![1
"حمالت از پیشگیریDDOS"
نويسنده:علیخانی مرضیه
mAlikhani61@yahoo.com
چكیده
IP Spoofing)پی آی (جعلها ضعف ازیا پروتکل در موجودینترنتیبرایحملهDDosم استفادهینمایدحملهDDosیکیاز
تر خطرناکینا در ها حملهینترنت.استیکتراف کننده حملهیکعظیمیا شبکه درینترنتبرایپایینکارا آوردنییا آنیجادمی
نمایدتول منبع .درواقعیدها بسته کنندهییباIPجعلیها بسته ،یزیادیمقصد سمت به رایم مشخصی.فرستد
تشخیصحملهDDosدرالیها ساده کارنسبتا شبکهی.استNIDSها،مسیریابقادرندعالئم هرسه ها هاوحفاظیس حمله ازیلریزی
رادرفایلهایحمله کردن متوقف دهند،اما نشان خود ثبتDDosامریا است.مشکل متفاوتینجاستوقت کهیم شما شبکه به حملهی
خ رسدیلیدیر.است شده
ها حل راه تاکنونییبرایحمله با مقابلهDDosز تعداد ها آن همه که است شده ارائهیادیفیلترطرف از و برده کار بهیپاکساز به قادری
همه کاملIPهایجعلینیستند.بهترینها حل راهییالگور شده ارائه کنون تا کهیتمEx-IDPFوVASEب درصد با که استیشتری
حمالت ازDDosجلوگیریمی.کند
بهصورت در من نظریدوروش کهReactive , Ex-IDPFببر کار به هم با رایم،میتوانیمبه صورت بهینهتراف ازیکزایدجلوگیریکنیم.
امیدوارمآینده دربتوانیماز استفاده باها شبکهیعصبیا از هوشمند صورت بهینپ حمالتیشگیریک..نیم
واژه:كلیدي هايTCP/IP،IP Spoofing،DDos،Ex-IDPF،VASE
1-مقدمه
یک و است شبکه آمدن پدید در مهم نیاز یک شبکه امنیت
امنیت های متد سازی درپیاده سادگی آن مهمتر نیازمندی
ارتباط است.یکgapامنیت تکنولوژی ی دهنده توسعه بین
مدد برپایه شبکه دارد.طراحی وجود شبکه دهنده وتوسعه
OSIاسدت.مد یافتده رشد خوبی به و استOSIچنددین
در مزیتای پیمانده ازی اندد عبدارت دارد،کده شبکه طراحی
سدازی واسدتاندارد اسدتفاده در پذیری،سادگی بودن،انعطاف
صورت شوندوبه می ترکیب راحتی به ها ها.پروتکل پروتکل
ها الیه بودن فرد به کنند.منحصر می پیدا توسعه ای پیمانه
اسدت.طراحی سداخته ممکدن را توسدعه در پذیری انعطاف
امن شبکهنکدرده پیدا وتوسعه رشد شبکه طراحی خوبی به
امنیتدی نیازهای پیچیدگی مدیریت منظور به خاص ،متدی
مزایدای امدن شدبکه طراحدی در کلی صورت ندارد.به وجود
امدن صورت به ها پروتکل ندارد.درواقع وجود شبکه طراحی
ها پروتکل این از اند،یکی نشده طراحیTCP/IPاست[1].
پروتکلTCP/IPوس صورت بهیعا درینترنتم کار بهیدرود
بسد حمالت برابر دریاریجعدل جملده ازIPآسدیبپدذیر
جعدل اسدت.حمالتIPبیشدترینا حملدهیدر کده اسدت
اینترنتدرجر جهانیدانهدا آدره جعدل است.منشدایIP
نزدیکاجرا به شدنیحملده موفدDDosا اسدت.دریدن](https://image.slidesharecdn.com/ddosattack2-160221082941/85/D-dos-attack2-1-320.jpg)
![2
سناریوتشخیصاسدت،بنا مشدکل بسدته صحتبرایندفدا
حمالت برابر در کردنDDosبسیارپیچیده.است
حمدالت از دوندو ابتدا مقاله این درDDosمدی شدر را
حمالت با مقابله منظور به که هایی حل راه به سپس ، دهیم
DDosهدای روش ایدن جملده پدردازیم.از می اند شده ارائه
مس انگشت تراکم،اثر درخت از استفادهیری،معماریسرویس
امن،ف پوشددایلترسددازیآمدداریف ویلترسددازیشددمارش
ها روش از گام،استفادهیMoveوTPMوVASEوالگدوریتم
هدایIDPFوEx-IDPFداردمعم دهدک ،یسیدتمدسEx-IDPFاز
مس به مربوط اطالعاتیریابیوبرمبنا بوده مستقلیپروتکل
BGPه اما استیچا از کدامیدناز قطدع طدور بده هدا روش
حمالتDDosپیشگیرینمی.کنند
2-جعلاز اي تاريخچهIP
جعدل مفهومIPدهده در آکدادمی جوامدع در ابتددا0891
تدا شدد می شناخته تئوری صورت به مفهوم این .شد مطر
کدرم اولدین وی پسدر کده موریس رابرت نام به فردی اینکه
پروتکل در را امنیتی ضعفی ،نوشت را اینترنتیTCPندام به
به را مشکل این بلووین استفن .کرد کشف دنباله بینی پیا
پروتکدل طراحی مورد در که ای مقاله در تری عمی صورت
TCP/IP.نمود مطر و بحث بود
ا باینکهها ضربهیامنیتیدل به شده واردیلبد ازینرفدتن
ها روشییم استفاده کهیکاها است شدهیافتهاما ،است
م همچنان جعلین و شدود استفاده تواندیازمنددمددیریت
امنیتیقویاست[2].
3-جعلIPحمالت وDDos
IP Spoofingآدره از آن در کده اسدت حمالتدی معنای به
هایIPبده کلدی صدورت شدود.به مدی اسدتفاده سداختگی
اینترندت بدرای امنیتدی مشدکل یک که دارد اشاره حمالتی
دعدمنب آدره دادن تدییدر دوند.بادش دیدم محصدوبدکدترافی
حتدی یدا دیگرو شده داده اختصاص های آدره به حمالت
تواندی می مهاجم یک ، نامعین های آدره
-موقعیتواقعیکند پنهان را خود
-فر بایبکاریقوان کنترینیکگ دست به را منبعیرد
-س در رخنه بایستمقربانیبرد سود آن از
-تواناییانداز راهییکپ را حملهیداکند
تعددادیبده دتهدوابس کده نداک دردخط حمدالت ازIPدادهی
ساختگیازی اند هستندعبارت
SYN flooding ,Smurf , DNS amplification, DDos
توز حمالتیعشدهDosرا اختصدارآن بده کدهDDosمدی
نامیمنوعیز و هوشمند حمالت ازیرکانهDosکهی است
-هزینهایبرایپ در نفوذگریداشت نخواهد.
-هویتم پنهان نفوذگریماند.
-موفق احتمایتبس آنیاراست باال.
-میطوالن تواندیباشد مدت.
-بس آن با مبارزهیاراست مشکل.
اینبرا حمله نویاولینتابستان در بار9111صدحنه در
اینترنتفزا بطرز آن از پس و شد ظاهریندهایاینترندترا
میدانیکع تمام جنگیارا گونه به کردیسا کهیتهدای
eBay, E Trade ,Yahoo, CNN , ZDNet, Amazon.com
دن سطح در (کهیان )دارند شهرتیزا درینامان در حمالت
ناتوان و نمانندیفروپاش وی.شد گزارش ها آن
سا در6002حملهDNS amplificationنام سرور ضد بر
TDL(Top Level Domain)ظرف کده گرفدت صورتیدت
اینشدد را سروریداپدا روز چندد مددت بدهیینآورد.طبد
مشاهداتCAIDAحداقل ،0000حملهDDosمبنا بری
IPهایساختگیدریکم اتفاق هفتهیپنجاهم افتد.درین
مالقاتNANGOشواهدیازARBOمد نشانیکده دهدد
حمالتSpoofingبداال حجم وجود با فوقیهدا شدبکهی
زامبی(پیوست9)بسیار.است شده ظاهر قدرتمند](https://image.slidesharecdn.com/ddosattack2-160221082941/85/D-dos-attack2-2-320.jpg)
![3
3-1-حملهDDosنوع ازStacheldraht
شکل9دیاگرامیکحملهDDosStacheldrahtم نشان رای
.دهدStacheldrahtیکحملهDDosال سهیهدرآن که است
مد با مهاجمیرهاومد کرده برقرار ارتباطیرانمور ما بایندر
.ارتباطندStacheldrahtیکینخست ازینحمالتDDosبوده
،بنابراینتحل دقدت بدهیدلاست.بسد شددهیاریحمدالت از
جدیدترمد نقایرمور ما واز کرده حذف راینمیخواهندد
در را خود کهیکیها اتاق ازیIRCا با کنند.مقابله ثبتین
.دشواراست حمالت
ها گامیاجرایحمله[3]Stacheldrahtی
9-تعداد مهاجمیس ازیسدتمهدایاینترنتدیآلدوده را
مد افزار ونرم کردهیرDDosرو رایم نصب آنی.کند
6-اینسیستمها بخا هاییا ازینترتکدرده آلوده را
وسیسدتمهدایددم خددمت مداموردر عندوان دهدب را آلدودهی
گیرندها .روشیساز آلودهیمیهرچ تواندیزیباشدد،نظیر
کارگ بهیریe-mailهاییهدا اسب شاملیتدروا(Trojan
horse)یاآسد از استفاده سویبپدذیریهایافدزار ندرمیدر
کاربردیاسیستم.عامل
0-بدرا را حملده فرمان مهاجمیسیسدتمهدایمددیر
م ارسایکنند.سیسدتمهدایمددیرمدا خودبده نوبده بده
مورینشانم فرمانیس که دهندیلیتراف ازیکآدره به را
IPخاصی.کنند ارسا
4-داندقرب شدبکهیتراف بداددیکزایددمد دردپیدودوبهدش
ها درخواستیبس احتما با مجاز کاربرانیارداده پاسخ کم
می.شود
(شکل9حمله میکانیزم ی )Stacheldraht](https://image.slidesharecdn.com/ddosattack2-160221082941/85/D-dos-attack2-3-320.jpg)
![6
توز صورت به متجانس سرور چندیعکه است شده
حرکتد صدورت به فعا سرور مکانیپنهدانیدر
تد حاییرا در .استینقانون کاربران تنها حالتی
ا زمان ازینجد سدرور آدره و حرکتیددمطلدع
د اتصاالت همه .هستندیگرسرور حرکت زمان در
م قطعیا در .شوندینقانون افراد حالتیبایدقبل
سرو سرور حرکت ازیسحمله که کنند قطع را ها
آگاه کننده حرکت سرور از کنندگانینیابنددر .
اینجلوگ حالتیریهز حمله ازینهسدخت و بدر
.است
رد روشیدابیا از ددفدمبدأ،هیدنپ روشیگددیری
کردن"مبدأ حمله"برایمدا .است حمله با مقابله
مسد اطالعات آن در که بسته ساخت روش ازیررا
سرآ در شده کد صورت بهیندشناساییها بستهی
IPم قراریدهدیممد اسدتفادهینمداییما در .یدن
قربان حالتیمیمسد تواندیربازسداز را حملدهی
ها بسته مبدأ و کردهی(جعل خرابیشناسا را )یی
نمایدمس ،گرد عقب روش همانند .یریابپ هایدام
گرد عقبICMPبرا رایبسدیاریهدا بسدته ازی
دریافتیتولیدترک با آنها همراه و کردهیببسته با
هایICMPمیفرستندچن بردن بکار با .ینروش
ارزیابی،پ ارزشیامهایICMPم مشخصی.شود
ا به توجه باینکهمس ار مقضد فاصلهیریابچقددر
سدرعت چده با حمله وقو از بعد ها بسته ،استی
میدر انتظار مقصد و ،برسند توانندیافتها بسته
زمدان چه در رایمهمترند ،داردیمشدکلیدر کده
اینجامیتواندا باشد داشته وجودیدنکده اسدت
مس ساختیربس حملهیارمدا .است گران و سخت
بایدچندینهدا حدل راهییبدرا رایگ بکداریدری
عملیاتیبدر بکدار ها حمله وقو از بعدیمنمد وی
حملدده تددوانDDOSمتوقددف اجددرا زمددان در را
نمود[4].
انفعال حل راهی(Reactive Solution)،ایدن،روش
روشیانفعالیبرایجلوگیریا حمله ازیحا در
ا در که است انجامینجلو حالتیبسدته حرکت
هایم گرفته حملهیبجا شودیاینکههدر مبددأ
شناسا حمله و بستهییا در .شودیناز روشPIیا
شناساییمسیرم استفادهیسدرآ در کده شودیند
مد داده قدرار هدا بستهیمسد هدر .شدودیریابدر
مسی،رها بستهییمس از کهیرخاصدیمسد کدهیر
م است حملهیآیندف رایلترمیهمچند .کنندین
بایدد روش ازیگرینام بهpush backنیزاستفاده
تشدخ از پس آن در که نمودیصعالمدت ازدحدام
ا حملهیایجادمیتشدخ بدا آن در کده شودیص
تراف درصدی،کیدکت کنندده محددودرافیدکدر
ورودیم قراریگیدردبدد کدهینوسدیلهجلدوی
بسیاریم گرفته ها بسته ازیهمد بده و شدودین
دلیلجریانحملهpush backمیروش در .شود
دیگریهمسا تفاوت نام بهیهغریبه(NSDبد )ین
ها بستهییهمسا از کهیهمیایدها بسته وییکه
غر ازیبهمیآیدا تفاوتیجادمدیبسدت و شدوده
هایغریبهپذیرفتهنمیکل .گردندیتموفقیتراه
انفعال حلیموفق بهیتتشدخ دریصهدا بسدتهی
دارد بد از خوب[4].
Ex_IDPFتوسددددعهیافتددددهالگددددوریتمIDPF
است.اینالگوریتمپروتکل ازBGPمد اسدتفاذهی
نماید.اینزمان روشیدرست بهیم کاریکه کند
هیچا بستهیصدح مبدا آدره بایحانداختده دور](https://image.slidesharecdn.com/ddosattack2-160221082941/85/D-dos-attack2-6-320.jpg)
![7
ا نشود.درینالگوریتمگدذار نشانه بالک دو ازیو
فیلترسازیم استفادهی.شود
مزایایالگوریتمEx-IDPFی
الگددوریتمEx-IDPFمزایددایزیددادیقالددب در را
افزایاکاراییشناسا درییب از وینبسدته بدردن
هایجعلیا .است داراینکل حفاظت که موضو
جعل از شبکهIPکاریکدامال ،است کننده خسته
ا .است شده شناختهینزمان امرتنهایپذ امکانیر
ز تعداد که استیادیفیلترنزد فاصدله دریکدیاز
یکدیگرز تعداد و گرفته قراریادیا ازینفیلترهدا
مهمترن .رود بکاریمزیتپوشا ،شده راهکارارائه
وس قسمتیعیکمد تعدداد بردن بکار و شبکه ازی
فیلترکدارا آوردن بدست وییبداالییا .اسدتیدن
رویکردمیتا تواند85.79%مقابدل در شدبکه از
حملهDDOSنما محافظتید[5].
ز جدویرمقایسهایبینسیسدتمو شدده ارائده
سیستمهایم نشان را موجودیدهد[5],[6]ی
جدول9روش تفاوت :Ex-IDPFموجود های روش با
يكیم ازیكانیزمهايجديدفیلترسازيمجااز ،مرزي
( جعل ضدVASEدارد.از )نامVASEبرايساز سادهي
تنظیماتفیلترسازيهز كاهش منظور وبهيناههااي
غیرضروريم استفادهیشود.ارزيابیهايیا بر كهين
م نشان گرفته صورت اساسیمز كه دهديتنن مها
چناد در استفادهينمحایط.اساتVASEدر كاامال
جريانفعالیتهايفیلترينگIPهايجعلایو باوده
میوس به تواندیلهمسیريابپ هایادهسازيشاود.اين
میكانیزمها شبكه دريدانشگاهیدانشگاهTsinghua
،مزايايواقعیاست داده نشان را خود[7].
4-نتیجهگیري
ا درینم با ما مقالهیکانیزمهایپیشگیریحمالت ازDDos
شد آشنایمودانستیمالگور کهیتمEx-IDPFمیتواندتا
15.70حمله مقابل در شبکه از درصدDDosمحافظت
نمایدروش دو از اگر من نظر به کهEx-IDPFوReactive
Solutionکن استفاده هم بایمطور بهیبه بسته ابتدا که
روشReactiveروش به وسپسEx-IDPFبررس موردی
گ قراریردب درصد با ،یشتریمیتوانیما برابر در شبکه ازین
نما محافظت حمالتییمدل .بهیلاینروش کهReactiveدر
کمتر زمانیکمتر وبادقتیمیتواندرا حمله بسته
تشخیصحمالت دهدودرDDosتشخ ،یصسریعکه است
پ بهیشگیریم کمکیدرصورت .کندیحمله بسته که
تشخیصوس به نشد دادهیلهالگوریتمEx-IDPFدقت با
بیشتریبررس موردیقرارمیگیرد.](https://image.slidesharecdn.com/ddosattack2-160221082941/85/D-dos-attack2-7-320.jpg)
![8
البتهجد روشیدVASEترافیکز با را گرانه اخالیرکی
شناساییمیطراح اما کندیا گونه به شبکهیبا بتوان که
حمالتDDosدشوار کار کند نرم پنجه و دستیاست
نم هرگزیتوانحمالتDDosمتوقف کامل طور به را
کس کرداگریابزار که کرد ادعایحمله مانع که ساخته
DDosبدان شود شما شبکه بهیدم دروغ کهیگوید.
البتهISPهافناوریهایخاصیاخت دریارکه دارند
میتوانندایناما کنند حل را مشکلISPبرا هایگسترش
فیلترینگوامنیتا شبکهیجادانگیزهنمیها آن کنندچون
ا اختالالت گسترش از فقطیجادتراف در شدهیکهایشبکه
م ممانعتیسخت به اما کنندیا عوامل گسترش ازیجاد
اختالدرترافیکم محافظت شبکهیکند[8].
امیدوارمآ دریندهایبه صورت به دور چندان نهینهو تر
ها شبکه از استفاده تروبا هوشمندیعصبیبتوانیمشبکه از
حمالت برابر درDDosنما محافظتییم.
پیوست1
(زانبی های ماشینZombie)
به نفوذگر یک توسط صاحبا اطال بدون که ای رایانه به
حمالت ابزار عنوانDosگیرد،ماشین می قرار استفاده مورد
در طورناخودآگاه به زامبی شود.ماشین می گفته زامبی
را ها آن گیرندونفوذگر می قرار بدخواه نفوذگر یک خدمت
فرماندهی و هدایت ، بسیج شبکه در هدف یک به حمله در
.کند می
یک خدمت در نحو چه به گناه بی های ماشین این اما
گیرند؟ می قرار بدخواه نفوذگرهای افزار نرم معموال
Zombieولی جذاب و زیبا ، رایگان های برنامه قالب در
از شوند.بخشی می توزیع اینترنت شبکه آلوده،درسراسر
با ، ندارند موضو این از خاصی آگاهی که آماتور کاربران
بمباران های بسته از بخشی ارسا ، ها برنامه این اجرای
ل م کنندهSYN-Floodنحو بدین گیرندو می برعهده را
بدون.شوند می نفوذگرهمسو اهداف با ، اطال
مراجع
[1] BhavyaDaya,FloridaUniversity,”NetworkSecurity:History
,Importance and Furture”
[2] Matthew Tanase 2003-03-11,”IP spoofing : an
Intruduction”,last updated Murch,2003
[3] Convery,Sean, ”Network security architectures” , c2004
[4] BhavnaChauhan ,AmitAsthana,”PreventionandDetection IP
Spoofed Attacks”,VSRD-IJCSIT,Vol.2(1),2012
[5] G.Velmayil,S.Pannirselvam, ”Detectionand Removal of IP
Spoofing Throug Extended-Inter Domain Packet Filter
Architecture”, International Journal of applications,Volume
49-.17,July 2012.
[6] JelenaMirkovicandEzra Kissel“Comparative Evaluation of
SpoofingDefenses” IEEE transactions on dependable and
secure computing, volume 8, issue 2, 2011.
[7] Guang Yao, Jun Bi, Peiyao Xiao,” VASE: Filtering IP
spoofing traffic with agility”, Comput. Netw.(2012),
http://dx.doi.org/ 10.1016/j.comnet.2012.08.018,Accepted 9
Agust 2012.
[8] BingyangLiu,JunEi,Xiaowei Yang, Tsinghua University”
FaaS : FilteringTraffiic as a service ” , ACM, August,2012.](https://image.slidesharecdn.com/ddosattack2-160221082941/85/D-dos-attack2-8-320.jpg)
D dos attack2 مرضیه علیخانی
- 1. 1 "حمالت از پیشگیریDDOS" نويسنده:علیخانی مرضیه mAlikhani61@yahoo.com چكیده IP Spoofing)پی آی (جعلها ضعف ازیا پروتکل در موجودینترنتیبرایحملهDDosم استفادهینمایدحملهDDosیکیاز تر خطرناکینا در ها حملهینترنت.استیکتراف کننده حملهیکعظیمیا شبکه درینترنتبرایپایینکارا آوردنییا آنیجادمی نمایدتول منبع .درواقعیدها بسته کنندهییباIPجعلیها بسته ،یزیادیمقصد سمت به رایم مشخصی.فرستد تشخیصحملهDDosدرالیها ساده کارنسبتا شبکهی.استNIDSها،مسیریابقادرندعالئم هرسه ها هاوحفاظیس حمله ازیلریزی رادرفایلهایحمله کردن متوقف دهند،اما نشان خود ثبتDDosامریا است.مشکل متفاوتینجاستوقت کهیم شما شبکه به حملهی خ رسدیلیدیر.است شده ها حل راه تاکنونییبرایحمله با مقابلهDDosز تعداد ها آن همه که است شده ارائهیادیفیلترطرف از و برده کار بهیپاکساز به قادری همه کاملIPهایجعلینیستند.بهترینها حل راهییالگور شده ارائه کنون تا کهیتمEx-IDPFوVASEب درصد با که استیشتری حمالت ازDDosجلوگیریمی.کند بهصورت در من نظریدوروش کهReactive , Ex-IDPFببر کار به هم با رایم،میتوانیمبه صورت بهینهتراف ازیکزایدجلوگیریکنیم. امیدوارمآینده دربتوانیماز استفاده باها شبکهیعصبیا از هوشمند صورت بهینپ حمالتیشگیریک..نیم واژه:كلیدي هايTCP/IP،IP Spoofing،DDos،Ex-IDPF،VASE 1-مقدمه یک و است شبکه آمدن پدید در مهم نیاز یک شبکه امنیت امنیت های متد سازی درپیاده سادگی آن مهمتر نیازمندی ارتباط است.یکgapامنیت تکنولوژی ی دهنده توسعه بین مدد برپایه شبکه دارد.طراحی وجود شبکه دهنده وتوسعه OSIاسدت.مد یافتده رشد خوبی به و استOSIچنددین در مزیتای پیمانده ازی اندد عبدارت دارد،کده شبکه طراحی سدازی واسدتاندارد اسدتفاده در پذیری،سادگی بودن،انعطاف صورت شوندوبه می ترکیب راحتی به ها ها.پروتکل پروتکل ها الیه بودن فرد به کنند.منحصر می پیدا توسعه ای پیمانه اسدت.طراحی سداخته ممکدن را توسدعه در پذیری انعطاف امن شبکهنکدرده پیدا وتوسعه رشد شبکه طراحی خوبی به امنیتدی نیازهای پیچیدگی مدیریت منظور به خاص ،متدی مزایدای امدن شدبکه طراحدی در کلی صورت ندارد.به وجود امدن صورت به ها پروتکل ندارد.درواقع وجود شبکه طراحی ها پروتکل این از اند،یکی نشده طراحیTCP/IPاست[1]. پروتکلTCP/IPوس صورت بهیعا درینترنتم کار بهیدرود بسد حمالت برابر دریاریجعدل جملده ازIPآسدیبپدذیر جعدل اسدت.حمالتIPبیشدترینا حملدهیدر کده اسدت اینترنتدرجر جهانیدانهدا آدره جعدل است.منشدایIP نزدیکاجرا به شدنیحملده موفدDDosا اسدت.دریدن
- 2. 2 سناریوتشخیصاسدت،بنا مشدکل بسدته صحتبرایندفدا حمالت برابر در کردنDDosبسیارپیچیده.است حمدالت از دوندو ابتدا مقاله این درDDosمدی شدر را حمالت با مقابله منظور به که هایی حل راه به سپس ، دهیم DDosهدای روش ایدن جملده پدردازیم.از می اند شده ارائه مس انگشت تراکم،اثر درخت از استفادهیری،معماریسرویس امن،ف پوشددایلترسددازیآمدداریف ویلترسددازیشددمارش ها روش از گام،استفادهیMoveوTPMوVASEوالگدوریتم هدایIDPFوEx-IDPFداردمعم دهدک ،یسیدتمدسEx-IDPFاز مس به مربوط اطالعاتیریابیوبرمبنا بوده مستقلیپروتکل BGPه اما استیچا از کدامیدناز قطدع طدور بده هدا روش حمالتDDosپیشگیرینمی.کنند 2-جعلاز اي تاريخچهIP جعدل مفهومIPدهده در آکدادمی جوامدع در ابتددا0891 تدا شدد می شناخته تئوری صورت به مفهوم این .شد مطر کدرم اولدین وی پسدر کده موریس رابرت نام به فردی اینکه پروتکل در را امنیتی ضعفی ،نوشت را اینترنتیTCPندام به به را مشکل این بلووین استفن .کرد کشف دنباله بینی پیا پروتکدل طراحی مورد در که ای مقاله در تری عمی صورت TCP/IP.نمود مطر و بحث بود ا باینکهها ضربهیامنیتیدل به شده واردیلبد ازینرفدتن ها روشییم استفاده کهیکاها است شدهیافتهاما ،است م همچنان جعلین و شدود استفاده تواندیازمنددمددیریت امنیتیقویاست[2]. 3-جعلIPحمالت وDDos IP Spoofingآدره از آن در کده اسدت حمالتدی معنای به هایIPبده کلدی صدورت شدود.به مدی اسدتفاده سداختگی اینترندت بدرای امنیتدی مشدکل یک که دارد اشاره حمالتی دعدمنب آدره دادن تدییدر دوند.بادش دیدم محصدوبدکدترافی حتدی یدا دیگرو شده داده اختصاص های آدره به حمالت تواندی می مهاجم یک ، نامعین های آدره -موقعیتواقعیکند پنهان را خود -فر بایبکاریقوان کنترینیکگ دست به را منبعیرد -س در رخنه بایستمقربانیبرد سود آن از -تواناییانداز راهییکپ را حملهیداکند تعددادیبده دتهدوابس کده نداک دردخط حمدالت ازIPدادهی ساختگیازی اند هستندعبارت SYN flooding ,Smurf , DNS amplification, DDos توز حمالتیعشدهDosرا اختصدارآن بده کدهDDosمدی نامیمنوعیز و هوشمند حمالت ازیرکانهDosکهی است -هزینهایبرایپ در نفوذگریداشت نخواهد. -هویتم پنهان نفوذگریماند. -موفق احتمایتبس آنیاراست باال. -میطوالن تواندیباشد مدت. -بس آن با مبارزهیاراست مشکل. اینبرا حمله نویاولینتابستان در بار9111صدحنه در اینترنتفزا بطرز آن از پس و شد ظاهریندهایاینترندترا میدانیکع تمام جنگیارا گونه به کردیسا کهیتهدای eBay, E Trade ,Yahoo, CNN , ZDNet, Amazon.com دن سطح در (کهیان )دارند شهرتیزا درینامان در حمالت ناتوان و نمانندیفروپاش وی.شد گزارش ها آن سا در6002حملهDNS amplificationنام سرور ضد بر TDL(Top Level Domain)ظرف کده گرفدت صورتیدت اینشدد را سروریداپدا روز چندد مددت بدهیینآورد.طبد مشاهداتCAIDAحداقل ،0000حملهDDosمبنا بری IPهایساختگیدریکم اتفاق هفتهیپنجاهم افتد.درین مالقاتNANGOشواهدیازARBOمد نشانیکده دهدد حمالتSpoofingبداال حجم وجود با فوقیهدا شدبکهی زامبی(پیوست9)بسیار.است شده ظاهر قدرتمند
- 3. 3 3-1-حملهDDosنوع ازStacheldraht شکل9دیاگرامیکحملهDDosStacheldrahtم نشان رای .دهدStacheldrahtیکحملهDDosال سهیهدرآن که است مد با مهاجمیرهاومد کرده برقرار ارتباطیرانمور ما بایندر .ارتباطندStacheldrahtیکینخست ازینحمالتDDosبوده ،بنابراینتحل دقدت بدهیدلاست.بسد شددهیاریحمدالت از جدیدترمد نقایرمور ما واز کرده حذف راینمیخواهندد در را خود کهیکیها اتاق ازیIRCا با کنند.مقابله ثبتین .دشواراست حمالت ها گامیاجرایحمله[3]Stacheldrahtی 9-تعداد مهاجمیس ازیسدتمهدایاینترنتدیآلدوده را مد افزار ونرم کردهیرDDosرو رایم نصب آنی.کند 6-اینسیستمها بخا هاییا ازینترتکدرده آلوده را وسیسدتمهدایددم خددمت مداموردر عندوان دهدب را آلدودهی گیرندها .روشیساز آلودهیمیهرچ تواندیزیباشدد،نظیر کارگ بهیریe-mailهاییهدا اسب شاملیتدروا(Trojan horse)یاآسد از استفاده سویبپدذیریهایافدزار ندرمیدر کاربردیاسیستم.عامل 0-بدرا را حملده فرمان مهاجمیسیسدتمهدایمددیر م ارسایکنند.سیسدتمهدایمددیرمدا خودبده نوبده بده مورینشانم فرمانیس که دهندیلیتراف ازیکآدره به را IPخاصی.کنند ارسا 4-داندقرب شدبکهیتراف بداددیکزایددمد دردپیدودوبهدش ها درخواستیبس احتما با مجاز کاربرانیارداده پاسخ کم می.شود (شکل9حمله میکانیزم ی )Stacheldraht
- 4. 4 3-2-حملهDDosنوع ازTFN2K شکل6حمله میکانیزمTFN2K(Tribe Flood Network 2000)دهد می نشان را. (شكل2حمله میكانیزم : )TFN2K افزار نرم از نفوذگر میکانیزم این درNetCatبدا ارتبداط برای ماشین از مجموعه یک سرگروه کنند.هر می استفاده مدیران می رهبری را زامبی هاینفوذگر فرمان تحت مستقیما کندو اصدطالحا مددیران هدای ماشین است.بهClientمدی گفتده ابزار طری از شود.نفوذگرNetCatصدادر را حملده فرمدان ، ، خود فرمان تحت زامبی های ماشین به نیز ها کندوآن می حمله شرو دستورDDosدر مشدخص هدف یک برعلیه را .نمایند می ابالغ شبکه ماشینمددیر های(Clientدر تصدادفی کدامال صدورت بده ) بده کمکی ها آن لذاشناسایی ، اند گرفته قرار نفوذگر اختیار از نفوذگر واقع کرد.در نخواهد نفوذگر هویت کشف و ردیابی حملده فرمدان صددور بده قدادر شبکه در معلوم نا نقطه هر خواهد.بود درTFN2Kمیکدانی توانندداز می زامبی های ماشینهدای زم ی کنند استفاده هدف ماشین برعلیه زیر UDP Floodهای بسته آسای سیل ارسا یUDPسمت به اختیار بانددر پهنای تمام که نحوی به شبکه در قربانی یک های بسته از حجم این با ، اوUDP.شود تلف SYN Floodهای بسته آسای سیل ارسا یSYN. ICMP Floodیهددای دتهدبس دایدآس دیلدس ارسدداPing (ICMP Echo Request). حملهSmurfهدای بسدته ، بسدته فراگیر ارسا یPingیدا UDP. حملهMixهدای بسدته همزمدان و آسا سیل ارسا شامل ی SYN،UDPوICMPهدف یک سمت به حملهTargaهای بسته آسای سیل ارسا شامل حمله این ی ناقصIPیک سمت به.هدف در بدانکده توجه باTFN2Kحملده میکدانیزم شدا ازDos دل م ای حملده کده اسدت قادر نفوذگر شودلذا می استفاده ICMP Floodآن نبدودن موفد صدورت در کنددو شرو را ندو تدییدر دسدتور خود فرمان تحت های ماشین به حمله به ال (م حملهSYN Flood.کند می صادر را ) انگیز شگفت از یکیدر رفته کار به نکات ترینTFN2Kآن پدورت هیچ ، افزار نرم این به آلوده های ماشین در که است TCPیاUDPپویا افزارهای نرم با بنابراین و شود نمی باز ( پورتPortScanفرمدان اجدرای یا و )netstat - naنمدی ، ماشین روی بر مشکوکی و خاص پورت که شد متوجه توان است شده باز.کند می عمل مخفی بسیار نحو بدین و ی حمله فرمان اما درTFN2Kبسته از زامبی های ماشین به دادن فرمان برای هایEcho Reply Packetاسدتفادده شود.دلیل می استفاده آتدا دیدوار یدا ها یاب مسیر ر اک که است آن بسته این از شدود وارد شدبکه درون بده ای بسته چنین دهند می اجازه
- 5. 5 دسدتور بده پاسدخ در بسدته این کنند می فرض زیراPing (Echo Request).است گشته باز 3-3-حمالت از پیشگیري هاي استراتژيDDos یدا شدده توزیدع نقطده شناساییDCDروشدی حملده شناسدایی برای جدیدDDosاسدتفاده بدا ازCATاصدلی هددف .است )تراکم تدییر (درخت ا از قبل نهایی ترافیک شناسایی روش این دریجاد سرو دامنه است.سرور ها آنیسا دهنددهینترندت تراف اطالعداتددیکمسد از رایریابدادهیدفدمختل آور جمع مختلفیا در آنها از و کردهیجاددرخت تدییرم استفاده تراکمینمایدف .سپسیلترمبتنی مس بریریابی(RBFاس با )بدسدت ازاطالعات تفاده برا آمدهیشناسداییهدا بسدته حدذف ویبداIP جعلیم استفادهینماید. فیلترینگIDPFمشابهRBFتفاوت این با است کهIDPFاطالعات قبلی های گام از گروه یک از و شناسایی برای اطالعات از قبلی گام یک جای به با ها بسته حذفIPساختگی.نماید می استفاده آمار نظارتیها بستهیا دادهیبررسد رایمدی ها بسته که کندیغ و نرمایرنرمابه توجه با را قوانینمسیریابیاز نرمایکدیگرتفکیکنمایدد. اینف روشیلترسازیآماریها بستهیفعا بدایدت غیرنرمابق و دورانداخته رایدهمقصدشدان بده را هدایتمی.کند ف روشیلترسازی( گام شمارشHCFاسدتفاده با ،) ها گام تعداد ازیبدینمد عمدل مقصدد و مبددای نماید.HCFیکنظ جدویربده گام تعداد کردن (IP2HC) IPایجادمینمایدا کهیجدادنظ ویدر آدره هددر کددردنIPجدددو در گددام تعدددا بدده مستقیمانم صورتیگی،ردالگدور امایتمیوجدود ا که داردینعملم انجام رای.دهد ANTIDها بستهیوقدو زمان در را حمله حملهDDOSفیلترمیا در .کندینروش حالتی مس انگشت اثر از استفاده مانندیریها بسته کهی IPم مشخص را اند کرده عبور آن ازینماید. عمل باند پهنای از زیاد استفاده دیگرعلیه حل راه و محلی های ماکنیزم از هم روش این در ،کند می حمله با مقابله برای سراسری همDDOSاسدتفاده .است شده معماریسرویس( امن پوشاSOSتونل شامل ،) مس ،زدنیریابیف سپس ویلترسازیا در .استین مس روشیرهاییصورت بهیابینمسیریابهدا ایجادآنهدا از اسدت مجبدور کننده حمله که شده ا در .کند عبورینمس حالتیریابهایسری،عمی تراف حجم توانندیکبسدته و داده کاها را شبکه هایجعلیف رایلتر.سازند روشMOVEنیزروش مانندSOSا با ،استیدن حما بده کده تفاوتیدتزیرسداختف ویلترسدازی ن وابستهیست. روشپ دفددایشددگیرانه،رو از اسددتفاده بددایکددرد پیشگیرانهمیامن سطح توانیتیکسیسدتمیدا بخشد بهبود را شبکهیدا .یدنسیسدتمترکیبدیاز
- 6. 6 توز صورت به متجانس سرور چندیعکه است شده حرکتد صدورت به فعا سرور مکانیپنهدانیدر تد حاییرا در .استینقانون کاربران تنها حالتی ا زمان ازینجد سدرور آدره و حرکتیددمطلدع د اتصاالت همه .هستندیگرسرور حرکت زمان در م قطعیا در .شوندینقانون افراد حالتیبایدقبل سرو سرور حرکت ازیسحمله که کنند قطع را ها آگاه کننده حرکت سرور از کنندگانینیابنددر . اینجلوگ حالتیریهز حمله ازینهسدخت و بدر .است رد روشیدابیا از ددفدمبدأ،هیدنپ روشیگددیری کردن"مبدأ حمله"برایمدا .است حمله با مقابله مسد اطالعات آن در که بسته ساخت روش ازیررا سرآ در شده کد صورت بهیندشناساییها بستهی IPم قراریدهدیممد اسدتفادهینمداییما در .یدن قربان حالتیمیمسد تواندیربازسداز را حملدهی ها بسته مبدأ و کردهی(جعل خرابیشناسا را )یی نمایدمس ،گرد عقب روش همانند .یریابپ هایدام گرد عقبICMPبرا رایبسدیاریهدا بسدته ازی دریافتیتولیدترک با آنها همراه و کردهیببسته با هایICMPمیفرستندچن بردن بکار با .ینروش ارزیابی،پ ارزشیامهایICMPم مشخصی.شود ا به توجه باینکهمس ار مقضد فاصلهیریابچقددر سدرعت چده با حمله وقو از بعد ها بسته ،استی میدر انتظار مقصد و ،برسند توانندیافتها بسته زمدان چه در رایمهمترند ،داردیمشدکلیدر کده اینجامیتواندا باشد داشته وجودیدنکده اسدت مس ساختیربس حملهیارمدا .است گران و سخت بایدچندینهدا حدل راهییبدرا رایگ بکداریدری عملیاتیبدر بکدار ها حمله وقو از بعدیمنمد وی حملدده تددوانDDOSمتوقددف اجددرا زمددان در را نمود[4]. انفعال حل راهی(Reactive Solution)،ایدن،روش روشیانفعالیبرایجلوگیریا حمله ازیحا در ا در که است انجامینجلو حالتیبسدته حرکت هایم گرفته حملهیبجا شودیاینکههدر مبددأ شناسا حمله و بستهییا در .شودیناز روشPIیا شناساییمسیرم استفادهیسدرآ در کده شودیند مد داده قدرار هدا بستهیمسد هدر .شدودیریابدر مسی،رها بستهییمس از کهیرخاصدیمسد کدهیر م است حملهیآیندف رایلترمیهمچند .کنندین بایدد روش ازیگرینام بهpush backنیزاستفاده تشدخ از پس آن در که نمودیصعالمدت ازدحدام ا حملهیایجادمیتشدخ بدا آن در کده شودیص تراف درصدی،کیدکت کنندده محددودرافیدکدر ورودیم قراریگیدردبدد کدهینوسدیلهجلدوی بسیاریم گرفته ها بسته ازیهمد بده و شدودین دلیلجریانحملهpush backمیروش در .شود دیگریهمسا تفاوت نام بهیهغریبه(NSDبد )ین ها بستهییهمسا از کهیهمیایدها بسته وییکه غر ازیبهمیآیدا تفاوتیجادمدیبسدت و شدوده هایغریبهپذیرفتهنمیکل .گردندیتموفقیتراه انفعال حلیموفق بهیتتشدخ دریصهدا بسدتهی دارد بد از خوب[4]. Ex_IDPFتوسددددعهیافتددددهالگددددوریتمIDPF است.اینالگوریتمپروتکل ازBGPمد اسدتفاذهی نماید.اینزمان روشیدرست بهیم کاریکه کند هیچا بستهیصدح مبدا آدره بایحانداختده دور
- 7. 7 ا نشود.درینالگوریتمگدذار نشانه بالک دو ازیو فیلترسازیم استفادهی.شود مزایایالگوریتمEx-IDPFی الگددوریتمEx-IDPFمزایددایزیددادیقالددب در را افزایاکاراییشناسا درییب از وینبسدته بدردن هایجعلیا .است داراینکل حفاظت که موضو جعل از شبکهIPکاریکدامال ،است کننده خسته ا .است شده شناختهینزمان امرتنهایپذ امکانیر ز تعداد که استیادیفیلترنزد فاصدله دریکدیاز یکدیگرز تعداد و گرفته قراریادیا ازینفیلترهدا مهمترن .رود بکاریمزیتپوشا ،شده راهکارارائه وس قسمتیعیکمد تعدداد بردن بکار و شبکه ازی فیلترکدارا آوردن بدست وییبداالییا .اسدتیدن رویکردمیتا تواند85.79%مقابدل در شدبکه از حملهDDOSنما محافظتید[5]. ز جدویرمقایسهایبینسیسدتمو شدده ارائده سیستمهایم نشان را موجودیدهد[5],[6]ی جدول9روش تفاوت :Ex-IDPFموجود های روش با يكیم ازیكانیزمهايجديدفیلترسازيمجااز ،مرزي ( جعل ضدVASEدارد.از )نامVASEبرايساز سادهي تنظیماتفیلترسازيهز كاهش منظور وبهيناههااي غیرضروريم استفادهیشود.ارزيابیهايیا بر كهين م نشان گرفته صورت اساسیمز كه دهديتنن مها چناد در استفادهينمحایط.اساتVASEدر كاامال جريانفعالیتهايفیلترينگIPهايجعلایو باوده میوس به تواندیلهمسیريابپ هایادهسازيشاود.اين میكانیزمها شبكه دريدانشگاهیدانشگاهTsinghua ،مزايايواقعیاست داده نشان را خود[7]. 4-نتیجهگیري ا درینم با ما مقالهیکانیزمهایپیشگیریحمالت ازDDos شد آشنایمودانستیمالگور کهیتمEx-IDPFمیتواندتا 15.70حمله مقابل در شبکه از درصدDDosمحافظت نمایدروش دو از اگر من نظر به کهEx-IDPFوReactive Solutionکن استفاده هم بایمطور بهیبه بسته ابتدا که روشReactiveروش به وسپسEx-IDPFبررس موردی گ قراریردب درصد با ،یشتریمیتوانیما برابر در شبکه ازین نما محافظت حمالتییمدل .بهیلاینروش کهReactiveدر کمتر زمانیکمتر وبادقتیمیتواندرا حمله بسته تشخیصحمالت دهدودرDDosتشخ ،یصسریعکه است پ بهیشگیریم کمکیدرصورت .کندیحمله بسته که تشخیصوس به نشد دادهیلهالگوریتمEx-IDPFدقت با بیشتریبررس موردیقرارمیگیرد.
- 8. 8 البتهجد روشیدVASEترافیکز با را گرانه اخالیرکی شناساییمیطراح اما کندیا گونه به شبکهیبا بتوان که حمالتDDosدشوار کار کند نرم پنجه و دستیاست نم هرگزیتوانحمالتDDosمتوقف کامل طور به را کس کرداگریابزار که کرد ادعایحمله مانع که ساخته DDosبدان شود شما شبکه بهیدم دروغ کهیگوید. البتهISPهافناوریهایخاصیاخت دریارکه دارند میتوانندایناما کنند حل را مشکلISPبرا هایگسترش فیلترینگوامنیتا شبکهیجادانگیزهنمیها آن کنندچون ا اختالالت گسترش از فقطیجادتراف در شدهیکهایشبکه م ممانعتیسخت به اما کنندیا عوامل گسترش ازیجاد اختالدرترافیکم محافظت شبکهیکند[8]. امیدوارمآ دریندهایبه صورت به دور چندان نهینهو تر ها شبکه از استفاده تروبا هوشمندیعصبیبتوانیمشبکه از حمالت برابر درDDosنما محافظتییم. پیوست1 (زانبی های ماشینZombie) به نفوذگر یک توسط صاحبا اطال بدون که ای رایانه به حمالت ابزار عنوانDosگیرد،ماشین می قرار استفاده مورد در طورناخودآگاه به زامبی شود.ماشین می گفته زامبی را ها آن گیرندونفوذگر می قرار بدخواه نفوذگر یک خدمت فرماندهی و هدایت ، بسیج شبکه در هدف یک به حمله در .کند می یک خدمت در نحو چه به گناه بی های ماشین این اما گیرند؟ می قرار بدخواه نفوذگرهای افزار نرم معموال Zombieولی جذاب و زیبا ، رایگان های برنامه قالب در از شوند.بخشی می توزیع اینترنت شبکه آلوده،درسراسر با ، ندارند موضو این از خاصی آگاهی که آماتور کاربران بمباران های بسته از بخشی ارسا ، ها برنامه این اجرای ل م کنندهSYN-Floodنحو بدین گیرندو می برعهده را بدون.شوند می نفوذگرهمسو اهداف با ، اطال مراجع [1] BhavyaDaya,FloridaUniversity,”NetworkSecurity:History ,Importance and Furture” [2] Matthew Tanase 2003-03-11,”IP spoofing : an Intruduction”,last updated Murch,2003 [3] Convery,Sean, ”Network security architectures” , c2004 [4] BhavnaChauhan ,AmitAsthana,”PreventionandDetection IP Spoofed Attacks”,VSRD-IJCSIT,Vol.2(1),2012 [5] G.Velmayil,S.Pannirselvam, ”Detectionand Removal of IP Spoofing Throug Extended-Inter Domain Packet Filter Architecture”, International Journal of applications,Volume 49-.17,July 2012. [6] JelenaMirkovicandEzra Kissel“Comparative Evaluation of SpoofingDefenses” IEEE transactions on dependable and secure computing, volume 8, issue 2, 2011. [7] Guang Yao, Jun Bi, Peiyao Xiao,” VASE: Filtering IP spoofing traffic with agility”, Comput. Netw.(2012), http://dx.doi.org/ 10.1016/j.comnet.2012.08.018,Accepted 9 Agust 2012. [8] BingyangLiu,JunEi,Xiaowei Yang, Tsinghua University” FaaS : FilteringTraffiic as a service ” , ACM, August,2012.