أمن وحماية السيرفراتمواضيع عامةمواضيع ومقالات

مقال : هجمات الحرمان من الخدمة بالتفصيل

تم أرشفة هذا المحتوى


بسم الله الرحمن الرحيم

مقدمة تعريفية عن الهجوم

لكل شيئ في الحياة حدود وتبقى مقدار قوته  محدوده  مهما وصل من القوة, حتى في مجال امن المعلومات ، لكل جهاز على الأرض حدود من الطاقة والسرعة لا يستطيع تجاوزها ، ويبقى محدود بتلك السرعة وإنجاز المهام ، حتى مع تطور العلم والتكنولوجيا بالأخص تبقى قوة المعالجات والحواسيب محدوده مهما بلغت من سرعة  ، وتبقى أيضا كمية البيانات التي يعالجها محدوده ، مهما بلغت هذه البيانات من ضخامه فالحواسيب محدود بكمية معينة يستطيع معالجتها  فأن زادت هذه البيانات خارج طاقته لا يستطيع تحملها وينهار ، هذا هو مبدأ عمل هجمات الحرمان من الخدمة بكافة أنواعها ، وهو اغراق الهدف بكمية ضخمة من الطلبات والبيانات حتى نصل إلى حجم اكبر من طاقة الهدف فينهار او يخرج عن الخدمة وبهذا حققت هدفي واستطعت أيقاف ذلك الهدف من العمل أو حرمان من يستخدم ذلك الهدف من الاستفادة منه ، ومن هذا المفهوم تم تسميتها هجمات الحرمان من الخدمة (Denial of Service Attacks) هذا النوع من الهجمات يُدعى في بعض الأوساط “بإيدز الإنترنت” بسبب انه ليس له علاج حتى الآن ، فمهما بلغت مواصفات الهدف وسرعته وقدرته على معالجة واستقبال الطلبات يبقى ضمن رقم محدد من الطلبات مهما كان كبير  لا يستطيع أن يستقبل طلبات اكثر من ذلك العدد ، فتبقى هذه الهجمات من اكثر الهجمات خطورة على شبكة الأنترنت تهدد الدول والحكومات وكل الشبكات فهي عرضة لتعرض لهجوم الحرمان من الخدمة وانهيار شبكاتها وأجهرتها  .  هذه الهجمات تصنف الى قسمين :

1- (DOS = Denial of Service Attacks) هجمات الحرمان من الخدمة

2- (DDOS = Distributed Denial of Service Attacks) هجمات الحرمان من الخدمة الموزع

ماهو الفرق بين هجمات DOS وهجمات DDOS ؟

ظهرت بعض الحمايات التي تصد من هجمات الحرمان من الخدمة والتي تعمل على وضع قواعد وسياسات بكمية معينة من الطلبات يمكن استلامها ، على سبيل المثال يمكن أن يستلم الهدف 10 طلبات في الثانية الواحدة من المستخدم ، إذا زادت هذه الطلبات فأنه يتم تجاهلها ولا يتم قبلوها أو الانشغال بمعالجتها ، لذلك لا يشكل هذا تأثير على الهدف ولا يمكنني من زيادة الطلبات عليه والتسبب في انهياره أو خروجه عن الخدمة ، ولزيادة الحماية احياناً يقوم الهدف بشكل تلقائي بحظر ذلك المهاجم الذي يحاول أن يرسل العديد من الطلبات والبيانات ولا يتم استلام منه أي طلبات اخرى . بسبب مثل هذه الحمايات التي تم تحدد الطلبات وكميتها لا يمكن لأي شخص أن يرسل طلبات كثيره فسوف يتم حضره ،، ظهرت شبكات البوت نت (BOTNET)  قبل أن أتحدث ماهي شبكات البوت نت ، دعوني أوضح كيف تعمل هذه الشبكات ، نحن متفقين ان الهدف يملك حماية رائعة بسببها لم استطيع تنفيذ الهجوم وإرسال عدد كبير من الطلبات ، في الوضع الطبيعي لا يتم تحديد اي كمية معينه من الطلبات وأنما كل الطلبات لكل مستخدم ، بعد وضع الحماية تم تحديد 10 طلبات في الثانية لكل مستخدم ، في هذه الحالة اذا كان هناك 500000 مستخدم يسمح لكل مستخدم 10 طلبات العدد الكلي تقريبا = 25000000 طلب في الثانية هذا رقم مخيف جدا ولا يمكن لأي سيرفر تحمل هذا الكم من الطلبات في حالة كانت الطلبات من اجهزه تحمل خط انترنت سريع وتنقل باندويث عالي على السيرفر سوف ينهار في الفور ، ولكن السؤال الآن كيف للمهاجم أن يحصل على 500000 مستخدم ويستغلهم للهجوم ؟ لا تقلق سوف أوضح لك كيف يحصل المهاجم على هذا العدد من المستخدمين ، الآن هجوم DDOS يقصد به استغلال كمية من الناس في مساعدتك في تنفيذ هجمات الحرمان من الخدمة  وتنفيذ الهجوم على أي هدف تريد لا يوجد أي شيئ يمكنه إيفاقك ، لأنك في الواقع لم تقوم بأي شي غير شرعي على حسب قواعد الجدار الناري للسيرفر ، تم تحديد 10 طلبات نحن لم نخرج عن القاعدة طلبنا 10 طلبات فقط لكن الخدعة هي ان هناك 10 طلبات فقط من الألاف من المستخدمين .

ماهي شبكات  BOTNET ؟

dos_figure_4

هل تعلم أن دودة  Santy التى أطلقت فى 20 ديسمبر 2004 قامت بتدمير أكثر من 40 ألف موقع فى أقل من 24 ساعة فقط .

هل تعلم أن ( دودة كونفيكر – 2008) أصيب بها نحو 15 مليون خادم من خوادم مايكروسوفت الأمر الذى دفع مايكروسوفت فى فبراير 2009 إلى الإعلان عن مكافأة بقيمة 250 ألف دولار لأى شخص يدلى بمعلومات عن مصممى هذه الدودة .

هل تعلم ان (دودة ILOVEYOU) اصابت 50 مليون جهاز في عام 2000 .

والعديد والعديد من الفايروسات القاتلة على شبكة الإنترنت ، خاصة مع تطور أساليب الاختراق ، هل فكرت لماذا يتم صنع مثل هذه الفايروسات وماهو الغرض من هذا الانتشار المخيف ، الأمر واضح  قد يكون هناك فايروس له مهمة معينة مثل سرقة بعض البيانات او تنفيذ أمر معين يفيد صاحب الفايروس ، او تروجان يصيب جهازك ويجعلك تحت رحمة صاحب التروجان او الدودة يستخدمك لهجماته ، إذا قام بصنع دودة او فايروس وأصابت هذه الدودة 1000 جهاز سوف يكون تحت رحمة المهاجم 1000 جهاز يستخدمهم لهجمات الحرمان من الخدمة ، على سبيل المثال لدينا الآن شبكة كبيره من الضحايا سوف اعطيهم امر من خلال البرنامج الذي أتحكم به بالفايروس واخبر الأجهزة جميعكم اطلبوا الموقع الفلاني  الكثير من الطلبات . وبهذا حققنا الهجوم وتم تنفيذ هجموم الحرمان من الخدمة الموزع ، الصورة في الأعلى توضح الهجوم .

أنواع  هجمات الحرمان من الخدمة :

تنقسم الهجمات إلى  نوعين من حيث تصنيف عملها في طبقات الشبكات (osi layers model)

1- Application layer DDOS attack :

هذه الطبقة السابعة من طبقات osi layers وفي هذه الطبقة يتم معالجة البيانات الخاصة بالتطبيقات والبرمجيات مثل  ,database , apache ، mail ، DNS وغيرها من البرامج التي تعمل على النظام ، في هذا النوع يتم استغلال المدخلات من البرامج او البيانات التي يتم ادخالها من المستخدم الى البرنامج ،، على سبيل المثال لدينا خادم apache يمكن تنفيذ الهجوم بارسال سيل من الطلبات بفتح الصفحه او الموقع حتى يتم أغراق السيرفر وأخراجه من الخدمة بعض هذه الهجمات مثل:

  • HTTP GET DOS ATTACK
  • HTTP POST DOS ATTACK
  • HTTP Slow Read

وهناك أنواع أيضا لــ SMTP وأنواع اخرى لــ DNS  .. الخ

وانت قم بقياس الفكرة على بقية البرامج والخدمات التي تستقبل منك طلبات بكافة أنواعها .

 

2- Protocol DDOS attack:

هذا النوع من الهجوم الذي يتم في الطبقة الثالثة والرابعة والتي هي ضمن بروتوكول الشبكات او معيارية الشبكات نفسها .

أما إذا حاولنا ان نقوم بتقسيم الهجمات من حيث نوع الحزمة المرسلة او نوع البيانات :

1- UDP Flood

هذا النوع من الهجمات يستخدم بروتوكول UDP للهجوم على الشبكة باستخدام سيل من الطلبات باستخدام بورتات عشوائية وكثيرة مما يجعل من التطبيق المستخدم أو النظام المستخدم للتنصت على البورت أن يقوم بعمل مراجعة متكرره للبورتات المتنصتة على التطبيق ، إذا وجد تطبيق يقوم بالتنصت على بورت معين يقوم بالرد بحزمة ICMP ،، هذه العملية تستهلك الكثير من الموارد للنظام مما يجعل النظام كامل مشغول بهذه العملية ولا يمكنه استقبال طلبات اخرى من مستخدمين اخرين .

2- ICMP (Ping) Flood

مبدا عمل هذا الهجوم مشابه بشكل كبير للنوع السابق وهو أغراق الهدف بسيل من الطلبات من نوع ICMP مما يجعله مشغول بالرد على هذه الطلبات ويستهلك مواردة ، هذا الهجوم يستطيع ان يستهلك ويستنزف البيانات الصادرة والواردة للهدف .

3- SYN Flood

يستغل هذا الهجوم ضعف في (TCP) خاصة في عملية (the “three-way handshake”) عملية المصافحة في الشبكة بين الأجهزة ،،  ماذا يقصد بهذه العملية ؟

3way-handshake

عندما يريد جهاز التخاطب مع جهاز اخر في الشبكة ،، يقوم الجهاز بأرسال حزمة من نوع (SYN )  الى الهدف يقوم الهدف بالرد بحزمه (SYN/ACK) ليعرف بأنة مستعد لاستقبال البيانات يعود الجهاز بإرساله حزمة من نوع (ACK) ليبدأ بنقل البيانات وهكذا تتم في كل باكيت يرسل في الشبكة بين جهازين ،، هذا الهجوم يستغل هذه النقطة ويقوم المهاجم بأرسال حزم كثيرة من نوع (SYN) لكي يجعل الهدف مشغول بالرد بحزمة من نوع (SYN/ACK) ، ويغرقة بسيل من الطلبات حتى يخرج عن الخدمة بسبب عدم تحمله أن يستقبل طلبات مستخدمين غير المهاجم

4- Ping of Death

هذا الهجوم اختصاره هو (“POD”)  هذا الهجوم يستغل في الاجهزة القديمة من وندوز ويستغل خطا في نواه النظام لاستقبال حزم ping ،، الفكرة اغراق الهدف بطلبات ping مما يخرجه عن الخدمة ، هذا الهجوم اصبح عديم الفائدة في الوقت الحالي .

كانت هذه اربعه أنواع من الحزم  كمثال ما زال هناك الكثير من الحزم في معيارية الشبكة غير المذكورة والتي تسير بها الأجهزة  في الشبكة ،،  وأنما أريد أوضح لك مفهوم ان كل أنواع الهجمات تنطوي تحت فكرة إرسال طلبات كثيرة  ،، ماعلى لمهاجم هو إرسال كم هائل من الحزم الى الهدف ليستقبلها . سواء كان من جهاز المهاجم فقط او من خلال شبكة موزعة .

تبقى نوع واحد وهو له حالة خاصة وهو :

Zero-day DDoS : هذا النوع يعتمد على اكتشاف ثغرة او عيب في احد البرامج تمكن من عمل انهيار للهدف بشكل كامل حتى وان كان هناك حماية او فايروول ينظم الاتصالات ، هذا النوع لا يحتاج إلى شبكة موزعة أو شبكة بوت نت يكفي شخص واحد يستغل الثغرة وسوف ينهار السيرفر .

 

اهم الأدوات لتنفيذ هجمات الحرمان من الخدمة ؟

هناك الكثير من الادوات لتنفيذ الهجوم مثل :

  • LOIC) Low Orbit Ion Canon)
  • DDOSIM—Layer 7 DDOS Simulator
  • OWASP DOS HTTP POST
  • GoldenEye HTTP Denial Of Service Tool
  • rDos
  • R.U.DY) R U Dead Yet)
  • SlowLoris
  • Dirt Jumper
  • Tor’s Hammer
  • HPING3
  • Nuclear DDoSer

 

عملية دراسة قواعد الجدران النارية والفائدة منه لهجمات الحرمان من الخدمة :

هذا المفهوم أو بالأصح العملية  تتم تنفيذها قبل البدء بمهاجمة الهدف ،، ذكرت سابقاً في الأعلى أن بعض الحمايات ظهرت والتي تمكن من التحكم في الاتصالات الداخلة والخارجة وتنظيم حجمها وعددها وغيرها من الأمور،، والتي تجعل الهدف غير عرضة لهجوم الحرمان من الخدمة الغير موزع ، انأ ذكرت الغير موزع لأنة لا يوجد أي هدف في العالم غير معرض لهجمات الحرمان من الخدمة الموزع ولا يوجد لحل لهذه الهجمات إذا كان المهاجم يملك شبكة بوت نت كبيرة جدا ،، لذلك ظهر علم أو طرق وأدوات تمكني من دراسة قواعد الجدران النارية ومعرفة ماهي البورتات المفلترة وماهي أنواع الحزم التي يمكن للهدف أن يستقبلها وكم عددها ، وهل يسمح لي باستخدام UPD ام لا ،، كل هذا يتم دراسة عن طريق التجربة تقوم باستخدام اداوات مثل NMAP و HPING3 وغيرها من الأدوات التي مخصصة لتكوين الحزم والتلاعب فيها ، لدراسة قواعد الجدران النارية ومعرفة ماهو محظور وماهو مسموح ،، مثلا قمت بالفحص والتجربة بكل أنواع الحزم فوجدت أن الجدار الناري لا يمنع الحزم من نوع FIN سوف استغل هذا لصالحي وأقوم بمحاولة لإغراق الهدف طلبات من نوع حزم FIN .

الحماية من هجمات الحرمان من الخدمة وكيف تتم ؟

الحماية من هذه الهجمات تتلخص في تنظيم الاتصالات والحزم ووضع قواعد صارمة لتنظيم الاتصالات واستقبال الطلبات ومعالجتها ، ويبقى للمهاجم خبره التخلص من هذه القواعد وربما تزوير الحزم لمخادعة الجدار الناري وكذلك دراسة الجدار لعلة يجد انك نسيت نوع من انواع الحزم والذي يقم القيام بعمل هجوم حرمان من الخدمة بواسطته

اهم الأدوات المساعدة للحماية من هجمات الحرمان من الخدمة

 ( CSF firewall (ConfigServer Services

firewall

من أقوى انظمه الجدران النارية الموجهة لسيرفرات اللينكس ، يقوم هذا الجدار بادارة وأعداد iptables firewall لأنظمة لينكس ويجعل أدارته سهلة جدا تعرف علية اكثر من هذا المقال الذي شرحت فيه كيفية اعداده

 

خدمة cloudeflare

cdn-hosting-cloudflareهي خدمة تساعد على توفير الحماية الجيدة لموقعك او مدونتك من عديد من الهجمات وأشهرها الفلود كما انها تساعد الزوار على تصفح الموقع بكل خفة وذالك من خلال تخفيف عدد الطلبات الموجه إلى الموقعك وهذا بفضل شبكتها العالمية الذكية الموزعة حول العالم . تعرف عليها اكثر من هنا

اداة DDoS-Deflate

سكريبت DDoS-Deflate هو سكريبت مجاني ومفتوحة المصدر ويمكننا اعتباره من أفضل الأدوات الخاصة بصد هجمات حجب الخدمة على مستوى البرامج .

هذه كانت اهم المشاريع المساعدة في التقليل من تأثير هجمات الحرمان من الخدمة ؟

أتمنى أن ينال المقال إعجابك وتحياتي للجميع

علي الوشلي

علي الوشلي من اليمن, مدير مجتمع iSecur1ty , مهتم بأمن المعلومات واختبار الاختراق . حسابي على تويتر : ali_alwashali@

مقالات ذات صلة

‫20 تعليقات

  1. شكرا لك موضوع حلو استمتعت بقراءته بس اظن هذه الجملة خاطئة (التي ليس لقوته حدود)
    والصحيح
    ( الذي ليس لقوته حدود )
    🙂
    وشكرا

  2. السلام
    أنا أيضا أدرس لأصبح خبير في السلامة المعلوماتية
    أرجو أن تتقبلوني و أنا أتابعكم بشغف كبير
    أحسنتم و واصلوا و أمتعونا
    Ht047

  3. السلام عليكم أما أن فإني مازلت في بداية طريقي ادرس شبكات و- إتصالات واتابع بشغف الأمن المعلوماتي أرجو أن تتقبلني واستفيد منكم وشكراً

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى