IRCERT - عدم پذيرش سرويس (۳) : روش هاي مقابله

صفحه اول > مقالات

عدم پذيرش سرويس (۳) : روش هاي مقابله

در مقاله پيش با انواع حملات DoS و DDoS آشنا شديم. در اين شماره با چند روش مقابله با حملات DoS و DDoS آشنا مي شويم.

دفاع عليه حملات Smurf يا Fraggle

اگر در معرض حمله Smurf قرار گرفته باشيد، كار چنداني از شما ساخته نيست. هرچند كه اين امكان وجود دارد كه بسته هاي مهاجم را در روتر خارجي مسدود كنيد، اما پهناي باند منشاء آن روتر مسدود خواهد شد. براي اينكه فراهم كننده شبكه بالاسري شما، حملات را در مبداء حمله مسدود كند، به هماهنگي نياز است.

بمنظور جلوگيري از آغاز حمله از سايت خودتان، روتر خارجي را طوري پيكربندي كنيد كه تمام بسته هاي خارج شونده را كه آدرس مبداء متناقض با زيرشبكه شما دارند، مسدود كند. اگر بسته جعل شده نتواند خارج شود، نمي تواند آسيب چنداني برساند.

براي جلوگيري از قرار گرفتن بعنوان يك واسطه و شركت در حمله DoS شخص ديگر، روتر خود را طوري پيكربندي كنيد كه بسته هايي را كه مقصدشان تمام آدرس هاي شبكه شماست، مسدود كند. يعني، به بسته هاي ICMP منتشر شده به شبكه خود، اجازه عبور از روتر ندهيد. اين عمل به شما اجازه مي دهد كه توانايي انجام ping به تمام سيستم هاي موجود در شبكه خود را حفظ كنيد، در حاليكه اجازه اين عمل را از يك سيستم بيروني بگيريد. اگر واقعاً نگران هستيد، مي توانيد سيستم هاي ميزبان خود را طوري پيكربندي كنيد كه از انتشارهاي ICMP كاملاً جلوگيري كنند.

دفاع عليه حملات طغيان SYN

بلاك هاي كوچك

بجاي تخصيص يك شيء از نوع ارتباط كامل (كه باعث اشغال فضاي زياد و نهايتاً اشكال در حافظه مي شود)، يك ركورد كوچك (micro-record) تخصيص دهيد. پياده سازي هاي جديدتر براي SYN هاي ورودي ، تنها ۱۶ بايت تخصيص مي دهد.

كوكي هاي SYN

يك دفاع جديد عليه طغيان SYN «كوكي هاي SYN» است. در كوكي هاي SYN، هر طرف ارتباط، شماره توالي (Sequence Number) خودش را دارد. در پاسخ به يك SYN، سيستم مورد حمله واقع شده، يك شماره توالي مخصوص از ارتباط ايجاد مي كند كه يك «كوكي» است و سپس همه چيز را فراموش مي كند يا بعبارتي از حافظه خارج مي كند (كوكي بعنوان مشخص كننده يكتاي يك تبادل يا مذاكره استفاده مي شود). كوكي در مورد ارتباط اطلاعات لازم را در بردارد، بنابراين بعداً مي تواند هنگامي كه بسته ها از يك ارتباط سالم مي آيند، مجدداً اطلاعات فراموش شده در مورد ارتباط را ايجاد كند.

كوكي هاي RST

جايگزيني براي كوكي هاي SYN است، اما ممكن است با سيستم عامل هاي ويندوز 95 كه پشت فايروال قرار دارند، مشكل ايجاد كند. روش مذكور به اين ترتيب است كه سرور يك ACK/SYN اشتباه به كلاينت ارسال مي كند. كلاينت بايد يك بسته RST توليد كند تا به سرور بگويد كه چيزي اشتباه است. در اين هنگام، سرور مي فهمد كه كلاينت معتبر است و ارتباط ورودي از آن كلاينت را بطور طبيعي خواهد پذيرفت.

پشته هاي (stack) هاي TCP بمنظور كاستن از تأثير طغيان هاي SYN مي توانند دستكاري شوند. معمول ترين مثال كاستن زمان انقضاء (timeout) قبل از اين است كه پشته، فضاي تخصيص داده شده به يك ارتباط را آزاد كند. تكنيك ديگر قطع بعضي از ارتباطات بصورت انتخابي است.

دفاع عليه حملات DNS

دفاع از سرور اصلي (root server)

پايگاه داده سرور اصلي كوچك است و بندرت تغيير مي كند. يك كپي كامل از پايگاه داده اصلي تهيه كنيد، روزي يك بار آپديت ها را چك كنيد و گاه و بيگاه بارگذاري هاي مجدد انجام دهيد. از سرورهاي اصلي با استفاده از آدرس هاي anycast استفاده كنيد (اين عمل باعث مي شود كه سيستم ها در شبكه هاي با موقعيت هاي مختلف بعنوان يك سرور بنظر برسند.)

دفاع از سازمان تان

اگر سازمان شما يك اينترانت دارد، بايد دسترسي هاي جداگانه اي از DNS براي كاربران داخلي و مشتريان خارجي خود فراهم كنيد. اين عمل DNS داخلي را از حملات خارجي در امان نگاه مي دارد. ناحيه اصلي را كپي كنيد تا سازمان خود را از حملات DDoS آتي روي قسمت هاي اصلي محفوظ نگه داريد. همچنين به كپي كردن نواحي DNS از شركاي تجاري خود كه در خارج از شبكه شما قرار دارند، توجه كنيد. هنگامي كه بروز رسان هاي DNS به روي اينترنت مي روند، مي توانند در هنگام انتقال مورد ربايش و دستكاري قرار گيرند. از TSIGها (transaction signature) يا امضاهاي معاملاتي براي امضاي آن ها يا ارسال بروز رسان ها روي VPN (شبكه هاي خصوصي مجازي) يا ساير كانال ها استفاده كنيد.

مقابله با حملات DDoS

چگونه مي توانيد از سرورهاي خود در مقابل يورش ديتاهاي ارسالي از طرف كامپيوترهاي آلوده موجود در اينترنت مراقبت كنيد تا شبكه شركت شما مختل نشود؟ در اينجا به چند روش بطور مختصر اشاره مي شود:

سياه چاله

اين روش تمام ترافيك را مسدود مي كند و به سمت سياه چاله! يعني جايي كه بسته ها دور ريخته مي شود هدايت مي كند. اشكال در اين است كه تمام ترافيك – چه خوب و چه بد- دور ريخته مي شود و در حقيقت شبكه مورد نظر بصورت يك سيستم off-line قابل استفاده خواهد بود. در روش هاي اينچنين حتي اجازه دسترسي به كاربران قانوني نيز داده نمي شود.

مسيرياب ها و فايروال ها

روتر ها مي توانند طوري پيكربندي شوند كه از حملات ساده ping با فيلتركردن پروتكل هاي غيرضروري جلوگيري كنند و مي توانند آدرس هاي IP نامعتبر را نيز متوقف كنند. بهرحال، روترها معمولاً در مقابل حمله جعل شده پيچيده تر و حملات در سطح Application با استفاده از آدرس هاي IP معتبر، بي تأثير هستند.

سيستم هاي كشف نفوذ

روش هاي سيستم هاي كشف نفوذ (intrusion detection systems) توانايي هايي ايجاد مي كند كه باعث تشخيص استفاده از پروتكل هاي معتبر بعنوان ابزار حمله مي شود. اين سيستمها مي توانند بهمراه فايروال ها بكار روند تا بتوانند بصورت خودكار در مواقع لزوم ترافيك را مسدود كنند. در بعضي مواقع سيستم تشخيص نفوذ نياز به تنظيم توسط افراد خبره امنيتي دارد و البته گاهي در تشخيص نفوذ دچار اشتباه مي شود.

سرورها

پيكربندي مناسب applicationهاي سرويس دهنده در به حداقل رساندن تأثير حمله DDoS تأثير بسيار مهمي دارند. يك سرپرست شبكه مي تواند بوضوح مشخص كند كه يك application از چه منابعي مي تواند استفاده كند و چگونه به تقاضاهاي كلاينت ها پاسخ دهد. سرورهاي بهينه سازي شده، در تركيب با ابزار تخفيف دهنده، مي توانند هنوز شانس ادامه ارائه سرويس را در هنگامي كه مورد حمله DDoS قرار مي گيرند، داشته باشند.

ابزار تخفيف DDoS

چندين شركت ابزارهايي توليد مي كنند كه براي ضدعفوني ! كردن ترافيك يا تخفيف حملات DDoS استفاده مي شوند كه اين ابزار قبلاً بيشتر براي متعادل كردن بار شبكه يا فايروالينگ استفاده مي شد. اين ابزارها سطوح مختلفي از ميزان تأثير دارند. هيچكدام كامل نيستند. بعضي ترافيك قانوني را نيز متوقف مي كنند و بعضي ترافيك غيرقانوني نيز اجازه ورود به سرور پيدا مي كنند. زيرساخت سرور هنوز بايد مقاوم تر شود تا در تشخيص ترافيك درست از نادرست بهتر عمل كند.

پهناي باند زياد

خريد يا تهيه پهناي باند زياد يا شبكه هاي افزونه براي سروكار داشتن با مواقعي كه ترافيك شدت مي يابد، مي تواند براي مقابله با DDoS مؤثر باشد.

عموماً، شركت ها از قبل نمي دانند كه يك حمله DDoS بوقوع خواهد پيوست. طبيعت يك حمله گاهي در ميان كار تغيير مي كند و به اين نياز دارد كه شركت بسرعت و بطور پيوسته در طي چند ساعت يا روز، واكنش نشان دهد. از آنجا كه تأثير اوليه بيشتر حملات، مصرف كردن پهناي باند شبكه شماست، يك ارائه كننده سرويس هاي ميزبان روي اينترنت كه بدرستي مديريت و تجهيز شده باشد، هم پهناي باند مناسب و هم ابزار لازم را در اختيار دارد تا بتواند تأثيرات يك حمله را تخفيف دهد.