وبلاگ

حملات داس و دیداس چیست؟ و روش مقابله آن در میکروتیک

سلام وقتتون بخیر محمدرضا ضمیری هستم امیدوارم حال دلتون عالی باشه

موضوع این مقاله نسبتا تخصصی تره چون ما توضیحاتو میدیم و روش های مقابله رو با اون هم میگیم

باز هم میگم قبل از اینکه بریم سراغ این موضوع باید بگم که ما اون دیدگاهی که خودمون داریمو بهتون عرض میکنیم شاید هم چیزی ازش توی سطح نت نباشه ولی قطعا کاربردی هستش و به کارتون قطعا میاد

“حملات داس و دیداس بر روی میکروتیک و مقابله آن”

حملات داس و دیداس چیست؟؟

 

 

دیداس مخفف عبارات Distribution Denial of Service است دیداس نوعی حمله سایبری می باشد که سعی می کند یک وب سایت یا منبع شبکه در دسترس نباشد. یک مهاجم با استفاده از صدها یا هزاران دستگاه از طریق دسترسی اینترنت برای ارسال مقدار زیادی ناخواسته به هدف هماهنگی ایجاد می کند که می تواند وب سایت یا شبکه یک شرکت باشد. تقریباً هر نوع دستگاه متصل به اینترنت از قبیل دستگاه های اینترنت اشیاء یا IoT، تلفن های هوشمند، رایانه های شخصی و سرورهای قدرتمند می تواند یک منبع بالقوه دیداس داشته باشد. بسته های داده برای برقراری ارتباط در اینترنت استفاده می شوند

 

اما حملات داس چیه؟؟

[ dns چیست؟ و نحوه تنظیم کردن آن ]

در این نوع حمله هکر با استفاده از روشهای زیادی مانند سرازیر کردن درخواستها و استفاده بیش از حد از منابع (پردازنده، پایگاه داده، پهنای باند، حافظه و…) باعث کاهش سرعت سرور می شود و ممکن است این کار سبب از کار افتادن سرور شود

این حملات قابلیت حمله به وبسایت های با پهنای باند زیاد را ندارند. و این محدودیت باعث پیدایش نسل جدیدی به نام دیداس شد

دیداس خیلی قوتر از داس عمل میکنه طبق رسم شکل بهتون میگم برحسب آنالیزهایی که انجام شده

 

داس (DOS):

و اما دیداس (DDOS):

 

اما آنالیز کردن این درخواست ها چیا میشن؟!

لایه های شبکه که قطعا باهاشون آشنا هستین طبق اون خدمتون عرض میکنم

 

 

خب ما تا اینجا آشنایت پیدا کردیم با داس و دیداس چی هستن کدوماشون حرفه ای تر و… این مطالب قطعا تکراری هست و توی هر سایتی که برین توی این حوزه قطعا در موردشون گفتن . خب سایت ماهم نیاز داشت که در مورد این ها توضیح خودشو داشته باشه سر این فکر نکنید مقاله ها صرفا مبتدی هستن کاملا اشتباه فکر میکنید

اما توی بحث بعدی ما گفتیم ما با میکروتیک سرو کار داریم و اینکه باید خدمت شما عرض کنم که شما باید یا یکسری از دستورات آشنا باشین مثلا این دستور برای جلوگیری از حملات روی روتر میکروتیک : RP Filter

 

[ آموزش انجام حمله Arp Spoofing و روش جلوگیری از آن ]

 

 

در میکروتیک میتوانید به راحتی با استفاده از RFC3704  از اصالت پکت های دریافت شده اطمینان حاصل کنید.

بدین صورت که درصورتی یکی از کلاینت های شما IP Spoofing انجام دهد و با آن حمله ای را انجام دهد میکروتیک Source IP هارا با Forwarding Information Base (FIB) بررسی میکند و درصورتی برای Source IP مشخص شده در Header پکت  مسیر برعکس (RP = Reverse path) وجود نداشته باشد آن پکت به صورت Invalid شناسایی شده و توسط فایروال دراپ میشود.به طور مثال Source IP مشخص شده در هدر پکت به هیچ کدام از اینترفیس های روتر تعلق نداشته باشید ویا مربوط به اینترفیسی که پکت برروی آن دریافت شده است نباشد ویا هیچ آدرس ARP برای آن آیپی وجود نداشته باشد ویا مک آدرس متناظر با آیپی با مک آدرس مشخص شده در ARP Table متفاوت باشد.(man in the middle ) تمام این موارد مثالی برای عدم وجود مسیر برعکس یا مسیر بازگشت میباشد.

برای اینکار کافیست به قسمت IP – Setting بروید و RP Filter را برروی Strict یا Loose قرار دهید

 

                                    ip settings set rp-filter=no

                                    ip settings set rp-filter=strict
                            

 

اساسا این دستور جهت جلوگیری از ترافیک خروجی است یه حرکتی هست خیلی جالبه اینو حتما تست کنید

 

TCP SynCookies

 

این یک تکنیک است برای مقاومت در برابر حملات SYN با دستکاری شماره ترتیب در هدر توی این قسمت باید yes بزنید

 

ip settings set tcp-syncookies=yes

 

اما توضیحات خیلی خوبه حتما مطاله کنید

زمانی که یک کاربر (برای نمونه یک مرورگر) قصد دارد با استفاده از پروتکل TCP  به سروری وصل شود، ابتدا یک پیام SYN برای سرور ارسال می‌کند. کاربر با ارسال این پیام، اطلاعاتی را در اختیار سرور می‌گذارد که از آن‌ها پس از ایجاد TCP connection و برای تبادل اطلاعات استفاده می‌شود.

سرور در جواب پیام SYN، یک پیام ACK ارسال می‌کند که نشان‌دهنده‌ی دریافت پیام SYN کاربر است. سپس، به‌شکل هم‌زمان یک پیام SYN را نیز، برای کاربر ارسال می‌کند. در پایان اگر کاربر هم برای سرور جواب ACK را ارسال کند، TCP connection برقرار می‌شود.

سرور، به ازای هر پیام SYN که دریافت می‌کند، پاسخ SYN/ACK را ارسال می‌کند، تا مدت‌زمان مشخصی ارتباط TCP تشکیل شده را برقرار نگه می‌دارد و منتظر دریافت پاسخ از کاربر می‌ماند. با در نظر گرفتن این شرایط، حمله‌ی SYN flood به این شکل است که حمله کننده با تعداد زیادی کاربر و IP‌های مختلف، پیام SYN برای سرور ارسال می‌کند و پس از دریافت پاسخ، جواب ACK را ارسال نمی‌کند. چون منابع سرور در نگه‌داری connectionهای باز محدود هستند، درخواست جدید را نمی‌تواند قبول کند و سرویسی که ارایه می‌دهد از دسترس خارج می‌شود.

یکی دیگر از راه‌های پیاده‌سازی این حمله آن است که، حمله‌کننده پیام‌های SYN با IPهای مبدا دست‌کاری شده و مختلف ارسال کند. در این حالت، هنگامی که آدرس‌های IP استفاده شده، جواب SYN/ACK را دریافت می‌کنند، آن را به عنوان یک پیام بی‌معنی در نظر می‌گیرند و جوابی ارسال نمی‌کنند

 

[ آموزش تشخیص کارت شبکه های مناسب تست نفوذ ]

 

راه‌های مقابله با حمله‌ی SYN flood

 

 

هر راهی که سبب شود تعداد connectionهای باز و غیرواقعی سرور کاهش پیدا کند، تا حدودی می‌تواند جلوی حمله‌ی SYN flood را بگیرد. یکی از این راه‌ها، استفاده از SYN cookie است. زمانی که سرور پاسخ SYN/ACK را ارسال می‌کند، به همراه آن یک cookie که براساس اطلاعات connection تا این لحظه (شامل آدرس IP کاربر، شماره پورت و …) تنظیم شده است، ارسال می‌کند و connection را باز نگه نمی‌دارد. در ادامه، کاربر پاسخ ACK را همراه cookieای که قبل‌تر دریافت کرده بود، ارسال می‌کند. اگر cookie و ACK هر دو معتبر باشند، سرور connection را ایجاد می‌کند و از این به بعد برای این connection منابعی را اختصاص می‌دهد

 

امیدوارم مفید باشه این مقاله براتون تا جایی که در توانم بود هم خودم مطالعه کردم هم واقعا اونجاهای رو که خودمم نمیدونستم پرسیدم و سرچ کردم تا این مقاله رو ساختم

خیلی مخلصیم که با من تا آخر این مقاله همراه من بودین

اشتراک گذاری:

مطالب زیر را حتما مطالعه کنید

3 دیدگاه

به گفتگوی ما بپیوندید و دیدگاه خود را با ما در میان بگذارید.

  • سلام ببخشید یه سوال داشتم مگه لایه های OSI
    ۷-Application
    ۶-Persentation
    ۵-Session
    ۴-Transport
    ۳-Network
    ۲-Datalink
    ۱-Physical
    نیست؟ پس اون جدوله چیه؟ 🙂

    • سلام دوست عزیز شما یک بار دیگه دوره نتورک پلاس رو دوره کنید
      یا من منظورمو بد گفتم یا شما بد متوجه شدین

دیدگاهتان را بنویسید