Ddos dos

572
-1

Published on

حملات Ddos dos

Published in: Education
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
572
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Ddos dos

  1. 1. ‫ﺷﺮﮐﺖ ﻣﺨﺎﺑﺮات اﺳﺘﺎن ﻗﺰوﯾﻦ‬ ‫اداره دﯾﺘﺎ‬ ‫ﺣﻤﻼت‬ ‫‪ DDOS‬و ‪DOS‬‬ ‫ﻓﺮﯾﺪه رﺟﺒﯽ ﭘﻮر‬ ‫ﭘﺎﯾﯿﺰ 29‬
  2. 2. ‫ﻓﻬﺮﺳﺖ‬ ‫ﻣﻘﺪﻣﻪ‬ ‫دﺳﺘﻪ ﺑﻨﺪي ‪DOS Attack‬‬ ‫ ﺗﻮﻗﻒ ﺳﺮوﯾﺲ ﻫﺎ‬‫ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ‬‫راه ﻫﺎ و روش ﻫﺎي ﻣﺘﺪاول ﺑﺮاي ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ‬ ‫ﭘﺮ ﮐﺮدن ﺟﺪول ﭘﺮدازش‬‫ ﻓﺮﺳﺘﺎدن ﺗﺮاﻓﯿﮏ‬‫ ﭘﺮ ﮐﺮدن ﺳﯿﺴﺘﻢ ﻓﺎﯾﻞ‬‫ﻣﺘﻮﻗﻒ ﮐﺮدن ﺳﯿﺴﺘﻢ ﻫﺎ از راه دور‬ ‫‪Land‬‬‫ ‪Ping of Death‬‬‫ 2‪Jolt‬‬‫ ‪Teardrop , Newtear , Book , Syndrop‬‬‫ ‪Winnuke‬‬‫ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ از راه دور‬ ‫‪SYN FLOOD‬‬‫ﺣﻤﻼت ‪SMURF‬‬‫-ﺣﻤﻼت ﺗﻮزﯾﻊ ﺷﺪه‪DOS‬‬
  3. 3. ‫آﺷﻨﺎﯾﯽ ﺑﺎ ‪ DDOS‬و روش ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻼت آن‬ ‫اﻧﻮاع ﺣﻤﻼت‪DDOS‬‬ ‫‪TRINOO‬‬‫-‪TFN/TFN2K ,STECHELDRAHT‬‬ ‫ﻧﺤﻮه ﭘﯿﺸﮕﯿﺮي از ﺣﻤﻼت‬ ‫ﭼﮕﻮﻧﻪ از وﻗﻮع ﺣﻤﻼت ‪ dos‬ﯾﺎ ‪ ddos‬آﮔﺎه ﺷﻮﯾﻢ‬
  4. 4. ‫ﻣﻘﺪﻣﻪ‬ ‫ﺑﺮﺧﯽ از ﻫﮑﺮﻫﺎ ﺑﻪ دﻧﺒﺎل ﻧﻔﻮذ ﺑﻪ ﺳﯿﺴﺘﻢ ﻫﺎي ﮐﺎﻣﭙﯿﻮﺗﺮي و ﺑﻪ دﺳﺖ ﮔﺮﻓﺘﻦ ﮐﻨﺘﺮل ﮐﺎﻣﻞ ﯾﮏ ﺳﺮور ﻫﺴﺘﻨﺪ و ﺑﺮﺧﯽ دﯾﮕﺮ اﻫﺪاف دﯾﮕﺮي ﻣﺎﻧﻨﺪ ﺟﻠﻮﮔﯿﺮي از‬ ‫دﺳﺘﯿﺎﺑﯽ ﮐﺎرﺑﺮان ﯾﮏ ﺳﺎﯾﺖ و ﺗﻮﻗﻒ ﮐﻪ ‪ Dos‬ﮐﺮدن آن ﺳﺎﯾﺖ را دارﻧﺪ. در ﮐﻞ ﺗﮑﺬﯾﺐ ﺳﺮوﯾﺲ ﺑﻪ وﺳﯿﻠﻪ ﻫﮑﺮﻫﺎ را ﺣﻤﻼت ‪ Down‬آن ﺳﺮور ﻣﯽ ﮔﻮﯾﻨﺪ وﻟﯽ‬ ‫اﯾﻦ ﻧﮑﺘﻪ را ﻧﯿﺰ ذﮐﺮ ﮐﻨﻢ ﮐﻪ اﯾﻦ ‪ Denial of Service‬ﻣﺨﻔﻒ ﮐﻠﻤﻪ را ﺑﺎ ﻫﻢ ‪ Dos‬ﮐﻪ ﺧﻂ ﻓﺮﻣﺎن ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ وﯾﻨﺪوز اﺳﺖ ﮐﺎﻣﻼً ﻓﺮق دارد و اﯾﻦ دو‬ ‫‪Operation System‬از ﻧﻈﺮ ﺗﮑﻨﯿﮑﯽ اﺣﺘﯿﺎج ﺑﻪ داﻧﺶ ﺑﺎﻻ و ﯾﺎ داﻧﺴﺘﻦ ﻣﻄﻠﺐ ‪ Dos‬اﺷﺘﺒﺎه ﻧﮕﯿﺮﯾﺪ. در ﺣﻘﯿﻘﺖ ﺳﺮور ﺑﻪ ﻧﺪرت ‪ Dos‬ﺧﺎﺻﯽ ﻧﺪارﻧﺪ‬ ‫ﭼﻮن در اﮐﺜﺮ ﺣﻤﻼت دﭼﺎر ﻣﺸﮑﻞ ﻣﯽ ﺷﻮد وﻟﯽ اﮔﺮ ﻫﮑﺮ ﺑﺎﺗﺠﺮﺑﻪ ﺑﺎﺷﺪ ﺑﻪ وﺳﯿﻠﻪ اﯾﻦ ﺣﻤﻠﻪ ﺑﺎﻋﺚ اﺧﺘﻼل در ﺳﯿﺴﺘﻢ ﻣﯽ ﺷﻮد ﮐﻪ ﻫﻤﻪ اﯾﻨﻬﺎ ﺑﺴﺘﮕﯽ ﺑﻪ ﻧﻮع‬ ‫ﺳﯿﺴﺘﻢ ﺳﺮور و ﻧﻮع ﺣﻤﻠﻪ و ﺗﻌﺪاد ﻫﮑﺮﻫﺎ ... دارد ﮐﻪ در ﻧﻬﺎﯾﺖ ﺑﺎﻋﺚ ﺧﺎﻣﻮش ﺷﺪن ﺳﺮور و راه اﻧﺪازي دوﺑﺎره ﺳﺮوﯾﺲ ﻫﺎ ﺗﻮﺳﻂ ﻣﺪﯾﺮ و‬ ‫‪administrator‬ﻣﯽ ﺷﻮد .‬ ‫‪ Dos Attack‬راه ﺧﻮﺑﯽ ﺑﺮاي ﺣﻤﻠﻪ ﮐﺮدن ﺑﻪ ﺳﺎﯾﺖ ﻫﺎ اﺳﺖ، وﻟﯽ ﮐﺎﻣﭙﯿﻮﺗﺮ ﺷﺨﺼﯽ و‪ Desktop‬ﮐﻤﺘﺮ ﭘﯿﺶ ﻣﯽ آﯾﺪ ﮐﻪ ﻣﻮرد اﯾﻦ ﻧﻮع ﺣﻤﻠﻪ ﻫﺎ ﻗﺮار‬ ‫ﺑﮕﯿﺮد، ﻫﺪف ﺑﯿﺸﺘﺮ ﺳﺮور ﺳﺎﯾﺖ ﻫﺎ و ‪ ISP‬ﻫﺎ اﺳﺖ .وﻗﺘﯽ ﻫﮑﺮﻫﺎ ﻧﺘﻮاﻧﻨﺪ ﺑﺎ روش ﻫﺎي راﯾﺠﯽ ﻣﺜﻞ ‪ Exploit‬ﮐﺮدن و ﻟﺒﺮﯾﺰ ﮐﺮدن ﺳﺮ رﯾﺰ ﺑﺎﻓﺮ ﺳﯿﺴﺘﻢ و‬ ‫ﯾﺎ‪ Buffer OverFlow‬و‪ Injection‬روش ﻫﺎي دﯾﮕﺮي ﮐﻪ‪Access‬‬ ‫ﮐﻨﺘﺮل ﯾﮏ ﺳﺮور را ﺑﻪ آﻧﻬﺎ ﻣﯽ دﻫﺪ، ﺑﻪ ﯾﮏ ﺳﺮور ﻧﻔﻮذ ﮐﻨﻨﺪ ﺑﻪ ﺳﺮاغ آﺧﺮﯾﻦ‬ ‫روش ﺣﻤﻠﻪ ﮐﻪ ﻫﻤﺎﻧﺎ ‪ doc‬ﮐﺮدن آن ﺳﺮور ﯾﺎ ﺳﺎﯾﺖ اﺳﺖ ﻣﯽ روﻧﺪ. ﯾﮏ ﻣﻬﺎﺟﻢ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎ ارﺳﺎل ﭘﯿﺎم ﻫﺎي اﻟﮑﺘﺮوﻧﯿﮑﯽ ﻧﺎﺧﻮاﺳﺘﻪ ﮐﻪ از آﻧﺎن ﺑﺎ ﻧﺎم ‪SPAM‬‬ ‫.‬ ‫ﯾﺎد ﻣﯽ ﺷﻮد، ﺣﻤﻼت ﻣﺸﺎﺑﻬﯽ را ﻣﺘﻮﺟﻪ ﺳﺮوﯾﺲ دﻫﻨﺪه ﭘﺴﺖ اﻟﮑﺘﺮوﻧﯿﮑﯽ ﻧﻤﺎﯾﺪ ﻫﺮ ‪) ACCOUNT‬ﭘﺴﺖ اﻟﮑﺘﺮوﻧﯿﮑﯽ( ﺻﺮﻓﻨﻈﺮ از ﻣﻨﺒﻌﯽ ﮐﻪ آن را در‬ ‫اﺧﺘﯿﺎر ﺷﻤﺎ ﻗﺮار ﻣﯽ دﻫﺪ ﻧﻈﯿﺮ ﺳﺎزﻣﺎن ﻣﺮﺑﻮﻃﻪ و ﯾﺎ ﺳﺮوﯾﺲ ﻫﺎي راﯾﮕﺎﻧﯽ ﻧﻈﯿﺮ ﯾﺎﻫﻮ و ‪hot mail‬داراي ﻇﺮﻓﯿﺖ ﻣﺤﺪودي ﻣﯽ ﺑﺎﺷﻨﺪ .ﭘﺲ از ﺗﮑﻤﯿﻞ‬ ‫ﻇﺮﻓﯿﺖ ﻓﻮق، ﻋﻤﻼ "اﻣﮑﺎن ارﺳﺎل ‪ email‬دﯾﮕﺮي ﺑﻪ ‪ account‬ﻓﻮق وﺟﻮد ﻧﺨﻮاﻫﺪ داﺷﺖ .ﻣﻬﺎﺟﻤﺎن ﺑﺎ ارﺳﺎل ﻧﺎﻣﻪ ﻫﺎي اﻟﮑﺘﺮوﻧﯿﮑﯽ ﻧﺎﺧﻮاﺳﺘﻪ ﺳﻌﯽ ﻣﯽ‬ ‫ﻧﻤﺎﯾﻨﺪ ﮐﻪ ﻇﺮﻓﯿﺖ ‪ account‬ﻣﻮرد ﻧﻈﺮ را ﺗﮑﻤﯿﻞ و ﻋﻤﻼ " اﻣﮑﺎن درﯾﺎﻓﺖ ‪email‬ﻫﺎي ﻣﻌﺘﺒﺮ را از ‪ account‬ﻓﻮق ﺳﻠﺐ ﻧﻤﺎﯾﻨﺪ.‬ ‫روش ﮐﺎر ﺑﻪ اﯾﻦ ﺻﻮرت اﺳﺖ ﮐﻪ در ﯾﮏ ﻟﺤﻈﻪ ﺣﺠﻢ اﻃﻼﻋﺎﺗﯽ زﯾﺎدي ﻣﺘﻮﺟﻪ ﯾﮏ ﺳﺮور ﻣﯽ ﺷﻮد و ﺗﻌﺪاد زﯾﺎدي ﺑﺴﺘﻪ و ‪ Packet‬ﺑﻪ ﺳﻤﺖ آن ﺳﺮور از‬ ‫ﻃﺮف ﻫﮑﺮ ﯾﺎ ﻫﮑﺮﻫﺎ و ‪ Zambie‬ﻫﺎ ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد ﮐﻪ اﯾﻦ ﺣﺠﻢ ﺧﯿﻠﯽ ﺑﯿﺸﺘﺮ از ﭘﻬﻨﺎي ﺑﺎﻧﺪ و ﻇﺮﻓﯿﺖ آن ﺳﺮور ﺑﻮده و ﺑﺮاي ﻣﺪﺗﯽ ﮐﻪ ﺑﺴﺘﮕﯽ ﺑﻪ ﺗﺠﺮﺑﻪ‬ ‫ﻫﮑﺮﻫﺎ دارد ﺗﺮاﻓﯿﮏ زﯾﺎدي در اﯾﻦ ﺧﻄﻮط اﯾﺠﺎد ﻣﯽ ﺷﻮد و اﮐﺜﺮاً ﺑﺎﻋﺚ ﺧﺎﻣﻮش ﺷﺪن ﺳﺮور ﻣﯽ ﺷﻮد.‬ ‫ﺑﺰرﮔﺘﺮﯾﻦ ﺣﻤﻠﻪ ‪ dos‬ﭼﻨﺪي ﭘﯿﺶ ﺑﺮ ﻋﻠﯿﻪ 31 ﺳﺮور اﺻﻠﯽ اﯾﻨﺘﺮﻧﺖ ﮐﻪ وﻇﯿﻔﻪ آﻧﻬﺎ ﮐﻨﺘﺮل آدرس ﻫﺎي اﯾﻨﺘﺮﻧﺘﯽ و ﺗﺮﺟﻤﻪ آﻧﻬﺎ ﺑﺮاي ﺷﺒﮑﻪ ﻫﺎي ‪dns‬ﺑﻮد‬ ‫ﺻﻮرت ﮔﺮﻓﺖ ﮐﻪ ﺑﺎﻋﺚ ﺗﺮاﻓﯿﮏ ﺷﺪﯾﺪي در ﮐﻞ ﺷﺒﮑﻪ اﯾﻨﺘﺮﻧﺖ ﺷﺪ و از اﯾﻦ 31 ﺳﺮور ﺑﺰرگ 9 ﺳﺮور ﺑﻪ ﮐﻠﯽ ﺧﺎﻣﻮش ﺷﺪﻧﺪ و اﮔﺮ 4 ﺳﺮور ﺑﺎﻗﯽ ﻣﺎﻧﺪه‬ ‫اﻧﺘﻘﺎل اﻃﻼﻋﺎت و ﺗﺮاﻓﯿﮏ اﯾﻨﺘﺮﻧﺖ و وﻇﯿﻔﻪ ﺳﺮورﻫﺎي ‪ down‬ﺷﺪه دﯾﮕﺮ را ﺑﻪ ﻋﻬﺪه ﻧﻤﯽ ﮔﺮﻓﺘﻨﺪ ﺷﺒﮑﻪ اﺑﻨﺘﺮﻧﺖ و ﺗﻤﺎﻣﯽ ﺳﺎﯾﺖ ﻫﺎ از ﮐﺎر ﻣﯽ اﻓﺘﺎدﻧﺪ.‬ ‫ﺑﻌﻀﯽ از ﺷﺮﮐﺖ ﻫﺎي ﺗﺠﺎري ﻧﯿﺰ ﺑﺮ ﻋﻠﯿﻪ رﻗﺒﺎي ﺧﻮد دﺳﺖ ﺑﻪ ﭼﻨﯿﻦ ﺣﻤﻠﻪ ﻫﺎﯾﯽ ﻣﯽ زﻧﻨﺪ، ﺑﺮاي ﻣﺜﺎل اﮔﺮ ﺳﺮور ﯾﮏ ﺷﺮﮐﺖ ‪ Hosting‬ﺑﺎ اﺳﺘﻔﺎده از اﯾﻦ‬ ‫ﺣﻤﻠﻪ ﻫﺎ ﺣﺘﯽ ﺑﺮاي 1 ﺳﺎﻋﺖ ﺧﺎﻣﻮش ﺷﻮد و ﻧﺘﻮاﻧﺪ ﺑﻪ ﮐﺎرﺑﺮان ﺧﻮد ﺳﺮوﯾﺲ ﺑﺪﻫﺪ ﻣﻄﻤﺌﻨﺎً ﺧﯿﻠﯽ از ﮐﺎرﺑﺮان ﺧﻮد را از دﺳﺖ ﻣﯽ دﻫﺪ زﯾﺮا ﺑﺮاي ﯾﮏ‬ ‫ﺳﺎﯾﺖ ﺗﺠﺎري ﮐﻪ ﺑﺮ روي اﯾﻦ ‪ hosting‬ﻓﻀﺎ دارد 1 ﺳﺎﻋﺖ ﺧﺎﻣﻮش ﺑﻮدن ﺳﺎﯾﺖ ﺑﺮاﺑﺮ اﺳﺖ ﺑﺎ ﻫﺰاران دﻻر ﺿﺮر ﻣﺎﻟﯽ و اﯾﻦ ﺑﻪ ﻧﻔﻊ رﻗﯿﺐ اﯾﻦ ﺷﺮﮐﺖ‬ ‫‪hosting‬اﺳﺖ زﯾﺮا ﻣﺸﺘﺮﯾﺎن اﯾﻦ‬ ‫‪ hosting‬آن را ﺗﺮك ﮐﺮده و از ﺧﺪﻣﺎت ﺷﺮﮐﺖ ﻃﺮف ﻣﻬﺎﺟﻢ اﺳﺘﻔﺎده ﺧﻮاﻫﻨﺪ ﮐﺮد.‬ ‫اﻧﻮاع اﯾﻦ ﺣﻤﻼت و ﺑﺮﻧﺎﻣﻪ ﻫﺎﯾﯽ ﮐﻪ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ ﺑﺮاي ﻫﺮ ﮐﺪام از ﺣﻤﻼت ‪ doc‬اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد .در ﮐﻞ‪ Dos Attack‬ﺑﻪ دو دﺳﺘﻪ ﺗﻘﺴﯿﻢ ﻣﯽ ﺷﻮد.‬
  5. 5. ‫1 -ﺗﻮﻗﻒ ﺳﺮوﯾﺲ ﻫﺎ‬ ‫2 - ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ‬ ‫ﻣﺘﻮﻗﻒ ﮐﺮدن ﯾﮏ ﺳﺮوﯾﺲ ﺑﻪ ﻣﻌﻨﯽ اﯾﺠﺎد اﺧﺘﻼل در ﯾﮏ ﺳﺮوﯾﺲ ﺧﺎص اﺳﺖ ﮐﻪ ﮐﺎرﺑﺮان ﻣﯽ ﺧﻮاﻫﻨﺪ ﺑﻪ آن دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ وﻟﯽ در ﺣﻤﻼت‬ ‫ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ ﺧﻮد ﺳﺮوﯾﺲ ﻫﻤﭽﻨﺎن ﺑﻪ ﮐﺎر ﺧﻮد اداﻣﻪ ﻣﯽ دﻫﺪ‬ ‫وﻟﯽ ﻫﮑﺮﻫﺎ ﻣﻨﺎﺑﻊ ﺷﺒﮑﻪ ﯾﺎ ﮐﺎﻣﭙﯿﻮﺗﺮ را ﺑﺎ ﻫﺪف ﺟﻠﻮﮔﯿﺮي از دﺳﺖ ﯾﺎﺑﯽ ﮐﺎرﺑﺮان ﻣﺠﺎز ﺑﻪ ﺳﺮوﯾﺲ ﻣﺼﺮف ﯾﺎ‬ ‫ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﻪ ﺻﻮرت ﻣﺤﻠﯽ و ﯾﺎ از ﻃﺮﯾﻖ ﺷﺒﮑﻪ ﺑﻪ ﺳﻤﺖ ﻫﺪف ‪ Dos‬ﻫﺪر ﻣﯽ دﻫﻨﺪ .اﯾﻦ دو دﺳﺘﻪ از ﺣﻤﻼت‬ ‫ﺑﻪ ﮐﺎر ﮔﺮﻓﺘﻪ ﺷﻮﻧﺪ‬ ‫___‪_____Stopping Services______Exhausting Resources‬‬ ‫+ ‪+ *process killing + *for king processes to‬‬ ‫+ ‪+ *system reconfiguring + fill the process table‬‬ ‫+ ‪+ *process crashing + *filling up the whole‬‬ ‫‪+ file system‬‬ ‫+‬ ‫+ ,.‪+ *malformed packet + *packet floods, (e.g‬‬ ‫+ ,‪+ atacks (e.g.,land, + SYN Flood, smurf‬‬ ‫).‪(across the + teardrop,etc‬‬ ‫+ ‪+ distributed denial‬‬ ‫+ )‪network) + + of Service‬‬ ‫‪Locally‬‬ ‫‪Remotely‬‬ ‫در ﻧﻤﻮدار ﺑﺎﻻ روش ھﺎ ‪ denial of service‬ﺑﺮاﺳﺎس روش ھﺎي ﺑﺮﺟﺴﺘﻪ ‪ dos‬دﺳﺘﻪ ﺑﻨﺪي ﺷﺪه اﺳﺖ .‬ ‫ﻣﺘﻮﻗﻒ ﮐﺮدن ﺳﺮوﯾﺲ ﻫﺎي‬ ‫ﻣﺤﻠﯽ)‪: (Stopping Services‬‬ ‫ﺑﺎ اﺳﺘﻔﺎده از ﯾﮏ ‪ account‬ﻣﺤﻠﯽ روي ﯾﮏ ﻣﺎﺷﯿﻦ، ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﯾﮏ ﺣﻤﻠﻪ‬ ‫‪ dos‬ﮐﻪ ﺑﻮﺳﯿﻠﻪ ﻣﺘﻮﻗﻒ ﮐﺮدن ﭘﺮدازش ﻫﺎي ﺑﺎ ارزش ﮐﻪ ﺳﺮوﯾﺲ ﻫﺎ را‬ ‫ﺗﺸﮑﯿﻞ دادﻧﺪ اﻧﺠﺎم ﺑﺪﻫﺪ ﺑﺮاي ﻣﺜﺎل ﯾﮏ ﻫﮑﺮ روي ﯾﮏ ﺳﯿﺴﺘﻢ ﯾﻮﻧﯿﮑﺲ ﻣﯽ ﺗﻮاﻧﺪ ﭘﺮدازش ‪ inted‬را ﻣﺘﻮﻗﻒ ﮐﻨﺪ اﻟﺒﺘﻪ در ﺻﻮرﺗﯽ ﮐﻪ از اﻣﺘﯿﺎزات رﯾﺸﻪ‬ ‫اي ﯾﺎ ‪root‬ﺑﺮﺧﻮردار ﺑﺎﺷﺪ‬ ‫‪ inted‬ﻣﺴﺌﻮل ﺷﻨﻮد ارﺗﺒﺎﻃﺎت ﺷﺒﮑﻪ اي و اﺟﺮاي ﺳﺮوﯾﺲ ﻫﺎي ﺧﺎﺻﯽ ﻣﺜﻞ ‪ telnet –ftp‬در ﻫﻨﮕﺎم ﺑﻪ وﺟﻮد آﻣﺪن‬ ‫ﺗﺮاﻓﯿﮏ ﺑﺮاي آﻧﻬﺎﺳﺖ .ﻣﺘﻮﻗﻒ ﮐﺮدن ‪ inted‬از دﺳﺖ ﯾﺎﺑﯽ ﻫﺮ ﮐﺎرﺑﺮي ﺑﻪ ﺳﯿﺴﺘﻢ از ﻃﺮﯾﻖ ﻫﺮ ﻧﻮع ﺳﺮوﯾﺲ آﻏﺎز ﺷﺪه ﯾﺎ ‪ inted‬ﺟﻠﻮﮔﯿﺮي ﻣﯽ ﮐﻨﺪ ﮐﻪ‬ ‫اﯾﻦ ﺷﺎﻣﻞ ‪telnet‬و ‪ ftp‬ﻫﻢ ﻣﯽ ﺷﻮد . ﻫﮑﺮ ﻣﻨﺎﺑﻊ را ﺗﻠﻒ ﻧﻤﯽ ﮐﻨﺪ ﻓﻘﻂ ﺗﻨﻬﺎ ﮐﺎري ﮐﻪ ﻣﯽ ﮐﻨﺪ اﯾﻦ اﺳﺖ ﮐﻪ ﺟﺰء اﺻﻠﯽ و ﺣﯿﺎﺗﯽ ﺳﺮوﯾﺲ ﻫﺎ را از ﮐﺎر‬ ‫ﻣﯽ اﻧﺪازد.‬ ‫آﻧﻬﺎ ﺑﺎ دﺳﺘﺮﺳﯽ ‪ login‬ﻣﺤﻠﯽ ﺑﻪ ﯾﮏ ﻣﺎﺷﯿﻦ از راه ﻫﺎي ﻣﺨﺘﻠﻔﯽ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﺮاي از ﮐﺎر اﻧﺪاﺧﺘﻦ ﺳﺮوﯾﺲ ﻫﺎي ﻣﺤﻠﯽ اﺳﺘﻔﺎده ﮐﻨﺪ.‬
  6. 6. ‫1- ‪ Process Killing‬ﭘﺎﯾﺎن‬ ‫ﭘﺮدازش :‬ ‫ﯾﮏ ﻫﮑﺮ ﺑﺎ اﻣﺘﯿﺎزاﺗﯽ ﮐﻪ ﺑﻪ دﺳﺖ آورده اﺳﺖ ﻣﺜﻞ ﺳﻄﺢ رﯾﺸﻪ روي ﯾﮏ ﺳﯿﺴﺘﻢ ﯾﻮﻧﯿﮑﺲ ﯾﺎ ‪ Administrator‬روي وﯾﻨﺪوز ﺑﻪ آﺳﺎﻧﯽ ﻣﯽ ﺗﻮاﻧﺪ ﭘﺮدازش‬ ‫ﻫﺎي ﻣﺤﻠﯽ را در ﯾﮏ ﺣﻤﻠﻪ ‪ Dos‬ﺧﺎﺗﻤﻪ ﺑﺪﻫﺪ زﯾﺮا وﻗﺘﯽ ﯾﮏ ﭘﺮدازش ﻣﺎﻧﻨﺪ ﯾﮏ ﺳﺮور ‪ dns‬ﯾﺎ ‪ web‬در ﺣﺎل اﺟﺮا ﻧﯿﺴﺖ، ﻧﻤﯽ ﺗﻮاﻧﺪ ﺑﻪ درﺧﻮاﺳﺖ ﻫﺎي‬ ‫ﮐﺎرﺑﺮان ﺳﺮوﯾﺲ دﻫﺪ.‬ ‫2- ‪ ) System Reconfiguration‬ﺗﻨﻈﯿﻢ ﻣﺠﺪد ﺳﯿﺴﺘﻢ (:‬ ‫ﻫﮑﺮﻫﺎ ﺑﺎ اﻣﺘﯿﺎزاﺗﯽ ﮐﻪ ﺑﻪ دﺳﺖ ﻣﯽ آورﻧﺪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﯾﮏ ﺳﯿﺴﺘﻢ را ﺑﻪ ﮔﻮﻧﻪ اي ﺗﻨﻈﯿﻢ ﻣﺠﺪد ﮐﻨﻨﺪ ﮐﻪ دﯾﮕﺮ ﺳﺮوﯾﺲ را ﭘﯿﺸﻨﻬﺎد ﻧﮑﻨﺪ و ﯾﺎ ﮐﺎرﺑﺮان ﺧﺎﺻﯽ‬ ‫از ﻣﺎﺷﯿﻦ ﻓﯿﻠﺘﺮ ﮐﻨﺪ .ﺑﺮاي ﻣﺜﺎل روي ﯾﮏ ﺳﺮور ﻓﺎﯾﻞ وﯾﻨﺪوز‬ ‫‪ NT‬ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﻣﺎﺷﯿﻦ را ﺑﻪ راﺣﺘﯽ ﺑﻪ وﺳﯿﻠﻪ ﺗﻮﻗﻒ اﺷﺘﺮاك ﻓﺎﯾﻞ ﻫﺎ در ﺷﺒﮑﻪ ﻣﺠﺪداً‬ ‫ﺗﻨﻈﯿﻢ ﮐﻨﺪ ﮐﻪ ﺑﺎﻋﺚ ﻋﺪم دﺳﺘﺮﺳﯽ از راه دور ﮐﺎرﺑﺮان ﻣﺠﺎز ﺑﻪ داده ﻫﺎي ﺑﺎ ارزش روي ﺳﺮوﯾﺲ دﻫﻨﺪه ﻓﺎﯾﻞ ﻣﯽ ﺷﻮد .در ﺣﺎﻟﺖ دﯾﮕﺮ ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﯾﮏ‬ ‫ﺳﯿﺴﺘﻢ ﯾﻮﻧﯿﮑﺲ را ‪Http‬ﻃﻮري ﮐﻪ ﺷﺮوع ﺑﻪ ﮐﺎر ﻧﮑﻨﺪ، ﺗﻨﻈﯿﻢ ﻣﺠﺪد ﮐﻨﺪ ﮐﻪ ﻋﻤﻼً از دﺳﺘﺮﺳﯽ وب ﺑﻪ ﺳﯿﺴﺘﻢ ﺟﻠﻮﮔﯿﺮي ﻣﯽ ﮐﻨﺪ.‬ ‫3- ‪) Process Crashing‬اﺧﺘﻼل در ﭘﺮدازش (:‬ ‫ﺣﺘﯽ اﮔﺮ ﻫﮑﺮ اﻣﺘﯿﺎزات ﮐﺎرﺑﺮ ﺳﻄﺢ ﺑﺎﻻ را ﻧﺪاﺷﺘﻪ ﺑﺎﺷﺪ ﺑﺎز ﻫﻢ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎ ﺳﻮء اﺳﺘﻔﺎده از ﻧﻘﻄﻪ ﺿﻌﻒ ﺳﯿﺴﺘﻢ ﺑﻪ آن ﺣﻤﻠﻪ ﮐﻨﺪ .ﺑﺮاي ﻣﺜﺎل ﻣﺎ ﻣﯽ ﺗﻮاﻧﯿﻢ‬ ‫از ﺳﺮ رﯾﺰ ﯾﮏ ﺑﺎﻓﺮ ﭘﺸﺘﻪ اي ﺑﻪ اﯾﻦ ﺷﮑﻞ ﺳﻮء اﺳﺘﻔﺎده ﮐﻨﯿﻢ و داده ﻫﺎي ﺗﺼﺎدﻓﯽ را ﭘﺸﺖ ﺳﺮ ﻫﻢ وارد ﯾﮏ ﭘﺮدازش ﻣﺤﻠﯽ ﮐﻨﯿﻢ و اﯾﻦ ﻫﻢ ﺑﺨﺎﻃﺮ اﯾﻦ‬ ‫اﺳﺖ ﮐﻪ اﺷﺎره ﮔﺮ ﺑﺎزﮔﺸﺘﯽ ) ‪ ( RETURN‬روي ﭘﺸﺘﻪ در ﻃﯽ اﯾﻦ ﺣﻤﻠﻪ ﺳﺮﺑﺎر ﺗﺼﺎدﻓﯽ اﺳﺖ و ﭘﺮدازش ﻣﻘﺼﺪ ﺑﻪ راﺣﺘﯽ دﭼﺎر اﺧﺘﻼل ﻣﯽ ﺷﻮد و‬ ‫دﺳﺘﺮﺳﯽ ﮐﺎرﺑﺮ را ﺗﮑﺬﯾﺐ ﻣﯽ ﮐﻨﺪ.‬ ‫اﯾﻦ ﮐﺎر را ﻣﯽ ﺷﻮد ﺑﺎ ﺑﻤﺐ ﻫﺎي ﻣﻨﻄﻘﯽ اﻧﺠﺎم داد ﮐﻪ ﻣﺜﺎل ﺧﻮﺑﯽ در اﯾﻦ زﻣﯿﻨﻪ از ﺣﻤﻼت ‪ Dos‬اﺳﺖ. ﺑﺮاي ﭼﻨﯿﻦ ﺣﻤﻠﻪ ﻫﺎﯾﯽ ﻫﮑﺮ ﯾﮏ ﺑﺮﻧﺎﻣﻪ ﺑﻤﺐ ﻣﻨﻄﻘﯽ را‬ ‫روي ﯾﮏ ﻣﺎﺷﯿﻦ ﮐﺎر ﻣﯽ ﮔﺬارد ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ ﺗﺤﺖ ﺷﺮاﯾﻂ ﻣﺨﺘﻠﻔﯽ ﻓﻌﺎل ﺷﻮد، ﻣﺜﻞ زﻣﺎن ﺳﭙﺮي ﺷﺪه، ﻓﻌﺎل ﯾﺎ ﺑﺎز ﺷﺪن ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺧﺎص دﯾﮕﺮ ‪LOGIN‬‬ ‫ﺷﺪن ‪USER‬ﻫﺎي ﺧﺎص ﺑﻪ ﻣﺤﺾ ﻓﻌﺎل ﺷﺪن ﺑﻤﺐ ﻣﻨﻄﻘﯽ ﺑﺮﻧﺎﻣﻪ ﺑﺎ ﺗﮑﺬﯾﺐ ﺳﺮوﯾﺲ روي ﻣﺎﺷﯿﻦ ﭘﺮدازﺷﯽ را دﭼﺎر اﺧﺘﻼل ﻣﯽ ﮐﻨﺪ و ﯾﺎ ﻣﻮﺟﺐ ﺗﻮﻗﻒ‬ ‫آن ﻣﯽ ﺷﻮد.‬ ‫دﻓﺎع در ﺑﺮاﺑﺮ ﺗﻮﻗﻒ ﻣﺤﻠﯽ ﺳﺮوﯾﺲ ﻫﺎ‬ ‫ﺑﺮاي ﺟﻠﻮﮔﯿﺮي از ﺗﻮﻗﻒ ﻣﺤﻠﯽ ﺳﺮوﯾﺲ ﻫﺎ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ ﺑﺎﯾﺪ از ﺑﺴﺘﻪ ﺑﻮدن ﭘﻮرت ﻫﺎي اﺿﺎﻓﯽ و درزﻫﺎي ﺳﯿﺴﺘﻢ ﺧﻮد اﻃﻤﯿﻨﺎن ﺧﺎص ﮐﻨﯿﺪ. اﯾﻦ ﮐﺎر را ﻣﯽ‬ ‫ﺗﻮاﻧﯿﺪ ﺑﺎ اﺳﺘﻔﺎده از ﭘﻮرت اﺳﮑﻨﺮﻫﺎ و ﭘﻮﯾﺸﮕﺮ ﻫﺎي آﺳﯿﺐ ﭘﺬﯾﺮي اﻧﺠﺎم دﻫﯿﺪ و ﺳﯿﺴﺘﻢ را ﻃﻮري ﭘﯿﮑﺮﺑﻨﺪي ﮐﻨﯿﺪ ﮐﻪ ﻫﮑﺮ ﻗﺎدر ﺑﻪ اﯾﺠﺎد اﺧﺘﻼل از ﻃﺮﯾﻖ ﻧﻘﺎط‬ ‫ﺿﻌﻒ ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﻧﺼﺐ ﺷﺪه ﺑﺮ روي ﺳﯿﺴﺘﻢ ﺷﻤﺎ وﭘﻮرت ﻫﺎي ﺑﺎز آن ﻧﺪاﺷﺘﻪ ﺑﺎﺷﺪ وﻧﺼﺐ ﺑﺮﻧﺎﻣﻪ ﻫﺎي اﻣﻨﯿﺘﯽ و ‪SERVICE PACK‬‬ ‫ﻣﻮﺟﺐ اﯾﻤﻦ ﺗﺮ‬ ‫ﺷﺪن ﺳﯿﺴﺘ ﻢ ﺷﻤﺎ در ﺑﺮاﺑﺮ ﺣﻤﻼت ﻫﮑﺮﻫﺎ و ﻋﺪم دﺳﺘﺮﺳﯽ آﻧﻬﺎ ﺑﻪ ‪ ACCOUNT‬اي روي ﻣﺎﺷﯿﻦ ﺷﻤﺎ ﻣﯽ ﺷﻮد .ﻧﮑﺘﻪ ﺑﻌﺪي ﮐﻪ ﺑﺎﯾﺪ رﻋﺎﯾﺖ ﮐﻨﯿﺪ اﯾﻦ‬ ‫اﺳﺖ ﮐﻪ از دادن اﻣﺘﯿﺎزات ﮐﺎرﺑﺮي ﺳﻄﺢ ﺑﺎﻻ ﺑﻪ اﻓﺮادي ﮐﻪ در ﺳﯿﺴﺘﻢ ﺷﻤﺎ اﺷﺘﺮاك دارﻧﺪ ﺧﻮدداري ﮐﻨﯿﺪ، ﮐﺎرﺑﺮان ﻓﻘﻂ ﺑﺎﯾﺪ از ﺣﻖ دﺳﺘﺮﺳﯽ ﮐﻪ ﺑﺮاي‬ ‫اﻧﺠﺎم ﮐﺎرﻫﺎﯾﺸﺎن ﺣﺘﯿﺎج دارﻧﺪ ﺑﺮﺧﻮردار ﺑﺎﺷﻨﺪ و در ﻧﻬﺎﯾﺖ ﺑﺮاي ردﮔﯿﺮي ﺗﻐﯿﯿﺮات ﺑﻪ ﻋﻤﻞ آﻣﺪه روي ﺗﻨﻈﯿﻤﺎت ﺳﯿﺴﺘﻢ ﻣﻠﺰم ﺑﻪ اﺟﺮاي ﺑﺮﻧﺎﻣﻪ ﻫﺎي‬
  7. 7. ‫‪Integrity Checking‬ﺑﺮرﺳﯽ ﺟﺎﻣﻌﯿﺖ ) ﻣﺎﻧﻨﺪ ‪ (Tripwire‬ﮐﻪ ﻣﯽ ﺗﻮاﻧﯿﺪ اﯾﻦ ﺑﺮﻧﺎﻣﻪ را از ﺳﺎﯾﺖ ‪ www.tripwire.com‬درﯾﺎﻓﺖ ﮐﻨﯿﺪ .اﯾﻦ‬ ‫ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﻓﺎﯾﻞ ﻫﺎي ﺳﯿﺴﺘﻢ ﻣﺜﻞ ﻓﺎﯾﻞ ﻫﺎي‬ ‫ﺗﻨﻈﯿﻤﺎت و ﻓﺎﯾﻞ ﻫﺎي اﺟﺮاﯾﯽ ﺣﺴﺎس روي ﻣﺎﺷﯿﻦ را ﺑﺮاي ﮐﺴﺐ اﻃﻤﯿﻨﺎن از ﺗﻐﯿﯿﺮ ﻧﮑﺮدن آﻧﻬﺎ ﺑﺎزرﺳﯽ ﻣﯽ ﮐﻨﻨﺪ ﮐﻨﻨﺪ و درﺻﻮرت ﻣﺸﺎﻫﺪه ﻣﻮردي ﻣﺸﮑﻮك‬ ‫آن را ﺳﺮﯾﻊ ﺑﻪ اﻃﻼع ﺷﻤﺎ ﻣﯽ رﺳﺎﻧﻨﺪ.‬ ‫ﺗﻀﻌﯿﻒ و ﺑﻪ ﮐﺎرﮔﯿﺮي ﺑﯿﺶ از ﺣﺪ از ﻣﻨﺎﺑﻊ ﻣﺤﻠﯽ‬ ‫ﺗﻀﻌﯿﻒ و ﺑﻪ ﮐﺎرﮔﯿﺮي ﺑﯿﺶ از ﺣﺪ از ﻣﻨﺎﺑﻊ ﻣﺤﻠﯽ ﻧﻮع ﻣﺘﺪاول دﯾﮕﺮي از‬ ‫‪ Dos Attack‬ﻣﺤﺴﻮب ﻣﯽ ﺷﻮد ﮐﻪ ﺷﺎﻣﻞ اﺟﺮاي ﺑﺮﻧﺎﻣﻪ اي از ﯾﮏ‬ ‫‪ account‬دﯾﮕﺮ روي ﻣﺎﺷﯿﻦ ﻫﺪف اﺳﺖ ﮐﻪ ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻢ را روي ﺧﻮد ﻫﺪف ﺗﻔﺴﯿﺮ ﻣﯽ ﮐﻨﺪ .وﻗﺘﯽ ﮐﻪ ﺗﻤﺎم ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻢ ﺗﻀﻌﯿﻒ ﻣﯽ ﺷﻮﻧﺪ، ﺳﯿﺴﺘﻢ‬ ‫ﻣﻤﮑﻦ اﺳﺖ ﻣﺘﻮﻗﻒ ﺷﻮد ﮐﻪ اﯾﻦ ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﮐﺎرﺑﺮان ﺳﺮور ﻧﺘﻮاﻧﻨﺪ از ﺳﺮوﯾﺲ آن ﺳﺮور اﺳﺘﻔﺎده ﮐﻨﻨﺪ .ﻫﺮ ﭼﻘﺪر ﻫﻢ ﮐﻪ ﺳﯿﺴﺘﻢ ﻫﺎي ﻋﺎﻣﻞ ﺗﻼش ﮐﻨﻨﺪ‬ ‫ﮐﻪ اﻣﻨﯿﺖ ﺧﻮد را ﺑﺎﻻ ﺑﺒﺮﻧﺪ ﺑﺎز ﻫﻢ ﯾﮏ ﻫﮑﺮ ﺑﺎﺗﺠﺮﺑﻪ ﻣﯽ ﺗﻮاﻧﺪ راه ﻫﺎﯾﯽ را ﺑﺮاي ﻧﻔﻮذ و ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺗﮑﻨﯿﮏ ﻫﺎي ﭘﻮﯾﺶ ﭘﯿﺪا ﮐﻨﺪ.‬ ‫راه ﻫﺎ و روش ﻫﺎي ﻣﺘﺪاول ﺑﺮاي ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ:‬ ‫ﭘﺮ ﮐﺮدن ﺟﺪول ﭘﺮدازش:‬ ‫ﯾﮏ ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺮﻧﺎﻣﻪ اي ﺑﻨﻮﯾﺴﺪ ﮐﻪ ﺑﻪ راﺣﺘﯽ ﭘﺮدازش دﯾﮕﺮي را وادار ﺑﻪ اﺟﺮاي ﮐﭙﯽ ﺧﻮدش ﻧﻤﺎﯾﺪ .اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﺑﺎزﮔﺸﺘﯽ ﻧﯿﺰ ﭘﺮدازش دﯾﮕﺮي را وادار ﺑﻪ‬ ‫اﺟﺮاي ﻫﻤﺎن ﺑﺮﻧﺎﻣﻪ ﻣﯽ ﮐﻨﺪ .ﺑﺎ اﺳﺘﻔﺎده از اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﻫﮑﺮ ﻗﺎدر ﺑﻪ اﯾﺠﺎد ﭘﺮدازش ﻫﺎﯾﯽ ﺑﻪ ﻫﻤﺎن ﺳﺮﻋﺖ ﮐﻪ ﺳﯿﺴﺘﻢ آﻧﻬﺎ را ﺑﺮاي ‪ user‬اﺟﺮا ﻣﯽ ﮐﻨﺪ،‬ ‫ﺧﻮاﻫﺪ ﺑﻮد .در ﻧﻬﺎﯾﺖ ﺟﺪول ﭘﺮدازش روي ﻣﺎﺷﯿﻦ ﭘﺮ ﻣﯽ ﺷﻮد ﺗﺎ ﮐﺎرﺑﺮان دﯾﮕﺮ را از اﺟﺮاي ﭘﺮدازﺷﻬﺎ ﺑﺎز دارد و دﺳﺘﺮﺳﯽ آﻧﻬﺎ را ﺗﮑﺬﯾﺐ ﮐﻨﺪ.‬ ‫ﻓﺮﺳﺘﺎدن ﺗﺮاﻓﯿﮏ ﮐﻪ ﺑﺎﻋﺚ اﻧﺴﺪاد ﭘﯿﻮﻧﺪﻫﺎي ارﺗﺒﺎﻃﯽ ﻣﯽ ﺷﻮد :‬ ‫در اﯾﻦ روش ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺮﻧﺎﻣﻪ اي ﺑﻨﻮﯾﺴﺪ ﮐﻪ ﺗﺮاﻓﯿﮏ ﺷﺒﮑﻪ اي ﺳﺎﺧﺘﮕﯽ ﯾﺎ ﺟﻌﻠﯽ را از ﺳﯿﺴﺘﻢ ﻣﻘﺼﺪ ﺑﻔﺮﺳﺘﺪ ﺗﺎ ﺑﺎﻋﺚ ﺗﻠﻒ ﺷﺪن ‪cpu‬ﻣﯽ ﺷﻮد اﮔﺮ‬ ‫ﺑﺮﻧﺎﻣﻪ ﻫﮑﺮ ﺑﺴﺘﻪ ﻫﺎﯾﯽ ﺗﻮﻟﯿﺪ ﮐﻨﺪ، ﮐﺎرﺑﺮان ﻣﺠﺎز ﻗﺎدر ﺑﻪ ﻓﺮﺳﺘﺎدن ﺗﺮاﻓﯿﮏ از وب ﺳﯿﺴﺘﻢ ﻧﺨﻮاﻫﻨﺪ ﺑﻮد.‬ ‫ﭘﺮ ﮐﺮدن ﺳﯿﺴﺘﻢ‬ ‫ﻓﺎﯾﻞ :‬ ‫ﺑﺎ ﻧﻮﺷﺘﻦ ﻣﻘﺪار ﻣﺘﻨﺎﺑﻬﯽ داده ﺑﻪ ﻃﻮر ﺛﺎﺑﺖ ﺑﺮ روي ﺳﯿﺴﺘﻢ ﻓﺎﯾﻞ، ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺗﻤﺎم ﺑﺎﯾﺖ ﻫﺎي ﻗﺎﺑﻞ دﺳﺘﺮس روي ﭘﺎرﺗﯿﺸﻦ دﯾﺴﮏ را ﭘﺮ ﮐﻨﺪ ﮐﻪ ﺑﺎ‬ ‫اﯾﻦ ﮐﺎر ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﮐﺎرﺑﺮان دﯾﮕﺮ از ﻧﻮﺷﺘﻦ ﻋﺎﺟﺰ ﺷﻮﻧﺪ ﮐﻪ ﺑﺎﻋﺚ اﯾﺠﺎد اﺧﺘﻼل در ﺳﯿﺴﺘﻢ ﻣﯽ ﺷﻮد.‬ ‫راه ﻫﺎي دﻓﺎﻋﯽ زﯾﺎدي ﻫﻢ ﺑﺮاي اﯾﻦ ﻧﻮع ﺣﻤﻼت وﺟﻮد دارد ﮐﻪ ﯾﮏ ﻧﻤﻮﻧﻪ آن ﻧﺼﺐ ﺳﯿﺴﺘﻢ ﻫﺎي ردﮔﯿﺮي ﻧﻔﻮذ‪Host-base‬‬ ‫ﯾﺎ ﺳﯿﺴﺘﻢ ﻫﺎي ‪ monitoring‬اﺳﺖ ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ ﺑﻪ ﺷﻤﺎ در ﻫﻨﮕﺎم ﭘﺎﯾﯿﻦ آﻣﺪن ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻢ ﮐﻪ ﺑﻪ ﺧﺎﻃﺮ اﯾﻦ ﻧﻮع ﺣﻤﻠﻪ اﺳﺖ ﮐﻤﮏ ﮐﻨﺪ و ﺧﺒﺮ ﺑﺪﻫﺪ‬ ‫وﻟﯽ ﻧﮑﺘﻪ اي ﮐﻪ ﻫﻤﯿﺸﻪ ﺑﺎﯾﺪ ﺑﻪ ﯾﺎد داﺷﺘﻪ اﯾﻦ اﺳﺖ ﮐﻪ ﻫﻤﯿﺸﻪ از وﺟﻮد ﻣﻨﺎﺑﻊ ﮐﺎﻓﯽ ﻣﺜﻞ ﺣﺎﻓﻈﻪ ‪ ram‬ﺳﺮﻋﺖ ﭘﺮدازﻧﺪه ﯾﺎ ‪ cpu‬و ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﭘﯿﻮﻧﺪ‬ ‫ارﺗﺒﺎﻃﯽ در ﺳﯿﺴﺘﻢ ﻫﺎي ﺣﺴﺎس ﺧﻮد اﻃﻤﯿﻨﺎن ﺣﺎﺻﻞ ﮐﻨﯿﺪ.‬
  8. 8. ‫ﻣﺘﻮﻗﻒ ﮐﺮدن ﺳﯿﺴﺘﻢ ﻫﺎ از راه‬ ‫دور :‬ ‫ﺑﺎ وﺟﻮد اﯾﻨﮑﻪ ﺣﻤﻼت ‪dos‬ﺑﺴﯿﺎر راﺣﺖ و ﻣﻮﺛﺮ ﻫﺴﺘﻨﺪ وﻟﯽ ﺣﻤﻼت ‪ dos‬از راه دور ﺷﺎﯾﻊ ﺗﺮ ﻫﺴﺘﻨﺪ و ﺑﺴﯿﺎر ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ اﺳﺘﻔﺎده ﻣﯽ ﺷﻮﻧﺪ زﯾﺮا‬ ‫ﺣﻤﻼت ‪doc‬در ﺷﺒﮑﻪ ﺑﻪ دﻟﯿﻞ اﯾﻨﮑﻪ اﺣﺘﯿﺎج ﺑﻪ داﺷﺘﻦ ﯾﮏ ‪ account‬ﻣﺤﻠﯽ روي ﻣﺎﺷﯿﻦ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ ﻧﺪارد، ﺑﯿﺸﺘﺮ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد و‬ ‫ﻣﯽ ﺗﻮاﻧﺪ از ﺳﯿﺴﺘﻢ ﻫﮑﺮ ﺑﺮ ﻋﻠﯿﻪ ﯾﮏ ﻫﺪف اﺳﺘﻔﺎده ﺷﻮد .ﯾﮑﯽ از ﻣﻌﺮوف ﺗﺮﯾﻦ روﺷﻬﺎي ﺗﻮﻗﻒ از راه دور ﺳﯿﺴﺘﻢ ﻫﺎ، ﺣﻤﻠﻪ ﺑﺴﺘﻪ ﻫﺎي ﺑﺰرگ و ﻧﺎﻫﻨﺠﺎر‬ ‫اﺳﺖ .اﯾﻦ ﺣﻤﻠﻪ ﻫﺎ در ﭘﺸﺘﻪ ‪ tcp/ip‬ﻣﺎﺷﯿﻦ ﻫﺪف ﺑﻪ وﺳﯿﻠﻪ ﻓﺮﺳﺘﺎدن ﯾﮏ ﯾﺎ ﭼﻨﺪ‬ ‫‪packet‬ﺑﺎ ﻓﺮﻣﺖ ﻏﯿﺮﻣﻌﻤﻮل ﺑﺮ روي ﻫﺪف، ﺧﻄﺎﯾﯽ را ﺑﺎﻋﺚ ﻣﯽ‬ ‫ﺷﻮﻧﺪ .اﮔﺮ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ در ﻣﻘﺎﺑﻞ آن ﺑﺴﺘﻪ ﻫﺎي ﺧﺎص آﺳﯿﺐ ﭘﺬﯾﺮ ﺑﺎﺷﺪ دﭼﺎر ﻣﺸﮑﻞ ﻣﯽ ﺷﻮد و اﺣﺘﻤﺎﻻً ﭘﺮدازش ﺧﺎﺻﯽ را ﻣﺘﻮﻗﻒ ﻣﯽ ﮐﻨﺪ و ﯾﺎ ﺣﺘﯽ‬ ‫ﻣﻮﺟﺐ از ﮐﺎر اﻓﺘﺎدن ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ ﻫﺪف ﻣﯽ ﺷﻮد . ﺣﻤﻠﻪ ﻫﺎي ﺑﺴﺘﻪ ﻫﺎي ﻧﺎﻫﻨﺠﺎر زﯾﺎدي ﺗﺎﺑﺤﺎل ﺳﺎﺧﺘﻪ ﺷﺪه اﻧﺪ ﮐﻪ ﻣﻦ اﺳﺎﻣﯽ ﺑﺮﺧﯽ از اﯾﻦ ﺣﻤﻼت را ﺑﺎ‬ ‫ﺗﻮﺿﯿﺢ ﮐﻮﺗﺎﻫﯽ در ﻣﻮرد ﻫﺮ ﮐﺪام در زﯾﺮ ﻣﯽ دﻫﻢ.‬ ‫‪: Land‬‬ ‫ﯾﮏ ﺑﺴﺘﻪ ‪spoof‬ﺷﺪه را ﺑﻪ ﺟﺎﯾﯽ ﮐﻪ آدرس ‪ip‬ﻣﺒﺪا وادرس ‪ip‬ﻣﻘﺼﺪ ﯾﮑﯽ ا ﺳﺖ ﻣﯽ ﻓﺮﺳﺘﺪ .‬ ‫ﻫﺪف ﺑﺴﺘﻪ اي را درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﺪ ﮐﻪ ﺑﻪ ﻧﻈﺮ ﻣﯽ رﺳﺪ ﻫﻤﺎن ﻫﺪﻓﯽ را ﮐﻪ از آن آﻣﺪه ﻫﻤﺰﻣﺎن روي ﻫﻤﺎن ﻣﺎﺷﯿﻦ ﺗﺮك ﻣﯽ ﮐﻨﺪ .ﭘﺸﺘﻪ ﻫﺎي ﻗﺪﻣﯽ ﺗﺮ‬ ‫‪ TCP /IP‬در ﻣﻘﺎﺑﻞ اﯾﻦ رﺧﺪاد ﻏﯿﺮﻗﺎﺑﻞ اﻧﺘﻈﺎر دﭼﺎر ﺳﺮدرﮔﻤﯽ ﺷﺪه و ﻣﺨﺘﻞ ﻣﯽ ﺷﻮﻧﺪ. ‪LAND‬در ﺳﯿﺴﺘﻢ ﻫﺎي وﯾﻨﺪوز ،اﻧﻮاع ﻣﺨﺘﻠﻒ ‪linux‬‬ ‫ﻣﺴﯿﺮﯾﺎﺑﻬﺎ و ﭼﺎﭘﮕﺮﻫﺎ ﻣﯽ ﺗﻮاﻧﺪ ﻓﻌﺎﻟﯿﺖ داﺷﺘﻪ ﺑﺎﺷﺪ.‬ ‫‪:Ping of Death‬‬ ‫ﯾﮏ ﺑﺴﺘﻪ ‪ping‬ﺑﺰرگ ﻣﯽ ﻓﺮﺳﺘﺪ ﭘﺸﺘﻪ ﻫﺎي ﻗﺪﯾﻤﯽ ﺗﺮ ‪ TCP/IP‬ﻧﻤﯽ ﺗﻮاﻧﻨﺪ ‪Ping‬ﺑﺴﺘﻪ ﻫﺎي ﺑﺰرﮔﺘﺮ از 46 ﮐﯿﻠﻮﺑﺎﯾﺖ ﺑﻪ ﮐﺎر ﺑﺮﻧﺪ و وﻗﺘﯽ ﯾﮑﯽ از آﻧﻬﺎ‬ ‫ﻣﯽ رﺳﺪ دﭼﺎر اﺧﺘﻼل ﻣﯽ ﺷﻮﻧﺪ ‪ Ping of Death‬در ﺳﯿﺴﺘﻢ ﻫﺎي ﻣﺨﺘﻠﻔﯽ ﻣﺜﻞ وﯾﻨﺪوز، ﻧﺴﺨﻪ ﻫﺎي ﻣﺨﺘﻠﻒ ﯾﻮﻧﯿﮑﺲ ، ﭼﺎﭘﮕﺮﻫﺎ ... ﻣﯽ ﺗﻮاﻧﺪ ﻓﻌﺎﻟﯿﺖ‬ ‫داﺷﺘﻪ ﺑﺎﺷﺪ.‬ ‫2‪:Jolt‬‬ ‫اﻧﺒﻮﻫﯽ از ﺗﮑﻪ ﻫﺎي ﺑﺴﺘﻪ ﻫﺎ را ﻣﯽ ﻓﺮﺳﺘﺪ ﮐﻪ در ﻫﯿﭻ ﮐﺪام از آﻧﻬﺎ ‪ Fragment-Offset‬ﺻﻔﺮ ﻧﻤﯽ ﺑﺎﺷﺪ .در ﻧﺘﯿﺠﻪ ﺑﻪ ﻧﻈﺮ ﻣﯽ رﺳﺪ ﮐﻪ ﻫﯿﭻ ﮐﺪام از اﯾﻦ‬ ‫ﺗﮑﻪ ﻫﺎ، ﺗﮑﻪ اول ﻧﺒﺎﺷﺪ .در ﻃﻮل زﻣﺎﻧﯽ ﮐﻪ اﻧﺒﻮه ﺗﮑﻪ ﻫﺎ ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮﻧﺪ، ﺳﻮار ﮐﺮدن اﯾﻦ ﺗﮑﻪ ﻫﺎي ﻗﻼﺑﯽ ﺗﻤﺎﻣﯽ ﻇﺮﻓﯿﺖ ‪ CPU‬روي ﻣﺎﺷﯿﻦ ﻫﺪف را‬ ‫اﺷﻐﺎل ﻣﯽ ﮐﻨﺪ .اﯾﻦ روش ﻣﯽ ﺗﻮاﻧﺪ در وﯾﻨﺪوز0002 -‪ 9X -NT‬ﺑﻪ ﮐﺎر ﺑﺮود.‬ ‫‪, Newtear , Book , Syndrop‬‬ ‫‪:Teardrop‬‬ ‫اﺑﺰارﻫﺎي ﻣﺨﺘﻠﻔﯽ ﮐﻪ ﺗﮑﻪ ﻫﺎي ﺑﺴﺘﻪ ﻫﺎي ‪ IP‬ﮐﻪ روي ﻫﻢ ﻗﺮار ﮔﺮﻓﺘﻪ را ﻣﯽ ﻓﺮﺳﺘﻨﺪ .ﻣﻘﺎدﯾﺮ ‪ Fragment-Offset‬در ﻫﺪرﻫﺎي ﺑﺴﺘﻪ ﺑﻪ ﻣﻘﺎدﯾﺮي ﮐﻪ‬ ‫درﺳﺖ ﻧﯿﺴﺖ ﺗﻨﻈﯿﻢ ﻣﯽ ﺷﻮد ﺑﻪ ﻃﻮري ﮐﻪ ﻫﻨﮕﺎم ﺳﻮار ﺷﺪن ﺗﮑﻪ ﻫﺎ ﺑﻪ ﻃﻮر ﻣﻨﺎﺳﺐ ﻗﺮار ﻧﻤﯽ ﮔﯿﺮﻧﺪ .ﺑﺮﺧﯽ ﭘﺸﺘﻪ ﻫﺎي ‪ TCP /IP‬وﻗﺘﯽ ﭼﻨﯿﻦ ﺗﮑﻪ‬ ‫ﻫﺎي روي ﻫﻢ اﻓﺘﺎده اي را درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﻨﺪ، دﭼﺎر ﻣﺸﮑﻞ و اﺧﺘﻼل ﻣﯽ ﺷﻮﻧﺪ .اﯾﻦ اﺑﺰارﻫﺎ در وﯾﻨﺪوز ‪9 x - NT‬و ﻣﺎﺷﯿﻦ ﻫﺎي ﻟﯿﻨﻮﮐﺲ ﻣﯽ ﺗﻮاﻧﻨﺪ‬ ‫ﻓﻌﺎﻟﯿﺖ داﺷﺘﻪ ﺑﺎﺷﻨﺪ.‬
  9. 9. ‫‪:Winnuke‬‬ ‫اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﮐﻪ ﺑﺴﯿﺎر ﻫﻢ ﻣﻌﺮوف اﺳ ﺖ داده ﻫﺎي ﺑﯽ ﻣﺼﺮﻓﯽ را ﺑﻪ ﯾﮏ ﻓﺎﯾﻞ ﺑﺎز اﺷﺘﺮاك ﭘﻮرت931 ‪ TCP‬ﮐﻪ ﭘﻮرت ‪ NETBIOS‬اﺳﺖ روي ﯾﮏ ﻣﺎﺷﯿﻦ‬ ‫وﯾﻨﺪوز ﻣﯽ ﻓﺮﺳﺘﺪ .وﻗﺘﯽ داده ﺑﻪ ﭘﻮرﺗﯽ ﮐﻪ ﻃﺒﻖ ﭘﺮوﺗﮑﻞ )‪server message block(SMB‬ﻣﺠﺎز ﻓﺮﻣﺖ ﻧﺸﺪه ﻣﯽ رود، ﺳﯿﺴﺘﻢ دﭼﺎر اﺧﺘﻼل ﻣﯽ‬ ‫ﺷﻮد ‪ WinNuke‬در وﯾﻨﺪوز ‪ 9X-NT‬ﻣﯽ ﺗﻮاﻧﺪ ﻓﻌﺎﻟﯿﺖ داﺷﺘﻪ ﺑﺎﺷﺪ .‬ ‫ﻫﻤﺎﻧﻄﻮر ﮐﻪ در ﻋﮑﺲ ﺑﺎﻻ ﻣﺸﺎﻫﺪه ﻣﯽ ﮐﻨﯿﺪ ﺑﻌﺪ از اﺟﺮا ﮐﺮدن ‪ Winnuke‬ﮐﻪ از ﻃﺮﯾﻖ ‪ MS DOS Prompt‬ﻫﻢ اﺟﺮا ﻣﯽ ﺷﻮد در ﺧﻂ ‪ Usage‬روش‬ ‫اﺳﺘﻔﺎده از اﯾﻦ اﺑﺰار و دﺳﺘﻮري ﮐﻪ ﺑﺎﯾﺪ ﺑﺮاي ‪ Dos‬ﮐﺮدن ﯾﮏ ﺳﯿﺴﺘﻢ ﺳﺮور ﯾﺎ ﮐﻼﯾﻨﺖ در ﺑﺮﻧﺎﻣﻪ ‪ Winnuke‬ﺑﺪﻫﯿﺪ ﮐﺎﻣﻞ ﺷﺮح داده ﺷﺪه اﺳﺖ ودر‬ ‫ﭘﻮرت 531 ﯾﺎ ‪PRF‬اﻗﺪام ﺑﻪ ‪ DOS‬ﮐﺮدن ﺳﯿﺴﺘﻢ ﻫﺪف ﻣﯽ ﮐﻨﺪ اﮔﺮ در ﺳﯿﺴﺘﻤﯽ ﻣﺸﺎﻫﺪه ﮐﺮدﯾﺪ ﮐﻪ اﯾﻦ ﭘﻮرت ﺑﺎز اﺳﺖ ﻣﻄﻤﺌﻦ ﺑﺎﺷﯿﺪ ﻣﯽ ﺗﻮاﻧﯿﺪ‬ ‫ﺳﯿﺴﺘﻢ را ‪ Reboot‬و‪ Down‬ﮐﻨﯿﺪ .اﻟﺒﺘﻪ اﯾﻦ ﻧﮑﺘﻪ را ﻫﻢ ذﮐﺮ ﮐﻨﻢ ﮐﻪ ﺣﺘﻤﺎً ﻧﺒﺎﯾﺪ ﺑﻪ ﭘﻮرت 531 ﯾﺎ 931 ﺣﻤﻠﻪ ﮐﻨﯿﺪ و ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﺎ اﺳﺘﻔﺎده از اﯾﻦ‬ ‫ﻧﺴﺨﻪ ﺣﺘﯽ ﺳﯿﺴﺘﻢ ﻫﺎي وﯾﻨﺪوز را ﺑﺪون دادن ﻫﯿﭻ ﭘﻮرت ﺧﺎﺻﯽ و ﺗﻨﻬﺎ ﺑﺎ دادن آدرس ‪IP‬آن ﻫﺎ از ﮐﺎر ﺑﯿﺎﻧﺪازﯾﺪ و ﺧﻮد ‪ Winnuke‬ﺑﻪ ﺻﻮرت ﻫﻮﺷﯿﺎر‬ ‫ﺑﻌﺪ از اﺟﺮا ﺷﺪن ﭘﻮرت ﻫﺎي آﺳﯿﺐ ﭘﺬﯾﺮ ﺳﯿﺴﺘﻢ ﻫﺪف را ﺷﻨﺎﺳﺎﯾﯽ ﮐﺮده و ﺑﻪ آﻧﻬﺎ ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪ ﻫﺎي زﯾﺎد و ﺑﯽ ﻣﺼﺮف‪ Attack‬ﻣﯽ ﮐﻨﺪ .‬ ‫راه ﻫﺎي زﯾﺎدي ﻫﻢ ﺑﺮاي دﻓﺎع در ﻣﻘﺎﺑﻞ ‪ Winnuke‬وﺟﻮد دارد ﮐﻪ اﻟﺒﺘﻪ ﺑﺴﺘﮕﯽ ﺑﻪ ﺗﺠﺮﺑﻪ ﻣﺪﯾﺮ ﯾﮏ ﺳﺮور دارد، ﭘﯿﺸﻨﻬﺎد ﻣﻦ ﺑﻪ ﺷﻤﺎ اﯾﻦ اﺳﺖ ﮐﻪ‬ ‫ﻫﻤﯿﺸﻪ ﭘﻮرت ﻫﺎي ﺑﺎز ﺑﯽ اﺳﺘﻔﺎده را ﺑﻼك ﮐﻨﯿﺪ و آﻧﻬﺎ را از ﻃﺮﯾﻖ ‪ Router‬و ﻓﺎﯾﺮوال ﺑﺒﻨﺪﯾﺪ .در ﮐﻨﺎر اﯾﻦ ﻣﯽ ﺗﻮاﻧﯿﺪ از ﺑﺮﻧﺎﻣﻪ ﻫﺎﯾﯽ ﻧﯿﺰ ﮐﻪ ﺑﺮاي دﻓﺎع‬ ‫در ﻣﻘﺎﺑﻞ ‪ Winnuke‬ﻧﻮﺷﺘﻪ ﺷﺪه اﻧﺪ اﺳﺘﻔﺎده ﮐﻨﯿﺪ .‬ ‫ﺑﻌﻀﯽ از ﺣﻤﻠﻪ ﻫﺎ ﻣﺜﻞ ‪Book‬و‪ Teardrop , Newtear‬ﺑﺎﻋﺚ ﺗﮑﻪ ﺗﮑﻪ ﺳﺎزي ﻏﯿﺮﻗﺎﻧﻮﻧﯽ و ﻏﯿﺮﻣﻌﻤﻮل ﻣﯽ ﺷﻮﻧﺪ و اﯾﻦ در ﺣﺎﻟﯽ اﺳﺖ ﮐﻪ دﯾﮕﺮان‬ ‫ﺑﺴﺘﻪ ﻫﺎﯾﯽ ﺑﺎ ﺣﺠﻢ ﺑﺴﯿﺎر زﯾﺎد ﻣﯽ ﻓﺮﺳﺘﻨﺪ ﻣﺜﻞ ‪ Ping of Death‬و ﺑﺮﺧﯽ دﯾﮕﺮ ﺑﺴﺘﻪ ﻫﺎي ‪ Spoof‬ﺷﺪه ﺑﺎ ﺷﻤﺎره ﭘﻮرت دور از اﻧﺘﻈﺎر را ﻣﯽ ﻓﺮﺳﺘﻨﺪ (‬ ‫‪ Land‬و دﯾﮕﺮان ﺑﻪ ارﺳﺎل داده ﻫﺎي ﺑﯽ ﻣﺼﺮف ﺑﻪ ﯾﮏ ﭘﻮرت ﺑﺎز اﮐﺘﻔﺎ ﻣﯽ ﮐﻨﻨﺪ ﺑﺮﺧﯽ از اﯾﻦ ﺣﻤﻼت ﺧﯿﻠﯽ ﻗﺪﯾﻤﯽ ﻫﺴﺘﻨﺪ ﻣﺜﻞ ‪Ping of Death‬‬ ‫ﮐﻪ ﻣﺤﺼﻮل ﺳﺎل 6991 اﺳﺖ و ﯾﺎ ‪ Land‬ﮐﻬﺪر ﺳﺎل 7991 ﮐﺸﻒ ﺷﺪ . ﺑﺎ وﺟﻮد ﻋﻤﺮ ﻃﻮﻻﻧﯽ اﯾﻦ ﺣﻤﻼت در ﺑﻌﻀﯽ ﻣﻮارد دﯾﺪه ﺷﺪه ﮐﻪ ﻫﻨﻮز ﻫﮑﺮﻫﺎ از‬ ‫اﯾﻦ روش ﻫﺎ ﺑﺮاي رﺧﻨﻪ در ﻣﻨﺎﻓﺬي ﮐﻪ ﻫﻨﻮز در ﻣﻘﺎﺑﻞ اﯾﻦ ﺣﻤﻠﻪ ﻫﺎي ﻗﺪﯾﻤﯽ ﺑﻪ ﻃﻮر ﻣﻨﺎﺳﺐ ﭘﻮﺷﺶ داده ﻧﺸﺪه اﻧﺪ و‪ Patch‬ﻧﺸﺪه اﻧﺪ اﺳﺘﻔﺎده ﻣﯽ‬ ‫ﮐﻨﻨﺪ.‬
  10. 10. ‫راه دﯾﮕﺮ ﻣﺘﻮﻗﻒ ﺳﺎﺧﺘﻦ ﻣﻮﺛﺮ ﯾﮏ ﺳﺮوﯾﺲ از راه دور ﺟﻠﻮﮔﯿﺮي از آن از ﻃﺮﯾﻘﻪ ﺷﺒﮑﻪ اﺳﺖ‬ ‫‪ ARP SPOOFING‬ﯾﮏ ﺗﮑﻨﯿﮏ ﻣﻮﺛﺮ و وﯾﮋه اي ﺑﺮاي‬ ‫دﺳﺖ ﮐﺎري ارﺗﺒﺎﻃﺎت روي ‪LAN‬اﺳﺖ و ﺟﻬﺖ ﺗﺪارك ﺣﻤﻼت ‪DOS‬ﺑﮑﺎر ﻣﯿﺮود. اﯾﻦ روش ﺑﻪ اﯾﻦ ﺻﻮرت اﺳﺖ ﮐﻪ ﻫﮑﺮي ﮐﻪ داراي ﯾﮏ ‪Account‬‬ ‫روي ﻣﺎﺷﯿﻦ در ﻫﻤﺎن ‪ LAN‬اﺳﺖ ﻣﯽ ﺗﻮاﻧﺪ از ﺑﺮﻧﺎﻣﻪ ‪ Dsniff Arpspoof‬ﺑﻪ ﻋﻨﻮان ﺳﯿﺴﺘﻢ ﻫﺪف ﺳﻮء اﺳﺘﻔﺎده ﮐﻨﺪ .ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎ ﻓﺮﺳﺘﺎدن ﺗﻨﻬﺎ‬ ‫ﯾﮏ ﺑﺴﺖ ‪ ARP‬ﮐﻪ ‪ SPOOF‬ﺷﺪه اﺳﺖ ﺑﻪ ‪ROUTER‬روِي ‪ LAN‬ﺣﺎﻓﻈﻪ ﻣﺨﻔﯽ ، ‪ARP‬ﻣﺴﯿﺮﯾﺎب را ﺑﻪ ﮔﻮﻧﻪ اي دﺳﺖ ﮐﺎري ﮐﻨﺪ ﮐﻪ ﭘﺸﺘﻪ ﻫﺎي در‬ ‫ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﺷﺪه ﺑﺮاي آدرس ‪ ip‬ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ را ﺑﻪ ﯾﮏ آدرس ‪ MAC‬روي ‪ LAN‬ﮐﻪ اﺻﻼً وﺟﻮد ﺧﺎرﺟﯽ ﻧﺪارد، ﺑﻔﺮﺳﺘﺪ .ﺑﺎ اﯾﻨﮑﻪ ﺗﻤﺎم ﺑﺴﺘﻪ ﻫﺎ ﺑﻪ ‪LAN‬‬ ‫ﻓﺮﺳﺘﺎده ﻣﯿﺸﻮﻧﺪ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ ﻫﯿﭻ ﻗﺴﻤﺘﯽ از اﯾﻦ ﺗﺮاﻓﯿﮏ را درﯾﺎﻓﺖ ﻧﻤﯽ ﮐﻨﺪ ﮐﻪ ﻧﺘﯿﺠﻪ آن ﺣﻤﻠﻪ ‪ DOS‬اﺳﺖ ﮐﻪ ﺑﺎ ﺗﻮﻗﻒ ﺳﺮوﯾﺲ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ،‬ ‫دﯾﮕﺮ ﻧﻤﯽ ﮔﺬارد ﮐﻪ ارﺗﺒﺎط ﺑﺮﻗﺮار ﮐﻨﺪ .ﺑﺎ اﺳﺘﻔﺎده از‪ ARP Spoofing‬در واﻗﻊ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ از ﺷﺒﮑﻪ ﺧﺎرج ﻣﯽ ﺷﻮد.‬ ‫ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ از راه‬ ‫دور :‬ ‫اﻣﺮوزه از ﻣﯿﺎن ﺣﻤﻼت ‪ DOS‬ﻣﻮﺟﻮد، ﻣﺤﺒﻮﺑﺘﺮﯾﻦ ﺗﮑﻨﯿﮏ ﻫﺎ ﺷﺎﻣﻞ ﺑﺴﺘﻦ ﻣﻨﺎﺑﻊ ﻫﺪف و ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺳﺮور از راه دور اﺳﺖ .در اﯾﻦ ﻧﻮع ﺣﻤﻠﻪ ﻫﺎ ﻫﮑﺮ‬ ‫ﺳﻌﯽ ﻣﯽ ﮐﻨﺪ ﺗﺎ ﺑﺎ اﺳﺘﻔﺎده از اﻧﺒﻮﻫﯽ از ﺑﺴﺘﻪ ﻫﺎ ﺗﻤﺎم ﻇﺮﻓﯿﺖ ﻣﻮﺟﻮد در ﺷﺒﮑﻪ را اﺷﻐﺎل ﮐﻨﺪ .در ﺣﺎل ﺣﺎﺿﺮ ﻫﮑﺮﻫﺎ ﺑﯿﺸﺘﺮ از اﯾﻦ روش و ﺗﮑﻨﯿﮏ ﻫﺎ‬ ‫اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﻨﺪ ﮐﻪ ﻣﺤﺒﻮﺑﺘﺮﯾﻦ ﺗﮑﻨﯿﮏ ﻫﺎي ارﺳﺎل ﺳﯿﻞ ﺑﺴﺘﻪ ﻫﺎ از ﻗﺮار زﯾﺮ ﻫﺴﺘﻨﺪ :‬ ‫‪Syn flood‬‬ ‫ﺣﻤﻼت ‪smurf‬‬ ‫ﺣﻤﻼت ﺗﻮزﯾﻊ ﺷﺪه ‪dos‬‬ ‫‪: Syn flood‬‬ ‫اﺻﻮﻻً در ﻫﻤﻪ ارﺗﺒﺎﻃﺎت ‪ TCP‬ﺑﺎ ﯾﮏ ﺗﺄﯾﯿﺪ ﺳﻪ ﺟﺎﻧﺒﻪ آﻏﺎز ﺑﻪ ﮐﺎر ﻣﯽ ﮐﻨﻨﺪ ﮐﻪ ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪ اي ﺑﻪ ﺑﯿﺖ ﮐﺪ‪SYN‬‬ ‫آن، ﺗﻨﻈﯿﻢ ﺷﺪه و ﺷﺮوع ﻣﯽ ﺷﻮد .اﯾﻦ ﺑﺴﺘﻪ ﻫﺎ ﺗﻮﺳﻂ ﮐﻼﯾﻨﺖ ﺑﻪ ﯾﮏ ﺳﺮور از ﻃﺮﯾﻘﻪ ﯾﮏ ﭘﻮرت ﺑﺎز ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد .ﻫﻨﮕﺎﻣﯽ ﮐﻪ ﺳﯿﺴﺘﻢ ﻫﺪف ﺑﺴﺘﻪ‬ ‫‪SYN‬را ﻣﯽ ﮔﯿﺮﯾﺪ، اوﻟﯿﻦ ﺷﻤﺎره ﺳﺮﯾﺎﻟﯽ ﮐﻪ از ﻣﺒﺪأ ﮔﺮﻓﺘﻪ را ﺑﻪ ﺧﺎﻃﺮ ﻣﯽ آورد و ﯾﮏ ﻧﺴﺨﻪ‪ SYN-ACK‬ﺑﻪ وﺟﻮد ﻣﯽ آورد . ﺧﺐ ﮐﺎري ﮐﻪ ﯾﮏ ﺣﻤﻠﻪ‬ ‫‪SYN Flood‬ﻣﯽ ﮐﻨﺪ ﺑﻪ اﯾﻦ ﺻﻮرت اﺳﺖ ﮐﻪ ﻫﮑﺮ ﺳﻌﯽ ﻣﯽ ﮐﻨﺪ ﺗﺎ ﺑﺎ ﻓﺮﺳﺘﺎدن ﺗﻌﺪاد زﯾﺎدي از ﺑﺴﺘﻪ ﻫﺎي‪ SYN‬ﺑﻪ ﻃﺮف ﺳﯿﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ آﻧﺮا ﺗﻀﻌﯿﻒ‬ ‫ﮐﻨﺪ ﮐﻪ اﯾﻦ ﻫﺪف ﻫﮑﺮﻫﺎ اﺳﺖ ﮐﻪ ﻣﯽ ﺧﻮاﻫﻨﺪ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ را ﺗﻮﺳﻂ ﻓﺮﺳﺘﺎدن ﺑﺴﺘﻪ ﻫﺎي ‪ SYN‬ﻣﺸﻐﻮل ﮐﻨﻨﺪ و وﻗﺘﯽ ﺳﯿﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ ﺑﺴﺘﻪ ﻫﺎي‬ ‫‪SYN‬ﺑﯿﺸﺘﺮ از ﻇﺮﻓﯿﺖ و ﺗﻮاﻧﺎﯾﯽ ﺧﻮد درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﺪ، ﺗﺮاﻓﯿﮏ ﻣﺠﺎز دﯾﮕﺮي ﻧﻤﯽ ﺗﻮاﻧﺪ ﺑﻪ آن ﺳﺮور ﺑﺮﺳﺪ ‪ S YN Flood‬ﺑﻪ 2 روش ارﺗﺒﺎط ﺳﺮور را‬ ‫ﺗﻀﻌﯿﻒ ﻣﯽ ﮐﻨﺪ :‬ ‫در روش اول وﻇﯿﻔﻪ اي ﮐﻪ ‪ syn flood‬دارد ﭘﺮ ﮐﺮدن ﺿﻌﻒ ارﺗﺒﺎﻃﯽ ﺳﯿﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ ﺑﺎ ارﺗﺒﺎط ﻧﯿﻤﻪ ﺑﺎز اﺳﺖ.‬ ‫ﻫﻤﯿﻦ ﮐﻪ ﺳﯿﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ ﺑﺴﺘﻪ‪ SYN‬درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﺪ و ﺟﻮاب ‪ SYN-ACK‬آن را ﻣﯽ ﻓﺮﺳﺘﺪ ﺑﺎ اﺳﺘﻔﺎده از ﻣﺪت زﻣﺎن ‪ TimeOut‬ﮐﻪ ﺑﯿﺸﺘﺮ از ﯾﮏ‬ ‫دﻗﯿﻘﻪ ﺗﻨﻈﯿﻢ ﺷﺪه ﻣﻨﺘﻈﺮ ﺗﺄﯾﯿﺪ ﻃﺮف ﺳﻮم ﻣﯽ ﻣﺎﻧﺪ و ﭼﻮن ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ ﭼﻨﺪﯾﻦ ﻣﻨﺒﻊ را ﺑﻪ روي ارﺗﺒﺎط ﺧﻮد ﺑﺮاي ﺣﺬف ﮐﺮدن ﻫﺮ ﺑﺴﺘﻪ ‪ SYN‬ورودي‬ ‫اﺧﺘﺼﺎص ﻣﯽ دﻫﺪ ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﻫﻨﮕﺎﻣﯽ ﮐﻪ ﺳﯿﺴﺘﻢ ﻫﺪف ﻣﻨﺘﻈﺮ ﺗﮑﻤﯿﻞ ﺷﺪن ﺗﺄﯾﯿﺪ ﺳﻪ ﺟﺎﻧﺒﻪ ﻫﺮ ارﺗﺒﺎط ﻧﯿﻤﻪ ﺑﺎز اﺳﺖ، ﺑﻪ ﭘﺮ ﮐﺮدن اﯾﻦ ﺻﻒ ارﺗﺒﺎﻃﯽ‬
  11. 11. ‫ﺑﭙﺮدازد .ﺑﺎ ﻓﺮﺳﺘﺎدن ﺑﺴﺘﻪ ﻫﺎي ‪ SYN‬ﺑﺮاي ﻣﺼﺮف ﺗﻤﺎم ﻣﮑﺎن ﻫﺎي اﺧﺘﺼﺎص داده ﺷﺪه روي ﺻﻒ ارﺗﺒﺎط، ﻫﯿﭻ ارﺗﺒﺎط دﯾﮕﺮي ﻧﻤﯽ ﺗﻮاﻧﺪ ﺗﻮﺳﻂ ﮐﺎرﺑﺮان‬ ‫آن ﺳﺮور ﺑﺮﻗﺮار ﺷﻮد .ﺑﺮاي ﻣﻄﻤﺌﻦ ﺷﺪن ﭘﺮ ﺑﻮدن ﺻﻒ ارﺗﺒﺎط‬ ‫‪syn flood‬اﺑﺰارﻫﺎي زﯾﺎدي دارد ﮐﻪ ﺑﺎ اﺳﺘﻔﺎده از آدرس ﻫﺎي ﻣﺒﺪا ‪ spoof‬ﺷﺪه ﮐﻪ‬ ‫روي ‪net‬ﺟﻮاب ﻧﻤﯽ دﻫﻨﺪ ﺑﺴﺘﻪ ﻫﺎي ‪syn‬را ﻣﯽ ﻓﺮﺳﺘﻨﺪ . ﺧﺐ ﻣﺎ ﻣﯽ ﺗﻮاﻧﯿﻢ ﻣﺠﻤﻮﻋﻪ اي از آدرس ﻫﺎي ‪ ip‬اﻧﺘﺨﺎب ﮐﻨﯿﻢ ﮐﻪ ﻫﯿﭻ ﻣﺎﺷﯿﻨﯽ ﮐﻪ در‬ ‫ﺣﺎل اﺳﺘﻔﺎده و ارﺗﺒﺎط ﺑﺎ اﯾﻨﺘﺮﻧﺖ اﺳﺖ از آﻧﻬﺎ اﺳﺘﻔﺎده ﻧﮑﻨﺪ، اﯾﻦ ‪ ip‬ﻫﺎ ﺑﻪ ﻋﻨﻮان ﻣﺒﺪأ ‪ spoof‬ﺷﺪه ﺑﻪ ﮐﺎر ﻣﯽ روﻧﺪ ﭼﻮن ﺟﻮاب ﻫﺎي ‪ SYN-ACK‬از‬ ‫ﻣﺎﺷﯿﻦ ﻫﺪف ﻫﯿﭻ وﻗﺖ ﭘﺎﺳﺨﯽ را درﯾﺎﻓﺖ ﻧﻤﯽ ﮐﻨﺪ .اﮔﺮ اﺑﺰار ‪ SYN Flood‬ﺑﻪ وﺳﯿﻠﻪ ﯾﮏ آدرس ‪ip‬اﺧﺘﺼﺎص داده ﺷﺪه ﺑﻪ ﯾﮏ ﻣﺎﺷﯿﻦ ﺣﻘﯿﻘﯽ ﺑﺮ ﺷﻮد‬ ‫ﻫﺮ ‪ Spoof‬روي اﯾﻨﺘﺮﻧﺖ ‪ SYN‬ﮐﻪ ﺗﻮﺳﻂ ﻫﮑﺮ ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد، ﯾﮏ ﺟﻮاب ‪ SYN-ACK‬ﻓﺮﺳﺘﺎده ﺷﺪه ﺑﻪ اﯾﻦ ﻣﺎﺷﯿﻦ ﻣﺠﺎز را ﮐﻪ آدرس ﻣﺒﺪأ آن‬ ‫‪ Spoof‬ﺷﺪه ﺑﻮد را آزاد ﻣﯽ ﮐﻨﺪ .اﯾﻦ ﻣﺎﺷﯿﻦ ﯾﮏ ﺑﺴﺘﻪ ‪ SYN-ACK‬از ﻫﺪف ﻣﯽ ﮔﯿﺮد و ﭼﻮن ﻫﯿﭻ ارﺗﺒﺎﻃﯽ ﺑﺮﻗﺮار ﻧﺸﺪه ﺑﻮد ﯾﮏ ‪ Reset‬ﻣﯽ‬ ‫ﻓﺮﺳﺘﺪ .ﺑﺴﺘﻪ ‪ Reset‬ﻧﯿﺰ ارﺗﺒﺎط را در ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ ﻗﻄﻊ ﻣﯽ ﮐﻨﺪ و ﻣﻨﺒﻊ ﺻﻒ ارﺗﺒﺎط را ﮐﻪ ﻫﮑﺮ اﺳﺘﻔﺎده ﻣﯽ ﮐﺮد را آزاد ﻣﯽ ﮐﻨﺪ.‬ ‫اﮔﺮ ﺑﺨﻮاﻫﻢ ﺑﻪ زﺑﺎن ﺳﺎده ﻣﺘﻦ ﺑﺎﻻ را ﺑﯿﺎن ﮐﻨﻢ ﺑﻪ اﯾﻦ ﺻﻮرت اﺳﺖ ﮐﻪ ﻫﮑﺮﻫﺎ اﮐﺜﺮاً ﺑﺎ اﺳﺘﻔﺎده از آدرس ﻫﺎي ‪ip‬ﮐﻪ ﺟﻮاب ﻧﻤﯽ دﻫﻨﺪ ﮐﺎر ﺗﻘﻠﯿﺪ را اﻧﺠﺎم‬ ‫ﻣﯽ دﻫﻨﺪ ﺗﺎ از ﮐﺎر ‪ reset‬ﮐﻪ ﻣﻨﺒﻊ ﺻﻒ اﺗﺼﺎل ‪ user‬را آزاد ﻣﯽ ﮐﻨﺪ ﺟﻠﻮﮔﯿﺮي ﮐﻨﻨﺪ .در ﺣﺎﻟﺖ ﻋﺎدي ﺑﺮاي ﺑﺮﻗﺮاري ﯾﮏ ارﺗﺒﺎط‬ ‫‪ tcp/ip‬در ﻣﺮﺣﻠﻪ‬ ‫اول ﻣﺸﺘﺮي ﯾﮏ ﺑﺴﺘﻪ ‪ SYN‬ﺑﺮاي ﻣﯿﺰﺑﺎن ﻣﯽ ﻓﺮﺳﺘﺪ و در ﻣﺮﺣﻠﻪ ﺑﻌﺪ ﻣﯿﺰﺑﺎن ﭘﺎﺳﺦ ﻣﺸﺘﺮي را ﺑﻪ وﺳﯿﻠﻪ ﯾﮏ ﺑﺴﺘﻪ ‪ SYN/ACK‬ﻣﯽ دﻫﺪ و در ﻣﺮﺣﻠﻪ‬ ‫ﺳﻮم و آﺧﺮ ﻣﺸﺘﺮي ﭘﺎﺳﺦ ﻣﯿﺰﺑﺎن را ﺑﺎ ارﺳﺎل ﯾﮏ ﺑﺴﺘﻪ ‪ ack‬ﻣﯽ دﻫﺪ و اﺗﺼﺎل ﺑﺮﻗﺮار ﻣﯽ ﺷﻮد ﮐﻪ ﺑﻪ اﯾﻦ ﺳﻪ ﻣﺮﺣﻠﻪ در ‪ tcp/ip‬ﺑﻪ اﺻﻄﻼح ‪Three‬‬ ‫‪ Way Handshake‬ﯾﺎ دﺳﺖ دادن ﺳﻪ ﻃﺮﻓﻪ ﻣﯽ ﮔﻮﯾﻨﺪ. ﻫﻨﮕﺎم ﺣﻤﻠﻪ ﯾﮏ ﺑﺴﺘﻪ ‪ syn‬ﺑﻪ ﺳﻮي ﻣﯿﺰﺑﺎن ﺑﺎ ﯾﮏ آدرﺳﻪ ‪ ip‬ﺟﻌﻠﯽ ارﺳﺎل ﻣﯽ ﺷﻮد .ﻣﯿﺰﺑﺎن‬ ‫ﺑﺎ ﯾﮏ ﺑﺴﺘﻪ ‪ SYN/ACK‬ﭘﺎﺳﺦ ﻣﯽ دﻫﺪ و ﻣﻨﺘﻈﺮ ﭘﺎﺳﺦ ﮐﻪ ﺑﺴﺘﻪ ‪ ACK‬اﺳ ﺖ ﻣﯽ ﻣﺎﻧﺪ وﻟﯽ ‪ ip‬ﺟﻌﻠﯽ ﺑﻮده و ﭘﺎﺳﺨﯽ در ﮐﺎر ﻧﺨﻮاﻫﺪ ﺑﻮد وﻟﯽ ﻣﯿﺰﺑﺎن‬ ‫ﻫﻤﭽﻨﺎن ﻣﻨﺘﻈﺮ ﻣﺎﻧﺪه و ﺑﻪ ﺑﺴﺘﻪ ﻫﺎي‪ syn‬ﭘﺎﺳﺦ ﻣﯽ دﻫﺪ. اﯾﻦ اﻣﺮ ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﺗﺎ ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻤﯽ ﻣﯿﺰﺑﺎن ﺑﻪ ﭘﺎﯾﺎن رﺳﯿﺪه و ﺳﺮور دﭼﺎر ﻣﺸﮑﻞ ﺷﻮد و‬ ‫ﺳﺮوﯾﺲ دﻫﯽ آن ﻣﺘﻮﻗﻒ ﺷﻮد. روش دﯾﮕﺮي ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ در ‪ SYN Flood‬ﻣﻨﺎﺑﻊ ﻫﺪف را ﺗﻀﻌﯿﻒ ﮐﻨﺪ ﮐﻪ ﭘﯿﺸﺮﻓﺘﻪ ﺗﺮ از روش ﺻﻒ ارﺗﺒﺎط اﺳﺖ ﺑﻪ اﯾﻦ‬ ‫ﺻﻮرت اﺳﺖ ﮐﻪ اﮔﺮ ﻣﻨﺸﺄ ارﺗﺒﺎط ﺑﺴﯿﺎر ﺑﺰرگ ﺑﺎﺷﺪ و ﺻﺪﻫﺎ ﻫﺰار ﺑﺴﺘﻪ ‪ SYN‬ﺑﻪ ﺟﺎ ﻣﺎﻧﺪه را ﺑﺘﻮاﻧﺪ در ﺧﻮد ﺟﺎي دﻫﺪ‪ SYN Flood‬ﻓﻘﻂ ﻣﯽ ﺗﻮاﻧﺪ‬ ‫ﭘﯿﻮﻧﺪ ارﺗﺒﺎﻃﯽ را ﺑﺎ ﺑﯿﺮون ﮐﺮدن ﻫﺮ ﺗﺮاﻓﯿﮏ ﻣﺠﺎزي اﺷﻐﺎل ﮐﻨﺪ .ﺑﺮاي دﺳﺘﺮ ﺳﯽ ﺑﻪ اﯾﻦ وﺿﻌﯿﺖ ﻫﮑﺮ ﺑﺎﯾﺪ ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺑﯿﺸﺘﺮي را ﻧﺴﺒﺖ ﺑﻪ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ‬ ‫داﺷﺘﻪ ﺑﺎﺷﺪ و ﻫﻤﭽﻨﯿﻦ ﺑﺘﻮاﻧﺪ ﺑﺴﺘﻪ ﻫﺎﯾﯽ را ﺑﺮاي اﺷﻐﺎل اﯾﻦ ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺑﻪ وﺟﻮد ﺑﯿﺎورد .‬ ‫اﮔﺮ ﺑﺨﻮاﻫﯿ ﻢ درﺑﺎره راه ﻫﺎي دﻓﺎع در ﺑﺮاﺑﺮ ‪ SYN Flood‬ﺗﻮﺿﯿﺢ دﻫﻢ از اﯾﻨﺠﺎ ﺷﺮوع ﻣﯽ ﮐﻨﻢ ﮐﻪ اوﻟﯿﻦ و ﻣﻬﻤﺘﺮﯾﻦ دﻓﺎع در ﺑﺮاﺑﺮ ‪ SYN Flood‬اﻃﻤﯿﻨﺎن‬ ‫داﺷﺘﻦ از وﺟﻮد ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﮐﺎﻓﯽ و ﻣﺴﯿﺮﻫﺎي زﯾﺎدي ﺑﺮاي ﺗﻤﺎم ﺳﯿﺴﺘﻢ ﻫﺎي ﺣﺴﺎس ﺷﻤﺎ اﺳﺖ .ﺗﮑﻨﯿﮑﯽ ﮐﻪ در ﻟﯿﻨﻮﮐﺲ ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪ SYN Flood‬ﺑﻪ‬ ‫ﮐﺎر ﺑﺮده ﻣﯽ ﺷﻮد اﺳﺘﻔﺎده از ﮐﻮﮐﯽ ﻫﺎي ‪ SYN‬اﺳﺖ ﮐﻪ در ﺑﺮاﺑﺮ ﺣﺬف ﺷﺪن ﺻﻒ ارﺗﺒﺎﻃﯽ ﮐﻪ ﺑﺴﺘﻪ ﻫﺎي ‪ SYN‬اﻧﺠﺎم ﻣﯽ دﻫﻨﺪ ﻣﯽ اﯾﺴﺘﻨﺪ و ﻣﻘﺎﺑﻠﻪ ﻣﯽ‬ ‫ﮐﻨﻨﺪ .ﺑﺮاي ﻓﻌﺎل ﮐﺮدن ﮐﻮﮐﯽ ﻫﺎي ‪ SYN‬در ﯾﮏ ﻣﺎﺷﯿﻦ ﻟﯿﻨﻮﮐﺲ ﺧﻂ زﯾﺮ ﺑﺎﯾﺪ ﺑﻪ ‪Boot‬‬ ‫‪ Sequence‬ﻣﺎﺷﯿﻦ اﺿﺎﻓﻪ ﺷﻮد.‬ ‫‪Echo 1>/proc/sys/net/ipv4/tcp_syncookies‬‬ ‫ﻋﻼوه ﺑﺮ اﯾﻦ، ﯾﮏ ﻣﺎﺷﯿﻦ ﻟﯿﻨﻮﮐﺲ ﻣﯽ ﺗﻮاﻧﺪ ﺑﻪ ﻋﻨﻮان ﯾﮏ ‪ Proxy‬دﯾﻮاره آﺗﺶ ) ‪ (Firewall‬ﺗﻨﻈﯿﻢ ﺷﻮد و ﺑﺎ اﯾﻦ ﮐﺎر ﺑﺎﻋﺚ اﺿﺎﻓﻪ ﺷﺪن ﻣﺤﺎﻓﻈﺖ ﮐﻮﮐﯽ‬ ‫‪ SYN‬ﺑﻪ ﮐﻞ ﯾﮏ ﺷﺒﮑﻪ ﺷﻮد.‬
  12. 12. ‫ﺣﻤﻼت ‪: smurf‬‬ ‫ﺣﻤﻼت ‪ smurf‬ﻧﯿﺰ ﯾﮑﯽ از اﻧﻮاع ﺣﻤﻼت ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ از راه دور ﻫﺴﺘﻨﺪ ‪smurf attack‬را ﺑﻪ ﻋﻨﻮان ‪ broadcast attacks directed‬ﯾﺎ‬ ‫ﺣﻤﻼت اﻧﺘﺸﺎري ﻣﻨﺴﺠﻢ ﻫﻢ ﻣﯽ ﺷﻨﺎﺳﻨﺪ . ﺣﻤﻼت ‪ Smurf‬از ﻣﻌﺮوﻓﺘﺮﯾﻦ و راﯾﺠﺘﺮﯾﻦ ﺣﻤﻼت‪ Dos‬ﻣﺤﺴﻮب ﻣﯽ ﺷﻮد.‬ ‫ﻓﺮﺳﺘﺎدن ﯾﮏ ﭘﯿﺎم اﺗﺮﻧﺖ ﺑﻪ آدرس ‪ MAC‬ﮐﻪ ﺗﻤﺎم رﻗﻤﻬﺎﯾﺶ 1 ﺑﺎﺷﺪ از ﻃﺮﯾﻖ ‪ LAN‬ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﺗﺎ ﻫﻤﻪ ﻣﺎﺷﯿﻦ ﻫﺎي روي‪ LAN‬ﻫﺪف، ﭘﯿﺎم را‬ ‫ﺧﻮاﻧﺪه و ﺟﻮاﺑﯽ را ﺑﻔﺮﺳﺘﻨﺪ .دوﺳﺘﺎن اﯾﻦ ﻧﮑﺘﻪ را ذﮐﺮ ﮐﻨﻢ ﮐﻪ درك ﮐﺎﻣﻞ روش ﻫﺎي ‪ Dos‬ﺑﻪ آﺷﻨﺎﯾﯽ ﻗﺒﻠﯽ ﺷﻤﺎ ﺑﺎ ﻣﻔﺎﻫﯿﻢ ﺷﺒﮑﻪ و ‪ TCP/IP‬ﺑﺴﺘﮕﯽ‬ ‫دارد.‬ ‫ﻓﺮض ﮐﻨﯿﻢ ‪ ،PING‬ﯾﮏ ﺑﺴﺘﻪ اﻧﻌﮑﺎس‬ ‫‪ICMP‬اﺳﺖ ﯾﮏ ﮐﺎرﺑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﯾﮏ ‪PING‬را ﺑﻪ آدرس اﻧﺘﺸﺎر ‪IP‬ﯾﮏ ﺷﺒﮑﻪ ﺑﻔﺮﺳﺘﺪ اﮔﺮ ‪ ROUTER‬روي‬ ‫ﺷﺒﮑﻪ ﻫﺪف اﺟﺎزه اﻧﺘﺸﺎر ﻣﺴﺘﻘﯿﻢ را ﺑﺪﻫﺪ ﺑﺴﺘﻪ ‪ PING‬اﻧﺘﺸﺎر ﻻﯾﻪ ‪ IP‬را ﺑﻪ ﯾﮏ اﻧﺘﺸﺎر ﻻﯾﻪ ‪ MAC‬ﺗﺒﺪﯾﻞ ﻣﯽ ﮐﻨﺪ ﮐﻪ ﺑﺎﻋﺚ درﯾﺎﻓﺖ آن ﺗﻮﺳﻂ ﺗﻤﺎم‬ ‫ﺳﯿﺴﺘﻢ ﻫﺎي روي‬ ‫‪LAN‬ﻣﻘﺼﺪ ﻣﯽ ﺷﻮد .وﻗﺘﯽ ﭘﯿﺎم درﯾﺎﻓﺖ ﺷﺪ ﺗﻤﺎم ﻣﺎﺷﯿﻦ ﻫﺎي ﻓﻌﺎل روي ‪ LAN‬ﻫﺪف، ﯾﺎ ﭘﺎﺳﺦ ‪ Ping‬را ﻣﯽ ﻓﺮﺳﺘﻨﺪ و ﯾﺎ ﺑﺎ‬ ‫ﻓﺮﺳﺘﺎدن ﻓﻘﻂ ﯾﮏ ﺑﺴﺘﻪ، آن ﺳﺮور و ‪ Host‬ﭼﻨﺪﯾﻦ ﺑﺴﺘﻪ ﭘﺎﺳﺦ را درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﻨﺪ . ﺣﺎﻻ ﻓﺮض ﮐﻨﯿﺪ ﮐﻪ اوﻟﯿﻦ در ﺧﻮاﺳﺖ ‪ Ping‬از اﻧﺘﺸﺎر ﺷﺒﮑﻪ‬ ‫درﯾﺎﻓﺖ ﯾﮏ آدرس ‪ IP‬ﻣﺒﺪأ‪ Spoof‬ﺷﺪه ﺑﺎﺷﺪ، ﻫﻤﻪ ﭘﺎﺳﺨﻬﺎي ‪ Ping‬از ﺗﻤﺎم ﻣﺎﺷﯿﻦ ﻫﺎي روي ﺷﺒﮑﻪ ﺑﻪ ﺳﻮي ﻣﺒﺪأ ﻇﺎﻫﺮي ﺑﺴﺘﻪ ﮐﻪ آدرس آن‬ ‫‪ SPOOF‬ﺷﺪه ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد ﻫﻤﯿﻨﻄﻮر ﮐﻪ ﺗﻌﺪاد ﻣﺎﺷﯿﻦ ﻫﺎ روي ﺷﺒﮑﻪ ﮐﻪ اﺟﺎزه اﻧﺘﺸﺎر ﻣﺴﺘﻘﯿﻢ را ﻣﯽ دﻫﻨﺪ اﺿﺎﻓﻪ ﻣﯽ ﺷﻮد، ﺗﻌﺪاد ﺑﺴﺘﻪ ﻫﺎي ﭘﺎﺳﺦ‬ ‫ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺗﻮﻟﯿﺪ ﺷﻮﻧﺪ ﻧﯿﺰ اﻓﺰاﯾﺶ ﭘﯿﺪا ﻣﯽ ﮐﻨﺪ و ﯾﮏ ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ از اﯾﻦ روش ﺑﺮاي ﺗﺪارك ﯾﮏ ﺣﻤﻠﻪ ‪ SMURF‬اﺳﺘﻔﺎده ﮐﻨﺪ.‬ ‫ﻫﮑﺮ ﯾﮏ ﺑﺴﺘﻪ ‪ PING‬را ﺑﻪ آدرس اﻧﺘﺸﺎر ﭼﻨﺪ ﺷﺒﮑﻪ روي اﯾﻨﺘﺮﻧﺖ ﮐﻪ ﭘﯿﺎم ﻫﺎي اﻧﺘﺸﺎر ﻣﺴﺘﻘﯿﻢ را ﻗﺒﻮل ﻣﯽ ﮐﻨﺪ و ﺟﻮاب ﻣﯽ دﻫﺪ، ﻣﯽ ﻓﺮﺳﺘﺪ ﮐﻪ ﺑﻪ اﯾﻦ‬ ‫ﻋﻤﻞ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪ Smurf‬ﻫﻢ ﻣﯽ ﮔﻮﯾﻨﺪ .ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪ Smurf‬اﻏﻠﺐ ﭼﯿﺰي ﻧﯿﺴﺖ ﺟﺰ ﯾﮏ ﺷﺒﮑﻪ ﺑﺎ ﺗﻨﻈﯿﻢ ﻧﺎدرﺳﺖ ﮐﻪ ﺑﻪ ﺑﺨﺶ ﺳﻮم ﺑﯽ ﮔﻨﺎﻫﯽ‬ ‫روي اﯾﻨﺘﺮﻧﺖ ﺗﻌﻠﻖ دارد. ﻫﮑﺮ از آدرس ﻣﺒﺪا ‪ Spoof‬و ﭘﻨﻬﺎن ﺷﺪه ﻗﺮﺑﺎﻧﯽ ﮐﻪ ﻣﯽ ﺧﻮاﻫﺪ آن را ‪ Flood‬ﮐﻨﺪ اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ و ﻫﻤﻪ ﺟﻮاب ﻫﺎي ‪PING‬‬ ‫ﺑﻪ ﻃﺮف ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد ﻣﺜﻼً اﮔﺮ 001 ﻣﯿﺰﺑﺎن ﻣﺘﺼﻞ ﺑﻪ ﺷﺒﮑﻪ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪ SMURF‬ﻣﻮﺟﺐ ﻓﺮﺳﺘﺎده ﺷﺪن 001 ﺑﺴﺘﻪ ﺑﻪ ﻗﺮﺑﺎﻧﯽ ﺷﻮد ﻣﺎ ﺑﺴﺘﻪ ﻫﺎ را‬ ‫ﭘﺸﺘﻪ ﺳﺮﻫﻢ ﺑﻪ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪ SMURF‬ﻣﯿﻔﺮﺳﺘﯿﻢ و اﮔﺮ ﻣﺎ ﺑﺘﻮاﻧﯿﻢ ﺑﺴﺘﻪ ﻫﺎ را ﺑﺎ ﯾﮏ اﺷﺘﺮاك ‪ DAILUP 56 kbps‬ﺗﻘﻮﯾﺖ ﮐﻨﯿﻢ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪smurf‬‬ ‫ﻣﯽ ﺗﻮاﻧﺪ ﺗﺎ 001 ﺑﺮاﺑﺮ اﯾﻦ ﻣﻘﺪار را ﺗﻮﻟﯿﺪ ﮐﻨﺪ .‬
  13. 13. ‫‪:Smurf‬‬ ‫ﯾﮑﯽ از اوﻟﯿﻦ ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺣﻤﻠﻪ اﻧﺘﺸﺎر ﻣﺴﺘﻘﯿﻢ اﺳﺖ ﮐﻪ اﻧﺒﻮﻫﯽ از ﺑﺴﺘﻪ ﻫﺎي‪ ICMP‬را اﯾﺠﺎد ﻣﯽ ﮐﻨﺪ و ﺑﻪ ﺳﻤﺖ ﻗﺮﺑﺎﻧﯽ ﻣﯽ ﻓﺮﺳﺘﺪ.‬ ‫‪: Fraggle‬‬ ‫اﯾﻦ ‪tools‬ﺑﺮ روي ‪ udp‬ﻣﺘﻤﺮﮐﺰ اﺳﺖ وﮐﺎر ﻣﯽ ﮐﻨﺪ ‪ fraggel‬ﺑﺴﺘﻪ ﻫﺎﯾﯽ را ﺑﻪ ﯾﮏ آدرس اﻧﺘﺸﺎر ‪ip‬ﺑﻪ ﻣﻘﺼﺪ ﭘﻮرت ‪ udp‬ﻣﺘﻤﺮﮐﺰ ﻣﯽ ﺷﻮد و ﮐﺎر ﻣﯽ‬ ‫ﮐﻨﺪ.‬ ‫‪Fraggel‬ﺑﺴﺘﻪ ﻫﺎﯾﯽ را ﺑﻪ ﯾﮏ آدرس اﻧﺘﺸﺎر ‪ ip‬ﺑﻪ ﻣﻘﺼﺪ ﭘﻮرت ‪ udp‬ﮐﻪ ﺑﺮاي ﯾﮏ ﺳﺮوﯾﺲ ﺟﻬﺖ ارﺳﺎل ﭘﺎﺳﺦ ﺗﻨﻈﯿﻢ ﺷﺪه، ﻣﯽ ﻓﺮﺳﺘﺪ .ﺑﺮاي‬ ‫ﻣﺜﺎل ﺳﺮوﯾﺲ اﻧﻌﮑﺎس ﯾﮏ ﺑﺴﺘﻪ را ﻣﯽ ﮔﯿﺮد و ﺧﯿﻠﯽ راﺣﺖ ﺟﻮاﺑﯽ را ﮐﻪ ﻣﺤﺘﻮاي آن دﻗﯿﻘﺎً ﻫﻤﺎن داده ﻫﺎي درﯾﺎﻓﺖ ﺷﺪه اﺳﺖ را ﺑﺮﻣﯽ ﮔﺮداﻧﺪ و ﺑﻪ‬ ‫ﻫﻤﯿﻦ دﻟﯿﻞ اﺳﺖ ﮐﻪ ‪echo‬ﯾﺎ اﻧﻌﮑﺎس ﻧﺎﻣﯿﺪه ﻣﯽ ﺷﻮد .ﺑﺎ اﺳﺘﻔﺎده از ‪ Fraggle‬ﺑﺮاي ارﺳﺎل اﻧﺒﻮﻫﯽ از ﺑﺴﺘﻪ ﻫﺎ ﺑﻪ ﯾﮏ آدرس اﻧﺘﺸﺎر ‪ ip‬روي ﭘﻮرت‬ ‫ﻫﻔﺖ ‪udp‬ﺗﻤﺎم ﻣﺎﺷﯿﻦ ﻫﺎي روي ﺷﺒﮑﻪ ﺗﺮاﻓﯿﮏ ‪ udp‬را اﻧﻌﮑﺎس ﻣﯽ دﻫﺪ ﮐﻪ ﻧﺘﯿﺠﻪ آن ﺗﻘﻮﯾﺖ ‪flood‬اﺳﺖ.‬
  14. 14. ‫‪:PapaSmurf‬‬ ‫ﯾﻌﻨﯽ ﭘﺪر‪ smurf attack‬ﮐﻪ ﯾﮏ ‪ smurf tools‬اﺳﺖ ﺗﺮﮐﯿﺒﯽ از ﺣﻤﻼت ‪ Fraggle‬و ‪ Smurf‬اﺳﺖ‬ ‫ﺧﯿﻠﯽ از ﻫﮑﺮﻫﺎ ﮔﺮوﻫﯽ را ﺗﺸﮑﯿﻞ ﻣﯽ دﻫﻨﺪ و ﺑﺎ ﻫﻢ ﻓﻌﺎﻟﯿﺖ ﻣﯽ ﮐﻨﻨﺪ و در اﯾﻨﺘﺮﻧﺖ ﺑﻪ دﻧﺒﺎل ﺷﺒﮑﻪ ﻫﺎﯾﯽ ﮐﻪ ﺗﻨﻈﯿﻤﺎﺗﺸﺎن ﺿﻌﯿﻒ اﺳﺖ ﺟﺴﺘﺠﻮ ﻣﯽ ﮐﻨﻨﺪ‬ ‫و از آﻧﻬﺎ ﺑﻪ ﻋﻨﻮان ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪ Smurf‬اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﻨﺪ .‬ ‫‪http://www.netscan.org‬‬ ‫‪http://www.powertech.no/smurf‬‬ ‫ﺗﻮﺳﻂ ﺳﺎﯾﺖ اول آﺳﯿﺐ ﭘﺬﯾﺮي ﺷﺒﮑﻪ وﺳﺎﯾﺖ دوم آﺳﯿﺐ ﭘﺬﯾﺮ ﺑﻮدن ﺳﯿﺴﺘﻤﺘﺎن را در ﺑﺮاﺑﺮ ﺣﻤﻼت‬ ‫اﻣﺘﺤﺎن ﮐﻨﯿﺪ.‬ ‫‪ Nmap‬ﻧﯿﺰ ﮐﻪ ﯾﮏ ﭘﻮرت اﺳﮑﻨﺮ و ﭘﻮﯾﺸﮕﺮ ﻗﻮي اﺳﺖ.‬ ‫ﺣﻤﻠﻪ ﺗﮑﺬﯾﺐ ﺳﺮوﯾﺲ ﻫﺎي ﺗﻮزﯾﻌﯽ:‬ ‫ﯾﮏ ‪ SYN Flood‬ﺳﺎده ﺑﻪ ﻣﺎ اﻣﮑﺎن ﻣﯽ دﻫﺪ ﺗﺎ از ﯾﮏ ﻣﺎﺷﯿﻦ ﺗﺮاﻓﯿﮑﯽ را ﺑﺮ ﻋﻠﯿﻪ ﺳﺮور ﻗﺮﺑﺎﻧﯽ اﯾﺠﺎد ﮐﻨﯿﻢ .در ﯾﮏ ﺣﻤﻠﻪ‪ Smurf‬ﺣﺠﻢ ﺗﺮاﻓﯿﮏ‬ ‫اﻓﺰاﯾﺶ ﻣﯽ ﯾﺎﺑﺪ اﻣﺎ ﻫﻨﻮز ﻣﻘﺪار ﺗﺮاﻓﯿﮑﯽ ﮐﻪ ﻣﯽ ﺗﻮان از ﯾﮏ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه‪ Smurf‬ﮔﺮﻓﺖ ﻣﺤﺪود اﺳﺖ. در ﯾﮏ ﺣﻤﻠﻪ ﺗﮑﺬﯾﺐ ﺳﺮوﯾﺲ ﻫﺎي ﺗﻮزﯾﻌﯽ ﮐﻪ‬ ‫ﺑﻪ ) ‪ DDOS ( Distributed Denial of Service‬ﻣﻌﺮوف اﺳﺖ.‬ ‫ﻣﺤﺪودﯾﺖ ﻫﺎي اﺻﻠﯽ در ﺗﻌﺪاد ﻣﺎﺷﯿﻦ ﻫﺎﯾﯽ ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﺮاي ﺗﺪارك ﺣﻤﻠﻪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﯿﺮﻧﺪ وﭘﻬﻨﺎي ﺑﺎﻧﺪي ﮐﻪ ﻫﮑﺮ ﻣﺼﺮف ﻣﯽ ﮐﻨﻨﺪ وﺟﻮد ﻧﺪارﻧﺪ .‬ ‫ﺑﺎ اﯾﺠﺎد اﯾﻦ اﻣﮑﺎن ﺑﺮاي ﻫﮑﺮ ﮐﻪ ﻓﻌﺎﻟﯿﺖ ﻫﺎي ﻣﯿﺰﺑﺎﻧﻬﺎ ﺑﻪ ﺗﻌﺪاد دﻟﺨﻮاه و زﯾﺎد را ﻫﻤﺎﻫﻨﮓ ﮐﻨﺪ، اﯾﻦ ﺣﻤﻠﻪ ﺧﻄﺮﻧﺎك ﺗﺮ ﻣﯽ ﺷﻮد .در ﯾﮏ ﺣﻤﻠﻪ ‪ddos‬‬ ‫ﻣﺤﺪودﯾﺘﯽ وﺟﻮد ﻧﺪارد .در اﯾﻦ ﻧﻮع ﺣﻤﻼت از دﺳﺘﻪ اي از ﮐﺎﻣﭙﯿﻮﺗﺮﻫﺎي ﻫﮏ ﺷﺪه ‪Zombie‬ﮐﻪ ﻫﺎ ﺑﺮ روي آﻧﻬﺎ ﻧﺼﺐ ﺷﺪه اﻧﺪ، ﺑﺮاي ﺣﻤﻠﻪ ﺑﻪ ﺳﯿﺴﺘﻢ‬ ‫ﻫﺪف اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد.‬
  15. 15. ‫‪ DDOS‬آﺷﻨﺎﯾﯽ و روش ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻼت:‬ ‫ﯾﮏ ﺣﻤﻠﻪ ‪ ddos‬ﺑﺎ اﺳﺘﻔﺎده از ‪ zombie‬ﻫﺎ وﮐﺎﻣﭙﯿﻮﺗﺮ ﻫﺎﯾﯽ ﮐﻪ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ ﺑﺮﻧﺎﻣﻪ ‪ zombie‬ﺑﺮ روي آﻧﻬﺎ ﻧﺼﺐ ﺷﺪه اﺳﺖ در زﻣﺎن ﻣﺸﺨﺼﯽ ﮐﻪ‬ ‫ﺗﻮﺳﻂ ﻫﮑﺮ ﻫﺎ ﺗﻌﯿﯿﻦ ﺷﺪه اﺳﺖ ﺳﯿﻠﯽ اﻧﺒﻮه از ﺑﺴﺘﻪ ﻫﺎ را اﯾﺠﺎد ﮐﺮده و ﺑﻪ ﺳﻤﺖ ﯾﮏ ﯾﺎ ﭼﻨﺪ ﻗﺮﺑﺎﻧﯽ ﻣﯽ ﻓﺮﺳﺘﺪ .ﺑﺮاي ﺑﻪ وﺟﻮد آوردن ﯾﮏ ﺣﻤﻠﻪ ‪DDos‬‬ ‫‪ Flood‬ﻣﺎ در ﻣﺮﺣﻠﻪ اول ﺑﺎﯾﺪ ﺑﺮ ﺗﻌﺪاد ﮐﺜﯿﺮي از ﺳﯿﺴﺘﻢ ﻫﺎي ﮐﻼﯾﻨﺖ ﯾﺎ ﺳﺮور ﮐﻪ داراي ﻧﻘﺎط ﺿﻌﻒ و آﺳﯿﺐ ﭘﺬﯾﺮي ﻫﺴﺘﻨﺪ ﻧﻔﻮذ ﮐﻨﯿﻢ و ﮐﻨﺘﺮل ﮐﺎﻣﻞ‬ ‫آن ﺳﯿﺴﺘﻢ ﻫﺎ را در اﺧﺘﯿﺎر داﺷﺘﻪ ﺑﺎﺷﯿﻢ ﮐﻪ ﻣﺎ ﻣﯽ ﺗﻮاﻧﯿﻢ ﺑﺎ اﺳﺘﻔﺎده از روش ﻫﺎي ﻣﺘﻌﺪدي ﮐﻪ ﺑﺮاي ﻧﻔﻮذ ﺑﻪ ﺻﻮرت‪ Remote‬وﺟﻮد دارد ﻣﺜﻞ ﯾﮏ ﺣﻤﻠﻪ‬ ‫ﺳﺮرﯾﺰ ﺑﺎﻓﺮ) ‪( Buffer Ovelflow‬‬ ‫و ﯾﺎ روش ﻫﺎي دﯾﮕﺮ ﮐﻨﺘﺮل اﯾﻦ ﺳﯿﺴﺘﻢ ﻫﺎ را در دﺳﺖ ﺑﮕﯿﺮﯾﻢ .ﺑﻪ اﯾﻦ ﺳﯿﺴﺘﻢ ﻫﺎي ﻫﮏ ﺷﺪه ‪) Zombie‬ﻣﺮده‬ ‫ﻣﺘﺤﺮك( ﻣﯽ ﮔﻮﯾﻨﺪ در اﮐﺜﺮ ﺣﻤﻼت ‪ ZAMBIE ,DDOS‬ﻫﺎ ﺑﺮ روي ﺳﺮورﻫﺎي آﺳﯿﺐ ﭘﺬﯾﺮ در داﻧﺸﮕﺎه ﻫﺎ، ﺳﺮورﻫﺎي‪ Hosting‬و ﺣﺘﯽ ﺳﯿﺴﺘﻢ ﻫﺎي‬ ‫ﮐﺎرﺑﺮان ﺧﺎﻧﮕﯽ ﮐﻪ از ﻃﺮﯾﻖ ﺧﻄﻮط )‪Digital Subscriber Loop ( DSL‬‬ ‫ﯾﺎ ﺳﺮوﯾﺲ ﻫﺎي ﻣﻮدم ﮐﺎﺑﻠﯽ ﻣﺘﺼﻞ ﻫﺴﺘﻨﺪ، ﻧﺼﺐ ﺷﺪه اﻧﺪ .ﻫﮑﺮ در‬ ‫ﻣﺮﺣﻠﻪ اول ﺣﻤﻠﻪ ‪ DDos‬ﺗﻤﺎم وﻗﺖ ﺧﻮد را در اﯾﻨﺘﺮﻧﺖ ﺑﺮاي ﭘﯿﺪا ﮐﺮدن ﺳﯿﺴﺘﻢ ﻫﺎي آﺳﯿﺐ ﭘﺬﯾﺮ ﻣﯽ ﮔﺬارد و آﻧﻬﺎ را ﭘﯿﺪا ﻣﯽ ﮐﻨﺪ و از آﻧﻬﺎ ﺳﻮء اﺳﺘﻔﺎده‬ ‫ﮐﺮده و ﺳﯿﺴﺘﻢ ‪ ZOMBIE‬را ﺑﺮ روي ﺳﯿﺴﺘﻢ ﻫﺎ ﻧﺼﺐ ﻣﯽ ﮐﻨﺪ .‬ ‫ﻧﺮم اﻓﺰار ‪ ZOMBIE‬از اﺟﺰاء اﺑﺰار ‪ DDOS‬اﺳﺖ ﮐﻪ ﻣﻨﺘﻈﺮ ﻓﺮﻣﺎﻧﯽ از ﻫﮑﺮ ﻣﯽ ﻣﺎﻧﺪ ﮐﻪ از اﺑﺰار ﮐﻼﯾﻨﺖ ﺧﺎﺻﯽ ﺑﺮاي ﻣﮑﺎﻟﻤﻪ ﺑﺎ آن ‪ Zombie‬اﺳﺘﻔﺎده ﻣﯽ‬ ‫ﮐﻨﺪ .ﯾﮑﯽ از ﺑﻬﺘﺮﯾﻦ ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﺑﺮاي ﺣﻤﻼت ‪ DDos‬اﺑﺰار ) ‪ Tribe Flood Network 2000 ( TFN2K‬اﺳﺖ ﻫﮑﺮ ﻣﻌﻤﻮﻻً ﯾﮏ ﯾﺎ ﺑﯿﺶ از ﯾﮏ‬ ‫ﻣﺎﺷﯿﻦ ﮐﻼﯾﻨﺖ را ﺑﺮاي ﺻﺪور ﻫﻤﺰﻣﺎن دﺳﺘﻮر اﺟﺮاي ﻓﺮﻣﺎن ﺑﻪ ﺗﻤﺎم ‪ Zombie‬ﻫﺎ اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ ﺗﺎ ﯾﮏ ﺣﻤﻠﻪ ‪ DDOS‬را ﻋﻠﯿﻪ ﻫﺪف ﺧﻮد ﺗﺪارك‬ ‫ﺑﺒﯿﻨﺪ .ﺗﻤﺎم ‪ Zombie‬ﻫﺎ از روي وﻇﯿﻔﻪ ﭘﺎﺳﺦ ﻣﯽ دﻫﻨﺪ و اﯾﻦ ﻣﻨﺠﺮ ﺑﻪ اﯾﺠﺎد ‪ FLOOD‬و ﻏﺮق ﺷﺪن ﺳﺮور ﻗﺮﺑﺎﻧﯽ در ﺳﯿﻠﯽ از ﺑﺴﺘﻪ ﻫﺎ ﻣﯽ ﺷﻮد.‬ ‫ﮐﻼﯾﻨﺖ ﺑﺎ ‪ Zombie‬ﻫﺎ ارﺗﺒﺎط ﺑﺮﻗﺮار ﻣﯽ ﮐﻨﺪ وﻟﯽ ﻣﻌﻤﻮﻻً ﻫﮑﺮ از ﺳﯿﺴﺘﻢ ﺟﺪاﮔﺎﻧﻪ اي ﺑﺮاي دﺳﺘﺮﺳﯽ ﺑﻪ ‪ Client‬ﺳﺮوﯾﺲ ﮔﯿﺮﻧﺪه‬ ‫اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ و‬ ‫اﯾﻦ اﻣﺮ ﺑﻪ دﻟﯿﻞ آن اﺳﺖ ﮐﻪ ﻫﮑﺮ ﺷﻨﺎﺳﺎﯾﯽ ﻧﺸﻮد و ﻣﺸﺎورﯾﻦ اﻣﻨﯿﺘﯽ آن ﺷﺮﮐﺖ ﻓﻘﻂ ﻣﯽ ﺗﻮاﻧﻨﺪ ﻣﺤﻞ ﺳﯿﺴﺘﻢ ﻫﺎي ‪ Zombie‬را ﺷﻨﺎﺳﺎﯾﯽ ﮐﻨﻨﺪ.‬
  16. 16. ‫اﮔﺮ ﺑﺨﻮاﻫﯿ ﻢ ﺣﻤﻼت ‪ DDOS‬را ﺑﻪ ﺻﻮرت ﺧﻼﺻﻪ ﺑﺮاﯾﺘﺎن ﺷﺮح دﻫﻢ ﺑﻪ اﯾﻦ ﺻﻮرت ﺷﺮوع ﻣﯽ ﮐﻨﻢ ﮐﻪ ﺣﻤﻼت ﺗﻮزﯾﻌﯽ‪ Dos‬ﯾﺎ ﺣﻤﻼت ‪DDOS‬ﮐﺎﻣﻼً‬ ‫آﺳﯿﺐ رﺳﺎن ﻫﺴﺘﻨﺪ. ﮐﻪ ﻫﮑﺮ ﺑﺮ ﺗﻌﺪاد زﯾﺎدي از ﺳﯿﺴﺘﻢ ﻫﺎ روي اﯾﻨﺘﺮﻧﺖ ﻏﻠﺒﻪ ﻣﯽ ﮐﻨﺪ، ﺑﺮ روي ﻫﺮ ﮐﺪام از آﻧﻬﺎ ﻧﺮم اﻓﺰار‪ Zombie‬را ﻧﺼﺐ ﻣﯽ ﮐﻨﺪ و ﺟﻬﺖ‬ ‫‪ Flood‬ﻧﻤﻮدن ﯾﮏ ﻗﺮﺑﺎﻧﯽ از آﻧﻬﺎ در ﯾﮏ ﺣﻤﻠﻪ ﻫﻤﺎﻫﻨﮓ اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ. ﺣﻤﻼت‪ DDos‬ﺑﻪ ﻣﺎ اﯾﻦ اﻣﮑﺎن را ﻣﯽ دﻫﺪ ﮐﻪ ﻣﻘﺎدﯾﺮ زﯾﺎدي از ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺳﺮور‬ ‫را اﺷﻐﺎل ﮐﻨﯿﻢ. ﻫﺮ ﭼﻪ ﺗﻌﺪاد‪ Zombie‬ﻫﺎﯾﯽ ﮐﻪ ﻣﺎ دارﯾﻢ ﺑﯿﺸﺘﺮ ﺑﺎﺷﺪ، ﻣﺎ ﺗﻮاﻧﺎﯾﯽ ﻣﺼﺮف و اﺷﻐﺎل ﺑﯿﺸﺘﺮ ﭘﻬﻨﺎي ﺑﺎﻧﺪ را ﺧﻮاﻫﯿﻢ داﺷﺖ.‬ ‫اﻧﻮاع ﺣﻤﻼت‪DDOS‬‬ ‫ﻋﻤﻮﻣﺎً ﺣﻤﻼت ‪ DDOS‬ﺑﻪ ﺳﻪ ﮔﺮوه ‪TRINOO,TFN/TFN2K ,STECHELDRAHT‬ﺗﻘﺴﯿﻢ ﻣﯽ ﺷﻮﻧﺪ .‬ ‫‪Trinoo‬‬ ‫‪ Trinoo‬در اﺻﻞ از ﺑﺮﻧﺎﻣﻪ ﻫﺎي ‪ Master/Slave‬اﺳﺖ ﮐﻪ ﺑﺎ ﯾﮑﺪﯾﮕﺮ ﺑﺮاي ﯾﮏ ﺣﻤﻠﻪ ﻃﻐﯿﺎن‪ UDP‬ﺑﺮ ﻋﻠﯿﻪ ﮐﺎﻣﭙﯿﻮﺗﺮ ﻗﺮﺑﺎﻧﯽ ﻫﻤﺎﻫﻨﮓ ﻣﯽ ﺷﻮﻧﺪ .در ﯾﮏ‬ ‫روﻧﺪ ﻋﺎدي، ﻣﺮاﺣﻞ زﯾﺮ ﺑﺮاي ﺑﺮﻗﺮاري ﯾﮏ ﺷﺒﮑﻪ ‪Trinoo DDoS‬واﻗﻊ ﻣﯽ ﺷﻮﻧﺪ‬ ‫ﻣﺮﺣﻠﻪ 1 : ﺣﻤﻠﻪ ﮐﻨﻨﺪه، ﺑﺎ اﺳﺘﻔﺎده از ﯾﮏ ﻣﯿﺰﺑﺎن ﻫﮏ ﺷﺪه، ﻟﯿﺴﺘﯽ از ﺳﯿﺴﺘﻢ ﻫﺎﯾﯽ را ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﻫﮏ ﺷﻮﻧﺪ، ﮔﺮدآوري ﻣﯽ ﮐﻨﺪ .ﺑﯿﺸﺘﺮ اﯾﻦ ﭘﺮوﺳﻪ‬ ‫ﺑﺼﻮرت ﺧﻮدﮐﺎر از ﻃﺮﯾﻖ ﻣﯿﺰﺑﺎن ﻫﮏ ﺷﺪه اﻧﺠﺎم ﻣﯽ ﮔﯿﺮد .اﯾﻦ ﻣﯿﺰﺑﺎن اﻃﻼﻋﺎﺗﯽ ﺷﺎﻣﻞ ﻧﺤﻮه ﯾﺎﻓﺘﻦ ﺳﺎﯾﺮ ﻣﯿﺰﺑﺎن ﻫﺎ ﺑﺮاي ﻫﮏ در ﺧﻮد ﻧﮕﻬﺪاري ﻣﯽ ﮐﻨﺪ.‬ ‫ﻣﺮﺣﻠﻪ 2 : ﺑﻪ ﻣﺤﺾ اﯾﻨﮑﻪ اﯾﻦ ﻟﯿﺴﺖ آﻣﺎده ﺷﺪ، اﺳﮑﺮﯾﭙﺖ ﻫﺎ ﺑﺮاي ﻫﮏ ﮐﺮدن و ﺗﺒﺪﯾﻞ آﻧﻬﺎ ﺑﻪ ارﺑﺎﺑﺎن ﯾﺎ ﺷﯿﺎﻃﯿﻦ )‪ Daemons‬اﺟﺮاء ﻣﯽ ﺷﻮﻧﺪ .ﯾﮏ‬ ‫ارﺑﺎب ﻣﯽ ﺗﻮاﻧﺪ ﭼﻨﺪ ﺷﯿﻄﺎن را ﮐﻨﺘﺮل ﮐﻨﺪ . ﺷﯿﺎﻃﯿﻦ ﻣﯿﺰﺑﺎﻧﺎن ﻫﮏ ﺷﺪه اي ﻫﺴﺘﻨﺪ ﮐﻪ ﻃﻐﯿﺎن ‪ UDP‬اﺻﻠﯽ را روي ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ اﻧﺠﺎم ﻣﯽ دﻫﻨﺪ.‬ ‫ﻣﺮﺣﻠﻪ 3 : ﺣﻤﻠﻪ ‪ DDOS‬ﻫﻨﮕﺎﻣﯽ ﮐﻪ ﺣﻤﻠﻪ ﮐﻨﻨﺪه ﻓﺮﻣﺎﻧﯽ ﺑﻪ ﻣﯿﺰﺑﺎﻧﺎن ‪MASTER‬ارﺳﺎل ﻣﯽ ﮐﻨﺪ، اﻧﺠﺎم ﻣﯽ ﮔﯿﺮد .اﯾﻦ ارﺑﺎﺑﺎن ﺑﻪ ﻫﺮ ﺷﯿﻄﺎﻧﯽ دﺳﺘﻮر‬ ‫ﻣﯽ دﻫﻨﺪ ﮐﻪ ﺣﻤﻠﻪ ‪ DoS‬را ﻋﻠﯿﻪ آدرس ‪IP‬ﻣﺸﺨﺺ ﺷﺪه در ﻓﺮﻣﺎن آﻏﺎز ﮐﻨﻨﺪ و ﺑﺎ اﻧﺠﺎم ﺗﻌﺪاد زﯾﺎدي ﺣﻤﻠﻪ ‪ DOS‬ﯾﮏ ﺣﻤﻠﻪ ‪ DDoS‬ﺷﮑﻞ ﻣﯽ ﮔﯿﺮد.‬
  17. 17. ‫‪Stacheldraht‬‬ ‫ﮐﺪ ‪ Stacheldraht‬ﺑﺴﯿﺎرﺷﺒﯿﻪ ﺑﻪ ‪ TRINOO‬و ‪ TFN‬اﺳﺖ اﻣﺎ ‪Stacheldraht‬اﺟﺎزه ﻣﯽ دﻫﺪ ﮐﻪ ارﺗﺒﺎط ﺑﯿﻦ ‪ MASTER‬ﻫﺎ)ﮐﻪ در اﯾﻦ ﺣﻤﻠﻪ‬ ‫‪ HANDER‬ﻧﺎﻣﯿﺪه ﻣﯽ ﺷﻮﻧﺪ( رﻣﺰ ﻧﮕﺎري ﺷﻮد ﻋﺎﻣﻞ ﻫﺎ ﻣﯽ ﺗﻮاﻧﻨﺪ ﮐﺪ ﺧﻮد را ﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر ارﺗﻘﺎ دﻫﻨﺪ ﻣﯽ ﺗﻮاﻧﻨﺪ اﻗﺪام ﺑﻪ اﻧﻮاع ﻣﺨﺘﻠﻔﯽ از ﺣﻤﻼت ﻣﺎﻧﻨﺪ‬ ‫ﻃﻐﯿﺎن ﻫﺎي ‪ icmp‬ﻃﻐﯿﺎن ﻫﺎي ‪UDP‬و ﻃﻐﯿﺎن ﻫﺎي ‪SYN‬ﮐﻨﻨﺪ.‬ ‫ﻧﺤﻮه ﭘﯿﺸﮕﯿﺮي از ﺣﻤﻼت‬ ‫ﻣﺘﺎﺳﻔﺎﻧﻪ روش ﻣﻮﺛﺮي ﺑﻪ ﻣﻨﻈﻮر ﭘﯿﺸﮕﯿﺮي در ﻣﻘﺎﺑﻞ ﯾﮏ ﺗﻬﺎﺟﻢ ‪DoS‬و ﯾﺎ ‪ DDoS‬وﺟﻮد ﻧﺪارد .ﻋﻠﯿﺮﻏﻢ ﻣﻮﺿﻮع ﻓﻮق، ﻣﯽ ﺗﻮان ﺑﺎ رﻋﺎﯾﺖ ﺑﺮﺧﯽ ﻧﮑﺎت و‬ ‫اﻧﺠﺎم ﻋﻤﻠﯿﺎت ﭘﯿﺸﮕﯿﺮي، اﺣﺘﻤﺎل ﺑﺮوز ﭼﻨﯿﻦ ﺣﻤﻼﺗﯽ) اﺳﺘﻔﺎده از ﮐﺎﻣﭙﯿﻮﺗﺮ ﺷﻤﺎ ﺑﺮاي ﺗﻬﺎﺟﻢ ﺑﺮ ﻋﻠﯿﻪ ﺳﺎﯾﺮ ﮐﺎﻣﭙﯿﻮﺗﺮ ﻫﺎ(را ﮐﺎﻫﺶ داد.‬ ‫ﻧﺼﺐ و ﻧﮕﻬﺪاري ﻧﺮم اﻓﺰار آﻧﺘﯽ وﯾﺮوس‬‫ﻧﺼﺐ و ﭘﯿﮑﺮﺑﻨﺪي ﯾﮏ ﻓﺎﯾﺮوال‬‫-ﺗﺒﻌﯿﺖ از ﻣﺠﻤﻮﻋﻪ ﺳﯿﺎﺳﺖ ﻫﺎي ﺧﺎﺻﯽ در ﺧﺼﻮص ﺗﻮزﯾﻊ و اراﺋﻪ آدرس ‪ email‬ﺧﻮد ﺑﻪ دﯾﮕﺮان‬ ‫ﭼﮕﻮﻧﻪ از وﻗﻮع ﺣﻤﻼت ‪ dos‬ﯾﺎ ‪ ddos‬آﮔﺎه ﺷﻮﯾﻢ.‬ ‫ﺧﺮاﺑﯽ و ﯾﺎ ﺑﺮوز اﺷﮑﺎل در ﯾﮏ ﺳﺮوﯾﺲ ﺷﺒﮑﻪ، ﻫﻤﻮاره ﺑﺪﻟﯿﻞ ﺑﺮوز ﯾﮏ ﺗﻬﺎﺟﻢ ‪DoS‬‬ ‫ﻧﻤﯽ ﺑﺎﺷﺪ .در اﯾﻦ راﺑﻄﻪ ﻣﻤﮑﻦ اﺳﺖ دﻻﯾﻞ ﻣﺘﻌﺪدي ﻓﻨﯽ وﺟﻮد داﺷﺘﻪ و ﯾﺎ ﻣﺪﯾﺮ ﺷﺒﮑﻪ ﺑﻪ‬ ‫ﻣﻨﻈﻮر اﻧﺠﺎم ﻋﻤﻠﯿﺎت ﻧﮕﻬﺪاري ﻣﻮﻗﺘﺎ "ﺑﺮﺧﯽ ﺳﺮوﯾﺲ ﻫﺎ را ﻏﯿﺮ ﻓﻌﺎل ﮐﺮده ﺑﺎﺷﺪ .وﺟﻮد و‬ ‫ﯾﺎ ﻣﺸﺎﻫﺪه ﻋﻼﺋﻢ زﯾﺮ ﻣﯽ ﺗﻮاﻧﺪ ﻧﺸﺎﻧﺪﻫﻨﺪه ﺑﺮوز ﯾﮏ ﺗﻬﺎﺟﻢ از ﻧﻮع ‪dos‬ﯾﺎ‬ ‫‪ddos‬ﺑﺎﺷﺪ:‬ ‫ﮐﺎﻫﺶ ﺳﺮﻋﺖ و ﯾﺎ ﮐﺎرآﺋﯽ ﺷﺒﮑﻪ ﺑﻄﺮز ﻏﯿﺮ ﻣﻌﻤﻮل )در زﻣﺎن ﺑﺎز ﻧﻤﻮدن ﻓﺎﯾﻞ ﻫﺎ وﯾﺎ دﺳﺘﯿﺎﺑﯽ ﺑﻪ وب ﺳﺎﯾﺖ ﻫﺎ(‬ ‫ﻋﺪم در دﺳﺘﺮس ﺑﻮدن ﯾﮏ ﺳﺎﯾﺖ ﺧﺎص)ﺑﺪون وﺟﻮد دﻻﯾﻞ ﻓﻨﯽ(‬ ‫ﻋﺪم اﻣﮑﺎن دﺳﺘﯿﺎﺑﯽ ﺑﻪ ﻫﺮ ﺳﺎﯾﺘﯽ)ﺑﺪون وﺟﻮد دﻻﯾﻞ ﻓﻨﯽ(‬ ‫اﻓﺰاﯾﺶ ﻣﺤﺴﻮس ﺣﺠﻢ ﻧﺎﻣﻪ ﻫﺎي اﻟﮑﺘﺮوﻧﯿﮑﯽ ﻧﺎﺧﻮاﺳﺘﻪ درﯾﺎﻓﺖ‬ ‫ﻣﻨﺎﺑﻊ :‬ ‫*اﻣﻨﯿﺖ ، راﻣﯿﻦ ﺻﻤﺪي‬ ‫*اﻣﻨﯿﺖ ﺷﺒﮑﻪ ، ﺳﺎﯾﺖ آﺷﯿﺎﻧﻪ‬ ‫*اﻣﻨﯿﺖ ﺷﺒﮑﻪ ،ﻧﮕﺎرﺳﺘﺎن‬ ‫*اﻣﻨﯿﺖ و ﺿﺪ اﻣﻨﯿﺖ ﺷﺒﮑﻪ، اﻣﯿﺮ اﺷﺘﯿﺎﻧﯽ‬

×