Dos ,back door چیستند؟

[azim]

هدف از حملات DoS ، ايجاد اختلال در منابع و يا سرويس هائی است که کاربران قصد دستيابی و استفاده از آنان را دارند ( از کار انداختن سرويس ها ) . مهمترين هدف اين نوع از حملات ، سلب دستيابی کاربران به يک منبع خاص است . در اين نوع حملات، مهاجمان با بکارگيری روش های متعددی تلاش می نمايند که کاربران مجاز را به منظور دستيابی و استفاده از يک سرويس خاص ، دچار مشکل نموده و بنوعی در مجموعه سرويس هائی که يک شبکه ارائه می نمايد ، اختلال ايجاد نمايند . تلاش در جهت ايجاد ترافيک کاذب در شبکه ، اختلال در ارتباط بين دو ماشين ، ممانعت کاربران مجاز به منظور دستيابی به يک سرويس ، ايجاد اختلال در سرويس ها ، نمونه هائی از ساير اهدافی است که مهاجمان دنبال می نمايند . در برخی موارد و به منظور انجام حملات گسترده از حملات DoS به عنوان نقطه شروع و يک عنصر جانبی استفاده شده تا بستر لازم برای تهاجم اصلی ، فراهم گردد . استفاده صحيح و قانونی از برخی منابع نيز ممکن است ، تهاجمی از نوع DoS را به دنبال داشته باشد . مثلا" يک مهاجم می تواند از يک سايت FTP که مجوز دستيابی به آن به صورت anonymous می باشد ، به منظور ذخيره نسخه هائی از نرم افزارهای غيرقانونی ، استفاده از فضای ذخيره سازی ديسک و يا ايجاد ترافيک کاذب در شبکه استفاده نمايد . اين نوع از حملات می تواند غيرفعال شدن کامپيوتر و يا شبکه مورد نظر را به دنبال داشته باشد . حملات فوق با محوريت و تاکيد بر نقش و عمليات مربوط به هر يک از پروتکل های شبکه و بدون نياز به اخذ تائيديه و يا مجوزهای لازم ، صورت می پذيرد . برای انجام اين نوع حملات از ابزارهای متعددی استفاده می شود که با کمی حوصله و جستجو در اينترنت می توان به آنان دستيابی پيدا کرد . مديران شبکه های کامپيوتری می توانند از اين نوع ابزارها ، به منظور تست ارتباط ايجاد شده و اشکال زدائی شبکه استفاده نمايند . حملات DoS تاکنون با اشکال متفاوتی ، محقق شده اند . در ادامه با برخی از آنان آشنا می شويم .
• Smurf/smurfing : اين نوع حملات مبتنی بر تابع Reply پروتکل Internet Control Message Protocol) ICMP) ،بوده و بيشتر با نام ping شناخته شده می باشند .( Ping ، ابزاری است که پس از فعال شدن از طريق خط دستور ، تابع Reply پروتکل ICMP را فرامی خواند) . در اين نوع حملات ، مهاجم اقدام به ارسال بسته های اطلاعاتی Ping به آدرس های Broadcast شبکه نموده که در آنان آدرس مبداء هر يک از بسته های اطلاعاتی Ping شده با آدرس کامپيوتر قربانی ، جايگزين می گردد .بدين ترتيب يک ترافيک کاذب در شبکه ايجاد و امکان استفاده از منابع شبکه با اختلال مواجه می گردد.
• Fraggle : اين نوع از حملات شباهت زيادی با حملات از نوع Smurf داشته و تنها تفاوت موجود به استفاده از UDPدر مقابل ICMP ، برمی گردد . در حملات فوق ، مهاجمان اقدام به ارسال بسته های اطلاعاتی UDP به آدرس های Broadcast ( مشابه تهاجم Smurf ) می نمايند . اين نوع از بسته های اطلاعاتی UDP به مقصد پورت 7 ( echo ) و يا پورت 19 ( Chargen ) ، هدايت می گردند.
• Ping flood : در اين نوع تهاجم ، با ارسال مستقيم درخواست های Ping به کامپيوتر فربانی ، سعی می گردد که سرويس ها بلاک و يا فعاليت آنان کاهش يابد. در يک نوع خاص از تهاجم فوق که به ping of death ، معروف است ، اندازه بسته های اطلاعاتی به حدی زياد می شود که سيستم ( کامپيوتر قربانی ) ، قادر به برخورد مناسب با اينچنين بسته های اطلاعاتی نخواهد بود .
• SYN flood : در اين نوع تهاجم از مزايای three-way handshake مربوط به TCP استفاده می گردد . سيستم مبداء اقدام به ارسال مجموعه ای گسترده از درخواست های synchronization ) SYN) نموده بدون اين که acknowledgment ) ACK) نهائی آنان را ارسال نمايد. بدين ترتيب half-open TCP sessions (ارتباطات نيمه فعال ) ، ايجاد می گردد . با توجه به اين که پشته TCP ، قبل از reset نمودن پورت ، در انتظار باقی خواهد ماند ، تهاجم فوق ، سرريز بافر اتصال کامپيوتر مقصد را به دنبال داشته و عملا" امکان ايجاد ارتباط وی با سرويس گيرندگان معتبر ، غير ممکن می گردد .
• Land : تهاجم فوق، تاکنون در نسخه های متفاوتی از سيستم های عامل ويندوز ، يونيکس ، مکينتاش و IOS سيسکو،مشاهده شده است . در اين نوع حملات ، مهاجمان اقدام به ارسال يک بسته اطلاعاتی TCP/IP synchronization ) SYN) که دارای آدرس های مبداء و مقصد يکسان به همراه پورت های مبداء و مقصد مشابه می باشد ، برای سيستم های هدف می نمايند . بدين ترتيب سيستم قربانی، قادر به پاسخگوئی مناسب بسته اطلاعاتی نخواهد بود .
• Teardrop : در اين نوع حملات از يکی از خصلت های UDP در پشته TCP/IP برخی سيستم های عامل ( TCPپياده سازی شده در يک سيستم عامل ) ، استفاده می گردد. در حملات فوق ، مهاجمان اقدام به ارسال بسته های اطلاعاتی fragmented برای سيستم هدف با مقادير افست فرد در دنباله ای از بسته های اطلاعاتی می نمايند . زمانی که سيستم عامل سعی در بازسازی بسته های اطلاعاتی اوليه fragmented می نمايد، قطعات ارسال شده بر روی يکديگر بازنويسی شده و اختلال سيستم را به دنبال خواهد داشت . با توجه به عدم برخورد مناسب با مشکل فوق در برخی از سيستم های عامل ، سيستم هدف ، Crash و يا راه اندازی مجدد می گردد .
• Bonk : اين نوع از حملات بيشتر متوجه ماشين هائی است که از سيستم عامل ويندوز استفاده می نمايند . در حملات فوق ، مهاجمان اقدام به ارسال بسته های اطلاعاتی UDP مخدوش به مقصد پورت 53 DNS ، می نمايند بدين ترتيب در عملکرد سيستم اختلال ايجاد شده و سيستم Crash می نمايد .
• Boink : اين نوع از حملات مشابه تهاجمات Bonk می باشند. با اين تفاوت که در مقابل استفاده از پورت 53 ، چندين پورت ، هدف قرارمی گيرد .
Port Service
7 Echo
11 Systat
15 Netstat
19 Chargen
20 FTP-Data
21 FTP
22 SSH
23 Telnet
25 SMTP
49 TACACS
53 DNS
80 HTTP
110 POP3
111 Portmap
161/162 SNMP
443 HTTPS
1812 RADIUS
متداولترين پورت های استفاده شده در حملات DoS
يکی ديگر از حملات DoS ، نوع خاص و در عين حال ساده ای از يک حمله DoS می باشد که با نام Distributed DoS ) DDoS) ، شناخته می شود .در اين رابطه می توان از نرم افزارهای متعددی به منظور انجام اين نوع حملات و از درون يک شبکه ، استفاده بعمل آورد. کاربران ناراضی و يا افرادی که دارای سوء نيت می باشند، می توانند بدون هيچگونه تاثيری از دنيای خارج از شیکه سازمان خود ، اقدام به ازکارانداختن سرويس ها در شبکه نمايند. در چنين حملاتی ، مهاجمان نرم افزاری خاص و موسوم به Zombie را توزيع می نمايند . اين نوع نرم افزارها به مهاجمان اجازه خواهد داد که تمام و يا بخشی از سيستم کامپيوتری آلوده را تحت کنترل خود درآورند. مهاجمان پس از آسيب اوليه به سيستم هدف با استفاده از نرم افزار نصب شده Zombie ، تهاجم نهائی خود را با بکارگيری مجموعه ای وسيع از ميزبانان انجام خواهند داد. ماهيت و نحوه انجام اين نوع از حملات ، مشابه يک تهاجم استاندارد DoS بوده ولی قدرت تخريب و آسيبی که مهاجمان متوجه سيستم های آلوده می نمايند ، متاثر از مجموع ماشين هائی ( Zombie ) است که تحت کنترل مهاجمان قرار گرفته شده است .
به منظور حفاظت شبکه ، می توان *****هائی را بر روی روترهای خارجی شبکه به منظور دورانداختن بسته های اطلاعاتی مشمول حملات DoS ، پيکربندی نمود .در چنين مواردی می بايست از *****ی ديگر که امکان مشاهده ترافيک (مبداء از طريق اينترنت) و يک آدرس داخلی شبکه را فراهم می نمايد ، نيز استفاده گردد .
حملات از نوع Back door
Back door ، برنامه ای است که امکان دستيابی به يک سيستم را بدون بررسی و کنترل امنيتی ، فراهم می نمايد . برنامه نويسان معمولا" چنين پتانسيل هائی را در برنامه ها پيش بينی مس کنند تا امکان اشکال زدائی و ويرايش کدهای نوشته شده در زمان تست بکارگيری نرم افزار ، فراهم گردد. با توجه به اين که تعداد زيادی از امکانات فوق ، مستند نمی گردند ، پس از اتمام مرحله تست به همان وضعيت باقی مانده و تهديدات امنيتی متعددی را به دنبال خواهند داشت .
برخی از متداولترين نرم افزارها ئی که از آنان به عنوان back door استفاده می گردد ، عبارتند از :
• Back Orifice : برنامه فوق يک ابزار مديريت از راه دور می باشد که به مديران سيستم امکان کنترل يک کامپيوتر را از راه دور ( مثلا" از طريق اينترنت ) ، خواهد داد. نرم افزار فوق ، ابزاری خطرناک است که توسط گروهی با نام Cult of the Dead Cow Communications ، ايجاد شده است . اين نرم افزار دارای دو بخش مجزا می باشد : يک بخش سرويس گيرنده و يک بخش سرويس دهنده . بخش سرويس گيرنده بر روی يک ماشين اجراء و زمينه مانيتور نمودن و کنترل يک ماشين ديگر که بر روی آن بخش سرويس دهنده اجراء شده است را فراهم می نمايد .
• NetBus : اين برنامه نيز نظير Back Orifice ، امکان دستيابی و کنترل از راه دور يک ماشين از طريق اينترنت را فراهم می نمايد.. برنامه فوق تحت سيستم عامل ويندوز ( نسخه های متفاوت از NT تا 95 و 98 ) ، اجراء و از دو بخش جداگانه تشکيل شده است : بخش سرويس دهنده ( بخشی که بر روی کامپيوتر قربانی مستقر خواهد شد ) و بخش سرويس گيرنده ( برنامه ای که مسوليت يافتن و کنترل سرويس دهنده را برعهده دارد ) . برنامه فوق ، به حريم خصوصی کاربران در زمان اتصال به اينترنت ، تجاوز و تهديدات امنيتی متعددی را به دنبال خواهد داشت .
• Sub7) SubSeven) ، اين برنامه برنامه نيز تحت ويندوز اجراء شده و دارای عملکردی مشابه Back Orifice و NetBus می باشد . پس از فعال شدن برنامه فوق بر روی سيستم هدف و اتصال به اينترنت ،هر شخصی که دارای نرم افزار سرويس گيرنده باشد ، قادر به دستيابی نامحدود به سيستم خواهد بود .
نرم افزارهای Back Orifice ، NetBus, Sub7 دارای دو بخش ضروری سرويس دهنده و سرويس گيرنده، می باشند . سرويس دهنده بر روی ماشين آلوده مستقر شده و از بخش سرويس گيرنده به منظور کنترل از راه دور سرويس دهنده ، استفاده می گردد.به نرم افزارهای فوق ، " سرويس دهندگان غيرقانونی " گفته می شود .
برخی از نرم افزارها از اعتبار بالائی برخوردار بوده ولی ممکن است توسط کاربرانی که اهداف مخربی دارند ، مورد استفاده قرار گيرند :
• Virtual NetworkComputing)VNC) : نرم افزار فوق توسط آزمايشگاه AT&T و با هدف کنترل از راه دور يک سيستم ، ارائه شده است . با استفاده از برنامه فوق ، امکان مشاهده محيط Desktop از هر مکانی نظير اينترنت ، فراهم می گردد . يکی از ويژگی های جالب اين نرم افزار ، حمايت گسترده از معماری های متفاوت است .
• PCAnywhere : نرم افزار فوق توسط شرکت Symantec ، با هدف کنترل از راه دور يک سيستم با لحاظ نمودن فن آوری رمزنگاری و تائيد اعتبار ، ارائه شده است . با توجه به سهولت استفاده از نرم افزار فوق ، شرکت ها و موسسات فراوانی در حال حاضر از آن و به منظور دستيابی به يک سيستم از راه دور استفاده می نمايند .
• Terminal Services : نرم افزار فوق توسط شرکت مايکروسافت و به همراه سيستم عامل ويندوز و به منظور کنترل از راه دور يک سيستم ، ارائه شده است .
همانند ساير نرم افزارهای کاربردی ، نرم افزارهای فوق را می توان هم در جهت اهداف مثبت و هم در جهت اهداف مخرب بکارگرفت.
بهترين روش به منظور پيشگيری از حملات Back doors ، آموزش کاربران و مانيتورينگ عملکرد هر يک از نرم افزارهای موجود می باشد. به کاربران می بايست آموزش داده شود که صرفا" از منابع و سايت های مطمئن اقدام به دريافت و نصب نرم افزار بر روی سيستم خود نمايند . نصب و استفاده از برنامه های آنتی ويروس می تواند کمک قابل توجهی در بلاک نمودن عملکرد اينچنين نرم افزارهائی ( نظير : Back Orifice, NetBus, and Sub7 ) را به دنبال داشته باشد . برنامه های آنتی ويروس می بايست به صورت مستمر بهنگام شده تا امکان شناسائی نرم افزارهای جديد ، فراهم گردد .