پایان نامه با کلید واژه های سیستم، قربانی، سرویس

اسب تراوا به عنوان ابزار انتقال دهنده ی ویروس ها و روتکیت ها و در جهت آسیب رساندن به داده های شخصی و یا دیگر سیستم های شبکه، عمل می کند.
کرم ها13
کرم های کامپیوتری برنامه های اجرایی مخربی اند که دارای یک سازو کار تکثیر هم هستند و بدون هیچ واسطه و ابزار میانی به داده ها آسیب می رسانند. آنها می توانند مستقلاً در طی ارتباطات شبکه منتشر شوند.
2-2- حملات کامپیوتری غیر فعال
حملات استراق سمع14
در این نوع حملات، حمله کننده محتوای داده ها و یا هر نوع اطلاعات ایمنی را که بین دو کامپیوتر در شبکه رد و بدل می شود، اخذ کرده و می خواند.هکرها با آسیب رساندن به ساختار امنیتی ارتباطات شبکه در اینترنت و یک سیستم بسته، با استفاده از ابزارهای استراق سمع می توانند به داده های رد و بدل شده دسترسی پیدا کنند.
حملات رمز عبور15
اغلب حملات سایبری از این نوع هستند. این حملات درصدد یافتن و کشف رمزهای عبور مختلف هستند تا با دسترسی به منابع سیستم و شبکه، پیکربندی های مربوطه را تغییر داده و یا حذف کنند. سپس داده های حفاظت شده را بگیرد و آنها را به کانالهای دیگر هدایت کند.
حملات رد سرویس16
این حملات، سیستم های یک شبکه و یا کامپیوترهای شخصی را مورد هدف قرار داده و باعث ایجاد وقفه در عملکرد آنها می شود. به این صورت که ارسال بسته هایی از پروتکل های مختلف، با ایجاد اختلال در سرویسهای ارتباطی بین کاربران می شود و بنابراین کاربر از دسترسی به برخی منابع سیستم محروم خواهد شد.
حملات کلید سازگار17
در این نوع حملات، حمله کننده جهت رمزگذاری و تائید اعتبار داده های ایمن، یک کد مخفی بنام کلید سازگار می گیرد. سپس حمله کننده اطلاعات را با سرور مربوطه رد و بدل می کند تا داده های حساس را رمزگشایی کرده، تغییر داده و یا حذف نماید. بعلاوه، حمله کننده همچنین با استفاده از تبدیل های مختلف و کلیدهای ترکیبی به دیگر اطلاعات حساس و ایمن نیز دسترسی می یابد.
تشخیص هویت جعلی18
حمله کننده با استفاده از آدرس IP، دسترسی غیر مجازی به یک شبکه یا کامپیوتر پیدا می کند. جهت کسب مجوز دسترسی، حمله کننده بسته های IP مختلفی را به آدرس مورد نظر فرستاده و بعد از دریافت مجوز دسترسی، هکر می تواند اطلاعات روی سیستم را حذف یا تغییر داده و یا اینکه بدزدد. این نوع حملات، روند جابجایی جریان داده ها را کند می کند و سپس حمله کننده می تواند با استفاده از آدرس IP هک شده، به دیگر سیستم های مرتبط در داخل و یا خارج از شبکه، آسیب برساند. عملکرد این حمله بصورت آنلاین، گاهی فیشینگ 19 هم نامیده می شود.
حملات لایه کاربردی20
این نوع حملات، برنامه های کاربردی و سیستم عامل سرور را مورد هدف قرار می دهند. هنگامی که آسیب اتفاق می افتد، حمله کننده می تواند از فیلترهای کنترل دسترسی عبور کند و به آسانی کنترل برنامه های کاربردی، سیستم و داده های دیگر کاربران مرتبط را بدست گیرد. این مساله می تواند منجر به خاتمه یافتن کار سیستم عامل و برنامه ها شود. اطلاعات ممکن است هک شده، حذف و یا تغییر داده شوند و نیز کنترل های امنیتی بطور دائمی غیرفعال شوند.
2-2-1- حملات رد سرویس
در این پژوهش، ما سیستم ارائه شده را برروی دونوع از حملات رد سرویس مورد بررسی قرار می دهیم.
جدول 2-1 دسته بندی ویژگی های حملات رد سرویس
Exhausting Resources
Stopping Service
Forking process to fill the process table
Filling up the whole file system
Process killing
System reconfiguration
Process crashing
Locally
Packet floods
Malformed packet attack
Remotely
2-2-1-1- دسته بندی حملات رد سرویس
عموماً حملات رد سرویس را از نظر اثر و نتیجه ی نهایی آنها می توان در دو گروه بررسی نمود:
حملاتی که باعث از کار افتادن سیستم می شوند و آنها که عملکردی در جهت سرریز شدن و تحلیل کارایی سیستم دارند.
یکی از روشهای متداول این حمله، اشباع نمودن کامپیوتر موردنظر با درخواست های ارتباط خارجی می باشد بطوریکه سیستم نتواند به درخواست های مجاز خود پاسخ دهد و یا اینکه دچار عکس العمل کندی در این مورد شود. در این حالت معمولاً حمله طوری طراحی شده است که کامپیوتر را وادار به بارگذاری مجدد21 و یا مصرف منابع کند بطوری که عملکرد آن مختل شود.
حملات رد سرویس در اکثر موارد زیرساخت TCP/IP را هدف قرار می دهند و در سه نوع زیر می توان آنها را طبقه بندی نمود:
حملاتی که از نقاط آسیب پذیر در مجموعه پروتکل های TCP/IP استفاده می کنند.
حملاتی که از نقاط آسیب پذیر در پیاده سازی IPV4 استفاده می کنند.
همچنین حملاتی با عملکرد شدید که سعی می کنند همه ی منابع سیستم قربانی را مصرف کرده و بدین صورت سرویسها را غیر قابل استفاده نمایند.
2-2-1-2- انواع حملات رد سرویس
حملات رد سرویس شامل یکی از انواع زیر هستند:
Ping of Death
Ping flood
Teardrop
SYN flooding attack (Neptune attack)
Land attack
Smurf attack
اکنون هر یک از این حملات مورد بررسی اجمالی قرار می گیرد:
Ping of Death
این حمله بسیار شناخته شده است و از دیرباز برای ایجاد اختلال در عملکرد سیستم راه دور (و یا حتی اجبار آن به راه اندازی مجدد) مورداستفاده قرار می گرفته است. بطوریکه هیچ کاربری نتواند از سرویس های آن استفاده کند. این نوع نفوذ منسوخ شده است چراکه امروزه تقریبآً همه افراد، سیستم هایشان را بروز کرده و آنها را در مقابل چنین حملاتی ایمن می نمایند.
در این حمله، سیستم مذکور با یک بسته داده که از بیشینه بایت های مجاز TCP/IP(که مقدار آن 65536 است) تجاوز میکند، ping می شود.
این مساله تقریباً همیشه باعث اختلال، راه اندازی مجدد و یا از کار افتادن سیستم می شود.
Ping flood
یکی از حملات ساده رد سرویس است که در آن حمله کننده، سیستم قربانی را با ارسال مکرر بسته های درخواست ICMP از کار می اندازد. این حمله تنها در صورتی موفق می شود که حمله کننده پهنای باند بیشتری از قربانی داشته باشد.( به عنوان مثال، حمله کننده خط DSL و قربانی یک مودم dial up داشته باشد) حمله کننده امیدوار است که قربانی به بسته های ICMP که می فرستد پاسخ دهد و به این صورت پهنای باند خروجی را هم مانند پهنای باند ورودی اشغال کند. چنانچه سیستم مذکوز بسیار کند باشد، عملکرد این حمله آنقدر دور CPU را اشغال می کند که کاربر ناچار به خاموش کردن سیستم شود.
Teardrop
این حمله از فرآیند آسیب پذیری در سرهم کردن دوباره بسته های داده استفاده می کند. داده ها هنگام ارسال در اینترنت، در سیستم مبدأ به قطعات کوچکتری تقسیم می شوند و سپس در سیستم مقصد کنار هم قرار می گیرند.
در هر بسته داده، یک فیلد Offset در قسمت سرآمد22 وجود دارد که مشخص می کند چه بازه ای از بایت ها با این بسته منتقل می شود. این فیلد به همراه اعداد متوالی، به سیستم مقصد کمک می کند که بسته های داده را با ترتیب درست سرهم کند.
1 to 1500 bytes
1501 to 3000 bytes
3000 to 4500 bytes
در این حمله، یک سری از بسته های داده، با همپوشانی مقادیر فیلد Offset به سیستم مقصد فرستاده می شوند.
1 to 1500 bytes
1500 to 3000 bytes
1001 to 3600 bytes
درنتیجه سیستم مذکور قادر به سرهم کردن بسته نبوده و باعث ایجاد اختلال، از کار افتادن و یا راه اندازی مجدد سیستم می شود.
SYN flooding attack (Neptune attack)
این حمله ارتباط سه مرحله ای TCP/IP 23 را تحت تاثیر قرار میدهد.
به منظور برقراری ارتباط یک کلاینت با یک میزبان، در حالت نرمال، سه مرحله زیر اتفاق می افتد:
کلاینت یک بسته SYN به میزبان می فرستد.
میزبان به آن طی یک بسته SYN ACK پاسخ می دهد.
کلاینت بعد از دریافت SYN ACK، یک بسته ACK به میزبان برمی گرداند.
هنگام وقوع این نوع حمله، چندین بسته SYN به سرور فرستاده می شود ولی همه آنها آدرس IP مقصد نادرستی دارند. وقتی سیستم این بسته ها را با آدرس IP جعلی دریافت می کند، به هرکدام از آنها با یک SYN ACK پاسخ می دهد. ولی این پاسخ ها به آدرسهای جعلی و نه آدرس IP خود حمله کننده، می رود. حالا سیستم مذکور منتظر دریافت پیام ACK ازآدرس های IP جعلی است. از آنجا که این آدرس ها درواقع وجود ندارند، سیستم قربانی هرگز بسته ACK را دریافت نمی کند.بنابراین در این حالت تنها 2مرحله از پروسه ی فوق اجرا می شود. به دلیل آنکه این درخواست ها می خواهند منابع باارزش سیستم قربانی را اشغال کنند، تعدادی زیادی بسته SYN با آدرس جعلی فرستاده می شود. این چرخه در نهایت منجر به اختلال، از کار افتادن و یا راه اندازی مجدد سیستم می شود.
Land attack
این حمله نیز مشابه حمله SYN است، با این تفاوت که بجای آدرس IP جعلی، آدرس خود سیستم قربانی مورد استفاده قرار می گیرد. این باعث ایجاد یک حلقه نامتناهی در سیستم می شود. ولی تقریباً همه ی سیستم ها، فیلترها و فایروال های در مقابل چنین حملاتی دارند.
Smurf attack
یکی از انواع حملات شدید ردسرویس است که در آن تعداد بسیار زیادی درخواست ping از طرف IP های جعلی از خود شبکه، به یک سیستم (طبیعتاً یک روتر) در شبکه مورد نظر فرستاده می شود. وقتی روتر یک پیام ping را دریافت می کند، آن را مسیریابی کرده یا بازمی گرداند که این مساله باعث سرریز شدن شبکه با بسته ها و ایجاد اختلال در ترافیک شبکه می شود. چنانچه تعداد زیادی گره، میزبان و .. در شبکه موجود باشد، عملکرد این حمله به آسانی می تواند کل شبکه را مسدود کرده و استفاده از هر سرویسی که توسط آن ارائه می شود را مختل نماید. در یک حمله Smurf، حمله کننده بسته های درخواست ICMP را به آدرس های IP پخش همگانی از راه دور هدایت می کند.
سه عنصر در این حمله نقش دارند: حمله کننده، واسط و قربانی
لازم به ذکر است که واسط هم می تواند یک قربانی باشد.
واسط، یک بسته ICMP را دریافت کرده و آن را به آدرس های پخش همگانی شبکه شان ارسال می کند. اگر واسط، ترافیک ICMP که به آدرس پخش همگانی هدایت شده را فیلتر نکند، بسیاری از سیستم ها در شبکه آن را دریافت کرده و پاسخ را برمی گردانند.
از سوی دیگر، وقتی حمله کننده ها این بسته را ایجاد می کنند، آدرس IP سیستمی که قربانی حمله است را به عنوان آدرس مبدأ جعل می کنند. درنتیجه وقتی همه سیستم ها در محدوده ی واسط، به درخواست ICMP پاسخ می دهند، آنها درواقع پاسخ را به سیستم قربانی می فرستند.
قربانی دستخوش تمهیدات شبکه قرار می گیرد که می تواند باعث غیر قابل استفاده شدن شبکه گردد.
فصل سوم
مطالعه موردی
دو نوع مجموعه داده شامل DARPA 1999 و KDD 1999 ، در این پژوهش مورد استفاده قرار می گیرد، که در ادامه توضیحاتی درباره هر یک ارائه خواهد شد.
3-1 مطالعه موردی بر روی داده های DARPA 1999
این مجموعه داده ها یکی از نخستین نمونه های استاندارد برای ارزیابی سیستم های تشخیص نفوذ بوده است و شامل 5 هفته ترافیک اخذ شده (در قالب فایلهایی با فرمت tcpdump) می باشد که از دو نقطه در یک شبکه شبیه سازی شده، بدست آمده است. که یکی از این دو، داخل محدوده، بین روتر ورودی24 و چهار سیستم قربانی، و دیگری خارج از محدوده، بین درگاه25 و اینترنت شبیه سازی شده، می باشد. ما در اینجا فقط ترافیک داخل محدوده را درنظر می گیریم.
این 5 هفته بصورت زیر هستند:
هفته اول و سوم: (برای

مطلب مرتبط :   منابع پایان نامه دربارهمصرف کنندگان، روش پژوهش

دیدگاهتان را بنویسید