Your SlideShare is downloading. ×
Ddos dos
Ddos dos
Ddos dos
Ddos dos
Ddos dos
Ddos dos
Ddos dos
Ddos dos
Ddos dos
Ddos dos
Ddos dos
Ddos dos
Ddos dos
Ddos dos
Ddos dos
Ddos dos
Ddos dos
Ddos dos
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Ddos dos

485

Published on

حملات Ddos dos

حملات Ddos dos

Published in: Education
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
485
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. ‫ﺷﺮﮐﺖ ﻣﺨﺎﺑﺮات اﺳﺘﺎن ﻗﺰوﯾﻦ‬ ‫اداره دﯾﺘﺎ‬ ‫ﺣﻤﻼت‬ ‫‪ DDOS‬و ‪DOS‬‬ ‫ﻓﺮﯾﺪه رﺟﺒﯽ ﭘﻮر‬ ‫ﭘﺎﯾﯿﺰ 29‬
  • 2. ‫ﻓﻬﺮﺳﺖ‬ ‫ﻣﻘﺪﻣﻪ‬ ‫دﺳﺘﻪ ﺑﻨﺪي ‪DOS Attack‬‬ ‫ ﺗﻮﻗﻒ ﺳﺮوﯾﺲ ﻫﺎ‬‫ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ‬‫راه ﻫﺎ و روش ﻫﺎي ﻣﺘﺪاول ﺑﺮاي ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ‬ ‫ﭘﺮ ﮐﺮدن ﺟﺪول ﭘﺮدازش‬‫ ﻓﺮﺳﺘﺎدن ﺗﺮاﻓﯿﮏ‬‫ ﭘﺮ ﮐﺮدن ﺳﯿﺴﺘﻢ ﻓﺎﯾﻞ‬‫ﻣﺘﻮﻗﻒ ﮐﺮدن ﺳﯿﺴﺘﻢ ﻫﺎ از راه دور‬ ‫‪Land‬‬‫ ‪Ping of Death‬‬‫ 2‪Jolt‬‬‫ ‪Teardrop , Newtear , Book , Syndrop‬‬‫ ‪Winnuke‬‬‫ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ از راه دور‬ ‫‪SYN FLOOD‬‬‫ﺣﻤﻼت ‪SMURF‬‬‫-ﺣﻤﻼت ﺗﻮزﯾﻊ ﺷﺪه‪DOS‬‬
  • 3. ‫آﺷﻨﺎﯾﯽ ﺑﺎ ‪ DDOS‬و روش ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻼت آن‬ ‫اﻧﻮاع ﺣﻤﻼت‪DDOS‬‬ ‫‪TRINOO‬‬‫-‪TFN/TFN2K ,STECHELDRAHT‬‬ ‫ﻧﺤﻮه ﭘﯿﺸﮕﯿﺮي از ﺣﻤﻼت‬ ‫ﭼﮕﻮﻧﻪ از وﻗﻮع ﺣﻤﻼت ‪ dos‬ﯾﺎ ‪ ddos‬آﮔﺎه ﺷﻮﯾﻢ‬
  • 4. ‫ﻣﻘﺪﻣﻪ‬ ‫ﺑﺮﺧﯽ از ﻫﮑﺮﻫﺎ ﺑﻪ دﻧﺒﺎل ﻧﻔﻮذ ﺑﻪ ﺳﯿﺴﺘﻢ ﻫﺎي ﮐﺎﻣﭙﯿﻮﺗﺮي و ﺑﻪ دﺳﺖ ﮔﺮﻓﺘﻦ ﮐﻨﺘﺮل ﮐﺎﻣﻞ ﯾﮏ ﺳﺮور ﻫﺴﺘﻨﺪ و ﺑﺮﺧﯽ دﯾﮕﺮ اﻫﺪاف دﯾﮕﺮي ﻣﺎﻧﻨﺪ ﺟﻠﻮﮔﯿﺮي از‬ ‫دﺳﺘﯿﺎﺑﯽ ﮐﺎرﺑﺮان ﯾﮏ ﺳﺎﯾﺖ و ﺗﻮﻗﻒ ﮐﻪ ‪ Dos‬ﮐﺮدن آن ﺳﺎﯾﺖ را دارﻧﺪ. در ﮐﻞ ﺗﮑﺬﯾﺐ ﺳﺮوﯾﺲ ﺑﻪ وﺳﯿﻠﻪ ﻫﮑﺮﻫﺎ را ﺣﻤﻼت ‪ Down‬آن ﺳﺮور ﻣﯽ ﮔﻮﯾﻨﺪ وﻟﯽ‬ ‫اﯾﻦ ﻧﮑﺘﻪ را ﻧﯿﺰ ذﮐﺮ ﮐﻨﻢ ﮐﻪ اﯾﻦ ‪ Denial of Service‬ﻣﺨﻔﻒ ﮐﻠﻤﻪ را ﺑﺎ ﻫﻢ ‪ Dos‬ﮐﻪ ﺧﻂ ﻓﺮﻣﺎن ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ وﯾﻨﺪوز اﺳﺖ ﮐﺎﻣﻼً ﻓﺮق دارد و اﯾﻦ دو‬ ‫‪Operation System‬از ﻧﻈﺮ ﺗﮑﻨﯿﮑﯽ اﺣﺘﯿﺎج ﺑﻪ داﻧﺶ ﺑﺎﻻ و ﯾﺎ داﻧﺴﺘﻦ ﻣﻄﻠﺐ ‪ Dos‬اﺷﺘﺒﺎه ﻧﮕﯿﺮﯾﺪ. در ﺣﻘﯿﻘﺖ ﺳﺮور ﺑﻪ ﻧﺪرت ‪ Dos‬ﺧﺎﺻﯽ ﻧﺪارﻧﺪ‬ ‫ﭼﻮن در اﮐﺜﺮ ﺣﻤﻼت دﭼﺎر ﻣﺸﮑﻞ ﻣﯽ ﺷﻮد وﻟﯽ اﮔﺮ ﻫﮑﺮ ﺑﺎﺗﺠﺮﺑﻪ ﺑﺎﺷﺪ ﺑﻪ وﺳﯿﻠﻪ اﯾﻦ ﺣﻤﻠﻪ ﺑﺎﻋﺚ اﺧﺘﻼل در ﺳﯿﺴﺘﻢ ﻣﯽ ﺷﻮد ﮐﻪ ﻫﻤﻪ اﯾﻨﻬﺎ ﺑﺴﺘﮕﯽ ﺑﻪ ﻧﻮع‬ ‫ﺳﯿﺴﺘﻢ ﺳﺮور و ﻧﻮع ﺣﻤﻠﻪ و ﺗﻌﺪاد ﻫﮑﺮﻫﺎ ... دارد ﮐﻪ در ﻧﻬﺎﯾﺖ ﺑﺎﻋﺚ ﺧﺎﻣﻮش ﺷﺪن ﺳﺮور و راه اﻧﺪازي دوﺑﺎره ﺳﺮوﯾﺲ ﻫﺎ ﺗﻮﺳﻂ ﻣﺪﯾﺮ و‬ ‫‪administrator‬ﻣﯽ ﺷﻮد .‬ ‫‪ Dos Attack‬راه ﺧﻮﺑﯽ ﺑﺮاي ﺣﻤﻠﻪ ﮐﺮدن ﺑﻪ ﺳﺎﯾﺖ ﻫﺎ اﺳﺖ، وﻟﯽ ﮐﺎﻣﭙﯿﻮﺗﺮ ﺷﺨﺼﯽ و‪ Desktop‬ﮐﻤﺘﺮ ﭘﯿﺶ ﻣﯽ آﯾﺪ ﮐﻪ ﻣﻮرد اﯾﻦ ﻧﻮع ﺣﻤﻠﻪ ﻫﺎ ﻗﺮار‬ ‫ﺑﮕﯿﺮد، ﻫﺪف ﺑﯿﺸﺘﺮ ﺳﺮور ﺳﺎﯾﺖ ﻫﺎ و ‪ ISP‬ﻫﺎ اﺳﺖ .وﻗﺘﯽ ﻫﮑﺮﻫﺎ ﻧﺘﻮاﻧﻨﺪ ﺑﺎ روش ﻫﺎي راﯾﺠﯽ ﻣﺜﻞ ‪ Exploit‬ﮐﺮدن و ﻟﺒﺮﯾﺰ ﮐﺮدن ﺳﺮ رﯾﺰ ﺑﺎﻓﺮ ﺳﯿﺴﺘﻢ و‬ ‫ﯾﺎ‪ Buffer OverFlow‬و‪ Injection‬روش ﻫﺎي دﯾﮕﺮي ﮐﻪ‪Access‬‬ ‫ﮐﻨﺘﺮل ﯾﮏ ﺳﺮور را ﺑﻪ آﻧﻬﺎ ﻣﯽ دﻫﺪ، ﺑﻪ ﯾﮏ ﺳﺮور ﻧﻔﻮذ ﮐﻨﻨﺪ ﺑﻪ ﺳﺮاغ آﺧﺮﯾﻦ‬ ‫روش ﺣﻤﻠﻪ ﮐﻪ ﻫﻤﺎﻧﺎ ‪ doc‬ﮐﺮدن آن ﺳﺮور ﯾﺎ ﺳﺎﯾﺖ اﺳﺖ ﻣﯽ روﻧﺪ. ﯾﮏ ﻣﻬﺎﺟﻢ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎ ارﺳﺎل ﭘﯿﺎم ﻫﺎي اﻟﮑﺘﺮوﻧﯿﮑﯽ ﻧﺎﺧﻮاﺳﺘﻪ ﮐﻪ از آﻧﺎن ﺑﺎ ﻧﺎم ‪SPAM‬‬ ‫.‬ ‫ﯾﺎد ﻣﯽ ﺷﻮد، ﺣﻤﻼت ﻣﺸﺎﺑﻬﯽ را ﻣﺘﻮﺟﻪ ﺳﺮوﯾﺲ دﻫﻨﺪه ﭘﺴﺖ اﻟﮑﺘﺮوﻧﯿﮑﯽ ﻧﻤﺎﯾﺪ ﻫﺮ ‪) ACCOUNT‬ﭘﺴﺖ اﻟﮑﺘﺮوﻧﯿﮑﯽ( ﺻﺮﻓﻨﻈﺮ از ﻣﻨﺒﻌﯽ ﮐﻪ آن را در‬ ‫اﺧﺘﯿﺎر ﺷﻤﺎ ﻗﺮار ﻣﯽ دﻫﺪ ﻧﻈﯿﺮ ﺳﺎزﻣﺎن ﻣﺮﺑﻮﻃﻪ و ﯾﺎ ﺳﺮوﯾﺲ ﻫﺎي راﯾﮕﺎﻧﯽ ﻧﻈﯿﺮ ﯾﺎﻫﻮ و ‪hot mail‬داراي ﻇﺮﻓﯿﺖ ﻣﺤﺪودي ﻣﯽ ﺑﺎﺷﻨﺪ .ﭘﺲ از ﺗﮑﻤﯿﻞ‬ ‫ﻇﺮﻓﯿﺖ ﻓﻮق، ﻋﻤﻼ "اﻣﮑﺎن ارﺳﺎل ‪ email‬دﯾﮕﺮي ﺑﻪ ‪ account‬ﻓﻮق وﺟﻮد ﻧﺨﻮاﻫﺪ داﺷﺖ .ﻣﻬﺎﺟﻤﺎن ﺑﺎ ارﺳﺎل ﻧﺎﻣﻪ ﻫﺎي اﻟﮑﺘﺮوﻧﯿﮑﯽ ﻧﺎﺧﻮاﺳﺘﻪ ﺳﻌﯽ ﻣﯽ‬ ‫ﻧﻤﺎﯾﻨﺪ ﮐﻪ ﻇﺮﻓﯿﺖ ‪ account‬ﻣﻮرد ﻧﻈﺮ را ﺗﮑﻤﯿﻞ و ﻋﻤﻼ " اﻣﮑﺎن درﯾﺎﻓﺖ ‪email‬ﻫﺎي ﻣﻌﺘﺒﺮ را از ‪ account‬ﻓﻮق ﺳﻠﺐ ﻧﻤﺎﯾﻨﺪ.‬ ‫روش ﮐﺎر ﺑﻪ اﯾﻦ ﺻﻮرت اﺳﺖ ﮐﻪ در ﯾﮏ ﻟﺤﻈﻪ ﺣﺠﻢ اﻃﻼﻋﺎﺗﯽ زﯾﺎدي ﻣﺘﻮﺟﻪ ﯾﮏ ﺳﺮور ﻣﯽ ﺷﻮد و ﺗﻌﺪاد زﯾﺎدي ﺑﺴﺘﻪ و ‪ Packet‬ﺑﻪ ﺳﻤﺖ آن ﺳﺮور از‬ ‫ﻃﺮف ﻫﮑﺮ ﯾﺎ ﻫﮑﺮﻫﺎ و ‪ Zambie‬ﻫﺎ ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد ﮐﻪ اﯾﻦ ﺣﺠﻢ ﺧﯿﻠﯽ ﺑﯿﺸﺘﺮ از ﭘﻬﻨﺎي ﺑﺎﻧﺪ و ﻇﺮﻓﯿﺖ آن ﺳﺮور ﺑﻮده و ﺑﺮاي ﻣﺪﺗﯽ ﮐﻪ ﺑﺴﺘﮕﯽ ﺑﻪ ﺗﺠﺮﺑﻪ‬ ‫ﻫﮑﺮﻫﺎ دارد ﺗﺮاﻓﯿﮏ زﯾﺎدي در اﯾﻦ ﺧﻄﻮط اﯾﺠﺎد ﻣﯽ ﺷﻮد و اﮐﺜﺮاً ﺑﺎﻋﺚ ﺧﺎﻣﻮش ﺷﺪن ﺳﺮور ﻣﯽ ﺷﻮد.‬ ‫ﺑﺰرﮔﺘﺮﯾﻦ ﺣﻤﻠﻪ ‪ dos‬ﭼﻨﺪي ﭘﯿﺶ ﺑﺮ ﻋﻠﯿﻪ 31 ﺳﺮور اﺻﻠﯽ اﯾﻨﺘﺮﻧﺖ ﮐﻪ وﻇﯿﻔﻪ آﻧﻬﺎ ﮐﻨﺘﺮل آدرس ﻫﺎي اﯾﻨﺘﺮﻧﺘﯽ و ﺗﺮﺟﻤﻪ آﻧﻬﺎ ﺑﺮاي ﺷﺒﮑﻪ ﻫﺎي ‪dns‬ﺑﻮد‬ ‫ﺻﻮرت ﮔﺮﻓﺖ ﮐﻪ ﺑﺎﻋﺚ ﺗﺮاﻓﯿﮏ ﺷﺪﯾﺪي در ﮐﻞ ﺷﺒﮑﻪ اﯾﻨﺘﺮﻧﺖ ﺷﺪ و از اﯾﻦ 31 ﺳﺮور ﺑﺰرگ 9 ﺳﺮور ﺑﻪ ﮐﻠﯽ ﺧﺎﻣﻮش ﺷﺪﻧﺪ و اﮔﺮ 4 ﺳﺮور ﺑﺎﻗﯽ ﻣﺎﻧﺪه‬ ‫اﻧﺘﻘﺎل اﻃﻼﻋﺎت و ﺗﺮاﻓﯿﮏ اﯾﻨﺘﺮﻧﺖ و وﻇﯿﻔﻪ ﺳﺮورﻫﺎي ‪ down‬ﺷﺪه دﯾﮕﺮ را ﺑﻪ ﻋﻬﺪه ﻧﻤﯽ ﮔﺮﻓﺘﻨﺪ ﺷﺒﮑﻪ اﺑﻨﺘﺮﻧﺖ و ﺗﻤﺎﻣﯽ ﺳﺎﯾﺖ ﻫﺎ از ﮐﺎر ﻣﯽ اﻓﺘﺎدﻧﺪ.‬ ‫ﺑﻌﻀﯽ از ﺷﺮﮐﺖ ﻫﺎي ﺗﺠﺎري ﻧﯿﺰ ﺑﺮ ﻋﻠﯿﻪ رﻗﺒﺎي ﺧﻮد دﺳﺖ ﺑﻪ ﭼﻨﯿﻦ ﺣﻤﻠﻪ ﻫﺎﯾﯽ ﻣﯽ زﻧﻨﺪ، ﺑﺮاي ﻣﺜﺎل اﮔﺮ ﺳﺮور ﯾﮏ ﺷﺮﮐﺖ ‪ Hosting‬ﺑﺎ اﺳﺘﻔﺎده از اﯾﻦ‬ ‫ﺣﻤﻠﻪ ﻫﺎ ﺣﺘﯽ ﺑﺮاي 1 ﺳﺎﻋﺖ ﺧﺎﻣﻮش ﺷﻮد و ﻧﺘﻮاﻧﺪ ﺑﻪ ﮐﺎرﺑﺮان ﺧﻮد ﺳﺮوﯾﺲ ﺑﺪﻫﺪ ﻣﻄﻤﺌﻨﺎً ﺧﯿﻠﯽ از ﮐﺎرﺑﺮان ﺧﻮد را از دﺳﺖ ﻣﯽ دﻫﺪ زﯾﺮا ﺑﺮاي ﯾﮏ‬ ‫ﺳﺎﯾﺖ ﺗﺠﺎري ﮐﻪ ﺑﺮ روي اﯾﻦ ‪ hosting‬ﻓﻀﺎ دارد 1 ﺳﺎﻋﺖ ﺧﺎﻣﻮش ﺑﻮدن ﺳﺎﯾﺖ ﺑﺮاﺑﺮ اﺳﺖ ﺑﺎ ﻫﺰاران دﻻر ﺿﺮر ﻣﺎﻟﯽ و اﯾﻦ ﺑﻪ ﻧﻔﻊ رﻗﯿﺐ اﯾﻦ ﺷﺮﮐﺖ‬ ‫‪hosting‬اﺳﺖ زﯾﺮا ﻣﺸﺘﺮﯾﺎن اﯾﻦ‬ ‫‪ hosting‬آن را ﺗﺮك ﮐﺮده و از ﺧﺪﻣﺎت ﺷﺮﮐﺖ ﻃﺮف ﻣﻬﺎﺟﻢ اﺳﺘﻔﺎده ﺧﻮاﻫﻨﺪ ﮐﺮد.‬ ‫اﻧﻮاع اﯾﻦ ﺣﻤﻼت و ﺑﺮﻧﺎﻣﻪ ﻫﺎﯾﯽ ﮐﻪ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ ﺑﺮاي ﻫﺮ ﮐﺪام از ﺣﻤﻼت ‪ doc‬اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد .در ﮐﻞ‪ Dos Attack‬ﺑﻪ دو دﺳﺘﻪ ﺗﻘﺴﯿﻢ ﻣﯽ ﺷﻮد.‬
  • 5. ‫1 -ﺗﻮﻗﻒ ﺳﺮوﯾﺲ ﻫﺎ‬ ‫2 - ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ‬ ‫ﻣﺘﻮﻗﻒ ﮐﺮدن ﯾﮏ ﺳﺮوﯾﺲ ﺑﻪ ﻣﻌﻨﯽ اﯾﺠﺎد اﺧﺘﻼل در ﯾﮏ ﺳﺮوﯾﺲ ﺧﺎص اﺳﺖ ﮐﻪ ﮐﺎرﺑﺮان ﻣﯽ ﺧﻮاﻫﻨﺪ ﺑﻪ آن دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ وﻟﯽ در ﺣﻤﻼت‬ ‫ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ ﺧﻮد ﺳﺮوﯾﺲ ﻫﻤﭽﻨﺎن ﺑﻪ ﮐﺎر ﺧﻮد اداﻣﻪ ﻣﯽ دﻫﺪ‬ ‫وﻟﯽ ﻫﮑﺮﻫﺎ ﻣﻨﺎﺑﻊ ﺷﺒﮑﻪ ﯾﺎ ﮐﺎﻣﭙﯿﻮﺗﺮ را ﺑﺎ ﻫﺪف ﺟﻠﻮﮔﯿﺮي از دﺳﺖ ﯾﺎﺑﯽ ﮐﺎرﺑﺮان ﻣﺠﺎز ﺑﻪ ﺳﺮوﯾﺲ ﻣﺼﺮف ﯾﺎ‬ ‫ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﻪ ﺻﻮرت ﻣﺤﻠﯽ و ﯾﺎ از ﻃﺮﯾﻖ ﺷﺒﮑﻪ ﺑﻪ ﺳﻤﺖ ﻫﺪف ‪ Dos‬ﻫﺪر ﻣﯽ دﻫﻨﺪ .اﯾﻦ دو دﺳﺘﻪ از ﺣﻤﻼت‬ ‫ﺑﻪ ﮐﺎر ﮔﺮﻓﺘﻪ ﺷﻮﻧﺪ‬ ‫___‪_____Stopping Services______Exhausting Resources‬‬ ‫+ ‪+ *process killing + *for king processes to‬‬ ‫+ ‪+ *system reconfiguring + fill the process table‬‬ ‫+ ‪+ *process crashing + *filling up the whole‬‬ ‫‪+ file system‬‬ ‫+‬ ‫+ ,.‪+ *malformed packet + *packet floods, (e.g‬‬ ‫+ ,‪+ atacks (e.g.,land, + SYN Flood, smurf‬‬ ‫).‪(across the + teardrop,etc‬‬ ‫+ ‪+ distributed denial‬‬ ‫+ )‪network) + + of Service‬‬ ‫‪Locally‬‬ ‫‪Remotely‬‬ ‫در ﻧﻤﻮدار ﺑﺎﻻ روش ھﺎ ‪ denial of service‬ﺑﺮاﺳﺎس روش ھﺎي ﺑﺮﺟﺴﺘﻪ ‪ dos‬دﺳﺘﻪ ﺑﻨﺪي ﺷﺪه اﺳﺖ .‬ ‫ﻣﺘﻮﻗﻒ ﮐﺮدن ﺳﺮوﯾﺲ ﻫﺎي‬ ‫ﻣﺤﻠﯽ)‪: (Stopping Services‬‬ ‫ﺑﺎ اﺳﺘﻔﺎده از ﯾﮏ ‪ account‬ﻣﺤﻠﯽ روي ﯾﮏ ﻣﺎﺷﯿﻦ، ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﯾﮏ ﺣﻤﻠﻪ‬ ‫‪ dos‬ﮐﻪ ﺑﻮﺳﯿﻠﻪ ﻣﺘﻮﻗﻒ ﮐﺮدن ﭘﺮدازش ﻫﺎي ﺑﺎ ارزش ﮐﻪ ﺳﺮوﯾﺲ ﻫﺎ را‬ ‫ﺗﺸﮑﯿﻞ دادﻧﺪ اﻧﺠﺎم ﺑﺪﻫﺪ ﺑﺮاي ﻣﺜﺎل ﯾﮏ ﻫﮑﺮ روي ﯾﮏ ﺳﯿﺴﺘﻢ ﯾﻮﻧﯿﮑﺲ ﻣﯽ ﺗﻮاﻧﺪ ﭘﺮدازش ‪ inted‬را ﻣﺘﻮﻗﻒ ﮐﻨﺪ اﻟﺒﺘﻪ در ﺻﻮرﺗﯽ ﮐﻪ از اﻣﺘﯿﺎزات رﯾﺸﻪ‬ ‫اي ﯾﺎ ‪root‬ﺑﺮﺧﻮردار ﺑﺎﺷﺪ‬ ‫‪ inted‬ﻣﺴﺌﻮل ﺷﻨﻮد ارﺗﺒﺎﻃﺎت ﺷﺒﮑﻪ اي و اﺟﺮاي ﺳﺮوﯾﺲ ﻫﺎي ﺧﺎﺻﯽ ﻣﺜﻞ ‪ telnet –ftp‬در ﻫﻨﮕﺎم ﺑﻪ وﺟﻮد آﻣﺪن‬ ‫ﺗﺮاﻓﯿﮏ ﺑﺮاي آﻧﻬﺎﺳﺖ .ﻣﺘﻮﻗﻒ ﮐﺮدن ‪ inted‬از دﺳﺖ ﯾﺎﺑﯽ ﻫﺮ ﮐﺎرﺑﺮي ﺑﻪ ﺳﯿﺴﺘﻢ از ﻃﺮﯾﻖ ﻫﺮ ﻧﻮع ﺳﺮوﯾﺲ آﻏﺎز ﺷﺪه ﯾﺎ ‪ inted‬ﺟﻠﻮﮔﯿﺮي ﻣﯽ ﮐﻨﺪ ﮐﻪ‬ ‫اﯾﻦ ﺷﺎﻣﻞ ‪telnet‬و ‪ ftp‬ﻫﻢ ﻣﯽ ﺷﻮد . ﻫﮑﺮ ﻣﻨﺎﺑﻊ را ﺗﻠﻒ ﻧﻤﯽ ﮐﻨﺪ ﻓﻘﻂ ﺗﻨﻬﺎ ﮐﺎري ﮐﻪ ﻣﯽ ﮐﻨﺪ اﯾﻦ اﺳﺖ ﮐﻪ ﺟﺰء اﺻﻠﯽ و ﺣﯿﺎﺗﯽ ﺳﺮوﯾﺲ ﻫﺎ را از ﮐﺎر‬ ‫ﻣﯽ اﻧﺪازد.‬ ‫آﻧﻬﺎ ﺑﺎ دﺳﺘﺮﺳﯽ ‪ login‬ﻣﺤﻠﯽ ﺑﻪ ﯾﮏ ﻣﺎﺷﯿﻦ از راه ﻫﺎي ﻣﺨﺘﻠﻔﯽ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﺮاي از ﮐﺎر اﻧﺪاﺧﺘﻦ ﺳﺮوﯾﺲ ﻫﺎي ﻣﺤﻠﯽ اﺳﺘﻔﺎده ﮐﻨﺪ.‬
  • 6. ‫1- ‪ Process Killing‬ﭘﺎﯾﺎن‬ ‫ﭘﺮدازش :‬ ‫ﯾﮏ ﻫﮑﺮ ﺑﺎ اﻣﺘﯿﺎزاﺗﯽ ﮐﻪ ﺑﻪ دﺳﺖ آورده اﺳﺖ ﻣﺜﻞ ﺳﻄﺢ رﯾﺸﻪ روي ﯾﮏ ﺳﯿﺴﺘﻢ ﯾﻮﻧﯿﮑﺲ ﯾﺎ ‪ Administrator‬روي وﯾﻨﺪوز ﺑﻪ آﺳﺎﻧﯽ ﻣﯽ ﺗﻮاﻧﺪ ﭘﺮدازش‬ ‫ﻫﺎي ﻣﺤﻠﯽ را در ﯾﮏ ﺣﻤﻠﻪ ‪ Dos‬ﺧﺎﺗﻤﻪ ﺑﺪﻫﺪ زﯾﺮا وﻗﺘﯽ ﯾﮏ ﭘﺮدازش ﻣﺎﻧﻨﺪ ﯾﮏ ﺳﺮور ‪ dns‬ﯾﺎ ‪ web‬در ﺣﺎل اﺟﺮا ﻧﯿﺴﺖ، ﻧﻤﯽ ﺗﻮاﻧﺪ ﺑﻪ درﺧﻮاﺳﺖ ﻫﺎي‬ ‫ﮐﺎرﺑﺮان ﺳﺮوﯾﺲ دﻫﺪ.‬ ‫2- ‪ ) System Reconfiguration‬ﺗﻨﻈﯿﻢ ﻣﺠﺪد ﺳﯿﺴﺘﻢ (:‬ ‫ﻫﮑﺮﻫﺎ ﺑﺎ اﻣﺘﯿﺎزاﺗﯽ ﮐﻪ ﺑﻪ دﺳﺖ ﻣﯽ آورﻧﺪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﯾﮏ ﺳﯿﺴﺘﻢ را ﺑﻪ ﮔﻮﻧﻪ اي ﺗﻨﻈﯿﻢ ﻣﺠﺪد ﮐﻨﻨﺪ ﮐﻪ دﯾﮕﺮ ﺳﺮوﯾﺲ را ﭘﯿﺸﻨﻬﺎد ﻧﮑﻨﺪ و ﯾﺎ ﮐﺎرﺑﺮان ﺧﺎﺻﯽ‬ ‫از ﻣﺎﺷﯿﻦ ﻓﯿﻠﺘﺮ ﮐﻨﺪ .ﺑﺮاي ﻣﺜﺎل روي ﯾﮏ ﺳﺮور ﻓﺎﯾﻞ وﯾﻨﺪوز‬ ‫‪ NT‬ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﻣﺎﺷﯿﻦ را ﺑﻪ راﺣﺘﯽ ﺑﻪ وﺳﯿﻠﻪ ﺗﻮﻗﻒ اﺷﺘﺮاك ﻓﺎﯾﻞ ﻫﺎ در ﺷﺒﮑﻪ ﻣﺠﺪداً‬ ‫ﺗﻨﻈﯿﻢ ﮐﻨﺪ ﮐﻪ ﺑﺎﻋﺚ ﻋﺪم دﺳﺘﺮﺳﯽ از راه دور ﮐﺎرﺑﺮان ﻣﺠﺎز ﺑﻪ داده ﻫﺎي ﺑﺎ ارزش روي ﺳﺮوﯾﺲ دﻫﻨﺪه ﻓﺎﯾﻞ ﻣﯽ ﺷﻮد .در ﺣﺎﻟﺖ دﯾﮕﺮ ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﯾﮏ‬ ‫ﺳﯿﺴﺘﻢ ﯾﻮﻧﯿﮑﺲ را ‪Http‬ﻃﻮري ﮐﻪ ﺷﺮوع ﺑﻪ ﮐﺎر ﻧﮑﻨﺪ، ﺗﻨﻈﯿﻢ ﻣﺠﺪد ﮐﻨﺪ ﮐﻪ ﻋﻤﻼً از دﺳﺘﺮﺳﯽ وب ﺑﻪ ﺳﯿﺴﺘﻢ ﺟﻠﻮﮔﯿﺮي ﻣﯽ ﮐﻨﺪ.‬ ‫3- ‪) Process Crashing‬اﺧﺘﻼل در ﭘﺮدازش (:‬ ‫ﺣﺘﯽ اﮔﺮ ﻫﮑﺮ اﻣﺘﯿﺎزات ﮐﺎرﺑﺮ ﺳﻄﺢ ﺑﺎﻻ را ﻧﺪاﺷﺘﻪ ﺑﺎﺷﺪ ﺑﺎز ﻫﻢ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎ ﺳﻮء اﺳﺘﻔﺎده از ﻧﻘﻄﻪ ﺿﻌﻒ ﺳﯿﺴﺘﻢ ﺑﻪ آن ﺣﻤﻠﻪ ﮐﻨﺪ .ﺑﺮاي ﻣﺜﺎل ﻣﺎ ﻣﯽ ﺗﻮاﻧﯿﻢ‬ ‫از ﺳﺮ رﯾﺰ ﯾﮏ ﺑﺎﻓﺮ ﭘﺸﺘﻪ اي ﺑﻪ اﯾﻦ ﺷﮑﻞ ﺳﻮء اﺳﺘﻔﺎده ﮐﻨﯿﻢ و داده ﻫﺎي ﺗﺼﺎدﻓﯽ را ﭘﺸﺖ ﺳﺮ ﻫﻢ وارد ﯾﮏ ﭘﺮدازش ﻣﺤﻠﯽ ﮐﻨﯿﻢ و اﯾﻦ ﻫﻢ ﺑﺨﺎﻃﺮ اﯾﻦ‬ ‫اﺳﺖ ﮐﻪ اﺷﺎره ﮔﺮ ﺑﺎزﮔﺸﺘﯽ ) ‪ ( RETURN‬روي ﭘﺸﺘﻪ در ﻃﯽ اﯾﻦ ﺣﻤﻠﻪ ﺳﺮﺑﺎر ﺗﺼﺎدﻓﯽ اﺳﺖ و ﭘﺮدازش ﻣﻘﺼﺪ ﺑﻪ راﺣﺘﯽ دﭼﺎر اﺧﺘﻼل ﻣﯽ ﺷﻮد و‬ ‫دﺳﺘﺮﺳﯽ ﮐﺎرﺑﺮ را ﺗﮑﺬﯾﺐ ﻣﯽ ﮐﻨﺪ.‬ ‫اﯾﻦ ﮐﺎر را ﻣﯽ ﺷﻮد ﺑﺎ ﺑﻤﺐ ﻫﺎي ﻣﻨﻄﻘﯽ اﻧﺠﺎم داد ﮐﻪ ﻣﺜﺎل ﺧﻮﺑﯽ در اﯾﻦ زﻣﯿﻨﻪ از ﺣﻤﻼت ‪ Dos‬اﺳﺖ. ﺑﺮاي ﭼﻨﯿﻦ ﺣﻤﻠﻪ ﻫﺎﯾﯽ ﻫﮑﺮ ﯾﮏ ﺑﺮﻧﺎﻣﻪ ﺑﻤﺐ ﻣﻨﻄﻘﯽ را‬ ‫روي ﯾﮏ ﻣﺎﺷﯿﻦ ﮐﺎر ﻣﯽ ﮔﺬارد ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ ﺗﺤﺖ ﺷﺮاﯾﻂ ﻣﺨﺘﻠﻔﯽ ﻓﻌﺎل ﺷﻮد، ﻣﺜﻞ زﻣﺎن ﺳﭙﺮي ﺷﺪه، ﻓﻌﺎل ﯾﺎ ﺑﺎز ﺷﺪن ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺧﺎص دﯾﮕﺮ ‪LOGIN‬‬ ‫ﺷﺪن ‪USER‬ﻫﺎي ﺧﺎص ﺑﻪ ﻣﺤﺾ ﻓﻌﺎل ﺷﺪن ﺑﻤﺐ ﻣﻨﻄﻘﯽ ﺑﺮﻧﺎﻣﻪ ﺑﺎ ﺗﮑﺬﯾﺐ ﺳﺮوﯾﺲ روي ﻣﺎﺷﯿﻦ ﭘﺮدازﺷﯽ را دﭼﺎر اﺧﺘﻼل ﻣﯽ ﮐﻨﺪ و ﯾﺎ ﻣﻮﺟﺐ ﺗﻮﻗﻒ‬ ‫آن ﻣﯽ ﺷﻮد.‬ ‫دﻓﺎع در ﺑﺮاﺑﺮ ﺗﻮﻗﻒ ﻣﺤﻠﯽ ﺳﺮوﯾﺲ ﻫﺎ‬ ‫ﺑﺮاي ﺟﻠﻮﮔﯿﺮي از ﺗﻮﻗﻒ ﻣﺤﻠﯽ ﺳﺮوﯾﺲ ﻫﺎ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ ﺑﺎﯾﺪ از ﺑﺴﺘﻪ ﺑﻮدن ﭘﻮرت ﻫﺎي اﺿﺎﻓﯽ و درزﻫﺎي ﺳﯿﺴﺘﻢ ﺧﻮد اﻃﻤﯿﻨﺎن ﺧﺎص ﮐﻨﯿﺪ. اﯾﻦ ﮐﺎر را ﻣﯽ‬ ‫ﺗﻮاﻧﯿﺪ ﺑﺎ اﺳﺘﻔﺎده از ﭘﻮرت اﺳﮑﻨﺮﻫﺎ و ﭘﻮﯾﺸﮕﺮ ﻫﺎي آﺳﯿﺐ ﭘﺬﯾﺮي اﻧﺠﺎم دﻫﯿﺪ و ﺳﯿﺴﺘﻢ را ﻃﻮري ﭘﯿﮑﺮﺑﻨﺪي ﮐﻨﯿﺪ ﮐﻪ ﻫﮑﺮ ﻗﺎدر ﺑﻪ اﯾﺠﺎد اﺧﺘﻼل از ﻃﺮﯾﻖ ﻧﻘﺎط‬ ‫ﺿﻌﻒ ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﻧﺼﺐ ﺷﺪه ﺑﺮ روي ﺳﯿﺴﺘﻢ ﺷﻤﺎ وﭘﻮرت ﻫﺎي ﺑﺎز آن ﻧﺪاﺷﺘﻪ ﺑﺎﺷﺪ وﻧﺼﺐ ﺑﺮﻧﺎﻣﻪ ﻫﺎي اﻣﻨﯿﺘﯽ و ‪SERVICE PACK‬‬ ‫ﻣﻮﺟﺐ اﯾﻤﻦ ﺗﺮ‬ ‫ﺷﺪن ﺳﯿﺴﺘ ﻢ ﺷﻤﺎ در ﺑﺮاﺑﺮ ﺣﻤﻼت ﻫﮑﺮﻫﺎ و ﻋﺪم دﺳﺘﺮﺳﯽ آﻧﻬﺎ ﺑﻪ ‪ ACCOUNT‬اي روي ﻣﺎﺷﯿﻦ ﺷﻤﺎ ﻣﯽ ﺷﻮد .ﻧﮑﺘﻪ ﺑﻌﺪي ﮐﻪ ﺑﺎﯾﺪ رﻋﺎﯾﺖ ﮐﻨﯿﺪ اﯾﻦ‬ ‫اﺳﺖ ﮐﻪ از دادن اﻣﺘﯿﺎزات ﮐﺎرﺑﺮي ﺳﻄﺢ ﺑﺎﻻ ﺑﻪ اﻓﺮادي ﮐﻪ در ﺳﯿﺴﺘﻢ ﺷﻤﺎ اﺷﺘﺮاك دارﻧﺪ ﺧﻮدداري ﮐﻨﯿﺪ، ﮐﺎرﺑﺮان ﻓﻘﻂ ﺑﺎﯾﺪ از ﺣﻖ دﺳﺘﺮﺳﯽ ﮐﻪ ﺑﺮاي‬ ‫اﻧﺠﺎم ﮐﺎرﻫﺎﯾﺸﺎن ﺣﺘﯿﺎج دارﻧﺪ ﺑﺮﺧﻮردار ﺑﺎﺷﻨﺪ و در ﻧﻬﺎﯾﺖ ﺑﺮاي ردﮔﯿﺮي ﺗﻐﯿﯿﺮات ﺑﻪ ﻋﻤﻞ آﻣﺪه روي ﺗﻨﻈﯿﻤﺎت ﺳﯿﺴﺘﻢ ﻣﻠﺰم ﺑﻪ اﺟﺮاي ﺑﺮﻧﺎﻣﻪ ﻫﺎي‬
  • 7. ‫‪Integrity Checking‬ﺑﺮرﺳﯽ ﺟﺎﻣﻌﯿﺖ ) ﻣﺎﻧﻨﺪ ‪ (Tripwire‬ﮐﻪ ﻣﯽ ﺗﻮاﻧﯿﺪ اﯾﻦ ﺑﺮﻧﺎﻣﻪ را از ﺳﺎﯾﺖ ‪ www.tripwire.com‬درﯾﺎﻓﺖ ﮐﻨﯿﺪ .اﯾﻦ‬ ‫ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﻓﺎﯾﻞ ﻫﺎي ﺳﯿﺴﺘﻢ ﻣﺜﻞ ﻓﺎﯾﻞ ﻫﺎي‬ ‫ﺗﻨﻈﯿﻤﺎت و ﻓﺎﯾﻞ ﻫﺎي اﺟﺮاﯾﯽ ﺣﺴﺎس روي ﻣﺎﺷﯿﻦ را ﺑﺮاي ﮐﺴﺐ اﻃﻤﯿﻨﺎن از ﺗﻐﯿﯿﺮ ﻧﮑﺮدن آﻧﻬﺎ ﺑﺎزرﺳﯽ ﻣﯽ ﮐﻨﻨﺪ ﮐﻨﻨﺪ و درﺻﻮرت ﻣﺸﺎﻫﺪه ﻣﻮردي ﻣﺸﮑﻮك‬ ‫آن را ﺳﺮﯾﻊ ﺑﻪ اﻃﻼع ﺷﻤﺎ ﻣﯽ رﺳﺎﻧﻨﺪ.‬ ‫ﺗﻀﻌﯿﻒ و ﺑﻪ ﮐﺎرﮔﯿﺮي ﺑﯿﺶ از ﺣﺪ از ﻣﻨﺎﺑﻊ ﻣﺤﻠﯽ‬ ‫ﺗﻀﻌﯿﻒ و ﺑﻪ ﮐﺎرﮔﯿﺮي ﺑﯿﺶ از ﺣﺪ از ﻣﻨﺎﺑﻊ ﻣﺤﻠﯽ ﻧﻮع ﻣﺘﺪاول دﯾﮕﺮي از‬ ‫‪ Dos Attack‬ﻣﺤﺴﻮب ﻣﯽ ﺷﻮد ﮐﻪ ﺷﺎﻣﻞ اﺟﺮاي ﺑﺮﻧﺎﻣﻪ اي از ﯾﮏ‬ ‫‪ account‬دﯾﮕﺮ روي ﻣﺎﺷﯿﻦ ﻫﺪف اﺳﺖ ﮐﻪ ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻢ را روي ﺧﻮد ﻫﺪف ﺗﻔﺴﯿﺮ ﻣﯽ ﮐﻨﺪ .وﻗﺘﯽ ﮐﻪ ﺗﻤﺎم ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻢ ﺗﻀﻌﯿﻒ ﻣﯽ ﺷﻮﻧﺪ، ﺳﯿﺴﺘﻢ‬ ‫ﻣﻤﮑﻦ اﺳﺖ ﻣﺘﻮﻗﻒ ﺷﻮد ﮐﻪ اﯾﻦ ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﮐﺎرﺑﺮان ﺳﺮور ﻧﺘﻮاﻧﻨﺪ از ﺳﺮوﯾﺲ آن ﺳﺮور اﺳﺘﻔﺎده ﮐﻨﻨﺪ .ﻫﺮ ﭼﻘﺪر ﻫﻢ ﮐﻪ ﺳﯿﺴﺘﻢ ﻫﺎي ﻋﺎﻣﻞ ﺗﻼش ﮐﻨﻨﺪ‬ ‫ﮐﻪ اﻣﻨﯿﺖ ﺧﻮد را ﺑﺎﻻ ﺑﺒﺮﻧﺪ ﺑﺎز ﻫﻢ ﯾﮏ ﻫﮑﺮ ﺑﺎﺗﺠﺮﺑﻪ ﻣﯽ ﺗﻮاﻧﺪ راه ﻫﺎﯾﯽ را ﺑﺮاي ﻧﻔﻮذ و ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺗﮑﻨﯿﮏ ﻫﺎي ﭘﻮﯾﺶ ﭘﯿﺪا ﮐﻨﺪ.‬ ‫راه ﻫﺎ و روش ﻫﺎي ﻣﺘﺪاول ﺑﺮاي ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ:‬ ‫ﭘﺮ ﮐﺮدن ﺟﺪول ﭘﺮدازش:‬ ‫ﯾﮏ ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺮﻧﺎﻣﻪ اي ﺑﻨﻮﯾﺴﺪ ﮐﻪ ﺑﻪ راﺣﺘﯽ ﭘﺮدازش دﯾﮕﺮي را وادار ﺑﻪ اﺟﺮاي ﮐﭙﯽ ﺧﻮدش ﻧﻤﺎﯾﺪ .اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﺑﺎزﮔﺸﺘﯽ ﻧﯿﺰ ﭘﺮدازش دﯾﮕﺮي را وادار ﺑﻪ‬ ‫اﺟﺮاي ﻫﻤﺎن ﺑﺮﻧﺎﻣﻪ ﻣﯽ ﮐﻨﺪ .ﺑﺎ اﺳﺘﻔﺎده از اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﻫﮑﺮ ﻗﺎدر ﺑﻪ اﯾﺠﺎد ﭘﺮدازش ﻫﺎﯾﯽ ﺑﻪ ﻫﻤﺎن ﺳﺮﻋﺖ ﮐﻪ ﺳﯿﺴﺘﻢ آﻧﻬﺎ را ﺑﺮاي ‪ user‬اﺟﺮا ﻣﯽ ﮐﻨﺪ،‬ ‫ﺧﻮاﻫﺪ ﺑﻮد .در ﻧﻬﺎﯾﺖ ﺟﺪول ﭘﺮدازش روي ﻣﺎﺷﯿﻦ ﭘﺮ ﻣﯽ ﺷﻮد ﺗﺎ ﮐﺎرﺑﺮان دﯾﮕﺮ را از اﺟﺮاي ﭘﺮدازﺷﻬﺎ ﺑﺎز دارد و دﺳﺘﺮﺳﯽ آﻧﻬﺎ را ﺗﮑﺬﯾﺐ ﮐﻨﺪ.‬ ‫ﻓﺮﺳﺘﺎدن ﺗﺮاﻓﯿﮏ ﮐﻪ ﺑﺎﻋﺚ اﻧﺴﺪاد ﭘﯿﻮﻧﺪﻫﺎي ارﺗﺒﺎﻃﯽ ﻣﯽ ﺷﻮد :‬ ‫در اﯾﻦ روش ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺮﻧﺎﻣﻪ اي ﺑﻨﻮﯾﺴﺪ ﮐﻪ ﺗﺮاﻓﯿﮏ ﺷﺒﮑﻪ اي ﺳﺎﺧﺘﮕﯽ ﯾﺎ ﺟﻌﻠﯽ را از ﺳﯿﺴﺘﻢ ﻣﻘﺼﺪ ﺑﻔﺮﺳﺘﺪ ﺗﺎ ﺑﺎﻋﺚ ﺗﻠﻒ ﺷﺪن ‪cpu‬ﻣﯽ ﺷﻮد اﮔﺮ‬ ‫ﺑﺮﻧﺎﻣﻪ ﻫﮑﺮ ﺑﺴﺘﻪ ﻫﺎﯾﯽ ﺗﻮﻟﯿﺪ ﮐﻨﺪ، ﮐﺎرﺑﺮان ﻣﺠﺎز ﻗﺎدر ﺑﻪ ﻓﺮﺳﺘﺎدن ﺗﺮاﻓﯿﮏ از وب ﺳﯿﺴﺘﻢ ﻧﺨﻮاﻫﻨﺪ ﺑﻮد.‬ ‫ﭘﺮ ﮐﺮدن ﺳﯿﺴﺘﻢ‬ ‫ﻓﺎﯾﻞ :‬ ‫ﺑﺎ ﻧﻮﺷﺘﻦ ﻣﻘﺪار ﻣﺘﻨﺎﺑﻬﯽ داده ﺑﻪ ﻃﻮر ﺛﺎﺑﺖ ﺑﺮ روي ﺳﯿﺴﺘﻢ ﻓﺎﯾﻞ، ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺗﻤﺎم ﺑﺎﯾﺖ ﻫﺎي ﻗﺎﺑﻞ دﺳﺘﺮس روي ﭘﺎرﺗﯿﺸﻦ دﯾﺴﮏ را ﭘﺮ ﮐﻨﺪ ﮐﻪ ﺑﺎ‬ ‫اﯾﻦ ﮐﺎر ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﮐﺎرﺑﺮان دﯾﮕﺮ از ﻧﻮﺷﺘﻦ ﻋﺎﺟﺰ ﺷﻮﻧﺪ ﮐﻪ ﺑﺎﻋﺚ اﯾﺠﺎد اﺧﺘﻼل در ﺳﯿﺴﺘﻢ ﻣﯽ ﺷﻮد.‬ ‫راه ﻫﺎي دﻓﺎﻋﯽ زﯾﺎدي ﻫﻢ ﺑﺮاي اﯾﻦ ﻧﻮع ﺣﻤﻼت وﺟﻮد دارد ﮐﻪ ﯾﮏ ﻧﻤﻮﻧﻪ آن ﻧﺼﺐ ﺳﯿﺴﺘﻢ ﻫﺎي ردﮔﯿﺮي ﻧﻔﻮذ‪Host-base‬‬ ‫ﯾﺎ ﺳﯿﺴﺘﻢ ﻫﺎي ‪ monitoring‬اﺳﺖ ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ ﺑﻪ ﺷﻤﺎ در ﻫﻨﮕﺎم ﭘﺎﯾﯿﻦ آﻣﺪن ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻢ ﮐﻪ ﺑﻪ ﺧﺎﻃﺮ اﯾﻦ ﻧﻮع ﺣﻤﻠﻪ اﺳﺖ ﮐﻤﮏ ﮐﻨﺪ و ﺧﺒﺮ ﺑﺪﻫﺪ‬ ‫وﻟﯽ ﻧﮑﺘﻪ اي ﮐﻪ ﻫﻤﯿﺸﻪ ﺑﺎﯾﺪ ﺑﻪ ﯾﺎد داﺷﺘﻪ اﯾﻦ اﺳﺖ ﮐﻪ ﻫﻤﯿﺸﻪ از وﺟﻮد ﻣﻨﺎﺑﻊ ﮐﺎﻓﯽ ﻣﺜﻞ ﺣﺎﻓﻈﻪ ‪ ram‬ﺳﺮﻋﺖ ﭘﺮدازﻧﺪه ﯾﺎ ‪ cpu‬و ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﭘﯿﻮﻧﺪ‬ ‫ارﺗﺒﺎﻃﯽ در ﺳﯿﺴﺘﻢ ﻫﺎي ﺣﺴﺎس ﺧﻮد اﻃﻤﯿﻨﺎن ﺣﺎﺻﻞ ﮐﻨﯿﺪ.‬
  • 8. ‫ﻣﺘﻮﻗﻒ ﮐﺮدن ﺳﯿﺴﺘﻢ ﻫﺎ از راه‬ ‫دور :‬ ‫ﺑﺎ وﺟﻮد اﯾﻨﮑﻪ ﺣﻤﻼت ‪dos‬ﺑﺴﯿﺎر راﺣﺖ و ﻣﻮﺛﺮ ﻫﺴﺘﻨﺪ وﻟﯽ ﺣﻤﻼت ‪ dos‬از راه دور ﺷﺎﯾﻊ ﺗﺮ ﻫﺴﺘﻨﺪ و ﺑﺴﯿﺎر ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ اﺳﺘﻔﺎده ﻣﯽ ﺷﻮﻧﺪ زﯾﺮا‬ ‫ﺣﻤﻼت ‪doc‬در ﺷﺒﮑﻪ ﺑﻪ دﻟﯿﻞ اﯾﻨﮑﻪ اﺣﺘﯿﺎج ﺑﻪ داﺷﺘﻦ ﯾﮏ ‪ account‬ﻣﺤﻠﯽ روي ﻣﺎﺷﯿﻦ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ ﻧﺪارد، ﺑﯿﺸﺘﺮ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد و‬ ‫ﻣﯽ ﺗﻮاﻧﺪ از ﺳﯿﺴﺘﻢ ﻫﮑﺮ ﺑﺮ ﻋﻠﯿﻪ ﯾﮏ ﻫﺪف اﺳﺘﻔﺎده ﺷﻮد .ﯾﮑﯽ از ﻣﻌﺮوف ﺗﺮﯾﻦ روﺷﻬﺎي ﺗﻮﻗﻒ از راه دور ﺳﯿﺴﺘﻢ ﻫﺎ، ﺣﻤﻠﻪ ﺑﺴﺘﻪ ﻫﺎي ﺑﺰرگ و ﻧﺎﻫﻨﺠﺎر‬ ‫اﺳﺖ .اﯾﻦ ﺣﻤﻠﻪ ﻫﺎ در ﭘﺸﺘﻪ ‪ tcp/ip‬ﻣﺎﺷﯿﻦ ﻫﺪف ﺑﻪ وﺳﯿﻠﻪ ﻓﺮﺳﺘﺎدن ﯾﮏ ﯾﺎ ﭼﻨﺪ‬ ‫‪packet‬ﺑﺎ ﻓﺮﻣﺖ ﻏﯿﺮﻣﻌﻤﻮل ﺑﺮ روي ﻫﺪف، ﺧﻄﺎﯾﯽ را ﺑﺎﻋﺚ ﻣﯽ‬ ‫ﺷﻮﻧﺪ .اﮔﺮ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ در ﻣﻘﺎﺑﻞ آن ﺑﺴﺘﻪ ﻫﺎي ﺧﺎص آﺳﯿﺐ ﭘﺬﯾﺮ ﺑﺎﺷﺪ دﭼﺎر ﻣﺸﮑﻞ ﻣﯽ ﺷﻮد و اﺣﺘﻤﺎﻻً ﭘﺮدازش ﺧﺎﺻﯽ را ﻣﺘﻮﻗﻒ ﻣﯽ ﮐﻨﺪ و ﯾﺎ ﺣﺘﯽ‬ ‫ﻣﻮﺟﺐ از ﮐﺎر اﻓﺘﺎدن ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ ﻫﺪف ﻣﯽ ﺷﻮد . ﺣﻤﻠﻪ ﻫﺎي ﺑﺴﺘﻪ ﻫﺎي ﻧﺎﻫﻨﺠﺎر زﯾﺎدي ﺗﺎﺑﺤﺎل ﺳﺎﺧﺘﻪ ﺷﺪه اﻧﺪ ﮐﻪ ﻣﻦ اﺳﺎﻣﯽ ﺑﺮﺧﯽ از اﯾﻦ ﺣﻤﻼت را ﺑﺎ‬ ‫ﺗﻮﺿﯿﺢ ﮐﻮﺗﺎﻫﯽ در ﻣﻮرد ﻫﺮ ﮐﺪام در زﯾﺮ ﻣﯽ دﻫﻢ.‬ ‫‪: Land‬‬ ‫ﯾﮏ ﺑﺴﺘﻪ ‪spoof‬ﺷﺪه را ﺑﻪ ﺟﺎﯾﯽ ﮐﻪ آدرس ‪ip‬ﻣﺒﺪا وادرس ‪ip‬ﻣﻘﺼﺪ ﯾﮑﯽ ا ﺳﺖ ﻣﯽ ﻓﺮﺳﺘﺪ .‬ ‫ﻫﺪف ﺑﺴﺘﻪ اي را درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﺪ ﮐﻪ ﺑﻪ ﻧﻈﺮ ﻣﯽ رﺳﺪ ﻫﻤﺎن ﻫﺪﻓﯽ را ﮐﻪ از آن آﻣﺪه ﻫﻤﺰﻣﺎن روي ﻫﻤﺎن ﻣﺎﺷﯿﻦ ﺗﺮك ﻣﯽ ﮐﻨﺪ .ﭘﺸﺘﻪ ﻫﺎي ﻗﺪﻣﯽ ﺗﺮ‬ ‫‪ TCP /IP‬در ﻣﻘﺎﺑﻞ اﯾﻦ رﺧﺪاد ﻏﯿﺮﻗﺎﺑﻞ اﻧﺘﻈﺎر دﭼﺎر ﺳﺮدرﮔﻤﯽ ﺷﺪه و ﻣﺨﺘﻞ ﻣﯽ ﺷﻮﻧﺪ. ‪LAND‬در ﺳﯿﺴﺘﻢ ﻫﺎي وﯾﻨﺪوز ،اﻧﻮاع ﻣﺨﺘﻠﻒ ‪linux‬‬ ‫ﻣﺴﯿﺮﯾﺎﺑﻬﺎ و ﭼﺎﭘﮕﺮﻫﺎ ﻣﯽ ﺗﻮاﻧﺪ ﻓﻌﺎﻟﯿﺖ داﺷﺘﻪ ﺑﺎﺷﺪ.‬ ‫‪:Ping of Death‬‬ ‫ﯾﮏ ﺑﺴﺘﻪ ‪ping‬ﺑﺰرگ ﻣﯽ ﻓﺮﺳﺘﺪ ﭘﺸﺘﻪ ﻫﺎي ﻗﺪﯾﻤﯽ ﺗﺮ ‪ TCP/IP‬ﻧﻤﯽ ﺗﻮاﻧﻨﺪ ‪Ping‬ﺑﺴﺘﻪ ﻫﺎي ﺑﺰرﮔﺘﺮ از 46 ﮐﯿﻠﻮﺑﺎﯾﺖ ﺑﻪ ﮐﺎر ﺑﺮﻧﺪ و وﻗﺘﯽ ﯾﮑﯽ از آﻧﻬﺎ‬ ‫ﻣﯽ رﺳﺪ دﭼﺎر اﺧﺘﻼل ﻣﯽ ﺷﻮﻧﺪ ‪ Ping of Death‬در ﺳﯿﺴﺘﻢ ﻫﺎي ﻣﺨﺘﻠﻔﯽ ﻣﺜﻞ وﯾﻨﺪوز، ﻧﺴﺨﻪ ﻫﺎي ﻣﺨﺘﻠﻒ ﯾﻮﻧﯿﮑﺲ ، ﭼﺎﭘﮕﺮﻫﺎ ... ﻣﯽ ﺗﻮاﻧﺪ ﻓﻌﺎﻟﯿﺖ‬ ‫داﺷﺘﻪ ﺑﺎﺷﺪ.‬ ‫2‪:Jolt‬‬ ‫اﻧﺒﻮﻫﯽ از ﺗﮑﻪ ﻫﺎي ﺑﺴﺘﻪ ﻫﺎ را ﻣﯽ ﻓﺮﺳﺘﺪ ﮐﻪ در ﻫﯿﭻ ﮐﺪام از آﻧﻬﺎ ‪ Fragment-Offset‬ﺻﻔﺮ ﻧﻤﯽ ﺑﺎﺷﺪ .در ﻧﺘﯿﺠﻪ ﺑﻪ ﻧﻈﺮ ﻣﯽ رﺳﺪ ﮐﻪ ﻫﯿﭻ ﮐﺪام از اﯾﻦ‬ ‫ﺗﮑﻪ ﻫﺎ، ﺗﮑﻪ اول ﻧﺒﺎﺷﺪ .در ﻃﻮل زﻣﺎﻧﯽ ﮐﻪ اﻧﺒﻮه ﺗﮑﻪ ﻫﺎ ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮﻧﺪ، ﺳﻮار ﮐﺮدن اﯾﻦ ﺗﮑﻪ ﻫﺎي ﻗﻼﺑﯽ ﺗﻤﺎﻣﯽ ﻇﺮﻓﯿﺖ ‪ CPU‬روي ﻣﺎﺷﯿﻦ ﻫﺪف را‬ ‫اﺷﻐﺎل ﻣﯽ ﮐﻨﺪ .اﯾﻦ روش ﻣﯽ ﺗﻮاﻧﺪ در وﯾﻨﺪوز0002 -‪ 9X -NT‬ﺑﻪ ﮐﺎر ﺑﺮود.‬ ‫‪, Newtear , Book , Syndrop‬‬ ‫‪:Teardrop‬‬ ‫اﺑﺰارﻫﺎي ﻣﺨﺘﻠﻔﯽ ﮐﻪ ﺗﮑﻪ ﻫﺎي ﺑﺴﺘﻪ ﻫﺎي ‪ IP‬ﮐﻪ روي ﻫﻢ ﻗﺮار ﮔﺮﻓﺘﻪ را ﻣﯽ ﻓﺮﺳﺘﻨﺪ .ﻣﻘﺎدﯾﺮ ‪ Fragment-Offset‬در ﻫﺪرﻫﺎي ﺑﺴﺘﻪ ﺑﻪ ﻣﻘﺎدﯾﺮي ﮐﻪ‬ ‫درﺳﺖ ﻧﯿﺴﺖ ﺗﻨﻈﯿﻢ ﻣﯽ ﺷﻮد ﺑﻪ ﻃﻮري ﮐﻪ ﻫﻨﮕﺎم ﺳﻮار ﺷﺪن ﺗﮑﻪ ﻫﺎ ﺑﻪ ﻃﻮر ﻣﻨﺎﺳﺐ ﻗﺮار ﻧﻤﯽ ﮔﯿﺮﻧﺪ .ﺑﺮﺧﯽ ﭘﺸﺘﻪ ﻫﺎي ‪ TCP /IP‬وﻗﺘﯽ ﭼﻨﯿﻦ ﺗﮑﻪ‬ ‫ﻫﺎي روي ﻫﻢ اﻓﺘﺎده اي را درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﻨﺪ، دﭼﺎر ﻣﺸﮑﻞ و اﺧﺘﻼل ﻣﯽ ﺷﻮﻧﺪ .اﯾﻦ اﺑﺰارﻫﺎ در وﯾﻨﺪوز ‪9 x - NT‬و ﻣﺎﺷﯿﻦ ﻫﺎي ﻟﯿﻨﻮﮐﺲ ﻣﯽ ﺗﻮاﻧﻨﺪ‬ ‫ﻓﻌﺎﻟﯿﺖ داﺷﺘﻪ ﺑﺎﺷﻨﺪ.‬
  • 9. ‫‪:Winnuke‬‬ ‫اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﮐﻪ ﺑﺴﯿﺎر ﻫﻢ ﻣﻌﺮوف اﺳ ﺖ داده ﻫﺎي ﺑﯽ ﻣﺼﺮﻓﯽ را ﺑﻪ ﯾﮏ ﻓﺎﯾﻞ ﺑﺎز اﺷﺘﺮاك ﭘﻮرت931 ‪ TCP‬ﮐﻪ ﭘﻮرت ‪ NETBIOS‬اﺳﺖ روي ﯾﮏ ﻣﺎﺷﯿﻦ‬ ‫وﯾﻨﺪوز ﻣﯽ ﻓﺮﺳﺘﺪ .وﻗﺘﯽ داده ﺑﻪ ﭘﻮرﺗﯽ ﮐﻪ ﻃﺒﻖ ﭘﺮوﺗﮑﻞ )‪server message block(SMB‬ﻣﺠﺎز ﻓﺮﻣﺖ ﻧﺸﺪه ﻣﯽ رود، ﺳﯿﺴﺘﻢ دﭼﺎر اﺧﺘﻼل ﻣﯽ‬ ‫ﺷﻮد ‪ WinNuke‬در وﯾﻨﺪوز ‪ 9X-NT‬ﻣﯽ ﺗﻮاﻧﺪ ﻓﻌﺎﻟﯿﺖ داﺷﺘﻪ ﺑﺎﺷﺪ .‬ ‫ﻫﻤﺎﻧﻄﻮر ﮐﻪ در ﻋﮑﺲ ﺑﺎﻻ ﻣﺸﺎﻫﺪه ﻣﯽ ﮐﻨﯿﺪ ﺑﻌﺪ از اﺟﺮا ﮐﺮدن ‪ Winnuke‬ﮐﻪ از ﻃﺮﯾﻖ ‪ MS DOS Prompt‬ﻫﻢ اﺟﺮا ﻣﯽ ﺷﻮد در ﺧﻂ ‪ Usage‬روش‬ ‫اﺳﺘﻔﺎده از اﯾﻦ اﺑﺰار و دﺳﺘﻮري ﮐﻪ ﺑﺎﯾﺪ ﺑﺮاي ‪ Dos‬ﮐﺮدن ﯾﮏ ﺳﯿﺴﺘﻢ ﺳﺮور ﯾﺎ ﮐﻼﯾﻨﺖ در ﺑﺮﻧﺎﻣﻪ ‪ Winnuke‬ﺑﺪﻫﯿﺪ ﮐﺎﻣﻞ ﺷﺮح داده ﺷﺪه اﺳﺖ ودر‬ ‫ﭘﻮرت 531 ﯾﺎ ‪PRF‬اﻗﺪام ﺑﻪ ‪ DOS‬ﮐﺮدن ﺳﯿﺴﺘﻢ ﻫﺪف ﻣﯽ ﮐﻨﺪ اﮔﺮ در ﺳﯿﺴﺘﻤﯽ ﻣﺸﺎﻫﺪه ﮐﺮدﯾﺪ ﮐﻪ اﯾﻦ ﭘﻮرت ﺑﺎز اﺳﺖ ﻣﻄﻤﺌﻦ ﺑﺎﺷﯿﺪ ﻣﯽ ﺗﻮاﻧﯿﺪ‬ ‫ﺳﯿﺴﺘﻢ را ‪ Reboot‬و‪ Down‬ﮐﻨﯿﺪ .اﻟﺒﺘﻪ اﯾﻦ ﻧﮑﺘﻪ را ﻫﻢ ذﮐﺮ ﮐﻨﻢ ﮐﻪ ﺣﺘﻤﺎً ﻧﺒﺎﯾﺪ ﺑﻪ ﭘﻮرت 531 ﯾﺎ 931 ﺣﻤﻠﻪ ﮐﻨﯿﺪ و ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﺎ اﺳﺘﻔﺎده از اﯾﻦ‬ ‫ﻧﺴﺨﻪ ﺣﺘﯽ ﺳﯿﺴﺘﻢ ﻫﺎي وﯾﻨﺪوز را ﺑﺪون دادن ﻫﯿﭻ ﭘﻮرت ﺧﺎﺻﯽ و ﺗﻨﻬﺎ ﺑﺎ دادن آدرس ‪IP‬آن ﻫﺎ از ﮐﺎر ﺑﯿﺎﻧﺪازﯾﺪ و ﺧﻮد ‪ Winnuke‬ﺑﻪ ﺻﻮرت ﻫﻮﺷﯿﺎر‬ ‫ﺑﻌﺪ از اﺟﺮا ﺷﺪن ﭘﻮرت ﻫﺎي آﺳﯿﺐ ﭘﺬﯾﺮ ﺳﯿﺴﺘﻢ ﻫﺪف را ﺷﻨﺎﺳﺎﯾﯽ ﮐﺮده و ﺑﻪ آﻧﻬﺎ ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪ ﻫﺎي زﯾﺎد و ﺑﯽ ﻣﺼﺮف‪ Attack‬ﻣﯽ ﮐﻨﺪ .‬ ‫راه ﻫﺎي زﯾﺎدي ﻫﻢ ﺑﺮاي دﻓﺎع در ﻣﻘﺎﺑﻞ ‪ Winnuke‬وﺟﻮد دارد ﮐﻪ اﻟﺒﺘﻪ ﺑﺴﺘﮕﯽ ﺑﻪ ﺗﺠﺮﺑﻪ ﻣﺪﯾﺮ ﯾﮏ ﺳﺮور دارد، ﭘﯿﺸﻨﻬﺎد ﻣﻦ ﺑﻪ ﺷﻤﺎ اﯾﻦ اﺳﺖ ﮐﻪ‬ ‫ﻫﻤﯿﺸﻪ ﭘﻮرت ﻫﺎي ﺑﺎز ﺑﯽ اﺳﺘﻔﺎده را ﺑﻼك ﮐﻨﯿﺪ و آﻧﻬﺎ را از ﻃﺮﯾﻖ ‪ Router‬و ﻓﺎﯾﺮوال ﺑﺒﻨﺪﯾﺪ .در ﮐﻨﺎر اﯾﻦ ﻣﯽ ﺗﻮاﻧﯿﺪ از ﺑﺮﻧﺎﻣﻪ ﻫﺎﯾﯽ ﻧﯿﺰ ﮐﻪ ﺑﺮاي دﻓﺎع‬ ‫در ﻣﻘﺎﺑﻞ ‪ Winnuke‬ﻧﻮﺷﺘﻪ ﺷﺪه اﻧﺪ اﺳﺘﻔﺎده ﮐﻨﯿﺪ .‬ ‫ﺑﻌﻀﯽ از ﺣﻤﻠﻪ ﻫﺎ ﻣﺜﻞ ‪Book‬و‪ Teardrop , Newtear‬ﺑﺎﻋﺚ ﺗﮑﻪ ﺗﮑﻪ ﺳﺎزي ﻏﯿﺮﻗﺎﻧﻮﻧﯽ و ﻏﯿﺮﻣﻌﻤﻮل ﻣﯽ ﺷﻮﻧﺪ و اﯾﻦ در ﺣﺎﻟﯽ اﺳﺖ ﮐﻪ دﯾﮕﺮان‬ ‫ﺑﺴﺘﻪ ﻫﺎﯾﯽ ﺑﺎ ﺣﺠﻢ ﺑﺴﯿﺎر زﯾﺎد ﻣﯽ ﻓﺮﺳﺘﻨﺪ ﻣﺜﻞ ‪ Ping of Death‬و ﺑﺮﺧﯽ دﯾﮕﺮ ﺑﺴﺘﻪ ﻫﺎي ‪ Spoof‬ﺷﺪه ﺑﺎ ﺷﻤﺎره ﭘﻮرت دور از اﻧﺘﻈﺎر را ﻣﯽ ﻓﺮﺳﺘﻨﺪ (‬ ‫‪ Land‬و دﯾﮕﺮان ﺑﻪ ارﺳﺎل داده ﻫﺎي ﺑﯽ ﻣﺼﺮف ﺑﻪ ﯾﮏ ﭘﻮرت ﺑﺎز اﮐﺘﻔﺎ ﻣﯽ ﮐﻨﻨﺪ ﺑﺮﺧﯽ از اﯾﻦ ﺣﻤﻼت ﺧﯿﻠﯽ ﻗﺪﯾﻤﯽ ﻫﺴﺘﻨﺪ ﻣﺜﻞ ‪Ping of Death‬‬ ‫ﮐﻪ ﻣﺤﺼﻮل ﺳﺎل 6991 اﺳﺖ و ﯾﺎ ‪ Land‬ﮐﻬﺪر ﺳﺎل 7991 ﮐﺸﻒ ﺷﺪ . ﺑﺎ وﺟﻮد ﻋﻤﺮ ﻃﻮﻻﻧﯽ اﯾﻦ ﺣﻤﻼت در ﺑﻌﻀﯽ ﻣﻮارد دﯾﺪه ﺷﺪه ﮐﻪ ﻫﻨﻮز ﻫﮑﺮﻫﺎ از‬ ‫اﯾﻦ روش ﻫﺎ ﺑﺮاي رﺧﻨﻪ در ﻣﻨﺎﻓﺬي ﮐﻪ ﻫﻨﻮز در ﻣﻘﺎﺑﻞ اﯾﻦ ﺣﻤﻠﻪ ﻫﺎي ﻗﺪﯾﻤﯽ ﺑﻪ ﻃﻮر ﻣﻨﺎﺳﺐ ﭘﻮﺷﺶ داده ﻧﺸﺪه اﻧﺪ و‪ Patch‬ﻧﺸﺪه اﻧﺪ اﺳﺘﻔﺎده ﻣﯽ‬ ‫ﮐﻨﻨﺪ.‬
  • 10. ‫راه دﯾﮕﺮ ﻣﺘﻮﻗﻒ ﺳﺎﺧﺘﻦ ﻣﻮﺛﺮ ﯾﮏ ﺳﺮوﯾﺲ از راه دور ﺟﻠﻮﮔﯿﺮي از آن از ﻃﺮﯾﻘﻪ ﺷﺒﮑﻪ اﺳﺖ‬ ‫‪ ARP SPOOFING‬ﯾﮏ ﺗﮑﻨﯿﮏ ﻣﻮﺛﺮ و وﯾﮋه اي ﺑﺮاي‬ ‫دﺳﺖ ﮐﺎري ارﺗﺒﺎﻃﺎت روي ‪LAN‬اﺳﺖ و ﺟﻬﺖ ﺗﺪارك ﺣﻤﻼت ‪DOS‬ﺑﮑﺎر ﻣﯿﺮود. اﯾﻦ روش ﺑﻪ اﯾﻦ ﺻﻮرت اﺳﺖ ﮐﻪ ﻫﮑﺮي ﮐﻪ داراي ﯾﮏ ‪Account‬‬ ‫روي ﻣﺎﺷﯿﻦ در ﻫﻤﺎن ‪ LAN‬اﺳﺖ ﻣﯽ ﺗﻮاﻧﺪ از ﺑﺮﻧﺎﻣﻪ ‪ Dsniff Arpspoof‬ﺑﻪ ﻋﻨﻮان ﺳﯿﺴﺘﻢ ﻫﺪف ﺳﻮء اﺳﺘﻔﺎده ﮐﻨﺪ .ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎ ﻓﺮﺳﺘﺎدن ﺗﻨﻬﺎ‬ ‫ﯾﮏ ﺑﺴﺖ ‪ ARP‬ﮐﻪ ‪ SPOOF‬ﺷﺪه اﺳﺖ ﺑﻪ ‪ROUTER‬روِي ‪ LAN‬ﺣﺎﻓﻈﻪ ﻣﺨﻔﯽ ، ‪ARP‬ﻣﺴﯿﺮﯾﺎب را ﺑﻪ ﮔﻮﻧﻪ اي دﺳﺖ ﮐﺎري ﮐﻨﺪ ﮐﻪ ﭘﺸﺘﻪ ﻫﺎي در‬ ‫ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﺷﺪه ﺑﺮاي آدرس ‪ ip‬ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ را ﺑﻪ ﯾﮏ آدرس ‪ MAC‬روي ‪ LAN‬ﮐﻪ اﺻﻼً وﺟﻮد ﺧﺎرﺟﯽ ﻧﺪارد، ﺑﻔﺮﺳﺘﺪ .ﺑﺎ اﯾﻨﮑﻪ ﺗﻤﺎم ﺑﺴﺘﻪ ﻫﺎ ﺑﻪ ‪LAN‬‬ ‫ﻓﺮﺳﺘﺎده ﻣﯿﺸﻮﻧﺪ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ ﻫﯿﭻ ﻗﺴﻤﺘﯽ از اﯾﻦ ﺗﺮاﻓﯿﮏ را درﯾﺎﻓﺖ ﻧﻤﯽ ﮐﻨﺪ ﮐﻪ ﻧﺘﯿﺠﻪ آن ﺣﻤﻠﻪ ‪ DOS‬اﺳﺖ ﮐﻪ ﺑﺎ ﺗﻮﻗﻒ ﺳﺮوﯾﺲ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ،‬ ‫دﯾﮕﺮ ﻧﻤﯽ ﮔﺬارد ﮐﻪ ارﺗﺒﺎط ﺑﺮﻗﺮار ﮐﻨﺪ .ﺑﺎ اﺳﺘﻔﺎده از‪ ARP Spoofing‬در واﻗﻊ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ از ﺷﺒﮑﻪ ﺧﺎرج ﻣﯽ ﺷﻮد.‬ ‫ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ از راه‬ ‫دور :‬ ‫اﻣﺮوزه از ﻣﯿﺎن ﺣﻤﻼت ‪ DOS‬ﻣﻮﺟﻮد، ﻣﺤﺒﻮﺑﺘﺮﯾﻦ ﺗﮑﻨﯿﮏ ﻫﺎ ﺷﺎﻣﻞ ﺑﺴﺘﻦ ﻣﻨﺎﺑﻊ ﻫﺪف و ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺳﺮور از راه دور اﺳﺖ .در اﯾﻦ ﻧﻮع ﺣﻤﻠﻪ ﻫﺎ ﻫﮑﺮ‬ ‫ﺳﻌﯽ ﻣﯽ ﮐﻨﺪ ﺗﺎ ﺑﺎ اﺳﺘﻔﺎده از اﻧﺒﻮﻫﯽ از ﺑﺴﺘﻪ ﻫﺎ ﺗﻤﺎم ﻇﺮﻓﯿﺖ ﻣﻮﺟﻮد در ﺷﺒﮑﻪ را اﺷﻐﺎل ﮐﻨﺪ .در ﺣﺎل ﺣﺎﺿﺮ ﻫﮑﺮﻫﺎ ﺑﯿﺸﺘﺮ از اﯾﻦ روش و ﺗﮑﻨﯿﮏ ﻫﺎ‬ ‫اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﻨﺪ ﮐﻪ ﻣﺤﺒﻮﺑﺘﺮﯾﻦ ﺗﮑﻨﯿﮏ ﻫﺎي ارﺳﺎل ﺳﯿﻞ ﺑﺴﺘﻪ ﻫﺎ از ﻗﺮار زﯾﺮ ﻫﺴﺘﻨﺪ :‬ ‫‪Syn flood‬‬ ‫ﺣﻤﻼت ‪smurf‬‬ ‫ﺣﻤﻼت ﺗﻮزﯾﻊ ﺷﺪه ‪dos‬‬ ‫‪: Syn flood‬‬ ‫اﺻﻮﻻً در ﻫﻤﻪ ارﺗﺒﺎﻃﺎت ‪ TCP‬ﺑﺎ ﯾﮏ ﺗﺄﯾﯿﺪ ﺳﻪ ﺟﺎﻧﺒﻪ آﻏﺎز ﺑﻪ ﮐﺎر ﻣﯽ ﮐﻨﻨﺪ ﮐﻪ ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪ اي ﺑﻪ ﺑﯿﺖ ﮐﺪ‪SYN‬‬ ‫آن، ﺗﻨﻈﯿﻢ ﺷﺪه و ﺷﺮوع ﻣﯽ ﺷﻮد .اﯾﻦ ﺑﺴﺘﻪ ﻫﺎ ﺗﻮﺳﻂ ﮐﻼﯾﻨﺖ ﺑﻪ ﯾﮏ ﺳﺮور از ﻃﺮﯾﻘﻪ ﯾﮏ ﭘﻮرت ﺑﺎز ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد .ﻫﻨﮕﺎﻣﯽ ﮐﻪ ﺳﯿﺴﺘﻢ ﻫﺪف ﺑﺴﺘﻪ‬ ‫‪SYN‬را ﻣﯽ ﮔﯿﺮﯾﺪ، اوﻟﯿﻦ ﺷﻤﺎره ﺳﺮﯾﺎﻟﯽ ﮐﻪ از ﻣﺒﺪأ ﮔﺮﻓﺘﻪ را ﺑﻪ ﺧﺎﻃﺮ ﻣﯽ آورد و ﯾﮏ ﻧﺴﺨﻪ‪ SYN-ACK‬ﺑﻪ وﺟﻮد ﻣﯽ آورد . ﺧﺐ ﮐﺎري ﮐﻪ ﯾﮏ ﺣﻤﻠﻪ‬ ‫‪SYN Flood‬ﻣﯽ ﮐﻨﺪ ﺑﻪ اﯾﻦ ﺻﻮرت اﺳﺖ ﮐﻪ ﻫﮑﺮ ﺳﻌﯽ ﻣﯽ ﮐﻨﺪ ﺗﺎ ﺑﺎ ﻓﺮﺳﺘﺎدن ﺗﻌﺪاد زﯾﺎدي از ﺑﺴﺘﻪ ﻫﺎي‪ SYN‬ﺑﻪ ﻃﺮف ﺳﯿﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ آﻧﺮا ﺗﻀﻌﯿﻒ‬ ‫ﮐﻨﺪ ﮐﻪ اﯾﻦ ﻫﺪف ﻫﮑﺮﻫﺎ اﺳﺖ ﮐﻪ ﻣﯽ ﺧﻮاﻫﻨﺪ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ را ﺗﻮﺳﻂ ﻓﺮﺳﺘﺎدن ﺑﺴﺘﻪ ﻫﺎي ‪ SYN‬ﻣﺸﻐﻮل ﮐﻨﻨﺪ و وﻗﺘﯽ ﺳﯿﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ ﺑﺴﺘﻪ ﻫﺎي‬ ‫‪SYN‬ﺑﯿﺸﺘﺮ از ﻇﺮﻓﯿﺖ و ﺗﻮاﻧﺎﯾﯽ ﺧﻮد درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﺪ، ﺗﺮاﻓﯿﮏ ﻣﺠﺎز دﯾﮕﺮي ﻧﻤﯽ ﺗﻮاﻧﺪ ﺑﻪ آن ﺳﺮور ﺑﺮﺳﺪ ‪ S YN Flood‬ﺑﻪ 2 روش ارﺗﺒﺎط ﺳﺮور را‬ ‫ﺗﻀﻌﯿﻒ ﻣﯽ ﮐﻨﺪ :‬ ‫در روش اول وﻇﯿﻔﻪ اي ﮐﻪ ‪ syn flood‬دارد ﭘﺮ ﮐﺮدن ﺿﻌﻒ ارﺗﺒﺎﻃﯽ ﺳﯿﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ ﺑﺎ ارﺗﺒﺎط ﻧﯿﻤﻪ ﺑﺎز اﺳﺖ.‬ ‫ﻫﻤﯿﻦ ﮐﻪ ﺳﯿﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ ﺑﺴﺘﻪ‪ SYN‬درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﺪ و ﺟﻮاب ‪ SYN-ACK‬آن را ﻣﯽ ﻓﺮﺳﺘﺪ ﺑﺎ اﺳﺘﻔﺎده از ﻣﺪت زﻣﺎن ‪ TimeOut‬ﮐﻪ ﺑﯿﺸﺘﺮ از ﯾﮏ‬ ‫دﻗﯿﻘﻪ ﺗﻨﻈﯿﻢ ﺷﺪه ﻣﻨﺘﻈﺮ ﺗﺄﯾﯿﺪ ﻃﺮف ﺳﻮم ﻣﯽ ﻣﺎﻧﺪ و ﭼﻮن ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ ﭼﻨﺪﯾﻦ ﻣﻨﺒﻊ را ﺑﻪ روي ارﺗﺒﺎط ﺧﻮد ﺑﺮاي ﺣﺬف ﮐﺮدن ﻫﺮ ﺑﺴﺘﻪ ‪ SYN‬ورودي‬ ‫اﺧﺘﺼﺎص ﻣﯽ دﻫﺪ ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﻫﻨﮕﺎﻣﯽ ﮐﻪ ﺳﯿﺴﺘﻢ ﻫﺪف ﻣﻨﺘﻈﺮ ﺗﮑﻤﯿﻞ ﺷﺪن ﺗﺄﯾﯿﺪ ﺳﻪ ﺟﺎﻧﺒﻪ ﻫﺮ ارﺗﺒﺎط ﻧﯿﻤﻪ ﺑﺎز اﺳﺖ، ﺑﻪ ﭘﺮ ﮐﺮدن اﯾﻦ ﺻﻒ ارﺗﺒﺎﻃﯽ‬
  • 11. ‫ﺑﭙﺮدازد .ﺑﺎ ﻓﺮﺳﺘﺎدن ﺑﺴﺘﻪ ﻫﺎي ‪ SYN‬ﺑﺮاي ﻣﺼﺮف ﺗﻤﺎم ﻣﮑﺎن ﻫﺎي اﺧﺘﺼﺎص داده ﺷﺪه روي ﺻﻒ ارﺗﺒﺎط، ﻫﯿﭻ ارﺗﺒﺎط دﯾﮕﺮي ﻧﻤﯽ ﺗﻮاﻧﺪ ﺗﻮﺳﻂ ﮐﺎرﺑﺮان‬ ‫آن ﺳﺮور ﺑﺮﻗﺮار ﺷﻮد .ﺑﺮاي ﻣﻄﻤﺌﻦ ﺷﺪن ﭘﺮ ﺑﻮدن ﺻﻒ ارﺗﺒﺎط‬ ‫‪syn flood‬اﺑﺰارﻫﺎي زﯾﺎدي دارد ﮐﻪ ﺑﺎ اﺳﺘﻔﺎده از آدرس ﻫﺎي ﻣﺒﺪا ‪ spoof‬ﺷﺪه ﮐﻪ‬ ‫روي ‪net‬ﺟﻮاب ﻧﻤﯽ دﻫﻨﺪ ﺑﺴﺘﻪ ﻫﺎي ‪syn‬را ﻣﯽ ﻓﺮﺳﺘﻨﺪ . ﺧﺐ ﻣﺎ ﻣﯽ ﺗﻮاﻧﯿﻢ ﻣﺠﻤﻮﻋﻪ اي از آدرس ﻫﺎي ‪ ip‬اﻧﺘﺨﺎب ﮐﻨﯿﻢ ﮐﻪ ﻫﯿﭻ ﻣﺎﺷﯿﻨﯽ ﮐﻪ در‬ ‫ﺣﺎل اﺳﺘﻔﺎده و ارﺗﺒﺎط ﺑﺎ اﯾﻨﺘﺮﻧﺖ اﺳﺖ از آﻧﻬﺎ اﺳﺘﻔﺎده ﻧﮑﻨﺪ، اﯾﻦ ‪ ip‬ﻫﺎ ﺑﻪ ﻋﻨﻮان ﻣﺒﺪأ ‪ spoof‬ﺷﺪه ﺑﻪ ﮐﺎر ﻣﯽ روﻧﺪ ﭼﻮن ﺟﻮاب ﻫﺎي ‪ SYN-ACK‬از‬ ‫ﻣﺎﺷﯿﻦ ﻫﺪف ﻫﯿﭻ وﻗﺖ ﭘﺎﺳﺨﯽ را درﯾﺎﻓﺖ ﻧﻤﯽ ﮐﻨﺪ .اﮔﺮ اﺑﺰار ‪ SYN Flood‬ﺑﻪ وﺳﯿﻠﻪ ﯾﮏ آدرس ‪ip‬اﺧﺘﺼﺎص داده ﺷﺪه ﺑﻪ ﯾﮏ ﻣﺎﺷﯿﻦ ﺣﻘﯿﻘﯽ ﺑﺮ ﺷﻮد‬ ‫ﻫﺮ ‪ Spoof‬روي اﯾﻨﺘﺮﻧﺖ ‪ SYN‬ﮐﻪ ﺗﻮﺳﻂ ﻫﮑﺮ ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد، ﯾﮏ ﺟﻮاب ‪ SYN-ACK‬ﻓﺮﺳﺘﺎده ﺷﺪه ﺑﻪ اﯾﻦ ﻣﺎﺷﯿﻦ ﻣﺠﺎز را ﮐﻪ آدرس ﻣﺒﺪأ آن‬ ‫‪ Spoof‬ﺷﺪه ﺑﻮد را آزاد ﻣﯽ ﮐﻨﺪ .اﯾﻦ ﻣﺎﺷﯿﻦ ﯾﮏ ﺑﺴﺘﻪ ‪ SYN-ACK‬از ﻫﺪف ﻣﯽ ﮔﯿﺮد و ﭼﻮن ﻫﯿﭻ ارﺗﺒﺎﻃﯽ ﺑﺮﻗﺮار ﻧﺸﺪه ﺑﻮد ﯾﮏ ‪ Reset‬ﻣﯽ‬ ‫ﻓﺮﺳﺘﺪ .ﺑﺴﺘﻪ ‪ Reset‬ﻧﯿﺰ ارﺗﺒﺎط را در ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ ﻗﻄﻊ ﻣﯽ ﮐﻨﺪ و ﻣﻨﺒﻊ ﺻﻒ ارﺗﺒﺎط را ﮐﻪ ﻫﮑﺮ اﺳﺘﻔﺎده ﻣﯽ ﮐﺮد را آزاد ﻣﯽ ﮐﻨﺪ.‬ ‫اﮔﺮ ﺑﺨﻮاﻫﻢ ﺑﻪ زﺑﺎن ﺳﺎده ﻣﺘﻦ ﺑﺎﻻ را ﺑﯿﺎن ﮐﻨﻢ ﺑﻪ اﯾﻦ ﺻﻮرت اﺳﺖ ﮐﻪ ﻫﮑﺮﻫﺎ اﮐﺜﺮاً ﺑﺎ اﺳﺘﻔﺎده از آدرس ﻫﺎي ‪ip‬ﮐﻪ ﺟﻮاب ﻧﻤﯽ دﻫﻨﺪ ﮐﺎر ﺗﻘﻠﯿﺪ را اﻧﺠﺎم‬ ‫ﻣﯽ دﻫﻨﺪ ﺗﺎ از ﮐﺎر ‪ reset‬ﮐﻪ ﻣﻨﺒﻊ ﺻﻒ اﺗﺼﺎل ‪ user‬را آزاد ﻣﯽ ﮐﻨﺪ ﺟﻠﻮﮔﯿﺮي ﮐﻨﻨﺪ .در ﺣﺎﻟﺖ ﻋﺎدي ﺑﺮاي ﺑﺮﻗﺮاري ﯾﮏ ارﺗﺒﺎط‬ ‫‪ tcp/ip‬در ﻣﺮﺣﻠﻪ‬ ‫اول ﻣﺸﺘﺮي ﯾﮏ ﺑﺴﺘﻪ ‪ SYN‬ﺑﺮاي ﻣﯿﺰﺑﺎن ﻣﯽ ﻓﺮﺳﺘﺪ و در ﻣﺮﺣﻠﻪ ﺑﻌﺪ ﻣﯿﺰﺑﺎن ﭘﺎﺳﺦ ﻣﺸﺘﺮي را ﺑﻪ وﺳﯿﻠﻪ ﯾﮏ ﺑﺴﺘﻪ ‪ SYN/ACK‬ﻣﯽ دﻫﺪ و در ﻣﺮﺣﻠﻪ‬ ‫ﺳﻮم و آﺧﺮ ﻣﺸﺘﺮي ﭘﺎﺳﺦ ﻣﯿﺰﺑﺎن را ﺑﺎ ارﺳﺎل ﯾﮏ ﺑﺴﺘﻪ ‪ ack‬ﻣﯽ دﻫﺪ و اﺗﺼﺎل ﺑﺮﻗﺮار ﻣﯽ ﺷﻮد ﮐﻪ ﺑﻪ اﯾﻦ ﺳﻪ ﻣﺮﺣﻠﻪ در ‪ tcp/ip‬ﺑﻪ اﺻﻄﻼح ‪Three‬‬ ‫‪ Way Handshake‬ﯾﺎ دﺳﺖ دادن ﺳﻪ ﻃﺮﻓﻪ ﻣﯽ ﮔﻮﯾﻨﺪ. ﻫﻨﮕﺎم ﺣﻤﻠﻪ ﯾﮏ ﺑﺴﺘﻪ ‪ syn‬ﺑﻪ ﺳﻮي ﻣﯿﺰﺑﺎن ﺑﺎ ﯾﮏ آدرﺳﻪ ‪ ip‬ﺟﻌﻠﯽ ارﺳﺎل ﻣﯽ ﺷﻮد .ﻣﯿﺰﺑﺎن‬ ‫ﺑﺎ ﯾﮏ ﺑﺴﺘﻪ ‪ SYN/ACK‬ﭘﺎﺳﺦ ﻣﯽ دﻫﺪ و ﻣﻨﺘﻈﺮ ﭘﺎﺳﺦ ﮐﻪ ﺑﺴﺘﻪ ‪ ACK‬اﺳ ﺖ ﻣﯽ ﻣﺎﻧﺪ وﻟﯽ ‪ ip‬ﺟﻌﻠﯽ ﺑﻮده و ﭘﺎﺳﺨﯽ در ﮐﺎر ﻧﺨﻮاﻫﺪ ﺑﻮد وﻟﯽ ﻣﯿﺰﺑﺎن‬ ‫ﻫﻤﭽﻨﺎن ﻣﻨﺘﻈﺮ ﻣﺎﻧﺪه و ﺑﻪ ﺑﺴﺘﻪ ﻫﺎي‪ syn‬ﭘﺎﺳﺦ ﻣﯽ دﻫﺪ. اﯾﻦ اﻣﺮ ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﺗﺎ ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻤﯽ ﻣﯿﺰﺑﺎن ﺑﻪ ﭘﺎﯾﺎن رﺳﯿﺪه و ﺳﺮور دﭼﺎر ﻣﺸﮑﻞ ﺷﻮد و‬ ‫ﺳﺮوﯾﺲ دﻫﯽ آن ﻣﺘﻮﻗﻒ ﺷﻮد. روش دﯾﮕﺮي ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ در ‪ SYN Flood‬ﻣﻨﺎﺑﻊ ﻫﺪف را ﺗﻀﻌﯿﻒ ﮐﻨﺪ ﮐﻪ ﭘﯿﺸﺮﻓﺘﻪ ﺗﺮ از روش ﺻﻒ ارﺗﺒﺎط اﺳﺖ ﺑﻪ اﯾﻦ‬ ‫ﺻﻮرت اﺳﺖ ﮐﻪ اﮔﺮ ﻣﻨﺸﺄ ارﺗﺒﺎط ﺑﺴﯿﺎر ﺑﺰرگ ﺑﺎﺷﺪ و ﺻﺪﻫﺎ ﻫﺰار ﺑﺴﺘﻪ ‪ SYN‬ﺑﻪ ﺟﺎ ﻣﺎﻧﺪه را ﺑﺘﻮاﻧﺪ در ﺧﻮد ﺟﺎي دﻫﺪ‪ SYN Flood‬ﻓﻘﻂ ﻣﯽ ﺗﻮاﻧﺪ‬ ‫ﭘﯿﻮﻧﺪ ارﺗﺒﺎﻃﯽ را ﺑﺎ ﺑﯿﺮون ﮐﺮدن ﻫﺮ ﺗﺮاﻓﯿﮏ ﻣﺠﺎزي اﺷﻐﺎل ﮐﻨﺪ .ﺑﺮاي دﺳﺘﺮ ﺳﯽ ﺑﻪ اﯾﻦ وﺿﻌﯿﺖ ﻫﮑﺮ ﺑﺎﯾﺪ ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺑﯿﺸﺘﺮي را ﻧﺴﺒﺖ ﺑﻪ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ‬ ‫داﺷﺘﻪ ﺑﺎﺷﺪ و ﻫﻤﭽﻨﯿﻦ ﺑﺘﻮاﻧﺪ ﺑﺴﺘﻪ ﻫﺎﯾﯽ را ﺑﺮاي اﺷﻐﺎل اﯾﻦ ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺑﻪ وﺟﻮد ﺑﯿﺎورد .‬ ‫اﮔﺮ ﺑﺨﻮاﻫﯿ ﻢ درﺑﺎره راه ﻫﺎي دﻓﺎع در ﺑﺮاﺑﺮ ‪ SYN Flood‬ﺗﻮﺿﯿﺢ دﻫﻢ از اﯾﻨﺠﺎ ﺷﺮوع ﻣﯽ ﮐﻨﻢ ﮐﻪ اوﻟﯿﻦ و ﻣﻬﻤﺘﺮﯾﻦ دﻓﺎع در ﺑﺮاﺑﺮ ‪ SYN Flood‬اﻃﻤﯿﻨﺎن‬ ‫داﺷﺘﻦ از وﺟﻮد ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﮐﺎﻓﯽ و ﻣﺴﯿﺮﻫﺎي زﯾﺎدي ﺑﺮاي ﺗﻤﺎم ﺳﯿﺴﺘﻢ ﻫﺎي ﺣﺴﺎس ﺷﻤﺎ اﺳﺖ .ﺗﮑﻨﯿﮑﯽ ﮐﻪ در ﻟﯿﻨﻮﮐﺲ ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪ SYN Flood‬ﺑﻪ‬ ‫ﮐﺎر ﺑﺮده ﻣﯽ ﺷﻮد اﺳﺘﻔﺎده از ﮐﻮﮐﯽ ﻫﺎي ‪ SYN‬اﺳﺖ ﮐﻪ در ﺑﺮاﺑﺮ ﺣﺬف ﺷﺪن ﺻﻒ ارﺗﺒﺎﻃﯽ ﮐﻪ ﺑﺴﺘﻪ ﻫﺎي ‪ SYN‬اﻧﺠﺎم ﻣﯽ دﻫﻨﺪ ﻣﯽ اﯾﺴﺘﻨﺪ و ﻣﻘﺎﺑﻠﻪ ﻣﯽ‬ ‫ﮐﻨﻨﺪ .ﺑﺮاي ﻓﻌﺎل ﮐﺮدن ﮐﻮﮐﯽ ﻫﺎي ‪ SYN‬در ﯾﮏ ﻣﺎﺷﯿﻦ ﻟﯿﻨﻮﮐﺲ ﺧﻂ زﯾﺮ ﺑﺎﯾﺪ ﺑﻪ ‪Boot‬‬ ‫‪ Sequence‬ﻣﺎﺷﯿﻦ اﺿﺎﻓﻪ ﺷﻮد.‬ ‫‪Echo 1>/proc/sys/net/ipv4/tcp_syncookies‬‬ ‫ﻋﻼوه ﺑﺮ اﯾﻦ، ﯾﮏ ﻣﺎﺷﯿﻦ ﻟﯿﻨﻮﮐﺲ ﻣﯽ ﺗﻮاﻧﺪ ﺑﻪ ﻋﻨﻮان ﯾﮏ ‪ Proxy‬دﯾﻮاره آﺗﺶ ) ‪ (Firewall‬ﺗﻨﻈﯿﻢ ﺷﻮد و ﺑﺎ اﯾﻦ ﮐﺎر ﺑﺎﻋﺚ اﺿﺎﻓﻪ ﺷﺪن ﻣﺤﺎﻓﻈﺖ ﮐﻮﮐﯽ‬ ‫‪ SYN‬ﺑﻪ ﮐﻞ ﯾﮏ ﺷﺒﮑﻪ ﺷﻮد.‬
  • 12. ‫ﺣﻤﻼت ‪: smurf‬‬ ‫ﺣﻤﻼت ‪ smurf‬ﻧﯿﺰ ﯾﮑﯽ از اﻧﻮاع ﺣﻤﻼت ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ از راه دور ﻫﺴﺘﻨﺪ ‪smurf attack‬را ﺑﻪ ﻋﻨﻮان ‪ broadcast attacks directed‬ﯾﺎ‬ ‫ﺣﻤﻼت اﻧﺘﺸﺎري ﻣﻨﺴﺠﻢ ﻫﻢ ﻣﯽ ﺷﻨﺎﺳﻨﺪ . ﺣﻤﻼت ‪ Smurf‬از ﻣﻌﺮوﻓﺘﺮﯾﻦ و راﯾﺠﺘﺮﯾﻦ ﺣﻤﻼت‪ Dos‬ﻣﺤﺴﻮب ﻣﯽ ﺷﻮد.‬ ‫ﻓﺮﺳﺘﺎدن ﯾﮏ ﭘﯿﺎم اﺗﺮﻧﺖ ﺑﻪ آدرس ‪ MAC‬ﮐﻪ ﺗﻤﺎم رﻗﻤﻬﺎﯾﺶ 1 ﺑﺎﺷﺪ از ﻃﺮﯾﻖ ‪ LAN‬ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﺗﺎ ﻫﻤﻪ ﻣﺎﺷﯿﻦ ﻫﺎي روي‪ LAN‬ﻫﺪف، ﭘﯿﺎم را‬ ‫ﺧﻮاﻧﺪه و ﺟﻮاﺑﯽ را ﺑﻔﺮﺳﺘﻨﺪ .دوﺳﺘﺎن اﯾﻦ ﻧﮑﺘﻪ را ذﮐﺮ ﮐﻨﻢ ﮐﻪ درك ﮐﺎﻣﻞ روش ﻫﺎي ‪ Dos‬ﺑﻪ آﺷﻨﺎﯾﯽ ﻗﺒﻠﯽ ﺷﻤﺎ ﺑﺎ ﻣﻔﺎﻫﯿﻢ ﺷﺒﮑﻪ و ‪ TCP/IP‬ﺑﺴﺘﮕﯽ‬ ‫دارد.‬ ‫ﻓﺮض ﮐﻨﯿﻢ ‪ ،PING‬ﯾﮏ ﺑﺴﺘﻪ اﻧﻌﮑﺎس‬ ‫‪ICMP‬اﺳﺖ ﯾﮏ ﮐﺎرﺑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﯾﮏ ‪PING‬را ﺑﻪ آدرس اﻧﺘﺸﺎر ‪IP‬ﯾﮏ ﺷﺒﮑﻪ ﺑﻔﺮﺳﺘﺪ اﮔﺮ ‪ ROUTER‬روي‬ ‫ﺷﺒﮑﻪ ﻫﺪف اﺟﺎزه اﻧﺘﺸﺎر ﻣﺴﺘﻘﯿﻢ را ﺑﺪﻫﺪ ﺑﺴﺘﻪ ‪ PING‬اﻧﺘﺸﺎر ﻻﯾﻪ ‪ IP‬را ﺑﻪ ﯾﮏ اﻧﺘﺸﺎر ﻻﯾﻪ ‪ MAC‬ﺗﺒﺪﯾﻞ ﻣﯽ ﮐﻨﺪ ﮐﻪ ﺑﺎﻋﺚ درﯾﺎﻓﺖ آن ﺗﻮﺳﻂ ﺗﻤﺎم‬ ‫ﺳﯿﺴﺘﻢ ﻫﺎي روي‬ ‫‪LAN‬ﻣﻘﺼﺪ ﻣﯽ ﺷﻮد .وﻗﺘﯽ ﭘﯿﺎم درﯾﺎﻓﺖ ﺷﺪ ﺗﻤﺎم ﻣﺎﺷﯿﻦ ﻫﺎي ﻓﻌﺎل روي ‪ LAN‬ﻫﺪف، ﯾﺎ ﭘﺎﺳﺦ ‪ Ping‬را ﻣﯽ ﻓﺮﺳﺘﻨﺪ و ﯾﺎ ﺑﺎ‬ ‫ﻓﺮﺳﺘﺎدن ﻓﻘﻂ ﯾﮏ ﺑﺴﺘﻪ، آن ﺳﺮور و ‪ Host‬ﭼﻨﺪﯾﻦ ﺑﺴﺘﻪ ﭘﺎﺳﺦ را درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﻨﺪ . ﺣﺎﻻ ﻓﺮض ﮐﻨﯿﺪ ﮐﻪ اوﻟﯿﻦ در ﺧﻮاﺳﺖ ‪ Ping‬از اﻧﺘﺸﺎر ﺷﺒﮑﻪ‬ ‫درﯾﺎﻓﺖ ﯾﮏ آدرس ‪ IP‬ﻣﺒﺪأ‪ Spoof‬ﺷﺪه ﺑﺎﺷﺪ، ﻫﻤﻪ ﭘﺎﺳﺨﻬﺎي ‪ Ping‬از ﺗﻤﺎم ﻣﺎﺷﯿﻦ ﻫﺎي روي ﺷﺒﮑﻪ ﺑﻪ ﺳﻮي ﻣﺒﺪأ ﻇﺎﻫﺮي ﺑﺴﺘﻪ ﮐﻪ آدرس آن‬ ‫‪ SPOOF‬ﺷﺪه ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد ﻫﻤﯿﻨﻄﻮر ﮐﻪ ﺗﻌﺪاد ﻣﺎﺷﯿﻦ ﻫﺎ روي ﺷﺒﮑﻪ ﮐﻪ اﺟﺎزه اﻧﺘﺸﺎر ﻣﺴﺘﻘﯿﻢ را ﻣﯽ دﻫﻨﺪ اﺿﺎﻓﻪ ﻣﯽ ﺷﻮد، ﺗﻌﺪاد ﺑﺴﺘﻪ ﻫﺎي ﭘﺎﺳﺦ‬ ‫ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺗﻮﻟﯿﺪ ﺷﻮﻧﺪ ﻧﯿﺰ اﻓﺰاﯾﺶ ﭘﯿﺪا ﻣﯽ ﮐﻨﺪ و ﯾﮏ ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ از اﯾﻦ روش ﺑﺮاي ﺗﺪارك ﯾﮏ ﺣﻤﻠﻪ ‪ SMURF‬اﺳﺘﻔﺎده ﮐﻨﺪ.‬ ‫ﻫﮑﺮ ﯾﮏ ﺑﺴﺘﻪ ‪ PING‬را ﺑﻪ آدرس اﻧﺘﺸﺎر ﭼﻨﺪ ﺷﺒﮑﻪ روي اﯾﻨﺘﺮﻧﺖ ﮐﻪ ﭘﯿﺎم ﻫﺎي اﻧﺘﺸﺎر ﻣﺴﺘﻘﯿﻢ را ﻗﺒﻮل ﻣﯽ ﮐﻨﺪ و ﺟﻮاب ﻣﯽ دﻫﺪ، ﻣﯽ ﻓﺮﺳﺘﺪ ﮐﻪ ﺑﻪ اﯾﻦ‬ ‫ﻋﻤﻞ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪ Smurf‬ﻫﻢ ﻣﯽ ﮔﻮﯾﻨﺪ .ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪ Smurf‬اﻏﻠﺐ ﭼﯿﺰي ﻧﯿﺴﺖ ﺟﺰ ﯾﮏ ﺷﺒﮑﻪ ﺑﺎ ﺗﻨﻈﯿﻢ ﻧﺎدرﺳﺖ ﮐﻪ ﺑﻪ ﺑﺨﺶ ﺳﻮم ﺑﯽ ﮔﻨﺎﻫﯽ‬ ‫روي اﯾﻨﺘﺮﻧﺖ ﺗﻌﻠﻖ دارد. ﻫﮑﺮ از آدرس ﻣﺒﺪا ‪ Spoof‬و ﭘﻨﻬﺎن ﺷﺪه ﻗﺮﺑﺎﻧﯽ ﮐﻪ ﻣﯽ ﺧﻮاﻫﺪ آن را ‪ Flood‬ﮐﻨﺪ اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ و ﻫﻤﻪ ﺟﻮاب ﻫﺎي ‪PING‬‬ ‫ﺑﻪ ﻃﺮف ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد ﻣﺜﻼً اﮔﺮ 001 ﻣﯿﺰﺑﺎن ﻣﺘﺼﻞ ﺑﻪ ﺷﺒﮑﻪ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪ SMURF‬ﻣﻮﺟﺐ ﻓﺮﺳﺘﺎده ﺷﺪن 001 ﺑﺴﺘﻪ ﺑﻪ ﻗﺮﺑﺎﻧﯽ ﺷﻮد ﻣﺎ ﺑﺴﺘﻪ ﻫﺎ را‬ ‫ﭘﺸﺘﻪ ﺳﺮﻫﻢ ﺑﻪ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪ SMURF‬ﻣﯿﻔﺮﺳﺘﯿﻢ و اﮔﺮ ﻣﺎ ﺑﺘﻮاﻧﯿﻢ ﺑﺴﺘﻪ ﻫﺎ را ﺑﺎ ﯾﮏ اﺷﺘﺮاك ‪ DAILUP 56 kbps‬ﺗﻘﻮﯾﺖ ﮐﻨﯿﻢ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪smurf‬‬ ‫ﻣﯽ ﺗﻮاﻧﺪ ﺗﺎ 001 ﺑﺮاﺑﺮ اﯾﻦ ﻣﻘﺪار را ﺗﻮﻟﯿﺪ ﮐﻨﺪ .‬
  • 13. ‫‪:Smurf‬‬ ‫ﯾﮑﯽ از اوﻟﯿﻦ ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺣﻤﻠﻪ اﻧﺘﺸﺎر ﻣﺴﺘﻘﯿﻢ اﺳﺖ ﮐﻪ اﻧﺒﻮﻫﯽ از ﺑﺴﺘﻪ ﻫﺎي‪ ICMP‬را اﯾﺠﺎد ﻣﯽ ﮐﻨﺪ و ﺑﻪ ﺳﻤﺖ ﻗﺮﺑﺎﻧﯽ ﻣﯽ ﻓﺮﺳﺘﺪ.‬ ‫‪: Fraggle‬‬ ‫اﯾﻦ ‪tools‬ﺑﺮ روي ‪ udp‬ﻣﺘﻤﺮﮐﺰ اﺳﺖ وﮐﺎر ﻣﯽ ﮐﻨﺪ ‪ fraggel‬ﺑﺴﺘﻪ ﻫﺎﯾﯽ را ﺑﻪ ﯾﮏ آدرس اﻧﺘﺸﺎر ‪ip‬ﺑﻪ ﻣﻘﺼﺪ ﭘﻮرت ‪ udp‬ﻣﺘﻤﺮﮐﺰ ﻣﯽ ﺷﻮد و ﮐﺎر ﻣﯽ‬ ‫ﮐﻨﺪ.‬ ‫‪Fraggel‬ﺑﺴﺘﻪ ﻫﺎﯾﯽ را ﺑﻪ ﯾﮏ آدرس اﻧﺘﺸﺎر ‪ ip‬ﺑﻪ ﻣﻘﺼﺪ ﭘﻮرت ‪ udp‬ﮐﻪ ﺑﺮاي ﯾﮏ ﺳﺮوﯾﺲ ﺟﻬﺖ ارﺳﺎل ﭘﺎﺳﺦ ﺗﻨﻈﯿﻢ ﺷﺪه، ﻣﯽ ﻓﺮﺳﺘﺪ .ﺑﺮاي‬ ‫ﻣﺜﺎل ﺳﺮوﯾﺲ اﻧﻌﮑﺎس ﯾﮏ ﺑﺴﺘﻪ را ﻣﯽ ﮔﯿﺮد و ﺧﯿﻠﯽ راﺣﺖ ﺟﻮاﺑﯽ را ﮐﻪ ﻣﺤﺘﻮاي آن دﻗﯿﻘﺎً ﻫﻤﺎن داده ﻫﺎي درﯾﺎﻓﺖ ﺷﺪه اﺳﺖ را ﺑﺮﻣﯽ ﮔﺮداﻧﺪ و ﺑﻪ‬ ‫ﻫﻤﯿﻦ دﻟﯿﻞ اﺳﺖ ﮐﻪ ‪echo‬ﯾﺎ اﻧﻌﮑﺎس ﻧﺎﻣﯿﺪه ﻣﯽ ﺷﻮد .ﺑﺎ اﺳﺘﻔﺎده از ‪ Fraggle‬ﺑﺮاي ارﺳﺎل اﻧﺒﻮﻫﯽ از ﺑﺴﺘﻪ ﻫﺎ ﺑﻪ ﯾﮏ آدرس اﻧﺘﺸﺎر ‪ ip‬روي ﭘﻮرت‬ ‫ﻫﻔﺖ ‪udp‬ﺗﻤﺎم ﻣﺎﺷﯿﻦ ﻫﺎي روي ﺷﺒﮑﻪ ﺗﺮاﻓﯿﮏ ‪ udp‬را اﻧﻌﮑﺎس ﻣﯽ دﻫﺪ ﮐﻪ ﻧﺘﯿﺠﻪ آن ﺗﻘﻮﯾﺖ ‪flood‬اﺳﺖ.‬
  • 14. ‫‪:PapaSmurf‬‬ ‫ﯾﻌﻨﯽ ﭘﺪر‪ smurf attack‬ﮐﻪ ﯾﮏ ‪ smurf tools‬اﺳﺖ ﺗﺮﮐﯿﺒﯽ از ﺣﻤﻼت ‪ Fraggle‬و ‪ Smurf‬اﺳﺖ‬ ‫ﺧﯿﻠﯽ از ﻫﮑﺮﻫﺎ ﮔﺮوﻫﯽ را ﺗﺸﮑﯿﻞ ﻣﯽ دﻫﻨﺪ و ﺑﺎ ﻫﻢ ﻓﻌﺎﻟﯿﺖ ﻣﯽ ﮐﻨﻨﺪ و در اﯾﻨﺘﺮﻧﺖ ﺑﻪ دﻧﺒﺎل ﺷﺒﮑﻪ ﻫﺎﯾﯽ ﮐﻪ ﺗﻨﻈﯿﻤﺎﺗﺸﺎن ﺿﻌﯿﻒ اﺳﺖ ﺟﺴﺘﺠﻮ ﻣﯽ ﮐﻨﻨﺪ‬ ‫و از آﻧﻬﺎ ﺑﻪ ﻋﻨﻮان ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪ Smurf‬اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﻨﺪ .‬ ‫‪http://www.netscan.org‬‬ ‫‪http://www.powertech.no/smurf‬‬ ‫ﺗﻮﺳﻂ ﺳﺎﯾﺖ اول آﺳﯿﺐ ﭘﺬﯾﺮي ﺷﺒﮑﻪ وﺳﺎﯾﺖ دوم آﺳﯿﺐ ﭘﺬﯾﺮ ﺑﻮدن ﺳﯿﺴﺘﻤﺘﺎن را در ﺑﺮاﺑﺮ ﺣﻤﻼت‬ ‫اﻣﺘﺤﺎن ﮐﻨﯿﺪ.‬ ‫‪ Nmap‬ﻧﯿﺰ ﮐﻪ ﯾﮏ ﭘﻮرت اﺳﮑﻨﺮ و ﭘﻮﯾﺸﮕﺮ ﻗﻮي اﺳﺖ.‬ ‫ﺣﻤﻠﻪ ﺗﮑﺬﯾﺐ ﺳﺮوﯾﺲ ﻫﺎي ﺗﻮزﯾﻌﯽ:‬ ‫ﯾﮏ ‪ SYN Flood‬ﺳﺎده ﺑﻪ ﻣﺎ اﻣﮑﺎن ﻣﯽ دﻫﺪ ﺗﺎ از ﯾﮏ ﻣﺎﺷﯿﻦ ﺗﺮاﻓﯿﮑﯽ را ﺑﺮ ﻋﻠﯿﻪ ﺳﺮور ﻗﺮﺑﺎﻧﯽ اﯾﺠﺎد ﮐﻨﯿﻢ .در ﯾﮏ ﺣﻤﻠﻪ‪ Smurf‬ﺣﺠﻢ ﺗﺮاﻓﯿﮏ‬ ‫اﻓﺰاﯾﺶ ﻣﯽ ﯾﺎﺑﺪ اﻣﺎ ﻫﻨﻮز ﻣﻘﺪار ﺗﺮاﻓﯿﮑﯽ ﮐﻪ ﻣﯽ ﺗﻮان از ﯾﮏ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه‪ Smurf‬ﮔﺮﻓﺖ ﻣﺤﺪود اﺳﺖ. در ﯾﮏ ﺣﻤﻠﻪ ﺗﮑﺬﯾﺐ ﺳﺮوﯾﺲ ﻫﺎي ﺗﻮزﯾﻌﯽ ﮐﻪ‬ ‫ﺑﻪ ) ‪ DDOS ( Distributed Denial of Service‬ﻣﻌﺮوف اﺳﺖ.‬ ‫ﻣﺤﺪودﯾﺖ ﻫﺎي اﺻﻠﯽ در ﺗﻌﺪاد ﻣﺎﺷﯿﻦ ﻫﺎﯾﯽ ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﺮاي ﺗﺪارك ﺣﻤﻠﻪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﯿﺮﻧﺪ وﭘﻬﻨﺎي ﺑﺎﻧﺪي ﮐﻪ ﻫﮑﺮ ﻣﺼﺮف ﻣﯽ ﮐﻨﻨﺪ وﺟﻮد ﻧﺪارﻧﺪ .‬ ‫ﺑﺎ اﯾﺠﺎد اﯾﻦ اﻣﮑﺎن ﺑﺮاي ﻫﮑﺮ ﮐﻪ ﻓﻌﺎﻟﯿﺖ ﻫﺎي ﻣﯿﺰﺑﺎﻧﻬﺎ ﺑﻪ ﺗﻌﺪاد دﻟﺨﻮاه و زﯾﺎد را ﻫﻤﺎﻫﻨﮓ ﮐﻨﺪ، اﯾﻦ ﺣﻤﻠﻪ ﺧﻄﺮﻧﺎك ﺗﺮ ﻣﯽ ﺷﻮد .در ﯾﮏ ﺣﻤﻠﻪ ‪ddos‬‬ ‫ﻣﺤﺪودﯾﺘﯽ وﺟﻮد ﻧﺪارد .در اﯾﻦ ﻧﻮع ﺣﻤﻼت از دﺳﺘﻪ اي از ﮐﺎﻣﭙﯿﻮﺗﺮﻫﺎي ﻫﮏ ﺷﺪه ‪Zombie‬ﮐﻪ ﻫﺎ ﺑﺮ روي آﻧﻬﺎ ﻧﺼﺐ ﺷﺪه اﻧﺪ، ﺑﺮاي ﺣﻤﻠﻪ ﺑﻪ ﺳﯿﺴﺘﻢ‬ ‫ﻫﺪف اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد.‬
  • 15. ‫‪ DDOS‬آﺷﻨﺎﯾﯽ و روش ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻼت:‬ ‫ﯾﮏ ﺣﻤﻠﻪ ‪ ddos‬ﺑﺎ اﺳﺘﻔﺎده از ‪ zombie‬ﻫﺎ وﮐﺎﻣﭙﯿﻮﺗﺮ ﻫﺎﯾﯽ ﮐﻪ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ ﺑﺮﻧﺎﻣﻪ ‪ zombie‬ﺑﺮ روي آﻧﻬﺎ ﻧﺼﺐ ﺷﺪه اﺳﺖ در زﻣﺎن ﻣﺸﺨﺼﯽ ﮐﻪ‬ ‫ﺗﻮﺳﻂ ﻫﮑﺮ ﻫﺎ ﺗﻌﯿﯿﻦ ﺷﺪه اﺳﺖ ﺳﯿﻠﯽ اﻧﺒﻮه از ﺑﺴﺘﻪ ﻫﺎ را اﯾﺠﺎد ﮐﺮده و ﺑﻪ ﺳﻤﺖ ﯾﮏ ﯾﺎ ﭼﻨﺪ ﻗﺮﺑﺎﻧﯽ ﻣﯽ ﻓﺮﺳﺘﺪ .ﺑﺮاي ﺑﻪ وﺟﻮد آوردن ﯾﮏ ﺣﻤﻠﻪ ‪DDos‬‬ ‫‪ Flood‬ﻣﺎ در ﻣﺮﺣﻠﻪ اول ﺑﺎﯾﺪ ﺑﺮ ﺗﻌﺪاد ﮐﺜﯿﺮي از ﺳﯿﺴﺘﻢ ﻫﺎي ﮐﻼﯾﻨﺖ ﯾﺎ ﺳﺮور ﮐﻪ داراي ﻧﻘﺎط ﺿﻌﻒ و آﺳﯿﺐ ﭘﺬﯾﺮي ﻫﺴﺘﻨﺪ ﻧﻔﻮذ ﮐﻨﯿﻢ و ﮐﻨﺘﺮل ﮐﺎﻣﻞ‬ ‫آن ﺳﯿﺴﺘﻢ ﻫﺎ را در اﺧﺘﯿﺎر داﺷﺘﻪ ﺑﺎﺷﯿﻢ ﮐﻪ ﻣﺎ ﻣﯽ ﺗﻮاﻧﯿﻢ ﺑﺎ اﺳﺘﻔﺎده از روش ﻫﺎي ﻣﺘﻌﺪدي ﮐﻪ ﺑﺮاي ﻧﻔﻮذ ﺑﻪ ﺻﻮرت‪ Remote‬وﺟﻮد دارد ﻣﺜﻞ ﯾﮏ ﺣﻤﻠﻪ‬ ‫ﺳﺮرﯾﺰ ﺑﺎﻓﺮ) ‪( Buffer Ovelflow‬‬ ‫و ﯾﺎ روش ﻫﺎي دﯾﮕﺮ ﮐﻨﺘﺮل اﯾﻦ ﺳﯿﺴﺘﻢ ﻫﺎ را در دﺳﺖ ﺑﮕﯿﺮﯾﻢ .ﺑﻪ اﯾﻦ ﺳﯿﺴﺘﻢ ﻫﺎي ﻫﮏ ﺷﺪه ‪) Zombie‬ﻣﺮده‬ ‫ﻣﺘﺤﺮك( ﻣﯽ ﮔﻮﯾﻨﺪ در اﮐﺜﺮ ﺣﻤﻼت ‪ ZAMBIE ,DDOS‬ﻫﺎ ﺑﺮ روي ﺳﺮورﻫﺎي آﺳﯿﺐ ﭘﺬﯾﺮ در داﻧﺸﮕﺎه ﻫﺎ، ﺳﺮورﻫﺎي‪ Hosting‬و ﺣﺘﯽ ﺳﯿﺴﺘﻢ ﻫﺎي‬ ‫ﮐﺎرﺑﺮان ﺧﺎﻧﮕﯽ ﮐﻪ از ﻃﺮﯾﻖ ﺧﻄﻮط )‪Digital Subscriber Loop ( DSL‬‬ ‫ﯾﺎ ﺳﺮوﯾﺲ ﻫﺎي ﻣﻮدم ﮐﺎﺑﻠﯽ ﻣﺘﺼﻞ ﻫﺴﺘﻨﺪ، ﻧﺼﺐ ﺷﺪه اﻧﺪ .ﻫﮑﺮ در‬ ‫ﻣﺮﺣﻠﻪ اول ﺣﻤﻠﻪ ‪ DDos‬ﺗﻤﺎم وﻗﺖ ﺧﻮد را در اﯾﻨﺘﺮﻧﺖ ﺑﺮاي ﭘﯿﺪا ﮐﺮدن ﺳﯿﺴﺘﻢ ﻫﺎي آﺳﯿﺐ ﭘﺬﯾﺮ ﻣﯽ ﮔﺬارد و آﻧﻬﺎ را ﭘﯿﺪا ﻣﯽ ﮐﻨﺪ و از آﻧﻬﺎ ﺳﻮء اﺳﺘﻔﺎده‬ ‫ﮐﺮده و ﺳﯿﺴﺘﻢ ‪ ZOMBIE‬را ﺑﺮ روي ﺳﯿﺴﺘﻢ ﻫﺎ ﻧﺼﺐ ﻣﯽ ﮐﻨﺪ .‬ ‫ﻧﺮم اﻓﺰار ‪ ZOMBIE‬از اﺟﺰاء اﺑﺰار ‪ DDOS‬اﺳﺖ ﮐﻪ ﻣﻨﺘﻈﺮ ﻓﺮﻣﺎﻧﯽ از ﻫﮑﺮ ﻣﯽ ﻣﺎﻧﺪ ﮐﻪ از اﺑﺰار ﮐﻼﯾﻨﺖ ﺧﺎﺻﯽ ﺑﺮاي ﻣﮑﺎﻟﻤﻪ ﺑﺎ آن ‪ Zombie‬اﺳﺘﻔﺎده ﻣﯽ‬ ‫ﮐﻨﺪ .ﯾﮑﯽ از ﺑﻬﺘﺮﯾﻦ ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﺑﺮاي ﺣﻤﻼت ‪ DDos‬اﺑﺰار ) ‪ Tribe Flood Network 2000 ( TFN2K‬اﺳﺖ ﻫﮑﺮ ﻣﻌﻤﻮﻻً ﯾﮏ ﯾﺎ ﺑﯿﺶ از ﯾﮏ‬ ‫ﻣﺎﺷﯿﻦ ﮐﻼﯾﻨﺖ را ﺑﺮاي ﺻﺪور ﻫﻤﺰﻣﺎن دﺳﺘﻮر اﺟﺮاي ﻓﺮﻣﺎن ﺑﻪ ﺗﻤﺎم ‪ Zombie‬ﻫﺎ اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ ﺗﺎ ﯾﮏ ﺣﻤﻠﻪ ‪ DDOS‬را ﻋﻠﯿﻪ ﻫﺪف ﺧﻮد ﺗﺪارك‬ ‫ﺑﺒﯿﻨﺪ .ﺗﻤﺎم ‪ Zombie‬ﻫﺎ از روي وﻇﯿﻔﻪ ﭘﺎﺳﺦ ﻣﯽ دﻫﻨﺪ و اﯾﻦ ﻣﻨﺠﺮ ﺑﻪ اﯾﺠﺎد ‪ FLOOD‬و ﻏﺮق ﺷﺪن ﺳﺮور ﻗﺮﺑﺎﻧﯽ در ﺳﯿﻠﯽ از ﺑﺴﺘﻪ ﻫﺎ ﻣﯽ ﺷﻮد.‬ ‫ﮐﻼﯾﻨﺖ ﺑﺎ ‪ Zombie‬ﻫﺎ ارﺗﺒﺎط ﺑﺮﻗﺮار ﻣﯽ ﮐﻨﺪ وﻟﯽ ﻣﻌﻤﻮﻻً ﻫﮑﺮ از ﺳﯿﺴﺘﻢ ﺟﺪاﮔﺎﻧﻪ اي ﺑﺮاي دﺳﺘﺮﺳﯽ ﺑﻪ ‪ Client‬ﺳﺮوﯾﺲ ﮔﯿﺮﻧﺪه‬ ‫اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ و‬ ‫اﯾﻦ اﻣﺮ ﺑﻪ دﻟﯿﻞ آن اﺳﺖ ﮐﻪ ﻫﮑﺮ ﺷﻨﺎﺳﺎﯾﯽ ﻧﺸﻮد و ﻣﺸﺎورﯾﻦ اﻣﻨﯿﺘﯽ آن ﺷﺮﮐﺖ ﻓﻘﻂ ﻣﯽ ﺗﻮاﻧﻨﺪ ﻣﺤﻞ ﺳﯿﺴﺘﻢ ﻫﺎي ‪ Zombie‬را ﺷﻨﺎﺳﺎﯾﯽ ﮐﻨﻨﺪ.‬
  • 16. ‫اﮔﺮ ﺑﺨﻮاﻫﯿ ﻢ ﺣﻤﻼت ‪ DDOS‬را ﺑﻪ ﺻﻮرت ﺧﻼﺻﻪ ﺑﺮاﯾﺘﺎن ﺷﺮح دﻫﻢ ﺑﻪ اﯾﻦ ﺻﻮرت ﺷﺮوع ﻣﯽ ﮐﻨﻢ ﮐﻪ ﺣﻤﻼت ﺗﻮزﯾﻌﯽ‪ Dos‬ﯾﺎ ﺣﻤﻼت ‪DDOS‬ﮐﺎﻣﻼً‬ ‫آﺳﯿﺐ رﺳﺎن ﻫﺴﺘﻨﺪ. ﮐﻪ ﻫﮑﺮ ﺑﺮ ﺗﻌﺪاد زﯾﺎدي از ﺳﯿﺴﺘﻢ ﻫﺎ روي اﯾﻨﺘﺮﻧﺖ ﻏﻠﺒﻪ ﻣﯽ ﮐﻨﺪ، ﺑﺮ روي ﻫﺮ ﮐﺪام از آﻧﻬﺎ ﻧﺮم اﻓﺰار‪ Zombie‬را ﻧﺼﺐ ﻣﯽ ﮐﻨﺪ و ﺟﻬﺖ‬ ‫‪ Flood‬ﻧﻤﻮدن ﯾﮏ ﻗﺮﺑﺎﻧﯽ از آﻧﻬﺎ در ﯾﮏ ﺣﻤﻠﻪ ﻫﻤﺎﻫﻨﮓ اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ. ﺣﻤﻼت‪ DDos‬ﺑﻪ ﻣﺎ اﯾﻦ اﻣﮑﺎن را ﻣﯽ دﻫﺪ ﮐﻪ ﻣﻘﺎدﯾﺮ زﯾﺎدي از ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺳﺮور‬ ‫را اﺷﻐﺎل ﮐﻨﯿﻢ. ﻫﺮ ﭼﻪ ﺗﻌﺪاد‪ Zombie‬ﻫﺎﯾﯽ ﮐﻪ ﻣﺎ دارﯾﻢ ﺑﯿﺸﺘﺮ ﺑﺎﺷﺪ، ﻣﺎ ﺗﻮاﻧﺎﯾﯽ ﻣﺼﺮف و اﺷﻐﺎل ﺑﯿﺸﺘﺮ ﭘﻬﻨﺎي ﺑﺎﻧﺪ را ﺧﻮاﻫﯿﻢ داﺷﺖ.‬ ‫اﻧﻮاع ﺣﻤﻼت‪DDOS‬‬ ‫ﻋﻤﻮﻣﺎً ﺣﻤﻼت ‪ DDOS‬ﺑﻪ ﺳﻪ ﮔﺮوه ‪TRINOO,TFN/TFN2K ,STECHELDRAHT‬ﺗﻘﺴﯿﻢ ﻣﯽ ﺷﻮﻧﺪ .‬ ‫‪Trinoo‬‬ ‫‪ Trinoo‬در اﺻﻞ از ﺑﺮﻧﺎﻣﻪ ﻫﺎي ‪ Master/Slave‬اﺳﺖ ﮐﻪ ﺑﺎ ﯾﮑﺪﯾﮕﺮ ﺑﺮاي ﯾﮏ ﺣﻤﻠﻪ ﻃﻐﯿﺎن‪ UDP‬ﺑﺮ ﻋﻠﯿﻪ ﮐﺎﻣﭙﯿﻮﺗﺮ ﻗﺮﺑﺎﻧﯽ ﻫﻤﺎﻫﻨﮓ ﻣﯽ ﺷﻮﻧﺪ .در ﯾﮏ‬ ‫روﻧﺪ ﻋﺎدي، ﻣﺮاﺣﻞ زﯾﺮ ﺑﺮاي ﺑﺮﻗﺮاري ﯾﮏ ﺷﺒﮑﻪ ‪Trinoo DDoS‬واﻗﻊ ﻣﯽ ﺷﻮﻧﺪ‬ ‫ﻣﺮﺣﻠﻪ 1 : ﺣﻤﻠﻪ ﮐﻨﻨﺪه، ﺑﺎ اﺳﺘﻔﺎده از ﯾﮏ ﻣﯿﺰﺑﺎن ﻫﮏ ﺷﺪه، ﻟﯿﺴﺘﯽ از ﺳﯿﺴﺘﻢ ﻫﺎﯾﯽ را ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﻫﮏ ﺷﻮﻧﺪ، ﮔﺮدآوري ﻣﯽ ﮐﻨﺪ .ﺑﯿﺸﺘﺮ اﯾﻦ ﭘﺮوﺳﻪ‬ ‫ﺑﺼﻮرت ﺧﻮدﮐﺎر از ﻃﺮﯾﻖ ﻣﯿﺰﺑﺎن ﻫﮏ ﺷﺪه اﻧﺠﺎم ﻣﯽ ﮔﯿﺮد .اﯾﻦ ﻣﯿﺰﺑﺎن اﻃﻼﻋﺎﺗﯽ ﺷﺎﻣﻞ ﻧﺤﻮه ﯾﺎﻓﺘﻦ ﺳﺎﯾﺮ ﻣﯿﺰﺑﺎن ﻫﺎ ﺑﺮاي ﻫﮏ در ﺧﻮد ﻧﮕﻬﺪاري ﻣﯽ ﮐﻨﺪ.‬ ‫ﻣﺮﺣﻠﻪ 2 : ﺑﻪ ﻣﺤﺾ اﯾﻨﮑﻪ اﯾﻦ ﻟﯿﺴﺖ آﻣﺎده ﺷﺪ، اﺳﮑﺮﯾﭙﺖ ﻫﺎ ﺑﺮاي ﻫﮏ ﮐﺮدن و ﺗﺒﺪﯾﻞ آﻧﻬﺎ ﺑﻪ ارﺑﺎﺑﺎن ﯾﺎ ﺷﯿﺎﻃﯿﻦ )‪ Daemons‬اﺟﺮاء ﻣﯽ ﺷﻮﻧﺪ .ﯾﮏ‬ ‫ارﺑﺎب ﻣﯽ ﺗﻮاﻧﺪ ﭼﻨﺪ ﺷﯿﻄﺎن را ﮐﻨﺘﺮل ﮐﻨﺪ . ﺷﯿﺎﻃﯿﻦ ﻣﯿﺰﺑﺎﻧﺎن ﻫﮏ ﺷﺪه اي ﻫﺴﺘﻨﺪ ﮐﻪ ﻃﻐﯿﺎن ‪ UDP‬اﺻﻠﯽ را روي ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ اﻧﺠﺎم ﻣﯽ دﻫﻨﺪ.‬ ‫ﻣﺮﺣﻠﻪ 3 : ﺣﻤﻠﻪ ‪ DDOS‬ﻫﻨﮕﺎﻣﯽ ﮐﻪ ﺣﻤﻠﻪ ﮐﻨﻨﺪه ﻓﺮﻣﺎﻧﯽ ﺑﻪ ﻣﯿﺰﺑﺎﻧﺎن ‪MASTER‬ارﺳﺎل ﻣﯽ ﮐﻨﺪ، اﻧﺠﺎم ﻣﯽ ﮔﯿﺮد .اﯾﻦ ارﺑﺎﺑﺎن ﺑﻪ ﻫﺮ ﺷﯿﻄﺎﻧﯽ دﺳﺘﻮر‬ ‫ﻣﯽ دﻫﻨﺪ ﮐﻪ ﺣﻤﻠﻪ ‪ DoS‬را ﻋﻠﯿﻪ آدرس ‪IP‬ﻣﺸﺨﺺ ﺷﺪه در ﻓﺮﻣﺎن آﻏﺎز ﮐﻨﻨﺪ و ﺑﺎ اﻧﺠﺎم ﺗﻌﺪاد زﯾﺎدي ﺣﻤﻠﻪ ‪ DOS‬ﯾﮏ ﺣﻤﻠﻪ ‪ DDoS‬ﺷﮑﻞ ﻣﯽ ﮔﯿﺮد.‬
  • 17. ‫‪Stacheldraht‬‬ ‫ﮐﺪ ‪ Stacheldraht‬ﺑﺴﯿﺎرﺷﺒﯿﻪ ﺑﻪ ‪ TRINOO‬و ‪ TFN‬اﺳﺖ اﻣﺎ ‪Stacheldraht‬اﺟﺎزه ﻣﯽ دﻫﺪ ﮐﻪ ارﺗﺒﺎط ﺑﯿﻦ ‪ MASTER‬ﻫﺎ)ﮐﻪ در اﯾﻦ ﺣﻤﻠﻪ‬ ‫‪ HANDER‬ﻧﺎﻣﯿﺪه ﻣﯽ ﺷﻮﻧﺪ( رﻣﺰ ﻧﮕﺎري ﺷﻮد ﻋﺎﻣﻞ ﻫﺎ ﻣﯽ ﺗﻮاﻧﻨﺪ ﮐﺪ ﺧﻮد را ﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر ارﺗﻘﺎ دﻫﻨﺪ ﻣﯽ ﺗﻮاﻧﻨﺪ اﻗﺪام ﺑﻪ اﻧﻮاع ﻣﺨﺘﻠﻔﯽ از ﺣﻤﻼت ﻣﺎﻧﻨﺪ‬ ‫ﻃﻐﯿﺎن ﻫﺎي ‪ icmp‬ﻃﻐﯿﺎن ﻫﺎي ‪UDP‬و ﻃﻐﯿﺎن ﻫﺎي ‪SYN‬ﮐﻨﻨﺪ.‬ ‫ﻧﺤﻮه ﭘﯿﺸﮕﯿﺮي از ﺣﻤﻼت‬ ‫ﻣﺘﺎﺳﻔﺎﻧﻪ روش ﻣﻮﺛﺮي ﺑﻪ ﻣﻨﻈﻮر ﭘﯿﺸﮕﯿﺮي در ﻣﻘﺎﺑﻞ ﯾﮏ ﺗﻬﺎﺟﻢ ‪DoS‬و ﯾﺎ ‪ DDoS‬وﺟﻮد ﻧﺪارد .ﻋﻠﯿﺮﻏﻢ ﻣﻮﺿﻮع ﻓﻮق، ﻣﯽ ﺗﻮان ﺑﺎ رﻋﺎﯾﺖ ﺑﺮﺧﯽ ﻧﮑﺎت و‬ ‫اﻧﺠﺎم ﻋﻤﻠﯿﺎت ﭘﯿﺸﮕﯿﺮي، اﺣﺘﻤﺎل ﺑﺮوز ﭼﻨﯿﻦ ﺣﻤﻼﺗﯽ) اﺳﺘﻔﺎده از ﮐﺎﻣﭙﯿﻮﺗﺮ ﺷﻤﺎ ﺑﺮاي ﺗﻬﺎﺟﻢ ﺑﺮ ﻋﻠﯿﻪ ﺳﺎﯾﺮ ﮐﺎﻣﭙﯿﻮﺗﺮ ﻫﺎ(را ﮐﺎﻫﺶ داد.‬ ‫ﻧﺼﺐ و ﻧﮕﻬﺪاري ﻧﺮم اﻓﺰار آﻧﺘﯽ وﯾﺮوس‬‫ﻧﺼﺐ و ﭘﯿﮑﺮﺑﻨﺪي ﯾﮏ ﻓﺎﯾﺮوال‬‫-ﺗﺒﻌﯿﺖ از ﻣﺠﻤﻮﻋﻪ ﺳﯿﺎﺳﺖ ﻫﺎي ﺧﺎﺻﯽ در ﺧﺼﻮص ﺗﻮزﯾﻊ و اراﺋﻪ آدرس ‪ email‬ﺧﻮد ﺑﻪ دﯾﮕﺮان‬ ‫ﭼﮕﻮﻧﻪ از وﻗﻮع ﺣﻤﻼت ‪ dos‬ﯾﺎ ‪ ddos‬آﮔﺎه ﺷﻮﯾﻢ.‬ ‫ﺧﺮاﺑﯽ و ﯾﺎ ﺑﺮوز اﺷﮑﺎل در ﯾﮏ ﺳﺮوﯾﺲ ﺷﺒﮑﻪ، ﻫﻤﻮاره ﺑﺪﻟﯿﻞ ﺑﺮوز ﯾﮏ ﺗﻬﺎﺟﻢ ‪DoS‬‬ ‫ﻧﻤﯽ ﺑﺎﺷﺪ .در اﯾﻦ راﺑﻄﻪ ﻣﻤﮑﻦ اﺳﺖ دﻻﯾﻞ ﻣﺘﻌﺪدي ﻓﻨﯽ وﺟﻮد داﺷﺘﻪ و ﯾﺎ ﻣﺪﯾﺮ ﺷﺒﮑﻪ ﺑﻪ‬ ‫ﻣﻨﻈﻮر اﻧﺠﺎم ﻋﻤﻠﯿﺎت ﻧﮕﻬﺪاري ﻣﻮﻗﺘﺎ "ﺑﺮﺧﯽ ﺳﺮوﯾﺲ ﻫﺎ را ﻏﯿﺮ ﻓﻌﺎل ﮐﺮده ﺑﺎﺷﺪ .وﺟﻮد و‬ ‫ﯾﺎ ﻣﺸﺎﻫﺪه ﻋﻼﺋﻢ زﯾﺮ ﻣﯽ ﺗﻮاﻧﺪ ﻧﺸﺎﻧﺪﻫﻨﺪه ﺑﺮوز ﯾﮏ ﺗﻬﺎﺟﻢ از ﻧﻮع ‪dos‬ﯾﺎ‬ ‫‪ddos‬ﺑﺎﺷﺪ:‬ ‫ﮐﺎﻫﺶ ﺳﺮﻋﺖ و ﯾﺎ ﮐﺎرآﺋﯽ ﺷﺒﮑﻪ ﺑﻄﺮز ﻏﯿﺮ ﻣﻌﻤﻮل )در زﻣﺎن ﺑﺎز ﻧﻤﻮدن ﻓﺎﯾﻞ ﻫﺎ وﯾﺎ دﺳﺘﯿﺎﺑﯽ ﺑﻪ وب ﺳﺎﯾﺖ ﻫﺎ(‬ ‫ﻋﺪم در دﺳﺘﺮس ﺑﻮدن ﯾﮏ ﺳﺎﯾﺖ ﺧﺎص)ﺑﺪون وﺟﻮد دﻻﯾﻞ ﻓﻨﯽ(‬ ‫ﻋﺪم اﻣﮑﺎن دﺳﺘﯿﺎﺑﯽ ﺑﻪ ﻫﺮ ﺳﺎﯾﺘﯽ)ﺑﺪون وﺟﻮد دﻻﯾﻞ ﻓﻨﯽ(‬ ‫اﻓﺰاﯾﺶ ﻣﺤﺴﻮس ﺣﺠﻢ ﻧﺎﻣﻪ ﻫﺎي اﻟﮑﺘﺮوﻧﯿﮑﯽ ﻧﺎﺧﻮاﺳﺘﻪ درﯾﺎﻓﺖ‬ ‫ﻣﻨﺎﺑﻊ :‬ ‫*اﻣﻨﯿﺖ ، راﻣﯿﻦ ﺻﻤﺪي‬ ‫*اﻣﻨﯿﺖ ﺷﺒﮑﻪ ، ﺳﺎﯾﺖ آﺷﯿﺎﻧﻪ‬ ‫*اﻣﻨﯿﺖ ﺷﺒﮑﻪ ،ﻧﮕﺎرﺳﺘﺎن‬ ‫*اﻣﻨﯿﺖ و ﺿﺪ اﻣﻨﯿﺖ ﺷﺒﮑﻪ، اﻣﯿﺮ اﺷﺘﯿﺎﻧﯽ‬

×