بررسي انواع روشهاي DOS
بررسي حمله SYN flood :
اين حمله با ارسال درخواستهاي متعدد با علامت SYN به ماشين قرباني باعث پر شدن سف Backlog ميشود. اما Backlog چيست؟ تمامي درخواستهايي كه به ماشين وارد ميشوند و شامل علامت SYN براي برقراري ارتباط ميباشند در قسمتي از حافظه به ترتيب ذخيره ميشوند تا پس از بررسي جواب آنها داده شده و ارتباط برقرار شود، اين قسمت از حافظه Backlog Queue نام دارد. وقتي كه اين قسمت به علت درخواستهاي زياد پر شود، سرويس دهنده مجبور به رها كردن درخواستهاي جديد ميشود و در نتيجه از رسيدگي به اين درخواستها باز مي ماند (Denial Of Service) .
بررسي Reset(RST) :
پاكتهايي كه به علامت RST ارسال ميگردند باعث ميشوند كه ارتباط مورد نظر قطع گردد. در واقع اگر ماشين A به سمت ماشين B پاكتي را با علامت RST ارسال كند درخواست اتصال مورد نظر از Backlog پاك خواهد شد.
از اين حمله مي توان براي قطع اتصال دو ماشين استفاده كرد. به اين ترتيب كه اتصالي كه بين دو ماشين A و B برقرار است را نفوذگر با ارسال يك در خواست RST به ماشين B از طرف ماشين A قطع ميكند. در واقع در داخل پكتي كه از سوي ماشين نفوذگر به سمت قرباني ارسال ميشود IP مشتري گذاشته ميشود و در اين صورت ماشين B كه سرويس دهنده ميباشد ارتباط مورد نظر ماشين A را از Backlog حذف ميكند.
در اين روش شخص حمله كننده بوسيله ابزاري ميتواند IP جعلي توليد كرده و در واقع درخواست خود را جاي ماشين ديگري ارسال كند. به اين تكنيك Spoofing نيز گفته مي شود .
با كمي دقت در شكل در مييابيد IP مبدا (SourceIP) كه در پكت ارسالي از سوي ماشين حمله كننده به سمت ماشين B ميرود همان IP ماشين شماره A مي باشد(1.1.1.1( . در صورتيكه IP ماشين شماره C كه نفوذگر از آن استفاده ميكند چيز ديگري است . (1.1.1.3(
بررسي حمله Land Attack :
در اين حمله با استفاده از روش Spoofing در پاكتهايي كه به سمت سرويس دهنده ارسال ميشود به جاي IP و Port مبداء و مقصد IP و Port خود ماشين سرويس دهنده قرار داده ميشود.در واقع IP و PORT ماشين سرويس دهنده به سمت خود سرويس دهنده ارسال ميشود. اين عمل باعث مي شود تا در سيستم عاملهاي قديمي يك حلقه داخلي Routing به وجود بيايد كه باعث پر شدن حافظه و به وجود آمدن حمله DOS مي شود. اين حمله در ماشينهاي Win 95 (winsok 1.0) و Cisco IOS ver 10.x و سيستمهاي قديمي باعث از كار افتادن سيستم ميشد اما امروزه تمامي سيستم هاي هوشمند مانند IDS ها قادر به شناسايي اين حملات مي باشند و اين حمله تاثير زيادي بر روند كاري سرويس دهنده ندارد.
بررسي حمله Smurf Attack :
اين حملات با ارسال درخواستهاي ICMP به سمت محدودهاي از IP هاي amplifier باعث وسعت دادن ترافيك و به وجود آمدن حمله DOS مي شوند.حمله كننده ميتواند درخواستهاي ICMP خود را به صورت Spoof شده و از طرف ماشين قرباني به IP هاي amplifier ارسال كند با ارسال هر درخواست صدها جواب براي درخواست ICMP به سمت ماشين قرباني سرازير مي شوند و ترافيك آن را بالا مي برند.
:Amplifier تمام شبكههايي كه درخواستهاي ICMP را براي IP broadcast خود ----- نكردهاند يك Amplifier محسوب مي شوند. حمله كننده ميتواند در خواستهاي خود را مثلا به IP هايي مانند:
192.168.0.xxx كه X مي تواند 255, 223, 191, 159, 127, 95, 63, 31, 15, 7, 3 يعني IP هاي Broadcast باشند ارسال كند . البته قابل ذكر است IP broadcast بستگي به چگونگي بخشبندي IP در شبكه دارد.
ادامه دارد...
منبع:www.p30world.com
