Sabo3eur
2nd July 2011, 11:12 AM
سلام در اين مقاله روشهاي ابتدايي براي جلوگيري از حملات DoS رو ميگم فقط ميمونه چندتا نكته
1- در آيده خيلي نزديك بحث رو وارد DDoS ميكنم و به مباحث پيشرفته تري ميپردازم
2- دوستان با توجه به اينكه روش هاي كلاسيك مطرح شده اند ميتونن اگه روشي به ذهنشون رسيد مطرح كنند تا بقيه اعضا هم استفاده كنند ولي از مطرح كردن نرم افزار و... خودداري كنيد .
راه کارهایی برای کاهش حملات DoS
در ابتدای این مقاله ذکر این نکته ضروری به نظر می رسد که حملات DoS و DDoS از آن دسته حملاتی هستند که هیچ راه جلوگیری صد در صدی برای آن ها وجود ندارد و آنچه در این مقاله و یا مقالات مشابه بیان می شوند راه کارهایی برای کاهش این حملات و یا کم کردن آسیب هایی است که این حملات به کیفیت سرویس بوجود می آورند لذا با علم به این موضوع به ارائه چند راه کار می پردازیم:
1- طراحی و پشتیبانی چندگانه
بطور معمول اکثر وب سایت ها بر روی یک سرور در حال سرویس دهی می باشند و چنین سایتهایی در برابر حملاتی که بر روی آن سرور یا روتر آن می شود آسیب پذیر خواهند بود ولی چنانچه بتوان آن را بروی جندین سرور راه اندازی کرد احتمال offline شدن وب سایت به شدت پائین می آید و خارج کردن آن از دسترسی کار بسیار مشکل تری خواهد بود.
در حالت ایده آل علاوه بر داشتن اتصلات چندگانه به اینترنت باید این اتصالات از لحاظ جغرافیایی نیز با یکدیگر فاصله زیادی داشته باشند.
2- ایجاد محدودیت پهنای باند
چنانچه حمله ی DoS از طریق یک پروتکل خاص باشد می توانیم بر روی پروتهای مربوط به آن پروتکل محدودیت پهنای باند قرار دهیم به عنوان مثال چنانچه پورت شماره 25 مورد حمله قراربگیرد و پهنای باند را به خود مشغول کند .کاربر دیگری نمی تواند از طریق پورت 80 به سرور متصل شود.
لذا می توانیم این موضوع را با اعمال سیاست های محدود کننده مدیریت کنیم.
البته این موضوع چنانچه حملات چندگانه باشد و از طریق چند پروتکل به صورت همزمان مورد حمله قرار بگیرد زیاد مشکلی را حل نمی کند.
3- راه اندازی سرویس هایی کم
هر چه پورتهای کمتری بر روی سرور باز باشد و سرویس های کمتری در حال اجرا باشند ریسک در معرض خطر قرار گرفتن سرور کم تر می شود این تکنیک را POLP یا قاعده کمترین امتیاز می گویند.
4- تنها به ترافیک ضروری اجازه عبور داده شود.
این روش دفاعی بسیار شبیه روش بالائی است با این تفاوت که در مورد شبکه اعمال می شود به این معنی که فایروال تنها به ترافیک های ضروری اجازه عبور می دهند همواره افراد در فایروال ها ترافیک ورودی مورد بررسی و تحلیل قرار می گیرد ولی ترافیک خروجی نیز بسیار با اهمیت است و باید فیلترهای لازم در مورد آن اعمال می شود. به عنوان مثال بررسی شبکه ها به همه ی بسته های کنترلی ICMP اجازه ورود و خروج می دهند در حالیکه چنین چیزی لازم نیست و یا در مورد بسته های مربوطه به ping آیا نیاز به اجازه دسترسی کامل به آنها وجود دارد؟
5- استفاده از سیاست های بلوکه کردن IP
این مورد یکی از معمول ترین و پرکاربردترین روش های مقابله با DoS می باشد.
وقتی به سایتی حمله شد باید به سرعت آدرس های IP مهاجم را پیدا کرده تا آنها را از روتر مرکزی بلوکه نمائم ولی باز هم روترهای خارجی در معرض خطر خواهد بود. لذا این سایست هم فقط تا حدی امکان پیش برد اهداف را خواهد داشد.
6- استفاده از آخرین وصله های امنیتی
این مورد که یکی از توصیه های عمومی در دنیا امنیت می باشد را امروز به تمامی استفاده کنندگان از اینترنیت می کنیم و می دانیم این کار می تواند هم جلوی حملات DoS و هم سایر حملات را تا حدودی بگیرد.
در حالت کلی چنانچه حمله ی جدیدی صورت بگیرد ( چه در زمینه ی DoS و چه در زمینه های دیگر ) متخصصان شروع به بررسی حمله کرده و راه کارهای نرم افزاری برای آن پیش بینی می کنند و این راه کار ها را به صورت وصله های امنیتی ارائه می کنند.
1- در آيده خيلي نزديك بحث رو وارد DDoS ميكنم و به مباحث پيشرفته تري ميپردازم
2- دوستان با توجه به اينكه روش هاي كلاسيك مطرح شده اند ميتونن اگه روشي به ذهنشون رسيد مطرح كنند تا بقيه اعضا هم استفاده كنند ولي از مطرح كردن نرم افزار و... خودداري كنيد .
راه کارهایی برای کاهش حملات DoS
در ابتدای این مقاله ذکر این نکته ضروری به نظر می رسد که حملات DoS و DDoS از آن دسته حملاتی هستند که هیچ راه جلوگیری صد در صدی برای آن ها وجود ندارد و آنچه در این مقاله و یا مقالات مشابه بیان می شوند راه کارهایی برای کاهش این حملات و یا کم کردن آسیب هایی است که این حملات به کیفیت سرویس بوجود می آورند لذا با علم به این موضوع به ارائه چند راه کار می پردازیم:
1- طراحی و پشتیبانی چندگانه
بطور معمول اکثر وب سایت ها بر روی یک سرور در حال سرویس دهی می باشند و چنین سایتهایی در برابر حملاتی که بر روی آن سرور یا روتر آن می شود آسیب پذیر خواهند بود ولی چنانچه بتوان آن را بروی جندین سرور راه اندازی کرد احتمال offline شدن وب سایت به شدت پائین می آید و خارج کردن آن از دسترسی کار بسیار مشکل تری خواهد بود.
در حالت ایده آل علاوه بر داشتن اتصلات چندگانه به اینترنت باید این اتصالات از لحاظ جغرافیایی نیز با یکدیگر فاصله زیادی داشته باشند.
2- ایجاد محدودیت پهنای باند
چنانچه حمله ی DoS از طریق یک پروتکل خاص باشد می توانیم بر روی پروتهای مربوط به آن پروتکل محدودیت پهنای باند قرار دهیم به عنوان مثال چنانچه پورت شماره 25 مورد حمله قراربگیرد و پهنای باند را به خود مشغول کند .کاربر دیگری نمی تواند از طریق پورت 80 به سرور متصل شود.
لذا می توانیم این موضوع را با اعمال سیاست های محدود کننده مدیریت کنیم.
البته این موضوع چنانچه حملات چندگانه باشد و از طریق چند پروتکل به صورت همزمان مورد حمله قرار بگیرد زیاد مشکلی را حل نمی کند.
3- راه اندازی سرویس هایی کم
هر چه پورتهای کمتری بر روی سرور باز باشد و سرویس های کمتری در حال اجرا باشند ریسک در معرض خطر قرار گرفتن سرور کم تر می شود این تکنیک را POLP یا قاعده کمترین امتیاز می گویند.
4- تنها به ترافیک ضروری اجازه عبور داده شود.
این روش دفاعی بسیار شبیه روش بالائی است با این تفاوت که در مورد شبکه اعمال می شود به این معنی که فایروال تنها به ترافیک های ضروری اجازه عبور می دهند همواره افراد در فایروال ها ترافیک ورودی مورد بررسی و تحلیل قرار می گیرد ولی ترافیک خروجی نیز بسیار با اهمیت است و باید فیلترهای لازم در مورد آن اعمال می شود. به عنوان مثال بررسی شبکه ها به همه ی بسته های کنترلی ICMP اجازه ورود و خروج می دهند در حالیکه چنین چیزی لازم نیست و یا در مورد بسته های مربوطه به ping آیا نیاز به اجازه دسترسی کامل به آنها وجود دارد؟
5- استفاده از سیاست های بلوکه کردن IP
این مورد یکی از معمول ترین و پرکاربردترین روش های مقابله با DoS می باشد.
وقتی به سایتی حمله شد باید به سرعت آدرس های IP مهاجم را پیدا کرده تا آنها را از روتر مرکزی بلوکه نمائم ولی باز هم روترهای خارجی در معرض خطر خواهد بود. لذا این سایست هم فقط تا حدی امکان پیش برد اهداف را خواهد داشد.
6- استفاده از آخرین وصله های امنیتی
این مورد که یکی از توصیه های عمومی در دنیا امنیت می باشد را امروز به تمامی استفاده کنندگان از اینترنیت می کنیم و می دانیم این کار می تواند هم جلوی حملات DoS و هم سایر حملات را تا حدودی بگیرد.
در حالت کلی چنانچه حمله ی جدیدی صورت بگیرد ( چه در زمینه ی DoS و چه در زمینه های دیگر ) متخصصان شروع به بررسی حمله کرده و راه کارهای نرم افزاری برای آن پیش بینی می کنند و این راه کار ها را به صورت وصله های امنیتی ارائه می کنند.