اكتب ما تود البحت عنه و اضغط Enter
آخر الأخبار

انواع هجمات الحرمان من الخدمه + حديث عنها DOS بواسطة جاك



---------------------------------------
تنويه هاام 
& قبل البداية هذا الموضوع لغرض التوعية فقط وغير مسئولين عن اى تصرف خاطئ كما اننا نبرأ انفسنا براءة الذئب من دم ابن يعقوب لمن يستخدم ذلك لضرر شخص لا يستحق &
--------------------------------------
 أنواع (طرق) هجمات الحرمان من الخدمة :
ـــــــــــــــــــــــــــــــــــــــــــــــ
  1_ هجمات Ping Of Death و Teardrop :-
هناك ثلاثة أنواع من هجمات حجب الخدمة (denial-of-service attack) :

الهجمات التي تستغل خطأ برمجي Bug في بناء TCP/IP
الهجمات التي تستغل تقصير في مواصفات TCP/IP
الهجمات التي تعيق المرور في شبكتك حتى لا تستطيع أي بيانات ان تصل إليها أو تغادرها.

و الهجمتان المميتتان المشهوران بينج الموت Ping Of Death والهجمه الدمعة Teardrop، يصنفان مع النوع الأول.فهجمه Ping Of Death تستخدم أي برنامج Ping لتخلق حزمه IP تتعدى الحد الأقصي (65536 بايت) من البانات المسموح بها لحزمة IP.و تلك الحزمة بإرسالها إلى اي نظام من الممكن لهذا النظام ان ينهار أو يتوقف عن العمل أو يعيد التشغيل من تلقاء نفسه. وتلك الهجمة ليست بجديده وكل منتجي أنظمة التشغيل قاموا بعلاجها. أما عن الهجمه Teardrop فهي تستغل ضعف في إعادة تجميع اجزاء حزمة ال IP. خلال رحلتها في الشبكة (الأنترنت)،تقسم حزمة ال IP إلى اجزاء اصغر.و كل جزء يبدوا مثل الحزمه الأصلية ما عدا أنه يحتوي على حقل يقول -كمثال- "هذا الجزء يحمل البايتات من 600 إلى 800 من الحزمة الأصلية غير المجزئه". هجمة Teardrop تخلق حزمة IP مجزئة ولكنها متداخلة Overlapped في محتويات حقل تعريف هذا الجزء. وعندما يتم تجميع تلك الحزمه من جديد بعض الأنظمة قد تنهار وبعضها يتوقف عن العمل وبعضها قد يعيد تشغيلة من تلقاء نفسه.

2_ هجمات SYN :-
الضعف في مواصفات ال TCP/IP تجعله عرضة لهجمات SYN التي تنفذ أثناء المصافحة الثلاثية(Three way handshake) والتي تتم بين تطبيقين لبدء الاتصال بينهما.في الظروف العادية التطبيق الذي يبدأ الاتصال (المرسل) يرسل حزمة TCP-SYN إلى التطبيق المستقبل. والمستقبل يرد بإرسال حزمة TCP-SYN-ACK بعلم وصول الحزمة الأولى وعندئذ يرسل التطبيق (المرسل) حزمة ACK بعلم الوصول وعندئذ يبدأ التطبيقان في تبادل البيانات فيما بينهما.

. و لكن هجمة SYN تغرق flood الهدف بسلسلة من حزم TCP-SYN.كل حزمة تؤدي بالهدف إلى تجهيز استجابة SYN-ACK. وبينما الهدف ينتظر المصافحة الثالثة ACK ،يقوم بوضع كل حزم SYN-ACK المنتظرة دورها في الإرسال في طابور queue يسمى طابور المتراكمات backlog queue.و هذا الطابور له سعة محددة والتي هي غالبا صغيرة إلى حد ما.و بمجرد أن يمتلئ هذا الطابور ،سيتجاهل النظام كل طلبات SYN الواردة. SYN-ACK تغادر الطابور فقط عندما يتم الرد ب ACK أو ينهي العداد الداخلي (والذي يجهز للعد لفترة طويلة نسبيا) المصافحة الثلاثية. و هجمة SYN تخلق كل حزمة SYN بعنوان IP مزيف للمرسل.و كل الاستجابات من الهدف ترسل إلى ذلك العنوان المزيف والذي يكون إما غير موجود في الأساس أو لنظام لا يعمل حاليا وبالتالي فان جزمة ACK التي تلى حزمة SYN-ACK لن تصل إلى الهدف ابدا.و هذا يؤدي إلى امتلاء طابور المتراكمات على الدوام فيجعل من المستحيل تقريبا على أي مستخدم الوصول إلى هذا النظام. منتجي حوائط النيران Firewalls مثل Checkpoint و Cisco و Raptor قاموا يإضافة ميزات في منتجاتهم لتزودك بدورع ضد هجمات SYN.و بالإضافة إلى ذلك يجب على حائط النيران الخاص بك التأكد من أن الحزم الصادرة من شبكتك تحتوي على عنوان IP مصدره سليم، والذي هو أحد عناوين شبكتك الداخلية، وبالتالي لن يتم تزيف عنوان IP المصدر من داخل شبكتك.
 
3_ هجمة إغراق UDP :-
أغراق UDP أو User Datagram Protocol flood أيضا تتم بربط نظامين ببعض. بالخداع Spoofing ،هجمة إغراق UDP تتم بالسيطرة على خدمة charger لأحد النظامين ،و تلك الخدمة لأغراض اختبارية تقوم بتوليد سلسلة من الحروف Characters لكل حزمة تستقبلها ،مع خدمة الصدى UDP echo للنظام الاخر، والتي تردد كالصدى كل حرف تستقبله كمحاولة لاختيار برامج الشبكه.و نتيجة لهذا الربط يتم تبادل سيل لا يتوقف من البيانات العقيمة بين النظامين. و لكي تمنع هجمة إغراق UDP ،يمكنك اما ان توقف عمل كل خدمات UDP لكل جهاز على شبكتك ،أو من الأسهل أن تعد حائط النيران Firewall الخاص بك لتنقية كل طلبات UDP. وبما أن UDP صمم لعمل التشخيصات الداخلية ،يمكنك غالبا الاستمرار بتجاهل طلبات UDP من مجتمع الإنترنت.و لكنك لو حجبت كل خدمات UDP ،ستصد بالتالي بعض التطبيقات الجيدة والمعتمده على UDP مثل RealAudio.

4_ الهجمات الموزعة :- 
هام جدا
ومع ظهور الشبكة (الإنترنت)، أصبحت هجمات الحرمان من الخدمات أكثر إثارة بالنسبة للهكرة، حيث أصبح بالإمكان استغلال أكثر من جهاز على الشبكة (بشكل شرعي أو غير شرعي) للهجوم على موقع معين أو مزوّد معين، باستخدام ما أصبح يدعى بهجوم السنافر Smurf Attack . وفي هذا النوع من الهجمات، يقوم المعتدون باستغلال ميزة خطيرة في الشبكات التي تعتمد بروتوكول IP-وهي عنوان البث broadcast address؛ ففي الأحوال الاعتيادية يتم إرسال طلب إلى الشبكة (مثلا باستخدام أمر ping) من خلال عنوان البث، مما يؤدي إلى إعادة إنتاج وإرسال هذا الطلب إلى كل عنوان IP على تلك الشبكة، وعندئذ يمكن لجميع النظم الموجودة على الشبكة أن تقوم بإرسال المعلومات المناسبة إلى مصدر أمر ping. وفي حالة هجمات السنافر يحدث الحرمان من الخدمات باستخدام عناوين رأسية IP مزيفة وجعلها تقوم بإرسال أمر ping إلى عنوان البث لشبكة كبيرة، ومن ثم إعادة توجيه الإجابات إلى نظام ثالث، وهو نظام الضحية. وفي هذه الحالة يتعرض الضحية بسهولة إلى الإغراق من قبل بيانات مزيفة تعترض سبيل بياناته الحقيقية. وفي عالم إنترنت اليوم تحدث هجمات الحرمان من الخدمات باستخدام أدوات وأساليب أكثر قدرة على التدمير من الأساليب القديمة، حيث يقوم الهكرة باستخدام أدوات تقوم بفحص النظم غير المحمية، ومن ثم تثبيت برامج (تُدعى بالزومبي-أو الأموات الأحياء، إشارة إلى جهل المستخدم بأنه قد تم اختراق نظامه)، وهذه الزومبي تقوم بالإنصات إلى أوامر معينة ومُشفرة من برامج رئيسة MASTER يسيطر عليها الهكرة الذين يخططون لبدء الهجوم. وفي مرحلة معينة يقوم البرنامج الرئيس بإرسال الأوامر إلى الزومبي، والتي تتكون من عنوان IP الذي سيتم الهجوم عليه، وتحديد أسلوب الهجوم الذي يجب أن يتم استخدامه. وبما أن البرنامج الرئيس يمكنه أن يسيطر بسهولة على مئات أو ألوف الزومبي، فإن النظام المستهدف لا يجدا مخرجا من الركوع في النهاية، حيث أن مثل هذه الهجمات يمكن لها بسهولة أن تستنزف كافة المصادر المتاحة للأجهزة المزودة التي تتعرض للهجمات. ومن أدوات هجمات الحرمان المستخدمة اليوم هناك trin00، و tfn، وبرنامج Stacheldart، و TFN2K، و Shaft، و Trinity، والكثير غيرها. 

................................
  كيفية عمل هجوم حجب الخدمة الموزعة ؟


تعتبر هجمات حجب الخدمة الموزعة DDoS (Distributed Denial of Service)، نوعاً جديداً من هجمات حجب الخدمة العادية التي تعتمد على استخدام برامج معينة في الهجوم. وهذا النوع من الهجمات، هو الذي استخدم في الهجوم على كبرى مواقع إنترنت، مثل ZDNet Yahoo!، eBay، Amazon، CNN، وغيرها. وتعتمد هذه الهجمات على تجنيد أجهزة كمبيوتر متصلة بإنترنت، بدون علم مالكيها، وتوجيهها إلى بث الرزم الشبكية إلى مزود معين، بهدف إيقافه عن العمل، نتيجة ضغط البيانات المستقبلة. ويعتمد هذا النوع من الهجمات على وضع برنامج خبيث خاص، من نوع "حصان طروادة " (Trojan horse)، في كل حاسوب متصل بالشبكة يمكن الوصول إليه، عن طريق إرسال البرنامج بواسطة البريد الإلكتروني، مثلاً، وتفعيله على هذه الأجهزة، لتعمل كأجهزة بث للرزم الشبكية، عند تلقيها الأمر بذلك من برنامج محدد يقبع على جهاز أحد المخترقين. ومن أشهر البرامج المستخدمة في إجراء هذه الهجمات: TRINOO stacheldraht. & Tribe FloodNet & TFN2K، يعتبر هذا النوع من هجمات حجب الخدمة، أكثر الأنواع خطورة، حيث يمكن أن يشكل خطراً على الشبكة (الإنترنت) كلها، وليس على بعض المواقع فقط، حيث أن كل موقع من المواقع التي أصيبت في شهر فبراير" الشهر الأسود "، بهذا النوع من هجمات حجب الخدمة، هي مواقع تحجز جزءاً كبيراً من حزمة البيانات في الشبكة (الإنترنت)، ما قد يهدد الشبكة بالكامل. وإن حدث ذلك يوماً، فنتوقع أن يشهد العالم أزمة اقتصادية شاملة!

ويتفق الخبراء اليوم على أنه لا سبيل لعلاج الهجمات الموزعة أو تفاديها. ورغم أن البعض يقترحون استخدام أساليب التحقق من الهوية والتشفير لمعالجة حزم المعلومات المتناقلة، فإنهم يتفقون أيضا على أن هذه الطرق غير عملية لمعالجة المشكلة على إنترنت. وهنالك اقتراحات أخرى بتضمين المعالجات إرشادات يمكنها تمييز هجمات الحرمان من الخدمات وفلترتها قبل أن تؤثر على نظام التشغيل، وهو حل تعمل على تطويره العديد من الشركات المنتجة لبرمجيات مكافحة هجمات الحرمان من الخدمات اليوم.

حقائق حول هجمات حجب الخدمة :-

ومع ان هجمات حجب الخدمة تبدو بسيطة وتافهه أحيانا بنظر المبتدئين ممن يديرون خواديمهم الخاصة ولكن يبقى هذا الهجوم من اخطر اعمال الهكرز، فالاختراق يوقف الموقع بتغيير الواجهة الرئيسية مثلا، ويوقف الخادوم بعمل فورمات أو حتى الجهاز الشخصي، وتتم اعادة نسخة احتياطية محفوظة وبسرعة، بينما هجوم حجب الخدمة قد يوقف عمل الخادوم (Servers) لفترات طويلة وقد تقطع مصالح واعمال وقد تعرضت مواقع كبيرة لشبح هذا الهجوم الفتاك وهذا الهجوم لا يقف عند حد معين أو يستهدف منفذا معينا أو خدمة معينة، لكن لك خدمة هجوم وحتى تكرار تصفح الموقع بعمل تحديث أو الدخول عليه أكثر من مرة من آلاف الأجهزة هجون على المنفذ 80 أو محاولة الاتصال بمئات المستخدمين على منفذ ftp وكلما طال الهجوم وكثر الطلب على الخدمة زاد الخطر وقد تدمر عتاد الحاسوب بالضغط واستهلاك موارد النظام، والحماية الفعلية لا تكمن في الجدار الناري لان الجدار الناري ربما يزيد في خطورة إذا كان مبرمج على طريقة عرض رسالة أو إرسال رسالة عند تلقي هجوم فيزيد من الضغط على موارد النظام الفعلية CPU، يجب على مدير الشبكة أو الخادوم مراقبة البيانات واغلاق الخدمة التي تتعرض للهجوم مؤقتا حتى تجد حلا لها ويكون بتغيير ايبي مؤقتا لكي لا ينقطع عملك، هذا جزء من الاجزامة لهذا الهجوم الجبار ،ولحسن الحظ القليل يعرف كيفية استثماره وللاسف جهل الكثيرين بطريقة الوقاية منه ووقوع الكثير من مدراء الخواديم تحت هجمات بسيطة ولكن لم يستطيعوا حلها وادت لمشاكل أكبر
 
والان اذكر كيفية الحمايه من هذه العمليات وحجب الخدمات

تتم الحماية من هذه الهجمات عن طريق برامج أو أجهزة جدران نارية لكي تمنع وصول الحزم إلى النظام.
بمعنى ان المواقع تقوم بعمل حظر لاى IP يحاول التلزق بها ومحاربتها لقتلها 
كما اذكر ايضا ان هذه ايضا غير ناجحه وفي النهايه ايضا يخضع الموقع ويرفع راية الاستسلام امام الهكرز 
والمثال على ذلك 
انك اذا قمت بعمل دوس اتاك انت واكثر من 200 شخص مستخدمين برامج تغيير IP اجهزتكم كل 3 ثوانى او 5 ثوانى فبالطبع لا يستطيع الموقع في حظر جميع الــ IP وقد يكن كل ثانيه بمقدار 150 IP يضغط عليه 
... 
تحياتى للجميع اخوكم مستر جاك من فهرس او سلسة الدوس اتاك 
وانتظرو الدروس القادمه بعرض بعض البرامج او الاوامر لكيفية عمل ذلك 
مستر جاك 


 
جميع الحقوق محفوظة © نقطة التمييز 2017

تصميم وبرمجة مصطفى زين