حمله محرومسازی از سرویس
حملهٔ محرومسازی از سرویس یا حملهٔ بندآوری خدمات (مصوب فرهنگستان) (به انگلیسی: Denial of Service attack) (یا به اختصار DoS) در علم رایانه حملهٔ منع سرویس یا حملهٔ منع سرویس توزیع شده، تلاش برای خارج کردن ماشین و منابع شبکه از دسترس کاربران مجازش است؛ در واقع هر حملهای علیه دسترس پذیری به عنوان حملهٔ منع سرویس تلقی میشود. اگرچه منظور از حمله DoS و انگیزهٔ انجام آن ممکن است متفاوت باشد، اما بهطور کلی شامل تلاش برای قطع موقت یا دائمی یا تعلیق خدمات یک میزبان متصل به اینترنت است.
اهداف حمله DoS معمولاً سایتها یا خدمات میزبانی وب سرور با ویژگیهای مناسب مانند بانکها، کارتهای اعتباری و حتی سرورهای ریشه را هدف قرار میدهند. یکی از روشهای معمول حمله شامل اشباع ماشین هدف با درخواستهای ارتباط خارجی است بهطوریکه ماشین هدف، نمیتواند به ترافیک قانونی پاسخ دهد یا پاسخها با سرعت کم داده میشوند یا در دسترس نمیباشند. چنین حملاتی منجر به سربار زیاد سرور میشوند. حمله DoS کامپیوتر هدف را وادار به ریست شدن یا مصرف منابعاش میکند، بنابراین نمیتواند به سرویسهای مورد نظرش سرویس بدهد و همچنین سیاستهای مورد قبول فراهم کنندگان سرویسهای اینترنتی را نقض میکنند.
علائم و نشانهها
US-CERT علائم حملات منع سرویس را این گونه تعریف میکند:
- کارایی کند و غیر معمول شبکه
- در دسترس نبودن یک وب سایت خاص
- ناتوانی در دسترسی به یک وب سایت
- افزایش چشمگیر در تعداد هرزنامههای دریافتی
- قطع اتصال به اینترنت بیسیم یا سیمی
حملات منع سرویس میتوانند منجر به مشکلاتی در شاخههای شبکه در کامپیوتر واقعی مورد حمله قرار گرفته شده باشند که باعث به خطر افتادن کامپیوتر مورد نظر و کل شبکه یا کامپیوترهای دیگر در LAN میشود. اگر حمله در یک مقیاس بزرگ اتفاق افتاده باشد تمام نواحی جغرافیایی اتصالات اینترنت به دلیل پیکربندی نادرست یا سست بودن تجهیزات زیرساختی شبکه به خطر میافتد.
روشهای حمله
حمله منع سرویس، تلاش صریح مهاجمان در جلوگیری از دسترسی کاربران مجاز به سرویسهای مشخص است. دو شکل کلی برای حملات DoS وجود دارد: آنهایی که سرویسها را از کار میاندازد و آنهایی که سرویسها را با بستههای سیل آسا غرق میکنند. حمله DoS به چندین روش انجام میشود، پنج نوع اصلی این حمله عبارتند از:
- مصرف منابع محاسباتی مانند: پهنای باند، حافظه، فضای دیسک و زمان پردازش
- ایجاد تداخل در اطلاعات پیکربندی مثل: اطلاعات مسیریابی
- ایجاد تداخل در اطلاعات وضعیت مثل ریست شدن ناخواسته نشستهای TCP
- ایجاد تداخل در تجهیزات فیزیکی شبکه
- مانع ارتباطی بین کاربران مجاز و قربانی تا نتوانند با ارتباط ادامه دهند.
حمله DoS ممکن است شامل اجرای نرمافزارهای مخرب باشد:
- حداکثر شدن استفاده از پردازنده از انجام هر کاری جلوگیری میکند.
- خطاهای محرک در میکرو کدهای ماشین
- خطاهای محرک در توالی دستورالعملها، بهطوریکه کامپیوتر را وادار به یک حالت ناپایدار یا قفل کردن میکند.
- بهرهبرداری از خطاهای موجود در سیستم عامل
در بیشتر موارد حمله DoS با جعل آی پی آدرس فرستنده (آی پی آدرس جعلی) انجام میشود، بهطوریکه ماشین حملهکننده قابل شناسایی نیست.
انواع حمله
اجرای یک حمله ممکن است به صورت دستی یا اجرای برنامههای آماده منع سرویس وجود باشد.
جریان سیل آسای آیسیامپی
حملهsmurf یکی از انواع حملات DoS سیل آسا روی اینترنت است. این نوع حمله به پیکربندی نامناسب تجهیزات شبکه که اجازه ارسال بستهها به همه کامپیوترهای میزبان روی یک شبکه خاص با آدرسهای همه پخشی را میدهد، متکی است. در چنین حملهای مهاجمان با یک آی پی جعلی یک تقاضای ping به یک یا چندین سرور همه پخشی ارسال کرده و آدرس آی پی ماشین هدف (قربانی) را ست میکنند. سرور همه پخشی این تقاضا را برای تمام شبکه ارسال میکند. تمام ماشینهای شبکه پاسخ را به سرور، ارسال همه پخشی میکنند. سرور همه پخشی پاسخهای دریافتی را به ماشین هدف هدایت یا ارسال میکند. بدین صورت زمانی که ماشین حملهکننده تقاضائی را به چندین سرور روی شبکههای متفاوت همه پخشی مینماید، مجموعه پاسخهای تمامی کامپیوترهای شبکههای گوناگون به ماشین هدف ارسال میگردند و آن را از کار میاندازند؛ بنابراین پهنای باند شبکه به سرعت استفاده میشود و از انتقال بستههای مجاز به مقصدشان جلوگیری به عمل خواهد آمد. برای مبارزه با حمله منع سرویس در اینترنت سرویسهایی مانند Smurf Amplifier Registry توانایی تشخیص پیکربندیهای نامناسب شبکه و انجام عملیات مناسب مثل فیلترینگ را میدهند.
بستههای سیل آسای Ping، بستههای Ping زیادی را به سمت قربانی ارسال میکنند. ping of death به ارسالهایی از بستههای ping با فرمت و شکل نامناسب یه سمت قربانی گفته میشود که باعث crash شدن سیستم عامل میگردد.
جریان سیل آسایSYN
Syn Flood زمانی اتفاق میافتد که میزبانی از بستههای سیل آسای TCP/SYN استفاده کند که آدرس فرستنده آنها جعلی است. هر کدام از این بستهها همانند یک درخواست اتصال بوده و باعث میشود سرور درگیر اتصالات متعدد نیمه باز بماند و با فرستادن یا برگرداندن بستههای TCP/SYN ACK، منتظر بستههای پاسخ از آدرس فرستنده بماند ولی چون آدرس فرستنده جعلی است هیچ پاسخی برگردانده نمیشود. این اتصالات نیمه باز تعداد اتصالات در دسترس سرور را اشباع میکنند و آن را از پاسخگویی به درخواستهای مجاز تا پایان حمله بازمیدارد. بنابر این منابع سرور به اتصالهایهای نیمه باز اختصاص خواهد یافت. و امکان پاسخ گویی به درخواستها از سرور منع میشود.
حمله Teardrop
این حمله شامل ارسال بستههای آی پی است که با هم تداخل دارند یا بستههایی با سایز بزرگ یا بستههایی با ترتیب نامناسب میباشند. این حمله میتواند سیستم عاملهای مختلف را به علت اشکالی که در کد بازسازی مجدد بخشهای TCP/IP دارند crash کند. Windows 3.1x وWindows 95 و سیستم عامل Windows NT و نسخههای ۲٫۰٫۳۲ و ۲٫۱٫۶۳ در برابر این حمله آسیبپذیر هستند
حمله حجمی
این دسته از حملات تلاش میکنند با استفاده از تمام پهنای باند موجود بین هدف و اینترنت بزرگتر، باعث ایجاد تراکم شوند. حجم زیادی از دادهها با استفاده از یک فرم تقویت یا وسیله ای دیگر برای ایجاد ترافیک بزرگ به سمت یک هدف ارسال میشود، مثل درخواستهای یک بات نت.
حمله نظیر به نظیر
مهاجمان به دنبال راهی برای یافتن اشکال در سرورهای نظیر به نظیر هستند تا حمله DDoS را شروع کنند. حملات نظیر به نظیر متفاوت از حملات مبتنی بر بات نتها هستند. در حملات نظیر به نظیر، بات نت یا مهاجمی برای برقراری ارتباط با کلاینت وجود ندارد به جای آن مهاجم به عنوان دست نشاندهای از ارباب، به کلاینتهای موجود در مراکز به اشتراکگذاری فایلها طوری آموزش میدهد که شبکه نظیر به نظیر خود را قطع کرده و به جای آن به وب سایت قربانی متصل شوند. در نتیجه چندین هزار کامپیوتر به صورت تهاجمی به وب سایت قربانی وصل میشوند. در حالی که وب سرور قبل از این که کارایی اش تنزل پیدا کند قادر به کنترل و مدیریت صدها اتصال در ثانیه بودهاست بلافاصله بعد از ۵ یا ۶ هزار اتصال در ثانیه شکست میخورد.
عدم تقارن استفاده از منابع در حملات گرسنگی
حملهای که در مصرف منابع بر روی کامپیوتر قربانی موفق باشد باید:
- توسط مهاجمی با منابع بیشتر انجام شود
- کنترل کامپیوتر با قدرت محاسباتی بیشتر یا پهنای باند بیشتر شبکه
- کنترل تعداد زیادی کامپیوتر و هدایت آنها به سمت قربانی به عنوان حمله گروهی. حمله DDoS نمونه اولیه آن است.
- بهرهگیری از یک ویژگی سیستم عامل یا برنامه کاربردی روی سیستم قربانی که باعث میشود مصرف منابع قربانی بیشتر از مهاجم باشد (حمله نامتقارن).
حملات Smurf attack, SYN flood, Sockstress و NAPTHA از نوع حملات نامتقارن هستند. یک حمله ممکن است برای افزایش توان خود از ترکیبی از این روشها استفاده کند.
حمله منع سرویس دائمی
محرومیت دائم از سرویس که به عنوان phlashing نیز شناخته میشود. یک حملهای است که چنان صدمهای به سیستم میزند که نیاز به جایگزینی یا نصب دوباره سختافزار را به وجود میآورد. برخلاف DDoS این نوع حمله از نقصهای امنیتی که اجازه مدیریت راه دور اینترفیسهای سختافزاری قربانی مثل روتر، چاپگر یا سختافزارهای شبکه را میدهد، سوءاستفاده میکند. مهاجم از این آسیبپذیری برای جایگزین کردن سیستم عاملهای دستگاه با نوع معیوب یا خراب استفاده میکند؛ بنابراین آنها را تا زمان تعمیر یا تعویض، برای هدف اصلی غیرقابل استفاده میکند.
Nuke
نوع قدیمی حمله DoS در برابر شبکههای کامپیوتری است که متشکل از بستههای ICMP تکهتکه یا نامعتبر ارسال شده به سمت هدف است، که با استفاده از pingهای دستکاری شده و ارسال مکرر دادههای خراب بدست میآید و سرعت سیستم رفته رفته کم شده و متوقف میشود. یکی از مثالهای خاص حمله Nuke، حمله WinNuke است که از آسیبپذیری نت بایوس در ویندوز ۹۵ سوءاستفاده میکند.
(R-U-Dead-Yet? (RUDY
این حمله به برنامههای کاربردی وب با ایجاد گرسنگی در جلسات در دسترس روی وب سرور حمله میکند. شبیهSlowloris، جلسات را با استفاده از انتقال پستهای بدون پایان و ارسال مقادیر سرآیند با محتویات بزرگ در حالت توقف نگه میدارد.
حملههای توزیع شده(DDoS)
اگر مهاجم برای حمله از یک میزبان استفاده کند به این نوع حمله DoS میگوییم ولی حمله DDoS زمانی اتفاق میافتد که چندین سیستم بهطور همزمان پهنای باند یا منابع سیستم مورد هدف را با بستههای سیلآسا مورد حمله قرار دهند. وقتی سروری با اتصالات زیادی دچار سربار شود، دیگر نمیتواند اتصالات جدیدی را بپذیرد. مزیت عمدهای که استفاده از حمله منع سرویس توزیع شده برای مهاجم دارد این است که ماشینهای چندگانه میتوانند ترافیک بیشتری را نسبت به یک ماشین تولید کنند و همچنین مسدود کردن منبع حمله را به علت وجود منابع متعدد در حمله غیرممکن میسازد. در روش DDoS تمام رایانهها همزمان با هم عمل میکنند بهطوریکه ممکن است در برخی موارد خسارات جبرانناپذیری به بار آورند. در این روش معمولاً مهاجم سیستمهای زیادی را آلوده کرده و به آنها همزمان فرمان میدهد. به سیستمهای آلوده شده زامبی (zombie) و به شبکهای از این سیستمها که تحت کنترل یک شخص هستند، botnet گفته میشود.
حمله جعل شده/منعکس شده
DrDoS حمله منع سرویس توزیع شده منعکس شده، نوعی از حملات منع سرویس است که طراحی نسبتاً هوشمندانهای دارد. این حمله از آن جهت شبیه به DDoS است که از چندین منبع برای حمله به یک شخص استفاده میکند؛ اما این کار بهطور پنهانی انجام میشود. در این حمله مهاجم بستههایی را به تعداد زیادی (صدها نفر) از کاربران میفرستد و به آنها هشدار میدهد که رایانهٔ قربانی درخواست سرویس خاصی را دارد. به ازای هر بسته میزان بسیار کمی از ترافیک تولید میشود، شاید کوچکتر از درخواستهای معمول؛ از این رو بسیار بعید است که این حمله توسط مدیران مورد توجه قرار گرفته یا حس شود. حملات درخواست echo ICMP به عنوان نوعی حمله منعکس شده در نظر گرفته میشوند که در آن میزبانهای سیل آسا درخواستهای echo را به آدرسهای همه پخشی شبکههای با پیکربندی نامناسب ارسال میکند در نتیجه میزبان مجبور به ارسال بستههای پاسخ echo به قربانی میشود. DDoSهای اولیه به این شکل پیادهسازی میشدند.
حمله منع سرویس تلفنی
- scammer با بانکدار قربانی یا کارگذار تماس برقرار میکند و هویت قربانی را برای درخواست انتقال وجه جعل میکند، بانکدار تلاش میکند تا با قربانی برای تأیید انتقال، تماس حاصل کند ولی خطوط تلفن قربانی با هزاران تماس ساختگی به صورت سیل آسا مورد حمله قرار گرفته و موجب در دسترس نبودن قربانی میشود.
- scammer با مشتری با ادعای ساختگی برای پرداخت وام فوقالعاده زیاد تماس میگیرد، scammerها در برخی موارد از شناسه جعلی تماس گیرنده برای جا زدن خودشان به جای پلیس یا آژانسهای اجرای قانون استفاده میکنند.
سوء استفادههای مرتبط شامل حملات سیل آسای پیامکی و فکسهای سیاه یا انتقال حلقهای فکس است.
حمله توزیع شده انکار از سرویس مبتنی بر سرویس دهنده نام دامنه
حمله انکار سرویس (به انگلیسی: Denial of Service attack) (یا به اختصار DoS) به معنای تلاش برای خارج کردن ماشین و منابع شبکه از دسترس کاربران مجازش است. اگرچه منظور از حمله DOS و انگیزه انجام آن ممکن است متفاوت باشد، اما بهطور کلی شامل تلاش برای قطع موقت یا دائمی یا تعلیق خدمات یک میزبان متصل به اینترنت است. عاملین حمله DOS معمولاً سایتها یا خدمات میزبانی وب سرور با ویژگیهای مناسب مانند بانکها، کارتهای اعتباری و حتی سرورهای ریشه را هدف قرار میدهند؛ مثلاً با ارسال سیل آسای بستهها به سمت یک سرور و اشغال بخش بزرگی از حافظه سرور امکان استفاده از خدمات سرور برای کاربران واقعی را غیرممکن کند.
حمله توزیع شده انکار از سرویس (به انگلیسی: Distributed Denial of Service attack) (یا به اختصار DDoS) از نظر عملکرد مشابه با DOS است ولی یک تفاوت اساسی با آن دارد. در حمله DOS از یک کامپیوتر و یک ارتباط اینترنتی جهت فلج کردن سرور در سیلابی از بستهها استفاده میشود ولی در حمله DDoS از چندین سیستم و چندین ارتباط اینترنتی برای ارسال سیل آسای بستهها جهت مصرف پهنای باند و منابع سرور استفاده میشود.
حمله توزیع شده انکار از سرویس مبتنی بر سرویس دهنده نام دامنه (به انگلیسی: DNS DDoS Amplification Attack) نوعی از حمله DDoS است که قربانی (مثلاً یک سرویس دهنده نام) را در سیلابی از پیامهای جواب DNS گرفتار میکند.
شیوه انجام حمله
دراین نوع حمله مهاجم به جای استفاده از سیستم خود از سیستم دیگران استفاده میکند. با این کار احتمال شناسایی شدن خود را پایین میآورد، به علاوه موفقیت این حمله به زیاد بودن تعداد سیستمهایی که در این فعالیت شرکت میکنند وابسته است. راههای زیادی وجود دارد که مهاجم میتواند کنترل سیستمهای دیگر را به دست آورد مثلاً ارسال ایمیلهای آلوده به تعداد بسیار زیادی از سیستمها. به سیستمهای آلوده شده زامبی (zombie) و به شبکهای از این سیستمها که تحت کنترل یک شخص هستند، بات نت (botnet) میگویند. کاربران سیستمهای زامبی اغلب از آلوده شدن کامپیوترهای خود بیخبر میباشند چرا که این سیستمها برای نابودی سیستمهای دیگر و نه نابودی خود استفاده میشوند.
با فرمان مهاجم تمام سیستمهای زامبی شروع به ارسال پیامهای درخواست DNS میکنند. این پیامها دو ویژگی دارند، اولاً سیستمهای زامبی با جعل آدرس مبدأ بستههای این پیامها، آدرس سیستم قربانی را جایگزین آدرس خود میکنند. ثانیاً در این پیامها محتوای رکورد بسط (به انگلیسی: amplification record) مورد تقاضا است. با استفاده از قابلیت گسترش مهاجم میتواند حجم ترافیکی مورد استفاده در حمله را بسیار بالا ببرد چرا که با وجود کوچک بودن حجم محتوای این نوع پیامهای درخواست (تقریباً ۶۰ بایت)، حجم پیامهای پاسخ بسیار بالا و قابل توجه (تقریباً ۴۰۰۰ بایت) است.
مهاجم لیستی از سرویس دهندگان نام دامنه (به انگلیسی: Domain Name Server) (یا به اختصار DNS) را که از شیوه بازگشتی استفاده میکنند، میداند و پیامهای ارسالی سیستمهای شبکه botnet در این سرویس دهندگان دریافت میشود. پس از انجام عملیات لازم و تولید پیام جواب، این پیام به جای ارسال شدن به سمت سیستمهای زامبی، به سمت قربانی (به دلیل جعل آدرس مبدأ در پیام درخواست) ارسال میشود.
قربانی بیخبر، با وجود آنکه حتی یک پیام درخواست ارسال نکرده ناگهان با بمبارانی از پیامهای جواب روبهرو میشود. هر پیام جواب حاوی یک رکورد ۴۰۰۰ بایتی میباشند بنابراین به دلیل بسیار بزرگ بودن اندازه آنها به مجموعهای از بستههای کوچکتر شکسته میشوند. این موضوع باعث میشود تا سیستم مقصد مجبور به دریافت این بستهها و انجام عملیات روی همگذاری آنها شود که منجر به افزایش بار پردازش در ماشین مقصد میشود.
خواص پروتکل DNS در موفقیت حمله
- پروتکل DNS از پروتکل UDP و نه از TCP استفاده میکند. استفاده از جعل آدرس مبدأ با استفاده از UDP راحتتر از TCP است.
- این موضوع که پیامهای جواب از نظر اندازه میتواند به مراتب بزرگتر از پیامهای درخواست باشند، به مهاجم در استفاده از خاصیت قابلیت گسترش (به انگلیسی: amplification record) در انجام حمله کمک میکند.
راههای مقابله با این حمله
برخلاف پیامهای درخواست در پیامهای جواب آدرس مبدأ جعل نمیشود پس آدرس مبدأ در این پیامها همان آدرس سرویس دهندگان نام است. بسته به میزان شدت حمله بر روی سیستم قربانی، این سیستم میتواند نرخ ترافیک دریافتی از این آدرسهای مبدأ را محدود کند، یا با استفاده از قوانین فیلتر گیرنده تمام بستههای جواب DNS را که طولشان به طرز مشکوکی طولانی است را حذف کند، یا بهطور کلی تمام ترافیکهای مربوط به آدرس سرویس دهندگان نامهایی که از شیوه بازگشتی استفاده میکنند را بلوکه کند.
موفقیت این حمله بسیار به این موضوع وابسته است که از سیستمهای سرویس دهندگان نام دامنهای برای تولید پیامهای جواب استفاده شود که از شیوه بازگشتی استفاده میکنند. سرویس دهندگانی که از شیوه بازگشتی استفاده میکنند به این صورت رفتار میکنند که اگر اطلاعات رکورد مورد نظر در آنها ذخیره نشده باشد خود با ارسال پیام به سرویس دهنده دیگر درخواست دریافت رکورد مورد نظر را اعلام میکند. سرویس دهنده دیگر نیز در صورتی که رکورد موردنظر را نداشته باشد همین کار را تکرار میکند و این زنجیره ادامه مییابد تا بالاخره یکی از سرویس دهندگان حاوی رکورد مورد نظر باشد و پیام جواب به صورت بازگشتی به دست سرویس دهنده اولیه برسد. در حالی که در شیوه غیر بازگشتی اگر سرویس دهنده دارای رکورد مورد نظر نباشد با ارسال یک پیام به آدرس سیستم ارسالکننده پیام درخواست، به وی اطلاع میدهد که اطلاعات رکورد مورد نظر را ندارد ولی آدرس سرویس دهنده دیگری که میتواند در پیدا کردن این رکورد کمک کند را به مبدأ اعلام میکند. پس اگر در حمله از سرویس دهندگانی استفاده میشد که از شیوه غیر بازگشتی استفاده میکنند، اگر رکورد مورد نظر را نداشتند پیامی به ماشین قربانی ارسال میشد. ماشین قربانی نیز چون قبلاً هیچ پیام درخواستی ارسال نکرده بود، این پیام را نادیده میگرفت. استفاده از شیوه بازگشتی زمانی مناسب است که سرویس دهندگان از این شیوه برای تولید پیام جواب برای پیامهای درخواستی ارسال شده از سوی کاربران قابل اعتماد مربوط به شبکه خودش (مثلاً یک رنج مشخصی از آدرسهای IP) و نه برای هر مبدأ با هر آدرس ممکن استفاده کند. متأسفانه تعداد سرویس دهندگان نام دامنه که از شیوه بازگشتی (پیکربندی نامناسب) استفاده میکنند کم نیست.
مدیریت یا اداره حمله
پاسخ دفاعی در برابر حملات منع سرویس شامل استفاده از ترکیبی از روشهای تشخیص حمله، طبقهبندی ترافیک و ابزارهای پاسخ است که هدف آنها بلوکه کردن ترافیکهای غیرمجاز و اجازه برقراری ترافیکهای مجاز است.
بهطور کلی هیچ راه تضمینکنندهای برای جلوگیری از این حمله وجود ندارد و تنها راههایی برای جلوگیری از برخی روشهای متداول و کم کردن اثرات سایر روشها موجوداست، چرا که بسیاری از روشها به هیچعنوان قابل پیشگیری نیست، به عنوان مثال اگر شبکه botnet با صدهزار zombie صفحهای از سایت را باز کنند، این درخواست یک درخواست عادی بوده و نمیتوان تشخیص داد که درخواست دهنده سیستم معمولی است یا zombie و به همین جهت نمیتوان جلوی آن را گرفت.
استفاده از سیستمهای تشخیص دهنده (IPS) سیستمهای تشخیص براساس سرعت بستهها (RBIPS) و اینگونه سیستمها نیز روش مناسبی برای جلوگیری از این حملات است.
بستههای نرمافزاری نیز موجودند که شامل تمام این سیستمها هستند، استفاده از این بستهها علاوه بر حملات DoS بسیاری دیگر از حملات را شناسایی میکنند، بسته نرمافزاری SSP (Sun Security Package) از جمله این بستهها است که کار شناسایی و جلوگیری را به صورت خودکار انجام میدهد.
دیوار آتش
دیوار آتش میتواند به این صورت راه اندازی شود که شامل قوانین ساده برای اجازه یا رد کردن پروتکلها، پورتها یا آی پی آدرسها باشد. در مورد حملات سادهای که از آدرسهای با آی پی غیرمعمول میآیند میتوان با قرار دادن قانون سادهای که ترافیکهای ورودی از چنین مهاجمانی را حذف کند. برخی حملات با چنین قوانین سادهای قابل بلوکه شدن نیستند، اگر یک حمله روی پورت ۸۰(وب سرویس) در حال انجام باشد غیرممکن است که همه ترافیکهای ورودی روی چنین پورتی را حذف کرد، زیرا این کار، سرورها را از ارائه ترافیک قانونی منع میکند.
سوئیچها
برخی سوئیچها دارای عوامل محدودکننده نرخ و قابلیت لیستهای کنترل دسترسی هستند. برخی سوئیچها از فیلترینگ برای تشخیص و از بین بردن حملات DoS از طریق فیلتر کردن خودکار نرخ استفاده میکنند.
روترها
مشابه سوئیچها، روترها هم قابلیت ACL و کنترل نرخ را دارند. بیشتر روترها میتوانند در برابر حملات DoS قرار بگیرند. سیستم عاملهای سیسکو دارای ویژگی ای هستند که از حملات سیل آسا پیشگیری میکند.
استفاده از روترهای جدید و مدرن با توجه به پیشرفت علم و آمدن اینترنتهای نسل جدید ای دی اس ال ۲ سبب شد تا برای داشتن سرعت بیشتر کاربران و راحتی آنها استفاده از طریق روترهای مدرن که سرعت بیشتری داشتهاند بسیار مورد استقبال تمامی کاربران قرار بگیرد، موج جدیدی از حملات دی داس بر روی انواع سرورها با شروع ای دی اس ال ۲ و نسل جدید مودمهای خانگی و سازمانی آغاز شد، همین موضوع سبب شد تا سازمانهای بسیاری در زمینه ارائه دهنده خدمات اینترنت و شرکتهای ارائه دهنده هاست و انواع سرور در سر تا سر دنیا ابراز نگرانی کنند.
سیستم پیشگیری از نفوذ
سیستم پیشگیری از نفوذ زمانی مؤثر است که حملات دارای امضا باشند. سیستم پیشگیری از نفوذ که روی شناخت محتوا کار میکند نمیتواند حملات DoSمبتنی بر رفتار را بلوکه کند.IPS مبتنی بر ASCI میتواند حملات منع سرویس را تشخیص و بلوکه کند، زیرا دارای توان پردازشی و تجزیه و تحلیل حملات است. IPS مبتنی بر نرخ(RBIPPS)باید الگوی ترافیک را به صورت تک تک و بهطور پیوسته مانیتور کند. آنومالی ترافیک را در صورت وجود تعیین کند.
سیاه چاله و گودال
به مدیر اجازه میدهد که ترافیک حمله را به یک آدرس آی پی (اینترفیس خالی یا سرور غیرموجود)، هدایت کند تا آن را حذف نماید. وقتی حملهای تشخیص داده میشود، یک مسیر ثابت ایجاد میشود تا ترافیک حمله را به جای ماشین قربانی به سمت یک سیاه چاله، هدایت کنند. در حالت گودال، ترافیک حمله به یک آدرس آی پی ارسال میشود تا برای بررسی بیشتر ثبت شود. مزیت آن این است که ترافیک حمله میتواند جمعآوری و آنالیز شود تا الگوی حمله مورد مطالعه و بررسی قرارگیرد.
Backscatter
در امنیت شبکههای کامپیوتری، برگشت پراکنده مشکل و عارضه جانبی حمله منع سرویس جعلی است. در این نوع حمله، مهاجم آدرس آی پی مبدأ بسته را جعل میکند و به قربانی ارسال میکند، در کل ماشین قربانی قادر به تشخیص بستههای جعلی و مجاز نیست، بنابراین قربانی به بستههای جعلی پاسخ میدهد، این بستههای پاسخ به عنوان برگشت پراکنده تلقی میشوند. اگر مهاجم آی پی آدرسهای مبدأ را به صورت تصادفی جعل کند، بستههای پاسخ برگشت پراکنده از قربانی به مقصدهای تصادفی ارسال میشوند.
منابع
- غفارینیا، امید. گروه امنیتی آفتاب.
- حملات سرور - تکذیب سرور. عصر ارتباط، ۲ بهمن ۱۳۸۹، شماره ۳۹۲. [۱]
- https://web.archive.org/web/20131114102419/http://www.watchguard.com/infocenter/editorial/41649.asp
- https://kb.isc.org/article/AA-00897
- [۲]