سرويسدهندگان اينترنت و صاحبان سايتها همواره يك نگراني دائمي در مورد نقاط ضعف و روزنههاي نفوذ به سيستمها دارند. اين نفوذها با استفاده از ضعف سيستمها صورت ميپذيرد و براي دفاع در برابر آنها لازم است اطلاعات جامعي پيرامون آنها در دسترس باشد. اين مقاله نگاهي اجمالي بر انواع مختلف حملات اينترنتي و راهكارهاي جلوگيري از آنها دارد.
از جمله حملاتي كه وب سرورهـــــا بسيار زياد گرفتـــــار آنها ميشونـــــد، جلوگيري از سرويسدهي(Denial of Service) است. اين نوع حملات بسيار رايج بوده، زيرا كاربران غير حرفهاي نيز ميتوانند آنهـــــا را ايجاد كنند. به عنوان مثال بسياري از سرورها در بانكهاي الكترونيكي يا سرويسدهندگان پستالكترونيكي ممكن است به اين مشكل گرفتار شوند. در اين نـــــوع از حملات اينترنتي، درخواستهايي جعلـــــي از يك يا چند منبع متفـــــاوت به سرور ارســـــال ميشود و بـــــا حجم زيـــــاد درخواستهـــــاي تقلبـــــي، سرور از پاسخدهـــــي به درخواستهاي واقعي عاجز ميماند. اين روش اغلب توسط هكرهــاي غيرحرفهاي مورد استفاده قرار ميگيرد كه برنامههايي را بهصورت ويروس، كرمهاي اينترنتي يا اسبهاي تروا مينويسند تا وب سرورها را از حالت سرويسدهي خارج كنند.
حملاتDOS عمدتـــــا زيرساخت پروتكلTCP/IP را هدف قرار ميدهند و در سه نوع زير طبقه بندي ميشوند: 1-حملاتـــــي كه از نواقص پيـــــاده سازي پشتهTCP/IP استفاده ميكنند. 2-حملاتي كه از نواقص خود پروتكلTCP/IP استفاده ميكننــد. 3-حملاتي كه از روش سعي و خطا استفاده ميكنند.
از جمله حملات نوع اول ميتوان بهPing of Death وTeardrop اشاره كرد. در روشPing of Death، شخص مهاجم بستههايIP را بـــــا حجمهـــــاي غيراستانـــــدارد (خيلي بزرگ) روي شبكه ميفرستـــــد تا سرور از كـــــار بيفتد و بتوانـــــد از پشته آسيب پذيرTCP/IP و يا سيستم عامل استفاده كند. اما در روش حملهTeardrop، سرور به وسيله بستههـــــايIP كه فيلدهايoffset آنها همپوشاني دارند، بمباران ميشود. سرور يا روتر نميتواند اين بستهها را دور بيندازد و لذا شروع به بازسازي آنها ميكند كه همپوشاني فيلدها باعث بروز مشكل خواهد شد. راهكار جلوگيري از اين نوع حملات، استفاده از ديوار آتش است كه جلوي بستههايIP غيرمتعارف را ميگيرد و مانع بروز اشكال در سيستم ميشود. رايجترين حملات نوع دوم، تهاجم موسوم بهSYN است. وقتي كه كامپيوتـــــري قصد برقراري ارتباط بـــــا يك كامپيوتر راهدور را دارد، ايـــــن عمل با فرآيندي موسوم بـــــه دستدهي سهمرحلهاي (3Way Hand Shake) صورت ميپذيـــــرد. بدينگونـــــه كه ابتدا كامپيوتر مبدا يك بستهSYN به كامپيوتر مقصد ميفرستد و كامپيوتر مقصد بـــــا دريافت بسته، يك تائيديهACK به مبدا ميفرستد و بدين ترتيب كامپيوتر مبدا ميتواند ارتباط مورد نياز را با كامپيوتر مقصد برقرار سازد. به طور واضح مشخص است كـــــه اگر كامپيوتـــــر راه دور گرفتار ازدحام بستههايSYN شود، بايـــد براي هرSYN يك بسته تاييد بفرستد و بدين ترتيب پهناي بانـــــد آن تلف خواهد شــد. حال اگر كامپيوتـــــر حقيقي تقاضـــــاي ايجاد ارتباط كند، بــه علت اشغالشدن پهنـــــاي بانـــــد، سرور امكـــــان سرويسدهـــــي به ساير كامپيوترها را نخواهد داشت. اگر چه پهناي بانــدي كه در اين روش اشغال ميشود، اغلب محدود است ولي اگر حملات در حجم بالا صـــــورت پذيرد، مشكلات جدي را براي سرور فراهم ميكند. با استفاده از ديوار آتش جلوي ايـــــن حملات را نيز ميتوان گرفت. در حملات نوع سوم شخص مهاجم با ارسال تعداد زيادي بستههايICMP (پروتكل كنترل پيام) روتر را مملو از اين بستهها ميكند و از آنجائيكه تقريبا همه وب سرورها به اين نوع بستهها پاسخ ميدهند، پهناي باند به طور كلي از بين ميرود و كاربران واقعي از ادامه كار عاجز ميمانند و ترافيك بسيار زيادي براي همه گرههاي شبكه ايجاد ميشود. امكان اين نـــــوع حملات را نيز ميتوان بـــــا استفاده از ديوار آتش از بين برد. اما حملات اينترنتي براي ممــانعت از سرويس دهي سرورها محدود به موارد فوق نيست و تهاجماتي به صورتهاي زير نيز وجود دارد.
ازدحام بستههايUDP در اين روش شخص مهاجم بستههاي بلااستفادهاي از يك پـــــورتUDP به پورت ديگرUDP روي كامپيوتـــــر مقصد منتقل ميكند و از آنجائيكه پروتكلUDP وابسته به ارتباط نيست (Connection Less)، ازدحـــــام بستـــــههـايUDP، مشكلساز ميشود.
بمباران سرور به وسيله نامههاي الكترونيكي ايـــــن روش اغلب بـــــه وسيله كاربـــران غيرحرفهاي استفاده ميشود و در آن شخص مهاجم هزاران نامه الكترونيكي را بـــــه يك آدرس خـــــاص ميفرستـــــد و باعث سرريز نامهها ميشود. در اين روش وقتي تعداد نامههاي الكترونيكي از حدمجاز سرورهايSMTP تجاوز كند، باعث از كار افتادن سرور شده و سايـــــر كاربـــــرانISP از ادامـــــه كار عاجـــــز ميشوند. اين نوع حملات به آساني قابل رديابي هستند و با يافتـــــنIP مبدا نامههـــــاي الكترونيكـــــي، ميتوان بـــه ساير اطلاعات موردنياز دست يافت و جلوي حملات را گرفت.
بـــــاز شدن صفحـــــات اينترنتـــي بــــــــه صـــــــورت پشت سر هم اين نوع از حملات نيز به وسيله كاربران غيرحرفهاي صورت ميپذيـــــرد. در اين روش مهاجمـــــان با برنامههـــــاي كوچك بهصورت تكـــــراري بعضي از صفحات اينترنتي را مرتبا و پشت سر هم فراخواني ميكنند. اين عمل نيز باعث اشغال بسيار زياد پهناي باند سرورها ميشود و كاربران ديگر را از ادامه كار باز ميدارد. جهت رفع اين مشكل بايـــــد مديران شبكه بـــــه هر كاربر فقط امكان برقراري يك ارتباط را بدهند تا چنين مشكلاتي ايجاد نشود.
اين نوع از حملات از جمله رايجترين حملات اينترنتـــي است كه در آن هزاران يا دهها هزار كامپيوتر آسيب خواهــــــد ديد. اغلب اين حملات بدين صورت است كه فايلي در كامپيوترهاي آسيب ديده مينشيند و منتظر دستور فرد مهاجم ميماند، وقتي كه شخص مهاجم دستور ازدحام بستههاي كنترل پيامهـــــا را ميدهـــــد، بـــــه سرعت بستههــايICMP روي كامپيوترهـــــاي مختلف پخششده و بـــــاعث از كارافتادن كامپيوترهاي راه دور ميشوند. امروزه امكانات و برنامههاي زيادي براي اين نوع حملات وجود دارد؛ بهگونهاي كه ارتشي از فايلهاي جستوجوگر، سرويسها و پورتهاي سرور را جستوجـــــو ميكنند تا نقاط ضعف آنها را پيدا كنند و به صورت گروهي حملاتي را بـــــه سرورهاي مختلف انجام دهنـــــد. حل ايـــــن مشكل به وسيله ايمـــــن سازي تك تك كامپيوترهـــــا ممكن نيست زيرا فيلتركردن و يا دنبال كـــــردن ترافيك حملات به علت شباهت آنها با ترافيك واقعي شبكه، بسيـــــار دشوار است. از آنجائيكه همواره تعداد بسيار زيادي از كامپيوترهـــــاي نـــــاامن روي اينتـــــرنت وجود دارد، ايــن كامپيوترها محل بسيار مناسبي براي ايجاد حملات جديد هستند. از آنجائيكه حمله به سيستمهاي غيرمتمركز منجر به بروز مشكلات بسيار جدي ميشــود، لذا براي جلوگيري از آنها بايد اصول خاصي در نظر گرفته شود:
1-استفاده از راهكارهاي غيرمتمركز براي سيستمهاي غيرمتمركز. 2- اجتناب از راهكارهاي مضر براي كاربران قانوني. 3-ايمن سازي سيستم در مقابل تهديدات داخلي و خارجي 4-طراحـــي سيستمهاي عملي براي هماهنگي با مشكلات واقعي. 5-ارائه راهحلهـــــاي قابل اجـــــرا در محيطهـــــاي كوچك و تعميم آنها به كل سيستمها.
راهحلهايـــــي كه براي حملات غيرمتمركـــــز ارائه ميشود، اغلب بـــــهصورت محدودكردن سرويسهـــــا و يا قطع آنها هستند كه مشكلاتي جدي براي فعايتهاي قانوني ايجاد ميكنند. اما در اصل بايد براي جلوگيري از اين حملات، گرههايي را كه دچار مشكل شدهاند، شناسايي و آنها را ايزوله كرد و يا از شبكه بيرون انـــــداخت و ايـــــن عمليات بايـــــد به ترتيبي صورت پذيرد كه بهترين نتيجه حاصل شود.
DefCOM يكـــــي از سيستمهـــــاي دفاعـــــي در بــرابر اين حملات است كه از چندين گره امنيتي غيرمتجانس تشكيل شده است. اين گـــــرهها ترافيك شبكه را بـــــررسي كرده و سپس نرخ منـــــاسب ترافيك در شبكه را بـراي جلوگيري از ترافيك تقلبي مشخص ميكنند. درصورت حمله، كامپيوتر قرباني پيام خطـــــر ميدهد و كامپيوتر امنيتي آن را به همه كامپيوترهاي امنيتـــــي ديگر ميفرستـــــد تا همـــه در حالت تدافعـــــي قرار گيرنـــــد. از اين به بعد كامپيوترهاي امنيتي پيامهاي بيـــــن خـــــود را بـا برچسب خاصي ميفرستند تا ارتباطي امن بين خودشان برقرار شود; بدين ترتيب ريشه حمله را پيدا ميكننـــــد. در اين ارتباط، دادههاي شبكه با 3 نوع برچسب متفاوت ارسال و دريافت ميشوند:
1-ترافيك بدون برچسب كه تركيبي از دادههاي خوب و بد است. 2-ترافيك كنترل شده كه با نرخ پايين مبادله ميشود. 3-ترافيك قانونـــــي كـه ترافيك مجاز شبكه است. بررسي روشهـــــاي مختلف حملات اينترنتـي و راهكارهاي مقابله با آنهـــــا نشان ميدهد كـــــه امكان برطرف كردن كامل آنها وجود ندارد و آنچه كـــــه مديران شبكهها قادر به انجام آنها هستنـــــد، بررســـــي چگونگـــــي حملات اينترنتـــــي است تا تدابيري را جهت جلوگيري از تكرار آنها بينديشند.