چکیده
حمله جلوگیری از سرویس یکی از روشهای خرابکاری در شبکه های کا مپیوتری می با شد که با هدف غیر قابل دسترس نمودن سرویس برای کاربران انجام می شود.تا کنون روشهایی جهت مقابله با این حمله در قالبهای دیوارهای آتش و سیستمهای تشخیص نفوذ ارائه شده است که هیچکدام به صورت یک راه حل قطعی نبوده و تنها مقاومت سیستم را افزایش داده اند . دراین مقاله روشی پیشنهاد شده است که سیستم را تا چندین برابر نسبت به روشهای قبلی مقاومتر می نماید. در این روش با استفا ده از مکانیزم دسته بندی آدرسهای IP بر اساس دانش استخراجی از ترتیب و توالی بسته های ارسالی در مرحله تایید سه جانبه، به طریق بی درنگ ارتباطات کنترل و در صورت نیاز قطع می گردد وحمله به افسر امنیتی اطلاع داده می شود.
1.مقدمه
امروزه با رشد روز افزون کاربرد کامپیوتر در تمامی علوم و مزایای فراوان آن، استفاده از این ابزار به صورت یک امر ضروری درآمده است. در این میان شبکه های کامپیوتری و خصوصا شبکه جهانی اینترنت سبب بروز انقلاب بزرگی در زمینه ارتباطات شده است و کاربران بسیاری را در هر مقطع و از هر قشر به خود جذب کرده است . نیاز به جابجایی اطلاعات و اطلاع رسانی در سطح گسترده باعث شده است که از شبکه به دلیل سرعت مناسب و عدم محدودیتهای جغرافیایی جهت تبادل هر گونه اطلاعات استفاده شود . ارتباط شبکه های مختلف با یکدیگر و تنوع استفاده کنندگان سبب بروز مشکلات عمده ای نظیر ربودن ، تخریب و دستکاری اطلاعات شده است . در این راستا روش های گوناگونی جهت مقابله با حملات در قالب سیستمهای تشخیص نفوذ پیاده سازی شده اند . بطوریکه امروزه در شبکه های کامپیوتری از سیستمهای تشخیص نفوذ به عنوان یک ابزار تدافعی در برابرحملات و به منظور حفاظت از اطلاعات، افزایش امنیت و در نهایت شناسایی نفوذ استفاده می شود.به دلیل ماهیت غیر الگوریتمی تکنیکهای تفوذ به شبکه های کامپیوتری، روشهای ارائه شده برای مقابله با حملات نیز دارای ماهیت غیر الگوریتمی بوده و در نتیجه ارائه یک روش جهت مقابله با نفوذ، عموما درصورت کشف و شناخت سناریوی آن نفوذ امکان پذیر است . لیکن دسته ای از حملات وجود دارند که علارقم دانستن سناریوی حمله آنها به دلایل مختلفی نظیر ضعف در طراحی پروتکل ارتباطی و نظایر آن، تا کنون روشهایی جهت مقابله قطعی در برابر آنها ارائه نشده است . پروتکل TCP/IP که متداول ترین پروتکل ارتباطی درشبکه های کامپیوتری می باشد اگرچه طراحی آن با ظرافت خاصی صورت گرفته است، لیکن قابلیت انعطاف و شناخت رفتاری پروتکل مذکور سبب افزایش توانایی نفوذ به شبکه ها ی کامپیوتری شده است . در ادامه این مقاله در بخش دوم، انواع نفوذ و روشهای تشخیص آن، در بخش سوم حمله جلوگیری از سرویس و روشهای مقابله با آن ، در بخش چهارم روش پیشنهادی و نهایتا در بخش ششم نتیجه گیری ارائه می گردد.
2 .انواع نفوذ وسیستمهای تشخیص نفوذ
نفوذ در شبکه های کامپیوتری با اهداف متفاوتی صورت می گیرد . در اغلب حملات ، نفوذی یا نفوذی ها سعی در ربودن و انهدام اطلاعات و غیر قابل استفاده نمودن سیستم و سرویس برای رسیدن به اهداف خود با انگیزه های سیاسی، نظام و مالی دارند و برای انجام آن با عملیات مختلفی از قبیل ربودن کد کاربری و کلمه عبور و اشتباه انداختن سیستم جهت صدور مجوزها ، پیدا کردن نقاط ضعف برنامه کاربردی و غیره دست می زنند.
نفوذ عبارت است از یکسری اقدامات و عملیات غیر قانونی که منجر به دستیابی به منابع یک کامپیوتر یا شبکه و به خطر افتادن محرمانگی وصحت داده ها می شود.]1[
نفوذ را می توان به شش دسته (1) ورود غیر قانونی ، ( 2) حملات ایفای نقش ، (3) رخنه به سیستمهای کنترل امنیت ،(4) نشت ،(5) جلوگیری از سرویس و(6) استفاده های خرابکارانه تقسیم نمود.] 2[
سیستمهای تشخیص نفوذ سیستمهایی هستندکه به منظورکشف نفوذ و رفتارهای غیرعادی ومشکوک مورد استفاده قرارمی گیرند.
در سیستمهای تشخیص نفوذ عمل پردازش و آنالیز ورودی داده های جمع آوری شده می تواند در همان لحظه به صورت موازی انجام شود که در آن حالت سیستم را بی درنگ می گویند.(لازم به ذکر است که واکنش سیستم تشخیص نفوذ در مدت زمان قابل قبول می تواند همان مفهوم بی درنگ را داشته باشد.) سیستمهای تشخیص نفوذ از نظر چگونگی عملکرد و تشخیص به دو دسته تشخیص سوء استفاده ]3[ و تشخیص رفتارغیر عادی ]4[ تقسیم می شوند . در تشخیص سوء استفاده با بکارگیری متدها و روشهایی، نفوذ را درقالب یک الگو نمایش می دهند بطوریکه انواع مختلفی از همان نفوذ قابل شناسایی می باشد . سیستمهای تشخیص نفوذ IDES ]5 [و] NIDES6[ نمونه هایی از این دسته اند . روشهای متداولی که در روش تشخیص سوء استفاده بکار می روند عبارتند از : (1) سیستمهای خبره، (2) روش های گذارحالت و (3) روش CP-NET.
درتشخیص رفتارغیرعادی بافرض آنکه درفعالیتهای نفوذی همواره رفتارغیرعادی وجودخواهدداشت نماهایی ازرفتارعادی کاربران یک سیستم جمع آوری می شودآنگاه تمامی رفتارهایی که ازنماهای جمع آوری شده عادی متفاوت هستندبه عنوان تلاشی جهت نفوذ شناخته می شوند . به عنوان نمونه میتوان به سیستم تشخیص نفوذ STACK ] HEY2 [ اشاره نمود . می توان براساس منبع اطلاعات دریافتی سیستمهای تشخیص نفوذ را به سه دسته (1) سیستمهای تشخیص نفوذ مبتنی بر میزبان (2) ،سیستمهای تشخیص نفوذ مبتنی بر شبکه و(3)سیستمهای تشخیص نفوذ مبتنی بر میزبان و شبکه تقسیم نمود
3.حمله جلوگیری از سرویس و روشهای مقاومت در برابر آن
متداولترین حمله جهت خرابکاری در شبکه های کامپیوتری , حمله جلوگیری ازسرویس می باشد]7[ که در آن مهاجم یا مهاجمین سعی در جلوگیری از سرویس دهی یک سرویس دهنده به متقاضیان را دارند . رشد و افزایش حمله جلوگیری از سرویس در سالهای اخیر چشم گیر بوده بطوریکه از سال 1995تا 1999تعداد حمله ها، سالانه با 50% افزایش همراه بوده است]8[.
طبق گزارش (CSI/FBI 1999) ،32 % مجموع حملات به سایتهای کامپیوتری در دسته بندی حملات جلوگیری از سرویس DOSشناسایی شده اند]9[.آمار بدست آمده نشان میدهد که در90%حملات جلوگیری از سرویس، از TCP استفاده می شود]10[.
در این حمله نفوذی یا نفوذی ها سعی در کند نمودن و در نهایت از کار انداختن سرویس دهنده از طریق گرفتن منابع و تخصیص آنها به درخواستهای غیرمعتبروتقلبی خود دارند. به طورکلی حملات جلوگیری از سرویس را می توان به سه دسته تقسیم نمود]11[ :
- بهره برداری از خطاها و نقاط ضعف در پیاده سازی
- حمله به منابع سرویس دهنده
- حمله به پهنای باند سدویس دهنده(اشباع پهنای باند)
حمله جلوگیری ازسرویس که ناشی ازخطاها ونقاط ضعف درپیاده سازی می باشد، با نصب برنامه های اضافی تحت عنوان ( PATCH)
بر روی سرویس دهنده به راحتی قابل پیشگیری است . جلوگیری از حمله به منابع سرویس دهنده معمولا از پیچیدگی بسیاری برخوردار است.چون دراین نوع حمله از قابلیتها وخصیصه های برنامه های کاربردی و نقاط ضعفهای نهفته درپروتکل های بالایی لایه انتقال استفاده می شود. حمله به پهنای باند با ترافیک غیر قابل استفاده ، با تصادم بسته ها همراه است.
انواع حمله جلوگیری از سرویس عبارتند از:
IP SPOOFING-
- حمله جلوگیری از سرویس توزیع شده
- حمله SMURF
- حمله TRINOO
- حمله بمبهای نهان
- حمله پهنای باند
- حمله LAND
- حمله SYN-FLOODING
حمله SYN-FLOODING که متداولترین نوع حمله درحملات جلوگیری از سرویس می باشد مهاجم سعی درایجاد اتصا لات غیرمعتبر به منظورغیرقابل دسترسی نمودن منابع سیستم دارد.به عبارت دیگربا مشغول کردن ماشین هدف وبه هدردادن منابع آن، با ارسال بسته های SYN سرویس دهنده را به سوی ضعف می کشاند . سه عامل در حمله جلوگیری از سرویس قابل بررسی است . این عوامل عبارتند از:
- توانایی کامپیوتر نفوذی
- پهنای باند ارتباطی سرویس دهنده
- توانایی کامپیوتر سرویس دهنده و برنامه کاربردی آن
توانایی ها ومحدودیت های کامپیوتری و برنامه مورد استفاده نفوذی درحمله بسیار با اهمیت می باشد بطوریکه باید با سرعت زیاد وکمترین تاخیر و با نرخ بالایی بسته های درخواست ارتباط را ارسال دارد تا بتواند منابع سرویس دهنده را اشغال نماید . پهنای باند ارتباطی سرویس دهنده می تواند خود گلوگاهی برای آن باشد تا نفوذی با انرژی کمتر و ارسال بسته های درخواست با نرخ پایین تر سبب بروز تصادم و عدم رسیدن بسته های درخواست معتبر به سرویس دهنده و یا بسته های پاسخ سرویس دهنده به متقاضیان به دلیل اشباع پهنای باند شو د. با حمله به صورت توزیع شد ه نفوذی می تواند مشکل ضعف تک کامپیوترخود را حل نماید . از طرف دیگر با توجه به رشد فناوری ارتباطات و رفع محدودیت های انتقال اطلاعات پرسرعت، پهنای باند نیز می تواند از جانب سرویس دهنده ( در صورتی که اشباع روی دهد ) تقویت شود . اما آخرین عامل که کامپیوتر سرویس دهنده می باشد می تواند گلوگاه اصلی ونقطه ضعف اساسی برای سرویس دهنده باشد . بنابراین روشهای مقابله با حمله جلوگیری از سرویس سعی در تقویت این عامل و یافتن راه حلی برای مقاوم تر نمودن سرویس دهنده دارند.
اگر نگاهی به سناریوی اجرای پروتکلTCP/IP برای برقراری ارتباط داشته باشیم] 12[ مطابق شکل شماره 1 مشاهده می گردد که جهت برقراری ارتباط بین سرویس دهنده(SERVER) ومتقاضی(CLIENT)مرحله ای مقدماتی باید طی شود که 3WH^ نامیده می شود.
فرمت این مقاله به صورت Word و با قابلیت ویرایش میباشد
تعداد صفحات این مقاله 17 صفحه
پس از پرداخت ، میتوانید مقاله را به صورت انلاین دانلود کنید
دانلود مقاله بهبود مقاومت سرویسگر ها