📕 المحور الحادي عشر: خارج عن الخدمة - Denial-of-Service

بسم الله والصلاة والسلام على رسول الله

اليوم ان شاءالله راح اشرح المحور الحادي عشر من سلسلة "مراحل اختبار الاختراق" وهو:-

 

📕 خارج عن الخدمة - Denial-of-Service:

    · هجوم يهدف إلى إغلاق جهاز أو شبكة بصفة مؤقتة، ويجعل الوصول إليها غير ممكن. ويتم هذا الهجوم عن طريق إرسال حزم "طلب بيانات" كاذبة بكمية كبيرة إلى المستهدف ينتج عن ذلك إستهلاك جميع موارد الجهاز كالـ CPU والـ RAM مما يودي إلى خروج الجهاز عن نطاق الخدمة بصفة مؤقتة.

 

📍 توزيع خارج عن الخدمة - Distributed Denial-of-Service:

    · وهو نفس هجوم DoS ولاكن يتم إطلاق هذا الهجوم عبر إستخدام العديد من الأجهزة المخترقة حول العالم ولاكثر من IP واحد والمعروفة بإسم (Zombies/Bonnet) او بإستخدام برامج حديثة مما يزيد من تعقيد تحديد مصدر الهجوم الفعلي.

 

📍 الفئة الأساسية للهجوم:

    · الهجمات على أساس الحجم - Volume Based Attacks:

يعتمد هذا الهجوم على إرسال فيضانات من الحزم المخادعة بهدف استهلاك الـ Bandwidth للمستهدف، ويتم قياس الحجم هذه البيانات بالبت في الثانية (Bps).

    · هجمات البرتوكول - Protocol Attacks:

يستهلك هذا النوع من الهجوم موارد الخادم الفعلية، أو تلك الخاصة بمعدات الاتصال الوسيطة، مثل جدران الحماية وموازنات التحميل، ويتم قياسه بالحزم في الثانية (Pps). يتم إرسال فيضانات باستخدام برتوكول SYN وRST وFragment Packet وPing of Death وSmurf DDoS.

    · هجمات طبقة التطبيق - Application Layer Attacks:

تعتمد هذي الهجمات على استغلال الثغرات ونقاط ضعف Apache أو Windows أو OpenBSD الموجودة على الطبقة السابعة. حيث تبدو هذه الطلبات حقيقية ولاكنها تهدف إلى تعطل خادم الويب وغيرها من الخوادم. ويتم قياس الحجم بالطلبات في الثانية (Rps).

 

📍 يمكن إطلاق الـ DoS Attack من خلال: -

    · UDP flood: يقوم المهاجم بإرسال حزم بيانات UDP إلى جهاز المستهدف لاجل إغراق المنافذ العشوائية على الجهاز مما يؤدي إلى قيام الجاهز بالتحقق بشكل متكرر من التطبيق الذي يستمع على هذا المنفذ، والرد (في حالة عدم العثور على أي تطبيق) بحزمة ICMP "Destination Unreachable". تستنزف هذه العملية موارد الجهاز بشكل كامل، مما قد يؤدي في النهاية إلى عدم إمكانية الوصول إليها.

    · ICMP flood: يقوم المهاجم بإرسال حزم كبيرة من طلب ICMP (ping)، بأسرع ما يمكن دون انتظار الردود، مما يؤدي هذا الهجوم إلى استهلاك الـBandwidth، نظرًا لأن خادم الضحية سيحاول الاستجابة على تلك الحزم بحزم ICMP Echo Reply، مما يؤدي إلى تباطؤ كبير في النظام بشكل عام.

    · Ping to Death: يهدف المهاجم إلى تعطيل الجهاز المستهدف عن طريق إرسال حزمة أكبر من الحد الأقصى المسموح به حيث يبلغ الحد الأقصى لطول الحزمة لحزمة IP (بما في ذلك الرأس) 65.535 بايت. وبعد التلاعب بمحتوى الاجزاء، ينتهي المستلم بحزمة IP أكبر من 65.535 بايت عند إعادة تجميعها مما يتسبب في تجميد الجهاز المستهدف أو تعطله.

    · HTTPS GET/POST: هو نوع من هجمات رفض الخدمة الموزعة الحجمي (Volume Based Attacks) المصممة لإغراق الخادم المستهدف بطلبات HTTP GET/POST حيث يستغل المهاجم هذه الطلبات التي تبدو مشروعة لمهاجمة خادم أو تطبيق الويب. فبمجرد تشبع الهدف بالطلبات وعدم قدرته على الاستجابة لهذه الطلبات، سيقوم الخادم برفض طلبات الإضافية من المستخدمين الفعليين.

    · SYN flood: يستغل نقطة ضعف في تسلسل اتصال TPC "المصافحة ثلاثية"، حيث يجب على الخادم إتمام جميع مراحل المصافحة الثلاثية لإنشاء الاتصال ما بين الطرفين. ففي هذا الهجوم قوم المهاجم بإرسال طلبات SYN متعددة ومزيفة إلى الخادم، مما يتوجب على الخادم إلى الرد لجميع حزم الـ SYN والذي سيتسبب في استنزاف جميع موارد الجهاز مما يؤدي في النهاية إلى رفض الخدمة.

    · Buffer overflow attacks: يعتمد هذا الهجوم في إرسال المزيد من حركة المرور إلى جهاز الضحية أكثر مما تم تصميمه. فيتم استغلال تجاوزات المخزن المؤقت بهدف تعديل ذاكرة الكمبيوتر أو السيطرة عليه.

    · Fragmentation attacks: يقوم المهاجم بإرسال أجزاء مزيفة Fragmented Packets التي لا يمكن إلغاء او إعادة تجزئتها. وبالتالي يتم وضع هذه الأجزاء في وحده تخزين مؤقته، مما يؤدي إلى شغل الذاكرة واستنفاد جميع موارد الذاكرة المتاحة وينتج عنه "رفض الوصول إلى الجهاز".

    · Multi-vector attacks: يقوم المهاجم باستخدام جميع مراحل الـ Volume Based Attacks و Protocol Attacksو Application Layer Attacks. فيمكن ان يستبدل ما بينهم الهجمات او ان يستخدمهم جميعاً في آنن واحد.

    · Distributed Reflection DoS: وهو هجوم مشابه إلى DDoS. حيث تتضمن DRDoS على أجهزة ضحايا متعددة تشارك في هجوم DDoS على الضحية. فيكون هذا الهجوم على المحور التالي، المهاجم يلقى الأوامر إلى جهاز الزومبي والزومبي يلقى الأوامر إلى زمبي آخر ومن ثم إلى جهاز الضحية.

 

📍 ما هو الـ Botnet:

    · عبارة عن مجموعة من الأجهزة المتصلة بالإنترنت المصابة ببرامج خبيثة تسمح للمهاجمين بالتحكم التام عليها دون علم المالك. حيث يستخدم مجرمو الإنترنت هذه الاجهزة للتحريض على هجمات ضارة مثل التجسس او تسريب بيانات الحساسة او سرقة بيانات بنكية او عمل هجمات الـ DDos/DRDoS.

 

📍 علامات الاصابة بالـ DoS Attack: -

    · وصول بطيء إلى الملفات، محليًا أو عن بُعد

    · عدم القدرة على الوصول إلى موقع ويب معين

    · عدم القدرة على الاتصال بالإنترنت

    · كمية مفرطة من رسائل البريد الإلكتروني العشوائية

    · بطء شديد في أداء الجهاز

    · الاستهلاك العالي على موارد الجهاز

 

📍 خطوات لحماية من هجوم الـDoS Attack:-

    · قم برفع مسالحة الـbandwidth إلى 1G او 10G

    · قم بعمل بنية تحتية مكررة Redundancy Network 

    · قم بتثبيت برامج او ادوات ضد الهجمات Anti-DDoS

    · قم بحماية خادم الـDNS

 

📍 البرامج المستخدمة لعمل هجوم الـ DoS: -

    · High Orbit Ion Cannon

    · Low Orbit Ion Cannon

    · HULK

    · RUDY

    · Slowloris

    · XOICPyLoris

    · Metasploit

    · DDOSIM

    · Hping3

 

📍 أجهزة لحماية الشبكة من الـDoS Attack:-

    · FortiDDoS

    · DDoS Protector

    · Cisco NGF

    · IDS/IPS

    · Arbor Network APS

 

📍 برامج لحماية الشبكة من الـDoS Attack:-

    · Incapsula DDoS Protection

    · Anti DDoS Guardian

    · Stormwall PRO

    · AWS Shield

    · SolarWinds Security Event Manager

    · Wireshark

    · NetScaler AppFirewall

    · CloudFlare 

    · SiteLock

هكذا ولله الحمد انهيت شرح مبسط عن ماهو هجوم خارج عن الخدمة - Denial-of-Service وانواعه واهدافه وكيفية عمل الهجوم وكذلك كيفيه والدفاع منه.

ملخص من مادة CEHv10

واسال الله لي ولكم التوفيق والنجاح

تحياتي لكم جميعاً 🌹 IronHulk