آموزش دایرکت ادمین، سی پنل، وب سایت پنل

خانه / آسیب پذیری (صفحه ی 2)

آسیب پذیری

۱۰ نوع حمله پراهمیت از نوع DDOS — بخش اول

با توجه به تفاوت عملکرد و مکانیزم حملات، هدف تمام حملات مصرف منابع در شبکه و از کار انداختن سرویس دهی در سرویس دهنده هدف حمله می باشد. این نوع حملات به صورت گسترده به دو نوع تقسیم میشوند:

  1. حمله با هدف کاهش پهنای باند bandwidth depletion

  2. حمله با هدف از کار انداختن منابع سرویس resource depletion

در ادامه انواع مختلف حملات DDOS آشنا می شویم:

 

۱- حمله سیل آسا بصورت مستقیم (UDP flood and ping flood)

این نوع حمله لایه ۳ و ۴ مدل OSI تمرکز می کند، هدف اصلی حمله سیل آسا به سرور با ارسال ترافیک غیرواقعی و مخرب جهت از کار اندختن منابع سرویس دهنده است. برای مثال اگر شبکه شما قدرت تحمل ۲۰G ترافیک ورودی را داشته باشید، مهاجم با ارسال ۲۱G ترافیک سرویس دهی شبکه شما را مختل میکند.

حملات سیل می تواند بسته های UDP و ICMP به سمت ماشین هدف بصورت مستقیم ارسال کند.

روش جلوگیری:

استفاده از پهنای باند بیشتر

استفاده از load balancer

استفاده از روش های امن سازی شبکه در برابر IP spoofing ( مانند تنظیمات خاص در سوئیچ و روتر)

همکاری با سرویس دهندهای حفاظت در مقابل حملات  DOS -DDoS protection service provider

(مانند CloudFlare ) این سرویس دهنده ها سرویس هایی با نام های DDoS Protection یا

DDoS Protection ارائه میدهند.

۲- حمله Reflection

ایده ای که پشت این حمله وجود دارد جعل(spoof) آدرس IP در بسته منبع ارسالی است. بسته ها طوری تغییر میکنند که به نظر میرسد از مقصد خاصی دریافت شده و  سرویس دهنده پاسخ بست های دریافتی را به منبع ذکر شده باز میگرداند، با تغییر وسیع IP ها و ارسال آن، دریافت کننده ها پاسخ ها را به سرویس قربانی باز میگردانند، این در حالی است که سرویس دهنده قربانی شده اصلا درخواستی ارسال نکرده است اما با سیلی از پاسخ ها مواجه میشود.

روش جلوگیری:

استفاده از تکنیک های  anti spoofing برای شناسایی و  عدم پذیرش آدرس IP هایی با source جعلی (spoofed source IP address)

۳- حمله Smurf and Fraggle

در دو حمله از حفره های موجود در broadcast address روتر استفاده میکند.

در حمله smurf تعداد زیادی از ترافیک ICMP جعلی به آدرس broadcast روتر مورد نظر ارسال می شود، در حالی که یک حمله Fraggle ترافیک UDP ساختگی به   آدرس broadcast یک روتر ارسال می کند.

روش جلوگیری:

باید روتر خود را طوری کانفیگ نمایید که از Exploit بروی broadcast جلوگیری شود.

۴- حمله سیل آسا (TCP) SYN

این حمله از متد three-way handshake در TCP استفاده میکند.  حمله کننده درخواست ارتباط با سرور را با ارسال SYN به سرور ارسال میکند و سرور در پاسخ SYN-ACK را ارسال میکند و منتظر ارسال ACK از سمت کاربر است اما کاربر ACK را ارسال نمیکند و سرور در حالت wait باقی میماند، ارسال تعداد زیاد درخواست ها بدون پاسخ باعث میشود سرور از دسترس خارج شود.

روش دیگر این نوع حمله استفاده از spoofed IP یا IPی جعلی می باشد، یک درخواست با IP جعلی به سرور میرسد و سرور پاسخ را با IP جعل شده ارسال می کند که آن IP درخواست SYN را به سرور ارسال نکرده است، بنابراین client دریافت کننده SYN-ACK هرگز ارتباط را آغاز نمی کند.

روش های زیادی برای پیاده سازی این حمله وجود دارد:

filtering

increasing backlog

reducing SYN-RECEIVED Timer

recycling half-opened TCP connection

SYN caching

SYN cookies

۵ -حمله HTTP Flood (web Spidering

این نوع حمله از طریق crawl کردن وب سایت با استفاده از web spider برای مشغول کردن منابع سرور می باشد.

روش جلوگیری:

اطمینان حاصل کردن از اینکه تنها ربات های شناخته شده امکان دسترسی به وب سایت را دارند.

>قسمت دوم مقاله را مطالعه نمایید.<

آسیب پذیری Freak

Attack of the week: FREAK

داستان یک backdoor در encryption

Washington post  در مقاله ای یک اشکال ناامید کننده برخی از سرورهای TLS/SSL و کاربران که امکان کاهش امنیت در اتصالات TLS را فراهم میکند گزارش داده است. یک گروه از متخخصین رمزنگاری در INRIA، تحقیقات مایکروسافت و IMDEA آسیب پذیری ها جدی را در OpenSSL (به عنوان مثال، آندروید) و Apple TLS/SSL را که به یک مهاجم man in the middle اجازه میدهد تا امنیت اطلاعات از از حالت رمز نگاری قوی RSA به حالت export-grade تغییر دهند را کشف نموده اند.

Freak در واقع یک نوع حمله متقاطع روی کلید RSA است که میتوانید رمزنگاری بسیاری از سایت ها را بشکند. در واقع بسیاری از سایت ها از SSL استفاده میکنند که شامل الگوریتم های رمزنگاری قوی و الگوریتم های رمزنگاری ضعیف هستند. انتظار می رود تمام connection ها از نوع اتصال قوی ایجاد شود اما در بسیاری از موارد مهاجم می تواند وب سایت را مجبور به استفاده از الگوریتم های رمزنگاری، ضعیف تر و سپس رمزگشایی ترافیک ارسالی نماید.

در حقیقت به نوع حملات security rollback گفته می شود که مهاجم سعی میکند سیستم را مجبور به استفاده از گزینه های قدیمی و ناامن کند.

اطلاعات بیشتری در لینک های زیر قابل مطالعه است:

http://blog.cryptographyengineering.com/2015/03/attack-of-week-freak-or-factoring-nsa.html

https://www.smacktls.com/

http://www.networkworld.com/article/2894746/microsoft-subnet/march-2015-patch-tuesday-5-of-14-rated-critical-and-microsoft-issues-a-fix-for-freak.html

آسیب پذیری جدی در پلاگین Seo vBulletin

Serious Vulnerability Found in vBulletin SEO Plugin

تیم vbulletin به تمام مشتریان خود را در مورد یک آسیب پذیری امنیتی بالقوه در پلاگین VBseo هشدار داده است. آسیب پذیری (CVE2014-9463) بنا به گزارش  Internet Brands کشف شده است.  از جایی که VBSEO دیگر گسترش پیدا نمیکند بعید است نسخه جدیدی از آن ارائه شود.

برای رفع این مشکل سه راه حل وجود دارد:

– حذف کامل افزونه VBSEO از سایت

اعمال پچ توصیه شده توسط تیم اصلی Vbulletin

– استفاده از فایروال در جهت جلوگیری و بهره برداری از این آسیب پذیری و بسیاری مشکلات امنیتی دیگر.

به نظر با استفاده از دسترسی از راه دور یک اسکریپت HTML غیر تصدیق شده unauthenticated به محتوای سایت inject میشود. ممکن است این تغییر از طریق کنترل کامل خط فرمان انجام شود.البته این موضوع بطور کامل تایید نشده است.

قسمتی از عملکرد این آسیب پذیری بصورت زیر است:

The vulnerability can be patched by removing a couple of lines of code from the vbseo/includes/functions_vbseo_hook.php file. However, vBulletin noted that users should apply these changes at their own risk.

لینک خبر در فروم vbulletin

امن سازی joomla

تغییر نام کاربری admin :

به طور پیش فرض user  جوملا admin  می باشد. این موضوع کار را برای مهاجمین آسانتر می نماید. برای تغییر آن وارد administrative شوید و روی User Manager کلیک نمایید.

ادامه ی مطلب