SlideShare a Scribd company logo

Ddos dos

A
arichoana

حملات Ddos dos

Education
1 of 18
‫ﺷﺮﮐﺖ ﻣﺨﺎﺑﺮات اﺳﺘﺎن ﻗﺰوﯾﻦ‬ ‫اداره دﯾﺘﺎ‬ ‫ﺣﻤﻼت‬ ‫‪ DDOS‬و ‪DOS‬‬ ‫ﻓﺮﯾﺪه رﺟﺒﯽ ﭘﻮر‬ ‫ﭘﺎﯾﯿﺰ 29‬
‫ﻓﻬﺮﺳﺖ‬ ‫ﻣﻘﺪﻣﻪ‬ ‫دﺳﺘﻪ ﺑﻨﺪي ‪DOS Attack‬‬ ‫ ﺗﻮﻗﻒ ﺳﺮوﯾﺲ ﻫﺎ‬‫ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ‬‫راه ﻫﺎ و روش ﻫﺎي ﻣﺘﺪاول ﺑﺮاي ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ‬ ‫ﭘﺮ ﮐﺮدن ﺟﺪول ﭘﺮدازش‬‫ ﻓﺮﺳﺘﺎدن ﺗﺮاﻓﯿﮏ‬‫ ﭘﺮ ﮐﺮدن ﺳﯿﺴﺘﻢ ﻓﺎﯾﻞ‬‫ﻣﺘﻮﻗﻒ ﮐﺮدن ﺳﯿﺴﺘﻢ ﻫﺎ از راه دور‬ ‫‪Land‬‬‫ ‪Ping of Death‬‬‫ 2‪Jolt‬‬‫ ‪Teardrop , Newtear , Book , Syndrop‬‬‫ ‪Winnuke‬‬‫ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ از راه دور‬ ‫‪SYN FLOOD‬‬‫ﺣﻤﻼت ‪SMURF‬‬‫-ﺣﻤﻼت ﺗﻮزﯾﻊ ﺷﺪه‪DOS‬‬
‫آﺷﻨﺎﯾﯽ ﺑﺎ ‪ DDOS‬و روش ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻼت آن‬ ‫اﻧﻮاع ﺣﻤﻼت‪DDOS‬‬ ‫‪TRINOO‬‬‫-‪TFN/TFN2K ,STECHELDRAHT‬‬ ‫ﻧﺤﻮه ﭘﯿﺸﮕﯿﺮي از ﺣﻤﻼت‬ ‫ﭼﮕﻮﻧﻪ از وﻗﻮع ﺣﻤﻼت ‪ dos‬ﯾﺎ ‪ ddos‬آﮔﺎه ﺷﻮﯾﻢ‬
‫ﻣﻘﺪﻣﻪ‬ ‫ﺑﺮﺧﯽ از ﻫﮑﺮﻫﺎ ﺑﻪ دﻧﺒﺎل ﻧﻔﻮذ ﺑﻪ ﺳﯿﺴﺘﻢ ﻫﺎي ﮐﺎﻣﭙﯿﻮﺗﺮي و ﺑﻪ دﺳﺖ ﮔﺮﻓﺘﻦ ﮐﻨﺘﺮل ﮐﺎﻣﻞ ﯾﮏ ﺳﺮور ﻫﺴﺘﻨﺪ و ﺑﺮﺧﯽ دﯾﮕﺮ اﻫﺪاف دﯾﮕﺮي ﻣﺎﻧﻨﺪ ﺟﻠﻮﮔﯿﺮي از‬ ‫دﺳﺘﯿﺎﺑﯽ ﮐﺎرﺑﺮان ﯾﮏ ﺳﺎﯾﺖ و ﺗﻮﻗﻒ ﮐﻪ ‪ Dos‬ﮐﺮدن آن ﺳﺎﯾﺖ را دارﻧﺪ. در ﮐﻞ ﺗﮑﺬﯾﺐ ﺳﺮوﯾﺲ ﺑﻪ وﺳﯿﻠﻪ ﻫﮑﺮﻫﺎ را ﺣﻤﻼت ‪ Down‬آن ﺳﺮور ﻣﯽ ﮔﻮﯾﻨﺪ وﻟﯽ‬ ‫اﯾﻦ ﻧﮑﺘﻪ را ﻧﯿﺰ ذﮐﺮ ﮐﻨﻢ ﮐﻪ اﯾﻦ ‪ Denial of Service‬ﻣﺨﻔﻒ ﮐﻠﻤﻪ را ﺑﺎ ﻫﻢ ‪ Dos‬ﮐﻪ ﺧﻂ ﻓﺮﻣﺎن ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ وﯾﻨﺪوز اﺳﺖ ﮐﺎﻣﻼً ﻓﺮق دارد و اﯾﻦ دو‬ ‫‪Operation System‬از ﻧﻈﺮ ﺗﮑﻨﯿﮑﯽ اﺣﺘﯿﺎج ﺑﻪ داﻧﺶ ﺑﺎﻻ و ﯾﺎ داﻧﺴﺘﻦ ﻣﻄﻠﺐ ‪ Dos‬اﺷﺘﺒﺎه ﻧﮕﯿﺮﯾﺪ. در ﺣﻘﯿﻘﺖ ﺳﺮور ﺑﻪ ﻧﺪرت ‪ Dos‬ﺧﺎﺻﯽ ﻧﺪارﻧﺪ‬ ‫ﭼﻮن در اﮐﺜﺮ ﺣﻤﻼت دﭼﺎر ﻣﺸﮑﻞ ﻣﯽ ﺷﻮد وﻟﯽ اﮔﺮ ﻫﮑﺮ ﺑﺎﺗﺠﺮﺑﻪ ﺑﺎﺷﺪ ﺑﻪ وﺳﯿﻠﻪ اﯾﻦ ﺣﻤﻠﻪ ﺑﺎﻋﺚ اﺧﺘﻼل در ﺳﯿﺴﺘﻢ ﻣﯽ ﺷﻮد ﮐﻪ ﻫﻤﻪ اﯾﻨﻬﺎ ﺑﺴﺘﮕﯽ ﺑﻪ ﻧﻮع‬ ‫ﺳﯿﺴﺘﻢ ﺳﺮور و ﻧﻮع ﺣﻤﻠﻪ و ﺗﻌﺪاد ﻫﮑﺮﻫﺎ ... دارد ﮐﻪ در ﻧﻬﺎﯾﺖ ﺑﺎﻋﺚ ﺧﺎﻣﻮش ﺷﺪن ﺳﺮور و راه اﻧﺪازي دوﺑﺎره ﺳﺮوﯾﺲ ﻫﺎ ﺗﻮﺳﻂ ﻣﺪﯾﺮ و‬ ‫‪administrator‬ﻣﯽ ﺷﻮد .‬ ‫‪ Dos Attack‬راه ﺧﻮﺑﯽ ﺑﺮاي ﺣﻤﻠﻪ ﮐﺮدن ﺑﻪ ﺳﺎﯾﺖ ﻫﺎ اﺳﺖ، وﻟﯽ ﮐﺎﻣﭙﯿﻮﺗﺮ ﺷﺨﺼﯽ و‪ Desktop‬ﮐﻤﺘﺮ ﭘﯿﺶ ﻣﯽ آﯾﺪ ﮐﻪ ﻣﻮرد اﯾﻦ ﻧﻮع ﺣﻤﻠﻪ ﻫﺎ ﻗﺮار‬ ‫ﺑﮕﯿﺮد، ﻫﺪف ﺑﯿﺸﺘﺮ ﺳﺮور ﺳﺎﯾﺖ ﻫﺎ و ‪ ISP‬ﻫﺎ اﺳﺖ .وﻗﺘﯽ ﻫﮑﺮﻫﺎ ﻧﺘﻮاﻧﻨﺪ ﺑﺎ روش ﻫﺎي راﯾﺠﯽ ﻣﺜﻞ ‪ Exploit‬ﮐﺮدن و ﻟﺒﺮﯾﺰ ﮐﺮدن ﺳﺮ رﯾﺰ ﺑﺎﻓﺮ ﺳﯿﺴﺘﻢ و‬ ‫ﯾﺎ‪ Buffer OverFlow‬و‪ Injection‬روش ﻫﺎي دﯾﮕﺮي ﮐﻪ‪Access‬‬ ‫ﮐﻨﺘﺮل ﯾﮏ ﺳﺮور را ﺑﻪ آﻧﻬﺎ ﻣﯽ دﻫﺪ، ﺑﻪ ﯾﮏ ﺳﺮور ﻧﻔﻮذ ﮐﻨﻨﺪ ﺑﻪ ﺳﺮاغ آﺧﺮﯾﻦ‬ ‫روش ﺣﻤﻠﻪ ﮐﻪ ﻫﻤﺎﻧﺎ ‪ doc‬ﮐﺮدن آن ﺳﺮور ﯾﺎ ﺳﺎﯾﺖ اﺳﺖ ﻣﯽ روﻧﺪ. ﯾﮏ ﻣﻬﺎﺟﻢ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎ ارﺳﺎل ﭘﯿﺎم ﻫﺎي اﻟﮑﺘﺮوﻧﯿﮑﯽ ﻧﺎﺧﻮاﺳﺘﻪ ﮐﻪ از آﻧﺎن ﺑﺎ ﻧﺎم ‪SPAM‬‬ ‫.‬ ‫ﯾﺎد ﻣﯽ ﺷﻮد، ﺣﻤﻼت ﻣﺸﺎﺑﻬﯽ را ﻣﺘﻮﺟﻪ ﺳﺮوﯾﺲ دﻫﻨﺪه ﭘﺴﺖ اﻟﮑﺘﺮوﻧﯿﮑﯽ ﻧﻤﺎﯾﺪ ﻫﺮ ‪) ACCOUNT‬ﭘﺴﺖ اﻟﮑﺘﺮوﻧﯿﮑﯽ( ﺻﺮﻓﻨﻈﺮ از ﻣﻨﺒﻌﯽ ﮐﻪ آن را در‬ ‫اﺧﺘﯿﺎر ﺷﻤﺎ ﻗﺮار ﻣﯽ دﻫﺪ ﻧﻈﯿﺮ ﺳﺎزﻣﺎن ﻣﺮﺑﻮﻃﻪ و ﯾﺎ ﺳﺮوﯾﺲ ﻫﺎي راﯾﮕﺎﻧﯽ ﻧﻈﯿﺮ ﯾﺎﻫﻮ و ‪hot mail‬داراي ﻇﺮﻓﯿﺖ ﻣﺤﺪودي ﻣﯽ ﺑﺎﺷﻨﺪ .ﭘﺲ از ﺗﮑﻤﯿﻞ‬ ‫ﻇﺮﻓﯿﺖ ﻓﻮق، ﻋﻤﻼ "اﻣﮑﺎن ارﺳﺎل ‪ email‬دﯾﮕﺮي ﺑﻪ ‪ account‬ﻓﻮق وﺟﻮد ﻧﺨﻮاﻫﺪ داﺷﺖ .ﻣﻬﺎﺟﻤﺎن ﺑﺎ ارﺳﺎل ﻧﺎﻣﻪ ﻫﺎي اﻟﮑﺘﺮوﻧﯿﮑﯽ ﻧﺎﺧﻮاﺳﺘﻪ ﺳﻌﯽ ﻣﯽ‬ ‫ﻧﻤﺎﯾﻨﺪ ﮐﻪ ﻇﺮﻓﯿﺖ ‪ account‬ﻣﻮرد ﻧﻈﺮ را ﺗﮑﻤﯿﻞ و ﻋﻤﻼ " اﻣﮑﺎن درﯾﺎﻓﺖ ‪email‬ﻫﺎي ﻣﻌﺘﺒﺮ را از ‪ account‬ﻓﻮق ﺳﻠﺐ ﻧﻤﺎﯾﻨﺪ.‬ ‫روش ﮐﺎر ﺑﻪ اﯾﻦ ﺻﻮرت اﺳﺖ ﮐﻪ در ﯾﮏ ﻟﺤﻈﻪ ﺣﺠﻢ اﻃﻼﻋﺎﺗﯽ زﯾﺎدي ﻣﺘﻮﺟﻪ ﯾﮏ ﺳﺮور ﻣﯽ ﺷﻮد و ﺗﻌﺪاد زﯾﺎدي ﺑﺴﺘﻪ و ‪ Packet‬ﺑﻪ ﺳﻤﺖ آن ﺳﺮور از‬ ‫ﻃﺮف ﻫﮑﺮ ﯾﺎ ﻫﮑﺮﻫﺎ و ‪ Zambie‬ﻫﺎ ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد ﮐﻪ اﯾﻦ ﺣﺠﻢ ﺧﯿﻠﯽ ﺑﯿﺸﺘﺮ از ﭘﻬﻨﺎي ﺑﺎﻧﺪ و ﻇﺮﻓﯿﺖ آن ﺳﺮور ﺑﻮده و ﺑﺮاي ﻣﺪﺗﯽ ﮐﻪ ﺑﺴﺘﮕﯽ ﺑﻪ ﺗﺠﺮﺑﻪ‬ ‫ﻫﮑﺮﻫﺎ دارد ﺗﺮاﻓﯿﮏ زﯾﺎدي در اﯾﻦ ﺧﻄﻮط اﯾﺠﺎد ﻣﯽ ﺷﻮد و اﮐﺜﺮاً ﺑﺎﻋﺚ ﺧﺎﻣﻮش ﺷﺪن ﺳﺮور ﻣﯽ ﺷﻮد.‬ ‫ﺑﺰرﮔﺘﺮﯾﻦ ﺣﻤﻠﻪ ‪ dos‬ﭼﻨﺪي ﭘﯿﺶ ﺑﺮ ﻋﻠﯿﻪ 31 ﺳﺮور اﺻﻠﯽ اﯾﻨﺘﺮﻧﺖ ﮐﻪ وﻇﯿﻔﻪ آﻧﻬﺎ ﮐﻨﺘﺮل آدرس ﻫﺎي اﯾﻨﺘﺮﻧﺘﯽ و ﺗﺮﺟﻤﻪ آﻧﻬﺎ ﺑﺮاي ﺷﺒﮑﻪ ﻫﺎي ‪dns‬ﺑﻮد‬ ‫ﺻﻮرت ﮔﺮﻓﺖ ﮐﻪ ﺑﺎﻋﺚ ﺗﺮاﻓﯿﮏ ﺷﺪﯾﺪي در ﮐﻞ ﺷﺒﮑﻪ اﯾﻨﺘﺮﻧﺖ ﺷﺪ و از اﯾﻦ 31 ﺳﺮور ﺑﺰرگ 9 ﺳﺮور ﺑﻪ ﮐﻠﯽ ﺧﺎﻣﻮش ﺷﺪﻧﺪ و اﮔﺮ 4 ﺳﺮور ﺑﺎﻗﯽ ﻣﺎﻧﺪه‬ ‫اﻧﺘﻘﺎل اﻃﻼﻋﺎت و ﺗﺮاﻓﯿﮏ اﯾﻨﺘﺮﻧﺖ و وﻇﯿﻔﻪ ﺳﺮورﻫﺎي ‪ down‬ﺷﺪه دﯾﮕﺮ را ﺑﻪ ﻋﻬﺪه ﻧﻤﯽ ﮔﺮﻓﺘﻨﺪ ﺷﺒﮑﻪ اﺑﻨﺘﺮﻧﺖ و ﺗﻤﺎﻣﯽ ﺳﺎﯾﺖ ﻫﺎ از ﮐﺎر ﻣﯽ اﻓﺘﺎدﻧﺪ.‬ ‫ﺑﻌﻀﯽ از ﺷﺮﮐﺖ ﻫﺎي ﺗﺠﺎري ﻧﯿﺰ ﺑﺮ ﻋﻠﯿﻪ رﻗﺒﺎي ﺧﻮد دﺳﺖ ﺑﻪ ﭼﻨﯿﻦ ﺣﻤﻠﻪ ﻫﺎﯾﯽ ﻣﯽ زﻧﻨﺪ، ﺑﺮاي ﻣﺜﺎل اﮔﺮ ﺳﺮور ﯾﮏ ﺷﺮﮐﺖ ‪ Hosting‬ﺑﺎ اﺳﺘﻔﺎده از اﯾﻦ‬ ‫ﺣﻤﻠﻪ ﻫﺎ ﺣﺘﯽ ﺑﺮاي 1 ﺳﺎﻋﺖ ﺧﺎﻣﻮش ﺷﻮد و ﻧﺘﻮاﻧﺪ ﺑﻪ ﮐﺎرﺑﺮان ﺧﻮد ﺳﺮوﯾﺲ ﺑﺪﻫﺪ ﻣﻄﻤﺌﻨﺎً ﺧﯿﻠﯽ از ﮐﺎرﺑﺮان ﺧﻮد را از دﺳﺖ ﻣﯽ دﻫﺪ زﯾﺮا ﺑﺮاي ﯾﮏ‬ ‫ﺳﺎﯾﺖ ﺗﺠﺎري ﮐﻪ ﺑﺮ روي اﯾﻦ ‪ hosting‬ﻓﻀﺎ دارد 1 ﺳﺎﻋﺖ ﺧﺎﻣﻮش ﺑﻮدن ﺳﺎﯾﺖ ﺑﺮاﺑﺮ اﺳﺖ ﺑﺎ ﻫﺰاران دﻻر ﺿﺮر ﻣﺎﻟﯽ و اﯾﻦ ﺑﻪ ﻧﻔﻊ رﻗﯿﺐ اﯾﻦ ﺷﺮﮐﺖ‬ ‫‪hosting‬اﺳﺖ زﯾﺮا ﻣﺸﺘﺮﯾﺎن اﯾﻦ‬ ‫‪ hosting‬آن را ﺗﺮك ﮐﺮده و از ﺧﺪﻣﺎت ﺷﺮﮐﺖ ﻃﺮف ﻣﻬﺎﺟﻢ اﺳﺘﻔﺎده ﺧﻮاﻫﻨﺪ ﮐﺮد.‬ ‫اﻧﻮاع اﯾﻦ ﺣﻤﻼت و ﺑﺮﻧﺎﻣﻪ ﻫﺎﯾﯽ ﮐﻪ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ ﺑﺮاي ﻫﺮ ﮐﺪام از ﺣﻤﻼت ‪ doc‬اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد .در ﮐﻞ‪ Dos Attack‬ﺑﻪ دو دﺳﺘﻪ ﺗﻘﺴﯿﻢ ﻣﯽ ﺷﻮد.‬
‫1 -ﺗﻮﻗﻒ ﺳﺮوﯾﺲ ﻫﺎ‬ ‫2 - ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ‬ ‫ﻣﺘﻮﻗﻒ ﮐﺮدن ﯾﮏ ﺳﺮوﯾﺲ ﺑﻪ ﻣﻌﻨﯽ اﯾﺠﺎد اﺧﺘﻼل در ﯾﮏ ﺳﺮوﯾﺲ ﺧﺎص اﺳﺖ ﮐﻪ ﮐﺎرﺑﺮان ﻣﯽ ﺧﻮاﻫﻨﺪ ﺑﻪ آن دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ وﻟﯽ در ﺣﻤﻼت‬ ‫ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ ﺧﻮد ﺳﺮوﯾﺲ ﻫﻤﭽﻨﺎن ﺑﻪ ﮐﺎر ﺧﻮد اداﻣﻪ ﻣﯽ دﻫﺪ‬ ‫وﻟﯽ ﻫﮑﺮﻫﺎ ﻣﻨﺎﺑﻊ ﺷﺒﮑﻪ ﯾﺎ ﮐﺎﻣﭙﯿﻮﺗﺮ را ﺑﺎ ﻫﺪف ﺟﻠﻮﮔﯿﺮي از دﺳﺖ ﯾﺎﺑﯽ ﮐﺎرﺑﺮان ﻣﺠﺎز ﺑﻪ ﺳﺮوﯾﺲ ﻣﺼﺮف ﯾﺎ‬ ‫ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﻪ ﺻﻮرت ﻣﺤﻠﯽ و ﯾﺎ از ﻃﺮﯾﻖ ﺷﺒﮑﻪ ﺑﻪ ﺳﻤﺖ ﻫﺪف ‪ Dos‬ﻫﺪر ﻣﯽ دﻫﻨﺪ .اﯾﻦ دو دﺳﺘﻪ از ﺣﻤﻼت‬ ‫ﺑﻪ ﮐﺎر ﮔﺮﻓﺘﻪ ﺷﻮﻧﺪ‬ ‫___‪_____Stopping Services______Exhausting Resources‬‬ ‫+ ‪+ *process killing + *for king processes to‬‬ ‫+ ‪+ *system reconfiguring + fill the process table‬‬ ‫+ ‪+ *process crashing + *filling up the whole‬‬ ‫‪+ file system‬‬ ‫+‬ ‫+ ,.‪+ *malformed packet + *packet floods, (e.g‬‬ ‫+ ,‪+ atacks (e.g.,land, + SYN Flood, smurf‬‬ ‫).‪(across the + teardrop,etc‬‬ ‫+ ‪+ distributed denial‬‬ ‫+ )‪network) + + of Service‬‬ ‫‪Locally‬‬ ‫‪Remotely‬‬ ‫در ﻧﻤﻮدار ﺑﺎﻻ روش ھﺎ ‪ denial of service‬ﺑﺮاﺳﺎس روش ھﺎي ﺑﺮﺟﺴﺘﻪ ‪ dos‬دﺳﺘﻪ ﺑﻨﺪي ﺷﺪه اﺳﺖ .‬ ‫ﻣﺘﻮﻗﻒ ﮐﺮدن ﺳﺮوﯾﺲ ﻫﺎي‬ ‫ﻣﺤﻠﯽ)‪: (Stopping Services‬‬ ‫ﺑﺎ اﺳﺘﻔﺎده از ﯾﮏ ‪ account‬ﻣﺤﻠﯽ روي ﯾﮏ ﻣﺎﺷﯿﻦ، ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﯾﮏ ﺣﻤﻠﻪ‬ ‫‪ dos‬ﮐﻪ ﺑﻮﺳﯿﻠﻪ ﻣﺘﻮﻗﻒ ﮐﺮدن ﭘﺮدازش ﻫﺎي ﺑﺎ ارزش ﮐﻪ ﺳﺮوﯾﺲ ﻫﺎ را‬ ‫ﺗﺸﮑﯿﻞ دادﻧﺪ اﻧﺠﺎم ﺑﺪﻫﺪ ﺑﺮاي ﻣﺜﺎل ﯾﮏ ﻫﮑﺮ روي ﯾﮏ ﺳﯿﺴﺘﻢ ﯾﻮﻧﯿﮑﺲ ﻣﯽ ﺗﻮاﻧﺪ ﭘﺮدازش ‪ inted‬را ﻣﺘﻮﻗﻒ ﮐﻨﺪ اﻟﺒﺘﻪ در ﺻﻮرﺗﯽ ﮐﻪ از اﻣﺘﯿﺎزات رﯾﺸﻪ‬ ‫اي ﯾﺎ ‪root‬ﺑﺮﺧﻮردار ﺑﺎﺷﺪ‬ ‫‪ inted‬ﻣﺴﺌﻮل ﺷﻨﻮد ارﺗﺒﺎﻃﺎت ﺷﺒﮑﻪ اي و اﺟﺮاي ﺳﺮوﯾﺲ ﻫﺎي ﺧﺎﺻﯽ ﻣﺜﻞ ‪ telnet –ftp‬در ﻫﻨﮕﺎم ﺑﻪ وﺟﻮد آﻣﺪن‬ ‫ﺗﺮاﻓﯿﮏ ﺑﺮاي آﻧﻬﺎﺳﺖ .ﻣﺘﻮﻗﻒ ﮐﺮدن ‪ inted‬از دﺳﺖ ﯾﺎﺑﯽ ﻫﺮ ﮐﺎرﺑﺮي ﺑﻪ ﺳﯿﺴﺘﻢ از ﻃﺮﯾﻖ ﻫﺮ ﻧﻮع ﺳﺮوﯾﺲ آﻏﺎز ﺷﺪه ﯾﺎ ‪ inted‬ﺟﻠﻮﮔﯿﺮي ﻣﯽ ﮐﻨﺪ ﮐﻪ‬ ‫اﯾﻦ ﺷﺎﻣﻞ ‪telnet‬و ‪ ftp‬ﻫﻢ ﻣﯽ ﺷﻮد . ﻫﮑﺮ ﻣﻨﺎﺑﻊ را ﺗﻠﻒ ﻧﻤﯽ ﮐﻨﺪ ﻓﻘﻂ ﺗﻨﻬﺎ ﮐﺎري ﮐﻪ ﻣﯽ ﮐﻨﺪ اﯾﻦ اﺳﺖ ﮐﻪ ﺟﺰء اﺻﻠﯽ و ﺣﯿﺎﺗﯽ ﺳﺮوﯾﺲ ﻫﺎ را از ﮐﺎر‬ ‫ﻣﯽ اﻧﺪازد.‬ ‫آﻧﻬﺎ ﺑﺎ دﺳﺘﺮﺳﯽ ‪ login‬ﻣﺤﻠﯽ ﺑﻪ ﯾﮏ ﻣﺎﺷﯿﻦ از راه ﻫﺎي ﻣﺨﺘﻠﻔﯽ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﺮاي از ﮐﺎر اﻧﺪاﺧﺘﻦ ﺳﺮوﯾﺲ ﻫﺎي ﻣﺤﻠﯽ اﺳﺘﻔﺎده ﮐﻨﺪ.‬
‫1- ‪ Process Killing‬ﭘﺎﯾﺎن‬ ‫ﭘﺮدازش :‬ ‫ﯾﮏ ﻫﮑﺮ ﺑﺎ اﻣﺘﯿﺎزاﺗﯽ ﮐﻪ ﺑﻪ دﺳﺖ آورده اﺳﺖ ﻣﺜﻞ ﺳﻄﺢ رﯾﺸﻪ روي ﯾﮏ ﺳﯿﺴﺘﻢ ﯾﻮﻧﯿﮑﺲ ﯾﺎ ‪ Administrator‬روي وﯾﻨﺪوز ﺑﻪ آﺳﺎﻧﯽ ﻣﯽ ﺗﻮاﻧﺪ ﭘﺮدازش‬ ‫ﻫﺎي ﻣﺤﻠﯽ را در ﯾﮏ ﺣﻤﻠﻪ ‪ Dos‬ﺧﺎﺗﻤﻪ ﺑﺪﻫﺪ زﯾﺮا وﻗﺘﯽ ﯾﮏ ﭘﺮدازش ﻣﺎﻧﻨﺪ ﯾﮏ ﺳﺮور ‪ dns‬ﯾﺎ ‪ web‬در ﺣﺎل اﺟﺮا ﻧﯿﺴﺖ، ﻧﻤﯽ ﺗﻮاﻧﺪ ﺑﻪ درﺧﻮاﺳﺖ ﻫﺎي‬ ‫ﮐﺎرﺑﺮان ﺳﺮوﯾﺲ دﻫﺪ.‬ ‫2- ‪ ) System Reconfiguration‬ﺗﻨﻈﯿﻢ ﻣﺠﺪد ﺳﯿﺴﺘﻢ (:‬ ‫ﻫﮑﺮﻫﺎ ﺑﺎ اﻣﺘﯿﺎزاﺗﯽ ﮐﻪ ﺑﻪ دﺳﺖ ﻣﯽ آورﻧﺪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﯾﮏ ﺳﯿﺴﺘﻢ را ﺑﻪ ﮔﻮﻧﻪ اي ﺗﻨﻈﯿﻢ ﻣﺠﺪد ﮐﻨﻨﺪ ﮐﻪ دﯾﮕﺮ ﺳﺮوﯾﺲ را ﭘﯿﺸﻨﻬﺎد ﻧﮑﻨﺪ و ﯾﺎ ﮐﺎرﺑﺮان ﺧﺎﺻﯽ‬ ‫از ﻣﺎﺷﯿﻦ ﻓﯿﻠﺘﺮ ﮐﻨﺪ .ﺑﺮاي ﻣﺜﺎل روي ﯾﮏ ﺳﺮور ﻓﺎﯾﻞ وﯾﻨﺪوز‬ ‫‪ NT‬ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﻣﺎﺷﯿﻦ را ﺑﻪ راﺣﺘﯽ ﺑﻪ وﺳﯿﻠﻪ ﺗﻮﻗﻒ اﺷﺘﺮاك ﻓﺎﯾﻞ ﻫﺎ در ﺷﺒﮑﻪ ﻣﺠﺪداً‬ ‫ﺗﻨﻈﯿﻢ ﮐﻨﺪ ﮐﻪ ﺑﺎﻋﺚ ﻋﺪم دﺳﺘﺮﺳﯽ از راه دور ﮐﺎرﺑﺮان ﻣﺠﺎز ﺑﻪ داده ﻫﺎي ﺑﺎ ارزش روي ﺳﺮوﯾﺲ دﻫﻨﺪه ﻓﺎﯾﻞ ﻣﯽ ﺷﻮد .در ﺣﺎﻟﺖ دﯾﮕﺮ ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﯾﮏ‬ ‫ﺳﯿﺴﺘﻢ ﯾﻮﻧﯿﮑﺲ را ‪Http‬ﻃﻮري ﮐﻪ ﺷﺮوع ﺑﻪ ﮐﺎر ﻧﮑﻨﺪ، ﺗﻨﻈﯿﻢ ﻣﺠﺪد ﮐﻨﺪ ﮐﻪ ﻋﻤﻼً از دﺳﺘﺮﺳﯽ وب ﺑﻪ ﺳﯿﺴﺘﻢ ﺟﻠﻮﮔﯿﺮي ﻣﯽ ﮐﻨﺪ.‬ ‫3- ‪) Process Crashing‬اﺧﺘﻼل در ﭘﺮدازش (:‬ ‫ﺣﺘﯽ اﮔﺮ ﻫﮑﺮ اﻣﺘﯿﺎزات ﮐﺎرﺑﺮ ﺳﻄﺢ ﺑﺎﻻ را ﻧﺪاﺷﺘﻪ ﺑﺎﺷﺪ ﺑﺎز ﻫﻢ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎ ﺳﻮء اﺳﺘﻔﺎده از ﻧﻘﻄﻪ ﺿﻌﻒ ﺳﯿﺴﺘﻢ ﺑﻪ آن ﺣﻤﻠﻪ ﮐﻨﺪ .ﺑﺮاي ﻣﺜﺎل ﻣﺎ ﻣﯽ ﺗﻮاﻧﯿﻢ‬ ‫از ﺳﺮ رﯾﺰ ﯾﮏ ﺑﺎﻓﺮ ﭘﺸﺘﻪ اي ﺑﻪ اﯾﻦ ﺷﮑﻞ ﺳﻮء اﺳﺘﻔﺎده ﮐﻨﯿﻢ و داده ﻫﺎي ﺗﺼﺎدﻓﯽ را ﭘﺸﺖ ﺳﺮ ﻫﻢ وارد ﯾﮏ ﭘﺮدازش ﻣﺤﻠﯽ ﮐﻨﯿﻢ و اﯾﻦ ﻫﻢ ﺑﺨﺎﻃﺮ اﯾﻦ‬ ‫اﺳﺖ ﮐﻪ اﺷﺎره ﮔﺮ ﺑﺎزﮔﺸﺘﯽ ) ‪ ( RETURN‬روي ﭘﺸﺘﻪ در ﻃﯽ اﯾﻦ ﺣﻤﻠﻪ ﺳﺮﺑﺎر ﺗﺼﺎدﻓﯽ اﺳﺖ و ﭘﺮدازش ﻣﻘﺼﺪ ﺑﻪ راﺣﺘﯽ دﭼﺎر اﺧﺘﻼل ﻣﯽ ﺷﻮد و‬ ‫دﺳﺘﺮﺳﯽ ﮐﺎرﺑﺮ را ﺗﮑﺬﯾﺐ ﻣﯽ ﮐﻨﺪ.‬ ‫اﯾﻦ ﮐﺎر را ﻣﯽ ﺷﻮد ﺑﺎ ﺑﻤﺐ ﻫﺎي ﻣﻨﻄﻘﯽ اﻧﺠﺎم داد ﮐﻪ ﻣﺜﺎل ﺧﻮﺑﯽ در اﯾﻦ زﻣﯿﻨﻪ از ﺣﻤﻼت ‪ Dos‬اﺳﺖ. ﺑﺮاي ﭼﻨﯿﻦ ﺣﻤﻠﻪ ﻫﺎﯾﯽ ﻫﮑﺮ ﯾﮏ ﺑﺮﻧﺎﻣﻪ ﺑﻤﺐ ﻣﻨﻄﻘﯽ را‬ ‫روي ﯾﮏ ﻣﺎﺷﯿﻦ ﮐﺎر ﻣﯽ ﮔﺬارد ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ ﺗﺤﺖ ﺷﺮاﯾﻂ ﻣﺨﺘﻠﻔﯽ ﻓﻌﺎل ﺷﻮد، ﻣﺜﻞ زﻣﺎن ﺳﭙﺮي ﺷﺪه، ﻓﻌﺎل ﯾﺎ ﺑﺎز ﺷﺪن ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺧﺎص دﯾﮕﺮ ‪LOGIN‬‬ ‫ﺷﺪن ‪USER‬ﻫﺎي ﺧﺎص ﺑﻪ ﻣﺤﺾ ﻓﻌﺎل ﺷﺪن ﺑﻤﺐ ﻣﻨﻄﻘﯽ ﺑﺮﻧﺎﻣﻪ ﺑﺎ ﺗﮑﺬﯾﺐ ﺳﺮوﯾﺲ روي ﻣﺎﺷﯿﻦ ﭘﺮدازﺷﯽ را دﭼﺎر اﺧﺘﻼل ﻣﯽ ﮐﻨﺪ و ﯾﺎ ﻣﻮﺟﺐ ﺗﻮﻗﻒ‬ ‫آن ﻣﯽ ﺷﻮد.‬ ‫دﻓﺎع در ﺑﺮاﺑﺮ ﺗﻮﻗﻒ ﻣﺤﻠﯽ ﺳﺮوﯾﺲ ﻫﺎ‬ ‫ﺑﺮاي ﺟﻠﻮﮔﯿﺮي از ﺗﻮﻗﻒ ﻣﺤﻠﯽ ﺳﺮوﯾﺲ ﻫﺎ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ ﺑﺎﯾﺪ از ﺑﺴﺘﻪ ﺑﻮدن ﭘﻮرت ﻫﺎي اﺿﺎﻓﯽ و درزﻫﺎي ﺳﯿﺴﺘﻢ ﺧﻮد اﻃﻤﯿﻨﺎن ﺧﺎص ﮐﻨﯿﺪ. اﯾﻦ ﮐﺎر را ﻣﯽ‬ ‫ﺗﻮاﻧﯿﺪ ﺑﺎ اﺳﺘﻔﺎده از ﭘﻮرت اﺳﮑﻨﺮﻫﺎ و ﭘﻮﯾﺸﮕﺮ ﻫﺎي آﺳﯿﺐ ﭘﺬﯾﺮي اﻧﺠﺎم دﻫﯿﺪ و ﺳﯿﺴﺘﻢ را ﻃﻮري ﭘﯿﮑﺮﺑﻨﺪي ﮐﻨﯿﺪ ﮐﻪ ﻫﮑﺮ ﻗﺎدر ﺑﻪ اﯾﺠﺎد اﺧﺘﻼل از ﻃﺮﯾﻖ ﻧﻘﺎط‬ ‫ﺿﻌﻒ ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﻧﺼﺐ ﺷﺪه ﺑﺮ روي ﺳﯿﺴﺘﻢ ﺷﻤﺎ وﭘﻮرت ﻫﺎي ﺑﺎز آن ﻧﺪاﺷﺘﻪ ﺑﺎﺷﺪ وﻧﺼﺐ ﺑﺮﻧﺎﻣﻪ ﻫﺎي اﻣﻨﯿﺘﯽ و ‪SERVICE PACK‬‬ ‫ﻣﻮﺟﺐ اﯾﻤﻦ ﺗﺮ‬ ‫ﺷﺪن ﺳﯿﺴﺘ ﻢ ﺷﻤﺎ در ﺑﺮاﺑﺮ ﺣﻤﻼت ﻫﮑﺮﻫﺎ و ﻋﺪم دﺳﺘﺮﺳﯽ آﻧﻬﺎ ﺑﻪ ‪ ACCOUNT‬اي روي ﻣﺎﺷﯿﻦ ﺷﻤﺎ ﻣﯽ ﺷﻮد .ﻧﮑﺘﻪ ﺑﻌﺪي ﮐﻪ ﺑﺎﯾﺪ رﻋﺎﯾﺖ ﮐﻨﯿﺪ اﯾﻦ‬ ‫اﺳﺖ ﮐﻪ از دادن اﻣﺘﯿﺎزات ﮐﺎرﺑﺮي ﺳﻄﺢ ﺑﺎﻻ ﺑﻪ اﻓﺮادي ﮐﻪ در ﺳﯿﺴﺘﻢ ﺷﻤﺎ اﺷﺘﺮاك دارﻧﺪ ﺧﻮدداري ﮐﻨﯿﺪ، ﮐﺎرﺑﺮان ﻓﻘﻂ ﺑﺎﯾﺪ از ﺣﻖ دﺳﺘﺮﺳﯽ ﮐﻪ ﺑﺮاي‬ ‫اﻧﺠﺎم ﮐﺎرﻫﺎﯾﺸﺎن ﺣﺘﯿﺎج دارﻧﺪ ﺑﺮﺧﻮردار ﺑﺎﺷﻨﺪ و در ﻧﻬﺎﯾﺖ ﺑﺮاي ردﮔﯿﺮي ﺗﻐﯿﯿﺮات ﺑﻪ ﻋﻤﻞ آﻣﺪه روي ﺗﻨﻈﯿﻤﺎت ﺳﯿﺴﺘﻢ ﻣﻠﺰم ﺑﻪ اﺟﺮاي ﺑﺮﻧﺎﻣﻪ ﻫﺎي‬
‫‪Integrity Checking‬ﺑﺮرﺳﯽ ﺟﺎﻣﻌﯿﺖ ) ﻣﺎﻧﻨﺪ ‪ (Tripwire‬ﮐﻪ ﻣﯽ ﺗﻮاﻧﯿﺪ اﯾﻦ ﺑﺮﻧﺎﻣﻪ را از ﺳﺎﯾﺖ ‪ www.tripwire.com‬درﯾﺎﻓﺖ ﮐﻨﯿﺪ .اﯾﻦ‬ ‫ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﻓﺎﯾﻞ ﻫﺎي ﺳﯿﺴﺘﻢ ﻣﺜﻞ ﻓﺎﯾﻞ ﻫﺎي‬ ‫ﺗﻨﻈﯿﻤﺎت و ﻓﺎﯾﻞ ﻫﺎي اﺟﺮاﯾﯽ ﺣﺴﺎس روي ﻣﺎﺷﯿﻦ را ﺑﺮاي ﮐﺴﺐ اﻃﻤﯿﻨﺎن از ﺗﻐﯿﯿﺮ ﻧﮑﺮدن آﻧﻬﺎ ﺑﺎزرﺳﯽ ﻣﯽ ﮐﻨﻨﺪ ﮐﻨﻨﺪ و درﺻﻮرت ﻣﺸﺎﻫﺪه ﻣﻮردي ﻣﺸﮑﻮك‬ ‫آن را ﺳﺮﯾﻊ ﺑﻪ اﻃﻼع ﺷﻤﺎ ﻣﯽ رﺳﺎﻧﻨﺪ.‬ ‫ﺗﻀﻌﯿﻒ و ﺑﻪ ﮐﺎرﮔﯿﺮي ﺑﯿﺶ از ﺣﺪ از ﻣﻨﺎﺑﻊ ﻣﺤﻠﯽ‬ ‫ﺗﻀﻌﯿﻒ و ﺑﻪ ﮐﺎرﮔﯿﺮي ﺑﯿﺶ از ﺣﺪ از ﻣﻨﺎﺑﻊ ﻣﺤﻠﯽ ﻧﻮع ﻣﺘﺪاول دﯾﮕﺮي از‬ ‫‪ Dos Attack‬ﻣﺤﺴﻮب ﻣﯽ ﺷﻮد ﮐﻪ ﺷﺎﻣﻞ اﺟﺮاي ﺑﺮﻧﺎﻣﻪ اي از ﯾﮏ‬ ‫‪ account‬دﯾﮕﺮ روي ﻣﺎﺷﯿﻦ ﻫﺪف اﺳﺖ ﮐﻪ ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻢ را روي ﺧﻮد ﻫﺪف ﺗﻔﺴﯿﺮ ﻣﯽ ﮐﻨﺪ .وﻗﺘﯽ ﮐﻪ ﺗﻤﺎم ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻢ ﺗﻀﻌﯿﻒ ﻣﯽ ﺷﻮﻧﺪ، ﺳﯿﺴﺘﻢ‬ ‫ﻣﻤﮑﻦ اﺳﺖ ﻣﺘﻮﻗﻒ ﺷﻮد ﮐﻪ اﯾﻦ ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﮐﺎرﺑﺮان ﺳﺮور ﻧﺘﻮاﻧﻨﺪ از ﺳﺮوﯾﺲ آن ﺳﺮور اﺳﺘﻔﺎده ﮐﻨﻨﺪ .ﻫﺮ ﭼﻘﺪر ﻫﻢ ﮐﻪ ﺳﯿﺴﺘﻢ ﻫﺎي ﻋﺎﻣﻞ ﺗﻼش ﮐﻨﻨﺪ‬ ‫ﮐﻪ اﻣﻨﯿﺖ ﺧﻮد را ﺑﺎﻻ ﺑﺒﺮﻧﺪ ﺑﺎز ﻫﻢ ﯾﮏ ﻫﮑﺮ ﺑﺎﺗﺠﺮﺑﻪ ﻣﯽ ﺗﻮاﻧﺪ راه ﻫﺎﯾﯽ را ﺑﺮاي ﻧﻔﻮذ و ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺗﮑﻨﯿﮏ ﻫﺎي ﭘﻮﯾﺶ ﭘﯿﺪا ﮐﻨﺪ.‬ ‫راه ﻫﺎ و روش ﻫﺎي ﻣﺘﺪاول ﺑﺮاي ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ:‬ ‫ﭘﺮ ﮐﺮدن ﺟﺪول ﭘﺮدازش:‬ ‫ﯾﮏ ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺮﻧﺎﻣﻪ اي ﺑﻨﻮﯾﺴﺪ ﮐﻪ ﺑﻪ راﺣﺘﯽ ﭘﺮدازش دﯾﮕﺮي را وادار ﺑﻪ اﺟﺮاي ﮐﭙﯽ ﺧﻮدش ﻧﻤﺎﯾﺪ .اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﺑﺎزﮔﺸﺘﯽ ﻧﯿﺰ ﭘﺮدازش دﯾﮕﺮي را وادار ﺑﻪ‬ ‫اﺟﺮاي ﻫﻤﺎن ﺑﺮﻧﺎﻣﻪ ﻣﯽ ﮐﻨﺪ .ﺑﺎ اﺳﺘﻔﺎده از اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﻫﮑﺮ ﻗﺎدر ﺑﻪ اﯾﺠﺎد ﭘﺮدازش ﻫﺎﯾﯽ ﺑﻪ ﻫﻤﺎن ﺳﺮﻋﺖ ﮐﻪ ﺳﯿﺴﺘﻢ آﻧﻬﺎ را ﺑﺮاي ‪ user‬اﺟﺮا ﻣﯽ ﮐﻨﺪ،‬ ‫ﺧﻮاﻫﺪ ﺑﻮد .در ﻧﻬﺎﯾﺖ ﺟﺪول ﭘﺮدازش روي ﻣﺎﺷﯿﻦ ﭘﺮ ﻣﯽ ﺷﻮد ﺗﺎ ﮐﺎرﺑﺮان دﯾﮕﺮ را از اﺟﺮاي ﭘﺮدازﺷﻬﺎ ﺑﺎز دارد و دﺳﺘﺮﺳﯽ آﻧﻬﺎ را ﺗﮑﺬﯾﺐ ﮐﻨﺪ.‬ ‫ﻓﺮﺳﺘﺎدن ﺗﺮاﻓﯿﮏ ﮐﻪ ﺑﺎﻋﺚ اﻧﺴﺪاد ﭘﯿﻮﻧﺪﻫﺎي ارﺗﺒﺎﻃﯽ ﻣﯽ ﺷﻮد :‬ ‫در اﯾﻦ روش ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺮﻧﺎﻣﻪ اي ﺑﻨﻮﯾﺴﺪ ﮐﻪ ﺗﺮاﻓﯿﮏ ﺷﺒﮑﻪ اي ﺳﺎﺧﺘﮕﯽ ﯾﺎ ﺟﻌﻠﯽ را از ﺳﯿﺴﺘﻢ ﻣﻘﺼﺪ ﺑﻔﺮﺳﺘﺪ ﺗﺎ ﺑﺎﻋﺚ ﺗﻠﻒ ﺷﺪن ‪cpu‬ﻣﯽ ﺷﻮد اﮔﺮ‬ ‫ﺑﺮﻧﺎﻣﻪ ﻫﮑﺮ ﺑﺴﺘﻪ ﻫﺎﯾﯽ ﺗﻮﻟﯿﺪ ﮐﻨﺪ، ﮐﺎرﺑﺮان ﻣﺠﺎز ﻗﺎدر ﺑﻪ ﻓﺮﺳﺘﺎدن ﺗﺮاﻓﯿﮏ از وب ﺳﯿﺴﺘﻢ ﻧﺨﻮاﻫﻨﺪ ﺑﻮد.‬ ‫ﭘﺮ ﮐﺮدن ﺳﯿﺴﺘﻢ‬ ‫ﻓﺎﯾﻞ :‬ ‫ﺑﺎ ﻧﻮﺷﺘﻦ ﻣﻘﺪار ﻣﺘﻨﺎﺑﻬﯽ داده ﺑﻪ ﻃﻮر ﺛﺎﺑﺖ ﺑﺮ روي ﺳﯿﺴﺘﻢ ﻓﺎﯾﻞ، ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺗﻤﺎم ﺑﺎﯾﺖ ﻫﺎي ﻗﺎﺑﻞ دﺳﺘﺮس روي ﭘﺎرﺗﯿﺸﻦ دﯾﺴﮏ را ﭘﺮ ﮐﻨﺪ ﮐﻪ ﺑﺎ‬ ‫اﯾﻦ ﮐﺎر ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﮐﺎرﺑﺮان دﯾﮕﺮ از ﻧﻮﺷﺘﻦ ﻋﺎﺟﺰ ﺷﻮﻧﺪ ﮐﻪ ﺑﺎﻋﺚ اﯾﺠﺎد اﺧﺘﻼل در ﺳﯿﺴﺘﻢ ﻣﯽ ﺷﻮد.‬ ‫راه ﻫﺎي دﻓﺎﻋﯽ زﯾﺎدي ﻫﻢ ﺑﺮاي اﯾﻦ ﻧﻮع ﺣﻤﻼت وﺟﻮد دارد ﮐﻪ ﯾﮏ ﻧﻤﻮﻧﻪ آن ﻧﺼﺐ ﺳﯿﺴﺘﻢ ﻫﺎي ردﮔﯿﺮي ﻧﻔﻮذ‪Host-base‬‬ ‫ﯾﺎ ﺳﯿﺴﺘﻢ ﻫﺎي ‪ monitoring‬اﺳﺖ ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ ﺑﻪ ﺷﻤﺎ در ﻫﻨﮕﺎم ﭘﺎﯾﯿﻦ آﻣﺪن ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻢ ﮐﻪ ﺑﻪ ﺧﺎﻃﺮ اﯾﻦ ﻧﻮع ﺣﻤﻠﻪ اﺳﺖ ﮐﻤﮏ ﮐﻨﺪ و ﺧﺒﺮ ﺑﺪﻫﺪ‬ ‫وﻟﯽ ﻧﮑﺘﻪ اي ﮐﻪ ﻫﻤﯿﺸﻪ ﺑﺎﯾﺪ ﺑﻪ ﯾﺎد داﺷﺘﻪ اﯾﻦ اﺳﺖ ﮐﻪ ﻫﻤﯿﺸﻪ از وﺟﻮد ﻣﻨﺎﺑﻊ ﮐﺎﻓﯽ ﻣﺜﻞ ﺣﺎﻓﻈﻪ ‪ ram‬ﺳﺮﻋﺖ ﭘﺮدازﻧﺪه ﯾﺎ ‪ cpu‬و ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﭘﯿﻮﻧﺪ‬ ‫ارﺗﺒﺎﻃﯽ در ﺳﯿﺴﺘﻢ ﻫﺎي ﺣﺴﺎس ﺧﻮد اﻃﻤﯿﻨﺎن ﺣﺎﺻﻞ ﮐﻨﯿﺪ.‬
‫ﻣﺘﻮﻗﻒ ﮐﺮدن ﺳﯿﺴﺘﻢ ﻫﺎ از راه‬ ‫دور :‬ ‫ﺑﺎ وﺟﻮد اﯾﻨﮑﻪ ﺣﻤﻼت ‪dos‬ﺑﺴﯿﺎر راﺣﺖ و ﻣﻮﺛﺮ ﻫﺴﺘﻨﺪ وﻟﯽ ﺣﻤﻼت ‪ dos‬از راه دور ﺷﺎﯾﻊ ﺗﺮ ﻫﺴﺘﻨﺪ و ﺑﺴﯿﺎر ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ اﺳﺘﻔﺎده ﻣﯽ ﺷﻮﻧﺪ زﯾﺮا‬ ‫ﺣﻤﻼت ‪doc‬در ﺷﺒﮑﻪ ﺑﻪ دﻟﯿﻞ اﯾﻨﮑﻪ اﺣﺘﯿﺎج ﺑﻪ داﺷﺘﻦ ﯾﮏ ‪ account‬ﻣﺤﻠﯽ روي ﻣﺎﺷﯿﻦ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ ﻧﺪارد، ﺑﯿﺸﺘﺮ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد و‬ ‫ﻣﯽ ﺗﻮاﻧﺪ از ﺳﯿﺴﺘﻢ ﻫﮑﺮ ﺑﺮ ﻋﻠﯿﻪ ﯾﮏ ﻫﺪف اﺳﺘﻔﺎده ﺷﻮد .ﯾﮑﯽ از ﻣﻌﺮوف ﺗﺮﯾﻦ روﺷﻬﺎي ﺗﻮﻗﻒ از راه دور ﺳﯿﺴﺘﻢ ﻫﺎ، ﺣﻤﻠﻪ ﺑﺴﺘﻪ ﻫﺎي ﺑﺰرگ و ﻧﺎﻫﻨﺠﺎر‬ ‫اﺳﺖ .اﯾﻦ ﺣﻤﻠﻪ ﻫﺎ در ﭘﺸﺘﻪ ‪ tcp/ip‬ﻣﺎﺷﯿﻦ ﻫﺪف ﺑﻪ وﺳﯿﻠﻪ ﻓﺮﺳﺘﺎدن ﯾﮏ ﯾﺎ ﭼﻨﺪ‬ ‫‪packet‬ﺑﺎ ﻓﺮﻣﺖ ﻏﯿﺮﻣﻌﻤﻮل ﺑﺮ روي ﻫﺪف، ﺧﻄﺎﯾﯽ را ﺑﺎﻋﺚ ﻣﯽ‬ ‫ﺷﻮﻧﺪ .اﮔﺮ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ در ﻣﻘﺎﺑﻞ آن ﺑﺴﺘﻪ ﻫﺎي ﺧﺎص آﺳﯿﺐ ﭘﺬﯾﺮ ﺑﺎﺷﺪ دﭼﺎر ﻣﺸﮑﻞ ﻣﯽ ﺷﻮد و اﺣﺘﻤﺎﻻً ﭘﺮدازش ﺧﺎﺻﯽ را ﻣﺘﻮﻗﻒ ﻣﯽ ﮐﻨﺪ و ﯾﺎ ﺣﺘﯽ‬ ‫ﻣﻮﺟﺐ از ﮐﺎر اﻓﺘﺎدن ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ ﻫﺪف ﻣﯽ ﺷﻮد . ﺣﻤﻠﻪ ﻫﺎي ﺑﺴﺘﻪ ﻫﺎي ﻧﺎﻫﻨﺠﺎر زﯾﺎدي ﺗﺎﺑﺤﺎل ﺳﺎﺧﺘﻪ ﺷﺪه اﻧﺪ ﮐﻪ ﻣﻦ اﺳﺎﻣﯽ ﺑﺮﺧﯽ از اﯾﻦ ﺣﻤﻼت را ﺑﺎ‬ ‫ﺗﻮﺿﯿﺢ ﮐﻮﺗﺎﻫﯽ در ﻣﻮرد ﻫﺮ ﮐﺪام در زﯾﺮ ﻣﯽ دﻫﻢ.‬ ‫‪: Land‬‬ ‫ﯾﮏ ﺑﺴﺘﻪ ‪spoof‬ﺷﺪه را ﺑﻪ ﺟﺎﯾﯽ ﮐﻪ آدرس ‪ip‬ﻣﺒﺪا وادرس ‪ip‬ﻣﻘﺼﺪ ﯾﮑﯽ ا ﺳﺖ ﻣﯽ ﻓﺮﺳﺘﺪ .‬ ‫ﻫﺪف ﺑﺴﺘﻪ اي را درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﺪ ﮐﻪ ﺑﻪ ﻧﻈﺮ ﻣﯽ رﺳﺪ ﻫﻤﺎن ﻫﺪﻓﯽ را ﮐﻪ از آن آﻣﺪه ﻫﻤﺰﻣﺎن روي ﻫﻤﺎن ﻣﺎﺷﯿﻦ ﺗﺮك ﻣﯽ ﮐﻨﺪ .ﭘﺸﺘﻪ ﻫﺎي ﻗﺪﻣﯽ ﺗﺮ‬ ‫‪ TCP /IP‬در ﻣﻘﺎﺑﻞ اﯾﻦ رﺧﺪاد ﻏﯿﺮﻗﺎﺑﻞ اﻧﺘﻈﺎر دﭼﺎر ﺳﺮدرﮔﻤﯽ ﺷﺪه و ﻣﺨﺘﻞ ﻣﯽ ﺷﻮﻧﺪ. ‪LAND‬در ﺳﯿﺴﺘﻢ ﻫﺎي وﯾﻨﺪوز ،اﻧﻮاع ﻣﺨﺘﻠﻒ ‪linux‬‬ ‫ﻣﺴﯿﺮﯾﺎﺑﻬﺎ و ﭼﺎﭘﮕﺮﻫﺎ ﻣﯽ ﺗﻮاﻧﺪ ﻓﻌﺎﻟﯿﺖ داﺷﺘﻪ ﺑﺎﺷﺪ.‬ ‫‪:Ping of Death‬‬ ‫ﯾﮏ ﺑﺴﺘﻪ ‪ping‬ﺑﺰرگ ﻣﯽ ﻓﺮﺳﺘﺪ ﭘﺸﺘﻪ ﻫﺎي ﻗﺪﯾﻤﯽ ﺗﺮ ‪ TCP/IP‬ﻧﻤﯽ ﺗﻮاﻧﻨﺪ ‪Ping‬ﺑﺴﺘﻪ ﻫﺎي ﺑﺰرﮔﺘﺮ از 46 ﮐﯿﻠﻮﺑﺎﯾﺖ ﺑﻪ ﮐﺎر ﺑﺮﻧﺪ و وﻗﺘﯽ ﯾﮑﯽ از آﻧﻬﺎ‬ ‫ﻣﯽ رﺳﺪ دﭼﺎر اﺧﺘﻼل ﻣﯽ ﺷﻮﻧﺪ ‪ Ping of Death‬در ﺳﯿﺴﺘﻢ ﻫﺎي ﻣﺨﺘﻠﻔﯽ ﻣﺜﻞ وﯾﻨﺪوز، ﻧﺴﺨﻪ ﻫﺎي ﻣﺨﺘﻠﻒ ﯾﻮﻧﯿﮑﺲ ، ﭼﺎﭘﮕﺮﻫﺎ ... ﻣﯽ ﺗﻮاﻧﺪ ﻓﻌﺎﻟﯿﺖ‬ ‫داﺷﺘﻪ ﺑﺎﺷﺪ.‬ ‫2‪:Jolt‬‬ ‫اﻧﺒﻮﻫﯽ از ﺗﮑﻪ ﻫﺎي ﺑﺴﺘﻪ ﻫﺎ را ﻣﯽ ﻓﺮﺳﺘﺪ ﮐﻪ در ﻫﯿﭻ ﮐﺪام از آﻧﻬﺎ ‪ Fragment-Offset‬ﺻﻔﺮ ﻧﻤﯽ ﺑﺎﺷﺪ .در ﻧﺘﯿﺠﻪ ﺑﻪ ﻧﻈﺮ ﻣﯽ رﺳﺪ ﮐﻪ ﻫﯿﭻ ﮐﺪام از اﯾﻦ‬ ‫ﺗﮑﻪ ﻫﺎ، ﺗﮑﻪ اول ﻧﺒﺎﺷﺪ .در ﻃﻮل زﻣﺎﻧﯽ ﮐﻪ اﻧﺒﻮه ﺗﮑﻪ ﻫﺎ ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮﻧﺪ، ﺳﻮار ﮐﺮدن اﯾﻦ ﺗﮑﻪ ﻫﺎي ﻗﻼﺑﯽ ﺗﻤﺎﻣﯽ ﻇﺮﻓﯿﺖ ‪ CPU‬روي ﻣﺎﺷﯿﻦ ﻫﺪف را‬ ‫اﺷﻐﺎل ﻣﯽ ﮐﻨﺪ .اﯾﻦ روش ﻣﯽ ﺗﻮاﻧﺪ در وﯾﻨﺪوز0002 -‪ 9X -NT‬ﺑﻪ ﮐﺎر ﺑﺮود.‬ ‫‪, Newtear , Book , Syndrop‬‬ ‫‪:Teardrop‬‬ ‫اﺑﺰارﻫﺎي ﻣﺨﺘﻠﻔﯽ ﮐﻪ ﺗﮑﻪ ﻫﺎي ﺑﺴﺘﻪ ﻫﺎي ‪ IP‬ﮐﻪ روي ﻫﻢ ﻗﺮار ﮔﺮﻓﺘﻪ را ﻣﯽ ﻓﺮﺳﺘﻨﺪ .ﻣﻘﺎدﯾﺮ ‪ Fragment-Offset‬در ﻫﺪرﻫﺎي ﺑﺴﺘﻪ ﺑﻪ ﻣﻘﺎدﯾﺮي ﮐﻪ‬ ‫درﺳﺖ ﻧﯿﺴﺖ ﺗﻨﻈﯿﻢ ﻣﯽ ﺷﻮد ﺑﻪ ﻃﻮري ﮐﻪ ﻫﻨﮕﺎم ﺳﻮار ﺷﺪن ﺗﮑﻪ ﻫﺎ ﺑﻪ ﻃﻮر ﻣﻨﺎﺳﺐ ﻗﺮار ﻧﻤﯽ ﮔﯿﺮﻧﺪ .ﺑﺮﺧﯽ ﭘﺸﺘﻪ ﻫﺎي ‪ TCP /IP‬وﻗﺘﯽ ﭼﻨﯿﻦ ﺗﮑﻪ‬ ‫ﻫﺎي روي ﻫﻢ اﻓﺘﺎده اي را درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﻨﺪ، دﭼﺎر ﻣﺸﮑﻞ و اﺧﺘﻼل ﻣﯽ ﺷﻮﻧﺪ .اﯾﻦ اﺑﺰارﻫﺎ در وﯾﻨﺪوز ‪9 x - NT‬و ﻣﺎﺷﯿﻦ ﻫﺎي ﻟﯿﻨﻮﮐﺲ ﻣﯽ ﺗﻮاﻧﻨﺪ‬ ‫ﻓﻌﺎﻟﯿﺖ داﺷﺘﻪ ﺑﺎﺷﻨﺪ.‬
‫‪:Winnuke‬‬ ‫اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﮐﻪ ﺑﺴﯿﺎر ﻫﻢ ﻣﻌﺮوف اﺳ ﺖ داده ﻫﺎي ﺑﯽ ﻣﺼﺮﻓﯽ را ﺑﻪ ﯾﮏ ﻓﺎﯾﻞ ﺑﺎز اﺷﺘﺮاك ﭘﻮرت931 ‪ TCP‬ﮐﻪ ﭘﻮرت ‪ NETBIOS‬اﺳﺖ روي ﯾﮏ ﻣﺎﺷﯿﻦ‬ ‫وﯾﻨﺪوز ﻣﯽ ﻓﺮﺳﺘﺪ .وﻗﺘﯽ داده ﺑﻪ ﭘﻮرﺗﯽ ﮐﻪ ﻃﺒﻖ ﭘﺮوﺗﮑﻞ )‪server message block(SMB‬ﻣﺠﺎز ﻓﺮﻣﺖ ﻧﺸﺪه ﻣﯽ رود، ﺳﯿﺴﺘﻢ دﭼﺎر اﺧﺘﻼل ﻣﯽ‬ ‫ﺷﻮد ‪ WinNuke‬در وﯾﻨﺪوز ‪ 9X-NT‬ﻣﯽ ﺗﻮاﻧﺪ ﻓﻌﺎﻟﯿﺖ داﺷﺘﻪ ﺑﺎﺷﺪ .‬ ‫ﻫﻤﺎﻧﻄﻮر ﮐﻪ در ﻋﮑﺲ ﺑﺎﻻ ﻣﺸﺎﻫﺪه ﻣﯽ ﮐﻨﯿﺪ ﺑﻌﺪ از اﺟﺮا ﮐﺮدن ‪ Winnuke‬ﮐﻪ از ﻃﺮﯾﻖ ‪ MS DOS Prompt‬ﻫﻢ اﺟﺮا ﻣﯽ ﺷﻮد در ﺧﻂ ‪ Usage‬روش‬ ‫اﺳﺘﻔﺎده از اﯾﻦ اﺑﺰار و دﺳﺘﻮري ﮐﻪ ﺑﺎﯾﺪ ﺑﺮاي ‪ Dos‬ﮐﺮدن ﯾﮏ ﺳﯿﺴﺘﻢ ﺳﺮور ﯾﺎ ﮐﻼﯾﻨﺖ در ﺑﺮﻧﺎﻣﻪ ‪ Winnuke‬ﺑﺪﻫﯿﺪ ﮐﺎﻣﻞ ﺷﺮح داده ﺷﺪه اﺳﺖ ودر‬ ‫ﭘﻮرت 531 ﯾﺎ ‪PRF‬اﻗﺪام ﺑﻪ ‪ DOS‬ﮐﺮدن ﺳﯿﺴﺘﻢ ﻫﺪف ﻣﯽ ﮐﻨﺪ اﮔﺮ در ﺳﯿﺴﺘﻤﯽ ﻣﺸﺎﻫﺪه ﮐﺮدﯾﺪ ﮐﻪ اﯾﻦ ﭘﻮرت ﺑﺎز اﺳﺖ ﻣﻄﻤﺌﻦ ﺑﺎﺷﯿﺪ ﻣﯽ ﺗﻮاﻧﯿﺪ‬ ‫ﺳﯿﺴﺘﻢ را ‪ Reboot‬و‪ Down‬ﮐﻨﯿﺪ .اﻟﺒﺘﻪ اﯾﻦ ﻧﮑﺘﻪ را ﻫﻢ ذﮐﺮ ﮐﻨﻢ ﮐﻪ ﺣﺘﻤﺎً ﻧﺒﺎﯾﺪ ﺑﻪ ﭘﻮرت 531 ﯾﺎ 931 ﺣﻤﻠﻪ ﮐﻨﯿﺪ و ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﺎ اﺳﺘﻔﺎده از اﯾﻦ‬ ‫ﻧﺴﺨﻪ ﺣﺘﯽ ﺳﯿﺴﺘﻢ ﻫﺎي وﯾﻨﺪوز را ﺑﺪون دادن ﻫﯿﭻ ﭘﻮرت ﺧﺎﺻﯽ و ﺗﻨﻬﺎ ﺑﺎ دادن آدرس ‪IP‬آن ﻫﺎ از ﮐﺎر ﺑﯿﺎﻧﺪازﯾﺪ و ﺧﻮد ‪ Winnuke‬ﺑﻪ ﺻﻮرت ﻫﻮﺷﯿﺎر‬ ‫ﺑﻌﺪ از اﺟﺮا ﺷﺪن ﭘﻮرت ﻫﺎي آﺳﯿﺐ ﭘﺬﯾﺮ ﺳﯿﺴﺘﻢ ﻫﺪف را ﺷﻨﺎﺳﺎﯾﯽ ﮐﺮده و ﺑﻪ آﻧﻬﺎ ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪ ﻫﺎي زﯾﺎد و ﺑﯽ ﻣﺼﺮف‪ Attack‬ﻣﯽ ﮐﻨﺪ .‬ ‫راه ﻫﺎي زﯾﺎدي ﻫﻢ ﺑﺮاي دﻓﺎع در ﻣﻘﺎﺑﻞ ‪ Winnuke‬وﺟﻮد دارد ﮐﻪ اﻟﺒﺘﻪ ﺑﺴﺘﮕﯽ ﺑﻪ ﺗﺠﺮﺑﻪ ﻣﺪﯾﺮ ﯾﮏ ﺳﺮور دارد، ﭘﯿﺸﻨﻬﺎد ﻣﻦ ﺑﻪ ﺷﻤﺎ اﯾﻦ اﺳﺖ ﮐﻪ‬ ‫ﻫﻤﯿﺸﻪ ﭘﻮرت ﻫﺎي ﺑﺎز ﺑﯽ اﺳﺘﻔﺎده را ﺑﻼك ﮐﻨﯿﺪ و آﻧﻬﺎ را از ﻃﺮﯾﻖ ‪ Router‬و ﻓﺎﯾﺮوال ﺑﺒﻨﺪﯾﺪ .در ﮐﻨﺎر اﯾﻦ ﻣﯽ ﺗﻮاﻧﯿﺪ از ﺑﺮﻧﺎﻣﻪ ﻫﺎﯾﯽ ﻧﯿﺰ ﮐﻪ ﺑﺮاي دﻓﺎع‬ ‫در ﻣﻘﺎﺑﻞ ‪ Winnuke‬ﻧﻮﺷﺘﻪ ﺷﺪه اﻧﺪ اﺳﺘﻔﺎده ﮐﻨﯿﺪ .‬ ‫ﺑﻌﻀﯽ از ﺣﻤﻠﻪ ﻫﺎ ﻣﺜﻞ ‪Book‬و‪ Teardrop , Newtear‬ﺑﺎﻋﺚ ﺗﮑﻪ ﺗﮑﻪ ﺳﺎزي ﻏﯿﺮﻗﺎﻧﻮﻧﯽ و ﻏﯿﺮﻣﻌﻤﻮل ﻣﯽ ﺷﻮﻧﺪ و اﯾﻦ در ﺣﺎﻟﯽ اﺳﺖ ﮐﻪ دﯾﮕﺮان‬ ‫ﺑﺴﺘﻪ ﻫﺎﯾﯽ ﺑﺎ ﺣﺠﻢ ﺑﺴﯿﺎر زﯾﺎد ﻣﯽ ﻓﺮﺳﺘﻨﺪ ﻣﺜﻞ ‪ Ping of Death‬و ﺑﺮﺧﯽ دﯾﮕﺮ ﺑﺴﺘﻪ ﻫﺎي ‪ Spoof‬ﺷﺪه ﺑﺎ ﺷﻤﺎره ﭘﻮرت دور از اﻧﺘﻈﺎر را ﻣﯽ ﻓﺮﺳﺘﻨﺪ (‬ ‫‪ Land‬و دﯾﮕﺮان ﺑﻪ ارﺳﺎل داده ﻫﺎي ﺑﯽ ﻣﺼﺮف ﺑﻪ ﯾﮏ ﭘﻮرت ﺑﺎز اﮐﺘﻔﺎ ﻣﯽ ﮐﻨﻨﺪ ﺑﺮﺧﯽ از اﯾﻦ ﺣﻤﻼت ﺧﯿﻠﯽ ﻗﺪﯾﻤﯽ ﻫﺴﺘﻨﺪ ﻣﺜﻞ ‪Ping of Death‬‬ ‫ﮐﻪ ﻣﺤﺼﻮل ﺳﺎل 6991 اﺳﺖ و ﯾﺎ ‪ Land‬ﮐﻬﺪر ﺳﺎل 7991 ﮐﺸﻒ ﺷﺪ . ﺑﺎ وﺟﻮد ﻋﻤﺮ ﻃﻮﻻﻧﯽ اﯾﻦ ﺣﻤﻼت در ﺑﻌﻀﯽ ﻣﻮارد دﯾﺪه ﺷﺪه ﮐﻪ ﻫﻨﻮز ﻫﮑﺮﻫﺎ از‬ ‫اﯾﻦ روش ﻫﺎ ﺑﺮاي رﺧﻨﻪ در ﻣﻨﺎﻓﺬي ﮐﻪ ﻫﻨﻮز در ﻣﻘﺎﺑﻞ اﯾﻦ ﺣﻤﻠﻪ ﻫﺎي ﻗﺪﯾﻤﯽ ﺑﻪ ﻃﻮر ﻣﻨﺎﺳﺐ ﭘﻮﺷﺶ داده ﻧﺸﺪه اﻧﺪ و‪ Patch‬ﻧﺸﺪه اﻧﺪ اﺳﺘﻔﺎده ﻣﯽ‬ ‫ﮐﻨﻨﺪ.‬
‫راه دﯾﮕﺮ ﻣﺘﻮﻗﻒ ﺳﺎﺧﺘﻦ ﻣﻮﺛﺮ ﯾﮏ ﺳﺮوﯾﺲ از راه دور ﺟﻠﻮﮔﯿﺮي از آن از ﻃﺮﯾﻘﻪ ﺷﺒﮑﻪ اﺳﺖ‬ ‫‪ ARP SPOOFING‬ﯾﮏ ﺗﮑﻨﯿﮏ ﻣﻮﺛﺮ و وﯾﮋه اي ﺑﺮاي‬ ‫دﺳﺖ ﮐﺎري ارﺗﺒﺎﻃﺎت روي ‪LAN‬اﺳﺖ و ﺟﻬﺖ ﺗﺪارك ﺣﻤﻼت ‪DOS‬ﺑﮑﺎر ﻣﯿﺮود. اﯾﻦ روش ﺑﻪ اﯾﻦ ﺻﻮرت اﺳﺖ ﮐﻪ ﻫﮑﺮي ﮐﻪ داراي ﯾﮏ ‪Account‬‬ ‫روي ﻣﺎﺷﯿﻦ در ﻫﻤﺎن ‪ LAN‬اﺳﺖ ﻣﯽ ﺗﻮاﻧﺪ از ﺑﺮﻧﺎﻣﻪ ‪ Dsniff Arpspoof‬ﺑﻪ ﻋﻨﻮان ﺳﯿﺴﺘﻢ ﻫﺪف ﺳﻮء اﺳﺘﻔﺎده ﮐﻨﺪ .ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎ ﻓﺮﺳﺘﺎدن ﺗﻨﻬﺎ‬ ‫ﯾﮏ ﺑﺴﺖ ‪ ARP‬ﮐﻪ ‪ SPOOF‬ﺷﺪه اﺳﺖ ﺑﻪ ‪ROUTER‬روِي ‪ LAN‬ﺣﺎﻓﻈﻪ ﻣﺨﻔﯽ ، ‪ARP‬ﻣﺴﯿﺮﯾﺎب را ﺑﻪ ﮔﻮﻧﻪ اي دﺳﺖ ﮐﺎري ﮐﻨﺪ ﮐﻪ ﭘﺸﺘﻪ ﻫﺎي در‬ ‫ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﺷﺪه ﺑﺮاي آدرس ‪ ip‬ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ را ﺑﻪ ﯾﮏ آدرس ‪ MAC‬روي ‪ LAN‬ﮐﻪ اﺻﻼً وﺟﻮد ﺧﺎرﺟﯽ ﻧﺪارد، ﺑﻔﺮﺳﺘﺪ .ﺑﺎ اﯾﻨﮑﻪ ﺗﻤﺎم ﺑﺴﺘﻪ ﻫﺎ ﺑﻪ ‪LAN‬‬ ‫ﻓﺮﺳﺘﺎده ﻣﯿﺸﻮﻧﺪ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ ﻫﯿﭻ ﻗﺴﻤﺘﯽ از اﯾﻦ ﺗﺮاﻓﯿﮏ را درﯾﺎﻓﺖ ﻧﻤﯽ ﮐﻨﺪ ﮐﻪ ﻧﺘﯿﺠﻪ آن ﺣﻤﻠﻪ ‪ DOS‬اﺳﺖ ﮐﻪ ﺑﺎ ﺗﻮﻗﻒ ﺳﺮوﯾﺲ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ،‬ ‫دﯾﮕﺮ ﻧﻤﯽ ﮔﺬارد ﮐﻪ ارﺗﺒﺎط ﺑﺮﻗﺮار ﮐﻨﺪ .ﺑﺎ اﺳﺘﻔﺎده از‪ ARP Spoofing‬در واﻗﻊ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ از ﺷﺒﮑﻪ ﺧﺎرج ﻣﯽ ﺷﻮد.‬ ‫ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ از راه‬ ‫دور :‬ ‫اﻣﺮوزه از ﻣﯿﺎن ﺣﻤﻼت ‪ DOS‬ﻣﻮﺟﻮد، ﻣﺤﺒﻮﺑﺘﺮﯾﻦ ﺗﮑﻨﯿﮏ ﻫﺎ ﺷﺎﻣﻞ ﺑﺴﺘﻦ ﻣﻨﺎﺑﻊ ﻫﺪف و ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺳﺮور از راه دور اﺳﺖ .در اﯾﻦ ﻧﻮع ﺣﻤﻠﻪ ﻫﺎ ﻫﮑﺮ‬ ‫ﺳﻌﯽ ﻣﯽ ﮐﻨﺪ ﺗﺎ ﺑﺎ اﺳﺘﻔﺎده از اﻧﺒﻮﻫﯽ از ﺑﺴﺘﻪ ﻫﺎ ﺗﻤﺎم ﻇﺮﻓﯿﺖ ﻣﻮﺟﻮد در ﺷﺒﮑﻪ را اﺷﻐﺎل ﮐﻨﺪ .در ﺣﺎل ﺣﺎﺿﺮ ﻫﮑﺮﻫﺎ ﺑﯿﺸﺘﺮ از اﯾﻦ روش و ﺗﮑﻨﯿﮏ ﻫﺎ‬ ‫اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﻨﺪ ﮐﻪ ﻣﺤﺒﻮﺑﺘﺮﯾﻦ ﺗﮑﻨﯿﮏ ﻫﺎي ارﺳﺎل ﺳﯿﻞ ﺑﺴﺘﻪ ﻫﺎ از ﻗﺮار زﯾﺮ ﻫﺴﺘﻨﺪ :‬ ‫‪Syn flood‬‬ ‫ﺣﻤﻼت ‪smurf‬‬ ‫ﺣﻤﻼت ﺗﻮزﯾﻊ ﺷﺪه ‪dos‬‬ ‫‪: Syn flood‬‬ ‫اﺻﻮﻻً در ﻫﻤﻪ ارﺗﺒﺎﻃﺎت ‪ TCP‬ﺑﺎ ﯾﮏ ﺗﺄﯾﯿﺪ ﺳﻪ ﺟﺎﻧﺒﻪ آﻏﺎز ﺑﻪ ﮐﺎر ﻣﯽ ﮐﻨﻨﺪ ﮐﻪ ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪ اي ﺑﻪ ﺑﯿﺖ ﮐﺪ‪SYN‬‬ ‫آن، ﺗﻨﻈﯿﻢ ﺷﺪه و ﺷﺮوع ﻣﯽ ﺷﻮد .اﯾﻦ ﺑﺴﺘﻪ ﻫﺎ ﺗﻮﺳﻂ ﮐﻼﯾﻨﺖ ﺑﻪ ﯾﮏ ﺳﺮور از ﻃﺮﯾﻘﻪ ﯾﮏ ﭘﻮرت ﺑﺎز ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد .ﻫﻨﮕﺎﻣﯽ ﮐﻪ ﺳﯿﺴﺘﻢ ﻫﺪف ﺑﺴﺘﻪ‬ ‫‪SYN‬را ﻣﯽ ﮔﯿﺮﯾﺪ، اوﻟﯿﻦ ﺷﻤﺎره ﺳﺮﯾﺎﻟﯽ ﮐﻪ از ﻣﺒﺪأ ﮔﺮﻓﺘﻪ را ﺑﻪ ﺧﺎﻃﺮ ﻣﯽ آورد و ﯾﮏ ﻧﺴﺨﻪ‪ SYN-ACK‬ﺑﻪ وﺟﻮد ﻣﯽ آورد . ﺧﺐ ﮐﺎري ﮐﻪ ﯾﮏ ﺣﻤﻠﻪ‬ ‫‪SYN Flood‬ﻣﯽ ﮐﻨﺪ ﺑﻪ اﯾﻦ ﺻﻮرت اﺳﺖ ﮐﻪ ﻫﮑﺮ ﺳﻌﯽ ﻣﯽ ﮐﻨﺪ ﺗﺎ ﺑﺎ ﻓﺮﺳﺘﺎدن ﺗﻌﺪاد زﯾﺎدي از ﺑﺴﺘﻪ ﻫﺎي‪ SYN‬ﺑﻪ ﻃﺮف ﺳﯿﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ آﻧﺮا ﺗﻀﻌﯿﻒ‬ ‫ﮐﻨﺪ ﮐﻪ اﯾﻦ ﻫﺪف ﻫﮑﺮﻫﺎ اﺳﺖ ﮐﻪ ﻣﯽ ﺧﻮاﻫﻨﺪ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ را ﺗﻮﺳﻂ ﻓﺮﺳﺘﺎدن ﺑﺴﺘﻪ ﻫﺎي ‪ SYN‬ﻣﺸﻐﻮل ﮐﻨﻨﺪ و وﻗﺘﯽ ﺳﯿﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ ﺑﺴﺘﻪ ﻫﺎي‬ ‫‪SYN‬ﺑﯿﺸﺘﺮ از ﻇﺮﻓﯿﺖ و ﺗﻮاﻧﺎﯾﯽ ﺧﻮد درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﺪ، ﺗﺮاﻓﯿﮏ ﻣﺠﺎز دﯾﮕﺮي ﻧﻤﯽ ﺗﻮاﻧﺪ ﺑﻪ آن ﺳﺮور ﺑﺮﺳﺪ ‪ S YN Flood‬ﺑﻪ 2 روش ارﺗﺒﺎط ﺳﺮور را‬ ‫ﺗﻀﻌﯿﻒ ﻣﯽ ﮐﻨﺪ :‬ ‫در روش اول وﻇﯿﻔﻪ اي ﮐﻪ ‪ syn flood‬دارد ﭘﺮ ﮐﺮدن ﺿﻌﻒ ارﺗﺒﺎﻃﯽ ﺳﯿﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ ﺑﺎ ارﺗﺒﺎط ﻧﯿﻤﻪ ﺑﺎز اﺳﺖ.‬ ‫ﻫﻤﯿﻦ ﮐﻪ ﺳﯿﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ ﺑﺴﺘﻪ‪ SYN‬درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﺪ و ﺟﻮاب ‪ SYN-ACK‬آن را ﻣﯽ ﻓﺮﺳﺘﺪ ﺑﺎ اﺳﺘﻔﺎده از ﻣﺪت زﻣﺎن ‪ TimeOut‬ﮐﻪ ﺑﯿﺸﺘﺮ از ﯾﮏ‬ ‫دﻗﯿﻘﻪ ﺗﻨﻈﯿﻢ ﺷﺪه ﻣﻨﺘﻈﺮ ﺗﺄﯾﯿﺪ ﻃﺮف ﺳﻮم ﻣﯽ ﻣﺎﻧﺪ و ﭼﻮن ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ ﭼﻨﺪﯾﻦ ﻣﻨﺒﻊ را ﺑﻪ روي ارﺗﺒﺎط ﺧﻮد ﺑﺮاي ﺣﺬف ﮐﺮدن ﻫﺮ ﺑﺴﺘﻪ ‪ SYN‬ورودي‬ ‫اﺧﺘﺼﺎص ﻣﯽ دﻫﺪ ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﻫﻨﮕﺎﻣﯽ ﮐﻪ ﺳﯿﺴﺘﻢ ﻫﺪف ﻣﻨﺘﻈﺮ ﺗﮑﻤﯿﻞ ﺷﺪن ﺗﺄﯾﯿﺪ ﺳﻪ ﺟﺎﻧﺒﻪ ﻫﺮ ارﺗﺒﺎط ﻧﯿﻤﻪ ﺑﺎز اﺳﺖ، ﺑﻪ ﭘﺮ ﮐﺮدن اﯾﻦ ﺻﻒ ارﺗﺒﺎﻃﯽ‬
‫ﺑﭙﺮدازد .ﺑﺎ ﻓﺮﺳﺘﺎدن ﺑﺴﺘﻪ ﻫﺎي ‪ SYN‬ﺑﺮاي ﻣﺼﺮف ﺗﻤﺎم ﻣﮑﺎن ﻫﺎي اﺧﺘﺼﺎص داده ﺷﺪه روي ﺻﻒ ارﺗﺒﺎط، ﻫﯿﭻ ارﺗﺒﺎط دﯾﮕﺮي ﻧﻤﯽ ﺗﻮاﻧﺪ ﺗﻮﺳﻂ ﮐﺎرﺑﺮان‬ ‫آن ﺳﺮور ﺑﺮﻗﺮار ﺷﻮد .ﺑﺮاي ﻣﻄﻤﺌﻦ ﺷﺪن ﭘﺮ ﺑﻮدن ﺻﻒ ارﺗﺒﺎط‬ ‫‪syn flood‬اﺑﺰارﻫﺎي زﯾﺎدي دارد ﮐﻪ ﺑﺎ اﺳﺘﻔﺎده از آدرس ﻫﺎي ﻣﺒﺪا ‪ spoof‬ﺷﺪه ﮐﻪ‬ ‫روي ‪net‬ﺟﻮاب ﻧﻤﯽ دﻫﻨﺪ ﺑﺴﺘﻪ ﻫﺎي ‪syn‬را ﻣﯽ ﻓﺮﺳﺘﻨﺪ . ﺧﺐ ﻣﺎ ﻣﯽ ﺗﻮاﻧﯿﻢ ﻣﺠﻤﻮﻋﻪ اي از آدرس ﻫﺎي ‪ ip‬اﻧﺘﺨﺎب ﮐﻨﯿﻢ ﮐﻪ ﻫﯿﭻ ﻣﺎﺷﯿﻨﯽ ﮐﻪ در‬ ‫ﺣﺎل اﺳﺘﻔﺎده و ارﺗﺒﺎط ﺑﺎ اﯾﻨﺘﺮﻧﺖ اﺳﺖ از آﻧﻬﺎ اﺳﺘﻔﺎده ﻧﮑﻨﺪ، اﯾﻦ ‪ ip‬ﻫﺎ ﺑﻪ ﻋﻨﻮان ﻣﺒﺪأ ‪ spoof‬ﺷﺪه ﺑﻪ ﮐﺎر ﻣﯽ روﻧﺪ ﭼﻮن ﺟﻮاب ﻫﺎي ‪ SYN-ACK‬از‬ ‫ﻣﺎﺷﯿﻦ ﻫﺪف ﻫﯿﭻ وﻗﺖ ﭘﺎﺳﺨﯽ را درﯾﺎﻓﺖ ﻧﻤﯽ ﮐﻨﺪ .اﮔﺮ اﺑﺰار ‪ SYN Flood‬ﺑﻪ وﺳﯿﻠﻪ ﯾﮏ آدرس ‪ip‬اﺧﺘﺼﺎص داده ﺷﺪه ﺑﻪ ﯾﮏ ﻣﺎﺷﯿﻦ ﺣﻘﯿﻘﯽ ﺑﺮ ﺷﻮد‬ ‫ﻫﺮ ‪ Spoof‬روي اﯾﻨﺘﺮﻧﺖ ‪ SYN‬ﮐﻪ ﺗﻮﺳﻂ ﻫﮑﺮ ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد، ﯾﮏ ﺟﻮاب ‪ SYN-ACK‬ﻓﺮﺳﺘﺎده ﺷﺪه ﺑﻪ اﯾﻦ ﻣﺎﺷﯿﻦ ﻣﺠﺎز را ﮐﻪ آدرس ﻣﺒﺪأ آن‬ ‫‪ Spoof‬ﺷﺪه ﺑﻮد را آزاد ﻣﯽ ﮐﻨﺪ .اﯾﻦ ﻣﺎﺷﯿﻦ ﯾﮏ ﺑﺴﺘﻪ ‪ SYN-ACK‬از ﻫﺪف ﻣﯽ ﮔﯿﺮد و ﭼﻮن ﻫﯿﭻ ارﺗﺒﺎﻃﯽ ﺑﺮﻗﺮار ﻧﺸﺪه ﺑﻮد ﯾﮏ ‪ Reset‬ﻣﯽ‬ ‫ﻓﺮﺳﺘﺪ .ﺑﺴﺘﻪ ‪ Reset‬ﻧﯿﺰ ارﺗﺒﺎط را در ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ ﻗﻄﻊ ﻣﯽ ﮐﻨﺪ و ﻣﻨﺒﻊ ﺻﻒ ارﺗﺒﺎط را ﮐﻪ ﻫﮑﺮ اﺳﺘﻔﺎده ﻣﯽ ﮐﺮد را آزاد ﻣﯽ ﮐﻨﺪ.‬ ‫اﮔﺮ ﺑﺨﻮاﻫﻢ ﺑﻪ زﺑﺎن ﺳﺎده ﻣﺘﻦ ﺑﺎﻻ را ﺑﯿﺎن ﮐﻨﻢ ﺑﻪ اﯾﻦ ﺻﻮرت اﺳﺖ ﮐﻪ ﻫﮑﺮﻫﺎ اﮐﺜﺮاً ﺑﺎ اﺳﺘﻔﺎده از آدرس ﻫﺎي ‪ip‬ﮐﻪ ﺟﻮاب ﻧﻤﯽ دﻫﻨﺪ ﮐﺎر ﺗﻘﻠﯿﺪ را اﻧﺠﺎم‬ ‫ﻣﯽ دﻫﻨﺪ ﺗﺎ از ﮐﺎر ‪ reset‬ﮐﻪ ﻣﻨﺒﻊ ﺻﻒ اﺗﺼﺎل ‪ user‬را آزاد ﻣﯽ ﮐﻨﺪ ﺟﻠﻮﮔﯿﺮي ﮐﻨﻨﺪ .در ﺣﺎﻟﺖ ﻋﺎدي ﺑﺮاي ﺑﺮﻗﺮاري ﯾﮏ ارﺗﺒﺎط‬ ‫‪ tcp/ip‬در ﻣﺮﺣﻠﻪ‬ ‫اول ﻣﺸﺘﺮي ﯾﮏ ﺑﺴﺘﻪ ‪ SYN‬ﺑﺮاي ﻣﯿﺰﺑﺎن ﻣﯽ ﻓﺮﺳﺘﺪ و در ﻣﺮﺣﻠﻪ ﺑﻌﺪ ﻣﯿﺰﺑﺎن ﭘﺎﺳﺦ ﻣﺸﺘﺮي را ﺑﻪ وﺳﯿﻠﻪ ﯾﮏ ﺑﺴﺘﻪ ‪ SYN/ACK‬ﻣﯽ دﻫﺪ و در ﻣﺮﺣﻠﻪ‬ ‫ﺳﻮم و آﺧﺮ ﻣﺸﺘﺮي ﭘﺎﺳﺦ ﻣﯿﺰﺑﺎن را ﺑﺎ ارﺳﺎل ﯾﮏ ﺑﺴﺘﻪ ‪ ack‬ﻣﯽ دﻫﺪ و اﺗﺼﺎل ﺑﺮﻗﺮار ﻣﯽ ﺷﻮد ﮐﻪ ﺑﻪ اﯾﻦ ﺳﻪ ﻣﺮﺣﻠﻪ در ‪ tcp/ip‬ﺑﻪ اﺻﻄﻼح ‪Three‬‬ ‫‪ Way Handshake‬ﯾﺎ دﺳﺖ دادن ﺳﻪ ﻃﺮﻓﻪ ﻣﯽ ﮔﻮﯾﻨﺪ. ﻫﻨﮕﺎم ﺣﻤﻠﻪ ﯾﮏ ﺑﺴﺘﻪ ‪ syn‬ﺑﻪ ﺳﻮي ﻣﯿﺰﺑﺎن ﺑﺎ ﯾﮏ آدرﺳﻪ ‪ ip‬ﺟﻌﻠﯽ ارﺳﺎل ﻣﯽ ﺷﻮد .ﻣﯿﺰﺑﺎن‬ ‫ﺑﺎ ﯾﮏ ﺑﺴﺘﻪ ‪ SYN/ACK‬ﭘﺎﺳﺦ ﻣﯽ دﻫﺪ و ﻣﻨﺘﻈﺮ ﭘﺎﺳﺦ ﮐﻪ ﺑﺴﺘﻪ ‪ ACK‬اﺳ ﺖ ﻣﯽ ﻣﺎﻧﺪ وﻟﯽ ‪ ip‬ﺟﻌﻠﯽ ﺑﻮده و ﭘﺎﺳﺨﯽ در ﮐﺎر ﻧﺨﻮاﻫﺪ ﺑﻮد وﻟﯽ ﻣﯿﺰﺑﺎن‬ ‫ﻫﻤﭽﻨﺎن ﻣﻨﺘﻈﺮ ﻣﺎﻧﺪه و ﺑﻪ ﺑﺴﺘﻪ ﻫﺎي‪ syn‬ﭘﺎﺳﺦ ﻣﯽ دﻫﺪ. اﯾﻦ اﻣﺮ ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﺗﺎ ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻤﯽ ﻣﯿﺰﺑﺎن ﺑﻪ ﭘﺎﯾﺎن رﺳﯿﺪه و ﺳﺮور دﭼﺎر ﻣﺸﮑﻞ ﺷﻮد و‬ ‫ﺳﺮوﯾﺲ دﻫﯽ آن ﻣﺘﻮﻗﻒ ﺷﻮد. روش دﯾﮕﺮي ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ در ‪ SYN Flood‬ﻣﻨﺎﺑﻊ ﻫﺪف را ﺗﻀﻌﯿﻒ ﮐﻨﺪ ﮐﻪ ﭘﯿﺸﺮﻓﺘﻪ ﺗﺮ از روش ﺻﻒ ارﺗﺒﺎط اﺳﺖ ﺑﻪ اﯾﻦ‬ ‫ﺻﻮرت اﺳﺖ ﮐﻪ اﮔﺮ ﻣﻨﺸﺄ ارﺗﺒﺎط ﺑﺴﯿﺎر ﺑﺰرگ ﺑﺎﺷﺪ و ﺻﺪﻫﺎ ﻫﺰار ﺑﺴﺘﻪ ‪ SYN‬ﺑﻪ ﺟﺎ ﻣﺎﻧﺪه را ﺑﺘﻮاﻧﺪ در ﺧﻮد ﺟﺎي دﻫﺪ‪ SYN Flood‬ﻓﻘﻂ ﻣﯽ ﺗﻮاﻧﺪ‬ ‫ﭘﯿﻮﻧﺪ ارﺗﺒﺎﻃﯽ را ﺑﺎ ﺑﯿﺮون ﮐﺮدن ﻫﺮ ﺗﺮاﻓﯿﮏ ﻣﺠﺎزي اﺷﻐﺎل ﮐﻨﺪ .ﺑﺮاي دﺳﺘﺮ ﺳﯽ ﺑﻪ اﯾﻦ وﺿﻌﯿﺖ ﻫﮑﺮ ﺑﺎﯾﺪ ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺑﯿﺸﺘﺮي را ﻧﺴﺒﺖ ﺑﻪ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ‬ ‫داﺷﺘﻪ ﺑﺎﺷﺪ و ﻫﻤﭽﻨﯿﻦ ﺑﺘﻮاﻧﺪ ﺑﺴﺘﻪ ﻫﺎﯾﯽ را ﺑﺮاي اﺷﻐﺎل اﯾﻦ ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺑﻪ وﺟﻮد ﺑﯿﺎورد .‬ ‫اﮔﺮ ﺑﺨﻮاﻫﯿ ﻢ درﺑﺎره راه ﻫﺎي دﻓﺎع در ﺑﺮاﺑﺮ ‪ SYN Flood‬ﺗﻮﺿﯿﺢ دﻫﻢ از اﯾﻨﺠﺎ ﺷﺮوع ﻣﯽ ﮐﻨﻢ ﮐﻪ اوﻟﯿﻦ و ﻣﻬﻤﺘﺮﯾﻦ دﻓﺎع در ﺑﺮاﺑﺮ ‪ SYN Flood‬اﻃﻤﯿﻨﺎن‬ ‫داﺷﺘﻦ از وﺟﻮد ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﮐﺎﻓﯽ و ﻣﺴﯿﺮﻫﺎي زﯾﺎدي ﺑﺮاي ﺗﻤﺎم ﺳﯿﺴﺘﻢ ﻫﺎي ﺣﺴﺎس ﺷﻤﺎ اﺳﺖ .ﺗﮑﻨﯿﮑﯽ ﮐﻪ در ﻟﯿﻨﻮﮐﺲ ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪ SYN Flood‬ﺑﻪ‬ ‫ﮐﺎر ﺑﺮده ﻣﯽ ﺷﻮد اﺳﺘﻔﺎده از ﮐﻮﮐﯽ ﻫﺎي ‪ SYN‬اﺳﺖ ﮐﻪ در ﺑﺮاﺑﺮ ﺣﺬف ﺷﺪن ﺻﻒ ارﺗﺒﺎﻃﯽ ﮐﻪ ﺑﺴﺘﻪ ﻫﺎي ‪ SYN‬اﻧﺠﺎم ﻣﯽ دﻫﻨﺪ ﻣﯽ اﯾﺴﺘﻨﺪ و ﻣﻘﺎﺑﻠﻪ ﻣﯽ‬ ‫ﮐﻨﻨﺪ .ﺑﺮاي ﻓﻌﺎل ﮐﺮدن ﮐﻮﮐﯽ ﻫﺎي ‪ SYN‬در ﯾﮏ ﻣﺎﺷﯿﻦ ﻟﯿﻨﻮﮐﺲ ﺧﻂ زﯾﺮ ﺑﺎﯾﺪ ﺑﻪ ‪Boot‬‬ ‫‪ Sequence‬ﻣﺎﺷﯿﻦ اﺿﺎﻓﻪ ﺷﻮد.‬ ‫‪Echo 1>/proc/sys/net/ipv4/tcp_syncookies‬‬ ‫ﻋﻼوه ﺑﺮ اﯾﻦ، ﯾﮏ ﻣﺎﺷﯿﻦ ﻟﯿﻨﻮﮐﺲ ﻣﯽ ﺗﻮاﻧﺪ ﺑﻪ ﻋﻨﻮان ﯾﮏ ‪ Proxy‬دﯾﻮاره آﺗﺶ ) ‪ (Firewall‬ﺗﻨﻈﯿﻢ ﺷﻮد و ﺑﺎ اﯾﻦ ﮐﺎر ﺑﺎﻋﺚ اﺿﺎﻓﻪ ﺷﺪن ﻣﺤﺎﻓﻈﺖ ﮐﻮﮐﯽ‬ ‫‪ SYN‬ﺑﻪ ﮐﻞ ﯾﮏ ﺷﺒﮑﻪ ﺷﻮد.‬
‫ﺣﻤﻼت ‪: smurf‬‬ ‫ﺣﻤﻼت ‪ smurf‬ﻧﯿﺰ ﯾﮑﯽ از اﻧﻮاع ﺣﻤﻼت ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ از راه دور ﻫﺴﺘﻨﺪ ‪smurf attack‬را ﺑﻪ ﻋﻨﻮان ‪ broadcast attacks directed‬ﯾﺎ‬ ‫ﺣﻤﻼت اﻧﺘﺸﺎري ﻣﻨﺴﺠﻢ ﻫﻢ ﻣﯽ ﺷﻨﺎﺳﻨﺪ . ﺣﻤﻼت ‪ Smurf‬از ﻣﻌﺮوﻓﺘﺮﯾﻦ و راﯾﺠﺘﺮﯾﻦ ﺣﻤﻼت‪ Dos‬ﻣﺤﺴﻮب ﻣﯽ ﺷﻮد.‬ ‫ﻓﺮﺳﺘﺎدن ﯾﮏ ﭘﯿﺎم اﺗﺮﻧﺖ ﺑﻪ آدرس ‪ MAC‬ﮐﻪ ﺗﻤﺎم رﻗﻤﻬﺎﯾﺶ 1 ﺑﺎﺷﺪ از ﻃﺮﯾﻖ ‪ LAN‬ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﺗﺎ ﻫﻤﻪ ﻣﺎﺷﯿﻦ ﻫﺎي روي‪ LAN‬ﻫﺪف، ﭘﯿﺎم را‬ ‫ﺧﻮاﻧﺪه و ﺟﻮاﺑﯽ را ﺑﻔﺮﺳﺘﻨﺪ .دوﺳﺘﺎن اﯾﻦ ﻧﮑﺘﻪ را ذﮐﺮ ﮐﻨﻢ ﮐﻪ درك ﮐﺎﻣﻞ روش ﻫﺎي ‪ Dos‬ﺑﻪ آﺷﻨﺎﯾﯽ ﻗﺒﻠﯽ ﺷﻤﺎ ﺑﺎ ﻣﻔﺎﻫﯿﻢ ﺷﺒﮑﻪ و ‪ TCP/IP‬ﺑﺴﺘﮕﯽ‬ ‫دارد.‬ ‫ﻓﺮض ﮐﻨﯿﻢ ‪ ،PING‬ﯾﮏ ﺑﺴﺘﻪ اﻧﻌﮑﺎس‬ ‫‪ICMP‬اﺳﺖ ﯾﮏ ﮐﺎرﺑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﯾﮏ ‪PING‬را ﺑﻪ آدرس اﻧﺘﺸﺎر ‪IP‬ﯾﮏ ﺷﺒﮑﻪ ﺑﻔﺮﺳﺘﺪ اﮔﺮ ‪ ROUTER‬روي‬ ‫ﺷﺒﮑﻪ ﻫﺪف اﺟﺎزه اﻧﺘﺸﺎر ﻣﺴﺘﻘﯿﻢ را ﺑﺪﻫﺪ ﺑﺴﺘﻪ ‪ PING‬اﻧﺘﺸﺎر ﻻﯾﻪ ‪ IP‬را ﺑﻪ ﯾﮏ اﻧﺘﺸﺎر ﻻﯾﻪ ‪ MAC‬ﺗﺒﺪﯾﻞ ﻣﯽ ﮐﻨﺪ ﮐﻪ ﺑﺎﻋﺚ درﯾﺎﻓﺖ آن ﺗﻮﺳﻂ ﺗﻤﺎم‬ ‫ﺳﯿﺴﺘﻢ ﻫﺎي روي‬ ‫‪LAN‬ﻣﻘﺼﺪ ﻣﯽ ﺷﻮد .وﻗﺘﯽ ﭘﯿﺎم درﯾﺎﻓﺖ ﺷﺪ ﺗﻤﺎم ﻣﺎﺷﯿﻦ ﻫﺎي ﻓﻌﺎل روي ‪ LAN‬ﻫﺪف، ﯾﺎ ﭘﺎﺳﺦ ‪ Ping‬را ﻣﯽ ﻓﺮﺳﺘﻨﺪ و ﯾﺎ ﺑﺎ‬ ‫ﻓﺮﺳﺘﺎدن ﻓﻘﻂ ﯾﮏ ﺑﺴﺘﻪ، آن ﺳﺮور و ‪ Host‬ﭼﻨﺪﯾﻦ ﺑﺴﺘﻪ ﭘﺎﺳﺦ را درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﻨﺪ . ﺣﺎﻻ ﻓﺮض ﮐﻨﯿﺪ ﮐﻪ اوﻟﯿﻦ در ﺧﻮاﺳﺖ ‪ Ping‬از اﻧﺘﺸﺎر ﺷﺒﮑﻪ‬ ‫درﯾﺎﻓﺖ ﯾﮏ آدرس ‪ IP‬ﻣﺒﺪأ‪ Spoof‬ﺷﺪه ﺑﺎﺷﺪ، ﻫﻤﻪ ﭘﺎﺳﺨﻬﺎي ‪ Ping‬از ﺗﻤﺎم ﻣﺎﺷﯿﻦ ﻫﺎي روي ﺷﺒﮑﻪ ﺑﻪ ﺳﻮي ﻣﺒﺪأ ﻇﺎﻫﺮي ﺑﺴﺘﻪ ﮐﻪ آدرس آن‬ ‫‪ SPOOF‬ﺷﺪه ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد ﻫﻤﯿﻨﻄﻮر ﮐﻪ ﺗﻌﺪاد ﻣﺎﺷﯿﻦ ﻫﺎ روي ﺷﺒﮑﻪ ﮐﻪ اﺟﺎزه اﻧﺘﺸﺎر ﻣﺴﺘﻘﯿﻢ را ﻣﯽ دﻫﻨﺪ اﺿﺎﻓﻪ ﻣﯽ ﺷﻮد، ﺗﻌﺪاد ﺑﺴﺘﻪ ﻫﺎي ﭘﺎﺳﺦ‬ ‫ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺗﻮﻟﯿﺪ ﺷﻮﻧﺪ ﻧﯿﺰ اﻓﺰاﯾﺶ ﭘﯿﺪا ﻣﯽ ﮐﻨﺪ و ﯾﮏ ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ از اﯾﻦ روش ﺑﺮاي ﺗﺪارك ﯾﮏ ﺣﻤﻠﻪ ‪ SMURF‬اﺳﺘﻔﺎده ﮐﻨﺪ.‬ ‫ﻫﮑﺮ ﯾﮏ ﺑﺴﺘﻪ ‪ PING‬را ﺑﻪ آدرس اﻧﺘﺸﺎر ﭼﻨﺪ ﺷﺒﮑﻪ روي اﯾﻨﺘﺮﻧﺖ ﮐﻪ ﭘﯿﺎم ﻫﺎي اﻧﺘﺸﺎر ﻣﺴﺘﻘﯿﻢ را ﻗﺒﻮل ﻣﯽ ﮐﻨﺪ و ﺟﻮاب ﻣﯽ دﻫﺪ، ﻣﯽ ﻓﺮﺳﺘﺪ ﮐﻪ ﺑﻪ اﯾﻦ‬ ‫ﻋﻤﻞ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪ Smurf‬ﻫﻢ ﻣﯽ ﮔﻮﯾﻨﺪ .ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪ Smurf‬اﻏﻠﺐ ﭼﯿﺰي ﻧﯿﺴﺖ ﺟﺰ ﯾﮏ ﺷﺒﮑﻪ ﺑﺎ ﺗﻨﻈﯿﻢ ﻧﺎدرﺳﺖ ﮐﻪ ﺑﻪ ﺑﺨﺶ ﺳﻮم ﺑﯽ ﮔﻨﺎﻫﯽ‬ ‫روي اﯾﻨﺘﺮﻧﺖ ﺗﻌﻠﻖ دارد. ﻫﮑﺮ از آدرس ﻣﺒﺪا ‪ Spoof‬و ﭘﻨﻬﺎن ﺷﺪه ﻗﺮﺑﺎﻧﯽ ﮐﻪ ﻣﯽ ﺧﻮاﻫﺪ آن را ‪ Flood‬ﮐﻨﺪ اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ و ﻫﻤﻪ ﺟﻮاب ﻫﺎي ‪PING‬‬ ‫ﺑﻪ ﻃﺮف ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد ﻣﺜﻼً اﮔﺮ 001 ﻣﯿﺰﺑﺎن ﻣﺘﺼﻞ ﺑﻪ ﺷﺒﮑﻪ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪ SMURF‬ﻣﻮﺟﺐ ﻓﺮﺳﺘﺎده ﺷﺪن 001 ﺑﺴﺘﻪ ﺑﻪ ﻗﺮﺑﺎﻧﯽ ﺷﻮد ﻣﺎ ﺑﺴﺘﻪ ﻫﺎ را‬ ‫ﭘﺸﺘﻪ ﺳﺮﻫﻢ ﺑﻪ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪ SMURF‬ﻣﯿﻔﺮﺳﺘﯿﻢ و اﮔﺮ ﻣﺎ ﺑﺘﻮاﻧﯿﻢ ﺑﺴﺘﻪ ﻫﺎ را ﺑﺎ ﯾﮏ اﺷﺘﺮاك ‪ DAILUP 56 kbps‬ﺗﻘﻮﯾﺖ ﮐﻨﯿﻢ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪smurf‬‬ ‫ﻣﯽ ﺗﻮاﻧﺪ ﺗﺎ 001 ﺑﺮاﺑﺮ اﯾﻦ ﻣﻘﺪار را ﺗﻮﻟﯿﺪ ﮐﻨﺪ .‬
‫‪:Smurf‬‬ ‫ﯾﮑﯽ از اوﻟﯿﻦ ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺣﻤﻠﻪ اﻧﺘﺸﺎر ﻣﺴﺘﻘﯿﻢ اﺳﺖ ﮐﻪ اﻧﺒﻮﻫﯽ از ﺑﺴﺘﻪ ﻫﺎي‪ ICMP‬را اﯾﺠﺎد ﻣﯽ ﮐﻨﺪ و ﺑﻪ ﺳﻤﺖ ﻗﺮﺑﺎﻧﯽ ﻣﯽ ﻓﺮﺳﺘﺪ.‬ ‫‪: Fraggle‬‬ ‫اﯾﻦ ‪tools‬ﺑﺮ روي ‪ udp‬ﻣﺘﻤﺮﮐﺰ اﺳﺖ وﮐﺎر ﻣﯽ ﮐﻨﺪ ‪ fraggel‬ﺑﺴﺘﻪ ﻫﺎﯾﯽ را ﺑﻪ ﯾﮏ آدرس اﻧﺘﺸﺎر ‪ip‬ﺑﻪ ﻣﻘﺼﺪ ﭘﻮرت ‪ udp‬ﻣﺘﻤﺮﮐﺰ ﻣﯽ ﺷﻮد و ﮐﺎر ﻣﯽ‬ ‫ﮐﻨﺪ.‬ ‫‪Fraggel‬ﺑﺴﺘﻪ ﻫﺎﯾﯽ را ﺑﻪ ﯾﮏ آدرس اﻧﺘﺸﺎر ‪ ip‬ﺑﻪ ﻣﻘﺼﺪ ﭘﻮرت ‪ udp‬ﮐﻪ ﺑﺮاي ﯾﮏ ﺳﺮوﯾﺲ ﺟﻬﺖ ارﺳﺎل ﭘﺎﺳﺦ ﺗﻨﻈﯿﻢ ﺷﺪه، ﻣﯽ ﻓﺮﺳﺘﺪ .ﺑﺮاي‬ ‫ﻣﺜﺎل ﺳﺮوﯾﺲ اﻧﻌﮑﺎس ﯾﮏ ﺑﺴﺘﻪ را ﻣﯽ ﮔﯿﺮد و ﺧﯿﻠﯽ راﺣﺖ ﺟﻮاﺑﯽ را ﮐﻪ ﻣﺤﺘﻮاي آن دﻗﯿﻘﺎً ﻫﻤﺎن داده ﻫﺎي درﯾﺎﻓﺖ ﺷﺪه اﺳﺖ را ﺑﺮﻣﯽ ﮔﺮداﻧﺪ و ﺑﻪ‬ ‫ﻫﻤﯿﻦ دﻟﯿﻞ اﺳﺖ ﮐﻪ ‪echo‬ﯾﺎ اﻧﻌﮑﺎس ﻧﺎﻣﯿﺪه ﻣﯽ ﺷﻮد .ﺑﺎ اﺳﺘﻔﺎده از ‪ Fraggle‬ﺑﺮاي ارﺳﺎل اﻧﺒﻮﻫﯽ از ﺑﺴﺘﻪ ﻫﺎ ﺑﻪ ﯾﮏ آدرس اﻧﺘﺸﺎر ‪ ip‬روي ﭘﻮرت‬ ‫ﻫﻔﺖ ‪udp‬ﺗﻤﺎم ﻣﺎﺷﯿﻦ ﻫﺎي روي ﺷﺒﮑﻪ ﺗﺮاﻓﯿﮏ ‪ udp‬را اﻧﻌﮑﺎس ﻣﯽ دﻫﺪ ﮐﻪ ﻧﺘﯿﺠﻪ آن ﺗﻘﻮﯾﺖ ‪flood‬اﺳﺖ.‬
‫‪:PapaSmurf‬‬ ‫ﯾﻌﻨﯽ ﭘﺪر‪ smurf attack‬ﮐﻪ ﯾﮏ ‪ smurf tools‬اﺳﺖ ﺗﺮﮐﯿﺒﯽ از ﺣﻤﻼت ‪ Fraggle‬و ‪ Smurf‬اﺳﺖ‬ ‫ﺧﯿﻠﯽ از ﻫﮑﺮﻫﺎ ﮔﺮوﻫﯽ را ﺗﺸﮑﯿﻞ ﻣﯽ دﻫﻨﺪ و ﺑﺎ ﻫﻢ ﻓﻌﺎﻟﯿﺖ ﻣﯽ ﮐﻨﻨﺪ و در اﯾﻨﺘﺮﻧﺖ ﺑﻪ دﻧﺒﺎل ﺷﺒﮑﻪ ﻫﺎﯾﯽ ﮐﻪ ﺗﻨﻈﯿﻤﺎﺗﺸﺎن ﺿﻌﯿﻒ اﺳﺖ ﺟﺴﺘﺠﻮ ﻣﯽ ﮐﻨﻨﺪ‬ ‫و از آﻧﻬﺎ ﺑﻪ ﻋﻨﻮان ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪ Smurf‬اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﻨﺪ .‬ ‫‪http://www.netscan.org‬‬ ‫‪http://www.powertech.no/smurf‬‬ ‫ﺗﻮﺳﻂ ﺳﺎﯾﺖ اول آﺳﯿﺐ ﭘﺬﯾﺮي ﺷﺒﮑﻪ وﺳﺎﯾﺖ دوم آﺳﯿﺐ ﭘﺬﯾﺮ ﺑﻮدن ﺳﯿﺴﺘﻤﺘﺎن را در ﺑﺮاﺑﺮ ﺣﻤﻼت‬ ‫اﻣﺘﺤﺎن ﮐﻨﯿﺪ.‬ ‫‪ Nmap‬ﻧﯿﺰ ﮐﻪ ﯾﮏ ﭘﻮرت اﺳﮑﻨﺮ و ﭘﻮﯾﺸﮕﺮ ﻗﻮي اﺳﺖ.‬ ‫ﺣﻤﻠﻪ ﺗﮑﺬﯾﺐ ﺳﺮوﯾﺲ ﻫﺎي ﺗﻮزﯾﻌﯽ:‬ ‫ﯾﮏ ‪ SYN Flood‬ﺳﺎده ﺑﻪ ﻣﺎ اﻣﮑﺎن ﻣﯽ دﻫﺪ ﺗﺎ از ﯾﮏ ﻣﺎﺷﯿﻦ ﺗﺮاﻓﯿﮑﯽ را ﺑﺮ ﻋﻠﯿﻪ ﺳﺮور ﻗﺮﺑﺎﻧﯽ اﯾﺠﺎد ﮐﻨﯿﻢ .در ﯾﮏ ﺣﻤﻠﻪ‪ Smurf‬ﺣﺠﻢ ﺗﺮاﻓﯿﮏ‬ ‫اﻓﺰاﯾﺶ ﻣﯽ ﯾﺎﺑﺪ اﻣﺎ ﻫﻨﻮز ﻣﻘﺪار ﺗﺮاﻓﯿﮑﯽ ﮐﻪ ﻣﯽ ﺗﻮان از ﯾﮏ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه‪ Smurf‬ﮔﺮﻓﺖ ﻣﺤﺪود اﺳﺖ. در ﯾﮏ ﺣﻤﻠﻪ ﺗﮑﺬﯾﺐ ﺳﺮوﯾﺲ ﻫﺎي ﺗﻮزﯾﻌﯽ ﮐﻪ‬ ‫ﺑﻪ ) ‪ DDOS ( Distributed Denial of Service‬ﻣﻌﺮوف اﺳﺖ.‬ ‫ﻣﺤﺪودﯾﺖ ﻫﺎي اﺻﻠﯽ در ﺗﻌﺪاد ﻣﺎﺷﯿﻦ ﻫﺎﯾﯽ ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﺮاي ﺗﺪارك ﺣﻤﻠﻪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﯿﺮﻧﺪ وﭘﻬﻨﺎي ﺑﺎﻧﺪي ﮐﻪ ﻫﮑﺮ ﻣﺼﺮف ﻣﯽ ﮐﻨﻨﺪ وﺟﻮد ﻧﺪارﻧﺪ .‬ ‫ﺑﺎ اﯾﺠﺎد اﯾﻦ اﻣﮑﺎن ﺑﺮاي ﻫﮑﺮ ﮐﻪ ﻓﻌﺎﻟﯿﺖ ﻫﺎي ﻣﯿﺰﺑﺎﻧﻬﺎ ﺑﻪ ﺗﻌﺪاد دﻟﺨﻮاه و زﯾﺎد را ﻫﻤﺎﻫﻨﮓ ﮐﻨﺪ، اﯾﻦ ﺣﻤﻠﻪ ﺧﻄﺮﻧﺎك ﺗﺮ ﻣﯽ ﺷﻮد .در ﯾﮏ ﺣﻤﻠﻪ ‪ddos‬‬ ‫ﻣﺤﺪودﯾﺘﯽ وﺟﻮد ﻧﺪارد .در اﯾﻦ ﻧﻮع ﺣﻤﻼت از دﺳﺘﻪ اي از ﮐﺎﻣﭙﯿﻮﺗﺮﻫﺎي ﻫﮏ ﺷﺪه ‪Zombie‬ﮐﻪ ﻫﺎ ﺑﺮ روي آﻧﻬﺎ ﻧﺼﺐ ﺷﺪه اﻧﺪ، ﺑﺮاي ﺣﻤﻠﻪ ﺑﻪ ﺳﯿﺴﺘﻢ‬ ‫ﻫﺪف اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد.‬
‫‪ DDOS‬آﺷﻨﺎﯾﯽ و روش ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻼت:‬ ‫ﯾﮏ ﺣﻤﻠﻪ ‪ ddos‬ﺑﺎ اﺳﺘﻔﺎده از ‪ zombie‬ﻫﺎ وﮐﺎﻣﭙﯿﻮﺗﺮ ﻫﺎﯾﯽ ﮐﻪ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ ﺑﺮﻧﺎﻣﻪ ‪ zombie‬ﺑﺮ روي آﻧﻬﺎ ﻧﺼﺐ ﺷﺪه اﺳﺖ در زﻣﺎن ﻣﺸﺨﺼﯽ ﮐﻪ‬ ‫ﺗﻮﺳﻂ ﻫﮑﺮ ﻫﺎ ﺗﻌﯿﯿﻦ ﺷﺪه اﺳﺖ ﺳﯿﻠﯽ اﻧﺒﻮه از ﺑﺴﺘﻪ ﻫﺎ را اﯾﺠﺎد ﮐﺮده و ﺑﻪ ﺳﻤﺖ ﯾﮏ ﯾﺎ ﭼﻨﺪ ﻗﺮﺑﺎﻧﯽ ﻣﯽ ﻓﺮﺳﺘﺪ .ﺑﺮاي ﺑﻪ وﺟﻮد آوردن ﯾﮏ ﺣﻤﻠﻪ ‪DDos‬‬ ‫‪ Flood‬ﻣﺎ در ﻣﺮﺣﻠﻪ اول ﺑﺎﯾﺪ ﺑﺮ ﺗﻌﺪاد ﮐﺜﯿﺮي از ﺳﯿﺴﺘﻢ ﻫﺎي ﮐﻼﯾﻨﺖ ﯾﺎ ﺳﺮور ﮐﻪ داراي ﻧﻘﺎط ﺿﻌﻒ و آﺳﯿﺐ ﭘﺬﯾﺮي ﻫﺴﺘﻨﺪ ﻧﻔﻮذ ﮐﻨﯿﻢ و ﮐﻨﺘﺮل ﮐﺎﻣﻞ‬ ‫آن ﺳﯿﺴﺘﻢ ﻫﺎ را در اﺧﺘﯿﺎر داﺷﺘﻪ ﺑﺎﺷﯿﻢ ﮐﻪ ﻣﺎ ﻣﯽ ﺗﻮاﻧﯿﻢ ﺑﺎ اﺳﺘﻔﺎده از روش ﻫﺎي ﻣﺘﻌﺪدي ﮐﻪ ﺑﺮاي ﻧﻔﻮذ ﺑﻪ ﺻﻮرت‪ Remote‬وﺟﻮد دارد ﻣﺜﻞ ﯾﮏ ﺣﻤﻠﻪ‬ ‫ﺳﺮرﯾﺰ ﺑﺎﻓﺮ) ‪( Buffer Ovelflow‬‬ ‫و ﯾﺎ روش ﻫﺎي دﯾﮕﺮ ﮐﻨﺘﺮل اﯾﻦ ﺳﯿﺴﺘﻢ ﻫﺎ را در دﺳﺖ ﺑﮕﯿﺮﯾﻢ .ﺑﻪ اﯾﻦ ﺳﯿﺴﺘﻢ ﻫﺎي ﻫﮏ ﺷﺪه ‪) Zombie‬ﻣﺮده‬ ‫ﻣﺘﺤﺮك( ﻣﯽ ﮔﻮﯾﻨﺪ در اﮐﺜﺮ ﺣﻤﻼت ‪ ZAMBIE ,DDOS‬ﻫﺎ ﺑﺮ روي ﺳﺮورﻫﺎي آﺳﯿﺐ ﭘﺬﯾﺮ در داﻧﺸﮕﺎه ﻫﺎ، ﺳﺮورﻫﺎي‪ Hosting‬و ﺣﺘﯽ ﺳﯿﺴﺘﻢ ﻫﺎي‬ ‫ﮐﺎرﺑﺮان ﺧﺎﻧﮕﯽ ﮐﻪ از ﻃﺮﯾﻖ ﺧﻄﻮط )‪Digital Subscriber Loop ( DSL‬‬ ‫ﯾﺎ ﺳﺮوﯾﺲ ﻫﺎي ﻣﻮدم ﮐﺎﺑﻠﯽ ﻣﺘﺼﻞ ﻫﺴﺘﻨﺪ، ﻧﺼﺐ ﺷﺪه اﻧﺪ .ﻫﮑﺮ در‬ ‫ﻣﺮﺣﻠﻪ اول ﺣﻤﻠﻪ ‪ DDos‬ﺗﻤﺎم وﻗﺖ ﺧﻮد را در اﯾﻨﺘﺮﻧﺖ ﺑﺮاي ﭘﯿﺪا ﮐﺮدن ﺳﯿﺴﺘﻢ ﻫﺎي آﺳﯿﺐ ﭘﺬﯾﺮ ﻣﯽ ﮔﺬارد و آﻧﻬﺎ را ﭘﯿﺪا ﻣﯽ ﮐﻨﺪ و از آﻧﻬﺎ ﺳﻮء اﺳﺘﻔﺎده‬ ‫ﮐﺮده و ﺳﯿﺴﺘﻢ ‪ ZOMBIE‬را ﺑﺮ روي ﺳﯿﺴﺘﻢ ﻫﺎ ﻧﺼﺐ ﻣﯽ ﮐﻨﺪ .‬ ‫ﻧﺮم اﻓﺰار ‪ ZOMBIE‬از اﺟﺰاء اﺑﺰار ‪ DDOS‬اﺳﺖ ﮐﻪ ﻣﻨﺘﻈﺮ ﻓﺮﻣﺎﻧﯽ از ﻫﮑﺮ ﻣﯽ ﻣﺎﻧﺪ ﮐﻪ از اﺑﺰار ﮐﻼﯾﻨﺖ ﺧﺎﺻﯽ ﺑﺮاي ﻣﮑﺎﻟﻤﻪ ﺑﺎ آن ‪ Zombie‬اﺳﺘﻔﺎده ﻣﯽ‬ ‫ﮐﻨﺪ .ﯾﮑﯽ از ﺑﻬﺘﺮﯾﻦ ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﺑﺮاي ﺣﻤﻼت ‪ DDos‬اﺑﺰار ) ‪ Tribe Flood Network 2000 ( TFN2K‬اﺳﺖ ﻫﮑﺮ ﻣﻌﻤﻮﻻً ﯾﮏ ﯾﺎ ﺑﯿﺶ از ﯾﮏ‬ ‫ﻣﺎﺷﯿﻦ ﮐﻼﯾﻨﺖ را ﺑﺮاي ﺻﺪور ﻫﻤﺰﻣﺎن دﺳﺘﻮر اﺟﺮاي ﻓﺮﻣﺎن ﺑﻪ ﺗﻤﺎم ‪ Zombie‬ﻫﺎ اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ ﺗﺎ ﯾﮏ ﺣﻤﻠﻪ ‪ DDOS‬را ﻋﻠﯿﻪ ﻫﺪف ﺧﻮد ﺗﺪارك‬ ‫ﺑﺒﯿﻨﺪ .ﺗﻤﺎم ‪ Zombie‬ﻫﺎ از روي وﻇﯿﻔﻪ ﭘﺎﺳﺦ ﻣﯽ دﻫﻨﺪ و اﯾﻦ ﻣﻨﺠﺮ ﺑﻪ اﯾﺠﺎد ‪ FLOOD‬و ﻏﺮق ﺷﺪن ﺳﺮور ﻗﺮﺑﺎﻧﯽ در ﺳﯿﻠﯽ از ﺑﺴﺘﻪ ﻫﺎ ﻣﯽ ﺷﻮد.‬ ‫ﮐﻼﯾﻨﺖ ﺑﺎ ‪ Zombie‬ﻫﺎ ارﺗﺒﺎط ﺑﺮﻗﺮار ﻣﯽ ﮐﻨﺪ وﻟﯽ ﻣﻌﻤﻮﻻً ﻫﮑﺮ از ﺳﯿﺴﺘﻢ ﺟﺪاﮔﺎﻧﻪ اي ﺑﺮاي دﺳﺘﺮﺳﯽ ﺑﻪ ‪ Client‬ﺳﺮوﯾﺲ ﮔﯿﺮﻧﺪه‬ ‫اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ و‬ ‫اﯾﻦ اﻣﺮ ﺑﻪ دﻟﯿﻞ آن اﺳﺖ ﮐﻪ ﻫﮑﺮ ﺷﻨﺎﺳﺎﯾﯽ ﻧﺸﻮد و ﻣﺸﺎورﯾﻦ اﻣﻨﯿﺘﯽ آن ﺷﺮﮐﺖ ﻓﻘﻂ ﻣﯽ ﺗﻮاﻧﻨﺪ ﻣﺤﻞ ﺳﯿﺴﺘﻢ ﻫﺎي ‪ Zombie‬را ﺷﻨﺎﺳﺎﯾﯽ ﮐﻨﻨﺪ.‬
‫اﮔﺮ ﺑﺨﻮاﻫﯿ ﻢ ﺣﻤﻼت ‪ DDOS‬را ﺑﻪ ﺻﻮرت ﺧﻼﺻﻪ ﺑﺮاﯾﺘﺎن ﺷﺮح دﻫﻢ ﺑﻪ اﯾﻦ ﺻﻮرت ﺷﺮوع ﻣﯽ ﮐﻨﻢ ﮐﻪ ﺣﻤﻼت ﺗﻮزﯾﻌﯽ‪ Dos‬ﯾﺎ ﺣﻤﻼت ‪DDOS‬ﮐﺎﻣﻼً‬ ‫آﺳﯿﺐ رﺳﺎن ﻫﺴﺘﻨﺪ. ﮐﻪ ﻫﮑﺮ ﺑﺮ ﺗﻌﺪاد زﯾﺎدي از ﺳﯿﺴﺘﻢ ﻫﺎ روي اﯾﻨﺘﺮﻧﺖ ﻏﻠﺒﻪ ﻣﯽ ﮐﻨﺪ، ﺑﺮ روي ﻫﺮ ﮐﺪام از آﻧﻬﺎ ﻧﺮم اﻓﺰار‪ Zombie‬را ﻧﺼﺐ ﻣﯽ ﮐﻨﺪ و ﺟﻬﺖ‬ ‫‪ Flood‬ﻧﻤﻮدن ﯾﮏ ﻗﺮﺑﺎﻧﯽ از آﻧﻬﺎ در ﯾﮏ ﺣﻤﻠﻪ ﻫﻤﺎﻫﻨﮓ اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ. ﺣﻤﻼت‪ DDos‬ﺑﻪ ﻣﺎ اﯾﻦ اﻣﮑﺎن را ﻣﯽ دﻫﺪ ﮐﻪ ﻣﻘﺎدﯾﺮ زﯾﺎدي از ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺳﺮور‬ ‫را اﺷﻐﺎل ﮐﻨﯿﻢ. ﻫﺮ ﭼﻪ ﺗﻌﺪاد‪ Zombie‬ﻫﺎﯾﯽ ﮐﻪ ﻣﺎ دارﯾﻢ ﺑﯿﺸﺘﺮ ﺑﺎﺷﺪ، ﻣﺎ ﺗﻮاﻧﺎﯾﯽ ﻣﺼﺮف و اﺷﻐﺎل ﺑﯿﺸﺘﺮ ﭘﻬﻨﺎي ﺑﺎﻧﺪ را ﺧﻮاﻫﯿﻢ داﺷﺖ.‬ ‫اﻧﻮاع ﺣﻤﻼت‪DDOS‬‬ ‫ﻋﻤﻮﻣﺎً ﺣﻤﻼت ‪ DDOS‬ﺑﻪ ﺳﻪ ﮔﺮوه ‪TRINOO,TFN/TFN2K ,STECHELDRAHT‬ﺗﻘﺴﯿﻢ ﻣﯽ ﺷﻮﻧﺪ .‬ ‫‪Trinoo‬‬ ‫‪ Trinoo‬در اﺻﻞ از ﺑﺮﻧﺎﻣﻪ ﻫﺎي ‪ Master/Slave‬اﺳﺖ ﮐﻪ ﺑﺎ ﯾﮑﺪﯾﮕﺮ ﺑﺮاي ﯾﮏ ﺣﻤﻠﻪ ﻃﻐﯿﺎن‪ UDP‬ﺑﺮ ﻋﻠﯿﻪ ﮐﺎﻣﭙﯿﻮﺗﺮ ﻗﺮﺑﺎﻧﯽ ﻫﻤﺎﻫﻨﮓ ﻣﯽ ﺷﻮﻧﺪ .در ﯾﮏ‬ ‫روﻧﺪ ﻋﺎدي، ﻣﺮاﺣﻞ زﯾﺮ ﺑﺮاي ﺑﺮﻗﺮاري ﯾﮏ ﺷﺒﮑﻪ ‪Trinoo DDoS‬واﻗﻊ ﻣﯽ ﺷﻮﻧﺪ‬ ‫ﻣﺮﺣﻠﻪ 1 : ﺣﻤﻠﻪ ﮐﻨﻨﺪه، ﺑﺎ اﺳﺘﻔﺎده از ﯾﮏ ﻣﯿﺰﺑﺎن ﻫﮏ ﺷﺪه، ﻟﯿﺴﺘﯽ از ﺳﯿﺴﺘﻢ ﻫﺎﯾﯽ را ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﻫﮏ ﺷﻮﻧﺪ، ﮔﺮدآوري ﻣﯽ ﮐﻨﺪ .ﺑﯿﺸﺘﺮ اﯾﻦ ﭘﺮوﺳﻪ‬ ‫ﺑﺼﻮرت ﺧﻮدﮐﺎر از ﻃﺮﯾﻖ ﻣﯿﺰﺑﺎن ﻫﮏ ﺷﺪه اﻧﺠﺎم ﻣﯽ ﮔﯿﺮد .اﯾﻦ ﻣﯿﺰﺑﺎن اﻃﻼﻋﺎﺗﯽ ﺷﺎﻣﻞ ﻧﺤﻮه ﯾﺎﻓﺘﻦ ﺳﺎﯾﺮ ﻣﯿﺰﺑﺎن ﻫﺎ ﺑﺮاي ﻫﮏ در ﺧﻮد ﻧﮕﻬﺪاري ﻣﯽ ﮐﻨﺪ.‬ ‫ﻣﺮﺣﻠﻪ 2 : ﺑﻪ ﻣﺤﺾ اﯾﻨﮑﻪ اﯾﻦ ﻟﯿﺴﺖ آﻣﺎده ﺷﺪ، اﺳﮑﺮﯾﭙﺖ ﻫﺎ ﺑﺮاي ﻫﮏ ﮐﺮدن و ﺗﺒﺪﯾﻞ آﻧﻬﺎ ﺑﻪ ارﺑﺎﺑﺎن ﯾﺎ ﺷﯿﺎﻃﯿﻦ )‪ Daemons‬اﺟﺮاء ﻣﯽ ﺷﻮﻧﺪ .ﯾﮏ‬ ‫ارﺑﺎب ﻣﯽ ﺗﻮاﻧﺪ ﭼﻨﺪ ﺷﯿﻄﺎن را ﮐﻨﺘﺮل ﮐﻨﺪ . ﺷﯿﺎﻃﯿﻦ ﻣﯿﺰﺑﺎﻧﺎن ﻫﮏ ﺷﺪه اي ﻫﺴﺘﻨﺪ ﮐﻪ ﻃﻐﯿﺎن ‪ UDP‬اﺻﻠﯽ را روي ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ اﻧﺠﺎم ﻣﯽ دﻫﻨﺪ.‬ ‫ﻣﺮﺣﻠﻪ 3 : ﺣﻤﻠﻪ ‪ DDOS‬ﻫﻨﮕﺎﻣﯽ ﮐﻪ ﺣﻤﻠﻪ ﮐﻨﻨﺪه ﻓﺮﻣﺎﻧﯽ ﺑﻪ ﻣﯿﺰﺑﺎﻧﺎن ‪MASTER‬ارﺳﺎل ﻣﯽ ﮐﻨﺪ، اﻧﺠﺎم ﻣﯽ ﮔﯿﺮد .اﯾﻦ ارﺑﺎﺑﺎن ﺑﻪ ﻫﺮ ﺷﯿﻄﺎﻧﯽ دﺳﺘﻮر‬ ‫ﻣﯽ دﻫﻨﺪ ﮐﻪ ﺣﻤﻠﻪ ‪ DoS‬را ﻋﻠﯿﻪ آدرس ‪IP‬ﻣﺸﺨﺺ ﺷﺪه در ﻓﺮﻣﺎن آﻏﺎز ﮐﻨﻨﺪ و ﺑﺎ اﻧﺠﺎم ﺗﻌﺪاد زﯾﺎدي ﺣﻤﻠﻪ ‪ DOS‬ﯾﮏ ﺣﻤﻠﻪ ‪ DDoS‬ﺷﮑﻞ ﻣﯽ ﮔﯿﺮد.‬
‫‪Stacheldraht‬‬ ‫ﮐﺪ ‪ Stacheldraht‬ﺑﺴﯿﺎرﺷﺒﯿﻪ ﺑﻪ ‪ TRINOO‬و ‪ TFN‬اﺳﺖ اﻣﺎ ‪Stacheldraht‬اﺟﺎزه ﻣﯽ دﻫﺪ ﮐﻪ ارﺗﺒﺎط ﺑﯿﻦ ‪ MASTER‬ﻫﺎ)ﮐﻪ در اﯾﻦ ﺣﻤﻠﻪ‬ ‫‪ HANDER‬ﻧﺎﻣﯿﺪه ﻣﯽ ﺷﻮﻧﺪ( رﻣﺰ ﻧﮕﺎري ﺷﻮد ﻋﺎﻣﻞ ﻫﺎ ﻣﯽ ﺗﻮاﻧﻨﺪ ﮐﺪ ﺧﻮد را ﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر ارﺗﻘﺎ دﻫﻨﺪ ﻣﯽ ﺗﻮاﻧﻨﺪ اﻗﺪام ﺑﻪ اﻧﻮاع ﻣﺨﺘﻠﻔﯽ از ﺣﻤﻼت ﻣﺎﻧﻨﺪ‬ ‫ﻃﻐﯿﺎن ﻫﺎي ‪ icmp‬ﻃﻐﯿﺎن ﻫﺎي ‪UDP‬و ﻃﻐﯿﺎن ﻫﺎي ‪SYN‬ﮐﻨﻨﺪ.‬ ‫ﻧﺤﻮه ﭘﯿﺸﮕﯿﺮي از ﺣﻤﻼت‬ ‫ﻣﺘﺎﺳﻔﺎﻧﻪ روش ﻣﻮﺛﺮي ﺑﻪ ﻣﻨﻈﻮر ﭘﯿﺸﮕﯿﺮي در ﻣﻘﺎﺑﻞ ﯾﮏ ﺗﻬﺎﺟﻢ ‪DoS‬و ﯾﺎ ‪ DDoS‬وﺟﻮد ﻧﺪارد .ﻋﻠﯿﺮﻏﻢ ﻣﻮﺿﻮع ﻓﻮق، ﻣﯽ ﺗﻮان ﺑﺎ رﻋﺎﯾﺖ ﺑﺮﺧﯽ ﻧﮑﺎت و‬ ‫اﻧﺠﺎم ﻋﻤﻠﯿﺎت ﭘﯿﺸﮕﯿﺮي، اﺣﺘﻤﺎل ﺑﺮوز ﭼﻨﯿﻦ ﺣﻤﻼﺗﯽ) اﺳﺘﻔﺎده از ﮐﺎﻣﭙﯿﻮﺗﺮ ﺷﻤﺎ ﺑﺮاي ﺗﻬﺎﺟﻢ ﺑﺮ ﻋﻠﯿﻪ ﺳﺎﯾﺮ ﮐﺎﻣﭙﯿﻮﺗﺮ ﻫﺎ(را ﮐﺎﻫﺶ داد.‬ ‫ﻧﺼﺐ و ﻧﮕﻬﺪاري ﻧﺮم اﻓﺰار آﻧﺘﯽ وﯾﺮوس‬‫ﻧﺼﺐ و ﭘﯿﮑﺮﺑﻨﺪي ﯾﮏ ﻓﺎﯾﺮوال‬‫-ﺗﺒﻌﯿﺖ از ﻣﺠﻤﻮﻋﻪ ﺳﯿﺎﺳﺖ ﻫﺎي ﺧﺎﺻﯽ در ﺧﺼﻮص ﺗﻮزﯾﻊ و اراﺋﻪ آدرس ‪ email‬ﺧﻮد ﺑﻪ دﯾﮕﺮان‬ ‫ﭼﮕﻮﻧﻪ از وﻗﻮع ﺣﻤﻼت ‪ dos‬ﯾﺎ ‪ ddos‬آﮔﺎه ﺷﻮﯾﻢ.‬ ‫ﺧﺮاﺑﯽ و ﯾﺎ ﺑﺮوز اﺷﮑﺎل در ﯾﮏ ﺳﺮوﯾﺲ ﺷﺒﮑﻪ، ﻫﻤﻮاره ﺑﺪﻟﯿﻞ ﺑﺮوز ﯾﮏ ﺗﻬﺎﺟﻢ ‪DoS‬‬ ‫ﻧﻤﯽ ﺑﺎﺷﺪ .در اﯾﻦ راﺑﻄﻪ ﻣﻤﮑﻦ اﺳﺖ دﻻﯾﻞ ﻣﺘﻌﺪدي ﻓﻨﯽ وﺟﻮد داﺷﺘﻪ و ﯾﺎ ﻣﺪﯾﺮ ﺷﺒﮑﻪ ﺑﻪ‬ ‫ﻣﻨﻈﻮر اﻧﺠﺎم ﻋﻤﻠﯿﺎت ﻧﮕﻬﺪاري ﻣﻮﻗﺘﺎ "ﺑﺮﺧﯽ ﺳﺮوﯾﺲ ﻫﺎ را ﻏﯿﺮ ﻓﻌﺎل ﮐﺮده ﺑﺎﺷﺪ .وﺟﻮد و‬ ‫ﯾﺎ ﻣﺸﺎﻫﺪه ﻋﻼﺋﻢ زﯾﺮ ﻣﯽ ﺗﻮاﻧﺪ ﻧﺸﺎﻧﺪﻫﻨﺪه ﺑﺮوز ﯾﮏ ﺗﻬﺎﺟﻢ از ﻧﻮع ‪dos‬ﯾﺎ‬ ‫‪ddos‬ﺑﺎﺷﺪ:‬ ‫ﮐﺎﻫﺶ ﺳﺮﻋﺖ و ﯾﺎ ﮐﺎرآﺋﯽ ﺷﺒﮑﻪ ﺑﻄﺮز ﻏﯿﺮ ﻣﻌﻤﻮل )در زﻣﺎن ﺑﺎز ﻧﻤﻮدن ﻓﺎﯾﻞ ﻫﺎ وﯾﺎ دﺳﺘﯿﺎﺑﯽ ﺑﻪ وب ﺳﺎﯾﺖ ﻫﺎ(‬ ‫ﻋﺪم در دﺳﺘﺮس ﺑﻮدن ﯾﮏ ﺳﺎﯾﺖ ﺧﺎص)ﺑﺪون وﺟﻮد دﻻﯾﻞ ﻓﻨﯽ(‬ ‫ﻋﺪم اﻣﮑﺎن دﺳﺘﯿﺎﺑﯽ ﺑﻪ ﻫﺮ ﺳﺎﯾﺘﯽ)ﺑﺪون وﺟﻮد دﻻﯾﻞ ﻓﻨﯽ(‬ ‫اﻓﺰاﯾﺶ ﻣﺤﺴﻮس ﺣﺠﻢ ﻧﺎﻣﻪ ﻫﺎي اﻟﮑﺘﺮوﻧﯿﮑﯽ ﻧﺎﺧﻮاﺳﺘﻪ درﯾﺎﻓﺖ‬ ‫ﻣﻨﺎﺑﻊ :‬ ‫*اﻣﻨﯿﺖ ، راﻣﯿﻦ ﺻﻤﺪي‬ ‫*اﻣﻨﯿﺖ ﺷﺒﮑﻪ ، ﺳﺎﯾﺖ آﺷﯿﺎﻧﻪ‬ ‫*اﻣﻨﯿﺖ ﺷﺒﮑﻪ ،ﻧﮕﺎرﺳﺘﺎن‬ ‫*اﻣﻨﯿﺖ و ﺿﺪ اﻣﻨﯿﺖ ﺷﺒﮑﻪ، اﻣﯿﺮ اﺷﺘﯿﺎﻧﯽ‬

Recommended

Storage networking laboratory - in persian
Storage networking laboratory - in persianStorage networking laboratory - in persian
Storage networking laboratory - in persianFarid Nasiri
 
Yahoo.Hacking
Yahoo.HackingYahoo.Hacking
Yahoo.HackingElham Shokrian
 
امنیت داده ها در کارت های هوشمند
امنیت داده ها در کارت های هوشمند امنیت داده ها در کارت های هوشمند
امنیت داده ها در کارت های هوشمند پایگاه CIO.IR
 
oCCc Rasad No1
oCCc Rasad No1oCCc Rasad No1
oCCc Rasad No1Morteza Javan
 
Top 10 Web Hacks 2012
Top 10 Web Hacks 2012Top 10 Web Hacks 2012
Top 10 Web Hacks 2012Matt Johansen
 
Web Application Vulnerabilities
Web Application VulnerabilitiesWeb Application Vulnerabilities
Web Application VulnerabilitiesPreetish Panda
 
Web attacks
Web attacksWeb attacks
Web attackshusnara mohammad
 
Alert logic anatomy owasp infographic
Alert logic anatomy owasp infographicAlert logic anatomy owasp infographic
Alert logic anatomy owasp infographicCMR WORLD TECH
 

Recommended

Storage networking laboratory - in persian
Storage networking laboratory - in persianStorage networking laboratory - in persian
Storage networking laboratory - in persianFarid Nasiri
 
Yahoo.Hacking
Yahoo.HackingYahoo.Hacking
Yahoo.HackingElham Shokrian
 
امنیت داده ها در کارت های هوشمند
امنیت داده ها در کارت های هوشمند امنیت داده ها در کارت های هوشمند
امنیت داده ها در کارت های هوشمند پایگاه CIO.IR
 
oCCc Rasad No1
oCCc Rasad No1oCCc Rasad No1
oCCc Rasad No1Morteza Javan
 
Top 10 Web Hacks 2012
Top 10 Web Hacks 2012Top 10 Web Hacks 2012
Top 10 Web Hacks 2012Matt Johansen
 
Web Application Vulnerabilities
Web Application VulnerabilitiesWeb Application Vulnerabilities
Web Application VulnerabilitiesPreetish Panda
 
Web attacks
Web attacksWeb attacks
Web attackshusnara mohammad
 
Alert logic anatomy owasp infographic
Alert logic anatomy owasp infographicAlert logic anatomy owasp infographic
Alert logic anatomy owasp infographicCMR WORLD TECH
 
OWASP 2013 APPSEC USA ZAP Hackathon
OWASP 2013 APPSEC USA ZAP HackathonOWASP 2013 APPSEC USA ZAP Hackathon
OWASP 2013 APPSEC USA ZAP HackathonSimon Bennetts
 
Anatomy of an Attack
Anatomy of an AttackAnatomy of an Attack
Anatomy of an Attackspoofyroot
 
Using the Zed Attack Proxy as a Web App testing tool
Using the Zed Attack Proxy as a Web App testing toolUsing the Zed Attack Proxy as a Web App testing tool
Using the Zed Attack Proxy as a Web App testing toolDavid Sweigert
 
BlackHat 2014 OWASP ZAP Turbo Talk
BlackHat 2014 OWASP ZAP Turbo TalkBlackHat 2014 OWASP ZAP Turbo Talk
BlackHat 2014 OWASP ZAP Turbo TalkSimon Bennetts
 
Top Ten Web Attacks
Top Ten Web Attacks Top Ten Web Attacks
Top Ten Web Attacks Ajay Ohri
 
2014 ZAP Workshop 2: Contexts and Fuzzing
2014 ZAP Workshop 2: Contexts and Fuzzing2014 ZAP Workshop 2: Contexts and Fuzzing
2014 ZAP Workshop 2: Contexts and FuzzingSimon Bennetts
 
HTTP Parameter Pollution Vulnerabilities in Web Applications (Black Hat EU 2011)
HTTP Parameter Pollution Vulnerabilities in Web Applications (Black Hat EU 2011)HTTP Parameter Pollution Vulnerabilities in Web Applications (Black Hat EU 2011)
HTTP Parameter Pollution Vulnerabilities in Web Applications (Black Hat EU 2011)Marco Balduzzi
 
2014 ZAP Workshop 1: Getting Started
2014 ZAP Workshop 1: Getting Started2014 ZAP Workshop 1: Getting Started
2014 ZAP Workshop 1: Getting StartedSimon Bennetts
 
Hacking Ajax & Web Services - Next Generation Web Attacks on the Rise
Hacking Ajax & Web Services - Next Generation Web Attacks on the RiseHacking Ajax & Web Services - Next Generation Web Attacks on the Rise
Hacking Ajax & Web Services - Next Generation Web Attacks on the RiseShreeraj Shah
 
Presentation on Web Attacks
Presentation on Web AttacksPresentation on Web Attacks
Presentation on Web AttacksVivek Sinha Anurag
 
The Future of Web Attacks - CONFidence 2010
The Future of Web Attacks - CONFidence 2010The Future of Web Attacks - CONFidence 2010
The Future of Web Attacks - CONFidence 2010Mario Heiderich
 
cmd injection
cmd injectioncmd injection
cmd injectionhackstuff
 
Web application attack Presentation
Web application attack PresentationWeb application attack Presentation
Web application attack PresentationKhoa Nguyen
 
Http Parameter Pollution, a new category of web attacks
Http Parameter Pollution, a new category of web attacksHttp Parameter Pollution, a new category of web attacks
Http Parameter Pollution, a new category of web attacksStefano Di Paola
 
OWASP 2014 AppSec EU ZAP Advanced Features
OWASP 2014 AppSec EU ZAP Advanced FeaturesOWASP 2014 AppSec EU ZAP Advanced Features
OWASP 2014 AppSec EU ZAP Advanced FeaturesSimon Bennetts
 
2010-11 The Anatomy of a Web Attack
2010-11 The Anatomy of a Web Attack 2010-11 The Anatomy of a Web Attack
2010-11 The Anatomy of a Web Attack Raleigh ISSA
 
IMA - Anatomy of an Attack - Presentation- 28Aug15
IMA - Anatomy of an Attack - Presentation- 28Aug15IMA - Anatomy of an Attack - Presentation- 28Aug15
IMA - Anatomy of an Attack - Presentation- 28Aug15Benjamin D. Brooks, CISSP
 
Automated Targeted Attacks: The New Age of Cybercrime
Automated Targeted Attacks: The New Age of CybercrimeAutomated Targeted Attacks: The New Age of Cybercrime
Automated Targeted Attacks: The New Age of CybercrimeStefan Tanase
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Alonso Caballero
 
Automating OWASP ZAP - DevCSecCon talk
Automating OWASP ZAP - DevCSecCon talk Automating OWASP ZAP - DevCSecCon talk
Automating OWASP ZAP - DevCSecCon talk Simon Bennetts
 
Hassan semyari data center
Hassan semyari data centerHassan semyari data center
Hassan semyari data centerarichoana
 
AD In MCITP 2008.197
AD In MCITP 2008.197AD In MCITP 2008.197
AD In MCITP 2008.197Samiullah Ahrar
 

More Related Content

Viewers also liked

OWASP 2013 APPSEC USA ZAP Hackathon
OWASP 2013 APPSEC USA ZAP HackathonOWASP 2013 APPSEC USA ZAP Hackathon
OWASP 2013 APPSEC USA ZAP HackathonSimon Bennetts
 
Anatomy of an Attack
Anatomy of an AttackAnatomy of an Attack
Anatomy of an Attackspoofyroot
 
Using the Zed Attack Proxy as a Web App testing tool
Using the Zed Attack Proxy as a Web App testing toolUsing the Zed Attack Proxy as a Web App testing tool
Using the Zed Attack Proxy as a Web App testing toolDavid Sweigert
 
BlackHat 2014 OWASP ZAP Turbo Talk
BlackHat 2014 OWASP ZAP Turbo TalkBlackHat 2014 OWASP ZAP Turbo Talk
BlackHat 2014 OWASP ZAP Turbo TalkSimon Bennetts
 
Top Ten Web Attacks
Top Ten Web Attacks Top Ten Web Attacks
Top Ten Web Attacks Ajay Ohri
 
2014 ZAP Workshop 2: Contexts and Fuzzing
2014 ZAP Workshop 2: Contexts and Fuzzing2014 ZAP Workshop 2: Contexts and Fuzzing
2014 ZAP Workshop 2: Contexts and FuzzingSimon Bennetts
 
HTTP Parameter Pollution Vulnerabilities in Web Applications (Black Hat EU 2011)
HTTP Parameter Pollution Vulnerabilities in Web Applications (Black Hat EU 2011)HTTP Parameter Pollution Vulnerabilities in Web Applications (Black Hat EU 2011)
HTTP Parameter Pollution Vulnerabilities in Web Applications (Black Hat EU 2011)Marco Balduzzi
 
2014 ZAP Workshop 1: Getting Started
2014 ZAP Workshop 1: Getting Started2014 ZAP Workshop 1: Getting Started
2014 ZAP Workshop 1: Getting StartedSimon Bennetts
 
Hacking Ajax & Web Services - Next Generation Web Attacks on the Rise
Hacking Ajax & Web Services - Next Generation Web Attacks on the RiseHacking Ajax & Web Services - Next Generation Web Attacks on the Rise
Hacking Ajax & Web Services - Next Generation Web Attacks on the RiseShreeraj Shah
 
The Future of Web Attacks - CONFidence 2010
The Future of Web Attacks - CONFidence 2010The Future of Web Attacks - CONFidence 2010
The Future of Web Attacks - CONFidence 2010Mario Heiderich
 
cmd injection
cmd injectioncmd injection
cmd injectionhackstuff
 
Web application attack Presentation
Web application attack PresentationWeb application attack Presentation
Web application attack PresentationKhoa Nguyen
 
Http Parameter Pollution, a new category of web attacks
Http Parameter Pollution, a new category of web attacksHttp Parameter Pollution, a new category of web attacks
Http Parameter Pollution, a new category of web attacksStefano Di Paola
 
OWASP 2014 AppSec EU ZAP Advanced Features
OWASP 2014 AppSec EU ZAP Advanced FeaturesOWASP 2014 AppSec EU ZAP Advanced Features
OWASP 2014 AppSec EU ZAP Advanced FeaturesSimon Bennetts
 
2010-11 The Anatomy of a Web Attack
2010-11 The Anatomy of a Web Attack 2010-11 The Anatomy of a Web Attack
2010-11 The Anatomy of a Web Attack Raleigh ISSA
 
IMA - Anatomy of an Attack - Presentation- 28Aug15
IMA - Anatomy of an Attack - Presentation- 28Aug15IMA - Anatomy of an Attack - Presentation- 28Aug15
IMA - Anatomy of an Attack - Presentation- 28Aug15Benjamin D. Brooks, CISSP
 
Automated Targeted Attacks: The New Age of Cybercrime
Automated Targeted Attacks: The New Age of CybercrimeAutomated Targeted Attacks: The New Age of Cybercrime
Automated Targeted Attacks: The New Age of CybercrimeStefan Tanase
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Alonso Caballero
 
Automating OWASP ZAP - DevCSecCon talk
Automating OWASP ZAP - DevCSecCon talk Automating OWASP ZAP - DevCSecCon talk
Automating OWASP ZAP - DevCSecCon talk Simon Bennetts
 

Viewers also liked (20)

OWASP 2013 APPSEC USA ZAP Hackathon
OWASP 2013 APPSEC USA ZAP HackathonOWASP 2013 APPSEC USA ZAP Hackathon
OWASP 2013 APPSEC USA ZAP Hackathon
 
Anatomy of an Attack
Anatomy of an AttackAnatomy of an Attack
Anatomy of an Attack
 
Using the Zed Attack Proxy as a Web App testing tool
Using the Zed Attack Proxy as a Web App testing toolUsing the Zed Attack Proxy as a Web App testing tool
Using the Zed Attack Proxy as a Web App testing tool
 
BlackHat 2014 OWASP ZAP Turbo Talk
BlackHat 2014 OWASP ZAP Turbo TalkBlackHat 2014 OWASP ZAP Turbo Talk
BlackHat 2014 OWASP ZAP Turbo Talk
 
Top Ten Web Attacks
Top Ten Web Attacks Top Ten Web Attacks
Top Ten Web Attacks
 
2014 ZAP Workshop 2: Contexts and Fuzzing
2014 ZAP Workshop 2: Contexts and Fuzzing2014 ZAP Workshop 2: Contexts and Fuzzing
2014 ZAP Workshop 2: Contexts and Fuzzing
 
HTTP Parameter Pollution Vulnerabilities in Web Applications (Black Hat EU 2011)
HTTP Parameter Pollution Vulnerabilities in Web Applications (Black Hat EU 2011)HTTP Parameter Pollution Vulnerabilities in Web Applications (Black Hat EU 2011)
HTTP Parameter Pollution Vulnerabilities in Web Applications (Black Hat EU 2011)
 
2014 ZAP Workshop 1: Getting Started
2014 ZAP Workshop 1: Getting Started2014 ZAP Workshop 1: Getting Started
2014 ZAP Workshop 1: Getting Started
 
Hacking Ajax & Web Services - Next Generation Web Attacks on the Rise
Hacking Ajax & Web Services - Next Generation Web Attacks on the RiseHacking Ajax & Web Services - Next Generation Web Attacks on the Rise
Hacking Ajax & Web Services - Next Generation Web Attacks on the Rise
 
Presentation on Web Attacks
Presentation on Web AttacksPresentation on Web Attacks
Presentation on Web Attacks
 
The Future of Web Attacks - CONFidence 2010
The Future of Web Attacks - CONFidence 2010The Future of Web Attacks - CONFidence 2010
The Future of Web Attacks - CONFidence 2010
 
cmd injection
cmd injectioncmd injection
cmd injection
 
Web application attack Presentation
Web application attack PresentationWeb application attack Presentation
Web application attack Presentation
 
Http Parameter Pollution, a new category of web attacks
Http Parameter Pollution, a new category of web attacksHttp Parameter Pollution, a new category of web attacks
Http Parameter Pollution, a new category of web attacks
 
OWASP 2014 AppSec EU ZAP Advanced Features
OWASP 2014 AppSec EU ZAP Advanced FeaturesOWASP 2014 AppSec EU ZAP Advanced Features
OWASP 2014 AppSec EU ZAP Advanced Features
 
2010-11 The Anatomy of a Web Attack
2010-11 The Anatomy of a Web Attack 2010-11 The Anatomy of a Web Attack
2010-11 The Anatomy of a Web Attack
 
IMA - Anatomy of an Attack - Presentation- 28Aug15
IMA - Anatomy of an Attack - Presentation- 28Aug15IMA - Anatomy of an Attack - Presentation- 28Aug15
IMA - Anatomy of an Attack - Presentation- 28Aug15
 
Automated Targeted Attacks: The New Age of Cybercrime
Automated Targeted Attacks: The New Age of CybercrimeAutomated Targeted Attacks: The New Age of Cybercrime
Automated Targeted Attacks: The New Age of Cybercrime
 
Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"Webinar Gratuito: "Zed Attack Proxy"
Webinar Gratuito: "Zed Attack Proxy"
 
Automating OWASP ZAP - DevCSecCon talk
Automating OWASP ZAP - DevCSecCon talk Automating OWASP ZAP - DevCSecCon talk
Automating OWASP ZAP - DevCSecCon talk
 

Similar to Ddos dos

Hassan semyari data center
Hassan semyari data centerHassan semyari data center
Hassan semyari data centerarichoana
 
Cloud computing
Cloud computingCloud computing
Cloud computingarichoana
 
راهنمای محیط کلاس مجازی میزتحریر
راهنمای محیط کلاس مجازی میزتحریرراهنمای محیط کلاس مجازی میزتحریر
راهنمای محیط کلاس مجازی میزتحریرmiztahr
 
Partitions and multi primary edition 3
Partitions and multi primary edition 3Partitions and multi primary edition 3
Partitions and multi primary edition 3guest93988b
 
انواع حملات در شبکه های کامپیوتری.pdf
انواع حملات در شبکه های کامپیوتری.pdfانواع حملات در شبکه های کامپیوتری.pdf
انواع حملات در شبکه های کامپیوتری.pdfAliAzarifar
 
automated+software+testing+tools.pdf
automated+software+testing+tools.pdfautomated+software+testing+tools.pdf
automated+software+testing+tools.pdfempite
 
امضای دیجیتالی چیست؟
امضای دیجیتالی چیست؟امضای دیجیتالی چیست؟
امضای دیجیتالی چیست؟sepanta-no
 
Ipsec SitetoSite secure vpn between mikrotik and astaro utm - in persian
Ipsec SitetoSite secure vpn between mikrotik and astaro utm - in persianIpsec SitetoSite secure vpn between mikrotik and astaro utm - in persian
Ipsec SitetoSite secure vpn between mikrotik and astaro utm - in persianFarid Nasiri
 
Digital Marketing (Brief Introduction)
Digital Marketing (Brief Introduction)Digital Marketing (Brief Introduction)
Digital Marketing (Brief Introduction)Mohsen Khosravi
 

Similar to Ddos dos (20)

Hassan semyari data center
Hassan semyari data centerHassan semyari data center
Hassan semyari data center
 
AD In MCITP 2008.197
AD In MCITP 2008.197AD In MCITP 2008.197
AD In MCITP 2008.197
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
VPLS
VPLSVPLS
VPLS
 
Steam trap
Steam trapSteam trap
Steam trap
 
Part a
Part aPart a
Part a
 
Part a
Part aPart a
Part a
 
About Expert Cms
About Expert CmsAbout Expert Cms
About Expert Cms
 
vpn
vpnvpn
vpn
 
راهنمای محیط کلاس مجازی میزتحریر
راهنمای محیط کلاس مجازی میزتحریرراهنمای محیط کلاس مجازی میزتحریر
راهنمای محیط کلاس مجازی میزتحریر
 
Learn Expert Cms
Learn Expert CmsLearn Expert Cms
Learn Expert Cms
 
vb.net
vb.netvb.net
vb.net
 
Partitions and multi primary edition 3
Partitions and multi primary edition 3Partitions and multi primary edition 3
Partitions and multi primary edition 3
 
انواع حملات در شبکه های کامپیوتری.pdf
انواع حملات در شبکه های کامپیوتری.pdfانواع حملات در شبکه های کامپیوتری.pdf
انواع حملات در شبکه های کامپیوتری.pdf
 
automated+software+testing+tools.pdf
automated+software+testing+tools.pdfautomated+software+testing+tools.pdf
automated+software+testing+tools.pdf
 
امضای دیجیتالی چیست؟
امضای دیجیتالی چیست؟امضای دیجیتالی چیست؟
امضای دیجیتالی چیست؟
 
Ipsec SitetoSite secure vpn between mikrotik and astaro utm - in persian
Ipsec SitetoSite secure vpn between mikrotik and astaro utm - in persianIpsec SitetoSite secure vpn between mikrotik and astaro utm - in persian
Ipsec SitetoSite secure vpn between mikrotik and astaro utm - in persian
 
Learn Government Cms
Learn Government CmsLearn Government Cms
Learn Government Cms
 
ارائهٔ DLP
ارائهٔ DLPارائهٔ DLP
ارائهٔ DLP
 
Digital Marketing (Brief Introduction)
Digital Marketing (Brief Introduction)Digital Marketing (Brief Introduction)
Digital Marketing (Brief Introduction)
 

More from arichoana

Adsl Configuration Part b
Adsl Configuration Part bAdsl Configuration Part b
Adsl Configuration Part barichoana
 
امنیت شبکه های مخابراتی
امنیت شبکه های مخابراتیامنیت شبکه های مخابراتی
امنیت شبکه های مخابراتیarichoana
 
Active directory
Active directoryActive directory
Active directoryarichoana
 
CISCO Packet Tracer
CISCO Packet TracerCISCO Packet Tracer
CISCO Packet Tracerarichoana
 
تفاوت ADSL با SHDSL
تفاوت ADSL با SHDSLتفاوت ADSL با SHDSL
تفاوت ADSL با SHDSLarichoana
 
وایمکس
وایمکسوایمکس
وایمکسarichoana
 
پروژه مسیریاب
پروژه مسیریابپروژه مسیریاب
پروژه مسیریابarichoana
 
پروژه مسيرياب
پروژه مسيريابپروژه مسيرياب
پروژه مسيريابarichoana
 
آشنایی با شبکه های سلولی GSM
آشنایی با شبکه های سلولی GSMآشنایی با شبکه های سلولی GSM
آشنایی با شبکه های سلولی GSMarichoana
 
اينترنت ماهواره
اينترنت ماهوارهاينترنت ماهواره
اينترنت ماهوارهarichoana
 
شبکه های ماهواره ای vsat
شبکه های ماهواره ای vsatشبکه های ماهواره ای vsat
شبکه های ماهواره ای vsatarichoana
 
انواع خطوط مخابراتی
انواع خطوط مخابراتیانواع خطوط مخابراتی
انواع خطوط مخابراتیarichoana
 
امنیت شبکه
امنیت شبکهامنیت شبکه
امنیت شبکهarichoana
 
تفاوت پایه ای شبکه های وایرلس
تفاوت پایه ای شبکه های وایرلستفاوت پایه ای شبکه های وایرلس
تفاوت پایه ای شبکه های وایرلسarichoana
 

More from arichoana (20)

Adsl Configuration Part b
Adsl Configuration Part bAdsl Configuration Part b
Adsl Configuration Part b
 
امنیت شبکه های مخابراتی
امنیت شبکه های مخابراتیامنیت شبکه های مخابراتی
امنیت شبکه های مخابراتی
 
Active directory
Active directoryActive directory
Active directory
 
Firewall
FirewallFirewall
Firewall
 
CISCO Packet Tracer
CISCO Packet TracerCISCO Packet Tracer
CISCO Packet Tracer
 
Voip
VoipVoip
Voip
 
تفاوت ADSL با SHDSL
تفاوت ADSL با SHDSLتفاوت ADSL با SHDSL
تفاوت ADSL با SHDSL
 
وایمکس
وایمکسوایمکس
وایمکس
 
پروژه مسیریاب
پروژه مسیریابپروژه مسیریاب
پروژه مسیریاب
 
پروژه مسيرياب
پروژه مسيريابپروژه مسيرياب
پروژه مسيرياب
 
آشنایی با شبکه های سلولی GSM
آشنایی با شبکه های سلولی GSMآشنایی با شبکه های سلولی GSM
آشنایی با شبکه های سلولی GSM
 
Utm
UtmUtm
Utm
 
اينترنت ماهواره
اينترنت ماهوارهاينترنت ماهواره
اينترنت ماهواره
 
شبکه های ماهواره ای vsat
شبکه های ماهواره ای vsatشبکه های ماهواره ای vsat
شبکه های ماهواره ای vsat
 
انواع خطوط مخابراتی
انواع خطوط مخابراتیانواع خطوط مخابراتی
انواع خطوط مخابراتی
 
امنیت شبکه
امنیت شبکهامنیت شبکه
امنیت شبکه
 
تفاوت پایه ای شبکه های وایرلس
تفاوت پایه ای شبکه های وایرلستفاوت پایه ای شبکه های وایرلس
تفاوت پایه ای شبکه های وایرلس
 
Hr book 6.
Hr book 6.Hr book 6.
Hr book 6.
 
Hr book 5.
Hr book 5.Hr book 5.
Hr book 5.
 
Hr book 4.
Hr book 4.Hr book 4.
Hr book 4.
 

Ddos dos

  • 1.
  • 2. ‫ﺷﺮﮐﺖ ﻣﺨﺎﺑﺮات اﺳﺘﺎن ﻗﺰوﯾﻦ‬ ‫اداره دﯾﺘﺎ‬ ‫ﺣﻤﻼت‬ ‫‪ DDOS‬و ‪DOS‬‬ ‫ﻓﺮﯾﺪه رﺟﺒﯽ ﭘﻮر‬ ‫ﭘﺎﯾﯿﺰ 29‬
  • 3. ‫ﻓﻬﺮﺳﺖ‬ ‫ﻣﻘﺪﻣﻪ‬ ‫دﺳﺘﻪ ﺑﻨﺪي ‪DOS Attack‬‬ ‫ ﺗﻮﻗﻒ ﺳﺮوﯾﺲ ﻫﺎ‬‫ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ‬‫راه ﻫﺎ و روش ﻫﺎي ﻣﺘﺪاول ﺑﺮاي ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ‬ ‫ﭘﺮ ﮐﺮدن ﺟﺪول ﭘﺮدازش‬‫ ﻓﺮﺳﺘﺎدن ﺗﺮاﻓﯿﮏ‬‫ ﭘﺮ ﮐﺮدن ﺳﯿﺴﺘﻢ ﻓﺎﯾﻞ‬‫ﻣﺘﻮﻗﻒ ﮐﺮدن ﺳﯿﺴﺘﻢ ﻫﺎ از راه دور‬ ‫‪Land‬‬‫ ‪Ping of Death‬‬‫ 2‪Jolt‬‬‫ ‪Teardrop , Newtear , Book , Syndrop‬‬‫ ‪Winnuke‬‬‫ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ از راه دور‬ ‫‪SYN FLOOD‬‬‫ﺣﻤﻼت ‪SMURF‬‬‫-ﺣﻤﻼت ﺗﻮزﯾﻊ ﺷﺪه‪DOS‬‬
  • 4. ‫آﺷﻨﺎﯾﯽ ﺑﺎ ‪ DDOS‬و روش ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻼت آن‬ ‫اﻧﻮاع ﺣﻤﻼت‪DDOS‬‬ ‫‪TRINOO‬‬‫-‪TFN/TFN2K ,STECHELDRAHT‬‬ ‫ﻧﺤﻮه ﭘﯿﺸﮕﯿﺮي از ﺣﻤﻼت‬ ‫ﭼﮕﻮﻧﻪ از وﻗﻮع ﺣﻤﻼت ‪ dos‬ﯾﺎ ‪ ddos‬آﮔﺎه ﺷﻮﯾﻢ‬
  • 5. ‫ﻣﻘﺪﻣﻪ‬ ‫ﺑﺮﺧﯽ از ﻫﮑﺮﻫﺎ ﺑﻪ دﻧﺒﺎل ﻧﻔﻮذ ﺑﻪ ﺳﯿﺴﺘﻢ ﻫﺎي ﮐﺎﻣﭙﯿﻮﺗﺮي و ﺑﻪ دﺳﺖ ﮔﺮﻓﺘﻦ ﮐﻨﺘﺮل ﮐﺎﻣﻞ ﯾﮏ ﺳﺮور ﻫﺴﺘﻨﺪ و ﺑﺮﺧﯽ دﯾﮕﺮ اﻫﺪاف دﯾﮕﺮي ﻣﺎﻧﻨﺪ ﺟﻠﻮﮔﯿﺮي از‬ ‫دﺳﺘﯿﺎﺑﯽ ﮐﺎرﺑﺮان ﯾﮏ ﺳﺎﯾﺖ و ﺗﻮﻗﻒ ﮐﻪ ‪ Dos‬ﮐﺮدن آن ﺳﺎﯾﺖ را دارﻧﺪ. در ﮐﻞ ﺗﮑﺬﯾﺐ ﺳﺮوﯾﺲ ﺑﻪ وﺳﯿﻠﻪ ﻫﮑﺮﻫﺎ را ﺣﻤﻼت ‪ Down‬آن ﺳﺮور ﻣﯽ ﮔﻮﯾﻨﺪ وﻟﯽ‬ ‫اﯾﻦ ﻧﮑﺘﻪ را ﻧﯿﺰ ذﮐﺮ ﮐﻨﻢ ﮐﻪ اﯾﻦ ‪ Denial of Service‬ﻣﺨﻔﻒ ﮐﻠﻤﻪ را ﺑﺎ ﻫﻢ ‪ Dos‬ﮐﻪ ﺧﻂ ﻓﺮﻣﺎن ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ وﯾﻨﺪوز اﺳﺖ ﮐﺎﻣﻼً ﻓﺮق دارد و اﯾﻦ دو‬ ‫‪Operation System‬از ﻧﻈﺮ ﺗﮑﻨﯿﮑﯽ اﺣﺘﯿﺎج ﺑﻪ داﻧﺶ ﺑﺎﻻ و ﯾﺎ داﻧﺴﺘﻦ ﻣﻄﻠﺐ ‪ Dos‬اﺷﺘﺒﺎه ﻧﮕﯿﺮﯾﺪ. در ﺣﻘﯿﻘﺖ ﺳﺮور ﺑﻪ ﻧﺪرت ‪ Dos‬ﺧﺎﺻﯽ ﻧﺪارﻧﺪ‬ ‫ﭼﻮن در اﮐﺜﺮ ﺣﻤﻼت دﭼﺎر ﻣﺸﮑﻞ ﻣﯽ ﺷﻮد وﻟﯽ اﮔﺮ ﻫﮑﺮ ﺑﺎﺗﺠﺮﺑﻪ ﺑﺎﺷﺪ ﺑﻪ وﺳﯿﻠﻪ اﯾﻦ ﺣﻤﻠﻪ ﺑﺎﻋﺚ اﺧﺘﻼل در ﺳﯿﺴﺘﻢ ﻣﯽ ﺷﻮد ﮐﻪ ﻫﻤﻪ اﯾﻨﻬﺎ ﺑﺴﺘﮕﯽ ﺑﻪ ﻧﻮع‬ ‫ﺳﯿﺴﺘﻢ ﺳﺮور و ﻧﻮع ﺣﻤﻠﻪ و ﺗﻌﺪاد ﻫﮑﺮﻫﺎ ... دارد ﮐﻪ در ﻧﻬﺎﯾﺖ ﺑﺎﻋﺚ ﺧﺎﻣﻮش ﺷﺪن ﺳﺮور و راه اﻧﺪازي دوﺑﺎره ﺳﺮوﯾﺲ ﻫﺎ ﺗﻮﺳﻂ ﻣﺪﯾﺮ و‬ ‫‪administrator‬ﻣﯽ ﺷﻮد .‬ ‫‪ Dos Attack‬راه ﺧﻮﺑﯽ ﺑﺮاي ﺣﻤﻠﻪ ﮐﺮدن ﺑﻪ ﺳﺎﯾﺖ ﻫﺎ اﺳﺖ، وﻟﯽ ﮐﺎﻣﭙﯿﻮﺗﺮ ﺷﺨﺼﯽ و‪ Desktop‬ﮐﻤﺘﺮ ﭘﯿﺶ ﻣﯽ آﯾﺪ ﮐﻪ ﻣﻮرد اﯾﻦ ﻧﻮع ﺣﻤﻠﻪ ﻫﺎ ﻗﺮار‬ ‫ﺑﮕﯿﺮد، ﻫﺪف ﺑﯿﺸﺘﺮ ﺳﺮور ﺳﺎﯾﺖ ﻫﺎ و ‪ ISP‬ﻫﺎ اﺳﺖ .وﻗﺘﯽ ﻫﮑﺮﻫﺎ ﻧﺘﻮاﻧﻨﺪ ﺑﺎ روش ﻫﺎي راﯾﺠﯽ ﻣﺜﻞ ‪ Exploit‬ﮐﺮدن و ﻟﺒﺮﯾﺰ ﮐﺮدن ﺳﺮ رﯾﺰ ﺑﺎﻓﺮ ﺳﯿﺴﺘﻢ و‬ ‫ﯾﺎ‪ Buffer OverFlow‬و‪ Injection‬روش ﻫﺎي دﯾﮕﺮي ﮐﻪ‪Access‬‬ ‫ﮐﻨﺘﺮل ﯾﮏ ﺳﺮور را ﺑﻪ آﻧﻬﺎ ﻣﯽ دﻫﺪ، ﺑﻪ ﯾﮏ ﺳﺮور ﻧﻔﻮذ ﮐﻨﻨﺪ ﺑﻪ ﺳﺮاغ آﺧﺮﯾﻦ‬ ‫روش ﺣﻤﻠﻪ ﮐﻪ ﻫﻤﺎﻧﺎ ‪ doc‬ﮐﺮدن آن ﺳﺮور ﯾﺎ ﺳﺎﯾﺖ اﺳﺖ ﻣﯽ روﻧﺪ. ﯾﮏ ﻣﻬﺎﺟﻢ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎ ارﺳﺎل ﭘﯿﺎم ﻫﺎي اﻟﮑﺘﺮوﻧﯿﮑﯽ ﻧﺎﺧﻮاﺳﺘﻪ ﮐﻪ از آﻧﺎن ﺑﺎ ﻧﺎم ‪SPAM‬‬ ‫.‬ ‫ﯾﺎد ﻣﯽ ﺷﻮد، ﺣﻤﻼت ﻣﺸﺎﺑﻬﯽ را ﻣﺘﻮﺟﻪ ﺳﺮوﯾﺲ دﻫﻨﺪه ﭘﺴﺖ اﻟﮑﺘﺮوﻧﯿﮑﯽ ﻧﻤﺎﯾﺪ ﻫﺮ ‪) ACCOUNT‬ﭘﺴﺖ اﻟﮑﺘﺮوﻧﯿﮑﯽ( ﺻﺮﻓﻨﻈﺮ از ﻣﻨﺒﻌﯽ ﮐﻪ آن را در‬ ‫اﺧﺘﯿﺎر ﺷﻤﺎ ﻗﺮار ﻣﯽ دﻫﺪ ﻧﻈﯿﺮ ﺳﺎزﻣﺎن ﻣﺮﺑﻮﻃﻪ و ﯾﺎ ﺳﺮوﯾﺲ ﻫﺎي راﯾﮕﺎﻧﯽ ﻧﻈﯿﺮ ﯾﺎﻫﻮ و ‪hot mail‬داراي ﻇﺮﻓﯿﺖ ﻣﺤﺪودي ﻣﯽ ﺑﺎﺷﻨﺪ .ﭘﺲ از ﺗﮑﻤﯿﻞ‬ ‫ﻇﺮﻓﯿﺖ ﻓﻮق، ﻋﻤﻼ "اﻣﮑﺎن ارﺳﺎل ‪ email‬دﯾﮕﺮي ﺑﻪ ‪ account‬ﻓﻮق وﺟﻮد ﻧﺨﻮاﻫﺪ داﺷﺖ .ﻣﻬﺎﺟﻤﺎن ﺑﺎ ارﺳﺎل ﻧﺎﻣﻪ ﻫﺎي اﻟﮑﺘﺮوﻧﯿﮑﯽ ﻧﺎﺧﻮاﺳﺘﻪ ﺳﻌﯽ ﻣﯽ‬ ‫ﻧﻤﺎﯾﻨﺪ ﮐﻪ ﻇﺮﻓﯿﺖ ‪ account‬ﻣﻮرد ﻧﻈﺮ را ﺗﮑﻤﯿﻞ و ﻋﻤﻼ " اﻣﮑﺎن درﯾﺎﻓﺖ ‪email‬ﻫﺎي ﻣﻌﺘﺒﺮ را از ‪ account‬ﻓﻮق ﺳﻠﺐ ﻧﻤﺎﯾﻨﺪ.‬ ‫روش ﮐﺎر ﺑﻪ اﯾﻦ ﺻﻮرت اﺳﺖ ﮐﻪ در ﯾﮏ ﻟﺤﻈﻪ ﺣﺠﻢ اﻃﻼﻋﺎﺗﯽ زﯾﺎدي ﻣﺘﻮﺟﻪ ﯾﮏ ﺳﺮور ﻣﯽ ﺷﻮد و ﺗﻌﺪاد زﯾﺎدي ﺑﺴﺘﻪ و ‪ Packet‬ﺑﻪ ﺳﻤﺖ آن ﺳﺮور از‬ ‫ﻃﺮف ﻫﮑﺮ ﯾﺎ ﻫﮑﺮﻫﺎ و ‪ Zambie‬ﻫﺎ ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد ﮐﻪ اﯾﻦ ﺣﺠﻢ ﺧﯿﻠﯽ ﺑﯿﺸﺘﺮ از ﭘﻬﻨﺎي ﺑﺎﻧﺪ و ﻇﺮﻓﯿﺖ آن ﺳﺮور ﺑﻮده و ﺑﺮاي ﻣﺪﺗﯽ ﮐﻪ ﺑﺴﺘﮕﯽ ﺑﻪ ﺗﺠﺮﺑﻪ‬ ‫ﻫﮑﺮﻫﺎ دارد ﺗﺮاﻓﯿﮏ زﯾﺎدي در اﯾﻦ ﺧﻄﻮط اﯾﺠﺎد ﻣﯽ ﺷﻮد و اﮐﺜﺮاً ﺑﺎﻋﺚ ﺧﺎﻣﻮش ﺷﺪن ﺳﺮور ﻣﯽ ﺷﻮد.‬ ‫ﺑﺰرﮔﺘﺮﯾﻦ ﺣﻤﻠﻪ ‪ dos‬ﭼﻨﺪي ﭘﯿﺶ ﺑﺮ ﻋﻠﯿﻪ 31 ﺳﺮور اﺻﻠﯽ اﯾﻨﺘﺮﻧﺖ ﮐﻪ وﻇﯿﻔﻪ آﻧﻬﺎ ﮐﻨﺘﺮل آدرس ﻫﺎي اﯾﻨﺘﺮﻧﺘﯽ و ﺗﺮﺟﻤﻪ آﻧﻬﺎ ﺑﺮاي ﺷﺒﮑﻪ ﻫﺎي ‪dns‬ﺑﻮد‬ ‫ﺻﻮرت ﮔﺮﻓﺖ ﮐﻪ ﺑﺎﻋﺚ ﺗﺮاﻓﯿﮏ ﺷﺪﯾﺪي در ﮐﻞ ﺷﺒﮑﻪ اﯾﻨﺘﺮﻧﺖ ﺷﺪ و از اﯾﻦ 31 ﺳﺮور ﺑﺰرگ 9 ﺳﺮور ﺑﻪ ﮐﻠﯽ ﺧﺎﻣﻮش ﺷﺪﻧﺪ و اﮔﺮ 4 ﺳﺮور ﺑﺎﻗﯽ ﻣﺎﻧﺪه‬ ‫اﻧﺘﻘﺎل اﻃﻼﻋﺎت و ﺗﺮاﻓﯿﮏ اﯾﻨﺘﺮﻧﺖ و وﻇﯿﻔﻪ ﺳﺮورﻫﺎي ‪ down‬ﺷﺪه دﯾﮕﺮ را ﺑﻪ ﻋﻬﺪه ﻧﻤﯽ ﮔﺮﻓﺘﻨﺪ ﺷﺒﮑﻪ اﺑﻨﺘﺮﻧﺖ و ﺗﻤﺎﻣﯽ ﺳﺎﯾﺖ ﻫﺎ از ﮐﺎر ﻣﯽ اﻓﺘﺎدﻧﺪ.‬ ‫ﺑﻌﻀﯽ از ﺷﺮﮐﺖ ﻫﺎي ﺗﺠﺎري ﻧﯿﺰ ﺑﺮ ﻋﻠﯿﻪ رﻗﺒﺎي ﺧﻮد دﺳﺖ ﺑﻪ ﭼﻨﯿﻦ ﺣﻤﻠﻪ ﻫﺎﯾﯽ ﻣﯽ زﻧﻨﺪ، ﺑﺮاي ﻣﺜﺎل اﮔﺮ ﺳﺮور ﯾﮏ ﺷﺮﮐﺖ ‪ Hosting‬ﺑﺎ اﺳﺘﻔﺎده از اﯾﻦ‬ ‫ﺣﻤﻠﻪ ﻫﺎ ﺣﺘﯽ ﺑﺮاي 1 ﺳﺎﻋﺖ ﺧﺎﻣﻮش ﺷﻮد و ﻧﺘﻮاﻧﺪ ﺑﻪ ﮐﺎرﺑﺮان ﺧﻮد ﺳﺮوﯾﺲ ﺑﺪﻫﺪ ﻣﻄﻤﺌﻨﺎً ﺧﯿﻠﯽ از ﮐﺎرﺑﺮان ﺧﻮد را از دﺳﺖ ﻣﯽ دﻫﺪ زﯾﺮا ﺑﺮاي ﯾﮏ‬ ‫ﺳﺎﯾﺖ ﺗﺠﺎري ﮐﻪ ﺑﺮ روي اﯾﻦ ‪ hosting‬ﻓﻀﺎ دارد 1 ﺳﺎﻋﺖ ﺧﺎﻣﻮش ﺑﻮدن ﺳﺎﯾﺖ ﺑﺮاﺑﺮ اﺳﺖ ﺑﺎ ﻫﺰاران دﻻر ﺿﺮر ﻣﺎﻟﯽ و اﯾﻦ ﺑﻪ ﻧﻔﻊ رﻗﯿﺐ اﯾﻦ ﺷﺮﮐﺖ‬ ‫‪hosting‬اﺳﺖ زﯾﺮا ﻣﺸﺘﺮﯾﺎن اﯾﻦ‬ ‫‪ hosting‬آن را ﺗﺮك ﮐﺮده و از ﺧﺪﻣﺎت ﺷﺮﮐﺖ ﻃﺮف ﻣﻬﺎﺟﻢ اﺳﺘﻔﺎده ﺧﻮاﻫﻨﺪ ﮐﺮد.‬ ‫اﻧﻮاع اﯾﻦ ﺣﻤﻼت و ﺑﺮﻧﺎﻣﻪ ﻫﺎﯾﯽ ﮐﻪ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ ﺑﺮاي ﻫﺮ ﮐﺪام از ﺣﻤﻼت ‪ doc‬اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد .در ﮐﻞ‪ Dos Attack‬ﺑﻪ دو دﺳﺘﻪ ﺗﻘﺴﯿﻢ ﻣﯽ ﺷﻮد.‬
  • 6. ‫1 -ﺗﻮﻗﻒ ﺳﺮوﯾﺲ ﻫﺎ‬ ‫2 - ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ‬ ‫ﻣﺘﻮﻗﻒ ﮐﺮدن ﯾﮏ ﺳﺮوﯾﺲ ﺑﻪ ﻣﻌﻨﯽ اﯾﺠﺎد اﺧﺘﻼل در ﯾﮏ ﺳﺮوﯾﺲ ﺧﺎص اﺳﺖ ﮐﻪ ﮐﺎرﺑﺮان ﻣﯽ ﺧﻮاﻫﻨﺪ ﺑﻪ آن دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ وﻟﯽ در ﺣﻤﻼت‬ ‫ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ ﺧﻮد ﺳﺮوﯾﺲ ﻫﻤﭽﻨﺎن ﺑﻪ ﮐﺎر ﺧﻮد اداﻣﻪ ﻣﯽ دﻫﺪ‬ ‫وﻟﯽ ﻫﮑﺮﻫﺎ ﻣﻨﺎﺑﻊ ﺷﺒﮑﻪ ﯾﺎ ﮐﺎﻣﭙﯿﻮﺗﺮ را ﺑﺎ ﻫﺪف ﺟﻠﻮﮔﯿﺮي از دﺳﺖ ﯾﺎﺑﯽ ﮐﺎرﺑﺮان ﻣﺠﺎز ﺑﻪ ﺳﺮوﯾﺲ ﻣﺼﺮف ﯾﺎ‬ ‫ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﻪ ﺻﻮرت ﻣﺤﻠﯽ و ﯾﺎ از ﻃﺮﯾﻖ ﺷﺒﮑﻪ ﺑﻪ ﺳﻤﺖ ﻫﺪف ‪ Dos‬ﻫﺪر ﻣﯽ دﻫﻨﺪ .اﯾﻦ دو دﺳﺘﻪ از ﺣﻤﻼت‬ ‫ﺑﻪ ﮐﺎر ﮔﺮﻓﺘﻪ ﺷﻮﻧﺪ‬ ‫___‪_____Stopping Services______Exhausting Resources‬‬ ‫+ ‪+ *process killing + *for king processes to‬‬ ‫+ ‪+ *system reconfiguring + fill the process table‬‬ ‫+ ‪+ *process crashing + *filling up the whole‬‬ ‫‪+ file system‬‬ ‫+‬ ‫+ ,.‪+ *malformed packet + *packet floods, (e.g‬‬ ‫+ ,‪+ atacks (e.g.,land, + SYN Flood, smurf‬‬ ‫).‪(across the + teardrop,etc‬‬ ‫+ ‪+ distributed denial‬‬ ‫+ )‪network) + + of Service‬‬ ‫‪Locally‬‬ ‫‪Remotely‬‬ ‫در ﻧﻤﻮدار ﺑﺎﻻ روش ھﺎ ‪ denial of service‬ﺑﺮاﺳﺎس روش ھﺎي ﺑﺮﺟﺴﺘﻪ ‪ dos‬دﺳﺘﻪ ﺑﻨﺪي ﺷﺪه اﺳﺖ .‬ ‫ﻣﺘﻮﻗﻒ ﮐﺮدن ﺳﺮوﯾﺲ ﻫﺎي‬ ‫ﻣﺤﻠﯽ)‪: (Stopping Services‬‬ ‫ﺑﺎ اﺳﺘﻔﺎده از ﯾﮏ ‪ account‬ﻣﺤﻠﯽ روي ﯾﮏ ﻣﺎﺷﯿﻦ، ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﯾﮏ ﺣﻤﻠﻪ‬ ‫‪ dos‬ﮐﻪ ﺑﻮﺳﯿﻠﻪ ﻣﺘﻮﻗﻒ ﮐﺮدن ﭘﺮدازش ﻫﺎي ﺑﺎ ارزش ﮐﻪ ﺳﺮوﯾﺲ ﻫﺎ را‬ ‫ﺗﺸﮑﯿﻞ دادﻧﺪ اﻧﺠﺎم ﺑﺪﻫﺪ ﺑﺮاي ﻣﺜﺎل ﯾﮏ ﻫﮑﺮ روي ﯾﮏ ﺳﯿﺴﺘﻢ ﯾﻮﻧﯿﮑﺲ ﻣﯽ ﺗﻮاﻧﺪ ﭘﺮدازش ‪ inted‬را ﻣﺘﻮﻗﻒ ﮐﻨﺪ اﻟﺒﺘﻪ در ﺻﻮرﺗﯽ ﮐﻪ از اﻣﺘﯿﺎزات رﯾﺸﻪ‬ ‫اي ﯾﺎ ‪root‬ﺑﺮﺧﻮردار ﺑﺎﺷﺪ‬ ‫‪ inted‬ﻣﺴﺌﻮل ﺷﻨﻮد ارﺗﺒﺎﻃﺎت ﺷﺒﮑﻪ اي و اﺟﺮاي ﺳﺮوﯾﺲ ﻫﺎي ﺧﺎﺻﯽ ﻣﺜﻞ ‪ telnet –ftp‬در ﻫﻨﮕﺎم ﺑﻪ وﺟﻮد آﻣﺪن‬ ‫ﺗﺮاﻓﯿﮏ ﺑﺮاي آﻧﻬﺎﺳﺖ .ﻣﺘﻮﻗﻒ ﮐﺮدن ‪ inted‬از دﺳﺖ ﯾﺎﺑﯽ ﻫﺮ ﮐﺎرﺑﺮي ﺑﻪ ﺳﯿﺴﺘﻢ از ﻃﺮﯾﻖ ﻫﺮ ﻧﻮع ﺳﺮوﯾﺲ آﻏﺎز ﺷﺪه ﯾﺎ ‪ inted‬ﺟﻠﻮﮔﯿﺮي ﻣﯽ ﮐﻨﺪ ﮐﻪ‬ ‫اﯾﻦ ﺷﺎﻣﻞ ‪telnet‬و ‪ ftp‬ﻫﻢ ﻣﯽ ﺷﻮد . ﻫﮑﺮ ﻣﻨﺎﺑﻊ را ﺗﻠﻒ ﻧﻤﯽ ﮐﻨﺪ ﻓﻘﻂ ﺗﻨﻬﺎ ﮐﺎري ﮐﻪ ﻣﯽ ﮐﻨﺪ اﯾﻦ اﺳﺖ ﮐﻪ ﺟﺰء اﺻﻠﯽ و ﺣﯿﺎﺗﯽ ﺳﺮوﯾﺲ ﻫﺎ را از ﮐﺎر‬ ‫ﻣﯽ اﻧﺪازد.‬ ‫آﻧﻬﺎ ﺑﺎ دﺳﺘﺮﺳﯽ ‪ login‬ﻣﺤﻠﯽ ﺑﻪ ﯾﮏ ﻣﺎﺷﯿﻦ از راه ﻫﺎي ﻣﺨﺘﻠﻔﯽ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﺮاي از ﮐﺎر اﻧﺪاﺧﺘﻦ ﺳﺮوﯾﺲ ﻫﺎي ﻣﺤﻠﯽ اﺳﺘﻔﺎده ﮐﻨﺪ.‬
  • 7. ‫1- ‪ Process Killing‬ﭘﺎﯾﺎن‬ ‫ﭘﺮدازش :‬ ‫ﯾﮏ ﻫﮑﺮ ﺑﺎ اﻣﺘﯿﺎزاﺗﯽ ﮐﻪ ﺑﻪ دﺳﺖ آورده اﺳﺖ ﻣﺜﻞ ﺳﻄﺢ رﯾﺸﻪ روي ﯾﮏ ﺳﯿﺴﺘﻢ ﯾﻮﻧﯿﮑﺲ ﯾﺎ ‪ Administrator‬روي وﯾﻨﺪوز ﺑﻪ آﺳﺎﻧﯽ ﻣﯽ ﺗﻮاﻧﺪ ﭘﺮدازش‬ ‫ﻫﺎي ﻣﺤﻠﯽ را در ﯾﮏ ﺣﻤﻠﻪ ‪ Dos‬ﺧﺎﺗﻤﻪ ﺑﺪﻫﺪ زﯾﺮا وﻗﺘﯽ ﯾﮏ ﭘﺮدازش ﻣﺎﻧﻨﺪ ﯾﮏ ﺳﺮور ‪ dns‬ﯾﺎ ‪ web‬در ﺣﺎل اﺟﺮا ﻧﯿﺴﺖ، ﻧﻤﯽ ﺗﻮاﻧﺪ ﺑﻪ درﺧﻮاﺳﺖ ﻫﺎي‬ ‫ﮐﺎرﺑﺮان ﺳﺮوﯾﺲ دﻫﺪ.‬ ‫2- ‪ ) System Reconfiguration‬ﺗﻨﻈﯿﻢ ﻣﺠﺪد ﺳﯿﺴﺘﻢ (:‬ ‫ﻫﮑﺮﻫﺎ ﺑﺎ اﻣﺘﯿﺎزاﺗﯽ ﮐﻪ ﺑﻪ دﺳﺖ ﻣﯽ آورﻧﺪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﯾﮏ ﺳﯿﺴﺘﻢ را ﺑﻪ ﮔﻮﻧﻪ اي ﺗﻨﻈﯿﻢ ﻣﺠﺪد ﮐﻨﻨﺪ ﮐﻪ دﯾﮕﺮ ﺳﺮوﯾﺲ را ﭘﯿﺸﻨﻬﺎد ﻧﮑﻨﺪ و ﯾﺎ ﮐﺎرﺑﺮان ﺧﺎﺻﯽ‬ ‫از ﻣﺎﺷﯿﻦ ﻓﯿﻠﺘﺮ ﮐﻨﺪ .ﺑﺮاي ﻣﺜﺎل روي ﯾﮏ ﺳﺮور ﻓﺎﯾﻞ وﯾﻨﺪوز‬ ‫‪ NT‬ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﻣﺎﺷﯿﻦ را ﺑﻪ راﺣﺘﯽ ﺑﻪ وﺳﯿﻠﻪ ﺗﻮﻗﻒ اﺷﺘﺮاك ﻓﺎﯾﻞ ﻫﺎ در ﺷﺒﮑﻪ ﻣﺠﺪداً‬ ‫ﺗﻨﻈﯿﻢ ﮐﻨﺪ ﮐﻪ ﺑﺎﻋﺚ ﻋﺪم دﺳﺘﺮﺳﯽ از راه دور ﮐﺎرﺑﺮان ﻣﺠﺎز ﺑﻪ داده ﻫﺎي ﺑﺎ ارزش روي ﺳﺮوﯾﺲ دﻫﻨﺪه ﻓﺎﯾﻞ ﻣﯽ ﺷﻮد .در ﺣﺎﻟﺖ دﯾﮕﺮ ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﯾﮏ‬ ‫ﺳﯿﺴﺘﻢ ﯾﻮﻧﯿﮑﺲ را ‪Http‬ﻃﻮري ﮐﻪ ﺷﺮوع ﺑﻪ ﮐﺎر ﻧﮑﻨﺪ، ﺗﻨﻈﯿﻢ ﻣﺠﺪد ﮐﻨﺪ ﮐﻪ ﻋﻤﻼً از دﺳﺘﺮﺳﯽ وب ﺑﻪ ﺳﯿﺴﺘﻢ ﺟﻠﻮﮔﯿﺮي ﻣﯽ ﮐﻨﺪ.‬ ‫3- ‪) Process Crashing‬اﺧﺘﻼل در ﭘﺮدازش (:‬ ‫ﺣﺘﯽ اﮔﺮ ﻫﮑﺮ اﻣﺘﯿﺎزات ﮐﺎرﺑﺮ ﺳﻄﺢ ﺑﺎﻻ را ﻧﺪاﺷﺘﻪ ﺑﺎﺷﺪ ﺑﺎز ﻫﻢ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎ ﺳﻮء اﺳﺘﻔﺎده از ﻧﻘﻄﻪ ﺿﻌﻒ ﺳﯿﺴﺘﻢ ﺑﻪ آن ﺣﻤﻠﻪ ﮐﻨﺪ .ﺑﺮاي ﻣﺜﺎل ﻣﺎ ﻣﯽ ﺗﻮاﻧﯿﻢ‬ ‫از ﺳﺮ رﯾﺰ ﯾﮏ ﺑﺎﻓﺮ ﭘﺸﺘﻪ اي ﺑﻪ اﯾﻦ ﺷﮑﻞ ﺳﻮء اﺳﺘﻔﺎده ﮐﻨﯿﻢ و داده ﻫﺎي ﺗﺼﺎدﻓﯽ را ﭘﺸﺖ ﺳﺮ ﻫﻢ وارد ﯾﮏ ﭘﺮدازش ﻣﺤﻠﯽ ﮐﻨﯿﻢ و اﯾﻦ ﻫﻢ ﺑﺨﺎﻃﺮ اﯾﻦ‬ ‫اﺳﺖ ﮐﻪ اﺷﺎره ﮔﺮ ﺑﺎزﮔﺸﺘﯽ ) ‪ ( RETURN‬روي ﭘﺸﺘﻪ در ﻃﯽ اﯾﻦ ﺣﻤﻠﻪ ﺳﺮﺑﺎر ﺗﺼﺎدﻓﯽ اﺳﺖ و ﭘﺮدازش ﻣﻘﺼﺪ ﺑﻪ راﺣﺘﯽ دﭼﺎر اﺧﺘﻼل ﻣﯽ ﺷﻮد و‬ ‫دﺳﺘﺮﺳﯽ ﮐﺎرﺑﺮ را ﺗﮑﺬﯾﺐ ﻣﯽ ﮐﻨﺪ.‬ ‫اﯾﻦ ﮐﺎر را ﻣﯽ ﺷﻮد ﺑﺎ ﺑﻤﺐ ﻫﺎي ﻣﻨﻄﻘﯽ اﻧﺠﺎم داد ﮐﻪ ﻣﺜﺎل ﺧﻮﺑﯽ در اﯾﻦ زﻣﯿﻨﻪ از ﺣﻤﻼت ‪ Dos‬اﺳﺖ. ﺑﺮاي ﭼﻨﯿﻦ ﺣﻤﻠﻪ ﻫﺎﯾﯽ ﻫﮑﺮ ﯾﮏ ﺑﺮﻧﺎﻣﻪ ﺑﻤﺐ ﻣﻨﻄﻘﯽ را‬ ‫روي ﯾﮏ ﻣﺎﺷﯿﻦ ﮐﺎر ﻣﯽ ﮔﺬارد ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ ﺗﺤﺖ ﺷﺮاﯾﻂ ﻣﺨﺘﻠﻔﯽ ﻓﻌﺎل ﺷﻮد، ﻣﺜﻞ زﻣﺎن ﺳﭙﺮي ﺷﺪه، ﻓﻌﺎل ﯾﺎ ﺑﺎز ﺷﺪن ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺧﺎص دﯾﮕﺮ ‪LOGIN‬‬ ‫ﺷﺪن ‪USER‬ﻫﺎي ﺧﺎص ﺑﻪ ﻣﺤﺾ ﻓﻌﺎل ﺷﺪن ﺑﻤﺐ ﻣﻨﻄﻘﯽ ﺑﺮﻧﺎﻣﻪ ﺑﺎ ﺗﮑﺬﯾﺐ ﺳﺮوﯾﺲ روي ﻣﺎﺷﯿﻦ ﭘﺮدازﺷﯽ را دﭼﺎر اﺧﺘﻼل ﻣﯽ ﮐﻨﺪ و ﯾﺎ ﻣﻮﺟﺐ ﺗﻮﻗﻒ‬ ‫آن ﻣﯽ ﺷﻮد.‬ ‫دﻓﺎع در ﺑﺮاﺑﺮ ﺗﻮﻗﻒ ﻣﺤﻠﯽ ﺳﺮوﯾﺲ ﻫﺎ‬ ‫ﺑﺮاي ﺟﻠﻮﮔﯿﺮي از ﺗﻮﻗﻒ ﻣﺤﻠﯽ ﺳﺮوﯾﺲ ﻫﺎ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ ﺑﺎﯾﺪ از ﺑﺴﺘﻪ ﺑﻮدن ﭘﻮرت ﻫﺎي اﺿﺎﻓﯽ و درزﻫﺎي ﺳﯿﺴﺘﻢ ﺧﻮد اﻃﻤﯿﻨﺎن ﺧﺎص ﮐﻨﯿﺪ. اﯾﻦ ﮐﺎر را ﻣﯽ‬ ‫ﺗﻮاﻧﯿﺪ ﺑﺎ اﺳﺘﻔﺎده از ﭘﻮرت اﺳﮑﻨﺮﻫﺎ و ﭘﻮﯾﺸﮕﺮ ﻫﺎي آﺳﯿﺐ ﭘﺬﯾﺮي اﻧﺠﺎم دﻫﯿﺪ و ﺳﯿﺴﺘﻢ را ﻃﻮري ﭘﯿﮑﺮﺑﻨﺪي ﮐﻨﯿﺪ ﮐﻪ ﻫﮑﺮ ﻗﺎدر ﺑﻪ اﯾﺠﺎد اﺧﺘﻼل از ﻃﺮﯾﻖ ﻧﻘﺎط‬ ‫ﺿﻌﻒ ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﻧﺼﺐ ﺷﺪه ﺑﺮ روي ﺳﯿﺴﺘﻢ ﺷﻤﺎ وﭘﻮرت ﻫﺎي ﺑﺎز آن ﻧﺪاﺷﺘﻪ ﺑﺎﺷﺪ وﻧﺼﺐ ﺑﺮﻧﺎﻣﻪ ﻫﺎي اﻣﻨﯿﺘﯽ و ‪SERVICE PACK‬‬ ‫ﻣﻮﺟﺐ اﯾﻤﻦ ﺗﺮ‬ ‫ﺷﺪن ﺳﯿﺴﺘ ﻢ ﺷﻤﺎ در ﺑﺮاﺑﺮ ﺣﻤﻼت ﻫﮑﺮﻫﺎ و ﻋﺪم دﺳﺘﺮﺳﯽ آﻧﻬﺎ ﺑﻪ ‪ ACCOUNT‬اي روي ﻣﺎﺷﯿﻦ ﺷﻤﺎ ﻣﯽ ﺷﻮد .ﻧﮑﺘﻪ ﺑﻌﺪي ﮐﻪ ﺑﺎﯾﺪ رﻋﺎﯾﺖ ﮐﻨﯿﺪ اﯾﻦ‬ ‫اﺳﺖ ﮐﻪ از دادن اﻣﺘﯿﺎزات ﮐﺎرﺑﺮي ﺳﻄﺢ ﺑﺎﻻ ﺑﻪ اﻓﺮادي ﮐﻪ در ﺳﯿﺴﺘﻢ ﺷﻤﺎ اﺷﺘﺮاك دارﻧﺪ ﺧﻮدداري ﮐﻨﯿﺪ، ﮐﺎرﺑﺮان ﻓﻘﻂ ﺑﺎﯾﺪ از ﺣﻖ دﺳﺘﺮﺳﯽ ﮐﻪ ﺑﺮاي‬ ‫اﻧﺠﺎم ﮐﺎرﻫﺎﯾﺸﺎن ﺣﺘﯿﺎج دارﻧﺪ ﺑﺮﺧﻮردار ﺑﺎﺷﻨﺪ و در ﻧﻬﺎﯾﺖ ﺑﺮاي ردﮔﯿﺮي ﺗﻐﯿﯿﺮات ﺑﻪ ﻋﻤﻞ آﻣﺪه روي ﺗﻨﻈﯿﻤﺎت ﺳﯿﺴﺘﻢ ﻣﻠﺰم ﺑﻪ اﺟﺮاي ﺑﺮﻧﺎﻣﻪ ﻫﺎي‬
  • 8. ‫‪Integrity Checking‬ﺑﺮرﺳﯽ ﺟﺎﻣﻌﯿﺖ ) ﻣﺎﻧﻨﺪ ‪ (Tripwire‬ﮐﻪ ﻣﯽ ﺗﻮاﻧﯿﺪ اﯾﻦ ﺑﺮﻧﺎﻣﻪ را از ﺳﺎﯾﺖ ‪ www.tripwire.com‬درﯾﺎﻓﺖ ﮐﻨﯿﺪ .اﯾﻦ‬ ‫ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﻓﺎﯾﻞ ﻫﺎي ﺳﯿﺴﺘﻢ ﻣﺜﻞ ﻓﺎﯾﻞ ﻫﺎي‬ ‫ﺗﻨﻈﯿﻤﺎت و ﻓﺎﯾﻞ ﻫﺎي اﺟﺮاﯾﯽ ﺣﺴﺎس روي ﻣﺎﺷﯿﻦ را ﺑﺮاي ﮐﺴﺐ اﻃﻤﯿﻨﺎن از ﺗﻐﯿﯿﺮ ﻧﮑﺮدن آﻧﻬﺎ ﺑﺎزرﺳﯽ ﻣﯽ ﮐﻨﻨﺪ ﮐﻨﻨﺪ و درﺻﻮرت ﻣﺸﺎﻫﺪه ﻣﻮردي ﻣﺸﮑﻮك‬ ‫آن را ﺳﺮﯾﻊ ﺑﻪ اﻃﻼع ﺷﻤﺎ ﻣﯽ رﺳﺎﻧﻨﺪ.‬ ‫ﺗﻀﻌﯿﻒ و ﺑﻪ ﮐﺎرﮔﯿﺮي ﺑﯿﺶ از ﺣﺪ از ﻣﻨﺎﺑﻊ ﻣﺤﻠﯽ‬ ‫ﺗﻀﻌﯿﻒ و ﺑﻪ ﮐﺎرﮔﯿﺮي ﺑﯿﺶ از ﺣﺪ از ﻣﻨﺎﺑﻊ ﻣﺤﻠﯽ ﻧﻮع ﻣﺘﺪاول دﯾﮕﺮي از‬ ‫‪ Dos Attack‬ﻣﺤﺴﻮب ﻣﯽ ﺷﻮد ﮐﻪ ﺷﺎﻣﻞ اﺟﺮاي ﺑﺮﻧﺎﻣﻪ اي از ﯾﮏ‬ ‫‪ account‬دﯾﮕﺮ روي ﻣﺎﺷﯿﻦ ﻫﺪف اﺳﺖ ﮐﻪ ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻢ را روي ﺧﻮد ﻫﺪف ﺗﻔﺴﯿﺮ ﻣﯽ ﮐﻨﺪ .وﻗﺘﯽ ﮐﻪ ﺗﻤﺎم ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻢ ﺗﻀﻌﯿﻒ ﻣﯽ ﺷﻮﻧﺪ، ﺳﯿﺴﺘﻢ‬ ‫ﻣﻤﮑﻦ اﺳﺖ ﻣﺘﻮﻗﻒ ﺷﻮد ﮐﻪ اﯾﻦ ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﮐﺎرﺑﺮان ﺳﺮور ﻧﺘﻮاﻧﻨﺪ از ﺳﺮوﯾﺲ آن ﺳﺮور اﺳﺘﻔﺎده ﮐﻨﻨﺪ .ﻫﺮ ﭼﻘﺪر ﻫﻢ ﮐﻪ ﺳﯿﺴﺘﻢ ﻫﺎي ﻋﺎﻣﻞ ﺗﻼش ﮐﻨﻨﺪ‬ ‫ﮐﻪ اﻣﻨﯿﺖ ﺧﻮد را ﺑﺎﻻ ﺑﺒﺮﻧﺪ ﺑﺎز ﻫﻢ ﯾﮏ ﻫﮑﺮ ﺑﺎﺗﺠﺮﺑﻪ ﻣﯽ ﺗﻮاﻧﺪ راه ﻫﺎﯾﯽ را ﺑﺮاي ﻧﻔﻮذ و ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺗﮑﻨﯿﮏ ﻫﺎي ﭘﻮﯾﺶ ﭘﯿﺪا ﮐﻨﺪ.‬ ‫راه ﻫﺎ و روش ﻫﺎي ﻣﺘﺪاول ﺑﺮاي ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ:‬ ‫ﭘﺮ ﮐﺮدن ﺟﺪول ﭘﺮدازش:‬ ‫ﯾﮏ ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺮﻧﺎﻣﻪ اي ﺑﻨﻮﯾﺴﺪ ﮐﻪ ﺑﻪ راﺣﺘﯽ ﭘﺮدازش دﯾﮕﺮي را وادار ﺑﻪ اﺟﺮاي ﮐﭙﯽ ﺧﻮدش ﻧﻤﺎﯾﺪ .اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﺑﺎزﮔﺸﺘﯽ ﻧﯿﺰ ﭘﺮدازش دﯾﮕﺮي را وادار ﺑﻪ‬ ‫اﺟﺮاي ﻫﻤﺎن ﺑﺮﻧﺎﻣﻪ ﻣﯽ ﮐﻨﺪ .ﺑﺎ اﺳﺘﻔﺎده از اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﻫﮑﺮ ﻗﺎدر ﺑﻪ اﯾﺠﺎد ﭘﺮدازش ﻫﺎﯾﯽ ﺑﻪ ﻫﻤﺎن ﺳﺮﻋﺖ ﮐﻪ ﺳﯿﺴﺘﻢ آﻧﻬﺎ را ﺑﺮاي ‪ user‬اﺟﺮا ﻣﯽ ﮐﻨﺪ،‬ ‫ﺧﻮاﻫﺪ ﺑﻮد .در ﻧﻬﺎﯾﺖ ﺟﺪول ﭘﺮدازش روي ﻣﺎﺷﯿﻦ ﭘﺮ ﻣﯽ ﺷﻮد ﺗﺎ ﮐﺎرﺑﺮان دﯾﮕﺮ را از اﺟﺮاي ﭘﺮدازﺷﻬﺎ ﺑﺎز دارد و دﺳﺘﺮﺳﯽ آﻧﻬﺎ را ﺗﮑﺬﯾﺐ ﮐﻨﺪ.‬ ‫ﻓﺮﺳﺘﺎدن ﺗﺮاﻓﯿﮏ ﮐﻪ ﺑﺎﻋﺚ اﻧﺴﺪاد ﭘﯿﻮﻧﺪﻫﺎي ارﺗﺒﺎﻃﯽ ﻣﯽ ﺷﻮد :‬ ‫در اﯾﻦ روش ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺮﻧﺎﻣﻪ اي ﺑﻨﻮﯾﺴﺪ ﮐﻪ ﺗﺮاﻓﯿﮏ ﺷﺒﮑﻪ اي ﺳﺎﺧﺘﮕﯽ ﯾﺎ ﺟﻌﻠﯽ را از ﺳﯿﺴﺘﻢ ﻣﻘﺼﺪ ﺑﻔﺮﺳﺘﺪ ﺗﺎ ﺑﺎﻋﺚ ﺗﻠﻒ ﺷﺪن ‪cpu‬ﻣﯽ ﺷﻮد اﮔﺮ‬ ‫ﺑﺮﻧﺎﻣﻪ ﻫﮑﺮ ﺑﺴﺘﻪ ﻫﺎﯾﯽ ﺗﻮﻟﯿﺪ ﮐﻨﺪ، ﮐﺎرﺑﺮان ﻣﺠﺎز ﻗﺎدر ﺑﻪ ﻓﺮﺳﺘﺎدن ﺗﺮاﻓﯿﮏ از وب ﺳﯿﺴﺘﻢ ﻧﺨﻮاﻫﻨﺪ ﺑﻮد.‬ ‫ﭘﺮ ﮐﺮدن ﺳﯿﺴﺘﻢ‬ ‫ﻓﺎﯾﻞ :‬ ‫ﺑﺎ ﻧﻮﺷﺘﻦ ﻣﻘﺪار ﻣﺘﻨﺎﺑﻬﯽ داده ﺑﻪ ﻃﻮر ﺛﺎﺑﺖ ﺑﺮ روي ﺳﯿﺴﺘﻢ ﻓﺎﯾﻞ، ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺗﻤﺎم ﺑﺎﯾﺖ ﻫﺎي ﻗﺎﺑﻞ دﺳﺘﺮس روي ﭘﺎرﺗﯿﺸﻦ دﯾﺴﮏ را ﭘﺮ ﮐﻨﺪ ﮐﻪ ﺑﺎ‬ ‫اﯾﻦ ﮐﺎر ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﮐﺎرﺑﺮان دﯾﮕﺮ از ﻧﻮﺷﺘﻦ ﻋﺎﺟﺰ ﺷﻮﻧﺪ ﮐﻪ ﺑﺎﻋﺚ اﯾﺠﺎد اﺧﺘﻼل در ﺳﯿﺴﺘﻢ ﻣﯽ ﺷﻮد.‬ ‫راه ﻫﺎي دﻓﺎﻋﯽ زﯾﺎدي ﻫﻢ ﺑﺮاي اﯾﻦ ﻧﻮع ﺣﻤﻼت وﺟﻮد دارد ﮐﻪ ﯾﮏ ﻧﻤﻮﻧﻪ آن ﻧﺼﺐ ﺳﯿﺴﺘﻢ ﻫﺎي ردﮔﯿﺮي ﻧﻔﻮذ‪Host-base‬‬ ‫ﯾﺎ ﺳﯿﺴﺘﻢ ﻫﺎي ‪ monitoring‬اﺳﺖ ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ ﺑﻪ ﺷﻤﺎ در ﻫﻨﮕﺎم ﭘﺎﯾﯿﻦ آﻣﺪن ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻢ ﮐﻪ ﺑﻪ ﺧﺎﻃﺮ اﯾﻦ ﻧﻮع ﺣﻤﻠﻪ اﺳﺖ ﮐﻤﮏ ﮐﻨﺪ و ﺧﺒﺮ ﺑﺪﻫﺪ‬ ‫وﻟﯽ ﻧﮑﺘﻪ اي ﮐﻪ ﻫﻤﯿﺸﻪ ﺑﺎﯾﺪ ﺑﻪ ﯾﺎد داﺷﺘﻪ اﯾﻦ اﺳﺖ ﮐﻪ ﻫﻤﯿﺸﻪ از وﺟﻮد ﻣﻨﺎﺑﻊ ﮐﺎﻓﯽ ﻣﺜﻞ ﺣﺎﻓﻈﻪ ‪ ram‬ﺳﺮﻋﺖ ﭘﺮدازﻧﺪه ﯾﺎ ‪ cpu‬و ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﭘﯿﻮﻧﺪ‬ ‫ارﺗﺒﺎﻃﯽ در ﺳﯿﺴﺘﻢ ﻫﺎي ﺣﺴﺎس ﺧﻮد اﻃﻤﯿﻨﺎن ﺣﺎﺻﻞ ﮐﻨﯿﺪ.‬
  • 9. ‫ﻣﺘﻮﻗﻒ ﮐﺮدن ﺳﯿﺴﺘﻢ ﻫﺎ از راه‬ ‫دور :‬ ‫ﺑﺎ وﺟﻮد اﯾﻨﮑﻪ ﺣﻤﻼت ‪dos‬ﺑﺴﯿﺎر راﺣﺖ و ﻣﻮﺛﺮ ﻫﺴﺘﻨﺪ وﻟﯽ ﺣﻤﻼت ‪ dos‬از راه دور ﺷﺎﯾﻊ ﺗﺮ ﻫﺴﺘﻨﺪ و ﺑﺴﯿﺎر ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ اﺳﺘﻔﺎده ﻣﯽ ﺷﻮﻧﺪ زﯾﺮا‬ ‫ﺣﻤﻼت ‪doc‬در ﺷﺒﮑﻪ ﺑﻪ دﻟﯿﻞ اﯾﻨﮑﻪ اﺣﺘﯿﺎج ﺑﻪ داﺷﺘﻦ ﯾﮏ ‪ account‬ﻣﺤﻠﯽ روي ﻣﺎﺷﯿﻦ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ ﻧﺪارد، ﺑﯿﺸﺘﺮ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد و‬ ‫ﻣﯽ ﺗﻮاﻧﺪ از ﺳﯿﺴﺘﻢ ﻫﮑﺮ ﺑﺮ ﻋﻠﯿﻪ ﯾﮏ ﻫﺪف اﺳﺘﻔﺎده ﺷﻮد .ﯾﮑﯽ از ﻣﻌﺮوف ﺗﺮﯾﻦ روﺷﻬﺎي ﺗﻮﻗﻒ از راه دور ﺳﯿﺴﺘﻢ ﻫﺎ، ﺣﻤﻠﻪ ﺑﺴﺘﻪ ﻫﺎي ﺑﺰرگ و ﻧﺎﻫﻨﺠﺎر‬ ‫اﺳﺖ .اﯾﻦ ﺣﻤﻠﻪ ﻫﺎ در ﭘﺸﺘﻪ ‪ tcp/ip‬ﻣﺎﺷﯿﻦ ﻫﺪف ﺑﻪ وﺳﯿﻠﻪ ﻓﺮﺳﺘﺎدن ﯾﮏ ﯾﺎ ﭼﻨﺪ‬ ‫‪packet‬ﺑﺎ ﻓﺮﻣﺖ ﻏﯿﺮﻣﻌﻤﻮل ﺑﺮ روي ﻫﺪف، ﺧﻄﺎﯾﯽ را ﺑﺎﻋﺚ ﻣﯽ‬ ‫ﺷﻮﻧﺪ .اﮔﺮ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ در ﻣﻘﺎﺑﻞ آن ﺑﺴﺘﻪ ﻫﺎي ﺧﺎص آﺳﯿﺐ ﭘﺬﯾﺮ ﺑﺎﺷﺪ دﭼﺎر ﻣﺸﮑﻞ ﻣﯽ ﺷﻮد و اﺣﺘﻤﺎﻻً ﭘﺮدازش ﺧﺎﺻﯽ را ﻣﺘﻮﻗﻒ ﻣﯽ ﮐﻨﺪ و ﯾﺎ ﺣﺘﯽ‬ ‫ﻣﻮﺟﺐ از ﮐﺎر اﻓﺘﺎدن ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ ﻫﺪف ﻣﯽ ﺷﻮد . ﺣﻤﻠﻪ ﻫﺎي ﺑﺴﺘﻪ ﻫﺎي ﻧﺎﻫﻨﺠﺎر زﯾﺎدي ﺗﺎﺑﺤﺎل ﺳﺎﺧﺘﻪ ﺷﺪه اﻧﺪ ﮐﻪ ﻣﻦ اﺳﺎﻣﯽ ﺑﺮﺧﯽ از اﯾﻦ ﺣﻤﻼت را ﺑﺎ‬ ‫ﺗﻮﺿﯿﺢ ﮐﻮﺗﺎﻫﯽ در ﻣﻮرد ﻫﺮ ﮐﺪام در زﯾﺮ ﻣﯽ دﻫﻢ.‬ ‫‪: Land‬‬ ‫ﯾﮏ ﺑﺴﺘﻪ ‪spoof‬ﺷﺪه را ﺑﻪ ﺟﺎﯾﯽ ﮐﻪ آدرس ‪ip‬ﻣﺒﺪا وادرس ‪ip‬ﻣﻘﺼﺪ ﯾﮑﯽ ا ﺳﺖ ﻣﯽ ﻓﺮﺳﺘﺪ .‬ ‫ﻫﺪف ﺑﺴﺘﻪ اي را درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﺪ ﮐﻪ ﺑﻪ ﻧﻈﺮ ﻣﯽ رﺳﺪ ﻫﻤﺎن ﻫﺪﻓﯽ را ﮐﻪ از آن آﻣﺪه ﻫﻤﺰﻣﺎن روي ﻫﻤﺎن ﻣﺎﺷﯿﻦ ﺗﺮك ﻣﯽ ﮐﻨﺪ .ﭘﺸﺘﻪ ﻫﺎي ﻗﺪﻣﯽ ﺗﺮ‬ ‫‪ TCP /IP‬در ﻣﻘﺎﺑﻞ اﯾﻦ رﺧﺪاد ﻏﯿﺮﻗﺎﺑﻞ اﻧﺘﻈﺎر دﭼﺎر ﺳﺮدرﮔﻤﯽ ﺷﺪه و ﻣﺨﺘﻞ ﻣﯽ ﺷﻮﻧﺪ. ‪LAND‬در ﺳﯿﺴﺘﻢ ﻫﺎي وﯾﻨﺪوز ،اﻧﻮاع ﻣﺨﺘﻠﻒ ‪linux‬‬ ‫ﻣﺴﯿﺮﯾﺎﺑﻬﺎ و ﭼﺎﭘﮕﺮﻫﺎ ﻣﯽ ﺗﻮاﻧﺪ ﻓﻌﺎﻟﯿﺖ داﺷﺘﻪ ﺑﺎﺷﺪ.‬ ‫‪:Ping of Death‬‬ ‫ﯾﮏ ﺑﺴﺘﻪ ‪ping‬ﺑﺰرگ ﻣﯽ ﻓﺮﺳﺘﺪ ﭘﺸﺘﻪ ﻫﺎي ﻗﺪﯾﻤﯽ ﺗﺮ ‪ TCP/IP‬ﻧﻤﯽ ﺗﻮاﻧﻨﺪ ‪Ping‬ﺑﺴﺘﻪ ﻫﺎي ﺑﺰرﮔﺘﺮ از 46 ﮐﯿﻠﻮﺑﺎﯾﺖ ﺑﻪ ﮐﺎر ﺑﺮﻧﺪ و وﻗﺘﯽ ﯾﮑﯽ از آﻧﻬﺎ‬ ‫ﻣﯽ رﺳﺪ دﭼﺎر اﺧﺘﻼل ﻣﯽ ﺷﻮﻧﺪ ‪ Ping of Death‬در ﺳﯿﺴﺘﻢ ﻫﺎي ﻣﺨﺘﻠﻔﯽ ﻣﺜﻞ وﯾﻨﺪوز، ﻧﺴﺨﻪ ﻫﺎي ﻣﺨﺘﻠﻒ ﯾﻮﻧﯿﮑﺲ ، ﭼﺎﭘﮕﺮﻫﺎ ... ﻣﯽ ﺗﻮاﻧﺪ ﻓﻌﺎﻟﯿﺖ‬ ‫داﺷﺘﻪ ﺑﺎﺷﺪ.‬ ‫2‪:Jolt‬‬ ‫اﻧﺒﻮﻫﯽ از ﺗﮑﻪ ﻫﺎي ﺑﺴﺘﻪ ﻫﺎ را ﻣﯽ ﻓﺮﺳﺘﺪ ﮐﻪ در ﻫﯿﭻ ﮐﺪام از آﻧﻬﺎ ‪ Fragment-Offset‬ﺻﻔﺮ ﻧﻤﯽ ﺑﺎﺷﺪ .در ﻧﺘﯿﺠﻪ ﺑﻪ ﻧﻈﺮ ﻣﯽ رﺳﺪ ﮐﻪ ﻫﯿﭻ ﮐﺪام از اﯾﻦ‬ ‫ﺗﮑﻪ ﻫﺎ، ﺗﮑﻪ اول ﻧﺒﺎﺷﺪ .در ﻃﻮل زﻣﺎﻧﯽ ﮐﻪ اﻧﺒﻮه ﺗﮑﻪ ﻫﺎ ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮﻧﺪ، ﺳﻮار ﮐﺮدن اﯾﻦ ﺗﮑﻪ ﻫﺎي ﻗﻼﺑﯽ ﺗﻤﺎﻣﯽ ﻇﺮﻓﯿﺖ ‪ CPU‬روي ﻣﺎﺷﯿﻦ ﻫﺪف را‬ ‫اﺷﻐﺎل ﻣﯽ ﮐﻨﺪ .اﯾﻦ روش ﻣﯽ ﺗﻮاﻧﺪ در وﯾﻨﺪوز0002 -‪ 9X -NT‬ﺑﻪ ﮐﺎر ﺑﺮود.‬ ‫‪, Newtear , Book , Syndrop‬‬ ‫‪:Teardrop‬‬ ‫اﺑﺰارﻫﺎي ﻣﺨﺘﻠﻔﯽ ﮐﻪ ﺗﮑﻪ ﻫﺎي ﺑﺴﺘﻪ ﻫﺎي ‪ IP‬ﮐﻪ روي ﻫﻢ ﻗﺮار ﮔﺮﻓﺘﻪ را ﻣﯽ ﻓﺮﺳﺘﻨﺪ .ﻣﻘﺎدﯾﺮ ‪ Fragment-Offset‬در ﻫﺪرﻫﺎي ﺑﺴﺘﻪ ﺑﻪ ﻣﻘﺎدﯾﺮي ﮐﻪ‬ ‫درﺳﺖ ﻧﯿﺴﺖ ﺗﻨﻈﯿﻢ ﻣﯽ ﺷﻮد ﺑﻪ ﻃﻮري ﮐﻪ ﻫﻨﮕﺎم ﺳﻮار ﺷﺪن ﺗﮑﻪ ﻫﺎ ﺑﻪ ﻃﻮر ﻣﻨﺎﺳﺐ ﻗﺮار ﻧﻤﯽ ﮔﯿﺮﻧﺪ .ﺑﺮﺧﯽ ﭘﺸﺘﻪ ﻫﺎي ‪ TCP /IP‬وﻗﺘﯽ ﭼﻨﯿﻦ ﺗﮑﻪ‬ ‫ﻫﺎي روي ﻫﻢ اﻓﺘﺎده اي را درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﻨﺪ، دﭼﺎر ﻣﺸﮑﻞ و اﺧﺘﻼل ﻣﯽ ﺷﻮﻧﺪ .اﯾﻦ اﺑﺰارﻫﺎ در وﯾﻨﺪوز ‪9 x - NT‬و ﻣﺎﺷﯿﻦ ﻫﺎي ﻟﯿﻨﻮﮐﺲ ﻣﯽ ﺗﻮاﻧﻨﺪ‬ ‫ﻓﻌﺎﻟﯿﺖ داﺷﺘﻪ ﺑﺎﺷﻨﺪ.‬
  • 10. ‫‪:Winnuke‬‬ ‫اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﮐﻪ ﺑﺴﯿﺎر ﻫﻢ ﻣﻌﺮوف اﺳ ﺖ داده ﻫﺎي ﺑﯽ ﻣﺼﺮﻓﯽ را ﺑﻪ ﯾﮏ ﻓﺎﯾﻞ ﺑﺎز اﺷﺘﺮاك ﭘﻮرت931 ‪ TCP‬ﮐﻪ ﭘﻮرت ‪ NETBIOS‬اﺳﺖ روي ﯾﮏ ﻣﺎﺷﯿﻦ‬ ‫وﯾﻨﺪوز ﻣﯽ ﻓﺮﺳﺘﺪ .وﻗﺘﯽ داده ﺑﻪ ﭘﻮرﺗﯽ ﮐﻪ ﻃﺒﻖ ﭘﺮوﺗﮑﻞ )‪server message block(SMB‬ﻣﺠﺎز ﻓﺮﻣﺖ ﻧﺸﺪه ﻣﯽ رود، ﺳﯿﺴﺘﻢ دﭼﺎر اﺧﺘﻼل ﻣﯽ‬ ‫ﺷﻮد ‪ WinNuke‬در وﯾﻨﺪوز ‪ 9X-NT‬ﻣﯽ ﺗﻮاﻧﺪ ﻓﻌﺎﻟﯿﺖ داﺷﺘﻪ ﺑﺎﺷﺪ .‬ ‫ﻫﻤﺎﻧﻄﻮر ﮐﻪ در ﻋﮑﺲ ﺑﺎﻻ ﻣﺸﺎﻫﺪه ﻣﯽ ﮐﻨﯿﺪ ﺑﻌﺪ از اﺟﺮا ﮐﺮدن ‪ Winnuke‬ﮐﻪ از ﻃﺮﯾﻖ ‪ MS DOS Prompt‬ﻫﻢ اﺟﺮا ﻣﯽ ﺷﻮد در ﺧﻂ ‪ Usage‬روش‬ ‫اﺳﺘﻔﺎده از اﯾﻦ اﺑﺰار و دﺳﺘﻮري ﮐﻪ ﺑﺎﯾﺪ ﺑﺮاي ‪ Dos‬ﮐﺮدن ﯾﮏ ﺳﯿﺴﺘﻢ ﺳﺮور ﯾﺎ ﮐﻼﯾﻨﺖ در ﺑﺮﻧﺎﻣﻪ ‪ Winnuke‬ﺑﺪﻫﯿﺪ ﮐﺎﻣﻞ ﺷﺮح داده ﺷﺪه اﺳﺖ ودر‬ ‫ﭘﻮرت 531 ﯾﺎ ‪PRF‬اﻗﺪام ﺑﻪ ‪ DOS‬ﮐﺮدن ﺳﯿﺴﺘﻢ ﻫﺪف ﻣﯽ ﮐﻨﺪ اﮔﺮ در ﺳﯿﺴﺘﻤﯽ ﻣﺸﺎﻫﺪه ﮐﺮدﯾﺪ ﮐﻪ اﯾﻦ ﭘﻮرت ﺑﺎز اﺳﺖ ﻣﻄﻤﺌﻦ ﺑﺎﺷﯿﺪ ﻣﯽ ﺗﻮاﻧﯿﺪ‬ ‫ﺳﯿﺴﺘﻢ را ‪ Reboot‬و‪ Down‬ﮐﻨﯿﺪ .اﻟﺒﺘﻪ اﯾﻦ ﻧﮑﺘﻪ را ﻫﻢ ذﮐﺮ ﮐﻨﻢ ﮐﻪ ﺣﺘﻤﺎً ﻧﺒﺎﯾﺪ ﺑﻪ ﭘﻮرت 531 ﯾﺎ 931 ﺣﻤﻠﻪ ﮐﻨﯿﺪ و ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﺎ اﺳﺘﻔﺎده از اﯾﻦ‬ ‫ﻧﺴﺨﻪ ﺣﺘﯽ ﺳﯿﺴﺘﻢ ﻫﺎي وﯾﻨﺪوز را ﺑﺪون دادن ﻫﯿﭻ ﭘﻮرت ﺧﺎﺻﯽ و ﺗﻨﻬﺎ ﺑﺎ دادن آدرس ‪IP‬آن ﻫﺎ از ﮐﺎر ﺑﯿﺎﻧﺪازﯾﺪ و ﺧﻮد ‪ Winnuke‬ﺑﻪ ﺻﻮرت ﻫﻮﺷﯿﺎر‬ ‫ﺑﻌﺪ از اﺟﺮا ﺷﺪن ﭘﻮرت ﻫﺎي آﺳﯿﺐ ﭘﺬﯾﺮ ﺳﯿﺴﺘﻢ ﻫﺪف را ﺷﻨﺎﺳﺎﯾﯽ ﮐﺮده و ﺑﻪ آﻧﻬﺎ ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪ ﻫﺎي زﯾﺎد و ﺑﯽ ﻣﺼﺮف‪ Attack‬ﻣﯽ ﮐﻨﺪ .‬ ‫راه ﻫﺎي زﯾﺎدي ﻫﻢ ﺑﺮاي دﻓﺎع در ﻣﻘﺎﺑﻞ ‪ Winnuke‬وﺟﻮد دارد ﮐﻪ اﻟﺒﺘﻪ ﺑﺴﺘﮕﯽ ﺑﻪ ﺗﺠﺮﺑﻪ ﻣﺪﯾﺮ ﯾﮏ ﺳﺮور دارد، ﭘﯿﺸﻨﻬﺎد ﻣﻦ ﺑﻪ ﺷﻤﺎ اﯾﻦ اﺳﺖ ﮐﻪ‬ ‫ﻫﻤﯿﺸﻪ ﭘﻮرت ﻫﺎي ﺑﺎز ﺑﯽ اﺳﺘﻔﺎده را ﺑﻼك ﮐﻨﯿﺪ و آﻧﻬﺎ را از ﻃﺮﯾﻖ ‪ Router‬و ﻓﺎﯾﺮوال ﺑﺒﻨﺪﯾﺪ .در ﮐﻨﺎر اﯾﻦ ﻣﯽ ﺗﻮاﻧﯿﺪ از ﺑﺮﻧﺎﻣﻪ ﻫﺎﯾﯽ ﻧﯿﺰ ﮐﻪ ﺑﺮاي دﻓﺎع‬ ‫در ﻣﻘﺎﺑﻞ ‪ Winnuke‬ﻧﻮﺷﺘﻪ ﺷﺪه اﻧﺪ اﺳﺘﻔﺎده ﮐﻨﯿﺪ .‬ ‫ﺑﻌﻀﯽ از ﺣﻤﻠﻪ ﻫﺎ ﻣﺜﻞ ‪Book‬و‪ Teardrop , Newtear‬ﺑﺎﻋﺚ ﺗﮑﻪ ﺗﮑﻪ ﺳﺎزي ﻏﯿﺮﻗﺎﻧﻮﻧﯽ و ﻏﯿﺮﻣﻌﻤﻮل ﻣﯽ ﺷﻮﻧﺪ و اﯾﻦ در ﺣﺎﻟﯽ اﺳﺖ ﮐﻪ دﯾﮕﺮان‬ ‫ﺑﺴﺘﻪ ﻫﺎﯾﯽ ﺑﺎ ﺣﺠﻢ ﺑﺴﯿﺎر زﯾﺎد ﻣﯽ ﻓﺮﺳﺘﻨﺪ ﻣﺜﻞ ‪ Ping of Death‬و ﺑﺮﺧﯽ دﯾﮕﺮ ﺑﺴﺘﻪ ﻫﺎي ‪ Spoof‬ﺷﺪه ﺑﺎ ﺷﻤﺎره ﭘﻮرت دور از اﻧﺘﻈﺎر را ﻣﯽ ﻓﺮﺳﺘﻨﺪ (‬ ‫‪ Land‬و دﯾﮕﺮان ﺑﻪ ارﺳﺎل داده ﻫﺎي ﺑﯽ ﻣﺼﺮف ﺑﻪ ﯾﮏ ﭘﻮرت ﺑﺎز اﮐﺘﻔﺎ ﻣﯽ ﮐﻨﻨﺪ ﺑﺮﺧﯽ از اﯾﻦ ﺣﻤﻼت ﺧﯿﻠﯽ ﻗﺪﯾﻤﯽ ﻫﺴﺘﻨﺪ ﻣﺜﻞ ‪Ping of Death‬‬ ‫ﮐﻪ ﻣﺤﺼﻮل ﺳﺎل 6991 اﺳﺖ و ﯾﺎ ‪ Land‬ﮐﻬﺪر ﺳﺎل 7991 ﮐﺸﻒ ﺷﺪ . ﺑﺎ وﺟﻮد ﻋﻤﺮ ﻃﻮﻻﻧﯽ اﯾﻦ ﺣﻤﻼت در ﺑﻌﻀﯽ ﻣﻮارد دﯾﺪه ﺷﺪه ﮐﻪ ﻫﻨﻮز ﻫﮑﺮﻫﺎ از‬ ‫اﯾﻦ روش ﻫﺎ ﺑﺮاي رﺧﻨﻪ در ﻣﻨﺎﻓﺬي ﮐﻪ ﻫﻨﻮز در ﻣﻘﺎﺑﻞ اﯾﻦ ﺣﻤﻠﻪ ﻫﺎي ﻗﺪﯾﻤﯽ ﺑﻪ ﻃﻮر ﻣﻨﺎﺳﺐ ﭘﻮﺷﺶ داده ﻧﺸﺪه اﻧﺪ و‪ Patch‬ﻧﺸﺪه اﻧﺪ اﺳﺘﻔﺎده ﻣﯽ‬ ‫ﮐﻨﻨﺪ.‬
  • 11. ‫راه دﯾﮕﺮ ﻣﺘﻮﻗﻒ ﺳﺎﺧﺘﻦ ﻣﻮﺛﺮ ﯾﮏ ﺳﺮوﯾﺲ از راه دور ﺟﻠﻮﮔﯿﺮي از آن از ﻃﺮﯾﻘﻪ ﺷﺒﮑﻪ اﺳﺖ‬ ‫‪ ARP SPOOFING‬ﯾﮏ ﺗﮑﻨﯿﮏ ﻣﻮﺛﺮ و وﯾﮋه اي ﺑﺮاي‬ ‫دﺳﺖ ﮐﺎري ارﺗﺒﺎﻃﺎت روي ‪LAN‬اﺳﺖ و ﺟﻬﺖ ﺗﺪارك ﺣﻤﻼت ‪DOS‬ﺑﮑﺎر ﻣﯿﺮود. اﯾﻦ روش ﺑﻪ اﯾﻦ ﺻﻮرت اﺳﺖ ﮐﻪ ﻫﮑﺮي ﮐﻪ داراي ﯾﮏ ‪Account‬‬ ‫روي ﻣﺎﺷﯿﻦ در ﻫﻤﺎن ‪ LAN‬اﺳﺖ ﻣﯽ ﺗﻮاﻧﺪ از ﺑﺮﻧﺎﻣﻪ ‪ Dsniff Arpspoof‬ﺑﻪ ﻋﻨﻮان ﺳﯿﺴﺘﻢ ﻫﺪف ﺳﻮء اﺳﺘﻔﺎده ﮐﻨﺪ .ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎ ﻓﺮﺳﺘﺎدن ﺗﻨﻬﺎ‬ ‫ﯾﮏ ﺑﺴﺖ ‪ ARP‬ﮐﻪ ‪ SPOOF‬ﺷﺪه اﺳﺖ ﺑﻪ ‪ROUTER‬روِي ‪ LAN‬ﺣﺎﻓﻈﻪ ﻣﺨﻔﯽ ، ‪ARP‬ﻣﺴﯿﺮﯾﺎب را ﺑﻪ ﮔﻮﻧﻪ اي دﺳﺖ ﮐﺎري ﮐﻨﺪ ﮐﻪ ﭘﺸﺘﻪ ﻫﺎي در‬ ‫ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﺷﺪه ﺑﺮاي آدرس ‪ ip‬ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ را ﺑﻪ ﯾﮏ آدرس ‪ MAC‬روي ‪ LAN‬ﮐﻪ اﺻﻼً وﺟﻮد ﺧﺎرﺟﯽ ﻧﺪارد، ﺑﻔﺮﺳﺘﺪ .ﺑﺎ اﯾﻨﮑﻪ ﺗﻤﺎم ﺑﺴﺘﻪ ﻫﺎ ﺑﻪ ‪LAN‬‬ ‫ﻓﺮﺳﺘﺎده ﻣﯿﺸﻮﻧﺪ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ ﻫﯿﭻ ﻗﺴﻤﺘﯽ از اﯾﻦ ﺗﺮاﻓﯿﮏ را درﯾﺎﻓﺖ ﻧﻤﯽ ﮐﻨﺪ ﮐﻪ ﻧﺘﯿﺠﻪ آن ﺣﻤﻠﻪ ‪ DOS‬اﺳﺖ ﮐﻪ ﺑﺎ ﺗﻮﻗﻒ ﺳﺮوﯾﺲ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ،‬ ‫دﯾﮕﺮ ﻧﻤﯽ ﮔﺬارد ﮐﻪ ارﺗﺒﺎط ﺑﺮﻗﺮار ﮐﻨﺪ .ﺑﺎ اﺳﺘﻔﺎده از‪ ARP Spoofing‬در واﻗﻊ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ از ﺷﺒﮑﻪ ﺧﺎرج ﻣﯽ ﺷﻮد.‬ ‫ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ از راه‬ ‫دور :‬ ‫اﻣﺮوزه از ﻣﯿﺎن ﺣﻤﻼت ‪ DOS‬ﻣﻮﺟﻮد، ﻣﺤﺒﻮﺑﺘﺮﯾﻦ ﺗﮑﻨﯿﮏ ﻫﺎ ﺷﺎﻣﻞ ﺑﺴﺘﻦ ﻣﻨﺎﺑﻊ ﻫﺪف و ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺳﺮور از راه دور اﺳﺖ .در اﯾﻦ ﻧﻮع ﺣﻤﻠﻪ ﻫﺎ ﻫﮑﺮ‬ ‫ﺳﻌﯽ ﻣﯽ ﮐﻨﺪ ﺗﺎ ﺑﺎ اﺳﺘﻔﺎده از اﻧﺒﻮﻫﯽ از ﺑﺴﺘﻪ ﻫﺎ ﺗﻤﺎم ﻇﺮﻓﯿﺖ ﻣﻮﺟﻮد در ﺷﺒﮑﻪ را اﺷﻐﺎل ﮐﻨﺪ .در ﺣﺎل ﺣﺎﺿﺮ ﻫﮑﺮﻫﺎ ﺑﯿﺸﺘﺮ از اﯾﻦ روش و ﺗﮑﻨﯿﮏ ﻫﺎ‬ ‫اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﻨﺪ ﮐﻪ ﻣﺤﺒﻮﺑﺘﺮﯾﻦ ﺗﮑﻨﯿﮏ ﻫﺎي ارﺳﺎل ﺳﯿﻞ ﺑﺴﺘﻪ ﻫﺎ از ﻗﺮار زﯾﺮ ﻫﺴﺘﻨﺪ :‬ ‫‪Syn flood‬‬ ‫ﺣﻤﻼت ‪smurf‬‬ ‫ﺣﻤﻼت ﺗﻮزﯾﻊ ﺷﺪه ‪dos‬‬ ‫‪: Syn flood‬‬ ‫اﺻﻮﻻً در ﻫﻤﻪ ارﺗﺒﺎﻃﺎت ‪ TCP‬ﺑﺎ ﯾﮏ ﺗﺄﯾﯿﺪ ﺳﻪ ﺟﺎﻧﺒﻪ آﻏﺎز ﺑﻪ ﮐﺎر ﻣﯽ ﮐﻨﻨﺪ ﮐﻪ ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪ اي ﺑﻪ ﺑﯿﺖ ﮐﺪ‪SYN‬‬ ‫آن، ﺗﻨﻈﯿﻢ ﺷﺪه و ﺷﺮوع ﻣﯽ ﺷﻮد .اﯾﻦ ﺑﺴﺘﻪ ﻫﺎ ﺗﻮﺳﻂ ﮐﻼﯾﻨﺖ ﺑﻪ ﯾﮏ ﺳﺮور از ﻃﺮﯾﻘﻪ ﯾﮏ ﭘﻮرت ﺑﺎز ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد .ﻫﻨﮕﺎﻣﯽ ﮐﻪ ﺳﯿﺴﺘﻢ ﻫﺪف ﺑﺴﺘﻪ‬ ‫‪SYN‬را ﻣﯽ ﮔﯿﺮﯾﺪ، اوﻟﯿﻦ ﺷﻤﺎره ﺳﺮﯾﺎﻟﯽ ﮐﻪ از ﻣﺒﺪأ ﮔﺮﻓﺘﻪ را ﺑﻪ ﺧﺎﻃﺮ ﻣﯽ آورد و ﯾﮏ ﻧﺴﺨﻪ‪ SYN-ACK‬ﺑﻪ وﺟﻮد ﻣﯽ آورد . ﺧﺐ ﮐﺎري ﮐﻪ ﯾﮏ ﺣﻤﻠﻪ‬ ‫‪SYN Flood‬ﻣﯽ ﮐﻨﺪ ﺑﻪ اﯾﻦ ﺻﻮرت اﺳﺖ ﮐﻪ ﻫﮑﺮ ﺳﻌﯽ ﻣﯽ ﮐﻨﺪ ﺗﺎ ﺑﺎ ﻓﺮﺳﺘﺎدن ﺗﻌﺪاد زﯾﺎدي از ﺑﺴﺘﻪ ﻫﺎي‪ SYN‬ﺑﻪ ﻃﺮف ﺳﯿﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ آﻧﺮا ﺗﻀﻌﯿﻒ‬ ‫ﮐﻨﺪ ﮐﻪ اﯾﻦ ﻫﺪف ﻫﮑﺮﻫﺎ اﺳﺖ ﮐﻪ ﻣﯽ ﺧﻮاﻫﻨﺪ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ را ﺗﻮﺳﻂ ﻓﺮﺳﺘﺎدن ﺑﺴﺘﻪ ﻫﺎي ‪ SYN‬ﻣﺸﻐﻮل ﮐﻨﻨﺪ و وﻗﺘﯽ ﺳﯿﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ ﺑﺴﺘﻪ ﻫﺎي‬ ‫‪SYN‬ﺑﯿﺸﺘﺮ از ﻇﺮﻓﯿﺖ و ﺗﻮاﻧﺎﯾﯽ ﺧﻮد درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﺪ، ﺗﺮاﻓﯿﮏ ﻣﺠﺎز دﯾﮕﺮي ﻧﻤﯽ ﺗﻮاﻧﺪ ﺑﻪ آن ﺳﺮور ﺑﺮﺳﺪ ‪ S YN Flood‬ﺑﻪ 2 روش ارﺗﺒﺎط ﺳﺮور را‬ ‫ﺗﻀﻌﯿﻒ ﻣﯽ ﮐﻨﺪ :‬ ‫در روش اول وﻇﯿﻔﻪ اي ﮐﻪ ‪ syn flood‬دارد ﭘﺮ ﮐﺮدن ﺿﻌﻒ ارﺗﺒﺎﻃﯽ ﺳﯿﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ ﺑﺎ ارﺗﺒﺎط ﻧﯿﻤﻪ ﺑﺎز اﺳﺖ.‬ ‫ﻫﻤﯿﻦ ﮐﻪ ﺳﯿﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ ﺑﺴﺘﻪ‪ SYN‬درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﺪ و ﺟﻮاب ‪ SYN-ACK‬آن را ﻣﯽ ﻓﺮﺳﺘﺪ ﺑﺎ اﺳﺘﻔﺎده از ﻣﺪت زﻣﺎن ‪ TimeOut‬ﮐﻪ ﺑﯿﺸﺘﺮ از ﯾﮏ‬ ‫دﻗﯿﻘﻪ ﺗﻨﻈﯿﻢ ﺷﺪه ﻣﻨﺘﻈﺮ ﺗﺄﯾﯿﺪ ﻃﺮف ﺳﻮم ﻣﯽ ﻣﺎﻧﺪ و ﭼﻮن ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ ﭼﻨﺪﯾﻦ ﻣﻨﺒﻊ را ﺑﻪ روي ارﺗﺒﺎط ﺧﻮد ﺑﺮاي ﺣﺬف ﮐﺮدن ﻫﺮ ﺑﺴﺘﻪ ‪ SYN‬ورودي‬ ‫اﺧﺘﺼﺎص ﻣﯽ دﻫﺪ ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﻫﻨﮕﺎﻣﯽ ﮐﻪ ﺳﯿﺴﺘﻢ ﻫﺪف ﻣﻨﺘﻈﺮ ﺗﮑﻤﯿﻞ ﺷﺪن ﺗﺄﯾﯿﺪ ﺳﻪ ﺟﺎﻧﺒﻪ ﻫﺮ ارﺗﺒﺎط ﻧﯿﻤﻪ ﺑﺎز اﺳﺖ، ﺑﻪ ﭘﺮ ﮐﺮدن اﯾﻦ ﺻﻒ ارﺗﺒﺎﻃﯽ‬
  • 12. ‫ﺑﭙﺮدازد .ﺑﺎ ﻓﺮﺳﺘﺎدن ﺑﺴﺘﻪ ﻫﺎي ‪ SYN‬ﺑﺮاي ﻣﺼﺮف ﺗﻤﺎم ﻣﮑﺎن ﻫﺎي اﺧﺘﺼﺎص داده ﺷﺪه روي ﺻﻒ ارﺗﺒﺎط، ﻫﯿﭻ ارﺗﺒﺎط دﯾﮕﺮي ﻧﻤﯽ ﺗﻮاﻧﺪ ﺗﻮﺳﻂ ﮐﺎرﺑﺮان‬ ‫آن ﺳﺮور ﺑﺮﻗﺮار ﺷﻮد .ﺑﺮاي ﻣﻄﻤﺌﻦ ﺷﺪن ﭘﺮ ﺑﻮدن ﺻﻒ ارﺗﺒﺎط‬ ‫‪syn flood‬اﺑﺰارﻫﺎي زﯾﺎدي دارد ﮐﻪ ﺑﺎ اﺳﺘﻔﺎده از آدرس ﻫﺎي ﻣﺒﺪا ‪ spoof‬ﺷﺪه ﮐﻪ‬ ‫روي ‪net‬ﺟﻮاب ﻧﻤﯽ دﻫﻨﺪ ﺑﺴﺘﻪ ﻫﺎي ‪syn‬را ﻣﯽ ﻓﺮﺳﺘﻨﺪ . ﺧﺐ ﻣﺎ ﻣﯽ ﺗﻮاﻧﯿﻢ ﻣﺠﻤﻮﻋﻪ اي از آدرس ﻫﺎي ‪ ip‬اﻧﺘﺨﺎب ﮐﻨﯿﻢ ﮐﻪ ﻫﯿﭻ ﻣﺎﺷﯿﻨﯽ ﮐﻪ در‬ ‫ﺣﺎل اﺳﺘﻔﺎده و ارﺗﺒﺎط ﺑﺎ اﯾﻨﺘﺮﻧﺖ اﺳﺖ از آﻧﻬﺎ اﺳﺘﻔﺎده ﻧﮑﻨﺪ، اﯾﻦ ‪ ip‬ﻫﺎ ﺑﻪ ﻋﻨﻮان ﻣﺒﺪأ ‪ spoof‬ﺷﺪه ﺑﻪ ﮐﺎر ﻣﯽ روﻧﺪ ﭼﻮن ﺟﻮاب ﻫﺎي ‪ SYN-ACK‬از‬ ‫ﻣﺎﺷﯿﻦ ﻫﺪف ﻫﯿﭻ وﻗﺖ ﭘﺎﺳﺨﯽ را درﯾﺎﻓﺖ ﻧﻤﯽ ﮐﻨﺪ .اﮔﺮ اﺑﺰار ‪ SYN Flood‬ﺑﻪ وﺳﯿﻠﻪ ﯾﮏ آدرس ‪ip‬اﺧﺘﺼﺎص داده ﺷﺪه ﺑﻪ ﯾﮏ ﻣﺎﺷﯿﻦ ﺣﻘﯿﻘﯽ ﺑﺮ ﺷﻮد‬ ‫ﻫﺮ ‪ Spoof‬روي اﯾﻨﺘﺮﻧﺖ ‪ SYN‬ﮐﻪ ﺗﻮﺳﻂ ﻫﮑﺮ ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد، ﯾﮏ ﺟﻮاب ‪ SYN-ACK‬ﻓﺮﺳﺘﺎده ﺷﺪه ﺑﻪ اﯾﻦ ﻣﺎﺷﯿﻦ ﻣﺠﺎز را ﮐﻪ آدرس ﻣﺒﺪأ آن‬ ‫‪ Spoof‬ﺷﺪه ﺑﻮد را آزاد ﻣﯽ ﮐﻨﺪ .اﯾﻦ ﻣﺎﺷﯿﻦ ﯾﮏ ﺑﺴﺘﻪ ‪ SYN-ACK‬از ﻫﺪف ﻣﯽ ﮔﯿﺮد و ﭼﻮن ﻫﯿﭻ ارﺗﺒﺎﻃﯽ ﺑﺮﻗﺮار ﻧﺸﺪه ﺑﻮد ﯾﮏ ‪ Reset‬ﻣﯽ‬ ‫ﻓﺮﺳﺘﺪ .ﺑﺴﺘﻪ ‪ Reset‬ﻧﯿﺰ ارﺗﺒﺎط را در ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ ﻗﻄﻊ ﻣﯽ ﮐﻨﺪ و ﻣﻨﺒﻊ ﺻﻒ ارﺗﺒﺎط را ﮐﻪ ﻫﮑﺮ اﺳﺘﻔﺎده ﻣﯽ ﮐﺮد را آزاد ﻣﯽ ﮐﻨﺪ.‬ ‫اﮔﺮ ﺑﺨﻮاﻫﻢ ﺑﻪ زﺑﺎن ﺳﺎده ﻣﺘﻦ ﺑﺎﻻ را ﺑﯿﺎن ﮐﻨﻢ ﺑﻪ اﯾﻦ ﺻﻮرت اﺳﺖ ﮐﻪ ﻫﮑﺮﻫﺎ اﮐﺜﺮاً ﺑﺎ اﺳﺘﻔﺎده از آدرس ﻫﺎي ‪ip‬ﮐﻪ ﺟﻮاب ﻧﻤﯽ دﻫﻨﺪ ﮐﺎر ﺗﻘﻠﯿﺪ را اﻧﺠﺎم‬ ‫ﻣﯽ دﻫﻨﺪ ﺗﺎ از ﮐﺎر ‪ reset‬ﮐﻪ ﻣﻨﺒﻊ ﺻﻒ اﺗﺼﺎل ‪ user‬را آزاد ﻣﯽ ﮐﻨﺪ ﺟﻠﻮﮔﯿﺮي ﮐﻨﻨﺪ .در ﺣﺎﻟﺖ ﻋﺎدي ﺑﺮاي ﺑﺮﻗﺮاري ﯾﮏ ارﺗﺒﺎط‬ ‫‪ tcp/ip‬در ﻣﺮﺣﻠﻪ‬ ‫اول ﻣﺸﺘﺮي ﯾﮏ ﺑﺴﺘﻪ ‪ SYN‬ﺑﺮاي ﻣﯿﺰﺑﺎن ﻣﯽ ﻓﺮﺳﺘﺪ و در ﻣﺮﺣﻠﻪ ﺑﻌﺪ ﻣﯿﺰﺑﺎن ﭘﺎﺳﺦ ﻣﺸﺘﺮي را ﺑﻪ وﺳﯿﻠﻪ ﯾﮏ ﺑﺴﺘﻪ ‪ SYN/ACK‬ﻣﯽ دﻫﺪ و در ﻣﺮﺣﻠﻪ‬ ‫ﺳﻮم و آﺧﺮ ﻣﺸﺘﺮي ﭘﺎﺳﺦ ﻣﯿﺰﺑﺎن را ﺑﺎ ارﺳﺎل ﯾﮏ ﺑﺴﺘﻪ ‪ ack‬ﻣﯽ دﻫﺪ و اﺗﺼﺎل ﺑﺮﻗﺮار ﻣﯽ ﺷﻮد ﮐﻪ ﺑﻪ اﯾﻦ ﺳﻪ ﻣﺮﺣﻠﻪ در ‪ tcp/ip‬ﺑﻪ اﺻﻄﻼح ‪Three‬‬ ‫‪ Way Handshake‬ﯾﺎ دﺳﺖ دادن ﺳﻪ ﻃﺮﻓﻪ ﻣﯽ ﮔﻮﯾﻨﺪ. ﻫﻨﮕﺎم ﺣﻤﻠﻪ ﯾﮏ ﺑﺴﺘﻪ ‪ syn‬ﺑﻪ ﺳﻮي ﻣﯿﺰﺑﺎن ﺑﺎ ﯾﮏ آدرﺳﻪ ‪ ip‬ﺟﻌﻠﯽ ارﺳﺎل ﻣﯽ ﺷﻮد .ﻣﯿﺰﺑﺎن‬ ‫ﺑﺎ ﯾﮏ ﺑﺴﺘﻪ ‪ SYN/ACK‬ﭘﺎﺳﺦ ﻣﯽ دﻫﺪ و ﻣﻨﺘﻈﺮ ﭘﺎﺳﺦ ﮐﻪ ﺑﺴﺘﻪ ‪ ACK‬اﺳ ﺖ ﻣﯽ ﻣﺎﻧﺪ وﻟﯽ ‪ ip‬ﺟﻌﻠﯽ ﺑﻮده و ﭘﺎﺳﺨﯽ در ﮐﺎر ﻧﺨﻮاﻫﺪ ﺑﻮد وﻟﯽ ﻣﯿﺰﺑﺎن‬ ‫ﻫﻤﭽﻨﺎن ﻣﻨﺘﻈﺮ ﻣﺎﻧﺪه و ﺑﻪ ﺑﺴﺘﻪ ﻫﺎي‪ syn‬ﭘﺎﺳﺦ ﻣﯽ دﻫﺪ. اﯾﻦ اﻣﺮ ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﺗﺎ ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻤﯽ ﻣﯿﺰﺑﺎن ﺑﻪ ﭘﺎﯾﺎن رﺳﯿﺪه و ﺳﺮور دﭼﺎر ﻣﺸﮑﻞ ﺷﻮد و‬ ‫ﺳﺮوﯾﺲ دﻫﯽ آن ﻣﺘﻮﻗﻒ ﺷﻮد. روش دﯾﮕﺮي ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ در ‪ SYN Flood‬ﻣﻨﺎﺑﻊ ﻫﺪف را ﺗﻀﻌﯿﻒ ﮐﻨﺪ ﮐﻪ ﭘﯿﺸﺮﻓﺘﻪ ﺗﺮ از روش ﺻﻒ ارﺗﺒﺎط اﺳﺖ ﺑﻪ اﯾﻦ‬ ‫ﺻﻮرت اﺳﺖ ﮐﻪ اﮔﺮ ﻣﻨﺸﺄ ارﺗﺒﺎط ﺑﺴﯿﺎر ﺑﺰرگ ﺑﺎﺷﺪ و ﺻﺪﻫﺎ ﻫﺰار ﺑﺴﺘﻪ ‪ SYN‬ﺑﻪ ﺟﺎ ﻣﺎﻧﺪه را ﺑﺘﻮاﻧﺪ در ﺧﻮد ﺟﺎي دﻫﺪ‪ SYN Flood‬ﻓﻘﻂ ﻣﯽ ﺗﻮاﻧﺪ‬ ‫ﭘﯿﻮﻧﺪ ارﺗﺒﺎﻃﯽ را ﺑﺎ ﺑﯿﺮون ﮐﺮدن ﻫﺮ ﺗﺮاﻓﯿﮏ ﻣﺠﺎزي اﺷﻐﺎل ﮐﻨﺪ .ﺑﺮاي دﺳﺘﺮ ﺳﯽ ﺑﻪ اﯾﻦ وﺿﻌﯿﺖ ﻫﮑﺮ ﺑﺎﯾﺪ ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺑﯿﺸﺘﺮي را ﻧﺴﺒﺖ ﺑﻪ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ‬ ‫داﺷﺘﻪ ﺑﺎﺷﺪ و ﻫﻤﭽﻨﯿﻦ ﺑﺘﻮاﻧﺪ ﺑﺴﺘﻪ ﻫﺎﯾﯽ را ﺑﺮاي اﺷﻐﺎل اﯾﻦ ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺑﻪ وﺟﻮد ﺑﯿﺎورد .‬ ‫اﮔﺮ ﺑﺨﻮاﻫﯿ ﻢ درﺑﺎره راه ﻫﺎي دﻓﺎع در ﺑﺮاﺑﺮ ‪ SYN Flood‬ﺗﻮﺿﯿﺢ دﻫﻢ از اﯾﻨﺠﺎ ﺷﺮوع ﻣﯽ ﮐﻨﻢ ﮐﻪ اوﻟﯿﻦ و ﻣﻬﻤﺘﺮﯾﻦ دﻓﺎع در ﺑﺮاﺑﺮ ‪ SYN Flood‬اﻃﻤﯿﻨﺎن‬ ‫داﺷﺘﻦ از وﺟﻮد ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﮐﺎﻓﯽ و ﻣﺴﯿﺮﻫﺎي زﯾﺎدي ﺑﺮاي ﺗﻤﺎم ﺳﯿﺴﺘﻢ ﻫﺎي ﺣﺴﺎس ﺷﻤﺎ اﺳﺖ .ﺗﮑﻨﯿﮑﯽ ﮐﻪ در ﻟﯿﻨﻮﮐﺲ ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ ‪ SYN Flood‬ﺑﻪ‬ ‫ﮐﺎر ﺑﺮده ﻣﯽ ﺷﻮد اﺳﺘﻔﺎده از ﮐﻮﮐﯽ ﻫﺎي ‪ SYN‬اﺳﺖ ﮐﻪ در ﺑﺮاﺑﺮ ﺣﺬف ﺷﺪن ﺻﻒ ارﺗﺒﺎﻃﯽ ﮐﻪ ﺑﺴﺘﻪ ﻫﺎي ‪ SYN‬اﻧﺠﺎم ﻣﯽ دﻫﻨﺪ ﻣﯽ اﯾﺴﺘﻨﺪ و ﻣﻘﺎﺑﻠﻪ ﻣﯽ‬ ‫ﮐﻨﻨﺪ .ﺑﺮاي ﻓﻌﺎل ﮐﺮدن ﮐﻮﮐﯽ ﻫﺎي ‪ SYN‬در ﯾﮏ ﻣﺎﺷﯿﻦ ﻟﯿﻨﻮﮐﺲ ﺧﻂ زﯾﺮ ﺑﺎﯾﺪ ﺑﻪ ‪Boot‬‬ ‫‪ Sequence‬ﻣﺎﺷﯿﻦ اﺿﺎﻓﻪ ﺷﻮد.‬ ‫‪Echo 1>/proc/sys/net/ipv4/tcp_syncookies‬‬ ‫ﻋﻼوه ﺑﺮ اﯾﻦ، ﯾﮏ ﻣﺎﺷﯿﻦ ﻟﯿﻨﻮﮐﺲ ﻣﯽ ﺗﻮاﻧﺪ ﺑﻪ ﻋﻨﻮان ﯾﮏ ‪ Proxy‬دﯾﻮاره آﺗﺶ ) ‪ (Firewall‬ﺗﻨﻈﯿﻢ ﺷﻮد و ﺑﺎ اﯾﻦ ﮐﺎر ﺑﺎﻋﺚ اﺿﺎﻓﻪ ﺷﺪن ﻣﺤﺎﻓﻈﺖ ﮐﻮﮐﯽ‬ ‫‪ SYN‬ﺑﻪ ﮐﻞ ﯾﮏ ﺷﺒﮑﻪ ﺷﻮد.‬
  • 13. ‫ﺣﻤﻼت ‪: smurf‬‬ ‫ﺣﻤﻼت ‪ smurf‬ﻧﯿﺰ ﯾﮑﯽ از اﻧﻮاع ﺣﻤﻼت ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ از راه دور ﻫﺴﺘﻨﺪ ‪smurf attack‬را ﺑﻪ ﻋﻨﻮان ‪ broadcast attacks directed‬ﯾﺎ‬ ‫ﺣﻤﻼت اﻧﺘﺸﺎري ﻣﻨﺴﺠﻢ ﻫﻢ ﻣﯽ ﺷﻨﺎﺳﻨﺪ . ﺣﻤﻼت ‪ Smurf‬از ﻣﻌﺮوﻓﺘﺮﯾﻦ و راﯾﺠﺘﺮﯾﻦ ﺣﻤﻼت‪ Dos‬ﻣﺤﺴﻮب ﻣﯽ ﺷﻮد.‬ ‫ﻓﺮﺳﺘﺎدن ﯾﮏ ﭘﯿﺎم اﺗﺮﻧﺖ ﺑﻪ آدرس ‪ MAC‬ﮐﻪ ﺗﻤﺎم رﻗﻤﻬﺎﯾﺶ 1 ﺑﺎﺷﺪ از ﻃﺮﯾﻖ ‪ LAN‬ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﺗﺎ ﻫﻤﻪ ﻣﺎﺷﯿﻦ ﻫﺎي روي‪ LAN‬ﻫﺪف، ﭘﯿﺎم را‬ ‫ﺧﻮاﻧﺪه و ﺟﻮاﺑﯽ را ﺑﻔﺮﺳﺘﻨﺪ .دوﺳﺘﺎن اﯾﻦ ﻧﮑﺘﻪ را ذﮐﺮ ﮐﻨﻢ ﮐﻪ درك ﮐﺎﻣﻞ روش ﻫﺎي ‪ Dos‬ﺑﻪ آﺷﻨﺎﯾﯽ ﻗﺒﻠﯽ ﺷﻤﺎ ﺑﺎ ﻣﻔﺎﻫﯿﻢ ﺷﺒﮑﻪ و ‪ TCP/IP‬ﺑﺴﺘﮕﯽ‬ ‫دارد.‬ ‫ﻓﺮض ﮐﻨﯿﻢ ‪ ،PING‬ﯾﮏ ﺑﺴﺘﻪ اﻧﻌﮑﺎس‬ ‫‪ICMP‬اﺳﺖ ﯾﮏ ﮐﺎرﺑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﯾﮏ ‪PING‬را ﺑﻪ آدرس اﻧﺘﺸﺎر ‪IP‬ﯾﮏ ﺷﺒﮑﻪ ﺑﻔﺮﺳﺘﺪ اﮔﺮ ‪ ROUTER‬روي‬ ‫ﺷﺒﮑﻪ ﻫﺪف اﺟﺎزه اﻧﺘﺸﺎر ﻣﺴﺘﻘﯿﻢ را ﺑﺪﻫﺪ ﺑﺴﺘﻪ ‪ PING‬اﻧﺘﺸﺎر ﻻﯾﻪ ‪ IP‬را ﺑﻪ ﯾﮏ اﻧﺘﺸﺎر ﻻﯾﻪ ‪ MAC‬ﺗﺒﺪﯾﻞ ﻣﯽ ﮐﻨﺪ ﮐﻪ ﺑﺎﻋﺚ درﯾﺎﻓﺖ آن ﺗﻮﺳﻂ ﺗﻤﺎم‬ ‫ﺳﯿﺴﺘﻢ ﻫﺎي روي‬ ‫‪LAN‬ﻣﻘﺼﺪ ﻣﯽ ﺷﻮد .وﻗﺘﯽ ﭘﯿﺎم درﯾﺎﻓﺖ ﺷﺪ ﺗﻤﺎم ﻣﺎﺷﯿﻦ ﻫﺎي ﻓﻌﺎل روي ‪ LAN‬ﻫﺪف، ﯾﺎ ﭘﺎﺳﺦ ‪ Ping‬را ﻣﯽ ﻓﺮﺳﺘﻨﺪ و ﯾﺎ ﺑﺎ‬ ‫ﻓﺮﺳﺘﺎدن ﻓﻘﻂ ﯾﮏ ﺑﺴﺘﻪ، آن ﺳﺮور و ‪ Host‬ﭼﻨﺪﯾﻦ ﺑﺴﺘﻪ ﭘﺎﺳﺦ را درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﻨﺪ . ﺣﺎﻻ ﻓﺮض ﮐﻨﯿﺪ ﮐﻪ اوﻟﯿﻦ در ﺧﻮاﺳﺖ ‪ Ping‬از اﻧﺘﺸﺎر ﺷﺒﮑﻪ‬ ‫درﯾﺎﻓﺖ ﯾﮏ آدرس ‪ IP‬ﻣﺒﺪأ‪ Spoof‬ﺷﺪه ﺑﺎﺷﺪ، ﻫﻤﻪ ﭘﺎﺳﺨﻬﺎي ‪ Ping‬از ﺗﻤﺎم ﻣﺎﺷﯿﻦ ﻫﺎي روي ﺷﺒﮑﻪ ﺑﻪ ﺳﻮي ﻣﺒﺪأ ﻇﺎﻫﺮي ﺑﺴﺘﻪ ﮐﻪ آدرس آن‬ ‫‪ SPOOF‬ﺷﺪه ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد ﻫﻤﯿﻨﻄﻮر ﮐﻪ ﺗﻌﺪاد ﻣﺎﺷﯿﻦ ﻫﺎ روي ﺷﺒﮑﻪ ﮐﻪ اﺟﺎزه اﻧﺘﺸﺎر ﻣﺴﺘﻘﯿﻢ را ﻣﯽ دﻫﻨﺪ اﺿﺎﻓﻪ ﻣﯽ ﺷﻮد، ﺗﻌﺪاد ﺑﺴﺘﻪ ﻫﺎي ﭘﺎﺳﺦ‬ ‫ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺗﻮﻟﯿﺪ ﺷﻮﻧﺪ ﻧﯿﺰ اﻓﺰاﯾﺶ ﭘﯿﺪا ﻣﯽ ﮐﻨﺪ و ﯾﮏ ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ از اﯾﻦ روش ﺑﺮاي ﺗﺪارك ﯾﮏ ﺣﻤﻠﻪ ‪ SMURF‬اﺳﺘﻔﺎده ﮐﻨﺪ.‬ ‫ﻫﮑﺮ ﯾﮏ ﺑﺴﺘﻪ ‪ PING‬را ﺑﻪ آدرس اﻧﺘﺸﺎر ﭼﻨﺪ ﺷﺒﮑﻪ روي اﯾﻨﺘﺮﻧﺖ ﮐﻪ ﭘﯿﺎم ﻫﺎي اﻧﺘﺸﺎر ﻣﺴﺘﻘﯿﻢ را ﻗﺒﻮل ﻣﯽ ﮐﻨﺪ و ﺟﻮاب ﻣﯽ دﻫﺪ، ﻣﯽ ﻓﺮﺳﺘﺪ ﮐﻪ ﺑﻪ اﯾﻦ‬ ‫ﻋﻤﻞ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪ Smurf‬ﻫﻢ ﻣﯽ ﮔﻮﯾﻨﺪ .ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪ Smurf‬اﻏﻠﺐ ﭼﯿﺰي ﻧﯿﺴﺖ ﺟﺰ ﯾﮏ ﺷﺒﮑﻪ ﺑﺎ ﺗﻨﻈﯿﻢ ﻧﺎدرﺳﺖ ﮐﻪ ﺑﻪ ﺑﺨﺶ ﺳﻮم ﺑﯽ ﮔﻨﺎﻫﯽ‬ ‫روي اﯾﻨﺘﺮﻧﺖ ﺗﻌﻠﻖ دارد. ﻫﮑﺮ از آدرس ﻣﺒﺪا ‪ Spoof‬و ﭘﻨﻬﺎن ﺷﺪه ﻗﺮﺑﺎﻧﯽ ﮐﻪ ﻣﯽ ﺧﻮاﻫﺪ آن را ‪ Flood‬ﮐﻨﺪ اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ و ﻫﻤﻪ ﺟﻮاب ﻫﺎي ‪PING‬‬ ‫ﺑﻪ ﻃﺮف ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد ﻣﺜﻼً اﮔﺮ 001 ﻣﯿﺰﺑﺎن ﻣﺘﺼﻞ ﺑﻪ ﺷﺒﮑﻪ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪ SMURF‬ﻣﻮﺟﺐ ﻓﺮﺳﺘﺎده ﺷﺪن 001 ﺑﺴﺘﻪ ﺑﻪ ﻗﺮﺑﺎﻧﯽ ﺷﻮد ﻣﺎ ﺑﺴﺘﻪ ﻫﺎ را‬ ‫ﭘﺸﺘﻪ ﺳﺮﻫﻢ ﺑﻪ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪ SMURF‬ﻣﯿﻔﺮﺳﺘﯿﻢ و اﮔﺮ ﻣﺎ ﺑﺘﻮاﻧﯿﻢ ﺑﺴﺘﻪ ﻫﺎ را ﺑﺎ ﯾﮏ اﺷﺘﺮاك ‪ DAILUP 56 kbps‬ﺗﻘﻮﯾﺖ ﮐﻨﯿﻢ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪smurf‬‬ ‫ﻣﯽ ﺗﻮاﻧﺪ ﺗﺎ 001 ﺑﺮاﺑﺮ اﯾﻦ ﻣﻘﺪار را ﺗﻮﻟﯿﺪ ﮐﻨﺪ .‬
  • 14. ‫‪:Smurf‬‬ ‫ﯾﮑﯽ از اوﻟﯿﻦ ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺣﻤﻠﻪ اﻧﺘﺸﺎر ﻣﺴﺘﻘﯿﻢ اﺳﺖ ﮐﻪ اﻧﺒﻮﻫﯽ از ﺑﺴﺘﻪ ﻫﺎي‪ ICMP‬را اﯾﺠﺎد ﻣﯽ ﮐﻨﺪ و ﺑﻪ ﺳﻤﺖ ﻗﺮﺑﺎﻧﯽ ﻣﯽ ﻓﺮﺳﺘﺪ.‬ ‫‪: Fraggle‬‬ ‫اﯾﻦ ‪tools‬ﺑﺮ روي ‪ udp‬ﻣﺘﻤﺮﮐﺰ اﺳﺖ وﮐﺎر ﻣﯽ ﮐﻨﺪ ‪ fraggel‬ﺑﺴﺘﻪ ﻫﺎﯾﯽ را ﺑﻪ ﯾﮏ آدرس اﻧﺘﺸﺎر ‪ip‬ﺑﻪ ﻣﻘﺼﺪ ﭘﻮرت ‪ udp‬ﻣﺘﻤﺮﮐﺰ ﻣﯽ ﺷﻮد و ﮐﺎر ﻣﯽ‬ ‫ﮐﻨﺪ.‬ ‫‪Fraggel‬ﺑﺴﺘﻪ ﻫﺎﯾﯽ را ﺑﻪ ﯾﮏ آدرس اﻧﺘﺸﺎر ‪ ip‬ﺑﻪ ﻣﻘﺼﺪ ﭘﻮرت ‪ udp‬ﮐﻪ ﺑﺮاي ﯾﮏ ﺳﺮوﯾﺲ ﺟﻬﺖ ارﺳﺎل ﭘﺎﺳﺦ ﺗﻨﻈﯿﻢ ﺷﺪه، ﻣﯽ ﻓﺮﺳﺘﺪ .ﺑﺮاي‬ ‫ﻣﺜﺎل ﺳﺮوﯾﺲ اﻧﻌﮑﺎس ﯾﮏ ﺑﺴﺘﻪ را ﻣﯽ ﮔﯿﺮد و ﺧﯿﻠﯽ راﺣﺖ ﺟﻮاﺑﯽ را ﮐﻪ ﻣﺤﺘﻮاي آن دﻗﯿﻘﺎً ﻫﻤﺎن داده ﻫﺎي درﯾﺎﻓﺖ ﺷﺪه اﺳﺖ را ﺑﺮﻣﯽ ﮔﺮداﻧﺪ و ﺑﻪ‬ ‫ﻫﻤﯿﻦ دﻟﯿﻞ اﺳﺖ ﮐﻪ ‪echo‬ﯾﺎ اﻧﻌﮑﺎس ﻧﺎﻣﯿﺪه ﻣﯽ ﺷﻮد .ﺑﺎ اﺳﺘﻔﺎده از ‪ Fraggle‬ﺑﺮاي ارﺳﺎل اﻧﺒﻮﻫﯽ از ﺑﺴﺘﻪ ﻫﺎ ﺑﻪ ﯾﮏ آدرس اﻧﺘﺸﺎر ‪ ip‬روي ﭘﻮرت‬ ‫ﻫﻔﺖ ‪udp‬ﺗﻤﺎم ﻣﺎﺷﯿﻦ ﻫﺎي روي ﺷﺒﮑﻪ ﺗﺮاﻓﯿﮏ ‪ udp‬را اﻧﻌﮑﺎس ﻣﯽ دﻫﺪ ﮐﻪ ﻧﺘﯿﺠﻪ آن ﺗﻘﻮﯾﺖ ‪flood‬اﺳﺖ.‬
  • 15. ‫‪:PapaSmurf‬‬ ‫ﯾﻌﻨﯽ ﭘﺪر‪ smurf attack‬ﮐﻪ ﯾﮏ ‪ smurf tools‬اﺳﺖ ﺗﺮﮐﯿﺒﯽ از ﺣﻤﻼت ‪ Fraggle‬و ‪ Smurf‬اﺳﺖ‬ ‫ﺧﯿﻠﯽ از ﻫﮑﺮﻫﺎ ﮔﺮوﻫﯽ را ﺗﺸﮑﯿﻞ ﻣﯽ دﻫﻨﺪ و ﺑﺎ ﻫﻢ ﻓﻌﺎﻟﯿﺖ ﻣﯽ ﮐﻨﻨﺪ و در اﯾﻨﺘﺮﻧﺖ ﺑﻪ دﻧﺒﺎل ﺷﺒﮑﻪ ﻫﺎﯾﯽ ﮐﻪ ﺗﻨﻈﯿﻤﺎﺗﺸﺎن ﺿﻌﯿﻒ اﺳﺖ ﺟﺴﺘﺠﻮ ﻣﯽ ﮐﻨﻨﺪ‬ ‫و از آﻧﻬﺎ ﺑﻪ ﻋﻨﻮان ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه ‪ Smurf‬اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﻨﺪ .‬ ‫‪http://www.netscan.org‬‬ ‫‪http://www.powertech.no/smurf‬‬ ‫ﺗﻮﺳﻂ ﺳﺎﯾﺖ اول آﺳﯿﺐ ﭘﺬﯾﺮي ﺷﺒﮑﻪ وﺳﺎﯾﺖ دوم آﺳﯿﺐ ﭘﺬﯾﺮ ﺑﻮدن ﺳﯿﺴﺘﻤﺘﺎن را در ﺑﺮاﺑﺮ ﺣﻤﻼت‬ ‫اﻣﺘﺤﺎن ﮐﻨﯿﺪ.‬ ‫‪ Nmap‬ﻧﯿﺰ ﮐﻪ ﯾﮏ ﭘﻮرت اﺳﮑﻨﺮ و ﭘﻮﯾﺸﮕﺮ ﻗﻮي اﺳﺖ.‬ ‫ﺣﻤﻠﻪ ﺗﮑﺬﯾﺐ ﺳﺮوﯾﺲ ﻫﺎي ﺗﻮزﯾﻌﯽ:‬ ‫ﯾﮏ ‪ SYN Flood‬ﺳﺎده ﺑﻪ ﻣﺎ اﻣﮑﺎن ﻣﯽ دﻫﺪ ﺗﺎ از ﯾﮏ ﻣﺎﺷﯿﻦ ﺗﺮاﻓﯿﮑﯽ را ﺑﺮ ﻋﻠﯿﻪ ﺳﺮور ﻗﺮﺑﺎﻧﯽ اﯾﺠﺎد ﮐﻨﯿﻢ .در ﯾﮏ ﺣﻤﻠﻪ‪ Smurf‬ﺣﺠﻢ ﺗﺮاﻓﯿﮏ‬ ‫اﻓﺰاﯾﺶ ﻣﯽ ﯾﺎﺑﺪ اﻣﺎ ﻫﻨﻮز ﻣﻘﺪار ﺗﺮاﻓﯿﮑﯽ ﮐﻪ ﻣﯽ ﺗﻮان از ﯾﮏ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه‪ Smurf‬ﮔﺮﻓﺖ ﻣﺤﺪود اﺳﺖ. در ﯾﮏ ﺣﻤﻠﻪ ﺗﮑﺬﯾﺐ ﺳﺮوﯾﺲ ﻫﺎي ﺗﻮزﯾﻌﯽ ﮐﻪ‬ ‫ﺑﻪ ) ‪ DDOS ( Distributed Denial of Service‬ﻣﻌﺮوف اﺳﺖ.‬ ‫ﻣﺤﺪودﯾﺖ ﻫﺎي اﺻﻠﯽ در ﺗﻌﺪاد ﻣﺎﺷﯿﻦ ﻫﺎﯾﯽ ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﺮاي ﺗﺪارك ﺣﻤﻠﻪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﯿﺮﻧﺪ وﭘﻬﻨﺎي ﺑﺎﻧﺪي ﮐﻪ ﻫﮑﺮ ﻣﺼﺮف ﻣﯽ ﮐﻨﻨﺪ وﺟﻮد ﻧﺪارﻧﺪ .‬ ‫ﺑﺎ اﯾﺠﺎد اﯾﻦ اﻣﮑﺎن ﺑﺮاي ﻫﮑﺮ ﮐﻪ ﻓﻌﺎﻟﯿﺖ ﻫﺎي ﻣﯿﺰﺑﺎﻧﻬﺎ ﺑﻪ ﺗﻌﺪاد دﻟﺨﻮاه و زﯾﺎد را ﻫﻤﺎﻫﻨﮓ ﮐﻨﺪ، اﯾﻦ ﺣﻤﻠﻪ ﺧﻄﺮﻧﺎك ﺗﺮ ﻣﯽ ﺷﻮد .در ﯾﮏ ﺣﻤﻠﻪ ‪ddos‬‬ ‫ﻣﺤﺪودﯾﺘﯽ وﺟﻮد ﻧﺪارد .در اﯾﻦ ﻧﻮع ﺣﻤﻼت از دﺳﺘﻪ اي از ﮐﺎﻣﭙﯿﻮﺗﺮﻫﺎي ﻫﮏ ﺷﺪه ‪Zombie‬ﮐﻪ ﻫﺎ ﺑﺮ روي آﻧﻬﺎ ﻧﺼﺐ ﺷﺪه اﻧﺪ، ﺑﺮاي ﺣﻤﻠﻪ ﺑﻪ ﺳﯿﺴﺘﻢ‬ ‫ﻫﺪف اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد.‬
  • 16. ‫‪ DDOS‬آﺷﻨﺎﯾﯽ و روش ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻼت:‬ ‫ﯾﮏ ﺣﻤﻠﻪ ‪ ddos‬ﺑﺎ اﺳﺘﻔﺎده از ‪ zombie‬ﻫﺎ وﮐﺎﻣﭙﯿﻮﺗﺮ ﻫﺎﯾﯽ ﮐﻪ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ ﺑﺮﻧﺎﻣﻪ ‪ zombie‬ﺑﺮ روي آﻧﻬﺎ ﻧﺼﺐ ﺷﺪه اﺳﺖ در زﻣﺎن ﻣﺸﺨﺼﯽ ﮐﻪ‬ ‫ﺗﻮﺳﻂ ﻫﮑﺮ ﻫﺎ ﺗﻌﯿﯿﻦ ﺷﺪه اﺳﺖ ﺳﯿﻠﯽ اﻧﺒﻮه از ﺑﺴﺘﻪ ﻫﺎ را اﯾﺠﺎد ﮐﺮده و ﺑﻪ ﺳﻤﺖ ﯾﮏ ﯾﺎ ﭼﻨﺪ ﻗﺮﺑﺎﻧﯽ ﻣﯽ ﻓﺮﺳﺘﺪ .ﺑﺮاي ﺑﻪ وﺟﻮد آوردن ﯾﮏ ﺣﻤﻠﻪ ‪DDos‬‬ ‫‪ Flood‬ﻣﺎ در ﻣﺮﺣﻠﻪ اول ﺑﺎﯾﺪ ﺑﺮ ﺗﻌﺪاد ﮐﺜﯿﺮي از ﺳﯿﺴﺘﻢ ﻫﺎي ﮐﻼﯾﻨﺖ ﯾﺎ ﺳﺮور ﮐﻪ داراي ﻧﻘﺎط ﺿﻌﻒ و آﺳﯿﺐ ﭘﺬﯾﺮي ﻫﺴﺘﻨﺪ ﻧﻔﻮذ ﮐﻨﯿﻢ و ﮐﻨﺘﺮل ﮐﺎﻣﻞ‬ ‫آن ﺳﯿﺴﺘﻢ ﻫﺎ را در اﺧﺘﯿﺎر داﺷﺘﻪ ﺑﺎﺷﯿﻢ ﮐﻪ ﻣﺎ ﻣﯽ ﺗﻮاﻧﯿﻢ ﺑﺎ اﺳﺘﻔﺎده از روش ﻫﺎي ﻣﺘﻌﺪدي ﮐﻪ ﺑﺮاي ﻧﻔﻮذ ﺑﻪ ﺻﻮرت‪ Remote‬وﺟﻮد دارد ﻣﺜﻞ ﯾﮏ ﺣﻤﻠﻪ‬ ‫ﺳﺮرﯾﺰ ﺑﺎﻓﺮ) ‪( Buffer Ovelflow‬‬ ‫و ﯾﺎ روش ﻫﺎي دﯾﮕﺮ ﮐﻨﺘﺮل اﯾﻦ ﺳﯿﺴﺘﻢ ﻫﺎ را در دﺳﺖ ﺑﮕﯿﺮﯾﻢ .ﺑﻪ اﯾﻦ ﺳﯿﺴﺘﻢ ﻫﺎي ﻫﮏ ﺷﺪه ‪) Zombie‬ﻣﺮده‬ ‫ﻣﺘﺤﺮك( ﻣﯽ ﮔﻮﯾﻨﺪ در اﮐﺜﺮ ﺣﻤﻼت ‪ ZAMBIE ,DDOS‬ﻫﺎ ﺑﺮ روي ﺳﺮورﻫﺎي آﺳﯿﺐ ﭘﺬﯾﺮ در داﻧﺸﮕﺎه ﻫﺎ، ﺳﺮورﻫﺎي‪ Hosting‬و ﺣﺘﯽ ﺳﯿﺴﺘﻢ ﻫﺎي‬ ‫ﮐﺎرﺑﺮان ﺧﺎﻧﮕﯽ ﮐﻪ از ﻃﺮﯾﻖ ﺧﻄﻮط )‪Digital Subscriber Loop ( DSL‬‬ ‫ﯾﺎ ﺳﺮوﯾﺲ ﻫﺎي ﻣﻮدم ﮐﺎﺑﻠﯽ ﻣﺘﺼﻞ ﻫﺴﺘﻨﺪ، ﻧﺼﺐ ﺷﺪه اﻧﺪ .ﻫﮑﺮ در‬ ‫ﻣﺮﺣﻠﻪ اول ﺣﻤﻠﻪ ‪ DDos‬ﺗﻤﺎم وﻗﺖ ﺧﻮد را در اﯾﻨﺘﺮﻧﺖ ﺑﺮاي ﭘﯿﺪا ﮐﺮدن ﺳﯿﺴﺘﻢ ﻫﺎي آﺳﯿﺐ ﭘﺬﯾﺮ ﻣﯽ ﮔﺬارد و آﻧﻬﺎ را ﭘﯿﺪا ﻣﯽ ﮐﻨﺪ و از آﻧﻬﺎ ﺳﻮء اﺳﺘﻔﺎده‬ ‫ﮐﺮده و ﺳﯿﺴﺘﻢ ‪ ZOMBIE‬را ﺑﺮ روي ﺳﯿﺴﺘﻢ ﻫﺎ ﻧﺼﺐ ﻣﯽ ﮐﻨﺪ .‬ ‫ﻧﺮم اﻓﺰار ‪ ZOMBIE‬از اﺟﺰاء اﺑﺰار ‪ DDOS‬اﺳﺖ ﮐﻪ ﻣﻨﺘﻈﺮ ﻓﺮﻣﺎﻧﯽ از ﻫﮑﺮ ﻣﯽ ﻣﺎﻧﺪ ﮐﻪ از اﺑﺰار ﮐﻼﯾﻨﺖ ﺧﺎﺻﯽ ﺑﺮاي ﻣﮑﺎﻟﻤﻪ ﺑﺎ آن ‪ Zombie‬اﺳﺘﻔﺎده ﻣﯽ‬ ‫ﮐﻨﺪ .ﯾﮑﯽ از ﺑﻬﺘﺮﯾﻦ ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﺑﺮاي ﺣﻤﻼت ‪ DDos‬اﺑﺰار ) ‪ Tribe Flood Network 2000 ( TFN2K‬اﺳﺖ ﻫﮑﺮ ﻣﻌﻤﻮﻻً ﯾﮏ ﯾﺎ ﺑﯿﺶ از ﯾﮏ‬ ‫ﻣﺎﺷﯿﻦ ﮐﻼﯾﻨﺖ را ﺑﺮاي ﺻﺪور ﻫﻤﺰﻣﺎن دﺳﺘﻮر اﺟﺮاي ﻓﺮﻣﺎن ﺑﻪ ﺗﻤﺎم ‪ Zombie‬ﻫﺎ اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ ﺗﺎ ﯾﮏ ﺣﻤﻠﻪ ‪ DDOS‬را ﻋﻠﯿﻪ ﻫﺪف ﺧﻮد ﺗﺪارك‬ ‫ﺑﺒﯿﻨﺪ .ﺗﻤﺎم ‪ Zombie‬ﻫﺎ از روي وﻇﯿﻔﻪ ﭘﺎﺳﺦ ﻣﯽ دﻫﻨﺪ و اﯾﻦ ﻣﻨﺠﺮ ﺑﻪ اﯾﺠﺎد ‪ FLOOD‬و ﻏﺮق ﺷﺪن ﺳﺮور ﻗﺮﺑﺎﻧﯽ در ﺳﯿﻠﯽ از ﺑﺴﺘﻪ ﻫﺎ ﻣﯽ ﺷﻮد.‬ ‫ﮐﻼﯾﻨﺖ ﺑﺎ ‪ Zombie‬ﻫﺎ ارﺗﺒﺎط ﺑﺮﻗﺮار ﻣﯽ ﮐﻨﺪ وﻟﯽ ﻣﻌﻤﻮﻻً ﻫﮑﺮ از ﺳﯿﺴﺘﻢ ﺟﺪاﮔﺎﻧﻪ اي ﺑﺮاي دﺳﺘﺮﺳﯽ ﺑﻪ ‪ Client‬ﺳﺮوﯾﺲ ﮔﯿﺮﻧﺪه‬ ‫اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ و‬ ‫اﯾﻦ اﻣﺮ ﺑﻪ دﻟﯿﻞ آن اﺳﺖ ﮐﻪ ﻫﮑﺮ ﺷﻨﺎﺳﺎﯾﯽ ﻧﺸﻮد و ﻣﺸﺎورﯾﻦ اﻣﻨﯿﺘﯽ آن ﺷﺮﮐﺖ ﻓﻘﻂ ﻣﯽ ﺗﻮاﻧﻨﺪ ﻣﺤﻞ ﺳﯿﺴﺘﻢ ﻫﺎي ‪ Zombie‬را ﺷﻨﺎﺳﺎﯾﯽ ﮐﻨﻨﺪ.‬
  • 17. ‫اﮔﺮ ﺑﺨﻮاﻫﯿ ﻢ ﺣﻤﻼت ‪ DDOS‬را ﺑﻪ ﺻﻮرت ﺧﻼﺻﻪ ﺑﺮاﯾﺘﺎن ﺷﺮح دﻫﻢ ﺑﻪ اﯾﻦ ﺻﻮرت ﺷﺮوع ﻣﯽ ﮐﻨﻢ ﮐﻪ ﺣﻤﻼت ﺗﻮزﯾﻌﯽ‪ Dos‬ﯾﺎ ﺣﻤﻼت ‪DDOS‬ﮐﺎﻣﻼً‬ ‫آﺳﯿﺐ رﺳﺎن ﻫﺴﺘﻨﺪ. ﮐﻪ ﻫﮑﺮ ﺑﺮ ﺗﻌﺪاد زﯾﺎدي از ﺳﯿﺴﺘﻢ ﻫﺎ روي اﯾﻨﺘﺮﻧﺖ ﻏﻠﺒﻪ ﻣﯽ ﮐﻨﺪ، ﺑﺮ روي ﻫﺮ ﮐﺪام از آﻧﻬﺎ ﻧﺮم اﻓﺰار‪ Zombie‬را ﻧﺼﺐ ﻣﯽ ﮐﻨﺪ و ﺟﻬﺖ‬ ‫‪ Flood‬ﻧﻤﻮدن ﯾﮏ ﻗﺮﺑﺎﻧﯽ از آﻧﻬﺎ در ﯾﮏ ﺣﻤﻠﻪ ﻫﻤﺎﻫﻨﮓ اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ. ﺣﻤﻼت‪ DDos‬ﺑﻪ ﻣﺎ اﯾﻦ اﻣﮑﺎن را ﻣﯽ دﻫﺪ ﮐﻪ ﻣﻘﺎدﯾﺮ زﯾﺎدي از ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺳﺮور‬ ‫را اﺷﻐﺎل ﮐﻨﯿﻢ. ﻫﺮ ﭼﻪ ﺗﻌﺪاد‪ Zombie‬ﻫﺎﯾﯽ ﮐﻪ ﻣﺎ دارﯾﻢ ﺑﯿﺸﺘﺮ ﺑﺎﺷﺪ، ﻣﺎ ﺗﻮاﻧﺎﯾﯽ ﻣﺼﺮف و اﺷﻐﺎل ﺑﯿﺸﺘﺮ ﭘﻬﻨﺎي ﺑﺎﻧﺪ را ﺧﻮاﻫﯿﻢ داﺷﺖ.‬ ‫اﻧﻮاع ﺣﻤﻼت‪DDOS‬‬ ‫ﻋﻤﻮﻣﺎً ﺣﻤﻼت ‪ DDOS‬ﺑﻪ ﺳﻪ ﮔﺮوه ‪TRINOO,TFN/TFN2K ,STECHELDRAHT‬ﺗﻘﺴﯿﻢ ﻣﯽ ﺷﻮﻧﺪ .‬ ‫‪Trinoo‬‬ ‫‪ Trinoo‬در اﺻﻞ از ﺑﺮﻧﺎﻣﻪ ﻫﺎي ‪ Master/Slave‬اﺳﺖ ﮐﻪ ﺑﺎ ﯾﮑﺪﯾﮕﺮ ﺑﺮاي ﯾﮏ ﺣﻤﻠﻪ ﻃﻐﯿﺎن‪ UDP‬ﺑﺮ ﻋﻠﯿﻪ ﮐﺎﻣﭙﯿﻮﺗﺮ ﻗﺮﺑﺎﻧﯽ ﻫﻤﺎﻫﻨﮓ ﻣﯽ ﺷﻮﻧﺪ .در ﯾﮏ‬ ‫روﻧﺪ ﻋﺎدي، ﻣﺮاﺣﻞ زﯾﺮ ﺑﺮاي ﺑﺮﻗﺮاري ﯾﮏ ﺷﺒﮑﻪ ‪Trinoo DDoS‬واﻗﻊ ﻣﯽ ﺷﻮﻧﺪ‬ ‫ﻣﺮﺣﻠﻪ 1 : ﺣﻤﻠﻪ ﮐﻨﻨﺪه، ﺑﺎ اﺳﺘﻔﺎده از ﯾﮏ ﻣﯿﺰﺑﺎن ﻫﮏ ﺷﺪه، ﻟﯿﺴﺘﯽ از ﺳﯿﺴﺘﻢ ﻫﺎﯾﯽ را ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﻫﮏ ﺷﻮﻧﺪ، ﮔﺮدآوري ﻣﯽ ﮐﻨﺪ .ﺑﯿﺸﺘﺮ اﯾﻦ ﭘﺮوﺳﻪ‬ ‫ﺑﺼﻮرت ﺧﻮدﮐﺎر از ﻃﺮﯾﻖ ﻣﯿﺰﺑﺎن ﻫﮏ ﺷﺪه اﻧﺠﺎم ﻣﯽ ﮔﯿﺮد .اﯾﻦ ﻣﯿﺰﺑﺎن اﻃﻼﻋﺎﺗﯽ ﺷﺎﻣﻞ ﻧﺤﻮه ﯾﺎﻓﺘﻦ ﺳﺎﯾﺮ ﻣﯿﺰﺑﺎن ﻫﺎ ﺑﺮاي ﻫﮏ در ﺧﻮد ﻧﮕﻬﺪاري ﻣﯽ ﮐﻨﺪ.‬ ‫ﻣﺮﺣﻠﻪ 2 : ﺑﻪ ﻣﺤﺾ اﯾﻨﮑﻪ اﯾﻦ ﻟﯿﺴﺖ آﻣﺎده ﺷﺪ، اﺳﮑﺮﯾﭙﺖ ﻫﺎ ﺑﺮاي ﻫﮏ ﮐﺮدن و ﺗﺒﺪﯾﻞ آﻧﻬﺎ ﺑﻪ ارﺑﺎﺑﺎن ﯾﺎ ﺷﯿﺎﻃﯿﻦ )‪ Daemons‬اﺟﺮاء ﻣﯽ ﺷﻮﻧﺪ .ﯾﮏ‬ ‫ارﺑﺎب ﻣﯽ ﺗﻮاﻧﺪ ﭼﻨﺪ ﺷﯿﻄﺎن را ﮐﻨﺘﺮل ﮐﻨﺪ . ﺷﯿﺎﻃﯿﻦ ﻣﯿﺰﺑﺎﻧﺎن ﻫﮏ ﺷﺪه اي ﻫﺴﺘﻨﺪ ﮐﻪ ﻃﻐﯿﺎن ‪ UDP‬اﺻﻠﯽ را روي ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ اﻧﺠﺎم ﻣﯽ دﻫﻨﺪ.‬ ‫ﻣﺮﺣﻠﻪ 3 : ﺣﻤﻠﻪ ‪ DDOS‬ﻫﻨﮕﺎﻣﯽ ﮐﻪ ﺣﻤﻠﻪ ﮐﻨﻨﺪه ﻓﺮﻣﺎﻧﯽ ﺑﻪ ﻣﯿﺰﺑﺎﻧﺎن ‪MASTER‬ارﺳﺎل ﻣﯽ ﮐﻨﺪ، اﻧﺠﺎم ﻣﯽ ﮔﯿﺮد .اﯾﻦ ارﺑﺎﺑﺎن ﺑﻪ ﻫﺮ ﺷﯿﻄﺎﻧﯽ دﺳﺘﻮر‬ ‫ﻣﯽ دﻫﻨﺪ ﮐﻪ ﺣﻤﻠﻪ ‪ DoS‬را ﻋﻠﯿﻪ آدرس ‪IP‬ﻣﺸﺨﺺ ﺷﺪه در ﻓﺮﻣﺎن آﻏﺎز ﮐﻨﻨﺪ و ﺑﺎ اﻧﺠﺎم ﺗﻌﺪاد زﯾﺎدي ﺣﻤﻠﻪ ‪ DOS‬ﯾﮏ ﺣﻤﻠﻪ ‪ DDoS‬ﺷﮑﻞ ﻣﯽ ﮔﯿﺮد.‬
  • 18. ‫‪Stacheldraht‬‬ ‫ﮐﺪ ‪ Stacheldraht‬ﺑﺴﯿﺎرﺷﺒﯿﻪ ﺑﻪ ‪ TRINOO‬و ‪ TFN‬اﺳﺖ اﻣﺎ ‪Stacheldraht‬اﺟﺎزه ﻣﯽ دﻫﺪ ﮐﻪ ارﺗﺒﺎط ﺑﯿﻦ ‪ MASTER‬ﻫﺎ)ﮐﻪ در اﯾﻦ ﺣﻤﻠﻪ‬ ‫‪ HANDER‬ﻧﺎﻣﯿﺪه ﻣﯽ ﺷﻮﻧﺪ( رﻣﺰ ﻧﮕﺎري ﺷﻮد ﻋﺎﻣﻞ ﻫﺎ ﻣﯽ ﺗﻮاﻧﻨﺪ ﮐﺪ ﺧﻮد را ﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر ارﺗﻘﺎ دﻫﻨﺪ ﻣﯽ ﺗﻮاﻧﻨﺪ اﻗﺪام ﺑﻪ اﻧﻮاع ﻣﺨﺘﻠﻔﯽ از ﺣﻤﻼت ﻣﺎﻧﻨﺪ‬ ‫ﻃﻐﯿﺎن ﻫﺎي ‪ icmp‬ﻃﻐﯿﺎن ﻫﺎي ‪UDP‬و ﻃﻐﯿﺎن ﻫﺎي ‪SYN‬ﮐﻨﻨﺪ.‬ ‫ﻧﺤﻮه ﭘﯿﺸﮕﯿﺮي از ﺣﻤﻼت‬ ‫ﻣﺘﺎﺳﻔﺎﻧﻪ روش ﻣﻮﺛﺮي ﺑﻪ ﻣﻨﻈﻮر ﭘﯿﺸﮕﯿﺮي در ﻣﻘﺎﺑﻞ ﯾﮏ ﺗﻬﺎﺟﻢ ‪DoS‬و ﯾﺎ ‪ DDoS‬وﺟﻮد ﻧﺪارد .ﻋﻠﯿﺮﻏﻢ ﻣﻮﺿﻮع ﻓﻮق، ﻣﯽ ﺗﻮان ﺑﺎ رﻋﺎﯾﺖ ﺑﺮﺧﯽ ﻧﮑﺎت و‬ ‫اﻧﺠﺎم ﻋﻤﻠﯿﺎت ﭘﯿﺸﮕﯿﺮي، اﺣﺘﻤﺎل ﺑﺮوز ﭼﻨﯿﻦ ﺣﻤﻼﺗﯽ) اﺳﺘﻔﺎده از ﮐﺎﻣﭙﯿﻮﺗﺮ ﺷﻤﺎ ﺑﺮاي ﺗﻬﺎﺟﻢ ﺑﺮ ﻋﻠﯿﻪ ﺳﺎﯾﺮ ﮐﺎﻣﭙﯿﻮﺗﺮ ﻫﺎ(را ﮐﺎﻫﺶ داد.‬ ‫ﻧﺼﺐ و ﻧﮕﻬﺪاري ﻧﺮم اﻓﺰار آﻧﺘﯽ وﯾﺮوس‬‫ﻧﺼﺐ و ﭘﯿﮑﺮﺑﻨﺪي ﯾﮏ ﻓﺎﯾﺮوال‬‫-ﺗﺒﻌﯿﺖ از ﻣﺠﻤﻮﻋﻪ ﺳﯿﺎﺳﺖ ﻫﺎي ﺧﺎﺻﯽ در ﺧﺼﻮص ﺗﻮزﯾﻊ و اراﺋﻪ آدرس ‪ email‬ﺧﻮد ﺑﻪ دﯾﮕﺮان‬ ‫ﭼﮕﻮﻧﻪ از وﻗﻮع ﺣﻤﻼت ‪ dos‬ﯾﺎ ‪ ddos‬آﮔﺎه ﺷﻮﯾﻢ.‬ ‫ﺧﺮاﺑﯽ و ﯾﺎ ﺑﺮوز اﺷﮑﺎل در ﯾﮏ ﺳﺮوﯾﺲ ﺷﺒﮑﻪ، ﻫﻤﻮاره ﺑﺪﻟﯿﻞ ﺑﺮوز ﯾﮏ ﺗﻬﺎﺟﻢ ‪DoS‬‬ ‫ﻧﻤﯽ ﺑﺎﺷﺪ .در اﯾﻦ راﺑﻄﻪ ﻣﻤﮑﻦ اﺳﺖ دﻻﯾﻞ ﻣﺘﻌﺪدي ﻓﻨﯽ وﺟﻮد داﺷﺘﻪ و ﯾﺎ ﻣﺪﯾﺮ ﺷﺒﮑﻪ ﺑﻪ‬ ‫ﻣﻨﻈﻮر اﻧﺠﺎم ﻋﻤﻠﯿﺎت ﻧﮕﻬﺪاري ﻣﻮﻗﺘﺎ "ﺑﺮﺧﯽ ﺳﺮوﯾﺲ ﻫﺎ را ﻏﯿﺮ ﻓﻌﺎل ﮐﺮده ﺑﺎﺷﺪ .وﺟﻮد و‬ ‫ﯾﺎ ﻣﺸﺎﻫﺪه ﻋﻼﺋﻢ زﯾﺮ ﻣﯽ ﺗﻮاﻧﺪ ﻧﺸﺎﻧﺪﻫﻨﺪه ﺑﺮوز ﯾﮏ ﺗﻬﺎﺟﻢ از ﻧﻮع ‪dos‬ﯾﺎ‬ ‫‪ddos‬ﺑﺎﺷﺪ:‬ ‫ﮐﺎﻫﺶ ﺳﺮﻋﺖ و ﯾﺎ ﮐﺎرآﺋﯽ ﺷﺒﮑﻪ ﺑﻄﺮز ﻏﯿﺮ ﻣﻌﻤﻮل )در زﻣﺎن ﺑﺎز ﻧﻤﻮدن ﻓﺎﯾﻞ ﻫﺎ وﯾﺎ دﺳﺘﯿﺎﺑﯽ ﺑﻪ وب ﺳﺎﯾﺖ ﻫﺎ(‬ ‫ﻋﺪم در دﺳﺘﺮس ﺑﻮدن ﯾﮏ ﺳﺎﯾﺖ ﺧﺎص)ﺑﺪون وﺟﻮد دﻻﯾﻞ ﻓﻨﯽ(‬ ‫ﻋﺪم اﻣﮑﺎن دﺳﺘﯿﺎﺑﯽ ﺑﻪ ﻫﺮ ﺳﺎﯾﺘﯽ)ﺑﺪون وﺟﻮد دﻻﯾﻞ ﻓﻨﯽ(‬ ‫اﻓﺰاﯾﺶ ﻣﺤﺴﻮس ﺣﺠﻢ ﻧﺎﻣﻪ ﻫﺎي اﻟﮑﺘﺮوﻧﯿﮑﯽ ﻧﺎﺧﻮاﺳﺘﻪ درﯾﺎﻓﺖ‬ ‫ﻣﻨﺎﺑﻊ :‬ ‫*اﻣﻨﯿﺖ ، راﻣﯿﻦ ﺻﻤﺪي‬ ‫*اﻣﻨﯿﺖ ﺷﺒﮑﻪ ، ﺳﺎﯾﺖ آﺷﯿﺎﻧﻪ‬ ‫*اﻣﻨﯿﺖ ﺷﺒﮑﻪ ،ﻧﮕﺎرﺳﺘﺎن‬ ‫*اﻣﻨﯿﺖ و ﺿﺪ اﻣﻨﯿﺖ ﺷﺒﮑﻪ، اﻣﯿﺮ اﺷﺘﯿﺎﻧﯽ‬