از آن جا که متخصصین امنیت و شبکه دانش بیشتری به حملات و نحوه ی مقابله با آن ها پیدا کردن، و همچنین سازمان ها و شرکت ها تجهیزات امنیتی را وارد شبکه ی خودشون کردن، نوع حملات تا حدودی داره تغییر میکنه و حملات سنتی که از سال 2001 تا 2012 بیشتر مورد استفاده قرار می گرفت، کم کم داره محو می شه و متدهای جدید جایگزینشون می شه. یکی از متعارف ترین حملاتی که در دنیای اینترنت، امروزه رایج شده، حملات تکذیب سرویس توزیع شده هست. مهار این گونه حملات سخت هست و گاهی ممکن هست 2 تا 3 روز ترافیک سنگین بر روی ساختار وجود داشته باشه و تیم امنیتی فقط بتونن شبانه روز تلاش کنن تا مقداری از ترافیک رو کاهش بدن.
این حملات معمولا به صورت توزیع شده و توسط هزاران بات انجام می شه ، یعنی اگر شما بخواهید توسط سیستم خودتون بدون استفاده از آسیب پذیری های موجود، این حمله رو به صورت آزمایشگاهی انجام بدین، عملا ترافیک ایجاد شده براتون ملموس نیست، چون با وجود پیشرفت سیستم ها و منابع سیستمی، پروسس ها و درخواست ها به راحتی جواب داده می شن. اما حمله ای که امروز معرفی می کنم، به نوعی هست که با یک سیستم و پهنای باند مناسب می تونه باعت تکذیب سرویس بشه.
اما این حمله چگونه کار می کنه ؟
در این حمله از
این حملات معمولا به صورت توزیع شده و توسط هزاران بات انجام می شه ، یعنی اگر شما بخواهید توسط سیستم خودتون بدون استفاده از آسیب پذیری های موجود، این حمله رو به صورت آزمایشگاهی انجام بدین، عملا ترافیک ایجاد شده براتون ملموس نیست، چون با وجود پیشرفت سیستم ها و منابع سیستمی، پروسس ها و درخواست ها به راحتی جواب داده می شن. اما حمله ای که امروز معرفی می کنم، به نوعی هست که با یک سیستم و پهنای باند مناسب می تونه باعت تکذیب سرویس بشه.
اما این حمله چگونه کار می کنه ؟
در این حمله از
کد PHP:
ICMP-->Type3(Destination Unreachable) & Code3(Port Unreachable) or Code0(Net unreachable)
برای تکذیب سرویس استفاده می گردد
برای انجام این حمله ابزاری که مورد استفاده قرار میگیره
hping3
هست و در زیر مثال هایی رو براتون قرار دادم
برای انجام این حمله ابزاری که مورد استفاده قرار میگیره
hping3
هست و در زیر مثال هایی رو براتون قرار دادم
کد PHP:
hping3 --icmp -C 3 -K 0 --flood IP
hping3 --icmp -C 3 -K 3 --flood IP
hping3 --icmp -C 8 -K 0 --flood IP
hping3 --icmp -C 8 -K 3 --flood IP
hping3 --icmp -C 3 -K 3 -i u200 IP
آخرین مورد به معنای این هست که در هر 200 میکرو ثانیه یک بسته ارسال کنه.
ولی حالا برای جلوگیری از این حمله توی سازمان چه کاری باید بکنیم ؟
می تونید توی آی دی اس رول زیر رو اضافه کنید
کد PHP:
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ALERT –Possible BlackNurse attack from external source "; itype:3; icode:3; detection_filter:track by_dst, count 250, seconds 1; metadata:TDC-SOC-CERT,18032016; priority:3; sid:88000012; rev:1;)
موفق و سربلند باشید