كل ما تود معرفته عن هجوم حجب الخدمة (Denial of Service Attacks (Dos attack - نيو ستايل

13‏/10‏/2018

كل ما تود معرفته عن هجوم حجب الخدمة (Denial of Service Attacks (Dos attack

هجمات الحرمان من الخدمات أو هجوم حجب الخدمة (Denial of Service Attacks) هي هجمات تتم عن طريق إغراق المواقع بسيل من البيانات او الطلبات غير اللازمة يتم إرسالها عن طريق برامج او ادوات خاصه بتوزيعات الاختراق او عن طريق أجهزة مصابة ببرامج في هذه الحالة تسمى (DDOS Attacks) اي تتم العملية باكثر من جهاز حاسوب مجموعة اجهزه تهاجم بالوقت ذاته يتم نشر هذه الهجمات بشكل يتيح تحكم القراصنة والعابثين الإلكترونيين لمهاجمة مواقع معينه على  الشبكة (الإنترنت)عن بعد بإرسال تلك البيانات إلى المواقع بشكل كثيف مما يسبب بطء الخدمات أو زحاماً مرورياً بهذه المواقع نتيجه لضغط الكبيرعلى السيرفر المسؤول عن ادارة الموقع وبالتالي تودي كثرة تلك الطلبات الى توقف السيرفر عن العمل او اذا كان السيفر يحوي عدة موقع يعزل الموقع الذي تم توليد ضغط كبير عليه عن الخدمه لكي لا يتوقف السيرفر عن العمل وبذالك يتم غلق الموقع بشكل موقت لهذا سميت هذه النوع من الهجمه { هجوم حجب الخدمة (Denial of Service Attacks)  }  وباعتراف الكثير من خبراء الأمن على الشبكة، لا يوجد علاج جذري في الوقت الحالي لهذا الأسلوب في الهجوم على مواقع الشبكة (الإنترنت) لكن هنالك امور تحد من خطر هذه الهجمه تجعل بأتباعها الاموقع اكثر حماية في حال تعرض لهكذا هجوم ...

وعلى هذا الأساس فإن هذا النوع من الهجمات يُدعى في بعض الأوساط "بإيدز الإنترنت" ويتم هذا الهجوم بدون كسر كلمات السر أو سرقة البيانات السرية.أكدت العديد من التقارير تزايد عدد الهجمات من خلال الشبكة (الإنترنت) وازدياد شدتها وتأثيرها التدميري عاماً بعد الآخر وتأثيرها على مبيعات المواقع والخدمات عبر الشبكة.  وبشكل عام تتواجد مثل هذه الهجمات منذ أعوام إلا أن قوتها الآن أصبحت أكبر من أي فترة مضت، كما أنها وصلت إلى مرحلة من النضج بحيث تستهدف أهدافا محددة ومقصودة لأغراض تجارية او سياسية وفي بعض الاحيان تكون استفزازية.


كيف تتم الهجمات من نوع Dos Attack ؟

هناك العديد من طرق استهداف الموارد الثابتة الأخرى في البنية التحتية، ومن الأمثلة على ذلك هجمات الإغراق SYN .فضمن جلسات الشبكة (الإنترنت)الاعتيادية تتم عملية أشبه بالمصافحة بين النظم، حيث يقوم أحد النظم بإصدار طلب للارتباط بنظام آخر باستخدام حزمة SYN (المزامنة). ويقوم النظام المضيف في هذه الحالة بإصدار حزمة SYN-ACK، والتي يستجيب فيها للطلب الوارد من عنوان IP معين، ويقوم بتسجيل هذا العنوان في جدول معين، وتحديد فترة معينة لقطع الاتصال إذا لم تحدث الاستجابة لهذه الحزمة، والتي يجب أن تكون على شكل حزمة ACK يصدرها النظام الأول. وفي هجمات الإغراق، يقوم المهاجم بإرسال أكبر كمية ممكنة من حزم SYN باستخدام عناوين IP مزيفة، ويقوم النظام المضيف بتسجيل ردود حزم SYN-ACK في الجدول، والتي تبقى هناك لأن المهاجم لا يقوم بإرسال حزم ACK المطلوبة، مما يؤدي إلى امتلاء الجدول بالطلبات وعدم قدرته على تلقي أية طلبات اتصال جديدة. ورغم الأذى الذي قد يلحقه هذا النوع من الهجمات فإن العلاج يكمن في خطوتين؛ الأولى هي زيادة حجم الجدول الذي يتلقى طلبات الاتصال، والثانية-وهي خطوة ملازمة للأولى-التقليل من الوقت المطلوب للاستجابة لطلبات الاتصال وذلك لحذف المدخلات غير المستخدمة بشكل أسرع.



كيف نكتشف هجمات الـ DOS & DDOS ؟

بكلمة واحدة نستطيع الأجابة على هذا السؤال “من المعالج” من لاتعتبر كلمة بل حرف جر حيث أن أرتفاع أداء المعالج وأستهلاك طاقته هو مبدأ هجمات الـ DOS & DDOS فهي تعمل على فكرة أرسال الآف الطلبات التى تسأل الجهاز المستهدف سؤال وهمي لاحاجة لها بمعرفة جوابه ومطلبه الوحيد هو الرد على كل طلباته الوهمية وأرهاق المعالج وأشغاله بأشياء تعيق عمله ووظائفه الرئيسية, ومع كثرة الأسئلة المطلوبة يصاب المعالج بالشلل ويتوقف عن الرد وعن معالجة الأمور الأساسية وتنجح الهجمة في تحقيق أهدافها وهذا هو سبب تسمية هذا النوع من الهجمات بهجمات حجب الخدمة والأختلاف الجوهري بين الأثنان هو أمكانية التحكم وتوزيع الهجوم من خلال شخص واحد فقط وهو مايعرف بي الـ DDOS .



لنعد الآن إلى سؤالنا الأساسي, كيف نكتشف الهجوم لكن لنضف عليه جملة وكيف نحدد هوية المهاجمين ؟  للأجابة على هذا السؤال يتطلب الامر منا معرفة أنواع الهجمات التى يمكن تنفيذها من خلال هجمات حجب الخدمة وهي كثيرة ولكن أغلبها يركز على بروتوكول الـ ICMP والـ TCP!!!. لماذا ICMP ؟ لأن لو حللت هذا المصطلح إلى إسمه الحقيقي لوجدت أن هذا البروتوكول هو نواة الهجوم الحقيقية بل ثنائي رائع يصلح لأحد أفلام هوليوود لان إختصار ICMP يشير إلى Internet Control Message Protocol , هل لاحظت معي الكلمة الثالثة من الاختصار Message ؟ نعم, تعني رسائل والرسائل تعني معلومات وفي الآخر تجد أمامك أن وظيفة البروتوكول هي توصيل الطلبات ورسائل الأخطاء والمشاكل التى قد تواجه الباكيت أثناء رحلتها عبر الشبكات والانترنت وهي الثغرة الأكبر في شبكات العالم كلها ومنها تتشكل الهجمة ويتم إعداد الطلبات وأبسط طلب من المجموعة هو آداة PING فأغلب أنظمة العالم وسيرفراتها يعمل عليها هذا البروتوكول وإن كان محدودا بعض الشيئ من بعض خياراته لكن يبقى وجود أمر مثل البينغ مفعلا عليه شيئ أكيد, سوف أتوقف هنا عن الحديث عن الهجوم فتفاصيله كثيرة ونحن مازلنا في مقدمة بسيطة فقط ولم ندخل في بروتوكولات آخرى والحماية منها أصعب بكثير من بروتوكول الـ ICMP مثل الـ TCP وفكرة طرح المثال على الـ ICMP من اجل مراعاة جميع فئات القراء ولأن هدفي ليس الهجوم بل أكتشاف الهجوم.

كما ذكرنا في بداية التدوينة أن أرتفاع معدلات أداء المعالج هي أكبر دليل على حدوث هجوم حجب الخدمة لكن كيف نبدأ تحديد هوية المهاجم وما الآلية التى يتبعها في تنفيذ الهجوم؟ Netstat  ببساطة هو أحد الأدواة التي تحل لنا هذه المعضلة , فأداة الـ Netstat مع إمكانياته وخيارته الكثيرة, وظيفته الرئيسي هي أظهار جميع الـ Connections التى تتصل مع السيرفر أو الروتر أو أي جهاز قد يكون مستهدفا وهي مدعومة في أغلب أنظمة التشغيل الموجودة ففي الوندوز يمكن استعمالها من نافذة ( Ms dos ( CMD وأغلبنا يعلم إستخداماته وسوف أكتفي بالإشارة إلى الاوامر المستخدمة لتحديد الهجوم والآلية التى يعتمد عليها ( أقصد بالآلية نوعية الهجوم وأي بروتوكول يستخدم)

في ويندوز قم بتنفيذ الأمر التالي من خلال الـ CMD :


netstat –noa

n: Displays active TCP connections.
o: Displays active TCP connections and includes the process ID for each connection.
a: Displays all active TCP connections and the TCP and UDP ports on which the computer is listening.

خيار الـ O في غاية الأهمية ولن أبوح لكم بالسبب وسوف أتركه لأحد خبراء الأمن والحماية ليشرحه لنا في سطران لأن فائدته كبيرة جدا وأرغب بسماع رائي الخبراء في فائدته.

في توزيعات لينكس قم بتنفيذ الامر التالي :



netstat -ntu

في لينكس وعائلته وأولاده المحترمين نجد الخيارات أكبر وأقوى فالعائلة الكريمة أصل قوتها ينبع من موجه الاوامر أو كما يحب أن يطلق عليها مناصري الأنظمة المفتوحة الطرفية فالأمر السابق يقدم لك معلومات بسيطة مثل الأمر الموجود في مايكروسوفت لكن لو أردت الأحترافية فأستخدام الأمر التالي (حصلت عليه من الأنترنت) الذي يقدم لك المهاجم على طبق من ذهب ويخبرك مباشرة بالأيبي الأكثر إتصالا على جهازك ويرتبهم ترتيبا تصاعديا مع تحديد عدد مرات الأتصال المفتوحة.




وقبل أن أنهي حديثي بقي لدينا سؤال صغير كيف أعرف وأحدد هوية المهاجم ؟هنالك الكثير من المواضيع والمقالات التى تتحدث عن هذا النوع من الهجمات وأعتقد أن أغلبكم مطلع عليها وهدفي هو تقديم الأوامر فقط, فأكتشاف الهجوم ومصدره يتضح معك من خلال مشاهدة نتائج الأوامر السابقة فعندما ترى أن هناك أيبي معين يملك عدد كبير من الـ Connections معك فإذا هو المخرب ولاتتردد في حجبه من خلال الجدار الناري وقد يكونوا أكثر من أيبي وردة الفعل نفسها أي الحجب, وآخيرا أتمنى أن لايكون الموضوع قد أدى إلى طرح عشرات التساؤلات لديك فلقد أختصرت كثيرا وفضلت أن لا أكتب كثيرا في أمور قد يكون لها مراجع عربية كثيرة وخصوصا أن هجمات الـ DOS يتعلمها العربي على الأنترنت قبل أن يتعلم إستخدام محرك البحث غوغل لأن تحرير فلسطين وتدمير أمريكا سوف يكون من خلال هجمات حجب الخدمة كما تعودنا أن نشاهد على صفحات الانترنت العربية ودمتم بود.


ليست هناك تعليقات:

إرسال تعليق