بررسي حملات D.O.S(3)


 






 

بررسي انواع روش‌هاي DOS
 

بررسي حمله SYN flood :
 

اين حمله با ارسال درخواست‌هاي متعدد با علامت SYN به ماشين قرباني باعث پر شدن سف Backlog مي‌شود. اما Backlog چيست؟ تمامي درخواست‌هايي كه به ماشين وارد مي‌شوند و شامل علامت SYN براي برقراري ارتباط مي‌باشند در قسمتي از حافظه به ترتيب ذخيره مي‌شوند تا پس از بررسي جواب آنها داده شده و ارتباط برقرار شود، اين قسمت از حافظه Backlog Queue نام دارد. وقتي كه اين قسمت به علت درخواست‌هاي زياد پر شود، سرويس دهنده مجبور به رها كردن درخواست‌هاي جديد مي‌شود و در نتيجه از رسيدگي به اين درخواست‌ها باز مي ماند (Denial Of Service) .

بررسي Reset(RST) :
 

پاكت‌هايي كه به علامت RST ارسال مي‌گردند باعث مي‌شوند كه ارتباط مورد نظر قطع گردد. در واقع اگر ماشين A به سمت ماشين B پاكتي را با علامت RST ارسال كند درخواست اتصال مورد نظر از Backlog پاك خواهد شد.
از اين حمله مي توان براي قطع اتصال دو ماشين استفاده كرد. به اين ترتيب كه اتصالي كه بين دو ماشين A و B برقرار است را نفوذگر با ارسال يك در خواست RST به ماشين B از طرف ماشين A قطع مي‌كند. در واقع در داخل پكتي كه از سوي ماشين نفوذگر به سمت قرباني ارسال مي‌شود IP مشتري گذاشته مي‌شود و در اين صورت ماشين B كه سرويس دهنده مي‌باشد ارتباط مورد نظر ماشين A را از Backlog حذف مي‌كند.
در اين روش شخص حمله كننده بوسيله ابزاري مي‌تواند IP جعلي توليد كرده و در واقع درخواست خود را جاي ماشين ديگري ارسال كند. به اين تكنيك Spoofing نيز گفته مي شود .
با كمي دقت در شكل در مي‌يابيد IP مبدا (SourceIP) كه در پكت ارسالي از سوي ماشين حمله كننده به سمت ماشين B ميرود همان IP ماشين شماره A مي باشد(1.1.1.1( . در صورتيكه IP ماشين شماره C كه نفوذگر از آن استفاده مي‌كند چيز ديگري است . (1.1.1.3(

بررسي حمله Land Attack :
 

در اين حمله با استفاده از روش Spoofing در پاكت‌هايي كه به سمت سرويس دهنده ارسال مي‌شود به جاي IP و Port مبداء و مقصد IP و Port خود ماشين سرويس دهنده قرار داده مي‌شود.در واقع IP و PORT ماشين سرويس دهنده به سمت خود سرويس دهنده ارسال مي‌شود. اين عمل باعث مي شود تا در سيستم عامل‌هاي قديمي يك حلقه داخلي Routing به وجود بيايد كه باعث پر شدن حافظه و به وجود آمدن حمله DOS مي شود. اين حمله در ماشين‌هاي Win 95 (winsok 1.0) و Cisco IOS ver 10.x و سيستم‌هاي قديمي باعث از كار افتادن سيستم مي‌شد اما امروزه تمامي سيستم هاي هوشمند مانند IDS ها قادر به شناسايي اين حملات مي باشند و اين حمله تاثير زيادي بر روند كاري سرويس دهنده ندارد.

بررسي حمله Smurf Attack :
 

اين حملات با ارسال درخواست‌هاي ICMP به سمت محدوده‌اي از IP هاي amplifier باعث وسعت دادن ترافيك و به وجود آمدن حمله DOS مي شوند.حمله كننده مي‌تواند درخواست‌هاي ICMP خود را به صورت Spoof شده و از طرف ماشين قرباني به IP هاي amplifier ارسال كند با ارسال هر درخواست صدها جواب براي درخواست ICMP به سمت ماشين قرباني سرازير مي شوند و ترافيك آن را بالا مي برند.
:Amplifier تمام شبكه‌هايي كه درخواست‌هاي ICMP را براي IP broadcast خود ----- نكرده‌اند يك Amplifier محسوب مي شوند. حمله كننده مي‌تواند در خواست‌هاي خود را مثلا به IP هايي مانند:
192.168.0.xxx كه X مي تواند 255, 223, 191, 159, 127, 95, 63, 31, 15, 7, 3 يعني IP هاي Broadcast باشند ارسال كند . البته قابل ذكر است IP broadcast بستگي به چگونگي بخش‌بندي IP در شبكه دارد.


منبع:www.p30world.com