معرفی حمله TCP SYN ACK Flood

ddos-force-attack

در ادامه معرفی حملات قصد داریم متود جدیدی از حملات DDoS با عنوان TCP SYN ACK Flood را مورد بررسی قرار دهیم؛ این نوع حملات همانطور که مشخص است مبتنی بر یک ارتباط TCP به همراه SYN ACK فعال است؛ قبل از شروع معرفی باید با مراحل سه گانه اتصال TCP آشنا شوید:

اول کلاینت یک بسته SYN به سرور می فرستد.
دوم سرور یک بسته SYN ACK به کلاینت  می فرستد.
سوم کلاینت یک بسته ACK به سرور می فرستد.

هنگامی که این سه مرحله به اتمام برسد یک ارتباط مشروع و قانونی بین سرور و کلاینت برقرار می شود که می توانند به تبادل اطلاعات بپردازند. حمله TCP SYN ACK flood پکت های زیادی به صورت TCP ارسال می کند که شامل SYN و ACK فعال است؛ این نوع حمله بسیار شبیه به SYN flood است.

به خواندن ادامه دهید

معرفی حمله SYN Flood

حملات SYN flood یکی از شایع ترین حملات DDoS در لایه ۴ شبکه مدل OSI که مثل حمله ACK و دیگر حملات TCP مبتنی بر یک اتصال TCP است که یک اتصال TCP طبق مطالب گذشته دارای سه مرحله است:

اول کلاینت یک بسته SYN به سرور می فرستد.
دوم سرور یک بسته SYN ACK به کلاینت  می فرستد.
سوم کلاینت یک بسته ACK به سرور می فرستد.

هنگامی که این سه مرحله به اتمام برسد یک ارتباط مشروع و قانونی بین سرور و کلاینت برقرار می شود که می توانند به تبادل اطلاعات بپردازند. تمامی سرور ها دارای محدودیت در کانکشن های باز می باشند که این محدودیت می تواند به دلایلی همچون محدودیت های سخت افزاری و یا پیکربندی تنظیمات سرور باشد.

در یک حمله SYN flood که اکثرا با آی پی های جعلی انجام می شود مرحله اول اتصال انجام می شود؛ یعنی درخواست SYN ارسال می شود ولی مرحله دوم اتصال انجام نمی شود و سرور در انتظار تکمیل ارتباط می ماند و به نوعی کانکشن نیمه باز می ماند، اگر میزان کانکشن های نیمه باز افزایش یابد محدودیت کانکشن ها تمام می شود و هیچ جای خالی برای ایحاد یک کانکشن جدید بین سرور و کاربران واقعی آنها نمی ماند و به اصطلاح سرور DOWN می شود.

در مثال زیر پکت های ارسالی به سرور فرضی با آی پی ۱۰٫۱۰۰٫۱۰۱٫۱۰۲ را مشاهده می کند که تحت حمله SYN flood  قرار گرفته است:

به خواندن ادامه دهید

معرفی حمله SNMP

باگ های سرویس های DNS همواره محبوب ترین راه برای ایجاد حملات DDoS عظیم برای مهاجمان بوده است؛به مرور زمان باگ های سرویس دهندگان DNS  پتچ شدند و راه های سو استفاده از آن مسدود شده اند؛ به طوی که به هر درخواست ناشناخته پاسخ ندهند.

NTP یکی از روش های محبوب بود که به وسیله آن حملات بزرگی در تاریخ اینترنت به وقوع پیوست که به مرور زمان آنها پتچ شدند و راه های سو استفاده از آنها بسته شد؛ اگر چه حملات NTP هنوز نیز مورد استفاده قرار میگیرد اما مثل سابق نیست و نمی تواند حملاتی به قدرت و بزرگی سابق را ایجاد نماید اما جدیدا با خطر جدیدی مواجه هستیم به نام SNMP که از روش تقویت شده (amplification) برای ایجاد حملات استفاده می کنند.

SNMP چیست؟

SNMP مخفف Simple Network Management Protocol و به معنی پروتکل مدیریت آسان شبکه است، دستگاههای مثل سرور که نیاز دارند به اطلاعاتی مثل میزان فضای هارد؛ میزان رم و سی پی یو مصرفی و … مانیتور و از یک راه استاندارد گزارش کنند از پروتکل SNMP استفاده می کند. همچنین بسیاری از روتر ها گزارش پهنای باند و سلامت کارکرد خود را از طریق این پروتکل گزارش می دهند.

درخواست های SNMP بر روی پورت ۱۶۱ و با پروتکل UDP ارسال و دریافت می شوند.

SNMP به عنوان یک روشDDOS

به خواندن ادامه دهید