گروه حمله خدمات – مهارت های تکنو ، حمله به خدمات انکار – تعریف و توضیحات

گروه حمله

-> پیوندهای تبلیغاتی : دزدان دریایی از لینک های تبلیغاتی برای بارگیری چکمه استفاده می کنند.

گروه حمله

انکار سرویس (بازگشت) حمله به رایانه یا شبکه ای است که از دسترسی منابع سیستم به کاربران مشروع خود جلوگیری می کند ، محدود می شود یا از آن جلوگیری می کند.

در حین حمله عقب ، مهاجمان با درخواست خدمات یا با ترافیک غیرقانونی ، سیستم قربانی را سیل کردند تا منابع خود را اضافه کنند. بنابراین حمله عقب دقیقاً منجر به عدم دسترسی به یک سرویس می شود.

2. حمله انکار توزیع شده چیست (DDOS) ?

حمله انکار سرویس توزیع شده (DDOS) حاکی از بسیاری از سیستم های سازش در حمله به یک هدف واحد است و باعث انکار سرویس برای کاربران سیستم هدف می شود.

برای حمله به DDOS ، یک مهاجم از چکمه ها برای حمله به یک سیستم واحد استفاده می کند.

3. تأثیرات حملات پشتی

حملات دپارتمان عواقب مضر بر سازمان های قربانی دارد. تأثیر حمله عقب می تواند به ساختار مربوطه منجر شود:

  • از دست دادن ارزش تجاری: کاربران خدمات ارائه شده دیگر اعتماد به نفس ندارند,
  • عدم تحرک شبکه: خدمات غیرقابل دسترسی هستند,
  • ضرر مالی: ممکن است افت گردش مالی وجود داشته باشد,
  • سازمان سازمان.

4. دسته های اساسی بردارهای حمله Back / DDOS

دسته اصلی بردارهای حمله Back یا DDOS به شرح زیر است:

  • حملات حجمی: آنها پهنای باند شبکه یا سرویس هدف را مصرف می کنند. این در بیت در ثانیه (BPS) با حملات سیل ، حملات تقویت (UDP ، ICMP ، پینگ مرگ ، Smurf) و غیره اندازه گیری می شود.
  • حملات پروتکل: آنها جداول حالت اتصال موجود در مؤلفه های زیرساخت های شبکه مانند ترازو بار ، بارها – آتش سوزی و برنامه های کاربردی را مصرف می کنند. این حمله در بسته های ثانیه اندازه گیری می شود (PPS).

مثال: SYN ، ACK ، TCP ، حمله به تکه تکه شدن و غیره.

  • حملات لایه برنامه : آنها منابع یا خدمات کاربردی مصرف می کنند ، بنابراین آنها را برای سایر کاربران مشروع در دسترس نمی دانند. در درخواست در ثانیه (RPS) اندازه گیری می شود.

مثال: http get / post حمله

دوم. تکنیک های حمله

1. حمله به سیل UDP

-> مهاجمی که بسته های UDP UDP را با بسته های بسیار بالایی از بسته ها ارسال می کند ، به یک میزبان از راه دور در درگاه های تصادفی یک سرور هدف با استفاده از طیف گسترده ای از آدرس های IP.

-> سیل بسته های UDP سرور را وادار می کند تا چندین بار برنامه های غیر موجود را در پورت های پورت ها تأیید کند.

-> برنامه های قانونی توسط سیستم غیرقابل دسترسی هستند و یک بسته پاسخ خطا را به عنوان یک پیام “مقصد غیرقابل دسترسی” باز می گردانند.

-> این حمله منابع شبکه و پهنای باند موجود را مصرف می کند و شبکه را تا زمانی که قطع نشود ، خسته می کند.

2. ICMP حمله به سیل

-> این نوعی حمله است که در آن مهاجمان تعداد زیادی از بسته های برنامه ECHO ICMP را به یک قربانی می فرستند.

-> در واقع سرپرستان شبکه از ICMP عمدتاً برای تنظیمات IP ، عیب یابی و پیام رسانی خطای بسته های غیر قابل انتخاب استفاده می کنند.

-> این بسته ها برای پاسخ به سیستم هدف اشاره می کنند و ترکیب ترافیک پهنای باند شبکه هدف را اشباع می کند. دومی بیش از حد بارگذاری می شود و پاسخ به درخواست های قانونی TCP / IP را متوقف می کند.

-> برای محافظت از خود در برابر حملات سیل ICMP ، می توان حد آستانه را تعریف کرد که در صورت فراتر از آن ، عملکرد محافظت در برابر حملات سیل ICMP را فراخوانی می کند.

3. مرگ پینگ

-> مهاجم سعی می کند با ارسال بسته های بزرگ با استفاده از یک دستور ساده پینگ ، سیستم یا سرویس هدف را کاشت ، بی ثبات یا یخ بزند.

-> اگر اندازه بسته بیش از حد اندازه تجویز شده توسط RFC791 IP (65535) باشد ، فرآیند تقویت می تواند سیستم را کاشت کند.

4. حمله Smurf

-> در این حمله ، مهاجم آدرس IP هدف را غصب می کند و حداکثر جریان بسته های اکو ICMP (پینگ) را به آدرس های پخش می فرستد ، یعنی به یک شبکه انتشار IP می گویند. هر پینگ شامل آدرس غصب رایانه هدف است.

-> میزبان شبکه پخش با درخواست های ECHO ICMP به دستگاه قربانی پاسخ می دهد ، که در نهایت باعث خرابی دستگاه خواهد شد.

5. سین سلاح های حمله به سیل

-> مهاجم تعداد زیادی درخواست SAN را با آدرس IP دروغین به قربانی ارسال می کند.

-> “سیل سین” در نحوه اجرای بیشتر میزبان مذاکرات TCP به سه مورد از یک نقص استفاده می کند.

-> هنگامی که قربانی درخواست SYN را دریافت می کند ، باید حداقل 75 ثانیه در یک “صف صف بندی” تا حدی در یک “صف صف” باز شود.

-> یک میزبان مخرب می تواند با ارسال چندین درخواست SYN به یک میزبان ، از اندازه کوچک صف گوش استفاده کند ، اما هرگز به SYN / ACK پاسخ نمی دهد.

-> صف گوش دادن قربانی به سرعت پر می شود.

-> نگه داشتن هر اتصال ناقص برای 75 ثانیه می تواند به عنوان انکار حمله سرویس استفاده شود.

6. حمله تکه تکه شدن

-> این حملات حاکی از انتقال بسته های کلاهبرداری UDP یا TCP است که از MTU (حداکثر واحد انتقال) شبکه (به طور کلی 1500 پوند بایت) بزرگتر است. این حمله توانایی یک قربانی در لذت بردن از بسته های تکه تکه شده را از بین می برد.

-> از آنجا که این بسته ها نادرست هستند و نمی توان آنها را به دست آورد ، منابع سرور هدف به سرعت مصرف می شوند که منجر به عدم دسترسی به سرور می شود.

7. حملات با HTTP درخواست های ارسال یا ارسال

-> حمله سیل HTTP از آنچه به نظر می رسد HTTP دریافت یا درخواست های قانونی برای حمله به سرور وب یا یک برنامه است ، استفاده می کند.

-> حمله HTTP با تأخیر در ارسال هدر HTTP برای حفظ اتصال HTTP و اگزوز منابع سرور وب انجام خواهد شد.

-> حمله HTTP Post با ارسال یک هدر کامل و یک بدنه ناقص می تواند انجام شود ، که سرور وب را ملزم می کند تا منتظر بماند تا بقیه بدن تا زمانی که منابع خسته نشود ، منتظر بماند.

8. حمله آهسته

-> Slowloris یک حمله DDOS DDOS است که از درخواست های جزئی HTTP برای باز کردن اتصالات بین یک رایانه واحد و یک سرور وب هدف استفاده می کند ، سپس این اتصالات را تا حد امکان باز نگه می دارد ، غوطه ور می شود و هدف را کاهش می دهد.

-> در نتیجه ، حداکثر استخر اتصالات همزمان سرور هدف تکمیل می شود و تلاش های اضافی برای اتصال رد می شود.

9. حمله چند منظوره

-> در یک حمله چند برچسب ، مهاجمان مجموعه ای از تهدیدات مانند حملات حجمی ، پروتکل و برنامه مستقر در بسیاری از مراحل ، در چندین نقطه ورود (بردارهای حمله) را برای آلوده کردن رایانه ها و شبکه ها ترکیب می کنند و در نتیجه به هدف می رسند.

-> مهاجم به سرعت از یک شکل توزیع شده از انکار خدمات می رود.

-> اغلب این حملات برای سردرگمی سرویس فناوری اطلاعات یک شرکت استفاده می شود تا بتواند تمام منابع خود را خرج کند و توجه خود را از طرف اشتباه منحرف کند.

10. حملات بین همسالان

-> با استفاده از مشتریان همسالان ، مهاجمان از مشتریان می خواهند تا از شبکه همسالان خود جدا شوند و به وب سایت جعلی قربانی وصل شوند.

-> مهاجمان از خطای موجود در شبکه با استفاده از پروتکل DC ++ (اتصال مستقیم) استفاده می کنند ، که برای به اشتراک گذاشتن انواع پرونده ها بین مشتریان پیام رسانی فوری استفاده می شود.

-> با تشکر از این ، مهاجمان حملات عظیم انکار خدمات و وب سایت های سازش را آغاز می کنند.

11. حمله به عقب دائمی

در میان حملات پشتی دائمی ، ما:

-> فلاش : پشتی دائمی ، که به آن Phlalashing نیز گفته می شود ، به حملات اشاره دارد که باعث آسیب غیر قابل برگشت به سیستم سیستم می شود.

-> خرابکاری : برخلاف سایر حملات پشتی ، وی سیستم سیستم را خراب می کند و قربانی را مجبور به جایگزینی یا نصب مجدد تجهیزات می کند.

-> سیستم “آجر” : این حمله با استفاده از روشی که به عنوان “آجر کردن یک سیستم” شناخته می شود انجام می شود. با استفاده از این روش ، مهاجمان به روزرسانی سخت افزار کلاهبرداری را به قربانیان ارسال می کنند.

12. سرویس مورد اختلاف توسط بازتاب توزیع شده (DRDOS)

-> یک حمله انکار سرویس منعکس شده توزیع شده (DRDOS) ، که به آن حمله غصب شده نیز گفته می شود ، دلالت بر استفاده از چندین دستگاه واسطه ای و ثانویه دارد که به حمله واقعی DDOS علیه دستگاه یا برنامه هدف کمک می کنند.

-> مهاجم این حمله را با ارسال درخواست ها به میزبان های میانی آغاز می کند ، این درخواست ها سپس به ماشین های ثانویه هدایت می شوند که به نوبه خود نشان دهنده ترافیک ترافیک به سمت هدف است.

-> مزیت – فایده – سود – منفعت : به نظر می رسد هدف اصلی به طور مستقیم توسط قربانی ثانویه مورد حمله قرار می گیرد ، نه توسط مهاجم واقعی. از چندین سرور قربانی میانی استفاده می شود که منجر به افزایش حمله پهنای باند می شود.

سوم. چکمه

1. تعریف

-> چکمه ها برنامه های نرم افزاری هستند که کارهای خودکار را در اینترنت انجام می دهند و کارهای تکراری ساده مانند اکتشاف وب و موتورهای جستجو را انجام می دهند.

-> Botnet شبکه بزرگی از سیستم های سازش است و می تواند توسط یک مهاجم برای انجام حملات با انکار سرویس استفاده شود.

2. روش های تجزیه و تحلیل برای یافتن ماشین های آسیب پذیر

-> تجزیه و تحلیل تصادفی : دستگاه آلوده آدرس های IP را به طور تصادفی از ساحل آدرس IP شبکه هدف بررسی می کند و آسیب پذیری را بررسی می کند.

-> تجزیه و تحلیل لیست نتایج : مهاجم ابتدا لیستی از دستگاه های بالقوه آسیب پذیر را جمع آوری می کند ، سپس تجزیه و تحلیل را برای یافتن دستگاه آسیب پذیر انجام می دهد.

-> تجزیه و تحلیل توپولوژیکی : او از اطلاعات به دست آمده در دستگاه آلوده برای یافتن ماشینهای آسیب پذیر جدید استفاده می کند.

-> تجزیه و تحلیل زیر شبکه محلی : دستگاه آلوده به دنبال دستگاه آسیب پذیر جدید در شبکه محلی خود است.

-> تجزیه و تحلیل مجوزها : او برای یافتن ماشینهای آسیب پذیر جدید از یک لیست مجوز شبه تصادفی از آدرس های IP استفاده می کند.

3. چگونه کد مخرب پخش می شود ?

مهاجمان از سه تکنیک برای انتشار بدافزار به یک سیستم آسیب پذیر تازه کشف شده استفاده می کنند:

-> انتشار منبع مرکزی: مهاجم یک جعبه ابزار حمله را روی منبع مرکزی قرار می دهد و یک نسخه از آن به سیستم آسیب پذیر تازه کشف شده منتقل می شود.

-> انتشار زنجیره ای: مهاجم جعبه ابزار حمله را روی سیستم خود قرار می دهد و یک کپی از جعبه به سیستم آسیب پذیر تازه کشف شده منتقل می شود.

-> انتشار خودمختار: میزبان خود جعبه ابزار حمله را دقیقاً در صورت کشف آسیب پذیری آن به سیستم هدف منتقل می کند.

-> پیوندهای تبلیغاتی : دزدان دریایی از لینک های تبلیغاتی برای بارگیری چکمه استفاده می کنند.

4. استفاده از دستگاه های تلفن همراه به عنوان یک Botnets برای انجام حملات DDOS

-> Android در برابر بدافزار مختلف مانند اسب های تروجان ، ربات ها (روبات ها) ، ابزارهای دسترسی از راه دور (موش) و غیره آسیب پذیر است. از فروشگاه های حزبی سوم.

-> این دستگاه های اندرویدی ناامن هدف اصلی مهاجمان برای بزرگنمایی Botnet خود هستند.

-> هنگامی که مهاجم شما را با یک برنامه به دام می اندازد ، می تواند از دستگاه شما به عنوان بات نت برای انجام حملات DDOS استفاده کند.

من. ابزارهای حمله به عقب / DDOS

1. برخی از ابزارهای حمله به پشت و DDOS

توپ یونی مدار بلند (HOIC) : Hoic حملات DDOS را به هر آدرس IP انجام می دهد ، با درگاه ای که توسط کاربر انتخاب شده و پروتکل انتخاب شده توسط کاربر.

HTTP King Load Load (هالک) : هالک ابزاری DDOS برای سرور وب است. به طور خاص برای تولید حجم ترافیک در یک سرور وب استفاده می شود.

داوست : آیا یک خط فرمان برای انجام حملات DDOS به سایت ها از طریق آسیب پذیری سوء استفاده از عملکرد و نهادهای خارجی XML در سایت های دیگر است.

ابزارهای دیگر: Tsunami ، ابزارهای هک کردن Blackhat ، و غیره.

2. ابزار حمله به پشت و DDOS برای موبایل

توپ یونی مدار کم (LOIC) : از نسخه Android از نرم افزار Low Orbit Ion Cannon (LOIC) برای سیل بسته هایی که به مهاجم اجازه می دهد حمله DDOS را به سازمان هدف تبدیل کند ، استفاده می شود.

اندوس : AndOSID به مهاجم اجازه می دهد تا یک حمله عقب (حمله HTTP پس از آب را دقیق) و حمله DDOS به یک سرور وب از تلفن های همراه شبیه سازی کند.

ابزارهای دیگر: ژنراتور بسته ، Pingtools Pro ، و غیره.

حرفهای. تکنیک های تشخیص

تکنیک های تشخیص بر اساس شناسایی افزایش ترافیک نامشروع است. تمام تکنیک های تشخیص یک حمله را به عنوان یک تفاوت غیر طبیعی و قابل توجه در رابطه با آستانه آمار ترافیک عادی شبکه تعریف می کنند.

1. پروفایل فعالیت

حمله توسط:

  • افزایش سطح فعالیت در بین خوشه های جریان شبکه.
  • افزایش تعداد کل خوشه های جداگانه (حمله DDOS)

پروفایل فعالیت بر اساس میانگین جریان بسته ها برای یک جریان شبکه است که شامل بسته های متوالی با زمینه های مشابه بسته است. در واقع پروفایل فعالیت ، نظارت بر اطلاعات هدر یک بسته شبکه و محاسبه میانگین جریان بسته ها برای جریان شبکه به منظور تشخیص افزایش سطح فعالیت است.

2. تشخیص متوالی نقاط تغییر

این روش تشخیص مراحل زیر را دنبال می کند:

  • قاچاق : الگوریتم های تشخیص برای نقاط تغییر ، تغییرات در آمار ترافیک شبکه ناشی از حملات را جدا می کنند.
  • ترافیک فیلتر کردن : الگوریتم ها داده های ترافیک هدف را توسط آدرس ، پورت یا پروتکل فیلتر کرده و جریان حاصل را در قالب سری زمانی ذخیره کنید.
  • حمله را شناسایی کنید : تکنیک تشخیص پی در پی نقاط تغییر از الگوریتم جمع تجمعی (CUSUM) برای شناسایی و یافتن حملات عقب استفاده می کند. این الگوریتم تفاوتهای بین میانگین محلی واقعی و انتظار در مجموعه زمانی قاچاق را محاسبه می کند.
  • فعالیت تحلیلی را شناسایی کنید : از این تکنیک همچنین می توان برای شناسایی فعالیت های تجزیه و تحلیل معمولی کرم های شبکه استفاده کرد.

3. تجزیه و تحلیل سیگنال بر اساس موجک ها

تجزیه و تحلیل موجک یک سیگنال ورودی را از نظر اجزای طیفی توصیف می کند. موجک ها توصیف همزمان زمان و فرکانس را ارائه می دهند. تجزیه و تحلیل انرژی از هر پنجره طیفی وجود ناهنجاری ها را تعیین می کند. تجزیه و تحلیل سیگنال زمان حضور قطعات فرکانس خاص را تعیین می کند و سیگنال های ورودی ترافیک غیر طبیعی مانند سر و صدای پس زمینه را فیلتر می کند.

ششم. اقدامات متقابل

1. استراتژی های ضد اثر DOS / DDOS

جذب : از ظرفیت اضافی برای جذب حملات استفاده کنید. این امر به برنامه ریزی قبلی و منابع اضافی نیاز دارد.

خدمات تخریب را شناسایی کنید : خدمات مهم را شناسایی کرده و خدمات غیر منتقدی را متوقف کنید.

توقف خدمات : تمام خدمات را متوقف کنید تا اینکه حمله آرام شود.

2. پشت / DDOS اقدامات متقابل حمله

  • از قربانیان ثانویه محافظت کنید

-> به طور مرتب امنیت را کنترل کنید تا از نرم افزار DDOS Agent محافظت شود.

-> آنتی ویروس تروا و ضد اسب را نصب کنید و آنها را به روز نگه دارید.

-> آگاهی از همه کاربران اینترنت در مورد مسائل و تکنیک های پیشگیری.

-> خدمات غیر ضروری را غیرفعال کنید ، برنامه های استفاده نشده را حذف کنید ، تمام پرونده های دریافت شده از منابع خارجی را تجزیه و تحلیل کنید.

-> پیکربندی درست و منظم مکانیسم های دفاعی ادغام شده در سیستم و نرم افزار اصلی سیستم را به روز کنید.

  • مدیران را تشخیص داده و خنثی کنید

تجزیه و تحلیل ترافیک شبکه : تجزیه و تحلیل پروتکل های ارتباطی و مدل های ترافیکی بین مدیران و مشتریان یا مدیران و نماینده به منظور شناسایی گره های شبکه ای که می توانند به مدیران آلوده شوند.

مدیران بوتنت را خنثی کنید : به طور کلی تعداد کمی از مدیران DDOS در رابطه با تعداد نمایندگان مستقر شده اند. خنثی سازی برخی از مدیران احتمالاً می تواند چندین عامل را بی فایده کند ، بنابراین حملات DDOS را خنثی می کند.

آدرس منبع کاربر : یک احتمال مناسب وجود دارد که آدرس منبع غصب بسته های حمله DDOS یک آدرس منبع معتبر از زیر شبکه تعریف شده را نشان نمی دهد.

  • از حملات احتمالی جلوگیری کنید

فیلتر خروجی : این یک سؤال از اسکن هدرهای بسته های IP است که از شبکه خارج می شوند ، تا اطمینان حاصل شود که ترافیک غیرمجاز یا مخرب هرگز شبکه داخلی را ترک نمی کند و مشخصات لازم را برای رسیدن به هدف بررسی می کند.

فیلتر ورودی : از پرداختن به منبع جلوگیری می کند ، در برابر حملات با سیل محافظت می کند. این اجازه می دهد تا فرستنده تا منبع واقعی آن ردیابی شود.

رهگیری TCP : پیکربندی رهگیری TCP از سرورها از حملات سیل TCP SYN محافظت می کند و با رهگیری و اعتبارسنجی درخواست های اتصال TCP از حملات برگشت جلوگیری می کند.

میزان:: این یک نرخ محدود کننده ترافیک ورودی یا خروجی است ، باعث کاهش ترافیک ورودی با حجم بالا می شود که می تواند باعث حمله DDOS شود.

-> سیستم های اجرا شده با امنیت محدود ، همچنین به عنوان گلدان های عسل (Honeypots) نیز شناخته می شوند ، به عنوان یک انگیزه برای یک مهاجم عمل می کنند.

-> گلدان های عسل برای به دست آوردن اطلاعات در مورد مهاجمان ، تکنیک ها و ابزارهای حمله با ذخیره ضبط فعالیت های سیستم استفاده می شود.

-> از یک رویکرد دفاعی در عمق با IPS در نقاط مختلف شبکه استفاده کنید تا ترافیک مشکوک را به سمت چندین کوزه عسل منحرف کنید.

-> پهنای باند را در اتصالات بحرانی افزایش دهید تا ترافیک اضافی ایجاد شده توسط یک حمله را جذب کند.

-> سرورهای ماکت برای ارائه حفاظت امنیتی اضافی.

-> بار در هر سرور در یک معماری سرور متعادل برای کاهش حملات DDOS تعادل برقرار کنید.

-> روترها را به گونه ای پیکربندی کنید که به یک سرور با منطق دسترسی پیدا کنند تا سطح ترافیک ورودی را که برای سرور ایمن است محدود کند.

-> محدودیت با کنترل ترافیک پشتی از آسیب رساندن به سرورها جلوگیری می کند.

-> می توان برای محدود کردن ترافیک حمله به DDOS و اجازه ترافیک قانونی کاربر برای نتایج بهتر گسترش یافت.

حذف نمایش داده شد:

-> سرورها با افزایش بار بسته ها را حذف می کنند ، این باعث می شود که یک معما حل شود تا درخواست را شروع کند.

تجزیه و تحلیل پزشکی قانونی به طور خاص در نتیجه یک حادثه رخ می دهد. با مراجعه به حسابرسی امنیتی ، تجزیه و تحلیل پزشکی قانونی اجازه می دهد تا به لطف شواهد دیجیتالی ، یک حمله را به طور کلی بازسازی کند تا بتواند اثری را که توسط دزدان دریایی باقی مانده است جستجو کند.

-> تحلیل و بررسی به مدل های ترافیک حمله: داده ها پس از حمله مورد تجزیه و تحلیل قرار می گیرند تا ویژگی های خاصی را در ترافیک حمله کننده جستجو کنند. این می تواند به مدیران شبکه کمک کند تا تکنیک های جدید فیلتر را برای جلوگیری از ورود یا خارج شدن ترافیک از ترافیک از شبکه ها توسعه دهند.

-> بازپرداخت بسته: مشابه مهندسی معکوس ، به یافتن منبع حمله کمک می کند تا اقدامات لازم را برای جلوگیری از حملات دیگر انجام دهد.

-> تجزیه و تحلیل مجله رویدادها: مجله رویدادها به شناسایی منبع ترافیک پشت ، برای تشخیص نوع حمله DDOS کمک می کند.

3. دفاع در برابر بات نت ها

-> فیلتر RFC 3704 : با امتناع از ترافیک با آدرس های جعلی از طریق فیلتر در FAI ، تأثیر DDOS را محدود می کند.

-> فیلتر شهرت IP منبع IP IPS : خدمات شهرت به تعیین اینکه آیا آدرس یا سرویس IP یک منبع تهدید است یا خیر ، کمک می کند ، IPS Cisco به طور مرتب پایگاه داده خود را با تهدیدهای شناخته شده مانند Botnets ، جمع کننده های Botnet ، بدافزار و غیره به روز می کند. و به فیلتر برگشت کمک کنید.

-> فیلتر کردن سیاهچاله ها : سیاه چاله به گره های شبکه اشاره می کند که در آن ترافیک دریافتی رد می شود یا بدون اطلاع منبع مبنی بر اینکه داده ها به گیرنده مورد انتظار نرسیده اند ، رد یا رها می شوند. فیلتر کردن سیاهچاله ها به حذف بسته ها در مسیریابی اشاره دارد.

-> پیشنهادات پیشگیری DDOS یا سرویس DDOS : نگهبان منبع IP (در سیسکو) یا ویژگی های مشابه در سایر روترها برای فیلتر کردن ترافیک بسته به پایگاه داده نظارت DHCP یا اوراق بهادار منبع IP که مانع از ارسال ربات از ارسال بسته های جعلی می شود.

4. سایر اقدامات متقابل DDO / DOS

برای جلوگیری از حملات DDOS / DOS ، دستورالعمل های زیر را می توان دنبال کرد:

1) از مکانیسم های رمزگذاری قدرتمند مانند WPA2 ، AES 256 و غیره استفاده کنید.

2) خدمات بلااستفاده و ناامن را غیرفعال کنید.

3) هسته را با آخرین نسخه به روز کنید

4) اعتبار سنجی عمق ورودی ها را انجام دهید

5) از استفاده از توابع غیر ضروری مانند GET ، strcpy و غیره جلوگیری کنید.

6) از خرد شدن آدرس های بازگشت جلوگیری کنید

7) فایروال را برای امتناع از دسترسی به ترافیک خارجی ICMP پیکربندی کنید

8) رادیوهای شناختی را در لایه فیزیکی برای مدیریت حملات حرکتی اجرا کنید.

9) اطمینان حاصل کنید که نرم افزار و پروتکل ها به روز هستند.

10) از انتقال بسته های خطاب به کلاهبرداری از نظر FAI جلوگیری کنید.

11) تمام بسته های ورودی را از درگاه های سرویس مسدود کنید تا ترافیک از سرورهای بازتاب مسدود شود.

12) آزمایش از راه دور و تست های اتصال.

5. حفاظت DOS / DDOS از نظر FAI

این مکانیسم ها به ارائه دهنده خدمات اینترنت (ISP) اجازه می دهد تا خود را از حملات پشتی/DDOS محافظت کنند:

1) بیشتر FAI به سادگی تمام درخواست ها را در حین حمله DDOS مسدود می کند ، حتی از دسترسی ترافیک قانونی به سرویس جلوگیری می کند.

2) FAI ها برای پیوندهای اینترنتی محافظت DDOS را در ابر ارائه می دهند تا در اثر حمله اشباع نشوند.

3) محافظت از DDOS در ابر ، در حین حمله به ترافیک به سمت FAI حمله می کند و آن را برمی گرداند.

4) مدیران می توانند از ISP ها بخواهند IP تحت تأثیر خود را مسدود کنند و سایت خود را پس از پخش DNS به IP دیگری منتقل کنند.

دستگاه های حفاظت DDOS: Fortiddos-1200b ، Cisco Guard XT 5650 ، A10 Thunder TPS

ابزارها: حفاظت DDOS INCAPSULA ، ضد DDOS Guardian ، CloudFlare ، DefensePro

ششم. تست نفوذ پشت / DDOS

مرحله 1: یک هدف را تعریف کنید

-> این مسئله ایجاد برنامه ای برای آزمون نفوذ خواهد بود

مرحله 2: بارهای سنگین را روی سرور آزمایش کنید

-> تعیین حداقل آستانه حملات پشتی لازم است

مرحله 3: بررسی سیستم های پشتی آسیب پذیر

-> این شامل تأیید ظرفیت سیستم برای مقابله با حملات عقب است

مرحله 4: یک حمله SYN را روی سرور اجرا کنید

-> نتایج آزمایش های نفوذ به مدیران کمک می کند تا کنترل های امنیتی محیط شبکه مناسب مانند بقاء بار ، IDS ، IPS ، فایروال ها و غیره را تعیین و اتخاذ کنند.

مرحله 5: حملات حمل و نقل را روی سرور اجرا کنید

-> این یک سوال از سیل شبکه ترافیک هدف برای تأیید ثبات سیستم است.

مرحله ششم: یک بمب افکن ایمیل را در سرورهای ایمیل راه اندازی کنید

-> استفاده از ابزارها ایمیل بمب افکن تعداد زیادی ایمیل به یک سرور پیام رسانی هدف ارسال می کند.

مرحله 7: فرم های وب سایت و کتاب مهمان را با ورودی های دروغین سیل کنید

-> این با حفظ کلیه درخواست های اتصال در بنادر تحت محاصره ، استفاده از پردازنده را افزایش می دهد.

مرحله 8: تمام نتایج را مستند کنید.

-> تمام نتایج باید مستند شود.

حمله دپارتمان – تعریف

آ گروه حمله ( انکار حمله سرویس , از این رو مخفف بازگشت) حمله ای است که با هدف عدم دسترسی به یک سرویس ، برای جلوگیری از استفاده از سرویس کاربران مشروع. میتونه باشه:

  • سیل یک شبکه (یک شبکه رایانه ای مجموعه ای از تجهیزات است که به تبادل آن در ارتباط است. ) برای جلوگیری از عملکرد آن
  • اختلال در اتصالات بین دو دستگاه ، جلوگیری از دسترسی به یک سرویس خاص
  • انسداد دسترسی به یک سرویس به یک شخص خاص

انکار حمله سرویس می تواند یک سرور فایل را مسدود کند ، دسترسی به یک سرور وب را غیرممکن کند ، از توزیع ایمیل در یک شرکت جلوگیری کند یا یک وب سایت را در دسترس نباشد (اینترنت شبکه رایانه ای جهانی است که در دسترس خدمات عمومی است. ) .

دزدان دریایی لزوماً به آن احتیاج ندارد (نیازها از نظر تعامل بین فرد و محیط زیست است. او هست. ) تجهیزات پیشرفته. بنابراین ، حملات پشتی خاصی (در آناتومی ، در حیوانات مهره داران از جمله انسان ، قسمت پشتی آن است. ) می تواند با منابع محدود در برابر یک شبکه بسیار بزرگتر و مدرن اجرا شود. این نوع حمله “حمله نامتقارن” گاهی اوقات نامیده می شود (به دلیل تفاوت در منابع بین شخصیت ها). یک هکر با رایانه (یک کامپیوتر دستگاهی با واحد پردازش است که به آن اجازه می دهد. ) منسوخ و یک مودم (مودم (چمدان ، برای تعدیل کننده-تعریف کننده) ، یک دستگاه سرویس دهنده است. ) آهسته می تواند ماشین ها یا شبکه های بسیار بیشتری را خنثی کند.

حملات انکار وزارت با گذشت زمان تغییر کرده است (زمان مفهومی است که توسط انسان برای درک این امر ایجاد شده است. ) (دیدن ).

همه چیز (همه فراگیر به عنوان مجموعه ای از آنچه وجود دارد اغلب به عنوان جهان یا. ) اول ، اولی فقط توسط یک “مهاجم” انجام می شد. به سرعت ، حملات پیشرفته تر ظاهر شد ، که شامل بسیاری از “سربازان” است که “زامبی” نیز نامیده می شوند. سپس در مورد DDOS صحبت می کنیم ( توزیع انکار سرویس را توزیع کرد ). سپس ، حملات پشتی و DDOS توسط دزدان دریایی انجام شد که فقط توسط شاهکار و شهرت جذب می شدند. امروزه ، اینها عمدتاً سازمانهای جنایی هستند ، که اساساً با پول انگیزه می گیرند (نقره یا فلزی نقره یک عنصر شیمیایی نماد AG است – از. ) . بنابراین ، برخی از هکرها در “بلند کردن” ارتش “زامبی ها” تخصص دارند ، که می توانند برای حمله به یک هدف خاص به سایر دزدان دریایی اجاره کنند. با افزایش شدید تعداد (مفهوم تعداد زبانشناسی در مقاله “شماره”. ) مبادله در اینترنت ، تعداد تک آهنگ های انکار خدمات بسیار به شدت پیشرفت کرده است (یک دزد دریایی حمله عقب یا DDOS را به یک شرکت آغاز می کند و از وی می خواهد که یک باج را برای متوقف کردن این حمله متوقف کند !).

تاریخی

حملات با انکار خدمات پدیدار شده است (روزی که روز فاصله ای است که طلوع آفتاب را از هم جدا می کند ؛. ) در دهه 80. DDOS (یا حملات پشتیبان توزیع شده) جدیدتر خواهد بود: اولین حمله رسمی DDOS در آگوست 1999 صورت گرفت: ابزاری (ابزاری (ابزاری نهایی است که توسط یک موجود زنده استفاده می شود تا بتواند آن را افزایش دهد. ) به نام “Trinoo DDO” (شرح زیر) در حداقل 227 سیستم مستقر شد ، که از این تعداد 114 نفر در اینترنت بودند ، برای سرورهای دانشگاه سیل (یک دانشگاه یک موسسه آموزش عالی است که هدف آن در آنجاست. ) مینه سوتا. پس از این حمله ، دسترسی به اینترنت دانشگاه بیش از دو روز مسدود شده است.

اولین حمله DDOS با واسطه در مطبوعات مصرف کننده در فوریه 2000 صورت گرفت ، ناشی از مایکل کالس ، که بهتر به عنوان مافیابی شناخته می شود. در 7 فوریه ، یاهو! (یاهو!,inc. یک شرکت خدمات اینترنتی آمریکایی است که فعالیت می کند. ) قربانی حمله DDOS بود که ساخته شده است (ارائه یک فرآیند رایانه ای است که تصویر 2D را محاسبه می کند (معادل یک عکس). ) پورتال اینترنت آن به مدت سه ساعت غیرقابل دسترسی است. در 8 فوریه ، آمازون.com ، خرید.com ، CNN و eBay تحت تأثیر حملات DDOS قرار گرفتند که باعث توقف یا کند شدن شدید (سیگنال کندی (نوع SNCF)) سوزن (یا بیشتر) در موقعیت منحرف شده اعلام می شود. ) از عملکرد آنها. در 9 فوریه ، تجارت E و ZDNET به نوبه خود قربانیان حملات DDOS بودند.

تحلیلگران معتقدند که در طول سه ساعت غیرقابل دسترسی ، یاهو! دستخوش از دست دادن تجارت الکترونیکی و درآمد تبلیغاتی در حدود 500000 دلار است . به گفته آمازون.com ، حمله وی منجر به از دست دادن 600000 دلار در طی 10 ساعت شد. در حین حمله ، eBay.com گذشت (گذشته اول از همه مفهومی است که به زمان مرتبط است: از کل ساخته شده است. ) 100 ٪ در دسترس بودن (در دسترس بودن تجهیزات یا یک سیستم یک اندازه گیری عملکردی است. ) 9.4 ٪ ؛ CNN.com زیر 5 ٪ از حجم رفت (حجم ، در علوم فیزیکی یا ریاضی ، یک مقدار است که اندازه گیری آن را اندازه گیری می کند. ) طبیعی ؛ Zdnet.com و etrade.com عملاً غیرقابل دسترسی بودند. شاو.com ، سایت آنلاین کارگزار چارلز شواب ، نیز تحت تأثیر قرار گرفت اما وی از ارائه ارقام دقیق در مورد ضررهای خود امتناع ورزید. ما فقط می توانیم فرض کنیم که در شرکتی که 2 میلیارد دلار در هفته در معاملات آنلاین است ، ضرر ناچیز نبوده است. مایکل کالس ، کسی که آمازون را هک کرد.کام ، یاهو!, CNN و eBay به 8 ماه (ماه (از LAT “محکوم شدند. “ماه” منسیس ، و قبلاً در Plur. “قاعدگی”) یک دوره زمانی است. ) در یک بازداشتگاه جوان (او در زمان حقایق فقط 15 سال داشت).

در سپتامبر 2001 ، ویروس خاصی (ویروس یک موجود بیولوژیکی بود که به یک سلول میزبان نیاز دارد ، که او از آن استفاده می کند. ) کد قرمز به چند هزار سیستم و یک دوم (دوم زنانه صفت دوم ، که بلافاصله پس از اولین یا چه کسی می آید ، آلوده می شود. ) نسخه ، با عنوان کد Red II ، یک عامل DDOS را نصب می کند. این شایعات ادعا می کنند که وی مجبور به حمله به کاخ سفید (کاخ سفید (کاخ سفید به زبان انگلیسی)) محل اقامت رسمی و دفتر دفتر است. ) . در یک زمینه (زمینه یک رویداد شامل شرایط و شرایطی است که آن را احاطه کرده است ؛. ) سیاست بحران ، دولت ایالات متحده اعلام می کند که اقدامات امنیتی انجام خواهد شد. اما در تابستان سال 2002 ، این اینترنت است که تحت حمله DDOS علیه 13 سرور ریشه خود قرار بگیرد. این سرورها نقاط اصلی سیستم ارجاع هستند (در دنیای راه آهن ، برای عبور قطار از یک مسیر به مسیر دیگر ، ما استفاده می کنیم. ) اینترنت ، به نام سیستم نام دامنه (سیستم نام دامنه (یا DNS ، سیستم نام دامنه) یک سرویس امکان پذیر است. ) (DNS). این حمله فقط یک ساعت دوام خواهد داشت (ساعت یک واحد اندازه گیری است 🙂 اما می توانست کل را فلج کند (در تئوری مجموعه ها ، یک مجموعه به طور شهودی یک مجموعه را تعیین می کند. ) شبکه اینترنتی. این حادثه توسط متخصصانی که ادعا می کنند امنیت ماشین های خود را در آینده تقویت می کنند ، جدی گرفته می شود.

اولین نسخه Slapper ، که در اواسط سپتامبر 2002 ظاهر شد ، بیش از 13،000 سرور لینوکس آلوده شده است (به معنای دقیق ، لینوکس نام هسته سیستم عامل رایگان است ، چند وظیفه ای. ) در دو هفته. Slapper از یک سوراخ ایمنی موجود در ماژول OpenSSL1 و وسیله نقلیه استفاده می کند (وسیله نقلیه یک دستگاه تلفن همراه است که به شما امکان می دهد افراد یا هزینه های یک را جابجا کنید. ) یک عامل DDOS. این تشخیص داده می شود و به موقع متوقف می شود.

با وجود همه چیز ، در روز دوشنبه 21 اکتبر 2002 ، یک حمله جدید پشتی 9 از 13 سرور کلیدی را مسدود کرد و منابع آنها را به مدت سه ساعت غیرقابل دسترسی کرد. بخشی از شرکت ها و سازمان های مدیریت این سرورهای کلیدی واکنش نشان می دهند و تصمیم می گیرند دستگاه های ایمنی خود را مرور کنند. FBI تحقیقاتی را آغاز کرده است ، اما پیدا کردن نویسندگان (های) این حمله قول می دهد دشوار باشد.

اندکی پس از سرورهای پایگاه داده (در فناوری اطلاعات (TI) ، داده ها توضیحات ابتدایی است. ) مایکروسافت (شرکت مایکروسافت (NASDAQ: MSFT) یک راه حل های چند ملیتی آمریکایی است. ) سرور SQL ، پیکربندی ضعیف ، به کرم آلوده شده است (کرم ها یک گروه بسیار ناهمگن از حیوانات بی مهره را تشکیل می دهند. ) SQL Slammer. دومی دارای یک نماینده DDOS است که در 25 ژانویه 2003 علیه اینترنت حمله کرد. این بار ، تنها 4 از 13 سرور ریشه که مسئول مسیریابی هستند (در علوم کامپیوتر ، اصطلاح مسیریابی مکانیسمی را تعیین می کند که داده های تجهیزات. ) اینترنت تحت تأثیر قرار گرفته است. علیرغم حدت (حدت ، شخصیت بیماری زا ، مضر و خشونت آمیز یک میکروارگانیسم را تعیین می کند. ) از این حمله ، عملکرد کلی شبکه به سختی 15 ٪ کاهش یافته است .