Ddos dos
- 3. ﻓﻬﺮﺳﺖ
ﻣﻘﺪﻣﻪ
دﺳﺘﻪ ﺑﻨﺪي DOS Attack
ﺗﻮﻗﻒ ﺳﺮوﯾﺲ ﻫﺎﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊراه ﻫﺎ و روش ﻫﺎي ﻣﺘﺪاول ﺑﺮاي ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ
ﭘﺮ ﮐﺮدن ﺟﺪول ﭘﺮدازش ﻓﺮﺳﺘﺎدن ﺗﺮاﻓﯿﮏ ﭘﺮ ﮐﺮدن ﺳﯿﺴﺘﻢ ﻓﺎﯾﻞﻣﺘﻮﻗﻒ ﮐﺮدن ﺳﯿﺴﺘﻢ ﻫﺎ از راه دور
Land Ping of Death 2Jolt Teardrop , Newtear , Book , Syndrop Winnukeﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ از راه دور
SYN FLOODﺣﻤﻼت SMURF-ﺣﻤﻼت ﺗﻮزﯾﻊ ﺷﺪهDOS
- 4. آﺷﻨﺎﯾﯽ ﺑﺎ DDOSو روش ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻼت آن
اﻧﻮاع ﺣﻤﻼتDDOS
TRINOO-TFN/TFN2K ,STECHELDRAHT
ﻧﺤﻮه ﭘﯿﺸﮕﯿﺮي از ﺣﻤﻼت
ﭼﮕﻮﻧﻪ از وﻗﻮع ﺣﻤﻼت dosﯾﺎ ddosآﮔﺎه ﺷﻮﯾﻢ
- 5. ﻣﻘﺪﻣﻪ
ﺑﺮﺧﯽ از ﻫﮑﺮﻫﺎ ﺑﻪ دﻧﺒﺎل ﻧﻔﻮذ ﺑﻪ ﺳﯿﺴﺘﻢ ﻫﺎي ﮐﺎﻣﭙﯿﻮﺗﺮي و ﺑﻪ دﺳﺖ ﮔﺮﻓﺘﻦ ﮐﻨﺘﺮل ﮐﺎﻣﻞ ﯾﮏ ﺳﺮور ﻫﺴﺘﻨﺪ و ﺑﺮﺧﯽ دﯾﮕﺮ اﻫﺪاف دﯾﮕﺮي ﻣﺎﻧﻨﺪ ﺟﻠﻮﮔﯿﺮي از
دﺳﺘﯿﺎﺑﯽ ﮐﺎرﺑﺮان ﯾﮏ ﺳﺎﯾﺖ و ﺗﻮﻗﻒ ﮐﻪ Dosﮐﺮدن آن ﺳﺎﯾﺖ را دارﻧﺪ. در ﮐﻞ ﺗﮑﺬﯾﺐ ﺳﺮوﯾﺲ ﺑﻪ وﺳﯿﻠﻪ ﻫﮑﺮﻫﺎ را ﺣﻤﻼت Downآن ﺳﺮور ﻣﯽ ﮔﻮﯾﻨﺪ وﻟﯽ
اﯾﻦ ﻧﮑﺘﻪ را ﻧﯿﺰ ذﮐﺮ ﮐﻨﻢ ﮐﻪ اﯾﻦ Denial of Serviceﻣﺨﻔﻒ ﮐﻠﻤﻪ را ﺑﺎ ﻫﻢ Dosﮐﻪ ﺧﻂ ﻓﺮﻣﺎن ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ وﯾﻨﺪوز اﺳﺖ ﮐﺎﻣﻼً ﻓﺮق دارد و اﯾﻦ دو
Operation Systemاز ﻧﻈﺮ ﺗﮑﻨﯿﮑﯽ اﺣﺘﯿﺎج ﺑﻪ داﻧﺶ ﺑﺎﻻ و ﯾﺎ داﻧﺴﺘﻦ ﻣﻄﻠﺐ Dosاﺷﺘﺒﺎه ﻧﮕﯿﺮﯾﺪ. در ﺣﻘﯿﻘﺖ ﺳﺮور ﺑﻪ ﻧﺪرت Dosﺧﺎﺻﯽ ﻧﺪارﻧﺪ
ﭼﻮن در اﮐﺜﺮ ﺣﻤﻼت دﭼﺎر ﻣﺸﮑﻞ ﻣﯽ ﺷﻮد وﻟﯽ اﮔﺮ ﻫﮑﺮ ﺑﺎﺗﺠﺮﺑﻪ ﺑﺎﺷﺪ ﺑﻪ وﺳﯿﻠﻪ اﯾﻦ ﺣﻤﻠﻪ ﺑﺎﻋﺚ اﺧﺘﻼل در ﺳﯿﺴﺘﻢ ﻣﯽ ﺷﻮد ﮐﻪ ﻫﻤﻪ اﯾﻨﻬﺎ ﺑﺴﺘﮕﯽ ﺑﻪ ﻧﻮع
ﺳﯿﺴﺘﻢ ﺳﺮور و ﻧﻮع ﺣﻤﻠﻪ و ﺗﻌﺪاد ﻫﮑﺮﻫﺎ ... دارد ﮐﻪ در ﻧﻬﺎﯾﺖ ﺑﺎﻋﺚ ﺧﺎﻣﻮش ﺷﺪن ﺳﺮور و راه اﻧﺪازي دوﺑﺎره ﺳﺮوﯾﺲ ﻫﺎ ﺗﻮﺳﻂ ﻣﺪﯾﺮ و
administratorﻣﯽ ﺷﻮد .
Dos Attackراه ﺧﻮﺑﯽ ﺑﺮاي ﺣﻤﻠﻪ ﮐﺮدن ﺑﻪ ﺳﺎﯾﺖ ﻫﺎ اﺳﺖ، وﻟﯽ ﮐﺎﻣﭙﯿﻮﺗﺮ ﺷﺨﺼﯽ و Desktopﮐﻤﺘﺮ ﭘﯿﺶ ﻣﯽ آﯾﺪ ﮐﻪ ﻣﻮرد اﯾﻦ ﻧﻮع ﺣﻤﻠﻪ ﻫﺎ ﻗﺮار
ﺑﮕﯿﺮد، ﻫﺪف ﺑﯿﺸﺘﺮ ﺳﺮور ﺳﺎﯾﺖ ﻫﺎ و ISPﻫﺎ اﺳﺖ .وﻗﺘﯽ ﻫﮑﺮﻫﺎ ﻧﺘﻮاﻧﻨﺪ ﺑﺎ روش ﻫﺎي راﯾﺠﯽ ﻣﺜﻞ Exploitﮐﺮدن و ﻟﺒﺮﯾﺰ ﮐﺮدن ﺳﺮ رﯾﺰ ﺑﺎﻓﺮ ﺳﯿﺴﺘﻢ و
ﯾﺎ Buffer OverFlowو Injectionروش ﻫﺎي دﯾﮕﺮي ﮐﻪAccess
ﮐﻨﺘﺮل ﯾﮏ ﺳﺮور را ﺑﻪ آﻧﻬﺎ ﻣﯽ دﻫﺪ، ﺑﻪ ﯾﮏ ﺳﺮور ﻧﻔﻮذ ﮐﻨﻨﺪ ﺑﻪ ﺳﺮاغ آﺧﺮﯾﻦ
روش ﺣﻤﻠﻪ ﮐﻪ ﻫﻤﺎﻧﺎ docﮐﺮدن آن ﺳﺮور ﯾﺎ ﺳﺎﯾﺖ اﺳﺖ ﻣﯽ روﻧﺪ. ﯾﮏ ﻣﻬﺎﺟﻢ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎ ارﺳﺎل ﭘﯿﺎم ﻫﺎي اﻟﮑﺘﺮوﻧﯿﮑﯽ ﻧﺎﺧﻮاﺳﺘﻪ ﮐﻪ از آﻧﺎن ﺑﺎ ﻧﺎم SPAM
.
ﯾﺎد ﻣﯽ ﺷﻮد، ﺣﻤﻼت ﻣﺸﺎﺑﻬﯽ را ﻣﺘﻮﺟﻪ ﺳﺮوﯾﺲ دﻫﻨﺪه ﭘﺴﺖ اﻟﮑﺘﺮوﻧﯿﮑﯽ ﻧﻤﺎﯾﺪ ﻫﺮ ) ACCOUNTﭘﺴﺖ اﻟﮑﺘﺮوﻧﯿﮑﯽ( ﺻﺮﻓﻨﻈﺮ از ﻣﻨﺒﻌﯽ ﮐﻪ آن را در
اﺧﺘﯿﺎر ﺷﻤﺎ ﻗﺮار ﻣﯽ دﻫﺪ ﻧﻈﯿﺮ ﺳﺎزﻣﺎن ﻣﺮﺑﻮﻃﻪ و ﯾﺎ ﺳﺮوﯾﺲ ﻫﺎي راﯾﮕﺎﻧﯽ ﻧﻈﯿﺮ ﯾﺎﻫﻮ و hot mailداراي ﻇﺮﻓﯿﺖ ﻣﺤﺪودي ﻣﯽ ﺑﺎﺷﻨﺪ .ﭘﺲ از ﺗﮑﻤﯿﻞ
ﻇﺮﻓﯿﺖ ﻓﻮق، ﻋﻤﻼ "اﻣﮑﺎن ارﺳﺎل emailدﯾﮕﺮي ﺑﻪ accountﻓﻮق وﺟﻮد ﻧﺨﻮاﻫﺪ داﺷﺖ .ﻣﻬﺎﺟﻤﺎن ﺑﺎ ارﺳﺎل ﻧﺎﻣﻪ ﻫﺎي اﻟﮑﺘﺮوﻧﯿﮑﯽ ﻧﺎﺧﻮاﺳﺘﻪ ﺳﻌﯽ ﻣﯽ
ﻧﻤﺎﯾﻨﺪ ﮐﻪ ﻇﺮﻓﯿﺖ accountﻣﻮرد ﻧﻈﺮ را ﺗﮑﻤﯿﻞ و ﻋﻤﻼ " اﻣﮑﺎن درﯾﺎﻓﺖ emailﻫﺎي ﻣﻌﺘﺒﺮ را از accountﻓﻮق ﺳﻠﺐ ﻧﻤﺎﯾﻨﺪ.
روش ﮐﺎر ﺑﻪ اﯾﻦ ﺻﻮرت اﺳﺖ ﮐﻪ در ﯾﮏ ﻟﺤﻈﻪ ﺣﺠﻢ اﻃﻼﻋﺎﺗﯽ زﯾﺎدي ﻣﺘﻮﺟﻪ ﯾﮏ ﺳﺮور ﻣﯽ ﺷﻮد و ﺗﻌﺪاد زﯾﺎدي ﺑﺴﺘﻪ و Packetﺑﻪ ﺳﻤﺖ آن ﺳﺮور از
ﻃﺮف ﻫﮑﺮ ﯾﺎ ﻫﮑﺮﻫﺎ و Zambieﻫﺎ ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد ﮐﻪ اﯾﻦ ﺣﺠﻢ ﺧﯿﻠﯽ ﺑﯿﺸﺘﺮ از ﭘﻬﻨﺎي ﺑﺎﻧﺪ و ﻇﺮﻓﯿﺖ آن ﺳﺮور ﺑﻮده و ﺑﺮاي ﻣﺪﺗﯽ ﮐﻪ ﺑﺴﺘﮕﯽ ﺑﻪ ﺗﺠﺮﺑﻪ
ﻫﮑﺮﻫﺎ دارد ﺗﺮاﻓﯿﮏ زﯾﺎدي در اﯾﻦ ﺧﻄﻮط اﯾﺠﺎد ﻣﯽ ﺷﻮد و اﮐﺜﺮاً ﺑﺎﻋﺚ ﺧﺎﻣﻮش ﺷﺪن ﺳﺮور ﻣﯽ ﺷﻮد.
ﺑﺰرﮔﺘﺮﯾﻦ ﺣﻤﻠﻪ dosﭼﻨﺪي ﭘﯿﺶ ﺑﺮ ﻋﻠﯿﻪ 31 ﺳﺮور اﺻﻠﯽ اﯾﻨﺘﺮﻧﺖ ﮐﻪ وﻇﯿﻔﻪ آﻧﻬﺎ ﮐﻨﺘﺮل آدرس ﻫﺎي اﯾﻨﺘﺮﻧﺘﯽ و ﺗﺮﺟﻤﻪ آﻧﻬﺎ ﺑﺮاي ﺷﺒﮑﻪ ﻫﺎي dnsﺑﻮد
ﺻﻮرت ﮔﺮﻓﺖ ﮐﻪ ﺑﺎﻋﺚ ﺗﺮاﻓﯿﮏ ﺷﺪﯾﺪي در ﮐﻞ ﺷﺒﮑﻪ اﯾﻨﺘﺮﻧﺖ ﺷﺪ و از اﯾﻦ 31 ﺳﺮور ﺑﺰرگ 9 ﺳﺮور ﺑﻪ ﮐﻠﯽ ﺧﺎﻣﻮش ﺷﺪﻧﺪ و اﮔﺮ 4 ﺳﺮور ﺑﺎﻗﯽ ﻣﺎﻧﺪه
اﻧﺘﻘﺎل اﻃﻼﻋﺎت و ﺗﺮاﻓﯿﮏ اﯾﻨﺘﺮﻧﺖ و وﻇﯿﻔﻪ ﺳﺮورﻫﺎي downﺷﺪه دﯾﮕﺮ را ﺑﻪ ﻋﻬﺪه ﻧﻤﯽ ﮔﺮﻓﺘﻨﺪ ﺷﺒﮑﻪ اﺑﻨﺘﺮﻧﺖ و ﺗﻤﺎﻣﯽ ﺳﺎﯾﺖ ﻫﺎ از ﮐﺎر ﻣﯽ اﻓﺘﺎدﻧﺪ.
ﺑﻌﻀﯽ از ﺷﺮﮐﺖ ﻫﺎي ﺗﺠﺎري ﻧﯿﺰ ﺑﺮ ﻋﻠﯿﻪ رﻗﺒﺎي ﺧﻮد دﺳﺖ ﺑﻪ ﭼﻨﯿﻦ ﺣﻤﻠﻪ ﻫﺎﯾﯽ ﻣﯽ زﻧﻨﺪ، ﺑﺮاي ﻣﺜﺎل اﮔﺮ ﺳﺮور ﯾﮏ ﺷﺮﮐﺖ Hostingﺑﺎ اﺳﺘﻔﺎده از اﯾﻦ
ﺣﻤﻠﻪ ﻫﺎ ﺣﺘﯽ ﺑﺮاي 1 ﺳﺎﻋﺖ ﺧﺎﻣﻮش ﺷﻮد و ﻧﺘﻮاﻧﺪ ﺑﻪ ﮐﺎرﺑﺮان ﺧﻮد ﺳﺮوﯾﺲ ﺑﺪﻫﺪ ﻣﻄﻤﺌﻨﺎً ﺧﯿﻠﯽ از ﮐﺎرﺑﺮان ﺧﻮد را از دﺳﺖ ﻣﯽ دﻫﺪ زﯾﺮا ﺑﺮاي ﯾﮏ
ﺳﺎﯾﺖ ﺗﺠﺎري ﮐﻪ ﺑﺮ روي اﯾﻦ hostingﻓﻀﺎ دارد 1 ﺳﺎﻋﺖ ﺧﺎﻣﻮش ﺑﻮدن ﺳﺎﯾﺖ ﺑﺮاﺑﺮ اﺳﺖ ﺑﺎ ﻫﺰاران دﻻر ﺿﺮر ﻣﺎﻟﯽ و اﯾﻦ ﺑﻪ ﻧﻔﻊ رﻗﯿﺐ اﯾﻦ ﺷﺮﮐﺖ
hostingاﺳﺖ زﯾﺮا ﻣﺸﺘﺮﯾﺎن اﯾﻦ
hostingآن را ﺗﺮك ﮐﺮده و از ﺧﺪﻣﺎت ﺷﺮﮐﺖ ﻃﺮف ﻣﻬﺎﺟﻢ اﺳﺘﻔﺎده ﺧﻮاﻫﻨﺪ ﮐﺮد.
اﻧﻮاع اﯾﻦ ﺣﻤﻼت و ﺑﺮﻧﺎﻣﻪ ﻫﺎﯾﯽ ﮐﻪ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ ﺑﺮاي ﻫﺮ ﮐﺪام از ﺣﻤﻼت docاﺳﺘﻔﺎده ﻣﯽ ﺷﻮد .در ﮐﻞ Dos Attackﺑﻪ دو دﺳﺘﻪ ﺗﻘﺴﯿﻢ ﻣﯽ ﺷﻮد.
- 6. 1 -ﺗﻮﻗﻒ ﺳﺮوﯾﺲ ﻫﺎ
2 - ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ
ﻣﺘﻮﻗﻒ ﮐﺮدن ﯾﮏ ﺳﺮوﯾﺲ ﺑﻪ ﻣﻌﻨﯽ اﯾﺠﺎد اﺧﺘﻼل در ﯾﮏ ﺳﺮوﯾﺲ ﺧﺎص اﺳﺖ ﮐﻪ ﮐﺎرﺑﺮان ﻣﯽ ﺧﻮاﻫﻨﺪ ﺑﻪ آن دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﻨﺪ وﻟﯽ در ﺣﻤﻼت
ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ ﺧﻮد ﺳﺮوﯾﺲ ﻫﻤﭽﻨﺎن ﺑﻪ ﮐﺎر ﺧﻮد اداﻣﻪ ﻣﯽ دﻫﺪ
وﻟﯽ ﻫﮑﺮﻫﺎ ﻣﻨﺎﺑﻊ ﺷﺒﮑﻪ ﯾﺎ ﮐﺎﻣﭙﯿﻮﺗﺮ را ﺑﺎ ﻫﺪف ﺟﻠﻮﮔﯿﺮي از دﺳﺖ ﯾﺎﺑﯽ ﮐﺎرﺑﺮان ﻣﺠﺎز ﺑﻪ ﺳﺮوﯾﺲ ﻣﺼﺮف ﯾﺎ
ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﻪ ﺻﻮرت ﻣﺤﻠﯽ و ﯾﺎ از ﻃﺮﯾﻖ ﺷﺒﮑﻪ ﺑﻪ ﺳﻤﺖ ﻫﺪف Dosﻫﺪر ﻣﯽ دﻫﻨﺪ .اﯾﻦ دو دﺳﺘﻪ از ﺣﻤﻼت
ﺑﻪ ﮐﺎر ﮔﺮﻓﺘﻪ ﺷﻮﻧﺪ
________Stopping Services______Exhausting Resources
+ + *process killing + *for king processes to
+ + *system reconfiguring + fill the process table
+ + *process crashing + *filling up the whole
+ file system
+
+ ,.+ *malformed packet + *packet floods, (e.g
+ ,+ atacks (e.g.,land, + SYN Flood, smurf
).(across the + teardrop,etc
+ + distributed denial
+ )network) + + of Service
Locally
Remotely
در ﻧﻤﻮدار ﺑﺎﻻ روش ھﺎ denial of serviceﺑﺮاﺳﺎس روش ھﺎي ﺑﺮﺟﺴﺘﻪ dosدﺳﺘﻪ ﺑﻨﺪي ﺷﺪه اﺳﺖ .
ﻣﺘﻮﻗﻒ ﮐﺮدن ﺳﺮوﯾﺲ ﻫﺎي
ﻣﺤﻠﯽ): (Stopping Services
ﺑﺎ اﺳﺘﻔﺎده از ﯾﮏ accountﻣﺤﻠﯽ روي ﯾﮏ ﻣﺎﺷﯿﻦ، ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﯾﮏ ﺣﻤﻠﻪ
dosﮐﻪ ﺑﻮﺳﯿﻠﻪ ﻣﺘﻮﻗﻒ ﮐﺮدن ﭘﺮدازش ﻫﺎي ﺑﺎ ارزش ﮐﻪ ﺳﺮوﯾﺲ ﻫﺎ را
ﺗﺸﮑﯿﻞ دادﻧﺪ اﻧﺠﺎم ﺑﺪﻫﺪ ﺑﺮاي ﻣﺜﺎل ﯾﮏ ﻫﮑﺮ روي ﯾﮏ ﺳﯿﺴﺘﻢ ﯾﻮﻧﯿﮑﺲ ﻣﯽ ﺗﻮاﻧﺪ ﭘﺮدازش intedرا ﻣﺘﻮﻗﻒ ﮐﻨﺪ اﻟﺒﺘﻪ در ﺻﻮرﺗﯽ ﮐﻪ از اﻣﺘﯿﺎزات رﯾﺸﻪ
اي ﯾﺎ rootﺑﺮﺧﻮردار ﺑﺎﺷﺪ
intedﻣﺴﺌﻮل ﺷﻨﻮد ارﺗﺒﺎﻃﺎت ﺷﺒﮑﻪ اي و اﺟﺮاي ﺳﺮوﯾﺲ ﻫﺎي ﺧﺎﺻﯽ ﻣﺜﻞ telnet –ftpدر ﻫﻨﮕﺎم ﺑﻪ وﺟﻮد آﻣﺪن
ﺗﺮاﻓﯿﮏ ﺑﺮاي آﻧﻬﺎﺳﺖ .ﻣﺘﻮﻗﻒ ﮐﺮدن intedاز دﺳﺖ ﯾﺎﺑﯽ ﻫﺮ ﮐﺎرﺑﺮي ﺑﻪ ﺳﯿﺴﺘﻢ از ﻃﺮﯾﻖ ﻫﺮ ﻧﻮع ﺳﺮوﯾﺲ آﻏﺎز ﺷﺪه ﯾﺎ intedﺟﻠﻮﮔﯿﺮي ﻣﯽ ﮐﻨﺪ ﮐﻪ
اﯾﻦ ﺷﺎﻣﻞ telnetو ftpﻫﻢ ﻣﯽ ﺷﻮد . ﻫﮑﺮ ﻣﻨﺎﺑﻊ را ﺗﻠﻒ ﻧﻤﯽ ﮐﻨﺪ ﻓﻘﻂ ﺗﻨﻬﺎ ﮐﺎري ﮐﻪ ﻣﯽ ﮐﻨﺪ اﯾﻦ اﺳﺖ ﮐﻪ ﺟﺰء اﺻﻠﯽ و ﺣﯿﺎﺗﯽ ﺳﺮوﯾﺲ ﻫﺎ را از ﮐﺎر
ﻣﯽ اﻧﺪازد.
آﻧﻬﺎ ﺑﺎ دﺳﺘﺮﺳﯽ loginﻣﺤﻠﯽ ﺑﻪ ﯾﮏ ﻣﺎﺷﯿﻦ از راه ﻫﺎي ﻣﺨﺘﻠﻔﯽ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﺮاي از ﮐﺎر اﻧﺪاﺧﺘﻦ ﺳﺮوﯾﺲ ﻫﺎي ﻣﺤﻠﯽ اﺳﺘﻔﺎده ﮐﻨﺪ.
- 7. 1- Process Killingﭘﺎﯾﺎن
ﭘﺮدازش :
ﯾﮏ ﻫﮑﺮ ﺑﺎ اﻣﺘﯿﺎزاﺗﯽ ﮐﻪ ﺑﻪ دﺳﺖ آورده اﺳﺖ ﻣﺜﻞ ﺳﻄﺢ رﯾﺸﻪ روي ﯾﮏ ﺳﯿﺴﺘﻢ ﯾﻮﻧﯿﮑﺲ ﯾﺎ Administratorروي وﯾﻨﺪوز ﺑﻪ آﺳﺎﻧﯽ ﻣﯽ ﺗﻮاﻧﺪ ﭘﺮدازش
ﻫﺎي ﻣﺤﻠﯽ را در ﯾﮏ ﺣﻤﻠﻪ Dosﺧﺎﺗﻤﻪ ﺑﺪﻫﺪ زﯾﺮا وﻗﺘﯽ ﯾﮏ ﭘﺮدازش ﻣﺎﻧﻨﺪ ﯾﮏ ﺳﺮور dnsﯾﺎ webدر ﺣﺎل اﺟﺮا ﻧﯿﺴﺖ، ﻧﻤﯽ ﺗﻮاﻧﺪ ﺑﻪ درﺧﻮاﺳﺖ ﻫﺎي
ﮐﺎرﺑﺮان ﺳﺮوﯾﺲ دﻫﺪ.
2- ) System Reconfigurationﺗﻨﻈﯿﻢ ﻣﺠﺪد ﺳﯿﺴﺘﻢ (:
ﻫﮑﺮﻫﺎ ﺑﺎ اﻣﺘﯿﺎزاﺗﯽ ﮐﻪ ﺑﻪ دﺳﺖ ﻣﯽ آورﻧﺪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﯾﮏ ﺳﯿﺴﺘﻢ را ﺑﻪ ﮔﻮﻧﻪ اي ﺗﻨﻈﯿﻢ ﻣﺠﺪد ﮐﻨﻨﺪ ﮐﻪ دﯾﮕﺮ ﺳﺮوﯾﺲ را ﭘﯿﺸﻨﻬﺎد ﻧﮑﻨﺪ و ﯾﺎ ﮐﺎرﺑﺮان ﺧﺎﺻﯽ
از ﻣﺎﺷﯿﻦ ﻓﯿﻠﺘﺮ ﮐﻨﺪ .ﺑﺮاي ﻣﺜﺎل روي ﯾﮏ ﺳﺮور ﻓﺎﯾﻞ وﯾﻨﺪوز
NTﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﻣﺎﺷﯿﻦ را ﺑﻪ راﺣﺘﯽ ﺑﻪ وﺳﯿﻠﻪ ﺗﻮﻗﻒ اﺷﺘﺮاك ﻓﺎﯾﻞ ﻫﺎ در ﺷﺒﮑﻪ ﻣﺠﺪداً
ﺗﻨﻈﯿﻢ ﮐﻨﺪ ﮐﻪ ﺑﺎﻋﺚ ﻋﺪم دﺳﺘﺮﺳﯽ از راه دور ﮐﺎرﺑﺮان ﻣﺠﺎز ﺑﻪ داده ﻫﺎي ﺑﺎ ارزش روي ﺳﺮوﯾﺲ دﻫﻨﺪه ﻓﺎﯾﻞ ﻣﯽ ﺷﻮد .در ﺣﺎﻟﺖ دﯾﮕﺮ ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﯾﮏ
ﺳﯿﺴﺘﻢ ﯾﻮﻧﯿﮑﺲ را Httpﻃﻮري ﮐﻪ ﺷﺮوع ﺑﻪ ﮐﺎر ﻧﮑﻨﺪ، ﺗﻨﻈﯿﻢ ﻣﺠﺪد ﮐﻨﺪ ﮐﻪ ﻋﻤﻼً از دﺳﺘﺮﺳﯽ وب ﺑﻪ ﺳﯿﺴﺘﻢ ﺟﻠﻮﮔﯿﺮي ﻣﯽ ﮐﻨﺪ.
3- ) Process Crashingاﺧﺘﻼل در ﭘﺮدازش (:
ﺣﺘﯽ اﮔﺮ ﻫﮑﺮ اﻣﺘﯿﺎزات ﮐﺎرﺑﺮ ﺳﻄﺢ ﺑﺎﻻ را ﻧﺪاﺷﺘﻪ ﺑﺎﺷﺪ ﺑﺎز ﻫﻢ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎ ﺳﻮء اﺳﺘﻔﺎده از ﻧﻘﻄﻪ ﺿﻌﻒ ﺳﯿﺴﺘﻢ ﺑﻪ آن ﺣﻤﻠﻪ ﮐﻨﺪ .ﺑﺮاي ﻣﺜﺎل ﻣﺎ ﻣﯽ ﺗﻮاﻧﯿﻢ
از ﺳﺮ رﯾﺰ ﯾﮏ ﺑﺎﻓﺮ ﭘﺸﺘﻪ اي ﺑﻪ اﯾﻦ ﺷﮑﻞ ﺳﻮء اﺳﺘﻔﺎده ﮐﻨﯿﻢ و داده ﻫﺎي ﺗﺼﺎدﻓﯽ را ﭘﺸﺖ ﺳﺮ ﻫﻢ وارد ﯾﮏ ﭘﺮدازش ﻣﺤﻠﯽ ﮐﻨﯿﻢ و اﯾﻦ ﻫﻢ ﺑﺨﺎﻃﺮ اﯾﻦ
اﺳﺖ ﮐﻪ اﺷﺎره ﮔﺮ ﺑﺎزﮔﺸﺘﯽ ) ( RETURNروي ﭘﺸﺘﻪ در ﻃﯽ اﯾﻦ ﺣﻤﻠﻪ ﺳﺮﺑﺎر ﺗﺼﺎدﻓﯽ اﺳﺖ و ﭘﺮدازش ﻣﻘﺼﺪ ﺑﻪ راﺣﺘﯽ دﭼﺎر اﺧﺘﻼل ﻣﯽ ﺷﻮد و
دﺳﺘﺮﺳﯽ ﮐﺎرﺑﺮ را ﺗﮑﺬﯾﺐ ﻣﯽ ﮐﻨﺪ.
اﯾﻦ ﮐﺎر را ﻣﯽ ﺷﻮد ﺑﺎ ﺑﻤﺐ ﻫﺎي ﻣﻨﻄﻘﯽ اﻧﺠﺎم داد ﮐﻪ ﻣﺜﺎل ﺧﻮﺑﯽ در اﯾﻦ زﻣﯿﻨﻪ از ﺣﻤﻼت Dosاﺳﺖ. ﺑﺮاي ﭼﻨﯿﻦ ﺣﻤﻠﻪ ﻫﺎﯾﯽ ﻫﮑﺮ ﯾﮏ ﺑﺮﻧﺎﻣﻪ ﺑﻤﺐ ﻣﻨﻄﻘﯽ را
روي ﯾﮏ ﻣﺎﺷﯿﻦ ﮐﺎر ﻣﯽ ﮔﺬارد ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ ﺗﺤﺖ ﺷﺮاﯾﻂ ﻣﺨﺘﻠﻔﯽ ﻓﻌﺎل ﺷﻮد، ﻣﺜﻞ زﻣﺎن ﺳﭙﺮي ﺷﺪه، ﻓﻌﺎل ﯾﺎ ﺑﺎز ﺷﺪن ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺧﺎص دﯾﮕﺮ LOGIN
ﺷﺪن USERﻫﺎي ﺧﺎص ﺑﻪ ﻣﺤﺾ ﻓﻌﺎل ﺷﺪن ﺑﻤﺐ ﻣﻨﻄﻘﯽ ﺑﺮﻧﺎﻣﻪ ﺑﺎ ﺗﮑﺬﯾﺐ ﺳﺮوﯾﺲ روي ﻣﺎﺷﯿﻦ ﭘﺮدازﺷﯽ را دﭼﺎر اﺧﺘﻼل ﻣﯽ ﮐﻨﺪ و ﯾﺎ ﻣﻮﺟﺐ ﺗﻮﻗﻒ
آن ﻣﯽ ﺷﻮد.
دﻓﺎع در ﺑﺮاﺑﺮ ﺗﻮﻗﻒ ﻣﺤﻠﯽ ﺳﺮوﯾﺲ ﻫﺎ
ﺑﺮاي ﺟﻠﻮﮔﯿﺮي از ﺗﻮﻗﻒ ﻣﺤﻠﯽ ﺳﺮوﯾﺲ ﻫﺎ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ ﺑﺎﯾﺪ از ﺑﺴﺘﻪ ﺑﻮدن ﭘﻮرت ﻫﺎي اﺿﺎﻓﯽ و درزﻫﺎي ﺳﯿﺴﺘﻢ ﺧﻮد اﻃﻤﯿﻨﺎن ﺧﺎص ﮐﻨﯿﺪ. اﯾﻦ ﮐﺎر را ﻣﯽ
ﺗﻮاﻧﯿﺪ ﺑﺎ اﺳﺘﻔﺎده از ﭘﻮرت اﺳﮑﻨﺮﻫﺎ و ﭘﻮﯾﺸﮕﺮ ﻫﺎي آﺳﯿﺐ ﭘﺬﯾﺮي اﻧﺠﺎم دﻫﯿﺪ و ﺳﯿﺴﺘﻢ را ﻃﻮري ﭘﯿﮑﺮﺑﻨﺪي ﮐﻨﯿﺪ ﮐﻪ ﻫﮑﺮ ﻗﺎدر ﺑﻪ اﯾﺠﺎد اﺧﺘﻼل از ﻃﺮﯾﻖ ﻧﻘﺎط
ﺿﻌﻒ ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﻧﺼﺐ ﺷﺪه ﺑﺮ روي ﺳﯿﺴﺘﻢ ﺷﻤﺎ وﭘﻮرت ﻫﺎي ﺑﺎز آن ﻧﺪاﺷﺘﻪ ﺑﺎﺷﺪ وﻧﺼﺐ ﺑﺮﻧﺎﻣﻪ ﻫﺎي اﻣﻨﯿﺘﯽ و SERVICE PACK
ﻣﻮﺟﺐ اﯾﻤﻦ ﺗﺮ
ﺷﺪن ﺳﯿﺴﺘ ﻢ ﺷﻤﺎ در ﺑﺮاﺑﺮ ﺣﻤﻼت ﻫﮑﺮﻫﺎ و ﻋﺪم دﺳﺘﺮﺳﯽ آﻧﻬﺎ ﺑﻪ ACCOUNTاي روي ﻣﺎﺷﯿﻦ ﺷﻤﺎ ﻣﯽ ﺷﻮد .ﻧﮑﺘﻪ ﺑﻌﺪي ﮐﻪ ﺑﺎﯾﺪ رﻋﺎﯾﺖ ﮐﻨﯿﺪ اﯾﻦ
اﺳﺖ ﮐﻪ از دادن اﻣﺘﯿﺎزات ﮐﺎرﺑﺮي ﺳﻄﺢ ﺑﺎﻻ ﺑﻪ اﻓﺮادي ﮐﻪ در ﺳﯿﺴﺘﻢ ﺷﻤﺎ اﺷﺘﺮاك دارﻧﺪ ﺧﻮدداري ﮐﻨﯿﺪ، ﮐﺎرﺑﺮان ﻓﻘﻂ ﺑﺎﯾﺪ از ﺣﻖ دﺳﺘﺮﺳﯽ ﮐﻪ ﺑﺮاي
اﻧﺠﺎم ﮐﺎرﻫﺎﯾﺸﺎن ﺣﺘﯿﺎج دارﻧﺪ ﺑﺮﺧﻮردار ﺑﺎﺷﻨﺪ و در ﻧﻬﺎﯾﺖ ﺑﺮاي ردﮔﯿﺮي ﺗﻐﯿﯿﺮات ﺑﻪ ﻋﻤﻞ آﻣﺪه روي ﺗﻨﻈﯿﻤﺎت ﺳﯿﺴﺘﻢ ﻣﻠﺰم ﺑﻪ اﺟﺮاي ﺑﺮﻧﺎﻣﻪ ﻫﺎي
- 8. Integrity Checkingﺑﺮرﺳﯽ ﺟﺎﻣﻌﯿﺖ ) ﻣﺎﻧﻨﺪ (Tripwireﮐﻪ ﻣﯽ ﺗﻮاﻧﯿﺪ اﯾﻦ ﺑﺮﻧﺎﻣﻪ را از ﺳﺎﯾﺖ www.tripwire.comدرﯾﺎﻓﺖ ﮐﻨﯿﺪ .اﯾﻦ
ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﻓﺎﯾﻞ ﻫﺎي ﺳﯿﺴﺘﻢ ﻣﺜﻞ ﻓﺎﯾﻞ ﻫﺎي
ﺗﻨﻈﯿﻤﺎت و ﻓﺎﯾﻞ ﻫﺎي اﺟﺮاﯾﯽ ﺣﺴﺎس روي ﻣﺎﺷﯿﻦ را ﺑﺮاي ﮐﺴﺐ اﻃﻤﯿﻨﺎن از ﺗﻐﯿﯿﺮ ﻧﮑﺮدن آﻧﻬﺎ ﺑﺎزرﺳﯽ ﻣﯽ ﮐﻨﻨﺪ ﮐﻨﻨﺪ و درﺻﻮرت ﻣﺸﺎﻫﺪه ﻣﻮردي ﻣﺸﮑﻮك
آن را ﺳﺮﯾﻊ ﺑﻪ اﻃﻼع ﺷﻤﺎ ﻣﯽ رﺳﺎﻧﻨﺪ.
ﺗﻀﻌﯿﻒ و ﺑﻪ ﮐﺎرﮔﯿﺮي ﺑﯿﺶ از ﺣﺪ از ﻣﻨﺎﺑﻊ ﻣﺤﻠﯽ
ﺗﻀﻌﯿﻒ و ﺑﻪ ﮐﺎرﮔﯿﺮي ﺑﯿﺶ از ﺣﺪ از ﻣﻨﺎﺑﻊ ﻣﺤﻠﯽ ﻧﻮع ﻣﺘﺪاول دﯾﮕﺮي از
Dos Attackﻣﺤﺴﻮب ﻣﯽ ﺷﻮد ﮐﻪ ﺷﺎﻣﻞ اﺟﺮاي ﺑﺮﻧﺎﻣﻪ اي از ﯾﮏ
accountدﯾﮕﺮ روي ﻣﺎﺷﯿﻦ ﻫﺪف اﺳﺖ ﮐﻪ ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻢ را روي ﺧﻮد ﻫﺪف ﺗﻔﺴﯿﺮ ﻣﯽ ﮐﻨﺪ .وﻗﺘﯽ ﮐﻪ ﺗﻤﺎم ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻢ ﺗﻀﻌﯿﻒ ﻣﯽ ﺷﻮﻧﺪ، ﺳﯿﺴﺘﻢ
ﻣﻤﮑﻦ اﺳﺖ ﻣﺘﻮﻗﻒ ﺷﻮد ﮐﻪ اﯾﻦ ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﮐﺎرﺑﺮان ﺳﺮور ﻧﺘﻮاﻧﻨﺪ از ﺳﺮوﯾﺲ آن ﺳﺮور اﺳﺘﻔﺎده ﮐﻨﻨﺪ .ﻫﺮ ﭼﻘﺪر ﻫﻢ ﮐﻪ ﺳﯿﺴﺘﻢ ﻫﺎي ﻋﺎﻣﻞ ﺗﻼش ﮐﻨﻨﺪ
ﮐﻪ اﻣﻨﯿﺖ ﺧﻮد را ﺑﺎﻻ ﺑﺒﺮﻧﺪ ﺑﺎز ﻫﻢ ﯾﮏ ﻫﮑﺮ ﺑﺎﺗﺠﺮﺑﻪ ﻣﯽ ﺗﻮاﻧﺪ راه ﻫﺎﯾﯽ را ﺑﺮاي ﻧﻔﻮذ و ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺗﮑﻨﯿﮏ ﻫﺎي ﭘﻮﯾﺶ ﭘﯿﺪا ﮐﻨﺪ.
راه ﻫﺎ و روش ﻫﺎي ﻣﺘﺪاول ﺑﺮاي ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ:
ﭘﺮ ﮐﺮدن ﺟﺪول ﭘﺮدازش:
ﯾﮏ ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺮﻧﺎﻣﻪ اي ﺑﻨﻮﯾﺴﺪ ﮐﻪ ﺑﻪ راﺣﺘﯽ ﭘﺮدازش دﯾﮕﺮي را وادار ﺑﻪ اﺟﺮاي ﮐﭙﯽ ﺧﻮدش ﻧﻤﺎﯾﺪ .اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﺑﺎزﮔﺸﺘﯽ ﻧﯿﺰ ﭘﺮدازش دﯾﮕﺮي را وادار ﺑﻪ
اﺟﺮاي ﻫﻤﺎن ﺑﺮﻧﺎﻣﻪ ﻣﯽ ﮐﻨﺪ .ﺑﺎ اﺳﺘﻔﺎده از اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﻫﮑﺮ ﻗﺎدر ﺑﻪ اﯾﺠﺎد ﭘﺮدازش ﻫﺎﯾﯽ ﺑﻪ ﻫﻤﺎن ﺳﺮﻋﺖ ﮐﻪ ﺳﯿﺴﺘﻢ آﻧﻬﺎ را ﺑﺮاي userاﺟﺮا ﻣﯽ ﮐﻨﺪ،
ﺧﻮاﻫﺪ ﺑﻮد .در ﻧﻬﺎﯾﺖ ﺟﺪول ﭘﺮدازش روي ﻣﺎﺷﯿﻦ ﭘﺮ ﻣﯽ ﺷﻮد ﺗﺎ ﮐﺎرﺑﺮان دﯾﮕﺮ را از اﺟﺮاي ﭘﺮدازﺷﻬﺎ ﺑﺎز دارد و دﺳﺘﺮﺳﯽ آﻧﻬﺎ را ﺗﮑﺬﯾﺐ ﮐﻨﺪ.
ﻓﺮﺳﺘﺎدن ﺗﺮاﻓﯿﮏ ﮐﻪ ﺑﺎﻋﺚ اﻧﺴﺪاد ﭘﯿﻮﻧﺪﻫﺎي ارﺗﺒﺎﻃﯽ ﻣﯽ ﺷﻮد :
در اﯾﻦ روش ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺮﻧﺎﻣﻪ اي ﺑﻨﻮﯾﺴﺪ ﮐﻪ ﺗﺮاﻓﯿﮏ ﺷﺒﮑﻪ اي ﺳﺎﺧﺘﮕﯽ ﯾﺎ ﺟﻌﻠﯽ را از ﺳﯿﺴﺘﻢ ﻣﻘﺼﺪ ﺑﻔﺮﺳﺘﺪ ﺗﺎ ﺑﺎﻋﺚ ﺗﻠﻒ ﺷﺪن cpuﻣﯽ ﺷﻮد اﮔﺮ
ﺑﺮﻧﺎﻣﻪ ﻫﮑﺮ ﺑﺴﺘﻪ ﻫﺎﯾﯽ ﺗﻮﻟﯿﺪ ﮐﻨﺪ، ﮐﺎرﺑﺮان ﻣﺠﺎز ﻗﺎدر ﺑﻪ ﻓﺮﺳﺘﺎدن ﺗﺮاﻓﯿﮏ از وب ﺳﯿﺴﺘﻢ ﻧﺨﻮاﻫﻨﺪ ﺑﻮد.
ﭘﺮ ﮐﺮدن ﺳﯿﺴﺘﻢ
ﻓﺎﯾﻞ :
ﺑﺎ ﻧﻮﺷﺘﻦ ﻣﻘﺪار ﻣﺘﻨﺎﺑﻬﯽ داده ﺑﻪ ﻃﻮر ﺛﺎﺑﺖ ﺑﺮ روي ﺳﯿﺴﺘﻢ ﻓﺎﯾﻞ، ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺗﻤﺎم ﺑﺎﯾﺖ ﻫﺎي ﻗﺎﺑﻞ دﺳﺘﺮس روي ﭘﺎرﺗﯿﺸﻦ دﯾﺴﮏ را ﭘﺮ ﮐﻨﺪ ﮐﻪ ﺑﺎ
اﯾﻦ ﮐﺎر ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﮐﺎرﺑﺮان دﯾﮕﺮ از ﻧﻮﺷﺘﻦ ﻋﺎﺟﺰ ﺷﻮﻧﺪ ﮐﻪ ﺑﺎﻋﺚ اﯾﺠﺎد اﺧﺘﻼل در ﺳﯿﺴﺘﻢ ﻣﯽ ﺷﻮد.
راه ﻫﺎي دﻓﺎﻋﯽ زﯾﺎدي ﻫﻢ ﺑﺮاي اﯾﻦ ﻧﻮع ﺣﻤﻼت وﺟﻮد دارد ﮐﻪ ﯾﮏ ﻧﻤﻮﻧﻪ آن ﻧﺼﺐ ﺳﯿﺴﺘﻢ ﻫﺎي ردﮔﯿﺮي ﻧﻔﻮذHost-base
ﯾﺎ ﺳﯿﺴﺘﻢ ﻫﺎي monitoringاﺳﺖ ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ ﺑﻪ ﺷﻤﺎ در ﻫﻨﮕﺎم ﭘﺎﯾﯿﻦ آﻣﺪن ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻢ ﮐﻪ ﺑﻪ ﺧﺎﻃﺮ اﯾﻦ ﻧﻮع ﺣﻤﻠﻪ اﺳﺖ ﮐﻤﮏ ﮐﻨﺪ و ﺧﺒﺮ ﺑﺪﻫﺪ
وﻟﯽ ﻧﮑﺘﻪ اي ﮐﻪ ﻫﻤﯿﺸﻪ ﺑﺎﯾﺪ ﺑﻪ ﯾﺎد داﺷﺘﻪ اﯾﻦ اﺳﺖ ﮐﻪ ﻫﻤﯿﺸﻪ از وﺟﻮد ﻣﻨﺎﺑﻊ ﮐﺎﻓﯽ ﻣﺜﻞ ﺣﺎﻓﻈﻪ ramﺳﺮﻋﺖ ﭘﺮدازﻧﺪه ﯾﺎ cpuو ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﭘﯿﻮﻧﺪ
ارﺗﺒﺎﻃﯽ در ﺳﯿﺴﺘﻢ ﻫﺎي ﺣﺴﺎس ﺧﻮد اﻃﻤﯿﻨﺎن ﺣﺎﺻﻞ ﮐﻨﯿﺪ.
- 9. ﻣﺘﻮﻗﻒ ﮐﺮدن ﺳﯿﺴﺘﻢ ﻫﺎ از راه
دور :
ﺑﺎ وﺟﻮد اﯾﻨﮑﻪ ﺣﻤﻼت dosﺑﺴﯿﺎر راﺣﺖ و ﻣﻮﺛﺮ ﻫﺴﺘﻨﺪ وﻟﯽ ﺣﻤﻼت dosاز راه دور ﺷﺎﯾﻊ ﺗﺮ ﻫﺴﺘﻨﺪ و ﺑﺴﯿﺎر ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ اﺳﺘﻔﺎده ﻣﯽ ﺷﻮﻧﺪ زﯾﺮا
ﺣﻤﻼت docدر ﺷﺒﮑﻪ ﺑﻪ دﻟﯿﻞ اﯾﻨﮑﻪ اﺣﺘﯿﺎج ﺑﻪ داﺷﺘﻦ ﯾﮏ accountﻣﺤﻠﯽ روي ﻣﺎﺷﯿﻦ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ ﻧﺪارد، ﺑﯿﺸﺘﺮ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮد و
ﻣﯽ ﺗﻮاﻧﺪ از ﺳﯿﺴﺘﻢ ﻫﮑﺮ ﺑﺮ ﻋﻠﯿﻪ ﯾﮏ ﻫﺪف اﺳﺘﻔﺎده ﺷﻮد .ﯾﮑﯽ از ﻣﻌﺮوف ﺗﺮﯾﻦ روﺷﻬﺎي ﺗﻮﻗﻒ از راه دور ﺳﯿﺴﺘﻢ ﻫﺎ، ﺣﻤﻠﻪ ﺑﺴﺘﻪ ﻫﺎي ﺑﺰرگ و ﻧﺎﻫﻨﺠﺎر
اﺳﺖ .اﯾﻦ ﺣﻤﻠﻪ ﻫﺎ در ﭘﺸﺘﻪ tcp/ipﻣﺎﺷﯿﻦ ﻫﺪف ﺑﻪ وﺳﯿﻠﻪ ﻓﺮﺳﺘﺎدن ﯾﮏ ﯾﺎ ﭼﻨﺪ
packetﺑﺎ ﻓﺮﻣﺖ ﻏﯿﺮﻣﻌﻤﻮل ﺑﺮ روي ﻫﺪف، ﺧﻄﺎﯾﯽ را ﺑﺎﻋﺚ ﻣﯽ
ﺷﻮﻧﺪ .اﮔﺮ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ در ﻣﻘﺎﺑﻞ آن ﺑﺴﺘﻪ ﻫﺎي ﺧﺎص آﺳﯿﺐ ﭘﺬﯾﺮ ﺑﺎﺷﺪ دﭼﺎر ﻣﺸﮑﻞ ﻣﯽ ﺷﻮد و اﺣﺘﻤﺎﻻً ﭘﺮدازش ﺧﺎﺻﯽ را ﻣﺘﻮﻗﻒ ﻣﯽ ﮐﻨﺪ و ﯾﺎ ﺣﺘﯽ
ﻣﻮﺟﺐ از ﮐﺎر اﻓﺘﺎدن ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ ﻫﺪف ﻣﯽ ﺷﻮد . ﺣﻤﻠﻪ ﻫﺎي ﺑﺴﺘﻪ ﻫﺎي ﻧﺎﻫﻨﺠﺎر زﯾﺎدي ﺗﺎﺑﺤﺎل ﺳﺎﺧﺘﻪ ﺷﺪه اﻧﺪ ﮐﻪ ﻣﻦ اﺳﺎﻣﯽ ﺑﺮﺧﯽ از اﯾﻦ ﺣﻤﻼت را ﺑﺎ
ﺗﻮﺿﯿﺢ ﮐﻮﺗﺎﻫﯽ در ﻣﻮرد ﻫﺮ ﮐﺪام در زﯾﺮ ﻣﯽ دﻫﻢ.
: Land
ﯾﮏ ﺑﺴﺘﻪ spoofﺷﺪه را ﺑﻪ ﺟﺎﯾﯽ ﮐﻪ آدرس ipﻣﺒﺪا وادرس ipﻣﻘﺼﺪ ﯾﮑﯽ ا ﺳﺖ ﻣﯽ ﻓﺮﺳﺘﺪ .
ﻫﺪف ﺑﺴﺘﻪ اي را درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﺪ ﮐﻪ ﺑﻪ ﻧﻈﺮ ﻣﯽ رﺳﺪ ﻫﻤﺎن ﻫﺪﻓﯽ را ﮐﻪ از آن آﻣﺪه ﻫﻤﺰﻣﺎن روي ﻫﻤﺎن ﻣﺎﺷﯿﻦ ﺗﺮك ﻣﯽ ﮐﻨﺪ .ﭘﺸﺘﻪ ﻫﺎي ﻗﺪﻣﯽ ﺗﺮ
TCP /IPدر ﻣﻘﺎﺑﻞ اﯾﻦ رﺧﺪاد ﻏﯿﺮﻗﺎﺑﻞ اﻧﺘﻈﺎر دﭼﺎر ﺳﺮدرﮔﻤﯽ ﺷﺪه و ﻣﺨﺘﻞ ﻣﯽ ﺷﻮﻧﺪ. LANDدر ﺳﯿﺴﺘﻢ ﻫﺎي وﯾﻨﺪوز ،اﻧﻮاع ﻣﺨﺘﻠﻒ linux
ﻣﺴﯿﺮﯾﺎﺑﻬﺎ و ﭼﺎﭘﮕﺮﻫﺎ ﻣﯽ ﺗﻮاﻧﺪ ﻓﻌﺎﻟﯿﺖ داﺷﺘﻪ ﺑﺎﺷﺪ.
:Ping of Death
ﯾﮏ ﺑﺴﺘﻪ pingﺑﺰرگ ﻣﯽ ﻓﺮﺳﺘﺪ ﭘﺸﺘﻪ ﻫﺎي ﻗﺪﯾﻤﯽ ﺗﺮ TCP/IPﻧﻤﯽ ﺗﻮاﻧﻨﺪ Pingﺑﺴﺘﻪ ﻫﺎي ﺑﺰرﮔﺘﺮ از 46 ﮐﯿﻠﻮﺑﺎﯾﺖ ﺑﻪ ﮐﺎر ﺑﺮﻧﺪ و وﻗﺘﯽ ﯾﮑﯽ از آﻧﻬﺎ
ﻣﯽ رﺳﺪ دﭼﺎر اﺧﺘﻼل ﻣﯽ ﺷﻮﻧﺪ Ping of Deathدر ﺳﯿﺴﺘﻢ ﻫﺎي ﻣﺨﺘﻠﻔﯽ ﻣﺜﻞ وﯾﻨﺪوز، ﻧﺴﺨﻪ ﻫﺎي ﻣﺨﺘﻠﻒ ﯾﻮﻧﯿﮑﺲ ، ﭼﺎﭘﮕﺮﻫﺎ ... ﻣﯽ ﺗﻮاﻧﺪ ﻓﻌﺎﻟﯿﺖ
داﺷﺘﻪ ﺑﺎﺷﺪ.
2:Jolt
اﻧﺒﻮﻫﯽ از ﺗﮑﻪ ﻫﺎي ﺑﺴﺘﻪ ﻫﺎ را ﻣﯽ ﻓﺮﺳﺘﺪ ﮐﻪ در ﻫﯿﭻ ﮐﺪام از آﻧﻬﺎ Fragment-Offsetﺻﻔﺮ ﻧﻤﯽ ﺑﺎﺷﺪ .در ﻧﺘﯿﺠﻪ ﺑﻪ ﻧﻈﺮ ﻣﯽ رﺳﺪ ﮐﻪ ﻫﯿﭻ ﮐﺪام از اﯾﻦ
ﺗﮑﻪ ﻫﺎ، ﺗﮑﻪ اول ﻧﺒﺎﺷﺪ .در ﻃﻮل زﻣﺎﻧﯽ ﮐﻪ اﻧﺒﻮه ﺗﮑﻪ ﻫﺎ ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮﻧﺪ، ﺳﻮار ﮐﺮدن اﯾﻦ ﺗﮑﻪ ﻫﺎي ﻗﻼﺑﯽ ﺗﻤﺎﻣﯽ ﻇﺮﻓﯿﺖ CPUروي ﻣﺎﺷﯿﻦ ﻫﺪف را
اﺷﻐﺎل ﻣﯽ ﮐﻨﺪ .اﯾﻦ روش ﻣﯽ ﺗﻮاﻧﺪ در وﯾﻨﺪوز0002 - 9X -NTﺑﻪ ﮐﺎر ﺑﺮود.
, Newtear , Book , Syndrop
:Teardrop
اﺑﺰارﻫﺎي ﻣﺨﺘﻠﻔﯽ ﮐﻪ ﺗﮑﻪ ﻫﺎي ﺑﺴﺘﻪ ﻫﺎي IPﮐﻪ روي ﻫﻢ ﻗﺮار ﮔﺮﻓﺘﻪ را ﻣﯽ ﻓﺮﺳﺘﻨﺪ .ﻣﻘﺎدﯾﺮ Fragment-Offsetدر ﻫﺪرﻫﺎي ﺑﺴﺘﻪ ﺑﻪ ﻣﻘﺎدﯾﺮي ﮐﻪ
درﺳﺖ ﻧﯿﺴﺖ ﺗﻨﻈﯿﻢ ﻣﯽ ﺷﻮد ﺑﻪ ﻃﻮري ﮐﻪ ﻫﻨﮕﺎم ﺳﻮار ﺷﺪن ﺗﮑﻪ ﻫﺎ ﺑﻪ ﻃﻮر ﻣﻨﺎﺳﺐ ﻗﺮار ﻧﻤﯽ ﮔﯿﺮﻧﺪ .ﺑﺮﺧﯽ ﭘﺸﺘﻪ ﻫﺎي TCP /IPوﻗﺘﯽ ﭼﻨﯿﻦ ﺗﮑﻪ
ﻫﺎي روي ﻫﻢ اﻓﺘﺎده اي را درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﻨﺪ، دﭼﺎر ﻣﺸﮑﻞ و اﺧﺘﻼل ﻣﯽ ﺷﻮﻧﺪ .اﯾﻦ اﺑﺰارﻫﺎ در وﯾﻨﺪوز 9 x - NTو ﻣﺎﺷﯿﻦ ﻫﺎي ﻟﯿﻨﻮﮐﺲ ﻣﯽ ﺗﻮاﻧﻨﺪ
ﻓﻌﺎﻟﯿﺖ داﺷﺘﻪ ﺑﺎﺷﻨﺪ.
- 10. :Winnuke
اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﮐﻪ ﺑﺴﯿﺎر ﻫﻢ ﻣﻌﺮوف اﺳ ﺖ داده ﻫﺎي ﺑﯽ ﻣﺼﺮﻓﯽ را ﺑﻪ ﯾﮏ ﻓﺎﯾﻞ ﺑﺎز اﺷﺘﺮاك ﭘﻮرت931 TCPﮐﻪ ﭘﻮرت NETBIOSاﺳﺖ روي ﯾﮏ ﻣﺎﺷﯿﻦ
وﯾﻨﺪوز ﻣﯽ ﻓﺮﺳﺘﺪ .وﻗﺘﯽ داده ﺑﻪ ﭘﻮرﺗﯽ ﮐﻪ ﻃﺒﻖ ﭘﺮوﺗﮑﻞ )server message block(SMBﻣﺠﺎز ﻓﺮﻣﺖ ﻧﺸﺪه ﻣﯽ رود، ﺳﯿﺴﺘﻢ دﭼﺎر اﺧﺘﻼل ﻣﯽ
ﺷﻮد WinNukeدر وﯾﻨﺪوز 9X-NTﻣﯽ ﺗﻮاﻧﺪ ﻓﻌﺎﻟﯿﺖ داﺷﺘﻪ ﺑﺎﺷﺪ .
ﻫﻤﺎﻧﻄﻮر ﮐﻪ در ﻋﮑﺲ ﺑﺎﻻ ﻣﺸﺎﻫﺪه ﻣﯽ ﮐﻨﯿﺪ ﺑﻌﺪ از اﺟﺮا ﮐﺮدن Winnukeﮐﻪ از ﻃﺮﯾﻖ MS DOS Promptﻫﻢ اﺟﺮا ﻣﯽ ﺷﻮد در ﺧﻂ Usageروش
اﺳﺘﻔﺎده از اﯾﻦ اﺑﺰار و دﺳﺘﻮري ﮐﻪ ﺑﺎﯾﺪ ﺑﺮاي Dosﮐﺮدن ﯾﮏ ﺳﯿﺴﺘﻢ ﺳﺮور ﯾﺎ ﮐﻼﯾﻨﺖ در ﺑﺮﻧﺎﻣﻪ Winnukeﺑﺪﻫﯿﺪ ﮐﺎﻣﻞ ﺷﺮح داده ﺷﺪه اﺳﺖ ودر
ﭘﻮرت 531 ﯾﺎ PRFاﻗﺪام ﺑﻪ DOSﮐﺮدن ﺳﯿﺴﺘﻢ ﻫﺪف ﻣﯽ ﮐﻨﺪ اﮔﺮ در ﺳﯿﺴﺘﻤﯽ ﻣﺸﺎﻫﺪه ﮐﺮدﯾﺪ ﮐﻪ اﯾﻦ ﭘﻮرت ﺑﺎز اﺳﺖ ﻣﻄﻤﺌﻦ ﺑﺎﺷﯿﺪ ﻣﯽ ﺗﻮاﻧﯿﺪ
ﺳﯿﺴﺘﻢ را Rebootو Downﮐﻨﯿﺪ .اﻟﺒﺘﻪ اﯾﻦ ﻧﮑﺘﻪ را ﻫﻢ ذﮐﺮ ﮐﻨﻢ ﮐﻪ ﺣﺘﻤﺎً ﻧﺒﺎﯾﺪ ﺑﻪ ﭘﻮرت 531 ﯾﺎ 931 ﺣﻤﻠﻪ ﮐﻨﯿﺪ و ﻣﯽ ﺗﻮاﻧﯿﺪ ﺑﺎ اﺳﺘﻔﺎده از اﯾﻦ
ﻧﺴﺨﻪ ﺣﺘﯽ ﺳﯿﺴﺘﻢ ﻫﺎي وﯾﻨﺪوز را ﺑﺪون دادن ﻫﯿﭻ ﭘﻮرت ﺧﺎﺻﯽ و ﺗﻨﻬﺎ ﺑﺎ دادن آدرس IPآن ﻫﺎ از ﮐﺎر ﺑﯿﺎﻧﺪازﯾﺪ و ﺧﻮد Winnukeﺑﻪ ﺻﻮرت ﻫﻮﺷﯿﺎر
ﺑﻌﺪ از اﺟﺮا ﺷﺪن ﭘﻮرت ﻫﺎي آﺳﯿﺐ ﭘﺬﯾﺮ ﺳﯿﺴﺘﻢ ﻫﺪف را ﺷﻨﺎﺳﺎﯾﯽ ﮐﺮده و ﺑﻪ آﻧﻬﺎ ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪ ﻫﺎي زﯾﺎد و ﺑﯽ ﻣﺼﺮف Attackﻣﯽ ﮐﻨﺪ .
راه ﻫﺎي زﯾﺎدي ﻫﻢ ﺑﺮاي دﻓﺎع در ﻣﻘﺎﺑﻞ Winnukeوﺟﻮد دارد ﮐﻪ اﻟﺒﺘﻪ ﺑﺴﺘﮕﯽ ﺑﻪ ﺗﺠﺮﺑﻪ ﻣﺪﯾﺮ ﯾﮏ ﺳﺮور دارد، ﭘﯿﺸﻨﻬﺎد ﻣﻦ ﺑﻪ ﺷﻤﺎ اﯾﻦ اﺳﺖ ﮐﻪ
ﻫﻤﯿﺸﻪ ﭘﻮرت ﻫﺎي ﺑﺎز ﺑﯽ اﺳﺘﻔﺎده را ﺑﻼك ﮐﻨﯿﺪ و آﻧﻬﺎ را از ﻃﺮﯾﻖ Routerو ﻓﺎﯾﺮوال ﺑﺒﻨﺪﯾﺪ .در ﮐﻨﺎر اﯾﻦ ﻣﯽ ﺗﻮاﻧﯿﺪ از ﺑﺮﻧﺎﻣﻪ ﻫﺎﯾﯽ ﻧﯿﺰ ﮐﻪ ﺑﺮاي دﻓﺎع
در ﻣﻘﺎﺑﻞ Winnukeﻧﻮﺷﺘﻪ ﺷﺪه اﻧﺪ اﺳﺘﻔﺎده ﮐﻨﯿﺪ .
ﺑﻌﻀﯽ از ﺣﻤﻠﻪ ﻫﺎ ﻣﺜﻞ Bookو Teardrop , Newtearﺑﺎﻋﺚ ﺗﮑﻪ ﺗﮑﻪ ﺳﺎزي ﻏﯿﺮﻗﺎﻧﻮﻧﯽ و ﻏﯿﺮﻣﻌﻤﻮل ﻣﯽ ﺷﻮﻧﺪ و اﯾﻦ در ﺣﺎﻟﯽ اﺳﺖ ﮐﻪ دﯾﮕﺮان
ﺑﺴﺘﻪ ﻫﺎﯾﯽ ﺑﺎ ﺣﺠﻢ ﺑﺴﯿﺎر زﯾﺎد ﻣﯽ ﻓﺮﺳﺘﻨﺪ ﻣﺜﻞ Ping of Deathو ﺑﺮﺧﯽ دﯾﮕﺮ ﺑﺴﺘﻪ ﻫﺎي Spoofﺷﺪه ﺑﺎ ﺷﻤﺎره ﭘﻮرت دور از اﻧﺘﻈﺎر را ﻣﯽ ﻓﺮﺳﺘﻨﺪ (
Landو دﯾﮕﺮان ﺑﻪ ارﺳﺎل داده ﻫﺎي ﺑﯽ ﻣﺼﺮف ﺑﻪ ﯾﮏ ﭘﻮرت ﺑﺎز اﮐﺘﻔﺎ ﻣﯽ ﮐﻨﻨﺪ ﺑﺮﺧﯽ از اﯾﻦ ﺣﻤﻼت ﺧﯿﻠﯽ ﻗﺪﯾﻤﯽ ﻫﺴﺘﻨﺪ ﻣﺜﻞ Ping of Death
ﮐﻪ ﻣﺤﺼﻮل ﺳﺎل 6991 اﺳﺖ و ﯾﺎ Landﮐﻬﺪر ﺳﺎل 7991 ﮐﺸﻒ ﺷﺪ . ﺑﺎ وﺟﻮد ﻋﻤﺮ ﻃﻮﻻﻧﯽ اﯾﻦ ﺣﻤﻼت در ﺑﻌﻀﯽ ﻣﻮارد دﯾﺪه ﺷﺪه ﮐﻪ ﻫﻨﻮز ﻫﮑﺮﻫﺎ از
اﯾﻦ روش ﻫﺎ ﺑﺮاي رﺧﻨﻪ در ﻣﻨﺎﻓﺬي ﮐﻪ ﻫﻨﻮز در ﻣﻘﺎﺑﻞ اﯾﻦ ﺣﻤﻠﻪ ﻫﺎي ﻗﺪﯾﻤﯽ ﺑﻪ ﻃﻮر ﻣﻨﺎﺳﺐ ﭘﻮﺷﺶ داده ﻧﺸﺪه اﻧﺪ و Patchﻧﺸﺪه اﻧﺪ اﺳﺘﻔﺎده ﻣﯽ
ﮐﻨﻨﺪ.
- 11. راه دﯾﮕﺮ ﻣﺘﻮﻗﻒ ﺳﺎﺧﺘﻦ ﻣﻮﺛﺮ ﯾﮏ ﺳﺮوﯾﺲ از راه دور ﺟﻠﻮﮔﯿﺮي از آن از ﻃﺮﯾﻘﻪ ﺷﺒﮑﻪ اﺳﺖ
ARP SPOOFINGﯾﮏ ﺗﮑﻨﯿﮏ ﻣﻮﺛﺮ و وﯾﮋه اي ﺑﺮاي
دﺳﺖ ﮐﺎري ارﺗﺒﺎﻃﺎت روي LANاﺳﺖ و ﺟﻬﺖ ﺗﺪارك ﺣﻤﻼت DOSﺑﮑﺎر ﻣﯿﺮود. اﯾﻦ روش ﺑﻪ اﯾﻦ ﺻﻮرت اﺳﺖ ﮐﻪ ﻫﮑﺮي ﮐﻪ داراي ﯾﮏ Account
روي ﻣﺎﺷﯿﻦ در ﻫﻤﺎن LANاﺳﺖ ﻣﯽ ﺗﻮاﻧﺪ از ﺑﺮﻧﺎﻣﻪ Dsniff Arpspoofﺑﻪ ﻋﻨﻮان ﺳﯿﺴﺘﻢ ﻫﺪف ﺳﻮء اﺳﺘﻔﺎده ﮐﻨﺪ .ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﺑﺎ ﻓﺮﺳﺘﺎدن ﺗﻨﻬﺎ
ﯾﮏ ﺑﺴﺖ ARPﮐﻪ SPOOFﺷﺪه اﺳﺖ ﺑﻪ ROUTERروِي LANﺣﺎﻓﻈﻪ ﻣﺨﻔﯽ ، ARPﻣﺴﯿﺮﯾﺎب را ﺑﻪ ﮔﻮﻧﻪ اي دﺳﺖ ﮐﺎري ﮐﻨﺪ ﮐﻪ ﭘﺸﺘﻪ ﻫﺎي در
ﻧﻈﺮ ﮔﺮﻓﺘﻪ ﺷﺪه ﺑﺮاي آدرس ipﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ را ﺑﻪ ﯾﮏ آدرس MACروي LANﮐﻪ اﺻﻼً وﺟﻮد ﺧﺎرﺟﯽ ﻧﺪارد، ﺑﻔﺮﺳﺘﺪ .ﺑﺎ اﯾﻨﮑﻪ ﺗﻤﺎم ﺑﺴﺘﻪ ﻫﺎ ﺑﻪ LAN
ﻓﺮﺳﺘﺎده ﻣﯿﺸﻮﻧﺪ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ ﻫﯿﭻ ﻗﺴﻤﺘﯽ از اﯾﻦ ﺗﺮاﻓﯿﮏ را درﯾﺎﻓﺖ ﻧﻤﯽ ﮐﻨﺪ ﮐﻪ ﻧﺘﯿﺠﻪ آن ﺣﻤﻠﻪ DOSاﺳﺖ ﮐﻪ ﺑﺎ ﺗﻮﻗﻒ ﺳﺮوﯾﺲ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ،
دﯾﮕﺮ ﻧﻤﯽ ﮔﺬارد ﮐﻪ ارﺗﺒﺎط ﺑﺮﻗﺮار ﮐﻨﺪ .ﺑﺎ اﺳﺘﻔﺎده از ARP Spoofingدر واﻗﻊ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ از ﺷﺒﮑﻪ ﺧﺎرج ﻣﯽ ﺷﻮد.
ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ از راه
دور :
اﻣﺮوزه از ﻣﯿﺎن ﺣﻤﻼت DOSﻣﻮﺟﻮد، ﻣﺤﺒﻮﺑﺘﺮﯾﻦ ﺗﮑﻨﯿﮏ ﻫﺎ ﺷﺎﻣﻞ ﺑﺴﺘﻦ ﻣﻨﺎﺑﻊ ﻫﺪف و ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺳﺮور از راه دور اﺳﺖ .در اﯾﻦ ﻧﻮع ﺣﻤﻠﻪ ﻫﺎ ﻫﮑﺮ
ﺳﻌﯽ ﻣﯽ ﮐﻨﺪ ﺗﺎ ﺑﺎ اﺳﺘﻔﺎده از اﻧﺒﻮﻫﯽ از ﺑﺴﺘﻪ ﻫﺎ ﺗﻤﺎم ﻇﺮﻓﯿﺖ ﻣﻮﺟﻮد در ﺷﺒﮑﻪ را اﺷﻐﺎل ﮐﻨﺪ .در ﺣﺎل ﺣﺎﺿﺮ ﻫﮑﺮﻫﺎ ﺑﯿﺸﺘﺮ از اﯾﻦ روش و ﺗﮑﻨﯿﮏ ﻫﺎ
اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﻨﺪ ﮐﻪ ﻣﺤﺒﻮﺑﺘﺮﯾﻦ ﺗﮑﻨﯿﮏ ﻫﺎي ارﺳﺎل ﺳﯿﻞ ﺑﺴﺘﻪ ﻫﺎ از ﻗﺮار زﯾﺮ ﻫﺴﺘﻨﺪ :
Syn flood
ﺣﻤﻼت smurf
ﺣﻤﻼت ﺗﻮزﯾﻊ ﺷﺪه dos
: Syn flood
اﺻﻮﻻً در ﻫﻤﻪ ارﺗﺒﺎﻃﺎت TCPﺑﺎ ﯾﮏ ﺗﺄﯾﯿﺪ ﺳﻪ ﺟﺎﻧﺒﻪ آﻏﺎز ﺑﻪ ﮐﺎر ﻣﯽ ﮐﻨﻨﺪ ﮐﻪ ﺑﺎ ارﺳﺎل ﺑﺴﺘﻪ اي ﺑﻪ ﺑﯿﺖ ﮐﺪSYN
آن، ﺗﻨﻈﯿﻢ ﺷﺪه و ﺷﺮوع ﻣﯽ ﺷﻮد .اﯾﻦ ﺑﺴﺘﻪ ﻫﺎ ﺗﻮﺳﻂ ﮐﻼﯾﻨﺖ ﺑﻪ ﯾﮏ ﺳﺮور از ﻃﺮﯾﻘﻪ ﯾﮏ ﭘﻮرت ﺑﺎز ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد .ﻫﻨﮕﺎﻣﯽ ﮐﻪ ﺳﯿﺴﺘﻢ ﻫﺪف ﺑﺴﺘﻪ
SYNرا ﻣﯽ ﮔﯿﺮﯾﺪ، اوﻟﯿﻦ ﺷﻤﺎره ﺳﺮﯾﺎﻟﯽ ﮐﻪ از ﻣﺒﺪأ ﮔﺮﻓﺘﻪ را ﺑﻪ ﺧﺎﻃﺮ ﻣﯽ آورد و ﯾﮏ ﻧﺴﺨﻪ SYN-ACKﺑﻪ وﺟﻮد ﻣﯽ آورد . ﺧﺐ ﮐﺎري ﮐﻪ ﯾﮏ ﺣﻤﻠﻪ
SYN Floodﻣﯽ ﮐﻨﺪ ﺑﻪ اﯾﻦ ﺻﻮرت اﺳﺖ ﮐﻪ ﻫﮑﺮ ﺳﻌﯽ ﻣﯽ ﮐﻨﺪ ﺗﺎ ﺑﺎ ﻓﺮﺳﺘﺎدن ﺗﻌﺪاد زﯾﺎدي از ﺑﺴﺘﻪ ﻫﺎي SYNﺑﻪ ﻃﺮف ﺳﯿﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ آﻧﺮا ﺗﻀﻌﯿﻒ
ﮐﻨﺪ ﮐﻪ اﯾﻦ ﻫﺪف ﻫﮑﺮﻫﺎ اﺳﺖ ﮐﻪ ﻣﯽ ﺧﻮاﻫﻨﺪ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ را ﺗﻮﺳﻂ ﻓﺮﺳﺘﺎدن ﺑﺴﺘﻪ ﻫﺎي SYNﻣﺸﻐﻮل ﮐﻨﻨﺪ و وﻗﺘﯽ ﺳﯿﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ ﺑﺴﺘﻪ ﻫﺎي
SYNﺑﯿﺸﺘﺮ از ﻇﺮﻓﯿﺖ و ﺗﻮاﻧﺎﯾﯽ ﺧﻮد درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﺪ، ﺗﺮاﻓﯿﮏ ﻣﺠﺎز دﯾﮕﺮي ﻧﻤﯽ ﺗﻮاﻧﺪ ﺑﻪ آن ﺳﺮور ﺑﺮﺳﺪ S YN Floodﺑﻪ 2 روش ارﺗﺒﺎط ﺳﺮور را
ﺗﻀﻌﯿﻒ ﻣﯽ ﮐﻨﺪ :
در روش اول وﻇﯿﻔﻪ اي ﮐﻪ syn floodدارد ﭘﺮ ﮐﺮدن ﺿﻌﻒ ارﺗﺒﺎﻃﯽ ﺳﯿﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ ﺑﺎ ارﺗﺒﺎط ﻧﯿﻤﻪ ﺑﺎز اﺳﺖ.
ﻫﻤﯿﻦ ﮐﻪ ﺳﯿﺴﺘﻢ ﻗﺮﺑﺎﻧﯽ ﺑﺴﺘﻪ SYNدرﯾﺎﻓﺖ ﻣﯽ ﮐﻨﺪ و ﺟﻮاب SYN-ACKآن را ﻣﯽ ﻓﺮﺳﺘﺪ ﺑﺎ اﺳﺘﻔﺎده از ﻣﺪت زﻣﺎن TimeOutﮐﻪ ﺑﯿﺸﺘﺮ از ﯾﮏ
دﻗﯿﻘﻪ ﺗﻨﻈﯿﻢ ﺷﺪه ﻣﻨﺘﻈﺮ ﺗﺄﯾﯿﺪ ﻃﺮف ﺳﻮم ﻣﯽ ﻣﺎﻧﺪ و ﭼﻮن ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ ﭼﻨﺪﯾﻦ ﻣﻨﺒﻊ را ﺑﻪ روي ارﺗﺒﺎط ﺧﻮد ﺑﺮاي ﺣﺬف ﮐﺮدن ﻫﺮ ﺑﺴﺘﻪ SYNورودي
اﺧﺘﺼﺎص ﻣﯽ دﻫﺪ ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﻫﻨﮕﺎﻣﯽ ﮐﻪ ﺳﯿﺴﺘﻢ ﻫﺪف ﻣﻨﺘﻈﺮ ﺗﮑﻤﯿﻞ ﺷﺪن ﺗﺄﯾﯿﺪ ﺳﻪ ﺟﺎﻧﺒﻪ ﻫﺮ ارﺗﺒﺎط ﻧﯿﻤﻪ ﺑﺎز اﺳﺖ، ﺑﻪ ﭘﺮ ﮐﺮدن اﯾﻦ ﺻﻒ ارﺗﺒﺎﻃﯽ
- 12. ﺑﭙﺮدازد .ﺑﺎ ﻓﺮﺳﺘﺎدن ﺑﺴﺘﻪ ﻫﺎي SYNﺑﺮاي ﻣﺼﺮف ﺗﻤﺎم ﻣﮑﺎن ﻫﺎي اﺧﺘﺼﺎص داده ﺷﺪه روي ﺻﻒ ارﺗﺒﺎط، ﻫﯿﭻ ارﺗﺒﺎط دﯾﮕﺮي ﻧﻤﯽ ﺗﻮاﻧﺪ ﺗﻮﺳﻂ ﮐﺎرﺑﺮان
آن ﺳﺮور ﺑﺮﻗﺮار ﺷﻮد .ﺑﺮاي ﻣﻄﻤﺌﻦ ﺷﺪن ﭘﺮ ﺑﻮدن ﺻﻒ ارﺗﺒﺎط
syn floodاﺑﺰارﻫﺎي زﯾﺎدي دارد ﮐﻪ ﺑﺎ اﺳﺘﻔﺎده از آدرس ﻫﺎي ﻣﺒﺪا spoofﺷﺪه ﮐﻪ
روي netﺟﻮاب ﻧﻤﯽ دﻫﻨﺪ ﺑﺴﺘﻪ ﻫﺎي synرا ﻣﯽ ﻓﺮﺳﺘﻨﺪ . ﺧﺐ ﻣﺎ ﻣﯽ ﺗﻮاﻧﯿﻢ ﻣﺠﻤﻮﻋﻪ اي از آدرس ﻫﺎي ipاﻧﺘﺨﺎب ﮐﻨﯿﻢ ﮐﻪ ﻫﯿﭻ ﻣﺎﺷﯿﻨﯽ ﮐﻪ در
ﺣﺎل اﺳﺘﻔﺎده و ارﺗﺒﺎط ﺑﺎ اﯾﻨﺘﺮﻧﺖ اﺳﺖ از آﻧﻬﺎ اﺳﺘﻔﺎده ﻧﮑﻨﺪ، اﯾﻦ ipﻫﺎ ﺑﻪ ﻋﻨﻮان ﻣﺒﺪأ spoofﺷﺪه ﺑﻪ ﮐﺎر ﻣﯽ روﻧﺪ ﭼﻮن ﺟﻮاب ﻫﺎي SYN-ACKاز
ﻣﺎﺷﯿﻦ ﻫﺪف ﻫﯿﭻ وﻗﺖ ﭘﺎﺳﺨﯽ را درﯾﺎﻓﺖ ﻧﻤﯽ ﮐﻨﺪ .اﮔﺮ اﺑﺰار SYN Floodﺑﻪ وﺳﯿﻠﻪ ﯾﮏ آدرس ipاﺧﺘﺼﺎص داده ﺷﺪه ﺑﻪ ﯾﮏ ﻣﺎﺷﯿﻦ ﺣﻘﯿﻘﯽ ﺑﺮ ﺷﻮد
ﻫﺮ Spoofروي اﯾﻨﺘﺮﻧﺖ SYNﮐﻪ ﺗﻮﺳﻂ ﻫﮑﺮ ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد، ﯾﮏ ﺟﻮاب SYN-ACKﻓﺮﺳﺘﺎده ﺷﺪه ﺑﻪ اﯾﻦ ﻣﺎﺷﯿﻦ ﻣﺠﺎز را ﮐﻪ آدرس ﻣﺒﺪأ آن
Spoofﺷﺪه ﺑﻮد را آزاد ﻣﯽ ﮐﻨﺪ .اﯾﻦ ﻣﺎﺷﯿﻦ ﯾﮏ ﺑﺴﺘﻪ SYN-ACKاز ﻫﺪف ﻣﯽ ﮔﯿﺮد و ﭼﻮن ﻫﯿﭻ ارﺗﺒﺎﻃﯽ ﺑﺮﻗﺮار ﻧﺸﺪه ﺑﻮد ﯾﮏ Resetﻣﯽ
ﻓﺮﺳﺘﺪ .ﺑﺴﺘﻪ Resetﻧﯿﺰ ارﺗﺒﺎط را در ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ ﻗﻄﻊ ﻣﯽ ﮐﻨﺪ و ﻣﻨﺒﻊ ﺻﻒ ارﺗﺒﺎط را ﮐﻪ ﻫﮑﺮ اﺳﺘﻔﺎده ﻣﯽ ﮐﺮد را آزاد ﻣﯽ ﮐﻨﺪ.
اﮔﺮ ﺑﺨﻮاﻫﻢ ﺑﻪ زﺑﺎن ﺳﺎده ﻣﺘﻦ ﺑﺎﻻ را ﺑﯿﺎن ﮐﻨﻢ ﺑﻪ اﯾﻦ ﺻﻮرت اﺳﺖ ﮐﻪ ﻫﮑﺮﻫﺎ اﮐﺜﺮاً ﺑﺎ اﺳﺘﻔﺎده از آدرس ﻫﺎي ipﮐﻪ ﺟﻮاب ﻧﻤﯽ دﻫﻨﺪ ﮐﺎر ﺗﻘﻠﯿﺪ را اﻧﺠﺎم
ﻣﯽ دﻫﻨﺪ ﺗﺎ از ﮐﺎر resetﮐﻪ ﻣﻨﺒﻊ ﺻﻒ اﺗﺼﺎل userرا آزاد ﻣﯽ ﮐﻨﺪ ﺟﻠﻮﮔﯿﺮي ﮐﻨﻨﺪ .در ﺣﺎﻟﺖ ﻋﺎدي ﺑﺮاي ﺑﺮﻗﺮاري ﯾﮏ ارﺗﺒﺎط
tcp/ipدر ﻣﺮﺣﻠﻪ
اول ﻣﺸﺘﺮي ﯾﮏ ﺑﺴﺘﻪ SYNﺑﺮاي ﻣﯿﺰﺑﺎن ﻣﯽ ﻓﺮﺳﺘﺪ و در ﻣﺮﺣﻠﻪ ﺑﻌﺪ ﻣﯿﺰﺑﺎن ﭘﺎﺳﺦ ﻣﺸﺘﺮي را ﺑﻪ وﺳﯿﻠﻪ ﯾﮏ ﺑﺴﺘﻪ SYN/ACKﻣﯽ دﻫﺪ و در ﻣﺮﺣﻠﻪ
ﺳﻮم و آﺧﺮ ﻣﺸﺘﺮي ﭘﺎﺳﺦ ﻣﯿﺰﺑﺎن را ﺑﺎ ارﺳﺎل ﯾﮏ ﺑﺴﺘﻪ ackﻣﯽ دﻫﺪ و اﺗﺼﺎل ﺑﺮﻗﺮار ﻣﯽ ﺷﻮد ﮐﻪ ﺑﻪ اﯾﻦ ﺳﻪ ﻣﺮﺣﻠﻪ در tcp/ipﺑﻪ اﺻﻄﻼح Three
Way Handshakeﯾﺎ دﺳﺖ دادن ﺳﻪ ﻃﺮﻓﻪ ﻣﯽ ﮔﻮﯾﻨﺪ. ﻫﻨﮕﺎم ﺣﻤﻠﻪ ﯾﮏ ﺑﺴﺘﻪ synﺑﻪ ﺳﻮي ﻣﯿﺰﺑﺎن ﺑﺎ ﯾﮏ آدرﺳﻪ ipﺟﻌﻠﯽ ارﺳﺎل ﻣﯽ ﺷﻮد .ﻣﯿﺰﺑﺎن
ﺑﺎ ﯾﮏ ﺑﺴﺘﻪ SYN/ACKﭘﺎﺳﺦ ﻣﯽ دﻫﺪ و ﻣﻨﺘﻈﺮ ﭘﺎﺳﺦ ﮐﻪ ﺑﺴﺘﻪ ACKاﺳ ﺖ ﻣﯽ ﻣﺎﻧﺪ وﻟﯽ ipﺟﻌﻠﯽ ﺑﻮده و ﭘﺎﺳﺨﯽ در ﮐﺎر ﻧﺨﻮاﻫﺪ ﺑﻮد وﻟﯽ ﻣﯿﺰﺑﺎن
ﻫﻤﭽﻨﺎن ﻣﻨﺘﻈﺮ ﻣﺎﻧﺪه و ﺑﻪ ﺑﺴﺘﻪ ﻫﺎي synﭘﺎﺳﺦ ﻣﯽ دﻫﺪ. اﯾﻦ اﻣﺮ ﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﺗﺎ ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻤﯽ ﻣﯿﺰﺑﺎن ﺑﻪ ﭘﺎﯾﺎن رﺳﯿﺪه و ﺳﺮور دﭼﺎر ﻣﺸﮑﻞ ﺷﻮد و
ﺳﺮوﯾﺲ دﻫﯽ آن ﻣﺘﻮﻗﻒ ﺷﻮد. روش دﯾﮕﺮي ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ در SYN Floodﻣﻨﺎﺑﻊ ﻫﺪف را ﺗﻀﻌﯿﻒ ﮐﻨﺪ ﮐﻪ ﭘﯿﺸﺮﻓﺘﻪ ﺗﺮ از روش ﺻﻒ ارﺗﺒﺎط اﺳﺖ ﺑﻪ اﯾﻦ
ﺻﻮرت اﺳﺖ ﮐﻪ اﮔﺮ ﻣﻨﺸﺄ ارﺗﺒﺎط ﺑﺴﯿﺎر ﺑﺰرگ ﺑﺎﺷﺪ و ﺻﺪﻫﺎ ﻫﺰار ﺑﺴﺘﻪ SYNﺑﻪ ﺟﺎ ﻣﺎﻧﺪه را ﺑﺘﻮاﻧﺪ در ﺧﻮد ﺟﺎي دﻫﺪ SYN Floodﻓﻘﻂ ﻣﯽ ﺗﻮاﻧﺪ
ﭘﯿﻮﻧﺪ ارﺗﺒﺎﻃﯽ را ﺑﺎ ﺑﯿﺮون ﮐﺮدن ﻫﺮ ﺗﺮاﻓﯿﮏ ﻣﺠﺎزي اﺷﻐﺎل ﮐﻨﺪ .ﺑﺮاي دﺳﺘﺮ ﺳﯽ ﺑﻪ اﯾﻦ وﺿﻌﯿﺖ ﻫﮑﺮ ﺑﺎﯾﺪ ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺑﯿﺸﺘﺮي را ﻧﺴﺒﺖ ﺑﻪ ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ
داﺷﺘﻪ ﺑﺎﺷﺪ و ﻫﻤﭽﻨﯿﻦ ﺑﺘﻮاﻧﺪ ﺑﺴﺘﻪ ﻫﺎﯾﯽ را ﺑﺮاي اﺷﻐﺎل اﯾﻦ ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺑﻪ وﺟﻮد ﺑﯿﺎورد .
اﮔﺮ ﺑﺨﻮاﻫﯿ ﻢ درﺑﺎره راه ﻫﺎي دﻓﺎع در ﺑﺮاﺑﺮ SYN Floodﺗﻮﺿﯿﺢ دﻫﻢ از اﯾﻨﺠﺎ ﺷﺮوع ﻣﯽ ﮐﻨﻢ ﮐﻪ اوﻟﯿﻦ و ﻣﻬﻤﺘﺮﯾﻦ دﻓﺎع در ﺑﺮاﺑﺮ SYN Floodاﻃﻤﯿﻨﺎن
داﺷﺘﻦ از وﺟﻮد ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﮐﺎﻓﯽ و ﻣﺴﯿﺮﻫﺎي زﯾﺎدي ﺑﺮاي ﺗﻤﺎم ﺳﯿﺴﺘﻢ ﻫﺎي ﺣﺴﺎس ﺷﻤﺎ اﺳﺖ .ﺗﮑﻨﯿﮑﯽ ﮐﻪ در ﻟﯿﻨﻮﮐﺲ ﺑﺮاي ﻣﻘﺎﺑﻠﻪ ﺑﺎ SYN Floodﺑﻪ
ﮐﺎر ﺑﺮده ﻣﯽ ﺷﻮد اﺳﺘﻔﺎده از ﮐﻮﮐﯽ ﻫﺎي SYNاﺳﺖ ﮐﻪ در ﺑﺮاﺑﺮ ﺣﺬف ﺷﺪن ﺻﻒ ارﺗﺒﺎﻃﯽ ﮐﻪ ﺑﺴﺘﻪ ﻫﺎي SYNاﻧﺠﺎم ﻣﯽ دﻫﻨﺪ ﻣﯽ اﯾﺴﺘﻨﺪ و ﻣﻘﺎﺑﻠﻪ ﻣﯽ
ﮐﻨﻨﺪ .ﺑﺮاي ﻓﻌﺎل ﮐﺮدن ﮐﻮﮐﯽ ﻫﺎي SYNدر ﯾﮏ ﻣﺎﺷﯿﻦ ﻟﯿﻨﻮﮐﺲ ﺧﻂ زﯾﺮ ﺑﺎﯾﺪ ﺑﻪ Boot
Sequenceﻣﺎﺷﯿﻦ اﺿﺎﻓﻪ ﺷﻮد.
Echo 1>/proc/sys/net/ipv4/tcp_syncookies
ﻋﻼوه ﺑﺮ اﯾﻦ، ﯾﮏ ﻣﺎﺷﯿﻦ ﻟﯿﻨﻮﮐﺲ ﻣﯽ ﺗﻮاﻧﺪ ﺑﻪ ﻋﻨﻮان ﯾﮏ Proxyدﯾﻮاره آﺗﺶ ) (Firewallﺗﻨﻈﯿﻢ ﺷﻮد و ﺑﺎ اﯾﻦ ﮐﺎر ﺑﺎﻋﺚ اﺿﺎﻓﻪ ﺷﺪن ﻣﺤﺎﻓﻈﺖ ﮐﻮﮐﯽ
SYNﺑﻪ ﮐﻞ ﯾﮏ ﺷﺒﮑﻪ ﺷﻮد.
- 13. ﺣﻤﻼت : smurf
ﺣﻤﻼت smurfﻧﯿﺰ ﯾﮑﯽ از اﻧﻮاع ﺣﻤﻼت ﺗﻀﻌﯿﻒ ﻣﻨﺎﺑﻊ از راه دور ﻫﺴﺘﻨﺪ smurf attackرا ﺑﻪ ﻋﻨﻮان broadcast attacks directedﯾﺎ
ﺣﻤﻼت اﻧﺘﺸﺎري ﻣﻨﺴﺠﻢ ﻫﻢ ﻣﯽ ﺷﻨﺎﺳﻨﺪ . ﺣﻤﻼت Smurfاز ﻣﻌﺮوﻓﺘﺮﯾﻦ و راﯾﺠﺘﺮﯾﻦ ﺣﻤﻼت Dosﻣﺤﺴﻮب ﻣﯽ ﺷﻮد.
ﻓﺮﺳﺘﺎدن ﯾﮏ ﭘﯿﺎم اﺗﺮﻧﺖ ﺑﻪ آدرس MACﮐﻪ ﺗﻤﺎم رﻗﻤﻬﺎﯾﺶ 1 ﺑﺎﺷﺪ از ﻃﺮﯾﻖ LANﺑﺎﻋﺚ ﻣﯽ ﺷﻮد ﺗﺎ ﻫﻤﻪ ﻣﺎﺷﯿﻦ ﻫﺎي روي LANﻫﺪف، ﭘﯿﺎم را
ﺧﻮاﻧﺪه و ﺟﻮاﺑﯽ را ﺑﻔﺮﺳﺘﻨﺪ .دوﺳﺘﺎن اﯾﻦ ﻧﮑﺘﻪ را ذﮐﺮ ﮐﻨﻢ ﮐﻪ درك ﮐﺎﻣﻞ روش ﻫﺎي Dosﺑﻪ آﺷﻨﺎﯾﯽ ﻗﺒﻠﯽ ﺷﻤﺎ ﺑﺎ ﻣﻔﺎﻫﯿﻢ ﺷﺒﮑﻪ و TCP/IPﺑﺴﺘﮕﯽ
دارد.
ﻓﺮض ﮐﻨﯿﻢ ،PINGﯾﮏ ﺑﺴﺘﻪ اﻧﻌﮑﺎس
ICMPاﺳﺖ ﯾﮏ ﮐﺎرﺑﺮ ﻣﯽ ﺗﻮاﻧﺪ ﯾﮏ PINGرا ﺑﻪ آدرس اﻧﺘﺸﺎر IPﯾﮏ ﺷﺒﮑﻪ ﺑﻔﺮﺳﺘﺪ اﮔﺮ ROUTERروي
ﺷﺒﮑﻪ ﻫﺪف اﺟﺎزه اﻧﺘﺸﺎر ﻣﺴﺘﻘﯿﻢ را ﺑﺪﻫﺪ ﺑﺴﺘﻪ PINGاﻧﺘﺸﺎر ﻻﯾﻪ IPرا ﺑﻪ ﯾﮏ اﻧﺘﺸﺎر ﻻﯾﻪ MACﺗﺒﺪﯾﻞ ﻣﯽ ﮐﻨﺪ ﮐﻪ ﺑﺎﻋﺚ درﯾﺎﻓﺖ آن ﺗﻮﺳﻂ ﺗﻤﺎم
ﺳﯿﺴﺘﻢ ﻫﺎي روي
LANﻣﻘﺼﺪ ﻣﯽ ﺷﻮد .وﻗﺘﯽ ﭘﯿﺎم درﯾﺎﻓﺖ ﺷﺪ ﺗﻤﺎم ﻣﺎﺷﯿﻦ ﻫﺎي ﻓﻌﺎل روي LANﻫﺪف، ﯾﺎ ﭘﺎﺳﺦ Pingرا ﻣﯽ ﻓﺮﺳﺘﻨﺪ و ﯾﺎ ﺑﺎ
ﻓﺮﺳﺘﺎدن ﻓﻘﻂ ﯾﮏ ﺑﺴﺘﻪ، آن ﺳﺮور و Hostﭼﻨﺪﯾﻦ ﺑﺴﺘﻪ ﭘﺎﺳﺦ را درﯾﺎﻓﺖ ﻣﯽ ﮐﻨﻨﺪ . ﺣﺎﻻ ﻓﺮض ﮐﻨﯿﺪ ﮐﻪ اوﻟﯿﻦ در ﺧﻮاﺳﺖ Pingاز اﻧﺘﺸﺎر ﺷﺒﮑﻪ
درﯾﺎﻓﺖ ﯾﮏ آدرس IPﻣﺒﺪأ Spoofﺷﺪه ﺑﺎﺷﺪ، ﻫﻤﻪ ﭘﺎﺳﺨﻬﺎي Pingاز ﺗﻤﺎم ﻣﺎﺷﯿﻦ ﻫﺎي روي ﺷﺒﮑﻪ ﺑﻪ ﺳﻮي ﻣﺒﺪأ ﻇﺎﻫﺮي ﺑﺴﺘﻪ ﮐﻪ آدرس آن
SPOOFﺷﺪه ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد ﻫﻤﯿﻨﻄﻮر ﮐﻪ ﺗﻌﺪاد ﻣﺎﺷﯿﻦ ﻫﺎ روي ﺷﺒﮑﻪ ﮐﻪ اﺟﺎزه اﻧﺘﺸﺎر ﻣﺴﺘﻘﯿﻢ را ﻣﯽ دﻫﻨﺪ اﺿﺎﻓﻪ ﻣﯽ ﺷﻮد، ﺗﻌﺪاد ﺑﺴﺘﻪ ﻫﺎي ﭘﺎﺳﺦ
ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺗﻮﻟﯿﺪ ﺷﻮﻧﺪ ﻧﯿﺰ اﻓﺰاﯾﺶ ﭘﯿﺪا ﻣﯽ ﮐﻨﺪ و ﯾﮏ ﻫﮑﺮ ﻣﯽ ﺗﻮاﻧﺪ از اﯾﻦ روش ﺑﺮاي ﺗﺪارك ﯾﮏ ﺣﻤﻠﻪ SMURFاﺳﺘﻔﺎده ﮐﻨﺪ.
ﻫﮑﺮ ﯾﮏ ﺑﺴﺘﻪ PINGرا ﺑﻪ آدرس اﻧﺘﺸﺎر ﭼﻨﺪ ﺷﺒﮑﻪ روي اﯾﻨﺘﺮﻧﺖ ﮐﻪ ﭘﯿﺎم ﻫﺎي اﻧﺘﺸﺎر ﻣﺴﺘﻘﯿﻢ را ﻗﺒﻮل ﻣﯽ ﮐﻨﺪ و ﺟﻮاب ﻣﯽ دﻫﺪ، ﻣﯽ ﻓﺮﺳﺘﺪ ﮐﻪ ﺑﻪ اﯾﻦ
ﻋﻤﻞ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه Smurfﻫﻢ ﻣﯽ ﮔﻮﯾﻨﺪ .ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه Smurfاﻏﻠﺐ ﭼﯿﺰي ﻧﯿﺴﺖ ﺟﺰ ﯾﮏ ﺷﺒﮑﻪ ﺑﺎ ﺗﻨﻈﯿﻢ ﻧﺎدرﺳﺖ ﮐﻪ ﺑﻪ ﺑﺨﺶ ﺳﻮم ﺑﯽ ﮔﻨﺎﻫﯽ
روي اﯾﻨﺘﺮﻧﺖ ﺗﻌﻠﻖ دارد. ﻫﮑﺮ از آدرس ﻣﺒﺪا Spoofو ﭘﻨﻬﺎن ﺷﺪه ﻗﺮﺑﺎﻧﯽ ﮐﻪ ﻣﯽ ﺧﻮاﻫﺪ آن را Floodﮐﻨﺪ اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ و ﻫﻤﻪ ﺟﻮاب ﻫﺎي PING
ﺑﻪ ﻃﺮف ﻓﺮﺳﺘﺎده ﻣﯽ ﺷﻮد ﻣﺜﻼً اﮔﺮ 001 ﻣﯿﺰﺑﺎن ﻣﺘﺼﻞ ﺑﻪ ﺷﺒﮑﻪ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه SMURFﻣﻮﺟﺐ ﻓﺮﺳﺘﺎده ﺷﺪن 001 ﺑﺴﺘﻪ ﺑﻪ ﻗﺮﺑﺎﻧﯽ ﺷﻮد ﻣﺎ ﺑﺴﺘﻪ ﻫﺎ را
ﭘﺸﺘﻪ ﺳﺮﻫﻢ ﺑﻪ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه SMURFﻣﯿﻔﺮﺳﺘﯿﻢ و اﮔﺮ ﻣﺎ ﺑﺘﻮاﻧﯿﻢ ﺑﺴﺘﻪ ﻫﺎ را ﺑﺎ ﯾﮏ اﺷﺘﺮاك DAILUP 56 kbpsﺗﻘﻮﯾﺖ ﮐﻨﯿﻢ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه smurf
ﻣﯽ ﺗﻮاﻧﺪ ﺗﺎ 001 ﺑﺮاﺑﺮ اﯾﻦ ﻣﻘﺪار را ﺗﻮﻟﯿﺪ ﮐﻨﺪ .
- 14. :Smurf
ﯾﮑﯽ از اوﻟﯿﻦ ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺣﻤﻠﻪ اﻧﺘﺸﺎر ﻣﺴﺘﻘﯿﻢ اﺳﺖ ﮐﻪ اﻧﺒﻮﻫﯽ از ﺑﺴﺘﻪ ﻫﺎي ICMPرا اﯾﺠﺎد ﻣﯽ ﮐﻨﺪ و ﺑﻪ ﺳﻤﺖ ﻗﺮﺑﺎﻧﯽ ﻣﯽ ﻓﺮﺳﺘﺪ.
: Fraggle
اﯾﻦ toolsﺑﺮ روي udpﻣﺘﻤﺮﮐﺰ اﺳﺖ وﮐﺎر ﻣﯽ ﮐﻨﺪ fraggelﺑﺴﺘﻪ ﻫﺎﯾﯽ را ﺑﻪ ﯾﮏ آدرس اﻧﺘﺸﺎر ipﺑﻪ ﻣﻘﺼﺪ ﭘﻮرت udpﻣﺘﻤﺮﮐﺰ ﻣﯽ ﺷﻮد و ﮐﺎر ﻣﯽ
ﮐﻨﺪ.
Fraggelﺑﺴﺘﻪ ﻫﺎﯾﯽ را ﺑﻪ ﯾﮏ آدرس اﻧﺘﺸﺎر ipﺑﻪ ﻣﻘﺼﺪ ﭘﻮرت udpﮐﻪ ﺑﺮاي ﯾﮏ ﺳﺮوﯾﺲ ﺟﻬﺖ ارﺳﺎل ﭘﺎﺳﺦ ﺗﻨﻈﯿﻢ ﺷﺪه، ﻣﯽ ﻓﺮﺳﺘﺪ .ﺑﺮاي
ﻣﺜﺎل ﺳﺮوﯾﺲ اﻧﻌﮑﺎس ﯾﮏ ﺑﺴﺘﻪ را ﻣﯽ ﮔﯿﺮد و ﺧﯿﻠﯽ راﺣﺖ ﺟﻮاﺑﯽ را ﮐﻪ ﻣﺤﺘﻮاي آن دﻗﯿﻘﺎً ﻫﻤﺎن داده ﻫﺎي درﯾﺎﻓﺖ ﺷﺪه اﺳﺖ را ﺑﺮﻣﯽ ﮔﺮداﻧﺪ و ﺑﻪ
ﻫﻤﯿﻦ دﻟﯿﻞ اﺳﺖ ﮐﻪ echoﯾﺎ اﻧﻌﮑﺎس ﻧﺎﻣﯿﺪه ﻣﯽ ﺷﻮد .ﺑﺎ اﺳﺘﻔﺎده از Fraggleﺑﺮاي ارﺳﺎل اﻧﺒﻮﻫﯽ از ﺑﺴﺘﻪ ﻫﺎ ﺑﻪ ﯾﮏ آدرس اﻧﺘﺸﺎر ipروي ﭘﻮرت
ﻫﻔﺖ udpﺗﻤﺎم ﻣﺎﺷﯿﻦ ﻫﺎي روي ﺷﺒﮑﻪ ﺗﺮاﻓﯿﮏ udpرا اﻧﻌﮑﺎس ﻣﯽ دﻫﺪ ﮐﻪ ﻧﺘﯿﺠﻪ آن ﺗﻘﻮﯾﺖ floodاﺳﺖ.
- 15. :PapaSmurf
ﯾﻌﻨﯽ ﭘﺪر smurf attackﮐﻪ ﯾﮏ smurf toolsاﺳﺖ ﺗﺮﮐﯿﺒﯽ از ﺣﻤﻼت Fraggleو Smurfاﺳﺖ
ﺧﯿﻠﯽ از ﻫﮑﺮﻫﺎ ﮔﺮوﻫﯽ را ﺗﺸﮑﯿﻞ ﻣﯽ دﻫﻨﺪ و ﺑﺎ ﻫﻢ ﻓﻌﺎﻟﯿﺖ ﻣﯽ ﮐﻨﻨﺪ و در اﯾﻨﺘﺮﻧﺖ ﺑﻪ دﻧﺒﺎل ﺷﺒﮑﻪ ﻫﺎﯾﯽ ﮐﻪ ﺗﻨﻈﯿﻤﺎﺗﺸﺎن ﺿﻌﯿﻒ اﺳﺖ ﺟﺴﺘﺠﻮ ﻣﯽ ﮐﻨﻨﺪ
و از آﻧﻬﺎ ﺑﻪ ﻋﻨﻮان ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه Smurfاﺳﺘﻔﺎده ﻣﯽ ﮐﻨﻨﺪ .
http://www.netscan.org
http://www.powertech.no/smurf
ﺗﻮﺳﻂ ﺳﺎﯾﺖ اول آﺳﯿﺐ ﭘﺬﯾﺮي ﺷﺒﮑﻪ وﺳﺎﯾﺖ دوم آﺳﯿﺐ ﭘﺬﯾﺮ ﺑﻮدن ﺳﯿﺴﺘﻤﺘﺎن را در ﺑﺮاﺑﺮ ﺣﻤﻼت
اﻣﺘﺤﺎن ﮐﻨﯿﺪ.
Nmapﻧﯿﺰ ﮐﻪ ﯾﮏ ﭘﻮرت اﺳﮑﻨﺮ و ﭘﻮﯾﺸﮕﺮ ﻗﻮي اﺳﺖ.
ﺣﻤﻠﻪ ﺗﮑﺬﯾﺐ ﺳﺮوﯾﺲ ﻫﺎي ﺗﻮزﯾﻌﯽ:
ﯾﮏ SYN Floodﺳﺎده ﺑﻪ ﻣﺎ اﻣﮑﺎن ﻣﯽ دﻫﺪ ﺗﺎ از ﯾﮏ ﻣﺎﺷﯿﻦ ﺗﺮاﻓﯿﮑﯽ را ﺑﺮ ﻋﻠﯿﻪ ﺳﺮور ﻗﺮﺑﺎﻧﯽ اﯾﺠﺎد ﮐﻨﯿﻢ .در ﯾﮏ ﺣﻤﻠﻪ Smurfﺣﺠﻢ ﺗﺮاﻓﯿﮏ
اﻓﺰاﯾﺶ ﻣﯽ ﯾﺎﺑﺪ اﻣﺎ ﻫﻨﻮز ﻣﻘﺪار ﺗﺮاﻓﯿﮑﯽ ﮐﻪ ﻣﯽ ﺗﻮان از ﯾﮏ ﺗﻘﻮﯾﺖ ﮐﻨﻨﺪه Smurfﮔﺮﻓﺖ ﻣﺤﺪود اﺳﺖ. در ﯾﮏ ﺣﻤﻠﻪ ﺗﮑﺬﯾﺐ ﺳﺮوﯾﺲ ﻫﺎي ﺗﻮزﯾﻌﯽ ﮐﻪ
ﺑﻪ ) DDOS ( Distributed Denial of Serviceﻣﻌﺮوف اﺳﺖ.
ﻣﺤﺪودﯾﺖ ﻫﺎي اﺻﻠﯽ در ﺗﻌﺪاد ﻣﺎﺷﯿﻦ ﻫﺎﯾﯽ ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﺮاي ﺗﺪارك ﺣﻤﻠﻪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﮔﯿﺮﻧﺪ وﭘﻬﻨﺎي ﺑﺎﻧﺪي ﮐﻪ ﻫﮑﺮ ﻣﺼﺮف ﻣﯽ ﮐﻨﻨﺪ وﺟﻮد ﻧﺪارﻧﺪ .
ﺑﺎ اﯾﺠﺎد اﯾﻦ اﻣﮑﺎن ﺑﺮاي ﻫﮑﺮ ﮐﻪ ﻓﻌﺎﻟﯿﺖ ﻫﺎي ﻣﯿﺰﺑﺎﻧﻬﺎ ﺑﻪ ﺗﻌﺪاد دﻟﺨﻮاه و زﯾﺎد را ﻫﻤﺎﻫﻨﮓ ﮐﻨﺪ، اﯾﻦ ﺣﻤﻠﻪ ﺧﻄﺮﻧﺎك ﺗﺮ ﻣﯽ ﺷﻮد .در ﯾﮏ ﺣﻤﻠﻪ ddos
ﻣﺤﺪودﯾﺘﯽ وﺟﻮد ﻧﺪارد .در اﯾﻦ ﻧﻮع ﺣﻤﻼت از دﺳﺘﻪ اي از ﮐﺎﻣﭙﯿﻮﺗﺮﻫﺎي ﻫﮏ ﺷﺪه Zombieﮐﻪ ﻫﺎ ﺑﺮ روي آﻧﻬﺎ ﻧﺼﺐ ﺷﺪه اﻧﺪ، ﺑﺮاي ﺣﻤﻠﻪ ﺑﻪ ﺳﯿﺴﺘﻢ
ﻫﺪف اﺳﺘﻔﺎده ﻣﯽ ﺷﻮد.
- 16. DDOSآﺷﻨﺎﯾﯽ و روش ﻣﻘﺎﺑﻠﻪ ﺑﺎ ﺣﻤﻼت:
ﯾﮏ ﺣﻤﻠﻪ ddosﺑﺎ اﺳﺘﻔﺎده از zombieﻫﺎ وﮐﺎﻣﭙﯿﻮﺗﺮ ﻫﺎﯾﯽ ﮐﻪ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ ﺑﺮﻧﺎﻣﻪ zombieﺑﺮ روي آﻧﻬﺎ ﻧﺼﺐ ﺷﺪه اﺳﺖ در زﻣﺎن ﻣﺸﺨﺼﯽ ﮐﻪ
ﺗﻮﺳﻂ ﻫﮑﺮ ﻫﺎ ﺗﻌﯿﯿﻦ ﺷﺪه اﺳﺖ ﺳﯿﻠﯽ اﻧﺒﻮه از ﺑﺴﺘﻪ ﻫﺎ را اﯾﺠﺎد ﮐﺮده و ﺑﻪ ﺳﻤﺖ ﯾﮏ ﯾﺎ ﭼﻨﺪ ﻗﺮﺑﺎﻧﯽ ﻣﯽ ﻓﺮﺳﺘﺪ .ﺑﺮاي ﺑﻪ وﺟﻮد آوردن ﯾﮏ ﺣﻤﻠﻪ DDos
Floodﻣﺎ در ﻣﺮﺣﻠﻪ اول ﺑﺎﯾﺪ ﺑﺮ ﺗﻌﺪاد ﮐﺜﯿﺮي از ﺳﯿﺴﺘﻢ ﻫﺎي ﮐﻼﯾﻨﺖ ﯾﺎ ﺳﺮور ﮐﻪ داراي ﻧﻘﺎط ﺿﻌﻒ و آﺳﯿﺐ ﭘﺬﯾﺮي ﻫﺴﺘﻨﺪ ﻧﻔﻮذ ﮐﻨﯿﻢ و ﮐﻨﺘﺮل ﮐﺎﻣﻞ
آن ﺳﯿﺴﺘﻢ ﻫﺎ را در اﺧﺘﯿﺎر داﺷﺘﻪ ﺑﺎﺷﯿﻢ ﮐﻪ ﻣﺎ ﻣﯽ ﺗﻮاﻧﯿﻢ ﺑﺎ اﺳﺘﻔﺎده از روش ﻫﺎي ﻣﺘﻌﺪدي ﮐﻪ ﺑﺮاي ﻧﻔﻮذ ﺑﻪ ﺻﻮرت Remoteوﺟﻮد دارد ﻣﺜﻞ ﯾﮏ ﺣﻤﻠﻪ
ﺳﺮرﯾﺰ ﺑﺎﻓﺮ) ( Buffer Ovelflow
و ﯾﺎ روش ﻫﺎي دﯾﮕﺮ ﮐﻨﺘﺮل اﯾﻦ ﺳﯿﺴﺘﻢ ﻫﺎ را در دﺳﺖ ﺑﮕﯿﺮﯾﻢ .ﺑﻪ اﯾﻦ ﺳﯿﺴﺘﻢ ﻫﺎي ﻫﮏ ﺷﺪه ) Zombieﻣﺮده
ﻣﺘﺤﺮك( ﻣﯽ ﮔﻮﯾﻨﺪ در اﮐﺜﺮ ﺣﻤﻼت ZAMBIE ,DDOSﻫﺎ ﺑﺮ روي ﺳﺮورﻫﺎي آﺳﯿﺐ ﭘﺬﯾﺮ در داﻧﺸﮕﺎه ﻫﺎ، ﺳﺮورﻫﺎي Hostingو ﺣﺘﯽ ﺳﯿﺴﺘﻢ ﻫﺎي
ﮐﺎرﺑﺮان ﺧﺎﻧﮕﯽ ﮐﻪ از ﻃﺮﯾﻖ ﺧﻄﻮط )Digital Subscriber Loop ( DSL
ﯾﺎ ﺳﺮوﯾﺲ ﻫﺎي ﻣﻮدم ﮐﺎﺑﻠﯽ ﻣﺘﺼﻞ ﻫﺴﺘﻨﺪ، ﻧﺼﺐ ﺷﺪه اﻧﺪ .ﻫﮑﺮ در
ﻣﺮﺣﻠﻪ اول ﺣﻤﻠﻪ DDosﺗﻤﺎم وﻗﺖ ﺧﻮد را در اﯾﻨﺘﺮﻧﺖ ﺑﺮاي ﭘﯿﺪا ﮐﺮدن ﺳﯿﺴﺘﻢ ﻫﺎي آﺳﯿﺐ ﭘﺬﯾﺮ ﻣﯽ ﮔﺬارد و آﻧﻬﺎ را ﭘﯿﺪا ﻣﯽ ﮐﻨﺪ و از آﻧﻬﺎ ﺳﻮء اﺳﺘﻔﺎده
ﮐﺮده و ﺳﯿﺴﺘﻢ ZOMBIEرا ﺑﺮ روي ﺳﯿﺴﺘﻢ ﻫﺎ ﻧﺼﺐ ﻣﯽ ﮐﻨﺪ .
ﻧﺮم اﻓﺰار ZOMBIEاز اﺟﺰاء اﺑﺰار DDOSاﺳﺖ ﮐﻪ ﻣﻨﺘﻈﺮ ﻓﺮﻣﺎﻧﯽ از ﻫﮑﺮ ﻣﯽ ﻣﺎﻧﺪ ﮐﻪ از اﺑﺰار ﮐﻼﯾﻨﺖ ﺧﺎﺻﯽ ﺑﺮاي ﻣﮑﺎﻟﻤﻪ ﺑﺎ آن Zombieاﺳﺘﻔﺎده ﻣﯽ
ﮐﻨﺪ .ﯾﮑﯽ از ﺑﻬﺘﺮﯾﻦ ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﺑﺮاي ﺣﻤﻼت DDosاﺑﺰار ) Tribe Flood Network 2000 ( TFN2Kاﺳﺖ ﻫﮑﺮ ﻣﻌﻤﻮﻻً ﯾﮏ ﯾﺎ ﺑﯿﺶ از ﯾﮏ
ﻣﺎﺷﯿﻦ ﮐﻼﯾﻨﺖ را ﺑﺮاي ﺻﺪور ﻫﻤﺰﻣﺎن دﺳﺘﻮر اﺟﺮاي ﻓﺮﻣﺎن ﺑﻪ ﺗﻤﺎم Zombieﻫﺎ اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ ﺗﺎ ﯾﮏ ﺣﻤﻠﻪ DDOSرا ﻋﻠﯿﻪ ﻫﺪف ﺧﻮد ﺗﺪارك
ﺑﺒﯿﻨﺪ .ﺗﻤﺎم Zombieﻫﺎ از روي وﻇﯿﻔﻪ ﭘﺎﺳﺦ ﻣﯽ دﻫﻨﺪ و اﯾﻦ ﻣﻨﺠﺮ ﺑﻪ اﯾﺠﺎد FLOODو ﻏﺮق ﺷﺪن ﺳﺮور ﻗﺮﺑﺎﻧﯽ در ﺳﯿﻠﯽ از ﺑﺴﺘﻪ ﻫﺎ ﻣﯽ ﺷﻮد.
ﮐﻼﯾﻨﺖ ﺑﺎ Zombieﻫﺎ ارﺗﺒﺎط ﺑﺮﻗﺮار ﻣﯽ ﮐﻨﺪ وﻟﯽ ﻣﻌﻤﻮﻻً ﻫﮑﺮ از ﺳﯿﺴﺘﻢ ﺟﺪاﮔﺎﻧﻪ اي ﺑﺮاي دﺳﺘﺮﺳﯽ ﺑﻪ Clientﺳﺮوﯾﺲ ﮔﯿﺮﻧﺪه
اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ و
اﯾﻦ اﻣﺮ ﺑﻪ دﻟﯿﻞ آن اﺳﺖ ﮐﻪ ﻫﮑﺮ ﺷﻨﺎﺳﺎﯾﯽ ﻧﺸﻮد و ﻣﺸﺎورﯾﻦ اﻣﻨﯿﺘﯽ آن ﺷﺮﮐﺖ ﻓﻘﻂ ﻣﯽ ﺗﻮاﻧﻨﺪ ﻣﺤﻞ ﺳﯿﺴﺘﻢ ﻫﺎي Zombieرا ﺷﻨﺎﺳﺎﯾﯽ ﮐﻨﻨﺪ.
- 17. اﮔﺮ ﺑﺨﻮاﻫﯿ ﻢ ﺣﻤﻼت DDOSرا ﺑﻪ ﺻﻮرت ﺧﻼﺻﻪ ﺑﺮاﯾﺘﺎن ﺷﺮح دﻫﻢ ﺑﻪ اﯾﻦ ﺻﻮرت ﺷﺮوع ﻣﯽ ﮐﻨﻢ ﮐﻪ ﺣﻤﻼت ﺗﻮزﯾﻌﯽ Dosﯾﺎ ﺣﻤﻼت DDOSﮐﺎﻣﻼً
آﺳﯿﺐ رﺳﺎن ﻫﺴﺘﻨﺪ. ﮐﻪ ﻫﮑﺮ ﺑﺮ ﺗﻌﺪاد زﯾﺎدي از ﺳﯿﺴﺘﻢ ﻫﺎ روي اﯾﻨﺘﺮﻧﺖ ﻏﻠﺒﻪ ﻣﯽ ﮐﻨﺪ، ﺑﺮ روي ﻫﺮ ﮐﺪام از آﻧﻬﺎ ﻧﺮم اﻓﺰار Zombieرا ﻧﺼﺐ ﻣﯽ ﮐﻨﺪ و ﺟﻬﺖ
Floodﻧﻤﻮدن ﯾﮏ ﻗﺮﺑﺎﻧﯽ از آﻧﻬﺎ در ﯾﮏ ﺣﻤﻠﻪ ﻫﻤﺎﻫﻨﮓ اﺳﺘﻔﺎده ﻣﯽ ﮐﻨﺪ. ﺣﻤﻼت DDosﺑﻪ ﻣﺎ اﯾﻦ اﻣﮑﺎن را ﻣﯽ دﻫﺪ ﮐﻪ ﻣﻘﺎدﯾﺮ زﯾﺎدي از ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺳﺮور
را اﺷﻐﺎل ﮐﻨﯿﻢ. ﻫﺮ ﭼﻪ ﺗﻌﺪاد Zombieﻫﺎﯾﯽ ﮐﻪ ﻣﺎ دارﯾﻢ ﺑﯿﺸﺘﺮ ﺑﺎﺷﺪ، ﻣﺎ ﺗﻮاﻧﺎﯾﯽ ﻣﺼﺮف و اﺷﻐﺎل ﺑﯿﺸﺘﺮ ﭘﻬﻨﺎي ﺑﺎﻧﺪ را ﺧﻮاﻫﯿﻢ داﺷﺖ.
اﻧﻮاع ﺣﻤﻼتDDOS
ﻋﻤﻮﻣﺎً ﺣﻤﻼت DDOSﺑﻪ ﺳﻪ ﮔﺮوه TRINOO,TFN/TFN2K ,STECHELDRAHTﺗﻘﺴﯿﻢ ﻣﯽ ﺷﻮﻧﺪ .
Trinoo
Trinooدر اﺻﻞ از ﺑﺮﻧﺎﻣﻪ ﻫﺎي Master/Slaveاﺳﺖ ﮐﻪ ﺑﺎ ﯾﮑﺪﯾﮕﺮ ﺑﺮاي ﯾﮏ ﺣﻤﻠﻪ ﻃﻐﯿﺎن UDPﺑﺮ ﻋﻠﯿﻪ ﮐﺎﻣﭙﯿﻮﺗﺮ ﻗﺮﺑﺎﻧﯽ ﻫﻤﺎﻫﻨﮓ ﻣﯽ ﺷﻮﻧﺪ .در ﯾﮏ
روﻧﺪ ﻋﺎدي، ﻣﺮاﺣﻞ زﯾﺮ ﺑﺮاي ﺑﺮﻗﺮاري ﯾﮏ ﺷﺒﮑﻪ Trinoo DDoSواﻗﻊ ﻣﯽ ﺷﻮﻧﺪ
ﻣﺮﺣﻠﻪ 1 : ﺣﻤﻠﻪ ﮐﻨﻨﺪه، ﺑﺎ اﺳﺘﻔﺎده از ﯾﮏ ﻣﯿﺰﺑﺎن ﻫﮏ ﺷﺪه، ﻟﯿﺴﺘﯽ از ﺳﯿﺴﺘﻢ ﻫﺎﯾﯽ را ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﻫﮏ ﺷﻮﻧﺪ، ﮔﺮدآوري ﻣﯽ ﮐﻨﺪ .ﺑﯿﺸﺘﺮ اﯾﻦ ﭘﺮوﺳﻪ
ﺑﺼﻮرت ﺧﻮدﮐﺎر از ﻃﺮﯾﻖ ﻣﯿﺰﺑﺎن ﻫﮏ ﺷﺪه اﻧﺠﺎم ﻣﯽ ﮔﯿﺮد .اﯾﻦ ﻣﯿﺰﺑﺎن اﻃﻼﻋﺎﺗﯽ ﺷﺎﻣﻞ ﻧﺤﻮه ﯾﺎﻓﺘﻦ ﺳﺎﯾﺮ ﻣﯿﺰﺑﺎن ﻫﺎ ﺑﺮاي ﻫﮏ در ﺧﻮد ﻧﮕﻬﺪاري ﻣﯽ ﮐﻨﺪ.
ﻣﺮﺣﻠﻪ 2 : ﺑﻪ ﻣﺤﺾ اﯾﻨﮑﻪ اﯾﻦ ﻟﯿﺴﺖ آﻣﺎده ﺷﺪ، اﺳﮑﺮﯾﭙﺖ ﻫﺎ ﺑﺮاي ﻫﮏ ﮐﺮدن و ﺗﺒﺪﯾﻞ آﻧﻬﺎ ﺑﻪ ارﺑﺎﺑﺎن ﯾﺎ ﺷﯿﺎﻃﯿﻦ ) Daemonsاﺟﺮاء ﻣﯽ ﺷﻮﻧﺪ .ﯾﮏ
ارﺑﺎب ﻣﯽ ﺗﻮاﻧﺪ ﭼﻨﺪ ﺷﯿﻄﺎن را ﮐﻨﺘﺮل ﮐﻨﺪ . ﺷﯿﺎﻃﯿﻦ ﻣﯿﺰﺑﺎﻧﺎن ﻫﮏ ﺷﺪه اي ﻫﺴﺘﻨﺪ ﮐﻪ ﻃﻐﯿﺎن UDPاﺻﻠﯽ را روي ﻣﺎﺷﯿﻦ ﻗﺮﺑﺎﻧﯽ اﻧﺠﺎم ﻣﯽ دﻫﻨﺪ.
ﻣﺮﺣﻠﻪ 3 : ﺣﻤﻠﻪ DDOSﻫﻨﮕﺎﻣﯽ ﮐﻪ ﺣﻤﻠﻪ ﮐﻨﻨﺪه ﻓﺮﻣﺎﻧﯽ ﺑﻪ ﻣﯿﺰﺑﺎﻧﺎن MASTERارﺳﺎل ﻣﯽ ﮐﻨﺪ، اﻧﺠﺎم ﻣﯽ ﮔﯿﺮد .اﯾﻦ ارﺑﺎﺑﺎن ﺑﻪ ﻫﺮ ﺷﯿﻄﺎﻧﯽ دﺳﺘﻮر
ﻣﯽ دﻫﻨﺪ ﮐﻪ ﺣﻤﻠﻪ DoSرا ﻋﻠﯿﻪ آدرس IPﻣﺸﺨﺺ ﺷﺪه در ﻓﺮﻣﺎن آﻏﺎز ﮐﻨﻨﺪ و ﺑﺎ اﻧﺠﺎم ﺗﻌﺪاد زﯾﺎدي ﺣﻤﻠﻪ DOSﯾﮏ ﺣﻤﻠﻪ DDoSﺷﮑﻞ ﻣﯽ ﮔﯿﺮد.
- 18. Stacheldraht
ﮐﺪ Stacheldrahtﺑﺴﯿﺎرﺷﺒﯿﻪ ﺑﻪ TRINOOو TFNاﺳﺖ اﻣﺎ Stacheldrahtاﺟﺎزه ﻣﯽ دﻫﺪ ﮐﻪ ارﺗﺒﺎط ﺑﯿﻦ MASTERﻫﺎ)ﮐﻪ در اﯾﻦ ﺣﻤﻠﻪ
HANDERﻧﺎﻣﯿﺪه ﻣﯽ ﺷﻮﻧﺪ( رﻣﺰ ﻧﮕﺎري ﺷﻮد ﻋﺎﻣﻞ ﻫﺎ ﻣﯽ ﺗﻮاﻧﻨﺪ ﮐﺪ ﺧﻮد را ﺑﻪ ﺻﻮرت ﺧﻮدﮐﺎر ارﺗﻘﺎ دﻫﻨﺪ ﻣﯽ ﺗﻮاﻧﻨﺪ اﻗﺪام ﺑﻪ اﻧﻮاع ﻣﺨﺘﻠﻔﯽ از ﺣﻤﻼت ﻣﺎﻧﻨﺪ
ﻃﻐﯿﺎن ﻫﺎي icmpﻃﻐﯿﺎن ﻫﺎي UDPو ﻃﻐﯿﺎن ﻫﺎي SYNﮐﻨﻨﺪ.
ﻧﺤﻮه ﭘﯿﺸﮕﯿﺮي از ﺣﻤﻼت
ﻣﺘﺎﺳﻔﺎﻧﻪ روش ﻣﻮﺛﺮي ﺑﻪ ﻣﻨﻈﻮر ﭘﯿﺸﮕﯿﺮي در ﻣﻘﺎﺑﻞ ﯾﮏ ﺗﻬﺎﺟﻢ DoSو ﯾﺎ DDoSوﺟﻮد ﻧﺪارد .ﻋﻠﯿﺮﻏﻢ ﻣﻮﺿﻮع ﻓﻮق، ﻣﯽ ﺗﻮان ﺑﺎ رﻋﺎﯾﺖ ﺑﺮﺧﯽ ﻧﮑﺎت و
اﻧﺠﺎم ﻋﻤﻠﯿﺎت ﭘﯿﺸﮕﯿﺮي، اﺣﺘﻤﺎل ﺑﺮوز ﭼﻨﯿﻦ ﺣﻤﻼﺗﯽ) اﺳﺘﻔﺎده از ﮐﺎﻣﭙﯿﻮﺗﺮ ﺷﻤﺎ ﺑﺮاي ﺗﻬﺎﺟﻢ ﺑﺮ ﻋﻠﯿﻪ ﺳﺎﯾﺮ ﮐﺎﻣﭙﯿﻮﺗﺮ ﻫﺎ(را ﮐﺎﻫﺶ داد.
ﻧﺼﺐ و ﻧﮕﻬﺪاري ﻧﺮم اﻓﺰار آﻧﺘﯽ وﯾﺮوسﻧﺼﺐ و ﭘﯿﮑﺮﺑﻨﺪي ﯾﮏ ﻓﺎﯾﺮوال-ﺗﺒﻌﯿﺖ از ﻣﺠﻤﻮﻋﻪ ﺳﯿﺎﺳﺖ ﻫﺎي ﺧﺎﺻﯽ در ﺧﺼﻮص ﺗﻮزﯾﻊ و اراﺋﻪ آدرس emailﺧﻮد ﺑﻪ دﯾﮕﺮان
ﭼﮕﻮﻧﻪ از وﻗﻮع ﺣﻤﻼت dosﯾﺎ ddosآﮔﺎه ﺷﻮﯾﻢ.
ﺧﺮاﺑﯽ و ﯾﺎ ﺑﺮوز اﺷﮑﺎل در ﯾﮏ ﺳﺮوﯾﺲ ﺷﺒﮑﻪ، ﻫﻤﻮاره ﺑﺪﻟﯿﻞ ﺑﺮوز ﯾﮏ ﺗﻬﺎﺟﻢ DoS
ﻧﻤﯽ ﺑﺎﺷﺪ .در اﯾﻦ راﺑﻄﻪ ﻣﻤﮑﻦ اﺳﺖ دﻻﯾﻞ ﻣﺘﻌﺪدي ﻓﻨﯽ وﺟﻮد داﺷﺘﻪ و ﯾﺎ ﻣﺪﯾﺮ ﺷﺒﮑﻪ ﺑﻪ
ﻣﻨﻈﻮر اﻧﺠﺎم ﻋﻤﻠﯿﺎت ﻧﮕﻬﺪاري ﻣﻮﻗﺘﺎ "ﺑﺮﺧﯽ ﺳﺮوﯾﺲ ﻫﺎ را ﻏﯿﺮ ﻓﻌﺎل ﮐﺮده ﺑﺎﺷﺪ .وﺟﻮد و
ﯾﺎ ﻣﺸﺎﻫﺪه ﻋﻼﺋﻢ زﯾﺮ ﻣﯽ ﺗﻮاﻧﺪ ﻧﺸﺎﻧﺪﻫﻨﺪه ﺑﺮوز ﯾﮏ ﺗﻬﺎﺟﻢ از ﻧﻮع dosﯾﺎ
ddosﺑﺎﺷﺪ:
ﮐﺎﻫﺶ ﺳﺮﻋﺖ و ﯾﺎ ﮐﺎرآﺋﯽ ﺷﺒﮑﻪ ﺑﻄﺮز ﻏﯿﺮ ﻣﻌﻤﻮل )در زﻣﺎن ﺑﺎز ﻧﻤﻮدن ﻓﺎﯾﻞ ﻫﺎ وﯾﺎ دﺳﺘﯿﺎﺑﯽ ﺑﻪ وب ﺳﺎﯾﺖ ﻫﺎ(
ﻋﺪم در دﺳﺘﺮس ﺑﻮدن ﯾﮏ ﺳﺎﯾﺖ ﺧﺎص)ﺑﺪون وﺟﻮد دﻻﯾﻞ ﻓﻨﯽ(
ﻋﺪم اﻣﮑﺎن دﺳﺘﯿﺎﺑﯽ ﺑﻪ ﻫﺮ ﺳﺎﯾﺘﯽ)ﺑﺪون وﺟﻮد دﻻﯾﻞ ﻓﻨﯽ(
اﻓﺰاﯾﺶ ﻣﺤﺴﻮس ﺣﺠﻢ ﻧﺎﻣﻪ ﻫﺎي اﻟﮑﺘﺮوﻧﯿﮑﯽ ﻧﺎﺧﻮاﺳﺘﻪ درﯾﺎﻓﺖ
ﻣﻨﺎﺑﻊ :
*اﻣﻨﯿﺖ ، راﻣﯿﻦ ﺻﻤﺪي
*اﻣﻨﯿﺖ ﺷﺒﮑﻪ ، ﺳﺎﯾﺖ آﺷﯿﺎﻧﻪ
*اﻣﻨﯿﺖ ﺷﺒﮑﻪ ،ﻧﮕﺎرﺳﺘﺎن
*اﻣﻨﯿﺖ و ﺿﺪ اﻣﻨﯿﺖ ﺷﺒﮑﻪ، اﻣﯿﺮ اﺷﺘﯿﺎﻧﯽ