المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : أنواع الهجوم على الأجهزة


قناص الموت
10-04-2004, 01:45 PM
هناك أنواع مختلفة وكثيرة جدا من الهجوم على جهازك أثناء العمل على الشبكة
(أكثر بمراحل من أن اجمعها في موضوع واحد) ولكن سألخص بروتوكولات الأتصال هنا وطرق الهجوم عليها وسبل الحماية منه وانظمة التشغيل المتضررة بكل هجوم.


النوع الأول :
هجوم الـ(ICMP)

او ما يسمى بـ (بروتوكول التحكم برسائل الأنترنت) (InternetControlMessageProtocol). وهو يعتمد على أرسال رسائل خطأ مضمونة في حزمة واحدة على التي سي بي نفسه TCP/IP. على سبيل المثال أذا اردت الأتصال بهوست معين مثل سيرفر الايرسي (IRC Servers) وتجد صعوبة في الأتصال به وبرسالة مثل (Host Unreachable) أو (Connection Time Out) وهو من نوع (ICMP_Unreach Packets) أو حزم عدم الوصول.
والـICMP يمكن أستخدامه أيضا لمعرفة معلومات عن شبكة معينة.
والسؤال الآن هو كيف يمكن لهذا الهجوم ان يلحق الضرر بك؟ والأجابة هي انه عند ارسال ارسال حزم كبيرة و سريعة من البنق Ping الى TCP/IP الخاص بك (وهذا ما يسمى بالفلود Flood) ويتوجب على جهازك تحليل كل حزمة وتفصيلها والرد عليها وهذا بالتأكيد مالا يستطيعه لكبر حجمها وكثرتها مما يؤدي غالبا الى عمل ريست للأتصال (Reset Connection) سواء كان اتصال بهوست معين أو بموفو الخدمة الخاص بك ايضا (ISP)!!
والآن تخيل مثلاً خمسمائة جهاز يوجهون هجوما قويا ومتتاليا على سيرفر معين (مثلا سيرفر http://www.israel.gov/)،/ هذا السيرفر لن يتمكن من الرد على كل اتصال موجه له بنفس الوقت بهذا الحجم والسرعة العاليين. مما يؤدي غالبا (بأستخدام توقيت وتخطيط مناسب) الى عزل هذا تقريبا عن بقية الشبكة .
ونوع آخر شهير جدا ويكثر أستخدامه في سيرفرات الايرسي او الشات وهو ICMP_Protocol_Unprotocol وهذا النوع يمكن أستخدامه لفصل أتصالك بسيرفر
محادثة معين. مثلا سيرفر المايكروسوفت شات لو انك متصل به على سيرفره irc.msn.com عبر المنفذ 6667 (منفذ شبكة محادثة MSN) وحدث انه تم قطع اتصالك بالسيرفر عدة مرات متتالية دون سبب محدد، فأنك قد تعرضت للهجوم على TCP/IP الخاص بك من النوع المذكور سابقا والذي يعتمد على ارسال رسائل عديدة وسريعة الى المنفذ 6667 من جهاز العدو وعبر سيرفر المحادثة واخيرا الى جهازك مما يؤدي الى تضعيف المنفذ 6667 وبالتالي قطع اتصالك بالسيرفر المذكور.

والحماية من هذا النوع من الهجوم كالتالي:
برامج عديدة يمكنك استخدامها مثل الفايروول الذي يوفر درجة معقولة من الحماية ضد هذا الهجوم. وهناك ايضا برامج كتبت خصيصا لمنع مثل هذا الهجوم مثل
Nuke Napper
ICMP Watcher
ConSeal PC Firewall
والتي تقوم بحجب هذه الحزم عن جهازك (Blocking ICMP Packets)
(ملحوظة: جميع البرامج السابقة لا توفر الحماية مائة بالمائة وانما هي مضمونة بخاصة اذا كنت معرض لهجوم من مصادر محدودة او مصدر واحدبأتصال غير قوي جدا)

نوع اخر من الحماية هو الباتشات التي تطلقها الشركات مثل الباتش الذي اطلقته مايكروسوفت لمستخدمي ويندوز 95 لأغلاق منفذ 139 ضد هجوم معين منICMP و هو SPing والذي كان يؤدي الى عمل ريست للأتصال بالشبكة بالكامل. وبالطبع تمت معالجة هذا العيب في الأصدارات التالية من ويندوز. وبرغم انه نوع قديم من الهجوم واغلب الأنظمة الآن متوفرة لديها الحماية منه الا اني متأكد بانه مازال هنالك اشخاص معرضين لمثل هذا النوع من الهجوم.

الأنظمة المعرضة لهجوم الـICMP
ويندوز 95 وويندوز NT الأصدار القديم كانا معرضين لخطر الهجوم من قبل فلود الـICMP الذي كان يؤدي الى عمل كراش Crash لهما. وبغض النظر عن اي نظام تستخدم فأنه معرض لخطر الفلود من قبل ICMP.

----------------------------------------------------------------
UDP :


او ما يسمى بـ(UserDatagramProtocol) وهو مصمم لبرامج معينة لا تحتاج الى تقسيم رسائلها الى حزم اصغر وارسالها مثل TCP الذي سيتم شرحه لاحقا. وهو بالضبط كالتي سي بي من حيث تقسيمه الى منافذ متعددة لتتمكن عدة برامج من استخدامه في نفس الوقت. ويحتوي على رأس توجيهي مثل التي سي بي ايضا ولكنه اقصر منه. وعلى كل حال له ارقام للمصدر وارقام للوجهة. وهذا البروتوكول يستخدم غالبا في عملية البحث عن اسم موقع كما سيتم شرحه بالاسفل.
من السابق نستنتج ان الفلود هذا البروتوكول يكون ضعيف جدا مقارنة بغيره من البروتوكولات وذلك لصغر حجم بياناته. ولكنه هجوم لايمكن تجاهله وبخاصة اذا وصل الى مرحلة عالية وسرعة عالية فأنه يؤدي الى أبطاء اتصالك ونادرا ما يقطع اتصالك.

الحماية:
البرنامج الوحيد الذي رأيته ويقوم بالحماية من فلود اليو دي بي هو الفايروول (من نوع كونسيل ConSeal). ولكنني متأكد من وجود أدوات اخرى للحماية منه

أنظمة التشغيل المتضررة منه:
جميع اصدارات الويندوز وحتى اليونكس نفسه من الممكن ايقافه اذا وجهت له حزم ضخمة من اليو دي بس في الوقت المناسب

----------------------------------------------------
TCP:
وهو ما يسمى ببروتوكول التحكم في الأرسال (TransmissionControlProtocol). وهو بروتوكول مسؤول عن تقسيم الرسائل الواردة الى حزم صغيرة ومن ثم يعيد تجميعها بشكل وترتيب جديد ليتمكن جهازك من قراءتها. وفي اغلب البرامج تكون الرسائل صغيرة بحيث يمكن ضمها في حزمة واحدة فقط. مثلا عند كتابتك لموقع في متصفحك فان نظامك يتوجب عليه ان يقوم بعملية التحويل الشهيرة من اسم الى عنوان (شبيه برقم الآيبي) ومن ثم يرسل الأمر بالبحث عنه والذي عادة ما يكون في حزمة واحدة.
والتي سي بي اي بي بالطبع يقوم بأعمال اخرى اضافة لعملية التقسيم والتجميع فأنه يقوم بالتأكد من وصول المعلومة المطلوبة الى جهازك وأعادة ارسال حزمة الطلب اذا توجب الأمر.
والسؤال هنا: كيف يمكن الهجوم على بروتوكول كهذا يقوم بتقسيم الرسائل الكبيرة!?
الأجابة هي انه يمكن الهجوم عليه مثل الهجوم على النظامين السابقين بالضبط أي عن طريق الفلود. وهنا يكون عن طريق ارسال حزم طلب كثيرة اليه وبالطبع سيحاول الرد عليها كلها وهذا مالايستطيعه وبخاصة اذا كانت الحزم كثيرة جدا وفي وقت زمني قليل. وعند كمية معينة بسرعة عالية معينة تعتمد على قوة اتصالك يبدأ التأثير الكبير لهكذا هجوم.

الحماية منه :
بالطبع برامج الفايروول وبرامج اخرى عديدة تجدها بمواقع الهكر منتشرة وتقوم بحمايتك من الفلود الموجه للـTCP الخاص بك.

أنظمة التشغيل المتأثرة:
جميع اصدارات الويندوز تتأثر بهذا الهجوم وأيضا جميع طبقات اليونكس تتأثر بهجوم معين يؤدي الى ايقافها مؤقتا (لاق Lag) أو حتى فصل اتصالها وبالطبع يعتمد على درجة الحماية للسيرفر المتعرض للهجوم.

ملاحظة: أشهر واكثر برنامج منتشر يقوم بالهجوم على هذا البروتوكول لنظام ويندوز هو برنامج (Port Fuck) الذي يقوم بالأتصال عبر منافذ التي سي بسرعة علية ومن ثم الفصل واعادة العملية عدة مرات بسرعة. وبالنسبة للينوكس فهنالك انواع عديدة من نصوص (.C) التي تقوم بهجوم كهذا.
----------------------------------------------------

OOB
أو ما يسمى بـ(OutOfBand). وهو خطير جداً لأنه لا يحتاج لعمل شئ كثير لأنشاء تأثير كبير في جهاز الضحية.
وعن طريق أرسال معلومات OOB الى منفذ رقم 139 الخاص بويندوز NT (الأصدارات القديمة بالطبع) فأنه من الممكن بسهولة أحداث أثر كبير في جهاز الضحية منها تدمير TCP الخاص بجهاز الضحية (stop 0xA error in tcp.sys). وكل ما تحتاج اليه هو الأتصال بالمنفذ المفتوح فقط (Connect the Socket). أي بالطريقة التالية: (الأتصال بمنفذ رقم 139 في جهاز الضحية ومن ثم المعلومات المضرة به - send the MSG_OOB flag set).
وبالطبع فأن ويندوز 95 كذلك معرض لهذا النوع من الهجوم ولكن بضرر أقل حيث انه لا يتم تجميده بالكامل ولكن يفقد أتصاله او يضعفه.
وقد تجد صعوبة في تنفيذ الكلام السابق ولكن لاداعي لأجهاد نفسك فبرامج الهجوم عن طريق OOB تكاد تملأ مواقع الهكر في كل مكان وبأشكال والوان عديدة مثل برنامح (WinNuke) القديم، والتي لا تطلب منك سوى رقم الآيبي للضحية فقط ومن ثم الضغط على زر Nuke. ولكنه أيجاد ضحية يتضرر بهجوم كهذا قريب من المستحيل في الوقت الحالي.
وبالطبع وجود عيب كهذا في نظام شهير ومنتشر كالويندوز يؤدي الى وجود باتش مخصص لأغلاق المنفذ واصلاح النظام. (يعني ترقيع). أسم الباتش (OOB Fix) ويمكنك الحصول عليه من اي موقع هكر تقريبا.

الحماية من OOB:
كما ذكرت سابقا يمكنك استخدام (رقعة المايكروسوت) او هنالك عدة برامج تحمي من مثل هذا الهجوم عن طريق مراقبة المنفذ 139 وصد الهجوم القادم عبره. وتقريبا جميع انواع الفايروول تتعرف على هجوم قديم كهذا.
http://www.tawqe3.com/images/jihad_17.jpg

محمود
07-06-2006, 01:01 PM
شكرا الك

يعطيك الف عافية

ZaMorANo
07-06-2006, 02:51 PM
شكرا اخي على الموضوع الرائع ..
شكرا ..