بلادرنگ بهیکدیگر ار سال کنند و در پیادهسازي سیستم گفتگو چندکاربري6 و چندکانالی7 مورد استفاده قرار میگیرد.
•مدل : Reflector این مدل شبیه به مدل Agent-Handler است که در آن لایهاي به نام بازتابدهندهها اضافه شده است. عاملها آدرس منبع بستههاي درخواست را بهآدرس قربانی تغییر میدهند و سپس به بازتابدهندهها ارسال شده و در ادامه بازتابدهندهها پاسخ درخواست را به قربانی مورد نظر که در بسته ذکر گردیده بود ارسال میکنند. در نتیجه قربانی بهجاي اینکه توسط صدها عامل مورد حمله قرار بگیرد، غرق در ترافیکی میگردد که توسط میلیونها بازتابدهنده به سمتش فرستاده شده است. در این مدل مهاجم با پنهان نمودن خود درپشت تعداد زیادي از بازتابدهندهها، کار ردیابی و مشخصنمودن ماهیت واقعی مهاجم را مشکل میسازد .[3]
•مدل مبتنی بر وب : این مدل شبیه مدل مبتنی برکانالهاي IRC می باشد با این ت فاوت که ارت با طات براساس پروت کل هاي HTTP/HTTPS می باشند. علاوه براین تمامی عامل ها طوري پیکربندي شدهاند که از طریق اسکریپتهاي پیچیده PHP و ارتباطات رمزنگاري شده کنترل گردند. در واقع تعدادي از عاملها فقط براي ارائه گزارش آماري به یک وبسایت کنترل مورد استفاده قرار میگیرند.[3]
-3 دستهبندي پیشنهادي حملات منع سرویس
دستهبندي حملات منعسرویس چه از نوع ساده و یا توزیع شده، میتواند با روشهاي مختلف و در نظر گرفتن پارامترهاي متفاوت صورت پذیرد. به طورکلی براي شناخت هرچه بیشتر حملات منعسرویس لازم است که حملات را از دیدگاههاي مختلف د ستهبندي نماییم. د ستهبندي منا سب حملات باعث ایجاد زبانی مشترك براي تبادل راهحلها بین متخصصان امنیتی میشود و به مشخصشدن نحوه هماهنگی مکانیزمهاي مختلف و آشکارشدن نقاط ضعفی که باید کار بیشتري روي آنها صورت گیرد کمک مینماید. در این مقاله سعی شده است مروري بر دستهبنديهاي مختلف داشته باشیم.
-3-1 براساس درجه خودکارسازي
براساس درﺟﻪ خودکارسازي، حملات به سه دسته حملات دستی، نیمه خودکار و خودکار تقسیم میشوند.
•حملات دستی : در این حملات، ابتدا مهاجم ماشین راهدور را براي یافتن نقاط آ سیبپذیر ا سکن مینماید. هنگامیکه آ سیبپذیري دلخواه کشف شد از طریق آن نفوذ مینماید و پس از نصب کد حمله در ماشین قربانی، دستورات حمله را اجرا و حمله را شروع مینماید. تنها در حملات DDoS اولیه از این روش استفاده شده است . [3,4]
•حملات نیمهخودکار: ماهیت این نوع از حملات بصورتی است که مهاجم از اسکریپتهاي خودکار براي اسکن و تسخیر8 ادارهکنندهها استفاده مینماید. [3,4] براساس مکانیزم مورد استفاده بین مهاجم و ادارهکنندهها در حملات نیمهخودکار به دو دسته زیر تقسیم میشوند: o حملات با ارت باط مستقیم : این حملات در مع ماري هایی که براساس مدل Agent-Handler هستند بکار میروند. که این ماشینها میبایست هویت یکدیگر را براي برقراري ارتباط بشناسند. اینکار از طریق آدرس IP ماشین ادارهکننده انجام میپذیرد که از کدهاي حملهاي که درون عامل ن صب شده ا ست بدست میآید.
سپس هر عامل آمادگیاش را به ادارهکنندهاي که آدرس IP او را درون فایلی براي ارتباطات بعدي ذخیره میکند، اعلام میکند.در این رویکرد کشف یک ماشین تسخیرشده میتواند کل شبکه DDoS را افشا نماید. همچنین از آنجایی که عاملها و ادارهکنندهها به ارتباطات شبکه گوش میدهند، بوسیله اسکنرهاي شبکه قابل شناساییاند .[3,4] حملات با ارتباط غیرمستقیم : این حملات در معماريهایی که براساس مدل مبتنی بر کانالهاي IRC هستند مورد استفاده قرار میگیر ند. عا مل ها از طریق سرویس هاي م جاز شب که با سرویسهاي راهدور ارتباط برقرار میکنند، بنابراین تمایز ارتباطات عامل از ترافیک مجاز شبکه بهآسانی ممکن نیست. همچنین