برای مطالعه قسمت قبل آموزش رایگان دوره CEH اینجا کلیک کنید.
اکنون اجازه دهید به برخی از بهترین روشهای دفاع در عمق قابل استفاده در برابر حملات انکار سرویس نگاهی داشته باشیم. اولین مورد، اصل حداقل امتیاز است. بهتر است حداقر سرویسهای موردنیاز را اجرا کنید و سایر پورتهای بدون استفاده را ببندید.
دوم اینکه، محدودیتهای مربوط به پهنای باند را اجرا کنید. پهنای باند شبیه به یک انشعاب یا لوله بزرگ است. اگر مهاجمان بتوانند تمام ظرفیت لوله را با استفاده از ترافیک مدنظر خود پر کنند، میتوانند تمام ترافیک موجود را مسدود کنند. یك راه برای محدود كردن میزان آسیبگی از جانب مهاجمان، محدود كردن میزان استفاده از پهنای باند است. به عنوان مثال، شما ممکن است چهل درصد از پهنای باند را به پروتکل HTTP و 10 درصد را در اختیار پروتکل SMTP قرار دهید. بهتر است از برنامههایی شبیه به IPTables استفاده کنید که قادر هستند ترافیک قابل استفاده را محدود کرده و فیلترهایی را روی فلگهایی شبیه به فلگ TCP اعمال کنند. این ابزارها میتوانند جریان ترافیک را کنترل کرده و بستههای ناقص را بلوکه کنند. سوم، مدیریت مؤثر وصلههای ارائه شده است. بخش عمدهای از حملات سایبری و نه فقط DoS با مدیریت مؤثر وصلهها قابل کنترل هستند. مدیریت وصلهها ممکن است از حمله روز صفر جلوگیری کرده و به بهبود امنیت کلی شبکه کمک کند. چهارم، فقط اجازه عبور ترافیک معتبر و ضروری را را بدهید. بهتر است آدرسهایی که نامعتبر هستند را مسدود کنید. گاهی اوقات حملات از طریق آدرسهایی که به ظاهر عادی هستند انجام میشود. آدرسهای سادهای که معتبر نیستند، ممکن است آدرسهای آیپی استفاده نشده، آدرسهای loopback و آدرسهای NAT باشند. برخی از سازمانها نسبت به فیلتر کردن ترافیک مربوط به آدرسهای مشکوک کاملا حساس هستند و از فیلترهای خاصی برای فیلتر کردن ترافیک عبوری استفاده میکنند و هر نوع پورت یا سرویسی که نیازی به آن نیست را مسدود میکنند. بهطور مثال، ترینیتی از پورت 6667 استفاده میکند که بهطور معمول نباید باز باشد.
برای اطلاعات بیشتر در این زمینه بهتر است مستندات RFC 2827 و RFC 3704 را مطالعه کنید و دستورالعملهای ارائه شده در این مستندات را پیادهسازی کنید. بهطور مثال، با پیروی از دستورالعملهای ارائه شده در RFC 2827 میتوانید در برابر مهاجمی که در شبکه شما قرار دارد و از آدرسهای جعلی منبع استفاده میکند که هماهنگ با قواعد دیوارآتش نیز محافظت کرده و مانع پیادهسازی موفقیتآمیز حملات شوید. RFC 3704 همچنین برای محدود کردن تأثیر حملات DoS از طریق ترافیک مخربی که توسط آدرسهای جعلی به سمت شبکه روانه میشود استفاده کرده و اجازه میدهد به شکل دقیقی به ردیابی ترافیک مشکوک بپردازید. به عنوان مثال، اگر شبکه داخلی شما آدرس 110.10.0.0 را دارد، آیا ترافیک از یک آدرس مسیربایی شده متفاوت قصد خروج از شبکه را دارد؟ در چنین سناریویی تنها ترافیک مبتنی بر آدرس 110.10.0.0 باید عبور کند.
نکته: ردیابی منبع حمله DDoS به دلیل فاصلهای که میان مهاجم و قربانی وجود دارد دشوارتر از ردیابی منبع DoS است. جمعآوری شواهد و مدارک شانس شما در شناسایی و دستگیری مجرمان را افزایش میدهد، با این حال برخی از مجرمان ممکن است هیچگاه شناسایی نشده و محاکمه نشوند. همواره به یاد داشته باشید که هیچ راهحلی نمیتواند به شکل کامل از شبکه شما در برابر تهدیدات و حملات انکار سرویس که یک دامنه را تهدید میکنند محافظت کند.
تا این بخش از آموزش آموختید که چگونه ابزارهای شنودکننده میتوانند ابزاری عالی برای پیدا کردن نام کاربری، کلمه عبور و سایر اطلاعاتی باشند که میتوانند محرمانه در نظر گرفته شود. از اسنایفرها میتوان به یکی از دو روش شنود منفعل یا منفصل استفاده کرد. در شنود غیر فعال به چیزی بیش از یک هاب نیازی ندارید. شنود فعال به تلاش بیشتری نیاز دارد، به ویژه زمانی که در یک شبکه از سوییچهای هوشمند استفاده شده است. شنود فعال را میتوان از طریق مسمومسازی ARP یا MAC flooding پیادهسازی کرد. با اینحال هر دو بردار حمله قابل شناسایی هستند. درست است که شنود یک مشکل جدی به شمار میرود، اما خطرناکتر از روبایش یک جلسه است که به هکرها اجازه میدهد یک شکاف جدی در ارتباطات به وجود آورند. روبایش جلسه به فرآیندی اشاره دارد که هکر یک نشست تایید هویت شده را به سرقت میبرد. برخلاف جعل، مهاجم تظاهر نمیکند که شخص دیگری است. او در واقع کنترل جلسه را در دست میگیرد. پس از اتمام جلسه وی سعی میکند با اجرای دستورات یا بهکارگیری ابزارهای مختلف مجوزهای خود را ارتقا دهد. روبایش جلسه بهطور معمول در لایه انتقال یا لایه کاربرد اتفاق میافتد. حملات لایه انتقال عملکردهای کاربردی پروتکل TCP را هدف قرار میدهند، در حالی که حملات لایه کاربردی به دلیل روشی که برنامهها از آن استفاده میکنند و گاهی اوقات اطلاعات مربوط به جلسه کاربری را کنترل میکنند امکانپذیر است. بعضی اوقات ممکن است مهاجم بتواند توکن یک جلسه معتبر را ضبط کند و به سادگی به استفاده مجدد از آن بپردازد. در شرایط دیگر، ممکن است مهاجم بتواند مقدار توکن را پیشبینی کند.
هکرها ممکن است همیشه آنقدر خوش شانس نباشند که بتوانند ترافیک را شنود کنند یا جلسات را به سرقت ببرند. در این حالت ممکن است هیچگونه دسترسی به دست نیاورند، اما این بدان معنا نیست که آنها از اجرای یک حمله ناتوان خواهند بود. آنها هنوز هم میتوانند حمله DoS را انجام دهند. حملات DoS اصل دسترسپذیری را نقض کرده و مانع از آن میشوند تا کاربران بتوانند به ماهیت موردنیاز خود دسترسی پیدا کنند. انکار سرویس و انکار سرویس توزیع شده عمدتا با هدف مسدودسازی دسترسی به سرویسهای معتبر پیادهسازی میشوند. این حملات با نحوه راهاندازی و ارسال حجم زیادی از ترافیک به شکل سیلآسا به سمت قربانی انجام میشوند. پیشگیری از بروز چنین حملاتی غیرممکن است، اما میتوان از تکنیکهایی برای محدود کردن آسیب یا کاهش شدت حملات استفاده کرد. اکنون برای درک بهتر موضوع اجازه دهید به چند مثال کاربردی اشاره کنیم.
جستوجو برای برنامههای DDoS
در این برنامه قصد داریم به جستوجوی برنامههای DDoS بپردازیم که ممکن است روی یک میزبان قرار گرفته باشند. بهطور معمول این عملیات 15 دقیقه به طول میانجامد. برای انجام اینکار مراحل زیر را دنبال کنید:
مرحله 1. ابزار تشخیصی DDoS DDoSPing را از آدرس زیر دانلود کنید.
http://www.mcafee.com/us/downloads/free-tools/ddosping.aspx
مرحله 2: برنامه را درون پوشه پیشفرض باز کنید.
مرحله 3. از ویندوز اکسپلورر برای رفتن به پوشه DDoSPing و اجرای آن استفاده کنید.
مرحله 4. لغزنده درون برنامه را به سمت راست کشیده و در وضعیت حداکثر سرعت انتقال روی MAX تنظیم کنید.
مرحله 5. در زیر محدوده هدف، آدرس زیر شبکه محلی را وارد کنید.
مرحله 6. روی دکمه شروع کلیک کنید.
مرحله 7. نتیجه را بررسی کنید تا مطمئن شوید هیچ آلودگی روی میزبانها پیدا نکردهاید.
بهکارگیری SMAC برای جعل مکآدرسها
در این تمرین از SMAC استفاده میکنید تا یاد بگیرید چگونه مکآدرسها جعل میشوند. این تمرین نیز تقریبا 15 دقیقه طول میکشد.
مرحله 1. ابزار SMAC را از آدرس http://www.klcconsulting.net/smac/ دانلود کنید.
مرحله 2: برنامه را درون پوشه پیشفرض باز کنید.
مرحله 3. از طریق منوی شروع ویندوز برنامه را اجرا کنید.
مرحله 4: پنجره خط فرمان را باز کرده و فرمان ipconfig / all را درون آن تایپ کنید. مکآدرس نشان داده شده در این قسمت را یادداشت کنید.
مرحله 5. در این مرحله میتوانید با استفاده از برنامه SMAC مک آدرس سیستم خودتان را تغییر دهید. ار در نظر دارید از مقدار خاصی برای مکآدرس استفاده کنید، باید از شبکه دیگری به شنود آن پرداخته یا از آدرس زیر برای تعیین یک مقدار مشخص استفاده کنید. https://macvendors.com/
مرحله 6. بعد از آنکه تصمیم گرفتید که چه آدرس جدیدی را برای مکآدرس تعیین کنید، در ادامه مقدار فوق را درون برنامه SMAC وارد کرده، آنرا ذخیره کرده و exit را کلیک کنید.
مرحله 7. سیستم را راهاندازی مجدد کنید و دستور ipconfog / all را از درون خط فرمان اجرا کنید. مکآدرس را یادداشت کرده و با مقدار قبلی مقایسه کنید.
اکنون باید دو مکآدرس متفاوت را مشاهده کنید. این تکنیکی است که نشان میدهد هکرها چگونه به جعل مکآدرسها پرداخته و از سد مکانیزمهای امنیتی شبکهها عبور میکنند. به عبارت دقیقتر هکرها با استفاده از چنین روشهایی سعی میکنند از مکآدرسهای معتبر و قانونی برای ورود به سامانهها و شبکهها استفاده کنند.
حالا که تا حدودی با حملات انکار سرویس (توزیع شده)، روبایش جلسات و... آشنا شدید زمان آن فرا رسیده تا به سراغ مباحث دیگری بروید که پیرامون هک بانکهای اطلاعاتی، هک برنامههای تحت وب و هک وبسرور قرار دارند.
دنیای وب مکانی است که همه ما را به یکدیگر متصل میکند، اما تعداد کمی از کاربران با کم و کیف سرویسها و فرآیندهای پشت صحنه وب آشنایی دارند. سرورهای وب، برنامههای وب و سرورهای SQL از جمله مولفههای مهمی هستند که ضمن برقراری ارتباط کاربران با یکدیگر برای هکرها نیز جذاب هستند. حملات و آسیبپذیریهای مختلفی که سرورهای اینترنتی را هدف قرار میدهند، در حقیقت به سراغ برنامههایی میروند که در پشت صحنه اجرا میشوند. بانکهای اطلاعاتی که برای ذخیرهسازی اطلاعات استفاده میشوند یکی از این مولفههای مهم هستند. حمه به یک وبسرور یک حمله زیرساختی است، زیرا به هکرها اجازه میدهد به هر چیزی که به دنبالش هستند دسترسی پیدا کنند. شبکه داخلی شما ممکن است غیرقابل دسترسی باشد، شبکه بی سیم شما ممکن است فقط از درون شرکت مکانهای نزدیک به شرکت در دسترس باشد، اما وبسایتها دسترسی جهانی را فراهم میکنند. به همین دلیل لازم است که بهطور منظم و مستمر مورد آزمایش و پویش قرار گیرند.
مدیران شرکتها به عنوان یک هکر اخلاقمدار از شما انتظار دارند برای محافظت از داراییهای تحت وب سازمانی یک مکانیزم دفاعی را به آنها پیشنهاد کنید یا ممکن است شما را به عنوان یکی از اعضا تیم نفوذی قرار دهند که وظیفه آنها پیدا کردن نقاط ضعف خواهد بود. در چنین شرایطی موارد زیادی برای بررسی وجود دارد. برنامههای وب و پایگاههای داده SQL که شرکتها از آنها استفاده میکنند، اهداف وسوسهانگیزی برای مجرمان سایبری هستند. آزمون CEH انتظار دارد که شما در این موضوعات صلاحیت پایه را به دست آورید. پس بهت راست کار را با وبسرورها آغاز کنیم.
هک وب سرور
تیم برنرز لی در سال 1989 شبکه جهانی وب را اختراع کرد. از آن زمان به بعد وب پیشرفتهای چشمگیری داشت که کمتر کسی آنرا تصور میکرد. رویا اتصال تمامی اشیا به شبکه، هوشمندسازی یخچالها، ترموستاتها، خودرانها، ساعتهای هوشمند، تلفنهای همراه، آیپادها، بانکداری آنلاین، تجارت الکترونیکی و موارد دیگر اکنون تحقق یافتهاند. این امکان وجو دارد که تمامی این موارد را به یکدیگر متصل کرده و از طریق وب به آنها دسترسی داشت. بدون تردید پیشرفتهایی که در آینده در دنیای محاسبات ابری به وقوع خواهد پیوست، همگان را متحیر خواهد کرد. با این حال، اتصال اشیا به اینترنت بدون هزینه نیست. توسعهدهندگان باید در درجه اول به مقوله امنیت اهمیت خاصی دهند، در غیر این صورت، ممکن است بهای آن را به شکل بدی پرداخت کنند، زیرا هکرها میتوانند به سرعت آسیبپذیریها را شناسایی کنند. به لحاظ تاریخی، سرورهای وب یکی از اهداف بالقوهای به شمار میروند که به هکرها اجازه دسترسی به زیرساختها را میدهند. به این دلیل است که یک وبسرور در طول تاریخ مورد توجه هکرها قرار داشته است. ممکن است مهاجم دسترسی فیزیکی یا منطقی به شبکه داخلی یا خارجی شما نداشته باشد، اما وبسرور شما همیشه از طریق هر اتصال اینترنتی قابل دسترسی است.
زبان نشانهگذاری ابرمتن (HTML) و پروتکل انتقال ابرمتن (HTTP) معیارهایی بودند که در ابتدا معماری وب را تعریف میکردند. اگرچه پروتکلها و برنامههای انتقالی به تدریج به زیرساختها اضافه شدند، با اینحال HTTP همچنان وسیله اصلی برقراری ارتباط در وب است (و به نظر میرسد این روند برای مدت زمان دیگری نیز ادامه خواهد داشت.). HTTP یک پروتکل نسبتاً ساده، بدون وضعیت و مبتنی بر اسکی است. HTTP بر مبنای پورت 80 پروتکل TCP عمل کرده و تنها دارای چهار مرحله زیر است:
1. یک درخواست TCP را برای یک آدرس آیپی و شماره پورت موجود در آدرس اینترنتی باز میکند.
2. با ارسال سرآیند درخواست بر مبنای یک متدل تعریف شده شبیه به GET یک سرویس درخواست میکند.
3. ارتباط با ارسال سرآیندهای پاسخ و واکنش که شامل دادهها هستند کامل میشود.
4- اتصال TCP بسته شده و هیچ اطلاعاتی در مورد تراکنش ذخیره نمیشود.
برنامههای تحت وب مختلفی از HTTP استفاده کرده یا بر مبنای آن طراحی شده و به کار گرفته میشوند. مرورگرهای وب شبیه به اچ، فایرفاکس، کروم و نمونههای مشابه از برنامههای استاندارد وب هستند. پروتکل انتقال ممکن است HTTP باشد، اما ممکن است توسط پروتکل SSL، TLS یا سایر پروتکلهایی که مکانیزم رمزنگاری را ارائه میکنند در بطن آن استفاده شده باشد. وبسرور مسئول پاسخگویی به درخواستهای مرورگر وب است. اگرچه IIS یکی از محبوبترین وبسرورهای حال حاضر است، اما رهبران اصلی این بازار Apache و Nginx هستند. همچنین، ممکن است انواع مختلفی از برنامههای وب که قابلیت اجرای وبسرورها را دارند شبیه به پیاچپی، ASP یا سامانههای مدیریت محتوایی شبیه به وردپرس نیز در دسترس باشند. مکانی در پشت این برنامههای وب احتمالاً یک بانک اطلاعاتی در حال انجام فعالیت است که اطلاعات مهمی همچون شماره کارتهای اعتباری یا سایر اطلاعات حساس را در خود جای دهد. شکل زیر نمای کلی این زیرساختها را نشان میدهد.
حملات وب میتوانند روی بخشهای مختلف این زیرساخت متمرکز شوند. درست مانند سایر سرویسهای تحت شبکه، مهاجم ابتدا باید آنچه را که وجود دارد شناسایی میکند و سپس بهترین سناریو جمله را ترتیب میدهد. حملات وب عمدتا روی موضوعات زیر متمرکز هستندآ
■ Port scanning: میتوانید از ابزارهایی مانند Nmap و SuperScan استفاده کنید.
■ Banner grabbing and enumeration: سرور و نسخه را مشخص میکند. Netcat و Telnet در اینجا مفید هستند.
■ Vulnerability Scanning: ابزاری که برای شناسایی آسیبپذیریها یا موارد دیگری که وصله نشدهاند استفاده میشود. OpenVAS و Nessus دو نمونه از اسکنرهای تشخیص آسیبپذیریها هستند.
در شماره آینده مبحث فوق را ادامه میدهیم.
برای مطالعه رایگان تمام بخشهای دوره CEH روی لینک زیر کلیک کنید:
ماهنامه شبکه را از کجا تهیه کنیم؟
ماهنامه شبکه را میتوانید از کتابخانههای عمومی سراسر کشور و نیز از دکههای روزنامهفروشی تهیه نمائید.
ثبت اشتراک نسخه کاغذی ماهنامه شبکه
ثبت اشتراک نسخه آنلاین
کتاب الکترونیک +Network راهنمای شبکهها
- برای دانلود تنها کتاب کامل ترجمه فارسی +Network اینجا کلیک کنید.
کتاب الکترونیک دوره مقدماتی آموزش پایتون
- اگر قصد یادگیری برنامهنویسی را دارید ولی هیچ پیشزمینهای ندارید اینجا کلیک کنید.
نظر شما چیست؟