امنیت شبکه

امنیت شبکه

رایجترین حملات سایبری - بخش اول

رایجترین حملات سایبری - بخش اول

حمله سایبری به حمله‌ای گفته می‌شود که سیستم‌های اطلاعات کامپیوتری، زیرساخت‌ها، شبکه‌های کامپیوتری یا دستگاه‌های کامپیوتر شخصی را برای سرقت، تغییر یا تخریب داده‌ها و سیستم‌های اطلاعاتی مورد هدف قرار دهد. در این مطلب و (رایج‌ترین حملات سایبری - بخش دوم) ، 10 مورد از رایج‌ترین حملات سایبری توصیف خواهند شد.


حملات منع خدمت[1] (DoS) و منع خدمت توزیع‌شده[2] (DDoS)

یک حمله DoS منابع سیستم را به حدی مشغول می‌کند که آن سیستم قادر به پاسخ‌گویی به خدمات درخواستی نباشد. یک حمله DDoS نیز حمله‌ای به منابع سیستم است با این تفاوت که در اینجا حمله از طریق تعداد زیادی از ماشین‌های میزبان آلوده‌شده به نرم‌افزارهای مخرب و کنترل‌شده توسط مهاجم صورت می‌گیرد.

برخلاف حملاتی که با هدف ایجاد امکان دسترسی یا افزایش سطح دسترسی طراحی شده‌اند، حملات DoS به طور مستقیم هیچ مزیتی به مهاجم ارائه نمی‌کنند. برای برخی از مهاجمین رضایت از منع خدمت کافیست. با این حال، اگر منابع مورد حمله واقع شده متعلق به یک رقیب تجاری باشند، آن‌گاه، مزایای کسب شده توسط مهاجم ممکن است به اندازه کافی نمود واقعی داشته باشد. یک هدف دیگر در حمله DoS می‌تواند Offline‌ کردن سیستم برای انجام حمله‌ای دیگر باشد. مثالی رایج در این زمینه حمله Session hijacking است که در قسمت‌های بعدی این مطلب توصیف خواهد شد.

انواع مختلفی از حملات DoS و DDoS وجود دارند که رایج‌ترین آن‌ها عبارتند از:.

حمله TCP SYN flood

در این حمله، مهاجم از فضای بافر در Handshake یک نشست TCP بهره‌برداری می‌کند. دستگاه حمله‌کننده، صف در-فرایند سیستم هدف را با درخواست‌های اتصال اشباع کرده و در زمانی که سیستم هدف به این درخواست‌ها پاسخ می‌دهد، دستگاه حمله‌کننده دیگر پاسخ نخواهد داد. این مساله باعث می‌شود تا اتمام زمان انتظار سیستم منتظر پاسخگویی دستگاه مهاجم باشد که این مهم منجر به Crash ‌سیستم یا غیرقابل‌استفاده شدن آن در زمانی که صف Connectionها پر شده است می‌شود.

چندین اقدام متقابل وجود دارد که می‌توان در برابر حمله TCP SYN flood به کار برد:

  • پیکربندی سرورها پشت یک فایروال در راستای متوقف کردن بسته‌های SYN ورودی.
  • افزایش اندازه صف Connectionها و کاهش زمان انتظار برای Connectionهای باز.

حمله Teardrop

این حمله منجر به هم‌پوشانی فیلدهای طول و Fragmentation offset در بسته‌های IP متوالی روی سیستم میزان می‌شود. سیستم مورد حمله واقع شده تلاش به بازیابی بسته‌ها کرده اما موفق نخواهد شد. در ادامه سیستم هدف سر‌در‌گم شده و Crash خواهد کرد. برای مقابله در برابر این حمله و در صورتی که کاربران Patch‌های لازم را برای محافظت در مقابل این حمله نداشته باشند، می‌توان SMBr2 را غیرفعال کرده و پورت‌های 139 و 445 را مسدود کرد.

حمله Smurf

در این حمله از جعل IP[3] و ICMP برای اشباع شبکه هدف با ترافیک استفاده می‌شود. این روش حمله از درخواست‌های ICMP echo در آدرس‌های IP پخش استفاده می‌کند. درخواست‌های ICMP از آدرس یک قربانی جعل‌شده شروع می‌شوند. برای مثال، اگر آدرس قربانی مورد نظر 10.0.0.10 باشد، حمله‌کننده یک درخواست ICMP echo از 10.0.0.10 به آدرس پخش 10.255.255.255 جعل می‌کند. این درخواست به همه IPهای قابل دسترس می‌رود. زمان بازگشت پاسخ‌ها به این درخواست، شبکه اشباع می‌شود. این فرایند قابل تکرار بوده و می‌تواند با خودکارسازی مقادیر زیادی از ترافیک شبکه ایجاد کند.

برای محافظت از دستگاه‌ها در برابر این حمله، نیاز است IP directed broadcastها در روترها غیرفعال شوند. انجام این کار از درخواست‌های ICMP echo broadcast در دستگاه‌های شبکه جلوگیری می‌کند. روشی دیگر برای جلوگیری از این حمله پیکربندی سیستم‌های موجود در شبکه به نحوی است که جلوی پاسخگویی این سیستم‌ها به پیام‌های ICMP از آدرس‌های پخش گرفته شود.

حمله Ping of death

این نوع حمله از بسته‌های IP با اندازه IP ‌بزرگ‌تر از مقدار 65535 بایت به عنوان مقدار ماکزیمم مجاز برای پینگ کردن یک سیستم هدف استفاده می‌کند. همانطور که می‌دانیم بسته‌های IP با این اندازه مجاز نیستند. بنابراین، مهاجمین در انجام چنین حمله‌ای، بسته‌های IP را قطعه‌بندی می‌کنند. زمانی که سیستم هدف بسته را مجددا سر‌هم‌سازی کند، با سرریز بافر و دیگر Crashها مواجه خواهد شد.

می‌توان با استفاده از یک فایروال که بسته‌های IP قطعه‌بندی شده را برای اندازه بیشینه بررسی می‌کند حملات Ping of death را مسدود کرد.

Botnetها

Botnetها میلیون‌ها سیستم تحت کنترل هکر بوده که به بدافزار آلوده شده و برای حملات DDoS مورد استفاده قرار می‌گیرند. این Botها اغلب برای اشباع پهنای باند و توانایی‌های پردازشی سیستم هدف استفاده می‌شوند. با توجه به استقرار Botnetها در موقعیت‌های جغرافیایی متفاوت، این حملات DDoS‌ به سختی قابل ردیابی هستند.

امنیت در مقابل Botnetها را می‌توان با استفاده از:

  • فیلتر RFC3704 که ترافیک ورودی از آدرس‌های جعل شده را رد کرده و اطمینان قابلیت ردیابی شبکه منبع اصلی را تامین می‌کند، به دست آورد. برای مثال، فیلتر RFC3704 بسته‌های دریافتی از لیست Bogon را رها می‌کند.
  • فیلتر Blackhole که ترافیک نامطلوب را قبل از رسیدن به شبکه حفاظت‌شده رها می‌کند، به دست آورد. زمانی که یک حمله DDoS تشخیص داده شد، میزبان BGP[4] باید به‌روزرسانی‌های مسیریابی را به مسیریاب‌های ISP ارسال کند تا آن‌ها همه ترافیک‌های در جریان به سمت قربانی را به یک واسط Nullo در Hop بعدی هدایت کنند.

حمله فرد در میانه[5] (MitM)

یک حمله MitM‌ زمانی روی می‌دهد که هکر خود را مابین ارتباط یک کلاینت و یک سرور وارد کند. در ادامه برخی از انواع رایج حملات فرد در میانه بررسی خواهد شد:

Session hijacking

در این نوع از حمله فرد در میانه، حمله‌کننده نشست بین یک کلاینت مورد اعتماد و سرور شبکه را سرقت می‌کند. کامپیوتر حمله‌کننده آدرس IP خود را به جای آدرس کلاینت مورد اعتماد جایگزین کرده و سرور نشست را ادامه داده درحالیکه فکر می‌کند با کلاینت اصلی در ارتباط است. برای مثال، یک چنین حمله‌ای ممکن است به صورت زیر رخ دهد:

  • یک کلاینت به سرور متصل می‌شود.
  • کامپیوتر حمله‌کننده کنترل کلاینت را به دست می‌آورد.
  • کامپیوتر حمله‌کننده اتصال کلاینت از سرور را قطع می‌کند.
  • کامپیوتر حمله‌کننده آدرس IP کلاینت را با آدرس IP خود جایگزین کرده و اعداد متوالی[6] کلاینت را جعل می‌کند.
  • کامپیوتر حمله‌کننده گفتگو با سرور را ادامه داده در حالیکه سرور همچنان فکر می‌کند که با کلاینت در ارتباط است.

 

جعل IP

جعل IP توسط یک حمله‌کننده برای متقاعد کردن یک سیستم به ارتباط داشتن با یک موجودیت شناخته شده و معتمد و در راستای دستیابی به سیستم است. حمله‌کننده بسته‌ای با آدرس منبع IP یک میزبان مورد اعتماد و شناخته شده به جای آدرس منبع IP خود به میزبان هدف ارسال می‌کند. میزبان هدف ممکن است بسته را قبول کرده و بر اساس آن عمل کند.

تکرار[7]

حمله تکرار زمانی رخ می‌دهد که حمله‌کننده پیام‌های قدیمی را استراق‌سمع کرده و در آینده تلاش به ارسال مجدد آن‌ها و جا زدن خود به جای یکی از شرکت‌کنندگان کند. با استفاده از برچسب‌های زمانی[8] و اعداد یک بار مصرف[9] به راحتی می‌توان جلوی این حمله را گرفت.

لازم به ذکر است که در حال حاضر یک فناوری یا پیکربندی واحد برای جلوگیری از همه انواع حملات MitM وجود ندارد. اما به طور کلی، استفاده مناسب از رمزگذاری و گواهینامه‌های دیجیتال راه‌کاری تاثیرگذار برای مقابله با حملات MitM است.

حملات فیشینگ[10] و فیشینگ هدف‌دار[11]

به عمل ارسال ایمیل‌هایی ظاهرا ارسال شده از منابع مورد اعتماد با هدف به دست آوردن اطلاعات شخصی یا تاثیر‌گذاری بر کاربران برای انجام یک فعالیت حمله فیشینگ گویند. حملات فیشینگ ترکیبی از مهندسی اجتماعی و حیله‌های فنی هستند. این نوع حمله می‌تواند با ضمیمه یک بدافزار به یک ایمیل آن را روی کامپیوتر هدف بارگذاری می‌کند. حملات فیشینگ همچنین می‌توانند شامل لینکی به یک وب‌سایت غیرقانونی باشند که کاربران را به دانلود بدافزار یا دادن اطلاعات شخصی خود فریب دهد.

فیشینگ هدف‌دار یک نوع فعالیت فیشینگ بسیار هدفمند است. در این حمله، حمله‌کنندگان با تحقیق درباره اهداف خود، پیام‌هایی ایجاد می‌کنند که شخصی و مرتبط باشند. با توجه به این موضوع، شناسایی فیشینگ هدف‌دار می‌تواند بسیار دشوار باشد. یکی از ساده‌ترین راه‌هایی که یک هکر می‌تواند با استفاده از آن یک حمله فیشینگ هدف‌دار انجام دهد جعل ایمیل است که در آن اطلاعات در قسمت “From” ایمیل جعل شده، و منجر به این می‌شود که به نظر رسد ایمیل از شخصی آشنا مانند مدیر یا شرکت همکار ارسال شده است. تکنیک دیگری که کلاه‌برداران از آن برای قابل قبول کردن داستانشان استفاده می‌کنند Website cloning است که در آن، وب‌سایت‌های قانونی کپی شده تا افراد را به اشتباه افتاده و اطلاعات شخصی قابل‌شناسایی یا Login credentialهای خود را وارد کنند.

برای کاهش خطر در برابر حملات فیشینگ، می‌توان از تکنیک‌های زیر استفاده کرد:

  • تفکر انتقادی: فقط به خاطر اینکه مشغولیت زیاد یا استرس یا چندین ایمیل نخوانده دیگر در Inbox خود، یک ایمیل دریافتی را به عنوان یک ایمیل معتبر در نظر نگیرید. مدتی توقف کرده و به تجزیه و تحلیل ایمیل دریافتی بپردازید.
  • حرکت روی لینک‌ها: اشاره‌گر ماوس را به روی لینک برده و بدون کلیک بر روی آن ببینید که لینک موردنظر شما را واقعا به کجا می‌برد. از تفکر انتقادی برای رمزگشایی URL استفاده کنید.
  • تجزیه و تحلیل Headerهای ایمیل: Headerهای ایمیل نحوه قرار گرفتن یک ایمیل در آدرس شما را مشخص می‌کند. پارامترهای “Reply-to” و “Return-Path” باید همانطور که در ایمیل بیان شده به یک دامنه یکسان منتهی شوند.
  • Sandboxing: می‌توانید محتویات یک ایمیل را در یک محیط Sandbox در حین باز کردن ضمائم یا کلیک کردن روی لینک‌های داخل ایمیل مورد آزمایش قرار دهید.

حمله Drive-by

حملات Drive by download روش‌هایی متداول برای پخش بدافزار هستند. هکرها به دنبال وب‌سایت‌های ناامن گشته و یک Script مخرب درون کد PHP یا HTTP یکی از صفحات آن‌ها قرار می‌دهند. این Script ممکن است مستقیما به نصب بدافزار روی کامپیوتر کسی که از سایت دیدن می‌کند بپردازد یا ممکن است قربانی را به وب‌سایتی کنترل شده توسط هکران هدایت کند. Drive by downloads می‌تواند در زمان بازدید از یک وب‌سایت، یا دیدن یک ایمیل یا یک Pop-up window روی دهد. یک حمله Drive by download می‌تواند به سوء‌استفاده از یک App، سیستم عامل یا مرورگر وب که شامل نقطه‌ضعف‌های امنیتی به دلیل به‌روز‌رسانی ناموفق یا عدم به‌روز‌رسانی است، بپردازد. برخلاف اغلب حملات سایبری، یک حمله Drive by وابسته به کلیک روی یک کلید دانلود یا باز کردن ضمیمه یک ایمیل برای آلوده شدن نیست.

برای محافظت در برابر حملات Drive by نیاز است تا مرورگرها و سیستم‌های عامل به‌روز نگهداری شده و از بازدید وب‌سایت‌هایی که ممکن است شامل کدهای مخرب باشند جلوگیری شود. تنها از سایت‌هایی که به طور معمول استفاده می‌کنید، استفاده کرده اما به یاد داشته باشید که حتی این سایت‌ها نیز ممکن است هک شوند. برنامه‌ها و Appهای غیرضروری را از روی دستگاه خود پاک کنید. داشتن افزونه بیشتر به معنی آسیب‌پذیری بیشتر است که می‌تواند توسط حملات Drive by مورد سوء‌استفاده قرار گیرد.

حملات پسورد[12]

 از آن‌جا که پسوردها رایج‌ترین مکانیزم استفاده شده برای احراز هویت کاربران در یک سیستم اطلاعاتی هستند، به دست آوردن پسوردها یک رویکرد حمله رایج و موثر است. دسترسی به پسورد یک نفر می‌تواند با جستجو اطراف میز آن شخص، شنود ارتباط به شبکه برای دستیابی به پسوردهای رمزگذاری شده، استفاده از مهندسی اجتماعی، دستیابی به پایگاه داده پسوردها و حدس پسورد اتفاق افتد. رویکرد آخر می‌تواند به شیوه سیستماتیک یا تصادفی انجام شود:

  • جستجوی کلی[13]: به معنی استفاده از یک رویکرد تصادفی با امتحان کردن پسوردهای متفاوت و امیدواری به کار کردن یکی از آن‌ها. مقداری منطق را می‌توان با امتحان کردن پسوردهای مرتبط با نام، شغل و عادت‌های شخص به فرایند اضافه کرد.
  • حمله لغت‌نامه: در یک حمله لغت نامه[14] برای دستیابی به کامپیوتر یا شبکه کاربر از لغت‌نامه‌ای از پسوردهای رایج استفاده می‌شود. یک رویکرد کپی کردن فایل رمزگذاری شده حاوی پسوردها، اعمال رمزگذاری مشابه بر روی پسوردهای موجود در لغت‌نامه و مقایسه نتایج است.

برای تا حدی محافظت کردن از خود در برابر حملات لغت‌نامه و جستجوی کلی نیاز به پیاده‌سازی مکانیزم بسته شدن حساب‌های کاربری در صورتی اشتباه وارد کردن پسورد یک حساب کاربری برای چند بار پیاپی است.

 

[1] Denial of Service attack

[2] Distributed Denial of Service attack

[3] IP spoofing

[4] Border Gateway Protocol

[5] Man in the Middle attack

[6] Sequence numbers

[7] Replay

[8] timestamp

[9] Nonce

[10] Phishing

[11] Spear phishing

[12] Password attacks

[13] Brute-force

[14] Dictionary attack

Image

گروه تست نفوذ شرکت امن پردازان کویر در قالب چارچوب های استاندارد موجود، اقدام به انجام آزمون نفوذ بر روی برنامه های کاربردی، زیرساخت‌های شبکه، تجهیزات ذخیره‌سازی اطلاعات و... نموده و با ارائه گزارش مخاطرات کشف شده و راهکارهای برطرف سازی آنها نسبت به امن سازی زیرساخت های اطلاعاتی اقدام می‌نماید.


مشاوره با کارشناسان امنیت اطلاعات و امنیت شبکه

شرکت APK (امن پردازان کویر) در راستای اهداف خود آماده است تا به سازمانها ، شرکتها و واحدهای صنعتی مشاوره تخصصی در حوزه امنیت اطلاعات و امنیت شبکه را بصورت رایگان ارایه نماید

نظرات (0)

هیچ نظری در اینجا وجود ندارد

نظر خود را اضافه کنید.

  1. ارسال نظر بعنوان یک مهمان ثبت نام یا ورود به حساب کاربری خود.
0 کاراکتر ها
پیوست ها (0 / 3)
مکان خود را به اشتراک بگذارید

شبکه‌های اجتماعی

عضویت در خبرنامه

مطالب شگفت انگیز ، در صندوق ورودی شما

بروزترین مقالات در زمینه های :امنیت اطلاعاتامنیت شبکهعملیات امنیت
امنیت شبکه

چکیده: در ماه نوامبر سال گذشته میلادی، یک هفته پس از اعلان آسیب‌پ

امنیت شبکه

چکیده: در پیاده‌سازی ASN.1 در OpenSSL در نسخه‌های قدیمی آسیب‌پذیری وج

امنیت شبکه

چکیده: MS15-034 یا CVE-2015-1635 با عنوان (Vulnerability in HTTP.sys could allow remote code execution )

امنیت شبکه

با گسترش کاربرد تکنولوزی‌های نوین در زندگی روزانه‌ی ما، چالش‌ها و مباحث نوینی

تهران - بلوار كشاورز، خيابان شهيد نادري پائين تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵
۷۳ ۴۲۲ (۰۲۱)
۴۲۲۳۸۰۰۰ (۰۲۱)
۱۴۱۶۶۱۳۶۶۹
info{at}apk-group.net
یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان
۳۶۲۹۰۹۹۰ (۰۳۵)
۸۹۱۶۷۱۵۹۵۷

 امن پردازان کویر

Search