سیستم‌های دفاعی در برابر حملات اینترنتی

‌سرویس‌دهندگان اینترنت و صاحبان سایت‌ها همواره یك نگرانی دائمی در مورد نقاط ضعف و روزنه‌های نفوذ به سیستم‌ها دارند. این نفوذها با استفاده از ضعف سیستم‌ها صورت می‌پذیرد و برای دفاع در برابر آنها لازم است اطلاعات جامعی پیرامون آنها در دسترس باشد. این مقاله نگاهی اجمالی بر انواع مختلف حملات اینترنتی و راهكارهای جلوگیری از آنها دارد.
● جلوگیری از سرویس‌دهی سرورها: از جمله حملاتی كه وب سرورهـــــا بسیار زیاد گرفتـــــار آنها می‌شونـــــد، جلوگیری از سرویس‌دهی (Denial of Service) است. این نوع حملات بسیار رایج بوده، زیرا كاربران غیر حرفه‌ای نیز می‌توانند آنهـــــا را ایجاد كنند. به عنوان مثال بسیاری از سرورها در بانك‌های الكترونیكی یا سرویس‌دهندگان پست‌الكترونیكی ممكن است به این مشكل گرفتار شوند.
در این نـــــوع از حملات اینترنتی، درخواست‌هایی جعلـــــی از یك یا چند منبع متفـــــاوت به سرور ارســـــال می‌شود و بـــــا حجم زیـــــاد درخواست‌هـــــای تقلبـــــی، سرور از پاسخ‌دهـــــی به درخواست‌های واقعی عاجز می‌ماند. این روش اغلب توسط هكرهــای غیرحرفه‌ای مورد استفاده قرار می‌گیرد كه برنامه‌هایی را به‌صورت ویروس، كرم‌های اینترنتی یا اسب‌های تروا می‌نویسند تا وب سرور‌ها را از حالت سرویس‌دهی خارج كنند.
حملات DOS عمدتـــــا زیرساخت پروتكل TCP/IP را هدف قرار می‌دهند و در سه نوع زیر طبقه بندی می‌شوند:
۱- ‌حملاتـــــی كه از نواقص پیـــــاده سازی پشته TCP/IP‌ استفاده می‌كنند.
۲- ‌حملاتی كه از نواقص خود پروتكل TCP/IP  ‌استفاده می‌كننــد.
۳- ‌حملاتی كه از روش سعی و خطا استفاده می‌كنند.
از جمله حملات نوع اول می‌توان به Ping of Death‌ و Teardrop ‌اشاره كرد. در روش Ping of Death‌، شخص مهاجم بسته‌های IP‌ را بـــــا حجم‌هـــــای غیراستانـــــدارد (خیلی بزرگ) روی شبكه می‌فرستـــــد تا سرور از كـــــار بیفتد و بتوانـــــد از پشته آسیب پذیر TCP/IP ‌و یا سیستم عامل استفاده كند.
اما در روش حمله Teardrop‌، سرور به وسیله بسته‌هـــــای IP‌ كه فیلدهای offset آنها همپوشانی دارند، ‌بمباران می‌شود. سرور یا روتر نمی‌تواند این بسته‌ها را دور بیندازد و لذا شروع به بازسازی آنها می‌كند كه همپوشانی فیلدها باعث بروز مشكل خواهد شد.
راهكار جلوگیری از این نوع حملات، استفاده از دیوار آتش است كه جلوی بسته‌های IP ‌غیرمتعارف را می‌گیرد و مانع بروز اشكال در سیستم می‌شود.
رایج‌ترین حملات نوع دوم، تهاجم موسوم به SYN است. وقتی كه كامپیوتـــــری قصد برقراری ارتباط بـــــا یك كامپیوتر راه‌دور را دارد، ایـــــن عمل با فرآیندی موسوم بـــــه دست‌دهی سه‌مرحله‌ای (۳Way Hand Shake) ‌صورت می‌پذیـــــرد. بدین‌گونـــــه كه ابتدا كامپیوتر مبدا یك بسته SYN‌ به كامپیوتر مقصد می‌فرستد و كامپیوتر مقصد بـــــا دریافت بسته، یك تائیدیه ACK ‌به مبدا می‌فرستد و بدین ترتیب كامپیوتر مبدا می‌تواند ارتباط مورد نیاز را با كامپیوتر مقصد برقرار سازد.
به طور واضح مشخص است كـــــه اگر كامپیوتـــــر راه دور گرفتار ازدحام بسته‌های SYN ‌شود، بایـــد برای هر SYN ‌یك بسته تایید بفرستد و بدین ترتیب پهنای بانـــــد آن تلف خواهد شــد. حال اگر كامپیوتـــــر حقیقی تقاضـــــای ایجاد ارتباط كند، بــه علت اشغال‌شدن پهنـــــای بانـــــد، سرور امكـــــان سرویس‌دهـــــی به سایر كامپیوتر‌ها را نخواهد داشت.
اگر چه پهنای بانــدی كه در این روش اشغال می‌شود، اغلب محدود است ولی اگر حملات در حجم بالا صـــــورت پذیرد، مشكلات جدی را برای سرور فراهم می‌كند.
با استفاده از دیوار آتش جلوی ایـــــن حملات را نیز می‌توان گرفت.
در حملات نوع سوم شخص مهاجم با ارسال تعداد زیادی بسته‌های ICMP ‌(پروتكل كنترل پیام) روتر را مملو از این بسته‌ها می‌كند و از آنجائیكه تقریبا همه وب سرورها به این نوع بسته‌ها پاسخ می‌دهند، پهنای باند به طور كلی از بین می‌رود و كاربران واقعی از ادامه كار عاجز می‌مانند و ترافیك بسیار زیادی برای همه گره‌های شبكه ایجاد می‌شود. امكان این نـــــوع حملات را نیز می‌توان بـــــا استفاده از دیوار آتش از بین برد.
اما حملات اینترنتی برای ممــانعت از سرویس دهی سرور‌ها محدود به موارد فوق نیست و تهاجماتی به صورت‌های زیر نیز وجود دارد.
● ‌ازدحام بسته‌های UDP‌
در این روش شخص مهاجم بسته‌های بلااستفاده‌ای از یك پـــــورت UDP ‌به پورت دیگر UDP‌ روی كامپیوتـــــر مقصد منتقل می‌كند و از آنجائیكه پروتكل UDP ‌وابسته به ارتباط نیست (Connection Less)، ازدحـــــام بستـــــه‌هـای UDP، مشكل‌ساز می‌شود.
● ‌بمباران سرور به وسیله نامه‌های الكترونیكی
ایـــــن روش اغلب بـــــه وسیله كاربـــران غیرحرفه‌ای استفاده می‌شود و در آن شخص مهاجم هزاران نامه الكترونیكی را بـــــه یك آدرس خـــــاص می‌فرستـــــد و باعث سرریز نامه‌ها می‌شود. در این روش وقتی تعداد نامه‌های الكترونیكی از حدمجاز سرورهای SMTP‌ تجاوز كند، باعث از كار افتادن سرور شده و سایـــــر كاربـــــران ISP ‌از ادامـــــه كار عاجـــــز می‌شوند. این نوع حملات به آسانی قابل ردیابی هستند و با یافتـــــن IP ‌مبدا نامه‌هـــــای الكترونیكـــــی، می‌توان بـــه سایر اطلاعات موردنیاز دست یافت و جلوی حملات را گرفت.
● ‌بـــــاز شدن صفحـــــات اینترنتـــی بــــــــه صـــــــورت پشت سر هم
این نوع از حملات نیز به وسیله كاربران غیرحرفه‌ای صورت می‌پذیـــــرد. در این روش مهاجمـــــان با برنامه‌هـــــای كوچك به‌صورت تكـــــراری بعضی از صفحات اینترنتی را مرتبا و پشت سر هم فراخوانی می‌كنند. این عمل نیز باعث اشغال بسیار زیاد پهنای باند سرورها می‌شود و كاربران دیگر را از ادامه كار باز می‌دارد.
جهت رفع این مشكل بایـــــد مدیران شبكه بـــــه هر كاربر فقط امكان برقراری یك ارتباط را بدهند تا چنین مشكلاتی ایجاد نشود.
● جلوگیری از سرویس دهی سرورهای غیرمتمركز
این نوع از حملات از جمله رایج‌ترین حملات اینترنتـــی است كه در آن هزاران یا ده‌ها هزار كامپیوتر آسیب خواهــــــد دید. اغلب این حملات بدین صورت است كه فایلی در كامپیوترهای آسیب دیده می‌نشیند و منتظر دستور فرد مهاجم می‌ماند، وقتی كه شخص مهاجم دستور ازدحام بسته‌های كنترل پیام‌هـــــا را می‌دهـــــد، بـــــه سرعت بسته‌هــای ICMP ‌روی كامپیوترهـــــای مختلف پخش‌شده و بـــــاعث از كارافتادن كامپیوترهای راه دور می‌شوند.
امروزه امكانات و برنامه‌های زیادی برای این نوع حملات وجود دارد؛ به‌گونه‌ای كه ارتشی از فایل‌های جست‌وجوگر، سرویس‌ها و پورت‌های سرور را جست‌وجـــــو می‌كنند تا نقاط ضعف آنها را پیدا كنند و به صورت گروهی حملاتی را بـــــه سرورهای مختلف انجام دهنـــــد.
حل ایـــــن مشكل به وسیله ایمـــــن سازی تك تك كامپیوترهـــــا ممكن نیست زیرا فیلتركردن و یا دنبال كـــــردن ترافیك حملات به علت شباهت آنها با ترافیك واقعی شبكه، بسیـــــار دشوار است. از آنجائیكه همواره تعداد بسیار زیادی از كامپیوترهـــــای نـــــاامن روی اینتـــــرنت وجود دارد، ایــن كامپیوترها محل بسیار مناسبی برای ایجاد حملات جدید هستند.
از آنجائیكه حمله به سیستم‌های غیرمتمركز منجر به بروز مشكلات بسیار جدی می‌شــود، لذا برای جلوگیری از آنها باید اصول خاصی در نظر گرفته شود:
۱- ‌استفاده از راهكارهای غیرمتمركز برای سیستم‌های غیرمتمركز.
۲-‌ اجتناب از راهكارهای مضر برای كاربران قانونی.
۳- ‌ایمن سازی سیستم در مقابل تهدیدات داخلی و خارجی
۴- ‌طراحـــی سیستم‌های عملی برای هماهنگی با مشكلات واقعی.
۵- ‌ارائه راه‌حل‌هـــــای قابل اجـــــرا در محیط‌هـــــای كوچك و تعمیم آنها به كل سیستم‌ها.
را‌ه‌حل‌هایـــــی كه برای حملات غیرمتمركـــــز ارائه می‌شود، اغلب بـــــه‌صورت محدودكردن سرویس‌هـــــا و یا قطع آنها هستند كه مشكلاتی جدی برای فعایت‌‌های قانونی ایجاد می‌كنند.
‌اما در اصل باید برای جلوگیری از این حملات، گره‌هایی را كه دچار مشكل شده‌اند، شناسایی و آنها را ایزوله كرد و یا از شبكه بیرون انـــــداخت و ایـــــن عملیات بایـــــد به ترتیبی صورت پذیرد كه بهترین نتیجه حاصل شود.
DefCOM ‌یكـــــی از سیستم‌هـــــای دفاعـــــی در بــرابر این حملات است كه از چندین گره امنیتی غیرمتجانس تشكیل شده است. این گـــــره‌ها ترافیك شبكه را بـــــررسی كرده و سپس نرخ منـــــاسب ترافیك در شبكه را بـرای جلوگیری از ترافیك تقلبی مشخص می‌كنند. درصورت حمله، كامپیوتر قربانی پیام خطـــــر می‌دهد و كامپیوتر امنیتی آن را به همه كامپیوترهای امنیتـــــی دیگر می‌فرستـــــد تا همـــه در حالت تدافعـــــی قرار گیرنـــــد. از این به بعد كامپیوترهای امنیتی پیام‌های بیـــــن خـــــود را بـا برچسب خاصی می‌فرستند تا ارتباطی امن بین خودشان برقرار شود; بدین ترتیب ریشه حمله را پیدا می‌كننـــــد. در این ارتباط، داده‌های شبكه با ۳ نوع برچسب متفاوت ارسال و دریافت می‌شوند:
۱‌- ترافیك بدون برچسب كه تركیبی از داده‌های خوب و بد است.
۲- ‌ترافیك كنترل شده كه با نرخ پایین مبادله می‌شود.
۳- ترافیك قانونـــــی كـه ترافیك مجاز شبكه است. بررسی روش‌هـــــای مختلف حملات اینترنتـی و راهكارهای مقابله با آنهـــــا نشان می‌دهد كـــــه امكان برطرف كردن كامل آنها وجود ندارد و آنچه كـــــه مدیران شبكه‌ها قادر به انجام آنها هستنـــــد، بررســـــی چگونگـــــی حملات اینترنتـــــی است تا تدابیری را جهت جلوگیری از تكرار آنها بیندیشند.