حملات انکاری سرویس و انکار سرویس توزیع شده. dos & ddos...

دانشکده مهندسی برق و کامپیوترکامپیوترگروه مهندسی

ارشدکارشناسی سمینار

مهندسی فناوری اطالعاتمخابرات امنگرایش

عنوان سمینارحمالت انکار سرویس و انکار سرویس توزیع شده

DoS and DDoS Attacks

توسطاحمد حقیقی

راهنمااستاد میزانیانکیارش دکتر

93تیرماه

30از 2

فهرست

مقدمهمعرفی•(دسته بندی حمالت)انواع •انگیزه ها مهاجم ها•قربانی های حمالت•

مراحل مقابلهپیشگیری از حمله•تشخیص حمله•شناسایی منبع حمله•واکنش در برابر حمله•

معرفی برخی از حمالت بررسی شدهمراجع

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

انگیزه هاانواعمعرفی

30از 3

قربانی ها

محروم سازی مشتری از دریافت خدمت: هدف•

(DoSاکثر حمالت مشهور )اشباع منابع •

(اخالل در مسیریابی)قطع ارتباط •

عدد منبع حمله10کمتر از •

Denial of Service

به کمک سیستم های تسخیر شدهDoSنوع توزیع شده •

عدم الزام به جعل آدرس منبع•

عدد منبع حمله10بیش از •

Distributed DoS

ICMP / Ping floodsاولین حمله •

ping.cدر کد منبع f (floor)–ظهور دستور •

1989

DoS[5]اثر معماری اینترنت بر حمالت

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

انگیزه هاانواعمعرفی

30از 4

قربانی ها

هسته سادهلبه پیچیده

مدیریت نا متمرکز

شبکه هسته پر سرعت

شبکه لبه آهسته

مسیریابیچند مسیره

اشتراک منابع

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

انگیزه هاانواعمعرفی

30از 5

قربانی ها

پروتکل های مسیریابی

•AODV

حمالت کم حجم بدون نیاز به

ترافیک سنگین

پروتکل های الیه کاربرد

•HTTP

• FTP

الیه های زیرین الیه کاربرد

• SSL

•TCP

•UDP

مسیریاب ها

حمالت حجیم با بار ترافیکی باال

پیوند ها

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

انگیزه هاانواعمعرفی

30از 6

قربانی ها

[1]2013در نیمه اول سال DDoSانگیزه عمده حمالت

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

انگیزه هاانواعمعرفی

30از 7

قربانی ها

2010

•MasterCard, Visa & PayPal

WikiLeaksعدم ارائه خدمت به •

January 19, 2012

(RIAA, MPAA, FBI)سازمان ها کپی رایت و دولت امریکا •

Megauploadبسته شدن سایت •

2008

Scientologyکلیسای •

کروزهایی از ویدیو مصاحبه با تام حذف بخش •

[2]

[3]

[4]

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

انگیزه هاانواعمعرفی

30از 8

قربانی ها

[1]2013در نیمه اول DDoSقربانی های حمالت

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

شناسایی منبعتشخیصپیشگیری

30از 9

واکنش

متوقف نمودن حمله قبل از ایجاد خسارت

متوقف نمودن نزدیک به منبع

فرض می کند آدرس مبدا جعل شده است

تصفیه جهت حذف ترافیک جعل شده

نیاز پیاده سازی در سطح وسیع

[5]

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

شناسایی منبعتشخیصپیشگیری

30از 10

واکنش

خروجی/تصفیه ورودی

تصفیه بسته بر اساس مسیریاب

(SAVE)پروتکل بررسی اعتبار آدرس مبدا

[5]

1روش

2روش

3روش

خروجی/تصفیه ورودی

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

شناسایی منبعتشخیصپیشگیری

30از 11

[5]واکنش

تصفیه بسته بر اساس مسیریاب

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

شناسایی منبعتشخیصپیشگیری

30از 12

[5]واکنش

هاAsو بین هسته اینترنت در ورودی تصفیه

:محدودیت

(عدد1800بیش از )ها ASاز % 18نیاز به پیاده سازی در •

حذف بسته های قانونی در تغییر مسیر های جدید•

BGPقابلیت جعل پیام های •

قابلیت به روز رسانی آدرس های مورد انتظار از هر پیوند افزوده شدSAVEدر

معایب

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

شناسایی منبعتشخیصپیشگیری

30از 13

[5]واکنش

نیاز به پیاده سازی در سطح جهانی

به دلیل آزاد بودن اینترنت ممکن نیست

عدم کارایی در حمالتی که از جعل آدرس استفاده نشود

نیاز به جعل آدرس ندارندDDoSاکثر حمالت

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

شناسایی منبعتشخیصپیشگیری

30از 14

[5]واکنش

نسب به اکثر حمالتDoSتشخیص آسان تر

تشخیص به موقع قبل از موفقیت حمله

شناسایی مهاجم و روال قانونی دادخواست

مشکل نرخ مثبت کاذب

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

شناسایی منبعتشخیصپیشگیری

30از 15

[5]واکنش

DoSتشخیص خاص حمله

عدم رعایت پروتکل های کنترل جریان

عدم توازن نرخ جریان در مبدا و قربانی

دا غیر معمول بودن ترافیک حمله در سمت مبو قربانی

ضعف در تشخیص حمالت جدید

تشخیص بر اساس ناهنجاری

استخراج مؤلفه جهت ساخت معیار های شباهت

ساختن نمایه عادی از سیستم

مقایسه نمایه عادی با وضعیت فعلی سیستم

توانایی تشخیص برخی حمالت جدید

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

شناسایی منبعتشخیصپیشگیری

30از 16

[5]واکنش

مشکالت

stateless بودن مسیریابیIP

پیاده سازی در مسیریاب ها

در IP Tracebackعدم نیاز به DDoSحمالت

هدف

پیگیری حقوقی

مقابله با حمله در مبدا

بدا پیگیری بسته با آدرس مجعل شده

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

شناسایی منبعتشخیصپیشگیری

30از 17

[5]واکنش

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

SYN floodHTTP POSTSlow Read

30از 18

MANET حمالت روی

[6]2014فراوانی حمالت در سه ماهه اول سال

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

SYN floodHTTP POSTSlow Read

30از 19

Smurf Fraggle Ping floodPing of death

Teardrop

SYN flood UDP floodHTTP POST

Slowloris RUDY

Slow Read Telephony DNS Amp. NTP Amp. SSL

Black hole Rushing Grey hole Wormhole Sinkhole

MANET حمالت روی

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

SYN floodHTTP POSTSlow Read

30از 20

MANET حمالت روی

TCP three-way handshake

SYN Flood Attack

SYN Cookie

SYN Cache

SYN-RECEIVED time out

Filteringهمقابل

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

SYN floodHTTP POSTSlow Read

30از 21

MANET حمالت روی

HTTP POSTارسال سرآیند کامل و قانونی

در سرآیند‘ Content-Length'فیلد

(ثانیه110در هر 1Bمثال )نرخ ارسال بسیار پایین بدنه

را می پذیرد2GBدرخواست تا Apache: مقال

OWASP HTTP Post Tool

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

SYN floodHTTP POSTSlow Read

30از 22

MANET حمالت روی

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

SYN floodHTTP POSTSlow Read

30از 23

MANET حمالت روی

درخواست های قانونی الیه کاربرد

خواندن پاسخ با سرعت پایین

از طریق تبلیغ پنجره دریافت کوچک

Server Poolپر شدن

تشخیص مشکل تر در صورت درخواست محتوای متفاوت

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

SYN floodHTTP POSTSlow Read

30از 24

MANET حمالت روی

Blackhole & Grayhole Attack

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

SYN floodHTTP POSTSlow Read

30از 25

MANET حمالت روی

Wormhole Attack

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

SYN floodHTTP POSTSlow Read

30از 26

MANET حمالت روی

Rushing Attack

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

SYN floodHTTP POSTSlow Read

30از 27

MANET حمالت روی

Sinkhole Attack

مراجعمعرفی برخی حمالت مراحل مقابله مقدمه

30از 28

[1] NSFOCUS ,“ NSFOCUS Mid-Year DDoS Threat Report 2013 .[خطيدرون].2013”,Available:http://en.nsfocus.com/SecurityReport/2013%20NSFOCUS%20Mid-Year%20DDoS%20Threat%20Report.pdf

[2] Ethics in Information Technology George Reynolds - 2011

[3] "Internet strikes back: Anonymous' Operation Megaupload explained". RT. January 20,2012. Archived from the original on May 5, 2013. Retrieved May 5, 2013.

[4] Richards, Johnathan (The Times) (January 25, 2008). "Hackers Declare War onScientology: A shadowy Internet group has succeeded in taking down a Scientology Website after effectively declaring war on the church and calling for it to be destroyed.". FoxNews Network, LLC. Retrieved January 25, 2008.

[5] T. Peng ,“ Survey of network-based defense mechanisms countering the DoS and DDoSproblems ,” ACM Computing Surveys ,1شماره,39جلد, pp. 3-es, 2007

[6] Prolexic ,“ Prolexic Quarterly Global DDoS Attack Report Q1 2014 ,” www.Prolexic.com,2014.

Q&A

30از 29