نفوذ هكرها را چگونه بشناسيم تشخيص نفوذ، عبارت است از پردازه تشخيص تلاشهايي كه براي دسترسي غيرمجاز به يك شبكه يا كاهش كارايي آن انجام ميشوند. در تشخيص نفوذ بايد ابتدا درك صحيحي از چگونگي انجام حملات پيدا كرد. سپس بنابر درك بهدست آمده، روشي دو مرحله اي را براي متوقف كردن حملات برگزيد. اول اين كه مطمئن شويد كه الگوي عمومي فعاليتهاي خطرناك تشخيص داده شده است. دوم اين كه اطمينان حاصل كنيد كه با حوادث مشخصي كه در طبقه بندي مشترك حملات نميگنجند، به سرعت رفتار ميشود. به همين دليل است كه بيشتر سيستمهاي تشخيص نفوذ (IDS) به مكانيزمهايي براي بهروزرساني نرمافزارشان متكي هستند كه براي جلوگيري از تهديدات شبكه به اندازه كافي سريع هستند. البته تشخيص نفوذ به تنهايي كافي نيست و بايد مسير حمله را تا هكر دنبال كرد تا بتوان بهشيوه مناسبي با وي نيز برخورد كرد.
- انواع حملات شبكه اي با توجه به طريقه حمله يك نفوذ به شبكه معمولا يك حمله قلمداد ميشود. حملات شبكه اي را ميتوان بسته به چگونگي انجام آن به دو گروه اصلي تقسيم كرد. يك حمله شبكهاي را ميتوان با هدف نفوذگر از حمله توصيف و مشخص كرد. اين اهداف معمولا از كار انداختن سرويس (DOS) يا Denial of Service يا دسترسي غيرمجاز به منابع شبكه است.
1- حملات از كار انداختن سرويس
در اين نوع حملات، هكر استفاده از سرويس ارائه شده توسط ارائه كننده خدمات براي كاربرانش را مختل ميكند. در اين حملات حجم بالايي از درخواست ارائه خدمات به سرور فرستاده ميشود تا امكان خدمات رساني را از آن بگيرد. در واقع سرور به پاسخگويي به درخواستهاي بي شمار هكر مشغول ميشود و از پاسخگويي به كاربران واقعي باز ميماند.
2- حملات دسترسي به شبكه
در اين نوع از حملات، نفوذگر امكان دسترسي غيرمجاز به منابع شبكه را پيدا ميكند و از اين امكان براي انجام فعاليتهاي غيرمجاز و حتي غيرقانوني استفاده ميكند. براي مثال از شبكه به عنوان مبدا حملات DOS خود استفاده ميكند تا درصورت شناسايي مبدا، خود گرفتار نشود. دسترسي به شبكه را ميتوان به دو گروه تقسيم كرد.
الف دسترسي به داده: در اين نوع دسترسي ، نفوذگر به داده موجود بر روي اجزاء شبكه دسترسي غيرمجاز پيدا ميكند. حمله كننده ميتواند يك كاربر داخلي يا يك فرد خارج از مجموعه باشد. دادههاي ممتاز و مهم معمولا تنها در اختيار بعضي كاربران شبكه قرار ميگيرد و سايرين حق دسترسي به آنها را ندارند. در واقع سايرين امتياز كافي را جهت دسترسي به اطلاعات محرمانه ندارند، اما ميتوان با افزايش امتياز به شكل غير مجاز به اطلاعات محرمانه دسترسي پيدا كرد. اين روش به تعديل امتياز ياPrivilege Escalation مشهور است.
ب- دسترسي به سيستم: اين نوع حمله خطرناكتر و بدتر است و طي آن حمله كننده به منابع سيستم و دستگاهها دسترسي پيدا ميكند. اين دسترسي ميتواند شامل اجراي برنامهها روي سيستم و بهكارگيري منابع آن براي اجراي دستورات حمله كننده باشد. همچنين حمله كننده ميتواند به تجهيزات شبكه مانند دوربينها ، پرينترها و وسايل ذخيره سازي دسترسي پيدا كند. حملات اسب ترواها، Brute Force و يا استفاده از ابزارهايي براي تشخيص نقاط ضعف يك نرمافزار نصب شده روي سيستم از جمله نمونههاي قابل ذكر از اين نوع حملات هستند.
فعاليت مهميكه معمولا پيش از حملات DoS و دسترسي به شبكه انجام ميشود، شناسايي يا reconnaissance است. يك حمله كننده از اين فاز جهت شناسايي حفرههاي امنيتي و نقاط ضعف شبكه استفاده ميكند. اين كار ميتواند به كمك بعضي ابزارها آماده انجام پذيرد كه به بررسي پورتهاي رايانههاي موجود روي شبكه ميپردازند و آمادگي آنها را براي انجام حملات مختلف روي آنها بررسي ميكنند.
- انواع حملات شبكه اي با توجه به حمله كننده حملات شبكه اي را ميتوان با توجه به حمله كننده به چهار گروه تقسيم كرد :
1- حملات انجام شده توسط كاربر مورد اعتماد (داخلي): اين حمله يكي از مهمترين و خطرناكترين نوع حملات است، چون از يك طرف كاربر به منابع مختلف شبكه دسترسي دارد و از طرف ديگر سياستهاي امنيتي معمولا محدوديتهاي كافي درباره اين كاربران اعمال نميكنند.
2- حملات انجام شده توسط افراد غير معتمد (خارجي): اين معمولترين نوع حمله است كه يك كاربر خارجي كه مورد اعتماد نيست شبكه را مورد حمله قرار ميدهد. اين افراد معمولا سخت ترين راه را پيش رو دارند، زيرا بيشتر سياستهاي امنيتي درباره اين افراد تنظيم شدهاند.
3- حملات انجام شده توسط هكرهاي بي تجربه: بسياري از ابزارهاي حمله و نفوذ روي اينترنت وجود دارند. در واقع بسياري از افراد ميتوانند بدون تجربه خاصي و تنها با استفاده از ابزارهاي آماده براي شبكه ايجاد مشكل كنند.
4- حملات انجام شده توسط كاربران مجرب: هكرهاي با تجربه و حرفهاي در نوشتن انواع كدهاي خطرناك متبحرند. آنها از شبكه و پروتكلهاي آن و همچنين از انواع سيستمهاي عامل آگاهي كامل دارند. معمولا اين افراد ابزارهايي توليد ميكنند كه توسط گروه اول بهكار گرفته ميشوند. آنها معمولا پيش از هر حمله، آگاهي كافي درباره قرباني خود كسب ميكنند.
- پردازه تشخيص نفوذ تابهحال با انواع حملات آشنا شديم. حال بايد چگونگي شناسايي حملات و جلوگيري از آنها را بشناسيم. امروزه دو روش اصلي براي تشخيص نفوذ به شبكهها مورد استفاده قرار ميگيرد:
1 - IDSمبتني بر خلاف قاعده آماري
2 - IDS مبتني بر امضا يا تطبيق الگو
روش اول مبتني بر تعيين آستانه انواع فعاليتها روي شبكه است، مثلا چند بار يك دستور مشخص توسط يك كاربر در يك تماس با يك ميزبان (host) اجرا ميشود. لذا در صورت بروز يك نفوذ امكان تشخيص آن به علت خلاف معمول بودن آن وجود دارد. اما بسياري از حملات به گونهاي هستند كه نميتوان بهراحتي و با كمك اين روش آنها را تشخيص داد.
در واقع روشي كه در بيشتر سيستمهاي موفق تشخيص نفوذ به كار گرفته ميشود،IDS مبتني بر امضا يا تطبيق الگو است. منظور از امضا مجموعه قواعدي است كه يك حمله در حال انجام را تشخيص ميدهد. دستگاهي كه قرار است نفوذ را تشخيص دهد با مجموعهاي از قواعد بارگذاري ميشود. هر امضا داراي اطلاعاتي است كه نشان ميدهد در دادههاي در حال عبور بايد به دنبال چه فعاليتهايي گشت. هرگاه ترافيك در حال عبور با الگوي موجود در امضا تطبيق كند، پيغام اخطار توليد ميشود و مدير شبكه را از وقوع يك نفوذ آگاه ميكند. در بسياري از موارد IDS علاوه بر آگاه كردن مدير شبكه، با كمك يك فايروال و انجام عمليات كنترل دسترسي با نفوذ بيشتر هكر مقابله ميكند. اما بهترين روش براي تشخيص نفوذ، استفاده از تركيبي از دو روش فوق است. بهروز كماليان
