حملات انکاری سرویس و انکار سرویس توزیع شده. dos & ddos...
TRANSCRIPT
دانشکده مهندسی برق و کامپیوترکامپیوترگروه مهندسی
ارشدکارشناسی سمینار
مهندسی فناوری اطالعاتمخابرات امنگرایش
عنوان سمینارحمالت انکار سرویس و انکار سرویس توزیع شده
DoS and DDoS Attacks
توسطاحمد حقیقی
راهنمااستاد میزانیانکیارش دکتر
93تیرماه
30از 2
فهرست
مقدمهمعرفی•(دسته بندی حمالت)انواع •انگیزه ها مهاجم ها•قربانی های حمالت•
مراحل مقابلهپیشگیری از حمله•تشخیص حمله•شناسایی منبع حمله•واکنش در برابر حمله•
معرفی برخی از حمالت بررسی شدهمراجع
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
انگیزه هاانواعمعرفی
30از 3
قربانی ها
محروم سازی مشتری از دریافت خدمت: هدف•
(DoSاکثر حمالت مشهور )اشباع منابع •
(اخالل در مسیریابی)قطع ارتباط •
عدد منبع حمله10کمتر از •
Denial of Service
به کمک سیستم های تسخیر شدهDoSنوع توزیع شده •
عدم الزام به جعل آدرس منبع•
عدد منبع حمله10بیش از •
Distributed DoS
ICMP / Ping floodsاولین حمله •
ping.cدر کد منبع f (floor)–ظهور دستور •
1989
DoS[5]اثر معماری اینترنت بر حمالت
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
انگیزه هاانواعمعرفی
30از 4
قربانی ها
هسته سادهلبه پیچیده
مدیریت نا متمرکز
شبکه هسته پر سرعت
شبکه لبه آهسته
مسیریابیچند مسیره
اشتراک منابع
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
انگیزه هاانواعمعرفی
30از 5
قربانی ها
پروتکل های مسیریابی
•AODV
حمالت کم حجم بدون نیاز به
ترافیک سنگین
پروتکل های الیه کاربرد
•HTTP
• FTP
الیه های زیرین الیه کاربرد
• SSL
•TCP
•UDP
مسیریاب ها
حمالت حجیم با بار ترافیکی باال
پیوند ها
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
انگیزه هاانواعمعرفی
30از 6
قربانی ها
[1]2013در نیمه اول سال DDoSانگیزه عمده حمالت
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
انگیزه هاانواعمعرفی
30از 7
قربانی ها
2010
•MasterCard, Visa & PayPal
WikiLeaksعدم ارائه خدمت به •
January 19, 2012
(RIAA, MPAA, FBI)سازمان ها کپی رایت و دولت امریکا •
Megauploadبسته شدن سایت •
2008
Scientologyکلیسای •
کروزهایی از ویدیو مصاحبه با تام حذف بخش •
[2]
[3]
[4]
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
انگیزه هاانواعمعرفی
30از 8
قربانی ها
[1]2013در نیمه اول DDoSقربانی های حمالت
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
شناسایی منبعتشخیصپیشگیری
30از 9
واکنش
متوقف نمودن حمله قبل از ایجاد خسارت
متوقف نمودن نزدیک به منبع
فرض می کند آدرس مبدا جعل شده است
تصفیه جهت حذف ترافیک جعل شده
نیاز پیاده سازی در سطح وسیع
[5]
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
شناسایی منبعتشخیصپیشگیری
30از 10
واکنش
خروجی/تصفیه ورودی
تصفیه بسته بر اساس مسیریاب
(SAVE)پروتکل بررسی اعتبار آدرس مبدا
[5]
1روش
2روش
3روش
خروجی/تصفیه ورودی
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
شناسایی منبعتشخیصپیشگیری
30از 11
[5]واکنش
تصفیه بسته بر اساس مسیریاب
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
شناسایی منبعتشخیصپیشگیری
30از 12
[5]واکنش
هاAsو بین هسته اینترنت در ورودی تصفیه
:محدودیت
(عدد1800بیش از )ها ASاز % 18نیاز به پیاده سازی در •
حذف بسته های قانونی در تغییر مسیر های جدید•
BGPقابلیت جعل پیام های •
قابلیت به روز رسانی آدرس های مورد انتظار از هر پیوند افزوده شدSAVEدر
معایب
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
شناسایی منبعتشخیصپیشگیری
30از 13
[5]واکنش
نیاز به پیاده سازی در سطح جهانی
به دلیل آزاد بودن اینترنت ممکن نیست
عدم کارایی در حمالتی که از جعل آدرس استفاده نشود
نیاز به جعل آدرس ندارندDDoSاکثر حمالت
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
شناسایی منبعتشخیصپیشگیری
30از 14
[5]واکنش
نسب به اکثر حمالتDoSتشخیص آسان تر
تشخیص به موقع قبل از موفقیت حمله
شناسایی مهاجم و روال قانونی دادخواست
مشکل نرخ مثبت کاذب
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
شناسایی منبعتشخیصپیشگیری
30از 15
[5]واکنش
DoSتشخیص خاص حمله
عدم رعایت پروتکل های کنترل جریان
عدم توازن نرخ جریان در مبدا و قربانی
دا غیر معمول بودن ترافیک حمله در سمت مبو قربانی
ضعف در تشخیص حمالت جدید
تشخیص بر اساس ناهنجاری
استخراج مؤلفه جهت ساخت معیار های شباهت
ساختن نمایه عادی از سیستم
مقایسه نمایه عادی با وضعیت فعلی سیستم
توانایی تشخیص برخی حمالت جدید
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
شناسایی منبعتشخیصپیشگیری
30از 16
[5]واکنش
مشکالت
stateless بودن مسیریابیIP
پیاده سازی در مسیریاب ها
در IP Tracebackعدم نیاز به DDoSحمالت
هدف
پیگیری حقوقی
مقابله با حمله در مبدا
بدا پیگیری بسته با آدرس مجعل شده
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
شناسایی منبعتشخیصپیشگیری
30از 17
[5]واکنش
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
SYN floodHTTP POSTSlow Read
30از 18
MANET حمالت روی
[6]2014فراوانی حمالت در سه ماهه اول سال
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
SYN floodHTTP POSTSlow Read
30از 19
Smurf Fraggle Ping floodPing of death
Teardrop
SYN flood UDP floodHTTP POST
Slowloris RUDY
Slow Read Telephony DNS Amp. NTP Amp. SSL
Black hole Rushing Grey hole Wormhole Sinkhole
MANET حمالت روی
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
SYN floodHTTP POSTSlow Read
30از 20
MANET حمالت روی
TCP three-way handshake
SYN Flood Attack
SYN Cookie
SYN Cache
SYN-RECEIVED time out
Filteringهمقابل
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
SYN floodHTTP POSTSlow Read
30از 21
MANET حمالت روی
HTTP POSTارسال سرآیند کامل و قانونی
در سرآیند‘ Content-Length'فیلد
(ثانیه110در هر 1Bمثال )نرخ ارسال بسیار پایین بدنه
را می پذیرد2GBدرخواست تا Apache: مقال
OWASP HTTP Post Tool
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
SYN floodHTTP POSTSlow Read
30از 22
MANET حمالت روی
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
SYN floodHTTP POSTSlow Read
30از 23
MANET حمالت روی
درخواست های قانونی الیه کاربرد
خواندن پاسخ با سرعت پایین
از طریق تبلیغ پنجره دریافت کوچک
Server Poolپر شدن
تشخیص مشکل تر در صورت درخواست محتوای متفاوت
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
SYN floodHTTP POSTSlow Read
30از 24
MANET حمالت روی
Blackhole & Grayhole Attack
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
SYN floodHTTP POSTSlow Read
30از 25
MANET حمالت روی
Wormhole Attack
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
SYN floodHTTP POSTSlow Read
30از 26
MANET حمالت روی
Rushing Attack
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
SYN floodHTTP POSTSlow Read
30از 27
MANET حمالت روی
Sinkhole Attack
مراجعمعرفی برخی حمالت مراحل مقابله مقدمه
30از 28
[1] NSFOCUS ,“ NSFOCUS Mid-Year DDoS Threat Report 2013 .[خطيدرون].2013”,Available:http://en.nsfocus.com/SecurityReport/2013%20NSFOCUS%20Mid-Year%20DDoS%20Threat%20Report.pdf
[2] Ethics in Information Technology George Reynolds - 2011
[3] "Internet strikes back: Anonymous' Operation Megaupload explained". RT. January 20,2012. Archived from the original on May 5, 2013. Retrieved May 5, 2013.
[4] Richards, Johnathan (The Times) (January 25, 2008). "Hackers Declare War onScientology: A shadowy Internet group has succeeded in taking down a Scientology Website after effectively declaring war on the church and calling for it to be destroyed.". FoxNews Network, LLC. Retrieved January 25, 2008.
[5] T. Peng ,“ Survey of network-based defense mechanisms countering the DoS and DDoSproblems ,” ACM Computing Surveys ,1شماره,39جلد, pp. 3-es, 2007
[6] Prolexic ,“ Prolexic Quarterly Global DDoS Attack Report Q1 2014 ,” www.Prolexic.com,2014.
Q&A
30از 29