تجربه نیز اینگونه ثابت کرده است که در موارد متعدد سایتهایی که اهمیت و بازدید بیشتری دارند بیش از سایر سایتها مورد علاقه هکرها قرار میگیرند و در معرض حملات بیشتری قرار دارند. اما راه تشخیص این حملات از چه قرار است؟
اگر جستوجویی کوتاه در اینترنت داشته باشید علاوه بر مواجهه با لیستی بلند بالا از سایتهایی که هک شدهاند و هر لحظه هم بر تعداد آنها افزوده میشود، در موارد متعدد حتی با سایتهایی روبه رو خواهید شد که مدعی آموزش اینترنتی شیوههای هک کردن هستند.
هکرها به ابزارهای حملات خودکار تزریق SQL و Remote File Inclusion علاقه ویژهای دارند و با استفاده از نرمافزارهایی مانند sqlmap، Havij یا NetSparker، پیدا کردن و سوء استفاده از آسیبپذیریهای وبسایتها حتی برای مهاجمان تازهکار سریع و آسان است.
هکرها به سه دلیل کلیدی به ابزارهای خودکار علاقه دارند.
1:برای اینکه این ابزارها نیاز به مهارت بسیار کمی برای استفاده دارند و اغلب بهطور رایگان در دسترس هستند (از طریق فرومهای هکرها یا سایتهای تولید کنندگان آنها که این ابزارها را به عنوان ابزارهای معتبر تست نفوذ طراحی کردهاند).
2: این ابزارها هکر را قادر میسازند که در زمانی کوتاه و با تلاشی کم به تعداد زیادی سایت حمله کند
3: این ابزارها استفاده بهینه را از سرورهای آلوده که ممکن است تنها برای مدت محدودی در اختیار آنها باشند، به عمل میآورند.
اما نکته مثبت اینجاست که درصورتیکه شما بتوانید راهی برای کشف و مسدود کردن حملات خودکار پیدا کنید، خواهید توانست حجم زیادی از حملات هکری را بر روی سایت خود متوقف کنید. در این گزارش نحوه شناسایی ترافیک خرابکارانه تولید شده توسط این ابزارهای خودکار شرح داده خواهد شد.
نشانه اول: نرخ بالای درخواست ورودی
یکی از نشانههای کلیدی یک حمله خودکار، نرخ رسیدن درخواستهای ورودی است. احتمال اینکه یک انسان بتواند بیش از یک درخواست HTTP در هر 5 ثانیه تولید کند بسیار پایین است. اما ابزارهای خودکار اغلب حدود 70 درخواست در دقیقه تولید میکنند (یعنی بیش از یک درخواست در ثانیه). یک انسان نمیتواند بهطور عادی با این سرعت کار کند.
اکنون مسأله ساده به نظر میرسد. هر ترافیکی که با نرخی بیش از یک درخواست در 5 ثانیه برسد، باید توسط این ابزارها تولید شده باشد. اما متأسفانه قضیه به این سادگی نیست.
نخست اینکه تمامی ترافیکهای تولید شده توسط ابزارهای خودکار، خرابکارانه نیستند. حجم قابل توجهی از ترافیک خودکار توسط کسانی مانند گوگل تولید میشود که تنها کاری که انجام میدهند این است که سایت شما را در فهرست خود قرار داده و اصطلاحا ایندکس میکند تا دیگران بتوانند به سادگی شما را پیدا کنند.
از طرف دیگر تمام ترافیکهایی که با نرخ بالا وارد میشوند، لزوما توسط ابزارهای خودکار تولید نمیشوند. ممکن است به نظر برسد که سرویسهایی مانند شبکههای تحویل محتوا (content delivery) و پراکسیها، منبع حجم زیادی از ترافیک هستند، اما ممکن است قضیه صرفا تراکم تعداد زیادی کاربر مختلف باشد.
اما نکته مهمتر این است که بسیاری از هکرها آنقدر پیچیده هستند که بدانند که تولید درخواست با نرخ بالا به سادگی قابل تشخیص است و در نتیجه تاکتیکهایی را برای جلوگیری از تشخیص این ابزارها به کار میبرند. این تاکتیکها میتوانند به شرح زیر باشند:
کم کردن عمدی سرعت ابزار
کم کردن عمدی سرعت ابزار برای شبیه کردن الگوی ترافیک آن به ترافیک تولید شده توسط انسان یکی از راه هایی است که هکرها علاقه خاصی نسبت به آن نشان می دهند.
حمله به سایتهای دیگر بهطور موازی
این کار عبارت است از استفاده از ابزارهای حمله خودکار برای ارسال ترافیک به چند سایت به صورت گردشی. در نتیجه اگرچه ابزار درخواستها را با نرخ بالایی تولید میکند، اما هر سایت ترافیکی با نرخی مشابه ترافیک انسانی دریافت میکند.
استفاده از چندین میزبان برای اجرای حملات
این روش پیچیدهتر، هکرها را قادر میسازد که به یک سایت طوری حمله کنند که تمامی ترافیک از یک آدرس آیپی واحد و قابل شناسایی ارسال نشود.
در نتیجه، نرخ بالای ترافیک درخواستهای ورودی فقط یک نشانه از حمله خودکار است. نشانههای دیگری نیز در این مورد وجود دارند.
نشانه دوم: هدرهای HTTP
هدرهای HTTP میتوانند نشانه ارزشمند دیگری از طبیعت ترافیک ورودی باشند. برای مثال، ابزارهای خودکار تزریق SQL مانند sqlmap، Havij و Netsparker همگی به درستی خود را در هدرهای درخواستهای HTTP توسط رشتههای توصیفی عامل کاربر (User Agent) معرفی میکنند. این بدان علت است که این ابزارها با این هدف ساخته شدهاند که برای تست نفوذ معتبر مورد استفاده قرار بگیرند. همینطور حملات نشأت گرفته از اسکریپتهای Perl نیز ممکن است توسط یک عامل کاربر libwww-perl شناسایی شوند.
روشن است که هر ترافیکی که حاوی نام این ابزارها در رشته عامل کاربر (User Agent) باشد باید مسدود شود. قطعا این رشتهها میتوانند تغییر کنند، ولی هکرهای تازهکار اغلب از این موضوع ناآگاه هستند.
حتی اگر ابزارها شامل رشتههای معرفی کننده نباشند، تحقیقات Imperva نشان داده است که بسیاری از این ابزارها بخشهایی از اطلاعات هدرها را که اغلب مرورگرها در درخواستهای وب انتظار آن را دارند، ارسال نمیکنند. این بخشها شامل هدرهایی مانند Accept-Language و Accept-Charset میشود.
البته یک هکر زرنگ میتواند سیستم خود را طوری پیکربندی کنند که این هدرها را اضافه کند. ولی بسیاری نیز این کار را انجام نمیدهند. نبود این هدرها باید یک نشانه هشدار دهنده به شمار رود و در ترکیب با نرخ بالای درخواستها، نشانهای بسیار قوی از ترافیک خرابکارانه محسوب میشود.
نشانه سوم: ردپای ابزار حمله
ابزارهای حمله گستره محدودی از فعالیتهای مختلف را میتوانند انجام دهند. Imperva کشف کرده است که برخی اوقات با تحلیل رکوردهای ترافیکی که توسط حملات خودکار تولید میشوند، میتوان به الگوهایی دست یافت (مانند رشتههای خاص در دستورات SQL تولید شده در تزریق SQL) که به طور یکتا یک ابزار خاص را معرفی میکنند. برخی اوقات این رشتهها با بررسی کد منبع یک ابزار قابل کشف هستند.
این ردپاها میتوانند اساس قوانین مسدود کردن در فایروال را تشکیل دهند، ولی توجه به این نکته مهم است که ممکن است این ردپاها در نسخههای بعدی ابزار تغییر کنند.
نشانه چهارم: جغرافیای غیر معمول
Imperva کشف کرده است که 30 درصد از حملات تزریق SQL با نرخ بالا از چین نشأت گرفتهاند و سایر حملات از کشورهای غیر معمول نشأت میگیرند. توصیه میشود که در مورد ترافیکهای تولید شده از کشورهایی که انتظار آن را ندارید، مشکوک باشید.
یک افزایش ناگهانی در ترافیک تولید شده توسط مناطق جغرافیایی غیر منتظره به تنهایی اثبات کننده هیچ چیز نیست، اما در ترکیب با سایر نشانهها مانند هدرهای HTTP یا نرخ بالای درخواست ورودی، باید مورد توجه قرار گرفته و یا حتی منجر به مسدود کردن کل ترافیک شود.
نشانه پنجم: لیستهای سیاه آیپی
هر زمان که حملهای توسط متدی تشخیص داده میشود، آدرس آیپی منبع میتواند ثبت شود. گروه تحقیقاتی Imperva کشف کرده است که حملات خودکار از یک آدرس آیپی یکتا معمولا تمایل دارند بین سه تا پنج روز از آن آدرس منتشر شوند.
اما برخی آدرسهای آیپی برای هفتهها یا حتی ماهها منبع ترافیک خودکار خرابکارانه باقی میمانند. این بدان معنی است که آدرسهای لیست سیاه میتوانند در جلوگیری از حملات خودکار آتی از آن منبع بسیار سودمند باشند. ارائه دهندگان امنیت ابری میتوانند با قرار دادن هر سایتی که منبع حملات خودکار بر روی هریک از کلاینتها است در لیست سیاه، سایر کلاینتها را نیز در برابر آن محافظت کنند.
نشانههای حمله به سایتها را بشناسید
در این بخش میتوانید در رابطه با امنيت و کلیه مباحث مربوط به آن بحث و تبادل نظر نمایید
مدیران انجمن: SHAHRAM, شوراي نظارت
-
- پست: 162
- تاریخ عضویت: دوشنبه ۹ مرداد ۱۳۹۱, ۳:۲۴ ب.ظ
- سپاسهای ارسالی: 19 بار
- سپاسهای دریافتی: 519 بار
- تماس:
نشانههای حمله به سایتها را بشناسید
پست توسط طراحی سایت »
[External Link Removed for Guests]
[External Link Removed for Guests]
[External Link Removed for Guests]
پرش به
- بخشهاي داخلي
- ↲ اخبار و قوانين سايت
- ↲ سوالات، پيشنهادات و انتقادات
- ↲ مرکز جوامع مجازي - CentralClubs Network
- ↲ سرويس ميزباني وب - CentralClubs Hosting
- ↲ مجله الکترونيکي مرکز انجمنهاي تخصصي
- بخش تلفن همراه
- ↲ نرم افزار تلفن همراه
- ↲ Symbian App
- ↲ Android App
- ↲ Windown Phone App
- ↲ iOS App
- ↲ JAVA Mobile App
- ↲ بازيهاي تلفن همراه
- ↲ Symbian Games
- ↲ Android Games
- ↲ iOS Games
- ↲ Windows Phone Games
- ↲ JAVA Mobile Games
- ↲ گوشيهاي تلفن همراه
- ↲ Sony
- ↲ Samsung
- ↲ GLX
- ↲ Dimo
- ↲ Huawei
- ↲ Motorola
- ↲ Nokia
- ↲ گوشيهاي متفرقه
- ↲ سرگرميهاي تلفن همراه
- ↲ خدمات و سرويسهاي مخابراتي
- ↲ تازه ها و اخبار تلفن همراه
- ↲ مطالب كاربردي تلفن همراه
- ↲ متفرقه در مورد تلفن همراه
- ↲ سوالات و اشکالات تلفن همراه
- بخش كامپيوتر
- ↲ نرم افزار كامپيوتر
- ↲ گرافيک و طراحي کامپيوتري
- ↲ طراحي صفحات اينترنتي
- ↲ سوالات و اشکالات نرم افزاري
- ↲ برنامه نويسي
- ↲ C Base Programming
- ↲ Dot Net Programming
- ↲ Web Programming
- ↲ Other Programming
- ↲ Software Engineering
- ↲ Java Programming
- ↲ Database Programming
- ↲ سخت افزار كامپيوتر
- ↲ امنيت و شبكه
- ↲ امنيت
- ↲ شبکه
- ↲ تازه ها و اخبار دنياي کامپيوتر
- ↲ مطالب كاربردي كامپيوتر
- ↲ متفرقه در مورد کامپيوتر
- بخش هوا فضا
- ↲ نيروي هوايي ايران
- ↲ متفرقه درباره نیروی هوایی
- ↲ نیروی هوایی و سازندگی
- ↲ حماسه و حماسه آفرینان نيروي هوايي
- ↲ تیزپروازان در بند
- ↲ شهدا و جانباختگان نیروی هوایی
- ↲ عملیاتهاي نيروي هوايي
- ↲ دستاوردها و اخبار نيروي هوايي
- ↲ تاریخچه نیروی هوایی در ایران
- ↲ هوانيروز ايران
- ↲ حماسه و حماسه آفرينان هوانيروز
- ↲ شهدا و جانباختگان هوانيروز
- ↲ دستاوردها و اخبار هوانيروز
- ↲ هواپيماها
- ↲ هواپيماهاي نظامي
- ↲ هواپيماهاي غير نظامي
- ↲ هواپيماهاي بدون سرنشين
- ↲ بالگردها
- ↲ بالگردهاي نظامي
- ↲ بالگردهاي غير نظامي
- ↲ بالگردهاي بدون سرنشين
- ↲ اخبار بالگردها
- ↲ تسليحات هوايي
- ↲ موشكهاي هوا به هوا
- ↲ موشكهاي هوا به زمين
- ↲ موشکهاي دريايي
- ↲ موشکهاي زمين به هوا
- ↲ موشکهاي زمين به زمين
- ↲ ديگر مباحث هوانوردي
- ↲ الکترونيک هواپيمايي
- ↲ موتورهاي هوايي
- ↲ شبيه سازهاي پرواز
- ↲ گالري تصاوير هوافضا
- ↲ تصاوير هواپيماهاي جنگنده
- ↲ کليپهاي هوايي
- ↲ تصاوير هواپيماهاي بمب افکن
- ↲ تصاوير هواپيماهاي ترابري
- ↲ تصاوير هواپيماهاي مسافربري
- ↲ تصاوير هواپيماهاي شناسايي
- ↲ تصاوير بالگردهاي نظامي
- ↲ تصاوير بالگردهاي غير نظامي
- ↲ تصاوير نمايشگاههاي هوايي
- ↲ تصاوير متفرقه هوايي
- ↲ انجمن نجوم
- ↲ منظومه شمسي
- ↲ كيهانشناسي
- ↲ گالري تصاوير نجوم
- ↲ اخبار نجوم
- ↲ اخبار هوافضا و هوانوردي
- ↲ مدرسه هوانوردي
- ↲ كتابخانهي هوا فضا
- ↲ متفرقه در مورد هوا فضا
- بخش جنگ افزار
- ↲ ادوات زميني
- ↲ ادوات زرهي
- ↲ تجهيزات انفرادي
- ↲ تسليحات سنگين و توپخانهاي
- ↲ خودروهاي نظامي
- ↲ تسليحات ضد زره
- ↲ ادوات دريايي
- ↲ ناوهاي هواپيمابر
- ↲ ناوشکنها
- ↲ رزم ناوها
- ↲ ناوچهها
- ↲ زيردرياييها
- ↲ تجهيزات و تسليحات دريايي
- ↲ ساير ادوات دريايي
- ↲ گالري تجهيزات و ادوات دريايي
- ↲ اخبار ادوات دريايي
- ↲ اخبار نظامي
- ↲ گالري نظامي
- ↲ متفرقه در مورد جنگ افزار
- بخش دفاع مقدس
- ↲ حماسه دفاع مقدس
- ↲ تخريب و خنثي سازي
- بخش خودرو و وسايل نقليه
- ↲ مباحث فنی و تخصصی خودرو
- ↲ معرفي خودرو
- ↲ تازهها و اخبار خودرويي
- ↲ گالري خودرو
- ↲ متفرقه وسايل نقليه
- بخش پزشکي
- ↲ پزشكي و درمان
- ↲ پزشکي
- ↲ سوال پزشکي
- ↲ بهداشت
- ↲ بهداشت عمومي
- ↲ بهداشت مواد غذايي
- ↲ لوازم آرايشي و بهداشتي
- ↲ متفرقه در مورد پزشکي
- ↲ روانشناسي و روان پزشكي
- بخش فرهنگ، تمدن و هنر
- ↲ فرهنگي هنري
- ↲ شعر و ادبيات
- ↲ فيلم و سينما
- ↲ هنرهاي نمايشي
- ↲ فرهنگ هنرهاي نمايشي
- ↲ موسيقي
- ↲ عكس و نقاشي
- ↲ تاريخ، فرهنگ و تمدن
- ↲ تاريخ ايران
- ↲ تاريخ جهان
- ↲ فلسفه
- ↲ زبانهاي خارجي
- ↲ زبان انگليسي
- ↲ زبان اسپانيايي
- ↲ هنر آشپزي
- بخش علم، فناوري و آموزش
- ↲ انجمن علم و فناوري
- ↲ انجمن آموزش
- ↲ کتاب و فرهنگ مطالعه
- ↲ دانش عمومی
- ↲ کنکور و دانشگاه
- ↲ جامعه شناسي
- ↲ خانواده
- ↲ متفرقه جامعه شناسي
- ↲ حقوق و قضا
- ↲ علوم
- ↲ فيزيک
- ↲ شيمي
- ↲ رياضي
- ↲ متالورژي
- ↲ پليمر
- ↲ علوم کشاورزي
- ↲ گياهان زراعي و باغي
- ↲ گياهان دارويي
- ↲ طبیعت و محیط زیست
- ↲ زيست شناسي
- ↲ عمران
- ↲ بتن و سازههاي بتني
- ↲ معماري و شهرسازي
- ↲ سبکها و مشاهير معماري
- ↲ شهرسازي
- ↲ معماري داخلي
- ↲ معماري منظر
- بخش الکترونيک و رباتیک
- ↲ مفاهیم اولیه و پایه در الکترونیک
- ↲ نرم افزارهای کمکی الکترونیک
- ↲ مدارهای مجتمع
- ↲ سوالات و پرسشهای مفاهیم پایه
- ↲ مدارات ساده و آسان
- ↲ مدارهای آنالوگ و دیجیتال
- ↲ شبیه ساز و طراحی مدار
- ↲ مدارات صوتی
- ↲ مدارات، منابع تغذیه سویچینگ و اینورتوری
- ↲ مدارات مخابراتی
- ↲ میکروکنترلرهای AVR
- ↲ آموزش و مثالها AVR
- ↲ طرح آماده و کامل شده AVR
- ↲ میکروکنترلرهای ARM
- ↲ سایر میکروکنترولرها و پردازندهها
- ↲ سایر میکروکنترلرها
- ↲ مدار مجتمع برنامه پذیر FPGA
- ↲ رباتیک
- ↲ اخبار و مصاحبه ها در رباتیک
- ↲ آموزش و مقالات رباتیک
- ↲ پروژهها تکمیل شده رباتیک
- ↲ مدارها و مکانیک در رباتیک
- ↲ رباتهای پرنده
- ↲ برق و الکترونیک عمومی
- ↲ تعمیر لوازم برقی
- ↲ اخبار برق و الکترونیک
- بخش بازيهاي رايانهاي
- ↲ بازيهاي رايانهاي
- ↲ كنسولهاي بازي
- ↲ PSP
- ↲ اخبار بازيها
- بخش تجاري اقتصادي
- ↲ بخش اقتصادی و مالی
- ↲ تجارت آنلاين
- ↲ بورس
- ↲ تحلیل و سیگنال روز
- ↲ کار آفرینی
- بخشهاي متفرقه
- ↲ بخش ويژه
- ↲ ساير گفتگوها
- ↲ صندلي داغ
- ↲ اخبار و حوادث
- ↲ انجمن ورزش
- ↲ آکواريوم و ماهيهاي زينتي
- ↲ معرفي سايتها و وبلاگها