رفتن به مطلب
انجمن پی سی دی
طراحی سایت مهمان

نشانه‌های حمله به سایت‌ها را بشناسید

پست های پیشنهاد شده

طراحی سایت مهمان

تجربه نیز اینگونه ثابت کرده است که در موارد متعدد سایت‌هایی که اهمیت و بازدید بیش‌تری دارند بیش از سایر سایت‌ها مورد علاقه هکرها قرار می‌گیرند و در معرض حملات بیش‌تری قرار دارند. اما راه تشخیص این حملات از چه قرار است؟

 

اگر جست‌وجویی کوتاه در اینترنت داشته باشید علاوه بر مواجهه با لیستی بلند بالا از سایتهایی که هک شده‌اند و هر لحظه هم بر تعداد آن‌ها ا??زوده می‌شود، در موارد متعدد حتی با سایتهایی روبه رو خواهید شد که مدعی آموزش اینترنتی شیوه‌های هک کردن هستند.

 

هکرها به ابزارهای حملات خودکار تزریق SQL و Remote File Inclusion علاقه ویژه‌ای دارند و با است??اده از نرم‌ا??زارهایی مانند sqlmap، Havij یا NetSparker، پیدا کردن و سوء است??اده از آسیب‌پذیری‌های وب‌سایت‌ها حتی برای مهاجمان تازه‌کار سریع و آسان است.

 

هکرها به سه دلیل کلیدی به ابزارهای خودکار علاقه دارند.

 

1:برای اینکه این ابزارها نیاز به مهارت بسیار کمی برای است??اده دارند و اغلب به‌طور رایگان در دسترس هستند (از طریق ??روم‌های هکرها یا سایت‌های تولید کنندگان آن‌ها که این ابزارها را به عنوان ابزارهای معتبر تست ن??وذ طراحی کرده‌اند).

2: این ابزارها هکر را قادر می‌سازند که در زمانی کوتاه و با تلاشی کم به تعداد زیادی سایت حمله کند

3: این ابزارها است??اده بهینه را از سرورهای آلوده که ممکن است تنها برای مدت محدودی در اختیار آنها باشند، به عمل می‌آورند.

 

اما نکته مثبت اینجاست که درصورتی‌که شما بتوانید راهی برای کش?? و مسدود کردن حملات خودکار پیدا کنید، خواهید توانست حجم زیادی از حملات هکری را بر روی سایت خود متوق?? کنید. در این گزارش نحوه شناسایی ترا??یک خرابکارانه تولید شده توسط این ابزارهای خودکار شرح داده خواهد شد.

 

نشانه اول: نرخ بالای درخواست ورودی

 

یکی از نشانه‌های کلیدی یک حمله خودکار، نرخ رسیدن درخواست‌های ورودی است. احتمال اینکه یک انسان بتواند بیش از یک درخواست HTTP در هر 5 ثانیه تولید کند بسیار پایین است. اما ابزارهای خودکار اغلب حدود 70 درخواست در دقیقه تولید می‌کنند (یعنی بیش از یک درخواست در ثانیه). یک انسان نمی‎تواند به‌طور عادی با این سرعت کار کند.

 

اکنون مسأله ساده به نظر می‌رسد. هر ترا??یکی که با نرخی بیش از یک درخواست در 5 ثانیه برسد، باید توسط این ابزارها تولید شده باشد. اما متأس??انه قضیه به این سادگی نیست.

 

نخست اینکه تمامی ترا??یک‌های تولید شده توسط ابزارهای خودکار، خرابکارانه نیستند. حجم قابل توجهی از ترا??یک خودکار توسط کسانی مانند گوگل تولید می‌شود که تنها کاری که انجام می‌دهند این است که سایت شما را در ??هرست خود قرار داده و اصطلاحا ایندکس می‌کند تا دیگران بتوانند به سادگی شما را پیدا کنند.

 

از طر?? دیگر تمام ترا??یک‌هایی که با نرخ بالا وارد می‌شوند، لزوما توسط ابزارهای خودکار تولید نمی‌شوند. ممکن است به نظر برسد که سرویس‌هایی مانند شبکه‌های تحویل محتوا (content delivery) و پراکسی‌ها، منبع حجم زیادی از ترا??یک هستند، اما ممکن است قضیه صر??ا تراکم تعداد زیادی کاربر مختل?? باشد.

 

اما نکته مهمتر این است که بسیاری از هکرها آنقدر پیچیده هستند که بدانند که تولید درخواست با نرخ بالا به سادگی قابل تشخیص است و در نتیجه تاکتیک‌هایی را برای جلوگیری از تشخیص این ابزارها به کار می‌برند. این تاکتیک‌ها می‌توانند به شرح زیر باشند:

 

کم کردن عمدی سرعت ابزار

 

کم کردن عمدی سرعت ابزار برای شبیه کردن الگوی ترا??یک آن به ترا??یک تولید شده توسط انسان یکی از راه هایی است که هکرها علاقه خاصی نسبت به آن نشان می دهند.

 

حمله به سایت‌های دیگر به‌طور موازی

 

این کار عبارت است از است??اده از ابزارهای حمله خودکار برای ارسال ترا??یک به چند سایت به صورت گردشی. در نتیجه اگرچه ابزار درخواست‌ها را با نرخ بالایی تولید می‌کند، اما هر سایت ترا??یکی با نرخی مشابه ترا??یک انسانی دریا??ت می‌کند.

 

است??اده از چندین میزبان برای اجرای حملات

 

این روش پیچیده‌تر، هکرها را قادر می‌سازد که به یک سایت طوری حمله کنند که تمامی ترا??یک از یک آدرس آی‌پی واحد و قابل شناسایی ارسال نشود.

 

در نتیجه، نرخ بالای ترا??یک درخواست‌های ورودی ??قط یک نشانه از حمله خودکار است. نشانه‌های دیگری نیز در این مورد وجود دارند.

 

نشانه دوم: هدرهای HTTP

 

هدرهای HTTP می‌توانند نشانه ارزشمند دیگری از طبیعت ترا??یک ورودی باشند. برای مثال، ابزارهای خودکار تزریق SQL مانند sqlmap، Havij و Netsparker همگی به درستی خود را در هدرهای درخواست‌های HTTP توسط رشته‌های توصی??ی عامل کاربر (User Agent) معر??ی می‌کنند. این بدان علت است که این ابزارها با این هد?? ساخته شده‌اند که برای تست ن??وذ معتبر مورد است??اده قرار بگیرند. همینطور حملات نشأت گر??ته از اسکریپت‌های Perl نیز ممکن است توسط یک عامل کاربر libwww-perl شناسایی شوند.

 

روشن است که هر ترا??یکی که حاوی نام این ابزارها در رشته عامل کاربر (User Agent) باشد باید مسدود شود. قطعا این رشته‌ها می‌توانند تغییر کنند، ولی هکرهای تازه‌کار اغلب از این موضوع ناآگاه هستند.

 

حتی اگر ابزارها شامل رشته‌های معر??ی کننده نباشند، تحقیقات Imperva نشان داده است که بسیاری از این ابزارها بخش‌هایی از اطلاعات هدرها را که اغلب مرورگرها در درخواست‌های وب انتظار آن را دارند، ارسال نمی‌کنند. این بخش‌ها شامل هدرهایی مانند Accept-Language و Accept-Charset می‌شود.

 

البته یک هکر زرنگ می‌تواند سیستم خود را طوری پیکربندی کنند که این هدرها را اضا??ه کند. ولی بسیاری نیز این کار را انجام نمی‌دهند. نبود این هدرها باید یک نشانه هشدار دهنده به شمار رود و در ترکیب با نرخ بالای درخواست‌ها، نشانه‌ای بسیار قوی از ترا??یک خرابکارانه محسوب می‌شود.

 

نشانه سوم: ردپای ابزار حمله

 

ابزارهای حمله گستره محدودی از ??عالیت‌های مختل?? را می‌توانند انجام دهند. Imperva کش?? کرده است که برخی اوقات با تحلیل رکوردهای ترا??یکی که توسط حملات خودکار تولید می‌شوند، می‌توان به الگوهایی دست یا??ت (مانند رشته‌های خاص در دستورات SQL تولید شده در تزریق SQL) که به طور یکتا یک ابزار خاص را معر??ی می‌کنند. برخی اوقات این رشته‌ها با بررسی کد منبع یک ابزار قابل کش?? هستند.

 

این ردپاها می‌توانند اساس قوانین مسدود کردن در ??ایروال را تشکیل دهند، ولی توجه به این نکته مهم است که ممکن است این ردپاها در نسخه‌های بعدی ابزار تغییر کنند.

 

نشانه چهارم: جغرا??یای غیر معمول

 

Imperva کش?? کرده است که 30 درصد از حملات تزریق SQL با نرخ بالا از چین نشأت گر??ته‌اند و سایر حملات از کشورهای غیر معمول نشأت می‌گیرند. توصیه می‌شود که در مورد ترا??یک‌های تولید شده از کشورهایی که انتظار آن را ندارید، مشکوک باشید.

 

یک ا??زایش ناگهانی در ترا??یک تولید شده توسط مناطق جغرا??یایی غیر منتظره به تنهایی اثبات کننده هیچ چیز نیست، اما در ترکیب با سایر نشانه‌ها مانند هدرهای HTTP یا نرخ بالای درخواست ورودی، باید مورد توجه قرار گر??ته و یا حتی منجر به مسدود کردن کل ترا??یک شود.

 

نشانه پنجم: لیست‌های سیاه آی‌پی

 

هر زمان که حمله‌ای توسط متدی تشخیص داده می‌شود، آدرس آی‌پی منبع می‌تواند ثبت شود. گروه تحقیقاتی Imperva کش?? کرده است که حملات خودکار از یک آدرس آی‌پی یکتا معمولا تمایل دارند بین سه تا پنج روز از آن آدرس منتشر شوند.

 

اما برخی آدرس‌های آی‌پی برای ه??ته‌ها یا حتی ماه‌ها منبع ترا??یک خودکار خرابکارانه باقی می‌مانند. این بدان معنی است که آدرس‌های لیست سیاه می‌توانند در جلوگیری از حملات خودکار آتی از آن منبع بسیار سودمند باشند. ارائه دهندگان امنیت ابری می‌توانند با قرار دادن هر سایتی که منبع حملات خودکار بر روی هریک از کلاینت‌ها است در لیست سیاه، سایر کلاینت‌ها را نیز در برابر آن محا??ظت کنند.

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری

×
×
  • جدید...