بهبود مقاومت سرویسگر ها

چکيده
حمله جلوگيري از سرويس يکي از روشهاي خرابکاري در شبکه هاي کا مپيوتري مي با شد که با هدف غير قابل دسترس نمودن سرويس براي کاربران انجام مي شود.تا کنون روشهايي جهت مقابله با اين حمله در قالبهاي ديوارهاي آتش و سيستمهاي تشخيص نفوذ ارائه شده است که هيچکدام به صورت يک راه حل قطعي نبوده و تنها مقاومت سيستم را افزايش داده اند .

دراين مقاله روشي پيشنهاد شده است که سيستم را تا چندين برابر نسبت به روشهاي قبلي مقاومتر مي نمايد. در اين روش با استفا ده از مکانيزم دسته بندي آدرسهاي IP بر اساس دانش استخراجي از ترتيب و توالي بسته هاي ارسالي در مرحله تاييد سه جانبه، به طريق بي درنگ ارتباطات کنترل و در صورت نياز قطع مي گردد وحمله به افسر امنيتي اطلاع داده مي شود.

۱٫مقدمه
امروزه با رشد روز افزون کاربرد کامپيوتر در تمامي علوم و مزاياي فراوان آن، استفاده از اين ابزار به صورت يک امر ضروري درآمده است. در اين ميان شبکه هاي کامپيوتري و خصوصا شبکه جهاني

اينترنت سبب بروز انقلاب بزرگي در زمينه ارتباطات شده است و کاربران بسياري را در هر مقطع و از هر قشر به خود جذب کرده است . نياز به جابجايي اطلاعات و اطلاع رساني در سطح گسترده باعث شده است که از شبکه به دليل سرعت مناسب و عدم محدوديتهاي جغرافيايي جهت تباد

ل هر گونه اطلاعات استفاده شود . ارتباط شبکه هاي مختلف با يکديگر و تنوع استفاده کنندگان سبب بروز مشکلات عمده اي نظير ربودن ، تخريب و دستکاري اطلاعات شده است . در اين راستا روش هاي گوناگوني جهت مقابله با حملات در قالب سيستمهاي تشخيص نفوذ پياده سازي ش

ده اند . بطوريکه امروزه در شبکه هاي کامپيوتري از سيستمهاي تشخيص نفوذ به عنوان يک ابزار تدافعي در برابرحملات و به منظور حفاظت از اطلاعات، افزايش امنيت و در نهايت شناسايي نفوذ استفاده مي شود.به دليل ماهيت غير الگوريتمي تکنيکهاي تفوذ به شبکه هاي کامپيوتري،

روشهاي ارائه شده براي مقابله با حملات نيز داراي ماهيت غير الگوريتمي بوده و در نتيجه ارائه يک روش جهت مقابله با نفوذ، عموما درصورت کشف و شناخت سناريوي آن نفوذ امکان پذير است . ليکن دسته اي از حملات وجود دارند که علارقم دانستن سناريوي حمله آنها به دلايل مختلفي نظير ضعف در طراحي پروتکل ارتباطي و نظاير آن، تا کنون روشهايي جهت مقابله قطعي در برابر آنها ارائه نشده است . پروتکل TCP/IP که متداول ترين پروتکل ارتباطي درشبکه هاي کامپيوتري مي باشد اگرچه طراحي آن با ظرافت خاصي صورت گرفته است، ليکن قابليت انعطاف و شناخت رفتاري پروتکل مذکور سبب افزايش توانايي نفوذ به شبکه ها ي کامپيوتري شده است . در ادامه اين مقاله در بخش دوم، انواع نفوذ و روشهاي تشخيص آن، در بخش سوم حمله جلوگيري از سرويس و روشهاي مقابله با آن ، در بخش چهارم روش پيشنهادي و نهايتا در بخش ششم نتيجه گيري ارائه مي گردد.
۲ .انواع نفوذ وسيستمهاي تشخيص نفوذ يا نفوذي ها سعي در ربودن و انهدام اطلاعات و غير قابل استفاده نمودن سيستم و سرويس براي رسيدن به اهداف خود با انگيزه هاي سياسي، نظام و مالي دارند و براي انجام آن با عمليات مختلفي از قبيل ربودن کد کاربري و کلمه عبور و اشتباه انداختن سيستم جهت صدور مجوزها ، پيدا کردن نقاط ضعف برنامه کاربردي و غيره دست مي زنند.
نفوذ عبارت است از يکسري اقدامات و عمليات غير قانوني که منجر به دستيابي به منابع يک کامپيوتر يا شبکه و به خطر افتادن محرمانگي وصحت داده ها مي شود.]۱[
نفوذ را مي توان به شش دسته (۱) ورود غير قانوني ، ( ۲) حملات ايفاي نقش ، (۳)

رخنه به سيستمهاي کنترل امنيت ،(۴) نشت ،(۵) جلوگيري از سرويس و(۶) استفاده هاي خرابکارانه تقسيم نمود.] ۲[
سيستمهاي تشخيص نفوذ سيستمهايي هستندکه به منظورکشف نفوذ و رفتارهاي غيرعادي ومشکوک مورد استفاده قرارمي گيرند.
در سيستمهاي تشخيص نفوذ عمل پردازش و آناليز ورودي داده هاي جمع آوري شده مي تواند در همان لحظه به صورت موازي انجام شود که در آن حالت سيستم را بي درنگ مي گويند.(لازم به ذکر است که واکنش سيستم تشخيص نفوذ در مدت زمان قابل قبول مي تواند همان مفهوم بي درنگ را داشته باشد.) سيستمهاي تشخيص نفوذ از نظر چگونگي عملکرد و تشخيص به دو دسته تشخيص سوء استفاده ]۳[ و تشخيص رفتارغير عادي ]۴[ تقسيم مي شوند . در تشخيص سوء استفاده با بکارگيري متدها و روشهايي، نفوذ را درقالب يک الگو نمايش مي دهند بطوريکه انواع مختلفي از همان نفوذ قابل شناسايي مي باشد . سيستمهاي تشخيص نفوذ IDES ]5 [و] NIDES6[ نمونه هايي از اين دسته اند . روشهاي متداولي که در روش تشخيص سوء استفاده بکار مي روند عبارتند از : (۱) سيستمهاي خبره، (۲) روش هاي گذارحالت و (۳) روش CP-NET.
درتشخيص رفتارغيرعادي بافرض آنکه درفعاليتهاي نفوذي همواره رفتارغيرعادي وجودخواهدداشت نماهايي ازرفتارعادي کاربران يک سيستم جمع آوري مي شودآنگاه تمامي رفتارهايي که ازنماهاي جمع آوري شده عادي متفاوت هستندبه عنوان تلاشي جهت نفوذ شناخته مي شوند . به عنوان نمونه ميتوان به سيستم تشخيص نفوذ STACK ] HEY2 [ اشاره نمود . مي توان براساس منبع اطلاعات دريافتي سيستمهاي تشخيص نفوذ را به سه دسته (۱) سيستمهاي تشخيص نفوذ مبتني بر ميزبان (۲) ،سيستمهاي تشخيص نفوذ مبتني بر شبکه و(۳)سيستمهاي تشخيص نفوذ مبتني بر ميزبان و شبکه تقسيم نمود

۳٫حمله جلوگيري از سرويس و روشهاي مقاومت در برابر آن
متداولترين حمله جهت خرابکاري در شبکه هاي کامپيوتري , حمله جلوگيري ازسرويس مي باشد]۷[ که در آن مهاجم يا مهاجمين سعي در جلوگيري از سرويس دهي يک سرويس دهنده به متقاضيان را دارند . رشد و افزايش حمله جلوگيري از سرويس در سالهاي اخير چشم گير بوده بطوريکه از سال ۱۹۹۵تا ۱۹۹۹تعداد حمله ها، سالانه با ۵۰% افزايش همراه بوده است]۸[.
طبق گزارش (CSI/FBI 1999) ،۳۲ % مجموع حملات به سايتهاي کامپيوتري در دسته بندي حملات جلوگيري از سرويس DOSشناسايي شده اند]۹[.آمار بدست آمده نشان ميدهد که در۹۰%حملات جلوگيري از سرويس، از TCP استفاده مي شود]۱۰[.
در اين حمله نفوذي يا نفوذي ها سعي در کند نمودن و در نهايت از کار انداختن

سرويس دهنده از طريق گرفتن منابع و تخصيص آنها به درخواستهاي غيرمعتبروتقلبي خود دارند. به طورکلي حملات جلوگيري از سرويس را مي توان به سه دسته تقسيم نمود]۱۱[ :
– بهره برداري از خطاها و نقاط ضعف در پياده سازي
– حمله به منابع سرويس دهنده

– حمله به پهناي باند سدويس دهنده(اشباع پهناي باند)
حمله جلوگيري ازسرويس که ناشي ازخطاها ونقاط ضعف درپياده سازي مي باشد، با نصب برنامه هاي اضافي تحت عنوان ( PATCH)
بر روي سرويس دهنده به راحتي قابل پيشگيري است . جلوگيري از حمله به منابع سرويس دهنده معمولا از پيچيدگي بسياري برخوردار است.چون دراين نوع حمله از قابليتها وخصيصه هاي برنامه هاي کاربردي و نقاط ضعفهاي نهفته درپروتکل هاي بالايي لايه انتقال استفاده مي شود. حمله به پهناي باند با ترافيک غير قابل استفاده ، با تصادم بسته ها همراه است.
انواع حمله جلوگيري از سرويس عبارتند از:
IP SPOOFING-
– حمله جلوگيري از سرويس توزيع شده
– حمله SMURF
– حمله TRINOO
– حمله بمبهاي نهان
– حمله پهناي باند
– حمله LAND
– حمله SYN-FLOODING
حمله SYN-FLOODING که متداولترين نوع حمله درحملات جلوگيري از سرويس مي باشد مهاجم سعي درايجاد اتصا لات غيرمعتبر به منظورغيرقابل دسترسي نمودن منابع سيستم دارد.به عبارت ديگربا مشغول کردن ماشين هدف وبه هدردادن منابع آن، با ارسال بسته هاي SYN سرويس دهنده را به سوي ضعف مي کشاند . س

ه عامل در حمله جلوگيري از سرويس قابل بررسي است . اين عوامل عبارتند از:
– توانايي کامپيوتر نفوذي
– پهناي باند ارتباطي سرويس دهنده
– توانايي کامپيوتر سرويس دهنده و برنامه کاربردي آن
توانايي ها ومحدوديت هاي کامپيوتري و برنامه مورد استفاده نفوذي درحمله بسيار با اهميت مي باشد بطوريکه بايد با سرعت زياد وکمترين تاخير و با نرخ بالايي ب

سته هاي درخواست ارتباط را ارسال دارد تا بتواند منابع سرويس دهنده را اشغال نمايد . پهناي باند ارتباطي سرويس دهنده مي تواند خود گلوگاهي براي آن باشد تا نفوذي با انرژي کمتر و ارسال بسته هاي درخواست با نرخ پايين تر سبب بروز تصادم و عدم رسيدن بسته هاي درخواست معتبر به سرويس دهنده و يا بسته هاي پاسخ سرويس دهنده به متقاضيان به دليل اشباع پهناي باند شو د. با حمله به صورت توزيع شد ه نفوذي مي تواند مشکل ضعف تک کامپيوترخود را حل نمايد

. از طرف ديگر با توجه به رشد فناوري ارتباطات و رفع محدوديت هاي انتقال اطلاعات پرسرعت، پهناي باند نيز مي تواند از جانب سرويس دهنده ( در صورتي که اشباع روي دهد ) تقويت شود . اما آخرين عامل که کامپيوتر سرويس دهنده مي باشد مي تواند گلوگاه اصلي ونقطه ضعف اساسي براي سرويس دهنده باشد . بنابراين روشهاي مقابله با حمله جلوگيري از سرويس سعي در تقويت اين عامل و يافتن راه حلي براي مقاوم تر نمودن سرويس دهنده دارند.
اگر نگاهي به سناريوي اجراي پروتکلTCP/IP براي برقراري ارتباط داشته باشيم] ۱۲[ مطابق شکل شماره ۱ مشاهده مي گردد که جهت برقراري ارتباط بين سرويس دهنده(SERVER) ومتقاضي(CLIENT)مرحله اي مقدماتي بايد طي شود که ۳WH^ ناميده مي شود.
اين سناريو با ارسال بسته اي (شاملSYN-NO) به منظور درخواست ارتباط ازجانب متقاضي سرويس آغاز مي گردد . زمانيکه يک سرويس دهنده بستهSYN J را دريافت مي کند در وضعيت LISTEN مي باشد در اين وضعيت حافظه اي براي ارتباط مذکور در نظر گرفته مي شود . پ

س از آن سرويس دهنده يک بسته در پاسخ بسته دريافتي حاوي ACK J و SYN K مي باشد را جهت اطمينان ارسال مي دارد در اين هنگام وضعيت سيستم به SYN-RCVD تغييرپيدا مي کند و يک زمانبند براي ارتباط نيمه باز درنظرگرفته مي شود. تا زمانيکه ACK از جانب متقاضي دريافت نشود وضعيت سيستم در SYN-RCVD باقي خواهد ماند .اگرمتقاضي به هردليلي در دريافت بسته دوم و يا ارسال بسته سوم (ACK) دچا رمشکل شود آنگاه سرويس دهنده، منبع تخصيص داده شده را آزاد نموده و مجددا به وضعيت LISTEN مي رود. اين زمان انتظار سرويس ده

نده حدود ۷۵ ثانيه مي باشد .
سناريوي فوق الذکراگرچه بسيار ساده و در عين حال کارا مي باشد ليکن داراي نقاط ضعفي است که نفوذيها ازآن استفاده نموده و با ارسال بسته هاي SYN با آدرسهاي مبدا غيرواقعي يا تقلبي باعث به هدر رفتن منبع سيستم مي شوند.آدرسهايي که نفوذي جهت از کار انداختن سرويس دهنده استفاده مي کند به سه دسته تقسيم مي شوند:

شکل شماره ۱- مرحله مقدماتي درخواست ارتباط

روش هايي که جهت مقاوم نمودن سرويس

دهنده در برابر حمله جلوگيري از سرويس استفاده مي شود]۱۳[ عبارتند از:

– کاهش زمان انتظار جهت نگهداري تقاضا در صف
– استفاده از ديوار آتش به عنوان واسطه و وکيل
– استفاده از ديوارآتش به عنوان شبه وکيل
– روش SYNKILL