حملات انکاری سرویس و انکار سرویس توزیع شده. dos & ddos...

دانشکده مهندسی برق و کامپیوترکامپیوترگروه مهندسی

ارشدکارشناسی سمینار

مهندسی فناوری اطالعاتمخابرات امنگرایش

عنوان سمینارحمالت انکار سرویس و انکار سرویس توزیع شده

DoS and DDoS Attacks

توسطاحمد حقیقی

راهنمااستاد میزانیانکیارش دکتر

93تیرماه

30از 2

فهرست

مقدمهمعرفی•(دسته بندی حمالت)انواع •انگیزه ها مهاجم ها•قربانی های حمالت•

مراحل مقابلهپیشگیری از حمله•تشخیص حمله•شناسایی منبع حمله•واکنش در برابر حمله•

معرفی برخی از حمالت بررسی شدهمراجع

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

انگیزه هاانواعمعرفی

30از 3

قربانی ها

محروم سازی مشتری از دریافت خدمت: هدف•

(DoSاکثر حمالت مشهور )اشباع منابع •

(اخالل در مسیریابی)قطع ارتباط •

عدد منبع حمله10کمتر از •

Denial of Service

به کمک سیستم های تسخیر شدهDoSنوع توزیع شده •

عدم الزام به جعل آدرس منبع•

عدد منبع حمله10بیش از •

Distributed DoS

ICMP / Ping floodsاولین حمله •

ping.cدر کد منبع f (floor)–ظهور دستور •

1989

DoS[5]اثر معماری اینترنت بر حمالت



30از 4

قربانی ها

هسته سادهلبه پیچیده

مدیریت نا متمرکز

شبکه هسته پر سرعت

شبکه لبه آهسته

مسیریابیچند مسیره

اشتراک منابع



30از 5

قربانی ها

پروتکل های مسیریابی

•AODV

حمالت کم حجم بدون نیاز به

ترافیک سنگین

پروتکل های الیه کاربرد

•HTTP

• FTP

الیه های زیرین الیه کاربرد

• SSL

•TCP

•UDP

مسیریاب ها

حمالت حجیم با بار ترافیکی باال

پیوند ها



30از 6

قربانی ها

[1]2013در نیمه اول سال DDoSانگیزه عمده حمالت



30از 7

قربانی ها

2010

•MasterCard, Visa & PayPal

WikiLeaksعدم ارائه خدمت به •

January 19, 2012

(RIAA, MPAA, FBI)سازمان ها کپی رایت و دولت امریکا •

Megauploadبسته شدن سایت •

2008

Scientologyکلیسای •

کروزهایی از ویدیو مصاحبه با تام حذف بخش •

[2]

[3]

[4]



30از 8

قربانی ها

[1]2013در نیمه اول DDoSقربانی های حمالت


شناسایی منبعتشخیصپیشگیری

30از 9

واکنش

متوقف نمودن حمله قبل از ایجاد خسارت

متوقف نمودن نزدیک به منبع

فرض می کند آدرس مبدا جعل شده است

تصفیه جهت حذف ترافیک جعل شده

نیاز پیاده سازی در سطح وسیع

[5]



30از 10

واکنش

خروجی/تصفیه ورودی

تصفیه بسته بر اساس مسیریاب

(SAVE)پروتکل بررسی اعتبار آدرس مبدا

[5]

1روش

2روش

3روش

خروجی/تصفیه ورودی



30از 11

[5]واکنش

تصفیه بسته بر اساس مسیریاب



30از 12

[5]واکنش

هاAsو بین هسته اینترنت در ورودی تصفیه

:محدودیت

(عدد1800بیش از )ها ASاز % 18نیاز به پیاده سازی در •

حذف بسته های قانونی در تغییر مسیر های جدید•

BGPقابلیت جعل پیام های •

قابلیت به روز رسانی آدرس های مورد انتظار از هر پیوند افزوده شدSAVEدر

معایب



30از 13

[5]واکنش

نیاز به پیاده سازی در سطح جهانی

به دلیل آزاد بودن اینترنت ممکن نیست

عدم کارایی در حمالتی که از جعل آدرس استفاده نشود

نیاز به جعل آدرس ندارندDDoSاکثر حمالت



30از 14

[5]واکنش

نسب به اکثر حمالتDoSتشخیص آسان تر

تشخیص به موقع قبل از موفقیت حمله

شناسایی مهاجم و روال قانونی دادخواست

مشکل نرخ مثبت کاذب



30از 15

[5]واکنش

DoSتشخیص خاص حمله

عدم رعایت پروتکل های کنترل جریان

عدم توازن نرخ جریان در مبدا و قربانی

دا غیر معمول بودن ترافیک حمله در سمت مبو قربانی

ضعف در تشخیص حمالت جدید

تشخیص بر اساس ناهنجاری

استخراج مؤلفه جهت ساخت معیار های شباهت

ساختن نمایه عادی از سیستم

مقایسه نمایه عادی با وضعیت فعلی سیستم

توانایی تشخیص برخی حمالت جدید



30از 16

[5]واکنش

مشکالت

stateless بودن مسیریابیIP

پیاده سازی در مسیریاب ها

در IP Tracebackعدم نیاز به DDoSحمالت

هدف

پیگیری حقوقی

مقابله با حمله در مبدا

بدا پیگیری بسته با آدرس مجعل شده



30از 17

[5]واکنش


SYN floodHTTP POSTSlow Read

30از 18

MANET حمالت روی

[6]2014فراوانی حمالت در سه ماهه اول سال



30از 19

Smurf Fraggle Ping floodPing of death

Teardrop

SYN flood UDP floodHTTP POST

Slowloris RUDY

Slow Read Telephony DNS Amp. NTP Amp. SSL

Black hole Rushing Grey hole Wormhole Sinkhole




30از 20


TCP three-way handshake

SYN Flood Attack

SYN Cookie

SYN Cache

SYN-RECEIVED time out

Filteringهمقابل



30از 21


HTTP POSTارسال سرآیند کامل و قانونی

در سرآیند‘ Content-Length'فیلد

(ثانیه110در هر 1Bمثال )نرخ ارسال بسیار پایین بدنه

را می پذیرد2GBدرخواست تا Apache: مقال

OWASP HTTP Post Tool



30از 22




30از 23


درخواست های قانونی الیه کاربرد

خواندن پاسخ با سرعت پایین

از طریق تبلیغ پنجره دریافت کوچک

Server Poolپر شدن

تشخیص مشکل تر در صورت درخواست محتوای متفاوت



30از 24


Blackhole & Grayhole Attack



30از 25


Wormhole Attack



30از 26


Rushing Attack



30از 27


Sinkhole Attack


30از 28

[1] NSFOCUS ,“ NSFOCUS Mid-Year DDoS Threat Report 2013 .[خطيدرون].2013”,Available:http://en.nsfocus.com/SecurityReport/2013%20NSFOCUS%20Mid-Year%20DDoS%20Threat%20Report.pdf

[2] Ethics in Information Technology George Reynolds - 2011

[3] "Internet strikes back: Anonymous' Operation Megaupload explained". RT. January 20,2012. Archived from the original on May 5, 2013. Retrieved May 5, 2013.

[4] Richards, Johnathan (The Times) (January 25, 2008). "Hackers Declare War onScientology: A shadowy Internet group has succeeded in taking down a Scientology Website after effectively declaring war on the church and calling for it to be destroyed.". FoxNews Network, LLC. Retrieved January 25, 2008.

[5] T. Peng ,“ Survey of network-based defense mechanisms countering the DoS and DDoSproblems ,” ACM Computing Surveys ,1شماره,39جلد, pp. 3-es, 2007

[6] Prolexic ,“ Prolexic Quarterly Global DDoS Attack Report Q1 2014 ,” www.Prolexic.com,2014.

http://en.nsfocus.com/SecurityReport/2013 NSFOCUS Mid-Year DDoS Threat Report.pdf

http://books.google.co.uk/books?id=_GaHVEFNsdIC&pg=PA100&dq=&hl=en&sa=X&ei=yXLXT7D0OufB0gXR05WIBA&ved=0CEMQ6AEwAg#v=onepage&q=&f=false

http://rt.com/usa/anonymous-barrettbrown-sopa-megaupload-241/

http://www.webcitation.org/6GNY6Rgfk

https://en.wikipedia.org/wiki/The_Times

http://www.foxnews.com/story/0,2933,325586,00.html

Q&A

30از 29

حملات انکاری سرویس و انکار سرویس توزیع شده. dos & ddos...

Presentations & Public Speaking