خبرگزاری آیصد (جدیدترین و جذاب ترین اخبار ایران و جهان)

نشر توسط:admin Views 30 تاریخ : 19 فروردين 1395

                                           نفوذ ‌‌هكر‌ها ‌‌را ‌‌چگونه بشناسيم
تشخيص نفوذ، عبارت است ازپردازه تشخيص تلاش‌‌‌‌هايي كه براي دسترسي غيرمجاز به يك شبكه يا كاهش كارايي آن انجام مي‌شوند. در تشخيص نفوذ بايد ابتدا درك صحيحي از چگونگي انجام حملات پيداكرد. سپس بنابر درك به‌دست آمده، روشي دو مرحله اي را براي متوقف كردن حملات برگزيد. اول اين كه مطمئن شويد كه الگوي عمومي‌ فعاليت‌‌‌‌‌هاي خطرناك تشخيص دادهشده است. دوم اين كه اطمينان حاصل كنيد كه با حوادث مشخصي كه در طبقه بندي مشترك حملات نمي‌گنجند، به سرعت رفتار مي‌شود.
به همين دليل است كه بيشتر سيستم‌‌‌‌هاي تشخيص نفوذ (IDS) به مكانيزم‌‌‌هايي براي به‌روزرساني نرم‌افزارشان متكي هستند كه براي جلوگيري از تهديدات شبكه به اندازه كافي سريع هستند. البته تشخيص نفوذ به تنهايي كافي نيست و بايد مسير حمله را تا هكر دنبال كرد تا بتوان به‌شيوه مناسبي با وي نيز برخورد كرد.

- انواع حملات شبكه اي با توجه به طريقه حمله‌
يك نفوذ به شبكه معمولا يك حمله قلمداد مي‌شود. حملات شبكه اي را مي‌توان بسته به چگونگي انجام آن به دو گروه اصلي تقسيم كرد. يك حمله شبكه‌اي را مي‌توان با هدف نفوذگر از حمله توصيف و مشخص كرد. اين اهداف معمولا از كار انداختن سرويس (DOS) يا Denial of Service يا دسترسي غيرمجاز به منابع شبكه است.

1- حملات از كارانداختن سرويس‌

در اين نوع حملات، هكر استفاده از سرويس ارائه شده توسطارائه كننده خدمات براي كاربرانش را مختل مي‌كند. در اين حملات حجم بالايي ازدرخواست ارائه خدمات به سرور فرستاده مي‌شود تا امكان خدمات رساني را از آن بگيرد. در واقع سرور به پاسخگويي به درخواست‌‌‌هاي بي شمار هكر مشغول مي‌شود و از پاسخگويي به كاربران واقعي باز مي‌ماند.

2- حملات دسترسي به شبكه‌

در اين نوع از حملات، نفوذگر امكان دسترسي غيرمجاز به منابع شبكه را پيدا مي‌كند و از اين امكان براي انجام فعاليت‌‌هاي غيرمجاز و حتي غيرقانوني استفاده مي‌كند. براي مثال از شبكه به عنوان مبدا حملات DOS خود استفاده مي‌كند تا درصورت شناسايي مبدا، خود گرفتار نشود. دسترسي به شبكه را مي‌توان به دو گروه تقسيم كرد.

الف ) دسترسي به داده:  در اين نوع دسترسي ، نفوذگر به داده موجود بر روي اجزاء شبكه دسترسي غيرمجاز پيدا مي‌كند. حمله كننده مي‌تواند يك كاربر داخلي يا يك فرد خارج از مجموعه باشد. داده‌‌‌هاي ممتاز و مهم معمولا تنها در اختيار بعضي كاربران شبكه قرارمي‌گيرد و سايرين حق دسترسي به آن‌‌ها را ندارند. در واقع سايرين امتياز كافي راجهت دسترسي به اطلاعات محرمانه ندارند، اما مي‌توان با افزايش امتياز به شكل غيرمجاز به اطلاعات محرمانه دسترسي پيدا كرد. اين روش به تعديل امتياز ياPrivilege Escalation مشهور است.

ب) دسترسي به سيستم: اين نوع حمله خطرناك‌تر و بدتراست و طي آن حمله كننده به منابع سيستم و دستگاه‌‌ها دسترسي پيدا مي‌كند. اين دسترسي مي‌تواند شامل اجراي برنامه‌‌‌ها روي سيستم و به‌كارگيري منابع آن براي اجراي دستورات حمله كننده باشد. همچنين حمله كننده مي‌تواند به تجهيزات شبكه مانند دوربين‌‌ها ، پرينتر‌‌ها و وسايل ذخيره سازي دسترسي پيدا كند. حملات اسب تروا‌‌ها، Brute Force و يا استفاده از ابزار‌‌هايي براي تشخيص نقاط ضعف يك نرم‌افزار نصب شده روي سيستم از جمله نمونه‌‌‌هاي قابل ذكر از اين نوع حملات هستند.

فعاليت مهمي ‌كه معمولا پيش از حملات DoS و دسترسي به شبكه انجام مي‌شود، شناسايي يا
 reconnaissance است. يك حمله كننده از اين فاز جهت شناسايي حفره‌‌‌هاي امنيتي و نقاط ضعف شبكه استفاده مي‌كند. اين كار مي‌تواند به كمك بعضي ابزار‌‌ها آماده انجام پذيرد كه به بررسي پورت‌‌هاي رايانه‌‌‌هاي موجود روي شبكه مي‌پردازند وآمادگي آن‌‌ها را براي انجام حملات مختلف روي آن‌‌ها بررسي مي‌كنند.

- انواع حملات شبكه اي با توجه به حمله كننده‌
حملات شبكه اي را مي‌توان با توجه به حمله كننده به چهار گروه تقسيم كرد :

 ( 1- حملات انجام شده توسط كاربر مورد اعتماد(داخلي): اين حمله يكي از مهم‌ترين و خطرناك‌ترين نوع حملات است، چون از يك طرف كاربر به منابع مختلف شبكه دسترسي دارد و از طرف ديگر سياست‌‌هاي امنيتي معمولامحدوديت‌‌هاي كافي درباره اين كاربران اعمال نمي‌كنند.

2- ) حملات انجام شده توسط افراد غير معتمد (خارجي): اين معمول‌ترين نوع حمله است كه يك كاربر خارجي كه مورد اعتماد نيست شبكه را مورد حمله قرار مي‌دهد. اين افراد معمولا سخت ترين راه راپيش رو دارند، زيرا بيشتر سياست‌‌هاي امنيتي درباره اين افراد تنظيم شده‌اند.

3- ) حملات انجام شده توسط هكر‌‌هاي بي تجربه: بسياري از ابزار‌‌هاي حمله و نفوذ روي اينترنت وجود دارند. در واقع بسياري از افراد مي‌توانند بدون تجربه خاصي و تنها با استفاده از ابزار‌‌هاي آماده براي شبكه ايجاد مشكل كنند.

4- ) حملات انجام شده توسط كاربران مجرب: هكر‌‌هاي با تجربه و حرفه‌اي در نوشتن انواع كد‌‌هاي خطرناك متبحرند. آن‌‌ها از شبكه و پروتكل‌‌هاي آن و همچنين از انواع سيستم‌‌‌هاي عامل آگاهي كامل دارند. معمولا اين افراد ابزار‌‌هايي توليد مي‌كنند كه توسط گروه اول به‌كار گرفته مي‌شوند. آن‌‌ها معمولا پيش از هر حمله، آگاهي كافي درباره قرباني خود كسب مي‌كنند.

- پردازه تشخيص نفوذ
تابه‌حال با انواع حملات آشنا شديم. حال بايد چگونگي شناسايي حملات و جلوگيري از آن‌‌ها را بشناسيم. امروزه دو روش اصلي براي تشخيص نفوذ به شبكه‌‌‌ها مورد استفاده قرار مي‌گيرد:

1 - IDSمبتني بر خلاف قاعده آماري‌

2 - IDS مبتني بر امضا يا تطبيق الگو

روش اول مبتني بر تعيين آستانه انواع فعاليت‌‌ها روي شبكه است، مثلاچند بار يك دستور مشخص توسط يك كاربر در يك تماس با يك ميزبان (host) اجرا مي‌شود. لذا در صورت بروز يك نفوذ امكان تشخيص آن به علت خلاف معمول بودن آن وجود دارد. امابسياري از حملات به گونه‌اي هستند كه نمي‌توان به‌راحتي و با كمك اين روش آن‌‌ها را تشخيص داد.

در واقع روشي كه در بيشتر سيستم‌‌هاي موفق تشخيص نفوذ به كارگرفته مي‌شود،IDS مبتني بر امضا يا تطبيق الگو است. منظور از امضا مجموعه قواعدي است كه يك حمله در حال انجام را تشخيص مي‌دهد. دستگاهي كه قرار است نفوذ را تشخيص دهد با مجموعه‌اي از قواعد بارگذاري مي‌شود. هر امضا داراي اطلاعاتي است كه نشان مي‌دهد در داده‌‌‌هاي در حال عبور بايد به دنبال چه فعاليت‌‌هايي گشت. هرگاه ترافيك در حال عبور با الگوي موجود در امضا تطبيق كند، پيغام اخطار توليد مي‌شود و مديرشبكه را از وقوع يك نفوذ آگاه مي‌كند. در بسياري از موارد IDS علاوه بر آگاه كردن مدير شبكه، با كمك يك فايروال و انجام عمليات كنترل دسترسي با نفوذ بيشتر هكرمقابله مي‌كند. اما بهترين روش براي تشخيص نفوذ، استفاده از تركيبي از دو روش فوق است.