روش های مقابله با حملات سایبری

اصطلاح فضای سایبری: به هر فضائی اطلاق می‌شود که بوسیله نرم افزار در شبکه های رایانه ای ایجاد می‌گردد. کنترل و آغاز حملات از طریق رایانه های موجود در شبکه رهبری می گردند. به جرات می‌توان گفت: بزرگترین فضای سایبری که میلیونها رایانه را به یکدیگر متصل می‌کند، فضای مجازی اینترنت است.

+در این بخش به چند مورد از حملات رایج اشاره می کنیم:

-حمله TCP SYN flood

در این حمله، مهاجم از فضای بافر در Handshake یک نشست TCP بهره‌برداری می‌کند. دستگاه حمله‌کننده، صف در-فرایند سیستم هدف را با درخواست‌های اتصال اشباع کرده و در زمانی که سیستم هدف به این درخواست‌ها پاسخ می‌دهد، دستگاه حمله‌کننده دیگر پاسخ نخواهد داد. این مساله باعث می‌شود تا اتمام زمان انتظار سیستم منتظر پاسخگویی دستگاه مهاجم باشد که این مهم منجر به Crash ‌سیستم یا غیرقابل‌استفاده شدن آن در زمانی که صف Connectionها پر شده است می‌شود.

چندین اقدام متقابل وجود دارد که می‌توان در برابر حمله TCP SYN flood به کار برد:

• پیکربندی سرورها پشت یک فایروال در راستای متوقف کردن بسته‌های SYN ورودی.
• افزایش اندازه صف Connectionها و کاهش زمان انتظار برای Connectionهای باز.

-حمله Teardrop

این حمله منجر به هم‌پوشانی فیلدهای طول و Fragmentation offset در بسته‌های IP متوالی روی سیستم میزان می‌شود. سیستم مورد حمله واقع شده تلاش به بازیابی بسته‌ها کرده اما موفق نخواهد شد. در ادامه سیستم هدف سر‌در‌گم شده و Crash خواهد کرد. برای مقابله در برابر این حمله و در صورتی که کاربران Patch‌های لازم را برای محافظت در مقابل این حمله نداشته باشند، می‌توان SMBr2 را غیرفعال کرده و پورت‌های 139 و 445 را مسدود کرد.

-حمله Smurf

برای محافظت از دستگاه‌ها در برابر این حمله، نیاز است IP directed broadcastها در روترها غیرفعال شوند. انجام این کار از درخواست‌های ICMP echo broadcast در دستگاه‌های شبکه جلوگیری می‌کند. روشی دیگر برای جلوگیری از این حمله پیکربندی سیستم‌های موجود در شبکه به نحوی است که جلوی پاسخگویی این سیستم‌ها به پیام‌های ICMP از آدرس‌های پخش گرفته شود.

-حمله Ping of death

این نوع حمله از بسته‌های IP با اندازه IP ‌بزرگ‌تر از مقدار 65535 بایت به عنوان مقدار ماکزیمم مجاز برای پینگ کردن یک سیستم هدف استفاده می‌کند. همانطور که می‌دانیم بسته‌های IP با این اندازه مجاز نیستند. بنابراین، مهاجمین در انجام چنین حمله‌ای، بسته‌های IP را قطعه‌بندی می‌کنند. زمانی که سیستم هدف بسته را مجددا سر‌هم‌سازی کند، با سرریز بافر و دیگر Crashها مواجه خواهد شد.

می‌توان با استفاده از یک فایروال که بسته‌های IP قطعه‌بندی شده را برای اندازه بیشینه بررسی می‌کند حملات Ping of death را مسدود کرد.

-Botnetها

امنیت در مقابل Botnetها را می‌توان با استفاده از:

• فیلتر RFC3704 که ترافیک ورودی از آدرس‌های جعل شده را رد کرده و اطمینان قابلیت ردیابی شبکه منبع اصلی را تامین می‌کند، به دست آورد. برای مثال، فیلتر RFC3704 بسته‌های دریافتی از لیست Bogon را رها می‌کند.
• فیلتر Blackhole که ترافیک نامطلوب را قبل از رسیدن به شبکه حفاظت‌شده رها می‌کند، به دست آورد. زمانی که یک حمله DDoS تشخیص داده شد، میزبان BGPباید به‌روزرسانی‌های مسیریابی را به مسیریاب‌های ISP ارسال کند تا آن‌ها همه ترافیک‌های در جریان به سمت قربانی را به یک واسط Nullo در Hop بعدی هدایت کنند.

-حمله فرد در میانه (MitM)

یک حمله MitM‌ زمانی روی می‌دهد که هکر خود را مابین ارتباط یک کلاینت و یک سرور وارد کند. در ادامه برخی از انواع رایج حملات فرد در میانه بررسی خواهد شد:

.Session hijacking

در این نوع از حمله فرد در میانه، حمله‌کننده نشست بین یک کلاینت مورد اعتماد و سرور شبکه را سرقت می‌کند. کامپیوتر حمله‌کننده آدرس IP خود را به جای آدرس کلاینت مورد اعتماد جایگزین کرده و سرور نشست را ادامه داده درحالیکه فکر می‌کند با کلاینت اصلی در ارتباط است. برای مثال، یک چنین حمله‌ای ممکن است به صورت زیر رخ دهد:

• یک کلاینت به سرور متصل می‌شود.
• کامپیوتر حمله‌کننده کنترل کلاینت را به دست می‌آورد.
• کامپیوتر حمله‌کننده اتصال کلاینت از سرور را قطع می‌کند.
• کامپیوتر حمله‌کننده آدرس IP کلاینت را با آدرس IP خود جایگزین کرده و اعداد متوالی کلاینت را جعل می‌کند.
• کامپیوتر حمله‌کننده گفتگو با سرور را ادامه داده در حالیکه سرور همچنان فکر می‌کند که با کلاینت در ارتباط است.

.جعل IP

جعل IP توسط یک حمله‌کننده برای متقاعد کردن یک سیستم به ارتباط داشتن با یک موجودیت شناخته شده و معتمد و در راستای دستیابی به سیستم است. حمله‌کننده بسته‌ای با آدرس منبع IP یک میزبان مورد اعتماد و شناخته شده به جای آدرس منبع IP خود به میزبان هدف ارسال می‌کند. میزبان هدف ممکن است بسته را قبول کرده و بر اساس آن عمل کند.

.تکرار

حمله تکرار زمانی رخ می‌دهد که حمله‌کننده پیام‌های قدیمی را استراق‌سمع کرده و در آینده تلاش به ارسال مجدد آن‌ها و جا زدن خود به جای یکی از شرکت‌کنندگان کند. با استفاده از برچسب‌های زمانیو اعداد یک بار مصرفبه راحتی می‌توان جلوی این حمله را گرفت.

لازم به ذکر است که در حال حاضر یک فناوری یا پیکربندی واحد برای جلوگیری از همه انواع حملات MitM وجود ندارد. اما به طور کلی، استفاده مناسب از رمزگذاری و گواهینامه‌های دیجیتال راه‌کاری تاثیرگذار برای مقابله با حملات MitM است.

.حمله Drive-by

برای محافظت در برابر حملات Drive by نیاز است تا مرورگرها و سیستم‌های عامل به‌روز نگهداری شده و از بازدید وب‌سایت‌هایی که ممکن است شامل کدهای مخرب باشند جلوگیری شود. تنها از سایت‌هایی که به طور معمول استفاده می‌کنید، استفاده کرده اما به یاد داشته باشید که حتی این سایت‌ها نیز ممکن است هک شوند. برنامه‌ها و Appهای غیرضروری را از روی دستگاه خود پاک کنید. داشتن افزونه بیشتر به معنی آسیب‌پذیری بیشتر است که می‌تواند توسط حملات Drive by مورد سوء‌استفاده قرار گیرد.

.حملات پسورد

از آن‌جا که پسوردها رایج‌ترین مکانیزم استفاده شده برای احراز هویت کاربران در یک سیستم اطلاعاتی هستند، به دست آوردن پسوردها یک رویکرد حمله رایج و موثر است. دسترسی به پسورد یک نفر می‌تواند با جستجو اطراف میز آن شخص، شنود ارتباط به شبکه برای دستیابی به پسوردهای رمزگذاری شده، استفاده از مهندسی اجتماعی، دستیابی به پایگاه داده پسوردها و حدس پسورد اتفاق افتد.

برای تا حدی محافظت کردن از خود در برابر حملات لغت‌نامه و جستجوی کلی نیاز به پیاده‌سازی مکانیزم بسته شدن حساب‌های کاربری در صورتی اشتباه وارد کردن پسورد یک حساب کاربری برای چند بار پیاپی است.