جلسه هشتم امنیت شبکه


ساعت ٢:۱٢ ‎ق.ظ روز ٢٠ دی ۱۳۸٧  


به نام خدا


حمله های لایه کاربرد( virus, worm):


در این پست راجع به برخی حمله ها در لایه کاربرد مطالبی ارایه می گردد. امیدوارم مفید باشه.


حمله های  مربوط به لایه  کاربردی شامل انواع ویروس‌ها و کرم‌ها می‌باشد. یکی از روش های انتشار ویروس‌ها ، قرار گرفتن در boot sector است که با هر بار روش شدن و بالا آمدن سیستم، ویروس فعال می‌گردد   و در جاهای مختلف نظیرDVD,CD  و ... قرار می گیرد.


یک ویروس روش های متفاوت تکثیر را در شبکه دارد. ویروس برای تکثیر نیازمند یک برنامه میزبان می باشد که در کامپیوتر میزبان نصب می‌گردد و از طریق اجرای این برنامه ،‌ فعالیت خود را آغاز می‌‌نماید.


یک ویروس فایل‌های داده را آلوده نمی‌کند، چون فایلهای داده اجرا نمی‌شوند و قسمت اجرایی هم ندارند که بتوانند به ویروس کمک کنند.

گاهی ویروس‌ها به صورت رمزشده در شبکه منتقل می‌شوند. هدف از رمز کردن یک ویروس، ‌ایجاد محرمانگی برای داده نمی‌باشد، بلکه هدف تغییر شکل ویروس است تا در شبکه توسط ابزار امنیتی مانند دیوار آتش و یا IDS ها قابل تشخیص نباشند و در مقصد توسط برنامه رمزگشایی که دارند، ‌بازیابی شده و اجرا گردند.


ویروس ها بر اساس یک برنامه HOST و بر اساس تحریکی که ممکن است کاربر به آن پاسخ دهد( مثل کلیک کردن توسط کاربر) به سیستم وارد شده و منتشر می‌گردند. گاهی برنامه های نامربوطی به صورت دادن پیغام از ما می خواهند یکی از گزینه های YES/NO را انتخاب کنیم تا آنها اجازه داشته باشند که نصب شوند و ما غافل از اینکه هر دو گزینه YES/NOدر باطن یکی هستند گزینه NO را انتخاب می نماییم!! و به این ترتیب به برنامه ویروس اجازه می دهیم تا در کامپیوتر ما نصب شوند!!


علاوه بر ویروس‌ها که در لایه کاربرد شبکه فعال هستند، کرم ها نیز وجود دارند. کرم‌ها (worm ) به صورت خودکار منتشر می‌شوند و نیاز به تحریکی از طرف کاربر ندارند. عملکرد کرم‌ها مستقل است و نیازی به استفاده از برنامه میزبان ندارند.

برای جلوگیری از نفوذ کرم‌ها و ویروس‌ها در شبکه اینترنتDARPA یک گروه به نام گروه CERT

Computer Emergency Response Team را تشکیل داد که هنوز هم در زمینه امنیت فعال است.


یک مدیر شبکه خوب باید اطلاعات کافی از مهاجمین داشته باشد و بتواند تشخیص دهد که مهاجم از لحاظ داشتن امکانات و نیز اطلاعات راجع به حمله، درچه سطحی قرار دارد.

اسب های تراوا نوع دیگری از حمله‌های لایه کاربرد می‌باشد. به اسب های تراوا که در سطح سیستم عامل عمل می‌کنندRootkit گفته می شود.


 با توجه به حمله‌های لایه کاربرد، بررسی و تشخیص نقاط ضعف شبکه به جلوگیری و کشف حمله‌ها کمک موثری نماید. این روش ها شامل موارد زیر است:

- تعیین پورت های باز

- تعیین ماشین های فعال

- به دست آوردن نقشه شبکه

- تعیین موقعیت مسیریاب‌ها و دیواره آتش

- تعیین سیستم عامل

- تجزیه و تحلیل دیواره آتش و نقاط ضعف و قوت آن


علاوه بر اطلاعات بالا می توان از نرم افزارهای قوی که برایscan نمودن و تشخیص وضعیت شبکه نوشته شده‌اند، بهره برد. نرم افزارهایی مانند ethereal,NESUSو.... که البته دو نوع مورد استفاده مفید و مضر می توانند داشته باشند.


می توان از طریق نصب برنامه Nesus نقاط آسیب‌پذیر را یافت. این نوع نرم افزارها برای استفاده معمولی در شبکه طراحی شده‌اند تا مدیر شبکه نقاط آسیب‌پذیر شبکه را بیابد.


 البته جالبه بدونید که یک مهاجم می تواند از طریق پورتی که بازمونده، نفوذ کرده و نرم افزار NESUS را در سیستم نصب نموده و نقاط ضعف شبکه را به صورت غیر مجاز scan نماید و این حسن سواستفاده از نرم افزار است!!