آشنايي با حملات DDOS (تكذيب سرويس)
حملات شبكه اساسا از سه آسيب پذيري زير نتيجه مي شوند :
1- آسيب پذيري نرم افزار :ناشي از باگ هاي پياده سازي نرم افزارهاي شبكه (مانند DNS ،Telnet ، SMTP)
2- آسيب پذيري پروتكل :بهره برداري از روزنه هاي منطقي مدل حالت
3- زير ساخت (زير بنا) آسيب پذير :ناشي از وابستگي ميان تجهيزات شبكه و منابع حمله كننده به شبكه كه سرويس هاي بحراني را ارايه مي دهند.
به علت گسترش حملات DDOS مكانيسم هاي فراواني براي تشخيص و مقابله با اين گونه حملات توسعه يافتند. به طور كلي اين مكانيسم ها به چهار دسته تقسيم مي شوند :
1 – Proactive Mechanisms : اين مكانيسم بر اساس مشاهده است كه به سختي حمله را تشخيص مي دهد. بنابراين به جاي تشخيص حمله با استفاده از اثر و الگوي حمله يا رفتار غير متعارف آن ، سعي مي كند با بهبود قابليت اعتماد زير ساخت شبكه سراسري با افزودنبر وظايف تجهيزات اينترنت مانع از حمله و بهره برداري از آسيب پذيري گردد. مواردي كه در اين مكانيسم صورت مي پذيرد بدين شرح است:
الف – تامين پوشش براي سرويس : مقابله با حملات عدم دسترس پذيري سرويس در سرورهاي بحراني با مسيريابي از طريق كلاينت هاي معتبر قبلي صورت مي گيرد، مشكل آن اينست كه نود بايد قسمتي از SOSباشد و در حالت كلي DDOS كابرد ندارد
ب – فيلترينگ ورود و خروج بسته ها : چك كردن بسته ها براي آدرس IP منبع و بلوكه كردن بسته هايي كه داراي آدرس ناشناس هستند . در اينجا تنها مي توان به واسطه جريان فيلترينگ را اعمال كرد.
ج – فيلترينگ بسته بر اساس مسيرياب :در اينجا با بكارگيري تعداد زيادي فيلتر كننده هاي بسته براي بررسي اينكه آيا هر بسته دريافتي از لينك هاي صحيح منطبق بر آدرس منبع و مقصد ثبت شده و نيز اطلاعات مسيريابي BGP است يا خير . مشكل اين روش اينست كه بسته هاي درست و قانوني ممكن است از بين بروند.
2 – Reactive Mechanisms :اين مكانيسم نوعا از گسترش سه قسمتي IDS براي مشاهده اطلاعات حمله و عكس العمل برپايه اين اطلاعات بنا گرديده است.در اين مكانيسم موارد زير صورت مي پذيرد :
الف - D-WARD :اين سيستم به طور خودگردان منبع حمله را تشخيص مي دهد و مانع حملات DDOS از منبع اصلي آن مي شود. مشكل آن اينست كه ميتواند داراي تشخيص اشتباه زياد باشد
ب – فيلترينگ IP براساس تاريخچه :پذيرفتن بسته هاي ورودي براساس آدرس هاي IP موجود در ديتابيس كه از ارتباطات گذشته ساخته مي شوند كه ممكن است باعث از بين رفتن بسته هاي درست شود.
ج – Center Track :اين روش ساختن شبكه هاي پوشيده از تونلهاي IP با پيوند همه لبه روترها به روترهاي پيگيري مركزي است كه داراي سربار زيادي مي باشد.
د – MULTOPS :ساخته شده از نمايهء ترافيك براساس فرض و گمان كه در طي عمليات عادي در اينترنت ، نرخ بسته ترافيك در مسير مستقيم و در خلاف جهت آن متناسب باشد . ممكن است داراي نرخ تشخيص اشتباه بالا باشد.
3 – Tolerance Mechanisms : مشاهده مي شود كه تشخيص بسته هاي حمله DDOS از بسته هاي درست مشكل است بنابراين محققان Tolerance Mechanismsرا پيشنهاد دادند.اين مكانيسم بر اساس كنترل سرعت و ميزان مصرف متعادل پهناي باند اختصاص يافته و نتيجتا حداقل خسارت ناشي از حملات DDOS بنا گرديده است .در اين مكانيسم سعي براين موارد است :
الف – Pushback :تكميل و تقويت روترها به توانايي تشخيص و كنترل جريانهايي كه باعث ايجاد ازدحام مي شوند.
ب – max-min fair server centric throttling :استفاده از سرورهاي داراي دريچه هاي كنترلي مركزي كه ورود و خروج داده ها را به طور منصفانه كنترل مي كنند كه ممكن است بسته هاي درست از بين بروند.
4 – Post Attack Analysis :اين مكانيسم بر پايه هر دو روش دنبال كردن الگوهاي حمله كه با استفاده از IDS به دست مي آيند يا شناساسيي حمله كننده ها با استفاده از رديابي بسته ها (Packet Tracing) استوار است. زماني كه آدرس منبع بسته هاي سيل آسا جعلي است ،تكنيك هاي گوناگون رديابي (trace back ) منشا ارسال سيل آسا را شناسايي مي كنند . هدف اصلي رديابي بسته ها ،دنبال كردن ترافيك اينترنت حاصل از منبع حقيقي است. در اين مكانيسم از روترهايي با توانايي توليد پيام traceback براي نوسازي و احياي مسير حمله استفاده مي گردد. اين مكانيسم براي حملات DOS كارآمد است ولي براي حملات با مقياس بالاي DDOS غيرعملي است.
با ساختن سيستمي كه مقابله در برابر حملات را با تشريك مساعي و به صورت غيرمتمركز انجام ميدهد تا حدود زيادي بر حملات DDOS غلبه كرد. اساس اين سيستم برپايه مكانيسم هاي ارتباطي Gossip است كه مي تواند علاوه برتشخيص حملات به مقابله با آنها بپردازد. در اين قسمت به توضيح چگونگي طراحي تشخيص حمله با تشريك مساعي و و غير متمركز وهمچنين چارچوب مقابله با آن حملات مي پردازيم .