عندما تحدثت عن تقنية الحفرة السوداء Black Hole سأل أحد زوار المدونة سؤال قد يكون بسيط جدا ولايحتاج إلى شرح كثير ويمكن الاجابة عليه بكلمة واحدة فقط وهو كيف نكتشف هجمات الـ DOS & DDOS على الشبكة وعلى الاجهزة الموجودة داخلها لكن عندما فكرت بالرد, خطر على بالي أن أكتب أكثر وأتعمق في هذه الهجمات وكيف نكتشفها ونكتشف مصدرها وهي تدوينتي لهذا اليوم
كيف نكتشف هجمات الـ DOS & DDOS ؟
بكلمة واحدة نستطيع الأجابة على هذا السؤال “من المعالج” من لاتعتبر كلمة بل حرف جر :D, أرتفاع أداء المعالج وأستهلاك طاقته هو مبدأ هجمات الـ DOS & DDOS فهي تعمل على فكرة أرسال الآف الطلبات التى تسأل الجهاز المستهدف سؤال وهمي لاحاجة لها بمعرفة جوابه ومطلبه الوحيد هو الرد على كل طلباته الوهمية وأرهاق المعالج وأشغاله بأشياء تعيق عمله ووظائفه الرئيسية, ومع كثرة الأسئلة المطلوبة يصاب المعالج بالشلل ويتوقف عن الرد وعن معالجة الأمور الأساسية وتنجح الهجمة في تحقيق أهدافها وهذا هو سبب تسمية هذا النوع من الهجمات بهجمات حجب الخدمة والأختلاف الجوهري بين الأثنان هو أمكانية التحكم وتوزيع الهجوم من خلال شخص واحد فقط وهو مايعرف بي الـ DDOS .
لنعد الآن إلى سؤالنا الأساسي, كيف نكتشف الهجوم لكن لنضف عليه جملة وكيف نحدد هوية المهاجمين ؟ للأجابة على هذا السؤال يتطلب الامر منا معرفة أنواع الهجمات التى يمكن تنفيذها من خلال هجمات حجب الخدمة وهي كثيرة ولكن أغلبها يركز على بروتوكول الـ ICMP والـ TCP!!!. لماذا ICMP ؟ لأن لو حللت هذا المصطلح إلى إسمه الحقيقي لوجدت أن هذا البروتوكول هو نواة الهجوم الحقيقية بل ثنائي رائع يصلح لأحد أفلام هوليوود لان إختصار ICMP يشير إلى Internet Control Message Protocol , هل لاحظت معي الكلمة الثالثة من الاختصار Message ؟ نعم, تعني رسائل والرسائل تعني معلومات وفي الآخر تجد أمامك أن وظيفة البروتوكول هي توصيل الطلبات ورسائل الأخطاء والمشاكل التى قد تواجه الباكيت أثناء رحلتها عبر الشبكات والانترنت وهي الثغرة الأكبر في شبكات العالم كلها ومنها تتشكل الهجمة ويتم إعداد الطلبات وأبسط طلب من المجموعة هو آداة PING فأغلب أنظمة العالم وسيرفراتها يعمل عليها هذا البروتوكول وإن كان محدودا بعض الشيئ من بعض خياراته لكن يبقى وجود أمر مثل البينغ مفعلا عليه شيئ أكيد, سوف أتوقف هنا عن الحديث عن الهجوم فتفاصيله كثيرة ونحن مازلنا في مقدمة بسيطة فقط ولم ندخل في بروتوكولات آخرى والحماية منها أصعب بكثير من بروتوكول الـ ICMP مثل الـ TCP وفكرة طرح المثال على الـ ICMP من اجل مراعاة جميع فئات القراء ولأن هدفي ليس الهجوم بل أكتشاف الهجوم.
كما ذكرنا في بداية التدوينة أن أرتفاع معدلات أداء المعالج هي أكبر دليل على حدوث هجوم حجب الخدمة لكن كيف نبدأ تحديد هوية المهاجم وما الآلية التى يتبعها في تنفيذ الهجوم؟ Netstat ببساطة هو أحد الأدواة التي تحل لنا هذه المعضلة وهو سبب كتابتي لهذه التدوينة, فأداة الـ Netstat مع إمكانياته وخيارته الكثيرة, وظيفته الرئيسي هي أظهار جميع الـ Connections التى تتصل مع السيرفر أو الروتر أو أي جهاز قد يكون مستهدفا وهي مدعومة في أغلب أنظمة التشغيل الموجودة وأغلبنا يعلم إستخداماته وسوف أكتفي بالإشارة إلى الاوامر المستخدمة لتحديد الهجوم والآلية التى يعتمد عليها ( أقصد بالآلية نوعية الهجوم وأي بروتوكول يستخدم)
في ويندوز قم بتنفيذ الأمر التالي من خلال الـ CMD :
n: Displays active TCP connections.
o: Displays active TCP connections and includes the process ID for each connection.
a: Displays all active TCP connections and the TCP and UDP ports on which the computer is listening.
خيار الـ O في غاية الأهمية ولن أبوح لكم بالسبب وسوف أتركه لأحد خبراء الأمن والحماية ليشرحه لنا في سطران لأن فائدته كبيرة جدا وأرغب بسماع رائي الخبراء في فائدته.
في لينوكس قم بتنفيذ الامر التالي :
في لينوكس وعائلته وأولاده المحترمين نجد الخيارات أكبر وأقوى فالعائلة الكريمة أصل قوتها ينبع من موجه الاوامر أو كما يحب أن يطلق عليها مناصري الأنظمة المفتوحة الطرفية فالأمر السابق يقدم لك معلومات بسيطة مثل الأمر الموجود في مايكروسوفت لكن لو أردت الأحترافية فأستخدام الأمر التالي (حصلت عليه من الأنترنت) الذي يقدم لك المهاجم على طبق من ذهب ويخبرك مباشرة بالأيبي الأكثر إتصالا على جهازك ويرتبهم ترتيبا تصاعديا مع تحديد عدد مرات الأتصال المفتوحة.
في سيسكو لن نجد أمر الـ Netstat وسوف نجد مجموعة من الأوامر تحدثت عنها في تدوينة سابقة لي ومخفية عن عيون الكثير منكم وأجزم بأن أحدكم لم يعرها أنتباها كبيرا وهي بدائل أمر الـ Netstat على أجهزة سيسكو والتى ادعوكم اليوم لزيارتها والاحتفال معي بمرور سنة وشهران على كتابتها.
وقبل أن أنهي حديثي بقي لدينا سؤال صغير كيف أعرف وأحدد هوية المهاجم ؟ تحدثت كثيرا في هذه التدوينة ولم نصل حتى الآن إلى إجابة مقنعة فلقد عرضت أوامر وتفاصيل ولم أحدد أجوبة مباشرة كما تعودتم مني, والسبب ببساطة يعود إلى وجود الكثير من المواضيع والمقالات التى تتحدث عن هذا النوع من الهجمات وأعتقد أن أغلبكم مطلع عليها وهدفي هو تقديم الأوامر فقط, فأكتشاف الهجوم ومصدره يتضح معك من خلال مشاهدة نتائج الأوامر السابقة فعندما ترى أن هناك أيبي معين يملك عدد كبير من الـ Connections معك فإذا هو المخرب ولاتتردد في حجبه من خلال الجدار الناري وقد يكونوا أكثر من أيبي وردة الفعل نفسها أي الحجب, وآخيرا أتمنى أن لايكون الموضوع قد أدى إلى طرح عشرات التساؤلات لديك فلقد أختصرت كثيرا وفضلت أن لا أكتب كثيرا في أمور قد يكون لها مراجع عربية كثيرة وخصوصا أن هجمات الـ DOS يتعلمها العربي على الأنترنت قبل أن يتعلم إستخدام محرك البحث غوغل لأن تحرير فلسطين وتدمير أمريكا سوف يكون من خلال هجمات حجم الخدمة كما تعودنا أن نشاهد على صفحات الانترنت العربية ودمتم بود.
كالعاده اكتر ما يعجبنى طريقتك فى التبسيط و ايصال المعلومة 😉
بالنسبه للخيار O اهميته كانت انه يظهر ال PID — process ID
فائده ال PID انك ممكن تعرف برنامج ايه اللى بيعمل Access على البورت ده
طبعا هتعرف الكلام ده من ال TaskManager او اى اداه مخصصه للغرض ده
فى نقطة تانيه احب اضيفها و هى التقنيات المتقدمة لصد هجمات الحجب _الخاصه بسيسكو طبعا _
تقنيه ال Anomaly detection تقنيه معقده شوية خصصت للحمايه من هذه الهجمات و على فكره فى products خاصه من سيسكو لهذا الامرلا اظن ان احد سمع عنهم زى
Cisco Traffic Anomaly Detector XT 5600-
و
Cisco Guard XT 5650-
هلا أخي شريف الحقيقة لم يكن لدي أدنى شك أن الاجابة سوف أسمعها منك 😉 فأنت دائما سباق وأحييك طبعا على هذا الشيئ.
الفكرة من عرض الـ Processor ID شيئ في غاية الاهمية والخطورة فهي تشير إلى البرامج التى تتصل مع الجهاز الخاص بك وخصوصا لو أراد أحد ما إكتشاف وجود باك دور على الجهاز فكما نعلم جميعا أن برامج القرصنة تستعين عادة بباك دور للدخول إلى الأجهزة وهي عادة ما تتخفى بأسماء وهمية في الـ Task Manager وأسماء قريبة جدا من اسماء بعض العمليات الخاصة بالنظام والتى قد يصعب علينا إكتشافه ومن هنا تأتي فعالية مشاهدة النتائج لأمر الـ netstat -O.
النقطة الآخيرة هي إظهار العامود الخاص بي الـ Processor ID فهو مخفي في الوضعية الطبيعية ولإظهاره نتوجه إلى View–>Select columns وبعدها نشير إلى أول صندوق موجود في النافذة وهو PID
وبالنسبة لإضافتك حول طرق إكتشاف الهجمات بشكل أوتماتيكي من خلال برامج أو اجهزة مخصصة لهذه العملية فأغلبها يعتمد على عمليات حسابية تسجل عدد مرات الأتصال وتربطه مع الأيبي, فلو صادف البرنامج وجود أحد الأيبيات يحاول الاتصال مع الجهاز بعدد معين يمكن تحديده بشكل يدوي أو أوتماتيكي (بحسب البرنامج او الجهاز) فردة الفعل تكون مباشرة الحجب, قد أعود لأتحدث عنها بشكل أعمق وأعرض بعض الطرق والتفاصيل حولها.
جــزاك الله خيـــــراً , على ما تقدمه لنا من معلومات مفيده ومهمه
وتتميز دائما بسهولة عرض فى سياق جذاب وأكثر من رائع.
بارك الله فيك أخي أيمن دائما تتحفنا بروعة قلمك
دائما مميز في مواضيعك لا تحرمنا منها
واصل
جزاك الله خيرااا
السلام عليكم
جزاك الله خيرا أخانا ايمن
و احب ان اضيف ان مراقبة اداء المعالج فى الويندوز تكون من ال Task manager او من Performance and Logs MMC. و لأنظمة اللينكس يمكن استخدام الامر Top من الشل او استخدام الواجهه الرسومية بتنفيذ الامر gnome-system-monitor
😀 😀 😀
lموضوع مفيد وطرح رائع وجزاء الله كل خير
موضوع مفيد شكرا جزيلا …. هل بروتوكول ال TCP/IP يستخدم لربط الشبكات وللاتصال فيما بينهم وشكرا .
جزاك الله خيرا على المعلومه المفيده 🙂
اشكرك اخي ايمن على ما قدمته لنا بالنسبة لـ DDoS
فيكمن خطورته ويصعب تقفيه حين يتحكم المهاجم بعدد كبير من الاجهزة bots / zombies
لتنفيذ هذا الهجوم خلف IRC Channel
حيث ان اغلب المهاجمين يخترقون اجهزة كثيرة لتنفيذ هذا الهجوم ( اختراق موقع مشهور لجمع اكبر عدد من الاجهزة واستغلال ثغرة في المتصفح او الجافا لتثبيت الـbackdoor الذي بدوره سيتصل بقناة المهاجم على الايرسي ويعطي المهاجم صلاحية كاملة)
النتيجة اتصال كثير من الزومبيز على قناتي وانتظارهم امري لارسال طلبات بدفعة واحدة تجاه ايبي اختاره
ما يستفيده المهاجم :
أمان المهاجم
توفير الزومبيز لوقت لاحق ( هجوم ثاني )
صعوبة حجب هذه الايبيهات المختلفة في الـranges
مشكور يا اخي على المعلومات القيمه
واكثر ما أعجبني اخر اربع سطور
وأعتقد انه يمكن الاستفاد من برنامج Process Explorer لمعرفة و مراقبة اداء المعالج فى الويندوز
وبرنامج TCPeye لمراقبة الايبيات المتصله الخارجه والداخله واظهار علم الدوله المتصل منها الايبي <- حبيت اشارك فـ ربما اضيف شي لاخواني
والف شكر لك ولكل المشاركين معك في هذا الصراح الكبير
الى الامام ياعرب ويامسلمين
شكرا أخواني على الأضافات المفيدة ولأول مرة يشهد موضوع هذه المشاركة الأيجابية من القراء والسبب وضحته في أربع سطور كما قال الأخ محمد الحربي 😉
نتمنى هذا التفاعل يكون مع جميع المواضيع المطروحة حتى نحقق أكبر فائدة.
ياخي انت انسان فلته
رائع بكل المقايس . اشكرك من قلب قلبي على ما تقدمه من معلومات ونصائح للجميع
بلا استثناء
واخيرا جزاك الله خير