هجمات الحرمان من الخدمات
هجمات الحرمان من الخدمات (Denial of Service Attacks) هي وسيلة لمهاجمة مزودات إنترنت من خلال إغراقها برسائل تفوق كميتها قدرة المزود على معالجتها بشكل سريع مما يسبب بطء الخدمات التي يقدمها المزود وعدم إمكانية الوصول إلى هذا المزود أو استخدامه. وهي الأسلوب المفضل لدى الهاكرز والقراصنة والعابثين الإلكترونيين لمهاجمة المواقع، خصوصا وأنه يبدو، وباعتراف الكثير من خبراء الأمن على إنترنت، وكأنه لا يوجد علاج في الوقت الحالي لهذا الأسلوب في الهجوم على مواقع إنترنت، وعلى هذا الأساس فإن هذا النوع من الهجمات يُدعى في بعض الأوساط بإيدز الإنترنت.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ما هي هجمات الحرمان من الخدمات؟
هجمات الحرمان من الخدمات كأسلوب ليست حديثة، ولكن إنترنت جعلتها فتاكة. ومبدأ هذا الأسلوب بسيط ويتلخص في أن المهاجم يقوم بإغراق الأجهزة المزودة بسيل من الطلبات والأوامر التي تفوق قدرة الجهاز المزود على المعالجة. ومن الأمثلة الظريفة والبسيطة على هذا الأسلوب هو مواصلة الضغط على زر الإدخال ENTER على محطة طرفية لم تقم بعد بتسجيل الدخول إلى الشبكة Log In ولكنها مرتبطة بنوع معين من الأجهزة الإيوانية أو محطات العمل. والسبب في أن هذا الأسلوب يمكن أن يُصنف ضمن أساليب هجمات الحرمان من الخدمات هو أن زر الإدخال يقوم في معظم الأحيان ببدء روتين للتعرف على الأداة ضمن نظام التشغيل، وهو روتين ذا أولوية تنفيذ عالية عادة. وبمواصلة الضغط على هذا الزر يتولد طلب مرتفع على عملية المعالجة اللازمة للتعرف على الأداة (لوحة المفاتيح في هذه الحال)، مما يؤدي إلى استهلاك 100% من طاقة المعالج وجعله غير قادر على تلقي طلبات معالجة إضافية. ويؤدي ذلك إلى إحداث شلل في نظام التشغيل والذي لا يمتلك عادة الذكاء ليميز بين طلبات الدخول الشرعية، وطلبات الدخول المؤذية. وفي هذه الحالة لا توجد ميكانيكية يمكن بها الاستجابة لهذا الهجوم. ومن الأساليب الأخرى لهذا النوع من الهجوم هو استهداف الموارد الثابتة الأخرى في البنية التحتية، ومن الأمثلة على ذلك هجمات الإغراق SYN . فضمن جلسات إنترنت الاعتيادية تتم عملية أشبه بالمصافحة بين النظم، حيث يقوم أحد النظم بإصدار طلب للارتباط بنظام آخر باستخدام حزمة SYN (المزامنة). ويقوم النظام المضيف في هذه الحالة بإصدار حزمة SYN-ACK، والتي يستجيب فيها للطلب الوارد من عنوان IP معين، ويقوم بتسجيل هذا العنوان في جدول معين، وتحديد فترة معينة لقطع الاتصال إذا لم تحدث الاستجابة لهذه الحزمة، والتي يجب أن تكون على شكل حزمة ACK يصدرها النظام الأول. وفي هجمات الإغراق، يقوم المهاجم بإرسال أكبر كمية ممكنة من حزم SYN باستخدام عناوين IP مزيفة، ويقوم النظام المضيف بتسجيل ردود حزم SYN-ACK في الجدول، والتي تبقى هناك لأن المهاجم لا يقوم بإرسال حزم ACK المطلوبة، مما يؤدي إلى امتلاء الجدول بالطلبات وعدم قدرته على تلقي أية طلبات اتصال جديدة. ورغم الأذى الذي قد يلحقه هذا النوع من الهجمات فإن العلاج يكمن في خطوتين؛ الأولى هي زيادة حجم الجدول الذي يتلقى طلبات الاتصال، والثانية-وهي خطوة ملازمة للأولى-التقليل من الوقت المطلوب للاستجابة لطلبات الاتصال وذلك لحذف المدخلات غير المستخدمة بشكل أسرع. وهنالك نوع آخر من هجمات الحرمان من الخدمات، حيث يستخدم المهاجم برنامجا يقوم بتجربة الدخول إلى حسابات المستخدمين ضمن خدمة معينة من خلال تجربة كافة أسماء المستخدمين، واستعمال كلمات سر خاطئة، عمدا. وعند استخدام هذه البرمجيات فإن بعض المزودات، إذا لم يكن هنالك تأخير معين بين محاولات الدخول، تقوم بمنع المستخدمين الشرعيين من النفاذ إلى النظام. وهنالك أيضا أسلوب آخر من الهجمات يدعى "الحزم الدامعة Teardrop" حيث يرسل المهاجم حزما مشوهة بحيث يؤدي إلى انهيار عمليات معالجة عناوين IP على الجهاز المزود. وبالمثل، فهنالك أسلوب إغراق عملية المعالجة نفسها في نظام التشغيل من خلال إرسال أوامر معالجة أو إدخال طويلة (أكثر طولا مما يسمح به نظام التشغيل أو التطبيق) Buffer Overflow، لا تقوم عمليات معالجة المدخلات ضمن نظام التشغيل بصدّها (وهي الثغرة التي استغلها واضعو فيروس الشيفرة الحمراء Code Red في مزودات مايكروسوفت ونظم تشغيلها) مما يؤدي إلى انهيار النظام.
حقائق حول هجمات حجب الخدمة
ومع ان هجمات حجب الخدمة تبدو بسيطة وتافهه احيانا بنظر المبتدئين ممن يديرون سيرفراتهم الخاصة ولكن يبقى هذا الهجوم من اخطر اعمال الهكرز ، فالاختراق يوقف الموقع بتغيير الواجهة الرئيسية مثلا ، ويوقف السيرفر بعمل فورمات او حتى الجهاز الشخصي ، وتتم اعادة نسخة احتياطية محفوظة وبسرعة ، بينما هجوم حجب الخدمة قد يوقف عمل سيرفر ويب لفترات طويلة وقدWoRlD تقطع مصالح واعمال وقد تعرضت مواقع كبيرة لشبح هذا الهجوم الفتاك وهذا الهجوم لا يقف عند حد معين او يستهدف منفذ معين WoRldاو خدمة معينة ، لكن لك خدمة هجوم وحتى تكرار تصفح الموقعTrAde بعمل تحديث او الدخول عليه اكثر من مرة من الاف الاجهزة هجون على المنفذ 80 او محاولة الاتصال بمئات المستخدمين على منفذ ftp وكلما طال الهجوم وكثر الطلب على الخدمة زاد الخطر وقد تدمر عتاد الكمبيوتر بالضغط واستهلاك موارد النظام ، والحماية الفعلية لا تكمن في الجدار الناري لان الجدار الناري ربما يزيد في خطورة اذا كان مبرمج على طريقة عرض رسالة TrAdÊاو ارسال رسالة عند تلقي هجوم فيزيد من الضغط على موارد النظام الفعلية CPU ، يجب على مدير الشبكة او السيرفر مراقبة البيانات واغلاق الخدمة التي تتعرض للهجوم مؤقتا حتى تجد حلا لها ويكون CeNtErبتغيير ايبي مؤقتا لكي لا ينقطع عملك ، هذا جزء من الاجزاcEnTeRمة لهذا الهجوم الجبار ، ولحسن الحظ القليل يعرف كيفية استثماره وللاسف جهل الكثيرين بطريقة الوقاية منه ووقوع الكثير من مدراء السيرفرات تحت هجمات بسيطة ولكن لم يستطيعوا حلها وادت لمشاكل اكبر .
الهجمات الموزعة
ومع ظهور الإنترنت، أصبحت هجمات الحرمان من الخدمات أكثر إثارة بالنسبة للهكرة، حيث أصبح بالإمكان استغلال أكثر من جهاز على الشبكة (بشكل شرعي أو غير شرعي) للهجوم على موقع معين أو مزوّد معين، باستخدام ما أصبح يدعى بهجوم السنافر Smurf Attack (نسبة للمسلسل الكرتوني الشهير). وفي هذا النوع من الهجمات، يقوم المعتدون باستغلال ميزة خطيرة في الشبكات التي تعتمد بروتوكول IP-وهي عنوان البث broadcast address؛ ففي الأحوال الاعتيادية يتم إرسال طلب إلى الشبكة (مثلا باستخدام أمر ping) من خلال عنوان البث، مما يؤدي إلى إعادة إنتاج وإرسال هذا الطلب إلى كل عنوان IP على تلك الشبكة، وعندئذ يمكن لجميع النظم الموجودة على الشبكة أن تقوم بإرسال المعلومات المناسبة إلى مصدر أمر ping . وفي حالة هجمات السنافر يحدث الحرمان من الخدمات باستخدام عناوين رأسية IP مزيفة وجعلها تقوم بإرسال أمر ping إلى عنوان البث لشبكة كبيرة، ومن ثم إعادة توجيه الإجابات إلى نظام ثالث، وهو نظام الضحية. وفي هذه الحالة يتعرض الضحية بسهولة إلى الإغراق من قبل بيانات مزيفة تعترض سبيل بياناته الحقيقية. وفي عالم إنترنت اليوم تحدث هجمات الحرمان من الخدمات باستخدام أدوات وأساليب أكثر قدرة على التدمير من الأساليب القديمة، حيث يقوم الهكرة باستخدام أدوات تقوم بفحص النظم غير المحمية، ومن ثم تثبيت برامج (تُدعى بالزومبي-أو الأموات الأحياء، إشارة إلى جهل المستخدم بأنه قد تم اختراق نظامه)، وهذه الزومبي تقوم بالإنصات إلى أوامر معينة ومُشفرة من برامج رئيسة MASTER يسيطر عليها الهكرة الذين يخططون لبدء الهجوم. وفي مرحلة معينة يقوم البرنامج الرئيس بإرسال الأوامر إلى الزومبي، والتي تتكون من عنوان IP الذي سيتم الهجوم عليه، وتحديد أسلوب الهجوم الذي يجب أن يتم استخدامه. وبما أن البرنامج الرئيس يمكنه أن يسيطر بسهولة على مئات أو ألوف الزومبي، فإن النظام المستهدف لا يجدا مخرجا من الركوع في النهاية، حيث أن مثل هذه الهجمات يمكن لها بسهولة أن تستنزف كافة المصادر المتاحة للأجهزة المزودة التي تتعرض للهجمات. ومن أدوات هجمات الحرمان المستخدمة اليوم هناك trin00، و tfn ، وبرنامج Stacheldart، و TFN2K، و Shaft، و Trinity ، والكثير غيرها. ولمعرفة المزيد عن هذه البرمجيات يمكن الرجوع إلى مصدر ممتاز على إنترنت موجود على العنوان (http://staff.washington.edu/dittrich/misc/ddos/).
ويتفق الخبراء اليوم على أنه لا سبيل لعلاج الهجمات الموزعة أو تفاديها. ورغم أن البعض يقترحون استخدام أساليب التحقق من الهوية والتشفير لمعالجة حزم المعلومات المتناقلة، فإنهم يتفقون أيضا على أن هذه الطرق غير عملية لمعالجة المشكلة على إنترنت. وهنالك اقتراحات أخرى بتضمين المعالجات إرشادات يمكنها تمييز هجمات الحرمان من الخدمات وفلترتها قبل أن تؤثر على نظام التشغيل، وهو حل تعمل على تطويره العديد من الشركات المنتجة لبرمجيات مكافحة هجمات الحرمان من الخدمات اليوم.
الشيفرة الحمراء
عندما ظهرت الشيفرة الحمراء في عام 2001 قدّر بعض الخبراء الخسائر الناجمة عن هذا الفيروس بنحو 2 مليار دولار والاسم التقني لهذا الفيروس يشير إلى الثغرة التي يستغلها هذا الفيروس وهو Buffer overflow ، وهي ثغرة موجودة في مزودات مايكروسوفت IIS في الإصدارات 4 و 5 التي تعمل ضمن ويندوز 2000 أو الإصدارات التجريبية من ويندوز أكس بي. تخيل موقعا تحتاج للدخول إليه إلى اسم مستخدم وكلمة سر، ثم تخيل أنك قمت باستعمال اسم مستخدم يتكون من مليون حرف!! ما يحصل في بعض النظم، والتي لم يتم بها تحديد الحد الأقصى لحجم المتغيرات، هو أنها إما تنهار أو تسمح للمستخدم بالدخول. أما في حالة الثغرة الموجودة في برمجيات مايكروسوفت المذكورة أعلاه فهو أن النظام يسمح للهاكر بالدخول، ومن ثم تنفيذ أية مجموعة يريدها من الأوامر. ويستغل فيروس، أو دودة، الشيفرة الحمراء هذه الثغرة لينفذ إلى المزودات، ومن ثم الانتشار إلى مزودات أخرى، ليتحول إلى هجمة حرمان من الخدمات، حيث يقوم باستهلاك نطاقات الموجة للبحث عن ومسح مجموعات من عناوين IP المولّدة شبه عشوائيا. وقد كان الفيروس فعالا في الانتشار إلى حد أنه تمكن من الوصول إلى 250 ألف نظام في الساعات التسعة الأولى من ظهوره. وخلال هذه الساعات قام الفيروس بوضع العبارة " Welcome to www.worm.com Hacked by Chinese!" كاستجابة لأية طلبات لوصلات HTTP . وتبدأ هذه المرحلة في اليوم الأول من الشهر وتستمر حتى اليوم التاسع عشر منه (من أي شهر). وفي مرحلة الإغراق، وهي المرحلة الثانية، والتي تتواصل في الفترة ما بين 20 و 27 من أي شهر، فإن الفيروس قام باستهداف عناوين IP الخاصة بالبيت الأبيض الأمريكي، والذي تمكن من مكافحة الهجوم بتغيير عنوان IP ضمن نظام أسماء النطاقات المركزي. ومع ذلك، فإن مشتقات هذه الدودة، والتي ظهرت لاحقا، تقوم باستخدام أساليب أخرى للاستهداف. فبالإضافة إلى استخدام العناوين المكتوبة بالحروف، وليس بأرقام IP فقط، فإن المشتقات الجديدة يمكنها استهداف مواقع في بلدان معينة، أو أقاليم معينة. وفي المرحلة الثالثة فإن الدودة تخلد إلى النوم، حتى بداية الدورة في الشهر التالي.
مشتقات الشيفرة الحمراء
وبالنسبة لمشتقات دودة الشيفرة الحمراء الأصلية، فقد كانت أكثر ذكاء وقدرة على الانتشار، حيث أنها لم تقم بالبحث عن نفس القائمة من عناوين IP ، كما أنها لم تستخدم الرسالة الإنجليزية الأصلية، مما أطال من فترة الاكتشاف والانتشار. وبدلا من أسلوب التخريب الأول فإن المشتقات الجديدة تقوم بوضع فيروسات طروادية، تقوم بفتح مسالك للنفاذ إلى الأجهزة المصابة بالفيروس، والتي لم يتم معالجة الثغرة بها، مما يسمح للهكرة مستقبلا باستخدام هذه الأجهزة لشن هجمات جديدة للحرمان من الخدمات. كما أن المشتقات الجديدة كما ذكرنا تقوم بتوليد عناوين IP عشوائية للعثور على أجهزة جديدة لاختراقها.
الشيفرة الحمراء ليس حكرا على مايكروسوفت فقط
ربما تكون قد سمعت في الأنباء، أو قرأت على المواقع التقنية، بأن دودة "الشيفرة الحمراء" يؤثر فقط على المواقع التي تستخدم مزودات مايكروسوفت. وإذا اعتقدت أنك بأمان لأنك لا تستخدم منتجات مايكروسوفت، فإنك مخطئ. فالشيفرة الحمراء كما أوضحنا، وأثناء بحثها عن عناوين جديدة لاختراقها، ترسل رسائلها إلى جميع المزودات دون استثناء، حيث تقوم بإرسال أمر GET بحثا عن الملف default.ida يتبع ذلك أمر طويل ليس له معنى. ويعني ذلك أنه يصبح لزاما على المزود أن يقوم بمعالجة مجموعة كبيرة من حزم get، مما قد يؤدي إلى إحداث بعض الضغوط على الأداء. وبالإضافة إلى ذلك، إذا كان لديك مزود وسيط يقوم بتسريع أداء مزود ويب، فإنه يقوم بإرسال هذه الأوامر إلى مزود الويب، والذي رغم أنه قد لا يتعرض للعدوى بالفيروس، فإنه حتما سيعاني من تراجع في الأداء نتيجة للكم الهائل من الحزم التي سيكون عليه معالجتها. لذلك احرص على زيارة موقع إنترنت الخاص بالشركة المنتجة لمزود الويب الذي تستخدمه، وابحث عن الرقع البرمجية الخاصة بدودة الشيفرة الحمراء.
مراجع لمكافحة هجمات الحرمان من الخدمات
من أفضل الأدلة على إنترنت، هو الوثيقة التي نشرها معهد إدارة النظم وأمن الشبكات SANS على العنوان (http://www.sans.org/dosstep/index.php). ويستعرض هذا الدليل الخطوات اللازم اتخاذها لإنشاء دفاعات قوية ضد هجمات حزم البيانات المستخدمة في هجمات الحرمان. ومن الأدلة المفيدة الأخرى، هنالك الوثيقة الموجودة على العنوان (http://www.cisco.com/warp/public/707/newsflash.html) والتي تبين لمدراء الشبكات التي تعتمد نظم سيسكو كيفية صد هجمات الحرمان الموجهة ضد موزعات الشركة. ولاكتشاف برمجيات الزومبي وتدميرها على الأجهزة المُستغفلة يمكنك استخدام برنامج "بيست باترول Pestpatrol من شركة سيفرسايت، وهي على العنوان (http://www.pestpatrol.com)، وهو برنامج يقوم بمكافحة برامج الزومبي اللافيروسية. ولاستكشاف قوة البرنامج، وما يمكنه مكافحته يمكنك التوجه إلى العنوان (http://www.pestpatrol.com/PestPatrol/PestPatrolCategories.asp). وباختصار فإن هذا البرنامج يقوم باكتشاف وتدمير 138 أداة من برمجيات الحرمان من الخدمات، و 24 أداة لهجمات الحرمان الموزعة. ويحتوي الموقع على قاعدة بيانات تدعم ميزة البحث، وهي على العنوان (http://www.pestpatrol.com/PestPatrol/pestdatabase.asp). كما يمكننا التوجه إلى شركة Sophos العملاقة والزعيم العالمي لحماية الأعمال للنظر في برنامجها ZombieAlert وهي خدمة تستطيع التعرف على الحواسب المصابة بشكل في الشبكة وتعطي تنبيها للجهاز المصاب . وهذا ما يسمى بجهاز Zombie وهي الحواسب يتم التحكم الغير نظامي بها من قبل مستخدمين على الشبكة وتتيح لهم أرسال رسائل مزعجة Spam من هذا الحاسب أو القيام بعمليات هجوم على مواقع الأنترنيت باستخدام DoS Deinal of Service وقد أشارت مخابر Sophpos قسم تحليل الرسائل المزعجة على الشبكة - إلى أكثر من 50% من الرسائل المزعجة تأتي من حواسب مخترقة Zombie والحواسب المصابة تصبح وكأنها المصدر الأساسي للرسائل المزعجة مما يضر بسمعة المنظمات والشركات بل قد يتسبب في جعل الأخرين يمنعون من استقبال الرسائل من هذه الشركات www.sophos.com Zombie Alert ينبه إلى وجود حاسب مصاب على الشبكة من خلال متابعة الرسائل المزعجة على الشبكة ومباشرةً يعطي تنبيها في حال غدا هذا الحاسب مسجلا في القائمة السوداء لمرسلي الرسائل المزعجة وبذلك يتمكن المستخدم من تحديد الحاسب المصاب والتخلص من الأصابة وتأمين الحماية للنظام من هجمات مستقبلية. وبعيداً عن المستخدمين فأن المنظمات الحكومية والتعليمة هي أكثر عرضة للأصابة لأحتووائها على أنظمة الدخول من بعيد وتقدم مخابر Sophos يومياً على مدار الساعة أخر أخبار التهديدات وهذه الأخبار تتيح الفرصة للشركات لأزالة الأصابة من حواسبها . ويمكنك التعرف على هذه الخدمة من الموقع http://www.sophos.com/products/es/zombiealert/