حملات از نوع DoS
هدف از حملات DoS ، ايجاد اختلال در منابع و يا سرويس هائي است که کاربران قصد دستيابي و استفاده از آنان را دارند ( از کار انداختن سرويس ها ) . مهمترين هدف اين نوع از حملات ، سلب دستيابي کاربران به يک منبع خاص است . در اين نوع حملات، مهاجمان با بکارگيري روش هاي متعددي تلاش مي نمايند که کاربران مجاز را به منظور دستيابي و استفاده از يک سرويس خاص ، دچار مشکل نموده و بنوعي در مجموعه سرويس هائي که يک شبکه ارائه مي نمايد ، اختلال ايجاد نمايند . تلاش در جهت ايجاد ترافيک کاذب در شبکه ، اختلال در ارتباط بين دو ماشين ، ممانعت کاربران مجاز به منظور دستيابي به يک سرويس ، ايجاد اختلال در سرويس ها ، نمونه هائي از ساير اهدافي است که مهاجمان دنبال مي نمايند . در برخي موارد و به منظور انجام حملات گسترده از حملات DoS به عنوان نقطه شروع و يک عنصر جانبي استفاده شده تا بستر لازم براي تهاجم اصلي ، فراهم گردد . استفاده صحيح و قانوني از برخي منابع نيز ممکن است ، تهاجمي از نوع DoS را به دنبال داشته باشد . مثلا" يک مهاجم مي تواند از يک سايت FTP که مجوز دستيابي به آن به صورت anonymous مي باشد ، به منظور ذخيره نسخه هائي از نرم افزارهاي غيرقانوني ، استفاده از فضاي ذخيره سازي ديسک و يا ايجاد ترافيک کاذب در شبکه استفاده نمايد . اين نوع از حملات مي تواند غيرفعال شدن کامپيوتر و يا شبکه مورد نظر را به دنبال داشته باشد . حملات فوق با محوريت و تاکيد بر نقش و عمليات مربوط به هر يک از پروتکل هاي شبکه و بدون نياز به اخذ تائيديه و يا مجوزهاي لازم ، صورت مي پذيرد . براي انجام اين نوع حملات از ابزارهاي متعددي استفاده مي شود که با کمي حوصله و جستجو در اينترنت مي توان به آنان دستيابي پيدا کرد . مديران شبکه هاي کامپيوتري مي توانند از اين نوع ابزارها ، به منظور تست ارتباط ايجاد شده و اشکال زدائي شبکه استفاده نمايند . حملات DoS تاکنون با اشکال متفاوتي ، محقق شده اند . در ادامه با برخي از آنان آشنا مي شويم .

• Smurf/smurfing : اين نوع حملات مبتني بر تابع Reply  پروتکل  Internet Control Message Protocol) ICMP)  ،بوده و بيشتر با نام  ping شناخته شده مي باشند .( Ping ، ابزاري است که پس از فعال شدن از طريق خط دستور ، تابع Reply  پروتکل ICMP را فرامي خواند) .  در اين نوع حملات ، مهاجم اقدام به ارسال بسته هاي اطلاعاتي Ping به آدرس هاي Broadcast شبکه نموده که در آنان آدرس مبداء هر يک از بسته هاي اطلاعاتي Ping شده با آدرس کامپيوتر قرباني ، جايگزين مي گردد .بدين ترتيب يک ترافيک کاذب در شبکه ايجاد و امکان استفاده از منابع شبکه با اختلال مواجه مي گردد.

• Fraggle : اين نوع از حملات شباهت زيادي با حملات از نوع  Smurf داشته و تنها تفاوت موجود به استفاده از User Datagram Protocol ) UDP) در مقابل ICMP ، برمي گردد . در حملات فوق ، مهاجمان  اقدام به ارسال بسته هاي اطلاعاتي UDP به آدرس هاي Broadcast  ( مشابه تهاجم  Smurf  ) مي نمايند . اين نوع از بسته هاي اطلاعاتي UDP به مقصد پورت 7 ( echo ) و يا پورت 19 ( Chargen ) ، هدايت مي گردند.

• Ping flood : در اين نوع تهاجم ، با ارسال مستقيم درخواست هاي Ping به کامپيوتر فرباني ، سعي مي گردد که  سرويس ها  بلاک  و يا فعاليت آنان کاهش يابد. در يک نوع خاص از تهاجم فوق که به ping of death ، معروف است ، اندازه بسته هاي اطلاعاتي به حدي زياد مي شود که سيستم ( کامپيوتر قرباني ) ، قادر به برخورد مناسب با اينچنين بسته هاي اطلاعاتي نخواهد بود .

• SYN flood : در اين نوع تهاجم از مزاياي three-way handshake  مربوط به TCP استفاده مي گردد . سيستم مبداء اقدام به ارسال  مجموعه اي  گسترده از درخواست هاي synchronization ) SYN)  نموده بدون اين که acknowledgment ) ACK) نهائي  آنان را ارسال نمايد. بدين ترتيب half-open TCP sessions (ارتباطات نيمه فعال ) ، ايجاد مي گردد . با توجه به اين که پشته TCP ، قبل از reset نمودن پورت ، در انتظار باقي خواهد ماند ، تهاجم فوق ، سرريز بافر اتصال کامپيوتر مقصد را به دنبال داشته و عملا" امکان ايجاد ارتباط وي با سرويس گيرندگان معتبر ، غير ممکن مي گردد .

•  Land : تهاجم فوق، تاکنون در نسخه هاي متفاوتي از سيستم هاي عامل ويندوز ، يونيکس ، مکينتاش و IOS سيسکو،مشاهده شده است . در اين نوع حملات ، مهاجمان اقدام به ارسال يک بسته اطلاعاتي TCP/IP synchronization ) SYN) که داراي آدرس هاي مبداء و مقصد يکسان به همراه  پورت هاي مبداء و مقصد مشابه مي باشد ، براي سيستم هاي هدف  مي نمايند . بدين ترتيب سيستم قرباني، قادر به پاسخگوئي مناسب بسته اطلاعاتي نخواهد بود .

• Teardrop : در اين نوع حملات از يکي از خصلت هاي UDP در پشته TCP/IP برخي سيستم هاي عامل ( TCPپياده سازي شده در يک سيستم عامل ) ، استفاده مي گردد. در حملات  فوق ، مهاجمان اقدام به ارسال بسته هاي اطلاعاتي fragmented براي سيستم هدف با مقادير افست فرد در دنباله اي از بسته هاي اطلاعاتي مي نمايند . زماني که سيستم عامل سعي در بازسازي بسته هاي اطلاعاتي اوليه  fragmented مي نمايد،  قطعات ارسال شده بر روي يکديگر بازنويسي شده و اختلال سيستم را به دنبال خواهد داشت . با توجه به عدم برخورد مناسب با مشکل فوق در برخي از سيستم هاي عامل ، سيستم هدف ، Crash و يا راه اندازي مجدد مي گردد .

•  Bonk : اين نوع از حملات بيشتر متوجه ماشين هائي است که از سيستم عامل ويندوز استفاده مي نمايند . در حملات فوق ، مهاجمان اقدام به ارسال  بسته هاي اطلاعاتي UDP  مخدوش به مقصد  پورت 53 DNS ، مي نمايند  بدين ترتيب در عملکرد سيستم  اختلال ايجاد شده و سيستم  Crash مي نمايد .

• Boink : اين نوع از حملات مشابه تهاجمات  Bonk مي باشند. با اين تفاوت که در مقابل استفاده از  پورت 53 ، چندين پورت ، هدف قرارمي گيرد .

متداولترين  پورت هاي استفاده شده در حملات DoS

يکي ديگر از حملات DoS ، نوع خاص و در عين حال ساده اي از يک حمله DoS مي باشد که با نام Distributed DoS ) DDoS) ، شناخته  مي شود .در اين رابطه مي توان از نرم افزارهاي  متعددي  به منظور انجام اين نوع حملات و از درون يک شبکه ، استفاده بعمل آورد. کاربران ناراضي و يا افرادي که داراي سوء نيت مي باشند، مي توانند بدون هيچگونه تاثيري از دنياي خارج از شيکه سازمان خود ، اقدام به ازکارانداختن سرويس ها در شبکه نمايند. در چنين حملاتي ، مهاجمان نرم افزاري خاص و موسوم به  Zombie  را توزيع  مي نمايند . اين نوع نرم افزارها به مهاجمان اجازه خواهد داد که تمام و يا بخشي از سيستم کامپيوتري آلوده را تحت کنترل خود درآورند. مهاجمان پس از آسيب اوليه به سيستم هدف  با استفاده از نرم افزار نصب شده Zombie ، تهاجم نهائي خود را با بکارگيري مجموعه اي  وسيع از ميزبانان انجام خواهند داد.  ماهيت و نحوه انجام اين نوع از حملات ، مشابه يک تهاجم استاندارد DoS بوده ولي  قدرت تخريب و آسيبي که مهاجمان متوجه سيستم هاي آلوده مي نمايند ، متاثر از مجموع ماشين هائي ( Zombie )  است که تحت کنترل مهاجمان  قرار گرفته شده است .
به منظور حفاظت شبکه ، مي توان فيلترهائي را بر روي روترهاي خارجي شبکه به منظور دورانداختن بسته هاي اطلاعاتي مشمول حملات  DoS ، پيکربندي نمود .در چنين مواردي مي بايست از فيلتري ديگر که امکان مشاهده ترافيک (مبداء از طريق اينترنت)  و يک آدرس داخلي شبکه را فراهم مي نمايد ، نيز استفاده گردد .

حملات از نوع Back door
Back door ، برنامه اي است که امکان دستيابي به يک سيستم را بدون بررسي و کنترل امنيتي ، فراهم مي نمايد . برنامه نويسان معمولا" چنين پتانسيل هائي  را در برنامه ها پيش بيني تا امکان اشکال زدائي و ويرايش کدهاي نوشته شده در زمان تست بکارگيري نرم افزار ، فراهم گردد. با توجه به اين که تعداد زيادي از امکانات فوق ، مستند نمي گردند ، پس از اتمام مرحله تست به همان وضعيت باقي مانده و تهديدات امنيتي متعددي را به دنبال خواهند داشت .
برخي از متداولترين نرم افزارها ئي که از آنان به عنوان back door استفاده مي گردد ، عبارتند از :

• Back Orifice : برنامه فوق يک ابزار مديريت از راه دور مي باشد که به مديران سيستم امکان کنترل يک کامپيوتر را از راه دور ( مثلا" از  طريق اينترنت ) ، خواهد داد. نرم افزار فوق ، ابزاري  خطرناک است که  توسط گروهي با نام Cult of the Dead Cow Communications ، ايجاد شده است . اين نرم افزار داراي دو بخش مجزا مي باشد : يک بخش سرويس گيرنده و يک بخش سرويس دهنده . بخش سرويس گيرنده بر روي يک ماشين اجراء و زمينه مانيتور نمودن و کنترل يک ماشين ديگر که بر روي آن بخش سرويس دهنده اجراء شده است را فراهم مي نمايد .

• NetBus : اين برنامه نيز نظير Back Orifice ، امکان دستيابي و کنترل از راه دور يک ماشين از طريق اينترنت را فراهم مي نمايد.. برنامه فوق تحت سيستم عامل ويندوز ( نسخه هاي متفاوت از NT تا 95 و 98 ) ، اجراء و از دو بخش جداگانه تشکيل شده است :  بخش  سرويس دهنده ( بخشي که بر روي کامپيوتر قرباني مستقر خواهد شد ) و  بخش سرويس گيرنده ( برنامه اي که مسوليت يافتن و کنترل سرويس دهنده را برعهده دارد ) . برنامه فوق ، به حريم خصوصي کاربران در زمان اتصال به اينترنت ، تجاوز و تهديدات امنيتي متعددي را به دنبال خواهد داشت . 

• Sub7) SubSeven) ،  اين برنامه برنامه نيز تحت ويندوز اجراء شده  و داراي عملکردي مشابه Back Orifice و NetBus مي باشد . پس از فعال شدن برنامه فوق بر روي سيستم هدف و اتصال به اينترنت ،هر شخصي که داراي نرم افزار سرويس گيرنده باشد ، قادر به دستيابي نامحدود به سيستم خواهد بود .

نرم افزارهاي Back Orifice ، NetBus,  Sub7 داراي دو بخش ضروري سرويس دهنده و سرويس گيرنده، مي باشند . سرويس دهنده بر روي ماشين آلوده مستقر شده و از بخش سرويس گيرنده به منظور کنترل از راه دور سرويس دهنده ، استفاده مي گردد.به نرم افزارهاي فوق ، " سرويس دهندگان غيرقانوني "  گفته مي شود .
برخي از نرم افزارها از اعتبار بالائي برخوردار بوده ولي ممکن است توسط کاربراني که اهداف مخربي دارند ، مورد استفاده قرار گيرند :

• Virtual Network Computing)VNC) : نرم افزار فوق توسط آزمايشگاه AT&T و با هدف کنترل از راه دور يک سيستم ، ارائه شده است . با استفاده از برنامه فوق ، امکان مشاهده محيط Desktop از هر مکاني نظير اينترنت ، فراهم مي گردد . يکي از ويژگي هاي جالب اين نرم افزار ، حمايت گسترده از معماري هاي متفاوت است .

• PCAnywhere : نرم افزار فوق توسط شرکت Symantec ، با هدف کنترل از راه دور يک سيستم با لحاظ نمودن فن آوري رمزنگاري و تائيد اعتبار ، ارائه شده است . با توجه به سهولت استفاده از نرم افزار فوق ، شرکت ها و موسسات فراواني در حال حاضر از آن و به منظور دستيابي به يک سيستم از راه دور استفاده مي نمايند .

• Terminal Services : نرم افزار فوق توسط شرکت مايکروسافت و به همراه سيستم عامل ويندوز و به منظور کنترل از راه دور يک سيستم ، ارائه شده است .

همانند ساير نرم افزارهاي کاربردي ، نرم افزارهاي فوق را مي توان هم در جهت اهداف مثبت و هم در جهت اهداف مخرب بکارگرفت.
بهترين روش به منظور پيشگيري از حملات  Back doors ، آموزش کاربران و مانيتورينگ عملکرد هر يک از نرم افزارهاي موجود مي باشد. به کاربران مي بايست آموزش داده شود که صرفا" از منابع و سايت هاي مطمئن اقدام به دريافت و نصب نرم افزار بر روي سيستم خود نمايند . نصب و استفاده از برنامه هاي آنتي ويروس مي تواند کمک قابل توجهي در بلاک نمودن عملکرد اينچنين نرم افزارهائي ( نظير : Back Orifice, NetBus, and Sub7 ) را به دنبال داشته باشد . برنامه هاي آنتي ويروس مي بايست به صورت مستمر بهنگام شده تا امکان شناسائي نرم افزارهاي جديد ، فراهم گردد .

در بخش سوم اين مقاله به بررسي ساير حملات ، خواهيم پرداخت .

برگرفته از سايت سخا روش