سيستم تشخيص نفوذ IDS

هر روز که میگذرد بر علم گسترده و بزرگ کامپیوتر و شبکه اطلاعات بیشتری اضافه میشود.هر روز حفره های گوناگون کشف میشود و پچ های جدید ساخته میشود و…در دنیای امروز دیگر هکرها فکر و ذهن خودشان را به هک کردن سایتها مشغول نمی کنند. هدف امروز هکرها سرورها و شبکه های گسترده میباشند.با خک کردن یک سرور میزبان میتوان صدها سایت را هک کرد.

وقتی یک شبکه مثلا شبکه لن یک دانشگاه هک میشود٬ می توان با استفاده از ابزار گوناگون به هزار کامپیوتر نفوذ کرد. با توجه به این موارد باید برای محافظت از سرورهای خود کارهایی انجام داد.سیستم یکی از اقداماتی است که در این زمینه
میتوان انجام داد. (IDS) تشخیص نفوذ
امنيت اطلاعات در اينترنت
امروزه شبكة جهاني اينترنت و خدمات متنوع آن به عنوان يك ابزار نوين جهت اطلاع رساني و تجارت الكترونيكي شناخته شده است. بسياري از سازمان ها و مؤسسات دولتي و خصوصي، تلاش گسترده اي را براي ورود به دنياي ارتباطات و استفاده از خدمات وسيع اينترنت آغاز نموده اند. با توجه به خدمات متنوع و مختلفي كه اينترنت به كاربران خود ارائه مي دهد، تعداد كاربران آن روز به روز رو به افزايش مي باشد، طوري كه در حال حاضر ميليون ها رايانه در سطح اينترنت به يكديگر متصل مي باشند و خدمات مختلفي را در اختيار كاربران خود قرار مي دهند. با توجه به گستردگي بيش از حد شبكه جهاني اينترنت و عدم امكان استفاده از كنترل مركزي بر كاربران آن، حفظ امنيت اطلاعات در اينترنت يكي از مسائل مهم و اساسي مي باشد زيرا همواره افرادي در دنيا پيدا مي شوند كه بنا به دلايل مختلفي از جمله ارضاي حس كنجكاوي خود، مايل به حمله به اطلاعات موجود در سايت هاي اينترنت مي باشند.
با گسترش تجارت الكترونيكي و استفاده از اينترنت به عنوان ابزار نوين براي تجارت جهاني، مسئله امنيت اطلاعات در اينترنت اهميت خود را به خوبي نشان مي دهد. سازمان ها و اداراتي كه به اينترنت متصل مي باشند، براي حفظ اطلاعات خود بايد از سيستم هاي امنيتي خاصي استفاده كنند. در اين زمينه اولين قدم، تعيين يك سياستگذاري و شيوة امنيتي مناسب مي باشد. مديريت حفاظت اطلاعات در شبكه هاي رايانه اي، از سه بخش اصلي تشكيل شده است كه عبارتند از: حفاظت اطلاعات در مقابل دسترسي هاي غيرمجاز، اطمينان از صحت و درستي اطلاعات و اطمينان از در دسترس بودن به موقع اطلاعات.

يكي از روش هاي حفاظت شبكه هاي رايانه اي متصل به اينترنت، كنترل دسترسي داخلي و خارجي به خدمات خاص شبكه مي باشد. در اين روش با استفاده از يك سيستم خاص به نام ديواره آتشين، سياستگذاري حفاظتي يك سازمان كه به اينترنت متصل مي باشد، پياده سازي مي شود. با استفاده از يك ديواره آتشين، مدير شبكه امكان دسترسي كاربران غيرمجاز و نفوذگران از بيرون شبكه را به خدمات داخلي شبكه، محدود مي سازد. هر چند استفاده از سيستم هاي سازد، ولي جهت حفظ اطلاعات و جلوگيري از دسترسي هاي غيرمجاز، امري لازم و ضروري مي باشد.

انواع مختلف حملات و ابزار كار مخربين در اينترنت
براي مقابله با نفوذ افراد مخرب در شبكه اينترنت، شناخت و بررسي دقيق انواع مختلف و روش هاي گوناگوني كه نفوذ گران براي حملات خود استفاده مي كنند، از اهميت خاصي برخوردار مي باشد. يكي از ساده ترين روش هاي حمله در اينترنت جعل آدرس IP مبدأ، بسته هايي را به درون شبكه ارسال مي دارد كه آدرس مبدأ آنها جعلي مي باشد و نشان دهنده آدرس يك سيستم داخلي است. روش مقابله با اين نوع حملات آن است كه هر بستة ورودي كه حاوي يك آدرس مبدأ داخلي است، ولي از درگاه خارجي مسيرياب دريافت شده است، دور انداخته شود. علاوه بر جعل آدرس IP مبدأ، روش هاي ديگري از حمله وجود دارند كه عبارتند از : حملات مسيريابي مبدأ و حمله به بسته هاي تكه شده بسته هاي IP2.
نفوذگران به شبكه، در اولين قدم نگاه دقيقي به نقاط ضعف هر ميزبان از لحاظ امنيتي دارند. براي اين كار از ابزار و نرم افزارهاي خاصي استفاده مي شود و بعد از آن كه موفق به نفوذ و حمله به يك سيستم حفاظت شده گرديدند، مدارك و مستندات مربوط به حمله خود را از بين مي برند و سپس با استفاده از مكنده هاي بسته اقدام به جمع آوري نام حساب ها و كلمات رمز مربوط به خدمات FTP و TELNER ، مي كنند كه اين امر امكان گسترش حمله و نفوذ به ساير سيستم ها را فراهم مي آورد. چنانچه نفوذ گر بتواند به قابليت دسترسي خاصي دست يابد، آنگاه مي تواند به پيام هاي پستي دسترسي يافته و فايل هاي خصوصي را بدزدد و داده هاي پراهميتي را خراب نمايد. در ادامه، برخي از مهم ترين جعبه ابزارها و نرم افزارهايي را كه نفوذگران به شبكه براي حملات خود استفاده مي كنند، كه حتي برخي از آنها به صورت رايگان بر روي اينترنت وجود دارد، معرفي مي گردند.

سیستم تشخیص نفوذ چیست؟
سیستم تشخیص نفوذ یک سیستم محافظتی است که خرابکاریهای

در حال وقوع روی شبکه را شناسایی میکند. این خرابکاریها جهت دسترسی غیر مجاز به شبکه یا کاهش کارآیی آن انجام میشود. یک سیستم تشخیص نفوذ ترافیک شبکه و فعالیتهای را مطلع (Alarm) را با تولید اخطار (Administrator) مشکوک را کنترل میکند و در صورت لزوم سیستم یا مدیرشبکه
میکند. در برخی موارد سیستم تشخیص نفوذ در مقابل ترافیک مخرب عکس الع

مل نشان داده و آن را با بلاک کردن دسترسی به شبکه کنترل میکند. IPکاربر یا منبع آدرس

انواع حملات شبكه اي با توجه به طريقه حمله
يك نفوذ به شبكه معمولا يك حمله قلمداد مي شود. حملات شبكه اي را مي توان بسته به چگونگي انجام آن به دو گروه اصلي تقسيم كرد. يك حمله شبكه اي را مي توان با هدف نفوذگر از حمله توصيف و مشخص كرد. اين اهداف معمولا از كار یادسترسی غیر مجاز به منابع شبکه است. (DOS يا Denial of Service) سرويس انداختن
حملات از كار انداختن سرويس-۱
در اين نوع حملات ، هكر استفاده از سرويس ارائه شده توسط ارائه كننده خدمات براي كاربرانش را مختل مي كند. در اين حملات حجم بالايي از درخواست ارائه خدمات به سرور فرستاده مي شود تا امكان خدمات رساني را از آن بگيرد. در واقع سرور به پاسخگويي به درخواستهاي بي شمار هكر مشغول مي شود و از پاسخگويي به كاربران واقعي باز مي ماند.
حملات دسترسي به شبكه-۲
در اين نوع از حملات، نفوذگر امكان دسترسي غيرمجاز به منابع شبكه را پيدا مي كند و از اين امكان براي انجام فعاليتهاي خود استفاده میکند تا در DOS غيرمجاز و حتي غيرقانوني خود استفاده مي كند. براي مثال از شبكه به عنوان مبدا حملات
صورت شناسایی مبدا خود گرفتار نشود. دسترسی به شبکه را می توان به دو گروه تقسیم کرد:

الف– دسترسي به داده : در اين نوع دسترسي ، نفوذگر به داده موجود بر روي اجزاء شبكه دسترسي غيرمجاز پيدا مي كند. حمله كننده مي تواند يك كاربر داخلي يا يك فرد خارج از مجموعه باشد. داده هاي ممتاز و مهم معمولا تنها در اختيار بعضي كاربران شبكه قرار مي گيرد و سايرين حق دسترسي به آنها را ندارند. در واقع سايرين امتياز كافي را جهت دسترسي به اطلاعات محرمانه ندارند، اما مي توان با افزايش امتياز به شكل غير مجاز به اطلاعات محرمانه دسترسي پيدا كرد. اين مشهور است. Privilege Escalation روش به تعديل امتياز يا

ب- دسترسي به سيستم : اين نوع حمله خطرناكتر و بدتر است و طي آن حمله كننده به منابع سيستم و دستگاهها دسترسي پيدا مي كند. اين دسترسي مي تواند شامل اجراي برنامه ها بر روي سيستم و به كار گيري منابع آن در جهت اجراي دستورات حمله كننده باشد. همچنين حمله كننده مي تواند به تجهيزات شبكه مانند دوربينها ، پرينترها و وسايل ذخيره سازي دسترسي پيدا كند. حملات اسب ترواها ، و يا استفاده از ابزارهايي جهت تشخيص نقاط ضعف يك نرم افزار نصب شده بر روي سيستم از جمله نمونه هاي قابل ذكر از اين نوع حملات هستند.

 

: انواع حملات شبكه اي با توجه به حمله كننده
حملات شبكه اي را مي توان با توجه به حمله كننده به چهار گروه تقسيم كرد:
۱- حملات انجام شده توسط كاربر مورد اعتماد (داخلي) : اين حمله يكي از مهمترين و خطرناكترين نوع حملات است، چون از يك طرف كاربر به منابع مختلف شبكه دسترسي دارد و از طرف ديگر سياستهاي امنيتي معمولا محدوديتهاي كافي درباره اين كاربران اعمال نمي كنند..

۲- حملات انجام شده توسط افراد غير معتمد (خارجي) : اين معمولترين نوع حمله است كه يك كاربر خارجي كه مورد اعتماد نيست شبكه را مورد حمله قرار مي دهد. اين افراد معمولا سخت ترين راه را پيش رو دارند زيرا بيشتر سياستهاي امنيتي درباره اين افراد تنظيم شده اند.

۳- حملات انجام شده توسط هكرهاي بي تجربه : بسياري از ابزارهاي حمله و نفوذ بر روي اينترنت وجود دارند. در واقع بسياري از افراد مي توانند بدون تجربه خاصي و تنها با استفاده از ابزارهاي آماده براي شبكه ايجاد مشكل كنند.

۴- حملات انجام شده توسط كاربران مجرب : هكرهاي با تجربه و حرفه اي در نوشتن انواع كدهاي خطرناك متبحرند. آنها از شبكه و پروتكلهاي آن و همچنين از انواع سيستم هاي عمل آگاهي كامل دارند. معمولا اين افراد ابزارهايي توليد مي كنند كه توسط گروه اول به كار گرفته مي شوند. آنها معمولا پيش از هر حمله ، آگاهي كافي درباره قرباني خود كسب مي كنند.

چرا سیستم تشخیص نفوذ؟
بر خلاف نظر عمومی که معتقدند هر نرم افزاری را میتوان به جای سیستم تشخیص تفوذ به کار برد٬ دسنگاههای امنیتی زیر نمیتوانند به جای سیستم تشخیص نفوذ به کار روند:
۱- سیستم هایی که برای ثبت وقایع شبکه مورد استفاده قرار میگیرند:مانند دستگاههایی که برای تشخیص آسیب پذیری در جهت از کار انداختن سزویس و یا حملات مورد استفاده قرار میگیرند.
۲- ابزارهای ارزیابی آسیب پذیری که خطاها و یا نقاط ضعف در تنظیمات را گزارش میدهند.

(FIREWALL) 3- دیواره های آتش
برای تشخیص کرم و ویروس و به طور کلی نرم افزارهای خطرناک(Anti viruses) ویروس یاب ها-۴

ساختار و معماری سیستم تشخیص نفوذ
سیستم تشخیص نفوذ از سه قسمت اصلی تشکیل شده است:
۱- بخش جمع آوری اطلاعات
۲- هسته مرکزی(موتور تشخیص)
۳- بخش پاسخ دهی (عکس العمل) مناسب
در بخش اول سیستم تشخیص نفوذ به ج

مع آوری اط

لاعات بر اساس سیاستهای تعریف شده می پردازد. در این قسمت جمع
با استفاده از آثار ترافیک عبوری و دیده بانی شبکه اطلاعات لازم را جمع آوری (Event Generator)کننده اطلاعات
میکند. در هسته مرکزی٬ اطلاعات رسیده از بخش اول با اطلاعات بانک اطلاعاتی سیستم تشخیص نفوذ و اطلاعات فایل ثبت همراه میشود. هم چنین هسته مرکزی با فیلتر کردن اطلاعات رسیده از بخش اول٬ داده های غیر (Sys log)وقایع سیستم
مرتبط را حذف میکند.سپس تمامی اطلاعات جمع آوری شده را به بخش پاسخ دهی ارسال میکند. در بخش آخر٬ سیستم با تحلیل نکات رسیده از قسمتهای قبل و با استفاده از سیاستهای تعریف شده٬ پاسخ مناسب را ارائه میکند.

 

دو روش اصلی برای تشخیص نفوذ به شبکه :

(Anomaly IDS) 1- سیستم تشخیص نفوذ مبتني بر خلاف قاعده آماری
روش اول مبتني بر تعيين آستانه انواع فعاليتها بر روي شبكه است، مثلا چند بار يك دستور مشخص توسط يك كاربر در يك تماس با يك ميزبان اجرا مي شود. لذا در صورت بروز يك نفوذ امكان تشخيص آن به علت خلاف معمول بودن آن وجود دارد. اما بسياري از حملات به گونه اي هستند كه نمي توان براحتي و با كمك اين روش آنها را تشخيص داد. متن[۱]
مزایا:
دزدی را یافت(account) 1- میتوان حملات داخلی یا اشتراکهای
کار میکند برای حمله کننده فهمیدن اینکه چه فعالیتی (customize profile) 2- چون سیستم بر پایه پرونده اختصاصی
میتواند بکند بدون اینکه هشدار به وجود آید مشکل است.
۳- این روش مبتنی بر یک ترافیک خاص نیست و بنابراین یک سیستم تشخیص نفوذ مبتنی بر خلاف قاعده آماری میتواند چنین حمله ای را در اولین بار تشخیص دهد.
معایب:
۱- سیستم باید برای هر کاربر یک پرونده اختصاصی ایجاد کند.
۲- در زمانی که سیستم آموزش داده میشود تا ترافیک نرمال در شبکه شما چیست٬ شبکه از حمله ها در امان نیست.
۳- محافظت و نگهداری از پرونده ها کاری وقت گیر است.
۴- مهم ترین مشکل این روش٬ پیچیدگی آن و مرتبط کردن هشدار تولید شده با واقعه ای است که آن را تولید کرده است. هم چنین تضمینی برای اینکه یک حمله ی خاص تولید هشدار کند نیست.
(Signature Base IDS) 2- سیستم تشخیص نفوذ مبتني بر امضا يا تطبيق الگو

در واقع روشي كه در بيشتر سيستمهاي موفق تشخيص نفوذ به كار گرفته مي شود، سیستم تشخیص نفوذ مبتني بر امضا يا تطبيق الگو است.منظور از امضا مجموعه قواعدي است كه يك حمله در حال انجام را تشخيص مي دهد. دستگاهي كه قرار است نفوذ را تشخيص دهد با مجموعه اي از قواعد بارگذاري مي شود.هر امضا داراي اطلاعاتي است كه نشان مي دهد در داده هاي در حال عبور بايد به دنبال چه فعاليتهايي گشت. هرگاه ترافيك در حال عبور با الگوي موجود در امضا تطبيق كند، پيغام اخطار توليد مي شود و مدير شبكه را از وقوع يك نفوذ آگاه مي كند. در بسياري ازموارد سیستم تشخیص نفوذ علاوه بر آگاه كردن مدير شبكه، اتصال با هكر را بازآغازي مي كند و يا با كمك يك دیواره آتش و انجام عمليات كنترل دسترسي با نفوذ بيشتر مقابله مي كند. اما بهترين روش براي تشخيص نفوذ ، استفاده از تركيبي از دو روش فوق است.

مزایا :
۱- سیستم تشخیص نفوذ مبتنی بر امضا بلافاصله بعد از نصب از شبکه محافظت میکند.
۲- سیستم ساده است. زمانی که یک هشدار تولید میشود٬ کاربر به راحتی میتواند بین آن و فعالیتی که باعث ایجاد آن شده است ارتباط برقرار کند.
معایب :
سیستم تشخیص نفوذ مبتنی بر امضا باید برای تمام حمله های احتمالی یک نمونه امضا تعریف شده داشته باشد. این امر نیازمند این است که سیستم تشخیص نفوذ مرنبا به روز رسانی شود.

انواع سیستم های تشخیص نفوذ

 

: شامل سنسورهایی میباشد که در نقاط استراتژیک در داخل شبکه (NIDS)1- سیستم تشخیص نفوذ مبتنی بر شبکه
قرار میگیرد و ترافیک ورودی- خروجی را کنترل میکند. به طور نمونه یک سیستم تشخیص نفوذ مبتنی بر شبکه سنسورهایی را در نقاط ورود به شبکه(در کنار دیواره آتش) یا در مرز بین زیر شبکه ها با سطوح امنیتی مختلف قرار میدهد.
های داخلی و خارجی را کنترل میکند و در (Packet) ): بستهHIDS2- سیستم تشخیص نفوذ مبتنی بر میزبان (
صورت دیدن فعالیت مشکوک تولید اخطار میکند.
مشابه اسکنر ویروس به اسکن کردن امضاها :(NHIDS)3- سیستم تشخیص نفوذ مبتنی بر شبکه و میزبان
پرداخته و به دنبال نشانه هایی که حاکی از انواع حمله ها باشند٬ میگردد.
این سیستم نه تنها با دیدن ترافبک مشکوک :(Reactive IDS) 4- سیستم تشخیص نفوذ مبتنی بر عکس العمل
تولید اخطار میکند٬ بلکه در صورت مشاهده نسبت به آن عکس العمل نشان میدهد و هر نوع ترافیک اضافی را مسدود میکند.
این سیستم با دیدن ترافیک مشکوک تولید اخطار میکند :(Passive IDS) 5- سیستم تشخیص نفوذ مبتنی بر انفعال
و اخطار را به مدیر شبکه می فرستد تا فعالیت را مسدود یا به طریقی در مقابل آن واکنش نشان دهد.
این سیستم شامل یک نرم افزار کنترلی است که تمام :(MIDS)6- سیستم تشخیص نفوذ مبتنی برچند لایه بودن
دسترسی ها به شبکه و ثبت اطلاعات از طریق دیواره آتش و … را در یک مرکز کنترل و آنالیز٬ متراکم میکند. زمانی که اطلاعات را متراکم میکنیم ٬ فایلهای اطلاعاتی مختلف با فرمتهای متنوع را از قسمتهای مختلف در یک قسمت و با یک فرمت فایل جمع آوری میکنیم.
در برخی سیستم ها٬ چند سیستم تشخیص نفوذ با هم ترکیب شده و با استفاده از خصوصیات خاص از سیستم محافظت میکند.به می گویند.(Hybrid system) این سیستم ها سیستم های هیبرید

معایب سیستم تشخیص نفوذ
نبوده و احتمالا در آینده نیز نخواهند بود. بر خلاف دیواره هایPlug playمشکل تمام سیستم های تشخیص نفوذ این است
آتش ٬ اغلب سیستم های تشخیص نفوذ برای نصب و راه اندازی به افراد متخصص و وارد به کار نیاز دارند. هر سیستم

تشخیص نفوذ زمانی که به فعالیت مشکوکی برخورد میکند٬ هشداری را تولید مینماید. بنابراین اغلب سیستم های تشخیص نفوذ مرتبا پیام هشدار می فرستند. در نتیجه بیش از هزاران پیام خطا در روز و در زمینه های مختلف تولید میشود. با توجه به این موضوع٬ مسئول رسیدگی و کنترل سیستم تشخیص نفوذ باید نحوه تشخیص حمله های واقعی از هشدارهای خطا را بیاموزد و بداند برای هر هشدار مناسب ترین پاسخ چیست. آنها باید نخوه تنظیم سیستم به منظور کاهش هشدارهای خطا را نیز یاد بگیرند. در نهایت سیستم تشخیص نفوذ واقعا کار

ی هزینه بر است و حداقل به یک مهندس شبکه تمام وقت برای کنترل کردن و تنظیم سیستم تشخیص نفوذ نیاز است.

اسكنرها
يكي از جالبترين ابزار كار نفوذگران در اينترنت، اسكنرها مي باشند. اسكنر در حقيقت نرم افزاري است كه به صورت اتوماتيك نقاط ضعف امنيتي يك رايانه ميزبان را مشخص مي كند. اكثر اسكنرها بر روي محيط يونيكس اجرا مي شوند؛ ولي براي ساير سيستم هاي عامل به خصوص سيستم عامل NT ، اسكنرهاي خاصي وجود دارد. يك مدير شبكه با استفاده از اين نرم افزار، قادر به شناسايي و ترميم نقاط ضعف شبكه تحت مديريت خود مي باشد و همچنين خدمات مختلفي كه بر روي يك ميزبان قابل دسترسي است، معين مي شوند. برخي از اسكنرهاي رايج عبارتند از : Xscan, FSP, Jakal, SATAN Network, Storb, NSS و Connect . مديران شبكه بايد با نحوه پياده سازي و استفاده از اسكنرها آشنا باشند و از اين ابزار براي بهينه سازي شبكة‌ خود استفاده كنند. چنانچه اين آشنايي وجود نداشته باشد، مشكلات و پيامدهاي نامطلوبي دامنگير شبكه خواهد شد.
استيفرها
با كمك اين ابزار كه به صورت نرم افزاري و يا سخت افزاري قابل پياده سازي مي باشند، امكان جمع آوري اطلاعات عبوري از يك شبكه فراهم مي آيد. يكي از مهم ترين نقاطي كه امكان وجود يك اسنيفر در آنجا بيشتر وجود دارد، همسايگي ماشين يا زيرشبكه اي است كه كلمات رمز زيادي دريافت مي دارد. معمولاً يك اسنيفر فقط ۲۰۰ تا ۳۰۰ بايت اول هر بسته IP را ثثبت مي كند، زيرا در اين قسمت از بسته هاي IP، نام كاربران و كلمات رمز آنها قرار دارد. در صورتيكه كل بسته IP ثبت شود، نياز به حافظه زيادي مي باشد.

از آنجايي كه با كمك اسنيفرها امكان دستيابي به كلمات رمز عبور و اطلاعات محرمانه و خصوصي فراهم مي آيد، كه باعث به مخاطره افتادن امنيت شبكه و شبكه هاي مجاور مي شود، بنابراين، اين ابزار براي مديران شبكه بسيار وحشت آور و دردسر آفرين مي باشند. برخي از مهم ترين اسنيفرهاي رايج عبارتند از Linux-sniffer.c, Sunsniff,Sniff.c, ETHLOAD,gobller و Nitwit..c.
از آنجائي كه امكان آشكارسازي يك اسنيفر در شب

كه كم است، به همين دليل اسنيفرها از نظر امنيتي در شبكه هاي رايانه اي بسيار خطرناك مي باشند. برخي از روش هاي اوليه شناسايي آنها عبارتند از : بررسي كردن تمام فرآيندهاي در حال اجرا و بررسي كليه فهرست هاي موجود در رايانه جهت شناسايي اسنيفرهاي رايج. دو راه حل عمده براي خنثي نمودن اسنيفرها، رمزنگاري اطلاعات و استفاده از توپولوژي هاي مطمئن در شبكه مي باشد.
اسب هاي تراوا
اسب تراوا يك برنامة مجاز مي باشد كه درون خود كد غيرمجازي دارد كه كارهاي غيرمنتظره و خلاف انجام مي دهد. از اينرو در استفاده از برنامه هاي كاربردي به خصوص آنهائيكه به صورت رايگان از اينترنت دريافت مي شوند، بايد دقت كافي به خرج داد. عملياتي كه يك اسب تراوا انجام مي دهد متفاوت مي باشد و نحوه برخورد با آن نيز متفاوت است. بيشتر اسب هاي تراوا درون فايل هاي باينري كامپايل شده قرار دارند، ولي در برخي موارد اسب تراوا در فايل هاي اجرايي كمپايل نشده مانند shell script ها، برنامه هاي به زبان JAVA script,perl و VB script و غيره وجود دارند. يك اسب تراوا ممكن است براي چندين هفته فعال و در حال خراب كاري باشد و در اين مدت

شكاف هاي زيادي روي ساختار شبكه ايجاد نمايد. چنانچه يك شيء با نسخه قديمي خود تفاوت داشته باشد، در اين صورت دچار تغييرات ناخواسته شده است و احتمالاً حاوي اسب تراوا مي باشد. روش هايي نظير مقايسه آخرين تغييرات فايل، بررسي سايز فايل واستفاده از مجموع مقابله اي براي تشخيص و مبارزه با اسبهاي تراوا به كار مي روند.
ابزار مخرب
نفوذگران به شبكه، با كمك اين ابزار كه برنامه هاي نرم افزاري خاصي مي باشند، اقدام به تخريب و به هم ريختن اطلاعات مي كنند. نمونه اي از اين ابزار مخرب، بمب هاي پست الكترونيكي مي باشند. اين ابزار با ارسال انبوهي از پيام هاي پستي به سوي يك هدف خاص، ترافيك را بالا مي برند و عملاً شبكه را از كار مي اندازند. از رايج ترين بمب هاي الكترونيكي مي توان به Extreme Mail, unbomber, Avalanche, KoBoom, Up Yours و Homicide اشاره كرد.

برخي ديگر از ابزار مخرب، حملاتي هستند كه فرد مخرب به قصد كاهش كارآيي ديواره آتشين شبكه اقدام به انجام آن مي كند، اين نوع حملات باعث مشغول شدن منابع سيستم شبكه مي گردند و همچنين شبكه را از پاسخ گويي و خدمات دهي به كاربران مجاز خود باز مي دارند.
ويروس ها يكي ديگر از ابزار مخرب شبكه مي باشند. از آنجايي كه ويروس ها غالباً به صورت كاملاً مجاز وارد شبكه مي شوندو هيچ مشخصه خاصي نيز در جهت تشخيص آنها وجود ندارد، نه ديوارة آتشين و نه مديريت شبكة توانايي كنترل كافي آنها را ندارند. تنها كاري كه در جهت جلوگيري از ايجاد و نشر ويروس ها در شبكه بايد انجام داد، توصيه هاي مداوم و مفيد در جهت اطلاع رساني به كاربران مي باشد. البته استفاده از نسخه هاي جديد ويروس كش هاي رايج در خدمات دهنده هاي كاري شبكه از ملزومات اوليه هر شبكه مي باشد.
استفاده از تونل، يكي ديگر از ابزار نفوذگران براي فريب دادن و دور زدن ديواره آتشين و خراب كاري در شبكه است. به طور كلي تونل زدن به تكنيكي اطلاق مي گردد كه در آن، واحدهاي اطلاعاتي يك پروتكل در پروتكل ديگري قرار مي گيرند و از امكانات پروتكل دوم جهت وارد نمودن داده هاي خود به شبكه استفاده مي كنند.
ديوارة آتشين
براي استفاده از خدمات اينترنت، شبكه هاي خصوصي از طريق تجهيزات مناسب به شبكة عمومي اينترنت متصل مي شوند و كاربران آن توانايي دسترسي و ارتباط با جهان خارج را پيدا مي كنند. در همين حال، دنياي خارج نيز مي تواند با شبكه داخلي ارتباط داشته باشد. جهت حفاظت شبكه داخلي از حملات احتمالي دنياي خارج، از ديوارة آتشين استفاده مي شود. خصوصيات كلي كه در ديوارة آتشين ديده مي شود عبارتند از :
– كلية ترافيك ها از داخل به خارج و بالعكس بايد از ديواره آتشين بگذرند.
– فقط ترافيك هاي مجاز كه توسط سياست امنيتي محلي تعريف شده اند، امكان عبور از ديواره آتشين را دارند. در اين زمينه شيوة پياده سازي قدرتمندي براي تأييد كاربراني كه تقاضاي برقراري ارتباط دارند، اعمال مي شود.
– خود ديوارة آتشين بايد نسبت به نفوذ كردن مصون بماند.
در شكل (۸-۸)، جايگاه ديواره آتشين در يك شبكه نشان داده شده است. همان طور كه در اين شكل ديده مي شود، ديواره آتشين در سطح لاية كاربردي عمل مي كند. استفاده از ديواره آتشين در يك شبكه، نياز به استفاده از سيستم هاي امنيتي در رايانه هاي ميزبان شبكه را كاهش ميدهد. البته بايد توجه نمود كه يكي از مهم ترين نقايص ونقاط ضعف يك ديواره آتشين آن است كه نمي توان شبكه را به كمك آن در برابر حملات داخلي محافظت نمود. البته نوعي ديواره آتشين به نام ديواره هاي آتشين داخلي وجود دارد، كه براي كنترل دسترسي بين مديريت ها و دامنه هاي امنيتي مختلف به كار مي روند. از نقطه نظر تكنيكي به طور سطحي هيچ تفاوتي بين ديواره هاي

آتشين داخلي با ديواره آتشين خارجي جز در مورد سياست گذاري امنيتي آنها، وجود ندارد.