معرفی حمله SYN Flood

حملات SYN flood یکی از شایع ترین حملات DDoS در لایه 4 شبکه مدل OSI که مثل حمله ACK و دیگر حملات TCP مبتنی بر یک اتصال TCP است که یک اتصال TCP طبق مطالب گذشته دارای سه مرحله است:

اول کلاینت یک بسته SYN به سرور می فرستد.
دوم سرور یک بسته SYN ACK به کلاینت می فرستد.
سوم کلاینت یک بسته ACK به سرور می فرستد.

هنگامی که این سه مرحله به اتمام برسد یک ارتباط مشروع و قانونی بین سرور و کلاینت برقرار می شود که می توانند به تبادل اطلاعات بپردازند. تمامی سرور ها دارای محدودیت در کانکشن های باز می باشند که این محدودیت می تواند به دلایلی همچون محدودیت های سخت افزاری و یا پیکربندی تنظیمات سرور باشد.

در یک حمله SYN flood که اکثرا با آی پی های جعلی انجام می شود مرحله اول اتصال انجام می شود؛ یعنی درخواست SYN ارسال می شود ولی مرحله دوم اتصال انجام نمی شود و سرور در انتظار تکمیل ارتباط می ماند و به نوعی کانکشن نیمه باز می ماند، اگر میزان کانکشن های نیمه باز افزایش یابد محدودیت کانکشن ها تمام می شود و هیچ جای خالی برای ایحاد یک کانکشن جدید بین سرور و کاربران واقعی آنها نمی ماند و به اصطلاح سرور DOWN می شود.

در مثال زیر پکت های ارسالی به سرور فرضی با آی پی 10.100.101.102 را مشاهده می کند که تحت حمله SYN flood قرار گرفته است:

به خواندن ادامه دهید →

معرفی حمله SNMP

باگ های سرویس های DNS همواره محبوب ترین راه برای ایجاد حملات DDoS عظیم برای مهاجمان بوده است؛به مرور زمان باگ های سرویس دهندگان DNS پتچ شدند و راه های سو استفاده از آن مسدود شده اند؛ به طوی که به هر درخواست ناشناخته پاسخ ندهند.

NTP یکی از روش های محبوب بود که به وسیله آن حملات بزرگی در تاریخ اینترنت به وقوع پیوست که به مرور زمان آنها پتچ شدند و راه های سو استفاده از آنها بسته شد؛ اگر چه حملات NTP هنوز نیز مورد استفاده قرار میگیرد اما مثل سابق نیست و نمی تواند حملاتی به قدرت و بزرگی سابق را ایجاد نماید اما جدیدا با خطر جدیدی مواجه هستیم به نام SNMP که از روش تقویت شده (amplification) برای ایجاد حملات استفاده می کنند.

SNMP چیست؟

SNMP مخفف Simple Network Management Protocol و به معنی پروتکل مدیریت آسان شبکه است، دستگاههای مثل سرور که نیاز دارند به اطلاعاتی مثل میزان فضای هارد؛ میزان رم و سی پی یو مصرفی و … مانیتور و از یک راه استاندارد گزارش کنند از پروتکل SNMP استفاده می کند. همچنین بسیاری از روتر ها گزارش پهنای باند و سلامت کارکرد خود را از طریق این پروتکل گزارش می دهند.

درخواست های SNMP بر روی پورت 161 و با پروتکل UDP ارسال و دریافت می شوند.

SNMP به عنوان یک روشDDOS

به خواندن ادامه دهید →

معرفی حمله TCP ACK Flood

در راستای معرفی و واشکافی حملات DDoS ؛ امروز قصد داریم به بررسی حمله TCP ACK Flood بپردازیم؛ این حمله بخشی از یک اتصال TCP به حساب می آید.
معمولا در یک اتصال TCP سه مرحله داریم در معرفی حملات HTTP Flood آنها را توضیح داده ایم :

این مراحل با اصطلاح three-way handshake نیز شناخته می شود.

یک حمله ACK Flood شامل یک دسته کامل از بسته های TCP به همراه بیت ACK فعال بر روی آن است. این نوع از حمله دارای تفاوت هایی در مقایسه با SYN flood است.

اول به شما نشان می دهیم که لاگ یک حمله ACK Flood به چه صورت است ؛ در لاگ زیر یک حمله بر روی آی پی فرضی 10.100.101.102 و پورت 80 بر روی انجام است.

[.] در اینجا به معنی یک پکت TCP است.

به خواندن ادامه دهید →

در خصوص حملات HTTP Flood بیشتر بدانید

HTTP flood یکی از مخرب ترین حملات DDoS محسوب می شود که برای مهاجمان به راحتی در دسترس است؛ HTTP Flood یک حمله در سطح لایه کاربردی (نرم افزاری – لایه 7 مدل OSI ) است و ساختن بات نت های گسترده برای این نوع حمله برای هکرها بسیار آسان و جلوگیری از آن بسیار دشوار است.

زمانی که یک کاربر از یک وب سایت بازدید می کند یک ارتباط TCP میان کاربر و سرور برقرار می شود.
اول کلاینت یک بسته SYN به سرور می فرستد
دوم سرور یک بسته SYN ACK به کلاینت می فرستد
سوم کلاینت یک بسته ACK به سرور می فرستد

HTTP Flood

زمانی که این اتفاق می افتد یک ارتباط باز بین سرور و کلاینت برای انتقال اطلاعات به وجود می آید و پکت های TCP بین آنها منتقل می شود که مرورگر این پکت های TCP را ترجمه کرده و محتوای یک وب سایت را به شما نشان می دهد؛ دقیقا مثل همین صفحه ای که در حال خواندن آن هستید.

حملات HTTP flood شامل باز کردن یک اتصال TCP معتبر در سرور و اقدام به ارسال تعدادی رکوئست به سرور است؛ مثل دانلود هر چیزی که در یک صفحه وب هست یا درگیر کردن بخشی از سایت برای ایجاد پرس و جوی بیش از اندازه در دیتابیس و …

یک مثال از حملات HTTP flood که به صورت GET ارسال می شوند شبیه به زیر است :

T 198.19.0.2:42728 -> 198.18.0.80:80 [AP] GET / HTTP/1.1. Host: example.com. User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0) Gecko/20100101 Firefox/8.0. .
T 198.19.0.2:40962 -> 198.18.0.80:80 [AP] GET / HTTP/1.1. Host: example.com. User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0) Gecko/20100101 Firefox/8.0. .
T 198.19.0.2:51486 -> 198.18.0.80:80 [AP] GET / HTTP/1.1. Host: example.com. User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0) Gecko/20100101 Firefox/8.0. .
T 198.19.0.2:55300 -> 198.18.0.80:80 [AP] GET / HTTP/1.1. Host: example.com. User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0) Gecko/20100101 Firefox/8.0. .
T 198.19.0.2:56396 -> 198.18.0.80:80 [AP] GET / HTTP/1.1. Host: example.com. User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:8.0) Gecko/20100101 Firefox/8.0. .

به خواندن ادامه دهید →

WAF چیست؟

در حال حاضر بیش از ۷۰ درصد حملات اینترنتی از طریق بستر وب صورت می‌گیرد، برنامه‌های کاربردی تحت وب به عنوان بزرگترین هدف مهاجمین جهت نفوذ به زیرساختهای اطلاعاتی سازمان‌ها تبدیل شده‌اند. با توجه به رشد روزافزون حملات تحت وب و عدم کارایی سیستم‌های تشخیص و جلوگیری از نفوذ محصول جدیدی در عرصه امنیت اطلاعات و ارتباطات با عنوان «فایروال برنامه‌های کاربردی تحت وب» (Web Application Firewall) به منظور مقابله با این حملات توسعه یافته است.

web application firewall(WAF)یک نرم افزار؛سخت افزار و یا مجموعه ای از قوانین پیاده سازی شده بر روی پروتکل ارتباطی HTTP می باشد. به طور کلی این قوانین جهت جلوگیری از حملات معمول هکر ها به وب سایت ها مثل cross-site scripting (XSS)و یا SQL injection و … می باشد.

با ایجاد چنین قوانینی بر ارتباطات HTTP می توان بسیاری از حملات هکرها را تشخص و مهار کرد و ترافیک را اعتبارسنجی کرد؛ نقش WAF در جلوگیری از حملات Zero Day ( ناشناخته و پتچ نشده) بر روی اسکریپت های تحت وب غیر قابل انکار است!

WAF را به شکلهای مختلف میتوان به اجرا درآورد؛ نوع اول به صورت یک ماژول قابل اضافه شدن به برنامه های موجود در Application Server است، نوع دوم به عنوان یک برنامة مجزا بر روی Application Server اجرا میشود و در نوع سوم به عنوان یک سیستم مستقل بر روی سخت افزار مجزا از سامانة اینترنتی نصب و راه اندازی میشود.

به خواندن ادامه دهید →

روتر های زامبی که قصد مردن ندارند

یک روتر اسکن از اینترنت نشان می دهد که حدود 53000 آی پی با دستگاه های قدیمی که از پروتکل RIPv1 استفاده می کنند پاسخ می دهند. این پروتکل منسوخ شده بدون رعایت موارد امنیتی مورد استفاده قرار میگیرد که عاملی برای انجام حملات spoofed UDP می باشد.پروتکل RIPv1 در زمان قدیم قابل تحسین بود؛زمانی قبل از طبقه بندی مسیریابی آدرس های اینترنتی (internet address routing) و قبل از اینکه تهدید فزاینده ای که امروز آن را به عنوان حملات DDoS می شناسیم ظهور کند.

اگر کار شما شبکه است؛ ما به شدت توصیه می کنیم که پورت 520 را مسدود کنید. هیچ استفاده عملی از پروتکل RIPv1 در دنیایی امروز وجود ندارد به جز سو استفاده هایی برای ایجاد حملات DDoS .

اکثر قریب به اتفاق این دستگاه ها روتر های soho هستند که در حال اجرا بر روی فریم وار هایی (firmware) هستند که بعید است به روز شده باشند. در گذشته ما شاهد سرویس دهندگانی بودیم که دارای نسخه های آسیب پذیر بودند؛ سرویس هایی همچون DNS و NTP ؛ اما با این حال باگ بسیاری از این سرویس دهندگان وصله (patch) شده است.
در مقابل روتور های soho فراموش شده اند ؛ آنها را رها کرده ایم تا در یک گنجه تاریک اجرا شوند و به کار خود ادامه دهند؛ خارج از دید ؛ خارج از ذهن و همچنان این روتر ها یکی از مهم ترین ابزار های سو استفاده برای راه اندازی بزرگترین حملات سایبری DDoS است و خواهد بود.

خطر افزایش بات نت های ایرانی

در مقدمه باید بدانیم بات نت چیست؟

بات‌نت‌ها شبکه‌هایی هستند که با در اختیار گرفتن مجموعه‌ای از کامپیوترها که بات(bot) نامیده می‌شوند، تشکیل می‌شوند. این شبکه‌ها توسط یک و یا چند مهاجم که botmasters نامیده می‌شوند، با هدف انجام فعالیت‌های مخرب کنترل می‌گردند. به عبارت بهتر هکر ها – اتکر ها با انتشار ویروس ها و برنامه های مخرب به صورت غیر قانونی و بدون اطلاع صاحب کامپیوتر کنترل آن را در دست میگیرند و با استفاده از مجموعه ای از این کامپیوتر ها درخواست های جعلی زیادی را به سمت سرور یا سایت قربانی ارسال می کنند که به انجام یک حمله DDoS منجر می شود.

توضیحات کامل تر را در اینجا بخوانید

همانطور که می دانید بات نت ها یکی از قوی ترین ابزار ها در حملات سایبری می باشد؛ از ژاپن گرفته تا چین و آمریکا ؛ هر کدام به دنبال روش های جلوگیری و مقاوم سازی در برابر حملات DDoS می باشند. دیتا سنتر های DDoS Protection که اکثرا با حمایت های مالی دولتی در کشور های مختلف از جمله آمریکا راه اندازی می شوند بهترین روش برای محافظت از شبکه ها و سایت های حساس و مهم و تجاری می باشند.

اما ایران در این خصوص چه اقدامی انجام داده است؟ سرور ها و شبکه های داخل ایران تا چه اندازه در مقابل حملات سنگین DDoS مقاوم هستند؟

به خواندن ادامه دهید →

پلاگین گوگل کروم و تبدیل کاربر به زامبی!

به تازگی یکی از پلاگین های کروم (extension) کاربران را به یک زامبی تبدیل می کند و از رایانه کاربران بدون اجازه آنها جهت استفاده از حملات DDoS استفاده می نماید.

یک سرویس مشاهده آنلاین ویدئو های بلاک شده ( همانند ویدئو های فیس بوک و یوتوب و .. )به نام Hola کاربران خود را بدون اجازه و اطلاع آنها به عضوی از یک بات نت بزرگ تبدیل می کند که از رایانه های آنها جهت انجام حملات DDoS استفاده می کند.به توجه به رایگان بودن سرویس این سایت که در قالب یک افزونه گوگل کروم ارائه می شود ؛ کاربران زیادی از آن استفاده می کنند.
سازندگان این افزونه از فروش یوزر ها (بات نت) به هکر ها کسب در آمد می کنند و به هکر های دیگر این اختیار را می دهند تا بتوانند ترافیک سنگینی را به سمت سایت قربانی هدایت کنند و در حقیقت از پهنای باند اینترنت کاربران استفاده نمایند.

حملات DDoS را به صورت آنلاین مشاهده کنید

گوگل در سال های گذشته قدم های اساسی برای مقابله با حملات DDoS برداشته است که از آن جمله می توان پروژه “گوگل شیلد” و سرویس “کلود هاستینگ” گوگل را نام برد که سعی در محافظت از وب سایت کاربران در برابر حملات DDoS داشت.

آمار و اطلاعات گوناگونی در خصوص حملات روزانه در دنیا منتشر می شود ؛ اما هیچ کدام دقیق نیست! چرا که به هیچ وجه آنالیز ترافیک کل دنیا و جدا سازی حملات از ترافیک مجاز و بررسی آن امکان پذیر نیست؛

یکی از سرویس های جالب گوگل سایت http://www.digitalattackmap.com می باشد که گوگل در این سایت سعی کرده که یک سرویس LIVE به صورت گرافیکی و آماری از حجم و متود حملات DDoS روزانه ارائه دهد.

گوگل این اطلاعات را با همکاری شرکت arbor بدست می آورد و بعد از آنالیز آنها را در سایت بالا قرار می دهد.

این سایت آمار و اطلاعات خوبی از حملات DDoS در اختیار کاربران قرار می دهد.

سنترال هاستینگ در مقابل چه حملاتی مقاوم است؟

یکی از اهداف تیم ما به ارمغان آوردن امنیت هر چه بیشتر کاربران در مقابل حملات می باشد. اما شاید برایتان سوالی ایجاد شود که چه نوع حملاتی؟

تخصص عمده ما در خصوص حملات DDoS می باشد که البته DDoS دسته بندی های متفاوتی دارد که به دو دسته اصلی لایه 7 (نرم افزاری) و لایه 4 و 3 تحت شبکه می باشد.

برخی از حملات DDoS که سنترال هاستینگ شما را در مقابل آنها مقاوم می کند:

TCP RESET	TCP FIN	TCP SYN + ACK
TCP Fragment	TCP ACK + PSH	TCP ACK
HTTP URL GET/POST Floods	SYN Floods Against SSL Protocols	TCP, UDP & ICMP Floods
SSL Renegotiation Attacks	Malformed SSL Attacks	Malformed HTTP Header Attacks
IGMP	SIP Request Floods	SSL Exhaustion
Spoofing / Non-Spoofed	Connection Flood	Brute Force
DNS Cache Poisoning Attacks	Ping of Death	Mixed SYN + UDP or ICMP + UDP flood
Reflected ICMP and UDP	Smurf	DNS Amplification
Slowloris/Pyloris and Pucodex	Blackenergy, Darkness, YoYoDDoS, etc…	Teardrop
Zero-day DDoS attacks	Voluntary Botnets	Sockstress and ApacheKiller
Custom Attacks – Unique to your service	Application Attacks	HOIC, LOIC, etc…