امنیت
با بخش دوم انواع حملات DDOS در خدمت شما هستیم. مشاهده بخش اول
۶- حمله PUSH and ACK
این حمله مشابه حمله SYN flood است. push flag از سرور گیرنده تقاضا میکند که داده های موجود در این بسته را بافر نکند و در سریع ترین زمان آن ها را جهت پردازش به برنامه کاربردی( سرویس) مرتبط تحویل دهد ( مانند برنامه telnet)
بنابراین سرور مجبور به پردازش اطلاعات بسته ارسالی میشود. زمانی که بسته های TCP حاوی Push و Ack بیش از ظرفیت بافر ماشین(سرور) هدف باشد، سیستم قربانی دچار crash میشود.
از جایی که Push وAck پیام بخشی از ترافیک استاندارد می باشد، سیل عظیم چنین درخواست هایی نشان گر وجود حمله است.
روش جلوگیری:
استفاده از معماری Full-proxy برای مدیریت هر مکالمه بین کلاینت و سرور
استفاده از LTM (Local Traffic Manager) یا مدیریت IP پیشرفته (AFM) جهت استفاده در معماری Full-proxy، جهت شناسایی ترافیک Valid و Drop کردن ترافیک PUSH and ACK
۷- حمله Land
در این حمله قدیمی یک بسته TCP SYN جعلی شامل IP و port های باز سرور مقصد ( به شکلی که یک Loop ایجاد شود)، این گونه به نظر می رسد یک درخواست از سرور(به کمک بسته جعل شده) به همان سرور ارسال شده است، این موضوع باعث میشود ماشین(سرور) مداوم به خود پاسخ دهد و دچار کمبود منابع شود.
۸- حمله DNS amplification
حمله به سرویس DNS با کمک آدرس IP جعلی (آدرس IP ماشین قربانی) تعداد زیادی درخواست به سرور ارسال میکند، از طرفی چنین آدرس هایی روی سرور قرار ندارد، بدین صورت تعداد زیادی درخواست DNS به سیستم قربانی ارسال میشود که باعث مصرف ترافیک و بروز اختلال در سیستم قربانی خواهد شد. بنابراین ماشین میزبان در پاسخ گویی به سیل درخواست ها با مشکل مواجه میشود.
روش جلوگیری:
استفاده از DNSSEC
استفاده از تکنیک های anti-spoofing
استفاده از load balancers و یا استفاده از multi DNS و انتقال ترافیک حمله به سرورهای دیگر با استفاده از IP anycast address
۹- حمله Layer 7
حمله به برنامه های کاربردی در لایه هفتم که در آن توابع خاص از یک برنامه تحت وب مورد هدف قرارمیگیرد. ایجاد ترافیک به وب سایت که همانند ترافیک معمولی می باشد و تشخیص آن نیز مشکل خواهد بود. به عنوان مثال حمله میتواند بروی لوگو و یا یک دکمه وب سایت از طریق دانلود مکرر با درخواست های بسیار زیاد انجام شود که منابع سرور را بشدت درگیر کند. ویا ارسال نظر به یک مطلب یا پست خاص بصورت آبشاری و پی در پی در جهت از کار انداختن سرویس دهی.
روش جلوگیری:
بلاک کردن spoofed TCP قبل از وارد شدن به شبکه شما
بستن پورت هایی که استفاده نمیشوند.
محدود کردن تعداد دسترسی ها برای هر source IP
محدود کردن تعداد کانکشن های همزمان برای هر source IP
فیلتر کردن بسته های TCP ناشناخته دارای هدرهای نامعمول
بررسی ترافیک های مشابه
۱۰- حمله Multi-Vector
این یک حمله خاص نیست، بلکه استفاده از چندین نوع حمله بصورت همزمان و توام می باشد.
جلوگیری و کنترل این نوع حملات به هماهنگی و توانایی های بالاتری در شبکه و سیستم نیاز دارد.
با توجه به تفاوت عملکرد و مکانیزم حملات، هدف تمام حملات مصرف منابع در شبکه و از کار انداختن سرویس دهی در سرویس دهنده هدف حمله می باشد. این نوع حملات به صورت گسترده به دو نوع تقسیم میشوند:
-
حمله با هدف کاهش پهنای باند bandwidth depletion
-
حمله با هدف از کار انداختن منابع سرویس resource depletion
در ادامه انواع مختلف حملات DDOS آشنا می شویم:
۱- حمله سیل آسا بصورت مستقیم (UDP flood and ping flood)
این نوع حمله لایه ۳ و ۴ مدل OSI تمرکز می کند، هدف اصلی حمله سیل آسا به سرور با ارسال ترافیک غیرواقعی و مخرب جهت از کار اندختن منابع سرویس دهنده است. برای مثال اگر شبکه شما قدرت تحمل ۲۰G ترافیک ورودی را داشته باشید، مهاجم با ارسال ۲۱G ترافیک سرویس دهی شبکه شما را مختل میکند.
حملات سیل می تواند بسته های UDP و ICMP به سمت ماشین هدف بصورت مستقیم ارسال کند.
روش جلوگیری:
استفاده از پهنای باند بیشتر
استفاده از load balancer
استفاده از روش های امن سازی شبکه در برابر IP spoofing ( مانند تنظیمات خاص در سوئیچ و روتر)
همکاری با سرویس دهندهای حفاظت در مقابل حملات DOS -DDoS protection service provider
(مانند CloudFlare ) این سرویس دهنده ها سرویس هایی با نام های DDoS Protection یا
DDoS Protection ارائه میدهند.
۲- حمله Reflection
ایده ای که پشت این حمله وجود دارد جعل(spoof) آدرس IP در بسته منبع ارسالی است. بسته ها طوری تغییر میکنند که به نظر میرسد از مقصد خاصی دریافت شده و سرویس دهنده پاسخ بست های دریافتی را به منبع ذکر شده باز میگرداند، با تغییر وسیع IP ها و ارسال آن، دریافت کننده ها پاسخ ها را به سرویس قربانی باز میگردانند، این در حالی است که سرویس دهنده قربانی شده اصلا درخواستی ارسال نکرده است اما با سیلی از پاسخ ها مواجه میشود.
روش جلوگیری:
استفاده از تکنیک های anti spoofing برای شناسایی و عدم پذیرش آدرس IP هایی با source جعلی (spoofed source IP address)
۳- حمله Smurf and Fraggle
در دو حمله از حفره های موجود در broadcast address روتر استفاده میکند.
در حمله smurf تعداد زیادی از ترافیک ICMP جعلی به آدرس broadcast روتر مورد نظر ارسال می شود، در حالی که یک حمله Fraggle ترافیک UDP ساختگی به آدرس broadcast یک روتر ارسال می کند.
روش جلوگیری:
باید روتر خود را طوری کانفیگ نمایید که از Exploit بروی broadcast جلوگیری شود.
۴- حمله سیل آسا (TCP) SYN
این حمله از متد three-way handshake در TCP استفاده میکند. حمله کننده درخواست ارتباط با سرور را با ارسال SYN به سرور ارسال میکند و سرور در پاسخ SYN-ACK را ارسال میکند و منتظر ارسال ACK از سمت کاربر است اما کاربر ACK را ارسال نمیکند و سرور در حالت wait باقی میماند، ارسال تعداد زیاد درخواست ها بدون پاسخ باعث میشود سرور از دسترس خارج شود.
روش دیگر این نوع حمله استفاده از spoofed IP یا IPی جعلی می باشد، یک درخواست با IP جعلی به سرور میرسد و سرور پاسخ را با IP جعل شده ارسال می کند که آن IP درخواست SYN را به سرور ارسال نکرده است، بنابراین client دریافت کننده SYN-ACK هرگز ارتباط را آغاز نمی کند.
روش های زیادی برای پیاده سازی این حمله وجود دارد:
filtering
increasing backlog
reducing SYN-RECEIVED Timer
recycling half-opened TCP connection
SYN caching
SYN cookies
۵ -حمله HTTP Flood (web Spidering
این نوع حمله از طریق crawl کردن وب سایت با استفاده از web spider برای مشغول کردن منابع سرور می باشد.
روش جلوگیری:
اطمینان حاصل کردن از اینکه تنها ربات های شناخته شده امکان دسترسی به وب سایت را دارند.
فایل config PHP با نام php.ini می باشد و برای یافتن فایل config PHP در هر سرویس کافی است از دستور زیر استفاده نماییم:
php --ini
متاسفانه بسیاری از کاربران PHP و مدیران نا آشنا با گزینه های مختلف که در فایل php.ini و فایل پیکربندی آن توجه نمیکنند. با استفاده از چند گزینه مربوط به امنیت در فایل پیکربندی شما می تواند تا حد زیادی وضعیت امنیتی از برنامه های کاربردی وب در حال اجرا بر روی سرور خود را تقویت نمایید.
Safe Mode
این ویژگی برای حل مشکل امنیت اشتراک در سرور اضافه شده است و از نسخه PHP6 به بعد حذف گردیده است. اگر تابعی در یک فایل در یک سرور سایر فایل ها با مالکیت مشابه را تحت تاثیر قرار می دهد کنترل می نماید. برای فعال کردن آن:
safe_mode =on |
در برخی موارد شما می خواهید مالکیت استفاده از یک گروه بررسی شود:
safe_mode_gid = On |
با قسمت شانزدهم از هک قانونمند در خدمت شما عزیزان هستیم
همان طور که گفته شد این دوره جهت آشنایی شما عزیزان با مباحث هک و امنیت و هنر تست نفوذ پذیری می باشد
CEH مخفف CERTIFIED ETHICAL HACKER می باشد که به معنی هک قانونمند است
این دوره جهت آشنایی با متد های هک و نحوه جلوگیری از آنها می باشد
ما در این دوره با باگ های اندروید و هک اندروید و IOS آشنا خواهیم شد
همچنین در این قسمت به بحث در مورد امنیت در دستگاه های اندویدی نیز پرداخته می شود
تغییر نام کاربری admin :
به طور پیش فرض user جوملا admin می باشد. این موضوع کار را برای مهاجمین آسانتر می نماید. برای تغییر آن وارد administrative شوید و روی User Manager کلیک نمایید.
PenTest
تست نفوذ یا pentest یک روش تست، اندازه گیری و بهبود اقدامات امنیتی در ایجاد سیستم های اطلاعاتی و زمینه های پشتیبانی به معنی ارزیابی امنیت کلی سیستم قبل از اتفاق افتادن attack است.
Pen-Test توسط شبیه سازی حملات مخرب از طریق کاربران داخلی و خارجی یک سازمان اجرا می شود.
تست نفوذ برای پاسخ به این سوال طراحی شده است: تاثیر واقعی کنترل های امنیتی موجود بر سیستم، در برابر حملات طراحی شده و ماهرانه چه میزان میباشد؟
از طریق یک سناریو ساده می توانیم امنیت سیستم را از طریق اصول موجود با اعمال تنظیمات صحیح بررسی و کنترل نماییم. اما در دنیای واقعی هر سیستم حتی ۱۰۰% سازگار، ممکن است در برابر تهدید انسانی آسیب پذیر باشد.
Pen-Test یک فرایند ارزشمند برای رسیدن به اهداف زیر می باشد:
– کمترین ضریب اطمینان امنیت سیستم در برابر نقص های امنیتی بالقوه
– نظارت بر عملکرد سیستم یا سازمان
– تعیین امکان سنجی یک مجموعه خاص از زوایای حمله ( (attack vectors
– شناسایی آسیب پذیری های بزرگ که ممکن است از آسیب های کوچک کنونی سیستم قابل بروز در آینده باشند.
– شناسایی آسیب پذیری که ممکن است در Pen-test نمایش و اسکن نشود. (یا در محیط آزمایش قابل پیاده سازی نیست)
– بررسی تاثیر میزان بزرگی و عملیاتی شدن اثرات حملات موفق بر کار
– تست توانایی دفاع شبکه در موفقیت شناسایی و پاسخ به حملات
همانطور که آشکار است، دلایل بسیاری برای انجام تست نفوذ وجود دارد. تعریف دامنه کاری و ماهیت یک تست نفوذ تا حد زیادی به آنچه که از فاکتورهای های یک سازمان، که به اهداف ممکن و قابل اتفاق برای رخداد مشکل را تعیین خواهد کرد وابسته می باشد.
UTM Devices: A Better Way to Integrate Security
گاهی برخی مسائل به علت اهمیت سایر موضوعات نادیده گرفته می شوند. با ظهور UTM راه حل تازه و متفاوتی در را حوزه امنیت در زمینه های فایروال، تشخیص نفوذ، آنتی ویروس، اتصال به VPN آشکار شد. UTM ها سخت افزاری دارای ماژول دیواره آتش می باشد اما سایر فعالیت ها بر روی مبحث فایروالینگ، مدیریت پهنای باند، آنتی ویروس، انتی اسپم، فیلترینگ، مدیریت لینک ها و…. را نیز مدیریت می نمایند. از یک روش ساده امنیتی استفاده شده که بطور قابل ملاحظه ای توانایی مقابله با خطرات کلیدی و مهم را دارد، همچنین قابلیت مدیریت کردن، گزارش گیری و بروز رسانی را دارا می باشد. UTM در سال ۲۰۰۴ پدید آمد و ابتدا به علت نداشتن استاندارد کلی با مشکلاتی مواجه بود. با نوآوری های ایجاد شده در UTM ها برای حل مشکلات امنیتی لازم به مدیریت پیچیده نیست و با یکپارچه سازی و متمرکز شدن اهداف مدیریت شبکه آسان تر شده است. انعطاف پذیری و حفظ حریم خصوصی داده ها و الگوریتم قوی باعث محبوبیت بیشتر این فناوری شده است.
Why are Subnets required
اولین چیزی که مدیران شبکه نیازدارند، مفهوم آدرس IP و ایجاد IP زیرشبکه (فرم کوتاه را برای subnet) است. اما چرا subnet مورد نیاز است؟ به خصوص، هنگامی که VLAN می تواند تقریبا همین کار را بکند؟
هنگامی که یک شبکه با استفاده از subnet جداسازی شده است، سیستم ها در subnet های مختلف به یکدیگر دسترسی ندارند. این موضوع سطح امنیتی شبکه را افزایش میدهد.
مانند Vlan ، در subnet درخواست های broadcast محدود به همه سیستم تنها در زیر شبکه خود می شود و در کل شبکه پخش نمی شود.این موضوع موجب صرفه جویی در پهنای باند، و همچنین منابع پردازش مورد نیاز برای ارسال و تحلیل سیستم ها و جلوگیری از درخواست های بیهوده ARP می شود.
بنابراین ایجاد ترافیک سنگین و یا خظر ویروس ها تنها در subnet ها اتفاق می افتد و به کل شبکه منتقل نمی شود، این موضوع در نقاط حساس مانند سرورها بسیار پر اهممیت تر می شود.
همچنین با استفاده از subnet می توانیم در استفاده از آدرس های IP نیز صرفه جویی نماییم. مدیریت subnet ها بسیار ساده تر از مدیریت کل network می باشد و امکان تعیین سیاست های مختلف برای هر subnet وجود خواهد داشت و همینطور عیب یابی نیز آسان تر خواهد شد.
Subnet یا Vlan ؟
هرچند Vlan و subneting شباهت های زیادی بهم دارند (مانند محدود کردن حوزه پخش، امنیت از طریق جداسازی مختلف زیر شبکه، و غیره)اما برخی تفاوت های مهم بصورت زیر است:
- Vlan مفهوم لایه ۲ می باشد و subnet در لایه ۳ فعالیت می کند. (MAC address vs IP address)
- Vlan امکان ایجاد شبکه های منطقی و فیزیکی را دارد اما subnet تنها شبکه های مختلف منتطقی را پیاده سازی میکند.
- اگر یک sniffer در شبکه قرار گیرد امکان جستجو از یک subnet در subnet دیگر وجو دارد اما این موضوع برای کاربران در Vlan های مختلف امکان پذیر نیست.
- در subnet ها امکان دسترسی به physical network برای تمام subnet ها مشابه هم می باشد و برای تمام subnet ها به اشتراک گذاشته می شود.
- پیاده سازی و مدیریت Vlan ها آسان تر از Subnet می باشد.
- در یک شرکت Vlan به مراتب امن تر از Subnet می باشد اما راه های نفوذ به Vlan نیز وجود دارد.
بهترین عملکرد داشتن Vlan های متفاوت در یک شبکه است که هر Vlan دارای subnet متفاوت می باشد.