حملات داس و دیداس چیست؟ و روش مقابله آن در میکروتیک
سلام وقتتون بخیر محمدرضا ضمیری هستم امیدوارم حال دلتون عالی باشه
موضوع این مقاله نسبتا تخصصی تره چون ما توضیحاتو میدیم و روش های مقابله رو با اون هم میگیم
باز هم میگم قبل از اینکه بریم سراغ این موضوع باید بگم که ما اون دیدگاهی که خودمون داریمو بهتون عرض میکنیم شاید هم چیزی ازش توی سطح نت نباشه ولی قطعا کاربردی هستش و به کارتون قطعا میاد
“حملات داس و دیداس بر روی میکروتیک و مقابله آن”
حملات داس و دیداس چیست؟؟
دیداس مخفف عبارات Distribution Denial of Service است دیداس نوعی حمله سایبری می باشد که سعی می کند یک وب سایت یا منبع شبکه در دسترس نباشد. یک مهاجم با استفاده از صدها یا هزاران دستگاه از طریق دسترسی اینترنت برای ارسال مقدار زیادی ناخواسته به هدف هماهنگی ایجاد می کند که می تواند وب سایت یا شبکه یک شرکت باشد. تقریباً هر نوع دستگاه متصل به اینترنت از قبیل دستگاه های اینترنت اشیاء یا IoT، تلفن های هوشمند، رایانه های شخصی و سرورهای قدرتمند می تواند یک منبع بالقوه دیداس داشته باشد. بسته های داده برای برقراری ارتباط در اینترنت استفاده می شوند
اما حملات داس چیه؟؟
[ dns چیست؟ و نحوه تنظیم کردن آن ]
در این نوع حمله هکر با استفاده از روشهای زیادی مانند سرازیر کردن درخواستها و استفاده بیش از حد از منابع (پردازنده، پایگاه داده، پهنای باند، حافظه و…) باعث کاهش سرعت سرور می شود و ممکن است این کار سبب از کار افتادن سرور شود
این حملات قابلیت حمله به وبسایت های با پهنای باند زیاد را ندارند. و این محدودیت باعث پیدایش نسل جدیدی به نام دیداس شد
دیداس خیلی قوتر از داس عمل میکنه طبق رسم شکل بهتون میگم برحسب آنالیزهایی که انجام شده
داس (DOS):
و اما دیداس (DDOS):
اما آنالیز کردن این درخواست ها چیا میشن؟!
لایه های شبکه که قطعا باهاشون آشنا هستین طبق اون خدمتون عرض میکنم
خب ما تا اینجا آشنایت پیدا کردیم با داس و دیداس چی هستن کدوماشون حرفه ای تر و… این مطالب قطعا تکراری هست و توی هر سایتی که برین توی این حوزه قطعا در موردشون گفتن . خب سایت ماهم نیاز داشت که در مورد این ها توضیح خودشو داشته باشه سر این فکر نکنید مقاله ها صرفا مبتدی هستن کاملا اشتباه فکر میکنید
اما توی بحث بعدی ما گفتیم ما با میکروتیک سرو کار داریم و اینکه باید خدمت شما عرض کنم که شما باید یا یکسری از دستورات آشنا باشین مثلا این دستور برای جلوگیری از حملات روی روتر میکروتیک : RP Filter
[ آموزش انجام حمله Arp Spoofing و روش جلوگیری از آن ]
در میکروتیک میتوانید به راحتی با استفاده از RFC3704 از اصالت پکت های دریافت شده اطمینان حاصل کنید.
بدین صورت که درصورتی یکی از کلاینت های شما IP Spoofing انجام دهد و با آن حمله ای را انجام دهد میکروتیک Source IP هارا با Forwarding Information Base (FIB) بررسی میکند و درصورتی برای Source IP مشخص شده در Header پکت مسیر برعکس (RP = Reverse path) وجود نداشته باشد آن پکت به صورت Invalid شناسایی شده و توسط فایروال دراپ میشود.به طور مثال Source IP مشخص شده در هدر پکت به هیچ کدام از اینترفیس های روتر تعلق نداشته باشید ویا مربوط به اینترفیسی که پکت برروی آن دریافت شده است نباشد ویا هیچ آدرس ARP برای آن آیپی وجود نداشته باشد ویا مک آدرس متناظر با آیپی با مک آدرس مشخص شده در ARP Table متفاوت باشد.(man in the middle ) تمام این موارد مثالی برای عدم وجود مسیر برعکس یا مسیر بازگشت میباشد.
برای اینکار کافیست به قسمت IP – Setting بروید و RP Filter را برروی Strict یا Loose قرار دهید
ip settings set rp-filter=no ip settings set rp-filter=strict
اساسا این دستور جهت جلوگیری از ترافیک خروجی است یه حرکتی هست خیلی جالبه اینو حتما تست کنید
TCP SynCookies
این یک تکنیک است برای مقاومت در برابر حملات SYN با دستکاری شماره ترتیب در هدر توی این قسمت باید yes بزنید
ip settings set tcp-syncookies=yes
اما توضیحات خیلی خوبه حتما مطاله کنید
زمانی که یک کاربر (برای نمونه یک مرورگر) قصد دارد با استفاده از پروتکل TCP به سروری وصل شود، ابتدا یک پیام SYN برای سرور ارسال میکند. کاربر با ارسال این پیام، اطلاعاتی را در اختیار سرور میگذارد که از آنها پس از ایجاد TCP connection و برای تبادل اطلاعات استفاده میشود.
سرور در جواب پیام SYN، یک پیام ACK ارسال میکند که نشاندهندهی دریافت پیام SYN کاربر است. سپس، بهشکل همزمان یک پیام SYN را نیز، برای کاربر ارسال میکند. در پایان اگر کاربر هم برای سرور جواب ACK را ارسال کند، TCP connection برقرار میشود.
سرور، به ازای هر پیام SYN که دریافت میکند، پاسخ SYN/ACK را ارسال میکند، تا مدتزمان مشخصی ارتباط TCP تشکیل شده را برقرار نگه میدارد و منتظر دریافت پاسخ از کاربر میماند. با در نظر گرفتن این شرایط، حملهی SYN flood به این شکل است که حمله کننده با تعداد زیادی کاربر و IPهای مختلف، پیام SYN برای سرور ارسال میکند و پس از دریافت پاسخ، جواب ACK را ارسال نمیکند. چون منابع سرور در نگهداری connectionهای باز محدود هستند، درخواست جدید را نمیتواند قبول کند و سرویسی که ارایه میدهد از دسترس خارج میشود.
یکی دیگر از راههای پیادهسازی این حمله آن است که، حملهکننده پیامهای SYN با IPهای مبدا دستکاری شده و مختلف ارسال کند. در این حالت، هنگامی که آدرسهای IP استفاده شده، جواب SYN/ACK را دریافت میکنند، آن را به عنوان یک پیام بیمعنی در نظر میگیرند و جوابی ارسال نمیکنند
[ آموزش تشخیص کارت شبکه های مناسب تست نفوذ ]
راههای مقابله با حملهی SYN flood
هر راهی که سبب شود تعداد connectionهای باز و غیرواقعی سرور کاهش پیدا کند، تا حدودی میتواند جلوی حملهی SYN flood را بگیرد. یکی از این راهها، استفاده از SYN cookie است. زمانی که سرور پاسخ SYN/ACK را ارسال میکند، به همراه آن یک cookie که براساس اطلاعات connection تا این لحظه (شامل آدرس IP کاربر، شماره پورت و …) تنظیم شده است، ارسال میکند و connection را باز نگه نمیدارد. در ادامه، کاربر پاسخ ACK را همراه cookieای که قبلتر دریافت کرده بود، ارسال میکند. اگر cookie و ACK هر دو معتبر باشند، سرور connection را ایجاد میکند و از این به بعد برای این connection منابعی را اختصاص میدهد
امیدوارم مفید باشه این مقاله براتون تا جایی که در توانم بود هم خودم مطالعه کردم هم واقعا اونجاهای رو که خودمم نمیدونستم پرسیدم و سرچ کردم تا این مقاله رو ساختم
خیلی مخلصیم که با من تا آخر این مقاله همراه من بودین
مطالب زیر را حتما مطالعه کنید
Prompt Injection چیست؟
چارچوب (framework) امنیت سایبری چیست؟ و انواع آن
10 افزونه برتر Burp Suite برای تست نفوذ
DNS Rebinding چیست و چگونه کار می کند؟
دور زدن ( JailBreak ) هوش مصنوعی Chatgpt
بررسی گواهی ssl/tls با ابزار TLSx در باگ بانتی
3 دیدگاه
به گفتگوی ما بپیوندید و دیدگاه خود را با ما در میان بگذارید.
سلام ببخشید یه سوال داشتم مگه لایه های OSI
7-Application
6-Persentation
5-Session
4-Transport
3-Network
2-Datalink
1-Physical
نیست؟ پس اون جدوله چیه؟ 🙂
سلام دوست عزیز شما یک بار دیگه دوره نتورک پلاس رو دوره کنید
یا من منظورمو بد گفتم یا شما بد متوجه شدین
سلام در اون جدول مثال از هر لایه گفته شده