در حالت کلی، حملات پیرامون یک شبکه کامپیوتری یا یک سیستم مستقل به شش گروه ایجاد وقفه (Interruption)، استراق سمع (Eavesdropping/Interception)، تغییر (Modification)، ایجاد اطلاعات (Fabrication)، حملات فعال (Active) و غیرفعال (Passive) تقسیم میشوند.
این حمله با هدف از دسترس خارج کردن، غیرقابل استفاده کردن یا نابود کردن داراییهای یک شبکه پیادهسازی میشود. این حمله یکی از مرسومترین و قدیمیترین بردارهای حمله است. نابودی یک قطعه سختافزاری همچون هارددیسک، قطع کردن یک خط ارتباطی یا غیرفعال کردن سیستم مدیریت فایل مثالهایی از یک حمله وقفه هستند. حمله منع سرویس توزیع شده از شناختهشدهترین بردارهای حمله متعلق به این گروه است.
این حمله به معنای آن است که یک فرد غیرمجاز موفق شده است به داراییهای یک سازمان که محرمانه هستند، دسترسی پیدا کند. استراق سمع، ثبت و ضبط غیرمجاز دادهها یا کپیکردن غیرمجاز فایلها یا برنامهها، مثالهایی از حمله استراق سمع هستند. حمله مرد میانی، از جمله حملاتی است که در این گروه قرار میگیرد.
در این مکانیزم حمله، یک شخص غیرمجاز ضمن آنکه به داراییهای یک سازمان دسترسی پیدا کند، این توانایی را مییابد تا اطلاعات را تغییر دهد. این حمله اصل یکپارچگی اطلاعات را نشانه میرود. در چنین حالتی مقادیر درون فایلها و اسناد، اطلاعات درون یک برنامه یا زیرساخت مطابق با اهداف هکر تغییر پیدا کرده و در نتیجه پیامها و دادههایی که درون شبکه انتقال پیدا میکنند، ماهیتی متفاوت از اطلاعاتی دارند که مبدأ اقدام به ارسال آنها کرده است. حمله مسمومسازی سامانه نام دامنه در این گروه قرار میگیرد.
یک فرد غیرمجاز، پس از دسترسی به داراییهای یک سازمان به دنبال ویرایش یا حذف آنها نیست. بلکه سعی میکند اطلاعاتی را ایجاد کرده یا اطلاعاتی را درون رکوردهای اطلاعاتی اضافه کند. این حمله اصل اعتبارسنجی اطلاعات را هدف قرار میدهد. ارسال پیامهای جعلی در یک شبکه یا اضافه کردن رکوردهای اطلاعاتی به یک فایل از جمله نمونههای این بردار حمله هستند. حملهای که چند سال پیش با عنوان اخبار جعلی در فیسبوک شهرت پیدا کرد، نمونه دیگری از حملاتی است که درون این گروه قرار میگیرد.
حملاتی که با هدف آسیب رساندن به شبکه یا ایجاد اختلال در عملکرد سامانهها یا انتقال دادهها انجام میشود. در این مدل از حملات هکر تنها به دنبال استراق سمع نیست، بلکه هدفش نابودی یا از دسترس خارج کردن یک سرویس است. حملات فعال بهراحتی قابلتشخیص هستند، زیرا صدمهها و خسارتهای زیادی را متوجه یک سازمان میکنند. از شناختهشدهترین حملات فعال میتوان به حملات منع سرویس انکار شده/ محرومسازی از سرویس (DoS/DDoS)، سرریز بافر (Stackoverflow)، حملات SYN و جعل پروتکل اینترنت (IP) و... اشاره کرد.
یک حمله غیرفعال در نقطه مقابل حملات فعال قرار دارد. بهعبارتدیگر، در این مدل مهاجم بهطور مستقیم شبکه قربانی را مورد حمله قرار نمیدهد. در عوض، مهاجم بهطور غیرمستقیم به شبکه نفوذ میکند تا اطلاعاتی را جمعآوری کرده یا صبر میکند تا اتفاقی رخ دهد. برخی از حملات منفعل با هدف شنود مکالمات شخصی یا جاسوسی از افراد انجام میشوند. حملاتی که یک شبکه یا یک سامانه مستقل را نشانه میروند، همگی در شش گروه بالا طبقهبندی میشوند. پس از آشنایی دستهبندی کلی حملات، در ادامه بهطور اجمالی به حملات مختلف نگاهی خواهیم داشت.
حمله محرومسازی از سرویس DOS (سرنام Denial of Service) باعث ایجاد اختلال در استفاده از یک سرویس یا مدیریت ارتباطات میشود. این حمله ممکن است یک سازمان خاص را نشانه برود و مانع از آن شود تا پیامهای سازمان به مقاصد خاص ارسال شود یا ممکن است با هدف از دسترس خارج کردن کامل یک شبکه یا غیرفعالکردن شبکه، بارگذاری بیش از اندازه پیامها درون یک شبکه یا کاهش عملکرد یک شبکه انجام شود. حمله محرومسازی از سرویس اصل دسترسپذیری را هدف قرار میدهد.
یک حمله SYN گونهای از حمله منع سرویس توزیع شده است که از یک ضعف اساسی در پروتکل TCP/IP استفاده میکند. یک نشست عادی در پروتکل TCP (سرنام Transmission Control Protocol) شامل دو میزبان ارتباطی است که بستهها و فیلدهای SYN/acknowledgement موسوم به ACK را مبادله میکنند. در شرایط عادی میزبان اول یک بسته SYN را ارسال کرده و میزبان دوم با یک بسته SYN/ACK پاسخ میزبان را داده و صبر میکند تا پاسخ ACK از میزبان اول را دریافت کند. در یک حمله SYN یا حمله سیلآسای SYN مهاجم بهسادگی فقط یک بسته SYN را ارسال میکند و بدون آنکه صبر کند تا قربانی پاسخی ارسال کند، نشست را ترک میکند. حمله زمانی رخ میدهد که مهاجم هزاران هزار بسته SYN را برای قربانی یا قربانیان ارسال میکند و آنها را مجبور میکند منتظر پاسخهایی بمانند که هیچگاه ارسال نخواهد شد. در حالیکه میزبان منتظر پاسخهای متعددی است در عمل قادر نیست به درخواستهای معتبر پاسخ داده و آنها را قبول کند، بنابراین از دسترس خارج میشود. برخی از دیوارهای آتش میتوانند از طریق بازنشانی اتصالات در حال انتظار پس از گذشت مدتزمانی از شبکهها در برابر حملات SYN محافظت کنند.
باگهای سرریز بافر یکی از شایعترین مشکلات برنامههای کاربردی هستند. مشکلی که علت بروز آن برنامهنویسان و افرادی است که وظیفه بازرسی کدها را عهدهدار هستند (در موارد خیلی محدودی مشکلات سیستمی باعث بروز مشکل میشوند). حمله سرریز بافر، یکی از رایجترین راههای دسترسی مهاجمان به یک سامانه است. همانگونه که از نامش پیدا است، در این حمله اطلاعات زیادی درون بافر نوشته میشود. بافر یک حافظه موقت است که توسط یک برنامه برای ذخیرهسازی دادهها یا دستورالعملها استفاده میشود. برای پیادهسازی یک حمله سرریز بافر، مهاجم بهسادگی اطلاعات زیادی را درون این بخش از حافظه نوشته و در عمل به رونویسی اطلاعاتی میپردازد که درون این بخش از حافظه قرار دارد. این دادههای اضافی میتواند کاراکترهای بلااستفادهای باشد که باعث خرابی یک برنامه میشود. این دادهها مجموعه دستورالعملهای جدیدی هستند که کامپیوتر قربانی آنها را اجرا خواهد کرد. در حالت کلی یک مهاجم میتواند با یک حمله سرریز بافر به یک سیستم دسترسی پیدا کرده و بهراحتی به یک شبکه نفوذ کند. نوع دیگری از حملات مرتبط به این حمله زمانی است که برنامه کاربردی در انتظار دریافت یک ورودی مشخص است، اما کاربر ورودی که برنامه انتظار آن را ندارد، در اختیارش قرار میدهد. بیشتر برنامهها برای چنین حالتی تدابیر خاص در نظر گرفتهاند، باوجوداین، رخنه فوق ممکن است در برخی از برنامهها مستتر باشد.
پروتکل TCP/IP به لحاظ مباحث امنیتی کاستیهایی دارد و رخنههای اساسی مهمی درون آن قرار دارد که به دلیل ماهیت این پروتکل برطرف کردن برخی از رخنهها بهسادگی امکانپذیر نیست. رخنههای امنیتی در این پروتکل از یکسو و فقدان یک الگوی امنیتی کاملا دقیق و کارآمد در IPv4 از سویی دیگر باعث به وجود آمدن حمله دیگری موسوم به حمله مرد میانی MITM (سرنام Man – In – The – Middle) میشود. برای درک درست اینکه چگونه یک حمله MITM رخ میدهد، ابتدا باید نحوه عملکرد TCP/IP را بررسی کنیم.
TCP/IP با هدف ارائه یک مکانیزم دقیق امنیتی طراحی نشد، بلکه هدف این بود که پروتکلی طراحی شود که لینکهای درون یک شبکه بتوانند با سرعت بالایی با یکدیگر در ارتباط باشند. یک اتصال TCP/IP بر مبنای رویکرد دستدهی سه مرحلهای کار میکند. به عنوان مثال، میزبان A میخواهد دادهها را به میزبان دیگری (Host B) ارسال کند. برای این منظور یک بسته SYN ابتدایی را که شامل اطلاعات لازم برای شروع ارتباطات است، ارسال میکند. میزبان B با SYN/ACK پاسخ میدهد. SYN ارسالی از سوی میزبان B به میزبان A باعث میشود تا میزبان A یک بسته دیگر ACK را ارسال کند تا ارتباط آغاز شود. حال اگر یک هکر بتواند خود را میان میزبان A و میزبان B قرار دهد، بستههایی که میان دو گروه مبادله میشود، توسط هکر شنود میشود. در ادامه هکر میتواند اطلاعات را تحلیل کرده و در ادامه تغییری در بستههای ارسالی برای دو طرف اعمال کند.
ربایش TCP/IP یا ربایش نشست، مشکلی است که بیشتر برنامههای مبتنی بر TCP/IP با آن روبهرو هستند. بهمنظور ربایش یک ارتباط TCP/IP، یک هکر ابتدا باید ارتباط کاربر را قطع کرده و خود را وارد یک نشست TCP/IP کند. این حمله تا حد بسیار زیادی شبیه حمله مرد میانی است. در این مدل حملات از ابزاری موسوم به Hunt برای نظارت و ربایش نشستها استفاده میشود. این حمله بهویژه روی پروتکلهای FTP و Telnet بهخوبی پیادهسازی میشود.
در یک حمله بازپخشی (Replay Attacks)، یک هکر بخشی از ترافیک حساس شبکه را ضبط کرده و آن را به شکل بازپخشی برای میزبان ارسال کرده و سعی میکند اینکار را تکرار کند. بهعنوان مثال، یک فرآیند انتقال پول الکترونیکی را در نظر بگیرید. کاربر A مبلغی را به بانک B انتقال میدهد. کاربر C که یک هکر است، ترافیک شبکه کاربر A را ضبط کرده و تراکنش را به شکل بازپخشی ارسال کرده و این فرآیند را برای چند مرتبه تکرار میکند. بدیهی است در این حمله به کاربر C منفعتی نمیرسد، اما باعث میشود کاربر A پول قابلتوجهی از دست بدهد. پیادهسازی این حملات کار دشواری است، زیرا به عوامل متعددی نظیر پیشبینی توالی اعداد در پروتکل TCP بستگی دارد.
نمونه کلاسیک حمله جعل، جعل آیپی است. پروتکل TCP / IP نیاز دارد که هر میزبان آدرس اصلی خود را درون بستهها قرار دهد، اما تقریبا هیچگونه راهکاری برای اطمینان از این موضوع در اختیار ندارد. در نتیجه این امکان وجود دارد که یک آدرس نادرست و جعلی بهجای یک آدرس واقعی استفاده شود. پیادهسازی یک حمله جعلی کار واقعا سادهای است که باعث به وجود آمدن رخنههایی در پروتکل TCP/IP میشود.
هرزنامهها یکی از مشکلات بزرگ اینترنت هستند. جعل ایمیل (e-mail spoofing) یکی از رایجترین تکنیکهایی است که ارسالکنندگان هرزنامهها از آن استفاده میکنند. در این حمله فرستنده فیلد FROM ایمیل را بهگونهای تغییر میدهد که به نظر میرسد پیام از طرف یک منبع یا دامنه قابل اطمینان ارسالشده است.
جعل وبسایت زمانی رخ میدهد که یک مهاجم وبسایتی طراحی میکند که شباهت بسیار زیادی به نمونه واقعی آن دارد. این حمله عمدتا در ارتباط با سایتهای فعال در زمینه تجارت الکترونیک، سایتهای متعلق به بانکها و صرافیها استفاده میشود.
فیشینگ ترکیبی از حملات جعل ایمیل و وبسایت بوده و یکی از خطرناکترین حملاتی است که تقریبا هر سازمانی را ممکن است قربانی خود کند. یک حمله فیشینگ با ارسال حجم بالایی از ایمیلهای جعلی برای کارمندان یک سازمان کار خود را آغاز میکند. هکرها در ادامه ادعا میکنند کارمندان بخش منابع انسانی هستند و شکایاتی از طرف مشتریان سازمان مبنی بر تخلف کارمندان دریافت کردهاند و یک اخطار رسمی برای کارمندان ارسال میکنند که باید برای پاسخگویی به این شکایات به آدرسی که در ایمیل ضمیمه شده است، مراجعه کرده، اطلاعات حساب کاربری خود را درون آن وارد کرده و به شکایات پاسخ دهند. هنگامیکه یک کارمند اطلاعات خود را درون سایت جعلی وارد میکند، هکرها مجوز لازم را برای ورود به شبکه سازمان به دست میآورند؛ این در حالی است که کارمند هیچگاه متوجه نخواهد شد در چه دامی گرفتار شده است. بهترین روش برای محافظت در برابر فیشینگ این است که پیش از کلیک روی لینکهایی که درون یک ایمیل قرار دارند، ابتدا از اصالت و درستی آنها مطمئن شوید.
شیرجه زدن در زبالهها (Dumpster Diving) فرآیندی است که یک هکر سعی میکند درون زبالههای یک سازمان کنکاشی انجام دهد تا اطلاعات ارزشمندی را به دست آورد. این حمله مجازی نیست و بهطور مستقیم با سطل زباله واقعی سازمانها در ارتباط است. این کار بهمنظور پیدا کردن اطلاعات مشتریان، محصولات، یادداشتهای داخلی و حتی اطلاعات مربوط به گذرواژههایی که بدون امحاء کامل درون سطلهای زباله ریخته شدهاند، انجام میشود. در یک نمونه معروف و واقعی، یک شرکت طراحی لباس فراموش کرد اطلاعات مربوط به طراحی لباسهای آینده خود را بهدرستی امحاء کند. مدتزمان زیادی طول نکشید که اطلاعات فوق به دست شرکت رقیب رسید و همان طراحیها از سوی شرکت رقیب به نمونه واقعی تبدیل شدند. به همین دلیل مهم است که سازمانها از یک روش مطمئن برای حذف کامل کپیها و اطلاعات محرمانه استفاده کنند. وجود یک دستگاه امحاءکننده ارزانقیمت کاغذها ممکن است جلوی یک ضرر و زیان هنگفت را بگیرد. حمله شیرجه در زبالهها با حمله بعدی مهندسی اجتماعی کاملا مرتبط و در واقع مکمل آن است.
حملات مهندسی اجتماعی در زمان تدوین برنامههای راهبردی امنیت نادیده گرفته میشوند، درحالیکه جزو خطرناکترین و آسانترین روشها برای نفوذ به یک شبکه هستند. مهندسی اجتماعی چیزی فراتر از یک دروغگویی خلاقانه نیست. در این حمله هکر ابتدا به سراغ سطلهای زباله یک سازمان میرود تا در ارتباط با اسناد مهم، شماره تلفنها، فهرست اسامی کارکنان اجرایی و … اطلاعاتی به دست آورد. بهعنوان مثال، دانستن نام افراد مهمی که سمتی در یک سازمان دارند، مهاجم را فردی قابل اعتماد نشان داده و حتی اجازه میدهد او خود را به جای فرد دیگری معرفی کرده و در ادامه از کارمندان درخواست کند، اطلاعات طبقهبندی شده یا اطلاعات هویتی را از طریق تلفن برای او بازگو کنند. حمله فوق غالبا همراه با حمله جعل هویت (Masquerade) است. متاسفانه شما نمیتوانید نقش یک دیوارآتش را برای کارکنان بازی کنید، اما میتوانید در مورد خطمشیهای امنیتی و افشای اطلاعات، بهویژه از طریق تلفن یا ایمیل، کارمندان را آگاه کنید. معمولا ضعیفترین و آسیبپذیرترین عنصر یک شبکه عامل انسانی است.
حمله منع سرویس توزیعشده، حملهای در مقیاس بالا است که با هدف از دسترس خارج کردن یک سرویس روی بستر اینترنت به مرحله اجرا درمیآید. حملهای که سعی میکند اصل دسترسپذیری را نقض کند. یک حمله DDoS بهطور غیرمستقیم حملات DoS را روی طیف گستردهای از سامانههای رایانهای اجرا میکند. سامانههایی که از آنها به نام قربانیان ثانویه یاد شده و سرویسها و منابع اینترنتی که تحتتاثیر مستقیم این حمله قرار دارند، قربانیان اصلی نامیده میشوند. یک حمله DDoS در دو مرحله اجرا میشود: اول، مهاجم شبکهای متشکل از هزاران رایانه به دام افتاده را که زامبیها یا باتها نام دارند، ایجاد کرده؛ دوم یک حمله سیلآسا به میزبان هدف را ترتیب داده و حجم بسیار بالایی از درخواستها و ترافیک را به سمت قربانی هدایت میکند تا اینکه سرویسهای قربانی بهطور کامل از دسترس خارج شوند. حملات DDoS اغلب ترکیبی از چهار حمله Trinoo، TFN، TFN2K و techeldraht هستند. برای اطلاعات بیشتر در خصوص این حمله به مقاله راهکارهایی برای شناسایی و دفع حمله منع سرویس توزیع شده (DDoS) در ماهنامه شبکه شماره 204 آمراجعه کنید.
در این مقاله سعی کردیم شما را با رایجترین نوع حملات فعال که بهطور مستقیم شبکه یک سازمان را تهدید میکنند، آشنا کنیم. ما برای اجتناب از طولانی شدن بحث به سراغ حملات منفعل، حملات مبتنی بر کدهای مخرب (ویروسها، کرومها، اسبهای تروجان، روتکیتها، دربهای پشتی، بمبهایمنطقی، جاسوس و بدافزارها)، حملات گذرواژهها و جستوجوی فراگیر، تحلیل ترافیک شبکه و حملات دیکشنری نرفتیم.
منبع: شبکه