سمینار مروری بر مکانیزمهای دفاعی در برابر حملات سیل آسای DDoS

ترجمه کتاب امنیت و مقاله  به همراه اسلاید ارایه و منابع اصلی

مروری بر مکانیزمهای دفاعی در برابر حملات سیل آسای DDoS

A Survey of Defense Mechanisms Against Distributed Denial of Service (DDoS) Flooding Attacks

فهرست

چکیده 4

معرفی.. 4

تاریخچه حملات DDoS. 5

آمار حملات DDoS. 5

گروه بندی حملات بر اساس انگیزه های مهاجمین.. 6

گروه بندی حملات بر اساس سطح پروتکلشان. 7

گروه بندی حملات استفاده کننده از پروتکل HTTP. 8

تعریف Zombie  و Botnet 9

معماری Botnets. 9

گروه بندی Botها بر اساس کنترلشان توسط Master 10

مکانهای تشخیص حمله و پاسخهای ممکن.. 11

گروه بندی مکانیزمهای دفاعی.. 12

A.1.1 Source-based. 12

A.1.2 Destination-based. 13

A.1.3 Network-based. 14

A.1.4 Hybrid-based. 14

A.2.1 Destination-based. 17

A.2.2 Hybrid-based. 17

B.1 Before Attack. 18

B.2 During Attack. 18

B.3 After Attack. 18

معیارهای اندازه گیری کارآیی مکانیزمهای دفاعی.. 19

توسعه­ی مکانیزمهای دفاعی پیچیده در برابر حملات DDoS هدف دلخواه جوامع تحقیقاتی است. اما توسعه­ی چنین مکانیزمی نیازمند درک کامل مشکل و تکنیک­هایی است که تاکنون برای جلوگیری، تشخیص و پاسخگویی به حملات DDoS مختلف به کار گرفته شده است. در این مقاله به بررسی حمله­ی DDoS و تلاشهای انجام گرفته شده برای مبارزه با آن پرداخته شده است. در اینجا حملات DDoS را سازماندهی کرده و بر اساس مکان و زمان اقدامات پیشگیری آنها را گروه­بندی می­کند.

حمله جویباری DDoS  (Distributed Denial of Service) تلاش مغرضانه­ایست برای متوقف کردن دسترسی کاربر مجاز به منابع مشخصی از شبکه، که از سال 1980 توسط جامعه تحقیقاتی شبکه شناسایی و معرفی شد. در تابستان سال 1999 اولیه حمله DDoS توسط سازمان CIAC  (Computer Incident Advisory Capability) گزارش داده شد. امروزه دو روش عمده برای اجرای حمله­ی DDoS در اینترنت وجود دارد. اولین روش ارسال بسته­های ناهنجار[1] به سمت کامپیوتر قربانی [2] است تا برنامه­های کاربردی یا پروتکلهای او را مختل کنیم.روش دیگر که معمول­ترین است، این است که حمله کننده تلاش می­کند یک یا هر دوی کارهای زیر را انجام دهد:

• اتصالهای کاربر مجاز را با مشغول کردن و گرفتن پهنای باند ظرفیت پردازش مسیریاب یا منابع شبکه قطع کنند. به این حملات، حملات Network/Transport Level میگوییم.
• قطع کردن سرویسهای کاربر مجاز با مشغول کردن منابع سرور مثل سوکت، CPU، حافظه، دیسک، پهنای باند I/O و ... . به این حملات Application-Level می­گویند.

امروزه حملات DDoS با شبکه­ی خوش سازمان، کنترل شده از راه دور و گسترده­ای از زامبی­ها یا کامپیوترهای Botnet انجام می­شود؛ که این کار را با ارسال مداوم تعداد زیادی درخواستهای سرویس گیرنده یا ترافیکی به سمت مقصد انجام می­دهد. در برابر حملات سیستم مقصد یا به آهستگی جواب می­دهد، به حدی که غیرقابل استفاده باشد یا اینکه به صورت کامل Crash می­کند.

[1] Malformed Packets

[2] Victim

فصل یازده کتاب امنیت:

صحت پیام و احراز هویت پیام

اهداف

این فصل چند هدف دارد:

• تعریف صحت پیام[1]
• تعریف احراز هویت پیام[2]
• تعریف شرایط Hash Function Cryptographic[3]
• تعریف مدل تصادفی Oracle و نقش آن در تخمین امنیت Hash Function
• تمایز بین MAC, MDC
• بحث در مورد MACهای معمول

این فصل اولین فصل، از سه فصلی است که به موضوعات صحت پیام، احراز هویت پیام و احراز هویت موجودیت اختصاص یافته است. این فصل در مورد ایده­های عمومی مربوط به Hash Function  که برای ایجاد پیام Digest [4] از پیام اصلی مورد استفاده قرار می­گیرد، صحبت می­کند.

Message Digest ضامن صحت Message است. در ادامه در مورد این که چگونه می­توان Message Digest را برای احراز هویت Message مورد استفاده قرار داد، صحبت می­شود. Hash Functionهای استاندارد در فصل 12 مورد بررسی قرار گرفته­اند.

11.1 صحت پیام

سیستم­های کریپتوگرافی که تا به اینجا مورد مطالعه قرار گرفتند محرمانگی را فراهم می­آورند، اما صحت را نه. هر چند گاهی اوقات حتی به محرمانگی نیاز نداریم و بجای آن درستی پیام برای مهم است. مثلاً Alice وصیت­نامه­ای نوشته و املاک خود را بعد از مرگش در آن تقسیم می­کند. وصیت­نامه نیازی به رمزنگاری­شدن ندارد؛ در ازای آن به نگهداری نیاز دارد. مسلماً Alice نمی­خواهد محتوای وصیت­نامه­اش تغییر کند.

اسناد و اثر انگشت

یک راه برای حفظ صحت و درستی اسناد، استفاده از اثر انگشت است. اگر Alice بخواهد مطمئن باشد که محتوای وصیت­نامه­اش تغییری نمی­کند، می­تواند اثر انگشت را در انتهای وصیت­نامه­اش درج کند. Eve نمی­تواند محتوای وصیت­نامه را دستکاری کند و یک وصیت­نامه­ی جعلی بسازد، چون نمی­تواند اثر انگشت Alice را جعل کند. برای اطمینان از اینکه وصیت­نامه تغییری نکرده است می­توان اثر انگشت انتهای آن را با فایل اثر انگشت Alice مقایسه کرد؛ اگر این دو مشابه نباشند وصیت­نامه از Alice نیست.

پیام و Digest پیام

به جفت­های معادل الکترونیکی سند و اثر انگشت Message و Digest می­گویند. برای حفظ درستی یک Message از یک الگوریتم به نام Cryptographic Hash Function عبور داده می­شود. تابع یک تصویر فشرده شده از Message که می­تواند مشابه اثر انگشت استفاده­ شود، می­سازد. شکل 11.1 مفاهیم Hash Function و Message Digest را نشان می­دهد.

تفاوتها

دو جفت (سند/اثر انگشت) و (Message Digest, Message) شبیه هم هستند، اما تفاوتهایی هم بین آنها وجود دارد. سند و اثر انگشت به صورت فیزیکی بهم پیوند داده شده­اند. Message و Message Digest می­توانند از هم جدا باشند و یا به صورت جداگانه ارسال شوند. آنچه مهم است این است که Message Digest باید از تغییرات در امان باشد.

بررسی صحت پیام

برای بررسی صحت یک پیام یا سند Hash Function را دوباره اجرا کرده و Message Digest جدید را با Message Digest قبلی مقایسه می­کنیم. اگر هر دو مشابه باشند می­توان اطمینان پیدا کرد که در پیام اصلی تغییری به وجود نیامده است. شکل 11.2 این ایده را نشان می­دهد.

[1]  Message Integrity

[2]  Message Authority

[3]  تابع Hash رمزنگاری

[4]  Digest Message