هجمات الحرمان من الخدمات بالإنگليزية: Denial of Service Attacks

أكدت الكثير من التقارير تزايد عدد الهجمات من خلال الشابكة ( الإنترنت ) وازدياد شدتها وتأثيرها التدميري عامًا بعد الآخر وتأثيرها على مبيعات المواقع والخدمات عبر الشابكة .ويرجع ذلك إلى عده اسباب من اخطرها ما يعهد ب" هجمات الحرمان من الخدمات" أو"هجمات حجب الخدمة " (Denial of Service Attacks) ملاحظة (DoS) هنا لا نقصد بها نظام التشغيل المشهور ولكنها اختصار للعبارة Denial-of-Service وهي تعني حجب أومنع ألخدمة.

ماذا يقصد بهجمات الحرمان من الخدمات ( DOS Attacks )

هي هجمات تتم عن طريق إغراق المواقع بسيل من البيانات غير اللازمة يتم إرسالها عن طريق أجهزة مصابة ببرامج(في هذه الحالة تسمى DDOS Attacks) تعمل نشر هذ الهجمات بحيث يتحكم فيها القراصنة والعابثين الإلكترونيين لمهاجمة الشابكة ( الإنترنت )عن بعد بإرسال تلك البيانات إلى المواقع بشكل كثيف مما يسبب بطء الخدمات أو زحامًا مروريًا بهذه المواقع ويسبب صعوبة وصول المستخدمين لها نظرًا لهذا الزحام. ، خصوصا وأنه يبدو، وباعتراف الكثير من خبراء الأمن على الشابكة ، وكأنه لا يوجد علاج في الوقت الحالي لهذا الأسلوب في الهجوم على مواقع الشابكة (الإنترنت )، وعلى هذا الأساس فإن هذا النوع من الهجمات يُدعى في بعض الأوساط " بإيدز الإنترنت".ويتم هذا الهجوم بدون كسر ملفات حدثات السر أوسرقة البيانات السرية، هجمات حجب الخدمة تتم ببساطه بان يقوم المهاجم بإطلاق أحد البرامج التي تزحم المرور للمسقط الخاص بك وبالتالي تمنع أي مستخدم آخر من الوصول إليه. وبشكل عام تتواجد مثل هذه الهجمات منذ أعوام إلا حتى قوتها الآن أصبحت أكبر من أي فترة مضت، كما أنها وصلت إلى فترة من النضج بحيث تستهدف أهدافًا محددة ومقصودة لأغراض تجارية. هذا وتذكر شركة سمانتك المتخصصة في الأمن الإلكتروني حتى متوسط عدد هجمات الحرمان من الخدمة وصل إلى 927 هجمة في النصف الأول من عام 2004 بزيادة قدرها 679% عنها في النصف الثاني من عام 2004.

ما هي هجمات الحرمان من الخدمات؟

هجمات الحرمان من الخدمات كأسلوب ليست حديثة، ولكن الشابكة جعلتها فتاكة. ومبدأ هذا الأسلوب سهل ويتلخص في حتى المهاجم يقوم بإغراق الأجهزة المزودة بسيل من الطلبات والأوامر التي تفوق قدرة الجهاز المزود على المعالجة. ومن الأمثلة الظريفة والبسيطة على هذا الأسلوب هومواصلة الضغط على زر الإدخال ENTER على مطراف ( Terminal ) لم تقم بعد بتسجيل الدخول إلى الشبكة Log In ولكنها مرتبطة بنوع معين من الأجهزة الإيوانية أومحطات العمل. والسبب في حتى هذا الأسلوب يمكن حتى يُصنف ضمن أساليب هجمات الحرمان من الخدمات هوحتى زر الإدخال يقوم في معظم الأحيان ببدء روتين للتعهد على الأداة ضمن نظام التشغيل، وهوروتين ذوأولوية تطبيق عالية عادة. وبمواصلة الضغط على هذا الزر يتولد طلب مرتفع على عملية المعالجة اللازمة للتعهد على الأداة (لوحة المفاتيح في هذه الحال)، مما يؤدي إلى استهلاك 100% من طاقة المعالج وجعله غير قادر على تلقي طلبات معالجة إضافية. ويؤدي ذلك إلى إحداث شلل في نظام التشغيل والذي لا يمتلك عادة الذكاء ليميز بين طلبات الدخول الشرعية، وطلبات الدخول المؤذية. وفي هذه الحالة لا توجد ميكانيكية يمكن بها الاستجابة لهذا الهجوم. ومن الأساليب الأخرى لهذا النوع من الهجوم هواستهداف الموارد الثابتة الأخرى في البنية التحتية، ومن الأمثلة على ذلك هجمات الإغراق SYN . فضمن جلسات الشابكة (الإنترنت )الاعتيادية تتم عملية أشبه بالمصافحة بين النظم، حيث يقوم أحد النظم بإصدار طلب للارتباط بنظام آخر باستخدام حزمة SYN (المزامنة). ويقوم النظام المضيف في هذه الحالة بإصدار حزمة SYN-ACK، والتي يستجيب فيها للطلب الوارد من عنوان IP معين، ويقوم بتسجيل هذا العنوان في جدول معين، وتحديد فترة معينة لبتر الاتصال إذا لم تحدث الاستجابة لهذه الحزمة، والتي يجب حتى تكون على شكل حزمة ACK يصدرها النظام الأول. وفي هجمات الإغراق، يقوم المهاجم بإرسال أكبر كمية ممكنة من حزم SYN باستخدام عناوين IP مزيفة، ويقوم النظام المضيف بتسجيل ردود حزم SYN-ACK في الجدول، والتي تظل هناك لأن المهاجم لا يقوم بإرسال حزم ACK المطلوبة، مما يؤدي إلى امتلاء الجدول بالطلبات وعدم قدرته على تلقي أية طلبات اتصال جديدة. ورغم الأذى الذي قد يلحقه هذا النوع من الهجمات فإن العلاج يكمن في خطوتين؛ الأولى هي زيادة حجم الجدول الذي يتلقى طلبات الاتصال، والثانية-وهي خطوة ملازمة للأولى-التقليل من الوقت المطلوب للاستجابة لطلبات الاتصال وذلك لحذف المدخلات غير المستخدمة بشكل أسرع. وهنالك نوع آخر من هجمات الحرمان من الخدمات، حيث يستخدم المهاجم برنامجا يقوم بتجربة الدخول إلى حسابات المستخدمين ضمن خدمة معينة من خلال تجربة كافة أسماء المستخدمين، واستعمال حدثات سر خاطئة، عمدا. وعند استخدام هذه البرمجيات فإن بعض المزودات، إذا لم يكن هنالك تأخير معين بين محاولات الدخول، تقوم بمنع المستخدمين الشرعيين من النفاذ إلى النظام. وهنالك أيضا أسلوب آخر من الهجمات يدعى "الحزم الدامعة Teardrop" حيث يرسل المهاجم حزما مشوهة بحيث يؤدي إلى انهيار عمليات معالجة عناوين IP على الجهاز المزود. وبالمثل، فهنالك أسلوب إغراق عملية المعالجة نفسها في نظام التشغيل من خلال إرسال أوامر معالجة أوإدخال طويلة (أكثر طولا مما يسمح به نظام التشغيل أوالتطبيق) Buffer Overflow، لا تقوم عمليات معالجة المدخلات ضمن نظام التشغيل بصدّها (وهي الثغرة التي استغلها واضعوفيروس الشيفرة الحمراء Code Red في مخدمات مايكروسوفت ونظم تشغيلها) مما يؤدي إلى انهيار النظام.

أنواع (طرق) هجمات الحرمان من الخدمة

هجمات Ping Of Death وTeardrop

هناك ثلاثة أنواع من هجمات حجب الخدمة ( denial-of-service attack) :

• الهجمات التي تستغل خطأ برمجي Bug في بناء TCP/IP

• الهجمات التي تستغل تقصير في مواصفات TCP/IP

• الهجمات التي تعيق المرور في شبكتك حتى لا تستطيع أي بيانات ان تصل اليها أوتغادرها .

والهجمتان المميتتان المشهوران بينج الموت Ping Of Death والهجمه الدمعة Teardrop ، يصنفان مع النوع الأول .فهجمه Ping Of Death تستخدم أي برنامج Ping لتخلق حزمه IP تتعدى الحد الأقصي (65536 بايت) من البانات المسموح بها لحزمة IP .وتلك الحزمة بإرسالها إلى اي نظام من الممكن لهذا النظام ان ينهار أويتوقف عن العمل أويعيد التشغيل من تلقاء نفسه. وتلك الهجمة ليست بجديده وجميع منتجي أنظمة التشغيل قاموا بعلاجها . أما عن الهجمه Teardrop فهي تستغل ضعف في إعادة تجميع اجزاء حزمة ال IP .خلال رحلتها في الشابكة (الأنترنت )،تقسم حزمة ال IP إلى اجزاء اصغر .وجميع جزء يبدوا مثل الحزمه الأصلية ما عدا أنه يحتوي على حقل يقول -كمثال- "هذا الجزء يحمل البايتات من 600 إلى 800 من الحزمة الأصلية غير المجزئه" . هجمة Teardrop تخلق حزمة IP مجزئة ولكنها متداخلة Overlapped في محتويات حقل تعريف هذا الجزء . وعندما يتم تجميع تلك الحزمه من حديث بعض الأنظمة قد تنهار وبعضها يتوقف عن العمل وبعضها قد يعيد تشغيلة من تلقاء نفسه .

هجمات SYN

الضعف في مواصفات ال TCP/IP تجعله عرضة لهجمات SYN التي تنفذ أثناء المصافحة الثلاثية( Three way handshake ) والتي تتم بين تطبيقين لبدء الإتصال بينهما .في الظروف العادية التطبيق الذي يبدأ الإتصال (المرسل) يرسل حزمة TCP-SYN إلى التطبيق المستقبل. والمستقبل يرد بإرسال حزمة TCP-SYN-ACK بفهم وصول الحزمة الأولى وعندئذ يرسل التطبيق (المرسل) حزمة ACK بفهم الوصول وعندئذ يبدأ التطبيقان في تبادل البيانات فيما بينهما .

. ولكن هجمة SYN تغرق flood الهدف بسلسلة من حزم TCP-SYN .كل حزمة تؤدي بالهدف إلى تجهيز استجابة SYN-ACK . وبينما الهدف ينتظر المصافحة الثالثة ACK ،يقوم بوضع جميع حزم SYN-ACK المنتظرة دورها في الإرسال في طابور queue يسمى طابور المتراكمات backlog queue .وهذا الطابور له سعة محددة والتي هي غالبا صغيرة إلى حد ما .وبمجرد حتى يمتلئ هذا الطابور ،سيتجاهل النظام جميع طلبات SYN الواردة . SYN-ACK تغادر الطابور فقط عندما يتم الرد ب ACK أوينهي العداد الداخلي (والذي يجهز للعد لفتره طويلة نسبيا) المصافحة الثلاثية . وهجمة SYN تخلق جميع حزمة SYN بعنوان IP مزيف للمرسل .وجميع الإستجابات من الهدف ترسل إلى ذلك العنوان المزيف والذيقد يكون إما غير موجود في الأساس أولنظام لا يعمل حاليا وبالتالي فان جزمة ACK التي تلى حزمة SYN-ACK لن تصل إلى الهدف ابدا .وهذا يؤدي إلى امتلاء طابور المتراكمات على الدوام فيجعل من المحال تقريبا على أي مستخدم الوصول إلى هذا النظام . منتجي حوائط النيران Firewalls مثل Checkpoint وCisco وRaptor قاموا يإضافة ميزات في منتجاتهم لتزودك بدورع ضد هجمات SYN .وبالإضافة إلى ذلك يجب على حائط النيران الخاص بك التأكد من حتى الحزم الصادرة من شبكتك تحتوي على عنوان IP مصدره سليم، والذي هوأحد عناوين شبكتك الداخلية، وبالتالي لن يتم تزيف عنوان IP المصدر من داخل شبكتك .

هجمة إغراق UDP

أغراق UDP أوUser Datagram Protocol flood أيضا تتم بربط نظامين ببعض . بالخداع Spoofing ،هجمة إغراق UDP تتم بالسيطرة على خدمة charger لأحد النظامين ،وتلك الخدمة لأغراض اختبارية تقوم بتوليد سلسلة من الحروف Characters لكل حزمة تستقبلها ،مع خدمة الصدى UDP echo للنظام الاخر ، والتي تردد كالصدى جميع حرف تستقبله كمحاولة لاختيار برامج الشبكه .ونتيجة لهذا الربط يتم تبادل سيل لا يتوقف من البيانات العقيمة بين النظامين . ولكي تمنع هجمة إغراق UDP ،يمكنك اما ان توقف عمل جميع خدمات UDP لكل جهاز على شبكتك ،أومن الأسهل حتى تعد حائط النيران Firewall الخاص بك لتنقية جميع طلبات UDP . وبما حتى UDP صمم لعمل التشخيصات الداخلية ،يمكنك غالبا الاستمرار بتجاهل طلبات UDP من مجتمع الإنترنت .ولكنك لوحجبت جميع خدمات UDP ،ستصد بالتالي بعض التطبيقات الجيدة والمعتمده على UDP مثل RealAudio .

الهجمات الموزعة

ومع ظهور الشابكة (الإنترنت )، أصبحت هجمات الحرمان من الخدمات أكثر إثارة بالنسبة للهكرة، حيث أصبح بالإمكان استغلال أكثر من جهاز على الشبكة (بشكل شرعي أوغير شرعي) للهجوم على مسقط معين أومزوّد معين، باستخدام ما أصبح يدعى بهجوم السنافر Smurf Attack (نسبة للمسلسل الكرتوني الشهير). وفي هذا النوع من الهجمات، يقوم المعتدون باستغلال ميزة خطيرة في الشبكات التي تعتمد بروتوكول IP-وهي عنوان البث broadcast address؛ ففي الأحوال الاعتيادية يتم إرسال طلب إلى الشبكة (مثلا باستخدام أمر ping) من خلال عنوان البث، مما يؤدي إلى إعادة إنتاج وإرسال هذا الطلب إلى جميع عنوان IP على تلك الشبكة، وعندئذ يمكن لجميع النظم الموجودة على الشبكة حتى تقوم بإرسال المعلومات المناسبة إلى مصدر أمر ping . وفي حالة هجمات السنافر يحدث الحرمان من الخدمات باستخدام عناوين رأسية IP مزيفة وجعلها تقوم بإرسال أمر ping إلى عنوان البث لشبكة كبيرة، ومن ثم إعادة توجيه الإجابات إلى نظام ثالث، وهونظام الضحية. وفي هذه الحالة يتعرض الضحية بسهولة إلى الإغراق من قبل بيانات مزيفة تعترض سبيل بياناته الحقيقية. وفي عالم إنترنت اليوم تحدث هجمات الحرمان من الخدمات باستخدام أدوات وأساليب أكثر قدرة على التدمير من الأساليب القديمة، حيث يقوم الهكرة باستخدام أدوات تقوم بفحص النظم غير المحمية، ومن ثم تثبيت برامج (تُدعى بالزومبي-أوالأموات الأحياء، إشارة إلى جهل المستخدم بأنه قد تم اختراق نظامه)، وهذه الزومبي تقوم بالإنصات إلى أوامر معينة ومُشفرة من برامج رئيسة MASTER يسيطر عليها الهكرة الذين يخططون لبدء الهجوم. وفي فترة معينة يقوم البرنامج الرئيس بإرسال الأوامر إلى الزومبي، والتي تتكون من عنوان IP الذي سيتم الهجوم عليه، وتحديد أسلوب الهجوم الذي يجب حتى يتم استخدامه. وبما حتى البرنامج الرئيس يمكنه حتى يسيطر بسهولة على مئات أوألوف الزومبي، فإن النظام المستهدف لا يجدا مخرجا من الركوع في النهاية، حيث حتى مثل هذه الهجمات يمكن لها بسهولة حتى تستنزف كافة المصادر المتاحة للأجهزة المزودة التي تتعرض للهجمات. ومن أدوات هجمات الحرمان المستخدمة اليوم هناك trin00، وtfn ، وبرنامج Stacheldart، وTFN2K، وShaft، وTrinity ، والكثير غيرها. ولفهم المزيد عن هذه البرمجيات يمكن الرجوع إلى مصدر ممتاز على إنترنت موجود على العنوان (http://staff.washington.edu/dittrich/misc/ddos/).

كيفية عمل هجوم حجب الخدمة الموزعة ؟

تعتبر هجمات حجب الخدمة الموزعة DDoS (Distributed Denial of Service)، نوعاً جديداً من هجمات حجب الخدمة العادية التي تعتمد على استخدام برامج معينة في الهجوم. وهذا النوع من الهجمات، هوالذي استخدم في الهجوم على كبرى مواقع إنترنت، مثل ZDNet Yahoo!، eBay، Amazon، CNN، وغيرها. وتعتمد هذه الهجمات على تجنيد أجهزة كمبيوتر متصلة بإنترنت، بدون فهم مالكيها ، وتوجيهها إلى بث الرزم الشبكية إلى مزود معين، بهدف إيقافه عن العمل، نتيجة ضغط البيانات المستقبلة. ويعتمد هذا النوع من الهجمات على وضع برنامج خبيث خاص، من نوع "حصان طروادة " (Trojan horse)، في جميع حاسوب متصل بالشابكة يمكن الوصول إليه، عن طريق إرسال البرنامج بواسطة البريد الإلكتروني، مثلاً، وتفعيله على هذه الأجهزة، لتعمل كأجهزة بث للرزم الشبكية، عند تلقيها الأمر بذلك من برنامج محدد يقبع على جهاز أحد المخترقين. ومن أشهر البرامج المستخدمة في إجراء هذه الهجمات: TRINOO stacheldraht. & Tribe FloodNet & TFN2K، يعتبر هذا النوع من هجمات حجب الخدمة، أكثر الأنواع خطورة، حيث يمكن حتى يشكل خطراً على الشابكة ( الإنترنت ) كلها، وليس على بعض المواقع فقط، حيث حتى جميع مسقط من المواقع التي أصيبت في شهر فبراير" الشهر الأسود " ، بهذا النوع من هجمات حجب الخدمة، هي مواقع تحجز جزءاً كبيراً من حزمة البيانات في الشابكة ( الإنترنت )، ما قد يهدد الشابكة بالكامل. وإن وقع ذلك يوماً، فنتسقط حتى يشهد العالم أزمة اقتصادية شاملة!

ويتفق الخبراء اليوم على أنه لا سبيل لعلاج الهجمات الموزعة أوتفاديها. ورغم حتى البعض يقترحون استخدام أساليب التحقق من الهوية والتشفير لمعالجة حزم المعلومات المتناقلة، فإنهم يتفقون أيضا على حتى هذه الطرق غير عملية لمعالجة المشكلة على إنترنت. وهنالك اقتراحات أخرى بتضمين المعالجات إرشادات يمكنها تمييز هجمات الحرمان من الخدمات وفلترتها قبل حتى تؤثر على نظام التشغيل، وهوحل تعمل على تطويره الكثير من الشركات المنتجة لبرمجيات مكافحة هجمات الحرمان من الخدمات اليوم.

الشيفرة الحمراء

عندما ظهرت الشيفرة الحمراء في عام 2001 قدّر بعض الخبراء الخسائر الناجمة عن هذا الفيروس بنحو2 مليار دولار والاسم التقني لهذا الفيروس يشير إلى الثغرة التي يستغلها هذا الفيروس وهوBuffer overflow ، وهي ثغرة موجودة في مزودات مايكروسوفت IIS في الإصدارات أربعة وخمسة التي تعمل ضمن ويندوز 2000 أوالإصدارات التجريبية من ويندوز أكس بي. تخيل مسقطا بحاجة للدخول إليه إلى اسم مستخدم وحدثة سر، ثم تخيل أنك قمت باستعمال اسم مستخدم يتكون من مليون حرف!! ما يحصل في بعض النظم، والتي لم يتم بها تحديد الحد الأقصى لحجم المتغيرات، هوأنها إما تنهار أوتسمح للمستخدم بالدخول. أما في حالة الثغرة الموجودة في برمجيات مايكروسوفت المذكورة أعلاه فهوحتى النظام يسمح للهكرز بالدخول، ومن ثم تطبيق أية مجموعة يريدها من الأوامر. ويستغل فيروس، أودودة، الشيفرة الحمراء هذه الثغرة لينفذ إلى المزودات، ومن ثم الانتشار إلى مزودات أخرى، ليتحول إلى هجمة حرمان من الخدمات، حيث يقوم باستهلاك نطاقات الموجة للبحث عن ومسح مجموعات من عناوين IP المولّدة شبه عشوائيا. وقد كان الفيروس فعالا في الانتشار إلى حد أنه تمكن من الوصول إلى 250 ألف نظام في الساعات التسعة الأولى من ظهوره. وخلال هذه الساعات قام الفيروس بوضع العبارة " Welcome to www.worm.com Hacked by Chinese!" كاستجابة لأية طلبات لوصلات HTTP . وتبدأ هذه الفترة في اليوم الأول من الشهر وتستمر حتى اليوم التاسع عشر منه (من أي شهر). وفي فترة الإغراق، وهي الفترة الثانية، والتي تتواصل في الفترة ما بين 20 و27 من أي شهر، فإن الفيروس قام باستهداف عناوين IP الخاصة بالبيت الأبيض الأمريكي، والذي تمكن من مكافحة الهجوم بتغيير عنوان IP ضمن نظام أسماء النطاقات المركزي. ومع ذلك، فإن مشتقات هذه الدودة، والتي ظهرت لاحقا، تقوم باستخدام أساليب أخرى للاستهداف. فبالإضافة إلى استخدام العناوين المكتوبة بالحروف، وليس بأرقام IP فقط، فإن المشتقات الجديدة يمكنها استهداف مواقع في بلدان معينة، أوأنطقيم معينة. وفي الفترة الثالثة فإن الدودة تخلد إلى النوم، حتى بداية الدورة في الشهر التالي.

مشتقات الشيفرة الحمراء

وبالنسبة لمشتقات دودة الشيفرة الحمراء الأصلية، فقد كانت أكثر ذكاء وقدرة على الانتشار، حيث أنها لم تقم بالبحث عن نفس القائمة من عناوين IP ، كما أنها لم تستخدم الرسالة الإنجليزية الأصلية، مما أطال من فترة الاكتشاف والانتشار. وبدلا من أسلوب التخريب الأول فإن المشتقات الجديدة تقوم بوضع فيروسات طروادية، تقوم بفتح مسالك للنفاذ إلى الأجهزة المصابة بالفيروس، والتي لم يتم معالجة الثغرة بها، مما يسمح للهكرة مستقبلا باستخدام هذه الأجهزة لشن هجمات جديدة للحرمان من الخدمات. كما حتى المشتقات الجديدة كما ذكرنا تقوم بتوليد عناوين IP عشوائية للعثور على أجهزة جديدة لاختراقها.

الشيفرة الحمراء ليست حكرا على مايكروسوفت فقط

ربما تكون قد سمعت في الأنباء، أوقرأت على المواقع التقنية، بأن دودة "الشيفرة الحمراء" يؤثر فقط على المواقع التي تستخدم مزودات مايكروسوفت. وإذا اعتقدت أنك بأمان لأنك لا تستخدم منتجات مايكروسوفت، فإنك مخطئ. فالشيفرة الحمراء كما أوضحنا، وأثناء بحثها عن عناوين جديدة لاختراقها، ترسل رسائلها إلى جميع المزودات دون استثناء، حيث تقوم بإرسال أمر GET بحثا عن الملف default.ida يتبع ذلك أمر طويل ليس له معنى. ويعني ذلك أنه يصبح لزاما على المزود حتى يقوم بمعالجة مجموعة كبيرة من حزم get، مما قد يؤدي إلى إحداث بعض الضغوط على الأداء. وبالإضافة إلى ذلك، إذا كان لديك مزود وسيط يقوم بتسريع أداء مزود ويب، فإنه يقوم بإرسال هذه الأوامر إلى مزود الويب، والذي رغم أنه قد لا يتعرض للعدوى بالفيروس، فإنه حتما سيعاني من تراجع في الأداء نتيجة للكم الضخم من الحزم التي سيكون عليه معالجتها. لذلك احرص على زيارة مسقط إنترنت الخاص بالشركة المنتجة لمزود الويب الذي تستخدمه، وابحث عن الرقع البرمجية الخاصة بدودة الشيفرة الحمراء.

حقائق حول هجمات حجب الخدمة

ومع ان هجمات حجب الخدمة تبدوبسيطة وتافهه احيانا بنظر المبتدئين ممن يديرون خواديمهم الخاصة ولكن يبقى هذا الهجوم من اخطر اعمال الهكرز ، فالاختراق يوقف المسقط بتغيير القابلة الرئيسية مثلا ، ويوقف الخادوم بعمل فورمات أوحتى الجهاز الشخصي ، وتتم اعادة نسخة احتياطية محفوظة وبسرعة ، بينما هجوم حجب الخدمة قد يوقف عمل الخادوم ( Servers ) لفترات طويلة وقدWoRlD تبتر مصالح واعمال وقد تعرضت مواقع كبيرة لشبح هذا الهجوم الفتاك وهذا الهجوم لا يقف عند حد معين أويستهدف منفذا معينا WoRldاوخدمة معينة ، لكن لك خدمة هجوم وحتى تكرار تصفح المسقط TrAde بعمل تحديث أوالدخول عليه أكثر من مرة من آلاف الأجهزة هجون على المنفذ 80 أومحاولة الاتصال بمئات المستخدمين على منفذ ftp وحدثا طال الهجوم وكثر الطلب على الخدمة زاد الخطر وقد تدمر عتاد الحاسوب بالضغط واستهلاك موارد النظام ، والحماية العملية لا تكمن في الجدار الناري لان الجدار الناري من الممكن يزيد في خطورة اذا كان مبرمج على طريقة عرض رسالة TrAdÊاوإرسال رسالة عند تلقي هجوم فيزيد من الضغط على موارد النظام العملية CPU ، يجب على مدير الشبكة أوالخادوم مراقبة البيانات واغلاق الخدمة التي تتعرض للهجوم مؤقتا حتى تجد حلا لها ويكون CeNtErبتغيير ايبي مؤقتا لكي لا ينبتر عملك ، هذا جزء من الاجزاcEnTeRمة لهذا الهجوم الجبار ،ولحسن الحظ القليل يعهد كيفية استثماره وللاسف جهل الكثيرين بطريقة الوقاية منه ووقوع الكثير من مدراء الخواديم تحت هجمات بسيطة ولكن لم يستطيعوا حلها وادت لمشاكل أكبر

الحماية من هجمات الحرمان من الخدمة

يتم الحماية من هذه الهجمات بعدة طرق ولكنها تختلف في fdsqfdsqواها ومن هذه الطرق ما يعهد بنظام Dos.deny

نظام ( DoS.deny )

ما هونظام ( Dos.deny ) ؟

نظام الحماية Dos.deny هونظام مخصص لاكتشاف هجمات الحرمان من الخدمة DOS والتصدي لها ومنعها من التأثير على أداء المخدمات أوالمواقع التي تسعمل هذا النظام ، ولمن لا يعهد ما هي عمليات الحرمان من الخدمة ، فهي قيام إنسان بإستهداف مسقط ما وذلك بإرسال قدر هائل من طلبات التصفح HTTP Request بغرض منع المسقط من العمل بشكل سليم أوإبطاء عمل المسقط ، أوحتى الإطاحة بشكل تام بخادوم المسقط بحيث يقف نظام الخادوم ( Apache / IIS... ) عن العمل نهائيا جراء الكم الضخم من أوامر التصفح .

كيف يعمل نظام Dos.deny ؟

عن طريق إضافة سطر واحد إلى ملفات مسقطك ، سيكون بإمكان النظام قراءة رقم الأي بي (IP) لكل زائر ، وعن طريق تخزين هذه الأرقام وتتبعها وفقاً لخوارزمية معينه سيكون بمقدور النظام اكتشاف عمليات الحرمان من الخدمة وذلك بضوابط يمكن لمدير المسقط التحكم بها من خلال لوحة التحكم ، بمعنى أنه تقدر تحديد كم عدد المحاولات والفترة التي تقع فيها هذه المحاولات ، والتي على أساسها يمكن الحكم ان هذا الأي بيIP) ) يقوم بهجمة للحرمان من الخدمة ! عندها سيقوم النظام بالكتابة في ملفات من نوع .htaccess وذلك لمنع ذلك IP من الوصول إلى مسقطك ( أوأجزاء من مسقطك تستطيع تحديدها أيضا(

هل يدعم هذا النظام هجمات الحرمان من الخدمة الموزعة ( DDOS) ؟

ليس بشكل تام .. لن يستطيع هذا النظام الحماية من هجمات الحرمان من الخدمة الموزعه DDOS اذا كانت الهجمات تتم عن طريق عدد كبير جدا من أرقام الأي بي ، اما اذا كانت الهجمه تتم عن طريق عدد محدود من أرقام الأي بي ، فمن خلال ضبط الإعدادات بشكل أكثر صرامة سيكون بمقدورك إيقاف أوالحد من هذه العمليات بشكل كبير.

ما الحلول المناسبة لتفادي هجمات الحرمان من الخدمة ؟!

الطريقة المثلى لجعل شبكتك آمنه من هجمات حجب الخدمة المستقبلية هي الإشتراك في القائمة البريدية "لفريق الإستجابة لطوارئ الحاسب" CERT أوComputer Emergency Response Team من مسقطهم الخاص http://www.cert.org/

وصلات مفيدة

http://www.w3.org/security/faq/wwwsf9.html http://www.cert.org/tech_tips/denial_of_service.html http://www.zdnet.com/pcmag/pctech/content/17/08/nt1708.001.html http://www.infosyssec.net/infosyssec/secdos1.html

أيضا توجد معلومات تقنية مهمة، للتصدي لهجمات حجب الخدمة إذا كنت تعمل مديراً لشبكة ويب، أوكنت مسؤولاً عن أحد مواقع ويب، فمن المؤكد حتى تكون عمليات التشويه وحجب الخدمة الأخيرة، التي تمت خلال شهر فبراير ، والتي طالت أكبرمواقع إنترنت في الدول العربية والعالم، سببت لك قلقاً كبيراً على وظيفتك، وربما بعضاً من الكوابيس ليلاً! وننصحك لذلك، بالاطلاع على الدراسات التقنية في المواقع التالية، التي تشرح بتوسع طرق عمل عمليات حجب الخدمة، مع عرض أفضل الوسائل التقنية للوقاية منها، وتحري مصادرها: خلاصة ورشة عمل، أجرتها منظمة CERT، للتعامل مع هجمات حجب الخدمة http://www.cert.org/reports/dsit_workshop.pdf

دراسة لاستراتيجيات الوقاية من هجمات حجب الخدمة الموزعة، تقدمها شركة Cisco http://www.cisco.com/warp/public/707/22.html

شرح تقني مهم، لطرق التقليل من مخاطر هجمات Smurf، وfraggle http://users.quadrunner.com/chuegen/smurf.cgi

ماذا تعمل عند إصابة نظامك ببرامج حصان طروادة، الخاص بهجمات DDoS،يا ترى؟ http://www.sans.org/y2k/DDoS.htm

أساليب الوقاية التي يجب حتى يتبعها مقدموخدمة إنترنت (ISPs) http://www.cs.washington.edu/homes/.../traceback.html

التعامل مع هجمات DDoS الناتجة عن برنامجي TRINOO، وTFN http://xforce.iss.net/alerts/advise40.php3

تحذيرات هامة

أذا كنت من مستخدمي أنظمة يونكس، ولينكس ( Linux and Unix Systems) فأحذر ؟!! حيث أنه ثبت وجواد برامج جديدة لشن هجمات حجب الخدمة الموزعة استخدمت جميع هجمات حجب الخدمة التي تمت في الماضي، برامج من نوع حصان طروادة، لا تعمل إلا على أنظمة يونكس، ولينكس ( Linux and Unix Systems) فقط، ما يعني حتى مستخدمي أنظمة ويندوز Windows System كانوا في أمان نسبي، من حتى ُتستخدم أجهزتهم، بدون فهمهم، لشن هجمات على مواقع إنترنت معينة. لكن شركة TrendMicro، التي تعمل في مجال الحماية من الفيروسات ، كشفت أواخر الشهر ذاته، عن انتشار برنامج (TROJ_TRINOO)الجديد من نوع حصان طروادة، تمت برمجته لشن هجمات حجب الخدمة هذه المرة، من أنظمة ويندوز! وهذا البرنامج هوزبون لبرنامج Trinoo، الذي يعمل كمركز القيادة، لشن هذه الهجمات.. فإذا تمكن أحد المخترقين، وضع هذا البرنامج في نظامك، بدون فهمك، عن طريق إرساله بالبريد الإلكتروني، مثلاً، فإنه سيتمكن من استخدام جهازك لشن الهجمات على أي مزود متصل بإنترنت. ولا يحتاج في هذه الحالة، إلا إلى فهم عنوان IP لجهازك، خلال اتصالك بإنترنت!

التأكد من خلونظامك من برنامج Trinoo

ويمكنك التأكد من خلونظامك من هذا البرنامج، كما يلي:

افصل اتصال جهازك بإنترنت، ثم شغّل برنامج محرر سجل النظام (Regedit.exe)، وامضى إلى المفتاح HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Ru ) n)، وابحث عن الملف SERVICE.EXE (وليس الملف SERVICES.EXE، الموجود أصلاً في أنظمة, NT ) 2000 (واحذفه من النظام، إذا وجد، ثم أعد تشغيل الجهاز. ويمكنك التأكد من حتى الملف الذي تحذفه هوهذا البرنامج الخبيث، بالتأكد من حجمه، الذي يعادل 23145 بايت. وجدير بالذكر حتى معظم برامج الحماية من الفيروسات ستطرح تحديثات تحمي من هذا البرنامج، في أحدث إصداراتها.