بخشی از مقاله
خلاصه :
رشد فن آوری وب راحتی را برای زندگی ما به ارمغان آورده و به یکی از مهم ترین کانال های ارتباطی تبدیل شده است. با این حال، در حال حاضر این خدمت توسط حملات مبتنی بر شبکه پیچیده، مانند منع سرویس - DoS - و حملات منع سرویس توزیع شده - DDoS - تهدیدمیشود. حملات منع سرویس لایه وب و یا کاربردی 2، از طریق ایجاد مصنوعی حجم زیاد ترافیک با استفاده از پروتکل HTTP بر روی وب سروربا استفاده از تعداد زیادی از ماشین ها تولید و باعث اخلال در سرویس دهی وب می گردد.برای شناسایی این دسته از حملات نیاز است تا درخواستهای ارسالی که در وب سرور ثبت شده است بررسی گردد.
در این تحقیق پس از معرفی منابع ثبت رخداد لایه کاربردی در وب سرور آپاچی و ساختار رخدادهای تولید شده، در ابتدا با استفاده از معماری سرویس ردیابی گرا - STBOA3 - ، بررسی می شود که آیا درخواستهای ورودی توسط یک انسان است یا با یک ابزار خودکار راه اندازی شده است تاIP مهاجم به درستی ردیابی شود و در مرحله بعد با استفاده از یک طرح مبتنی بر آنتروپی پیشرفته منعطف - Entropy - حملات DDoS با نرخ بالا - HR-DDoS - و حملات ازدحام ناگهانی و یا جمعیت فلش - FC4 - شناسایی می گردد.برای تست روش فوق از مجموعه داده آزمایشی با بیش از 420000 درخواست رسیده برای هر سرویس STBOA - و - FAEB استفاده شده است که بیش از %90 حملات FC,DDOS شناسایی گردید.
-1 مقدمه :
بنا بر ادعای دادستان آمریکا، هکرهای متهم ایرانی در سال 2013، حداقل به 46 بانک و مؤسسه مالی و اعتباری آمریکا از جمله جی پی مورگان، ولز فارگو و آمریکن اکسپرس حمله کردهاند که عمدتاً حملات»ِ «DDOS / DOS بوده است؛ حملاتی که باعث ایجاد ترافیک کاذب و بیش از پهنای باند برای سایتهای ارائه دهنده خدمات بانکی میشود و بدین ترتیب وبسایتها از دسترس عموم خارج میشود که نتیجه آن بیش از ده ها میلیون دلار خسارت بوده است.[1]
از لحاظ تاریخی نیز، یک سری از حملات منع سرویس - - DoS/DDoS که در ماه فوریه سال 2000 علیه سایت های Amazon, Yahooو eBay رخ داده، که منجر به از دست دادن تقریبا 1,2 بیلیون دلار شده است. تحلیلگران تخمین زدند در طول سه ساعت که وب سایت یاهو مختل شده بود، حدود 500000 دلار از دست رفته است. بر اساس گزارش سایت آمازون، حمله DDoS علت از دست دادن 600000 دلار در طول 10 ساعت خرابی بوده است.
به همین ترتیب، در طول حملات DDoS علیه eBay ، در دسترس بودن سایت eBay.com از 100 به 9,4 تنزل یافته بود. در ژانویه 2001، مایکروسافت در طول یک دوره چند روزه حمله DDoS در سایت خود حدود 500 میلیون دلار را از دست داد. در سال 2011، حملات DDoS پنج وب سایت با رده بالا، یعنی Visa, MasterCard, Sony, WordPress و سازمان سیا را ویران کرد. امروزه، حملات DDoS قادر به تخریب قوی یک سایت در یک حمله ساده هستند. بر طبق برآوردها انتظار می رود که هزینه های قطع ناگهانی 24 ساعته برای یک شرکت تجارت الکترونیک بزرگ 30 میلیون دلار 2]، [3 باشد.
یکی از راهکارهای حفظ امنیت و پایداری وب سایتها و کاهش خسارات مالی و فنی، تحلیل مستمر ترافیک وب می باشد.ترافیک وب مجموعه درخواستها و پاسخهای یک وب می باشد که در وب سرور ثبت و ذخیره می گردد.تحلیل ترافیک این لایه که تحت عنوان رخداد یا لاگ در وب سرور ثبت می شود می تواند منجر به شناسایی حملات صورت گرفته به وب سرور باشد که بواسطه نوع ساختار آن در لایه های دیگر مثل لایه سه و چهار شناخته نشده است.
-2کلیات و مفاهیم:
-2-1 وب سرور: 1
وب سرور سامانه ای است که سایتها برروی آن قرار گرفته و توانایی پاسخگوئی به مرورگر وب و ارسال صفحه درخواستی مرورگر را دارا است . صفحات وب بر پایه یک ساختار مشخص و با یک نام یگانه - IP - بر روی وب سرورقرار می گیرند .بر روی یک وب سرور امکان قرار گرفتن صفحات متعدد و با ساختارهای جداگانه وجود دارد.تابع اولیه یک وب سرور ارائه صفحات وب به کاربران است. از انواع وب سرورهای اینترنتی به Apache و IIS می توان اشاره کرد.[4]
-2-2بررسی ثبت رخدادها2 در وب سرورها :
یکی از نکات مهم در برپایی یک وبگاه نظارت بر رخدادها و شناخت کافی از مراجعین به وبگاه می باشد - درخواست3 و پاسخ - 4 که برای تحلیل های بعدی بسیار مفید است.برای این کار وب سرورهای مختلف راهکارهای لازم را ارائه نموده اند. بعنوان مثال وب سرور آپاچی بعنوان پرکاربرد ترین وب سرور در فضای اینترنت و وب، امکانات مناسبی برای ثبت رخدادها فراهم کرده است.شکل 1 امکانات وب سرور آپاچی را تشریح نموده است. [5]
:Forensics Log- این فایل با ارسال درخواست به وب سرور ایجاد می شود.این سرویس قبل از اجرای درخواست جدید، وضعیت فعلی را نگهداری کرده و پس از پاسخ به درخواست رسیده، آخرین وضعیت را نیز ثبت می نماید.این روش این امکان را فراهم می آورد که در صورت هرگونه خرابکاری و یا اخلال در وب سرور، امکان مقایسه وضعیت قبل و بعد از دریافت و اجرای درخواست برای کشف مستندات حمله وجود داشته باشد.بنابر این می توان گفت برای هر درخواست دو لاگ در این فایل ثبت می شود.لاگ قبل از اجرای درخواست و لاگ بعد از اجرای درخواست[5]
:Error Log- این سرویس لیستی از آخرین خطاهای تولید شده توسط سایت و وب سرور را نمایش می دهد.بعنوان مثال استفاده از یک IP خاص - برای دسترسی به یک فولدر یا وب سایتی - که در فایل htaccess مسدود شده است باعث نمایش پیام خطای forbidden 403وایجادیک لاگ در این فایل می گردد.در این فایل مواردی مثل تاریخ و زمان خطا، برخی از اطلاعات مربوط به خطاهای که مشتری دریافت می کند و توضیحات خطا نمایش داده می شود.[5 ]
:Access log- در این سرویس کلیه درخواستهای ارسالی به وب سرور و فرآیندهای انجام شده ذخیره می گردد.فایل Access log مهمترین و کاملترین محل ثبت رخدادهای وب می باشد. اطلاعات این فایل شامل ریز درخواست ها و IP هایی که به سایت متصل شده باشند،زمان اتصال، لینکی که به آن متصل شده اند و برخی اطلاعات دیگر می باشد.محتوای این فایل برای تحلیل ترافیک وب سرور مورد استفاده قرار می گیرد.[ 5 ]
-2-3حملات و جرایم وب گاه ها :
حملات نوع خاصی وجود دارند که به حملات نرم افزارهای کاربردی وب 1 و یا لایه هفت شبکه مشهور هستند. لایه هفتم یا لایه کاربردی رابط بین کاربر و سیستم عامل محسوب می شود و همانطور که از اسمش پیداست، می توان بوسیله این لایه با نرم افزارهای کاربردی ارتباط برقرار کرد. برای مثال وقتی از نرم افزار Internet Explorer برای ارسال درخواست باز کردن صفحه وبی مانند گوگل استفاده می شود، در حقیقت از پروتکل HTTP برای ارسال درخواست توسط این نرم افزار اسفاده می شود که همه اینها در لایه هفتم از مدل OSI فعالیت می کنند . [6]
