انواع حمله
یکی از متداول ترین روش ها برای توقف سرویس دهی از راه دور حمله به وسیله بسته های نا متعارف است.این نوع حمله،در یکی از پروسه های TCP/IP ایجاد اشکال میکند و اگر سرویس دهنده هدف در یکی از پروسه ها دارای مشکل،ضعف و یا آسیب پذیری باشد ؛ قطعاً در هم شکسته خواهد شد .معمولاً در این نوع حملات هکر در هاله امنیتی خود قرار گرفته و کمترین ردپایی از خود به جا می گذارد.در ادامه معروفترین حملات از این قسم را بیان می کنم.
Ping of Death
در این نوع حمله یک بسته Ping با ظرفیتی بیش از 64 کیلوبایت برای هدف(قربانی) ارسال می شود .با توجه به اینکه ارسال بسته های Ping بزرگ تر از 64 کیلوبایت مجاز نمی باشد، پروسه Icmp با دریافت چنین بسته ای مختل خواهد شد.تا انجا که من اطلاع دارم بسیاری از سیستم های Unix و Windows و چابگر های شبکه در مقابل این نوع حمله آسیب پذیر هستند.
Winnuke
این نوع از حمله از اشتراک پورت بر روی Port tcp 139 ویندوز استفاده میکند.وقتی داده به پورتی که طبق پروتکل SMB مجاز فرمت نشده ، فرستاده می شود و در نتیجه سیسم دچار اختلال خواهد شد.
Land
در این نوع حمله ، یک بسته SPOOF شده به جایی که در آدرس IP مبدا و IP مقصد و همچنین پورت هایی یکسان در 2 سر ارتباط موجود است، فرستاده می شود.ماشین قربانی این بسته را گرفته و تحویل پروسه TCP می دهد ؛چون آدرس مبدا و مقصد یکی است این روال در چرخه افتاده و سیستم دچار سردرگمی شده که در نسخه های قدیمی TCP/IP سیستم دچار اختلال می گردد.
Latierra
تز خانواده حملات Land است، با این قابلیت اضافی که بسته های Land برای چند پورت باز بر روی ماشین هدف ارسال می شود.
Joh2
این نوع از حمله محصول سال 2000 از کشفیات نسبتاً جدیدتر است.امروزه Patch های این چنینی (Exploite) در دنیای زیر زمینی کامپیوتر کشف شده و به اشتراک گذاشته می شوند.
از جمله ابزار نیرومند چنین حملاتی می توان به TARGA نوشته Mixter و Spike نوشته Spikeman اشاره نمود.
حملات گروهی Dos
حملات گروهی Dos که به آختصار به ان DDos گفته می شود نوعی از حملات هوشمند و زیرکانه Dos هست که نه تنها مشکلات قبلی حملات Dos را نداشته بلکه مزایایی چون پنهان بودن هویت نفوذگر و مشکل بودن امکان مبارزه برای قربانی و امکان موفقیت بسیار بالا برای یک هکر به ارمغان می آورد.
این نوع حمله برای اولین بار درتابستان 1999 در اینترنت ظاهر شد و سپس به طور فزاینده ای اینترنت را به یک میدان تمام عیار جگ مبدل کرد به صورتی که سایت های بزرگی همچون :
Yahoo,Ebay,CNN,ADMet,Etrade از این نوع از حملات در امان نماندند و خبر هایی از ناتوای ان ها برای مقابله و فوپاشی ان ها گزارش شد.
در حملات DDos هکر سعی می کند از ماشین هایی که در اینترنت پراکنده اند برای حمله(هک کردن) یک هدف مشخص بهره ببرد.به عنوان مثال اگر هکر قصد حمله به یک هدف مشخص و به روش sys-flood را داشته باشد چندین ماشین را برای حمله به یک هدف مشخص بسیج میکند.در اینجا فرض بر اینکه هکر از 100 ماشین که هرکدام پهنای باند مفید 15Kbps برای کار او داشته باشند قربانی با سیل عظیمی معادل 1/5Mbps مواجه خواهد شد.
هکر برای بدست آوردن این پهنای باند از ماشین های مختلف از نرم افزار های زامبی استفاده می کند (این نرم افزار ها معمولاً در قالب برنا مه های جذاب و زیبا و رایگان ولی آلوده در سرتاسر اینترنت پراکنده میکند.).به طور معمول نرم افزار های زامبی پس از اجای ان در یک ماشین(کامپیوتر) منتظر فرمان می مانند و وقتی تعداد ماشین های زامبی زیاد باشد هکر قادر به کنترل همه آنها نمی باشد .بنابر این در حمله به طریق DDos ماشیسن های زامبی در قالب "گروه" دسته بندی شده و سپس در این حالت هر گروه از ماشین های زامبی توسط یک "سرگروه" هدایت میشوند که خود سر گروه ها تحت کنترل ماشین هکر می باشند.
حملات SYN Flood
حمله اخیر به سرورهای SCO از نوع DOS و حملات موسوم به SYN Flood بود.در این نوع از حمله با ارسال بسته های اطلاعاتی سعی می شود یک اتصال کامل میان ماشین ارسال کننده و سرور اصلی به طور مصنوعی برقرار شود. دیتای ارسالی با ظاهری کاملاً قانونی از طریق پروتکل های موجود می شود؛ اما دیتا مستقیماً پردازشگر سرور را مورد حمله قرار می دهد . بدین معنی که برای دریافت، خواندن و پاسخ به هر بسته اطلاعاتی به عنوان Request سرور نیاز به استفاده از Processor های خود دارد تا آن را آنالیز کند.در حالت عادی پردازشگر سرور یک بسته را نگه داشته و بعد از عملیات به آن جواب می دهد.هنگام نگه داشتن بسته اطلاعاتی، حافظه اشغال می شود و در این میان هرچه تعداد بسته ها بیشتر بوده و به صورت ناگهانی و سیل آسا به طرف حافظه حمله ور شود، حافظه سیستم و سرور دچار تنگی شده و پردازش کند می شود.
حال اگر سرور ها بدین ترتیب Request مصنوعی دریافت کنند، آنقدر به سرور فشار می آید که ماشین هنگ می کند و بعد یا Restart می شود و یا راهبر آن را خاموش می کند.سایت نت کرافت با مانیتور کردن SCO گزارش داد وجود حفره روی خط اینترنت و سرورهای SCO حملات بیشتر و متعددی را ایجاد کرد. آنالیز دیتای موسوم به BackScatter نشان از ترافیک بالا و غیر طبیعی روی میل سرور و فایل سرور و نیز اف.تی.پی سرور (FTP Server) سایتSCO داشت.به حدی که بر اساس گزارش نت کرافت 50 هزار بسته اطلاعاتی(Packet) در هر ثانیه سرور SCO را مورد هدف قرار داد و بعد میزان بسته ها کمتر شد و در هر ثانیه مقدار آن به 3هزار بسته در هر ثانیه رسید که در این میان از هر سه Request برای باز شدن سایت یکی از آنها پاسخ مثبت دریافت می کرد . دیوید کنراد مدیر Nominum در این باره گفت : مسئولان SCO می توانستند با نصب Syncookies جلوی حملات را روی سرور خود بگیرند.این برنامه IP های جعلی را که حافظه را با ارسال بسته های تقلبی پر می کند، شناسایی کرده و جلوی آن را میگیرد.
هر دور روز يكبار آموزش يكي از اين حمله ها رو ميدم
با اميد به اينكه ما رو هم در جمع خود قبول كنيد.
:twisted:
یکی از متداول ترین روش ها برای توقف سرویس دهی از راه دور حمله به وسیله بسته های نا متعارف است.این نوع حمله،در یکی از پروسه های TCP/IP ایجاد اشکال میکند و اگر سرویس دهنده هدف در یکی از پروسه ها دارای مشکل،ضعف و یا آسیب پذیری باشد ؛ قطعاً در هم شکسته خواهد شد .معمولاً در این نوع حملات هکر در هاله امنیتی خود قرار گرفته و کمترین ردپایی از خود به جا می گذارد.در ادامه معروفترین حملات از این قسم را بیان می کنم.
Ping of Death
در این نوع حمله یک بسته Ping با ظرفیتی بیش از 64 کیلوبایت برای هدف(قربانی) ارسال می شود .با توجه به اینکه ارسال بسته های Ping بزرگ تر از 64 کیلوبایت مجاز نمی باشد، پروسه Icmp با دریافت چنین بسته ای مختل خواهد شد.تا انجا که من اطلاع دارم بسیاری از سیستم های Unix و Windows و چابگر های شبکه در مقابل این نوع حمله آسیب پذیر هستند.
Winnuke
این نوع از حمله از اشتراک پورت بر روی Port tcp 139 ویندوز استفاده میکند.وقتی داده به پورتی که طبق پروتکل SMB مجاز فرمت نشده ، فرستاده می شود و در نتیجه سیسم دچار اختلال خواهد شد.
Land
در این نوع حمله ، یک بسته SPOOF شده به جایی که در آدرس IP مبدا و IP مقصد و همچنین پورت هایی یکسان در 2 سر ارتباط موجود است، فرستاده می شود.ماشین قربانی این بسته را گرفته و تحویل پروسه TCP می دهد ؛چون آدرس مبدا و مقصد یکی است این روال در چرخه افتاده و سیستم دچار سردرگمی شده که در نسخه های قدیمی TCP/IP سیستم دچار اختلال می گردد.
Latierra
تز خانواده حملات Land است، با این قابلیت اضافی که بسته های Land برای چند پورت باز بر روی ماشین هدف ارسال می شود.
Joh2
این نوع از حمله محصول سال 2000 از کشفیات نسبتاً جدیدتر است.امروزه Patch های این چنینی (Exploite) در دنیای زیر زمینی کامپیوتر کشف شده و به اشتراک گذاشته می شوند.
از جمله ابزار نیرومند چنین حملاتی می توان به TARGA نوشته Mixter و Spike نوشته Spikeman اشاره نمود.
حملات گروهی Dos
حملات گروهی Dos که به آختصار به ان DDos گفته می شود نوعی از حملات هوشمند و زیرکانه Dos هست که نه تنها مشکلات قبلی حملات Dos را نداشته بلکه مزایایی چون پنهان بودن هویت نفوذگر و مشکل بودن امکان مبارزه برای قربانی و امکان موفقیت بسیار بالا برای یک هکر به ارمغان می آورد.
این نوع حمله برای اولین بار درتابستان 1999 در اینترنت ظاهر شد و سپس به طور فزاینده ای اینترنت را به یک میدان تمام عیار جگ مبدل کرد به صورتی که سایت های بزرگی همچون :
Yahoo,Ebay,CNN,ADMet,Etrade از این نوع از حملات در امان نماندند و خبر هایی از ناتوای ان ها برای مقابله و فوپاشی ان ها گزارش شد.
در حملات DDos هکر سعی می کند از ماشین هایی که در اینترنت پراکنده اند برای حمله(هک کردن) یک هدف مشخص بهره ببرد.به عنوان مثال اگر هکر قصد حمله به یک هدف مشخص و به روش sys-flood را داشته باشد چندین ماشین را برای حمله به یک هدف مشخص بسیج میکند.در اینجا فرض بر اینکه هکر از 100 ماشین که هرکدام پهنای باند مفید 15Kbps برای کار او داشته باشند قربانی با سیل عظیمی معادل 1/5Mbps مواجه خواهد شد.
هکر برای بدست آوردن این پهنای باند از ماشین های مختلف از نرم افزار های زامبی استفاده می کند (این نرم افزار ها معمولاً در قالب برنا مه های جذاب و زیبا و رایگان ولی آلوده در سرتاسر اینترنت پراکنده میکند.).به طور معمول نرم افزار های زامبی پس از اجای ان در یک ماشین(کامپیوتر) منتظر فرمان می مانند و وقتی تعداد ماشین های زامبی زیاد باشد هکر قادر به کنترل همه آنها نمی باشد .بنابر این در حمله به طریق DDos ماشیسن های زامبی در قالب "گروه" دسته بندی شده و سپس در این حالت هر گروه از ماشین های زامبی توسط یک "سرگروه" هدایت میشوند که خود سر گروه ها تحت کنترل ماشین هکر می باشند.
حملات SYN Flood
حمله اخیر به سرورهای SCO از نوع DOS و حملات موسوم به SYN Flood بود.در این نوع از حمله با ارسال بسته های اطلاعاتی سعی می شود یک اتصال کامل میان ماشین ارسال کننده و سرور اصلی به طور مصنوعی برقرار شود. دیتای ارسالی با ظاهری کاملاً قانونی از طریق پروتکل های موجود می شود؛ اما دیتا مستقیماً پردازشگر سرور را مورد حمله قرار می دهد . بدین معنی که برای دریافت، خواندن و پاسخ به هر بسته اطلاعاتی به عنوان Request سرور نیاز به استفاده از Processor های خود دارد تا آن را آنالیز کند.در حالت عادی پردازشگر سرور یک بسته را نگه داشته و بعد از عملیات به آن جواب می دهد.هنگام نگه داشتن بسته اطلاعاتی، حافظه اشغال می شود و در این میان هرچه تعداد بسته ها بیشتر بوده و به صورت ناگهانی و سیل آسا به طرف حافظه حمله ور شود، حافظه سیستم و سرور دچار تنگی شده و پردازش کند می شود.
حال اگر سرور ها بدین ترتیب Request مصنوعی دریافت کنند، آنقدر به سرور فشار می آید که ماشین هنگ می کند و بعد یا Restart می شود و یا راهبر آن را خاموش می کند.سایت نت کرافت با مانیتور کردن SCO گزارش داد وجود حفره روی خط اینترنت و سرورهای SCO حملات بیشتر و متعددی را ایجاد کرد. آنالیز دیتای موسوم به BackScatter نشان از ترافیک بالا و غیر طبیعی روی میل سرور و فایل سرور و نیز اف.تی.پی سرور (FTP Server) سایتSCO داشت.به حدی که بر اساس گزارش نت کرافت 50 هزار بسته اطلاعاتی(Packet) در هر ثانیه سرور SCO را مورد هدف قرار داد و بعد میزان بسته ها کمتر شد و در هر ثانیه مقدار آن به 3هزار بسته در هر ثانیه رسید که در این میان از هر سه Request برای باز شدن سایت یکی از آنها پاسخ مثبت دریافت می کرد . دیوید کنراد مدیر Nominum در این باره گفت : مسئولان SCO می توانستند با نصب Syncookies جلوی حملات را روی سرور خود بگیرند.این برنامه IP های جعلی را که حافظه را با ارسال بسته های تقلبی پر می کند، شناسایی کرده و جلوی آن را میگیرد.
هر دور روز يكبار آموزش يكي از اين حمله ها رو ميدم
با اميد به اينكه ما رو هم در جمع خود قبول كنيد.
:twisted:
آخرین ویرایش:
