مقال : نظرة على هجمات حجب الخدمة ضد كوريا الجنوبيّة
تقيمك :شهدت الفترة الماضية هجمات حجب خدمة على نطاق واسع ضد كوريا الجنوبية وفي جانب أقل ضد الولايات المتحدة. الهجمات اعتقد في البداية أن مصدرها كوريا الشمالية ليظهر مؤخراً أن الخادم المسؤول عنها موجود في بريطانيا, هذا تحليل مبسّط للهجمات وطريقة تنفيذها.
ما نعرفه حتى الآن عن الهجمات هو الآتي:
- تم توزيع الكود الضار في شهر مايو من هذا العام.
- تم نشر الكود الضّار من خلال البريد الإلكتروني ومواقع تم إختراقها.
- بلغ عدد الأجهزة التي تم اختراقها 166,909 حاسوب موزعة على 74 دولة أكثر من 90% من هذه الحواسيب موجود في كوريا الجنوبية تليها الولايات المتحدة ثم الصين واليابان.
- يتم التحكم بهذه الحواسيب من خلال ثمان خوادم يتم التحكم بهذه الخوادم بخادم يعتقد أنه مركز التحكم.
- الحواسيب المصابة تقوم بالاتصال بحواسيب التحكم كل ثلاثة دقائق لاستلام أوامر جديدة.
- في ذروة الهجمات بلغ قدرة الهجوم 13GBps هذا الرقم ضخم جدّاً. فهجوم كهذا يمكنه تعطيل الشبكة الوطنية لبعض الدول بشكل كامل.
- القسم الأكبر من الهجوم تم باستخدام طلبات HTTP GET تحاكي تصفح المتصفحات للمواقع الضحية من خلال فيض UDP و ICMP.
- في التحليل الذي نشرته الهيئة الأمنية الكورية الملف المشبوه كان عبارة عن ملف مضغوط يحمل الاسم flash.gif يحتوي على ملفات dll وملف يحتوي على قائمة باسماء المواقع المستهدفة.
- الولايات المتحدة تمكنت من احباط الهجوم في أول يومين وذلك عن طريق عمل صد للعناوين القادمة من كوريا الجنوبية.
- الهجوم كان على 5 مراحل بدأت في الرابع من يونيو. وكان المرحلة الأخيرة منها في العاشر من يونيو بعملية تدمير للأقراص الصلبة للحواسيب المصابة.
- الهجوم استهدف بدرجة اساسية كوريا الجنوبية حيث أن الكود الضار كان يبحث عن برمجيات كانت تستخدم في كوريا الجنوبية منذ عشر سنوات مثل برنامج معالج الكلمات الكوري هوولو.
- كون اكثر من 90% من الحواسيب المصابة هي من كوريا الجنوبية لم تتمكن الدولة من عمل صدّ للعناوين على جدارها النّاري الوطني كما فعلت الولايات المتحدة.
- تم تعطيل الجدار النّاري الخاص بالويندوز لتسهيل عملية الهجوم.
عن الكاتب:
باحث عن المعرفة, طالب ماجستير باحث في أمن المعلومات و مدوّن يهتم في العديد من الجالات المتعلّقة بالشبكات, الحماية والأنظمة المفتوحة المصدر.

مختبر إختراق من الأردن أحب كل ما يتعلق بأمن المعلومات ، أساهم في كتابة العديد من المقالات والتحديات في مُجتمع iSecur1ty ، أحب البرمجة بلغة python ولدي خبره في إدارة السيرفرات وبناء الأنظمة.
التعليقات
Mustafa Albazy
17 يوليو، 2009 الساعة 6:46 ماسلوب جميل جداً للموضوع 🙂
وفعلاً 13GB/ps رقم لايقاوم
انا اشوف ان النوع الجديد من الفايروسات اصبح الهدف منة استخدام الحواسيب المتصلة بالانترنت كبوتات ضرب .. زمان كانت اغلب الفيروسات هدفها تدمير النظام او تعطيل شيء بالنظام.
Zaid
17 يوليو، 2009 الساعة 7:11 مفعلاً شيئ مرتب
يعني مرتبيهة مثل حلقات للسلسلة
و اوافق الاخ مصطفى , تغير الهدف من برمجة الفيروسات الان اصبح هدف معضمهم جمع اكبر عدد من الاجهزة لتنفيذ اهدافهم
Mohannad Shahat
17 يوليو، 2009 الساعة 10:54 ميعطيك العافيه موضوع جميل ومرتب
تحياتي
عبدالمهيمن
18 يوليو، 2009 الساعة 2:12 صشكرا أخي باحث على التوضيح لكن 166,909 جهاز مصاب و DDoS 13GBps ليست كلمة سهلة! والفضل يعود لنظام ويندوز ومتصفح Internet Explorer بكل تأكيد!
بخصوص الفايروسات بالفعل شيء مخيف خصوصا أن تطورها سريع جدا وتنتشر بشكل جنوني بمجرد اكتشاف ثغرة في النظام أو المتصفح وكل مرة نشوف تطويرات وقدرات جديدة وصلت لدرجة تفوقها على الأنتي فايروس وبرامج الحماية مثل ماحصل في Conficker!
unex
25 يوليو، 2009 الساعة 4:03 صالسلام عليكم
الشء الذي لا افهمه كيف لل ISP ان يعتمدوا على MSOS ؟؟
Moh-Ec$perT
21 أغسطس، 2009 الساعة 4:26 مأنتم تتحدثون عن العمل ونسيتم صاحبه حتى أن دولة مثل كوريا الجنوبية عجزت عن صد الهجوم
ماذا لو كانت دولة من دولنا العربية فهي ضعيفة الحماية نسبيا
ربي يستر و السلام
ســامي
10 مارس، 2010 الساعة 12:03 صبورك فيك اخي باحت عن المعرفة
موضوع قيم
Mustafa Albazy معك حق 100% مع دائمااسئل نفسي ولا اجد اجوبة حول بعترة الفيروسات
التى تحطم النضام ماذا سيستفيذ هؤلاء ؟……
Key Sniffer
23 نوفمبر، 2010 الساعة 1:16 موالله شي جبار و مجهود كبير أيمت نحن العرب رح يطلع معنا نصف ما يفعلونه و نعمل هجوم مماثل و ندمر الشبكة الوطني للأمريكان و نمسح فيون الأرض و الله نيالون على هل أصرار في العلم مشكور أخوي على المقال الأكثر من رائع