مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

30
ج ی س ماد ران ی ا ان وی ج ش ن ی دا ش ه و ر ی ی ش وز م! ه ا ک ب س، Madsg.com ران ی ا ش ن م و دا عل کده ه ی د ن ع ی ج ی س !!ماد

Upload: michael-beard

Post on 01-Jan-2016

72 views

Category:

Documents


4 download

DESCRIPTION

مادسیج یعنی دهکده علم و دانش ایران!!. مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران. Mad sg .com. بسم الله. مفاهیم امنیت شبکه. استاد راهنما:آقاي مهندس زارعي. گردآورنده:كاوه ملكي. دانشگاه علمي كاربردي تكاب سال تحصيلي91. امنیت شبکه لایه بندی شده. - PowerPoint PPT Presentation

TRANSCRIPT

Page 1: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

، شبکه آموزشی پژوهشی دانشجویان مادسیجایران

Madsg.com

!!مادسیج یعنی دهکده علم و دانش ایران

Page 2: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران
Page 3: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

امنیت شبکه الیه بندی شده

امروزه امنیت برای سازمانها و شرکت ها خیلی مهم شده چون تهدیدهای پیشرفته ای از سوی تروریست های فضای سایبر به سیستم ها و شبکه ها انجام میشود .رویکرد امنیت شبکه الیه

بندی شده یک استراتژی است که ابزار و امکانات مختلفی را در سطوح مختلف در زیر شبکه فراهم میکند

الیه قابل تعریف میباشد :5رویکرد امنیتی شبکه الیه بندی شده در .پیرامون1.شبکه2.میزبان3.برنامه کاربردی4.دیتا5

و یک دید کلی از ابزار ها و سیستم هایی امنیتی گوناگون که روی هریک عمل میکنند ارائه میشود و هدف ایجاد درکی در سطح پایه ، از امنیت شبکه هایی الیه بندی شده میباشد .محافظت از

اطالعات به منابع مالی نامحدود احتیاج ندارد با درک کلی از مساله ،خلق یک طرح استراتژی و تاکتیکی میتوان کا را اسان حل کرد .

امنیت شبکه از اصطالحی با عنوان متخصصانافزودن به ضریب عملکرد هکرها :استفاده میکنند که مفهومی مهم در پیاده سازی امنیت شبکه work factorضریب عملکرد

الیه بندی شده دارد . ضریب عملکرد بعنوان میزان تالش مورد نیاز توسط یک نفوزگر بمنظور تحت تاثیر قرار دادن یک یا چند سیستم و ابزار های امنیتی تعریف میشود که باعث رخنه کردن

باال به سختی مورد دستبرد قرار میگیرد work factorدر شبکه میشود . شبکه با

Page 4: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

در زیر مدل امنیت الیه بندی شده در زیر امده :پیرامون:

فایروال ، انتی ویروس در سطح شبکه::رمزنگاری شبکه خصوصی مجازیشبکه :

::سیستم مدیریت اسیب پذیری::تبعیت امنیتی IDS/IPSسیستم تشخیص / جلوگیری از نفوز کابر انتهایی::کنترول دسترسی / تایید هویت کاربر

میزبان :سیستم تشخیص نفوز میزبان::سیستم ارزیابی اسیب پذیری میزبان::تبعیت امنیتی

کاربرانتهایی::انتی ویروس::کنترول دسترسی / تایید هویت کاربربرنامه کاربردی :

سیستم تشخیص نفوز میزبان::سیستم ارزیابی اسیب پذیری میزبان::کنترول دسترسی / تایید هویت کاربر::تعیین صحت ورودی

داداه :رمزنگاری::کنترول دسترسی / تایید هویت کاربر

Page 5: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

منظور از پیرامون اولین خط دفاعی نسبت به بیرون و به عبارتی به امنیت پیرامون : شبکه غیرقابل اعتماد است .پیرامون اولین و اخرین نقطه تماس برای دفاع امنیتی محافظ

کننده شبکه میباشد .در این ناحیه شبکه به پایان میرسد و اینترنت اغاز میشود پیرامون شامل یک یا چند فایروال و مجموعه ای از سرورهای به شدت کنترول شده که در بخشی از پیرامون

شناخته میشوند . DMZ Demilitarized Zoneقرار دارندبعنوان DMZ معموال وب سرور ، مدخل ایمیل ها انتی ویروس ها شبکه و سرور هایDNS را در بر

میگیرد که باید در معرض اینترنت باشند . فایروال قوانین سفت و سختی در مورد اینکه چه میتوانند با اینترنت و شبکه داخلی تعامل DMZچیزی وارد شبکه بشود و چگونه سرورها در

داشته باشند را دارد .تکنولوژی زیر امنیت را در پیرامون شبکه ایجاد میکند :

معموال یک فایروال روی سروری نصب میگردد که به بیرون و درون پیرامون فایروال – شبکه متصل میباشد . فایروال سه عمل اصلی را انجام میدهد:

. نقطه پایانی وی پی ان .3 . تبدیل ادرس 2 . کنترول ترافیک 1فایروال کنترول ترافیک را با سنجیدن مبدا و مقصد تمام ترافیک وارد شده و خارج شده انجام میدهد و تضمین میکند که تنها تقاضای مجاز اجازه عبور دارند بعالوه فایروال به شبکه امن در

کمک میکند . این کار از افشای اینترنتداخلی به ادرش های قابل رویت در ipتبدیل ادرسهای اطالعات مهم درباره ساختار شبکه تحت پوشش فایروال جلوگیری میکند و به عنوان نقطه

پایانی تونل وی پی ان عمل میکند

نصب میشود و محتوای ایمیل های وارد DMZاین نرم افزار در انتی ویروس شبکه – شده و خارج شده را با پایگاه داده ای از مشخصات ویروس های شناخته شده مقایسه میکند .

را بالک کرده و به مدیران شبکه خبر میدهد . انتی SPAMاین انتی ویروس ها ایمیل های الوده ویروس شبکه مکملی برای حفاظت ضد ویروسی است که در سرور ایمیل و کامپیوتر های

مجزا صورت میگیرد

Page 6: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

یک شبکه اختصاصی مجازی وی پی ان از رمزنگاری سطح باالیی برای وی پی ان - ایجاد ارتباط امن بین ابزار دور از یکدیگر مانند لپ تاپ ها و شبکه های مقصد استفاده

میکنند .وی پی ان اساسا یک تونل رمز نگاری شده تقریبا با امنیت و محرمانگی یک شبکه اختصاصی اما از میان اینترنت ایجاد میکند این تونل وی پی ان میتواند در یک

پایان پذیرد . برقراری DMZمسیریاب بر پایه وی پی ان فایروال با یک سرور در ناحیه ارتباط وی پی ان برای تمام بخش های دور و بیسیم شبکه یک عمل مهم است که نسبتا

اسان و ارزان پیاده سازی میشود .

مزایا و معایب :تکنولوژی ایجاد شده سطح پیرامون سال هاست که مورد استفاده قرار میگیرد و از نظر اقتصادی مغلوم به صرفه میباشد اما درای معایبی هم دارد ، از انجا که این سیستم پایه

ای است بیشتر هکرها روی ان متمرکز شده و راه های مختلفی را در جهت دور زدن این امنیت پیدا کرده اند

Page 7: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

الیه امنیت شبکهداخلی شما اشاره دارد . wan ,lanسطح شبکه در مدل امنیت الیه بندی شده به

شبکه داخلی شما ممکن است شامل چند کامیپوتر و سرور و یا شاید پیچیده تر یعنی شامل اتصاالت نقطه به نقطه به دفترهای کار دور باشد بیشتر شبکه های امروزی در ورای پیرامون باز

هستند یعنی هنگامی که داخل شبکه قرار دارید میتوانید به راحتی در میان شبکه حرکت کنید .تکنولوژی ذیل امنیت را در سطح شبکه برقرارمیکنند :

ids سیستم تشخیص نفوز ( و( هاips: ) ها )سیستم جلوگیری از نفوزترافیک گذرنده در شبکه شما را با جزئیات بیشتر نسبت به فایروال ها تحلیل ispو idsتکنولوژی

میکنند .ترافیک را تحلیل و هر بسته اطالعات را با پایگاه ids , ipsمشابه سیستم انتی ویروس ابزارهای

داده ای از مشخصات حمالت شناخته مقایسه میکنند . هنگامی که حمالت تشخیص داده میشود این ابزار وارد عمل شده .

یک گام جلوتر رفته و به ipsرا از وقوع یک حمله مطلع میکند ابزارهای itمسوولین idsابزارهای ها مشخصات مشترک زیادی ipsها و idsطور خودکار ترافیک اسیب رسان را مسدود میکند .

دارند تفاوت کلیدی بین این دو تکنولوژی ها idsها در هسته خود یک ipsدارند در حقیقت بیشتر تنها ترافیک اسیب رسان را تشخیص میدهند در idsاز نام انها استنباط میشود و محصوالت

از ورود چنین ترافیکی به شبکه شما جلوگیری میکنند . ipsحالیکه محصوالت سیستم های مدیریت اسیب پذیری دو عملکرد مرتبط را انجام مدیریت اسیب پذیری –

میدهند :شبکه را برای اسیب پذیری ها پیمایش میکنند و روند مرمت اسیب پذیری یافته شده را مدیریت

تخمین اسیب پذیری ( نامیده میشود اما این تکنولوژی اصالح )vaمیکنند در گذشته این تکنولوژی انجام میدهند . vaشده است و بیشتر سیستم های موجود عملی بیش از

data baseسیستم مدیریت اسیب پذیر تمام راهای نفوز را پجستجو میکند انها پایگاهای داده ای از قوانین را نگه داری میکنند که اسیب پذیری شناخته شده را خود جای میدهد . این سیستم

روند باسازی را مدیریت میکند

Page 8: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

روش های تابعیت امنیتی کاربر انتهایی تضمین میکنند تابعیت امنیتی کاربر انتهایی – کاربران انتهایی استانداردهای امنیتی تعریف شده را از قبل اینکه اجازه دسترسی به شبکه

داشته باشد از شبکه محافظت میکنند این عمل جلوی حمله به شبکه از داخل خود شبکه را از میگیرد . روشهای امنیت نقاط rasطریق سیستم های ناامن کارمندان و ابزارهای وی پی ان,

اتهایی بر اساس ازمایش هایی که روی سیستم های که قصد اتصال دارند انجام میدهند ، اجازه دسترسی میدهند .

کنترول دسترسی نیازمند تایید هویت کاربرانی است کنترول دسترسی / تایید هویت – که به شبکه شما دسترسی دارند . کاربران و ابزارها باید با ابزارهای کنترول دسترسی کنترول

شوند در ایتجا باید گفت میان طرح های کنترول دسترسی بین الیه های مختلف همپوشانی قابل توجهی وجود دارد . معموال تراکنش های تایید هویت در مقابل دید کاربر اتفاق میافتد اما به خاطر

داشته باشد که کنترول دسترسی و تایید هویت مراحل پیچیده هستند که برای ایجاد بیشترین میزان امنیت در شبکه باید به دقت مدیریت شوند.

مزایا :و مدیریت اسیب پذیری تحلیل های پیچیده ای روی تهدیدهای و اسیب ids,ipsتکنولوژی های

پذیری های شبکه انجام میدهند . در حالیکه فایروال به ترافیک بر پایه مقصد نهیی ان اجازه عبور تجزیه و تحلیل عمیق تری را بر عهده دارند بنابراین سطح باالتری را از idsو ipsمی دهند ابزار

امنیت را ارائه میدهند . سیستم های مدیریت اسیب پذیری روند بررسی هایی به صورت دستی با تناوب مورد نیاز برای تضمین امنیت تا حدودی زیادی غیر عملی خواهد بود بعالوه شبکه ساختار

پویایی دارد . روش تابعیت امنیتی کاربران انتهایی به سازمان ها سطح باالتری از کنترول بر روی ابزاری را میدهد که به صورت دستی کنترول کمی بر روی انها باشند .

معایب :ids تمایل به تولید تعداد زیادی عالئم هشدار غلط دارند که به عنوانfalse positives نیز شناخته

idsممکن است که یک حمله را کشف و به اطالع شما برسانند . مدیران idsمیشوند در حالیکه ممکن است به سرعت حساسیت خود را نسبت به اطالعات تولید شده توسط از دست بدهند

باید بصورت پیوسته بررسی شود و برای الگوهای مورد استفاده و idsبرای تاثیر گذاری باال یک ها میتواند میزان ipsاسیب پذیری های کشف شده در محیط شما تنظیم گردد . سطح خودکار

زیادی در میان محصوالت متفاوت باشد بسیاری از انها باید با دقت پیکربندی و مدیریت شوند تا مشخصات الگوهای ترافیک شبکه ای را که در ان نصب شده اند منعکس کنند .

Page 9: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

الیه امنیت میزبانسطح میزبان در مدل امنیت الیه بندی شده مربوط به ابزارمنفرد مانند سرورها کامپیوتر های

شخصی ، سوئیچ ها ، روتر ها ، و غیره در شبکه است .هر ابزار تعدادی پارامتر قابل تنظیم دارد و هنگامی که به نادرستی تنظیم شوند میتوانند سوراخ های امنیتی نفوز پذیری ایجاد کنند . این

پارامتر شامل تنظیمات رجیستری ، سرویس ها ، توابع عملیاتی روی خود ابزار یا وصله های سیستم های عامل یا نرم افزاری مهم میشود .

تکنولوژی های زیر امنیت را در سطح میزبان فراهم میکنند :

ids – در سطح میزبانids های سطح میزبان عملیاتی مشابهids های شبکه انجام میدهندهای سطح میزبان برای Ids، تفاوت اصلی در نمایش ترافیک در یک ابزار شبکه به تنهایی است .

مشخصات عملیاتی بخصوص از ابزار میزبان تنظیم میگردند و بنابراین اگر به درستی مدیریت شوند درجه باالیی از مراقبت را فراهم میکنند .

va( سطح میزبان – ابزارهای ) تخمین اسیب پذیریva سطح میزبان یک ابزار شبکه مجزا راها vaبرای اسیب پذیری های امنیتی پویش میکنند . دارای دقت باالیی میباشد و از انجایی که

.بطور مشخص برای ابزار میزبان پیکربندی میشوند روش های تابعیت امنیتی کاربر اتهایی وظیفه دوچندانی تابعیت امنیتی کاربر انتهایی –

ایفا میکند و هم شبکه و هم میزبان های جداگانه را محافظت میکند . این روش ها بطور پیوسته میزبان را برای عملیات زیان رسان و الودگی ها بررسی میکنند و همچنین به نصب و به روز

بودن فایروال ها و انتی ویروس ها رسیدگی میکنند .هنگامی که انتی ویروس های مشخص شده برای ابزار در کنار انتی ویروس انتی ویروس –

های شبکه استفاده میشوند الیه اضافه ای برای محافظت فراهم میکنند .ابزار کنترول دسترسی در سطح ابزار یک روش کنترول دسترسی / تصدیق هویت –

مناسب است که تضمین میکند دسترسی به ابزار تنها توسط کاربران مجاز صورت پذیرد . در اینجا احتمال سطح باالیی از تراکنش بین ابزار کنترول دسترسی شبکه و کنترول دسترسی

میزبان وجود دارد .

Page 10: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

الیه امنیت دیتا امنیت سطح دیتا ترکیبی از سیاست امنیتی و رمزنگاری را دربر میگیرد ، رمزنگاری دیتا هنگامی که ذخیره میشود و یا در شبکه شما حرکت میکند به عنوان روشی بسیار مناسب توصیه میشود

زیرا چنانچه تمام ابزارهای امنیتی دیگر از کارها بیفتد یک طرح رمزنگاری قوی دیتای مختص شما را محافظت میکند .

تکنولوژی زیر امنیت در سطح دیتا را فراهم میکند :زنگاری – رم

طرح های رمزنگاری دیتا در سطوح دیتا ، برنامه و سیستم عامل پیاده میشود . تقریبا تمام طرح ها شامل کلید های رمزنگاری / رمزگشایی هستند که تمام افرادی که به دیتا دسترسی

هستند pki,pgp,rsaدارند باید داشته باشند . استراتژی های رمزنگاری معمول شامل کنترول دسترسی / تصدیق هویت – مانند تصدیق هویت سطوح شبکه میزبان و برنامه تنها

کابران مجاز دسترسی به دیتا خواهد داشت .

Page 11: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

جمع بندی :دفاع در مقابل تهدیدها و حمالت معمول

قسمت گذشته نشان میدهد که چگونه رویکرد امنیت الیه بندی شده در مقابل تهدیدها و حمالت معمول از شبکه حفاظت میکند و نشان میدهد که چگونه هر سطح با داشتن نقشی کلیدی در

برقراری امنیت شبکه جامع و موثر شرکت میکند .برخی حمالت معمول شامل موار زیر می باشد :

حمالت به وب سرور دامنه زیادی از مشکالتی را که تقریبا برای هر حمالت به وب سرور – وب سرور ایجاد میشود در بر میگیرد از دستکاری های ساده در صفحات گرفته تا در اختیار

امروزه حمالت به وب سرور یکی از معمول ترین dosگرفتن سیستم از راه دور و تا حمالت به عنوان حمله کنندگان به وب سرورها از شهرت زیادی Code rd , nimdaحمالت هستند .

برخوردارند .سرورهای ایمیلی که به صورت مناسب پیکربندی بازپخش ایمیل ها بصورت نامجاز –

نشده اند یک دلیل عمده برای ارسال هرزنامه بشمار میروند بسیاری از شرکت های هرزنامه ساز در پیدا کردن ایت سرورها و ارسال صدها و هزاران پیام هرزنامه به این سرورها متخصص

هستند .تعدادی از اسیب پذیری ها یک سیستم را دستکاری میزبان دور در سطح سیستم –

از راه دور در اختیار حمله کننده قرار میدهند بیشتر ایت نوع کنترول در سطح سیستم است و به حمله کننده اختیاراتی بابر با مدیر محلی سیستم میدهد .

فراهم بودن سرویس های اینترنتی غیر مجاز – توانایی اسان بکارگیری یک وب سرور یا سرویس اینترنتی دیگر روی یک کامپیوتر ریسک افشای سهوی اطالعات را باال میبرند اغلب چنین سرویس

هایی کشف نمیشوند در حالی که در شعاع رادار دیگران قرار میگیرند .در حالی که برنامه ضد ویروسی در تشخیص ویروس ها تشخیص فعالیت ویروسی –

مهارت دارد این نرم افزار برای تشخیص فعالیت ویروسی طراحی نشده اند در این شرایط شبکه برای تشخیص این نوع فعالیت بسیار مناسب idsبکارگیری یک برنامه تشخیص نفوز یا

است .

Page 12: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

intrusion detectionمقدمه ای بر تشخیص نفوز است از پردازه تشخیص تالش های که جهت دسترسی غیر مجاز به تشخیص نفوز عبارت

یک شبکه یا کاهش کارایی ان انجام میشود .در تشخیص نفوز باید ابتدا درک صحیحی از چگونگی انجام حمالت پیدا کرد .

سپس بنابر درک بدست امده روشی دو مرحله ای را برای متوقف کردن حمالت حمالت برگزید اول این که مطمئن شوید که الگوی عمومی فعالیتهای خطرناک تشخیص داداه شده است .

دوم اینکه اطمینان حاصل کنید که با حوادث مشخصی که در طبقه بندی مشترک حمالت نمی گنجند به سرعت رفتار میشوند .

بر مکانیزم هایی جهت بروزرسانی idsبه همین دلیل است که بیشتر سیستم های تشخیص نفوز نرم افزارشان متکی هستند که جهت جلوگیری از تهدیدات شبکه به اندازه کافی سریع هستند

البته تشخیص نفوز به تنهایی کافی نیست و باید مسیر حمله را تا هکر دنبال کند تا بتواند به شیوه مناسبی با وی نیز برخورد کرد .

انواع حمالت شبکه ای با توجه به طریقه حمله یک نفوذ به شبکه معموال یک حمله قلمداد میشود . حمالت شبکه ای را میتوان بسته به چگونگی

انجام ان به دو گروه اصلی تقسیم کرد یک حمله شبکه ای را میتوان با هدف نفوذگر از حمله یا denial of serviceیا dosتوصیف و مشخص کرد این اهداف معموال از کار انداختن سرویس

دسترسی غیر مجاز به منابع شبکه است .حمالت از کار انداختن سرویس

در این نوع حمالت هکر استفاده از سرویس ارائه شده توسط ارائه کننده خدمات برای کاربرانش را مختل میکند در این حمالت حجم باالیی از درخواست ارائه خدمات به سرور

فرستاده میشود تا امکان خدمات رسانی را از ان بگیرد در واقع سرور به پاسخگویی به در خواستهای بی شمار هکر مشعول مشود و از پاسخگویی به کاربران واقعی باز می ماند .

Page 13: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

حمالت دسترسی شبکه در این نوع از حمالت نفوذگر امکان دسترسی غیر مجاز به منابع شبکه را پیدا میکند و از این

امکان برای انجام فعالیتهای غیر مجاز و حتی غیر قانونی استفاده میکند .خود استفاده میکند تا در صورت شناسایی مبدا ، DOSبرای مثال از شبکه به عنوان مبدا حمالت

خود گرفتار نشود . دسترسی به شبکه را میتوان به دو گروه تقسیم کرد :

دسترسی به داده –در این نوع دسترسی ، نفوذگر به داده موجود بر روی اجزا شبکه دسترسی غیر مجاز پیدا

میکند . حمله کننده میتواند یک کاربر داخلی یا یک فرد خارج از مجموعه باشد . داداه های ممتاز و هم معموال تنها در اختیار بعضی کاربران شبکه قرار میگیرند

سایرین حق دسترسی به انها را ندارند در واقع سایرین امتیاز کافی را جهت دسترسی به اطالغات محرمانه ندارند اما میتوان با افزایش امتیاز به شکل غیر مجاز به اطالعات محرمانه

مشهور است . PRIVILEGE ESCALATIONدسترسی پیدا کرد ، این روش تعدیل امتیاز یا دسترسی به سیستم –

ین نوع حمله خطرناک تر و بدتر است و طی ان حمله کننده به منابع سیستم و دستگاها ا دسترسی پیدا میکند.

این دسترسی میتواند شامل اجرای برنامه ها بر روی سیستم و به کارگیری منابع ان در جهت اجرای دستورات حمله کننده باشد .

همچنین حمله کننده میتواند به تجهیزات شبکه مانند دوربین ها ، پرینترها و وسایل ذخیره سازی و یا استفاده از ابزارهایی جهت BRUTE FORCEدسترسی پیدا کند حمالت اسب تروا ها ،

تشخیص نقاط ضعف یک نرم افزار نصب شده بر روی سیستم از جمله نمونه های قابل ذکر از این نوع حمالت هستند

و دسترسی به شبکه انجام میشود شناسایی یا DOSفعالیت مهمی که معموال پیش از حمالت RECONNAISSANCE است . یک حمله کننده از این فاز جهت افتادن حفره های امنیتی و نقاط

ضعف شبکه استفاده میکند . این کار میتواند به کمک بعضی ابزارها اماده انجام پذیرد که به بررسی پورتها رایانه های موجود بر روی شبکه میپردازد و امادگی انها را جهت انجام حمالت

مختلف بر روی انها بررسی میکنند .

Page 14: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

انواع حمالت شبکه ای با توجه به حمله کننده

حمالت شبکه ای را میتوان با توجه به حمله کننده به چهار گروه تقسیم کرد :

این حمله یکی از – حمالت انجام شده توسط کاربر مورد اعتماد – داخلی - : 1مهمترین و خطرناکترین نوع حمالت است ، چون از یک طرف کاربر به منابع مختلف شبکه دسترسی دارد و از طرف دیگر سیاست های امنیتی معموال محدودیتهای کافی درباره این

کاربران اعمال نمیکنند .

این معمولترین – حمالت انجام شده توسط افراد غیر معتمد – خارجی - : 2نوع حمله است که یک کاربر خارجی که مورد اعتماد نیست شبکه را مورد حمله قرار می دهد .

این افراد معموال سخت ترین راه را در پیش دارند زیرا بیشتر سیاست های امنیتی درباره این افراد تنظیم شده اند .

بسیاری از ابزارهای حمله و – حمالت انجام شده توسط هکرهای بی تجربه : 3نفوز بر روی اینترنت وجود دارند . در واقع بسیاری از افراد میتوانند بدون تجربه خاصی و تنها با

اتفاده از ابزارهای اماده برای شبکه ایجاد مشکل کنند .

هکرهای باتجربه و حرفه ای در – حمالت انجام شده توسط کاربران مجرب : 4نوشتن انواع کدهای مخرب متبحرند . انها از شبکه و پروتکل های ان و همچنین از انواع سیستم های عمل اگاهی کامل دارند معموال این افراد ابزارهایی تولید میکنند که توسط گروه اول به کار

گرفته میشود انها معموال پیش از هر حمله اگاهی کافی درباره قربانی خود کسب میکنند . پردازش تشخیص نفوز – تا بحال با انواع حمالت اشنا شدیم . حاال باید چگونگی شناسایی 5

حمالت و جلوگیری از انها را بشناسیم .

Page 15: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

امروزه دو روش اصلی برای تشخیص نفوز به شبکه ها مورد استفاده قرار میگیرد :

ids مبتنی بر خالف قاعده اماری

ids مبتنی بر امضا یا تطبیق الگو

روش اول مبتنی بر تعیین استانه انواع فعالیت ها بر روی شبکه است مثال چند بار یک دستور اجرا میشود لذا در صورت بروز یک hostمشخص توسط یک کاربر در یک تماس با یک میزبان

نفوذ امکان تشخیص ان به علت خالف معمول بودن ان وجود دارد اما بسیاری از حمالت به گونه است که نمیتوان براحتی یا با کمک این روش انها را تشخیص داد .

مبتنی بر امضا یا idsدر واقع روشی که در بیشتر سیستمها تشخیص نفوذ به کار گرفته میشود تطبیق الگو است منظور از امضا مجموعه قواعدی است که یک حمله در حال انجام را تشخیص میدهد . دستگاهی که قرار است نفوذ را تشخیص دهد با مجموعه ای از قواعد بارگزاری میشود

هر امضا دارای اطالعاتی است که نشان میدهد در داده های در حال عبور باید به دنبال چه فعالیتهایی گشت . هرگاه ترافیک در حال عبور با الگوی موجود در امضا تطبیق کند ، پیغام اخطار

عالوه بر اگاه idsتولید میشود و مدیر شبکه را از وقوع یک نفوذ اگاه میکند در بسیاری از موارد کردن مدیر شبکه با کمک فایروال و انجام عملیات کنترول دسترسی با نفوذ بیشتر مقابله میکند .

Page 16: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

مقایسه تشخیص نفوذ و پیش گیری از نفوذ

ایده پیش گیری از نفوذ این است کخ تمام حمالت علیه هر بخش از محیط محافظت شده توسط روشهای به کار گرفته شده ناکام بماند . این روش میتوانند تمام بسته های شبکه را

بگیرد و نیت انها را مشخص کند – ایا هرکدام یک حمله هستند یا یک استفاده قانونی – سپس عمل مناسب را انجام دهند .

تفاوت شکلی تشخیص با پیش گیری

در ضاهر روشهای تشخیص نفوذ و پیشگیری از نفوذ رقیب هستند به هر حال انها لیست باالیی از عملکردهای مشابه مانند بررسی بسته داده تحلیل با توجه به حفظ وضعیت ، گرداوری بخش

ارزیابی پروتکل و تطبیق امضا دارند . اما این قابلیت ها به عنوان ابزاری برای ، tcpهای رسیدن به اهداف متفاوت و در این دو روش به کار گرفته میشود .

یا سیستم پیش گیری مانند یک محافظ امنیتی در مداخل ips intrusion prevention systemیک یک اجتماع اختصاصی عمل میکند که بر پایه بعضی گواهی ها و قوانین یا سیاست های از پپیش

تعیین شده اجازه عبور میدهد .

یا سیستم تشخیص مانند یک اتومبیل گشت زنی در میان ids intrusion detection systemیک اجتماع عمل میکند که فعالیت ها را به نمایش میگذارد و دنبال موقعیت های غیر عادی میگردد . بدون توجه به قدرت امنیت در مداخل گشت زنها به کار خود در سیستم ادامه میدهند و بررسی

های خود را انجام میدهند .

Page 17: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

تشخیص نفوذ هدف از تشخیص نفوذ بررسی و ارائه گزارش از فعالیت های شبکه است . این سیستم روی

بسته های داده که از ابزار کنترول دسترسی عبور کرده اند عمل میکند . به دلیل وجود محدویت های اطمینان پذیری تهدید های داخلی و وجود شک و تردید مورد نیاز پیش گیری از نفوز باید به

positive falseبعضی از موارد مشک.ک به حمله اجازه عبور میدهد تا احتمال تشخیص های غلط با هوشمندی همراه هستند و از تکنیک های مختلفی IDSکاهش یابد . از طرف دیگر روش ها

معموال به گونه ای از IDSبرای تشخیص حمالت بالقوه نفوز ها و سو استفاده بهره میگیرد یک پهنای باند استفاده میکند که میتواند بدون تاثیر گذاشتن روی معماری محاسباتی و شبکه های به

ان چیزی است که قدرت هدایت تحلیل هوشمند جریان IDSکار خود ادامه دهد طبیعت منفعل را در جایگاه خوبی برای تشخیص موارد زیر قرار IDSبسته های را ایجاد میکند همین امر

میدهد :.حمالت شناخته شده از طریق امظا ها و قوانین1.تغییرات در حجم و جهت ترافیک با ایتفاده از قواین پچیدده و تحلیل اماری2.تغییرات الگوی ترافیک ارتباطی با اتفاده از تحلیل جریان3.تشخیص فعالیت های غیر عادی با استفاده از تحلیل انحراف معیار4.تشخیص فعالیت مشکوک با استفاده از تکنیک های اماری تحلیل جریان و تشخیص خالف 5

قاعده

بعضی از حمالت تا در درجه ای از یقین بسختی قابل تشخیص هستند و بیشتر انها میتوانند توسط روش های که دارای طبیعت غیر قطغی هستند تشخیص داداه شوند . یعین این روش برای

تصمیم گیری مسدود سازی بر اساس سیاست مناسب نیستند

Page 18: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

DOSحمالت نوع از تهاجمی مورد سایت وب یک که باشید شنیده حاال تا از DOSشاید نوع این است گرفته قرار

حمالت . تشکیل باشد بعدی قربانی شما است ممکن و نبوده ها سایت وب متوجه صرفا حمالتDOS یک در عالئم برخی مشاهده با ولی است مشکل امری شبکه متداول عملیات طریق از

یافت اگاهی حمالت از نوع این پیشرفت میزان از میتوان کامپیوتر یا و شبکهنوع از DOS DENIAL – OF – SERVICEحمالت

نوع از تهاجم این و DOSدر اطالعات به و نشده تائید کاربران دستیابی ممانعت باعث مهاجم یکانها . ای شبکه اتصال و شما کامپیوتر دادن قرار هدف با مهاجم یک مینماید خاصی های سرویس یا

سلب باعث دارید را انها از استفاده قصد شما که هائی سایت از ای شبکه و ها کامپیوتر یا وهای سایت به شما ، ، EMAILدستیابی ها سایت سرویس ONLINEهای ACCOUNTوب سایر و

میگردد دهنده سرویس کامپیوترهای روی بر شده ارائه هایحمالت نوع ترین مشهور و ترین ایجاد DOSمتداول به اقدام مهاجم یک که مییگردد محقق زمانی

ادرس شما که زمانی نماید شبکه یک در اطالعاتی سیالب از URLیک را را خاص سایت وب یکسرویس . میگردد ارسال دهنده سرویس برای شما درخواست میکنید تایپ خود مرورگر طریق

یک اگر بنابراین میباشد ها درخواست از محدودی حجم به پاسخگویی به قادر لحظه هر در دهندهدهنده سرویس عملیات حجم افزایش باعث گونه سیالب و متعدد درخواستهای ارسال با مهاجم

فوق حمالت داشت نخواهد وجود دهنده سرویس برای شما درخواست پردازش امکان قطعا گرددنوع است DOSاز شده سلب نظر مورد سایت به شما دستیابی امکان چراکه میباشد

نام با انان از که ناخواسته الکترونیکی های پیام ارسال با میتواند مهاجم میشود SPAMیک یادهر . نماید الکترونیکی پست دهنده سرویس متوجه را مشابهی پست ACCOUNTحمالت

ارسال امکان عمال فوق ظرفیت تکمیل از پس میباشند محدودی ظرفیت دارای EMAILالترونیکیبه الکترونیکی . ACCOUNTدیگری های نامه ارسال با مهاجمان داشت نخواهد وجود فوق

ظرفیط که مینمایند سعی دریافت ACCOUNTناخواسته امکان عمال و تکمیل را نظر موردEMAIL معتبر میشود . ACCOUNTهای سلب فوق

Page 19: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

نوع ) از DDOS ( DISTRIBUTED DENIAL – OF – SERVICEحمالتنوع از تهاجم این کامپیوتر DDOSدر علیه بر تهاجم برای شما کامپیوتر از است ممکن تهاجم یک

روی . بر موجود امینتی ضعف یا و پذیر اسیپ نقاط از استفاده با مهاجمان نماید استفاده دیگریانجام منظور به ان از ادامه در و گرفته بدست را شما کامپیوتر کنترول میتواند شما سیستم

برای . شما کامپیوتر طریق از داداه باالئی بسیار حجم ارسال نماییند استفاده خود مخرب عملیاتهای ادرس برای ناخواسته الکترونیکی های نامه ارسال یا و سایت وب نمونه EMAILیک خاصی

تهاجم یک بروز در کامپیوتر همکارای از میباشد DDOSهائی شده توزیع فوق حمالت میباشدتهاجم یک اجرای منظور به کامپیوتر چندین از مهاجم مینمایند . DOSچراکه استفاده

حمالت از پیشگیری نحوهتهاجم یک مقابل در پیشگیری منظور به موثری روش یا DOSمتاسفانه ندارد DDOSو وجود

چنین بروز احتمال پیشگیری عملیات انجام و نکات برخی رعایت با میتوان فوق موضوع علیرغمداد ) ( . کاهش را ها کامپیوتر سایر علیه بر تهاجم برای شما کامپیوتر از استفاده حمالتی

ویروس انتی افزار نرم نگهداری و نصبفایروال یک پیکربندی و نصب

ادرس ارائه و توزیع خصوص در خاصی های سیاست مجموعه از دیگران EMAILتبعیت به خودحمالت وقوع از یا DOSچگونه ؟ DDOSو شویم اگاه

تهاجم یک بروز بدلیل همواره شبکه سیستم یک در اشکال بروز یا و این DOSخرابی در نمیباشدعملیات انجام منظور به شبکه مدیر یا و داشته وجود فنی متعددی دالیل است ممکن رابطه

باشد . کرده فعال غیر را ها سرویس برخی موقتا نگهدارینوع و از تهاجم یک بروز دهنده نشان میتواند زیر عالئم مشاهده یا و یا DOSجود و

DDOS : باشدبه ) دستیابی یا و ها فایل نمودن باز زمان در معمول غیر بطرز شبکه کارائی یا و سرعت کاهش

سایتها ( وبفنی ) ( دلیل بدون خاص سایت یک بودن دسترس در عدمفنی ) ( دلیل وجود بدون سایتی هر به دستیابی امکان عدم

دریافتی ناخواسته الکترونیکی های نامه حجم محسوس افزایش

Page 20: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

سرویس : پذیرش عدمنام به حمله از نوعی با قسمت چند طی تا داریم عبارت dosقصد مخفف که شویم denial ofاشنا

service . ها کامپیوتر به حمله معمول های روش در که همانطور میباشد سرویس پذیرش عدم یاکامپیوتر اندازه از بیش شدن مشغول یا کارافتادن از باعث حمله نوع این شد مختصری اشاره

حمالت این انجام محل امنیتی های حفره موارد بیشتر در شود استفاده قابل غیر که حدی تا میشودمیکند . جلوگیری حمله از امنیتی های وصله اخرین نصب لذا که است

حمله یک هدف شما کامپیوتر اینکه بر حمله dosعالوه در که است ممکن میگیرد علیه dosقرارباعث . استفاده بی و مورد بی ترافیک ایجاد با نفوزگران شود داده شرکت نیز دیگر سیستم یک

درگیر نوعی به یا مصرف شبکه باند پهنای و دهنده سرویس منابع از زیادی حجم که میشودزانو به را دهنده سرویس دستگاه که جایی تا تقاضا این و شود مورد بی تقاضاهای این به رسیدگی

حمالت . تاثیر و اولیه نیت میکند پیدا ادامه اورد منابع dosدر از صحیح استفاده از جلوگیریاست . منابع این بردن بین از و ای شبکه و کامپیوتری

گشته مصرف خرابکاری و نفوز علیه سازی ایمن برای که منابعی و تالش علیرغمحمالت نام به مداوم و واقعی تهدیدی با اینترنت به متصل های سیستم dosاست

است : اینترنت اساسی مشخصه دو بدلیل امر این هستند مواجههستند . شدنی مصرف و محدود نوعی به اینترنت دهنده تشکیل منابع

تشکیل محدود منابع از کامال میسازد را اینترنت که متصل بهم های شبکه و ها سیستم ساخت زیرهای . هدف و محدود همگی سازی ذخیره های ظرفیت و پردازش قدرت باند پهنای است شده

توجهی dosمعمول قابل مقدار کردن مصرف با میکنند سعی حمالت این انجام با مهاجمان هستندطراحی . درستی به که منابعی وفور میشود ها سرویس از میزانی قطع باعث دسترس در منابع از

حمله یک تاثیر میزان کاهش برای عاملی است ممکن اند شده استفاده های dosو شیوه اما باشدمیکند . ایجاد اختالل نیز منابع ترین فروان کارکرد در حتی حمله امروزی ابزار و

Page 21: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

عدم پذیرش سرویس – انواع حمالت

اشنا شدیم . از انجا که حمالت طغیان بسته های دیتا معموال تالش DOSدر قسمت قبلی با حمله میکنند منابع پهنای باند و پردازش را خلع سالح کنند ، میزان بسته ها و حجم دیتای متناظر با

رشته های بسته ها عواملی مهمی در تغیین درجه موفقیت حمله هستند .بعضی از ابزارهای حمله خواص بسته ها را در رشته بسته ها بدالیلی تغییر میدهند

:نامیده میشود IPمنبع نا صحیح روشی که جعل IPدر بعضی موارد یک ادرس منبع – IPادرس

هنگامی IPبرای پنهان کردن منبع واقعی یک رشته بسته استفاده میشود در موارد دیگر جعل استفاده میشود که رشته های بسته به یک یا تعداد بیشتری از سایت های واسطه فرستاده

میشود تا باعث شود که پاسخ ها به سمت قربانی ارسال شود . مثال بعدی در مورد حمالت SMURF , FRAGGLEافزایش بسته است مانند

گاهی اوقات پورت منبع و TCP , UDPپورتهای منبع / مقصد – ابزار حمله طغیان بسته بر اساس یا مقصد را تغییر میدهند تا واکنشی توسط فیلتر کردن بسته را مشکل تر کنند .

مشاهده کرده ایم که برای مقدار DOSدر نهایت در ابزار حمله دیگر – IP HEADERمقادیر IPهر بسته در رشته بسته طراحی شده اند که تنها ادرس HEADERدهی تصادفی مقادیر

مقصد است که بین بسته ها ثابت میماند .با TCP/IPبسته ها با خواص ساختگی بسادگی در صوال شبکه تولید و ارسال میشود . پروتکل

اسانی مکانیزم های برای تضمین پیوستگی خواص بسته ها در هنگام تولید و یا ارسال نقطه به نقطه بسته ها ارائه نمیکند . معموال یک نفوذگر فقط به داشتن اختیار کافی روی سیستم برای بکار گیری ابزار و حمالتی که قادر به تولید و ارسال بسته های با خواص تغییر یافته باشند نیاز

بود . DDOSبا چندین منبع یا DOS اغاز بکار گیری ابزار 1999دارد . ژوئن

Page 22: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

DOSروش های حمله Fraggle or Smurf

حمله بر اساس SMURFهستند . در حمله DOSیکی از مخرب ترین حمالت SMURFحمالت به یک ادرس ناحیه میفرستد . )ICMP )PINGنفوزگر یک تقاضای اکوی ICMPازدیاد بسته های

قربانی بعنوان ادرس برگشت IPقربانی است ) از ادرس IPادرس منبع تقاضای اکو ادرس استفاده میشود ( بعد از دریافت تقاضای اکو تمام ماشین های ناحیه پاسخ های اکو را به ادرس

IP قربانی میفرستد . در این حالت قربانی هنگام دریافت طغیان بسته های با اندازه بزرگ ازتعداد زیادی ماشین از کار خواهد افتاد .

برای ازکار انداختن منابع شبکه سیستم قربانی ازروش مصرف پهنای باند SMURFحمله استفاده میکند . این حمله این عمل را با استفاده از تقویت پهنای باند نفوزگران انجام میدهد .

برابر شود و بنابراین حمله کننده 100 ماشین دارد سیگنال میتواند 100اگر شبکه تقویت کننده کیلوبایتی ( میتواند سیستم قربانی را با پهنای باند بیشتری 56با پهنای باند پایین ) مانند مودم

از کار بندازد . T1مانند اتصال دارد . حمله SMURFدر حقیقت شباهت هایی به حمله UDPتقویت بسته FRAGGLEحمله

FRAGGLE از بسته های اکویUDF بر طبق همان روش بسته های اکویICMP در حملهSMURF . استفاده میکندFRAGGLE معموال به ضریب تقویت کمتری نسبت بهSMURF میرد و

است بنابراین ICMPسرویسی با اهمیت کمتری نسبت به اکوی UDPدر بیشتر شبکه های اکوی FRAGGLE عمومیتSMURF . را ندارد

Page 23: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

SYN Flood بشمار DOSبعنوان مخرب ترین شیوه حمله SMURFقبل از کشف حمله SYNحمله طغیان

بر اساس قحطی منابع عمل میکند . DOSمیرفت . این روش برای ایجاد حمله به سرویس دهنده SYNسرویس گیرنده یک تقاضای TCPدر طول برقراری یک ارتباط معمولی

نهایی ACKبا کالینت پاسخ میدهد در نهایت کالینت یک ACK/SYNمیفرستد سپس سرور با یک حمله SYNرا به سرور ارسال میکند و این ترتیب ارتباط برقرار میشود .اما در حمله ظغیان

به سرور قربانی با ادرس های منبع جعلی بعنوان ادرس برگشت SYNکننده چند تقاضای به ادرس ACK/SYNمیفرستد . ادرس های جعلی روی شبکه وجود ندارد سرور قربانی سپس با

را دریافت نمیکند سرور ACK/SYNهای ناموجود پاسخ میدهد . از انجا که هیچ ادرسی این هرگز نمیرسد و زمان انتظار سرور قربانی پس ACKاز طرفکالینت میماند . ACKقربانی منتظر

بفرستد منابع SYNاز مدتی پایان میرسد . اگر حمله کننده به اندازه کافی مرتب تقاضاهای های در حقیقت تقلبی ACKموجود سرور قربانی برای برقراری یک اتصال و انتظار برای این

جعلی SYNمصرف خواهد شد . این منابع معموال از نظر تعداد زیاد نیست . بنابر این تقاضاهای شوند DOSحتی با تعداد نسبتا کم میتواند باعث وقوع یک حمله

DOSحمالت حمله کنندگان میتوانند بطور موثری )BIND )Berkely Internet Name Domainدر نسخه اولیه

را که در حال استفاده از عملیات بازگشت برای جستجوی یک ناحیه DNSحافظه نهان یک سرور بود که توسط این سرور سرویس داده نمیشود مسموم کنند . زمانی که حافظه نهان مسموم

میشود یک کاربر قانونی به سمت شبکه مورد نظر حمله کننده با یک شبکه نا موجود هدایت برطرف شده است . در این روش حمله کننده BINDمیشود . این مشکل با نسخه های جدیدتر

غلط که میتواند باعث تغییر مسیر درخواست ها شود ارسال میکند . DNSاطالعات اطالعات DDOSحمالت میباشد در اصل dosحمله گسترده ای از ) DDOS )Distributed Denial Of Serviceحمالت DdOS حمله هماهنگ شده ای بر علیه سرویس موجود در اینترنت است . در این روش حمالت

Dos بطور غیر مستقیم از طریق تعداد زیادی از کامپیوتر های هک شده بر روی سیستم قربانیانجام میگیرد . سرویس ها و منابع مورد حمله قربانی اولیه و کامپیوتر های مورد استفاده در این

عموما در از کار انداختن سایت های DDOSحمله قربانی های ثانویه نامیده میشود حمالت موثر تر هستند DOSکمپانی های عظیم از حمالت

Page 24: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

DDoSانواع حمالت

تقسيم مي TFN/TFN2K ،Trinooو Stecheldrahtبه سه گروه DDoSعموماf حمالت شوند

Trinoo در اصل از برنامه هايMaster/Slave است که با يکديگر براي يک حمله طغيانUDP برعليه کامپيوتر قرباني هماهنگ مي شوند. در يک روند عادي، مراحل زير براي برقراري يک شبکه

Trinoo DDoS :واقع مي شوند حمله کننده، با استفاده از يک ميزبان هک شده، ليستي از سيستم هايي را که مي :۱مرحله

توانند هک شوند، گردآوري مي کند. بيشتر اين پروسه بصورت خودکار از طريق ميزبان هک شده انجام مي گيرد. اين ميزبان اطالعاتي شامل نحوه يافتن ساير ميزبان ها براي هک در خود

نگهداري مي کند. به محض اينکه اين ليست آماده شد، اسکريپت ها براي هک کردن و تبديل آنها به :۲مرحله اجراء مي شوند. يک ارباب مي تواند چند شيطان را ( Daemonsيا شياطين )( Mastersاربابان )

اصلي را روي ماشين قرباني UDPکنترل کند. شياطين ميزبانان هک شده اي هستند که طغيان انجام مي دهند.

ارسال مي کند، Masterهنگامي که حمله کننده فرماني به ميزبانان DDoS حمله :۳مرحله IPرا عليه آدرس DoSانجام مي گيرد. اين اربابان به هر شيطاني دستور مي دهند که حمله

شکل میگیرد ddosيک حمله DoSمشخص شده در فرمان آغاز کنند و با انجام تعداد زيادي حمله .

Page 25: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

TFN/TFN2K

Tribal Flood Network( TFN ) يا شبکه طغيان قبيله اي، مانندTrinoo در اصل يک حملهMaster/Slave است که در آن براي طغيانSYN عليه سيستم قرباني هماهنگي صورت ميو SYNطغيان ICMPقادر به انجام حمالت بسيار متنوع تري شامل طغيان TFNگيرد. شياطين

پيچيده تر است. Trinooاز حمله TFNهستند، بنابراين Smurfحمالت TFN2K نسبت به ابزارTFN اصلي چندين برتري و پيشرفت دارد. حمالتTFN2K با استفاده از

اجرا مي شوند که باعث کشف مشکل تر منبع حمله مي شود. IPجعل آدرس هاي نيستند. TFNفقط طغيان ساده مانند TFN2Kحمالت

آنها همچنين شامل حمالتي مي شوند که از شکاف هاي امنيتي سيستم عامل ها براي بسته هاي نامعتبر

و ناقص سوءاستفاده مي کنند تا به اين ترتيب باعث از کار افتادن سيستم هاي قرباني شوند. ديگر نيازي به اجراي فرمان ها با وارد شدن به ماشين هاي مخدوم TFN2Kحمله کنندگان

(Client ( ) به جایMaster , TFN ) .ندارند و مي توانند اين فرمان ها را از راه دور اجراء کنندمحدود نمي شود و مي تواند ICMPها ديگر به پاسخ هاي اکوي Daemonها و Clientارتباط بين

خطرناک تر و همچنين TFN2Kصورت گيرد. بنابراين TCP , UDPروي واسط هاي مختلفي مانند براي کشف کردن مشکل تر است

Stacheldraht اجازه مي دهد که Stacheldrahtاست، اما Trinooو TFNبسيار شبيه به Stacheldrahtکد

ناميده مي شوند( رمزنگاري Handlerها )که در اين حمله Masterارتباط بين حمله کننده و شود؛ عامل ها مي توانند کد خود را بصورت خودکار ارتقاء دهند، مي توانند اقدام به انواع

کنند SYNو طغیان های UDPطغيان هاي ICMPمختلفي از حمالت مانند طغيان هاي

Page 26: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

Smurfيا Fraggleدفاع عليه حمالت قرار گرفته باشيد، کار چنداني از شما ساخته نيست. هرچند که اين Smurfاگر در معرض حمله

امکان وجود دارد که بسته هاي مهاجم را در روتر خارجي مسدود کنيد، اما پهناي باند منشاء آن روتر مسدود خواهد شد. براي اينکه فراهم کننده شبکه باالسري شما، حمالت را در مبداء مله

مسدود کند، به هماهنگي نياز است. بمنظور جلوگيري از آغاز حمله از سايت خودتان، روتر خارجي را طوري پيکربندي کنيد که تمام

بسته هاي خارج شونده را که آدرس مبداء متناقض با زيرشبکه شما دارند، مسدود کند. اگر بسته جعل شده نتواند خارج شود، نمي تواند آسيب چنداني برساند.

شخص ديگر، روتر خود DoSبراي جلوگيري از قرار گرفتن بعنوان يک واسطه و شرکت در حمله را طوري پيکربندي کنيد که بسته هايي را که مقصدشان تمام آدرس هاي شبکه شماست، مسدود

منتشر شده به شبکه خود، اجازه عبور از روتر ندهيد. ICMPکند. يعني، به بسته هاي به تمام سيستم هاي موجود در شبکه خود pingاين عمل به شما اجازه مي دهد که توانايي انجام

� نگران هستيد، را حفظ کنيد، در حاليکه اجازه اين عمل را از يک سيستم بيروني بگيريد. اگر واقعا� ICMPمي توانيد سيستم هاي ميزبان خود را طوري پيکربندي کنيد که از انتشارهاي کامال

جلوگيري کنند SYNدفاع عليه حمالت طغيان

بالک هاي کوچک � اشکال در بجاي تخصيص يک شيء از نوع ارتباط کامل )که باعث اشغال فضاي زياد و نهايتا

تخصيص دهيد. پياده سازي هاي جديدتر ( micro-recordحافظه مي شود(، يک رکورد کوچک ) بايت تخصيص مي دهد ۱۶هاي ورودي ، تنها SYNبراي

Page 27: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

SYNکوکي هاي هر طرف SYNاست. در کوکي هاي ( SYNکوکي هاي SYNيک دفاع جديد عليه طغيان )

سيستم مورد SYNخودش را دارد. در پاسخ به يک ( Sequence Numberارتباط، شماره توالي )حمله واقع شده، يک شماره توالي مخصوص از ارتباط ايجاد مي کند که يک » کوکي « است و سپس همه چيز را فراموش مي کند يا بعبارتي از حافظه خارج مي کند )کوکي بعنوان مشخص کننده يکتاي يک تبادل يا مذاکره استفاده مي شود(. کوکي در مورد ارتباط اطالعات الزم را در

بردارد، بنابراين بعد�ا مي تواند هنگامي که بسته ها از يک ارتباط سالم مي آيند، مجدد�ا اطالعات فراموش شده در مورد ارتباط را ايجاد کند.

RSTکوکي هاي که پشت 98است، اما ممکن است با سيستم عامل هاي ويندوز SYNجايگزيني براي کوکي هاي

ACK/SYNفايروال قرار دارند، مشکل ايجاد کند. روش مذکور به اين ترتيب است که سرور يک اشتباه به کالينت ارسال مي کند.

کالينت RSTتوليد کند تا به سرور بگويد که چيزي اشتباه است. در RSTکالينت بايد يک بسته بايد يک بسته اين نگام، سرور مي فهمد که کالينت معتبر است و ارتباط ورودي از آن کالينت را

بطور طبيعي خواهد پذيرفت . مي توانند دستکاري SYNبمنظور کاستن از تأثير طغيان هاي TCPهاي ( stackپشته هاي )

قبل از اين است که پشته، فضاي ( timeoutشوند. معمول ترين مثال کاستن زمان انقضاء )تخصيص داده شده به يک ارتباط را آزاد کند. تکنيک ديگر قطع بعضي از ارتباطات بصورت

انتخابي است.

Page 28: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

DNSدفاع عليه حمالت (root serverدفاع از سرور اصلي )

پايگاه داده سرور اصلي کوچک است و بندرت تغيير مي کند. يک کپي کامل از پايگاه داده اصلي تهيه کنيد، روزي يک بار آپديت ها را چک کنيد و گاه و بيگاه بارگذاري هاي مجدد انجام دهيد. از

استفاده کنيد )اين عمل باعث مي شود که anycastسرورهاي اصلي با استفاده از آدرس هاي سيستم ها در شبکه هاي با موقعيت هاي مختلف بعنوان يک سرور بنظر برسند.(

دفاع از سازمان تانبراي کاربران داخلي DNSاگر سازمان شما يک اينترانت دارد، بايد دسترسي هاي جداگانه اي از

داخلي را از حمالت خارجي در امان نگاه مي DNSو مشتريان خارجي خود فراهم کنيد. اين عمل آتي روي قسمت هاي اصلي DDoSدارد. ناحيه اصلي را کپي کنيد تا سازمان خود را از حمالت

از شرکاي تجاري خود که در خارج از DNSمحفوظ نگه داريد. همچنين به کپي کردن نواحي به روي اينترنت مي روند، DNSشبکه شما قرار دارند، توجه کنيد. هنگامي که بروز رسان هاي

transactionها ) TSIGمي توانند در هنگام انتقال مورد ربايش و دستکاري قرار گيرند. از signature ) يا امضاهاي معامالتي براي امضاي آن ها يا ارسال بروز رسان ها رويv p n( شبکه

هاي خصوصي مجازي( يا ساير کانال ها استفاده کنيد.DDoSمقابله با حمالت

چگونه مي توانيد از سرورهاي خود در مقابل يورش ديتاهاي ارسالي از طرف کامپيوترهاي آلوده موجود در اينترنت مراقبت کنيد تا شبکه شرکت شما مختل نشود؟ در اينجا به چند روش بطور

مختصر اشاره مي شود:سياه چاله

اين روش تمام ترافيک را مسدود مي کند و به سمت سياه چاله! يعني جايي که بسته ها دور ريخته مي شود هدايت مي کند. اشکال در اين است که تمام ترافيک – چه خوب و چه بد- دور

قابل استفاده خواهد off-lineريخته مي شود و در حقيقت شبکه مورد نظر صورت يک سيستم بود. در روش هاي اينچنين حتي اجازه دسترسي به کاربران قانوني نيز داده نمي شود.

مسيرياب ها و فايروال هابا فيلترکردن پروتکل هاي pingروتر ها مي توانند طوري پيکربندي شوند که از حمالت ساده

نامعتبر را نيز متوقف کنند. بهرحال، روترها IPغيرضروري جلوگيري کنند و مي توانند آدرس هاي � در مقابل حمله جعل شده پيچيده تر و حمالت در سطح با استفاده از آدرس Applicationمعموال

معتبر، بي تأثير هستند IPهاي

Page 29: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

سيستم هاي کشف نفوذ توانايي هايي ايجاد مي کند ( intrusion detection systemsروش هاي سيستم هاي کشف نفوذ )

که باعث تشخيص استفاده از پروتکل هاي معتبر بعنوان ابزار حمله مي شود. اين سيستمها مي توانند بهمراه فايروال ها بکار روند تا بتوانند بصورت خودکار در مواقع لزوم ترافيک را مسدود

کنند. در بعضي مواقع سيستم تشخيص نفوذ نياز به تنظيم توسط افراد خبره امنيتي دارد و البته گاهي در تشخيص نفوذ دچار اشتباه مي شود.

سرورهاتأثير DDoSهاي سرويس دهنده در به حداقل رساندن تأثير حمله applicationپيکربندي مناسب

از چه applicationبسيار مهمي دارند. يک سرپرست شبکه مي تواند بوضوح مشخص کند که يک منابعي مي تواند استفاده کند و چگونه به تقاضاهاي کالينت ها پاسخ دهد. سرورهاي بهينه سازي

شده، در ترکيب با ابزار تخفيف دهنده، مي توانند هنوز شانس ادامه ارائه سرويس را در هنگامي قرار مي گيرند، داشته باشند. DDoSکه مورد حمله

DDoSابزار تخفيف چندين شرکت ابزارهايي توليد مي کنند که براي ضدعفوني ! کردن ترافيک يا تخفيف حمالت

DDoS بيشتر براي متعادل کردن بار شبکه يا فايروالينگ � استفاده مي شوند که اين ابزار قبالاستفاده مي شد. اين ابزارها سطوح مختلفي از ميزان تأثير دارند. هيچکدام کامل نيستند. بعضي

ترافيک قانوني را نيز متوقف مي کنند و بعضي ترافيک غيرقانوني نيز اجازه ورود به سرور پيدا مي کنند. زيرساخت سرور هنوز بايد مقاوم تر شود تا در تشخيص ترافيک درست از نادرست بهتر

عمل کند.پهناي باند زياد

خريد يا تهيه پهناي باند زياد يا شبکه هاي افزونه براي سروکار داشتن با مواقعي که ترافيک شدت مؤثر باشد DDoSمي يابد، مي تواند براي مقابله با

�، شرکت ها از قبل نمي دانند که يک حمله بوقوع خواهد پيوست. طبيعت يک حمله DDoSعموماگاهي در ميان کار تغيير مي کند و به اين نياز دارد که شرکت بسرعت و بطور پيوسته در طي

چند ساعت يا روز، واکنش نشان دهد. از آنجا که تأثير اوليه بيشتر حمالت، مصرف کردن پهناي باند شبکه شماست، يک ارائه کننده سرويس هاي ميزبان روي اينترنت که بدرستي مديريت و تجهيز شده باشد، هم پهناي باند مناسب و هم ابزار الزم را در اختيار دارد تا بتواند تأثيرات يک

حمله را تخفيف دهد.

Page 30: مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

Title

• Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Vivamus et magna. Fusce sed sem sed magna suscipit egestas.

• Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Vivamus et magna. Fusce sed sem sed magna suscipit egestas.