حمله منع سرویس (به انگلیسی: Denial of Service attack) (یا به اختصار) در محاسبات حمله منع سرویس یا حمله منع سرویس توزیع شده، تلاش برای خارج کردن ماشین و منابع شبکه از دسترس کاربران مجازش می باشد.اگرچه منظور از حمله DOS و انگیزه انجام آن ممکن است متفاوت باشد، اما به طور کلی شامل تلاش برای قطع موقت یا دائمی و یا تعلیق خدمات یک میزبان متصل به اینترنت است. عاملین حمله DOS معمولاً سایت ها یا خدمات میزبانی وب سرور با ویژگی های مناسب مانند بانک ها، کارت های اعتباری و حتی سرورهای ریشه را هدف قرار می دهند. یکی از روش های معمول حمله شامل اشباع ماشین های هدف با درخواست های ارتباط خارجی است به طوری که نمی‌تواند به ترافیک قانونی پاسخ دهد یا پاسخ ها با سرعت کم داده شوند و یا در دسترس نباشد. چنین حملاتی منجر به سربار زیاد سرور می شوند. حمله DOS کامپیوتر هدف را وادار به ریست شدن یا مصرف منابع اش می کند، بنابراین نمی‌تواند به سرویس های مورد نظرش سرویس بدهد و همچنین سیاست های مورد قبول فراهم کنندگان سرویس های اینترنتی را نقض می کنند.


علائم و نشانه ها

US-CERT علائم حملات منع سرویس را این گونه تعریف می کند:

  • کارایی کند وغیرمعمول شبکه
  • در دسترس نبودن یک وب سایت خاص
  • ناتوانی در دسترسی به یک وب سایت
  • افزایش چشمگیر در تعداد هرزنامه های دریافتی
  • قطع اتصال به اینترنت بی سیم یا سیمی

حملات منع سرویس می توانند منجر به مشکلاتی در شاخه های شبکه در کامپیوتر واقعی مورد حمله قرار گرفته شده باشند که منجر به به خطر افتادن کامپیوتر مورد نظر و کل شبکه یا کامپیوترهای دیگر در LAN می شود. اگر حمله در یک مقیاس بزرگ اتفاق افتاده باشد تمام نواحی جغرافیایی اتصالات اینترنت به دلیل پیکربندی نادرست یا سست بودن تجهیزات زیرساختی شبکه به خطر می افتد.

روش های حمله

حمله منع سرویس، تلاش صریح مهاجمان در جلوگیری از دسترسی کاربران مجاز به سرویس های مشخص می باشد. دو شکل کلی برای حملات DOSوجود دارد: آنهایی که سرویس ها را crash می کنند و آنهایی که سرویس ها را با بسته های سیل آسا غرق می کنند. حمله DOS به چندین روش انجام می شود، پنج نوع اصلی این حمله عبارتند از:

  1. مصرف منابع محاسباتی مانند: پهنای باند، حافظه، فضای دیسک و زمان پردازش
  2. ایجاد تداخل در اطلاعات پیکربندی مثل: اطلاعات مسیریابی
  3. ایجاد تداخل در اطلاعات وضعیت مثل ریست شدن ناخواسته نشست های TCP
  4. ایجاد تداخل در تجهیزات فیزیکی شبکه
  5. مانع ارتباطی بین کاربران مجاز و قربانی تا نتوانند با ارتباط ادامه دهند.

DOS ممکن است شامل اجرای نرم‌افزارهای مخرب باشد:

  • حداکثر شدن استفاده از پردازنده از انجام هر کاری جلوگیری می کند.
  • خطاهای محرک در میکروکدهای ماشین
  • خطاهای محرک در توالی دستورالعمل ها، به طوری که کامپیوتر را وادار به یک حالت ناپایدار و یا قفل کردن می کند.
  • بهره برداری از خطاهای موجود در سیستم عامل

در بیشتر موارد حمله DOS با جعل آی پی آدرس فرستنده (آی پی آدرس جعلی)انجام می شود، به طوری که تعیین ماشین حمله کننده قابل شناسایی نیست.

جریان سیل آسای ICMP

حملهsmurf یکی از انواع حملات DOS سیل آسا روی اینترنت است.این نوع حمله به پیکربندی نامناسب تجهیزات شبکه که اجازه ارسال بسته ها به همه کامپیوترهای میزبان روی یک شبکه خاص با آدرس های همه پخشی را می دهد، متکی است. در چنین حمله ای مهاجمان با یک آی پی جعلی یک تقاضای ping به یک یا چندین سرور همه پخشی ارسال کرده و آدرس آی پی ماشین هدف (قربانی) را ست می کنند .سرور همه پخشی این تقاضا را برای تمام شبکه ارسال می کند. تمام ماشین های شبکه پاسخ را به سرور، ارسال همه پخشی می کنند. سرور همه پخشی پاسخ های دریافتی را به ماشین هدف هدایت یا ارسال می کند. بدین صورت زمانی که ماشین حمله کننده تقاضائی را به چندین سرور روی شبکه های متفاوت همه پخشی می نماید، مجموعه پاسخ های تمامی کامپیوترهای شبکه های گوناگون به ماشین هدف ارسال می گردند و آن را از کار می اندازند. بنابراین پهنای باند شبکه به سرعت استفاده می شود و از انتقال بسته های مجاز به مقصدشان جلوگیری به عمل خواهد آمد.برای مبارزه با حمله منع سرویس در اینترنت سرویس هایی مانند Smurf Amplifier Registry توانایی تشخیص پیکربندی های نامناسب شبکه وانجام عملیات مناسب مثل فیلترینگ را می دهند.

بسته های سیل آسای Ping ، بسته های Ping زیادی را به سمت قربانی ارسال می کنند. ping of death به ارسال هایی از بسته های ping با فرمت و شکل نامناسب یه سمت قربانی گفته می شودکه باعث crash شدن سیستم عامل می گردد.

جریان سیل آسایSYN

Syn Flood زمانی اتفاق می افتد که میزبانی از بسته های سیل آسای TCP/SYN استفاده کند که آدرس فرستنده آنها جعلی است. هر کدام از این بسته ها همانند یک درخواست اتصال بوده و باعث می شود سرور درگیر اتصالات متعدد نیمه باز بماند، با فرستادن یا برگرداندن بسته های TCP/SYN ACK و منتظر بسته های پاسخ از آدرس فرستنده می ماند ولی چون آدرس فرستنده جعلی است هیچ پاسخی برگردانده نمی‌شود. این اتصالات نیمه باز تعداد اتصالات در دسترس سرور را اشباع می کنند و آن را از پاسخگویی به درخواست های مجاز تا پایان حمله بازمی گذارند. بنابر این منابع سرور به اتصال های های نیمه باز اختصاص خواهد یافت. وامکان پاسخ گویی به درخواستها از سرور منع می‌شود.

حمله Teardrop

این حمله شامل ارسال بسته های آی پی است که با هم تداخل دارند یا بسته هایی با سایز بزرگ و یا بسته هایی با ترتیب نامناسب می باشند. این حمله می تواند سیستم عامل های مختلف را به علت اشکالی که در کد بازسازی مجدد بخش های TCP/IP دارند crash کند. Windows 3.1x وWindows 95 وسیستم عامل Windows NT و نسخه های 2.0.32 و 2.1.63 در برابر این حمله آسیب پذیر هستند

حمله نظیر به نظیر

مهاجمان به دنبال راهی برای یافتن اشکال در سرورهای نظیر به نظیر هستند تا حمله DDOS را شروع کنند.حملات نظیر به نظیر متفاوت از حملات مبتنی بر بات نت ها هستند. در حملات نظیر به نظیر، بات نت یا مهاجمی برای یرقراری ارتباط با کلاینت وجود ندارد به جای آن مهاجم به عنوان دست نشانده ای از ارباب، به کلاینت های موجود در مراکز به اشتراک گذاری فایل ها طوری آموزش می دهد که شبکه نظیر به نظیر خود را قطع کرده و به جای آن به وب سایت قربانی متصل شوند. در نتیجه چندین هزار کامپیوتر به صورت تهاجمی به وب سایت قربانی وصل می شوند. در حالی که وب سرور قبل از این که کارایی اش تنزل پیدا کند قادر به کنترل و مدیریت صدها اتصال در ثانیه بوده است بلافاصله بعد از 5 یا 6 هزار اتصال در ثانیه شکست می خورد.

عدم تقارن استفاده از منابع در حملات گرسنگی

حمله ای که در مصرف منابع بر روی کامپیوتر قربانی موفق باشد باید:

  • توسط مهاجمی با منابع بیشتر انجام شود
    • کنترل کامپیوتر با قدرت محاسباتی بیشتر یا پهنای باند بیشتر شبکه
    • کنترل تعداد زیادی کامپیوتر و هدایت آنها به سمت قربانی به عنوان حمله گروهی .حمله DDOs نمونه اولیه آن است.
  • بهره گیری از یک ویژگی سیستم عامل یا برنامه کاربردی روی سیستم قربانی که باعث می شود مصرف منابع قربانی بیشتر از مهاجم باشد(حمله نامتقارن).

حملات Smurf attack، SYN flood، Sockstress و NAPTHA از نوع حملات نامتقارن هستند. یک حمله ممکن است برای افزایش توان خود از ترکیبی از این روش ها استفاده کند.

حمله منع سرویس دائمی

محرومیت دائم از سرویس که به عنوان phlashing نیز شناخته می شود. یک حمله ای است که چنان صدمه ای به سیستم می زند که نیاز به جایگزینی یا نصب دوباره سخت افزار را بوجود می آورد. برخلاف DDOS این نوع حمله از نقص های امنیتی که اجازه مدیریت راه دور اینترفیس های سخت افزاری قربانی مثل روتر، چاپگر یا سخت افزارهای شبکه سواستفاده می کند.مهاجم از این آسیب پذیری برای جایگزین کردن سیستم عاملهای دستگاه با نوع معیوب یا خراب استفاده می کند. بنابراین آنها را تا زمان تعمیر یا تعویض ، برای هدف اصلی غیرقابل استفاده می کند.

Nuke

نوع قدیمی حمله DOS در برابر شبکه های کامپیوتری است که متشکل از بسته های ICMP تکه تکه یا نامعتبر ارسال شده به سمت هدف است، که با استفاده از ping های دستکاری شده و ارسال مکرر داده های خراب بدست می آید و سرعت سیستم رفته رفته کم شده و متوقف می شود. یکی از مثال های خاص حمله Nuke،حمله WinNuke است که از آسیب پذیری نت بایوس در ویندوز 95 سواستفاده می کند.

(R-U-Dead-Yet? (RUDY

این حمله به برنامه های کاربردی وب با ایجاد گرسنگی در جلسات در دسترس روی وب سرور حمله می کند. شبیهSlowloris، جلسات را با استفاده از انتقال پست های بدون پایان و ارسال مقادیر سرآیند با محتویات بزرگ در حالت توقف نگه می دارد.

حمله های توزیع شده

زمانی اتفاق می افتد که چندین سیستم پهنای باند یا منابع سیستم مورد هدف را با بسته های سیل آسا مورد حمله قرار دهند.وقتی سروری با اتصالات زیادی دچار سربار شود، دیگر نمی‌تواند اتصالات جدیدی را بپذیرد.مزیت عمده ای که استفاده از حمله منع سرویس توزیع شده برای مهاجم دارد این است که ماشین های چندگانه می توانند ترافیک بیشتری را نسبت به یک ماشین تولید کنند. اگر مهاجم برای حمله از یک میزبان استفاده کند به این نوع حمله DOS می گوئیم. در واقع هر حمله ای علیه دسترس پذیری به عنوان حمله منع سرویس تلقی می شود.از سوی دیگر اگر مهاجم از سیستم های زیادی به طور همزمان برای راه اندازی حملات علیه یک میزبان راه دور استفاده کند به عنوان حمله DDOS تلقی می شود. در روش DDOS تمام رایانه‌ها همزمان با هم عمل می‌کنند به طوری که ممکن است در برخی موارد خسارات جبران ناپذیری به بار آورند. در این روش معمولاً مهاجم سیستم‌های زیادی را آلوده کرده و به آن‌ها همزمان فرمان می‌دهد. به سیستم‌های آلوده شده زامبی (zombie) و به شبکه‌ای از این سیستم‌ها که تحت کنترل یک شخص هستند، botnet گفته می‌شود.

حمله جعل شده/منعکس شده

DrDoSحمله منع سرویس توزیع شده منعکس شده، نوعی از حملات منع سرویس است که طراحی نسبتاً هوشمندانه‌ای دارد. این حمله از آن جهت شبیه به DDoS است که از چندین منبع برای حمله به یک شخص استفاده می‌کند؛ اما این کار به طور پنهانی انجام می‌شود. در این حمله مهاجم بسته‌هایی را به تعداد زیادی(صدها نفر) از کاربران می‌فرستد و به آن‌ها هشدار می‌دهد که رایانه‌ی قربانی درخواست سرویس خاصی را دارد. به ازای هر بسته میزان بسیار کمی از ترافیک تولید می‌شود، شاید کوچکتر از درخواست‌های معمول؛ از این رو بسیار بعید است که این حمله توسط مدیران مورد توجه قرار گرفته و یا حس شود. حملات درخواست echo ICMP به عنوان نوعی حمله منعکس شده در نطر گرفته می شوند که درآن میزبان های سیل آسا درخواست های echo را به آدرس های همه پخشی شبکه های با پیکربندی نامناسب ارسال می کند در نتیجه میزبان مجبور به ارسال بسته های پاسخ echo به قربانی می شود.DDOS های اولیه به این شکل پیاده سازی می شدند.

حمله منع سرویس تلفنی

  • scammer با بانکدار قربانی یا کارگذار تماس برقرار می کند و هویت قربانی را برای درخواست انتقال وجه جعل می کند، بانکدار تلاش می کند تا با قربانی برای تایید انتقال، تماس حاصل کند ولی خطوط تلفن قربانی با هزاران تماس ساختگی به صورت سیل آسا مورد حمله قرار گرفته و موجب در دسترس نبودن قربانی می شود.
  • scammer با مشتری با ادعای ساختگی برای پرداخت وام فوق العاده زیاد تماس می گیرد، scammer ها در برخی موارد از شناسه جعلی تماس گیرنده برای جازدن خودشان به جای پلیس یا آژانس های اجرای قانون استفاده می کنند.

سوء استفاده های مرتبط شامل حملات سیل آسای پیامکی و فکس های سیاه یا انتقال حلقه ای فکس است.

اجرای حمله منع سرویس

برنامه های مختلفی برای اجرای حمله منع سرویس وجود دارند.

مدیریت یا اداره حمله

پاسخ دفاعی در برابر حملات منع سرویس شامل استفاده از ترکیبی از روش های تشخیص حمله ، طبقه بندی ترافیک و ابزارهای پاسخ است که هدف آنها بلوکه کردن ترافیک های غیرمجاز و اجازه برقراری ترافیک های مجاز می باشد.لیست ابزارهای پاسخ و پیشگیری در زیر آورده شده آورده شده است.

دیوار آتش

دیوار آتش می تواند به این صورت راه اندازی شودکه شامل قوانین ساده برای اجازه یا رد کردن پروتکل ها، پورت ها یا آی پی آدرس ها باشد. در مورد حملات ساده ای که از آدرس های با آی پی غیرمعمول می آیند می توان با قرار دادن قانون ساده ای که ترافیک های ورودی از چنین مهاجمانی را حذف کند. برخی حملات با چنین قوانین ساده ای قابل بلوکه شدن نیستند، اگر یک حمله روی پورت 80(وب سرویس)در حال انجام باشد غیرممکن است که همه ترافیک های ورودی روی چنین پورتی را حذف کرد، زیرا این کار، سرورها را از ارائه ترافیک قانونی منع می کند.

سوئیچ ها

برخی سوئیچ ها دارای عوامل محدودکننده نرخ و قابلیت لیستهای کنترل دسترسی را دارند. برخی سوئیچ ها از فیلترینگ برای تشخیص و از بین بردن حملات DOS از طریق فیلتر کردن خودکار نرخ استفاده می کنند.

روترها

مشابه سوئیچ ها، روترها هم قابلیت ACL و کنترل نرخ را دارند.بیشتر روترها می توانند در برابر حملات DOS قرار بگیرند. سیستم های عامل سیسکو دارای ویژگی هستند که از حملات سیل آسا پیشگیری می کند.

سیستم پیشگیری از نفوذ

سیستم پیشگیری از نفوذ زمانی موثر است که حملات دارای امضا باشند.سیستم پیشگیری از نفوذ که روی شناخت محتوا کار می کند نمی‌تواند حملات DOSمبتنی بر رفتار را بلوکه کند.IPS مبتنی بر ASCI می تواند حملات منع سرویس را تشخیص و بلوکه کند، زیرا دارای توان پردازشی و تجزیه و تحلیل حملات است. IPS مبتنی بر نرخ(RBIPPS)باید الگوی ترافیک را به صورت تک تک و بطور پیوسته مانیتور کند . آنومالی ترافیک را در صورت وجود تعیین کند.

سیاه چاله و گودال

به مدیر اجازه می دهد که ترافیک حمله را به یک آدرس آی پی (اینترفیس خالی یا سرور غیرموجود) ، هدایت کند تا آن را حذف نماید. وقتی حمله ای تشخیص داده می شود، یک مسیر ثابت ایجاد می شود تا ترافیک حمله را به جای ماشین قربانی به سمت یک سیاه چاله، هدایت کنند. در حالت گودال ، ترافیک حمله به یک آدرس آی پی ارسال می شود تا برای بررسی بیشتر ثبت شود. مزیت آن این است که ترافیک حمله می تواند جمع آوری و آنالیز شود تا الگوی حمله مورد مطالعه و بررسی قرارگیرد.

Backscatter

در امنیت شبکه های کامپیوتری، برگشت پراکنده مشکل و عارضه جانبی حمله منع سرویس جعلی است. در این نوع حمله، مهاجم آدرس آی پی مبدا بسته را جعل می کند و به قربانی ارسال می کند، در کل ماشین قربانی قادر به تشخیص بسته های جعلی و مجاز نیست، بنابراین قربانی به بسته های جعلی پاسخ می دهد،این بسته های پاسخ بعنوان برگشت پراکنده تلقی می شوند.اگر مهاجم آی پی آدرس های مبدا را به صورت تصادفی جعل کند، بسته های پاسخ برگشت پراکنده از قربانی به مقصدهای تصادفی ارسال می شوند.

روش‌های جلوگیری

به طور کلی هیچ راه تضمین کننده‌ای برای جلوگیری از این حمله وجود ندارد و تنها راه‌هایی برای جلوگیری از برخی روش‌های متداول و کم کردن اثرات سایر روش‌ها موجوداست، چرا که بسیاری از روش‌ها به هیچ‌عنوان قابل پیشگیری نیست، به عنوان مثال اگر شبکه botnet با صدهزار zombie صفحه‌ای از سایت را باز کنند، این درخواست یک درخواست عادی بوده و نمی‌توان تشخیص داد که درخواست دهنده سیستم معمولی است یا zombie و به همین جهت نمی‌توان جلوی آن‌را گرفت.

استفاده از سیستم‌های تشخیص دهنده (IPS) سیستم‌های تشخیص براساس سرعت بسته‌ها (RBIPS) و اینگونه سیستم‌ها نیز روش مناسبی برای جلوگیری از این حملات است.

بسته‌های نرم‌افزاری نیز موجودند که شامل تمام این سیستم‌ها هستند، استفاده از این بسته‌ها علاوه بر حملات DoS بسیاری دیگر از حملات را شناسایی می‌کنند، بسته نرم‌افزاری SSP (Sun Security Package) از جمله این بسته‌ها است که کار شناسایی و جلوگیری را به صورت خودکار انجام می‌دهد.