1 / 30

مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

مادسیج یعنی دهکده علم و دانش ایران!!. مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران. Mad sg .com. بسم الله. مفاهیم امنیت شبکه. استاد راهنما:آقاي مهندس زارعي. گردآورنده:كاوه ملكي. دانشگاه علمي كاربردي تكاب سال تحصيلي91. امنیت شبکه لایه بندی شده.

michael-beard
Download Presentation

مادسیج ، شبکه آموزشی پژوهشی دانشجویان ایران

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. مادسیج یعنی دهکده علم و دانش ایران!! مادسیج، شبکه آموزشی پژوهشی دانشجویان ایران Madsg.com

  2. بسم الله مفاهیم امنیت شبکه استاد راهنما:آقاي مهندس زارعي گردآورنده:كاوه ملكي دانشگاه علمي كاربردي تكاب سال تحصيلي91

  3. امنیت شبکه لایه بندی شده امروزه امنیت برای سازمانها و شرکت ها خیلی مهم شده چون تهدیدهای پیشرفته ای از سوی تروریست های فضای سایبر به سیستم ها و شبکه ها انجام میشود .رویکرد امنیت شبکه لایه بندی شده یک استراتژی است که ابزار و امکانات مختلفی را در سطوح مختلف در زیر شبکه فراهم میکند رویکرد امنیتی شبکه لایه بندی شده در 5 لایه قابل تعریف میباشد : 1.پیرامون 2.شبکه 3.میزبان 4.برنامه کاربردی 5.دیتا و یک دید کلی از ابزار ها و سیستم هایی امنیتی گوناگون که روی هریک عمل میکنند ارائه میشود و هدف ایجاد درکی در سطح پایه ، از امنیت شبکه هایی لایه بندی شده میباشد .محافظت از اطلاعات به منابع مالی نامحدود احتیاج ندارد با درک کلی از مساله ،خلق یک طرح استراتژی و تاکتیکی میتوان کا را اسان حل کرد . افزودن به ضریب عملکرد هکرها :متخصصانامنیت شبکه از اصطلاحی با عنوان ضریب عملکرد work factor استفاده میکنند که مفهومی مهم در پیاده سازی امنیت شبکه لایه بندی شده دارد . ضریب عملکرد بعنوان میزان تلاش مورد نیاز توسط یک نفوزگر بمنظور تحت تاثیر قرار دادن یک یا چند سیستم و ابزار های امنیتی تعریف میشود که باعث رخنه کردن در شبکه میشود . شبکه با work factor بالا به سختی مورد دستبرد قرار میگیرد

  4. در زیر مدل امنیت لایه بندی شده در زیر امده : پیرامون: فایروال ، انتی ویروس در سطح شبکه::رمزنگاری شبکه خصوصی مجازی شبکه : سیستم تشخیص / جلوگیری از نفوز IDS/IPS::سیستم مدیریت اسیب پذیری::تبعیت امنیتی کابر انتهایی::کنترول دسترسی / تایید هویت کاربر میزبان : سیستم تشخیص نفوز میزبان::سیستم ارزیابی اسیب پذیری میزبان::تبعیت امنیتی کاربرانتهایی::انتی ویروس::کنترول دسترسی / تایید هویت کاربر برنامه کاربردی : سیستم تشخیص نفوز میزبان::سیستم ارزیابی اسیب پذیری میزبان::کنترول دسترسی / تایید هویت کاربر::تعیین صحت ورودی داداه : رمزنگاری::کنترول دسترسی / تایید هویت کاربر

  5. امنیت پیرامون : منظور از پیرامون اولین خط دفاعی نسبت به بیرون و به عبارتی به شبکه غیرقابل اعتماد است .پیرامون اولین و اخرین نقطه تماس برای دفاع امنیتی محافظ کننده شبکه میباشد .در این ناحیه شبکه به پایان میرسد و اینترنت اغاز میشود پیرامون شامل یک یا چند فایروال و مجموعه ای از سرورهای به شدت کنترول شده که در بخشی از پیرامون قرار دارندبعنوان DMZ Demilitarized Zone شناخته میشوند . DMZمعمولا وب سرور ، مدخل ایمیل ها انتی ویروس ها شبکه و سرور های DNS را در بر میگیرد که باید در معرض اینترنت باشند . فایروال قوانین سفت و سختی در مورد اینکه چه چیزی وارد شبکه بشود و چگونه سرورها در DMZ میتوانند با اینترنت و شبکه داخلی تعامل داشته باشند را دارد . تکنولوژی زیر امنیت را در پیرامون شبکه ایجاد میکند : فایروال – معمولا یک فایروال روی سروری نصب میگردد که به بیرون و درون پیرامون شبکه متصل میباشد . فایروال سه عمل اصلی را انجام میدهد: 1 . کنترول ترافیک 2 . تبدیل ادرس 3 . نقطه پایانی وی پی ان . فایروال کنترول ترافیک را با سنجیدن مبدا و مقصد تمام ترافیک وارد شده و خارج شده انجام میدهد و تضمین میکند که تنها تقاضای مجاز اجازه عبور دارند بعلاوه فایروال به شبکه امن در تبدیل ادرسهای ipداخلی به ادرش های قابل رویت در اینترنت کمک میکند . این کار از افشای اطلاعات مهم درباره ساختار شبکه تحت پوشش فایروال جلوگیری میکند و به عنوان نقطه پایانی تونل وی پی ان عمل میکند انتی ویروس شبکه – این نرم افزار در DMZ نصب میشود و محتوای ایمیل های وارد شده و خارج شده را با پایگاه داده ای از مشخصات ویروس های شناخته شده مقایسه میکند . این انتی ویروس ها ایمیل های الوده SPAM را بلاک کرده و به مدیران شبکه خبر میدهد . انتی ویروس شبکه مکملی برای حفاظت ضد ویروسی است که در سرور ایمیل و کامپیوتر های مجزا صورت میگیرد

  6. وی پی ان - یک شبکه اختصاصی مجازی وی پی ان از رمزنگاری سطح بالایی برای ایجاد ارتباط امن بین ابزار دور از یکدیگر مانند لپ تاپ ها و شبکه های مقصد استفاده میکنند .وی پی ان اساسا یک تونل رمز نگاری شده تقریبا با امنیت و محرمانگی یک شبکه اختصاصی اما از میان اینترنت ایجاد میکند این تونل وی پی ان میتواند در یک مسیریاب بر پایه وی پی ان فایروال با یک سرور در ناحیه DMZ پایان پذیرد . برقراری ارتباط وی پی ان برای تمام بخش های دور و بیسیم شبکه یک عمل مهم است که نسبتا اسان و ارزان پیاده سازی میشود . مزایا و معایب : تکنولوژی ایجاد شده سطح پیرامون سال هاست که مورد استفاده قرار میگیرد و از نظر اقتصادی مغلوم به صرفه میباشد اما درای معایبی هم دارد ، از انجا که این سیستم پایه ای است بیشتر هکرها روی ان متمرکز شده و راه های مختلفی را در جهت دور زدن این امنیت پیدا کرده اند

  7. لایه امنیت شبکه سطح شبکه در مدل امنیت لایه بندی شده به wan ,lanداخلی شما اشاره دارد . شبکه داخلی شما ممکن است شامل چند کامیپوتر و سرور و یا شاید پیچیده تر یعنی شامل اتصالات نقطه به نقطه به دفترهای کار دور باشد بیشتر شبکه های امروزی در ورای پیرامون باز هستند یعنی هنگامی که داخل شبکه قرار دارید میتوانید به راحتی در میان شبکه حرکت کنید . تکنولوژی ذیل امنیت را در سطح شبکه برقرارمیکنند : ids ها (سیستم تشخیص نفوز ) و ipsها (سیستم جلوگیری از نفوز ) : تکنولوژی ids و ispترافیک گذرنده در شبکه شما را با جزئیات بیشتر نسبت به فایروال ها تحلیل میکنند . مشابه سیستم انتی ویروس ابزارهای ids , ipsترافیک را تحلیل و هر بسته اطلاعات را با پایگاه داده ای از مشخصات حملات شناخته مقایسه میکنند . هنگامی که حملات تشخیص داده میشود این ابزار وارد عمل شده . ابزارهای ids مسوولین it را از وقوع یک حمله مطلع میکند ابزارهای ipsیک گام جلوتر رفته و به طور خودکار ترافیک اسیب رسان را مسدود میکند .ids ها و ipsها مشخصات مشترک زیادی دارند در حقیقت بیشتر ipsها در هسته خود یک ids دارند تفاوت کلیدی بین این دو تکنولوژی ها از نام انها استنباط میشود و محصولات ids تنها ترافیک اسیب رسان را تشخیص میدهند در حالیکه محصولات ipsاز ورود چنین ترافیکی به شبکه شما جلوگیری میکنند . مدیریت اسیب پذیری – سیستم های مدیریت اسیب پذیری دو عملکرد مرتبط را انجام میدهند : شبکه را برای اسیب پذیری ها پیمایش میکنند و روند مرمت اسیب پذیری یافته شده را مدیریت میکنند در گذشته این تکنولوژی va (تخمین اسیب پذیری ) نامیده میشود اما این تکنولوژی اصلاح شده است و بیشتر سیستم های موجود عملی بیش از vaانجام میدهند . سیستم مدیریت اسیب پذیر تمام راهای نفوز را پجستجو میکند انها پایگاهای داده ای data base از قوانین را نگه داری میکنند که اسیب پذیری شناخته شده را خود جای میدهد . این سیستم روند باسازی را مدیریت میکند

  8. تابعیت امنیتی کاربر انتهایی – روش های تابعیت امنیتی کاربر انتهایی تضمین میکنند کاربران انتهایی استانداردهای امنیتی تعریف شده را از قبل اینکه اجازه دسترسی به شبکه داشته باشد از شبکه محافظت میکنند این عمل جلوی حمله به شبکه از داخل خود شبکه را از طریق سیستم های ناامن کارمندان و ابزارهای وی پی ان, rasمیگیرد . روشهای امنیت نقاط اتهایی بر اساس ازمایش هایی که روی سیستم های که قصد اتصال دارند انجام میدهند ، اجازه دسترسی میدهند . کنترول دسترسی / تایید هویت – کنترول دسترسی نیازمند تایید هویت کاربرانی است که به شبکه شما دسترسی دارند . کاربران و ابزارها باید با ابزارهای کنترول دسترسی کنترول شوند در ایتجا باید گفت میان طرح های کنترول دسترسی بین لایه های مختلف همپوشانی قابل توجهی وجود دارد . معمولا تراکنش های تایید هویت در مقابل دید کاربر اتفاق میافتد اما به خاطر داشته باشد که کنترول دسترسی و تایید هویت مراحل پیچیده هستند که برای ایجاد بیشترین میزان امنیت در شبکه باید به دقت مدیریت شوند. مزایا : تکنولوژی های ids,ipsو مدیریت اسیب پذیری تحلیل های پیچیده ای روی تهدیدهای و اسیب پذیری های شبکه انجام میدهند . در حالیکه فایروال به ترافیک بر پایه مقصد نهیی ان اجازه عبور می دهند ابزار ipsو ids تجزیه و تحلیل عمیق تری را بر عهده دارند بنابراین سطح بالاتری را از امنیت را ارائه میدهند . سیستم های مدیریت اسیب پذیری روند بررسی هایی به صورت دستی با تناوب مورد نیاز برای تضمین امنیت تا حدودی زیادی غیر عملی خواهد بود بعلاوه شبکه ساختار پویایی دارد . روش تابعیت امنیتی کاربران انتهایی به سازمان ها سطح بالاتری از کنترول بر روی ابزاری را میدهد که به صورت دستی کنترول کمی بر روی انها باشند . معایب : ids تمایل به تولید تعداد زیادی علائم هشدار غلط دارند که به عنوان false positives نیز شناخته میشوند در حالیکه ids ممکن است که یک حمله را کشف و به اطلاع شما برسانند . مدیران ids ممکن است به سرعت حساسیت خود را نسبت به اطلاعات تولید شده توسط از دست بدهند برای تاثیر گذاری بالا یک ids باید بصورت پیوسته بررسی شود و برای الگوهای مورد استفاده و اسیب پذیری های کشف شده در محیط شما تنظیم گردد . سطح خودکار ipsها میتواند میزان زیادی در میان محصولات متفاوت باشد بسیاری از انها باید با دقت پیکربندی و مدیریت شوند تا مشخصات الگوهای ترافیک شبکه ای را که در ان نصب شده اند منعکس کنند .

  9. لایه امنیت میزبان سطح میزبان در مدل امنیت لایه بندی شده مربوط به ابزارمنفرد مانند سرورها کامپیوتر های شخصی ، سوئیچ ها ، روتر ها ، و غیره در شبکه است .هر ابزار تعدادی پارامتر قابل تنظیم دارد و هنگامی که به نادرستی تنظیم شوند میتوانند سوراخ های امنیتی نفوز پذیری ایجاد کنند . این پارامتر شامل تنظیمات رجیستری ، سرویس ها ، توابع عملیاتی روی خود ابزار یا وصله های سیستم های عامل یا نرم افزاری مهم میشود . تکنولوژی های زیر امنیت را در سطح میزبان فراهم میکنند : ids در سطح میزبان – ids های سطح میزبان عملیاتی مشابه ids های شبکه انجام میدهند ، تفاوت اصلی در نمایش ترافیک در یک ابزار شبکه به تنهایی است . Ids های سطح میزبان برای مشخصات عملیاتی بخصوص از ابزار میزبان تنظیم میگردند و بنابراین اگر به درستی مدیریت شوند درجه بالایی از مراقبت را فراهم میکنند . va (تخمین اسیب پذیری ) سطح میزبان – ابزارهای va سطح میزبان یک ابزار شبکه مجزا را برای اسیب پذیری های امنیتی پویش میکنند . دارای دقت بالایی میباشد و از انجایی که va ها بطور مشخص برای ابزار میزبان پیکربندی میشوند . تابعیت امنیتی کاربر انتهایی – روش های تابعیت امنیتی کاربر اتهایی وظیفه دوچندانی ایفا میکند و هم شبکه و هم میزبان های جداگانه را محافظت میکند . این روش ها بطور پیوسته میزبان را برای عملیات زیان رسان و الودگی ها بررسی میکنند و همچنین به نصب و به روز بودن فایروال ها و انتی ویروس ها رسیدگی میکنند . انتی ویروس – هنگامی که انتی ویروس های مشخص شده برای ابزار در کنار انتی ویروس های شبکه استفاده میشوند لایه اضافه ای برای محافظت فراهم میکنند . کنترول دسترسی / تصدیق هویت – ابزار کنترول دسترسی در سطح ابزار یک روش مناسب است که تضمین میکند دسترسی به ابزار تنها توسط کاربران مجاز صورت پذیرد . در اینجا احتمال سطح بالایی از تراکنش بین ابزار کنترول دسترسی شبکه و کنترول دسترسی میزبان وجود دارد .

  10. لایه امنیت دیتا امنیت سطح دیتا ترکیبی از سیاست امنیتی و رمزنگاری را دربر میگیرد ، رمزنگاری دیتا هنگامی که ذخیره میشود و یا در شبکه شما حرکت میکند به عنوان روشی بسیار مناسب توصیه میشود زیرا چنانچه تمام ابزارهای امنیتی دیگر از کارها بیفتد یک طرح رمزنگاری قوی دیتای مختص شما را محافظت میکند . تکنولوژی زیر امنیت در سطح دیتا را فراهم میکند : رمزنگاری – طرح های رمزنگاری دیتا در سطوح دیتا ، برنامه و سیستم عامل پیاده میشود . تقریبا تمام طرح ها شامل کلید های رمزنگاری / رمزگشایی هستند که تمام افرادی که به دیتا دسترسی دارند باید داشته باشند . استراتژی های رمزنگاری معمول شامل pki,pgp,rsaهستند کنترول دسترسی / تصدیق هویت – مانند تصدیق هویت سطوح شبکه میزبان و برنامه تنها کابران مجاز دسترسی به دیتا خواهد داشت .

  11. جمع بندی : دفاع در مقابل تهدیدها و حملات معمول قسمت گذشته نشان میدهد که چگونه رویکرد امنیت لایه بندی شده در مقابل تهدیدها و حملات معمول از شبکه حفاظت میکند و نشان میدهد که چگونه هر سطح با داشتن نقشی کلیدی در برقراری امنیت شبکه جامع و موثر شرکت میکند . برخی حملات معمول شامل موار زیر می باشد : حملات به وب سرور – حملات به وب سرور دامنه زیادی از مشکلاتی را که تقریبا برای هر وب سرور ایجاد میشود در بر میگیرد از دستکاری های ساده در صفحات گرفته تا در اختیار گرفتن سیستم از راه دور و تا حملات dos امروزه حملات به وب سرور یکی از معمول ترین حملات هستند . Code rd , nimdaبه عنوان حمله کنندگان به وب سرورها از شهرت زیادی برخوردارند . بازپخش ایمیل ها بصورت نامجاز – سرورهای ایمیلی که به صورت مناسب پیکربندی نشده اند یک دلیل عمده برای ارسال هرزنامه بشمار میروند بسیاری از شرکت های هرزنامه ساز در پیدا کردن ایت سرورها و ارسال صدها و هزاران پیام هرزنامه به این سرورها متخصص هستند . دستکاری میزبان دور در سطح سیستم – تعدادی از اسیب پذیری ها یک سیستم را از راه دور در اختیار حمله کننده قرار میدهند بیشتر ایت نوع کنترول در سطح سیستم است و به حمله کننده اختیاراتی بابر با مدیر محلی سیستم میدهد . فراهم بودن سرویس های اینترنتی غیر مجاز – توانایی اسان بکارگیری یک وب سرور یا سرویس اینترنتی دیگر روی یک کامپیوتر ریسک افشای سهوی اطلاعات را بالا میبرند اغلب چنین سرویس هایی کشف نمیشوند در حالی که در شعاع رادار دیگران قرار میگیرند . تشخیص فعالیت ویروسی – در حالی که برنامه ضد ویروسی در تشخیص ویروس ها مهارت دارد این نرم افزار برای تشخیص فعالیت ویروسی طراحی نشده اند در این شرایط بکارگیری یک برنامه تشخیص نفوز یا ids شبکه برای تشخیص این نوع فعالیت بسیار مناسب است .

  12. مقدمه ای بر تشخیص نفوز intrusion detection تشخیص نفوز عبارت است از پردازه تشخیص تلاش های که جهت دسترسی غیر مجاز به یک شبکه یا کاهش کارایی ان انجام میشود .در تشخیص نفوز باید ابتدا درک صحیحی از چگونگی انجام حملات پیدا کرد . سپس بنابر درک بدست امده روشی دو مرحله ای را برای متوقف کردن حملات حملات برگزید اول این که مطمئن شوید که الگوی عمومی فعالیتهای خطرناک تشخیص داداه شده است . دوم اینکه اطمینان حاصل کنید که با حوادث مشخصی که در طبقه بندی مشترک حملات نمی گنجند به سرعت رفتار میشوند . به همین دلیل است که بیشتر سیستم های تشخیص نفوز ids بر مکانیزم هایی جهت بروزرسانی نرم افزارشان متکی هستند که جهت جلوگیری از تهدیدات شبکه به اندازه کافی سریع هستند البته تشخیص نفوز به تنهایی کافی نیست و باید مسیر حمله را تا هکر دنبال کند تا بتواند به شیوه مناسبی با وی نیز برخورد کرد . انواع حملات شبکه ای با توجه به طریقه حمله یک نفوذ به شبکه معمولا یک حمله قلمداد میشود . حملات شبکه ای را میتوان بسته به چگونگی انجام ان به دو گروه اصلی تقسیم کرد یک حمله شبکه ای را میتوان با هدف نفوذگر از حمله توصیف و مشخص کرد این اهداف معمولا از کار انداختن سرویس dos یا denial of service یا دسترسی غیر مجاز به منابع شبکه است . حملات از کار انداختن سرویس در این نوع حملات هکر استفاده از سرویس ارائه شده توسط ارائه کننده خدمات برای کاربرانش را مختل میکند در این حملات حجم بالایی از درخواست ارائه خدمات به سرور فرستاده میشود تا امکان خدمات رسانی را از ان بگیرد در واقع سرور به پاسخگویی به در خواستهای بی شمار هکر مشعول مشود و از پاسخگویی به کاربران واقعی باز می ماند .

  13. حملات دسترسی شبکه در این نوع از حملات نفوذگر امکان دسترسی غیر مجاز به منابع شبکه را پیدا میکند و از این امکان برای انجام فعالیتهای غیر مجاز و حتی غیر قانونی استفاده میکند . برای مثال از شبکه به عنوان مبدا حملات DOS خود استفاده میکند تا در صورت شناسایی مبدا ، خود گرفتار نشود . دسترسی به شبکه را میتوان به دو گروه تقسیم کرد : دسترسی به داده – در این نوع دسترسی ، نفوذگر به داده موجود بر روی اجزا شبکه دسترسی غیر مجاز پیدا میکند . حمله کننده میتواند یک کاربر داخلی یا یک فرد خارج از مجموعه باشد . داداه های ممتاز و هم معمولا تنها در اختیار بعضی کاربران شبکه قرار میگیرند سایرین حق دسترسی به انها را ندارند در واقع سایرین امتیاز کافی را جهت دسترسی به اطلاغات محرمانه ندارند اما میتوان با افزایش امتیاز به شکل غیر مجاز به اطلاعات محرمانه دسترسی پیدا کرد ، این روش تعدیل امتیاز یا PRIVILEGE ESCALATION مشهور است . دسترسی به سیستم – این نوع حمله خطرناک تر و بدتر است و طی ان حمله کننده به منابع سیستم و دستگاها دسترسی پیدا میکند. این دسترسی میتواند شامل اجرای برنامه ها بر روی سیستم و به کارگیری منابع ان در جهت اجرای دستورات حمله کننده باشد . همچنین حمله کننده میتواند به تجهیزات شبکه مانند دوربین ها ، پرینترها و وسایل ذخیره سازی دسترسی پیدا کند حملات اسب تروا ها ، BRUTE FORCE و یا استفاده از ابزارهایی جهت تشخیص نقاط ضعف یک نرم افزار نصب شده بر روی سیستم از جمله نمونه های قابل ذکر از این نوع حملات هستند فعالیت مهمی که معمولا پیش از حملات DOS و دسترسی به شبکه انجام میشود شناسایی یا RECONNAISSANCE است . یک حمله کننده از این فاز جهت افتادن حفره های امنیتی و نقاط ضعف شبکه استفاده میکند . این کار میتواند به کمک بعضی ابزارها اماده انجام پذیرد که به بررسی پورتها رایانه های موجود بر روی شبکه میپردازد و امادگی انها را جهت انجام حملات مختلف بر روی انها بررسی میکنند .

  14. انواع حملات شبکه ای با توجه به حمله کنندهحملات شبکه ای را میتوان با توجه به حمله کننده به چهار گروه تقسیم کرد :1 – حملات انجام شده توسط کاربر مورد اعتماد – داخلی - : این حمله یکی از مهمترین و خطرناکترین نوع حملات است ، چون از یک طرف کاربر به منابع مختلف شبکه دسترسی دارد و از طرف دیگر سیاست های امنیتی معمولا محدودیتهای کافی درباره این کاربران اعمال نمیکنند .2 – حملات انجام شده توسط افراد غیر معتمد – خارجی - : این معمولترین نوع حمله است که یک کاربر خارجی که مورد اعتماد نیست شبکه را مورد حمله قرار می دهد . این افراد معمولا سخت ترین راه را در پیش دارند زیرا بیشتر سیاست های امنیتی درباره این افراد تنظیم شده اند .3 – حملات انجام شده توسط هکرهای بی تجربه : بسیاری از ابزارهای حمله و نفوز بر روی اینترنت وجود دارند . در واقع بسیاری از افراد میتوانند بدون تجربه خاصی و تنها با اتفاده از ابزارهای اماده برای شبکه ایجاد مشکل کنند .4 – حملات انجام شده توسط کاربران مجرب : هکرهای باتجربه و حرفه ای در نوشتن انواع کدهای مخرب متبحرند . انها از شبکه و پروتکل های ان و همچنین از انواع سیستم های عمل اگاهی کامل دارند معمولا این افراد ابزارهایی تولید میکنند که توسط گروه اول به کار گرفته میشود انها معمولا پیش از هر حمله اگاهی کافی درباره قربانی خود کسب میکنند .5 پردازش تشخیص نفوز – تا بحال با انواع حملات اشنا شدیم . حالا باید چگونگی شناسایی حملات و جلوگیری از انها را بشناسیم .

  15. امروزه دو روش اصلی برای تشخیص نفوز به شبکه ها مورد استفاده قرار میگیرد : ids مبتنی بر خلاف قاعده اماری ids مبتنی بر امضا یا تطبیق الگو روش اول مبتنی بر تعیین استانه انواع فعالیت ها بر روی شبکه است مثلا چند بار یک دستور مشخص توسط یک کاربر در یک تماس با یک میزبان host اجرا میشود لذا در صورت بروز یک نفوذ امکان تشخیص ان به علت خلاف معمول بودن ان وجود دارد اما بسیاری از حملات به گونه است که نمیتوان براحتی یا با کمک این روش انها را تشخیص داد .در واقع روشی که در بیشتر سیستمها تشخیص نفوذ به کار گرفته میشود ids مبتنی بر امضا یا تطبیق الگو است منظور از امضا مجموعه قواعدی است که یک حمله در حال انجام را تشخیص میدهد . دستگاهی که قرار است نفوذ را تشخیص دهد با مجموعه ای از قواعد بارگزاری میشود هر امضا دارای اطلاعاتی است که نشان میدهد در داده های در حال عبور باید به دنبال چه فعالیتهایی گشت . هرگاه ترافیک در حال عبور با الگوی موجود در امضا تطبیق کند ، پیغام اخطار تولید میشود و مدیر شبکه را از وقوع یک نفوذ اگاه میکند در بسیاری از موارد ids علاوه بر اگاه کردن مدیر شبکه با کمک فایروال و انجام عملیات کنترول دسترسی با نفوذ بیشتر مقابله میکند .

  16. مقایسه تشخیص نفوذ و پیش گیری از نفوذ ایده پیش گیری از نفوذ این است کخ تمام حملات علیه هر بخش از محیط محافظت شده توسط روشهای به کار گرفته شده ناکام بماند . این روش میتوانند تمام بسته های شبکه را بگیرد و نیت انها را مشخص کند – ایا هرکدام یک حمله هستند یا یک استفاده قانونی – سپس عمل مناسب را انجام دهند .تفاوت شکلی تشخیص با پیش گیری در ضاهر روشهای تشخیص نفوذ و پیشگیری از نفوذ رقیب هستند به هر حال انها لیست بالایی از عملکردهای مشابه مانند بررسی بسته داده تحلیل با توجه به حفظ وضعیت ، گرداوری بخش های tcp ، ارزیابی پروتکل و تطبیق امضا دارند . اما این قابلیت ها به عنوان ابزاری برای رسیدن به اهداف متفاوت و در این دو روش به کار گرفته میشود . یک ips intrusion prevention systemیا سیستم پیش گیری مانند یک محافظ امنیتی در مداخل یک اجتماع اختصاصی عمل میکند که بر پایه بعضی گواهی ها و قوانین یا سیاست های از پپیش تعیین شده اجازه عبور میدهد . یک ids intrusion detection system یا سیستم تشخیص مانند یک اتومبیل گشت زنی در میان اجتماع عمل میکند که فعالیت ها را به نمایش میگذارد و دنبال موقعیت های غیر عادی میگردد . بدون توجه به قدرت امنیت در مداخل گشت زنها به کار خود در سیستم ادامه میدهند و بررسی های خود را انجام میدهند .

  17. تشخیص نفوذ هدف از تشخیص نفوذ بررسی و ارائه گزارش از فعالیت های شبکه است . این سیستم روی بسته های داده که از ابزار کنترول دسترسی عبور کرده اند عمل میکند . به دلیل وجود محدویت های اطمینان پذیری تهدید های داخلی و وجود شک و تردید مورد نیاز پیش گیری از نفوز باید به بعضی از موارد مشک.ک به حمله اجازه عبور میدهد تا احتمال تشخیص های غلط positive false کاهش یابد . از طرف دیگر روش ها IDS با هوشمندی همراه هستند و از تکنیک های مختلفی برای تشخیص حملات بالقوه نفوز ها و سو استفاده بهره میگیرد یک IDS معمولا به گونه ای از پهنای باند استفاده میکند که میتواند بدون تاثیر گذاشتن روی معماری محاسباتی و شبکه های به کار خود ادامه دهد طبیعت منفعل IDS ان چیزی است که قدرت هدایت تحلیل هوشمند جریان بسته های را ایجاد میکند همین امر IDS را در جایگاه خوبی برای تشخیص موارد زیر قرار میدهد : 1.حملات شناخته شده از طریق امظا ها و قوانین 2.تغییرات در حجم و جهت ترافیک با ایتفاده از قواین پچیدده و تحلیل اماری 3.تغییرات الگوی ترافیک ارتباطی با اتفاده از تحلیل جریان 4.تشخیص فعالیت های غیر عادی با استفاده از تحلیل انحراف معیار 5.تشخیص فعالیت مشکوک با استفاده از تکنیک های اماری تحلیل جریان و تشخیص خلاف قاعده بعضی از حملات تا در درجه ای از یقین بسختی قابل تشخیص هستند و بیشتر انها میتوانند توسط روش های که دارای طبیعت غیر قطغی هستند تشخیص داداه شوند . یعین این روش برای تصمیم گیری مسدود سازی بر اساس سیاست مناسب نیستند

  18. حملات DOSشاید تا حالا شنیده باشید که یک وب سایت مورد تهاجمی از نوع DOS قرار گرفته است این نوع از حملات صرفا متوجه وب سایت ها نبوده و ممکن است شما قربانی بعدی باشد . تشکیل حملات DOS از طریق عملیات متداول شبکه امری مشکل است ولی با مشاهده برخی علائم در یک شبکه و یا کامپیوتر میتوان از میزان پیشرفت این نوع از حملات اگاهی یافت حملات از نوع DOS DENIAL – OF – SERVICEدر این تهاجم از نوع DOS یک مهاجم باعث ممانعت دستیابی کاربران تائید نشده و به اطلاعات و یا سرویس های خاصی مینماید . یک مهاجم با هدف قرار دادن کامپیوتر شما و اتصال شبکه ای انها و یا کامپیوتر ها و شبکه ای از سایت هائی که شما قصد استفاده از انها را دارید باعث سلب دستیابی شما به سایت های EMAIL ، وب سایت ها ، ACCOUNT های ONLINE و سایر سرویس های ارائه شده بر روی کامپیوترهای سرویس دهنده میگرددمتداول ترین و مشهور ترین نوع حملات DOS زمانی محقق مییگردد که یک مهاجم اقدام به ایجاد یک سیلاب اطلاعاتی در یک شبکه نماید زمانی که شما ادرس URL یک وب سایت خاص را را از طریق مرورگر خود تایپ میکنید درخواست شما برای سرویس دهنده ارسال میگردد . سرویس دهنده در هر لحظه قادر به پاسخگویی به حجم محدودی از درخواست ها میباشد بنابراین اگر یک مهاجم با ارسال درخواستهای متعدد و سیلاب گونه باعث افزایش حجم عملیات سرویس دهنده گردد قطعا امکان پردازش درخواست شما برای سرویس دهنده وجود نخواهد داشت حملات فوق از نوع DOS میباشد چراکه امکان دستیابی شما به سایت مورد نظر سلب شده است یک مهاجم میتواند با ارسال پیام های الکترونیکی ناخواسته که از انان با نام SPAM یاد میشود حملات مشابهی را متوجه سرویس دهنده پست الکترونیکی نماید . هر ACCOUNT پست الترونیکی دارای ظرفیت محدودی میباشند پس از تکمیل ظرفیت فوق عملا امکان ارسال EMAIL دیگری به ACCOUNT فوق وجود نخواهد داشت . مهاجمان با ارسال نامه های الکترونیکی ناخواسته سعی مینمایند که ظرفیط ACCOUNT مورد نظر را تکمیل و عملا امکان دریافت EMAIL های معتبر ACCOUNT فوق سلب میشود .

  19. حملات از نوع (DDOS ( DISTRIBUTED DENIAL – OF – SERVICEدر این تهاجم از نوع DDOS یک تهاجم ممکن است از کامپیوتر شما برای تهاجم بر علیه کامپیوتر دیگری استفاده نماید . مهاجمان با استفاده از نقاط اسیپ پذیر و یا ضعف امینتی موجود بر روی سیستم شما میتواند کنترول کامپیوتر شما را بدست گرفته و در ادامه از ان به منظور انجام عملیات مخرب خود استفاده نماییند . ارسال حجم بسیار بالائی داداه از طریق کامپیوتر شما برای یک وب سایت و یا ارسال نامه های الکترونیکی ناخواسته برای ادرس های EMAIL خاصی نمونه هائی از همکارای کامپیوتر در بروز یک تهاجم DDOS میباشد حملات فوق توزیع شده میباشد چراکه مهاجم از چندین کامپیوتر به منظور اجرای یک تهاجم DOS استفاده مینمایند .نحوه پیشگیری از حملاتمتاسفانه روش موثری به منظور پیشگیری در مقابل یک تهاجم DOS و یا DDOS وجود ندارد علیرغم موضوع فوق میتوان با رعایت برخی نکات و انجام عملیات پیشگیری احتمال بروز چنین حملاتی ( استفاده از کامپیوتر شما برای تهاجم بر علیه سایر کامپیوتر ها ) را کاهش داد .نصب و نگهداری نرم افزار انتی ویروس نصب و پیکربندی یک فایروالتبعیت از مجموعه سیاست های خاصی در خصوص توزیع و ارائه ادرس EMAIL خود به دیگرانچگونه از وقوع حملات DOS و یا DDOS اگاه شویم ؟خرابی و یا بروز اشکال در یک سیستم شبکه همواره بدلیل بروز یک تهاجم DOS نمیباشد در این رابطه ممکن است دلایل متعددی فنی وجود داشته و یا مدیر شبکه به منظور انجام عملیات نگهداری موقتا برخی سرویس ها را غیر فعال کرده باشد .وجود و یا مشاهده علائم زیر میتواند نشان دهنده بروز یک تهاجم از نوع DOS و یا DDOS باشد :کاهش سرعت و یا کارائی شبکه بطرز غیر معمول ( در زمان باز نمودن فایل ها و یا دستیابی به وب سایتها )عدم در دسترس بودن یک سایت خاص ( بدون دلیل فنی )عدم امکان دستیابی به هر سایتی ( بدون وجود دلیل فنی )افزایش محسوس حجم نامه های الکترونیکی ناخواسته دریافتی

  20. عدم پذیرش سرویس :قصد داریم تا طی چند قسمت با نوعی از حمله به نام dos اشنا شویم که مخفف عبارت denial of service یا عدم پذیرش سرویس میباشد . همانطور که در روش های معمول حمله به کامپیوتر ها اشاره مختصری شد این نوع حمله باعث از کارافتادن یا مشغول شدن بیش از اندازه کامپیوتر میشود تا حدی که غیر قابل استفاده شود در بیشتر موارد حفره های امنیتی محل انجام این حملات است که لذا نصب اخرین وصله های امنیتی از حمله جلوگیری میکند . علاوه بر اینکه کامپیوتر شما هدف یک حمله dos قرار میگیرد ممکن است که در حمله dos علیه یک سیستم دیگر نیز شرکت داده شود . نفوزگران با ایجاد ترافیک بی مورد و بی استفاده باعث میشود که حجم زیادی از منابع سرویس دهنده و پهنای باند شبکه مصرف یا به نوعی درگیر رسیدگی به این تقاضاهای بی مورد شود و این تقاضا تا جایی که دستگاه سرویس دهنده را به زانو در اورد ادامه پیدا میکند . نیت اولیه و تاثیر حملات dos جلوگیری از استفاده صحیح از منابع کامپیوتری و شبکه ای و از بین بردن این منابع است . علیرغم تلاش و منابعی که برای ایمن سازی علیه نفوز و خرابکاری مصرف گشته است سیستم های متصل به اینترنت با تهدیدی واقعی و مداوم به نام حملات dos مواجه هستند این امر بدلیل دو مشخصه اساسی اینترنت است :منابع تشکیل دهنده اینترنت به نوعی محدود و مصرف شدنی هستند .زیر ساخت سیستم ها و شبکه های بهم متصل که اینترنت را میسازد کاملا از منابع محدود تشکیل شده است . پهنای باند قدرت پردازش و ظرفیت های ذخیره سازی همگی محدود و هدف های معمول dos هستند مهاجمان با انجام این حملات سعی میکنند با مصرف کردن مقدار قابل توجهی از منابع در دسترس باعث قطع میزانی از سرویس ها میشود . وفور منابعی که به درستی طراحی و استفاده شده اند ممکن است عاملی برای کاهش میزان تاثیر یک حمله dos باشد اما شیوه های و ابزار امروزی حمله حتی در کارکرد فروان ترین منابع نیز اختلال ایجاد میکند .

  21. عدم پذیرش سرویس – انواع حملات در قسمت قبلی با حمله DOS اشنا شدیم . از انجا که حملات طغیان بسته های دیتا معمولا تلاش میکنند منابع پهنای باند و پردازش را خلع سلاح کنند ، میزان بسته ها و حجم دیتای متناظر با رشته های بسته ها عواملی مهمی در تغیین درجه موفقیت حمله هستند .بعضی از ابزارهای حمله خواص بسته ها را در رشته بسته ها بدلایلی تغییر میدهند :ادرس IP منبع – در بعضی موارد یک ادرس IP منبع نا صحیح روشی که جعل IP نامیده میشود برای پنهان کردن منبع واقعی یک رشته بسته استفاده میشود در موارد دیگر جعل IP هنگامی استفاده میشود که رشته های بسته به یک یا تعداد بیشتری از سایت های واسطه فرستاده میشود تا باعث شود که پاسخ ها به سمت قربانی ارسال شود . مثال بعدی در مورد حملات افزایش بسته است مانند SMURF , FRAGGLE پورتهای منبع / مقصد – ابزار حمله طغیان بسته بر اساس TCP , UDP گاهی اوقات پورت منبع و یا مقصد را تغییر میدهند تا واکنشی توسط فیلتر کردن بسته را مشکل تر کنند .مقادیر IP HEADER دیگر – در نهایت در ابزار حمله DOS مشاهده کرده ایم که برای مقدار دهی تصادفی مقادیر HEADER هر بسته در رشته بسته طراحی شده اند که تنها ادرس IP مقصد است که بین بسته ها ثابت میماند .بسته ها با خواص ساختگی بسادگی در صوال شبکه تولید و ارسال میشود . پروتکل TCP/IP با اسانی مکانیزم های برای تضمین پیوستگی خواص بسته ها در هنگام تولید و یا ارسال نقطه به نقطه بسته ها ارائه نمیکند . معمولا یک نفوذگر فقط به داشتن اختیار کافی روی سیستم برای بکار گیری ابزار و حملاتی که قادر به تولید و ارسال بسته های با خواص تغییر یافته باشند نیاز دارد . ژوئن 1999 اغاز بکار گیری ابزار DOS با چندین منبع یا DDOS بود .

  22. روش های حمله DOSFraggle or Smurfحملات SMURF یکی از مخرب ترین حملات DOS هستند . در حمله SMURF حمله بر اساس ازدیاد بسته های ICMP نفوزگر یک تقاضای اکوی ICMP (PING) به یک ادرس ناحیه میفرستد . ادرس منبع تقاضای اکو ادرس IP قربانی است ( از ادرس IP قربانی بعنوان ادرس برگشت استفاده میشود ) بعد از دریافت تقاضای اکو تمام ماشین های ناحیه پاسخ های اکو را به ادرس IP قربانی میفرستد . در این حالت قربانی هنگام دریافت طغیان بسته های با اندازه بزرگ از تعداد زیادی ماشین از کار خواهد افتاد . حمله SMURF برای ازکار انداختن منابع شبکه سیستم قربانی ازروش مصرف پهنای باند استفاده میکند . این حمله این عمل را با استفاده از تقویت پهنای باند نفوزگران انجام میدهد . اگر شبکه تقویت کننده 100 ماشین دارد سیگنال میتواند 100 برابر شود و بنابراین حمله کننده با پهنای باند پایین ( مانند مودم 56 کیلوبایتی ) میتواند سیستم قربانی را با پهنای باند بیشتری مانند اتصال T1 از کار بندازد .حمله FRAGGLEتقویت بسته UDP در حقیقت شباهت هایی به حمله SMURF دارد . حمله FRAGGLE از بسته های اکوی UDF بر طبق همان روش بسته های اکوی ICMP در حمله SMURF استفاده میکند . FRAGGLE معمولا به ضریب تقویت کمتری نسبت به SMURF میرد و در بیشتر شبکه های اکوی UDP سرویسی با اهمیت کمتری نسبت به اکوی ICMP است بنابراین FRAGGLE عمومیت SMURF را ندارد .

  23. SYN Flood حمله طغیان SYN قبل از کشف حمله SMURF بعنوان مخرب ترین شیوه حمله DOS بشمار میرفت . این روش برای ایجاد حمله DOS بر اساس قحطی منابع عمل میکند .در طول برقراری یک ارتباط معمولی TCP سرویس گیرنده یک تقاضای SYN به سرویس دهنده میفرستد سپس سرور با یک ACK/SYN با کلاینت پاسخ میدهد در نهایت کلاینت یک ACK نهایی را به سرور ارسال میکند و این ترتیب ارتباط برقرار میشود .اما در حمله ظغیان SYN حمله کننده چند تقاضای SYN به سرور قربانی با ادرس های منبع جعلی بعنوان ادرس برگشت میفرستد . ادرس های جعلی روی شبکه وجود ندارد سرور قربانی سپس با ACK/SYN به ادرس های ناموجود پاسخ میدهد . از انجا که هیچ ادرسی این ACK/SYN را دریافت نمیکند سرور قربانی منتظر ACK از طرفکلاینت میماند . ACK هرگز نمیرسد و زمان انتظار سرور قربانی پس از مدتی پایان میرسد . اگر حمله کننده به اندازه کافی مرتب تقاضاهای SYN بفرستد منابع موجود سرور قربانی برای برقراری یک اتصال و انتظار برای این ACK های در حقیقت تقلبی مصرف خواهد شد . این منابع معمولا از نظر تعداد زیاد نیست . بنابر این تقاضاهای SYN جعلی حتی با تعداد نسبتا کم میتواند باعث وقوع یک حمله DOS شوند حملات DOS در نسخه اولیه BIND (Berkely Internet Name Domain) حمله کنندگان میتوانند بطور موثری حافظه نهان یک سرور DNS را که در حال استفاده از عملیات بازگشت برای جستجوی یک ناحیه بود که توسط این سرور سرویس داده نمیشود مسموم کنند . زمانی که حافظه نهان مسموم میشود یک کاربر قانونی به سمت شبکه مورد نظر حمله کننده با یک شبکه نا موجود هدایت میشود . این مشکل با نسخه های جدیدتر BIND برطرف شده است . در این روش حمله کننده اطلاعات اطلاعات DNS غلط که میتواند باعث تغییر مسیر درخواست ها شود ارسال میکند .حملات DDOS حملات DDOS (Distributed Denial Of Service ) حمله گسترده ای از dos میباشد در اصل DdOS حمله هماهنگ شده ای بر علیه سرویس موجود در اینترنت است . در این روش حملات Dos بطور غیر مستقیم از طریق تعداد زیادی از کامپیوتر های هک شده بر روی سیستم قربانی انجام میگیرد . سرویس ها و منابع مورد حمله قربانی اولیه و کامپیوتر های مورد استفاده در این حمله قربانی های ثانویه نامیده میشود حملات DDOS عموما در از کار انداختن سایت های کمپانی های عظیم از حملات DOS موثر تر هستند

  24. انواع حملات DDoSعموماً حملات DDoS به سه گروه Stecheldraht و TFN/TFN2K ،Trinoo تقسيم مي شوندTrinooدر اصل از برنامه هاي Master/Slave است که با يکديگر براي يک حمله طغيان UDP بر عليه کامپيوتر قرباني هماهنگ مي شوند. در يک روند عادي، مراحل زير براي برقراري يک شبکه Trinoo DDoS واقع مي شوند: مرحله ۱: حمله کننده، با استفاده از يک ميزبان هک شده، ليستي از سيستم هايي را که مي توانند هک شوند، گردآوري مي کند. بيشتر اين پروسه بصورت خودکار از طريق ميزبان هک شده انجام مي گيرد. اين ميزبان اطلاعاتي شامل نحوه يافتن ساير ميزبان ها براي هک در خود نگهداري مي کند. مرحله ۲: به محض اينکه اين ليست آماده شد، اسکريپت ها براي هک کردن و تبديل آنها به اربابان (Masters) يا شياطين (Daemons) اجراء مي شوند. يک ارباب مي تواند چند شيطان را کنترل کند. شياطين ميزبانان هک شده اي هستند که طغيان UDP اصلي را روي ماشين قرباني انجام مي دهند. مرحله ۳: حمله DDoS هنگامي که حمله کننده فرماني به ميزبانانMaster ارسال مي کند، انجام مي گيرد. اين اربابان به هر شيطاني دستور مي دهند که حمله DoS را عليه آدرس IP مشخص شده در فرمان آغاز کنند و با انجام تعداد زيادي حمله DoS يک حمله ddos شکل میگیرد .

  25. TFN/TFN2KTribal Flood Network) TFN) يا شبکه طغيان قبيله اي، مانند Trinoo در اصل يک حمله Master/Slave است که در آن براي طغيان SYN عليه سيستم قرباني هماهنگي صورت مي گيرد. شياطين TFN قادر به انجام حملات بسيار متنوع تري شامل طغيان ICMP طغيان SYN و حملات Smurf هستند، بنابراين TFN از حمله Trinoo پيچيده تر است.TFN2K نسبت به ابزار TFN اصلي چندين برتري و پيشرفت دارد. حملات TFN2K با استفاده از جعل آدرس هاي IP اجرا مي شوند که باعث کشف مشکل تر منبع حمله مي شود. حملاتTFN2K فقط طغيان ساده مانند TFN نيستند.آنها همچنين شامل حملاتي مي شوند که از شکاف هاي امنيتي سيستم عامل ها براي بسته هاي نامعتبرو ناقص سوءاستفاده مي کنند تا به اين ترتيب باعث از کار افتادن سيستم هاي قرباني شوند. حمله کنندگان TFN2K ديگر نيازي به اجراي فرمان ها با وارد شدن به ماشين هاي مخدوم (Client) ( به جای Master , TFN ) ندارند و مي توانند اين فرمان ها را از راه دور اجراء کنند.ارتباط بين Client ها و Daemon ها ديگر به پاسخ هاي اکوي ICMP محدود نمي شود و مي تواند روي واسط هاي مختلفي مانند TCP , UDP صورت گيرد. بنابراين TFN2K خطرناک تر و همچنين براي کشف کردن مشکل تر است Stacheldrahtکد Stacheldraht بسيار شبيه به TFN و Trinoo است، اما Stacheldraht اجازه مي دهد که ارتباط بين حمله کننده و Master ها (که در اين حمله Handler ناميده مي شوند) رمزنگاري شود؛ عامل ها مي توانند کد خود را بصورت خودکار ارتقاء دهند، مي توانند اقدام به انواع مختلفي از حملات مانند طغيان هايICMP طغيان هاي UDP و طغیان های SYN کنند

  26. دفاع عليه حملات Fraggle يا Smurfاگر در معرض حمله Smurf قرار گرفته باشيد، کار چنداني از شما ساخته نيست. هرچند که اين امکان وجود دارد که بسته هاي مهاجم را در روتر خارجي مسدود کنيد، اما پهناي باند منشاء آن روتر مسدود خواهد شد. براي اينکه فراهم کننده شبکه بالاسري شما، حملات را در مبداء مله مسدود کند، به هماهنگي نياز است. بمنظور جلوگيري از آغاز حمله از سايت خودتان، روتر خارجي را طوري پيکربندي کنيد که تمام بسته هاي خارج شونده را که آدرس مبداء متناقض با زيرشبکه شما دارند، مسدود کند. اگر بسته جعل شده نتواند خارج شود، نمي تواند آسيب چنداني برساند. براي جلوگيري از قرار گرفتن بعنوان يک واسطه و شرکت در حمله DoS شخص ديگر، روتر خود را طوري پيکربندي کنيد که بسته هايي را که مقصدشان تمام آدرس هاي شبکه شماست، مسدود کند. يعني، به بسته هاي ICMP منتشر شده به شبکه خود، اجازه عبور از روتر ندهيد.اين عمل به شما اجازه مي دهد که توانايي انجام ping به تمام سيستم هاي موجود در شبکه خود را حفظ کنيد، در حاليکه اجازه اين عمل را از يک سيستم بيروني بگيريد. اگر واقعاً نگران هستيد، مي توانيد سيستم هاي ميزبان خود را طوري پيکربندي کنيد که از انتشارهاي ICMP کاملاً جلوگيري کنند دفاع عليه حملات طغيان SYN بلاک هاي کوچک بجاي تخصيص يک شيء از نوع ارتباط کامل (که باعث اشغال فضاي زياد و نهايتاً اشکال در حافظه مي شود)، يک رکورد کوچک (micro-record) تخصيص دهيد. پياده سازي هاي جديدتر براي SYN هاي ورودي ، تنها ۱۶ بايت تخصيص مي دهد

  27. کوکي هاي SYN يک دفاع جديد عليه طغيان ( SYN کوکي هاي SYN ) است. در کوکي هاي SYN هر طرف ارتباط، شماره توالي (Sequence Number) خودش را دارد. در پاسخ به يک SYN سيستم مورد حمله واقع شده، يک شماره توالي مخصوص از ارتباط ايجاد مي کند که يک « کوکي » است و سپس همه چيز را فراموش مي کند يا بعبارتي از حافظه خارج مي کند (کوکي بعنوان مشخص کننده يکتاي يک تبادل يا مذاکره استفاده مي شود). کوکي در مورد ارتباط اطلاعات لازم را در بردارد، بنابراين بعدًا مي تواند هنگامي که بسته ها از يک ارتباط سالم مي آيند، مجددًا اطلاعات فراموش شده در مورد ارتباط را ايجاد کند.کوکي هاي RST جايگزيني براي کوکي هايSYN است، اما ممکن است با سيستم عامل هاي ويندوز 98 که پشت فايروال قرار دارند، مشکل ايجاد کند. روش مذکور به اين ترتيب است که سرور يک ACK/SYN اشتباه به کلاينت ارسال مي کند. کلاينت بايد يک بسته RST توليد کند تا به سرور بگويد که چيزي اشتباه است. در RST کلاينت بايد يک بسته اين نگام، سرور مي فهمد که کلاينت معتبر است و ارتباط ورودي از آن کلاينت را بطور طبيعي خواهد پذيرفت . پشته هاي (stack) هاي TCP بمنظور کاستن از تأثير طغيان هاي SYN مي توانند دستکاري شوند. معمول ترين مثال کاستن زمان انقضاء (timeout) قبل از اين است که پشته، فضاي تخصيص داده شده به يک ارتباط را آزاد کند. تکنيک ديگر قطع بعضي از ارتباطات بصورت انتخابي است.

  28. دفاع عليه حملات DNS دفاع از سرور اصلي (root server)پايگاه داده سرور اصلي کوچک است و بندرت تغيير مي کند. يک کپي کامل از پايگاه داده اصلي تهيه کنيد، روزي يک بار آپديت ها را چک کنيد و گاه و بيگاه بارگذاري هاي مجدد انجام دهيد. از سرورهاي اصلي با استفاده از آدرس هاي anycast استفاده کنيد (اين عمل باعث مي شود که سيستم ها در شبکه هاي با موقعيت هاي مختلف بعنوان يک سرور بنظر برسند.) دفاع از سازمان تاناگر سازمان شما يک اينترانت دارد، بايد دسترسي هاي جداگانه اي از DNS براي کاربران داخلي و مشتريان خارجي خود فراهم کنيد. اين عمل DNS داخلي را از حملات خارجي در امان نگاه مي دارد. ناحيه اصلي را کپي کنيد تا سازمان خود را از حملات DDoS آتي روي قسمت هاي اصلي محفوظ نگه داريد. همچنين به کپي کردن نواحي DNS از شرکاي تجاري خود که در خارج از شبکه شما قرار دارند، توجه کنيد. هنگامي که بروز رسان هاي DNS به روي اينترنت مي روند، مي توانند در هنگام انتقال مورد ربايش و دستکاري قرار گيرند. از TSIG ها (transaction signature) يا امضاهاي معاملاتي براي امضاي آن ها يا ارسال بروز رسان ها روي v p n (شبکه هاي خصوصي مجازي) يا ساير کانال ها استفاده کنيد.مقابله با حملات DDoSچگونه مي توانيد از سرورهاي خود در مقابل يورش ديتاهاي ارسالي از طرف کامپيوترهاي آلوده موجود در اينترنت مراقبت کنيد تا شبکه شرکت شما مختل نشود؟ در اينجا به چند روش بطور مختصر اشاره مي شود:سياه چالهاين روش تمام ترافيک را مسدود مي کند و به سمت سياه چاله! يعني جايي که بسته ها دور ريخته مي شود هدايت مي کند. اشکال در اين است که تمام ترافيک – چه خوب و چه بد- دور ريخته مي شود و در حقيقت شبکه مورد نظر صورت يک سيستم off-line قابل استفاده خواهد بود. در روش هاي اينچنين حتي اجازه دسترسي به کاربران قانوني نيز داده نمي شود.مسيرياب ها و فايروال هاروتر ها مي توانند طوري پيکربندي شوند که از حملات ساده ping با فيلترکردن پروتکل هاي غيرضروري جلوگيري کنند و مي توانند آدرس هاي IP نامعتبر را نيز متوقف کنند. بهرحال، روترها معمولاً در مقابل حمله جعل شده پيچيده تر و حملات در سطح Application با استفاده از آدرس هاي IP معتبر، بي تأثير هستند

  29. سيستم هاي کشف نفوذ روش هاي سيستم هاي کشف نفوذ (intrusion detection systems) توانايي هايي ايجاد مي کند که باعث تشخيص استفاده از پروتکل هاي معتبر بعنوان ابزار حمله مي شود. اين سيستمها مي توانند بهمراه فايروال ها بکار روند تا بتوانند بصورت خودکار در مواقع لزوم ترافيک را مسدود کنند. در بعضي مواقع سيستم تشخيص نفوذ نياز به تنظيم توسط افراد خبره امنيتي دارد و البته گاهي در تشخيص نفوذ دچار اشتباه مي شود.سرورهاپيکربندي مناسب application هاي سرويس دهنده در به حداقل رساندن تأثير حمله DDoS تأثير بسيار مهمي دارند. يک سرپرست شبکه مي تواند بوضوح مشخص کند که يک application از چه منابعي مي تواند استفاده کند و چگونه به تقاضاهاي کلاينت ها پاسخ دهد. سرورهاي بهينه سازي شده، در ترکيب با ابزار تخفيف دهنده، مي توانند هنوز شانس ادامه ارائه سرويس را در هنگامي که مورد حمله DDoS قرار مي گيرند، داشته باشند.ابزار تخفيف DDoSچندين شرکت ابزارهايي توليد مي کنند که براي ضدعفوني ! کردن ترافيک يا تخفيف حملات DDoS استفاده مي شوند که اين ابزار قبلاً بيشتر براي متعادل کردن بار شبکه يا فايروالينگ استفاده مي شد. اين ابزارها سطوح مختلفي از ميزان تأثير دارند. هيچکدام کامل نيستند. بعضي ترافيک قانوني را نيز متوقف مي کنند و بعضي ترافيک غيرقانوني نيز اجازه ورود به سرور پيدا مي کنند. زيرساخت سرور هنوز بايد مقاوم تر شود تا در تشخيص ترافيک درست از نادرست بهتر عمل کند.پهناي باند زياد خريد يا تهيه پهناي باند زياد يا شبکه هاي افزونه براي سروکار داشتن با مواقعي که ترافيک شدت مي يابد، مي تواند براي مقابله با DDoS مؤثر باشدعموماً، شرکت ها از قبل نمي دانند که يک حمله DDoS بوقوع خواهد پيوست. طبيعت يک حمله گاهي در ميان کار تغيير مي کند و به اين نياز دارد که شرکت بسرعت و بطور پيوسته در طي چند ساعت يا روز، واکنش نشان دهد. از آنجا که تأثير اوليه بيشتر حملات، مصرف کردن پهناي باند شبکه شماست، يک ارائه کننده سرويس هاي ميزبان روي اينترنت که بدرستي مديريت و تجهيز شده باشد، هم پهناي باند مناسب و هم ابزار لازم را در اختيار دارد تا بتواند تأثيرات يک حمله را تخفيف دهد.

  30. Title برای ورود به شبکه آموزشی دانشجویان کلیک کنید • Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Vivamus et magna. Fusce sed sem sed magna suscipit egestas. • Lorem ipsum dolor sit amet, consectetuer adipiscing elit. Vivamus et magna. Fusce sed sem sed magna suscipit egestas. برای عضویت در شبکه دانشجویان ایران عدد 1 را به شماره زیر پیامک کنید 100080809090 لطفا آدرس ما را به خاطر داشته باشید Madsg.com

More Related