نحو وعي امني زيزوومي (هجمات الحرمان من الخدمه)

الموضوع في 'منتدى نقاشات واختبارات برامج الحماية' بواسطة m0d!s@r7@n, بتاريخ ‏ديسمبر 15, 2013.

حالة الموضوع:
مغلق
  1. m0d!s@r7@n

    m0d!s@r7@n عضو شرف نجم المنتدى

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,444
    الإعجابات المتلقاة:
    15,422
    نقاط الجائزة:
    1,220
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8


    111.png

    -مقدمة تعريفية عن الهجوم.

    لكل شيئ في الحياة حدود وتبقى مقدار قوته محدوده مهما وصل من القوة ، ويبقى الله عز وجل هو الكامل القوي الذي ليس لقوته حدود ، حتى في مجال امن المعلومات والحاسب ، لكل جهاز على الأرض حدود من الطاقة والسرعة لا يستطيع تجاوزها ، ويبقى محدود بتلك السرعة وإنجاز المهام ، حتى مع تطور العلم والتكنولوجيا بالأخص تبقى قوة المعالجات والحواسيب محدوده مهما بلغت من سرعة ، وتبقى أيضا كمية البيانات التي يعالجها محدوده ، مهما بلغت هذه البيانات من ضخامها فهو محدود بكمية معينة يستطيع معالجتها فأن زادت هذه البيانات خارج طاقته لا يستطيع تحملها وينهار ، هذا هو مبدأ عمل هجمات الحرمان من الخدمة بكافة أنواعها ، وهو اغراق الهدف بكمية ضخمة من الطلبات والبيانات حتى نصل إلى حجم اكبر من طاقة الهدف فينهار او يخرج عن الخدمة وبهذا حققت هدفي واستطعت أيقاف ذلك الهدف من العمل أو حرمان من يستخدم ذلك الهدف من الاستفادة منه ، ومن هذا المفهوم تم تسميتها هجمات الحرمان من الخدمة (Denial of Service Attacks) هذا النوع من الهجمات يُدعى في بعض الأوساط “بإيدز الإنترنت” بسبب انه ليس له علاج حتى الآن ، فمهما بلغت مواصفات الهدف وسرعته وقدرته على معالجة واستقبال الطلبات يبقى ضمن رقم محدد من الطلبات مهما كان كبير لا يستطيع أن يستقبل طلبات اكثر من ذلك العدد ، فتبقى هذه الهجمات من اكثر الهجمات خطورة على شبكة الأنترنت تهدد الدول والحكومات وكل الشبكات فهي عرضة لتعرض لهجوم الحرمان من الخدمة وانهيار شبكاتها وأجهرتها . هذه الهجمات تصنف الى قسمين :

    1- (DOS = Denial of Service Attacks) هجمات الحرمان من الخدمة

    2- (DDOS = Distributed Denial of Service Attacks) هجمات الحرمان من الخدمة الموزع


    222.png


    ماهو الفرق بين هجمات DOS وهجمات DDOS ؟

    ظهرت بعض الحمايات التي تصد من هجمات الحرمان من الخدمة والتي تعمل على وضع قواعد وسياسات بكمية معينة من الطلبات يمكن استلامها ، على سبيل المثال يمكن أن يستلم الهدف 10 طلبات في الثانية الواحدة من المستخدم ، إذا زادت هذه الطلبات فأنه يتم تجاهلها ولا يتم قبلوها أو الانشغال بمعالجتها ، لذلك لا يشكل هذا تأثير على الهدف ولا يمكنني من زيادة الطلبات عليه والتسبب في انهياره أو خروجه عن الخدمة ، ولزيادة الحماية احياناً يقوم الهدف بشكل تلقائي بحظر ذلك المهاجم الذي يحاول أن يرسل العديد من الطلبات والبيانات ولا يتم استلام منه أي طلبات اخرى . بسبب مثل هذه الحمايات التي تم تحدد الطلبات وكميتها لا يمكن لأي شخص أن يرسل طلبات كثيره فسوف يتم حضره ،، ظهرت شبكات البوت نت (BOTNET) قبل أن أتحدث ماهي شبكات البوت نت ، دعوني أوضح كيف تعمل هذه الشبكات ، نحن متفقين ان الهدف يملك حماية رائعة بسببها لم استطيع تنفيذ الهجوم وإرسال عدد كبير من الطلبات ، في الوضع الطبيعي لا يتم تحديد اي كمية معينه من الطلبات وأنما كل الطلبات لكل مستخدم ، بعد وضع الحماية تم تحديد 10 طلبات في الثانية لكل مستخدم ، في هذه الحالة اذا كان هناك 500000 مستخدم يسمح لكل مستخدم 10 طلبات العدد الكلي تقريبا = 25000000 طلب في الثانية هذا رقم مخيف جدا ولا يمكن لأي سيرفر تحمل هذا الكم من الطلبات سوف ينهار في الفور ، ولكن السؤال الآن كيف للمهاجم أن يحصل على 500000 مستخدم ويستغلهم للهجوم ؟ لا تقلق سوف أوضح لك كيف يحصل المهاجم على هذا العدد من المستخدمين ، الآن هجوم DDOS يقصد به استغلال كمية من الناس في مساعدتك في تنفيذ هجمات الحرمان من الخدمة وتنفيذ الهجوم على أي هدف تريد لا يوجد أي شيئ يمكنه إيفاقك ، لأنك في الواقع لم تقوم بأي شي غير شرعي على حسب قواعد الجدار الناري للسيرفر ، تم تحديد 10 طلبات نحن لم نخرج عن القاعدة طلبنا 10 طلبات فقط لكن الخدعة هي ان هناك 10 طلبات فقط من الألاف من المستخدمين .

    222.png

    ماهي شبكات BOTNET ؟
    dos_figure_4-300x226.gif

    هل تعلم أن دودة Santy التى أطلقت فى 20 ديسمبر 2004 قامت بتدمير أكثر من 40 ألف موقع فى أقل من 24 ساعة فقط .

    هل تعلم أن ( دودة كونفيكر – 2008) أصيب بها نحو 15 مليون خادم من خوادم مايكروسوفت الأمر الذى دفع مايكروسوفت فى فبراير 2009 إلى الإعلان عن مكافأة بقيمة 250 ألف دولار لأى شخص يدلى بمعلومات عن مصممى هذه الدودة .

    هل تعلم ان دوده iloveyou اصابت 50 مليون جهاز في عام 2000 .

    والعديد والعديد من الفايروسات القاتلة على شبكة الإنترنت ، خاصة مع تطور أساليب الاختراق ، هل فكرت لماذا يتم صنع مثل هذه الفايروسات وماهو الغرض من هذا الانتشار المخيف ، الأمر واضح قد يكون هناك فايروس له مهمة معينة مثل سرقة بعض البيانات او تنفيذ أمر معين يفيد صاحب الفايروس ، او تروجان يصيب جهازك ويجعلك تحت رحمة صاحب التروجان او الدودة يستخدمك لهجماته ، إذا قام بصنع دودة او فايروس وأصابت هذه الدودة 1000 جهاز سوف يكون تحت رحمة المهاجم 1000 جهاز يستخدمهم لهجمات الحرمان من الخدمة ، على سبيل المثال لدينا الآن شبكة كبيره من الضحايا سوف اعطيهم امر من خلال البرنامج الذي أتحكم به بالفايروس واخبر الأجهزة جميعكم اطلبوا الموقع الفلاني الكثير من الطلبات . وبهذا حققنا الهجوم وتم تنفيذ هجموم الحرمان من الخدمة الموزع ، الصورة في الأعلى توضح الهجوم .


    222.png


    أنواع هجمات الحرمان من الخدمة

    تنقسم الهجمات إلى نوعين من حيث تصنيف عملها في طبقات الشبكات (osi layers model)

    1- :Application layer DDOS attack

    هذه الطبقة السابعة من طبقات osi layers وفي هذه الطبقة يتم معالجة البيانات الخاصة بالتطبيقات والبرمجيات مثل ,database , apache ، mail ، DNS وغيرها من البرامج التي تعمل على النظام ، في هذا النوع يتم استغلال المدخلات من البرامج او البيانات التي يتم ادخالها من المستخدم الى البرنامج ،، على سبيل المثال لدينا خادم apache يمكن تنفيذ الهجوم بارسال سيل من الطلبات بفتح الصفحه او الموقع حتى يتم أغراق السيرفر وأخراجه من الخدمة بعض هذه الهجمات مثل:

    • HTTP GET DOS ATTACK
    • HTTP POST DOS ATTACK
    • HTTP Slow Read
    وهناك أنواع أيضا لــ SMTP وأنواع اخرى لــ DNS .. الخ

    وانت قم بقياس الفكرة على بقية البرامج والخدمات التي تستقبل منك طلبات بكافة أنواعها .


    2- Protocol DDOS attack

    هذا النوع من الهجوم الذي يتم في الطبقة الثالثة والرابعة والتي هي ضمن بروتوكول الشبكات او معيارية الشبكات نفسها .

    أما إذا حاولنا ان نقوم بتقسيم الهجمات من حيث نوع الحزمة المرسلة او نوع البيانات :

    1-
    UDP Flood
    هذا النوع من الهجمات يستخدم بروتوكول UDP للهجوم على الشبكة باستخدام سيل من الطلبات باستخدام بورتات عشوائية وكثيرة مما يجعل من التطبيق المستخدم أو النظام المستخدم للتنصت على البورت أن يقوم بعمل مراجعة متكرره للبورتات المتنصتة على التطبيق ، إذا وجد تطبيق يقوم بالتنصت على بورت معين يقوم بالرد بحزمة ICMP ،، هذه العملية تستهلك الكثير من الموارد للنظام مما يجعل النظام كامل مشغول بهذه العملية ولا يمكنه استقبال طلبات اخرى من مستخدمين اخرين .

    2-
    ICMP (Ping) Flood
    مبدا عمل هذا الهجوم مشابه بشكل كبير للنوع السابق وهو أغراق الهدف بسيل من الطلبات من نوع ICMP مما يجعله مشغول بالرد على هذه الطلبات ويستهلك مواردة ، هذا الهجوم يستطيع ان يستهلك ويستنزف البيانات الصادرة والواردة للهدف .

    3-
    SYN Flood
    يستغل هذا الهجوم ضعف في (TCP) خاصة في عملية (the “three-way handshake”) عملية المصافحة في الشبكة بين الأجهزة ،، ماذا يقصد بهذه العملية ؟
    عندما يريد جهاز التخاطب مع جهاز اخر في الشبكة ،، يقوم الجهاز بأرسال حزمة من نوع (SYN ) الى الهدف يقوم الهدف بالرد بحزمه (SYN/ACK) ليعرف بأنة مستعد لاستقبال البيانات يعود الجهاز بإرساله حزمة من نوع (ACK) ليبدأ بنقل البيانات وهكذا تتم في كل باكيت يرسل في الشبكة بين جهازين ،، هذا الهجوم يستغل هذه النقطة ويقوم المهاجم بأرسال حزم كثيرة من نوع (SYN) لكي يجعل الهدف مشغول بالرد بحزمة من نوع (SYN/ACK) ، ويغرقة بسيل من الطلبات حتى يخرج عن الخدمة بسبب عدم تحمله أن يستقبل طلبات مستخدمين غير المهاجم

    4-
    Ping of Death
    هذا الهجوم اختصاره هو (“POD”) هذا الهجوم يستغل في الاجهزة القديمة من وندوز ويستغل خطا في نواه النظام لاستقبال حزم ping ،، الفكرة اغراق الهدف بطلبات ping مما يخرجه عن الخدمة ، هذا الهجوم اصبح عديم الفائدة في الوقت الحالي .

    كانت هذه اربعه أنواع من الحزم كمثال ما زال هناك الكثير من الحزم في معيارية الشبكة غير المذكورة والتي تسير بها الأجهزة في الشبكة ،، وأنما أريد أوضح لك مفهوم ان كل أنواع الهجمات تنطوي تحت فكرة إرسال طلبات كثيرة ،، ماعلى لمهاجم هو إرسال كم هائل من الحزم الى الهدف ليستقبلها . سواء كان من جهاز المهاجم فقط او من خلال شبكة موزعة .

    تبقى نوع واحد وهو له حالة خاصة وهو :

    Zero-day DDoS : هذا النوع يعتمد على اكتشاف ثغرة او عيب في احد البرامج تمكن من عمل انهيار للهدف بشكل كامل حتى وان كان هناك حماية او فايروول ينظم الاتصالات ، هذا النوع لا يحتاج إلى شبكة موزعة أو شبكة بوت نت يكفي شخص واحد يستغل الثغرة وسوف ينهار السيرفر .



    222.png

    عملية دراسة قواعد الجدران النارية والفائدة منه لهجمات الحرمان من الخدمة :

    هذا المفهوم أو بالأصح العملية تتم تنفيذها قبل البدء بمهاجمة الهدف ،، ذكرت سابقاً في الأعلى أن بعض الحمايات ظهرت والتي تمكن من التحكم في الاتصالات الداخلة والخارجة وتنظيم حجمها وعددها وغيرها من الأمور،، والتي تجعل الهدف غير عرضة لهجوم الحرمان من الخدمة الغير موزع ، انأ ذكرت الغير موزع لأنة لا يوجد أي هدف في العالم غير معرض لهجمات الحرمان من الخدمة الموزع ولا يوجد لحل لهذه الهجمات إذا كان المهاجم يملك شبكة بوت نت كبيرة جدا ،، لذلك ظهر علم أو طرق وأدوات تمكني من دراسة قواعد الجدران النارية ومعرفة ماهي البورتات المفلترة وماهي أنواع الحزم التي يمكن للهدف أن يستقبلها وكم عددها ، وهل يسمح لي باستخدام UPD ام لا ،، كل هذا يتم دراسة عن طريق التجربة تقوم باستخدام اداوات مثل NMAP و HPING3 وغيرها من الأدوات التي مخصصة لتكوين الحزم والتلاعب فيها ، لدراسة قواعد الجدران النارية ومعرفة ماهو محظور وماهو مسموح ،، مثلا قمت بالفحص والتجربة بكل أنواع الحزم فوجدت أن الجدار الناري لا يمنع الحزم من نوع FIN سوف استغل هذا لصالحي وأقوم بمحاولة لإغراق الهدف طلبات من نوع حزم FIN .

    222.png

    الحماية من هجمات الحرمان من الخدمة وكيف تتم ؟
    الحماية من هذه الهجمات تتلخص في تنظيم الاتصالات والحزم ووضع قواعد صارمة لتنظيم الاتصالات واستقبال الطلبات ومعالجتها ، ويبقى للمهاجم خبره التخلص من هذه القواعد وربما تزوير الحزم لمخادعة الجدار الناري وكذلك دراسة الجدار لعلة يجد انك نسيت نوع من انواع الحزم والذي يقم القيام بعمل هجوم حرمان من الخدمة بواسطته

    اهم الأدوات المساعدة للحماية من هجمات الحرمان من الخدمة

    ( CSF firewall (ConfigServer Services
    من أقوى انظمه الجدران النارية الموجهة لسيرفرات اللينكس ، يقوم هذا الجدار بادارة وأعداد iptables firewall لأنظمة لينكس ويجعل أدارته سهلة جدا .

    خدمة cloudeflare
    هي خدمة تساعد على توفير الحماية الجيدة لموقعك او مدونتك من عديد من الهجمات وأشهرها الفلود كما انها تساعد الزوار على تصفح الموقع بكل خفة وذالك من خلال تخفيف عدد الطلبات الموجه إلى الموقعك وهذا بفضل شبكتها العالمية الذكية الموزعة حول العالم .

    اداة DDoS-Deflate
    سكريبت DDoS-Deflate هو سكريبت مجاني ومفتوحة المصدر ويمكننا اعتباره من أفضل الأدوات الخاصة بصد هجمات حجب الخدمة على مستوى البرامج .
    هذه كانت اهم المشاريع المساعدة في التقليل من تأثير هجمات الحرمان من الخدمة ؟

    أتمنى أن ينال المقال إعجابك وتحياتي للجميع انتهي

    المقاله منقوله كما هي للفائده (افضل مقاله قراتها لتوضيح هذا الهجوم وهي لاحد الاشخاص
    تعلمت منه الكثير)


    333.png
     
    آخر تعديل: ‏ديسمبر 15, 2013
    riad208 ،عين الطيف ،MagicianMiDo32 و 8آخرون معجبون بهذا.
  2. Mя.Soul

    Mя.Soul .: خبير إختبارات برامج الحماية :.

    إنضم إلينا في:
    ‏ابريل 24, 2013
    المشاركات:
    3,837
    الإعجابات المتلقاة:
    13,154
    نقاط الجائزة:
    1,220
    الإقامة:
    In My Lab
    برامج الحماية:
    Norton
    نظام التشغيل:
    Windows8.1
    [​IMG] [​IMG] [​IMG] [​IMG] [​IMG]

    ولا كأنى سمعت حاااجه ... انا كنت بعمل DDOs Attack بس انت نستهولى .. :cry::cry:

    براحه علينا احج .. مواضيعك كانت بسيطه فى الاول دخلت فى :mask::mask: الغميق .. عاوزين معلومه معلومه دون حشو او تزيد.. زى العلوم الفكريه المنطقيه :grin::grin:

    شكرا على الموضوع بس حاول تصغره بعد كده عشان تجذب عدد اكبر للقراءه ... ويبقى اسهل لينا .. (n)

    خير الكلام ما قل ودل :confused: :censored:
     
  3. سالم المسالم

    سالم المسالم .: خبير نقاشات الحماية :. فريق الدعم لقسم الحماية نجم المنتدى نجم الشهر

    إنضم إلينا في:
    ‏يوليو 14, 2012
    المشاركات:
    9,110
    الإعجابات المتلقاة:
    19,974
    نقاط الجائزة:
    1,470
    الإقامة:
    حضرموت / المكلا
    برامج الحماية:
    Norton
    نظام التشغيل:
    Windows 8
    الله يوفقك ويزيدك علم ماشاء الله تبارك الله شي فوق الخيال
    معلومات لو جلسنا نبحث عنها سنين ماوجدناها بهذا التفصيل الرائع والراقي
    اسلوب خطابي وتنسيق خرافي بارك الله فيك ووفقك لما يحبه ويرضاه
    بجد لم اجد كلمات توفيك حقك فموضوعك قوي ومهم ومميز و و و
    ساختصر الكلام واعطيك الزبد انت شخص نادر وامثالك قلائل
    وبنتضار جديد قلمك لك كل التقدير والاحترام
     
  4. m0d!s@r7@n

    m0d!s@r7@n عضو شرف نجم المنتدى

    إنضم إلينا في:
    ‏مارس 24, 2013
    المشاركات:
    3,444
    الإعجابات المتلقاة:
    15,422
    نقاط الجائزة:
    1,220
    الإقامة:
    مصر
    برامج الحماية:
    Kaspersky
    نظام التشغيل:
    Windows 8
    قطعت كلامي بمدحك هذا:kissingheart:(y)
     
    أعجب بهذه المشاركة سالم المسالم
  5. White Man

    White Man خبير فحص ملفات فريق فحص زيزووم للحماية

    إنضم إلينا في:
    ‏فبراير 24, 2014
    المشاركات:
    12,580
    الإعجابات المتلقاة:
    28,707
    نقاط الجائزة:
    1,250
    الإقامة:
    Egypt,Alex
    برامج الحماية:
    اخرى
    نظام التشغيل:
    Windows8.1
    بارك الله فيك
     
    أعجب بهذه المشاركة عين الطيف
  6. عين الطيف

    عين الطيف زيزوومي فضي

    إنضم إلينا في:
    ‏يونيو 26, 2014
    المشاركات:
    2,274
    الإعجابات المتلقاة:
    4,744
    نقاط الجائزة:
    900
    برامج الحماية:
    اخرى
    نظام التشغيل:
    أخرى
    [​IMG]

    انا كنت جربت دوس أتاك قبل كدا بس أيام زماااااااااااااان (y)
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة

جاري تحميل الصفحة...