Denial of service attack 

                                  DoS

(Denial of service attack (DoS attack: وهي محاولة لجعل موادر الكمبيوتر غير قابلة للاستخدام من قبل مستخدميها. وهي بشكل عام تعبير عن عمل مدبر ومحاولة حاقدة من قبل إنسان أوعدة أشخاص لوظيفة فعالة أوخدمة أومسقط تؤدي الى توقف تلك الخدمة .

يقوم مرتكب اعتداء الـ DoS باستهداف مواقع أوخدمات مضافة على (high-profile web servers) بشكل أساسي , كالبنوك ومنافذ الدفع الالكتروني والـ DNS servers . إن إحدى طرق الاعتداء الشائعة تسلتزم اشباع الجهاز الهدف (الضحية) بطلبات اتصال خارجية , عندها لاتستطيع الاستجابة للـ traffic النظامية أوتصبح استجابتها بطيئة جداً مما يؤدي الى فقدانها فعاليتها .

وبشكل عام فأن من وسائل اعتداء الـ DoS مايلي :

اجبار حاسب أوحواسب الضحية على استهلاك مواردها مما يؤدي الى عدم قدرتها على تلبية الخدمات المرادة منها .
عرقلة الاتصال بين طلبات المستخدم والضحية مما يؤدي الى منع الاتصال بينهما بشكل كافي .

Manifestations :

قد حددت الـ United States Computer Emergency Readiness Team علامات اعتداء الـ DoS بمايلي :

بطأ غير معتاد في أداء الشبكة  (فتح ملفات أوالاتصال بمواقع ويب)
عدم امكانية فتح مسقط إلكتروني شخصي
عدم امكانية الاتصال بأي مسقط إلكتروني 
تزايد مفاجئ لعدد رسائل الـ spam المستقبلة 

Methods of attack:

يتميز اعتداء الـ DoS بمحاولة واضحة من المعتدي ليمنع المستخدم النظامي للخدمة من استخدام تلك الخدمة ومثال ذلك :

اغراق الشبكة , ممايؤدي الى اعاقة الـ traffic النظامية 
انهيار المخدم بسبب ارسال عدد كبير من الطلبات تفوق قدرته على معالجتها ممايمنع الاتصال بالخدمة

منع إنسان معين من الاتصال بالخدمة

توقف الخدمة لنظام أوإنسان معين

كما أنه من الممكن حتى تكون الهجمات مباشرة على أي شبكة ويتضمن ذلك الهجمات على أجهزة التوجيه والويب والبريد الالكتروني وحتى على مخدمات ال .DNS

يرتكب هجوم الـ DoS بعدة طرق , يوجد خمس طرق أساسية لهذا النوع من الهجمات :

1.استهلاك الموارد الحاسوبية , مثل السعة أوالقرص الصلب أووقت المعالج 2.فقدان معلومات التكوين , مثل إعدادت الموجه (الراوتر ) 3.فقدان حالة المعلومات , مثل فقدان جلسة الـ TCP 4.انهيار المكونات الفيزيائي للشبكة 5.عرقلة الاتصال بين طلبات المستخدم والضحية مما يؤدي الى منع الاتصال بينهما بشكل كافي .

ICMP floods:

تعتبر هجمات الـ smurf واحدة من أبرز أنواع هجمات الـ DoS على شبكة الانترنت . حيث تقوم بالاحتيال على اعدادات الشبكة لتسمح بإرسال الطرود الى جميع الأجهزة الموجودة على الشبكة من خلال عنوان الـ broadcast للشبكة , بدلاً من جهاز معين. في هذا النوع من الهجمات , يرسل المعتدي عدد كبير من طرود الـ IP بعنوان مصدر زائف ليظهر للضحية . لمقاومة هجوم الـ DoS على شبكة الانترنت , هناك عدة خدمات مثل Smurf Amplifier Registry التي تعطي مزودات الانترنت القدرة على فهم فقدان اعدادات الشبكة واتخاذ الحل المناسب لمنع تلك الهجمات .

ان الـ Ping flood هي ارسال عدد كبير من طرود الـ Ping للضحية , وعادة مايستخدم 

الامر "ping -f" . ويعد تشغله في غاية السهولة , وكل مايحتاج الأمر سعة كبيرة ثم اتصال بالضحية .

SYN flood: ترسل عدد كبير من طرود الـ TCP/SYN , وغالباً ماتكون بعنوان مرسل مزيف. تعالج جميع من هذه الطرود كما تعالج طلبات الاتصال , ويسبب ذلك للمخدام مايسمى باتصال half-open , حيث يتم ارسال طرود الـ TCP/SYN-ACK , وانتظار الرد من خلال طرود الـ TCP/ACK من عنوان المرسل , ولكن الرد لايأتي كون المرسل مزيف . يؤدي الاتصال من نوع half-open الى اشباع المخدم بعدد الاتصالات القادر على القيام بها , وبقائها دون الاستجابة للطلبات النظامية .

Reflected attack:

يستلزم distributed reflected denial of service attack (DRDoS) ارسال طلبات مزورة من بعض الأنواع لعدد كبير من الحواسيب التي بدورها ستقوم بالرد على تلك الطلبات . وباستخدام internet protocol spoofing , الذي يقوم بتغيير عنوان المرسل الحقيقي ويقوم بوضع عنوان الضحية , ممايؤدي الى ارساال الرد من جميع الأجهزة الى الجهاز الضحية وعندها يصبح الهدف في حالةflooding . يمكن للاعتداءات الـ ICMP Echo Request حتى تعتبر احدى أنواع الـ reflected attack , كاغراق ال hosts بإرسال الـ Echo Request لعنوان broadcast ممايؤدي الى انهيار اعدادات الشبكة . وبهذه الطريقة يجبر كثير من الـ hosts على ارسال رسائل الـ Echo Reply للضحية . Prevention and response Surviving attacks:

ان المعالج المستقصي عليه حتى يبدأ مباشرةً بالتنبيه بعد حتى تبدأ هجمات الـ DoS . التي ستكون تعبير عن مكالمات متعددة أوبريد الكتروني أوارسال صفحات أوفاكسات داخل منظمة الضحية . ويتطلب هذا وقتاً طويلاً, لذلك على المعالج حتى يبدأ مباشرة . ويتطلب ايقاف الهجمات عدة ساعات لشبكة واسعة جداً مع مصادرها الوفيرة. أن أسهل طريقة للسلامة من الهجمات هي امتلاك خطة للحماية. بامتلاك كتل مختلفة من عناوين الـ IP للحالات الطارئة من أجل انقاذ المخدم باستخدام separate route . (قد يحدث DSL) وهولايستعمل فقط لتفادي الهجمات , بل بستخدم في التحميل الزائد أوللمشاركة أويتحول للحالة emergency mode طالما الهجوم . ان عملية الفلترة تكون غير مجدية في معظم الأحيان , كما هوالحال في التوجيه للفلتر حيث ينجوفقط جزأ هزيل من الـ traffic . ولكن باستخدام حالة رمي وارجاع أي طرد غير مطلوب عندها سيكون الحماية من هجمات الـ DoS أمر في غاية السهولة . عندما يقترن مخدم ذات أداء عالي في فلترة الطرود مع سعة عالية في اتصال الشبكة (بكل ميزات الـ backbone) , عندهاقد يكون الاتصال مع العالم الخارجي دون أي مشاكل طالما أنه لم تشبع جميع السعة المتاحة للشبكة , وكانت أداء فلترة الطرود مقبول , وفي هذه الحالة يقوم المفلتر بتجاهل جميع طرود الـ DDoS . إن ضحية هجوم الـ DDoS يبقى بحاجة الى اشغال سعة زائد . وهذا هوثمن تلك الخدمة .

Firewalls:

إن الجدار الناري يملك قواعد بسيطة كالسماح ومنع البرتوكولات أوعناوين الـ IP أوعناوين المنافذ . ولكن في هذه الأيام لم بعد الجدار الناري قادر على تمييز الطرود الجيدة من طرود الـDoS . بالإضافة الى حتى الجدار الناري عميق جداً في هرمية الشبكة . أي يمكن للموجه (Router) حتى يصاب بالهجوم قبل حتى تصل الطرود للجدار الناري . وبالرغم من ذلك , فإن الجدار الناري يمكن حتى يمنع المستخدم من هجوم سهل من آلة موجودة خلف الجدار الناري . إن الجدار الناري الحديث (مثل FW1 & Cisco PIX) لديها امكانية للتمييز بين الطرود الجيدة وطرود الـ DoS . إذا هذه الإمكانية تعهد بـ Defender , كما أنها تقوم بالتصديق على صلاحية اتصال الـ TCP قبل عملية تلقيم طرود الـ TCP للشبكة . كما يوجد برنامج الجدار الناري (Comodo) وهومبني مع Emergency mode الذي يعمل عندما يأتي عدد من الطرود في الثانية يتجاوز قيمة معينة في وقت محدد , ومثال ذلك : قدوم أكتر من 20 طرد\ثا لأكتر من 20 ثانية . عند حدوث ذلك يقوم الجدار الناري باعتبار ذلك هجوم Dos ويقوم بالتحويل لوضع Emergency mode . وفي هذا الوضع يتم منع جميع الطرود من الدخول للشبكة ويسمح فقط بخروج الطرود . للتحقق من امكانية ضبط الهجمات نحتاج الى الوقت بالإضافة الى عتبة عدد الطرود المحددة من قبل المستخدم لكل من الـ ICMP , UDP , TCP . كما يملك الجدار الناري تقنيات اعاقة أخرى , مثل تحليل البرتوكولات , التحقق من الـ checksum , كما ويحوي أيضاً برتوكول المراقبة الـ NDIS .

Switches :

معظم المبدلات تحوي امكانية تحديد معدل نهائي بالإضافة الى Access Control List (ALC) . بعض المبدلات تدعم اتوماتيكياً بعض أوجميع الميزات مايلي : rate limiting

traffic shaping
delayed binding(TCP splicing)
deep packet inspection
Bogon filtering

وجميع الميزات السابقة يساعد في اكتشاف والتصدي لهجمات الـ DoS عبر الـ automatic rate filtering بالإضافة الى failover والـ balancing . ان هذه التقنيات تستعمل عندما يمكن لها حتى تقاوم هجمات الـ DoS . عملى سبيل المثال يمكن منع تدفق الـ SYN يتأخير الربط أوبـ TCP spilicing . إذا الهجمات التي تنشأ من عناوين مجهولة أوتكون ذاهبة لعناوين مجهولة يمكن حتى تقاوم باستخدام Bogon filtering . يمكن لـ Automatic rate filtering حتى تعمل عندما تقوم تحديد العتبة بشكل سليم وسليم . أما الـ Wan-link failover فتعمل عندما يوجد في كلا الطرفين تقنية لرد الاعتداء . Routers:

يملك الموجه Rate-limiting وALC (Access control list) كما هوالحال في المبدل . وتعتبر هذه الإعدادات يدوية . معظم الموجهات Routers)) يمكن حتى تدمر بهجوم الـDos . ولكن عند إضافة قواعد تجعل التدفق ثابتاً خارج الموجه خلال هجوم الـ DoS , يؤدي الى تخفيف المشكلة . تملك أنظمة التشغيل الخاصة بـ Cisco ميزة منع الطوفان (flooding) .

Application front end hardware:

يعتبر التطبيق front end عتاد ذكي يوضع على الشبكة قبل بلوغ الـ traffic للمخدم . يمكن لهذاالتطبيق حتى يستخدم على الشبكة بحيثقد يكون متصل مع المبدلات والموجهات. إذا تطبيقfront end يقوم بتحليل الطرود كما لوكانت تدخل النظام , وبعدها يقوم بتحديد الأولية وتمييز الطرود النظامية من الطرود الخطرة.

المصدر : http://en.wikipedia.org