10 اﻟﮭﺎﻛﺮ اﻷﺧﻼﻗﻲ Denial of Service + Botnet
By
Dr.Mohammed Sobhy Teba Denial of Service + botnet https://www.facebook.com/tibea2004
1006
CONTENTS 1011 ....... ................................................................................................................................ (Denial-Of-Service (DoS)) ﻣﻘدﻣﮫ ﻓﻲ10.1 1011 .................... ................................................................................................................................................................ اﻟﺗﻌرﯾف 1012 ................ ................................................................................................................................ﻣﺎ ھﻲ ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺎت؟ 1013 ......... ................................................................................................................................................................ DoS and DDoS 1014 ........................................................................................................................؟Distributed Denial Of Service ﻛﯾف ﯾﻌﻣل ھﺟوم 1015 ....... ................................................................................................................................................................ﻟﻣﺎذا ﻋﻠﯾﻧﺎ أن ﻧﮭﺗم؟ 1015 ............. ................................................................................................................................(DDOS) أﻋراض ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ 1016 .............................................................................................. (Understanding Denial Of Service) ﻓﮭم ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ10.2 1017 .............. ................................................................................................................................................................اﻟدواﻓﻊ اﻟﺧﻔﯾﺔ 1017 ....... ................................................................................................................................................................ ﻣواﺟﮭﺔ اﻟﻣﮭﺎﺟﻣون 1018 ......... ................................................................................................................................................................ﻣﺎ وراء اﻟﻛواﻟﯾس 1019 ....... ................................................................(Recruiting and Controlling Attacking Machines) ﺗوظﯾف وﻣراﻗﺑﺔ ﻣﺎﻛﯾﻧﺎت اﻟﮭﺟوم 1019 .... ................................................................................................................................................................ (HIDING) اﻹﺧﻔﺎء 1020 ................. ................................................................(MISUSING LEGITIMATE SERVICES) إﺳﺎءة اﺳﺗﺧدام اﻟﺧدﻣﺎت اﻟﻣﺷروﻋﺔ 1021 ........ ................................................................................................................................(Distribution Effects) ﺗﺄﺛﯾرات اﻟﺗوزﯾﻊ 1022 ............................................................................................. (؟DDOS: HYPE OR REALITY) دﻋﺎﯾﺔ ام ﺣﻘﯾﻘﺔ:اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ 1022 ................................................................(؟HOW COMMON ARE DDOS ATTACKS) ﻣﺎ ﻣدى ﺷﯾوع ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ 1023 ... ................................................................................................................................................................DDOS ﺣﺟم ھﺟﻣﺎت 1024 ............... ................................................................................................................................ ؟DDOS ﻛﯾف ﺗﻛون ﻋرﺿﺔ ﻟﮭﺟﻣﺎت 1025 ... ................................................................................................................................................................DDoS وDoS ﺗﺎرﯾﺦ10.3 1025 ..... ................................................................................................................................................................(Motivation) اﻟداﻓﻊ 1027 .......... ................................................................................................ (Design Principles of The Internet) ﻣﺑﺎدئ ﺗﺻﻣﯾم اﻹﻧﺗرﻧت 1027 ................... ................................................................................................................................ Packet-Switched Networks 1029 ......... ................................................................................................Best-Effort Service Model and End-To-End Paradigm 1030 ........... ................................................................................................................................ (Internet Evolution) ﺗطور اﻹﻧﺗرﻧت 1031 ....... ................................................................................................................................(Internet Management) إدارة اﻹﻧﺗرﻧت 1032 ........................................................................................................................................................DoS and DDoS Evolution 1032 ........................................................................................................................History of Network-Based Denial of Service 1041 ...................... ................................................................................................ ( )ﻛﯾﻔﯾﺔ اﻟﻘﯾﺎم ﺑﮭذا اﻟﮭﺟومHow Attacks Are Waged 10.4
https://www.facebook.com/tibea2004
ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ.د
1007 1041 .. ................................................................................................(Recruitment Of The Agent Network) ﺗوظﯾف ﺷﺑﻛﺔ ﻣن اﻟوﻛﻼء 1042 ..................... ................................................................ (FINDING VULNERABLE MACHINES) اﻟﻌﺛور ﻋﻠﻰ آﻻت اﻟﻣﺳﺗﺿﻌﻔﺔ 1044 ..... ................................................................................................(Breaking Into Vulnerable Machines) اﻗﺗﺣﺎم اﻻﺟﮭزة اﻟﺿﻌﯾﻔﺔ 1045 ................ ................................................................(MALWARE PROPAGATION METHODS) طرق إﻛﺛﺎر اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ 1045 ......................................................................................... (Controlling The DDoS Agent Network) اﻟﺗﺣﻛم ﻓﻲ ﺷﺑﻛﺔ وﻛﻼء دوس 1046 ................................................................................................................................(DIRECT COMMANDS) اﻷواﻣر اﻟﻣﺑﺎﺷرة 1047 ...................... ................................................................................................(INDIRECT COMMANDS) اﻷواﻣر اﻟﻐﯾر ﻣﺑﺎﺷره 1048 ...................... ................................................................................................ (MALWARE UPDATE) ﺗﺣدﯾث اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ 1048 .........................................................................................(UNWITTING AGENT SCENARIO) ﺳﯾﻧﺎرﯾو اﻟوﻛﻼء اﻟﻐﯾر ﻣﻘﺻودﯾن 1049 ............ ................................................................................................................................(ATTACK PHASE) ﻣرﺣﻠﺔ اﻟﮭﺟوم 1052 ......................................................................................................................................................... DoS Attacks Techniques 1053 ..... ................................................................................................................................................................ أھداف ﺣﺟب اﻟﺧدﻣﺔ 1057 .................... ................................................................................................................................ أﻧواع ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ 1067 .... ................................................................................................................................................................ (botnet) اﻟروﺑوﺗﺎت10.5 1067 ............. ................................................................................................(Organized Crime Syndicates) ﻋﺻﺎﺑﺎت اﻟﺟرﯾﻣﺔ اﻟﻣﻧظﻣﺔ 1067 ...........................(ORGANIZED CYBER CRIME: ORGANIZATIONAL CHART) اﻟﮭﯾﻛل اﻟﺗﻧظﯾﻣﻲ:ﻣﻧظﻣﺎت اﻟﺟرﯾﻣﺔ اﻹﻟﻛﺗروﻧﯾﺔ 1068 .................... ................................................................................................................................................................Botnet 1070 .......... ................................................................................................................................ "C&C STRUCTURE" C&C ھﯾﻛل 1072 ................ ................................................................................................................................ (Botnet Usage) اﺳﺗﺧداﻣﺎت اﻟﺑوﺗﻧت 1072 .. ................................................................................................................................"DDOS" ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ اﻟﻣوزﻋﺔ 1073 ............... ................................................................................................................................"CLICK FRAUD"ﻧﻘرات اﻻﺣﺗﯾﺎل 1073 ................ ................................................................................................................................ "SPAM RELAY" اﻟﺑرﯾد اﻟﻣزﻋﺞ 1074 .................. ................................................................................................."PAY-PER-INSTALL AGENT" اﻟدﻓﻊ ﻣﻘﺎﺑل اﻟﺗﺛﺑﯾت 1075 ....................... ................................................................ "Large-Scale Information Harvesting" ﺣﺻد اﻟﻣﻌﻠوﻣﺎت ﻋﻠﻰ ﻧطﺎق واﺳﻊ 1075 ............................................................................................................................... "Information Processing" ﻣﻌﺎﻟﺟﺔ اﻟﻣﻌﻠوﻣﺎت 1075 ............. ................................................................................................ "Botnet Protective Mechanisms" آﻟﯾﺎت ﺣﻣﺎﯾﺔ اﻟروﺑوﺗﺎت 1075 ...............................................................................................................................................................Bulletproof Hosting 1076 ....... ................................................................................................................................................................ Dynamic DNS 1076 ........... ................................................................................................................................................................Fast Fluxing 1078 .... ................................................................................................................................................................ Domain Fluxing
https://www.facebook.com/tibea2004
ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ.د
1008 1080 ....... ................................................................................................................................................................Botnet Tutorials 1080 .................... ................................................................دراﺳﺔ ﻋﻣﻠﯾﺔ ﻓﻲ إﻧﺷﺎء ﺷﺑﻛﺔ ﺑوﺗﻧت ﺑﺳﯾطﺔ وﺗﺄﺛﯾرھﺎ ﻓﻲ ھﺟوم اﻟدوس ﻋﻠﻰ ﺧﺎدم اﻟوﯾب 1089 ........... ................................................................................................................................................................ZeuS Botnet 1102 ..............................................................................................................................................................Botnet Trojan: shark 1104 ....................... ................................................................................................Poison Ivy: Botnet Command Control Center 1104 ......................................................................................................................................................... Botnet Trojan: PlugBot 1105 ................ ................................................................................................ Botnet Trojans: Illusion Bot and NetBot Attacker 1106 ......... ................................................................................................" Battlefronts against a botnet" ﺟﺑﮭﺎت اﻟﻘﺗﺎل ﺿد اﻟروﺑوﺗﺎت 1106 ............. ................................................................................................................................ "The technical front" اﻟﺟﺑﮭﺔ اﻟﻔﻧﯾﺔ 1107 ............... ................................................................................................................................ ."The legal front" اﻟﺟﺑﮭﺔ اﻟﻘﺎﻧوﻧﯾﺔ 1108 ............................................................................................................................................................Most Common Botnets 1112 ...........................................................................................................................(DoS TOOLS) أدوات ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ10.6 1112 .........................................................................................."Some Popular DDoS Programs" ﺑﻌض ﺑراﻣﺞ دوس اﻷﻛﺛر ﺷﻌﺑﯾﺔ ﻗدﯾﻣﺎ 1114 ... ................................................................................................ "New Popular DDoS Programs" ﺑراﻣﺞ دوس اﻷﻛﺛر ﺷﻌﺑﯾﺔ ﺣدﯾﺛﺎ 1125 .................. ................................................................................................................................ Telephony Denial-of-Service 1126 .................. ................................................................ "Unintentional Denial-of-Service" ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ اﻟﻐﯾر ﻣﻘﺻودة 1126 .......................................................................................................................................................Denial-of-Service Level II 1126 ..................... ................................................................................................Regular expression Denial of Service – ReDoS 1127 .................. ................................................................................................................................ Hash Collisions DoS Attacks 1130 ..................... ................................................................................................................................The Botnet as a DDoS Tool 1130 ...................... ................................................................................................ "Blended Threat Toolkits" أدوات اﻟﺗﮭدﯾد اﻟﻣﺧﻠوطﺔ 1132 ....................... ................................................................................................................................"Implications" اﻵﺛﺎر اﻟﻣﺗرﺗﺑﺔ 1133 ............................................................(Detection and Mitigation of High-Rate DoS Attacks) الﻛﺸﻒ واﻟﺘﺨﻔﯿﻒ ﻣﻦ ھﺠﻤﺎت دوس10.7 1134 ................. ................................................................"Challenges In DDoS Attack Mitigation" ﺗﺣدﯾﺎت اﻟﺗﺧﻔﯾف ﻣن ھﺟﻣﺎت دوس 1134 ..... ................................................................................................................................ﻧظره ﻋﻠﻰ ﺗﻘﻧﯾﺎت ﻛﺷف اﻟﺷذوذ ﻓﻲ ﺣرﻛﺔ اﻟﻣرور 1135 ...... ................................................................"Parameters of Interest and Approaches Used" اﻟﻣﻌﻠﻣﺎت ذات اﻟﻔﺎﺋدة واﻟﻧﮭﺞ اﻟﻣﺳﺗﺧدم 1135 ................................................................................................................................ "Detection Performance" اﻟﻛﺷف ﻋن اﻷداء 1136 .............................................................................................."Decision-Making and Mitigation" ﺻﻧﻊ اﻟﻘرار واﻟﺗﺧﻔﯾف ﻣن آﺛﺎرھﺎ 1137 .................... ................................................................ ﻟﻠﻛﺷف ﻋن ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔMachine-Learning Algorithms ﺧوارزﻣﯾﺎت 1138 ....... ................................................................................................ "Feature Selection and Evaluation" اﻟﻣﯾزات اﻟﻣﺧﺗﺎرة واﻟﺗﻘﯾﯾم
https://www.facebook.com/tibea2004
ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ.د
1009 1141 ... ................................Dos Detection Using Change Point Analysis (CPA) Of Not Seen Previously (NSP) IP Addresses 1142 ....... ................................................................................................................................"DMM Architecture" DMM ﻣﻌﻣﺎرﯾﺔ 1142 ............ ................................................................................................................................ "Detection Approach" ﻧﮭﺞ اﻟﻛﺷف 1143 ................ ................................................................................................ (ipac) "IP Address Classification" IP ﺗﺻﻧﯾف ﻋﻧﺎوﯾن 1144 . ................................................................................................................................"DDoS Detection" اﻟﻛﺷف ﻋن ھﺟﻣﺎت دوس 1144 ................. ................................................................................................ Dos Detection Using Na`ive Bayesian Classifiers 1145 ............ ................................................................................................................................ "Detection Approach" ﻧﮭﺞ اﻟﻛﺷف 1146 ..........................................................................................................................................................Modelling TCP Traffic 1147 ......................................................................................................................................................... Modelling UDP Traffic 1147 .... ................................................................Dos Detection Using CUSUM and Adaptive Neuro-Fuzzy Inference System 1148 .......... ................................................................................................ ﻓﻲ اﻟﻛﺷف ﻋن ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔCUSUM اﻟﯾﺔ اﺳﺗﺧدام 1149 ..... ................................................................................................................................................................ ANFIS Engines 1150 ... ................................................................................................................................................................Decision-Making 1150 ......................................................................................... "Wavelet-Based Signal Analysis" ﺗﺣﻠﯾل اﻹﺷﺎرات اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ اﻟﻣوﯾﺟﺎت 1151 ... ................................................................................................(DoS/DDoS Countermeasure) اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﺿد ھﺠﻤﺎت دوس10.8 1151 ............................................................................................."DDoS Attack Countermeasures" اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﺿد ھﺟﻣﺎت دوس 1152 .... ................................................................ "DoS/DDoS Countermeasures: Protect Secondary victims" ﺣﻣﺎﯾﺔ اﻟﺿﺣﺎﯾﺎ اﻟﺛﺎﻧوﯾﺔ 1152 ...... ................................................................"DoS/DDoS Countermeasures: Detect and Neutralize Handler" اﺑطﺎل اﻟﻣﻌﺎﻟﺟﯾن 1153 ... ................................................................ ."DoS/DDoS Countermeasures: Detect potential attacks" اﻛﺗﺷﺎف اﻟﮭﺟﻣﺎت اﻟﻣﺣﺗﻣﻠﺔ 1153 .............................................................................................."DoS/DDoS Countermeasures: Deflect Attacks" ﺗﺷﺗﯾت اﻟﮭﺟﻣﺎت 1154 ............................................................................................ "DoS/DDoS Countermeasures: Mitigate attacks" ﺗﺧﻔﯾف اﻟﮭﺟﻣﺎت 1155 ...... ................................................................................................................................"Post-Attack Forensics" اﻟطب اﻟﺷرﻋﻲ 1155 ........... ................................................................................................ "DoS/DDoS Countermeasures" اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﺿد دوس 1156 . ................................................................................................................................DoS/DDoS Protection at the ISP Level 1156 .................. ................................................................................................ Enabling TCP Intercept on Cisco IOS Software 1157 ... ................................................................................................................................"Mitigating DoS" اﻟﺗﺧﻔﯾف ﻣن ھﺟﻣﺎت دوس 1157 .............. ................................................................................................ Mitigating DoS using Access Control Lists (ACL) 1158 .............. ................................................................................................................................ Mitigation using Rate limiting 1159 .............. ................................................................................................ Combining Rate limit and Access Control features 1161 ................................................................................................................................ Advanced DDoS Protection Appliances
https://www.facebook.com/tibea2004
ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ.د
1010 1162 ..................... ................................................................................................................................ DoS/DDoS Protection Tool 1163 .. ................................................................................................................................Techniques to Defend Against Botnets 1163 ..................... ................................................................................................ (Dos/DDoS Penetration Testing) اﺧﺗﺑﺎر اﻻﺧﺗراق10.9 1163 ........... ................................................................................................ Denial-of-Service (DOS) Attack Penetration Testing
https://www.facebook.com/tibea2004
ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ.د
1011 10.1ﻣﻘﺪﻣﮫ ﻓﻲ ))(Denial-Of-Service (DoS
أﻧﮫ ﯾوم اﻻﺛﻧﯾن وﻣﺎ زﻟت ﺗﻌﻣل ﻓﻲ اﻟﻣﻛﺗب ،ﺛم ﻓﺟﺄة ظﮭر طﻧﯾن ﻣن اﻷﻗراص وﺷﺑﻛﺔ ﻣن اﻷﺿواء اﻟواﻣﺿﺔ ﻋﻠﻰ ﻣﻠﻘم وﯾب .ﯾﺑدو أن ﻣوﻗﻊ اﻟوﯾب اﻟﺧﺎص ﺑﺎﻟﺷرﻛﺔ ﯾﺗم زﯾﺎرﺗﮫ ﺑﺷﻛل ﺟﯾد اﻟﻠﯾﻠﺔ ،ھذا أﻣر ﺟﯾد ﻷﻧك ﻓﻲ اﻷﻋﻣﺎل اﻟﺗﺟﺎرﯾﺔ اﻹﻟﻛﺗروﻧﯾﺔ ،ﺗﻘوم ﺑﺑﯾﻊ اﻟﻣﻧﺗﺟﺎت ﻋﺑر اﻹﻧﺗرﻧت، وﻛﻠﻣﺎ زاد زﯾﺎرة اﻟﻣوﻗﻊ أﻛﺛر ﻣن ﻣرة ﯾﻌﻧﻲ اﻟﻣزﯾد ﻣن اﻷرﺑﺎح .ﺛم ﻗررت اﻟﺗﺣﻘﻖ ﻣن ذﻟك ،وﻟﻛن ﺻﻔﺣﺔ اﻟوﯾب ﻻ ﺗم ﺗﺣﻣﯾﻠﮭﺎ .ھﻧﺎك ﺷﯾﺋﺎ ﺧطﺄ. ﺑﻌد ﺑﺿﻊ دﻗﺎﺋﻖ ،ﺗؤﻛد ﻋﻣﻠﯾﺎت اﻟﺷﺑﻛﺔ أﺳوأ ﻣﺧﺎوﻓك .ﻣوﻗﻊ وﯾب اﻟﺧﺎص ﺑﺎﻟﺷرﻛﺔ ﺗﺣت ھﺟوم اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ .اﻧﮭﺎ ﺗﺗﻠﻘﻲ طﻠﺑﺎت ﻋدﯾدة ﻟﻠﺣﺻول ﻋﻠﻰ ﺻﻔﺣﺔ وﯾب اﻟﺗﻲ ﻻ ﯾﻣﻛن أن ﺗﺧدم ﻛل ﻣﻧﮭﻣﺎ .ﻻ ﯾﻣﻛﻧك اﻟوﺻول إﻟﻰ ﻣوﻗﻊ اﻟوﯾب ،وﻛذﻟك اﻟﻌﻣﻼء ﻻ ﯾﻣﻛﻧﮭم أﯾﺿﺎ .ﻟﻘد أﺻﺑﺢ ﻋﻣﻠك ﻋﻠﻰ اﻟﻣﺣك. إﻧك ﺗﺣﺎول ﺟﺎھدا ﻣن ﺧﻼل اﻟﻠﯾل وﺿﻊ ﻗواﻋد اﻟﺗرﺷﯾﺢ ﻟﻠﺗﺧﻠص ﻣن اﻟطﻠﺑﺎت اﻟوھﻣﯾﺔ ﻟﺻﻔﺣﺔ اﻟوﯾب ﻋن ﺗﻠك اﻟﺣﻘﯾﻘﯾﺔ .وﻟﻛن ﻟﻸﺳف ،ﺣرﻛﺔ اﻟﻣرور ) (Trafficاﻟﺗﻲ ﺗﺗﻠﻘﮭﺎ ﻣﺗﻧوﻋﺔ ﺟدا وﻻ ﯾﻣﻛن اﻟﻌﺛور ﻋﻠﻰ ﺳﻣﺔ ﻣﺷﺗرﻛﺔ واﻟﺗﻲ ﻣن ﺷﺄﻧﮭﺎ أن ﺗﺟﻌل ﺣزم اﻟﮭﺟوم ﺗﺑرز .ﺛم ﺣﺎوﻟت ﻣرة أﺧرى ﺑﺗﺣدﯾد اﻟﻣﺻﺎدر اﻟﺗﻲ ﺗرﺳل ﻟك اﻟﻛﺛﯾر ﻣن اﻟﺣرﻛﺔ وﻣن ﺛم إدراﺟﮭﺎ ﻓﻲ اﻟﻘﺎﺋﻣﺔ اﻟﺳوداء ﻟﺟدار اﻟﺣﻣﺎﯾﺔ اﻟﺧﺎص ﺑك .وﻟﻛن ﯾﺑدو أن ھﻧﺎك ﻣﺋﺎت اﻵﻻف ﻣﻧﮭم ،وأﻧﮭﺎ ﺗﺑﻘﻲ ﻣﺗﻐﯾرة .أﻧﻔﻘت اﻟﯾوم اﻟﺗﺎﻟﻲ ﻓﻲ إﻧﺷﺎء ﺧوادم اﻟﻧﺳﺦ اﻻﺣﺗﯾﺎطﻲ وﻣراﻗﺑﺔ اﻟﺣﻣل اﻟزاﺋد ﺣﯾث اﺳﺗﻘرت أرﺑﺎﺣك ﺣول اﻟﺻﻔر .ﻗﻣت ﺑﺎﻻﺗﺻﺎل ﺑﻣﻛﺗب اﻟﺗﺣﻘﯾﻘﺎت اﻟﻔدراﻟﻲ وﻗﺎﻟوا ﻟك أﻧﮭم ﻋﻠﻰ اﺳﺗﻌداد ﻟﻣﺳﺎﻋدﺗك ،وﻟﻛن اﻻﻣر ﺳﯾﺳﺗﻐرق ﻣﻧﮭم ﺑﺿﻌﺔ أﯾﺎم ﻟﻠﺑدء. ﻛﻣﺎ اﻋﻠﻣوك ان اﻟﻌدﯾد ﻣن ﻣرﺗﻛﺑﻲ ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ )) (Denial-Of-Service (DoSﻟن ﯾﺗم اﻹﻣﺳﺎك ﺑﮭم أﺑدا ،ﻷﻧﮭم ﻻ ﯾﺗرﻛون ﻣﺎ ﯾﻛﻔﻲ ﻣن اﻵﺛﺎر وراءھم. ﻛل ھذا ﺗرﻛك ﻣﻊ اﻟﻌدﯾد ﻣن اﻷﺳﺋﻠﺔ :ﻟﻣﺎذا ﺗﺗﻌرض ﻟﻠﮭﺟوم؟ ھل ﻟﻣﯾزة ﺗﻧﺎﻓﺳﯾﺔ؟ ھل ھذا أﺣد اﻟﻣوظﻔﯾن اﻟﺳﺎﺑﻘﯾن اﻟراﻏﺑﯾن ﻓﻲ اﻟﻌودة إﻟﯾك؟ ھل ھذا ﻋﻣﯾل ﻣﺳﺗﺎء ﺟدا؟ ﻛم ﻣن اﻟوﻗت اﻟﺗﻲ ﺳوف ﯾﻛون ﻓﯾﮫ ﻋﻣﻠك ﻣﻐﻠﻘﺎ وﻏﯾر ﻣﺗﺎح؟ ﻛﯾف وﺻﻠت اﻟﻰ ھذا اﻟوﺿﻊ ،وﻛﯾف ﺳﯾﺗم اﻟﺧروج ﻣﻧﮫ؟ أم أﻧﮫ ﻣﺟرد ﺧﻠل ﻓﻲ ﺗطﺑﯾﻘﺎت اﻟوﯾب اﻟﺧﺎﺻﺔ ﺑك ،وﻣن ﺛم ﻗﺎﻣت ﺑﺈﻏراق اﻟﺧوادم اﻟﺧﺎﺻﺔ ﺑك ﻋن طرﯾﻖ اﻟﺧطﺄ؟ ھذا اﻟﻛﺗﺎب ھو ﺣول ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ) ،(Denial-of-Serviceأو ﻟﻼﺧﺗﺻﺎر .DoSوﺗﮭدف ھذه اﻟﮭﺟﻣﺎت اﻟﻰ إﻋﺎﻗﺔ اﻟﺗطﺑﯾﻘﺎت ،اﻟﺧوادم واﻟﺷﺑﻛﺎت ﺑﺎﻟﻛﺎﻣل ،وﺗﻌطﯾل اﺗﺻﺎﻻت اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺷرﻋﯾﯾن .ﺣﯾث إﻧﮭﺎ ﺗؤدى ﻋن ﻋﻣد ،وﺳﮭﻠﺔ اﻻرﺗﻛﺎب ،وﻣن اﻟﺻﻌب ﺟدا ﺟدا اﻟﺗﻌﺎﻣل ﻣﻌﮭﺎ .اﻟﻧﻣوذج اﻻﻛﺛر ﺷﻌﺑﯾﺔ ﻟﮭذه اﻟﮭﺟﻣﺎت ،Distributed Denial-of-Service (DDoS) attacks ،ﺣﯾث ﺗﻘوم ﺑﺗوظف اﻟﻌﺷرات ،اﻟﻣﺋﺎت ،أو ﺣﺗﻰ ﺑﺷﻛل ﺟﯾد أﻛﺛر ﻣن 100،000ﻣن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺧﺗرﻗﺔ ،ﻟﺗﻧﻔﯾذ ھﺟوم ﻣﻧﺳﻖ وﺗوزﯾﻌﮭﺎ ﻋﻠﻰ ﻧطﺎق واﺳﻊ .وﻣن اﻟﺻﻌب ﻛﺛﯾرا اﻟدﻓﺎع ﻋن اﻟﻧﻔس ﺿد اﻟﻌﻣل اﻟﻣﻧﺳﻖ ﻣن ﺟﺎﻧب اﻟﻌدﯾد ﻣن اﻵﻻت. ﯾﺻف ھذا اﻟﻛﺗﺎب ھﺟﻣﺎت DoSو DDoSوﯾﺳﺎﻋدك ﻋﻠﻰ ﻓﮭم ھذا اﻟﺗﮭدﯾد اﻟﺟدﯾد .وھو ﯾﻌﻠم أﯾﺿﺎ ﻛﯾﻔﯾﺔ اﻻﺳﺗﻌداد ﻟﮭذه اﻟﮭﺟﻣﺎت ،وﻣﻧﻌﮭم ﻋﻧدﻣﺎ ﯾﻛون ذﻟك ﻣﻣﻛﻧﺎ ،واﻟﺗﻌﺎﻣل ﻣﻌﮭﺎ ﻋﻧد ﺣدوﺛﮭﺎ ،وﺗﻌﻠم ﻛﯾﻔﯾﺔ اﻟﻌﯾش ﻣﻌﮭﺎ ،وﻛﯾﻔﯾﺔ اﻟﺗﻌﺎﻓﻲ ﺑﺳرﻋﺔ وﻛﯾﻔﯾﺔ اﺗﺧﺎذ اﻹﺟراءات اﻟﻘﺎﻧوﻧﯾﺔ ﺿد اﻟﻣﮭﺎﺟﻣﯾن. ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺎت ):(Denial of Service Attacks أﻛدت اﻟﻌدﯾد ﻣن اﻟﺗﻘﺎرﯾر ﺗزاﯾد ﻋدد اﻟﮭﺟﻣﺎت ﻣن ﺧﻼل ﺷﺑﻛﺔ )اﻹﻧﺗرﻧت( وازدﯾﺎد ﺷدﺗﮭﺎ وﺗﺄﺛﯾرھﺎ اﻟﺗدﻣﯾري ﻋﺎﻣﺎ ً ﺑﻌد اﻵﺧر وﺗﺄﺛﯾرھﺎ ﻋﻠﻰ ﻣﺑﯾﻌﺎت اﻟﻣواﻗﻊ واﻟﺧدﻣﺎت ﻋﺑر اﻟﺷﺑﻛﺔ .وﯾرﺟﻊ ذﻟك إﻟﻰ ﻋدة أﺳﺑﺎب ﻣن أﺧطرھﺎ ﻣﺎ ﯾﻌرف ﺑـ "ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺎت" أو "ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ" ) (Denial of Service Attacksﻣﺧﺗﺻرة ﺑﻌﺑﺎرة .DoS اﻟﺗﻌرﯾف ھﻲ ھﺟﻣﺎت ﺗﺗم ﻋن طرﯾﻖ إﻏراق اﻟﻣواﻗﻊ ﺑﺳﯾل ﻣن اﻟﺑﯾﺎﻧﺎت اﻟﻐﯾر ﻻزﻣﺔ واﻟﺗﻲ ﯾﺗم إرﺳﺎﻟﮭﺎ ﻋن طرﯾﻖ أﺟﮭزة ﻣﺻﺎﺑﺔ ﺑﺑراﻣﺞ )ﻓﻲ ھذه اﻟﺣﺎﻟﺔ ﺗﺳﻣﻰ .(DDOS Attacksﺗﻌﻣل ﻧﺷر ھذ اﻟﮭﺟﻣﺎت ﺑﺣﯾث ﯾﺗﺣﻛم ﻓﯾﮭﺎ اﻟﻘراﺻﻧﺔ واﻟﻌﺎﺑﺛﯾن اﻹﻟﻛﺗروﻧﯾﯾن ﻟﻣﮭﺎﺟﻣﺔ اﻟﺷﺑﻛﺔ )اﻹﻧﺗرﻧت(ﻋن ﺑﻌد ﺑﺈرﺳﺎل ﺗﻠك اﻟﺑﯾﺎﻧﺎت إﻟﻰ اﻟﻣواﻗﻊ ﺑﺷﻛل ﻛﺛﯾف ﻣﻣﺎ ﯾﺳﺑب ﺑطء اﻟﺧدﻣﺎت أو زﺣﺎﻣﺎ ً ﻣرورﯾﺎ ً ﺑﮭذه اﻟﻣواﻗﻊ وﯾﺳﺑب ﺻﻌوﺑﺔ وﺻول اﻟﻣﺳﺗﺧدﻣﯾن ﻟﮭﺎ ﻧظرا ً ﻟﮭذا اﻻﻛﺗظﺎظ ،ﺧﺻوﺻﺎ ً وأﻧﮫ ﯾﺑدو ،وﺑﺎﻋﺗراف اﻟﻛﺛﯾر ﻣن ﺧﺑراء اﻷﻣن ﻋﻠﻰ اﻟﺷﺑﻛﺔ ،وﻛﺄﻧﮫ ﻻ ﯾوﺟد ﻋﻼج ﻓﻲ اﻟوﻗت اﻟﺣﺎﻟﻲ ﻟﮭذا اﻷﺳﻠوب ﻓﻲ اﻟﮭﺟوم ﻋﻠﻰ ﻣواﻗﻊ اﻟﺷﺑﻛﺔ )اﻹﻧﺗرﻧت( ،وﻋﻠﻰ ھذا اﻷﺳﺎس ﻓﺈن ھذا اﻟﻧوع ﻣن اﻟﮭﺟﻣﺎت ﯾُدﻋﻰ ﻓﻲ ﺑﻌض اﻷوﺳﺎط "ﺑﺈﯾدز اﻹﻧﺗرﻧت" .وﯾﺗم ھذا اﻟﮭﺟوم ﺑدون ﻛﺳر ﻣﻠﻔﺎت ﻛﻠﻣﺎت اﻟﺳر أو ﺳرﻗﺔ اﻟﺑﯾﺎﻧﺎت اﻟﺳرﯾﺔ ،ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ﺗﺗم ﺑﺑﺳﺎطﮫ ﺑﺎن اﻟﻣﮭﺎﺟم ﯾﻘوم د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1012 ﺑﺈطﻼق أﺣد اﻟﺑراﻣﺞ اﻟﺗﻲ ﺗزﺣم اﻟﻣرور ﻟﻠﻣوﻗﻊ اﻟﺧﺎص ﺑك وﺑﺎﻟﺗﺎﻟﻲ ﺗﻣﻧﻊ أي ﻣﺳﺗﺧدم آﺧر ﻣن اﻟوﺻول إﻟﯾﮫ .وﺑﺷﻛل ﻋﺎم ﺗﺗواﺟد ﻣﺛل ھذه اﻟﮭﺟﻣﺎت ﻣﻧذ أﻋوام إﻻ أن ﻗوﺗﮭﺎ اﻵن أﺻﺑﺣت أﻛﺑر ﻣن أي ﻓﺗرة ﻣﺿت ،ﻛﻣﺎ أﻧﮭﺎ وﺻﻠت إﻟﻰ ﻣرﺣﻠﺔ ﻣن اﻟﻧﺿﺞ ﺑﺣﯾث ﺗﺳﺗﮭدف أھداﻓًﺎ ﻣﺣددة وﻣﻘﺻودة ﻷﻏراض ﺗﺟﺎرﯾﺔ .ھذا وﺗذﻛر ﺷرﻛﺔ ﺳﻣﺎﻧﺗك اﻟﻣﺗﺧﺻﺻﺔ ﻓﻲ اﻷﻣن اﻹﻟﻛﺗروﻧﻲ أن ﻣﺗوﺳط ﻋدد ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ وﺻل إﻟﻰ 927ھﺟﻣﺔ ﻓﻲ اﻟﻧﺻف اﻷول ﻣن ﻋﺎم 2004ﺑزﯾﺎدة ﻗدرھﺎ %679ﻋﻧﮭﺎ ﻓﻲ اﻟﻧﺻف اﻟﺛﺎﻧﻲ ﻣن ﻋﺎم .2004 ﻣﺎ ھﻲ ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺎت؟ ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺎت ) (DoSﻛﺄﺳﻠوب ﻟﯾﺳت ﺣدﯾﺛﺔ ،وﻟﻛن اﻟﺷﺑﻛﺔ ﺟﻌﻠﺗﮭﺎ ﻓﺗﺎﻛﺔ .وﻣﺑدأ ھذا اﻷﺳﻠوب ﺑﺳﯾط وﯾﺗﻠﺧص ﻓﻲ أن اﻟﻣﮭﺎﺟم ﯾﻘوم ﺑﺈﻏراق اﻷﺟﮭزة اﻟﻣزودة ﺑﺳﯾل ﻣن اﻟطﻠﺑﺎت واﻷواﻣر اﻟﺗﻲ ﺗﻔوق ﻗدرة اﻟﺟﮭﺎز اﻟﻣزود ﻋﻠﻰ اﻟﻣﻌﺎﻟﺟﺔ .وﻣن اﻷﻣﺛﻠﺔ اﻟظرﯾﻔﺔ واﻟﺑﺳﯾطﺔ ﻋﻠﻰ ھذا اﻷﺳﻠوب ھو ﻣواﺻﻠﺔ اﻟﺿﻐط ﻋﻠﻰ زر اﻹدﺧﺎل ENTERﻓﻲ اﻟطرﻓﯾﺔ ) (Terminalوﻟم ﺗﻘم ﺑﻌد ﺑﺗﺳﺟﯾل اﻟدﺧول إﻟﻰ اﻟﺷﺑﻛﺔ Log Inوﻟﻛﻧﮭﺎ ﻣرﺗﺑطﺔ ﺑﻧوع ﻣﻌﯾن ﻣن اﻷﺟﮭزة اﻹﯾواﻧﯾﺔ أو ﻣﺣطﺎت اﻟﻌﻣل .واﻟﺳﺑب ﻓﻲ أن ھذا اﻷﺳﻠوب ﯾﻣﻛن أن ﯾُﺻﻧف ﺿﻣن أﺳﺎﻟﯾب ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺎت ھو أن زر اﻹدﺧﺎل ﯾﻘوم ﻓﻲ ﻣﻌظم اﻷﺣﯾﺎن ﺑﺑدء روﺗﯾن ﻟﻠﺗﻌرف ﻋﻠﻰ اﻷداة ﺿﻣن ﻧظﺎم اﻟﺗﺷﻐﯾل ،وھو روﺗﯾن ذو أوﻟوﯾﺔ ﺗﻧﻔﯾذ ﻋﺎﻟﯾﺔ ﻋﺎدة .وﺑﻣواﺻﻠﺔ اﻟﺿﻐط ﻋﻠﻰ ھذا اﻟزر ﯾﺗوﻟد طﻠب ﻣرﺗﻔﻊ ﻋﻠﻰ ﻋﻣﻠﯾﺔ اﻟﻣﻌﺎﻟﺟﺔ اﻟﻼزﻣﺔ ﻟﻠﺗﻌرف ﻋﻠﻰ اﻷداة )ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ ﻓﻲ ھذه اﻟﺣﺎل( ،ﻣﻣﺎ ﯾؤدي إﻟﻰ اﺳﺗﮭﻼك %100ﻣن طﺎﻗﺔ اﻟﻣﻌﺎﻟﺞ وﺟﻌﻠﮫ ﻏﯾر ﻗﺎدر ﻋﻠﻰ ﺗﻠﻘﻲ طﻠﺑﺎت ﻣﻌﺎﻟﺟﺔ إﺿﺎﻓﯾﺔ .وﯾؤدي ذﻟك إﻟﻰ إﺣداث ﺷﻠل ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل واﻟذي ﻻ ﯾﻣﺗﻠك ﻋﺎدة اﻟذﻛﺎء ﻟﯾﻣﯾز ﺑﯾن طﻠﺑﺎت اﻟدﺧول اﻟﺷرﻋﯾﺔ ،وطﻠﺑﺎت اﻟدﺧول اﻟﻣؤذﯾﺔ .وﻓﻲ ھذه اﻟﺣﺎﻟﺔ ﻻ ﺗوﺟد ﻣﯾﻛﺎﻧﯾﻛﯾﺔ ﯾﻣﻛن ﺑﮭﺎ اﻻﺳﺗﺟﺎﺑﺔ ﻟﮭذا اﻟﮭﺟوم. ﻣن اﻷﺳﺎﻟﯾب اﻷﺧرى ﻟﮭذا اﻟﻧوع ﻣن اﻟﮭﺟوم ھو اﺳﺗﮭداف اﻟﻣوارد اﻟﺛﺎﺑﺗﺔ اﻷﺧرى ﻓﻲ اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ،وﻣن اﻷﻣﺛﻠﺔ ﻋﻠﻰ ذﻟك ھﺟﻣﺎت اﻹﻏراق .SYNﻓﺿﻣن ﺟﻠﺳﺎت اﻟﺷﺑﻛﺔ )اﻹﻧﺗرﻧت(اﻻﻋﺗﯾﺎدﯾﺔ ﺗﺗم ﻋﻣﻠﯾﺔ أﺷﺑﮫ ﺑﺎﻟﻣﺻﺎﻓﺣﺔ ﺑﯾن اﻟﻧظم ،ﺣﯾث ﯾﻘوم أﺣد اﻟﻧظم ﺑﺈﺻدار طﻠب ﻟﻼرﺗﺑﺎط ﺑﻧظﺎم آﺧر ﺑﺎﺳﺗﺧدام ﺣزﻣﺔ ) SYNاﻟﻣزاﻣﻧﺔ( .وﯾﻘوم اﻟﻧظﺎم اﻟﻣﺿﯾف ﻓﻲ ھذه اﻟﺣﺎﻟﺔ ﺑﺈﺻدار ﺣزﻣﺔ ،SYN-ACKواﻟﺗﻲ ﯾﺳﺗﺟﯾب ﻓﯾﮭﺎ ﻟﻠطﻠب اﻟوارد ﻣن ﻋﻧوان IPﻣﻌﯾن ،وﯾﻘوم ﺑﺗﺳﺟﯾل ھذا اﻟﻌﻧوان ﻓﻲ ﺟدول ﻣﻌﯾن ،وﺗﺣدﯾد ﻓﺗرة ﻣﻌﯾﻧﺔ ﻟﻘطﻊ اﻻﺗﺻﺎل إذا ﻟم ﺗﺣدث اﻻﺳﺗﺟﺎﺑﺔ ﻟﮭذه اﻟﺣزﻣﺔ ،واﻟﺗﻲ ﯾﺟب أن ﺗﻛون ﻋﻠﻰ ﺷﻛل ﺣزﻣﺔ ACKﯾﺻدرھﺎ اﻟﻧظﺎم اﻷول .وﻓﻲ ھﺟﻣﺎت اﻹﻏراق ،ﯾﻘوم اﻟﻣﮭﺎﺟم ﺑﺈرﺳﺎل أﻛﺑر ﻛﻣﯾﺔ ﻣﻣﻛﻧﺔ ﻣن ﺣزم SYNﺑﺎﺳﺗﺧدام ﻋﻧﺎوﯾن IPﻣزﯾﻔﺔ ،وﯾﻘوم اﻟﻧظﺎم اﻟﻣﺿﯾف ﺑﺗﺳﺟﯾل ردود ﺣزم SYN-ACKﻓﻲ اﻟﺟدول ،واﻟﺗﻲ ﺗﺑﻘﻰ ھﻧﺎك ﻷن اﻟﻣﮭﺎﺟم ﻻ ﯾﻘوم ﺑﺈرﺳﺎل ﺣزم ACKاﻟﻣطﻠوﺑﺔ ،ﻣﻣﺎ ﯾؤدي إﻟﻰ اﻣﺗﻼء اﻟﺟدول ﺑﺎﻟطﻠﺑﺎت وﻋدم ﻗدرﺗﮫ ﻋﻠﻰ ﺗﻠﻘﻲ أﯾﺔ طﻠﺑﺎت اﺗﺻﺎل ﺟدﯾدة. ورﻏم اﻷذى اﻟذي ﻗد ﯾﻠﺣﻘﮫ ھذا اﻟﻧوع ﻣن اﻟﮭﺟﻣﺎت ﻓﺈن اﻟﻌﻼج ﯾﻛﻣن ﻓﻲ ﺧطوﺗﯾن؛ اﻷوﻟﻰ ھﻲ زﯾﺎدة ﺣﺟم اﻟﺟدول اﻟذي ﯾﺗﻠﻘﻰ طﻠﺑﺎت اﻻﺗﺻﺎل ،واﻟﺛﺎﻧﯾﺔ-وھﻲ ﺧطوة ﻣﻼزﻣﺔ ﻟﻸوﻟﻰ-اﻟﺗﻘﻠﯾل ﻣن اﻟوﻗت اﻟﻣطﻠوب ﻟﻼﺳﺗﺟﺎﺑﺔ ﻟطﻠﺑﺎت اﻻﺗﺻﺎل وذﻟك ﻟﺣذف اﻟﻣدﺧﻼت ﻏﯾر اﻟﻣﺳﺗﺧدﻣﺔ ﺑﺷﻛل أﺳرع. ھﻧﺎﻟك ﻧوع آﺧر ﻣن ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺎت ،ﺣﯾث ﯾﺳﺗﺧدم اﻟﻣﮭﺎﺟم ﺑرﻧﺎﻣﺟﺎ ﯾﻘوم ﺑﺗﺟرﺑﺔ اﻟدﺧول إﻟﻰ ﺣﺳﺎﺑﺎت اﻟﻣﺳﺗﺧدﻣﯾن ﺿﻣن ﺧدﻣﺔ ﻣﻌﯾﻧﺔ ﻣن ﺧﻼل ﺗﺟرﺑﺔ ﻛﺎﻓﺔ أﺳﻣﺎء اﻟﻣﺳﺗﺧدﻣﯾن ،واﺳﺗﻌﻣﺎل ﻛﻠﻣﺎت ﺳر ﺧﺎطﺋﺔ ،ﻋﻣدا .وﻋﻧد اﺳﺗﺧدام ھذه اﻟﺑرﻣﺟﯾﺎت ﻓﺈن ﺑﻌض اﻟﻣزودات ،إذا ﻟم ﯾﻛن ھﻧﺎﻟك ﺗﺄﺧﯾر ﻣﻌﯾن ﺑﯾن ﻣﺣﺎوﻻت اﻟدﺧول ،ﺗﻘوم ﺑﻣﻧﻊ اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺷرﻋﯾﯾن ﻣن اﻟﻧﻔﺎذ إﻟﻰ اﻟﻧظﺎم .وھﻧﺎﻟك أﯾﺿﺎ أﺳﻠوب آﺧر ﻣن اﻟﮭﺟﻣﺎت ﯾدﻋﻰ "اﻟﺣزم اﻟداﻣﻌﺔ "Teardropﺣﯾث ﯾرﺳل اﻟﻣﮭﺎﺟم ﺣزﻣﺎ ﻣﺷوھﺔ ﺑﺣﯾث ﯾؤدي إﻟﻰ اﻧﮭﯾﺎر ﻋﻣﻠﯾﺎت ﻣﻌﺎﻟﺟﺔ ﻋﻧﺎوﯾن IPﻋﻠﻰ اﻟﺟﮭﺎز اﻟﻣزود .وﺑﺎﻟﻣﺛل ،ﻓﮭﻧﺎﻟك أﺳﻠوب إﻏراق ﻋﻣﻠﯾﺔ اﻟﻣﻌﺎﻟﺟﺔ ﻧﻔﺳﮭﺎ ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻣن ﺧﻼل إرﺳﺎل أواﻣر ﻣﻌﺎﻟﺟﺔ أو إدﺧﺎل طوﯾﻠﺔ )أﻛﺛر طوﻻ ﻣﻣﺎ ﯾﺳﻣﺢ ﺑﮫ ﻧظﺎم اﻟﺗﺷﻐﯾل أو اﻟﺗطﺑﯾﻖ( ،Buffer Overflowﻻ ﺗﻘوم ﻋﻣﻠﯾﺎت ﻣﻌﺎﻟﺟﺔ اﻟﻣدﺧﻼت ﺿﻣن ﻧظﺎم اﻟﺗﺷﻐﯾل ﺑﺻدّھﺎ )وھﻲ اﻟﺛﻐرة اﻟﺗﻲ اﺳﺗﻐﻠﮭﺎ واﺿﻌو ﻓﯾروس اﻟﺷﯾﻔرة اﻟﺣﻣراء Code Redﻓﻲ ﻣﺧدﻣﺎت ﻣﺎﯾﻛروﺳوﻓت وﻧظم ﺗﺷﻐﯾﻠﮭﺎ( ﻣﻣﺎ ﯾؤدي إﻟﻰ اﻧﮭﯾﺎر اﻟﻧظﺎم.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1013
DoS and DDoS اﻟﮭدف ﻣن ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ ) (DoSھو ﺗﻌطﯾل ﺑﻌض اﻷﻧﺷطﺔ اﻟﻣﺷروﻋﺔ ،ﻣﺛل ﺗﺻﻔﺢ ﺻﻔﺣﺎت اﻟوﯾب ،اﻻﺳﺗﻣﺎع إﻟﻰ اﻟرادﯾو ﻋﺑر اﻹﻧﺗرﻧت ،ﺗﺣوﯾل اﻷﻣوال ﻣن ﺣﺳﺎﺑك اﻟﻣﺻرﻓﻲ ،أو ﺣﺗﻰ ﺗواﺻل اﻟﺳﻔن اﻟراﺳﯾﺔ ﻣﻊ ﻣﻧﻔذ ﺑﺣري .ﯾﺗﺣﻘﻖ ﺗﺄﺛﯾر اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ )(DoS ھذا ﻋن طرﯾﻖ إرﺳﺎل رﺳﺎﺋل إﻟﻰ اﻟﮭدف اﻟﺗﻲ ﺗﺗداﺧل ﻣﻊ ﻋﻣﻠﮫ ،وﺗﺟﻌﻠﮫ ﻣﻌطﻼ ،ﻣﺣطﻣﺎ ،ﯾﻌﺎد ﺗﺷﻐﯾﻠﮫ ،أو اﻟﻘﯾﺎم ﺑﺄﻋﻣﺎل ﻏﯾر ﻣﺟدﯾﺔ. طرﯾﻘﺔ واﺣدة ﻟﻠﺗداﺧل ﻣﻊ ﻋﻣﻠﯾﺔ ﻣﺷروﻋﺔ ﺗﺗﻣﺛل ﻓﻲ اﺳﺗﻐﻼل ﻧﻘﺎط اﻟﺿﻌف ﻋﻠﻰ ﺟﮭﺎز اﻟﻣﺳﺗﮭدف أو داﺧل ﺗطﺑﯾﻖ اﻟﮭدف .اﻟﻣﮭﺎﺟم ﯾرﺳل رﺳﺎﺋل ﻗﻠﯾﻠﺔ وﺿﻌت ﺑطرﯾﻘﺔ ﻣﻌﯾﻧﺔ واﻟﺗﻲ ﺗﺳﺗﻔﯾد ﻣن ﺿﻌف ﻣﻌﯾن .ھﻧﺎك طرﯾﻘﺔ أﺧرى ﻹرﺳﺎل ﻋدد ﻛﺑﯾر ﻣن اﻟرﺳﺎﺋل اﻟﺗﻲ ﺗﺳﺗﮭﻠك ﺑﻌض اﻟﻣوارد اﻟرﺋﯾﺳﯾﺔ ﻓﻲ اﻟﮭدف ﻣﺛل ﻋرض ﻧطﺎق اﻟﺷﺑﻛﺔ ) ،(bandwidthوﻗت وﺣدة اﻟﻣﻌﺎﻟﺟﺔ اﻟﻣرﻛزﯾﺔ ) (CPU timeواﻟذاﻛرة ،وﻣﺎ إﻟﻰ ذﻟك .ﺗطﺑﯾﻖ اﻟﮭدف ،اﻟﺟﮭﺎز ،أو اﻟﺷﺑﻛﺔ ﺗﻧﻔﻖ ﻛل ﻣواردھﺎ اﻟﺣﯾوﯾﺔ ﻟﻠﺗﻌﺎﻣل ﻣﻊ اﻟﮭﺟوم ﻋﻠﻰ ﺣرﻛﺔ اﻟﻣرور ﺣﯾث ﻻ ﯾﻣﻛﻧﮭﺎ إﺣﺿﺎر ﻋﻣﻼﺋﮭﺎ اﻟﺷرﻋﯾﯾن. ﺑﺎﻟطﺑﻊ ،ﻟﺗوﻟﯾد ﻣﺛل ھذا اﻟﻌدد اﻟﮭﺎﺋل ﻣن اﻟرﺳﺎﺋل ﻓﺎن اﻟﻣﮭﺎﺟم ﯾﺟب ﻋﻠﯾﮫ اﻟﺳﯾطرة ﻋﻠﻰ آﻟﺔ ﻗوﯾﺔ ﺟدا؟ ﻣﻊ ﺗواﻓر ﻣﻌﺎﻟﺞ ﺳرﯾﻊ ﺑﻣﺎ ﻓﯾﮫ اﻟﻛﻔﺎﯾﺔ واﻟﻛﺛﯾر ﻣن ﻋرض ﻧطﺎق ﺷﺑﻛﺔ اﻻﺗﺻﺎل .ﻟﻛﻲ ﯾﻛون اﻟﮭﺟوم ﻧﺎﺟﺢ ،ﻓﻌﻠﯾﮫ أن ﯾزﯾد ﻋن ﻣوارد اﻟﮭدف .وھذا ﯾﻌﻧﻲ أن ﺟﮭﺎز اﻟﻣﮭﺎﺟم ﯾﺟب أن ﯾﻛون ﻗﺎدر ﻋﻠﻰ ﺗوﻟﯾد اﻟﻣزﯾد ﻣن ﺣرﻛﺔ اﻟﻣرور أﻛﺛر ﻣن اﻟﮭدف ،أو اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﻠﺷﺑﻛﺔ ،وﯾﻣﻛن اﻟﺗﻌﺎﻣل ﻣﻌﮭﺎ. اﻵن دﻋوﻧﺎ ﻧﻔﺗرض أن أﺣد اﻟﻣﮭﺎﺟﻣﯾن ﯾود ﺷن ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ ) (DoSﻋﻠﻰ example.comﺑﻘذف اﻟﻌدﯾد ﻣن اﻟرﺳﺎﺋل .ﻋﻠﻰ اﻓﺗراض أﯾﺿﺎ أن example.comﻟدﯾﮭﺎ ﻣوارد وﻓﯾرة ،ﻓﻣن اﻟﺻﻌب ﻋﻠﻰ اﻟﻣﮭﺎﺟم ﺗوﻟﯾد ﻋدد ﻛﺎف ﻣن اﻟرﺳﺎﺋل ﻣن ﺟﮭﺎز واﺣد ﺣﺗﻰ ﯾزﯾد ﻋن ﺗﻠك اﻟﻣوارد .وﻟﻛن ،ﻟﻧﻔﺗرض أﻧﮫ ظﻔر ﺒ 100،000ﻣن آﻻت وﺷﺎرﻛﮭم ﺟﻣﯾﻌﺎ ﻣﻊ ﺑﻌض ﻓﻲ ﺗوﻟﯾد رﺳﺎﺋل إﻟﻰ example.comﻓﻲ وﻗت واﺣد. اﻻن ﻛل أﻟﮫ ﻣن آﻻت اﻟﮭﺟوم ﻣن اﻟﻣﻣﻛن ان ﺗﻛون ذات إﻣﻛﺎﻧﯾﺎت ﻣﻌﺗدﻟﺔ ﻓﻘط )ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻟدﯾﮭﺎ ﻣﻌﺎﻟﺞ ﺑطﻲء وﯾﻛون ﻋﻠﻰ وﺻﻠﺔ ﻣودم( وﻟﻛن ﻣﻌﺎ ﺗﺷﻛل ﺷﺑﻛﺔ ھﺎﺋﻠﺔ ﻣن اﻟﮭﺟوم ،ﻣﻊ اﻻﺳﺗﺧدام اﻟﺳﻠﯾم ،ﺳوف ﺗﻛون ﻗﺎدرة ﻋﻠﻰ ان ﺗزﯾد ﻋن اﻟﺿﺣﯾﺔ ﺟﯾدا .ھذا ھو اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ )).(distributed denial-of-service (DDoS ﻛل ﻣن DoSو DDoSودوس ﺗﺷﻛل ﺗﮭدﯾدا ﻛﺑﯾرا ﻟﻌﻣﻠﯾﺎت ﻣواﻗﻊ اﻹﻧﺗرﻧت ،وﻟﻛن اﻟﻣﺷﻛﻠﺔ ان DDoSأﻛﺛر ﺗﻌﻘﯾدا وأﺻﻌب ﻟﻠﺣل .أوﻻ ،ﻓﺈﻧﮫ ﯾﺳﺗﺧدم ﻋدد ﻛﺑﯾر ﺟدا ﻣن اﻵﻻت .وھذا ﯾﻧﺗﺞ ﺳﻼﺣﺎ ﻗوﯾﺎ .أي ھدف ،ﺑﻐض اﻟﻧظر ﻋن ﻛﯾﻔﯾﺔ ﺗواﻓره ،ﯾﻣﻛن أن ﯾﺟﻌﻠﮫ ﺧﺎرج ﻧطﺎق اﻟﺧدﻣﺔ. أﺻﺑﺢ ﺟﻣﻊ وإﺷراك ﺟﯾش ﻛﺑﯾر ﻣن آﻻت ﺑﺳﯾطﺔ ،ﻷن اﻟﻌدﯾد ﻣن اﻷدوات اﻻﻟﯾﮫ اﻟﺧﺎﺻﺔ ﺒ DoSﯾﻣﻛن اﻟﻌﺛور ﻋﻠﻰ ﺻﻔﺣﺎت وﯾب اﻟﺧﺎﺻﺔ ﺑﺎﻟﻘراﺻﻧﺔ ﻓﻲ ﻏرف اﻟدردﺷﺔ .ﻻ ﺗﺗطﻠب ھذه اﻷدوات اﻟﺗطور ﻻﺳﺗﺧداﻣﮭﺎ وﯾﻣﻛن أن ﺗﻠﺣﻖ ﺿرر ﻓﻌﺎل ﺟدا .ھﻧﺎك ﻋدد ﻛﺑﯾر ﻣن اﻵﻻت ﯾﻌطﻲ ﻣﯾزة أﺧرى ﻟﻠﻣﮭﺎﺟم .ﺣﺗﻰ ﻟو ﻛﺎن اﻟﮭدف ﻗﺎدرا ﻋﻠﻰ ﺗﺣدﯾد آﻻت اﻟﻣﮭﺎﺟﻣﺔ )وھﻲ طرﯾﻘﮫ ﻓﻌﺎﻟﺔ ﻹﺧﻔﺎء ھذه اﻟﻣﻌﻠوﻣﺎت( ،ﻣﺎ ھﻲ اﻹﺟراءات اﻟﺗﻲ ﯾﻣﻛن اﺗﺧﺎذھﺎ ﺿد ﺷﺑﻛﺔ ﻣن 100،000اﻟﻣﺿﯾﻔﯾن؟ اﻟﺳﻣﺔ اﻟﺛﺎﻧﯾﺔ ﻟﺑﻌض ھﺟﻣﺎت DDoSاﻟﺗﻲ ﺗزﯾد ﺗﻌﻘﯾدھﺎ ھو اﺳﺗﺧدام ﺣرﻛﺔ اﻟﻣرور ﻋﻠﻰ ﻣﺎ ﯾﺑدو اﻟﻣﺷروﻋﺔ .ﯾﺗم اﺳﺗﮭﻼك اﻟﻣوارد ﻣن ﻗﺑل ﻋدد ﻛﺑﯾر ﻣن اﻟرﺳﺎﺋل اﻟﻣﺷروﻋﺔ اﻟﻣظﮭر .ﻋﻧد ﻣﻘﺎرﻧﺔ رﺳﺎﻟﺔ اﻟﮭﺟوم ﻣﻊ اﻟﺷرﻋﯾﺔ ،ﻓﮭﻧﺎك ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ﻻ ﯾوﺟد ﻣﻼﻣﺢ ﻣﻧﺑﮭﺔ ﻟﺗﻣﯾﯾزھﺎ .إذا ﻛﺎن اﻟﮭﺟوم ﯾﺳﻲء اﻟﻰ ﻧﺷﺎط ﺷرﻋﻲ ،ﻓﻣن اﻟﺻﻌب ﻟﻠﻐﺎﯾﺔ اﻟرد ﻋﻠﻰ اﻟﮭﺟوم دون إزﻋﺎج أﯾﺿﺎ ﻟﮭذا اﻟﻧﺷﺎط اﻟﺷرﻋﻲ. ﻧﺄﺧذ ﻣﺛﺎﻻ ﻣﻠﻣوﺳﺎ ﻋن اﻟﻌﺎﻟم اﻟﺣﻘﯾﻘﻲ) .ﻓﻲ ﺣﯾن أﻧﮫ ﻻ ﯾوﺟد ﻗﯾﺎس ﻣﺛﺎﻟﻲ ﻠ DDoSاﻹﻧﺗرﻧت ،ﻓﺈﻧﮫ ﯾﺷﺎرك ﺑﻌض اﻟﺧﺻﺎﺋص اﻟﻣﮭﻣﺔ اﻟﺗﻲ ﻗد ﺗﺳﺎﻋدك ﻋﻠﻰ ﻓﮭم ﻟﻣﺎذا ھﺟﻣﺎت DDoSﻣن اﻟﺻﻌب اﻟﺗﻌﺎﻣل ﻣﻌﮭﺎ( .ﺗﺧﯾل أﻧك ﺳﯾﺎﺳﻲ ﻣﮭم وأن ﻣﺟﻣوﻋﺔ ﻣن اﻟﻧﺎس اﻟﺗﻲ ﺗﻌﺎرض وﺟﮭﺎت ﻧظرك ﺗﻘوم ﺑﺗوظﯾف ﻛل ﻣﺎ ﻟدﯾﮭم ﻣن اﻷﺻدﻗﺎء واﻷﻗﺎرب ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم ﻹرﺳﺎل رﺳﺎﺋل ﻛراھﯾﺔ .ﻗرﯾﺑﺎ ﺳوف ﯾﻛون اﻟﺣﺻول ﻋﻠﻰ اﻟﻛﺛﯾر ﻣن اﻟرﺳﺎﺋل ﻛل ﯾوم ﻓﻲ ﺻﻧدوق اﻟﺑرﯾد اﻟﺧﺎص ﺑك ﺳوف ﯾﻔﯾض وﺳﯾﺗم إﺳﻘﺎط ﺑﻌض اﻟرﺳﺎﺋل ﻓﻲ اﻟﺷﺎرع .ﻓﺈذا ﻗﺎم ﻣؤﯾدﯾك ﺑﺈرﺳﺎل ﺗﺑرﻋﺎت ﻋن طرﯾﻖ اﻟﺑرﯾد ،ﻓﺎن ھذه ﺳوف ﺗﻛون إﻣﺎ أن ﺗﺿﯾﻊ رﺳﺎﺋﻠﮭم أو ﻣﺣﺷوة ﻓﻲ ﺻﻧدوق اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻣﻊ رﺳﺎﺋل اﻟﻛراھﯾﺔ .ﻟﻠﻌﺛور ﻋﻠﻰ ھذه اﻟﺗﺑرﻋﺎت ،ﺳوف ﯾﻛون ﻟدﯾك اﻟﻛﺛﯾر ﻣن اﻟوﻗت ﻟﻔﺗﺢ وﻓرز ﻛل اﻟﺑرﯾد اﻟذي ورد ،ﻣﻣﺎ ﯾؤدى اﻟﻰ إﺿﺎﻋﺔ اﻟﻛﺛﯾر ﻣن اﻟوﻗت .إذا ﻛﺎﻧت اﻟرﺳﺎﺋل اﻟﺗﻲ ﺗﺗﻠﻘﺎھﺎ ﯾوﻣﯾﺎ أﻛﺑر ﻣﻣﺎ ﯾﻣﻛﻧك ﻣﻌﺎﻟﺟﺗﮫ ﺧﻼل ﯾوم واﺣد ،ﺳﯾﺗم ﻓﻘدان ﺑﻌض اﻟرﺳﺎﺋل أو ﺗﺟﺎھﻠﮭﺎ .ﻟﻧﻔﺗرض ،أن ﺧطﺎﺑﺎت اﻟﻛراھﯾﺔ ھﻲ أﻛﺛر ﻣن ﺗﻠك اﻟﺗﻲ ﺗﺣﻣل اﻟﺗﺑرﻋﺎت ﺑﻛﺛﯾر ،ﻟذﻟك ﻓﺈﻧﮫ ﻻ ﯾﻣﻛن ﺑﺳرﻋﺔ اﻟﺗﺄﻛد وﻣﻌرﻓﺔ أي ﻣن اﻟﻣظﺎرﯾف ﺗﺣﺗوي ﻋﻠﻰ اﻟﺗﺑرﻋﺎت وأي ﻣﻧﮭﺎ ﺗﺣﺗوي ﻋﻠﻰ ﺑرﯾد اﻟﻛراھﯾﺔ ،ﻓﺄﻧت ﺗﻘف ﻋﻠﻰ ﻓرﺻﺔ ﺟﯾدة ﻟﻔﻘدان ﻣﻌظم اﻟﺗﺑرﻋﺎت .ﺧﺻوﻣك ﻓﻘط ﻗﺎﻣوا ﺑﺈﺟراء ھﺟوم اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ) (DDoSﻓﻲ اﻟﻌﺎﻟم اﻟﺣﻘﯾﻘﻲ ﻋﻠﯾك ،ﺣﯾث ﻗﺎﻣوا ﺑﺣرﻣﺎن اﻟدﻋم ﻋﻧك اﻟذي ﻗد ﯾﻛون ﺣﺎﺳﻣﺎ ﻟﺣﻣﻠﺗك. ﻣﺎذا ﯾﻣﻛﻧك أن ﺗﻔﻌل ﻟﻠدﻓﺎع ﻋن ﻧﻔﺳك؟ ﺣﺳﻧﺎ ،ھل ﯾﻣﻛن ﺷراء ﻋﻠﺑﺔ ﺑرﯾد أﻛﺑر ،وﻟﻛن ﺧﺻوﻣك ﯾﻣﻛن ﺑﺑﺳﺎطﺔ زﯾﺎدة ﻋدد اﻟرﺳﺎﺋل اﻟﺗﻲ ﺗرﺳﻠﮭﺎ، أو ﺗﺟﻧﯾد اﻟﻣزﯾد ﻣن اﻟﻣﺳﺎﻋدﯾن .ﻟﻛﻧك ﻣﺎ زﻟت ﺗرﯾد ﺗﺣدﯾد اﻟﺗﺑرﻋﺎت ﻓﻲ ھذا اﻟﺗﺟﻣﻊ اﻟﻛﺑﯾر ﻣن اﻟرﺳﺎﺋل .ﯾﻣﻛﻧك ﺗوظﯾف اﻟﻣزﯾد ﻣن اﻟﻧﺎس ﻟﻠذھﺎب ﻣن ﺧﻼل اﻟرﺳﺎﺋل؟ وﻟﻛﻧﮫ ﺣل ﻣﻛﻠف ﺣﯾث اﻧﮫ ﯾﺟب ﻋﻠﯾك أن ﺗدﻓﻊ ﻟﮭم ﻣﻣﺎ ﯾؤدى اﻟﻰ ﺗﻧﺎﻗص اﻟﺗﺑرﻋﺎت .ﻓﻲ ﺣﯾن أن ﺧﺻوﻣك ﯾﻣﻛﻧﮭم ﺗوظﯾف اﻟﻣزﯾد ﻣن اﻟﻣﺳﺎﻋدﯾن ﻣﺟﺎﻧﺎ ،ﻓﺈﻧﮭﺎ ﯾﻣﻛن أن ﺗﺟﻌل ﺗﻛﺎﻟﯾف اﻟﺗﺟﮭﯾز اﻟﺧﺎﺻﺔ ﺑك ﻣرﺗﻔﻌﺎ ﻛﻣﺎ ﯾﺣﻠو ﻟﮭم .ھل ﯾﻣﻛن أﯾﺿﺎ ﻣﺣﺎوﻟﺔ ﺟﻌل ﻣﮭﻣﺔ ﻣﻌﺎﻟﺟﺔ اﻟﺑرﯾد أﺳﮭل ﻋن طرﯾﻖ طرح ﻣؤﯾدﯾك ﻻﺳﺗﺧدام اﻟﻣﻐﻠﻔﺎت اﻟﻣﻠوﻧﺔ ﺧﺻﯾﺻﺎ .اﻟﻣوظﻔﯾن اﻟﺧﺎص ﺑك ﯾﻣﻛﻧﮭم ﻣﻌﺎﻟﺟﺔ ﺛم ﺑﺑﺳﺎطﺔ ﺗﺟﺎھل ﻛﺎﻓﺔ اﻟﻣﻐﻠﻔﺎت اﻟﺗﻲ ﻟﯾﺳت ﻣن ﻟون ﻣﻌﯾن ،دون ﻓﺗﺣﮭﺎ .ﺑﺎﻟطﺑﻊ ،ﺣﺎﻟﻣﺎ ﯾﻌﻠم ﺧﺻوﻣك ﻋن ھذا اﻟﺗﻛﺗﯾك ﻓﺄﻧﮭﺎ ﺳﺗﻘوم ﺑﺷراء ﻧﻔس اﻟﻣﻐﻠﻔﺎت د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1014 اﻟﻣﻠوﻧﺔ وﻣن ھﻧﺎ رﺟﻌت ﺣﯾث ﺑدأت .ھل ﯾﻣﻛن أن ﺗﺣﺎول اﻻﺗﺻﺎل ﺑﻣﻛﺎﺗب اﻟﺑرﯾد ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﺑﻼد ﻟﺗطﻠب ﻣﻧﮭم إﺑﻘﺎء اﻟﻌﯾن ﻋﻠﻰ اﻟﻧﺎس اﻟذي ﯾﻘوﻣون ﺑﺈرﺳﺎل ﻛﻣﯾﺎت ﻣن اﻟرﺳﺎﺋل ﻟك .ھذا ﺳﯾﻌﻣل ﻓﻘط إذا ﻟم ﯾﻧﺗﺷر ﺧﺻوﻣك ﻋﻠﻰ ﻧطﺎق واﺳﻊ ،وﺑﺎﻟﺗﺎﻟﻲ ﯾﺟب أن ﺗرﺳل اﻟﻌدﯾد ﻣن اﻟرﺳﺎﺋل ﻛل ﯾوم ﻣن ﻧﻔس ﻣﻛﺗب اﻟﺑرﯾد .ﻋﻼوة ﻋﻠﻰ ذﻟك ،ﻓﺈﻧﮫ ﯾﻌﺗﻣد ﻋﻠﻰ ﺗﻌﺎون ﻣﻛﺎﺗب اﻟﺑرﯾد اﻟﺗﻲ ﻗد ﺗﻛون ﻏﯾر راﻏﺑﺔ أو ﻏﯾر ﻗﺎدرة ﻋﻠﻰ ﺗوﻓﯾر ھذا .ﻋﻣﻠﮭم ھو ﺗﻘدﯾم اﻟﺧطﺎﺑﺎت ،وﻟﯾس ﻣراﻗﺑﺔ أو ﺗﺻﻔﯾﺔ رﺳﺎﺋل اﻟﻧﺎس اﻟذﯾن ﻻ ﯾرﻏﺑون ﻓﻲ اﻟﺣﺻول ﻋﻠﯾﮭﺎ .إذا ﻛﺎﻧت اﻟﻛﺛﯾر ﻣن رﺳﺎﺋل اﻟﻛراھﯾﺔ ﺗﻠك )وﺑﻌض اﻟﺗﺑرﻋﺎت اﻟﻣرﺳﻠﺔ( ﻣن ﺑﻠدان ﻣﺧﺗﻠﻔﺔ ،ﻓﺎن ﻓرﺻﺗك ﻓﻲ اﻟﺣﺻول ﻋﻠﻰ ﻣﻛﺗب ﺑرﯾد ﻣﺗﻌﺎون ﺿﺋﯾﻠﺔ ﺟدا .ﯾﻣﻛﻧك أﯾﺿﺎ ﻣﺣﺎوﻟﺔ اﺳﺗﺧدام ﺧﺗم اﻟﺑرﯾد ﻋﻠﻰ اﻟرﺳﺎﺋل ﻟﻠﺗﻌﻘب ﺣﯾث ﺗم إرﺳﺎﻟﮭﺎ وﻣن ﺛم إﯾﻼء اھﺗﻣﺎم ﺧﺎص إﻟﻰ ﻣﻛﺎﺗب اﻟﺑرﯾد اﻟﺗﻲ ﯾﺳﺗﺧدﻣﮭﺎ أﻧﺻﺎر اﻟﺧﺻوم أو ﻣﻛﺎﺗب اﻟﺑرﯾد اﻟﺗﻲ ﺗﺗﻌﺎﻣل ﻣﻊ ﻛﻣﯾﺎت ﻛﺑﯾرة ﻣن اﻟﺑرﯾد اﻟﺧﺎص ﺑك ﻣﺛﯾر ﻟﻠرﯾﺑﺔ .وھذا ﯾﻌﻧﻲ أﻧﮫ ﺳﯾﻛون ﻟدﯾك ﻗﺎﺋﻣﺔ ﺑﺟﻣﯾﻊ أﺧﺗﺎم اﻟﺑرﯾد وﺗﺻﻧﯾف ﻛل ﺧطﺎب وﻓﻘﺎ ﻟﺧﺗم اﻟﺑرﯾد اﻟذي ﺑﮭﺎ ،وذﻟك ﻟﻠﺑﺣث ﻋن اﻟﻛﻣﯾﺎت اﻟﺷﺎذة ﻣن اﻟﺑرﯾد واﻟذي ﯾﺣﻣل ﺧﺗم ﺑرﯾد ﻣﻌﯾن .إذا ﻛﺎن ﺧﺻوﻣك ﻋدﯾدﯾن وﻣﻧﺗﺷرﯾن ﺑﺷﻛل ﺟﯾد ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم ﻓﺎن ھذا اﻟﺗﻛﺗﯾك ﺳوف ﯾﻔﺷل ﺑﺎﻟطﺑﻊ .ﻋﻼوة ﻋﻠﻰ ذﻟك ،اﺳﺗﺧدام أﺧﺗﺎم اﻟﺑرﯾد ﻟﺗﺣدﯾد اﻟﻣواﻗﻊ ﻏﯾر ﻣﺣددة إﻟﻰ ﺣد ﻣﺎ ،ﻟذﻟك ﻓﻣن اﻟﻣرﺟﺢ أن ﺗﻔﻘد ﺑﻌض اﻟﺗﺑرﻋﺎت ﻋﻧد ﺣﯾن اﻟﺗﺧﻠص ﻣن رﺳﺎﺋل اﻟﻛراھﯾﺔ اﻟﻘﺎدﻣﺔ إﻟﯾك ﻣن ﺧﺗم اﻟﺑرﯾد اﻟﻣﺣدد. ﻛﻣﺎ ذﻛر ﻣن ﻗﺑل ،اﻟﻘﯾﺎس ﻟﯾس ﻣﺛﺎﻟﯾﺎ ،وﻟﻛن ھﻧﺎك ﺗﺷﺎﺑﮭﺎت ﻣﮭﻣﺔ .ﻋﻠﻰ وﺟﮫ اﻟﺧﺻوص ،ﺣﻠول ﻣﻣﺎﺛﻠﺔ ﻟﺗﻠك اﻟﻣذﻛورة أﻋﻼه ،ﻓﺿﻼ ﻋن اﻟﻌدﯾد ﻣن اﻟﻣﻧﺎھﺞ اﻷﺧرى اﻟﻣﺣددة ﻓﻲ ﻋﺎﻟم اﻹﻧﺗرﻧت ،وﻗد ﺗم اﻗﺗراح ﻟﻠﺗﻌﺎﻣل ﻣﻊ .DDoSﻣﺛل اﻟﺣﻠول اﻟﻣذﻛورة أﻋﻼه اﻟﺗﻲ ﺗﺣﺎول ﺣل اﻟﻣﺷﻛﻠﺔ اﻟﺑرﯾدﯾﺔ ،ﺣﻠول اﻹﻧﺗرﻧت ﻠ DDoSﻏﺎﻟﺑﺎ ﻣﺎ ﺗﻛون ﻣﻘﯾده أو ﻻ ﺗﻌﻣل ﺑﺷﻛل ﺟﯾد ﻓﻲ اﻟﻌﺎﻟم اﻟﺣﻘﯾﻘﻲ .ھذا اﻟﻛﺗﺎب ﺳوف ﯾﻘوم ﺑﻣﺳﺢ ھذه اﻟﻧﮭﺞ، وﺗﻘدﯾم ﺟواﻧﺑﮭﺎ اﻟﺟﯾدة واﻟﺳﯾﺋﺔ ،وﺗوﻓﯾر ﻣؤﺷرات اﻹﺷﺎرة اﻷﺧرى .وﺳوف ﻧﺗﺣدث أﯾﺿﺎ ﻋن ﺳﺑل اﻟﺗﺄﻣﯾن وﺗﻌزﯾز اﻟﺷﺑﻛﺔ ﻟذﻟك ﻻ ﯾﻣﻛن أن ﺗؤﺧذ ﺑﺳﮭوﻟﺔ ﺣﺎﻟﯾﺎ ،اﻟﺧطوات اﻟواﺟب اﺗﺧﺎذھﺎ ﺑﻣﺟرد اﻟﺗﻌرض ﻟﻠﮭﺟوم ،وﻣﺎ ﯾﻣﻛن ﻓﻌﻠﮫ ﻣﻧﻔذي اﻟﻘﺎﻧون ﻟﻣﺳﺎﻋدﺗك ﻣﻊ ﻣﺷﻛﻠﺔ .DDoS ﻛﯾف ﯾﻌﻣل ھﺟوم Distributed Denial Of Service؟ ﻓﻲ ھﺟوم ،DDoSﻣﺗﺻﻔﺢ اﻟﮭدف أو اﻟﺷﺑﻛﺔ ﯾﺗم ﻗﺻﻔﮭﺎ ﻣن ﻗﺑل اﻟﻌدﯾد ﻣن اﻟﺗطﺑﯾﻘﺎت ﻣﻊ طﻠﺑﺎت وھﻣﯾﺔ ﺧﺎرﺟﯾﺔ اﻟﺗﻲ ﺗﺟﻌل اﻟﻧظﺎم ،اﻟﺷﺑﻛﺔ، اﻟﻣﺗﺻﻔﺢ ،أو اﻟﻣوﻗﻊ ﺑطﻲء ،ﻻ طﺎﺋل ﻣﻧﮫ ،ﻣﻌوق أو ﻏﯾر ﻣﺗوﻓر. اﻟﻣﮭﺎﺟم ﯾﺑدأ اﻟﮭﺟوم ﻋن طرﯾﻖ إرﺳﺎل أﻣر إﻟﻰ وﻛﻼء اﻟﻐﯾﺑوﺑﺔ ) .(zombie agentsوﻛﻼء اﻟﻐﯾﺑوﺑﺔ )) (zombie agentsھم أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺗﻲ ﺗم اﺧﺗراﻗﮭﺎ ﻣن دون ﻋﻠم ﺻﺎﺣﺑﮭﺎ( ھذه ﺗﻘوم ﺑﺈرﺳﺎل طﻠب اﺗﺻﺎل إﻟﻰ ﻧظﺎم اﻟﻛﻣﺑﯾوﺗر اﻟﺣﻘﯾﻘﻲ .طﻠﺑﺎت اﻻرﺳﺎل ﻣن ﻗﺑل وﻛﻼء اﻟﻐﯾﺑوﺑﺔ ) (zombie agentsﯾﺑدو أﻧﮭﺎ ﺗرﺳل ﻋن طرﯾﻖ اﻟﺿﺣﯾﺔ ﺑدﻻ ﻣن اﻟﻛﺳﺎﻟﻰ .وھﻛذا ،ﻓﺈن اﻟﻛﻣﺑﯾوﺗر ﺣﻘﯾﻘﻲ ﯾرﺳل اﻟﻣﻌﻠوﻣﺎت اﻟﻣطﻠوﺑﺔ ﻟﻠﺿﺣﯾﺔ .ﻣﺎ ﯾﺣﺻل ھﻧﺎ أﻧﮫ ﺗم ﻏﻣر آﻟﺔ ﺿﺣﯾﺔ ﺑردود ﻏﯾر ﻣرﻏوب ﻓﯾﮭﺎ ﻣن اﻟﻌدﯾد ﻣن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﻓﻲ وﻗت واﺣد .ھذا ﻗد ﯾﻘﻠل إﻣﺎ اﻷداء أو ﻗد ﯾﺗﺳﺑب ﻓﻲ إﯾﻘﺎف آﻟﺔ اﻟﺿﺣﯾﺔ.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1015 ﻟﻣﺎذا ﻋﻠﯾﻧﺎ أن ﻧﮭﺗم؟ ﻟﻣﺎذا ﯾﮭم إذا ﻗﺎم ﺷﺧص ﻣﺎ ﺑﺟﻌل ﻣﻠﻘم اﻟوﯾب أو اﻟراوﺗر ﻏﯾر ﻣﺗﺎح؟ أﻧﮫ ﯾﮭم ﻷن اﻹﻧﺗرﻧت أﺻﺑﺢ اﻵن ﻣﺻدرا ﺑﺎﻟﻎ اﻷھﻣﯾﺔ اﻟذي ﻟﮫ آﺛﺎر ﻣﺎﻟﯾﺔ، أو ﺣﺗﻰ ﻋواﻗب وﺧﯾﻣﺔ وﺣﺗﻰ ﺗﻌطﯾل ﺳﻼﻣﺔ اﻹﻧﺳﺎن .اﻟﻌدد اﻟﻣﺗزاﯾد ﻣن اﻟﺧدﻣﺎت اﻟﺣﯾوﯾﺔ ﯾﺳﺗﺧدﻣون اﻹﻧﺗرﻧت ﯾوﻣﯾﺎ .ھﺟوم DDoSﻗد ﻻ ﯾﻌﻧﻲ ﻓﻘط ﻓﻘد أﺣدث ﻧﺗﺎﺋﺞ اﻟﻣﺑﺎرﯾﺎت اﻟرﯾﺎﺿﯾﺔ أو اﻟطﻘس .وﻟﻛﻧﮫ ﻗد ﯾﻌﻧﻲ ﻓﻘدان ﻋﻧﺻر ﻛﻧت ﻗد ﺗرﻏب ﻓﻲ ﺷراءه أو ﻓﻘدان اﻟزﺑﺎﺋن ﻟﻣدة ﯾوم أو اﺛﻧﯾن ﺑﯾﻧﻣﺎ ﺗﺗﻌرض ﻟﻠﮭﺟوم .ﻗد ﯾﻌﻧﻲ ،ﻛﻣﺎ ﻓﻌﻠت ﻣﯾﻧﺎء ھﯾوﺳﺗن ،ﺗﻛﺳﺎس ،ﺣﯾث أن ﻣﻠﻘم اﻟوﯾب اﻟذي ﯾوﻓر ﻣﻌﻠوﻣﺎت ﻋن اﻟطﻘس واﻟﺟدوﻟﺔ ﻏﯾر ﻣﺗوﻓر واﻟﺳﻔن اﻟﺗﻲ ﯾﻣﻛﻧﮭﺎ ان ﺗرﺳو .ﻓﻲ اﻵوﻧﺔ اﻷﺧﯾرة ،ظﮭر اﺗﺟﺎه ﻣﻘﻠﻖ وھو اﻻﺑﺗزاز؟ ﻣﮭدد ﻟﻸﻋﻣﺎل اﻟﺗﺟﺎرﯾﺔ ﻋﺑر اﻹﻧﺗرﻧت ﻣن ﻗﺑل DDoSإذا ﻟم ﺗدﻓﻊ ﻣﻘﺎﺑل "اﻟﺣﻣﺎﯾﺔ". ﻣﺎ اﺣﺗﻣﺎﻟﯾﺔ ان ﺗﻛون ﻣﺳﺗﮭدﻓﺎ ﻣن ﻗﺑل اﻟ DDoS؟ ﻗﺎم اﻟﺑﺎﺣﺛون ﺑدراﺳﺔ ﻧﺷﺎط DDoSﻋﻠﻰ اﻹﻧﺗرﻧت ﻓﻲ ﻋﺎم ،2001واﻟﻧظر ﻓﻲ ﻋﯾﻧﺔ ﺻﻐﯾرة ﻣن ﺣرﻛﺔ اﻟﻣرور اﻟﺗﻲ ﯾﻣﻛن ﻣﻼﺣظﺗﮭﺎ ﻣن اﻟﺷﺑﻛﺔ .ﺣﯾث ﻛﺎن اﻟﻣؤﻟﻔﯾن ﻗﺎدرﯾن ﻋﻠﻰ ﻛﺷف ﻣﺎ ﯾﻘرب ﻣن 4،000ﻣن اﻟﮭﺟﻣﺎت ﻓﻲ اﻷﺳﺑوع )ﻟﻔﺗرة ﺛﻼﺛﺔ أﺳﺎﺑﯾﻊ( ،ﺿد ﻣﺟﻣوﻋﺔ ﻣﺗﻧوﻋﺔ ﻣن اﻷھداف ﺗﺗراوح ﻣﺎ ﺑﯾن ﺷرﻛﺎت ﻛﺑﯾرة ﻣﺛل أﻣﺎزون وھوﺗﻣﯾل اﻟﻰ ﻣﻘدﻣﻲ ﺧدﻣﺔ اﻹﻧﺗرﻧت اﻟﺻﻐﯾرة ) (ISPواﺗﺻﺎﻻت اﻟطﻠب اﻟﮭﺎﺗﻔﻲ ) .(dial-up connectionsاﻟطرﯾﻘﺔ اﻟﺗﻲ اﺳﺗﺧدﻣوھﺎ ﻟم ﺗﻛن ﻗﺎدرة ﻋﻠﻰ ﻣﻼﺣظﺔ ﺟﻣﯾﻊ اﻟﮭﺟﻣﺎت اﻟﺗﻲ وﻗﻌت ﺧﻼل ﺗﻠك اﻟﻔﺗرة ،ﺣﺗﻰ 4000ھو أﻗل ﻣن اﻟواﻗﻊ .ﻋﻼوة ﻋﻠﻰ ذﻟك ،ﻣﻧذ ﻧﺷﺎط اﻟ DDoSاﻟزاﺋد ﻓﺎﻧﮫ ﺗطور ﻣﻧذ ذﻟك اﻟﺣﯾن ،وﻣن اﻟﻣرﺟﺢ أن ﯾﻛون اﻟرﻗم أﻛﺑر ﺑﻛﺛﯾر اﻟﯾوم .ﻓﻲ ﺗﻘرﯾر ﻋﺎم 2004ﻠ FBIﻓﻲ ﺟراﺋم اﻹﻧﺗرﻧت ،ان ﻣﺎ ﯾﻘرب ﻣن ﺧﻣﺳﺔ اﻟﻣﺷﺎرﻛﯾن ﻋﺎﻧوا ﻣن ﺧﺳﺎﺋر ﻣﺎﻟﯾﺔ ﻧﺗﯾﺟﺔ اﻟﺗﻌرض ﻟﮭﺟوم ﺣﺟب اﻟﺧدﻣﺔ .ﺣﯾث ذﻛرت اﻟﺗﻘﺎرﯾر ان ﻛﺎﻧت إﺟﻣﺎﻟﻲ اﻟﻣﺑﻠﻎ اﻟﻧﺎﺗﺞ ﻣن ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ أﻛﺛر ﻣن 26ﻣﻠﯾون دوﻻر .ﻛﺎن رﻓض اﻟﺧدﻣﺔ أﻛﺑر ﻣﺻدر ﻟﻠﺧﺳﺎرة اﻟﻣﺎﻟﯾﺔ ﺑﺳﺑب ﺟراﺋم اﻹﻧﺗرﻧت ﻓﻲ .2004ﻓﻲ ﯾﻧﺎﯾر ،2001 ﺣدث ھﺟوم DDoSﻋﻠﻰ ﻣﺎﯾﻛروﺳوﻓت ﻣﻧﻊ ﺣواﻟﻲ ٪98ﻣن اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺷرﻋﯾﯾن ﻣن اﻟﺣﺻول ﻋﻠﻰ أي ﻣن ﺧوادم ﻣﺎﯾﻛروﺳوﻓت .ﻓﻲ أﻛﺗوﺑر ،2002ﻛﺎن ھﻧﺎك ھﺟوم ﻋﻠﻰ ﻛﺎﻓﺔ اﻟﻣﻠﻘﻣﺎت 13اﻟﺟذرﯾﺔ ﻟﻧظﺎم اﺳم اﻟﻣﺟﺎل ) .(DNSﺧدﻣﺔ DNSھﻲ ﺧدﻣﮫ ﺣﺎﺳﻣﺔ ﻟﻣﺗﺻﻔﺣﺎت اﻟوﯾب واﻟﻌدﯾد ﻣن اﻟﺗطﺑﯾﻘﺎت اﻷﺧرى ،وھذه اﻟﺧوادم 13ﺗﺳﺗﺧدم ﻹﺑﻘﺎء اﻟﺑﯾﺎﻧﺎت اﻟﮭﺎﻣﺔ ﻟﻺﻧﺗرﻧت ﻛﻠﮫ .واﺳﺗﻣر اﻟﮭﺟوم ﺳﺎﻋﺔ ﻓﻘط ،ﻟم ﯾﻛن ھﻧﺎك أي ﺗﻌطﯾل ﻛﺑﯾر ﻣن ﻧﺷﺎط اﻹﻧﺗرﻧت .وﻣﻊ ذﻟك 9 ،ﻣن ھذه اﻟﻣﻠﻘﻣﺎت 13ﺗﺄﺛرت ﺑﺷﻛل ﺧطﯾر .إذا اﺳﺗﻣر اﻟﮭﺟوم ﻟﻔﺗرة أطول ،ﯾﻣﻛن أن ﯾﺣدث اﺿطراب ﺷدﯾد ﻟﻺﻧﺗرﻧت .اﻟﮭﺟوم اﻟﻣذﻛور اﻟذي اﺳﺗﺧدم ﻟﺗﻌطﯾل ﻣﯾﻧﺎء ھﯾوﺳﺗن ،ﺗﻛﺳﺎس ،ﻛﺎن ﻣوﺟﮭﺎ ﻓﻲ اﻟواﻗﻊ ﻣن ﻣﺳﺗﺧدم ﻣن ﻏرﻓﺔ اﻟدردﺷﺔ ﻣن ﺟﻧوب أﻓرﯾﻘﯾﺎ ،ﻣﻊ ﻣﻧﺎﻓذ أﺟﮭزة ﻛﻣﺑﯾوﺗر ﯾﺳﺎء اﺳﺗﺧداﻣﮭﺎ ﻓﻲ اﻟﮭﺟوم DDoS .ﯾؤﺛر ﻋﻠﯾﻧﺎ ﺟﻣﯾﻌﺎ ﺑﺷﻛل ﻣﺑﺎﺷر أو ﻏﯾر ﻣﺑﺎﺷر، وھو اﻟﺗﮭدﯾد اﻟذي ﯾﻧﺑﻐﻲ أن ﯾؤﺧذ ﻋﻠﻰ ﻣﺣﻣل اﻟﺟد. أﻋراض ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ )(DDOS اﺳﺗﻧﺎدا إﻟﻰ اﻟﺟﮭﺎز اﻟﮭدف ،ﻗد ﺗﺧﺗﻠف اﻷﻋراض ﻣن ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ .ھﻧﺎك أرﺑﻌﺔ أﻋراض رﺋﯾﺳﯾﺔ ﻟﮭﺟوم ﺣﺟب اﻟﺧدﻣﺔ .وھم: ﻋدم وﺟود ﻣوﻗﻊ ﻣﻌﯾن. ﻋدم اﻟﻘدرة ﻋﻠﻰ اﻟوﺻول إﻟﻰ أي ﻣوﻗﻊ. زﯾﺎدة ﻛﺑﯾرة ﻓﻲ ﺗﻠﻘﻰ ﻛﻣﯾﺔ رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻏﯾر اﻟﻣرﻏوﺑﺔ. -أداء اﻟﺷﺑﻛﺔ ﺑطﯾﺋﺔ ﺑﺷﻛل ﻏﯾر ﻋﺎدي.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1016 10.2ﻓﮭﻢ ھﺠﻤﺎت اﻟﺤﺮﻣﺎن ﻣﻦ اﻟﺨﺪﻣﺔ )(Understanding Denial Of Service ھﺟوم اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ) (denial-of-serviceھو ﻣﺧﺗﻠف ﻓﻲ اﻻھداف ،واﻟﺷﻛل ،واﻟﺗﺄﺛﯾر ﻋن ﻣﻌظم اﻟﮭﺟﻣﺎت اﻟﺗﻲ ﺷﻧت ﻋﻠﻰ اﻟﺷﺑﻛﺎت وأﺟﮭزة اﻟﻛﻣﺑﯾوﺗر .ﻣﻌظم اﻟﻣﮭﺎﺟﻣﯾن اﻟﻣﺗورطﯾن ﻓﻲ اﻟﺟراﺋم اﻹﻟﻛﺗروﻧﯾﺔ ﯾﺳﻌون إﻟﻰ اﻗﺗﺣﺎم اﻟﻧظﺎم ،اﺳﺗﺧراج أﺳرارھﺎ ،أو ﺗﻧطﻠﻲ ﻋﻠﻰ ﺗوﻓﯾر اﻟﺧدﻣﺔ اﻟﺗﻲ ﻻ ﯾﻧﺑﻐﻲ أن ﯾﺳﻣﺢ ﻟﮭم ﺑﺎﺳﺗﺧداﻣﮭﺎ .اﻟﻣﮭﺎﺟﻣﯾن ﻋﺎدة ﯾﺣﺎوﻟون ﺳرﻗﺔ أرﻗﺎم ﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن أو ﻣﻌﻠوﻣﺎت اﻟﻣﻠﻛﯾﺔ ،واﻟﺳﯾطرة ﻋﻠﻰ اﻷﺟﮭزة ﻟﺗﺛﺑﯾت اﻟﺑراﻣﺞ اﻟﺧﺎﺻﺔ ﺑﮭم أو ﺣﻔظ اﻟﺑﯾﺎﻧﺎت اﻟﺧﺎﺻﺔ ﺑﮭم ،ﺗﺷوﯾﮫ ﺻﻔﺣﺎت اﻟوﯾب ،أو ﺗﻐﯾﯾر ﻣﺣﺗوى ﻣﮭم ﻋﻠﻰ أﺟﮭزة اﻟﺿﺣﺎﯾﺎ .ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ،ﯾﺗم ﺗﻘﯾﯾم آﻻت اﻟﻣﺧﺗرﻗﺔ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن ﻋﻠﻰ اﻧﮭﺎ ﻣوارد ﯾﻣﻛن أن ﺗﺗﺣول إﻟﻰ أي ﻏرض ﺗراه ﺣﺎﻟﯾﺎ ﻣﮭم. ﻓﻲ ھﺟﻣﺎت ،DDoSاﻗﺗﺣﺎم ﻋدد ﻛﺑﯾر ﻣن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر واﻟﺳﯾطرة اﻟﺧﺑﯾﺛﺔ ﻋﻠﯾﮭم ھو ﻣﺟرد ﺧطوة أوﻟﻰ .ﺛم ﯾﻧﺗﻘل اﻟﻣﮭﺎﺟم إﻟﻰ ھﺟوم DoSﻧﻔﺳﮫ واﻟذي ﻟدﯾﮫ ھدف ﻣﺧﺗﻠف؟ ﻟﻣﻧﻊ آﻻت اﻟﺿﺣﯾﺔ أو اﻟﺷﺑﻛﺎت ﻣن ﺗﻘدﯾم اﻟﺧدﻣﺔ ﻟﻠﻣﺳﺗﺧدﻣﯾن اﻟﻣﺷروﻋﯾن .ﻻ ﺗوﺟد ﺑﯾﺎﻧﺎت ﻟﺳرﻗﺗﮭﺎ، وﻻ ﯾﺗم ﺗﻐﯾر أي ﺷﻲء ﻋﻠﻰ أﺟﮭزة اﻟﺿﺣﺎﯾﺎ ،وﻻ ﯾوﺟد اﻟوﺻول ﻏﯾر اﻟﻣﺻرح ﺑﮫ .ﺣﯾث ان اﻟﺿﺣﯾﺔ ﺑﺑﺳﺎطﺔ ﯾﺗوﻗف ﻋن ﺗﻘدﯾم اﻟﺧدﻣﺔ ﻟﻠﻌﻣﻼء طﺑﯾﻌﻲ ﻷﻧﮫ ﻣﺷﻐول ﻓﻲ اﻟﺗﻌﺎﻣل ﻣﻊ اﻟﮭﺟوم ﻋﻠﻰ ﺣرﻛﺔ اﻟﻣرور .ﻓﻲ ﺣﯾن اﻧﮫ ﻻ ﯾوﺟد اﻟوﺻول اﻟﻐﯾر ﻣﺻرح ﺑﮫ إﻟﻰ اﻟﺿﺣﯾﺔ ﻓﻲ ھﺟﻣﺎت ،DDoS floodھﻧﺎك ﻋدد ﻛﺑﯾر ﻣن اﻟﻣﺿﯾﻔﯾن اﻵﺧرﯾن اﻟذي ﺗم اﺧﺗراﻗﮭم وﺗم اﻟﺗﺣﻛم ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم ،واﻟذي ﯾﺳﺗﺧدﻣﮭﺎ ﻛﺄﺳﻠﺣﺔ ﻓﻲ اﻟﮭﺟوم. ﻓﻲ ﻣﻌظم اﻟﺣﺎﻻت ،ھذا اﻟوﺻول ﻏﯾر ﻣﺻرح ﺑﮫ ،ﻣن ﺧﻼل اﻟﺗﻌرﯾف اﻟﻘﺎﻧوﻧﻲ ﻟﮭذا اﻟﻣﺻطﻠﺢ. ﻓﻲ ﺣﯾن أن ﺗﺄﺛﯾر اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ﻋﻠﻰ اﻟﺿﺣﯾﺔ ﻗد ﯾﺑدو ﺣﻣﯾدا ﻧﺳﺑﯾﺎ ،وﺧﺻوﺻﺎ ﻋﻧدﻣﺎ ﯾﻧظر اﻟﻣرء أﻧﮫ ﻋﺎدة ﻣﺎ ﯾﺳﺗﻣر ﻓﻘط طﺎﻟﻣﺎ اﻟﮭﺟوم ﻧﺷطﺎ ،وﻟﻛن ﻟﻛﺛﯾر ﻣن ﻣﺳﺗﺧدﻣﻲ اﻟﺷﺑﻛﺔ ﯾﻣﻛن أن ﯾﻛون ﻣدﻣرا .أﺻﺑﺢ اﺳﺗﺧدام ﺧدﻣﺎت اﻹﻧﺗرﻧت ﺟزءا ﻣﮭﻣﺎ ﻣن ﺣﯾﺎﺗﻧﺎ اﻟﯾوﻣﯾﺔ .ﯾﺗزاﯾد اﺳﺗﺧدام اﻹﻧﺗرﻧت ﻹﺟراء اﻷﻋﻣﺎل اﻟﺗﺟﺎرﯾﺔ وﺣﺗﻰ ﻟﺗوﻓﯾر ﺑﻌض اﻟﺧدﻣﺎت اﻷﺳﺎﺳﯾﺔ .ﻓﯾﻣﺎ ﯾﻠﻲ ﺑﻌض اﻷﻣﺛﻠﺔ ﻋﻠﻰ اﻵﺛﺎر اﻟﺿﺎرة ﻟﻠﮭﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ. اﻟﻣواﻗﻊ اﻟﺗﻲ ﺗﻘدم ﺧدﻣﺎت ﻟﻠﻣﺳﺗﺧدﻣﯾن ﻣن ﺧﻼل أواﻣر ﻋﻠﻰ اﻻﻧﺗرﻧت ﻟﻛﺳب اﻟﻣﺎل ﻓﻘط ﻋﻧدﻣﺎ ﯾﻣﻛن ﻟﻠﻣﺳﺗﺧدﻣﯾن اﻟوﺻول إﻟﻰ ﺗﻠكاﻟﺧدﻣﺎت .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻣوﻗﻊ ﻛﺑﯾر ﻟﺑﯾﻊ اﻟﻛﺗب ﻻ ﯾﻣﻛﻧﮫ ﺑﯾﻊ اﻟﻛﺗب ﻟﻌﻣﻼﺋﮫ إذا ﻟم ﯾﺗﻣﻛﻧوا ﻣن ﺗﺻﻔﺢ ﺻﻔﺣﺎت اﻟوﯾب اﻟﻣوﻗﻊ وﺷراء اﻟﻣﻧﺗﺟﺎت ﻣن ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت .ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ ﻋﻠﻰ ھذه اﻟﻣواﻗﻊ ﯾﻌﻧﻲ ﺧﺳﺎرة ﻓﺎدﺣﺔ ﻟﻠدﺧل طﺎﻟﻣﺎ اﺳﺗﻣر ھذا اﻟﮭﺟوم .أﯾﺿﺎ اﻟﮭﺟوم ﻟﻔﺗرات طوﯾﻠﺔ أو ﻣﺗﻛررة ﯾﻠﺣﻖ اﻟﺿرر ﺑﺳﻣﻌﺔ اﻟﻣوﻗﻊ طوﯾﻠﺔ اﻷﻣد؟ اﻟزﺑﺎﺋن اﻟذﯾن ﻟم ﯾﺗﻣﻛﻧوا ﻣن اﻟوﺻول إﻟﻰ اﻟﺧدﻣﺔ اﻟﻣطﻠوﺑﺔ ﻣن اﻟﻣرﺟﺢ أن ﯾﺄﺧذوا أﻋﻣﺎل ﻣﻧﺎﻓﺳﯾﮭم .اﻟﻣواﻗﻊ اﻟﺗﻲ ﺗﺿررت ﻗد ﯾﺟد ﺻﻌوﺑﺔ ﻓﻲ ﺟذب ﻋﻣﻼء ﺟدد أو ﺗﻣوﯾل ﻣن اﻟﻣﺳﺗﺛﻣرﯾن ﻓﻲ اﻟﻣﺳﺗﻘﺑل. اﻟﻣواﻗﻊ اﻹﺧﺑﺎرﯾﺔ اﻟﻛﺑرى وﻣﺣرﻛﺎت اﻟﺑﺣث ﯾدﻓﻊ ﻟﮭم ﻣن ﻗﺑل اﻟﻣﺳوﻗﯾن ﻟﻌرض إﻋﻼﻧﺎﺗﮭم ﻟﻠﺟﻣﮭور .ﺗﻌﺗﻣد اﻹﯾرادات ﻋﻠﻰ ﻋدداﻟﻣﺳﺗﺧدﻣﯾن اﻟذﯾن ﯾﻘوﻣون ﺑﻌرض ﺻﻔﺣﺔ وﯾب اﻟﻣوﻗﻊ .ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ ﻋﻠﻰ ﻣﺛل ھذا اﻟﻣوﻗﻊ ﯾﻌﻧﻲ ﺧﺳﺎرة ﻣﺑﺎﺷرة ﻣن اﻟﻌﺎﺋدات ﻣن اﻟﻣﺳوﻗﯾن ،وﯾﻣﻛن أن ﯾﻛون ﻟﮫ ﺗﺄﺛﯾر طوﯾل اﻷﻣد ﻓﻲ ﻗﯾﺎدة اﻟﻌﻣﻼء ﺑﺳﮭوﻟﺔ أﻛﺛر ﻟﻠوﺻول اﻟﻰ اﻟﻣواﻗﻊ .ﻓﻘدان اﻟﺷﻌﺑﯾﺔ ﯾﺗرﺟم إﻟﻰ ﺧﺳﺎرة ﻣﺑﺎﺷرة اﻟﻰ ﺗﺟﺎرة اﻹﻋﻼﻧﺎت. ﺑﻌض اﻟﻣواﻗﻊ ﺗﻘدم ﺧدﻣﺔ ﻣﺟﺎﻧﯾﺔ ﺣﺎﺳﻣﺔ ﻟﻣﺳﺗﺧدﻣﻲ اﻹﻧﺗرﻧت .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻧظﺎم أﺳﻣﺎء اﻟﻧطﺎﻗﺎت ﻋﻠﻰ اﻹﻧﺗرﻧت )(DNSﺗوﻓر اﻟﻣﻌﻠوﻣﺎت اﻟﻼزﻣﺔ ﻟﺗرﺟﻣﺔ ﻋﻧﺎوﯾن اﻟوﯾب واﻟﺗﻲ ﯾﻣﻛن ﻗراءﺗﮭﺎ ﻣن ﻗﺑل اﻹﻧﺳﺎن )ﻣﺛل (www.example.comﻓﻲ ﺑروﺗوﻛول اﻹﻧﺗرﻧت )) (IPﻣﺛل .(192.0.34.166ﺟﻣﯾﻊ ﻣﺗﺻﻔﺣﺎت اﻟوﯾب واﻟﻌدﯾد ﻣن اﻟﺗطﺑﯾﻘﺎت اﻷﺧرى ﺗﻌﺗﻣد ﻋﻠﻰ DNSﻟﺗﻛون ﻗﺎدرة ﻋﻠﻰ ﺟﻠب اﻟﻣﻌﻠوﻣﺎت ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدﻣﯾن اﻟﻣطﻠوﺑﺔ .إذا ﺗﻌرﺿت ﺧوادم DNSﻟﮭﺟوم ﺣﺟب اﻟﺧدﻣﺔ ،ﻓﺎﻧﮫ ﻻ ﯾﻣﻛن اﻻﺳﺗﺟﺎﺑﺔ ﺑﺳﺑب اﻟﺣﻣل اﻟزاﺋد ،وھذا ﯾﺗرﺗب ﻋﻠﯾﮫ أن اﻟﻌدﯾد ﻣن اﻟﻣواﻗﻊ ﻻ ﯾﻣﻛن اﻟوﺻول اﻟﯾﮭﺎ ﺑﺳﺑب ان ﻋﻧﺎوﯾﻧﮭم ﻻ ﯾﻣﻛن ﺗرﺟﻣﺗﮭﺎ ،ﻋﻠﻰ اﻟرﻏم ﻣن أن ﺗﻠك اﻟﻣواﻗﻊ ﻋﻠﻰ اﻻﻧﺗرﻧت ﻗﺎدرة ﺗﻣﺎﻣﺎ ﻋﻠﻰ اﻟﺗﻌﺎﻣل ﻣﻊ ﺣرﻛﺔ اﻟﻣرور .وھذا ﯾﺟﻌل DNSﺟزءا ﻣن اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ اﻟﺣﯾوﯾﺔ، وﻏﯾرھﺎ ﻣن اﻟﻘطﻊ اﻟﺗﻲ ﻻ ﺗﻘل أھﻣﯾﺔ ﻣن اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﻺﻧﺗرﻧت ھﻲ أﯾﺿﺎ ﻋرﺿﮫ ﻟﻼﺧﺗراق. ﻗد ﺗﺄﺗﻲ اﻟﻌدﯾد ﻣن اﻟﺷرﻛﺎت ﻟﻼﻋﺗﻣﺎد ﻋﻠﻰ اﻹﻧﺗرﻧت ﻣن أﺟل اﻷﻧﺷطﺔ اﻟﯾوﻣﯾﺔ اﻟﺣرﺟﺔ .ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ ﻗد ﯾﻘطﻊ اﺟﺗﻣﺎﻋﺎ ﻋﺑرﻣﺣﺎدﺛﺔ ﻓﯾدﯾو ﻣﻐﻠﻘﺔ ،أو أﻣر ﻣﮭم ﻣن اﻟﻌﻣﻼء .ﻗد ﯾﻣﻧﻊ اﻟﺷرﻛﺔ ﻣن إرﺳﺎل وﺛﯾﻘﺔ ھﺎﻣﺔ ﻟﻠﻣﮭﻠﺔ ﺗﻘﺗرب ﺑﺳرﻋﺔ أو ﺗﺗداﺧل ﻣﻊ ﺳﻌﯾﮭﺎ ﻟﻠﺣﺻول ﻋﻠﻰ ﻋﻘد ﻛﺑﯾر. ﯾﺗزاﯾد اﺳﺗﮭﻼك اﻻﻧﺗرﻧت ﻟﺗﺳﮭﯾل إدارة اﻟﺧدﻣﺎت اﻟﻌﺎﻣﺔ ﻣﺛل اﻟﻣﺎء واﻟﻛﮭرﺑﺎء ،واﻟﺻرف اﻟﺻﺣﻲ ،وﺗﻘدﯾم اﻟﻣﻌﻠوﻣﺎت اﻟﮭﺎﻣﺔ ﻋناﻷﻧﺷطﺔ اﻟﮭﺎﻣﺔ ،ﻣﺛل ﺗﻘﺎرﯾر اﻟطﻘس وﺣرﻛﺔ اﻟﻣرور اﻟﺳﻔن اﻹرﺳﺎء .وھﻧﺎك ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ اﻟذي ﯾﻌطل ھذه اﻟﺧدﻣﺎت اﻟﺣﯾوﯾﺔ واﻟﺗﻲ ﺗؤﺛر ﺑﺷﻛل ﻣﺑﺎﺷر ﺣﺗﻰ ﻋﻠﻰ اﻟﻧﺎس اﻟﺗﻲ ﻻ ﺗرﺗﺑط أﻧﺷطﺗﮭم ﺑﺄﺟﮭزة اﻟﻛﻣﺑﯾوﺗر أو اﻹﻧﺗرﻧت .ﺣﺗﻰ أﻧﮭﺎ ﻗد ﺗﮭدد ﺣﯾﺎة اﻟﺑﺷر. ﻋدد ﻛﺑﯾر ﻣن اﻟﻧﺎس ﯾﺳﺗﺧدﻣون اﻹﻧﺗرﻧت ﻋﻠﻰ أﺳﺎس ﯾوﻣﻲ ﻟﻠﺗرﻓﯾﮫ أو ﻟﻠﺗواﺻل ﻣﻊ اﻷھل واﻷﺻدﻗﺎء .ﺑﯾﻧﻣﺎ ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ ﻣناﻟﻣﻣﻛن أن ﯾﻌطل ھذه اﻷﻧﺷطﺔ واﻟﺗﻲ ﻗد ﻻ ﺗﺳﺑب ﻟﮭم أي ﺿرر ﺧطﯾر ،ﻓﻣن اﻟﻣؤﻛد أﻧﮭﺎ ﺗﺟرﺑﺔ ﻏﯾر ﺳﺎرة ﻟﻠذﯾن ﯾرﻏﺑون ﻓﻲ ﺗﺟﻧﺑﮭﺎ. ﻓﻲ ﺣﺎﻟﺔ ﺣدوث ھذه اﻻﺿطراﺑﺎت ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ،ﻣن اﻟﻣرﺟﺢ أن ﯾﺗوﻗف اﻟﻧﺎس ﻋن اﺳﺗﺧدام اﻹﻧﺗرﻧت ﻟﮭذه اﻷﻏراض، ﻟﺻﺎﻟﺢ ﺗﻘﻧﯾﺎت أﻛﺛر ﻣوﺛوﻗﯾﺔ. د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1017 اﻟدواﻓﻊ اﻟﺧﻔﯾﺔ ﻟﻣﺎذا ﯾﺳﻌﻰ اﻟﻣﮭﺎﺟﻣون إﻟﻰ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ )(DoS؟ ھذا اﻟﻌﻣل ،ﻣدﻣر ﺟدا ﻓﻲ اﻟطﺑﯾﻌﺔ ،ﻟﯾﺳت داﺋﻣﺎ ﻏﺎﯾﺔ ﻓﻲ ﺣد ذاﺗﮫ .ﻣﺎ ﯾﻣﻛن أن ﯾﻛون اﻟﮭدف اﻟﻧﮭﺎﺋﻲ ﺑﻌد ذﻟك؟ ﺑﻌض ﻣن ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ﻓﻲ وﻗت ﻣﺑﻛر ﻛﺎﻧت ﻹﺛﺑﺎت ﻣﻔﮭوم أو ﺑﺳﺎطﺔ اﻟﻣزاح اﻟذي ﯾﻠﻌب ﻣن ﻗﺑل ﻗراﺻﻧﺔ .ﻛﺎن اﻟﮭدف اﻟﻧﮭﺎﺋﻲ ﻹﺛﺑﺎت أن ﺷﯾﺋﺎ ﻣﺎ ﯾﻣﻛن اﻟﻘﯾﺎم ﺑﮫ ،ﻣﺛل أﺧذ ،ﺷﻌﺑﯾﺔ ﻣوﻗﻊ وﯾب ﺣﺎﻟﯾﺎ .ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ،ﻓﺈن اﻟﻣﮭﺎﺟﻣﯾن ﯾﻘوﻣون أﯾﺿﺎ ﺑﻣﺣﺎرﺑﺔ ﺑﻌﺿﮭم اﻟﺑﻌض ﻣن أﺟل اﻟﺗﻔوق ﻣن ﺧﻼل اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ .ﻗﻧوات اﻟدردﺷﺔ ﻋﺑر اﻹﻧﺗرﻧت ﻻ ﺗزال ﻣوردا ﯾﺳﻌﻰ إﻟﯾﮫ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن .وھﻲ ﺗﺳﺗﺧدم ﻟﺗﻧﺳﯾﻖ ھﺟوم آﻻت ﻣﺗﻌددة وﻟﺗﺟﺎرة اﻻﻛواد واﻟﻣﻌﻠوﻣﺎت اﻟﻐﯾر ﻗﺎﻧوﻧﯾﺔ ﻣﻊ اﻟﻣﮭﺎﺟﻣﯾن اﻵﺧرﯾن .اﻟﻣﺳﺗﺧدم اﻟذي أﻧﺷﺄ ﻗﻧﺎة ﯾﺗﺣﻛم ﻓﻲ اﻟوﺻول إﻟﯾﮭﺎ، وﯾﺳﻣﻰ اﻟﻣﺷرف ) ،(moderatorاﻟﻣﺷﻐل ) (operatorأو اﻟﻣﺎﻟك ) .(ownerطرﯾﻘﺔ ﺳﮭﻠﺔ ﻟﻠﺳﯾطرة ﻋﻠﻰ اﻟﻘﻧﺎة )وﻣﻌﮭﺎ ﺟﻣﯾﻊ آﻻت اﻟﮭﺟوم اﻟﺗﻲ ﯾﺗم اﻟﺗﺣﻛم ﻓﯾﮭﺎ ﻋن طرﯾﻖ ھذه اﻟﻘﻧﺎة( ،وﻣن ﺛم ﯾﮭﯾﻣن ﻋﻠﻰ ﺟﻣﯾﻊ اﻻﺗﺻﺎﻻت وذﻟك ﻟﺗﻧﻔﯾذ ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ ﻋﻠﻰ اﻟﻣﺷرف اﻟﺣﺎﻟﻲ. ﻋﻧدﻣﺎ ﺗذھب آﻟﺔ ﻟﻣﺷرف ﺣﺎﻟﯾﺎ ،ﻓﺎﻧﮫ ﯾﻣﻛن ﻟﻠﻣﺳﺗﺧدم آﺧر ﺗوﻟﻲ اﻟﻘﻧﺎة .إﻟﻰ ﺟﺎﻧب اﻟﺗﻔوق ،ﯾﺳﻌﻰ اﻟﻣﮭﺎﺟﻣون أﯾﺿﺎ اﻻﻧﺗﻘﺎم ﻣن ﺧﻼل اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ .وﻣن ﺷﺄن اﻟﻘراﺻﻧﺔ اﻟذﯾن طرﻗوا ﺣﺎﻟﯾﺎ ﺑواﺳطﺔ آﻻت " DoSاﻟﻌودة " ﻟﻣﮭﺎﺟﻣﺔ اﻟﺟﺎﻧﻲ .اﻟﻧﺎس اﻟذﯾن ﺗﺟرأوا ﻋﻠﻰ اﻟﺗﺣدث ﺑﺳوء ﻋن اﻟﻣﺗﺳﻠﻠﯾن ﻓﻲ اﻷﻣﺎﻛن اﻟﻌﺎﻣﺔ ﻗد ﯾواﺟﮭوا أﯾﺿﺎ اﻧﺗﻘﺎم .DoS اﻟداﻓﻊ اﻻﺧرى ﻟﮭﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ﻛﻣﺎ ﯾﺟري ﻣﻊ اﻟﺳﯾﺎﺳﻲ اﻟذي ﯾﺻف ﻧﻔﺳﮫ .ﻣن اﻟﻣﻌروف أن اﻷﻓراد أو اﻟﺟﻣﺎﻋﺎت اﻟذﯾن ﻻ ﯾﺗﻔﻘون ﻣﻊ آراء أو ﺗﺻرﻓﺎت ﻣﻧظﻣﺔ ﻣﻌﯾﻧﺔ )ﻣوﻗﻊ وﺳﺎﺋل اﻻﻋﻼم ﻋﻠﻰ اﻻﻧﺗرﻧت ،ﺷرﻛﺔ ،أو ﺣﻛوﻣﺔ( ﯾﻘوﻣون ﺑﺈطﻼق ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ﺿد أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر واﻟﺷﺑﻛﺎت اﻟﻣﻣﻠوﻛﺔ ﻣن ﻗﺑل ھذه اﻟﻣﻧظﻣﺔ. إذا ﻛﺎن اﻟﮭدف ﻣن اﻟﮭﺟوم ھو اﻟﺷرﻛﺔ ،ﯾﻣﻛن ﺗﺻور أن ﯾﻛون اﻟداﻓﻊ رﻏﺑﺔ اﻟﻣﻧﺎﻓس ﻟﻛﺳب ﻣﯾزة ﻓﻲ اﻟﺳوق .ﺣﺗﻰ اﻵن ،ﻟم ﯾﺛب ھذا اﻟداﻓﻊ ﻷي ﻣن اﻟﮭﺟﻣﺎت .وذﻟك ،ﻟوﺟود ﻧﻘص ﻛﺑﯾر ﻓﻲ اﻟﺑﯾﺎﻧﺎت ﻋﻠﻰ اﻟﺟﻧﺎة ودواﻓﻊ ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ .ﺣﯾث ﻻ ﯾﺗم اﻹﺑﻼغ ﻋن اﻟﻐﺎﻟﺑﯾﺔ اﻟﻌظﻣﻰ ﻣن اﻟﮭﺟﻣﺎت ،ﻧﺎھﯾك ﻋن اﻟﺗﺣﻘﯾﻖ ﻓﯾﮭﺎ .ﻣن ﺗﻠك اﻟﺗﻲ ﻻ ﺗﺧﺿﻊ ﻟﺗﺣﻘﯾﻖ ﻣﻔﺻل ،ﺳوى ﻋدد ﻗﻠﯾل ﯾﺣﺗوي ﻋﻠﻰ ﻣﺎ ﯾﻛﻔﻲ ﻣن اﻷدﻟﺔ ﻹﺛﺑﺎت اﻟداﻓﻊ. وﻧﺎھﯾك ﻋن أﻧﮫ ﻣن اﻟﻣﻣﻛن ﺗﻣﺎﻣﺎ أن ﺑﻌض اﻟﺷرﻛﺎت ﻗد ﺗﻠﺟﺄ إﻟﻰ ھذه اﻟوﺳﺎﺋل ﻏﯾر اﻟﻘﺎﻧوﻧﯾﺔ ﻣن اﻟﻘﯾﺎدة اﻟﻣﻧﺎﻓﺳﺔ ﻣن اﻟﺳوق. ﻣؤﺧرا ،ظﮭر ﻋددا ﻣن اﻟﮭﺟﻣﺎت ،اﻟﺗﻲ ﺣﺎوﻟت اﻻﺑﺗزاز .اﻟﻣﮭﺎﺟﻣون ﺗﮭدد اﻷﻋﻣﺎل اﻟﺗﺟﺎرﯾﺔ ﻋﺑر اﻹﻧﺗرﻧت ﻣﻊ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ،وﺗطﻠب دﻓﻊ ﻣﺑﻠﻎ ﻣن اﻟﻣﺎل ﻣن أﺟل "اﻟﺣﻣﺎﯾﺔ" .اﻟﻣواﻗﻊ اﻟﺗﻲ ﺗرﻓض اﻟدﻓﻊ ﯾﺟري ﻋﻠﯾﮭﺎ اﻟﮭﺟﻣﺎت ﻋﻠﻰ ﻧطﺎق ﺻﻐﯾر. ﻣواﺟﮭﺔ اﻟﻣﮭﺎﺟﻣون ﻣن ھم اﻟﺟﻧﺎة اﻟﻣﺣﺗﻣﻠﯾن ﻟﮭﺟﻣﺎت DDoS؟ ﻟدﯾﻧﺎ أدﻟﺔ ﻣن اﻟدراﺳﺎت أن اﻵﻻف ﻣن اﻟﮭﺟﻣﺎت ﺗﺣدث ﻋﻠﻰ أﺳﺎس ﻣﻧﺗظم ،وﻟﻛن ﺗم اﻟﻘﺎء اﻟﻘﺑض ﻋﻠﻰ ﻋدد ﻗﻠﯾل ﺟدا ﻣن اﻟﻣﮭﺎﺟﻣﯾن وﻣﺣﺎﻛﻣﺗﮭم .ھذا ﯾرﺟﻊ ﺟزﺋﯾﺎ إﻟﻰ ﻋدم ﻗدرة اﻟﺿﺣﺎﯾﺎ ﻋﻠﻰ ﺗﻠﺑﯾﺔ اﻟﺣد اﻷدﻧﻰ ﻣن اﻟﺿرر اﻟﻼزﻣﺔ ﻟﻣﻘﺎﺿﺎة، أو ﻷن اﻟﺿﺣﯾﺔ ﻻ ﯾﺷﻌر ﺑﺎن اﻻدﻋﺎء ھو ﺟدﯾرة ﺑﺎﻻھﺗﻣﺎم أو ﻣﺧﺎوف اﻟدﻋﺎﯾﺔ اﻟﺳﻠﺑﯾﺔ .ﻋﺎﻣل آﺧر ھو ﺳﮭوﻟﺔ أداء ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ دون ﺗرك آﺛﺎر ﻛﺛﯾرة ﻟﻠﻣﺣﻘﻘﯾن ﻟﻠﻣﺗﺎﺑﻌﺔ .ﻣن اﻟﻣﺳﺗﺣﯾل اﻟﺣﻛم ﻋﻠﻰ ﺷﺧﺻﯾﺔ اﻟﻣرﺗﻛب ﻣن ﺧﻼل ﻋﯾﻧﺔ ﺻﻐﯾرة ﻣن اﻟﺟراﺋم اﻟﺗﻲ ﯾﻣﻛن اﺛﺑﺎﺗﮭﺎ .وﻣﻊ ذﻟك ،ﻧﻘص اﻟﺗطور ﻓﻲ اﻟﻌدﯾد ﻣن اﻟﮭﺟﻣﺎت ،ﯾﺟﻌﻠﻧﺎ ﻧﻔرض أن ﻧﺳﺑﺔ ﻛﺑﯾرة ﺟدا ﻣن ﻣرﺗﻛﺑﯾﮭﺎ ﯾﺑدو ﻣن ﻗﺑل ﻗراﺻﻧﺔ ﻗﻠﯾﻠﺔ اﻟﺧﺑرة ،ﻣﺎ ﯾﺳﻣﻰ .script kiddiesھؤﻻء اﻟﻘراﺻﻧﺔ ﯾﻘوﻣون ﺑﺗﺣﻣﯾل ھذه اﻷدوات ﻣن اﻹﻧﺗرﻧت واﺳﺗﺧداﻣﮭﺎ ﻣن دون ﺗﻐﯾﯾر .ﻓﻲ ﺣﯾن أن ﻣﺛل ھذه اﻟﮭﺟﻣﺎت ﻻ ﺗزال ﺗﺷل ﺑﺷدة اﻟﺿﺣﯾﺔ ،أﯾﺿﺎ ھذه اﻟﮭﺟﻣﺎت ﺗﺗرك آﺛﺎر ﻛﺎﻓﯾﺔ ﻓﻲ ﺑﻌض اﻷﺣﯾﺎن ﻟﻠﻣﺣﻘﻘﯾن ﻟﻛﻲ ﯾﻛون ﻗﺎدرا ﻋﻠﻰ ﻓﮭم اﻟﻛﺛﯾر ﻋن اﻟﻣﮭﺎﺟم .ﻣﺛل ھذه اﻟﮭﺟﻣﺎت اﻟﺧﺎم ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ﺗوﻟد ﻧﻣط ﺣرﻛﺔ اﻟﻣرور ﯾﻣﻛن اﻟﺗﻌرف ﻋﻠﯾﮫ ﺑﺳﮭوﻟﺔ واﻟﺗﻲ ﯾﻣﻛن اﻟﺳﯾطرة ﻋﻠﯾﮭﺎ ﺑواﺳطﺔ ﻓﻼﺗر ﺑﺳﯾطﺔ. ﻧوع آﺧر ﻣن ھﺟوم DoSواﻟذي ﯾﺳﺗﺧدم اﻟﻘراﺻﻧﺔ اﻟﻣﺣﺗرﻓﯾن ﻋدة وﺳﺎﺋل ﻟطﻣس ھوﯾﺗﮫ ﻣن ﺧﻼل ﺧﻠﻖ اﻻﺧﺗﻼﻓﺎت اﻟطﻔﯾﻔﺔ ﻓﻲ أﻧﻣﺎط ﺣرﻛﺔ اﻟﻣرور إﻟﻰ .bypass defensesﻓﻲ ﺣﯾن أن ھذه اﻟﮭﺟﻣﺎت ھﻲ أﻗل ﺷﯾوﻋﺎ ﻣن ﺗﻠك اﻟﺑﺳﯾطﺔ ،ﻓﮭﻲ ﺣﻠﻘﺔ ﺧﺎﺻﺔ وﯾﺻﻌب اﻟﺗﻌﺎﻣل ﻣﻌﮭﺎ. اﻟﻘراﺻﻧﺔ اﻟﻣﺗطورة ﻗد ﺗﻌﻣل ﻣن ﺗﻠﻘﺎء ﻧﻔﺳﮭﺎ )ﻋﻧدﻣﺎ ﺗﮭﺎﺟم ﻣن أﺟل اﻟﺗﻔوق ﻓﻲ داﺋرة اﻟزﻣﻼء أو ﻟﻼﻧﺗﻘﺎم( أو ﻗد ﯾﺗم ﺗﻌﯾﯾﻧﮭم ﻣن ﻗﺑل ﺣرﻛﺔ ﺳرﯾﺔ أو ﻣﻧظﻣﺔ إﺟراﻣﯾﺔ. اﻟﻣﮭﺎﺟم اﻟﻣﺣﺗﻣل اﻷﻛﺛر ﺧطورة ھو ﻣﻣﺛل اﻟدوﻟﺔ واﻟﺗﻲ ﻟدﯾﮭﺎ ﻣوارد ﻛﺑﯾرة وﻣﮭﺎرة ﻣﺗﺎﺣﺔ ﻹرﺳﺎل أدواﺗﮫ اﻟﺧﺎﺻﺔ ،وذﻟك ﺑﺎﺳﺗﺧدام ﺗﻘﻧﯾﺎت اﻟﻘﯾﺎدة واﻟﺳﯾطرة اﻟﻣﺗطورة ،واﻻﺳﺗﻔﺎدة ﻣن اﻟﻣوارد اﻻﺳﺗﺧﺑﺎراﺗﯾﺔ اﻟﺗﻲ ﯾﺻﻌب اﻟﺣﺻول ﻋﻠﯾﮭﺎ .ﻣﺛل ھذا اﻟﻣﮭﺎﺟم ﯾﻣﻛن أن ﯾﺧﻠﻖ آﺛﺎر ﺧﻔﯾﺔ ﺟدا اﻟﺗﻲ ﯾﺻﻌب ﺣﺗﻰ اﻹﺷﻌﺎر ﺑﺎﺳﺗﺧدام أﺳﺎﻟﯾب أو أدوات ﻣﺷﺗرﻛﺔ .اﻟﻰ ﺟﺎﻧب ذﻟك ،ﻗد ﯾﻛون أدوات اﻟرﺻد ﺗﺣﻣل ﻧﻘﺎط اﻟﺿﻌف ﻧﻔﺳﮭﺎ اﻟﺗﻲ ﯾﻣﻛن اﺳﺗﻐﻼﻟﮭﺎ ﻹﺧﻔﺎء وﺟود اﻟﮭﺟوم .إذا ﻟم ﺗﻘﻊ ﻣﺛل ھذه اﻟﮭﺟﻣﺎت ﺣﺗﻰ اﻵن ،وﻟﻛﻧﮭﺎ ﻗد ﺗﺣدث أﯾﺿﺎ ﻓﻲ اﻟﻣﺳﺗﻘﺑل.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1018 ﻣﺎ وراء اﻟﻛواﻟﯾس ﻛﯾف ﺗﻌﻣل ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ؟ ﻛﻣﺎ ذﻛر ﻓﻲ اﻟﻔﺻل ،1ھﻧﺎك ﻧوﻋﺎن ﻣن اﻷﺳﺎﻟﯾب اﻟرﺋﯾﺳﯾﺔ ﻟﺣرﻣﺎن اﻟﺧدﻣﺔ :اﺳﺗﻐﻼل ﻧﻘطﺔ ﺿﻌف ﻣوﺟودة ﻋﻠﻰ اﻟﮭدف أو إرﺳﺎل ﻋدد ﻛﺑﯾر ﻣن اﻟرﺳﺎﺋل اﻟﺗﻲ ﺗﺑدو ﻣﺷروﻋﺔ .ﻋﺎدة ﻣﺎ ﯾﺳﻣﻰ اﻟﻧوع اﻷول ﻣن اﻟﮭﺟوم ،vulnerability attack ﺑﯾﻧﻣﺎ ﯾطﻠﻖ ﻋﻠﻰ اﻟﺛﺎﻧﻲ .flooding attack Vulnerability attackﺗﻌﻣل ﻋن طرﯾﻖ إرﺳﺎل ﺑﻌض اﻟرﺳﺎﺋل اﻟﺗﻲ وﺿﻌت ﺧﺻﯾﺻﺎ ﻟﺗطﺑﯾﻖ اﻟﮭدف اﻟذي ﯾﻣﺗﻠك ﻧﻘطﺔ اﻟﺿﻌف .ھذا اﻟﺿﻌف ھو ﻋﺎدة ﺧﻠل ﻓﻲ ﺗﻧﻔﯾذ اﻟﺑراﻣﺞ أو ﺧﻠل ﻓﻲ اﻟﺗﻛوﯾن اﻻﻓﺗراﺿﻲ ﻟﺧدﻣﺔ ﻣﻌﯾﻧﺔ .اﻟرﺳﺎﺋل اﻟﺧﺑﯾﺛﺔ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم ﺗﻣﺛل ﻣدﺧﻼ ﻏﯾر ﻣﺗوﻗﻊ واﻟذي ﻟم ﯾﺗوﻗﻌﮫ ﻣﺑرﻣﺞ اﻟﺗطﺑﯾﻖ .اﻟرﺳﺎﺋل ﺗﺳﺑب ﻟﺗطﺑﯾﻖ اﻟﮭدف اﻟذھﺎب ﻓﻲ ﺣﻠﻘﺔ ﻻ ﻧﮭﺎﺋﯾﺔ .ﻹﺑطﺎﺋﮫ ﺑﺷدة ،ﺗﺣطﻣﮫ ،ﺗﺟﻣﯾده ،أو إﻋﺎدة ﺗﺷﻐﯾل اﻟﺟﮭﺎز ،أو اﺳﺗﮭﻼك ﻛﻣﯾﺔ ﻛﺑﯾرة ﻣن اﻟذاﻛرة وﻣﻧﻊ اﻟﺧدﻣﺔ ﻋن اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺷرﻋﯾﯾن .ﺗﺳﻣﻰ ھذه اﻟﻌﻣﻠﯾﺔ اﺳﺗﻐﻼل ﻧﻘطﺔ ﺿﻌف ) ،(exploiting a vulnerabilityوﺗﺳﻣﻰ اﻟرﺳﺎﺋل اﻟﺧﺑﯾﺛﺔ ﺒ .Exploitﻓﻲ ﺑﻌض اﻟﺣﺎﻻت ،ﻧﻘﺎط اﻟﺿﻌف ﻣن ھذا اﻟﻧوع ﯾﻣﻛن اﺳﺗﻐﻼﻟﮭﺎ ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل ،ﻗطﻌﺔ ﻣن اﻟوﺳﯾط اﻟﻣﺷﺗرك ) ،(middlewareأو ﻓﻲ ﺑروﺗوﻛول اﻟﺷﺑﻛﺔ ،وﻛذﻟك ﻓﻲ ﺑراﻣﺞ اﻟﺗطﺑﯾﻘﺎت .ﻓﻲ ﺣﯾن أﻧﮫ ﻣن اﻟﻣﺳﺗﺣﯾل ﻟﻠﻛﺷف ﻋن ﺟﻣﯾﻊ ﻧﻘﺎط اﻟﺿﻌف ،ﻓﺈﻧﮫ ﯾﻣﻛن أﯾﺿﺎ أن ﯾﻛون ﻣن اﻟﺻﻌب ﺟدا اﻟﻌﺛور ﻋﻠﻰ ﻣﺂﺛر ﺟدﯾدة ) .(new exploitsھذا ﯾﻌﻧﻲ أن ﻛل ﻧﻘﺎط اﻟﺿﻌف اﻟذي ﺗم اﻟﻛﺷف ﻋﻧﮭﺎ وﺗﺻﺣﯾﺣﮭﺎ ھو ﻣﻛﺳب ﻛﺑﯾر وﺧطوة إﻟﻰ اﻷﻣﺎم ﻟﻠﻣداﻓﻌﯾن. ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﺑﻌض ﺗطﺑﯾﻘﺎت ﺑروﺗوﻛول اﻟوﺻول اﻟﻼﺳﻠﻛﻲ 802.11ﻟﮭﺎ ﻧﻘﺎط ﺿﻌف واﻟﺗﻲ ﺗﺳﻣﺢ ﻟﻠﻣﮭﺎﺟم ﺑرﻓض اﻟﺧدﻣﺔ )(deny service ﺑطرﯾﻘﮫ اﻧﺗﻘﺎﺋﯾﺔ ﻋن ﻣﺳﺗﺧدم واﺣد ﻓﻲ اﻟﺷﺑﻛﺔ اﻟﻼﺳﻠﻛﯾﺔ أو ﺑﺈﺑﺎﺣﺔ اﻟﺧدﻣﺔ ﻟﮭم ﺟﻣﯾﻌﺎ .ﻓﻲ اﻟواﻗﻊ ،ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم إرﺳﺎل ﺣزﻣﺔ إﻟﻰ ﻧﻘطﺔ وﺻول ﻻﺳﻠﻛﯾﺔ وﯾدﻋﻲ أﻧﮫ ﻣﺳﺗﺧدم آﺧر ،واﻟﺗﻲ ﺗﺷﯾر إﻟﻰ أن اﻟﻣﺳﺗﺧدم ﻗد اﻧﺗﮭﻰ وﯾرﯾد ﺗﻌﻠﯾﻖ اﻟﺷﺑﻛﺔ " ."hang upﻧﻘطﺔ اﻟوﺻول اﻟﻼﺳﻠﻛﯾﺔ ﻟم ﺗﻌد ﺗﻌرف اﻻﺗﺻﺎﻻت ﻣن اﻟﻣﺳﺗﺧدم اﻟﻣﺳﺗﮭدف .ﯾﻣﻛن ﻟﻠﻣﺳﺗﺧدم إﻋﺎدة ﺗﺄﺳﯾس اﻻﺗﺻﺎﻻت ﻣﻊ ﻧﻘطﺔ وﺻول ،وﻟﻛن ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم ﻏﻠﻘﮫ ﺑﻧﻔس اﻟطرﯾﻘﺔ.
Flooding attackﺗﻌﻣل ﻋن طرﯾﻖ إرﺳﺎل ﻋدد ﻛﺑﯾر ﻣن اﻟرﺳﺎﺋل اﻟﺗﻲ ﺗﺳﺗﮭﻠك ﺑﻌض اﻟﻣوارد اﻟرﺋﯾﺳﯾﺔ ﻓﻲ اﻟﮭدف .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻗد ﺗﺗطﻠب ﻣﻌﺎﻟﺟﺔ ﻣطوﻟﺔ ﻟرﺳﺎﺋل ﻣﻌﻘدة واﻟﺗﻲ ﺗﺳﺗﮭﻠك ﻛل دورات وﺣدة اﻟﻣﻌﺎﻟﺟﺔ اﻟﻣرﻛزﯾﺔ ) ،(CPU cyclesرﺳﺎﺋل ﻛﺑﯾرة ﺗﺳﺗﻐرق ﻋرض اﻟﻧطﺎق اﻟﺗرددي ) ،(Bandwidthورﺳﺎﺋل ﺗﺑدأ اﻻﺗﺻﺎل ﻣﻊ ﻋﻣﻼء ﺟدد ﯾﺳﺗﮭﻠك اﻟذاﻛرة .ﺑﻣﺟرد رﺑط اﻟﻣورد اﻟرﺋﯾﺳﻲ ﻣن ﻗﺑل اﻟﮭﺟوم ،ﻓﺎن ﻻ ﯾﻣﻛن ﻟﻠﻣﺳﺗﺧدﻣﯾن اﻟﺷرﻋﯾﯾن ﻣن ﺗﻠﻘﻰ اﻟﺧدﻣﺔ .ﻣﯾزة ﺣﺎﺳﻣﺔ ﻣن Flooding attackھﻲ أن ﻗوﺗﮭم ﺗﻛﻣن ﻓﻲ ﻣﺳﺗوى اﻟﺣﺟم ،وﻟﯾس ﻓﻲ اﻟﻣﺣﺗوى .وھذا ﻟﮫ اﺛﻧﯾن ﻣن اﻻﻧﻌﻛﺎﺳﺎت اﻟرﺋﯾﺳﯾﺔ: ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟﻣﯾن إرﺳﺎل ﻣﺟﻣوﻋﺔ ﻣﺗﻧوﻋﺔ ﻣن اﻟﺣزم .ﯾﻣﻛﻧﮫ ﺟﻌل ھﺟوم ﺣرﻛﺔ اﻟﻣرور ﻣﻣﺎﺛل ﺑﺷﻛل ﺗﻌﺳﻔﻲ ﻟﺣرﻛﺔ اﻟﻣروراﻟﻣﺷروﻋﺔ ،ﻣﻣﺎ ﯾﻌﯾﻖ ﺑﺷﻛل ﻛﺑﯾر اﻟدﻓﺎﻋﺎت. ﺣرﻛﺔ اﻟﻣرور ﯾﺟب أن ﺗﻛون ﻛﺑﯾرة ﺑﺣﯾث ﺗﺳﺗﮭﻠك ﻣوارد اﻟﮭدف .اﻟﻣﮭﺎﺟم ﻋﺎدة ﻣﺎ ﯾﻘوم ﺑﺈﺷراك أﻛﺛر ﻣن ﺟﮭﺎز واﺣد ﻹرﺳﺎلھﺟوم ﻋﻠﻰ ﺣرﻛﺔ اﻟﻣرور .ﻟذا Flooding attackھﻲ ﻋﺎدة ھﺟﻣﺎت .DDoS أﺑﺳط ﺷﻛل ﻣن ھﺟوم DDoSھو إرﺳﺎل ﻛﻣﯾﺔ ﻛﺑﯾرة ﺟدا ﻣن اﻟرﺳﺎﺋل ،ﻣﻘﺳﻣﮫ اﻟﻰ ﺣزم ،إﻟﻰ ﺧدﻣﺔ ﻋﻠﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ .ﻣﺎ ﻟم ﯾﻛون ھﻧﺎك ﺷﯾﺋﺎ ﺑﯾن آﻻت اﻟﻣﮭﺎﺟﻣﺔ واﻟﺿﺣﯾﺔ ﻹﺳﻘﺎط ﺣزم اﻟطﻠب ھذه ،ﻓﺎﻧﮫ ﺳوف ﯾﻧﻔﻖ ﻣوارد اﻟﺿﺣﯾﺔ ﻓﻲ ﻣﺣﺎوﻟﺔ اﻟﺣﺻول ﻋﻠﻰ اﻟﺣزم واﻟﺗﻌﺎﻣل ﻣﻌﮭﺎ ﺑﺷﻛل ﺻﺣﯾﺢ .إذا ﻛﺎن ھﻧﺎك ﻣﺎ ﯾﻛﻔﻲ ﻣن ھذه اﻟﺣزم ،ﺳﯾﻧﻔﻖ ﻛل ﻣوارد اﻟﺟﮭﺎز ﻓﻲ ﻣﺣﺎوﻟﺔ اﻟﺗﻌﺎﻣل ﻣﻊ اﻟﺣزم اﻟﺗﻲ ﻟﯾس ﻟﮭﺎ ﻗﯾﻣﺔ. ﺛﻣﺔ ﺧﯾﺎر آﺧر ﻠ DDoSھو ﻣﮭﺎﺟﻣﺔ واﺟﮭﺔ اﻟﺷﺑﻛﺔ ) (network interfaceاﻟﺿﺣﯾﺔ .إذا ﻛﺎﻧت ﺑطﺎﻗﺔ اﻟﺷﺑﻛﺔ ﻓﻲ ﺟﮭﺎز اﻟﺿﺣﯾﺔ ﯾﻣﻛن اﻟﺗﻌﺎﻣل ﻣﻊ 10ﻣﯾﻐﺎﺑﺎﯾت ﻓﻘط ﻓﻲ اﻟﺛﺎﻧﯾﺔ ﻣن ﺣرﻛﺔ اﻟﻣرور ،ﻓﺎن اﻟﻣﮭﺎﺟم ﯾﺣﺗﺎج ﻣﺟرد ﺗوﻟﯾد 10ﻣﯾﻐﺎﺑﺎﯾت ﻓﻲ اﻟﺛﺎﻧﯾﺔ أو أﻛﺛر ﻣن أﯾﺔ ﺣزم IP ﻟﺗوﺻﯾﻠﮭﺎ وإرﺳﺎﻟﮭﺎ إﻟﻰ اﻟﺿﺣﯾﺔ .ﻋﻠﻰ اﻓﺗراض أﻧﮫ ﻻ ﯾوﺟد أي ﻛﯾﺎن أﺧر ﯾﻘوم ﺑﺈﺳﻘﺎط ﺗﻠك اﻟﺣزم ﻗﺑل أن ﺗﺻل إﻟﻰ واﺟﮭﺔ اﻟﺿﺣﯾﺔ ،ﻓﺳوف ﺗﺳﺗﻧﻔد ﻣوارد اﻟﺷﺑﻛﺔ ﺑﺳﮭوﻟﺔ وأﯾﺿﺎ إﻧﺷﺎء ازدﺣﺎم ﻛﺑﯾر ﻋﻠﻰ طرﯾﻖ اﻟﺿﺣﯾﺔ .إذا ﻛﺎن ھﻧﺎك ﻋدد ﻗﻠﯾل ﻣن اﻟﺣزم اﻟﻣﺷروﻋﺔ ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ﻓﯾﺿﺎن ) (Floodﻛﺑﯾر ﻣن ھﺟوم اﻟﺣزم ،ﻓﻣن ﻏﯾر اﻟﻣﺣﺗﻣل أن ﺗﺗﻠﻘﻰ اﻟﺧدﻣﺔ. ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم أﯾﺿﺎ ان ﯾﺳﺗﮭدف اﻟﺷﺑﻛﺔ اﻟﻣﺣﻠﯾﺔ اﻟﺗﻲ ﯾﺗﺻل ﺑﮭﺎ اﻟﺿﺣﯾﺔ ﺑﺎﻹﻧﺗرﻧت .إذا ﻋرف اﻟﻣﮭﺎﺟم أن ﻣﺗﺻل ﺑﺷﺑﻛﮫ ذات ﺳﻌﺔ ﺗرددﯾﮫ 1 ﺟﯾﺟﺎﺑﺎﯾت ﻓﻲ اﻟﺛﺎﻧﯾﺔ ،ﻓﺄﻧﮫ ﯾﻣﻛن أن ﯾرﺳل ﻣﺎ ﯾﻛﻔﻲ ﻣن اﻟﺣزم ﻟﻠﺿﺣﯾﺔ أو اﻟﻌﻘد اﻷﺧرى ﻋﻠﻰ اﻟﺷﺑﻛﺔ ﻟﺗطﻐﻰ ﻋﻠﯾﮫ .ﻓﻲ ھذا اﻟﻧوع ﻣن ھﺟوم ،DDoSﻛل ﻣن اﻟﻌﻘد اﻷﺧرى ﻋﻠﻰ ﻗطﻊ اﻟﺷﺑﻛﺔ ﺳوف ﺗﻌﺎﻧﻲ ﻋﻠﻰ ﻧﺣو ﻣﻣﺎﺛل .ﯾوﺿﺢ ھذا اﻟﻣﺛﺎل ﺧﺎﺻﯾﺔ ﻏرﯾﺑﺔ ﻣن :DDoSﺣﯾث ﯾﻠﺣﻖ اﻟﺿرر ﻟﯾس ﻓﻘط ﻋﻠﻰ اﻟﺿﺣﯾﺔ ،وﻟﻛن أﯾﺿﺎ ﻋﻠﻰ اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺷرﻋﯾﯾن )اﻟذﯾن ﻻ ﯾﺳﺗطﯾﻌون اﻟﺣﺻول ﻋﻠﻰ اﻟﺧدﻣﺔ( وﻏﯾرھم ﻣﻣن ﯾﺗﺷﺎطرون اﻟﻣوارد اﻟﺣرﺟﺔ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،اﻟﻣﮭﺎﺟم ﻗد ﯾﺳﺗﮭدف ﺷﺑﻛﺔ اﻻﺗﺻﺎل اﻟﺗﻲ ﻟدﯾﮭﺎ ﻧﻔس ISPﻛﻣﺎ أﻧت .إذا ﻛﺎن ﻣﻘدار ھﺟوم ﺣرﻛﺔ اﻟﻣرور ﻣرﺗﻔﻊ ﺑﻣﺎ ﻓﯾﮫ اﻟﻛﻔﺎﯾﺔ ،ﻓﺎﻧﮫ ﯾﻣﻛن أﯾﺿﺎ أن ﯾﺣرﻣك ﻣن ﺧدﻣﺎﺗك. ﺗﺳﺗﻧد ﺟﻣﯾﻊ اﻟﮭﺟﻣﺎت اﻟﻣذﻛورة أﻋﻼه ﻋﻠﻰ ﻛﻣﯾﺎت ﻛﺑﯾرة ﻣن ﺣرﻛﺔ اﻟﻣرور .اﻟﻣﮭﺎﺟم ﯾﻣﻛن ﻓﻲ ﺑﻌض اﻷﺣﯾﺎن ارﺗﻛﺎب ھﺟوم اﻟﻔﯾﺿﺎﻧﺎت ) (Flooding attackاﻟﻔﻌﺎل ﻣﻊ ﺣﺟم أﺻﻐر ﺑﻛﺛﯾر .إذا ﻛﺎن اﻟﺿﺣﯾﺔ ﻟدﯾﮫ ﺑﻌض اﻟﺧدﻣﺎت اﻟﺗﻲ ﺗﻌﻣل واﻟﺗﻲ ﺗﺗطﻠب اﻟﻣزﯾد ﻣن اﻟوﻗت ﻟﻣﻌﺎﻟﺟﺔ اﻟطﻠب اﻟﺑﻌﯾد أﻛﺛر ﻣﺎ ﯾﻠزم ﻣن ﺗوﻟﯾد ھذا اﻟطﻠب ،أو ﯾرﺗﺑط ﺑﻣوارد ﻧﺎدره ﻋﻠﻰ اﻟﺧﺎدم ،ﺣﯾث ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم اﻻﺳﺗﻔﺎدة ﻣن ھذا اﻟﺗﺑﺎﯾن .ﺣﺗﻰ د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1019 رﺷﻘﺎت ﻧﺎرﯾﺔ ﻗﺻﯾرة أو ﻧﺎدرة ﻣن ﺣرﻛﺔ اﻟﻣرور اﻟﺿﺎرة اﻟﺗﻲ ﺗرﺗﺑط ﺑﻔﺎﻋﻠﯾﮫ ﺑﺎﻟﻣوارد اﻟﺣﯾوﯾﺔ .ﻣن اﻷﻣﺛﻠﺔ اﻷﻛﺛر ﺷﯾوﻋﺎ ھو ھﺟوم ،TCP SYN floodاﻟﺗﻲ ﺳوف ﺗوﺻف ﺑﺎﻟﺗﻔﺻﯾل ﻻﺣﻘﺎ .ﺣﯾث ﯾﻘوم اﻟﻣﮭﺎﺟم ﺑﺈﻏراق اﻟﺿﺣﯾﺔ ﻣﻊ ﺣزم ،TCP SYNواﻟﺗﻲ ﻋﺎدة ﻣﺎ ﯾﺳﺗﺧدم ﻟﺑدء اﺗﺻﺎل ﺟدﯾد .ﺗﺣﺗﻔظ اﻟﺿﺣﯾﺔ ﺑﺑﻌض اﻟذاﻛرة ) (buffer memoryﻓﻲ ﺣﺟم ﻣﺣدود ﻟﻛل طﻠﺑﺎت اﻻﺗﺻﺎل اﻟﺟدﯾدة ،ﻓﻲ ﺣﯾن أن اﻟﻣﮭﺎﺟم ﯾﻣﻛﻧﮫ أن ﯾرﺳل ھذه اﻟطﻠﺑﺎت دون أي ﺗﻛﻠﻔﺔ ﻓﻲ اﻟذاﻛرة .ھذا اﻟﺗﺑﺎﯾن ﯾﺳﺎﻋد اﻟﻣﮭﺎﺟم ﻋﻠﻰ ﺗﻌطﯾل أي اﺗﺻﺎل ﺟدﯾد ﺧﻼل اﻟﮭﺟوم ،ﻓﻲ ﺣﯾن أن ﻋدد ﻗﻠﯾل ﺟدا ﻣن ﺣزم TCP SYNﯾﺗم ارﺳﺎﻟﮭﺎ. ﺗوﺿﺢ ھذه اﻟﻣﻧﺎﻗﺷﺔ اﻟﺧط اﻟﻔﺎﺻل ﺑﯾن ھﺟﻣﺎت ﻧﻘﺎط اﻟﺿﻌف ) (vulnerability attackوھﺟوم اﻟﻔﯾﺿﺎﻧﺎت )،(flooding attacks وﯾﻣﻛن أن ﯾﻘﻊ اﻟﻌدﯾد ﻣن اﻟﮭﺟﻣﺎت ﺑﺷﻛل ﺟﯾد ﻓﻲ ﻛل ﻣن ﻓﺋﺎت ھﺟﻣﺎت ﻧﻘﺎط اﻟﺿﻌف ) (vulnerability attackوﻓﺋﺎت ھﺟوم اﻟﻔﯾﺿﺎﻧﺎت ).(flooding attacks ﺗوظﯾف وﻣراﻗﺑﺔ ﻣﺎﻛﯾﻧﺎت اﻟﮭﺟوم )(Recruiting and Controlling Attacking Machines ھﺟﻣﺎت DDoSﺗﺗطﻠب اﺷراك ﻋدة آﻻت ،واﻟﺗﻲ ﺳوف ﺗﻘوم ﺑﺈرﺳﺎل ھﺟوم ﺣرﻛﺔ اﻟﻣرور اﻟﻰ اﻟﺿﺣﯾﺔ .ﺗﻠك اﻵﻻت ﻻ ﺗﻧﺗﻣﻲ إﻟﻰ اﻟﻣﮭﺎﺟم. أﻧﮭﺎ ﻋﺎدة ﻣﺎ ﺗﻛون أﻧظﻣﺔ ﺿﻌﯾﻔﺔ ﻣﺿﻣوﻧﺔ ﻓﻲ اﻟﺟﺎﻣﻌﺎت واﻟﺷرﻛﺎت واﻟﻣﻧﺎزل؟ ﺣﺗﻰ ﻓﻲ اﻟﻣؤﺳﺳﺎت اﻟﺣﻛوﻣﯾﺔ .ﺣﯾث ﯾﻘوم اﻟﻣﮭﺎﺟم ﺑﺎﺧﺗراﻗﮭم، وﯾﺄﺧذ اﻟﺳﯾطرة اﻟﻛﺎﻣﻠﺔ ،وﻣن ﺛم ﺗﺣﺿﯾرھم ﻟﻠﮭﺟوم .ﻟذﻟك ،ﻛﺛﯾرا ﻣﺎ ﺗﺳﻣﻰ آﻻت اﻟﺗﻲ ﯾﺳﺗﺧدﻣﮭﺎ ﻓﻲ اﻟﮭﺟوم اﻟﺳﺎﺋرون ) ،(zombiesاﻟﺷﯾﺎطﯾن ) ،(daemonsاﻟﻌﺑﯾد ) ،(slavesأو اﻟوﻛﻼء ) .(agentsﻓﻲ ھذا اﻟﻛﺗﺎب ﺳوف ﻧﺳﺗﺧدم ﻣﺻطﻠﺢ اﻟوﻛﻼء ).(agents ﻛﯾف ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم اﻟﺗﺣﻛم ﻓﻲ اﻵﻻت اﻟﺗﻲ ﺗﻧﺗﻣﻲ ﻟﻶﺧرﯾن؟ اﻟوﻛﻼء ) (agentsﻋﺎدة ﻣﺎ ﯾﻛوﻧوا ذات إﻋداد أﻣﻧﻰ ﺳﯾﺊ؟ ﻟﯾس ﻟدﯾﮭم اﻟﺗﺻﺣﯾﺣﺎت اﻷﺧﯾرة ،وﺗﺣدﯾﺛﺎت اﻟﺑراﻣﺞ ،وأﻧﮭﺎ ﻟﯾﺳت ﻣﺣﻣﯾﺔ ﺑواﺳطﺔ ﺟدار اﻟﺣﻣﺎﯾﺔ أو اﻷﺟﮭزة اﻷﻣﻧﯾﺔ اﻷﺧرى ،أو ﻣﺳﺗﺧدﻣﯾﮭﺎ ﻗد ﺧﻣﻧت ﺑﺳﮭوﻟﺔ ﻛﻠﻣﺎت اﻟﺳر .اﻟﻣﮭﺎﺟم ﯾﺳﺗﻔﯾد ﻣن ھذه اﻟﺛﻘوب اﻟﻣﻌروﻓﺔ ﻟﻛﻲ ﯾﻘوم ﺑﺎﺧﺗراﻗﮭﺎ .اﻟﺑرﻣﺟﯾﺎت اﻟﻐﯾر ﻣﺣﻣﯾﺔ واﻟﻘداﻣﻰ ﻟدﯾﮭﺎ ﻧﻘﺎط ﺿﻌف ﻣﻌروﻓﺔ ﻣﻊ اﻟﻣﺂﺛر اﻟﺗﻲ ﻛﺗﺑت ﺑﺎﻟﻔﻌل .ھذه ﺗﻧﺗﻣﻲ إﻟﻰ ﻧوع ﻣﻌﯾن ﻣن ﻧﻘﺎط اﻟﺿﻌف؟ ﺑﻣﺟرد اﺳﺗﻐﻼﻟﮭﺎ ،ﻓﮭﻲ ﺗﺳﻣﺢ ﻟﻠﻣﮭﺎﺟم اﻟوﺻول اﻟﻐﯾر ﻣﺣدود إﻟﻰ اﻟﻧظﺎم ،ﻛﻣﺎ ﻟو ﻛﺎن ﻟدﯾﮫ ﺣﺳﺎب أﺣد اﻟﻣﺳؤوﻟﯾن .اﻟﺣﺳﺎﺑﺎت ﻣﻊ ﻛﻠﻣﺎت اﻟﺳر ﯾﺗم ﺗﺧﻣﯾﻧﮭﺎ ﺑﺳﮭوﻟﺔ ،ﻣﺛل ﻣﺟﻣوﻋﺎت ﻣن أﺳﻣﺎء اﻟﻣﺳﺗﺧدﻣﯾن أو ﻛﻠﻣﺎت اﻟﻘﺎﻣوس ،ﺗﺳﻣﺢ ﺑﺎﻟدﺧول ﺑﺳﮭوﻟﺔ ﻓﻲ اﻟﺟﮭﺎز .ھﻧﺎك ﻋدة أدوات ﻟﺗﺧﻣﯾن وﻛﺳر ﻛﻠﻣﺔ اﻟﺳر اﻟﺗﻲ ﻣن ﺷﺄﻧﮭﺎ أن ﺗﻛﺷف ﺑﺳرﻋﺔ إذا ﻛﺎن أي ﻣن اﻟﺣﺳﺎﺑﺎت ﻋﻠﻰ اﻟﻧظﺎم ﻟدﯾك ﺑﮫ ﻛﻠﻣﺎت ﻣرور ﺿﻌﯾﻔﺔ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل Phatbot ،ﺳوف ﯾﺣﺎول اﻻﺗﺻﺎل وﺗﺳﺟﯾل اﻟدﺧول إﻟﻰ Windowsﺑﺎﺳﺗﺧدام ﻣﺟﻣوﻋﺔ ﻣن ﻋدة ﻋﺷرات ﻣن اﺧﺗﯾﺎر ﻛﻠﻣﺎت اﻟﺳر اﻷﻛﺛر ﺷﯾوﻋﺎ .ﺣﺗﻰ ﻟو وﺟد ھذا اﻟﺑرﻧﺎﻣﺞ ﺣﺳﺎﺑﺎت اﻟﺗﻲ ﻟم ﯾﻛن ﻟدﯾك اﻣﺗﯾﺎزات اﻟﻣﺳؤول ،ﻓﮭذا اﻟوﺻول ﻻ ﯾزال ﯾﺳﺎء اﺳﺗﺧداﻣﮫ ﻟﮭﺟوم ،DDoSأو ﻣن ﺧﻼل اﺳﺗﻐﻼل ﻧﻘﺎط اﻟﺿﻌف أﺧرى ،ﯾﻣﻛن أن ﺗرﺗﻘﻲ إﻟﻰ ﻣﺳﺗوى اﻣﺗﯾﺎزات اﻟﻣﺳؤول. ﺑﻣﺟرد اﻛﺗﺳﺎب اﻟﻣﮭﺎﺟم اﻟﺳﯾطرة ﻋﻠﻰ اﻟﻣﺿﯾف ،ﻓﺎﻧﮫ ﯾﻘوم ﺑﺗﺛﺑﯾت DDoS attack agentوﯾﺗﺄﻛد أن ﻛل آﺛﺎر اﻻﻗﺗﺣﺎم ﻣﺧﻔﯾﺔ ﺟﯾدا وأن ﯾﺗم ﺗﺷﻐﯾل اﻻﻛواد اﻟﺑرﻣﺟﯾﺔ ﺣﺗﻰ ﺑﻌد إﻋﺎدة ﺗﺷﻐﯾل اﻟﺟﮭﺎز. ھﺟﻣﺎت DDoSﻛﺛﯾرا ﻣﺎ ﺗﻧطوي ﻋﻠﻰ ﻣﺋﺎت أو آﻻف ﻣن اﻟوﻛﻼء .ﺳﺗﻛون ﻣﻣﻠﺔ وﻣﺿﯾﻌﺔ ﻟﻠوﻗت إذا ﻛﺎن اﻟﻣﮭﺎﺟم ﯾﻘوم ﺑﺎﻗﺗﺣﺎم ﻛل ﻣﻧﮭﺎ ﯾدوﯾﺎ. ﺑدﻻ ﻣن ذﻟك ،ھﻧﺎك أدوات ﻣؤﺗﻣﺗﺔ ﻻﻛﺗﺷﺎف آﻻت اﻟوﻛﯾل اﻟﻣﺣﺗﻣﻠﺔ ،واﻗﺗﺣﺎﻣﮭم ،وﺗﺛﺑﯾت ﺷﻔرة اﻟﮭﺟوم ﺑﻧﺎء ﻋﻠﻰ أﻣر واﺣد ﻣن اﻟﻣﮭﺎﺟم ،وﺗﻘرﯾر ﻧﺟﺎح اﻟﻌودة إﻟﻰ ھﻧﺎ .ﯾﻣﻛن ﺑﺳﮭوﻟﺔ ﻟﮭذه اﻷدوات اﻟﺗﻲ ﯾﺗم ﺗﺣﻣﯾﻠﮭﺎ ﻣن اﻟوﯾب أو اﻟﺣﺻول ﻋﻠﯾﮭﺎ ﻣن ﻗﻧوات اﻟدردﺷﺔ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت. ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ﺗوظﯾف ﻣﺟﻣوﻋﺔ ﻣن اﻟوﻛﻼء ،اﻷدوات اﻵﻟﯾﺔ أﯾﺿﺎ ﺗﺳﮭﯾل اﻟﺳﯾطرة ﻋﻠﻰ ھذه اﻟﺷﺑﻛﺔ ﻣن ﺧﻼل ﺗﻌﻘب اﻟوﻛﻼء وﺗوﻓﯾر طرق ﺳﮭﻠﺔ ﻹﯾﺻﺎل اﻷواﻣر ﻟﮭم ﺟﻣﯾﻌﺎ ﻓﻲ وﻗت واﺣد .ﯾﺣﺗﺎج اﻟﻣﮭﺎﺟم ﻓﻘط إﺻدار أﻣر واﺣد ،ﺣﺗﻰ ﯾﺑدا ﺟﻣﯾﻊ اﻟوﻛﻼء ﺑدء ھﺟوم اﻟﻔﯾﺿﺎﻧﺎت ﻧظرا ﻟﻠﺿﺣﯾﺔ.
اﻹﺧﻔﺎء )(HIDING ﯾﺧﻔﻲ اﻟﻣﮭﺎﺟم ھوﯾﺗﮫ ﻋن طرﯾﻖ ﻧﺷر اﻟﻣزﯾد ﻣن ﻋدة طﺑﻘﺎت اﻟﻣراوﻏﺔ ﺑﯾن آﻟﺔ ﻟﮭﺎ وﻛﻼء .ﺣﯾث أﻧﮫ ﯾﺳﺗﺧدم آﻟﺔ واﺣده أو ﻋدة آﻻت ﻹرﺳﺎل اﻷواﻣر إﻟﻰ وﻛﻼء .وﺗﺳﻣﻰ ھذه اﻷﺟﮭزة اﻟﻣﻌﺎﻟﺟﺎت او اﻟرﺋﯾﺳﯾﺎت ) .(handlers or mastersﻓﻲ ھذا اﻟﻛﺗﺎب ﺳوف ﻧﺳﺗﺧدم ﻣﺻطﻠﺢ اﻟﻣﻌﺎﻟﺟﺎت ) .(handlersﯾوﺿﺢ اﻟﺷﻛل اﻟﺗﺎﻟﻲ ھذه اﻟﻌﻣﺎرة ﺑﯾن اﻟﻣﻌﺎﻟﺞ /اﻟوﻛﯾل ).(Handler/agent architecture
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1020
طﺑﻘﺔ أﺧرى ﻣن اﻟﻣراوﻏﺔ ﺗﺗﻛون ﻣن ﺗﺳﺟﯾل اﻟﻣﮭﺎﺟم إﻟﻰ ﻋدة آﻻت ﻓﻲ ﺗﺳﻠﺳل ،ﻗﺑل اﻟوﺻول إﻟﻰ اﻟﻣﻌﺎﻟﺟﺎت ) .(handlerوﺗﺳﻣﻰ ھذه اﻵﻻت اﻟوﺳﯾطﺔ ﺑﯾن ﺟﮭﺎز اﻟﻣﮭﺎﺟم واﻟﻣﻌﺎﻟﺟﺎت ) (handlerوﯾطﻠﻖ ﻋﻠﯾﮭﺎ ،stepping stonesﻛﻣﺎ ﯾﺗﺿﺢ ﻓﻲ اﻟﺷﻛل اﻟﺗﺎﻟﻲ.
ﺗﺳﺗﺧدم ﻛل ﻣن اﻟﻣﻌﺎﻟﺟﺎت ) (handlerو stepping stonesﻓﻲ ﻋرﻗﻠﺔ ﻣﺣﺎوﻻت اﻟﺗﺣﻘﯾﻖ .إذا ﻗﺎﻣت اﻟﺳﻠطﺎت ﺑﺗﺣدﯾد ﻣوﻗﻊ وﻓﺣص آﻟﺔ اﻟوﻛﯾل ،ﺣﯾث أن ﺟﻣﯾﻊ اﻻﺗﺻﺎﻻت ﺗﺷﯾر إﻟﻰ واﺣدة ﻣن اﻟﻣﻌﺎﻟﺟﺎت ) .(handlerﻣﻊ ﻣزﯾد ﻣن اﻟﻔﺣص ﻟﻠﻣﻌﺎﻟﺞ ) (handlerﻓﺎﻧﮫ ﺳوف ﯾﺷر إﻟﻰ ،stepping stonesوﻣﻧﮭﺎ إﻟﻰ stepping stonesآﺧر .إذا ﺗم ﺗﺣدﯾد stepping stonesﻣن ﻣﺧﺗﻠف اﻟﺑﻠدان واﻟﻘﺎرات )وھم ﻋﺎدة ﯾﻘوﻣون ﺑذﻟك( ،ﯾﺻﺑﺢ ﻣن اﻟﺻﻌب ﺟدا ﻣﺗﺎﺑﻌﺔ درب اﻟﻌودة إﻟﻰ آﻟﺔ اﻟﻣﮭﺎﺟم وﻛﺷف اﻟﻧﻘﺎب ﻋن ھوﯾﺗﮫ. وﺳﯾﻠﺔ أﺧرى ﻟﺣﺟب اﻟﮭﺟوم ھو ﻣن ﺧﻼل اﺳﺗﺧدام .IP Spoofingﻛل ﺣزﻣﮫ ﻓﻲ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﯾﺣﻣل ﺑﻌض ﻣﻌﻠوﻣﺎت اﻟﺗﺣﻛم اﻟﺗﻲ ﺗﺳﺑﻖ اﻟﺑﯾﺎﻧﺎت؟ .IP headerﺣﻘل واﺣد ﻓﻲ IP headerﯾدرج ﻓﯾﮫ ﻋﻧوان اﻟﻣرﺳل؟ وھو .source IP fieldھذه اﻟﻣﻌﻠوﻣﺎت ﯾﺗم ﻣﻠﺋﮭﺎ ﻣن ﻗﺑل اﻟﺟﮭﺎز اﻟذي ﯾرﺳل اﻟﺣزﻣﺔ )إﺟراء ﻣﻣﺎﺛل ﻟوﺿﻊ ﻋﻧوان اﻟﻣرﺳل ﻓﻲ اﻟﺑرﯾد إﻟﻛﺗروﻧﻲ( ،وﯾﺳﺗﺧدم ﻣن ﻗﺑل ﺟﮭﺔ أو أﺟﮭزة اﻟﺗوﺟﯾﮫ ﻓﻲ اﻟﻣﺳﺎر إﻟﻰ اﻟوﺟﮭﺔ ،ﺑﺈرﺳﺎل رد إﻟﻰ اﻟﻣﺻدر .اﻟﻣﮭﺎﺟﻣون ﻋﺎدة ﯾﻣﺿون ﻓﻲ ھذا اﻟﻣﺟﺎل ﻟﺗﺣﻘﯾﻖ اﻹﻓﻼت ﻣن اﻟﻌﻘﺎب ﻋن اﻟﮭﺟﻣﺎت وﻋرﻗﻠﺔ اﻛﺗﺷﺎف آﻻت اﻟوﻛﯾل .وذﻟك ﺑﺎﻧﺗﺣﺎل IPﻛﻣﺎ إﻧﮫ ﯾﻌﻘد إﻟﻰ ﺣد ﻛﺑﯾر ﺑﻌض ﻣﻧﺎھﺞ اﻟدﻓﺎع ﺿد DDoSواﻟﺗﻲ ﺗﻌﺗﻣد ﻋﻠﻰ ﻋﻧوان اﻟﻣﺻدر ﻟﻠﺗﻣﯾﯾز ﺑﯾن اﻟﻌﻣﻼء اﻟﺷرﻋﯾﯾن واﻟﻣﮭﺎﺟﻣﯾن .ﻣﻊ ،IP Spoofingاﻟﻣﮭﺎﺟم ﯾﻣﻛﻧﮫ ﺑﺳﮭوﻟﺔ ﻓرض ھوﯾﺔ ﻋﻣﯾل ﺷرﻋﻲ أو ﺣﺗﻰ اﻟﻌدﯾد ﻣﻧﮭم. إﺳﺎءة اﺳﺗﺧدام اﻟﺧدﻣﺎت اﻟﻣﺷروﻋﺔ )(MISUSING LEGITIMATE SERVICES IP spoofingﯾﺧﻠﻖ ﻓرﺻﺔ ﻟﻠﺧداع اﻷﺟﮭزة اﻟﻐﯾر ﻣﺧﺗرﻗﮫ واﻷﻣﻧﮫ ﺗﻣﺎﻣﺎ ﻓﻲ اﻟﻣﺷﺎرﻛﺔ ﻓﻲ ھﺟوم .DDoSاﻟﻣﮭﺎﺟم ﯾﺧﺗﺎر اﻟﺧدﻣﺔ اﻟﻣﺗﺎﺣﺔ ﻟﻠﺟﻣﮭور أو اﻟﺑروﺗوﻛول ،ﻣﺛل ﻧظﺎم اﺳم اﻟدوﻣﯾن ) ،(DNSوﯾب أو ﺑﯾﻧﺞ ،وﻣن ﺛم ﯾرﺳل طﻠﺑﺎت ﻋدﯾده ﻟﻠﺧدﻣﺔ ،وﺗزوﯾر ﻋﻧوان ﻣﺻدر اﻟﺿﺣﯾﺔ .ﺛم ﺗﻘوم اﻟﺧوادم/اﻟﻣﻠﻘﻣﺎت ﺑﺎﻟرد ﻣرة أﺧرى ﻋﻠﻰ اﻟﺿﺣﯾﺔ ،وھذا اﻟﻔﯾض ﻣن اﻟرد ﯾﺧﻠﻖ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ .وﯾﺳﻣﻰ ھذا اﻟﻧوع ﻣن اﻟﮭﺟوم ،reflection attackوﺗﺳﻣﻰ اﻟﺧوادم اﻟﻣﺷﺎرﻛﺔ ﻓﯾﮫ اﻟﻌﺎﻛﺳﺎت ) .(reflectorsھذا ﻟﮫ أھﻣﯾﺔ ﺧﺎﺻﺔ ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﻣﮭﺎﺟﻣﯾن واﻟﺧدﻣﺎت د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1021 اﻟﺗﻲ ﯾﻣﻛﻧﮭﺎ أن ﺗوﻟد ردود طوﯾﻠﺔ أو ﻋدﯾده ﻧﺎﺗﺟﮫ ﻣن طﻠﺑﺎت ﻗﺻﯾرة .وھذا ﻣﺎ ﯾﺳﻣﻰ ﺑﺎﻟﺗﺿﺧﯾم ) ،(amplificationوﺗﻣﻛن اﻟﻣﮭﺎﺟم ﻣن ﺧﻠﻖ ﺗﺄﺛﯾر ﺣﺟب اﻟﺧدﻣﺔ DDoSﻣﻊ ﺑﺿﻊ ﻣن اﻟﺣزم اﻟﺻﻐﯾرة. ﺗﺄﺛﯾرات اﻟﺗوزﯾﻊ )(Distribution Effects اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ) (Denial of serviceﻣن اﻟﻣﻣﻛن اﻟﻘﯾﺎم ﺑﮫ ﻣن دون اﺳﺗﺧدام ﺗﻘﻧﯾﺎت اﻟﺗوزﯾﻊ ) ،(DDoSﻟﻛﻧﮫ ﯾﺷﻛل ﺗﺣدﯾﺎ ﻟﻠﻣﮭﺎﺟﻣﯾن. ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﺗﺧﯾل أن ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ ﻋﻠﻰ أﺳﺎس اﻟﻔﯾﺿﺎﻧﺎت اﻟﻧﻘﻲ ) (pure floodingﯾﻧﺷﺄ ﻣن ﺟﮭﺎز واﺣد ذات وﺻﻠﺔ 10 ﻣﯾﻐﺎﺑت ﻓﻲ اﻟﺛﺎﻧﯾﺔ ،ﯾوﺟﮫ ﻧﺣو آﻟﺔ ﺿﺣﯾﺔ ﻟﮫ وﺻﻠﺔ ذات 100ﻣﯾﻐﺎﺑت ﻓﻲ اﻟﺛﺎﻧﯾﺔ .اﻟﻣﮭﺎﺟم ﻓﻲ ﻣﺣﺎوﻟﺔ ﻟﯾطﻐﻰ ﻋﻠﻰ راﺑط اﻟﺿﺣﯾﺔ ،ﻓﺈن اﻟﻣﮭﺎﺟم ﺳوف ﯾؤدى اﻟﻰ إﺣداث ﻓﯾﺿﺎﻧﺎت ﻟﻠﺷﺑﻛﺔ اﻟﺧﺎﺻﺔ ﺑﮫ وﺑﺎﻟﺗﺎﻟﻲ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ﻟﮫ .ﻟﺗﻌطﯾل اﺗﺻﺎﻻت اﻟﺿﺣﯾﺔ ﺑﻧﺟﺎح ،ﯾﺟب أن ﯾﻘوم اﻟﻣﮭﺎﺟم ﺑﺧرق ﺟﮭﺎز اﻟوﻛﯾل اﻟذي ﻟدﯾﮫ اﻟﻣزﯾد ﻣن ﻣوارد اﻟﺷﺑﻛﺔ ﻋن اﻟﺿﺣﯾﺔ .ﺗﺣدﯾد ﻣﻛﺎن واﻗﺗﺣﺎم ﻣﺛل ھذه اﻵﻟﺔ ﻗد ﯾﻛون أﻣرا ﺻﻌﺑﺎ. ﻣﻊ ذﻟك ،ﺑﺎﻟﻧظر ﻟﻣﺎ ﯾﺣدث إذا ﺗم ﺗﻧﻔﯾذ اﻟﮭﺟوم ﻧﻔﺳﮫ ﺑطرﯾﻘﺔ اﻟﺗوزﯾﻊ ) ،(DDoSﻣﺛﻼ ،ﻣن ﻗﺑل اﻟﻣﺋﺎت ﻣن اﻵﻻت .ﻛل ﺟﮭﺎز ﯾرﺳل اﻵن 1 ﻣﯾﻐﺎﺑت ﻓﻲ اﻟﺛﺎﻧﯾﺔ ﺗﺟﺎه اﻟﺿﺣﯾﺔ .ﻋﻠﻰ اﻓﺗراض أن ﺟﻣﯾﻊ آﻻت اﻟﻣﺋﺎت ﻟﮭﺎ ﺻﻼت 10ﻣﯾﻐﺎﺑت ﻓﻲ اﻟﺛﺎﻧﯾﺔ ،ﻓﺈن أﯾﺎ ﻣﻧﮭﺎ ﯾوﻟد ﻣﺎ ﯾﻛﻔﻲ ﻣن ﺣرﻛﺔ اﻟﻣرور ﻟﺗﺳﺑب ﺿررا ﺧطﯾرا ﻟﻠﺷﺑﻛﺔ اﻟﻣﺣﻠﯾﺔ اﻟﺧﺎﺻﺔ ﺑﮭﺎ .وﻟﻛن اﻹﻧﺗرﻧت ﺗوﻓر ﻛل ھﺟوم ﺣرﻛﺔ اﻟﻣرور ﻟﻠﺿﺣﯾﺔ ،ﻣﻣﺎ ﯾؤدى اﻟﻰ ﺳﺣﻖ اﻟوﺻﻼت اﻟﺧﺎص ﺑﺎﻟﺿﺣﯾﺔ .وھﻛذا ،ﯾﺗم رﻓض اﻟﺧدﻣﺔ ﻋن اﻟﺿﺣﯾﺔ ،ﻓﻲ ﺣﯾن أن اﻟﻣﮭﺎﺟم ﻻ ﯾزال ﯾﻌﻣل ﺑﻛﺎﻣل طﺎﻗﺗﮫ. اﻟﮭﺟوم اﻟﻘﺎﺋم ﻋﻠﻰ اﻟﺗوزﯾﻊ ) (DDoSﯾﺟﻠب ﻋددا ﻣن اﻟﻔواﺋد إﻟﻰ اﻟﻣﮭﺎﺟم ﺟﮭﺎز اﻟﺧﺎدم/اﻟﻣﻠﻘم اﻟﻧﻣوذﺟﻲ ﻟدﯾﮭﺎ اﻟﻛﺛﯾر ﻣن ﺗﻘﻧﯾﺎت اﻟﺣوﺳﺑﺔ واﻟذاﻛرة وﻣوارد ﻋرض اﻟﻧطﺎق ) (Bandwidthأﻛﺛر ﻣن ﺟﮭﺎزاﻟﻌﻣﯾل اﻟﻧﻣوذﺟﻲ .وﺑﺎﻟﺗﺎﻟﻲ ﻓﺈن اﻟﻣﮭﺎﺟم اﻟذي ﯾﺳﯾطر ﻋﻠﻰ ﺟﮭﺎز ﻋﻣﯾل واﺣد ﻓﻘط ﻓﺎﻧﮫ ﺳوف ﯾﺟد ﺻﻌوﺑﺔ ﻓﻲ ﺳﺣﻖ اﻟﻣوارد اﻟﻣوﺟودة ﻋﻠﻰ اﻟﺧﺎدم دون ﺳﺣﻘﮫ ﻧﻔﺳﮫ أوﻻ .ﺑﺎﺳﺗﺧدام اﻟﺗﻘﻧﯾﺎت اﻟﻣوزﻋﺔ ) ،(DDoSﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم ﻣﺿﺎﻋﻔﺔ اﻟﻣوارد ﻓﻲ ﻧﮭﺎﯾﺔ اﻟﮭﺟوم ،ﻣﻣﺎ ﯾﺳﻣﺢ ﻟﮫ أن ﯾﻧﻛر اﻟﺧدﻣﺔ ﻵﻻت أﻛﺛر ﻗوة ﻓﻲ ﻧﮭﺎﯾﺔ اﻟﮭدف. ﻟوﻗف ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ اﻟﺑﺳﯾط ﻣن وﻛﯾل واﺣد ،ﻓﺎن اﻟﻣداﻓﻊ ﯾﺣﺗﺎج إﻟﻰ ﺗﺣدﯾد اﻟوﻛﯾل وﻣن ﺛم اﺗﺧﺎذ ﺑﻌض اﻹﺟراءات اﻟﺗﻲ ﺗﻣﻧﻌﮫﻣن إرﺳﺎل ﻣﺛل ھذا اﻟﺣﺟم اﻟﻛﺑﯾر ﻣن ﺣرﻛﺔ اﻟﻣرور .ﻓﻲ ﻛﺛﯾر ﻣن اﻟﺣﺎﻻت ،اﻟﮭﺟوم ﻣن آﻟﺔ واﺣده ﯾﻣﻛن وﻗﻔﮭﺎ إﻻ إذا ﻛﺎن اﻟﻣﺳؤول ﻋن اﻟﺟﮭﺎز ﺑﺷري ،أو ﻣﺷﻐل اﻟﺷﺑﻛﺔ ،وﯾﺄﺧذ إﺟراءات .إذا ﻛﺎن ھﻧﺎك ،100 ،10أو 1،000ﻣن اﻟوﻛﻼء اﻟﻣﺷﺎرﻛﺔ ﻓﻲ اﻟﮭﺟوم ،ﻣﻊ ذﻟك ،ﻓﺎن ووﻗف أي واﺣد ﻣﻧﮭم ﻗد ﻻ ﺗﻘدم ﻓﺎﺋدة ﺗذﻛر ﻟﻠﺿﺣﯾﺔ .ﻓﻘط ﻣن ﺧﻼل وﻗف ﻣﻌظﻣﮭﺎ أو ﻛﻠﮭﺎ ﯾﻣﻛن اﻟﺗﺧﻔﯾف ﻣن ﺣدة ﺗﺄﺛﯾر ﺣﺟب اﻟﺧدﻣﺔ .ﺣﯾث أن اﻟﺣﺻول ﻋﻠﻰ اﻵﻻف ﻣن اﻟﻧﺎس ﻻﺗﺧﺎذ ﺑﻌض اﻹﺟراءات ﻟوﻗف ھﺟﻣﺔ ﻣن آﻟﺔ ﺑﮭم ﯾﺷﻛل ﺗﺣدﯾﺎ ھﺎﺋﻼ .ﻓﻲ ﺑﻌض اﻻﺣﯾﺎن ،ﯾﻘوم اﻟﻣداﻓﻌﯾن ﺑﻣﺣﺎوﻟﺔ ﺗﺣدﯾد ﻣوﻗﻊ اﻟﺟﮭﺎز اﻟﻣﻌﺎﻟﺞ ) (handlerوﻣن ﺛم اﺻدار واﻣر ﻣﻧﮫ ﻟﺟﮭﺎز اﻟوﻛﻼء ﻟوﻗف اﻟﻔﯾﺿﺎﻧﺎت .وھذه ﻣﮭﻣﺔ ﺻﻌﺑﺔ ،أﯾﺿﺎ ،ﺣﯾث ان اﻟﻣﮭﺎﺟم ﻗد ﯾﻛون ﯾﺳﺗﺧدم أﺟﮭزة ﻣﻌﺎﻟﺟﺎت ) (handlerﻣﺗﻌددة أو ﯾﺳﺗﺧدم ﺧدﻣﺔ ﻣﺷروﻋﺔ )ﻣﺛل (IRCﺑدﻻ ﻣن اﻟﻣﻌﺎﻟﺞ ) ،(handlerاو ان اﻷواﻣر اﻟﻣوﺟﮭﺔ ﻟﺟﮭﺎز اﻟوﻛﯾل ﻗد ﺗﻛون ﻣﺷﻔرة أو ﻣﺣﻣﯾﮫ ﺑﻛﻠﻣﺔ اﻟﺳر. إذا اﺧﺗﺎر اﻟﻣﮭﺎﺟم اﻟوﻛﯾل اﻟذي ﯾﻧﺗﺷر ﻋﻠﻰ ﻧطﺎق واﺳﻊ ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ،ﻓﺎن ﻣﺣﺎوﻻﺗﮫ ﻟوﻗف اﻟﮭﺟوم أﻛﺛر ﺻﻌوﺑﺔ،ﺣﯾث أن اﻟﻧﻘطﺔ اﻟوﺣﯾدة اﻟﺗﻲ ﯾدﻣﺞ ﻓﯾﮭﺎ ﺟﻣﯾﻊ ھﺟوم ﺣرﻛﺔ اﻟﻣرور ھﻲ ﻋﻠﻰ ﻣﻘرﺑﺔ ﻣن اﻟﺿﺣﯾﺔ .وﺗﺳﻣﻰ ھذه اﻟﻧﻘطﺔ ﻧﻘطﺔ اﻟﺗﺟﻣﯾﻊ. اﻟﻌﻘد اﻷﺧرى ﻓﻲ اﻟﺷﺑﻛﺔ ﻗد ﺗواﺟﮫ أي ﻋﻼﻣﺎت ﻣﻧﺑﮭﺔ ﻋن اﻟﮭﺟوم ،ورﺑﻣﺎ ﺗﺟد ﺻﻌوﺑﺔ ﻓﻲ اﻟﺗﻣﯾﯾز ﺑﯾن ﺣرﻛﺔ اﻟﻣرور اﻟﺧﺎﺻﺔ ﺑﺎﻟﮭﺟوم ﻋن ﺣرﻛﺔ اﻟﻣرور اﻟﻣﺷروﻋﺔ .وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺈﻧﮫ ﻻ ﯾﻣﻛن اﻟﻣﺳﺎﻋدة ﻓﻲ اﻟدﻓﺎع ﺿد ھذا اﻟﮭﺟوم. ﻓﻲ ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ اﻟذي ﺗم ﺗﻧﻔﯾذه ﻣن وﻛﯾل واﺣد ،ﻓﺎن اﻟﺿﺣﯾﺔ ﻗد ﯾﻛون ﻗﺎدر ﻋﻠﻰ اﻟﺗﻌﺎﻓﻲ ﻣن ﺧﻼل اﻟﺣﺻول ﻋﻠﻰ اﻟﻣزﯾد ﻣناﻟﻣوارد .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻗد ﯾﻛون ﻣﻠﻘم وﯾب اﻟذي ﺗم إﻏراﻗﮫ ﻗﺎدر ﻋﻠﻰ ﺗﺟﻧﯾد ﺧوادم ﻣﺣﻠﯾﺔ أﺧرى ﻟﻠﻣﺳﺎﻋدة ﻓﻲ اﻟﺗﻌﺎﻣل ﻣﻊ اﻟﺣﻣوﻟﺔ اﻻﺿﺎﻓﯾﺔ .ﺑﻐض اﻟﻧظر ﻋن ﻣدى اﻟﻘوة اﻟﺗﻲ ﻗد ﯾﻛون ﻋﻠﯾﮭﺎ وﻛﯾل واﺣد ،ﻓﺎن اﻟﻣداﻓﻊ ﯾﻣﻛﻧﮫ إﺿﺎﻓﺔ اﻟﻣزﯾد ﻣن اﻟﻘدرة ﺣﺗﻰ ﯾﻔوق ﻗدرة اﻟﻣﮭﺎﺟم ﻓﻲ ﺗوﻟﯾد اﻟﺣﻣوﻟﺔ .ھذا اﻟﻧﮭﺞ ھو أﻗل ﻓﻌﺎﻟﯾﺔ ﻓﻲ اﻟدﻓﺎع ﺿد ھﺟﻣﺎت .DDoSإذا ﻛﺎن اﻟﻣداﻓﻊ ﯾﺿﺎﻋف اﻟﻣوارد ﻟﻠﺗﻌﺎﻣل ﻣﻊ ﺿﻌف ﻋدد اﻟطﻠﺑﺎت ،ﻓﺎن اﻟﻣﮭﺎﺟم ﯾﺣﺗﺎج ﻓﻘط إﻟﻰ ﻣﺿﺎﻋﻔﺔ ﻋدد اﻟوﻛﻼء ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن؟ ﻣﮭﻣﺔ ﺳﮭﻠﺔ. ھﻧﺎك ﺟﺎﻧب آﺧر ﯾﺟﻌل ھﺟﻣﺎت ﻛل ﻣن DoSو DDoSﻣن اﻟﺻﻌب اﻟﺗﻌﺎﻣل ﻣﻌﮭﺎ :اﻟدﻓﺎﻋﺎت اﻟﺗﻲ ﺗﻌﻣل ﺑﺷﻛل ﺟﯾد ﺿد اﻟﻌدﯾد ﻣن أﻧواع أﺧرى ﻣن اﻟﮭﺟﻣﺎت ﻟﯾﺳت ﻓﻌﺎﻟﺔ ﺑﺎﻟﺿرورة ﺿد اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ .ﻟﺳﻧوات ،ﻗد ﻧﺻﺢ ﻣﺳؤوﻟﻲ اﻟﻧظﺎم ﻟﺗﺛﺑﯾت ﺟدار اﻟﺣﻣﺎﯾﺔ واﻟﺣﻔﺎظ ﻋﻠﻰ ﺗﻛوﯾﻧﮫ ﺣﺗﻰ اﻵن ،ﻹﻏﻼق اﻟﻣﻧﺎﻓذ اﻟﻐﯾر ﺿرورﯾﺔ ﻋﻠﻰ ﺟﻣﯾﻊ اﻵﻻت ،اﻟﺣﻔﺎظ ﻋﻠﻰ اﻟﺗﺻﺣﯾﺣﺎت ) (Patchﻣن أﻧظﻣﺔ اﻟﺗﺷﻐﯾل واﻟﺑراﻣﺞ اﻟﮭﺎﻣﺔ اﻷﺧرى ،وﺗﺷﻐﯾل أﻧظﻣﺔ ﻛﺷف اﻟﺗﺳﻠل ﻻﻛﺗﺷﺎف أي ﻣن اﻟﮭﺟﻣﺎت اﻟﺗﻲ ﺗﻣﻛﻧت ﻣن اﺧﺗراق ﺣﺻون اﻟدﻓﺎع اﻟﺧﺎرﺟﻲ .وﻟﻛن ﻟﻸﺳف ،ھذه اﻹﺟراءات اﻷﻣﻧﯾﺔ ﻏﺎﻟﺑﺎ ﻟن ﺗﺳﺎﻋد ﺿد اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ .ﯾﻣﻛن أن ﯾﺗﻛون اﻟﮭﺟوم ﻣن ﺣرﻛﺔ اﻟﻣرور اﻟﺗﻲ ﯾﺟدھﺎ ﺟدار اﻟﺣﻣﺎﯾﺔ ﻣﻘﺑول، رﺑﻣﺎ ﻷﻧﮫ ﯾﺣﻣل ﺷﺑﮭﺎ ﻗرﯾﺑﺎ ﻣن ﺣرﻛﺔ اﻟﻣرور اﻟﻣﺷروﻋﺔ .ﺣﯾث ان ھﺟوم DoSﯾﺣﺗﺎج ﻓﻘط اﺳﺗﻧﻔﺎد ﻣوارد اﻟﺿﺣﯾﺔ ،ﯾﻣﻛن أن ﺗﻌﻣل ﻋﻠﻰ أي ﻣﻧﻔذ ﺗرك اﻟﺑﺎب ﻣﻔﺗوﺣﺎ ،ﺑﻣﺎ ﻓﯾﮭﺎ ﺗﻠك اﻟﺗﻲ ﯾﺟب أن ﺗﻛون ﻣﻔﺗوﺣﺔ ﻟﻌﻘدة ﻟﻠﻘﯾﺎم ﺑﺄﻋﻣﺎﻟﮫ اﻟﻌﺎدﯾﺔ .ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟﻣﯾن أداء ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ﻋﻠﻰ اﻷﺟﮭزة اﻟﺗﻲ ﻟﯾس ﻟﮭﺎ ﻧﻘﺎط اﻟﺿﻌف )ﻣن ﺗﻌرﯾف ﻣوﺣد ﻟﮭذا اﻟﻣﺻطﻠﺢ( ،ﻟذﻟك ﻓﺎن اﻟﺗﺻﺣﯾﺣﺎت ) (Patchesاﻟﻣﺳﺗﺧدﻣﺔ ﻹﻏﻼق ﻧﻘﺎط د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1022 اﻟﺿﻌف ﻗد ﻻ ﺗﺳﺎﻋد .أﯾﺿﺎ ،أﻧظﻣﺔ ﻛﺷف اﻟﺗﺳﻠل ذات دور ﻣﺣدود ﻓﻲ اﻟﺗﻌﺎﻣل ﻣﻊ ،DoSﻷﻧﮫ ،ﻋﻠﻰ ﻋﻛس اﻻﻗﺗﺣﺎم واﻟﺳرﻗﺔ ،ﺣﯾث أن ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ﻧﺎدرا ﻣﺎ ﺗﺧﻔﻲ ﻧﻔﺳﮭﺎ .ﺑﻌد ﻛل ﺷﻲء ،اﻟﻐرض ﻣﻧﮭﺎ ﻛﻠﮭﺎ ھو ﻗطﻊ اﻟﺗﺟﺎرة اﻟﻌﺎدﯾﺔ ،وھو اﻟﺣدث اﻟذي ﻋﺎدة ﻗد ﻻﺣظ. اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ :دﻋﺎﯾﺔ ام ﺣﻘﯾﻘﺔ )(DDOS: HYPE OR REALITY؟ اﻟﻣﺷﻛﻼت اﻟﻣوﺿﺣﺔ ﻓﻲ اﻟﻘﺳم اﻟﺳﺎﺑﻖ ﻗد ﺟﻌﻠت ھﺟوم DoSﺑﺎﻧﮫ ذات إﻣﻛﺎﻧﯾﺔ ﻣﺧﯾﻔﺔ .ﺑﻌد اﻟﺑﺎﺣﺛﯾن ﻓﻲ أﻣن اﻟﻛﻣﺑﯾوﺗر واﻟﺷﺑﻛﺔ ﯾدرﻛون اﻟﻛﺛﯾر ﻣن اﻻﺣﺗﻣﺎﻻت اﻟﻣﺧﯾﻔﺔ اﻟﺗﻲ ﻻ ﺗﺄﺗﻲ أﺑدا ﻟﺗﻣر ﻣرور اﻟﻛرام .ھل اﻟﺑﺎﺣﺛﯾن ﻓﻲ ﻣﺟﺎل اﻷﻣن ﯾﻘوﻣون ﻣﺟرد إﻧذار اﻟﺟﻣﮭور ﺑﺎدﻋﺎءات ﻣﺧﺎطر DoS؟ ﻟﻸﺳف ،ھﺟﻣﺎت DDoSﻟﯾﺳت ﺗﻛﮭﻧﺎت أو ﺧﯾﺎل .ﺣﯾث ﯾﺗم ﻗوﻋﮭﺎ ﻋﻠﻰ أﺳﺎس ﯾوﻣﻲ ،ﻣوﺟﮭﺔ ﺿد طﺎﺋﻔﺔ واﺳﻌﺔ ﻣن اﻟﻣواﻗﻊ .اﻟﻔﺻل اﻟﺗﺎﻟﻲ ﺳوف ﯾﺳرد ﺑﺎﻟﺗﻔﺻﯾل ،اﻟوﺿﻊ اﻟزﻣﻧﻲ ،وﻋدد ﻛﺑﯾر ﻣن اﻟﮭﺟﻣﺎت اﻟﺗﻣﺛﯾﻠﯾﺔ .ﺳﯾﺗرك ﺗﻔﺎﺻﯾل ھذه اﻟﮭﺟﻣﺎت إﻟﻰ ذﻟك اﻟﻔﺻل ،ﻓﻲ ﺣﯾن ﺳﯾﺗم ذﻛر ﺑﻌض اﻟﺗﻔﺎﺻﯾل ﻓﻲ ھذا اﻟﻔﺻل .ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ اﻟﻌدﯾد ﻣن اﻟﺣوادث اﻟﻣﻌروﻓﺔ ﻣن ھﺟﻣﺎت DDoSاﻟﺗﻲ ﺗم اﻹﺑﻼغ ﻋﻧﮭﺎ ﻋﻠﻰ ﻧطﺎق واﺳﻊ ﻓﻲ اﻟﺻﺣﺎﻓﺔ ،ھﻧﺎك دراﺳﺎت ﻋﻠﻣﯾﺔ ﻋن وﺗﯾرة ھذه اﻟﮭﺟﻣﺎت اﻟﺗﻲ ﺗﺛﺑت واﻗﻊ اﻟﻣﺷﻛﻠﺔ. ﻣﺎ ﻣدى ﺷﯾوع ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ )(HOW COMMON ARE DDOS ATTACKS؟ ھﻧﺎك ﺑﻌض أﺷﻛﺎل ﻣن اﻟﮭﺟﻣﺎت اﻹﻟﻛﺗروﻧﯾﺔ اﻟﺗﻲ ﺗﺗﻠﻘﻰ اﻟﻛﺛﯾر ﻣن اﻟدﻋﺎﯾﺔ ﻷﻧﮭﺎ ﺗوﻟد ﺑﺿﻌﺔ ﺣوادث رﻓﯾﻌﺔ اﻟﻣﺳﺗوى ،ﻋﻠﻰ اﻟرﻏم ﻣن أن ھذه اﻷﻧواع ﻣن اﻟﮭﺟﻣﺎت ﻻ ﺗﺣدث ﻓﻲ اﻟواﻗﻊ ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن .إﻻ إذا ﻛﺎﻧت ھذه اﻟﺣوادث ﺧﺎﺻﺔ ﻛﺎرﺛﯾﺔ ،واﻷﺛر اﻟﻛﻠﻲ ﻟﮭذه اﻟﮭﺟﻣﺎت ھو ذات ﺻﻠﮫ أﻛﺛر ﺑﺎﻟدﻋﺎﯾﺔ ﻋن اﻟﻛﻣﯾﺎت اﻟﻛﺑﯾرة ﻣن اﻷﺿرار اﻟﺗﻲ ﻟﺣﻘت اﻟﻌدﯾد ﻣن اﻟﺷرﻛﺎت أو اﻷﻓراد. ھﺟﻣﺎت DDoSﻻ ﺗﻧﺎﺳب ھذه اﻟﻔﺋﺔ .ﺣﯾث أظﮭر ﻋدد ﻣن اﻟدراﺳﺎت اﻟﺣدﯾﺛﺔ أن ھﺟﻣﺎت DDoSﺷﺎﺋﻌﺔ ﻟﻠﻐﺎﯾﺔ ﻓﻲ ﺷﺑﻛﺎت اﻟﯾوم .ﻧظرا ﻷﻧﮭﺎ ﻋﺎدة ﻣﺎ ﺗﻛون ﻓﻌﺎﻟﺔ ﺟدا وﻧﺎدرا ﻣﺎ ﯾﺗم اﻟﻘﺑض ﻋﻠﻰ اﻟﺟﻧﺎة ،ﺣﯾث ان ھﻧﺎك ﺳﺑب ﻟﻼﻋﺗﻘﺎد أﻧﮭﺎ ﺳوف ﺗﺻﺑﺢ أﻛﺛر ﺷﻌﺑﯾﺔ ﻓﻲ اﻟﻣﺳﺗﻘﺑل. ﻗﯾﺎس ﺗردد أي ﺷﻛل ﻣن أﺷﻛﺎل اﻟﮭﺟوم ﻓﻲ اﻹﻧﺗرﻧت ھو أﻣر ﺻﻌب ﻟﻠﻐﺎﯾﺔ .اﻟﺿﺣﺎﯾﺎ ﻻ ﯾدرﻛون داﺋﻣﺎ أﻧﮭم ﯾﺗﻌرﺿون ﻟﻠﮭﺟوم .ﺣﺗﻰ إذا ﻓﻌﻠوا ذﻟك ،ﻓﺈﻧﮭم ﻏﺎﻟﺑﺎ ﻣﺎ ﯾﻔﺷﻠوا ﻓﻲ اﻹﺑﻼغ ﻋن اﻟﮭﺟوم إﻟﻰ أي ﺳﻠطﺔ .وھﻧﺎك ﻋدد ﻣن اﻟﻣﻧظﻣﺎت ﺗﺳﺗﺧدم ﺗﻘﻧﯾﺎت اﻟﻣﺳﺢ )(survey techniques ﻟﻛﺳب ﺑﻌض اﻟﻧظرة اﻟﺛﺎﻗﺑﺔ ﻓﻲ اﻧﺗﺷﺎر أﻧواع ﻣﺧﺗﻠﻔﺔ ﻣن اﻟﮭﺟﻣﺎت اﻻﻟﻛﺗروﻧﯾﺔ وﻣﻘدار اﻟﺿرر اﻟذي ﯾﻘوﻣون ﺑﮫ .وﻣن اﻷﻣﺛﻠﺔ ﺗﻘرﯾر ﻣﻛﺗب اﻟﺗﺣﻘﯾﻘﺎت اﻟﻔﯾدراﻟﻲ اﻟﺳﻧوي ﻓﻲ اﻟﺟراﺋم اﻟﺣﺎﺳوﺑﯾﺔ ،اﺳﺗﻧﺎدا إﻟﻰ اﻟﻣﻌﻠوﻣﺎت اﻟﻣﻘدﻣﺔ ﻣن ﻗﺑل ﻣﺎ ﯾﻘرب ﻣن 500ﻣﻧظﻣﺔ .ﻓﻲ ﺗﻘرﯾر ﻋﺎم ،2004 ﻛﺎن ﻣﺎ ﯾﻘرب ﻣن ﺧﻣس اﻟﻣﺷﺎرﻛﯾن اﻟذﯾن ﻋﺎﻧوا ﻣن ﺧﺳﺎﺋر ﻣﺎﻟﯾﺔ ﻧﺗﯾﺟﺔ اﻟﺗﻌرض ﻟﮭﺟوم ﺣﺟب اﻟﺧدﻣﺔ .ﻛﺎن إﺟﻣﺎﻟﻲ اﻟﻣﺑﻠﻎ ﻟﺗﻛﺎﻟﯾف ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ﻟﮭذه اﻟﺷرﻛﺎت أﻛﺛر ﻣن 26ﻣﻠﯾون دوﻻر .ﻛﺎن ﺣﺟب اﻟﺧدﻣﺔ أﻛﺑر ﻣﺻدر ﻟﻠﺧﺳﺎرة اﻟﻣﺎﻟﯾﺔ ﺑﺳﺑب ﺟراﺋم اﻹﻧﺗرﻧت! وﻏﺎﻟﺑﺎ ﻣﺎ اﻧﺗﻘد ھذه اﻻﺳﺗطﻼﻋﺎت ﻻن ﻣﻧﮭﺎﺟﯾﺗﮭﺎ ﺗﺧﺿﻊ ﺣﺗﻣﺎ ﻟﻘﯾود ﻣﻌﯾﻧﺔ ،وﻟﻛن ھذه اﻟﺑﯾﺎﻧﺎت ﻧﺳﺑﯾﺎ ﻗﻠﯾﻠﮫ ﻋن اﻟﺣﻘﯾﻘﻲ. اﻷﺳﺎﻟﯾب اﻟﻣﺳﺗﺧدﻣﺔ ﻓﻲ ھذه اﻻﺳﺗطﻼﻋﺎت ﻻ ﺗﻔرق ﺑﯾن ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ اﻟﻣوزﻋﺔ ) (DDoSوھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ اﻟﻐﯾر ﻣوزﻋﮫ ) ،(DoSﺣﯾث أن اﻟﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﺳﺗﺧدﻣﺔ ﻓﻲ اﻟﺗﻣﯾﯾز ھﻲ ﻓﻲ ﻣﮭدھﺎ .ﻓﻲ ﻏﺿون ذﻟك ،اﺳﺗﺧدم اﻟﺑﺎﺣﺛون ﻣﺟﻣوﻋﺔ ﻣﺗﻧوﻋﺔ ﻣن اﻟﺗﻘﻧﯾﺎت ﻟﺗﻘدﯾر اﻟﺑﯾﺎﻧﺎت ﻋﻠﻰ وﺗﯾرة ھﺟﻣﺎت DDoSواﻟﺧﺻﺎﺋص اﻷﺧرى. ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻛﺎن Farnam Jahanianﻣن ﺟﺎﻣﻌﺔ ﻣﯾﺷﯾﻐﺎن ﻗﺎدر ﻋﻠﻰ ﻣراﻗﺑﺔ أﻧﺷطﺔ اﻟﺷﺑﻛﺔ ﻓﻲ ﻣزود اﻟﺧدﻣﺔ .MichNet ISP ﺣﯾث ﯾﻘدم ھذا ﺧدﻣﺔ ﻣزود اﻟﺷﺑﻛﺔ ISPﻟﻠﺣﻛوﻣﺔ واﻟﻣﻧظﻣﺎت اﻟﻐﯾر رﺑﺣﯾﺔ ﻓﻲ وﻻﯾﺔ ﻣﯾﺷﯾﻐﺎن ،ﺑﻣﺎ ﻓﻲ ذﻟك ﻣﻌظم اﻟﻣؤﺳﺳﺎت اﻟﺗﻌﻠﯾﻣﯾﺔ ﻓﻲ ﺗﻠك اﻟدوﻟﺔ .ﻋﻠﻰ ﻣدار اﻟﺳﺎﻋﺔ ،ﻗﺎم ﻓرﯾﻖ Jahanianﺑﺗﺟﻣﻊ اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﺗﺷﯾر إﻟﻰ أن ھﺟﻣﺎت DDoSﺷﺎﺋﻌﺔ ﺟدا وﻣﺗطورة ﻋﻠﻰ ﻧﺣو ﻣﺗزاﯾد. وﻟم ﺗﻧﺷر ﻧﺗﺎﺋﺞ Jahanianﻛﺎﻣﻠﺔ .وﻣﻊ ذﻟك ،ھﻧﺎك ﻋرض ﻟﺗﻐطﯾﺔ ﺑﻌض اﻟﻧﺗﺎﺋﺞ. ﺣﻘﻖ ﻋدد ﻣن اﻟﺑﺎﺣﺛﯾن ﻋن ﻣﺧﺗﻠف وﺳﺎﺋل اﻟﺗﻘﻧﯾﺔ ﻟﻼﺳﺗدﻻل ﻋن اﻟﻣﻌﻠوﻣﺎت ﺣول اﻧﺗﺷﺎر وطﺑﯾﻌﺔ ھﺟﻣﺎت DDoSﻓﻲ اﻹﻧﺗرﻧتCAIDA . )اﻟﺟﻣﻌﯾﺔ اﻟﺗﻌﺎوﻧﯾﺔ ﻟﺗﺣﻠﯾل ﺑﯾﺎﻧﺎت اﻹﻧﺗرﻧت } ، ({the Cooperative Association for Internet Data Analysisﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل، ﺗﺳﺗﺧدم ﺗﻘﻧﯾﺔ ﺗﺳﻣﻰ .backscatterﺣﯾث ﺗﺷﯾر اﻟﻧﺗﺎﺋﺞ أن ﺧﻼل ﻓﺗرة اﻟﻣراﻗﺑﺔ ﻟﻣدة ﺛﻼﺛﺔ أﺳﺎﺑﯾﻊ ﻓﻲ ﻋﺎم 2001ﻛﺎن ھﻧﺎك ﻧﺣو 4،000ﻣن ھﺟﻣﺎت DDoSﻓﻲ اﻷﺳﺑوع ﻋﻠﻰ ﻋﻘد اﻹﻧﺗرﻧت. ﻟﻌدة أﺳﺑﺎب ،أرﻗﺎم CAIDAھﻲ ﺑﺎﻟﺗﺄﻛﯾد أﻗل ﻣن اﻟواﻗﻊ .ﻧﺗﺎﺋﺞ Jahanianﯾﻣﻛن ﺗﻔﺳﯾرھﺎ ﻋﻠﻰ أﻧﮭﺎ ﺗﺷﯾر إﻟﻰ أن اﻟرﻗم000 ، CAIDA 4 ﻣن اﻟﮭﺟﻣﺎت أﺳﺑوﻋﯾﺎ ﺳوف ﺗﻛون أﻛﺛر واﻗﻌﯾﺔ إذا ﻛﺎﻧت 12،000ھﺟﻣﮫ ﻓﻲ اﻷﺳﺑوع ،ﺣﺗﻰ إﻧﻧﺎ ﺗرﻛﻧﺎ ﺟﺎﻧﺑﺎ ﻣن ﺑﻌض اﻟﻔﺋﺎت ﻣن ھﺟﻣﺎت .DDoSﻋﻼوة ﻋﻠﻰ ذﻟك ،ﺗﺷﯾر ﺑﯾﺎﻧﺎت أﺧرى أن ھﺟﻣﺎت DDoSأﺻﺑﺣت أﻛﺛر ﺷﯾوﻋﺎ ﻣﻧذ ﻋﺎم .2001 إذا ھﺟﻣﺎت DDoSﺷﺎﺋﻌﺔ ﺟدا ،ﻟﻣﺎذا ﻻ ﻧﺳﻣﻊ اﻟﻣزﯾد ﻋﻧﮭﺎ؟ اﻷدﻟﺔ اﻟﺗﻲ ﺟﻣﻌﺗﮭﺎ CAIDAو Jahanianﺗﺷﯾر إﻟﻰ أن ﻣﻌظم ھﺟﻣﺎت DDoSﺗطﻠﻖ ﺿد أھداف ﺻﻐﯾرة ﻧﺳﺑﯾﺎ )آﻻت اﻟﻣﻧزل ،ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل( ﻟﻔﺗرات ﻗﺻﯾرة .وﺗﻛﮭن اﻟﺑﻌض أن اﻟﻌدﯾد ﻣن اﻟﺣوادث ﺗﺗﻣﺛل ﻓﻲ ﻗراﺻﻧﺔ ﯾﮭﺎﺟﻣون ﺑﻌﺿﮭم اﻟﺑﻌض ،ﻋﻠﻰ اﻟرﻏم ﻣن وﺟود أدﻟﺔ ﻗﻠﯾﻠﺔ ﺟدا ﻋﻠﻰ اﻟﺗوﺻل إﻟﻰ أي اﺳﺗﻧﺗﺎج ﻗوي ﻋﻠﻰ ھذه اﻟﻧﻘطﺔ .ﯾﻣﻛن أن ﯾﺳﺑب ﻓﺗرات ﻗﺻﯾرة ﻣن ھﺟوم DDoSﻟﺗظﮭر أن ھﻧﺎك أﻛﺛر ﻣن ﺧﻠل ﻓﻲ ﺷﺑﻛﺔ أﺧرى .ﻋﻧدﻣﺎ ﯾﻧﻘر اﻟﻣﺳﺗﺧدم ﻋﻠﻰ راﺑط وﻻ ﯾﺗﻠﻘﻰ أي اﺳﺗﺟﺎﺑﺔ ﻟﻣدة د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1023 دﻗﯾﻘﺔ أو اﺛﻧﺗﯾن ،ﻣن اﻟﻣرﺟﺢ أن ﻧﺳﺗﻧﺗﺞ أن اﻟﻣﻠﻘم ﻣﺷﻐول أو أن ھﻧﺎك ﻣﺷﺎﻛل ازدﺣﺎم ﻓﻲ اﻟﺷﺑﻛﺔ اﻟﻌﺎﻣﺔ ،ﺑدﻻ ﻣن ذﻟك ﻓﺎﻧﮫ )أو ،ﻋﻠﻰ اﻷرﺟﺢ، ان اﻟﺧﺎدم( ﯾﻌﺎﻧﻲ ﻣن ھﺟوم .DDoSوھﻛذا ،ﻓﻲ ﻛﺛﯾر ﻣن اﻟﺣﺎﻻت ھﺟﻣﺎت DDoSﻗد ﺗﻣر ﻣن دون أن ﯾﻼﺣظﮭﺎ أﺣد. إذا ﻟم ﺗﻛن ﺣﺗﻰ ﻻﺣظت اﻟﻌدﯾد ﻣن اﻟﮭﺟﻣﺎت ،DDoSﻣﺎ ﻣدى اﻟﺟدﯾﺔ اﻟﺗﻲ ﯾﺟب أن ﻧﻌﺗﺑرھﺎ ﻣﺷﻛﻠﺔ؟ أوﻻ ،ھﻧﺎك ﻋدد ﻛﺑﯾر وﻣﺗزاﯾد ﻣن اﻟﺣوادث اﻟﺑﺎرزة ﻣن اﺳﺗﻣرار اﻟﮭﺟﻣﺎت اﻟﺧطﯾرة ،واﻟﻘوﯾﺔ ﻠ DDoSواﻟﺗﻲ ﺗﻌﻧﻲ ﺑوﺿوح رﻓض اﻟﺧدﻣﺔ ﻓﻲ اﻟﻣواﻗﻊ اﻟﮭﺎﻣﺔ .اﻟﺛﺎﻧﯾﺔ ،أن ﻧﺗذﻛر أن اﻟﮭﺟﻣﺎت اﻟﺻﻐﯾرة واﻟﻘﺻﯾرة ﻋﺎدة ﻣﺎ ﺗﻛون ﺻﻐﯾرة وﻗﺻﯾرة ﻷن ھذا ھو ﻣﺎ أراد اﻟﻣﮭﺎﺟم اﻟﻘﯾﺎم ﺑﮫ ،وﻟﯾس ﻣﺎ ﯾﻣﻛن أن ﯾﻔﻌﻠﮫ .ﺷﺑﻛﺔ وﻛﻼء DDoSﯾﻣﻛن أن ﯾﺳﺗﻣر ھﺟوﻣﮭم ﻟﺳﺎﻋﺎت ،أو رﺑﻣﺎ ﺣﺗﻰ أﺟل ﻏﯾر ﻣﺳﻣﻰ .وﯾﻣﻛن ﺑﺳﮭوﻟﺔ ﻗﯾﺎم اﻟﻣﮭﺎﺟﻣﯾن ﺑﺟﻣﻊ ﺟﯾوش ﻣن اﻟوﻛﻼء ﺿﺧﻣﺔ. ﺗﻘﻧﯾﺎت ﺑﺎﻟﻔﻌل ﻣﻌروﻓﺔ وذات ﻓﻌﺎﻟﯾﺔ .ﻛل ﻣﺎ ﺗﺑﻘﻰ ھو اﻟداﻓﻊ اﻟﻛﺎﻓﻲ ﻟﮭم ﻟﯾﺗم اﺳﺗﺧداﻣﮭﺎ ﻋﻠﻰ ﻧطﺎق واﺳﻊ ﻷﻏراض ﺗدﻣﯾرﯾﺔ. ﺣﺟم ھﺟﻣﺎت DDOS آﺧر ﺑﻌد ﻣﺣﺗﻣل ﻗﺎﺑل ﻟﻠﻘﯾﺎس ﻋن ھﺟوم DDoSھو ﺣﺟﻣﮭﺎ .ﺣﺟم اﻟﮭﺟوم ﯾﻣﻛن ﻗﯾﺎﺳﮫ ﻓﻲ ﺣرﻛﺔ اﻟﻣرور اﻟﺗﻲ ﯾﻘوم ﺑﺗوﻟﯾدھﺎ أو ﻓﻲ ﻋدد اﻟﻣواﻗﻊ اﻟﻣﺷﺎرﻛﺔ ﻓﻲ اﻟﮭﺟوم .ﻓﺈﻧﮫ ﯾﻣﻛن أﯾﺿﺎ أن ﺗﻘﺎس ﻣدﺗﮫ ،ﺳﻣﺔ ﺑﻌض اﻟدراﺳﺎت اﻟﺗﻲ ﻗد ﺗﻧﺎوﻟت .DoS اﻟﻘدرات اﻹﺣﺻﺎﺋﯾﺔ اﻟﻣدﻣﺟﺔ ﻓﻲ اﻷداة Shaft attack toolﺳﻣﺣت ﻟﻠﺑﺎﺣﺛﯾن ﻟﺗﻘدﯾر ﺣﺟم اﻟﮭﺟوم ﻓﻲ أواﺧر ﻋﺎم ،1999وﺟدت 4.5 ﻣﯾﻐﺎﺑت ﻓﻲ اﻟﺛﺎﻧﯾﺔ ﺗﻧﺑﺛﻖ ﻣن وﻛﯾل واﺣد ﻓﻲ ﺷﺑﻛﺔ ﻣن ﺣواﻟﻲ 100ﻣن اﻟوﻛﻼء .أﯾﺿﺎ MultiRouter Traffic Grapher (MRTG) ،ﻗﺎﻣت ﺑﻘﯾﺎس ھﺟوم ﻓﻌﻠﻲ ﻣﺎﯾو 2001ﺣﯾث ﺟﻣﻌت ﻋﻠﻰ ﻣﻘرﺑﺔ ﻣن اﻟﻣوﻗﻊ اﻟﻣﺳﺗﮭدف ﺗوﻓﯾر أﻗل ﺗﻘدﯾر ﻟﺣﺟم ﺣرﻛﺔ اﻟﻣرور اﻟواردة ﻓﻘدرت ﺑﺣواﻟﻲ 25ﻣﯾﻐﺎﺑت ﻓﻲ اﻟﺛﺎﻧﯾﺔ .وﯾرﺟﻊ ذﻟك إﻟﻰ أن ﻣﻌدات اﻟﻘﯾﺎس ﺗﻧﮭﺎر ﺑﺷﻛل ﻣﺗﻘطﻊ ﺗﺣت ﻋبء ﺛﻘﯾل ﻋﻠﻰ أﻗل ﺗﻘدﯾر. ھﺟﻣﺎت DDoSاﻟﺗﻲ اﺗﺧذت ﻣن وﺻﻼت ﺷﺑﻛﺔ واﺳﻌﺔ ﻓﻲ اﻟﻣﺎﺿﻲ ،ﻣﺛل ھﺟوم ﻋﻠﻰ Uecommاﻻﺳﺗراﻟﻲ ﻗد ﺷﻣﻠت ﻛﻣﯾﺎت ﺗﺻل إﻟﻰ .pps 600،000ﻓﻲ اﻟﮭﺟﻣﺎت اﻟﺗﻲ ﻗﺎﻣت ﻋﻠﻰ ﺧوادم DNSاﻟﺟذرﯾﺔ ﻓﻲ ﻋﺎم ،2002ﺗﻠﻘﻰ ﻛل ﺧﺎدم ﻣن 100،000إﻟﻰ .pps 200،000 ﻓﻲ ﺑﻌض اﻟﺣﺎﻻت ،ﻣﺛل اﻟﮭﺟوم ﻋﻠﻰ ﻗﻧﺎة اﻟﺟزﯾرة ) (Al-Jazeera attackﻓﻲ ﻋﺎم ،2003ﺣﯾث أﺿﺎف اﻟﻣﮭﺎﺟﻣﯾن ﺣﺟم اﻟﮭﺟوم وأﺿﺎف اﻟﻣداﻓﻌﯾن اﻟﻘدرة ﻋﻠﻰ اﻟﺗﻌﺎﻣل ﻣﻊ ﺣرﻛﺔ اﻟﻣرور .ھذا ﯾدل ﻋﻠﻰ أن اﻟﻣﮭﺎﺟﻣﯾن ﯾﻣﻛﻧﮫ ﺑﺳﮭوﻟﺔ زﯾﺎدة ﻗوة اﻟﮭﺟوم ﻋﻧد اﻟﺿرورة ،وﺑﺎﻟﺗﺎﻟﻲ ﻓﺈن ﻗﯾﺎس ﻣﻘﺎدﯾر اﻟﮭﺟوم ﻟدﯾﮫ ﻟﻠﻘﯾﺎم ﻣﻣﺎ ﯾﺷﻌر ﺑﮫ اﻟﻣﮭﺎﺟم ﻣﺎ ھو ﻣطﻠوب أﻛﺛر ﻣن اﻟﺣد اﻷﻗﺻﻰ اﻟذي ﻣن اﻟﻣﻣﻛن أن ﯾوﻟد .ﻓﻲ اﻟواﻗﻊ ،اﻟﻌدﯾد ﻣن اﻟﮭﺟﻣﺎت ﻋﻠﻰ وﺟﮫ اﻟﺗﺣدﯾد اﺳﺗﺧدﻣت ﻣﺟﻣوﻋﺔ ﻣن اﻟﺷﺑﻛﺎت اﻟﻣﻧﻔﺻﻠﺔ ﻟﮭﺟوم ﻣﺗوﺳطﺔ اﻟﺣﺟم وذﻟك ﻟﻌدم ﻓﺿﺢ ﻛل ﻣﻧﮭم ﻓﻲ وﻗت واﺣد .ﻟﻘد ﺗﻌﻠم اﻟﻛﺛﯾر ﻣن اﻟﻣﮭﺎﺟﻣﯾن ﻣؤﺧرا ﻋدم اﻹﺳراف ﻓﻲ اﺳﺗﺧدام ﻛل ﻣواردھﺎ ﻓﻲ وﻗت واﺣد وﺑدﻻ ﻣن ذﻟك ﺗﻛﺛﯾف ھﺟوم ﺑﺑطء ﻟﺗﻌظﯾم ﻣﺗﻰ ﯾﻣﻛن اﻟﺣﻔﺎظ ﻋﻠﻰ اﻟﮭﺟوم ﻓﻲ ﻣواﺟﮭﺔ اﺳﺗﻧزاف اﻟوﻛﻼء. ﻧﮭﺞ backscatterاﻟﺗﻲ اﺳﺗﺧدﻣﺗﮭﺎ CAIDAﯾﻣﻛﻧﮭﺎ أﯾﺿﺎ ﺗﻘدﯾر ﺣﺟم اﻟﮭﺟﻣﺎت .ﻣﻊ ﻣراﻋﺎة ﺑﻌض اﻟﻘﯾود ﻋﻠﻰ اﻟﻧﮭﺞ اﻟذي ﻗد ﯾؤدي إﻟﻰ اﻟﺗﮭوﯾن ،ﻧﺻف اﻟﮭﺟﻣﺎت اﻟﺗﻲ ﻻﺣظت ﺗﺳﺑب ﺣﺟم ﻣن pps 350أو أﻛﺛر .اﻋﺗﻣﺎدا ﻋﻠﻰ ﻗدرات اﻟﮭدف ،وﻧوع اﻟﺣزﻣﺔ ،ودﻓﺎﻋﺎت اﻟﮭدف، وھذا اﻟﺣﺟم ﻏﺎﻟﺑﺎ ﻣﺎ ﯾﻛون ﻛﺎﻓﯾﺎ ﻟﺣرﻣﺎن اﻟﺧدﻣﺔ .أﻛﺑر ﻛﻣﯾﮫ اﺳﺗﻧﺗﺎﺟﮭﺎ CAIDAھو ﻣﺋﺎت اﻵﻻف ﻣن اﻟﺣزم ﻓﻲ اﻟﺛﺎﻧﯾﺔ اﻟواﺣدة .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻓﻲ ھﺟﻣﺎت TCP SYN Floodﺿد SCOﻓﻲ دﯾﺳﻣﺑر ،2003ﺣﯾث ﻗدرت CAIDAأن ﻣﻠﻘﻣﺎت SCOﺗﻠﻘت ﻣﺎ ﯾﺻل إﻟﻰ pps 50،000ﻋﻧد ﻧﻘطﺔ واﺣدة واﻟﺗﻌﺎﻣل ﻣﻊ ﻣﺎ ﻣﺟﻣوﻋﮫ أﻛﺛر ﻣن 700ﻣﻠﯾون ﻣن اﻟﺣزم ﻓﻲ ھﺟوم ﻋﻠﻰ ﻣدى 32ﺳﺎﻋﺔ ﻓﻲ ﻛل دوره .ﻗﺎﻣوا ﺑﺣﺳﺎب اﻟﻣﻌدل اﻟذروة ھذا " pps 50،000ﻣﺎ ﯾﻘرب ﻣن 20ﻣﯾﻐﺎﺑت /ﺛﺎﻧﯾﺔ ﻣن ﺣرﻛﺔ اﻟﻣرور ﻋﻠﻰ اﻹﻧﺗرﻧت ﻓﻲ ﻛل اﺗﺟﺎه ،ﻣﻣﺎﺛﻠﺔ ﻟﻧﺻف ﻗدرة ﺧط ) DS3ﺣواﻟﻲ 45ﻣﯾﻐﺎﺑت /ﺛﺎﻧﯾﺔ(". ﻣن ﺣﯾث اﻟﻧظر اﻟﻰ ﻋدد اﻵﻻت اﻟﺗﻲ ﺗﺷﺎرك ﻓﻲ ھﺟوم ،ﻓﺎن اﻹﺣﺻﺎءات ھﻲ أﺻﻌب ﺑﻛﺛﯾر ﻟﺗﺄﺗﻲ ﺑﮭﺎ اﻟﻰ ھﻧﺎ .وﯾﺗﺿﺢ ﻣن اﻷدﻟﺔ اﻟﺗﻲ ﺟﻣﻌﺗﮭﺎ ﺟﺎﻣﻌﺔ ﻣﯾﻧﯾﺳوﺗﺎ ،اﻟﺗﻲ ﻋﺎﻧت ﻣن ھﺟﻣﺎت DDoSاﻷوﻟﻰ ﻓﻲ ﻋﺎم ،1999أن ﺷﺑﻛﺎت ھﺟوم DDoSﯾﻣﻛن ﺗﺟﻣﯾﻌﮭﺎ ﻣن أﻛﺛر ﻣن 2،200 أﻧظﻣﺔ ﺑﺎﺳﺗﺧدام أﺳﺎﻟﯾب ﺗوظﯾف اﻟوﻛﯾل اﻵﻟﻲ ﺟزﺋﯾﺎ ﻓﻘط .ﻟﻘد ﺗم ﻣﻌرﻓﺔ ھذا اﻟﺣد اﻷدﻧﻰ ﻷن ذﻟك اﻟﮭﺟوم ﻟم ﯾﺳﺗﺧدم .IP Spoofingﻓﻲ ﺑﻌض اﻟﮭﺟﻣﺎت اﻟﺗﻲ ﺗﺳﺗﺧدم ﺷﻛﻼ ﻣن أﺷﻛﺎل ،IP Spoofingﻣﺟرد إﺣﺻﺎء ﻋدد ﻋﻧﺎوﯾن IPاﻟﺗﻲ ﻟوﺣظت ﺧﻼل ھﺟوم DDoSﻣﻌﯾن ﻓﺈﻧﮭﺎ ﺳوف ﺗوﺿﺢ ﺑﺷﻛل ﺻﺎرخ ﻋدد اﻟﻌﻘد اﻟﻣﻌﻧﯾﺔ. ﺛﻣﺔ ﻧﮭﺞ آﺧر ﻟﻼﺳﺗدﻻل ﻋﻠﻰ ﻋدد اﻵﻻت ﻣن اﻟﺣﺟم اﻟﻣﻠﺣوظ .ﻗدر أﻛﺑر ﻣﻌدل اﻟﮭﺟوم ﻻﺣظﺗﮫ CAIDAأن ﯾﻛون .pps 679،000ﻛم ﻋدد اﻟﺣزم اﻟﺗﻲ ﯾﻣﻛن أن ﺗوﻟدھﺎ اﻵﻟﺔ ﻓﻲ اﻟﺛﺎﻧﯾﺔ اﻟواﺣدة ﯾﻌﺗﻣد ﻋﻠﻰ ﻋدة ﻋواﻣل ،ﺑﻣﺎ ﻓﻲ ذﻟك ﺳرﻋﺔ وﺣدة اﻟﻣﻌﺎﻟﺞ اﻟﻣرﻛزﯾﺔ ،واﻻﺗﺻﺎل ﺑﺎﻟﺷﺑﻛﺔ. اﻵﻻت ﻣﻊ وﺻﻼت 10ﻣﯾﻐﺎﺑت ﻓﻲ اﻟﺛﺎﻧﯾﺔ إﻟﻰ اﻹﻧﺗرﻧت ،ﺗوﻟد pps 20،000ھو ﻋﻠﻰ اﻻرﺟﺢ أﻗرب ﻷﻗﺻﻰ ﻗدرﺗﮫ .ﺣﺗﻰ ﻟو اﻓﺗرﺿﻧﺎ اﻧﮫ ﺗم ﺗﻧﻔﯾذ أﻛﺑر ھﺟوم واﻟذي ﻗد ﻻﺣظﺗﮫ CAIDAﻣن ﻗﺑل ﻣﺟﻣوﻋﺔ ﻣن ھذه اﻷﺟﮭزة ،ﻛﺎن ﻻﺑد ﻋﻠﻰ اﻷﻗل 30أو 40ﻣن ﻋدد اﻵﻻت ھﻧﺎك .ﻋن ھﺟوم ﻣﻠﻘم DNSاﻟﻣذﻛورة أﻋﻼه ،ﻛﺎن ﻻﺑد ﻋﻠﻰ اﻷﻗل 90ﻣﻧﮭم ھﻧﺎك .اﻟﻌدﯾد ﻣن اﻷﺟﮭزة ﻟدﯾﮭﺎ ارﺗﺑﺎطﺎت اﻹﻧﺗرﻧت ذات ﺳرﻋﺔ ﻗﻠﯾﻠﮫ، وﺳﯾﻛون ﻓﻲ ﺣﺎﻟﺔ اﺳﺗﺧدام ھذه اﻵﻻت ﻛوﻛﻼء ،ﻓﺎﻧﮫ ﯾﺣﺗﺎج اﻟﻛﺛﯾر ﻣﻧﮭم ﻟﺗﺣﻘﯾﻖ ھذه اﻟﻣﻌدﻻت .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،إذا اﺳﺗﺧدﻣت ﺟﻣﯾﻊ اﻟوﻛﻼء د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1024 وﺻﻼت اﻧﺗرﻧت 56ﻛﯾﻠوﺑت ﻓﻲ اﻟﺛﺎﻧﯾﺔ ،ﻓﻲ أﻛﺑر ھﺟوم ﻣﻠﺣوظ ﻣن ﻗﺑل CAIDAﻓﺎﻧﮫ ﻗد ﯾﺷﺎرك ﻣﺎ ﻻ ﯾﻘل ﻋن 5،800ﻣن اﻟوﻛﻼء .اﻟﻌدد اﻟﻔﻌﻠﻲ ﻟﻠﻌواﻣل اﻟﻣﺳﺗﺧدﻣﺔ ﻓﻲ ھذا اﻟﮭﺟوم ھو ﻋﻠﻰ اﻻرﺟﺢ ﺑﯾن ھذه اﻷرﻗﺎم .ﻓﻲ اﻟﮭﺟﻣﺎت اﻟﻣﻧﻌﻛﺳﺔ ) ،(Reflected attacksﺣﯾث ﯾرﺳل اﻟﻣﮭﺎﺟم ﺣزم ھﺟوم ﻣزورة واﻟﺗﻲ ﺗﻧﻌﻛس ﻣن ﻋدد ﻛﺑﯾر ﺟدا ﻣن اﻟﺧوادم اﻟﻣﺷروﻋﺔ ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم ،واﻟﺗﻲ ﺑدورھﺎ ﺗؤدى اﻟﻰ ﺗﺿﺧﯾم اﻟﮭﺟوم .واﺣد ﻣﺛل ھذا اﻟﮭﺟوم ﺿد futuresite.register.comأﻧطوي ﻋﻠﻰ ﻋدد ﻗﻠﯾل ﺟدا ﻣن اﻟﻣﮭﺎﺟﻣﯾن ،وﻟﻛن ﻛﺎن ﻻ ﯾزال ﻗﺎدرا ﻋﻠﻰ ﺗوﻟﯾد 90-60ﻣﻠﯾون ﺑت ﻓﻲ اﻟﺛﺎﻧﯾﺔ ﻹﻏراق اﻟﺿﺣﯾﺔ. ﻗد ﯾﺗﺳﺎءل اﻟﻣرء أﯾن ﺗﺄﺗﻲ اﻟوﻛﻼء ﻓﻲ ھﺟوم .DDoSﯾﻌﺗﻘد ﻣﻌظم اﻟﺧﺑراء أن ﻋدد ﻗﻠﯾل ﺟدا ﻣن اﻟﻣﮭﺎﺟﻣﯾن ﯾﺳﺗﺧدﻣون أﺟﮭزﺗﮭم اﻟﺧﺎﺻﺔ ﻹطﻼق ھﺟﻣﺎت ،DDoSﻷن ذﻟك ﻣن ﺷﺄﻧﮫ أن ﯾزﯾد ﻣن ﺧطر اﻟوﻗوع .ﺑدﻻ ﻣن ذﻟك ،ﻓﺄﻧﮭﺎ ﺗﺳﺗﺧدم اﻷﺟﮭزة اﻷﺧرى ﻋن ﺑﻌد واﺳﺗﺧداﻣﮭﺎ ﻟﺷن اﻟﮭﺟوم .إذا اﻟﻣﺳﺎوﻣﺔ ﻋﻠﻰ ﺟﮭﺎز ﺑﻌﯾد ﻋﻣﻠﯾﺔ ﺻﻌﺑﺔ ﺗﺗطﻠب اﻟذﻛﺎء اﻟﺑﺷري ،ﻓﺈن ھذا اﻟﻌﺎﻣل ﯾﺣد ﻣن ﺧطورة ﺗﮭدﯾد .DDoSوﻣﻊ ذﻟك، ﻓﻘد أﺛﺑﺗت اﻟﺗﺟرﺑﺔ أن اﻟﺗﻘﻧﯾﺎت اﻟﺣﺎﻟﯾﺔ ھﻲ ﻓﻌﺎﻟﺔ ﻟﻠﻐﺎﯾﺔ ﻓﻲ اﻟﻣﺳﺎس ﺑﺎﻟﻣواﻗﻊ اﻟﻧﺎﺋﯾﺔ ،واﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻹطﻼق ھﺟﻣﺎت. DDoS ﻓﻘط ﻹﻋطﺎء ﻓﻛرة ﻛم ھو ﻣن اﻟﺳﮭل اﺧﺗراق ﻋدد ﻛﺑﯾر ﻣن اﻟﻣﺿﯾﻔﯾن ،ھﻧﺎ ﺑﻌض اﻷرﻗﺎم: أﻋﻠﻧت ﺷرﻛﺔ ﻣﺎﯾﻛروﺳوﻓت أن أداﺗﮭم MSBlast cleanupﺗم ﺗﺣﻣﯾﻠﮭﺎ واﺳﺗﺧداﻣﮭﺎ ﻟﺗﻧظﯾف ﺑﻧﺟﺎح 9.5ﻣﻼﯾﯾن ﻣن اﻟﻣﺿﯾﻔﯾن ﻓﻲاﻟﻔﺗرة ﻣن أﻏﺳطس 2003إﻟﻰ اﺑرﯾل ،2004ﻣﺎ ﯾﻘرب ﻣن ﺣواﻟﻲ 1ﻣﻠﯾون ﻣن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺧﺗرﻗﺔ ﺷﮭرﯾﺎ. أﻋﻠﻧت ﺷرﻛﺔ ﻣﺎﯾﻛروﺳوﻓت ﻓﻲ ﻣﺎﯾو 2004أﻧﮭﻣﺎ ﻗﺎﻣت ﺑﺗﻧظﯾف ﺣﺎول 2ﻣﻠﯾون Sasserﻣن اﻷﺟﮭزة اﻟﻣﺻﺎﺑﺔ اﻧظر اﻟﻰ اﻟراﺑطاﻟﺗﺎﻟﻲhttp://www.securityfocus.com/news/8573 : اﻟﺗﻘﺎرﯾر ذاﺗﮭﺎ اﻟﺗﻲ ﻗد ﺣددت ﺳﯾﻣﺎﻧﺗﯾك ﺣﯾث ﺣددت ﺷﺑﻛﺔ ﺑوت ﻣن 400،000ﻣﺿﯾف. ﻣﺳﺋوﻟﻲ اﻟﺷﺑﻛﺔ ﻓﻲ ھوﻟﻧدا ﻗﺎﻣوا ﺑﺗﺣدﯾد ﺑﯾن 1إﻟﻰ 2ﻣﻠﯾون ﻋﻧﺎوﯾن IPاﻟﻔرﯾدة اﻟﻣرﺗﺑطﺔ ﺑﻌدوى Phatbot. Phatbotﻟدﯾﮭﺎﻣﯾزات ﻟﺣﺻﺎد اﻟﻣﺿﯾﻔﯾن اﻟﻣﺻﺎﺑﯾن ﺒ ،MyDoom- and Bagelﻣن ﺑﯾن ﻧﺎﻗﻼت اﻟﻌدوى اﻷﺧرى. رﺑﻣﺎ اﻷﺳﻠوب اﻷﻛﺛر ﺷﯾوﻋﺎ ﻟﺗوظﯾف اﻟوﻛﻼء ھو ﺗﺷﻐﯾل ﺑرﻧﺎﻣﺞ اﻵﻟﻲ واﻟذي ﯾﻘوم ﺑﻔﺣص ﻧطﺎق ﻛﺑﯾر ﻣن ﻋﻧﺎوﯾن IPﻓﻲ ﻣﺣﺎوﻟﺔ اﻟﻌﺛور ﻋﻠﻰ اﻵﻻت اﻟﺗﻲ ھﻲ ﻋرﺿﺔ ﻷﺳﺎﻟﯾب ﻣﻌروﻓﺔ ﻣن اﻻﺧﺗراق .ھذه اﻟﺑراﻣﺞ ﯾطﻠﻖ ﻋﻠﯾﮭﺎ ،automated infection toolkits ،أو auto-rooters )ﺑﻌد اﺳﺗﺧدام rootﻛﺎﺳم ﻟﺣﺳﺎب ﻣﺳؤول اﻟﻧظﺎم ﻋﻠﻰ أﻧظﻣﺔ ﯾوﻧﻛس ،ﻓﺎن اﻟﻘراﺻﻧﺔ أﯾﺿﺎ ﯾﻌﻧوه ﻓﻌﻠﯾﺎ "ﺗﻘدﯾم ﺗﻧﺎزﻻت أو اﻟﺣﺻول ﻋﻠﻰ اﻣﺗﯾﺎزات ﻣرﺗﻔﻌﺔ"( ،ﻋﺎدة ﻣﺎ ﺗﻛون ﻧﺎﺟﺣﺔ ﺟدا ﻓﻲ اﻟﻌﺛور ﻋﻠﻰ أرﻗﺎم ﻛﺑﯾره ﻣن آﻻت اﻟﺿﻌﯾﻔﺔ ،وﻻ ﺳﯾﻣﺎ إذا ﺗم ﺗﺣدﯾﺛﮭﺎ ﻟﺗﺷﻣل ﻧﻘﺎط اﻟﺿﻌف اﻟﻣﻛﺗﺷﻔﺔ ﺣدﯾﺛﺎ اﻟﺗﻲ ھﻲ أﻗل ﻋرﺿﺔ ﻟﻠﺗﺻﺣﯾﺣﺎت ).(patches Ultimate in automationھو دودة اﻹﻧﺗرﻧت؟ ﺑرﻧﺎﻣﺞ ﯾﺑﺣث ﻋن آﻻت ذات ﻧﻘﺎط اﻟﺿﻌف وﯾﺻﯾب ﻣﻧﮭﺎ ﻣﻊ ﻧﺳﺧﺔ ﻣن اﻻﻛواد اﻟﺑرﻣﺟﯾﺔ اﻟﺧﺎﺻﺔ ﺑﮫ .اﻟدﯾدان ﺗﻧﺗﺷر ﺑﺳرﻋﺔ ﻓﺎﺋﻘﺔ .وﻗد اﺳﺗﺧدﻣت ﺑﻌض اﻟدﯾدان ﺟﯾوﺷﮭﺎ ﻣن اﻷﺟﮭزة اﻟﻣﺻﺎﺑﺔ ﺧﺻﯾﺻﺎ ﻷداء ھﺟﻣﺎت .DDoSﯾﻣﻛن ﻟﻠدودة ) (wormﺗﺣﻣﯾل اﻻﻛواد ﻻرﺗﻛﺎب ھﺟوم .DDoSﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﺗم ﺗﺻﻣﯾم ﻛود اﻟﺷﯾﻔرة اﻟﺣﻣراء ) (Code Redﻟﺗﻧﻔﯾذ ھﺟوم DDoSﻣن ﻛﺎﻓﺔ اﻟﻌﻘد ﻋﻠﻰ ﻋﻧوان IPﻣﻌﯾن .ﻧﺟﺣت ﻛود اﻟﺷﯾﻔرة اﻟﺣﻣراء ) (Code Redﻓﻲ اﺻﺎﺑﺔ أﻛﺛر ﻣن 250،000ﻣن آﻻت ،ﺣﺳب ﺑﻌض اﻟﺗﻘدﯾرات .أﺻﺎب ﻛود اﻟﺷﯾﻔرة اﻟﺣﻣراء (Code Red II) IIﻣﺎ ﯾﺻل إﻟﻰ 500،000ﻣن اﻵﻻت Sasser .ﻗﺎم ﺑﺈﺻﺎﺑﺔ -2ﻣﻠﯾون ﻋﻠﻰ اﻷﻗل ﻣن اﻟﻣﺿﯾﻔﯾن ،اﺳﺗﻧﺎدا اﻟﻰ ﺗﻘرﯾر ﻣﺎﯾﻛروﺳوﻓت .وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺈﻧﮫ واﻗﻌﻲ ﺗﻣﺎﻣﺎ ﺗﺻور ھﺟﻣﺎت DDoSﻣﻧﺷؤھﺎ ﻣﺋﺎت اﻵﻻف ،ﺑل اﻟﻣﻼﯾﯾن ﻣن اﻟﻧﻘﺎط ﻓﻲ اﻹﻧﺗرﻧت. ﻛﯾف ﺗﻛون ﻋرﺿﺔ ﻟﮭﺟﻣﺎت DDOS؟ إذا ﻛﻧت ﺗﻘﺑل أن ھﺟﻣﺎت DDoSﺗﺷﻛل ﺗﮭدﯾدا ﺣﻘﯾﻘﯾﺎ ﻟﺑﻌض ﻣواﻗﻊ اﻹﻧﺗرﻧت ،ﻓﺈن اﻟﺳؤال اﻟﺗﺎﻟﻲ اﻟﻣرﺟﺢ أن ﯾﺄﺗﻲ إﻟﻰ اﻟذھن ھو :ﻛﯾف ھو ﻣوﻗﻌﻲ؟ اﻹﺟﺎﺑﺔ اﻟﺑﺳﯾطﺔ ھﻲ أﻧﮫ إذا ﻛﻧت ﻣﺗﺻﻼ ﻣن ﻣوﻗﻌك إﻟﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ،ﻓﺈﻧك ھدﻓﺎ ﻣﺣﺗﻣﻼ ﻟﮭﺟوم .DDoSھﺟوم DDoSﯾﻣﻛن أن ﯾﺳﺗﮭدف أي ﻋﻧوان ،IPوإذا ﻛﺎن ھﺟوم ﻗوي ﺑﻣﺎ ﻓﯾﮫ اﻟﻛﻔﺎﯾﺔ ،ﻓﻣن اﻟﻣرﺟﺢ أن ﺗﻛون ﻧﺎﺟﺣﺔ .اﻟﺷرﻛﺎت اﻟﻛﺑﯾرة واﻟﺻﻐﯾرة ،وﻣﻘدﻣﻲ ﺧدﻣﺎت اﻹﻧﺗرﻧت واﻟﻣؤﺳﺳﺎت اﻟﺣﻛوﻣﯾﺔ اﻟﺗﻲ ﺗﻌﺗﻣد ﻋﻠﻰ اﻟﺷﺑﻛﺎت ،وﺣﺗﻰ اﻷﻓراد ھﻲ ﻣن ﺑﯾن أوﻟﺋك اﻟذﯾن ﻗد ﯾﻛون ﻣﻌطوﺑﺎ ﻓﻲ ھﺟوم .DDoSﻛﻠﻣﺎ ﻛﺎن ﻟدﯾك اﺳﺗﺧدام ﻟﻺﻧﺗرﻧت ﻓﻲ اﻟﻣؤﺳﺳﺔ ،ﻛﻠﻣﺎ زاد اﻟﺿرر اﻟذي ﺳﯾﻌﺎﻧﻲ إذا ﻛﺎن اﻟﮭﺟوم DDoSﯾﺄﺧذ ﻓﺗرة طوﯾﻠﺔ. ﺣﺗﻰ إذا ﻛﺎن ﺟﮭﺎزك ﯾﺟﻠس وراء ﺻﻧدوق ،NATاﻟﺟدار ﻧﺎري ،أو أي ﺷﻛل آﺧر ﻣن أﺷﻛﺎل اﻟﺣﻣﺎﯾﺔ اﻟﺗﻲ ﺗﻣﻧﻊ ﺣرﻛﺔ اﻟﻣرور اﻟﺗﻌﺳﻔﯾﺔ ﻣن أن ﯾﺗم ﺗوﺟﯾﮭﮭﺎ ﻣﺑﺎﺷرة إﻟﻰ ذﻟك ،ﻗد ﺗﻛون ﻻ ﺗزال ﻋرﺿﺔ ﻟﮭﺟﻣﺎت DDoSاﻷﻛﺛر ﺗطورا .اﻟﻣﮭﺎﺟم اﻟﻣﺗطور ﯾﻣﻛﻧﮫ اﻋﺎدة أو ﺗزﯾف اﻟﻣرور اﻟﺗﻲ ﯾﺟب ان ﺗذھب اﻟﻰ ﻋﻘدة اﻟﺧﺎص ﺑك أو ﺑﻐﯾر ﻣﺑﺎﺷر ﯾﻌرﺿك ﻟرﻓض اﻟﺧدﻣﺔ ﺑواﺳطﺔ إﺛﻘﺎل ﺻﻧدوق ،NATﺟدار اﻟﺣﻣﺎﯾﺔ أو ﺟﮭﺎز اﻟﺗوﺟﯾﮫ أو وﺻﻠﺔ اﻟﺷﺑﻛﺔ (Network Address Translation) NAT.ھو ﻣﺿﯾف ﯾﺷﺑﮫ ﺟدار اﻟﺣﻣﺎﯾﺔ ﯾﻌﻣل ﻛﺑواﺑﺔ إﻟﻰ اﻟﺷﺑﻛﺔ .ﻛﺎﻓﺔ اﻟﺣزم اﻟﺗﻲ ﺗﺗرك اﻟﺷﺑﻛﺔ ﺗﻣر ﻣن ﺧﻼل ﻣرﺑﻊ NATوﻟﮭﺎ ﻋﻧﺎوﯾن ﻣﺻدرھﺎ واﻟﺗﻲ ﯾﺗم اﺳﺗﺑداﻟﮭﺎ ﺑﺎﻟﻌﻧوان ﻓﻲ ھذا اﻟﻣرﺑﻊ .ﯾﺗم ﺗطﺑﯾﻖ اﻟﺗﺣول د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1025 اﻟﻌﻛﺳﻲ ﻓﻲ اﻟﻌﻧﺎوﯾن ﻓﻲ اﻟﺣزم اﻟواردة؟ ﺣﯾث ﯾﺗم اﺳﺗﺑدال ﻋﻧوان ﻣرﺑﻊ NATﻣﻊ اﻟﻌﻧوان اﻟﻣﻧﺎﺳب ﻟﻠﺟﮭﺎز داﺧل اﻟﺷﺑﻛﺔ .ﺗﻘﻧﯾﺔ NATﺗﻣﻛن اﻟﺷﺑﻛﺔ ﻹﺧﻔﺎء ھﯾﻛﻠﮭﺎ اﻟداﺧﻠﻲ؟ اﻟﻌﻧوان اﻟوﺣﯾد اﻟذي ﯾراه اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺧﺎرﺟﯾﯾن ﻓﻲ أي وﻗت ﻣﺿﻰ ھو ﻋﻧوان ﻣرﺑﻊ. NAT ﻋﻼوة ﻋﻠﻰ ذﻟك ،ﻛﻣﺎ ﻧﺎﻗﺷﻧﺎ ﺳﺎﺑﻘﺎ ،ﻧظﺎم اﻻﻣن وإدارة اﻟﺷﺑﻛﺔ ﻟﯾس ﺑﺎﻟﺿرورة ﺳوف ﯾﻘوم ﺑﺣﻣﺎﯾﺗك ﻣن ھذا اﻟﮭﺟوم .ﻓﻲ ﺣﯾن أن ﺑﻌض اﻹﺻﻼﺣﺎت ﺳﯾﻣﻧﻊ ھﺟﻣﺎت ﻧﻘﺎط اﻟﺿﻌف ،ﻣوﻗﻌك ﻻ ﯾزال ﻋرﺿﺔ ﻟﮭﺟﻣﺎت اﻟﻔﯾﺿﺎﻧﺎت اﻟﻛﺑﯾرة. اﻟﻣﺧﺻﺻﺎت اﻟﺛﻘﯾﻠﺔ ) ،(Heavy provisioningﻓﻲ ﺷﻛل ﻗدرة اﻟﺧﺎدم اﻟواﻓرة واﻟﺷﺑﻛﺔ ،ﯾﻣﻛن ﺣﻣﺎﯾﺗك ﻣن اﻟﻌدﯾد ﻣن ھﺟﻣﺎت ﻓﯾﺿﺎﻧﺎت ،DDoSوﻟﻛن ﻻ ﯾﻣﻛن أن ﯾﺿﻣن اﻟﺣﺻﺎﻧﺔ اﻟﺧﺎﺻﺔ ﺑك .أي ﻛﻣﯾﮫ واﻗﻌﯾﮫ ﻟﻠﻘدرة اﻟﺗﻲ ﺗﻘدﻣﮭﺎ ﯾﻣﻛن اﻟﺗﻐﻠب ﻋﻠﯾﮭﺎ إذا ﻗﺎم اﻟﻣﮭﺎﺟم ﺑﺗﺟﻧﯾد آﻻت ﻛﺎﻓﯾﺔ ﻟﻠﺿﻐط ﻋﻠﻰ ھﺟوﻣﮫ ﺿدك .وﻣﻊ ذﻟك ،ھﻧﺎك أﺷﯾﺎء ﯾﻣﻛﻧك اﻟﻘﯾﺎم ﺑﮫ ﻟﺗﻘﻠﯾل اﺣﺗﻣﺎل اﻟﺗﻌرض ﻟﮭﺟﻣﺎت DDoSوﺗﺟﻌﻠك ھدﻓﺎ أﻗل ﺟﺎذﺑﯾﺔ. اﻟﺗﺧﺻﺻﺎت اﻟﺛﻘﯾﻠﺔ ) (Heavy provisioningﺗﺳﺎﻋد ﻋﻠﻰ ،اﺳﺗﺑﻌﺎد ﻋﺎرﺿﺔ اﻟﮭﺟوم ﻣن ﻗﺑل اﻟﻘراﺻﻧﺔ اﻟذﯾن ﻟدﯾﮭم واﺣد ﻓﻘط أو اﺛﻧﯾن ﻣن آﻻت اﻟوﻛﯾل ﺗﺣت ﺗﺻرﻓﮭم .إﻏﻼق ﻧﻘﺎط اﻟﺿﻌف ﯾﺳﺎﻋد أﯾﺿﺎ ،ﻷﻧﮭﺎ ﺗردع اﻟﮭﺟﻣﺎت اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ ﻧﻘﺎط اﻟﺿﻌف .اﻟﺗواري ﻋن اﻻﻧظﺎر ﻋﻠﻰ اﻟﺷﺑﻛﺔ ھو ﺧﯾﺎر ﻟﻣؤﺳﺳﺗك ،وﺑذﻟك ﯾﺗطﻠب اﻟﻣﮭﺎﺟم اﻟﻌﺛور ﻋﻠﻰ ﺑﻌض اﻟﻣﻌﻠوﻣﺎت اﻟﻐﺎﻣﺿﺔ ﻗﺑل أن ﯾﺗﻣﻛن ﻣن ﺷن ھﺟوﻣﮫ .ھﻧﺎك ﺧطوات ﻋﻣﻠﯾﺔ ﻻﺗﺧﺎذھﺎ ﻟﺗﻌزﯾز اﻟﺷﺑﻛﺔ وأﯾﺿﺎ اﺳﺗﺟﺎﺑﺎت ﻓﻌﺎﻟﺔ ﻣن ﺷﺄﻧﮭﺎ ﺗﺧﻔﯾف ﺗﺄﺛﯾر ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ .ﺳوف ﻧﻧﺎﻗش ھذه ﺑﻣزﯾد ﻣن اﻟﺗﻔﺻﯾل ﻓﻲ ﻓﺻول ﺳﺎﺑﻘﮫ. ﻋﻣوﻣﺎ ،ﺗﺷﯾر اﻷدﻟﺔ إﻟﻰ أن ﺟﻣﯾﻊ اﻟﮭﺟﻣﺎت DDoSاﻟﺗﻲ ﺗﺣدث ﻟﯾﺳت ﺑﺳوء أﺳوأ ﺳﯾﻧﺎرﯾو ﻛﺎرﺛﻲ ﻛﻣﺎ ﺗﺷﯾر إﻟﻰ أﻧﮭﺎ ﯾﻣﻛن أن ﺗﻛون .ﺣﺗﻰ ﺑﻌض اﻟﮭﺟﻣﺎت اﻟﺑﺎرزة ﻋﻠﻰ ﻣواﻗﻊ اﻹﻧﺗرﻧت اﻟﻛﺑرى اﻟﺗﻲ ﻟم ﺗﻛن ﻣن اﻟﺻﻌب اﻟﺗﻌﺎﻣل ﻣﻌﮭﺎ ﺑﻣﺟرد ﻣﻌرﻓﺔ اﻟﻣداﻓﻌﯾن ﻋن طﺑﯾﻌﺔ اﻟﮭﺟوم ،ﻣﻊ اﻟﻘﻠﯾل ﻣن اﻟوﻗت ﻟﻠرد ﻋﻠﯾﮫ .إذا ﻛﻧت ﺗﻌﺗﻣد ﻋﻠﻰ اﺳﺗﻣرار ﺗوﻓر اﻹﻧﺗرﻧت ﻣن اﻟﻣوارد اﻟﺧﺎﺻﺔ ﺑك ،ﻓﺎﻧﮫ ﺷﺑﮫ ﻣؤﻛد ان ﺗﻛون ﻓﻲ ﺧطر ﻣن ھﺟﻣﺎت . DDoSوﻟﻛن ﻣﻊ اﻟﻘﻠﯾل ﻣن اﻟﻣﻌرﻓﺔ ،اﻟﺗدﺑر ،واﻟﯾﻘظﺔ ﯾﻣﻛﻧك ﻣﻧﻊ ھﺟﻣﺎت DDoSﻋﻠﻰ ﻣوﻗﻌك ﻣن أن ﺗﺻﺑﺢ ﻛﺎرﺛﯾﮫ. ھﻧﺎك ﻋﻧﺻرا آﺧر ﻣن ھﺟﻣﺎت DDoSﻗد ﯾﺳﺑب ﻟك اﻟﻣﺗﺎﻋب .ﻻرﺗﻛﺎب ھﺟوم DDoSﻗوي ،ﻓﺎن اﻟﻣﮭﺎﺟم ﻋﺎدة ﯾﻘوم ﺑﺗﺟﻧﯾد ﻋدد ﻛﺑﯾر ﻣن اﻵﻻت .ﻓﺈذا ﻛﺎن ﺟﮭﺎزك ﺑﯾﻧﮭﻣﺎ ،ﻓﻲ أﺣﺳن اﻷﺣوال ﻓﺈﻧك ﺳوف ﺗﺷﺎرك ﻛرھﺎ اﻟﻣوارد اﻟﺧﺎﺻﺔ ﺑك ﻣﻊ اﻟﻣﮭﺎﺟم اﻟذي ﺑﺎﻟﺗﺄﻛﯾد ﻻ ﯾﻛون ﻟدﯾﮫ ﻣﺻﻠﺣﺔ ﻣﻧك .ﻓﻲ أﺳوأ اﻷﺣوال ،ﻗد ﺗﺟد ﻧﻔﺳك ﻣﺳؤوﻻ ﺟزﺋﯾﺎ ﻋن ﺑﻌض اﻷﺿرار ﻓﻲ ھﺟوﻣﮫ ،أو اﻟﺑﯾﺎﻧﺎت اﻟﺣﯾوﯾﺔ اﻟﺧﺎﺻﺔ ﺑك ﻗد ﺗﻛون ﻣﺳروﻗﺔ أو ﺗﺎﻟﻔﺔ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم اﻟذي ﺗوﻟﻰ ﺟﮭﺎزك .ﺣﻘﻘت ﻗﯾﻣﺔ اﻟﻣﮭﺎﺟﻣﯾن ﻓﻲ اﻟﺣﺻول ﻋن طرﯾﻖ أداء ھﺟﻣﺎت DDoSﻋﻠﻰ اﻵﺧرﯾن. ھؤﻻء اﻟﻣﺟرﻣﯾن أﻛﺛر ﺣﻣﺎﺳﺎ ﻟﺗﺟﻧﯾد أﻛﺑر ﻗدر ﻣن اﻟﻣﺿﯾﻔﯾن ﻣن أي وﻗت ﻣﺿﻰ ﻣن آﻻت اﻟوﻛﯾل ،وھذا ﯾﻌﻧﻲ أن اﻟﺟﮭﺎز أﺻﺑﺢ أﻛﺛر ﻋرﺿﺔ ﻟﻼﺳﺗﯾﻼء ﻋﻠﯾﮫ ﻣن ﻗﺑل طرف ﺧﺎرﺟﻲ. 10.3ﺗﺎرﯾﺦ DoSوDDoS
ﻓﻲ ھذا اﻟﻔﺻل ﺳوف ﻧﻧﺎﻗش ﺟذور اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ،اﺳﺗﻧﺎدا إﻟﻰ اﻟﺟواﻧب اﻟﺗﺎرﯾﺧﯾﺔ ﻟﻺﻧﺗرﻧت وﻣﺑﺎدئ ﺗﺻﻣﯾﻣﮭﺎ ،ﻓﺿﻼ ﻋن اﻷﺣداث اﻟﺗﻲ أدت إﻟﻰ ھﺟﻣﺎت DDoSاﻟﻛﺑﯾرة ﻋﻠﻰ ﻣواﻗﻊ اﻹﻧﺗرﻧت وﺧﺎرﺟﮭﺎ ،ﺣﺗﻰ اﻟﯾوم .واﺻﻔﺎ دواﻓﻊ ﻛل ﻣن ﻣﺻﻣﻣﻲ اﻹﻧﺗرﻧت واﻟﻣﮭﺎﺟﻣﯾن. اﻟداﻓﻊ )(Motivation ﻣن طﺑﯾﻌﺔ اﻹﻧﺳﺎن أﻧﮫ ﻋﻧد اﻟﺣﺻول ﻋﻠﻰ ﻣﺟﻣوﻋﺎت ﻣن اﻟﻧﺎس ﻣﻌﺎ ،ﻓﻼ ﺑد ﻣن وﺟود اﻟﺧﻼف واﻟﺻراع .ھذا اﻟﺻراع ﯾﻣﻛن أن ﯾﺗﺧذ أﺷﻛﺎﻻ ﻋدﯾدة :اﻟﺳطوع اﻣﺎم اﻟﺷﺧص اﻟذي ﯾزاﺣﻣك ﻋﻠﻰ اﻟﺧط ﻟﺣﻣﻠﮭم ﻋﻠﻰ اﻟﺗراﺟﻊ ،ﻗطﻊ ﺣرﻛﺔ ﻣرور اﻟﺷﺧص ،اﺳﺗﺧدام ﻟﻔﺗﺔ اﻟﯾد اﻟﺗﻲ ﺗظﮭر أﻗﺻﻰ درﺟﺎت اﻻﺣﺗﻘﺎر اﻟﻣﻣﻛﻧﺔ ﺑﺎﻟﻧﺳﺑﺔ ﻟﮭم .أو أﻋﻣﺎل أﺳوأ ﻣن ذﻟك :ﺧﻔض اﻹطﺎرات ﻟﺷﺧص ﻣﺎ ،ﺳﻛب اﻟﺳﻛر ﻓﻲ ﺧزان اﻟﻐﺎز ﻟﺟﻌل اﻟﺳﯾﺎرات ﺗﻔﺷل ﻋن اﻟﻌﻣل ،أو رﻣﻲ ﺣزﻣﺔ ﻣن اﻟﻣﺎل ﻓﻲ ﺳﺎﺣﺔ ﻋﺎﻣﺔ أو ﻓﻲ اﻟﺷوارع ﻣﻣﺎ ﯾﺳﺑب اﻟﺷﻐب وﻋرﻗﻠﺔ اﻟﻣرور .ﻛﻣﺎ ﯾﺣدث ،ﻛل ھذه اﻷﻣﺛﻠﺔ ﻋن اﻷﺷﻛﺎل اﻟﻣﺎدﯾﺔ ﻋﻠﻰ ﻣﺳﺗوى اﻟﻌﺎﻟم ﻣن ،DDoSواﻟﺣرﻣﺎن ﻣن وﺳﺎﺋل اﻟﻧﻘل ،ﻓﻲ ھذه اﻷﻣﺛﻠﺔ اﻟﻣﺎﺿﯾﺔ. ﻛﻣﺎ اﻛﺗﺳﺑت ﺷﻌﺑﯾﺔ اﻹﻧﺗرﻧت ﻛﻣﻛﺎن اﺟﺗﻣﺎﻋﻲ ظﺎھري ،أﺻﺑﺢ أﯾﺿﺎ ﻣﻛﺎﻧﺎ ﻟﻠﺻراع .ﻣﺟﻣوﻋﺎت اﻷﺧﺑﺎر ) (newsgroupsﻓﻲ Usenetﻛﺄول ﺗﺟﻣﻊ ﯾﺟﻣﻊ اﻟﻧﺎس ذات اﻟﻣﺻﺎﻟﺢ اﻟﻣﺗﺷﺎﺑﮫ واﻟﺗﻲ ﻣن اﻟﻣﻣﻛن ان ﯾﺗﺧﻠﻠﮭم ﺳﻠﺳﻠﺔ ﻣﻠﯾﺋﺔ ﺑﺎﻟﺣوارات اﻟﻣﻠﺗﮭﺑﺔ ﻣن اﻟﺗﮭﺟم ﺑﻌد اﻟﺗﮭﺟم ﺑﯾن أﻋﺿﺎء اﻟﻣﺟﻣوﻋﺔ .أو ﺷﺧص ﯾﺷﻌر ﺑﺎﻟظﻠم ﯾﻘوم ﺑﺎﻟذھﺎب واﻹدﻻء ﺑﺗﺻرﯾﺣﺎت ﺗﺣرﯾﺿﯾﺔ ،ﻣﺳﺗدﻋﯾﺎ أﺳم ﺷﺧص ﻣﺎ ،ﯾﺳﺄل ﺳؤال؟ أي ﺷﻲء ﺻﺎرخ ﺧﺎرج ﻋن اﻟﻣوﺿوع واﻟﺗﻲ ﻣن اﻟﻣﻣﻛن أن ﯾﺗﺳﺑب ﻋﻣدا ﻓﻲ ﺣروب ﻣﻠﺗﮭﺑﺔ واﻧﺣطﺎط اﻟﻣﺣﺎدﺛﺔ ﻓﻲ ﻗﺎﺋﻣﺔ اﻷﺧﺑﺎر أو اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ. اﻟﺷﺧص ﯾﻣﻛن أن ﯾﺳﺑب ﻋﺷرات ،ﺑل ﻣﺋﺎت ،ﻣن رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﻐﯾر ﻣﺟدﯾﺔ ﻗﺎﺋﻼ" :أوﻗﻔوا ھذا!" "أﻧت ﻣﺟرد أﺣﻣﻖ وﯾﺟب أن ﺗﺗرك ھذه اﻟﻣﺟﻣوﻋﺔ" "،ﻻ ﯾﻣﻛن ﺣظر ﺷﺧص ﻣن ﻣﺟﻣوﻋﺔ اﻷﺧﺑﺎر ﻟدﯾﻧﺎ؟ " ،وﻣﺎ إﻟﻰ ذﻟك .ﻓﻲ ﺑﻌض اﻟﺣﺎﻻت ،ﯾﺣﺻل ﺑدرﺟﺔ ﺳﯾﺋﺔ أن ﺗﻘوم د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1026 اﻟﻧﺎس ﺑﺈﻟﻐﺎء اﻻﺷﺗراك وﺗرك اﻟﻣﺟﻣوﻋﺔ ﺑﺷﻛل داﺋم .ﺗدھور اﻟﺣدﯾث ھو ﺷﻛل آﺧر ﻣن DoSواﻟذي ھو ﻧوﻋﺎ ﻣﺎ ﯾﺗداﺧل ﻋن طرﯾﻖ ﻣﻧﻊ ﻣﺳﺗﺧدم اﻟﻛﻣﺑﯾوﺗر ﻣن اﻟﻘﯾﺎم ﺑﺷﻲء ﻣﺎ. أﺑﺣﺎث ﻣﺛل اﻟﺗﻲ ﻗﺎم ﺑﮭﺎ Sulerو Phillipsﺑﻌﻧوان: ”“The Bad Boys of Cyberspace: Deviant Behavior in Online Multimedia Communities and Strategies for Managing
وذﻟك ﻋﺎم 1998واﻟﺗﻲ ﯾﻣﻛﻧك اﻻطﻼع ﻋﻠﯾﮭﺎ ﻣن ﺧﻼل اﻟراﺑطhttp://users.rider.edu/~suler/psycyber/badboys.html : واﻟﺗﻲ ﻗدﻣت دراﺳﺔ ﻋن اﻟﻣﺳﺗﺧدﻣﯾن ﻋﻠﻰ اﻷﻧﺗرﻧت .ﺣﯾث ﺑﯾﻧت ان اﻟﻧﺎس ﻣن اﻟﻣﻣﻛن ان ﺗﺗﺻرف ﻓﻲ ﺑﻌض اﻷﺣﯾﺎن ﺑطرﯾﻘﮫ ﻣﺧﺗﻠﻔﺔ ﺗﻣﺎﻣﺎ وﻏﺎﻟﺑﺎ ﺑطرﯾﻘﮫ ﻏﯾر اﺟﺗﻣﺎﻋﯾﮫ ،ﻋﻧد اﻟﺗﻌﺎﻣل ﻓﻲ اﻹﻧﺗرﻧت ﻋﻠﻰ ﻋﻛس ﻣﺎ ﺗﻔﻌﻠﮫ ﻋﻧد اﻟﺗﻔﺎﻋل ﻣﻊ اﻟﻧﺎس وﺟﮭﺎ ﻟوﺟﮫ .ﺣﯾث إﻧﮭﺎ ﻗد ﺗﺳﺊ ﺗﻔﺳﯾر اﻷﺷﯾﺎء ﻷﻧﮭﺎ ﺗﻔﺗﻘر اﻟﻌظﺔ ﺷﻔﮭﻲ أو ﻷﻧﮭم ﯾﻔﺗﻘرون إﻟﻰ اﻟﺗﻔﺎﺻﯾل أو اﻟﺳﯾﺎق .وﯾﻣﻛن أن ﯾﺻﺑﺣوا ﻓﻲ وﺿﻊ اﻟﻐﺿب أﺳرع ﻣن ﻟو ﻛﺎن ﯾﺗﺣدث إﻟﻰ ﺷﺧص ﻣﺎ وﺟﮭﺎ ﻟوﺟﮫ ،وذﻟك ﻷﻧك ﻻ ﺗﺳﺗطﯾﻊ رؤﯾﺔ اﻟﺷﺧص اﻟذي ﺗﺗﺣدث إﻟﯾﮫ ،وأﻧﮫ ﻗد ﯾﺗﻔﺎﻋل ﺑﻘوة أﻛﺑر .ﻋدم اﻟﻛﺷف ﻋن ھوﯾﺗﮫ ﻣﻧﺣﮭم اﻟﺷﻌور ﺑﺎﻟﺗﺧﻔﻲ ،ورﺑﻣﺎ ﯾرون أن اﻟرﻣوز اﻟﺗﻲ ﺗﻣﺛل اﻟﻣﺳﺗﺧدﻣﯾن اﻵﺧرﯾن ﺑﺄﻧﮭﺎ ﻏﯾر واﻗﻌﯾﮫ وﻻ ﺗﻣط ﻟﮫ ﺑﺻﻠﮫ. ھذه اﻟﻧﻘطﺔ ﻣﮭﻣﺔ .ﺣﯾث ان ﺑﻌض اﻟﻧﺎس ﯾﻧظرون اﻟﻰ ﻏرف اﻟدردﺷﺔ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﻟﯾﻛون ﺗﻣﺎﻣﺎ ﻣﺛل اﻟﻐرف اﻟﺣﻘﯾﻘﯾﺔ ،واﻟﺗﻲ ﯾﻣﻛن أن ﺗﺷﻛل ﺻورة ﻓﻲ أذھﺎﻧﮭم واﻟﺗﻲ ﺗﻌطﯾﮭم ھوﯾﺔ ﻋن اﻟﻣﺷﺎرﻛﯾن اﻵﺧرﯾن .اﻷﺷﺧﺎص اﻵﺧرﯾن ﻓﻲ ﻏرﻓﺔ اﻟدردﺷﺔ ﻧﻔﺳﮭﺎ ﺳوف ﯾرون ﻓﻘط ﺳوى اﻟﻛﻠﻣﺎت ﻋﻠﻰ اﻟﺷﺎﺷﺔ ،وأﻧﮭم ﺳوف ﯾﺷﻌرون ﺑﺄﻧﮭم ﻏﯾر ﻣرﺋﯾﯾن وﻻ ﯾﻘﮭرون وذﻟك ﻷﻧﮫ ﯾﺟﻠس ﻋﻠﻰ ارﯾﻛﺗﮫ اﻟﺗﻲ ﯾرﺗﺎح ﻟﮭﺎ ﻣن ﻏرﻓﺔ ﺧﺎﺻﺔ وﯾﻣﻛﻧﮭم إﯾﻘﺎف ﺗﺷﻐﯾل اﻟﻛﻣﺑﯾوﺗر وﻗﺗﻣﺎ ﯾرﯾدون .ﺣﯾث اﻟﻌﺎﻟم اﻵﺧر )واﻟﺟﻣﯾﻊ ﻓﻲ ذﻟك( ﯾزول ﻣن اﻟوﺟود ،ﺗﻣﺎﻣﺎ ﻛﻣﺎ ﯾﺧﺗﻔﻲ اﻟﻌﺎﻟم ﻣن اﻟﺗﻠﻔزﯾون ﻋﻧد إﯾﻘﺎﻓﮫ ﻋن اﻟﻌﻣل .ﻋﻠﻰ ﻋﻛس ھذا ﻓﻲ اﻟﻌﺎﻟم اﻟﻣﺎدي ،ﺣﯾث ﻧﺟد اﻧﮫ ﯾوﺟد ﺑﯾن اﻟﺷﺧﺻﯾن اﻟﺻراع وﻏﺎﻟﺑﺎ ﻣﺎ ﯾﻘف ﻣن أﺧﻣص اﻟﻘدﻣﯾن إﻟﻰ أﺧﻣص اﻟﻘدﻣﯾن ،ﻓﻲ اﻹﻧﺗرﻧت ﯾﺄﺧذ اﻟﺻراع ﻣﻛﺎن ﻣﻊ ﺷﺑﻛﺔ اﻟوﺳﯾط اﻟﺗﻲ ھﻲ ﺑﺎﻟﻔﻌل اﻟﺻﻧدوق اﻷﺳود ﻟﻸطراف اﻟﻣﻌﻧﯾﺔ .ﻻ ﯾوﺟد ﺳوى ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ وﺷﺎﺷﺔ أﻣﺎم ﻛل ﺷﺧص ،واﻷطر اﻷﺧﻼﻗﯾﺔ واﻟﻣﻌﻧوﯾﺔ ﻟﻛل ﻣﻧﮭﻣﺎ ﻹرﺷﺎدھم ﻓﻲ ﻛﯾﻔﯾﺔ اﻟﺗﺻرف .ھذا اﻟﺗﻔﺎرق وﻋدم اﻟﻘرب اﻟﻣﺎدي ﯾﺷﺟﻊ اﻟﻧﺎس ﻋﻠﻰ اﻟﻣﺷﺎرﻛﺔ ﻓﻲ أﻧﺷطﺔ ﻏﯾر ﻣﺷروﻋﺔ ﻓﻲ اﻹﻧﺗرﻧت ،ﻣﺛل اﻟﻘرﺻﻧﺔ ،واﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ،أو ﺟﻣﻊ ﻣواد ﻣﺣﻔوظﺔ اﻟﺣﻘوق .ﻻ ﯾﺷﻌرون أﻧﮭم ﻓﻲ واﻗﻊ اﻷﻣر ﯾﻔﻌﻠون أي ﺿرر ﺧطﯾر. اﻟﻣﺳﺗﺧدﻣﯾن اﻟﻧﮭﺎﺋﯾﯾن اﻟﻧﻣوذﺟﻲ ﻻ ﯾﮭﺗﻣون ﺑﺟوھر اﻻﺗﺻﺎﻻت ﻓﻲ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت .ﺑدﻻ ﻣن ذﻟك ،ﻓﺄﻧﮭم ﻣﮭﺗﻣون ﻓﻘط ﺑﻔواﺋد اﻹﻧﺗرﻧت اﻟﺗﻲ ﺗﺗوﻓر ﻟﮭم ،ﻣﺛل اﻟﺗﺟﺎرة اﻹﻟﻛﺗروﻧﯾﺔ أو اﻟﺧدﻣﺎت اﻟﻣﺻرﻓﯾﺔ ﻋﺑر اﻹﻧﺗرﻧت .وﻣﻊ ذﻟك ،أوﻟﺋك اﻟذﯾن ﻟدﯾﮭم ﺗﻠك اﻟﻣﻌرﻓﺔ اﻟﺗﻔﺻﯾﻠﯾﺔ ﻟﺗﻔﺎﺻﯾل اﻟﺷﺑﻛﺔ ﯾﻣﻛن اﻻﻋﺗداء ﻋﻠﯾﮫ ﻻﺳﺗﺑﻌﺎد وﻧﻔﻲ ﻓﻌﺎﻟﯾﺔ اﻟﺧدﻣﺎت ﻟﻶﺧرﯾن اﻟذﯾن ﯾﺷﻌروا ﺑﺳﻠطﺔ ﻛﺑﯾره .ھذه ھﻲ اﻟﻧﻘطﺔ اﻟﺗﻲ أدت اﻟﻰ دﺧول ﺑراﻣﺞ DDoSاﻟﻰ اﻟﺳﺎﺣﺔ. ﻋﻠﻰ ﻣر اﻟﺳﻧﯾن ،ﻓﻲ اﻟﻐﺎﻟب ﻗد ارﺗﺑطت ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ﻓﻲ اﻹﻧﺗرﻧت ﻣﻊ آﻟﯾﺎت اﻻﺗﺻﺎل ﻣﺛل ﻣﺟﻣوﻋﺎت اﻷﺧﺑﺎر وﻏرف اﻟدردﺷﺔ، واﻷﻟﻌﺎب ﻋﺑر اﻹﻧﺗرﻧت ،اﻟﺦ .ھذه ھﻲ آﻟﯾﺎت اﻻﺗﺻﺎل اﻟﻐﯾر ﻣﺗزاﻣن ،وھذا ﯾﻌﻧﻲ أﻧﮫ ﻻ ﯾوﺟد اﻋﺗراف ﻣﺑﺎﺷر وﻓوري ﻣن اﺳﺗﻼﻣﮭﺎ ،وﻟﯾس ھﻧﺎك ﻣﺣﺎدﺛﮫ ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ .ﯾﺣﺻل ﺗﺳﻠﯾم اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻋﻧدﻣﺎ ﯾﺣﺻل ﺗﺳﻠﯾﻣﮭﺎ ،ﻓﺎن اﻟرﺳﺎﺋل ﯾﻣﻛن أن ﺗﺄﺗﻲ ﻓﻲ ﺧﺎرج اﻟﺗرﺗﯾب وأن ﺗﻣﺗزج ﻣﻊ ﺑﻘﯾﺔ اﻟﻌﺎﻟم .آﻟﯾﺎت اﻻﺗﺻﺎل اﻟﻐﯾر ﻣﺗزاﻣن ﻓﻲ اﻹﻧﺗرﻧت ،ﻣﺛل ﻣﺟﻣوﻋﺎت اﻷﺧﺑﺎر ﻛﺄول ﻣوﺿوع أو ﻗواﺋم اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،ﯾﻣﻛن اﻟﮭﺟوم ﻋﻠﯾﮭﺎ ﻣن ﻗﺑل اﻟﺗﺻﯾد أو اﻟﻔﯾﺿﺎﻧﺎت ﻣﻊ رﺳﺎﺋل ﻣزﯾﻔﺔ ،ﻟﻛن آﻟﯾﺎت اﻟﮭﺟوم ھذه ﻻ ﯾﻛون ﻟﮭﺎ ﺗﺄﺛﯾر ﻣﺑﺎﺷر وﯾﻣﻛن إﻟﻰ ﺣد ﻣﺎ ﺑﺳﮭوﻟﺔ اﻟﺗﻌﺎﻣل ﻣﻌﮭﺎ ﻣن ﻗﺑل اﻟﻔﻼﺗر .ﺑﻣﺟرد ان آﻟﯾﺎت اﻻﺗﺻﺎل ھذه ھﻲ ﻏﯾر ﻣﺗزاﻣﻧﺔ ،إذا ﻓﮭﻧﺎك ﺗﺄﺧﯾر ،وﺑﺎﻟﺗﺎﻟﻲ اﻟﻣﮭﺎﺟم ﻻ ﯾﺣﺻل ﻋﻠﻰ اﻹﺷﺑﺎع اﻟﻔوري. ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ اﻟﺗﻲ ﺗﺳﺑب ﺗﻌطل اﻟﻣﻠﻘﻣﺎت أو ﻣلء اﻟﺷﺑﻛﺎت ﻣﻊ ﺣرﻛﺔ اﻟﻣرور ﻏﯾر ﻣﺟدﯾﮫ ،ﻣن ﻧﺎﺣﯾﺔ أﺧرى ،ﻻ ﺗوﻓر اﻟرﺿﺎ اﻟﻔوري. أﻧﮭﺎ ﺗؤﺛر ﺑﺷﻛل ﻣﺑﺎﺷر ﻋﻠﻰ اﻟﻧظﺎم ،وإذا ﻛﺎﻧت ﻣﺿﻣﻧﮫ ﻣﻊ ﺗﮭدﯾد ﻣﺳﺑﻘﺎ ،ﻓﺎﻧﮫ ﯾزﯾد ﻣن اﻟﻔﻌﺎﻟﯾﺔ واﻟرﺿﺎ ﻋن اﻟﻣﮭﺎﺟم .أﻧﮭﺎ ﺗﻌﻣل ﺑﺷﻛل أﻓﺿل ﻋﻠﻰ وﺳﺎﺋل اﻻﺗﺻﺎل اﻟﻣﺗزاﻣن ،ﻣﺛل اﻟدردﺷﺔ أو ﻧﺷﺎط اﻟوﯾب اﻟﺣﻘﯾﻘﻲ اﻟﺗﻲ ﺗﺗﺿﻣن ﺳﻠﺳﻠﺔ طوﯾﻠﺔ ﻣن اﻟﺗﻔﺎﻋﻼت ﺑﯾن اﻟﻣﺗﺻﻔﺢ وﺧﺎدم اﻟوﯾب. ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،إذا أراد ﺟﯾن إﯾذاء ،NotARealSiteForPuppies.comﻟﺗﺧوﯾﻔﮭم ﺣﻘﺎ ،ﻓﺈﻧﮭﺎ ﻗد ﺗرﺳل أوﻻ ﺑرﯾد إﻟﻛﺗروﻧﻲ ذات ﺗﮭدﯾد واﻟﺗﻲ ﺗﻧص ﻋﻠﻰ" :أﻧت ﺣﺛﺎﻟﺔ اﻟﻧﺎس! واﻧﺎ ذاھب اﻟﻰ اﺧذ ﻣوﻗﻊ اﻟوﯾب اﻟﺧﺎص ﺑك ﻟﺟﻌﻠﮫ ﻣﻐﻠﻘﺎ ﻟﻣدة ﺛﻼث ﺳﺎﻋﺎت" ﺗﻧﺗظر ﺣﺗﻰ ﺗﺣﺻل ﻋﻠﻰ اﻟرد ﻗﺎﺋﻼ اﻧﮫ ﺗم إﺑﻼغ ISPﻋن اﻟﺣﺳﺎب اﻟذي أرﺳل اﻟرﺳﺎﻟﺔ )ﻋﻠﻰ اﻷرﺟﺢ ﺣﺳﺎب ﻣﺳروق( ،ﺛم ﯾﺑدأ ﻋﻠﻰ اﻟﻔور اﻟﮭﺟوم اﻟﺗﻲ وﻋدت ﺑﮫ .ﺛم ﺗﺗﺣﻘﻖ ﻟﻣﻌرﻓﺔ ﻣﺎ إذا ﻛﺎﻧت ﺻﻔﺣﺔ اﻟوﯾب ﺗﻌﻣل ،وﯾرى ﺗﻘﺎرﯾر اﻟﻣﺗﺻﻔﺢ "Timeout connecting to server" ،اﻟﻣﮭﻣﺔ أﻧﺟزت! آﻟﯾﺎت اﻻﺗﺻﺎل اﻟﻣﺗزاﻣن ﻣﺛل اﻷﻟﻌﺎب ﻋﺑر اﻹﻧﺗرﻧت وﺧدﻣﺔ اﻟدردﺷﺔ ﻋﺑر اﻹﻧﺗرﻧت ) ،(IRCﺑدﻻ ﻣن ﻣﺟﻣوﻋﺎت اﻷﺧﺑﺎر ﻓﻲ Usenet واﻟﻘواﺋم اﻟﺑرﯾدﯾﺔ ،ﻏﺎﻟﺑﺎ ﻣﺎ ﯾﺗﻌرﺿون ﻟﮭﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ﺑﺳﺑب ھذا اﻟﺗﺄﺛﯾر اﻟﻣﺑﺎﺷر .ﻟﯾس ﻓﻘط اﻧﮫ ﯾﻣﻛﻧك أن ﺗؤﺛر ﺑﺷﻛل ﻣﺑﺎﺷر ﻋﻠﻰ ﻣﺳﺗﺧدم ﻓردي ،ﻣﻣﺎ ﯾﺳﺑب ﻟﮭم اﻟﺧروج ﻣن ﻗﻧوات ،IRCوﻟﻛن ﯾﻣﻛﻧك أﯾﺿﺎ ﺗﻌطﯾل ﺷﺑﻛﺔ IRCﺑﺄﻛﻣﻠﮭﺎ .ﻣن اﻟﻣﮭم أن ﻧﻔﮭم ھذه اﻟﮭﺟﻣﺎت )ﺣﺗﻰ ﻟو ﻛﻧت ﻻ ﺗﺳﺗﺧدم أو ﻟدﯾك أي ﻋﻼﻗﺔ ﻣﻊ (IRCﻷن اﻷدوات واﻟﺗﻘﻧﯾﺎت ﻓﻌﺎﻟﺔ ﻣﻘﺎﺑل ﻓﻘط ﻣﻠﻘم اﻟوﯾب أو ﺷرﻛﺔ ﻓﻲ ﻣﻠﻘم ﺗرﺟﻣﺔ اﻷﺳﻣﺎء اﻟﺧﺎرﺟﻲ ) (DNSأو ﺧدﻣﺔ اﻟﺑرﯾد.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1027 اﻟﮭﺟﻣﺎت اﻷوﻟﻰ ﻋﻠﻰ ﺷﺑﻛﺔ IRCﻛﺎﻧت ﻣﻌروﻓﮫ ﻟﻌدد ﻗﻠﯾل ﻣن ﺧﺑراء اﻻﻣن ،ﻣﺛل اﻟﻣؤﻟف ﺳﻔﯾن دﯾﺗرﯾش ،ﻓﻲ أواﺋل .1990ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ،واﻟﺗﻲ أﺧذت ﻋﻠﻰ ﺷﻛل واﺣدة ،TCP RST Floodﻣﻣﺎ ﺗﺳﺑﺑت اﻟﻰ "ﺗﻘﺳﯾم" ﺧوادم ) IRCأي ،ﻓﻘدان ﻣﺳﺎر ﻣن اﻟذي ﯾﻣﻠك ﻗﻧﺎة(. اﻟﻣﺳﺗﺧدم اﻟﺑﻌﯾد ،ﻛوﻧﮫ اﻟوﺣﯾد اﻟﻣﺗﺑﻘﻲ ﻓﻲ ھذه اﻟﻘﻧﺎة ،ﻓﻘد أﺻﺑﺢ ﯾﻣﻠك واﺣد أو أﻛﺛر ﻣن ﻗﻧوات اﻟدردﺷﺔ ،ﻣﻧذ أن ﺗم ﺗﻘﺳﯾم اﻟﻣﺎﻟك اﻟﺷرﻋﻲ ﻣن اﻟﺷﺑﻛﺔ اﻟﻣﺣﻠﯾﺔ .ﻋﻧدﻣﺎ ﺗﻧﺿم اﻟﺷﺑﻛﺎت ﻣرة أﺧرى ،ﻓﺈن اﻷﺻﺣﺎب اﻟﺷرﻋﯾﯾن واﻟﻐﯾر ﺷرﻋﯾﯾن ﻟدﯾﮭم اﻟﻣواﺟﮭﺔ ،اﻷﻣر اﻟذي ﻗد ﯾؤدي إﻟﻰ ﻣزﯾد ﻣن اﻻﻧﺗﻘﺎم .اﺳﺗﺧدﻣت ھﺟﻣﺎت واﺳﻌﺔ اﻟﻧطﺎق أﯾﺿﺎ ﻹزاﻟﺔ اﻟﻣﺳﺗﺧدﻣﯾن اﻟﻐﯾر ﻣرﺣب ﺑﮭم ﻣن ﻗﻧوات اﻟدردﺷﺔ ،وﺳﯾﻠﺔ ﻓﻌﺎﻟﺔ ﻟﻠرﻛل أﺟﺑرﺗﮫ ﻋﻠﻰ اﻟﻔرار ﺑﻘوة .ﻛﺎﻧت ﺗﻌرف ھذه اﻟﻣﺷﺎﻛل ﻟﺑﻌض ﻣن ﻣﻌﺎﻟﺟﻲ IRCﻓﻲ ﺟﺎﻣﻌﺔ ﺑوﺳطن ﻓﻲ ذﻟك اﻟوﻗت. ﻋﻠﻰ ﻣر اﻟﺳﻧﯾن ،ﻛﺎن IRCأﺣد اﻟﻣﺣﻔزات اﻟرﺋﯾﺳﯾﺔ ﻟﺗطوﯾر واﺳﺗﺧدام أدوات DoSو ،DDoSﻓﺿﻼ ﻋن ﻛوﻧﮫ ھدﻓﺎ رﺋﯾﺳﯾﺎ ﻟﮭﺎ .ھذه اﻟﻌﻼﻗﺔ ﺑﯾن IRCوھﺟﻣﺎت DDoSﺷﺎرﻛت ﺑﻌض أوﺟﮫ اﻟﺗﺷﺎﺑﮫ ﻣﻊ ﻣطوري ﻓﯾروس ﻧﻘص اﻟﻣﻧﺎﻋﺔ اﻟﺑﺷرﯾﺔ/اﻹﯾدز ) (HIV/AIDSﻓﻲ .1980 ﻋﻧدﻣﺎ ﺗم اﻛﺗﺷﺎف ﻓﯾروس ﻧﻘص اﻟﻣﻧﺎﻋﺔ اﻟﺑﺷرﯾﺔ/اﻹﯾدز ﻷول ﻣرة ،ﻧظر اﻟﻛﺛﯾرﯾن اﻧﮭﺎ ﻣﺷﻛﻠﺔ ﻟﻠﻣﺛﻠﯾﯾن ﺟﻧﺳﯾﺎ ﻓﻘط أو اﻟﮭﺎﯾﺗﯾﯾن أو ﻣﺗﻌﺎطﻲ اﻟﻣﺧدرات ﻋن طرﯾﻖ اﻟﺣﻘن .طﺎﻟﻣﺎ أﻧك ﻟم ﺗﻛن ﻓﻲ ﺗﻠك اﻟﻣﺟﻣوﻋﺔ ،ﻟﻣﺎذا ﯾﺟب أن ﺗﻘﻠﻖ ﺑﺷﺄن ﻓﯾروس ﻧﻘص اﻟﻣﻧﺎﻋﺔ اﻟﺑﺷرﯾﺔ/اﻹﯾدز؟ اﻟﺑﺣوث ﻓﻲ اﻟﻌﻼﺟﺎت ﻟم ﺗﺑدأ ﻓﻲ وﻗت ﻣﺑﻛر ﺑﻣﺎ ﻓﯾﮫ اﻟﻛﻔﺎﯾﺔ ،وﻧﺗﯾﺟﺔ ﻻﻧﺗﺷﺎر ﻓﯾروس ﻧﻘص اﻟﻣﻧﺎﻋﺔ اﻟﺑﺷرﯾﺔ/اﻹﯾدز ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم ،ﻟدرﺟﺔ اﻟﯾوم، أﻛﺑر دوﻟﺔ ﻓﻲ اﻟﻌﺎﻟم ،اﻟﺻﯾن ،ﻟدﯾﮭﺎ ﺣﺎﻻت ﻓﻲ ﺟﻣﯾﻊ ﻣﺳﺗوﯾﺎت اﻟﻣﺟﺗﻣﻊ ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﺑﻠد. ﻧﺣن ﺑﺎﻟﺗﺄﻛﯾد ﻻ ﻧﺣﺎول أن ﻧﻘول إن DoSﺗﺳﺑب ﺣﺗﻰ ﻓﻲ ﺟزء ﺿﺋﯾل ﻣن اﻟﺿرر اﻟذي ﻟدي ﻓﯾروس ﻧﻘص اﻟﻣﻧﺎﻋﺔ اﻟﺑﺷرﯾﺔ/اﻹﯾدز .ھذا ﻣﺛﯾر ﻟﻠﺳﺧرﯾﺔ .ﻣﺎ ھو ﺷﯾوﻋﺎ ھﻲ ﻋدم اﻻﻋﺗراف ﺑﺎﻟﻣﺷﻛﻠﺔ ﻣن ﻗﺑل ﻋﺎﻣﺔ اﻟﻧﺎس ووﺳﺎﺋل اﻹﻋﻼم ،وﻋدم اﺳﺗﺟﺎﺑﺔ اﻟﺑﻌض ﻷﻧﮫ ﻛﺎن ﯾﻌﺗﻘد أﻧﮭﺎ ﺗﻛون "ﻣﺷﻛﻠﺔ ﺷﺧص آﺧر" ،وزﯾﺎدة ﺑطﯾﺋﺔ إﻟﻰ اﻟﻧﻘطﺔ اﻟﺗﻲ ﺗﺻﺑﺢ اﻟﻣﺷﻛﻠﺔ اﻟراﺳﺧﺔ ﺟﯾدا وﻋﻠﻰ ﻧطﺎق واﺳﻊ .ﻛﺎن ﻣﻛﯾﺎﻓﯾﻠﻲ اﻟذي ﻗﺎل" :ﻋﻧدﻣﺎ اﺳﺗﺷﻌرت ﻓﻲ وﻗت ﻣﺑﻛر اﻧﮫ ﯾﻣﻛن ﻋﻼﺟﮭﺎ ﺑﺳﮭوﻟﺔ ،ﻓﺈذا اﻧﺗظر ﺣﺗﻰ ﯾظﮭر ﻧﻔﺳﮫ ﻓﺄن أي دواء ﺳوف ﯾﻛون ﻣﺗﺄﺧرا ﺟدا ﻷن اﻟﻣرض أﺻﺑﺢ ﻏﯾر ﻗﺎﺑل ﻟﻠﺷﻔﺎء .اﻻﺿطراﺑﺎت اﻟﺳﯾﺎﺳﯾﺔ ﯾﻣﻛن أن ﺗﻠﺗﺋم ﺑﺳرﻋﺔ إذا ﺗم اﻟﻧظر إﻟﯾﮭﺎ ﻓﻲ وﻗت ﻣﺑﻛر ﺟدا؛ ﻣﻊ ،ﻋدم ﺗواﻓر اﻟﺗﺷﺧﯾص ،ﻓﺎﻧﮫ ﯾﺳﻣﺢ ﻟﮭﺎ ﺑﺄن ﺑﺎﻟطرﯾﻘﺔ اﻟﺗﻲ ﯾﻣﻛن ﻷي ﺷﺧص أن ﯾﺗﻌرف ﻋﻠﯾﮭﺎ ،واﻟﻌﻼﺟﺎت ھﻲ ﻓوات اﻷوان.
ﺑﺎﻟﻣﺛل ،ﻟﻘد ﻛﺎﻧت DoSو DDoSھﺟﻣﺎت ﻣرﺗﺑطﺔ ﻓﻲ اﻷﺻل ﺑﺎﻋﺗﺑﺎرھﺎ ﻣﺷﻛﻠﺔ ﺗﺗﻌﻠﻖ ﺑﻘﻧوات اﻻﺗﺻﺎل ،IRCﻣﻣﺎ ﯾؤﺛر ﻋﻠﻰ ﺧوادم IRC اﻟوﺣﯾدة وﻣﺳﺗﺧدﻣﻲ . IRCﺣﺗﻰ ﺑﻌض اﻟﻣواﻗﻊ ﻣﻧﻌت ﺧوادم IRCﻓﻲ اﻟﺣرم اﻟﺟﺎﻣﻌﻲ ،أو ﻧﻘل ﺧوادم IRCﺧﺎرج اﻟﺷﺑﻛﺔ اﻟرﺋﯾﺳﯾﺔ إﻟﻰ " (DeMilitarized Zone) DMZﻣﻧطﻘﺔ ﺧﺎﻟﯾﮫ ﻣن اﻟﻧﺎر" وﻟذﻟك ﻻ ﺗؤﺛر ﻋﻠﻰ اﻟﺷﺑﻛﺔ اﻟرﺋﯾﺳﯾﺔ ،ﻛل ذﻟك ﻣﻊ اﻻﻋﺗﻘﺎد ﺑﺄن ھذا ﻣن ﺷﺄﻧﮫ أن "ﯾﺣل" ﻣﺷﻛﻠﺔ ﺣﺟب اﻟﺧدﻣﺔ) .ﻓﻲ اﻟواﻗﻊ ،اﻧﮭﺎ دﻓﻌت ﻓﻘط ﺑﻌﯾدا ،واﻟﺳﻣﺎح ﻟﮭﺎ ﺑﻣواﺻﻠﺔ اﻟﺗطوﯾر واﻟﺗﻔوق ﻋﻠﻰ اﻟﻘدرات اﻟدﻓﺎﻋﯾﺔ( .اﻟﻘﺿﯾﺔ ﻧﻔﺳﮭﺎ ﺗﺷﻣل DDoS؟ طوﻓﺎن ﻛﺑﯾر ﻣن اﻟﺣزم؟ ﻓﻲ ﻋﺎم 2003ﺑدأت ﺗﺣدث ﻧﺗﯾﺟﺔ اﻟدﯾدان ) ،(wormsوإﻏﻼق اﻟﻌدﯾد ﻣن أﻛﺑر اﻟﺷﺑﻛﺎت ﻓﻲ اﻟﻌﺎﻟم ،واﻟﺗﻲ ﻛﺎﻧت ﻣﺎ ﯾﻘرب ﻣن ﺧﻣس ﺳﻧوات ﻟﻔﮭم اﻟﻣﺷﻛﻠﺔ واﻻﺳﺗﻌداد ﻟذﻟك ،وﻟﻛن اﺧﺗﺎروا اﻟﻌدم. ﻓﻲ ھذا اﻟوﻗت ﻧﻔﺳﮫ ،طورت أدوات اﻟﮭﺟوم ﻧﻔﺳﮭﺎ ﻓﻲ اﻟﺳﻠطﺔ ،واﻟﻘدرات ،واﻟﻘدرة ﻋﻠﻰ اﻻﻧﺗﺷﺎر ،واﻟﺗطور إﻟﻰ اﻟﻧﻘطﺔ اﻟﺗﻲ ھﻲ اﻟﯾوم ﺗﺳﺗﺧدم ﻓﻲ ھﺟﻣﺎت ﻣﺗطورة ﻣﻊ اﻟدواﻓﻊ اﻟﻣﺎﻟﯾﺔ ﻣن ﻗﺑل اﻟﻌﺻﺎﺑﺎت اﻹﺟراﻣﯾﺔ اﻟﻣﻧظﻣﺔ .ﻛﯾف ﺣدث ﻛل ھذا؟ ﻧﺑدأ ﺳﻌﯾﻧﺎ ﻟﻠﺣﺻول ﻋﻠﻰ إﺟﺎﺑﺎت ﻣن ﺧﻼل دراﺳﺔ اﻻﻓﺗراﺿﺎت واﻟﻣﺑﺎدئ اﻟﺗﻲ ﺑﻧت اﻹﻧﺗرﻧت. ﻣﺑﺎدئ ﺗﺻﻣﯾم اﻹﻧﺗرﻧت )(Design Principles of The Internet اﻟﻧﺷﺎط اﻟﺳﺎﺑﻖ ﻹﻧﺗرﻧت اﻟﯾوم ،ھو ،(Advanced Research Project Agency Network) ARPANETواﻟذي ﺗم إﻧﺷﺎﺋﮫ ﻓﻲ أواﺧر 1960ﻋﻧدﻣﺎ ﻛﺎﻧت أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﻏﯾر ﻣوﺟودة ﻓﻲ ﻛل ﻣﻧزل وﻣﻛﺗب .ﺑدﻻ ﻣن ذﻟك ،ﻓﺈﻧﮭﺎ ﻣوﺟودة ﻓﻲ اﻟﺟﺎﻣﻌﺎت واﻟﻣؤﺳﺳﺎت اﻟﺑﺣﺛﯾﺔ ،وﻛﺎﻧت ﺗﺳﺗﺧدم ﻣن ﻗﺑل اﻟﻣوظﻔﯾن ذوي اﻟﺧﺑرة واﻟﻣﻌرﻓﺔ ﻟﻠﺣﺳﺎﺑﺎت اﻟﻌﻠﻣﯾﺔ .ﻛﺎن ﯾﻧظر اﻟﻰ أﻣن اﻟﻛﻣﺑﯾوﺗر اﻟﻰ اﻣن اﻟﻣﺿﯾﻔﯾن ﻋﻠﻰ اﻧﮫ أﻣن ﺗﻣﺎﻣﺎ ،وﻻ ﯾوﺟد أﻣن اﻟﺷﺑﻛﺎت ،ﺣﯾث أن ﻣﻌظم اﻟﻣﺿﯾﻔﯾن ﻟم ﯾﻛن ﺑﻌد ﻣﺗرﺑطﯾن ﺷﺑﻛﯾﺎ ﻋن ﺑﻌد .ﻛﻣﺎ أﺻﺑﺣت ھذه اﻟﺣﺳﺎﺑﺎت أﻛﺛر ﺗﻘدﻣﺎ وﺑدأت أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﺗﻛﺗﺳب وﺟودا ﻛﺑﯾرا ﻓﻲ أﻧﺷطﺔ اﻟﺑﺣث ،أدرك اﻟﻧﺎس أن رﺑط ﺷﺑﻛﺎت اﻟﺑﺣث وﺗﻣﻛﯾﻧﮭم ﻣن اﻟﺗﺣدث ﻣﻊ ﺑﻌﺿﮭم اﻟﺑﻌض ﻓﻲ ﻟﻐﺔ ﻣﺷﺗرﻛﺔ ﻣن ﺷﺄﻧﮫ دﻓﻊ ﻋﺟﻠﺔ اﻟﺗﻘدم اﻟﻌﻠﻣﻲ .ﻛﻣﺎ اﺗﺿﺢ ،ﺣﯾث ﻗدم اﻹﻧﺗرﻧت اﻟﺗطور ﻓﻲ أﻛﺛر ﻣن ﻣﺟﺎل اﻟﻌﻠم ،أﻧﮫ ﺗﺣول وﺛورة ﻓﻲ ﺟﻣﯾﻊ ﺟواﻧب ﺣﯾﺎة اﻹﻧﺳﺎن ،وﻟﻛن ﻣﻊ ذﻟك ﻗدم ﺑﻌض اﻟﻣﺷﺎﻛل اﻟﺟدﯾدة ﻋﻠﻰ طول اﻟطرﯾﻖ. Packet-Switched Networks ﻛﺎﻧت اﻟﻔﻛرة اﻷﺳﺎﺳﯾﺔ ﻓﻲ ﺗﺻﻣﯾم اﻹﻧﺗرﻧت ھﻲ ﻓﻛرة ﺷﺑﻛﮫ ﺗﺣوﯾل اﻟﺣزم ) .(packet-switched networkوﻻدة اﻹﻧﺗرﻧت ﺣدث ﻓﻲ ﻣﻧﺗﺻف اﻟﺣرب اﻟﺑﺎردة ،ﻋﻧدﻣﺎ ﻛﺎن ﺧطر اﻟﺣرب اﻟﻌﺎﻟﻣﯾﺔ ﻣﻌﻠﻘﺔ ﻓﻲ أﻧﺣﺎء اﻟﻌﺎﻟم .وﻛﺎﻧت ﺷﺑﻛﺔ اﻻﺗﺻﺎﻻت ﺑﺎﻟﻔﻌل ﺣﺎﺳﻣﺔ ﻟﻛﺛﯾر ﻣن اﻟﻌﻣﻠﯾﺎت اﻟﺣﯾوﯾﺔ ﻓﻲ اﻟدﻓﺎع ،وﻛﺎن أداؤھﺎ ﻋﺑر ﺧطوط ﻣﺧﺻﺻﺔ ﻣن ﺧﻼل ﺷﺑﻛﺔ ﻋﺑر ﻣﺣوﻻت اﻟدارة اﻟﻛﮭرﺑﺎﺋﯾﺔ ).(circuit-switched network ﻛﺎن ھذا اﻟﺗﺻﻣﯾم ﻣﻛﻠف وﺿﻌﯾف .ﻛﺎﻧت اﻟوﻛﺎﻻت اﻟﺣﻛوﻣﯾﺔ ﺗﻘوم ﺑﺎﻟدﻓﻊ ﻣن اﺟل اﻗﺎﻣﺔ اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﻠﺷﺑﻛﺔ ﻓﻲ ﻛل ﻣﻛﺎن ﻛﺎن ﻓﯾﮭﺎ اﻟﻌﻘد اﻟﺣرﺟﺔ ،ﺛم اﻗﺎﻣﺔ ﻗﻧوات اﺗﺻﺎل ﻟﻛل زوج ﻣن اﻟﻌﻘد ﻟﻠﺗﻲ ﯾرﯾد اﻟﺗﺣدث ﻣﻊ ﺑﻌﺿﮭم اﻟﺑﻌض. د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1028 ﻣن ﺧﻼل ھذه اﻻﺗﺻﺎﻻت ،ﺗم ﺗﻣﮭﯾد اﻟطرﯾﻖ ﻣن اﻟﻣرﺳل إﻟﻰ اﻟﻣﺗﻠﻘﻲ .ﺷﺑﻛﺔ وﺳﯾطﺔ ﻣﺣﻔوظﺔ اﻟﻣوارد ﻟﻼﺗﺻﺎﻻت اﻟﺗﻲ ﻻ ﯾﻣﻛن ان ﺗﺗﻘﺳﻣﺎ اﻟﻣﻌﻠوﻣﺎت ﻣﻊ ﻏﯾرھﺎ ﻣن أزواج ﻣﺻدر اﻟوﺟﮭﺔ .ھذه اﻟﻣوارد ﯾﻣﻛن ﺗﺣرﯾرھﺎ ﺑﻣﺟرد اﻧﺗﮭﺎء اﻻﺗﺻﺎل .وﺑﺎﻟﺗﺎﻟﻲ ،إذا ﻛﺎن اﻟﻣرﺳل واﻟﻣﺗﻠﻘﻲ ﺗﺣدث ﺑﺷﻛل ﻏﯾر ﻣﻧﺗظم وﻟﻛن ﻓﻲ دﻓﻌﺎت ﻛﺑﯾرة اﻟﺣﺟم ،ﻓﺈﻧﮭﺎ ﺗؤدى اﻟﻰ اﺳﺗﺧدام ﻗدرا ﻛﺑﯾرا ﻣن اﻟﻣوارد. ﻛﺎﻧت اﻟﻣﺷﻛﻠﺔ اﻷﻛﺑر ﻓﻲ ﺿﻌف اﻻﺗﺻﺎﻻت واﻟﺗﻲ ﺗرﺟﻊ إﻟﻰ ﻓﺷل اﻟﻌﻘدة اﻟوﺳﯾطﺔ .ﻛﺎن ﺧط اﻻﺗﺻﺎل ﻣﺧﺻص ﯾﻌﺗﻣد ﻋﻠﯾﮫ ﻛﻣﺎ ﯾوﺟد ﻧﻘطﺔ ﺿﻌف اﻟﻌﻘدة اﻟوﺳﯾطﺔ .ﻋﻘدة واﺣدة أو ﻓﺷل اﻻرﺗﺑﺎط أدت إﻟﻰ ﺗﻣزق ﺧط اﻻﺗﺻﺎﻻت ﻛﻠﮫ .إذا ﻛﺎن ھﻧﺎك ﺧط آﺧر ﻣﺗﺎح ،ﻛﺎن ﻻ ﺑد ﻣن وﺿﻊ ﻗﻧﺎة ﺟدﯾدة ﺑﯾن اﻟﻣرﺳل واﻟﻣﺗﻠﻘﻲ ﻣن اﻟﺑداﯾﺔ .وﻛﺎن اﻟﻌﻘد اﻟﻣوﺻﻠﺔ ﻓﻲ اﻟﺷﺑﻛﺎت circuit-switched networksذات ﺑﺿﻌﺔ أﺳطر ﻣﺗﺎﺣﺔ، واﻟﺗﻲ ﻛﺎﻧت ﻋﺑﺎره ﻋن ﺧطوط ذات ﺟودة ﻋﺎﻟﯾﺔ ﻣﺧﺻﺻﺔ ﻟرﺑط اﻻﺗﺻﺎل ﻣن ﻧﻘطﺔ إﻟﻰ ﻧﻘطﺔ ﺑﯾن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر .ﻛﺎﻧت ھذه ﻟﯾس ﻓﻘط ﻣﻛﻠﻔﺔ ﺟدا ،وﻟﻛن ﺟﻌل ھﯾﻛل اﻟﺷﺑﻛﺔ ﻋرﺿﺔ ﻟﻠﻐﺎﯾﺔ ﻟﻌﻘدة اﻻرﺗﺑﺎط واﻟﻔﺷل اﻟﺑدﻧﻲ وﺑﺎﻟﺗﺎﻟﻲ ﻻ ﯾﻣﻛن أن ﺗوﻓر اﺗﺻﺎﻻت ﻣوﺛوﻗﺔ ﻓﻲ ﺣﺎﻟﺔ اﻻﻋﺗداء اﻟﺟﺳدي اﻟﻣﺳﺗﮭدف .اﻟﺗﻘرﯾر ﻻ ﯾﻧﺎﻗش ھذا ﻓﻘط ﺑﺎﻟﺗﻔﺎﺻﯾل ،وﻟﻛن ﯾﻘدم أﯾﺿﺎ ﻧﺗﺎﺋﺞ اﻟﻣﺣﺎﻛﺎة اﻟﺗﻲ أظﮭرت أن إﺿﺎﻓﺔ اﻟﻣزﯾد ﻣن اﻟﻌﻘد واﻟرواﺑط ﻟﺷﺑﻛﺔ ﻋﺑر ﻣﺣوﻻت اﻟدارة اﻟﻛﮭرﺑﺎﺋﯾﺔ circuit-switched networksﯾﺣﺳن ﺑﺷﻛل أﺳﺎﺳﻲ اﻟوﺿﻊ. ظﮭرت ﺷﺑﻛﺔ ﺗﺑدﯾل اﻟﺣزم ) (packet-switched networkﺑﻣﺛﺎﺑﺔ ﻧﻣوذج ﺟدﯾد ﻟﺗﺻﻣﯾم اﻟﺷﺑﻛﺎت .وﺗﺗﻛون ھذه اﻟﺷﺑﻛﺔ ﻣن اﻟﻌدﯾد ﻣن اﻟﻌﻘد ذات اﻟﺗﻛﻠﻔﺔ اﻟﻣﻧﺧﻔﺿﺔ ،وﻻ ﯾﻣﻛن اﻻﻋﺗﻣﺎد ﻋﻠﯾﮭﺎ واﻟرواﺑط اﻟﺗﻲ ﺗرﺑط اﻟﻣرﺳﻠﯾن واﻟﻣﺳﺗﻘﺑﻠﯾن .اﻧﺧﻔﺎض ﺗﻛﻠﻔﺔ ﻣوارد اﻟﺷﺑﻛﺔ ﯾﺳﮭل ﺑﻧﺎء ﺷﺑﻛﺔ أﻛﺑر ﺑﻛﺛﯾر وﻣرﺗﺑطﺔ أﻛﺛر ﺑﺈﺣﻛﺎم ﻣﻣﺎ ﻛﺎﻧت ﻋﻠﯾﮫ ﻓﻲ ﺣﺎﻟﺔ ﻋﺑر ﻣﺣوﻻت اﻟدارة اﻟﻛﮭرﺑﺎﺋﯾﺔ ) ،(circuit-switched networksوﺗوﻓﯾر ﺗﻛرار اﻟﻣﺳﺎرات .وﯾﺗم ﺗﺣﻘﯾﻖ ﻣوﺛوﻗﯾﺔ اﻻﺗﺻﺎل ﻋﺑر اﻟﻧﺳﯾﺞ اﻟذي ﻻ ﯾﻣﻛن اﻻﻋﺗﻣﺎد ﻋﻠﯾﮭﺎ ﻣن ﺧﻼل اﻟراﺑط وﻋﻘدة اﻟﺗﻛرار وﺑروﺗوﻛوﻻت ﻧﻘل ﻗوﯾﺔ .ﺑدﻻ ﻣن وﺟود ﻗﻧوات ﻣﺧﺻﺻﺔ ﺑﯾن اﻟﻣرﺳل واﻟﻣﺗﻠﻘﻲ ،ﯾﺟري ﺗﻘﺎﺳم ﻣوارد اﻟﺷﺑﻛﺔ ﺑﯾن اﻟﻌدﯾد ﻣن أزواج اﻻﺗﺻﺎﻻت .اﻟﻣرﺳﻠﯾن واﻟﻣﺳﺗﻘﺑﻠﯾن ﯾﻘوﻣون ﺑﺎﻻﺗﺻﺎل ﻣن ﺧﻼل اﻟﺣزم ،ﻣﻊ ﻛل ﺣزﻣﮫ ﺗﺣﻣل اﻟﻣﻧﺷﺄ وﻋﻧوان اﻟوﺟﮭﺔ ،وﺑﻌض ﻣﻌﻠوﻣﺎت اﻟﺗﺣﻛم ﻓﻲ رأﺳﮭﺎ .وﻟﺗﻔﺎدي طﺎﺑور اﻟﺣزم وﺗداﺧل ﻣن اﻟﻌدﯾد ﻣن اﻻﺗﺻﺎﻻت ﻓﺎن اﻟﻌﻘد اﻟوﺳﯾط ﻛﺎﻧت ﺗﻘوم ﺑﺈرﺳﺎﻟﮭم ﻓﻲ أﺳرع وﻗت ﻣﻣﻛن ﺑﺄﻓﺿل اﻟطرق اﻟﻣﺗﺎﺣﺔ إﻟﻰ وﺟﮭﺗﮭم .إذا أﺻﺑﺢ اﻟﻣﺳﺎر اﻟﺣﺎﻟﻲ ﻏﯾر ﻣﺗوﻓر ﺑﺳﺑب ﻋﻘدة أو ﻓﺷل اﻻرﺗﺑﺎط ،ﻓﺎن طرﯾﻖ ﺟدﯾد ﯾﻛﺗﺷف ﺑﺳرﻋﮫ ﻋﻘد وﺳﯾطﮫ ﺣﯾث ﯾﺗم إرﺳﺎل اﻟﺣزم اﻟﻼﺣﻘﺔ ﻋﻠﻰ ھذا اﻟطرﯾﻖ اﻟﺟدﯾد .ﻻﺳﺗﺧدام ﻣوارد اﻻﺗﺻﺎﻻت أﻛﺛر ﻛﻔﺎءة ،ﻗد ﺗﻛون اﻟرواﺑط ذات ﻣﺗﻐﯾرات ﻣﻌدل اﻟﺑﯾﺎﻧﺎت .ﻟﻠﺗﻌوﯾض ﻋن اﻟﺗﻧﺎﻗض أﺣﯾﺎﻧﺎ ﻓﻲ ﻣﻌدﻻت اﻻرﺗﺑﺎط اﻟواردة واﻟﺻﺎدرة ،وﻻﺳﺗﯾﻌﺎب ﺣرﻛﺔ اﻟﻣرور ذات اﻟدﻓﻌﺎت اﻟﻛﺑﯾرة ،ﻓﺎن اﻟﻌﻘد اﻟوﺳﯾطﺔ ﺗﺳﺗﺧدم ﻟﻠﺗﺧزﯾن وﻣن ﺛم إﻋﺎدة اﻟﺗوﺟﯾﮫ اﻟﻰ اﻷﻣﺎم ،ﺗﺧزن اﻟﺣزم ﻓﻲ ﻣﺧزن ﻣؤﻗت ﺣﺗﻰ اﻟوﺻﻠﺔ اﻟﺗﻲ ﺗؤدي إﻟﻰ اﻟوﺟﮭﺔ ﺗﺻﺑﺢ ﻣﺗوﻓرة .وﻗد أظﮭرت اﻟﺗﺟﺎرب أن ﺗﺧزﯾن وﻣن ﺛم اﻟﺗﺑدل ﺑﺎﻟدﻓﻊ إﻟﻰ اﻷﻣﺎم ﯾﻣﻛن أن ﯾﺣﻘﻖ ﻣﯾزة ﻛﺑﯾرة ﻣﻊ اﻟﺗﺧزﯾن اﻟﻘﻠﯾل ﺟدا ﻓﻲ اﻟﻌﻘد اﻟوﺳﯾطﺔ. ﻧﻣوذج ﺷﺑﻛﺔ ﺗﺑدﯾل اﻟﺣزم ) (packet-switched networkھﻲ ﺛورة ﻓﻲ ﻋﺎﻟم اﻻﺗﺻﺎﻻت .ﺟﻣﯾﻊ اﻟﻣﺑﺎدئ اﻟﺗﺻﻣﯾﻣﺔ ﺗﺣﺳﻧت ﻛﺛﯾرا ﺑﺳرﻋﺔ اﻻﻧﺗﻘﺎل واﻟﻣوﺛوﻗﯾﺔ واﻧﺧﻔﺎض ﺗﻛﻠﻔﺔ اﻻﺗﺻﺎﻻت ،ﻣﻣﺎ أدى إﻟﻰ اﻹﻧﺗرﻧت اﻟذي ﻧﻌرﻓﮫ اﻟﯾوم؟ رﺧﯾﺻﺔ وﺳرﯾﻌﺔ وﻣوﺛوق ﺑﮭﺎ ﻟﻠﻐﺎﯾﺔ .وﻣﻊ ذﻟك، ﻓﺈﻧﮭﺎ أﯾﺿﺎ ﺧﻠﻖ أرﺿﯾﺔ ﺧﺻﺑﺔ ﻟﺳوء اﻻﺳﺗﺧدام ﻣن ﻗﺑل اﻟﻣﺷﺎرك اﻟﺧﺑﯾث .دﻋوﻧﺎ ﻧﻠﻘﻲ ﻧظرة ﻓﺎﺣﺻﺔ ﻋﻠﻰ ﻣﺑﺎدئ ﺗﺻﻣﯾم ﺷﺑﻛﺔ ﺗﺑدﯾل اﻟﺣزم. ﻻ ﺗوﺟد ﻣوارد ﻣﺧﺻﺻﺔ ﺑﯾن اﻟﻣرﺳل واﻟﻣﺗﻠﻘﻲ .ھذه اﻟﻔﻛرة ﺳﻣﺣت ﺑزﯾﺎدة ﻣﺿﺎﻋﻔﺔ اﻹﻧﺗﺎﺟﯾﺔ ﻓﻲ اﻟﺷﺑﻛﺔ ﻋن طرﯾﻖ اﻟﺣزم اﻟﻣﺗﻧوﻋﺔﻣن اﻟﻌدﯾد ﻣن اﻻﺗﺻﺎﻻت اﻟﻣﺧﺗﻠﻔﺔ .ﺑدﻻ ﻣن ﺗوﻓﯾر ﻗﻧﺎة ﻣﺧﺻﺻﺔ ﻣﻊ ﻋرض ﻧطﺎق اﻟﺗرددي ﻋﺎﻟﻲ ) (bandwidthﻟﻛل اﻻﺗﺻﺎﻻت ،ﻓﺎن رواﺑط ﺗﺑﺎدل اﻟﺣزم ) (packet-switched linksﯾﻣﻛﻧﮭﺎ ﺗدﻋﯾم اﻟﻌدﯾد ﻣن اﻻﺗﺻﺎﻻت ﻣن ﺧﻼل اﻻﺳﺗﻔﺎدة ﻣن ﺣﻘﯾﻘﺔ أن ذروة اﻻﺳﺗﺧدام ﻻ ﺗﺣدث ﻓﻲ ﻛل ﻣﻧﮭﺎ دﻓﻌﺔ واﺣدة .واﻟﺟﺎﻧب اﻟﺳﻠﺑﻲ ﻣن ھذا اﻟﺗﺻﻣﯾم ھو أﻧﮫ ﻻ ﯾوﺟد أي ﺿﻣﺎن ﻟﻠﻣوارد، وھذا ھو ﺑﺎﻟﺿﺑط ﺳﺑب ﻣرور ھﺟوم DDoSاﻟﻌدواﻧﻲ اﻟذي ﯾﻣﻛن أن ﯾﺄﺧذ اﻟﻣوارد ﻣن اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺷرﻋﯾﯾن .ﺗم إﺟراء اﻟﻛﺛﯾر ﻣن اﻟﺑﺣوث ﻓﻲ ﺗﻘﺎﺳم اﻟﻣوارد اﻟﻌﺎدﻟﺔ وﺣﺟز اﻟﻣوارد ﻋﻠﻰ اﻟﻌﻘدة اﻟوﺳﯾطﺔ ،ﻟﺗﻘدﯾم ﺿﻣﺎﻧﺎت ﻟﺧدﻣﺔ ﺣرﻛﺔ اﻟﻣرور اﻟﻣﺷروﻋﺔ ﻓﻲ وﺟود ﻣﺳﺗﺧدﻣﯾن ﺿﺎرﯾن .ﺑﯾﻧﻣﺎ ﺣﻔظ اﻟﻣوارد واﻟﺗﻘﺎﺳم اﻟﻌﺎدل ﻟﺿﻣﺎن اﻻﺳﺗﺧدام اﻟﻣﺗوازن ﺑﯾن اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺷرﻋﯾﯾن ،ﻻ ﺗﺣل ﻣﺷﻛﻠﺔ .DDoSﺑروﺗوﻛوﻻت ﺣﻔظ اﻟﻣوارد ) (Resource reservation protocolsﻣﻧﺗﺷرة ﻗﻠﯾﻼ وﺑﺎﻟﺗﺎﻟﻲ ﻻ ﯾﻣﻛن أن ﯾﻛون ﻟﮭﺎ ﺗﺄﺛﯾر ﻛﺑﯾر ﻋﻠﻰ ﺣرﻛﺔ ﻣرور .DDoSﻧﮭﺞ ﺗﻘﺎﺳم اﻟﻣوارد ﺗﺧﺻﯾص ﺣﺻﺔ ﻋﺎدﻟﺔ ﻣن اﻟﻣوارد ﻟﻛل ﻣﺳﺗﺧدم )ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻋرض اﻟﻧطﺎق اﻟﺗرددي ،ووﻗت وﺣدة اﻟﻣﻌﺎﻟﺟﺔ اﻟﻣرﻛزﯾﺔ ،وﻣﺳﺎﺣﺔ اﻟﻘرص( .ﻓﻲ ﺳﯾﺎق اﻹﻧﺗرﻧت ،ﺗﺻﺎﻋدت اﻟﻣﺷﻛﻠﺔ ﺑﺈﻧﺷﺎء ھوﯾﺔ اﻟﻣﺳﺗﺧدم ﺑﺳﺑب .IP Spoofingﺣﯾث ﺗﻣﻛن اﻟﻣﮭﺎﺟم ﻣن ﺗزﯾف اﻟﻌدﯾد ﻣن اﻟﮭوﯾﺎت ﻛﻣﺎ ﯾرﯾد واﺣﺗﻛﺎر اﻟﻣوارد ﻋﻠﻰ اﻟرﻏم ﻣن آﻟﯾﺔ اﻟﺗﺑﺎدل اﻟﻌﺎدﻟﺔ .ﺣﺗﻰ ﻟو ﺗم ﺣل ھذه اﻟﻣﺷﺎﻛل ،ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم ﺟﻌل اﻟﺧدﻣﺔ ﺑطﯾﺋﺔ ﻋﻠﻰ ﻧﺣو ﻓﻌﺎل ﺑﺎﻟﻧﺳﺑﺔ اﻟﻰ اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺷرﻋﯾﯾن إﻟﻰ ﻣﻌدل ﻏﯾر ﻣﻘﺑول ﻣن اﺧﺗراق آﻻت اﻟﻛﺎﻓﯾﺔ واﺳﺗﺧدام ﻣواردھﺎ. اﻟﺣزم ﯾﻣﻛﻧﮭﺎ اﻟﺳﻔر ﻋﻠﻰ أي طرﯾﻖ ﺑﯾن اﻟﻣرﺳل واﻟﻣﺗﻠﻘﻲ .ﺗﺻﻣﯾم ﺷﺑﻛﺔ ﺗﺣوﯾل اﻟﺣزم ) (packet-switched networkﺳﮭلﺗطوﯾر ﺧوارزﻣﯾﺎت اﻟﺗوﺟﯾﮫ اﻟدﯾﻧﺎﻣﯾﻛﻲ اﻟذي ﯾﻛﺗﺷف ﺑﺳرﻋﺔ طرﯾﻘﺎ ﺑدﯾﻼ إذا ﻓﺷل أﺣد اﻻﺑﺗداﺋﻲ .ھذا ﯾﻌزز إﻟﻰ ﺣد ﻛﺑﯾر ﻗوة اﻻﺗﺻﺎﻻت واﻟﺣزم ﻓﻲ اﻟرﺣﻠﺔ اﻟﺗﻲ ﯾﻣﻛن أن ﺗﺄﺧذ طرﯾﻘﺎ ﻣﺧﺗﻠﻔﺎ إﻟﻰ اﻟﻣﺗﻠﻘﻲ ﻣن ﺗﻠك اﻟﺗﻲ ﻛﺎﻧت ﺳﺎرﯾﺔ اﻟﻣﻔﻌول ﻋﻧدﻣﺎ ﺗم إرﺳﺎﻟﮭﺎ. ﯾﺗم ﺗﻧﻔﯾذ ﺗﻐﯾﯾر اﻟطرﯾﻖ وﻋﻣﻠﯾﺔ اﻻﺧﺗﯾﺎر ﻋن طرﯾﻖ ﻋﻘد وﺳﯾطﺔ ﺗﺗﺄﺛر ﻣﺑﺎﺷرة ﻋﻧد ﻓﺷل اﻟطرﯾﻖ ،وﺷﻔﺎﻓﺔ ﻟﻠﻣﺷﺎرﻛﯾن اﻵﺧرﯾن ،ﺑﻣﺎ ﻓﻲ ذﻟك اﻟﻣرﺳل واﻟﻣﺗﻠﻘﻲ .ھذا ﯾﺳﮭل ﺳرﻋﺔ ﺗوﺟﯾﮫ اﻟﺣزﻣﺔ اﻟﻰ اﻻﻣﺎم وﺗﻘﻠﯾل رﺳﺎﺋل اﻟﺗوﺟﯾﮫ ،وﻟﻛن ﻟدﯾﮭﺎ اﻵﺛﺎر اﻟﺟﺎﻧﺑﯾﺔ ﺣﯾث اﻧﮫ ﻻ ﯾوﺟد ﻋﻘدة واﺣده ﻓﻲ اﻟﺷﺑﻛﺔ ﺗﻌرف اﻟﻣﺳﺎر اﻟﻛﺎﻣل ﺑﯾن أﺻل اﻟﺣزﻣﺔ واﻟوﺟﮭﺔ ﻟﺗوﺿﯾﺢ ذﻟك ،دﻋوﻧﺎ ﻧراﻗب اﻟﺷﺑﻛﺔ ﻓﻲ اﻟﺷﻛل اﻟﺗﺎﻟﻲ. د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1029 ﻧﻔﺗرض أن اﻟﻣﺳﺎر ﻣن Aإﻟﻰ Bﯾؤدي ﻣن ﺧﻼل ﻋﻘدة واﺣدة ،C ،وأن اﻟﻌﻘدة Dھو ﻓﻲ ﻣﻛﺎن ﻣﺎ ﻋﻠﻰ اﻟﺟﺎﻧب اﻵﺧر ﻣن اﻹﻧﺗرﻧت. إذا Dﻻ ﯾرى اﺑدا طرﯾﻖ اﻟﺣزﻣﺔ ﻣن Aإﻟﻰ ،Bوﻻ ﯾﻣﻛﻧﮫ اﻻﺳﺗدﻻل إذا ﻛﺎن ﻋﻧوان اﻟﻣﺻدر ) (Aوھﻣﻲ ،أو إذا ﻓﺷﻠت Cﺑطرﯾﻘﺔ أو ﺑﺄﺧرى واﻟﺣزﻣﺔ ﺗﺣﺎول اﺗﺑﺎع ﻣﺳﺎر ﺑدﯾل .ﻟذﻟك ،ﻓﺈن Dﺳوف ﯾﻘوم ﺑﺳﻌﺎدة ﺗوﺟﯾﮫ اﻟﺣزﻣﺔ إﻟﻰ .Bﯾوﺿﺢ ھذا اﻟﻣﺛﺎل ﻟﻣﺎذا ﯾﺻﻌب ﻛﺷف اﻟﺣزم اﻟﻣﻐﺷوﺷﺔ IP spoofing .ھﻲ واﺣدة ﻣن اﻟﻘطﻊ اﻟﻣرﻛزﯾﺔ ﻟﻣﺷﻛﻠﺔ .DDoSﻟﯾس ﻣن اﻟﺿروري ﻟﻛﺛﯾر ﻣن ھﺟﻣﺎت ،DDoSﻟﻛﻧﮫ ﯾزﯾد ﻣن ﺗﻔﺎﻗم اﻟﻣﺷﻛﻠﺔ ﺑﺷﻛل ﻛﺑﯾر وﺗﺣدﯾﺎت ﺿد ﻧﮭﺞ اﻟدﻓﺎع اﻟﻌدﯾد اﻟﻣﺳﺗﺧدم ﺿد .DDoS
-
اﻟرواﺑط اﻟﻣﺧﺗﻠﻔﺔ ﻟﮭﺎ ﻣﻌدﻻت ﺑﯾﺎﻧﺎت ﻣﺧﺗﻠﻔﺔ .ھذا ھو ﻣﺑدأ اﻟﺗﺻﻣﯾم اﻟﻣﻧطﻘﻲ ،وﺑﻌض اﻟرواﺑط ﻣن اﻟطﺑﯾﻌﻲ أن ﺗﺳﺗﺧدم ﺑﺷﻛل أﻛﺑر ﻣن ﻏﯾرھﺎ .ﺗﺳﺑﺑت أﻧﻣﺎط اﺳﺗﺧدام اﻹﻧﺗرﻧت اﻟﻰ ﺗﺗطور طوﺑوﻟوﺟﯾﺎ ﻣﺣددة ،ﺗﺷﺑﮫ اﻟﻌﻧﻛﺑوت ﻣﻊ اﻟﻌدﯾد ﻣن اﻟﺳﯾﻘﺎن .اﻟﻌﻘد ﻓﻲ ﻗﻠب ) (Coreاﻹﻧﺗرﻧت )ﺗﺷﺑﮫ ﺟﺳم اﻟﻌﻧﻛﺑوت( ﻣﺗراﺑطﺔ ﺑﺷﻛل ﻛﺑﯾر ،ﻓﻲ ﺣﯾن أن ﺣﺎﻓﺔ اﻟﻌﻘد )ھﻲ أرﺟل اﻟﻌﻧﻛﺑوت( وﻋﺎدة ﻣﺎ ﯾﻛون واﺣد أو اﺛﻧﯾن ﻣن اﻟﻣﺳﺎر ﻣرﺗﺑطﯾن ﺑﺎﻠ .coreرواﺑط اﻟ coreﺗوﻓر ﻋرض ﻧطﺎق ﺗرددي ﻛﺎﻓﻲ ﻻﺳﺗﯾﻌﺎب ﺣرﻛﺔ اﻟﻣرور اﻟﻛﺛﯾﻔﺔ ﻣن ﻋدة ﻣﺻﺎدر ﻣﺧﺗﻠﻔﺔ إﻟﻰ وﺟﮭﺎت ﻋدﯾدة ،ﻓﻲ ﺣﯾن أن اﻟرواﺑط أﻗرب إﻟﻰ اﻟﺣواف ﺗﺣﺗﺎج ﻓﻘط ﻟدﻋم ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ وﺗﺣﺗﺎج أﻗل ﻋرض ﻟﻠﻧطﺎق اﻟﺗرددي .ﻣن اﻵﺛﺎر اﻟﺟﺎﻧﺑﯾﺔ ﻟﮭذا اﻟﺗﺻﻣﯾم ھو أن ﺣرﻛﺔ اﻟﻣرور ﻣن اﻟراﺑط اﻷﺳﺎﺳﻲ ) (coreﺗﻛون ذات ﻧطﺎق ﺗرددي ﻋﺎﻟﻲ ﯾﻣﻛن أن ﯾطﻐﻰ ﻋﻠﻰ ﻋرض اﻟﻧطﺎق اﻟﺗرددي اﻟﻣﻧﺧﻔض ﻟﺣﺎﻓﺔ اﻟراﺑط إذا ﺣﺎوﻟت ﻣﺻﺎدر ﻋدﯾدة اﻟﺗﺣدث إﻟﻰ ﻧﻔس اﻟوﺟﮭﺔ ﻓﻲ وﻗت واﺣد ،وھذا ﺑﺎﻟﺿﺑط ﻣﺎ ﯾﺣدث أﺛﻧﺎء ھﺟﻣﺎت .DDoS
Best-Effort Service Model and End-To-End Paradigm اﻟﻐرض اﻟرﺋﯾﺳﻲ ﻣن اﻹﻧﺗرﻧت ھو ﺗﺣرﯾك اﻟﺣزم ﻣن اﻟﻣﺻدر إﻟﻰ اﻟوﺟﮭﺔ ﺑﺳرﻋﺔ وﺑﺗﻛﻠﻔﺔ ﻣﻧﺧﻔﺿﺔ .ﻓﻲ ھذا اﻟﻣﺳﻌﻰ ،ﯾﺗم اﻟﺗﻌﺎﻣل ﻣﻊ ﻛﺎﻓﺔ اﻟﺣزم ﻋﻠﻰ ﻗدم اﻟﻣﺳﺎواة وإﻋطﺎء أي ﺿﻣﺎﻧﺎت ﻟﻠﺧدﻣﺔ .ھذا ھو ﻧﻣوذج أﻓﺿل ﺧدﻣﺔ ) ،(Best-Effort Service Modelأﺣد اﻟﻣﺑﺎدئ اﻟرﺋﯾﺳﯾﺔ ﻟﺗﺻﻣﯾم اﻹﻧﺗرﻧت .ﻣﻧذ أن أﺻﺑﺣت اﻟﻣوﺟﮭﺎت ) (routersﻓﻲ ﺣﺎﺟﺔ اﻟﻰ اﻟﺗرﻛز ﻓﻘط ﻋﻠﻰ إﻋﺎدة ﺗوﺟﯾﮫ ﺣرﻛﺔ اﻟﻣرور ،ﻓﻠﻘد ﺗﺻﻣﯾﻣﮭﺎ ﺑﺳﯾط وﻣﺗﺧﺻص ﻟﻠﻐﺎﯾﺔ ﻟﮭذه اﻟﻣﮭﻣﺔ. ﻛﺎن ﻣن اﻟﻣﻔﮭوم ﻓﻲ وﻗت ﻣﺑﻛر أن اﻹﻧﺗرﻧت ﻣن اﻟﻣﺣﺗﻣل أن ﯾﺳﺗﺧدم ﻟﻣﺟﻣوﻋﺔ ﻣﺗﻧوﻋﺔ ﻣن اﻟﺧدﻣﺎت ،اﻟﺗﻲ ﻛﺎن ﺑﻌﺿﮭﺎ ﻻ ﯾﻣﻛن اﻟﺗﻧﺑؤ ﺑﮭﺎ .ﻣن اﺟل اﻟﺣﻔﺎظ ﻋﻠﻰ ﺷﺑﻛﺔ اﻟرﺑط ﻣﺣﺟﻣﮫ ودﻋم ﻛﺎﻓﺔ اﻟﺧدﻣﺎت اﻟﺗﻲ ﻗد ﯾﺣﺗﺎﺟﮭﺎ اﻟﻣﺳﺗﺧدم اﻵن وﻓﻲ اﻟﻣﺳﺗﻘﺑل ،ﻗرر ﻣﺑدﻋﯾن اﻹﻧﺗرﻧت ﺟﻌﻠﮭﺎ ﺑﺳﯾطﺔ .وﻧص ﻧﻣوذج اﻟﻧﮭﺎﯾﺔ إﻟﻰ اﻟﻧﮭﺎﯾﺔ ) (End-To-End Paradigmأن ھﻧﺎك ﻣﺗطﻠﺑﺎت ﻣﺣدده ﻟﻠﺗطﺑﯾﻖ ،ﻣﺛل اﻟﺗﺳﻠﯾم اﻟﻣوﺛوق )) (reliable deliveryأي ﺿﻣﺎن ﺑﺄﻧﮫ ﻟن ﺗظﮭر أي ﺧﺳﺎرة ﻷي ﺣزﻣﮫ( ،اﻟﻛﺷف ﻋن إﻋﺎدة طﻠب اﻟﺣزﻣﺔ ،اﻟﻛﺷف ﻋن اﻟﺧطﺄ واﻟﺗﺻﺣﯾﺢ، وﺟودة ﻣﺗطﻠﺑﺎت اﻟﺧدﻣﺔ ،واﻟﺗﺷﻔﯾر ،واﻟﺧدﻣﺎت اﻟﻣﻣﺎﺛﻠﺔ ،ﻻ ﯾﻧﺑﻐﻲ أن ﺗﻛون ﻣﻌﺗﻣدة ﻣن ﻗﺑل ﺷﺑﻛﺔ اﻟرﺑط وﻟﻛن ﻋن طرﯾﻖ ﺑروﺗوﻛوﻻت اﻟﻧﻘل ﻋﻠﻰ ﻣﺳﺗوى أﻋﻠﻰ اﻟﻣﻧﺗﺷرة ﻓﻲ اﻟﻧﮭﺎﯾﺔ ﻓﻲ ﻋﻧد اﻟﻣﺿﯾﻔﯾن؟ اﻟﻣرﺳل واﻟﻣﺗﻠﻘﻲ .وھﻛذا ،ﻋﻧدﻣﺎ ﯾﺗطﻠب ﺗﺿﻣﯾن ﺗطﺑﯾﻖ ﺟدﯾد ،ﻓﻘط اﻟﻣﺿﯾﻔﯾن اﻟﻣﮭﺗﻣﯾن ﻓﻲ اﻟﻧﮭﺎﯾﺔ ھم ﺑﺣﺎﺟﺔ ﻟﻧﺷر اﻟﺧدﻣﺎت اﻟﺿرورﯾﺔ ،ﺑﯾﻧﻣﺎ ﻻ ﺗزال ﺷﺑﻛﺔ اﻟرﺑط ﺑﺳﯾطﺔ وﺛﺎﺑﺗﺔ .ﺑروﺗوﻛول اﻹﻧﺗرﻧت ) (IPﯾدﯾر اﻟﺗﻼﻋب ﻓﻲ اﻟﺣزﻣﺔ اﻷﺳﺎﺳﯾﺔ ،وﻣﻌﺗﻣد ﻣن ﻗﺑل ﺟﻣﯾﻊ أﺟﮭزة اﻟﺗوﺟﯾﮫ ) (routerواﻟﻣﺿﯾﻔﯾن ﻓﻲ ﻧﮭﺎﯾﺔ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت .اﻟﻣﺿﯾﻔﯾن اﻟﻧﮭﺎﺋﯾﯾن ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ﯾﻘوﻣون ﺑﻧﺷر ﻋدد ﻻ ﯾﺣﺻﻰ ﻣن اﻟﺑروﺗوﻛوﻻت اﻷﺧرى ﻋﻠﻰ ﻣﺳﺗوى أﻋﻠﻰ ﻟﻠﺣﺻول ﻋﻠﻰ ﺿﻣﺎﻧﺎت ﺧدﻣﺔ ﻣﻌﯾﻧﺔ :ﺑروﺗوﻛول اﻟﺗﺣﻛم ﻓﻲ اﻟﻧﻘل ) (TCPﻟﻣوﺛوﻗﯾﺔ ﺗﺳﻠﯾم اﻟﺣزﻣﺔ .ﺑروﺗوﻛول ﻣﺧطط ﺑﯾﺎﻧﺎت اﻟﻣﺳﺗﺧدم ) (UDPﻟﺗدﻓﻖ ﺣرﻛﺔ اﻟﻣرور ﺑﺳﯾط .ﺑروﺗوﻛول اﻟوﻗت اﻟﺣﻘﯾﻘﻲ ) ،(RTPﺑرﺗوﻛول اﻟﺗﺣﻛم ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ ) ،(RTCPﺑروﺗوﻛول دﻓﻖ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ ) (RTSPﻟﺗدﻓﻖ ﺣرﻛﺔ ﻣرور وﺳﺎﺋل اﻹﻋﻼم؛ وﺑروﺗوﻛول اﻟﺗﺣﻛم ﻓﻲ رﺳﺎﺋل اﻹﻧﺗرﻧت ) (ICMPﻟرﺳﺎﺋل اﻟﺳﯾطرة .ﯾﺗم ﺑﻧﺎؤھﺎ ﺣﺗﻰ اﻟﺧدﻣﺎت ذات اﻟﻣﺳﺗوى اﻟﻌﺎﻟﻲ ﻋﻠﻰ ھؤﻻء ،ﻣﺛل ﻧﻘل اﻟﻣﻠﻔﺎت ،ﺗﺻﻔﺢ اﻹﻧﺗرﻧت ،اﻟرﺳﺎﺋل اﻟﻔورﯾﺔ ،اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،وﻋﻘد اﻟﻣؤﺗﻣرات ﻋﺑر اﻟﻔﯾدﯾو. ﻛﺛﯾرا ﻣﺎ ﯾﻔﮭم ذرﯾﻌﺔ اﻟﻧﮭﺎﯾﺔ إﻟﻰ اﻟﻧﮭﺎﯾﺔ ﻛﻣﺑرر ﻟﯾس ﻹﺿﺎﻓﺔ وظﺎﺋف ﺟدﯾدة إﻟﻰ ﺷﺑﻛﺔ اﻟرﺑط اﻟﺑﯾﻧﻲ .ﺗﺗﺑﻊ ھذا اﻟﻣﻧطﻖ ،ﻓﺈن وﻗوع دﻓﺎﻋﺎت DDoSﻓﻲ ﺷﺑﻛﺔ اﻟرﺑط ﻟن ﯾﻛون ﻣﻘﺑوﻻ .وﻣﻊ ذﻟك ،ﻓﺈن ذرﯾﻌﺔ اﻟﻧﮭﺎﯾﺔ إﻟﻰ اﻟﻧﮭﺎﯾﺔ ،ﻛﻣﺎ ﺟﺎء ﻓﻲ اﻷﺻل ،ﻟم ﯾدﻋﻲ أن اﻟﻣﻧﺎطﻖ اﻟداﺧﻠﯾﺔ ﻣن اﻟﺷﺑﻛﺔ ﻻ ﯾﻧﺑﻐﻲ أﺑدا أن ﺗﺿﺎف ﻣرة أﺧرى ﻣﻊ أي وظﯾﻔﺔ ،ﻛﻣﺎ أن ﺟﻣﯾﻊ اﻟﺗﻐﯾرات اﻟﻣﺳﺗﻘﺑﻠﯾﺔ ﻓﻲ ﺳﻠوك اﻟﺷﺑﻛﺔ ﻛﺎن ﻻ ﺑد ﻣن د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1030 ﺗﻧﻔﯾذھﺎ ﻓﻘط ﻋﻠﻰ اﻟﻧﮭﺎﯾﺎت .ﻛﺎن ﺟوھر ھذه اﻟذرﯾﻌﺔ أن اﻟﺧدﻣﺎت اﻟوﺣﯾدة اﻟﺗﻲ ﻛﺎﻧت ﻣطﻠوﺑﺔ ﻟﻠﺟﻣﯾﻊ أو ﻣﻌظم ﺣرﻛﺔ اﻟﻣرور ﺗﻌود ﻓﻲ وﺳط اﻟﺷﺑﻛﺔ .وﺿﻌت اﻟﺧدﻣﺎت اﻟﺗﻲ ﻛﺎﻧت ﻣﺣددة ﻷﻧواع ﻣﻌﯾﻧﺔ ﻣن ﺣرﻛﺔ اﻟﻣرور ﺑﺷﻛل أﻓﺿل ﻋﻠﻰ ﺣﺎﻓﺔ اﻟﺷﺑﻛﺔ. ﻣﻛون آﺧر ﻣن ذرﯾﻌﺔ اﻟﻧﮭﺎﯾﺔ إﻟﻰ اﻟﻧﮭﺎﯾﺔ أن اﻟﻣﮭﺎم اﻷﻣﻧﯾﺔ )واﻟﺗﻲ ﺗﺷﻣل اﻟﺗﺣﻛم واﻻﺳﺗﺟﺎﺑﺔ ﻟوظﺎﺋف اﻟوﺻول ﻟﻠﺗﺧﻔﯾف ﻣن اﻟﮭﺟﻣﺎت( ﻛﺎﻧت ﻣن ﻣﺳؤوﻟﯾﺔ اﻷﺟﮭزة اﻟﻣوﺟودة ﻓﻲ اﻟﺣﺎﻓﺔ )أي اﻟﻣﺿﯾﻔﯾن اﻟﻧﮭﺎﺋﯾﯾن( وﻻ ﯾوﺟد ﺷﯾﺋﺎ ﻓﻲ اﻟﺷﺑﻛﺔ ﯾﻧﺑﻐﻲ اﻟﻘﯾﺎم ﺑﮫ .ھذه اﻟذرﯾﻌﺔ ﺗﻔﺗرض أن أﺻﺣﺎب اﻟﻣﺿﯾﻔﯾن اﻟﻣوﺟودون ﻓﻲ اﻟﻧﮭﺎﯾﺔ: ﯾﻣﻠﻛون اﻟﻣوارد ،ﺑﻣﺎ ﻓﻲ ذﻟك اﻟوﻗت ،واﻟﻣﮭﺎرات ،واﻷدوات ،ﻟﺿﻣﺎن أﻣن ﻛل ﻣﺿﯾف ﻣوﺟود ﻓﻲ اﻟﻧﮭﺎﯾﺔ. ﻗﺎدرﯾن ﻋﻠﻰ ﻣﻼﺣظﺔ أي إﺷﻌﺎر ﻟﻧﺷﺎط ﺿﺎر ﻋﻠﻰ أﻧﻔﺳﮭم واﺗﺧﺎذ إﺟراءات اﻻﺳﺗﺟﺎﺑﺔ ﺑﺳرﻋﺔ.إﻧﮭﺎ ﺗﻔﺗرض أﯾﺿﺎ أن اﻟﻣﺿﯾﻔﯾن أﻧﻔﺳﮭم اﻟﺗﻲ ﺗم اﺧﺗراﻗﮭم ﻟن ﺗﺻﺑﺣوا ﺗﮭدﯾدا ﻟﺗواﻓر اﻟﺷﺑﻛﺔ اﻟﻰ اﻟﻣﺿﯾﻔﯾن اﻵﺧرﯾن. وﻗد أﺛﺑﺗت ھذه اﻻﻓﺗراﺿﺎت اﻧﮭﺎ ﻏﯾر ﺻﺣﯾﺣﺔ ﻋﻠﻰ ﻧﺣو ﻣﺗزاﯾد ،وأﺻﺑﺢ اﺳﺗﻘرار اﻟﺷﺑﻛﺔ ﻓﻲ ﻣﺷﻛﻠﺔ ﺧطﯾرة ﻓﻲ 2003و 2004ﺑﺳﺑب ﺗﻔﺷﻲ اﻟدﯾدان و .botnetﺑرﻧﺎﻣﺞ ،mstream DDoSﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﺗﺳﺑب ﻓﻲ ﺗﻌطل اﻟﻣوﺟﮭﺎت ) (routerﻧﺗﯾﺟﺔ طرﯾﻘﺔ ﺗزﯾف ﻋﻧﺎوﯾن اﻟﻣﺻدر ،ﻛﻣﺎ ﻓﻌل اﻟدودة .Slammer أﺧذ ذﻟك ﻓﻲ اﻻﻋﺗﺑﺎر ،ﻓﺎﻧﮫ ﻣن اﻟﺟﯾدة وﺿﻊ آﻟﯾﺎت اﻟدﻓﺎع ﺿد DDoSﻓﻲ ﻗﻠب اﻟﺷﺑﻛﺔ ) ،(Network Coreﻣﻧذ ان أﺻﺑﺣت ھﺟﻣﺎت DDoSﯾﻣﻛﻧﮭﺎ اﻻﺳﺗﻔﺎدة ﻣن أي ﻧوع ﻣن اﻟﺣزم ﻋﻠﻰ اﻹطﻼق ،وﻻ ﯾﻣﻛن اﻟﺗﻌﺎﻣل ﻣﻊ ھﺟﻣﺎت اﻟﻔﯾﺿﺎﻧﺎت اﻟﻧﻘﯾﺔ ﻋﻠﻰ اﻟﺣﺎﻓﺔ ﺣﺗﻰ ﺑﻣﺟرد ﺗﺣﻘﯾﻖ ﺣﺟم أﻛﺑر ﻣن ﻋرض اﻟﻧطﺎق اﻟﺗرددي ﻻﺗﺻﺎل اﻟﺣﺎﻓﺔ .آﻟﯾﺎت اﻟدﻓﺎع ﺿد DDoSاﻟﺗﻲ ﺗﻘوم ﺑﺈﺿﺎﻓﺔ دﻓﺎﻋﺎت ﻋﺎﻣﺔ ﺿد اﻟﮭﺟﻣﺎت ﺑﺎﺳﺗﺧدام أي ﻧوع ﻣن ﺣرﻛﺔ اﻟﻣرور ﻟﯾﺳت ﺧﺎرج اﻟﺣدود ﺑواﺳطﺔ ﺗﻌﺎرﯾف ذرﯾﻌﺔ اﻟﻧﮭﺎﯾﺔ إﻟﻰ اﻟﻧﮭﺎﯾﺔ ،وﯾﻧﺑﻐﻲ اﻟﻧظر ﻓﯾﮭﺎ ،ﻓﺈﻧﮭﺎ ﯾﻣﻛن أن ﯾﺗم ﺗﺛﺑﺗﮭﺎ وأن ﺗﻛون آﻣﻧﺔ وﻓﻌﺎﻟﺔ ورﺧﯾﺻﺔ ،ھذا اﻷﺧﯾر ﺧﺎﺻﺔ ،ﻟﺣرﻛﺔ اﻟﻣرور اﻟﻌﺎدﯾﺔ ﻋﻧدﻣﺎ ﻻ ﯾوﺟد ھﺟوم ﻋﻠﯾﮫ .وﻟﯾس ﻣن اﻟواﺿﺢ أن أﯾﺎ ﻣن آﻟﯾﺎت اﻟدﻓﺎع DDoSاﻟﻣﻘﺗرﺣﺔ ﺣﺎﻟﯾﺎ ﺗﺗطﻠب اﻟﻧﺷر ﻓﻲ ﻗﻠب اﻟﺷﺑﻛﺔ ﻟﺗﻠﺑﯾﺔ ﺗﻠك اﻟﻣﺗطﻠﺑﺎت ﺑﻌد ،واﻟواﺿﺢ أن أي ﻣرﺷﺢ ﺟدي ﻟﻣﺛل ھذا اﻻﻧﺗﺷﺎر ﯾﺟب أن ﯾﺗم اﻟﻧظر ﻓﯾﮫ ﻣن اﺟل اﻹدراج اﻟﻔﻌﻠﻲ ﻓﻲ اﻟﻣوﺟﮭﺎت اﻟﺗﻲ ﺗﺷﻛل ﺟوھر اﻻﻧﺗرﻧت .وﻣﻊ ذﻟك ،ﯾﺟب ﻋﻠﻰ ﻣؤﯾدي وﻣﻧﺗﻘدي ﻧﺷر دﻓﺎﻋﺎت DDoSﻓﻲ ﺟوھر اﻟﺷﺑﻛﺔ ﺗﺗذﻛر أن واﺿﻌﻲ اﻟذرﯾﻌﺔ اﻷﺻﻠﯾﺔ ﻧﮭﺎﯾﺔ إﻟﻰ ﻧﮭﺎﯾﺔ ﺗم طرﺣﮭﺎ ﻛﻣﺑدأ ﺗﺻﻣﯾم ﻣﻔﯾد ،وﻟﯾﺳت اﻟﺣﻘﯾﻘﺔ اﻟﻣطﻠﻘﺔ. اﻻﻧﺗﻘﺎدات ﺣول ﺣﻠول اﻟدﻓﺎع ﺿد DDoSﺗﺳﺗﻧد ﻓﻘط ﻋﻠﻰ اﻧﺗﮭﺎك ذرﯾﻌﺔ اﻟﻧﮭﺎﯾﺔ إﻟﻰ اﻟﻧﮭﺎﯾﺔ .ﻣن ﻧﺎﺣﯾﺔ أﺧرى ،اﻻﻧﺗﻘﺎدات ﻣن ﻣﻛوﻧﺎت ﻣﻌﯾﻧﺔ ﻣن ﺣﻠول اﻟدﻓﺎع DDoSﻋﻠﻰ أﺳﺎس أﻧﮭﺎ ﯾﻣﻛن أن ﯾؤدﯾﮭﺎ ﻛذﻟك أو أﻓﺿل ﻋﻠﻰ اﻟﺣواف ھﻲ اﻻﺳﺗﺧداﻣﺎت اﻟﺳﻠﯾﻣﺔ ﻟﻠذرﯾﻌﺔ ﻧﮭﺎﯾﺔ إﻟﻰ ﻧﮭﺎﯾﺔ. ھذﯾن اﻷﻓﻛﺎر اﻟﻣذﻛورة أﻋﻼه ،ﻧﻣوذج ﺧدﻣﺔ أﻓﺿل ) (best-effort service modelوﻧﻣوذج اﻟﻧﮭﺎﯾﺔ إﻟﻰ اﻟﻧﮭﺎﯾﺔ )،(end-to-end paradigm ﺗﺣدد أﺳﺎﺳﺎ ﻣﺑدأ اﻟﺗﺻﻣﯾم ﻧﻔﺳﮫ :ﯾﺟب أن ﺗﺑﻘﻰ ھذه اﻟﺷﺑﻛﺔ اﻷﺳﺎﺳﯾﺔ ﺑﺳﯾطﺔ .ﯾﺟب دﻓﻊ ﻛل ﺗﻌﻘﯾد إﻟﻰ ﻋﻘد اﻟﺣﺎﻓﺔ .ﺑﻔﺿل ھذه اﻟﺑﺳﺎطﺔ وﺗﻘﺳﯾم اﻟوظﺎﺋف ﺑﯾن اﻟﺟوھر واﻟﺣواف ،ﺟﻣﻌت اﻻﻧﺗرﻧت ﺑﺳﮭوﻟﺔ ﺗﺣدﯾﺎت اﻟﺣﺟم ،وإدﺧﺎل اﻟﺗطﺑﯾﻘﺎت واﻟﺑروﺗوﻛوﻻت اﻟﺟدﯾدة ،وزﯾﺎدة ﻣﺿﺎﻋﻔﺔ ﻓﻲ ﺣرﻛﺔ اﻟﻣرور ﻓﻲ ﺣﯾن ﺗﺑﻘﻰ وﺳﯾﻠﺔ ﻗوﯾﺔ ورﺧﯾﺻﺔ ﻣﻊ ﺗزاﯾد ﺑﺎﺳﺗﻣرار ﻓﻲ ﻋرض اﻟﻧطﺎق اﻟﺗرددي واﻟﺳرﻋﺔ .واﻟﺟﺎﻧب اﻟﺳﻠﺑﻲ ﻣن ھذا اﻟﺗﺻﻣﯾم ﺑﺳﯾط ﯾﺻﺑﺢ واﺿﺣﺎ ﻋﻧدﻣﺎ ﯾﻛون أﺣد اﻷطراف ﻓﻲ ﻧﻣوذج اﻟﻧﮭﺎﯾﺔ إﻟﻰ اﻟﻧﮭﺎﯾﺔ ﺧﺑﯾث وﯾﻌﻣل ﻋﻠﻰ ﺗﻠف اﻟطرف اﻵﺧر .ﻣﻧذ رﺑط ﺷﺑﻛﺔ اﻟﺑﺳﯾط ،اﻟﻌﻘد اﻟوﺳﯾطﺔ ﻟﯾﺳت ﻟدﯾﮭم وظﺎﺋف ﻻزﻣﺔ ﻟﻠﺗدﺧل ﻓﻲ ﺷروط اﻟﻣرور اﻟﻣﺧﺎﻟف. ھذا ھو ﺑﺎﻟﺿﺑط ﻣﺎ ﯾﺣدث ﻓﻲ ھﺟﻣﺎت ،IP Spoofing ،DDoSوﺣوادث اﻻزدﺣﺎم ) .(congestion incidentsأﺻﺑﺣت ھذه اﻟﻣﺷﻛﻠﺔ واﺿﺣﺔ ﻷول ﻣره ﻓﻲ أﻛﺗوﺑر 1986ﻋﻧدﻣﺎ ﻋﺎﻧﻰ اﻹﻧﺗرﻧت ﻣن ﺳﻠﺳﻠﺔ ﻣن اﻻﻧﮭﯾﺎر اﻻزدﺣﺎﻣﻰ ) .(congestion collapsesاﻟﻣﺿﯾﻔﯾن ﻓﻲ اﻟﻧﮭﺎﯾﺔ ﻛﺎﻧوا ﺑﺑﺳﺎطﺔ ﯾﻘوﻣون ﺑﺈرﺳﺎل اﻟﻣزﯾد ﻣن ﺣرﻛﺔ اﻟﻣرور ﻣﻣﺎ ﯾﻣﻛن أن ﺗدﻋﻣﮫ ﺷﺑﻛﺔ اﻟرﺑط اﻟﺑﯾﻧﻲ .وﻗد ﺗﻧﺎوﻟوا اﻟﻣﺷﻛﻠﺔ ﺑﺳرﻋﺔ ﻣن ﺧﻼل ﺗﺻﻣﯾم وﻧﺷر ﻋدة آﻟﯾﺎت اﻟﺗﺣﻛم ﻓﻲ ازدﺣﺎم .TCPھذه اﻵﻟﯾﺎت ھﻲ زﯾﺎدة end-host TCP implementationsﻟﻠﻛﺷف ﻋن اﻟﺣزﻣﺔ اﻟﺳﺎﻗطﺔ ﻛدﻟﯾل ﻋﻠﻰ اﻻزدﺣﺎم واﻻﺳﺗﺟﺎﺑﺔ ﻟﮭﺎ ﺑﺳرﻋﺔ ﻋن طرﯾﻖ ﺧﻔض ﻣﻌدل اﻹرﺳﺎل .وﻣﻊ ذﻟك ،ﻓﺈﻧﮫ ﺳرﻋﺎن ﻣﺎ أﺻﺑﺢ واﺿﺣﺎ أن إدارة ﺗدﻓﻖ اﻟﻧﮭﺎﯾﺔ إﻟﻰ اﻟﻧﮭﺎﯾﺔ ﻻ ﯾﻣﻛﻧﮭﺎ ﺿﻣﺎن ﺗوزﯾﻊ ﻋﺎدل ﻟﻠﻣوارد ﻓﻲ وﺟود ﺗدﻓﻘﺎت ﻋدواﻧﯾﺔ .ﺑﻌﺑﺎرة أﺧرى ،ھؤﻻء اﻟﻣﺳﺗﺧدﻣﯾن اﻟذﯾن ﻟن ﯾﻧﺷروا اﻟﺗﺣﻛم ﻓﻲ اﻻزدﺣﺎم ) (congestion controlﻗﺎدرﯾن ﻋﻠﻰ ﺳرﻗﺔ ﻋرض اﻟﻧطﺎق اﻟﺗرددي ﺑﺳﮭوﻟﺔ ﻣن ﺗدﻓﻘﺎت اﻻزدﺣﺎم اﻟﺗﻲ ﺗراﻋﻲ ﺣﺳن اﻟﺗﺻرف .ﻛﻣﺎ ﺗراﻛم اﻻﺣﺗﻘﺎن وازدﺣﺎم اﻟﺗدﻓﻘﺎت اﻟﺗﻲ ﺗراﻋﻲ ﺗﻘﻠﯾل ﻣﻌدل اﻹرﺳﺎل ،ﻓﯾﺻﺑﺢ اﻟﻣزﯾد ﻣن ﻋرض اﻟﻧطﺎق اﻟﺗرددي ﻣﺗوﻓر ﻟﻠﺗدﻓﻘﺎت اﻟﻌدواﻧﯾﺔ اﻟﺗﻲ ﺗﺑﻘﻲ ﻋﻠﻰ اﻟﻘﺻف. ﻗد ﻋﻠﺟت ھذه اﻟﻣﺷﻛﻠﺔ أﺧﯾرا ﻣن ﺧﻼل اﻧﺗﮭﺎك ﻧﻣوذج اﻟﻧﮭﺎﯾﺔ إﻟﻰ اﻟﻧﮭﺎﯾﺔ وﺑطﻠب اﻟﻣﺳﺎﻋدة ﻣن أﺟﮭزة اﻟﺗوﺟﯾﮫ اﻟﻣﺗوﺳطﺔ ﻟﻣراﻗﺑﺔ وﺗﺧﺻﯾص ﻋرض اﻟﻧطﺎق اﻟﺗرددي ﺑﯾن اﻟﺗدﻓﻘﺎت ﻟﺿﻣﺎن اﻟﻌداﻟﺔ .ھﻧﺎك ﻧوﻋﺎن ﻣن اﻵﻟﯾﺎت اﻟرﺋﯾﺳﯾﺔ اﻟﻣﻧﺗﺷرة ﻓﻲ اﻟﻣوﺟﮭﺎت ) (routerاﻟﯾوم ﻷﻏراض ﺗﺟﻧب اﻻزدﺣﺎم ) active queue management ،(congestionو .fair scheduling algorithmsﻗد ﺗﻛون ھﻧﺎك ﺣﺎﺟﺔ إﻟﻰ ﻧﮭﺞ ﻣﻣﺎﺛل ﻟﻣﻌﺎﻟﺟﺔ ﻣﺷﻛﻠﺔ DDoSﺗﻣﺎﻣﺎ .واﻟﺗﻲ ﺳوف ﺗﻧﺎﻗش ﺑﺎﻟﺗﻔﺻﯾل ﻻﺣﻘﺎ. ﺗطور اﻹﻧﺗرﻧت )(Internet Evolution ﺷﮭدت ﺷﺑﻛﺔ اﻹﻧﺗرﻧت اﻟﻧﻣو اﻟﮭﺎﺋل ﻓﻲ اﻟﺣﺟم واﻟﺷﻌﺑﯾﺔ ﻣﻧذ إﻧﺷﺎﺋﮭﺎ .ﺣﯾث ان ﻋدد اﻟﻣﺿﯾﻔﯾن ﻣن اﻹﻧﺗرﻧت ﯾﻧﻣو ﺑﺷﻛل ﻛﺑﯾر )ﻓﻲ ﻋﺎم (2004 ﻛﺎن ھﻧﺎك أﻛﺛر ﻣن 170ﻣﻠﯾون ﺟﮭﺎز ﻛﻣﺑﯾوﺗر ﻋﻠﻰ اﻹﻧﺗرﻧت .ﺑﻔﺿل ﺗﺳﻠﯾﻣﮭﺎ رﺳﺎﻟﺔ رﺧﯾﺻﺔ وﺳرﯾﻌﺔ ،أﺻﺑﺣت ﺷﺑﻛﺔ اﻹﻧﺗرﻧت د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1031 ﺷﻌﺑﯾﺔ ﻟﻠﻐﺎﯾﺔ واﻧﺗﺷر اﺳﺗﺧداﻣﮫ ﻣن اﻟﻣؤﺳﺳﺎت اﻟﻌﻠﻣﯾﺔ ﻓﻲ اﻟﺷرﻛﺎت واﻟﺣﻛوﻣﺔ واﻷﺷﻐﺎل اﻟﻌﺎﻣﺔ واﻟﻣدارس واﻟﻣﻧﺎزل واﻟﺑﻧوك ،واﻟﻌدﯾد ﻣن اﻷﻣﺎﻛن اﻷﺧرى. وأدى ھذا اﻟﻧﻣو اﻟﮭﺎﺋل أﯾﺿﺎ اﻟﻰ وﺟود اﻟﻌدﯾد ﻣن اﻟﻘﺿﺎﯾﺎ اﻟﺗﻲ ﺗؤﺛر ﻓﻲ أﻣن اﻹﻧﺗرﻧت. ) Scaleاﻟﺣﺟم( :ﻓﻲ اﻷﯾﺎم اﻷوﻟﻰ ﻣن ،ARPANETﻛﺎن ھﻧﺎك ﺣد أﻗﺻﻰ ﻗدره -64ﻣن اﻟﻣﺿﯾﻔﯾن اﻟﻣﺳﻣوح ﺑﮭم ﻓﻲ اﻟﺷﺑﻛﺔ ،وإذاﻟزم اﻷﻣر ﻟوﺟود ﻣﺟﻣوﻋﺔ ﺟدﯾدة ﺗﺿﺎف إﻟﻰ اﻟﺷﺑﻛﺔ ،ﻛﺎن ﻻﺑد ﻣن ان ﯾﻘوم اﻵﺧر ﺑﻣﻐﺎدرة اﻟﺷﺑﻛﺔ .ﻓﻲ ﻋﺎم ،1971ﻛﺎن ھﻧﺎك 23 ﻣن اﻟﻣﺿﯾﻔﯾن و 15اﺗﺻﺎل ﻣن اﻟﻣﺿﯾﻔﯾن )ﯾﺳﻣﻰ ﻓﻲ اﻟوﻗت اﻟﺣﺎﺿر أﺟﮭزة اﻟﺗوﺟﯾﮫ ) .((routerﻓﻲ ﻋﺎم ،1981ﻋﻧدﻣﺎ ﻟم ﺗﻌد ھذه اﻟﻘﯾود ﺗطﺑﻖ ) ،NCPﻣﻊ ﺣﻘول اﻟﻌﻧوان ذات 6ﺑت ﺳﻣﺢ ﻓﻘط ﻠ 64اﻟﻣﺿﯾﻔﯾن ،واﻟﺗﻲ ﺗم اﺳﺗﺑداﻟﮭﺎ ﺗدرﯾﺟﯾﺎ ﺒ TCPواﻟﺗﻲ ﻛﺎﻧت ﻣﺣدده ﻓﻲ ﻋﺎم 1974وﻧﺷرت ﻓﻲ ﻋﺎم ،(1975ﻛﺎن ھﻧﺎك ﻓﻘط 213ﻣن اﻟﻣﺿﯾﻔﯾن ﻋﻠﻰ اﻻﻧﺗرﻧت .ﺑﺣﻠول ﻋﺎم ،1983ﻛﺎن ھﻧﺎك أﻛﺛر ﻣن ،1،000ﺑﺣﻠول ﻋﺎم 1987أﻛﺛر ﻣن ،10،000وﺑﺣﻠول ﻋﺎم ) 1989ﻋﻧدﻣﺎ ﺗم اﻏﻼق (ARPANETأﻛﺛر ﻣن 100،000اﻟﻣﺿﯾﻔﯾن .ﻓﻲ ﯾﻧﺎﯾر ،2003ﻛﺎن ھﻧﺎك أﻛﺛر ﻣن 170ﻣﻠﯾون ﻣﺿﯾف ﻋﻠﻰ اﻹﻧﺗرﻧت .واﻟﺗﻲ ﻛﺎن ﻣن اﻟﻣﻣﻛن ﺗﻣﺎﻣﺎ إدارة ﻋدة ﻣﺋﺎت ﻣن اﻟﺟﻧود ،وﻟﻛن ﻣن اﻟﻣﺳﺗﺣﯾل إدارة 170ﻣﻠﯾون ﻣﻧﮭم .آﻻت ﺗدار ﺑﺻورة ﺳﯾﺋﺔ ﺗﻣﯾل إﻟﻰ أن ﺗﻛون ﺳﮭﻠﺔ ﻟﺗﻘدﯾم ﺗﻧﺎزﻻت. ﺑﺎﻟﺗﺎﻟﻲ ،ﻋﻠﻰ اﻟرﻏم ﻣن اﺳﺗﻣرار اﻟﺟﮭود ﻟﺗﺄﻣﯾن آﻻت ﻋﻠﻰ اﻻﻧﺗرﻧت ،ﻓﮭﻧﺎك ﻣﺟﻣوﻋﺔ ﻣن اﻟﻣﺳﺗﺿﻌﻔﯾن )اﻟﻣﺧﺗرﻗﯾن ﺑﺳﮭوﻟﺔ( ﻣن اﻟﻣﺿﯾﻔﯾن ﻻ ﯾﺣﺻﻠون ﻋﻠﻰ ﻣﺛل ھذه اﻟﺟﮭود اﻷﻣﻧﯾﺔ .ھذا ﯾﻌﻧﻲ أن اﻟﻣﮭﺎﺟﻣﯾن ﯾﻣﻛﻧﮭم ﺑﺳﮭوﻟﺔ ﺗﺟﻧﯾد اﻟﻣﺋﺎت أو آﻻف ﻣن اﻟوﻛﻼء ﻟﮭﺟﻣﺎت ،DDoSوﺳوف ﺗﻛون ﻗﺎدرة ﻋﻠﻰ اﻟﺣﺻول ﻋﻠﻰ أﻛﺛر ﻣن ذﻟك ﻓﻲ اﻟﻣﺳﺗﻘﺑل. ) User profileﻣﻠف ﺗﻌرﯾف اﻟﻣﺳﺗﺧدم( :ھﻧﺎك ﻋدد ﻛﺑﯾر ﻣن ﻣﺳﺗﺧدﻣﻲ اﻻﻧﺗرﻧت اﻟﯾوم ھم ﻣﺳﺗﺧدﻣﯾن اﻟﻣﻧزﻟﯾﯾن اﻟذﯾن ﯾﺣﺗﺎﺟونإﻟﻰ اﻟوﺻول إﻟﻰ اﻹﻧﺗرﻧت ﻟﺗﺻﻔﺢ اﻹﻧﺗرﻧت ،وﺗﻧزﯾل اﻟﻠﻌب ،واﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،واﻟدردﺷﺔ .ھؤﻻء اﻟﻣﺳﺗﺧدﻣﯾن ﻋﺎدة ﻣﺎ ﺗﻔﺗﻘر إﻟﻰ اﻟﻣﻌرﻓﺔ اﻟﻼزﻣﺔ ﻟﺗﺄﻣﯾن وإدارة اﻷﺟﮭزة اﻟﺧﺎﺻﺔ ﺑﮭم ﺑﺷﻛل ﺻﺣﯾﺢ .وﻋﻼوة ﻋﻠﻰ ذﻟك ،ﻓﺈﻧﮭم ﻋﺎدة ﯾﻘوﻣون ﺑﺗﺣﻣﯾل اﻟﻣﻠﻔﺎت اﻟﺛﻧﺎﺋﯾﺔ )ﻣﺛل اﻷﻟﻌﺎب( ﻣن ﻣواﻗﻊ اﻹﻧﺗرﻧت اﻟﻐﯾر ﻣﻌروﻓﺔ أو اﺳﺗﻘﺑﺎﻟﮭم ﻓﻲ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ .وھﻧﺎك طرﯾﻘﺔ ﻓﻌﺎﻟﺔ ﺟدا ﻟﻠﻣﮭﺎﺟﻣﯾن ﻟﻧﺷر اﻻﻛواد اﻟﺧﺑﯾﺛﺔ ﻟﮫ ﻣن ﺧﻼل اﻟﺗﻣوﯾﮫ ﻟﻛﻲ ﺗﺑدو ﻣﺛل ﺗطﺑﯾﻖ ﻣﻔﯾد )ﺣﺻﺎن طروادة( ،وﺑﻌد ذﻟك ﯾﻘوم ﺑﺈرﺳﺎﻟﮫ ﻋﺑر اﻹﻧﺗرﻧت أو ﻓﻲ رﺳﺎﻟﺔ اﻟﺑرﯾد إﻟﻛﺗروﻧﻲ .اﻟﻣﺳﺗﺧدم ﻋن ﻏﯾر ﻗﺻد ﯾﻘوم ﺑﺗﻧﻔﯾذ اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ واﻟﺣﺻول ﻋﻠﻰ ﺧطر ﻋﻠﻰ ﺟﮭﺎزه وﯾﺗم ﺗﺟﻧﯾده ﻓﻲ ﺟﯾش اﻟوﻛﯾل .اﻟﻧﺳﺑﺔ ﻣﺋوﯾﺔ ﻣﺗزاﯾدة ﻣن ﻣﺳﺗﺧدﻣﻲ اﻹﻧﺗرﻧت واﻟﻣﺳﺗﺧدﻣﯾن اﻟﻣﻧزﻟﯾﯾن اﻟذﯾن ﻟﮭم آﻻت ﻋﻠﻰ اﻻﻧﺗرﻧت ﯾﻛوﻧوا ﺿﻌف ﻣﺿﻣون ،وھو ﻣﺎ ﯾﻣﺛل اﻟﺗﺟﻧﯾد اﻟﺳﮭل ﻟﻠﻣﮭﺎﺟﻣﯾن ﻟﺗﺟﻣﯾﻊ ﺟﯾش وﻛﯾل .DDoS ) Popularityاﻟﺷﻌﺑﯾﺔ( :اﻟﯾوم ،اﺳﺗﺧدام اﻹﻧﺗرﻧت ﻟم ﯾﻌد ﻗﺎﺻرا ﻋﻠﻰ اﻟﺟﺎﻣﻌﺎت واﻟﻣؤﺳﺳﺎت اﻟﺑﺣﺛﯾﺔ ،وﻟﻛن ﯾﺗﺧﻠﻠﮫ ﺟواﻧب ﻛﺛﯾرةﻣن اﻟﺣﯾﺎة اﻟﯾوﻣﯾﺔ .ﻣﻧذ اﻟرﺑط ﻓﺎﻧﮫ ﯾﻠﻌب دورا ھﺎﻣﺎ ﻓﻲ اﻟﻌدﯾد ﻣن اﻷﻋﻣﺎل ووظﺎﺋف اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ،ﻓﮭو ھدف ﺟذاﺑﺎ ﻟﻠﻣﮭﺎﺟﻣﯾن. ھﺟﻣﺎت اﻻﻧﺗرﻧت ﺗﻠﺣﻖ اﻟﺿرر اﻟﻣﺎﻟﻲ اﻟﻛﺑﯾر وﺗؤﺛر ﻋﻠﻰ اﻟﻌدﯾد ﻣن اﻷﻧﺷطﺔ اﻟﯾوﻣﯾﺔ. ﺗطور اﻹﻧﺗرﻧت ﻣن ﺷﺑﻛﺔ اﻟﺑﺣوث ذات اﻟﻣﺳﺎﺣﺔ اﻟواﺳﻌﺔ اﻟﻰ اﻟﻌﻣود اﻟﻔﻘري ﻟﻼﺗﺻﺎﻻت اﻟﻌﺎﻟﻣﯾﺔ واﻟﺗﻲ ﻛﺷﻔت اﻟﻌﯾوب اﻷﻣﻧﯾﺔ اﻟﻛﺎﻣﻧﺔ ﻓﻲ اﻹﻧﺗرﻧت واﻟﺗﺻﻣﯾم ﺟﻌﻠت ﻣﮭﻣﺔ ﺗﺻﺣﯾﺣﮭﺎ ﺳواء إﻟﺣﺎﺣﺎ وﺗﺣدﯾﺎ ﻟﻠﻐﺎﯾﺔ. إدارة اﻹﻧﺗرﻧت )(Internet Management اﻟطرﯾﻘﺔ اﻟﺗﻲ ﯾﺗم ﺑﮭﺎ إدارة اﻹﻧﺗرﻧت ﯾﺧﻠﻖ ﺗﺣدﯾﺎت إﺿﺎﻓﯾﺔ ﻟﻠدﻓﺎع ﺿد .DDoSاﻹﻧﺗرﻧت ﻟﯾس ھرﻣﻲ وﻟﻛﻧﮫ ﻣﺟﺗﻣﻊ ﻣن ﺷﺑﻛﺎت ﻣﺗﻌددة، ﻣﺗراﺑطﺔ ﻟﺗوﻓﯾر وﺻول ﻋﺎﻟﻣﻲ ﻟﻌﻣﻼﺋﮭﺎ .ﻓﻲ وﻗت ﻣﺑﻛر ﻣن أﯾﺎم ،NSFnetوﺟدت ﺟزر ﺻﻐﯾرة ﻣن اﻟﺷﺑﻛﺎت اﻟﻣدارة ذاﺗﯾﺎ ﻛﺟزء ﻣن ﺷﺑﻛﺔ ﻏﯾر ﺗﺟﺎرﯾﺔ .ﺗدار ﻛل ﺷﺑﻛﺎت اﻻﻧﺗرﻧت ﻣﺣﻠﯾﺎ وﺗﺷﻐل وﻓﻘﺎ ﻟﺳﯾﺎﺳﺎت ﻣﺣددة ﻣن ﻗﺑل أﺻﺣﺎﺑﮭﺎ .ﻟﯾس ھﻧﺎك ﺳﻠطﺔ ﻣرﻛزﯾﺔ .ﺑﻔﺿل ھذا اﻟﻧﮭﺞ اﻹداري ،ظﻠت اﻹﻧﺗرﻧت وﺳﯾﻠﺔ ﺣرة ﺣﯾث ﯾﻣﻛن ﺳﻣﺎع أي رأي .ﻣن ﻧﺎﺣﯾﺔ أﺧرى ،ﻻ ﺗوﺟد وﺳﯾﻠﺔ ﻟﻔرض اﻻﻧﺗﺷﺎر اﻟﻌﺎﻟﻣﻲ ﻷي آﻟﯾﺔ أﻣﻧﯾﺔ ﻣﻌﯾﻧﺔ أو ﺳﯾﺎﺳﺔ .اﻟﻌدﯾد ﻣن ﺣﻠول اﻟدﻓﺎع ﺿد DDoSﺗﺣﺗﺎج أن ﯾﺗم ﻧﺷرھﺎ ﻓﻲ اﻟﻌدﯾد ﻣن اﻟﻧﻘﺎط ﻓﻲ اﻹﻧﺗرﻧت ﻟﺗﻛون ﻓﻌﺎﻟﺔ ،ﻛﻣﺎ ھو ﻣوﺿﺢ ﻓﻲ ﻓﺻول ﻗﺎدﻣﮫ IP spoofing .ھﻲ ﻣﺷﻛﻠﺔ أﺧرى ﻣن اﻟﻣرﺟﺢ ﺗﺣﺗﺎج إﻟﻰ ﺣل .ﻓﺈن طﺑﯾﻌﺔ ﺗوزﯾﻊ ھذه اﻟﺗﮭدﯾدات ﺗﺟﻌل ﻣن اﻟﺻﻌب ﺟدا ﻟﻠﺣﻠول اﻷﺣﺎدﯾﺔ ﻣن اﻟﻌﻘدة ﻣواﺟﮭﺔ .وﻣﻊ ذﻟك ،ﻓﺈن اﺳﺗﺣﺎﻟﺔ ﻓرض اﻻﻧﺗﺷﺎر اﻟﻌﺎﻟﻣﻲ ﯾﺟﻌل ﺗوزﯾﻊ اﻟﺣﻠول ﻏﯾر ﺟذاﺑﺔ ﻟﻠﻐﺎﯾﺔ. ﻧظرا ﻟﻠﺧﺻوﺻﯾﺔ وﻣﺧﺎوف اﻷﻋﻣﺎل ،ﻓﺎن ﻣزودي ﺧدﻣﺔ اﻟﺷﺑﻛﺔ ﻋﺎدة ﻻ ﯾرﻏﺑون ﻓﻲ ﺗﻘدﯾم ﻣﻌﻠوﻣﺎت ﻋن ﺳﻠوك اﻟﻣرور ﻋﺑر اﻟﺷﺑﻛﺔ وﻗد ﺗﺣﺟم ﻋن اﻟﺗﻌﺎون ﻓﻲ ﺗﻌﻘب اﻟﮭﺟﻣﺎت .ﻋﻼوة ﻋﻠﻰ ذﻟك ،ﻻ ﯾوﺟد أي دﻋم ﻣؤﺗﻣن ﻟﺗﻌﻘب اﻟﮭﺟﻣﺎت ﻋﺑر اﻟﻌدﯾد ﻣن اﻟﺷﺑﻛﺎت .ﻛل طﻠب ﯾﺣﺗﺎج إﻟﻰ أذن وﯾدﺧل ﺣﯾز اﻟﺗﻧﻔﯾذ ﻣن ﻗﺑل اﻹﻧﺳﺎن ﻓﻲ ﻛل ﺷﺑﻛﺔ .ﯾﻘدم ھذا اﻟﺗﺄﺧﯾر اﻟﻛﺑﯾر .ﺣﯾث أن اﻟﻌدﯾد ﻣن ھﺟﻣﺎت DDoSھﻲ أﻗﺻر ﻣن ﺑﺿﻊ ﺳﺎﻋﺎت، وﺳوف ﺗﻧﺗﮭﻲ ﻋﻠﻰ اﻷرﺟﺢ ﻗﺑل أن ﯾﻛون اﻟوﻛﯾل ﻣوﺟودا.
،NSFnetﺗﺄﺳﺳت ﻓﻲ ﻋﺎم ،1986ﻛﺎﻧت وﻟﯾدة اﻟﻣؤﺳﺳﺔ اﻟوطﻧﯾﺔ ﻟﻠﻌﻠوم ﻣن ،ARPANETﺗﮭدف إﻟﻰ رﺑط اﻟﻣؤﺳﺳﺎت اﻟﺗﻌﻠﯾﻣﯾﺔ واﻟﺑﺣﺛﯾﺔ.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1032
DoS and DDoS Evolution ھﻧﺎك اﻟﻌدﯾد ﻣن اﻟﻣﺷﺎﻛل اﻷﻣﻧﯾﺔ ﻓﻲ اﻹﻧﺗرﻧت اﻟﯾوم .ﻓﯾروﺳﺎت اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻛﺎﻣﻧﺔ ﻟﺗﺻﯾب اﻷﺟﮭزة وﺗﻧﺗﺷر أﺑﻌد ﻣن ذﻟك ،دﯾدان اﻟﻛﻣﺑﯾوﺗر ،أﺣﯾﺎﻧﺎ ﺗﻌﻣل ﺑﺻﻣت ،وﺗﻘوم ﺑﮭﺟوم ﻣﻛﺛف ﻋﻠﻰ اﻹﻧﺗرﻧت ،اﻟﻣﻧﺎﻓﺳﯾن واﻻطﻔﺎل ﺟﺎرك ﯾﺣﺎوﻟون اﻗﺗﺣﺎم آﻻت اﻟﺷرﻛﺔ واﻟﺷﺑﻛﺎت وﺳرﻗﺔ اﻷﺳرار اﻟﺻﻧﺎﻋﯾﺔ ،ھﺟﻣﺎت DDoSﺗﻘوم ﺑﮭدم اﻟﺧدﻣﺎت ﻋﺑر اﻹﻧﺗرﻧت .واﻟﻘﺎﺋﻣﺔ ﺗطول وﺗطول .أﯾﺎ ﻣن ھذه اﻟﻣﺷﺎﻛل ﻗد ﺗم ﺣﻠﮭﺎ ﺗﻣﺎﻣﺎ ﺣﺗﻰ اﻵن ،وﻟﻛن اﻟﻛﺛﯾر ﻗد ﺗم اﻟﺗﺧﻔﯾف ﺑﺷﻛل ﻛﺑﯾر ﻣن ﺧﻼل اﻟﺣﻠول اﻟﺗﻛﻧوﻟوﺟﯾﺔ اﻟﻌﻣﻠﯾﺔ .وﻗد ﺳﺎﻋدت اﻟﺟدران اﻟﻧﺎرﯾﺔ ﺑﺗﻘﻠﯾل اﻟﻛﺛﯾر ﻣن ﺧطر اﻻﺧﺗراﻗﺎت ﻋن طرﯾﻖ ﻣﻧﻊ اﻟﺟﻣﯾﻊ وﻟﻛن ﺣرﻛﺔ اﻟﻣرور اﻟواردة ﺿرورﯾﺎ .ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﺗﻣﻧﻊ ﺗﻧﻔﯾذ اﻟدﯾدان اﻟﻣﻌروﻓﺔ واﻟﻔﯾروﺳﺎت ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﻣﺣﻣﻲ ،وﺑﺎﻟﺗﺎﻟﻲ ھزﯾﻣﺔ اﻟﻌدوى ووﻗف اﻧﺗﺷﺎرھﺎ .اﻟﺗطﺑﯾﻘﺎت وأﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﺗﻔﺣص ﻣن اﺟل اﯾﺟﺎد ﺗﺣدﯾﺛﺎت اﻟﺑراﻣﺞ وﺗﺻﺣﯾﺢ ﻧﻔﺳﮭﺎ ﺗﻠﻘﺎﺋﯾﺎ ،اﻟﺣد ﺑﺷﻛل ﻛﺑﯾر ﻣن ﻧﻘﺎط اﻟﺿﻌف اﻟﺗﻲ ﯾﻣﻛن اﺳﺗﻐﻼﻟﮭﺎ ﻟﺗﻘدﯾم ﺗﻧﺎزﻻت ﻣن اﻟﺟﮭﺎز اﻟﻣﺿﯾف. وﻣﻊ ذﻟك ،ﺗﺑﻘﻰ ﻣﺷﻛﻠﺔ DDoSاﻟﻐﯾر ﻣﻌﺎﻟﺟﺔ إﻟﻰ ﺣد ﻛﺑﯾر ،ﻋﻠﻰ اﻟرﻏم ﻣن اﻟﺟﮭود اﻷﻛﺎدﯾﻣﯾﺔ واﻟﺗﺟﺎرﯾﺔ اﻟﻛﺑﯾرة ﻟﺣﻠﮭﺎ .اﻟﺟدران اﻟﻧﺎرﯾﺔ اﻟﻣﺗطورة ،وأﺣدث ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت واﻟﺗﺣدﯾﺛﺎت اﻟﺗﻠﻘﺎﺋﯾﺔ ،وﻋدد ﻻ ﯾﺣﺻﻰ ﻣن ﻏﯾرھﺎ ﻣن اﻟﺣﻠول اﻷﻣﻧﯾﺔ ﻟﺗﺣﺳﯾن اﻟﺣﺎﻟﺔ إﻻ ﻗﻠﯾﻼ، واﻟدﻓﺎع ﻋن اﻟﺿﺣﯾﺔ ﻓﻘط ﻣن أﻏﻠظ اﻟﮭﺟﻣﺎت .اﻧﮭﺎ ،ﻣﻊ ذﻟك ،ﻣن اﻟﺳﮭل ﻟﻔت اﻟﻧظر ﻟﺗوﻟﯾد ھﺟوم DDoSﻧﺎﺟﺣﺔ واﻟﺗﻲ ﺗﺗﺟﺎوز ھذه اﻟدﻓوع وﯾﺄﺧذ اﻟﺿﺣﯾﺔ ﺑﺎﺳﺗﻣرار طﺎﻟﻣﺎ ﯾرﯾد اﻟﻣﮭﺎﺟم. ﻛﯾف ﺗطورت ھذه اﻷدوات ،وﻛﯾف ﯾﺟري اﺳﺗﺧداﻣﮭﺎ؟ ﺳﻧﻧظر اﻵن ﻓﻲ اﻟﺗﺎرﯾﺦ اﻟﻣﺟﻣﻊ ﻟﺗطوﯾر أدوات ھﺟوم DoSو DDoSاﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ اﻟﺷﺑﻛﺔ ،ﻓﯾﻣﺎ ﯾﺗﻌﻠﻖ ﺑﺷن اﻟﮭﺟﻣﺎت. History of Network-Based Denial of Service اﻟﺗطور اﻟﺗﻧﻣوي ﻷدوات DoSو DDoSواﻟﮭﺟﻣﺎت اﻟﻣرﺗﺑطﺔ ﺑﮭﺎ ﯾﻣﻛن أن ﺗﻌطﻲ ﺑﺻﯾرة ﻋن اﻻﺗﺟﺎھﺎت اﻟﻣﺣﺗﻣﻠﺔ ﻟﻠﻣﺳﺗﻘﺑل ،ﻓﺿﻼ ﻋن اﻟﺳﻣﺎح ﻟﻣﻧظﻣﺔ ﻟﻘﯾﺎس أﻧواع اﻟدﻓﺎﻋﺎت اﻟﺗﻲ ﯾﺣﺗﺎﺟون إﻟﯾﮭﺎ ﻟﻠﻧظر ﻋﻠﻰ أﺳﺎس ﻣﺎ ھو واﻗﻌﻲ أن ﻧﺗوﻗﻌﮫ ﻣن ﻣﺧﺗﻠف اﻟﻣﮭﺎﺟﻣﯾن ،ﻣن أﻗل ﻣﮭﺎرة ﺣﺗﻰ أﻛﺛر اﻟﻣﮭﺎﺟﻣﯾن ﺗطورا. ھذه ﻟﯾﺳت ﺳوى ﺑﻌض اﻷدوات اﻟﺗﻣﺛﯾﻠﯾﺔ واﻟﮭﺟﻣﺎت ،وﻟﯾس ﺑﺎﻟﺿرورة ﻛل ﻣن اﻟﮭﺟﻣﺎت ﺗﻛون ﻛﺑﯾرة .وﻟﻠﻣزﯾد ﻣن اﻟﻘﺻص ﯾﻣﻛن زﯾﺎرة اﻟراﺑطhttp://staff.washington.edu/dittrich/misc/ddos : أواﺧﺮ 1980 ﺗم ﺗﺄﺳﯾس ،CERT/CC) CERT Coordination Centerاﻟﺗﻲ ﺗﺄﺳﺳت ﻓﻲ اﻷﺻل ﻣن ﻗﺑل DARPAﺑﺎﺳم ﻓرﯾﻖ ﻟﻼﺳﺗﺟﺎﺑﺔ ﻟطوارئ اﻟﺣﺎﺳب اﻵﻟﻲ( ﻓﻲ ﻣﻌﮭد ھﻧدﺳﺔ اﻟﺑرﻣﺟﯾﺎت ﺟﺎﻣﻌﺔ ﻛﺎرﻧﯾﺟﻲ ﻣﯾﻠون ﻓﻲ ﻋﺎم 1988ﻗﺎﻣوا ﺑﺎﻟرد ﻋﻠﻰ ﻣﺎ ﯾﺳﻣﻰ دودة ﻣورﯾس ) ،(Morris wormاﻟﺗﻲ ﺟﻠﺑت اﻹﻧﺗرﻧت ﻋﻠﻰ رﻛﺑﺗﯾﮭﺎ CERT/CC .ﻟدﯾﮫ اﻟﺧﺑرة اﻟﻌرﯾﻘﺔ ﻓﻲ اﻟﺗﻌﺎﻣل ﻣﻊ واﻻﺳﺗﺟﺎﺑﺔ ﻟﻠﺣوادث ﻓﻲ اﻹﻧﺗرﻧت ،وﺗﺣﻠﯾل ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ اﻟﻧظم ،ﻓﺿﻼ ﻋن اﻟﺑﺣوث ﻓﻲ ﻣﺟﺎل اﻟﺣﺎﺳوب وأﻣن اﻟﺷﺑﻛﺎت ،وإﺑﻘﺎء اﻟﺷﺑﻛﺎت ﻋﻠﻰ ﻗﯾد اﻟﺣﯾﺎة ﻣﻊ ﻧظﺎم اﻹﺑﻼغ .وﻗﺎﻣت ﺑﺧﻠﻖ ﻣﻠﺧص ﻋن اﺗﺟﺎھﺎت أدوات اﻟﻣﮭﺎﺟم ﻋﻠﻰ ﻣدى اﻟﺳﻧوات اﻟﻘﻠﯾﻠﺔ اﻟﻣﺎﺿﯾﺔ. 1989 اﻟظﮭور اﻷول ﻟﻸﻣر ) –f (floodﻓﻲ اﻟﻛود اﻟﻣﺻدري ﻠ .ping.c ﻓﻲ وﻗﺖ ﻣﺒﻜﺮ ﻣﻦ ﻋﺎم 1990 ﺑﻌد اﻧﻘراض ﻗﺻﺔ ﺣﺎدﺛﺔ دودة ﻣورﯾس ،واﺻل اﻹﻧﺗرﻧت ﻓﻲ اﻟﻧﻣو ﻣن ﺧﻼل ﻋﺎم 1990ﻓﻲ وﻗت ﻣﺑﻛر إﻟﻰ ﻣﻛﺎن اﻟﻣﺗﻌﺔ ،ﻣﻊ اﻟﻛﺛﯾر ﻣن اﻟﻣﻌﻠوﻣﺎت واﻟﺧدﻣﺎت اﻟﻣﺟﺎﻧﯾﺔ .ﺗم إﺿﺎﻓﺔ اﻟﻣزﯾد واﻟﻣزﯾد ﻣن اﻟﻣواﻗﻊ ،وذﻛر روﺑرت ﻣﯾﺗﻛﺎﻟف اﻟﻘﺎﻧون اﻟﺷﮭﯾر اﻵن :اﻟﻔﺎﺋدة أو ﻣﻧﻔﻌﺔ ،ﻣن اﻟﺷﺑﻛﺔ ﯾﺳﺎوي ﻣرﺑﻊ ﻋدد اﻟﻣﺳﺗﺧدﻣﯾن .وﻟﻛن ﻛﻣﺎ رأﯾﻧﺎ ﺳﺎﺑﻘﺎ ،ﻓﺈن ﻧﺳﺑﺔ ھؤﻻء اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺟدﯾدة ﻟن ﺗﻛون ﻟطﯾﻔﮫ ،وﺧﺎﺻﺔ اﻟﻣﺳﺗﺧدم اﻟودي. ﻓﻲ ﻣﻧﺗﺻف ،1990ظﮭرت ﺑراﻣﺞ ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ ﻋن ﺑﻌد واﻟﺗﻲ ﺗﺳﺑﺑت ﻓﻲ اﻟﻌدﯾد ﻣن اﻟﻣﺷﺎﻛل .ﻣن أﺟل اﺳﺗﺧدام ھذه اﻟﺑراﻣﺞ ،ﻓﺎن اﻟﻣﮭﺎﺟم ﯾﺣﺗﺎج ﺣﺳﺎب ﻋﻠﻰ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر ﻛﺑﯾر ،ﻋﻠﻰ ﺷﺑﻛﺔ ﺳرﯾﻌﺔ ،ﺣﺗﻰ ﯾﻛون ﻟﮫ أﻗﺻﻰ ﻗدر ﻣن اﻟﺗﺄﺛﯾر .وأدى ذﻟك إﻟﻰ ﺳرﻗﺔ اﻟﺣﺳﺎب اﻟﻣﺗﻔﺷﯾﺔ ﻓﻲ اﻟﺟﺎﻣﻌﺎت ﻣن أﺟل ان ﯾﺳﺗﺧدم اﻟﻣﮭﺎﺟﻣﯾن اﻟﺣﺳﺎﺑﺎت اﻟﻣﺳروﻗﺔ ﻟﺗﺷﻐﯾل ﺑراﻣﺞ DoSﻛﻣﺎ ﻛﺎن ﻣن اﻟﺳﮭل ﺗﺣدﯾدھﺎ واﻏﻼﻗﮭﺎ، واﻋﺗﺑرت أﻧﮭﺎ ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن؟ ﺣﺳﺎﺑﺎت "ﻋدﯾﻣﺔ اﻟﻔﺎﺋدة"؟ اﻟذي ﻗﺎدت اﻟﺳوق ﻟﺗﺛﺑﯾت .sniffersھذه اﻟﺣﺳﺎﺑﺎت ﺗم ﺗداوﻟﮭﺎ ﻣن اﺟل اﻟﺑراﻣﺞ اﻟﻣﻘرﺻﻧﺔ ،واﻟوﺻول إﻟﻰ اﻟﺷﺑﻛﺎت ذات اﻟوﺻول اﻟﺻﻌب إﻟﯾﮭﺎ وأﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺳروﻗﺔ ،وأرﻗﺎم ﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن ،واﻟﻧﻘد ،وﻣﺎ إﻟﻰ ذﻟك .ﻓﻲ ذﻟك اﻟوﻗت ،ظﮭرت اﺳﻼك اﻟﺷﺑﻛﺔ اﯾﺛرﻧت flat thick-wireو thin-wireوأﺻﺑﺣت أﻛﺛر ﺷﻌﺑﯾﺔ ،ﻛﻣﺎ ﺗم اﺳﺗﺧدام telnet وﺑروﺗوﻛول ﻧﻘل اﻟﻣﻠﻔﺎت ) ftpوﻛﻼھﻣﺎ ﯾﻌﺎﻧﻲ ﻣن ﻣﺷﻛﻠﺔ ﻛﻠﻣﺔ اﻟﻣرور ذات اﻟﻧص اﻟواﺿﺢ( .ﻧﺗﯾﺟﺔ ﻟﮭذا اﻟطراز اﻟﻣﻌﻣﺎري ،ﺑﺟﺎﻧب ﺧدﻣﺎت اﻟﺷﺑﻛﺔ اﻟﺿﻌﯾﻔﺔ ،ﻛﺎﻧت اﻟﺷﺑﻛﺎت ﻓرﯾﺳﺔ ﺳﮭﻠﺔ ﻟﻠﻣﮭﺎﺟﻣﯾن ﻟﺗﺷﻐﯾل ﺷﺑﻛﺔ .sniffers د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1033 1996 ﻓﻲ ﻋﺎم ،1996ﺗم اﻛﺗﺷﺎف ﺛﻐرة أﻣﻧﯾﺔ ﻓﻲ ﻣﻛدس TCP/IP stackواﻟﺗﻲ ﺳﻣﺣت ﺑطوﻓﺎن ﻣن اﻟﺣزم ﻣﻊ ﻣﺟﻣوﻋﺔ ﺑت SYNﻓﻘط )اﻟﻣﻌروﻓﺔ ﺑﺎﺳم ،SYN floodﺳوف ﯾﺷرح ﻻﺣﻘﺎ( واﻟﺗﻲ ﺗم اﻛﺗﺷﺎﻓﮭﺎ ﺑواﺳطﺔ .CERTأﺻﺑﺣت ھذه اﻷداة ذات ﺷﻌﺑﯾﺔ وﻓﻌﺎﻟﺔ ﻻﺳﺗﺧداﻣﮭﺎ ﻟﺟﻌل اﻟﺧدﻣﺔ ﻏﯾر ﻣﺗوﻓرة ،ﺣﺗﻰ ﻣﻊ ﻋرض اﻟﻧطﺎق اﻟﺗرددي اﻟﻣﻌﺗدل اﻟﻣﺗﺎح ﻟﻠﻣﮭﺎﺟم )اﻟذي ﻛﺎن ﺷﻲء ﺟﯾد ﻟﻠﻣﮭﺎﺟﻣﯾن ،ﺣﯾث ﻛﺎﻧت أﺟﮭزة اﻟﻣودم ﻓﻲ ھذا اﻟوﻗت ﺑطﯾﺋﺔ ﺟدا( .واﺳﺗﺧدم ھذه اﻷدوات ﻓﻲ اﻟﺑداﯾﺔ ﻣﺟﻣوﻋﺎت ﺻﻐﯾرة ،وﻋﻣﻣت ﻓﻲ ﻣﺟﻣوﻋﺎت ﻣﻐﻠﻘﺔ ﻟﻔﺗرة ﻣن اﻟوﻗت. 1997 ﺑدأت ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ اﻟﻛﺑﯾرة ﺗﺣدث ﻋﻠﻰ ﺷﺑﻛﺎت IRCﻓﻲ أواﺧر ﻋﺎم 1996وأواﺋل ﻋﺎم .1997ﻓﻲ ھﺟوم واﺣد ،ﺗم اﺳﺗﻐﻼل ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ أﻧظﻣﺔ وﯾﻧدوز ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن اﻟذﯾن ﺣﺻﻠوا ﻋﻠﻰ أﻋداد ﻛﺑﯾرة ﻣن ﻣﺳﺗﺧدﻣﯾن IRCﻣﺑﺎﺷرة ﻣن ﺧﻼل ﺗﺣطﯾم أﻧظﻣﺗﮭم .ﺑراﻣﺞ DoSﻣﺛل ،boink ،teardropو bonkﺣﯾث ﺳﻣﺣت ﻟﻠﻣﮭﺎﺟﻣﯾن ﻟﺗﻌطﯾل أﻧظﻣﺔ وﯾﻧدوز اﻟﻐﯾر ﻣﺻﺣﺣﮫ ) .(unpatchedوﻓﻲ ھﺟوم آﺧر ،وﻗﻊ اﻟﻘراﺻﻧﺔ اﻟروﻣﺎﻧﯾﯾن أﺟزاء ﻣن ﺷﺑﻛﺔ ﺧﺎدم اﻟﺷﺑﻛﺔ IRC network Undernet'sﻣن ﺧﻼل .SYN floodھﺟﻣﺎت SYN floodﻋﻠﻰ ﺷﺑﻛﺎت IRCgﻻ ﺗزال ﺳﺎﺋدة اﻟﯾوم .وﻛﺎن اﻟﺣدث اﻟﻼﻓت ﻓﻲ ﻋﺎم 1997ﺣﯾث ﺗم اﻏﻼق ﻛﺎﻣل ﻟﻺﻧﺗرﻧت ﺑﺳﺑب ) (nonmaliciousاﻟطرﯾﻖ اﻟﻣزﯾف اﻟذي ﺗم اﻹﻋﻼن ﻋﻧﮫ ﻣن ﻗﺑل ﺟﮭﺎز راوﺗر واﺣد. ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﺟزء اﻻﻛﺑر ،ﻧﻘﺎط اﻟﺿﻌف اﻟﺗﻲ اﺳﺗﻐﻼھﺎ DoSﻣﺎ ھﻲ اﻻ أﺧطﺎء ﺑرﻣﺟﯾﮫ ) (bugsﺑﺳﯾطﺔ ﺗم إﺻﻼﺣﮭﺎ ﻓﻲ اﻹﺻدارات اﻟﻼﺣﻘﺔ ﻣن أﻧظﻣﺔ اﻟﺗﺷﻐﯾل اﻟﻣﺗﺿررة .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻛﺎﻧت ھﻧﺎك ﺳﻠﺳﻠﺔ ﻣن اﻷﺧطﺎء ﻓﻲ طرﯾﻖ ﻣﻛدس Microsoft Windows TCP/IP stack ﻟﻣﻌﺎﻟﺟﺔ اﻟﺣزم اﻟﻣﺟزأة .ﺧﻠل واﺣد ﻓﻲ Microsoft Windows TCP/IP stackﺣﯾث ﻟم ﯾﻌﺎﻟﺞ اﻟﺣزم اﻟﻣﺟزأة اﻟذي ﻋوﺿت وذات طول ﻟم ﯾطﺎﺑﻖ ﺑﺷﻛل ﺻﺣﯾﺢ ،ﺑﺣﯾث أﻧﮭﺎ ﺗﺗداﺧل .ﻛﺎﺗب اﻛواد ﻣﻛدس TCP/IP stackﺗوﻗﻊ ان اﻟﺣزم ﺳوف ﺗﻛون ﻣﺟزأة ﺑﺷﻛل ﺻﺣﯾﺢ وﻟم ﯾﻔﺣص ﺑطرﯾﻘﮫ ﺻﺣﯾﺣﮫ ﺣﺎﻟﺔ اﻟﺑداﯾﺔ/اﻟﻧﮭﺎﯾﺔ/اﻟﻣوازﻧﺔ ) .(start/end/offset conditionsﻟذﻟك وﺿﻌت ﺣزم واﻟﺗﻲ وﺿﻌت ﺧﺻﯾﺻﺎ ﺗؤدي إﻟﻰ ﺗﺧﺻﯾص ﻛﻣﯾﺔ ﻛﺑﯾرة ﻣن اﻟذاﻛرة وﺗﻌﻠﯾﻖ أو ﺗﻌطل اﻟﻧظﺎم .وﻋﻧدﻣﺎ ﺗم إﺻﻼح ھذه اﻷﺧطﺎء ،ﻓﻛﺎن ﻋﻠﻰ اﻟﻣﮭﺎﺟﻣﯾن ﺗطوﯾر وﺳﺎﺋل ﺟدﯾدة ﻟﺗﻧﻔﯾذ ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ﻟﻐﺎﯾﺔ ﻣﺎ ﻛﺎن ﻋﻠﯾﮫ ﺳﺎﺑﻘﺎ وزﯾﺎدة اﻟﻘدرة ﻋﻠﻰ اﻟﺗﻌطﯾل. ﺗﻘﻧﯾﺔ أﺧرى ﻓﻌﺎﻟﺔ واﻟﺗﻲ ظﮭرت ﻋﺎم 1997ﻣﻊ ﺷﻛل ﻣن أﺷﻛﺎل اﻻﻧﻌﻛﺎس ) ،(reflectedﺗﺿﺧﯾم ھﺟوم ،(amplified DoS attack) DoS واﻟﺗﻲ ﺳﻣﯾت .Smurf attackھﺟﻣﺎت Smurfﺗﺳﻣﺢ ﺑﺎﻟﺗﺿﺧﯾم ﻣن ﻣﺻدر واﺣد .وذﻟك ﻋن طرﯾﻖ ارﺗداد اﻟﺣزم ﺧﺎرج اﻟﺷﺑﻛﺔ اﻟﺗﻲ ﻟم ﯾﺗم ﺗﻛوﯾﻧﮭﺎ ﺑﺷﻛل ﺻﺣﯾﺢ ،ﺣﯾث ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟﻣﯾن ﺗﺿﺧﯾم ﻋدد اﻟﺣزم اﻟﻣوﺟﮭﺔ ﻟﻠﺿﺣﯾﺔ ﺑﻌﺎﻣل ﯾﺻل اﻟﻰ 200أو ﻧﺣو ذﻟك ﻟﻠﺣﺻول ﻋﻠﻰ ﻣﺎ ﯾﺳﻣﻰ ،Class C or /24 networkأو ﺑﻌﺎﻣل ﯾﺻل اﻟﻰ اﻟﻌدﯾد ﻣن آﻻف ﻟﺷﺑﻛﮫ ﻣﺗوﺳطﺔ اﻟﺣﺟم .Class B or /16 networkﺑﺑﺳﺎطﺔ ﯾﻘوم اﻟﻣﮭﺎﺟم ﺑﺻﯾﺎﻏﺔ اﻟﺣزم ﻣﻊ ﻋﻧوان ﻣرﺳل اﻟﺿﺣﯾﺔ اﻟﻣﻘﺻود ،وإرﺳﺎل ﺗﻠك اﻟﺣزم إﻟﻰ ﻋﻧوان ﺑث ) (broadcast addressاﻟﺷﺑﻛﺔ .ھذه اﻟﺣزم ﺳوف ﺗﺻل ﻟﺟﻣﯾﻊ اﻟﻣﺿﯾﻔﯾن اﻟﻣﺗﺎﺣﯾن واﻟﻣﺳﺗﺟﺎﺑﯾن ﻋﻠﻰ ﺗﻠك اﻟﺷﺑﻛﺔ اﻟﻣﻌﯾﻧﺔ وﺗﺛﯾر اﺳﺗﺟﺎﺑﺔ ﻣﻧﮭم ،ﺣﯾث ﺗزوﯾر ﻋﻧوان اﻟﻣرﺳل ﻓﻲ اﻟطﻠﺑﺎت ،ﺳوف ﯾرﺳل اﻻﺳﺗﺟﺎﺑﺔ ﻟﻠﺿﺣﯾﺔ. ﻗرر اﻟﻣﮭﺎﺟﻣﯾن اﺳﺗﻛﺷﺎف ﺳﺑﯾﻼ آﺧر ﻟﺗﺣطﯾم اﻵﻻت .ﺑدﻻ ﻣن اﺳﺗﻐﻼل ﻧﻘﺎط اﻟﺿﻌف ،ﻗﺎﻣوا ﺑﺄرﺳﺎل اﻟﻛﺛﯾر ﻣن اﻟﺣزم إﻟﻰ اﻟﮭدف .إذا ﻛﺎن اﻟﮭدف ﻋﻠﻰ اﺗﺻﺎل ﺑطﻲء ﻧﺳﺑﯾﺎ ) dial-up connectionﻣﺛﻼ ،(Kbps14.4 ،وﻟﻛن اﻟﻣﮭﺎﺟم ﻗﺎم ﺑﺎﺳﺗﺧدام ﺟﮭﺎز ﻛﻣﺑﯾوﺗر اﻟﺟﺎﻣﻌﺔ اﻟﻣﺳروق ذات اﺗﺻﺎل ،Mbps1ﻓﺈﻧﮫ ﯾﻣﻛن أن ﯾطﻐﻰ ﻋﻠﻰ اﺗﺻﺎل اﻟﮭدف ،ﻣﻣﺎ ﯾؤدى اﻟﻰ ﺗﺑﺎطﺄ ﺟﮭﺎز اﻟﮭدف إﻟﻰ ﺣد ﻛوﻧﮫ ﻋدﯾﻣﺔ اﻟﻔﺎﺋدة. 1998 ﻛﻣﺎ أﺻﺑﺢ ﻋرض اﻟﻧطﺎق اﻟﺗرددي ﺑﯾن اﻟﻣﮭﺎﺟم واﻟﮭدف أﻛﺛر ﻣﺳﺎواة ،وﺗﻌﻠم اﻟﻣزﯾد ﻣن ﻣﺷﻐﻠﻲ اﻟﺷﺑﻛﺎت اﻟﺗﻌﺎﻣل ﻣﻊ ھﺟﻣﺎت Smurf اﻟﺑﺳﯾطﺔ ،واﻟﻘدرة ﻋﻠﻰ إرﺳﺎل ﻣﺎ ﯾﻛﻔﻲ ﻣن ﺣرﻛﺔ اﻟﻣرور اﻟﻰ اﻟﮭدف ﻟﻛﻲ ﯾﺗﺑﺎطﺄ إﻟﻰ ﺣد ﻛوﻧﮫ ﻋدﯾم اﻟﻔﺎﺋدة أﺻﺑﺢ أﺻﻌب وأﺻﻌب ﻓﻲ ﺗﺣﻘﯾﻘﮫ. ﻛﺎﻧت اﻟﺧطوة اﻟﺗﺎﻟﯾﺔ إﺿﺎﻓﺔ اﻟﻘدرة ﻋﻠﻰ اﻟﺳﯾطرة ﻋﻠﻰ ﻋدد ﻛﺑﯾر ﻣن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺗﻲ ﺗﻘﻊ ﻋن ﺑﻌد ،أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﻟﺷﺧص آﺧر، وﺗوﺟﯾﮫ ﻛل ﻣﻧﮭم ﻹرﺳﺎل ﻛﻣﯾﺎت ھﺎﺋﻠﺔ ﻣن ﺣرﻛﺔ اﻟﻣرور ﻋدﯾﻣﺔ اﻟﻔﺎﺋدة ﻋﺑر اﻟﺷﺑﻛﺔ وﻣن ﺛم إﻏراق اﻟﺿﺣﯾﺔ .ﺑدأ اﻟﻣﮭﺎﺟﻣون ﺗﻧظﯾم أﻧﻔﺳﮭم ﻓﻲ ﻣﺟﻣوﻋﺎت ﻣﻧﺳﻘﺔ ،وأداء ھﺟوم ﻋﻠﻰ اﻟﺿﺣﯾﺔ .اﻟﺣزم اﻟﻣﺿﺎﻓﺔ ،ﺳواء ﻓﻲ اﻷﻋداد اﻟﮭﺎﺋﻠﺔ أو ﺑواﺳطﺔ ﺗداﺧل أﻧواع اﻟﮭﺟوم ،ﺣﺻﻠت ﻋﻠﻰ اﻟﻧﺗﯾﺟﺔ اﻟﻣرﺟوة. اﻟﻧﻣﺎذج اﻷوﻟﯾﺔ ﻣن أدوات ) DDoSوأﺑرزھﺎ (fapiواﻟﺗﻲ وﺿﻊ ﻓﻲ ﻣﻧﺗﺻف ﻋﺎم ،1998ﺑﻣﺛﺎﺑﺔ أﻣﺛﻠﺔ ﻋﻠﻰ ﻛﯾﻔﯾﺔ إﻧﺷﺎء ﺷﺑﻛﺎت DDoS اﻟﻌﻣﯾل/اﻟﺧﺎدم .ﺑدﻻ ﻣن اﻻﻋﺗﻣﺎد ﻋﻠﻰ ﻣﺻدر واﺣد ،ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟﻣﯾن اﻵن اﻻﺳﺗﻔﺎدة ﻣن ﻛﺎﻓﺔ اﻟﻣﺿﯾﻔﯾن اﻟﺗﻲ ﯾﻣﻛﻧﮭم ﺗﻘدﯾم ﺗﻧﺎزﻻت ﻟﻠﻣﮭﺎﺟﻣﺔ ﻣﻌﮭﺎ .وﻛﺎن ﻟﮭذه اﻟﺑراﻣﺞ ﻓﻲ وﻗت ﻣﺑﻛر اﻟﻌدﯾد ﻣن اﻟﻘﯾود وﻟم ﯾر اﻻﺳﺗﺧدام ﻋﻠﻰ ﻧطﺎق واﺳﻊ ،وﻟﻛن ﻟم ﯾﺛﺑت أن اﻟﺗﻧﺳﯾﻖ ﺑﯾن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﻓﻲ اﻟﮭﺟوم ﻣﻣﻛﻧﺔ. اﻟﮭﺟﻣﺎت اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ ﻧﻘﺎط اﻟﺿﻌف ) (Vulnerability-based attacksﻟم ﺗذھب ﺑﺑﺳﺎطﺔ ﺑﻌﯾدا ،واﺳﺗﻣرت ﻓﻲ اﻟواﻗﻊ ﻟﯾﻛون ﻣﻣﻛﻧﺎ ﺑﺳﺑب وﺟود ﺗﯾﺎر ﻣﺳﺗﻣر ﻣن اﻷﺧطﺎء اﻟﺑرﻣﺟﯾﺔ ) (bugsاﻟﻣﻛﺗﺷﻔﺔ ﺣدﯾﺛﺎ .ﺗم ﺷن ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ اﻟﻧﺎﺟﺣﺔ ﺑﺎﺳﺗﺧدام ﻧﻘﺎط ﺿﻌف اﻟﺣزم اﻟﻣﺟزأة اﻟﺑﺳﯾطﺔ ﻧﺳﺑﯾﺎ ﻻﺳﺗﮭداف ﻋﺷرات وﻣﺋﺎت اﻵﻻف ﻣن اﻟﻣﺿﯾﻔﯾن اﻟذﯾن ﻛﺎﻧوا ﻋرﺿﺔ ﻓﻲ اﻟﻣﺎﺿﻲ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،اﻟﮭﺟﻣﺎت ﻓﻲ ﻋﺎم ،1998اﺳﺗﻐل ﻧﻘﺎط ﺿﻌف اﻟﺣزم اﻟﻣﺟزأة ) (fragmented packet vulnerabilitiesوﻟﻛﻧﮫ أﺿﺎف ﺳﻛرﯾﺑت ﻹﻋداد ﻗﺎﺋﻣﺔ د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1034 اﻟﻣﺿﯾﻔﯾن اﻟﻣﻌرﺿﯾن ﻟﻠﺧطر وﺑﺳرﻋﺔ ﺗم أطﻠﻖ ﺣزم اﻻﺳﺗﻐﻼل ﻓﻲ ﺗﻠك اﻟﻧظم .أﻋدت ھذه اﻟﻘﺎﺋﻣﺔ ﻋن طرﯾﻖ اﻟﻣﮭﺎﺟم اﻟذي ﺗﺣﻘﻖ ﻣن اﻟﺿﺣﺎﯾﺎ اﻟﻣﺣﺗﻣﻠﯾن ﻟﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﺻﺣﯾﺢ )ﻋن طرﯾﻖ ﺗﻘﻧﯾﺔ ﺗﺳﻣﻰ ،OS fingerprintingواﻟﺗﻲ ﯾﻣﻛن ھزﯾﻣﺗﮭﺎ ﻣن ﻗﺑل ﺣزم اﻟﺗطﺑﯾﻊ ) ((packet normalizationوع وﺟود ﻧﻘﺎط اﻟﺿﻌف ،أﻧﺷﺎ ﻗﺎﺋﻣﺔ ﻣن ﺗﻠك اﻟﺗﻲ "ﻣرت ﻣن اﻻﺧﺗﺑﺎر " .ﻛﺎﻧت ﺟﺎﻣﻌﺔ واﺷﻧطن ﺷﺑﻛﺔ واﺣدة ﻣن ﺿﺣﺎﯾﺎ اﻟﮭﺟوم .ﻓﻲ ﻣﺧﺗﺑرات اﻟﺣﺎﺳوب ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﺣرم اﻟﺟﺎﻣﻌﻲ ،ﻣﻊ ﺑﻌض ﻣﺋﺎت ﻣن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺳﺗﺧدﻣﺔ ﻣن ﻗﺑل اﻟطﻼب ﺑﻧﺷﺎط ﻋﻣل واﺟﺑﺎﺗﮭم اﻟﻣدرﺳﯾﺔ ،وﺗﺣول ﺻوت ﺿرﺑﺎت اﻟﻣﻔﺎﺗﯾﺢ ﻟﺻﻣت اﻟﻣوﺗﻰ ﻛﻣﺎ أن اﻟﺷﺎﺷﺔ ﻓﻲ اﻟﻣﺧﺗﺑر ذھب اﻟﻰ اﻟزرﻗﺎء ،وﻛﺎﻧت وﻛﺎﻟﺔ اﻟﻔﺿﺎء واﻟﺗﻲ ﻛﺎن ﻣﻘرھﺎ اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة ﻛﺎﻧت ﺿﺣﯾﺔ ﻟﻣﺛل ھذه اﻟﮭﺟﻣﺎت ﺧﻼل ﻧﻔس اﻟﻔﺗرة اﻟزﻣﻧﯾﺔ .وﺗﻌرض اﻟﻣﺳﺗﺧدﻣﯾن ﻓﻲ اﻟﻌدﯾد ﻣن اﻟﻣواﻗﻊ ﻟﻠﺗرﻣﯾم اﻟﻔوري ،ﻣﻧذ اﺧﺗﺑﺎرات اﻟرﻗﺎﺑﺔ اﻟﻼﺣﻘﺔ ﺗﺣوﻟت ﺑوﺿوح ﺷﺎﺷﺎت اﻷﻧظﻣﺔ ﻏﯾر اﻟﻣﺣﻣﯾﺔ ")واﻟﻣﺳﺗﺧدﻣﯾن اﻟﻣﻌﻧﯾﯾن( اﻟﻰ اﻷزرق. اﻟﺧطوة اﻟﺗﺎﻟﯾﺔ ﻟﻣواﺟﮭﺔ ﻗﺿﯾﺔ اﻟﺗﺻﺣﯾﺢ ،اﻷﻣر اﻟذي ﺟﻌل ﻣن اﻟﺻﻌب ﻋﻠﻰ ﻣﮭﺎﺟم اﻟﺗﻧﺑؤ ﺑﮭﺟوم ﺣﺟب اﻟﺧدﻣﺔ اﻟﺗﻲ ﺳوف ﺗﻛون ﻓﻌﺎﻟﺔ ،ھو اﻟﺟﻣﻊ ﺑﯾن ﻋدة ﻣﺂﺛر DDoS exploitsﻓﻲ أداة واﺣدة ،وذﻟك ﺑﺎﺳﺗﺧدام ﺳﻛرﯾﺑﺎت ﺷل ﯾوﻧﻛس ) .(Unix shell scriptsوھذه ﻟزﯾﺎدة اﻟﺳرﻋﺔ ﻓﻲ ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ اﻟﺗﻲ ﯾﺗم ﺷﻧﮭﺎ ﻟﺗﻛون ﻓﻌﺎﻟﮫ .واﺣدة ﻣن ھذه اﻻدوات ،ﺗﺳﻣﻰ ) ،rapeوﻓﻘﺎ ﻟﻠﻘﺎﻧون ،ﻛﺗب ﻓﻲ (1998ﺣﯾث ﻗﺎم ﺑدﻣﺞ ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ اﻟﺗﺎﻟﯾﺔ ﻓﻲ ﺷﯾل واﺣد: "echo "Editted for use with www.ttol.base.org "echo "rapeing $IP. using weapons: echo "latierra " echo -n "teardrop v2 " echo -n "newtear " echo -n "boink " echo -n "bonk " echo -n "frag " echo -n "fucked " echo -n "troll icmp " echo -n "troll udp " echo -n "nestea2 " echo -n "fusion2 " echo -n "peace keeper " echo -n "arnudp " echo -n "nos " echo -n "nuclear " echo -n "ssping " echo -n "pingodeth " echo -n "smurf " echo -n "smurf4 " echo -n "land " echo -n "jolt " echo -n "pepsi " أداة ﻣﺛل ھذا ﻟﮫ ﻣﯾزة وھﻲ اﻟﺳﻣﺎح ﻟﻠﻣﮭﺎﺟﻣﯾن ﻹﻋطﺎء ﻋﻧوان IPواﺣد وﻣن ﺛم إطﻼق اﻟﻌدﯾد ﻣن اﻟﮭﺟﻣﺎت )زﯾﺎدة اﺣﺗﻣﺎل ﺣدوث ھﺟوم ﻧﺎﺟﺢ( ،وﻟﻛﻧﮫ ﯾﻌﻧﻲ أﯾﺿﺎ ان ﯾﻛون ﻟدﯾﻧﺎ ﻣﺟﻣوﻋﺔ ﻛﺎﻣﻠﺔ ﻣن اﻹﺻدارات اﻟﻣﺗرﺟﻣﺔ ﻣﺳﺑﻘﺎ ﻟﻛل ﺣزﻣﺔ اﺳﺗﻐﻼل ) (exploit packagedﺗم ﺗﻌﺑﺋﺗﮭﺎ ﻓﻲ ﯾوﻧﻛس ﻋﻠﻰ ھﯾﺋﺔ ارﺷﯾف " "tarﻟﻧﻘل ﻣرﯾﺢ ﻟﻠﺣﺳﺎب اﻟﻣﺳروﻗﺔ ﻹطﻼق اﻟﮭﺟوم. وﻣﻊ اﺳﺗﻣرار اﻟﺳﻣﺎح ﺑﺎﺳﺗﺧدام ،multiple DoS exploitsظﮭر ﺑرﻧﺎﻣﺞ اﻟﺗرﺟﻣﺔ ) (precompiled programاﻟذي ﺳﮭل ﻋﻣﻠﯾﺔ اﻟﺗﺧزﯾن واﻟﻧﻘل واﻻﺳﺗﺧدام ﺑﺳرﻋﺔ ،ﻣﺛل ﺑراﻣﺞ ﻣﺛل targa.cاﻟﺗﻲ وﺿﻊ ﺑواﺳطﺔ ﻣﯾﻛﺳﺗر )ﺗم اﺳﺗﺧدام ھذه اﻻﺳﺗراﺗﯾﺟﯾﺔ ﻧﻔﺳﮭﺎ ﻣرة أﺧرى ﻓﻲ ﻋﺎم 2003ﻣن ﻗﺑل Targa .(Agobot/Phatbotﯾﻘوم ﺑﺟﻣﻊ ﻛل اﻟﻣﺂﺛر اﻟﺗﺎﻟﯾﺔ ﻓﻲ ﺑرﻧﺎﻣﺞ ﻣﺻدرى Cواﺣد:
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1035 >/* targa.c - copyright by Mixter
ﺣﺗﻰ ﺑﻌد ﺗﺟﻣﯾﻊ أدوات DoSﻣﺛل targaﻻ ﯾزال ﯾﺳﻣﺢ ﻓﻘط ﻟﻠﻣﮭﺎﺟم ﺣﺟب ﻋﻧوان IPواﺣد ﻓﻲ ﻛل ﻣرة ،وأﻧﮭﺎ ﺗﺗطﻠب اﺳﺗﺧدام ﺣﺳﺎﺑﺎت ﻣﺳروﻗﺔ ﻋﻠﻰ أﻧظﻣﺔ ﻣﻊ أﻗﺻﻰ ﻋرض ﻧطﺎق اﻟﺗرددي )أﻧظﻣﺔ اﻟﺟﺎﻣﻌﺔ ﻓﻲ اﻟﻐﺎﻟب( .ﻟزﯾﺎدة ﻓﻌﺎﻟﯾﺔ ھذه اﻟﮭﺟﻣﺎت ،ﻗﺎﻣت ﻣﺟﻣوﻋﺎت ﻣن اﻟﻣﮭﺎﺟﻣﯾن ،ﺑﺎﺳﺗﺧدام ﻗﻧوات IRCأو اﻟﮭﺎﺗف " "voice bridgesﻟﻼﺗﺻﺎل ،ﯾﻣﻛﻧﮭﺎ ﺗﻧﺳﯾﻖ اﻟﮭﺟﻣﺎت ،ﻛل ﺷﺧص ﯾﻘوم ﺑﻣﮭﺎﺟﻣﺔ ﻧظﺎم ﻣﺧﺗﻠف ﺑﺎﺳﺗﺧدام ﺣﺳﺎب ﻣﺳروق ﻣﺧﺗﻠف .وﻗد ﯾﻧظر اﻟﻰ ھذا اﻟﺗﻧﺳﯾﻖ ﻧﻔﺳﮫ ﻓﻲ اﻟﺗﺣﻘﻖ ﻣن ﻣواطن اﻟﺿﻌف ،وﻓﻲ اﻟﻧظﺎم اﻟﻣﺧﺗرق واﻟﺗﺣﻛم ﺑﺎﺳﺗﺧدام backdoorو "."rootkit ﺷﮭد ﻋﺎﻣﻲ 1998و 1999زﯾﺎدة ﻛﺑﯾرة ﻓﻲ اﻟﻘدرة ﻋﻠﻰ ﻣﮭﺎﺟﻣﺔ أﻧظﻣﺔ اﻟﻛﻣﺑﯾوﺗر ،اﻟﺗﻲ ﺟﺎءت ﻛﻧﺗﯾﺟﺔ ﻣﺑﺎﺷرة ﻟﻠﺟﮭود اﻟﺑرﻣﺟﯾﺔ واﻟﮭﻧدﺳﺔ، ﻧﻔس ﺗﻠك اﻟﺗﻲ ﺟﻠﺑت اﻹﻧﺗرﻧت إﻟﻰ اﻟﻌﺎﻟم :اﻟﺗﺷﻐﯾل اﻵﻟﻲ ،زﯾﺎدة اﻟﻧطﺎق اﻟﺗرددي ﻟﻠﺷﺑﻛﺔ ،اﺗﺻﺎﻻت اﻟﻌﻣﯾل/اﻟﻣﻠﻘم ،وﺷﺑﻛﺎت اﻟدردﺷﺔ اﻟﻌﺎﻟﻣﯾﺔ. 1999 ﻓﻲ ﻋﺎم ،1999ﻧﻣﺎ ﺑﺑطء ﺗطورﯾن رﺋﯾﺳﯾﯾن ﻟﻠﺧروج ﻣن ﺗﺣت اﻷرض وﺑدأ اﺧذ ﺷﻛل ﻓﻲ وﺳﺎﺋل اﻟﮭﺟوم اﻟﯾوﻣﯾﺔ :اﻟﺣوﺳﺑﺔ اﻟﻣوزﻋﺔ )) (distributed computingﻓﻲ أﺷﻛﺎل اﻟﺗوزﯾﻊ اﻟﺗﻧﺻت ) (sniffingواﻟﻔﺣص ) ،(scanningواﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ اﻟﻣوزﻋﺔ(، وإﻋﺎدة وﻻدة اﻟدﯾدان )اﻟدودة ﺑﺑﺳﺎطﺔ ﺗﻘوم ﺑدﻣﺞ وإﺗﻣﺎم ﺟﻣﯾﻊ ﺟواﻧب اﻻﻗﺗﺣﺎم :ﻓﺣص اﻻﺳﺗطﻼع ) ،(reconnaissance scanningﺗﺣدﯾد اﻟﮭدف ) ،(target identificationاﻻﺧﺗراق ) ،(compromiseاﻟﺗﺿﻣﯾن ) ،(embeddingواﻟﺳﯾطرة ﻋﻠﻰ اﻟﮭﺟوم( .ﻓﻲ اﻟواﻗﻊ ،اﻟﻌدﯾد ﻣن اﻟدﯾدان اﻟﯾوم )ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،Lion ،Deloder ،Code Red ،Nimda ،و (Blasterإﻣﺎ ﻟﺗﻧﻔﯾذ ھﺟوم DDoSأو ﻣﺿﻣﻧﮫ ﻓﻲ ﺣزﻣﺔ أدوات .DDoS ﺻﯾف ﻋﺎم 1999ﺷﮭد أول اﺳﺗﺧدام واﺳﻊ اﻟﻧطﺎق ﻟﻸدوات DoSاﻟﺟدﯾدة ) ،Tribe Flood Network (TFN) ،trinooو.Stacheldraht ﻛﺎﻧت ﻛل ھذه ﺑراﻣﺞ اﻟﻌﻣﯾل/اﻟﺧﺎدم ﺑﺳﯾطﺔ )اﻟﻣﻌﺎﻟﺟﺎت ) (Handlerواﻟوﻛﻼء ) ،((Agentﻛﻣﺎ ذﻛر ﻓﻲ وﻗت ﺳﺎﺑﻖ واﻟﺗﻲ ﺗؤدي وظﺎﺋف ذات اﻟﺻﻠﺔ ﺒ DoSﻟﻠﻘﯾﺎدة واﻟﺳﯾطرة ،وأﻧواع ﻣﺧﺗﻠﻔﺔ ﻣن ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ،واﻟﺗﺣدﯾث اﻟﺗﻠﻘﺎﺋﻲ ﻓﻲ ﺑﻌض اﻟﺣﺎﻻت .أﻧﮭﺎ ﺗﺗطﻠب ﺑراﻣﺞ أﺧرى ﻟﻠﺗروﯾﺞ ﻟﮭم وﺑﻧﺎء ﺷﺑﻛﺎت اﻟﮭﺟوم ،واﻟﻣﺟﻣوﻋﺎت اﻷﻛﺛر ﻧﺟﺎﺣﺎ ﺑﺎﺳﺗﺧدام ھذه اﻷدوات ﺗﺳﺗﺧدم أﯾﺿﺎ اﻟﻔﺣص اﻵﻟﻲ ،وﺗﺣدﯾد اﻟﮭدف، واﻻﺳﺗﻐﻼل ،وﺗرﻛﯾب ﺣﻣوﻟﺔ .DoSﻛﺎﻧت أھداف ﺟﻣﯾﻊ اﻟﮭﺟﻣﺎت ﺗﻘرﯾﺑﺎ ﻓﻲ ﻋﺎم 1999ﻋﻣﻼء IRCوﺧوادم. IRC ﻛﺎن أﺣد أﺑرز اﻟﮭﺟوم ﻋﻠﻰ اﻟﺧﺎدم IRCﻓﻲ ﺟﺎﻣﻌﺔ ﻣﯾﻧﯾﺳوﺗﺎ واﻟﻌﺷرة أو اﻟﻣزﯾد ﻣن ﻋﻣﻼء IRCاﻟﻣﻧﺗﺷرة ﻓﻲ ﻛل أﻧﺣﺎء اﻟﻌﺎﻟم ﻛﺑﯾر ﺑﻣﺎ ﻓﯾﮫ اﻟﻛﻔﺎﯾﺔ ﻟﻠﺣﻔﺎظ ﻋﻠﻰ ﺷﺑﻛﺔ اﻟﺟﺎﻣﻌﺔ ﻏﯾر ﺻﺎﻟﺣﺔ ﻟﻼﺳﺗﻌﻣﺎل ﻟﺣواﻟﻲ ﺛﻼﺛﺔ أﯾﺎم ﻛﺎﻣﻠﺔ .ھذا اﻟﮭﺟوم اﺳﺗﺧدام أداة ،trinoo DoSاﻟﺗﻲ وﻟدت طوﻓﺎن ﻣن ﺣزم UDPﻣﻊ ﺣﻣوﻟﺔ 2ﺑﺎﯾت وﻟم ﺗﺳﺗﺧدم .IP spoofingﺟﺎﻣﻌﺔ ﻣﯾﻧﯾﺳوﺗﺎ ﻗﺎﻣت ﺑﻌد 2،500ﻣن اﻟﻣﺿﯾﻔﯾن ﻓﻲ ھذا اﻟﮭﺟوم، وﻟﻛن ﻛﺎﻧت اﻟﺳﺟﻼت ﻏﯾر ﻗﺎدرة ﻋﻠﻰ ﻣواﻛﺑﺔ اﻟﻔﯾﺿﺎﻧﺎت ،ﻟذﻟك ﻛﺎن ھذا اﻟﻌدد ﻏﯾر واﻗﻌﻲ .اﺳﺗﺧدم ھؤﻻء اﻟﻣﺿﯾﻔﯾن ﻓﻲ اﻟﻌدﯾد ﻣن ﺷﺑﻛﺎت DDoSﻣن 400-100ﻣن اﻟﻣﺿﯾﻔﯾن ﻟﻛل ﻣﻧﮭﻣﺎ ،ﻓﻲ اﻟﮭﺟﻣﺎت اﻟﻣﺗداوﻟﺔ ) (rolling attacksﯾﻘوم ﺑﺗﻧﺷﯾط ﺟﻣﺎﻋﺎت اﻟﻣﺿﯾﻔﯾن وإﻟﻐﺎء اﻟﺗﻧﺷﯾط .ﺟﻌل ھذا ﺗﺣدﯾد ﻣﻛﺎن وﺟود اﻟوﻛﻼء ،واﻟﺗﺣدﯾد واﻟﺗﻧظﯾف ﯾﺳﺗﻐرق ﻋدة ﺳﺎﻋﺎت ﻟﺑﺿﻌﺔ أﯾﺎم .ﺳﺎھم اﻟﻛﻣون ﻓﻲ ﺗﻧظﯾف ﻣدة اﻟﮭﺟوم. ﻛﺎن اﻟﺗﻐﯾﯾر اﻟﻰ اﺳﺗﺧدام أدوات اﻟﺗوزﯾﻊ ) (distributed toolsﻻ ﻣﻔر ﻣﻧﮫ .ﻧﻣو اﻟﻧطﺎق اﻟﺗرددي ﻟﻠﺷﺑﻛﺔ اﻟﺗﻲ ﺟﺎءت ﻋن طرﯾﻖ ﺗطوﯾر )Internet2أطﻠﻖ رﺳﻣﯾﺎ ﻓﻲ ﻋﺎم (2000ﺻﻧﻊ أدوات ﻣن ﻧﻘطﺔ إﻟﻰ ﻧﻘطﺔ ) (point-to-pointﺑﺳﯾطﺔ أﻗل ﻓﻌﺎﻟﯾﺔ ﺿد اﻟﺷﺑﻛﺎت اﻟﻣﺷروطﺔ ﺟﯾدا ،وﻛﺎﻧت اﻟﮭﺟﻣﺎت اﻟﺗﻲ ﺗﺳﺗﺧدم اﻟﻣﺿﯾف واﺣد ﻟﻠﻔﯾﺿﺎﻧﺎت ﺳﮭﻠﺔ اﻟﻔﻠﺗرة وﺳﮭﻠﺔ اﻟﻣﺗﺎﺑﻌﺔ إﻟﻰ ﻣﺻدرھﺎ ،وإﯾﻘﺎﻓﮭﺎ .ﺟﻌﻠت ﻣن ﺑرﻣﺟﺔ ﻓﺣص ﻧﻘﺎط اﻟﺿﻌف )) (Scripting of vulnerability scansواﻟﺗﻲ ﺗﺗم أﯾﺿﺎ ﺑﺷﻛل أﺳرع ﺑﺳﺑب زﯾﺎدة ﻋرض اﻟﻧطﺎق اﻟﺗرددي ﻧﻔﺳﮫ( وﺑرﻣﺟﺔ اﻟﮭﺟﻣﺎت أﺳﮭل ﺑﻛﺛﯾر ﻓﻲ اﺧﺗراق اﻟﻣﺋﺎت ،اﻵﻻف ،ﺑل ﻋﺷرات اﻵﻻف ﻣن اﻟﻣﺿﯾﻔﯾن ﻓﻲ ﻏﺿون ﺑﺿﻊ ﺳﺎﻋﺎت .إذا ﻛﻧت ﻗﻣت د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1036 ﺑﺎﻟﺳﯾطرة ﻋﻠﻰ اﻵﻻف ﻣن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ،ﻟﻣﺎذا ﻻ ﺗﻘوم ﺑﺑرﻣﺟﺗﮭم ﻟﻠﻌﻣل ﺑطرﯾﻘﺔ ﻣﻧﺳﻘﺔ ﻟﻠﺿﻐط؟ ﻟم ﯾﻛن ھذا طﻔرة ﻛﺑﯾرة ﻓﻲ ﺗﺛﺑﯾت أدوات اﻟﮭﺟومSniffer ،Backdoor ،؟ ﻣﮭﻣﺎ أراد اﻟﻣﮭﺎﺟﻣﯾن إﺿﺎﻓﺗﮫ. أﺷﺎرت اﻻﺗﺻﺎﻻت اﻟﺧﺎﺻﺔ ﻣﻊ ﺑﻌض ﻣؤﻟﻔﻲ أدوات DDoSاﻻوﻟﻰ اﻟداﻓﻊ ﻣن ھذا اﻟﺗﺷﻐﯾل اﻵﻟﻲ ﻟﻣﺟﻣوﻋﺔ ﺻﻐﯾرة ﻣن اﻟﻣﮭﺎﺟﻣﯾن ﻟﻣواﺟﮭﺔ اﻟﮭﺟﻣﺎت اﻟﺗﻲ ﺗﻣﺎرس ﻣن ﻗﺑل ﻣﺟﻣوﻋﺔ ﻛﺑﯾرة )ﺑﺎﺳﺗﺧدام أدوات DoSاﻟﻛﻼﺳﯾﻛﯾﺔ اﻟﻣذﻛورة أﻋﻼه ،واﻟﺗﻧﺳﯾﻖ اﻟﯾدوي( .اﻟﻣﺟﻣوﻋﺔ اﻟﺻﻐﯾرة ﻻ ﯾﻣﻛن أن ﯾﻛون ﻟﮭﺎ ﻧﻔس اﻟﻌدد ﻣن اﻷدوات اﻟﯾدوﯾﺔ ،وﺑﺎﻟﺗﺎﻟﻲ ﻟﺟﺄت إﻟﻰ اﻟﺗﻧﻔﯾذ .ﻓﻲ ﺟﻣﯾﻊ اﻟﺣﺎﻻت ﺗﻘرﯾﺑﺎ ،ھذه ﻛﺎﻧت أول ﺟﮭود اﻟﺗرﻣﯾز ) ،(coding effortsوﺣﺗﻰ ﻣﻊ اﻷﺧطﺎء اﻟﺑرﻣﺟﯾﺔ ﻛﺎﻧت ﻓﻌﺎﻟﺔ ﺟدا ﻓﻲ ﺷن ھﺟﻣﺎت واﺳﻌﺔ اﻟﻧطﺎق .ﻛﺎﻧت اﻟﮭﺟﻣﺎت اﻟﻣﺿﺎدة ﻓﻌﺎﻟﺔ ﺑدرﺟﮫ ﻻﻓﺗﮫ ﻟﻠﻧظر ،وﻛﺎﻧت ﻣﺟﻣوﻋﺔ اﻟﺻﻐﯾرة ﻗﺎدرة ﻋﻠﻰ اﺳﺗﻌﺎدة ﺟﻣﯾﻊ ﻗﻧواﺗﮭﺎ واﻟرد ﻋﻠﻰ اﻟﻣﺟﻣوﻋﺔ اﻷﻛﺑر. ھﺟﻣﺎت ﻣﻣﺎﺛﻠﺔ ،وإن ﻛﺎن ذﻟك ﻋﻠﻰ ﻧطﺎق أﺻﻐر ﻗﻠﯾﻼ ،واﺻﻠت ﺧﻼل أواﺧر ﺧرﯾف ﻋﺎم ،1999وھذه اﻟﻣرة ﺑﺎﺳﺗﺧدام أﺣدث اﻷدوات واﻟﺗﻲ ﺗﻘوم ﺑﺗزﯾﯾف ﻋﻧﺎوﯾن اﻟﻣﺻدر ،ﻣﻣﺎ ﺟﻌل ﺗﺣدﯾد اﻟﻣﮭﺎﺟﻣﯾن أﻛﺛر ﺻﻌوﺑﺔ .ﺗﻘرﯾﺑﺎ وﺟﮭت ﺟﻣﯾﻊ ھذه اﻟﮭﺟﻣﺎت ﻋﻠﻰ ﺷﺑﻛﺎت وﻋﻣﻼء ،IRCوﻛﺎن ھﻧﺎك ﺗﻐطﯾﺔ إﺧﺑﺎرﯾﺔ ﻗﻠﯾل ﺟدا ﻋﻧﮭم ،Stacheldraht ، Tribe Flood Network (TFN) .ﺛم )Tribe Flood Network 2000 (TFN2K ﻛﺎﻧوا اﻛﺛر اﻻدوات ﺷﻌﺑﯾﺔ ،ﻓﻲ ﺣﯾن أظﮭر Shaftھﺟﻣﺎت ﻣﺣدودة. ﻓﻲ ﻧوﻓﻣﺑر ﻣن ﻋﺎم ،1999ﺑرﻋﺎﯾﺔ ﻣرﻛز ﺗﻧﺳﯾﻖ ) CERTﻟﻠﻣرة اﻷوﻟﻰ ﻋﻠﻰ اﻹطﻼق( ورﺷﺔ ﻋﻣل ﻟﻣﻧﺎﻗﺷﺔ ووﺿﻊ ردا ﻋﻠﻰ وﺿﻊ اﻋﺗﺑروه ﻣﺷﻛﻠﺔ ﻛﺑﯾرة اﻟﯾوم ،ﻓﻲ ھذه اﻟﺣﺎﻟﺔ أدوات ﺗوزﯾﻊ اﻟﻧظﺎم اﻟدﺧﯾل )) (Distributed System Intruder Toolsﺑﻣﺎ ﻓﻲ ذﻟك اﻟﻔﺎﺣﺻﺎت اﻟﻣوزﻋﺔ ) ،(distributed scannersاﻟﻣﺗﻧﺻﺗون اﻟﻣوزع ) ،(distributed sniffersوأدوات اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ اﻟﻣوزﻋﺔ( .ﻧﺎﺗﺞ ورﺷﺔ اﻟﻌﻣل ﺗﻘرﯾر، واﻟذي ﻏطﻰ اﻟﻣﺳﺄﻟﺔ ﻣن وﺟﮭﺎت ﻧظر ﻣﺗﻌددة )ﺗﻠك ﻣن اﻟﻣدﯾرﯾن وﻣﺳؤوﻟﻲ اﻟﻧظﺎم ،وﻣﻘدﻣﻲ ﺧدﻣﺔ اﻹﻧﺗرﻧت ،وﻓرق اﻻﺳﺗﺟﺎﺑﺔ ﻟﻠﺣوادث( .ھذا اﻟﺗﻘرﯾر ﻻ ﯾزال واﺣدا ﻣن أﻓﺿل اﻷﻣﺎﻛن ﻟﻠﺑدء ﻓﻲ ﻓﮭم ،DDoSوﻣﺎذا ﺗﻔﻌل ﺣﯾﺎل ذﻟك ﻓﻲ إطﺎر زﻣﻧﻲ ﻓوري )> 30ﯾوﻣﺎ( ،اﻟﻣدى اﻟﻣﺗوﺳط ) 180 -30ﯾوﻣﺎ( واﻟﻣدى اﻟطوﯾل اﻟﻣدى )< 180ﯾوﻣﺎ( .وﻣن اﻟﻣﻔﺎرﻗﺎت ،أﻧﮫ ﺑﻌد أﯾﺎم ﻓﻘط ﻣن ورﺷﺔ اﻟﻌﻣل ھذه ،ﺗم اﻛﺗﺷﺎف أداة اﻟﺟدﯾدة اﻟﺗﻲ ﻛﺎﻧت ﻣن ﺳﻼﻟﺔ ﻣﺧﺗﻠﻔﺔ ﻣن اﻟﺗطور ،وﻟﻛﻧﮭﺎ ﻧﻔس ﻣﺑﺎدئ ھﺟوم ،TFN ،trinooو .Stacheldrahtأداة ،Shaftﻛﺎﻧت ﺗﻌﯾث ﻓﻲ اﻷرض ﻓﺳﺎدا ﻣﻊ أﻋداد ﺻﻐﯾرة ﻣن اﻟوﻛﻼء ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء أوروﺑﺎ ،واﻟوﻻﯾﺎت اﻟﻣﺗﺣدة ،واﻟدول اﻟﻣطﻠﺔ ﻋﻠﻰ اﻟﻣﺣﯾط اﻟﮭﺎدئ ،وﺟذﺑت اﻧﺗﺑﺎه ﺑﻌض اﻟﻣﺣﻠﻠﯾن. ﺷﻣل اﻟﺟﯾل اﻟﻘﺎدم ﻣن ھذه اﻷدوات ﻣﯾزات ﻣﺛل ﺗﺷﻔﯾر اﻻﺗﺻﺎﻻت )ﻟﺗﺛﻘﯾل أدوات DoSﺿد اﻟﮭﺟوم اﻟﻣﺿﺎد واﻟﻛﺷف( ،ﺗﻌدد أﺳﺎﻟﯾب اﻟﮭﺟوم، وظﺎﺋف اﻟدردﺷﺔ اﻟﻣﺗﻛﺎﻣﻠﺔ ،واﻹﺑﻼغ ﻋن ﻣﻌدﻻت ﺣزم اﻟﻔﯾﺿﺎﻧﺎت .وﺗﺳﺗﺧدم ھذه اﻟوظﯾﻔﺔ اﻷﺧﯾرة ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم ﻟﺟﻌﻠﮫ أﺳﮭل ﻓﻲ ﺗﺣدﯾد اﻟﻌﺎﺋد ﻣن ھﺟوم DDoSﻋﻠﻰ اﻟﺷﺑﻛﺔ ،وﺑﺎﻟﺗﺎﻟﻲ ﻋﻧدﻣﺎ ﺗﻛون ﻛﺑﯾرة ﺑﻣﺎ ﯾﻛﻔﻲ ﻟﻠﺣﺻول ﻋﻠﻰ اﻟﮭدف اﻟﻣﻧﺷود وﻋﻧدﻣﺎ )ﯾﺣدث اﻻﺳﺗﻧزاف( ﻓﺈﻧﮫ ﯾﺣﺗﺎج إﻟﻰ اﻟﺗﻌزﯾز .ﺗﻌﻠم اﻟﻣزﯾد واﻟﻣزﯾد ﻣن اﻟﻣﺟﻣوﻋﺎت ﻋن ﻗوة DDoSﻟﻠدﺧول ﻓﻲ ﺣرب ﻧﺎﺟﺣﺔ ﺿد ﻣواﻗﻊ ،IRCﻓﺎدى اﻟﻰ ﺗطوﯾر اﻟﻣزﯾد ﻣن أدوات .DDoS ﻣﻊ اﻗﺗراب ﻣﺷﻛﻠﺔ ،Y2Kﯾﺧﺷﻰ اﻟﻌدﯾد ﻣن اﻟﻣﺗﺧﺻﺻﯾن ﻓﻲ ﻣﺟﺎل اﻷﻣن أن ھﺟﻣﺎت DDoSﻋﻠﻰ ﻧطﺎق واﺳﻊ ﻣن ﺷﺄﻧﮫ ﺗﻌطﯾل اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﻼﺗﺻﺎﻻت ،ﻣﻣﺎ ﯾﺟﻌﻠﮭﺎ ﺗﺑدو وﻛﺄﻧﮭﺎ ﻓﺷل Y2Kوﻗد ﺗﺣدث ھﻠﻊ ﻟﻠﺟﻣﮭور .اﻟﺣﻣد � ،ﻟم ﯾﺣدث أﺑدا ﻣﺛل ھذه اﻟﮭﺟﻣﺎت. )ﻣﺷﻛﻠﺔ Y2Kأو ﻣﺷﻛﻠﺔ اﻟﻌﺎم 2000ﻛﺎن ﺣدﺛﺎ ً ﻗرﯾﺑﺎ ً ...ﻣﻌظﻣﻧﺎ ﯾﺗذﻛره واﻟﺑﻌض ﻋﺎش اﻋراﺿﮫ Y) Y2K .ﺗﻌﻧﻲ Yearﺳﻧﺔ 2 ,ﺗﻌﻧﻰ اﻟرﻗم 2و Kﺗﻌﻧﻲ Kilo
أﻟف( .ﺣﯾث ﻛﺎن ﯾﻔﺿل اﻟﻣﺑرﻣﺟﯾن اﺳﺗﺧدام رﻗم اﻟﺳﻧﺔ ﻣن ﺧﺎﻧﺗﯾن ﺑدﻻً ﻣن أرﺑﻊ ﻟﺗﻘﻠﯾل اﺳﺗﮭﻼك اﻟذاﻛرة ،ﻓﺄﺻﺑﺢ اﻟﻌﺎم 1983ﻣﺛﻼً ﯾظﮭر ﻋﻠﻰ اﻟﺣﺎﺳوب ﺑﺎﻟﺻﯾﻐﺔ .83 ﻓﻲ ﺑداﯾﺔ اﻟﺗﺳﻌﯾﻧﺎت .ﺑدأ اﻟﺧﺑراء ﯾﻧﺗﺑﮭون ﻟﻣﺷﻛﻠﺔ ﻛﯾف ﺳﯾﻔﮭم اﻟﺣﺎﺳوب اﻟﻌﺎم ۲۰۰۰؟؟؟ ﺳﯾظﮭر ﺑطرﯾﻘﺔ - 00وھﻲ ﻗﯾﻣﺔ ﻏﯾر ﻣﻧطﻘﯾﺔ ﺣﺳﺎﺑﯾﺎ ً وﺗﻌﻧﻲ اﻟﻌدﯾد ﻣن اﻟﻣﺷﺎﻛل .ﻓﻣﺛﻼً إذا اراد ﻋﻣﯾل اﻟﺑﻧك اﻻﺳﺗﻔﺳﺎر ﻋن ﺣﺳﺎﺑﺎﺗﮫ ﻣن 1998اﻟﻰ 2000ﺗﻌﻧﻲ ﻓﻲ ﻟﻐﺔ اﻟﺣﺎﺳوب <<< 98- = 98- 00 :ﻗﯾﻣﺔ ﺳﺎﻟﺑﺔ!! ھذا ﯾﻌﻧﻲ ﻣﺷﺎﻛل
ﻛﺑﯾرة ﺗﺻﯾب اﻷﺟﮭزة اﻻﻟﻛﺗروﻧﯾﺔ اﻟﺗﻲ ﺗﺣوي ﺳﺎﻋﺔ داﺧﻠﯾﺔ(.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1037 2000 ﻓﻲ 18ﯾﻧﺎﯾر ،2000ﻣوزع اﻧﺗرﻧت ﻣﺣﻠﻲ ) (ISPﻓﻲ ﺳﯾﺎﺗل ،واﺷﻧطن ،وﻛﺎن اﺳﻣﮫ Oz.netﺗﻣت ﻣﮭﺎﺟﻣﺗﮫ .ھذا ﯾﺑدو اﻧﮫ ھﺟوم Smurf )أو رﺑﻣﺎ ICMP Echo reply floodﻣن ﻗﺑل ﺑرﻧﺎﻣﺞ ﻣﺛل (Stacheldrahtﻛﺎن اﻟﻌﻧﺻر اﻟﻔرﯾد ﻓﻲ ھذا اﻟﮭﺟوم ﻛﺎن ﻟﯾس ﻣوﺟﮭﺎ ﺿد اﻟﺧوادم ﻓﻲ Oz.netﻓﻘط ،وﻟﻛن أﯾﺿﺎ أﺟﮭزة اﻟراوﺗر اﻟﺧﺎﺻﺔ ﺑﮭم ،وأﺟﮭزة اﻟراوﺗر اﻟﺧﺎﺻﺔ ﺑﮭم ﻣن اﻟﻣﻧﺑﻊ ،Semaphoreوأﺟﮭزة اﻟراوﺗر ﻣن ﻣزود اﻟﻣﻧﺑﻊ .UUNET ،وﺗﺷﯾر اﻟﺗﻘدﯾرات إﻟﻰ أن اﻟﺗﺑﺎطؤ ﻓﻲ ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ أﺻﺎب ﻧﺣو ٪70ﻣن اﻟﻣﻧطﻘﺔ اﻟﻣﺣﯾطﺔ ﻟﺳﯾﺎﺗل. ﻓﻲ ﻏﺿون أﺳﺎﺑﯾﻊ ﻣن ھذا اﻟﮭﺟوم ،ﻓﻲ ﻓﺑراﯾر ،2000ﻋددا ﻣن ھﺟﻣﺎت DDoSارﺗﻛﺑت ﺑﻧﺟﺎح ﺿد اﻟﻌدﯾد ﻣن اﻟﻣواﻗﻊ اﻟﻣﺷروطﺔ ﺟﯾدا واﻟﻣﺷﻐﻠﺔ؟ اﻟﻛﺛﯾر ﻣن "اﻷﺳﻣﺎء اﻟﺗﺟﺎرﯾﺔ" اﻟرﺋﯾﺳﯾﺔ ﻟﻺﻧﺗرﻧت .وﻛﺎن ﻣن ﺑﯾﻧﮭم ﺷرﻛﺔ ﻋﻠﻰ اﻻﻧﺗرﻧت اﻟﺧﺎﺻﺔ ﺑﺎﻟﻣزاد ﻣوﻗﻊ ) eBayﻣﻊ 10 ﻣﻼﯾﯾن ﻣن اﻟﻌﻣﻼء( ،ﺷرﻛﺔ اﻹﻧﺗرﻧت 36) Yahooﻣﻠﯾون زاﺋر ﻓﻲ دﯾﺳﻣﺑر ﻛﺎﻧون اﻻول ،(1999وﺷرﻛﺔ اﻟوﺳﺎطﺔ اﻟﻣﺎﻟﯾﺔ ﻋﻠﻰ اﻻﻧﺗرﻧت ،online brokerage E*Tradeﻣﺗﺎﺟر اﻟﺗﺟزﺋﺔ ﻋﻠﻰ اﻻﻧﺗرﻧت 1.3) Buy.comﻣﻠﯾون زﺑون( ،ﻣﺗﺎﺟر ﺑﯾﻊ اﻟﻛﺗب اﻟراﺋدة ﻋﻠﻰ اﻻﻧﺗرﻧت ،Amazon.comﺑواﺑﺔ اﻹﻧﺗرﻧت ،Excite.comوﻣوﻗﻊ اﻷﺧﺑﺎر اﻟﻣﻧﺗﺷر ﻋﻠﻰ ﻧطﺎق واﺳﻊ .CNNوﻗد اﺳﺗﺧدﻣت اﻟﻌدﯾد ﻣن ھذه اﻟﻣواﻗﻊ ﺣرﻛﺔ اﻟﻣرور ذات ﺣﺟم ﻋﺎﻟﻲ وﻣﺗذﺑذب ،ﻟذﻟك ﻛﺎﻧوا ﻣﺷروطﯾن ﺑﺷﻛل ﻛﺑﯾر ﻟﺗوﻓﯾر ﺗﻠك اﻟﺗﻘﻠﺑﺎت .وﻛﺎﻧوا أﯾﺿﺎ ھدﻓﺎ ﻣﺗﻛررا ﻷﻧواع أﺧرى ﻣن اﻟﮭﺟﻣﺎت اﻟﻛﺗروﻧﯾﺔ ،ﻟذﻟك أﺑﻘوا ﻋﻠﻰ ﺑرﻣﺟﯾﺎت أﻣﻧﮭم ﻣﺣدﺛﮫ ﺣﺗﻰ اﻵن ،واﻟﺣﻔﺎظ ﻋﻠﻰ اﻟﻣوظﻔﯾن ﻣن اﻟﻣﺣﺗرﻓﯾن ﻓﻲ إدارة اﻟﺷﺑﻛﺔ ﻟﻠﺗﻌﺎﻣل ﻣﻊ أي ﻣن اﻟﻣﺷﺎﻛل اﻟﺗﻲ ﻧﺷﺄت .إذا ﻛﺎن أي ﺷﺧص ﻓﻲ اﻹﻧﺗرﻧت ﯾﻧﺑﻐﻲ أن ﯾﻛون ﻓﻲ ﻣﺄﻣن ﻣن ﻣﺷﺎﻛل ،DDoSﻛﺎﻧت ھذه اﻟﻣواﻗﻊ أوﻟﻰ .وﻣﻊ ذﻟك ،ﻛﺎﻧت اﻟﮭﺟﻣﺎت ﺿد ﻛل ﻣﻧﮭم ﻧﺎﺟﺣﺔ ﺟدا ،وﻋﻠﻰ اﻟرﻏم ﻣن ﻛوﻧﮭﺎ ﻏﯾر ﻣﻌﻘدة ﻧوﻋﺎ ﻣﺎ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،اﻟﮭﺟوم ﻋﻠﻰ ﯾﺎھو ﻓﻲ ﻓﺑراﯾر 2000ﻣﻧﻊ اﻟﻣﺳﺗﺧدﻣﯾن ﻣن وﺟود اﺗﺻﺎل ﺛﺎﺑت إﻟﻰ ذﻟك اﻟﻣوﻗﻊ ﻟﻣدة ﺛﻼث ﺳﺎﻋﺎت .وﻧﺗﯾﺟﺔ ﻟذﻟك ،ﯾﺎھو ،ﺗﻌﺗﻣد ﻋﻠﻰ اﻹﻋﻼن ﻛﺛﯾرا ﻣن أﺟل ﻋﺎﺋداﺗﮭﺎ ،ﻓﻘد ﯾﺣﺗﻣل أن ﺗﻛون ﺧﺳرت ﺣواﻟﻲ 500،000دوﻻر ﺑﺳﺑب أن ﻣﺳﺗﺧدﻣﯾﮭﺎ ﻟم ﯾﺗﻣﻛﻧوا ﻣن اﻟوﺻول إﻟﻰ ﺻﻔﺣﺎت اﻟوﯾب ﯾﺎھو وﺗﺣﻣﯾل اﻹﻋﻼﻧﺎت .ﻛﺎﻧت طرﯾﻘﺔ اﻟﮭﺟوم اﻟﻣﺳﺗﺧدﻣﺔ ﻟﯾﺳت ﻣﺗطورة ،وﺑﺎﻟﺗﺎﻟﻲ ﻛﺎن ﯾﺎھو ﻓﻲ ﻧﮭﺎﯾﺔ اﻟﻣطﺎف ﻗﺎدرة ﻋﻠﻰ ﻓﻠﺗرة ﺣرﻛﺔ ﻣرور اﻟﮭﺟوم ﻋن ﺣرﻛﺔ اﻟﻣرور اﻟﺷرﻋﻲ ،وﻟﻛن ﻓﻘدت ﻗدرا ﻛﺑﯾرا ﻣن اﻟﻣﺎل ﻓﻲ ھذه اﻟﻌﻣﻠﯾﺔ .ﺣﺗﻰ ﻣوﻗﻊ وﯾب اﻟﺧﺎص ﺑﻣﻛﺗب اﻟﺗﺣﻘﯾﻘﺎت اﻟﻔدراﻟﻲ ﻛﺎن ﺧﺎرج اﻟﺧدﻣﺔ ﻟﻣدة ﺛﻼث ﺳﺎﻋﺎت ﻓﻲ ﺷﮭر ﻓﺑراﯾر ﻣن ﻋﺎم 2000ﻓﻲ ھﺟوم .DDoS ﻓﻲ ھذا اﻟﻌﺎم ظﮭر ﺻﺑﻲ ﯾﺑﻠﻎ ﻣن اﻟﻌﻣر 15ﻋﺎﻣﺎ أظﮭر ﻛﯾف ﯾﻣﻛن اﻟﻘﯾﺎم ﺑﮭﺟﻣﺎت "Mafiaboy" . DDoSھذا اﻟﻠﻘب أطﻠﻖ ﻋﻠﻰ ﻣﺎﯾﻛل ﻛﺎﻟﺳﻲ اﻟﺑﺎﻟﻎ ﻣن اﻟﻌﻣر 15ﻋﺎﻣﺎ ﺻﺎﺣب ﻣﺷروع " "Project Rivoltaاﻟذي أﻧزل ﻓﻲ ﻣوﻗﻊ ﯾﺎھو .ﺣﻛم ﻋﻠﯾﮫ ﺑﺎﻟﺳﺟن ﻟﻣدة ﺛﻣﺎﻧﯾﺔ أﺷﮭر ﻓﻲ ﻣرﻛز ﻻﺣﺗﺟﺎز اﻷﺣداث. 2001 ﻓﻲ ﯾﻧﺎﯾر ،2001ھﺟوم دوس اﻟﻣﻧﻌﻛس ) (reflection DDoS attackﻋﻠﻰ futuresite.register.comواﻟذي اﺳﺗﺧدم طﻠﺑﺎت DNS ﻛﺎذﺑﺔ ﻹرﺳﺎﻟﮭﺎ إﻟﻰ ﺧوادم DNSاﻟﻌدﯾد ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم ﻟﺗوﻟﯾد ﺣرﻛﺔ اﻟﻣرور ﻓﯾﮭﺎ .اﻟﻣﮭﺎﺟم أرﺳل اﻟﻌدﯾد ﻣن اﻟطﻠﺑﺎت ﺗﺣت ھوﯾﺔ اﻟﺿﺣﯾﺔ ﻟﺳﺟل DNSﻛﺑﯾر ﺑﺷﻛل ﺧﺎص ﻟﻌدد ﻛﺑﯾر ﻣن ﺧوادم .DNSھذه اﻟﻣﻠﻘﻣﺎت ﺑﺎﻟﺗﺎﻟﻲ أرﺳﻠت اﻟﻣﻌﻠوﻣﺎت اﻟﻐﯾر ﻣرﻏوب ﻓﯾﮭﺎ ﻓﻌﻼ ﻟﻠﺿﺣﯾﺔ .أﻓﺎدت اﻟﺗﻘﺎرﯾر أن ﻛﻣﯾﺔ ﺣرﻛﺔ اﻟﻣرور اﻟواردة إﻟﻰ ﻋﻧوان IPاﻟﺿﺣﯾﺔ ﺣواﻟﻲ 60إﻟﻰ 90ﻣﯾﻐﺎﺑﺎﯾت ﻓﻲ اﻟﺛﺎﻧﯾﺔ ،ﻣﻊ ﺗﻘدﯾم ﺗﻘﺎرﯾر ﻣوﻗﻊ واﺣد ﺷﮭد طﻠﺑﺎت DNSﺣواﻟﻲ 220ﻓﻲ اﻟدﻗﯾﻘﺔ اﻟواﺣدة ﻟﻛل ﺧﺎدم .DNS اﺳﺗﻣر ھذا اﻟﮭﺟوم ﺣواﻟﻲ أﺳﺑوع ،وﻟم ﯾﻛن ﻣن اﻟﺳﮭل ﻓﻠﺗرﺗﮫ ﻓﻲ ﺷﺑﻛﺔ اﻟﺿﺣﯾﺔ ﺑﺎﺳﺗﺧدام اﻷﺳﺎﻟﯾب اﻟﺑﺳﯾطﺔ ﻟﻠﻘﯾﺎم ﺑذﻟك واﻟﺗﻲ ﻣن ﺗﻘوم ﺑﺗﻌطﯾل ﻛل ﺑﺣث DNSﻟﻠﻌﻣﻼء اﻟﺿﺣﯾﺔ .ﺣﯾث ان اﻟﮭﺟوم ﻗﺎم ﺑﻌﻛس ﺑطﻠﺑﺎت ﺧوادم DNSﻋدﯾدة ،ﻛﺎن ﻣن اﻟﺻﻌب ﺗﻣﯾز أي ﻣن ﺗﻠك اﻟﺗﻲ ﺗﻧﺗﺞ ھﺟوم ﺣرﻛﺔ اﻟﻣرور واﻟﺗﻲ ﯾﻧﺑﻐﻲ ان ﯾﺗم ﻓﻠﺗرﺗﮭﺎ. ﯾﻣﻛن اﻟﻘول ،اﻧﮫ ﻻ ﯾﺟب ﺣﻘﺎ ﻋﻠﻰ ﺧوادم DNSاﻻﺳﺗﺟﺎﺑﺔ ﻟﮭذا اﻻﺳﺗﻌﻼم ،أﻧﮫ ﻟن ﯾﻛون ﻋﺎدة أﻋﻣﺎﻟﮭم اﻟرد ﻋﻠﻰ اﺳﺗﻔﺳﺎرات DNSﻣن ﺳﺟﻼت ﻋﺷواﺋﯾﺔ ﻣن اﻟﻣواﻗﻊ اﻟﻐﯾر ﻣوﺟودة ﺣﺗﻰ ﻓﻲ ﻧطﺎق اﻟدوﻣﯾن اﻟﺧﺎص ﺑﮫ .أﻧﮫ ﺑذﻟك ﯾﻣﻛن اﻋﺗﺑﺎر ﺧﻠل ﻓﻲ وظﺎﺋف طرﯾﻘﺔ، DNS واﻻﻋداد اﻟﺧﺎطﺊ ﻟﺧوادم ، DNSأو رﺑﻣﺎ اﻻﺛﻧﯾن ﻣﻌﺎ ،ﻟﻛﻧﮫ ﯾؤﻛد ﺑﺎﻟﺗﺄﻛﯾد ﺗﻌﻘﯾد ﺑروﺗوﻛوﻻت اﻹﻧﺗرﻧت وﺗطﺑﯾﻘﺎت اﻟﺑروﺗوﻛول وﻣﺳﺎﺋل اﻟﺗﺻﻣﯾم اﻟﻛﺎﻣﻧﺔ اﻟﺗﻲ ﯾﻣﻛن أن ﺗؤدي إﻟﻰ .DoS vulnerabilities اﺳﺗﻣرت زﯾﺎدة ﻋدد ھﺟﻣﺎت ،DDoSوﻟﻛن ﻣﻌظم اﻟﻧﺎس )ﻋﻠﻰ اﻷﻗل أوﻟﺋك اﻟذﯾن ﻟم ﯾﺳﺗﺧدﻣوا (IRCﻟم ﯾﻛوﻧوا ﻋﻠﻰ ﻋﻠم ﺑﮭﺎ .ﻓﻲ ﻋﺎم 2001 ﻧﺷرت دﯾﻔﯾد ﻣور ،ﺟﯾﻔري ﻓوﻟﻛﯾر ،وﺳﺗﯾﻔﺎن ﺳﺎﻓﺎج ﻣﻘﺎﻟﮫ ﺑﻌﻧوان " ." Inferring Internet Denial-of-Service Activityھذا اﻟﻌﻣل ﻗﺎم ﺑﺎﻟﺗﺣﻘﯾﻖ ﻋن ﻧﺷﺎط DDoSﻋﻠﻰ ﻧطﺎق اﻹﻧﺗرﻧت .ھذه اﻟﺗﻘﻧﯾﺔ اﻟﻣﺳﺗﺧدﻣﺔ ﻓﻲ ﻗﯾﺎس ﻧﺷﺎط DDoSﯾﻘﻠل ﻣن وﺗﯾرة اﻟﮭﺟوم ،ﻷﻧﮫ ﻻ ﯾﻣﻛن اﻟﻛﺷف ﻋن ﺟﻣﯾﻊ اﻟﮭﺟﻣﺎت اﻟﺗﻲ ﺗﺣدث .وﻟﻛن ﺣﺗﻰ ﻣﻊ ھذه اﻟﻘﯾود ،ﻓﺈن اﻟﻣؤﻟﻔﯾن ﻗﺎدرة ﻋﻠﻰ ﻛﺷف ﻣﺎ ﯾﻘرب ﻣن 4،000ﻣن اﻟﮭﺟﻣﺎت ﻓﻲ اﻷﺳﺑوع ﻟﻣدة ﺛﻼﺛﺔ أﺳﺎﺑﯾﻊ .ﻛﺎﻧت ﺗﻘﻧﯾﺎت ﻣﺷﺎﺑﮭﺔ ﻟﻠﻛﺷف ﻋن ھﺟوم واﻟﺗﻘﯾﯾم ﺑﺎﻟﻔﻌل ﻓﻲ اﻻﺳﺗﺧدام ﺑﯾن ﻣﺷﻐﻠﻲ اﻟﺷﺑﻛﺎت وﻣﺣﻠﻠﻲ أﻣن اﻟﺷﺑﻛﺔ ﻓﻲ 1999و.2000 ﻣوﻗف ﻣﺎﯾﻛروﺳوﻓت اﻟﺑﺎرز ﻓﻲ ﺻﻧﺎﻋﺔ ﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﻌﻠوﻣﺎت ﺟﻌﻠﺗﮭﺎ ھدﻓﺎ ﻣﺗﻛررا ﻟﻠﮭﺟﻣﺎت ،ﺑﻣﺎ ﻓﻲ ذﻟك ھﺟﻣﺎت .DDoSﻓﺷﻠت ﺑﻌض ھﺟﻣﺎت DDoSﻋﻠﻰ ﻣﺎﯾﻛروﺳوﻓت ،ﻓﻲ ﺟزء ﻣﻧﮫ وذﻟك ﻹﺣﻛﺎم Microsoftاﻟﺷدﯾد ﻋﻠﻰ ﺷﺑﻛﺎﺗﮭﺎ ﻟﻠﺗﻌﺎﻣل ﻣﻊ اﻟﻌبء اﻟﮭﺎﺋل اﻟﻣﺗوﻟد ﻋﻧدﻣﺎ د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1038 اﻻﻓراج ﻋن ﻣﻧﺗﺞ ﺟدﯾد أو ﻣﮭم أو ﻋﻧدﻣﺎ ﺗﺻﺑﺢ اﻟﺗرﻗﯾﺔ ﻣﺗﺎﺣﺔ .وﻟﻛن ﺑﻌض اﻟﮭﺟﻣﺎت ﻧﺟﺣت ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ﻣن ﺧﻼل إﯾﺟﺎد ﺑذﻛﺎء ﺑﻌض اﻟﻣوارد اﻷﺧرى ﻋن ﻋرض اﻟﻧطﺎق اﻟﺗرددي اﻟﻧﻘﻲ ﻹطﻼق اﻟﮭﺟوم .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻓﻲ ﯾﻧﺎﯾر 2001أطﻠﻖ ﺷﺧص ﻣﺎ ھﺟوم DDoSﻋﻠﻰ واﺣد ﻣن أﺟﮭزة اﻟراوﺗر ﻟﻣﺎﯾﻛروﺳوﻓت ،وﻣﻧﻌﮫ ﻣن ﺗوﺟﯾﮫ ﺣرﻛﺔ اﻟﻣرور اﻟﻌﺎدﯾﺔ ﻓﻲ اﻟﺳرﻋﺎت اﻟﻣطﻠوﺑﺔ .ھذا اﻟﮭﺟوم ذات اﻟﺗﺄﺛﯾر اﻟﻛﻠﻲ ﻛﺎن ﺿﺋﯾل ﻧﺳﺑﯾﺎ ﻋﻠﻰ وﺟود اﻹﻧﺗرﻧت ﻓﻲ ﻣﺎﯾﻛروﺳوﻓت ﻟوﻻ ﺣﻘﯾﻘﺔ أن ﺟﻣﯾﻊ ﺧوادم DNSاﻟﺧﺎﺻﺔ ﺑﻣﺎﯾﻛروﺳوﻓت ﻋﻠﻰ اﻻﻧﺗرﻧت ﺗﻘﻊ ﺧﻠف ﺟﮭﺎز اﻟﺗوﺟﯾﮫ اﻟﻣﻌرﺿﺔ ﻟﻠﮭﺟوم .ﺑﯾﻧﻣﺎ ﻋﻣﻠﯾﺎ ﻛﺎن ﻛل ﺷﺑﻛﺔ ﻣﺎﯾﻛروﺳوﻓت ﻣﺗﺎﺣﮫ ﻟﻼﺳﺗﺧدام ،وﻟﻛن اﻟﻌدﯾد ﻣن اﻟﻣﺳﺗﺧدﻣﯾن ﻟم ﯾﺣﺻﻠوا ﻋﻠﻰ طﻠﺑﺎﺗﮭم ﻣن ﺗرﺟﻣﺔ أﺳﻣﺎء ﻣوﻗﻊ Microsoftإﻟﻰ ﻋﻧﺎوﯾن IPواﻟﺗﻲ اﺳﻘطت ﻣن ﻗﺑل ﺟﮭﺎز اﻟراوﺗر ﻧﺗﯾﺟﺔ اﻟﺗﺣﻣﯾل اﻟزاﺋد ﻋﻠﯾﮫ .ﻛﺎن ھذا اﻟﮭﺟوم ﻧﺎﺟﺣﺎ ﻟدرﺟﺔ أن ﺟزء ﻣن ﺷﺑﻛﺔ اﻟطﻠب اﻟذي ﻛﺎن ﻣﺎﯾﻛروﺳوﻓت ﻗﺎدرا ﻋﻠﻰ اﻟﺗﻌﺎﻣل ﻣﻌﮫ اﻧﺧﻔض إﻟﻰ .٪2 2002 ﻓﻲ ھذه اﻟﺳﻧﺔ ﻛﺎن أﻛﺑر ظﮭور ﻟﮭﺟﻣﺎت ،DDoSﻓﻲ أﻛﺗوﺑر 2002ﺣﯾث ذھب ﻟﻠﻣﮭﺎﺟﻣﯾن ﺧطوة أﺑﻌد ﻣن ذﻟك وﺣﺎوﻟوا ﺗﻧﻔﯾذ ھﺟوم DDoS ﻋﻠﻰ ﻣﺟﻣوﻋﺔ ﻛﺎﻣﻠﺔ ﻣن ﺧوادم DNSاﻟﺟذرﯾﺔ ) (root DNSﻟﻺﻧﺗرﻧت DNS .ھﻲ ﺧدﻣﺔ ﺣﺎﺳﻣﺔ ﻟﻛﺛﯾر ﻣن ﻣﺳﺗﺧدﻣﻲ اﻹﻧﺗرﻧت ﻟذﻟك ﻓﺎن اﻟﻌدﯾد ﻣن اﻟﺗداﺑﯾر اﻟﻣﺗﺧذة ﻟﺟﻌﻠﮭﺎ ﻗوﯾﺔ وﻣﺗﺎﺣﺔ ﻟﻠﻐﺎﯾﺔ .ﺑﯾﺎﻧﺎت DNSﺗم ﻧﺳﺧﮭﺎ ﻓﻲ 13ﻣن اﻟﺧوادم اﻟﺟذرﯾﺔ ،اﻟﺗﻲ ھﻲ ﻧﻔﺳﮭﺎ ﻣﺷروطﺔ ﺑﺷﻛل ﺟﯾد واﻟﺣﻔﺎظ ﻋﻠﯾﮭﺎ ،وأﻧﮫ ﺗم ﺗﺧزﯾﻧﮭﺎ ﻣؤﻗﺗﺎ ﻓﻲ ﺧوادم ﻏﯾر ﺟذرﯾﮫ ﺑﺷﻛل ﻛﺑﯾر ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻹﻧﺗرﻧت .ﺣﺎول اﻟﻣﮭﺎﺟم إﯾﻘﺎف اﻟﺧدﻣﺔ ﻟﺟﻣﯾﻊ ﺧوادم DNSاﻟ 13ﻣن ھذه اﻟﺧوادم اﻟﺟذرﯾﺔ ﺑﺎﺳﺗﺧدام ﻧﻣوذج ﺑﺳﯾط ﺟدا ﻣن ھﺟوم .DDoSﻓﻲ ﻧﻘﺎط ﻣﺧﺗﻠﻔﺔ ﺧﻼل اﻟﮭﺟوم ،ﻛﺎن 9ﻣن 13 ﻣﻠﻘم اﻟﺟذري ﻏﯾر ﻗﺎدر ﻋﻠﻰ اﻻﺳﺗﺟﺎﺑﺔ ﻟطﻠﺑﺎت ،DNSوﺑﻘﻲ ﻓﻘط 4ﯾﻌﻣﻠون ﺑﺎﻟﻛﺎﻣل ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﮭﺟوم .اﻟﮭﺟوم اﺳﺗﻣر ﺳﺎﻋﺔ واﺣدة ﻓﻘط ،وﺑﻌد ذﻟك ﺗوﻗف اﻟوﻛﻼء .ﺑﻔﺿل اﻟﺗﺻﻣﯾم اﻟﻘوي ﻟل DNSوﻗﺻر ﻣدة اﻟﮭﺟوم ،ﻟﻛﺎن ھﻧﺎك ﺗﺄﺛﯾر ﺧطﯾر ﻓﻲ اﻹﻧﺗرﻧت ﻛﻛل .أطول وأﻗوى ھﺟوم ،وﻣﻊ ذﻟك ،ﻗد ﺗﻛون ﺿﺎرة ﻟﻠﻐﺎﯾﺔ. 2003 ﺣﺗﻰ ﻋﺎم 2003ﻟم ﯾﻛن ھﻧﺎك ﺗﺣوﻻ ﻛﺑﯾرا ﻓﻲ دواﻓﻊ اﻟﮭﺟوم واﻟﻣﻧﮭﺟﯾﺎت اﻟﺗﻲ ﺑدأت ﺗظﮭر .ﺗزاﻣن ھذا اﻟﺗﺣول ﻣﻊ اﻟﻌدﯾد ﻣن أﺣداث اﻟدودة اﻟﺳرﯾﻌﺔ اﻟواﺳﻌﺔ اﻟﻧطﺎق ،واﻟﺗﻲ أﺻﺑﺣت اﻵن ﻣﺗﺷﺎﺑﻛﺔ ﻣﻊ .DDoS أوﻻ ،ﺑدأ اﻟﻣﺗطﻔﻠﯾن ﺑﺎﺳﺗﺧدام ﺷﺑﻛﺎت اﻟﺗوزﯾﻊ ﺑﻧﻔس طرق ھﺟوم ،DDoSﺑﺈﻧﺷﺎء ﺷﺑﻛﺎت ﺗوزﯾﻊ اﻟﺑرﯾد اﻟﻣزﻋﺞ ).(Spam network ﻛﻣﺎ ﺣﺎوﻟت اﻟﻣواﻗﻊ اﻟﻣﺿﺎدة ﻟﻠﺑرﯾد اﻟﺗطﻔﻠﻲ ) (antispam sitesﻣواﺟﮭﺔ ھذا " ،"spambotsاﻟﻣﺗطﻔﻠﯾن ﻗﺎﻣوا ﺑﻣﮭﺎﺟﻣﺔ ﻋدة ﻣواﻗﻊ اﻟﻣﺿﺎدة ﻟﻠﺑرﯾد اﻟﺗطﻔﻠﻲ ) .(antispam sitesوذﻟك ﺑﺎﺳﺗﺧدام أدوات DDoSاﻟﻘﯾﺎﺳﯾﺔ ،وﺣﺗﻰ اﻟدﯾدان ﻣﺛل ،W32/Sobigﺷﻧوا ھﺟﻣﺎت ﻣﺗواﺻﻠﺔ ﺿد أوﻟﺋك اﻟذﯾن ﯾرون أﻧﮭم ﻛﺎﻧوا ﺗﮭدد ﻷﻋﻣﺎﻟﮭم اﻟﻣرﺑﺣﺔ ﻟﻠﻐﺎﯾﺔ. اﻟﺛﺎﻧﯾﺔ ،ﺑدأت اﻟﺟراﺋم اﻟﻣﺎﻟﯾﺔ اﻷﺧرى ﺑﺎﺳﺗﺧدام .DDoSﻓﻲ ﺑﻌض اﻟﺣﺎﻻت ،ھوﺟﻣت أﯾﺿﺎ اﻟﺑﺎﻋﺔ ﻋﻠﻰ اﻻﻧﺗرﻧت ذات إﺟﻣﺎﻟﻲ اﻟﻣﺑﯾﻌﺎت اﻟﯾوﻣﯾﺔ ﺑﻧﺎء ﻋﻠﻰ أﻣر ﻣن ﻋﺷرات اﻵﻻف ﻣن اﻟدوﻻرات ﯾوﻣﯾﺎ )ﻋﻠﻰ ﻋﻛس اﻟﻣواﻗﻊ اﻟﻛﺑﯾرة ﻣﺛل ﺗﻠك اﻟﺗﻲ ھوﺟﻣت ﻓﻲ ﻓﺑراﯾر ،(2000وذﻟك ﺑﺎﺳﺗﺧدام ﺷﻛل ﻣن أﺷﻛﺎل DDoSواﻟﺗﻲ ﺗﻧطوي ﻋﻠﻰ طﻠﺑﺎت وﯾب ﺗﺑدو طﺑﯾﻌﯾﺔ .ﻛﺎﻧت ھذه اﻟﮭﺟﻣﺎت ﻓﻘط ﻛﺑﯾرة ﺑﻣﺎ ﯾﻛﻔﻲ ﻹﺣﺿﺎر ﻣﻠﻘم وﯾب ﻟﻛﻲ ﯾﻌﻣل ﺑﺑطﻲء ،وﻟﻛﻧﮭﺎ ﻟﯾﺳت ﻛﺑﯾرة ﺑﻣﺎ ﯾﻛﻔﻲ ﻟﺗﻌطﯾل ﺷﺑﻛﺎت ﻣﻘدﻣﻲ اﻟﺧدﻣﺔ )اﻟﻣﻧﺑﻊ( .وﻋﻠﻰ ﻏرار ھﺟﻣﺎت DNSاﻟﻣﻧﻌﻛﺳﺔ اﻟﻣوﺿﺣﺔ ﺳﺎﺑﻘﺎ ،ﻛﺎن ﻣن اﻟﺻﻌب )إن ﻟم ﯾﻛن ﻣن اﻟﻣﺳﺗﺣﯾل( ﻓﻠﺗرة طﻠﺑﺎت اﻟوﯾب اﻟﺧﺑﯾﺛﺔ ،ﻛﻣﺎ ظﮭرت ﻟﺗﻛون ﻣﺷروﻋﺔ .ﺗم ﺷن ھﺟﻣﺎت ﻣﻣﺎﺛﻠﺔ ﺿد ﻣواﻗﻊ ﻟﻌب اﻟﻘﻣﺎر ﻋﻠﻰ اﻻﻧﺗرﻧت واﻟﻣواﻗﻊ اﻹﺑﺎﺣﯾﺔ .ﻣرة أﺧرى ،ﻓﻲ ﺑﻌض اﻟﺣﺎﻻت ﺟرت ﻣﺣﺎوﻻت اﻻﺑﺗزاز ﻣﻘﺎﺑل ﻣﺑﺎﻟﻎ ﻣن ﻋﺷرات اﻵﻻف ﻣن اﻟدوﻻرات ﻟوﻗف اﻟﮭﺟﻣﺎت )ﺷﻛﻼ ﺟدﯾدا ﻣن أﺷﻛﺎل اﻻﺑﺗزاز(. ﻟﻘد أﺻﺑﺢ DDoSأﺧﯾرا ﻋﻧﺻرا ﻣن اﻟﺟراﺋم اﻟﻣﺎﻟﯾﺔ ﻋﻠﻰ ﻧطﺎق واﺳﻊ وارﺗﻔﺎع اﻟدوﻻر واﻟﺗﺟﺎرة اﻹﻟﻛﺗروﻧﯾﺔ ،وﯾرﺟﺢ ھذا اﻻﺗﺟﺎه ﻟﻠزﯾﺎدة ﻓﻘط ﻓﻲ اﻟﻣﺳﺗﻘﺑل اﻟﻘرﯾب .ﻟﻘد اﺳﺗﻣر DDoSﻓﻲ اﻻﺳﺗﺧدام أﯾﺿﺎ ﻓﻲ اﻟﺳﻧوات اﻟﺳﺎﺑﻘﺔ ،ﺑﻣﺎ ﻓﻲ ذﻟك ﻷﺳﺑﺎب ﺳﯾﺎﺳﯾﺔ. ﺧﻼل ﺣرب اﻟﻌراق ﻋﺎم ،2003ﺗم إطﻼق ھﺟوم DDoSﻋﻠﻰ ﻗﻧﺎة اﻟﺟزﯾرة اﻟﻣؤﺳﺳﺔ اﻹﻋﻼﻣﯾﺔ ﻣﻘرھﺎ ﻗطر ،واﻟذي ﺑث ﺻورا ﻟﺟﻧود أﻣرﯾﻛﯾﯾن ﺗم اﻟﻘﺑض ﻋﻠﯾﮭم .ﺣﺎوﻟت ﻗﻧﺎة اﻟﺟزﯾرة ﻣﺟﺎراة اﻟﻣﮭﺎﺟﻣﯾن ﻣن ﺧﻼل ﺷراء اﻟﻣزﯾد ﻣن ﻋرض اﻟﻧطﺎق اﻟﺗرددي ،ﻟﻛﻧﮭﺎ ﻣﺟرد ﻛﺛﻔت اﻟﮭﺟوم .ﻛﺎن ﻣوﻗﻊ اﻟوﯾب ﺑﻌﯾد اﻟﻣﻧﺎل إﻟﻰ ﺣد ﻛﺑﯾر ﻟﻣدة ﯾوﻣﯾن ،وﺑﻌد ذﻟك ﺧطف ﺷﺧص ﻣﺎ اﺳم DNSاﻟﺧﺎﺻﺔ ﺑﮭم ،وإﻋﺎدة ﺗوﺟﯾﮫ طﻠﺑﺎت إﻟﻰ ﻣوﻗﻊ وﯾب آﺧر واﻟذي روج ﻟﺳﺑب اﻷﻣرﯾﻛﻲ. ﻓﻲ ﺷﮭر ﻣﺎﯾو ،2003ﻋدة ﻣرات ﻓﻲ ﺷﮭر دﯾﺳﻣﺑر ،ﺷﮭد ﻣوﻗﻊ وﯾب ﻣﻧظﻣﺔ ﺷﺎﻧﻐﮭﺎي ﻟﻠﺗﻌﺎون ) (SCO's Web siteھﺟﻣﺎت DDoSذات ﻣﮭﺎره ﻋﺎﻟﯾﺔ واﻟذي ﺟﻌﻠﮫ ﺧﺎرج ﻧطﺎق اﻟﺧدﻣﺔ ﻟﻔﺗرات طوﯾﻠﺔ ﻣن اﻟزﻣن .وأﺷﺎرت ﺑﯾﺎﻧﺎت ﻣن إدارة SCOاﻻﻋﺗﻘﺎد ﺑﺄن اﻟﮭﺟﻣﺎت ﻛﺎﻧت ردا ﻋﻠﻰ ﻣﻌرﻛﺔ ﻗﺎﻧوﻧﯾﺔ ﻟﻣﻧظﻣﺔ ﺷﺎﻧﻐﮭﺎي ﻟﻠﺗﻌﺎون ﻋﻠﻰ ﺷﻔرة اﻟﻣﺻدر ﻟﯾﻧﻛس واﻟﺑﯾﺎﻧﺎت واﻟذي اﻧﺗﻘد دور ﻣﺟﺗﻣﻊ اﻟﻣﺻدر اﻟﻣﻔﺗوح ﻓﻲ ھذه اﻟﻘﺿﺎﯾﺎ. ﻓﻲ ﻣﻧﺗﺻف ﻋﺎم ) Clickbank ،2003ﺧدﻣﺔ ﻣﺻرﻓﯾﺔ اﻹﻟﻛﺗروﻧﯾﺔ( و) Spamcopاﻟﺷرﻛﺔ اﻟﺗﻲ ﺗﻘوم ﺑﻔﻠﺗرة اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻹزاﻟﺔ اﻟﺑرﯾد اﻟﻣزﻋﺞ( ﺗﻌرﺿوا ﻟﮭﺟﻣﺎت DDoSﻗوﯾﺔ .اﻟﮭﺟﻣﺎت ﺷﻣﻠت ﻋﻠﻰ ﻣﺎ ﯾﺑدو اﻵﻻف ﻣن آﻻت اﻟﮭﺟوم .ﺑﻌد ﺑﺿﻌﺔ أﯾﺎم ،ﻛﺎﻧت ﻗﺎدرة ﻋﻠﻰ ﺗﺛﺑﯾت ﺑراﻣﺞ ﻓﻠﺗرة ﻣﺗطورة واﻟﺗﻲ أﺳﻘطت ھﺟوم DDoSﻋﻠﻰ ﺣرﻛﺔ اﻟﻣرور ﻗﺑل ان ﺗﺻل اﻟﻰ ﻧﻘطﺔ ﻋﻧﻖ اﻟزﺟﺎﺟﺔ.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1039 2004 اﺳﺗﻣرت اﻟﮭﺟﻣﺎت ذات اﻟدواﻓﻊ اﻟﻣﺎﻟﯾﺔ ،ﺟﻧﺑﺎ إﻟﻰ ﺟﻧب ﻣﻊ ﺗﻛﮭﻧﺎت ﺑﺎﻧﮫ ﺗم اﺳﺗﺧدام ھﺟﻣﺎت اﻟدودة ﻓﻲ ﻋﺎم 2004ﻟﺗﺛﺑﯾت ﺑراﻣﺞ طروادة ﻋﻠﻰ ﻣﺋﺎت اﻵﻻف ﻣن اﻟﻣﺿﯾﻔﯾن ،إﻧﺷﺎء ﺷﺑﻛﺎت ﺑوت ﺿﺧﻣﺔ .ﺑرﻧﺎﻣﺟﯾن ذات ﺷﻌﺑﯾﺔ ،Agobotوﺧﻠﯾﻔﺗﮫ Phatbotﻗد ﺗورطﺎ ﻓﻲ ﺗﺳﻠﯾم وﺗوزع اﻟﺑرﯾد اﻟﻣزﻋﺞ وھﺟﻣﺎت .DDoSﻓﻲ ﺑﻌض اﻟﺣﺎﻻت ﺗﺑﺎع ھذه ﻓﻲ ﺷﺑﻛﺎت اﻟﺳوق اﻟﺳوداء .ﯾوﺻف Phatbotﺑﻣزﯾد ﻣن اﻟﺗﻔﺻﯾل ﻓﯾﻣﺎ ﺑﻌد. Agobotو Phatbotﻛﻼھﻣﺎ ﯾﺗﺷﺎرك اﻟﻌدﯾد ﻣن اﻟﻣﻣﯾزات اﻟﺗﻲ ﺗم اﻟﺗﻧﺑؤ ﺑﮭﺎ ﻓﻲ ﻋﺎم 2000ﻣن ﻗﺑل ﻣﯾﺷﺎل زاﻟﯾﻔﺳﻛﻲ ﻓﻲ ﻛﺗﺎﺑﮫ "super- "wormوﻗد ﻛﺗب ھذا اﻟﺑﺣث ردا ﻋﻠﻰ اﻟﺿﺟﺔ اﻟﻣﺣﯾطﺔ ﺑﻔﯾروس " ."I Love Youﯾﺳرد زاﻟﯾﻔﺳﻛﻲ ﻣﯾزات ﻣﺛل ﻗﺎﺑﻠﯾﺔ) Phatbotﯾﻌﻣل ﻋﻠﻰ ﻛل ﻣن وﯾﻧدوز وﻟﯾﻧﻛس( ،ﻋﻠﻰ ﺗﻌدد اﻷﺷﻛﺎل ،اﻟﺗﺣدﯾث اﻟذاﺗﻲ ،ﻣﻛﺎﻓﺣﺔ اﻟﺗﺻﺣﯾﺢ ،وﺳﮭوﻟﺔ اﻻﺳﺗﺧدام ) Phatbotﯾﺄﺗﻲ ﻣﻊ وﺛﺎﺋﻖ وﺗﻌﻠﯾﻣﺎت ﻋن اﺳﺗﺧدام اﻷواﻣر( .ﻣﻧذ ﻗﯾﺎم Phatbotﺑﺎﻓﺗراس اﻟﻣﺿﯾﻔﯾن اﻟﻣﺻﺎﺑﺔ ﺳﺎﺑﻘﺎ ،ﻓﺎن أﺟزاء أﺧرى ﻣن ﺗﻧﺑؤات زاﻟﯾﻔﺳﻛﻲ ھﻲ أﯾﺿﺎ ﻣﻣﻛﻧﺔ )ﻋن طرﯾﻖ ﺑرﻣﺟﺔ ﻛﯾﻔﯾﺔ ﺗﻧﻔﯾذ ،(Phatbotوﺑﺎﻟﺗﺎﻟﻲ Phatbotھﻲ واﺣدة ﻣن أﻛﺛر اﻷﺷﻛﺎل اﻟﻣﺗﻘدﻣﺔ ﻓﻲ اﻟﯾﺔ اﻟﺗﻧﻔﯾذ ) (automationواﻟﺗﻲ ﯾﻧظر إﻟﯾﮭﺎ اﻵن إﻧﮭﺎ ﻣن ﻓﺋﺔ أدوات ) DDoSأو اﻟﺗﮭدﯾد اﻟﻣﺧﻠوطﺔ(. 2005 ﺣﯾث ﺗم ﺗوﺳﻊ ﻋﻣﻠﯾﺎت اﻻﺑﺗزاز اﻟﻣﺎﻟﻲ .ﻓﻲ أﻏﺳطس 2005ﺗم اﺑﺗزاز ﻣوﻗﻊ اﻟﻘﻣﺎر jaxx.deواﻟﺗﻲ ﻣﻘرھﺎ ھﺎﻣﺑورغ ﻟدﻓﻊ 40000 €ﻟوﻗف ھﺟوم DDoSاﻟﻣﺳﺗﻣر. 2006 ﺣدﺛت ھﺟﻣﺎت DDoSاﻟﺻﻐﯾرة ﻣن اﻟﺟﻣﺎﻋﺎت اﻟدﯾﻧﯾﺔ .وھﻲ ﻋﺑﺎره ﻋن ﺳﻠﺳﻠﺔ ﻣن ھﺟﻣﺎت DDoSاﺳﺗﮭدﻓت ﺑﻠوق ﻣﯾﺷﯾل ﻣﺎﻟﻛﯾن ،اﻟذي ﻗﺎد ﺣرﻛﺔ ﺑﯾن اﻟﻣدوﻧﯾن ﻟﻌﻛس اﻟرﺳوم اﻟﻣﺛﯾرة ﻟﻠﺟدل ﻋن اﻟﻧﺑﻲ ﻣﺣﻣد )ﺻﻠﻰ ﷲ ﻋﻠﯾﮫ وﺳﻠم( اﻟﺗﻲ ظﮭرت ﻓﻲ اﻟﺑداﯾﺔ ﻓﻲ ﻣﺟﻠﺔ دﻧﻣﺎرﻛﯾﺔ .ﺑدأت اﻟﮭﺟﻣﺎت 15ﻓﺑراﯾر وﺗﺻﺎﻋدت ﯾوم 23ﻓﺑراﯾر ،ﻋﻧدﻣﺎ ﻗﺎﻣت اﻟﮭﺟﻣﺎت ﻣن botnetﻓﻲ ﺗرﻛﯾﺎ أﺟﺑرت ﻣﺎﻟﻛﯾن ﻹﺿﺎﻓﺔ ﻣدوﻧﺗﮫ ﻋﻠﻰ ﻣدﯾﺎ ﻣﻼﺑس اﻟﻧوم ﺣﺗﻰ ﯾﻛون ﻣوﻗﻌﮫ اﻟرﺋﯾﺳﻲ ﻣﺗوﻓرا ﻣرة أﺧرى. دﯾﺴﻤﺒﺮ 2007 ﯾوﻣﯾن ﻣن أﻋﻣﺎل اﻟﺷﻐب ﻗﺎم ﺑﮭﺎ اﻟﻌرﻗﯾﺔ اﻟروﺳﯾﺔ اﻧﺗﻘﻠت ﺑﺳرﻋﺔ ﻣن اﻟﺣﻘﯾﻘﻲ إﻟﻰ اﻟﻌﺎﻟم اﻻﻓﺗراﺿﻲ ،ﺣﯾث ﺗﻌرﺿت اﻟﻣواﻗﻊ اﻟﺣﻛوﻣﯾﺔ ﺗﺣت ھﺟﻣﺎت DDoSﺷدﯾدة ﻟدرﺟﺔ أن اﻟﻌدﯾد ﻣن وﻛﺎﻻت ﺗم اﯾﻘﺎف اﻟوﺻول إﻟﻰ ﻋﻧﺎوﯾن IPﺧﺎرج اﺳﺗوﻧﯾﺎ ﻟﻌدة أﯾﺎم. 2008 30ﯾﻧﺎﯾر 2008ﺟﺎءت ﻣﺟﻣوﻋﮫ ﻣﺟﮭوﻟﺔ ﻣن اﻟﻘراﺻﻧﺔ ﻟﻠﺣﺻول ﻋﻠﻰ اﻧﺗﺑﺎه اﻟراي اﻟﻌﺎم ،ﺣﯾث طﻠب اﻟﺳﯾوﻧﺗوﻟوﺟﯾﯾن ﻣن اﻟﯾوﺗﯾوب إزاﻟﺔ ﻓﯾدﯾو ﻣن ﺑطوﻟﺔ ﺗوم ﻛروز .ﺣﯾث ﻗﺎﻣت ھذه اﻟﻣﺟﻣوﻋﺔ ﺑﺎﻟﺗﻧظﯾم ﺑﯾﻧﮭم واﺳﺗﺧدام ﻧﻔس اﻟﺑراﻣﺞ اﻟﻰ ﺗﺳﺗﺧدم ﻓﻲ اﻟﻘﺗﺎل ﻣن اﺟل وﯾﻛﯾﻠﯾﻛس، واﺳﺗﮭدﻓت ،Scientology.orgواﻟذي ﺟﻌﻠوه ﻏﯾر ﻣﺗﺎح ﻟﻔﺗره ﻣن اﻟوﻗت .ﻛﺎن ھدﻓﮭم "إﻧﻘﺎذ اﻟﻧﺎس ﻣن اﻟﺳﯾﺎﻧﺗوﻟوﺟﯾﺎ ﻋن طرﯾﻖ ﻋﻛس ﻏﺳل اﻟدﻣﺎغ". ﻓﻲ ﻧوﻓﻣﺑر ،2008ھوﺟم ﻣوﻗﻊ أورﺑﻲ ﻟﻣﻧظﻣﺔ ﻛﺑﯾرة ﻓﻲ اﻷﺧﺑﺎر .واﻟﺗﻲ أدى اﻟﻰ وﻗوع اﻟﻣوﻗﻊ ﺗﺣت ﻣوﺟﺔ ﻣن اﻟﻘراﺻﻧﺔ ﻟﻣدة ﺳﺎﻋﺔ ووﻗت واﻟذي ﺟﻌل اﻟﻣوﻗﻊ ﻏﯾر ﻣﺗﺎح ﻟﻔﺗره طوﯾﻠﮫ ﻣن اﻟوﻗت. ﻓﻲ 30دﯾﺳﻣﺑر ،2008إذا ﻛﺎﻧت ھﻧﺎك ﻛﻠﻣﺔ واﺣدة واﻟﺗﻲ ﺗﺳﺑب اﻻرﺗﻌﺎد واﻟﺧوف ﻓﻲ دواﺋر أﻣن اﻹﻧﺗرﻧت ،اﻧﮭﺎ ﻛوﻧﻔﯾﻛر ).(Conficker واﻟﺗﻲ ﺑدأت ﻓﻲ أواﺧر ﻋﺎم ،2008اﺳﺗﻐﻠت دودة ﻛوﻧﻔﯾﻛر ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ اﻟﻌدﯾد ﻣن أﻧظﻣﺔ ﺗﺷﻐﯾل ﻣﺎﯾﻛروﺳوﻓت .ﺣﯾث ﻗﺎم ﺑﺎﺧﺗراق أﻛﺛر ﻣن ﺟﮭﺎز اﻟﻣﺻﺎب ورﺑط أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻐﯾر راﻏﺑﺔ ﻣﻌﺎ ﻓﻲ botnetھﺎﺋل واﻟﺗﻲ ﻻ ﯾﻣﻛن أن ﯾﻣزق. 2009 :The July Cyber Attacksﺣدﺛت اﻟﻣوﺟﺔ اﻷوﻟﻰ ﻣن اﻟﮭﺟﻣﺎت ﻓﻲ 4ﯾوﻟﯾو ) 2009ﻋطﻠﺔ ﯾوم اﻻﺳﺗﻘﻼل ﻓﻲ اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة( ، واﺳﺗﮭداف ﻛل ﻣن اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة وﻛورﯾﺎ اﻟﺟﻧوﺑﯾﺔ .وﻣن ﺑﯾن اﻟﻣواﻗﻊ اﻟﺗﻲ ﺗﺄﺛرت ﻣواﻗﻊ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﻟﻛﺑرى اﻟﺻﺣف اﻟﯾوﻣﯾﺔ ﻟﻛورﯾﺎ اﻟﺟﻧوﺑﯾﺔ ،ﺑﯾت ﻟﻠﺑﯾﻊ ﻓﻲ اﻟﻣزاد ﻋﻠﻰ اﻻﻧﺗرﻧت ﻋﻠﻰ ﻧطﺎق واﺳﻊ ،اﻟﺑﻧوك ،رؤﺳﺎء اﻟﺑﻼد ،اﻟﺑﯾت اﻷﺑﯾض واﻟﺑﻧﺗﺎﻏون واﻟﻘوات اﻷﻣرﯾﻛﯾﺔ واﻟﻛورﯾﺔ ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ﻻ اﻟﺣﺻر .ﺟﺎء ھﺟوم DDoSﻣﻣﺎ ﯾزﯾد ﻋن 166،000أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﻓﻲ ﻣوﺟﺔ botnetﺣﯾث أطﻠﻘت اﻟﻌﻧﺎن ﻟﻣوﺟﺔ ﺑﻌد ﻣوﺟﺔ ﻣن اﻟﮭﺟوم ﻋﻠﻰ اﻟﺑﯾﺎﻧﺎت .وﻛﺷﻔت اﻟﺗﺣﻘﯾﻘﺎت أن 27ﻣن اﻟﻣواﻗﻊ ﻛﺎﻧت أھداف ﻓﻲ اﻟﮭﺟوم ﺑﻧﺎء ﻋﻠﻰ اﻟﻣﻠﻔﺎت اﻟﻣﺧزﻧﺔ ﻋﻠﻰ اﻷﻧظﻣﺔ اﻟﻣﺧﺗرﻗﺔ. 2010 ﻓﻲ ھذه اﻟﻔﺗرة اﺧذ Hacktivismﯾﻧﻣو ﻓﻲ ﺷﻌﺑﯾﺔ وﺳﻠطﺗﮫ ،وﻛﺎﻧت ﻋﻣﻠﯾﺔ اﻻﺳﺗرداد ﻣﺣﺎوﻟﺔ ﻟدﻋم ﻣوﻗﻊ وﯾﻛﯾﻠﯾﻛس .ھﺟﻣﺎت DDoSﺿد ﻣواﻗﻊ ﻣﺎﺳﺗر ﻛﺎرد ،ﻓﯾزا وﺑﺎي ﺑﺎل ،وﺗﺳﻠﯾط اﻟﺿوء ﻋﻠﻰ رﻓﺿﮭم ﻟﻘﺑول اﻟﺗﺑرﻋﺎت اﻟﻣﺗﺟﮭﺔ إﻟﻰ وﯾﻛﯾﻠﯾﻛس. دودة ﺳﺗﻛﺳﻧت ) (Stuxnetاﻛﺗﺷف ﻓﻲ ﯾوﻧﯾو 2010وﯾﻌﺗﻘد أﻧﮫ ﻗد ﺗم إﻧﺷﺎؤھﺎ ﻣن ﻗﺑل دوﻟﺔ ﻣﺛل اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة أو إﺳراﺋﯾل ،ﻛﺎن اﻻﻛﺗﺷﺎف اﻷوﻟﻰ ﻟﻠﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ اﻟﺗﻲ ﺗﺗﺟﺳس ﻋﻠﻰ وﺗﻔﺳد اﻟﻧظم اﻟﺻﻧﺎﻋﯾﺔ .واﻟﺗﻲ ﺟﻠﺑت اﻹرھﺎب اﻹﻟﻛﺗروﻧﻲ ) (cyber-terrorismاﻟﻰ اﻟواﺟﮭﺔ. د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1040 2011 ﯾزﻋم اﻧﮫ ﻗد ﺷﺎرك ﻓﻲ ھﺟوم 28ﻓﺑراﯾر ﺑﺎﺳﺗﺧدام أداة ) Low Orbit Ion Cannon (LOICﺿد ﻣوﻗﻊ ﻛوﺗش ﻟﻠﺻﻧﺎﻋﺎت، " ."Kochind.comاﻟﺷرﻛﺔ ﻣﻘرھﺎ ﻓﻲ وﯾﺗﺷﯾﺗﺎ ﺑوﻻﯾﺔ ﻛﻧﺳﺎس ،وﻟﮭﺎ أﻋﻣﺎل ﻓﻲ ﻋدد ﻣن اﻟﻣﺟﺎﻻت ﺑﻣﺎ ﻓﻲ ذﻟك اﻟﻧﻔط واﻟﺻﻧﺎﻋﺎت اﻟﺗﺣوﯾﻠﯾﺔ. LOICھﻲ أداة DDoSذات ﺷﻌﺑﯾﺔ ﺗﺳﺗﺧدم ﻣن ﻗﺑل اﻟﻣﺟﮭوﻟﯾن واﻟﻣﮭﺎﺟﻣﯾن ﻋﻠﻰ اﻻﻧﺗرﻧت ﻹﻏراق اﻟﻣواﻗﻊ ﻣﻊ طﻠﺑﺎت وﺗﻌطﯾل اﻟﻣﻠﻘم اﻟﮭدف .ﺗطوﯾره ﻣن ﻗﺑل ﺷرﻛﺔ ،Praetox Technologiesﯾﻌﻣل ﻋﻠﻰ اﻧظﻣﺔ ،ﻟﯾﻧﻛس ،وﯾﻧدوز ،ﻣﺎك .ﺗم ﻛﺗﺎﺑﺗﮫ ﺑﻠﻐﺔ C#ﺳﻲ ﺷﺎرب. 2012 اﻋﺗرﻓت ﺣﻛوﻣﺔ اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة أن اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﻠﺧدﻣﺎت اﻟﻣﺎﻟﯾﺔ ﺗﺗﻌرض ﻟﻠﮭﺟوم .ﺣﯾث أﺷﺎر وزﯾر اﻟدﻓﺎع ﻟﯾون ﺑﺎﻧﯾﺗﺎ إﻟﻰ وﺟود ھﺟﻣﺎت DDoSﻋﻠﻰ اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﻠﺑﻼد واﻟﺗﻲ ﻻ ﺗزال ﺣرﺟﺔ وان اﻟﺟﻣﯾﻊ ﺿﻌﻔﺎء ﺟدا ﻟﻠﺗﻌرض ﻟﻠﮭﺟوم .وﻗﺎل ﻓﻲ اﻷﺳﺎﺑﯾﻊ اﻷﺧﯾرة، ﻛﻣﺎ ﯾﻌﻠم اﻟﻛﺛﯾرون ﻣﻧﻛم ،أﺻﯾﺑت ﺑﻌض اﻟﻣؤﺳﺳﺎت اﻟﻣﺎﻟﯾﺔ اﻷﻣرﯾﻛﯾﺔ اﻟﻛﺑﯾرة ﻣن ﺧﻼل ﻣﺎ ﯾﺳﻣﻰ ھﺟﻣﺎت .DDoSھذه اﻟﮭﺟﻣﺎت أدت إﻟﻰ ﺗﺄﺧﯾر أو ﺗﻌطﯾل اﻟﺧدﻣﺎت ﻋﻠﻰ ﻣواﻗﻊ اﻟﻌﻣﻼء .ﻓﻲ ﺣﯾن أن ھذا اﻟﻧوع ﻣن اﻟﺗﻛﺗﯾك ﻟﯾس ﺟدﯾدا ،وﻟﻛن اﻟﺣﺟم واﻟﺳرﻋﺔ ﻛﺎﻧت ﻏﯾر ﻣﺳﺑوﻗﺔ. أدوات DDoSﻣﻌﻘده اﺳﺗﺧدﻣت ﻓﻲ ھﺟﻣﺎت ﻋﻠﻰ ﻧطﺎق واﺳﻊ "itsoknoproblembro" ،أداة DDoSﻣﺗورطﺔ ﻓﻲ اﻟﻌدﯾد ﻣن ھﺟﻣﺎت DDoSاﻟﻛﺑﯾرة واﻟﺗﻲ اﺳﺗﮭدﻓت اﻟﺑﻧوك اﻷﻣرﯾﻛﯾﺔ .وﻓﻘﺎ ً ﻟﻠﺗﻘﺎرﯾر اﻻﻋﻼﻣﯾﺔ ،ﺑﻌض ﻣن أﺿﺧم اﻟﻣؤﺳﺳﺎت اﻟﻣﺎﻟﯾﺔ اﻷﻣرﯾﻛﯾﺔ ﺑﻣﺎ ﻓﯾﮭﺎ "وﯾﻠز ﻓﺎرﺟو"" ،ﺟﻲ ﺑﻲ ﻣورﻏﺎن ﺗﺷﯾس"" ،ﺑﻧك اﻣرﯾﻛﺎ"" ،ﻣﺟﻣوﻋﺔ ِﺳﺗِﻲ" و "ﺑﺎﻧﻛورب" اﺧﺗرﻗوا ﻋن طرﯾﻖ ﺳﻠﺳﻠﺔ ﻣن اﻟﮭﺟﻣﺎت اﻻﻟﻛﺗروﻧﯾﺔ ،ﻣن ﻗِﺑل ﻣﺟﻣوﻋﺔ ﺗدﻋﻲ أﻧﮭﺎ ﻣﺟﻣوﻋﺔ ﻋﻼﻗﺎت اﻟﺷرق اﻻوﺳط ،اﻟﺗﻲ ﺗﺳﺑﺑت ﻓﻲ اﻧﻘطﺎع اﻻﻧﺗرﻧت وﺗﺄﺧﯾر ﻓﻲ اﻟﺧدﻣﺎت اﻟﻣﺻرﻓﯾﺔ ﻋﺑر اﻻﻧﺗرﻧت. ﺗﻛﻧوﻟوﺟﯾﺎت ﺑرو ِﻟﻛﺳﯾك ﻗﺎﻟت ان اﻟﺗوزﯾﻊ اﻟ ُﻣﻣﻧﮭﺞ ﻓﻲ ﺗﻌطﯾل اﻟﺧدﻣﺔ ﻋﻠﻰ ھذه اﻟﺑﻧوك ﺟﺎء ﺗﺣت اﺳم " "itsoknoproblembroاﻟﺗﻲ اﺳﺗﻌﻣﻠت ﺿد ﺑﻌض اﻟﺑُﻧوك ﻣن ﺑﯾﻧﮭﺎ "وﯾﻠز ﻓﺎرﺟو"" ،ﺑﻧك اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة"" ،ﺑﻧك اﻟﺧدﻣﺎت اﻟﻣﺎﻟﯾﺔ اﻻﻣرﯾﻛﯾﺔ " ،"PNCﺑﻧك اﻣرﯾﻛﺎ" و "ﺟﻲ ﺑﻲ ﻣورﻏﺎن ﺗﺷﯾس". ﺑﺎرﯾت ﻟﯾون ﯾؤﺳس Defense.Netﻟﻣﻛﺎﻓﺣﺔ ھﺟﻣﺎت DDoSاﻟﺟدﯾدة واﻟﻛﺑﯾرة ﻣن اﻟﺟﮭﺎت اﻟﻔﺎﻋﻠﺔ اﻟﺳﯾﺋﺔ اﻟﻘدﯾﻣﺔ واﻟﺟدﯾدة. ﺗﻘﺎرﯾر ﻧﯾوﯾورك ﺗﺎﯾﻣز ﻋن ﻣﺳؤوﻟﯾن ﻓﻲ اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة ﻣﺎ زاﻟت ﻋﻠﻰ ﻗﻧﺎﻋﺔ ﺑﺄن اﺳﺗﻣرار ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ) (DDoSﺿد اﻟﺑﻧوك اﻷﻣرﯾﻛﯾﺔ ﻣن ﻗﺑل اﻟﻣﻘﺎﺗﻠﯾن ﻋز اﻟدﯾن زﻧﻛﻲ اﻟﻘﺳﺎم ﺳﺎﯾﺑر ھﻲ ﻏطﺎء ﺗرﻋﺎھﺎ اﻟدوﻟﺔ ﻋن ﺗﺧرﯾب اﻻﻧﺗرﻧت ﻣن ﻗﺑل إﯾران. 2013 ھﺟﻣﺎت DDoSﺗﺗﺟﺎوز 300ﺟﯾﺟﺎﺑﯾت ﻓﻲ اﻟﺛﺎﻧﯾﺔ ،ﺣﯾث ﺳﺟل أﻛﺑر ﺣﺟم ﻟﮭﺟوم DDoSﯾﺻل إﻟﻰ ﻣﺳﺗوى ﺟدﯾد وﻏﯾر ﻣﺳﺑوق :اﻟﮭﺟﻣﺎت اﻟﺑﺎرزة ﺳﺟﻠت ﻓوق 300ﺟﯾﺟﺎﺑﺎﯾت ﻓﻲ اﻟﺛﺎﻧﯾﺔ ﻓﻲ اﻟﻧﺻف اﻷول ﻣن اﻟﻌﺎم. ﻓﻲ 1ﻓﺑراﯾر ،2013أﺷﺎر ﺑﻌض ﻣﺳﺗﺧدﻣﻲ ﻣوﻗﻊ "أﻣﺎزون "Amazon.comﺑﺄﻧﮭم ﯾواﺟﮭون ﺑﻌض اﻟﻣﺷﺎﻛل أﺛﻧﺎء دﺧوﻟﮭم ﻟﻠﺻﻔﺣﺔ اﻟرﺋﯾﺳﯾﺔ ﻣن اﻟﻣوﻗﻊ ،ﺣﯾث ﺗظﮭر ﻟﮭم ﻣﻌظم اﻷﺣﯾﺎن ﺻﻔﺣﺔ ﺑﯾﺿﺎء ﺗﺣﺗوي ﺳطر واﺣد ﯾﺷﯾر إﻟﻰ أن اﻟﺧدﻣﺔ ﻏﯾر ﻣﺗوﻓرة .وأﺷﺎر ﻣوﻗﻊ “ﺗﯾك ﻛراﻧش” اﻟﺗﻘﻧﻲ ﺑﺄن اﻟﺧطﺄ اﻟﻧﺎﺗﺞ ھو Error 503واﻟذي ﯾﺷﯾر إﻟﻰ أن اﻟﻣﺣرك اﻟﺧﺎدم ﻟﻠﻣوﻗﻊ ﻣﺗوﻗف إﻣﺎ ﺑﺳﺑب اﻟﺻﯾﺎﻧﺔ أو ﺑﺳﺑب ﺿﻐط زاﺋد .ﻛﻣﺎ ﺗﺑدو اﻟرواﺑط اﻟداﺧﻠﯾﺔ ﺳﻠﯾﻣﺔ وﺗﻌﻣل ﺑﺷﻛ ٍل أﺑطﺊ ﺑﻌض اﻟﺷﻲء .وﻣن ﺟﮭ ٍﺔ أﺧرى أﺷﺎر “ﺗﯾك ﻛراﻧش” إﻟﻰ أن ﺑﻘﯾﺔ اﻟﻣواﻗﻊ اﻟﻣوﺟودة ﻋﻠﻰ ،AWSﻣزود اﻟﺧدﻣﺔ اﻟذي ﯾﻌﺗﻣد ﻋﻠﯾﮫ ﻣوﻗﻊ أﻣﺎزون ،ﺗﻌﻣل ﺑﺷﻛ ٍل ﺟﯾد وﻻ ﺗواﺟﮫ أي ﻣﺷﺎﻛل .وﻓﻲ أﻏﻠب اﻷﺣﯾﺎن ﯾﻛون اﻟﺳﺑب اﻟرﺋﯾﺳﻲ ﻟﺧطﺄ 503ھو ھﺟوم ،DDoSوﻟﻛن ﻻ ﯾﻣﻛن ﺗﺄﻛﯾد وﺟود أي ھﺟوم ﻋﻠﻰ اﻟﻣوﻗﻊ ﺣﺗﻰ اﻵن .ﯾُﺷﺎر إﻟﻰ أن اﻟﻣوﻗﻊ ﻋﺎد ﻟﻠﻌﻣل ﻟدى ﻣﻌظم اﻟﻣﺳﺗﺧدﻣﯾن أﺛﻧﺎء ﻛﺗﺎﺑﺔ اﻟﺧﺑر ،ﺑﻌد ﺗوﻗف دام ﻗراﺑﺔ اﻟـ 45دﻗﯾﻘﺔ ،وﻟم ﺗﺻدر ﺣﺗﻰ أي ﺗﺻرﯾﺣﺎت رﺳﻣﯾﺔ ﻣن أﻣﺎزون ﺗﻔﺳّر ﺳﺑب ھذا اﻟﺗوﻗف. 2014 اﺳﺗﻣرار ھﺟﻣﺎت DDoSﻓﻲ اﻟﻧﻣو ﻓﻲ اﻟﺣﺟم واﻟﺗﻌﻘﯾد ،وﯾرﺗﺑط ھذا اﻟﻧﻣو اﻟﻛﺑﯾر ﻓﻲ ﺣﺟم اﻟﮭﺟوم إﻟﻰ اﺳﺗﺧدام ھﺟوم ،NTP Amplification ،Syn Floodو DNS Reflectionاﻷﻛﺛر اﻧﺗﺷﺎرا .اﻟﺟﻣﻊ ﺑﯾن ﻋدد ﻣن ﺗﻛﺗﯾﻛﺎت اﻟﺟراﺋم اﻹﻟﻛﺗروﻧﯾﺔ اﻟﻣﺧﺗﻠﻔﺔ ﯾﻣﻛن أن ﯾﻛون ﺳﺎﻧدا ﻟﺧﻠﻖ ﻣﺎ ﯾﺳﻣﻰ .smokescreen ﺗوﻗﻌﺎت ﺑﺎزدﯾﺎد ھﺟﻣﺎت “اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ” اﻟﻣوﺟﮭﺔ ﻋﺑر اﻟﮭواﺗف ﻓﻲ .2014ﺣﯾث ﻛﺷف ﺗﻘرﯾر ﻟﺷرﻛﺔ ﻟﻠﺣﻠول اﻷﻣﻧﯾﺔ ﻋن ازدﯾﺎد ھﺟﻣﺎت “اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ” ،اﻟﻣﻌروﻓﺔ اﺧﺗﺻﺎرا ً ﺑﺎﺳم) ، (DDoS Attacksاﻟﻣوﺟﮭﺔ ﻋﺑر اﻷﺟﮭزة اﻟﻧﻘﺎﻟﺔ ﺧﻼل ﻋﺎم .2013وأوﺿﺣت ﺷرﻛﺔ Prolexicاﻷﻣرﯾﻛﯾﺔ ،اﻟﻣوﻓرة ﻟﺣﻠول اﻟﺗﺻدي ﻟﮭﺟﻣﺎت “اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ” ،أﻧﮭﺎ رﺻدت ﺧﻼل اﻟرﺑﻊ اﻟراﺑﻊ ﻣن ﻋﺎم 2013 اﺳﺗﺧدام اﻷﺟﮭزة اﻟﻧﻘﺎﻟﺔ ﺑﺷﻛل ﻛﺑﯾر ﻋﺑر ﺗطﺑﯾﻘﺎت ﺧﺎﺻﺔ ﻟﺗوﺟﯾﮫ ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ .وأﺿﺎﻓت اﻟﺷرﻛﺔ ،ﻓﻲ ﺗﻘرﯾرھﺎ ،أن “ﺗطﺑﯾﻘﺎت ﺧطرا أﻣﻧﯾًﺎ ﻣﺗزاﯾدًا ﻷﻧﮭﺎ ﺗﺟﻌل اﻷﺟﮭزة اﻟﻧﻘﺎﻟﺔ ﺟزء ﻣن اﻟﮭﺟﻣﺎت اﻹﻟﻛﺗروﻧﯾﺔ ،ﺧﺎﺻﺔ ﻣﻊ اﻟﻧظر ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ أﺻﺑﺣت ﺗﺷﻛل ً إﻟﻰ أﻋداد اﻟﮭواﺗف ﻓﻲ اﻟﻌﺎﻟم .وﺗوﻗﻌت ﺷرﻛﺔ Prolexicأن ﺗﺗزاﯾد ھﺟﻣﺎت “اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ” اﻟﻣوﺟﮭﺔ ﻋﺑر اﻷﺟﮭزة اﻟﻧﻘﺎﻟﺔ ﺧﻼل اﻟﻌﺎم اﻟﺟﺎري ،وأن ﯾﺳﺎﻋد اﺳﺗﺧدام اﻷﺟﮭزة اﻟﻧﻘﺎﻟﺔ ﻓﻲ ﺗﻠك اﻟﮭﺟﻣﺎت ،اﻟﻘراﺻﻧﺔ ،ﻓﻲ ﺟﻌل ھﺟﻣﺎﺗﮭم أﻛﺛر ﺗﻌﻘﯾداً .وأﺷﺎرت اﻟﺷرﻛﺔ إﻟﻰ ﺗزاﯾد ھﺟﻣﺎت “اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ” ﺑﺷﻛل إﺟﻣﺎﻟﻲ ﺧﻼل ﻋﺎم ،2013ﺣﯾث أﻛدت أن ﺧﻼل اﻟرﺑﻊ اﻟراﺑﻊ ﻓﻘط ﻣن اﻟﻌﺎم اﻟﻣﺎﺿﻲ ازدادت ﺗﻠك اﻟﻧوﻋﯾﺔ ﻣن د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1041 اﻟﮭﺟﻣﺎت اﻹﻟﻛﺗروﻧﯾﺔ ﺑﻧﺳﺑﺔ 26ﺑﺎﻟﻣﺎﺋﺔ ﻣﻘﺎرﻧﺔ ﺑﻧﻔس اﻟﻔﺗرة اﻟﻌﺎم اﻟﻣﺎﺿﻲ .واﻟﺟدﯾر ﺑﺎﻟذﻛر أن ﻣﺗوﺳط ﺳرﻋﺔ ﺣرﻛﺔ اﻟﺑﯾﺎﻧﺎت ﻓﻲ ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ﺑﻠﻐت اﻟﻌﺎم ﻧﺣو 2.64ﺟﯾﺟﺎﺑﯾت ﻓﻲ اﻟﺛﺎﻧﯾﺔ ،وأن 87ﺑﺎﻟﻣﺎﺋﺔ ﻣن اﻟﮭﺟﻣﺎت اﻟﺗﻲ ﺗم رﺻدھﺎ ﺧﻼل أول ﺗﺳﻌﺔ ﺷﮭور ﻣن ﻋﺎم 2013اﺳﺗﻣرت ﻷﻗل ﻣن ﺳﺎﻋﺔ واﺣدة ،وذﻟك ﺣﺳب دراﺳﺔ ﺳﺎﺑﻘﺔ ﻗﺎﻣت ﺑﮭﺎ ﺷرﻛﺔ “ارﺑور ﻧﺗورﻛس”. 12ﻓﺑراﯾر ،2104ﺗوﻗﻔت اﻟﺛﻼﺛﺎء ﻋﻣﻠﯾﺎت اﻟﺗداول ﺑﺎﻟﻌﻣﻠﺔ اﻟرﻗﻣﯾﺔ "ﺑﺗﻛوﯾن ،"Bitcoinﻟدى ﺑورﺻﺔ "ﺑﯾﺗﺳﺗﺎﻣب ،"Bitstampوذﻟك ﺑﻌد ﺗﻌرض اﻟﻧظﺎم اﻟﺧﺎص ﺑﮭﺎ ﻟﮭﺟﻣﺎت ﻣﺎ ﯾُﻌرف ﺑـ “اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ."DDoSوﻗﺎﻟت “ﺑﯾﺗﺳﺗﺎﻣب” ،وھﻲ إﺣدى أﻛﺑر ﺑورﺻﺎت ﺗداول “ﺑﯾﺗﻛوﯾن” ﺣول اﻟﻌﺎﻟم ،إﻧﮭﺎ أوﻗﻔت اﻟﺳﺣب ﻋﻠﻰ ﻣﻧﺻﺗﮭﺎ ﺑﻌد اﻛﺗﺷﺎف وﺟود ﻣﺎ وﺻﻔﺗﮭﺎ ﺑﺎﻟـ “ﻧﺗﺎﺋﺞ ﻏﯾر ﻣﺗﻧﺎﺳﻘﺔ” ﻣن ﻗﺑل ﻣﺣﻔظﺗﮭﺎ اﻟﺧﺎﺻﺔ ﻣﻘرا ﻟﮭﺎ ،ﺛﺎﻧﻲ أﻛﺑر ﺑﺎﻟﻌﻣﻠﺔ اﻟرﻗﻣﯾﺔ ،وھو اﻷﻣر اﻟذي ﻋزﺗﮫ إﻟﻰ ھﺟﻣﺎت ﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ .وﺗُﻌﺗﺑر “ﺑﯾﺗﺳﺗﺎﻣب” اﻟﺗﻲ ﺗﺗﺧذ ﻣن ﺳﻠوﻓﯾﻧﯾﺎ ً ﺑورﺻﺔ ﻟﺗداول ﻋﻣﻠﺔ “ﺑﯾﺗﻛوﯾن” ،ﺗﻘوم ﺑﺈﯾﻘﺎف ﺳﺣب ﻋﻣﻼﺋﮭﺎ ﻣن “ﺑﯾﺗﻛوﯾن” ﻓﻲ ﻏﺿون اﻷﯾﺎم اﻟﻘﻠﯾﻠﺔ اﻟﻣﺎﺿﯾﺔ ،وذﻟك ﺑﻌد أن ﻗﺎﻣت "إم ﺗﻲ. ﺟوﻛس "Mt. Goxاﻟﯾﺎﺑﺎﻧﯾﺔ ،ﺑﺈﯾﻘﺎف ﻋﻣﻠﯾﺎت اﻟﺳﺣب ھﻲ اﻷﺧرى. وأوﺿﺣت “ﺑﯾﺗﺳﺗﺎﻣب” ﻋﻠﻰ ﺻﺣﻔﺗﮭﺎ اﻟﺧﺎﺻﺔ ﺿﻣن ﻣوﻗﻊ اﻟﺗواﺻل اﻻﺟﺗﻣﺎﻋﻲ “ﻓﯾﺳﺑوك” أﻧﮫ ﺳﯾﺗم ﺗﻌﻠﯾﻖ ﻋﻣﻠﯾﺔ ﺳﺣب “ﺑﯾﺗﻛوﯾن” ﺣﺗﻰ إﺻﻼح اﻟﺧﻠل ﻓﻲ اﻟﻧظﺎم اﻟﺑرﻣﺟﻲ اﻟﺧﺎص ﺑﮭﺎ. ﯾُذﻛر أن “ﺑﯾﺗﻛوﯾن” ھﻲ ﻋﺑﺎرة ﻋن ﻋﻣﻠﺔ رﻗﻣﯾﺔ ﯾﻣﻛن ﻣﻘﺎرﻧﺗﮭﺎ ﺑﺎﻟﻌﻣﻼت اﻷﺧرى ﻣﺛل اﻟدوﻻر أو اﻟﯾورو ،إﻻ أﻧﮭﺎ ﺗﺗداول ﻓﻘط ﻋﺑر ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﻣن دون وﺟود ﻓﯾزﯾﺎﺋﻲ ﻟﮭﺎ ،ﻛﻣﺎ ﺗﺧﺗﻠف ﻋن اﻟﻌﻣﻼت اﻟﺗﻘﻠﯾدﯾﺔ ﺑﻌدم وﺟود ھﯾﺋﺔ ﺗﻧظﯾﻣﯾﺔ ﻣرﻛزﯾﺔ ﺗﻘف ﺧﻠﻔﮭﺎ أو ﺗﻧظم ﻋﻣﻠﯾﺔ ﺗداوﻟﮭﺎ، وھﻲ ﻋﻣﻠﺔ ﻣﻧﺗﺷرة ﺑﺷدة ﻓﻲ اﻷﺳواق اﻟﺳوداء ﻋﻠﻰ اﻟﺷﺑﻛﺔ اﻟﻌﺎﻟﻣﯾﺔ. ﻣﺛل ﻛل ﺗﺎرﯾﺧﮭﺎ ،ھذا اﻟﺗﺎرﯾﺦ ﻣن ھﺟﻣﺎت DDoSﻻ ﺗﻣﺛل ﺣﺎﻟﺔ ﻧﮭﺎﺋﯾﺔ ،وﻟﻛﻧﮭﺎ ھﻲ ﻣﺟرد ﻣﻘدﻣﺔ ﻟﻠﻣﺳﺗﻘﺑل .ﻓﻲ اﻟﻔﺻل اﻟﺗﺎﻟﻲ ،وﺳوف ﻧﻘدم اﻟﻣزﯾد ﻣن اﻟﺗﻔﺎﺻﯾل ﺣول ﺑﺎﻟﺿﺑط ﻛﯾﻔﯾﺔ ارﺗﻛﺎب ھﺟﻣﺎت اﻟﯾوم ،واﻟﺗﻲ ﺳوف ﺗﻣﮭد اﻟطرﯾﻖ ﻟﻣﻧﺎﻗﺷﺔ ﻣﺎ ﯾﺟب اﻟﻘﯾﺎم ﺑﮫ ﻟﻠﺗﺻدي ﻟﮭﺎ .ﺗذﻛر ،ﻣﻊ ذﻟك ،أن اﻟﺗﺎرﯾﺦ ﻣﺎ ﻧﺎﻗﺷﻧﺎه ﻟﻠﺗو ﺗﺷﯾر ،أﻧﮫ أﻛﺛر ﻣن أي ﺷﻲء آﺧر ،ﺣﯾث واﺻل اﻟﺗﻐﯾر اﻟﺳرﯾﻊ ﻟﻠﻣﺳﺗﻘﺑل .ﺳوف ﻧﺣﻠل أدوات ھﺟوم DDoS ﻣﺛل ،Stacheldraht ،Tribe Flood Network ،trinooو Shaftﻛل ھؤﻻء ﺻﻧﻌوا اﻟﺗوﻗﻌﺎت اﻟﻣﺛﺎرة ﺣول اﺗﺟﺎھﺎت اﻟﺗﻧﻣﯾﺔ اﻟﻣﺳﺗﻘﺑﻠﯾﺔ ﻋﻠﻰ أﺳﺎس اﻟﺗﺎرﯾﺦ اﻟﻣﺎﺿﻲ ،وﻟﻛن اﻟﻣﮭﺎﺟﻣﯾن أﺛﺑﺗوا اﻧﮭم أﻛﺛر ﻓطﻧﺔ ﻓﻲ دﻣﺞ أﺳﺎﻟﯾب ھﺟوم ﺟدﯾدة ﻓﻲ اﻷدوات اﻟﻣوﺟودة ﻣن اﻗﺗرح ﺗﻠك اﻟﺗﻧﺑؤات .ﯾﻧﺑﻐﻲ ﻟﻧﺎ أن ﻧﺗوﻗﻊ ﻛل ﻣن ﻋدد وﺗﻌﻘﯾد أدوات ھﺟوم اﻟﺗﻲ ﺗﻧﻣو ﺑﺎطراد ،ورﺑﻣﺎ ﺑﺳرﻋﺔ أﻛﺑر ﻣن أي ﺷﺧص ﯾﺗوﻗﻊ. ) How Attacks Are Waged 10.4ﻛﯿﻔﯿﺔ اﻟﻘﯿﺎم ﺑﮭﺬا اﻟﮭﺠﻮم( ھﺟوم DDoSﻻﺑد ﻣن اﻋداده ﺑﻌﻧﺎﯾﺔ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم .ﺣﯾث اﻧﮫ أوﻻ ﯾﻘوم ﺑﺗﺟﻧﯾد ﺟﯾش ﻣن اﻟوﻛﻼء .وﯾﺗم ذﻟك ﻣن ﺧﻼل اﻟﺑﺣث ﻋن آﻻت اﻟﺿﻌﯾﻔﺔ ،ﺛم اﺧﺗراﻗﮭم ،وﺗرﻛﯾب ﺷﻔرة اﻟﮭﺟوم ﻋﻠﯾﮭﺎ .اﻟﻣﮭﺎﺟم ﯾﻘوم ﺑﺗﺄﺳﯾس ﻗﻧوات اﻻﺗﺻﺎل ﺑﯾن اﻷﺟﮭزة ،ﺑﺣﯾث ﯾﻣﻛن اﻟﺳﯾطرة ﻋﻠﯾﮭﺎ وﺗﻌﻣل ﺑطرﯾﻘﺔ ﻣﻧﺳﻘﺔ .وﯾﺗم ذﻟك ﺑﺎﺳﺗﺧدام إﻣﺎ ﺑﻧﯾﺔ اﻟﻣﻌﺎﻟﺞ/اﻟوﻛﯾل أو IRC-based commandوﻗﻧﺎة ﻟﻠﺳﯾطرة .ﺑﻣﺟرد ﺑﻧﺎء ﺷﺑﻛﺔ ،DDoSﻓﺈﻧﮫ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﻣﮭﺎﺟﻣﺔ ﻋدة ﻣرات ﻋﻠﻰ اﻟﻧﺣو اﻟﻣرﻏوب ﻓﯾﮫ ﺿد أھداف ﻣﺧﺗﻠﻔﺔ. ﺗوظﯾف ﺷﺑﻛﺔ ﻣن اﻟوﻛﻼء )(Recruitment Of The Agent Network اﻋﺗﻣﺎدا ﻋﻠﻰ ﻧوع ﻣﺧطط اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ،اﻟﻣﮭﺎﺟم ﯾﺣﺗﺎج إﻟﻰ اﻟﻌﺛور ﻋﻠﻰ ﻋدد ﻛﺑﯾر ﻣن اﻵﻻت اﻟﺿﻌﯾﻔﺔ ﺑﻣﺎ ﻓﯾﮫ اﻟﻛﻔﺎﯾﺔ ﻻﺳﺗﺧداﻣﮭﺎ ﻓﻲ اﻟﮭﺟوم .وﯾﻣﻛن اﻟﻘﯾﺎم ﺑذﻟك ﯾدوﯾﺎ أو ﻧﺻف آﻟﯾﺎ أو ﺑطرﯾﻘﺔ اﻟﯾﮫ ) (automatedﺑﺎﻟﻛﺎﻣل .ﻓﻲ اﻟﺣﺎﻻت ﻣﻊ أداﺗﯾن DDoSاﻟﻣﻌروﻓﺔtrinoo ، و ،Shaftﺗم ﻋﻣﻠﯾﺔ اﻟﺗﺛﺑﯾت ﺑطرﯾﻘﮫ ﻓﻘط ،ﻓﻲ ﺣﯾن إﺟراء اﻛﺗﺷﺎف واﺧﺗراق آﻻت اﻟﺿﻌﯾﻔﺔ ﯾﻛون ﯾدوﯾﺎ .ﻓﻲ اﻟوﻗت اﻟﺣﺎﺿر ،اﻟﻣﮭﺎﺟﻣﯾن ﯾﺳﺗﺧدﻣون اﻟﺑراﻣﺞ اﻟﻧﺻﯾﺔ ) (scriptsوذﻟك ﻹﺗﻣﺎم اﻟﻌﻣﻠﯾﺔ ﺑطرﯾﻘﮫ اﻟﯾﮫ ﺑﺎﻟﻛﺎﻣل ،أو ﺣﺗﻰ اﺳﺗﺧدام اﻟﻔﺣص ) (Scanningﻟﺗﺣدﯾد آﻻت اﻟﺿﻌﯾﻔﺔ واﻟﻣﺧﺗرﻗﺔ ﺑﺎﻟﻔﻌل ﻟﻠﻘﯾﺎم ﺑﺎﻟﮭﺟوم )اﻟﻣﺿﯾﻔﯾن ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،MyDoom ،Slammer ،أو .(Bagle-infected hostsوإﻧﮫ ﻣن اﻟﻣﺗوﻗﻊ اﺳﺗﺧدام ﺑﻌض اﻟدﯾدان ﺻراﺣﺔ ﻟﺧﻠﻖ أرﺿﯾﺔ ﺧﺻﺑﺔ ﻟﻠﺣﺻﺎد ﻟﺑﻧﺎء ﺷﺑﻛﺎت ﺑوت اﻟﺗﻲ ﯾﺗم اﺳﺗﺧداﻣﮭﺎ ﻻﺣﻘﺎ ﻷﻏراض ﺧﺑﯾﺛﺔ ﻣﺧﺗﻠﻔﺔ، ﺑﻣﺎ ﻓﻲ ذﻟك ھﺟﻣﺎت .DDoSإذا ﻟم ﯾﻼﺣظ اﻟﻣﺿﯾﻔﯾن ﻋدوى اﻟدودة ،ﻓﺈﻧﮭم ﻋﻠﻰ اﻷرﺟﺢ ﻟن ﯾﻼﺣظوا اﻟﺑوت اﻟﻣﺣﺻول ﻟﮭم!
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1042 اﻟﻌﺛور ﻋﻠﻰ آﻻت اﻟﻣﺳﺗﺿﻌﻔﺔ )(FINDING VULNERABLE MACHINES اﻟﻣﮭﺎﺟم ﯾﺣﺗﺎج ﻟﻠﻌﺛور ﻋﻠﻰ اﻵﻻت اﻟﺗﻲ ﯾﻣﻛﻧﮭﺎ ﺗﻘدﯾم ﺗﻧﺎزﻻت )أي ذات ﻧﻘﺎط ﺿﻌف وﺳﮭﻠﺔ اﻻﺧﺗراق( .ﻟﺗﻌظﯾم اﻟﻌﺎﺋد ،واﻧﮫ ﯾرﻏب ﻓﻲ ﺗوظﯾف اﻵﻻت اﻟﺗﻲ ﻟدﯾك اﺗﺻﺎل ﺟﯾد وﻣوارد واﻓرة وﺳوء ﺻﯾﺎﻧﺗﮭﺎ .ﻟﺳوء اﻟﺣظ ،اﻟﻌدﯾد ﻣن ھذه ﻣوﺟودة ﺿﻣن ﻣﺟﻣوﻋﺔ ﻣن اﻟﻣﻼﯾﯾن ﻣن اﻟﻣﺿﯾﻔﯾن ﻋﻠﻰ اﻹﻧﺗرﻧت. ﻓﻲ اﻷﯾﺎم اﻷوﻟﻰ ﻣن ،DDoSﺗم اﻟﻌﺛور ﻋﻠﻰ اﻟﻣﺿﯾﻔﯾن ﻣﻊ اﺗﺻﺎﻻت ذات ﻧطﺎق ﺗرددي ﻋﺎﻟﻲ ﻓﻘط ﻓﻲ اﻟﺟﺎﻣﻌﺎت واﻟﻣؤﺳﺳﺎت اﻟﻌﻠﻣﯾﺔ واﻟﺣﻛوﻣﯾﺔ .وأﻧﮭﺎ ﺗﻣﯾل أن ﺗﻛون أﻛﺛر ﻓﻲ اﻟﺗراﺧﻲ ﻓﻲ اﻻﻣن اﻟﻰ ﺣد ﻣﺎ وﻟﯾس ھﻧﺎك ﺟدران ﻧﺎرﯾﺔ ،ﺣﺗﻰ أﻧﮭﺎ ﯾﻣﻛن ﺗﻌرﺿﮭﺎ ﻟﻠﺧطر ﺑﺳﮭوﻟﺔ ﻣن ﻗﺑل أﺣد اﻟﻣﮭﺎﺟﻣﯾن .اﻟﺷﻌﺑﯾﺔ اﻷﺧﯾرة ﻟﻣودم اﻟﻛﺎﺑل واﻟﺧط اﻟﻣﺷﺗرك اﻟرﻗﻣﻲ ) (DSLذات اﻻﻧﺗرﻧت اﻟﻌﺎﻟﻲ اﻟﺳرﻋﺔ ﻟﻸﻋﻣﺎل اﻟﺗﺟﺎرﯾﺔ واﻻﺳﺗﺧدام اﻟﻣﻧزﻟﻲ ﺟﻠب اﺗﺻﺎﻻت ﻋﺎﻟﯾﺔ اﻟﻰ ﻛل ﺟﺎﻧب ﺗﻘرﯾﺑﺎ ﻣن اﻟﻣﻧزل واﻟﻣﻛﺗب .وﻗد وﺳﻊ ھذا إﻟﻰ ﺣد ﻛﺑﯾر ﻣﺟﻣوﻋﺔ اﻟﻣﺿﯾﻔﯾن اﻟﺗﻲ ﺗدار ﺑﺧﻔﺔ وﺗوﻓﯾرھﺎ اﺗﺻﺎل ﻣﺳﺗﻣر وﺗﻌﻣل ﺑﺎﺳﺗﻣرار وھﻲ أھداف ﻣﺛﺎﻟﯾﮫ ﻟﻠﺗوظﯾف ﻣن ﻗﺑل .DDoSوھذا أﻋﻘب اﻟﺗﻐﯾﯾر ﻓﻲ ﺑﻧﯾﺔ وﻛﻼء DDoS اﻟﻣﺣﺗﻣﻠﯾن واﻟذي أدى اﻟﻰ اﻟﺗﻐﯾﯾر ﻓﻲ أدوات .DDoSھذه اﻷدوات ﻛﺎﻧت ﺗﻌﻣل ﻓﻲ اﻟﻐﺎﻟب ﻋﻠﻰ اﻟﻣﺿﯾﻔﯾن ذات أﺳﺎس ﯾوﻧﻛس ،ﺑﯾﻧﻣﺎ ﻛود DDoSاﻷﺧﯾرة ﯾﻌﻣل ﻓﻲ اﻟﻐﺎﻟب ﻋﻠﻰ اﻷﻧظﻣﺔ اﻟﻣﺳﺗﻧدة إﻟﻰ .Windowsﻓﻲ ﺑﻌض اﻟﺣﺎﻻت ،ﻣﺛل Kaitenو ،Knight botواﻟﺗﻲ أﻋﯾد ﻛﺗﺎﺑﺔ اﻻﻛواد اﻷﺻﻠﯾﺔ اﻟﻣﺻدرﯾﺔ ﻋﻠﻰ أﺳﺎس ﯾوﻧﻛس ﺑﺑﺳﺎطﺔ ﺑﺎﺳﺗﺧدام ﻣﻛﺗﺑﺔ ﺳﯾﻐوﯾن اﻟﻣﺣﻣوﻟﺔ ).(Cygwin portable library ﯾطﻠﻖ ﻋﻠﻰ ﻋﻣﻠﯾﺔ اﻟﺑﺣث ﻋن اﻷﺟﮭزة اﻟﺿﻌﯾﻔﺔ .scanningﯾوﺿﺢ اﻟﺷﻛل اﻟﺗﺎﻟﻲ ﻋﻣﻠﯾﺔ scanningﺑﺳﯾطﺔ .اﻟﻣﮭﺎﺟم ﯾرﺳل ﺑﻌض اﻟﺣزم إﻟﻰ اﻟﮭدف اﻟﻣﺧﺗﺎر ﻟﻣﻌرﻓﺔ ﻣﺎ إذا ﻛﺎن ﻋﻠﻰ ﻗﯾد اﻟﺣﯾﺎة وﺿﻌﯾف .إذا ﻛﺎن اﻷﻣر ﻛذﻟك ،ﻓﺈن اﻟﻣﮭﺎﺟم ﯾﺣﺎول اﻗﺗﺣﺎم اﻟﺟﮭﺎز.
Scanningﻓﻲ اﻟﺑداﯾﺔ ﻋﻣﻠﯾﺔ ﯾدوﯾﺔ ﯾؤدﯾﮭﺎ اﻟﻣﮭﺎﺟم ﺑﺎﺳﺗﺧدام أدوات ﺑداﺋﯾﺔ .وﻣﻊ ﻣرور اﻟوﻗت ،وأدوات scanningﺗﺣﺳﻧت وﺗم دﻣﺞ وظﺎﺋف اﻟﻣﺳﺢ اﻟﺿوﺋﻲ وﺟﻌﻠت ﺗﻠﻘﺎﺋﯾﮫ .ﻣﺛﺎﻟﯾن ﻋﻠﻰ ذﻟك "اﻟﺗﮭدﯾدات اﻟﻣﺧﺗﻠطﺔ ) "(blended threatsواﻟدﯾدان. اﻟﺗﮭدﯾدات اﻟﻣﺧﺗﻠطﺔ ) (blended threatsھﻲ ﻋﺑﺎره ﻋن ﺑراﻣﺞ ﻓردﯾﺔ أو ﻣﺟﻣوﻋﺔ ﻣن اﻟﺑراﻣﺞ اﻟﺗﻲ ﺗوﻓر اﻟﻌدﯾد ﻣن اﻟﺧدﻣﺎت ،ﻓﻲ ھذه اﻟﺣﺎﻟﺔ إﻋطﺎء اﻻواﻣر واﻟﺗﺣﻛم ﺑﺎﺳﺗﺧدام IRC botواﻟﻔﺣص ﻋن ﻧﻘﺎط اﻟﺿﻌف. ﻛﻠﻣﺔ ) botﻣﺷﺗﻘﺔ ﻣن ﻛﻠﻣﺔ " ("rebotوﺗﻌرف أﯾﺿﺎ ً ﺑﺎﺳم روﺑوﺗﺎت اﻟوﯾب أو روﺑوﺗﺎت اﻟﺷﺑﻛﺔ اﻟﻌﺎﻟﻣﯾﺔ أو ﺑﺑﺳﺎطﺔ ﺑوﺗﺎت ،وھﻲ ﺑرﻣﺟﯾﺎت اﻟﻌﻣﯾل ،ﯾﻌﻣل ﻓﻲ اﻟﺧﻠﻔﯾﺔ ﻋﻠﻰ اﻟﻣﺿﯾف اﻟﻣﺧﺗرق ،وﯾﻧظر اﻟﻰ ﺑﻌض اﻟﺳﻼﺳل ﻟﺗظﮭر ﻓﻲ ﻗﻧﺎة .IRCھذه اﻟﺳﻼﺳل ﺗﻣﺛل اﻷواﻣر اﻟﺗﻲ ﯾﻧﻔذھﺎ ﺑرﻧﺎﻣﺞ ﺑوت ،ﻣﺛل دﻋوة ﺷﺧص إﻟﻰ ﻗﻧﺎة ،IRCوإﻋطﺎء أذوﻧﺎت اﻟﻣﺷﻐل ﻟﻠﻘﻧﺎة ﻟﻠﻣﺳﺗﺧدم ،وﻣﺳﺢ ﻛﺗﻠﺔ ﻣن ﻋﻧﺎوﯾن ) ،(netblockأو ﺗﻧﻔﯾذ ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ اﻟﻣﺷﻔر .وﺗم إﻧﺷﺎء Netblock Scanﻓﻲ ﺑﻌض ﻣن ھذه اﻟﺑرﻣﺟﯾﺎت ،ﻣﺛل ،powerوذﻟك ﻣن ﺧﻼل ﻛﺗﺎﺑﺔ اﻟﺛﻣﺎﻧﯾﺔ اوﻛت اﻟﻘﻠﯾﻠﺔ اﻷوﻟﻰ ﻣن ﻋﻧوان اﻟﺷﺑﻛﺔ )ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل 192.168 ،ﻗد ﯾﻌﻧﻲ ﻓﺣص ﻛل ﺷﻲء ﻣن 192.168.0.0إﻟﻰ .(192.168.255.255ﺑﻣﺟرد ﺣﺻول اﻟﺑوﺗﺎت ﻋﻠﻰ ﻗﺎﺋﻣﺔ اﻟﻣﺿﯾﻔﯾن اﻟﻣﺳﺗﺿﻌﻔﯾن ،ﻓﺈﻧﮫ ﯾﻘوم ﺑﺈﺑﻼغ اﻟﻣﮭﺎﺟم ﺑﺎﺳﺗﺧدام ) botnetوھﻲ ﺷﺑﻛﺔ ﻣن botواﻟﺗﻲ ﺗﻘوم ﺑﻣزاﻣﻧﺔ اﻟﺟﻣﯾﻊ ﻣن ﺧﻼل اﻟﺗواﺻل ﻓﻲ ﻗﻧﺎة .(IRCاﻟﻣﮭﺎﺟم ﯾﻘوم ﺑﺎﺳﺗرداد اﻟﻣﻠف وﯾﺿﯾف إﻟﻰ اﻟﻘﺎﺋﻣﺔ ﻟﮭﺎ اﻟﻣﺿﯾﻔﯾن اﻟﺿﻌﻔﺎء .ﺑﻌض اﻟﺑراﻣﺞ ﺗﺿﺎف ﺗﻠﻘﺎﺋﯾﺎ ھؤﻻء اﻟﻣﺿﯾﻔﯾن وﻋرض ﻻﺋﺣﺔ ﻣن اﻟﻣﺿﯾﻔﯾن اﻟﺿﻌﻔﺎء ،وﺑﺎﻟﺗﺎﻟﻲ إﻋﺎدة ﺗﺷﻛﯾل ﺷﺑﻛﺔ اﻟﮭﺟوم ﺑﺎﺳﺗﻣرار .وﯾﺗم اﺧﺗﯾﺎر ﻛﺗل ﺷﺑﻛﺔ ﻟﻠﻔﺣص ﻓﻲ ﺑﻌض اﻷﺣﯾﺎن ﺑﺷﻛل ﻋﺷواﺋﻲ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن .ﺑﻣﺟرد اﺧﺗﯾﺎرھم ﺑﺷﻛل واﺿﺢ ﻟﺳﺑب )ﻋﻠﻰ د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1043 ﺳﺑﯾل اﻟﻣﺛﺎل netblocks ،اﻟﻣﻣﻠوﻛﺔ ﻣن ﻗﺑل ﻣﻘدﻣﻲ DSLواﻟﺟﺎﻣﻌﺎت ھﻲ أﻛﺛر ﺑﻛﺛﯾر "اﻟﺑﯾﺋﺎت اﻟﻐﻧﯾﺔ اﻟﮭدف" ﻣن ﺗﻠك اﻟﺗﻲ ﺗﻣﺗﻠﻛﮭﺎ اﻟﺷرﻛﺎت اﻟﻛﺑﯾرة وأﻗل ﻣﺧﺎطرة ﻣن اﻟﻣوﻗﻊ ﻋﺳﻛري(. اﻟﻔﺣص ﯾﻣﻛن اﻟﻘﯾﺎم ﺑﮫ ﻣﻊ ﺧﻼل ﺑراﻣﺞ ﻣﻧﻔﺻﻠﺔ اﻟﺗﻲ ﯾﺗم ﺑﺑﺳﺎطﺔ "إدﺧﺎﻟﮭﺎ" ﻟﻌدد ﻣن ﺑراﻣﺞ اﻟﺗﮭدﯾد اﻟﻣﺧﻠوطﺔ ،أو )ﻛﻣﺎ ھو اﻟﺣﺎل ﻣﻊ ،(Phatbotاﻟذي ﺑﻧﻲ ﻓﻲ اﻟﺑرﻧﺎﻣﺞ وﺣدة ﻧﻣطﯾﺔ .ﯾﺗم وﺻف IRC bot scanningﻓﻲ اﻟﺷﻛل.
ﺑرﻧﺎﻣﺞ آﺧر ﯾﺳﺗﺧدم ﻓﻲ اﻟﻔﺣص ﻟﺗﺣدﯾد اﻟﻣﺿﯾﻔﯾن اﻟذﯾن ھم ﻋرﺿﮫ ﻟﻼﺧﺗراق وھو دودة اﻹﻧﺗرﻧت ) .(Internet wormsدﯾدان اﻹﻧﺗرﻧت ) (Internet wormsﺗﻘوم ﺑﺈﻧﺷﺎء ﺑراﻣﺞ آﻟﯾﺔ واﻟﺗﻲ ﺗﻧﺗﺷر ﻣن اﻟﻣﺿﯾف اﻟﺿﻌﯾف إﻟﻰ أﺧر ،ﺑطرﯾﻘﺔ ﻣﻣﺎﺛﻠﺔ ﻟﻠﻔﯾروﺳﺎت اﻟﺑﯾوﻟوﺟﯾﺔ )ﻣﺛل اﻷﻧﻔﻠوﻧزا( .اﻟدودة ﻟﮭﺎ ﺛﻼث وظﺎﺋف أﺳﺎﺳﯾﺔ ﻣﺗﻣﯾزة ،Scanning (1) :ﻟﻠﺑﺣث ﻋن آﻻت اﻟﺿﻌﯾﻔﺔ؛ ) ،exploitation (2واﻟذي ﯾﻘوم ﺑﺎﺧﺗراق آﻻت وﯾﺿﻊ آﻻت ﺗﺣت اﻟﺗﺣﻛم ﻋن ﺑﻌد؛ و )) payload (3ﻛود ﯾﺗم ﺗﺷﻐﯾﻠﮫ ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﻣﺧﺗرق ﻟﺗﺣﻘﯾﻖ ﺑﻌض ﻣن وظﺎﺋف اﻟﮭﺟوم( .ﻣﻧذ أن ﺗم ﺗﺻﻣﯾم اﻟدودة ﻟﻼﻧﺗﺷﺎر ،ﻓﺈﻧﮭﺎ ﺑﻣﺟرد إﺻﺎﺑﺔ آﻟﺔ ،ﻓﺈﻧﮭﺎ ﺗﻘوم ﺑﺎﻟﻔﺣص/ﺗﺻﯾب وﺗﻛرر ھذه اﻟدورة ﻋﻠﻰ ﻛل ﻣن اﻷﺟﮭزة اﻟﻣﺻﺎﺑﺔ واﻷﺟﮭزة اﻟﺗﻲ ﺗﺻﯾﺑﮭﺎ اﻻﺧرى .اﻟﺣﻣوﻟﺔ ) (payloadﯾﻣﻛن أن ﯾﻛون ﻣﺟرد ﻧﺳﺧﺔ ﻣن اﻟدودة )ﻓﻲ اﻟذاﻛرة أو ﻣﻛﺗوﺑﺔ إﻟﻰ ﻧظﺎم
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1044 اﻟﻣﻠﻔﺎت( ،أو ﻗد ﯾﻛون ﻣﺟﻣوﻋﺔ ﻛﺎﻣﻠﺔ ﻣن اﻟﺑراﻣﺞ اﻟﺗﻲ ﯾﺗم ﺗﺣﻣﯾﻠﮭﺎ ﻓﻲ ﻧظﺎم اﻟﻣﻠﻔﺎت .دﯾدان اﻹﻧﺗرﻧت ھﻲ وﺳﯾﻠﺔ ﺷﻌﺑﯾﺔ ﻣﺗزاﯾدة ﻟﺗﺟﻧﯾد ﻋﻣﻼء ،DDoSﻟذﻟك ﺗﺗﺿﻣن ﺣﻣوﻟﺔ اﻟدودة ﻛﺛﯾرا ﻣن اﻛواد DDoSﻟﻠﮭﺟوم .وﯾوﺿﺢ اﻟﺷﻛل اﻟﺗﺎﻟﻲ اﻧﺗﺷﺎر اﻟدودة. اﻟدﯾدان ﺗﺧﺗﺎر اﻟﻌﻧﺎوﯾن ﻟﻠﻔﺣص ﺑﺎﺳﺗﺧدام ﻋدة طرق. ﻋﺷواﺋﯾﺎ .اﻻﺧﺗﯾﺎر اﻟﻌﺷواﺋﻲ ﻟﻛل 32ﺑت ﻣن ﻋﻧوان ) IPﻓﻲ ﺣﺎﻟﺔ اﺳﺗﺧدام ﻋﻧﺎوﯾن ( IPv4ﻟﻸھداف ،اﻟﻔﺣص ﺑﻔﻌﺎﻟﯾﺔ ﻟﺷﺑﻛﺔاﻹﻧﺗرﻧت ﺑﺎﻟﻛﺎﻣل ﻣن دون ﺗﻣﯾﯾز. ﺿﻣن ﻧطﺎق اﻟﻌﻧﺎوﯾن اﻟﺗﻲ ﺗم اﺧﺗﯾﺎره ﻋﺷواﺋﯾﺎ .ﻋﺷواﺋﯾﺎ ﻓﻘط ﻧﺧﺗﺎر 8أو 16ﺑﺎﯾت اﻷوﻟﻰ ﻣن ﻋﻧوان ، IPﺛم اﻟﺗﻛرار ﻣن .0.0اﻟﻰ .255.255ﻓﻲ ﻧطﺎق اﻟﻌﻧوان ھذا .ھذا ﯾﻣﯾل ﻟﻔﺣص ﺷﺑﻛﺎت واﺣدة ،أو ﻣﺟﻣوﻋﺔ ﻣن اﻟﺷﺑﻛﺎت ،ﻓﻲ وﻗت واﺣد. ﺑﺎﺳﺗﺧدام ﻗﺎﺋﻣﮫ ) .(hitlistﺑﺄﺧذ ﻗﺎﺋﻣﺔ ﺻﻐﯾرة ﻣن ﻛﺗل اﻟﺷﺑﻛﺔ اﻟﺗﻲ "ﺗﺳﺗﮭدف اﻷﻏﻧﯾﺎء" وﻣن ﺛم ﺗﻘوم ﺑﺎﻟﻔﺣص اﻟﺗﻔﺻﯾﻠﻲ ﻟﮭم ،ﺣﯾنﺗﺟﺎھل أي ﻧطﺎق ﻟﻠﻌﻧﺎوﯾن اﻟﺗﻲ ﺗظﮭر أن ﺗﻛون ﻓﺎرﻏﺔ اﻟﻣﺿﻣون أو ﻏﺎﯾﺔ ﻓﻲ اﻻﻣن .ھذا ﯾﺳرع اﻻﻣور ﺑﺷﻛل ﻛﺑﯾر ،ﻓﺿﻼ ﻋن ﺗﻘﻠﯾل اﻟوﻗت اﻟﺿﺎﺋﻊ ﻟﻔﺣص ﻧطﺎﻗﺎت ﻋﻧﺎوﯾن ﻛﺑﯾرة ﻏﯾر ﻣﺳﺗﺧدﻣﺔ. ﺑﺎﺳﺗﺧدام اﻟﻣﻌﻠوﻣﺎت اﻟﻣوﺟودة ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﻣﺻﺎب .ﻋﻧد إﺻﺎﺑﺔ اﻟﺟﮭﺎز ،ﻓﺎن اﻟدودة ﺗﺑﺣث ﻋن ﻣﻠف اﻟﺳﺟل ﻓﻲ اﻵﻟﺔ واﻟﺗﻲ ﺗﺣﺗويﻋﻠﻰ ﻧﺷﺎط اﻻﺗﺻﺎﻻت ﺑﺎﻟﺗﻔﺎﺻﯾل ،وﺗﺑﺣث ﻋن ﻋﻧﺎوﯾن ﻟﻠﻔﺣص .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﺳﺟل ﻣﺗﺻﻔﺢ اﻟوﯾب ﯾﺣﺗوي ﻋﻠﻰ ﻋﻧﺎوﯾن ﻣواﻗﻊ اﻟوﯾب اﻟﺗﻲ ﻗﻣت ﺑزﯾﺎرﺗﮭﺎ ﻣؤﺧرا ،وﻣﻠف known_hostsﯾﺣﺗوي ﻋﻠﻰ ﻋﻧﺎوﯾن وﺟﮭﺎت اﻻﺗﺻﺎل ﻣن ﺧﻼل ) SSHﺷل آﻣن(. اﻟدﯾدان اﻧﺗﺷرت ﺑﺳرﻋﮫ ﻟﻠﻐﺎﯾﺔ ﺑﺳﺑب اﻧﺗﺷﺎر ﻧﻣط ﻣواز ﻟﮭﺎ .ﻧﻔﺗرض أن ﻧﺳﺧﺔ واﺣدة ﺗﺻﯾب ﺑﻧﺟﺎح ﺧﻣس آﻻت ﻓﻲ ﺛﺎﻧﯾﺔ واﺣدة .ﻓﻲ اﻟﺛﺎﻧﯾﺔ اﻟﻣﻘﺑﻠﺔ ،ﺳوف ﺗﻛون ﺟﻣﻌت ﺳﺗﮫ ﻣن اﻟﻧﺳﺦ )ﻧﺳﺧﺔ أﺻﻠﯾﺔ واﺣدة وﺧﻣس ﻧﺳﺦ ﺟدﯾدة( ﻣﺣﺎوﻟﺔ ﻟزﯾﺎدة اﻟﻧﺷر .ﻣﻊ اﻧﺗﺷﺎر اﻟدودة ،ﻓﺎن ﻋدد اﻷﺟﮭزة اﻟﻣﺻﺎﺑﺔ وﻋدد ﻧﺳﺦ اﻟدودة اﻟﺗﻲ ﺗﺣﺗﺷد ﻋﺑر اﻹﻧﺗرﻧت ﺗﻧﻣو ﺑﺎطراد .ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ،ھذا اﻟﻛم اﻟﮭﺎﺋل ﻣن اﻟﻔﺣص/ﻣﮭﺎﺟﻣﺔ ﺣرﻛﺔ اﻟﻣرور ﻟﺣﺎﻓﺔ اﻟﺷﺑﻛﺎت وﯾﺧﻠﻖ ﺗﺄﺛﯾر ﺣﺟب اﻟﺧدﻣﺔ ﻟﻠﻌدﯾد ﻣن اﻟﻣﺳﺗﺧدﻣﯾن .ﺑﻌض اﻟدﯾدان ﺗﺣﻣل ﺣﻣوﻻت DDoSأﯾﺿﺎ ،ﻣﻣﺎ ﯾﺳﻣﺢ ﻟﻠﻣﮭﺎﺟم اﻟذي ﯾﺳﯾطر ﻋﻠﻰ آﻻت ان ﯾﺗورط ﻟﺗﻧﻔﯾذ اﻟﻣزﯾد ﻣن اﻟﮭﺟﻣﺎت اﻟﻣﺗﻌﻣدة واﻟﻣﺳﺗﮭدﻓﺔ ﺑﻌد اﻧﺗﮭﺎء اﻧﺗﺷﺎر اﻟدودة .اﻟﺗﺎرﯾﺦ ﯾﺷﯾر إﻟﻰ أن اﻟدﯾدان ﻏﺎﻟﺑﺎ ﻻ ﯾﺗم ﺗﻧظﯾﻔﮭﺎ ﺗﻣﺎﻣﺎ )ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،اﻟﻣﺿﯾﻔﯾن اﻟﻣﺻﺎﺑﯾن ﺑﺎﻟﺷﻔرة اﻟﺣﻣراء ) (Code Redﻻ ﺗزال ﻣوﺟودة ﻓﻲ اﻹﻧﺗرﻧت( ،ﻗد ﺗﺳﺗﻣر ﺑﻌض اﻷﺟﮭزة اﻟﻣﺻﺎﺑﺔ ﺗﻌﻣل ﻛوﻛﻼء ﻠ DDoSﻷﺟل ﻏﯾر ﻣﺳﻣﻰ. اﻗﺗﺣﺎم اﻻﺟﮭزة اﻟﺿﻌﯾﻔﺔ )(Breaking Into Vulnerable Machines ﯾﺣﺗﺎج اﻟﻣﮭﺎﺟم ﻻﺳﺗﻐﻼل ﻧﻘطﺔ ﺿﻌف ﻓﻲ اﻵﻻت اﻟﺗﻲ ﯾﻧوى ﺗﺟﻧﯾدھﺎ ﻣن أﺟل اﻟوﺻول إﻟﯾﮭم .ﺳوف ﺗﺟد ھذا وﯾﺷﺎر إﻟﻰ "اﻣﺗﻼك" اﻟﺟﮭﺎز. اﻟﻐﺎﻟﺑﯾﺔ اﻟﻌظﻣﻰ ﻣن ﻧﻘﺎط اﻟﺿﻌف ﺗوﻓر ﻟﻠﻣﮭﺎﺟﻣﯾن اﻟوﺻول اﻹداري إﻟﻰ اﻟﻧظﺎم ،واﻧﮫ ﯾﻣﻛن إﺿﺎﻓﺔ/ﺣذف/ﺗﻐﯾﯾر اﻟﻣﻠﻔﺎت أو إﻋدادات اﻟﻧظﺎم ﻓﻲ اﻹرادة. ﻣن اﺟل اﻻﺳﺗﻐﻼل اﻟﻘﯾﺎس ﻗم ﺑﺗﺗﺑﻊ دورة ﻣﺄﺛر ﻧﻘﺎط اﻟﺿﻌف ) Exploits typically follow a vulnerability .(exploitation cycle -1 -2 -3 -4 -5
اﻛﺗﺷﺎف ﺛﻐرة ﺟدﯾدة ﻓﻲ دواﺋر اﻟﻣﮭﺎﺟم وﯾﺟري اﺳﺗﻐﻼﻟﮭﺎ ﺑطرﯾﻘﺔ ﻣﺣدودة. ﻧﻘﺎط اﻟﺿﻌف ﺧﺎرج ھذه اﻟداﺋرة ﯾﺣﺻل اﺳﺗﻐﻼﻟﮭﺎ ﻋﻠﻰ ﻧطﺎق أوﺳﻊ. ﺗظﮭر اﻷدوات اﻵﻟﯾﺔ ،واﻟﻘراﺻﻧﺔ ﻏﯾر ﻣﺣﺗرﻓﯾن ) (script kiddiesﯾﻘوﻣون ﺑﺎﺳﺗﺧدام ھذه اﻷدوات. ﯾظﮭر اﻟﺗﺻﺣﯾﺢ ﻟﻠﻘﺿﺎء ﻋﻠﻰ ﻧﻘﺎط اﻟﺿﻌف ھذه وﯾﺣﺻل ﻋﻠﻰ ﺗطﺑﯾﻘﮭﺎ. وﻣن ﺛم ﯾﺗم ﺧﻔض ﺗﺄﺛﯾر اﻟﻣﺂﺛر اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ ﻧﻘﺎط اﻟﺿﻌف.
ﺑﻣﺟرد أن ﯾﺗم ﺗﺣدﯾد ﻧﻘﺎط اﻟﺿﻌف واﺣده أو أﻛﺛر ،ﯾﻘوم اﻟﻣﮭﺎﺟم ﺑﺎﺳﺗﻐﻼﻟﮭﺎ ﻓﻲ أدوات DDoSﺗﻠك .ﺑﻌض أدوات DDoSﻓﻌﻼ ﺗﺳﺗﻔﯾد ﻣن اﻟﻌدﯾد ﻣن اﻟﺛﻐرات ﻣن ﺧﻼل ﻧﺷر اﻛواده إﻟﻰ اﻟﻌدﯾد ﻣن آﻻت اﻟﻣﻣﻛﻧﺔ .وﻏﺎﻟﺑﺎ ﻣﺎ ﯾﺷﺎر إﻟﯾﮭﺎ ﻧﺎﻗﻼت اﻻﻧﺗﺷﺎر ).(propagation vectors ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ،ﯾﻘوم اﻟﻣﮭﺎﺟم ﺑﺗﺻﺣﯾﺢ ﻧﻘﺎط اﻟﺿﻌف اﻟذي ﻗﺎم ﺑﺎﺳﺗﻐﻼﻟﮭﺎ ﺑﻌد اﻗﺗﺣﺎم اﻟﺟﮭﺎز .وذﻟك ﻟﻣﻧﻊ اﻟﻣﮭﺎﺟﻣﯾن اﻻﺧرﯾن ﻣن اﻟوﺻول ﺑﻧﻔس اﻟطرﯾﻘﺔ واﻻﺳﺗﯾﻼء ﻋﻠﻰ اﻟﺳﯾطرة ﻋﻠﻰ آﻟﺔ اﻟوﻛﯾل .ﻟﺗﺳﮭﯾل وﺻوﻟﮫ إﻟﻰ اﻟﺟﮭﺎز اﻟﻣﺧﺗرق ﻓﻲ اﻟﻣﺳﺗﻘﺑل ،ﻓﺈن اﻟﻣﮭﺎﺟم ﯾﻘوم ﺑﺑدء اﺳﺗﺧدام اﻟﺑرﻧﺎﻣﺞ اﻟذي ﯾﺳﺗﻣﻊ ﻟﻣﺣﺎوﻻت اﻻﺗﺻﺎل اﻟواردة ﻋﻠﻰ ﻣﻧﻔذ ﻣﻌﯾن .وﯾﺳﻣﻰ ھذا اﻟﺑرﻧﺎﻣﺞ .backdoorاﻟوﺻول ﻣن ﺧﻼل backdoorﻣﺣﻣﻲ أﺣﯾﺎﻧﺎ ﺑواﺳطﺔ ﻛﻠﻣﺔ ﻣرور ﻗوﯾﺔ ،وﻓﻲ ﺣﺎﻻت أﺧرى ﻣﻔﺗوﺣﺔ ﻋﻠﻰ ﻣﺻراﻋﯾﮭﺎ ،وﺳوف ﺗﺳﺗﺟﯾب ﻷي طﻠب اﺗﺻﺎل. واﺣدة ﻣن ﻧﻘﺎط اﻟﺿﻌف اﻟﺗﻲ ﻟم ﯾﺗم اﻟﺗﺧﻔﯾف ﻋﻧﮭﺎ ﻣن ﻗﺑل اﻟﺗﺻﺣﯾﺣﺎت ،واﻟﺗﻲ ﯾﺳﺗﻐﻠﮭﺎ ﺑﻌض اﻟﺗﮭدﯾدات اﻟﻣﻣزوﺟﺔ )،(blended threats وھو ﻛﻠﻣﺎت اﻟﻣرور اﻟﺿﻌﯾﻔﺔ .ﺑﻌض اﻟﻣﺂﺛر ) (Exploitﺗﺣﺗوي ﻋﻠﻰ ﻗﺎﺋﻣﺔ ﻣن ﻛﻠﻣﺎت اﻟﺳر اﻟﻣﺷﺗرﻛﺔ .وﻣﺣﺎوﻟﺔ ﺗﺟرﯾب ﻛﻠﻣﺎت اﻟﺳر ھذه ﻣن ﺧﻼل اﻟﻘوة اﻟﻐﺎﺷﻣﺔ ) (brute-forceأو ﺑطرﯾﻘﺔ ﻣﺗﻛررة ،واﺣدا ﺗﻠو اﻵﺧر .ھذا ﯾﺗﺟﺎوز أﺣﯾﺎﻧﺎ ﺣدود ﻧظﺎم ﺗﺳﺟﯾل اﻟدﺧول اﻟﻔﺎﺷﻠﺔ وﯾﺳﺑب د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1045 ﺣﺎﻟﺔ اﻻﻏﻼق )اﻟﻧظﺎم اﻻﺣﺗﯾﺎطﻲ ﻵﻣن اﻟﻧظﺎم ،وﻟﻛﻧﮫ ﺗﺧرﯾﺑﻲ ﻟﻠﻣﺳﺗﺧدﻣﯾن اﻟﺷرﻋﯾﯾن اﻟذﯾن ﻻ ﯾﺳﺗطﯾﻌون اﻟﺣﺻول ﻋﻠﻰ اﻟدﺧول إﻟﻰ اﻟﻧظﺎم(. ﻓﻲ أوﻗﺎت ﻛﺛﯾرة ﺟدا ،ھذه اﻟﻣﺂﺛر ﺗﻧﺟﺢ ﻓﻲ اﻟﻌﺛور ﻋﻠﻰ ﻛﻠﻣﺎت ﺳر اﻟدﺧول اﻟﺿﻌﯾﻔﺔ واﻟوﺻول اﻟﻐﯾر ﻣﺻرح ﺑﮫ إﻟﻰ اﻟﻧظﺎم .اﻟﻣﺳﺗﺧدﻣﯾن ﻏﺎﻟﺑﺎ ﻣﺎ ﯾﻌﺗﻘدون أن ﺗرك ﻋدم وﺟود ﻛﻠﻣﺔ ﻣرور ﻋﻠﻰ ﺣﺳﺎب اﻟﻣﺳؤول ﻏﯾر ﻣﻌﻘول ،أو أن "ﻛﻠﻣﺔ اﻟﺳر" أو ﺑﻌض اﻟﻛﻠﻣﺎت اﻟﺑﺳﯾطﺔ اﻷﺧرى ﻏﯾر ﻛﺎﻓﯾﺔ ﻟﺣﻣﺎﯾﺔ اﻟﺣﺳﺎب .اﻧﮭم ﻣﺧطﺋون. طرق إﻛﺛﺎر اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ )(MALWARE PROPAGATION METHODS ﯾﺣﺗﺎج اﻟﻣﮭﺎﺟم ﻻﺗﺧﺎذ ﻗرار ﺑﺷﺄن ﻧﻣوذج اﻻﻧﺗﺷﺎر ﻟﺗﺛﺑﯾت اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻟﮫ .أﺑﺳط ﻧﻣوذج ھو ﻣﺳﺗودع ﻣرﻛزي ) (central repositoryأو ﻣﺧزن ﻣؤﻗت ) ،(cacheواﻟﻧﮭﺞ :أن اﻟﻣﮭﺎﺟم ﯾﺿﻊ اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﻓﻲ ﻣﺳﺗودع اﻟﻣﻠﻔﺎت )ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﺧﺎدم (FTPأو ﻣوﻗﻊ وﯾب، وﻛل ﻣﺿﯾف ﻣﺧﺗرق ﻗﺎم ﺑﺗﺣﻣﯾل اﻻﻛواد ﻣن ھذا اﻟﻣﺧزون .ﻣﯾزة واﺣدة ﻟﻧﻣوذج اﻟﺗﺧزﯾن اﻟﻣؤﻗت ) (caching modelﻟﻠﻣداﻓﻊ ھﻲ أن ھذه
اﻟﻣﺳﺗودﻋﺎت اﻟﻣرﻛزﯾﺔ ﯾﻣﻛن اﻟﺗﻌرف ﻋﻠﯾﮭﺎ ﺑﺳﮭوﻟﺔ وإزاﻟﺗﮭﺎ .اﻟﻣﮭﺎﺟﻣﯾن ﯾﻘوم ﺑﺗرﻛﯾب trinooو shaftواﻟﺗﻲ ﺗﺳﺗﺧدم ﻣﺛل اﻟﻧﮭﺞ اﻟﻣرﻛزي ھذا ﻓﻲ اﻷﯾﺎم اﻷوﻟﻰ .ﻓﻲ ﻋﺎم W32/Leaves ،2001اﺳﺗﺧدم ﻣواﻗﻊ ﻣﺗﻐﯾرة ﻗﺎﺑﻠﮫ ﻹﻋﺎدة اﻟﺗﺷﻛﯾل ﻟذاﻛرة اﻟﺗﺧزﯾن اﻟﻣؤﻗت ،ﻛﻣﺎ ﻓﻌل دودة اﻟﺑرﯾد W32/SoBigﻓﻲ .2003ﯾوﺿﺢ اﻟﺷﻛل اﻟﺗﺎﻟﻲ ﻧﺷر اﻟﻣﺳﺗودع ﻣرﻛزي. ﻧﻣوذج آﺧر وھو ،back-chainingأو ،pullاﻟﻧﮭﺞ ،ﺣﯾث اﻟﻣﮭﺎﺟم ﯾﺣﻣل أدواﺗﮫ ﻋﻠﻰ ﻣﺿﯾف ﻣﺧﺗرق ﻓﻲ اﻟﺑداﯾﺔ ﻵﻻت اﻟﻼﺣﻘﺔ .وﯾوﺿﺢ اﻟﺷﻛل اﻟﺗﺎﻟﻲ اﻟﻧﺷر ﻣﻊ .back-chaining أﺧﯾرا ،ﻧﮭﺞ ،push ،autonomousأو forward propagationﯾﺟﻣﻊ ﺑﯾن اﻻﻧﺗﺷﺎر واﻻﺳﺗﻐﻼل ﻓﻲ ﻋﻣﻠﯾﺔ واﺣدة .اﻟﻔرق ﺑﯾن ھذا اﻟﻧﮭﺞ و back chainingھو أن اﻟﻣﺄﺛر ) (exploitﻧﻔﺳﮭﺎ ﯾﺣﺗوي ﻋﻠﻰ اﻻﻛواد اﻟﺿﺎرة ﻟﻠﻧﺷر إﻟﻰ اﻟﻣوﻗﻊ اﻟﺟدﯾد ،ﺑدﻻ ﻣن إﺟراء ﻧﺳﺧﺔ ﻣن ﺗﻠك اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﺑﻌد اﻟﻣﺳﺎس ﺑﺎﻟﻣوﻗﻊ .اﻟدودة ﺗﺣﻣل أداة DDoSﻛﺣﻣوﻟﺔ ،وﺗﻘوم ﺑزرع ﻧﻔﺳﮭﺎ ﻋﻠﻰ ﻛل ﺟﮭﺎز ﻣﺻﺎب .اﻟدﯾدان اﻷﺧﯾرة أدرﺟت اﻟﻣﺄﺛر وأﻛواد اﻟﮭﺟوم ،واﻟﺗﻲ ﯾﺣﻣﯾﮭﺎ ﺗﺷﻔﯾر ﺿﻌﯾف .ﯾﺗم اﺳﺗﺧدام ھذا اﻟﺗﺷﻔﯾر ﻟﮭزﯾﻣﺔ أدوات اﻟﻛﺷف اﻟﻣﻌروﻓﺔ ﻋن ﺗﺳﻠﺳل اﻛواد اﻟﻣﺄﺛر )ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﺗﺟﺎوز ﺳﻌﺔ اﻟﻣﺧزن اﻟﻣؤﻗت " ،"the buffer overflowوھﻲ ﺳﻠﺳﻠﺔ طوﯾﻠﺔ ﻣن أواﻣر (NOOPﻣن ﻗﺑل ﻣﻛﺎﻓﺢ اﻟﻔﯾروﺳﺎت أو ﺑراﻣﺞ ﺟدار اﻟﺣﻣﺎﯾﺔ اﻟﺷﺧﺻﯾﺔ .ﺑﻣﺟرد وﺟوده ﻋﻠﻰ اﻟﺟﮭﺎز ،ﻓﺎﻧﮫ ﯾﻔك ﺗﺷﻔﯾره ذاﺗﯾﺎ وﯾﺳﺗﺄﻧف اﻻﻧﺗﺷﺎر .ﯾوﺿﺢ اﻟﺷﻛل اﻟﺗﺎﻟﻰ اﻟﻧﺷر اﻟﻣﺳﺗﻘل ).(autonomous propagation
اﻟﺗﺣﻛم ﻓﻲ ﺷﺑﻛﺔ وﻛﻼء دوس )(Controlling The DDoS Agent Network ﻋﻧدﻣﺎ ﯾﺗم ﺗﻌﯾﯾن ﺟﯾش ﻣن اﻟوﻛﻼء ﺑﺄﻋداد ﻛﺑﯾرة ﺑﻣﺎ ﻓﯾﮫ اﻟﻛﻔﺎﯾﺔ ،ﻓﺎن اﻟﻣﮭﺎﺟم ﯾﺗواﺻل ﻣﻊ اﻟوﻛﻼء ﺑﺎﺳﺗﺧدام "ﻋدد ﻛﺛﯾر" ﻣن وﺳﺎﺋل اﻻﺗﺻﺎل اﻟﺧﺎﺻﺔ .واﻟﻐرض ﻣن ھذه اﻻﺗﺻﺎﻻت ھو ذات ﺷﻘﯾن. أواﻣر اﻟﻣﮭﺎﺟم اﻟﺗﻲ ﺗﻘوم ﺑﺑدء/ﻧﮭﺎﯾﺔ وﺗﺧﺻﯾص اﻟﮭﺟوم. اﻟﻣﮭﺎﺟم ﯾﺟﻣﻊ إﺣﺻﺎءات ﻋن ﺳﻠوك اﻟوﻛﯾل.د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1046 ﻧﻼﺣظ ھﻧﺎ أﻧﮫ ﯾﻌﺗﻣد ﻋﻠﻰ اﻹطﺎر اﻟﻣرﺟﻌﻲ "ﺑدرﺟﮫ ﻛﺑﯾرة ﺑﻣﺎ ﻓﯾﮫ اﻟﻛﻔﺎﯾﺔ" :أدوات ﻣﺛل ،Tribe Flood Network (TFN) ،trinoo و Shaftﺗﺗﻌﺎﻣل ﻣﻊ اﻟﻣﺋﺎت وآﻻف ﻗﻠﯾﻠﺔ ﻣن اﻟوﻛﻼء ،وﻟﻛن ﻓﻲ اﻟوﻗت اﻟﺣﺎﺿر ﻟﯾس ﻣن ﻏﯾر اﻟﻣﺄﻟوف أن ﻧرى ﻣﺟﻣوﻋﺎت ﻣن اﻟوﻛﻼء ﯾﺟري ﺗداوﻟﮭﺎ ﻓﻲ .IRCﺷﺑﻛﺎت Phatbotﻛﺑﯾرة وﺑﺣﺳب ﻣﺎ ورد ﺣواﻟﻲ 400،000ﻣن اﻟﻣﺿﯾﻔﯾن http://www.securityfocus.com/news/8573.
اﻷواﻣر اﻟﻣﺑﺎﺷرة )(DIRECT COMMANDS ﺑﻌض أدوات DDoSﻣﺛل trinooﺗﻘوم ﺑﺑﻧﺎء ﺷﺑﻛﺔ اﻟﻣﻌﺎﻟﺞ/اﻟوﻛﯾل ،ﺣﯾث ﯾﺗﺣﻛم اﻟﻣﮭﺎﺟم ﻓﯾﮭﺎ ﻋﻠﻰ اﻟﺷﺑﻛﺔ ﻣن ﺧﻼل إﺻدار اﻷواﻣر إﻟﻰ اﻟﻣﻌﺎﻟﺞ ،واﻟذي ﺑدوره ﯾﻘوم ﺑﻧﻘل ھذه اﻷواﻣر )وأﺣﯾﺎﻧﺎ ﺑﺎﺳﺗﺧدام ﻣﺟﻣوﻋﺔ أواﻣر ﻣﺧﺗﻠﻔﺔ( إﻟﻰ اﻟوﻛﻼء .اﻷواﻣر ﻣن اﻟﻣﻣﻛن ان ﺗﺗﻛون ﻣن ﻧص ﻏﯾر ﻣﺷﻔر )واﺿﺢ( ،ﻧص ﻏﺎﻣض أو ﻣﺷﻔر ،أو اﻟرﻗﻣﻲ )اﻟﺛﻧﺎﺋﯾﺔ( اﻟﺗﺳﻠﺳل ﺑﺎﯾت .ﺑﺗﺣﻠﯾل ﺣرﻛﺔ اﻷواﻣر وﺣرﻛﺔ ﻣرور اﻟﺳﯾطرة ﺑﯾن اﻟﻣﻌﺎﻟﺟﺎت واﻟوﻛﻼء ﯾﻣﻛن أن ﯾﻌطﻲ ﻓﻛرة ﻋن ﻗدرات اﻷدوات دون ﺣﺎﺟﺔ اﻟوﺻول إﻟﻰ ﺗﻧﻔﯾذ اﻟﺑراﻣﺞ اﻟﺿﺎرة أو ﺷﻔرة ﻣﺻدره ،ﻛﻣﺎ ھو ﻣوﺿﺢ ﻣﻊ .shaft ﻣن أﺟل ﺑﻌض اﻟﻣﻌﺎﻟﺟﺎت واﻟﻛﻼء ،أدوات ﻣﺛل ،shaft ،Stacheldraht ،trinooﻟﻛﻲ ﺗﻌﻣل ﺟﯾدا ﻓﺎﻧﮫ ﯾﺟب ﻋﻠﻰ اﻟﻣﻌﺎﻟﺞ ﻣﻌرﻓﺔ ﻋﻧﺎوﯾن اﻟوﻛﻼء و "ﺗذﻛرھﺎ" ﺣﺗﻰ ﺑﻌد إﻋﺎدة ﺗﺷﻐﯾل اﻟﻧظﺎم أو اﻟﺑرﻧﺎﻣﺞ .ﺑﻌض أدوات DDoSﻗد ﺗم ﺗﺿﻣﯾن ﻋﻧوان IPﻟﻠﻣﻌﺎﻟﺞ ﻓﯾﮭﺎ ،واﻟوﻛﻼء ﯾﺟب ﻋﻠﯾﮭم ﺗﻘدﯾم ﺗﻘرﯾر إﻟﻰ ھذا اﻟﻣﻌﺎﻟﺞ ﻋﻧد ﺗﻌﯾﯾﻧﮭم .ﻋﺎدة ﯾﺗم اﻻﺣﺗﻔﺎظ ﺑﻘﺎﺋﻣﺔ ﻣن اﻟوﻛﻼء ﻓﻲ اﻟﻣﻠف اﻟذي ﯾﺣﻔظﮫ اﻟﻣﻌﺎﻟﺞ ﻣن اﺟل اﻟﺣﻔﺎظ ﻋﻠﻰ ﻣﻌﻠوﻣﺎت ﺣول ﺷﺑﻛﺔ .DDoSﻓﻲ ﺑﻌض اﻟﺣﺎﻻت ،ﻻ ﺗﻛون ھﻧﺎك ﻣﺻﺎدﻗﺔ ) (authenticationﻣن اﻟﻣﻌﺎﻟﺞ )ﻓﻲ اﻟواﻗﻊ أي ﺟﮭﺎز ﻛﻣﺑﯾوﺗر ﯾﻣﻛﻧﮫ إرﺳﺎل اﻷواﻣر إﻟﻰ ﺑﻌض وﻛﻼء دوس ،وھﻲ ﺳوف ﺗرد( .اﻟﺗﺣﻠﯾﻼت اﻟﻣﺑﻛرة ﻣن ،shaft ،Stacheldraht ،TFN ،trinoo و mstreamأظﮭروا ﺟﻣﯾﻌﺎ اﻟطرق اﻟﺗﻲ ﺑﯾن اﻟﻣﻌﺎﻟﺟﺎت واﻟوﻛﻼء واﻟﺗﻲ ﯾﻣﻛن اﻟﻛﺷف ﻋﻧﮭﺎ أو اﻟﺳﯾطرة ﻋﻠﯾﮭﺎ .ﻗد ﺷﻧت ھﺟﻣﺎت DDoS ﻣﺑﻛرة ﺑﯾن ﺟﻣﺎﻋﺎت ﺳرﯾﺔ ﺗﻘﺎﺗل ﻣن أﺟل ﺳﯾﺎدة وﻣﻠﻛﯾﺔ ﻗﻧوات .IRCاﻟﻣﮭﺎﺟﻣﯾن ﯾﺗﺻرﻓوا أﺣﯾﺎﻧﺎ ﻟﻠﺳﯾطرة ﻋﻠﻰ ﺷﺑﻛﺔ DDoSﻵﺧر ﻓﻲ ﺣﯾن أن اﻟوﺻول إﻟﯾﮭﺎ ﻏﯾر ﻣﺣﻣﻲ ﺑطرﯾﻘﺔ أو ﺑﺄﺧرى .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،أﺣد اﻟﻣﮭﺎﺟﻣﯾن ﯾﻠﺗﻘط رﺳﺎﻟﺔ ﻏﯾر ﻣﺷﻔرة أرﺳﻠت إﻟﻰ وﻛﯾل ﺷﺧص آﺧر ﻓﯾﻣﻛن اﻟﺳﯾطرة ﻋﻠﻰ ھذا اﻟﻌﺎﻣل ﻧﻔﺳﮫ ﻋن طرﯾﻖ ﺗﻌدﯾل ﺑﻌض ﺣﻘول اﻟرﺳﺎﻟﺔ اﻟﻼزﻣﺔ وإﻋﺎدة إرﺳﺎل ذﻟك .أو ﯾﻣﻛن ﻟﻠﻣداﻓﻊ إﺻدار أواﻣر ﺗوﻗف اﻟﮭﺟوم .ﺑﻌض أدوات DDoSاﻟﺗﻲ ﺗﺳﺗﺧدم ﺑﻧﯾﺔ اﻟﻣﻌﺎﻟﺞ/اﻟوﻛﯾل ﺗﻘوم ﺑﺣﻣﺎﯾﺔ اﻟوﺻول ﻋن ﺑﻌد إﻟﻰ اﻟﻣﻌﺎﻟﺞ ﺑﺎﺳﺗﺧدام ﻛﻠﻣﺎت اﻟﺳر، واﻟﺑﻌض ﯾﺣﺎول ﺣﻣﺎﯾﺔ اﺗﺻﺎﻻت اﻟﻣﻌﺎﻟﺞ/اﻟوﻛﻼء ﻣن ﺧﻼل ﻛﻠﻣﺎت اﻟﺳر أو اﻟﺗﺷﻔﯾر ﺑﺎﺳﺗﺧدام اﻷﺳرار اﻟﻣﺷﺗرﻛﺔ .اﻟﻣﻌﺎﻟﺟﺎت اﻷوﻟﻰ ﺣﺗﻰ اﻟﻣﺷﻔرة ﻟدﯾﮭﺎ ﻗﺎﺋﻣﺗﮭﺎ ﻣن اﻟوﻛﻼء ﻟﺗﺟﻧب اﻟﻛﺷف ﻋن ھوﯾﺔ اﻟوﻛﻼء ،إذا ﺗم ﻓﺣص اﻟﻣﻌﺎﻟﺞ ﻣن ﻗﺑل اﻟﻣﺣﻘﻘﯾن .ﺑواﺳطﺔ اﻟرد ﻋﻠﻰ اﻷواﻣر ﯾﻣﻛن أن ﯾﻌرض ﻗﺎﺋﻣﺔ اﻟوﻛﻼء ،أو ﯾﻣﻛن ﻓﻲ ﺑﻌض اﻷﺣﯾﺎن ﻓك اﻟﻣﻠف ﺑﺎﺳﺗﺧدام ﻣﻔﺎﺗﯾﺢ ﺗم اﻟﺣﺻول ﻋﻠﯾﮭﺎ ﻣن ﺗﺣﻠﯾل اﻟطب اﻟﺷرﻋﻲ أو اﻟﮭﻧدﺳﺔ اﻟﻌﻛﺳﯾﺔ ﻟﻠﻣﻌﺎﻟﺞ .أدوات أﺧرى ﻣﺛل Stacheldrahtﯾﺳﻣﺢ ﺗﺷﻔﯾر ﻗﻧﺎة اﻻواﻣر ﺑﯾن اﻟﻣﮭﺎﺟم واﻟﻣﻌﺎﻟﺞ ،وﻟﻛن ﻟﯾس ﺑﯾن اﻟﻣﻌﺎﻟﺟﺎت واﻟوﻛﻼء. ﻣﻊ ﻣرور اﻟوﻗت ،أﺻﺑﺣت ھذه اﻟﻣﻌﺎﻟﺟﺎت ﯾﻣﻛن ﺗﺗﺑﻌﮭﺎ وﻛﺎﻧت ،ﻓﻲ ﻣﻌظم اﻟﺣﺎﻻت ،ﻗﺎﺑﻠﮫ ﻟﻠﻧﻘل.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1047 اﻟﺷﻛﻠﯾن اﻟﺗﺎﻟﯾﯾن ﯾوﺿﺣﺎ اﻟﺳﯾطرة واﻟﮭﺟوم ﻋﻠﻰ ﺣرﻛﺔ اﻟﻣرور اﻟﻣرﺋﯾﺔ ﻣن ﻣوﻗﻊ اﺳﺗﺿﺎﻓﺔ اﻟوﻛﯾل وﻣن ﻣوﻗﻊ اﺳﺗﺿﺎﻓﺔ اﻟﻣﻌﺎﻟﺞ ،ﻋﻠﻰ اﻟﺗواﻟﻲ.
اﻷواﻣر اﻟﻐﯾر ﻣﺑﺎﺷره )(INDIRECT COMMANDS اﻻﺗﺻﺎﻻت اﻟﻣﺑﺎﺷر ﻟدﯾﮭﺎ ﺑﺿﻊ اﻟﺳﻠﺑﯾﺎت ﻟﻠﻣﮭﺎﺟﻣﯾن .ﻷن اﻟﻣﻌﺎﻟﺟﺎت ﺗﻘوم ﺑﺣﻔظ اﻟوﻛﻼء "اﻟﮭوﯾﺔ" ،وﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ،آﻟﺔ اﻟوﻛﻼء ﯾﺟب ﻋﻠﯾﮭﺎ ﺗﺧزﯾن ھوﯾﺔ اﻟﻣﻌﺎﻟﺞ ،ﺑﻣﺟرد اﻟﻘﺑض ﻋﻠﻰ آﻟﺔ واﺣده ﻣن ﻗﺑل اﻟﻣﺣﻘﻘون ﻓﺄﻧﮫ ﯾﻣﻛن اﻟﺗﻌرف ﻋﻠﻰ ﺷﺑﻛﺔ DDoSﺑﺄﻛﻣﻠﮭﺎ .ﻋﻼوة ﻋﻠﻰ ذﻟك، ﻛﺎﻧت أﻧﻣﺎط اﻻﺗﺻﺎﻻت اﻟﻣﺑﺎﺷرة ﺗوﻟد اﻷﺣداث اﻟﺷﺎذة ﻋﻠﻰ ﺷﺎﺷﺎت اﻟﺷﺑﻛﺔ )ﺗﺧﯾل ﻣﻠﻘم وﯾب اﻟذي ﯾﺑدأ ﻓﺟﺄة اﻟﺗواﺻل ﻣﻊ آﻟﺔ اﻷﺟﻧﺑﯾﺔ ﻋﻠﻰ ﻣﻧﻔذ ﻏﺎﻣض( ،واﻟﺗﻲ ﯾﻣﻛن ﻣﻼﺣظﺗﮭﺎ ﺑﺳﮭوﻟﮫ ﻣن ﻗﺑل ﻣﺷﻐﻠﻲ اﻟﺷﺑﻛﺎت .اﻟﺗﺣﻘﯾﻖ ﻋن اﻟرﺳﺎﺋل اﻟﻣﻠﺗﻘطﺔ ،ﯾﻣﻛﻧﮭﺎ ﺗﺣدﯾد ﻋﻧوان اﻟﻧظﯾر اﻷﺟﻧﺑﻲ .واﻟﺗﻲ ﻛﺎﻧت ﻗﺎدرة ﻋﻠﻰ ﻛﺷف ﻋﻣﻠﯾﺎت اﻟوﻛﯾل أو اﻟﻣﻌﺎﻟﺞ ﺣﺗﻰ ﻟو ﻟم ﯾﻛن ھﻧﺎك ﺗﺗدﻓﻖ ﻟﻠرﺳﺎﺋل ،وذﻟك ﻣن ﺧﻼل ﻣراﻗﺑﺔ اﻟﻣﻧﺎﻓذ اﻟﻣﻔﺗوﺣﺔ ﻋﻠﻰ أﺟﮭزة اﻟﻣﺷﻐﻠﯾن .ﻓﻲ اﻻﺗﺻﺎل اﻟﻣﺑﺎﺷر ،ﻛل ﻣن اﻟوﻛﻼء واﻟﻣﻌﺎﻟﺟﺎت ﯾﺟب أن ﯾﻛوﻧﺎ "ﺟﺎھزﯾن" ﻻﺳﺗﻘﺑﺎل اﻟرﺳﺎﺋل ﻓﻲ ﺟﻣﯾﻊ اﻻوﻗﺎت .وﯾﺗﺟﻠﻰ ھذا اﻻﺳﺗﻌداد ﻣن ﻗﺑل ﻋﻣﻠﯾﺔ اﻟﮭﺟوم "ﻓﺗﺢ اﻟﻣﻧﻔذ واﻻﺳﺗﻣﺎع ﻋﻠﻰ ذﻟك .اﻟﻣﺷﻐﻠﯾن ﻛﺎﻧوا ﻗﺎدرﯾن ﻋﻠﻰ اﻛﺗﺷﺎف ھذا ﻣن ﺧﻼل اﻟﻧظر ﻓﻲ ﻗﺎﺋﻣﺔ اﻟﻣﻧﺎﻓذ اﻟﻣﻔﺗوﺣﺔ ﺣﺎﻟﯾﺎ .وﻗد ﺗم اﻟﺗﺣﻘﯾﻖ ﻓﻲ ﻋﻣﻠﯾﺎت اﻻﺳﺗﻣﺎع اﻟﻣﺟﮭوﻟﺔ اﻟﮭوﯾﺔ ﻋﻠﻰ وﺟﮫ اﻟﺳرﻋﺔ .أﺧﯾرا ،اﻟﻣﮭﺎﺟم ﯾﺣﺗﺎج إﻟﻰ ﻛﺗﺎﺑﺔ اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ )اﻻﻛواد( اﻟﺧﺎﺻﺔ ﺑﮫ ﻟﻠﻘﯾﺎدة واﻟﺳﯾطرة. ﻛﺎن اﻟﻌﯾب ﻓﻲ ﺗﺻﻣﯾم اﻟﻣﻌﺎﻟﺞ/اﻟوﻛﯾل اﻷﺻﻠﻲ اﻟذي ﺳﺑب وﺟود ﻗﯾود ﻓﻲ ﺣﺟم ﺷﺑﻛﺎت DDoSھو ﻋدد اﻟﻣﻠﻔﺎت اﻟﻣﻔﺗوﺣﺔ اﻟﻣﻌﺎﻟﺟﺔ واﻟﻣطﻠوﺑﺔ ﻻﺗﺻﺎﻻت TCPﺑﯾن اﻟﻣﻌﺎﻟﺞ واﻟوﻛﻼء .اﻟﻌدﯾد ﻣن إﺻدارات ﯾوﻧﻛس/ﻟﯾﻧﻛس ﻟﮭﺎ ﺣدود ﻓﻲ ﻋدد اﻟﻣﻠﻔﺎت اﻟﻣﻔﺗوﺣﺔ ﻟﻛل ﻋﻣﻠﯾﺔ ،وﻛذﻟك ﺣدود اﻟﻛﯾرﻧل ﻧﻔﺳﮫ .ﺣﺗﻰ ﻟو ﯾﻣﻛن زﯾﺎدة ھذه اﻟﺣدود ،ﻓﺈن ﺑﻌض أدوات DDoSﺑﺑﺳﺎطﺔ ﺗﺗوﻗف ﻋن أن ﺗﻛون ﻗﺎدرة ﻋﻠﻰ إﺿﺎﻓﺔ وﻛﻼء ﺟدد ﺑﻌد أن ﯾﺑﻠﻎ اﻟﺣد اﻟﻣﺳﻣوح. ﻣﻧذ ﻗﯾﺎم اﻟﻌدﯾد ﻣن ﻛﺗﺎب أدوات DDoSﻟﯾﺗم ﺗطوﯾرھﺎ ﻟﺧوض ﻣﻌﺎرك ﻋﻠﻰ ،IRCوﻧظرا ﻷﻧﮭم ﻗﺎﻣوا ﺑﺎﻟﻔﻌل ﻣن ﺑرﻣﺟﺔ اﻟﺑوﺗﺎت ﻷﻏراض أﺧرى ،ﺷرﻋوا ﻓﻲ ﺗﻣدﯾد ﺑرﻣﺟﯾﺔ IRC botsﻟﺗﻧﻔﯾذ ﻣﮭﺎم DDoSواﻟﻔﺣص .ﻛﺎن ﻣﺛﺎﻻ ﻟﮭذا ،Kaiten botﻣﺑرﻣﺞ أﺻﻼ ﻷﻧظﻣﺔ ﯾوﻧﻛس. ﻣﺛﺎل آﺧر ﻟﺑﯾﺋﺔ ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز ھو .Power botﺑدﻻ ﻣن ﺗﺷﻐﯾل ﺑرﻧﺎﻣﺞ ﻣﻧﻔﺻل اﻟذي ﯾﺳﺗﻣﻊ ﻟﻼﺗﺻﺎﻻت اﻟواردة ﻋﻠﻰ ﻣﻧﻔذ ﻣﺣدد ﻣن اﻟﻣﮭﺎﺟﻣﯾن ،ﻓﺈن ﻛﻼ ﻣن وﻛﻼء (The bot) DDoSواﻟﻣﮭﺎﺟم ﯾﻘوﻣون ﺑﺎﻟرﺑط إﻟﻰ أي ﺧﺎدم IRCﻣﺛل أي ﻋﻣﯾل IRCآﺧر .وﺑﻣﺎ أن ﻣﻌظم اﻟﻣواﻗﻊ ﺗﺳﻣﺢ IRCﻛﻘﻧﺎة اﺗﺻﺎﻻت ﻟﻠﻣﺳﺗﺧدﻣﯾن ،ﻓﺎن اﺗﺻﺎﻻت DDoSﻻ ﯾﺧﻠﻖ اﻷﺣداث اﻟﺷﺎذة .ﻟﻌب دور اﻟﻣﻌﺎﻟﺞ ﻋن طرﯾﻖ ﻗﻧﺎة ﺑﺳﯾطﺔ ﻋﻠﻰ ﻣﻠﻘم ،IRCﻏﺎﻟﺑﺎ ﻣﺎ ﯾﻛون ﻣﺣﻣﻲ ﺑﻛﻠﻣﺔ اﻟﻣرور .ﻋﺎدة ﻣﺎ ﯾﻛون ھﻧﺎك ﻗﻧﺎة اﻓﺗراﺿﯾﮫ ﺛﺎﺑﺗﮫ ﻓﻲ ﺑوت ،ﺣﯾث ﺗرﺗﺑط ﻓﻲ اﻟﺑداﯾﺔ ﻟﺗﻌﻠم ﺑﻣﻛﺎن
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1048 ﻗﻧﺎة اﻟﺗﺣﻛم اﻟﺣﺎﻟﯾﺔ .ﺛم ﯾﻘﻔز ﺑوت إﻟﻰ ﻗﻧﺎة اﻟﺗﺣﻛم .ﻗﻧﺎة اﻟﺗﻧﻘل ،ﺣﺗﻰ ﻋﺑر ﺷﺑﻛﺎت ،IRCﯾﻣﻛن ﺗﻧﻔﯾذھﺎ ﺑﮭذه اﻟطرﯾﻘﺔ .ﺑﻣﺟرد وﺟود ﺑوت ﻓﻲ ﻗﻧﺎة اﻟرﻗﺎﺑﺔ اﻟﺣﺎﻟﯾﺔ ،ﻓﺈﻧﮭﺎ ﺗﻛون ﻋﻠﻰ اﺳﺗﻌداد ﻟﻠرد ﻋﻠﻰ أواﻣر اﻟﻣﮭﺎﺟم ﻟﻠﻔﺣص ،ھﺟوم ،DDoSﺗﺣدﯾث ﻧﻔﺳﮭﺎ ،إﯾﻘﺎف اﻟﺗﺷﻐﯾل ،اﻟﺦ ھﻧﺎك ﻣﯾزة ﻟﻠﻣﮭﺎﺟﻣﯾن ﻋﻧد اﻟﺗواﺻل ﻋﺑر IRCﻣﺗﻌددة اﻟﺟواﻧب .اﻟﺧﺎدم ھو ﺑﺎﻟﻔﻌل ھﻧﺎك ،وﯾﺗم ﺻﯾﺎﻧﺗﮭﺎ ﻣن ﻗﺑل اﻵﺧرﯾن .اﻟﻘﻧﺎة ﻻ ﯾﻣﻛن اﻛﺗﺷﺎﻓﮭﺎ ﺑﺳﮭوﻟﮫ داﺧل اﻵﻻف ﻣن اﻟﻘﻧوات اﻟدردﺷﺔ اﻷﺧرى )ﻋﻠﻰ اﻟرﻏم ﻣن أﻧﮫ ﻗد ﯾﻛون ﻏﯾر ﻋﺎدي ﻟﻘﻧﺎة ﻛﺎﻣﻠﺔ ﻣن اﻟﺑﺷر اﻟﺣﻘﯾﻘﻲ أن ﺗﻣﺗﻠﺊ ﻓﺟﺄة ﺒ " 10،000ﻣن اﻟﻧﺎس" ﻓﻲ ﺑﺿﻊ دﻗﺎﺋﻖ( .ﺣﺗﻰ ﻋﻧد اﻛﺗﺷﻔﮭﺎ ،ﻻ ﯾﻣﻛن إزاﻟﺔ اﻟﻘﻧﺎة إﻻ ﻣن ﺧﻼل اﻟﺗﻌﺎون ﺑﯾن إدارﯾﯾن اﻟﺧﺎدم .وﻗد ﯾﻛون ھذا اﻟﺗﻌﺎون ﻣن اﻟﺻﻌب اﻟﺣﺻول ﻋﻠﯾﮭﺎ ﻓﻲ ﺣﺎﻟﺔ اﻟﺧوادم اﻷﺟﻧﺑﯾﺔ .ﻧظرا ﻟطﺑﯾﻌﺔ ﺗوزﯾﻊ ،IRCوﻟﯾس ﺟﻣﯾﻊ اﻟﻌﻣﻼء ﻟدﯾﮭﺎ اﻟوﺻول إﻟﻰ ﻧﻔس ﺧﺎدم IRCﻟﻠوﺻول إﻟﻰ "ﻣﻌﺎﻟﺞ اﻟﻘﻧﺎة" ،وﻟﻛن أن ﯾﻛون ﻣﺟرد اﻟوﺻول إﻟﻰ ﺧﺎدم IRCداﺧل اﻟﺷﺑﻛﺔ ﻧﻔﺳﮭﺎ أو ﺗﺣﺎﻟف .ﻣﻌظم اﻷدوات اﻟﺗﻲ ظﮭرت ﺑﻌد Trinityﻗﺎﻣت ﺑﺎﻻﺳﺗﻔﺎدة ﻣن آﻟﯾﺔ اﻻﺗﺻﺎل ھذه. ﻛوﺳﯾﻠﺔ ﻟﺗﺻﻠﯾب اﻻﺗﺻﺎﻻت اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ ،IRCﻓﺎن اﻟﻣﮭﺎﺟﻣﯾن ﯾﻘوﻣون ﺑﺎﻧﺗظﺎم ﺑﺧرق اﻟﻣﺿﯾﻔﯾن وﺗﺣوﯾﻠﮭﺎ إﻟﻰ ﺧوادم IRCاﻟﻣﺎرﻗﺔ ) ،(rogue IRC serversوﻏﺎﻟﺑﺎ ﺑﺎﺳﺗﺧدام اﻟﻣﻧﺎﻓذ اﻟﻐﯾر ﻗﯾﺎﺳﯾﮫ )ﺑدﻻ ﻣن اﻷﺳﺎﺳﯾﺔ tcp/6667واﻟﺗﻲ ﺗﺳﺗﺧدم ﻟﺗﻧظﯾم ﺧوادم IRC اﻟﻌﺎدﯾﺔ( .آﻟﯾﺔ أﺧرى ،وھو ﺟﻌل اﻟﺗﻔﺎﻓﮫ ﺑواﺳطﺔ ،Phatbotوھو ﻟﺗﺣوﯾل ﺑﻌض ﻣن اﻟﺑوت إﻟﻰ ﺑروﻛﺳﻲ TCPﻋﻠﻰ ﻣﻧﺎﻓذ ﻏﯾر ﻗﯾﺎﺳﯾﮫ، واﻟذي ﺑدوره ﯾﻘوم ﺑﺎﻻﺗﺻﺎل ﺑﺧوادم IRCﺣﻘﯾﻘﯾﺔ ﻋﻠﻰ اﻟﻣﻧﺎﻓذ اﻟﻘﯾﺎﺳﯾﺔ .وﻓﻲ ﻛﻠﺗﺎ اﻟﺣﺎﻟﺗﯾن ،ﺷﻛل آﺧر ﻣن stepping stoneﻓﻲ ﻗﻧﺎة اﻟﻘﯾﺎدة واﻟﺳﯾطرة ﯾﮭزم ﺑﺳﮭوﻟﺔ اﻟﻌدﯾد ﻣن اﻟﻣﺳﺗﺟﯾﺑﯾن اﻟذﯾن ﯾﺣﺎوﻟون ﺗﺣدﯾد وﺗﻌطﯾل اﻟﺑوت. ﯾوﺿﺢ اﻟﺷﻛل اﻟﺗﺎﻟﻰ اﺗﺻﺎﻻت اﻟﻣﮭﺎﺟم ﻣﻊ اﻟوﻛﻼء ﻋﺑر .IRC
ﺗﺣدﯾث اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ )(MALWARE UPDATE ﻣﺛل أي ﺷﻲء آﺧر ،اﻟﻣﮭﺎﺟﻣﯾن ھم اﻻﺧرﯾن ﯾﺣﺗﺎﺟون اﻟﻰ ﺗﺣدﯾث اﻛواد أدواﺗﮭم .ﻣﮭﺎﺟﻣﻲ DDoSﺧﺎﺻﺔ ﯾرﯾدون ﻓﻲ اﻷﺳﺎس ﺗﺣدﯾث آﻟﯾﺔ ﺑراﻣﺟﮭم ﻣﻣﺎﺛﻠﮫ إﻟﻰ وظﯾﻔﺔ ﺗﺣدﯾث اﻟﺑرﻧﺎﻣﺞ اﻟﻣﺗﺎﺣﺔ ﻓﻲ اﻟﻌدﯾد ﻣن أﻧظﻣﺔ اﻟﺗﺷﻐﯾل اﻟﺷﺎﺋﻌﺔ ،وﻟﻛن ﻣن دون ﺗﺣﻛم اﻟﻣﺎﻟك اﻟﻔﻌﻠﻲ ﻓﻲ أﻟﯾﺔ ﻋﻣﻠﯾﺔ اﻟﺗﺣدﯾث ،ﺑطﺑﯾﻌﺔ اﻟﺣﺎل .ﺑﺎﺳﺗﺧدام ﻧﻔس اﻵﻟﯾﺔ ﻷداء اﻟﺗﺣدﯾﺛﺎت ﻛﻣﺎ ﻛﺎﻧت ﺗﺳﺗﺧدم اﻟﯾﺔ اﻟﺗوظﯾف اﻷوﻟﻰ -ﻓﺣص اﻵﻻت ﻣﻊ اﻛواد اﻟﮭﺟوم وزرع اﻛواد ﺟدﯾده وھذه اﻟﻌﻣﻠﯾﺔ ﺻﺎﺧﺑﺔ وﻟﯾﺳت داﺋﻣﺎ ﻓﻌﺎﻟﺔ ،ﻷن ﺑﻌض أدوات اﻟﮭﺟوم ﺗﻘوم ﺑﺗﺻﺣﯾﺢ ﻧﻘﺎط اﻟﺿﻌف اﻟﺗﻲ ﯾﺳﺗﺧدﻣﮭﺎ ﻟﻠﺣﺻول ﻋﻠﻰ ﻣدﺧل ﻟﻠﺗﺄﻛد ﻣن أﻻ أﺣد آﺧر ﯾﻣﻛﻧﮫ اﻟﺳﯾطرة ﻋﻠﻰ ﻋﻣﻼﺋﮫ .اﻟﻣﮭﺎﺟم ﻻ ﯾﻣﻛﻧﮫ اﻻﺧﺗراق ﺑﻧﻔس اﻟطرﯾﻘﺔ ﻛﻣﺎ ﻛﺎن ﻣن ﻗﺑل .اﻟﻌدﯾد ﻣن اﻷدوات واﻟﺑوﺗﺎت اﻟﻣوﺟودة ﺗﻘوم ﺑﺗوزﯾﻊ اﻟﺗﺣدﯾﺛﺎت ﻋن طرﯾﻖ إرﺳﺎل اﻷواﻣر ﻟوﻛﻼﺋﮭم أن ﯾﻘول ﻛل وﻛﯾل ﺑﺗﺣﻣﯾل اﻹﺻدار اﻷﺣدث ﻣن اﻻﻛواد ﻣن اﻟﻣﺻدر ،ﻣﺛل ﺧﺎدم اﻟوﯾب. ﻣﻊ زﯾﺎدة اﺳﺗﺧدام ﺷﺑﻛﺎت اﻟﻧد ﻟﻠﻧد ) ،(peer-to-peerاﻟﻣﮭﺎﺟﻣﯾن ﯾﺑﺣﺛون ﺑﺎﻟﻔﻌل ﻓﻲ اﺳﺗﺧدام آﻟﯾﺎت اﻟﻧد ﻟﻠﻧد ﻟﻠﻧﺷﺎط اﻟﺿﺎر .دودة ﻟﯾﻧﻛس ،Slapperﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﺗﺳﺗﺧدم آﻟﯾﺔ اﻟﻧد ﻟﻠﻧد ﺣﯾث أﻧﮫ ﯾﻣﻛﻧﮭﺎ اﻟﺗﻌﺎﻣل ﻣﻊ اﻟﻣﻼﯾﯾن ﻣن أﻗراﻧﮫ .وﻓﻲ اﻵوﻧﺔ اﻷﺧﯾرة ،اﻋﺗﻣدت Phatbot ﻋﻠﻰ اﺗﺻﺎﻻت اﻟﻧد ﻟﻠﻧد ﺑﺎﺳﺗﺧدام ﺑروﺗوﻛول "اﻟﻧﻔﺎﯾﺎت ) ،"(WASTEاﻟرﺑط ﺑﺄﻗراﻧﮫ اﻵﺧرﯾن ﺑﺎﺳﺗﺧدام ﺧوادم اﻟﺗﺧزﯾن اﻟﻣؤﻗت ﻧوﺗﻼ ) (Gnutella caching serversﻟﺗظﮭر ﻟﯾﻛون ﻋﻣﯾل ﻟﻧوﺗﻼ .ﺑﺎﺳﺗﺧدام ھذه اﻵﻟﯾﺔ ،ﯾﻣﻛن اﻟﻣﮭﺎﺟﻣﯾن ﺗﻧظﯾم ﻋﻣﻼﺋﮭم ﻓﻲ ﺷﺑﻛﺎت اﻟﻧد ﻟﻠﻧد ﻟﻧﺷر إﺻدارات ﺟدﯾدة ﻣن اﻻﻛواد أو ﺣﺗﻰ ﻟﻠﺳﯾطرة ﻋﻠﻰ اﻟﮭﺟوم .ﻣﺗﺎﻧﺔ وﻣوﺛوﻗﯾﺔ اﺗﺻﺎﻻت اﻟﻧد ﻟﻠﻧد ﯾﻣﻛن أن ﺗﺟﻌل ﻣﺛل ﺷﺑﻛﺎت DDoSھذه أﻛﺛر ﺗﮭدﯾدا وأﺻﻌب ﻓﻲ اﻟﺗﻔﻛﯾك ﻣﻣﺎ ھو ﻋﻠﯾﮫ اﻟﯾوم. ﺳﯾﻧﺎرﯾو اﻟوﻛﻼء اﻟﻐﯾر ﻣﻘﺻودﯾن )(UNWITTING AGENT SCENARIO ھﻧﺎك أﯾﺿﺎ ﻓﺋﺔ ﻣن ھﺟﻣﺎت DDoSاﻟﺗﻲ ﺗﺷرك أﺟﮭزة ﻛﻣﺑﯾوﺗر ﻣﻊ ﻧﻘﺎط اﻟﺿﻌف واﻟﺗﻲ ﻻ ﺗﺗطﻠب ﺑﺎﻟﺿرورة ﺗﺛﺑﯾت أي ﻣن اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻋﻠﻰ اﻟﺟﮭﺎز ،وﻟﻛن ﺑدﻻ ﻣن ذﻟك اﻻﺳﺗﻐﻼل ) ،(Exploitﯾﺳﻣﺢ ﻟﻠﻣﮭﺎﺟم ﺑﺎﻟﺗﺣﻛم ﻓﻲ ھؤﻻء اﻟﻣﺿﯾﻔﯾن ﻟﺟﻌﻠﮭﺎ ﺗوﻟد ھﺟوم ﺣرﻛﺔ اﻟﻣرور. اﻟﻣﮭﺎﺟم ﯾﻘوم ﺑﺗﺟﻣﯾﻊ ﻗﺎﺋﻣﺔ ﻣن اﻷﻧظﻣﺔ اﻟﺿﻌﯾﻔﺔ و ،ﻓﻲ وﻗت اﻟﮭﺟوم ،اﻟوﻛﻼء ﻟدﯾﮫ ﻣن ﺧﻼل ھذه اﻟﻘﺎﺋﻣﺔ ﺗﻘوم ﺑﺈرﺳﺎل اﻷواﻣر اﻻﺳﺗﻐﻼل ﻟﺑدء د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1049 ﺗدﻓﻖ ﺣرﻛﺔ اﻟﻣرور .ﺣرﻛﺔ اﻟﻣرور اﻟﺗﻲ وﻟدت ھذه ﺗﺑدو ﻣﺷروﻋﺔ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم إﺳﺎءة ھدﯾﺔ اﻟﺿﻌف ﻓﻲ ﻣﻠﻘم وﯾب ﻟﯾؤدي إﻟﻰ ﺗﺷﻐﯾل اﻟﺑرﻧﺎﻣﺞ اﻟﻣﺳﺎﻋدة .Ping.exeوﻗد أطﻠﻖ ﺑﻌض اﻟﺑﺎﺣﺛﯾن ﻋﻠﻰ ھذه وﻛﻼء ﻏﯾر ﻣﻘﺻودﯾن ).(Unwitting Agent اﻟﺗﻣﯾﯾز ﺑﯾن "اﻟوﻛﯾل ﻋن ﻏﯾر ﻗﺻد" وﻏﯾرھﺎ ﻣن ﺳﯾﻧﺎرﯾوھﺎت ھﺟوم DDoSھﻲ ﺧﻔﯾﺔ .ﺑدﻻ ﻣن اﻟﺗﻌرض ﻟﻠﺗﻧﻔﯾذ ﻣن ﺑﻌد ﺗﺳﺗﺧدم ﻟﺗﺛﺑﯾت ﺑراﻣﺞ ﺿﺎرة ،وﯾﺳﺗﺧدم ﻧﻘﺎط اﻟﺿﻌف ﻟﺗﻧﻔﯾذ اﻟﺑراﻣﺞ اﻟﺷرﻋﯾﺔ ﺑﺎﻟﻔﻌل ﻋﻠﻰ اﻟﻧظﺎم .وﺻﻔﺎ أﻛﺛر اﻛﺗﻣﺎﻻ ﯾﻣﻛن اﻻطﻼع ﻋﻠﯾﮫ ﻣن ﺧﻼل ﺣدﯾث دﯾﻔﯾد دﯾﺗرﯾﺗش )اﻧظر (http://staff.washington.edu/dittrich/talks/first ﻋﻠﻰ اﻟرﻏم ﻣن أن اﻟﮭﺟﻣﺎت اﻟﻧﺎﺗﺟﺔ ﻋن اﻟﻌواﻣل اﻟﻐﯾر ﻣﻘﺻودة ،ﻣﺛل ﺿﻌف ﻣﻠﻘم وﯾب اﻟذي اﺳﺗﺧدم ﻟﺗﺷﻐﯾل ،Ping.exeوھﻲ ﺗﺗﺷﺎﺑﮫ ﻓﻲ ﺑﻌض اﻟﻧواﺣﻲ ﻣن ھﺟﻣﺎت اﻻﻧﻌﻛﺎس ،وﻟﻛﻧﮭﺎ ﻟﯾﺳت ﻣﺗطﺎﺑﻘﺔ .ﻓﻲ ﻣﻌظم ھﺟﻣﺎت اﻻﻧﻌﻛﺎس ،اﻟﻣﮭﺎﺟم ﯾﺳﻲء ﺧدﻣﺔ ﻣﺷروﻋﺔ ﺗﻣﺎﻣﺎ ،وﻣن ﺛم ﺗوﻟﯾد طﻠﺑﺎت ﻣﺷروﻋﺔ ﻣﻊ ﻋﻧوان ﻣﺻدر وھﻣﻲ .ﻓﻲ ھﺟﻣﺎت اﻟوﻛﯾل اﻟﻐﯾر ﻣﻘﺻود ،اﻟﺧدﻣﺔ اﻟﺗﻲ ﯾﺳﺎء اﺳﺗﺧداﻣﮭﺎ ﻣن ﺧﻼل اﺳﺗﻐﻼل اﻟﺿﻌف واﻟﺗﻲ ﺗﻣﻛن اﻟﻣﮭﺎﺟم ﻣن ﺑدء ھﺟوم ﺣرﻛﺔ اﻟﻣرور .اﻟﺗﺻﺣﯾﺣﺎت ) (Patchesﻟﮭذا اﻟﺿﻌف ﺗﻘوم ﺑﺗﺣﺻﯾن اﻟوﻛﻼء اﻟﻐﯾر ﻣﻘﺻودﯾن ﻣن ﺳوء اﻻﺳﺗﺧدام ،ﻓﻲ ﺣﯾن أن اﻟدﻓﺎع ﺿد ھﺟﻣﺎت اﻻﻧﻌﻛﺎس أﻛﺛر ﺗﻌﻘﯾدا وﺻﻌوﺑﺔ. ﻻ ﯾﻣﻛن ﺗﺣدﯾد اﻟوﻛﻼء اﻟﻐﯾر ﻣﻘﺻودﯾن ﺑواﺳطﺔ أدوات ﻓﺣص اﻟﻣﻧﺎﻓذ ﻋن ﺑﻌد") " remote port-scanning toolsﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل، RIDأو ،(Zombie Zapperوﻻ ﯾﻣﻛن اﻟﻌﺛور ﻋﻠﯾﮭﺎ ﻋن طرﯾﻖ ﺗﺷﻐﯾل ﻓﺎﺣﺻﺎت ﻧظﺎم اﻟﻣﻠﻔﺎت ﻣﺛل NIPC’s find_ddosأو ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت .ھذا ھو ﺳﺑب ﻋدم وﺟود ﺑراﻣﺞ ﺿﺎرة أو ﻣﻧﺎﻓذ ﻣﻔﺗوﺣﺔ ﻏﺎﻣﺿﺔ ،ﻣﺟرد اﻟﺗﻌرض ﻟﻼﺳﺗﻐﻼل ﻋن ﺑﻌد .ﻓﺎﻧﮫ ﯾﻣﻛن ﺗﺣدﯾد اﻷﺟﮭزة اﻟﺿﻌﯾﻔﺔ ﺑواﺳطﺔ ﺷﺑﻛﺔ رﺻد ﺣرﻛﺔ اﻟﻣرور ،واﻟﺑﺣث ﻋن ﺣرﻛﺔ اﻟﻣرور ھﺟوم .DDoSﻛﻣﺎ ﯾﻣﻛن اﻛﺗﺷﺎﻓﮭﺎ ﻋن طرﯾﻖ اﻟﻘﯾﺎم ﺑﻔﺣص ﻧﻘﺎط اﻟﺿﻌف اﻟﻧﻣوذﺟﯾﺔ ﻣﻊ ﺑراﻣﺞ ﻣﺛل .Nessus ﻣﺛﺎل ﻟﮭﺟوم اﻟوﻛﯾل ﻋن ﻏﯾر ﻗﺻد ھو ICMP Echo Request (ping) floodﻋﻠﻰ www.whitehouse.govﯾوم 4ﻣﺎﯾو ،ﻋﺎم .2001ھذا اﻟﮭﺟوم اﺳﺎء اﺳﺗﺧدام ﻧﻘطﺔ اﻟﺿﻌف ﻓﻲ ﻣﻠﻘم Microsoft IISﻟﺗﺣرﯾك ﺗطﺑﯾﻖ Pingﻋﻠﻰ اﻟوﻛﻼء ﻣن ﻏﯾر ﻗﺻد وﺑدء اﻟﻔﯾﺿﺎﻧﺎت .أﻓﯾد ﺑﺄن اﻟﻣﺋﺎت ﻣن اﻟﻧظم ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم ﻗد ﺗم إﻏراﻗﮭﺎ .وﻗد ﺗم اﻟﺗﻌرف ﻋﻠﻰ أﻧظﻣﺔ ﺗﻛون ﻗﯾد اﻟﺗﺷﻐﯾل Windows 2000 و ،NTﺣﯾث وﺟد ﺑﻌض إدارﯾﯾن أن Ping.exeﺗﻌﻣل ﻋﻠﻰ أﻧظﻣﺗﮭﺎ ،وﺗﺳﺗﮭدف ﻋﻧوان IPﻠ .www.whitehouse.govوﺣﯾث ان ping ھو ﺗطﺑﯾﻖ ﺷرﻋﻲ ،ﻓﺎن ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﻻ ﯾﻣﻛﻧﮭﺎ أن ﺗﺳﺎﻋدك ﻓﻲ اﻟﻛﺷف ﻋن أو ﺗﻌطﯾل ھذا اﻟﮭﺟوم .رﺳﺎﻟﺔ إﻟﻰ اﻟﻘﺎﺋﻣﺔ اﻟﺑرﯾدﯾﺔ UNISOGﺗظﮭر ﻓﻲ اﻟﺷرﯾط اﻟﺟﺎﻧﺑﻲ ﺗوﻓر ﺑﻌض اﻟﻣﻌﻠوﻣﺎت اﻟﻔﻧﯾﺔ ﻋن اﻟﮭﺟوم. Power botﯾﺳﺗﺧدم آﻟﯾﺔ ﻣﻣﺎﺛﻠﺔ ﻟﻠﻘﯾﺎم ﺑﺑﻌض اﻟﻔﯾﺿﺎﻧﺎت ﻓﯾﮭﺎ .ان اﻟﺑوﺗﺎت ﺗﺳﺗﺧدم ﺗﻘﻧﯾﺎت اﻟﻔﺣص ﻟﺗﺣدﯾد اﻟوﻛﻼء ﻋن ﻏﯾر ﻗﺻد .ﻋﻧدﻣﺎ ﯾﺑدأ اﻟﮭﺟوم ﻓﺎن botﺳوف ﯾﻘوم ﺑﺈرﺳﺎل اﻛواد اﻻﺳﺗﻐﻼل إﻟﻰ ﻧﻘﺎط ﺿﻌف ﻣﻠﻘم اﻟوﯾب اﻟوﻛﯾل ﻟﺑدء اﻟﻔﯾﺿﺎﻧﺎت. ﻣرﺣﻠﺔ اﻟﮭﺟوم )(ATTACK PHASE ﺗﺣدث ﻣﻌظم اﻟﮭﺟﻣﺎت ﻋﻧدﻣﺎ ﯾﻧﺷر أﺣد اﻟﻣﮭﺎﺟﻣﯾن أﻣرا ً ﻣن اﻟﻣﻌﺎﻟﺟﺎت إﻟﻰ اﻟوﻛﻼء .ﺧﻼل اﻟﮭﺟوم ،اﻟﺗﺣﻛم ﻓﻲ ﺣرﻛﺔ اﻟﻣرور ﯾﺗراﺟﻊ ﻓﻲ اﻟﻐﺎﻟب .اﻋﺗﻣﺎدا ﻋﻠﻰ ﻧوع اﻷداة اﻟﻣﺳﺗﺧدﻣﺔ ﻓﻲ اﻟﮭﺟوم ،ﻓﺎن اﻟﻣﮭﺎﺟم ﻗد أو ﻗد ﻻ ﯾﻛون ﻗﺎدرا ﻋﻠﻰ وﻗف اﻟﮭﺟوم اﻟﻣﺳﺗﻣر .ﯾﺗم ﺗﺣدﯾد ﻣدة اﻟﮭﺟوم إﻣﺎ ﻓﻲ أﻣر اﻟﻣﮭﺎﺟم أو اﻟﺳﯾطرة ﻋﻠﻰ اﻋداد اﻟﻣﺗﻐﯾر اﻻﻓﺗراﺿﯾﺔ )ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل 10 ،دﻗﯾﻘﺔ ﻣن اﻟﻔﯾﺿﺎﻧﺎت( .ﯾﻣﻛن أن ﯾﻛون ﺟﯾدا أن اﻟﻣﮭﺎﺟم ﯾﻧﺗﻘل ﻣﻊ اﻟوﻗت اﻟﺗﻲ ﻗد ﺑدأ اﻟﻔﯾﺿﺎﻧﺎت .وﻣﻊ ذﻟك ،ﻓﻣن اﻟﻣرﺟﺢ أن اﻟﻣﮭﺎﺟم ﯾراﻗب اﻟﮭﺟوم اﻟﻣﺳﺗﻣر ،وﯾﺑﺣث ﻋن آﺛﺎره ﻋﻠﻰ أھداﻓﮫ. ﺑﻌض اﻷدوات ،ﻣﺛل ،Shaftﻟدﯾﮭﺎ اﻟﻘدرة ﻋﻠﻰ ﺗﻘدﯾم اﻟﺗﻐذﯾﺔ اﻟراﺟﻌﺔ ﻋﻠﻰ إﺣﺻﺎءات اﻟﻔﯾﺿﺎﻧﺎت .وﯾﺑﯾن اﻟﺷﻛل اﻻول اﻟﺗﺳوﯾﺔ واﺧﺗﺑﺎر اﻷﺷواط اﻷوﻟﻰ ﻣن أداة .Shaftاﻟﻣﮭﺎﺟم ﯾﺧﺗﺑر ﻋدة أﻧواع ﻣن اﻟﮭﺟوم ،ﻣﺛل ﻓﯾﺿﺎﻧﺎت ،SYN TCP ،ICMPو ،UDPواﻟﺗﻲ ﺳوف ﻧﻧﺎﻗﺷﮭﺎ ﻓﻲ ﻻﺣﻘﺎ ،ﻗﺑل اﻟﮭﺟوم اﻟﺣﻘﯾﻘﻲ اﻟﻣﺗﻛﺎﻣل ﯾﮭدف إﻟﻰ أھداف ﻣﺗﻌددة ﻛﻣﺎ ھو ﻣﺑﯾن ﻓﻲ اﻟﺷﻛل اﻟﺛﺎﻧﻲ.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1050 UNISOG E-mail Message Date: Fri, 04 May 2001 14:26:29 -0700 From: Computer Security Officer
To: [email protected] Subject: [unisog] DDoS against www.whitehouse.gov The attack exploited vulnerable IIS5 servers on Win2K and WinNT systems. Immediately prior to the attack, we see an incoming port 80 connection from IP address 202.102.14.137 (CHINANET Jiangsu province network) to each of the systems that subsequently began pinging 198.137.240.92. The argus log looks in part like this.
Fri 05/04 05:18:21 tcp 202.102.14.137.41406 <-> 128.12.177.11 .80 EST Fri 05/04 05:18:21 tcp 202.102.14.137.41495 <-> 128.12.157.89 .80 EST Fri 05/04 05:18:22 F icmp 128.12.157.89 -> 198.137.240.92 ECO Fri 05/04 05:18:22 F icmp 128.12.177.11 -> 198.137.240.92 ECO Each of the systems reviewed so far had two ping processes running. One of the hosts had the following in its IIS log file. 12:21:36 202.102.14.137 GET /scripts/../../winnt/system32/ping .exe 200 12:29:29 202.102.14.137 GET /scripts/../../winnt/system32/ping .exe 200 While I am surprised that such a simple exploit could work, it looks like it may be exactly what happened. The attack was targeted at less than 2% of the total residence network population so it was probably mapped out earlier. ZDNet has a story running that indicated that we were not the only one used in this way. We are issuing an alert to our dorm network users to update their systems with the relevant security patches. We've been working so hard at cleaning up the Linux boxes that we've tended to ignore the Windows boxes. Not any more. Stephen Excerpt from "Power Bot" Analysis The HTTP GET request exploiting the Web server vulnerability (as seen by the ngrep utility from http://www.packetfactory.net/Projects/Ngrep/) and the corresponding flood traffic generated by the request: T 2001/06/08 02:20:09.406262 10.0.90.35:2585 -> 192.168.64.225:80 [AP] GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+ping .exe+"-v"+igmp+" -t"+"-l"+30000+10.2.88.84+"-n"+9999+"-w"+10.. https://www.facebook.com/tibea2004
ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ.د
1051 I 2001/06/08 02:20:09.430676 192.168.64.225 -> 10.2.88.84 8:0 7303@0:1480 ...c... .abcdefghijklmnopqrstuvwabcdefghijklmnopqrstuvwabcdefghijklmnop Qrstuvwabcdefghijklmnopqrstuvwabcdefghijklmnopqrstuvwabcdefghijklmnopq Rstuvwabcdefghijklmnopqrstuvwabcdefghijklmnopqrstuvwabcdefghijklmnopqr Stuvwabcdefghijklmnopqrstuvwabcdefghijklmnopqrstuvwabcdefghijklmnopqrs Tuvwabcdefghijklmnopqrstuvwabcdefghijklmnopqrstuvwabcdefghijklmnopqrst Uvwabcdefghijklmnopqrstuvwabcdefghijklmnopqrstuvwabcdefghijklmnopqrstu Vwabcdefghijklmnopqrstuvwabcdefghijklmnopqrstuvwabcdefghijklmnopqrstuv Wabcdefghijklmnopqrstuvwabcdefghijklmnopqrstuvwabcdefghijklmnopqrstuvw Abcdefghijklmnopqrstuvwabcdefghijklmnopqrstuvwabcdefghijklmnopqrstuvwa Bcdefghijklmnopqrstuvwabcdefghijklmnopqrstuvwabcdefghijklmnopqrstuvwab .......... The exploit is contained in the embedded Unicode characters %c1%9c, which trick the server into performing a directory traversal and executing a command shell /winnt/system32/cmd.exe. ، ﻓﻲ ھﺟوم اﻟﻔﯾﺿﺎﻧﺎت. وھذا ﯾﺗوﻗف ﻋﻠﻰ ﻧوع اﻟﮭﺟوم، ﻓﺎن ﻣﺳﺗوﯾﺎت ﻧﺷﺎط اﻟﺷﺑﻛﺔ ﯾﻣﻛن أن ﺗﻛون ﻓوق اﻟﻣﻌدل اﻟطﺑﯾﻌﻲ،ﺧﻼل ﻣرﺣﻠﺔ اﻟﮭﺟوم . وﯾﺗﺿﺢ ھذا ﻓﻲ اﻟﺷﻛل اﻟﺗﺎﻟﻰ. اﻟﮭدف، وھذا ﯾﻌﻧﻲ،ﯾرى ﻏﺎﻟﺑﯾﺔ ذﻟك ﻋﻧد ﻧﻘطﺔ اﻟﺗﺟﻣﯾﻊ
https://www.facebook.com/tibea2004
ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ.د
1052 وﻓﻲ ﻣﺛﺎل آﺧر ،ﯾﻣﻛﻧك ﻣراﻗﺑﺔ ﻣﺳﺗوﯾﺎت ﻏﯾر ﻋﺎدﯾﺔ ﻣن ﺣرﻛﺔ اﻟﻣرور ﻛﻣﺎ ﻓﻲ اﻟﺷﻛل اﻟﺗﺎﻟﻰ ،ﻛﻣﺎ ﯾرى ﻣن ﻣﻧظور اﻟﺿﺣﯾﺔ .اﻟﺗﻘﻠﺑﺎت اﻟﺳرﯾﻌﺔ 12:00ﺣﺗﻰ 18:00ﺗﻣﺛل ھﺟوﻣﺎ واﺳﻊ اﻟﻧطﺎق ،ﻓﻲ ﺣﯾن أن اﻟﻔﯾﺿﺎﻧﺎت ﺑﯾن اﻟﺣد 0:00ﺣﺗﻰ 12:00ﯾﻌﻛس اﻟﮭﺟوم اﻟﻣﺗﻛرر ،ﻓﻘط ھذه اﻟﻣرة اﻟﺗﺧﻔﯾف ﻣن آﻟﯾﺔ اﻟدﻓﺎع .اﻟﺗﻘﻠﺑﺎت اﻟﻣذﻛورة أﻋﻼه ﻟﯾﺳت ﺑﺳﺑب اﻻﺧﺗﻼﻓﺎت ﻓﻲ اﻟﮭﺟوم ،وﻟﻛن ﻓﻘط ﻧﺎﺗﺞ ﻣن أﺟﮭزة اﻟﻘﯾﺎس اﻟﺗﻲ ﺗﻧﮭﺎر ﺗﺣت ھذا اﻟﻌبء .اﻟﺷﻛل اﻟﺗﺎﻟﻰ ﯾوﺿﺢ ھﺟوم واﺳﻊ اﻟﻧطﺎق ﻛﻣﺎ ﯾراھﺎ اﻟﺿﺣﯾﺔ .ﻣﺗوﺳط ﺑت دﻻﻟﺔ ﻋﻠﻰ ﺣرﻛﺔ اﻟﻣرور اﻟﺗﻲ ﺗﻠﻘﺗﮭﺎ اﻟﺿﺣﯾﺔ. ﻣن ﻣﻧظور ﻣﺧﺗﻠف ،ﻧﻔس اﻟﮭﺟوم ﯾﻧظر اﻟﯾﮫ ﻣن ﺧﻼل ﻣوﻓر اﻟﻣﻧﺑﻊ ﺑﺿﻊ اﻟﻘﻔزات ﻓﻲ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﻛﻣﺎ ﻓﻲ اﻟﺷﻛل اﻟﺗﺎﻟﻰ واﻟذي ﯾظﮭر ﺑﺎﻟﻛﺎد ﺗﺄﺛﯾر ﻣﺳﺗوﯾﺎت ﺣرﻛﺔ اﻟﻣرور) .اﻟﻣرﺑﻊ اﻟﻣوﺟود ﻋﻠﻰ اﻟﺟﺎﻧب اﻷﯾﻣن ﻣن اﻟﺷﻛل اﻟﺗﺎﻟﻰ ﯾﺷﯾر اﻟﻰ اﻹطﺎر اﻟزﻣﻧﻲ ﻟﻠﮭﺟوم ھو ﻣﺑﯾن ﻓﻲ اﻟﺷﻛل(. ﻣن اﻟﻣﮭم أن ﻧدرك أن ﻣﺎ ﯾﺻﯾب اﻟﮭدف أو اﻟﺿﺣﯾﺔ ﯾﻣﻛن أن ﯾﻛون ﻟﮭﺎ ﺗﺄﺛﯾر ﯾذﻛر ﻋﻠﻰ ﻣوﻓر اﻟﻣﻧﺑﻊ ،وﺑﺎﻟﺗﺎﻟﻲ ﻋدم ﺧﻠﻖ أي ﻣﻼﺣظﺎت اﻟﺷﺎذة.
DoS Attacks Techniques ھﻧﺎك ﻋدة طرق ﻣﻣﺎ ﺗﺳﺑب ھﺟوم رﻓض اﻟﺧدﻣﺔ .ﺧﻠﻖ ﺗﺄﺛﯾر ﺣﺟب اﻟﺧدﻣﺔ ھو ﻛل ﺷﻲء ﻋن ﻛﺳر اﻷﺷﯾﺎء أو ﺟﻌﻠﮭﺎ ﺗﻔﺷل .ھﻧﺎك طرق ﻛﺛﯾرة ﻟﺟﻌل اﻟﺷﻲء ﯾﻔﺷل ،وﻏﺎﻟﺑﺎ اﻟﻌدﯾد ﻣن ﻧﻘﺎط اﻟﺿﻌف ﺳﯾﻛون ﻣوﺟودا ﻓﻲ اﻟﻧظﺎم وﺳوف ﯾﺣﺎول اﻟﻣﮭﺎﺟم اﺳﺗﻐﻼل اﻟﻌدﯾد ﻣﻧﮭﺎ ﺣﺗﻰ ﯾﺣﺻل ﻋﻠﻰ
اﻟﻧﺗﯾﺟﺔ اﻟﻣرﺟوة :اﻟﮭدف ﯾﺻﺑﺢ ﻏﯾر ﻣﺗﺎح .ﺗطورت ھﺟﻣﺎت DDoSﻛﺑﯾر ﻋﻠﻰ ﻣر اﻟﺳﻧﯾن .ھﻲ إﻟﻰ ﺣد ﻛﺑﯾر ﺑﺳﺑب اﻟﺳﮭوﻟﺔ اﻟﺗﻲ ﯾﻣﻛن ﻟﻠﻣرء ﺷن اﻟﮭﺟوم اﻟﯾوم ،وﻛذﻟك اﻹﻋداد اﻟﺳﻲء ﻣن ﻗﺑل ﻣﻌظم اﻟﻣﻧظﻣﺎت ﺣﺗﻰ ﺿد ﺑﻌض أﻧواع ھﺟوم .DDoSﺗواﻓر اﻟدروس اﻟﺗﻌﻠﯾﻣﯾﺔ ﻟﻠﻣﺳﺗﺧدﻣﯾن ﻋدﯾﻣﻲ اﻟﺧﺑرة ﻓﻲ ﻛﯾﻔﯾﺔ ﺗﻧﻔﯾذ ﻣﺛل ھذه اﻟﮭﺟﻣﺎت ﻋﻠﻰ ﻧطﺎق واﺳﻊ ﻋﺑر ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ،وﺣﺗﻰ ﯾﻣﻛن ﻟﻠﻣرء أن اﺳﺗﺋﺟﺎر botnetﻣن ﺧﻼل ﺧدﻣﺔ اﻟدﻓﻊ ﻣﻘﺎﺑل ﺗﺄﺟﯾر دوس ) (pay-for-hire DDoS serviceﻟزﯾﺎدة ﻗوة اﻟﮭﺟوم. اﻟﻌدﯾد ﻣن اﻟﮭﺟﻣﺎت اﻟﺣدﯾﺛﺔ ﻋﺎدة ﺗﺳﺗﺧدم ﻧﺎﻗﻼت ﻣﺗﻌددة ﻓﻲ ﺣﻣﻠﺔ اﻟﮭﺟوم واﺣدة ،ﺗﺳﺗﮭدف ﻋﻧﺎﺻر ﻣﺗﻌددة ﻣن اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﺷﺑﻛﺔ اﻟﻣﻧظﻣﺔ وﺗطﺑﯾﻘﺎﺗﮭﺎ .ﻓﻲ ﻋﺎم ،2011اﺳﺗﮭدﻓت ٪56ﻣن اﻟﮭﺟﻣﺎت اﻹﻟﻛﺗروﻧﯾﺔ اﻟﺗطﺑﯾﻘﺎت؛ ٪46اﻟﺷﺑﻛﺔ .ﺗﺷﻣل اﻟﮭﺟﻣﺎت اﻵن ﻣﺎ ﻻ ﯾﻘل ﻋن 5ﻧﺎﻗﻼت ھﺟوم ﻣﺧﺗﻠﻔﺔ ﻓﻲ اﻟﮭﺟﻣﺔ اﻟواﺣدة واﻧﮭم ﯾﻌﻣﻠون ﻟﻔﺗرة أطول .ﻻزال اﻻﺧﺗﺻﺎر ) APTاﻟﺗﮭدﯾد اﻟﻣﺳﺗﻣر اﻟﻣﺗﻘدﻣﺔ( ﺟزء ﻣﮭﯾﻣن ﻣن ﻗﺎﻣوﺳﻧﺎ.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1053 APT = Advanced Persistent Threat
ﺗﺻﻧﯾف اﻷﻧواع اﻟﻣﺧﺗﻠﻔﺔ ﻣن ھﺟﻣﺎت DoSو DDoSﺑﺎﺳﺗﺧدام ﺑﻌد واﺣد ﻓﻘط ﺻﻌب ﻟﻠﻐﺎﯾﺔ .ﻟﻛل ﻧوع ﻣن أﻧواع اﻟﮭﺟوم ﺧﺻﺎﺋص ﻣﺧﺗﻠﻔﺔ واﻟﺗﻲ ﻗد ﺗﺷﯾر إﻟﻰ أﻧﮫ ﯾﻧﺗﻣﻲ إﻟﻰ ﻓﺋﺎت ﻣﺗﻌددة .ﺑﺻﻔﺔ ﻋﺎﻣﺔ ،ھذه اﻷﻧواع اﻟﻣﺧﺗﻠﻔﺔ ﻣن ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ﯾﻣﻛن ﺗﺻﻧﯾﻔﮭﺎ ھﺟﻣﺎت اﻟﺿﻌف ") "vulnerability attacksوﺗﺳﻣﻰ أﯾﺿﺎ اﻟﮭﺟﻣﺎت اﻟدﻻﻟﯾﺔ " ("Semantic attackوھﺟﻣﺎت اﻟﻔﯾﺿﺎﻧﺎت ""Flooding attack )وﺗﺳﻣﻰ أﯾﺿﺎ ھﺟﻣﺎت اﻟﻘوة اﻟﻐﺎﺷﻣﺔ ".("brute-force attacks -1ھﺟﻣﺎت اﻟﺿﻌف " "vulnerability attacksﯾﺳﺗﻐل ﻧﻘطﺔ ﺿﻌف واﺣدة أو أﻛﺛر ﻣن اﻟﻌﯾوب ﻓﻲ اﻟﺳﯾﺎﺳﺔ أو ﻓﻲ آﻟﯾﺔ ﺗطﺑﻖ ھذه اﻟﺳﯾﺎﺳﺔ ،أو ﺧﻠل ﻓﻲ اﻟﺑرﻣﺟﯾﺎت ﻓﻲ اﻟﻧظﺎم اﻟﮭدف ،وﯾﮭدف إﻟﻰ اﺳﺗﮭﻼك ﻛﻣﯾﺔ زاﺋدة ﻣن ﻣوارد اﻟﮭدف ﻋن طرﯾﻖ إرﺳﺎﻟﮫ ﻋدد ﻗﻠﯾل ﻣن اﻟطﻠﺑﺎت اﻟﺗﻲ وﺿﻌت ﺑﻌﻧﺎﯾﺔ واﻟﺗﻲ ﯾﮭدف اﻟﻰ ﺗﻌطل اﻷﺟﮭزة أو اﻟﺑراﻣﺞ وﺟﻌﻠﮭﺎ ﻏﯾر ﺻﺎﻟﺣﺔ ﻟﻠﻌﻣل .ﺧوادم اﻟﺷﺑﻛﺔ ،أﺟﮭزة اﻟراوﺗر ،ﺧوادم DNS look upواﻟذي ھﻲ أﻛﺛر اﻷھداف ﺷﻌﺑﯾﮫ واﻟﺗﻲ ﯾﻣﻛن ﺗﺣطﯾﻣﮭﺎ أﺛﻧﺎء اﻟﮭﺟوم .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ھﺟوم ) ،Ping-of-Death (PODﻣﮭﺎﺟم ﯾﺳﺑب اﻟﺗﻌطﯾل ﻟﺑﻌض أﻧظﻣﺔ اﻟﺗﺷﻐﯾل أو إﻋﺎدة ﺗﺷﻐﯾل اﻟﻛﻣﺑﯾوﺗر ﻋن طرﯾﻖ إرﺳﺎل ﺣزم ICMPﻣﺟزأة وﻣﺗﺿﺧﻣﺔ .ﻣﺧططﺎت ].[CERT / CC 1996a -2ھﺟﻣﺎت اﻟﻔﯾﺿﺎﻧﺎت " ،"Flooding attackﻣن ﻧﺎﺣﯾﺔ أﺧرى ،ﯾﮭدف اﻟﻰ ﺣرﻣﺎن اﻟﺧدﻣﺔ ﻋن اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺷرﻋﯾﯾن ﻣن ﺧدﻣﺔ ﺑﺎﺳﺗﺣﺿﺎر اﻟﻛم اﻟﮭﺎﺋل ﻣن طﻠﺑﺎت اﻟﺧدﻣﺔ اﻟﺗﻲ ﺗﺑدو ﺻﺎﻟﺣﺔ وﺗﺣﺎول اﺳﺗﻧﻔﺎد اﻟﻣورد اﻟرﺋﯾﺳﻲ ﻟﻠﮭدف .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ھﺟوم ،UDP Floodingﺣﯾث ﯾﻘوم اﻟﻣﮭﺎﺟم ﺑﺈرﺳﺎل ﻋدد ﻣﻔرط ﻣن ﺷراﺋﺢ UDPإﻟﻰ ﻣﻧﺎﻓذ ﻋﺷواﺋﯾﺔ ﻋﻠﻰ ھدف اﻟﻣﺿﯾف وذﻟك ﻟﺗﺷﺑﻊ ﻋرض اﻟﻧطﺎق اﻟﺗرددي ،ﻣﻣﺎ ﯾﺟﻌل اﻟﮭدف ﻏﯾر ﻗﺎﺑل ﻟﻠوﺻول ﻣن ﻗﺑل اﻟﻣﺿﯾﻔﯾن اﻵﺧرﯾن .ﻣﺧططﺎت ].[CERT / CC 1996c ﻗﺑل اﻻﻧطﻼق ﻓﻲ ﺷرح أﻧواع ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ﺳوف ﻧﺗطرق أوﻻ اﻟﻰ اھداف ھﺟﻣﺎت ﻣن اﻟﺣرﻣﺎن أوﻻ. أھداف ﺣﺟب اﻟﺧدﻣﺔ اﻟﺿﺣﯾﺔ اﻟﻣﺳﺗﮭدﻓﺔ ﻣن ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ ﯾﻣﻛن أن ﯾﻛون ﻧﮭﺎﯾﺔ اﻟﻧظﺎم )ﺟﮭﺎز ﻛﻣﺑﯾوﺗر اﻟذي ﯾﻘوم ﺑﺗﻧﻔﯾذ ﻛﺎﻓﺔ طﺑﻘﺎت اﻟﻧﻣوذج ،(OSI اﻟراوﺗر ،اﻻﺗﺻﺎﻻت اﻟﻣﺳﺗﻣرة " ،"ongoing communicationاﻟوﺻﻼت " "linksأو اﻟﺷﺑﻛﺔ ﺑﺎﻟﻛﺎﻣل ،اﻟﺑﻧﯾﺔ ﺗﺣﺗﯾﺔ ،أو أي ﻣزﯾﺞ ﻣن أو ﻣﺗﻐﯾر ﻋﻠﻰ ھذه ] .[Handley et al. 2006ﻓﻲ ﺣﺎﻟﺔ ﻧﮭﺎﯾﺔ اﻟﻧظﺎم ،ﯾﻣﻛن أن ﯾﻛون اﻟﺿﺣﯾﺔ اﻟﻣﺳﺗﮭدﻓﺔ ﺗطﺑﯾﻖ أو ﻧظﺎم اﻟﺗﺷﻐﯾل .ﻻﺣظ أن ﻣﺻطﻠﺢ ﻧﮭﺎﯾﺔ اﻟﻧظﺎم ﯾﺗواﻓﻖ ﻣﻊ ﻣﺿﯾف اﻹﻧﺗرﻧت ،اﻟﻣﺿﯾﻔﺔ اﻟﻧﮭﺎﺋﻲ ،أو ﺑﺑﺳﺎطﺔ اﻟﻣﺿﯾف " ،"hostﺣﯾث أن اﻟﻣﺿﯾف اﻟﻧﮭﺎﺋﻲ أو اﻟﻣﺿﯾف ھو اﻟﻛﻣﺑﯾوﺗر اﻟذي ﯾﻧﻔذ ﺟﻣﯾﻊ طﺑﻘﺎت ﺑروﺗوﻛول .TCP/IP DoS on application ﺣﯾث ﯾﺣﺎول اﻟﻣﮭﺎﺟﻣﯾن ھﻧﺎ ﻣﻧﻊ اﻟﺗطﺑﯾﻖ ﻣن أداء ﻣﮭﺎﻣﮫ وذﻟك ﻣن ﺧﻼل ﺟﻌل اﻟﺗطﺑﯾﻖ ﯾﺳﺗﻧﻔد اﻹﻣدادات اﻟﻣﺣدودة ﻣن ﻣورد ﻣﻌﯾن أو ﻣن ﺧﻼل إرﺳﺎل ﺣزم ﻟﻠوﺻول إﻟﻰ اﻟﺣد اﻷﻗﺻﻰ ﻣن طﻠﺑﺎت اﻟﺧدﻣﺔ واﻟﺗﻲ ﯾﻣﻛن أن ﯾﺗﻌﺎﻣل ﻣﻌﮭﺎ ھذا اﻟﺗطﺑﯾﻖ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻣﻠﻘﻣﺎت اﻟوﯾب ﺗﺄﺧذ ﻛﻣﯾﺔ ﻣﻌﯾﻧﺔ ﻣن اﻟوﻗت ﻟﺧدﻣﺔ طﻠﺑﺎت ﺻﻔﺣﺔ اﻟوﯾب اﻟﻌﺎدﯾﺔ ،وﺑﺎﻟﺗﺎﻟﻲ ﺳﯾﻛون ھﻧﺎك وﺟود ﺑﻌض ﻣن اﻟﻌدد اﻟﻣﺣدود ﻣن اﻟطﻠﺑﺎت اﻟﻘﺻوى ﻓﻲ د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1054 اﻟﺛﺎﻧﯾﺔ ﻟﯾﺗﻣﻛن ﻣن اﻟﻣﺣﺎﻓظﺔ .ﻟو اﻓﺗرﺿﻧﺎ أن ﻣﻠﻘم اﻟوﯾب ﯾﻣﻛﻧﮫ ﻣﻌﺎﻟﺟﺔ 1،000ﻣن اﻟطﻠﺑﺎت ﻓﻲ اﻟﺛﺎﻧﯾﺔ ﻻﺳﺗرداد اﻟﻣﻠﻔﺎت اﻟﺗﻲ ﺗﺷﻛل اﻟﺻﻔﺣﺔ اﻟرﺋﯾﺳﯾﺔ ﻟﻠﺷرﻛﺔ ،ﺛم ﻓﻲ ﻣﻌظم 1،000طﻠﺑﺎت اﻟﻌﻣﻼء ﯾﻣﻛن ﻣﻌﺎﻟﺟﺗﮭﺎ ﻓﻲ وﻗت واﺣد .ﻣن أﺟل اﻟﺟدل ،دﻋﻧﺎ ﻧﻘول اﻟﺣﻣل اﻟﻌﺎدي اﻟذي ﯾراه ﻣﻠﻘم اﻟوﯾب ﯾوﻣﯾﺎ ھو 100طﻠب ﻓﻲ اﻟﺛﺎﻧﯾﺔ )ﻋﺷر اﻟﻘدرات(. وﻟﻛن ﻣﺎذا ﻟو ﺗﺣﻛم اﻟﻣﮭﺎﺟم ﻓﻲ 10،000ﻣن اﻟوﻛﻼء ،ﯾﻣﻛﻧﮫ أن ﯾﺟﺑر ﻛل واﺣد ﻣﻧﮭم ﻟﺗﻘدﯾم طﻠب واﺣد ﻛل 10ﺛﺎﻧﯾﺔ إﻟﻰ ﻣﻠﻘم وﯾب؟ ھذا ھو ﻣﺎ ﻣﻌدﻟﮫ 1،000ﻣن اﻟطﻠﺑﺎت ﻓﻲ اﻟﺛﺎﻧﯾﺔ ،وﺗﺿﺎف إﻟﻰ ﻧﺗﺎﺋﺞ اﻟﺣرﻛﺔ اﻟطﺑﯾﻌﯾﺔ ﻓﻲ ٪110ﻣن ﻗدرة اﻟﺧﺎدم .اﻵن ﺟزء ﻛﺑﯾر ﻣن اﻟطﻠﺑﺎت اﻟﻣﺷروﻋﺔ ﻻ ﺗﺟﻌل ﻣن ﺧﻼﻟﮫ ﻷن اﻟﺧﺎدم ﻣﺷﺑﻊ. ﻣﺛﺎل أﺧر ،ﻓﻲ ھﺟوم eXtensible Markup Language (XML) parser DoSوﯾﺳﻣﻰ Exponential Entity Expansion Attack )واﻟﻣﻌروﻓﺔ أﯾﺿﺎ ﺑﺎﺳم ،(Billion Laughs attackﻣﮭﺎﺟم ﯾﻣرر إﻟﻰ ﻣﺣﻠل XMLوﺛﯾﻘﺔ XMLﺻﻐﯾرة واﻟﺗﻲ ھﻲ ﻣﻌده ﻋﻠﻰ ﺣد ﺳواء ﺑﺷﻛل ﺟﯾد وﺻﺣﯾﺢ ،وﻟﻛﻧﮭﺎ ﺗﺗوﺳﻊ إﻟﻰ ﻣﻠف ﻛﺑﯾر ﺟدا ]ﺳوﻟﯾﻔﺎن .[2009ﻋﻧدﻣﺎ ﯾﺣﺎول ﻣﺣﻠل ﺗﺣﻠﯾل ،XMLﻓﺈﻧﮫ ﯾﻧﺗﮭﻲ اﻟﻰ اﺳﺗﮭﻼك ﻛﺎﻓﺔ اﻟذاﻛرة اﻟﻣﺗوﻓرة ﻟﺗطﺑﯾﻖ اﻟﻣﺣﻠل .ﻋﺎدة ،ﯾﺗم ﺗﻘﯾﯾد اﻟﻣوارد ﻟﻠﺗطﺑﯾﻘﺎت ﻣن ﺧﻼل اﻻﻋداد ،ﻣﺛل اﻟﺣد اﻷﻗﺻﻰ ﻟﻌدد اﻟﻌﻣﻠﯾﺎت واﻟﺣد اﻷﻗﺻﻰ ﻟﻌدد اﻻﺗﺻﺎﻻت اﻟﻣﺗزاﻣﻧﺔ اﻟﺗﻲ ﯾﻣﻛن ﻟﺗطﺑﯾﻖ واﺣد إﻧﺷﺎﺋﮭﺎ ،ﻟﻠﺣد ﻣن ﺗﺄﺛﯾر ﺗطﺑﯾﻖ DOSﻋﻠﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل ﺑﺄﻛﻣﻠﮫ .وﻣﻊ ذﻟك ،إذا ﻟم ﯾﺗم اﺧﺗﯾﺎره ﺑﻌﻧﺎﯾﺔ ﻋﻠﻰ أﺳﺎس ھذه اﻟﺣدود ﻋﻠﻰ دور ﺟﮭﺎز )ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﺧﺎدم اﻟوﯾب ،ﺧﺎدم ﻗﺎﻋدة ﺑﯾﺎﻧﺎت ،أو ﻛﻣﺑﯾوﺗر ﺷﺧﺻﻲ اﻟﺦ( ،ﻗد ﺗﺻﺑﺢ اﻟﺗطﺑﯾﻘﺎت اﻟﮭﺎﻣﺔ أھداف ﺳﮭﻠﺔ ﻟﻠدوس. ھﺟوم ﻋﻠﻰ اﻟﺗطﺑﯾﻖ ﻻ ﯾﺷل اﻟﻣﺿﯾف ﺑﺄﻛﻣﻠﮫ أو ﯾظﮭر ﻛﻣﯾﺔ ھﺎﺋﻠﺔ ﻣن اﻟﺣزم .اﻟﻌدﯾد ﻣن اﻟدﻓﺎﻋﺎت ﻟﯾﺳت ﻗﺎدرة ﻋﻠﻰ اﻟﻣﺳﺎﻋدة ﻓﻲ اﻟدﻓﺎع ﺿد ھذا اﻟﻧوع ﻣن اﻟﮭﺟوم. DoS on Operating system ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ﻋﻠﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل ھﻲ ﻣﺷﺎﺑﮭﺔ ﺟدا ﻟﮭﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ﻋﻠﻰ اﻟﺗطﺑﯾﻘﺎت .وﻣﻊ ذﻟك ،ﻓﻲ ﺗطﺑﯾﻖ ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ،ﻧظﺎم اﻟﺗﺷﻐﯾل ﻗد ﯾﻛون ﻗﺎدرة ﻋﻠﻰ ﺣﻣﺎﯾﺔ اﻟﺗطﺑﯾﻘﺎت اﻷﺧرى ﻣن ﻛوﻧﮭﺎ ﻣﺗﺄﺛرة؛ ﻓﻲ ﺣﯾن أن اﻟﻣﺷﻛﻠﺔ ﯾﻣﻛن أن ﺗﻛون أﻛﺛر ﻛﺎرﺛﯾﺔ ﻓﻲ ﺣﺎﻟﺔ ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ﻋﻠﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل .ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ اﻟﻣﻌروﻓﺔ ﺟدا ﻋﻠﻰ ﻧظﺎم ﺗﺷﻐﯾل ھو (TCP) SYN flooding ] ،[CERT/CC 1996bﺣﯾث أن اﻟﻣﮭﺎﺟم ﯾرﺳل ﺳﯾﻼ ﻣن اﻟﺣزم TCP SYNﻟﻠﺿﺣﯾﺔ دون اﺳﺗﻛﻣﺎل ﻣﺻﺎﻓﺣﺔ ،TCPوﻣرھﻘﺔ ﻟﻠذاﻛرة اﺗﺻﺎل اﻟﺿﺣﯾﺔ .ﻣﺛل ھذا اﻟﮭﺟوم ﻟﮫ آﺛﺎر ﻋﻠﻰ ﺟﻣﯾﻊ اﻟﺗطﺑﯾﻘﺎت ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل اﻟﺗﻲ ﺗﻌﺗﻣد ﻋﻠﻰ TCPﻟﻼﺗﺻﺎل ﺑﮭم. اﺳﺘﻐﻼل ﻧﻘﺎط اﻟﻀﻌﻒ )(Exploiting a Vulnerability ﺗﺷﻣل ھﺟﻣﺎت اﺳﺗﻐﻼل ﻧﻘﺎط اﻟﺿﻌف ارﺳﺎل ﺑﺿﻊ اﻟﺣزم اﻟﻣﺣﻛﻣﺔ اﻟﺗﻲ ﺗﺳﺗﻔﯾد ﻣن اﻟﺿﻌف اﻟﻣوﺟودة ﻓﻲ اﻟﺟﮭﺎز اﻟﻣﺳﺗﮭدف .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ھﻧﺎك ﺧﻠل ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل Windowsو ،NTوﺑﻌض ﺗوزﯾﻌﺎت ﻟﯾﻧﻛس ،ﻓﻲ اﻟﺗﻌﺎﻣل ﻣﻊ اﻟﺣزم اﻟﻣﺟزأة ﺑﺷﻛل ﻏﯾر ﺻﺣﯾﺢ .ﻋﻣوﻣﺎ، ﻋﻧدﻣﺎ ﺗﻛون اﻟﺣزﻣﺔ ﻛﺑﯾرة ﺟدا ﻟﺷﺑﻛﺔ ﻣﻌﯾﻧﺔ ،ﻓﺎﻧﮫ ﯾﺗم ﺗﻘﺳﯾﻣﮭﺎ اﻟﻰ ﻗﺳﻣﯾن )أو أﻛﺛر( ﻣن اﻟﺣزم اﻻﺻﻐر ،وﻟﻛل ﻣﻧﮭم ﺗم وﺿﻊ ﻋﻼﻣﺔ ﻣﺟزأة ) .(fragmentedﻋﻼﻣﺔ ﺗدل ﻋﻠﻰ ﺗرﺗﯾب أول وأﺧر اﻟﺑﺎﯾت ﻓﻲ اﻟﺣزﻣﺔ ،ﻓﯾﻣﺎ ﯾﺗﻌﻠﻖ ﺑﺎﻷﺻﻠﻲ .ﻓﻲ اﻟﻣﺗﻠﻘﻲ ،ﯾﺗم ﺗﺟﻣﯾﻊ ﻗطﻊ اﻟﺣزﻣﺔ ﻟﺗﻛوﯾن اﻟﺣزﻣﮫ اﻷﺻﻠﯾﺔ .ﯾﺟب أن ﺗﺗﻧﺎﺳب اﻟﻌﻼﻣﺎت اﻟﻣﺟزأة ﺑﺷﻛل ﺻﺣﯾﺢ ﻟﺗﺳﮭﯾل إﻋﺎدة اﻟﺗﺟﻣﯾﻊ .اﻟﺿﻌف ﻓﻲ اﻟﻛﯾرﻧل أﻋﻼه ﯾﺳﺑب ﻟﻠﺟﮭﺎز ان ﯾﺻﺑﺢ ﻏﯾر ﻣﺳﺗﻘر ﻋﻧد ﺗﻠﻘﻲ اﻟﺣزم اﻟﻣﺟزأة ﺑﺷﻛل ﻏﯾر ﺻﺣﯾﺢ ،اﻻﻣر اﻟذي ادى اﻟﻰ ﺗﻌﻠﯾﻖ ،وﺗﺣطم ،أو إﻋﺎدة ﺗﺷﻐﯾل اﻟﻛﻣﺑﯾوﺗر .ھذا اﻟﺿﻌف ﯾﻣﻛن اﺳﺗﻐﻼﻟﮫ ﻋن طرﯾﻖ إرﺳﺎل اﺛﻧﯾن ﻣن ﺣزم UDPﺗﺎﻟﻔﮫ ﻟﻠﺿﺣﯾﺔ )ھذه اﻟﺛﻐرة ﻟم ﺗﻌد ﻣوﺟودة ﻣﻧذ وﯾﻧدوز .(xpھذه ﻛﺎﻧت ﻣﻌروﻓﺔ ﺑﺎﺳم ﺛﻐرة ،teardrop ،boink ،bonkو.newtear Vulnerability attacksھﻲ ﺳﯾﺋﺔ ﺑﺷﻛل ﺧﺎص ﻷﻧﮭﺎ ﯾﻣﻛن أن ﺗﻌطل أو ﺗﻌﻠﻖ اﻟﺟﮭﺎز ﻣﻊ واﺣده ﻓﻘط أو اﺛﻧﯾن ﻣن اﻟﺣزم اﻟﺗﻲ ﯾﺗم اﺧﺗﯾﺎرھﺎ ﺑﻌﻧﺎﯾﺔ .وﻣﻊ ذﻟك ،ﺑﻣﺟرد أن ﯾﺗم ﺗﺻﺣﯾﺢ اﻟﺿﻌف ،ﯾﺻﺑﺢ اﻟﮭﺟوم اﻷﺻﻠﻲ ﻏﯾر ﻓﻌﺎل ﺗﻣﺎﻣﺎ. ﻣﮭﺎﺟﻤﺔ اﻟﺒﺮوﺗﻮﻛﻮل )(ATTACKING A PROTOCOL ﻣﺛﺎل ﻣﺛﺎﻟﻲ ﻣن ھﺟﻣﺎت اﻟﺑروﺗوﻛول ھو ھﺟوم .TCP SYN floodأوﻻ ﺳوف ﻧﻘوم ﺑﺗﻔﺳﯾر ھذا اﻟﮭﺟوم ﺛم ﺗﺑﯾن اﻟﻣﻼﻣﺢ اﻟﻌﺎﻣﺔ ﻟﮭﺟﻣﺎت اﻟﺑروﺗوﻛول. ﺗﺑدأ ﺟﻠﺳﺔ TCPاﻟﺗﻔﺎوض ﻣﻊ ﻣﻌﻠﻣﺎت اﻟﺟﻠﺳﺔ ﺑﯾن اﻟﻌﻣﯾل واﻟﺧﺎدم .ﯾرﺳل اﻟﻌﻣﯾل ﺣزﻣﺔ TCP SYNإﻟﻰ اﻟﺧﺎدم ،وطﻠب ﺑﻌض اﻟﺧدﻣﺎت. ﻓﻲ رأس ﺣزم ،SYNﯾﻘدم اﻟﻣﺿﯾف رﻗم اﻟﺗﺳﻠﺳل اﻷوﻟﻲ ) ،(initial sequence numberوھو رﻗم اﺗﺻﺎل ﻓرﯾد واﻟﺗﻲ ﺳﯾﺗم اﺳﺗﺧداﻣﮭﺎ ﻟﻠﺣﻔﺎظ ﻋﻠﻰ ﻋدد اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﯾﺗم إرﺳﺎﻟﮭﺎ إﻟﻰ اﻟﻣﻠﻘم )ﺣﯾث ان اﻟﺧﺎدم ﯾﻣﻛﻧﮫ اﻟﺗﻌرف واﻟﺗﻌﺎﻣل ﻣﻊ اﻟﻣﻔﻘودﯾن ،أو اﻟﺑﯾﺎﻧﺎت اﻟﻣﺗﻛررة( .ﻋﻧد ﺗﻠﻘﻲ ﺣزﻣﺔ ،SYNﯾﺧﺻص اﻟﺧﺎدم ﻛﺗﻠﺔ اﻟﺗﺣﻛم ﻓﻲ اﻹرﺳﺎل " ،(TCB) "transmission control blockوﺗﺧزﯾن اﻟﻣﻌﻠوﻣﺎت ﺣول اﻟﻌﻣﯾل. ﺛم اﻟرد ﻣﻊ ،SYN-ACKوإﺑﻼغ اﻟﻌﻣﯾل اﻟذي ﺳﯾﺗم ﻣﻧﺢ طﻠب ﺧدﻣﺎﺗﮫ ،ﻣﻌﺗرﻓﺎ ﺑرﻗم اﻟﺗﺳﻠﺳل اﻟﻌﻣﯾل وإرﺳﺎل اﻟﻣﻌﻠوﻣﺎت ﺣول رﻗم اﻟﺗﺳﻠﺳل اﻷوﻟﻲ ﻟﻠﻣﻠﻘم .اﻟﻌﻣﯾل ،ﻋﻧد اﺳﺗﻼم ﺣزﻣﺔ ،SYN-ACKﯾﺧﺻص ﻛﺗﻠﺔ ﺗﺣﻛم اﻹرﺳﺎل .اﻟﻌﻣﯾل ﯾﻘوم ﺑﺎﻟرد ﻣﻊ ACKإﻟﻰ اﻟﺧﺎدم اﻟذي ﯾﻛﻣل اﻓﺗﺗﺎح اﻻﺗﺻﺎل .وﯾﺳﻣﻰ ھذا اﻟﺗﺑﺎدل رﺳﺎﻟﺔ اﻟﻣﺻﺎﻓﺣﺔ اﻟﺛﻼﺛﯾﺔ وﺻورت ﻓﻲ اﻟﺷﻛل اﻟﺗﺎﻟﻰ. د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1055
إﻣﻛﺎﻧﯾﺔ اﻻﻋﺗداء ﺗﻛﻣن ﻓﻲ ﺗﺧﺻﯾص ﻣوارد اﻟﺧﺎدم ﻓﻲ وﻗت ﻣﺑﻛر .ﻋﻧدﻣﺎ ﯾﺧﺻص اﻟﺧﺎدم TCBﻟﮫ واﻟردود ﻣﻊ ،SYN-ACKﻓﺎﻧﮫ ﯾﻘول ان اﻻﺗﺻﺎل ﯾﻛون ﻧﺻف ﻣﻔﺗوح ) .(half openﺳﯾﺗم رﺑط اﻟﻣوارد اﻟﻣﺧﺻﺻﺔ ﻟﻠﻣﻠﻘم ﺣﺗﻰ ﯾرﺳل اﻟﻌﻣﯾل ﺣزﻣﺔ ،ACKﯾﺗم إﻏﻼق اﻻﺗﺻﺎل )ﻋن طرﯾﻖ إرﺳﺎل ﺣزﻣﺔ (RSTأو ﺣﺗﻰ اﻧﺗﮭﺎء ﻣﮭﻠﺔ ﯾﻘوم اﻟﺧﺎدم ﺑﺈﻏﻼق اﻻﺗﺻﺎل ،واﻹﻓراج ﻋن ﻣﺳﺎﺣﺔ اﻟﻣﺧزن اﻟﻣؤﻗت .ﺧﻼل ھﺟوم ﻓﯾﺿﺎﻧﺎت ،TCP SYNاﻟﻣﮭﺎﺟم ﯾوﻟد اﻟﻌدﯾد ﻣن وﺻﻼت ﻧﺻف ﻣﻔﺗوﺣﺔ ﺑﺎﺳﺗﺧدام IPﻣﺻدر اﻟﻣزﯾف .ھذه اﻟطﻠﺑﺎت ﺑﺳرﻋﺔ ﺗﺳﺗﻧﻔذ اﻟذاﻛرة TCBﻟﻠﻣﻠﻘم ،واﻟﺧﺎدم ﻻ ﯾﻣﻛﻧﮫ ﺗﻘﺑل أﯾﺔ ﻣن طﻠﺑﺎت اﻻﺗﺻﺎل اﻟواردة أﻛﺛر ﻣن ذﻟك .اﺗﺻﺎﻻت TCPأﻧﺷﺋت ﻋﺎدة ﻟﺗواﺟﮫ أي ﺗدھور ﻓﻲ اﻟﺧدﻣﺔ ،ﻋﻠﻰ اﻟرﻏم ﻣن أﻧﮭﺎ ﻛﺎﻣﻠﺔ وﻣﻐﻠﻘﺔ ﺑﺷﻛل طﺑﯾﻌﻲ ،ﻓﺎن ﻣﺳﺎﺣﺔ ﺳﺟل TCBاﻟﺗﻲ ﻛﺎﻧوا ﯾﺳﺗﺧدﻣون ﺳوف ﺗﺳﺗﻧﻔد ﻗﺑل اﻟﮭﺟوم ،وﻻ ﺗﺳﺗﺑدل ﺑﺎﺗﺻﺎﻻت ﻣﺷروﻋﺔ أﺧرى .ﻓﻲ ﺣﺎﻻت ﻧﺎدرة ،ﺗﻌطل اﻟﺟﮭﺎز اﻟﺧﺎدم ،وﻋوادم ذاﻛرﺗﮫ ،أو ﯾﺗم ﺗﻘدﯾم ﺧﻼف ذﻟك ﻏﯾر ﻗﺎﺑﻠﺔ ﻟﻠﺗﻧﻔﯾذ .ﻣن اﺟل اﻟﺣﻔﺎظ ﻋﻠﻰ ﻣﺳﺎﺣﺔ اﻟﻣﺧزن اﻟﻣؤﻗت اﻟﻣﺣﺗﻠﺔ ﻟﻠﻣرة اﻟﻣرﺟوة ،ﯾﺣﺗﺎج اﻟﻣﮭﺎﺟم ﺗوﻟﯾد ﺗﯾﺎر ﻣﺳﺗﻣر ﻣن ﺣزم SYNﺗﺟﺎه اﻟﺿﺣﯾﺔ )ﻣرة أﺧرى ﻟﺣﺟز ھذه اﻟﻣوارد اﻟﺗﻲ ﺗم ﺗﺣرﯾرھﺎ ﺑواﺳطﺔ ﻣﮭﻠﺔ أو اﻻﻧﺗﮭﺎء ﻣن اﻟدورات اﻟﻌﺎدﯾﺔ .(TCP ھذه ھﺟﻣﺔ ﺷرﺳﺔ وﺧﺎﺻﺔ ،ﻛﻣﺎ ﺗﺗوﻗﻊ اﻟﺧوادم رؤﯾﺔ أﻋداد ﻛﺑﯾرة ﻣن ﺣزم SYNاﻟﻣﺷروﻋﺔ ،وﻻ ﯾﻣﻛﻧﮭﺎ ﺑﺳﮭوﻟﺔ اﻟﺗﻣﯾﯾز ﺑﯾن ﺣرﻛﺔ اﻟﻣرور اﻟﺷرﻋﯾﺔ واﻟﺧﺑﯾﺛﺔ .ﻻ ﺗوﺟد ﻗﺎﻋدة ﻓﻠﺗرة ﺑﺳﯾطﺔ ﯾﻣﻛن اﻟﺗﻌﺎﻣل ﻣﻊ ھﺟوم ﻓﯾﺿﺎﻧﺎت TCP SYNﺑﺳﺑب ﺣرﻛﺔ اﻟﻣرور اﻟﻣﺷروﻋﺔ ﺳﺗﻌﺎﻧﻲ أﺿرار ﺟﺎﻧﺑﯾﺔ. ﻣن أﺟل ﺗﻧﻔﯾذ ھﺟوم ﻓﯾﺿﺎﻧﺎت TCP SYNﻧﺎﺟﺣﺔ ،ﯾﺣﺗﺎج اﻟﻣﮭﺎﺟم ﺗﺣدﯾد ﻣﻧﻔذ TCPﻣﻔﺗوح ﻋﻠﻰ اﻟﺿﺣﯾﺔ .ﺛم ﯾوﻟد ﺗﯾﺎر ﻣن اﻟﺣزﻣﺔ ﺻﻐﯾرة اﻟﺣﺟم ﻧﺳﺑﯾﺎ ﻋدد ﻗﻠﯾل ﻣن ﻋﺷرة ﻣن اﻟﺣزم ﻓﻲ اﻟدﻗﯾﻘﺔ ﯾﻣﻛﻧﮭﺎ رﺑط ﻓﻌﺎل ﻟﻣوارد اﻟﺿﺣﯾﺔ .ﻧﺳﺧﺔ أﺧرى ﻣن ھﺟوم ﻓﯾﺿﺎﻧﺎت ،TCP SYN ،random port TCP SYN floodingوھو أﻗل ﺷﯾوﻋﺎ ﺑﻛﺛﯾر .ﻓﻲ ذﻟك ،اﻟﻣﮭﺎﺟم ﯾوﻟد ﻛﻣﯾﺔ ﻛﺑﯾرة ﻣن ﺣزم SYN TCPﺗﺳﺗﮭدف ﻣﻧﺎﻓذ ﻋﺷواﺋﯾﺔ ﻋﻠﻰ اﻟﺿﺣﯾﺔ ،ﺑﮭدف اﻟﺳﺣﻖ ﻟﻣوارد ﺷﺑﻛﺔ اﻟﺿﺣﯾﺔ ،ﺑدﻻ ﻣن ﻣلء ﻣﺳﺎﺣﺔ اﻟﻣﺧزن اﻟﻣؤﻗت ﻟﮫ. ھﺟﻣﺎت اﻟﺑروﺗوﻛول ﻏﺎﻟﺑﺎ ﻣﺎ ﺗﻛون ﺻﻌﺑﺔ اﻹﺻﻼح ،ﺣﯾث أن اﻹﺻﻼح ﯾﺗطﻠب ﺗﻐﯾﯾر اﻟﺑروﺗوﻛول ،ﻓﺈن ﻛﻼ ﻣن اﻟﻣرﺳل واﻟﻣﺗﻠﻘﻲ ﯾﺟب اﺳﺗﺧدام اﻟﻧﺳﺧﺔ اﻟﺟدﯾدة ﻣن اﻟﺑروﺗوﻛول .ﺗﻐﯾﯾر ﺑروﺗوﻛوﻻت اﻹﻧﺗرﻧت اﻟﻣﺳﺗﺧدﻣﺔ ﻋﺎدة ﻷي ﺳﺑب ﻣن اﻷﺳﺑﺎب ﻗد ﺛﺑت ﺻﻌوﺑﺗﮫ .ﻓﻲ ﺣﺎﻻت ﻗﻠﯾﻠﺔ ،اﻻﺳﺗﺧدام اﻟذﻛﻲ ﻟﻠﺑروﺗوﻛوﻻت اﻟﻣوﺟودة ﯾﺣل اﻟﻣﺷﻛﻠﺔ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل TCP SYN cookies ،ﯾﺗﻌﺎﻣل ﻣﻊ ھﺟوم ﻓﯾﺿﺎﻧﺎت SYN دون ﺗﻐﯾﯾر ﻣواﺻﻔﺎت اﻟﺑروﺗوﻛول. Nomadﺑﺳط ﻣن ﻓرﯾﻖ RAZORﻓﻲ BindViewﺟﺎء ﻣﻊ ھﺟوم اﺳﺗﮭدف ﻧﻔس اﻟﻣوارد ﺑوﺻﻔﮭﺎ ﻓﯾﺿﺎﻧﺎت ،SYNوﺳﺟل ﺣﺎﻟﺔ اﻻﺗﺻﺎل، وﻟﻛن ﺑطرﯾﻘﺔ ﺟدﯾدة .ﺑدﻻ ﻣن إﻧﺷﺎء اﻟﻛﺛﯾر ﻣن اﻻﺗﺻﺎﻻت اﻟﻧﺻف ﻣﻔﺗوﺣﺔ ،اﻟﻣﮭﺎﺟم أﻛﻣل ﻓﻌﻼ اﻟﻣﺻﺎﻓﺣﺔ اﻟﺛﻼﺛﯾﺔ وﺧﻠﻖ اﻟﻌدﯾد ﻣن اﻟﺳﺟﻼت ﻋن ﺣﺎﻟﺔ اﻻﺗﺻﺎل اﻟﺗﻲ أﻧﺷﺋت ﻓﻲ ﺟدول TCBﻓﻲ اﻟﻛﯾرﻧل .اﻟﺧدﻋﺔ اﻟﺗﻲ ﺗﻣﻛن ﻣﻧﮭﺎ اﻟﻣﮭﺎﺟم ھو اﻟﻣﺳﺎرﻋﺔ ﻓﻲ ﺗﺷﻛﯾل اﻟﻛﺛﯾر ﻣن اﻻﺗﺻﺎﻻت اﻟﺗﻲ ﺗم ﺗﺄﺳﯾﺳﮭﺎ دون اﺳﺗﺧدام ذاﻛرة TCBاﻟوﻛﯾل واﻟﺗﻲ ﺗﻧدرج ﺗﺣت ﺑرﻣﺟﺔ ھﺟوم ﺑﺎﺳﺗﺧدام ﺣزم ﻣﺧﺻﺻﺔ ﺑدﻻ ﻣن .TCP APIآﻟﺔ اﻟوﻛﯾل ﻻ ﺗﺧﺻص أﺑدا .TCBﺑدﻻ ﻣن ذﻟك ،ﯾﺳﺗﻣﻊ ﺑﺈﺑﺎﺣﺔ ﻋﻠﻰ ﻛﺎرت اﻟﺷﺑﻛﺔ إﯾﺛرﻧت وﯾﺳﺗﺟﯾب إﻟﻰ ﺣزم TCPﻋﻠﻰ أﺳﺎس راس اﻷﻋﻼم ) .(header flagsاﻟوﻛﯾل ﯾﺳﺗﻧﺗﺞ ﻣن رد اﻟﺿﺣﯾﺔ ﻣﻌﻠوﻣﺎت رأس TCPوﯾﺗوﻗﻊ اﻟﺿﺣﯾﺔ أن ﯾرى اﻟﺣزﻣﮫ ﻓﻲ اﻟﻣﺳﺗﻘﺑل .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل، إذا أرﺳل اﻟﺿﺣﯾﺔ ﺣزﻣﺔ SYN-ACKﻣﻊ رﻗم 1232 SEQورﻗم ،540ACKاﻟوﻛﯾل ﯾﺳﺗﻧﺗﺞ أﻧﮫ ﯾﻧﺑﻐﻲ أن ﯾرﺳل ﺣزﻣﺔ ACKاﻟﻣﻘﺑﻠﺔ ﻣﻊ SEQ 540و .ACK 1233ﻓﻲ ﺣﯾن ان اﻟﺧﺎدم ﯾﺳﺗﺧدم ،TCBsاﻟﻣﮭﺎﺟم ﻻ .ﯾﻣﻛن ﻟﮭذا اﻟﮭﺟوم اﻟﻣﺿﻲ ﻟﻌﻧوان اﻟﻣﺻدر ﻟﺟﻌﻠﮭﺎ ﺗﺑدو ﻣﺛل اﻟﺣزم ﺗﺄﺗﻲ ﻣن ﻣﺟﻣوﻋﺔ ﻏﯾر ﻣوﺟود ﻋﻠﻰ اﻟﺷﺑﻛﺔ اﻟﻣﺣﻠﯾﺔ .ﻣﻧذ ﻗﯾﺎم اﻟﻣﮭﺎﺟم ﺑﺎﻻﺳﺗﻣﺎع إﻟﻰ اﻻﺗﺻﺎﻻت ﻋﻠﻰ اﻟﺷﺑﻛﺔ اﻟﻣﺣﻠﯾﺔ ﻓﻲ وﺿﻊ ﻏﯾر ﺷرﻋﻲ ،ﻓﺎﻧﮫ ﺳﯾﻛون ﻗﺎدرا ﻋﻠﻰ اﻟﺳﻣﺎع واﻟرد ﻋﻠﻰ ﺣزم اﻟﺿﺣﯾﺔ ،ﻋﻠﻰ اﻟرﻏم ﻣن أﻧﮫ ﯾﺗم إرﺳﺎﻟﮭﺎ إﻟﻰ ﻋﻧوان اﻟﻣﻐﺷوش.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1056 اﻟﻣﮭﺎﺟم ﯾﻘوم ﺑﺗﺄﺳﯾس اﺗﺻﺎﻻت TCPﺧﺎﻣﻼ وﻟﻛﻧﮫ ﯾﺳﺗﺟﯾب ﻟﻠﺣﻔﺎظ ﻋﻠﻰ ﺣﯾﺎة اﻟﺣزم ﺑﺣﯾث ﻻ ﯾﺟﻌل اﻻﺗﺻﺎﻻت ﺧﺎرج ﻧطﺎق اﻟوﻗت اﻟﻣﺣدد ﻟﻠﺧﻣول وﻻ ﯾﺣرر ﻣوارد اﻟﻛﯾرﻧل .ﺣﺗﻰ أﻧﮫ ﯾﻣﻛن أن ﯾﻌدل ﻓﻲ ﺣد ﺗﺄﺳﯾس اﻻﺗﺻﺎل ﻟﺗﺟﻧب SYN flooding protectionsداﺧل .stack وﯾﺳﻣﻰ ھذا اﻟﮭﺟوم ،Naptha attackو TCP SYN cookiesھﻲ دﻓﺎع ﻓﻌﺎل ﺿدھﺎ. ﻟﺗﻌﻣﯾم ھﺟﻣﺎت اﻟﺑروﺗوﻛول اﻟﺗﻲ ﺗﺳﺗﮭدف ﻋدم اﻟﺗﻧﺎﺳﻖ اﻟﻣﺗﺄﺻل ﻓﻲ ﺑروﺗوﻛوﻻت ﻣﻌﯾﻧﺔ .ھذا اﻟﺗﺑﺎﯾن ﯾﻣﻛن اﻟﻣﮭﺎﺟم ﻣن ﺧﻠﻖ ﻛﻣﯾﺔ ﻛﺑﯾرة ﻣن اﻟﻌﻣل وﯾﺳﺗﮭﻠك ﻣوارد ﻛﺑﯾرة ﻓﻲ اﻟﻣﻠﻘم ،ﻓﻲ ﺣﯾن أﻧﮫ ﯾﺟﻧب ﻣوارده اﻟﺧﺎﺻﺔ .ﻋﻣوﻣﺎ ،اﻹﺻﻼح اﻟوﺣﯾد اﻟذي ﯾﻌﻣل ﺿد ھﺟﻣﺎت ﺑروﺗوﻛول ھو ﺧﻠﻖ ﺗﺻﺣﯾﺢ اﻟﺑروﺗوﻛول اﻟذي ﯾوازن ﺑﯾن اﻟﺗﻔﺎوت ﻓﻲ ﺻﺎﻟﺢ اﻟﻣﻠﻘم. ﻣﮭﺎﺟﻤﺔ اﻟﻮﺳﯿﻂ )(Attacking Middleware ﯾﻣﻛن إﺟراء اﻟﮭﺟﻣﺎت ﻋﻠﻰ اﻟﺧوارزﻣﯾﺎت ،ﻣﺛل hash functionsاﻟﺗﻲ ﻋﺎدة ﺗؤدى ﻋﻣﻠﯾﺎﺗﮭﺎ ﻓﻲ اﻟزﻣن اﻟﺧطﻲ ﻟﻛل إدﺧﺎل ﻻﺣﻘﺔ .ﻋن طرﯾﻖ ﺣﻘن اﻟﻘﯾم اﻟﺗﻲ ﺗﺟﺑر اﻟظروف اﻷﺳوأ ﻓﻲ اﻟوﺟود ،ﻣﺛل ﺟﻣﯾﻊ اﻟﻘﯾم اﻟﮭﺎش ﻓﻲ ﻧﻔس ،bucketﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم أن ﯾﺳﺑب ﻟﻠﺗطﺑﯾﻖ أداء وظﺎﺋﻔﮭﺎ ﻓﻲ اﻟوﻗت اﻷﺳﻲ ﻟﻛل إدﺧﺎل ﻻﺣﻖ. طﺎﻟﻣﺎ ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم إرﺳﺎل اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﯾﺗم ﻣﻌﺎﻟﺟﺗﮭﺎ ﺑﺎﺳﺗﺧدام ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ وظﯾﻔﺔ اﻟﮭﺎش ﺑﺣرﯾﺔ ،ﻓﺎﻧﮫ ﯾﻣﻛن أن ﯾﺳﺑب اﺳﺗﺧدام وﺣدة اﻟﻣﻌﺎﻟﺟﺔ اﻟﻣرﻛزﯾﺔ اﻟﺧﺎص ﺑﺎﻟﺧﺎدم ﻟﺗﺗﺟﺎوز اﻟﻘدرات وﯾدھور ﻣﺎ ﯾﻣﻛن أن ﯾﻛون ﻋﺎدة ﻋﻣﻠﯾﺔ ﺛﺎﻧﯾﮫ ﻟواﺣدة ان ﺗﺄﺧذ ﻋدة دﻗﺎﺋﻖ ﻹﻛﻣﺎل .ﻷﻧﮭﺎ ﻻ ﺗﺄﺧذ ﻋددا ﻛﺑﯾرا ﺟدا ﻣن اﻟطﻠﺑﺎت ﻟﺗطﻐﻰ ﻋﻠﻰ ﺑﻌض اﻟﺗطﺑﯾﻘﺎت ﺑﮭذه اﻟطرﯾﻘﺔ وﺟﻌﻠﮭﺎ ﻏﯾر ﺻﺎﻟﺣﺔ ﻟﻼﺳﺗﻌﻣﺎل ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺷرﻋﯾﯾن. اﻟﺿﺣﯾﺔ ﯾﻣﻛﻧﮫ ﺗﺣﺻﯾن اﻟﻣﺿﯾف ﻣن ھذا اﻟﻧوع ﻣن اﻟﮭﺟﻣﺎت ﻋن طرﯾﻖ ﺗﻐﯾﯾر )أو ﺣﺗﻰ إزاﻟﺔ( اﻟوﺳﯾطﺔ ) (middlewareﻹزاﻟﺔ اﻟﺿﻌف. اﻟﻘﯾﺎم ﺑذﻟك ﻗد ﻻ ﯾﻛون ﻣن اﻟﺳﮭل داﺋﻣﺎ ،وإذا ﻛﺎن اﻟﻣﮭﺎﺟم ﻗد وﺟد ﺣﻘﺎ ﻧﻘطﺔ ﺿﻌف ﻟم ﺗﻛن ﻣﻌروﻓﺔ ﺳﺎﺑﻘﺎ ،ﺣﺗﻰ ﻛﺷف ﻣﺎ ﻓﻌﻠﮫ ﯾﺳﺑب اﻟﺗﺑﺎطؤ ﻗد ﯾﻛون ﺗﺣدﯾﺎ .أﯾﺿﺎ ،اﻟوﺳﯾطﺔ ) (middlewareﻗد ﻻ ﺗﻛون ﻗﺎﺑﻠﺔ ﻟﻠﺗﻐﯾﯾر ﻣن ﻗﺑل اﻟﺿﺣﯾﺔ ﻧﻔﺳﮫ اﻟذي ﻗد ﯾﺣﺗﺎج اﻻﻧﺗظﺎر ﻟﻠﺣﺻول ﻋﻠﻰ ﺗﺣدﯾث ﻣن اﻟﻣؤﻟف أو اﻟﺷرﻛﺔ اﻟﻣﺻﻧﻌﺔ ﻟﻠوﺳﯾطﺔ .وﻋﻼوة ﻋﻠﻰ ذﻟك ،إذا ﻛﺎﻧت اﻟوﺳﯾطﺔ أﻣر ﺣﯾوي ﻟﻌﻣﻠﯾﺔ اﻟﺿﺣﯾﺔ اﻟﻣﻧﺎﺳﺑﺔ ،ﻓﺎن ﺗﻌطﯾل أو إزاﻟﺗﮫ ﻗد ﺗﻛون أﻛﺛر ﺿررا ﻣن اﻟﮭﺟوم ﻧﻔﺳﮫ. ﻻﺣظ أن اﻟﻌﻘدة اﻟوﺳﯾطﺔ ﻟﮭﺟوم ﻧﺎﺟﺢ ﻗد ﻻ ﯾﺑدو أي ﻣن اﻟﻣﺷﺎﻛل ﻋﻠﻰ اﻹطﻼق ،إﻻ أن ﺗﻠك اﻟﺧدﻣﺎت اﻟﺗﻲ ﺗﻌﺗﻣد ﻋﻠﻰ اﻟوﺳﯾطﺔ ﺑطﯾﺋﺔ .ﻋدد اﻟﺣزم اﻟﺗﻲ ﺗﺗﻠﻘﺎھﺎ ﻗد ﺗﻛون ﻣﺳﺗﺑﻌدة ،وﺧدﻣﺎت أﺧرى ﻏﯾر ذات ﺻﻠﺔ ﻋﻠﻰ اﻟﻌﻘدة ﻗد ﯾﺗﺻرف ﺑﺷﻛل ﺻﺣﯾﺢ ،ورﺑﻣﺎ ﯾﻛون ھﻧﺎك ﻋدد ﻗﻠﯾل ﻣن اﻟﻌﻼﻣﺎت ﻣﻧﺑﮭﺔ ﻣن ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ اﻟﻣﺳﺗﻣرة ،وراء اﻟﺧدﻣﺎت اﻟﺗﻲ ﻻ ﺗﻌﻣل .ﻋﻼوة ﻋﻠﻰ ذﻟك ،ﻗد ﻻ ﺗﺗﻣﻛن ﻣن اﻟﻣﺳﺎﻋدة ﻓﻲ ھذا اﻟﻧوع ﻣن اﻟﮭﺟﻣﺎت اﻟﻌدﯾد ﻣن آﻟﯾﺎت اﻟدﻓﺎع دوس اﻟﺗﻲ ﺗﮭدف ﻟﻠدﻓﺎع ﺿد اﻟﻔﯾﺿﺎﻧﺎت. ﻣﮭﺎﺟﻤﺔ اﻟﻤﻮارد )(Attacking A Resource اﻟﻣﮭﺎﺟم ﻗد ﯾﺳﺗﮭدف ﻣورد ﻣﻌﯾن ﻣﺛل دورات وﺣدة اﻟﻣﻌﺎﻟﺟﺔ اﻟﻣرﻛزﯾﺔ أو ﻗدرة ﺟﮭﺎز اﻟراوﺗر واﻟﺳوﯾﺗش .ﻓﻲ ﯾﻧﺎﯾر ،2001ﻋﺎﻧت ﻣﺎﯾﻛروﺳوﻓت ﻣن اﻧﻘطﺎع اﻟﺗﻲ ﺗم اﻹﺑﻼغ ﻋﻧﮫ ﻟﯾﻛون ﻧﺎﺟﻣﺎ ﻋن ﺧطﺄ ﺗﻛوﯾن اﻟﺷﺑﻛﺔ .ﻋطل ھذا اﻻﻧﻘطﺎع ﻋدد ﻛﺑﯾر ﻣن ﺧﺻﺎﺋص ﻣﺎﯾﻛروﺳوﻓت .ﻋﻧدﻣﺎ ﺟﺎء ﺧﺑر ھذا اﻟﮭﺟوم ﺑﮭﺎ ،اﻛﺗﺷف أن ﻛل ﻣن ﺧوادم DNSﻣﺎﯾﻛروﺳوﻓت ﻛﺎﻧت ﻋﻠﻰ ﻗطﻌﺔ اﻟﺷﺑﻛﺔ ﻧﻔﺳﮭﺎ ،ﯾﺧدﻣﮭﺎ ﻧﻔس ﺟﮭﺎز اﻟراوﺗر .ﻓﺎﺳﺗﮭدف اﻟﻣﮭﺎﺟﻣون اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﻠراوﺗر أﻣﺎم ھذه اﻟﻣﻠﻘﻣﺎت وأﺳﻘط ﺟﻣﯾﻊ ﺧدﻣﺎت ﻣﺎﯾﻛروﺳوﻓت ﻋﻠﻰ اﻹﻧﺗرﻧت. ﻣﺎﯾﻛروﺳوﻓت ﺗﺣرﻛت ﺑﺳرﻋﺔ ﻟﺗﻔرﯾﻖ ﺧوادم اﻷﺳﻣﺎء ) (DNSﺟﻐراﻓﯾﺎ وﺗوﻓﯾر ﻣﺳﺎرات اﻟﺗوﺟﯾﮫ اﻟزاﺋدة ﻋن اﻟﺣﺎﺟﺔ إﻟﻰ ﺧوادم ﻟﺟﻌل اﻷﻣر أﻛﺛر ﺻﻌوﺑﺔ ﻟﺷﺧص أن ﯾﺄﺧذ ﻛل ﻣﻧﮭم ﺧﺎرج اﻟﺧدﻣﺔ ﻓﻲ وﻗت واﺣد .ﯾﻣﻛن إزاﻟﺔ اﻻﺧﺗﻧﺎﻗﺎت وزﯾﺎدة اﻟﻘدرة ﻋﻠﻰ ﻣﻌﺎﻟﺟﺔ ھﺟﻣﺎت اﻟﻣوارد، رﻏم ذﻟك ،ﻣرة أﺧرى ،اﻟﻣﮭﺎﺟم ﻗد ﯾﺳﺗﺟﯾب ﻣﻊ ھﺟوم أﻗوى .وﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﺷرﻛﺎت ذات اﻟﻣوارد أﻗل ﻣن ﻣﺎﯾﻛروﺳوﻓتoverprovisioning ، وﺗﻔرﯾﻖ اﻟﺧدﻣﺎت ﺟﻐراﻓﯾﺎ ﻗد ﻻ ﯾﻛون ﺧﯾﺎرا ﻗﺎﺑﻼ ﻟﻠﺗطﺑﯾﻖ ﻣن اﻟﻧﺎﺣﯾﺔ اﻟﻣﺎﻟﯾﺔ.
ﻣﮭﺎﺟﻤﺔ ﻣﻮارد اﻟﺒﻨﯿﺔ اﻟﺘﺤﺘﯿﺔ
ﻣوارد اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ھﻲ أھداف ﺟذاﺑﺔ ﺑﺷﻛل ﺧﺎص ﻟﮭﺟﻣﺎت ﻋﻠﯾﮭم ﯾﻣﻛن أن ﯾﻛون ﻟﮭﺎ ﺗﺄﺛﯾرات ﻋﻠﻰ ﻗطﺎﻋﺎت واﺳﻌﺔ ﻣن ﺳﻛﺎن اﻹﻧﺗرﻧت. اﻟراوﺗر ھو ﺧدﻣﺔ اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﻺﻧﺗرﻧت اﻟرﺋﯾﺳﯾﺔ اﻟﺗﻲ ﯾﻣﻛن أن ﯾﻛون ﻣﺳﺗﮭدﻓﺔ ﻣن ﻗﺑل ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ .ﻟﻔﺗرة وﺟﯾزة ،وﺗﺣﺗﻔظ ھذه اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﺑﺎﻟﻣﻌﻠوﻣﺎت اﻟﻣطﻠوﺑﺔ ﻟﺗﻘدﯾم اﻟﺣزم إﻟﻰ وﺟﮭﺎﺗﮭم ،وﺑﺎﻟﺗﺎﻟﻲ ھو أﻣر ﺣﺎﺳم ﻟﺗﺷﻐﯾل اﻹﻧﺗرﻧت .ﻋﻠﻰ ﻣﺳﺗوى ﻋﺎل ،ﺗﻌﻣل اﻟﺧدﻣﺔ ﻣن ﺧﻼل ﺗﺑﺎدل اﻟﻣﻌﻠوﻣﺎت ﺣول اﻟﻣﺳﺎرات ﻣن ﺧﻼل ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﺑﯾن أﺟﮭزة اﻟراوﺗر ،واﻟﺗﻲ ﺑﻧﻰ اﻟﺟداول اﻟﺗﻲ ﺗﺳﺎﻋد ﻋﻠﻰ ﺗﺣدﯾد ﻣﻛﺎن إرﺳﺎل اﻟﺣزم .ﻛﻣﺎ ﺗدﺧل اﻟﺣزﻣﺔ ﻟﺟﮭﺎز اﻟراوﺗر ،ﻓﺈﻧﮭﺎ ﺗﻘوم ﺑﺎﺳﺗﺷﺎرة اﻟﺟدول ﻟﺗﺣدﯾد ﻣﻛﺎن اﻹرﺳﺎل اﻟﺣزﻣﺔ اﻟﺗﺎﻟﯾﺔ. ھذه اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﯾﻣﻛن ﻣﮭﺎﺟﻣﺗﮭﺎ ﺑﺎﻟﻌدﯾد ﻣن اﻟطرق ﻟﺗﺳﺑب اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ .ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ﻓﯾﺿﺎﻧﺎت أﺟﮭزة اﻟراوﺗر واﻟﺑروﺗوﻛوﻻت اﻟﻣﺳﺗﺧدﻣﺔ ﻟﺗﺑﺎدل اﻟﻣﻌﻠوﻣﺎت ﻟدﯾﮭﺎ ﻣﺧﺗﻠف ﻧﻘﺎط اﻟﺿﻌف اﻟﻣﺣﺗﻣﻠﺔ اﻟﺗﻲ ﯾﻣﻛن اﺳﺗﻐﻼﻟﮭﺎ ﻟﻠﺣرﻣﺎن اﻟﺧدﻣﺔ .ھذه ﻟﯾﺳت اﻷﺧطﺎء اﻟﺑرﻣﺟﯾﺔ اﻟوﺣﯾدة ﻓﻲ ﺗطﺑﯾﻘﺎت اﻟﺑروﺗوﻛوﻻت ،وﻟﻛن أﯾﺿﺎ اﻟﺧﺻﺎﺋص اﻟﺗﻲ ﺗم ﺗﺻﻣﯾم اﻟﺑروﺗوﻛوﻻت ﻋﻠﯾﮭﺎ واﻟﺗﻲ ﯾﻣﻛن أن ﯾﺳﺎء اﺳﺗﺧداﻣﮭﺎ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم. ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ھﻧﺎك ﻋدة طرق اﻟﺗﻲ ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟﻣﯾن ﻣﺣﺎوﻟﺔ ﻣلء اﻟﺟداول ﺟﮭﺎز اﻟراوﺗر ﻣﻊ إدﺧﺎﻻت ﻏﯾر ﻣﮭﻣﮫ ،ورﺑﻣﺎ ﻻ ﯾدع ﻣﺟﺎﻻ ﻹدﺧﺎﻻت اﻟﺣرﺟﺔ أو ﺟﻌل ﻣدى اﻟراوﺗر أﺑطﺄ ﺑﻛﺛﯾر .ﺟﮭﺎز اﻟراوﺗر ﻣن اﻟﻣﻣﻛن ان ﯾﺗم إﻋداد ﺗﻌﻠﯾﻣﺎﺗﮫ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم ﻹرﺳﺎل اﻟﺣزم إﻟﻰ د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1057 اﻟﻣﻛﺎن اﻟﺧطﺄ ،وﻣﻧﻊ إﯾﺻﺎﻟﮭﺎ .أو ﯾﻣﻛن أن ﺗﻛون اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻏﯾر ﻣﺳﺗﻘرة ﻣن ﺧﻼل إﺟﺑﺎر اﻟراوﺗر ﻋﻠﻰ اﻟﺗﻐﯾﯾرات اﻟﻣﺗﻛررة ﻟﻠﻐﺎﯾﺔ ﻓﻲ ﻣﻌﻠوﻣﺎﺗﮭﺎ اﻟﺗوﺟﯾﮫ .ھﻧﺎك ﻋدد ﻣن اﻷﺳﺎﻟﯾب اﻟﻔﻌﺎﻟﺔ إﻟﻰ ﺣد ﻣﺎ ﻟﻣواﺟﮭﺔ ھذه اﻟﮭﺟﻣﺎت ،واﻟﻌدﯾد ﻣن اﻟﺑﺣوث ﻣﺳﺗﻣر ﻹﯾﺟﺎد أﻓﺿل اﻟطرق ﻟﺣﻣﺎﯾﺔ ھذه اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ اﻟﺣﯾوﯾﺔ. ﻻ ﯾﻣﻛن اﺳﺗﺑﻌﺎد أن ﺟﮭﺎز اﻟراوﺗر ﻣن اﻟﻣﻣﻛن أن ﯾﺗﻌرض ﻟﻠﺧطر إﻣﺎ ﻋن طرﯾﻖ ﻧﻘﺎط اﻟﺿﻌف اﻟﻘﺎﺋﻣﺔ أو ﻣن ﺧﻼل ﻛﻠﻣﺔ ﻣرور ﺿﻌﯾﻔﺔ أو ﺗﻘﺻﯾر. اﻟﻔﯿﻀﺎﻧﺎت اﻟﻨﻘﯿﺔ )(PURE FLOODING ﻧظرا ﻟﻠﻌدد اﻟﻛﺑﯾر ﺑﻣﺎ ﻓﯾﮫ اﻟﻛﻔﺎﯾﺔ ﻣن اﻟوﻛﻼء ،ﻓﻣن اﻟﻣﻣﻛن ﺑﺑﺳﺎطﺔ إرﺳﺎل أي ﻧوع ﻣن اﻟﺣزم ﻓﻲ أﺳرع وﻗت ﻣﻣﻛن ﻣن ﻛل آﻟﺔ واﺳﺗﮭﻼك ﻋرض اﻟﻧطﺎق اﻟﺗرددي ﻛﻠﮫ ﻟﺷﺑﻛﺔ اﻻﺗﺻﺎل اﻟﻣﺗوﻓرة ﻋﻠﻰ اﻟﺿﺣﯾﺔ .وھذا اﻟﮭﺟوم ھو ھﺟوم ﻻﺳﺗﮭﻼك ﻋرض اﻟﻧطﺎق اﻟﺗرددي ) .(bandwidth consumption attackاﻟﺿﺣﯾﺔ ﻻ ﯾﻣﻛﻧﮫ اﻟدﻓﺎع ﺿد ھذا اﻟﮭﺟوم ،ﺣﯾث ان اﻟﺣزم اﻟﻣﺷروﻋﺔ ﯾﺣﺻل ﻟﮭﺎ إﺳﻘﺎط ﻋﻠﻰ راﺑط اﻟﻣﻧﺑﻊ ،ﺑﯾن ISPوﺷﺑﻛﺔ اﻟﺿﺣﯾﺔ .وھﻛذا ،ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن اﻟﺿﺣﯾﺔ ﯾطﻠب اﻟﻣﺳﺎﻋدة ﻣن ISPﻟﺗﺻﻔﯾﺔ ﺣرﻛﺔ اﻟﻣرور اﻟﻣﺧﺎﻟﻔﺔ. ﻟﯾس ﻣن ﻏﯾر اﻟﻣﺄﻟوف أن ﯾﺗﺄﺛر ISPاﻟﺿﺣﯾﺔ أﯾﺿﺎ ﻣن اﻟﮭﺟوم )ﻋﻠﻰ اﻷﻗل "ﺟﮭﺎز راوﺗر اﻟﻌﻣﯾل" اﻟذي ﯾرﺑط اﻟﺿﺣﯾﺔ ﺑﺷﺑﻛﺔ (ISPوﻗد ﯾﺿطر إﻟﻰ ﻓﻠﺗرة أﺟﮭزة اﻟﺗوﺟﯾﮫ اﻟﺧﺎﺻﺔ ﺑﮭم .ﻓﻲ ﺑﻌض اﻟﺣﺎﻻت ،ھﺟوم ﺣرﻛﺔ اﻟﻣرور ﻣن اﻟﺳﮭل ﺟدا اﻟﺗﺣدﯾد واﻟﻔﻠﺗرة )ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل، ﺣرﻛﺔ ﺣزم UDPﻛﺑﯾره إﻟﻰ اﻟﻣﻧﺎﻓذ اﻟﻐﯾر اﻟﻣﺳﺗﺧدﻣﺔ ،اﻟﺣزم ﻣﻊ ﻗﯾﻣﺔ ﺑروﺗوﻛول IPﻣن .(255ﻓﻲ ﺣﺎﻻت أﺧرى ،ﻗد ﯾﻛون ﻣن اﻟﺻﻌب ﺟدا ﺗﺣدﯾد ﺣﻘول رأس اﻟﺣزﻣﺔ اﻟﻣﺣددة اﻟﺗﻲ ﯾﻣﻛن أن ﺗﺳﺗﺧدم ﻓﻲ اﻟﻔﻠﺗرة )ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻋﻛس اﺳﺗﻔﺳﺎرات ،DNSواﻟﺗﻲ ﯾﻣﻛن أن ﺗﺑدو وﻛﺄﻧﮭﺎ ردود ﻋﻠﻰ اﺳﺗﻔﺳﺎر DNSﺷرﻋﯾﮫ ﻣن اﻟﻌﻣﻼء داﺧل اﻟﺷﺑﻛﺔ اﻟﺧﺎﺻﺔ ﺑك ،أو طوﻓﺎن ﻣن طﻠﺑﺎت HTTPﻋﻠﻰ ﻧطﺎق واﺳﻊ اﻟﺷرﻋﯾﺔ(. إذا ﺣدث ھذا ،ﻓﺎن اﻟﻔﻠﺗرة ﺑﺑﺳﺎطﮫ ﺳوف ﺗﻘوم ﺑﺈﻧﻘﺎذ ﻋﻠﻰ ﺣد ﺳواء اﻟﺿﺣﯾﺔ وﻣوارد ،ISPوﻟﻛن ﺣرﻛﺔ ﻣرور ﻋﻣﻼء اﻟﺿﺣﯾﺔ ﺳوف ﺗﺻل اﻟﻰ اﻟﺻﻔر ،وﯾﺗﺣﻘﻖ ﺗﺄﺛﯾر ﺣﺟب اﻟﺧدﻣﺔ. أﻧواع ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ .1اﻟﮭﺠﻤﺎت اﻟﺗﻲ ﺗﺴﺘﮭﺪف ﻣﻮارد اﻟﺸﺒﻜﺔ )(Attacks Targeting Network Resources اﻟﮭﺟﻣﺎت اﻟﺗﻲ ﺗﺳﺗﮭدف ﻣوارد اﻟﺷﺑﻛﺔ ﺗﺣﺎول أن ﺗﺳﺗﮭﻠك ﻛل ﻣن اﻟﻧطﺎق اﻟﺗرددي ﻟﺷﺑﻛﺔ اﻟﺿﺣﯾﺔ ﺑﺎﺳﺗﺧدام ﻛﻣﯾﺔ ﻛﺑﯾرة ﻣن ﺣرﻛﺔ اﻟﻣرور اﻟﻐﯾر ﺷرﻋﯾﮫ ﻟﺗﺷﺑﻊ أﻧﺎﺑﯾب اﻹﻧﺗرﻧت ﻟﻠﺷرﻛﺔ .اﻟﮭﺟﻣﺎت ﺑﮭذه اﻟطرﯾﻘﺔ ،ﺗﺳﻣﻰ network floodsأو ،Bandwidth Attacksوھﻲ ﺑﺳﯾطﺔ ﻟﻛﻧﮭﺎ ﻓﻌﺎﻟﺔ .ﻓﻲ ھﺟوم اﻟﻔﯾﺿﺎﻧﺎت اﻟﻧﻣوذﺟﯾﺔ " ،"flooding attackﯾﺗم ﺗوزﯾﻊ اﻟﮭﺟوم ﺑﯾن ﺟﯾش ﻣن اﻵﻻف ﻣن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر أو اﻷﺟﮭزة اﻟﻣﺧﺗرﻗﺔ – botnet-واﻟﺗﻲ ﺑﺑﺳﺎطﺔ ﺗرﺳل ﻛﻣﯾﺔ ﻛﺑﯾرة ﻣن ﺣرﻛﺔ اﻟﻣرور إﻟﻰ اﻟﻣوﻗﻊ اﻟﻣﺳﺗﮭدف ،اﻟﺳﺎﺣﻘﺔ ﻟﺷﺑﻛﺗﮭﺎ .ﻓﻲ ﺣﯾن أﻧﮭﺎ ﻗد ﺗﺑدو ھذه اﻟطﻠﺑﺎت ﻣﺷروﻋﺔ ﻓﻲ أﻋداده اﻟﺻﻐﯾرة .أﻣﺎ ﻓﻲ اﻷﻋداد اﻟﻛﺑﯾرة ﯾﻣﻛن أن ﺗﻛون ﺿﺎرة ﺑﺷﻛل ﻛﺑﯾر .اﻟﻣﺳﺗﺧدم اﻟﺷرﻋﻲ ﺣﯾﻧﻣﺎ ﯾﺣﺎول اﻟوﺻول إﻟﻰ ﻣوﻗﻊ اﻟﺿﺣﯾﺔ اﻟﻣﻧدرج ﺗﺣت ھﺟوم اﻟﻔﯾﺿﺎﻧﺎت ﻓﺎﻧﮫ ﺳوف ﯾﺟد اﻟﻣوﻗﻊ ﺑطﻲء ﺑﺷﻛل ﻻ ﯾﺻدق أو ﺣﺗﻰ ﻻ ﯾﺳﺗﺟﯾب. اﻟﻔﯿﻀﺎﻧﺎت :UDP Floodاﻟﺑروﺗوﻛول ) User Datagram Protocol (UDPھو ﺑروﺗوﻛول ﺑدون اﺗﺻﺎل ﯾﺳﺗﺧدم ﻣﺧططﺎت ﻣﺿﻣﻧﺔ ﻓﻲ ﺣزم IP ﻟﻼﺗﺻﺎل دون اﻟﺣﺎﺟﺔ إﻟﻰ إﻧﺷﺎء ﺟﻠﺳﺔ ﻋﻣل ﺑﯾن اﻟﺟﮭﺎزﯾن )وﺑﺎﻟﺗﺎﻟﻲ ﻻ ﯾﺗطﻠب ﻋﻣﻠﯾﺔ اﻟﻣﺻﺎﻓﺣﺔ( .ھﺟوم UDP Floodﻻ ﯾﺳﺗﻐل ﻧﻘطﺔ ﺿﻌف ﻣﺣددة ،وإﻧﻣﺎ ﺑﺑﺳﺎطﺔ ﯾﻧﺗﮭك اﻟﺳﻠوك اﻟﻌﺎدي ﻋﻠﻰ ﻣﺳﺗوى ﻋﺎل ﯾﻛﻔﻲ ﻟﯾﺳﺑب ازدﺣﺎم ﻓﻲ اﻟﺷﺑﻛﺔ ﻟﻠﺷﺑﻛﺔ اﻟﻣﺳﺗﮭدﻓﺔ .وھو ﯾﺗﺄﻟف ﻣن إرﺳﺎل ﻋدد ﻛﺑﯾر ﻣن ﻣﺧططﺎت UDPﻣن ﻋﻧﺎوﯾن IPواﻟﻣﺣﺗﻣل أن ﯾﻛون ﻣزﯾف ﻟﻣﻧﺎﻓذ ﻋﺷواﺋﯾﺔ ﻋﻠﻰ اﻟﻣﻠﻘم اﻟﮭدف .اﻟﺧﺎدم ﯾﺗﻠﻘﻰ ھذه اﻟﺣرﻛﺔ ﻏﯾر ﻗﺎدر ﻋﻠﻰ ﻣﻌﺎﻟﺟﺔ ﻛل طﻠب ،وﯾﺳﺗﮭﻠك اﻟﻧطﺎق اﻟﺗرددي ﻛﻠﮫ ﻓﻲ ﻣﺣﺎوﻟﺔ ﻹرﺳﺎل ﺣزم "destination unreachable" ICMPردود ﺗﺄﻛد أﻧﮫ ﻻ ﯾوﺟد ﺗطﺑﯾﻖ ﯾﺳﺗﻣﻊ اﻟﻰ اﻟﻣواﻧﺊ اﻟﻣﺳﺗﮭدﻓﺔ .ﻜ ،volumetric attackﯾﺗم ﻗﯾﺎس UDP Floodﺑﺎﻟﻣﯾﻐﺎﺑت ﻓﻲ اﻟﺛﺎﻧﯾﺔ ) Mbpsﻋرض اﻟﻧطﺎق اﻟﺗرددي( و.(packets per second) PPS
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1058 :ICMP Floodاﻟﺑروﺗوﻛول ) Internet Control Message Protocol (ICMPھو ﺑروﺗوﻛول أﺧر ﺑدون اﺗﺻﺎل ﯾﺳﺗﺧدم ﻋﻣﻠﯾﺎت
،IPواﻟﺗﺷﺧﯾص ،واﻷﺧطﺎء .ﻓﻘط ﻛﻣﺎ ھو اﻟﺣﺎل ﻣﻊ ) ICMP flood ،UDP floodأو (Ping Floodوھو ھﺟوم ﻏﯾر ﻗﺎﺋم ﻋﻠﻰ ﻧﻘﺎط اﻟﺿﻌف .وھذا ھو ،ﻻ ﯾﻌﺗﻣد ﻋﻠﻰ أي ﻣن ﻧﻘﺎط اﻟﺿﻌف ﻣﻌﯾن ﻟﺗﺣﻘﯾﻖ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ICMP flood .ﯾﻣﻛن أن ﯾﻧطوي ﻋﻠﻰ أي ﻧوع ﻣن رﺳﺎﺋل ICMPﻜ .ICMP_ECHOﺑﻣﺟرد أن ﯾﺗم إرﺳﺎل ﻣﺎ ﯾﻛﻔﻲ ﻣن ﺣرﻛﺔ ﻣرور ICMPإﻟﻰ اﻟﻣﻠﻘم اﻟﮭدف ،ﻓﺎن ﯾﺻﺎب ﺑﺎﻟﺗﺿﺧم ﻓﻲ ﻣﺣﺎوﻟﺔ ﻟﻣﻌﺎﻟﺟﺔ ﻛل طﻠب ،ﻣﻣﺎ ﯾؤدى إﻟﻰ ﺣﺎﻟﺔ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ICMP flood .ھو أﯾﺿﺎ ھﺟوم اﻟﺣﺟﻣﻲ "،"volumetric attack ﯾﻘﺎس ﺑﺎﻟﻣﯾﻐﺎﺑت ﻓﻲ اﻟﺛﺎﻧﯾﺔ ) Mbpsﻋرض اﻟﻧطﺎق اﻟﺗرددي( و.(packets per second) PPS ﻓﻲ ھذا اﻟﻧوع ﻣن اﻟﮭﺟﻣﺎت اﻟﻣﮭﺎﺟﻣﯾن ﯾﻘوﻣون ﺑﺈرﺳﺎل ﻋدد ﻛﺑﯾر ﻣن اﻟﺣزم ﻣﻊ ﻋﻧﺎوﯾن ﻣﺻدر وھﻣﯾﺔ ﻟﻠﻣﻠﻘم اﻟﮭدف ﻟﻠﺗﺣطﯾم وﯾﺳﺑب اﻟﺗوﻗف ﻋن اﻻﺳﺗﺟﺎﺑﺔ ﻟطﻠﺑﺎت .TCP/IP ﯾﺳﺗﺧدم ﺑروﺗوﻛول ) Internet Control Message Protocol (ICMPﻓﻲ اﻻﺳﺎس ﻟﺗﺣدﯾد ﻣوﻗﻊ ﻣﻌدات اﻟﺷﺑﻛﺔ وﺗﺣدﯾد ﻋدد اﻟﻘﻔزات ﻟﻠوﺻول اﻟﻰ ﻣوﻗﻊ اﻟﻣﺻدر إﻟﻰ اﻟوﺟﮭﺔ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،اﻟﺣزم ("ping") ICMP_ECHO_REPLYﺗﺳﻣﺢ ﻟﻠﻣﺳﺗﺧدم ﺑﺈرﺳﺎل طﻠب إﻟﻰ ﻧظﺎم اﻟوﺟﮭﺔ واﻟﺣﺻول ﻋﻠﻰ اﺳﺗﺟﺎﺑﺔ ﻣﻊ اﻟوﻗت إﯾﺎﺑﺎ.
:IGMP Floodﺑروﺗوﻛول ) Internet Group Management Protocol (IGMPھو ﺑروﺗوﻛول ﺑدون اﺗﺻﺎل آﺧر ،وﯾﺳﺗﺧدم ﻣن ﻗﺑل ) IP hostsأﺟﮭزة اﻟﻛﻣﺑﯾوﺗر وأﺟﮭزة اﻟراوﺗر( ﻟﯾﻘدم ﺗﻘرﯾرا أو ﺗرك ﻋﺿوﯾﺔ اﻟزﻣرة ﻣن أﺟل أﺟﮭزة اﻟراوﺗر اﻟﻣﺟﺎورة .وIGMP Flood ﻏﯾر ﻗﺎﺋم ﻋﻠﻰ ﻧﻘﺎط اﻟﺿﻌف ،ﻛﻣﺎ ﯾﺳﻣﺢ IGMPﺒ multicastﺣﺳب اﻟﺗﺻﻣﯾم .ﺗﻧطوي ھذه اﻟﻔﯾﺿﺎﻧﺎت ﻋﻠﻰ ﻋدد ﻛﺑﯾر ﻣن ﺗﻘﺎرﯾر IGMP واﻟﺗﻲ ﯾﺗم إرﺳﺎﻟﮭﺎ إﻟﻰ اﻟﺷﺑﻛﺔ أو ﺟﮭﺎز اﻟراوﺗر ،ﻣﻣﺎ ﯾؤدى اﻟﻰ ﺗﺑﺎطؤ ﻣﻠﺣوظ ﻓﻲ ﻧﮭﺎﯾﺔ اﻟﻣطﺎف وﻣﻧﻊ ﺣرﻛﺔ اﻟﻣرور اﻟﻣﺷروﻋﺔ ﻣن أن ﯾﺗم إرﺳﺎﻟﮭﺎ ﻋﺑر اﻟﺷﺑﻛﺔ اﻟﻣﺳﺗﮭدﻓﺔ. .2ھﺠﻤﺎت اﻟﺘﻀﺨﯿﻢ )(Amplification Attack ھذا اﻟﮭﺟوم ﯾﻛون ﻓﯾﮫ اﻟﻣﮭﺎﺟم ﻗﺎدر ﻋﻠﻰ اﺳﺗﺧدام ﻋﺎﻣل اﻟﺗﺿﺧﯾم ﻟﻣﺿﺎﻋﻔﺔ ﻗوة اﻟﮭﺟوم وذﻟك ﻣن ﺧﻼل اﺧﺗراق ﺧدﻣﺔ ﻣﺎ ﻟﺗوﻟﯾد رﺳﺎﻟﺔ واﺣدة ﻛﺑﯾره ﺑﺷﻛل ﻏﯾر ﻣﻧﺎﺳب أو ﻋدة رﺳﺎﺋل ﻟﻛل رﺳﺎﻟﺔ ﯾﺗﻠﻘوﻧﮭﺎ ﻟﺗﺿﺧﯾم ﺣﺟم ﺣرﻛﺔ ﻣرور اﻟﮭﺟوم اﻟﻣوﺟﮫ ﻧﺣو اﻟﺿﺣﯾﺔ اﻟﻣﺳﺗﮭدﻓﺔ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم اﺳﺗﺧدام ﺟﮭﺎز اﻟراوﺗر ﻛﻣﻌﺎﻣل ﻟﻠﺗﺿﺧﯾم ،واﻻﺳﺗﻔﺎدة ﻣن ﻣﯾزة broadcast IP addressﻹرﺳﺎل رﺳﺎﺋل إﻟﻰ ﻋﻧﺎوﯾن IPﻣﺗﻌددة ﻓﻲ ﺣﯾن اﻧﮫ ﯾﺗم ﺗزﯾف ﻋﻧوان IPاﻟﻣﺻدر )اﻟﻣرﺳل( إﻟﻰ IPاﻟﮭدف .وﻣن اﻷﻣﺛﻠﺔ اﻟﺷﮭﯾرة ﻣن ھﺟﻣﺎت اﻟﺗﺿﺧﯾم Smurf Attacks ) (ICMP amplificationو.(UDP amplification) Fraggle Attacks
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1059 ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻓﻲ ھﺟوم ،Smurf DoSاﻟﻣﮭﺎﺟﻣﯾن ﯾﻘوﻣون ﺑﺎﺳﺗﻐﻼل ﺧدﻣﺔ IP network broadcasting serviceوإرﺳﺎل ﺣزم ICMP echo requestإﻟﻰ ﻋﻧوان IPﻣﺗﻌدد اﻹرﺳﺎل ) (multicast addressﻟﺷﺑﻛﺔ وﺳﯾطﺔ ﻟﺗﺿﺧﯾم ﺣرﻛﺔ ﻣرور اﻟﮭﺟوم .إذا ﻟم ﺗﻛن اﻟﺷﺑﻛﺔ اﻟوﺳﯾطﺔ ﺗﻌﻣل ﻋﻠﻰ ﻓﻠﺗرة ﺣرﻛﺔ ﻣرور ICMP اﻟﻣوﺟﮭﺔ إﻟﻰ ﻋﻧﺎوﯾن IPﻣﺗﻌددة اﻹرﺳﺎل ،ﻓﺈن اﻟﻌدﯾد ﻣن اﻷﺟﮭزة ﻋﻠﻰ اﻟﺷﺑﻛﺔ ﺳوف ﺗﺗﻠﻘﻰ ﺣزﻣﺔ ICMP echo requestھذه وﺗرﺳل اﻟﺣزﻣﺔ ICMP echo reply ﻛرد .ﻟﺗوﺟﯾﮫ ﺣزم ICMP echo replyﻧﺣو اﻟﺿﺣﯾﺔ ،ﻓﺎن اﻟﻣﮭﺎﺟﻣﯾن ﯾﺳﺗﺧدﻣون ﻋﻧوان IPاﻟﺿﺣﯾﺔ ﻛﻌﻧوان اﻟﻣﺻدر ﻓﻲ ﺣزﻣﺔ .ICMP echo replyﻓﻲ ھذا اﻟﮭﺟوم ،ﻛل طﻠب ICMP requestﯾرﺳل ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم ﯾوﻟد ﻋدد Nﻣن رﺳﺎﺋل اﻟرد ﻣن اﻟﺷﺑﻛﺔ اﻟوﺳﯾطﺔ ،ﺣﯾث Nھو ﺗﻘرﯾﺑﺎ ﻋدد اﻟﺟﻧود ﻓﻲ اﻟﺷﺑﻛﺔ اﻟوﺳﯾطﺔ .ﯾﺳﺗﺧدم ھﺟوم ﺳﻣورف ﻋﻠﻰ ﺣد ﺳواء اﻻﻧﻌﻛﺎس ") "reflectionﺗزوﯾر ﻋﻧوان IPاﻟﻣﺻدر( واﻟﺗﺿﺧﯾم )اﺳﺗﻐﻼل ،(IP broadcastوھذا ﯾظﮭر أن ﺗﻘﻧﯾﺎت اﻻﻧﻌﻛﺎس واﻟﺗﺿﺧﯾم ﻋﺎدة ﻣﺎ ﺗﺳﺗﺧدم ﺟﻧﺑﺎ إﻟﻰ ﺟﻧب .وﯾﻣﻛن ﺑﺳﮭوﻟﺔ ﺗﺧﻔﯾف ھذا اﻟﮭﺟوم ﻋﻠﻰ ﺟﮭﺎز ﺳﯾﺳﻛو IOSﺑﺎﺳﺗﺧدام اﻻﻣر ،no ip directed-broadcast subinterfaceﻛﻣﺎ ھو ﻣوﺿﺢ ﻓﻲ اﻟﻣﺛﺎل اﻟﺗﺎﻟﻲ: Router(config)# interface GigabitEthernet 0 Router(config-if)# no ip directed-broadcast آﺧر ﻣﺛﺎل ﻟﻠﮭﺟوم واﻟذي ﯾﺷﻣل ﻛﻼ ﻣن اﻻﻧﻌﻛﺎس واﻟﺗﺿﺧﯾم ھو ھﺟوم ،DNS amplificationوﻓﯾﮫ ﯾﻛون اﻟﻣﮭﺎﺟم ،ﻗد ﺳﺑﻖ ﻟﮫ اﺧﺗراق ﻣﻠﻘم recursive DNS name serverﻟﺗﺧزﯾن ) (cacheاﻟﻣﻠف ﻛﺑﯾر ،ﯾرﺳل اﻻﺳﺗﻌﻼم ﻣﺑﺎﺷرة أو ﻋن طرﯾﻖ اﻟروﺑوﺗﺎت إﻟﻰ ھذا اﻟﻣﻠﻘم ،recursive DNS serverواﻟذي ﺑدوره ﯾﻘوم ﺑﻔﺗﺢ طﻠب ﻟطﻠب ﻣﻠف اﻟﺗﺧزﯾن اﻟﻣؤﻗت اﻟﻛﺑﯾر .ﺛم ﯾﺗم إرﺳﺎل رﺳﺎﻟﺔ اﻟرد )ﺗﺿﺧﯾﻣﮭﺎ ﺑﺷﻛل ﻛﺑﯾر ﻓﻲ اﻟﺣﺟم ﻣن اﻟطﻠب اﻷﺻﻠﻲ( إﻟﻰ ﻋﻧوان IPاﻟﺿﺣﯾﺔ )اﻟﻣﻧﺗﺣل( ،ﻣﻣﺎ ﯾﺳﺑب ﻓﻲ ﺣﺎﻟﺔ إﻧﻛﺎر ﻣن اﻟﺧدﻣﺔ. ﯾوﺿﺢ اﻟﺷﻛل اﻟﺗﺎﻟﻰ ﻣﺛﺎﻻ ﻟﮭﺟوم DNS amplificationاﻟذي ﻟوﺣظ ﻓﻲ ﻋﺎم ،2006ﺣﯾث أﻧطوي ھذا اﻟﮭﺟوم ﻋﻠﻰ أﻛﺛر ﻣن 32،000ﻣن ﺧوادم recursive domain name serversاﻟﻣﻔﺗوﺣﺔ .ﺣﯾث ﻗﺎم اﻟﻣﮭﺎﺟم أوﻻ ﺑﺎﺧﺗراق ﺧﺎدم authoritative DNS serverوﻣن ﺛم ﯾﻧﺷر اﻟﻣﮭﺎﺟم ﺳﺟل ) resource record (RRﻛﺑﯾر اﻟﺣﺟم K4ﺑﺎﯾت .ﺛم ﯾﻛﻠف اﻟﻣﮭﺎﺟم اﻟروﺑوﺗﺎت ﻹرﺳﺎل طﻠﺑﺎت DNSﻣﻊ ﻋﻧوان IP اﻟﺿﺣﯾﺔ إﻟﻰ ﻋدد ﻛﺑﯾر ﻣن ﺧوادم ،open recursive serversﻟﻠﺳؤال ﻋن ﺳﺟل ﻣورد ﻛﺑﯾر .ﺧوادم open recursive serversﺗﻘوم ﺑﺗرﺟﻣﺔ اﻻﺳﺗﻌﻼم ،ﺛم اﻟﺗﺧزﯾن اﻟﻣؤﻗت ﻟﻠﻧﺗﯾﺟﺔ " ،"cache the resultواﻟﻌودة ﺑﺳﺟل ﻣورد ﻛﺑﯾر ﻟﻠﺿﺣﯾﺔ .ﻛل اﺳﺗﻌﻼم 56 DNSﺑﺎﯾت ﯾﺗم إﻧﺷﺎﺋﮭﺎ ﻣن ﺧﻼل اﻟﻣﺿﯾف ،ﯾﺗم إﻧﺷﺎء 4،028ﺑﺎﯾت ﻣن اﻻﺳﺗﺟﺎﺑﺔ ،وﺗﺣﻘﯾﻖ 72:1ﻣن اﻟﺗﺿﺧﯾم.
:Connection-oriented attackھﻲ واﺣدة واﻟﺗﻲ ﯾﻘوم ﻓﯾﮭﺎ اﻟﻣﮭﺎﺟم أوﻻ ﺑﺗﺛﺑﯾت اﺗﺻﺎل ﻣﺳﺑﻖ ﻹطﻼق ھﺟوم .DDoSﻧﺗﺎﺋﺞ ھذا اﻟﮭﺟوم ﯾؤﺛر ﻋﺎدة ﻋﻠﻰ ﻣوارد اﻟﺧﺎدم أو اﻟﺗطﺑﯾﻖ .اﻟﮭﺟﻣﺎت اﻟﻣﺳﺗﻧدة إﻟﻰ TCPأو HTTPأﻣﺛﻠﺔ ﻟﮭﺟﻣﺎت دوس اﻟﻣﻌﺗﻣدة ﻋﻠﻰ اﻻﺗﺻﺎل. :Connectionless attackھﺟوم ﺑدون اﺗﺻﺎل ،ﻣن ﻧﺎﺣﯾﺔ أﺧرى ،ﻻ ﯾﺣﺗﺎج اﻟﻣﮭﺎﺟم ﻟﻔﺗﺢ اﺗﺻﺎل ﻛﺎﻣل ﻣﻊ اﻟﺿﺣﯾﺔ ،وﺑﺎﻟﺗﺎﻟﻲ ھو أﺳﮭل ﺑﻛﺛﯾر ﻓﻲ اﻹطﻼق .ﻧﺗﺎﺋﺞ اﻟﮭﺟوم ﺑدون اﺗﺻﺎل ﺗؤﺛر ﻋﻠﻰ ﻣوارد اﻟﺷﺑﻛﺔ ،ﻣﻣﺎ ﯾﺳﺑب اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ﻗﺑل وﺻول اﻟﺣزم اﻟﺧﺑﯾﺛﺔ اﻟﻰ اﻟﺧﺎدم .ﻓﯾﺿﺎﻧﺎت UDPأو ICMPأﻣﺛﻠﺔ ﻣن ھﺟﻣﺎت DDoSاﺗﺻﺎل. .3اﻟﮭﺠﻤﺎت اﻟﺘﻲ ﺗﺴﺘﮭﺪف ﻣﻮارد اﻟﺨﺎدم )(Attacks Targeting Server Resources اﻟﮭﺟﻣﺎت اﻟﺗﻲ ﺗﺳﺗﮭدف ﻣوارد اﻟﺧﺎدم ﺗﺣﺎول اﺳﺗﻧﻔﺎد اﻟﺧﺎدم ﻣن ﻗدرات اﻟﻣﻌﺎﻟﺟﺔ أو اﻟذاﻛرة ،وﯾﺣﺗﻣل أن ﺗﺳﺑب ﺣﺎﻟﺔ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ. واﻟﻔﻛرة ھﻲ أن اﻟﻣﮭﺎﺟم ﯾﻣﻛﻧﮫ اﻻﺳﺗﻔﺎدة ﻣن اﻟﺿﻌف اﻟﻣوﺟودة ﻋﻠﻰ اﻟﻣﻠﻘم اﻟﮭدف )أو وﺟود ﺿﻌف ﻓﻲ ﺑروﺗوﻛول اﻻﺗﺻﺎﻻت( ﻣن أﺟل أن ﯾﺟﻌل اﻟﻣﻠﻘم اﻟﮭدف ﻟﯾﺻﺑﺢ ﻣﺷﻐوﻻ ﻓﻲ ﻣﻌﺎﻟﺟﺔ اﻟطﻠﺑﺎت اﻟﻐﯾر ﺷرﻋﯾﺔ ﺣﺗﻰ أﻧﮫ ﻟم ﯾﻌد ﻟدﯾﮫ اﻟﻣوارد ﻟﻠﺗﻌﺎﻣل ﻣﻊ اﻟﺷرﻋﯾﺔ ﻣﻧﮭﺎ" .اﻟﺧﺎدم" اﻷﻛﺛر د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1060 ﺷﯾوﻋﺎ ﯾﺷﯾر إﻟﻰ ﻣﻠﻘم اﻟﻣوﻗﻊ أو ﺗطﺑﯾﻖ وﯾب ،وﻟﻛن ھذه اﻷﻧواع ﻣن ھﺟﻣﺎت DDoSﯾﻣﻛن أن ﺗﺳﺗﮭدف اﻷﺟﮭزة اﻟﻣﺻﺣوﺑﺔ ﺑﺎﻟﺣﻣﺎﯾﺔ ﻣﺛل اﻟﺟدران اﻟﻧﺎرﯾﺔ و IPSSﻛذﻟك.
اﻟﻀﻌﻒ ﻓﻲ (TCP/IP Weaknesses) TCP/IP ھذه اﻷﻧواع ﻣن اﻟﮭﺟﻣﺎت ﺗﺳﺊ اﺳﺗﺧدام ﺑروﺗوﻛول TCP/IPﻣن ﺧﻼل اﻻﺳﺗﻔﺎدة ﻣن ﺑﻌض ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ ﺗﺻﻣﯾﻣﮭﺎ .وﻋﺎدة ﻣﺎ ﯾﺳﯾﺋون اﺳﺗﺧدام ﺑﺗﺎت اﻟﺗﺣﻛم اﻟﺳﺗﺔ )أو اﻷﻋﻼم " ("flagsﻟﺑروﺗوﻛول TCP/IPوھﻲ ،FIN ،PSH ،RST ،ACK ،SYNو URGﻣن أﺟل ﺗﻌطﯾل اﻵﻟﯾﺎت اﻟﻌﺎدﯾﺔ ﻟﺣرﻛﺔ ﻣرور .TCP/IPﻋﻠﻰ ﻋﻛس UDPواﻟﺑروﺗوﻛوﻻت اﻷﺧرى اﻟﻘﺎﺋﻣﺔ ﺑدون ﺗﺄﺳﯾس اﺗﺻﺎل ،ﻓﮭﻲ ﻗﺎﺋﻣﮫ ﻋﻠﻰ اﺗﺻﺎل ،وھذا ﯾﻌﻧﻲ أن ﻣرﺳل اﻟﺣزﻣﺔ ﯾﺟب أن ﯾﺄﺳس اﺗﺻﺎل ﻛﺎﻣل ﻣﻊ اﻟﻣﺗﻠﻘﻲ ﻗﺑل إرﺳﺎل أي ﻣن اﻟﺣزم .ﯾﻌﺗﻣد TCP/IPﻋﻠﻰ آﻟﯾﺔ اﻟﻣﺻﺎﻓﺣﺔ اﻟﺛﻼﺛﯾﺔ " (ACK ،SYN-ACK ،SYN) "three-way handshake mechanismﺣﯾث ﻛل طﻠب ﯾﻘوم ﺑﺈﻧﺷﺎء اﺗﺻﺎل ﻧﺻف ﻣﻔﺗوح ) ،(SYNﺛم اﻟرد ﻋﻠﻰ اﻟطﻠب ) ،(SYN-ACKوﻣن ﺛم اﻗرار اﻟرد ) .(ACKوﻋﻧد اﻛﺗﻣﺎل آﻟﯾﺔ اﻟﻣﺻﺎﻓﺣﺔ اﻟﺛﻼﺛﯾﺔ ،ﻓﺎن اﻻﺗﺻﺎل ﯾﻌﺗﺑر ﻗد أﻧﺷﺎ .أي ھﺟوم ھﻧﺎ ﯾﺣﺎول اﺳﺎءة اﺳﺗﺧدام ﺑروﺗوﻛول TCP/IPوﻏﺎﻟﺑﺎ ﻣﺎ ﺗﻧطوي ﻋﻠﻰ إرﺳﺎل ﺣزم TCPﻓﻲ ﺗرﺗﯾب ﻏﯾر ﺻﺣﯾﺢ ،ﻣﻣﺎ ﯾﺳﺑب ﻟﻠﻣﻠﻘم اﻟﮭدف ﻧﻔﺎذ ﻣوارده اﻟﺣﺎﺳوﺑﯾﺔ ﻓﻲ ﻣﺣﺎوﻻت ﻟﻔﮭم ھذه اﻟﺣرﻛﺔ اﻟﻐﯾر طﺑﯾﻌﯾﺔ. TCP SYN Flood ﻓﻲ آﻟﯾﺔ اﻟﻣﺻﺎﻓﺣﺔ اﻟﺛﻼﺛﯾﺔ ﻠ ،TCPﯾﺟب أن ﯾﻛون ھﻧﺎك اﺗﻔﺎق ﺑﯾن ﻛل طرﻓﻲ اﻻﺗﺻﺎل اﻟﻣزﻣﻊ إﻧﺷﺎؤه .ﻓﻲ ﺣﺎﻟﺔ ﻋدم وﺟود ﻋﻣﯾل TCPأو ﻋﻣﯾل ﻏﯾر ﻣطﻠوب ،ﻣﻊ IPﻣزﯾف ،ﻣﺛل ھذا اﻻﺗﻔﺎق ﻏﯾر ﻣﻣﻛن .ﻓﻲ ،TCP SYNأو ﺑﺑﺳﺎطﺔ ھﺟوم ،SYN Floodingاﻟﻌﻣﻼء اﻟﻣﮭﺎﺟﻣﯾن ﯾﻘوﻣون ﺑﻘﯾﺎدة اﻟﺧﺎدم ﻟﻼﻋﺗﻘﺎد ﺑﺄﻧﮭم ﯾطﺎﻟﺑون اﺗﺻﺎﻻت ﻣﺷروﻋﺔ ﻣن ﺧﻼل ﺳﻠﺳﻠﺔ ﻣن طﻠﺑﺎت TCPﻣﻊ أﻋﻼم TCPاﻟﻣﻘررة ،SYNﻗﺎدﻣﺔ ﻣن ﻋﻧﺎوﯾن IPﻣﻧﺗﺣﻠﺔ .ﻟﻠﺗﻌﺎﻣل ﻣﻊ ﻛل ﻣن طﻠﺑﺎت SYNھذه ،ﯾﻔﺗﺢ اﻟﻣﻠﻘم اﻟﮭدف اﻟﻣواﺿﯾﻊ ) (threadsوﯾﺧﺻص اﻟﻣﺧﺎزن اﻟﻣﻘﺎﺑﻠﺔ ﻟﻠﺗﺣﺿﯾر ﻟﻼﺗﺻﺎل .ﺛم ﯾﺣﺎول إرﺳﺎل SYN-ACKﻟﻠرد ﻋﻠﻰ اﻟﻌﻣﻼء ﻟطﻠب اﻻﻋﺗراف ﺑطﻠﺑﺎت اﻻﺗﺻﺎل ،وﻟﻛن ﻷن ﻋﻧﺎوﯾن IP اﻟﺧﺎﺻﺔ ﺑﺎﻟﻌﻣﻼء ﻣﻐﺷوﺷﺔ أو ﻋﻣﻼء ﻏﯾر ﻗﺎدرﯾن ﻋﻠﻰ اﻻﺳﺗﺟﺎﺑﺔ ،ﻓﺎن ﺣزﻣﺔ ) (ACKﻟن ﯾﺗم إرﺳﺎﻟﮭﺎ أﺑدا ﻣرة أﺧرى إﻟﻰ اﻟﺧﺎدم .ﻻ ﺗزال اﻟﻣواﺿﯾﻊ ) (threadsﻓﻲ اﻟﺧﺎدم اﻟﻣﻔﺗوﺣﺔ واﻟﻣﺧﺎزن ﻟﻛل ﻣن طﻠﺑﺎت اﻻﺗﺻﺎل اﻷﺻﻠﯾﺔ ،ﻓﻲ ﻣﺣﺎوﻟﺔ ﻹﻋﺎدة إرﺳﺎل ﺣزم SYN-ACK ﻟﻼﻋﺗراف ﻋدة ﻣرات ﻗﺑل اﻟﻠﺟوء إﻟﻰ طﻠب اﻟﻣﮭﻠﺔ .ﻷن ﻣوارد اﻟﺧﺎدم ﻣﺣدودة وﻏﺎﻟﺑﺎ ﻣﺎ ﯾﻧطوي SYN Floodingﻋﻠﻰ ﻋدد ھﺎﺋل ﻣن طﻠﺑﺎت اﻻﺗﺻﺎل ،اﻟﺧﺎدم ﻏﯾر ﻗﺎدر ﻋﻠﻰ إﻋطﺎء اﻟﻣﮭﻠﺔ ﻟﺟﻌل threadsﻣﻔﺗوﺣﺔ ﻟﻠطﻠﺑﺎت ﻗﺑل وﺻول طﻠﺑﺎت ﻛﺛﯾره ﺟدﯾدة ،وھذا ﯾؤدي إﻟﻰ ﺣﺎﻟﺔ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ.
إذا ،SYN Floodingھو ﻋﺑﺎره ﻋن إرﺳﺎل ﻛﻣﯾﺔ ﻛﺑﯾرة ﻣن اﻻﺗﺻﺎﻻت ﻋﺑر ﺑروﺗوﻛول TCPﻣﻊ اﻟﻌﻠم ،SYNوﺗﺟﺎھل ﻛﺎﻓﺔ اﻟﺣزم اﻻﺳﺗﺟﺎﺑﺔ SYN/ACKﻣرة أﺧرى ﻣن ﺧﺎدم اﻟﺿﺣﯾﺔ .وﻣن أﺟل أن ﯾﺗﺳﺑب ﻓﻲ ﺣﺎﻟﺔ ﺣﺟب اﻟﺧدﻣﺔ ،ﺗﻌﺗﻣد ھذه اﻟﺗﻘﻧﯾﺔ ﻋﻠﻰ "اﻟﺻﺑر" ﻋﻠﻰ ﻣﻛدس ،TCPاﻟﺗﻲ ﻻ ﯾزال ﻓﻲ اﻧﺗظﺎر رﺳﺎﻟﺔ ،ACKﻟﻛل رﺳﺎﻟﺔ SYN/ACKإرﺳﺎﻟﮭﺎ إﻟﻰ اﻟﻌﻣﯾل اﻟﻣﻔﺗرض ،ﻣن أﺟل ﺗﺣدﯾد ﻣﺎ ﯾﻌﺗﺑره اﺗﺻﺎل وارد ﺣﻘﯾﻘﻲ .ﺧﻼل ھذه اﻟﻌﻣﻠﯾﺔ ،ﻟﺗﺗﺑﻊ ﻛل اﻻﺗﺻﺎﻻت اﻟﻣﺷروﻋﺔ ،اﻟﻣﻠﻘم ﯾﺧﺻص ﻛﻣﯾﺔ ﻛﺑﯾرة ﻣن اﻟﻣوارد اﻟﻣﺳﺗﺧدﻣﺔ ﻋﺎدة ﻟطﺑﯾﻌﺗﮭﺎ ﻟﺗﻘدﯾم اﻟﺧدﻣﺎت .وﺑﺳﺑب ﺣﻘﯾﻘﺔ أن ﻋدد اﺗﺻﺎﻻت TCPﻓﻲ اﻟﺧﺎدم ﯾﻣﻛن أن ﺗﻔﺗﺢ ﻓﻲ وﻗت واﺣد ﻣﺣدود ،ﻓﺈذا ﻛﺎن اﻟﻣﮭﺎﺟم ﻗﺎدرا ﻋﻠﻰ إرﺳﺎل ﻣﺎ ﯾﻛﻔﻲ ﻣن ﺣزم ،SYNﻓﺎﻧﮫ ﯾﻣﻛن اﻟوﺻول ﺑﺳﮭوﻟﺔ إﻟﻰ ھذا اﻟﺣد وﻣﻧﻊ أي طﻠب ﺗﺎﻟﻲ ﻟﻠﺣﺻول ﻋﻠﻰ اﺳﺗﺟﺎﺑﺔ ﻣن اﻟﻣﻠﻘم .ھذا اﻟﻧوع ﻣن اﻟﮭﺟوم ﻣن اﻟﺳﮭل اﻟﺗﻌﺎﻣل ﻣﻌﮫ. د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1061 ﻓﻲ ﺣﺎﻟﺔ اﻟﺗﻌﺎﻣل ﻣﻊ اﻻﺗﺻﺎﻻت ﻣﻊ اﻟﺧﺎدم ﻣن اﻟﺧﺎرج ﻣن ﻗﺑل "ﺧدﻣﺔ ﺑروﻛﺳﻲ" ،ﻓﮭذا ﻗﺎدر ،ﺑﺷﻛل ﻋﺎم ،إﻟﻰ إدارة ﻋدد ﻛﺑﯾر ﻣن اﻻﺗﺻﺎﻻت اﻟواردة دون اﻟذھﺎب ﻓﻲ اﻟﻣﻌﺎﻧﺎة .ھؤﻻء اﻟﺑروﻛﺳﻲ ھﻲ أﯾﺿﺎ ﻗﺎدرة ﻋﻠﻰ وﺿﻊ ﺣد ﻟﺟﻣﯾﻊ اﻻﺗﺻﺎﻻت اﻟﺗﻲ ﻻ ﺗﻣﺗﺛل ﻷﻟﯾﺔ اﻟﻣﺻﺎﻓﺣﺔ اﻟﺛﻼﺛﯾﺔ ﻠ TCPﻓﻲ ﻣﺛل ھذه اﻟطرﯾﻘﺔ اﻻﺗﺻﺎﻻت ﻗﺎﻧوﻧﯾﺔ ھﻲ ﻓﻘط ﺳوف ﺗﺻل إﻟﻰ اﻟﺧﺎدم .وﻟذﻟك ،ﻓﻲ ھذه اﻟﺣﺎﻟﺔ ،ﻓﺈن اﻟﮭﺟوم ﻟن ﯾﺻل إﻟﻰ اﻟﮭدف اﻟﺣﻘﯾﻘﻲ ،وﻟﻛن ﺳﯾﺗم إﯾﻘﺎف ﻓﻲ ﺑداﯾﺗﮫ .طرﯾﻘﺔ أﺧرى ﻟﻣواﺟﮭﺔ ھذا اﻟﻧوع ﻣن اﻟﮭﺟوم ھو ﻣن ﺧﻼل اﺳﺗﺧدام SYN Cookiesاﻟﺗﻲ ﯾﻣﻛن أن ﺗدار ﻣﺑﺎﺷرة ﻣن اﻟﺧﺎدم .ﺑﺎﺳﺗﺧدام ھذا اﻷﺳﻠوب ،واﻟذي ،ﯾﺗطﻠب ﻋﻣل ﺣﺳﺎﺑﻲ ﻛﺑﯾر ﺑﺳﺑب اﺳﺗﺧدام وظﺎﺋف اﻟﮭﺎش ﻟﻣﺻﺎدﻗﺔ .SYN Cookies ﻟﮭذا اﻟﺳﺑب ،ﺣل اﻷﺟﮭزة أﻓﺿل ﻓﻲ أن ﺗﺄﺧذ اﻟرﻋﺎﯾﺔ ﻣن إدارة ھذه اﻟﺿواﺑط اﻟﺧﺎﺻﺔ وﯾﻧﺑﻐﻲ اﺧﺗﯾﺎره وﻣن ﺛم ﺗﻘدﯾﻣﮫ )اﻟﺑروﻛﺳﻲ/اﻟﺗﺳﻠﯾم( ﺑﺣﯾث أي اﺗﺻﺎل ﻗﺎﻧوﻧﻲ إﻟﻰ اﻟﺧﺎدم ﺳوف ﯾﻘدم ﻣن ﺧﻼل ھذه اﻟﺧدﻣﺔ. ﻓﻲ اﻟﻧﮭﺎﯾﺔ ،أﻧﮫ ﻣن اﻟﺗﺧﻔﯾف ﻣن اﻟﺣدة ﺿد SYN Floodﯾﺣدث ﻣن ﺧﻼل ﺣﻠول اﻷﺟﮭزة اﻟﻣﺧﺻﺻﺔ اﻟﻣﺣددة ﻟﻠﻛﺷف واﻟﺗﺧﻔﯾف .ھذه اﻷﺟﮭزة ﺗﺄﺗﻲ ﻓﻘط ﻹدارة و"ﺗﻧظﯾف" وﺣدات اﻟﺗﺧزﯾن ذات ﺣرﻛﺔ اﻟﻣرور اﻟواردة اﻟﻌﺎﻟﯾﺔ ﺟدا وﻓﻌﺎﻟﺔ ﺟدا ﻟﻠﻛﺷف واﻟﺗﺧﻔﯾف ﻣن ﺗﮭدﯾدات .DDoS TCP RST Attack اﻟﻣﻘﺻود ﻣن اﻟﻌﻠم TCP RSTھو إﺧطﺎر اﻟﺧﺎدم أﻧﮫ ﯾﻧﺑﻐﻲ ﻋﻠﯾﮫ ﻏﻠﻖ اﺗﺻﺎل TCPاﻟﻣﻘﺎﺑل .ﻓﻲ ھﺟوم ،TCP RSTاﻟﻣﮭﺎﺟم ﯾﺗداﺧل ﻣﻊ اﺗﺻﺎل TCPﻧﺷط ﺑﯾن ﻛﯾﺎﻧﯾن ﻋن طرﯾﻖ ﺗﺧﻣﯾن رﻗم اﻟﺗﺳﻠﺳل اﻟﺣﺎﻟﻲ وﻣن ﺛم ﺗزﯾف ﺣزﻣﺔ TCP RSTﻻﺳﺗﺧدام ﻋﻧوان IPاﻟﻣﺻدر ﻟﻠﻌﻣﯾل )اﻟﺗﻲ ﯾﺗم ﺑﻌد ذﻟك إرﺳﺎﻟﮭﺎ إﻟﻰ اﻟﻣﻠﻘم( .ﻋﺎدة ﻣﺎ ﯾﺗم اﺳﺗﺧدام اﻟروﺑوﺗﺎت " "botnetﻹرﺳﺎل اﻵﻻف ﻣن ھذه اﻟﺣزم إﻟﻰ اﻟﻣﻠﻘم ﻣﻊ أرﻗﺎم ﺗﺳﻠﺳل ﻣﺧﺗﻠﻔﺔ ،ﻣﻣﺎ ﯾﺟﻌل ﻣن اﻟﺳﮭل إﻟﻰ ﺣد ﻣﺎ اﻟﺗﺧﻣﯾن اﻟﺻﺣﯾﺢ .ﺑﻣﺟرد ﺣدوث ذﻟك ،ﯾﻘر ﺧﺎدم اﻟﺣزﻣﺔ RSTاﻟﺗﻲ أرﺳﻠت ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم، وﻣن ﺛم إﻧﮭﺎء ارﺗﺑﺎط اﻟﻌﻣﯾل اﻟﻣوﺟود ﻓﻲ ﻋﻧوان IPاﻟﻣزﯾف.
TCP PSH+ACK Flood ﻋﻧدﻣﺎ ﯾرﺳل اﻟﻣرﺳل ﺣزﻣﺔ TCPﻣﻊ اﻟﻌﻠم PUSHواﻟذي ﯾﺗم ﺗﻌﯾﻧﮫ إﻟﻰ ،1ﻓﺎن اﻟﻧﺗﯾﺟﺔ ھﻲ أن ﺑﯾﺎﻧﺎت TCPﯾﺗم إرﺳﺎﻟﮭﺎ ﻓورا أو "دﻓﻌﮭﺎ" إﻟﻰ ﻣﺗﻠﻘﻲ .TCPھذا اﻹﺟراء ﻓﻲ اﻟواﻗﻊ ﯾﺟﺑر اﻟﺧﺎدم اﻟﻣﺗﻠﻘﻲ ﻟﺗﻔرﯾﻎ ذاﻛرة " "bufferﻣﻛدس TCPﻹرﺳﺎل ACKﻋﻧد اﻛﺗﻣﺎل ھذا اﻟﻌﻣل. اﻟﻣﮭﺎﺟم ،ﻋﺎدة ﻣﺎ ﯾﺳﺗﺧدم اﻟروﺑوﺗﺎت " ،"botnetوﯾﻣﻛن ﺑﺎﻟﺗﺎﻟﻲ إﻏراق اﻟﻣﻠﻘم اﻟﮭدف ﻣﻊ اﻟﻌدﯾد ﻣن ھذه اﻟطﻠﺑﺎت .ھذه ﺗﺛﻘل ﻛﺎھل ﻣﻛدس TCP stack bufferﻋﻠﻰ اﻟﻣﻠﻘم اﻟﮭدف ،اﻻﻣر اﻟذي ﯾؤدى اﻟﻰ ﺟﻌﻠﮫ ﻏﯾر ﻗﺎدر ﻋﻠﻰ ﻣﻌﺎﻟﺟﺔ اﻟطﻠﺑﺎت أو ﺣﺗﻰ اﻻﻋﺗراف " "ACKﺑﮭﺎ )ﻣﻣﺎ ﯾؤدى إﻟﻰ ﺣﺎﻟﺔ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ(.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1062 “Low and Slow” Attacks ﻋﻠﻰ ﻋﻛس اﻟﻔﯾﺿﺎﻧﺎت " ،"Floodingھﺟﻣﺎت " "Low and Slowﻻ ﺗﺗطﻠب ﻛﻣﯾﺔ ﻛﺑﯾرة ﻣن ﺣرﻛﺔ اﻟﻣرور .أﻧﮭﺎ ﺗﺳﺗﮭدف اﻟﻌﯾوب ﻓﻲ ﺗﺻﻣﯾم ﻣﺣددة أو ﻧﻘﺎط اﻟﺿﻌف ﻋﻠﻰ اﻟﻣﻠﻘم اﻟﮭدف ﻣﻊ ﻛﻣﯾﺔ ﺻﻐﯾرة ﻧﺳﺑﯾﺎ ﻣن ﺣرﻛﺔ اﻟﻣرور اﻟﺿﺎرة ،ﻓﻲ ﻧﮭﺎﯾﺔ اﻟﻣطﺎف ﺗﺳﺑب ﻓﻲ ﺳﻘوطﮭﺎ. " "Low and Slowھﺟﻣﺎت ﺗﺳﺗﮭدف ﻣوارد اﻟﺗطﺑﯾﻘﺎت )وأﺣﯾﺎﻧﺎ ﻣوارد اﻟﺧﺎدم( ،وﯾﺻﻌب ﺟدا اﻛﺗﺷﺎﻓﮭﺎ ﻷﻧﮭﺎ ﺗﻧطوي ﻋﻠﻰ اﺗﺻﺎﻻت وﻧﻘل اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﺗظﮭر أن ﺗﺣدث ﺑﻣﻌدل طﺑﯾﻌﻲ. Sockstress Sockstressھﻲ أداة ھﺟوم ﺗﺳﺗﻐل ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ ﻣﻛدس TCPﻟﻠﺳﻣﺎح ﻟﻠﻣﮭﺎﺟﻣﯾن ﻟﺧﻠﻖ ﺣﺎﻟﺔ ﻣن اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ﻟﻠﻣﻠﻘم اﻟﮭدف .ﻓﻲ أﻟﯾﺔ اﻟﻣﺻﺎﻓﺣﺔ اﻟﺛﻼﺛﯾﺔ ﻠ ،TCPاﻟﻌﻣﯾل ﯾرﺳل ﺣزﻣﺔ SYNإﻟﻰ اﻟﻣﻠﻘم ،ﯾﺳﺗﺟﯾب اﻟﻣﻠﻘم ﻣﻊ ﺣزﻣﺔ ،SYN-ACKﯾﺳﺗﺟﯾب اﻟﻌﻣﯾل إﻟﻰ SYN-ACKﻣﻊ ،ACKوذﻟك ﻟﺗﺄﺳﯾس اﻻﺗﺻﺎل .اﻟﻣﮭﺎﺟﻣﯾن ﯾﻘوﻣون ﺑﺎﺳﺗﺧدام Sockstressﻟﺗﺄﺳﯾس اﺗﺻﺎل TCPﻋﺎدي ﻣﻊ اﻟﻣﻠﻘم اﻟﮭدف وﻟﻛﻧﮭم ﯾرﺳﻠون ﺣزﻣﺔ " "window size 0إﻟﻰ اﻟﻣﻠﻘم داﺧل ﺣزﻣﺔ ACKاﻷﺧﯾرة ،وإﻋطﺎﺋﮭﺎ ﺗﻌﻠﯾﻣﺎت ﻟﺿﺑط ﺣﺟم ﻧﺎﻓذة TCPإﻟﻰ 0ﺑﺎﯾت .ﻧﺎﻓذة TCPھﻲ اﻟﻣﺧزن اﻟذي ﯾﻘوم ﺑﺗﺧزﯾن اﻟﺑﯾﺎﻧﺎت اﻟﻣﺳﺗﻠﻣﺔ ﻗﺑل أﻧﯾﺗم رﻓﻌﮭﺎ اﻟﻰ طﺑﻘﺔ اﻟﺗطﺑﯾﻖ .ﯾﺷﯾر ﺣﻘل ﺣﺟم اﻹطﺎر " "Windows size frameﻣﺎ ھو أﻛﺑر ﻋدد ﻣن اﻟﺣﺟرات ﻓﻲ ﻣﻧطﻘﺔ اﻟﺗﺧزﯾن ﻓﻲ ﻛل ﻟﺣظﺔ ﻣن اﻟزﻣن .ﺣﺟم اﻹطﺎر ""Windows size ﯾﺗم ﺗﻌﯾﯾﻧﮫ إﻟﻰ ﺻﻔر وﯾﻌﻧﻲ أﻧﮫ ﻻ ﯾوﺟد ﻣﺳﺎﺣﺔ ﻋﻠﻰ اﻹطﻼق وأن اﻟﺟﺎﻧب اﻵﺧر ﯾﺟب أن ﯾﺗوﻗف ﻋن ارﺳﺎل اﻟﻣزﯾد ﻣن اﻟﺑﯾﺎﻧﺎت ﺣﺗﻰ إﺷﻌﺎر آﺧر .ﻓﻲ ھذه اﻟﺣﺎﻟﺔ ﺳوف ﯾرﺳل اﻟﺧﺎدم ﺣزم ﺣﺟم اﻹطﺎر اﻟﺗﺣﻘﯾﻖ " "window size probeإﻟﻰ اﻟﻌﻣﯾل ﺑﺎﺳﺗﻣرار ﻟﻣﻌرﻓﺔ ﻣﺗﻰ ﯾﻣﻛن أن ﯾﻘﺑل ﻣﻌﻠوﻣﺎت ﺟدﯾدة ،وﻟﻛن ﻷن اﻟﻣﮭﺎﺟم ﻻ ﯾﻐﯾر ﺣﺟم اﻹطﺎر ،ﻓﺎﻧﮫ ﯾﺗم اﻟﺣﻔﺎظ ﻋﻠﻰ اﺗﺻﺎل ﻣﻔﺗوح إﻟﻰ أﺟل ﻏﯾر ﻣﺳﻣﻰ .ﻣن ﺧﻼل ﻓﺗﺢ اﻟﻌدﯾد ﻣن اﺗﺻﺎﻻت ﻣن ھذا اﻟﻧوع إﻟﻰ ﻣﻠﻘم ،ﻓﺎن اﻟﻣﮭﺎﺟم ﯾﺳﺗﮭﻠك ﻛل اﻟﻣﺳﺎﺣﺔ ﻓﻲ ﺟدول اﺗﺻﺎل TCPﻟﻠﻣﻠﻘم )وﻛذﻟك اﻟﺟداول اﻷﺧرى( ،وﻣﻧﻊ اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺷرﻋﯾﯾن ﻣن ﺗﺄﺳﯾس اﺗﺻﺎل .ﺑﺎﻟﺗﻧﺎوب ،ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم ﻓﺗﺢ اﻟﻌدﯾد ﻣن اﻻﺗﺻﺎﻻت ﻣﻊ ﺣﺟم إطﺎر ﺻﻐﯾر ﺟدا )ﺣواﻟﻲ 4ﺑﺎﯾت(، ﻣﻣﺎ ﯾﺿطر اﻟﺧﺎدم ﻟﺗﻔﺗﯾت اﻟﻣﻌﻠوﻣﺎت إﻟﻰ ﻋدد ھﺎﺋل ﻣن اﻟﻘطﻊ اﻟﺻﻐﯾرة 4ﺑﺎﯾت .واﻟﻌدﯾد ﻣن اﺗﺻﺎﻻت ﻣن ھذا اﻟﻧوع ﺗﺳﺗﮭﻠك اﻟذاﻛرة اﻟﻣﺗوﻓرة اﻟﺧﺎدم ،ﻣﻣﺎ ﺗﺳﺑب أﯾﺿﺎ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ.
SSL-Based Attacks
ﻣﻊ ﺻﻌود طﺑﻘﺔ اﻟﻣﻘﺎﺑس اﻵﻣﻧﺔ " ،(SSL) "Secure Socket Layerوھﻲ طرﯾﻘﺔ اﻟﺗﺷﻔﯾر اﻟﻣﺳﺗﺧدﻣﺔ ﻣن ﻗﺑل ﻣﺧﺗﻠف ﺑروﺗوﻛوﻻت ﺷﺑﻛﺔ اﻻﺗﺻﺎﻻت اﻷﺧرى ،واﻟﺗﻲ ﺑدأ اﻟﻣﮭﺎﺟﻣون اﺳﺗﮭداﻓﮭﺎ SSL .ﯾﻣﺗد ﻓوق TCP/IPﻣن اﻟﻧﺎﺣﯾﺔ اﻟﻧظرﯾﺔ ،وﯾوﻓر اﻷﻣن ﻟﻠﻣﺳﺗﺧدﻣﯾن اﻻﺗﺻﺎل ﻋﺑر ﺑروﺗوﻛوﻻت أﺧرى ﻣن ﺧﻼل ﺗﺷﻔﯾر اﺗﺻﺎﻻﺗﮭم وﺗوﺛﯾﻖ اﻟﺗواﺻل ﺑﯾن اﻷطراف .ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ SSLﺗﺗﺧذ أﺷﻛﺎﻻ ﻋدﯾدة :اﺳﺗﮭداف آﻟﯾﺔ ،SSL handshakeإرﺳﺎل اﻟﺑﯾﺎﻧﺎت اﻟﻘﻣﺎﻣﺔ إﻟﻰ اﻟﺧﺎدم ،SSLأو اﺳﺗﻐﻼل ﺑﻌض اﻟوظﺎﺋف اﻟﻣﺗﻌﻠﻘﺔ ﺑﻌﻣﻠﯾﺔ اﻟﺗﻔﺎوض اﻟﺧﺎﺻﺔ ﺑﻣﻔﺎﺗﯾﺢ اﻟﺗﺷﻔﯾر SSL-based attacks .SSLﯾﻣﻛن أن ﺗﻌﻧﻰ أﯾﺿﺎ ﺑﺑﺳﺎطﺔ أن ﯾﺗم ﺗﺷﻐﯾل ھﺟوم DoSﻋﻠﻰ ﺣرﻛﺔ اﻟﻣرور اﻟﻣﺷﻔرة ،SSLﻣﻣﺎ ﯾﺟﻌل ﻣن اﻟﺻﻌب ﻟﻠﻐﺎﯾﺔ ﺗﺣدﯾدھﺎ .ﻏﺎﻟﺑﺎ ﻣﺎ ﺗﻌﺗﺑر ﻣﺛل ھذه اﻟﮭﺟﻣﺎت "ﻏﯾر ﻣﺗﻣﺎﺛﻠﺔ" ،ﻷﻧﮫ ﯾﺄﺧذ أﻛﺛر ﺑﻛﺛﯾر ﻣن ﻣوارد اﻟﺧﺎدم ﻟﻠﺗﻌﺎﻣل ﻣﻊ اﻟﮭﺟوم اﻟﻘﺎﺋم ﻋﻠﻰ SSLأﻛﺛر ﻣن إطﻼق واﺣده. )Encrypted-based HTTP attacks (HTTPS floods اﻟﻌدﯾد ﻣن اﻟﺷرﻛﺎت ﻋﻠﻰ اﻻﻧﺗرﻧت ﺗﺳﺗﺧدم ) SSL/TLSطﺑﻘﺔ ﻧﻘل أﻣﻧﮫ( ﻋﻠﻰ ﻧﺣو ﻣﺗزاﯾد ﻓﻲ طﻠﺑﺎﺗﮭم ﻟﺗﺷﻔﯾر ﺣرﻛﺔ اﻟﻣرور وﻋﺑور آﻣن ﻟﻠﺑﯾﺎﻧﺎت ﻣن اﻟﻧﮭﺎﯾﺔ إﻟﻰ اﻟﻧﮭﺎﯾﺔ .ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ﻋﻠﻰ ﺣرﻛﺔ اﻟﻣرور اﻟﻣﺷﻔرة ﺗﺄﺧذ ﻓﻲ اﻻرﺗﻔﺎع واﻟﺗﺧﻔﯾف ﻣﻧﮭﺎ ﻟﯾﺳت واﺿﺣﺔ ﻛﻣﺎ ھو ﻣﺗوﻗﻊ .ﻣﻌظم ﺗﻛﻧوﻟوﺟﯾﺎت اﻟﺗﺧﻔﯾف DoSﻓﻲ اﻟواﻗﻊ ﻻ ﺗﻔﺣص ﺣرﻛﺔ ﻣرور ،SSLﻛﻣﺎ أﻧﮫ ﯾﺗطﻠب ﻓك ﺗﺷﻔﯾر ﺣرﻛﺔ اﻟﻣرور اﻟﻣﺷﻔرة. - HTTPS floodsھﻲ ﻓﯾﺿﺎﻧﺎت ﺣرﻛﺔ اﻟﻣرور HTTPاﻟﻣﺷﻔرة واﻵن ﯾﺷﺎرك ﻛﺛﯾرا ﻓﻲ اﻟﮭﺟوم ﺣﻣﻼت ﻣﺗﻌددة ﻗﺎﺋﻣﮫ ﻋﻠﻰ د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1063 ﻧﻘﺎط اﻟﺿﻌف .ﻓﻲ أﻋﻠﻰ ﺗﺄﺛﯾر ﻠ ،HTTPS floodsھﺟﻣﺎت HTTPاﻟﻣﺷﻔرة ﺗﺿﯾف اﻟﻌدﯾد ﻣن اﻟﺗﺣدﯾﺎت اﻷﺧرى ﻣﺛل ﻋبء آﻟﯾﺎت اﻟﺗﺷﻔﯾر وﻓك اﻟﺗﺷﻔﯾر. THC-SSL-DOS ھذه اﻷداة ﺗم ﺗطوﯾرھﺎ ﻣن ﻗﺑل ﻣﺟﻣوﻋﺔ ﻣن اﻟﻘرﺻﻧﺔ اﻟذي ﯾطﻠﻖ ﻋﻠﯾﮭم ) The Hacker’s Choice (THCﺑوﺻﻔﮭﺎ إﺛﺑﺎت ﻟﻣﻔﮭوم ﺗﺷﺟﯾﻊ اﻟﺑﺎﺋﻌﯾن ﻋﻠﻰ ﺗﺻﺣﯾﺢ ﻧﻘﺎط اﻟﺿﻌف SSLاﻟﺧﺎﺻﺔ ﺑﮭم ،THC-SSL-DOS .ﻛﻣﺎ ھو اﻟﺣﺎل ﻣﻊ ﻏﯾرھﺎ ﻣن اﻟﮭﺟﻣﺎت "،"low and slow ﯾﺗطﻠب ﺳوى ﻋدد ﻗﻠﯾل ﻣن اﻟﺣزم اﻟﺗﻲ ﺗﺳﺑب اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ﻟو ﺣﺗﻰ ﻟﺧﺎدم ﻛﺑﯾر إﻟﻰ ﺣد ﻣﺎ .وﯾﻌﻣل ﻋن طرﯾﻖ ﺑدء SSL handshake اﻟﻌﺎدﯾﺔ ،وﺑﻌد ذﻟك ﻋﻠﻰ اﻟﻔور ﯾطﻠب إﻋﺎدة اﻟﺗﻔﺎوض ﻣﻊ ﻣﻔﺗﺎح اﻟﺗﺷﻔﯾر ،وﺗﻛرار اﺳﺗﻣرار طﻠب إﻋﺎدة اﻟﺗﻔﺎوض ھذا ﻣرارا وﺗﻛرارا ﺣﺗﻰ ﺗﺳﺗﻧﻔد ﻛل ﻣوارد اﻟﺧﺎدم .اﻟﻣﮭﺎﺟﻣﯾن ﯾﺣﺑون ﺷن اﻟﮭﺟﻣﺎت اﻟﺗﻲ ﺗﺳﺗﺧدم ،SSLﻷن ﻛل ﺟﻠﺳﺎت SSL session handshakeﺗﺳﺗﮭﻠك ﺧﻣﺳﺔ ﻋﺷر ﻣره ﻣن اﻟﻣوارد ﻣن ﺟﺎﻧب اﻟﺧﺎدم أﻛﺛر ﻣن ﺟﺎﻧب اﻟﻌﻣﯾل .ﻓﻲ اﻟواﻗﻊ ،ﯾﻣﻛن ﻷﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﻧزﻟﯾﺔ ذات اﻟﻣﻌﯾﺎر اﻟﻌﺎدي إﺳﻘﺎط ﺧﺎدم اﻟوﯾب ﺑﺄﻛﻣﻠﮫ اﻟﻘﺎﺋم ﻋﻠﻰ ،SSLوﯾﻣﻛن ﻟﻠﻌدﯾد ﻣن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر إﺳﻘﺎط ﻣزرﻋﺔ ﻛﺎﻣﻠﺔ ﻣن اﻟﺧدﻣﺎت اﻟﻛﺑﯾرة اﻟﻣﺿﻣوﻧﺔ ﻋﻠﻰ اﻻﻧﺗرﻧت. .4اﻟﮭﺠﻤﺎت اﻟﺘﻲ ﺗﺴﺘﮭﺪف ﻣﻮارد اﻟﺘﻄﺒﯿﻖ )(Attacks Targeting Application Resources ﺗزاﯾدت ﺣﺎﻻت ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ اﻟﺗﻲ ﺗﺳﺗﮭدف ﻣوارد اﻟﺗطﺑﯾﻖ ﻣؤﺧرا ،وﺗﺳﺗﺧدم ﻋﻠﻰ ﻧطﺎق واﺳﻊ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن اﻟﯾوم .أﻧﮭﺎ ﺗﺳﺗﮭدف ﻟﯾس ﻓﻘط ﺑروﺗوﻛول ) ،Hypertext Transfer Protocol (HTTPوﻟﻛن أﯾﺿﺎ HTTPSوﺑروﺗوﻛوﻻت ،SMTP ،DNS ،VOIP ،FTPواﻟﺗطﺑﯾﻘﺎت اﻷﺧرى اﻟﺗﻲ ﺗﻣﺗﻠك ﻧﻘﺎط ﺿﻌف ﯾﻣﻛن اﺳﺗﻐﻼﻟﮭﺎ ﻟﻠﺳﻣﺎح ﻟﮭﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ .ﻣﺛﻠﻣﺎ اﻟﮭﺟﻣﺎت اﻟﺗﻲ ﺗﺳﺗﮭدف ﻣوارد اﻟﺷﺑﻛﺔ ،ھﻧﺎك أﻧواع ﻣﺧﺗﻠﻔﺔ ﻣن اﻟﮭﺟﻣﺎت اﻟﺗﻲ ﺗﺳﺗﮭدف ﻣوارد اﻟﺗطﺑﯾﻖ ،ﺑﻣﺎ ﻓﻲ ذﻟك اﻟﻔﯾﺿﺎﻧﺎت واﻟﮭﺟﻣﺎت " ."low and slowھذه اﻷﺧﯾرة ھﻲ ﺑﺎرزة ﺑﺷﻛل ﺧﺎص ،وﺗﺳﺗﮭدف ﻓﻲ اﻟﻐﺎﻟب ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ ﺑروﺗوﻛول ،HTTP. HTTPھو ﺑروﺗوﻛول اﻟﺗطﺑﯾﻘﺎت اﻷﻛﺛر اﺳﺗﺧداﻣﺎ ﻋﻠﻰ ﻧطﺎق واﺳﻊ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ،وھو ھدﻓﺎ ﺟذاﺑﺎ ﻟﻠﻣﮭﺎﺟﻣﯾن. HTTP Flood HTTP floodھو ھﺟوم دوس اﻷﻛﺛر ﺷﯾوﻋﺎ واﻟذى ﯾﺳﺗﮭدف ﻣوارد ﺗطﺑﯾﻖ .وھو ﯾﺗﺄﻟف ﻣﻣﺎ ﯾﺑدو ﻋﻠﻰ أﻧﮫ ﯾﻛون ﻣﺷروع ،ﻣﺟﻣوﻋﮫ ﻣن طﻠﺑﺎت اﻟﺟﻠﺳﺎت HTTP GETأو POSTﯾﺗم إرﺳﺎﻟﮭﺎ إﻟﻰ ﻣﻠﻘم وﯾب اﻟﺿﺣﯾﺔ ،ﻣﻣﺎ ﯾﺟﻌل ﻣن اﻟﺻﻌب اﻛﺗﺷﺎﻓﮭﺎ .وﺗﺷن ھﺟﻣﺎت ﻓﯾﺿﺎﻧﺎت HTTP floodﻋﺎدة ﻓﻲ وﻗت واﺣد ﻣن أﺟﮭزة ﻛﻣﺑﯾوﺗر ﻣﺗﻌددة ) ،(volunteered machines or botsواﻟﺗﻲ ﺗطﻠب ﺑﺎﺳﺗﻣرار وﺑﺷﻛل ﻣﺗﻛرر ﺗﺣﻣﯾل ﺻﻔﺣﺎت اﻟﻣوﻗﻊ اﻟﻣﺳﺗﮭدف ) ،(HTTP GET floodواﺳﺗﻧﻔﺎد ﻣوارد اﻟﺗطﺑﯾﻖ ﻣﻣﺎ أدى إﻟﻰ ﺣﺎﻟﺔ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ .أدوات ھﺟوم دوس اﻟﺣدﯾﺛﺔ ﻣﺛل ) High Orbit Ion Cannon (HOICﺗوﻓر وﺳﯾﻠﺔ ﺳﮭﻠﺔ اﻻﺳﺗﺧدام ﻷداء ھﺟﻣﺎت ﻣﺗﻌددة اﻟﺧﯾوط ﻟﻔﯾﺿﺎﻧﺎت ."multi-threaded HTTP flood" HTTP
DNS Flood DNS floodﻣن اﻟﺳﮭل إطﻼﻗﮭﺎ ،وﻟﻛن ﻣن اﻟﺻﻌب اﻟﻛﺷف ﻋﻧﮭﺎ .واﺳﺗﻧﺎدا إﻟﻰ ﻧﻔس اﻟﻔﻛرة ﻋن ھﺟﻣﺎت اﻟﻔﯾﺿﺎﻧﺎت أﺧرى ،طوﻓﺎن DNS ﯾﺳﺗﮭدف ﺑروﺗوﻛول اﻟﺗطﺑﯾﻖ DNSﻋن طرﯾﻖ إرﺳﺎل ﻛﻣﯾﺎت ﻛﺑﯾرة ﻣن طﻠﺑﺎت .DNSﻧظﺎم اﺳم اﻟدوﻣﯾن ) (DNSھو ﺑروﺗوﻛول ﯾﺳﺗﺧدم ﻟﺗرﺟﻣﺔ أﺳﻣﺎء اﻟﻧطﺎﻗﺎت إﻟﻰ ﻋﻧﺎوﯾن .IPﺑروﺗوﻛوﻟﮭﺎ اﻷﺳﺎﺳﻲ ھو ،UDPواﻻﺳﺗﻔﺎدة ﻣن ﻣﯾزة اﻟطﻠب واﻻﺳﺗﺟﺎﺑﺔ اﻟﺳرﯾﻌﺔ دون اﻟﺣﺎﺟﺔ إﻟﻰ د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1064 ﺗﺄﺳﯾس اﺗﺻﺎﻻت )ﻛﻣﺎ ﯾﺗطﻠب .(TCPﻓﻲ ،DNS floodاﻟﻣﮭﺎﺟم ﯾرﺳل طﻠﺑﺎت DNSﻣﺗﻌددة إﻟﻰ ﺧﺎدم DNSاﻟﺿﺣﯾﺔ ﻣﺑﺎﺷرة أو ﻋن طرﯾﻖ اﻟروﺑوﺗﺎت .ﺧﺎدم ،DNSﯾﺗم إﻏراﻗﮫ وﻏﯾر ﻗﺎدر ﻋﻠﻰ ﻣﻌﺎﻟﺟﺔ ﻛﺎﻓﺔ اﻟطﻠﺑﺎت اﻟواردة ،وﯾﻌطل ﻓﻲ ﻧﮭﺎﯾﺔ اﻟﻣطﺎف. “Low and Slow” Attacks ﺧﺻﺎﺋص ھﺟﻣﺎت " "Low and Slowﻓﻲ ھذا اﻟﻘﺳم ﺗﺗﻌﻠﻖ ﻋﻠﻰ وﺟﮫ اﻟﺧﺻوص ﺑﻣوارد اﻟﺗطﺑﯾﻖ )ﻓﻲ ﺣﯾن أن ھﺟﻣﺎت ""Low and Slow اﻟﺳﺎﺑﻘﺔ اﺳﺗﮭدﻓت ﻣوارد اﻟﺧﺎدم( .ھﺟﻣﺎت " "Low and Slowھذه ﺗﺳﺗﮭدف ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ ﺗطﺑﯾﻖ ﻣﻌﯾن ،ﻣﻣﺎ ﯾﺳﻣﺢ ﻟﻠﻣﮭﺎﺟم ﺧﻠﺳﺔ أن ﯾﺗﺳﺑب ﻓﻲ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ .ھذه ﻻ ﺗﻌﺗﻣد ﻋﻠﻰ اﻟﺣﺟم ﻓﻲ اﻟطﺑﯾﻌﺔ ،وﻛﺛﯾرا ﻣﺎ ﯾﻣﻛن ﺷن ﻣﺛل ھذه اﻟﮭﺟﻣﺎت ﻣن ﻣﺟرد آﻟﺔ واﺣدة؛ ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،ﻷن ھذه اﻟﮭﺟﻣﺎت ﺗﺣدث ﻋﻠﻰ طﺑﻘﺔ اﻟﺗطﺑﯾﻖ ،ﯾﺗم ﺗﺄﺳﯾس ﻣﺻﺎﻓﺣﺔ TCPﺑﺎﻟﻔﻌل ،ﻣﻣﺎ ﯾﺟﻌل ﺑﻧﺟﺎح ﺣرﻛﺔ اﻟﻣرور اﻟﺧﺑﯾﺛﺔ ﺗﺑدو ﻣﺛل ﺣرﻛﺔ اﻟﻣرور اﻟﻌﺎدﯾﺔ ﻋﺑر اﺗﺻﺎل ﺷرﻋﻲ. Slow HTTP GET Request اﻟﻔﻛرة وراء Slow HTTP GET Requestﺗﮭﯾﻣن ﻋﻠﻰ ﺟﻣﯾﻊ أو ﻣﻌظم ﻣوارد أﺣد اﻟﺗطﺑﯾﻘﺎت ﻣن ﺧﻼل اﺳﺗﺧدام اﻟﻌدﯾد ﻣن اﻻﺗﺻﺎﻻت اﻟﻣﻔﺗوﺣﺔ ،وﻣﻧﻌﮫ ﻣن ﺗﻘدﯾم اﻟﺧدﻣﺔ ﻟﻠﻣﺳﺗﺧدﻣﯾن اﻟذﯾن ﯾرﻏﺑون ﻓﻲ ﻓﺗﺢ اﺗﺻﺎﻻت ﻣﺷروﻋﺔ .ﻓﻲ ھذا اﻟﮭﺟوم ،اﻟﻣﮭﺎﺟم ﯾوﻟد وﯾرﺳل طﻠﺑﺎت HTTP GETﻏﯾر ﻣﻛﺗﻣﻠﺔ إﻟﻰ اﻟﺧﺎدم ،اﻟذي ﯾﻔﺗﺢ ﻣوﺿوع ﻣﻧﻔﺻل ﻟﻛل ﻣن ھذه طﻠﺑﺎت اﻻﺗﺻﺎل وﯾﻧﺗظر ﺑﻘﯾﺔ اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﺳﯾﺗم إرﺳﺎﻟﮭﺎ. اﺳﺗﻣرار اﻟﻣﮭﺎﺟم ﻓﻲ إرﺳﺎل اﻟﺑﯾﺎﻧﺎت ﻓﻲ ) HTTP headerﺑﺑطﻲء( ﻟﻔﺗرات ﻣﺣددة ﻟﻠﺗﺄﻛد ﻣن أن ﯾﺑﻘﻰ اﻻﺗﺻﺎل ﻣﻔﺗوﺣﺎ وﻻ ﯾﺣدث ﻟﮫ اﻏﻼق " ."time outوﻷن ﺑﻘﯾﺔ اﻟﺑﯾﺎﻧﺎت اﻟﻣطﻠوﺑﺔ ﺗﺻل ﺑﺑطء ﺷدﯾد ،واﻟﺧﺎدم ﯾﻧﺗظر ﻋﻠﻰ اﻟدوام ،ﻣﻣﺎ ﯾؤدى اﻟﻰ اﺳﺗﻧﻔﺎد اﻟﻣﺳﺎﺣﺔ ﻣﺣدودة ﻓﻲ ﺟدول ارﺗﺑﺎطﮫ وﺑﺎﻟﺗﺎﻟﻲ اﻟﺗﺳﺑب ﻓﻲ ﺣﺎﻟﺔ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ.
Slow HTTP POST Request ﻣن أﺟل ﺗﻧﻔﯾذ ھﺟوم ،slow HTTP POST requestاﻟﻣﮭﺎﺟم ﯾﻘوم ﺑﺎﻟﻛﺷف ﻋن اﻟﻧﻣﺎذج ﻋﻠﻰ ﻣوﻗﻊ اﻟوﯾب ﻟﻠﮭدف وﯾرﺳل طﻠﺑﺎت HTTP POSTﻟﻣﻠﻘم اﻟوﯾب ﻣن ﺧﻼل ھذه اﻟﻧﻣﺎذج .ﯾﺗم إرﺳﺎل طﻠﺑﺎت ،POSTﺑدﻻ ﻣن إرﺳﺎﻟﮭﺎ ﺑﺷﻛل طﺑﯾﻌﻲ ،ﺑﺎﯾت ﺑﺑﺎﯾت .ﻛﻣﺎ ھو اﻟﺣﺎل ﻣﻊ طﻠب HTTP GETاﻟﺑطﻲء ،اﻟﻣﮭﺎﺟم ﯾﺿﻣن اﺗﺻﺎل ﺧﺑﯾث ﻻ ﯾزال ﻣﻔﺗوﺣﺎ ﺑﺎﻧﺗظﺎم ﻋن طرﯾﻖ إرﺳﺎل ﻛل ﺑﺎﯾت ﻣن اﻟﻣﻌﻠوﻣﺎت اﻟﺟدﯾدة ﺑﺑطء ﻋﻠﻰ ﻓﺗرات ﻣﻧﺗظﻣﺔ .اﻟﺧﺎدم ،ﻋﻠﻰ ﺑﯾﻧﺔ ﻣن طول ﻣﺿﻣون طﻠب ،POST HTTPوﻟﯾس ﻟدﯾﮫ ﺧﯾﺎر ﺳوى اﻻﻧﺗظﺎر ﻟطﻠب POST ﻛﺎﻣل ﻟﯾﺗﺳﻠﻣﮫ )ﯾﻘﻠد ھذا اﻟﺳﻠوك اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺷرﻋﯾﯾن ﻣﻊ اﺗﺻﺎل إﻧﺗرﻧت ﺑطﻲء( .اﻟﻣﮭﺎﺟم ﯾﻛرر ھذا اﻟﺳﻠوك ﻣرات ﻋدﯾدة ﻓﻲ ﻣوازاة ذﻟك ،ﻻ ﯾﻐﻠﻖ اﺑدا اﻻﺗﺻﺎل اﻟﻣﻔﺗوح ،وﺑﻌد ﻋدة ﻣﺋﺎت ﻣن اﻻﺗﺻﺎﻻت اﻟﻣﻔﺗوﺣﺔ ،اﻟﻣﻠﻘم اﻟﮭدف ﻏﯾر ﻗﺎدر ﻋﻠﻰ اﻟﺗﻌﺎﻣل ﻣﻊ اﻟطﻠﺑﺎت اﻟﺟدﯾدة ،وﺑﺎﻟﺗﺎﻟﻲ ﯾﺣﻘﻖ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1065 Regular Expression DoS attacks ﺣﺎﻟﺔ ﺧﺎﺻﺔ ﻣن ھﺟﻣﺎت " "low and slowوھﻲ ھﺟوم " RegEx DoSأو ."ReDoSﻓﻲ ھذا اﻟﺳﯾﻧﺎرﯾو ،اﻟﻣﮭﺎﺟم ﯾرﺳل رﺳﺎﻟﺔ وﺿﻌت ﺧﺻﯾﺻﺎ )اﻟﺗﻲ ﺗﺳﻣﻰ أﺣﯾﺎﻧﺎ (evil RegExesاﻟﺗﻲ ﺗﻌزز وﺟود ﺿﻌف ﻓﻲ اﻟﻣﻛﺗﺑﺔ " "libraryاﻟﻣﻧﺗﺷرة ﻓﻲ اﻟﺧﺎدم ،ﻓﻲ ھذه اﻟﺣﺎﻟﺔ ،ﻣﻛﺗﺑﺔ ﺑراﻣﺞ اﻟﺗﻌﺎﺑﯾر اﻟﻣﻧطﻘﯾﺔ " ."regular expression software libraryﻣﻣﺎ ﯾؤدي اﻟﻰ ﺟﻌل اﻟﻣﻠﻘم/اﻟﺧﺎدم ﯾﺳﺗﮭﻠك ﻛﻣﯾﺎت ﻛﺑﯾرة ﻣن اﻟﻣوارد ﻓﻲ ﺣﯾن اﻟﻣﺣﺎوﻟﺔ ﻟﺣﺳﺎب اﻟﺗﻌﺎﺑﯾر اﻟﻣﻧطﻘﯾﺔ " "regexﻋﻠﻰ اﻟﻣدﺧﻼت اﻟﻣﻘدﻣﺔ ﻣن اﻟﻣﺳﺗﺧدم ،أو ﺗﻧﻔﯾذ ﻋﻣﻠﯾﺎت اﻟﺗﻌﺎﺑﯾر اﻟﻣﻧطﻘﯾﺔ ""regex اﻟﻣﻌﻘدة واﻟﻣﺗﻌطﺷﺔ ﻟﻠﻣوارد "أي ﺗﺳﺗﮭﻠك ﻛﻣﯾﺎت ﻛﺑﯾرة ﻣن اﻟﻣوارد" واﻟﺗﻲ ﯾﻣﻠﯾﮭﺎ اﻟﻣﮭﺎﺟم. Hash Collisions DoS attacks ھذا اﻟﻧوع ﻣن اﻟﮭﺟﻣﺎت ﯾﺳﺗﮭدف اﻟﺛﻐرات اﻷﻣﻧﯾﺔ اﻟﺷﺎﺋﻌﺔ ﻓﻲ أطر ﺗطﺑﯾﻖ اﻟوﯾب .ﺑﺎﺧﺗﺻﺎر ،ﻣﻌظم ﺧوادم اﻟﺗطﺑﯾﻘﺎت ﺗﻘوم ﺑﺈﻧﺷﺎء ﺟداول اﻟﮭﺎش " "hash tableﻟﻔﮭرﺳﺔ ﻣﻌﻠﻣﺎت POST sessionوﻓﻰ ﺑﻌض اﻷﺣﯾﺎن ﺗﻛون ﻣطﻠوﺑﺔ ﻹدارة ﺗﺻﺎدم اﻟﮭﺎش " "hash collisionsﻋﻧدﻣﺎ ﯾﺗم إرﺟﺎع ﻗﯾم اﻟﮭﺎش اﻟﻣﻣﺎﺛﻠﺔ Collision resolutions .ﻣﻛﺛﻔﮫ ﻓﻲ اﺳﺗﺧدام اﻟﻣوارد ،ﻷﻧﮭﺎ ﺗﺣﺗﺎج إﻟﻰ ﺟزء إﺿﺎﻓﻲ ﻣن وﺣدة اﻟﻣﻌﺎﻟﺟﺔ اﻟﻣرﻛزﯾﺔ ﻟﻣﻌﺎﻟﺟﺔ اﻟطﻠﺑﺎت .ﻓﻲ ﺳﯾﻧﺎرﯾو ھﺟوم ،Hash Collision DoSاﻟﻣﮭﺎﺟم ﯾرﺳل رﺳﺎﻟﺔ POSTوﺿﻌت ﺧﺻﯾﺻﺎ ﻣﻊ اﻟﻌدﯾد ﻣن اﻟﻣﻌﻠﻣﺎت .ھذه اﻟﻣﻌﻠﻣﺎت ﯾﺗم ﺑﻧﺎؤھﺎ ﺑطرﯾﻘﺔ ﺗﺳﺑب ﺗﺻﺎدم اﻟﮭﺎش " "hash collisionsﻋﻠﻰ ﺟﺎﻧب اﻟﻣﻠﻘم ،وﺗﺑﺎطؤ ﻓﻲ ﺗﺟﮭﯾز اﻻﺳﺗﺟﺎﺑﺔ ﺑﺷﻛل ﻛﺑﯾر .ھﺟﻣﺎت Hash Collision DoSھﻲ ﻓﻌﺎﻟﺔ ﺟدا وﯾﻣﻛن إطﻼﻗﮭﺎ ﻣن ﺟﮭﺎز ﻛﻣﺑﯾوﺗر ﻣﮭﺎﺟم واﺣد ،وھذه ﺗﺳﺗﻧﻔذ ﻣوارد ﺧﺎدم اﻟﺗطﺑﯾﻖ ﺑﺑطء. .5ﺗﻘﻨﯿﺎت أﺧﺮى ""Other Technique Peer-to-Peer Attacks ھﺟوم اﻟﻧد ﻟﻠﻧد ھو ﺷﻛل أﺧر ﻣن ھﺟوم دوس .ﻓﻲ ھذا اﻟﻧوع ﻣن اﻟﮭﺟوم ،اﻟﻣﮭﺎﺟم ﯾﺳﺗﻐل ﻋددا ﻣن اﻷﺧطﺎء ﻓﻲ ﺧوادم اﻟﻧد ﻟﻠﻧد ﻟﺑدء ھﺟوم .DDoSاﻟﻣﮭﺎﺟﻣون ﯾﺳﺗﻐﻠون اﻟﻌﯾوب اﻟﻣوﺟودة ﻓﻲ ﺷﺑﻛﺔ ﺗﺳﺗﺧدم ﺑروﺗوﻛول ،(Direct Connect Protocol) DC++واﻟذي ﯾﺳﻣﺢ ﺑﺗﺑﺎدل اﻟﻣﻠﻔﺎت ﺑﯾن ﻋﻣﻼء اﻟﻣراﺳﻠﺔ اﻟﻔورﯾﺔ .ھذا اﻟﻧوع ﻣن اﻟﮭﺟﻣﺎت ﻻ ﯾﺳﺗﺧدم اﻟروﺑوﺗﺎت " "botnetﻓﻲ اﻟﮭﺟوم .ﻋﻠﻰ ﻋﻛس اﻟﮭﺟوم اﻟﻘﺎﺋم ﻋﻠﻰ اﻟروﺑوﺗﺎت ،ھﺟوم اﻟﻧد ﻟﻠﻧد ﯾﻠﻐﻲ ﺣﺎﺟﺔ اﻟﻣﮭﺎﺟﻣﯾن ﻓﻲ اﻟﺗواﺻل ﻣﻊ اﻟﻌﻣﻼء .ھﻧﺎ اﻟﻣﮭﺎﺟم ﯾرﺷد اﻟﻌﻣﻼء ﻓﻲ ﻣراﻛز ﺗﺑﺎدل اﻟﻣﻠﻔﺎت اﻟﻧد ﻟﻠﻧد ﻟﻘطﻊ اﻻﺗﺻﺎل ﻣن ﺷﺑﻛﺔ اﻻﺗﺻﺎل اﻟﺧﺎﺻﺔ ﺑﮭم ورﺑطﮭﺎ إﻟﻰ ﻣوﻗﻊ وﯾب اﻟﺿﺣﯾﺔ .ﻣﻊ ھذا ،ﻓﺎن ﻋدد ﻣن آﻻف ﻣن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﻗد ﺗﺣﺎول اﻻﺗﺻﺎل إﻟﻰ ﻣوﻗﻊ اﻟﮭدف ،واﻟذي ﯾﺳﺑب اﻧﺧﻔﺎﺿﺎ ﻓﻲ أداء اﻟﻣوﻗﻊ اﻟﻣﺳﺗﮭدف .وﯾﻣﻛن ﺗﺣدﯾد ھﺟﻣﺎت اﻟﻧد ﻟﻠﻧد ھذه ﺑﺳﮭوﻟﺔ ﺑﻧﺎء ﻋﻠﻰ ﺗوﻗﯾﻌﺎﺗﮭم. ﺑﺎﺳﺗﺧدام ھذه اﻟطرﯾﻘﺔ ،اﻟﻣﮭﺎﺟﻣﯾن ﯾطﻠﻘون ھﺟﻣﺎت ﺿﺧﻣﺔ ﻣن اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺎت واﺧﺗراق اﻟﻣواﻗﻊ.
Permanent Denial-of-Service Attack اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ اﻟداﺋﻣﺔ " (PDoS) "Permanent denial-of-serviceھﻲ أﯾﺿﺎ ﻣﻌروﻓﮫ ﺑﺎﺳم .Plashingھذا ﯾﺷﯾر إﻟﻰ اﻟﮭﺟوم اﻟذي ﯾﺳﺑب اﻻﺿرار ﻟﻠﻧظﺎم وﯾﺟﻌل اﻷﺟﮭزة ﻏﯾر ﺻﺎﻟﺣﺔ ﻟﻼﺳﺗﻌﻣﺎل ﻟﻠﻐرض اﻷﺻﻠﻲ ﺣﺗﻰ ﯾﺗم إﻣﺎ اﺳﺗﺑداﻟﮫ أو إﻋﺎدة ﺗﺛﺑﯾﺗﮫ .ھﺟوم PDoS ﯾﺳﺗﻐل اﻟﺛﻐرات اﻷﻣﻧﯾﺔ .وھذا ﯾﺳﻣﺢ ﺑﺎﻹدارة ﻋن ﺑﻌد ﻋﻠﻰ واﺟﮭﺎت إدارة أﺟﮭزة اﻟﺿﺣﯾﺔ ﻣﺛل اﻟطﺎﺑﻌﺎت واﻟراوﺗر ،وﻏﯾرھﺎ ﻣن أﺟﮭزة اﻟرﺑط اﻟﺷﺑﻛﻲ. ﯾﺗم ھذا اﻟﮭﺟوم ﻣن اﻟﺧﺎرج ﺑﺎﺳﺗﺧدام طرﯾﻘﺔ ﺗﻌرف ﺑﺎﺳم " ."bricking a systemﻓﻲ ھذه اﻟطرﯾﻘﺔ ،اﻟﻣﮭﺎﺟم ﯾرﺳل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ، ﻣﺣﺎدﺛﺎت ،IRCﺗوﯾﺗﺎت ،ﻋرض ﻓﯾدﯾوھﺎت ﻣﻊ ﺗﺣدﯾﺛﺎت ﻟﻸﺟﮭزة اﻟﻣزورة ﻟﻠﺿﺣﯾﺔ ﻋن طرﯾﻖ ﺗﻌدﯾل وإﻓﺳﺎد اﻟﺗﺣدﯾﺛﺎت ﻣﻊ اﻟﺿﻌف أو ﻋﯾب ﻓﻲ اﻟﺑراﻣﺞ اﻟﺛﺎﺑﺗﺔ .ﻋﻧدﻣﺎ ﯾﻧﻘر اﻟﺿﺣﯾﺔ ﻋﻠﻰ اﻟرواﺑط أو اﻟﻧواﻓذ اﻟﻣﻧﺑﺛﻘﺔ ﻓﻲ اﺷﺎرة اﻟﻰ ﺗﺣدﯾﺛﺎت اﻷﺟﮭزة اﻟﻣزروه ،ﻓﺎﻧﮫ ﯾﺣﺻل ﻋﻠﻰ اﻟﺗﺛﺑﯾت ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ .وھﻛذا ،ﻓﺈن اﻟﻣﮭﺎﺟم ﯾﺄﺧذ اﻟﺳﯾطرة اﻟﻛﺎﻣﻠﺔ ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1066
Zero-Day DDoS Attacks Zero-day DDoS attacksﻏﺎﻟﺑﺎ ﻣﺎ ﯾﺳﻣﻰ ,one-packet-killersوھﻲ ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ اﻷﻧظﻣﺔ اﻟﺗﻲ ﺗﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن ﻣن إرﺳﺎل ﺣزﻣﺔ واﺣده أو أﻛﺛر إﻟﻰ اﻟﻧظﺎم اﻟﻣﺗﺄﺛر ﻟﯾﺗﺳﺑب ﻓﻲ ﺣﺎﻟﺔ ﺣﺟب اﻟﺧدﻣﺔ )اﻟﺗﺣطم أو إﻋﺎدة اﻟﺗﺷﻐﯾل( .ھذه اﻟﮭﺟﻣﺎت ﻏﺎﻟﺑﺎ ﻣﺎ ﺗﻛون اﻷﻛﺛر ﻓﻲ اﻟﺗﺧﻔﻲ وﯾﺻﻌب اﻛﺗﺷﺎﻓﮭﺎ ﻷﻧﮭﺎ ﻏﯾر ﻣﻌروﻓﺔ ﻟﻠﺑﺎﺋﻌﯾن وﻏﺎﻟﺑﺎ ﻻ ﯾوﺟد ﻟﮭﺎ ﺗﺻﺣﯾﺣﺎت أو ﺣﻠول ﻣوﺟودة .ﻋﺎدة ،ﯾﺗم ﺑﯾﻊ ھذا اﻟﻧوع ﻣن اﻟﺿﻌف، وﯾﺳﺗﻐل ﻓﻲ اﻟﺳوق اﻟﺳوداء " ،"black marketﻣﻣﺎ ﯾﺟﻌﻠﮭﺎ واﺣدة ﻣن أﻛﺑر اﻟﺗﮭدﯾدات ﻷﯾﺔ ﻣﻧظﻣﺔ .ﺗﺳﻠﯾﺢ ھذه اﻷﻧواع ﻣن ﻣﺂﺛر أﺻﺑﺢ اﻟوﺿﻊ اﻟطﺑﯾﻌﻲ اﻟﺟدﯾد ﻟﻣﺟرﻣﻲ اﻹﻧﺗرﻧت.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1067 10.5اﻟﺮوﺑﻮﺗﺎت )(BOTNET ﺣﺗﻰ اﻵن ،ﻗد ﻧﺎﻗﺷﻧﺎ ﻣﻔﺎھﯾم DDoS/DoSوﺗﻘﻧﯾﺎت اﻟﮭﺟوم .ﻛﻣﺎ ذﻛر ﺳﺎﺑﻘﺎ ،ﯾﺗم ﺗﻧﻔﯾذ ھﺟﻣﺎت DoSو DDoSﺑﺎﺳﺗﺧدام botnetsأو ،zombiesوﻣﺟﻣوﻋﺔ ﻣن أﻧظﻣﺔ اﻷﻣن اﻟﻣﺧﺗرﻗﺔ "."security-compromised systems
ﻋﺻﺎﺑﺎت اﻟﺟرﯾﻣﺔ اﻟﻣﻧظﻣﺔ )(Organized Crime Syndicates ﻟﻘد طور ﻣﺟرﻣو اﻹﻧﺗرﻧت طرق ﺟدﯾده وأﻧﯾﻘﺔ ﻻﺳﺗﺧدام اﻟﺛﻘﺔ ﻟﺻﺎﻟﺣﮭم وﺗﺣﻘﯾﻖ ﻣﻛﺎﺳب ﻣﺎﻟﯾﺔ .ﻟﻘد ﺗزاﯾد ﻣﺟرﻣو اﻹﻧﺗرﻧت وأﺻﺑﺣوا ﻣرﺗﺑطﯾن ﻣﻊ ﻋﺻﺎﺑﺎت اﻟﺟرﯾﻣﺔ اﻟﻣﻧظﻣﺔ ﻟﻼﺳﺗﻔﺎدة ﻣن ﺗﻘﻧﯾﺎﺗﮭم .ﺟراﺋم اﻹﻧﺗرﻧت ﺗزداد اﻵن وﺗﺻﺑﺢ أﻛﺛر ﺗﻧظﯾﻣﺎ .ﻣﺟرﻣو اﻹﻧﺗرﻧت ﻗﺎﻣوا ﺑﺗطوﯾر اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﺑﺷﻛل ﻣﺳﺗﻘل ﻟﺗﺣﻘﯾﻖ ﻣﻛﺎﺳب ﻣﺎﻟﯾﺔ .اﻵن ﯾﻌﻣﻠون ﻓﻲ ﻣﺟﻣوﻋﺎت .ﻧﻣت ھذه ﻛﺻﻧﺎﻋﺔ .ھﻧﺎك ﺟﻣﺎﻋﺎت ﻣﻧظﻣﺔ ﻣن ﻣﺟرﻣﻲ اﻹﻧﺗرﻧت اﻟذﯾن وﺿﻊ ﺧطط ﻷﻧواع ﻣﺧﺗﻠﻔﺔ ﻣن اﻟﮭﺟﻣﺎت وﺗﻘدﯾم اﻟﺧدﻣﺎت اﻟﺟﻧﺎﺋﯾﺔ .ﺗﻘدﯾم ﺧدﻣﺎت ﻣﺧﺗﻠﻔﺔ ،ﻣن ﻛﺗﺎﺑﺔ اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ،إﻟﻰ ﻣﮭﺎﺟﻣﺔ اﻟﺣﺳﺎﺑﺎت اﻟﻣﺻرﻓﯾﺔ ،ﻟﺧﻠﻖ ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ اﻟﺿﺧﻣﺔ ﺿد أي ھدف ﻣﻘﺎﺑل ﺛﻣن .اﻟزﯾﺎدة ﻓﻲ ﻋدد اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﯾﺿﻊ ﻋﺑﺋﺎ إﺿﺎﻓﯾﺎ ﻋﻠﻰ أﻧظﻣﺔ اﻷﻣن .وﻓﻘﺎ ﻟﺗﻘرﯾر Data Breach Investigationsﻋﺎم ،2010ﻣﻌظم اﻻﻧﺗﮭﺎﻛﺎت ﻛﺎﻧت ﻣدﻓوﻋﺔ ﻣن ﻗﺑل ﻣﺟﻣوﻋﺎت ﻣﻧظﻣﺔ وﺗﻘرﯾﺑﺎ ﻛل اﻟﺑﯾﺎﻧﺎت اﻟﻣﺳروﻗﺔ ) (٪70ﻛﺎن ﻣن ﻋﻣل اﻟﻣﺟرﻣﯾن ﺧﺎرج اﻟﻣﻧظﻣﺔ اﻟﻣﺳﺗﮭدﻓﺔ .ﻛﻣﺎ أن اﻟﻣﺷﺎرﻛﺔ اﻟﻣﺗﻧﺎﻣﯾﺔ ﻣن اﻟﻌﺻﺎﺑﺎت اﻻﺟراﻣﯾﺔ اﻟﻣﻧظﻣﺔ ﻓﻲ اﻟﺣرب اﻹﻟﻛﺗروﻧﯾﺔ ذات دواﻓﻊ ﺳﯾﺎﺳﯾﺔ و Hacktivismھو ﻣﺻدر ﻗﻠﻖ ﻷﺟﮭزة اﻷﻣن اﻟوطﻧﯾﺔ. ﻣﻧظﻣﺎت اﻟﺟرﯾﻣﺔ اﻹﻟﻛﺗروﻧﯾﺔ :اﻟﮭﯾﻛل اﻟﺗﻧظﯾﻣﻲ )(ORGANIZED CYBER CRIME: ORGANIZATIONAL CHART ﺗﻧظم اﻟﺟراﺋم اﻹﻟﻛﺗروﻧﯾﺔ ﺑطرﯾﻘﺔ ھرﻣﯾﺔ .ﻛل ﻣﺟرم ﯾﺗﻘﺎﺿﻰ اﺟرا ً اﻋﺗﻣﺎدا ﻋﻠﻰ اﻟﻣﮭﻣﺔ اﻟﺗﻲ ﯾﻘوم ﺑﮭﺎ أو ﻣن ﺧﻼل ﻣوﻗﻔﮫ .رﺋﯾس ﻣﻧظﻣﺔ اﻟﺟرﯾﻣﺔ اﻹﻟﻛﺗروﻧﯾﺔ ،the boss ،ﺑﻣﺛﺎﺑﺔ ﻣﻧظم اﻷﻋﻣﺎل .ﻻ ﯾرﺗﻛﺑون ﺟراﺋم اﻹﻧﺗرﻧت ﻣﺑﺎﺷرة The boss .ھو اﻷول ﻓﻲ ﻣﺳﺗوى اﻟﺗﺳﻠﺳل اﻟﮭرﻣﻲ .اﻟﺷﺧص اﻟﻣوﺟود ﻓﻲ اﻟﻣﺳﺗوى اﻟﺗﺎﻟﻲ ھو " Underboss ."underbossھو اﻟﺷﺧص اﻟﺛﺎﻧﻲ ﻓﻲ اﻟﻘﯾﺎدة وإدارة اﻟﻌﻣﻠﯾﺔ ﻓﻲ اﻟﺟراﺋم اﻟﺳﯾﺑراﻧﯾﺔ Underboss .ﯾوﻓر ﺣﺻﺎن طروادة اﻟﻼزم ﻟﺷن ھﺟﻣﺎت وﻛﻣﺎ ﯾدﯾر ﻣرﻛز اﻟﻘﯾﺎدة واﻟﺳﯾطرة ﻋﻠﻰ ﺣﺻﺎن طروادة .اﻟﻧﺎس اﻟذﯾن ﯾﻌﻣﻠون ﺗﺣت " "underbossﻣﻌروﻓﯾن ﺑﺎﺳم " ."campaign managersﯾﺗم ﺗوظﯾف campaign managersھؤﻻء وﺗﺷﻐﯾل ﺣﻣﻼت اﻟﮭﺟوم اﻟﺧﺎﺻﺔ ﺑﮭم .أﻧﮭم ﯾؤدون اﻟﮭﺟﻣﺎت وﯾﺳرﻗون اﻟﺑﯾﺎﻧﺎت ﺑﺎﺳﺗﺧدام ﺷﺑﻛﺎت اﻧﺗﻣﺎﺋﮭم ﻛﻘﻧوات ﺗوزﯾﻊ ﻟﻠﮭﺟوم .وﻣن ﺛم ﯾﺑﺎع اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﺗﻣت ﺳرﻗﺗﮭﺎ ﺑواﺳطﺔ " ."resellersﻻ ﯾﺷﺎرك ھؤﻻء resellersﻣﺑﺎﺷرة ﻓﻲ اﻟﮭﺟﻣﺎت .أﻧﮭم ﯾﻘوﻣون ﻓﻘط ﺑﺑﯾﻊ اﻟﺑﯾﺎﻧﺎت اﻟﻣﺳروﻗﺔ.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1068 Botnet أوﻻ وﻗﺑل ﻛل ﺷﻲء ،Botnet ،ﻓﻲ أﺿﯾﻖ ﻣﻌﺎﻧﻲ اﻟﻛﻠﻣﺎت ،ﻟﯾﺳت ﺧﺑﯾﺛﺔ Botnet .ھو اﺧﺗﺻﺎر ﻟﺷﺑﻛﺔ اﻟروﺑوت .اﻟﻣﺻطﻠﺢ روﺑوت " ،"robotأو ﺑوت " ،"botھو ﻣﺻطﻠﺢ ﻋﺎم ﯾﻌﺑر ﻋن اﻟﺑراﻣﺞ اﻻﻟﯾﮫ واﻟﺗﻲ ﺗﻧﻔذ اﻟﻣﮭﺎم ﻣن دون ﺗدﺧل اﻟﻣﺳﺗﺧدم .اﻟﻣﺻطﻠﺢ ﻻ ﯾﻘﺗﺻر ﻓﻘط ﻋﻠﻰ اﻟﺑوﺗﻧت .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل "first person shooters" FPS ،ﻓﻲ أﻟﻌﺎب اﻟﻔﯾدﯾو ،اﻟﺟﻧود اﻟﺗﻲ ﻻ ﯾﺳﯾطر ﻋﻠﯾﮭﺎ اﻟﺑﺷر واﻟﺗﻲ ھﻲ ﺟزء ﻣن اﻟﻠﻌﺑﺔ ﺗﺳﻣﻰ .botsھذه botsﻟدﯾﮭﺎ ﺗوﺟﯾﮭﺎت ﻣﺣددة ﺳﻠﻔﺎ ،وھو اﻟﺑﻘﺎء ﻋﻠﻰ ﻗﯾد اﻟﺣﯾﺎة وﻗﺗل اﻟﻘوى اﻟﻣﻌﺎرﺿﺔ .ﻣﺛﺎل ﻋﻠﻰ اﻻﺳﺗﺧداﻣﺎت اﻟﻣﺷروﻋﺔ ﻣن botsواﻟﺗﻲ ظﮭرت ﻓﻲ ﻗﻧوات ادارة اﻟدردﺷﺔ ﻋﻠﻰ اﻹﻧﺗرﻧت ) .(IRCوﻟﻛن ﻣﻧذ ﻓﺗرة ﺗم اﺳﺗﺧدام ھذا اﻟﻣﺻطﻠﺢ ﻟوﺻف ﺳﻼﻟﺔ ﺟدﯾدة ﻣن اﻟﺗﮭدﯾدات ،اﻟﻣﺻطﻠﺢ botnetﻣن ﺧﻼل ھذا اﻟﻛﺗﺎب ﺳوف ﯾﺳﺗﺧدم ﻟوﺻف اﻟروﺑوﺗﺎت اﻟﺧﺑﯾﺛﺔ. اﻟﺑوﺗﻧت ھو اﻷﻛﺛر ﺗﮭدﯾدا واﻟﺗﻲ ﺗﻌﺎﻧﻲ ﻣﻧﮫ ﺷﺑﻛﺔ اﻻﻧﺗرﻧت اﻟﯾوم .اﻟﺑوﺗﻧت ھو ﻋﺑﺎرة ﻋن ﺷﺑﻛﺔ ﺿﺧﻣﮫ )ﯾﺑﻠﻎ ﺗﻌدادھﺎ ﺑﺎﻵﻻف وﻗد ﯾﺻل ﻟﻠﻣﻼﯾﯾن( ﻣن آﻻت اﻟﻣﺧﺗرﻗﺔ اﻟﺗﻲ ﯾﻣﻛن ﺗﻧﺳﯾﻘﮭﺎ ﻋن ﺑﻌد ﻋن طرﯾﻖ اﻟﻣﮭﺎﺟم ﻟﺗﺣﻘﯾﻖ ﺗوﺟﯾﮫ اﻟﺧﺑﯾﺛﺔ .اﻟﺗﻧﺳﯾﻖ ﺑﯾن اﻷﺟﮭزة اﻟﻣﺻﺎﺑﺔ ھو اﻟﺳﻣﺔ اﻟﮭﺎﻣﺔ اﻟﺗﻲ ﺗﻣﯾز اﻟﺑوﺗﻧت ﻣن ﻏﯾرھﺎ ﻣن اﻟﺑراﻣﺞ اﻟﺿﺎرة .ﻧظره ﻣﺑﺳطﮫ ﻋن ﺷﺑﻛﺔ اﻟﺑوﺗﻧت ﻣن ﺧﻼل اﻟﺷﻛل اﻟﺗﺎﻟﻰ .ﻓﻲ اﻟﺑوﺗﻧت ،آﻻت اﻟﻣﺧﺗرﻗﺔ أو اﻟﻣﺿﯾﻔﯾن اﻟﻣﺻﺎﺑﯾن ﯾﻌﺗﺑروا ﺑﻣﺛﺎﺑﺔ botsاﻟﻣﮭﺎﺟم .ﻣوﺟﮫ ﻣن ﺧﻼل أواﻣر اﻟﻣﮭﺎﺟم ،ھذه اﻟﺷﺑﻛﺔ ﻣن آﻻت اﻟﻣﺧﺗرﻗﺔ ﺗﻌﻣل ﻣﺟﺗﻣﻌﺔ ﻋﻠﻰ اﻟﻧﺣو اﻟﻣﻧﺷود ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم.
ﻣﻠﺣوظﮫ :اﻟﺑوﺗﻧت " "botnetsﻟﮭﺎ اﻟﻌدﯾد ﻣن اﻷﺳﻣﺎء اﻟﺑدﯾﻠﺔ .وﻣن ﺑﯾﻧﮭﺎ ﺟﯾش ﺑوت " ،"bot armyﻗطﯾﻊ ﺑوت " ،"bot herdﺣﺷد اﻟزوﻣﺑﻰ " ،"zombie hordeوﺷﺑﻛﺔ اﻟزوﻣﺑﻰ "."zombie network اﻟﻣﮭﺎﺟم اﻟذي ﻟدﯾﮫ اﻟﺳﯾطرة ﻋﻠﻰ اﻟﺑوﺗﻧت ﯾﻌرف ﺑﺳﯾد اﻟﺑوت " "Botmasterاو " ."botherderﺳﯾد اﻟﺑوت ﯾﺻدر اﻷواﻣر إﻟﻰ ﺷﺑﻛﺔ اﻟﺑوت " "botsﻣن ﺧﻼل ﺧﺎدم اﻟﺑوﺗﻧت " ،"botnet’s C&Cواﻟﺗﻲ ھﻲ ﺑﻣﺛﺎﺑﺔ واﺟﮭﺔ ﺳﯾد اﻟﺑوت إﻟﻰ ﺷﺑﻛﺔ اﻟﺑوﺗﻧت .ﺑدون ،C&C اﻟروﺑوﺗﺎت ﯾﻧﺣط إﻟﻰ ﺟﻣﺎﻋﺔ ﻏﯾر ﻣﻧﺳﻘﺔ ﻣن آﻻت اﻟﻣﺧﺗرﻗﺔ اﻟﻣﺳﺗﻘﻠﺔ .ھذا ھو اﻟﺳﺑب ﻓﻲ أن اﻟﻘدرة ﻋﻠﻰ اﻟﺳﯾطرة ھﻲ واﺣدة ﻣن اﻟﺧﺻﺎﺋص اﻟرﺋﯾﺳﯾﺔ ﻣن اﻟﺑوﺗﻧت .ﻓﺎﻟﺑوﺗﻧت أﺣد أھم وأﺧطر اﻟﻣﺷﺎﻛل اﻷﻣﻧﯾﺔ اﻟﺗﻲ ﺗواﺟﮫ اﻟﺷرﻛﺎت واﻟدول أﺣﯾﺎﻧﺎ وأﺑرز ﻣﺛﺎل ﻟذﻟك اﻟﮭﺟوم اﻟذي وﻗﻊ ﻋﻠﻰ دوﻟﺔ إﺳﺗوﻧﯾﺎ ﻋﺎم ،2007ﺣﯾث ﺗﻌطﻠت ﻣواﻗﻊ اﻟوزارات واﻟﺷرﻛﺎت ﻟﺛﻼث أﺳﺎﺑﯾﻊ. ﯾﺳﺗﺧدم اﻟﺑوﺗﻧت إﻣﺎ ﻷﻏراض إﯾﺟﺎﺑﯾﺔ أو ﺳﻠﺑﯾﺔ ﻋﻠﻰ ﺣد ﺳواء .ﺣﯾث أﻧﮭﺎ ﺗﺳﺎﻋد ﻓﻲ ﺧدﻣﺎت ﻣﻔﯾدة ﻣﺧﺗﻠﻔﺔ ﻣﺛل ﻓﮭرﺳﺔ ﻣﺣرك اﻟﺑﺣث و spideringﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ،وﻟﻛن ﯾﻣﻛن أن ﺗﺳﺗﺧدم أﯾﺿﺎ ﻣن ﻗﺑل اﻟﻣﺗﺳﻠل ﻟﺧﻠﻖ ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ .اﻷﻧظﻣﺔ اﻟﺗﻲ ﻟم ﯾﺗم ﺗﺻﺣﯾﺣﮭﺎ ھﻲ اﻷﻛﺛر ﻋرﺿﺔ ﻟﮭذه اﻟﮭﺟﻣﺎت. اﻟﺨﺼﺎﺋﺺ اﻟﺮﺋﯿﺴﯿﺔ ﺑﻧﺎء ﻋﻠﻰ ﺗﻌرﯾﻔﻧﺎ ﻋن اﻟﺑوﺗﻧت ،ﻓﺎﻧﮫ ﻟدﯾﮫ اﻟﺧﺻﺎﺋص اﻟرﺋﯾﺳﯾﺔ اﻟﺗﺎﻟﯾﺔ: ﻟدﯾﮫ ﺷﺑﻛﺔ ﻣن اﻷﺟﮭزة اﻟﻣﺧﺗرﻗﺔ "."network of compromised machines ﯾﻣﻛن ﺗﻧﺳﯾﻘﮭﺎ ﻋن ﺑﻌد "."Can be coordinated remotely ﯾﺳﺗﺧدم ﻣن أﺟل ﻧﺷﺎط ﺿﺎر "."Used for malicious activityﺷﺒﻜﺔ ﻣﻦ اﻷﺟﮭﺰة اﻟﻤﺨﺘﺮﻗﺔ ""network of compromised machines اﻟﺑوﺗﻧت ﻟﯾﺳت ﻣﺟرد إﺻﺎﺑﺔ ھﺎﺋﻠﺔ ﻣن اﻟﺑراﻣﺞ اﻟﺿﺎرة اﻟﺗﻲ ﺗؤدي إﻟﻰ ﻋدد ﻛﺑﯾر ﻣن اﻵﻻت اﻟﻣﺧﺗرﻗﺔ ،وإﻧﻣﺎ ھو ﺷﺑﻛﺔ ﻣن آﻻت اﻟﻣﺧﺗرﻗﺔ اﻟﺗﻲ ﯾﻣﻛن اﻟﺗواﺻل ﻣﻊ ﺑﻌﺿﮭم اﻟﺑﻌض أو إﻟﻰ ﻛﯾﺎن ﻣرﻛزي واﻟﻌﻣل ﺑطرﯾﻘﺔ ﻣﻧﺳﻘﺔ ﻋﻠﻰ أﺳﺎس اﻟﺗوﺟﯾﮫ. ﯾﻤﻜﻦ ﺗﻨﺴﯿﻘﮭﺎ ﻋﻦ ﺑﻌﺪ ""Can be coordinated remotely اﻟﺑوﺗﻧت ﯾﺟب أن ﯾﻛون ﻟدﯾﮫ اﻟﻘدرة ﻋﻠﻰ ﺗﻠﻘﻲ وﺗﻧﻔﯾذ اﻷواﻣر اﻟﺗﻲ ﯾرﺳﻠﮭﺎ اﻟﻣﮭﺎﺟﻣﯾن أو ﺳﯾد اﻟﺑوت واﻟﻌﻣل ﺑطرﯾﻘﺔ ﻣﻧﺳﻘﺔ ﺑﻧﺎء ﻋﻠﻰ ﺗﻠك اﻷواﻣر .وھذا ھو ﻣﺎ ﯾﻣﯾز اﻟﺑوﺗﻧت ﻋن ﻏﯾره ﻣن اﻟﻌدوى اﻟﺧﺑﯾﺛﺔ اﻷﺧرى ،ﻣﺛل ﺗروﺟﺎن اﻟوﺻول ﻋن ﺑﻌد. د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1069 ﯾﺴﺘﺨﺪم ﻣﻦ أﺟﻞ ﻧﺸﺎط ﺿﺎر ""Used for malicious activity اﻟﺳﺑب اﻟرﺋﯾﺳﻲ ﻣن وﺟود ھذا اﻟﺗﮭدﯾد ھو ﺗﻧﻔﯾذ ﻧﺷﺎط ﺿﺎر .ھذا ھو اﻟﮭدف اﻟرﺋﯾﺳﻲ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم. اﻟﻤﻜﻮﻧﺎت اﻟﺮﺋﯿﺴﯿﺔ ﯾﺗﻛون اﻟﺑوﺗﻧت ﻣن ﻋﻧﺻرﯾن أﺳﺎﺳﯾﯾن ھﻣﺎ: ﻣﻛوﻧﺎت اﻟﻣﺿﯾف "."Host component ﻣﻛوﻧﺎت اﻟﺷﺑﻛﺔ "."Network componentﻣﻜﻮﻧﺎت اﻟﻤﻀﯿﻒ ""Host component ﻋﻧﺻر اﻟﺑوت " "botsھﻲ ﻋﺑﺎره ﻋن آﻻت اﻟﻣﺧﺗرﻗﺔ اﻟﺗﻲ ﯾﺗﺣﻛم ﻓﯾﮭﺎ ﺳﯾد اﻟﺑوت ﻋن ﺑﻌد .اﻟﻌﺎﻣل اﻟﺧﺑﯾث "،"malicious agent واﻟذي ﯾﻧﺷط ﻓﻲ اﻷﺟﮭزة اﻟﻣﺧﺗرﻗﺔ ،ﯾﺟﻌل ھذا ﻣﻣﻛﻧﺎ .اﻟﻌﺎﻣل اﻟﺧﺑﯾث اﻟذي ﯾﻣﻛن اﻟﺗﺣﻛم ﻋن ﺑﻌد ﻓﻲ اﻷﺟﮭزة اﻟﻣﺧﺗرﻗﺔ ﯾﺳﻣﻰ .bot agent ھذا ھو ﻋﻧﺻر اﻟﻣﺿﯾف ﻟﻠﺑوﺗﻧت " Bot agent ."botnet’s host componentﯾﻣﻛن أن ﯾﻛون ﻋﻧﺻر ﺧﺑﯾث ﻗﺎﺋﻣﺔ ﺑذاﺗﮫ ﻓﻲ ﺷﻛل ﻣﻠف ﻗﺎﺑل ﻟﻠﺗﻧﻔﯾذ أو ﻣﻠف ﻣﻛﺗﺑﺔ اﻻرﺗﺑﺎط اﻟﺣﯾوي ) (DLLأو ﻗطﻌﺔ ﻣن اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ ﺗﺿﺎف إﻟﻰ اﻻﻛواد اﻟﺧﺑﯾﺛﺔ. ﻣﻠﺣوظﮫ :ﻋﻧﺻر ﻣﺿﯾف اﻟﺑوﺗﻧت " "botnet’s host componentﯾطﻠﻖ ﻋﻠﯾﮫ أﯾﺿﺎ .malware component اﻟوظﯾﻔﺔ اﻟرﺋﯾﺳﯾﺔ ﻠﻠ bot agentھﻲ إﻧﺷﺎء اﺗﺻﺎل ﻣﻊ ﻋﻧﺎﺻر ﺷﺑﻛﺔ اﻟﺑوﺗﻧت .وﻛﻧﺗﯾﺟﺔ ﻹﻗﺎﻣﺔ اﻻﺗﺻﺎل ،ﻓﺄن bot agentﻗﺎدرا ﻋﻠﻰ اﻟﻘﯾﺎم ﺑﻣﺎ ﯾﻠﻲ ،ﻣن ﺑﯾن أﻣور أﺧرى: ﺗﻠﻘﻲ وﺗﻔﺳﯾر اﻷواﻣر ﻣن ﺳﯾد اﻟﺑوت "."Receive and interpret commands from the botmaster ﺗﻧﻔﯾذ اﻟﮭﺟﻣﺎت "."Execute attacks إرﺳﺎل اﻟﺑﯾﺎﻧﺎت إﻟﻰ ﺳﯾد اﻟﺑوت "."Send data back to the botmasterﻣﻜﻮﻧﺎت اﻟﺸﺒﻜﺔ ""Network Component ﻣﻛوﻧﺎت ﺷﺑﻛﺔ اﻟﺑوﺗﻧت ھو أي ﻣن اﻟﻣورد ﻋﺑر اﻹﻧﺗرﻧت اﻟﺗﻲ ﯾﺳﺗﺧدﻣﮭﺎ اﻟﺑوﺗﻧت ﻟﺗﺣﻘﯾﻖ ﺗوﺟﯾﮭﮫ .اﻻﺳﺗﺧدام اﻷﻛﺛر ﺷﯾوﻋﺎ ﻟﻣﻛوﻧﺎت اﻟﺷﺑﻛﺔ ﻣن ﻗﺑل اﻟﺑوﺗﻧت ھﻲ اﻟﺗﺎﻟﯾﺔ: ﻗﻧﺎة اﻟﻘﯾﺎدة واﻟﺳﯾطرة "."Command and control channel ﻣﻠﻘم ﻟﺗوزﯾﻊ اﻟﺑراﻣﺞ اﻟﺿﺎرة "."Malware distribution server ﻣﻧطﻘﺔ اﻻﺳﻘﺎط "."Drop zoneﻗﻨﺎة اﻟﻘﯿﺎدة واﻟﺴﯿﻄﺮة ""Command and control channel ﻗﻧﺎة اﻟﻘﯾﺎدة واﻟﺗﺣﻛم ) (C&Cھﻲ ﻣورد ﻋﺑر اﻹﻧﺗرﻧت اﻟذي ﯾﻐﯾر أو ﯾؤﺛر ﻓﻲ ﺳﻠوك اﻟﺑوت " ."botsواﻟﺗﻲ ﺗﻌﻧﻰ اﻟوﺳﺎﺋل اﻟﺗﻲ ﯾﺗم اﻟﺗﺣﻛم ﺑﮭﺎ ﻓﻲ ﺷﺑﻛﺔ اﻟﺑوﺗﻧت .ﻛﻣﺎ ذﻛر ﺳﺎﺑﻘﺎ C&C ،ھو واﺟﮭﺔ ﺳﯾد اﻟﺑوت إﻟﻰ اﻟﺑوﺗﻧت .اﻟﻣﺻطﻠﺢ اﻟﻘﯾﺎدة واﻟﺳﯾطرة ""Command and Control ھو ﻓﻲ اﻟواﻗﻊ ﻣﺻطﻠﺢ ﻋﺳﻛري .وﻓﻘﺎ ﻟوزارة اﻟدﻓﺎع ) (DODﻗﺎﻣوس اﻟﻣﺻطﻠﺣﺎت اﻟﻌﺳﻛرﯾﺔ "اﻟﻘﯾﺎدة واﻟﺳﯾطرة ھﻲ ﻣﻣﺎرﺳﺔ اﻟﺳﻠطﺔ واﻟﺗوﺟﯾﮫ ﻣن ﻗﺑل اﻟﻘﺎﺋد اﻟﻣﻌﯾن ﺑﺷﻛل ﺻﺣﯾﺢ ﻋﻠﻰ اﻟﻘوات اﻟﻣﺧﺻﺻﺔ واﻟﻣرﻓﻘﺔ ﻓﻲ إﻧﺟﺎز ھذه اﻟﻣﮭﻣﺔ" .ھذا اﻟﺗﻌرﯾف ﯾﻧطﺑﻖ ﺑﺟدارة ﻋﻠﻰ اﻟﺑوﺗﻧت ﻛذﻟك .اﻟﻘﺎﺋد ھو ﺳﯾد اﻟﺑوت " ،"botmasterواﻟﻘوات اﻟﻣﺧﺻﺻﺔ واﻟﻣرﻓﻘﺔ ھﻲ آﻻت اﻟﻣﺧﺗرﻗﺔ ،وﯾﻌرف أﯾﺿﺎ ﺑﺎﺳم اﻟﺑوت "."bots C&Cھو اﻟﻌﻧﺻر اﻷﻛﺛر أھﻣﯾﺔ ﻓﻲ اﻟﺑوﺗﻧت .وھذا ھو ﻣﺎ ﯾﻣﯾز اﻟﺑوﺗﻧت ﻋن اﻟﺗﮭدﯾدات اﻷﺧرى.ھو أن ﺳﯾد اﻟﺑوت ﯾﺳﯾطر ﻋﻠﻰ اﻟﺑوﺗﻧت واﻟﺗﻲ ﺗﻛﻣن ﻓﻲ .C&Cﻗم ﺑﺈﺳﻘﺎط C&Cوﺳوف ﯾﺻﺑﺢ اﻟﺑوﺗﻧت ﻋدﯾم اﻟﻔﺎﺋدة .اﻟﺑوﺗﻧت ﯾﻣﻛن أن ﯾﻌﯾش ﺑدون ﻣﻛوﻧﺎت اﻟﺷﺑﻛﺔ اﻷﺧرى ،ﻟﻛﻧﮫ ﻻ ﯾﺳﺗطﯾﻊ أن ﯾﻌﯾش ﺑدون .C&Cﺑﻌﺑﺎرة أﺧرى ،ﻓﺈن C&Cھو اﻟﻣطﻠوب ،واﻟﺑﺎﻗﻲ ﻣﺟرد اﺧﺗﯾﺎري. ﻣﻠﺣوظﮫ :ﻣﺎ ھو اﻟﻔرق ﺑﯾن C&Cاﻟﻘﻧﺎة " ،"channelاﻟﺧﺎدم " ،"serverوﺣرﻛﺔ اﻟﻣرور ""traffic؟ اﻟﺑوت " "botsﺗﺗﺻل ﺑﻘﻧﺎة C&C ﻟﺗﻠﻘﻲ اﻷواﻣر .ﺧﺎدم اﺳﺗﺿﺎﻓﺔ ﻗﻧﺎة C&Cﻗﻧﺎة ﯾﺳﻣﻰ ،C&C serverواﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﺗﺗدﻓﻖ ﺑﯾن اﻟﺑوت وﻗﻧﺎة C&Cﺗﺳﻣﻰ .C&C traffic ﻣﻠﻘﻢ ﻟﺘﻮزﯾﻊ اﻟﺒﺮاﻣﺞ اﻟﻀﺎرة ""Malware distribution server ﺧﺎدم/ﻣﻠﻘم ﻟﺗوزﯾﻊ اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ھو ﻣورد ﻋﺑر اﻹﻧﺗرﻧت واﻟﺗﻲ ﯾﺳﺗﺿﯾف ﻣﻛوﻧﺎت اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ،ﺑﻣﺎ ﻓﻲ ذﻟك ،bot agent وﻏﯾرھﺎ ﻣن اﻟﻣﻠﻔﺎت اﻟﮭﺎﻣﺔ ،واﻟﺗﺣدﯾﺛﺎت اﻟﺗﻲ ﯾﺣﺗﺎﺟﮭﺎ اﻟﺑوﺗﻧت ﻣن اﺟل ﻋﻣﻠﯾﺎﺗﮫ .ﻓﻲ ﻛل ﻣرة ﻋﻧﺎﺻر اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ،أو أي ﻣن اﻟﻣﻠﻔﺎت ذات اﻟﺻﻠﺔ ﺑﺎﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ،ﯾﺣﺗﺎج إﻟﻰ ﺗﺣدﯾث ،واﻟﺑوﺗﻧت ﯾﺳﺗﺧدم اﻟﺧﺎدم ﻟﺗﺣدﯾث ﻣﻛوﻧﺎت اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﻓﻲ اﻷﺟﮭزة اﻟﻣﺧﺗرﻗﺔ .ﻛﻣﺎ أﻧﮭﺎ ﺗﺳﺗﺧدﻣﮫ ﻛﻣﺻدر رﺋﯾﺳﻲ ﻟﻣﻛوﻧﺎت اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ اﻟﺗﻲ ﯾﺗم ﺗﺣﻣﯾﻠﮭﺎ ﻣن ﻗﺑل ﺗرﻛﯾب اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﺧﻼل ﻣرﺣﻠﺔ اﻹﺻﺎﺑﺔ. ﻣﻨﻄﻘﺔ اﻻﺳﻘﺎط "."Drop zone ﻣﻧطﻘﺔ اﻻﺳﻘﺎط ھﻲ ﻣورد ﻋﺑر اﻹﻧﺗرﻧت اﻟﺗﻲ ھﻲ ﺑﻣﺛﺎﺑﺔ ﻣﺳﺗودع اﻟﻣﮭﺎﺟم ﻟﻠﺑﯾﺎﻧﺎت اﻟﻣﺳروﻗﺔ .وﻏﺎﻟﺑﺎ ﻣﺎ ﺗﺳﺗﺧدم ﻣﻧطﻘﺔ اﻻﺳﻘﺎط إذا ﺗم اﺳﺗﺧدام اﻟﺑوﺗﻧت ﺑوﺻﻔﮭﺎ ﺣﺎﺻدة ﻟﻠﻣﻌﻠوﻣﺎت ،ﺑﻣﺎ ﻓﻲ ذﻟك وﻟﻛن ﻟﯾس ﻣﺣدودا اﻷوراق اﻟﻣﺎﻟﯾﺔ ،اﻟﺑﯾﺎﻧﺎت اﻟﺷﺧﺻﯾﺔ ،وﻣﻌﻠوﻣﺎت ﺧﺎﺻﺔ. د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1070 ھﯾﻛل "C&C STRUCTURE" C&C ﯾﺣدد ھﯾﻛل botnet’s C&Cﻛﯾﻔﻲ أن ﯾﺗم ﻧﺷر اﻷواﻣر واﻟﻣﻌﻠوﻣﺎت اﻟﮭﺎﻣﺔ إﻟﻰ اﻟﺑوت " "botsاو ﺑﺎﻟﻣﻌﻧﻰ اﻻﺧر ﯾوﺿﺢ طرﯾﻘﺔ ﻋﻣل اﻟﺑوﺗﻧت .ھﻧﺎك ﺛﻼﺛﺔ أﻧواع ﻣن ھﯾﻛل :C&C ﻣرﻛزﯾﺔ "."Centralized ﻟﻼﻣرﻛزﯾﺔ "."Decentralized ھﺟﯾﻧﮫ "."Hybridھﯿﻜﻞ C&Cاﻟﻤﺮﻛﺰي ""Centralized C&C Structure ھﻲ اﻷﻛﺛر اﻧﺗﺷﺎر واﻻﻗدم .ﻓﻲ ھذا اﻟﮭﯾﻛل ﯾﺗم ﺗﻧظﯾم اﻟﺑوﺗﻧت ﻣﻊ C&Cﻣرﻛزي .وھذا ﯾﻌﻧﻲ أن ﺟﻣﯾﻊ أﻋﺿﺎء اﻟﺑوﺗﻧت ﯾﺗﺻﻠون ﺑﮭذه اﻟﻌﻘد اﻟﻣرﻛزﯾﺔ " "Central nodeﺣﯾث ﯾﺗم إﺻدار اﻷواﻣر .ھذا اﻟﮭﯾﻛل ﯾوﻓر وﺳﯾﻠﺔ ﻓﻌﺎﻟﺔ ﺟدا وﺑﺳﯾطﺔ ﻟﺳﯾد اﻟﺑوت ""bot master ﻟﻠﺗواﺻل ﻣﻊ اﻟﺑوت " ."botsﺑﺎﻹﺿﺎﻓﺔ اﻟﻰ ذﻟك ،ﻓﺎﻧﮫ ﯾﻣﻛن إدارﺗﮭﺎ ﺑﺳﮭوﻟﺔ ﻣن ﻗﺑل ﺳﯾد اﻟﺑوت "."bot master ﻧﺷر اﻻواﻣر وﻓﯾﻣﺎ ﯾﻠﻲ ﻧوﻋﺎن ﻟﻛﯾﻔﯾﺔ ﻧﺷر اﻷواﻣر ﻓﻲ ھﯾﻛل C&Cاﻟﻣرﻛزي: أﺳﻠوب اﻟدﻓﻊ "."Push style أﺳﻠوب اﻟﺳﺣب "."Pull styleﻓﻲ أﺳﻠوب اﻟدﻓﻊ ﻓﻲ ھﯾﻛل C&Cاﻟﻣرﻛزي " "push style centralized C&C structureﺳﯾد اﻟﺑوت ﯾﻘوم ﺑدﻓﻊ اﻷﻣر إﻟﻰ .bot agent ﻓﻲ ھذا اﻟﺳﯾﻧﺎرﯾو ،ﯾﺗم ﺗوﺻﯾل اﻟﺑوت " "botsﺑﻧﺷﺎط ﺒ C&Cواﻻﻧﺗظﺎر ﻟﻸﻣر ﻣن ﺳدي اﻟﺑوت .وﻧﺗﯾﺟﺔ ﻟذﻟك ،ﻓﺈن ﺳﯾد اﻟﺑوت ﻟدﯾﮫ اﻟﺳﯾطرة ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ ﻋﻠﻰ اﻟﺑوت " ."botsاﻧظر اﻟﺷﻛل اﻟﺗﺎﻟﻲ ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل.
ھذا ﯾﻧطﺑﻖ ﺑﺷﻛل ﺧﺎص ﻋﻠﻰ C&Cاﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ ،(IRC-based C&C) IRCﺣﯾث ﯾﺗم ﺗﺳﺟﯾل botsﻓﻲ ﻗﻧﺎة IRCﻣﻌﯾﻧﺔ وﻣن ﺛم اﻧﺗظﺎر أﻣر ﻣن ﺳﯾد اﻟﺑوت " ."bot masterﺑﻣﺟرد إﺻدار اﻷﻣر ،ﻓﺎن اﻟ botsﯾﻘوم ﺑﺎﺗﺧﺎذ اﻹﺟراءات واﻻﺳﺗﺟﺎﺑﺔ ﻣﻊ اﻟﻧﺗﺎﺋﺞ إذا ﻟزم اﻷﻣر. ﻓﻲ أﺳﻠوب اﻟﺳﺣب " "pull styleﻓﻲ ھﯾﻛل C&Cاﻟﻣرﻛزي ،اﻟ botsﺗﻘوم ﺑﺳﺣب اﻟﻣﻌﻠوﻣﺎت أو اﻟﺗﺣدﯾﺛﺎت ﻣن .C&Cﻓﻲ ھذا اﻟﺳﯾﻧﺎرﯾو، اﻟﺑوﺗﺎت ﺗﻘوم ﺑدوري اﺗﺻﺎل ﻣﻊ C&Cواﻟﺗﺣﻘﻖ ﻣن وﺟود أﻣر ﺟدﯾد .ھذه اﻻواﻣر ﯾﺗم ﻧﺷرھﺎ ﻣن ﻗﺑل ﺳﯾد اﻟﺑوت ﻓﻲ ﺷﻛل ﻣﻠف أو ﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﯾﻣﻛن ﺗﻔﺳﯾرھﺎ ﻣن ﻗﺑل اﻟﺑوت " "botsواﻟوﺻول إﻟﯾﮭﺎ .وﺟود ﺳﯾد اﻟﺑوت ﻟوﺿﻊ اﻻﻣر وﻣن ﺛم ﻗﯾﺎم اﻟﺑوت " "botsﺑﺳﺣب اﻻﻣر ﻣن C&Cﻻ ﯾﻌطﻲ اﻟﺳﯾطرة ﻟﺳﯾد اﻟﺑوت ﻋﻠﻰ botsﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ ﺑﺳﺑب اﻟﺗﺄﺧﯾر ﻓﻲ وﻗت ﻧﺷر ﺳﯾد اﻟﺑوت ﻟﻸواﻣر وﻗﯾﺎم botsﺑﺳﺣب اﻷواﻣر ﻣن .C&Cاﻧظر اﻟﺷﻛل اﻟﺗﺎﻟﻲ ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1071 ﻏﺎﻟﺑﺎ ﻣﺎ ﯾرى ھذا اﻟﺳﻧﺎرﯾو ﻓﻲ C&Cاﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ ."HTTP-based C&C" HTTPﺣﯾث ان اﻟﺑوت " "botsﺗﻘوم ﺑﺎﻻﺗﺻﺎل ﺑﺧﺎدم ﺑروﺗوﻛول ) (HTTPوﺗﺗﻠﻘﻰ اﻷﻣر ﻣن ﺧﻼل اﺳﺗﺟﺎﺑﺔ ."HTTP response" HTTP ھﯿﻜﻞ C&Cاﻟﻼﻣﺮﻛﺰي ""Decentralized C&C Structure ﻋﻠﻰ اﻟرﻏم ﻣن أن ﺑﻧﯾﺔ C&Cاﻟﻣرﻛزﯾﺔ ﻣن اﻟروﺑوﺗﺎت ﺗوﻓر اﻟﻌدﯾد ﻣن اﻟﻣزاﯾﺎ ،ﻣﺛل اﻟﺑﺳﺎطﺔ وﺳﮭوﻟﺔ اﻹدارة ،ﻓﺄﻧﮭﺎ ﺗوﻓر أﻛﺑر ﻋﯾب ﻋﻠﻰ اﻟروﺑوﺗﺎت .ﺣﯾث ان C&Cاﻟﻣرﻛزي ھو أﯾﺿﺎ ﻧﻘطﺔ ﻓﺷل ﻣرﻛزﯾﺔ ﻟﻠروﺑوﺗﺎت .ﺣﯾث أي ﻣﻧﻊ ﻟﻠوﺻول إﻟﻰ C&Cأو اﺳﻘﺎطﮫ "ﺟﻌﻠﮫ ﻻ ﯾﻌﻣل" ﺳوف ﺗﺟﻌل اﻟروﺑوﺗﺎت ﻋدﯾﻣﺔ اﻟﻔﺎﺋدة .ﺣﯾث أن اﻟﻣﻛوﻧﺎت اﻟﺧﺑﯾﺛﺔ ﻣن اﻟروﺑوﺗﺎت ﻻ ﺗزال ﻣﺳﺗﻣرة ﻓﻲ ﻋﻣﻠﮭﺎ ،وﻟﻛن ﻟن ﯾﻛون ھﻧﺎك أﺣد ﯾﺳﯾطر ﻋﻠﯾﮭﺎ وﯾطﻌﻣﮫ ﻣﻊ اﻷواﻣر اﻟﺟدﯾدة .وﯾدرك ﻣﺟرﻣو اﻹﻧﺗرﻧت ھذا ﻟذﻟك ﺧرﺟوا ﻣﻊ ھﯾﻛل C&Cأﻛﺛر ﻣروﻧﺔ ،واﺣدة ﯾﻘدم اﻟﺗﻛرار ﻣن ﺧﻼل ﻋدة ﻋﻘد ﻟ .C&Cوﯾﻌرف ھذا اﻟﮭﯾﻛل ﺑ C&Cاﻟﻼﻣرﻛزي. ﻓﻲ ﺑﻧﯾﺔ C&Cاﻟﻼﻣرﻛزي ،اﻟﻌﻘد " "nodesﺗﻌﻣل ﺑﻣﺛﺎﺑﺔ ﻛل ﻣن C&Cاﻟﺧﺎدم واﻟﻌﻣﯾل .اﻟﻌﻘد " "nodesھﻲ آﻻت اﻟﻣﺧﺗرﻗﺔ أﻧﻔﺳﮭم .ھذا ﯾﻠﻐﻲ اﻟﻧﻘطﺔ اﻟﻣرﻛزﯾﺔ ﻟﻔﺷل اﻟروﺑوﺗﺎت .اﺳﻘﺎط ﻋﻘدة C&Cواﺣدة ﻻ ﯾﻘﺗل اﻟروﺑوﺗﺎت وﻻ ﺗﺳﺑب اﺿطراﺑﺎ .وﺳﯾد اﻟﺑوت ﯾﻣﻛﻧﮫ اﻟﺳﯾطرة ﻋﻠﻰ اﻟروﺑوﺗﺎت ﻣن ﻋﻘد أﺧرى .ھﯾﻛل C&Cاﻟﻼﻣرﻛزي ﯾﻌرف أﯾﺿﺎ ﺑﺷﺑﻛﺔ اﻟﺑوﺗﻧت اﻟﻧد ﺑﺎﻟﻧد "."peer-to-peer (P2P) botnet network طﺑﯾﻌﺗﮫ P2Pﺗﺟﻌﻠﮭﺎ أﻛﺛر ﻣﻘﺎوﻣﺔ ﻟﻠﺗداﺑﯾر اﻟﻣﺿﺎدة اﻟﺗﻲ ﺗﻌﻣل ﻓﻘط ﻣن أﺟل اﻟروﺑوﺗﺎت ذات ھﯾﻛل C&Cاﻟﻣرﻛزي. أﺳﺎﺳﯿﺎت :P2Pﺗﺑﺎدل اﻟﻣﻠﻔﺎت P2Pﺗﻣﻛن اﻟﻣﺳﺗﺧدم ﻣن ﺗﺣﻣﯾل اﻟﻣﻠﻔﺎت ﺑﺎﺳﺗﺧدام P2P clientﻣن اﻟﻧظم اﻷﺧرى أو اﻟﺗﻧﺎظر ﻣﻊ P2P clientاﻟﻣﺗواﻓﻖ .وﯾﺳﺗﺧدم ﻣؤﺷر اﻟﻣﻠف " "file indexﻣن ﻗﺑل P2P clientﻟﺗﺣدﯾد ﻣوﻗﻊ اﻟﻣﻠف اﻟﻣطﻠوب .وﻣن ﺛم ﯾﺗم اﺳﺗﻔﺳﺎرات اﻟزﻣﻼء " "peer queriesﻋن اﻟﻣﻠف اﻟﻣطﻠوب ﻋﺑر ﺷﺑﻛﺔ P2Pﺣﺗﻰ ﯾﺗم اﻟﻌﺛور ﻋﻠﻰ اﻟﻣﻠف أو ﯾﻧﺗﮭﻲ اﻻﺳﺗﻌﻼم .وﯾﻣﻛن ﺑﻌد ذﻟك ﺗﺣﻣﯾل اﻟﻣﻠف اﻟﻣطﻠوب ﻣن أﻗرب أﻗراﻧﮫ " ،"peerأو ﻣن ﺷراﺋﺢ ﻣﺗﻌددة ﻣن اﻷﻗران" ،"peersوذﻟك اﻋﺗﻣﺎدا ﻋﻠﻰ ﺑروﺗوﻛول .P2Pاﻋﺎدة ﺗﺟﻣﯾﻊ اﻟﻘطﺎﻋﺎت ﺑﻌد ﺗﺣﻣﯾﻠﮭﺎ ﯾﺗم ﻣن ﺧﻼل .P2P client ﻣﻠﺣوظﮫ P2P:ﻟدﯾﮫ اﻟﻌدﯾد ﻣن اﻻﺳﺗﺧداﻣﺎت اﻷﺧرى اﻟﻰ ﺟﺎﻧب ﺗﺑﺎدل اﻟﻣﻠﻔﺎت .ﺣﯾث أﻧﮭﺎ ﺗﺳﺗﺧدم أﯾﺿﺎ ﻟﻧﻘل اﻟﺻوت واﻟرﺳﺎﺋل. أﻧﻮاع :P2P Botnetوﯾﻣﻛن ﺗﻘﺳﯾم P2P Botnetاﻟﻰ اﻷﻧواع اﻷﺗﯾﺔ: oﺗﻠك اﻟﺗﻲ ﺗﺳﺗﺧدم ﺷﺑﻛﺔ P2Pاﻟﺣﺎﻟﯾﺔ )(Those that use the existing P2P network oﺗﻠك اﻟﺗﻲ ﺗﺑﻧﻲ ﺷﺑﻛﺔ P2Pاﻟﺧﺎﺻﺔ )(Those that build their own P2P network P2P Botnetاﻟﺗﻲ ﺗﺳﺗﺧدم ﺷﺑﻛﺎت P2Pاﻟﺣﺎﻟﯾﺔ ﯾﻣﻛن ﺗﻘﺳﯾﻣﮭﺎ ھﻲ اﻷﺧرى إﻟﻰ ﻣﺎ ﯾﺳﻣﻰ parasite P2P botnetو .leeching P2P botnet ﻓﻲ ،parasite P2P botnetﺟﻣﯾﻊ اﻟﺑوﺗﺎت ھم ﻣﺿﯾﻔﯾن ﺿﻣن ﺷﺑﻛﺔ P2Pاﻟﻘﺎﺋﻣﺔ ،ﺑﯾﻧﻣﺎ ﻓﻲ ،leeching P2P botnetاﻟﺑوﺗﺎت ھﻧﺎ ﯾﻣﻛن أن ﺗﻛون أي ﻣن اﻟﻣﺿﯾﻔﯾن اﻟﻣﺳﺗﺿﻌﻔﯾن ﻓﻲ اﻻﻧﺗرﻧت وﻟﯾس ﻓﻘط داﺧل ﺷﺑﻛﺔ P2Pاﻟﺣﺎﻟﯾﺔ .ﻓﻲ ،parasite P2P botnet bootstrappingﻏﯾر ﻣطﻠوﺑﺔ ﺣﯾث أن ﺟﻣﯾﻊ اﻟﺑوﺗﺎت ھﻲ ﺑﺎﻟﻔﻌل ﺟزء ﻣن ﺷﺑﻛﺔ ،P2Pﺑﯾﻧﻣﺎ ﻓﻲ ،leeching P2P botnetﺑﻌض اﻟﺑوﺗﺎت اﻟﺗﻲ ﻻ ﺗﺷﻛل ﺟزءا ﻣن ﺷﺑﻛﺔ P2Pﺳوف ﺗﺣﺗﺎج إﻟﻰ bootstrappingﻟﻼﻧﺿﻣﺎم اﻟﻰ ﺷﺑﻛﺔ .P2P ﻣﻠﺣوظﮫ bootstrapping :ھﻲ ﻋﻣﻠﯾﺔ اﻻﻧﺿﻣﺎم إﻟﻰ ﺷﺑﻛﺔ .P2P P2P Botnetاﻟﺗﻲ ﺗﺑﻧﻲ ﺷﺑﻛﺔ P2Pاﻟﺧﺎﺻﺔ ﺑﮭﺎ ﯾطﻠﻖ ﻋﻠﯾﮭﺎ أﯾﺿﺎ Bot-only P2P botnet .bot-only P2P botnetsﻻ ﯾﻌﺗﻣد ﻋﻠﻰ ﺷﺑﻛﺎت P2Pاﻟﻘﺎﺋﻣﺔ ،ﻋﻠﻰ اﻟرﻏم ﻣن أﻧﮫ ﯾﻣﻛن اﻻﺳﺗﻔﺎدة ﻣﻧﮭﺎ إذا ﻟزم اﻷﻣر .ﺑدﻻ ﻣن ذﻟك ،ﻓﺈﻧﮫ ﯾﺑﻧﻲ ﺷﺑﻛﺗﮫ اﻟﺧﺎﺻﺔ .ھذا ﯾﺿﻣن أن اﻟﺑوﺗﺎت ھﻲ اﻟوﺣﯾدة أﻋﺿﺎء ﺷﺑﻛﺔ .P2P ﻧﺷر اﻻواﻣر وﻓﯾﻣﺎ ﯾﻠﻲ ﻧوﻋﺎن ﻟﻛﯾﻔﯾﺔ ﻧﺷر اﻷواﻣر ﻓﻲ ھﯾﻛل C&Cاﻟﻼﻣرﻛزي: أﺳﻠوب اﻟدﻓﻊ "."Push style أﺳﻠوب اﻟﺳﺣب "."Pull styleﻓﻲ أﺳﻠوب اﻟدﻓﻊ " "pushﻓﻲ ﺑﻧﯾﺔ ،P2P C&Cﯾﻘوم ﺳﯾد اﻟﺑوت ""bot masterﺑﺣﻘن اﻷﻣر ﻓﻲ اﻟﺑوت أو ﻣﺟﻣوﻋﺔ ﻣن اﻟﺑوت ،وﻣن ﺛم ﺗﻘوم ھذه اﻟﺑوت ﺑدﻓﻊ ھذه اﻻواﻣر إﻟﻰ اﻷﻣﺎم إﻟﻰ أﻗراﻧﮫ اﻟﻣﺟﺎور ﻟﮭﺎ .ﺛم اﻟﻣﺗﻠﻘﯾن ﯾﻘوﻣون ﻹﻋﺎدة إرﺳﺎﻟﮭﺎ إﻟﻰ ﻛل ﻣن أﻗراﻧﮭم اﻟﻣﺟﺎورة ﻟﮭﺎ، وھﻠم ﺟرا .اﻟﻌﯾب اﻟوﺣﯾد ﻟﮭذا اﻟﻧﮭﺞ ھو أن ﺗدﻓﻖ اﻷواﻣر إﻟﻰ اﻟﺑوﺗﺎت اﻷﺧرى ﺑطﻲء ﻷن ﻋدد اﻷﻗران اﻟﻣﺟﺎورة ﻗد ﺗﻛون ﻣﻧﺧﻔﺿﺔ .وھذه ﺑﻌﯾدة ﻛل اﻟﺑﻌد ﻋن اﻟﺳﯾطرة ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ ﻟﺳﯾد اﻟﺑوت ﺑﺎﻟﻣﻘﺎرﻧﺔ ﻣﻊ أﺳﻠوب اﻟدﻓﻊ ﻓﻲ ھﯾﻛل C&Cاﻟﻣرﻛزي .ﺑﺎﻹﺿﺎﻓﺔ اﻟﻰ ذﻟك ،ﺗدﻓﻖ اﻷواﻣر ﻗد ﯾﺣﺻل ﻟﮫ ﺗﻌطل ،وﺧﺎﺻﺔ ﻓﻲ اﻟﻧوع parasite P2P botnetو leeching P2P botnetواﻟذي ﯾﻣﻠك أﻋﺿﺎء ﺷرﻋﯾﯾن ﻛﺄﻋﺿﺎء ﻓﻲ اﻟﺷﺑﻛﺔ .ﻟﺗﺟﻧب اﻟﺗﻌطﯾل وﺿﻣﺎن أن ﯾﺗم ﺗوﺟﯾﮫ اﻷواﻣر إﻟﻰ أﻋﺿﺎء اﻟﺑوت وﻟﯾس ﻟﻸﻋﺿﺎء اﻟﺷرﻋﯾﯾن ،ﻓﺎن اﻟﺑوت اﻟذي ﯾﻘوم ﺑﺗوﺟﯾﮫ اﻷﻣر ﯾﺣﻣل اﺳم ﻣﻠف ﻣﺣدد ﻣﺳﺑﻘﺎ ﻣﺗﺎح واﻟﺗﻲ ﯾﻘوم اﻟﺑوﺗﺎت اﻷﺧرى ﻓﻲ اﻟﺷﺑﻛﺔ ﺑﺎﻻﺳﺗﻌﻼم واﻟﺑﺣث ﻋﻧﮭﺎ .اﻟﺑوﺗﺎت اﻟﻰ ﺳوف ﺗظﮭر ﻓﻲ ﻧﺗﺎﺋﺞ اﻟﺑﺣث ﻟﮭذه اﻟﻣﻠﻔﺎت ﺳوف ﺗﺗﻠﻘﻲ اﻷواﻣر ﻣن ﺑوت اﻟﺗﻣرﯾر " ."Forward botإذا ﻛﺎن اﻟﺑوت اﻟﻣﺗﻠﻘﻲ ھو ﺟزء ﻣن ﺷﺑﻛﺔ P2Pاﻟﺗﻲ ﯾﺟري اﺳﺗﺧداﻣﮭﺎ ﻣن ﻗﺑل اﻟروﺑوﺗﺎت ،ﻓﺎن اﻟرﺳﺎﻟﺔ " "in-band messageھﻲ طرﯾﻖ اﻟﺗواﺻل .ﺣﯾﺛﻲ ﯾﺗم ﺗﺷﻔﯾر اﻷﻣر ﻓﻲ رﺳﺎﻟﺔ اﺳﺗﻌﻼم ﻓﻘط واﻟﺗﻲ ﯾﻣﻛن ﻓﻛﮭﺎ اﻟﺑوﺗﺎت اﻟﻣﺗﻠﻘﻲ .ھذه اﻟطرﯾﻘﺔ ﺳﮭﻠﺔ اﻟﺗﻧﻔﯾذ وﯾﺻﻌب اﻟدﻓﺎع ﻋﻧﮭﺎ ﻷن ﺣرﻛﺔ اﻟﻣرور ﻣﺷﺎﺑﮭﺔ ﻟﺣرﻛﺔ P2Pاﻟﻌﺎدي .ﺧﻼف ذﻟك ،اﻟرﺳﺎﺋل اﻟﻰ ﯾﺗم إرﺳﺎﻟﮭﺎ ﺧﺎرج اﻟﻔرﻗﺔ " ،"out-band messageﻓﺈﻧﮭﺎ ﺗﺧﺎطر اﻟﻛﺷف ﻋﻧﮭﺎ ﻣن ﻗﺑل ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت. د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1072 ﻣﻠﺣوظﮫ :رﺳﺎﺋل " "in-band messageھﻲ ﺣرﻛﺔ ﻣرور P2Pاﻟطﺑﯾﻌﯾﺔ ،أﻣﺎ رﺳﺎﺋل " "out-band messageﻟﯾﺳت ﺣرﻛﺔ ﻣرور .P2P ﻓﻲ أﺳﻠوب اﻟﺳﺣب " "pullﻓﻲ ﺑﻧﯾﺔ ،P2P C&Cﯾﻘوم ﺳﯾد اﻟﺑوت ﺑﺑﺳﺎطﺔ إدراج ﺳﺟﻼت ﺗﺣﺗوي ﻋﻠﻰ أواﻣر اﻟروﺑوﺗﺎت ﻓﻲ اﻟﻔﮭرس واﻟﺗﻲ ﯾﺗم ﻣﺷﺎرﻛﺗﮭﺎ ﻣﻊ ﺑﻌض اﻷﺳﻣﺎء اﻟﻣﺣددة ﻣﺳﺑﻘﺎ أو ﻗﯾم اﻟﮭﺎش .ھذه اﻷﺳﻣﺎء اﻟﻣﺣددة ﻣﺳﺑﻘﺎ أو ﻗﯾم اﻟﮭش ھﻲ اﻟﺗﻲ ﺳوف ﯾﺑﺣث ﻋﻧﮭﺎ اﻟﺑوﺗﺎت ﺑﺷﻛل ﻣﻧﺗظم ﻋﻧدﻣﺎ ﯾﻛون ﻓﻲ ﺣﺎﺟﺔ ﻟﻠﺣﺻول ﻋﻠﻰ أواﻣر ﺟدﯾدة .ﻣن أﺟل أن ﯾﺣﺻل اﻟﺑوﺗﺎت أو ﯾﺳﺣب ھذه اﻷواﻣر ،ﻓﺎﻧﮫ ﺳوف ﯾﻘوم ﺑﺈﻧﺷﺎء اﺳﺗﻌﻼﻣﺎت ﺑﺷﻛل دوري ﻋن أﺳﻣﺎء اﻟﻣﻠﻔﺎت وﻗﯾم اﻟﮭﺎش اﻟﻣرﺗﺑطﺔ ﺑﺎﻟﺳﺟﻼت اﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ اﻻواﻣر .اﻷﻗران اﻟذﯾن ﻟدﯾﮭم اﻟﺳﺟﻼت اﻟﻣﻘﺎﺑﻠﺔ ﺳوف ﯾرﺟﻌون اﻻﺳﺗﻌﻼم إﻟﻰ اﻟﺑوﺗﺎت اﻟﺗﻲ اﺳﺗﻌﻠﻣت .ﻣن ھﻧﺎ ،ﯾﻣﻛن ﻟﻠﺑوﺗﺎت اﻟﺗﻲ اﺳﺗﻌﻠﻣت ﺑﺑﺳﺎطﺔ ﺳﺣب ھذه اﻟﺳﺟﻼت اﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ اﻷواﻣر اﻟﺗﻲ ﺻدرت ﻣن ﻗﺑل ﺳﯾد اﻟﺑوت. ھﯿﻜﻞ C&Cاﻟﮭﺠﯿﻦ ""Hybrid C&C Structure ﻛﻣﺎ ھو ﻣﺗوﻗﻊ ،ﻓﺈن ﻣﺟرﻣﻲ اﻹﻧﺗرﻧت ﯾﺳﺗﻔﺎدون داﺋﻣﺎ ﻣن ﻛل ﻣﺎ ﻓﻲ وﺳﻌﮭم ﻟﺗﺣﻘﯾﻖ أھداﻓﮭم اﻟﺧﺑﯾﺛﺔ .أدرﻛوا ﻣزاﯾﺎ وﻣﺳﺎوئ اﻟروﺑوﺗﺎت C&C ﺳواء اﻟﮭﯾﻛل اﻟﻣرﻛزي واﻟﻼﻣرﻛزي .ﻓﮭﻣوا أﯾﺿﺎ أﻧﮫ ﻓﻲ ظل ظروف ﻣﻌﯾﻧﺔ ،ﻗد ﺗﻛون واﺣدة C&Cأﻓﺿل ﻣن اﻵﺧر .ذﻟك ﻟزﯾﺎدة ﻓرص ﻧﺟﺎح اﻟروﺑوﺗﺎت ،ﻗﺎم اﻟﻣﮭﺎﺟﻣون ﺑﺗﻧﻔﯾذ ھﯾﻛل C&Cاﻟﮭﺟﯾن واﻟذي ﯾﺳﺗﺧدم ھﯾﻛل C&Cاﻟﻣرﻛزﯾﺔ واﻟﻼﻣرﻛزي .أﺣد اﻷﻣﺛﻠﺔ اﻟﺗﻲ ﺗﺳﺗﺧدم C&Cاﻟﮭﺟﯾن ھو .ZeusP2P/Murofet combo ﯾﺳﺗﺧدم ھذا اﻟروﺑوﺗﺎت P2Pگ C&Cأﺳﺎﺳﻲ وﻋﻧد ﻓﺷل اﻻﺗﺻﺎل ﺑﺎﻟ ،peersﻓﺈﻧﮫ ﯾذھب إﻟﻰ C&Cاﻻﺣﺗﯾﺎطﻲ ،واﻟذي ﯾﺳﺗﺧدم ھﯾﻛل C&Cاﻟﻣرﻛزي .وﻟﻛن ھﻧﺎك ﻛﯾﻛر .ﺣﯾث اﻧﮫ ﺑدﻻ ﻣن اﻻﺗﺻﺎل اﻟﻣﺑﺎﺷرة ﺑ C&Cﺑﺎﺳﺗﺧدام ﻣﺟﻣوﻋﺔ ﻣﺣددة ﺳﻠﻔﺎ ﻣن اﻟدوﻣﯾن ،ﻓﺈﻧﮫ ﯾﺳﺗﺧدم ﻣﺟﻣوﻋﺔ ﻣن ﻋدد ﻻ ﻧﮭﺎﺋﻲ ﺗﻘرﯾﺑﺎ ﻣن اﻟدوﻣﯾن اﻟﺗﻲ ﺗﻧﺗﺟﮭﺎ ﺧوارزﻣﯾﺔ (DGA) domain generation algorithmواﻟﺗﻲ ﯾﺗم ﺗرﻣﯾزھﺎ ﻓﻲ اﻟﺑراﻣﺞ اﻟﺿﺎرة .ﻣﺎ ھو DGA؟ ﺳﯾﺗم ﺷرح ھذا ﻓﻲ اﻷﻗﺳﺎم اﻟﻘﺎدﻣﺔ.
اﺳﺗﺧداﻣﺎت اﻟﺑوﺗﻧت )(BOTNET USAGE اﻵن ﺑﻌد أن أﺻﺑﺢ ﻟدﯾﻧﺎ ﻓﮭم أﺳﺎﺳﻲ ﻟﻣﺎ ھو اﻟﺑوﺗﻧت ،ﻓﻣن اﻟواﺿﺢ أن اﻟﻣﮭﺎﺟم ﻗﺎدر ﻋﻠﻰ ﺗﺣﻘﯾﻖ اﻟﻛﺛﯾر ﻣﻊ اﻟﺑوﺗﻧت ﺑﺎﻟﻣﻘﺎرﻧﺔ ﻣﻊ اﻟﻌدوى اﻟﺧﺑﯾﺛﺔ اﻟﺗﻘﻠﯾدﯾﺔ .ﻗوة اﻟﺑوﺗﻧت ھﻲ ﻓﻲ اﻷﻋداد اﻟﮭﺎﺋﻠﺔ .ﺣﯾث ﻛﻠﻣﺎ ﻛﺛر ھﻧﺎك ،ﻛﻠﻣﺎ أﺻﺑﺢ أﻛﺛر ﻗوة .اﻟﺑوﺗﻧت ھﻲ ﻣﺛل اﻟﻧﻣل .ﻧﻣﻠﺔ واﺣدة ﻟﯾس أﻛﺛر ﻣن ﻣﺟرد ﻣﺻدر إزﻋﺎج ،وﻟﻛن ھﺟوم ﻣن ﻣﺳﺗﻌﻣرة ﺑﺄﻛﻣﻠﮭﺎ ﯾﻣﻛن اﺳﻘﺎط اﻟﺣﯾوان اﻟذي ھو أﻛﺑر ﻣﺎﺋﺔ ﻣرة .ھذا ﻷن ﺟﺎﻧﺑﺎ ﻣن اﻟﻌدد اﻟﻛﺑﯾر ﻗد ﯾﺳﯾطر ﻋﻠﻰ اﻟﺿﺣﯾﺔ واﻟﻧﻣل ﺗﻌﻣل ﺑﺷﻛل ﺟﻣﺎﻋﻲ ﻣﻊ اﻟﮭدف اﻟواﺣد .وﯾﻧطﺑﻖ اﻟﺷﻲء ﻧﻔﺳﮫ ﻋﻠﻰ اﻟروﺑوﺗﺎت "."botnet ﻣﻼﺣظﮫ :اﻟﻣﮭﺎﺟﻣون اﻟﻣﺗﺧﺻﺻون ﻓﻲ اﻟﮭﺟﻣﺎت اﻟﻣﺳﺗﮭدﻓﺔ ﯾﻔﺿﻠون اﻟﺑوﺗﻧت ذات اﻟﺣﺟم اﻟﺻﻐﯾر ﻟﯾﻛون ﺗﺣت اﻟرادار وﯾﺗﺟﻧب رﺻده. وﻣﻊ ھذه اﻟﻛﻣﯾﺔ ﻣن اﻟﻘدرة اﻟﺣﺎﺳوﺑﯾﺔ اﻟﻣﺗﺎﺣﺔ ،اﻟﻣﮭﺎﺟم ﻗﺎدرة ﻋﻠﻰ أداء اﻟﻣﮭﺎم اﻟﺗﻲ ﻟم ﺗﻛن ﻣﻣﻛﻧﺔ ﻣن ﻗﺑل .ﺑﺎﻹﺿﺎﻓﺔ اﻟﻰ ذﻟك ،ﻓﺎﻧﮫ ﻣﺛل اﻣﺗﻼك اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﻠﺣوﺳﺑﺔ اﻟﺳﺣﺎﺑﯾﺔ " ."computing cloud infrastructureﺟﻌﻠت اﻟﻘدرة ﻋﻠﻰ اﻟﺗﺣﻛم ﻓﻲ اﻟروﺑوﺗﺎت ﻣن اﻟﻣﻣﻛن ﻷداء اﻟﻣﮭﺎم اﻟﺗﻲ ھﻲ ﻓﻌﺎﻟﺔ ﻓﻘط ﺑﺎﺳﺗﺧدام ﻣﺟﻣوﻋﺔ ﺿﺧﻣﺔ ﻣن اﻟﺑوت " ."botsﺑﻌض ھذه ﻣﺎ ﯾﻠﻲ: ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ اﻟﻣوزﻋﺔ "."DDoS ﻧﻘرات اﻻﺣﺗﯾﺎل"."Click fraud اﻟﺑرﯾد اﻟﻣزﻋﺞ "."Spam relay اﻟدﻓﻊ ﻣﻘﺎﺑل اﻟوﻛﯾل "."Pay-per-install agent ﺣﺻﺎد اﻟﻣﻌﻠوﻣﺎت ﻋﻠﻰ ﻧطﺎق واﺳﻊ "."Large-scale information harvesting ﻣﻌﺎﻟﺟﺔ اﻟﻣﻌﻠوﻣﺎت "."Information processingھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ اﻟﻣوزﻋﺔ ""DDOS أﻛﺛر اﻟﻣﺷﺎرﻛﯾن ھﻧﺎ ،وأﻛﺛر ﻓﻌﺎﻟﯾﺔ ﻟﮭﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ اﻟﻣوزﻋﺔ ) .(DDoSھو ﺟﯾش ﻣن اﻟﺑوت ﯾﺳﺗﮭدف ھدف واﺣد ﯾﻣﻛن أن ﯾﺷل ھذا اﻟﮭدف ﺑﺳرﻋﺔ .اﻟﻌﻼﻗﺔ ﺑﯾن ﻋدد اﻟﻣﺷﺎرﻛﯾن واﻟوﻗت اﻟذي ﯾﺳﺗﻐرﻗﮫ ﻹﻧزال ھدﻓﺎ ﯾﺗﻧﺎﺳب ﻋﻛﺳﯾﺎ. ھﻧﺎك ﺑﺎﻟﻔﻌل اﺛﻧﯾن ﻣن اﻟﺿﺣﺎﯾﺎ ﻓﻲ ھذا اﻟﮭﺟوم ،ﻛﻣﺎ رأﯾﻧﺎ ﻓﻲ اﻟﺷﻛل اﻟﺗﺎﻟﻲ:
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1073
ﻧﻘرات اﻻﺣﺗﯾﺎل""CLICK FRAUD ﺑدﻻ ﻣن ﺗوﺟﯾﮫ اﻵﻻف ﻣن اﻟﺑوت ﻟﺷن ھﺟوم ،ﻟﻣﺎذا ﻻ ﻧوﺟﮭﮭم ﻟﻠﻧﻘر ﻓوق اﻹﻋﻼﻧﺎت ﻟﺗوﻟﯾد اﻟدﺧل ﻟﻠﻣﮭﺎﺟﻣﯾن؟ وھذا ﻣﺎ ﯾﺳﻣﻰ ﺑﻧﻘرات اﻻﺣﺗﯾﺎل " ."Click Fraudھذه ھﻲ أﺳرع ﻋﻣﻠﯾﺔ اﺣﺗﯾﺎل ﻟﺻﻧﻊ اﻟﻣﺎل ﻟﻣﺟرﻣﻲ اﻹﻧﺗرﻧت .وأﻛﺑر اﻟﺧﺎﺳرﯾن ھم اﻟﻣﻌﻠﻧﯾن ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت. اﻟﻣﻌﻠﻧﯾن ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﯾﻘوﻣون ﺑﺎﻟﻔدع ﻟﻛل ﻧﻘرة ﻋﻠﻰ اﻹﻋﻼﻧﺎت اﻟﻣوﺟودة ﻟدﯾﮭم ﻋﻠﻰ اﻟﻣواﻗﻊ وﻧﺗﺎﺋﺞ اﻟﺑﺣث .إذا ﺗم اﻟﻧﻘر ﻋﻠﻰ اﻹﻋﻼن ﻷﻧﮫ ظﮭر ﺧﻼل ﻋﻣﻠﯾﺔ اﻟﺑﺣث ﻋن اﻟﻛﻠﻣﺎت اﻟرﺋﯾﺳﯾﺔ ،ﻓﺎن ﻣواﻗﻊ اﻟﺑﺣث ﻋﻠﻰ اﻻﻧﺗرﻧت ﺗﺣﺻل ﻋﻠﻰ ﻛل ھذه اﻻﻣوال .وﻟﻛن إذا ﺗم اﻟﻧﻘر ﻋﻠﻰ اﻹﻋﻼن ﻣوﺟود ﻋﻠﻰ ﻣوﻗﻊ ﻣﺎ ﻋﻠﻰ ﺷﺑﻛﺔ اﻻﻧﺗرﻧت ،ﻓﯾﺣﺻل دﻓﻊ ﻟﺻﺎﺣب اﻟﻣوﻗﻊ .ﻋﺎدة ﻣﺎ ﯾﺗم ﺗوﺟﯾﮫ اﻟدﻓﻊ ﻣن ﺧﻼل ﺑرﻧﺎﻣﺞ اﻧﺗﺳﺎب اﻹﻋﻼن " ."ad affiliation programﺻﺎﺣب اﻟﻣوﻗﻊ ﻻ ﯾﺣﺻل ﻋﻠﻰ ٪100ﻣن اﻟدﻓﻊ .ﺑدﻻ ﻣن ذﻟك ،ﻣﻘدم اﻟﺑرﻧﺎﻣﺞ ﯾﺣﺎﻓظ ﻋﻠﻰ ﻧﺳﺑﺔ ﺿﺋﯾﻠﺔ ﻣن اﻟدﺧل وﻣن ﺛم اﻟﺑﺎﻗﻲ ﻟﺻﺎﺣب اﻟﻣوﻗﻊ. دﻋﻧﺎ ﻧﻘول ان اﻟﻣﻌﻠن ﻋﻠﻰ اﻻﻧﺗرﻧت ھو ﻋﻠﻰ اﺳﺗﻌداد ﻟدﻓﻊ 10ﺳﻧﺗﺎ ﻋﻠﻰ ﻛل ﻧﻘرة ﻋﻠﻰ اﻹﻋﻼن .ﻟذﻟك ،إذا ﻛﺎن اﻹﻋﻼن ﻧﺷر ﻋﻠﻰ اﻻﻧﺗرﻧت ﻓﻲ ﻣوﻗﻊ Xﻓﺎﻧﮫ ﯾوﻟد 100،000ﻣن اﻟﻧﻘرات ،ﻓﺈن اﻟﻣﻌﻠﻧﯾن ﻋﻠﻰ اﻻﻧﺗرﻧت ﯾدﻓﻊ ﻟﺻﺎﺣب اﻟﻣوﻗﻊ Xﻣﺑﻠﻎ وﻗدره 10,000دوﻻر ﻧﺎﻗص ﻋﻣوﻟﺔ ﺑرﻧﺎﻣﺞ اﻻﻧﺗﺳﺎب اﻹﻋﻼن " ."ad affiliation programوﻣﻧذ ﻋﺎدة اﻧﮫ ﯾﺗم دﻓﻊ اﻟﻣﺎل ﻣن ﺧﻼل ﻣوﻓر اﻟﺑرﻧﺎﻣﺞ ،ﻓﮭو ﺑﺎﻟﻔﻌل ﺷﻛل ﻣن أﺷﻛﺎل ﻏﺳل اﻷﻣوال ﻷن ﻋﻠﻰ اﻟﺳطﺢ ﯾﺑدو أن اﻟدﺧل ﺷرﻋﻲ اﻟﻧﺎﺗﺟﺔ ﻋن اﻹﻋﻼﻧﺎت اﻟﻣوﺟودة ﻓﻲ ﻣوﻗﻊ اﻟﻣﺎﻟك. دﻋوﻧﺎ ﻧﻠﻘﻲ ﻧظرة ﻋﻠﻰ ﻛﯾف ﯾﺗم ﺗﻧﻔﯾذ ﻋﻣﻠﯾﺔ ﻧﻘرات اﻻﺣﺗﯾﺎل .أوﻻ ،ﯾﺿﻊ اﻟﻣﮭﺎﺟﻣﯾن ﻣوﻗﻊ ﻋﻠﻰ ﺷﺑﻛﺔ اﻻﻧﺗرﻧت اﻟﺗﻲ ﻻ ﺗﺣﺗوي ﻋﻠﻰ ﺷﻲء ﺳوى اﻹﻋﻼﻧﺎت .وﻣن ﺛم اﻟﺗوﻗﯾﻊ ﻣﻊ واﺣد أو أﻛﺛر ﻣﻊ ﺑراﻣﺞ اﻻﻧﺗﺳﺎب اﻹﻋﻼﻧﯾﺔ ﻣﺛل Google adSenseو.Yahoo! Affiliates ﺑﻣﺟرد ﺗﻌﯾﯾن ﻛل ﺷﻲء ،ﻓﺈﻧﮫ ﯾﻘوم ﺑﺈرﺷﺎد اﻟﺑوت اﻟﺗﻲ ﺗﺣت ﺳﯾطرﺗﮫ ﺑﺎﻟﻧﻘر ﻓوق اﻹﻋﻼﻧﺎت اﻟﻣوﺟودة ﻋﻠﻰ ﻣوﻗﻌﮫ ﻋﻠﻰ اﻻﻧﺗرﻧت .وھذا ﺳوف ﯾؤدي اﻟﻰ اﻟدﻓﻊ ﻣن ﻗﺑل اﻟﻣﻌﻠﻧﯾن ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت .وﻧظرا ﻟﻠﺷرﻛﺎت اﻟﺗﺎﺑﻌﺔ ﻟﮭﺎ ،ﺳﯾﺗم اﻟدﻓﻊ إﻣﺎ ﻋن طرﯾﻖ ﺟوﺟل أو ﯾﺎھو .ھذا ،وﻛﻣﺎ ذﻛر ﺳﺎﺑﻘﺎ ،ھو ﺑﺎﻟﻔﻌل وﺳﯾﻠﺔ ﻓﻌﺎﻟﺔ ﻟﻐﺳل اﻷﻣوال. اﻟﺑرﯾد اﻟﻣزﻋﺞ ""SPAM RELAY اﻟﺑوﺗﻧت ﯾوﻟد ﻛﻣﯾﺎت ھﺎﺋﻠﺔ ﻣن اﻟﺑرﯾد اﻟﻣزﻋﺞ ﻛل ﯾوم .ھذه اﻟﺑوﺗﺎت اﻟﻣوﻟدة ﻟﻠﺑرﯾد اﻟﻣزﻋﺞ ﺗﺳﻣﻰ .spambotsﻣن ﻗﺑل ،ﻛﺎن إرﺳﺎل اﻟﺑرﯾد اﻟﻣزﻋﺞ ﯾﺗم ﺑﺎﺳﺗﺧدام واﺣد أو ﻋدد ﻗﻠﯾل ﻣن اﻵﻻت اﻟﻣﻣﻠوﻛﺔ أو ﺗﺣت ﺳﯾطرة ﻣرﺳﻠﻲ اﻟﺑرﯾد اﻟﻣزﻋﺞ .ھذه اﻟطرﯾﻘﺔ ﻓﻲ إرﺳﺎل اﻟﺑرﯾد اﻟﻣزﻋﺞ ﻟﯾﺳت ﻓﻌﺎﻟﺔ ،ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ إﻧﮫ ﯾﻣﻛن ﺑﺳﮭوﻟﺔ اﻛﺗﺷﺎف اﻟﻣﺻدر وﻣن ﺛم إﺳﻘﺎطﮫ .ﻣرﺳﻠﻲ اﻟﺑرﯾد اﻟﻣزﻋﺞ " "Spammerﯾﺣﺗﺎﺟون إﻟﻰ طرﯾﻘﺔ ﺟدﯾدة ﻹرﺳﺎل اﻟﺑرﯾد اﻟﻣزﻋﺞ .ھذا ھو اﻟﻣﻛﺎن اﻟذي ﯾﺄﺗﻲ ﻓﯾﮫ ﻋﻣل اﻟﺑوﺗﻧت. اﺳﺗﺧدام اﻟﺑوﺗﻧت ﻓﻲ ارﺳﺎل اﻟﺑرﯾد اﻟﻣزﻋﺞ " "Spam Relayﯾوﻓر اﻟﻌدﯾد ﻣن اﻟﻣزاﯾﺎ: إﺧﻔﺎء ھوﯾﺔ اﻟﻣرﺳل "."The identities of the spammers can be hidden ﯾﻛﺎد ﯾﻛون ﻣن اﻟﻣﺳﺗﺣﯾل ﺗﺗﺑﻊ ﻣﺻدر اﻟﺑرﯾد اﻟﻣزﻋﺞ "."The identities of the spammers can be hidden ﺗواﻓر ﻋﺎل ﻣن اﻟﻘدرة اﻟﺣﺎﺳوﺑﯾﺔ وﻋرض اﻟﻧطﺎق اﻟﺗرددي ﯾﺳﻣﺢ ﻟﻛﻣﯾﺎت ﻛﺑﯾرة ﻣن اﻟﺑرﯾد اﻟﻣزﻋﺞ إﻟﻰ أن ﺗﻧﺗﻘل ﻋﻠﻰ اﻟﻔور. ﯾﻣﻛن أن ﺗﺗم ﻋﻣﻠﯾﺔ ارﺳﺎل اﻟﺑرﯾد اﻟﻣزﻋﺞ " "spamming processﺑﺎﻟﺗﻌﺎون ﺑﯾن اﻟﺑوﺗﺎت اﻟﺗﻲ ﺗﻘوم ﺑﺄداء اﻟﻣﮭﺎم اﻟﻣﺧﺗﻠﻔﺔ.ﻛل ﺣﻣﻠﺔ ﻟﻠﺑرﯾد اﻟﻣزﻋﺞ " "spam campaignﻟدﯾﮫ ﻋﻠﻰ اﻷﻗل ﺛﻼﺛﺔ ﻋﻧﺎﺻر اﻟﺗﻲ ﺗﻣﻛن اﻟﻣﮭﺎﺟم ﻹﻧﺷﺎء رﺳﺎﺋل اﻟﺑرﯾد اﻟﻣزﻋﺞ اﻟﺣﯾوﯾﺔ ،ﻣﻣﺎ ﯾﺟﻌﻠﮭﺎ ﺗﻣﺛل ﺗﺣدﯾﺎ ﺿد ﺣﻠول ﻣﻛﺎﻓﺣﺔ اﻟﺑرﯾد اﻟﺗطﻔﻠﻲ " "antispamﻟﻠﻛﺷف ﻋن اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﻣزﻋﺞ ﺑﺎﺳﺗﺧدام ﻧﻣط اﻟﻣطﺎﺑﻘﺔ " ."pattern matchingھذه اﻟﻌﻧﺎﺻر ھﻲ: د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1074 ﻗﺎﺋﻣﺔ اﻟﻣرﺳﻠﯾن "."Senders list ﻗﺎﺋﻣﺔ اﻟﻣﺳﺗﻘﺑﻠﯾن "."Receivers list ﻗﺎﻟب اﻟرﺳﺎﻟﺔ "."Message templateﻛﻣﺎ ھو ﻓﻲ اﻟﺷﻛل اﻟﺗﺎﻟﻲ ،ﻓﺎن ﻣرﺳﻠﻲ اﻟﺑرﯾد اﻟﻣزﻋﺞ " "Spammerﯾﺑدأ ﻓﻲ إرﺳﺎل اﻟﺑرﯾد اﻻﻟﻛﺗروﻧﻲ اﻟﻐﯾر اﻟﻣرﻏوب ﻓﯾﮫ " "Spammingﻣن ﺧﻼل .botnet’s C&Cاﻷواﻣر وﻣﻠﻔﺎت اﻻﻋداد اﻷﺧرى اﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ ﻋﻧﺎﺻر اﻟﺣﻣﻠﺔ اﻟﻣزﻋﺟﺔ " "spam campaignﯾﺗم دﻓﻌﮭﺎ أو ﺳﺣﺑﮭﺎ ﻣن ﻗﺑل spambotsﻣن .botnet’s C&Cوﺑﻌد ذﻟك ،ﯾﻘوم spambotsﺑﺗوﻟﯾد اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﻣﺿر ﺑﺎﺳﺗﺧدام ﻋﻧﺎﺻر ﺣﻣﻠﺔ اﻟﺑرﯾد اﻟﻣزﻋﺞ" ."spam campaignﺛم ﯾﺑدأ ارﺳﺎل اﻟﺑرﯾد اﻻﻟﻛﺗروﻧﻲ اﻟﻣزﻋﺞ.
واﺣد ﻣن أﺷﮭر اﻟﺑوﺗﺎت ﻟﻠﺑرﯾد اﻻﻟﻛﺗروﻧﻲ اﻟﻣزﻋﺞ اﻷﻛﺛر ﺷﮭرة ھﻲ .Rustock botnetوﻓﻘﺎ ﻟﺗﻘرﯾر أﻣن ﻣﺎﯾﻛروﺳوﻓت ،ﻗدرت اﻷﺟﮭزة اﻟﻣﺧﺗرﻗﺔ ﺗﺣت ﺳﯾطرة Rustock botnetﻟدﯾﮭم ﻣﺎ ﯾﻘرب ﻣن ﻣﻠﯾون ﻣن آﻻت اﻟﻣﺧﺗرﻗﺔ اﻟﻰ ﺗﻘوم ﺑدور spambotsوﻗﺎدرة ﻋﻠﻰ إرﺳﺎل اﻟﻣﻼﯾﯾن ﻣن رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﻣزﻋﺟﺔ ﻓﻲ اﻟﯾوم اﻟواﺣد. اﻟدﻓﻊ ﻣﻘﺎﺑل اﻟﺗﺛﺑﯾت "."PAY-PER-INSTALL AGENT اﻟﻔﻛرة اﻟرﺋﯾﺳﯾﺔ ھﻧﺎ ھو اﻟﺗرﺑﺢ ﻣن ﺗرﻛﯾب اﻟﺑرﻣﺟﯾﺎت ﻋﻠﻰ اﻟﻧظﺎم اﻟﻣﺧﺗرق .ھﻧﺎك طرﯾﻘﺗﺎن ﻟﺳﯾد اﻟﺑوت واﻟﺗﻲ ﺗﻣﻛﻧﮫ ﻣن اﻻﺳﺗﻔﺎدة ﻣن ھذا: ﺗرﻛﯾب اﻟﺑراﻣﺞ اﻟﺷرﻋﯾﺔ ).(Installation of legitimate software ﺗرﻛﯾب اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ).(Installation of legitimate softwareﻗدم ﺑﺣث ﺟﯾدة ﺟدا ﻋن (PPI) Pay-Per-Install Agentواﻟذي ﻗدﻣﮫ USENIX Securityﻓﻲ ﻋﺎم .2011وﻛﺎﻧت ﺑﻌﻧوان " ،"Measuring Pay-per-Install: The Commoditization of Malware Distributionواﻟذي ﻛﺗﺑﮫ ﺧوان ﻛﺎﺑﺎﻟﯾرو ،ﻛرﯾس ﺟرﯾر ،ﻛرﯾﺳﺗﯾﺎن ﻛراﯾﺑش ،وﻓﯾرن ﺑﺎﻛﺳون .ﯾﻣﻛن ﺗﺣﻣﯾﻠﮭﺎ ﻣن ﺧﻼل اﻟراﺑط اﻟﺗﺎﻟﻰ: https://www.usenix.org/legacy/events/sec11/tech/full_papers/Caballero.pdf ﺗﺮﻛﯿﺐ اﻟﺒﺮاﻣﺞ اﻟﺸﺮﻋﯿﺔ )(Installation of legitimate software ﺗﺧﯾل ﺷﺧص ﯾﻣﻠك ﻣوﻗﻊ ﻋﻠﻰ ﺷﺑﻛﺔ اﻻﻧﺗرﻧت اﻟﺗﻲ ﺗﺳﺗﺿﯾف اﻟﺑراﻣﺞ اﻟﻣﺧﺗﻠﻔﺔ .ﺻﺎﺣب ھذا اﻟﻣوﻗﻊ ﯾﺣﺻل ﻋﻠﻰ رﺑﺢ ﻣن ﻗﺑل اﻟﺷرﻛﺔ اﻟﻣﺻﻧﻌﺔ ﻟﻠﺑراﻣﺞ اﻟﺗﻲ ﯾﺗم ﺗﺣﻣﯾﻠﮭﺎ ﻓﻲ ﻛل ﻣرة وﺗﺛﺑﯾﺗﮭﺎ .اﻵن ،إذا ﻛﺎن ﺻﺎﺣب ھذا اﻟﻣوﻗﻊ ﻣﺗﻌﺎﻗد ﻣﻊ ﺳﯾد اﻟﺑوت ﻟﺗوﺟﯾﮫ ﻣﺋﺎت اﻵﻻف ﻣن اﻟﺑوت إﻟﻰ اﻟﻣوﻗﻊ وﻣن ﺛم ﺗﺣﻣﯾل وﺗﺛﺑﯾت اﻟﺑراﻣﺞ ﻋﻠﻰ اﻵﻻت اﻟﻣﺧﺗرﻗﺔ واﻟﺗﻲ ﻣن ﺷﺄﻧﮭﺎ أن ﺗﺗرﺟم إﻟﻰ ﻣﺋﺎت اﻵﻻف ﻣن ﺗﺛﺑﯾﺗﺎت اﻟﺑرﻣﺟﯾﺎت، ﻣﻣﺎ ﯾؤدى اﻟﻰ ﻋﻣﻠوه ﻛﺑﯾره ﻟﺻﺎﺣب اﻟﻣوﻗﻊ. ﻣﻠﺣوظﮫ :ﯾﻌﺗب ﻣن اﻟﻣؤﺷرات ﻋن اﻟﻌدوى ﺣﯾث ﺗﺷﮭد ﻛﻣﯾﺔ ﻣن اﻟﺑراﻣﺞ اﻟﻣﺛﺑﺗﺔ ﻓﺟﺄة ﻓﻲ اﻟﻧظﺎم واﻟﺗﻲ ﻟم ﯾﺗم ﺗﺛﺑﯾﺗﮭﺎ ھﻧﺎك ﻣن ﻗﺑل أي ﻣﺳﺗﺧدم. ﺗﺮﻛﯿﺐ اﻟﺒﺮﻣﺠﯿﺎت اﻟﺨﺒﯿﺜﺔ )(Installation of legitimate software ﻓﻲ ھذا اﻟﺳﯾﻧﺎرﯾو ،ﺑدﻻ ﻣن اﻟﺑراﻣﺞ اﻟﺷرﻋﯾﺔ ،ﯾﺗم ﺗﺛﺑﯾت اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﻓﻲ اﻟﻧظﺎم .ھذا ھو ﻋﺎدة اﻟﻣﻌﺎﻣﻠﺔ ﺗﺣت اﻷرض ﺣﯾث ﯾﺻﺑﺢ ﺳﯾد اﻟﺑوت Deployment provider .deployment providerھو اﻟﺷﺧص اﻟذي ﯾﻘدم اﻟﺧدﻣﺔ واﻟﺗﻲ ﻣن ﺷﺄﻧﮭﺎ أن ﺗوﻓر اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻋﻠﻰ اﻟﮭدف اﻟذى ﯾراه اﻟﻣﮭﺎﺟم. د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1075 اﻟﺷﺧص اﻟذي ﯾرﯾد أن ﯾﻛون ﻧﺎﺷر أو ﻣﺛﺑت ﻟﻠﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ " "malware deployedﯾﺗﺧذ ﻧﮭﺞ ﺳﯾد اﻟﺑوت ﻟﺧﻠﻖ اﻵﻻف ﻣن اﻵﻻت اﻟﻣﺛﺑت ﻋﻠﯾﮭﺎ .ﺛﻣن ھذه اﻟﺧدﻣﺔ ﯾﺧﺗﻠف ﻣن ﻛل ﺑﻠد ﺣﯾث ﺳﯾﺗم ﻧﺷر اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ وﻋﻣﺎ إذا ﻛﺎن ﺳﯾﺗم اﻟﺗﺛﺑﯾت ﻓﻲ ﻧظﺎم اﻟﺷرﻛﺔ أو ﺟﮭﺎز ﻛﻣﺑﯾوﺗر اﻟﻣﻧزل .ﺳﯾد اﻟﺑوت ﯾﻣﻛن ﺑﺑﺳﺎطﺔ إرﺷﺎد اﻟﺑوﺗﺎت ﻟﺗﺣﻣﯾل وﺗﺛﺑﯾت اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻣن ﻣوﻗﻊ ﻣﻌﯾن ،ﻋﺎدة ﻣﺎ ﯾﻛون ﺧﺎدم ﻟﻠﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ إﻟﻰ ﺟﮭﺎز اﻟﺿﺣﯾﺔ .أﺳﻠوب آﺧر ھو اﻻﺳﺗﻔﺎدة ﻣن ﻗدرة اﻟﺑرﯾد اﻟﻣزﻋﺞ " "botnet’s spam relayﻟوﺿﻊ اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﻛﻣرﻓﻖ أو وﺻﻠﺔ ﻟﺗﺣﻣﯾﻠﺔ ﻣن ﻗﺑل ﻣوﻗﻊ اﻟﺗﺣﻣﯾل. ﺣﺻد اﻟﻣﻌﻠوﻣﺎت ﻋﻠﻰ ﻧطﺎق واﺳﻊ ""Large-Scale Information Harvesting اﻵﻟﺔ اﻟﻣﺧﺗرﻗﺔ ﻣن اﻟﻣﻣﻛن أن ﺗﻛون ﻣﻧﺟم ذھب ﻣن اﻟﺑﯾﺎﻧﺎت ﻟﻣﺟرﻣﻲ اﻹﻧﺗرﻧت .ھذا ھو اﻟﺳﺑب اﻟذي ﺟﺎءت ﻣﻧﮫ ﺳﺎرﻗوا اﻟﻣﻌﻠوﻣﺎت .ﺗوﺟﯾﮫ ھذا اﻟﻧوع ﻣن اﻟﺑراﻣﺞ اﻟﺿﺎرة ھو اﻷﺳﺎس ﻟﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت .ﯾﻣﻛن أن ﺗﻛون ﻛﻠﻣﺎت اﻟﺳر ،وﺛﺎﺋﻖ ،أو أي ﻣﻌﻠوﻣﺎت أﺧرى ﯾﻘوم اﻟﻣﮭﺎﺟم ﺑﺟﻣﻌﮭﺎ. ﻋﺎدة ﻣﺎ ﯾﺗم اﻟﺟﻣﻊ ﻓﻲ إﻋداد ﺻﻐﯾر ﺟدا .وﻟﻛن ﻣﻊ ظﮭور اﻟﺑوﺗﻧت ،اﻟﻘدرة ﻋﻠﻰ ﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت ﻣن ﻣﺋﺎت اﻵﻻف ﺑل اﻟﻣﻼﯾﯾن اﻵﻻت أﺻﺑﺢ ﻣﻣﻛﻧﻧﺎ .وﻧظرا ﻟﻌدم اﻟﺗﻧﺳﯾﻖ ،ﯾﻣﻛن ﺗﺳرﯾب اﻟﻣﻌﻠوﻣﺎت اﻟﻣﺳروﻗﺔ إﻟﻰ ﺣﻔﻧﺔ ﻣن ﻣﻧﺎطﻖ اﻻﺳﻘﺎط اﻟﺗﻲ ﺗﺳﯾطر ﻋﻠﯾﮭﺎ ﻣﺟرﻣﻲ اﻻﻧﺗرﻧت. ﻋﺎدة ﻣﺎ ﯾﺗم ذﻟك ﻋن طرﯾﻖ ﺗﺛﺑﯾت ﻋﻧﺻر ﺳﺎرق اﻟﻣﻌﻠوﻣﺎت ﻋﻠﻰ ﺟﻣﯾﻊ اﻷﺟﮭزة اﻟﻣﺧﺗرﻗﺔ اﻟﺗﻲ ھﻲ ﺟزء ﻣن ﺷﺑﻛﺔ اﻟﺑوﺗﻧت .اﻟﺗرﻛﯾب ﯾﻣﻛن أن ﯾﻛون ﻓﻲ ﺷﻛل ﺗﺣدﯾﺛﺎ أو ﻣن ﺧﻼل .PPI agentﺑﻣﺟرد ان ﯾﺗم ﺗﺛﺑﯾت ﻣﻛون ﺳﺎرق اﻟﻣﻌﻠوﻣﺎت وﺗﻔﻌﯾﻠﮭﺎ ،ﻓﺈﻧﮭﺎ ﺳوف ﺗﺑدأ ﺑﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت ﻣن ﻣﺋﺎت اﻵﻻف ﻣن آﻻت اﻟﻣﺧﺗرﻗﺔ ،وﻣن ﺛم ﻓﻠﺗرة اﻟﺑﯾﺎﻧﺎت اﻟﻣﺳروﻗﺔ إﻟﻰ ﻣوﻗﻊ اﻟﺷﺑﻛﺔ اﻟﻣﻌﯾﻧﺔ اﻟﺗﻲ ﯾﺳﯾطر ﻋﻠﯾﮭﺎ اﻟﻣﮭﺎﺟﻣون ،واﻟﺑدء ﻓﻲ ﺟﻣﻊ اﻟﺑﯾﺎﻧﺎت ﻣرة أﺧرى .اﻟدورة ﺗطول وﺗطول ﺣﺗﻰ ﯾﺗم ﻗﺗل اﻟروﺑوﺗﺎت أو ﺗﻣت إزاﻟﺔ ﻋﻧﺻر اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﻣن اﻻﺟﮭزة اﻟﻣﺧﺗرﻗﺔ. وﻟﻛن ھذا ھو أﺳﮭل ﻣن اﻟﻘﯾﺎم ﺑﮫ .ﺗﺧﯾل ﻛﻣﯾﺔ اﻟﺑﯾﺎﻧﺎت اﻟﻣﺳروﻗﺔ ﻓﻲ ﻣﺗﻧﺎول اﻟﻣﮭﺎﺟﻣﯾن .اﻹﻣﻛﺎﻧﺎت ﻟﺗﺣﻘﯾﻖ ﻣﻛﺎﺳب ﻣﺎﻟﯾﺔ ﻋﺎﻟﯾﺔ. ﻣﻌﺎﻟﺟﺔ اﻟﻣﻌﻠوﻣﺎت ""Information Processing اﻟروﺑوﺗﺎت ھﻲ ﺳﺣﺎﺑﺔ اﻟﻣﮭﺎﺟم اﻟﺧﺑﯾﺛﺔ " ."attacker’s malicious cloudاﻧﮭﺎ ﻣﺛل وﺟود ﻛﻣﯾﺎت ھﺎﺋﻠﺔ ﻣن اﻟﻘدرة اﻟﺣﺎﺳوﺑﯾﺔ ﻓﻲ ﯾﺳﯾطر ﻋﻠﯾﮭﺎ اﻟﻣﮭﺎﺟم .ھذه اﻟﺳﻠطﺔ اﻟﺣوﺳﺑﺔ ﺗﺻﺑﺢ ﻓﻲ ﻣﺗﻧﺎول ﯾدي وﺧﺎﺻﺔ إذا ﻛﺎن اﻟﮭﺟوم ﯾدﻋو ﻟﻣﻌﺎﻟﺟﺔ اﻟﺑﯾﺎﻧﺎت .ﻣﺛﺎل ﻋﻠﻰ ذﻟك ھو ﺗﻛﺳﯾر ﻛﻠﻣﺎت اﻟﺳر .وﺟود ﻣﺛل ھذه اﻟﺣوﺳﺑﺔ ﯾﻘطﻊ اﻟوﻗت اﻟﻣﺳﺗﻐرق ﻟﻣﻌرﻓﺔ ﻛﻠﻣﺔ اﻟﺳر ﻣن ﺧﻼل اﻟﻘوة اﻟﻐﺎﺷﻣﺔ. آﻟﯾﺎت ﺣﻣﺎﯾﺔ اﻟروﺑوﺗﺎت ""Botnet Protective Mechanisms أﻛﺑر ﻗوة ﻓﻲ اﻟروﺑوﺗﺎت ،ھﻲ ،C&Cوھو أﯾﺿﺎ أﺿﻌف ﻧﻘطﺔ ﻓﻲ ﺣﻠﻘﺎﺗﮭﺎ .ﻟذﻟك ﯾﺟب ﺣﻣﺎﯾﺔ اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ C&Cووﺳﯾﻠﺔ اﻟوﺻول إﻟﯾﮫ إذا ﻛﻧت ﺗرﯾد ان ﺗزدھر اﻟروﺑوﺗﺎت .وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﻣن اﻟﺿروري ﺣﻣﺎﯾﺔ اﻟﻘﻧﺎة .C&Cوﯾﺗم ذﻟك ﻣن ﺧﻼل ﻣﺎ ﯾﻠﻲ: Bulletproof hosting Dynamic DNS Fast fluxing Domain fluxingﻣﻛوﻧﺎت ﺷﺑﻛﺔ اﻟروﺑوﺗﺎت اﻷﺧرى ھﻲ أﯾﺿﺎ ﻓﻲ ﺣﺎﺟﺔ إﻟﻰ اﻟﺣﻣﺎﯾﺔ وﻟﻛن ﻟﯾس ﺑﻘدر ،C&Cﻷﻧﮫ إذا ﻛﺎن أي ﻣن ھذه اﻟﻣﻛوﻧﺎت اﻷﺧرى ﺗﺻﺑﺢ ﻏﯾر ﻣﺗوﻓرة ،ﻓﺎن ﺳﯾد اﻟﺑوت ﯾﻣﻛن ﺑﺑﺳﺎطﺔ إﻋﺎدة ﺗﻛوﯾن اﻟﺑوﺗﺎت ﻻﺳﺗﺧدام ﻣورد ﺷﺑﻛﺔ ﻣﺧﺗﻠﻔﺔ .ھذا ﻣﻣﻛن ﻷن ﺳﯾد اﻟﺑوت ﻻ ﯾزال ﯾﺗواﺻل ﻣﻊ اﻟﺑوت ﻣن ﺧﻼل ،C&Cوﻟﻛن إذا ﻓﻘد C&Cﻓﻠﯾس ھﻧﺎك طرﯾﻘﺔ ﻟﻠﻣﮭﺎﺟﻣﯾن ﻟﻠﺗواﺻل ﻣﻊ اﻟﺑوت ﺑﻌد اﻵن. Bulletproof Hosting Bulletproof hostingھﻲ اﻟﺧدﻣﺔ اﻟﺗﻲ ﺗﻘدﻣﮭﺎ ﺷرﻛﺎت اﻻﺳﺗﺿﺎﻓﺔ ﻋدﯾﻣﻲ اﻟﺿﻣﯾر .ﻋﺎدة ،ﺗﺧﺿﻊ ﺷرﻛﺎت اﻻﺳﺗﺿﺎﻓﺔ ﻣﻊ وﻟﮭﺎ ﺷروط اﻟﺧدﻣﺔ اﻟﺗﻲ ﺗﺣظر ﺣﺳﺎب اﻟﻣﺳﺗﺧدم ﻣن ﺗﺣﻣﯾل ﺑﻌض اﻟﻣواد ،ﻣﺛل اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ واﻟﻣﺣﺗوى ذات ﺣﻘوق اﻟطﺑﻊ واﻟﻧﺷر ،واﺳﺗﺧدام اﻟﺧدﻣﺔ ﻷﻏراض ﺧﺑﯾﺛﺔ أو إﺟراﻣﯾﺔ .إذا ﺗم اﻟﻌﺛور ﻋﻠﻰ ﺣﺳﺎب اﻟﻣﺳﺗﺧدم ﻗﺎم ﺑﺎﻧﺗﮭﺎك ﻟﮭذه اﻟﺷروط ،ﯾﺗم ﺗﻌﻠﯾﻖ اﻟﺣﺳﺎب وﯾﺗم ﺗوﺟﯾﮫ اﻟﻣﺳﺋوﻟﯾﺔ اﻟﺟﻧﺎﺋﯾﺔ ﻟﻠﻣﺳﺗﺧدم Bulletproof hosting .ھﻲ اﻟﻌﻛس .ﻋﻠﻰ اﻟرﻏم ﻣن أﻧﮫ ﻟدﯾﮫ ﺷروط اﻟﺧدﻣﺔ ،ﻓﺈن اﻷﻣر ﻓﻘط ﻛوﺟﮭﮫ وﺻﺎﺣب اﻟﺣﺳﺎب ﯾﻣﻛﻧﮫ اﻟﻘﯾﺎم ﺑﺄي ﺷﻲء ﺗﻘرﯾﺑﺎ ﯾرﯾده طﺎﻟﻣﺎ ﯾﻘوم ﺑدﻓﻊ ﺛﻣن اﻻﺳﺗﺿﺎﻓﺔ .Bulletproof hostingﺑﺎﻹﺿﺎﻓﺔ اﻟﻰ ذﻟك ،ﻣﻘدﻣﻲ Bulletproof hosting ھم أﻗل ﻋرﺿﺔ ﻟﻠﺗﻌﺎون ﻣﻊ أو ﺣﺗﻰ اﻟرد ﻋﻠﻰ ﻣﻧﻔذي اﻟﻘﺎﻧون .وھذا ﯾﺟﻌل ﻣن اﺳﺗﺿﺎﻓﺔ Bulletproof hostingﺟذاﺑﺔ ﺟدا ﻟﻠﻣﺟرﻣﯾن.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1076 واﺣدا ﻣن أﺷﮭر وأﻋﺗﻰ ﻣﻘدﻣﻲ اﺳﺗﺿﺎﻓﺔ Bulletproof hostingھم ) the Russian Business Network (RBNوﻣﻘرھﺎ ﻓﻲ ﺳﺎن ﺑطرﺳﺑرج ،روﺳﯾﺎ RBN .ﻣﻌروﻓﺎ ﺑﺎﺳﺗﺿﺎﻓﺔ ﻣواﻗﻊ اﻟﺧﺎدم اﻟﺧﺑﯾﺛﺔ ،واﻟﻣواﻗﻊ اﻻﺻطﯾﺎد " ،"Phishing siteوﻣواﻗﻊ اﻟﺑرﯾد اﻟﻣزﻋﺞ " ،"spam hostsواﻟﻣواﻗﻊ اﻹﺑﺎﺣﯾﺔ .وﺳرﻋﺎن ﻣﺎ أﺻﺑﺣت ﻣﻼذا ﻟﻣﺟرﻣﻲ اﻹﻧﺗرﻧت ،وأﺻﺑﺢ ﻣﻧطﻠﻘﺎ ﻟﺷن ھﺟﻣﺎت. وﯾﺳﺗﻧد ﻣﻌظم ﻣﺳﺗﺿﯾﻔﻲ Bulletproof hostingﻓﻲ اﻟﺧﺎرج ﺣﯾث ﻻ ﺗطﺑﻖ ﻗواﻧﯾﻧﻧﺎ .ﺣﺗﻰ ﻟو ﻛﺎﻧت ھﻧﺎك ﻗواﻧﯾن ﻣﺣﻠﯾﺔ ﻓﻲ ﺗﻠك اﻟﺑﻠدان اﻟﺗﻲ ﺗﺣﻛم اﻻﺳﺗﺧداﻣﺎت اﻟﺳﯾﺋﺔ ﻟﻼﺳﺗﺿﺎﻓﺔ واﺳﺗﺧدام اﻻﻧﺗرﻧت اﻟﻌﺎدﻟﺔ ،ﻣﺎ زال اﻟﻣﺳﺗﺧدﻣﯾن ﻣﺳﻣوح ﻟﮭم أو إﻋطﺎء اﻟﻛﺛﯾر ﻣن اﻟﻔﺳﺣﺔ ﻟﮭم ﻟﻔﻌل ﻣﺎ ﯾﺷﺎؤون .ﻟذﻟك ﻗد ﯾﻛون ﻣن اﻟﺻﻌب أن ﻧﺻدق أن ھﻧﺎك ﻣزود اﺳﺗﺿﺎﻓﺔ Bulletproof hostingأﺧرى ﺳﯾﺊ اﻟﺳﻣﻌﺔ ،وﻛذﻟك ﻣﻧﺣل وﻣﻘرھﺎ ﻓﻲ اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة. ﻛﺎن McColoﻣزود اﺳﺗﺿﺎﻓﺔ Bulletproof hostingﻣن ﺳﺎن ﺧوﺳﯾﮫ ،ﻛﺎﻟﯾﻔورﻧﯾﺎ ،اﻟﺗﻲ ﺗﺄﺳﺳت ﻣن ﻗﺑل اﻟﻘراﺻﻧﺔ اﻟروﺳﻲ ﻓﻲ ﺳن اﻟﻣراھﻘﺔ وطﺎﻟب ﻣﻌروف ﺑﺎﺳم .Kolya McColoوﺑﺻرف اﻟﻧظر ﻋن اﺳﺗﺿﺎﻓﺔ ﻣوارد ﺷﺑﻛﺔ اﻟروﺑوﺗﺎت ،ﻛﺎن ﯾﻌﺗﻘد أن اﻟﺷرﻛﺔ ﻣﺳؤوﻟﺔ ﻋن ﺣواﻟﻲ 70ﻓﻲ اﻟﻣﺋﺔ ﻣن اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﻣزﻋﺞ ﻓﻲ اﻟﻌﺎﻟم. Dynamic DNS ) Dynamic domain name service (DDNSھﻲ ﺧدﻣﺔ ﺗرﺑط ﺑﯾن اﺳم ﻧطﺎق " "domain nameإﻟﻰ ﻋﻧوان IPﻣﺗﻐﯾر ﺑﺷﻛل ﺣﯾوي .ھذا ﯾﻌﻧﻲ أن اﺳم اﻟﻧطﺎق ﺳوف ﯾﺑﻘﻲ ﻓﻲ اﻹﺷﺎرة إﻟﻰ ﻧﻔس اﻟﻣﺿﯾف ،ﺑﻐض اﻟﻧظر ﻋن اﻟﺗﻐﯾر ﺑﺎﺳﺗﻣرار ﻟﻌﻧوان IPاﻟﺧﺎص ﺑﮫ .ھذا ﻣﺎ ﯾﺟﻌل ھذا اﻟﺣل اﻟﻣﺛﺎﻟﻲ ﻟﻸﺷﺧﺎص اﻟﺗﻲ ﺗﻌﻣل ﻓﻲ اﻷﻧظﻣﺔ أو اﻟﺧوادم ﻓﻲ اﻟﻣﻧزل ،ﻣﺛل ﺗﻠك اﻟﺗﻲ ﺗم ﺗﻛوﯾﻧﮭﺎ ﻛﺧﺎدم اﻟوﯾب ،وﺧﺎدم اﻟﻌﺎب ،ﻣﻠﻘم ﺑروﺗوﻛول ﻧﻘل اﻟﻣﻠﻔﺎت ) ،(FTPأو ﻣﻠﻘم اﻟﺑرﯾد ﻣﻊ ﻋﻧوان IPﺣﯾوي ﻣﻌﯾن ﻣن ﻗﺑل ﻣوﻓر ﺧدﻣﺔ إﻧﺗرﻧت ) .(ISPاﻟﺣل ﻣﻔﯾد أﯾﺿﺎ ﻟﻠﻣﺳﺗﺧدﻣﯾن اﻟﺷرﻛﺎت اﻟذﯾن ﯾﺣﺗﺎﺟون إﻟﻰ اﻻﺗﺻﺎل ﻋن ﺑﻌد إﻟﻰ ﻧظﺎم داﺧل اﻟﻣﻧظﻣﺔ ﻣﻊ ﺑروﺗوﻛول Dynamic Host Configuration Protocol (DHCP)-assigned IP address. إﻋﺪاد DDNS ﻟﻼﺳﺗﻔﺎدة ﻣن ﺧدﻣﺔ DDNSﻧﺗﺑﻊ اﺛﻧﯾن ﻓﻘط ﻣن اﻟﺧطوات اﻟﺗﺎﻟﯾﺔ: اﻟﺗﺳﺟﯾل ﻣﻊ ﻣزود .DDNS ﺗﺛﺑﯾت ﺑرﻧﺎﻣﺞ DDNSﻓﻲ اﻟﻣﺿﯾف.وﻟﻛن ﻛﻣﺎ ھو اﻟﺣﺎل ﻣﻊ ﻏﯾرھﺎ ﻣن اﻟﺗﻛﻧوﻟوﺟﯾﺎت ،ﻣﺟرﻣو اﻹﻧﺗرﻧت داﺋﻣﺎ ﯾﺟدون اﻟوﺳﯾﻠﺔ ﻟﻼﺳﺗﻔﺎدة ﻣن DDNSواﻻﻋﺗداء ﻋﻠﯾﮭﺎ ﻷﻏراض ﺧﺑﯾﺛﺔ ﺧﺎﺻﺔ ﺑﮭم .ﻣﻌظم ﻣﻘدﻣﻲ DDNSﺗﻘدم ﺧدﻣﺔ ﻣﺟﺎﻧﯾﺔ دون اﻟﺣﺎﺟﺔ ﻟﻠﺗﺳﺟﯾل ﻟﻠﻛﺷف ﻋن اﻟﻛﺛﯾر ﻣن اﻟﻣﻌﻠوﻣﺎت .ﻋﻧوان اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ وھوﯾﺔ ﻣزورة ﯾﻛﻔﻲ ﻟﻠﺣﺻول ﻋﻠﻰ ﺧدﻣﺔ DDNSاﻟﺣرة .وھذا ﯾﺟﻌل اﻟﺧدﻣﺔ ﺟﺎذﺑﯾﺔ ﻟﻠﻣﺟرﻣو اﻹﻧﺗرﻧت. ﻋﯿﻮب DDNS ﻋﻠﻰ اﻟرﻏم ﻣن أن DDNSﯾﻌطﻲ اﻟﻣﮭﺎﺟم ﻣﯾزة اﺳﺗﺧدام ﺑروﺗوﻛول ﻋﻧﺎوﯾن اﻹﻧﺗرﻧت ) (IPاﻟﻣﺧﺗﻠﻔﺔ ﻟﯾﺗم ﺗرﺟﻣﺗﮭﺎ اﻟﻰ اﻟدوﻣﯾﻧﺎت اﻟﺧﺑﯾﺛﺔ، وﺑﺎﻟﺗﺎﻟﻲ إﻋطﺎﺋﮫ اﻟﻣروﻧﺔ ﻓﻲ اﺳﺗﺧدام أي ﻣﺿﯾف ﻛﻣورد ﻟﻠﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ،وھذه اﻟﺧدﻣﺔ ھﻲ أﺑﻌد ﻣﺎ ﺗﻛون ﻋن اﻟﻛﻣﺎل ﻋﻧدﻣﺎ ﯾﺗﻌﻠﻖ اﻷﻣر ﺑﺳﺑب ﺟراﺋم اﻹﻧﺗرﻧت أﻧﮫ ﯾﺣﺗوي ﻋﻠﻰ اﻟﻌﯾوب اﻟﺗﺎﻟﯾﺔ: ﯾﻘدم ﺧدﻣﺔ ﻣﺟﺎﻧﯾﺔ ﻓﻘط )ﻟﻧطﺎﻗﺎت اﻟﻣﺳﺗوى اﻟﺛﺎﻧﻲ( اﻟﺛﺎﺑﺗﺔ " "2LD domainsﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎلNo-IP’s zapto.org ،و ،hopto.orgﻣﻣﺎ ﯾؤدي إﻟﻰ ﺳﮭوﻟﺔ اﻛﺗﺷﺎﻓﮭﺎ. ﻣﻘدﻣﻲ DDNSﯾﺳﺗﺟﯾﺑون ﻟﻠﺗﻘﺎرﯾر اﻟﻣﺳﯾﺋﺔ. ﯾﺗطﻠب DDNSﺑرﻧﺎﻣﺞ ﻟﯾﺗم ﺗﺛﺑﯾﺗﮫ ﻓﻲ اﻟﻣﺿﯾف ،وھو ﻧﻘطﺔ أﺧرى ﻣن اﻟﻔﺷل .إذا ﻓﺷل ھذا اﻟﺑرﻧﺎﻣﺞ ،ﻓﺈن اﻟﺑوت ﻟن ﺗﻛون ﻗﺎدرهﻋﻠﻰ اﻟﺗواﺻل ﻣﻊ .C&C Fast Fluxing ،Fluxﻛﻣﺎ ﺗم ﺗﻌرﯾﻔﮫ ﻣن ﻗﺑل ﻣﯾرﯾﺎم وﺑﺳﺗر ،ھو اﻟﺗﺣرك اﻟﻣﺳﺗﻣر ﻓﻲ أو اﻟﻣرور ﺒ ،Fast Fluxing .ھﻧﺎ ﺗﻌﻧﻰ اﻟﺳرﯾﻊ ،أي ﺳرﯾﻊ ﻓﻲ اﻟﺣرﻛﺔ اﻟﻣﺳﺗﻣرة أو اﻟﻣرور ﺑﻛﺎﺋن .ﻓﻲ ھذه اﻟﺣﺎﻟﺔ ،اﻟﻛﺎﺋن ھو ﻋﻧوان .IPﯾﺷﯾر Fast Fluxingإﻟﻰ ﺗرﺟﻣﺔ اﺳم اﻟﻧطﺎق "اﻟدوﻣﯾن" اﻟواﺣد إﻟﻰ ﻋﻧﺎوﯾن IPﻣﺗﻐﯾرة ﻓﻲ ﻛﺛﯾر ﻣن .واﻟﻧﺗﯾﺟﺔ ھﻲ ﻋﻧﺎوﯾن IPﻣﺗﻌددة اﻟﻣﺧﺻﺻﺔ ﻻﺳم ﻧطﺎق واﺣد. ﻣﻠﺣوظﮫ Fast Fluxing :ﻣﻌروﻓﮫ أﯾﺿﺎ ﺑﺎﺳم .IP flux طرﯾﻘﺔ واﺣدة ﻟﺗﺣﻘﯾﻖ Fast Fluxingھو ﻣن ﺧﻼل round-robin DNSﻣﻊ ﻛل ﺳﺟل ﻣن ﻣورد (RR) DNSﯾﻣﻠك ﻗﯾﻣﺔ اﻟوﻗت ) time-to-live (TTLﻗﺻﯾرة .وذﻟك ﺑدﻻ ﻣن اﻻﺳﺗﺟﺎﺑﺔ ﻟطﻠﺑﺎت DNSﻣﻊ ﻋﻧوان IPواﺣد ﻓﻘط ،ﯾﺗم إرﺟﺎع ﻗﺎﺋﻣﺔ ﻣن ﻋﻧﺎوﯾن .IP ﻣﻠﺣوظﮫ round-robin DNS :ﯾﺳﺗﺧدم ﻓﻲ اﻟﻣﻘﺎم اﻷول ﻟﻠﻣوازﻧﺔ " "load balancingواﻟﺗﺳﺎﻣﺢ ﻣﻊ اﻟﺧطﺄ "."fault tolerance د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1077 ھﻧﺎك ﻧوﻋﺎن ﻣن ﺷﺑﻛﺎت .Fast Fluxing Single flux Double fluxSingle flux ﺷﺑﻛﺔ single fluxﺗﺳﺗﺧدم آﻻت اﻟﻣﺧﺗرﻗﺔ ﻓﻲ إﻋﺎدة اﻟﺗوﺟﯾﮫ .ﻋﻧﺎوﯾن IPاﻟﻣﺧﺗﻠﻔﺔ ﻓﻲ ﺷﺑﻛﺔ fluxھﻲ ﻋﻧﺎوﯾن IPﻟﻸﺟﮭزة اﻟﻣﺧﺗرﻗﺔ .أﻧﮭﺎ ﺗﺄﺧذ دورا ﻓﻲ إﻋﺎدة اﻟﺗوﺟﯾﮫ ،وﯾﻌرف أﯾﺿﺎ ﺑﺎﺳم .flux-agentsھذه flux-agentsﺗﻘوم ﺑﺈﻋﺎدة ﺗوﺟﯾﮫ اﻟطﻠﺑﺎت واﻟﺑﯾﺎﻧﺎت إﻟﻰ ﻣﻠﻘم واﺟﮭﺔ آﺧر ﯾﻌرف ﺑﺎﺳم Fast-flux mothership .fast-flux mothershipھﻲ اﻟﻌﻣود اﻟﻔﻘري ﻟﺷﺑﻛﺎت ﺧدﻣﺔ .fast-fluxأﻧﮭﺎ ﺗوﻓر ﻛل ﻣن ﺧدﻣﺎت DNSو .HTTPوﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺈن mothershipsﺗﺳﺗﺿﯾف اﻟﺑﯾﺎﻧﺎت وﺗﺧدم اﻟﻣﺣﺗوى .ﻓﻲ ﺷﺑﻛﺔ motherships ،Single fluxﻻ ﺗﻘدم ﺧدﻣﺔ .DNS ﺗم ﺗﺻﻣﯾم Flux-agentsﻟﺣﻣﺎﯾﺔ mothershipﻣن اﻻﻛﺗﺷﺎف .ﻓﻲ اﻟواﻗﻊ ،اﻟدوﻣﯾن اﻟذي ﯾﺗم ﻧﺷره ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن ﻻ ﯾﺗم ﺗرﺟﻣﺗﮫ اﻟﻰ ﻋﻧوان IPﻠﻠ mothershipأو اﻟﺧﺎدم اﻟﻔﻌﻠﻲ اﻟﻣﺳﺗﺿﯾف ﻟﻠﻣﺣﺗوي اﻟﺿﺎرة ،وﻟﻛن ﺑدﻻ ﻣن ذﻟك ﯾﺗم ﺗرﺟﻣﺗﮫ اﻟﻰ ﻋﻧوان IPﻠﻠ ،flux-agents واﻟذي ﯾﻘوم ﺑﺗوﺟﯾﮫ ﺟﻣﯾﻊ اﻟطﻠﺑﺎت إﻟﻰ mothershipوﯾﺧدم أﯾﺎ ﻛﺎن اﻟﻣﺿﻣون اﻟذي ﺳوف ﯾرﺳﻠﮫ mothershipإﻟﻰ flux-agentsوﻣن ﺛم اﻟﻰ اﻟﮭدف. ﻣﻠﺣوظﮫ Flux-agents :ﯾﺳﻣﻰ أﯾﺿﺎ .flux-bots ﺑﺻرف اﻟﻧظر ﻋن ﺣﺟب mothershipﻣن أن ﯾﺗم اﻛﺗﺷﺎﻓﮭﺎ ﻣن ﻗﺑل اﻟﺑﺎﺣﺛﯾن ،ﻓﺎن اﺳﺗﺧدام flux-agentsﯾوﻓر اﻟﻣروﻧﺔ .ﻣﻧذ ﻗﯾﺎم ﺷﺑﻛﺎت single fluxﺑﺗﻐﯾﯾر ﺳﺟﻼت DNSﺑﺎﺳﺗﻣرار ﻓﻲ ﻓﺗرات ﻗﺻﯾرة ﻣن اﻟوﻗت ،ﻓﺄﻧﮭﺎ ﺳوف ﯾﺗم ﺣل واﺣد ﺟدﯾد ﺑﺳرﻋﮫ ﻣﺣل flux-agentاﻟذي ﺗم إﺳﻘﺎطﮫ أو ﻏﯾر ﻣﺗوﻓر. ﯾﺑﯾن اﻟﺷﻛل اﻟﺗﺎﻟﻰ ﻛﯾﻔﯾﺔ ﻋﻣل ﺑﺣث .single flux lookupﻓﻲ ھذا اﻟﻣﺛﺎل ،اﻟﻌﻣﯾل ﯾرﯾد ﺗرﺟﻣﺔ اﺳم اﻟدوﻣﯾن .flux.example.com دﻋوﻧﺎ ﻧﻔﺗرض ﻓﻲ ھذا اﻟﻣﺛﺎل أن ﺧﺎدم/ﻣﻠﻘم DNSاﻟﻣﻔﺿل ﻟﯾس ﻟدﯾﮫ إﺟﺎﺑﺔ ﻣﻘﺎﺑﻠﮫ ﺳواء إﻣﺎ ﻓﻲ ذاﻛرة اﻟﺗﺧزﯾن اﻟﻣؤﻗت " "cacheأو ﻣﻧطﻘﺔ اﻟﻣﻌﻠوﻣﺎت " ."zone informationﻟذﻟك ،ﻓﺈن اﻟﻌﻣﯾل ﯾﺛﯾر ﺧﺎدم DNSاﻟﻣﻔﺿل ﻻﺳﺗﺧدام اﻻﺳﺗدﻋﺎء اﻟذاﺗﻲ ﻟﺗرﺟﻣﺔ اﺳم اﻟدوﻣﯾن .وھذا ﺳوف ﯾﺳﺗﻣر ﺣﺗﻰ ﯾﻘوم example.comﺑﺈرﺟﺎع ﻋﻧﺎوﯾن IPﻣن .flux.address.comﻧﺄﺧذ ﻋﻠﻣﺎ ھﻧﺎ أن example.comھو ﺗﺣت ﺳﯾطرة اﻟﻣﺟرﻣﯾن اﻹﻟﻛﺗروﻧﯾﯾن وﻣﺣﻣﻲ ﻣن ﺧﻼل .bulletproof hostingاﻟﻌﻣﯾل ﯾﺑدأ اﺗﺻﺎل flux.example.comﺑﺎﺳﺗﺧدام أﺣد ﻋﻧﺎوﯾن IPاﻟﺗﻲ ﺗم إرﺟﺎﻋﮭﺎ ﻓﻲ اﻟﺧطوة .9ﻻﺣظ أن flux.example.comﯾﺗم ﺗﻣرﯾره ﺑﺳرﻋﮫ ﻣﻊ ﻋﻧﺎوﯾن IPﻣﺗﻐﯾرة ﺑﺎﺳﺗﻣرار .ﻓﻲ اﻟﺧطوات 10و flux-agent ،11ﯾﻌﯾد ﺗوﺟﯾﮫ اﻻﺳﺗﻌﻼم إﻟﻰ mothershipو mothershipﺗﻘوم ﺑﺎﻟرد ﻣﻊ اﻟﻣﺣﺗوى اﻟﻣﻧﺎﺳب .ﯾﻣﻛن أن ﯾﻛون اﻟﻣﺣﺗوى ﻋﺑﺎره ﻋن ﻣوﻗﻊ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ،وﺧﺎﺻﺔ إذا ﻛﺎن ﯾﺳﺗﺿﯾف ﻣواﻗﻊ ﻟﻠﺗﺻﯾد " "phishing siteأو اﻟدﻓﻊ ﻋن طرﯾﻖ ﻣواﻗﻊ اﻟﺗﺣﻣﯾل .ﺛم ﯾﺗم ﺗﻘدﯾم اﻟﻣﺣﺗوى إﻟﻰ اﻟﻌﻣﯾل.
Double Flux ﻓﻲ ﺷﺑﻛﺔ اﻟﺗﻣوﯾﮫ اﻟﻣزدوﺟﺔ " ،"double fluxﻟﯾس ﻓﻘط ﺳﺟل DNSاﻟذي ﯾﺗم ﺗﻐﯾﯾره ﺑﺎﺳﺗﻣرار ،وﻟﻛن أﯾﺿﺎ ﺳﺟﻼت اﻟﺟﻠو ""glue records ﻟﻠدوﻣﯾن اﻟﺧﺑﯾث .ﺳﺟﻼت اﻟﺟﻠو " "glue recordsھو ﻋﻧوان IPﻟﻣﻠﻘم اﻻﺳﻣﺎء ﻓﻲ دوﻣﯾن ﺗﺳﺟﯾل اﻻﺳﻣﺎء .آﻻت اﻟﻣﺧﺗرﻗﺔ ﺗﻠﻌب دور ،authoritative DNSوﻋﻧوان IPاﻟﺧﺎﺻﺔ ﺑﮭم ﯾﺗﻐﯾر ﻛﺛﯾرا ،ﻛﻣﺎ ﯾﺗم أﯾﺿﺎ ﺗﻣرﯾره .ﻓﻲ ھذا اﻟﺳﯾﻧﺎرﯾو ،ﻓﺈن mothershipﻻ ﯾﻘدم ﺧدﻣﺔ د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1078 ﻓﻘط HTTPوﻟﻛن DNSأﯾﺿﺎ .ﯾﺑﯾن اﻟﺷﻛل اﻟﺗﺎﻟﻰ ﻛﯾﻔﯾﺔ ﻋﻣل ﺑﺣث .double flux lookupﻓﻲ ھذا اﻟﻣﺛﺎل ،اﻟﻌﻣﯾل ﯾرﯾد ﺗرﺟﻣﺔ اﺳم اﻟدوﻣﯾن ،flux.example.comﻋﻠﻰ ﻏرار ﻣﺛﺎل ﺷﺑﻛﺔ ،single fluxوﻟﻛن ھذه اﻟﻣرة ھﻧﺎك ﺗﻣوﯾﮫ إﺿﺎﻓﻲ ﻣﺳﺗﻣر .ﺑدﻻ ﻣن وﺟود دوﻣﯾن اﻷﺳﻣﺎء example.comاﻟﻣﺣﻣﻲ ﺑواﺳطﺔ اﻻﺳﺗﺿﺎﻓﺔ ،bulletproof hostedﻓﺈﻧﮭﺎ ﺗﻣﻠك ﻓﻘط flux-agentsاﻟﺗﻲ ﺗﻘوم ﺑﺈﻋﺎدة ﺗوﺟﯾﮫ طﻠﺑﺎت ) DNSاﻟﺧطوة (7إﻟﻰ mothershipﺛم mothershipﺗرد )اﻟﺧطوة (8ﻣﻊ ﻋﻧﺎوﯾن IPﻣن .flux.example.comﺛم ﯾﺗم ﺗرﺣﯾل ھذه اﻟﻣﻌﻠوﻣﺎت )اﻟﺧطوة (9ﻣن ﻗﺑل flux-agentsإﻟﻰ ﺧﺎدم DNSاﻟﻣﻔﺿل .اﻟﻌﻣﯾل ﯾﺑدأ اﻻﺗﺻﺎل flux.example.comﺑطرﯾﻘﺔ ﻣﻣﺎﺛﻠﺔ ﻛﻣﺎ ھو ﻣوﺿﺢ ﻓﻲ ﻣﺛﺎل single fluxﻓﻲ اﻟﻘﺳم اﻟﺳﺎﺑﻖ.
Domain Fluxing ﻛﻣﺎ رأﯾﻧﺎ ﻓﻲ اﻷﺟزاء اﻟﺳﺎﺑﻘﺔ ،ﻓﺎن ﺷﺑﻛﺔ اﻟﺑوﺗﻧت ﺗﻌﺗﻣد ﻋﻠﻰ اﻟدوﻣﯾن اﻟﺗﻲ ﯾﺗم ﺗوزﯾﻌﮭﺎ ﻣﻊ .bot agentھذه اﻟدوﻣﯾن ھﻲ إﻣﺎ ﻣﺷﻔرة وﻣﺿﻣﻧﮫ ﻓﻲ bot agentأو ﺗﺄﺗﻲ ﻓﻲ ﻣﻠﻔﺎت إﻋداد ﯾﺗم ﻧﺷرھﺎ ﻣﻊ ﺣزﻣﺔ اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ .اﻟﻣرة اﻟوﺣﯾدة اﻟﺗﻲ ﯾﺗم ﺗﺣدﯾث ھذه اﻟدوﻣﯾن ھو ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم ﻟدﻓﻊ واﺣدة ﺟدﯾد إﻟﻰ bot agentاو ﻣن ﺧﻼل ﺳﺣب اﻟﻣﻌﻠوﻣﺎت او ﻣﻠﻔﺎت اﻻﻋداد ﺑواﺳطﺔ bot agentﻣن .C&C ﺑﻣﺟرد ﺗﻣﻛﯾن C&Cﺳﯾد اﻟﺑوت ﻟﻠﺗﺣﻛم ﻓﻲ اﻟﺑوت ،ﻓﺎﻧﮫ ﻣﻌظم ﺟﮭوده ﺳوف ﺗﺻﺑﺢ أﻛﺛر ﺗرﻛﯾزا ﻋﻠﻰ ﺣﻣﺎﯾﺔ ،C&Cﻣﻣﺎ ﯾؤدي إﻟﻰ ﻣروﻧﺔ اﻟروﺑوﺗﺎت .وﻟﻛن ﺳرﻋﺎن ﻣﺎ ﯾدرك اﻟﻣﮭﺎﺟﻣﯾن أن ﻣﺟرد ﺣﺟب اﻟدوﻣﯾن C&Cﺳوف ﯾﻣﻧﻊ bot agentﻣن اﻻﺗﺻﺎل ﺒ .C&C ﻻ ﯾﮭم ﻣﺎ ھﻲ اﻟﺗﻘﻧﯾﺎت اﻟﻣﺗطورة اﻟﻣﺳﺗﺧدﻣﺔ ﻹﺧﻔﺎء .C&Cإذا ﻛﺎن bot agentﻻ ﯾﻣﻛﻧﮫ ﺗﻛوﯾن أي وﺳﯾﻠﺔ ﻟﻼﺗﺻﺎل ﺒ ،C&Cﻓﺎﻧﮫ ﺳوف ﯾﺻﺑﺢ ﻋدﯾم اﻟﻔﺎﺋدة وﺧﺎﻟﻲ ﻣن ﺳﯾطرة ﺳﯾد اﻟﺑوت. ﻣﻠﺣوظﮫ :ﺑﻌض bot agentﺗﺳﺗﺧدم ﻋﻧﺎوﯾن IPﺛﺎﺑﺗﮫ ﻟﻼﺗﺻﺎل ﻣﺑﺎﺷرة إﻟﻰ .C&Cﻓﮭﯾﺎ ﺳﮭﻠﺔ ﺟدا ﻓﻲ ﻛﺷﻔﮭﺎ وﻣﻧﻌﮭﺎ. ﺑﻣﺟرد ﻗطﻊ اﻻﺗﺻﺎﻻت إﻟﻰ C&Cﻓﺎن اﻟﻧﺎﺗﺞ ھو ان bot agentﻟﯾس ﻟدﯾﮭﺎ اﻟﻘدرة ﻋﻠﻰ اﻟﺣﺻول ﻋﻠﻰ ﺗﺣدﯾث ﻟﻸواﻣر ،وﺳوف ﯾﺳﺗﻣرون ﻓﻲ ﻣﺣﺎوﻟﺔ اﻻﺗﺻﺎل ﺒ C&Cﺑﺎﺳﺗﺧدام اﻟدوﻣﯾن أو ﻋﻧﺎوﯾن IPاﻟﺗﻲ ﻋﻔﺎ ﻋﻠﯾﮫ اﻟزﻣن وﻣﻧﻊ ﺑﺎﻟﻔﻌل .وﻣﮭﻣﺎ ﻛﺎن ﺻﻌﺑﺎ ﻓﻲ ﻣﺣﺎوﻟﺔ bot agent ذﻟك ،ﻓﺈﻧﮫ ﻟن ﯾﻛون ﻗﺎدرا ﻋﻠﻰ اﻟﺗواﺻل ﻣﻊ .C&Cﻛﻣﺎ ﯾﺟﻌل ھذا اﻟوﺿﻊ ﺳﯾد اﻟﺑوت ﻋﺎﺟز ﻷﻧﮫ ﻻ ﺗوﺟد طرﯾﻘﺔ ﺑﺎﻟﻧﺳﺑﺔ ﻟﮫ ﻹرﺳﺎل اﻷواﻣر اﻟﻣﺣدﺛﺔ أو اﻟدوﻣﯾن اﻟﺟدﯾد اﻟﻰ .bot agent وﻟﻛن ﻣﺎذا ﻟو أن bot agentﻟدﯾﮫ اﻟﻘدرة ﻋﻠﻰ اﻟﺧروج ﻣﻊ ﻣﺟﻣوﻋﺗﮫ اﻟﺧﺎﺻﺔ ﻣن إﻋداد اﻟدوﻣﯾن دون اﻻﻋﺗﻣﺎد ﻋﻠﻰ ﻣﻠﻔﺎت اﻟﺗﻛوﯾن أو اﻷواﻣر اﻟﻣﺣدﺛﺔ ﻣن ﻗﺑل ﺳﯾد اﻟﺑوت؟ وھذا ﻣن ﺷﺄﻧﮫ ﺗﻣﻛﯾن اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﻟﻠﺑﺣث ﺑﻧﺷﺎط ﻋن C&Cاﻟﺣﯾﺔ ﺑدﻻ ﻣن اﻧﺗظﺎر اﻟﻣﮭﺎﺟم ،واﻟﺗﻲ اﺻﺑﺣت ﻏﯾر ﻣﺟدﯾﺔ ﻋﻠﻰ أي ﺣﺎل ﻧظرا إﻟﻰ أن ﺧطوط اﻻﺗﺻﺎل ﻗد ﺗم ﻣﻧﻌﮭﺎ ﺑﺎﻟﻔﻌل .وﺗﺳﻣﻰ ھذه اﻟﻘدرة ﻋﻠﻰ ﺗوﻟﯾد أﺳﻣﺎء اﻟدوﻣﯾن اﻟﻔرﯾدة ﻣن ﻗﺑل اﻟﺑوت ﻋﻠﻰ ﻓﺗرات زﻣﻧﯾﺔ ﻣﻧﺗظﻣﺔ .domain fluxingاﻟﺷﻲء اﻟذي ﯾﺟﻌل ھذا ﻣﻣﻛﻧﺎ ھو .DGA DGAﻣﺛل اﺛﻧﯾن ﻣن اﻟﻣﺟرﻣﯾن اﻟذي دﻓﻧﺎ اﻟﻣﺟوھرات اﻟﻣﺳروﻗﺔ واﻟﻣﺎل ﻓﻲ ﻣﻛﺎن ﻏﯾر ﻣﻌﻠوم واﺗﻔﻘﺎ ﻋﻠﻰ اﻻﻧﻔﺻﺎل ﺣﺗﻰ ﯾﮭدأ اﻟوﺿﻊ. اﻟﺟﻧﺎﺋﻲ Aواﻟﺟﻧﺎﺋﻲ Bﻗﺎﻣﺎ ﺑﺗﻘﺳﯾم اﻟﺧرﯾطﺔ واﻟﺗﻲ ﻋﻧد ﺗرﻛﯾﺑﮭﺎ ﯾﺗم ﻓﺗﺢ ﻗﻔل اﻟﺻﻧدوق .وﺗﺄﺗﻲ ھذه اﻻﺗﻔﺎﻗﯾﺔ ﻟﻘﯾﺎم اﻟﺟﺎﻧﻲ Bﻟﻼﺗﺻﺎل ﺑﺎﻟﺟﺎﻧﻲ Aﺑﻌد ﺑﺿﻊ ﺳﻧوات ﺑﺎﺳﺗﺧدام ﻗﺎﺋﻣﺔ ﻣن أرﻗﺎم اﻟﮭواﺗف .وﻟﻛن ﻓﻲ ﺣﺎل أن ھذه اﻷرﻗﺎم ﻟم ﺗﻌد ﺗﻌﻣل ،رﺑﻣﺎ ﻷن اﻟﺳﻠطﺎت اﻛﺗﺷﻔت ﻋﻧﮭم ،ﻓﻲ ھذه د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1079 اﻟﺣﺎﻟﺔ ھﻧﺎك ﻋدد ﻣن اﻟﺗﻌﻠﯾﻣﺎت اﻟﺗﻲ ﯾﺟب اﻟﻘﯾﺎم ﺑﮭﺎ ﻣن ﻗﺑل اﻟﺟﺎﻧﻲ Aﻛﻣﺎ ﯾﻠﻲ .ﻣﺣﺎوﻟﺔ اﺳﺗﺧدام رﻣوز ﻣﻧطﻘﺔ ﻣﺧﺗﻠﻔﺔ اﻟﻣﺧﺻﺻﺔ ﻟﻠدوﻟﺔ ﺣﯾث ﺗم دﻓن اﻟﻐﻧﺎﺋم اﻟﻣﺳروﻗﺔ ،واﺳﺗﺧدام اﻷرﻗﺎم ﺑﯾن 800و 900ﻋن اﻷرﻗﺎم اﻟﺛﻼﺛﺔ اﻷوﻟﻰ ﻣن رﻗم اﻟﮭﺎﺗف ،واﺳﺗﺧدام ﻧﻔس اﻷرﻗﺎم اﻷرﺑﻌﺔ اﻷﺧﯾرة اﻟﺗﻲ ﯾﺳﺗﺧدﻣﮭﺎ اﻟﺟﺎﻧﻲ Bداﺋﻣﺎ ﻹﺗﻣﺎم رﻗم اﻟﮭﺎﺗف .وﯾﻛون ﺗﻧﺳﯾﻖ رﻗم اﻟﮭﺎﺗف ﻛﺎﻻﺗﻲ: ][Available Area Codes] – [Number between 800 and 900] – [Constant Last Digits, e.g., 5611 ﻣﻊ ھذه اﻟﺗﻌﻠﯾﻣﺎت ،ﻓﺎن اﻟﺟﺎﻧﻲ Aﺳوف ﯾﺻل اﻟﻰ طرﯾﻘﮫ ﻟﻠﺧروج ﻣﻊ رﻗم ﺟدﯾد ﻟﻠوﺻول اﻟﻰ اﻟﺟﺎﻧﻲ Bﻓﻲ ﺣﺎﻟﺔ أن اﻷرﻗﺎم اﻟﺗﻲ ﻟدﯾﮫ ﻟم ﺗﻌد ﺻﺎﻟﺣﺔ اﻵن .اﻟﺟﻧﺎﺋﻲ Bﯾﻌرف أﯾﺿﺎ ﻣﺎ ھو رﻗﻣﮫ اﻟﺣﺎﻟﻲ اﻟذي ﯾﺣﺗﺎج إﻟﯾﮫ ﻓﻲ ﺣﺎﻟﺔ ﻗطﻊ اﻻﺗﺻﺎل .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،إذا ﺗم دﻓن اﻟﻣﺳروﻗﺎت ﻓﻲ ﺟورﺟﯾﺎ ،ﯾﻣﻛن ﻟﻠﻣﺟرم اﻟﺧروج ﻣﻊ 909ﻣن أرﻗﺎم اﻟﮭﺎﺗف .ھذا ﻧﺎﺗﺞ ﻋن اﻟرﻗم ﺗﺳﻌﮫ واﻟذي ھو رﻣوز اﻟﻣﻧطﻘﺔ اﻟﻣﺧﺻص ﻟﺟورﺟﯾﺎ ﻣﺿروﺑﺎ ﻓﻲ 101اﺣﺗﻣﺎل ﻣﻣﻛن ﻟﻸرﻗﺎم اﻟﺛﻼﺛﺔ اﻷوﻟﻰ وﺗﺿﺎﻋف ﺑﻣﻘدار واﺣد ،ﻓﻲ ﺣﯾن أن آﺧر أرﺑﻌﺔ أرﻗﺎم ﺛﺎﺑﺗﺔ .اﻟﻣﺟرم Aﻗد ﯾطﻠب رﻗم ﻏﯾر ﻣوﺟود أو رﻗم ﺧﺎطﺊ ﺣﺗﻰ ﯾﺻل ﻓﻲ اﻟﻧﮭﺎﯾﺔ اﻟﻰ اﻟﺟﺎﻧﻲ .Bوأﻧﮭﺎ ﺳوف ﯾﺗﻌرف ﻋﻠﻰ ﺑﻌض ﺑﻣﺟرد ﺗﺑﺎدل رﻗم اﻟﻣرور اﻟﺳري اﻟذي ﺗﺣدﺛوا ﻋﻧﮫ ﻣن ﻗﺑل ﻣﻔﺗرق طرق. ﺳﯾد اﻟﺑوت ﯾرﯾد ﻣن bot agentﻓﻌل ﻧﻔس اﻟﺷﻲء اﻟذي ﻗﺎم ﺑﮫ اﻟﺟﺎﻧﻲ .Aﺣﯾث إذا ﻓﺷل اﻻﺗﺻﺎل ﻣﻊ ،C&Cﻓﺄﻧﮫ ﯾﺟب أن ﯾﻛون ﻗﺎدر ﻋﻠﻰ اﻟﺧروج ﻣﻊ أﺳﻣﺎء دوﻣﯾن ﺟدﯾدة ﺑﻧﺎء ﻋﻠﻰ ﺗﻌﻠﯾﻣﺎت ﻣﺣددة وﻣن ﺛم اﺳﺗﺧدام ﺗﻠك اﻟدوﻣﯾن ﻟﻣﺣﺎوﻟﺔ اﻻﺗﺻﺎل ﺒ .C&Cوﺗﻌرف ھذه اﻟﺗﻌﻠﯾﻣﺎت ﺒ .DGA DGAھو ﻛود ﺗم ﺗﺿﻣﯾﻧﮫ ﻓﻲ اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ أو bot agentاﻟﺗﻲ ﯾﺗم ﻧﺷرھﺎ ﻣن ﻗﺑل ﺳﯾد اﻟﺑوت .اﻟﻐرض اﻟرﺋﯾﺳﻲ ﻣن ھذه اﻻﻛواد ھو ﺗوﻟﯾد أﺳﻣﺎء دوﻣﯾن واﻟﺗﻲ ﯾﺳﺗطﯾﻊ bot agentاﺳﺗﺧداﻣﮭﺎ ﻟﻼﺗﺻﺎل ﺒ .C&Cﻋﺎدة DGA ،ﺗﻧﺗﺞ ﻣﺟﻣوﻋﺔ ﻣﺧﺗﻠﻔﺔ ﻣن أﺳﻣﺎء اﻟدوﻣﯾن ﻓﻲ اﻟﯾوم اﻟواﺣد .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل Conficker.A DGA ،و Conficker.B DGAﺗﻧﺗﺞ 250ﻣن اﻟدوﻣﯾن ﯾوﻣﯾﺎ ،ﻓﻲ ﺣﯾن أن Conficker.C DGAﺗﻧﺗﺞ 50,000ﻣن أﺳﻣﺎء اﻟدوﻣﯾن ﯾوﻣﯾﺎ ،وﻟﻛن ﻟﻠﺧروج ﻣن ھذه اﻟﻧطﺎﻗﺎت ،ﻓﺈﻧﮭﺎ ﺗﺳﺗﺧدم ﻓﻘط 500ﻣن ﻗﺑل .Conficker.C ﻣﻠﺣوظﮫ :أﺳﻣﺎء اﻟﻧطﺎﻗﺎت "اﻟدوﻣﯾن" اﻟﺗﻲ ﺗوﻟدھﺎ DGAﻟﯾﺳت ﻋﺷواﺋﯾﺔ ،ﻋﻠﻰ اﻟرﻏم ﻣن أﻧﮭﺎ ﻗد ﺗﺑدو ﻋﻠﻰ ھذا اﻟﻧﺣو .ﺣﯾث اﻧﮭﺎ ﺗﻧﺗﺞ ﻣﺟﻣوﻋﺔ ﻣن اﻟﺗﻌﻠﯾﻣﺎت اﻟﺗﻲ ﺗﺗﺿﻣن ﻋﻣﻠﯾﺎت ﺣﺳﺎﺑﯾﺔ. ﻣﺰاﯾﺎ Domain Fluxing ﺑﺎﺳﺗﺧدام DGAﻓﺎﻧﮫ ﯾﻘدم اﻟﻌدﯾد ﻣن اﻟﻣزاﯾﺎ ،اﻟﺑﻌض ﻣﻧﮭم: ﯾﺗﺣﺎﺷﻰ اﻟﻘﺎﺋﻣﺔ اﻟﺳوداء .ﺟﻣﻊ ﻛﺎﻓﺔ ﻧطﺎﻗﺎت اﻷﺳﻣﺎء " "Domainاﻟﺗﻲ إﻧﺷﺎت وإﺿﺎﻓﺗﮭﺎ إﻟﻰ اﻟﻘﺎﺋﻣﺔ اﻟﺳوداء ﻏﯾر ﻣﺟدﯾﮫ )ﻋﻠﻰ ﺳﺑﯾلاﻟﻣﺛﺎل ،ﻓﺈن اﻟﻣﺗﻐﯾرات اﻟﺛﻼﺛﺔ ﻣن Confickerﺗوﻟد أﻛﺛر ﻣن 18ﻣﻠﯾون ﻣن أﺳﻣﺎء اﻟدوﻣﯾن ﻓﻲ اﻟﺳﻧﺔ(. ﺗﻣﻛن اﻟﻣﮭﺎﺟﻣون ﻣن اﻟﺳﯾطرة ﻋﻠﻰ اﻟروﺑوﺗﺎت ﻣن ﺧﻼل ﺗﺳﺟﯾل اﻟﻧطﺎﻗﺎت اﻟﺗﻲ ﺳوف ﺗﺗوﻟد ﻓﻲ اﻟﻣﺳﺗﻘﺑل وﻣن ﺛم اﻹﺷﺎرة إﻟﻰ C&Cاﻟﺟدﯾد. ﺗوﻟﯾد اﻟدوﻣﯾﻧﺎت ھﻲ ﻣﺳﺗﮭﻠﻛﺔ واﺳﺗﺧداﻣﮭﺎ ﻓﻘط ﻟﻔﺗرة ﻗﺻﯾرة ﻣن اﻟزﻣن؛ وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺈن أﻧظﻣﺔ domain reputation systemsﺗﻛون ﻋدﯾﻣﺔ اﻟﻔﺎﺋدة ﺿدھم. ﻣﺴﺎوئ Domain Fluxing DGAﻟﯾﺳت ﻣﺛﺎﻟﯾﺔ .ﻛﻣﺎ ھو اﻟﺣﺎل ﻣﻊ اﻟﺟﺎﻧﻲ Aواﻟذي ﺷﮭد ﻋدد ﻣن اﻷرﻗﺎم اﻟﻐﯾر ﻣوﺟودة واﻟﺧﺎطﺋﺔ ،و DGAﯾﺧﺿﻊ ﻟﻧﻔس اﻟﻧﺗﺎﺋﺞ، ﺧﺎﺻﺔ إذا ﻛﺎﻧت ﺗﻧﺗﺞ ﻛﻣﯾﺎت ھﺎﺋﻠﺔ ﻣن أﺳﻣﺎء اﻟدوﻣﯾن ﯾوﻣﯾﺎ .ھﻧﺎك DGAﺗوﻟﯾد ﻛﻣﯾﺔ ھﺎﺋﻠﺔ ﻣن ،NXDomainsواﻧﮫ ﻣن اﻟﻣﻣﻛن ،أن ﯾوﻟد أﺳﻣﺎء دوﻣﯾن ﯾﺗم اﺳﺗﺧداﻣﮭﺎ ﻣن ﻗﺑل اﻟﻛﯾﺎﻧﺎت اﻟﻣﺷروﻋﺔ. ﻣﻠﺣوظﮫ NXDOMAIN :ﯾﻌﻧﻲ ﻧطﺎق/دوﻣﯾن ﻏﯾر ﻣوﺟود. أﯾﺿﺎ ،ﻣﻧذ ﺗﺿﻣﯾن DGAﻓﻲ ،Bot Agentاﻟﺗﻘﺎط ﻋﯾﻧﮫ ﯾﻌطﻲ ﺑﺎﺣﺛﯾن AVﻓرﺻﺔ ﻟﻌﻛس ذﻟك وﻓﮭم اﻷﻋﻣﺎل اﻟداﺧﻠﯾﺔ ﻟﻛود .DGAوﻧﺗﯾﺟﺔ ﻟذﻟك ،ﻓﺈن ﺑﺎﺣﺛﯾن AVﺗﻛون ﻗﺎدرة ﻋﻠﻰ اﻟﺗﻧﺑؤ ﺑﺄﺳﻣﺎء اﻟدوﻣﯾن ﻓﻲ ﯾوم ﻣﻌﯾن .وھذا ﯾﻌطﻲ اﻟﺑﺎﺣﺛﯾن ﻓرﺻﺔ ﻟﻠﺳﯾطرة ﻋﻠﻰ اﻟروﺑوﺗﺎت ﻣن ﺧﻼل ﺗﺳﺟﯾل ﺗﻠك اﻟدوﻣﯾن وﺑﻌد ذﻟك ﺗﺟﻌﻠﮫ ﯾﺷﯾر إﻟﻰ اﻟﺧﺎدم اﻟﺧﺎﺻﺔ ﺑﮭم ﻟﻣزﯾد ﻣن اﻟﺗﺣﻠﯾل .وﺗﻌرف ھذه اﻟﻌﻣﻠﯾﺔ ﺑﺎﺳم sinkholingوﺳﯾﺟري ﺑﺣﺛﮫ ﺑﺎﺳﺗﻔﺎﺿﺔ ﻓﻲ اﻟﺟزء اﻷﺧﯾر ﻣن ھذا اﻟﻔﺻل. ﻟدي DGAﻋدة ﻋﯾوب أﯾﺿﺎ: ﻛﻣﯾﺔ NXDomainsاﻟﺗﻲ ﺗﻧﺗﺟﮭﺎ DGAﺗﺳﺑب اﻟﻛﺛﯾر ﻣن اﻟﺿوﺿﺎء ،واﻟﺗﻲ ﯾﻣﻛن اﻻﺳﺗﻌﺎﻧﺔ ﺑﮭﺎ ﻻﻛﺗﺷﺎف وﺟود DGA-capable malware ﻋﻛس malware’s DGA componentﺗﻣﻛن اﻟﺑﺎﺣﺛﯾن ﻣن اﻟﺳﯾطرة ﻋﻠﻰ اﻟروﺑوﺗﺎت ﻣن ﺧﻼل ﺗﺳﺟﯾل اﻟﻧطﺎﻗﺎت اﻟﺗﻲ ﺗﺗوﻟد ﻓﻲ اﻟﻣﺳﺗﻘﺑل وﻣن ﺛم ﺟﻌﻠﮭﺎ ﺗﺷﯾر إﻟﻰ .sinkholing
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1080
Botnet Tutorials ﯾﺳﺗﺧدم اﻟﺑوﺗﻧت ﻟﺗﻘدﯾم ﻛل ﺷﻲء ﻣن اﻟﺑرﯾد اﻟﻣزﻋﺞ وھﺟﻣﺎت اﻟﺗﺻﯾد " ،"Phishing attackوھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ .ﻣﻌظم أدوات اﻟﺑوﺗﻧت ﺗﺑﺎع ﻓﻲ اﻟﺳوق اﻟﺳوداء ﻟﻣﻘدﻣﻲ اﻟﻌطﺎءات ﻻﺳﺗﺧداﻣﮭﺎ ﻓﻲ اﻷﻏراض اﻟﺧﺑﯾﺛﺔ .وﻓﯾﻣﺎ ﯾﻠﻲ ﺳوف أﻗوم ﺑﺷرح ﺑﻌد أﺷﮭر اﻷدوات اﻟﻣوﺟودة ﻋﻠﻰ اﻟﺳﺎﺣﺔ ،وﻟﻛن ﯾﺟب ان ﺗﻼﺣظ ان ھذه اﻷدوات ﻣن اﻟﺻﻌب اﻟﺑﺣث ﻋﻧﮭﺎ وأﯾﺿﺎ ﯾوﺟد اﻟﻛﺛﯾر ﻣن اﻷدوات اﻟﻐﯾر ﻣﻌﻠن ﻋﻧﮭﺎ وھﻲ ﺗﻛون ﻣﺧﺻﺻﮫ ﻓﻘط وﻻ ﺗﻌرض ﻟﻠﻌﺎﻣﺔ .أدوات اﻟﺑوﺗﻧت ﻛﺛﯾره ﻻ ﺗﻌدو ﻻ ﺗﺣﺻﻰ وﻣﻧﮫ اﻟﻣﻌﻠن وﻣﻧﮫ اﻟﻐﯾر ﻣﻌﻠن. دراﺳﺔ ﻋﻣﻠﯾﺔ ﻓﻲ إﻧﺷﺎء ﺷﺑﻛﺔ ﺑوﺗﻧت ﺑﺳﯾطﺔ وﺗﺄﺛﯾرھﺎ ﻓﻲ ھﺟوم اﻟدوس ﻋﻠﻰ ﺧﺎدم اﻟوﯾب ﻓﻲ ھذه اﻟدراﺳﺔ ﺳوف ﯾﺗم ﺗﺛﺑﯾت C&Cﻋﻠﻰ أﺟﮭزة اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺷرﻋﯾﯾن او ﻋﻠﻰ ﻣﺿﯾف ﺧﺎرﺟﻲ .ﻧﺎﻗل اﻟﮭﺟوم اﻟﻧﻣوذﺟﻲ ھﻧﺎ ﯾﺷﻣل اﺳﺗﻐﻼل ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ اﻟﻣﺗﺻﻔﺢ .ﺗﺷﻣل أﻣﺛﻠﺔ اﻟﺑوﺗﻧت TDL Botnet ،Zeus-based Botnetsو .Hamweqﻓﻲ ھذا ﺳوف ﻧدرس ﻋﻣﻠﯾﺔ إﺻﺎﺑﺔ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر وﺧﻠﻖ اﻟﺑوﺗﻧت .ﺛم ﺳﻧﮭﺎﺟم ﺧﺎدم اﻟوﯾب ﻹﺛﺑﺎت ﻓﻌﺎﻟﯾﺔ اﻟروﺑوﺗﺎت ﺣﺗﻰ ﻣﻊ وﺟود ﻛﻣﯾﺔ ﺻﻐﯾرة ﻣن اﻟﺑوت .ﺧﻼل اﻟﻔﻘرات اﻟﺗﺎﻟﯾﺔ ﺳوف ﻧذھب ﻟوﺻف ﺧطوات وإﺟراءات إﻧﺷﺎء اﻟروﺑوﺗﺎت ﻣن أﺟل ﺗﻧﻔﯾذ ھﺟوم اﻟدوس .اﻟﻐرض ﻣن ﺑﻧﺎء ﻣﺛل ھذه اﻟروﺑوﺗﺎت ﻻﺳﺗﺧداﻣﮭﺎ ﻛﻣﻧﺻﺔ ﻻﺧﺗﺑﺎر اﻹﺟﮭﺎد ﻟﻠﺧﺎدم .وﯾﻧﺑﻐﻲ اﻟﺗﺄﻛﯾد ﻋﻠﻰ أن ﺗم ﺗﻧﻔﯾذ ھذا اﻹﺟراء ﻓﻲ ﻣﺧﺗﺑر ﻣﻌزول ﺑﺎﻟﻛﺎﻣل ﻷﻏراض اﻟﺗﻌﻠﯾم .ﻣﮭﺎﺟﻣﺔ اﻟﻧظم ھو ﺟرﯾﻣﺔ ﺟﻧﺎﺋﯾﺔ ﻓﻲ ﻛﺛﯾر ﻣن اﻟﺑﻠدان ،وإذا ﻛﺎن اﻷﻣر ﻛذﻟك ،ﻗد ﺗﺟد ﻧﻔﺳك ﻣطﻠوب اﻟﻘﺑض ﻋﻠﯾﮫ. ﻓﻲ ﺗﺟرﺑﺗﻧﺎ ھﻧﺎ ﺳوف ﻧﺳﺗﺧدم BlackEnergy Botوھو ﺑوﺗﻧت ﻗﺎﺋم ﻋﻠﻰ HTTPﺗﺳﺗﺧدم ﻓﻲ اﻟﻣﻘﺎم اﻷول ﻓﻲ ھﺟﻣﺎت .DDoSﺧﻼﻓﺎ ﻟﻣﻌظم اﻟﺑوﺗﺎت اﻟﻣﺷﺗرﻛﺔ ،ﻻ ﯾﺗﺻل ھذا اﻟﺑوت ﻣﻊ ﺳﯾد اﻟﺑوت ﺑﺎﺳﺗﺧدام IRCوﻟﻛن ﯾﺳﺗﺧدم webﻋﻠﻰ ﻧطﺎق واﺳﻊ .ﻛﻣﺎ أن ﻟدﯾﮭﺎ اﻟﻘدرة ﻋﻠﻰ ﺗﺷﻔﯾر ﺑﯾﺎﻧﺎت اﻻﺗﺻﺎل ﻣﻊ اﻟﺧﺎدم. BlackEnergy Bot BlackEnergyﻛﺎن اﻛﺛر ﺑوت ﻟﮭﺟﻣﺎت اﻟدوس اﻷﻛﺛر ﺷﻌﺑﯾﺔ ﺟدا ﻓﻲ ﺑﺿﻊ ﺳﻧﯾن اﻟﻰ اﻟوراء .وﻛﺎﻧت ھذه ﺑوت ﻗﯾد اﻟﺗطوﯾر وﺗطورت ﻗﻠﯾﻼ ﺟدا ﻋﻠﻰ ﻣدى ﻣﺗزاﯾد ﻋن ﺧﻠﯾﻔﺗﮭﺎ اﻟﺣﺎﻟﯾﺔ .Darkness bot ،وﻗد ﺗطور ھذا اﻟﺑوت ﻣﻊ ﻣﯾزات ﺟدﯾدة ﺗﺿﺎف ﺑﺎﺳﺗﻣرار ﻟﺗوﺳﯾﻊ ﻗدراﺗﮭﺎ اﻟﺧﺑﯾﺛﺔ .واﺧذ اﻟﺑﺎﺣﺛون ﯾراﻗﺑوﻧﮫ وﯾﻘوﻣون ﺑﺗﺣﻠﯾل ﺣرﻛﺔ اﻟﻣرور ﻟﺧﺎدم اﻟﻘﯾﺎدة واﻟﺗﺣﻛم ) (C&Cواﻟﺗﻲ ﻛﺷﻔت أن ھذا اﻟﺑوت ﻣﻧﺗﺞ ﻣن اﻟﺳوق اﻟﺳوداء ﻟﺟراﺋم اﻹﻧﺗرﻧت اﻟروﺳﻲ. ھذا اﻟﺑوت ﯾﺄﺗﻲ ﻣﻊ ﻣﺟﻣوﻋﺔ ﻣﺗﻧوﻋﺔ ﻣن ﻗدرات اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ وﻗد ﻟوﺣظ اﻧده اﺳﺗﮭداف اﻟﻣواﻗﻊ اﻟروﺳﯾﺔ .ﻣؤﺧرا ،ﺧﻼل ﺗﺣﻘﯾﻘﻧﺎ ،ﺗﻣﻛﻧﺎ ﻣن اﻟﺣﺻول ﻋﻠﻰ ﻣﺟﻣوﻋﺔ أدوات اﻟﺑﻧﺎء ،BlackEnergyواﻟﺗﻲ ﻋﻠﻰ ﻋﻛس اﻹﺻدارات اﻟﺳﺎﺑﻘﺔ اﻟﻣﺗﺎﺣﺔ ،وﯾﺄﺗﻲ ﻣﻊ ﺧﯾﺎر ﺑﻧﺎء polymorphic binariesﻟﺗﺟﺎوز AVوﯾﺷﻣل أﯾﺿﺎ ﻣﯾزات ﻣﻛﺎﻓﺣﺔ اﻟﺗﺻﺣﯾﺢ " ."anti-debugging featuresﯾﺄﺗﻲ ھذا اﻟ toolkit ﻣﻊ ﻣﺟﻣوﻋﺔ ﻣن اﻟﻣﻠﻔﺎت واﻟﺗﻲ ﺗﺗﺿﻣن PHP scriptsﻟﻠﺳﯾطرة ﻋﻠﻰ اﻟﺑوت وﻏﯾرھﺎ ﻣﺛل ﻣﺧططﺎت ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت .ھذه اﻷداة ظﮭره ﻣﻧﮭﺎ ﻧﺳﺧﺔ أﻛﺛر ﻗوه واﻟﺗﻲ ﺟﻌﻠت ﻟﮭﺎ ﻣﻛﺎﻧﮫ ﻣرة أﺧرى ﻋﻠﻰ اﻟﺳﺎﺣﺔ اﻻن واﻟﺗﻲ ﯾﻣﻛن اﻟﺣﺻول ﻋﻠﯾﮭﺎ ﻣن ﺧﻼل اﻟﺳوق اﻟﺳوداء. ﻣﻘﺎﻟﮫ ﻋن ﻋﻣﻠﯾﺔ اﺧﺗراق ﺗﻣت ﺑواﺳطﺔ BlackEnergy http://threatpost.com/blackenergy-malware-used-in-attacks-against-industrial-control-systems/109067 اﻟﺨﻄﻮة :1إﻋﺪاد ﺧﺎدم "Setting Up the Command and Control Server" C&C ﻓﻲ اﻟﺑداﯾﺔ ﻧﺣن ﺑﺣﺎﺟﺔ إﻟﻰ ﻣﺿﯾف ﻣﻊ PHP ،Apacheو MySQLﺗﻌﻣل ﺑﺎﻟﻔﻌل ﻟﻧﺳﺦ ﻣﻠﻔﺎت PHPﻟﺧﺎدم .C&Cﺛم ﻧﺣن ﺑﺣﺎﺟﺔ ﻹﻧﺷﺎء ﻗﺎﻋدة ﺑﯾﺎﻧﺎت ﻟﻠﺗطﺑﯾﻖ وﺟدول ﻣن ﺷﺄﻧﮫ أن ﯾﺣﻔظ ﺳﺟﻼت اﻟﺑوﺗﺎت ﻟدﯾﻧﺎ ﺑﺎﺳﺗﺧدام .SQLﻛﯾف ﻧﻔﻌل ھذا؟ ھﻧﺎك ﻋدة طرق وھذا ﻣﺎ ﺳوف ﻧﺗﺣدث ﻋﻧﮫ. ﻹﻧﺷﺎء ﻣﺿﯾف ھﻧﺎك طرﯾﻘﺗﯾن إﻣﺎ ان ﻧﻘوم ﺑﺎﻻﺳﺗﻌﺎﻧﺔ ﺑﻣواﻗﻊ اﻹﺿﺎﻓﺔ اﻟﻣﺟﺎﻧﯾﺔ او ﺑﻧﺎء اﻟﻣﺿﯾف ﺑﺎﻟﻛﺎﻣل وﻣن ﺛم اﺳﺗﺧدام ﺧدﻣﺔ DDNSﻛﻣﺎ ﺗﺣدﺛﻧﺎ ﻋﻧﮫ ﺳﺎﺑﻘﺎ. ﻣن ﺧﻼل اﻻﺳﺗﻌﺎﻧﺔ ﺑﻣواﻗﻊ اﻹﺿﺎﻓﺔ اﻟﻣﺟﺎﻧﯾﺔ ﯾوﺟد اﻟﻛﺛﯾر ﻣن ﻣواﻗﻊ اﻹﺿﺎﻓﺔ اﻟﻣﺟﺎﻧﯾﺔ اﻟﻣﺗوﻓرة ﻋﻠﻰ اﻷﻧﺗرﻧت واﻟﺗﻲ ﯾﺗﯾﺢ اﻟﻌدﯾد ﻣن اﻟﻣزاﯾﺎ وﯾﻔﺿل ھذه اﻟطرﯾﻘﺔ ﻋن اﻷﺧر .ﺗذﻛر ﯾﺟب ان ﯾدﻋم اﻟﻣوﻗﻊ اﺳﺗﺧدام PHPوMySQLو .Apacheﻣن اﻣﺛﻠﺔ ﻣواﻗﻊ اﻹﺿﺎﻓﺔ https://www.eb2a.com :او http://www.hostinger.ae ﺑﻌد اﻻﻧﺗﮭﺎء ﻣن ﻋﻣﻠﯾﺔ اﻟﺗﺳﺟﯾل ﺳوف ﯾﻘوم اﻟﻣوﻗﻊ ﺑﺈرﺳﺎل ﺑﯾﺎﻧﺎت اﻟﻣﺿﯾف اﻟﺧﺎص ﺑك .ﻧﻘوم ﺑﺎﻟذھﺎب اﻟﻰ ﺷﺎﺷﺔ اﻟﺗﺣﻛم اﻟﺧﺎص ﺑﻣوﻗﻊ اﻹﺿﺎﻓﺔ واﻟﺗﻲ ﺗﻛون ﻛﺎﻻﺗﻲ:
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1081
أوﻻ ﺳوف ﻧﻘوم ﺑﺈﻧﺷﺎء ﻗﺎﻋدة ﺑﯾﺎﻧﺎت وذﻟك ﻣن ﺧﻼل اﻟﻧﻘر ﻋﻠﻰ ﻗواﻋد ﺑﯾﺎﻧﺎت MySQLواﻟﺗﻲ ﺗﻧﻘﻠﻧﺎ اﻟﻰ اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ.
ﻧدﺧل اﺳم ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت وﻟﯾﻛن botdbﺛم ﻧﻧﻘر ﻓوق .Create Database
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1082 ﻧﻼﺣظ ان ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت ﻗد ﺗم إﻧﺷﺎﺋﮭﺎ .ﻧﺣﺗﺎج اﻻن اﻟﻰ اﻋداد ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ أﻧﺷﺄﻧﮭﺎ ﻟﻛﻲ ﺗﻌﻣل ﻣﻊ اﻟﺗطﺑﯾﻖ وﻟﺗﺳﮭﯾل ذﻟك ﻓﺎﻧﮫ ﯾوﺟد ﻗﺎﻋدة ﺑﯾﺎﻧﺎت ﺟﺎھزة ﺗﺄﺗﻰ ﻣﻊ toolkitوﻟﺗﺿﻣﯾﻧﮭﺎ ﻓﻲ اﻟﻣﺿﯾف ﻧﻘوم ﺑﺎﻟﻧﻘر أوﻻ ﻋﻠﻰ Adminﻛﺎﻻﺗﻲ:
ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق Importﻓﻲ ﻗﺎﺋﻣﺔ اﻷدوات اﻟﻌﻠوﯾﺔ ﻓﺗؤدى اﻟﻰ ظﮭور اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ:
ﻣن ﺧﻼل اﻟﻧﻘر ﻋﻠﻰ Browseوذﻟك ﻟﺗوﺿﯾﺢ ﻣﻛﺎن اﻟﻘﺎﻋدة وھو ﻣﻠف ذات اﻻﺳم db.sqlﺛم ﻧﻘوم ﺑﺎﻟﻧﻘر ﻋﻠﻰ اﻟزر goﻓﻲ أﺳﻔل اﻟﺷﺎﺷﺔ.
ھذا ﯾﻌﻧﻰ اﻧﮫ ﺗم ﺗﺣﻣﯾل ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت ﺑﻧﺟﺎح .ﻧﻧﺗﻘل اﻻن اﻟﻰ اﻟﺧطوة اﻟﺗﺎﻟﯾﺔ وھﻲ ﺗﺣﻣﯾل ﻣﻠﻔﺎت PHPاﻟﻰ اﻟﻣﺿﯾف .ﻧﻘوم ﺑﺎﻟرﺟوع اﻟﻰ ﺷﺎﺷﮫ اﻟﺗﺣﻛم اﻟرﺋﯾﺳﯾﺔ وﻣن ﺛم اﻟﻧﻘر ﻓوق ﻣدﯾر اﻟﻣﻠﻔﺎت. د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1083
ﻧﻘوم اﻻن ﺑﺎﻟدﺧول اﻟﻰ اﻟﻣﺟﻠد htdocsوﺣذف ﺟﻣﻲ اﻟﻣﻠﻔﺎت اﻟﺗﻲ ﺑداﺧﻠﮫ .ﺛم ﺑﻌد ذﻟك ﻧﻘوم ﺑﺿﻐط ﻣﻠﻔﺎت phpاﻟﺗﻲ ﺗﻛون ﻣﻊ toolkit وﯾﻛون اﻟﺿﻐط .zip
ﺛم ﺑﻌد ﻟذﻟك ﻧﻘوم ﺑﺗﺣﻣﯾل اﻟﻣﻠف اﻟﻣﺿﻐوط ذات اﻻﻣﺗداد zipاﻟﻰ اﻟﻣﺿﯾف وذﻟك ﺑﺎﻟﻧﻘر ﻓوق.
واﻟﺗﻲ ﺗؤدى اﻟﻰ ظﮭور اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ.
ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق browseﻟﺗﺣدﯾد ﻣﻛﺎن اﻟﻣﻠف اﻟﻣﺿﻐوط ﺛم ﻧﻘر ﻓوق اﻟﻌﻼﻣﺔ √. د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1084
ﻧﻘوم ﺑﺗﻐﯾر permissionاﻟﺧﺎص ﺑﺎﻟﻣﻠف config.phpوذﻟك ﺑﺎﺧﺗﯾﺎر اﻟﻣﻠف ﺛم اﻟﻧﻘر ﻓوق .Chmod
ﻧﻘوم ﺑﺗﻐﯾر permissionاﻟﻰ .666 اﻻن ﻧﻘوم ﺑﻔﺗﺢ اﻟﻣﻠف config.phpﻣن ﺧﻼل اﺧﺗﯾﺎره ﺛم اﻟﻧﻘر ﻓوق .edit
ﻣن ﺧﻼل اﻟذي ﻗﻣﻧﺎ ﺑﺄﺷﺎﺋﮫ ﺳﺎﺑﻘﺎ ﻧﻘوم ﺑوﺿﻌﮫ ﻓﻲ اﻟﻣﻠف Configواﻟﺗﻲ ﺗﺧﺗﻠف ﻋﻠﻰ ﺣﺳب ﻣوﻗﻊ اﻻﺳﺗﺿﺎﻓﺔ ﺣﯾث ﻓﻲ اﻟﺧﺎﻧﺔ اﻷوﻟﻰ ﻧﺿﻊ ﻋﻧوان اﻟﻣﺿﯾف اﻟذي ﯾﺳﺗﺿﯾف ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت ﺛم اﺳم اﻟﻣﺳﺗﺧدم ﺛم ﻛﻠﻣﺔ اﻟﻣرور ﺛم اﺳم ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت .ﺣﯾث ﺗﻛون ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ﻛﺎﻻﺗﻲ: د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1085
ھور ھﺎﻻن ﻟﻠدﺧول اﻟﻰ C&Cاﻟﺧﺎص ﺑﺎﻟﺑوت ﻧﻘوم ﺑﻛﺗﺎﺑﺔ اﺳم اﻟﻣﺿﯾف ﺛم اﻟﻣﺳﺎر اﻟﻰ اﻟﻣﻠف auth.phpﻓﺗظﮭر اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ .وﻟﯾﻛن ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل http://drmohammedteba.890m.com/www/auth.php
ظﮭور ھذه اﻟﺷﺎﺷﺔ ﺗﻌﻧﻰ ان ﻛل ﺷﻲء ﺳﻠﯾم ﻧدﺧل اﻟرﻗم اﻟﺳري واﺳم اﻟﻣﺳﺗﺧدم ﺛم ﻧﻧﻘر ﻓوق submitﻓﺗظﮭر اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ واﻟﺗﻲ ﻓﯾﮭﺎ ﯾﺗم اﻟﺗﺣﻛم ﻓﻲ اﻟﺑوت ﺳواء ﻣن ارﺳﺎل اﻟﮭﺟﻣﺎت وﻏﯾرھﺎ.
-
اﻟطرﯾﻘﺔ اﻟﺛﺎﻧﯾﺔ ھو ﺑﻧﺎء اﻟﻣﺿﯾف ﺑﺎﻟﻛﺎﻣل ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﺧﺎص ﺑك وﻟذﻟك ﺑﺗﺛﺑﯾت ﻛل ﻣن Apacheو PHPو MySQLاو اﺳﺗﺧداﻣﺎت أﺣد اﻟﺗطﺑﯾﻘﺎت ﻣﺛل XAMPPواﻟﺗﻲ ﯾﺣﺗوي ﻋﻠﻰ ھذه اﻟﺗطﺑﯾﻘﺎت واﻟﺗﻲ ﻣن اﻟﻣﻣﻛن اﯾﺟﺎدھﺎ ﻣن ﺧﻼل اﻟراﺑط اﻟﺗﺎﻟﻲ.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1086 https://bitnami.com وﻧﻔﻌل ﻧﻔس اﻟﺧطوات اﻟﺳﺎﺑﻘﺔ ﺛم ﺑﻌد اﻻﻧﺗﮭﺎء ﻧﻘوم ﺑﺎﻟﺗﺳﺟﯾل ﻓﻲ ﻣوﻗﻊ no-ipﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ﻹﻋداد DDNSوﻣن ﺛم ﺗﺳﺟﯾﻠﮫ ﻓﻲ اﻟراوﺗر اﻟﺧﺎص ﺑك وﻻ ﺗﻧﺳﻰ اﻋداد PORT FORWARDINGواﻟﺗﻲ ﺗﺧﺗﻠف ﻣن ﺟﮭﺎز اﻟراوﺗر ﻷﺧر واﻟﺗﻲ ﯾﻣﻛﻧك اﯾﺟﺎدھﺎ ﻣن ﺧﻼل ﻣﺣرﻛﺎت اﻟﺑﺣث.
ﻓﻲ ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت ﻓﻲ اﻟﺟدول statاﻟﺑوت ﺗﻘوم ﺑﺗﺳﺟﯾل أﻧﻔﺳﮭﺎ ﺑﺎﺳﺗﺧدام طرﯾﻘﺔ POSTﻟﻛود PHPﺑﺎﺳﺗدﻋﺎء اﻟﻣﻠف .stat.phpﻷن ﺣﻘل " "timeھو أن اﻟﺗطﺑﯾﻖ ﻗﺎدرة ﻋﻠﻰ ﺗوﻓﯾر اﻟﺑﯾﺎﻧﺎت اﻹﺣﺻﺎﺋﯾﺔ ﻟﻌدد ﻣﺣدد ﻣن اﻟﺑوت اﻟﻧﺷطﺔ واﻟﻛﻠﯾﺔ )أﻧظر اﻟﺷﻛل اﻟﺗﺎﻟﻲ(. ﺑﻌد إﻧﺷﺎء ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت ،ﻗﻣﻧﺎ ﺑﺗﺣﻣﯾل ﻣﻠﻔﺎت C&C php file اﻟﻰ ﺧﺎدم اﻟوﯾب اﻟذي ﯾﻘوم ﺑﺗﺷﻐﯾل PHPو Apacheوﻣن ﺛم ﻗﻣﻧﺎ ﺑﺗﻌدﯾل اﻟﻣﻠف config.phpﻣﻊ MySQLوأوراق اﻟﺗﻔوﯾض .وﺑﻌد ان أﺻﺑﺢ ﻛل ﺷﻲء ﺗم ﺑﺷﻛل ﺻﺣﯾﺢ ﻓﺳوف ﻧﺣﺻل ﻋﻠﻰ ﺷﺎﺷﺔ ﺗﺳﺟﯾل اﻟدﺧول اﻟﺗﻲ ﺗﺳﺄل ﻋن وﺛﺎﺋﻖ اﻟﺗﻔوﯾض اﻟوارد ﻓﻲ ﻣﻠف .config.phpﺑﻌد ﺗﺳﺟﯾل دﺧول ﻧﺎﺟﺢ ﻓﺎﻧﮫ ﯾﺗم ﺗوﺟﯾﮭﻧﺎ اﻟﻰ ﺷﺎﺷﺔ اﻷﻣر. اﻟﺨﻄﻮة :2إﻋﺪاد ﺑﻮت اﻟﻌﻤﯿﻞ ""Preparing the bot for the Client ﻓﻲ ھذه اﻟﺧطوة ﻧﺣن ﺑﺣﺎﺟﺔ إﻟﻰ ﺗوزﯾﻊ اﻟﻣﻌﻠﻣﺎت اﻟﺻﺣﯾﺣﺔ إﻟﻰ اﻟﺑرﻧﺎﻣﺞ اﻟذي ﺳوف ﯾﻧﺗﺞ اﻟﻣﻠف اﻟﻘﺎﺑل ﻟﻠﺗﺷﻐﯾل ) .bot executableاﻟﺷﻛل اﻟﺗﺎﻟﻲ وھو واﺟﮭﺔ اﻟﺑرﻧﺎﻣﺞ .(BlackEnergy Bot د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1087 اﻟﻘﯾﻣﺔ اﻟرﺋﯾﺳﯾﺔ اﻟﺗﻲ ﯾﺟب ﻋﻠﯾﻧﺎ وﺿﻌﮭﺎ ھﻧﺎ ھو "اﻟﺧﺎدم ."Host/واﻟﺗﻲ وﺿﻌﻧﺎھﺎ ھﻧﺎ ﻣﻊ اﺳم DNSﻟدﯾﻧﺎ ﻟﺧﺎدم .C&Cوﻻ ﺗﻧﺳﻰ ان ﯾﻧﺗﮭﻲ ﺑﺎﻟﻣﺳﺎر stat.phpﻓﻲ ﺣﺎﻟﺗﻧﺎ ھﻧﺎ ﻣﺛﻼ " ."http://drmohammedteba.890m.com/www/stat.phpأﯾﺿﺎ ﻧﻘوم ﺑﺗﺣدﯾد اﻟﺧﺎﻧﺎت اﻻﺧﺗﯾﺎرﯾﺔ اﻟﻣﻘﺎﺑﻠﺔ ﻠ " "Use crypt trafficو " ."Use polymorph exeاﻣﺎ ﺟﻣﯾﻊ اﻟﻘﯾم اﻷﺧرى ﻟﻠﺳﻠوك اﻟﺑوت ﻓﮭﻲ ﻗﺎﺑﻠﺔ ﻟﻠﺗﻐﯾﯾر ﻣن ﻗﺑل ﺧﺎدم .C&Cﯾﻣﻛﻧك ﺗﻌﯾﯾن ﻗﯾم ﻣﻌﯾﻧﺔ ﻟﮭذه اﻟﺻﻔﺎت إذا ﻛﻧت ﺗرﯾد ﻣن اﻟﺑوت أداء ﻣﮭﺎم ﻣﺣددة ﻓﻲ ﺣﺎﻟﺔ ﻓﻘدان اﻻﺗﺻﺎل ﺑﯾن اﻟﺑوت و .C&Cﺑﻌد اﻟﻧﻘر ﻓوق اﻟزر " ،"Buildﯾﺗم إﻧﺗﺎج ﻣﻠف ﺑوت ﻗﺎﺑل ﻟﻠﺗﻧﻔﯾذ وﻧﺣن اﻻن ﻣﺳﺗﻌدون ﻹﺻﺎﺑﺔ اﻟﻣﺿﯾﻔﯾن "اﻟﻣﺳﺗﺿﻌﻔﯾن".
ﺣﺗﻰ اﻻن أﺻﺑﺢ ﻟدﯾﻧﺎ ﻣﻠف bot.exeاﻟﻣﺟﮭز ﻹﺻﺎﺑﺔ اﻷﺟﮭزة ﺣﺗﻰ ﺗﻣﻠك اﻟﺳﯾطرة ﻋﻠﯾﮭم وﺧﺎدم C&Cواﻟذي ﻣن ﺧﻼﻟﮫ ﺳوف ﺗرﺳل اﻷواﻣر اﻟﻰ اﻷﺟﮭزة اﻟﻣﺻﺎﺑﺔ ﺑﺎﻟﺑوت واﻟﻣﺟودة ﺗﺣت ﺳﯾطرة اﻟﺧﺎدم. اﻟﺨﻄﻮة :3زرع اﻟﺒﻮت ﻓﻲ اﻟﻤﻀﯿﻔﯿﻦ اﻟﻀﻌﻔﺎء ""Implanting the bot to vulnerable hosts ھذا اﻟﺟزء ﻣن اﻟﻌﻣﻠﯾﺔ ﯾﺗﺣﻘﻖ ﻣن ﻗﺑل ﻣﺧﺗﻠف ﻧﺎﻗﻼت اﻟﮭﺟوم ،ﻣﺛل :ﻧﺷر اﻟﺑوت ﻣﻊ رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،اﻟﮭﺟوم ﻣﺑﺎﺷرة إﻟﻰ اﻟﻣﺿﯾﻔﯾن اﻟﺿﻌﻔﺎء ﺑﻌد اﺧﺗراﻗﮭم ،ووﺿﻌﮭﺎ ﻓﻲ ﺧوادم اﻟوﯾب وﺗوﺟﯾﮫ ﺻﻔﺣﺎت اﻟوﯾب وﻏﯾرھﺎ .ﺑﻣﺟرد ﺗﺣﻣﯾل اﻟﺑوت ﻋﻠﻰ اﻟﮭدف واﻟﻧﻘر ﻋﻠﯾﮫ ﯾﻛون ھذا اﻟﺑوت ﻗد اﻧﺿم اﻟﻰ ﺷﺑﻛﺔ اﻟﺑوﺗﻧت اﻟﺧﺎﺻﺔ ﺑك. اﻟﺨﻄﻮة :4ﺗﻨﻔﯿﺬ اﻟﮭﺠﻮم وذﻟك ﻣن ﺧﻼل ﺷﺎﺷﺔ اﻟﺗﺣﻛم اﻟﺧﺎﺻﺔ ﺑﺎﻟﺑوﺗﻧت ﺣﯾث ﻧﺟد ﻓﻲ ﻧﮭﺎﯾﺔ اﻟﺷﺎﺷﺔ اﻟﺳطر commandواﻟﺗﻲ ﻧﻘوم ﺑﺈدﺧﺎل اﻻواﻣر ﻣن ﺧﻼﻟﮭﺎ واﻟﺗﻲ ﺳوﻓر ﺗرﺳل اﻟﻰ اﻟﺑوت.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1088 Botnet Commands ﻧﺣن اﻻن ﻧﻣﻠك reverse-engineered CC codeﻓﻲ ﺑوت اﻟﻌﻣﯾل وﻧﺟد أﻧﮫ ﯾﺄﺗﻲ ﻣﻊ ﺛﻼﺛﺔ أﻧواع ﻣن اﻷواﻣر اﻟرﺋﯾﺳﯾﺔ .ﺗم ﺗوﺛﯾﻖ ھذه اﻷواﻣر أﯾﺿﺎ ﻓﻲ اﻟﻣﻠﻔﺎت README.TXTو cmdhelp.htmlاﻟﻣﺻﺎﺣﺑﺔ ﻟﮭذه اﻟﺣزﻣﺔ وھﻲ ﺑﺎﻟﻠﻐﺔ اﻟروﺳﯾﺔ .ﺧﻼل ﺗﺣﻠﯾﻠﻧﺎ وﺟدﻧﺎ أﯾﺿﺎ ان ھﻧﺎك أﻣر 4اﻟﺗﻲ ﻟم ﯾﺗم ﺗوﺛﯾﻘﮭﺎ ﻓﻲ ﻣﻠﻔﺎت اﻟﻣﺳﺎﻋدة .دﻋوﻧﺎ ﻧﻔﮭم ھذه اﻷواﻣر. :Flood اﻻﻣر floodﯾرﺷد ﻋﻣﯾل اﻟﺑوت ﻟﺑدء ﻋدة أﻧواع ﻣﺧﺗﻠﻔﺔ ﻣن ھﺟﻣﺎت اﻟﻔﯾﺿﺎﻧﺎت .اﻟﻣﻌﻠﻣﺎت ﻟﮭذا اﻷﻣر ﻹرﺷﺎد اﻟﺑوت ﻋن ﻧوع ھﺟوم اﻟﻔﯾﺿﺎﻧﺎت ﻛﺎﻻﺗﻲ: -Â Â Â Â Â ICMP -Â Â Â Â Â UDP -Â Â Â Â Â SYN -Â Â Â Â Â HTTP -Â Â Â Â Â Data ﻣﺛﺎل ﻋﻠﻰ ذﻟكflood syn www.abc.com 25 #10# : ﯾﺗم إرﺳﺎل أﻣر اﻟﻔﯾﺿﺎﻧﺎت ﻣﻊ اﻟﻣﻌﻠﻣﺎت ﻣن ﻗﺑل اﻟﺧﺎدم إﻟﻰ اﻟﻌﻣﯾل ﻓﻲ ﻗﺎﻋدة ﺑﯾﺎﻧﺎت اﻟﺑوت ﻋﻠﻰ ﺷﻛل اﻟﻣﺷﻔرة .وﻓﯾﻣﺎ ﯾﻠﻲ ﻣﺛﺎل ﻟﻸﻣر ﻣﺑﯾﻧﺎ ﻛﯾﻔﯾﺔ ﻗﯾﺎم اﻟﺧﺎدم ﺑﺈرﺳﺎل اﻟﺗﻌﻠﯾﻣﺎت ﻟﻌﻣﯾل ﺑوت ﻟﺗﻧﻔﯾذ اﻟﻔﯾﺿﺎﻧﺎت TCP SYNﻋﻠﻰ اﻟﻣﻧﻔذ :80 4500;2000;100;1;0;30;500;500;200;1000;2000#flood syn mail.ru 80 #10#xEN-XPSP1_80D1F15C :Stop اﻻﻣر stopﯾرﺷد bot clientﻟﻠوﻗف اﻟﻣؤﻗت ﻟﻔﯾﺿﺎﻧﺎت دوس. :Die اﻻﻣر dieﯾرﺷد bot clientﻟﺣذف ﻧﻔﺳﮫ ﻣن اﻟﻧظﺎم اﻟﻣﺻﺎب .ﺗﺳﺗدﻋﻲ API ExitProcessﻹﻧﮭﺎء اﻟﻌﻣﻠﯾﺔ ووﻗف ﺟﻣﯾﻊ أﻧﺷطﺔ اﻟدوس. :Open ھذا اﻷﻣر ﻏﯾر ﻣدرج ﻓﻲ اﻟوﺛﺎﺋﻖ .وﯾﺑﯾن ﺗﺣﻠﯾل bot clientأن ھذا اﻷﻣر ﯾﻣﻛن أن ﯾﺳﺗﺧدم ﻟﺗﺣﻣﯾل اﻟﻣﻠﻔﺎت اﻟﻘﺎﺑﻠﺔ ﻟﻠﺗﻧﻔﯾذ اﻷﺧرى أو رﺑﻣﺎ ﻟﺗﺣدﯾث اﻟﺑوت ﻧﻔﺳﮫ. :Wait ھذا اﻷﻣر ﯾرﺷد bot clientﻓﻲ اﻟﺗزام اﻟﺻﻣت دون اﻟﻘﯾﺎم ﺑﺄي ﻧﺷﺎط واﻻﺗﺻﺎل ﺑﺧﺎدم C&Cﻣن أﺟل اﻷواﻣر اﻟﺟدﯾدة ﺑﻌد ﻓﺗرة ﻣﺣددة.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1089 ZeuS Botnet ﺑﯾﻧﻣﺎ ﯾﻌﻣل اﻟﻣﺗﺧﺻﺻﯾن ﻓﻲ ﻣﺟﺎل اﻷﻣن ﺑﺟد ﻟﻣواﻛﺑﺔ اﻹﺻﻼﺣﺎت اﻷﻣﻧﯾﺔ ،وﻟﻛن ﻣﻊ ﺗﻠك اﻟﻧواﯾﺎ اﻟﺧﺑﯾﺛﺔ ﻓﺎﻧﮫ ﻟم ﯾﺳﺗرح ﻋﻠﻰ اﻻﻛﺗﻔﺎء ﺑﮭذا. ﺗﺷﺑﯾﮫ ﻣﻣﺎﺛل ﻟﮭذا اﻟﺣرب اﻟﺑﺎردة ﻓﻲ ﺳﺑﺎق اﻟﺗﺳﻠﯾﺢ .رﺑﻣﺎ ﻛﻧت ﻗد ﻗرأت ﺑﻌض ﻋﻧﺎوﯾن اﻟﺻﺣف ﺣول ﻋدد اﻟﺣﺳﺎﺑﺎت اﻟﻣﺻرﻓﯾﺔ اﻟﺗﻲ ﺗم ﺳرﻗﺗﮭﺎ .ﺣﯾث اﻟﺟﺎﻧﻲ ﻗﺎم ﺑﺎﺳﺗﺧدام أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ورﺑﻣﺎ ﻟم ﺗﻛن أﺳﮭل ﻣﻣﺎ ھو ﻋﻠﯾﮫ اﻵن .ﻋﻠﻰ ﻣدى اﻟﺳﻧوات اﻟﻘﻠﯾﻠﺔ اﻟﻣﺎﺿﯾﺔ ،ﯾﻣﻛن ﻷي ﺷﺧص ﻟدﯾﮫ ﺑﻌض اﻟﻣﺎل واﻻﺗﺻﺎﻻت اﻟﺻﺣﯾﺣﺔ ﺷراء ﻧﺳﺧﺔ ﻣن زﯾوس " "ZeuSاﻟﺗﻲ ﻣن ﺷﺄﻧﮭﺎ أن اﻟﻘﯾﺎم ﺑﻌﻣﻠﯾﺔ اﻻﺻﺎﺑﺔ وﺟﻣﻊ ﻛل اﻟﻣﻌﻠوﻣﺎت اﻟﺻﺣﯾﺣﺔ ﻣن اﻟﺿﺣﺎﯾﺎ ﺑطرﯾﻘﮫ اﻟﯾﮫ. ﻣن ﻏﯾر اﻟواﺿﺢ اﻟﻛم اﻟﻌددي ﻣن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺻﺎﺑﺔ ﺟزﺋﯾﺎ ﺑﺳﺑب وﺟود ﻋدد ﻛﺑﯾر ﻣن اﻟﻣﺗﻐﯾرات اﻟﻣوﺟودة .ھذا ھو ﻓﻲ اﻟﻣﻘﺎم اﻷول ﺑﺳﺑب اﻟطرﯾﻘﺔ اﻟﺗﻲ ﯾﻌﻣل ﺑﮭﺎ زﯾوس .أﻧﮭﺎ ﻟﯾﺳت ﻗطﻌﺔ ﻣن اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ أو اﻟروﺑوﺗﺎت ﻋﻠﻰ وﺟﮫ اﻟﺗﺣدﯾد .ﺑدﻻ ﻣن ذﻟك ﯾﺳﻣﻰ ﻋﺎدة ﻗطﻌﺔ ﻣن ﺑرﻣﺟﯾﺎت اﻟﺟرﯾﻣﺔ ﻷﻧﮫ ھو ﻓﻲ اﻟﺣﻘﯾﻘﺔ ﻣﺟﻣوﻋﺔ أدوات ﻟﺧﻠﻖ اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ اﻟﺗﻲ ﺳوف ﺗﻘوم ﺑﺈﻧﺷﺎء اﻟروﺑوﺗﺎت ﻣن ﻛﺎﻓﺔ اﻟﻣﺿﯾﻔﯾن اﻟﻣﺻﺎﺑﯾن .ﺣزﻣﺔ ﺗﺄﺗﻲ ﺑﺎﻟﻛﺎﻣل ﻣﻊ ﺗطﺑﯾﻖ رﺳوﻣﻲ ﯾﺳﻣﺢ ﻟﻠﻣﺳﺗﺧدم ﺑﺗﺣدﯾد ﺧﯾﺎرات ﻣن أﺟل ﺧﻠﻖ ﻧوع ﻣﻌﯾن ﻣن اﻟﺑراﻣﺞ اﻟﺿﺎرة اﻟﻣطﻠوﺑﺔ ﻓﺿﻼ ﻋن أﻧواع اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﯾرﻏب ﻓﻲ ﺟﻣﻌﮭﺎ ﻣن اﻟﺿﺣﺎﯾﺎ اﻟﺧﺎص ﺑك .اﻟﺷﻲء اﻟوﺣﯾد اﻟذي ھو واﺿﺢ ﺣول زﯾوس ھو اﻟذي ﺗم اﺳﺗﺧداﻣﮫ ﻻﺳﺗﺧراج ﻣﺋﺎت اﻟﻣﻼﯾﯾن ﻣن اﻟدوﻻرات ﻣن اﻟﻧﺎس .ﺗوﻟﻰ ﻣﻛﺗب اﻟﺗﺣﻘﯾﻘﺎت اﻟﻔﯾدراﻟﻲ ﻋن زﯾوس ﻓﻲ ﻋﺎم 2010اﻟﺗﻲ ﻛﺎﻧت وﺣدھﺎ اﻟﻣﺳؤوﻟﺔ ﻋن ﺳرﻗﺔ 70ﻣﻠﯾون دوﻻر. http://www.darkreading.com/attacks-breaches/fbi-bust-another-zeus-ring-responsible-for-$70-million-in?victim-losses/d/d-id/1134475 ﻓﻲ ﻣﺎﯾو ﻣن ﻋﺎم ،2011ﺗم ﺗﺳرﯾب اﻟﻛود اﻟﻣﺻدري ﻟزﯾوس .وھذا ﯾﻣﻛن أن ﯾﻛون ،ﺟزء ﻣﻧﮫ ،ﻷن ﻣؤﻟف زﯾوس ﻗد ﺗﻘﺎﻋد ،وﻗﺎم ﺑﺑﯾﻊ ﺣﻘوق ﻋﻣﻠﮫ إﻟﻰ ﻣﺟﻣوﻋﺔ أﺧرى ﻣﺳؤوﻟﺔ ﻋن ﺗطوﯾر .SpyEye Trojanوﻗد ﺳﻣﺢ ﺑﺎﻹﻓراج ﻋن ﺷﻔرة اﻟﻣﺻدر ﻟﻠوﺻول ﻧﺣو إﺑداع ﻏﯾر ﻣﺳﺑوق ﻓﻲ ﺗﻘﻧﯾﺎت وﻣﻣﺎرﺳﺎت اﻟﺗرﻣﯾز ﻓﻲ اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ. Zeus Botnetأﺻﺑﺢ واﺣدا ﻣن أﺷﮭر و أﺧطر اﻟـ Botnetsﻓﻲ اﻟوﻗت اﻟﺣﺎﺿر ﺧطورة ﻋﻠﻰ ﻣﺳﺗﺧدﻣﯾن اﻷﻧﺗرﻧت ﺑﺷﻛل ﻋﺎم ﺣﯾث ﯾﻘوم ﺑﺟﻌل ﻛل ﻣﺎ ﺗﻔﻌﻠﮫ ﻋﻠﻰ ﺷﺑﻛﺔ اﻻﻧﺗرﻧت ﻣن ﻣﻌﻠوﻣﺎت و ﺧﺻوﺻﯾﺎت ﺗﺣت ﺳﯾطرة اﻟـ " Bot Masterﺳﯾد اﻟﺑوت" ﻧﻛﺎد ﻧراه ﺑﺷﻛل ﻣﺑﺎﻟﻎ ﻓﯾﮫ ھذه اﻷﯾﺎم ﺑﻣواﻗﻊ " Malware Honeynetsﻣواﻗﻊ ﺗﺣﺗوى ﻋﻠﻰ ﻗﺎﺋﻣﮫ ﺑﺄﺳﻣﺎء اﻟدوﻣﯾن اﻟﻣﺳﺗﺧدﻣﺔ ﻣن ﻗﺑل اﻟﮭﺎﻛر ﻓﻲ ﻋﻣﻠﯾﺎت اﻻﺧﺗراق ﻣﺛل http://www.malwareurl.com/, http://www.malwaredomainlist.comو ﻏﯾرھﺎ .اﻟـ Zeus Botھو ﺑﺑﺳﺎطﺔ ﻋﺑﺎرة ﻋن .Http Botnetﺑﻣﻌﻧﻰ ان اﻟـ Command & Control Centerﯾﺗم اﻟﺗﺣﻛم ﺑﮫ ﻋن طرﯾﻖ اﻟﻣﺗﺻﻔﺢ او اﻟـ. Web Browser ﻓﻛرة اﻟﺑوت ﺗﺧﺗﻠف ﻛﺛﯾرا ﻋن اﻏﻠب اﻟﺑوﺗـ اﻷﺧرى ،ﻓﺄﻏﻠب اﻟﺑوت ﺗﻛون ﻣﮭﻣﺗﮭﺎ ھﻲ ﺟﻠب ﻋدد أﻛﺑر ﻣن اﻟﺿﺣﺎﯾﺎ ﻋن طرﯾﻖ اﺳﺗﺧدام طرق ﻛﺛﯾرة ﻟﻌﻣﻠﯾﺎت اﻟـSpreading & Infection. اﻟـ Zeus Botnetﯾﺻﻧف ﻛـ High Risk Malwareوھو ﻓﻲ راﺋﻲ ﻋﺑﺎرة ﻋن ﺻﺎروخ أطﻠﻘوه اﻟروس .وﯾﻘوم ھذا اﻟﺑوت ﺑﺎﺳﺗﺧدام ﻓﻛر ﺟدﯾد ﺗﻘرﯾﺑﺎ ﻓﻛرة اﻟـ key loggersوﻟﻛن ﺑﺷﻛل ﻣﺧﺗﻠف ﺗﻣﺎﻣﺎ ﻓﻛﻣﺎ ﻧﻌرف ان اﻟـ key loggersﺗﻘوم ﺑﻌﻣل ﺗﺳﺟﯾل ﻟﻛل keystrokeاﻟذي ﯾﻘوم اﻟﻣﺳﺗﺧدم ﺑﻛﺗﺎﺑﺗﮫ ﻛذﻟك اﻟـ Zeus Botnetﻧﻔس ھذه اﻟﻔﻛرة ﻓﮭو ﯾﺳﺗﺧدم اﻟـ .Form Grabbing Technique Form Grabbingھﻲ ﻋﻣﻠﯾﺔ اﻟﺗﻘﺎط اي ﺷﻲء ﯾﺗم اداﺧﻠﮫ ﻓﻲ Formsﺑﺻﻔﺣﺎت HTMLﻧﻔﺗرض ﻣﺛﻼ اﻧك ﻗﻣت ﺑﺗﺻﻔﺢ ﻟﻣوﻗﻊ ﺑرﯾدك اﻹﻟﻛﺗروﻧﻲ و ﺗرﯾد اﻟدﺧول إﻟﻰ ﺑرﯾدك اﻹﻟﻛﺗروﻧﻲ ﺣﯾث ﺗﺟد ﺧﺎﻧﺔ usernameو ﺧﺎﻧﺔ Passwordو ﺗﻘوم ﺑﻛﺗﺎﺑﺔ ﺑرﯾدك اﻹﻟﻛﺗروﻧﻲ و اﻟﻛﻠﻣﺔ اﻟﺳرﯾﺔ اﻟﺧﺎﺻﺔ ﺑك اﻟذى ﯾﺗم وﻗﺗﮭﺎ اﻟـ form grabberﺑﺎﻟﺗﻘﺎط ﻣﺎ ﻗﻣت ﺑﻌﻣل ﻋﻣﻠﯾﺔ POSTﻟﮫ و ﺗﺳﺟﯾل اﻟـ filed Nameو filed valueﻣﺛﻼ username=adminو password=123456ﺷﻲء ﺷﺑﯾﮭﺎ ﺑﻌﻣﻠﯾﺔ .http sniffing وھذه ھﻲ اﻟﻔﻛرة اﻟرﺋﯾﺳﯾﺔ ﻟﻠـ Zeus botﻓﮭو ﯾﻌﺗﻣد ﻋﻠﯾﮭﺎ ﺑﺷﻛل اﺳﺎﺳﻲ ﻓﺗﻣﻛن ﺧطورﺗﮫ ﻓﻲ ﺟﻠب ﻛل ﻣﺎ ﺗﻘوم ﺑﻛﺗﺎﺑﺗﮫ ﻓﻲ اي ﺧﺎﻧﺔ ﻓﻲ اي ﻣوﻗﻊ اﻟﻛﺗروﻧﻲ وﯾﺗم ارﺳﺎل ھذه اﻟﻣﻌﻠوﻣﺎت إﻟﻰ http webserverوﯾﺗم اﺳﺗﻘﺑﻠﮭﺎ ﻣﻠف ﯾﺳﻣﻰ gate.phpاﻟذي ﯾﻘوم ﺑﺎﺳﺗﻘﺑﺎل ﻋﻣﻠﯾﺔ اﻟـ post وﺗﺧذﯾﻧﮭﺎ ﻓﻲ ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت. Zeusھو ﻣﺟﻣوﻋﺔ ﻣن اﻷدوات اﻟﺗﻲ ﺗوﻓر ﻟﻣﻧﺷﺊ اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﺟﻣﯾﻊ اﻷدوات اﻟﻼزﻣﺔ ﻟﺑﻧﺎء وإدارة اﻟروﺑوﺗﺎت .ﺗم ﺗﺻﻣﯾم أدوات زﯾوس ﻓﻲ اﻟﻣﻘﺎم اﻷول ﻟﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت اﻟﻣﺻرﻓﯾﺔ ،وﻟﻛن ﯾﻣﻛن ﺑﺳﮭوﻟﺔ أن ﺗﺳﺗﺧدم ﻷﻧواع أﺧرى ﻣن اﻟﺑﯾﺎﻧﺎت أو ﺳرﻗﺔ اﻟﮭوﯾﺔ .وﯾﺳﺗﺧدم اﻟﺗطﺑﯾﻖ ﻟوﺣﺔ ﺗﺣﻛم ﻟﻠﺣﻔﺎظ ﻋﻠﻰ/ﺗﺣدﯾث اﻟروﺑوﺗﺎت ،واﺳﺗرداد/ﺗﻧظﯾم اﻟﻣﻌﻠوﻣﺎت اﻟﻣﺳﺗرﺟﻌﺔ .أداة Builder toolﺳوف ﺗﺳﻣﺢ ﺑﺈﻧﺷﺎء ﻣﻠف ﺗﻧﻔﯾذي واﻟﺗﻲ ﺳوف ﯾﺗم اﺳﺗﺧداﻣﮭﺎ ﻟﻺﺻﺎﺑﺔ أﺟﮭزة ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ .وﻋﺎدة ﻣﺎ ﯾﺗم اﻟﻛﺷف ﻋن ھذه اﻟﻣﻠﻔﺎت اﻟﺗﻧﻔﯾذﯾﺔ گ ZBotﻣن ﻗﺑل اﻟﺑراﻣﺞ اﻟﻣﺿﺎدة ﻟﻠﻔﯾروﺳﺎت. ﻣﺟﻣوﻋﺔ اﻷدوات ھذه ھﻲ ﻣﻧﺗﺞ ﺗﺟﺎري ﯾﺑﺎع ﻟﻛﺛﯾر ﻣن اﻟﻣﺳﺗﺧدﻣﯾن ،وﯾﺗم ﺗوزﯾﻌﮭﺎ ﻣﺟﺎﻧﺎ إﻟﻰ أﻛﺛر ﻣن ذﻟك ﺑﻛﺛﯾر .ﻛل واﺣد ﻣﻧﮭم ﯾﻣﻛن إﻧﺷﺎء واﺣد أو أﻛﺛر ﻣن اﻟﺑوﺗﻧت ﻣن ﺗﻠﻘﺎء ﻧﻔﺳﮫ ،ﻟذﻟك ﻣن اﻟﻣرﺟﺢ اﻧﮫ ﯾوﺟد ﻋدد ﻛﺛﯾر ﻣن ﻣﺳﺗﺧدﻣﻲ .ZeuS botnet
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1090 أﺣدث ﻧﺳﺧﺔ ﻣن ﻣﺟﻣوﻋﺔ اﻷدوات ﺗﺑﺎع ﻋﺎدة ﺑﺣواﻟﻲ 700دوﻻر ﻟﻠﻣﺷﺗرﯾن اﻟﻣوﺛوق ﺑﮭم ،ﻣﻊ ﺷﻔرة اﻟﻣﺻدر ورﺑﻣﺎ ﻣﺗﺎﺣﺔ ﻟﻠﻣﺑﻠﻎ أﻛﺑر ﻣن ذﻟك ﺑﻛﺛﯾر .ﺑﻌد ﺑﺿﻌﺔ أﺷﮭر ﺗم اﻻﻓراج ﻋن ﻧﺳﺧﺔ ﺟدﯾدة ﻟﻣﺟﻣوﻋﺔ اﻷدوات ﺑﺎﻋﺗﺑﺎرھﺎ ﻧﺳﺧﺔ ﻣﺟﺎﻧﯾﺔ ،وھو ﻣﺎ ﯾﻌﻧﻲ ﻋﻠﻰ اﻷرﺟﺢ أن ﺗﻛون ﺑﻣﺛﺎﺑﺔ ﺗروﯾﺞ ﻟﻠﻧﺳﺧﺔ اﻟﺗﺟﺎرﯾﺔ .ﻻ ﯾﺟوز أن ﯾﺗﺿﻣن اﻹﺻدار اﻟﻌﺎم ﻛل ﻣن أﺣدث اﻟوظﺎﺋف ،واﻟوﺛﺎﺋﻖ ھو اﻟﺣد اﻷدﻧﻰ .ﻛﻣﺎ ﺗم ﻋرض ﻧﺳﺦ ﻣﻌدﻟﺔ ﻣن ﻣﺟﻣوﻋﺔ اﻷدوات اﻟﻌﺎﻣﺔ ﻟﻠﺑﯾﻊ ﺑﺄﺳﻌﺎر أﻗل ﻣن ﻗﺑل ﻣطوري اﻟطرف اﻟﺛﺎﻟث ،اﻟﺗﻲ ﺗﻌرف أﺣﯾﺎﻧﺎ ﺑﺎﺳم " ."moddersوﻋﻠﻰ ﺣﺳب ﻋﻠﻣﻲ ﯾوﺟد ﻣﻧﮫ اﻹﺻدار اﻷول واﻟﺛﺎﻧﻲ وھذا ﻣﺎ ﺳوف ﻧﺳﺗﺧدﻣﮫ واﻻﺻدار اﻟﺛﺎﻟث ﻣوﺟود وﻟﻛﻧﮫ ﯾﺑﺎع. Building ﯾﺄﺗﻲ ﻣﻊ ﺣزﻣﺔ زﯾوس ﻋدد ﻣن اﻟﻣﺟﻠدات ،ﻛﻣﺎ ﻛﻧت ﺗﺗوﻗﻊ .واﺣد ﻣﻧﮭم ھو ﻟﻠﺑﻧﺎء ،اﻟذي ھو واﺟﮭﺔ اﻟﻣﺳﺗﺧدم اﻟرﺳوﻣﯾﺔ اﻟﺗﻲ ﯾﺗم اﺳﺗﺧداﻣﮭﺎ ﻹﻧﺷﺎء اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ PHP .ﯾﺳﺗﺧدم ﻟﻛل ﻣن اﻟوﺻول إﻟﻰ اﻟﻌﻣﯾل ﻣن اﺟل ﺧﺎدم/ﻣﻠﻘم C&Cوأﯾﺿﺎ ﻣن أﺟل اﻟﺑﻧﺎء .ﻣﻠف اﻟﺑﺎﺗش اﻟذي ﯾﺳﺗﺧدم ﻟﺑﻧﺎء ﺣزﻣﺔ زﯾوس ھو make.phpاﻟذي ،ﻣن اﻟﻣﻔﺗرض ،إﺗﻣﺎم ﻋﻣﻠﯾﺔ اﻹﻧﺷﺎء اﻟﯾﺎ .اﻟﺣزﻣﺔ ﺗﺗﺿﻣن أﯾﺿﺎ ﻣﻠف ﺣل ﺣﺗﻰ ﯾﻣﻛن ﻓﺗﺢ اﻟﻣﺷروع ﻓﻲ .Visual Studioﻣﻊ ﻣﺷروع ﻛﺑﯾر ﻣﺛل ھذا ،ﻓﯾﻣﻛن ﻟﺑﻌض اﻟدﻋم أن ﺗﻛون ﻣﻔﯾدة ﺟدا ﻷن ھﻧﺎك ﻣﺎ ﯾزﯾد ﻋﻠﻰ 400ﻣﻠﻔﺎت ﺗم ﺗﺿﻣﯾﻧﮭﺎ ﻓﻲ اﻟﺣزﻣﺔ .أن اﻟﻌدﯾد ﻣن اﻟﻣﻠﻔﺎت ﯾﻣﻛن ان ﺗﻛون ﺷﺎﻗﺔ ﻟﻠﺑﺣث ﻋن طرﯾﻖ ﻟﻔﮭم ﻣﺎ ﯾﺣدث .وﺑﺻرف اﻟﻧظر ﻋن PHPاﻟﻣﺳﺗﺧدﻣﺔ ﻓﻲ ﻋﻣﻠﯾﺔ اﻹﻧﺷﺎء ،ﯾﺗم ﻛﺗﺎﺑﺔ اﻟﻣﺷروع ﺑواﺳطﺔ C ++ﺑﺎﺳﺗﺧدام Windows callsﺗﻘﻠﯾدﯾﺔ ﺟدا .زﯾوس ﻟدﯾﮫ ﻧظرة ﻋﻠﻰ اﻟطراز اﻟﻘدﯾم ﺟدا ﻟﻠﻣﺻدر .ﯾﺟب ان ﯾﻛون ﻟدﯾك ﻧﺳﺧﺔ ﻣن ،Microsoft Visual Studioواﻟﺗﻲ ﺳوف ﺗﺳﺎﻋدك ﻣن ﺧﻼل ﺑﻧﺎء زﯾوس ھﻧﺎ. ﻣﻠﺣوظﮫ :ﻟﺗﺛﺑﯾت زﯾوس ﻻﺑد ان ﯾﻛون ﻟدﯾك ،Microsoft Visual Studio v10ﺛم ﻧﻘوم ﺑﺎﻟدﺧول ﻋﻠﻰ cmdﺛم ﺗوﺟﯾﮫ اﻟﻰ اﻟﻣﺟﻠد اﻟذي ﯾﺣﺗوي ﻋﻠﻰ ﻣﻠﻔﺎت زﯾوس ﺛم ﻛﺗﺎﺑﺔ اﻻﻣر make_full.cmdﻟﺑدء ﻋﻣﻠﯾﺔ ﺑﻧﺎء اﻟﺗطﺑﯾﻖ او ﻣن ﺧﻼل اﻟﻧﻘر ﻋﻠﻰ ھذا اﻟﻣﻠف ﻣﺑﺎﺷرة.
ﻣﻠﺣوظﮫ :إذا اردت ان ﺗﺳﺗﺧدم ﻧﺳﺧﺔ Microsoft Visual Studioﻏﯾر اﻟﻧﺳﺧﺔ v10وذﻟك ﺑﺎﺳﺗﺧدام اﻻﺣدث ﻓﻘم ﺑﺎﻟذھﺎب اﻟﻰ اﻟﻣﻠف buildconfig.inc.phpاﻟﻣوﺟود ﻓﻲ اﻟﻣﺟﻠد makeوﻗم ﺑﺗﻌدﯾل اﻟﺳطر اﻟﺗﺎﻟﻲ اﻟﻰ ﻣﻛﺎن ﻧﺳﺧﺔ .Microsoft Visual Studio
ﻓﻲ ﻧﮭﺎﯾﺔ اﻻﻣر ﺑﻌد ﺑﻧﺎء اﻟﻣﻠف اﻟﻣﺻدر ﺑطرﯾﻘﮫ ﺻﺣﯾﺣﮫ ﺳوف ﯾﻧﺗﺞ ﻣﻠف ﻣﺿﻐوط وﻣﻠف ﯾﺣﺗوي ﻋﻠﻰ اﻟرﻗم اﻟﺳري ﻟﮫ ﻓﻲ اﻟﻣﺟﻠد .output Configuration and Bot Creation اﻟﺧطوة اﻷوﻟﻰ ﻓﻲ ﺑﻧﺎء ﻣﻠف اﻟﺑوت اﻟﻘﺎﺑل ﻟﻠﺗﻧﻔﯾذ ھﻲ إﻋداد ﻣﻠف .Configﺣﯾث ﯾﺧﺑر ھذا اﻟﻣﻠف اﻟﺑوت ﻓﻲ ﻛﯾﻔﯾﺔ اﻻﺗﺻﺎل ﺑﺎﻟروﺑوﺗﺎت، وﻛﻣﺎ أﻧﮫ ﯾﺣﺗوي ﻋﻠﻰ ﻣﻌﻠوﻣﺎت ﻋن اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﺳﯾﺗم ﺟﻣﻌﮭﺎ وﻛﯾﻔﯾﺔ اﻟﻘﯾﺎم ﺑذﻟك .ﻣﻠف Configﯾﺗﻛون ﻣن ﺟزأﯾن ،ﻛﻣﺎ ھو ﻣوﺿﺢ أدﻧﺎه. ﻟﻠوﺻول اﻟﻲ Configﻧﻘوم ﺑﺗﺷﻐﯾل bot builderأوﻻ " "zsb.exeﺛم اﻟذھﺎب اﻟﻰ Builderﺛم اﻟﻧﻘر ﻓوق Editﻛﺎﻻﺗﻲ:
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1091 ﺑﻌد اﻟﻧﻘر ﻋﻠﻰ editﯾظﮭر اﻟﻣﻠف Configﻛﺎﻻﺗﻲ وﻧﺟد اﻧﮫ ﻣﻛون ﻣن ﺟزﺋﯾﯾن ﻛﻣﺎ ذﻛرﻧﺎ ﺳﺎﺑﻘﺎ.
1
2
Static Configuration .1 ﯾﺗم ﺗرﺟﻣﺔ ﻣﻌطﯾﺎت StaticConfigﻓﻲ اﻟﺑوت ﺑواﺳطﺔ أداة اﻻﻧﺷﺎء .أﻧﮫ ﯾﺣﺗوي ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﺳوف ﯾﺣﺗﺎﺟﮭﺎ اﻟﺑوت ﻋﻧدﻣﺎ ﯾﺗم ﺗﻧﻔﯾذه ﻷول ﻣرة .ﻟﺗﺣدﯾث StaticConfigﯾﺟب أن ﯾؤﻣر اﻟﺑوت ﻟﺗﺣﻣﯾل ﻧﺳﺧﺔ اﻟﺑوت اﻟﺟدﯾد. اﻹﻋدادات اﻟﻣﺗوﻓرة ھﻲ: " "botnetاﺳم اﻟﺑوﺗﻧت اﻟﺗﻲ ﯾﻧﺗﻣﻲ إﻟﯾﮭﺎ ھذا ﺑوت. " "timer_configﻣﻘدار اﻟوﻗت ﻟﻼﻧﺗظﺎر ﺑﯾن ﺗﻧزﯾل ﻣﻠف .dynamic configuration " "timer_logsو " "timer_statsاﻟﻔﺎﺻل اﻟزﻣﻧﻲ ﺑﯾن ﻣﻠﻔﺎت اﻟﺳﺟﻼت اﻟﻣرﻓوﻋﺔ واﻟﻣﻌﻠوﻣﺎت اﻹﺣﺻﺎﺋﯾﺔ ﻟﺧﺎدم اﻻﻧزال. " "url_configﻋﻧوان URLﻟﻠﺧﺎدم اﻟﻣﺿﯾف ﻛﻣﺎ ﺗﺣدﺛﻧﺎ ﻋﻧﮫ ﺳﺎﺑﻘﺎ ﻓﻲ ﻛﯾﻔﯾﺔ اﻧﺷﺎﺋﮫ ﻣﻊ Black Energy botnetوﻓﯾﮫ ﯾﻣﻛن ﻟﻠﺑوت اﻟﺣﺻول ﻋﻠﻰ ﻣﻠف اﻟﺗﻛوﯾن اﻟدﯾﻧﺎﻣﯾﻛﻲ "." dynamic configuration " "url_compipﻋﻧوان URLﺣﯾث اﻟﺑوت ﯾﻣﻛﻧﮫ اﻟﺗﺣﻘﻖ ﻣن ﻋﻧوان IPاﻟﺧﺎص ﺑﮫ ،ﻟﺗﺣدﯾد ﻣﺎ إذا ﻛﺎن وراء ﺟﮭﺎز ﺗوﺟﯾﮫ أو ﺟدار اﻟﺣﻣﺎﯾﺔ .ﻣﺛﺎل ﻋﻠﻰ ذﻟك "."url_compip “http://localhost/web/ip.php” 1024 " "encryption_keyﻣﻔﺗﺎح اﻟﺗﺷﻔﯾر اﻟذي ﯾﺳﺗﺧدم ﻹﺧﻔﺎء اﻟﻣﻌﻠوﻣﺎت اﻟﻣرﺳﻠﺔ داﺧل اﻟروﺑوﺗﺎت. Dynamic Configuration .2 ﯾﺗم ﺗﺣﻣﯾل DynamicConfigﻣن ﻗﺑل اﻟﺑوت ﻓورا ﺑﻌد ﺗﺛﺑﯾﺗﮫ ﻋﻠﻰ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ .ﯾﺗم ﺗﺣﻣﯾل ھذا اﻟﻣﻠف ﻋﻠﻰ ﻓﺗرات ﻣوﻗوﺗﺔ ﻣن ﻗﺑل اﻟﺑوت ،وﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﺗﻐﯾﯾر ﺳﻠوك اﻟروﺑوﺗﺎت .أﻛﺛر ﻣن اﻹدﺧﺎﻻت ﻟﻠﺗﺣﻛم ﻓﻲ ﻛﯾﻔﯾﺔ ﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت ﻣن ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺻﺎب. اﻹﻋدادات اﻟﻣﺗوﻓرة ھﻲ: " "url_loaderﻋﻧوان URLﺣﯾث ﯾﻣﻛن ﻟﻠﺑوت ﺗﺣﻣﯾل ﻧﺳﺧﺔ ﺟدﯾدة ﻣن ﻧﻔﺳﮫ ،إذا ﺗم إﻋطﺎء اﻷﻣر ﻟﻠﻘﯾﺎم ﺑذﻟك. " "url_serverﻋﻧوان URLﻟﺧﺎدم اﻻﺳﻘﺎط " "drop serverﺣﯾث ﺳﯾﺗم ﺗﺣﻣﯾل اﻟﺳﺟﻼت واﻹﺣﺻﺎءات واﻟﻣﻠﻔﺎت وﺗﺧزﯾﻧﮭﺎ. " "file_webinjectsاﻟﻣﻌﻠوﻣﺎت اﻟﻣﺳﺗﺧدﻣﺔ ﻓﻲ ﺣﻘن ﺣﻘول إﺿﺎﻓﯾﺔ إﻟﻰ ﺻﻔﺣﺎت اﻟوﯾب اﻟﺗﻲ ﯾﻧظر إﻟﯾﮭﺎ ﻣن ﺧﻼل ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺻﺎب. ﺑﻌد اﻻﻧﺗﮭﺎء ﻣن اﻋداد ﻣﻠف Configﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق .build the bot configuration Building the Bot ﺑﻣﺟرد ان ﯾﻛون اﻟﻣﻠف Configﺟﺎھز ﯾﺗم اﺳﺗﺧدام أداة اﻟﺑﻧﺎء ﻟﺑﻧﺎء ﻣﻠف Configاﻟﺣﯾوي وﻣﺷﻔر وﻣﻠف اﻟﺑوت اﻟﻘﺎﺑل ﻟﻠﺗﻧﻔﯾذ .أوﻻ ﯾﻘوم Zeus builderﺑﻔﺣص ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟذي ﯾﻌﻣل ﻋﻠﯾﮫ ﻟﻣﻌرﻓﺔ ﻣﺎ إذا ﺗم ﺗﺛﺑﯾت ﺑوت زﯾوس أن ﻻ ﻓﺈذا وﺟده ﯾﻌطﻲ اﻟﻣﺳﺗﺧدم اﻟﺧﯾﺎر ﻟﺗﻧظﯾف اﻟﻧظﺎم .رﺑﻣﺎ ھذا ھو اﻟﻣﻘﺻود ﻟﺟﻌﻠﮫ أﺳﮭل ﻻﺧﺗﺑﺎر إﻋدادات Builder .Configﺳوف ﯾﻌطﻰ ﺗﻘرﯾر ﺑﺎﻟﻣﻌﻠوﻣﺎت ﻋن اﻟﻧظﺎم: د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1092
ﻧﻼﺣظ اﻟرﺳﺎﻟﺔ Bot not foundedواﻟﺗﻲ ﺗﻌﻧﻰ ان اﻟﻧظﺎم ﺧﺎﻟﻲ ﻣن ﻣﻠﻔﺎت اﻟﺑوت. ﺑﺎﺳﺗﺧدام اﻟﻣﻧﺷﺊ " ،"Zeus builderﯾﻣﻛن ﻟﻠﺳﯾد اﻟﺑوت اﻟﻧﻘر ﻓوق اﻟزر " "build the bot configurationﻟﺗﺟﻣﯾﻊ ﻣﻠف اﻟﺗﻛوﯾن ﻓﻲ ﺷﻛﻠﮫ اﻟﻣﺷﻔر .ﻋﻧدﻣﺎ ﯾﻛون ھذا اﻟﻣﻠف ﺟﺎھزا ﯾﺗم وﺿﻌﮭﺎ ﻋﻠﻰ اﻟﻣﻠﻘم اﻟﻣﺿﯾف ﺣﯾث ﯾﻣﻛن ﻟﻠﺑوت ﻟﻠﺑﺣث ﻋن .DynamicConfigﺗوزﯾﻊ ﻣﻠف اﻟﺗﻛوﯾن ﺑﮭذه اﻟطرﯾﻘﺔ ﯾﺟﻌل ﻣن اﻟﺳﮭل ﺗﺣدﯾث اﻹﻋدادات ﻓﻲ اﻟﻣﺳﺗﻘﺑل .ﯾظﮭر اﻟﺻورة أدﻧﺎه اﻟﻧﺎﺗﺞ ﺑﻌد أن ﺗم ﺑﻧﺎء .Configﻓﻲ ﺣﺎل ﺣدوث أي ﺧطﺄ أﺛﻧﺎء اﻹﻧﺷﺎء ﺳوف ﯾﻔﺻﻠﮫ ھﻧﺎ.
ﺛم ،ﻋن طرﯾﻖ اﻟﻧﻘر ﻋﻠﻰ زر " ،"build the bot executableﻓﺎن اﻟﻣﻧﺷﺊ ﺳوف ﯾﻘوم ﺑﺈﻧﺷﺎء ﻣﻠف اﻟﺑوت اﻟﺟﮭﺎز ﻟﻺﺻﺎﺑﺔ وﺣﻔظﮭﺎ .زر ﯾﻣﻛن اﻟﺿﻐط ﻋﻠﯾﮫ أﻛﺛر ﻣن ﻣره ﻹﻧﺗﺎج ﻣﻠﻔﺎت ﺑوت ﺗﻧﻔﯾذﯾﺔ ﻣﺗطﺎﺑﻘﺔ داﺧﻠﯾﺎ ﻣﻊ ﺗﺷﻔﯾر ﻣﺧﺗﻠﻔﺔ .اﻟﻣﻠف PEﯾﺗم ﺗﻐﯾﯾر أﺣﺟﺎﻣﮫ أﯾﺿﺎ ﻓﻲ ﻛل ﺑﻧﺎء ﺟدﯾد .اﻟﺻورة أدﻧﺎه ﺗوﺿﺢ اﻟﻣﻌﻠوﻣﺎت اﻟﻣﻌروﺿﺔ ﺑواﺳطﺔ اﻟﻣﻧﺷﺊ ﺑﻌد أن ﺗم ﺑﻧﺎء اﻟﺑوت.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1093 Bot Distribution and Installation "spam campaign" ﻓﻲ ﻣﻌظم اﻟﺣﺎﻻت ﯾﺗم اﺳﺗﺧدام اﻟﺑرﯾد.زﯾوس ﻟﯾس ﻟدﯾﮫ اﻟﻘدرة اﻟﻣدﻣﺟﺔ ﻋﻠﻰ اﻻﻧﺗﺷﺎر إﻟﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻷﺧرى وﯾﺳﺗﺧدم ﻧوع ﻣن اﻟﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ داﺧل رﺳﺎﻟﺔ اﻟﺑرﯾد اﻟﻣزﻋﺞ ﻟﺧداع اﻟﺿﺣﺎﯾﺎ ﻓﻲ. إﻣﺎ ﻋن طرﯾﻖ ﻣﻠف ﻣرﻓﻖ أو راﺑط،ﺗوزﯾﻊ اﻟﺣﻣوﻻت ﻋدد ﻛﺑﯾر ﻣن ﺣﯾل اﻟﮭﻧدﺳﺔ. وﻏﺎﻟﺑﺎ ﻓﻲ اﻟﻧﻣﺎذج اﻟﺗﻲ ھﻲ ﻣﻘﻧﻌﺔ وﯾﺻﻌب اﻛﺗﺷﺎﻓﮭﺎ، وﻗد ﺷﮭدت ﺗﺷﻛﯾﻠﺔ واﺳﻌﺔ ﻣن ھذه اﻟﺣﯾل.ﺗﻧﻔﯾذ اﻟﺑوت . وذﻟك ﺑﺎﺳﺗﺧدام ﻣﻧﺻﺔ زﯾوس اﻟﻣﺷﺗرﻛﺔ،اﻻﺟﺗﻣﺎﻋﯾﺔ ھو ﻧﺗﯾﺟﺔ ﻟﻛﺛﯾر ﻣن اﻷﻓراد ﯾﺣﺎوﻟون زرع اﻟروﺑوﺗﺎت اﻟﺧﺎﺻﺔ ﺑﮭم ﺣﯾث ان اﻟﺑوت ھو أﻗل وﺿوﺣﺎ وأﻗل ﻋرﺿﺔ ﻟﯾﺗم،ﻋدم وﺟود ﻗدرات ﺗﺷﺑﮫ اﻟدودة ﻓﻲ اﻻﻧﺗﺷﺎر ﯾﺟﻌل اﻟﺑوت ﻣﻧﺎﺳﺑﺔ ﻟﻠﮭﺟﻣﺎت اﻟﻣﺳﺗﮭدﻓﺔ . ﯾﻣﻛن إرﺳﺎﻟﮭﺎ إﻟﻰ اﻟﺿﺣﯾﺔ اﻟﻣﻘﺻودة ﻓﻲ ﻣﺧﺗﻠف اﻟﺗﻧﻛر ﺣﺗﻰ ﯾﺗﺣﻘﻖ اﻟﻧﺟﺎح، ﻓﻲ اﻟﮭﺟﻣﺎت اﻟﻣﺳﺗﮭدﻓﺔ.اﻟﻛﺷف ﻋﻧﮫ . وﻟﻼﺗﺻﺎل ﺑﺷﺑﻛﺔ اﻟروﺑوﺗﺎت،ﻋﻧد ﺗﻧﻔﯾذ اﻟﺑوت ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ ﻓﺄﻧﮫ ﯾذھب ﻣن ﺧﻼل ﻋدد ﻣن اﻟﺧطوات ﻟﺗﺛﺑﯾت وﺗﻛوﯾن ﻧﻔﺳﮫ اﻟﻣذﻛورة أدﻧﺎه ھﻲ اﻟﺧطوات. وأﺣﯾﺎﻧﺎ ﯾﺗم ﺗﻐﯾﯾرھﺎ ﻓﻲ اﻹﺻدارات اﻟﺟدﯾدة،أﺳﻣﺎء اﻟﻣﻠﻔﺎت اﻟواردة ھﻧﺎ ھﻲ ﻓﻲ اﻟﻧﺳﺧﺔ اﻟﺗﻲ ﻧﺳﺗﺧدﻣﮭﺎ اﻻن :"اﻟﺗﻲ ﯾﺗﺧذھﺎ اﻟﺑوت ﻋﻧدﻣﺎ ﯾﺗم ﺗﺣﻣﯾﻠﮫ ﻋﻠﻰ ﻧظﺎم اﻟﺿﺣﯾﺔ وﻣن ﺛم اﺗﺻﺎﻟﮫ ﺑﺷﺑﻛﺔ اﻟروﺑوﺗﺎت "ﻟﻠﺗوﺿﯾﺢ ﻓﻘط 1- The install function searches for the "winlogon.exe" process, allocates some memory within it and decrypts itself into the process. 2- The bot executable is written to the hard drive as "C:\WINDOWS\system32\sdra64.exe". 3- The directory "C:\WINDOWS\system32\lowsec\" is created. This directory is not visible in Windows Explorer but can be seen from the command line. Its purpose is to contain the following files: local.ds: Contains the most recently downloaded DynamicConfig file. user.ds: Contains logged information. user.ds.lll: Temporarily created if transmission of logs to the drop server fails. 4- The Winlogon ("HKLM/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon") registry key's value is appended with the path of the bot executable: C:/WINDOWS/system32/sdra64.exe. This will cause the bot to execute when the computer restarts. 5- The Windows XP firewall is disabled. This causes a Windows Security Center warning icon to appear in the system tray, the only visible indication that the computer has been infected. 6- The bot broadcasts an "M-SEARCH" command to find UPnP network devices. This may be an attempt to access and reconfigure local routers. 7- The bot sends an HTTP GET command to the configured botnet server to get the latest DynamicConfig file. 8- The bot begins capturing and logging information from the infected computer. The DynamicConfig file largely determines what information is collected. 9- The bot sends two HTTP POST commands to upload log (user.ds) and stat information to the botnet drop server. 10- Three timers are set to values in the StaticConfig, each executing a function on time-out: o Get new config file (DynamicConfig) from server (default 60 minutes). o Post harvested data (user.ds) to server (default 1 minute). o Post statistics to server (default 20 minutes). 11- If a web page that is viewed from the infected computer is on the injection target list in the DynamicConfig, the additional fields from the list are injected into the page. 12- If the HTTP "200 OK" reply to a POST contains a hidden script command, the bot executes it and returns a success or failure indication along with any data. Botnet Command and Control Control Panel Installation ﻛﻣﺎ ﯾوﻓر وﺳﯾﻠﺔ ﻣﻧظﻣﺔ.ﯾﺳﺗﺧدم ﺗطﺑﯾﻖ ﻟوﺣﺔ ﺗﺣﻛم زﯾوس أﺳﺎﺳﺎ ﻟﺗﺗﺑﻊ ﺣﺎﻟﺔ اﻟﺑوت واﻟﺳﯾطرة ﻋﻠﯾﮫ وإرﺳﺎل أواﻣر اﻟﺑرﻧﺎﻣﺞ اﻟﻧﺻﻲ إﻟﻰ اﻟﺑوت .ﻟﻌرض واﻟوﺻول إﻟﻰ اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﺗم ﺟﻣﻌﮭﺎ ﻣن ﻗﺑل اﻟﺑوت ﻣن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺻﺎﺑﺔ https://www.facebook.com/tibea2004
ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ.د
1094
ﻟوﺣﺔ اﻟﺗﺣﻛم ھو ﺗطﺑﯾﻖ PHPﻣﻔﺗوح اﻟﻣﺻدر اﻟﺗﻲ ﯾﻣﻛن ﺗﺷﻐﯾﻠﮭﺎ ﻋﻠﻰ ﺧﺎدم اﻟوﯾب IISأو أﺑﺎﺗﺷﻲ .ﺑﻌض اﻟﺑراﻣﺞ اﻹﺿﺎﻓﯾﺔ ،وﻣﻌظﻣﮭﺎ اﻟﻣﺣدد ﻓﻲ وﺛﺎﺋﻖ ،ﻣطﻠوﺑﺔ أﯾﺿﺎ .ﯾﺟب أﯾﺿﺎ أن ﺗﺣدد ﻣﺳﺗﺧدم MySQLﻣﻊ اﻷذوﻧﺎت اﻟﻣﻧﺎﺳﺑﺔ .ﻋﻧدﻣﺎ ﯾﻛون اﻟﻧظﺎم ﺟﺎھزا ﻓﺎن Control Panel codeﯾﻣﻛن ﻧﺳﺧﮭﺎ إﻟﻰ ﻣﺟﻠد ﺧﺎدم اﻟوﯾب .وﯾﻣﻛن ﺑﻌد ذﻟك ﺗﺛﺑﯾت ﺻﻔﺣﺔ ﯾﻣﻛن اﻟوﺻول إﻟﯾﮭﺎ ﻣن اﻟﻣﺳﺗﻌرض .إذا ﺗم إﺟراء أي أﺧطﺎء ﻋﻧد ﺗﻌﺑﺋﺔ ھذا اﻟﻧﻣوذج ،ﯾﺗم إﻋطﺎء اﻟﻣﺳﺗﺧدم رﺳﺎﻟﺔ ﻣﻔﯾدة .ﺑﻣﺟرد اﻻﻧﺗﮭﺎء ﻣن ھذا اﻟﻧﻣوذج ﯾﺗم ﻣﺎ ﺗﺑﻘﻰ ﻣن اﻹﻋداد ﺗﻠﻘﺎﺋﯾﺎ .ﻟﻔﻌل ذﻟك ﻧﺗﺑﻊ اﻻﺗﻲ: -1ﻓﻲ ھذا اﻟﺷرح ﺳوف ﻧﺳﺗﺧدم ﻣوﻗﻊ اﻻﺳﺗﺿﺎﻓﺔ .http://www.hostinger.ae -2ﻧﻘوم ﺑﺈﻧﺷﺎء ﻗﺎﻋدة ﺑﯾﺎﻧﺎت MySQLﻛﺎﻻﺗﻲ:
-3ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق ﻗواﻋد اﻟﺑﯾﺎﻧﺎت .MySQLوﻣﻧﮭﺎ ﻧﻧﺗﻘل اﻟﻰ اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ.
-4ﻧﺿﻊ اﺳم ﻟﻘﺎﻋدة اﻟﺑﯾﺎﻧﺎت واﺳم اﻟﻣﺳﺗﺧدم وﻛﻠﻣﺔ اﻟﻣرور وﯾﺟب ان ﻧﺣﻔظ ھذه اﻟﺑﯾﺎﻧﺎت ﺟﯾدا ﺛم ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق إﻧﺷﺎء ﻛﺎﻻﺗﻲ:
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1095 -5ﺑﻌد اﻟﻧﻘر ﻓوق اﻧﺷﻰ ﺗظﮭر اﻟﺷﺎﺷﺔ ﻛﺎﻻﺗﻲ واﻟﺗﻲ ﻣن ﺧﻼﻟﮭﺎ ﻧﻼﺣظ ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ أﻧﺷﺎﺋﮭﺎ.
-6ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق اﻟﻌﻼﻣﺔ +اﻟﺗﻲ ﺑﺟﺎﻧب ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت ﻓﺗظﮭر ﻣﺟﻣوﻋﮫ ﻣن اﻷدوات.
-7ﻧﻘوم ﺑﺎﻟﻧﻘر ﻋﻠﻰ ﺗﻐﯾر اﻻذوﻧﺎت ﻓﺗظﮭر ﺷﺎﺷﮫ أﺧرى ﻧﺗﺄﻛد ﺑﺎن ﺟﻣﯾﻌﮭﺎ ﯾوﺟد اﻣﺎﻣﮫ اﻟﻌﻼﻣﺔ√ ﻛﺎﻻﺗﻲ ﺛم ﻧﺣﻔظ ذﻟك.
-8ﻧذھب اﻟﻰ اﻟﻣﺟﻠد اﻟذي ﯾﺣﺗوي ﻋﻠﻰ Zeusوﻧﻘوم ﺑﺿﻐط اﻟﻣﺟﻠد ] server[phpﻓﻲ ھﯾﺋﺔ zipﺛم ﺗﺣﻣﯾﻠﮫ ﻋﻠﻰ اﻟﺧﺎدم ﻛﻣﺎ ﻓﻌﻠﻧﺎ ﺳﺎﺑﻘﺎ. -9ﺛم اﻟذھﺎب اﻟﻰ اﻟﻣﻠف global.phpاﻟﻰ 777اﻟﻣوﺟود ﻓﻲ اﻟﻣﺟﻠد systemوﺗﻐﯾر اﻟﺻﻼﺣﯾﺎت اﻟﺧﺎﺻﺔ ﺑﮫ ﻣن ﺧﻼل .Chmod -10ﺑﻌد ذﻟك ﻧﻛﺗب اﺳم اﻟﻣﺿﯾف اﻟذي ﻗﻣﻧﺎ ﺑﺈﻧﺷﺎﺋﮫ ﺛم اﻟﻣﺟﻠد اﻟذي ﯾﺣﺗوي ﻋﻠﻰ اﻟﻣﻠﻔﺎت اﻟﺧﺎﺻﺔ ﺑﺎﻟﺳﯾرﻓر اﻟﺗﻲ رﻓﻌﻧﺎھﺎ ﺛم installﻣﺛﺎل ﻛﺎﻻﺗﻲ ، http://jana2.byethost7.com/server[php]/install:ﻓﯾؤدى اﻟﻰ اﻟذھﺎب اﻟﻰ اﻟﺻﻔﺣﺔ اﻟﺗﺎﻟﯾﺔ:
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1096 -11ﻣن ﺧﻼل ھذه اﻟﺷﺎﺷﺔ ﻧﻘوم ﺑرﺑطﮭﺎ ﺑﻘﺎﻋدة اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ أﻧﺷﺎﺋﮭﺎ ﺛم ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق .install
ﺑﻌد اﻟﻧﻘر ﻋﻠﻰ Installﺗظﮭر اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ ﻟﺗدل ﻋﻠﻰ ﻧﺟﺎح اﻻﻋداد ﻛﺎﻻﺗﻲ:
Botnet Administration ﺑﻌد اﻟدﺧول إﻟﻰ ﻟوﺣﺔ اﻟﺗﺣﻛم وذﻟك ﻣن ﺧﻼل اﻟذھﺎب اﻟﻰ اﻟﻣﻠف cp.phpﻓﻲ ﻣﺛﺎﻟﻧﺎ ھذا "،”http://jana2.byethost7.com/server[php]/cp.php ﯾطﻠب ﻣﻧك أوﻻ اذوﻧﺎت اﻟدﺧول ﺛم ﯾﺗم ﻋرض اﻟﺻﻔﺣﺔ اﻷوﻟﻰ ،ﻛﻣﺎ ھو ﻣﺑﯾن ﻓﻲ اﻟﺷﻛل أدﻧﺎه:
ﻋﻠﻰ اﻟﯾﺳﺎر ھو اﻟﻘﺎﺋﻣﺔ ﺣﯾث ﯾﻣﻛن اﻟوﺻول اﻟﻰ اﻟﺻﻔﺣﺎت اﻟﻣﺧﺗﻠﻔﺔ .ﻋﻠﻰ اﻟﯾﻣﯾن ھو ﻣﻠﺧص ﻟﻠﻣﻌﻠوﻣﺎت ﻋن اﻟروﺑوﺗﺎت .ﻻﺣظ أن إﺻدارات ﻣﺗﻌددة ﻣن ﺑوت ﯾﻣﻛن أن ﺗدار ﻣﻊ إﺻدار واﺣد ﻣن ﻟوﺣﺔ اﻟﺗﺣﻛم. ﻣﻠﺣوظﮫ :اﻋداد ھذا اﻟﺧﺎدم ﯾﺗم ﺗﺳﺟﯾﻠﮭﺎ ﻓﻲ اﻟﻣﻠف .Configوﻻ ﺗﻧﺳﻰ ﺗﺣﻣﯾل ھذا اﻟﻣﻠف اﻟﻰ اﻟﻣﺿﯾف اﻟذي أﻧﺷﺄﻧﺎه. د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1097 إذا ﺗم اﻟﻧﻘر ﻋﻠﻰ اﻟﻌﻧﺻر OSﻓﻲ اﻟﻘﺎﺋﻣﺔ ﻧﺣﺻل ﻋﻠﻰ ﻗﺎﺋﻣﺔ ﻣن إﺻدارات ﻧظﺎم اﻟﺗﺷﻐﯾل ﻓﻲ اﻟﺷﺑﻛﺔ اﻟﺧﺎﺻﺔ ﺑﺎﻷﺟﮭزة اﻟﻣﺻﺎﺑﺔ ﺑﺎﻟﺑوت ﻟﻛل إﺻدار .ﻋﻧﺻر اﻟﻘﺎﺋﻣﺔ اﻟﺗﺎﻟﻲ ھو " ،"Botsاﻟذي ﯾﻌرض ﻓﻲ اﻟﺑداﯾﺔ ﻋﻠﻰ ﺷﻛل " ."filterھﻧﺎ ﯾﻣﻛن ﻟﻠﻣﺳﺗﺧدم اﺧﺗﯾﺎر "داﺧل "NATأو "ﺧﺎرج " ،"NATأون ﻻﯾن" أو "ﻏﯾر ﻣﺗﺻل" ،وﻣﺎ إﻟﻰ ذﻟك ﻓﻘط ﻟﺗﺻﻔﯾﺔ اﻟﺑوت اﻷﻛﺛر إﺛﺎرة ﻟﻼھﺗﻣﺎم.
ﺑﺎﻟﻧﻘر ﻓوق " "acceptﻓﯾﻌرض ﻗﺎﺋﻣﺔ واﻟﺗﻲ ﺗﻌرض ﺑﻌض اﻟﻣﻌﻠوﻣﺎت اﻷﺳﺎﺳﯾﺔ ﺣول ﻛل ﻣن اﻟﺑوت .و" "Bot IDھو ﻣﻌرف ﻓرﯾد ﺗم إﻧﺷﺎؤه ﺗﻠﻘﺎﺋﯾﺎ ﻟﻛل ﺑوت .ﺣﻘل " "Commentsﯾظﮭر أي ﺗﻌﻠﯾﻘﺎت اﻟﺗﻲ ﺗﻣت إﺿﺎﻓﺗﮭﺎ ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدم. " ":Bots actionاﻟﻘﺎﺋﻣﺔ اﻟﻣﻧﺳدﻟﺔ ﯾﺳﻣﺢ ﺑﺑﻌض ﻣن اﻟﻣزﯾد ﻣن اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﯾﻣﻛن اﻟﺣﺻول ﻋﻠﯾﮭﺎ ،ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ""Full information ﺑﻌرض ﺗﻔﺎﺻﯾل إﺿﺎﻓﯾﺔ .ﯾﻣﻛن ﻟﻠﻣﺳﺗﺧدم إﺿﺎﻓﺔ ﺗﻌﻠﯾﻘﺎت ھﻧﺎ .اﻟﻐرض ﻣن ھذه اﻟﻔﻠﺗرة. اﻟﻌﻧﺻر اﻟﺗﺎﻟﻲ ﻓﻲ اﻟﻘﺎﺋﻣﺔ اﻟرﺋﯾﺳﯾﺔ ھو " ،"scriptsواﻟذي ﯾﻌرض ﻗﺎﺋﻣﺔ ﻣن اﻟﺑراﻣﺞ اﻟﻧﺻﯾﺔ اﻟﺗﻲ ﺗم إﻋدادھﺎ ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدم .وﺗﺳﺗﺧدم ھذه اﻟﺑراﻣﺞ اﻟﻧﺻﯾﺔ ﻹرﺳﺎل واﺣد أو أﻛﺛر ﻣن اﻷواﻣر اﻟﻣﺿﻣﻧﺔ ﻓﻲ اﻟﺑوت.
ﺑﺎﻟﻧﻘر ﻋﻠﻰ " "Add New Scriptأو ﻋﻠﻰ أﺣد اﻷﺳﻣﺎء اﻟﺳﻛرﺑت اﻟﻣوﺟودة ﯾﺳﺑب ﻓﻲ ظﮭور ﻣرﺑﻊ ﺣوار ﻛﺎﻻﺗﻲ .ﺣﯾث ﯾوﺿﻊ اﻟﺳﯾﻧﺎرﯾو اﻟﺗﻲ ﯾﺗم ﺗوزﯾﻌﮭﺎ ﻓﻲ اﻟﻣرة اﻟﻘﺎدﻣﺔ اﻟﻰ اﻟﺑوت ،وﻣﺟﻣوﻋﺔ ﻣن اﻟﺗوزﯾﻊ ﯾﻣﻛن أن ﯾﻘﺗﺻر ﻋﻠﻰ ﺑوت واﺣد أو اﻟروﺑوﺗﺎت واﺣد ،أو إﻟﻰ اﻟﺑﻠدان اﻟﻣذﻛورة .ھذا ﻣﮭم ﻟﺧدﻣﺎت ) .location based services (LBSﻓﻲ اﻟﺣﻠﻖ contextﯾﻣﻛن إدﺧﺎل واﺣد أو أﻛﺛر ﻣن أواﻣر اﻟﺑرﻧﺎﻣﺞ اﻟﻧﺻﻲ.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1098 اﻟﻧﻘر ﻓوق ﻋﻼﻣﺔ اﺳﺗﻔﮭﺎم ﺑﺟﺎﻧب " ":Contextﯾﻌرض ﻗﺎﺋﻣﺔ ﻣن اﻷواﻣر اﻟﻣﺗوﻓرة ﺣﺎﻟﯾﺎ ﻣﻊ اﻟﺗﻔﺳﯾرات .اﻷواﻣر ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﺟﻣﻊ اﻟﻣزﯾد ﻣن اﻟﻣﻌﻠوﻣﺎت ،ﻹﺟراء ﺗﻐﯾﯾرات ﻋﻠﻰ اﻟروﺑوﺗﺎت أو إﻋطﺎء ﻗدر أﻛﺑر ﻣن اﻟﺳﯾطرة ﻋﻠﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺻﺎب.
Web Page Injection واﺣدة ﻣن اﻟﻣﻣﯾزات اﻟﮭﺎﻣﺔ اﻟﺗﻲ ﯾﺗﻣﯾز ﺑﮭﺎ زﯾوس ﺑوت ھو ﻗدرﺗﮫ ﻋﻠﻰ ﺿﺦ دﯾﻧﺎﻣﯾﻛﻲ ﺣﯾوي ﻓﻲ ﺻﻔﺣﺎت اﻟوﯾب اﻟﺗﻲ ﯾﻧظر إﻟﯾﮭﺎ ﻣن ﺟﮭﺎز ﻛﻣﺑﯾوﺗر ﻣﺻﺎب .ﯾﺗم ھذا ،ﻣﻊ ﻣرور اﻟﺑﯾﺎﻧﺎت ﻣن اﻟﺧﺎدم إﻟﻰ ﻣﺳﺗﻌرض اﻟﻌﻣﯾل .اﻟﻣﻘطﻊ اﻟﺗﺎﻟﻲ ﻣن ﺑﯾﺎﻧﺎت ﻣﻠف Configﺗﺳﺗﺧدم ﻟﮭذا اﻟﻐرض .ﻓﺈﻧﮫ ﯾﻘوم ﺑﺎﻟﺑﺣث وﻣن ﺛم إﺿﺎﻓﺔ اﻟﻌﻣﻠﯾﺎت: set_url http://www.bank.com/login.html GP data_before >name="password"*PIN:
ھذا ﻣﺟرد ﻣﺛﺎل ﺑﺳﯾط .ﻓﻲ اﻟﻣﻣﺎرﺳﺔ اﻟﻌﻣﻠﯾﺔ ﯾﻣﻛن أن ﺗﻧﺷﺄ اﻟﺧداع أﻛﺛر ﺗﻔﺻﯾﻼ ،ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ﻣﺗﻐﯾرات اﻟﺣﻘن ﯾﻣﻛن أن ﺗﻣﻧﻊ وﺻول اﻟﺿﺣﺎﯾﺎ وﻧﺳﺄل ﻟﺗﺄﻛﯾد ھوﯾﺗﮭم ﻣن ﺧﻼل ﺗﻌﺑﺋﺔ اﻟﺣﻘول اﻹﺿﺎﻓﯾﺔ. أدﻧﺎه ھو ﻣﺻدر HTMLﻗﺑل اﻟﺣﻘن .وﻻﺣظ ﻋﻠﻰ ﻧص اﻟﺑﺣث .data_before د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1099 >Username: Password: Username: Password: PIN:
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1100
]GameOver Zeus botnet [GOZ GameOver Zeus botnetھو ﺑوﺗﻧت ﯾﺳﺗﻧد ﻋﻠﻰ ﺷﺑﻛﺔ "p2p botnet" p2pﻗﺎﺋم ﻋﻠﻰ ﻧﻔس اﻟﻣﻛوﻧﺎت ﻟﻺﺻدارات اﻟﺳﺎﺑﻘﺔ ﻟزﯾوس. وﻟﻛﻧﮫ ﻋﻠﻰ ﻋﻛس زﯾوس اﻟذي ﯾﺑﺎع ﻛﺄداة ﻟﺧﻠﻖ اﻟﺑوﺗﻧت ﻷي ﺷﺧص ﯾدﻓﻊ ﺑﺿﻌﺔ آﻻف ﻣن اﻟدوﻻرات ،ﺣﯾث ان GOZﻣﻧذ أﻛﺗوﺑر 2011ﯾﺗم اﻟﺳﯾطرة ﻋﻠﯾﮫ واﻻﺣﺗﻔﺎظ ﺑﮫ ﻣن ﻗﺑل ﻣﺟﻣوﻋﺔ أﺳﺎﺳﯾﺔ ﻣن اﻟﻘراﺻﻧﺔ ﻣن اﻟروس واﻷوﻛراﻧﯾﯾن. ﯾوﻓر اﻟﺳوق اﻟﺳوداء " "underground economyﺳوﻗﺎ ﻟﻣﺟرﻣﻲ اﻹﻧﺗرﻧت ﻟﺷراء وﺑﯾﻊ ﻣﻧﺗﺟﺎﺗﮭﺎ وﺧدﻣﺎﺗﮭﺎ .ﺗﻘرﯾﺑﺎ ﻛل ﺷﻲء ﻟﮫ ﺛﻣن: ﺑطﺎﻗﺎت اﻻﺋﺗﻣﺎن اﻟﻣﺳروﻗﺔ ،ﺧدﻣﺎت اﻟﺑرﯾد اﻟﻣزﻋﺞ ،وﻣﺟﻣوﻋﺎت اﻧﺷﺎء ﺑوﺗﻧت ﻧت ﺑﻧﻔﺳك " ."do-it-yourself (DIY) botnet kitsﯾﻣﻛن اﻟﻘول إن DIYاﻷﻛﺛر ﺷﻌﺑﯾﺔ ھﻲ ﺣﺻﺎن طروادة اﻟﻣﺻرﻓﻲ زﯾوس " ،"Zeus botnetاﻟذي ظﮭر ﻷول ﻣرة ﻓﻲ ﻋﺎم .2006وﻓﻲ ﻣﺎﯾو ،2011ﺗم ﺗﺳرﯾب اﻟﻛود اﻟﻣﺻدري ﻣن زﯾوس ،واﻟﺗﻲ وﻟدت ﻣﺟﻣوﻋﺗﯾن ﻣن اﻟروﺑوﺗﺎت اﻟﺟدﯾدة اﻟﻣﻌروﻓﺔ ﺑﺎﺳم ICE IXو .Citadelوﺗﺑﺎع ﻛل ﻣن ھذه اﻟﻣﺟﻣوﻋﺎت ﻣن ﺧﻼل اﻟﻣﻧﺗدﯾﺎت اﻟﺗﻲ ﺗوﺟد ﺗﺣت اﻷرض وﺗوﻓر ﻟﻠﻌﻣﻼء ﺧدﻣﺔ إﺻﻼﺣﺎت اﻟﺷواﺋب اﻟﺗﻲ ﻛﺎﻧت ﻣوﺟود ﻓﻲ ﻣﺻدر ﺑرﻧﺎﻣﺞ زﯾوس اﻷﺻﻠﻲ وﻣﻊ ﻣﯾزات ﺟدﯾدة ﻣﺛل sandbox detectionوﺗﺳﺟﯾل اﻟﻔﯾدﯾو .ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ھذه اﻟﻣﺟﻣوﻋﺎت ﻣن اﻟروﺑوﺗﺎت اﻟﺗﺟﺎرﯾﺔ اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ أﺳﺎس زﯾوس ،وﻛﺎﻧت ھﻧﺎك أﯾﺿﺎ أﻧواع ﻣن زﯾوس اﻟﺗﻲ ﻟم ﯾﺗم ﺗﺳوﯾﻘﮭﺎ وﻋرﺿﮭﺎ ﻟﻠﺑﯾﻊ ﻓﻲ اﻟﻣﺟﺎل اﻟﻌﺎم .وﺗﺷﻣل ھذه ،Murofet/Licatواﻟﺗﻲ ﻗدﻣت ﺧوارزﻣﯾﺔ ) domain generation algorithm (DGAﻓﻲ أﻛﺗوﺑر 2010واﻟﺗﻲ ﺟﻌﻠت اﻟﺟﮭود اﻟﻣﺑذوﻟﺔ ﺿد ھؤﻻء اﻟﺑوﺗﻧت أﻛﺛر ﺻﻌوﺑﺔ ،و ،P2P Zeusواﻟذي ﯾﻌرف أﯾﺿﺎ ﺑﺎﺳم P2P Zeus .GameOver ZeuSھو ﺗﺣﺳﻧﺎ ﻛﺑﯾرا ﻋن ﻛﺎﻓﺔ اﻹﺻدارات اﻷﺧرى ﻣن زﯾوس ،ﻷﻧﮫ ﯾﺣل ﻣﺣل ﺧﺎدم اﻟﺗﺣﻛم اﻟﻣرﻛزي ،C&Cاﻟﺗﻲ ﻛﺎﻧت ﻣﺳﺗﮭدﻓﺔ ﻣن ﻗﺑل اﻟﺑﺎﺣﺛﯾن وﻣﻧﻔذي اﻟﻘﺎﻧون ،ﻣﻊ ﺷﺑﻛﺔ P2Pﻗوﯾﺔ .ھذا اﻟﺗﻌدﯾل ﻟﮫ أھﻣﯾﺔ ﺧﺎﺻﺔ ﻓﻲ ﺿوء ﺗﻧﻔﯾذ ﻣﺎﯾﻛروﺳوﻓت ﻟﻌﻣل ﺷرﻋﻲ ﻓﻲ ﻣﺎرس ﻋﺎم 2012ﻣن ﺧﻼل دﻋوى ﻣدﻧﯾﺔ أطﻠﻖ ﻋﻠﯾﮭﺎ اﺳم .Operation b71وأدت ھذه اﻟدﻋوى ﺑﺄﻣر ﻣن اﻟﻣﺣﻛﻣﺔ اﻻﺳﺗﯾﻼء ﻋﻠﻰ 147ﻣن اﻟدوﻣﯾن وﻋدد ﻣن اﻟﺧوادم اﻟﻣﺳﺗﺧدﻣﺔ ﻟ ،ICE IX ،Zeusو .SpyEye botnetsوﻣﻊ ذﻟك ،ﻛﺎن ھذا اﻟﻌﻣل ﻟﯾس ﻟﮫ أي ﺗﺄﺛﯾر ﻋﻠﻰ ﻧﺳﺧﺔ P2P Zeusﺑﺳﺑب ﺑﻧﯾﺔ ﺷﺑﻛﺗﮭﺎ .ﻓﻲ ﻧﻣوذج ،P2P Zeusﻛل ﻋﻣﯾل ﻣﺻﺎب ﯾﺣﺎﻓظ ﻋﻠﻰ ﻗﺎﺋﻣﮫ ﻣن اﻟﻌﻣﻼء اﻵﺧرﯾن اﻟﻣﺻﺎﺑﯾن .ھذه اﻷﻗران " "peerﺗﻌﻣل ﺷﺑﻛﺔ ﺑروﻛﺳﻲ ھﺎﺋﻠﺔ ﻟﻣﺷﻐﻠﻲ P2P ZeuS botnetواﻟﻣﺿﯾﻔﯾن اﻟﻣﺻﺎﺑﯾن .وﯾﺳﺗﺧدم ھؤﻻء اﻷﻗران " "peerﻟﻧﺷر اﻟﺗﺣدﯾﺛﺎت ،ﺗوزﯾﻊ ﻣﻠﻔﺎت اﻟﺗﻛوﯾن ،وإرﺳﺎل اﻟﺑﯾﺎﻧﺎت اﻟﻣﺳروﻗﺔ إﻟﻰ وﺣدات اﻟﺗﺣﻛم .ﺗﻘدم ھذه اﻷداة ﺧدﻣﺔ ﺳرﻗﺔ اﻟﺑﯾﺎﻧﺎت اﻟﻣﺻرﻓﯾﺔ وھﺟﻣﺎت اﻟرﺣﻣﺎن ﻣن اﻟﺧدﻣﺔ "."DDoS ھﻧﺎك ﻣﺟﻣوﻋﺔ ﻣﺗﻧوﻋﺔ ﻣن اﻟﺗﻘﻧﯾﺎت ﻟﻧﺷر اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ،وھﻲ ﻓﻲ ﻣﻌظﻣﮭﺎ ﺗﻌﺗﻣد ﻋﻠﻰ ﺟواﻧب اﻟﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ وﻧﻘﺎط اﻟﺿﻌف ﻓﻲ اﻟﺗطﺑﯾﻘﺎت واﻟﺑراﻣﺞ .اﻟطﺎﻗم وراء ﻧﺷر P2P Zeusھو زﯾوس ،Cutwail botnetواﺣدة ﻣن أﻛﺑر وأﻋﺗﻰ ،spam botnetsﻹرﺳﺎل ﻛﻣﯾﺎت ھﺎﺋﻠﺔ ﻣن اﻟﺑرﯾد اﻻﻟﻛﺗروﻧﻲ اﻟﺗﻲ ﺗﻧﺗﺣل ﺑﺎﻋﮫ ﻣﻌروﻓﯾن ﻋﻠﻰ اﻻﻧﺗرﻧت ،وﺷرﻛﺎت اﻟﮭﺎﺗف اﻟﺧﻠوي ،وﻣواﻗﻊ اﻟﺷﺑﻛﺎت اﻻﺟﺗﻣﺎﻋﯾﺔ، واﻟﻣؤﺳﺳﺎت اﻟﻣﺎﻟﯾﺔ .ھذه اﻟﻣﻐرﯾﺎت ﻋﺎدة ﻣﺎ ﺗﺄﺗﻲ ﻓﻲ ﺷﻛل ﻓﺎﺗورة ،ﺗﺄﻛﯾد طﻠب ،أو ﺗﺣذﯾرا ﺣول ﻓﺎﺗورة ﻏﯾر ﻣدﻓوﻋﺔ اﻷﺟر )ﻋﺎدة ﻣﻊ رﺻﯾد ﻛﺑﯾر ﻟزﯾﺎدة اﺣﺗﻣﺎل أن اﻟﺿﺣﯾﺔ ﺳوف ﯾﺿﻐط ﻋﻠﻰ اﻟراﺑط( .ﺗم اﺳﺗﺑدال اﻟرواﺑط ﻓﻲ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻣﻊ ﺗﻠك اﻟﻣواﻗﻊ اﻟﻣﺧﺗرﻗﺔ واﻟﺗﻲ ﻋﺎدة ﺗﻘوم ﺑﺗوﺟﯾﮫ اﻟﺿﺣﺎﯾﺎ إﻟﻰ .exploit kit د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1101 ﯾﻌﺗﻣد Cutwail botnetﻋﻠﻰ ﻣﺋﺎت اﻵﻻف ﻣن اﻷﻧظﻣﺔ اﻟﻣﺧﺗرﻗﺔ ﻹرﺳﺎل اﻟﺑرﯾد اﻟﻣزﻋﺞ ﻧﯾﺎﺑﺔ ﻋﻧﮫ وﯾﺳﺗﺧدم اﻟﻘواﻟب ﻟﺗوﻟﯾد ﻋدد ﻛﺑﯾر ﻣن اﻻﺧﺗﻼﻓﺎت ﻓﻲ رﺳﺎﻟﺔ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻟﻠﺗﮭرب ﻣن ﻓﻼﺗر اﻟﺑرﯾد اﻟﻣزﻋﺞ Cutwail spam botnet .ﯾﺳﺗﺧدم ﻟﻧﺷر اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ وﻟﯾس ﻣﺧﺻص ﻓﻘط ﻟ .P2P Zeus botnet Pony loaderﯾﺄﺗﻲ ﻣﺟﻣﻊ ﻛﻣﺎ ﯾﺣﺗوي ﻋﻠﻰ ﻣﺟﻣوﻋﺔ ﻣن اﻷدوات ﻟﺑﻧﺎء اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ " "builderوواﺟﮭﺔ وﯾب PHPﻟﺗﻛوﯾن وإدارة وﺗوزﯾﻊ اﻟﺑراﻣﺞ اﻟﺿﺎرة .ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ﺗﺣﻣﯾل وﺗﻧﻔﯾذ Pony ،P2P ZeuS malwareﯾﻘوم أﯾﺿﺎ ﺑﺗﻠﻐﯾم ﻧظﺎم اﻟﺿﺣﯾﺔ ﻟ ،FTP/SFTP ،HTTP/HTTPSوأوراق اﻋﺗﻣﺎد اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻣن ﻋﺷرات اﻟﺑراﻣﺞ Pony loader .ﯾﻘدم ﺗﻘﺎرﯾر ﻋن أوراق اﻻﻋﺗﻣﺎد اﻟﻣﺳﺗﺧرﺟﺔ إﻟﻰ ﺧﺎدم Pony C&Cﻣن ﺧﻼل طﻠب POST HTTPﻣﺷﻔر.
وﻓﻘﺎ ﻟﺗﻘرﯾر ﺻﺎدر ﻋن ﺳﯾﻣﺎﻧﺗك ،ﻓﺎن GOZاﺳﺗﺧدﻣت إﻟﻰ ﺣد ﻛﺑﯾر ﻓﻲ اﻻﺣﺗﯾﺎل اﻟﻣﺻرﻓﻲ وﺗوزﯾﻊ .CryptoLocker ransomware ﻓﻲ ﺷﮭر ﯾوﻧﯾو ﻋﺎم ،2014أﻋﻠﻧت وزارة اﻟﻌدل اﻷﻣرﯾﻛﯾﺔ أن ھﻧﺎك ﺗﻌﺎون ﺑﯾن اﻟوﻛﺎﻻت اﻟدوﻟﯾﺔ ﻓﻲ ﻋﻣﻠﯾﺔ أطﻠﻖ ﻋﻠﯾﮭﺎ اﺳم Tovarﻗد ﻧﺟﺣت ﻓﻲ ﻗطﻊ اﻻﺗﺻﺎﻻت ﻣؤﻗﺗﺎ ﺑﯾن GameOver ZeuSوﺧوادم اﻟﻘﯾﺎدة واﻟﺗﺣﻛم ﺑﮫ.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1102
ﻣﻠﺣوظﮫ Dirt Jumper :ھﻲ أداة ﯾﺗم اﺳﺗﺧداﻣﮭﺎ ﺟﻧﺑﺎ إﻟﻰ ﺟﻧب ﻣﻊ ZeuS botnetﻹﺟراء ھﺟﻣﺎت DDoSﻋﻠﻰ اﻟﻣواﻗﻊ اﻟﻣﺳﺗﮭدﻓﺔ. Botnet Trojan: shark sharkھو ﺑرﻧﺎﻣﺞ اﺗﺻﺎل ﻋن ﺑﻌد ﯾﺳﺗﺧدم اﻻﺗﺻﺎل اﻟﻌﻛﺳﻲ " "reverse connectionوﯾﺗﺟﺎوز اﻟﺟدران اﻟﻧﺎرﯾﺔ "" firewall- bypassing
وﺗم ﻛﺗﺎﺑﺗﮫ ﺑﻠﻐﺔ .VB6ﻣﻊ ،sharKﺳوف ﺗﻛون ﻗﺎدرة ﻋﻠﻰ إدارة أي ﺟﮭﺎز ﻛﻣﺑﯾوﺗر )ﺑﺎﺳﺗﺧدام ﻧظﺎم اﻟﺗﺷﻐﯾل وﯾﻧدوز( ﻋن ﺑﻌد. اﻟﻣﯾزات:
-
mRC4ﺗﺷﻔﯾر ﻟﺣرﻛﺔ اﻟﻣرور. zLibﻟﺿﻐط ﺣرﻛﺔ اﻟﻣرور. screen/cam cCaptureذات ﺳرﻋﺔ ﻓﺎﺋﻘﺔ ،ﻣﺳﺗﻘرة. ﻛﻠوﻏر ﻣﻊ ﻣﯾزة ﺗﺳﻠﯾط اﻟﺿوء. ﺗﻧﻔﯾذ اﻟذاﻛرة ﻋن ﺑﻌد واﻟﺣﻘن. اﻻﺳﺗﻣﺎع اﻟﻰ ﻣﺣرر ﻣدﯾر اﻟﻣﻠﻔﺎت/ﻣﺣرر ﻣﻠﻔﺎت اﻟﺳﺟل " "registry editorﺑﺳﺑب ﺗﻛﻧﯾك ﻓرﯾد.
-
Anti: Debugger, VmWare, Norman Sandbox, Sandboxie, VirtuaIPC, Symantec Sandbox, Virtual Box
دﻋم ﺑدء اﻟﺗﺷﻐﯾل اﻟﻌﺷواﺋﻲ وأﺳﻣﺎء اﻟﻣﻠﻘم اﻟﻌﺷواﺋﯾﺔ ﻣﻌﺎﯾﻧﺔ ﺳطﺢ اﻟﻣﻛﺗب ﻓﻲ وﺣدة اﻟﺗﺣﻛم .SIN ﻓرز وإﻋداد وﺣدة اﻟﺗﺣﻛم .SIN ﻣدﯾر ﺗﺷﻐﯾل ﺗﻠﻘﺎﺋﻲ ﻋن ﺑﻌد. ا)Optional Fwb++ (Process Injection, API Unhook Folder mirroringﻛﯾف ﯾﻌﻣل: أوﻻ وﻗﺑل ﻛل ﺷﻲء ﻧﻘوم ﺑﺎﻟﺗﺳﺟﯾل ﻓﻲ ﻣوﻗﻊ no-ipﻛﻣﺎ ﺗﺣدﺛﻧﺎ ﺳﺎﺑﻘﺎ ﻟﻠﺣﺻول ﻋﻠﻰ ﻣﺿﯾف ﺛﺎﺑت وﻣن ﺛم اﻧﺷﺎء اﺳم ﻣﺿﯾف وﻟﯾﻛنﻣﺛﻼ drmohammed.no-ip.orgﻛﺎﻻﺗﻲ:
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1103 -
اﻻن ﻧذھب اﻟﻰ اﻟﺑرﻧﺎﻣﺞ وﻧﻘوم ﺑﺗﺷﻐﯾﻠﮫ واﻟذي ﯾﻌﺗﺑر C&Cﻟﮭذا اﻟﺑوﺗﻧت ﻓﺗظﮭر اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ:
-
ﻣن ﺧﻼل ﺷرﯾط اﻷدوات اﻟﻌﻠوي ﻧﺧﺗﺎر sharKوﻣن ﺛم ﻧﺧﺗﺎر Create Serverﻣن اﻟﻘﺎﺋﻣﺔ اﻟﻣﻧﺳدﻟﺔ ﻓﺗظﮭر اﻟﺷﺎﺷﺔ اﻟﺗﺎﻟﯾﺔ:
-
ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق New profileواﻟﺗﻲ ﯾطﻠب ﻣﻧك اﺳم اﻟﺳﯾرﻓر اﻟذي ﺳوف ﻧﻧﺷﺋﮫ وﺑﻌد اﺧﺗﯾﺎره ﺗظﮭر اﻟﺷﺎﺷﺔ اﻷﺗﯾﺔ:
-
ﺛم ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق Addوﻣﻧﮭﺎ ﻧدﺧل اﺳم اﻟﻣﺿﯾف اﻟذي أﻧﺷﺄﻧﺎه وﻣن ﺛم ﺑﻌد اﻻﻧﺗﮭﺎء ﻣن اﻻﻋداد ﻧﻘوم ﺑﺎﻟﻧﻘر ﻓوق Save Current
ﺛم ﻓﻲ اﺧر اﻟﻘﺎﺋﻣﺔ اﻟﯾﻣﻧﻰ ﻋﻧد Compileﻧﻧﻘر ﻓوق Compileﻓﯾﻧﺷﺎ اﻟﻣﻠف اﻟﺗﻲ ﺳوف ﺗﺳﺗﺧدﻣﮫ ﻟرﻓﻌﮫ اﻟﻰ اﻷﺟﮭزة اﻟﻣﺿﯾﻔﺔ.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1104 Poison Ivy: Botnet Command Control Center Poison Ivyھو اداه ﻣن أدوات اﻹدارة ﻋن ﺑﻌد " "remote administration toolsﻣﺛﻠﮫ اﻟﺳﺎﺑﻘﺔ ذات اﺗﺻﺎﻟﻲ ﻋﻛﺳﻲ ﻣﺷﻔر وﻣﺗﻘدم ﻟﻠﻣرور ﻣن ﺟدار اﻟﺣﻣﺎﯾﺔ .أﻧﮫ ﯾﻌطﻲ اﻟﻣﮭﺎﺟم ﺧﯾﺎر اﻟوﺻول ،رﺻد ،أو ﺣﺗﻰ اﻟﺳﯾطرة ﻋﻠﻰ اﻟﻧظﺎم اﻟﻣﺧﺗرق .ﺑﺎﺳﺗﺧدام ھذه اﻷداة ،ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟﻣﯾن ﺳرﻗﺔ ﻛﻠﻣﺎت اﻟﺳر ،واﻟﺧدﻣﺎت اﻟﻣﺻرﻓﯾﺔ أو ﻣﻌﻠوﻣﺎت ﺑطﺎﻗﺔ اﻻﺋﺗﻣﺎن ،ﻓﺿﻼ ﻋن ﻏﯾرھﺎ ﻣن اﻟﻣﻌﻠوﻣﺎت اﻟﺷﺧﺻﯾﺔ.
Botnet Trojan: PlugBot اﻟﻣﺻدرhttp://www.redteamsecure.com/labs/the_plugbot/plugbot-penetration-test-tool : PlugBotھو ﺟﮭﺎز ﺑوت .وھو ﻣﺻﻣم ﻟﻼﺳﺗﺧدام اﻟﺳري أﺛﻧﺎء اﺧﺗﺑﺎرات اﻻﺧﺗراق اﻟﻣﺎدﯾﺔ PlugBot .ھو ﺟﮭﺎز ﻛﻣﺑﯾوﺗر ﺻﻐﯾر ﯾﺷﺑﮫ ﻣﺣول اﻟطﺎﻗﺔ .ھذا اﻟﺣﺟم اﻟﺻﻐﯾر ﯾﺳﻣﺢ ﻟﮫ ﺑﻌدم اﻟﻛﺷف ﺟﺳدﯾﺎ ﻓﻲ ﺣﯾن أﻧﮫ ﻗوي ﺑﻣﺎ ﯾﻛﻔﻲ ﻟﻔﺣص وﺟﻣﻊ وﺗﺣﻘﯾﻖ ﻧﺗﺎﺋﺞ اﻻﺧﺗﺑﺎر ﺧﺎرﺟﯾﺎ.
ﺑﻌض اﻟﺳﻣﺎت ﻣﺎ ﯾﻠﻲ: إﺻدار أواﻣر اﻟﻔﺣص ﻋن ﺑﻌد ﯾدﻋم اﻟﺷﺑﻛﺔ اﻟﻼﺳﻠﻛﯾﺔ ﻣﻌﯾﺎر .b802.11د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1105 -
ﻛﺎﺑل إﯾﺛرﻧت Gigabit Ethernet ﺑروﺳﯾﺳور 1.2ﻏﯾﻐﺎھرﺗز ﯾدﻋم ﻟﯾﻧﻛس ،ﺑﯾرل PHP ،و.MySQL ﯾﺷﺑﮫ ﻣﺣول اﻟطﺎﻗﺔ. ﻗﺎدر ﻋﻠﻰ اﺳﺗدﻋﺎء ﻣﻌظم ﺗطﺑﯾﻘﺎت واﺳﻛر ﯾﺑﺎت اﻟﻔﺣص ﻋﻠﻰ أﺳﺎس ﻟﯾﻧﻛس.
Botnet Trojans: Illusion Bot and NetBot Attacker Illusion Bot اﻟﻣﯾزات: ﺧﺎدم اﻟﺗﺣﻛم واﻟﺳﯾطرة C&Cﯾﻣﻛن إدارﺗﮫ ﻣن ﺧﻼل HTTPاو .IRC ﯾدﻋم وظﯾﻔﺔ اﻟﺑروﻛﺳﻲ ).(Socks4, Socks5 ﺧدﻣﺔ .FTP دﻋم ﺗﺷﻔﯾر MD5ﻟﻛﻠﻣﺎت اﻟﺳر. .Rootkit ﺣﻘن اﻛواد "."Code Injection رﺳﺎﺋل IRCﻣﻠوﻧﺔ. اﻟﻣرور ﻣن ﺟدار اﻟﺣﻣﺎﯾﺔ اﻟﺧﺎص ﺑﻧظﺎم اﻟﺗﺷﻐﯾل .XP SP2 -ﻗدرات .DDOS
NetBot Attacker NetBot attackerﻟﮫ واﺟﮭﺔ وﯾﻧدوز ﺑﺳﯾطﺔ ﻟﻠﻣﺳﺗﺧدم ﻟﻠﺳﯾطرة ﻋﻠﻰ اﻟﺑوﺗﻧت .اﻟﻣﮭﺎﺟﻣﯾن ﯾﺳﺗﺧدﻣوﻧﮭﺎ ﻹﺻدار اﻷواﻣر وﺟﻣﻊ ﺗﻘﺎرﯾر اﻟﺷﺑﻛﺎت ،ﺣﺗﻰ ﺑﺎﻟﻧﺳﺑﺔ ﻷواﻣر اﻟﮭﺟﻣﺎت .اﻧﮫ ﯾﻣﻠك اﺛﻧﯾن ﻣن ﻣﻠﻔﺎت .RARواﺣد ھو INIواﻵﺧر ھو .EXEھو أﻛﺛر ﻗوة ﻋﻧدﻣﺎ ﯾﺗم اﺳﺗﺧدام اﻟﺑوﺗﺎت ﻟﻠﺗﺄﺛﯾر ﻋﻠﻰ اﻟﻣﻠﻘﻣﺎت .ﻣﻊ ﻣﺳﺎﻋدة ﻣن اﻟﺑوت ،ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟﻣﯾن ﺗﻧﻔﯾذ أو ﺗﺣﻣﯾل ﻣﻠف ،وﻓﺗﺢ ﺻﻔﺣﺎت وﯾب ﻣﻌﯾﻧﺔ ،وﯾﻣﻛن أن ﯾﻘوم ﺑﺈﻏﻼق ﺟﻣﯾﻊ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1106
اﻻن وﻗد أﻧﮭﯾﻧﺎ ﺗﻧﺎول ﺑﻌد ادوات اﻟﺑوﺗﻧت ﻟﺗوﺿﯾﺢ اﻟﻔﻛرة اﻟﻌﺎﻣﺔ ﻟﻛﯾﻔﯾﺔ اﺳﺗﺧداﻣﮭﺎ .ﻓﻲ ﻋﺎﻟﻣﻧﺎ ھﻧﺎ ﯾوﺟد اﻟﻛﺛﯾر ﻣن toolkitاﻟﻣﺳﺗﺧدﻣﺔ ﻹﻧﺷﺎء اﻟﺑوﺗﻧت ﻓﻣﻧﮭﺎ اﻟﻣﻌﻠن ﻟﻠﻌﺎﻣﺔ وﻣﻧﮭﺎ اﻟﻣﺟﺎﻧﻲ وﻣﻧﮭﺎ ﻣﻘﺎﺑل اﻟﻣﺎل وﻣﻧﮭﺎ ﻏﯾر اﻟﻣﻌﻠن ﻟﻠﻌﺎﻣﺔ وﻣﺧﺻص ﻟﻣﺟﻣوﻋﺎت ﻣﻌﯾﻧﮫ .اﻻن ﺳوف ﻧﻧﺗﻘل اﻟﻰ اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﺿد اﻟﺑوﺗﻧت. ﺟﺑﮭﺎت اﻟﻘﺗﺎل ﺿد اﻟروﺑوﺗﺎت "" Battlefronts against a botnet اﻟروﺑوﺗﺎت ھﻲ وﺣش ﻣﻌﻘد .إﻧﮭﺎ ﻣﺷﻛﻠﺔ ﻣﻌﻘدة ﺗﺗطﻠب ﺣﻼ ﻣﻌﻘدا .وھﻲ ﻋﻠﻰ ﺧﻼف ﻣﻊ أي ﻣن ﻏﯾرھﺎ ﻣن اﻟﺗﮭدﯾدات اﻟﺧﺑﯾﺛﺔ ﺣﯾث اﻟﻘﺿﺎء ﻋﻠﻰ اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﻓﻲ اﻟﻣﺿﯾف ﯾﻠﻐﻲ اﻟﺗﮭدﯾد .اﻟﺑوﺗﻧت ﯾﺗﻛون ﻣن ﻣﻛوﻧﺎت ﺗﺗﺟﺎوز اﻟﻣﺿﯾف؛ وﺑﺎﻟﺗﺎﻟﻲ ،اﻟﻘﺿﺎء ﻋﻠﻰ اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ وﻣﻌﺎﻟﺟﺔ اﻵﻟﺔ اﻟﻣﺧﺗرﻗﺔ ﻻ ﺗﻘﺗل اﻟروﺑوﺗﺎت .اﻟﻌﻣﻠﯾﺔ ﺑﺑﺳﺎطﺔ ﯾزﯾل ھذا اﻟﻣﺿﯾف ﻣن ﺷﺑﻛﺔ اﻟروﺑوﺗﺎت .واﻟروﺑوﺗﺎت ﻓﻲ ﺣد ذاﺗﮭﺎ ﻻ ﯾزال ﺣﯾﺎ ﯾرزق .وأﺷك ﻓﻲ أن اﻟروﺑوﺗﺎت ﺳوف ﺗﺗﺄﺛر ﺑﻐﯾﺎب ھذا اﻟﻣﺿﯾف اﻟواﺣد .وﻟﻛن ﺗوﻗﻊ ﺟﻣﯾﻊ اﻵﻻت اﻟﻣﺧﺗرﻗﺔ واﻟﻘﺿﺎء ﻋﻠﻰ ﻛﺎﻓﺔ اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ اﻟﺗﻲ ﺗﻣﻛن اﻟﺳﯾطرة ﻋﻠﻰ آﻻت اﻟﻣﺧﺗرﻗﺔ ،وﺑﺎﻟﺗﺎﻟﻲ ﺳوف ﺗﻘﺗل اﻟروﺑوﺗﺎت .ھذا ،ﺑطﺑﯾﻌﺔ اﻟﺣﺎل ،ﺳوف ﯾﻌﻣل ﻓﻘط إذا ﻛﺎﻧت اﻟروﺑوﺗﺎت ﺗﺳﺗﺧدم ﻋﺎﺋﻠﺔ ﻣن اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ واﺣد ﻣﻊ ﻋدم وﺟود آﻟﯾﺎت وﻗﺎﺋﯾﺔ .وﻟﻛن ھذا ﻟﯾس اﻟﺣل .وﺑﺻرف اﻟﻧظر ﻋن اﺳﺗﺧدام اﻟﺗﻛﻧوﻟوﺟﯾﺎ واﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﻟﺗﺟﻧب اﻟﻛﺷف ،ﻛﻣﺎ ھﻧﺎك ﻣراﺳﻼت one-is-to-oneﺑﯾن ﻋﺎﺋﻼت اﻟﺑراﻣﺞ اﻟﺿﺎرة واﻟﺑوﺗﻧت .اﻟروﺑوﺗﺎت ﯾﻣﻛن أن ﺗﺳﺗﺧدم ﻋﺎﺋﻼت ﻣن اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻣﺗﻌددة ،وﯾﻣﻛن ﻟﻌﺎﺋﻼت اﻟﺑراﻣﺞ اﻟﺿﺎرة اﻟﻣﺗﻌددة أن ﺗﻛون ﻋﺿوا ﻓﻲ ﺑوﺗﻧت ﻣﺧﺗﻠﻔﺔ .اﻟﺗﺣدي ﻓﻲ اﻟﻣﺿﯾف ﻛﺑﯾر ﺑﺎﻟﻔﻌل ،ﻧظرا ﻟﻣدى ﺗﻌﻘﯾد اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ اﻟﺗﻲ أﺻﺑﺣت ﻋﻠﯾﮭﺎ .وھذا ﻋﻧﺻر واﺣد ﻓﻘط ﻣن اﻟروﺑوﺗﺎت .ﻛﻣﺎ ﯾﺟب اﺣﺑﺎط اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﺷﺑﻛﺔ دﻋم اﻟروﺑوﺗﺎت وذﻟك ﻹﺳﻘﺎط ﺷﺑﻛﺔ اﻟروﺑوﺗﺎت. وﻟﻛن ﻣﻛوﻧﺎت اﻟﺗﻛﻧوﻟوﺟﯾﺎ وﺣدھﺎ ﻻ ﺗﺣدد ﺷﺑﻛﺔ اﻟروﺑوﺗﺎت .اﻧﮭﺎ ﻣﺟرد أداة ﺧﺑﯾﺛﺔ ﺗﺣت ﺳﯾطرة ﻣﺟرﻣو اﻹﻧﺗرﻧت .إﺳﻘﺎط واﺣد ﻣن اﻟروﺑوﺗﺎت ﻻ ﯾوﻗف ﻣﺟرﻣﻲ اﻹﻧﺗرﻧت ﻣن ﻧﺷر واﺣد ﺟدﯾد .ﻟذا ،ﺷن ﻣﻌرﻛﺔ ﻓﻌﺎﻟﺔ ﺿد اﻟروﺑوﺗﺎت ،ﯾﺟب ان ﺗﻧﺎول اﻟﻣﺟرﻣﯾن وراءھﺎ .ھذا ھو اﻟﺳﺑب ﻓﻲ أن ﻣﻛﺎﻓﺣﺔ اﻟﺑوﺗﻧت ﺗﻛون ﻋﻠﻰ ﺟﺑﮭﺗﯾن: اﻟﺟﺑﮭﺔ اﻟﻔﻧﯾﺔ "."The technical front اﻟﺟﺑﮭﺔ اﻟﻘﺎﻧوﻧﯾﺔ "."The legal frontاﻟﺟﺑﮭﺔ اﻟﻔﻧﯾﺔ ""The technical front اﻟﺟﺑﮭﺔ اﻟﻔﻧﯾﺔ/اﻟﺗﻘﻧﯾﺔ ﺗرﻛز ﻓﯾﮭﺎ اﻟﻣﻌرﻛﺔ ﻋﻠﻰ اﺛﻧﯾن ﻣن اﻟﻣﻛوﻧﺎت اﻟرﺋﯾﺳﯾﺔ ﻣن اﻟروﺑوﺗﺎت :اﻟﻣﺿﯾف " "Hostواﻟﺷﺑﻛﺔ "."Network ﺟﺎﻧﺐ اﻟﻤﻀﯿﻒ ""Host Component ﻛﻣﺎ ذﻛر ﺳﺎﺑﻘﺎ ،ﻓﺎن ﺟﺎﻧب اﻟﻣﺿﯾف ﯾﺷﻣل اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ اﻟﺗﻲ ﻟدﯾﮭﺎ اﻟﻘدرة ﻋﻠﻰ اﻟﺗواﺻل ﻣﻊ ﺳﯾد اﻟﺑوت " ."botmasterوﺑﺎﻟﺗﺎﻟﻲ ،إزاﻟﺔ اﻟﻌﻧﺻر اﻟﻣﺿﯾف ﻣن اﻟروﺑوﺗﺎت ھو ﻧﻔس اﻟﺗﻌﺎﻣل ﻣﻊ ﻋدوى اﻟﺑراﻣﺞ اﻟﺿﺎرة .وﺗﺳﺗﺧدم ﻧﻔس اﻷدوات واﻟﻣﻧﮭﺟﯾﺎت ﻻﻛﺗﺷﺎف واﺳﺗﺧراج وﺗﺣﻠﯾل وإزاﻟﺔ اﻟﻌﻧﺻر اﻟﻣﺿﯾف ﻓﻲ اﻟروﺑوﺗﺎت. ﺟﺎﻧﺐ اﻟﺸﺒﻜﺔ ""Network Component اﻟروﺑوﺗﺎت اﻟﻣﺧﺗﻠﻔﺔ ﻣﻊ اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ اﻟﺗﻘﻠﯾدﯾﺔ ﻟدﯾﮭﺎ ﻋﻧﺻر اﻟﺷﺑﻛﺔ .وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺈﻧﮫ ﻻ ﯾﻛﻔﻲ اﻟﺗﻌﺎﻣل ﻣﻊ ﻋدوى اﻟﻣﺿﯾف ﻟﻠﻘﺿﺎء ﻋﻠﻰ اﻟروﺑوﺗﺎت .ﻟذﻟك ﯾﺟب اﻟﺗﻌﺎﻣل ﻣﻊ ﻋﻧﺻر اﻟﺷﺑﻛﺔ .وﯾﺷﻣل ﻋﻧﺻر اﻟﺷﺑﻛﺔ ،C&Cﺧﺎدم اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ،Drop Zone ، د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1107 وأﯾﺔ ﻣوارد أﺧرى ﻓﻲ اﻟﺷﺑﻛﺔ ﯾﺣﺗﺎﺟﮭﺎ اﻟروﺑوﺗﺎت ﻟﻠﻌﻣل ﺑﻔﻌﺎﻟﯾﺔ .اﻟﻧﮭﺞ اﻟﺗﻘﻠﯾدي اﻟذي اﺗﺧذ ﻗﺑل اﻟﺗﺻدي ﻟﮭذا ﻛﺎن اﻟﻘﺎﺋﻣﺔ اﻟﺳوداء وﻣﻧﻊ اﻻﺗﺻﺎل .ﻟﻸﺳف ،ھذا ﻻ ﯾﻌﺎﻟﺞ اﻷﺳﺑﺎب اﻟﺟذرﯾﺔ ﻟﻠﻣﺷﻛﻠﺔ .اﻧﮭﺎ ﻣﺛل وﺟود واﻗﻲ ﻣن اﻟرﺻﺎص ﺿد ﻣﺳﻠﺢ .ﺣﯾث ﺳوف ﯾﺣﺎﻓظ اﻟﻣﺳﻠﺢ ﻋﻠﻰ إطﻼق اﻟﻧﺎر ﻣﺎ ﻟم ﯾﺗم اﺧذ اﻟﺑﻧدﻗﯾﺔ ﺑﻌﯾدا ﻋﻧﮫ .ﻟﻠوﺻول إﻟﻰ اﻟﺳﺑب اﻟﺟذري ﻟﻠﻣﺷﻛﻠﺔ ،ﻓﺎن ﺧﺎدم اﻟﺷﺑﻛﺔ اﻟذي ﯾدﻋم اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﯾﺟب أن ﯾﺗم اﺳﻘﺎطﮫ .ﺣﯾث اﻧﮫ ﻣن دون ﺧﺎدم اﻟﺷﺑﻛﺔ اﻟذي ﯾدﻋم ﻣﻛون ﺷﺑﻛﺔ ﺑوﺗﻧت ،ﻓﯾﺻﺑﺢ اﻟروﺑوﺗﺎت ﻋدﯾﻣﺔ اﻟﻔﺎﺋدة. اﻟﺧطوة اﻷوﻟﻰ ﻓﻲ اﻟﺗﻌﺎﻣل ﻣﻊ ﻣﻛوﻧﺎت ﺷﺑﻛﺔ اﻟﺑوﺗﻧت ھو اﻟﻔﮭم واﻟﺗﻌرف ﻋﻠﻰ ﻣﺎ ھو ﻋﻠﯾﮫ .وﺑﻌد ذﻟك ﯾﺗم اﺳﺗﺧدام ھذه اﻟﻣﻌﻠوﻣﺎت ﻹﺳﻘﺎط ھذه اﻟﺷﺑﻛﺔ .ﻟﺗﺣﻘﯾﻖ ذﻟك ،ﯾﺗم اﺗﺧﺎذ اﻹﺟراءات اﻟﺗﺎﻟﯾﺔ: Sinkhole Takedown Sinkholeھو أﺧذ اﻟﺳﯾطرة ﻋﻠﻰ ﻣوارد ﺷﺑﻛﺔ اﻟروﺑوﺗﺎت ﻟﯾﻘود اﻟﺑﺎﺣﺛﯾن اﻟﻰ ﻓﮭم اﺗﺻﺎل اﻟروﺑوﺗﺎت وﺳﻠوك اﻟﺷﺑﻛﺔ .وﯾﺗﺣﻘﻖ ھذا ﻣن ﺧﻼل .sinkholing :Sinkholingھو ﻋﻣﻠﯾﺔ اﻟﺣﺻول ﻋﻠﻰ ﻣﻠﻛﯾﺔ ﻣورد ﺷﺑﻛﺔ اﻟروﺑوﺗﺎت ،وﺑﺧﺎﺻﺔ ،C&Cﻣن ﺧﻼل اﺧﺗطﺎف " "hijackingاﻟدوﻣﯾن اﻟذى ﯾﺗم اﺳﺗﺧداﻣﮫ ﻣن ﻗﺑل اﻟروﺑوﺗﺎت ﻟﻼﺗﺻﺎل ﺑ . C&Cھذه اﻟدوﻣﯾن ﯾﺗم ﺗﺳﺟﯾﻠﮭﺎ ﺣﺗﻰ ﯾﺗﻣﻛن اﻟﺑﺎﺣﺛﯾن ﻣن اﻟﺣﺻول ﻋﻠﻰ اﺗﺻﺎل اﻟروﺑوﺗﺎت اﻟﻣﺧﺻﺻﺔ اﻟﻣورد اﻟﺷﺑﻛﺔ ھذه .وﺑﻌﺑﺎرة أﺧرى ،ﯾﺄﺧذ اﻟﺑﺎﺣﺛون اﻟﺗﺣﻛم ﻓﻲ ﻋﻣﻠﯾﺔ اﻟروﺑوﺗﺎت .ھذا ﯾﻌطﯾﮭم اﻟﻘدرة ﻋﻠﻰ اﻟﺣﺻول ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت ﻣن اﻟروﺑوﺗﺎت وإﺟراء اﻷواﻣر ﻟﻠﺳﯾطرة ﻋﻠﻰ اﻟروﺑوﺗﺎت .واﻟﻔرق اﻟوﺣﯾد ﺑﯾن اﻻﺛﻧﯾن ھو اﻟﻧواﯾﺎ اﻟﺧﺑﯾﺛﺔ .ﺑدﻻ ﻣن ذﻟك ،ﯾﺗم اﺳﺗﺑداﻟﮫ ﻣﻊ ﻋﻘﻠﯾﺔ ﻟﺗﺣدﯾد اﻟﺣل اﻟﻣﻧﺎﺳب ﺣول ﻛﯾﻔﯾﺔ وﻗف اﻟروﺑوﺗﺎت. ﻣن ﺧﻼل sinkholingﯾﻛﺗﺳب اﻟﺑﺎﺣﺛﯾن اﻟﻣﻌرﻓﺔ ﻋﻠﻰ ﻣﺎ ﯾﻠﻲ: ﺣﺟم ﺷﺑﻛﺔ اﻟروﺑوﺗﺎت "."Size of the botnet ﻣوﻗﻊ اﻷﻧظﻣﺔ اﻟﻣﺧﺗرﻗﺔ "."Location of compromised systems ﻣﺎ ھﻲ اﻟﻣﻌﻠوﻣﺎت اﻟﺗﻲ ﯾﺗم ارﺳﺎﻟﮭﺎ ﻣن اﻟﺑوﺗﺎت "."What information is being sent by the botsاﻟﻌﻧﺻر اﻷﺧﯾر ﯾﺣﻣل ﻣﻌﮫ ﺑﻌض اﻟﺟدل ،ﺑﺎﻟﻧظر إﻟﻰ أﻧﮫ ﯾﻌطﻰ اﻟﺑﺎﺣﺛﯾن اﻟوﺻول إﻟﻰ اﻟﻣﻌﻠوﻣﺎت اﻟﻣﺳروﻗﺔ اﻟﺗﻲ أرﺳﻠت ﻣن ﻗﺑل اﻟﺑوت .ﻓﻣن اﻟﻣﻣﻛن أن ھذه ھﻲ ﺟﻣﯾﻊ اﻟﻣﻌﻠوﻣﺎت اﻟﺧﺎﺻﺔ ،وﺑﺎﻟﺗﺎﻟﻲ ،ﻗد ﯾؤدي إﻟﻰ اﻧﺗﮭﺎﻛﺎت أﺧﻼﻗﯾﺔ وﺧﺻوﺻﯾﺔ ﻣﺣﺗﻣﻠﺔ. Sinkholing :Takedownﯾﻘدم اﻟﻣﺳﺎﻋدات ﻓﻲ ﺗﺣﻠﯾل وﻓﮭم ﺷﺑﻛﺔ اﺗﺻﺎﻻت اﻟروﺑوﺗﺎت .ﻛﻣﺎ أﻧﮫ ﯾﺳﺎﻋد ،إﻟﻰ ﺟﺎﻧب ﻧﺎﺗﺞ ﺗﺣﻠﯾل اﻟﻌﻧﺻر اﻟﻣﺿﯾف ،ﻓﻲ ﺗﺣدﯾد اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﺷﺑﻛﺔ اﻟروﺑوﺗﺎت .وﺑﻣﺟرد أن ﺗم ﺗﺣدﯾد ﻣوارد اﻟﺷﺑﻛﺔ ،ﻓﺎن اﻟﺧطوة اﻟﺗﺎﻟﯾﺔ ھﻲ ﻧﻘﻠﮭم إﻟﻰ ﺧﺎرج ﻧطﺎق اﻟﺧدﻣﺔ أي اﺳﻘﺎطﮭم. Botnet takedownﺗﺷﯾر اﻟﻰ اﻧﮭﺎء ﺧدﻣﺔ اﻟروﺑوﺗﺎت أو ﺟﻌﻠﮫ ﺣﺳﺎب ﺧدﻣﺔ اﻟﺷﺑﻛﺔ أو اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ اﻟﺗﻲ ﺗدﻋم أو ﻣوﻓر ﻣوارد ﺷﺑﻛﺔ اﻟﺑوﺗﻧت ﻏﯾر ﻣﺗوﻓر .إﺳﻘﺎط " "tacking downﻣوارد اﻟﺷﺑﻛﺔ ﺳﮭل ﺟدا أو ﺻﻌب ﺟدا ،وھذا ﯾﺗوﻗف ﻋﻠﻰ ﻧوع ﻣورد ﺷﺑﻛﺔ اﻟﺗﻲ ھو ﻋﻠﯾﮫ. ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،اﻟروﺑوﺗﺎت اﻟﺗﻲ ﺗﺳﺗﺧدم ﺣﺳﺎب اﻟﻔﯾﺳﺑوك ﻛﻧﺎﻗﻼت اﻟﻌدوى ﻓﺎﻧﮫ ﯾﻣﻛن اﺳﻘﺎطﮭﺎ ﺑﺳﮭوﻟﺔ ﻓﻘط ﻣن ﺧﻼل اﻹﺑﻼغ ﻋن اﻟﻣﺧﺎﻟﻔﺔ ﻟﺣﺳﺎب اﻟﻔﯾﺳﺑوك .ﺣﺳﺎب ﺗوﺗﯾر اﻟذي ﯾﺗم اﺳﺗﺧداﻣﮫ ﻟﻠﺳﯾطرة ﻋﻠﻰ اﻟروﺑوﺗﺎت ھو أﯾﺿﺎ ﻣن اﻟﺳﮭل ﺟدا اﺳﻘﺎطﮫ .ﻓﻲ ﺣﯾن أن ھذه اﻟﺷﺑﻛﺎت ﻣن اﻟﺳﮭل ﺟدا اﺳﻘﺎطﮭﺎ ،ﻓﮭﻧﺎك اﻟﺑوﺗﺎت اﻟﺗﻲ ﺗﺳﺗﺧدم ﻣوارد اﻟﺷﺑﻛﺔ اﻟﺗﻲ ﯾﺗم اﺳﺗﺿﺎﻓﺗﮭﺎ ﻣن ﺧﻼﻟﻲ ﻣﻘدﻣﻲ اﻻﺳﺗﺿﺎﻓﺔ bulletproofﻣن اﻟﺻﻌب ﺟدا اﺳﻘﺎطﮭﺎ. ﻏﺎﻟﺑﺎ ﻣﺎ ﯾﺗم اﻟﺗوﺻل إﻟﻰ اﻧﮭﺎء اﻟﺧدﻣﺔ ﻣن ﺧﻼل اﻟﺗﻌﺎون ﻣﻊ ﺳﻠطﺎت إﻧﻔﺎذ اﻟﻘﺎﻧون ،وﻣﻘدﻣﻲ ﺧدﻣﺎت اﻟﺷﺑﻛﺔ واﻟﺻﻧﺎﻋﺔ واﻟﺧﺑراء اﻷﻛﺎدﯾﻣﯾﯾن، واﻟﺟﮭﺎت اﻟﺣﻛوﻣﯾﺔ اﻷﺧرى ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻓﻘد ﻗﺎد اﻧﮭﺎء ﺧدﻣﺔ Rustock botnetﻣن ﻗﺑل وﺣدة اﻟﺟراﺋم اﻟرﻗﻣﯾﺔ ﻣﺎﯾﻛروﺳوﻓت ﺑﻣﺳﺎﻋدة ﻣﺎ ﺳﺑﻖ ذﻛره. اﻟﺟﺑﮭﺔ اﻟﻘﺎﻧوﻧﯾﺔ "."The legal front ﻣﻌرﻛﺔ أﺧرى ﺗدور رﺣﺎھﺎ ﺿد اﻟروﺑوﺗﺎت ھﻲ اﻟﺟﺑﮭﺔ اﻟﻘﺎﻧوﻧﯾﺔ .ﺣﯾث ان إﺳﻘﺎط اﻟﻣﻛوﻧﺎت اﻟﺗﻘﻧﯾﺔ ﻟﯾس ﻛﺎﻓﯾﺎ .اﻟﻧﺎس وراء اﻟروﺑوﺗﺎت ﯾﻣﻛن ﺑﺳﮭوﻟﺔ ﺧﻠﻖ ﺑوﺗﻧت ﺟدﯾد واﻟرﺑﺢ ﻣرة أﺧرى ﺣﺗﻰ دون اﻻھﺗﻣﺎم ﺑﺎﻟروﺑوﺗﺎت اﻟﺗﻲ اﺳﻘطت ﺳﺎﺑﻘﺎ. ﻣﻛﺎﻓﺣﺔ اﻟﺑوﺗﻧت ﻣن ﻧﺎﺣﯾﺔ اﻟﺟﺑﮭﺔ ﻗﺎﻧوﻧﯾﺔ ﯾﻣﻛن أن ﺗﺗﺧذ اﻷﺷﻛﺎل اﻟﺗﺎﻟﯾﺔ: اﺳﺗﻧﻔﺎد ﺟﻣﯾﻊ ﺳﺑل اﻻﻧﺗﺻﺎف اﻟﻘﺎﻧوﻧﯾﺔ اﻟﻣﺗﺎﺣﺔ. ﻣﺳﺎﻋدة ﺿﺑﺎط إﻧﻔﺎذ اﻟﻘﺎﻧون. إدﺧﺎل ﻗﺎﻧون ﻟﻣﻛﺎﻓﺣﺔ اﻟروﺑوﺗﺎت أو ﻗﺎﻧون ﻟﻣﻛﺎﻓﺣﺔ ﺟراﺋم اﻹﻧﺗرﻧت.اﻟﻌﻼﺟﺎت اﻟﻘﺎﻧﻮﻧﯿﺔ ""Legal Remedies اﻟﻧﺎس وراء اﻟروﺑوﺗﺎت ﯾﺟب أن ﺗﻛون ﻣﺳؤوﻟﺔ ﻋن أﻓﻌﺎﻟﮭﺎ ﺑﺣﯾث ﺳﯾﺗم ﻣﻧﻌﮭم ﻣن اﻟﻘﯾﺎم ﺑذﻟك ﻣرة أﺧرى وﺗﻛون ﺑﻣﺛﺎﺑﺔ ﻣﺛﺎل ﻟﻣﺟرﻣﻲ اﻹﻧﺗرﻧت آﺧرﯾن ﻣﺎ زاﻟوا طﻠﻘﺎء .اﻟﻌﻼج ﻗﺎﻧوﻧﻲ ﯾﻣﻛن ﻷي طرف أن ﯾﺗﺧذه وھو رﻓﻊ دﻋوى ﺟﻧﺎﺋﯾﺔ ﺿد ﻣﺟرﻣﻲ اﻹﻧﺗرﻧت ،ﻛﻣﺎ ﻓﻌﻠت د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1108 ﻣﺎﯾﻛروﺳوﻓت ﺿد ﻣﺷﻐﻠﻲ .Rustockاﻻﺳﺗﻔﺎدة ﻣن اﻟﻧظﺎم اﻟﺟﻧﺎﺋﻲ ﻟﻣﻼﺣﻘﺔ اﻟﻧﺎس اﺻﺣﺎب اﻟروﺑوﺗﺎت ھو ﺧطوة أوﻟﻰ ﺟﯾدة ﻓﻲ اﻟﻘﺑض ﻋﻠﻰ ھؤﻻء اﻟﻣﺟرﻣﯾن اﻹﻟﻛﺗروﻧﯾﯾن. ﻣﺴﺎﻋﺪة ﺿﺒﺎط إﻧﻔﺎذ اﻟﻘﺎﻧﻮن ""Assist Law Enforcement Officers ﯾﺣﻣل اﻟﻣﺟﺗﻣﻊ اﻟﺑﺣﺛﻲ ﻣﻌﻠوﻣﺎت ﺣﯾوﯾﺔ ﺣول اﻟروﺑوﺗﺎت ﻣن ﻧﺗﺎﺋﺞ اﻟﺗﺣﻠﯾل واﻟﺗﺣﻘﯾﻖ اﻟﺗﻘﻧﻲ .ﺗﻘدﯾم ھذه اﻟﻣﻌﻠوﻣﺎت إﻟﻰ ﻣﺳؤوﻟﯾن إﻧﻔﺎذ اﻟﻘﺎﻧون ﯾﺳﺎﻋد ﻓﻲ اﻟﺗﻌﻘب واﻟﺗﻲ أدت إﻟﻰ إﻟﻘﺎء اﻟﻘﺑض ﻋﻠﻰ ھؤﻻء اﻟﻣﺟرﻣﯾن اﻹﻟﻛﺗروﻧﯾﯾن .ﺑﺎﻹﺿﺎﻓﺔ اﻟﻰ ذﻟك ،ﯾﻣﻛن اﺳﺗﺧدام ھذه اﻟﻣﻌﻠوﻣﺎت ﻧﻔﺳﮭﺎ ﻛدﻟﯾل ﺿد ﻣﺟرﻣﻲ اﻹﻧﺗرﻧت. ﺗﺸﺮﯾﻌﺎت ﻟﻤﻜﺎﻓﺤﺔ اﻟﺠﺮاﺋﻢ اﻹﻟﻜﺘﺮوﻧﯿﺔ ""Anti-Cybercrime Legislation ﻓﻲ ﺑﻌض اﻷﺣﯾﺎن ،ﻻ ﯾﺗم ﺗﻐطﯾﺔ ﻣﻌظم اﻟﺟراﺋم اﻟرﻗﻣﯾﺔ ﻣن ﺧﻼل أي ﻣن ﻗﺎﻧون اﻟﻌﻘوﺑﺎت ،وإذا وﺟد ،ﯾﻛون اﻟﺛﻐرات ﻓﯾﮭﺎ .ھذا ﯾﺣد ﻣن ﻗدرات ﺿﺎﺑط إﻧﻔﺎذ اﻟﻘﺎﻧون ﻟﻠﺗﺣﻘﯾﻖ ،اﻋﺗﻘﺎل ،وﻣﺣﺎﻛﻣﺔ ﻣﺟرﻣﻲ اﻻﻧﺗرﻧت واﻟﺗﻲ ﺗم ﺗﺣدﯾدھﺎ ﺑﺎﻟﻔﻌل .ھذا ھو اﻟﺳﺑب اﻟذي ﻣن أﺟﻠﮫ ﯾﺟب إدﺧﺎل ﺗﺷرﯾﻊ ﺟدﯾد ﯾﺗﻧﺎول ﺟراﺋم اﻹﻧﺗرﻧت واﻟذي ﯾﻌﺗﺑر اﻟﻣﻔﺗﺎح اﻟرﺋﯾﺳﻲ ﻓﻲ ﺗﻣﻛﯾن اﻟﻣوظﻔﯾن اﻟﻣﻛﻠﻔﯾن ﺑﺈﻧﻔﺎذ اﻟﻘﺎﻧون ﻓﻲ اﻟﻘﺑض ﻋﻠﻰ اﻟﻣﺟرﻣﯾن اﻹﻟﻛﺗروﻧﯾﯾن ،وھذا ﺳوف ﯾؤدى ﻟﯾس ﻓﻘط ﺗﻌطﯾل ﻧﻣوذج ﻋﻣل اﻟروﺑوﺗﺎت وﻟﻛن اﻟﻘﺿﺎء ﻋﻠﯾﮫ ﺗﻣﺎﻣﺎ .ﻋﻠﻰ اﻷﻗل ﺣﺗﻰ اﻵن... Most Common Botnets Zeus Botnet ،Zeusوﻛﺛﯾرا ﻣﺎ ﺗﻛﺗب ،ZeuSھﻲ روﺑوﺗﺎت إﺟراﻣﯾﮫ " "crimeware botnetﺗﺷﺎرك ﻋﺎدة ﻓﻲ ﺳرﻗﺔ اﻟﺑﯾﺎﻧﺎت .ﻏﺎﻟﺑﺎ ﻣﺎ ﯾﺷﺎر إﻟﯾﮭﺎ ﺑﺎﺳم .Zbotزﯾوس ﻟﯾس ﺑوﺗﻧت واﺣد وﻻ ﺗروﺟﺎن واﺣدة ،وإﻧﻣﺎ ﯾﺷﯾر إﻟﻰ ﺟﻣﯾﻊ أﻓراد اﻟﻌﺎﺋﻠﺔ ﻣن اﻟﺗروﺟﺎن واﻟﺑوﺗﻧت ﻣﻧﮭﻣﺎ .اﻟﺑوﺗﺎت زﯾوس ﺗﺧﺿﻊ ﻟﺗﺣدﯾﺛﺎت ﻣﺳﺗﻣرة ،أﺣﯾﺎﻧﺎ ﻋدة ﻣرات ﻓﻲ اﻟﯾوم ،وﺑﻌد ذﻟك ھﻧﺎك اﻵﻻف ﻣن اﻟﻣﺗﻐﯾرات ﻟزﯾوس .وﺗﺗراوح أﻧﺷطﺔ ﺳرﻗﺔ اﻟﺑﯾﺎﻧﺎت ﻣن ھﺟﻣﺎت واﺳﻌﺔ اﻟﻧطﺎق ﻋﻠﻰ اﻟﺑﻧوك ،ﻟﺳرﻗﺔ اﻟﻣﻠﻛﯾﺔ اﻟﻔﻛرﯾﺔ ﻣن ﺿﺣﺎﯾﺎ اﻟﺷرﻛﺎت واﻟﺣﻛوﻣﺔ ،إﻟﻰ ھﺟﻣﺎت اﻟﺗﺻﯾد ﻋﻠﻰ اﻷﻓراد .ﺑﺎﻹﺿﺎﻓﺔ اﻟﻰ اﻟﻧﺳﺦ اﻟﻣﻌدﻟﺔ ﻣﻧﮫ Citadelو IceIXواﻟﻧﺳﺦ اﻟﻣﺗطورة ﻣﻧﮫ .Gameover Zeus
وطﺑﻌﺎ ﻻ ﻧﻧﺳﻰ اﻟذي ﻛﺎن ﻣﻧﺎﻓﺳﺎ ﻟﮫ واﻟذي ﺳﺎر ﻋﻠﻰ ﺧطﺎه ھو .SpyEye botnet Storm Botnet ﺳﺗورم ﺑوﺗﻧت ھﻲ ﺷﺑﻛﺔ ﻣن ﺣواﺳﯾب اﻟزوﻣﺑﻲ ،أي اﻟﺑوﺗﻧت ،اﻟﻣرﺗﺑطﺔ ﻓﯾﻣﺎ ﺑﯾﻧﮭﺎ ﺑﺎﻟﺳﺗورم وورم " "Storm wormواﻟﺗﻲ ﯾﺗم اﻟﺗﺣﻛم ﺑﮭﺎ ﻋن ﺑﻌد .وھﻲ ﻧوع ﻣن ﺣﺻﺎن طروادة اﻟذي ﯾﻧﺗﺷر ﻋن طرﯾﻖ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ .ﺳﺗورم ﺑوﺗﻧت ھو ﻋﻧﺻر backdoorواﻟذي ﯾﺳﻣﺢ ﺑﺎﻟوﺻول ﺧﻠﺳﺔ ﻋن ﺑﻌد ﻷﻧظﻣﺔ اﻟﻣﺻﺎﺑﺔ .أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺻﺎﺑﺔ ﺑﺎﻟﺳﺗورم ﺑوﺗﻧت ﯾﺗم ﺗﺟﮭﯾزھﺎ ﻣﻊ ﻋﻧﺻر اﻟﺑرﯾد اﻟﻣزﻋﺞ ""spam relay )ﻹرﺳﺎل اﻟﺑرﯾد اﻟﻣزﻋﺞ ﻣن ﺧﻼل أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺻﺎﺑﺔ( وﻋﺑر ) peer networkingﻟﺗﻣﻛﯾن اﻟﻣﮭﺎﺟﻣﯾن اﻟﺗواﺻل ﻣﻊ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺻﺎﺑﺔ ﺑﺎﻟﺑوت ﻋن ﺑﻌد( .ﺳﺗورم ﺑوﺗﻧت ﯾﻘوم ﺑﺣﺻﺎد ﻋﻧﺎوﯾن اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﻣوﺟودة ﻋﻠﻰ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺻﺎﺑﺔ ،ﺗوﻓر ﻋﻧﺻر اﻟﺗﺣﻣﯾل/اﻟرﻓﻊ ﻟﺗﺣدﯾث ﻧﻔﺳﮭﺎ أو ﺗﺣﻣﯾل اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ اﻹﺿﺎﻓﯾﺔ ،وﻏﺎﻟﺑﺎ ﻣﺎ ﯾﺛﺑت rootkitﻹﺧﻔﺎء وﺟود اﻟﺑراﻣﺞ اﻟﺿﺎرة .وھو P2P botnetوﻟﻛن اﻹﺻدار Storm botnet 2ﻓﻘد ھذه اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ وأﺻﺑﺢ ﻻ ﯾﻌﺗﻣد ﻋﻠﻰ .P2P د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1109 ﻓﻲ ﻋﺎم ،2007ﻛﺎن ﯾﻌﻣل اﻟﺳﺗورم ﺑوﺗﻧﯾت ﻋﻠﻰ ﻣﺎ ﺑﯾن ﻣﻠﯾون وﺧﻣﺳون ﻣﻠﯾون ﺟﮭﺎز ﺣﺎﺳوب ﻣﻣﺎ ﯾﻌﺎدل ٪8ﻣن اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ اﻟﻌﺎﻣﻠﺔ ﺿﻣن أﺟﮭزة وﯾﻧدوز .واﺳﺗﻣر اﻧﺗﺷﺎر اﻟﺑوﺗﻧت ﺣﺗﻰ وﺻل إﻟﻰ 85أﻟف ﺣﺎﺳوب ﻋﺎم .2008ﻟم ﯾﻌرف ﻣﺻدر ھذا اﻟﺑوﺗﻧت أو ﻣطورﯾﮫ .وﻟﮫ ﻛﻔﺎءه ﻋﺎﻟﯾﺔ ﻓﻲ إﺧﻔﺎء ﻧﻔﺳﮫ ﻛﻣﺎ ﯾﻣﻠك ﺧﺎﺻﯾﺔ ﺣﻣﺎﯾﺔ ﻧﻔﺳﮫ ﻣن اﻟﺗﺣﻛم ﺑﮫ أو ﺗﺣدﯾد ﻣﺳﺎره أو ﻣﺻدره .ﻛﻣﺎ ان ﺗﺻﻣﯾﻣﮫ ﯾﺟﻌﻠﮫ ﯾﻘوم ﺑﻌﻣﻠﯾﺎت ﺣﺳﺎﺑﯾﺔ ﺗﻔوق ﻗدرة أﺳرع اﻟﺣواﺳب اﻟﻔﺎﺋﻘﺔ .وﯾﻌﺗﺑر ﻣﻛﺗب اﻻﺳﺗﺧﺑﺎرات اﻟﻔدراﻟﻲ اﻷﻣﯾرﻛﻲ أن ھذا اﻟﺑوت ﻧت ﺧطرا ﻛﺑﯾرا ﻋﻠﻰ اﻟﻣﺻﺎرف وﻓﻲ ﻋﻣﻠﯾﺎت اﻻﺣﺗﯾﺎل وﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت اﻟﺷﺧﺻﯾﺔ ﻟﻠﻣﺳﺗﺧدﻣﯾن. ﻋﺎﺋﻠﺔ ﺳﺗورم ﻣن اﻟﺗروﺟﺎن ﻗد ﯾﺗم اﻟﻛﺷف ﻋﻧﮭﺎ ﻣن ﻗﺑل ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت ﺑﺎﺳﺗﺧدام ﻣﺟﻣوﻋﺔ ﻣﺗﻧوﻋﺔ ﻣن اﻷﺳﻣﺎء اﻟﻣﺧﺗﻠﻔﺔ .ﻛﻣﺛﺎل ﻋﻠﻰ ذﻟك ،ﺗم اﻟﻛﺷف ﻋن اﻟﺳﺗورم ﺑوﺗﻧت ﻓﻲ ﯾﻧﺎﯾر اﻟذي ﺣﺻل ﻋﻠﻰ ﻟﻘب " "Storm wormﻣن ﻗﺑل ﺑﺎﺋﻌﻲ اﻟﻔﯾروﺳﺎت ﻣﺛل اﻻﺗﻲ: Trojan-Downloader.Win32.Small.dam, Trojan.Downloader-647, Trojan.DL.Tibs.Gen!Pac13, EmailWorm.Win32.Zhelatin.a (Kaspersky), Downloader-BAI (McAfee), Troj/Dorf-Fam (Sophos), Trojan.Peacomm (Symantec), TROJ_SMALL.EDW (Trend Micro), Win32/Nuwar.N@MM (Microsoft). ﻋﻠﻰ اﻟرﻏم ﻣن اﻟﻛﺷف ﻋن اﻷﺳﻣﺎء اﻟﺗﻲ ﻗد ﺗﺧﺗﻠف اﺧﺗﻼﻓﺎ ﻛﺑﯾرا ،وﻟﻛن اﻷﺳﻣﺎء اﻷﻛﺛر اﺳﺗﺧداﻣﺎ اﻟﯾوم ﺗﺷﻣل ،Zhelatin ،Storm ،Peacommو .Nuwarﺳﺗورم ﻟم ﯾﻌد ﯾﻌﺗﺑر ﻣن اﻟروﺑوﺗﺎت ﻧﺷطﺔ؛ وﯾﻌﺗﻘد اﻟﻛﺛﯾرون اﻧﮫ ﺗﻣت ﺗرﻗﯾﺔ stormﺑﺑﺳﺎطﺔ إﻟﻰ اﻟروﺑوﺗﺎت اﻟﺗﻲ ﺗﻌرف اﻵن ﺑﺎﺳم .Waledec botnet
Waledec Botnet ،Waledecﯾﻛﺗب أﯾﺿﺎ ھﻛذا ،Waledacھو اﺳم اﻟروﺑوﺗﺎت اﻟﺗﻲ ﺗﺳﺗﺧدم ﻟﻧﻘل اﻟﺑرﯾد اﻟﻣزﻋﺞ اﻟﺧﺑﯾث .ﻏﺎﻟﺑﺎ ﻣﺎ ﯾﺗﻛون ﻣوزع اﻟﺑرﯾد اﻟﻣزﻋﺞ Waledecﻣن ﺑطﺎﻗﺎت اﻟﻣﻌﺎﯾدة اﻻﺣﺗﯾﺎﻟﯾﺔ واﻷﺣداث واﻻﺧﺑﺎر اﻟﻌﺎﺟﻠﺔ .اﻟرواﺑط اﻟواردة ﻓﻲ ﺟﺳم اﻟرﺳﺎﻟﺔ ھﻲ ﻧﻘطﺔ إﻟﻛﺗروﻧﯾﺔ إﻟﻰ اﻟﻣواﻗﻊ اﻟﺧﺑﯾﺛﺔ اﻟﺗﻲ ﺗﻘدم ﺑﺻﻣت exploit codeﻋﻧد زﯾﺎرﺗﮭﺎ .ﻋﺎدة ،ھذه ﺗﺷﻣل ﺑرﻧﺎﻣﺞ ،Adobe Flash ،Adobe Readerوإﻧﺗرﻧت إﻛﺳﺑﻠورر وﻣﺂﺛر ،(Office Web Components) OWC10وﻟﻛن أي ﺑراﻣﺞ ﻣﺛﺑﺗﺔ ﺿﻌﯾﻔﺔ ﯾﻣﻛن ان ﺗﺳﺗﮭدف. ﯾﺳﺗﺧدم Waledecﻟﺗوزﯾﻊ ﺑراﻣﺞ ،scarewareوھو ﻧوع ﻣن اﻟﺑراﻣﺞ اﻻﺣﺗﯾﺎﻟﯾﺔ اﻟﺗﻲ ﺗﺣﺎول ﺧداع اﻟﻣﺳﺗﺧدﻣﯾن ﺑﺎﻻﻋﺗﻘﺎد ﺑﺎن أﻧظﻣﺗﮭم ﻣﺻﺎﺑﮫ ﻓﻲ ﻣﺣﺎوﻟﺔ ﻻﻧﺗزاع اﻟدﻓﻊ ﻣﻘﺎﺑل أداة اﻹزاﻟﺔ اﻟوھﻣﯾﺔ .ﯾﺣﺎول Waledecأﯾﺿﺎ "ﺗﺟﻧﯾد" ﺑوت ﺟدﯾدة ،ﻋن طرﯾﻖ إرﺳﺎل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﺧﺑﯾﺛﺔ اﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ رواﺑط ﻟﻣواﻗﻊ ﻣﺗﺿﻣﻧﮫ backdoor botsﻣﺳﺗﺧدﻣﺔ ﻟﻼﻧﺿﻣﺎم اﻟﻰ اﻟﻧظم اﻟﻣﺻﺎﺑﺔ إﻟﻰ روﺑوﺗﺎت. ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ أﻏراﺿﮫ اﻟﺧﺑﯾﺛﺔ ،ﯾﺳﺗﺧدم Waledecاﻟﻧظم اﻟﻣﺻﺎﺑﺔ ﻛوﻛﻼء ﻟﻠﺑرﯾد اﻟﻣزﻋﺞ ،وإرﺳﺎل ﻛﻣﯾﺎت ﻛﺑﯾرة ﻣن اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻏﯾر اﻟﻣرﻏوب ﻓﯾﮫ ﻣن ﺧﻼل ﺗﻠك اﻟﻧظم ﻣن أﺟل ﺗﺟﻧب اﻟﻘﺎﺋﻣﺔ اﻟﺳوداء وإﺧﻔﺎء اﻟﻣﻧﺷﺄ اﻟﺣﻘﯾﻘﻲ ﻟﻠﺑرﯾد اﻟﻣزﻋﺞ .ھو اﻻﺧر .P2P Botnet Asprox Botnet ﺗم اﺳﺗﺧدام Asprox Botnetأﺻﻼ ﻓﻲ اﻟﻣﻘﺎم اﻷول ﻣن اﺟل ﺣﯾل اﻟﺧداع " ."phishing scamsﻓﻲ ﻋﺎم ،2008ﺑدأ Asprox Botnet ﻓﻲ ﺗوظﯾف اﻟﺑوت ﻻﻛﺗﺷﺎف ﺻﻔﺣﺎت اﻟﻣﻠﻘم اﻟﺿﻌﯾﻔﺔ واﻟﻧﺷطﺔ ) (ASPﻋﻠﻰ ﻣواﻗﻊ إﻋداده ﺿﻌﯾف .ﺑﻣﺟرد اﻛﺗﺷﺎﻓﮭﺎ ،ﻓﺎن اﻟﺑوت ﺗﻠﻘﺎﺋﯾﺎ ﯾﺣﺎول د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1110 اﺳﺗﺧدام ھﺟﻣﺎت SQL injectionﻣن أﺟل ﺗﺿﻣﯾن iframesﺧﺑﯾث وﺟﺎﻓﺎ ﺳﻛرﯾﺑت ﺧﺎرﺟﻲ .ﺑﻣﺟرد ان ﯾﺗم اﺧﺗراق ﻣوﻗﻊ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﻣن ﻗﺑل ،Asproxﻓﺎن ھذا اﻟﻣوﻗﻊ ﯾﻘدم ﺑﺻﻣت exploit codeاﻟﻣﺳﺗﺧدﻣﺔ ﻟﺗﻘدﯾم اﻟﺑراﻣﺞ اﻟﺿﺎرة اﻟﻰ أﺟﮭزة ﻛﻣﺑﯾوﺗر اﻟزوار. أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺻﺎﺑﺔ ﺗﺳﻌﻰ ھﻲ اﻷﺧرى اﻟﻰ ﻣواﻗﻊ ﺟدﯾدة ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﻋرﺿﺔ ﻟﻺﺻﺎﺑﺔ ،وﺑﺎﻟﺗﺎﻟﻲ ﯾﺳﺗﻣر ﻋدوى Asproxﻓﻲ اﻻﻧﺗﺷﺎر. ﯾﻌﺗﻘد أن اﻟﺗﻐﯾﯾر ﻣن ھﺟﻣﺎت اﻟﺗﺻﯾد اﻟﻰ SQL injectionھﻲ ﺧطوة ﻣن ﺟﺎﻧب ﻣﮭﺎﺟﻣﯾن Asproxﻟﺑﻧﺎء ﺷﺑﻛﺔ روﺑوﺗﺎت أﻛﺑر .ﻓﻌل ھذا ﻣﻛن اﻟروﺑوﺗﺎت Asproxإﻟﻰ وﺿﻌﮫ ﺑﺎﻋﺗﺑﺎره اﻟروﺑوﺗﺎت ﻣﻘﺎﺑل اﻻﺳﺗﺋﺟﺎر ،واﻟﺗﻲ ﻣن ﺷﺄﻧﮭﺎ ﺗﻣﻛن اﻟﻣﮭﺎﺟﻣﯾن Asproxﻟﺑﯾﻊ ﻣﺳﺎﺣﺔ أو ﺧدﻣﺎت ﻟﻘﺎء رﺳوم .ﺣﯾث ﻋﺎدة ،ﯾﺗم اﺳﺗﺧدام اﻟﺑوﺗﻧت ﻣﻘﺎﺑل اﻟﻣﺎل ﻓﻲ ﻛل ﺷﻲء ﻣن ھﺟﻣﺎت اﻟﺗﺻﯾد ﻟﺳرﻗﺔ وﺛﺎﺋﻖ اﻟﺗﻔوﯾض اﻟﻣﺻرﻓﻲ ،إﻟﻰ اﺳﺗﮭداف اﻟﺷرﻛﺎت ﻟﺳرﻗﺔ اﻟﻣﻠﻛﯾﺔ اﻟﻔﻛرﯾﺔ واﻟﺣﻛوﻣﺎت ،إﻟﻰ اﻟﻘﯾﺎم ﺑدور اﻟﺑرﯾد اﻟﻣزﻋﺞ وﺣﺻﺎد اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ. Gumblar Botnet ،Gumblarاﻟﻣﻌروف ﻓﻲ اﻟﯾﺎﺑﺎن ﺑﺎﺳم ،Genoوھو ﺑوﺗﻧت ﻓرﯾدة ﻣن ﻧوﻋﮫ -أﻧﮫ ﯾﻧﺷﺄ ﻟﯾس ﻓﻘط ﺷﺑﻛﺔ اﻟروﺑوﺗﺎت ﻣن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺧﺗرﻗﺔ ،ﻓﺈﻧﮫ ﻟﻛﻧﮫ أﯾﺿﺎ backdoorsﻟﻠﻣواﻗﻊ اﻟﻣﺧﺗرﻗﺔ واﻟﺗﻲ ﺗﻣﻛن اﺳﺗﻣرار اﻟوﺻول ﻋن ﺑﻌد واﻟﺗﻼﻋب .اﻛﺗﺷف Gumblarأوﻻ ﻣن ﻗﺑل اﻟﺑﺎﺣﺛﯾن ScanSafeﻓﻲ ﻣﺎرس Gumblar .2009ﯾﻧﺗﺷر ﻋن طرﯾﻖ ﺣﻘن iframesاﻟﺧﺑﯾﺛﺔ ﻋﻠﻰ ﻣواﻗﻊ اﻻﻧﺗرﻧت اﻟﻣﺧﺗرﻗﺔ .زوار ﺗﻠك اﻟﻣواﻗﻊ ﯾﺗم ﺗﺳﻠﯾﻣﮭﺎ ﺑﺻﻣت exploit codeواﻟﺗﻲ ،ﻓﻲ ﺣﺎل ﻧﺟﺎﺣﮭﺎ ،ﯾﺗم ﺗﺣﻣﯾل Gumblarﻣﺳﺗﺗر ﺑﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر اﻟﻌرﺿﺔ ﻟﻺﺻﺎﺑﺔ. Gumblarﯾﺳرق أوراق اﻋﺗﻣﺎد ﺑروﺗوﻛول ﻧﻘل اﻟﻣﻠﻔﺎت ﻣن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺻﺎﺑﺔ ،وإرﺳﺎل أوراق اﻋﺗﻣﺎد اﻟﻣﺳروﻗﺔ ﻟﻠﻣﮭﺎﺟﻣﯾن ﻋن ﺑﻌد .ھؤﻻء اﻟﻣﮭﺎﺟﻣﯾن ﯾدﺧﻠون إﻟﻰ أي ﻣن اﻟﻣواﻗﻊ اﻟﻣﻣﻠوﻛﺔ ﻣن ﻗﺑل اﻟﺿﺣﺎﯾﺎ ،ﺣﻘن ﺗﻠك اﻟﻣواﻗﻊ ﻣﻊ iframesاﻟﺧﻔﻲ وﺑﺎﻟﺗﺎﻟﻲ ﺗوﺳﯾﻊ ﺷﺑﻛﺔ ﻣن اﻟﻣواﻗﻊ اﻟﻣﻌدﯾﺔ اﻵن. ﻛﺎن Gumblarاﻷﻛﺛر اﻧﺗﺷﺎرا ﻓﻲ ﻋﺎم Gumblar .2009ﯾﺳﻠم اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ إﻟﻰ ﺟﺎﻧب .backdoorﻓﻲ أﻛﺗوﺑر ،2009ﺑدأ Gumblarﺗﻘدﯾم أﻧواع ﻣن ،Zeus Trojanوﺗﺳﺗﺧدم ﻟﺗﺷﻛﯾل ﺷﺑﻛﺔ زﯾوس ﺑوﺗﻧت. Koobface Botnet Koobfaceﯾﻧﺗﺷر ﻋن طرﯾﻖ ﻣواﻗﻊ اﻟﺷﺑﻛﺎت اﻻﺟﺗﻣﺎﻋﯾﺔ ،وأﻛﺛرھﺎ ﻣن ﺧﻼل اﻟﻔﯾﺳﺑوك .ﻋﻣوﻣﺎ ،ﯾﻌﺗﻣد Koobfaceﻋﻠﻰ اﻟﮭﻧدﺳﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ ﻣن أﺟل اﻟﻧﺷر .ﺗم ﺗﺻﻣﯾم Koobface messageﻟﺧداع اﻟﻣﺗﻠﻘﯾن ﻣن ﺧﻼل اﻟﻧﻘر ﻋﻠﻰ ﻣوﻗﻊ ﻋﻠﻰ ﺷﺑﻛﺔ اﻻﻧﺗرﻧت ﻟﻼﺣﺗﯾﺎل إﻣﺎ ان ﯾدﺧل ﻋﻠﻰ اﻟﻔﯾﺳﺑوك )أو اﻟﺷﺑﻛﺎت اﻻﺟﺗﻣﺎﻋﯾﺔ اﻷﺧرى( ﻋﻠﻰ وﺛﺎﺋﻖ اﻟﺗﻔوﯾض أو ﻟﻘﺑول ﺗرﻛﯾب اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﻣﺗﻧﻛرا ﻓﻲ زي ﻓﯾدﯾو ﻛودك أو ﺗﺣدﯾث اﻟﻔﻼش. ﺗﺻﺑﺢ ﺿﺣﺎﯾﺎ Koobfaceﺟزء ﻣن ﺷﺑﻛﺔ روﺑوﺗﺎت ،Koobfaceﺗﺣت اﻟﺗﺣﻛم ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن ﻋن ﺑﻌد Koobface .ﻋﺎدة ﻣﺎ ﯾﺳﺗﺧدم ﻟﺳرﻗﺔ اﻟﺑﯾﺎﻧﺎت Koobface .ھﻲ روﺑوﺗﺎت ﻣﻘﺎﺑل أﺟر .وﺗﺑﺎع أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺻﺎﺑﺔ إﻟﻰ ﻣﻘدﻣﻲ اﻟﻌطﺎءات ،اﻟذﯾن ﻗد ﯾﻘوﻣوا ﺑدس اﻟﺑراﻣﺞ اﻟﺿﺎرة اﻟﺧﺎﺻﺔ ﺑﮭم ﻋﻠﻰ ﺗﻠك اﻟﻧظم .ﻟﮭذا اﻟﺳﺑب ،إذا ﺗم اﻟﻛﺷف ﻋن Koobfaceﯾﻧﺑﻐﻲ اﻓﺗراض أن ﻏﯾرھﺎ ﻣن اﻟﺑراﻣﺞ اﻟﺿﺎرة ﻣوﺟود ﻛذﻟك. Mariposa Botnet ﻣﺎرﯾﺑوﺳﺎ ھو اﻻﺳﺑﺎﻧﻲ ﻟﺑﺎﺗرﻟﻲ .ﻓﻲ ﻟﻐﺔ اﻟﻛﻣﺑﯾوﺗر ،ﻣﺎرﯾﺑوﺳﺎ ھو اﻟروﺑوﺗﺎت اﻟﺗﻲ ﺗم إﻧﺷﺎؤھﺎ ﻣن ﻗﺑل .Butterfly bot kitوﻋﺎدة ﻣﺎ ﯾﺗم ﻧﺗﺷر ﻣﺎرﯾﺑوﺳﺎ ﻋﺑر اﻟرﺳﺎﺋل اﻟﻔورﯾﺔ ) ،(MSN/Liveوﺷﺑﻛﺎت ﺗﺑﺎدل اﻟﻣﻠﻔﺎت peer-to-peerوگ .autorun worm ﻣﺎرﯾﺑوﺳﺎ ﯾﺳرق أﺳﻣﺎء اﻟﻣﺳﺗﺧدﻣﯾن وﻛﻠﻣﺎت اﻟﺳر وﻋﻧﺎوﯾن اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻣن اﻟﻧظم اﻟﻣﺻﺎﺑﺔ .وﯾﻣﻛن أﯾﺿﺎ أن ﯾوﺟﮫ ﺑوﺗﺎت ﻣﺎرﯾﺑوﺳﺎ ﻹطﻼق ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ اﻟﻣوزﻋﺔ ).(DDoS Conficker اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ھو ﺷﻲء ﺻﻌب اﻟﺗﻧﺑؤ ﺑﮭﺎ .أﺣﯾﺎﻧﺎ اﻟﺗﮭدﯾد ﻻ ﯾﺑدو ﻛﻣﺎ ﯾظﮭر ﻋﻠﻰ اﻟﺳﺎﺣﺔ ،ﻻ ﺳﯾﻣﺎ اﻟﻣﺗﻘدﻣﺔ اﻟﺗﻲ ﯾﻣﻛﻧﮭﺎ ﻓﻲ ﻧﮭﺎﯾﺔ اﻟﻣطﺎف ﺷن ھﺟوم ﺳﺎﺣﻖ .ﻓﻲ أوﺟﮫ ،أﺻﺎب ﻛوﻧﻔﯾﻛر اﻟﻣﻼﯾﯾن ﻣن أﺟﮭزة وﯾﻧدوز :وﺗﻘول ﺑﻌض اﻷرﻗﺎم ﻣﺎ ﯾﺻل إﻟﻰ 15ﻣﻠﯾون .ﻓﻲ اﻟﺳﯾﻧﻣﺎ ،ﻋﻧدﻣﺎ ﯾﻛون اﻟﺗﮭدﯾد ﺳﺎﺣﻘﺎ ﻟطرﯾﻘﺗﻧﺎ ﻓﻲ اﻟﺣﯾﺎة ،ﻻ ﺑد ﻣن ﺗﺷﻛﯾل ﻓرﯾﻖ ﻣن اﻟﻣﺗﺧﺻﺻﯾن ﻹﻧزال اﻟﻌدو .وﻛﺎن ھذا ﻻ ﯾﺧﺗﻠف :طوﻓﺎن ﻣن اﻹﺻﺎﺑﺔ ﻛﺎن ﻛﺑﯾرا ﺑﺣﯾث ﺗم إﻧﺷﺎء ﻓرﯾﻖ اﻟﻌﺎﻣل ﻟﻣﺣﺎرﺑﺔ ﻛوﻧﻔﯾﻛر .وﺑﯾﻧﻣﺎ ﻛﺎن ﻟدﯾﮭم ﻧﺟﺎﺣﺎ ھﺎﺋﻼ ﻓﻲ ﺧﻔض ﻋدد اﻵﻻت اﻟﺗﻲ ﻛﺎﻧت ﻣﺻﺎﺑﺔ ،وﻓﻘﺎ ﻟﻣوﻗﻊ اﻟﻔرﯾﻖ ،ﻻ ﯾزال ھﻧﺎك أﻛﺛر ﻣن ﻣﻠﯾون ﺟﮭﺎز ﻛﻣﺑﯾوﺗر ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم ﻻ ﺗزال ﺗﻌﺎﻧﻲ ،ﺑﻌد ﺳت ﺳﻧوات اﻛﺗﺷﻔت ﻷول ﻣرة. Common P2P Botnet ﻣروﻧﺔ P2P Botnetھﻲ ﺟﯾدة ﺟدا ﻟﺗﻣرﯾر ﻣﺎ ﯾﺻل ﻟﻠﻣﺣﺗﺎﻟﯾن .وﻣن أﺷﮭر ھذه اﻟﯾوم TDL4/TDSS ،ZeroAccessوZeus V3 واﻟﻣﻌروف أﯾﺿﺎ ﺑﺎﺳم .GameOver Zeus botnet ZeroAccessو TDL4/TDSSﯾﻘوﻣون ﺑﻧﺷر rootkitﺧﺑﯾﺛﺔ واﻟﺗﻲ ﺗﺻﯾب اﻟﻧظم ﻋﻠﻰ ﻣﺳﺗوى اﻟﻛﯾر ﻧل وﯾﺻﻌب اﻟﻛﺷف ﻋن وﻧظﯾﻔﺔ. ﻛل ﻣن ھذه اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﻟدﯾﮭﺎ اﻟﻘدرة ﻋﻠﻰ اﻟﻘﯾﺎم أﻛﺛر ﺑﻛﺛﯾر ﻣن ﻣﺟرد اﺣﺗﯾﺎل ﻣﺻرﻓﻲ ﺑﺳﯾط أو إرﺳﺎل اﻟﺑرﯾد اﻟﻣزﻋﺞZeroAccess . د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1111 ﯾﻣﻛﻧﮫ أﯾﺿﺎ ﺳﺣب ﻣﺧططﺎت ﻧﻘر اﻻﺣﺗﯾﺎل " "click-fraud schemesوﺗﻌﺗم ﻣواﻗﻊ اﻟﺑﺣث أو ﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت ZeroAccess .ﻗﺎﻣت ﺑﺈﺻﺎﺑﺔ ﻣﺎ ﯾﻘرب ﻣن ﻣﻠﯾون ﺟﮭﺎز ﻛﻣﺑﯾوﺗر وﯾﻛﻠف اﻟﻣﻌﻠﻧﯾن ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت أﻛﺛر ﻣن 2.7ﻣﻠﯾون دوﻻر ﻛل ﺷﮭر.
TDSS aka TDLھو ﻋﺑﺎرة ﻋن ﻣﺟﻣوﻋﺔ أدوات ﻛﺗﺎﺑﯾﺔ ﺻﻣﻣت ﻣن أﺟل اﻟرﺑﺢ .ﻟﺗﺻﯾب اﻟﻌدﯾد ﻣن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﻣﻊ ،TDSSﻛﺗﺎب TDSS/TDLﯾدﻓﻊ ﻟﻠﺗﺎﺑﻌﯾن ﻟﮫ أﺟر ﻓﻲ أي ﻣﻛﺎن ﺑﯾن 20دوﻻر إﻟﻰ 200دوﻻر ﻟﻛل 1،000ﺑوت ﻣن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺻﺎﺑﺔ .ﻛﺎﺗب TDSSﯾﻛﺳب اﻟﻣﺎل ﻋن طرﯾﻖ ﺗﺄﺟﯾر أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺻﺎﺑﺔ TDSSﻟﻶﺧرﯾن. اﻟوظﯾﻔﺔ اﻷﺳﺎﺳﯾﺔ ﻟ TDSS/TDLھﻲ ﻗدرﺗﮫ ﻋﻠﻰ إﺧﻔﺎء ﻧﻔﺳﮫ ﺑﺷﻛل ﻓﻌﺎل ﻋﻠﻰ أﺟﮭزة ﻛﻣﺑﯾوﺗر اﻟﺿﺣﯾﺔ ﻣن أﺟل اﻟﺣﻔﺎظ ﻋﻠﻰ اﻟﻣراﻗﺑﺔ اﻟﻣﺳﺗﻣرة .وھذا ﯾﺷﻣل اﻟﻘدرة ﻋﻠﻰ إﺧﻔﺎء ﻣﻔﺎﺗﯾﺢ اﻟﺗﺳﺟﯾل واﻟﻣﻠﻔﺎت واﻟﺑورﺗﺎت ،وﻗدرﺗﮭﺎ ﻋﻠﻰ ﺿﺦ اﻻﻛواد ﻓﻲ ﻋﻣﻠﯾﺎت اﻟﻧظﺎم اﻟﮭﺎﻣﺔ واﻟذاﻛرة. اﻟﻣزﯾد ﻣن اﻹﺻدارات اﻷﺧﯾرة ﻣن TDL-4ﺗﺻﯾب )} (MBR {Master Boot Recordوﺑﺎﻟﺗﺎﻟﻲ ﺗﻣﻛﯾن اﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ ﻟﻠﺳﯾطرة ﻋﻠﻰ ﺗﻣﮭﯾد اﻟﻧظﺎم. أﺷﮭر ﺑوت ﻗﺎﺋم ﻋﻠﻰ ﺷﺑﻛﺔ IRCﻷداء ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ﻓﻲ اﻟﺳوق اﻟﺳوداء: )Aryan Bot (Old version free .Updated version for 50$ )Chronic Bot (400$ )Celsius Bot (500$ أﺷﮭر ﺑوت ﻗﺎﺋم ﻋﻠﻰ HTTPﻷداء ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ﻓﻲ اﻟﺳوق اﻟﺳوداء: )μBOT (60$ )AnonHTTP (50$ )Andromeda v2 (750$ with Ring3 rootkit support أﺷﮭر ﺑوت ﻗﺎﺋم ﻋﻠﻰ P2Pﻷداء ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ﻓﻲ اﻟﺳوق اﻟﺳوداء: THOR. It 'sold at price of $ 8,000
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1112 10.6أدوات ھﺠﻤﺎت اﻟﺤﺮﻣﺎن ﻣﻦ اﻟﺨﺪﻣﺔ )(DOS TOOLS ﻓﻲ ﺣﯾن أن ﺑﻌض اﻟﻘراﺻﻧﺔ ھم ﻣﺗطورﯾن ﺑﻣﺎ ﯾﻛﻔﻲ ﻹﻧﺷﺎء أﻛواد اﻟﮭﺟوم اﻟﺧﺎﺻﺔ ﺑﮭم ،وﻟﻛن اﻻﻛﺛر ﺷﯾوﻋﺎ ﺗﺳﺗﺧدم اﻻﻛواد اﻟﻣﻛﺗوﺑﺔ ﻣن ﻗﺑل اﻵﺧرﯾن .ﻣﺛل ھذه اﻻﻛواد ﺗم ﺑﻧﺎﺋﮭﺎ ﻋﺎدة ﻟﻠﻌﺎﻣﺔ ،ﺣزﻣﺔ ﺳﮭﻠﺔ اﻻﺳﺗﺧدام ﻋﺎدة ﯾطﻠﻖ ﻋﻠﯾﮭﺎ اﺳم .attack toolkitوھﻲ ﺷﺎﺋﻌﮫ ﺟدا اﻟﯾوم ﻟﻠﻣﮭﺎﺟﻣﯾن ﻹرﻓﺎق ﻋدد ﻛﺑﯾر ﻣن اﻟﺑراﻣﺞ ﻓﻲ ﻣﻠف أرﺷﯾف واﺣد ،وﻏﺎﻟﺑﺎ ﯾﻛون ﻣﻌﮭﺎ ﻣﻠﻔﺎت اﻟﺳﻛرﯾﺑت اﻟﺗﻲ ﺗﻘوم ﺑﻌﻣﻠﯾﺔ اﻟﺗﻧﺻﯾب ﺑطرﯾﻘﮫ اﻟﯾﮫ. ھذا ھو اﻟﺗﮭدﯾد اﻟﻣﺧﻠوط " ،"blended threatﻛﻣﺎ ﺳﯾﻧﺎﻗش ﻻﺣﻘﺎ. ﺑﻌض ﺑراﻣﺞ دوس اﻷﻛﺛر ﺷﻌﺑﯾﺔ ﻗدﯾﻣﺎ ""Some Popular DDoS Programs ﻓﻲ ﺣﯾن أن ھﻧﺎك اﻟﻌدﯾد ﻣن اﻻﺳﻛرﯾﺑﺎت "اﻟﺑراﻣﺞ اﻟﻧﺻﯾﺔ" واﻟﺗﻲ ﺗﺳﺗﺧدم ﻓﻲ ﻋﻣﻠﯾﺔ اﻟﻔﺣص ،اﻻﺧﺗراق وإﺻﺎﺑﺔ آﻻت اﻟﺿﻌﯾﻔﺔ ،وﻻ ﯾوﺟد ﺳوى ﻋدد ﻗﻠﯾل ﻣن أدوات اﻟﮭﺟوم دوس اﻟﺗﻲ اﺳﺗﺧدﻣت ﻟﺗﻧﻔﯾذ اﻟﮭﺟﻣﺎت اﻟﻔﻌﻠﯾﺔ .ﻟﻣﺣﺔ ﻣﻔﺻﻠﺔ ﻋن ھذه اﻷدوات ،ﺑﺟﺎﻧب وﺿﻊ ﺟدول زﻣﻧﻲ ﻟﻣظﮭرھﺎ .أدوات ھﺟوم دوس ﺗﺧﺗﻠف ﻣﻌظﻣﮭﺎ ﻓﻲ آﻟﯾﺔ اﻟﺗواﺻل اﻟﻣﻧﺗﺷرة ﺑﯾن اﻟﻣﻌﺎﻟﺟﺎت " "handlersواﻟوﻛﻼء " ،"agentsواﻟﺗﺧﺻﯾﺻﺎت اﻟﺗﻲ ﯾﻘدﻣوﻧﮭﺎ ﻟﺗوﻟﯾد اﻟﮭﺟوم ﻋﻠﻰ ﺣرﻛﺔ اﻟﻣرور .وﺗﻘدم اﻟﻔﻘرات اﻟﺗﺎﻟﯾﺔ ﻟﻣﺣﺔ ﻣوﺟزة ﻋن ھذه اﻷدوات ذات اﻟﺷﻌﺑﯾﺔ .اﻟﻘﺎرئ ﯾﺟب أن ﯾﺿﻊ ﻓﻲ اﻋﺗﺑﺎره أن ﻣﻼﻣﺢ ﻣﻧﺎﻗﺷﺗﮭﺎ ﻓﻲ ھذه اﻟﻧظرة ھﻲ ﺗﻠك اﻟﺗﻲ ﻟوﺣظت ﻓﻲ ﺣﺎﻻت اﻟﻛﺷف ﻋن أﻛواد اﻟﮭﺟوم ﻋﻠﻰ ﺑﻌض اﻷﺟﮭزة اﻟﻣﺻﺎﺑﺔ .اﻟﻌدﯾد ﻣن اﻻﺧﺗﻼﻓﺎت ﻗد )وﺳوف( ﺗﻛون ﻣوﺟودة واﻟﺗﻲ ﻟم ﯾﺗم اﻛﺗﺷﺎﻓﮭﺎ وﺗﺣﻠﯾﻠﮭﺎ. Trinoo ﻛﺎن ) Trinooاﻟﻣﻌروف أﯾﺿﺎ ﺑﺎﺳم (trin00أول ھﺟوم DDOSﻣﻌروف اﺳﺗﺧدم ﺿد ﺟﺎﻣﻌﺔ ﻣﯾﻧﯾﺳوﺗﺎ ﻓﻲ أﻏﺳطس .1999وھذا اﻟﮭﺟوم ﻛﺎن ﻟﻣدة ﯾوﻣﯾن ﺣﯾث ﻗﺎم ﺑﺈﻏراق اﻟﺧوادم ﻣﻊ ﺣزم UDPاﻟﻘﺎدﻣﺔ ﻣن ﺧﻣﺳﺔ آﻻف ﺟﮭﺎز .ﻋﻧﺎوﯾن اﻟﻣﺻدر ﻟم ﺗﻛن ،spoofedﻟذﻟك ﺗم اﻻﺗﺻﺎل ﻣﻊ اﻧظﻣﺔ اﻟﺧوادم اﻟوﻗﺎﺋﯾﺔ .وﻣﻊ ذﻟك ،رد اﻟﻣﮭﺎﺟم ﺑﺑﺳﺎطﺔ ﻋن طرﯾﻖ إدﺧﺎل آﻻت ﺟدﯾدة ﻓﻲ اﻟﮭﺟوم .ﺗم اﻟﻌﺛور ﻋﻠﻰ Trinooأوﻻ گ binary daemonﻋﻠﻰ ﻋدد ﻣن أﻧظﻣﺔ ﺳوﻻرﯾس اﻹﺻدار x.2اﻟﻣﺧﺗرﻗﺔ. أدﺧﻠت اﻟﺷﯾﻔرات اﻟﺧﺑﯾﺛﺔ ﻣن ﺧﻼل اﺳﺗﻐﻼل buffer over-run bugsﻓﻲ ﺧدﻣﺎت "remote procedure call " RPCواﻟﺗﻲ ھﻲ "' ' ' cmsd،statdو' ) ."ttdbserverdاﻧظر CERT IN-99-04ﻟﻠﺣﺻول ﻋﻠﻰ وﺻف ﻟﮭذه اﻟﻣﺂﺛر(. Trinoo or trin00ھو ﻣﺟﻣوﻋﺔ ﻣن ﺑراﻣﺞ اﻟﻛﻣﺑﯾوﺗر ﻹﺟراء ھﺟوم دوس .وﯾﻌﺗﻘد أن ﺷﺑﻛﺎت trinooأﻧﺷﺋت ﻋﻠﻰ اﻵﻻف ﻣن اﻟﻧظم ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت اﻟﺗﻲ ﺗم اﺧﺗراﻗﮭﺎ ﺑﺳﺑب اﺳﺗﻐﻼل ﺗﺟﺎوز ﺳﻌﺔ اﻟﻣﺧزن اﻟﻣؤﻗت ﻋن ﺑﻌد Trinoo .ﯾﺳﺗﺧدم ﻣﻌﻣﺎرﯾﺔ ،handler/agentﺣﯾث ﯾرﺳل اﻟﻣﮭﺎﺟم اﻷواﻣر إﻟﻰ اﻟﻣﻌﺎﻟﺞ " "handlerﻋﺑر TCPواﻟﻣﻌﺎﻟﺟﺎت " "handlerواﻟوﻛﻼء " "agentﯾﺗواﺻﻠوا ﻣﻊ ﺑﻌض ﻋﺑر .UDP ﻛل ﻣن اﻟﻣﻌﺎﻟﺞ " "handlerواﻟوﻛﻼء " "agentﯾﻛوﻧﺎ ﻣﺣﻣﯾﯾن ﺑﻛﻠﻣﺔ اﻟﺳر ﻓﻲ ﻣﺣﺎوﻟﺔ ﻟﻣﻧﻊ اﻻﺳﺗﯾﻼء ﻋﻠﯾﮭﺎ ﻣن ﻗﺑل ﻣﮭﺎﺟم اﺧرTrinoo . ﯾوﻟد ﺣزم UDPذات ﺣﺟم ﻣﻌﯾن ﻟﻣﻧﺎﻓذ ﻋﺷواﺋﯾﺔ ﻓﻲ واﺣد أو ﻋدة ﻋﻧﺎوﯾن ﻣﺳﺗﮭدﻓﺔ ،وﺧﻼل ﻓﺗرة زﻣﻧﯾﺔ ﻣﺣددة ﻣن اﻟﮭﺟوم. وﺗم وﺻف أول ﺣﺎدث ﻟﮭﺟﻣﺎت trinooﻓﻲ .CERT Incident Note 99-04ﺗم ﺗوﺻﯾل ﺷﺑﻛﺔ trinooﻓﻲ ﻓﺑراﯾر 2000ﻷداء ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ اﻟﻣوزﻋﺔ ﻋﻠﻰ ﻣوﻗﻊ ﯾﺎھو. Trinooﺗﺷﺗﮭر ﺑﺎﻟﺳﻣﺎح اﻟﻣﮭﺎﺟﻣﯾن ﻟﺗرك رﺳﺎﻟﺔ ﻓﻲ ﻣﺟﻠد ﯾﺳﻣﻰ .cry_babyاﻟﻣﻠف ﯾﻘوم ﺑﺗﻛرار ﻧﻔﺳﮫ اﻟﯾﺎ وﯾﺗم ﺗﻌدﯾل ﻋﻠﻰ أﺳﺎس ﻣﻧﺗظم ﻣﺎ دام اﻟﻣﻧﻔذ 80ﻧﺷطﺎ. Trinooﻛﺎن ﻣﺻﻣم ﻷﻧظﻣﺔ ﺳوﻻرﯾس ﻟذا ظﮭر wintrinooواﻟﻣوﺟﮫ ﻷﻧظﻣﺔ اﻟﺗﺷﻐﯾل وﯾﻧدوز .ﻟﻘراءة اﻟﻣزﯾد ﻋﻧﮫ ﯾﻣﻛﻧك زﯾﺎرة اﻟرواﺑط اﻟﺗﺎﻟﯾﺔ: http://www.sans.org/security-resources/idfaq/trinoo.php http://staff.washington.edu/dittrich/misc/trinoo.analysis )Tribe Flood Network (TFN ﯾﺳﺗﺧدم ﻧوع ﻣﺧﺗﻠف ﻣن اﻟﺑﻧﯾﺔ .handler/agentﯾﺗم إرﺳﺎل اﻷواﻣر ﻣن اﻟﻣﻌﺎﻟﺞ " "handlerﻟﺟﻣﯾﻊ اﻟوﻛﻼء " "agentﻣن ﺧﻼل ﺳطر اﻷواﻣر .اﻟﻣﮭﺎﺟم ﻻ "ﯾﻘوم ﺑﺗﺳﺟﯾل دﺧول" إﻟﻰ اﻟﻣﻌﺎﻟﺞ " "handlerﻛﻣﺎ ھو اﻟﺣﺎل ﻣﻊ trinooأو .Stacheldrahtﯾﻣﻛن ﻟﻠﻌﻣﻼء ﺷن ،ICMP Echo flood ،TCP SYN Flood ،UDP Floodوھﺟﻣﺎت Smurfﻋﻠﻰ ﻣﻧﺎﻓذ ﻣﻌﯾﻧﮫ ﻋﻠﻰ اﻟﺿﺣﯾﺔ أو ﻋﺷواﺋﯾﺔ .اﻟﻣﮭﺎﺟم ﯾدﯾر اﻷواﻣر ﻣن اﻟﻣﻌﺎﻟﺞ " "handlerﺑﺎﺳﺗﺧدام أي ﻋدد ﻣن وﺳﺎﺋل اﻻﺗﺻﺎل )ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل،remote shell bound to a TCP port ، ICMP-based client/server shells ،UDP-based client/server remote shellsﻣﺛل ،SSH terminal sessions ،LOKIأو .(normal telnet TCP terminal sessionsوﯾﺗم ﺗﺣﻘﯾﻖ اﻟﺗﺣﻛم ﻋن ﺑﻌد ﻟوﻛﻼء TFNﻋﺑر ﺣزم .ICMP Echo Replyﯾﺗم ﺗرﻣﯾز ﻛﺎﻓﺔ اﻷواﻣر اﻟﻣرﺳﻠﺔ ﻣن اﻟﻣﻌﺎﻟﺞ " "handlerﻟﻠوﻛﻼء " "agentﻣن ﺧﻼل ﺣزم ،ICMPوﻟﯾس ﻧص واﺿﺢ ،ﻣﻣﺎ ﯾﻌوق اﻟﻛﺷف ﻋﻧﮭﺎ .ﻟﻘراءة وﺻف ﻛﺎﻣل ﻟﮫ ﯾﻣﻛﻧك زﯾﺎرة اﻟراﺑط اﻟﺗﺎﻟﻲ: د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1113 http://staff.washington.edu/dittrich/misc/tfn.analysis Stacheldraht )ﺗﻌﻧﻰ ﺑﺎﻷﻟﻣﺎﻧﯾﺔ "اﻷﺳﻼك اﻟﺷﺎﺋﻛﺔ ) ("(barbed wireﯾﺟﻣﻊ ﺑﯾن ﻣﻼﻣﺢ اﻷداة trinooواﻷداة TFNوﯾﺿﯾف اﻻﺗﺻﺎﻻت اﻟﻣﺷﻔرة ﺑﯾن اﻟﻣﮭﺎﺟم واﻟﻣﻌﺎﻟﺟﺎت " ."handlerﯾﺳﺗﺧدم Stacheldrahtاﻟ TCPﻟﺗﺷﻔﯾر اﻻﺗﺻﺎل ﺑﯾن اﻟﻣﮭﺎﺟم واﻟﻣﻌﺎﻟﺟﺎت " ،"handlerو TCPأو ICMPﻟﻼﺗﺻﺎل ﺑﯾن اﻟﻣﻌﺎﻟﺞ " "handlerواﻟوﻛﻼء " ."agentوأﺿﺎف ﻣﯾزة أﺧرى ھﻲ اﻟﻘدرة ﻋﻠﻰ أداء اﻟﺗﺣدﯾﺛﺎت اﻟﺗﻠﻘﺎﺋﯾﺔ ﻣن اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ ﻟﻠوﻛﯾل .اﻟﮭﺟﻣﺎت اﻟﻣﺗﺎﺣﺔ ،ICMP Echo flood ،TCP SYN flood ،UDP floodوھﺟﻣﺎت .Smurf Shaft ھﻲ أداة دوس ﺗﺣﺗوي ﻋﻠﻰ ﻣﺟﻣوﻋﺔ ﻣن اﻟﻣﯾزات اﻟﻣﺷﺎﺑﮭﺔ ﻟﺗﻠك اﻟﻣوﺟودة ﻓﻲ ،TFN ،trinooو .Stacheldrahtاﻟﻣﯾزات اﻟﻣﺿﺎﻓﺔ ھﻲ اﻟﻘدرة ﻋﻠﻰ ﺗﺑدﯾل ﻣﻧﺎﻓذ اﻟﻣﻌﺎﻟﺞ واﻟوﻛﻼء ﻋﻠﻰ اﻟطﺎﯾر )وﺑﺎﻟﺗﺎﻟﻲ ﺗﻌرﻗل اﻟﻛﺷف ﻋن اﻷداة ﻋن طرﯾﻖ أﻧظﻣﺔ ﻛﺷف اﻟﺗﺳﻠل( ،و "اﻟﺗذﻛرة )"(ticket آﻟﯾﺔ ﻟرﺑط اﻟﻣﻌﻠﻣﺎت ،واھﺗﻣﺎم ﺧﺎص ﻓﻲ إﺣﺻﺎﺋﯾﺎت اﻟﺣزﻣﺔ Shaft .ﯾﺳﺗﺧدم UDPﻟﻠﺗواﺻل ﺑﯾن اﻟﻣﻌﺎﻟﺟﯾن واﻟوﻛﻼء .وﯾﺗﺣﻘﻖ اﻟﺗﺣﻛم ﻋن ﺑﻌد ﻋﺑر اﺗﺻﺎل telnetﺑﺳﯾط ﻣن اﻟﻣﮭﺎﺟم إﻟﻰ اﻟﻣﻌﺎﻟﺞ .ﯾﺳﺗﺧدم " Shaftاﻟﺗذاﻛر" ﻟﺗﺗﺑﻊ اﻟوﻛﻼء اﻟﻔردﯾﯾن .ﻛل أﻣر ﯾرﺳل إﻟﻰ اﻟوﻛﯾل ﯾﺣﺗوي ﻋﻠﻰ ﻛﻠﻣﺔ اﻟﺳر واﻟﺗذﻛرة .ﺳواء ﻛﻠﻣﺎت اﻟﺳر وأرﻗﺎم اﻟﺗذاﻛر ﯾﺟب أن ﺗﺗطﺎﺑﻖ ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠوﻛﯾل ﻟﺗﻧﻔﯾذ اﻟطﻠبSimple letter shifting . ) (Caesar cipherﯾﺳﺗﺧدم ﻛﻠﻣﺎت اﻟﺳر ﻏﺎﻣﺿﺔ ﻓﻲ اﻷواﻣر اﻟﻣرﺳﻠﺔ .ﯾﻣﻛن ﻟﻠﻌﻣﻼء ﺗوﻟﯾد ICMP ،TCP SYN flood ،UDP flood ،floodأو ﻛل أﻧواع اﻟﮭﺟوم اﻟﺛﻼﺛﺔ .اﻟ Floodﯾﺣدث ﻓﻲ رﺷﻘﺎت ﻣن 100ﻣن اﻟﺣزم ﻟﻛل ﻣﺿﯾف ،ﻣﻊ ﻣﻧﻔذ اﻟﻣﺻدر وﻋﻧوان اﻟﻣﺻدر ﻋﺷواﺋﯾﺎ .ﯾﻣﻛن ﻟﻠﻣﻌﺎﻟﺟﺎت إﺻدار أﻣر ﺧﺎص ﻟﻠﻌﻣﻼء ﻟﻠﺣﺻول ﻋﻠﻰ إﺣﺻﺎءات ﺣول ﺣرﻛﺔ اﻟﻣرور اﻟﺿﺎرة اﻟﻧﺎﺗﺟﺔ ﻋن ﻛل وﻛﯾل .وﯾﺷﺗﺑﮫ ﻓﻲ أن ھذا ﯾﺳﺗﺧدم ﻟﺣﺳﺎب اﻟﻌﺎﺋد ﻣن ﺷﺑﻛﺔ اﻟدوس. )Tribe Flood Network 2000 (TFN2K ھو ﻧﺳﺧﺔ ﻣﺣﺳﻧﺔ ﻣن أداة اﻟﮭﺟوم .TFNوھو ﯾﺗﺿﻣن اﻟﻌدﯾد ﻣن اﻟﻣﯾزات اﻟﻣﺻﻣﻣﺔ ﺧﺻﯾﺻﺎ ﻟﺟﻌل ﺣرﻛﺔ ﻣرور TFN2Kﺻﻌﺑﺔ اﻟﺗﻌرف ﻋﻠﯾﮭﺎ وﻓﻠﺗرﺗﮭﺎ ،ﺗﻧﻔﯾذ اﻷواﻣر ﻋن ﺑﻌد ،ﻟﺗﻌﺗم اﻟﻣﺻدر اﻟﺣﻘﯾﻘﻲ ﻟﻠﺣرﻛﺔ ،ﻟﻧﻘل ﺣرﻛﺔ ﻣرور TFN2Kﻋﺑر ﺑروﺗوﻛوﻻت ﻣﺗﻌددة ﺑﻣﺎ ﻓﻲ ذﻟك ،TCP ،UDPو ،ICMPوإرﺳﺎل ﺣزم " "decoyﻹرﺑﺎك ﻣﺣﺎوﻻت ﺗﺣدﯾد ﻣوﻗﻊ اﻟﻌﻘد اﻷﺧرى ﻓﻲ ﺷﺑﻛﺔ TFN2K .TFN2Kﯾﻌﺗم اﻟﻣﺻدر اﻟﺣﻘﯾﻘﻲ ﻟﺣرﻛﺔ اﻟﻣرور ﺑﺎﺳﺗﺧدام طرﯾﻘﺔ ﺧداع ﻋﻧﺎوﯾن اﻟﻣﺻدر .وﯾﻣﻛن اﻟﻣﮭﺎﺟﻣﯾن اﻻﺧﺗﯾﺎر ﺑﯾن اﻟﺗﺣﺎﯾل واﻟﺧداع اﻟﻌﺷواﺋﻲ او اﻟﺗﺣﺎﯾل ﺿﻣن ﻧطﺎق ﻣﻌﯾن ﻣن اﻟﻌﻧﺎوﯾن .ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ،Floodingﯾﻣﻛن TFN2Kأﯾﺿﺎ ﺗﻧﻔﯾذ ﺑﻌض ھﺟﻣﺎت ﻧﻘﺎط اﻟﺿﻌف ﻋن طرﯾﻖ إرﺳﺎل ﺣزم ﺗﺎﻟﻔﺔ أو ﻏﯾر ﺻﺎﻟﺣﺔ. Mstream ﯾوﻟد ﻓﯾﺿﺎﻧﺎ ﻣن ﺣزم TCPﻣﻊ ﻣﺟﻣوﻋﺔ ﺑت .ACKاﻟﻣﻌﺎﻟﺟﺎت ﯾﻣﻛن اﻟﺗﺣﻛم ﺑﮭﺎ ﻋن ﺑﻌد ﻋن طرﯾﻖ واﺣد أو أﻛﺛر ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن ﺑﺎﺳﺗﺧدام ﺗﺳﺟﯾل اﻟدﺧول اﻟﻣﺣﻣﻲ ﺑﻛﻠﻣﺔ ﻣرور اﻟﺗﻔﺎﻋﻠﻲ .اﻻﺗﺻﺎﻻت ﺑﯾن اﻟﻣﮭﺎﺟم واﻟﻣﻌﺎﻟﺟﺎت ،واﻟﻣﻌﺎﻟﺞ واﻟوﻛﻼء ،ﯾﺗم اﻋدادھﺎ ﻓﻲ وﻗت اﻟﺗرﺟﻣﺔ " "compile timeوﺗﻧوﻋت ﺑﺷﻛل ﻛﺑﯾر .ﺗزﯾﯾف ﻋﻧﺎوﯾن اﻟﻣﺻدر ﻓﻲ ﺣزم اﻟﮭﺟوم ﻋﺷواﺋﯾﺎ .اﻟﮭﺟوم TCP ACKﯾﺳﺗﻧﻔد ﻣوارد اﻟﺷﺑﻛﺔ ،وﻣن اﻟﻣرﺟﺢ أن ﯾﺗﺳﺑب ﻓﻲ TCP RSTﻟﯾﺗم إرﺳﺎﻟﮭﺎ إﻟﻰ ﻋﻧوان اﻟﻣﺻدر اﻟﻣﻐﺷوش )ﯾﺣﺗﻣل أﯾﺿﺎ اﺳﺗﮭﻼك bandwidthﻓﻲ ﺟﮭﺎز اﻟﺿﺣﯾﺔ(. Trinity ھﻲ أداة دوس اﻷوﻟﻰ اﻟﺗﻲ ﯾﺗم اﻟﺗﺣﻛم ﻓﯾﮭﺎ ﻋن طرﯾﻖ .IRCﻣن ﺧﻼل اﻻﺧﺗراق واﻟﻌدوى ﻋن طرﯾﻖ ،Trinityﻛل ﺟﮭﺎز ﯾﻧﺿم إﻟﻰ ﻗﻧﺎة IRCﻣﺣدده وﯾﻧﺗظر اﻷواﻣر .اﺳﺗﺧدام ﺧدﻣﺔ IRCاﻟﺷرﻋﯾﺔ ﻟﻼﺗﺻﺎل ﺑﯾن اﻟﻣﮭﺎﺟم واﻟوﻛﻼء واﺳﺗﺑدال اﻟﻣﻌﺎﻟﺞ اﻟﻣﺳﺗﻘل اﻟﻛﻼﺳﯾﻛﻲ وﯾرﻓﻊ ﻣﺳﺗوى اﻟﺧطر Trinity .ﻗﺎدر ﻋﻠﻰ إطﻼق ﻋدة أﻧواع ﻣن ھﺟﻣﺎت اﻟﻔﯾﺿﺎﻧﺎت ﻋﻠﻰ ﻣوﻗﻊ اﻟﺿﺣﯾﺔ ،ﺑﻣﺎ ﻓﻲ ذﻟك ،IP fragment ،UDP ،TCP ACK ،TCP RST ،TCP SYNوﻓﯾﺿﺎﻧﺎت أﺧرى. ﻣن أواﺧر ﻋﺎم 1999ﺣﺗﻰ ﻋﺎم ،2001ﻛﺎﻧت أدوات اﻟﮭﺟوم Stacheldrahtو TFN2Kاﻷﻛﺛر ﺷﻌﺑﯾﺔ .ﺗم رﺑط وﻛﻼءStacheldraht ﻓﻲ إﺻدار t0rnkit rootkitو .variant of the 2001 Ramen wormوﺗﺿﻣﻧت اﻟدودة i0n1ﻓﻲ ﻛود وﻛﻼء .TFN2K ﻋﻠﻰ اﻟﺟﺎﻧب اﻟوﯾﻧدوز ،ﻛﺎن ھﻧﺎك ﻋدد ﻛﺑﯾر ﻣن ﺣزم rootkit bundlesاﻟﺧﻔﯾﺔ ذات اﻟﺗﮭدﯾد اﻟﻣﺧﻠوط واﻟﺗﻰ ﺗﺗﺿﻣن knight.cأو " kaiten.cﺑوﺗﺎت دوس" .ﺗم ﺗرﻣﯾز TFN2Kﺧﺻﯾﺻﺎ ﻟﯾﺗم ﺗﺟﻣﯾﻌﮫ ﻋﻠﻰ وﯾﻧدوز ،NTوﻛﻣﺎ ﺗم اﻟﻧظر إﻟﻰ إﺻدارات اﻟوﻛﯾل trinooﻋﻠﻰ أﻧظﻣﺔ اﻟوﯾﻧدوز .ﻓﻲ اﻟواﻗﻊ ،ﺗم ﺗرﻣﯾز knight.cأﺻﻼ ﻷﻧظﻣﺔ ﯾوﻧﻛس ،وﻟﻛن ﯾﻣﻛن ﺗﺟﻣﯾﻌﮭﺎ ﻣﻊ .Cygwin development libraries ﺑﺎﺳﺗﺧدام ھذه اﻟطرﯾﻘﺔ ،ﻛﺎن ﻣن اﻟﻣﻌﻘول أن ﯾﻛون أي ﻣﻧﻔذ وﯾﻧدوز ﺗﻘرﯾﺑﺎ ﻣﻌرض ﻷي ﻣن ﺑرﻧﺎﻣﺞ ﻟﯾوﻧﻛس دوس ،وﻓﻲ اﻟواﻗﻊ ﯾﺗم ﺗﺳﻠﯾم ﺑﻌض ﺣزم اﻟﺗﮭدﯾد اﻟﻣﺧﻠوطﺔ اﻟﻰ وﯾﻧدوز ﻣﺿﻐوطﺔ ﺑﺗﻧﺳﯾﻖ Unix tar-formatted archivesاﻟﺗﻲ ﯾﺗم ﺗﻔﻛﯾﻛﮭﺎ ﻣن ﻗﺑل: Cygwin-compiled version of GNU tar
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1114 )Agobot (Phatbot Agobotو ﻧﺳﻠﮫ Phatbotﺷﮭد ﻟﮭم اﺳﺗﺧدام واﺳﻊ ﻟﻠﻐﺎﯾﺔ ﻓﻲ ﻋﺎم 2003وﻋﺎم .2004ھذا اﻟﺗﮭدﯾد ﺗم ﺧﻠطﮭم ﻓﻲ ﺑرﻧﺎﻣﺞ واﺣد واﻟذي ذھب اﻟﺑﻌض اﻟﻰ ﺗﺳﻣﯾﺗﮫ " "Swiss army knifeﻣن أدوات اﻟﮭﺟوم Phatbot .ﯾﻧﻔذ ﻧوﻋﯾن ﻣن ،ICMP floods ،UDP floods ،SYN floods ) Targa floodﺑروﺗوﻛول IPﻋﺷواﺋﻲ ، fragmentation and fragment offset values ،وﻋﻧوان اﻟﻣﺻدر ﻣزﯾف(wonk flood ، )ﺣزﻣﺔ SYNواﺣد ،ﺗﻠﯾﮭﺎ 1،023ﻣن ﺣزم ،(ACKو recursive HTTP GET floodأو HTTP GET floodواﺣد ﻣﻊ ﺗﺄﺧﯾر ﻓﻲ اﻟﺳﺎﻋﺎت ﻣدﻣﺞ )إﻣﺎ ﺗﻌﯾن ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدم أو اﺧﺗﯾﺎره ﻋﺷواﺋﯾﺎ( .ھذا اﻷﺧﯾر ،ﻋﻧدﻣﺎ ﯾﺗم اﻟﺗوزﯾﻊ ﻋﺑر ﺷﺑﻛﺔ ﻣن ﻋﺷرات أو ﻣﺋﺎت اﻵﻻف ﻣن اﻟﻣﺿﯾﻔﯾن ،واﻟﺗﻲ ﺳوف ﺗﺑدو وﻛﺄﻧﮭﺎ ﻧﻣط طﺑﯾﻌﻲ ﻟﻠﺣرﻛﺔ HTTPاﻟﺗﻲ ﺳﯾﻛون ﻣن اﻟﺻﻌب ﺟدا ﻛﺷﻔﮭﺎ وﻣﻧﻊ ﺑﻌض آﻟﯾﺎت اﻟدﻓﺎع. :Ping of deathاو ﻣﺎ ﯾﺳﻣﻰ ﺑﯾﻧﺞ اﻟﻣوت أي ﺑرﻧﺎﻣﺞ ﺑﯾﻧﺞ ﻟﺗﺧﻠﯾﻖ ﺣزﻣﮫ IPﺗﺗﻌدى اﻟﺣد اﻷﻗﺻﻰ ) 65536ﺑﺎﯾت( ﻣن اﻟﺑﯾﺎﻧﺎت اﻟﻣﺳﻣوح ﺑﮭﺎ ﻟﺣزﻣﺔ .IPو ﺗﻠك اﻟﺣزﻣﺔ ﯾﻘوم ﺑﺈرﺳﺎﻟﮭﺎ إﻟﻰ أي ﻧظﺎم ﻣن اﻟﻣﻣﻛن ﻟﮭذا اﻟﻧظﺎم أن ﯾﻧﮭﺎر أو ﯾﺗوﻗف ﻋن اﻟﻌﻣل أو ﯾﻌﯾد اﻟﺗﺷﻐﯾل ﻣن ﺗﻠﻘﺎء ﻧﻔﺳﮫ .وﺗﻠك اﻟﮭﺟﻣﺔ ﻟﯾﺳت ﺑﺟدﯾده وﻛل ﻣﻧﺗﺟﻲ أﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﻗﺎﻣوا ﺑﻌﻼﺟﮭﺎ. :LANDھو ھﺟوم ) (Local Area Network Denialوھو ھﺟوم دوس و اﻟذي ﯾﺗﻛون ﻣن إرﺳﺎل ﺣزﻣﮫ ﻣزﯾﻔﮫ ﺧﺎﺻﮫ ﻣﺳﻣﻣﮫ اﻟﻰ ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر ،اﻻﻣر اﻟذي ﯾؤدى اﻟﻰ إﻏﻼﻗﮫ .اﻛﺗﺷﻔت ﺛﻐرة أﻣﻧﯾﺔ ﻟﻠﻣرة اﻷوﻟﻰ ﻓﻲ ﻋﺎم 1997ﻣن ﻗﺑل ﺷﺧص ﻣﺎ ﺑﺎﺳﺗﺧدام اﻻﺳم اﻟﻣﺳﺗﻌﺎر " ،"m3ltوﻋﺎدت إﻟﻰ اﻟظﮭور ﺑﻌد ﺳﻧوات ﻋدﯾدة ﻓﻲ أﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﻣﺛل Windows Server 2003 ووﯾﻧدوز .XP SP2 :CPU Hogﺑرﻧﺎﻣﺞ ﻛﻣﺑﯾوﺗر اﻟذي ﯾﺄﻛل ﺳرﻋﺔ اﻟﻣﻌﺎﻟﺞ اﻟﺗﻲ ﻻ ﻟزوم ﻟﮭﺎ ﻋﻠﻰ اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎص ﺑك ﻟﯾظﮭر ﺑﺄﻧك ﺗﻘوم ﺑﮫ أﻛﺛر ﻣﻣﺎ ھو ﻋﻠﯾﮫ ﻓﻲ اﻟواﻗﻊ. :Jolt2ﯾﮭدف ھﺟوم Jolt2ﻹﺑطﺎء اﻟﻧظﺎم اﻟﺧﺎص ﺑك ﻋن طرﯾﻖ إرﺳﺎل ﻓﯾض ﻣن ﺣرﻛﺔ اﻟﻣرور اﻟﻐﯾر ﺻﺎﻟﺣﺔ .ﻓﻲ ﺣﯾن أن اﻟﻧظﺎم ﻻ ﯾﺗﺣطم ،وھذا اﻟﮭﺟوم ﯾﺳﺑب ﺗﻘﯾد وﺣدة اﻟﻣﻌﺎﻟﺟﺔ اﻟﻣرﻛزﯾﺔ ﺑﻧﺳﺑﺔ .٪100وﺳوف ﯾﻛون اﻟﻧظﺎم ﻏﯾر ﻗﺎﺑل ﻟﻼﺳﺗﺧدام ﺣﺗﻰ ﯾﺗوﻗف ھﺟوم ) Jolt2واﻟذي ﯾﺗﺿﻣن ﻓﺻل ﻛﺎﺑل اﻟﺷﺑﻛﺔ اﻟﺧﺎص ﺑك(.
ﺑراﻣﺞ دوس اﻷﻛﺛر ﺷﻌﺑﯾﺔ ﺣدﯾﺛﺎ ""New Popular DDoS Programs ﻓﻲ ﺣﯾن أﻧﮫ ﻣن اﻟﻣﻣﻛن ﺗﻧﻔﯾذ اﻟﻌدﯾد ﻣن ھﺟﻣﺎت دوس ﯾدوﯾﺎ ،ﺗم وﺿﻊ أدوات اﻟﮭﺟوم اﻟﻣﺗﺧﺻﺻﺔ ﻟﻐرض ﺗﻧﻔﯾذ اﻟﮭﺟﻣﺎت ﺑﺷﻛل أﻛﺛر ﺳﮭوﻟﺔ وﻛﻔﺎءة .أدوات دوس اﻷوﻟﻰ -أﻣﺛﻠﺔ ﻣن ﺑﯾﻧﮭﺎ Trinooو- Stacheldrahtاﺳﺗﺧدﻣت ﻋﻠﻰ ﻧطﺎق واﺳﻊ ﻓﻲ ﺟﻣﯾﻊ اﻷﻧﺣﺎء ﻓﻲ ﻣطﻠﻊ اﻟﻘرن، وﻟﻛن ﻛﺎﻧت ﻣﻌﻘدة ﺑﻌض اﻟﺷﻲء ،واﺳﺗﺧدﻣت ﻣﻌظﻣﮭﺎ ﻓﻘط ﻋﻠﻰ أﻧظﻣﺔ اﻟﺗﺷﻐﯾل ﻟﯾﻧﻛس ،وﺳوﻻ رﯾس. ﻓﻲ اﻟﺳﻧوات اﻷﺧﯾرة ،أﺻﺑﺣت أدوات دوس أﻛﺛر وﺿوﺣﺎ ﻓﻲ اﻻﺳﺗﺧدام وﻋﺑر ﻣﻧﺻﺔ ،ﻣﻣﺎ ﯾﺟﻌل ھﺟﻣﺎت DDoSأﺳﮭل ﺑﻛﺛﯾر ﻟﻠﻘﯾﺎم ﺑﮭﺎ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟﻣﯾن وأﻛﺛر ﺧطورة ﻟﻸھداف .وﻗد وﺿﻌت ﺑﻌض ﻣن أﺣدث ادوات دوس ھذه ،ﻣﺛل )،Low Orbit Ion Cannon (LOIC ﺣﯾث ﺗم ﺗطوﯾره ﻓﻲ اﻷﺻل ﻛﺄدوات ﻻﺧﺗﺑﺎر إﺟﮭﺎد اﻟﺷﺑﻛﺔ وﻣن ﺛم ﺑﻌد ذﻟك ﺗم ﺗﻌدﯾﻠﮫ واﺳﺗﺧداﻣﮫ ﻓﻲ اﻷﻏراض اﻟﺧﺑﯾﺛﺔ ،ﻓﻲ ﺣﯾن وﺿﻊ آﺧرﯾن أدوات ﻣﺛل Slowlorisاﻟذي ﺗم ﺗطوﯾره ﻣن ﻗﺑل ﻗراﺻﻧﺔ "اﻟﻘﺑﻌﺔ اﻟرﻣﺎدﯾﺔ" -اﻟﺗﻲ ﺗﮭدف ﻟﻠﻔت اﻧﺗﺑﺎه اﻟﺟﻣﮭور إﻟﻰ ﺿﻌف ﺑراﻣﺞ ﻣﻌﯾﻧﺔ ﻋن طرﯾﻖ اﻹﻓراج ﻋن ھذه اﻷدوات ﻋﻠﻧﺎ ﺑذﻟك ﺳﯾﺿطر ﺻﻧﺎع اﻟﺑرﻣﺟﯾﺎت ﻋرﺿﺔ ﻟﻠﺗﺻﺣﯾﺢ " "patchedﻣن أﺟل ﺗﺟﻧب ھﺟﻣﺎت واﺳﻌﺔ اﻟﻧطﺎق. ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،أن أﻣن اﻟﺷﺑﻛﺎت واﻟﻘرﺻﻧﺔ ﻓﻲ ﺗطور ﻣﺳﺗﻣر ،ھﻛذا ھﻲ اﻷدوات اﻟﻣﺳﺗﺧدﻣﺔ ﻓﻲ اﻟﮭﺟوم ﻟﺗﻧﻔﯾذ ھﺟﻣﺎت .DDoSأدوات اﻟﮭﺟوم اﻟﺟدﯾدة أﺻﺑﺣت أﺻﻐر ﺣﺟﻣﺎ وأﻛﺛر ﻓﻌﺎﻟﯾﺔ ﻣﻣﺎ ﺗﺳﺑب ﺣﺎﻟﺔ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ،وأﻛﺛر ﻣن ذﻟك اﻟﺗﺧﻔﻲ. )Low Orbit Ion Cannon (LOIC اﻟﻣﺻدرhttp://sourceforge.net/projects/loic : LOICھو أداة ﻓﯾﺿﺎﻧﺎت ﺑﺳﯾطﺔ ،ﻗﺎدرة ﻋﻠﻰ ﺗوﻟﯾد ﻛﻣﯾﺎت ھﺎﺋﻠﺔ ﻣن ﺣرﻛﺔ ﻣرور ،UDP ،TCPأو HTTPﻣن أﺟل إﺧﺿﺎع اﻟﺧﺎدم ﻟﻠﺗﺣﻣﯾل اﻟﺛﻘﯾل ﻋﻠﻰ اﻟﺷﺑﻛﺔ .ﻓﮭﻲ أداة اﺳﺗﻌﻣﻠﮭﺎ ﻓرﯾﻖ اﻷﻧوﻧﯾﻣس اﻧﺗﻘﺎﻣﺎ ً ﻟﻐﻠﻖ ﻣوﻗﻊ ﻣﯾﺟﺎاﺑﻠود وﻟﻠﮭﺟوم ﻋﻠﻰ اﻟﻣواﻗﻊ اﻟﺗﺎﺑﻌﺔ ﻟﻠﻣﻧظﻣﺎت اﻟﻣﻌﺎرﺿﺔ ﻟوﯾﻛﯾﻠﯾﻛس وﺿد اﻟﻛﺛﯾر ﻣن اﻟﻣواﻗﻊ اﻟﺗﺎﺑﻌﺔ ﻟﻠﻣﻧظﻣﺎت اﻟﺗﻲ ﺗﻧﺎدي ﺑﺗﻘﯾﯾد ﺣرﯾﺔ اﻻﻧﺗرﻧت .ﺗم ﺗﺻﻣﯾم اﻷداة ﺑﺎﻷﺻل وﺗطوﯾرھﺎ ﻣن ﻗﺑل -ﺑراﯾﺗوﻛس ﺗﻛﻧوﻟوﺟﯾز-وھﻲ ﻣﻛﺗوﺑﺔ ﺑﻠﻐﺔ C#ﺗم اﺻدارھﺎ ﻟﻠﻣﻠﻛﯾﺔ اﻟﻌﺎﻣﺔ وﯾﺗم اﻷن اﺳﺗﺿﺎﻓﺎﺗﮭﺎ ﻋﻠﻰ ﻛﺛﯾر ﻣن ﻣﻧﺻﺎت اﻷﻧظﻣﺔ ﻣﻔﺗوﺣﺔ اﻟﻣﺻدر ،وﻟﻸداة ﻧﺳﺧﺔ ﺧﺎﺻﺔ ﺑﺎﻟﺟﺎﻓﺎ-ﺳﻛرﯾﺑت وﺗﺳﻣﻰ JS LOICوﻧﺳﺧﮫ ﺧﺎﺻﮫ ﺑﺎﻟوﯾب وﺗﺳﻣﻰ ،Low Orbit Web Cannonوﻛﺎن اﻟﻐرض اﻷﺳﺎﺳﻲ ﻣن ھذه اﻷداة إﺟراء اﺧﺗﺑﺎرات اﻟﺿﻐط ﻋﻠﻰ ﺗطﺑﯾﻘﺎت اﻟوﯾب ،ﺑﺣﯾث ﯾﻣﻛن اﻟﻣطورﯾن ﻣن ان ﯾروا ﻛﯾف ﯾﺗﺻرف ﺗطﺑﯾﻖ وﯾب ﺗﺣت ﺗﺣﻣﯾل أﺛﻘل .وﺑطﺑﯾﻌﺔ اﻟﺣﺎل ،ﺗطﺑﯾﻖ اﻹﺟﮭﺎد ،اﻟﺗﻲ ﯾﻣﻛن ﺗﺻﻧﯾﻔﮭﺎ ﺑﺎﻋﺗﺑﺎرھﺎ أداة ﻣﺷروﻋﺔ ،وﯾﻣﻛن أﯾﺿﺎ أن ﺗﺳﺗﺧدم ﻓﻲ ھﺟوم د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1115 دوس LOIC .أﺳﺎﺳﺎ ﯾﻘوم ﺑﺗﺣوﯾل اﺗﺻﺎل ﺷﺑﻛﺔ اﻟﻛﻣﺑﯾوﺗر اﻟﻰ ﻣﺣطﺎت إطﻔﺎء " "Firehouseﻟطﻠﺑﺎت اﻟﻘﻣﺎﻣﺔ ،وﺗوﺟﯾﮭﮭﺎ ﻧﺣو ﺧﺎدم اﻟوﯾب اﻟﮭدف .ﺣﯾث ان ﺟﮭﺎز ﻛﻣﺑﯾوﺗر واﺣد ﻧﺎدرا ﻣﺎ ﯾوﻟد ﻣﺎ ﯾﻛﻔﻲ ﻣن طﻠﺑﺎت ،UDP ،TCPأو HTTPﻓﻲ وﻗت واﺣد ﻟﯾطﻐﻰ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت وﯾﻣﻛن ﺑﺳﮭوﻟﺔ ﺗﺟﺎھل طﻠﺑﺎت اﻟﻘﻣﺎﻣﺔ ﺑﯾﻧﻣﺎ ﯾرد ﻋﻠﻰ اﻟطﻠﺑﺎت اﻟﺷرﻋﯾﺔ ﻟﺻﻔﺣﺎت اﻟوﯾب .وﻟﻛن ﻋﻧدﻣﺎ ﯾﻛون اﻵﻻف ﻣن اﻟﻣﺳﺗﺧدﻣﯾن ﯾﻘوﻣون ﺑﺗﺷﻐﯾل LOICدﻓﻌﺔ واﺣدة ،ﻣوﺟﺔ ﻣن اﻟطﻠﺑﺎت ﺗﺻﺑﺢ ﺳﺎﺣﻘﺔ ،وﻏﺎﻟﺑﺎ ﺗﻘوم ﺑﺈﻏﻼق ﺧﺎدم اﻟوﯾب )أو أﺣد اﻷﺟﮭزة اﻟﻣﺗﺻﻠﺔ ﺑﮫ ،ﻣﺛل ﺧﺎدم ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت( ،أو ﻣﻧﻊ اﻟطﻠﺑﺎت اﻟﻣﺷروﻋﺔ ﻣن أن ﯾﺗم اﻟرد ﻋﻠﯾﮭﺎ. ﺗم ﺗﻌدﯾل LOICوأﻋطﻰ ﻟﮭم ﻣﯾزة " ،"Hivemindﻣﻣﺎ ﯾﺗﯾﺢ ﻷي ﻣﺳﺗﺧدم LOICان ﯾﺷﯾر اﻟﻰ ﻧﺳﺧﺗﮫ ﻣن LOICﻓﻲ ﺧﺎدم ،IRCوﻧﻘل اﻟﺳﯾطرة ﻋﻠﯾﮭﺎ إﻟﻰ ﻣﺳﺗﺧدم اﻟﺳﯾد " "master userاﻟذي ﯾﻣﻛن ﺑﻌد ذﻟك إرﺳﺎل أواﻣر ﻋﺑر IRCإﻟﻰ ﻛل ﻋﻣﯾل LOICﻣﺗﺻل ﻓﻲ وﻗت واﺣد .ﻓﻲ ھذا اﻟﺗﻛوﯾن ،ﯾﻣﻛن ﻟﻠﻣﺳﺗﺧدﻣﯾن إطﻼق ھﺟﻣﺎت دوس أﻛﺛر ﻓﻌﺎﻟﯾﺔ ﺑﻛﺛﯾر ﻣن ﺗﻠك اﻟﮭﺟﻣﺎت ﻟﻣﺟﻣوﻋﺔ ﻣن ﻣﺳﺗﺧدﻣﻲ LOICأﻗل ﺗﻧﺳﯾﻘﺎ ،ﻻ ﺗﻌﻣل ﻓﻲ وﻗت واﺣد .ﻓﻲ أواﺧر ﻋﺎم ،2011وﻣﻊ ذﻟك ،ﺑدأت اﻷﻧوﻧﯾﻣس اﻻﺑﺗﻌﺎد ﻋن LOICﺣﯾث ﻛﺎﻧت اداﺗﮭم اﻟﻣﺧﺗﺎرة ﻷداء ھﺟﻣﺎت دوس ،وذﻟك ﻻن LOICﻻ ﺗﻘوم ﺑﺄي ﺟﮭد ﻟﺣﺟب ﻋﻧﺎوﯾن IPﻣﺳﺗﺧدﻣﯾﮭﺎ .أدى ھذا اﻟﻧﻘص اﻟﻰ اﻟﻛﺷف ﻋن ھوﯾﺔ ﻣﺳﺗﺧدﻣﯾﮭﺎ ﻓﻲ إﻟﻘﺎء اﻟﻘﺑض ﻋﻠﻰ ﻋدد ﻣن اﻟﻣﺳﺗﺧدﻣﯾن ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم اﻟﻣﺷﺎرﻛﺔ ﻓﻲ ھﺟﻣﺎت ،LOICوﻗﺎﻣت اﻷﻧوﻧﯾﻣس ﺑﺑث رﺳﺎﻟﺔ واﺿﺣﺔ ﻋﺑر ﺟﻣﯾﻊ ﻗﻧوات IRCﻟﮭﺎ" :ﻻ ﺗﺳﺗﺧدم ."(Do Not use LOIC) LOIC ﻣﻠﺣوظﮫ Hivemind :ھو ﻋﻧدﻣﺎ ﯾﺄﺗﻲ ﺷﺧﺻﯾن أو أﻛﺛر ﻟﻧﻔس اﻟﻔﻛر ﻓﻲ ﻧﻔس اﻟوﻗت ﺑﺳﺑب ﻧﻔس اﻟظروف وﻟﻛن ﻻ ﯾﻌرﻓون ﺑﻌﺿﮭم ﻣﺳﺑﻘﺎ .اﻻﺳم ھو اﻧﻌﻛﺎس ﻟﻠﺣﺷرات اﻟذﯾن ﯾﻌﻣﻠون ﻓﻲ اﻧﺳﺟﺎم ﻓﻲ اﻟﺧﻠﯾﺔ )أو اﻟﻌش(. LOICھو أﻛﺛر ﺗرﻛﯾزا ﻋﻠﻰ ﺗطﺑﯾﻘﺎت اﻟوﯾب .ﯾﻣﻛﻧﻧﺎ أﯾﺿﺎ أن ﻧﺳﻣﯾﮭﺎ ھﺟوم DOSاﻟﻘﺎﺋم ﻋﻠﻰ اﻟﺗطﺑﯾﻖ LOIC .ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻋﻠﻰ ﻣوﻗﻊ اﻟﮭدف ﻋن طرﯾﻖ اﻏراق اﻟﺧﺎدم ﻣﻊ ﺣزم ،TCPﺣزم UDPأو طﻠﺑﺎت HTTPﺑﻘﺻد ﺗﻌطﯾل ﺧدﻣﺔ ﻣﺟﻣوﻋﺔ ﻣﻌﯾﻧﺔ.
وﺗﻛﻣن ﺳﮭوﻟﺔ اﺳﺗﺧدام اﻟﺑرﻧﺎﻣﺞ ﻓﻲ واﺟﮭﺗﮫ اﻟرﺳوﻣﯾﺔ واﻟﻣﻧظﻣﺔ .ﻋﻠﯾﻧﺎ ﺗﺣدﯾد اﻟﮭدف ﻓﻧﻘوم ﺑﺈدﺧﺎل اﻣﺎ اﻻي ﺑﻲ IPاو اﻟﻌﻧوان URLوﻧﻘوم ﺑﺗﻐﯾﯾر ﺧﯾﺎرات اﻟﮭﺟوم اﻟﻣرﻏوﺑﺔ وﯾﻣﻛﻧك ﺗرﻛﮭﺎ ﻋﻠﻰ اﻻﻋدادات اﻻﻓﺗراﺿﯾﺔ .ﯾﻘوم اﻟﺑرﻧﺎﻣﺞ ﺑﺈرﺳﺎل طﻠﺑﺎت ﻛﺑﯾرة ﻣﺗﺗﺎﺑﻌﺔ ﻣن ﻧوع، TCP HTTP ،UDPوﻟﺑدء اﻟﮭﺟوم ﻧﺿﻐط ﻋﻠﻰ IMMA CHARGIN MAH LAZERوﺳﯾﻘوم اﻟﺑرﻧﺎﻣﺞ ﺑﻣﮭﺎﺟﻣﺔ اﻟﮭدف ﺑﺳﯾل ﻣن اﻟﺑﯾﺎﻧﺎت اﻟﻐﯾر ﻻزﻣﺔ ﻟﻣﻧﻊ وﺻول اﻟﺧدﻣﺔ اﻟﻰ اﻟﺳﯾرﻓر. وھﻧﺎك ﺧﯾﺎر آﺧر ﻓﻲ اﻟﺑرﻧﺎﻣﺞ "اي ار ﺳﻲ ) "(IRCﻓﻲ اﻷﻋﻠﻰ وﯾﺳﻣﺢ ھذا اﻟﺧﯾﺎر ﻟﻸداة ﺑﺄن ﯾُﺗﺣﻛم ﺑﮭﺎ ﻋن ﺑﻌد ﺑﺎﺳﺗﺧدام "ﺑروﺗوﻛول اي ار ﺳﻲ" ﺣﯾث ﯾﺻﺑﺢ اﻟﺟﮭﺎز ﺟزء ﻣن ﻧظﺎم اﻟﺑوت ﻧت وﺗﻛون اﻷﺟﮭزة ﻣﺗﺻﻠﺔ ﺑﺑﻌض ﻋن طرﯾﻖ اﻻﻧﺗرﻧت وﯾﺗم اﻟﺗﺣﻛم ﺑﺎﻷداة ﻓﻲ ﺟﻣﯾﻊ اﻷﺟﮭزة اﻟﻣﺗﺻﻠﺔ ﻋن طرﯾﻖ اﻟﻣﮭﺎﺟم .ﻣﮭﺎﺟم -أﻧوﻧﯾﻣس-ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،وﺑﺎﻟطﺑﻊ ﻛﻠﻣﺎ زاد “اﻟﺑوت ﻧت” ﻛﻠﻣﺎ زادت ﺷدة اﻟﮭﺟوم .وھو ﺑرﻧﺎﻣﺞ راﺋﻊ ﯾﺳﻣﺢ ﻟﻠﻣﺑﺗدﺋﯾن وﺣﺗﻰ اﻟﮭواة ﺑﺎﻟﻣﺷﺎرﻛﺔ ﻓﻲ أﺣد أﺷرس أﻧواع اﻟﮭﺟﻣﺎت اﻻﻟﻛﺗروﻧﯾﺔ ﻋﻠﻰ اﻟﻣواﻗﻊ. ﻣﻠﺣوظﺔ :ﺗﺄﻛد ﻣن ﻋدم اﺳﺗﺧداﻣك ﻟﺧﺎدم اﻟﺑروﻛﺳﻲ ﻛﻲ ﻻ ﺗﻘوم ﺑﺎﺳﺗﮭداف ﺧﺎدم اﻟﺑروﻛﺳﻲ ﻋوﺿﺎ ً ﻋن اﺳﺗﮭداف اﻟﺧﺎدم اﻟﻣراد ﻣﮭﺎﺟﻣﺗﮫ. ﯾﻌﻣل ﻋﻠﻰ اﻧظﻣﺔ ،ﻟﯾﻧﻛس ،وﯾﻧدوز ،ﻣﺎك. )High Orbit Ion Cannon (HOIC ﺑﻌد ان ﺗرﻛت اﻷﻧوﻧﯾﻣس "رﺳﻣﯾﺎ" LOICﻛﺄداة ﻟﻼﺧﺗﯾﺎر ،وﻛﺧﻠﯾﻔﺔ ﻟﻟ ،LOICظﮭر ) ،High Orbit Ion Cannon (HOICواﻟذي اﺧذ اﻟﺿوء ﺑﺳرﻋﺔ ﻋﻧدﻣﺎ ﺗم اﺳﺗﺧداﻣﮫ ﻻﺳﺗﮭداف وزارة اﻟﻌدل ﻓﻲ اﻟوﻻﯾﺎت اﻟﻣﺗﺣدة ردا ﻋﻠﻰ ﻗرارھﺎ ﺑﺈﻏﻼق ﻣوﻗﻊ ﻻﺗﺧﺎذ أﺳﻔل ﻣوﻗﻊ ﻣﯾﺟﺎ اﺑﻠود " ."Megaupload.comﻓﻲ ﺣﯾن أن HOICھو اﻻﺧر ﺗطﺑﯾﻖ ﺑﺳﯾط ﻓﻲ ﺟوھره ،اﻟﺳﯾﻧﺎرﯾو اﻷﺳﺎﺳﻲ ﻋﺑر ﻣﻧﺻﺔ إرﺳﺎلHTTP POST و GET requestsﻣﻐﻠﻖ ﻓﻲ واﺟﮭﺔ اﻟﻣﺳﺗﺧدم اﻟرﺳوﻣﯾﺔ ﺳﮭﻠﺔ اﻻﺳﺗﺧدام. د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1116 ﺗﻛﻣن ﻓﻌﺎﻟﯾﺗﮫ ﻣن ﺧﻼل إﺿﺎﻓﺔ " ،"boosterاﻟﺑراﻣﺞ اﻟﻧﺻﯾﺔ ) (scriptsأو ﻣﻠﻔﺎت ﻧﺻﯾﺔ إﺿﺎﻓﯾﺔ واﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ أﻛواد أﺳﺎﺳﯾﺔ إﺿﺎﻓﯾﺔ ﯾﻔﺳره اﻟﺗطﺑﯾﻖ اﻟرﺋﯾﺳﻲ ﻣن ﺧﻼل اﻟﻣﺳﺗﺧدم اﻟذي أطﻠﻖ اﻟﮭﺟوم. ﻋﻠﻰ اﻟرﻏم ﻣن HOICﻻ ﺗوظف ﻣﺑﺎﺷرة أي ﺗﻘﻧﯾﺎت إﺧﻔﺎء اﻟﮭوﯾﺔ ،وﻟﻛن اﺳﺗﺧدام booster scriptsﯾﺳﻣﺢ ﻟﻠﻣﺳﺗﺧدم ﻟﺗﺣدﯾد ﻗواﺋم ﻣن ﻋﻧﺎوﯾن اﻟﻣواﻗﻊ اﻟﻣﺳﺗﮭدﻓﺔ وﺗﺣدﯾد اﻟﻣﻌﻠوﻣﺎت ﻟ HOICﻟﻠﺗﻧﻘل ﻛﻣﺎ أﻧﮫ ﯾوﻟد ﺣرﻛﺔ ﻣرور اﻟﮭﺟوم ،ﻣﻣﺎ ﯾﺟﻌل ھﺟﻣﺎت HOICأﺻﻌب ﻗﻠﯾﻼ ﻓﻲ اﻟﻣﻧﻊ .ﺗواﺻل HOICﻟﯾﺗم اﺳﺗﺧداﻣﮭﺎ ﻣن ﻗﺑل اﻷﻧوﻧﯾﻣس ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم ﻹطﻼق ھﺟﻣﺎت ،DDoSﻋﻠﻰ اﻟرﻏم ﻣن ھﺟﻣﺎت اﻷﻧوﻧﯾﻣس ﻻ ﺗﻘﺗﺻر ﻋﻠﻰ ﺗﻠك اﻟﺗﻲ ﺗﻧطوي ﻋﻠﻰ .HOIC
Hping3 ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ LOICو ،HOICاﻷﻧوﻧﯾﻣس وﺟﻣﺎﻋﺎت اﻟﻘرﺻﻧﺔ اﻷﺧرى وﻏﯾرھم ﻣن اﻷﻓراد ﻗد اﺳﺗﺧدﻣوا ﻣﺧﺗﻠف اﻷدوات اﻷﺧرى ﻹطﻼق ھﺟﻣﺎت ،DDoSوﺧﺎﺻﺔ ﺑﺳﺑب اﻟﻧﻘص اﻟﻣوﺟود ﻓﻲ Ion Cannonsﻣن ﻋدم اﻟﻛﺷف ﻋن اﻟﮭوﯾﺔ .واﺣدة ﻣن ھذه اﻷداة،hping ، ھو أداة ﺳطر اﻷواﻣر اﻷﺳﺎﺳﯾﺔ إﻟﻰ ﺣد ﻣﺎ ﻣﻣﺎﺛﻠﺔ ﻟﻼداه .pingوﻣﻊ ذﻟك ،ﻓﺈﻧﮫ ﻟدﯾﮭﺎ اﻟﻣزﯾد ﻣن اﻟوظﺎﺋف ﻣن ارﺳﺎل ﺣزم ICMP echo requestﺑﺳﯾطﺔ وھو اﻻﺳﺗﺧدام اﻟﺗﻘﻠﯾدي ﻟﻟ Hping .pingﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻹرﺳﺎل ﻛﻣﯾﺎت ﻛﺑﯾرة ﻣن ﺣرﻛﺔ ﻣرور TCPﻋﻠﻰ ھدف ﻓﻲ ﺣﯾن ان ﯾﻣﻛن ﺗزﯾف ﻋﻧوان IPاﻟﻣﺻدر ،ﻣﻣﺎ ﯾﺟﻌﻠﮭﺎ ﺗﺑدو ﻋﺷواﺋﯾﺔ أو ﺣﺗﻰ ﻧﺎﺷﺋﺔ ﻣن ﻣﺻدر ﻣﻌروف وﻣﺣدد .اﻧﮭﺎ اداه ﻗوﯾﺔ ،وﻣدورة ﺟﯾدا )أي ﺗﻣﺗﻠك ﺑﻌض اﻟﻘدرات اﻟﺗﺣﺎﯾل( ،ﻻ ﺗزال hpingﻋﻠﻰ ﻗﺎﺋﻣﺔ اﻷﻧوﻧﯾﻣس ﻛﺄدوات ﺗﺳﺗﺧدﻣﮭﺎ. ھذه اﻷداة ﻣﺗوﻓرة ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻛﺎﻟﻲ واﻟﺗﻲ ﯾﻣﻛن اﻟوﺻول اﻟﯾﮭﺎ ﻣن ﺧﻼل اﻻﺗﻲ: Application Kali Linux Information Gathering Live Host Identification Hping3 او ﻣن ﺧﻼل ﻛﺗﺎﺑﺔ hping3ﺛم ﯾﺗﺑﻌﮫ اﻟﻣﻌﻠﻣﺎت اﻟﺗﻲ ﺗرﯾدھﺎ ﻓﻲ ﺳطر اﻷواﻣر ﻟﻠﺗر ﻣﻧﺎل. ﻣﺛﺎل ﺑﺳﯾط ﻛﺎﻻﺗﻲ:
ﺣﯾث اﻟﺧﯾﺎر –Sﯾﻘوم ﺑﺗﺣدﯾد ﻧوع floodوھو ھﻧﺎ ﯾﻌﻧﻰ SYN Flagﺛم ﺑﻌد ذﻟك ﯾﺗم وﺿﻊ ﻋﻧوان IPاﻟﺧﺎص ﺑﺎﻟﮭدف .ﺛم اﻟﺧﯾﺎر –aواﻟذي ﯾوﺿﻊ ﺑﻌده ﻋﻧوان IPاﻟذي ﻧرﯾد ﺗزﯾﻔﮫ .ﺛم اﻟﺧﯾﺎر --floodوﺗﻌﻧﻰ اﺳﺗﺧداﻣﮫ ك .flooding ﯾﻣﻛﻧك رؤﯾﺔ ﺟﻣﯾﻊ اﻟﺧﯾﺎرات اﻟﺧﺎﺻﺔ ﺑﮫ ﻋن طرﯾﻖ طﺑﺎﻋﺔ اﻟﺳطر .hping3 --help Slowloris اﻟﻣﺻدرhttp://ha.ckers.org/slowloris : ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ھﺟﻣﺎت ،straightforward brute-force floodﻗد ﺗم اﻻﻟﺗﻔﺎف ﻟﻠﻌدﯾد ﻣن أﻧواع اﻟﮭﺟوم اﻷﻛﺛر ﺗﻌﻘﯾدا ""low and slow اﻟﻰ أدوات ﺳﮭﻠﺔ اﻻﺳﺗﺧدام ،ﻣﻣﺎ ﺟﻌل ﻣن اﻟﻣﻣﻛن اﻟﻘﯾﺎم ﺑﮭﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ اﻟﺗﻲ ھﻲ أﺻﻌب ﺑﻛﺛﯾر ﻓﻲ اﻟﻛﺷف ﻋﻧﮭﺎ،Slowloris . أداة وﺿﻌت ﻣن ﻗﺑل ﻗراﺻﻧﺔ اﻟﻘﺑﻌﺔ اﻟرﻣﺎدﯾﺔ واﻟذى ﻗﺎم ﺑﻛﺗﺎﺑﺗﮭﺎ روﺑرت ھﺎﻧﺳن " ،"RSnakeوھﻰ أداه ﻗﺎدرة ﻋﻠﻰ ﺧﻠﻖ ﺣﺎﻟﺔ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ﻟﻠﺧﺎدم ﺑﺎﺳﺗﺧدام HTTP requestﺑطﻲء ﺟدا .ﻋن طرﯾﻖ إرﺳﺎل HTTP headersإﻟﻰ ﻣوﻗﻊ اﻟﮭدف ﻓﻲ ﻗطﻊ ﺻﻐﯾرة ﺑطﯾﺋﺔ ﺑﻘدر اﻹﻣﻛﺎن )اﻻﻧﺗظﺎر ﻹرﺳﺎل ﻗطﻌﺔ ﺻﻐﯾرة ﺗﺎﻟﯾﮫ ﻗﺑل أن ﺗﻧﺗﮭﻲ ﻣﮭﻠﺔ اﻟطﻠب ﻟدى اﻟﺧﺎدم( ،ﻣﻣﺎ ﯾﺿطر اﻟﺧﺎدم اﻟﻰ ﻣواﺻﻠﺔ اﻻﻧﺗظﺎر ﻟوﺻول .headersإذا ﺗم ﻓﺗﺢ ﻣﺎ ﯾﻛﻔﻲ ﻣن اﻻﺗﺻﺎﻻت إﻟﻰ اﻟﺧﺎدم ﻓﻲ ھذه اﻟﻣوﺿﺔ ،ﻓﮭو ﻏﯾر ﻗﺎدر ﺑﺳرﻋﺔ ﻟﻠﺗﻌﺎﻣل ﻣﻊ اﻟطﻠﺑﺎت اﻟﻣﺷروﻋﺔ.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1117 ﻛﯾف ﯾﻌﻣل ﻋﻠﻰ ﻧظﺎم اﻟﺗﺷﻐﯾل ﻛﺎﻟﻲ: أوﻻ ﻧﻘوم ﺑﺎﻟذھﺎب اﻟﻰ اﻟﻣوﻗﻊ اﻟرﺳﻣﻲ اﻟﺧﺎص ﺑﮭذا اﻟﺗطﺑﯾﻖ: http://ha.ckers.org/slowloris ﺛﺎﻧﯾﻧﺎ اﻟذھﺎب اﻟﻰ أﺳﻔل اﻟﺻﻔﺣﺔ وﻣن ﺛم اﻟﻧﻘر ﻓوق )Download: slowloris.pl or slowloris6.pl (IPv6 version
ﺑﻌد اﻟﻧﻘر ﻋﻠﻰ ھذا اﻟراﺑط ﺗظﮭر ﺻﻔﺣﺔ ﻣﺛل ھذه:
ﻧﻘوم ﺑﻧﺳﺦ ﺟﻣﯾﻊ ﻣﺣﺗوﯾﺎت ھذه اﻟﺻﻔﺣﺔ وﻣن ﺛم ﻧﻧﺷﺊ ﻣﻠف ذات اﻻﺳم slowloris.plﺛم ﻧﻔﺗﺣﮫ ﺑﺄي ﻣﺣرر ﻧﺻﻲ وﻧﻧﺳﺦ ﻓﯾﮫ ﻣﺣﺗوﯾﺎت ﻣﺎ ﻗﻣﻧﺎ ﺑﻧﺳﺧﮫ. ﻧﻘوم ﺑﻛﺗﺎﺑﺔ اﻟﺳطر اﻟﺗﺎﻟﻲ ﻓﻲ ﺳطر اﻻواﻣر ﻟﻠﺗر ﻣﻧﺎل ﻛﺎﻻﺗﻲ:
ﻧﻘوم اﻻن ﺑﺗﺷﻐﯾﻠﮫ ﻣن ﺧﻼل ﻛﺗﺎﺑﺔ اﻻﻣر ) (./Slowlorisﻛﺎﻻﺗﻲ: ﻟﻧﻔﺗرض اﻧﻧﺎ ﻧرﯾد اﺳﺗﮭداف اﻟﻣوﻗﻊ http://www.certifiedhacker.comﻧﻘوم أوﻻ ﺑﺎﻟﺣﺻول ﻋﻠﻰ ﻋﻧوان IPاﻟﺧﺎص ﺑﮫ ﺑﺎﺳﺗﺧدام اﻻﻣر hostﻛﺎﻻﺗﻲ:
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1118 ﺛم ﻧﻘوم ﺑﻧﺳﺦ ﻋﻧوان IPواﺳﺗﺧداﻣﮫ ﻣﻊ اﻟﺗطﺑﯾﻖ Slowlorisﻛﺎﻻﺗﻲ:
وﻣن ھﻧﺎ ﯾﺑدا ﻋﻣﻠﯾﺔ اﻟﮭﺟوم .اذھب اﻻن اﻟﻰ اﻟﻣوﻗﻊ اﻣﺎ ﺳوف ﯾﻛون ﺑطﻲء ﺟدا ﻓﻲ اﻻﺳﺗﺟﺎﺑﺔ او اﻧﮫ ﻟن ﯾﺳﺗﺟﯾب اﺑدا ﺣﺗﻰ ﺗﻧﮭﻰ اﻟﮭﺟوم واﻧظر ﻣﺎذا ﺣدث ﻟﮫ. ﻣﻠﺣوظﮫ :ھذا اﻟﺗطﺑﯾﻖ ﺧطر ﻋﻠﻰ ﺧوادم اﻟوﯾب اﻟﻣﺿﯾﻔﺔ اﻟﺗﻲ ﺗﺳﺗﻌﻣل Tomcat ،dhttpd ،Apacheو GoAheadﻛﺧﺎدم ﻟﻠوﯾب ﻣﻧذ ﺻدور ،Slowlorisﻓﺎن ﻋدد ﻣن اﻟﺑراﻣﺞ اﻟﺗﻲ ﺗﺣﺎﻛﻲ وظﯾﻔﺔ Slowlorisظﮭرت ﻣﻊ ﺗوﻓﯾر وظﺎﺋف إﺿﺎﻓﯾﺔ أو ﺗﺷﻐﯾﻠﮫ ﻓﻲ ﺑﯾﺋﺎت ﻣﺧﺗﻠﻔﺔ ﻛﺎﻻﺗﻲ: :PyLorisﺗﺣﺗﺎج اﻟﻰ ﺑرﻧﺎﻣﺞ اﻟﺑﯾﺛون ﻟﻛﻰ ﺗﻌﻣل وھو ) Protocol-agnosticأي ﯾﺳﺗﺧدم ﺑروﺗوﻛوﻻت اﺗﺻﺎل ﻣﺳﺗﻘﻠﮫ .ﺣﯾثﺗﺗﻔﺎوض اﻟﺑروﺗوﻛوﻻت ﻣﻊ اﻷﻗران ،وﯾﺑدأ اﻻﺗﺻﺎل( .ﯾدﻋم TORوﺑروﻛﺳﯾﺎت .SOCKS :Golorisوھو Slowlorisﻣﺧﺻص ﺿد ﺧﺎدم اﻟوﯾب nginxوﺗم ﻛﺗﺎﺑﺗﮫ ﻣن ﻗﺑل .Go :QSlowlorisھو اﻟﺷﻛل اﻟﻘﺎﺑل ﻟﻠﺗﻧﻔﯾذ ﻟﻟ Slowlorisواﻟذى ﯾﻌﻣل ﻋﻠﻰ أﻧظﻣﺔ اﻟﺗﺷﻐﯾل وﯾﻧدوز .وﯾﺿم .Qt front end :Unnamed PHP versionوھو Slowlorisﯾﻣﻛن ﺗﺷﻐﯾﻠﮭﺎ ﻣن ﻣﻠﻘم .PHP :SlowHTTPTestھو ﻣﺣﺎﻛﺎه ﻟﻠﮭﺟوم اﻟﺑطﻲء وﻣﻌد ﺑﺷﻛل ﻋﺎﻟﻲ ﺟدا وﻣﻛﺗوب ﺑﻠﻐﺔ .C++ :SlowlorisCheckerھو Slowlorisﻣﻊ Slow POST POCﻛﺗب ﺑﻠﻐﺔ .rubyslowhttptest اﻟﻣﺻدرhttps://code.google.com/p/slowhttptest : SlowHTTPTestھو أداة ﻣﻌدة ﻟﻠﻐﺎﯾﺔ ﺗﺣﺎﻛﻲ ﺑﻌض ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ﻋﻠﻰ ﻣﺳﺗوى طﺑﻘﺔ اﻟﺗطﺑﯾﻖ .ﯾﻌﻣل ﻋﻠﻰ ﻏﺎﻟﺑﯾﺔ ﻣﻧﺻﺎت ﻟﯾﻧﻛس OSX ،و) Cygwinﻣﻧﺻﺔ ﻟواﺟﮭﺔ ﯾوﻧﻛس( وﺳطر اﻻواﻣر ﻟﻣﺎﯾﻛروﺳوﻓت وﯾﻧدوز .ﺗﻧﻔذ ھﺟﻣﺎت ﺑطﻲء ﻋرض اﻟﻧطﺎق اﻟﺗرددي ﻓﻲ طﺑﻘﺔ اﻟﺗطﺑﯾﻘﺎت اﻷﻛﺛر ﺷﯾوﻋﺎ ﻓﻲ ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ،ﻣﺛل ) Slow Read attack ،Slow HTTP POST ،Slowlorisﻗﺎﺋﻣﮫ ﻋﻠﻰ أﺳﺎس ﺛﻐرة (TCP persist timerﻣن ﺧﻼل اﺳﺗﻧزاف ﺗﺟﻣﻊ اﻻﺗﺻﺎﻻت اﻟﻣﺗزاﻣﻧﺔ ،وﻛذﻟك ھﺟوم Apache Range Headerﻣن ﺧﻼل اﻟﺗﺳﺑب ﻓﻲ ذاﻛرة ﻛﺑﯾرة ﺟدا واﺳﺗﺧدام وﺣدة اﻟﻣﻌﺎﻟﺟﺔ اﻟﻣرﻛزﯾﺔ ﻋﻠﻰ اﻟﺧﺎدم. ھﺟﻣﺎت دوس Slowlorisو Slow HTTP POSTﺗﻌﺗﻣد ﻋﻠﻰ ﺣﻘﯾﻘﺔ أن ﺑروﺗوﻛول ،HTTPﺣﺳب اﻟﺗﺻﻣﯾم ،ﯾﺗطﻠب اﻛﺗﻣﺎل اﻟطﻠﺑﺎت ﺗﻣﺎﻣﺎ واﻟﺗﻲ ﺗﺳﺗﻘﺑل ﻣن ﻗﺑل اﻟﻣﻠﻘم ﻗﺑل أن ﯾﺗم ﻣﻌﺎﻟﺟﺗﮭﺎ .إذا ﻛﺎن طﻠب HTTPﻟﯾس ﻛﺎﻣل ،أو إذا ﻛﺎن ﻣﻌدل اﻟﻧﻘل ﻣﻧﺧﻔض ﻟﻠﻐﺎﯾﺔ ،ﻓﺎن اﻟﻣﻠﻘم ﯾﺣﺗﻔظ ﺑﻣوارده ﻣﺷﻐول ﻻﻧﺗظﺎر ﺑﻘﯾﺔ اﻟﺑﯾﺎﻧﺎت .إذا ﻛﺎن اﻟﻣﻠﻘم ﯾﺣﺗﻔظ ﺑﻣوارد ﻛﺛﯾرة ﺟدا ﻣﺷﻐوﻟﺔ ،ﻓﮭذا ﯾﺧﻠﻖ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ .ھذه اﻷداة ھو إرﺳﺎل طﻠﺑﺎت HTTPﺟزﺋﯾﺔ ،ﻓﻲ ﻣﺣﺎوﻟﺔ ﻟﻠﺣﺻول ﻋﻠﻰ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ﻣن ﺧﺎدم HTTPاﻟﮭدف. ﯾﺗم ﺗوزﯾﻊ اﻷداة ﻛﺣزﻣﺔ ﻣﺣﻣوﻟﺔ ،ﻓﻘط ﻗم ﺑﺗﺣﻣﯾل أﺣدث اﻹﺻدارات ﻣن ﻗﺳم اﻟﺗﺣﻣﯾل ،ﺛم اﺳﺗﺧراﺟﮭﺎ ،ﺗﻛوﯾﻧﮭﺎ وﺗﺟﻣﯾﻌﮭﺎ وﺗرﻛﯾﺑﮭﺎ ﻓﻲ ﻧظﺎم ﻛﺎﻟﻲ ﻛﺎﻻﺗﻲ: $ tar -xzvf slowhttptest-x.x.tar.gz $ cd slowhttptest-x.x $ ./configure --prefix=PREFIX $ make $ make install ﯾﻣﻛﻧك رؤﯾﺔ ﺟﻣﯾﻊ اﻣﺛﻠﺔ اﻻﺳﺗﺧدام وﺟﻣﯾﻊ اﻟﻣﻌﻠﻣﺎت ﻣن ﺧﻼل راﺑط (https://code.google.com/p/slowhttptest/w/list) wiki اوﻣن ﺧﻼل ﻣﻠﻔﺎت manوذﻟك ﺑﻛﺗﺎﺑﺔ اﻻﻣر ﻓﻲ اﻟﺗرﻣﻧﺎل ).(man slowhttptest ﻣﺛﺎل ﻛﺎﺳﺗﺧداﻣﮫ گ :Slowloris ./slowhttptest -c 1000 -H -g -o my_header_stats -i 10 -r 200 -t GET -u https://someserver /resources/index.htmlx 24 -p 3.
طﺑﻌﺎ ھذا اﻟﺑرﻧﺎﻣﺞ ﯾدﻋم اﻟﺑروﻛﺳﻲ وذﻟك ﻣن ﺧﻼل اﻟﺧﯾﺎر –eﺛم ﻋﻧوان اﻟﺑروﻛﺳﻲ. )R U Dead Yet? (R.U.D.Y. اﻟﻣﺻدر http://www.hybridsec.com/resource.html :و https://code.google.com/p/r-u-dead-yet أداه آﺧري ﻟﮭﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ اﻟﺑطﻲء وھﻲ ﻣﺷﺎﺑﮭﺔ ﻟ Slowlorisوھﻲ ) .R U Dead Yet? (R.U.D.Y.وﺳﻣﯾت ﺑﻧﺎ ﻋﻠﻰ أﻟﺑوم أطﻔﺎل ﺑودوم "?."Are You Dead Yet د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1119
RUDYﯾﺣﻘﻖ ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ﻋن طرﯾﻖ اﺳﺗﺧدام ﺣﻘل اﻟﻧﻣوذج اﻟطوﯾل HTTP POST submissionsﺑدﻻ ﻣن ،HTTP headersﻛﻣﺎ ﯾﻔﻌل .Slowloris
ﯾﺗم ذﻟك ﻋن طرﯾﻖ ﺣﻘن ﺑﺎﯾت واﺣد ﻣن اﻟﻣﻌﻠوﻣﺎت ﻓﻲ ﺣﻘل ﺗطﺑﯾﻖ اﻟوﯾب POSTﻓﻲ timeوﻣن ﺛم اﻻﻧﺗظﺎر R.U.D.Y.ﯾﺳﺑب ﻟﻌﻣﻠﯾﺎت اﻟﺗطﺑﯾﻖ " "Application threadsاﻻﻧﺗظﺎر ﺣﺗﻰ ﻧﮭﺎﯾﺔ POSTاﻟذي ﻻ ﺗﻧﺗﮭﻲ ﻣن أﺟل ﻧﻔﺎذ اﻟﻣﻌﺎﻟﺞ )ھذا اﻟﺳﻠوك اﻟﺿروري ﻣن أﺟل اﻟﺳﻣﺎح ﻟﻣزودات اﻟوﯾب ﻟدﻋم اﻟﻣﺳﺗﺧدﻣﯾن ﻣﻊ اﺗﺻﺎﻻت أﺑطﺄ( .ﻣﻧذ ﻗﯾﺎم R.U.D.Yﺑﺎﻟﺗﺳﺑب ﻟﺧﺎدم اﻟوﯾب اﻟﮭدف ﺑﺎن ﯾﺻﺑﺢ ﻣﻌطﻼ أﺛﻧﺎء اﻧﺗظﺎر ﺑﻘﯾﺔ " "restطﻠب ،POST HTTPواﻟﻣﺳﺗﺧدم ﻗﺎدرا ﻋﻠﻰ إﻧﺷﺎء اﻟﻌدﯾد ﻣن اﻻﺗﺻﺎﻻت اﻟﻣﺗزاﻣﻧﺔ إﻟﻰ اﻟﻣﻠﻘم ﻣﻊ R.U.D.Yﻓﻲ ﻧﮭﺎﯾﺔ اﻟﻣطﺎف اﺳﺗﻧﻔﺎد ﺟدول اﺗﺻﺎل اﻟﺧﺎدم واﻟﺗﺳﺑب ﻓﻲ ﺣﺎﻟﺔ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ.
ھذه اﻷداة ﺗﻌﻣل ﻣﻊ ﻗﺎﺋﻣﺔ وﺣدة ﺗﻔﺎﻋﻠﯾﺔ " ،"interactive consoleواﻟﺗﻲ ﺗﻘوم ﺗﻠﻘﺎﺋﯾﺎ ﺑﺎﻟﻛﺷف ﻋن اﻷﺷﻛﺎل " "formsداﺧل URLﻣﻌﯾن، واﻟﺳﻣﺎح ﻟﻠﻣﺳﺗﺧدم ﻻﺧﺗﯾﺎر ﺑﯾن أي ﺷﻛل " "formوﺣﻘل اﻟﺷﻛل " "form filedاﻟﺗﻲ ﯾرﻏب ﻓﻲ اﺳﺗﺧداﻣﮭﺎ ﻷداء ھﺟوم .POSTوﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،ﺗﻘدم اﻷداة اﻟﺗﻧﻔﯾذ اﻟﻐﯾر ﻣراﻗب ﻣن ﺧﻼل ﺗوﻓﯾر اﻟﻣﻌﻠﻣﺎت اﻟﺿرورﯾﺔ داﺧل ﻣﻠف اﻟﺗﻛوﯾن .ﻣﻧذ اﻹﺻدار 2رودي ﺗدﻋم اﻟﺑروﻛﺳﯾﺎت SOCKSو session persistenceﺑﺎﺳﺗﺧدام ﻣﻠﻔﺎت اﻟﻛوﻛﯾز ﻋﻧدﻣﺎ ﺗﻛون ﻣﺗﺎﺣﺔ .وھو ﻣﻠف ﺑﺎﯾﺛون ﺑﺳﯾط .ھذا اﻟﮭﺟوم ﺳوف ﯾﻌﻣل ﻋﻠﻰ أي ﺧﺎدم اﻟوﯾب ،أي ﻧظﺎم ﺗﺷﻐﯾل! ﻛﻣﺎ أﻧﮭﺎ ﺳوف ﯾﮭرب ﻣن اﻟﻛﺷف ﻣن ﺟدار اﻟﺣﻣﺎﯾﺔ ﺗطﺑﯾﻖ اﻟﺷﺑﻛﺔ ،ﻣﻣﺎ ﯾﺟﻌل ﻣن اﻟﺻﻌب ﺟدا ﺗﺧﻔﯾﻔﮫ! ﯾﻣﻛﻧك أﯾﺿﺎ اﺳﺗﺧدام ﺷﺑﻛﺎت ﺗور ﻟﻠﻘﻔز ﻣن ﻋﻧوان IPواﺣد إﻟﻰ آﺧر ﻣﻊ اﺳﺗﻣرار ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ! R.U.D.Y.ﯾﻌﻣل ﻓﻲ أﺣد اﻟوﺿﻌﯾن: وﺿﻊ اﻟﻘﺎﺋﻣﺔ اﻟﺗﻔﺎﻋﻠﯾﺔ " ."Interactive menu modeوذﻟك ﻣن ﺧﻼل ﻛﺗﺎﺑﺔ اﻻﻣر ﻓﻲ اﻟﺗرﻣﻧﺎل$ ./r-u-dead-yet.py URL اﻟﺗﻧﻔﯾذ ﻋﻠﻰ أﺳﺎس ﻣﻠف اﻻﻋداد " ."Unattended configuration-based executionوذﻟك ﺑﻛﺗﺎﺑﺔ URLﻓﻲ ﻣﻠف اﻻﻋداد ).(.config#RefRef ﻓﻲ ﺣﯾن أن ﺟﻣﯾﻊ اﻷدوات اﻟﻣذﻛورة أﻋﻼه ﻏﯾر ﻗﺎﺋﻣﮫ ﻋﻠﻰ أﺳﺎس ﻧﻘﺎط اﻟﺿﻌف ،#RefRef ،أداة أﺧرى ﻓﻲ ﺗرﺳﺎﻧﺔ اﻷﻧوﻧﯾﻣس ،وﯾﻘوم ﻋﻠﻰ أﺳﺎس ﻧﻘﺎط اﻟﺿﻌف اﻟﻣوﺟودة ﻓﻲ ﺑرﻧﺎﻣﺞ SQL databaseاﻟﻣﺳﺗﺧدم ﻋﻠﻰ ﻧطﺎق واﺳﻊ واﻟذي ﯾﺳﻣﺢ ﺑﮭﺟﻣﺎت اﻟﺣﻘن "."Injection attack ﺑﺎﺳﺗﺧدام #RefRef ،SQL injectionﺗﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن ﺑﺎﻟﺗﺳﺑب ﻓﻲ ﺣﺎﻟﺔ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ﻟﺧﺎدم اﻟﮭدف ﻋن طرﯾﻖ إﺟﺑﺎرھﺎ ﻋﻠﻰ اﺳﺗﺧدام داﻟﺔ SQLاﻟﺧﺎﺻﺔ )واﻟﺗﻲ ﺗﺳﻣﺢ ﺑﺎﻟﺗﻧﻔﯾذ اﻟﻣﺗﻛررة ﻷي ﺗﻌﺑﯾر SQLآﺧر( .ھذا اﻟﺗﻧﻔﯾذ اﻟﻣﺳﺗﻣر ﻟﺑﺿﻌﺔ أﺳطر ﻣن د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1120 اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ ﯾﺳﺗﮭﻠك ﻣوارد اﻟﺧوادم اﻟﻣﺳﺗﮭدﻓﺔ ،ﻣﻣﺎ ﯾؤدى إﻟﻰ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ .ﻋﻠﻰ ﻋﻛس LOICأو #RefRef ،HOICﻻ ﺗﺗطﻠب ﻋددا ﻛﺑﯾرا ﻣن اﻵﻻت ﻣن أﺟل اﺳﻘﺎط اﻟﺧﺎدم ﻧظرا ﻟطﺑﯾﻌﺔ ﻧﺎﻗﻼت ھﺟوﻣﮭﺎ .ﻓﺈذا ﻛﺎن اﻟﺧﺎدم/اﻟﻣﻠﻘم ﯾﺳﺗﺧدم SQLوذات ﻧﻘﺎط ﺿﻌف، ﻓﺎﻧﮫ ﺳوف ﯾﻛون ھﻧﺎك اﻟﺣﺎﺟﺔ ﻟﺳوى ﻋدد ﻗﻠﯾل ﻣن اﻵﻻت واﻟﺗﻲ ﺳوف ﺗﺗﺳﺑب ﻓﻲ اﻧﻘطﺎع ﻛﺑﯾر .ﻓﻲ ﺣﯾن ﻋﻧد ﺗطوﯾر اﻷداة ،ﻗﺎﻣت اﻷﻧوﻧﯾﻣس ﺑﺎﺧﺗﺑﺎره ﻋﻠﻰ ﻣﺧﺗﻠف اﻟﻣواﻗﻊ ،ﻣﻣﺎ ﺗﺳﺑب ﻓﻲ اﻧﻘطﺎع ﺣرﻛﺔ اﻟﻣرور ﺑﺳﮭوﻟﺔ ﻟدﻗﺎﺋﻖ ﻓﻲ ﻛل ﻣرة ،وﺗﺗطﻠب ﻓﻘط 20-10ﺛﺎﻧﯾﺔ ﻣن اﻟﺟﮭﺎز اﻟواﺣد ﻟﯾﻌﻣل .#RefRefﻓﻲ إﺣدى اﻟﮭﺟﻣﺎت )ﻋﻠﻰ ،(Pastebinﻛﺎن ھﺟوم ﻟﻣدة 17ﺛﺎﻧﯾﺔ ﻣن آﻟﺔ واﺣدة ﻗﺎدرة ﻋﻠﻰ اﺳﻘﺎطﮫ اﻟﻣوﻗﻊ ﻟﻣدة 42دﻗﯾﻘﺔ. #RefRefﻣﻛﺗوب ﺑﻠﻐﺔ ﺑﯾرل ﻣﻣﺎ ﯾﺟﻌﻠﮭﺎ ﻣﻧﺻﺔ ﻣﺳﺗﻘﻠﺔ .ﯾﺗم ﺗﺿﻣﯾن ﺑﯾرل ﻣﻊ ﻣﻌظم ﺗوزﯾﻌﺎت ﻟﯾﻧﻛس وﻟﻛن ﻟم ﯾﺗم ﺗﺛﺑﯾﺗﮫ ﻋﻠﻰ وﯾﻧدوز ﺑﺷﻛل اﻓﺗراﺿﻲ ،ﻟذﻟك ﯾﺟب ﺗﺛﺑﯾت ﺑﯾرل ﻋﻠﻰ وﯾﻧدوز #RefRef .ﺑرﻧﺎﻣﺞ ﻛﺎﻣل ﯾﺣﺗوي ﻓﻘط ﻋﻠﻰ 51أﺳطر ﻣن اﻟﺗﻌﻠﯾﻣﺎت اﻟﺑرﻣﺟﯾﺔ ،اﻧﮭﺎ ﺑﺳﯾطﺔ ﺟدا وﻟﻛﻧﮭﺎ ﻗوﯾﺔ ﺟدا.
اﻻﺳﺗﺧدام اﻷﺳﺎﺳﻲ ﻟﮭذا اﻟﺑرﻧﺎﻣﺞ ﻣن ﺧﻼل ﺳطر اﻷواﻣر ) .(perl ./refref.pl Target_URLھذا اﻻﺳﻛرﯾﺑت ﻻ ﯾﻣﻛن ان ﯾﻛون اﻋﻣﻰ ﺑﺣﯾث ﯾﺷﯾر اﻟﻰ أي ﻣﻠﻘم اﻟﮭدف ،ﻓﺈﻧﮫ ﯾﺟب أن ﺗﻛون ﻣﺳﺗﮭدف ﺿد URLاﻟذي ﯾدﯾر اﺳﺗﻌﻼم ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت ﻋﻠﻰ اﻟﻧظﺎم اﻟﺑﻌﯾد .ﻟﯾس ﻛل اﻟﺧوادم ﺳﺗﻛون ﻋرﺿﺔ ﻟﮭذا اﻟﻧوع ﻣن اﻟﮭﺟوم. ﺑﻣﺟرد ﺑدء ﻋﻣل #RefRefﻓﺎﻧﮫ ﺳوف ﯾﺳﺗﻣر ﻓﻲ اﻻﺗﺻﺎل ﺑﺎﻟﺧﺎدم وإرﺳﺎل أواﻣر injected SQL commandsﺣﺗﻰ ﯾﺗم إﻧﮭﺎء ﻣﻊ .CTRL+C
XOIC اﻟﻣﺻدرhttp://sourceforge.net/projects/xoic : XOICھﻲ اداه أﺧرى ﻷداء ھﺟﻣﺎت .DOSﯾﻧﻔذ ھﺟوم DOSﻋﻠﻰ أي ﺧﺎدم ﻣﻊ ﻋﻧوان ،IPﻣﻧﻔذ ﻣﺣدد ﻣن ﻗﺑل اﻟﻣﺳﺗﺧدم ،وﺑروﺗوﻛول ﻣن اﺧﺗﯾﺎر اﻟﻣﺳﺗﺧدم .ﻣطوري XOICﯾدﻋون أن XOICھو أﻗوى ﻣن LOICﻓﻲ ﻧواح ﻛﺛﯾرة .ﻣﺛل ،LOICﻷﻧﮫ ﯾﺄﺗﻲ ﻣﻊ واﺟﮭﺔ اﻟﻣﺳﺗﺧدم اﻟرﺳوﻣﯾﺔ ﺳﮭﻠﺔ اﻻﺳﺗﺧدام ،ﺑﺣﯾث ﯾﻣﻛن ﻟﻠﻣﺑﺗدﺋﯾن ﺑﺳﮭوﻟﺔ اﺳﺗﺧدام ھذه اﻷداة ﻟﺗﻧﻔﯾذ ھﺟﻣﺎت ﻋﻠﻰ اﻟﻣواﻗﻊ او اﻟﺧوادم اﻷﺧرى.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1121 ﺑﺷﻛل ﻋﺎم ،اﻷداة ﺗﺄﺗﻲ ﻣﻊ ﺛﻼﺛﺔ أﻧﻣﺎط ﻟﻠﮭﺟوم .اﻷول ،ﻣﻌروف ﺑﺎﺳم ،test modeوھو أﻣر أﺳﺎﺳﻲ ﺟدا .واﻟﺛﺎﻧﻲ ھو normal DOS attack
.modeوآﺧر واﺣد ھو وﺿﻊ DOS attack modeاﻟذي ﯾﺄﺗﻲ ﻣﻊ رﺳﺎﻟﺔ. TCP / HTTP / UDP / ICMP ھﻲ أداة ﻓﻌﺎﻟﺔ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﺿد اﻟﻣواﻗﻊ اﻟﺻﻐﯾرة .ﻻ ﺗﺣﺎول ذﻟك ﺿد ﻣوﻗﻊ اﻟوﯾب اﻟﺧﺎص ﺑك .ﻗد ﯾﻧﺗﮭﻲ ﺑك اﻷﻣر اﻟﻰ ﺗﺣطم ﺧﺎدم ﻣوﻗﻊ اﻟوﯾب اﻟﺧﺎص ﺑك .وﺗوﺟد ﻧﺳﺧﮫ ﻣطوره ﻣن XOICوﻟﻛﻧﮭﺎ ﻣﺧﺻﺻﮫ ﻟﻣﻧﺻﺎت اﻟﺗﺷﻐﯾل وﯾﻧدوز 7و 8وھﻲ .DLR_DoS
)HULK (HTTP Unbearable Load King اﻟﻣﺻدرhttp://packetstormsecurity.com/files/112856/HULK-Http-Unbearable-Load-King.html : HULKھو أداة أﺧرى ﻷداء ھﺟوم DoSاﻟذي ﯾوﻟد طﻠﺑﺎ ﻓرﯾد ﻟﻛل وﻛل طﻠب اﻧﺷﺄ ﻟﻠﺗﻌﺗﯾم ﻋﻠﻰ ﺣرﻛﺔ اﻟﻣرور ﻟﺧﺎدم اﻟوﯾب .ﺗﺳﺗﺧدم ھذه اﻷداة اﻟﻌدﯾد ﻣن اﻟﺗﻘﻧﯾﺎت اﻷﺧرى ﻟﺗﺟﻧب اﻟﻛﺷف ﻋن اﻟﮭﺟوم ﻋﺑر أﻧﻣﺎط ﻣﻌروﻓﺔ. ﻟدﯾﮫ ﻗﺎﺋﻣﺔ ﻣن وﻛﻼء اﻟﻣﺳﺗﺧدم ﻣﻌروف ﻻﺳﺗﺧداﻣﮭﺎ ﻋﺷواﺋﯾﺎ ﻣﻊ اﻟطﻠﺑﺎت .وﯾﺳﺗﺧدم أﯾﺿﺎ وﺳﯾط اﻟﺗزوﯾر ﺣﺗﻰ ﯾﻣﻛن ﺗﺟﺎوز ﻣﺣرﻛﺎت اﻟﺗﺧزﯾن اﻟﻣؤﻗت ،وﺑﺎﻟﺗﺎﻟﻲ ﻓﺈﻧﮫ ﯾﺿرب ﻣﺑﺎﺷرة ﻣوارد اﻟﺧﺎدم. ﻣطوري اﻷداة ﻗﺎﻣوا ﺑﺎﺧﺗﺑﺎرھﺎ ﻋﻠﻰ ﺧﺎدم اﻟوﯾب IIS 7ﻣﻊ 4ﻏﯾﻐﺎﺑﺎﯾت ﻣن ذاﻛرة اﻟوﺻول اﻟﻌﺷواﺋﻲ .ﻗﺎﻣت ھذه اﻷداة ﺑﺈﺳﻘﺎط اﻟﺧﺎدم ﻓﻲ أﻗل ﻣن دﻗﯾﻘﺔ واﺣدة .ھذه اﻷداة ﻣﺑﻧﯾﮫ ﺑﺎﺳﺗﺧدام اﻟﺑﯾﺛون.
DDOSIM - Layer 7 DDoS Simulator اﻟﻣﺻدرhttp://sourceforge.net/projects/ddosim : DDOSIMاداه اﺧرى ذات ﺷﻌﺑﯾﮫ ﻷداء ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ) .(DoSوﻛﻣﺎ ﯾوﺣﻲ اﺳﻣﮭﺎ ،وﯾﺗم اﺳﺗﺧداﻣﮫ ﻹﺟراء ھﺟﻣﺎت DDOSﻣن ﺧﻼل ﻣﺣﺎﻛﺎة اﻟﻌدﯾد ﻣن اﻟﻣﺿﯾﻔﯾن " ."Zombieﺟﻣﯾﻊ ﻣﺿﯾﻔﯾن " "Zombieﯾﻘوﻣون ﺑﺈﻧﺷﺎء اﺗﺻﺎﻻت TCPﻛﺎﻣل إﻟﻰ اﻟﻣﻠﻘم اﻟﮭدف .ھذه اﻷداة ﻣﻛﺗوﺑﮫ ﻓﻲ C ++وﺗﻌﻣل ﻋﻠﻰ أﻧظﻣﺔ ﻟﯾﻧﻛس. اﻟﻣﻼﻣﺢ اﻟرﺋﯾﺳﯾﺔ ﻟﮭذه اﻷداة ﻛﺎﻻﺗﻲ: - Simulates several zombies in attack - Random IP addresses - TCP-connection-based attacks - Application-layer DDOS attacks - HTTP DDoS with valid requests )- HTTP DDoS with invalid requests (similar to a DC++ attack - SMTP DDoS - TCP connection flood on random port ﻟﻘراءة اﻟﻣزﯾد ﻋن ھذه اﻷداة ﯾﻣﻛﻧك زﯾﺎرة اﻟراﺑط اﻟﺗﺎﻟﻲ: http://stormsecurity.wordpress.com/2009/03/03/application-layer-ddos-simulator/ ﻣﺛﺎل ﻋﻠﻰ اﺳﺗﺧدام ھذه اﻷداة ﻛﺎﻻﺗﻲ: إﻧﺷﺎء 10اﺗﺻﺎﻻت TCPﻣن ﻋﻧﺎوﯾن IPﻋﺷواﺋﻲ إﻟﻰ ﺧﺎدم اﻟﺷﺑﻛﺔ اﻟﻌﺎﻟﻣﯾﺔ وإرﺳﺎل طﻠﺑﺎت HTTPﻏﯾر ﺻﺎﻟﺣﺔ. $. /ddosim -d 192.168.1.2 -p 80 -c 10 -r HTTP_INVALID –i eth0 ﺗﺄﺳﯾس اﺗﺻﺎﻻت ﻻﻧﮭﺎﺋﯾﺔ ﻣن ﺷﺑﻛﺔ ﻣﺻدر 10.4.4.0إﻟﻰ ﺧﺎدم SMTPوإرﺳﺎل طﻠﺑﺎت :EHLO د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1122 $. /ddosim -d 192.168.1.2 -p 25 -k 10.4.4.0 -c 0 -r SMTP_EHLO -i eth0 ﺗﺄﺳﯾس اﺗﺻﺎﻻت ﻻﻧﮭﺎﺋﯾﺔ ﻓﻲ ﺳرﻋﺔ أﻋﻠﻰ ﻟﺧدﻣﺔ ﺷﺑﻛﺔ اﻻﺗﺻﺎﻻت اﻟﻌﺎﻟﻣﯾﺔ وﺗﻘدﯾم طﻠﺑﺎت HTTPﺻﺎﻟﺣﺔ. $. /ddosim -d 192.168.1.2 -p 80 -c 0 -w 0 -t 10 -r HTTP_VALID -i eth0 Tor’s Hammer اﻟﻣﺻدرhttp://packetstormsecurity.com/files/98831 : Tor’s Hammerھﻲ أداة ﻷداء ھﺟوم DoSأﺧرى ﻣن اﺟل اﻻﺧﺗﺑﺎر .وھﻲ أداة slow POSTﻣﻛﺗوﺑﺔ ﻓﻲ ﺑﺎﯾﺛون .ھذه اﻷداة ﻟدﯾﮭﺎ ﻣﯾزة إﺿﺎﻓﯾﺔ :ﯾﻣﻛن ﺗﺷﻐﯾﻠﮭﺎ ﻣن ﺧﻼل ﺷﺑﻛﺔ TORﻟﺗﻛون ﻣﺟﮭوﻟﺔ اﻟﻣﺻدر أﺛﻧﺎء ﺗﻧﻔﯾذ اﻟﮭﺟوم .وھﻲ أداة ﻓﻌﺎﻟﺔ ﯾﻣﻛن أن ﺗﻘﺗل ﻣﻠﻘﻣﺎت أﺑﺎﺗﺷﻲ أو IISﻓﻲ ﺑﺿﻊ ﺛوان.
)OWASP HTTP Post Tool (layer 7 DDOS ھﻲ أداة أﺧرى ﻟﺗﻧﻔﯾذ ھﺟﻣﺎت .DOSﯾﻣﻛﻧك اﺳﺗﺧدام ھذه اﻷداة ﻟﻠﺗﺣﻘﻖ ﻣﺎ إذا ﻛﺎن ﺧﺎدم اﻟوﯾب اﻟﺧﺎص ﺑك ﻗﺎدر ﻋﻠﻰ اﻟدﻓﺎع ﺿد ھﺟوم DOSأو ﻻ .ﻟﯾس ﻓﻘط ﻟﻠدﻓﺎع ،ﻓﺈﻧﮫ ﯾﻣﻛن أﯾﺿﺎ أن ﺗﺳﺗﺧدم ﻟﺗﻧﻔﯾذ ھﺟﻣﺎت DOSﺿد ﻣوﻗﻊ ﻋﻠﻰ ﺷﺑﻛﺔ اﻻﻧﺗرﻧت.
ﯾﻣﻛﻧك ﺗﺣﻣﯾﻠﮫ ﻣن ﺧﻼل اﻟراﺑط اﻟﺗﺎﻟﻲ: https://cloud.mail.ru/public/10deb4151ce4/HttpDosTool3.6.zip DAVOSET اﻟﻣﺻدرhttp://packetstormsecurity.com/files/123084/DAVOSET-1.1.3.html : DAVOSETھﻲ أداة أﺧرى ﻹﺟراء ھﺟﻣﺎت .DDOSوﻗد أﺿﺎف اﻹﺻدار اﻷﺣدث ﻣن ھذه اﻷداة اﻟدﻋم ﻟﻣﻠﻔﺎت cookiesﺟﻧﺑﺎ إﻟﻰ ﺟﻧب ﻣﻊ اﻟﻌدﯾد ﻣن اﻟﻣﯾزات اﻷﺧرى .ﯾﻣﻛﻧك ﺗﺣﻣﯾل DAVOSETﻣﺟﺎﻧﺎ ﻣن .Packetstormsecurity GoldenEye HTTP Denial of Service Tool اﻟﻣﺻدرhttp://packetstormsecurity.com/files/120966/GoldenEye-HTTP-Denial-Of-Service-Tool.html :
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1123 GoldenEyeأداه أﺧرى ﻷداء ھﺟوم DOSوھﻰ أداة ﺑﺳﯾطﺔ ﻟﻛﻧﮭﺎ ﻓﻌﺎﻟﺔ .ﺗم ﺗطوﯾره ﻓﻲ ﺑﺎﯾﺛون ﻻﺧﺗﺑﺎر ھﺟﻣﺎت ،DOSوﻟﻛن اﻟﻧﺎس أﯾﺿﺎ ﺗﺳﺗﺧدﻣﮫ ﺑﻣﺛﺎﺑﺔ أداة اﻟﻘرﺻﻧﺔ. DoSHTTP اﻟﻣﺻدرhttp://www.socketsoft.net : DoSHTTPھﻲ وﺳﯾﻠﺔ ﺳﮭﻠﺔ اﻻﺳﺗﺧدام وﻗوﯾﺔ ﻷداء ) HTTP Flood Denial of Service (DoSﻛﺄداة اﺧﺗﺑﺎر ﻟﻣﻧﺻﺔ وﯾﻧدوز. DoSHTTPﯾﺷﻣل ،HTTP Redirection ،URL Verificationﺗﻌﯾن اﻟﻣﻧﺎﻓذ " "Port Designationورﺻد اﻷداء وﺗﺣﺳﯾن إﻋداد اﻟﺗﻘﺎرﯾر. ﯾﺳﺗﺧدم DoSHTTPﻣﺂﺧذ " "socketsﻣﺗﻌددة ﻣﺗزاﻣﻧﺔ ﻟﺗﻧﻔﯾذ ﻓﯾﺿﺎﻧﺎت HTTPاﻟﻔﻌﺎﻟﺔ .وﯾﻣﻛن اﺳﺗﺧدام DoSHTTPﻓﻲ وﻗت واﺣد ﻋﻠﻰ ﻋدة ﻋﻣﻼء ﻟﻣﺿﺎھﺎة ھﺟوم اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ اﻟﻣوزﻋﺔ ).(DDoS DoSHTTPﯾﻣﻛن أن ﺗﺳﺎﻋد ﻣﮭﻧﻲ ﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﻌﻠوﻣﺎت ﻓﻲ اﺧﺗﺑﺎر أداء ﺧدﻣﺔ اﻟوﯾب وﺗﻘﯾﯾم ﺑراﻣﺞ اﻟﺣﻣﺎﯾﺔ اﻟﺧﺎﺻﺔ ﺑﺎﻟﺧﺎدم ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت .ﺗم ﺗطوﯾر DoSHTTPﻣن ﻗﺑل ﻣﮭﻧﯾﯾن أﻣن ﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻣﻌﻠوﻣﺎت وﺗطوﯾر اﻟﺑرﻣﺟﯾﺎت. اﻟﻣﯾزات: ﺳﮭﻠﺔ اﻻﺳﺗﺧدام وﻗوﯾﺔ ﻛﺄداة اﺧﺗﺑﺎر ﻷداء ).HTTP Flood Denial of Service (DoS ﯾﺳﺗﺧدم ﻣﺂﺧذ " "socketsﻣﺗﻌددة ﻣﺗزاﻣﻧﺔ ﻷداء ﻓﯾﺿﺎﻧﺎت HTTPﻓﻌﺎل. ﯾﺳﻣﺢ ﺑﻌدة ﻋﻣﻼء ﻟﻣﺿﺎھﺎة ھﺟوم اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ اﻟﻣوزع. ﯾﺳﻣﺢ ﺑﺗﻌﯾﯾن ﻣﻧﻔذ اﻟﮭدف داﺧل ].URL [http://host:port/ ﯾدﻋم إﻋﺎدة ﺗوﺟﯾﮫ HTTPﻹﻋﺎدة ﺗوﺟﯾﮫ اﻟﺻﻔﺣﺎت ﺗﻠﻘﺎﺋﯾﺎ )اﺧﺗﯾﺎري(. ﯾﺷﻣل ﻣراﻗﺑﺔ اﻷداء وإﻋداد اﻟﺗﻘﺎرﯾر اﻟﻣﺣﺳﻧﺔ. ﯾﺳﻣﺢ ﺑﺗﻌدﯾل ﺣﻘول .User Agent header ﺗﺗﯾﺢ ﻟﻠﻣﺳﺗﺧدم ﺗﻌرﯾف اﻟﻣﻘﺑس " "socketsوطﻠب اﻹﻋدادات. ﯾدﻋم numeric addressingﻟﻌﻧﺎوﯾن اﻟﻣواﻗﻊ اﻟﻣﺳﺗﮭدﻓﺔ. ﯾﺗﺿﻣن دﻟﯾل اﻟﻣﺳﺗﺧدم اﻟﺷﺎﻣل ﯾﺧﻠﻰ ﺟﻣﯾﻊ ﻋﻧﺎوﯾن اﻟﮭدف وإﻋﺎدة ﺗﻌﯾﯾن ﺟﻣﯾﻊ اﻟﺧﯾﺎرات. -اﻵن ﯾدﻋم 15،000ﻣن اﻻﺗﺻﺎﻻت اﻟﻣﺗزاﻣﻧﺔ.
Sprut Sprutھو اداه ﻷداء ھﺟوم TCPاﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ﻣﺗﻌدد.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1124 )PHP Dos/DDoS Script (Dos Attack Tool ھذا اﻟﺳﻛرﯾﺑت ھو PHP scriptاﻟذي ﯾﺳﻣﺢ ﻟﻠﻣﺳﺗﺧدﻣﯾن ﻟﺗﻧﻔﯾذ ھﺟﻣﺎت دوس )اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ( ﺿد IP/websiteدون أي ﺗﻌدﯾل أو ﻣﻌﻠوﻣﺎت ﻣﺣددة.
أدوات أﺧﺮى
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1125
Telephony Denial-of-Service اﻟﺻوت ﻋﺑر ﻣﯾﺛﺎق اﻹﻧﺗرﻧت )ﺑروﺗوﻛول اﻹﻧﺗرﻧت( Voice over IPأو VoIPھو وﺳﯾﻠﺔ ﻟرﺑط اﻟﻣﺣﺎدﺛﺎت اﻟﺻوﺗﯾﺔ ﻋﺑر اﻹﻧﺗرﻧت أو ﻋﺑر أي ﺷﺑﻛﺔ ﺗﺳﺗﺧدم ﻣﯾﺛﺎق اﻟﺷﺑﻛﺔ .Internet Protocolوﺑﺎﻟﺗﺎﻟﻲ ﯾﻣﻛن ﻷي ﻋدد ﻣن اﻷﺷﺧﺎص ﻣﺗﺻﻠﯾن ﺳوﯾًﺎ ﺑﺷﺑﻛﺔ واﺣدة ﺗﺳﺗﺧدم ﺑروﺗوﻛول اﻹﻧﺗرﻧت ) (IPﻣﺛل )اﻹﻧﺗرﻧت( أن ﯾﺗﺣﺎدﺛوا ھﺎﺗﻔﯾًﺎ ﺑﺎﺳﺗﺧدام ھذه اﻟﺗﻘﻧﯾﺔ .ﺗم اﺳﺗﺧدام ھذه اﻟﺗﻘﻧﯾﺔ ﺑطرﯾﻘﮫ ﺳﯾﺋﺔ ﻣن ﺧﻼل أﻋداد ﻛﺑﯾرة ﻣن أﺻوات اﻟﻣﻛﺎﻟﻣﺎت اﻟﮭﺎﺗﻔﯾﺔ اﻟﻐﯾر ﻣﻛﻠﻔﺔ وﻣؤﺗﻣﺗﺔ ﺑﺳﮭوﻟﺔ ﻋﻧد اﻟﻘﯾﺎم ﺑﺎﺗﺻﺎل ﺣﻘﯾﻘﻲ واﻟﺗﻰ ﺣرﻓت ﻋن طرﯾﻖ اﻧﺗﺣﺎل ھوﯾﺔ اﻟﻣﺗﺻل. وﻓﻘﺎ ﻟﻣﻛﺗب اﻟﺗﺣﻘﯾﻘﺎت اﻻﺗﺣﺎدي اﻷﻣرﯾﻛﻲ ،ﻓﻘد ظﮭر ) telephony denial-of-service (TDoSﻛﺟزء ﻣن اﻟﻣﺧططﺎت اﻻﺣﺗﯾﺎﻟﯾﺔ اﻟﻣﺧﺗﻠﻔﺔ: ﻗﯾﺎم اﻟﻣﺧﺎدع ﺑﺎﺗﺻﺎل ﻣﻊ اﻟﻣﺻرف اﻟﺧﺎص ﺑﺎﻟﺿﺣﯾﺔ أو اﻟوﺳﯾط ،واﻧﺗﺣﺎل ﺷﺧﺻﯾﺔ اﻟﺿﺣﯾﺔ ﻟطﻠب ﻧﻘل اﻷﻣوال .ﻓﯾﺣﺎول اﻟﻣﺻرﻓﻲاﻻﺗﺻﺎل ﺑﺎﻟﺿﺣﯾﺔ ﻟﻠﺗﺣﻘﻖ ﻣن اﻟﻧﻘل وﻟﻛﻧﮫ ﯾﻔﺷل ﺣﯾث ﯾﺗم إﻏراق ﺧطوط ھﺎﺗف اﻟﺿﺣﯾﺔ ﻣﻊ اﻵﻻف ﻣن اﻟﻣﻛﺎﻟﻣﺎت اﻟوھﻣﯾﺔ ،ﻣﻣﺎ ﯾﺟﻌل اﻟﺿﺣﯾﺔ ﻏﯾر ﻗﺎﺑﻠﺔ ﻟﻠوﺻول. اﺗﺻﺎﻻت اﻟﻣﺧﺎدع ﻣﻊ اﻟﻣﺳﺗﮭﻠﻛﯾن ﻣﻊ ﻣطﺎﻟب وھﻣﯾﺔ ﻟﺟﻣﻊ ﻗرض ﻣن اﻟﻣﺎل ﻵﻻف ﻣن اﻟدوﻻرات .ﻋﻧدﻣﺎ ﯾﻌﺗرض اﻟﻣﺳﺗﮭﻠك ،ﻓﺎناﻟﻣﺧﺎدع ﯾﻧﺗﻘم ﻣﻊ اﻏراق ﺻﺎﺣب اﻟﻌﻣل اﻟﺿﺣﯾﺔ ﺑﺎﻵﻻف ﻣن اﻟﻣﻛﺎﻟﻣﺎت اﻵﻟﻲ .ﻓﻲ ﺑﻌض اﻟﺣﺎﻻت ،ﯾﺗم ﻋرض وﺗزﯾﯾف ھوﯾﺔ اﻟﻣﺗﺻل ﻣن أﺟل اﻧﺗﺣﺎل اﻟﺷﺧﺻﯾﺎت أو ھﯾﺋﺎت اﻟﺷرطﺔ اﻟﻣﻛﻠﻔﯾن ﺑﺈﻧﻔﺎذ اﻟﻘﺎﻧون. اﺗﺻﺎﻻت اﻟﻣﺧﺎدع ﺑﺎﻟﻣﺳﺗﮭﻠﻛﯾن ﻣﻊ ﻣطﻠب وھﻣﻰ ﻟﺗﺣﺻﯾل اﻟدﯾون وﯾﮭدد ﺑﺈرﺳﺎل اﻟﺷرطﺔ؛ ﻋﻧدﻣﺎ ﯾرﻓض اﻟﺿﺣﯾﺔ ﻓﺎن اﻟﻣﺣﺗﺎل ﯾﻘومﺑﺈﻏراق أرﻗﺎم اﻟﺷرطﺔ اﻟﻣﺣﻠﯾﺔ ﺑﺎﻟﻣﻛﺎﻟﻣﺎت واﻟﺗﻲ ﺗم ﺗزﯾﯾف ھوﯾﺔ اﻟﻣﺗﺻل ﺑﮭﺎ ﻟﻌرض رﻗم اﻟﺿﺣﯾﺔ .اﻟﺷرطﺔ ﺗﺻل اﻟﻰ ﻣﻘر اﻟﺿﺣﯾﺔ ﻣﺣﺎوﻟﺔ اﻟﻌﺛور ﻋﻠﻰ ﻣﺻدر اﻟﻣﻛﺎﻟﻣﺎت. Telephony denial-of-serviceﯾﻣﻛن أن ﺗوﺟد ﺣﺗﻰ ﻣن دون اﺗﺻﺎل ھﺎﺗﻔﻲ ﻋﺑر اﻹﻧﺗرﻧت .ﻓﻲ ﻋﺎم 2002ﻓﺿﯾﺣﺔ اﻧﺗﺧﺎﺑﺎت ﻣﺟﻠس اﻟﺷﯾوخ ﻧﯾو ھﺎﻣﺑﺷﯾر ،ﺣﯾث اﺳﺗﺧدﻣت اﻻﺗﺻﺎﻻت اﻟﮭﺎﺗﻔﯾﺔ ﻹﻏراق اﻟﺧﺻوم اﻟﺳﯾﺎﺳﯾﯾن ﻣﻊ اﺗﺻﺎﻻت زاﺋﻔﺔ ﻟﮭﺎﺗف ﺑﻧك ﻣﺷوش ﻓﻲ ﯾوم اﻻﻧﺗﺧﺎﺑﺎت. TDoSﺗﺧﺗﻠف ﻋن ﻏﯾرھﺎ ﻣن اﻟﻣﺿﺎﯾﻘﺎت اﻟﮭﺎﺗﻔﯾﺔ )ﻣﺛل اﻟﻣﻛﺎﻟﻣﺎت واﻟﻣﻛﺎﻟﻣﺎت اﻟﮭﺎﺗﻔﯾﺔ ذات اﻟﻣزﺣﺔ اﻟﺑذﯾﺋﺔ( ﺣﯾث ﻣﻊ رﻗم اﻻﺗﺻﺎل اﻷﺻﻠﻲ ﯾﻣﻛن اﺷﻐﺎل اﻟﺧطوط ﻣﻊ اﻟﻣﻛﺎﻟﻣﺎت اﻵﻟﯾﺔ اﻟﻣﺗﻛررة ،وھﻧﺎ ﯾﺗم ﻣﻧﻊ اﻟﺿﺣﯾﺔ ﻣن إﺟراء أو اﺳﺗﻘﺑﺎل اﻟﻣﻛﺎﻟﻣﺎت اﻟﮭﺎﺗﻔﯾﺔ ﺳواء اﻟروﺗﯾﻧﯾﺔ واﻟطﺎرﺋﺔ. وﻣن اﻟﻣﺂﺛر اﻟﻣﺗﻌﻠﻘﺔ ﺑﮭذه ھﺟﻣﺎت SMS floodingو black faxأو .fax loop transmission وﯾﻣﻛن اﻟﻘﯾﺎم ﺑذﻟك ﻣن ﺧﻼل أي ﻣوﻗﻊ ﯾﻘدم ﺧدﻣﺔ caller ID spoofingاو ﻣن ﺧﻼل DDoS for hireاﻟذي ﺗﻘدم ھذه اﻟﺧدﻣﺔ ﻣﻘﺎﺑل ﻗدر ﻣن اﻟﻣﺎل. د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1126 ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ اﻟﻐﯾر ﻣﻘﺻودة ""Unintentional Denial-of-Service ھذا ﯾﺻف اﻟﺣﺎﻟﺔ اﻟﺗﻲ ﯾﻛون ﻓﯾﮭﺎ ﻣوﻗﻊ ﻋﻠﻰ ﺷﺑﻛﺔ اﻻﻧﺗرﻧت ﺗم اﺳﻘﺎطﮫ او ﺗوﻗف ﻋن اﻟﻌﻣل ،وھذا ﻟﯾس ﺑﺳﺑب ھﺟوم ﻣﺗﻌﻣد ﻣن ﻗﺑل ﻓرد واﺣد أو ﻣﺟﻣوﻋﺔ ﻣن اﻷﻓراد ،وﻟﻛن ﺑﺑﺳﺎطﺔ ﺑﺳﺑب اﻻرﺗﻔﺎع اﻟﮭﺎﺋل اﻟﻣﻔﺎﺟﺊ ﻓﻲ ﺷﻌﺑﯾﺗﮫ .ھذا ﯾﻣﻛن أن ﯾﺣدث ﻋﻧد ﯾﻘوم ﻣوﻗﻊ ﻋﻠﻰ اﻻﻧﺗرﻧت ذات ﺷﻌﺑﯾﮫ ھﺎﺋﻠﺔ ﺑﻣﺷﺎرﻛﺔ راﺑط ﺑﺎرز ،ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻛﺟزء ﻣن اﻟﻘﺻﺔ اﻹﺧﺑﺎرﯾﺔ .واﻟﻧﺗﯾﺟﺔ ھﻲ أن ﻧﺳﺑﺔ ﻛﺑﯾرة ﻣن اﻟﻣﺳﺗﺧدﻣﯾن اﻟﻣﻧﺗظﻣﯾن ﻋﻠﻰ اﻟﻣوﻗﻊ اﻷﺳﺎﺳﻲ واﻟذي ﯾﺣﺗﻣل ﻣﺋﺎت اﻵﻻف ﻣن اﻟﻧﺎس – ﻗﺎﻣت ﺑﺎﻟﻧﻘر ﻓوق ھذا اﻟراﺑط ﻓﻲ ﻏﺿون ﺳﺎﻋﺎت ﻗﻠﯾﻠﺔ ،وھذا ﻟﮫ ﻟﮭﺎ ﻧﻔس اﻟﺗﺄﺛﯾر ﻋﻠﻰ اﻟﻣوﻗﻊ اﻟﻣﺳﺗﮭدف ﻣن ﻗﺑل ھﺟوم دوس .و VIPDoSھو ﻧﻔﺳﮫ ،وﻟﻛن ﻋﻠﻰ وﺟﮫ اﻟﺗﺣدﯾد ﻋﻧدﻣﺎ ﯾﺗم ﻧﺷر راﺑط ﻣن ﻗﺑل اﻟﻣﺷﺎھﯾر. ﻋﻧدﻣﺎ ﺗوﻓﻲ ﻣﺎﯾﻛل ﺟﺎﻛﺳون ﻓﻲ ﻋﺎم ،2009ﻓﺎن ﻣواﻗﻊ ﻣﺛل ﺟوﺟل وﺗوﯾﺗر ﺣدث ﻟﮭﺎ ﺗﺑﺎطﺄ أو ﺣﺗﻰ ﺗﺣطﻣت. أﺟﮭزة اﻟراوﺗر ﯾﻣﻛﻧﮭﺎ أﯾﺿﺎ إﻧﺷﺎء ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ﻏﯾر ﻣﻘﺻودة ،ﺣﯾث ان ﻛل ﻣن D-Linkو Netgearراوﺗر ﻛﻼ ﻣن ﯾﻣﻛﻧﮭﺎ ﺗﺧرﯾب NTPﻣن ﺧﻼل إﻏراق ﺧوادم NTPدون اﺣﺗرام اﻟﻘﯾود اﻟﻣﻔروﺿﺔ ﻋﻠﻰ أﻧواع اﻟﻌﻣﯾل أو اﻟﺣدود اﻟﺟﻐراﻓﯾﺔ. ﯾﻣﻛن أن ﯾﺣدث اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ،ﻋن ﻏﯾر ﻗﺻد ﻣﻣﺎﺛل أﯾﺿﺎ ﻋن طرﯾﻖ وﺳﺎﺋل اﻹﻋﻼم اﻷﺧرى ،ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ﻋﻧدﻣﺎ ﯾذﻛر URL ﻋﻠﻰ اﻟﺗﻠﻔزﯾون .ﻓﺈذا ﻛﺎن ﻟم ﯾﺗم ﻓﮭرﺳﺗﮭﺎ ﻣن ﻗﺑل ﺧوادم ﺟوﺟل أو ﻣﺣرك ﺑﺣث آﺧر ﺧﻼل ﻓﺗرات اﻟذروة ﻣن اﻟﻧﺷﺎط ،أو ﻟﯾس ﻟدﯾﮭﺎ اﻟﻛﺛﯾر ﻣن ﻋرض اﻟﻧطﺎق اﻟﺗرددي اﻟﻣﺗوﻓر ﻓﻲ ﺣﯾن ﯾﺗم ﻓﮭرﺳﺗﮭﺎ ،ﻓﺈﻧﮫ ﯾﻣﻛن أﯾﺿﺎ إﺣداث آﺛﺎر ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ. ﺗم اﺗﺧﺎذ اﻹﺟراءات اﻟﻘﺎﻧوﻧﯾﺔ ﻓﻲ واﺣد ﻋﻠﻰ اﻷﻗل ﻣﺛل ھذه اﻟﺣﺎﻟﺔ .ﻓﻲ ﻋﺎم ،2006ﻣؤﺳﺳﺔ Universal Tube & Rollform Equipment
ﻟﻠﻣﻌدات ﻗﺎﻣت ﺑرﻓﻊ دﻋوى ﻗﺿﺎﺋﯾﺔ ﺿد ﺷرﻛﺔ ﯾوﺗﯾوب :ﺣﯾث ان أﻋداد ھﺎﺋﻠﺔ ﻣن ﻣﺳﺗﺧدﻣﻲ youtube.com ،ﻗﺎﻣوا ﻋن طرﯾﻖ اﻟﺧطﺄ ﻛﺗﺎﺑﺔ URLاﻟﺷرﻛﺔ .utube.com ،وﻧﺗﯾﺟﺔ ذﻟك ،أﻧﻔﻘت اﻟﺷرﻛﺔ ﻣﺑﺎﻟﻎ ﻛﺑﯾرة ﻣن اﻟﻣﺎل ﻟرﻓﻊ ﻣﺳﺗوى ﻋرض اﻟﻧطﺎق اﻟﺗرددي. ﻓﻲ ﻣﺎرس ﻋﺎم ،2014ﺑﻌد أن ﻓﻘدت اﻟطﺎﺋرة اﻟﻣﺎﻟﯾزﯾﺔ ،Malaysia Airlines Flight 370أطﻠﻘت دﯾﺟﯾﺗﺎل ﺧدﻣﺔ crowdsourcing service اﻟﺗﻲ ﯾﻣﻛن أن ﺗﺳﺎﻋد ﻓﻲ اﻟﺑﺣث ﻋن اﻟطﺎﺋرة اﻟﻣﻔﻘودة ﻓﻲ ﺻور اﻷﻗﻣﺎر اﻟﺻﻧﺎﻋﯾﺔ .ﻓطﻐت اﻻﺳﺗﺟﺎﺑﺔ ﺧوادم اﻟﺷرﻛﺔ. Denial-of-Service Level II
ھدف ھﺟوم DoS L2ھو أن ﯾﺗﺳﺑب ﻓﻲ إطﻼق آﻟﯾﺔ اﻟدﻓﺎع اﻟﺗﻲ ﺗﻐﻠﻖ ﻗطﻌﺔ اﻟﺷﺑﻛﺔ اﻟﺗﻲ ﻧﺷﺄ اﻟﮭﺟوم ﻣﻧﮭﺎ .ﻓﻲ ﺣﺎﻟﺔ ھﺟوم DDoS أو ) IP header modificationوھذا ﯾﻌﺗﻣد ﻋﻠﻰ ﻧوع اﻟﺳﻠوك اﻷﻣﻧﻲ( ﻓﺈﻧﮫ ﺳﯾﺗم ﻓﺻل ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﺗﻣﺎﻣﺎ ﻋن اﻟﮭﺟوم ،وﻟﻛن ﻣن دون ﺳﻘوط اﻟﻧظﺎم. Regular expression Denial of Service – ReDoS ) Regular expression Denial of Service (ReDoSھو ھﺟوم اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ،اﻟذي ﯾﺳﺗﻐل ﺣﻘﯾﻘﺔ أن ﻣﻌظم ﺗطﺑﯾﻘﺎت Regular Expressionﻗد ﺗﺻل اﻟﻰ اﻷوﺿﺎع اﻟﻘﺎﺳﯾﺔ اﻟﺗﻲ ﺗﺳﺑب اﻟﻌﻣل ﺑﺑطء ﺷدﯾد )اﻟﻣﺗﻌﻠﻘﺔ ﺑﺷك ﻛﺑﯾر ﻣﻊ ﺣﺟم اﻟﻣدﺧﻼت( .ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم ان ﯾﺗﺳﺑب ﻟﻠﺑرﻧﺎﻣﺞ ﺑﺎﺳﺗﺧدام ﺗﻌﺑﯾر ﻋﺎدي Regular Expressionاﻟدﺧول ﻓﻲ اﻟﺣﺎﻻت اﻟﻘﺻوى وﻣن ﺛم اﻟﺗﻌطل ﻟﻔﺗرة طوﯾﻠﺔ ﺟدا. اﻟﻮﺻﻒ ﺟﻣﯾﻌﻧﺎ ﯾﻌﻠم ان ﺟﻣﯾﻊ ﻣواﻗﻊ اﻟوﯾب ,اﻟﺑرﻣﺟﯾﺎت ﻛل ﺷﻲء ﻓﻲ ﻋﺎﻟم اﻟﺣوﺳﺑﺔ ﯾﺳﺗﺧدم اﻟﺗﻌﺎﺑﯾر اﻟﻣﻧطﻘﯾﺔ " "regular expressionواﻻﺗوﻣﺎت ") "automatonﻓﻔﻲ اﻟﺻراف اﻵﻟﻲ ﻧﺿﻊ اﻟﺑطﺎﻗﺔ أوﻻً وﻣن ﺛم ﻧﺳﺗﺧدم ﻟوﺣﺔ اﻟﻣﻔﺎﺗﯾﺢ ﻟﻼﺳﺗﻌﻼم ﻋن اﻟرﺻﯾد أو ﻟﺳﺣب ﻣﺑﻠﻎ ﻣﻌﯾن أو...إﻟﺦ، أي ﯾﻛون ﻟدﯾﻧﺎ ﻋدد ﻣن اﻷﺣداث ﺑﺗﺳﻠﺳل ﻣﻌﯾن وﻟﻛن ﯾوﺟد اﺧﺗﻼف ﻓﻲ ﺗﺳﻠﺳﻼت اﻷﺣداث ﻓﺎﻟﺗﺳﻠﺳل ﻏﯾر ﺛﺎﺑت وﺗﺳﻠﺳل اﻷﺣداث ھذا اﻟذي ﯾﺗم ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت أو ﻋﻠﻰ ﺣرﻛﺔ اﻟﻣﻌﻠوﻣﺎت ھو اﻟﺣﺳﺎﺑﺎت واﻟﻠﻐﺔ اﻟﺗﻲ ﯾﺗﻌرف ﻋﻠﯾﮭﺎ اﻷﺗوﻣﺎت اﻟﺧﺎص ﺑﮭذا اﻟﻧظﺎم ،ﺑﺎﻟﺗﺎﻟﻲ ﻟﯾس ﻣن اﻟﺿروري اﻟﺳﯾر ﺑﻧﻔس اﻟﺗﺳﻠﺳل ﻓﻲ ﻛل ﻣرة ﻓﻣﺛﻼً ﺑﻌد ادﺧﺎل اﻟﺑطﺎﻗﺔ ﻟﻠﺻراف ﻟﯾس ﻣن اﻟﻣﻔروض داﺋﻣﺎ ً اﺧﺗﯾﺎر اﻟﺣﺳﺎب اﻟﺟﺎري ﺑل ﻣﻣﻛن اﺧﺗﯾﺎر ﺣﺳﺎب اﻟﺗوﻓﯾر ﻓﻛﻼ اﻟﻌﻣﻠﯾﺗﯾن ﻣﻘﺑوﻟﺗﺎن ﺑﺎﻟﻧﺳﺑﺔ ﻟﻧﺎ وﺑﺎﻟﺗﺎﻟﻲ ﯾﻣﻛن اﻟذھﺎب ﺑﻔرﻋﯾن ﻣﺧﺗﻠﻔﯾن ﻓﻲ اﻷﺗوﻣﺎت(. ﻟﺷرح ھذا ﺳوف ﯾدﺧﻠﻧﺎ اﻟﻰ ﻋﺎﻟم اﻟﺑرﻣﺟﺔ وﻟﻛن ﻟﻠذي ﯾرﯾد ان ﯾﻘرا ﻓﻲ ھذا اﻟﻣوﺿوع وﯾﻔﮭﻣﮫ ﯾﻣﻛن ذﻟك ﻣن ﺧﻼل اﻻﺗوﻣﺎت "."automaton ﻣﺎ ﯾﮭﻤﻨﺎ ھﻨﺎ ھﻮ Evil Regexes اﻟ "Regular Expression" regexاﻟﺗﻲ ﺗﺳﻣﻰ evilھﻲ اﻟﺗﻲ ﺗﻠﺗﺻﻖ ﺑﺎﻟﻣدﺧﻼت اﻟﺗﻲ ﺻﯾﻐت ﺑﻌﻧﺎﯾﺔ. اﻣﺛﻠﮫ ﻋﻠﻰ Evil Regexesﻛﺎﻻﺗﻲ:
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1127 (a+)+ *)([a-zA-Z]+ (a|aa)+ (a|a?)+ (.*a){x} | for x > 10 اﻟﻣﮭﺎﺟم ﯾﺳﺗﺧدم اﻟﻣﻌرﻓﺔ اﻟﻣذﻛورة أﻋﻼه ﻟﻠﺑﺣث ﻋن اﻟﺗطﺑﯾﻘﺎت اﻟﺗﻲ ﺗﺳﺗﺧدم اﻟﺗﻌﺎﺑﯾر اﻟﻣﻧطﻘﯾﺔ " ،"regular expressionاﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ ،Evil Regexesوإرﺳﺎل اﻟﻣدﺧﻼت اﻟﺗﻲ ﺻﯾﻐت ﺑﻌﻧﺎﯾﺔ ،واﻟﺗﻲ ﺳوف ﺗﺳﺑب ﺗﻌطل اﻟﻧظﺎم .ﺑدﻻ ﻣن ذﻟك ،إذا ﺗﺄﺛر Regexesﻧﻔﺳﮭﺎ ﺑﺈدﺧﺎل اﻟﻣﺳﺗﺧدم ،ﻓﺎن اﻟﻣﮭﺎﺟم ﯾﻣﻛﻧﮫ ﺣﻘن ،Evil Regexesوﺟﻌل اﻟﻧظﺎم ﻋرﺿﺔ ﻟﻠﺧطر.
ﻓﻲ ﻛل طﺑﻘﺔ ﻣن طﺑﻘﺎت WEBھﻧﺎك اﻟﺗﻌﺎﺑﯾر اﻟﻣﻧطﻘﯾﺔ " ،"regular expressionاﻟﺗﻲ ﻗد ﺗﺣﺗوي ﻋﻠﻰ .Evil Regexesاﻟﻣﮭﺎﺟم ﯾﻣﻛﻧﮫ أن ﯾﻌطل ﻣﺗﺻﻔﺢ اﻟوﯾب )ﻋﻠﻰ ﺟﮭﺎز ﻛﻣﺑﯾوﺗر أو ﯾﺣﺗﻣل أﯾﺿﺎ ﻋﻠﻰ اﻟﺟﮭﺎز اﻟﻣﺣﻣول( ،ﯾﻌطل ﺟدار ﺣﻣﺎﯾﺔ ﺗطﺑﯾﻖ وﯾب) ، (WAFوﻣﮭﺎﺟﻣﺔ ﻗﺎﻋدة ﺑﯾﺎﻧﺎت ،وﺣﺗﻰ ﻣﮭﺎﺟﻣﺔ ﻧﻘﺎط ﺿﻌف ﺧﺎدم اﻟوﯾب. ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل إذا وﺟد ھذا ﻓﻲ ﺗطﺑﯾﻖ وﯾب. ;String userName = textBox1.Text ;String password = textBox2.Text ;)Regex testPassword = new Regex(userName ;)Match match = testPassword.Match(password )if (match.Success { ;)"MessageBox.Show("Do not include name in password. } else { ;)"MessageBox.Show("Good password. } ﻣن ﺧﻼل ھذا إذا ﻗﺎم اﻟﻣﺳﺗﺧدم ﺑﺈدﺧﺎل " "^(([a-z])+.)+[A-Z]([a-z])+$ﻛﺎﺳم اﻟﻣﺳﺗﺧدم و "!"aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa ﻛﻛﻠﻣﺔ اﻟﺳر ﻓﺎن ھذا ﺳوف ﯾؤدى اﻟﻰ اﻟﺗﻌطل "."hang Hash Collisions DoS Attacks PHP – ASP.Net Hash Algorithm Collision DoS ﻓﻲ ھذا اﻟﻘﺳم ﺳوف ﻧظﮭر ﻟﻛم ﻛﯾف ﯾﻣﻛن ھﺟوم اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ﻓﻲ اﻟطﺑﻘﺔ 7ﺿد ﺗطﺑﯾﻘﺎت اﻟوﯾب ،ﻣن ﺧﻼل ﺧوارزﻣﯾﺔ .hash algorithm collision ﻋﻠﻰ وﺟﮫ اﻟﺧﺻوص ،ھذه اﻷﻧواع ﻣن اﻟﮭﺎش ،ﻟﯾﺳت ﻛﻧوع ﻣن أﻧواع اﻟﺗﺷﻔﯾر وﻟﻛﻧﮭﺎ ﻛﮭﺷﺎت ﻟﻠﻣﻌﻠﻣﺎت اﻟﺣﺳﺎﺑﯾﺔ اﻟﺑﺳﯾطﺔ ﯾﺳﺗﺧدﻣﮭﺎ اﻟﻠﻐﺎت اﻟﺷﺎﺋﻌﺔ ﻣﺛل Python ،Java ،PHPو.ASP.Net د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1128
"ﺟدول اﻟﮭﺎش ) "(Hash tableأو "ﺧﺎرطﺔ اﻟﮭﺎش ) "(Hash mapھﻲ إطﺎر ﺑﯾﺎﻧﺎت ﻣﺣدد ﯾﺳﺗﺧدم داﻟﺔ اﻟﮭﺎش ""Hash functions ﻟﺗﻌﯾﯾن ﻗﯾم اﻟﮭوﯾﺔ " "Identification Valueاﻟﻣﻌروﻓﺔ ﺑﺎﺳم "اﻟﻣﻔﺎﺗﯾﺢ )) "(keyﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل اﺳم اﻟﺷﺧص( ﻣﻊ اﻟﻘﯾم اﻷﺧرى اﻟﻣرﺗﺑطﺔ ﺑﮭﺎ )ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ﻋﻧوان اﻟﺷﺧص( .ﯾوﺿﺢ اﻟﺷﻛل اﻟﺗﺎﻟﻲ ﺟدول ھﺎش ﻧﻣوذﺟﻲ.
اﻟﻘﯾم "اﻟزرﻗﺎء" ھﻲ اﻟﻣﻔﺎﺗﯾﺢ " "keysﺑﯾﻧﻣﺎ اﻟﻘﯾم "اﻟﺧﺿراء" ھﻲ اﻟﺗﻲ ﺗﺣﺗﻠﮭﺎ اﻟﻣﻔﺎﺗﯾﺢ .ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ﯾﺣدث ﺗﺻﺎدم اﻟﮭﺎش " "hash collisionوﯾﺗم اﻟﺗﻌﺎﻣل ﻣن ﺧﻼل ﺗﻧﻣﯾﺔ اﻹطﺎر"."Development framework اﻟﻣﮭﺎﺟم اﻟذي ﯾﻌرف داﻟﺔ اﻻﻧﺷﺎء " "generation functionﯾﻣﻛﻧﮫ اﻟﻘﯾﺎم ﺑﺣﺳﺎب ﻗﯾم ﻣﻌﯾﻧﺔ وإرﺳﺎل ھذا إﻟﻰ اﻟﺗطﺑﯾﻖ اﻟﮭدف. اﻟﺗطﺑﯾﻖ ﺳوف ﯾﺗرﺟم ھذه اﻟﻘﯾم داﺧل إطﺎر اﻟﺑﯾﺎﻧﺎت ﻣﻣﺎ ﯾؤدى اﻟﻰ ﺗوﻟﯾد ﺣﻣوﻟﺔ زاﺋدة ﻋﻠﻰ وﺣدة اﻟﻣﻌﺎﻟﺟﺔ اﻟﻣرﻛزﯾﺔ ﻣﻣﺎ ﺗﺳﺑب ذﻟك ﻓﻲ ﺣﺎﻟﺔ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ. ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،إذا ﻗﻣﻧﺎ ﺑﺈرﺳﺎل 2ﻣﯾﻐﺎﺑﺎﯾت ﻣن اﻟﻘﯾم اﻟﻰ ﺧﺎدم اﻟوﯾب ﻣن ﺧﻼل طﻠب POST HTTPواﺣد ،ھذه اﻟﻘﯾم ﺗوﻟد ﻧﻔس ھﺎش اﻟﺑﯾﺎﻧﺎت داﺧل اﻹطﺎر ،وھﻧﺎ ﺳوف ﻧرى ﺗﺟﺎوز ﺳﻌﺔ اﻟﺧدﻣﺔ اﻟﺗﻲ ﺗﺳﺑﺑﮭﺎ اﻟﻣﻘﺎرﻧﺔ اﻟﺟﺑرﯾﺔ ﻟ 40ﻣﻠﯾﺎرات ﻣن اﻟﺳﻼﺳل. اﻟﻠﻐﺎت واﻟﺗطﺑﯾﻘﺎت ذات ﻧﻘﺎط اﻟﺿﻌف ھذه ﻓﻲ اﻟواﻗﻊ ھﻲ: • Java, all versions • JRuby <= 1.6.5 • PHP <= 5.3.8, <= 5.4.0RC3 • Python, all versions • Rubinius, all versions • Ruby <= 1.8.7-p356 • Apache Geronimo, all versions • Apache Tomcat <= 5.5.34, <= 6.0.34, <= 7.0.22 • Oracle Glassfish <= 3.1.1 • Jetty, all versions • Plone, all versions • Rack <= 1.3.5, <= 1.2.4, <= 1.1.2 • V8 JavaScript Engine, all versions د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1129 PHP Hash Function Weakness ﻟﻐﺔ PHPﺗﺳﺗﺧدم داﻟﺔ اﻟﮭﺎش اﻟﻣﺣددة DJBX33Aوھذا ھو اﺧﺗﺻﺎر ﻟ ""Daniel J.Bernstein’s X 33 Times with Addition اﻟﺗﻲ ﯾﻣﻛن أن ﺗﻛون ﻛودھﺎ ﻣﻣﺎﺛل ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ: /* Hash function created by Daniel J. Bernstein x 33 Times with Addition */ )hash_t bernstein_hash(const unsigned char *key { ;hash_t h=0 ;while(*key) h=33*h + *key++ ;return h }
ﺗﻘوم ھذه اﻟداﻟﺔ ﺑﺈﻋراب اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﺗرﺳل ﻋن طرﯾﻖ طﻠب POST HTTPداﺧل ﺟدول اﻟﮭﺎش .$_POST ﺑﺳﺑب ھﯾﻛل ھذه اﻟداﻟﺔ ،ﻓﺎن اﻟﻠﻐﺔ ﺗﺻﺑﺢ ﺿﻌﯾﻔﺔ ﻣﻘﺎﺑل ھذا اﻟﻧوع ﻣن اﻟﮭﺟوم .اﻟﺣد اﻷﻗﺻﻰ ﻟﺣﺟم طﻠب POSTﻟﮭذه اﻟﺑﯾﺋﺔ ﻋﺎدة ﻣﺎ ﯾﻛون 8 ﻣﯾﻐﺎﺑﺎﯾت ،وﻟﻛن إذا ﺗم ﻣلء ھذه ﻣﻊ ﺑﻌض اﻟﻘﯾم اﻟﺗﻲ ﻣن ﺷﺄﻧﮭﺎ أن ﺗﺳﺑب اﻻﺻطداﻣﺎت اﻟﻣﺗﻌددة " ،"multiple collisionsﻓﮭذا ﺳوف ﯾوﻟد ﺣﺟب اﻟﺧدﻣﺔ اﻟﺗﻲ ﯾﻣﻛن أن ﺗﺳﺗﻣر ﻟﻌدة ﺳﺎﻋﺎت إذا ﻟم ﯾﺗم ﺣﺻر ھذه اﻟﻣﻌﻠﻣﺎت ﻓﻲ ﻣﻠف :php.ini )max_input_time (default -1, illimited )max_execution-time (default 30 seconds
ﻟﺳوء اﻟﺣظ ،ھذه "اﻟﻘﯾود" ﻻ ﯾﻣﻛﻧﮭﺎ اﻟﺗﺧﻔﯾف ﺑﺷﻛل ﻓﻌﺎل ﻟﮭذا اﻟﻧوع ﻣن اﻟﮭﺟﻣﺎت إذا ﻗﺎم اﻟﻣﮭﺎﺟم ﺑﺈرﺳﺎل طﻠﺑﺎت ﻣﺗﻌددة .ﺳﻠﺳﻠﺔ اﻻﻛواد اﻟﺗﺎﻟﯾﺔ، ﺗﺣﻠل واﺣد ﻣن اﻟﻣﺄﺛر " "exploitاﻟﻣﺗﺎﺣﺔ ﻟﮭذا اﻟﺿﻌف ،وﺗظﮭر ﻛﯾف أن اﻟﺣﻣوﻟﺔ اﻟﺗﻲ ﯾﺗم إرﺳﺎﻟﮭﺎ إﻟﻰ ﺧﺎدم اﻟوﯾب اﻟﮭدف ،ﺗوﻟد اﻻﺻطداﻣﺎت ﻓﻲ داﻟﺔ اﻟﮭﺎش: )Ld = {'0':'Ez', '1':'FY', '2':'G8', '3':'H' +chr(23), '4':'D'+chr(122+33
ASP.Net Hash Function Weakness ﻟﻐﺔ ASP.Netﺗﺳﺗﺧدم طﻠب اﻟﻛﺎﺋن " ."object Requestاﻟﻧﻣوذج " "formsﯾﺳﺗﺧدم داﻟﺔ ھﺎش ﻣﺧﺗﻠﻔﺔ ﺗﺳﻣﻰ DHBX33Xوھﻲ اﺧﺗﺻﺎر ﻟ " "Daniel J. Bernstein’s X 33 Times with XORواﻟﺗﻲ ھﻲ ﻋرﺿﺔ ﻟﻠﺧطر ﺑﺳﺑب ھﺟوم .Meet-In-The-Middle اﻟﻣﮭﺎﺟم ،اﻟذي ﯾرﯾد ﺗوﻟﯾد ھﺟوم ﺿد ﺗطﺑﯾﻖ ،ASP.Netﯾﻣﻛن أن ﯾﺳﺗﮭﻠك وﺣدة اﻟﻣﻌﺎﻟﺟﺔ اﻟﻣرﻛزﯾﺔ ﺑﺎﻟﻛﺎﻣل ﻓﻲ 100-90ﺛﺎﻧﯾﺔ ﻣﺳﺗﺧدﻣﺎ طﻠب POST HTTPواﺣد .ﻓﻲ ھذه اﻟﺣﺎﻟﺔ ،إذا ﻗﺎم اﻟﻣﮭﺎﺟم ﺑﺈرﺳﺎل طﻠﺑﺎت ﻣﺗﻌددة ،ﻓﺎﻧﮫ ﯾﻣﻛن أن ﯾوﻟد ﺣﺎﻟﺔ ﺣﺟب اﻟﺧدﻣﺔ اﻟﺗﻲ ﯾﻣﻛن أن ﺗﺳﺗﻣر ﻟﻌدة ﺳﺎﻋﺎت .ﻋﻣوﻣﺎ ،ﻛل ﻧوع ﻣن ﺧﺎدم اﻟوﯾب اﻟذي ﯾﺳﺗﺧدم ،ASP.Netواﻟﺗﻲ ﺗﻘﺑل طﻠﺑﺎت HTTPﻣﺛل application/x-www-form-urlencoded or multipart/form-data ھﻲ ﻧﻘطﺔ ﺿﻌف ﯾﺳﺗﻐﻠﮭﺎ اﻟﻣﮭﺎﺟم ﻓﻲ ھﺟوﻣﮫ. PHP Hash Table Collision Practice Attack اﻟﻣﺄﺛر اﻟﻣﺳﺗﺧدﻣﺔ " "Exploit usedھﻧﺎ ھﻲ HashCollision-DOS-POCﻣن ﻗﺑل ﻛرﯾﺳﺗﯾﺎن ﻣﮭﻠﻣور .واﻟﺗﻲ ﺗم ادراﺟﮭﺎ ﻓﻲ ﺳﻛرﯾﺑت ﺑﺎﯾﺛون واﻟﺗﻲ ﯾﻣﻛﻧك ﺗﺣﻣﯾﻠﮫ ﻣن ﺧﻼل اﻟراﺑط اﻟﺗﺎﻟﻲ: https://github.com/FireFart/HashCollision-DOS-POC ﻓﻲ ھذا اﻟﺟزء ﺳوف ﻧظﮭر ﻣﺛﺎﻻ ﻋﻣﻠﯾﺎ ﻟﺗوﻟﯾد ھﺟوم .PHP Hash Table Collisionوﯾﺗﺣﻘﻖ ھذا اﻟﻣﺛﺎل ﻋﻠﻰ اﻟﮭدف ﻣﻊ اﺑﺎﺗﺷﻲ 2.2 ﻛﺧﺎدم اﻟوﯾب ﻣﻊ PHPذات اﻹﺻدار .5.3.8ﻧظﺎم اﻟﺗﺷﻐﯾل :وﯾﻧدوز .7 ھذه اﻟﻣﺄﺛر ﺗﺣﺗﺎج ﻋﻠﻰ اﻷﻗل ﺗطﺑﯾﻖ ﺑﺎﯾﺛون ذات اﻹﺻدار 2.7ﻓﯾﻣﺎ ﻓوق ﻟﻛﻲ ﯾﻌﻣل واﻟذي ﯾﺳﺗﻐل ﻧﻘﺎط اﻟﺿﻌف اﻟواردة ﻓﻲ CVEاﻟﺗﺎﻟﯾﺔ: Apache Geronimo: CVE-2011-5034 Oracle Glassfish: CVE-2011-5035 PHP: CVE-2011-4885 Apache Tomcat: CVE-2011-4858 أوﻻ ،ﻧﺣن ﺑﺣﺎﺟﮫ اﻟﻰ ﺗﺛﺑﯾت ،Pythonbrewإذا ﻟم ﯾﻛن ﻟدﯾك ﺑﺎﯾﺛون 2.7اﻟﻣﺛﺑﺗﺔ ﺑﺎﻟﻔﻌل Pythonbrew .ﺳوف ﺗﺳﻣﺢ ﻟﻧﺎ ﻟﻠﺗﻌﺎﻣل ﻣﻊ ﻣﺧﺗﻠف إﺻدارات ﻟﻐﺔ ﺑﺎﯾﺛون )ﯾﻣﻛﻧك ﺗﺣﻣﯾﻠﮫ ﻣن ﺧﻼل اﻟراﺑط .(Pythonbrew ﺛم ﻧﻘوم ﺑطﺑﺎﻋﺔ اﻻﻣر اﻟﺗﺎﻟﻲ ﺿد اﻟﻣوﻗﻊ اﻟﮭدف ﻛﺎﻻﺗﻲ: $ python hashdos.py –u http://192.168.16.16/index.php -v -c 500 -t PHP د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1130
Google+ HTTP GET Request DDoS ﻓﻲ ھذا اﻟﻘﺳم ﺳوف ﻧﺷرح ﻣﺛﺎل ﻋن ﻛﯾف أﻧﮫ ﯾﻣﻛﻧﻧﺎ أﺣﯾﺎﻧﺎ اﺳﺗﻐﻼل ﻧﻘﺎط اﻟﺿﻌف اﻟﺗﻲ ﻻ ﺗرﺗﺑط ﻣﺑﺎﺷرة ﻣﻊ اﻟﮭدف ،ﺑل ﻣﻊ اﻟﺧدﻣﺎت اﻟﻘﺎدرة ﻋﻠﻰ اﻟﻌﻣل ﻋﻠﻰ ﻛﻣﯾﺎت ﻛﺑﯾرة ﻣن ﻋرض اﻟﻧطﺎق اﻟﺗرددي ،ﻣﻣﺎ ﯾﺳﻣﺢ ﻟﻧﺎ ﺑﺗﺣﻘﯾﻖ ھﺟﻣﺎت DDoSﻓﻌﺎﻟﺔ .ﻻ ﯾﻣﻛﻧﻧﺎ أن ﻧﺿﻣن أن ھذا اﻟﻧوع ﻣن اﻟﺗﻘﻧﯾﺔ ﻻ ﯾزال ﯾﻌﻣل ﻻن ﻣوظﻔﻲ ﻏوﻏل ﻗﺎﻣوا ﺑﺈﺻﻼح اﻟﻣﺷﻛﻠﺔ. ﻣﻧذ وﻗت ﻣﺿﻰ ،ﻣﺟﻣوﻋﺔ ﻣن اﻟﻘراﺻﻧﺔ اﻹﯾطﺎﻟﯾﯾن ،أظﮭروا ﻛﯾﻔﯾﺔ اﺳﺗﺧدام اﻟﺷﺑﻛﺎت اﻻﺟﺗﻣﺎﻋﯾﺔ ﻋﻠﻰ Google+گ "ﺑروﻛﺳﻲ" ﻟطﻠﺑﺎت HTTP GETواﻟﺗﻰ ﺗذھب ﻟﻠﺑﺣث ﻋن ﻣﻠف ﻣﻌﯾن )ﻋﺎدة ﻣﺎ ﯾﻛون .docأو (.pdfداﺧل اﻟﺗطﺑﯾﻖ اﻟﮭدف ،وذﻟك ﺑﺎﺳﺗﺧدام ﺑﻌض اﻻﺳﻛرﯾﺑﺎت واﻟﺗﻲ ﺳوف ﺗﺟﺑر Google+ﻟﻠﻘﯾﺎم ﺑﻣﺋﺎت اﻟطﻠﺑﺎت ﻓﻲ ﻧﻔس اﻟوﻗت. ﺗﻘﻧﯾﺔ ﻣﻣﻛﻧﺔ ﻷن اﻟﺷﺑﻛﺔ اﻻﺟﺗﻣﺎﻋﯾﺔ ﺗﺗﯾﺢ ﻣﻌﺎﯾﻧﺔ اﻟﻣﻠﻔﺎت اﻟﻣطﻠوﺑﺔ واﻟﻣواﻗﻊ ،وداﺧل ﺑﻌض اﻷﻗﺳﺎم اﻟﻣﻌﯾﻧﺔ ،ﻣﻊ ﺟﻣﯾﻊ اﻟﻣﻌﻠوﻣﺎت ﻣن ﺧﻼل ﺑروﺗوﻛول .HTTP ﻣن دون اﻟﺗﺣﻘﻖ ﻣن ﺻﺣﺔ اﻹدﺧﺎل اﻟﺻﺣﯾﺢ ووﺿﻊ طﻠﺑﺎت اﻟﺣد ،ﻓﻣن اﻟﻣﻣﻛن إرﺳﺎل ﻛﻣﯾﺔ ﻛﺑﯾرة ﻣن اﻟطﻠﺑﺎت ﻣﺑﺎﺷرة ﻣن ﺧوادم ﺟوﺟل واﻟﻧطﺎق اﻟﺗرددي ﻟﮭﺎ .ھذا ﺳوف ﯾﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن أﯾﺿﺎ ﺑﻧﺳﺑﺔ ﺟﯾدة ﻋدم اﻟﻛﺷف ﻋن ھوﯾﺗﮫ. ﯾﺗم ھذا اﻟﮭﺟوم ﻣن ﺧﻼل ﺳﻛرﯾﺑت ﯾﻣﻛﻧك ﺗﺣﻣﯾﻠﮫ ﻣن ﺧﻼل اﻟراﺑط http://www.lo0.ro/2011/08/29/google-plus-ddos-attack-script واﻟذي ﻗﺎﻣﺎ ﺑﺈﻧﺷﺎﺋﮫ ﻓرﯾﻖ " http://www.ihteam.net" IHTeamوﯾﺗم اﺳﺗﺧداﻣﮫ ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ﻛﺎﻻﺗﻲ: $ ./ddos.sh http://www.victim-website.com/some-file-url/file-name.mp3 1000 THE BOTNET AS A DDOS TOOL ﺑﻐض اﻟﻧظر ﻋن اﻷداة اﻟﻣﺳﺗﺧدﻣﺔ ﻓﻲ اﻟﮭﺟوم ،وﻣﻊ ذﻟك ،ﻓﺈن اﻟﻘدرة ﻋﻠﻰ ﺷن ھﺟوم ﻣن أﺟﮭزة ﻛﻣﺑﯾوﺗر ﻣﺗﻌددة -ﺳواء ﻛﺎﻧت اﻟﻣﺋﺎت ،اﻵﻻف، أو اﻟﻣﻼﯾﯾن -ﯾﺿﺧم ﺑﺷﻛل ﻛﺑﯾر ﻣن اﺣﺗﻣﺎل وﻗوع اﻟﮭﺟوم ﻟﯾﺗﺳﺑب اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ .اﻟﻣﮭﺎﺟﻣﯾن ﻏﺎﻟﺑﺎ ﻣﺎ ﯾﻛون ﻟدﯾﮭم " "botnetﺗﺣت ﺗﺻرﻓﮭم -ﻣﺟﻣوﻋﺎت ﻛﺑﯾرة ﻣن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﻣﺧﺗرﻗﺔ ،وﻏﺎﻟﺑﺎ ﻣﺎ ﯾﺷﺎر إﻟﯾﮭﺎ ﺑﺎﺳم "زوﻣﺑﻰ" ،ﻣﺻﺎﺑﯾن ﺑﺎﻟﺑرﻣﺟﯾﺎت اﻟﺧﺑﯾﺛﺔ اﻟﺗﻲ ﺗﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن ﺑﺎﻟﺳﯾطرة ﻋﻠﯾﮭم .أﺻﺣﺎب اﻟروﺑوﺗﺎت ،أو " ،"herdersﻗﺎدرﯾن ﻋﻠﻰ اﻟﺳﯾطرة ﻋﻠﻰ اﻵﻻت ﻓﻲ ﺷﺑﻛﺔ اﻟروﺑوﺗﺎت اﻟﺧﺎﺻﺔ ﺑﮭم ﻋن طرﯾﻖ ﻗﻧﺎة ﺳرﯾﺔ ﻣﺛل ، IRCوإﺻدار اﻷواﻣر ﻷداء اﻷﻧﺷطﺔ اﻟﺧﺑﯾﺛﺔ ﻣﺛل ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ،إرﺳﺎل اﻟﺑرﯾد اﻟﻣزﻋﺞ ،وﺳرﻗﺔ اﻟﻣﻌﻠوﻣﺎت. اﻋﺗﺑﺎرا ﻣن ﻋﺎم ،2006ﻛﺎن ﻣﺗوﺳط ﺣﺟم ﺷﺑﻛﺔ اﻟروﺑوﺗﺎت ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻟﻌﺎﻟم ﺣواﻟﻲ 20،000آﻻت )ﻛﻣﺎ ﺣﺎول أﺻﺣﺎب اﻟروﺑوﺗﺎت إﻟﻰ ﺗﻘﻠﯾص ﺷﺑﻛﺎﺗﮭﺎ ﻟﺗﺟﻧب اﻟﻛﺷف( ،أﯾﺿﺎ ﻛﺎن ھﻧﺎك ﺷﺑﻛﺎت اﻟﺑوﺗﻧت اﻷﻛﺛر ﺗﻘدﻣﺎ ،ﻣﺛل ،TDL-4 ،Conficker ،BredoLabو Zeusﺣﯾث ﻗدرت ﺑﺎﺣﺗواﺋﮭﺎ ﻋﻠﻰ اﻟﻣﻼﯾﯾن ﻣن اﻵﻻت .ﻛﺛﯾرا ﻣﺎ ﯾﻣﻛن ﺗﺄﺟﯾر ﺷﺑﻛﺎت ﺑوﺗﻧت ﻛﺑﯾرة ﻣن ﻗﺑل أي ﺷﺧص ﻋﻠﻰ اﺳﺗﻌداد ﻟدﻓﻊ ﻣﺎ ﻻ ﯾزﯾد ﻋن 100دوﻻر ﻓﻲ اﻟﯾوم ﻻﺳﺗﺧداﻣﮭﺎ )ﻓﻲ ﺑﻌض اﻹﻋﻼﻧﺎت ﻋﻠﻰ ﻣﻧﺗدى ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﻋرﺿت اﺳﺗﺧدام اﻟروﺑوﺗﺎت اﻟﺗﻲ ﺗﺣﺗوي ﻋﻠﻰ 120،000-80،000ﻣن اﻟوﻛﻼء ﺑ 200دوﻻر ﻓﻲ اﻟﯾوم( ،ﻣﻣﺎ ﯾﺳﻣﺢ ﻷي ﺷﺧص ﺗﻘرﯾﺑﺎ ﻣﻊ ﻓﻘط اﻟﻣﻌرﻓﺔ اﻟﺗﻘﻧﯾﺔ اﻟﻣﻌﺗدﻟﺔ واﻷدوات اﻟﻣﻧﺎﺳﺑﺔ إطﻼق ھﺟوم ﻣدﻣر .ﻣﻊ ھذا ﻓﻲ اﻻﻋﺗﺑﺎر ،ﻓﺈﻧﮫ ﻣن اﻟﻣﮭم أن ﺗﻛون ﻋﻠﻰ ﻋﻠم ﺑﺟﻣﯾﻊ أدوات اﻟﮭﺟوم اﻷﺧﯾرة ،واﻟﺣﻔﺎظ ﻋﻠﻰ اﻟﺑرﻣﺟﯾﺎت ﻣﺣدﺛﮫ إﻟﻰ ﺗﺎرﯾﺦ اﻟﯾوم ﻋﻠﻰ ﺟﻣﯾﻊ اﻟﺧوادم وأﺟﮭزة اﻟﺷﺑﻛﺔ اﻷﺧرى ،واﺳﺗﺧدام أﻧوع ﻣن اﻟﺣﻠول ﻟﻠﺗﺧﻔﯾف ﻣن اﻟدوس ﻟﺣﻣﺎﯾﺔ ﺿد اﻟﮭﺟﻣﺎت ﻷﻧﮭﺎ ﻻ ﺗزال ﻓﻲ ﺗطور. أدوات اﻟﺗﮭدﯾد اﻟﻣﺧﻠوطﺔ ""Blended Threat Toolkits ﺗﺗﺿﻣن اﻟﺗﮭدﯾدات اﻟﻣﺧﻠوطﺔ " "Blended Threatﻋﺎدة ﺑﻌض أو ﻛل ﻣن اﻟﻌﻧﺎﺻر اﻟﺗﺎﻟﯾﺔ ،واﻟﺗﻲ ﯾﻣﻛن أن ﺗﺧﺗﻠف ﺑﺳﺑب ﻧظﺎم اﻟﺗﺷﻐﯾل، درﺟﺔ اﻷﺗﻣﺗﺔ )ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،واﻟدﯾدان( ،واﻟﻣؤﻟف ،اﻟﺦ. :Windows network service programﻣن اﻷدوات اﻟﺷﺎﺋﻌﺔ ﻓﻲ وﯾﻧدوز واﻟﺗﻲ ﺗﻌﺗﺑر ﻣن اﻟﺗﮭدﯾدات اﻟﻣﺧﻠوطﺔ وھوﺑرﻧﺎﻣﺞ ﯾﺳﻣﻰ Firedaemon . Firedaemonﻣﺳؤوﻟﺔ ﻋن ﺗﺳﺟﯾل اﻟﺑراﻣﺞ ﻟﯾﺗم ﺗﺷﻐﯾﻠﮭﺎ ﻛﻣﺎ اﻟﺧوادم ،ﺣﺗﻰ ﯾﺗﻣﻛﻧوا ﻣن اﻻﺳﺗﻣﺎع اﻟﻰ ﻣﺂﺧذ اﻟﺷﺑﻛﺔ " "Network Socketsﻟﻼﺗﺻﺎﻻت اﻟواردة Firedaemon .ﺳوف ﯾﻘوم ﺑﺎﻟﺳﯾطرة ﻋﺎدة ﻋﻠﻰ ﻣﻠﻘم ،IRC bounce program ،FTPو/أو .backdoor shell :Scannersاﻟﻌدﯾد ﻣن ﻓﺎﺣﺻﺎت اﻟﺷﺑﻛﺔ اﻟﻣﺧﺗﻠﻔﺔ ﺗﺳﺎﻋد اﻟﻣﮭﺎﺟم ﻟﻛﻰ ﯾﺳﺗطﻠﻊ اﻟﺷﺑﻛﺔ اﻟﻣﺣﻠﯾﺔ وﯾﺟد اﻟﻣﺿﯾﻔﯾن اﻵﺧرﯾن ﻟﻠﮭﺟوم .ﻗدﺗﻛون ھذه simple SYN scannersﻣﺛل ،synscanﻣن اﻟﻣﻣﻛن ان ﺗﻛون TCP banner grabbersﻣﺛل mscanاو ﻓﺎﺣﺻﺎت ﺑﻛﺎﻣل ﻣﯾزاﺗﮭﺎ ،أو أﻛﺛر ﻣﺛل .(http://www.nmap.org) nmap د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1131 :Single-threaded DoS programsﻓﻲ ﺣﯾن ﻗد ﺗﺑدو ﺑﻌض اﻟﺑراﻣﺞ ﻣن اﻟطراز اﻟﻘدﯾم ،ﻓﺎن إﻏراق UDPأو SYNﺑﺳﯾطﻣﺛل synk4ﯾﻣﻛن أن ﺗﻛون ﻓﻌﺎﻟﺔ ﺿد ﺑﻌض اﻷﻧظﻣﺔ .اﻟﻣﮭﺎﺟم ﯾﺟب ﻋﻠﯾﮫ ﺗﺳﺟﯾل اﻟدﺧول إﻟﻰ اﻟﻣﺿﯾف وﺗﺷﻐﯾل ھذه اﻷواﻣر ﻣن ﺳطر اﻷواﻣر ،أو اﺳﺗﺧدام ﺑوت IRCاﻟﺗﻲ ھﻲ ﻗﺎدرة ﻋﻠﻰ ﺗﺷﻐﯾل اﻷواﻣر اﻟﺧﺎرﺟﯾﺔ ،ﻣﺛل .Power bot :An FTP serverﺗﺛﺑﯾت ﺧﺎدم ،FTPﯾﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن )أو ﻗراﺻﻧﺔ اﻟﺑرﻣﺟﯾﺎت/اﻟﻣﯾدﯾﺎ اﻟذﯾن ﯾﺿﺎﻋﻔون ھﺟﻣﺎت دوس( ﺑﺗﺣﻣﯾلاﻟﻣﻠﻔﺎت إﻟﻰ اﻟﻣﺿﯾف اﻟﻣﺧﺗرق. :An IRC file service (Warez) botﻣن اﻟﻣﻌروف ان اﻟﻣﻠﻔﺎت اﻟﻣﯾدﯾﺎ اﻟﻣﻘرﺻﻧﺔ )اﻟﻣوﺳﯾﻘﻰ واﻟﻔﯾدﯾو( واﻟﺑرﻣﺟﯾﺎت ﺗﻌرفﺑﺎﺳم .Warezوﻣن اﻟﻣﻌروف أن اﻟﺑوت اﻟذي ﯾﻘوم ﺑﺧدﻣﺔ Warezﻣﻌروف ﺑﺎﺳم .Warez botاﻟﺑوت وﻋﻣﻼء IRCﻗﺎدرة ﻋﻠﻰ ﻧﻘل اﻟﻣﻠﻔﺎت ﺑﺎﺳﺗﺧدام ﻣﯾزة ﻓﻲ IRCﯾﺳﻣﻰ ﺑروﺗوﻛول .Direct Client-to-Client (DCC) protocolاﻻن ﻣﻊ ﺗدﻧﻰ ﺷﮭرة IRCﻓﺑدا اﺳﺗﺧدام ﺷﺑﻛﺎت .P2P وارز ): (Warezوﺗﻌﻧﻲ ﺑراﻣﺞ اﻟﺣﺎﺳوب اﻟﺗﻲ ﯾﻘﻊ ﺗوزﯾﻌﮭﺎ ﺑطرﯾﻘﺔ ﻏﯾر ﺷرﻋﯾﺔ وﺧﺎﺻﺔ ﻋن طرﯾﻖ اﻷﻧﺗرﻧت )ﻋن طرﯾﻖ ﺷﺑﻛﺔ ﺗﺳﻣﻰ "دارﻛﻧت"( وﺗﺣظﻰ ھذه اﻟﺑراﻣﺞ ﺑﻘﺑول ﻛﺑﯾر ﻟدى ﻣﺳﺗﺧدﻣﻲ اﻹﻧﺗرﻧت ﻷﻧﮭم ﺑذﻟك ﯾﺳﺗﻌﻣﻠون اﻟﺑراﻣﺞ ﻣﺟﺎﻧﺎ ودون اﻻﺿطرار ﻟﺷراء اﻟﺑرﻧﺎﻣﺞ، اﻟوارز ﯾﻌﺗﺑر ﻗرﺻﻧﺔ وﺳرﻗﺔ وﻣﺣرم دوﻟﯾﺎ ً. وﺗﺣﻣﯾل ِ ﻛﻠﻣﺔ Warezﺗﺣرﯾف ﻟﻛﻠﻣﺔ waresوﺗﻌﻧﻲ ﻓﻲ اﻷﺻل ﺑراﻣﺞ ﺣﺎﺳوب واﻟوارز ﻻ ﯾﻣﺛل اﻟﺑراﻣﺞ ﻓﻘط ﺑل ﯾﻌﻧﻲ أﯾﺿﺎ اﻷﻓﻼم وأﻟﻌﺎب اﻟﺣﺎﺳوب واﻷﻏﺎﻧﻲ إﻟﻰ ﻏﯾر ذﻟك ﻣن اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﯾﺗم ﺗﺣﻣﯾﻠﮭﺎ وﯾرﻣز اﺳﺗﺑدال ﺣرف sاﻟﻰ zﯾﻌﻧﻰ أﻧﮭﺎ وارز .واﻟوارز ﻣﺣرﻣﺔ دوﻟﯾﺎ ً وﺗﺣﻣﯾﻠﮭﺎ ﻗد ﯾؤدى إﻟﻰ اﻟﻣﺳﺎﺋﻠﺔ اﻟﻘﺎﻧوﻧﯾﺔ ﻓﻲ ﻣﻌظم ﺑﻠدان اﻟﻌﺎﻟم .ﻓﻲ اﻷﻧﺗرﻧت ﯾﻧﺗﺷر اﻟوﯾرز ﻋﺑر ﻣواﻗﻊ ﻛﺛﯾرة أﺟﻧﺑﯾﺔ وﻋرﺑﯾﺔ ،وﯾﺗم اﻟﺣﺻول ﻋﻠﻰ ﺗﻠك اﻟﻣواد ﻋﺑر ﺗﺣﻣﯾﻠﮭﺎ ﻣن ﻣواﻗﻊ ﺗورﻧت أو ﻣواﻗﻊ ﺗﻘدم ﺧدﻣﺔ اﻟﺗﺣﻣﯾل ﻋﺑر ﻣواﻗﻊ ﻣﺷﺎرﻛﺔ اﻟﻣﻠﻔﺎت :وﻣن أﺷﮭر ﻣواﻗﻊ اﻟﺗورﻧت ھﻲ: kickass.to thepiratebay.se rarbg.com وﻣن أﺷﮭر اﻟﻣواﻗﻊ اﻟﺗﻲ ﺗﻘدم ﺗﺣﻣﯾل ھذه اﻟﻣواد ﻋﺑر ﻣواﻗﻊ ﻣﺷﺎرﻛﺔ اﻟﻣﻠﻔﺎت: skidrowcrack.com rlsbb.com arb-gb.com واﻟﻣواﻗﻊ ﺗﺑﻘﻰ ﻛﺛﯾرة ﺣﯾث ﯾﻣﻛﻧك اﻟﻘول إﻧﮭﺎ ﻻ ﺗﻌد وﻻ ﺗﺣﺻﻰ .ھذه اﻟﻣواﻗﻊ ﺗﺷﻛل ﺧطر ﻛﺑﯾر ﻋﻠﻰ اﻟﺷرﻛﺎت اﻟﻣﻧﺗﺟﺔ ﻷﻟﻌﺎب اﻟﻔﯾدﯾو وأﯾﺿﺎ ﺷرﻛﺎت ھوﻟﯾوود ﻓﻔﻲ اﻟﺳﻧوات اﻟﺧﻣﺳﺔ اﻷﺧﯾرة اﻟﻛﺛﯾر ﻣن اﻟﺷرﻛﺎت اﻟﻣﻌروﻓﺔ أﻓﻠﺳت ﻣﻧﮭﺎ ﺷرﻛﺔ .THQ IRC XDCC Botاﻧﮫ ﻧظﺎم ﻟﻣﺑﺎدﻟﮫ اﻟﻣﻠﻔﺎت ﻣن اﻟﺳﯾرﻓر إﻟﻰ اﻟزاﺋر ﯾﺗم ﻋن طرﯾﻖ ال آي آر ﺳﻲ وھو ﻧظﺎم ﻣﺗطور ﺟدا وأﻣن ﺣﯾث ﯾﻣﻧﺣك اﻟﺣرﯾﺔ ﻓﻲ اﺳﺗﺧدام اﻟﻣﻠﻔﺎت وﻣﺑﺎدﻟﺗﮭﺎ ﻓﺑﺄﻣﺎﻛﻧك وﺿﻊ وﻧﺷر اﻟﻣﻠﻔﺎت اﻟﻣوﺳﯾﻘﯾﺔ واﻷﻓﻼم وﻟﺻور وﻣن أﺷﮭر اﻟﻣواﻗﻊ اﻟﺗﻲ ﺗﻧﺷرھﺎ ﻓﻲ اﻟـﺂي آر ﺳﻲ. :An IRC DDoS bot or DDoS agentﻛﻣﺎ ذﻛر آﻧﻔﺎ ،ﺑرﻣﺟﯾﺎت اﻟدوس اﻟﻘﯾﺎﺳﯾﺔ اﻟﻣﻌﺗﻣدة ﻋﻠﻰ IRCﻋﺎدة ﻣﺎ وﺟدت ﻓﻲاﻟﺗﮭدﯾدات اﻟﻣﺧﺗﻠطﺔ .ﺣﯾث ﯾﻣﻛن أن ﺗدار ھذه اﻟﺑراﻣﺞ ﻣن ﻗﺑل Firedaemonﻓﻲ اﻟﻣﺿﯾف وﯾﻧدوز inetd ،أو cronﻋﻠﻰ اﻟﻣﺿﯾف ﯾوﻧﻛس. :Local exploit programsﻣﻧذ اﺳﺗﺧدام kitsﻣن اﺟل ﺗﺳﮭﯾل اﻟﻌﻣل ،ﻓﺈﻧﮭﺎ ﻏﺎﻟﺑﺎ ﻣﺎ ﺗﺷﻣل ﺑﻌض اﻟطرق ﻟﺗﺻﻌﯾد اﻻﻣﺗﯾﺎز ﻋﻠﻰاﻟﻧظﺎم ،ﻓﻲ ﺣﺎل ﺗم ﺗﺣﻣﯾﻠﮭﺎ ﻓﻲ ﺣﺳﺎب اﻟﻣﺳﺗﺧدم اﻟﻌﺎدي اﻟذي ﻛﺎن ﻣﺧﺗرق ﻣن ﺧﻼل .password sniffingوھذا ﯾﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن ﺑﺎﻹدارة اﻟﻛﺎﻣﻠﺔ ،وﻋﻧد ھذه اﻟﻧﻘطﺔ ﯾﻣﻛن ﺑﻌد ذﻟك ﺗﺛﺑﯾت ﻛﺎﻓﺔ اﻟﺑراﻣﺞ ﺗﻣﺎﻣﺎ ﻋﻠﻰ اﻟﻣﺿﯾف اﻟﻣﺧﺗرق. :Remote exploit programsاﻟﺳﯾر ﺟﻧﺑﺎ إﻟﻰ ﺟﻧب ﻣﻊ ﺑراﻣﺞ اﻟﻔﺣص ﻏﺎﻟﺑﺎ ﻣﺎ ﺗؤدى اﻟﻰ اﻛﺗﺷﺎف اﻟﻣﺂﺛر ﻋن ﺑﻌد واﻟﺗﻲ ﯾﻣﻛناﺳﺗﺧداﻣﮭﺎ ﻟﺗوﺳﯾﻊ ﻧطﺎق اﻟﻣﮭﺎﺟم إﻟﻰ اﻟﺷﺑﻛﺔ اﻟﺧﺎﺻﺔ ﺑك ،أو اﺳﺗﺧدام اﻟﻣﺿﯾف ﻛﻧﻘطﺔ اطﻼق ﻟﻠذھﺎب ﻟﻣﮭﺎﺟﻣﺔ ﻣوﻗﻊ آﺧر. :System log cleanersﺑﻣﺟرد دﺧول اﻟﻣﮭﺎﺟم اﻟﻰ اﻟﻧظﺎم اﻟﺧﺎص ﺑك ،ﻓﺎﻧﮫ ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ﯾرﯾد ﻣﺣو أي دﻟﯾل ﯾﺛﺑت أﻧﮫﻋﻠﻰ اﺗﺻﺎل ﻣﻊ اﻟﻣﺿﯾف .ھﻧﺎك ﻋﻣﻠﯾﺎت ﺗﻧظﯾف ﻟﻣﻠﻔﺎت اﻟﺳﺟل اﻟﻘﯾﺎﺳﻲ )ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل syslog ،ﻓﻲ ﯾوﻧﻛس/ﻟﯾﻧﻛس أو ،(Apache log filesأو ﻟﻣﻠﻔﺎت اﻟﺳﺟل ) binaryﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل Windows Event Logs ،أو Unix wtmpواﻟﻣﻠﻔﺎت .(lastlog :Trojan horse operating system program replacementsﻟﺗوﻓﯾر backdoorsﻻﺳﺗﻌﺎدة اﻟوﺻول إﻟﻰ اﻟﻧظﺎم ،أوﻟﺟﻌل ﻧظﺎم "ﯾﻛذب" ﺣول وﺟود اﻟﻌﻣﻠﯾﺎت اﻟﺧﺎﺻﺔ ﺑﺎﻟﻣﮭﺎﺟﻣﯾن ،وﺷﺑﻛﺔ اﺗﺻﺎﻻت ،واﻟﻣﻠﻔﺎت/اﻟﻣﺟﻠدات ،اﻟﻣﮭﺎﺟﻣﯾن ﻏﺎﻟﺑﺎ ﻣﺎ ﯾﻘوﻣون ﺑﺎﺳﺗﺑدال ﺑﻌض اﻷواﻣر اﻟﺧﺎرﺟﯾﺔ ﻓﻲ ﻧظﺎم اﻟﺗﺷﻐﯾل. :Sniffersﺗرﻛﯾب snifferﯾﺳﻣﺢ ﻟﻠﻣﮭﺎﺟم ﺑﺳرﻗﺔ أﺳﻣﺎء اﻟﺣﺳﺎﺑﺎت وﻛﻠﻣﺎت اﻟﺳر ﻟﺗﺳﺟﯾل اﻟدﺧول.د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1132 اﻵﺛﺎر اﻟﻣﺗرﺗﺑﺔ ""Implications ﻣواﻗﻊ أﻣﻧﯾﺔ ﻣﺛل PacketStormSecurity.orgﻗد ﺟﻣﻌت أﻋداد ﻛﺑﯾرة ﻣن اﻟﺑراﻣﺞ اﻟﺧﺑﯾﺛﺔ .ﺑﻌض اﻷدوات ﺗﻣت ﻛﺗﺎﺑﺗﮭﺎ ﺑﺷﻛل واﺿﺢ ﻹﻋﺎدة اﻻﺳﺗﺧدام وﺳﮭﻠﺔ اﻟﺗﻛﯾف ﺗﺳﻣﺢ ﻟﻐرض ﻣﻌﯾن ،واﻟﺑﻌض اﻵﺧر ﻏﯾر واﺿﺢ ﺑﺣﯾث script kiddiesﻻ ﯾﻣﻛﻧﮭم ﺗطﺑﯾﻘﮭﺎ ﺑﺳﮭوﻟﺔ. ﻣواﻗﻊ اﻟوﯾب اﻟﺧﺎﺻﺔ ﺑﺎﻟﻘراﺻﻧﺔ ﺗﻘدم أدوات دوس اﻟﻘﺎﺑﻠﺔ ﻟﻠﺗﺣﻣﯾل ﺑﺳﮭوﻟﺔ .وﯾﻣﻛن ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن ان ھذا اﻟﻛود ﯾﺗم اﺳﺗﺧداﻣﮭﺎ دون ﺗﻌدﯾل أو ﻓﮭم ﺣﻘﯾﻘﻲ ،ﻓﻘط ﻋن طرﯾﻖ ﺗﺣدﯾد اﻷواﻣر ﻟﺑدء ﺗﺟﻧﯾد اﻟﻌﻣﻼء وﺑﻌد ذﻟك ،ﻓﻲ وﻗت اﻟﮭﺟوم ،ﻣﻊ ﺗﺣدﯾد أﻣر آﺧر ﻣﻊ ﻋﻧوان اﻟﮭدف وﻧوع اﻟﮭﺟوم .وﻧﺗﯾﺟﺔ ﻟذﻟك ،ﻓﺈن أوﻟﺋك اﻟذﯾن ﯾرﻏﺑون ﻓﻲ اﺳﺗﺧدام اﻷدوات اﻟﻣوﺟودة ،أو ﺻﯾﺎﻏﺔ اﻟﺧﺎﺻﺔ ﺑﮭم ،ﻟدﯾﮭم إﻣدادات ﺟﺎھزة ﻣن اﻻﻛواد اﻟﺑرﻣﺟﯾﺔ اﻟﺗﻲ ﺗﻌﻣل ﻣﻌﮭﺎ .ﻻ ﯾزال ﯾﺟب أن ﯾﺗﻌﻠﻣوا ﻛﯾﻔﯾﺔ ﺗوظﯾف ﺷﺑﻛﺔ اﻟﮭﺟوم ،ﻟﻣﻧﻌﮭﺎ ﻣن اﻟﺳرﻗﺔ ﻣن ﻗﺑل اﻵﺧرﯾن ،وﻛﯾﻔﯾﺔ اﺳﺗﮭداف ﺿﺣﺎﯾﺎھم ،وﺣول ﻛﯾﻔﯾﺔ اﻟﺣﺻول ﻋﻠﻰ أي دﻓﺎﻋﺎت .ﻣﻊ اﻟﺗﻔﺎﻧﻲ واﻟوﻗت أو اﻟﻣﺎل ﻟﺷراء ھذه اﻟﻣﮭﺎرات ،وھذه ﻟﯾﺳت ﻋﻘﺑﺔ ﻛﺑﯾرة.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1133 10.7اﻟﻜﺸﻒ واﻟﺘﺨﻔﯿﻒ ﻣﻦ ھﺠﻤﺎت دوس )(Detection and Mitigation of High-Rate DoS Attacks ﻋﻠﻰ اﻟرﻏم ﻣن أن ھﺟﻣﺎت DoSو DDoSﻛﺎﻧت ﻣوﺟودة ﻣﻧذ ﻋدة ﺳﻧوات ،ﻓﻼ زال اﻟﻌدﯾد ﻣن اﻟﻣﻧظﻣﺎت ﺗﺗﺟﺎھل اﻟﺗﺄﺛﯾر اﻟﻣﺣﺗﻣل ﻟﻣﺛل ھذه اﻟﺗﮭدﯾدات .ﺻﻌود اﻟﻧﺿﺎل اﻟﺑرﻣﺟﻲ " "hacktivismاﻟﺗﻲ ﺗرﺗﻛﺑﮭﺎ ﺟﻣﺎﻋﺎت ﻣﺛل أﻧوﻧﯾﻣس ﻓﻲ ﺷﻛل ھﺟﻣﺎت DDoSﺟﻠﺑت اﻟﻣزﯾد ﻣن اﻟﺗرﻛﯾز ﻋﻠﻰ ھﺟﻣﺎت DDoSﻓﻲ ﻣرﻣﻰ اﻟﻌﯾن ﻟﻠﻌدﯾد ﻣن اﻟﺷرﻛﺎت .ﻋﻠﻰ اﻟرﻏم ﻣن أن ﺗﮭدﯾدات دوس ﺗﻣﻛﻧت ﻓﻲ اﻟﺣﺻول ﻋﻠﻰ اﻧﺗﺑﺎه ﻣﻧظﻣﺎت اﻟﻣﺟﺗﻣﻊ اﻟﻣدﻧﻲ " ،"CSOsﻓﺎن اﻟﻌدﯾد ﻣن اﻟﻣﻧظﻣﺎت ﻻ ﺗﻌرف ﺣﺗﻰ اﻻن اﻻﺳﺗراﺗﯾﺟﯾﺎت اﻟﻣﺿﺎدة ﺿد ھﺟﻣﺎت دوس .ﻓﻲ دراﺳﺔ ﺣدﯾﺛﺔ أﺟرﺗﮭﺎ ﺷرﻛﺔ أﺑﺣﺎث ،Neustarﺗﺑﯾن أن ٪3ﻓﻘط ﻣن اﻟﻣﻧظﻣﺎت اﻟﺗﻲ ﺷﻣﻠﺗﮭﺎ اﻟدراﺳﺔ ﻛﺎن ﻟﮭﺎ ﺣل ﻣﺧﺻص ﻟﻣﻛﺎﻓﺣﺔ دوس .اﻟﻐﺎﻟﺑﯾﺔ اﻟﻌظﻣﻰ ﻣن اﻟﻣﻧظﻣﺎت ﺗﺄﻣل ﻓﻲ أن ﻣﻧﺗﺟﺎت أﻣن اﻟﺷﺑﻛﺎت ﻣﺛل اﻟﺟدران اﻟﻧﺎرﯾﺔ و IPSSاﻟﺣﺎﻟﯾﺔ )أو ﺣﺗﻰ switchesواﻟراوﺗر( ﺗﻣﻧﻊ ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ .ھذه ھﻲ ﻋﻘﻠﯾﺔ ﺧطرة ﻟدﯾك. ﻟﻤﺎذا ﺟﺪار اﻟﺤﻤﺎﯾﺔ " "firewallﻻ ﯾﻤﻜﻨﮫ ﻣﻨﻊ ھﺠﻤﺎت DDoS ﻓﻲ ﺑداﯾﺔ ﻋﺎم ،2012ﻗﺎﻣت Radware’s ERTﺑﺈﺻدار ﺗﻘرﯾرﯾﮭﺎ اﻟﺳﻧوي ﻋن اﻻﻣن واﻟذي ﺿم اﻟﻌﺷرات ﻣن ھﺟﻣﺎت DoSوDDoS واﻟذي ﺗﻌﺎﻣل ﻣﻌﮭﺎ اﻟﻔرﯾﻖ ﺧﻼل ﻋﺎم .2011ﻗﺎﻣت ERTﺑﻔﺣص أﺟﮭزة اﻟﺷﺑﻛﺔ اﻟﺗﻲ ﻛﺎﻧت ﻋﻧﻖ اﻟزﺟﺎﺟﺔ "اﻟﻌﺎﺋﻖ" ﺧﻼل ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ،ووﺟدت أﻧﮫ ٪32ﻣن اﻟﺣﺎﻻت ﻛﺎﻧت ﺟدار اﻟﺣﻣﺎﯾﺔ ﻟﻠﻣؤﺳﺳﺎت اﻟﻣﺳﺗﮭدﻓﺔ وأﺟﮭزة IPSﺣﯾث ﻛﺎﻧت اﻟﻌواﺋﻖ اﻟرﺋﯾﺳﯾﺔ .ﺣﯾث اﻧﮫ ﯾﺑدو ﻣرﺗﻔﻌﺎ ﻋن ھذا اﻟﺻوت ،ﻓﮭذا ﻟم ﯾﻔﺎﺟﺊ اﻟﺧﺑراء اﻷﻣﻧﯾﯾن اﻟذﯾن ﯾﻔﮭﻣون طﺑﯾﻌﺔ ھﺟﻣﺎت DoSو DDoSوﻛﯾﻔﯾﺔ ﺗﺻﻣﯾم اﻟﺟدران اﻟﻧﺎرﯾﺔ. اﻟﺟدران اﻟﻧﺎرﯾﺔ " "firewallھﻲ أﺟﮭزة ﺣﺳب اﻟﺣﺎﻟﺔ " ،"stateful devicesﺑﻣﻌﻧﻰ أﻧﮭﺎ ﺗﺗﺑﻊ وﺿﻊ ﺟﻣﯾﻊ اﺗﺻﺎﻻت اﻟﺷﺑﻛﺔ اﻟﺗﻲ ﺗﻘوم ﺑﺎﻟﺗﻔﺗﯾش ﻋﻠﯾﮭﺎ .ﯾﺗم ﺗﺧزﯾن ﻛل ھذه اﻟﺻﻼت ﻓﻲ ﺟدول اﻻﺗﺻﺎﻻت " ،"connection tableوﯾﻘﺎﺑل ﻛل ﺣزﻣﮫ ﻓﻲ ھذا اﻟﺟدول اﺗﺻﺎل ﻟﻠﺗﺣﻘﻖ ﻣن أﻧﮫ ﯾﺗم ﻧﻘﻠﮭﺎ ﻋﺑر اﺗﺻﺎﻻت ﺷرﻋﯾﺔ ﻣﻌﻣول ﺑﮭﺎ .ﺟدول اﻻﺗﺻﺎﻻت " "connection tableﻣن ﺟدار اﻟﺣﻣﺎﯾﺔ اﻟﻘﯾﺎﺳﻲ ﻋﻠﻰ ﻣﺳﺗوى اﻟﻣؤﺳﺳﺎت ﯾﻣﻛﻧﮫ ﺗﺧزﯾن ﻋﺷرات اﻵﻻف ﻣن اﻻﺗﺻﺎﻻت اﻟﻧﺷطﺔ ،وھذا ﯾﻛﻔﻲ ﻟﻧﺷﺎط اﻟﺷﺑﻛﺔ اﻟﻌﺎدي .وﻣﻊ ذﻟك ،ﺧﻼل ھﺟوم دوس ،ﻓﺎن اﻟﻣﮭﺎﺟم ﯾﻘوم ﺑﺈرﺳﺎل اﻵﻻف ﻣن اﻟﺣزم ﻓﻲ اﻟﺛﺎﻧﯾﺔ ﻟﺷﺑﻛﺔ اﻟﮭدف. ﻓﻲ ﻏﯾﺎب ﺟﮭﺎز ﻣﻛﺎﻓﺣﺔ دوس اﻟﻣﺧﺻص ﻟﺣﻣﺎﯾﺔ ﺟدار اﻟﺣﻣﺎﯾﺔ ﻣن ﻣﺛل ھذا اﻟﺣﺟم اﻟﻛﺑﯾر ﻣن ﺣرﻛﺔ اﻟﻣرور ،ﻓﺎن ﺟدار اﻟﺣﻣﺎﯾﺔ ﻓﻲ ﺣد ذاﺗﮫ ھو ﻋﺎدة أول ﺟﮭﺎز ﻓﻲ ﺷﺑﻛﺔ اﻟﻣؤﺳﺳﺔ ﺗﺗﻌﺎﻣل ﻣﻊ ﻗوة اﻟﮭﺟوم دوس .ﺑﺳﺑب اﻟطرﯾﻘﺔ اﻟﺗﻲ ﺗم ﺑﮭﺎ ﺗﺻﻣﯾم ﺟدار ﺣﻣﺎﯾﺔ ،ﻓﺈﻧﮫ ﺳﯾﺗم ﻓﺗﺢ اﺗﺻﺎل ﺟدﯾد ﻓﻲ ﺟدول اﺗﺻﺎﻻﺗﮫ " "connection tableﻟﻛل ﺣزﻣﺔ ﺧﺑﯾﺛﺔ ،ﻣﻣﺎ ﯾؤدى إﻟﻰ اﺳﺗﻧﻔﺎد ﺟدول اﻻﺗﺻﺎﻻت " "connection tableﻓﻲ ﻓﺗرة ﻗﺻﯾرة ﺟدا ﻣن اﻟزﻣن .ﺑﻣﺟرد وﺻول ﺟدول اﻻﺗﺻﺎﻻت " "connection tableاﻟﺧﺎص ﺑﺟدار اﻟﺣﻣﺎﯾﺔ ﻟﺳﻌﺗﮫ اﻟﻘﺻوى ،ﻓﺈﻧﮭﺎ ﻟن ﺗﺳﻣﺢ ﺑﺎﺗﺻﺎﻻت إﺿﺎﻓﯾﺔ ﻟﯾﺗم ﻓﺗﺣﮭﺎ ،وﻣﻧﻊ اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺷرﻋﯾﯾن ﻓﻲ ﻧﮭﺎﯾﺔ اﻟﻣطﺎف ﻣن إﻗﺎﻣﺔ اﺗﺻﺎﻻت ،وﺑﺎﻟﺗﺎﻟﻲ ﻣﻧﻊ ھؤﻻء اﻟﻣﺳﺗﺧدﻣﯾن ﻣن اﻟوﺻول إﻟﻰ اﻟﺧدﻣﺎت ﻋﺑر اﻹﻧﺗرﻧت اﻟﺗﻲ اﺳﺗﺿﺎﻓﺗﮭﺎ ﺧﺎدم اﻟﺷﺑﻛﺔ أو اﻟﺧوادم اﻟﮭدف .وﻟﯾس ذﻟك ﻏرﯾﺑﺎ -ﻓﻲ ھذا اﻟﺳﯾﻧﺎرﯾو -اﻟﺣرﻣﺎن ﻣن ﺣﺎﻟﺔ ﻻ ﺗزال ﺗﺗﺣﻘﻖ رﻏم وﺟود ﺟدار اﻟﺣﻣﺎﯾﺔ "."Firewall
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1134 ﺗﺣدﯾﺎت اﻟﺗﺧﻔﯾف ﻣن ھﺟﻣﺎت دوس ""Challenges In DDoS Attack Mitigation ھﻧﺎك اﻟﻌدﯾد ﻣن اﻷﺳﺑﺎب اﻟﺗﻲ ﺗﺟﻌل ھﺟﻣﺎت DDoSﻏﺎﻟﺑﺎ ﻣﺎ ﺗﻛون ﺻﻌﺑﺔ ﻓﻲ اﻟﻛﺷف واﻟﺗﺧﻔﯾف .ﻓﻲ اﻟﻌدﯾد ﻣن ﺳﯾﻧﺎرﯾوھﺎت اﻟﮭﺟوم اﻟﻣﺣﺗﻣﻠﺔ ،ﻛل ﺣزﻣﮫ "ﺧﺑﯾﺛﺔ" ﻋﻠﻰ ﺣدة ﻓﻲ ﺣد ذاﺗﮭﺎ ﻣﻌﺎﻣﻠﺔ ﻣﺷروﻋﺔ -ﻻ ﺷﻲء ﻣن ﺷﺄﻧﮫ أن ﯾﺳﺑب أي ﺿرر ﻟﻠﺧدﻣﺔ ﻋﺑر اﻹﻧﺗرﻧت أو اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﻠﺷﺑﻛﺔ اﻟﻣﻧظﻣﺔ .اﻟﻣﻌﻠﻣﺎت اﻟﻣﺷروﻋﺔ ﺑﺳﯾطﺔ ﻣﺛل طﻠب ﺻﻔﺣﺔ اﻟوﯾب ﯾﻣﻛن أن ﯾﺳﺎء اﺳﺗﺧداﻣﮭﺎ ﻣن ﻗﺑل اﻟﻣﺗﻌﺎرف ﻋﻠﯾﮭﺎ ﻓﻲ ﻛﺛﯾر ﻣن اﻻﺣﯾﺎن أن اﻟﻣﻠﻘم ﯾﻧﻔذ ﻣوارده ﻓﻲ ﻣﺣﺎوﻟﺔ إرﺿﺎء ﻛل واﺣد ﻣن اﻟﻣﺣﺗﻣل أن آﻻف ﻣن اﻟطﻠﺑﺎت ﻓﻲ اﻟﺛﺎﻧﯾﺔ ﻟﻛل آﻟﺔ .ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،ﻷن ﻛل ﻛﻣﺑﯾوﺗر ﻓﻲ ھﺟوم دوس ﻏﺎﻟﺑﺎ ﻣﺎ ﯾﻣﺗﻠك ﻋﻧوان IPﻓرﯾد وﯾﺣﺎول أن ﯾﺟﻌل ﻛل واﺣد ﻣن اﻻﻻف ذات طﻠﺑﺎت ﻣﺧﺗﻠﻔﺔ ﺑﺎﺳﺗﺧدام ﻋﻧوان IP ﻣزور وﻣﻌﻠوﻣﺎت Headerﻣﺧﺗﻠﻔﺔ ،وﯾﻣﻛن أن ﯾﻛون ﻣن اﻟﺻﻌب ﺗﺣدﯾد وﻣﻧﻊ ﻣﺻدر اﻟﮭﺟوم اﻟواﺣد. ﺗﻘﻧﯾﺔ ﺑﺳﯾطﺔ وﻟﻛﻧﮭﺎ ﻏﯾر ﻓﻌﺎﻟﺔ ﺑﺷﻛل ﺧﺎص ﺗﺳﺗﺧدم ﻟﺗﺧﻔﯾف ھﺟﻣﺎت DDoSھو اﺳﺗﺧدام ﻗﺎﻋدة ﺣدود اﻟﻣﻌدل " ."rate limit ruleوذﻟك ﻣن ﺧﻼل وﺿﻊ ﺣد ﻋﻠﻰ أﻛﺑر ﻗدر ﻣﻣﻛن ﻣن ﺣرﻛﺔ اﻟﻣرور اﻟﺗﻲ ﯾﻣﻛن أن ﺗﺗدﻓﻖ إﻟﻰ ﻣﻠﻘم اﻟوﯾب ﻣن اﻹﻧﺗرﻧت )ورﻓض ﻗﺑول ﻣﺎ ﺗﺑﻘﻰ ﻣن ﺣرﻛﺔ اﻟﻣرور( ،وﻟﻛن واﺣده ﻣن اﻷﺷﯾﺎء اﻟﻣﺣﺗﻣﻠﺔ ھو رﻓض ﺣرﻛﺔ اﻟﻣرور اﻟﻣﺷروﻋﺔ .إذا ﺣﺎول ﻣﺳﺗﺧدم اﻻﺗﺻﺎل إﻟﻰ ﻣﻠﻘم اﻟﺗﻲ وﺻل اﻟﻰ اﻟﺣد اﻷﻗﺻﻰ اﻟﻣﺳﻣوح ﺑﮫ ﻣن ﻗﺑل ﻗﺎﻋدة ﺣدود اﻟﻣﻌدل " ،"rate limit ruleﺳﯾﺗم رﻓض اﻻﺗﺻﺎل ﻋﻠﻰ اﻟرﻏم ﻣن ان ﻟﮫ أو ﻟﮭﺎ ﻧواﯾﺎ ﻏﯾر ﺧﺑﯾﺛﺔ .ﻗﺎﻋدة ﺣدود اﻟﻣﻌدل " "rate limit ruleﻻ ﺗﻣﯾز ﺑﯾن اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺷرﻋﯾﯾن واﻟﻐﯾر ﺷرﻋﯾﯾن ،ﻟذا ﻓﺈﻧﮭﺎ ﻋﺎدة ﻣﺎ ﺗﻛون ﻏﯾر ﻣﻔﯾدة ﺟدا ﻟﺗﺧﻔﯾف ھﺟوم دوس ،ﺧﺻوﺻﺎ ﻓﻲ ﻣواﺟﮭﺔ "- "Slashdot effectﻋﻧدﻣﺎ ﯾﺳرد ﺑﻌض ﻣواﻗﻊ اﻻﻧﺗرﻧت ذات اﻟﺷﻌﺑﯾﺔ وﺻﻼت " "linksإﻟﻰ ﻣوﻗﻊ أﺻﻐر ،ﻣﻣﺎ ﯾﺳﺑب ﻓﻲ زﯾﺎدة ﻛﺑﯾرة ﻣؤﻗﺗﺔ ﻓﻲ ﺣرﻛﺔ اﻟﻣرور أو " "flash crowdﻋﻠﻰ ﻣوﻗﻊ أﺻﻐر. اﺳﺗراﺗﯾﺟﯾﺔ أﺧرى واﻟﺗﻲ ﯾﺳﺗﺧدﻣﮭﺎ ﻣﮭﺎﺟﻣﻲ دوس ﻟﺗﻌزﯾز ھﺟﻣﺎﺗﮭم وھﻲ ارﺳﺎل ﺣزم اﻟﺧروج ﻣن اﻟﺣﺎﻟﺔ " "out-of-state packetsﺣزم TCPاﻟﺗﻲ ﯾﺗم إرﺳﺎﻟﮭﺎ ﺧﺎرج اﻟﺗرﺗﯾب اﻟﺗﺳﻠﺳﻠﻲ اﻟﻌﺎدي ﻋﻠﻰ اﻟﻧﺣو اﻟذي ﺣدده ﺑروﺗوﻛول .TCPﻋن طرﯾﻖ إرﺳﺎل اﻟﺣزم ﺧﺎرج اﻟﺗرﺗﯾب )أي ﺣزﻣﺔ ACKﻗﺑل ﺣزﻣﺔ ،(SYN-ACKﺣﯾث ﯾﺟﺑر اﻟﻣﮭﺎﺟم ﺟﮭﺎزه اﻟﮭدف ﺑﺎﻟﺣﻔﺎظ ﻋﻠﻰ اﻟﻣﻌﻠوﻣﺎت ﻓﻲ ھذا اﻻﺗﺻﺎل اﻟﺧﺑﯾث ﻓﻲ اﻟﺟدول اﻻﺗﺻﺎل اﻟﺧﺎص ﺑﮫ .ﻛﻣﺎ ھو ﻣوﺿﺢ ﺳﺎﺑﻘﺎ ،ﻓﺈن ﻣﻌظم اﻷﺟﮭزة ﻻ ﯾﻣﻛﻧﮭﺎ اﻟﺗﻌﺎﻣل ﻣﻊ ﺗﺧزﯾن ﻋدد ﻛﺑﯾر ﺟدا ﻣن اﻻﺗﺻﺎﻻت ﻓﻲ ﺟداول اﻻﺗﺻﺎﻻت دون ﺧﻠل .ﻟﻠﺗﻌوﯾض ﻋن ھذا ،ﺣﻠول ﻣﺧﺻﺻﺔ أﻛﺛر ﺗﻘدﻣﺎ ﻣﺿﺎدة ﻟﻠدوس ﺗﺳﺗﺧدم ﺗﻘﻧﯾﺎت ﻣﺗطورة ﻟﺗﺣدﯾد ﻣﺎ إذا ﻛﺎﻧت ھذه ﺣزﻣﺔ اﻟﺧروج ﻣن اﻟﺣﺎﻟﺔ ،وﺗﻔﻌﯾل آﻟﯾﺎت اﻟﺗﺧﻔﯾف ﻟﻣﻧﻊ ﺣرﻛﺔ اﻟﻣرور اﺳﺗﻧﺎدا إﻟﻰ ﺗدﻓﻘﺎت ھذه اﻟﺣزم اﻟﻐﯾر طﺑﯾﻌﯾﺔ. اﻟﻣﮭﺎﺟﻣﯾن ﻟم ﯾﺳﺗﺧدﻣوا ﻓﻘط اﻟﮭﺟﻣﺎت اﻟﺣﺟﻣﯾﺔ وﻟﻛن أﯾﺿﺎ ھﺟﻣﺎت " ،"low and slowواﻟﺗﻲ ﯾﺗطﻠب اﺳﺗراﺗﯾﺟﯾﺎت ﺗﺧﻔﯾف ﺧﺎﺻﺔ ﻟﻠﺗﻌﺎﻣل ﻣﻊ ﻣﺛل ھذه اﻟﮭﺟﻣﺎت ،ﻷﻧﮭﺎ ﺗﻧطوي ﻋﻠﻰ ﻣﺎ ﯾﺑدو ﺣرﻛﺔ اﻟﻣرور اﻟﻣﺷروﻋﺔ ووﺻوﻟﮫ ﺑﻣﻌدل ﺗﺑدو ﻣﺷروﻋﺔ ،وإن ﻛﺎن ﺑطﯾﺋﺎ .أدوات ﻣﺛل Slowlorisو R.U.D.Y.ﻗﺎﻣت ﺑﺈﻧﺗﺎج ﺣزم ﻣﺷروﻋﺔ وﻟﻛن ﺑﻣﻌدل ﺑطﻲء ،ﻣﻣﺎ ﯾﺳﻣﺢ ﻟﻠﮭﺟﻣﺎت ﺑﺎﺳﺗﺧداﻣﮭﺎ ﻟﺗﻣر ﻣن اﺳﺗراﺗﯾﺟﯾﺎت اﻟﺗﺧﻔﯾف اﻟﺗﻘﻠﯾدﯾﺔ اﻟﺗﻲ ﻟم ﯾﺗم ﻛﺷﻔﮭﺎ .أﺣد اﻟﺳﺑل اﻟﻣﻣﻛﻧﺔ ﻟﻠﻛﺷف ﻋن ﻣﺛل ھذا اﻟﮭﺟوم ھو إﺟراء ﺗﺣﻠﯾل اﻟﺳﻠوﻛﻲ ﻟﻠﺷﺑﻛﺔ ﻋﻠﻰ اﻟﺷﺑﻛﺔ ﺧﻼل ﻓﺗرات اﻟﺗﺷﻐﯾل اﻟﻌﺎدي ،وﻣﻘﺎرﻧﺔ ھذه اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﺗم ﺟﻣﻌﮭﺎ ﺧﻼل ﻓﺗرة اﻟﮭﺟوم ﻣن ﻗﺑل أداة " ."low and slowﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،إذا ﻛﺎن ﻋﻠﻰ ﺗطﺑﯾﻖ واﺣد ﻣﻌﯾن ﯾﺄﺧذ ﺧﻣس دﻗﺎﺋﻖ وﻋﺷر ﺟﻠﺳﺎت HTTPﻛﻣﺗوﺳط ﻹﺗﻣﺎم اﻟﺻﻔﻘﺔ ﻓﺈذا ﻛﺎن اﻟﻣﺳﺗﺧدم ﯾﻘﺿﻲ ﺧﻣس ﺳﺎﻋﺎت وﯾﺗطﻠب 1000ﻣن ﺟﻠﺳﺎت HTTPﻹﺗﻣﺎم ﻧﻔس اﻟﺻﻔﻘﺔ ﻓﺄﻧﮭﺎ ﻗد ﺗﻛون ﻧﺗﯾﺟﺔ ھﺟوم وھﻧﺎ ﻧﺣن ﺑﺣﺎﺟﮫ اﻟﻰ إﺟراءات أﻣﻧﯾﺔ أﺧرى. ھﻧﺎك ﺑﻌض طرق اﻟﮭﺟوم اﻷﺧرى اﻟﻣﺗطورة واﻟﺗﻲ أﺳﺎءت اﺳﺗﺧدام ﻧﻘﺎط اﻟﺿﻌف ﻓﻲ طﺑﻘﺔ اﻟﻣﻘﺎﺑس اﻵﻣﻧﺔ ) ،(SSLوھﻲ طرﯾﻘﺔ ﺷﺎﺋﻌﺔ ﻟﺗﺷﻔﯾر اﻟوﯾب ﺗﺳﺗﺧدم ﻓﻲ ﺑروﺗوﻛول .HTTPSﻋن طرﯾﻖ إﺟﺑﺎر اﻟﺗﺷﻔﯾر وﻓك اﻟﺗﺷﻔﯾر اﻟﻣﺗﻛررة ﻣن اﻟﺑﯾﺎﻧﺎت ،وﻻ ﺳﯾﻣﺎ ﻣن ﺧﻼل اﺳﺗﺧدام ﻣﯾزة SSLﻓﻲ "إﻋﺎدة اﻟﺗﻔﺎوض" ،ﯾﻣﻛن ﻟﻠﻣﮭﺎﺟم أن ﯾﺣﺗل ﺗﻣﺎﻣﺎ ﻣوارد اﻟﺧﺎدم اﻟﮭدف ﺣﺗﻰ ﻻ ﯾﻛون ﻗﺎدرا ﻋﻠﻰ ﺗﻠﺑﯾﺔ اﻟطﻠﺑﺎت اﻟﻣﺷروﻋﺔ. ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ﻋﻠﻰ أﺳﺎس SSLھﻲ ﺻﻌﺑﺔ ﻟﻠﻐﺎﯾﺔ ﻓﻲ اﻟﻛﺷف واﻟﺗﺧﻔﯾف ﺣﯾث ان ﻛل ﺣرﻛﺔ اﻟﻣرور إﻟﻰ اﻟﺧﺎدم ﻣﺷﻔرة ،وﺑﺎﻟﺗﺎﻟﻲ ﯾﺟب أن ﯾﺗم اﻟﻔك -واﻟﺗﻲ ﻏﺎﻟﺑﺎ ﻣﺎ ﺗﻛون زﻣﻧﯾﺎ وﻋﻣﻠﯾﺔ ﻛﺛﯾﻔﺔ اﻻﺳﺗﺧدام ﻟﻠﻣوارد -ﻗﺑل أن ﯾﺗﻘرر أن ﺗﻛون ﻣﺷروﻋﺔ أو ﺧﺑﯾﺛﺔ واﻟﺗﻌﺎﻣل ﻣﻌﮭﺎ ﻓﻲ وﻗت ﻻﺣﻖ. ﻧظره ﻋﻠﻰ ﺗﻘﻧﯾﺎت ﻛﺷف اﻟﺷذوذ ﻓﻲ ﺣرﻛﺔ اﻟﻣرور طﺑﯾﻌﺔ ﻣﻌدل ھﺟﻣﺎت اﻟﻔﯾﺿﺎﻧﺎت ﺗﺷﯾر إﻟﻰ أن اﻟﻧﻘطﺔ اﻟرﺋﯾﺳﯾﺔ اﻟﺗﻲ ﺗرﻛز ﻋﻠﯾﮭﺎ ﺗﻘﻧﯾﺎت اﻟﻛﺷف ﻋﻠﻰ اﻟﮭﺟوم اﻟﻣﻘﺎﺑل ﯾﻧﺑﻐﻲ أن ﯾﻛون ﻣن ﺧﻼل اﻛﺗﺷﺎف اﻟﺗﺷوھﺎت ﻓﻲ ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ .اﻟﻧﯾﺔ ھﻧﺎ ھﻲ ﺗﺣدﯾد ﺣرﻛﺔ اﻟﻣرور اﻟﺗﻲ ﻣن اﻟﻣﺣﺗﻣل أن ﺗﺷﻛل ارﺗﻔﺎع ﻣﻌدل ھﺟﻣﺎت اﻟﻔﯾﺿﺎﻧﺎت. ﻓﻲ ﺣﯾن ﺗم ﺗﺻﻣﯾم ﺗﻘﻧﯾﺎت ﻛﺷف اﻟﺗوﻗﯾﻊ " "signature detection techniquesﻟﻠﻛﺷف ﻋن اﻟﮭﺟﻣﺎت اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ اﻟﺗوﻗﯾﻌﺎت ﻣن اﻟﮭﺟﻣﺎت اﻟﺗﻲ ﺑﺎﻟﻔﻌل ﺳﺑﻘت اﻟﺗﻌرف ﻋﻠﯾﮭﺎ ،ﺗﻘﻧﯾﺎت اﻟﻛﺷف ﻋن اﻟﺷذوذ ﺗﻌﻠم ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ ﻣن ﺧﻼل اﺳﺗﺧدام ﻣﻠف ﺗﻌرﯾﻔﻲ ﻟﺧط اﻷﺳﺎس اﻟﺗﻲ ﺗﺳﯾر ﻋﻠﯾﮫ اﻟﺷﺑﻛﺔ اﻟﻌﺎدﯾﺔ وﻛﺷف اﻟﺣﺎﻻت اﻟﺷﺎذة ﻓﻲ ﺣرﻛﺔ اﻟﻣرور واﻟﺗﻲ ﺗﻧﺣرف ﻛﺛﯾرا ﻋن اﻟﻣﻠف اﻟﺗﻌرﯾﻔﻲ ﻟﺧط اﻻﺳﺎس .ﺗﻘﻧﯾﺎت اﻟﻛﺷف ﻋن اﻟﺗوﻗﯾﻊ ﻓﻌﺎﻟﺔ ﺿد اﻟﮭﺟﻣﺎت اﻟﻣﻌروﻓﺔ ﻓﻲ ﺣﯾن ﻛﺷف اﻟﺷذوذ ﻟدﯾﮫ اﻟﻘدرة ﻋﻠﻰ اﻛﺗﺷﺎف اﻟﮭﺟﻣﺎت اﻟﻐﯾر ﻣﻌروﻓﮫ "."Zero day attacks د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1135 ﻧﮭﺞ اﻟﺗﺧﻔﯾف " "Mitigation approachesﻣن ﺷﺎﺋﻧﮫ اﺳﻘﺎط ﺣرﻛﺔ اﻟﻣرور ﺗﻣﺎﻣﺎ )ﯾوﺟد ﻣﺧﺎطر وھو إﺳﻘﺎط ﺣرﻛﺔ اﻟﻣرور "اﻟﺟﯾدة"( ،أو اﺧﺗﻧﺎق ﺣرﻛﺔ اﻟﻣرور )ﻣﻊ ﺗﺄﺛﯾرھﺎ اﻟﺳﻠﺑﻲ ﻋﻠﻰ أوﻗﺎت اﻻﺳﺗﺟﺎﺑﺔ اﻟﺣﺎﺿرة( ،أو ﺗﺧﺻﯾص ﻣوارد إﺿﺎﻓﯾﺔ ﻟﻣواﺟﮭﺔ ارﺗﻔﺎع ﻣﻌدل ﺣرﻛﺔ اﻟﻣرور .ﻣن ھذا ،ﻓﺎن اﻟﻧﮭﺞ اﻷﻛﺛر ﺑﺣﺛﺎ ﺑﺷﻛل ﻣﻛﺛف ھو اﻷول ،واﻟﻣﺗطﻠﺑﺎت اﻷﺳﺎﺳﯾﺔ واﻟﺿرورﯾﺔ ھﻧﺎ ھﻲ اﻟدﻗﺔ واﻟﺗوﻗﯾت .ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠدﻗﺔ، ﯾﻧﺑﻐﻲ أن ﯾﺛﺎر ﺗﻧﺑﯾﮫ ﺣﯾث ﯾﺗم اﺳﻘﺎط ﺣرﻛﺔ اﻟﻣرور ﻓﻘط ﻋﻧد ظﮭور ﺣرﻛﺔ اﻟﻣرور اﻟﺷﺎذة ﻋﻠﻰ اﻟﺷﺑﻛﺔ .وﻋﻼوة ﻋﻠﻰ ذﻟك ،ﺗﺧﻔﯾف ﻋدد اﻻﯾﺟﺎﺑﯾﺎت اﻟﻛﺎذﺑﺔ واﻟﺳﻠﺑﯾﺎت اﻟﻛﺎذﺑﺔ إﻟﻰ أدﻧﻰ ﺣد ﻣﻣﻛن ،وذﻟك ﺣﺗﻰ ﻻ ﯾﻌطل ﺗﻘدﯾم اﻟﺧدﻣﺎت اﻟﻌﺎدﯾﺔ .أﻣﺎ اﻟﺗوﻗﯾت ،ﯾﺟب أن ﺗﻛون ھذه اﻟﺗﻘﻧﯾﺔ ﻗﺎدرة ﻋﻠﻰ اﻟﻛﺷف ﻋن اﻟوﺿﻊ اﻟﺷﺎذ ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ أو اﻟﻘرﯾب ﻣن اﻟوﻗت اﻟﺣﻘﯾﻘﻲ ﺑﺣﯾث ﻋﻣﻠﯾﺎت اﻻﺳﺗﺟﺎﺑﺔ /اﻟﺗﺧﻔﯾف ﺗﻌﻣل ﺑﺄﺳرع وﻗت ﻣﻣﻛن ﻟﻠﺣد ﻣن ﺗﺄﺛﯾر ھذا اﻟﮭﺟوم .ھﻧﺎك ﺗﺣدﯾﺎت ﻛﺑﯾرة ﻓﻲ ﺗﻠﺑﯾﺔ ھذﯾن اﻟﻣطﻠﺑﯾن .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻗﺎﻣﺎ آﺧرون .ﺑﻣﻼﺣظﺔ ،اﻧﮫ ﻟﯾس ھﻧﺎك ﺗﻌرﯾف دﻗﯾﻖ ﻟﻣﺎ ﯾﺷﻛل أﻧﻣﺎط ﺣرﻛﺔ اﻟﻣرور اﻟﺷﺎذة .ﺣرﻛﺔ اﻟﻣرور اﻟﻌﺎدﯾﺔ ﻓﻲ اﻟﺷﺑﻛﺔ ﯾﻣﻛن أن ﺗﺣﻣل ﻓﻲ ﺑﻌض اﻷﺣﯾﺎن ﺧﺻﺎﺋص واﻟﺗﻲ ،ﻓﻲ ظﺎھرھﺎ ،ﺳﺗﻛون ﻣؤﺷرات ﻟﻠﺳﻠوك "اﻟﺷﺎذ" .وھذا ﯾﺷﻣل ،ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ظواھر ﻣﺛل ﻣﺎ ﯾﺳﻣﻰ ﺑﺄﺣداث ﻓﻼش " "flash eventsاﻟﺗﻲ ھﻲ اﻧدﻓﺎﻋﺎت ﻣﻔﺎﺟﺋﺔ وﺷدﯾدة )ﺣرﻛﺔ ﺷرﻋﯾﮫ( ﻟﺣرﻛﺔ اﻟﻣرور .وﻋﻼوة ﻋﻠﻰ ذﻟك ،ﺗﺗﻔﺎﻗم ﻣﺷﻛﻠﺔ اﻟﻛﺷف ﻋﻠﻰ ﺣﻘﯾﻘﺔ أﻧﮫ ﻟﯾس ﻓﻘط اﻟﺗﻛوﯾن اﻟﻔﻌﻠﻲ ﻟﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ اﻟﻌﺎدي ﻋﻠﻰ ﺣد ﺳواء ﻣﺗﻧوع وﻣﺗطور ﺑﺎﺳﺗﻣرار ،ﺣﯾث ﻧﻣط ﺣرﻛﺔ اﻟﻣرور اﻟﻣﺳﺗﺧدم ﻓﻲ اﻟﮭﺟوم اﻟﻔﻌﻠﻲ ﯾﻣﻛن ﺑرﻣﺟﺗﮫ ﻟﺗﻘﻠﯾد ھذا اﻟﺳﻠوك "اﻟﺳﻠوك اﻟﺷرﻋﻲ ﻟﺣرﻛﺔ اﻟﻣرور". اﻟﻐرض ﻣن ھذه اﻟﻣﻧﺎﻗﺷﺔ ،ھو ان ﻋﻣﻠﯾﺔ اﻟﻛﺷف ﺗﺷﻣل ﺛﻼﺛﺔ ﻋﻧﺎﺻر رﺋﯾﺳﯾﺔ: ﺗﺳﺟﯾل و/أو ﻗﯾﺎس ﻣﻌﻠﻣﺎت ﻣﻌﯾﻧﺔ ذات ﻓﺎﺋدة "."Recording and/or measurement of certain parameters of interest ﺗﺣﻠﯾل اﻟﺑﯾﺎﻧﺎت "."Data analysis ﺻﻧﻊ اﻟﻘرار ﺣول ﺗﺻﻧﯾف اﻟﺳﻠوك اﻟذي ﻟوﺣظ ھل ھو ﺷﺎذ ام ﻻ )واﺛﺎر ﻟﻼﺳﺗﺟﺎﺑﺔ اﻟﻼﺣﻘﺔ ﻣﺛل ﺗوﻟﯾد ﺗﻧﺑﯾﮫ أو إﺳﻘﺎط ﺣرﻛﺔ اﻟﻣروراﻟﺷﺎذ(. اﻟﻣﻌﻠﻣﺎت ذات اﻟﻔﺎﺋدة واﻟﻧﮭﺞ اﻟﻣﺳﺗﺧدم ""Parameters of Interest and Approaches Used ﻧﮭﺞ اﻟﺗﺣﻠﯾل وﺻﻧﻊ اﻟﻘرار ﯾﺣدد ﻋدد ﻣﻌﻠﻣﺎت ﻣﻧﻔﺻﻠﺔ .اﻟﻣﻌﻠﻣﺎت اﻷﻛﺛر ﺷﯾوﻋﺎ ھﻲ ﺣﺟم ﺣرﻛﺔ اﻟﻣرور اﻟﺗﻲ ﺗدﺧل ﺷﺑﻛﺔ )اﻟﻣﻌروف أﯾﺿﺎ ﺑﺎﺳم ،(ingressوأﺣﯾﺎﻧﺎ ﺣﺟم ﺣرﻛﺔ اﻟﻣرور اﻟﺗﻲ ﺗﻐﺎدر اﻟﺷﺑﻛﺔ )واﻟﺗﻲ ﺗﻌرف أﯾﺿﺎ ﺑﺎﺳم .(egressﻋﺎدة ﻣﺎ ﯾﺗم اﻟﺗﻌﺑﯾر ﻋن ﺣﺟم ﺣرﻛﺔ اﻟﺷﺑﻛﺔ )أو ﺗدﻓﻖ ﺣرﻛﺔ اﻟﻣرور( ،ﺑﺎﻟﻣﺻطﻠﺣﯾن ﺣزﻣﮫ/ﺛﺎﻧﯾﺔ " "packets/secondوﺑت )أو ﺑﺎﯾت( /ﺛﺎﻧﯾﺔ "."bits (or bytes) /second وﺗﺷﻣل اﻟﻌواﻣل اﻷﺧرى ذات اﻻھﺗﻣﺎم ،ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻋﻧﺎوﯾن اﻟﻣﺻدر /ﻋﻧﺎوﯾن IPاﻟوﺟﮭﺔ "،”source/destination IP addresses ﻋﻧﺎوﯾن اﻟﻣﻧﻔذ ،وﻧوع اﻟﺑروﺗوﻛول )ﻣﺛل اﻟﺗﻣﯾﯾز ﺑﯾن ﺣزم UDP ،TCPو .(ICMPﺑﺎﻹﺿﺎﻓﺔ اﻟﻰ اﻟﺗرﻛﯾز ﻋﻠﻰ اﻟﻘﯾﺎﺳﺎت ﻋﻠﻰ ﻣﺳﺗوى اﻟﺣزﻣﺔ واﻟواﺣد اﻟذي ﯾﻧﺎﺳب اﻟﺗراﺑط اﻟﻣﺗﺄﺻل وﺗﺳﻠﺳل اﻟﺣزم ﻓﻲ ﺑروﺗوﻛول ) (TCP/IPھو اﻟﻧظر ﻓﻲ ﻣﺟﺎﻣﯾﻊ اﻟﺣزم واﻟﺗﻲ ﺗﺳﻣﻰ ﺣرﻛﺔ اﻟﺗدﻓﻘﺎت " ."traffic-flowsوﻓﻲ ھذا اﻟﺳﯾﺎق ،ﻓﺎن ﺣرﻛﺔ اﻟﺗدﻓﻘﺎت " "traffic-flowsﯾﻣﻛن ،ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،أن ﺗﻛون ﺳﻠﺳﻠﺔ ﻣن اﻟﺣزم اﻟﺗﻲ ﺗﺿم ﺟﻠﺳﺔ اﺗﺻﺎل ﻛﺎﻣﻠﺔ ﻋﻠﻰ ﻣﺳﺗوى .TCPﻓﻲ ھذه اﻟﺣﺎﻟﺔ ،ﯾﺗم رﺑط اﻟﺣزم ﺿﻣن ﺣرﻛﺔ اﻟﺗدﻓﻘﺎت ﺑواﺳطﺔ اﻟﺑروﺗوﻛول ) (IPﻋﻧوان اﻟﻣﺻدر وﻋﻧوان اﻟوﺟﮭﺔ وﻛذﻟك ﻣﻧﺎﻓذ اﻟﻣﺻدر واﻟوﺟﮭﺔ. ﻓﻲ ﻋﺎم ،2006ﻗﺎم ﻛﺎرل وآﺧرون .ﺑﺈﺟراء ﻓﺣص ﻣﻧﮭﺟﻲ ﻟﺗﻘﻧﯾﺎت اﻟﻛﺷف ﻋن ﻣﺧﺗﻠف أﺷﻛﺎل ھﺟﻣﺎت اﻟﻔﯾﺿﺎﻧﺎت .ﻓﻘﺎﻣوا ﺑﺟﻣﻊ ﺗﻘﻧﯾﺎت اﻟﻛﺷف ﺗﺣت اﻟﻔﺋﺎت اﻟﺗﺎﻟﯾﺔ: اﻟﺗﻧﻣﯾط اﻟﻧﺷط "."activity profiling ﻛﺷف ﻧﻘطﺔ اﻟﺗﻐﯾر اﻟﻣﺗﺳﻠﺳﻠﺔ "."Sequential change-point detection ﺗﺣﻠﯾل اﻟﻣوﯾﺟﺎت "."wavelet-based signal analysisﺛم ﻗﺎﻣوا ﺑﺗﻘﯾﯾم أداء اﻟﺗﻘﻧﯾﺎت ﻓردﯾﺎ ﻓﻲ ﻛل ﻓﺋﺔ ﻋﻠﻰ أﺳﺎس اﺳﺗﺧدام اﻟذاﻛرة واﻟﺗﻌﻘﯾد اﻟﺣﺳﺎﺑﻲ .ﻣن اﻟواﺿﺢ ،ان دراﺳﺔ ھذا اﻟﻧوع ،واﻟﺗرﺗﯾب اﻟﻣﻘﺎﺑل ﻻ ﺗﻣﺛل ﺳوى ﻧظرة ﺧﺎطﻔﮫ ﻟﻠﺗﻘﻧﯾﺎت اﻟﻣﺗﺎﺣﺔ ﻓﻲ ذﻟك اﻟوﻗت .وﻣﻊ ذﻟك ،ﻓﺈﻧﮭﺎ ﺗﺛﯾر ﻋددا ﻣن اﻻھﺗﻣﺎﻣﺎت اﻟﺗﻲ ﺗﻌﺗﺑر ﻣﮭﻣﺔ ﻓﻲ ﺗﺣﻠﯾل اﻟﻌﻣل اﻟﻼﺣﻖ ﻓﻲ ھذا اﻟﻣﺟﺎل .ﻓﻲ اﻷﺳﺎس ،ﻣن وﺟﮭﺔ ﻧظرھم ،إن ﻣﻌظم اﻟﻧﺗﺎﺋﺞ اﻟﺗﻲ اﺳﺗﻧدوا إﻟﯾﮭﺎ ﻓﻲ ﻣﻘﺎرﻧﺗﮭم ﻛﺎﻧت ﻣﺣدود اﻟﻔﺎﺋدة ﺑﺎﻟﻧﺳﺑﺔ ﻟﻣﺟﺗﻣﻊ اﻟﺷﺑﻛﺎت اﻷوﺳﻊ ﻷن اﻟﻧﺗﺎﺋﺞ ﻟم ﺗﻛن وﻟدت ﻓﻲ ﺑﯾﺋﺎت اﻟﺷﺑﻛﺎت ﻓﻲ اﻟﻌﺎﻟم اﻟﺣﻘﯾﻘﻲ. اﻟﻛﺷف ﻋن اﻷداء ""Detection Performance ﻣﻧذ اﻟدراﺳﺔ اﻟﺗﻲ أﺟراھﺎ ،Carl et alﻛﺎن ھﻧﺎك ﻧﺷﺎط ﻣﺳﺗﻣر وﺻﻘل ﻓﻲ ھذا اﻟﻣﺟﺎل .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،اﻟدراﺳﺔ اﻟﺗﻲ ﻗﺎم ﺑﮭﺎ .Kline et al اﻟﺗرﻛﯾز ﻋﻠﻰ اﻷداء ﯾﻌزز ﻧﻘطﺔ ﺳﺑﻖ ذﻛرھﺎ وھﻲ أن واﺣدا ﻣن اﻟﺗﺣدﯾﺎت اﻟرﺋﯾﺳﯾﺔ ﻓﻲ ﺗﻧﻔﯾذ ﺣل ﻋﻣﻠﻲ ﻟﻠﻛﺷف ﻋن ھﺟوم اﻟﻔﯾﺿﺎﻧﺎت اﻟﺷﺑﻛﺔ ھو أن ﺗﻛون ﻗﺎدرة ﻋﻠﻰ ﺗﺷﻐﯾل ﻋﻣﻠﯾﺔ اﻟﻛﺷف ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ .واﻟﺗﻲ ﻓﻲ ﺟوھرھﺎ ،ﺗﻌﻧﻲ ﺗﻧﻔﯾذ ﺟﻣﯾﻊ اﻟﻣﮭﺎم اﻟﻣذﻛورة أﻋﻼه ﺑﺳرﻋﺔ ﺗﺗﻧﺎﺳب ﻣﻊ رواﺑط اﻹرﺳﺎل اﻷﺳﺎﺳﯾﺔ ﺗﻠك ،أي ﻣﺎ ﯾﺳﻣﻰ ﺑﺳرﻋﺔ اﻟﺳﻠك " ."wire speedھذه اﻟﺳرﻋﺎت ھﻲ ھدف ﻣﺗﺣرك وﺗﺟرى ﺑﻼ ھوادة ﺻﻌودا د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1136 ﻣن ﻗﺑل اﻟﺗﺣﺳﯾﻧﺎت ﻓﻲ اﻟﺗﻛﻧوﻟوﺟﯾﺎ .وﻟﻛﻲ ﺗﻛون ﻗﺎدرة ﻋﻠﻰ اﻟﻣﻧﺎﻓﺳﺔ ﻓﻲ ﻋﻣﻠﯾﺎت اﻟﻛﺷف ﯾﺟب أن ﺗﻛون ﻗﺎدرة ﺣﺎﻟﯾﺎ ﻋﻠﻰ اﻟﻌﻣل ﺑﺳرﻋﺔ Gbps10ﻋﻠﻰ اﻷﻗل ،وﯾﻔﺿل أن ﯾﻛون أﻋﻠﻰ .ﻟﺣﺳن اﻟﺣظ ظﮭر ھذا اﻷداء اﻟﻌﺎﻟﻲ واﻟﻣﻌﺎﻟﺟﺔ اﻟﻣﺗوازﯾﺔ ،أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر وﺑﯾﺋﺎت ﺗطوﯾر اﻟﺑرﻣﺟﯾﺎت اﻟﻣرﺗﺑطﺔ ﺟﻌﻠت ﻣﮭﻣﺔ ﺗﺻﻣﯾم وﺗﻧﻔﯾذ ﻋﻣﻠﯾﺎت ﻣﺗطورة ﻟﻠﻛﺷف ﻣﻣﻛﻧﮫ ﻣﺛل ھذه اﻷﺟﮭزة واﻟﻣﻧﺻﺎت ﺛم ﺗﺷﻐﯾﻠﮭﺎ ﺑﺳرﻋﺔ ﺗﻘﺗرب ﻣن ﺗﻠك اﻟﻣطﻠوﺑﺔ .أﻣﺛﻠﺔ اﻟﺗﺟﺎرﯾﺔ ﻋن اﻷﺟﮭزة وﺗﺟﮭﯾز ﺷﺑﻛﺔ ﻣﺻﻣﻣﺔ ﺧﺻﯾﺻﺎ ﻟﮭذا اﻟﻐرض )ﻣﺛل ،AMCC np7510 ،Intel IXP2400 EZchip NP-1و Agere Fast Pattern Processorو .(Routing Switch Processorﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،اﺳﺗﺧدام اﻟﺗوازي ﻋﺎﻟﯾﺔ اﻷداء ) field-programmable gate arrays (FPGAsﻟﺗﺣﻘﯾﻖ ﻧﻔس اﻟﮭدف. ھﻧﺎك ﻧﮭﺞ ﺑدﯾل ﻻﺳﺗﺧدام ﺧوارزﻣﯾﺔ ﻛﺷف اﻟﺷذوذ وھو .Shanbhag and Wolfواﻟﺗﻲ اﺳﺗﻐﻠت إﻣﻛﺎﻧﯾﺎت ﻣﻌﺎﻟﺟﺎت ﻣوازﯾﮫ ﻋﺎﻟﯾﺔ اﻷداء ﻟﺗﺷﻐﯾل اﻟﻌدﯾد ﻣن ﺧوارزﻣﯾﺎت اﻟﻛﺷف ﻋن اﻟﺷذوذ ﺑﺷﻛل ﻣﺗواز .ﻓﻲ ظل ھذا اﻟﻧظﺎم ،ﻓﺎن اﻟﻧﺎﺗﺞ ﻣن ﻛل ﺧوارزﻣﯾﺔ ھو ﺗطﺑﯾﻊ وﻣن ﺛم ﺗﺟﻣﯾﻌﮭﺎ ﻹﻧﺗﺎج ﻣﻘﯾﺎس واﺣد ﻟﻠﺷذوذ .ھذه اﻟﻔﻛرة ﻟدﯾﮭﺎ ﺗﺎرﯾﺦ طوﯾل ﻓﻲ ﻣﺟﺎل ﺗﻌﻠم اﻵﻟﺔ واﺳﺗﺧدﻣت ﺑﻧﺟﺎح ﻓﻲ ﻣﺟﻣوﻋﺔ واﺳﻌﺔ ﻣن اﻟﻣﺷﺎﻛل. ﻓﻲ ﺣﯾن ﻛﺎن اﻟﺗرﻛﯾز ﻋﻠﻰ ﻣﻘﯾﺎس ﺑﺳﯾط ﻣﺛل اﻟزﯾﺎدات اﻟﻣﻔﺎﺟﺋﺔ ﻓﻲ ﺣﺟم ﺣرﻛﺔ اﻟﻣرور واﻟﺗﻲ ﺗﺳﺎﻋد ﻓﻲ ﺗﺣﻘﯾﻖ أﻗﺻﻰ ﻗدر ﻣن اﻷداء ﻣن أﺟل ﺗﺣﻘﯾﻖ اﻟﮭدف ﻣن اﻟﻛﺷف ﻓﻲ اﻟوﻗت اﻟﻣﻧﺎﺳب ،ﻓﮭﻧﺎك ﺑﻌض اﻷﺳﺎﻟﯾب اﻷﺧرى ﻟﻠﻛﺷف ﻋن اﻟﻣﻌدل اﻟﻌﺎﻟﻲ ﻟﮭﺟﻣﺎت اﻟﻔﯾﺿﺎﻧﺎت واﻟﺗﻲ ﺗﻧطوي ﻋﻠﻰ اﻟﺗﻔﺗﯾش وﺗﺣﻠﯾل ﻛل ﻣن اﻟ headerوﻣﺣﺗوى ) (payloadاﻟﺣزم .ﻋﻠﻰ اﻟرﻏم ﻣن ﻓﺎﺋدﺗﮭﺎ ،ﻓﮭﻧﺎك ﻧوﻋﺎن ﻣن اﻟﻘﯾود ﻋﻠﻰ ﻧﺷر ھذا اﻟﻧوع ﻣن ﺗﻘﻧﯾﺔ اﻟﻛﺷف .اﻷوﻟﻰ ،وھو ﻋﻠﻰ ﻣن ﯾﻧطﺑﻖ ،ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻋﻠﻰ ﻣﺳﺗوى .ISPواﻟﺛﺎﻧﻲ ھو ،ﺑطﺑﯾﻌﺔ اﻟﺣﺎل ،اﻷداء .ﺗﺣﻠﯾل ﻛل ﻣن رؤوس اﻟﺣزم " "packet headerوﻣﺣﺗوﯾﺎت اﻟﺣزﻣﺔ ﻓﮭﻲ ﻣﻛﻠﻔﮫ ﻓﻲ اﻟوﻗت واﻟﻣوارد .وﺑﻧﺎء ﻋﻠﻰ ذﻟك ،أﻧظﻣﺔ ﺗﺣﻠﯾل ﻛل header وﻣﺣﺗوى ﻛل ﺣزﻣﺔ ﻟدﯾﮭﺎ اﻟﻘدرة ﻋﻠﻰ أن ﺗﻧﺷﺄ اﺧﺗﻧﺎﻗﺎت ،وﻓﻲ اﻟﺣﺎﻟﺔ اﻟﻘﺻوى ،ھﻲ ﻧﻘطﺔ ﻓﻌﻠﯾﺔ ﻟﻠﻔﺷل ﺧﻼل اﻟﻣﻌدل اﻟﻌﺎﻟﻲ ﻟﮭﺟوم اﻟﻔﯾﺿﺎﻧﺎت. ﻓﻲ ﺣﯾن اﻻھﺗﻣﺎم ﺑﺎﻷداء ،ﻓﺎن ﺗﺣﻠﯾل اﻟ headerرﻛزت ﺗﺎرﯾﺧﯾﺎ ﺑﺑﺳﺎطﺔ ﻋﻠﻰ ﻣﺻدر وﻋﻧﺎوﯾن IPاﻟوﺟﮭﺔ وﻧوع اﻟﺣزﻣﺔ .ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك، ﺗﺣﻠﯾل اﻟﺣزم اﻟﻧﻣوذﺟﻲ ﻋﻠﻰ ﻣﺳﺗوى ﻣﻧﺧﻔض " "low-level packet analysisﺗﻧطوي ﻋﻠﻰ اﻟﺗﺣﻘﻖ ﻣن رﻗم ﻣﻧﻔذ TCPﻓﻲ headerطﺑﻘﺔ اﻟﻧﻘل " ."transport layerوﻟﻛن ،ﻛﻣﺎ ذﻛر ﺳﺎﺑﻘﺎ ،ﻗد ﺧﻠﻖ ظﮭور اﻷﺟﮭزة ﻋﺎﻟﯾﺔ اﻷداء )ﺑﻣﺎ ﻓﻲ ذﻟك ) ((FPGAوﻣﻌﺎﻟﺟﺎت اﻟﺷﺑﻛﺔ اﻟﻣﺗﺧﺻﺻﺔ اﻟﺑﯾﺋﺔ اﻟﺗﻲ ھﻲ ﻋﻠﯾﮭﺎ اﻵن ﻷداء ﻣﺳﺗوﯾﺎت أﻋﻣﻖ وأﻛﺛر ﺗﻌﻘﯾدا ﻣن اﻟﺗﺣﻠﯾل ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،اﻟﻘدرة اﻟﻣوﺟود اﻵن ﻹﺟراء ﺗﻔﺗﯾش ﻋﻣﯾﻖ ﻟﻠﺣزﻣﺔ ،ﺑﻣﺎ ﻓﻲ ذﻟك اﻟﻘدرة ﻋﻠﻰ ﺗﺣﻠﯾل ﻣﺣﺗوى ﻣﺳﺗوى اﻟﺗطﺑﯾﻘﺎت " "application-levelﻟﻛل ﺣزﻣﮫ .ﻋﻠﻰ اﻟﻣﺳﺗوى اﻟﺗﺟﺎري ،ظﮭرت ھذه اﻟﻘدرة ﻓﻲ ﺷﻛل ﻣﺎ ﯾﺳﻣﻰ .application-aware firewallsھﻧﺎك اﻵن أﯾﺿﺎ اﻟﻘدرة ﻋﻠﻰ اﺳﺗﻐﻼل اﻟﺗوازي اﻟﻣﺗﺄﺻل ﻓﻲ ﻣﻌﺎﻟﺟﺎت اﻟﺷﺑﻛﺔ ﻋن طرﯾﻖ ﺗﻔﻛﯾك ﺣرﻛﺔ اﻟﻣرور ﻓﻲ ﺗدﻓﻘﺎت اﺗﺻﺎل ﻓردﯾﺔ وﻣن ﺛم ﺗﺣﻠﯾل ﺗﺳﻠﺳل اﻟﺣزم ﻓﻲ ﻛل ﺗﯾﺎر اﺗﺻﺎل ﻣن ھذا اﻟﻘﺑﯾل ﻓﻲ وﻗت واﺣد. ﻣن اﻟواﺿﺢ أﻧﮫ ﻓﻲ ﺑﻌض اﻟظروف ،اﻟﺗﺣدﯾد اﻟﻧﺎﺟﺢ ﻟﻧﺷﺎط اﻟﮭﺟوم ﯾﻣﻛن ان ﯾﺣدث ﺑﻣﺳﺎﻋدة وﺟود أﺟﮭزة اﻟﺷﺑﻛﺔ اﻟﻔردﯾﺔ أو أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ﻟﺗﺑﺎدل اﻟﻣﻌﻠوﻣﺎت اﻟﻣﺗﻌﻠﻘﺔ ﺑﻧﺷﺎط ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ اﻟﺗﻲ ﺗراه .وﻧﺗﯾﺟﺔ ﻟذﻟك ﺗم اﻗﺗراح ﻋدد ﻣن اﻷﺑﻧﯾﺔ ﻟﻠﺳﻣﺎح )ﻓﻲ اﻟﻣﻘﺎم اﻷول( ﻟﻣﺟﻣوﻋﺎت ﻣن أﺟﮭزة اﻟراوﺗر أو اﻷﺟﮭزة اﻟﺗﻲ ﻟﮭﺎ ﻗدرات ﻣﺗﺷﺎﺑﮭﺔ .اﻟﻧﻘطﺔ اﻟﻣﺣورﯾﺔ ھﻲ ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن أﺟﮭزة اﻟراوﺗر اﻟﺗﻲ ﺗﻌﻣل ﻋﻠﻰ ﺣدود اﻟﺷﺑﻛﺔ ﺣﯾث ﻓﻠﺗرة ﺣزم ingressو egressﯾﻣﻛن أن ﺗؤدﯾﮭﺎ ﺑﻛﻔﺎءة .ﻧﻘطﮫ اﺧﯾره ،ﻛﻣﺎ ھو ﻣﺑﯾن ﺳﺎﺑﻘﺎ ،وھو ﻋﺎﻣل ﻣﮭم ﻓﻲ ﻧﺷر ﻣﺛل ھذه اﻟﻔﻼﺗر ھﻲ ﻗدرﺗﮭم ﻋﻠﻰ اﻟﻌﻣل ﻓﯾﻣﺎ ﯾﺳﻣﻰ ﺑﺳرﻋﺔ اﻷﺳﻼك ﺧوﻓﺎ ﻣن ان اﻟﻔﻼﺗر أﻧﻔﺳﮭم ﺗؤﺛر ﺳﻠﺑﺎ ﻋﻠﻰ اﻷداء وﺗوﺟﯾﮫ اﻟﺣزم .ﺗواﻓر اﻷﺟﮭزة اﻟﻣﻌﺎﻟﺟﺔ اﻟﻣﺗوازﯾﺔ ﻋﺎﻟﯾﺔ اﻟﺳرﻋﺔ ھﻲ ﺧطوة ھﺎﻣﺔ ﻓﻲ اﻟﺗﺧﻔﯾف ﻣن ھذه اﻟﻣﺷﻛﻠﺔ. ﺻﻧﻊ اﻟﻘرار واﻟﺗﺧﻔﯾف ﻣن آﺛﺎرھﺎ ""Decision-Making and Mitigation ﯾﻣﻛن اﺗﺧﺎذ ﻗرار اﻟﻘﺑول أو اﻟﺗﺟﺎھل ﻟﻠﺣزﻣﺔ ﻋﻠﻰ أﺳﺎس اﻟﻘﺎﺋﻣﺔ اﻟﺑﯾﺿﺎء اﻟﺛﻧﺎﺋﯾﺔ "/"binary whitelistاﻟﻘﺎﺋﻣﺔ اﻟﺳوداء .ھذه اﻟﻘواﺋم ﻗد ﺗﺄﺧذ ﻣﺟﻣوﻋﺔ ﻣﺗﻧوﻋﺔ ﻣن اﻷﺷﻛﺎل ،ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎلreal-time black-hole lists ،source or destination-based access control lists ، و .DNS black listsوﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،ﯾﻣﻛن اﺳﺗﺧﻼص اﻟﻣﻌﻠوﻣﺎت ﻣن ھذه اﻟﻘواﺋم )اﻟﻣوﺛوق ﺑﮫ( ﻣن اﻷطراف اﻟﺧﺎرﺟﯾﺔ ،ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل Spamhaus XBL (http://www.spamhaus.org/xbl) ،و ) .CBL (http://cbl.abuseat.orgھذا ﯾﺑﻧﻲ ﻋﻠﻰ اﻟرﺑط ﺑﯾن اﻟﻣﻔﺎھﯾم اﻟﻛﺎﻣﻧﺔ وراء إﻧﺷﺎء واﺳﺗﺧدام ھذه اﻟﻘواﺋم واﻟﻣﻔﮭوم اﻷوﺳﻊ ﻟﺑﻧﺎء وﻧﺷر ﺧطﺔ ﺑﺎﻋﺗﺑﺎرھﺎ ﺟزءا ﻣن ﻋﻣﻠﯾﺔ ﺻﻧﻊ اﻟﻘرار. ﺧﻼ ل ھذه اﻷﯾﺎم ظﮭرت ﻣﺟﻣوﻋﺔ ﻛﺑﯾرة ﻣن اﻷﻓﻛﺎر واﻟﺧﺑرات اﻵن ﻟﻛﯾﻔﯾﺔ ﺗﺻﻣﯾم وﺗﻧﻔﯾذ اﺳﺗراﺗﯾﺟﯾﺔ اﻟﺗﺧﻔﯾف اﻟﻣطﻠوﺑﺔ ﺑﻣﺟرد ﺑدأ ھﺟوم ﯾﺗم اﻟﻛﺷف ﻋﻧﮭﺎ Whilst .اﻵﻟﯾﺎت اﻟدﻓﺎﻋﯾﺔ ھذه أﺻﺑﺣت ﻣﺗطورة ﻋﻠﻰ ﻧﺣو ﻣﺗزاﯾد ،ﺣﯾث ان ﻣﺣور اﺳﺗراﺗﯾﺟﯾﺔ اﻟﺗﺧﻔﯾف ھو اﻟﺣد ﻣن ﺣﺟم ﺣرﻛﺔ اﻟﻣرور إﻟﻰ ﻣﺳﺗوﯾﺎت ﯾﻣﻛن اﻟﺗﺣﻛم ﻓﯾﮭﺎ ﻓﻲ أﺳرع وﻗت ﻣﻣﻛن .ﺑﺎﻟﺿرورة ،وھذا ﯾﺗطﻠب ﺣزم IPاﻟﻔردﯾﺔ أو ﺗﯾﺎرات ﺣزﻣﺔ ﺗﻛون إﻣﺎ ان ﯾﺗم ﺗﺟﺎھﻠﮭﺎ أو ﺗﺄﺧرھﺎ .اﻟﺻﻌوﺑﺔ اﻟﻛﺎﻣﻧﺔ ھﻲ ﻓﻲ ﻣﻌﺎﻟﺟﺔ اﻟﺣزم )واﻟﺗﯾﺎرات( ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ ﻣن أﺟل اﺗﺧﺎذ اﻟﻘرار ﻟﺗﺣدﯾد أي اﻟﺣزم ﯾﺗم ﻓﻠﺗرﺗﮭﺎ ،أي اﻟﺣزم ﯾﺗم اﻟﺳﻣﺎح ﻟﮭﺎ ،واي اﻟﺣزم اﻟﺗﻲ ﺗﻣر دون إﻋﺎﻗﺔ ،وأﯾن ﯾﺗم اﺗﺧﺎذ ھذا اﻟﻘرار.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1137 ﻓﻲ ھذا اﻟﺳﯾﺎق ،ﺗﺟدر اﻹﺷﺎرة إﻟﻰ وﺟود درﺟﺔ ﻣن اﻟﺗﺷﺎﺑﮫ ﺑﯾن اﻟﻣﺷﻛﻠﺔ اﻟﺣﺎﻟﯾﺔ ﻟﺗﺣدﯾد وﺗﺻﻔﯾﺔ ﺗﯾﺎرات اﻟﺣزﻣﺔ اﻟﺷﺎذة ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ واﻟﻌﻣل اﻟﻣﺑﻛر ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ ﻹدارة ازدﺣﺎم اﻟﺷﺑﻛﺔ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﺗم ﺗطوﯾر ﺧوارزﻣﯾﺎت ﻣﺛل random early detection ) (REDو (FRED) fair random early detectionواﻟﺗﻰ ﺗﻘرر اﻻﺣﺗﻣﺎﻟﯾﺎت اﻟﺗﻲ ﯾﻧﺑﻐﻲ ﻓﯾﮭﺎ إﺳﻘﺎط ﺣزم TCPﻋﻧدﻣﺎ ﯾﺻل ﺟﮭﺎز ﺷﺑﻛﺔ ﻣﻌﯾﻧﺔ اﻟﻰ ﻧﻘطﺔ ﺣﯾث ﺣﺟم ﺣرﻛﺔ اﻟﻣرور ﺗﺟﺎوزت ﻣﺳﺎﺣﺔ اﻟﻣﺧزن اﻟﻣؤﻗت اﻟﻣﺗوﻓرة .واﻟﻔرق اﻟرﺋﯾﺳﻲ ﺑﯾن ھذا اﻟﻌﻣل ﻓﻲ وﻗت ﻣﺑﻛر ﻋﻠﻰ إدارة اﻻزدﺣﺎم واﻟﻧﮭﺞ اﻟﺣﺎﻟﯾﺔ ھو أن اﻟﻘدرة ﻣوﺟود اﻵن ﻹﺷراك ﻋدد أﻛﺑر ﻣن ﻋﻧﺎﺻر اﻟﻣﻌﻠوﻣﺎت ﻓﻲ ﻋﻣﻠﯾﺔ ﺻﻧﻊ اﻟﻘرار .وھذا ﯾﻔﺗﺢ ﻋدد ﻣن اﺣﺗﻣﺎﻻت اﻷﺑﺣﺎث اﻟﻣﺛﯾرة ﻟﻼھﺗﻣﺎم. ﺧوارزﻣﯾﺎت Machine-Learning Algorithmsﻟﻠﻛﺷف ﻋن ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ اﻟﺗﻌﻠم اﻵﻟﻲ ) (machine learningأﺣد ﻓروع اﻟذﻛﺎء اﻻﺻطﻧﺎﻋﻲ اﻟﺗﻲ ﺗﮭﺗم ﺑﺗﺻﻣﯾم وﺗطوﯾر ﺧوارزﻣﯾﺎت وﺗﻘﻧﯾﺎت ﺗﺳﻣﺢ ﻟﻠﺣواﺳﯾب ﺑﺎﻣﺗﻼك ﺧﺎﺻﯾﺔ "اﻟﺗﻌﻠم" .ﺑﺷﻛل ﻋﺎم ھﻧﺎك ﻣﺳﺗوﯾﯾن ﻣن اﻟﺗﻌﻠم :اﻻﺳﺗﻘراﺋﻲ واﻻﺳﺗﻧﺗﺎﺟﻲ .ﯾﻘوم اﻻﺳﺗﻘراﺋﻲ ﺑﺎﺳﺗﻧﺗﺎج ﻗواﻋد وأﺣﻛﺎم ﻋﺎﻣﺔ ﻣن اﻟﺑﯾﺎﻧﺎت اﻟﺿﺧﻣﺔ .اﻟﻣﮭﻣﺔ اﻷﺳﺎﺳﯾﺔ ﻟﻠﺗﻌﻠم اﻵﻟﻲ ھو اﺳﺗﺧراج ﻣﻌﻠوﻣﺎت ﻗﯾﻣﺔ ﻣن اﻟﺑﯾﺎﻧﺎت ،ﺑﺎﻟﺗﺎﻟﻲ ھو ﻗرﯾب ﺟدا ﻣن اﻟﺗﻧﻘﯾب ﻓﻲ اﻟﺑﯾﺎﻧﺎت ) (data miningواﻹﺣﺻﺎء واﻟﻣﻌﻠوﻣﺎﺗﯾﺔ اﻟﻧظرﯾﺔ. ﻋﻧد اﺳﺗﺧدام ﺗﻘﻧﯾﺎت اﻟﻛﺷف ﻋن ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ﻛﺎن ھﻧﺎك ﻣﺷﻛﻠﺗﯾن ﺑﺣﺛﯾﺗﯾن ذات اھﻣﯾﮫ وﺗﺣدﯾﺎ وھﻲ: -1اﺳﺗﺧراج ﻣﺟﻣوﻋﺔ ﻓرﻋﯾﺔ ﻣن اﻟﻣﯾزات " "Subset of featuresاﻟﺻﺎﻟﺣﺔ واﻟﻛﺎﻓﯾﺔ واﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﺑﻧﺎء ﻧﻣﺎذج ﻓﻌﺎﻟﺔ ﻟﺗﺣدﯾد ھﺟوم دوس -2ﺗرﺗﯾب ﻓﻌﺎﻟﯾﺔ ﻣﺧﺗﻠف ﺗﻘﻧﯾﺎت ﺗﻌﻠﯾم اﻵﻟﺔ " "Machine-Learningواﻟﺗﻲ اﺳﺗﺧدﻣت ﻓﻲ ﻋﻣﻠﯾﺔ اﻟﻛﺷف. ﺑﺎﻟﻧﺳﺑﺔ ﻟﻣﻌظم ﻣﺷﺎﻛل ،ﯾﻣﻛن ﻟﻌﻣﻠﯾﺔ ﻣﯾزة اﻟﺣد " "process of feature reductionواﻟﺗﻰ ﺗﻧطوي ﻋﻠﻰ اﺳﺗﺧراج اﻟﺳﻣﺎت ""attributes او اﻟﻣﯾزات " "featureاﻷﻛﺛر أھﻣﯾﺔ وذات اﻟﺻﻠﺔ ﻗﺑل ﺗطﺑﯾﻖ ﺗﻘﻧﯾﺎت اﻟﻧﻣذﺟﺔ ") "modelling techniqueﻣﺛل ﺗﻘﻧﯾﺎت ﺗﻌﻠﯾم اﻵﻟﺔ " "Machine-Learningوﺗﻘﻧﯾﺎت اﻷﺳﺎﻟﯾب اﻹﺣﺻﺎﺋﯾﺔ " ("statistical techniquesﺗﺣﺳﯾن ﻛﺑﯾر ﻓﻲ اﻟوﻗت اﻟﻣطﻠوب ﻓﻲ اﻟﺗدرﯾب واﻻﺧﺗﺑﺎر ﻟﮭذا اﻟﻧﻣوذج .وﻣﻊ ذﻟك ،ﻣﻘﺎرﻧﺔ ﻣﻊ اﻟﻣﺷﺎﻛل اﻷﺧرى ،اﺳﺗﺧراج ﻣﺟﻣوﻋﺔ ﻣن اﻟﺳﻣﺎت اﻟﺗﻲ ﺗﻣﯾز ﺣرﻛﺔ اﻟﻣرور ﻋﻠﻰ اﻹﻧﺗرﻧت ﻟدرﺟﺔ ﺗﻣﻛﻧﮫ ﻣن ﺗﻣﯾﯾز ﺣرﻛﺔ اﻟﻣرور اﻟﻌﺎدﯾﺔ ﻣن اﻟﺣرﻛﺔ اﻟﺷﺎذة ﺻﻌﺑﮫ ﺑﺷﻛل ﺧﺎص .واﺣده ﻣن ھذه اﻟﻣﺷﺎﻛل ،ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ھﻲ أن اﻟﻌﻘد " "nodeﻓﻲ ﺗﺟرﺑﺔ إﻧﺗرﻧت ﺷدﯾدة اﻻﺧﺗﻼف ذات ﻛﺛﺎﻓﺔ ﻓﻲ ﺗدﻓﻖ ﺣرﻛﺔ اﻟﻣرور اﻟﻧﺎﺟﻣﺔ ﻋن اﻻﺧﺗﻼﻓﺎت اﻟﻛﺑﯾرة ﻓﻲ ﻋدد اﻟﻣﺳﺗﺧدﻣﯾن اﻟﻣوﺟودﯾن ﻓﻲ ﻛل ﻋﻘدة .وھذا ﯾﺟﻌل ﻣن اﻟﺻﻌب ﺗﺣدﯾد ﻣﺎ ﯾﺷﻛل ﺣرﻛﺔ ﻣرور »طﺑﯾﻌﯾﺔ« ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت .ﻣﺷﻛﻠﺔ أﺧرى ،وھو أن ھﻧﺎك اﺣﺗﻣﺎل وﺟود ﻋدد ﻛﺑﯾر ﻣن اﻟﻣﺗﻐﯾرات اﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﺗوﺻﯾف أﻧﻣﺎط ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ .ورﻏم ذﻟك ،ﻓﺎن اﺳﺗﺧراج اﻟﺳﻣﺎت اﻟﮭﺎﻣﺔ وذات اﻟﺻﻠﺔ ﻟﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ أﻣر ﺑﺎﻟﻎ اﻷھﻣﯾﺔ ﻟﻧﻣذﺟﺔ ﺳﻠوﻛﯾﺎت اﻟﺷﺑﻛﺔ ﺑﺣﯾث ﯾﻣﻛن ﺗﻣﯾز ﺳﻠوﻛﯾﺎت اﻟﮭﺟوم ﻋن اﻟﺳﻠوك اﻟﻌﺎدي ﺑوﺿوح. وﻗد ﺗﻣت دراﺳﺔ ھذه اﻟﻣﺷﻛﻠﺔ ﻣن ﻗﺑل ﻋدد ﻣن اﻟﻣﺟﻣوﻋﺎت .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﺷو وآﺧرون " "Xu et alﻗﺎﻣوا ﺑﺎﺧﺗﯾﺎر ﺛﻣﺎﻧﯾﺔ ﻗﯾم ﻧﺳﺑﯾﺔ ﻣن اﻟﻣﯾزات اﻟﺗﻲ ﺗﻛون ﻣﺳﺗﻘﻠﺔ ﻋن ﺗدﻓﻖ اﻟﺷﺑﻛﺔ .زرﻛر وآﺧرون " "Zargar et alﻗﺎﻣوا ﺑﺗﺣدﯾد ﺧﺻﺎﺋص اﻟﺷﺑﻛﺔ اﻟﻔﻌﺎﻟﺔ ﻟﺗﺣﻘﯾﻖ اﻟﻛﺷف ﻋن اﻟﮭﺟوم وذﻟك ﺑﺎﺳﺗﺧدام طرﯾﻘﺔ ﺗﺣﻠﯾل اﻟﻣﻛون اﻟرﺋﯾﺳﻲ " (PCA) "Principal Component Analysisﻟﺗﺣدﯾد ﻣﺟﻣوﻋﺔ اﻟﻣﯾزة اﻷﻣﺛل. ﺟﯾن وآﺧرون " "Jin et alﻗﺎﻣوا ﺑﻣﻧﺎﻗﺷﺔ ﺗطﺑﯾﻖ ﺗﺣﻠﯾل اﻻرﺗﺑﺎط اﻟﻣﺗﻌدد ﻟﻛﺷف ھﺟﻣﺎت دوس واﻗﺗرح ﻧﻣوذج ﺗﺣﻠﯾل اﻟﺗﺑﺎﯾن ﻟﻠﻛﺷف ﻋن ھﺟﻣﺎت اﻟﻔﯾﺿﺎﻧﺎت .اﺳﺗﻌﻣﻠوا ﻛل ﻣﻌﻠﻣﺎت flag-bitاﻟﻣوﺟودة ﻓﻲ رأس ﺣزم TCPﻛﻣﺎ ﺗﺗﻣﯾز ﻓﻲ ﻧﻣوذج ﺗﺣﻠﯾل اﻟﺗﺑﺎﯾن .وﻗد أﺛﺑﺗوا ﻧﺟﺎح اﺳﺗﺧدام ھذه اﻟطرﯾﻘﺔ اﻟﻣﻘﺗرﺣﺔ ﻓﻲ اﻟﻛﺷف ﻋن ھﺟﻣﺎت .SYN floodingوﻣﻊ ذﻟك ،ﻓﺈن اﻷﺳﻠوب ﻟﮫ ﻗﯾدا رﺋﯾﺳﯾﺎ وھو أﻧﮫ ﻻ ﯾوﺟد أي ﺿﻣﺎن ﺑﺄن اﻟﺳﺗﺔ flagھﻲ ﻣﯾزات ﺻﺎﻟﺣﺔ أو ﻛﺎﻓﯾﺔ ﻟﻛﺷف ﻋن ﺟﻣﯾﻊ أﺷﻛﺎل ھﺟوم دوس ﻣﻊ دﻗﺔ ﻣﺗﺳﻘﺔ. ﻛﻣﺎ ﻧوﻗش ﺳﺎﺑﻘﺎ ،ﻓﺎن اﻷﺳﺎﻟﯾب اﻹﺣﺻﺎﺋﯾﺔ وﺗﻘﻧﯾﺎت اﻟﺗﻌﻠم اﻵﻟﻲ ﯾﻣﻛن أن ﺗﺳﺗﺧدم ﻟﻠﻛﺷف ﻋن اﻟﺗﻐﯾرات اﻟﻐﯾر طﺑﯾﻌﯾﺔ ﻓﻲ اﺳﺗﺧدام اﻟﻣوارد اﻟﺗﻲ ﺗدل ﻋﻠﻰ ھﺟوم دوس .وﻟﻛن ،ﻛﻼ اﻟﻧﮭﺟﯾن ﻟﮭﻣﺎ ﺣدودھﺎ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﺗﻘﯾﺔ اﻟﺗﻌﻠم اﻵﻟﻲ ) ،(machine learningﻗد ﺛﺑت إﻧﺗﺎﺟﮭﺎ درﺟﺔ ﻋﺎﻟﯾﺔ ﻣن اﻟدﻗﺔ ﻓﻲ اﻟﻛﺷف ﻋن ھﺟﻣﺎت .DDoSوﻟﻛن ھذه اﻟﺗﻘﻧﯾﺎت ،ﺗﺗطﻠب ﻋﺎدة ﻓﺗرة طوﯾﻠﺔ وﺑﺎﻟﺗﺎﻟﻲ ﻗﺗره طوﯾﻠﮫ ﻓﻲ اﻟﺗﻌﻠم ،ﺣﺎﻟﯾﺎ ،ھذه اﻟطرق ﻋﺎدة ﻻ ﯾﻣﻛن أن ﺗﻌﻣل ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ. ﻋﻠﻰ اﻟرﻏم ﻣن ھذه اﻟﻘﯾود ،ﻓﺈن اﻟﺣل ﻟﻣﺷﻛﻠﺔ اﻟﻛﺷف ﻋن ھﺟوم دوس ﻣوﺛوق ﺗﺄﺗﻲ ﻣن أي ﻣن أو ﻛل ﻣن ھذه اﻟﻣﺟﺎﻻت واﻟﺟﮭد اﻟﺑﺣﺛﻲ اﻟﻛﺑﯾر ﯾزال ﻣوﺟﮭﺎ ﻟﮭذه اﻟﻐﺎﯾﺔ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﺳﯾو وآﺧرون .ﻗد اﺳﺗﺧدﻣﺎ ﻧﻣوذج ﻣﺗﻌدد اﻟطﺑﻘﺎت SVMﻟﺗﺻﻧﯾف اﻟﻛﺷف ﻋن ھﺟوم دوس ﻛﻣﺎ ﻓﻌل ﺷو وآﺧرون .ﻓﻲ ﻋﻣل ﺷو وآﺧرون ،ﺗم إدﺧﺎل ﻣﺟﻣوﻋﺔ ﻣن اﻟﻣﯾزات اﻟﺟدﯾدة أﯾﺿﺎ ،ﺑﻣﺎ ﻓﻲ ذﻟك ﺗﺷﻛﯾل اﻟﻘﯾم اﻟﻧﺳﺑﯾﺔ ﻛﺟزء ﻣن ﻣﺟﻣوﻋﺔ ﻣوﺳﻌﺔ ﻣن ﻛﺷف اﻟﻣﻌﻠوﻣﺎت .واﻗﺗرﺣوا أﯾﺿﺎ ﻣﻘﺎرﺑﺔ ﺟدﯾدة ﻻﺳﺗﺧدام ﻛﺛﺎﻓﺔ اﻟﮭﺟوم ﻟﻛﺷف ﺣدث دوس .ﺑﺎرﺷورى وآﺧرون " Paruchuri et "alاﻗﺗرﺣﺎ ﻣﺧطط ) Probabilistic Packet Marking (PPMﺟدﯾد وﺳﻣﯾﺎه ،TTL-based PPM schemeﺣﯾث ﺗﺗﻣﯾز ﻛل ﺣزﻣﮫ ﻣﻊ اﺣﺗﻣﺎل ﯾﺗﻧﺎﺳب ﻋﻛﺳﯾﺎ ﻣﻊ اﻟﻣﺳﺎﻓﺔ اﻟﺗﻲ اﺟﺗﯾزت ﺑواﺳطﺔ اﻟﺣزﻣﺔ ،ﻣﻣﺎ ﯾﺗﯾﺢ ﻣﻌرﻓﺔ ﻣﺻدر اﻟﺿﺣﯾﺔ ﻟﻧﺗﺗﺑﻊ ﻣﺻدر اﻟﮭﺟوم .ﻧﺟوﯾن وآﺧرون " "Nguyen et al.ﻗﺎم ﺑﺗطوﯾر إطﺎرا ﻟﻣﻛﺎﻓﺣﺔ ھﺟﻣﺎت دوس وذﻟك ﻟﻠﻛﺷف ﻋن ھﺟوم دوس وذﻟك ﺑﺎﺳﺗﺧدام طرﯾﻘﺔ .K-NN Classifier د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1138 ﺣﯾث اﻧﮭم اﺳﺗﺧدﻣوا طرﯾﻘﺔ k-nearest neighbourﻟﺗﺻﻧﯾف ﺣﺎﻟﺔ اﻟﺷﺑﻛﺔ ﻓﻲ ﻛل ﻣرﺣﻠﺔ ﻣن ﻣراﺣل ھﺟوم دوس .وﻣﻊ ذﻟك ،ﻓﻲ ﺣﯾن أن ﻧﮭﺞ K-NNﻣﻣﺗﺎز ﻓﻲ اﻟﻛﺷف ﻋن اﻟﮭﺟوم ،وﻟﻛﻧﮫ ﻣﻛﻠف ﺣﺳﺎﺑﯾﺎ ﻟﻠﺗﻧﻔﯾذ ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ ﻋﻧدﻣﺎ ﯾزﯾد ﻋدد اﻟﻌﻣﻠﯾﺎت ﻓﻲ وﻗت واﺣد .ﻛﻣﺎ أﺷﯾر ﺳﺎﺑﻘﺎ ،ﻓﺈن ﻣﺷﻛﻠﺔ اﻟﻛﺛﺎﻓﺔ اﻟﺣﺳﺎﺑﯾﺔ " "computational intensityھﻲ اﻟﺣﺎﺳﻣﺔ ﻓﻲ ﻣﺷﻛﻠﺔ دوس ﻛﻣﺎ ھو اﻟﺣﺎل ﻓﻲ ﺗطﺑﯾﻘﺎت أﺧرى ﻻﺳﺗﺧراج اﻟﺑﯾﺎﻧﺎت ﺣﯾث ﯾﺗم ﺗﺣﻠﯾل ﻗواﻋد اﻟﺑﯾﺎﻧﺎت اﻟﻛﺑﯾرة. أﺣد اﻟﻣﻔﺎﺗﯾﺢ اﻟرﺋﯾﺳﯾﺔ اﻟﻣﺳﺗﺧدﻣﺔ ﻟﺗﻘﯾﯾم أداء ﺗﻘﻧﯾﺎت اﻟﻛﺷف ﻋن ھﺟﻣﺎت دوس ھﻲ .KDD datasetوھﻲ ﻣﺟﻣوﻋﺔ ﺗﺣﺗوي ﻋﻠﻰ 14ﻣن اﻟﮭﺟﻣﺎت واﻟﺗﻰ ﺗﺳﺗﺧدم ﻻﺧﺗﺑﺎر وﺧﻠﻖ اﻟﻧﻣوذج .وﻗد اﻗﺗرﺣت ﻋدة طرق ﻻﺳﺗﺧراج اﻟﺧﺻﺎﺋص اﻟﻣﻔﯾدة ﻣن ھذه اﻟﺑﯾﺎﻧﺎت ،وﻗد ﺗم ﺗﻘﯾﯾم ﻣﺟﻣوﻋﺔ واﺳﻌﺔ ﻣن اﻟﻣﺻﻧﻔﯾن ﻣﺳﺗﻣدة ﻣن ﻣﺟﺎﻻت ﻣﺛل اﻹﺣﺻﺎءات ،واﻟﺗﻌﻠم اﻵﻟﻲ واﻟﺗﻌرف ﻋﻠﻰ اﻷﻧﻣﺎط ﺿد ھذه اﻟﺑﯾﺎﻧﺎت. ﺗﻧﺎﻗش اﻟدراﺳﺔ اﻟﺗﺎﻟﯾﺔ اﺳﺗﺧراج ﻣﯾزة اﻟﺗﻌﯾﯾن ﻣن ﻣﺻدرﯾن ﻣﺧﺗﻠﻔﯾن ﻣن ﻣﺟﻣوﻋﺎت اﻟﺑﯾﺎﻧﺎت ﻣن ﺣرﻛﺔ اﻟﻣرور ﻋﻠﻰ اﻹﻧﺗرﻧت .واﻟذي ھم public-domain CAIDA datasetوﺣرﻛﺔ اﻟﻣرور اﻟﺗﻲ ﺗم ﺟﻣﻌﮭﺎ ﻋﻠﻰ ﺷﺑﻛﮫ ).Smart and Secure Environment (SSE ﺗﻣت دراﺳﺔ أﻧواع ﻣﺧﺗﻠﻔﺔ ﻣن ھﺟﻣﺎت DDoSﻟﺗﺣدﯾد اﻟﺣزم واﻟﻣﻌﻠﻣﺎت ﻟﺣرﻛﺔ اﻟﻣرور اﻟﺗﻲ ﺗﺗﻐﯾر ﺑﺷﻛل ﻏﯾر ﻋﺎدي ﺧﻼل ھذه اﻟﮭﺟﻣﺎت .ﺗم ﺟﻣﻊ ﻣﺎ ﯾﻘرب ﻣن 23ﻣن اﻟﻣﯾزات .ﺗرﺗﯾب ھذه اﻟﻣﯾزات ﯾﺗم ﻣن ﺧﻼل ﺟﻧﻰ اﻟﻣﻌرﻓﺔ وإﺣﺻﺎﺋﯾﺔ chi-squareواﻟﺗﻲ ﺗﻣﻛن ﻋدد ﻣن اﻟﻣﯾزات أن ﯾﺗم ﺗﺧﻔﺿﯾﮭﺎ إﻟﻰ ﺛﻣﺎﻧﯾﺔ .وﺗﺣﺳب ﺟﻣﯾﻊ اﻟﻣﯾزات اﻟﻣﺳﺗﺧدﻣﺔ ﻓﻲ ھذه اﻟورﻗﺔ ﻓﻲ ﻓﺗرة اﻟﻔﺎﺻﻠﺔ دﻗﯾﻘﺔ واﺣده .وﻣﻧذ ﺗﻧﻘﺳم ھذه اﻟﻔﺋﺎت اﻟﻰ وﺿﻊ اﻟﮭﺟوم واﻟوﺿﻊ اﻟطﺑﯾﻌﻲ ،ﻓﺎﻧﮫ ﻣن اﻟﻣﻣﻛن ﺗطﺑﯾﻖ ﺧوارزﻣﯾﺎت ﺗﻌﻠم اﻻﻟﮫ اﻟﻣﺧﺗﻠﻔﺔ ﻟﻠﻛﺷف .اﻟﻧﮭﺞ اﻟﻣﺗﺑﻊ ھو اﺳﺗﺧدام آﻟﯾﺔ اﺧﺗﯾﺎر ﻣﯾزة ﻗد ﻧوﻗﺷت ﻓﻲ وﻗت ﺳﺎﺑﻖ وﺑﻧﺎء اﻟﻣﺻﻧف " "classifierﺑﺎﺳﺗﺧدام ﺧوارزﻣﯾﺎت ﻣﺧﺗﻠﻔﺔ ﻟﺗﻌﻠم اﻻﻟﮫ ﻣﺛل ،Naive Bayesian ،K-NN ،SVM K-means ،Decision Treeو .Fuzzy c-means clusteringوﺗظﮭر ھذه اﻟﻣرﺣﻠﺔ ﻣن اﻟدراﺳﺔ ﺗﻘﯾﯾﻣﺎ ﻷداء اﻟﻣﺟﻣوﻋﺔ اﻟﻣﺧﺗﺎرة ﻣن ﺧوارزﻣﯾﺎت آﻟﺔ اﻟﺗﻌﻠم ﻓﻲ اﻟﻛﺷف ﻋن ھﺟﻣﺎت .DDoSوﺧوارزﻣﯾﺎت ﻗﯾﺎس اﻷداء ھﻲ )Receiver Operating Characteristic (ROC و .F-measureﻧﺗﯾﺟﺔ ھﺎﻣﺔ ﻣن ھذا اﻟﻌﻣل وھو أﻧﮫ ،ﻣن ﻣﺧﺗﻠف اﻷﺳﺎﻟﯾب اﻟﻣﺳﺗﺧدﻣﺔ ،ﻓﺎن Fuzzy c-means clusteringھﻲ وﺳﯾﻠﺔ ﻣﻔﯾدة وﻓﻌﺎﻟﺔ ﺟدا ﻟﻠﻛﺷف ﻋن ھﺟوم دوس. اﻟﻣﯾزات اﻟﻣﺧﺗﺎرة واﻟﺗﻘﯾﯾم ""Feature Selection and Evaluation ﻗﺎﺋﻣﺔ ﺑ 23ﻣن اﻟﻣﯾزات اﻟﻣﺧﺗﺎرة ،وھﻲ: )1. One-Way Connection Density (OWCD 2. Average length of IP flow 3. The ratio between incoming and outgoing packets 4. Entropy of IP flow length 5. Entropy of the packet ratios of the three protocols TCP, UDP and ICMP 6. Ratio of TCP protocol 7. Ratio of UDP protocol 8. Ratio of ICMP protocol 9. Number of data bytes from source to destination 10. Number of data bytes from destination to source 11. Number of packets in which destination port is mapped to a particular service 12. Type of the protocol, e.g. TCP, UDP, ICMP 13. The number of packets having the same source IP address and destination IP address 14. Number of wrong fragments 15. Number of connections that have SYN errors 16. Number of connections to the same source IP 17. Number of connections having the same destination host 18. Number of packets where URG flag is set 19. Number of packets where SYN flag is set 20. Number of packets where FIN flag is set 21. Number of packets where ACK flag is set 22. Number of packets where PSH flag is set 23. Number of packets where RST flag is set د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1139 وﻛﻣﺎ ﻗﻠﻧﺎ ﺳﺎﺑﻘﺎ اﻧﮫ ﻣﻊ ﺗرﺗﯾب ھذه اﻟﻣﯾزات ﻣن ﺧﻼل ﺟﻧﻰ اﻟﻣﻌرﻓﺔ " "gain informationوإﺣﺻﺎﺋﯾﺔ chi-squareواﻟﺗﻲ ﺗم اﺧﺗﺻﺎر ھذه اﻟﻣﯾزات إﻟﻰ ﺛﻣﺎﻧﯾﺔ ﻛﺎﻟﺗﺎﻟﯾﺔ: (a) One-Way Connection Density (OWCD):
(b) Average Length of IP Flow (Lave f low): ،IP flowھو ﻣﻔﮭوم ﯾﺳﺗﺧدم ﻋﻠﻰ ﻧطﺎق واﺳﻊ ﻓﻲ ﻣﺟﺎل ﺗﺣﻠﯾل اﻟﺷﺑﻛﺔ ،وﯾﻌﻧﻲ أن ﻣﺟﻣوﻋﺔ ﻣن اﻟﺣزم ﻟدﯾﮭﺎ ﻧﻔس ﺧﻣس ﻋﻧﺻر اﻟﻣﺟﻣوﻋﺔ )ﻋﻧوان IPاﻟﻣﺻدر ،ﻣﻧﻔذ اﻟﻣﺻدر ،ﻋﻧوان IPاﻟوﺟﮭﺔ ،ﻣﻧﻔذ اﻟوﺟﮭﺔ واﻟﺑروﺗوﻛول( .اﻣﺎ Length of IP flowﯾﻌﻧﻲ أن ﻋدد اﻟﺣزم ﺗﻧﺗﻣﻲ إﻟﻰ IP flowﻣﻌﯾن:
(c) Incoming and Outgoing Ratio of IP packets (Rio): ﻋﺎدة اﻟﻧﺳﺑﺔ ﺑﯾن اﻟﺣزم اﻟواردة واﻟﺻﺎدرة ھﻲ ﺛﺎﺑﺗﺔ .وﻟﻛن ﻓﻲ ھﺟوم دوس ،ھذه اﻟﻧﺳﺑﺔ ﺗزﯾد ﺑﺳرﻋﺔ:
(d) Ratio of TCP Protocol (Rt ):
(e) Ratio of UDP Protocol (Ru):
(f) Ratio of ICMP Protocol (Ri ):
(g) Land: The number of packets having the same source IP address and destination IP address. (h) Protocol-type: Type of the Protocol, e.g. TCP, UDP, ICMP, etc. ھذه اﻟﻣﯾزات اﻟﺛﻣﺎﻧﯾﺔ ،اﻟﺗﻲ ﺗم اﺧﺗﯾﺎرھﺎ ﻋﻠﻰ أﺳﺎس اﻟﻣﺑﺎدئ اﻟﻣذﻛورة ﻓﻲ ﺷو وآﺧرون ،ﺗﺳﺗﺧدم ﻟﺗﺻﻧﯾف ﺣﺎﻟﺔ اﻟﺷﺑﻛﺔ .وﯾﺗم ﺗطﺑﯾﻊ ﻛل ﻣﺗﻐﯾر ﻟﻠﻘﺿﺎء ﻋﻠﻰ ﺗﺄﺛﯾر اﻟﻔرق ﺑﯾن ﻣﻘﺎﯾس اﻟﻣﺗﻐﯾرات ،ﻋﻠﻰ اﻟﻧﺣو اﻟذي اﻗﺗرﺣﮫ ﻟﻲ وآﺧرون .ﻣﻊ اﻟﺗطﺑﯾﻊ ،ﺗﺻﺑﺢ اﻟﻣﺗﻐﯾرات ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ:
ﺣﯾث ان اﻟﻣﻌﻠﻣﺎت ،ẍ ،xو𝛔𝛔 ﺗدل ﻋﻠﻰ اﻻﺗﻲ ﻋﻠﻰ اﻟﺗواﻟﻲ "ﻗﯾﻣﺔ ﻛل ﻣﯾزة ) ،(value of each featureﻣﺗوﺳط ﻣﺟﻣوع اﻟﺑﯾﺎﻧﺎت اﻟﻌﯾﻧﺔ ) (mean of the sample datasetواﻻﻧﺣراف اﻟﻣﻌﯾﺎري )."(standard deviation ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،ﯾﺗم ﺗطﺑﯾﻖ إﺣﺻﺎﺋﯾﺔ chi-squareو information gainﻟﻘﯾﺎس رﺗﺑﺔ ﻛل ﻣﯾزة. اﻟﺧطوة اﻷوﻟﻰ ھﻲ اﺳﺗﺧراج ھذه اﻟﻣﯾزات اﻟﺛﻣﺎﻧﯾﺔ ﻣن ﻣﺟﻣوﻋﺔ اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﺗﺗﺄﻟف ﻣن أﻧﻣﺎط اﻟﺑﯾﺎﻧﺎت اﻟﻌﺎدﯾﺔ وﺑﯾﺎﻧﺎت اﻟﮭﺟوم .ﻓﻲ اﻟﺗﺟﺎرب، ﺗم اﺳﺗﺧدام .sampling frequency of 1 sاﻟﺧطوة اﻟﺗﺎﻟﯾﺔ ھﻲ ﺗدرﯾب ﺗﻘﻧﯾﺎت machine-learningﻣﻊ ھذه اﻟﻣﺟﻣوﻋﺎت .ﻓﻲ ﻣرﺣﻠﺔ د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1140 اﻟﻛﺷف ،ﯾﺗم اﺣﺗﺳﺎب ﻧﻔس اﻟﻣﺟﻣوﻋﺔ ﻣن اﻟﺛﻣﺎﻧﯾﺔ ﻣﯾزات ﻟﺣرﻛﺔ ﻣرور ﺷﺑﻛﺔ ﻣﻌﯾﻧﮫ ،وﺣرﻛﺔ اﻟﻣرور اﻟﺗﻲ ﺗم وﺻﻔﮭﺎ ﻋﻠﻰ اﻧﮭﺎ ھﺟوم أو طﺑﯾﻌﯾﺔ ﻋﻠﻰ أﺳﺎس اﻷﻏﻠﺑﯾﺔ ﻣن اﻟﻘﯾم اﻟﻣﺣﺳوﺑﺔ ﻣن ﻗﺑل ﻣﺻﻧﻔﺎت .machine-learning classifiers ﻧﺗﺎﺋﺞ ﺗﺟرﯾﺑﯾﺔ اﺳﺗﺧدﻣت ﻣﺟﻣوﻋﺔ ﺑﯾﺎﻧﺎت CAIDAﻓﻲ اﻟﺗﺟرﺑﺔ ﺑﺎﻋﺗﺑﺎرھﺎ ﻋﻧﺻر اﻟﮭﺟوم .ﻗدﻣت اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﺗم ﺟﻣﻌﮭﺎ ﻋﻠﻰ ﺷﺑﻛﺔ SSEاﻟﻣﻛوﻧﺔ ﻟﺣرﻛﺔ اﻟﻣرور اﻟﻌﺎدﯾﺔ .وﻗد ﺗم ﺗﺻﻧﯾف اﻟﮭﺟوم وﺣرﻛﺔ اﻟﻣرور اﻟﻌﺎدﯾﺔ ﺑﺎﺳﺗﺧدام أداة ﻣﻔﺗوﺣﺔ اﻟﻣﺻدر ﯾﺳﻣﻰ KNIMEاﻹﺻدار 3واﻟﺗﻰ ﯾﻣﻛﻧك ﺗﺣﻣﯾﻠﮫ ﻣن ﺧﻼل اﻟراﺑط .https://www.knime.orgوﯾﺑﯾن اﻟﺟدول اﻟﺗﺎﻟﻲ ﺗﻔﺎﺻﯾل ﺑﯾﺎﻧﺎت CAIDAوﺣرﻛﺔ اﻟﻣرور اﻟﻌﺎدﯾﺔ اﻟﺗﻲ ﺗم ﺟﻣﻌﮭﺎ ﻋﻠﻰ ﺷﺑﻛﺔ .SSE
ﯾﺑﯾن اﻟﺟدول اﻟﺗﺎﻟﻲ اﻟﺗﺻﻧﯾف اﻟﺻﺣﯾﺢ.
ﯾﺑﯾن اﻟﺟدول اﻟﺗﺎﻟﻲ ﺗﻔﺎﺻﯾل .f-measure
اﻟﺷﻛل اﻟﺗﺎﻟﻲ ﯾظﮭر ﻧﺗﺎﺋﺞ اﻟﺗﻘﯾﯾم ﺑﺎﺳﺗﺧدام ﻣﻧﺣﻧﯾﺎت ROCﻟﺗﻘﻧﯾﺎت machine-learningاﻟﻣﺣددة .وﺑﻧﺎء ﻋﻠﻰ ﻧﺗﺎﺋﺞ ھذه اﻟﺗﺟﺎرب ،ﻓﺎن اﻟﺗﺻﻧﯾف ﻋﻠﻰ أﺳﺎس FCMﯾﻌطﻲ أﻓﺿل اﻟﻧﺗﺎﺋﺞ ﻓﻲ اﻟﻛﺷف ﻋن ھﺟﻣﺎت .DDoS
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1141
Dos Detection Using Change Point Analysis (CPA) Of Not Seen Previously (NSP) IP Addresses ﻋﻧﺎوﯾن IPھﻲ ﺟزء ﻻ ﯾﺗﺟزأ ﻣن اﻻﺗﺻﺎﻻت ﻋﺑر ﺷﺑﻛﺎت TCP/IPوھﻲ ﻗطﻌﺔ ﺛﻣﯾﻧﺔ ﻣن اﻟﻣﻌﻠوﻣﺎت ﻟﺗﺣدﯾد ﻓرﯾد ﻟﻛﯾﺎﻧﺎت اﻟﺗواﺻل .وﻧظرا ﻷھﻣﯾﺗﮭﺎ ،ھﻧﺎك اﻵن ﻣﺟﻣوﻋﺔ ﻣﺗﻣﯾزة ﻣن اﻟﻣﻌرﻓﺔ ﺗﺣﯾط اﺳﺗﺧدام ﻋﻧوان IPاﻟﻣﺻدر ﻟﻠﻛﺷف ﻋن أﻧﺷطﺔ اﻟﺷﺑﻛﺔ اﻟﻣﺧﺗﻠﻔﺔ .وھذا ﯾﺷﻣل اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ) (DoSوھﺟﻣﺎت اﻟﻔﯾﺿﺎﻧﺎت .DDoS /ﻛﻣﺎ ﯾﻣﻛﻧﮫ اﻟﺗﻣﯾﯾز ﺑﯾن ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ اﻟﺗﻲ ﺗﺗﻘﺎﺳم اﻟﺧﺻﺎﺋص اﻟﻣﺷﺗرﻛﺔ ﻣﺛل ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ اﻟﺷﺎذة وأﺣداث ﻓﻼش "."flash event ﺑروﺗوﻛول IPﯾﻌﺗﺑر اﻟﻣرﻛز ﻟﻌﻣل ﺷﺑﻛﺔ اﻻﻧﺗرﻧت واﻟﻣوﺟود ﻓﻲ اﻟطﺑﻘﺔ اﻟﺛﺎﻟﺛﺔ ﻣن .TCP/IPوﻗد ﺗم ﺗﺻﻣﯾم ﺑروﺗوﻛول IPﻟرﺑط اﻟﻣﺿﯾﻔﯾن إﻟﻰ اﻟﺷﺑﻛﺎت دون أي دﻋم ﻣن اﻟﺗﺣﻘﻖ/اﻟﻣﺻﺎدﻗﺔ ﻋﻠﻰ ﺣﻘول رأس .IP header fieldsوھذا ﯾﺳﻣﺢ ﻟﻠﻣﮭﺎﺟﻣﯾن ﻟﺣﻘن ﻣﻌﻠوﻣﺎت ﻣزورة ﻓﻲ ) IP headerﻣﺛل ﻋﻧوان اﻟﻣﺻدر اﻟﻣزﯾف " ،("source address spoofingوﺗﻣﻛﻧﮭم ﻣن إﺧﻔﺎء ھوﯾﺗﮭم ﺑﻌد اﺟﺗﯾﺎز ﺣزﻣﺔ IPإﻟﻰ اﻟﮭدف اﻟﻣﻘﺻود .ﺗﺎرﯾﺧﯾﺎ ،ﻛﺎن ھذا اﻟﻣﺗﺟﮫ اﻟرﺋﯾﺳﻲ ﻟﻠﮭﺟوم .وﺑﺎﻟﺗﺎﻟﻲ ،ﻗد ﺗم اﻟﻘﯾﺎم ﺑﺎﻟﻛﺛﯾر ﻣن اﻷﺑﺣﺎث ﻟﻠﻛﺷف ﻋن ﻣﺛل ھذه اﻟﮭﺟﻣﺎت ﻣﻊ اﻓﺗراض أﻧﮫ ﯾﺗم ﺗزﯾﯾف ﻋﻧوان ﻣﺻدر اﻟﮭﺟوم .وﻓﻲ اﻵوﻧﺔ اﻷﺧﯾرة ،اﻟﻣﮭﺎﺟﻣﯾن ﻛﺎﻧوا ﻗﺎدرﯾن ﻋﻠﻰ اﻟﺳﯾطرة ﻋﻠﻰ ﻋدد ﻛﺑﯾر ﻣن ﻣوارد اﻟﺣوﺳﺑﺔ ﻓﯾﻣﺎ ﯾﺳﻣﻰ ﺑﻘطﯾﻊ اﻟروﺑوﺗﺎت .وھذه ﻻ ﺗﺣﺗﺎج إﻟﻰ ﻣﺣﺎﻛﺎة ﺗزﯾف ﻋﻧﺎوﯾن IPاﻟﻣﺻدر .وھذا ﯾﺗﯾﺢ ﻟﮭم ﺗﻘﻠﯾد ﺳﻠوك اﻟﻣﺳﺗﺧدم اﻟﺷرﻋﻲ ﻣﻣﺎ ﯾﺟﻌل ﻣن اﻟﺻﻌب اﻟﺗﻣﯾﯾز ﺑﯾن ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ اﻟﻌﺎدﯾﺔ وﺣرﻛﺔ اﻟﻣرور اﻟﺧﺎﺻﺔ ﺑﺎﻟﻣﮭﺎﺟم .وﺛﻣﺔ ﻣﺷﻛﻠﺔ أﺧرى ھﻲ أن ﺣرﻛﺔ اﻟﻣرور اﻟﺗﻲ ﺗم إﻧﺷﺎؤھﺎ ﺑواﺳطﺔ اﻟﺑوﺗﺎت اﻟﻔردﯾﺔ ﯾﻣﻛن أن ﺗﺧﺗﻠف ﺑﺷﻛل دﯾﻧﺎﻣﯾﻛﻲ ﺑﺣﯾث ان اﻟﺑوت ﻻ ﯾﺣﻣل ﻧﻣطﺎ ﻣن اﻟﺳﻠوك ﯾﻣﻛن اﻟﺗﻧﺑؤ ﺑﮫ ﺑﺳﮭوﻟﺔ. ﻟﻠﻛﺷف ﻋن ھذه اﻟﮭﺟﻣﺎت ﻓﻲ ﻣﺛل ھذا اﻟﺳﻠوك اﻟﺗﻛﯾﻔﻲ ،ﻓﻣن اﻟﻣﮭم اﺳﺗﺧدام اﻟﻣﯾزات اﻟﺗﻲ ﯾﺻﻌب أو ﯾﺳﺗﺣﯾل ﻟﻠﻣﮭﺎﺟﻣﯾن ﺗﻐﯾﯾرھﺎ دون أن ﯾﺗم اﻛﺗﺷﺎﻓﮭﺎ .ﻓﻲ ھذا اﻟﺻدد ،ﻗد أﺟرﯾت أﺑﺣﺎث ﻛﺑﯾر ﻓﻲ اﺳﺗﺧدام ﻋﻧوان IPاﻟﻣﺻدر -اﻟﻣﺗﻌﻠﻘﺔ ﺑﺎﻟﻣﯾزات ﻛوﺳﯾﻠﺔ أﺳﺎﺳﯾﺔ ﻟﻠﻛﺷف ﻋن ﻣﺛل ھذه اﻟﮭﺟﻣﺎت .وﻟﻛن واﺣدة ﻣن اﻟﻘﺿﺎﯾﺎ/اﻟﻣﺷﺎﻛل اﻟرﺋﯾﺳﯾﺔ اﻟﻣرﺗﺑطﺔ ﺑﺎﺳﺗﺧدام ﻣﯾزات ﻣﺻدر ﻋﻧوان IPﻟﺗﺣدﯾد ھﺟﻣﺎت DDoSھو ﺻﻌوﺑﺔ ﺗﺧزﯾن اﻟﺑﯾﺎﻧﺎت اﻹﺣﺻﺎﺋﯾﺔ ﻟﻛﺎﻓﺔ ﻋﻧﺎوﯾن .232 IPوھذا ﯾﻣﻛن ان ﯾزداد ﺗﻌﻘﯾدا ﺑﺳﺑب اﻟزﯾﺎدة اﻟﺣﺎدة ﻓﻲ ﻣﻌدل وﺻول ﻋﻧﺎوﯾن IPاﻟﺟدﯾدة ﺧﻼل اﻟﮭﺟوم. ﻟﻣﻌﺎﻟﺟﺔ ھذه اﻟﻘﺿﯾﺔ ،اﻗﺗرح ﺟﯾل وﺑوﻟﯾﺗو " "Gil and Polettoﻣﺧطط ﯾﺳﻣﻰ ،MULTIOPSواﻟذي ﯾﺗﻛون ﻣن ﺷﺟره دﯾﻧﺎﻣﯾﻛﯾﺔ ﻣن 4-byte و .256-aryوﺗم اﻟﻌﺛور ﻋﻠﻰ اﻟﺣل اﻟﻣﻘﺗرح ﻓﻲ وﻗت ﻻﺣﻖ ﻟﺗﻐطﯾﺔ ﻧﻘطﺔ ﺿﻌف اﺳﺗﻧﻔﺎد اﻟذاﻛرة وذﻟك ﻋن طرﯾﻖ .Peng et al.ﻣﺷﻛﻠﺔ اﻟذاﻛرة ﯾﻣﻛن ﺗﻧﺎوﻟﮭﺎ ﻋن طرﯾﻖ ﺗﺧزﯾن اﻟﻣﻌﻠوﻣﺎت ﺣول ﻣﺟﻣوﻋﺔ اﻟﻔرﻋﯾﺔ " "subnetﻓﻘط ﻣن ﻋﻧﺎوﯾن IPﻣﺻدر ﻓﻲ ﻣﺟﻣوﻋﺔ ﻣن 232 ﻣن اﻟﻌﻧﺎوﯾن اﻟﻣﺗﺎﺣﺔ ﻣﺛل اﺳﺗﻛﻣﺎل اﻟﻣﺻﺎﻓﺣﺔ اﻟﺛﻼﺛﯾﺔ ﻟ TCPأو إرﺳﺎل أﻛﺛر ﻣن اﻟﻌدد اﻟﻣﺣدد ﻣﺳﺑﻘﺎ ﻣن اﻟﺣزم .وﻗد اﻗﺗرح ﺣﻼ ﻣﻣﺎﺛﻼ إﻟﻰ ﺣد ﻣﺎ ﻋﻠﻰ أﺳﺎس ﺗﺟﻣﯾﻊ ﻋﻧﺎوﯾن IPاﻟﻣﺻدر ﻋن طرﯾﻖ .Peng et al.ھذه اﻟﺑداﺋل ﻗﺎﻣت ﺑﺣل اﺳﺗﻧﻔﺎد اﻟذاﻛرة )اﻟﻣﻌروف أﯾﺿﺎ ﺑﺎﺳم (scalabilityواﻟﺗﻲ ﻛﺎﻧت ﻣﺷﻛﻠﺔ ﺳﺎﺑﻘﺎ وﻟﻛن ﯾﻣﻛن أن ﯾزال ﻋرﺿﺔ ﻟﻣﺛل ھذه اﻟﻣﺷﺎﻛل ﻓﻲ اﻟﺟﯾل اﻟﻣﻘﺑل ﻣن ﻋﻧوان ،(IPv6) IPﺣﯾث ﺑﻠﻎ ﻋدد اﻟﻌﻧﺎوﯾن أﻛﺑر ﻣن ﻣﺳﺎﺣﺔ ﻋﻧوان .IPv4 وﻛﻣﺎ ﻧوﻗش ﺳﺎﺑﻘﺎ ،ﺣﯾث ان اﻟﺗﺣدﯾﺎت اﻟرﺋﯾﺳﯾﺔ ﻓﻲ ﻣﺟﺎل ﺗطوﯾر اﻟﺣﻠول ﻟﻠﻛﺷف ﻋن ھﺟﻣﺎت DDoSھﻲ: ﺗﺷﻐﯾل ﻋﻣﻠﯾﺔ اﻟﻛﺷف ﺑﺳرﻋﺔ ﻋﺎﻟﯾﺔ. ﺗﻔﻌﯾل اﻻﺳﺗﺟﺎﺑﺔ ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ ﻟﻠﺗﺧﻔﯾف ﻣن أﺛر اﻟﮭﺟوم.اﺣﻣد واﺧرون " "Ahmed, E., G.Mohay, A. Tickle, and S. Bhatiaﻗﺎﻣوا ﺑﺗوﻓﯾر إﺛﺑﺎت ﺻﺣﺔ ﻣﻔﮭوم ﻋﻣﺎرة DMMواﻟﺗﻰ ﺗﺟﻣﻊ ﺑﯾن اﻟﻛﺷف ﻋن دوس واﻟﻘدرة ﻋﻠﻰ اﻟﺗﺧﻔﯾف ﻓﻲ ﺑﻧﯾﺔ واﺣدة .وﺳوف ﺗﻧﺎﻗش ھذه اﻟﻌﻣﺎرة ﺑﺎﺧﺗﺻﺎر ﻓﻲ اﻟﻔﻘرة ،وﺑﻌد ذﻟك ﻧﻘدم وﺻﻔﺎ ﻣﻔﺻﻼ ﻟﻧﮭﺞ اﻟﻛﺷف.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1142 ﻣﻌﻣﺎرﯾﺔ "DMM Architecture" DMM وﻛﻣﺎ أﺷﯾر ﺳﺎﺑﻘﺎ ،ﻓﺎن اﻟﻛﺷف ﻋن اﻟﮭﺟوم اﻟﻣوﺛوق وﻓﻰ اﻟوﻗت اﻟﻣﻧﺎﺳب ھو اﻟﺧطوة اﻷوﻟﻰ اﻟﺣﺎﺳﻣﺔ ﻓﻲ إدارة ھﺟﻣﺎت DDoSﺑﻧﺟﺎح .وﻣﻊ ذﻟك ،ﺑﻣﺟرد ان ﯾﺗم اﻟﻛﺷف ﻋن ﺑداﯾﺔ اﻟﮭﺟوم ،ﻓﺈن اﻟﺧطوة اﻟﺗﺎﻟﯾﺔ ھﻲ ﺣﻣﺎﯾﺔ اﻟﻧظﺎم ﻛﻛل ﻣن اﻟﻔﺷل ﻣن ﺧﻼل ﺣﻣﺎﯾﺔ اﻟﻣﻛوﻧﺎت اﻟﻔردﯾﺔ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﺗﺿم ﺑﯾﺋﺔ ﺗطﺑﯾﻖ اﻟﻣﺿﯾف اﻟﻧﻣوذﺟﯾﺔ ﻟﯾس ﻓﻘط ﻋﻠﻰ ﺧﺎدم اﻟﺗطﺑﯾﻖ اﻟﻔﻌﻠﻲ وﻟﻛن أﯾﺿﺎ اﻷﺟﮭزة اﻟﺗﻲ ﯾﺗﻣﺛل دورھﺎ ﻓﻲ ﺣﻣﺎﯾﺔ اﻟﺗطﺑﯾﻖ ﻣن اﻟﮭﺟوم .وھذه ﺗﺷﻣل ،ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،اﻟﺟدران اﻟﻧﺎرﯾﺔ ﺑﺎﻟﺗطﺑﯾﻘﺎت " "fire wallوﻧظﺎم ﻣﻧﻊ اﻻﺧﺗراق ) .(IPSﻋﺎدة ،دور ﺟدار ﺣﻣﺎﯾﺔ اﻟﺗطﺑﯾﻖ ھو ﺗﺻﻔﯾﺔ اﻟﺣزم ﺑﺎﺳﺗﺧدام ﻣﺟﻣوﻋﺔ ﻣن اﻟﻘواﻋد ﺗﻘوم ﻋﻠﻰ أﺳﺎس ﻋﻧﺎوﯾن IPاﻟواردة ،واﻟﻣﻧﺎﻓذ ،اﻟﺣﻣوﻟﺔ "،"payload وﻣﺎ إﻟﻰ ذﻟك .ھﻧﺎك IPSواﻟذي ﯾﻘوم ﺑﺗﺣﻠﯾل ﻋﻣﯾﻖ ﻟﺣزﻣﺔ ﻣن ﺣزم اﻟﺷﺑﻛﺔ ﻟﻠﻛﺷف ﻋن أي ﺣﻣوﻟﺔ ﺧﺑﯾﺛﺔ ﺗﺳﺗﮭدف ﺧدﻣﺎت طﺑﻘﺔ اﻟﺗطﺑﯾﻘﺎت ") "application-layer servicesﻣﺛل (HTTP payloadوھﻲ اﻷﺧرى ﺗﻌﻣل ﻋﻠﻰ أﺳﺎس ﻣﺟﻣوﻋﺔ ﻣن اﻟﻘواﻋد .ﻓﻲ ﻛﻠﺗﺎ اﻟﺣﺎﻟﺗﯾن، ﻓﺈن ﻣﺟﻣوﻋﺎت اﻟﻘواﻋد اﻟﻣوﺿوﻋﺔ ﺗﺣﺗﺎج إﻟﻰ ﺗﺣدﯾﺛﺎت ﺣﯾوﯾﺔ ﺣﺗﻰ ﺗﻣﻛن اﻷﺟﮭزة ﻣن اﻻﺳﺗﺟﺎﺑﺔ ﻟﺑﯾﺋﺔ اﻟﺗﮭدﯾدات اﻟﻣﺗﻐﯾرة ﺑﺎﺳﺗﻣرار .ﻓﻲ ﺣﯾن أن اﻟﺗرﻛﯾز اﻷﺳﺎﺳﻲ ھو ﺣﻣﺎﯾﺔ اﻟﺗطﺑﯾﻘﺎت ﻋﻠﻰ اﻟﻣﺿﯾف/اﻟﺧﺎدم ،ﻓﻣن اﻟﻣﮭم أﯾﺿﺎ ﺣﻣﺎﯾﺔ ھذه اﻷﺟﮭزة اﻷﻣﻧﯾﺔ اﻟﺗﻲ ﻗد ﺗﻛون أﻧﻔﺳﮭم ﻓﻲ ﺧطر. ﻣن أﺟل ﺣﻣﺎﯾﺔ ھذه اﻟﻣﺟﻣوﻋﺔ ﻣن اﻟﻣﻛوﻧﺎت ﻣن اﻟﺧطر ،ﻓﺈﻧﻧﺎ ﻧﺳﺗﺧدم اﻟﺑﻧﯾﺔ اﻷﻣﻧﯾﺔ ،اﻟﻣﻌروف أﯾﺿﺎ ﺑﺎﺳم وﺣدة ﺗﺧﻔﯾف دوس )(DMM وھﻲ اﺧﺗﺻﺎر ﻟ .DDoS mitigation module وﯾﺑﯾن اﻟﺷﻛل اﻟﺳﺎﺑﻖ ﻣﺧطط ﻣن ﻧﺳﺧﺔ DMMاﻟﻣﻘﺗرﺣﺔ .ﻋﻠﻰ اﻟﻣﺳﺗوى اﻟﻧظري ،اﻟﮭدف ﻣن ﺗﺻﻣﯾم DMMھو ان ﯾﻛون ﻟدﯾﮭﺎ اﻟﻘدرة ﻋﻠﻰ اﻟﺗطوﯾر اﻟﻣﺳﺗﻣر ﻟﻣﻠف ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ .ﺛم ﯾﺗم اﺳﺗﺧدام ھذه اﻟﻣﻌﻠوﻣﺎت ﻣﻊ ﻧﻣوذج ﺗﻧﺑؤي ﻟﺗﺷﻛﯾل ﺗﻘدﯾرات ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ ﻟﺗﺄﺛﯾر ﺣرﻛﺔ اﻟﻣرور ﻋﻠﻰ اﻟﻘدرة ﻋﻠﻰ ﺗﺟﮭﯾز اﻷﺟﮭزة ﻟﺗﻛون ﻣﺣﻣﯾﺔ ،وھﻲ ،ﺟدار ﺣﻣﺎﯾﺔ اﻟﺗطﺑﯾﻖ أو ﻧظﺎم ﻛﺷف اﻟﺗﺳﻠل " "IPSاﻟﻘﺎﺋم ﻋﻠﻰ اﻟﺷﺑﻛﺔ .وﻓﻲ ﺣﺎل ﺗﻌرض DMMواﻟذي ﯾﻘوم ﺑﺣﻣﺎﯾﺔ اﻷﺟﮭزة اﻟﻣﺣﻣﯾﺔ اﻟﻣﻌرﺿﺔ ﻟﻠﺧطر اﻟﻰ اﻟﻔﺷل ،ﻓﺳوف ﯾؤدى ھذا اﻟﻰ اﻧﺷﺎء اﺳﺗراﺗﯾﺟﯾﺔ إدارة وﺗﻧظﯾم ﻟﺣرﻣﺔ اﻟﻣرور وذﻟك ﻟﻠﺗﺧﻔﯾف ﻣن اﻟوﺿﻊ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ھذا ﯾﻣﻛن أن ﯾﺄﺧذ ﺷﻛل اﺳﺗﺧدام اﻟﻘﺎﺋﻣﺔ اﻟﺑﯾﺿﺎء ﻟﻠﺳﻣﺎح ﺑﺎﻟوﺻول ﻓﻘط ﻟﻠﻣﺻﺎدر اﻟﻣﺷروﻋﺔ ﻓﻲ ﺣﯾن أن اﻟﺷﺑﻛﺔ ﺗﺷﮭد ﻓﺗرة اﻟﺣﻣل اﻟﺛﻘﯾل وﯾﺣﺗﻣل أن ﺗﻛون ﻧﺎﺗﺟﮫ ﻋن ھﺟﻣﺎت .ھذه اﻟﻘدرة ﺗﺳﺎﻋد DMMﻟﻠﺗﻧﺑؤ وﻣن ﺛم اﻟرد ﻋﻠﻰ اﻟﻔﺷل اﻟوﺷﯾك ﻟﻸﺟﮭزة اﻷﻣﻧﯾﺔ/ﻣراﻗﺑﺔ اﻟﺷﺑﻛﺔ ﻟﺗﻛون ﻣﺣﻣﯾﺔ .وﺳوف ﯾﻘدم اﻟﻘﺳم Detection Approachوﺻﻔﺎ ﻣﻔﺻﻼ ﻟﻠﻣﻌدل اﻟﻌﺎل ﻟﮭﺟوم اﻟﻔﯾﺿﺎﻧﺎت وﺧوارزﻣﯾﺔ اﻟﻛﺷف اﻟﻣﺣﺗﻣﻠﺔ اﻟﺗﻲ ﺗﺳﺗﺧدم DMMﻓﻲ ﺗﻧﻔﯾذه. ﻧﮭﺞ اﻟﻛﺷف ""Detection Approach ﺗﺗﺄﻟف ﺧوارزﻣﯾﺔ اﻟﻛﺷف اﻟﻣﻘﺗرﺣﺔ ﻟﻛﻲ ﺗﻌﻣل داﺧل ،DMMﻣن وظﯾﻔﺗﯾن: وظﯾﻔﺔ ipacوذﻟك ﻟﺗﺻﻧﯾف ﻋﻧﺎوﯾن ."classifying IP addresses" IP وظﯾﻔﺔ ddosﻟﺗﺣدﯾد اﻟﮭﺟوم.وظﯾﻔﺔ ipacﺗﻘوم ﺑﺎﺳﺗﺧراج ﻋﻧوان IPاﻟﻣﺻدر ﻣن ﻛل ﺣزﻣﺔ واردة وﺗﺣدد إذا ﻛﺎن ﻋﻧوان IPﺟدﯾد )ﻟم ﯾرا ﻣﺳﺑﻘﺎ ) .((NSPﺛم ﯾﻘوم ﺑﺗﺣﻠﯾل اﻟﺳﻼﺳل اﻟزﻣﻧﯾﺔ اﻟﻧﺎﺗﺟﺔ ﺑﺎﺳﺗﺧدام وظﯾﻔﺔ ddosﻟﺗﺣدﯾد إذا ﻛﺎن اﻟﻧظﺎم ﻣﻌرض ﻟﻠﮭﺟوم .ﺗﺳﺗﺧدم وظﯾﻔﺔ ddosداﻟﺗﯾن) NA :ﻻ ﯾﺗﻌرض ﻟﻠﮭﺟوم( و) Aﯾﺗﻌرض ﻟﻠﮭﺟوم(. ﻣن أﺟل اﻟﺗﻌرف ﻋﻠﻰ ﺳﻠوك اﻟﺷﺑﻛﺔ اﻟﺗﻲ ﺗﻌﻣل ﺗﺣت ظروف اﻟﺗﺷﻐﯾل اﻟﻌﺎدﯾﺔ ،ﯾﺗم ﺗطﺑﯾﻖ وظﯾﻔﺔ ﺗﺻﻧﯾف ipacأوﻻ ﻋﻠﻰ ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ اﻟﻌﺎدﯾﺔ ﺑدون ﺗﻔﻌﯾل وظﯾﻔﺔ .ddosﺑﻌد اﻟﺗدرﯾب ،ﯾﺗم اﺳﺗدﻋﺎء وظﯾﻔﺔ ddosدورﯾﺎ )أي ﻋﻠﻰ ﻓﺗرات ﻣن 1إﻟﻰ 10دﻗﯾﻘﮫ( ،وﻋﻠﻰ أﺳﺎس ﻣﻌدل وﺻول ﻋﻧﺎوﯾن IPاﻟﺟدﯾدة اﻟﻣﺣﺳوﺑﺔ ﻣن ﻗﺑل وظﯾﻔﺔ ،ipacﻓﺎن وظﯾﻔﺔ ddosﺗﺣدد اﻟﻣرﺣﻠﺔ اﻻﻧﺗﻘﺎﻟﯾﺔ ﺑﯾن اﻟداﻟﺗﯾن NAو .Aوﺻف ﺧوارزﻣﯾﺔ اﻟﻛﺷف اﻟﻣﺳﺗﺧدﻣﺔ ﻓﻲ وظﯾﻔﺔ ddosﺳوف ﯾﺗم ﺷرﺣﮭﺎ ﻓﻲ اﻟﻘﺳم ﺗﺣت ﻋﻧوان .DDoS Detection ﺑﻣﺟرد اﻻﻧﺗﻘﺎل ﻣن اﻟداﻟﺔ NAإﻟﻰ Aﻓﮭذه إﺷﺎرة ﻋﻠﻰ اﻧﮫ ﺗم اﻟﻛﺷف ﻋن ھﺟوم ،وظﯾﻔﺔ ddosاﻧﮫ ﯾوﻟد ﻗﺎﺋﻣﺔ ﺑﯾﺿﺎء ﺗﺳﺗﺧدم ﺑﻌد ذﻟك ﻟﺗﺣدﯾد اﺳﺗراﺗﯾﺟﯾﺔ اﻟﺗﺧﻔﯾف ،وھذا ھو ،اﻟﺳﻣﺎح ﻓﻘط ﻟﻣرور ﻋﻧﺎوﯾن IPواﻟﺗﻲ ﺗﻛون ﺿﻣن اﻟﻘﺎﺋﻣﺔ اﻟﺑﯾﺿﺎء .واﻻﻧﺗﻘﺎل ﻣن اﻟداﻟﺔ Aإﻟﻰ NAﻓﺈﻧﮭﺎ ﺗﺷﯾر إﻟﻰ ﻧﮭﺎﯾﺔ اﻟﮭﺟوم ،وﺳوف ﯾؤدي ھذا إﻟﻰ اﻟﺗﺧﻔﯾف ﻣن اﺳﺗراﺗﯾﺟﯾﺔ اﻟﺗﺧﻔﯾف أي اﻟﺗوﻗف ﻋن اﺳﺗﺧدام اﻟﻘﺎﺋﻣﺔ اﻟﺑﯾﺿﺎء ﺑﺎﻋﺗﺑﺎرھﺎ ﺳﯾﺎﺳﺔ اﻟﻔﻠﺗرة .واﻟﺟدﯾر ﺑﺎﻟذﻛر أﻧﮫ ﻓﻲ اﻟﺗﻧﻔﯾذ اﻟﺣﺎﻟﻲ ،ﺳوف ﺗﺣﺗوي اﻟﻘﺎﺋﻣﺔ اﻟﺑﯾﺿﺎء ﻋﻠﻰ ﻛﺎﻓﺔ ﻋﻧﺎوﯾن IPاﻟﺗﻲ ﻟوﺣظت ﻋﻠﻰ اﻟﺷﺑﻛﺔ اﻟﻣﺳﺗﮭدﻓﺔ ﺧﻼل ﺷروط اﻟﺷﺑﻛﺔ اﻟﻌﺎدﯾﺔ .وظﯾﻔﺔ ddosﺗﻌﻣل ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ: if (in state NA) then if NOT (StateChange(NA)) then //no state change )Update White-list (Add IP address/es to white-list else //state change to A state = A د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1143 communicate White-list to the protected security device if ((in state A) then if (StateChange(A)) then //state change to NA state = NA communicate to the protected security device to stop using the white-list ھﻧﺎك أﯾﺿﺎ اﺛﻧﯾن ﻣن اﻟﻘﯾود اﻟواﺿﺣﺔ ﻓﻲ ھذا اﻟﻧﮭﺞ .اﻷول ھو أﻧﮫ ﻋﻧدﻣﺎ ﯾﻌﺗﺑر اﻟﻧظﺎم أﻧﮫ ﺗﺣت اﻟﮭﺟوم ،ﻓﺎﻧﮫ ﯾﻘوم ﺑﺎﻟﺗﻌﺎﻣل ﻣﻊ ﻋﻧﺎوﯾن IP اﻟﺟدﯾدة ﻋﻠﻰ اﻧﮭﺎ ﺧﺑﯾﺛﺔ .وھذا ﯾﻣﻛن أن ﯾؤدي إﻟﻰ اﯾﺟﺎﺑﯾﺎت ﻛﺎذﺑﺔ " ."false positivesاﺳﺗﺧدام اﻟﻣﯾزات اﻷﺧرى ﻣن ﻋﻧﺎوﯾن IPﺑﻣﺎ ﻓﻲ ذﻟك ﺗوزﯾﻊ ﻋﻧوان "IP address distribution" IPﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﻠﺣد ﻣن اﻻﯾﺟﺎﺑﯾﺎت اﻟﻛﺎذﺑﺔ .اﻟﺛﺎﻧﻲ ﯾﺗﻌﻠﻖ ﺑﻌﻧﺎوﯾن IPاﻟﺧﺑﯾﺛﺔ اﻟﺗﻲ ﻟوﺣظت ﺧﻼل ﻋﻣﻠﯾﺎت اﻟﺷﺑﻛﺔ اﻟﻌﺎدﯾﺔ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،اﻟﻣﮭﺎﺟم ﯾﻘوم ﺑﺄداء اﺳﺗطﻼع ﻋﻠﻰ اﻟﺷﺑﻛﺔ اﻟﮭدف ﻋن طرﯾﻖ إرﺳﺎل ﻋدد ﻗﻠﯾل ﻣن اﻟﺣزم )ﻣﺛل (ICMP echo requestsواﻟﺗﻲ ﺗؤدي إﻟﻰ إﺿﺎﻓﺔ ﻋﻧﺎوﯾن اﻟ IPھذه إﻟﻰ ﻗﺎﺋﻣﺔ اﻟﻌﻧﺎوﯾن اﻟﺑﯾﺿﺎء ،ﻣﻣﺎ ﯾؤدى إﻟﻰ ﺳﻠﺑﯾﺎت ﻛﺎذﺑﺔ " ،"false negativesﻗﺑل أن ﺗﻐرق اﻟواﻗﻊ اﻟﮭدف ﻣﻊ ﻛﻣﯾﺎت ﻛﺑﯾرة ﻣن اﻟﺣزم .وﯾﻣﻛن ﻣﻌﺎﻟﺟﺔ ھذه اﻟﺣﺎﻟﺔ ﻟﯾس ﻓﻘط ﺑﺎﺳﺗﺧدام اﻟﻣﯾزات اﻷﺧرى ﻣن ﻋﻧﺎوﯾن IPاﻟﺗﻲ ﺳﺑﻖ وﺻﻔﮭﺎ وﻟﻛن أﯾﺿﺎ ﻋن طرﯾﻖ اﺳﺗﺧدام ﻓﺗرات أﺻﻐر ﻣن اﻟوﻗت "،"smaller historical time periods ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،اﺳﺗﺧدام ﻋﻧﺎوﯾن IPﻓﻘط اﻟﺗﻲ ﻟوﺣظت ﺧﻼل 24ﺳﺎﻋﺔ اﻟﻣﺎﺿﯾﺔ ﺣﯾث ﯾﺟري ﻋﻠﻰ اﻧﮭﺎ ﻋﻧﺎوﯾن IPﻣوﺛوق ﺑﮭﺎ. ﺗﺻﻧﯾف ﻋﻧﺎوﯾن (ipac) "IP Address Classification" IP ﺗﻧﻔﯾذ وظﯾﻔﺔ ﺗﺻﻧﯾف ﻋﻧوان (ipac) IPﯾﺗطﻠب اﺳﺗﺧدام ﺑﻧﯾﺔ اﻟﺑﯾﺎﻧﺎت " "data structureاﻟﻣدﻣﺟﺔ واﻟﻔﻌﺎﻟﺔ .اﺳﺗﺧدام ﻣﻌدل ﺗﻐﯾر ﻋﻧﺎوﯾن IPاﻟﺟدﯾدة ﻛﺳﻣﺔ أﺳﺎﺳﯾﺔ ﻟﻠﻛﺷف ﻋن ﺑداﯾﺔ اﻟﮭﺟوم ﯾﺗطﻠب ﺗﺗﺑﻊ ﻋﻧﺎوﯾن IPاﻟﻣﺻدر اﻟﺗﻲ ﻟوﺣظ ﺑﺎﻟﻔﻌل ﻋﺑر اﻟﺷﺑﻛﺔ ﻟﺗﻛون ﻣﺣﻣﯾﺔ .ﺧﻼل اﻟﺷﺑﻛﺔ اﻟﻌﺎدﯾﺔ ،ﻣﻌدل وﺻول ﻋﻧﺎوﯾن IPاﻟﺟدﯾدة ﻣﻧﺧﻔض ﻧﺳﺑﯾﺎ ،وھذا ھو ،ﻻ ﯾظﮭر إﻻ اﻟﻌدد اﻟﻘﻠﯾل ﻣن ﻋﻧﺎوﯾن IPاﻟﺟدﯾدة ﻓﻲ ﻣوﻗﻊ اﻟﻣﺳﺗﺧدم .ﻋﺎدة ﻣﺎ ﯾﻼﺣظ وﺟود زﯾﺎدة ﻛﺑﯾرة ﻓﻲ ﻣﻌدل وﺻول ﻋدد ﻣن ﻋﻧﺎوﯾن IPاﻟﺟدﯾدة ﺧﻼل .flooding attackواﺿﻌﺎ ﻧﺻب ﻋﯾﻧﯾﮫ وظﯾﻔﺔ ipacاﻟﺗدرﺟﯾﺔ ﺧﻼل اﻟظروف اﻟﻌﺎدﯾﺔ واﻟﮭﺟوم ،وﯾﺗطﻠب ھذا اﺛﻧﯾن ﻣن اﻟﺗطﺑﯾﻘﺎت اﻟﻣﺧﺗﻠﻔﺔ ﻣن وظﯾﻔﺔ ﺗﺻﻧﯾف ﻋﻧوان :(ipac) IP - Bit vector - Bloom filter ﺗﺻﻧﯾف ﻋﻧﺎوﯾن 32-bit IPv4ﺑﺎﺳﺗﺧدام bit vectorﯾﺗطﻠب ﻣﺻﻔوﻓﮫ " "arrayذات طول 229وﺣﺟم ﻛل ﻋﻧﺻر ﻓﻲ ھذه اﻟﻣﺻﻔوﻓﺔ 1 ﺑﺎﯾت .وھذا ﯾؤدي إﻟﻰ اﺳﺗﮭﻼك GB 0.5ﻣن ﻣﺳﺎﺣﺔ اﻟﺗﺧزﯾن ﻟﺗﻣﺛﯾل ﻣﺟﻣوﻋﺔ ﻛﺎﻣﻠﺔ ﻣن ﻋﻧﺎوﯾن .IPv4ﻓﻲ وظﯾﻔﺔ ،ipacﻛﻠﻣﺎ ﺗﻠﻘﻰ ﺣزﻣﺔ، ﯾﺗم وﺿﻊ ﻋﻼﻣﺔ ﻓﻲ اﻟﺑﺎﯾت ﻓﻲ ﻣﻛﺎن ﻣﻌﯾن ﻓﻲ bit vectorﻟﺗﺷﯾر إﻟﻰ وﺟود ﻋﻧوان IPﻣﻌﯾن .ﺑﺎﺳﺗﺧدام ﻋداد ﻣﻧﻔﺻل ،ﯾﺗم اﺣﺗﺳﺎب ﻋدد ﻣن ﻋﻧﺎوﯾن اﻟ IPاﻟﺟدﯾدة اﻟﺗﻲ ﻟوﺣظت ﺧﻼل ﻓﺗرة ﻣﻌﯾﻧﮫ " "intervalﻣﻣﺎ ﯾؤدى إﻟﻰ ﺳﻠﺳﻠﺔ زﻣﻧﯾﺔ ﻣن ﻣﻌدل اﻟﺗﻐﯾر ﻣن ﻋﻧﺎوﯾن .IP وﻋﻠﻰ ﻧﻘﯾض ﻋﻧﺎوﯾن ،IPv4ﯾﺗم ﺗﺻﻧﯾف ﻋﻧﺎوﯾن 128-bit IPv6وذﻟك ﺑﺎﺳﺗﺧدام bit vectorﯾﺗطﻠب ﻣﺻﻔوﻓﮫ " "arrayذات طول 2125ﻣﻊ ﺣﺟم ا ﺑﺎﯾت ﻟﻛل ﻋﻧﺻر ﻓﻲ اﻟﻣﺻﻔوﻓﺔ .اﻟزﯾﺎدة ﻓﻲ ﺣﺟم اﻟﻌﻧﺎوﯾن ﻣن 32ﺑت إﻟﻰ 128ﺑت ﻧﺗﺞ ﻋﻧﮫ زﯾﺎدة ﻓﻲ ﺣﺟم اﻟﺗﺧزﯾن ﻟﺗﻣﺛﯾل ﻣﺟﻣوﻋﺔ ﻛﺎﻣﻠﺔ ﻣن ﻋﻧﺎوﯾن .IPv6ﻟﺣل ﻣﺷﻛﻠﺔ اﻟﺗوﺳﻊ ﻟوظﯾﻔﺔ ipacﻻﺳﺗﯾﻌﺎب ﻣﺗطﻠﺑﺎت اﻟﺗﺧزﯾن ﻟﻌﻧوان IPv6ھو اﺳﺗﺧدام ھﯾﺎﻛل اﻟﺑﯾﺎﻧﺎت ﻓﻌﺎﻟﺔ ﻣﺛل .bloom filters Bloom filtersھﻲ ھﯾﺎﻛل اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﺗﻘدم ﺗﻣﺛﯾل ﻏﯾر دﻗﯾﻖ وﻟﻛﻧﮫ ﻣدﻣﺞ ﻣﻊ اﻟﻌﻧﺎﺻر ﺿﻣن اﻟﻣﺻﻔوﻓﺔ .وﻋﻠﻰ ﻧﻘﯾض ،bit vector ﻓواﺋد اﺳﺗﺧدام Bloom filtersذات ﺷﻘﯾن .أوﻻ ،أﻧﮭﺎ ﺗوﻓر اﻟﺗﻣﺛﯾل اﻟﻣدﻣﺞ " "compact representationﻟﻠﻌﻧﺎﺻر ﺿﻣن ﻣﺻﻔوﻓﮫ ﻣﻌﯾﻧﺔ ﻓﻲ ﺣﯾن أن اﻟﻌﻧﺎﺻر اﻟﻣﻣﺎﺛﻠﺔ ﺳﯾﻛون ﻟﮭﺎ ﺗﻣﺛﯾل ﻣﺗﻔرق إذا اﺳﺗﺧدﻣت ﻣﻊ .bit vectorﺛﺎﻧﯾﺎ ،ﻋﻠﻰ ﺣرﻛﺔ ﻣرور ﺷﺑﻛﺔ ﻣﻣﺎﺛل ،ﯾﻣﻛن ﻟﻟ Bloom filtersان ﯾﻘﻠل ﻣن ﻣﺗطﻠﺑﺎت اﻟﺗﺧزﯾن ﺑﺷﻛل ﻣﻠﺣوظ ﺑﺎﻟﻣﻘﺎرﻧﺔ ﻣﻊ .bit vectorوﻧظرا ﻟﮭذه اﻟﻣزاﯾﺎ Bloom filters ،ﯾﻣﻛن اﺳﺗﺧداﻣﮫ ﻟﻠﺗﺣدﯾد ﺑﻛﻔﺎءة وﺟود أو ﻋدم وﺟود ﻋﻧﺎﺻر ﺿﻣن اﻟﻣﺟﻣوﻋﺔ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻓﻲ ﺣﺎﻟﺔ اﻹﺻدار IPv6ﺑﺎﺳﺗﺧدام Bloom filters ﻟﻼﺳﺗﻌﻼم ") "membership queryﻓﻲ وظﯾﻔﺔ (ipacﻋن ﻋﻧوان IPv6ﻣﻌﯾن ﻓﺎﻧﮫ ﯾﺗطﻠب ﺗﺣدﯾد ﻋﻧوان IPﻋﻠﻰ اﻧﮫ ﯾر )ﻗدﯾم( أو ﻟم ﯾر )ﺟدﯾد( .ﻟﻌﻧوان IPاﻟﻣﻌطﻰ ،ﯾﺗم وﺿﻊ ﻋﻼﻣﺔ ﻋﻠﻰ اﻟﻣﻛﺎن اﻟﻣﻘﺎﺑل ﻟﮫ ) (array indexداﺧل Bloom filtersﻋﻠﻰ اﻟﻧﺣو اﻟﻣﻧﺻوص .وﯾﺗم ﺗﺣدﯾد array indexesﻣن ﺧﻼل ﺗطﺑﯾﻖ hash functionﻋﻠﻰ ﻋﻧوان .IP اﻟﺗﻣﺛﯾل ﻏﯾر دﻗﯾﻖ واﻟﻣدﻣﺞ واﻟﺗﻲ ﯾﻘدﻣﮫ Bloom filtersﯾﺄﺗﻲ ﻋﻠﻰ ﺣﺳﺎب زﯾﺎدة ﻋدد اﻻﻧذارات اﻟﻛﺎذﺑﺔ ﺑﺎﻟﻣﻘﺎرﻧﺔ ﻣﻊ bit vectorاﻟذي ﻟﯾس ﻟدﯾﮫ إﻧذارات ﻛﺎذﺑﺔ Bloom filters .ﯾﻣﻛﻧﮫ ﺗﺣدﯾد ﻋﻧﺻر ﺑﺄﻧﮫ ﺿﻣن ﻣﺟﻣوﻋﺔ ﻋﻧدﻣﺎ ﻻ ﯾﺣدث ) .(collisionﯾﻣﻛن ﺧﻔض ﻣﻌدل اﻻﻧذار اﻟﻛﺎذب ﻣن ﺧﻼل وظﯾﻔﺔ ﺣﺟم ،Bloom filtersﻋدد اﻟﻌﻧﺎﺻر ﺿﻣن ﻣﺟﻣوﻋﺔ ﻣﻌﯾﻧﺔ ،وﻋدد hash functionاﻟﻣﺳﺗﺧدﻣﺔ .ﻣن أﺟل ﺗﺣدﯾد د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1144 اﻟﻌﻼﻗﺔ ﺑﯾن ھذه اﻟﻣﻌﺎﯾﯾر اﻟﺛﻼﺛﺔ ،ﻓﺎن اﻟﺗﺣﻠﯾل اﻟﻧظري " "theoretical analysisاﻟذي ﻗدﻣﮫ Ripeanu et al.ﻗﺎم ﺑﺗﺣدﯾد ھذه اﻟﻌﻼﻗﺔ. اﻟﺗﺣﻠﯾل اﻟﻧظري ﯾﺳﺎﻋد ﻋﻠﻰ ﺗﺣﻠﯾل اﻟﻌﻼﻗﺔ ﺑﯾن ھذه اﻟﻣﻌﺎﯾﯾر اﻟﺛﻼﺛﺔ وﯾﺳﺎﻋد ﻓﻲ اﺧﺗﯾﺎر اﻟﺣﺟم اﻷﻣﺛل ﻟ Bloom filtersاﻟﻣﻧﺎﺳب ﻟﻌدد ﻣﻌﯾن ﻣن hash functionوﻣﻌدﻻت اﻹﻧذار اﻟﻛﺎذﺑﺔ .ﻟﻐرض ھذه اﻟﻣﻧﺎﻗﺷﺔ ،ﻗد ﺗم ﺗﺣﻠﯾل أﺣﺟﺎم ﻣﺧﺗﻠﻔﺔ ﻣن Bloom filtersﻣﻊ أﻋداد ﻣﺧﺗﻠﻔﺔ ﻣن .hash function اﻟﻛﺷف ﻋن ھﺟﻣﺎت دوس ""DDoS Detection اﻧﺗﺷﺎر اﻷﻧﺷطﺔ اﻟﺷﺎذة ﺑﻣﺎ ﻓﻲ ذﻟك ھﺟوم دوس /ھﺟوم اﻟﻔﯾﺿﺎﻧﺎت واﻟﺗﻲ ﺗؤدى اﻟﻰ زﯾﺎدة ﻣﻌدل اﻟﺣزم اﻟﻐﯾر ﻣرﻏوب ﻓﯾﮭﺎ ﻓﻲ وﺻوﻟﮭﺎ اﻟﻰ اﻟﺟﮭﺎز اﻟﺿﺣﯾﺔ .ھذه اﻟزﯾﺎدة ﻓﻲ ﻋدد اﻟﺣزم اﻟﻐﯾر ﻣرﻏوب ﻓﯾﮭﺎ ﻧﺗﺎﺋﺞ ﻋﺎدة ﻣن ﻋدد ﻛﺑﯾر ﻣن اﻟﻣﺿﯾﻔﯾن اﻟﻣﺧﺗرﻗﯾن اﻟﯾن ﯾﻘوﻣون ﺑﺈرﺳﺎل ﺣرﻛﺔ اﻟﻣرور اﻟﺿﺧﻣﺔ إﻟﻰ اﻟﮭدف .وﯾﻧﺗﺞ ﻋن ذﻟك ﻟﯾس ﻓﻘط زﯾﺎدة ﻓﻲ ﺣﺟم ﺣرﻛﺔ اﻟﻣرور وﻟﻛن أﯾﺿﺎ زﯾﺎدة ﻓﻲ ﻋدد ﻣﺻﺎدر اﻹرﺳﺎل ﻟﺣرﻛﺔ اﻟﻣرور ھذه .ﻣﺷﻛﻠﺔ ﺗﺣدﯾد ﻧﺷﺎط اﻟﺷﺑﻛﺔ اﻟﺧﺑﯾﺛﺔ ﻓﻲ وﺟود ھﺟﻣﺎت دوس/اﻟﻔﯾﺿﺎﻧﺎت ﯾﻣﻛن ﺑﺎﻟﺗﺎﻟﻲ أن ﺗﺻﺎغ ﻋﻠﻰ أﻧﮭﺎ ﻣﺷﻛﻠﺔ اﻟﻛﺷف ﻋن اﻟﺗﻐﯾﯾر .وھذا ﯾﻧطوي ﻋﻠﻰ ﺗﺣدﯾد اﻟﺗﻐﯾر ﻓﻲ اﻟﺧﺻﺎﺋص اﻹﺣﺻﺎﺋﯾﺔ ﻟﻣﻌﻠﻣﺎت ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ ﻗﯾد اﻟﻔﺣص ،وھذا ھو ،ﻣﻌدل وﺻول ﻋﻧﺎوﯾن IPﺟدﯾدة. ﯾﺗم اﺳﺗﺧدام ھذه اﻟزﯾﺎدة اﻟﻣﻔﺎﺟﺋﺔ ﻓﻲ ﻣﻌدل وﺻول ﻋﻧﺎوﯾن IPاﻟﺟدﯾدة ﻓﻲ DMMﺑﺎﻋﺗﺑﺎره اﻟﻣﻼﺣظﺔ اﻟرﺋﯾﺳﯾﺔ ﻓﻲ اﻟﺗﺣدﯾد واﻟﺗﺣﻘﯾﻖ ﻋن ﻧﺷﺎط اﻟﺷﺑﻛﺔ اﻟﺧﺑﯾﺛﺔ .ﻟﻠﻛﺷف ﻋن اﻟﺗﻐﯾﯾر ،ﯾﺗم اﺳﺗﺧدام "sliding-window-based non-parametric" CUSUMواﻟذي اﻗﺗرﺣﮫ أﺣﻣد وﻓرﯾﻘﮫ " ."Ahmed, E., G.Mohay, A. Tickle, and S. Bhatiaوظﯾﻔﺔ ddosﻓﻲ DMMھو اﺧذ اﻟﻣدﺧﻼت ﻣن وظﯾﻔﺔ ﺗﺻﻧﯾف Bloom filters .(ipac) IPﻓﻲ ipacﺗﻘوم ﺑﺎﻟﺗﻌرف ﻋﻠﻰ ﻋدد ﻣن ﻋﻧﺎوﯾن IPﻣﺻدر اﻟﺟدﯾدة ﻣن ﺧﻼل ﺗردد ﻗﯾﺎس ﻣﻌﯾن واﻟذي ﯾﺳﻣﻰ وظﯾﻔﺔ (change detection algorithm) ddosوذﻟك ﻟﺗﺣدﯾد اﻟﮭﺟوم.
Dos Detection Using Na`ive Bayesian Classifiers ﻓﻲ اﻵوﻧﺔ اﻷﺧﯾرة ،ﺗم اﻟﻛﺛﯾر ﻣن اﻟﻌﻣل ﻋﻠﻰ اﺳﺗﺧدام ﻣﺧﺗﻠف ﺗﻘﻧﯾﺎت machine-learningواﻟﻣﻧﺎھﺞ اﻹﺣﺻﺎﺋﯾﺔ اﻟﻌﺎﻣﺔ اﻷﺧرى ﻓﻲ اﻟﻛﺷف ﻋن ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ .ﻓﻲ ھذه اﻷﻋﻣﺎل ،ﻗد ﺻﻧﻔت ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ﺿﻣن ﻓﺋﺔ واﺳﻌﺔ ﻣن ھﺟﻣﺎت اﻟﺗﺳﻠل "."intrusion attacks وﺑﺎﻟﺗﺎﻟﻲ ،ﺗم ﺗﻌرﯾف ﺣﻠول ﻛﺛﯾره ﻧﺣو ﻋﻣﻠﯾﺎت اﻻﺧﺗراق اﻟرﺳﻣﯾﺔ ،ﺑﻣﺎ ﻓﻲ ذﻟك ﺗﺻﻌﯾد اﻻﻣﺗﯾﺎزات " ،"root escalationھﺟﻣﺎت اﻻﺳﻛرﺑت " ،"scripts attacksوﻣﺎ إﻟﻰ ذﻟك .اﻟﻌﺎﻣل اﻟرﺋﯾﺳﻲ اﻟذي ﻏﺎﻟﺑﺎ ﻣﺎ ﻏﺎب ﻋن طرﯾﻖ ﺗﺻﻧﯾف ھﺟﻣﺎت دوس ﺿﻣن ھﺟﻣﺎت اﻟﺗﺳﻠل ھو اﻟﺣﺟم اﻟﮭﺎﺋل ﻟﺣﻠول اﻟﻛﺷف ﻋن دوس واﻟﺗﻲ ﯾﺟب أن ﺗﻌﺎﻣل ﺑﺎﻟﻣﻘﺎرﻧﺔ ﻣﻊ ھﺟﻣﺎت اﻟﺗﺳﻠل. ﻓﻲ ﺣﯾن أن اﻟﻧﻣﺎذج اﻟﺣﺳﺎﺑﯾﺔ اﻟﻣﻛﺛﻔﺔ " "computationally intensive modelsاﻟﺗﻲ ﯾﺟب أن ﺗﺳﺗﺧدم ﻟﻠﻛﺷف ﻋن اﻻﺧﺗراﻗﺎت ،وﻟﻛن ﺣﺟم اﻟﻌﻣل ھذا ﯾﺟﻌل ﻧﻣﺎذج اﻟﺗﻌﻠم ﻣﺛل ) hidden Markov models (HMMsو ANNs impracticalﻏﯾر ﻋﻣﻠﯾﮫ ﻋﻧدﻣﺎ ﯾﺗﻌﻠﻖ اﻷﻣر ﺑﺎﻟﻛﺷف ﻋن اﻟﮭﺟوم ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ .ھذه اﻟﻧﻣﺎذج ﺗﺄﺧذ ﺣﯾز ﻛﺑﯾر ﺟدا أو وﻗﺗﺎ طوﯾﻼ .آﻟﯾﺔ اﻟﻛﺷف ﻋن ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ﯾﺟب ان ﺗﻛون ﺧﻔﯾﻔﺔ ﻓﻲ ﻋﻣﻠﮭﺎ ﺣﺗﻰ ﺗدﻋم ﺳرﻋﺔ اﻷﺳﻼك. ﻋﯾب آﺧر ﻟﻧﻣﺎذج اﻟﺗﻌﻠم ﺳواء اﻟﻣوﺟودة ﺗﺣت إﺷراف/ﻏﯾر ﺧﺎﺿﻌﺔ ﻟﻠرﻗﺎﺑﺔ ﻟﻠﻛﺷف ﻋن دوس ھو دﻗﺔ ﺣرﻛﺔ اﻟﻣرور اﻟﻣﺳﺗﺧدﻣﺔ ﻓﻲ ﺑﻧﺎء اﻟﻧﻣﺎذج .ﻓﻲ ﺣﯾن أﻧﮫ ﻣن اﻟﺷﺎﺋﻊ أن ﻧﻔﺗرض أن ﻛل ﺣرﻛﺔ اﻟﻣرور اﻟﻣﺳﺗﺧدﻣﺔ أﻣر طﺑﯾﻌﻲ ﺗﻣﺎﻣﺎ ،ﻋﻠﻰ اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﺗم ﺟﻣﻌﮭﺎ ﻓﻲ د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1145 ﻣواﻗﻊ اﻟﻣﺳﺗﺧدم اﻟﻔﻌﻠﯾﺔ ،وھذا ﻗد ﻻ ﯾﻛون ﺑﺎﻟﺿرورة ﺻﺣﯾﺢ وﯾﺟوز ﻟﺑﯾﺎﻧﺎت اﻟﺗدرﯾب ﻧﻔﺳﮭﺎ ان ﺗﺣﺗوي ﻋﻠﻰ ﺷذوذ .وﻗد ﯾﺗﺳﺑب ھذا ﻓﻲ اﻟﺳﻠﺑﯾﺎت اﻟﻛﺎذﺑﺔ ﻋﻧدﻣﺎ ﯾﺗم ﺗطﺑﯾﻖ ﻧﻣوذج ﻋﻠﻰ ﻏﯾره ﻣن اﻟﺑﯾﺎﻧﺎت ﻓﻲ اﻟﻌﺎﻟم اﻟﺣﻘﯾﻘﻲ. ﻣﺷﻛﻠﺔ أﺧرى ﺑﺎﻟﻧﺳﺑﺔ ﻟﮭﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ھﻲ ﻋدم وﺟود اﻟﺑﯾﺎﻧﺎت ﻓﻲ ﺟﻣﯾﻊ أﺷﻛﺎل ،وﻋﻠﻰ وﺟﮫ اﻟﺧﺻوص ،ﻋدم ﺗواﻓر ﺑﯾﺎﻧﺎت اﻟﺗدرﯾب. ﺣﺎﻟﯾﺎ ،ﻣﺟﺗﻣﻊ ﺑﺣوث دوس ﯾﻌﺗﻣد اﻋﺗﻣﺎدا ﻛﺑﯾرا ﻋﻠﻰ ﻣﺟﻣوﻋﺗﯾن ﻣن اﻟﺑﯾﺎﻧﺎت اﻟﻘﯾﺎﺳﯾﺔ ،وھذا ھو ،ﻣﺟﻣوﻋﺔ ﺑﯾﺎﻧﺎت KDDوﺑﯾﺎﻧﺎت ،DARPA ﻟﻐرض ﺗﻌﻠﯾم اﻻﻟﮫ واﻟﺗﺣﻠﯾل .وﻣﻊ ذﻟك ،ھذه ﻟدﯾﮭﺎ ﻋدد ﻣن اﻟﻘﯾود اﻟﻣﺗﺄﺻﻠﺔ وھﻲ أﻛﺛر ﻣﻼءﻣﺔ ﻟﺗﺣﻠﯾل ھﺟﻣﺎت اﻟﺗﺳﻠل. اﻟﮭدف ﻣن أي ﻧظﺎم ﻋﻣﻠﻲ ﻟﻠﻛﺷف ﻋن ھﺟﻣﺎت دوس ،ﺑﻣﺎ ﻓﻲ ذﻟك ھﺟﻣﺎت DDoSاﻟﻔﯾﺿﺎﻧﺎت ،ان ﯾﺗواﻓر ﻓﯾﮫ اﻟﺧﺻﺎﺋص اﻟﺗﺎﻟﯾﺔ )أ( ﺧﻔﯾف اﻟوزن) ،ب( ﻣﺗﻛﯾﻔﺔ ﻣﻊ اﻟﺻﻌوﺑﺎت اﻟﻌﻣﻠﯾﺔ ﻓﻲ اﻟﺗﻌﻠم ،و )ج( ﻗﺎﺑﻠﺔ ﻟﻠﺗﺷﻐﯾل ﺑﺎﻟﻘرب ﻣن ﺳرﻋﺔ اﻟﺧط "."line speeds ﺗﻘﻧﯾﺎت اﻟﻛﺷف ﻋن DoS/DDoSاﻟﻣﻘﺗرﺣﺔ ﺗﺧﺗﻠف ﻋن ﺑﻌﺿﮭﺎ اﻟﺑﻌض ﻣن ﺣﯾث اﻷھداف اﻟﺗﻲ ﺗﻠﺑﻲ اﻻﺣﺗﯾﺎﺟﺎت ،واﻻﺳﺗراﺗﯾﺟﯾﺔ اﻟﻣﺳﺗﺧدﻣﺔ، واﻟﻣﯾزات اﻟﻣﺧﺗﺎرة واﻷداء .وﺗﺷﻣل ھذه اﻟﺗﻘﻧﯾﺎت اﻟﻛﺷف ﻋن اﻟﻧﮭﺞ اﻹﺣﺻﺎﺋﻲ ﻣﺛل chi-square-testﻋﻠﻰ ﻗﯾم entropy valuesﻣن رؤوس اﻟﺣزم .ﺟﯾن وﯾوﻧﻎ " "Jin and Yeungﻧﺎﻗش آﺛﺎر ﺗﺣﻠﯾل اﻻرﺗﺑﺎط اﻟﻣﺗﻌدد " "multivariate correlation analysisﻟﻠﻛﺷف ﻋن دوس ،وﯾﻘدم ﻣﺛﺎﻻ ﻟﻠﻛﺷف ﻋن ھﺟوم ﻓﯾﺿﺎﻧﺎت .SYNﺟﯾن وﯾوﻧﻎ ﻗﺎﻣﺎ ﺑﺎﺳﺗﺧدام ﻣﺻﻔوﻓﺔ اﻟﺗﻐﺎﯾر " "covariance matrixﻟﻌرض اﻟﻌﻼﻗﺔ ﺑﯾن ﻛل زوج ﻣن ﺧﺻﺎﺋص اﻟﺷﺑﻛﺔ ﻣن أﺟل ﺗﺣدﯾد ھﺟوم CUSUM algorithm .ﯾﺗم اﺳﺗﺧداﻣﮭﺎ ﻟﻠﻛﺷف ﻋن اﻟﺗﻐﯾﯾر ﻓﻲ ﻋدد اﻟﺣزم اﻟﻣوﺟﮭﺔ ﻧﺣو اﻟوﺟﮭﺔ ﻟﻠﺗﻌرف ﻋﻠﻰ اﻟﮭﺟوم. اﻟﺗﻘﻧﯾﺎت اﻷﺧرى اﻟﺗﻲ اﺗﺧذت ﻣن ﺗﺣﻠﯾل اﻟﻧﻣط " "pattern analysisواﻟﺗﻌﻠم اﻵﻟﻲ " "machine learningﺗم اﻗﺗراح اﺳﺗﺧداﻣﮭﺎ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل Xie et al. ،ﻗﺎم ﺑﺎﻟﻧظر اﻟﻰ ھﺟﻣﺎت application layer DDoSواﺳﺗﺧدام hidden semi-Markov modelsﻟﻠﻛﺷف ﻋن ھذه اﻷﻧواع ﻣن اﻟﮭﺟﻣﺎت .ﻛﻣﺎ ﯾﺗم ﺗطﺑﯾﻖ ﺧوارزﻣﯾﺎت ﺗﺻﻧﯾف أﺧرى ﻣﺛل ،genetic algorithms ،support vector machines ) artificial neural networks (ANNو .Bayesian learningﺗﻘﻧﯾﺎت Hybrid modelling techniquesﺗﻘدم ھﻲ اﻷﺧرى ﻧﺗﺎﺋﺞ ﻣﺛﯾرة ﻟﻼھﺗﻣﺎم .ﻛﻣﺎ ﺗم اﻗﺗراح ﺣﻠول ﻟﮭﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ ﻧﻣوذج ﻣﺎرﻛوف اﻟﺧﻔﻲ .وﻗد ﺗم ﺗوﺛﯾﻖ وﺗﺻﻧﯾف ھﺟﻣﺎت DDoSوآﻟﯾﺎت اﻟدﻓﺎع .وﻗد ﻧﺎﻗﺷت اﻷﻋﻣﺎل اﻟﺣدﯾﺛﺔ اﺳﺗﺧدام اﻟﻣﺻﻧﻔﺎت اﻟﻧظرﯾﺔ اﻻﻓﺗراﺿﯾﺔ " "Bayesian classifiersﻧﺣو ﻛﺷف اﻟﺗﺳﻠل، ﺑﺷﻛل ﻋﺎم ،واﻟﺗﻲ ﺗﺷﻣل ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ وﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ: Xu, X., Y. Sun, and Z. Huangﻗﺎﻣوا ﺑﻧﻣذﺟﺔ ﻣﻌدل اﻟﺗﻐﯾر ﻣن ﻋﻧﺎوﯾن IPاﻟﺟدﯾدة واﻟﻘدﯾﻣﺔ ﻓﻲ اﻟﻌﻘد ﻓﻲ اﻟﺷﺑﻛﺔ ﺑﺎﺳﺗﺧدامﻧﻣوذج ﻣﺎرﻛوف اﻟﺧﻔﻲ ) (HMMوﺗﺣدﯾد اﻟﮭﺟﻣﺎت اﻟﺗﻲ ﺗﺳﺗﻧد إﻟﻰ اﻟﺳﻣﺔ اﻟﻣذﻛورة أﻋﻼه .ﻛﻣﺎ ﺷرح ﻛﯾﻔﯾﺔ ظﮭور اﻟﻧﺗﺎﺋﺞ ﻟﺗﺣﺳﯾن ﺗﺑﺎدل اﻟﻣﻌﻠوﻣﺎت ﺑﯾن اﻟﻌﻘد اﻟﻣوزﻋﺔ ﻣﻊ اﻟﮭﺟوم ﺑﺎﺳﺗﺧدام ﺗﻘﻧﯾﺎت اﻟﺗﻌﻠم .Cooperative Reinforcement Learning techniques Seo, J., C. Lee, T. Shon, K.H. Cho, and J. Moon.ﻗﺎﻣوا ﺑﺎﺳﺗﺧدام ) traffic rate analyzer (TRAﻟﻧﻣذﺟﺔﻣﻌدل TCP flagواﻟذي ھو ﻣﻘﯾﺎس ﻟﻧﺳﺑﺔ اﻟﺣزم ﻣﻊ flagاﻟﻣﺧﺗﺎرة ﺑﺎﻟﻧﺳﺑﺔ ﻟﻌدد ﺣزم TCPاﻟﻛﻠﯾﺔ .وﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،ﻓﺈﻧﮭﺎ ﺗﺳﺗﺧدم ﻣﻌدل اﻟﺑروﺗوﻛول " "protocol rateواﻟذي ھو ﻣﻘﯾﺎس ﻟﻧﺳﺑﺔ اﻟﺣزم ﻣن اﻟﺑروﺗوﻛول اﻟﻣﺣدد ﺑﺎﻟﻧﺳﺑﺔ اﻟﻰ إﺟﻣﺎﻟﻲ ﻋدد اﻟﺣزم اﻟواردة .ﺣﯾث ﯾﺗم رﺻد اﻟﻌﺷرات ﻣن اﻟﻣﯾزات ،ﻛﻣﺎ ﺗم ذﻛرھﺎ ﺳﺎﺑﻘﺎ ،وﻧﻣذﺟﺗﮭﺎ اﻟﻰ اﻟﺣزم اﻟﻌﺎدﯾﺔ وﺣزم اﻟﮭﺟوم ﻋﻠﻰ ﺷﻛل ﺳﻠﺳﻠﺔ ﻣن .SVMsوﺗم وﺻف اﻟﮭﺟﻣﺎت ﺑﺄﻧﮭﺎ DDoS ،DoSأو ھﺟﻣﺎت DrDoSاﺳﺗﻧﺎدا إﻟﻰ اﻟﻔﺋﺔ اﻟﺗﻲ ﯾﻧﺗﻣﻲ إﻟﯾﮭﺎ اﻟﻧﻣط. ﻧﮭﺞ اﻟﻛﺷف ""Detection Approach ﻧﮭﺞ اﻟﻛﺷف ھﻧﺎ ﯾﻌﻣل ھو اﻻﺧر داﺧل ﻣﻌﻣﺎرﯾﺔ ،DMMﻛﻣﺎ ھو اﻟﺣﺎل ﻣﻊ ﻧﮭﺞ CPA NSPاﻟﻣﻌروﺿﺔ ﻓﻲ .Modelling UDP Traffic ﺑﯾﻧﻣﺎ ﺗﺳﺗﺧدم ﺗﻘﻧﯾﺎت اﻟﻛﺷف اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ اﻟﺗوﻗﯾﻊ " "signature-based detection techniquesواﻟﺗﻲ ﺗﻌﺗﻣد ﻋﻠﻰ اﻟﺗوﻗﯾﻌﺎت ﻟﺗﺣدﯾد اﻟﮭﺟﻣﺎت ،وﻧﻣﺎذج اﻟﻛﺷف اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ أﺳﺎس اﻟﺷذوذ ﺗﻘوم ﺑﺑﻧﺎء ﻧﻣﺎذج ﻋن ﺣرﻛﺔ اﻟﻣرور اﻟﻌﺎدﯾﺔ وﺗﺣدﯾد اﻟﮭﺟﻣﺎت ﺑﺄﻧﮭﺎ اﻻﻧﺣراف ﻋن ﺣرﻛﺔ اﻟﻣرور اﻟﻌﺎدﯾﺔ اﻟﺗﻲ اﺳﺗﺧدﻣﮭﺎ ﻓﻲ ﺑﻧﺎء ھذه اﻟﻧﻣﺎذج .وھذا اﻷﺧﯾر ھو أﻛﺛر ﻣﻼءﻣﺔ ﻟﻠﻛﺷف ﻋن ھﺟﻣﺎت اﻟﻔﯾﺿﺎﻧﺎت ،وﺑﺎﻟﺗﺎﻟﻲ ﺗم اﺧﺗﯾﺎره. ﻋﻨﺎﺻﺮ اﻟﺘﺼﻤﯿﻢ اﻟﻌﺎم ) .(Traffic separationﯾﺣﺗﺎج ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ ﻟﯾﺗم ﻓﺻﻠﮭﺎ إﻟﻰ ﺗﯾﺎرات " "streamsﻣن أﺟل ﺗﺳﮭﯾل ﺗﻧﻔﯾذ ﺗﻘﻧﯾﺎت ﻣﻌﺎﻟﺟﺔدوس ﻓﻲ ﺣﺎﻟﺔ وﺟود اﻟﮭﺟوم .وﻧﺣن ﻧﻘوم ﺑﺗﺣدﯾد اﻟﺗﯾﺎر ﻣن ﻗﺑل اﺛﻧﯾن ﻣن اﻟﺻﻔوف .destination port ،destination ip ) Windowing .(Windowingﺗﻌﻧﻰ ﺗﻘﺳﯾم ﺣرﻛﺔ اﻟﻣرور اﻟﻣدﺧﻼت إﻟﻰ ﻣﺟﻣوﻋﺎت ﻓرﻋﯾﺔ ﻣرورﯾﺔ واﻟﺗﻲ ﺗﻧﺳﺟم ﻣﻊ ﻛﯾﺎﻧﺎتﻣﻧطﻘﯾﺔ " "logical entitiesﺗﺳﻣﻰ اﻟﻧواﻓذ " ."windowﻗد ﺗﻛون اﻟﻧواﻓذ إﻣﺎ ﻧواﻓذ اﻟوﻗت " "time windowsأو ﻧواﻓذ اﻟﺣزﻣﺔ " ."packet windowsوﻗد ﺗم اﺧﺗﯾﺎر ﻧواﻓذ اﻟﺣزﻣﺔ " "packet windowsﻣن أﺟل ﺗﻘﻠﯾل وﻗت اﻟرد اﻟﻔﻌﻠﻲ وأﯾﺿﺎ ﻟدﯾﮫ ﺳﯾطرة ﻋﻠﻰ ﻋدد ﻣن اﻷﺣداث اﻟﺗﻲ ﯾﺟب أن ﺗﻛون ﻋﻠﻰ اﻟﻐرار. ) Flagging .(Flagging an attackاﻟوﺿﻊ اﻟﺷﺎذ ﻛﺎﻟﮭﺟوم ھﻲ وظﯾﻔﺔ ﻣن ﺳﻠﺳﻠﺔ ﻣن اﻟﻧواﻓذ اﻟﺷﺎذة ،وﻟﯾس ﺑﺎﻟﺿرورة ﻋﻠﻰاﻟﺗواﻟﻲ .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﺑﺎﻧﮫ ﯾﺗم وﺿﻊ ﻋﻼﻣﺔ اﻟﮭﺟوم ﺑﻌد رﺻد ﺧﻣس ﻧواﻓذ ﻏﯾر طﺑﯾﻌﯾﺔ ﻣﺗﺗﺎﻟﯾﺔ ،ﻓﺎﻟﻣﮭﺎﺟم ﯾﻣﻛﻧﮫ اﻟﮭروب ﺑذﻛﺎء د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1146 ﻣن اﻟﻛﺷف ﻋن طرﯾﻖ اﻟﺣﻔﺎظ ﻋﻠﻰ ﺣرﻛﺔ ﻣرور اﻟﮭﺟوم ان ﺗﻛون أدﻧﻰ .5اﻟﮭدف ﺳﯾﻛون آﻣن إﻟﻰ ﺣد ﻣﻌﻘول ﻣن ھذا اﻟﻌﻣل ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم .وﻣﻊ ذﻟك ،ﻓﺈن آﻟﯾﺔ اﻟﻛﺷف ﺗﻔوت ﻣﺛل ﻣﺣﺎوﻻت اﻟﮭﺟوم ھذه واﻟذي وﻗﻊ ﻓﻲ ﺗراﻛم اﻟﮭﺟوم .وﻣن أﺟل اﻟﺗﻐﻠب ﻋﻠﻰ ھذه اﻟﻣﺷﻛﻠﺔ ،ﯾﺗم اﺳﺗﺧدام آﻟﯾﺔ .step-based mechanismﻓﻲ أي وﻗت ﻓﻲ ﺳﯾﺎق اﻟﻧﺷر ،وإذا ﻛﺎن ﻋدد ﻣن اﻟﻧواﻓذ اﻟﻐﯾر طﺑﯾﻌﯾﺔ ﺗﺗﺟﺎوز ﻋدد ﻣﻌﯾن )ﻣﻌﻠم ﯾﺳﻣﻰ ) ،(abnormal window count (AWCﻓﯾﺗم اﻷﻋﻼم ﻋن ھذا اﻟﮭﺟوم .وھذا ﯾﺿﻣن أن ﻣﺛل ھذه اﻟﮭﺟﻣﺎت ﺳوف ﯾﺗم ﺻﯾدھﺎ. Modelling TCP Traffic ﻟﻠﻛﺷف ﻋن اﻟﮭﺟوم ،ﯾﺗم وﺿﻊ ﻧﻣﺎذج ﺗﺳﺗﻧد إﻟﻰ رؤوس اﻟﺑروﺗوﻛول .وھو اﻟداﻓﻊ وراء اﺧﺗﯾﺎر ﻣﻌﻠﻣﺎت اﻟﺗﻲ ﯾﻧﺑﻐﻲ أن ﺗﻛون ﻗﺎدره ﻋﻠﻰ اﻟﺗﻔرﯾﻖ ﺑﯾن اﻟﻧﻣط اﻟﻌﺎدي واﻟﮭﺟوم .ﻣن ﺑﯾن ﻣﺟﻣوﻋﺔ ﻣن ﻣﺧﺗﻠف اﻟﻣﻌﻠﻣﺎت ﻓﻲ ،headerﺗظﮭر TCP flagsﻟﺗﻛون اﻷﻧﺳب .ﻓﻲ اﻟوﻗت اﻟذي ﯾﺗم ﻓﯾﮫ اﺧﺗﯾﺎر اﻟﻣﻌﻠﻣﺎت ،ﯾﻧﺑﻐﻲ اﻹﺷﺎرة إﻟﻰ اﻟﺣﻔﺎظ ﻋﻠﻰ ﺧﻔض ﻋدد ھذه اﻟﻣﻌﻠﻣﺎت وھذا ﺳوف ﯾﻘﻠل اﻟﺣﻣل ﻋﻠﻰ ﻧظﺎم اﻟﻛﺷف. ﻟﻧﻣذﺟﺔ ﺣرﻛﺔ ﻣرور TCPوذﻟك ﻣن ﺧﻼل ﺣﻘل ،TCP flagsوھﻲ ﻣﺗﺎﺣﺔ ﻛﺣﻘل ﻓﻲ .TCP headerﺣﻘل TCP flagsﻋﺑﺎرة ﻋن ﻣﺟﻣوﻋﺔ ﻣن 8ﺑت ،ﻛل ﺑت ﺗﻣﺛل flagواﺣدة .اﻟ flagاﻟﻔردﯾﺔ أو ﻣﺟﻣوﻋﺎت ﻣن flagsﺗرﻣز إﺟراءات ﻣﺣددة ﻓﻲ - TCPﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،إﻧﺷﺎء اﺗﺻﺎل ،إﻏﻼق اﺗﺻﺎل ،طﻠب ﺑﯾﺎﻧﺎت ،وﻣﺎ إﻟﻰ ذﻟك TCP flags .ھﻲRST ،URG ،FIN ،PSH ،ACK ،SYN : ) TCP flagsاﻟﻘﯾﺎﺳﯾﺔ( و .CWR ،ECWواﺧر اﺛﻧﯾن ﻣن "seldom used packets" ،flagsﻧﺎدرا ﻣﺎ ﺗﺳﺗﺧدم ﻓﻲ ﺣرﻛﺔ اﻟﻣرور ﻋﻠﻰ 6
اﻹﻧﺗرﻧت ،ﻟذﻟك ﻧﺣن ﻧﺻب اھﺗﻣﺎﻣﻧﺎ ﺣول اﻟﺳﺗﺔ .flagsوﺑﺎﻟﺗﺎﻟﻲ ،ھﻧﺎك 2ﻣن اﻟﻣﺗﻐﯾرات اﻟظﺎھرة اﻟﻣﺧﺗﻠﻔﺔ .ﯾﺗم ﺗﻌرﯾف ﻧﺎﻓذة اﻟﺣزﻣﺔ " "packet windowﻣن اﻟﻧﺎﺣﯾﺔ اﻟﻔﻧﯾﺔ ﻛﻣﺟﻣوﻋﺔ ﻣن ﻣﺟﻣوﻋﺎت ﻣن flagsاﻟﺗﻲ ﺗﻼﺣظ ﻣﻊ ﻛل ﻧﺎﻓذة اﻟﺣزﻣﺔ " ."packet windowﻗدرة ﻧﺎﻓذة ﺣزﻣﺔ ﻣﻌﯾﻧﮫ ھﻲ وظﯾﻔﺔ اﻹﻣﻛﺎﻧﯾﺎت اﻟﻔردﯾﺔ ﻟﻠﻣﺟﻣوﻋﺎت flagsاﻟﻣﺧﺗﻠﻔﺔ اﻟﺗﻲ ﻟوﺣظت داﺧل اﻟﻧﺎﻓذة .ﻋﻠﻰ اﻟرﻏم ﻣن أن ﺑﻌض ھذه flags ﻗد ﺗﻌﺗﻣد ﻋﻠﻰ ﺑﻌﺿﮭﺎ اﻟﺑﻌض ،وﻟﻛن داﺧل اﻟﻧواﻓذ اﻟﺻﻐﯾرة )ﺑﺎﻟﻣﻘﺎرﻧﺔ ﻣﻊ ﺣرﻛﺔ اﻟﻣرور اﻹﺟﻣﺎﻟﻲ( اﻟﺗﺑﻌﯾﺔ ﺑﯾن flagsاﻟﻔردﯾﺔ ﻗد ﻻ ﺗﻛون ﻣوﺟودة ،وﯾﻔﺗرض أن ﺗﻛون ﻣﺳﺗﻘﻠﺔ ﺗﻣﺎﻣﺎ. وﻣﻊ ذﻟك ،ﻟوﺣظ ان ﺣرﻛﺔ ﻣرور TCPﺗﻛون ﻣﻧﺣرﻓﺔ ﺟدا ﻓﻲ اﻟطﺑﯾﻌﺔ .واﻟدﻟﯾل ﻋﻠﻰ ذﻟك وﺟود ﻋدد ﻗﻠﯾل ﻓﻘط ﻣن ﻣﺟﻣوﻋﺎت flagsﻓﻲ 6
ﺣرﻛﺔ اﻟﻣرور اﻟواردة .وھذا ﯾﻌطﻲ ﻣﺟﺎﻻ ﻟﻧﻣذﺟﺔ ﺣرﻛﺔ اﻟﻣرور ﻣﻊ أﻗل ﻣن 2اﻷﺣداث ﻋﻠﻰ اﻟﻧﺣو اﻟﻣذﻛور أﻋﻼه .ﻛﻣﺎ اﻧﮫ ﯾﺣﻣل ﺑﻌض أﺷﻛﺎل اﻟﺗﺟﻣﻊ اﻟﺻﺣﯾﺢ واﻟﺗﻲ ﺳوف ﺗﻘﻠل ﻋدد اﻷﺣداث .ﺑﻌد ﻋدة ﺗﺟﺎرب ﻋﻠﻰ ﻣﺧﺗﻠف ﻣﺟﻣوﻋﺎت اﻟﺑﯾﺎﻧﺎت ﻟﺗﺣدﯾد اﻟﺗﺟﻣﻊ اﻟﻣﻌﻘول ﻣن ھذه ،flagsواﻟﺗﻲ ﺗﻛون ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ: 1. T1: Packets with RST bit set (irrespective of other bits) – 32 packet types 2. T2: SYN packets – 1 packet type 3. T3: ACK packets – 1 packet type 4. T4: FIN/ACK packets – 1 packet type 5. T5: PSH/ACK packets – 1 packet type 6. T6: Rest of the packets – 28 packet types. Includes seldom used packets and invalid packets ﻟﻧﺎﻓذة اﻟﺣزم ﻣﻊ اﻟﺣﺟم ،Nھﻧﺎك ) (N+1ﻣن اﻟﺣﺎﻻت اﻟﺗﻲ ﯾﺗﻌﯾن رﺻدھﺎ ،ﻣﻣﺎ ﯾﺟﻌل اﺣﺗﻣﺎل اﻟﻌدد اﻹﺟﻣﺎﻟﻲ ﻟﻠﺣﺎﻻت ھو ") "6*(N+1وﻣﻊ ذﻟك ،وﻛﻣﺎ ذﻛر أﻋﻼه ،ﻓﺎﻧﮫ ﻣن ﻏﯾر اﻟﻣﺣﺗﻣل ﺟدا أن ﯾﺣدث ﻓﻲ ﺣرﻛﺔ اﻟﻣرور اﻟﻌﺎدﯾﺔ اﻟﻛﺛﯾر ﻣن اﻟﺣﺎﻻت ﺑﺳﺑب ﺣرﻛﺔ اﻟﻣرور TCPاﻟﻣﺷوه ﻣن ﺣﯾث اﺳﺗﺧداﻣﮭﺎ ﻟ .TCP flagsوﺑﺎﻟﺗﺎﻟﻲ ،ﯾﻣﻛن ﻟﻌدد أﻗل ﻣن اﻷﺣداث ان ﺗﻛون ﻛﺎﻓﯾﮫ ﻓﻲ ﻧﻣذﺟﺔ ﺣرﻛﺔ اﻟﻣرور ،وھذا ﯾوﻓر ﺳﺑﺑﺎ ﻻﺧﺗﯾﺎر Naive Bayesian classifiersﻣﻊ اﻻﻓﺗراﺿﺎت اﻟﺑﺳﯾطﺔ .وﻣﻊ ذﻟك ،ﻓﺈن وﺟود ﺣﺎﻻت اﻟﺗﻲ ﻻ ﺗﺣﺗﻣل أن ﺗﺣدث ﻗد ﺗؤدي إﻟﻰ أﺣداث ﻣﻊ اﺣﺗﻣﺎل اﻟﺻﻔر .ﻟﺗﺟﻧب اﻷﺣداث ذات اﻻﺣﺗﻣﺎل ﺻﻔر ،ﻓﮭﻧﺎك ﺗﻘﻧﯾﺔ ﺑﺳﯾطﺔ ﻣﺛل Laplacian smoothingﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ .وﻣﻊ ذﻟك ،ﻓﺈن ھذا ﻗد ﺗﻌطﻲ ﻧﺗﺎﺋﺞ ﻏﯾر دﻗﯾﻘﺔ ﻋﻧد ﺗطﺑﯾﻘﮫ ﻋﻠﻰ ﻋدد ﻛﺑﯾر ﻣن اﻟﺣﺎﻻت ،ﻻ ﺳﯾﻣﺎ وأﻧﮫ ﺑدأﻧﺎ ﻣﻊ اﻓﺗراض اﻟﻌﻣل ﻣﻊ ﻛﻣﯾﺎت ﺻﻐﯾرة ﻣن اﻟﺑﯾﺎﻧﺎت. ﻧﺣن ﻧﻘوم ﺑﺗﺧﻔﯾض ﻋدد اﻷﺣداث ) (N+1اﻟﻣﺣﺗﻣﻠﺔ ﻟﻛل ﻣﺟﻣوﻋﺔ وذﻟك ﺑﺎﺳﺗﺧدام ﻋدد ﺛﺎﺑت ﻣن ،K bandsﺣﯾث ﻛل bandﯾﻘوم ﺑﺗﺟﻣﯾﻊ اﻷﺣداث ذات اﻻﺣﺗﻣﺎل اﻟﻣﻣﺎﺛل ﻣﻌﺎ .وھذا ﯾﻘﻠل ﻣن ﻋدد اﻷﺣداث ذات اﻻﺣﺗﻣﺎل ﺻﻔر وﯾﺣﺳن أﯾﺿﺎ اﻟﺗﺟﺎﻧس. اﻟﮭدف ﻣن ھذا ھو ﺗﺟﻣﯾﻊ ﺣﺎﻻت TCP flagsﻓﻲ ﻧطﺎﻗﺎت " "bandsاﻟﺗﻲ ﺗم ﻣﻼﺣظﺗﮭﺎ .ﻣﻌرﻓﺔ اﻷﺣداث ﻣن ﻣدﺧﻼت ﺣرﻛﺔ اﻟﻣرور اﺳﺗﻧﺎدا إﻟﻰ اﻟﻣﺟﻣوﻋﺔ أﻋﻼه ﻣن اﻷﺣداث وﺗﺣدﯾد اﻻﺣﺗﻣﺎﻻت ﻟﻛل ﺣدث .وأﺧﯾرا ﺗﺣدﯾد اﻟﺣد اﻻدﻧﻰ اﻟﻣﻧﺎﺳب ،وھو اﺣﺗﻣﺎل أدﻧﺎه واﻟﺗﻲ ﺳﯾﺗم ﺗﺻﻧﯾف ﻣﺎ ﻓوﻗﮫ ﻋﻠﻰ اﻧﮫ ﻧﺎﻓذة ﻏﯾر طﺑﯾﻌﯾﺔ.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1147 Modelling UDP Traffic اﻟﮭدف ﻣن رﺻد رؤوس اﻟﺑروﺗوﻛول ھو ﺗطوﯾر ﻧﻣط ﻣﻣﯾز ،اﻷﻣر اﻟذي ﺳﯾﺳﺎﻋد ﻓﻲ وﻗت ﻻﺣﻖ ﻓﻲ ﻛﺷف ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ .وھﻧﺎك ﺳﻣﺔ ﻣﻣﯾزة ﻓﻲ UDPوھو أﻧﮫ ذات اﺗﺻﺎل أﻗل " ،"connection-lessوﺑﺎﻟﺗﺎﻟﻲ ﯾﺿﻣن اﺗﺻﺎل ﺳرﯾﻊ .وﻋﻠﻰ ،ﺧﻼف UDP header ،TCP ﻻ ﯾﺣﺗوي ﻋﻠﻰ ﺣﻘول ﻣﺛل ،flagsواﻟﺗﻲ ﺳﺗﺣدد ﺣﺎﻟﺔ اﻻﺗﺻﺎل .وﻣﻧذ ان ﻛﺎن UDPذات اﺗﺻﺎل أﻗل " ،"connection-lessﻓﺎن ھذا أدى اﻟﻰ ان ﻣﻌظم ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ﺗﻘوم ﺑﺎﺳﺗﺧدام ،UDPﻓﻲ ﻣﺣﺎوﻟﺔ ﻻﺳﺗﻧﻔﺎد ﻣوارد ﻋرض اﻟﻧطﺎق اﻟﺗرددي اﻟﻣﺗﺎﺣﺔ ﻟﻠﻣﻠﻘم .وﻧﺗﯾﺟﺔ ﻟذﻟك ،ﻻ ﯾﻣﻛن اﺳﺗﺧدام ﻣﻌﻠوﻣﺎت UDP headerﻛﻣﻌﻠم ﻟﻠﻛﺷف ﻋن ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ اﻟﺗﻲ ﺗﻘوم ﺑﺎﺳﺗﺧدام .UDP وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺈن اﻟﻣﻌﻠم ھﻧﺎ ھو ) window arrival time (WATﻟﻧﺎﻓذة اﻟﺣزﻣﺔ WAT .ﻣن ﻧﺎﻓذة اﻟﺣزﻣﺔ ھﻲ ﻣدة اﻟﺗﻲ وﺻﻠت ﻓﯾﮭﺎ ﻧﺎﻓذة اﻟﺣزﻣﺔ .ﻣن اﻟﻧﺎﺣﯾﺔ اﻟﻔﻧﯾﺔ ،ﻓﺈﻧﮫ ھو اﻟﻔرق ﻓﻲ اﻟوﻗت ﺑﯾن اﻟﺣزم P1و PNﻣن اﻟﻧﺎﻓذة ،ﺣﯾث Nھو ﺣﺟم اﻟﻧﺎﻓذة .وﻧظرا ﻟﻠﻘﯾود اﻟﻣﺧﺗﻠﻔﺔ ،ﻓﺎﻧﮫ ﯾﻌﺗﺑر اﻟﻧواﻓذ اﻟﻐﯾر ﻣﺗداﺧﻠﺔ .وﯾﺗم رﺻد WATsﻣن اﻟﻧواﻓذ ،وﻣن ﺛم ﺗطوﯾر ﻧﻣوذج ﻻﺳﺗﯾﻌﺎب أﺣداث WATھذه .ﺧﻼل ﻣرﺣﻠﺔ اﻻﻧﺗﺷﺎر، ﺗﺳﺗﺧدم اﺣﺗﻣﺎﻻت اﻟﻧﻣوذج ﻟﺗﺣدﯾد اﺣﺗﻣﺎل وﺻول اﻟﻧﺎﻓذة اﻟواردة .وإذا ﻛﺎن اﻻﺣﺗﻣﺎل ھو أﻗل ﻣن اﺣﺗﻣﺎل اﻟﻣﺳوح ﺑﮫ ،ﻓﯾﺗم ﺗﺻﻧﯾف اﻟﻧﺎﻓذة اﻧﮭﺎ ﻏﯾر طﺑﯾﻌﯾﺔ. وﻋﻠﻰ ﻏرار ،TCPﻓﺎن اﻷﺣداث ھﻲ ﻗﻠﯾﻠﺔ ﻟﻠﻐﺎﯾﺔ ﻓﻲ اﻟطﺑﯾﻌﺔ واﻟﺗﻲ ﺗﺑدو أن ھﻧﺎك اﻟﻌدﯾد ﻣن اﻟﻧطﺎق ﻟﺗﺟﻣﯾﻊ ھذه اﻷﺣداث ﻣن أﺟل ﺗﻘﻠﯾل ﻋدد اﻻﺣﺗﻣﺎﻻت اﻟﺗﻲ ﯾﺗم اﻟﺗﻌﺎﻣل ﻣﻌﮭﺎ ﻣن ﻗﺑل اﻟﻧﻣوذج .وھﻧﺎ ﯾﺗطﻠب ﺗﺟﻣﯾﻊ WATsاﻟﻰ ﻋدد ﺛﺎﺑت ﻣن bandsواﻟﺗﻲ ﺗﺣددھﺎ ﺣدود اﻟوﻗت. وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺈن ﻛل bandھﻲ ﻋﺑﺎرة ﻋن ﻣﺟﻣوﻋﺔ ﻣﺗﺟﺎورة ﻣن .bandأﺛﻧﺎء اﻟﮭﺟوم ،ﯾﺗم ﺣﺳﺎب WATﻟﻛل ﻧﺎﻓذة ،واﺣﺗﻣﺎل ﻛل ﻧﺎﻓذة ھو اﺣﺗﻣﺎل bandداﺧل WATاﻟذي ﯾﻧدرج ﺗﺣﺗﮫ .إذا ﻛﺎن ھذا اﻻﺣﺗﻣﺎل أﺻﻐر ﻣن اﺣﺗﻣﺎل اﻟﻣﺳوح ﺑﮫ ،ﯾﺗم اﻋﺗﺑﺎر اﻟﻧﺎﻓذة ﻏﯾر طﺑﯾﻌﯾﺔ .وﯾﺗم ﺗﺣدﯾد اﻻﺣﺗﻣﺎل اﻟﻣﺳوح ﺑﮫ ﻣن ﺧﻼل اﻋﺗﻣﺎد أﺳﺎﻟﯾب ﻋﺑر اﻟﺗﺣﻘﻖ ﻣن ﺻﺣﺔ اﻟﻣﻣﺎﺛﻠﺔ ﻟﺗﻠك اﻟﺗﻲ أﺟرﯾت ﻓﻲ .TCP Dos Detection Using CUSUM and Adaptive Neuro-Fuzzy Inference System ﻧﮭﺟﻧﺎ ھﻧﺎ ھو ﺗطﺑﯾﻖ ﺧوارزﻣﯾﺔ CUSUMﻟﺗﺗﺑﻊ اﻟﻣﺗﻐﯾر ) X(nﻟﻠﺗﻐﯾرات ﻓﻲ اﻟﮭﺟوم ﻣن ﺣرﻛﺔ اﻟﻣرور ﻻﺣظ )ﻣﺣدد ﻷﻧواع ﻣﺧﺗﻠﻔﺔ ﻣن اﻟﮭﺟﻣﺎت( ورﻓﻊ اﻹﻧذار ﻋﻧدﻣﺎ ﯾﺻﺑﺢ اﻟﻣﺟﻣوع اﻟﺗراﻛﻣﻲ " "cumulative sumﻛﺑﯾر ﺟدا )ﻋﻠﻰ أﺳﺎس اﻟﻘﯾﻣﺔ اﻟﻣﺳﻣوح ﺑﮭﺎ( .وﻟﻛن ﻏﺎﻟﺑﺎ ﻣﺎ ﺗﻧﺗﺞ ھذه اﻵﻟﯾﺔ اﻟﻌدﯾد ﻣن اﻻﻧذارات اﻟﻛﺎذﺑﺔ .ﻧظﺎم ) fuzzy inference system (FISﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﺑدﻻ ﻣن اﻟﻧظﺎم اﻟﻘﺎﺋم ﻋﻠﻰ اﻟﺣد اﻟﻣﺳﻣوح ﺑﮫ " "threshold valueﻷﻧﮫ ﯾزﯾل اﻻﻧﻔﺻﺎل اﻟﻣﻔﺎﺟﺊ ﺑﯾن اﻟطﺑﯾﻌﻲ واﻟﺷذوذ وﺑﺎﻟﺗﺎﻟﻲ ﯾﻘﻠل ﻣن ﻋدد اﻻﻧذارات اﻟﻛﺎذﺑﺔ ﻧﺳﺑﯾﺎ. إﺧراج FISﯾﻌﺗﻣد ﻋﻠﻰ membership functionاﻟﻣﺧﺗﺎرة وﻣﻌﺎﻟﻣﮭﺎ .وﺑﺎﻟﺗﺎﻟﻲ ،ﻹﺧراج أﻓﺿل ﻓﻣن اﻟﻣﮭم اﺧﺗﯾﺎر ﻣﻌﻠﻣﺎت membership functionاﻟﻣﻧﺎﺳﺑﺔ؛ ﯾﺧدم ANFISﻛﺗﻘﻧﯾﺔ ﻣﻧﺎﺳﺑﺔ ﻟﮭذا اﻟﻐرض .ﻓﻲ ،ANFISﻣﻌﻠﻣﺎت membership function ﻓﻲ FISﺗﻛون ﻋﻠﻰ ﻣﺎ ﯾرام ﺑﻧﺎء ﻋﻠﻰ اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﺗم ﺟﻣﻌﮭﺎ ﻓﻲ ﺑﯾﺋﺔ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ. آﻟﯾﺎت اﻟدﻓﺎع ﺿد DoS/DDoSﯾﻣﻛن ﺗﺻﻧﯾﻔﮭﺎ ﻋﻠﻰ أﺳﺎس اﺳﺗراﺗﯾﺟﯾﺔ اﻟﻛﺷف ﻋن اﻟﮭﺟوم وذﻟك ﻣن ﺧﻼل اﻟﻛﺷف ﻋن اﻟﻧﻣط اﻟﺷﺎذة .وﻋﻼوة ﻋﻠﻰ ذﻟك ،ﻓﻲ اﻟﻛﺷف ﻋن اﻟﺷذوذ ﻟدﯾﻧﺎ اﺛﻧﯾن ﻣن ﻣواﺻﻔﺎت اﻟﺳﻠوك اﻟﻌﺎدي Standard :و .Trainedﻓﻲ ﻧﻣط آﻟﯾﺔ اﻟﻛﺷف ،ﯾﺗم ﺗﺧزﯾن ﺗوﻗﯾﻌﺎت اﻟﮭﺟﻣﺎت اﻟﻣﻌروﻓﺔ ﻓﻲ ﻗﺎﻋدة ﺑﯾﺎﻧﺎت ،وﯾﺗم ﻣراﻗﺑﺔ ﻛل اﻻﺗﺻﺎﻻت ﻣن أﺟل وﺟود ھذه اﻷﻧﻣﺎط .اﻟﻌﯾب ھﻧﺎ ھو أن اﻟﮭﺟﻣﺎت اﻟﻣﻌروﻓﺔ ﻓﻘط ھﻲ اﻟﺗﻲ ﯾﻣﻛن أن ﯾﺗم اﻟﻛﺷف ﻋﻧﮭﺎ ،ﻓﻲ ﺣﯾن أن اﻟﮭﺟﻣﺎت ﻣﻊ وﺟود اﺧﺗﻼﻓﺎت طﻔﯾﻔﺔ ﻋن اﻟﮭﺟﻣﺎت اﻟﻘدﯾﻣﺔ ﺗﻛون ﻏﯾر ﻣﻠﺣوظﺔ .ﻋﻠﻰ اﻟﻌﻛس ﻣن ذﻟك ،اﻟﮭﺟﻣﺎت اﻟﻣﻌروﻓﺔ ﯾﺗم اﻟﻛﺷف ﻋﻧﮭﺎ ﺑﺳﮭوﻟﺔ ،وﻻ اﯾﺟﺎﺑﯾﺎت ﻛﺎذﺑﺔ ﺗﺄﺗﻲ ﻋﺑر ذﻟك Snort .ﺗﻘدم ﺑﻌض اﻷﻣﺛﻠﺔ ﻋﻠﻰ ﻧظﺎم ﻛﺷف اﻟدوس اﻟذى ﯾﺳﺗﺧدم اﻟﻛﺷف ﻋن ﻧﻣط اﻟﮭﺟوم .وﯾﺳﺗﺧدم ﻧﮭﺞ ﻣﻣﺎﺛل ﻓﻲ اﻟﺳﯾطرة ﻋﻠﻰ ﻓﯾروﺳﺎت اﻟﻛﻣﺑﯾوﺗر أﯾﺿﺎ .وﻋﻠﻰ ﻏرار ﺑراﻣﺞ اﻟﻛﺷف ﻋن اﻟﻔﯾروﺳﺎت ،ﻓﺎن ﻗواﻋد ﺑﯾﺎﻧﺎت اﻟﺗوﻗﯾﻌﺎت " "signature databasesﯾﺟب ﺗﺣدﯾﺛﮭﺎ ﺑﺷﻛل ﻣﺗﻛرر ﻟﺣﺳﺎب اﻟﮭﺟﻣﺎت اﻟﺟدﯾدة. اﻷﺳﺎﻟﯾب اﻟﺗﻲ أﻧﺷﺋت ﻟﻠﻛﺷف ﻋن اﻟﺳﻠوك اﻟﺷﺎذ ﻟدﯾﮭﺎ ﺗﻣﺛﯾل ﻟﺳﻠوك اﻟﻧظﺎم اﻟﻌﺎدي ،ﻣﺛل دﯾﻧﺎﻣﯾﻛﯾﺔ ﺣرﻛﺔ اﻟﻣرور اﻟﻌﺎدﯾﺔ أو أداء اﻟﻧظﺎم اﻟﻣﺗوﻗﻊ. اﻟﺣﺎﻟﺔ اﻟراھﻧﺔ ﻟﻠﻧظﺎم ﯾﺗم ﻣﻘﺎرﻧﺗﮭﺎ ﺑﺷﻛل دوري ﻣﻊ اﻟﻧﻣﺎذج ﻟﻠﻛﺷف ﻋن اﻟﺣﺎﻻت اﻟﺷﺎذة .ﻣﯾرﻛوﻓﯾﺗش وآﺧرون " "Mirkovic et al.اﻗﺗرح ﺗﻘﻧﯾﺔ ﺗﺳﻣﻰ .(DDoS Network Attack Recognition and Defense) D_WARDوھو ﺣل ﻧﮭﺎﺋﻲ ﯾﮭدف إﻟﻰ اﻟﻛﺷف اﻟﻣﺳﺗﻘل ووﻗف اﻟﮭﺟﻣﺎت اﻟﺻﺎدرة ﻣن اﻟﺷﺑﻛﺔ اﻟﻣﻧﺗﺷرة .وھو ﯾوﻓر اﻻﺳﺗﺟﺎﺑﺔ اﻟدﯾﻧﺎﻣﯾﻛﯾﺔ .ﻋن طرﯾﻖ اﻻﺧﺗﯾﺎر ﺑﻌﻧﺎﯾﺔ ﻣﻌﺎﯾﯾر اﻟﺗﻌدﯾل ،ﻓﺎن D_WARDﯾﻛون ﻗﺎدر ﻋﻠﻰ اﻻﺳﺗﺟﺎﺑﺔ اﻟﺳرﯾﻌﺔ ﻟظروف اﻟﺷﺑﻛﺔ ﻓﻲ ﺣﯾن ﯾﻛون ﺻﺎﻣدا ﻓﻲ ﻣواﺟﮭﺔ ﻣﺣﺎوﻻت اﻟﻣﮭﺎﺟم .ھﻲ ﻓﻌﺎﻟﺔ ﻓﻲ اﻟوﺿﻊ .autonomous modeوﻣﻊ ذﻟك ،ﻻﺣظ اﻟﺑﺎﺣﺛون أن ﻓﻲ ﺑﻌض اﻷﺣﯾﺎن ﺗﻌطﻰ ﻧﺗﺎﺋﺞ ﻛﺎذﺑﮫ. ﻣﺎھﺎﺟﺎن وآﺧرون " "Mahajan et alاﻗﺗرﺣﺎ اﻟﻧظﺎم ) ،aggregate congestion control (ACCوھﻲ آﻟﯾﺔ ﺗﺗﻔﺎﻋل ﺣﺎﻟﻣﺎ ﯾﺗم اﻟﻛﺷف ﻋن اﻟﮭﺟﻣﺎت ،وﻟﻛﻧﮫ ﻻ ﯾﻌطﻲ آﻟﯾﺔ ﻟﻠﻛﺷف ﻋن اﻟﮭﺟﻣﺎت اﻟﻣﺳﺗﻣرة .ﻟﻛل ﻣن ﻣراﻗﺑﺔ ﺣرﻛﺔ اﻟﻣرور واﻟﻛﺷف ﻋن اﻟﮭﺟوم ،ﻗد ﯾﻛون ﻛﺎﻓﯾﺎ ﻟﻠﺗرﻛﯾز ﻋﻠﻰ اﻟﺗدﻓﻘﺎت اﻟﻛﺑﯾرة XenoServices .ھو اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﻟﺷﺑﻛﺔ ﻣوزﻋﺔ ﻣن اﻟﻣﺿﯾﻔﯾن ﻋﻠﻰ اﻟﺷﺑﻛﺔ اﻟﺗﻲ ﺗﺳﺗﺟﯾب ﻟﻠﮭﺟوم ﻋﻠﻰ أي ﻣوﻗﻊ واﻟﺗﻲ ﺗﻘوم ﺑﺗﻛرار اﻟﻣوﻗﻊ ﺑﺳرﻋﺔ وﻋﻠﻰ ﻧطﺎق واﺳﻊ ﺑﯾن ﻣﻠﻘﻣﺎت ،XenoServiceﻣﻣﺎ ﯾﺗﯾﺢ ﻟﻠﻣوﻗﻊ اﻟذى ﯾﺗﻌرض ﻟﻠﮭﺟوم ﻋﻠﻰ د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1148 اﻛﺗﺳﺎب اﻟﻣزﯾد ﻣن اﻻﺗﺻﺎل ﺑﺎﻟﺷﺑﻛﺔ ﻻﺳﺗﯾﻌﺎب ﻓﯾﺿﺎن اﻟﺣزﻣﺔ .وﻋﻠﻰ اﻟرﻏم ﻣن ان ھذه اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﯾﻣﻛﻧﮭﺎ ﺿﻣﺎن ﺟودة اﻟﺧدﻣﺔ ""QoS ﺧﻼل ھﺟﻣﺎت ،DDoSﻓﻣن اﻟﻣﺷﻛوك ﻓﯾﮫ أن ﻋددا ﻛﺑﯾرا ﻣن ﻣﻘدﻣﻲ ﺧدﻣﺎت اﻹﻧﺗرﻧت ﺳوف ﺗﻌﺗﻣد ھذه اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ ﺑﺳرﻋﺔ. ﺑﻧﺎء ﻋﻠﻰ ﻣواﺻﻔﺎت اﻟﺳﻠوك اﻟﻌﺎدي ،ﯾﻣﻛﻧﻧﺎ ﻓﺻل آﻟﯾﺎت اﻟﻛﺷف ﻋن اﻟﺷذوذ اﻟﻰ standardو .trainedاﻵﻟﯾﺎت اﻟﺗﻲ ﺗﺳﺗﺧدم اﻟﻣواﺻﻔﺎت اﻟﻘﯾﺎﺳﯾﺔ " "standardﻟﻠﺳﻠوك اﻟطﺑﯾﻌﻲ ﺗﻌﺗﻣد ﻋﻠﻰ ﺑﻌض ﻣﻌﺎﯾﯾر ﺑروﺗوﻛول أو ﻣﺟﻣوﻋﺔ ﻣن اﻟﻘواﻋد .ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﺗوﺿﺢ ﻣواﺻﻔﺎت ﺑروﺗوﻛول TCPاﻟﻣﺻﺎﻓﺣﺔ اﻟﺛﻼﺛﯾﺔ اﻟﺗﻲ ﯾﺟب أن ﯾؤدﯾﮭﺎ ﻹﻧﺷﺎء اﺗﺻﺎل .TCPآﻟﯾﺔ اﻟﻛﺷف ﻋن اﻟﮭﺟوم ﯾﻣﻛن اﻻﺳﺗﻔﺎدة ﻣن ھذه اﻟﻣواﺻﻔﺎت ﻟﻠﻛﺷف ﻋن اﺗﺻﺎﻻت TCPاﻟﻧﺻف ﻣﻔﺗوﺣﺔ واﻟﺗﺧﻠص ﻣﻧﮭﺎ ﻣن ﻗﺎﺋﻣﺔ اﻻﻧﺗظﺎر .وﺗﻘﺗرح ﺑﻌض اﻷﺳﺎﻟﯾب ﻟﺗﻌزﯾز ﻣﻛدس اﻟﺑروﺗوﻛول " "protocol stackﻣﺛل SYN cookiesو ،SYN cacheﻟﻠﺗﺧﻔﯾف ﻣن ﺣدة اﻟﮭﺟﻣﺎت ﻣﺛل SYN floodاﻟذي ﯾﺳﺗﺧدم ﺑروﺗوﻛول .TCPﻣﯾزة اﻟﻣﻌﯾﺎر standardھو أﻧﮫ ﻻ ﯾﻧﺗﺞ اﯾﺟﺎﺑﯾﺎت ﻛﺎذﺑﺔ .ﻛل ﺣرﻛﺔ اﻟﻣرور اﻟﺷرﻋﻲ ﯾﺟب أن ﺗﺳﺗوﻓﻲ ﺷروط ﺳﻠوك ﻣﺣدد .اﻟﻌﯾب ھو أن اﻟﻣﮭﺎﺟﻣﯾن ﻻ ﯾزاﻟون ﯾؤدون اﻟﮭﺟﻣﺎت اﻟﻣﻌﻘدة ،واﻟﺗﻲ ﺗﺑدو ﻣن اﻟظﺎھر ﻣﻣﺎﺛﻠﮫ ﻟﻠﻣﻌﺎﯾر اﻟطﺑﯾﻌﯾﺔ ﻟﺣرﻛﺔ اﻟﻣرور ،وﺑﺎﻟﺗﺎﻟﻲ دون أن ﯾﻼﺣظﮭﺎ أﺣد. اﻵﻟﯾﺎت اﻟﺗﻲ ﺗﺳﺗﺧدم اﻟﻣﻌﯾﺎر trainedﯾﺗﻘوم ﺑﻣراﻗﺑﺔ ﺣرﻛﺔ اﻟﻣرور وﺳﻠوك اﻟﻧظﺎم وﻣن ﺛم ﺗﻧﺗﺞ اﻟﻘﯾم ذات اﻟﺣد ""threshold values اﻟﻣﺳﻣوح ﺑﮫ ﻟﻠﻣﻌﻠﻣﺎت اﻟﻣﺧﺗﻠﻔﺔ .وﺗﻌﺗﺑر ﻛﺎﻓﺔ اﻻﺗﺻﺎﻻت اﻟﺗﻲ ﺗﺗﺟﺎوز واﺣد أو أﻛﺛر )اﻋﺗﻣﺎدا ﻋﻠﻰ اﻟﻧﮭﺞ( ﻣن ھذه اﻟﻘﯾم ﺑﺎﻧﮭﺎ ﺷﺎذة .واﺣد ﻣن ھذه اﻟﻧﮭوج اﻟﻣﺳﺗﺧدﻣﺔ ﻋﻠﻰ ﻧطﺎق واﺳﻊ ھو ﺧوارزﻣﯾﺔ .CUSUM واﻧﻎ وآﺧرون .اﻗﺗرح آﻟﯾﺔ اﻟﻛﺷف ﻋﻠﻰ وﺟﮫ اﻟﺗﺣدﯾد ھﺟوم ﻓﯾﺿﺎﻧﺎت .SYNﺑﻧﻎ وآﺧرون .اﻗﺗرح آﻟﯾﺔ اﻟﻛﺷف ﻋن طرﯾﻖ رﺻد ﻋﻧوان IP اﻟﻣﺻدر .ﺗﺷو وآﺧرون .اﻗﺗرح اﻟﻛﺷف ﻋﻠﻰ أﺳﺎس CUSUMو space similarityﻓﻲ ﻛل ﻣﺿﯾف ﻓﻲ ﺷﺑﻛﺔ .P2Pﻟﯾو وآﺧرون .اﻗﺗرح ﻧظﺎم ﻣﻧﻊ اﻻﺧﺗراق اﺳﻣﮫ ) .Cumulative Sum–based Intrusion Prevention System (CSIPSﻋﻠﻰ اﻟرﻏم ﻣن ان ﻛل ھذا اﻟﻌﻣل اﻟﻣذﻛور أﻋﻼه ﻟدﯾﮭم أﻓﻛﺎر ﺟدﯾدة ﺧﺎﺻﺔ ﺑﮭم ،وﻟﻛن ﻛﺎن ھﻧﺎك ﻋﯾب واﺣد ﻣﺷﺗرك وھو اﺧﺗﯾﺎر اﻟﺣد اﻟﻣﺳﻣوح ﺑﮫ " ،"thresholdوھو أﻣر ﻣﮭم ﺣﯾث اﺧﺗﯾﺎر thresholdﻣﻧﺧﻔض ﺗؤدي إﻟﻰ اﻟﻛﺛﯾر ﻣن اﻻﯾﺟﺎﺑﯾﺎت اﻟﻛﺎذﺑﺔ ،ﻓﻲ ﺣﯾن thresholdاﻟﻌﺎﻟﻲ ﺗﻘﻠل ﻣن ﺣﺳﺎﺳﯾﺔ آﻟﯾﺔ اﻟﻛﺷف .ﻟﮭذا اﻟﺳﺑب ،ﻓﻲ ﻧﮭﺟﻧﺎ اﻟﻣﻘﺗرح ،ﻧﺳﺗﺧدم ﻣﺣرﻛﺎت ANFISاﻷﻛﺛر ذﻛﺎء. اﻟﯾﺔ اﺳﺗﺧدام CUSUMﻓﻲ اﻟﻛﺷف ﻋن ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ﻧﮭﺞ اﻟﻛﺷف اﻟﻣوﺻوف ﯾﻌﻣل ھو اﻻﺧر داﺧل ﻣﻌﻣﺎرﯾﺔ DMMﻛﻣﺎ ﺗم وﺻﻔﮭﺎ ﺳﺎﺑﻘﺎ .وﻛﻣﺎ ھو اﻟﺣﺎل ﻣﻊ ﻧﮭﺞ .CPA NSP ﯾﺷﻣل اﻟﻧﻣوذج اﻟﻣﻘﺗرح ﺗﻘﻧﯾﺔ CUSUMو ANFISﻣﻘﯾﺎس CUSUMﻟﻛل ھﺟوم ﯾﺗم إﯾﺟﺎده وﻧﻘﻠﮫ إﻟﻰ ANFISاﻟﺗﺎﺑﻊ ﻟﮫ .ﺗﺻﻧﯾف ﺣرﻛﺔ اﻟﻣرور اﻟذي ﺗم ﺗﺣﻠﯾﻠﮫ اﻟﻰ وﺿﻊ اﻟﮭﺟوم أو اﻟوﺿﻊ اﻟطﺑﯾﻌﻲ ﯾﻛون ﻋﻠﻰ أﺳﺎس إﺧراج .ANFISﯾﻌطﻲ اﻟﺷﻛل اﻟﺗﺎﻟﻲ اﻟرﺳم اﻟﺑﯾﺎﻧﻲ ﻋن اﻟﻧﻣوذج اﻟﻣﻘﺗرح .وﻛﻣﺎ ھو ﻣﺑﯾن ﻓﻲ اﻟﺷﻛل اﻟﺗﺎﻟﻲ ،ﺗم ﺟﻣﻊ ﺑﯾﺎﻧﺎت ﺣرﻛﺔ اﻟﻣرور ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ ،واﻟﺧﺻﺎﺋص اﻟﻼزﻣﺔ ﻟﻧﻣذﺟﺔ اﻟﮭﺟوم ﺑﺎﺳﺗﺧدام CUSUMﯾﺗم اﺳﺗﺧراﺟﮭﺎ واﻟﺗﻲ ﯾﺗم ﺑﻌد ذﻟك ﻧﻘﻠﮭﺎ إﻟﻰ ﻣﺣرك ANFISاﻟﻣﻘﺎﺑل.
اﻟﺧﺻﺎﺋص ﺗﺧﺗﻠف ﺑﺎﺧﺗﻼف أﻧواع اﻟﮭﺟﻣﺎت واﻟﺗﻲ ﺗم ﺗﻔﺳﯾرھﺎ ﺳﺎﺑﻘﺎ .وﺑﺎﻟﻧظر إﻟﻰ ﺣﻘﯾﻘﺔ أﻧﮫ ﻗد ﻻ ﯾﻛون ﻣن اﻟﻣﻣﻛن ﻧﻣذﺟﺔ ﺣرﻛﺔ اﻟﻣرور ﻓﻲ اﻷﻧظﻣﺔ اﻟدﯾﻧﺎﻣﯾﻛﯾﺔ واﻟﻣﻌﻘدة ﻣﺛل اﻹﻧﺗرﻧت ﺑﺎﺳﺗﺧدام ،simple parametric descriptionاﺧﺗرﻧﺎ اﻹﺻدار non-parametricﻣن ﺧوارزﻣﯾﺔ .CUSUMﺧوارزﻣﯾﺔ CUSUMﺗﺗﺣﻘﻖ dynamicallyإذا ﻛﺎﻧت اﻟﺳﻠﺳﻠﺔ زﻣﻧﯾﺔ اﻟﺗﻲ ﻟوﺣظت إﺣﺻﺎﺋﯾﺎ ﻣﺗﺟﺎﻧﺳﺔ ،وإذا ﻟم د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1149 ﺗﻛن ،ﻓﺈﻧﮫ ﯾﺟد اﻟﻧﻘطﺔ اﻟﺗﻲ ﺣدث اﻟﺗﻐﯾﯾر ﻋﻧدھﺎ وﯾﺳﺗﺟﯾب وﻓﻘﺎ ﻟذﻟك .ﺑﺎﻋﺗﺑﺎر ) ،X(nﺗدل ﻋﻠﻰ ﻗﯾﻣﺔ اﻟﮭﺟوم اﻟﻣﺗﻐﯾر ﺧﻼل ﻓﺗرة زﻣﻧﯾﺔ nth واﻷوزان اﻟﻣﻘﺎﺑﻠﺔ ﻟﮭﺎ ) ،W(nواﻟذي ھو اﻟﻘﯾﻣﺔ اﻟﻣﺳﺗﻣدة ﻣن ).X(n ﻟﻘد ﻗﻣﻧﺎ ﺑﻧﻣذﺟﺔ ) ،X(nﻣﻊ ﺧﻣس ھﺟﻣﺎت ﻣﺧﺗﻠﻔﺔ اﻟﻰ ) XUDP(n) ،XSMURF(n) ،XLAND(n) ،XSYN(nو)XICMP(n واﻟﺗﻲ ﺗﻣﺛل UDP Flood ،Smurf ،Land ،SYN Floodوھﺟﻣﺎت ،ICMP Floodﻋﻠﻰ اﻟﺗواﻟﻲ ،واﻟﺗﻲ ﺗم وﺻﻔﮭﺎ ﻣﺟﺗﻣﻌﺔ اﻟﻰ .attack characteristic variablesوﻟﻘد ﺗم اﻧﺷﺎء ھذه اﻟﻣﺗﻐﯾرات " "variablesﺑﺎﻟطرﯾﻘﺔ اﻟﺗﻲ ﺗظﮭر أي زﯾﺎدة ﻣﻔﺎﺟﺋﺔ ﻓﻲ اﻟﻘﯾﻣﺔ ﻓﻘط ﺧﻼل اﻟﮭﺟوم ،ﻣﻣﺎ ﯾﺳﻣﺢ ﻟﻠﺧوارزﻣﯾﺔ CUSUMﺑﺎﻟﻛﺷف ﻋن اﻟﺗﻐﯾرات اﻟﻣﻔﺎﺟﺋﺔ ﻓﻲ ﺣرﻛﺔ اﻟﻣرور ﺑﺷﻛل أﻛﺛر دﻗﺔ وﺗﻘﯾﯾد اﻻﻧذارات اﻟﻛﺎذﺑﺔ إﻟﻰ ﺣد ﻛﺑﯾر .ﺑﻌض ﺗﻘﻧﯾﺎت ﻛﺷف اﻟدوس اﻟﻣوﺟودة ﺑﺎﺳﺗﺧدام CUSUMﺗﺣﺗﻔظ ﺑﺳﺟل ﻓﻘط ﺑﺎﻟﺣزﻣﺔ اﻟﻣﻌدودة اﻟﺗﻲ ﻟوﺣظت ﻓﻲ اﻟﻔﺗرة اﻟﻔﺎﺻﻠﺔ .وﻟﻛن ﻓﻲ ھذه اﻟﺗﻘﻧﯾﺔ اﻟﻣﻘﺗرﺣﺔ ،ﯾﺗم ﻧﻣذﺟﺔ CUSUMﺑﺎﻟطرﯾﻘﺔ اﻟﺗﻲ ﺗﻌﻛس ﺳﻠوك اﻟﮭﺟوم .اﻟﻣﺗﻐﯾر ) X(nاﻟﻣﻘﺎﺑل ﻟﻛل ﻧوع ﻣن اﻟﮭﺟوم ﻣﺣدد .ﻓﺎن ﻗﯾﻣﺗﮫ ﺳوف ﺗﻛون ﻛﺑﯾرة ﻋﻧدﻣﺎ ﯾﻛون ھﻧﺎك ھﺟوم. ﻧﺣن ﻧﻘوم ﺑﻧﻣذﺟﺔ اﻟﺧﻣس ھﺟﻣﺎت اﻟﻣﺧﺗﻠﻔﺔ اﻟﻣذﻛورة أﻋﻼه ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ: SYN flood attack where we are taking into consideration the counts of RST, SYN and SYN/ACK packets:
Land attack where N[(SRC_IP=DST_IP)&(SYNset)] represents the number of incoming packets having the same source IP address and destination IP address with its SYN FLAG set:
Smurf attack where N (DEST_ADDR=BADDR) denotes the number of ICMP requests made to the broadcast address, exploits the vulnerability in the ICMP protocol:
UDP flooding attack where N (DEST_ADDR=HOST_IP) denotes the number of incoming UDP packets, N (SRC_ADDR=HOST_IP) denotes the number of outgoing UDP Packets and NICMP_error denotes the number of ICMP Destination Port Unreachable Error packets:
ICMP flood attack:
ﺑﻌد ﻧﻣذﺟﺔ ﻣﺗﻐﯾرات اﻟﮭﺟوم ،attack characteristic variablesﯾﺗم ﺗﻣرﯾر ھذه اﻟﻘﯾم اﻟﺗﻲ ﯾﺗم ﺟﻣﻌﮭﺎ ﻣن ﺣرﻛﺔ اﻟﻣرور ﻓﻲ اﻟوﻗت اﻟﺣﻘﯾﻘﻲ إﻟﻰ ﻣﺣرﻛﺎت .ANFIS ANFIS Engines
Fuzzy logicو neural networksﺗﺳﺎﻋد ﻋﻠﻰ اﻟﺷروع ﻓﻲ ﻗﺿﺎﯾﺎ ﻣﺛل اﻟﻐﻣوض " "vaguenessواﻻﺧﺗﻼﻓﺎت اﻟﻐﯾر ﻣﻌروﻓﺔ ﻓﻲ اﻟﻣﻌﻠﻣﺎت ﺑﺷﻛل أﻛﺛر ﻛﻔﺎءة ،وﺑﺎﻟﺗﺎﻟﻲ ﺗﺣﺳﯾن ﻣﺗﺎﻧﺔ آﻟﯾﺔ اﻟدﻓﺎع اﻟﺷﺎﻣﻠﺔ .وﻗد ﺗم ﺗطوﯾر ﺗﻘﻧﯾﺎت Neuro-fuzzyﻋن طرﯾﻖ ﻣزج ﻛﻼ ﻣن ) Artificial Neural Network (ANNو) Fuzzy Inference System (FISوﺳﻣﯾت " ."ANFISﺑﺎﺳﺗﺧدام ANFISﻣﻊ ﺧوارزﻣﯾﺔ CUSUMﯾوﻓر ﻣﯾزة ﻣزدوﺟﺔ .أوﻻ ﯾﺳﺎﻋد ﻓﻲ إزاﻟﺔ آﻟﯾﺔ رﻓﻊ اﻻﻧذار اﻟﻣﺳﺗﻧدة إﻟﻰ اﻟﺣد " "thresholdﻣن CUSUMﻣن د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1150 ﺧﻼل اﻵﻟﯾﺔ اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ ،fuzzy logic–based mechanismواﻟﺛﺎﻧﯾﺔ اﻟﻣواﻟﻔﺔ دﻗﯾﻘﺔ ﻟﻣﻌﻠﻣﺎت membership function parameters
اﻟﺗﻲ ﺗﺷﺎرك ﻓﻲ FISﺑﺎﺳﺗﺧدام ﺗﻘﻧﯾﺔ اﻟﺗﻌﻠم اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ .neural network اﻟﺷﺑﻛﺔ اﻟﺗﻛﯾﻔﯾﺔ ) (adaptive networkھﻲ ﺷﺑﻛﺔ إﻟﻰ اﻷﻣﺎم ﻣن ﺧﻣس طﺑﻘﺎت " "five-layer feed-forward networkﻓﻲ ﻛل ﻋﻘدة ﺗؤدي وظﯾﻔﺔ ﻣﻌﯾﻧﺔ ) (node functionﻋﻠﻰ اﻹﺷﺎرات اﻟواردة ﻓﺿﻼ ﻋن وﺟود ﻣﺟﻣوﻋﺔ ﻣن ﻣﻌﻠﻣﺎت fuzzy membership parameters ﺗﺗﻌﻠﻖ ﺑﮭذه اﻟﻌﻘدة .ﻓﯾﻣﺎ ﯾﻠﻲ اﻟﻘواﻋد اﻟﺗﻲ ﻟدﯾﻧﺎ ﻋﻠﻰ ﻏرار ﻛل ﻧوع ﻣن أﻧواع اﻟﮭﺟﻣﺎت اﻟﺗﻲ ﻧوﻗﺷت أﻋﻼه. RULE 1: If (X (n) is HIGH) then attack is HIGH RULE 2: If (X (n) is MEDIUM) then attack is MEDIUM RULE 3: If (X (n) is LOW) then attack is LOW
Decision-Making ﺑﻌد ﺗﻘﯾﯾم ﺟﻣﯾﻊ ﻣﺣرﻛﺎت ANFISاﻟﺧﻣﺳﺔ ﻣﻊ ﻣﻘﺎﯾس ،CUSUMوإﺧراج )اﻟﻘﯾﻣﺔ (defuzzifiedﻟﻛل ﻣﺣرك ANFISﯾﺗم ﺟﻣﻌﮭﺎ واﺗﺧﺎذ اﻟﻘرار ﻋﻠﻰ أﺳﺎس ﻗﯾم .defuzzifiedاﻋﺗﻣﺎدا ﻋﻠﻰ ﺷدة اﻟﮭﺟوم ،ﺗﻌطﻰ اﻟﻘرار اﻟﻧﮭﺎﺋﻲ ﻣﻧﺧﻔﺿﺔ أو ﻣﺗوﺳطﺔ أو ﻋﺎﻟﯾﺔ ،ﻣﻣﺎ ﯾدل ﻋﻠﻰ ﻣﺳﺗوى اﻟﻣﺧﺎطر ﻟﻠﺷﺑﻛﺔ اﻟﺗﻲ ﯾﺟري رﺻدھﺎ .ﻛﺛﺎﻓﺔ ﻛل ھﺟوم ﯾﻣﻛن أن ﯾﻌرف ﻣن إﺧراج ﻣﺣرﻛﮭﺎ ANFISاﻟﻣﻘﺎﺑل" .ﻣﻧﺧﻔض "LOW ﻣﺳﺗوى اﻟﻣﺧﺎطر ﯾﻌﻧﻲ أن ﺣرﻛﺔ اﻟﻣرور ھو ﺣرﻛﺔ اﻟﻣرور اﻟﻌﺎدﯾﺔ" .اﻟﻣﺗوﺳطﺔ "MEDIUMﻣﺳﺗوى اﻟﻣﺧﺎطر ﯾﺣذر اﻟﻣﺳؤول ﻣن ھﺟوم ﻣﺣﺗﻣل ﻗد ﯾﺣدث .وﻣﻊ ذﻟك ،ﻗد ﻻ ﯾﺣدث ﻣﺛل ھذا اﻟﮭﺟوم ﻓﻲ ﺑﻌض اﻷﺣﯾﺎن .أﯾﺿﺎ ،إذ ﻛﺎن ﻣﺳﺗوى اﻟﮭﺟوم ھو اﻟﻣﺗوﺳط ،ﻓﺎن اﻟﻧظﺎم ﻗد ﻻ ﯾﺗﺄﺛر ﻛﺛﯾرا .ﻓﻲ ھذه اﻟﺣﺎﻟﺔ ،اﻟﻣﺳؤول ﻗد ﻻ ﯾﻛون ﻣﺗﺄﻛدا ﻣﺎ إذا ﻛﺎن ﯾﻣﻛن اﺗﺧﺎذ أي إﺟراء ﻷﻧﮫ ﻻ ﯾﻌرف ﻣﺎ إذا ﻛﺎن ﺳﯾﻛون ھذا ھﺟوم ﺧطﯾر. وﻟذﻟك ،ﯾﻣﻛن ﻟﻠﻣﺳؤول اﻻﻧﺗظﺎر ﻟﺑﻌض اﻟوﻗت ،وﯾﻣﻛن اﺗﺧﺎذ اﻹﺟراءات اﻟﻼزﻣﺔ ﺑﻌد أن ﯾﺣﺻل ﻋﻠﻰ اﻹﻧذار اﻟﻣﻘﺑل .وھﻛذا ،ﻓﻲ ھذه اﻟﺣﺎﻻت، ﻓﺈﻧﮫ ھو وﺣده ﻣن ﯾﻘرر ﻻﺗﺧﺎذ اﻟﺗداﺑﯾر ﻣﺿﺎدة اﻟﻼزﻣﺔ .ﻣﺳﺗوى اﻟﻣﺧﺎطر "ﻋﺎﻟﯾﺔ ،"HIGHأﺟﮭزة اﻹﻧذار اﻟﻣﺳؤوﻟﺔ ھﻲ اﻟﺗﻲ ﺗﻘوم ﺑﺎﺗﺧﺎذ اﻹﺟراءات اﻟﻼزﻣﺔ ﻋﻠﻰ اﻟﻔور.
ﺗﺣﻠﯾل اﻹﺷﺎرات اﻟﻘﺎﺋﻣﺔ ﻋﻠﻰ اﻟﻣوﯾﺟﺎت ""Wavelet-Based Signal Analysis ﯾﺻف ﺗﺣﻠﯾل اﻟﻣوﯾﺟﺎت " "Wavelet analysisاﻹﺷﺎرات اﻟﻣدﺧﻠﺔ ﻣن ﺣﯾث اﻟﻣﻛوﻧﺎت اﻟطﯾﻔﯾﺔ .ﻓﺈﻧﮫ ﯾوﻓر وﺻﻔﺎ ﻟﻠﺗردد اﻟﻌﺎﻟﻣﻲ " global "frequencyو .no time localizationﺗوﻓر اﻟﻣوﯾﺟﺎت وﺻف اﻟوﻗت واﻟﺗردد اﻟﻣﺗزاﻣن .ھذا ﯾﺟﻌل ﻣن اﻟﺳﮭل ﺗﺣدﯾد اﻟوﻗت اﻟذي ﯾوﺟد ﻓﯾﮫ ﻣﻛوﻧﺎت ﻟﺗردد ﻣﻌﯾن .إﺷﺎرة اﻟدﺧل ﺗﺣﺗوي ﻋﻠﻰ ﻛل ﻣن إﺷﺎرة اﻟوﻗت اﻟﻣوﺿﻌﯾﺔ اﻟﺷﺎذة ""time-localized anomalous signals واﻟﺿوﺿﺎء ﻓﻲ اﻟﺧﻠﻔﯾﺔ .ﻣن أﺟل اﻟﻛﺷف ﻋن ﺣرﻛﺔ ﻣرور اﻟﮭﺟوم ،اﻟﻣوﯾﺟﺎت ﺗﻔﺻل إﺷﺎرات اﻟوﻗت اﻟﻣوﺿﻌﯾﺔ ""time-localized signals ھذه وﻣﻛوﻧﺎت اﻟﺿوﺿﺎء .وﺟود ﺣﺎﻻت ﺷﺎذة ﯾﻣﻛن ﺗﺣدﯾدھﺎ ﻣن ﺧﻼل ﺗﺣﻠﯾل اﻟطﺎﻗﺔ ﻓﻲ ﻛل ﻧﺎﻓذة طﯾﻔﯾﮫ .وﺟود اﻟﺷذوذ ﻗد ﯾﻌﻧﻰ ﺧطﺄ ﻓﻲ اﻻﻋداد أو ﻓﺷل ﻓﻲ اﻟﺷﺑﻛﺔ ،flash events ،وھﺟﻣﺎت ﻣﺛل دوس ،اﻟﺦ.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1151
10.8اﻟﺘﺪاﺑﯿﺮ اﻟﻤﻀﺎدة ﺿﺪ ھﺠﻤﺎت دوس )(DoS/DDoS Countermeasure ھﻧﺎك ﺛﻼﺛﺔ أﻧواع ﻣن اﻻﺳﺗراﺗﯾﺟﯾﺎت اﻟﻣﺿﺎد اﻟﻣﺗﺎﺣﺔ ﺿد ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ /دوس: اﻣﺘﺼﺎص اﻟﮭﺠﻮم )(Absorb the attack اﺳﺗﺧدام ﻗدرة إﺿﺎﻓﯾﺔ ﻻﺳﺗﯾﻌﺎب اﻟﮭﺟوم وھذا ﯾﺗطﻠب اﻟﺗﺧطﯾط اﻟﻣﺳﺑﻖ .ﻓﮭو ﯾﺗطﻠب ﻣوارد إﺿﺎﻓﯾﺔ .اﻟﻌﯾب اﻟوﺣﯾد اﻟذي ﯾرﺗﺑط ﺑﮭذا ھﻲ ﺗﻛﻠﻔﺔ اﻟﻣوارد اﻹﺿﺎﻓﯾﺔ ،ﺣﺗﻰ ﻋﻧدﻣﺎ ﻻ ﺗﻛون أي ﻣن اﻟﮭﺟﻣﺎت اﻟﺟﺎرﯾﺔ. اﻟﺘﻨﺎزل ﻋﻦ اﻟﺨﺪﻣﺎت اﻟﻐﯿﺮ ﺣﺮﺟﮫ ""Degrade services إذا ﻛﺎن ﻣن ﻏﯾر اﻟﻣﻣﻛن اﻟﺣﻔﺎظ ﻋﻠﻰ ﺧدﻣﺎﺗك ﺗﻌﻣل ﺧﻼل اﻟﮭﺟوم ،ﻓﺈﻧﮭﺎ ﻓﻛرة ﺟﯾدة ﻟﻠﺣﻔﺎظ ﻋﻠﻰ اﻷﻗل ﻋﻠﻰ وظﯾﻔﺔ اﻟﺧدﻣﺎت اﻟﮭﺎﻣﺔ " critical ."serviceﻟﮭذا ،ﺗﺣﺗﺎج أوﻻ اﻟﺗﻌرف ﻋﻠﻰ اﻟﺧدﻣﺎت اﻷﺳﺎﺳﯾﺔ .ﺛم ﯾﻣﻛﻧك ﺗﺧﺻﯾص اﻟﺷﺑﻛﺔ ،واﻟﻧظم ،وﺗﺻﺎﻣﯾم اﻟﺗطﺑﯾﻖ ﺑﻣﺛل ھذه اﻟطرﯾﻘﺔ ﻟﻠﺣط ﻣن اﻟﺧدﻣﺎت ﻏﯾر ھﺎﻣﮫ " ."noncritical servicesوھذا ﻗد ﯾﺳﺎﻋدك ﻟﻠﺣﻔﺎظ ﻋﻠﻰ وظﯾﻔﺔ اﻟﺧدﻣﺎت اﻟﺣﯾوﯾﺔ .إذا ﻛﺎن ﺣﻣل اﻟﮭﺟوم ﺛﻘﯾل ﻟﻠﻐﺎﯾﺔ ،ﻓﻘد ﺗﺣﺗﺎج إﻟﻰ ﺗﻌطﯾل اﻟﺧدﻣﺎت اﻟﻐﯾر اﻟﺣرﺟﺔ ﻣن أﺟل اﻻﺣﺗﻔﺎظ ﺑوظﯾﻔﺔ اﻟﺧدﻣﺎت اﻟﺣﯾوﯾﺔ ﻣن ﺧﻼل ﺗوﻓﯾر ﻗدرات إﺿﺎﻓﯾﺔ ﻟﮭم. اﻏﻼق اﻟﺨﺪﻣﺎت ""Shut down services ﺑﺑﺳﺎطﺔ ﯾﻣﻛﻧك اﻏﻼق ﺟﻣﯾﻊ اﻟﺧدﻣﺎت ﺣﺗﻰ ﯾﮭدأ اﻟﮭﺟوم .ﻋﻠﻰ اﻟرﻏم ﻣن أﻧﮫ ﻗد ﻻ ﯾﻛون اﻟﺧﯾﺎر اﻷﻣﺛل ،ﻓﺈﻧﮫ رﺑﻣﺎ ﯾﻛون ردا ﻣﻌﻘوﻻ ﺑﺎﻟﻧﺳﺑﺔ ﻟﻠﺑﻌض. اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﺿد ھﺟﻣﺎت دوس ""DDoS Attack Countermeasures ھﻧﺎك اﻟﻌدﯾد ﻣن اﻟطرق ﻟﻠﺗﺧﻔﯾف ﻣن آﺛﺎر ھﺟﻣﺎت دوس .ھﻧﺎك اﻟﻌدﯾد ﻣن ھذه اﻟﺣﻠول واﻷﻓﻛﺎر اﻟﺗﻲ ﺗﺳﺎﻋد ﻋﻠﻰ اﻟوﻗﺎﯾﺔ ﻣن ﺑﻌض ﺟواﻧب ھﺟوم دوس .وﻣﻊ ذﻟك ،ﻻ ﺗوﺟد وﺳﯾﻠﺔ واﺣدة وﺣدھﺎ ﯾﻣﻛﻧﮭﺎ أن ﺗوﻓر اﻟﺣﻣﺎﯾﺔ ﺿد ﺟﻣﯾﻊ ھﺟﻣﺎت دوس .وﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،ﻓﺎن اﻟﻣﮭﺎﺟﻣﯾن ﻛﺛﯾرا ﻣﺎ ﯾﻘوﻣون ﺑﺗطوﯾر اﻟﻌدﯾد ﻣن ھﺟﻣﺎت DDoSاﻟﺟدﯾدة ﻟﺗﺟﺎوز ﻛل ﺟدﯾد ﻣن اﻟﻣﺿﺎدات اﻟﻣﺳﺗﺧدﻣﺔ .ﻓﻲ اﻷﺳﺎس ،ھﻧﺎك ﺳﺗﺔ ﻣﺿﺎدات ﺿد ھﺟﻣﺎت :DDoS ﺣﻣﺎﯾﺔ اﻷھداف اﻟﺛﺎﻧوﯾﺔ "."Protect secondary targets إﺑطﺎل اﻟﻣﻌﺎﻟﺟﯾن "."Neutralize handlers ﻣﻧﻊ اﻟﮭﺟﻣﺎت اﻟﻣﺣﺗﻣﻠﺔ "."Prevent potential attacks ﺗﺷﺗﯾت اﻟﮭﺟﻣﺎت "."Deflect attacks ﺗﺧﻔﯾف اﻟﮭﺟﻣﺎت "."Mitigate attacks اﻟطب اﻟﺷرﻋﻲ ﺑﻌد اﻟﮭﺟوم "."Post-attack forensicsد .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1152
ﺣﻣﺎﯾﺔ اﻟﺿﺣﺎﯾﺎ اﻟﺛﺎﻧوﯾﺔ ""DoS/DDoS Countermeasures: Protect Secondary victims اﻟﻤﺴﺘﺨﺪﻣﯿﻦ اﻟﻔﺮدﯾﯿﻦ ""Individual Users ﯾﻣﻛن ﺣﻣﺎﯾﺔ اﻟﺿﺣﺎﯾﺎ اﻟﺛﺎﻧوﯾﯾن اﻟﻣﺣﺗﻣﻠﯾن ﻣن ھﺟﻣﺎت ،DDoSوﺑﺎﻟﺗﺎﻟﻲ ﻣﻧﻌﮭم ﻣن ان ﯾﺻﺑﺣوا زوﻣﺑﻰ ﻓﻲ ﯾد اﻟﻘراﺻﻧﺔ .ھذه اﻟﻣطﺎﻟب ﻛﺛﻔت اﻟوﻋﻲ اﻷﻣﻧﻲ ،واﺳﺗﺧدام ﺗﻘﻧﯾﺎت اﻟوﻗﺎﯾﺔ .إذا ﻛﺎن اﻟﻣﮭﺎﺟﻣﯾن ﻏﯾر ﻗﺎدرﯾن ﻋﻠﻰ اﺧﺗراق أﻧظﻣﺔ اﻟﺿﺣﺎﯾﺎ اﻟﺛﺎﻧوﯾﺔ ﻓﻼ ﯾﻣﻛن إﺻﺎﺑﺔ اﻟﺿﺣﺎﯾﺎ ﺑدوس ،ﯾﺟب ﻋﻠﻰ اﻟﻌﻣﻼء ﻣراﻗﺑﺔ أﻣﻧﮭم ﺑﺷﻛل ﻣﺳﺗﻣر .اﻟﺗﺣﻘﻖ ﯾﻧﺑﻐﻲ أن ﯾﺗم ﻟﺿﻣﺎن أﻧﮫ ﻟن ﯾﺗم ﺗﺛﺑﯾت أي ﻣن ﺑراﻣﺞ agentﻋﻠﻰ أﻧظﻣﺗﮭم وﻻ ﯾﺗم إرﺳﺎل ﺣرﻛﺔ اﻟﻣرور اﻟوﻛﯾل دوس إﻟﻰ اﻟﺷﺑﻛﺔ .ﺗﺛﺑﯾت ﺑراﻣﺞ ﻣﻛﺎﻓﺣﺔ اﻟﻔﯾروﺳﺎت وﻣﻛﺎﻓﺣﺔ طروادة واﻟﺣﻔﺎظ ﻋﻠﻰ ھذه ﻣﺣدﺛﺔ ﯾﺳﺎﻋد ﻓﻲ ھذا اﻟﺻدد ،وﻛذﻟك ﺗرﻛﯾب ﺗﺻﺣﯾﺣﺎت " "patchesاﻟﺑرﻣﺟﯾﺎت ﻟﻣﻌﺎﻟﺟﺔ ﻣواطن اﻟﺿﻌف اﻟﻣﻛﺗﺷﻔﺔ ﺣدﯾﺛﺎ .ﻣﻧذ ظﮭور ھذه اﻟﺗداﺑﯾر اﻟﮭﺎﺋﻠﺔ اﻟﺗﻲ اﺻﺑﺣت ﻛﺟزء أﺳﺎﺳﻲ ﻣن أﻧظﻣﺔ اﻟﺣوﺳﺑﺔ )اﻷﺟﮭزة واﻟﺑرﻣﺟﯾﺎت( ﺗوﻓر اﻟﺣﻣﺎﯾﺔ ﺿد اﻻﻛواد اﻟﺧﺑﯾﺛﺔ .ھذا ﯾﻣﻛن أن ﯾﻘﻠل إﻟﻰ ﺣد ﻛﺑﯾر ﻣن ﺧطر اﺧﺗراق اﻷﻧظﻣﺔ اﻟﺛﺎﻧوﯾﺔ .اﻟﻣﮭﺎﺟﻣﯾن ﺳوف ﻻ ﯾﻛون ﻟدﯾﮭم ﺷﺑﻛﺔ ھﺟوم ﯾﻧطﻠﻘون ﻣﻧﮭﺎ ﻟﺷن ھﺟﻣﺎت دوس. ﻣﻘﺪﻣﻲ ﺧﺪﻣﺎت اﻟﺸﺒﻜﺔ ""Network Service Providers ﯾﻣﻛن ﻟﻣﻘدﻣﻲ اﻟﺧدﻣﺔ وﻣﺳؤوﻟﻲ اﻟﺷﺑﻛﺔ اﻟﻠﺟوء إﻟﻰ اﻟﺗﺳﻌﯾر اﻟدﯾﻧﺎﻣﯾﻛﻲ " "dynamic pricingﻟﻼﺳﺗﺧدام ﺷﺑﻛﺗﮭم ﺑﺣﯾث ان اﻟﺿﺣﺎﯾﺎ اﻟﺛﺎﻧوﯾﯾن اﻟﻣﺣﺗﻣﻠﯾن ﯾﺻﺑﺣوا أﻛﺛر ﻧﺷﺎطﺎ ﻓﻲ ﻣﻧﻊ أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر اﻟﺧﺎﺻﺔ ﺑﮭم ﻣن أن ﯾﺻﺑﺣوا ﺟزءا ﻣن ھﺟوم دوس .ﯾﻣﻛن ﻟﻣﻘدﻣﻲ اﻟﺧدﻣﺎت اﻟﺗﻘﺎﺿﻲ وﻓﻘﺎ ﻻﺳﺗﺧدام ﻣواردھﺎ .وھذا ﻣن ﺷﺄﻧﮫ إﺟﺑﺎر ﻣزودي اﻟﺧدﻣﺔ اﻟﺳﻣﺎح ﻟﻠﻌﻣﻼء اﻟﺷرﻋﯾﯾن ﻓﻘط ﻋﻠﻰ ﺷﺑﻛﺎﺗﮭم .ﻓﻲ اﻟوﻗت اﻟذي ﯾﺗم ﺗﻐﯾﯾر أﺳﻌﺎر اﻟﺧدﻣﺎت ،ﯾﺟوز ﻟﻠﺿﺣﺎﯾﺎ اﻟﺛﺎﻧوﯾﺔ اﻟﻣﺣﺗﻣﻠﺔ اﻟذﯾن ﯾدﻓﻌون ﻟﻠوﺻول إﻟﻰ اﻹﻧﺗرﻧت ان ﯾﺻﺑﺣوا أﻛﺛر ﻣﻌرﻓﺔ ﺑﺣرﻛﺔ اﻟﻣرور اﻟﺧطﯾرة ،ورﺑﻣﺎ اﻟﻘﯾﺎم ﺑﻌﻣل أﻓﺿل ﻟﺿﻣﺎن ﻋدم اﻟﻣﺷﺎرﻛﺔ ﻓﻲ ھﺟوم دوس. اﺑطﺎل اﻟﻣﻌﺎﻟﺟﯾن ""DoS/DDoS Countermeasures: Detect and Neutralize Handler ھﺟوم دوس ﯾﻣﻛن وﻗﻔﮭﺎ ﻋن طرﯾﻖ اﻟﻛﺷف وﺗﺣﯾﯾد اﻟﻣﻌﺎﻟﺟﺎت " ،"Handlerواﻟﺗﻲ ھم وﺳطﺎء ﻟﻠﻣﮭﺎﺟﻣﯾن ﻟﺑدء اﻟﮭﺟﻣﺎت .إﯾﺟﺎد ووﻗف اﻟﻣﻌﺎﻟﺟﺎت ""Handlerھو وﺳﯾﻠﺔ ﺳرﯾﻌﺔ وﻓﻌﺎﻟﺔ ﻟﻠﻣواﺟﮭﺔ ﺿد اﻟﮭﺟوم .وﯾﻣﻛن أن ﯾﺗم ذﻟك ﺑﺎﻟطرق اﻟﺗﺎﻟﯾﺔ: دراﺳﺔ ﺑروﺗوﻛوﻻت اﻻﺗﺻﺎل وأﻧﻣﺎط ﺣرﻛﺔ اﻟﻣرور ﺑﯾن اﻟﻣﻌﺎﻟﺟﺎت واﻟﻌﻣﻼء أو اﻟﻣﻌﺎﻟﺟﺎت واﻟوﻛﻼء ﻣن أﺟل ﺗﺣدﯾد ﻋﻘد اﻟﺷﺑﻛﺔاﻟﺗﻲ ﻗد ﺗﻛون ﻣﺻﺎﺑﺔ ﺑﺎﻟﻣﻌﺎﻟﺞ. ھﻧﺎك ﻋﺎدة ﻋدد ﻗﻠﯾل ﻣن ﻣﻌﺎﻟﺟﺎت دوس " "DoS handlerﻟﻠﻧﺷر ﺑﺎﻟﻣﻘﺎرﻧﺔ ﻣﻊ ﻋدد اﻟوﻛﻼء " ،"agentوﺑﺎﻟﺗﺎﻟﻲ ﺗﺣﯾﯾد ﺑﺿﻊﻣﻌﺎﻟﺟﺎت ﻣن اﻟﻣﻣﻛن ان ﯾﺟﻌل اﻟﻌدﯾد ﻣن اﻟوﻛﻼء ﻋدﯾﻣﺔ اﻟﻔﺎﺋدة .ﻣﻧذ ان أﺻﺑﺢ اﻟوﻛﻼء ﯾﺷﻛﻠون ﺟوھر ﻗدرة اﻟﻣﮭﺎﺟم ﻟﻧﺷر اﻟﮭﺟوم، ﻓﺎن ﺗﺣﯾﯾد اﻟﻣﻌﺎﻟﺟﺎت ﻟﻣﻧﻊ اﻟﻣﮭﺎﺟﻣﯾن ﻣن اﺳﺗﺧداﻣﮭﺎ ھو اﺳﺗراﺗﯾﺟﯾﺔ ﻓﻌﺎﻟﺔ ﻟﻣﻧﻊ ھﺟﻣﺎت .DDoS
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1153 اﻛﺗﺷﺎف اﻟﮭﺟﻣﺎت اﻟﻣﺣﺗﻣﻠﺔ "."DoS/DDoS Countermeasures: Detect potential attacks ﻟﻠﻛﺷف أو ﻣﻧﻊ ھﺟوم دوس اﻟﻣﺣﺗﻣل واﻟﺗﻲ ﯾﺗم إطﻼﻗﮭﺎ ،ﯾﻛون ﻣن ﺧﻼل اﺳﺗﺧدام اﻻﺗﻲ،engress filtering ،ingress filtering : و.TCP intercept Ingress filtering ﺗﺻﻔﯾﺔ اﻟدﺧول " "ingress filteringﻻ ﺗوﻓر اﻟﺣﻣﺎﯾﺔ ﺿد ھﺟﻣﺎت اﻟﻔﯾﺿﺎﻧﺎت اﻟﻘﺎدﻣﺔ ﻣن prefixesاﻟﺻﺎﻟﺣﺔ )(IP addresses؛ ﺑدﻻ ﻣن ذﻟك ،ﻓﺈﻧﮫ ﯾﺣظر اﻟﻣﮭﺎﺟم ﻣن ﺷن ھﺟوم ﺑﺎﺳﺗﺧدام ﻋﻧﺎوﯾن اﻟﻣﺻدر اﻟﻣزورة اﻟﺗﻲ ﻻ ﺗطﯾﻊ ﻗواﻋد ﺗرﺷﯾﺢ اﻟدﺧول "."ingress filtering rules ﻋﻧدﻣﺎ ﯾﻘوم ﻣوﻓر ﺧدﻣﺔ إﻧﺗرﻧت ) (ISPﺑﺗﺟﻣﯾﻊ إﻋﻼﻧﺎت اﻟﻣرﺳل اﻟﻣوﺟﮫ اﻟﻰ ﺷﺑﻛﺎت اﻟﻣﺻب اﻟﻣﺗﻌددة ،ﺛم ﯾﺟب ﺗطﺑﯾﻖ ﻓﻠﺗرة ﺣرﻛﺔ اﻟﻣرور ﺻﺎرﻣﺔ ﻣن أﺟل ﻣﻧﻊ ﺣرﻛﺔ اﻟﻣرور اﻟﻘﺎدﻣﺔ ﻣن ﺧﺎرج اﻹﻋﻼﻧﺎت اﻟﻣﺟﻣﻌﺔ .ﻣﯾزة اﻟﻔﻠﺗرة ھذه ھو أﻧﮫ ﯾﺗﯾﺢ ﺗﺗﺑﻊ اﻟﻣﻧﺷﺊ ﻟﻠﻣﺻدر اﻟﺣﻘﯾﻘﻲ ،ﺣﯾث ﯾﺣﺗﺎج اﻟﻣﮭﺎﺟم اﺳﺗﺧدام ﻋﻧوان ﻣﺻدر ﺻﺎﻟﺢ وﯾﻣﻛن اﻟوﺻول إﻟﯾﮫ ﺑﺻورة ﻣﺷروﻋﺔ. Engress filtering ﻓﻲ ھذا اﻷﺳﻠوب ﻣن ﻓﻠﺗرة ﺣرﻛﺔ اﻟﻣرور ،رؤوس ﺣزم "IP packet headers" IPاﻟﺗﻲ ﺗﺗرك اﻟﺷﺑﻛﺔ ﯾﺗم ﻓﺣﺻﮭﺎ ﻓﻲ اﻟﺑداﯾﺔ واﻟﻔﺣص ﻟﻣﻌرﻓﺔ ﻣﺎ إذا ﻛﺎﻧت ﺗﻠﺑﻲ ﻣﻌﺎﯾﯾر ﻣﻌﯾﻧﺔ .اﻟﺣزم ﻓﻘط اﻟﺗﻲ ﺗﻠﺑﻰ اﻟﻣﻌﺎﯾﯾر ﯾﺗم ﺗوﺟﯾﮭﺎ ﺧﺎرج اﻟﺷﺑﻛﺔ اﻟﻔرﻋﯾﺔ " "sub-networkاﻟﺗﻲ ﻧﺷﺄت ﻣﻧﮫ; اﻣﺎ اﻟﺣزم اﻟﺗﻲ ﻟم ﺗﻠﺑﻰ اﻟﻣﻌﺎﯾر ﻻ ﯾﺗم إرﺳﺎﻟﮭﺎ .ھﻧﺎك اﺣﺗﻣﺎل ﻛﺑﯾر ﺑﺄن ﯾﻛون ﻋﻧﺎوﯾن ﻣﺻدر اﻟﺣزم اﻟﻣﺳﺗﺧدﻣﺔ ﻓﻲ ھﺟوم دوس ﻟن ﺗﻣﺛل ﻋﻧوان اﻟﻣﺻدر ﻟﻣﺳﺗﺧدم ﺻﺎﻟﺢ ﻋﻠﻰ اﻟﺷﺑﻛﺔ اﻟﻔرﻋﯾﺔ اﻟﻣﺣددة ﻣﺛل ھﺟﻣﺎت DDoSواﻟﺗﻲ ﻏﺎﻟﺑﺎ ﻣﺎ ﺗﺳﺗﺧدم ﻋﻧﺎوﯾن IPﻣزوره .ﺳﯾﺗم ﺗﺟﺎھل اﻟﻌدﯾد ﻣن ﺣزم دوس ﻣﻊ ﻋﻧﺎوﯾن IPاﻟﻣزورة ،إذا ﻗﺎم ﻣﺳؤول اﻟﺷﺑﻛﺔ ﺑوﺿﻊ ﺟدار اﻟﺣﻣﺎﯾﺔ ﻓﻲ اﻟﺷﺑﻛﺔ اﻟﻔرﻋﯾﺔ ﻟﺗﺻﻔﯾﺔ أي ﺣرﻛﺔ ﻣرور ﻣن دون ﻋﻧوان IPاﻟﻣﺻدر ﻟﻠﺷﺑﻛﺔ اﻟﻔرﻋﯾﺔ .ﺗﺻﻔﯾﺔ اﻟﺧروج ﯾﺿﻣن أن ﺣرﻛﺔ اﻟﻣرور اﻟﻐﯾر ﻣﺻرح ﺑﮭﺎ أو اﻟﺿﺎرة ﻟن ﺗﺗرك أﺑدا ﺷﺑﻛﺔ اﻻﺗﺻﺎل اﻟداﺧﻠﯾﺔ. إذا ﻛﺎن ﺧﺎدم اﻟوﯾب ﻋرﺿﺔ ﻟﻠﮭﺟوم ﻣن ﻗﺑل ﺛﻐرات zero day attackواﻟﻣﻌروﻓﺔ ﻓﻘط ﻟﻣﺟﺗﻣﻊ اﻟﻘراﺻﻧﺔ ،underground hacker ﺣﺗﻰ ﻟو ﺗم ﺗطﺑﯾﻖ ﻛﺎﻓﺔ اﻟﺗﺻﺣﯾﺣﺎت اﻟﻣﺗﺎﺣﺔ ،ﻓﺎﻧﮫ ﯾﻣﻛن أن ﯾﻛون اﻟﺧﺎدم ﻻ ﯾزال ﻣﻌرض ﻟﻼﺧﺗراق .وﻣﻊ ذﻟك ،إذا ﺗم ﺗﻣﻛﯾن ﺗﺻﻔﯾﺔ اﻟﺧروج، ﺳﻼﻣﺔ اﻟﻧظﺎم ﯾﻣﻛن اﻧﻘﺎذه ﻣن ﻗﺑل ﻋدم ﻗﺑول اﻟﺧﺎدم ﻟﺗﺄﺳﯾس اﺗﺻﺎل إﻟﻰ اﻟﻣﮭﺎﺟم .وھذا ﻣن ﺷﺄﻧﮫ أﯾﺿﺎ ان ﯾﺣد ﻣن ﻓﻌﺎﻟﯾﺔ اﻟﻌدﯾد ﻣن اﻟﺣﻣوﻻت اﻟﻣﺳﺗﺧدﻣﺔ ﻓﻲ اﻟﻣﺂﺛر " "exploitاﻟﺷﺎﺋﻌﺔ .وﯾﻣﻛن ﺗﺣﻘﯾﻖ ذﻟك ﻋن طرﯾﻖ ﺗﻘﯾﯾد اﻟﺗﻌرض ﻟﺣرﻛﺔ اﻟﻣرور اﻟﺻﺎدرة اﻟﻣطﻠوﺑﺔ ﻓﻘط ،ﻣﻣﺎ ﯾﺣد ﻣن ﻗدرة اﻟﻣﮭﺎﺟم ﻋﻠﻰ اﻻﺗﺻﺎل ﻣﻊ اﻷﻧظﻣﺔ اﻷﺧرى واﻟوﺻول إﻟﻰ اﻷدوات اﻟﺗﻲ ﺗﻣﻛن ﻣن اﻟدﺧول إﻟﻰ اﻟﺷﺑﻛﺔ. TCP intercept TCP interceptھﻲ ﻣﯾزة ﻟﻔﻠﺗرة ﺣرﻛﺔ اﻟﻣرور وﺗﮭدف إﻟﻰ ﺣﻣﺎﯾﺔ ﻣﺟﺎرﯾر TCPﻣن ھﺟوم ،TCP SYN-floodingوھو ﻧوع ﻣن ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺎت .ﻓﻲ ھﺟوم ،TCP SYN-floodingاﻟﻣﮭﺎﺟم ﯾرﺳل ﻛم ھﺎﺋل ﻣن طﻠﺑﺎت اﻻﺗﺻﺎﻻت ﻣﻊ ﻋﻧﺎوﯾن ﻏﯾر ﻗﺎﺑﻠﺔ ﻟﻠوﺻول .وﻛﻣﺎ أن اﻟﻌﻧﺎوﯾن ﻟﯾﺳت ﻗﺎﺑﻠﺔ ﻟﻠوﺻول ،ﻓﻼ ﯾﻣﻛن ﺗﺄﺳﯾس أﺗﺻﺎل وﺗﺑﻘﻰ دون ﺣل .ھذا اﻟﻛم اﻟﮭﺎﺋل ﻣن اﻻﺗﺻﺎﻻت اﻟﻣﻔﺗوﺣﺔ اﻟﺗﻲ ﻟم ﺗﺣل ﯾﺛﻘل ﻣن ﻛﺎھل اﻟﺧﺎدم وﯾﻣﻛن أن ﯾﺗﺳﺑب ذﻟك ﻓﻲ إﻧﻛﺎر اﻟﺧدﻣﺔ ﺣﺗﻰ ﻟﻠطﻠﺑﺎت اﻟﺻﺎﻟﺣﺔ .وﻧﺗﯾﺟﺔ ﻟذﻟك ،ﻓﺎن اﻟﻣﺳﺗﺧدﻣﯾن اﻟﺷرﻋﯾﯾن ﻗد ﻻ ﯾﻛوﻧوا ﻗﺎدرﯾن ﻋﻠﻰ اﻻﺗﺻﺎل ﺑﺷﺑﻛﺔ اﻹﻧﺗرﻧت ،اﻟوﺻول إﻟﻰ اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﺑﺎﺳﺗﺧدام ﺧدﻣﺔ ﺑروﺗوﻛول ﻧﻘل اﻟﻣﻠﻔﺎت ،وھﻠم ﺟرا .ﻟﮭذا اﻟﺳﺑب ،أدﺧﻠت ﻣﯾزة .TCP intercept ﻓﻲ اﻟوﺿﻊ ،TCP interceptاﻟﺑرﻣﺟﯾﺎت ﺗﻌﺗرض ﺣزم SYNاﻟﻣرﺳﻠﺔ ﻣن ﻗﺑل اﻟﻌﻣﻼء إﻟﻰ اﻟﻣﻠﻘم وﻣن ﺛم ﺗﻘوم ﺑﺗطﺎﺑﻘﮭﺎ ﻣﻊ ﻗﺎﺋﻣﺔ وﺻول ﻣوﺳﻌﺔ " ."extended access listإذا ﺗم اﻟﻌﺛور ﻋﻠﻰ اﻟﺗطﺎﺑﻖ ،ﻓﻧﯾﺎﺑﺔ ﻋن ﺧﺎدم اﻟوﺟﮭﺔ ،ﻓﺎن اﻟﺑرﻧﺎﻣﺞ ﯾﻘوم ﺑﺈﻧﺷﺎء اﺗﺻﺎل ﻣﻊ اﻟﻌﻣﯾل. ﻣﺷﺎﺑﮭﺔ ﻟﮭذا ،اﻟﺑرﻧﺎﻣﺞ ﯾﻘوم أﯾﺿﺎ ﺑﺎﺗﺻﺎل ﻣﻊ ﻣﻠﻘم اﻟوﺟﮭﺔ ﻧﯾﺎﺑﺔ ﻋن اﻟﻌﻣﯾل .وﺣﺎﻟﻣﺎ ﯾﺗم ﺗﺄﺳﯾس اﺗﺻﺎﻻت اﻟﻧﺻف ،ﯾﻘوم اﻟﺑرﻧﺎﻣﺞ ﺑﺟﻣﻌﮭم ﻣﻊ ﺑﻌض .وھﻛذا ،ﻓﺈن ﺑرﻧﺎﻣﺞ TCP interceptﯾﻣﻧﻊ ﻣﺣﺎوﻻت اﻻﺗﺻﺎل اﻟوھﻣﯾﺔ ﻣن اﻟوﺻول إﻟﻰ اﻟﺧﺎدم .ﯾﻌﻣل ﺑرﻧﺎﻣﺞ TCP intercept ﻛوﺳﯾط ﺑﯾن اﻟﺧﺎدم واﻟﻌﻣﯾل ﻓﻲ ﺟﻣﯾﻊ أﻧﺣﺎء اﻻﺗﺻﺎل. ﺗﺷﺗﯾت اﻟﮭﺟﻣﺎت ""DoS/DDoS Countermeasures: Deflect Attacks اﻷﻧظﻣﺔ اﻟﺗﻲ ﻟدﯾﮭﺎ أﻣن ﺟزﺋﻲ ﻓﻘط ،وﯾﻣﻛن أن ﺗﻛون ﺑﻣﺛﺎﺑﺔ إﻏراء ﻟﻠﻣﮭﺎﺟﻣﯾن ﯾطﻠﻖ ﻋﻠﯾﮭﺎ .honeypotsوھذا اﻟﻣطﻠوب ﺑﺣﯾث ﺳوف ﯾﻘوم اﻟﻣﮭﺎﺟﻣﯾن ﺑﻣﮭﺎﺟﻣﺔ ،honeypotsواﻟﻧظﺎم اﻟﻔﻌﻠﻲ ﺳوف ﯾﻛون آﻣن Honeypots .ﻻ ﺗﻘوم ﺑﺣﻣﺎﯾﺔ اﻟﻧظﺎم اﻟﻔﻌﻠﻲ ﻓﻘط ﻣن اﻟﻣﮭﺎﺟﻣﯾن ،وﻟﻛﻧﮭﺎ أﯾﺿﺎ ﺗﺗﺑﻊ اﻟﺗﻔﺎﺻﯾل ﺣول ﻣﺎ ﺗﺣﺎول ﺗﺣﻘﯾﻘﮫ ،ﻣن ﺧﻼل ﺗﺧزﯾن اﻟﻣﻌﻠوﻣﺎت ﻓﻲ ﺳﺟل واﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﺗﻌﻘب أﻧﺷطﺗﮭم .وھذا ﻣﻔﯾد ﻟﺟﻣﻊ اﻟﻣﻌﻠوﻣﺎت اﻟﻣﺗﻌﻠﻘﺔ ﺑﺄﻧواع اﻟﮭﺟﻣﺎت اﻟﺗﻲ ﺗﺣﺎول اﻟﮭﺟوم ﻋﻠﯾك واﻷدوات اﻟﻣﺳﺗﺧدﻣﺔ ﻓﻲ ھذه اﻟﮭﺟﻣﺎت.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1154 ﺗﻛﺷف اﻟﺑﺣوث اﻟﺗﻲ أﺟرﯾت ﻣؤﺧرا أن honeypotsﯾﻣﻛن ﺗﻘﻠﯾدھﺎ ﺟﻣﯾﻊ ﺟواﻧب اﻟﺷﺑﻛﺔ ﺑﻣﺎ ﻓﻲ ذﻟك ﺧوادم اﻟوﯾب ،ﺧدﻣﺔ اﻟﺑرﯾد ،واﻟﻌﻣﻼء. وﯾﺗم ذﻟك ﻟﻛﺳب اﻻھﺗﻣﺎم ﻣن ﻣﮭﺎﺟﻣﯾن دوس .ﺗم ﺗﺻﻣﯾم honeypotsﻟﺟذب ﻣﮭﺎﺟﻣﻲ دوس ،ﺑﺣﯾث ﯾﻣﻛن ﺗﺛﺑﯾت اﻟﻣﻌﺎﻟﺞ " "handlerأو أﻛواد اﻟوﻛﯾل " "agentداﺧل .honeypotوھذا ﯾوﻗف اﻟﻧظم اﻟﺷرﻋﯾﺔ ﻣن ان ﯾﺗم اﺧﺗراﻗﮭﺎ .وﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ ذﻟك ،ﺗﻣﻧﺢ ھذه اﻟطرﯾﻘﺔ ﻣﺎﻟك ﻣﺻﯾدة وﺳﯾﻠﺔ ﻟﻼﺣﺗﻔﺎظ ﺑﺳﺟل ﻟﻠﻣﻌﺎﻟﺞ " "handlerو/أو ﻧﺷﺎط اﻟوﻛﯾل " ."agentوھذه اﻟﻣﻌرﻓﺔ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﻠدﻓﺎع ﺿد أي ھﺟﻣﺎت دوس ﻣﺳﺗﻘﺑﻠﯾﮫ. ھﻧﺎك ﻧوﻋﺎن ﻣﺧﺗﻠﻔﺎن ﻣن :honeypots Low-interaction honeypots High-interaction honeypots ﻣﺛﺎل ﻋﻠﻰ High-interaction honeypotsھو Honeynets .Honeynetsھﻲ اﻟﺑﻧﯾﺔ اﻟﺗﺣﺗﯾﺔ .وﺑﻌﺑﺎرة أﺧرى ،ﻓﺈﻧﮭﺎ ﻣﺣﺎﻛﺎة ﻟﺗﺧطﯾط ﻛﺎﻣل ﻟﺷﺑﻛﺔ ﻛﺎﻣﻠﺔ ﻣن أﺟﮭزة اﻟﻛﻣﺑﯾوﺗر ،وﻟﻛﻧﮭﺎ ﻣﺻﻣﻣﺔ ﻟﮭذا اﻟﻐرض ﻣن اﺳر اﻟﮭﺟﻣﺎت .واﻟﮭدف ھو ﺗطوﯾر اﻟﺷﺑﻛﺔ ﺣﯾث ﯾﺗم اﻟﺗﺣﻛم ﻓﻲ ﺟﻣﯾﻊ اﻷﻧﺷطﺔ وﺗﺗﺑﻌﮭﺎ .ﺗﺣﺗوي ھذه اﻟﺷﺑﻛﺔ اﻟﺷراك اﻟﺧداﻋﯾﺔ ﻟﺧداع اﻟﻣﮭﺎﺟﻣﯾن ،وھﻲ ﺷﺑﻛﺔ ﻟدﯾﮭﺎ ﺣﺗﻰ أﺟﮭزة ﻛﻣﺑﯾوﺗر اﻟﺣﻘﯾﻘﯾﺔ ﺗﺷﻐل ﺗطﺑﯾﻘﺎت ﺣﻘﯾﻘﯾﺔ. KFSensor اﻟﻣﺻدرhttp://www.keyfocus.net : KFSensorﺑﻣﺛﺎﺑﺔ ﻣﺻﯾدة ﻟﺟذب وﻛﺷف اﻟﻣﺗﺳﻠﻠﯾن واﻟدﯾدان ﻋن طرﯾﻖ ﻣﺣﺎﻛﺎة ﺧدﻣﺎت اﻟﻧظﺎم اﻟﺿﻌﯾﻔﺔ وأﺣﺻﻧﺔ طروادة .ﻣن ﺧﻼل اﻟﻌﻣل ﻛﺧﺎدم ﻣﺻﯾده ،ﻓﺈﻧﮫ ﯾﻣﻛن ﺗﺣوﯾل اﻟﮭﺟﻣﺎت ﻣن اﻟﻧظم اﻟﺣﯾوﯾﺔ وﺗوﻓﯾر ﻣﺳﺗوى أﻋﻠﻰ ﻣن اﻟﻣﻌﻠوﻣﺎت ﻣﻣﺎ ﯾﻣﻛن ﺗﺣﻘﯾﻘﮫ ﺑﺎﺳﺗﺧدام اﻟﺟدران اﻟﻧﺎرﯾﺔ واﻟﻣﺧطوطﺎت وﺣدھﺎ .وأظﮭرت ﻟﻘطﺔ ﻣن KFSensorﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ:
ﺗﺧﻔﯾف اﻟﮭﺟﻣﺎت ""DoS/DDoS Countermeasures: Mitigate attacks ھﻧﺎك ﻧوﻋﺎن ﻣن اﻟطرق واﻟﺗﻲ ﻣن ﺧﻼھﺎ ﯾﺗم ﺗﺧﻔﯾف او وﻗف ھﺟﻣﺎت DoS/DDoSوھم: ﻣﻮازﻧﺔ اﻟﺤﻤﻞ ""balance load ﯾﻣﻛن ﻟﻣﻘدﻣﻲ ﻋرض اﻟﻧطﺎق اﻟﺗرددي " "bandwidthزﯾﺎدة ﻋرض اﻟﻧطﺎق اﻟﺗرددي ﻓﻲ ﺣﺎﻟﺔ ھﺟوم دوس ﻟﻣﻧﻊ أﺟﮭزﺗﮭم ﻣن اﻟذھﺎب إﻟﻰ ﺣﺎﻟﺔ اﻟرﻛود/اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ .وﯾﻣﻛن أﯾﺿﺎ ﻟﻧﻣوذج ﺧﺎدم ﻣﻧﺳوخ " "replicated server modelأن ﯾﺳﺗﺧدم ﻟﺗﻘﻠﯾل اﻟﻣﺧﺎطر .اﻟﺧوادم اﻟﻣﻧﺳوﺧﺔ ﺗﺳﺎﻋد ﻓﻲ ﺗﺣﺳﯾن إدارة اﻷﺣﻣﺎل وﺗﻌزﯾز أداء اﻟﺷﺑﻛﺔ. د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1155 ﺧﻨﻖ ""Throttling Min-max fair server-centric router throttlesﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﻣﻧﻊ اﻟﺧوادم ﻣن اﻟذھﺎب إﻟﻰ أﺳﻔل .ھذه اﻟطرﯾﻘﺔ ﺗﻣﻛن أﺟﮭزة اﻟراوﺗر ﻣن إدارة ﺣرﻛﺔ اﻟﻣرور اﻟواردة اﻟﺛﻘﯾﻠﺔ ﺟدا واﻟﺗﻲ ﺗﺟﻌل اﻟﻣﻠﻘم ﻗﺎدرا ﻋﻠﻰ اﻟﺗﻌﺎﻣل ﻣﻌﮭﺎ .وﯾﻣﻛن أﯾﺿﺎ أن ﺗﺳﺗﺧدم ﻟﺗﺻﻔﯾﺔ ﺣرﻛﺔ اﻟﻣرور اﻟﻣﺳﺗﺧدم اﻟﺷرﻋﻲ ﺣرﻛﺔ ﻣرور ھﺟوم DDoSاﻟوھﻣﯾﺔ. رﻏم أن ھذا اﻷﺳﻠوب ﻓﻲ اﻟﻣرﺣﻠﺔ اﻟﺗﺟرﯾﺑﯾﺔ وﻣﺷﻐﻠﻲ اﻟﺷﺑﻛﺎت ﺗﻧﻔذ ﺗﻘﻧﯾﺎت ﻣﺷﺎﺑﮭﺔ ﻟﻼﺧﺗﻧﺎق .ﻓﺈن اﻟﻘﯾود اﻟرﺋﯾﺳﯾﺔ ﻣﻊ ھذا اﻷﺳﻠوب ھو أﻧﮫ ﻗد ﯾؤدي اﻟﻰ اﻻﻧذارات اﻟﻛﺎذﺑﺔ .ﻓﻲ ﺑﻌض اﻷﺣﯾﺎن ،ﻗد ﯾﺳﻣﺢ ﻟﺣرﻛﺔ اﻟﻣرور اﻟﺧﺑﯾﺛﺔ ان ﺗﻣر ﻓﻲ ﺣﯾن ﯾﻘوم ﺑﺈﺳﻘﺎط ﺑﻌض ﺣرﻛﺔ اﻟﻣرور اﻟﺷرﻋﯾﺔ. اﻟطب اﻟﺷرﻋﻲ ""Post-Attack Forensics ﻓﻲ ﺑﻌض اﻷﺣﯾﺎن ﻋن طرﯾﻖ دﻓﻊ اﻟﻛﺛﯾر ﻣن اﻻھﺗﻣﺎم ﻷﻣن ﺟﮭﺎز اﻟﻛﻣﺑﯾوﺗر أو اﻟﺷﺑﻛﺔ ،ﺣﯾث ان اﻟﻘراﺻﻧﺔ ﯾﻘوﻣون ﺑﻛﺳر ﻓﻲ ھذا اﻟﻧظﺎم .ﻓﻲ ﻣﺛل ھذه اﻟﺣﺎﻻت ،ﯾﻣﻛن ﻟﻠﻣرء اﺳﺗﺧدام أﺳﻠوب اﻟطب اﻟﺷرﻋﻲ ﺑﻌد اﻟﮭﺟوم ﻟﻠﺗﺧﻠص ﻣن ھﺟﻣﺎت دوس. ﺗﺤﻠﯿﻞ ﻧﻤﻂ ﺣﺮﻛﺔ اﻟﻤﺮور ﺧﻼل ھﺟوم دوس ،أداة ﻧﻣط ﺣرﻛﺔ اﻟﻣرور ﺗﻘوم ﺑﺗﺧزﯾن اﻟﺑﯾﺎﻧﺎت ﺑﻌد اﻟﮭﺟوم واﻟﺗﻲ ﯾﻣﻛن ﺗﺣﻠﯾل ﺧﺻﺎﺋص ﻣﻣﯾزة ﻟﻠﺣرﻛﺔ اﻟﻣﮭﺎﺟم .ھذه اﻟﺑﯾﺎﻧﺎت ﻣﻔﯾد ﻓﻲ ﺗﺣدﯾث ﻣوازﻧﺔ اﻟﺣﻣل واﻻﺧﺗﻧﺎق اﻟﻣﺿﺎد ﻟﺗﻌزﯾز اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﻟﻠﮭﺟوم .ﯾﻣﻛن ﺗﺣﻠﯾل أﻧﻣﺎط ﺣرﻛﺔ اﻟﻣرور ﻟﮭﺟوم دوس أﯾﺿﺎ ﻣﺳﺎﻋدة ﻣﺳؤوﻟﻲ اﻟﺷﺑﻛﺔ ﻟﺗطوﯾر ﺗﻘﻧﯾﺎت اﻟﺗرﺷﯾﺢ اﻟﺟدﯾدة اﻟﺗﻲ ﺗﻣﻧﻊ ﺣرﻛﺔ ﻣرور ھﺟوم دوس ﻣن اﻟدﺧول أو اﻟﺧروج اﻟﻰ ﺷﺑﻛﺎﺗﮭﺎ. ﺗﺣﻠﯾل أﻧﻣﺎط ﺣرﻛﺔ ﻣرور دوس ﯾﻣﻛن أن ﯾﺳﺎﻋد ﻣﺳؤوﻟﻲ اﻟﺷﺑﻛﺔ ﻟﻠﺗﺄﻛد ﻣن أن اﻟﻣﮭﺎﺟم ﻻ ﯾﻣﻛﻧﮫ اﺳﺗﺧدام أﺟﮭزﺗﮭم ﻛﻣﻧﺻﺔ دوس ﻻﻗﺗﺣﺎم ﻣواﻗﻊ أﺧرى .ﺗﺣﻠﯾل ﺟﮭﺎز اﻟراوﺗر ،وﺟدار اﻟﺣﻣﺎﯾﺔ ،وﺳﺟﻼت IDSﻟﺗﺣدﯾد ﻣﺻدر ﺣرﻛﺔ ﻣرور دوس .ﻋﻠﻰ اﻟرﻏم ﻣن أن اﻟﻣﮭﺎﺟﻣﯾن ﯾﻘوﻣون ﺑﺎﺳﺗﺧدام ﻋﻧﺎوﯾن ﻣﺻدر زاﺋﻔﮫ traceback IP ،ﻣﻊ ﻣﺳﺎﻋدة ﻣﻘدﻣﻲ ﺧدﻣﺎت اﻹﻧﺗرﻧت اﻟوﺳﯾطﺔ ووﻛﺎﻻت إﻧﻔﺎذ اﻟﻘﺎﻧون ﻗد ﺗﻣﻛن ﺣﺟز اﻟﺟﻧﺎة. Run the Zombie Zapper Tool ﻋﻧدﻣﺎ ﻛﺎﻧت اﻟﺷرﻛﺔ ﻏﯾر ﻗﺎدرة ﻋﻠﻰ ﺿﻣﺎن أﻣن اﻟﺧوادم وﺑدأ ھﺟﻣﺎت دوس ،و) IDSﻧظﺎم ﻛﺷف اﻟﺗﺳﻠل( ﻻﺣظ ارﺗﻔﺎع ﻓﻲ ﺣﺟم ﺣرﻛﺔ اﻟﻣرور واﻟﺗﻲ ﺗﺷﯾر إﻟﻰ ﻣﺷﻛﻠﺔ ﻣﺣﺗﻣﻠﺔ .ﻓﻲ ﻣﺛل ھذه اﻟﺣﺎﻟﺔ ،ﯾﻣﻛن ﻟﻠﺿﺣﯾﺔ اﻟﻣﺳﺗﮭدﻓﺔ ﺗﺷﻐﯾل Zombie Zapperﻟوﻗف اﻟﻧظﺎم ﻣن اﻹﻏراق ﺑواﺳطﺔ اﻟﺣزم. ھﻧﺎك إﺻداران ﻣن .Zombie Zapperواﺣد ﯾﻌﻣل ﻋﻠﻰ ﯾوﻧﯾﻛس ،واﻵﺧر ﯾﻌﻣل ﻋﻠﻰ أﻧظﻣﺔ وﯾﻧدوز .ﺣﺎﻟﯾﺎ ،ﯾﻌﻣل Zapper Toolﻛﺂﻟﯾﺔ دﻓﺎع ﺿد ،Shaft ،TFN ،Trinooو.Stacheldraht اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﺿد دوس ""DoS/DDoS Countermeasures ﯾﻣﻛن زﯾﺎدة ﻗوة أﻣن اﻟﺷﺑﻛﺎت ﻟﻠﻣﻧظﻣﺔ ﻋن طرﯾﻖ وﺿﻊ اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة اﻟﻣﻧﺎﺳﺑﺔ ﻓﻲ اﻷﻣﺎﻛن اﻟﺻﺣﯾﺣﺔ .ﺗﺗوﻓر اﻟﻌدﯾد ﻣن ھذه اﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﺿد ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ/دوس .وﻓﯾﻣﺎ ﯾﻠﻲ ﻗﺎﺋﻣﺔ ﺑﺎﻟﺗداﺑﯾر اﻟﻣﺿﺎدة ﻟﯾﺗم ﺗطﺑﯾﻘﮭﺎ ﺿد ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ/دوس: آﻟﯾﺎت اﻟﺗﺷﻔﯾر ذات اﻟﻛﻔﺎءة ﺗﺣﺗﺎج إﻟﻰ ﺗطﺑﯾﻘﮭﺎ ﻋﻠﻰ ﻛل ﻗطﻌﺔ ﻣن ﺗﻛﻧوﻟوﺟﯾﺎ اﻟﻧطﺎق اﻟﻌرﯾض "."broadband technology ﺗﺣﺳﯾن ﺑروﺗوﻛوﻻت اﻟﺗوﺟﯾﮫ " ،"routing protocolﻻ ﺳﯾﻣﺎ ﺑﺎﻟﻧﺳﺑﺔ ﻟ .multi-hop WMN ﺗﻌطﯾل اﻟﺧدﻣﺎت اﻟﻐﯾر اﻟﻣﺳﺗﺧدﻣﺔ واﻟﻐﯾر آﻣﻧﺔ. ﻣﻧﻊ ﻛل اﻟﺣزم اﻟواردة اﻟﻘﺎدﻣﺔ ﻣن ﻣﻧﺎﻓذ ﺧدﻣﺔ ﻟﻣﻧﻊ ﺣرﻛﺔ اﻟﻣرور ﻣن اﻧﻌﻛﺎس اﻟﺧوادم "."reflection servers ﺗﺣدﯾث اﻟﻛﯾرﻧل ﻷﺣدث إﺻدار. ﻣﻧﻊ اﻧﺗﻘﺎل اﻟﺣزم ذات اﻟﻌﻧﺎوﯾن اﻻﺣﺗﯾﺎﻟﯾﺔ ﻋﻠﻰ ﻣﺳﺗوى .ISP وﺿﻊ أﺟﮭزة اﻟرادﯾو اﻹدراﻛﯾﺔ " "cognitive radiosﻓﻲ اﻟطﺑﻘﺔ اﻟﻣﺎدﯾﺔ " "physical layerﻟﻣﻌﺎﻟﺟﺔ اﻟﺗﺷوﯾش وﺗداﻓﻊ اﻧواعاﻟﮭﺟﻣﺎت. إﻋداد ﺟدار اﻟﺣﻣﺎﯾﺔ ﻟرﻓض وﺻول ﺣرﻛﺔ ﻣرور ﺣزم ) Internet Control Message Protocol (ICMPاﻟﺧﺎرﺟﯾﺔ. ﻣﻧﻊ اﺳﺗﺧدام اﻟوظﺎﺋف اﻟﻐﯾر ﺿرورﯾﺔ ﻣﺛل ،strcpy ،getsاﻟﺦ. ﺗﺄﻣﯾن اﻹدارة ﻋن ﺑﻌد واﺧﺗﺑﺎر اﻻﺗﺻﺎل. ﻣﻧﻊ أﻋﺎداه ﻛﺗﺎﺑﺔ اﻟﻌﻧﺎوﯾن اﻹرﺟﺎع "."Prevent the return addresses from being overwritten ﯾﺟب أن ﺗﺗوﻗف اﻟﺑﯾﺎﻧﺎت اﻟﺗﻲ ﺗﺗم ﻣﻌﺎﻟﺟﺗﮭﺎ ﻣن ﻗﺑل اﻟﻣﮭﺎﺟم. إﺟراء ﺗﺣﻘﯾﻖ ﺷﺎﻣل ﻋن ﺻﺣﺔ اﻟﻣدﺧﻼت. ﺑطﺎﻗﺔ اﻟﺷﺑﻛﺔ ھﻲ ﺑواﺑﺔ دﺧول اﻟﺣزم .وﺑﺎﻟﺗﺎﻟﻲ ،اﺳﺗﺧدام ﺑطﺎﻗﺔ ﺷﺑﻛﺔ ﯾﻛون أﻓﺿل ﻟﻠﺗﻌﺎﻣل ﻣﻊ ﻋدد ﻛﺑﯾر ﻣن اﻟﺣزم.د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1156 DoS/DDoS Protection at the ISP Level اﻟﻣﺻدرhttp://www.cert.org : ﻣﻌظم ISPsﺑﺑﺳﺎطﺔ ﺗﻣﻧﻊ ﺟﻣﯾﻊ اﻟطﻠﺑﺎت ﺧﻼل ھﺟوم ،DDoSوذﻟك ﺑرﻓض ﺣرﻛﺔ اﻟﻣرور اﻟﺷرﻋﻲ ﻣن اﻟوﺻول إﻟﻰ اﻟﺧدﻣﺔ .ﻣزودي ﺧدﻣﺎت اﻹﻧﺗرﻧت ﺗﻘدم ﻓﻲ ﺳﺣﺎﺑﺔ دوس ﻟﺣﻣﺎﯾﺔ وﺻﻼت اﻹﻧﺗرﻧت " "in-the-cloud DDoS protectionﺑﺣﯾث ﻻ ﺗﺻﺑﺢ ﻣﺷﺑﻌﺔ ﻣن ﻗﺑل اﻟﮭﺟوم .ﯾﺗم إﻋﺎدة ﺗوﺟﯾﮫ ﺣرﻛﺔ ﻣرور اﻟﮭﺟوم اﻟﻰ ISPﺧﻼل اﻟﮭﺟوم ﻟﯾﺗم ﺗﺻﻔﯾﺗﮭﺎ وإﻋﺎدﺗﮭﺎ .ﯾﻣﻛن ﻟﻠﻣﺳؤوﻟﯾن أن ﯾطﻠﺑوا ﻣن ﻣزودي ﺧدﻣﺎت اﻹﻧﺗرﻧت ﻟﻣﻧﻊ IPاﻟﻣﺗﺿرر اﻷﺻﻠﻲ " "original affected IPوﻧﻘل ﻣوﻗﻌﮭم ﻟ IPآﺧر ﺑﻌد .DNS propagation
Enabling TCP Intercept on Cisco IOS Software ﯾﻣﻛن ﺗﻣﻛﯾن TCP interceptﺑواﺳطﺔ ﺗﻧﻔﯾذ اﻷواﻣر اﻟﺗﺎﻟﯾﺔ ﻓﻲ وﺿﻊ اﻟﺗﻛوﯾن اﻟﻌﺎم:
ﯾﻣﻛن ﺗﻌرﯾف ﻗﺎﺋﻣﺔ اﻟوﺻول " "access listﻟﺛﻼﺛﺔ أﻏراض: .1اﻋﺗراض ﻛﺎﻓﺔ اﻟطﻠﺑﺎت .2اﻋﺗراض ﻓﻘط ﺗﻠك اﻟﻘﺎدﻣﺔ ﻣن ﺷﺑﻛﺎت ﻣﺣددة .3اﻋﺗراض ﻓﻘط ﺗﻠك اﻟﻣوﺟﮭﺔ ﻟﻠﺧوادم ﻣﺣددة وﻋﺎدة ﻣﺎ ﺗﺣدد ﻗﺎﺋﻣﺔ اﻟوﺻول اﻟﻣﺻدر " "sourceإﻟﻰ أي وﺟﮭﺔ ،اﻟوﺟﮫ " "destinationاﻟﻰ ﺷﺑﻛﺎت أو ﺧوادم ﻣﺣددة .ﻛﻣﺎ أﻧﮫ ﻟﯾس ﻣن اﻟﻣﮭم أن ﻧﻌرف ﻣن ﯾﻌﺗرض اﻟﺣزم ﻣن ،ﻻ ﺗﻘوم ﺑﺎﻟﻔﻠﺗرة ﻋﻠﻰ ﻋﻧﺎوﯾن اﻟﻣﺻدر .ﺑدﻻ ﻣن ذﻟك ،ﯾﻣﻛﻧك ﺗﺣدﯾد ﻣﻠﻘم اﻟوﺟﮭﺔ أو اﻟﺷﺑﻛﺔ ﻟﺣﻣﺎﯾﺗﮭﺎ.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1157 TCP interceptﯾﻣﻛن أن ﯾﻌﻣل ﻓﻲ وﺿﻌﯾن ،وﺿﻊ اﻻﻋﺗراض اﻟﻧﺷط " "active intercept modeووﺿﻊ اﻟﻣﺷﺎھدة اﻟﺳﻠﺑﻲ " ."passive watch modeاﻻﻓﺗراﺿﻲ ھو وﺿﻊ اﻻﻋﺗراض .ﻓﻲ وﺿﻊ اﻻﻋﺗراض ،ﺑرﻣﺟﯾﺎت ﺳﯾﺳﻛو Cisco IOS Softwareﺗﻘوم ﺑﺎﻋﺗراض ﺟﻣﯾﻊ طﻠﺑﺎت اﻻﺗﺻﺎل اﻟواردة ) ،(SYNوﯾﻌطﻲ اﺳﺗﺟﺎﺑﺔ ﻧﯾﺎﺑﺔ ﻋن اﻟﺧﺎدم ﺑ ،ACK and SYNﺛم ﯾﻧﺗظر ACK of the SYN ﻣن اﻟﻌﻣﯾل .ﻋﻧد ﺗﻠﻘﻲ ACKﻣن اﻟﻌﻣﯾل ،ﻓﺎن اﻟﺑرﻧﺎﻣﺞ ﯾﻧﻔذ اﻟﻣﺻﺎﻓﺣﺔ اﻟﺛﻼﺛﯾﺔ ﻣﻊ اﻟﺧﺎدم ﻋن طرﯾﻖ ﺗﻌﯾﯾن SYNاﻷﺻﻠﻲ إﻟﻰ اﻟﻣﻠﻘم .ﺑﻣﺟرد اﻛﺗﻣﺎل اﻟﻣﺻﺎﻓﺣﺔ اﻟﺛﻼﺛﯾﺔ ،ﯾﺗم ﺑط اﺗﺻﺎﻻت اﻻﺛﻧﯾن "."two-half connections اﻷﻣر ﻟﺿﺑط وﺿﻊ TCP intercept modeﻓﻲ اﻟﺗﻛوﯾن اﻟﻌﺎم ﻛﺎﻻﺗﻲ:
اﻟﺗﺧﻔﯾف ﻣن ھﺟﻣﺎت دوس ""Mitigating DoS )Mitigating DoS using Access Control Lists (ACL ﻗواﺋم اﻟﺗﺣﻛم ﻓﻲ اﻟوﺻول " "Access Control Listsھﻲ ﻣﺟﻣوﻋﺔ ﻣن اﻟﻘواﻋد اﻟﺗﻲ ﯾﺗم ﺗطﺑﯾﻘﮭﺎ ﻋﻠﻰ آﻟﺔ ﻣن أﺟل اﻟﺳﯾطرة ﻋﻠﻰ اﻷذوﻧﺎت. وﯾﮭدف ھذا اﻟﻣﺷروع إﻟﻰ ﺗطﺑﯾﻖ ﻗواﺋم اﻟﺗﺣﻛم ﻓﻲ اﻟوﺻول ﻋﻠﻰ ﻣوﺟﮭﺎت ﺳﯾﺳﻛو " "Cisco routersﻣن أﺟل وﻗف ﻣﺟﻣوﻋﺔ ﻣﺣددة ﻣن ﺣزم .IPﺗوﻓر ھذه اﻟﻘﺎﺋﻣﺔ اﻟﺣﻣﺎﯾﺔ ﻟﻠﺷﺑﻛﺔ ﻛﻣﺎ أﻧﮭﺎ ﺗﺳﯾطر ﻋﻠﻰ ﺳﯾر ﺣرﻛﺔ اﻟﻣرور داﺧل وﺧﺎرج ﺗﻠك اﻟﻧﻘطﺔ. ﻋﻠﻰ ﺳﺑﯾل اﻟﻣﺛﺎل ،ﻋﻧدﻣﺎ ﯾﺗم ﺗطﺑﯾﻖ ACLﻋﻠﻰ ﺟﮭﺎز اﻟراوﺗر ،ﯾﺗم ﻓﺣص ﺣزم IPاﻟواردة إذا ﻛﺎﻧت ﺗﻠﺑﻲ ﺟدول ACLﻗﺑل اﻟدﺧول .ﻋﻧدﻣﺎ ﺗﺗﻔﻖ اﻟﺣزﻣﺔ ﻣﻊ اﻟﻘﺎﻋدة اﻟﻣوﺟودة ﻓﻲ ﺟﮭﺎز اﻟراوﺗر ،ﻓﺎن ﺧﯾﺎرات ﻣﺧﺗﻠﻔﺔ ﻣﺛل accept ،denyأو rejectاﻟﺦ ﯾﻣﻛن أن ﯾؤدﯾﮭﺎ. وﻓﻘﺎ ﻟﺑﺣث IEEEﺑواﺳطﺔ اﻟﯾﻛس ،ارﯾك وﺗﺷﺎد ،ان اﻟﻌﻣود اﻟﻔﻘري ﻟﻸﻧﺗرﻧت اﻟﯾوم ھو ﻋرﺿﺔ ﻟﻠﻣﻼﯾﯾن ﻣن اﻟﺷﺑﻛﺔ .وﻣﻊ ظﮭور اﻟﻌدﯾد ﻣن ﻧﻘﺎط اﻟﺿﻌف واﻟﺗﻲ ﺗطﺎﻟب ﺑﻘواﻋد ACLأﻛﺛر ﺗﻌﻘﯾدا .وھذا أدى اﻟﻰ ﻧﻣو ﺟدول ACLﻓﻲ ﺣﺟﻣﮫ ،ﻣﻣﺎ ﯾؤدى اﻟﻰ ﺗدھور أداء اﻟﺷﺑﻛﺔ وﺑﺎﻟﺗﺎﻟﻲ ﯾﺟﻌل ﻣن اﻟﺻﻌب اﻟﺳﯾطرة ﻋﻠﯾﮭﺎ .وﯾﺄﺗﻲ ھذا اﻟﺑﺣث أﯾﺿﺎ ﻣﻊ ﻓﻛرة ﻣﺛﯾرة ﻟﻼھﺗﻣﺎم وھﻲ " "ACL compressorواﻟﺗﻲ ﯾﻣﻛن أن ﺗﻘﻠل ﻣن ﺣﺟم ﺟداول ACLواﻟﺗﻲ ﻻ ﺗزال ﺗﺗﺑﻊ ﻧﻔس اﻟدﻻﻻت .ﺟﻠب ھذا اﻟﺑﺣث أﯾﺿﺎ ﻧﺗﺎﺋﺞ ﻣﻠﺣوظﺔ ﻓﻲ ﻧﺗﺎﺋﺟﮫ اﻟﺗﺟرﯾﺑﯾﺔ .وﺗظﮭر اﻟﻧﺗﺎﺋﺞ اﻟﺗﺟرﯾﺑﯾﺔ أﻧﮫ ﯾﻣﻛن ﺿﻐط ACLﻣﺎ ﯾﻘرب ﻣن ﻧﺻف ﺣﺟﻣﮫ ﻋﻧد اﺳﺗﺧدام .ACL compressorﻓﻲ ھذا اﻟﻣﺷروع ،ﻧﺣن ﻧﺳﺗﺧدم ﻗواﻋد ACLاﻟﺗﺎﻟﯾﺔ ﻣن أﺟل وﻗف ﺣرﻛﺔ اﻟﻣرور ﻣن ﺷﺑﻛﺔ اﻟﮭﺟوم .ﯾﺗم إدﺧﺎل ھذه اﻟﻘواﻋد ﻓﻲ واﺟﮭﺔ ﺳطر اﻷواﻣر ﻟﻠراوﺗر ﺑﺣﯾث ﯾﺗم ﺗطﺑﯾﻘﮫ ﻋﻠﻰ ﻛل ﺣرﻛﺔ اﻟﻣرور اﻟواردة اﻟﺗﻲ ﺗﻣر ﻣن ھذا اﻟراوﺗر. Conf t Access list 1 192.168.2.2 Interface f0/1 ip access-group 1 in ﯾﺗم اﺳﺗﺧدام اﻷﻣر اﻷول " "Conf tﻹﻋداد اﻟﺗرﻣﻧﺎل ﻓﻲ راوﺗر ﺳﯾﺳﻛو .ﺛم اﻟﺳطر اﻟﺗﺎﻟﻲ ﻣن واﺟﮭﺔ ﺳطر اﻷواﻣر ،ﯾﺗم إﻧﺷﺎء "." Access list ﻛﻣﺎ ﯾﺗم إﻋطﺎء ﻗﺎﺋﻣﺔ اﻟوﺻول ﻋددا وھﻧﺎ ھو .1ھﻧﺎ ﯾﻣﻛﻧﻧﺎ إﻧﺷﺎء اﻟﻌدﯾد ﻣن ﻗواﺋم اﻟوﺻول ﻟﺟﮭﺎز راوﺗر ﻣﻌﯾن ،وﺗطﺑﯾﻘﮭﺎ ﻋﻠﻰ أي ﻣن ﻣﻧﺎﻓذھﺎ. ﻓﻲ اﻟﺳطر اﻟﺛﺎﻟث ،ﯾﺗم اﺳﺗﺧدام اﻷﻣر " "Interface f0/1ﻹدﺧﺎل وﺟﮭﮫ ﻣﻌﯾﻧﺔ وإدﺧﺎل اﻟﺗﻐﯾﯾرات اﻟﻼزﻣﺔ .ﻋﻧدﻣﺎ اﻟﻧﮭﺎﺋﯾﺔ اﺳﺗﺧدﻣﻧﺎ اﻷﻣر " ،"ip access-group 1 inﻣﻌﻧﻰ ھذا اﻧﻧﺎ ﻧﻘوم ﺑﺗطﺑﯾﻖ ﻗﺎﺋﻣﺔ اﻟوﺻول إﻟﻰ واﺟﮭﺔ F0/1ﺣﯾث ﯾﺗم اﺳﻘﺎط ﺟﻣﯾﻊ ﺣزم IPﻣن اﻟﻌﻧوان .192.168.2.2ﻛﻣﺎ ﺗﺟدر اﻹﺷﺎرة إﻟﻰ أن ﺣزم IPﻣن ﺟﻣﯾﻊ اﻟﻣﺿﯾﻔﯾن ﻣن 192.168.2.0ﯾﺗم اﺳﻘﺎطﮭﺎ. ﯾﻣﻛن أن ﯾﻧظر إﻟﯾﮫ أﻧﮫ ﺑﻌد ﺗطﺑﯾﻖ ﻗواﻋد ACLاﻟﻣذﻛورة أﻋﻼه ﻓﺎن أي ﺣرﻛﺔ ﻣرور ﻣن ﺷﺑﻛﺔ اﻟﮭﺟوم ﻟن ﺗﺻل إﻟﻰ ﺧﺎدم اﺑﺎﺗﺷﻲ .ﯾﺗم ﺣظر ﺷﺑﻛﺔ اﻟﮭﺟوم 192.168.2.0ﺗﻣﺎﻣﺎ وﯾﺗم إﻋطﺎءه ﻻ ﺗﺳﺗطﯾﻊ اﻟوﺻول ﻟﺻﻔﺣﺔ وﯾب .وﺗﺷﻛل ھذه اﻟﺧطوة اﻟﺗﺧﻔﯾف وﯾﻣﻛن وﺿﻊ ﻗواﻋد ACL ﻣﻌﻘدة ﻣن ھذا .وﻣن اﻟﻣﺛﯾر ﻟﻼھﺗﻣﺎم أن ﻧرى اﻟﻧﺗﺎﺋﺞ ﻣن وﯾرﺷﺎرك وأدوات رﺻد ﺣرﻛﺔ اﻟﻣرور أﺧرى ﻛﯾف أن ﺣرﻛﺔ اﻟﻣرور ﺗوﻗﻔت ﻋﻠﻰ اﻟﻔور ﺑﻌد ﺗطﺑﯾﻖ .ACL وﻟﻛن ھﻧﺎك ﺛﻐرة واﺣدة رﺋﯾﺳﯾﺔ ﻓﻲ ھذه اﻵﻟﯾﺔ اﻟدﻓﺎﻋﯾﺔ .أي أن اﻟﻣﺿﯾﻔﯾن ﻣن ﺷﺑﻛﺔ 192.168.2.0ﻏﯾر ﻗﺎدرﯾن ﻋﻠﻰ اﻟوﺻول إﻟﻰ ﻗﺎﻋدة اﻟﺑﯾﺎﻧﺎت اﻟرﺋﯾﺳﯾﺔ .ﻓﻲ ﺑﯾﺋﺗﻧﺎ اﻻﺧﺗﺑﺎرﯾﺔ ،اﻟﻣﮭﺎﺟم اﻟﻔﻌﻠﻲ ھو 192.168.2.2ﻓﻘط ،ﻓﻲ ﺣﯾن أن 192.168.2.3و 192.168.2.4ھم ﻣﺿﯾﻔﯾن ﺷرﻋﯾﯾن ﯾﺣﺗﺎﺟون اﻻﺗﺻﺎل ﺑﺎﻟﺧﺎدم .وﺑﺎﻟﺗﺎﻟﻲ ﻣﻔﮭوم ACLھذا ﯾﻘوم ﺑﻐﻠﻖ اﻟﺧدﻣﺔ ﻟﺷﺑﻛﺔ ﻛﺎﻣﻠﺔ ﺑدﻻ ﻣن ﻣﺟرد ﻋرﻗﻠﺔ اﻟﻣﮭﺎﺟم .وﺑﺎﻟﺗﺎﻟﻲ ﻓﺻل د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1158 اﻟﺷﺑﻛﺎت اﻟﻣﺧﺗﻠﻔﺔ ﻣن اﻟﺧﺎدم .وﻋﻠﻰ ﻣﺎ ﯾﺑدو ،اﻟﻌﻣﻼء اﻟﺷرﻋﯾﯾن اﻟﻣوﺟودﯾن ﻓﻲ ھذه اﻟﺷﺑﻛﺎت أﯾﺿﺎ ﺳوف ﻻ ﯾﺳﺗطﯾﻌوا اﻻﺗﺻﺎل ﺑﺎﻟﺧﺎدم. وﺑﺎﻟﺗﺎﻟﻲ ﻓﺈن ھذا ﻟن ﯾﻛون ﺣﻼ ﻣﺛﺎﻟﯾﺎ ،ورﺑﻣﺎ ﺗﺣﺗﺎج إﻟﻰ اﻟﺗﻌزﯾز ﻋﻧدﻣﺎ ﺗﻧﺗﺷر اﻟﮭﺟﻣﺎت ﻋﺑر اﻟﺷﺑﻛﺎت اﻟﻣﺧﺗﻠﻔﺔ. Mitigation using Rate limiting ﻋﻠﻰ ﻋﻛس ﻗواﺋم اﻟﺗﺣﻛم ﻓﻲ اﻟوﺻول " ،"Access Control Listsﺗﻘﻧﯾﺎت اﻟﺣد " "Rate limitingﻻ ﺗﻔﺻل ﺷﺑﻛﺔ اﻟﻣﮭﺎﺟم ﺗﻣﺎﻣﺎ ﻗﺑﺎﻟﺔ اﻟﺿﺣﯾﺔ .ﺑدﻻ ﻣن ذﻟك ﺗﺿﻊ ﺳﻘف أو ﺣدا ﻣﺳﻣوح ﺑﮫ ﻟﺣرﻛﺔ اﻟﻣرور واﻟﺗﻲ ﺳوف ﯾﻛون ﻓﯾﮫ اﻟﻣﻠﻘم ﻗﺎدر ﻋﻠﻰ اﻟﺻﻣود .اﻋﺗﻣدت ھذه اﻟطرﯾﻘﺔ ﻣن ﻗﺑل ﻣﻌظم ﻣﻘدﻣﻲ اﻟﺑﯾﺎﻧﺎت ﻷﻧﮫ ﯾﺑرھن ﻋﻠﻰ أن ﺗﻛون ﻓﻌﺎﻟﺔ ﻟﻠﻐﺎﯾﺔ ،وﺗﻘﻲ ﻣﻛوﻧﺎت اﻟﺷﺑﻛﺔ ﻣن اﻟﺣرﻣﺎن اﻟداﺋم ﻣن اﻟﺧدﻣﺔ .وﻟﻛن ھذا ﻻ ﯾﻣﻛن أن ﯾﻛون ﺣﻼ ﻣﺛﺎﻟﯾﺎ ﻷﻧﮫ ﻻ ﯾزال ﺑﺎﻟﺗﺣﻛم ﻓﻲ ﺣرﻛﺔ اﻟﻣرور ﻣن ﻗﺑل ﻧظﺎم اﻟﻣﮭﺎﺟم ﻛذﻟك .اﻷواﻣر اﻟﺗﺎﻟﯾﺔ ﺗﺣد ﻣن ﺣرﻛﺔ ﻣرور ﺷﺑﻛﺔ اﻟﮭﺟﻣﺎت 192.168.2.0اﻟﻰ ﻣﺳﺗوى ﻣﻌﯾن .أﻓﺿل ﻣﯾزة ﻟﮭذه اﻟﺗﻘﻧﯾﺔ ھﻲ أن ﻣﺳؤول اﻟﺷﺑﻛﺔ ﻗﺎدر ﻋﻠﻰ ﺗﺣدﯾد ﻣدى ﺣرﻛﺔ اﻟﻣرور اﻟﺗﻲ ﺗﺗرك داﺧل اﻟﺷﺑﻛﺔ .ﻣﻌدل اﻟﻣرور ھذا ﯾﻌﺗﻣد ﻋﻠﻰ ﺣﺟم اﻟﺷرﻛﺔ ،ﺣرﻛﺔ اﻟﻣرور اﻟﺗﻲ ﯾﻣﻛن أن ﯾﺗﺣﻣﻠﮭﺎ اﻟﺧﺎدم وﻗدرة اﻟﻣﻌﺎﻟﺟﺔ .ﯾطﺑﻖ ﺳﯾﺳﻛو ﻣﻌدل اﻟﺣد ﻣن ﺣرﻛﺔ اﻟﻣرور ﻓﻲ اﺳم ) Committed Access Rate (CARو) Distributed Committed Access rate (DCARوﯾﻣﻛن ﺗطﺑﯾﻖ ﻗواﻋد ﻣﻌدل اﻟﺣد ﻋﻠﻰ ﺣرﻛﺔ اﻟﻣرور اﻟواردة أو ﺣﺗﻰ اﻟﺻﺎدرة ﻓﻲ واﺟﮭﺔ ﻣﻌﯾﻧﺔ .ھﻧﺎك اﺛﻧﯾن ﻣن اﻟﺻﯾﻎ اﻷﺳﺎﺳﯾﺔ ﻣن اﻻواﻣر اﻟﻣﺳﺗﺧدﻣﺔ ﻓﻲ اﻟﺣد وھﻲ " "conform actionو " ."exceed actionﻋﻧدﻣﺎ ﺗﺗﻔﻖ ﺣزﻣﺔ IPأو ﺗﺗﺟﺎوز ﻗﺎﻋدة ﻣﺣددة ،ﻓﺎﻧﮫ ﯾﻣﻛن اﺗﺧﺎذ اﻟﻘرارات اﻟﻣﺧﺗﻠﻔﺔ ﻋﻠﻰ ذﻟك .ﺗﺧﺗﻠف اﻟﻘرارات وﻓﻘﺎ ﻟﻣﺗطﻠﺑﺎت اﻟﺷﺑﻛﺔ ﻣﺛل drop ،continue ،allow ،denyوﺑﻣﺟرد ﺗطﺑﯾﻖ ﻗواﻋد اﻟﺣد ﻓﯾﻣﻛن أﯾﺿﺎ أن ﯾﺗم اﻟﺗﺣﻘﻖ ﻣﻧﮭﺎ ﻓﻲ وﻗت ﻻﺣﻖ ﺑﺎﺳﺗﺧدام اﻷواﻣر ﻋﻠﻰ واﺟﮭﺔ ﺳطر اﻷواﻣر ﺳﯾﺳﻛو .اﻷﻣر " "show int rate-limitﯾﻌطﯾﻧﺎ ﺗﻔﺎﺻﯾل CARاﻟﺗﻲ ﺗم ﺗطﺑﯾﻘﮭﺎ ﻋﻠﻰ ﺗﻠك اﻟواﺟﮭﺔ اﻟﻣﻘﺎﺑﻠﺔ .اﻟرﺳم اﻟﺑﯾﺎﻧﻲ اﻟﺗﺎﻟﻲ ﻣن ﻣوﻗﻊ ﺳﯾﺳﻛو ﯾﺑﯾن ﻟﻧﺎ اﻟﺑﻧﯾﺔ اﻷﺳﺎﺳﯾﺔ ﻷواﻣر ﻣﻌدل اﻟﺣد. ﻛﻣﺎ ھو ﻣﺑﯾن ﻣن اﻟﺷﻛل أدﻧﺎه ،ﯾﻣﻛﻧﻧﺎ اﺳﺗﺧدام " "Rate limitأو " "no rate limitﻟﺗطﺑﯾﻖ أو إزاﻟﺔ ﺳﯾﺎﺳﺔ CARھذه ﻣن واﺟﮭﺔ ﻣﻌﯾﻧﺔ. اﻟﻛﻠﻣﺎت اﻟرﺋﯾﺳﯾﺔ " "inputأو " "outputﺗﺣدد ﻣﺎ إذا اﺣﺗﺎج اﻟﻌﻣل اﻟﺗطﺑﯾﻖ ﻋﻠﻰ ﺣرﻛﺔ اﻟﻣرور اﻟواردة أو اﻟﺻﺎدرة .ﻋﻧدﻣﺎ ﯾﺗم ﺗطﺑﯾﻖ ھذه اﻟﻘﺎﻋدة ﻋﻠﻰ ﻗﺎﺋﻣﺔ وﺻول ﻗﺑل اﻻﻋداد " ،"pre-configured access listﯾﺗم اﺳﺗﺧدام اﻟﻛﻠﻣﺔ " ."access groupوھﻛذا ﺳوف ﯾﺗم ﺗطﺑﯾﻖ اﻟﺳﯾﺎﺳﺔ ﻓﻘط ﻋﻠﻰ اﻟﺣزم اﻟﺗﻲ ﺗﻠﺑﻰ ﻗﺎﺋﻣﺔ اﻟوﺻول .ﯾﻣﻛن إﻋطﺎء ﻛل ﻗﺎﺋﻣﺔ اﻟوﺻول اﻟﺗﻲ ﺗم إﻧﺷﺎؤھﺎ ﻓﻲ ﺟﮭﺎز اﻟراوﺗر ﺳﯾﺳﻛو رﻗم ﻟﺗﺣدﯾد اﻟﮭوﯾﺔ وﻧﻔس اﻟﺷﻲء ﯾﻣﻛن أن ﺗﺳﺗﺧدﻣﮫ ھﻧﺎ ﻓﻲ ﻣﻌدل اﻟﺣد ﺑﺎﺳﺗﺧدام اﻷﻣر " ."ACL indexﯾﻣﻛن ﺗﺣدﯾد ﻣﻌدل اﻟﻣرور ﻣن ﻗﺑل ﻣدﯾر اﻟﺷﺑﻛﺔ وﯾﻣﻛن ﺗﺣدﯾده ﺑﺟﺎﻧب ھذا اﻷﻣر ﺑﻣﻘدار ﺑت ﻓﻲ اﻟﺛﺎﻧﯾﺔ "Burst normal" .و " "Burst maximumھﻲ ﻛﻠﻣﺎت ﻣﺣددة ﻟﻠﺗﻌﺎﻣل ﻣﻊ ﺗﻘﻠﺑﺎت ﺣرﻛﺔ اﻟﻣرور واﻟﺣﻔﺎظ ﻋﻠﻰ اﻟﺗدﻓﻖ ﻣﺳﺗﻣر ﻣن اﻟﺣزم ﻋﻠﻰ اﻟﺗواﻟﻲ .وﻛﻣﺎ ذﻛر أﻋﻼه ،ﻓﺈن اﻟﻛﻠﻣﺔ " "actionﺗﻘرر ﻛﯾف ﯾﺗم اﻟﺗﻌﺎﻣل ﻣﻊ اﻟﺣزﻣﺔ ﻓﻲ واﺟﮭﺔ ﻣﻌﯾﻧﺔ. ﯾﺗم اﻟﺣﺻول ﻋﻠﻰ اﻟﺷﻛل اﻟﺗﺎﻟﻲ ﻣن ﻣوﻗﻊ ﺳﯾﺳﻛو اﻟﺗﻲ ﺗﺻف وظﯾﻔﺔ ﻛل ﻣﻌﻠم اﻟﺗﻲ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻓﻲ أواﻣر ﻣﻌدل اﻟﺣد .ﺧﻼﻓﺎ ﻟﻐﯾرھﺎ ﻣن آﻟﯾﺎت اﻟدﻓﺎع اﻟﻣﻌﻘدة ،ﻣﻌدل اﻟﺣد ھو اﻷﺳﮭل ﻓﻲ اﻹدارة واﻟﺻﯾﺎﻧﺔ .ﻣﻌدل اﻟﺣد ﯾﻣﻛن ﺗطﺑﯾﻘﮫ ﻋﻠﻰ أوﺟﮫ واﺣده او اﻟﻌدﯾد ﻣن اﻟوﺟﮭﺎت ﻓﻲ اﻟﺷﺑﻛﺔ اﻟﻣﻌﻘدة.
اﻟﻣﺻدرhttp://www.cisco.com/c/en/us/td/docs/ios/12_2/qos/command/reference/fqos_r/qrfcmd8.html : د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1159 ﺑﺎﺳﺗﺧدام اﻟﻣﻌرﻓﺔ ﻣن ھﯾﻛل اﻷواﻣر أﻋﻼه اﻟﻣﺣدد ﻣن ﻗﺑل ﺳﯾﺳﻛو ،ﯾﺗم ﺗﻧﻔﯾذ اﻷواﻣر اﻟﺗﺎﻟﯾﺔ ﻓﻲ ھذا اﻟﻣﺷروع. Conf t int f0/1 rate-limit input 8000 2000 4000 conform-action transmit exceed-action drop اﻷﻣر اﻷول ﯾﺟﻠب ﺟﮭﺎز اﻟراوﺗر ﻟوﺿﻊ اﻻﻋداد واﻟذي ﺗم اﺳﺗﺧداﻣﮫ أﯾﺿﺎ ﻋﻧد ﺗطﺑﯾﻖ ﻗواﺋم اﻟوﺻول .ﺛم ﯾﺗم اﻟدﺧول إﻟﻰ واﺟﮭﺔ F0/1 ﺑﺎﺳﺗﺧدام اﻻﻣر int f0/1ﺣﯾث ﯾﺟب أن ﺗﺷرف ﻋﻠﻰ ﺣرﻛﺔ اﻟﻣرور اﻟواردة ﻣن اﻟﺷﺑﻛﺎت اﻟﻣﺧﺗﻠﻔﺔ .ھﻧﺎ ﯾﺗم ﺗﻌرﯾف ﻣﺗوﺳط ﺣرﻛﺔ اﻟﻣرور ﻛﻣﺎ 8000ﺑت ﻓﻲ اﻟﺛﺎﻧﯾﺔ وھﻲ ﻣﻘﺑوﻟﺔ ﻣن ﻗﺑل ﺧﺎدم اﺑﺎﺗﺷﻲ اﻟﻣﺳﺗﺧدﻣﺔ ﻓﻲ ھذا اﻟﻣﺷروع .ﻣﻊ ھذا اﻟﻣﻘدار ﻣن ﺣرﻛﺔ اﻟﻣرور ﺳوف ﺗﻛون ﻗﺎدرة ﻋﻠﻰ ﺧدﻣﺔ ﻛﺎﻓﺔ اﻟﻌﻣﻼء اﻟﻣﺗﺻﻠﺔ ﺑﮫ .وﺳﺟﻠت أﯾﺿﺎ ﻣن ﻣراﻗﺑﻲ اﻟﺷﺑﻛﺔ أن ﻛﻣﯾﺔ اﻟﺣرﻛﺔ ﻛﺎﻧت ﺣول ھذا اﻟﻧطﺎق ،وﻟم ﯾﻌﺑر أﻛﺛر ﻣن 8500bpsﺣﺗﻰ ﺧﻼل اﻟﮭﺟوم .ﯾﺗم ﺗﻌرﯾف اﻟﺣد burst maximumك 4000ﺑﺎﯾت واﻟذي ھو ﺣرﻛﺔ ﻣرور اﻟﻘﯾﺎﺳﯾﺔ ﻣﻊ طوﺑوﻟوﺟﯾﺎ إﯾﺛرﻧت .ﯾﺗم ﻧﻘل ﺣرﻛﺔ ﻣرور اﻟﺷﺑﻛﺔ ھذه وﯾﺗم إﺳﻘﺎط اﻟﻣﺗﺑﻘﯾﺔ. ﻛﺎﻧت ھذه اﻷواﻣر ﻧﺎﺟﺣﺔ ﻓﻲ وﻗف ھﺟوم اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ وأﻛدت ﻋﻧدﻣﺎ ﺗم دراﺳﺔ اﻹﺧراج ﺑﺎﺳﺗﺧدام اﻟواﯾرﺷﺎرك وﻣراﻗﺑﻲ اﻟﺷﺑﻛﺔ اﻷﺧرى .ﺑدا ھذا أن ﯾﻛون ﺣل ﻓﻌﺎل ﻓﻲ ﺗوﻓﯾر ﻋرض اﻟﻧطﺎق اﻟﺗرددي وﻛذﻟك ﺧﺎدم اﺑﺎﺗﺷﻲ .ﻓﻲ ھذا اﻟﻣﺷروع ،اﻟﻣﺿﯾف 192.168.2.2 ﺻﻣﻣت ﻟﻠﮭﺟوم واﻟﻣﺿﯾﻔﯾن اﻵﺧرﯾن ﻣن ﺟﻣﯾﻊ اﻟﺷﺑﻛﺎت ﻏﯾر ﻣؤذﯾﺔ .وﻣﻊ ذﻟك ،ﺣرﻛﺔ اﻟﻣرور ﺗﻛون ﻣﺣدودة ﻟﺟﻣﯾﻊ اﻟﺷﺑﻛﺎت ﺑﻣﺎ ﻓﻲ ذﻟك .192.168.3.0 Combining Rate limit and Access Control features ﻋﻠﻰ ﺧﻼف اﻟﺣﻠﯾن اﻟﺳﺎﺑﻘﯾن ،اﻗﺗرح ھذه اﻟطرﯾﻘﺔ واﻟﺗﻲ اﺛﺑﺗت ﻓﻌﺎﻟﯾﺔ ﻓﻲ وﻗف ﺣرﻛﺔ اﻟﻣرور اﻟﺳﯾﺋﺔ ﻓﻲ ﺣﯾن اﻧﮫ ﯾﻌطﻲ ﺣﻖ اﻟوﺻول اﻟﻛﺎﻣل ﻟﺣرﻛﺔ اﻟﻣرور اﻟﻣﺷروﻋﺔ .ھﻧﺎ ﻣﻼﻣﺢ ﻟﻠﺟﻣﻊ ﺑﯾن ﻗواﺋم اﻟﺗﺣﻛم ﺑﺎﻟوﺻول وﺣد اﻟﻣﻌدل ﻟﺗﺷﻛﯾل ﻣﺟﻣوﻋﺔ ﺟدﯾدة ﻣن اﻟﺑروﺗوﻛوﻻت اﻟﺗﻲ ﺗﺣﻛم ﺗدﻓﻖ ﺣرﻛﺔ اﻟﻣرور ﺑﺷﻛل أﻓﺿل .ﯾﺻف اﻟﺷﻛل اﻟﺗﺎﻟﻲ ﺗﺷﻐﯾل ﻛل ﺳﯾﻧﺎرﯾو ﻟﻣﺣﺎوﻟﺔ وﻗف اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ .ﻣن ھذا اﻟﺷﻛل ،ﻓﻣن اﻟواﺿﺢ أن ھﻧﺎك ﺛﻼث ﺷﺑﻛﺎت .192.168.3.0 192.168.2.0 ،192.168.1.0ﻣن اﻟﻣﺿﯾﻔﯾن ﻓﻲ ﺟﻣﯾﻊ اﻟﺷﺑﻛﺎت ،اﻟﻣﺿﯾف اﻟوﺣﯾد اﻟذي ﯾﮭﺎﺟم اﻟﺧﺎدم ھو .192.168.2.1 ﻛﺎﻧت اﻟطرﯾﻘﺔ اﻷوﻟﻰ اﻟﻣﺳﺗﺧدﻣﺔ ھﻧﺎ ﻟﻣﻧﻊ اﻟﮭﺟوم ﺑﺎﺳﺗﺧدام " "ACL rulesﻓﻲ ﺟﮭﺎز اﻟﺗوﺟﯾﮫ ﺳﯾﺳﻛو .ھذه اﻟطرﯾﻘﺔ ﻓﻲ اﻟواﻗﻊ أﻛﺛر ﻓﻌﺎﻟﯾﺔ ﻷﻧﮭﺎ ﺗوﻗف ﺣرﻛﺔ اﻟﻣرور ﻣن ﻣﮭﺎﺟﻣﺔ اﻟﺷﺑﻛﺔ ﺑﺎﻟﻛﺎﻣل .وﻣﻊ ذﻟك ،ﻓﺈﻧﮫ ﯾﺟب أن ﯾﻔﮭم أن اﻟﻣﺿﯾف اﻵﺧر 192.168.2.2و 192.168.2.3ھو ﺷرﻋﻲ وﯾﺣﺗﺎج إﻟﻰ اﻟوﺻول إﻟﻰ اﻟﺧﺎدم .وﺑﺎﻟﺗﺎﻟﻲ ھذا ﻻ ﯾﻣﻛن أن ﯾﻛون ﺣﻼ ﻣﺛﺎﻟﯾﺎ ،وﺑﺷﻛل ﺧﺎص ،ﻓﺷﻠت ھذه اﻟﻔﻛرة ﻓﺷﻼ ذرﯾﻌﺎ ﻓﻲ ﺣﺎﻟﺔ ھﺟﻣﺎت دوس اﻟﻣوزﻋﺔ ﺣﯾث ﺗﻧﺗﺷر اﻟزوﻣﺑﻰ ﻋﺑر اﻟﺷﺑﻛﺎت اﻟﻣﺧﺗﻠﻔﺔ. اﻟطرﯾﻘﺔ اﻟﺛﺎﻧﯾﺔ واﻟﺗﻲ ﯾوﺿﺣﮭﺎ اﻟﺷﻛل اﻟﺗﺎﻟﻲ اﻧﮫ ﺗم ﻓﯾﮭﺎ ﺗطﺑﯾﻖ ﻣﻌدل اﻟﻘﯾم ﻓﺎﻧﮫ ﯾﺗم ﺗطﺑﯾﻖ ﻣرﺷﺢ ﻣﺷﺗرك ﻟﺟﻣﯾﻊ اﻟﺷﺑﻛﺎت ﻓﻲ ﻣﺣطﺔ دﺧول اﻟراوﺗر .ھذا اﻟﻔﻠﺗر ﻻ ﯾوﻗف ﻓﻘط ﺣرﻛﺔ اﻟﻣرور ﻣن ﺷﺑﻛﺔ ﻣﻌﯾﻧﺔ وﻟﻛن ﺗطﺑﻖ أﯾﺿﺎ ﻋﻠﻰ ﺟﻣﯾﻊ اﻟﺷﺑﻛﺎت .ﻛﺎﻧت اﻟﺣﺎﻻت ﻓﻲ اﻟﻣﺎﺿﻲ ﻣﺛل ھﺟوم Burma DDoSواﻟﺗﻲ ﻟم ﻧﻛن ﻋﻠﻰ ﻋﻠم ﺑﻣﺻدر اﻟﻣﮭﺎﺟم وﺑﺎﻟﺗﺎﻟﻲ ﺗﻌرﺿت اﻟﺷﺑﻛﺔ ﻷﺿرار ﻛﺛﯾﻔﺔ .وﺑﺎﻟﺗﺎﻟﻲ ﯾﻣﻛن ﻟﮭذه اﻟﺗﻘﻧﯾﺔ ﺣﻣﺎﯾﺔ اﻟﺷﺑﻛﺔ ﻣن ﻛوﻧﮭﺎ ﺿﺣﯾﺔ ﻟﮭﺟﻣﺎت PDoSوإﺗﺎﺣﺔ وﺻول ﻣﺣدود ﻟﻠﻌﻣﻼء اﻟﺷرﻋﯾﯾن أﯾﺿﺎ. اﻟرﺳم اﻟﺑﯾﺎﻧﻲ اﻟﺛﺎﻟث ھو ﻣزﯾﺞ ﻣن اﻟﺗﻘﻧﯾﺎت اﻟﺳﺎﺑﻘﺔ ﻹﻋطﺎء آﻟﯾﺔ دﻓﺎع أﻓﺿل .ھﻧﺎ ﯾﺗم اﺳﺗﺧدام ﻛل ﻣن اﻟﺗﺣﻛم ﻓﻲ اﻟوﺻول واﻟﻣرﺷﺣﺎت اﻟﺣد ﻣﻌﺎ ﻹﻋطﺎء اﻟﺷﺑﻛﺔ ﺣﻼ ﻣﺣﺳﻧﺎ .وھﻛذا ﯾﺗم إﻋطﺎء اﻟﺷﺑﻛﺎت اﻟﺷرﻋﯾﺔ اﻟوﺻول اﻟﻛﺎﻣل .وﻻ ﯾﻌطﻰ اﻟﺷﺑﻛﺔ اﻟﺗﻲ ﻟدﯾﮭﺎ آﻟﺔ اﻟﮭﺟوم إﻣﻛﺎﻧﯾﺔ اﻟوﺻول.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1160
:ﯾﺗم اﻟﺟﻣﻊ ﺑﯾن ھﺎﺗﯾن اﻻﺳﺗراﺗﯾﺟﯾﺗﯾن ﻓﻲ اﺛﻧﯾن ﻣن اﻷﻧﻣﺎط اﻟﻣﺧﺗﻠﻔﺔ ﻛﻣﺎ ﯾوﺻف أدﻧﺎه :اﻟﻄﺮﯾﻘﺔ اﻷوﻟﻰ Conf t access-list 1 permit 192.168.2.1 int f0/1 ip access-group 1 in int f0/1 rate-limit input access-group 1 8000 2000 4000 conform-action transmit exceed-action drop . ﻓﺈﻧﮫ اﺳﺗﻐرق وﻗﺗﺎ أطول ﻟﮭذه اﻟﺷﺑﻛﺎت ﻟﺗﺣﻣﯾل اﻟﺻﻔﺣﺔ ﻣﻘﺎرﻧﺔ ﻣﻊ اﻟﻣﺿﯾﻔﯾن ﻓﻲ اﻟﺷﺑﻛﺎت اﻷﺧرى،وﻟﻛن ﻋﻧدﻣﺎ ﺗم ﻗﯾﺎس زﻣن اﺳﺗﺟﺎﺑﺔ اﻟﻣﻠﻘم :اﻟﻄﺮﯾﻘﺔ اﻟﺜﺎﻧﯿﺔ Conf t ip access-list extended Client2Server permit ip host 192.168.2.1 host 10.0.0.1 class-map match-any Client2Server match access-group name Client2Server policy-map CAR class Client2Server police 8000 4000 2000 conform-action transmit exceed-action drop! https://www.facebook.com/tibea2004
ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ.د
1161 interface F astEthernet0/1 service-policy input CAR وﯾﺳﺗﺧدم ھذا اﻷﺳﻠوب اﺛﻧﯾن ﻣن اﻟﻣﯾزات اﻟﺣﺻرﯾﺔ ﻟﺷرﻛﺔ ﺳﯾﺳﻛو ﺗﺳﻣﻰ Class mapو Policy mapواﻟﺗﻰ ﺗﺛﺑت اﻟﻘوة ﻓﻲ ﺗﺻﻣﯾم اﻟﺷﺑﻛﺎت .ﻣﻊ ھذه اﻟﻣﯾزات ،ﯾﻣﻛن اﻟﺗﺣﻘﻖ ﻣن ﺣرﻛﺔ اﻟﻣرور اﻟواردة ﻣﻊ ﻣﺟﻣوﻋﺔ ﻣﻣﺎ ﻗﺑل اﻻﻋداد ﻣن ﻣﺑﺎدئ اﻟﺗوﺟﯾﮫ واﺗﺧﺎذ اﻟﻘرارات ذات اﻟﺻﻠﺔ. Advanced DDoS Protection Appliances
FortiDDoS-300A اﻟﻣﺻدرhttp://www.fortinet.com : ﯾوﻓر FortiDDoS 300Aاﻟرؤﯾﺔ إﻟﻰ ﺣﺳﺎﺑك ﻓﻲ ﺷﺑﻛﺔ واﺟﮭﺔ اﻹﻧﺗرﻧت ،وﯾﻣﻛﻧﮫ ﻛﺷف وﻣﻧﻊ اﻻﺳﺗطﻼع وھﺟﻣﺎت DDoSﻓﻲ ﺣﯾن ان ﯾﺗرك ﺣرﻛﺔ اﻟﻣرور اﻟﺷرﻋﯾﺔ دون ان ﺗﻣس .وﯾﺗﻣﯾز ﺣرﻛﺔ اﻟﻣرور ھذا ﺑ traffic profilingو .rate limitingﻟﮭﺎ اﻟﻘدرة ﻋﻠﻰ اﻟﺗﻌﻠم اﻟﻣﺳﺗﻣر وﺗﻔرق ﺑﯾن ﺣرﻛﺔ اﻟﻣرور اﻟﺷرﻋﯾﺔ واﻟﮭﺟﻣﺎت. DDoS Protector اﻟﻣﺻدرhttp://www.checkpoint.com : ﯾوﻓر DDoS Protectorاﻟﺣﻣﺎﯾﺔ ﺿد ھﺟﻣﺎت network floodو application layer attacksﻣن ﺧﻼل ﻣﻧﻊ ھﺟﻣﺎت DDOS اﻟﻣدﻣرة دون أن ﺗﺳﺑب أي ﺿرر .ﻓﺈﻧﮫ ﯾﺣظر اﻟﺣرﻛﺔ اﻟﻐﯾر طﺑﯾﻌﯾﺔ دون ﻟﻣس اﻟﻣرور اﻟﺷرﻋﻲ .ﻷﻧﮫ ﯾﺣﻣﻲ ﺧدﻣﺎت اﻟﺷﺑﻛﺔ وﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﻣن ﺧﻼل ﺗﺻﻔﯾﺔ ﺣرﻛﺔ اﻟﻣرور ﻗﺑل أن ﺗﺻل إﻟﻰ ﺟدار اﻟﺣﻣﺎﯾﺔ. Cisco Guard XT 5650 اﻟﻣﺻدرhttp://www.cisco.com : Cisco Guard XTھو أﺟﮭزة ﺗﺧﻔﯾف ھﺟﻣﺎت دوس " "DDoS Mitigation Applianceﻣن ﺷرﻛﺔ ﺳﯾﺳﻛو .ﯾﻘوم ﺑﺗﻧﻔﯾذ ﺗﺣﻠﯾل ﻣﻔﺻل ﻟﻛل ﺗدﻓﻖ ﻋﻠﻰ ﻣﺳﺗوى اﻟﮭﺟوم ،وﺗﺣدﯾد اﻟﮭوﯾﺔ ،وﺗﺧﻔﯾف اﻟﺧدﻣﺎت اﻟﻣطﻠوﺑﺔ ﻟﻣﻧﻊ ﺣرﻛﺔ اﻟﻣرور اﻟﮭﺟوم وﻣﻧﻌﮭﺎ ﻣن ﻋرﻗﻠﺔ ﻋﻣﻠﯾﺎت اﻟﺷﺑﻛﺔ. Arbor Pravail: Availability Protection System اﻟﻣﺻدرhttp://www.arbornetworks.com : Arbor Pravailﯾﺳﻣﺢ ﻟك ﻟﻛﺷف وإزاﻟﺔ اﻟﺗﮭدﯾدات اﻟﻣﻌروﻓﺔ واﻟﻧﺎﺷﺋﺔ ﻣﺛل ھﺟﻣﺎت DDoSﺗﻠﻘﺎﺋﯾﺎ ﻗﺑل ذھﺎب اﻟﺧدﻣﺎت اﻟﺣﯾوﯾﺔ اﻟﺧﺎﺻﺔ ﺑك إﻟﻰ أﺳﻔل .ﻷﻧﮫ ﯾزﯾد اﻟرؤﯾﺔ ﻋﻠﻰ اﻟﺷﺑﻛﺔ اﻟداﺧﻠﯾﺔ اﻟﺧﺎﺻﺔ ﺑك وﯾﺣﺳن ﻛﻔﺎءة اﻟﺷﺑﻛﺔ. د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1162
DoS/DDoS Protection Tool DoS/DDoS Protection Tool: D-Guard Anti-DDoS Firewall ،Super DDoS ،DoS/DDoS ﻓﮭو ﯾﻘدم اﻟﺣﻣﺎﯾﺔ ﺿد. ﯾوﻓر اﻟﺣﻣﺎﯾﺔ ﺿد ھﺟﻣﺎت دوسD-Guard Anti-DDoS Firewall ،Mutation UDP ،UDP ،IP Flooding Attacks ،SYN Flooding Attacks ،Fragment Attacks ،DrDoS . اﻟﺦ،ARP Spoofing Attacks ،Random UDP Flooding ،ICMP Flood Attacks ،ICMP :اﻟﻣﯾزات . ﻧظﺎم ﻣﻧﻊ اﻻﺧﺗراق ﻣدﻣﺞ ﺑﮫO .DDOS واﻷﻧواع أﺧرى ﻣن ھﺟﻣﺎت،SYN, TCP Flooding اﻟﺣﻣﺎﯾﺔ ﺿدO .TCP اﻟﺗﺣﻛم ﻓﻲ ﺗدﻓﻖO .UDP/ICMP/IGMP إدارة ﻣﻌدل اﻟﺣزمO .IP اﻟﻘﺎﺋﻣﺔ اﻟﺳوداء واﻟﻘﺎﺋﻣﺔ اﻟﺑﯾﺿﺎء ﻟﻟO . ﻣﻠف ﺳﺟل ﺷﺎﻣل وﻣدﻣﺞO
DoS/DDoS Protection Tools وﻓﯾﻣﺎ ﯾﻠﻲ.DoS/DDoS ﻓﮭﻧﺎك اﻟﻌدﯾد ﻣن اﻷدوات اﻟﺗﻲ ﺗوﻓر اﻟﺣﻣﺎﯾﺔ ﺿد ھﺟﻣﺎت،D-Guard Anti-DDoS Firewall ﺑﺎﻹﺿﺎﻓﺔ إﻟﻰ : ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲDoS/DDoS ﺑﻌض اﻷدوات اﻟﺗﻲ ﺗﻘدم اﻟﺣﻣﺎﯾﺔ ﺿد NetFlow Analyzer available at http://www.manageengine.com SDL Regex Fuzzer available at http://www.microsoft.com WANGuard Sensor available at http://www.andrisoft.com NetScaler Application Firewall available at http://www.citrix.com FortGuard DDoS Firewall available at http://www.fortguard.com IntruGuard available at http://www.intruguard.com DefensePro available at http://www.radware.com DOSarrest available at http://www.dosarrest.com Anti DDoS Guardian available at http://www.beethink.com DDoSDefend available at http://ddosdefend.com
https://www.facebook.com/tibea2004
ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ.د
1163
Techniques to Defend Against Botnets ھﻧﺎك أرﺑﻌﺔ طرق ﻟﻠدﻓﺎع ﺿد اﻟﺑوﺗﻧت: RFC 3104 Filtering RFC3704ھو ﻓﻠﺗر .ACLاﻟﻣﺗطﻠﺑﺎت اﻷﺳﺎﺳﯾﺔ ﻟﮭذا اﻟﻔﻠﺗر ھو أن اﻟﺣزم ﯾﺟب أن ﯾﻛون ﻣﺻدرھﺎ ﺻﺎﻟﺢ ،ﻣﺧﺻﺻﮫ ﻟﻣﺳﺎﺣﺔ اﻟﻌﻧوان " ،"allocated address spaceﯾﺗﻔﻖ ﻣﻊ اﻟطوﺑوﻟوﺟﯾﺎ .ﻋﺎدة ﻣﺎ ﺗﺳﻣﻰ اﻟﻘﺎﺋﻣﺔ اﻟﺗﻲ ﺗﺟﻣﻊ ﻋﻧﺎوﯾن IPﻏﯾر اﻟﻣﺳﺗﺧدﻣﺔ أو اﻟﻣﺣﺟوزة اﻟﺗﻲ ﻻ ﯾﻣﻛن أن ﯾﻧظر إﻟﯾﮭﺎ ﻓﻲ إطﺎر اﻟﻌﻣﻠﯾﺎت اﻟﻌﺎدﯾﺔ " ."bogon listإذا ﻛﻧت ﻗﺎدرا ﻋﻠﻰ رؤﯾﺔ أي ﻣن ﻋﻧﺎوﯾن IPھذه اﻟﻘﺎﺋﻣﺔ ،ﻓﻌﻠﯾك إﺳﻘﺎط اﻟﺣزم اﻟﻘﺎدﻣﺔ ﻣﻧﮫ واﻋﺗﺑره ﻣﺻدر IPﻣﻐﺷوش .أﯾﺿﺎ ﯾﺟب اﻟﺗﺣﻘﻖ ﻣﻊ ISPاﻟﺧﺎص ﺑك ﻟﺗﺣدﯾد ﻣﺎ إذا ﻛﺎﻧت ﺗﺳﺗﺧدم ھذا اﻟﻧوع ﻣن اﻟﺗﺻﻔﯾﺔ ﻓﻲ اﻟﺳﺣﺎﺑﺔ ﻗﺑل دﺧول ﺣرﻛﺔ اﻟﻣرور اﻟوھﻣﯾﺔ اﻟﻰ أﻧﺎﺑﯾب اﻹﻧﺗرﻧت اﻟﺧﺎص ﺑك Bogon list .ھذه ﺗﺗﻐﯾر ﻓﻲ ﻛﺛﯾر ﻣن اﻷﺣﯾﺎن. Black Hole Filtering Black Hole Filteringھﻲ ﺗﻘﻧﯾﺔ ﻣﺷﺗرﻛﺔ ﻟﻠدﻓﺎع ﺿد اﻟﺑوﺗﻧت ،وﺑﺎﻟﺗﺎﻟﻲ ﻟﻣﻧﻊ ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ .ﯾﻣﻛﻧك إﺳﻘﺎط ﺣرﻛﺔ اﻟﻣرور اﻟﻐﯾر ﻣرﻏوب ﻓﯾﮭﺎ ﻗﺑل أن ﺗدﺧل اﻟﺷﺑﻛﺔ اﻟﻣﺣﻣﯾﺔ اﻟﺧﺎﺻﺔ ﺑك ﻣﻊ ﺗﻘﻧﯾﺔ ﺗﺳﻣﻰ ،Remotely Triggered Black Hole Filteringﻣﺛل .RTBH ﺗﺣﺗﺎج إﻟﻰ إﺟراء ھذا اﻟﻔﻠﺗر ﺑﺎﻟﺗزاﻣن ﻣﻊ ISPاﻟﺧﺎص ﺑك .ﯾﻣﻛﻧك ﻣن ﺧﻼﻟﮫ ﺗﺟﻧب ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ ﺑﻣﺳﺎﻋدة .RTBH DDoS Prevention Offerings from ISP or DDoS Service ﻣﻌظم ﻣزودي ﺧدﻣﺎت اﻹﻧﺗرﻧت ﺗﻘدم ﺷﻛﻼ ﻣن أﺷﻛﺎل اﻟﺳﺣﺎﺑﺔ ﻟﻠﺣﻣﺎﯾﺔ ﺿد دوس " "in-the-cloud DDoS protectionﻟوﺻﻼت اﻹﻧﺗرﻧت اﻟﺧﺎص ﺑك .واﻟﻔﻛرة ھﻲ أن ﺣرﻛﺔ اﻟﻣرور ﺳﯾﺗم ﺗﻧظﯾﻔﮭﺎ ﻣن ﻗﺑل ﻣزود ﺧدﻣﺔ اﻹﻧﺗرﻧت ﻗﺑل أن ﺗﺻل إﻟﻰ أﻧﺎﺑﯾب اﻹﻧﺗرﻧت اﻟﺧﺎص ﺑك .ﻋﺎدة ،ﯾﺗم ذﻟك ﻓﻲ اﻟﺳﺣﺎﺑﺔ .وﺑﺎﻟﺗﺎﻟﻲ ،ﻓﺈن اﻟرواﺑط اﻟﺧﺎﺻﺔ ﺑك ﻋﻠﻰ اﻹﻧﺗرﻧت ﺗﻛون ﻓﻲ ﻣﺄﻣن ﻣن اﻟﺗﺷﺑﻊ ﺑﮭﺟوم دوس .وﺗﻘدم ﺳﺣﺎﺑﺔ اﻟﺧدﻣﺔ اﻟوﻗﺎﯾﺔ ﻣن دوس أﯾﺿﺎ ﻣن ﻗﺑل ﺑﻌض اﻷطراف اﻟﺛﺎﻟﺛﺔ .اﻟﺧدﻣﺎت اﻟطرف اﻟﺛﺎﻟث ھذه ﻋﺎدة ﺗﻘوم ﺑﺗوﺟﯾﮫ ﺣرﻛﺔ اﻟﻣرور اﻟﯾﮭﺎ ﺑدﻻ ﻣﻧك، وﺗﻧظﯾف اﻟﻣرور ،وﻣن ﺛم ﺗرﺳل ﺣرﻛﺔ اﻟﻣرور اﻟﺗﻲ ﺗم ﺗﻧظﯾﻔﮭﺎ ﺑﺎﻟرد ﻋﻠﯾك .وھﻛذا ،ﻓﺈن أﻧﺎﺑﯾب اﻹﻧﺗرﻧت اﻟﺧﺎص ﺑك ﺳﯾﻛون ﻓﻲ ﻣﺄﻣن. Cisco IPS Source IP Reputation Filtering ،Cisco Global Correlationھﻲ ﻗدرة أﻣﻧﯾﺔ ﺟدﯾدة ﻣن ﺳﯾﺳﻛو ،IPS 7.0ﺗﺳﺗﺧدم اﻻﺳﺗﺧﺑﺎرات اﻷﻣﻧﯾﺔ ھﺎﺋﻠﺔ. ﺷﺑﻛﺔ ﺳﯾﺳﻛو Cisco SensorBase Networkﺗﺣﺗوي ﻛﺎﻓﺔ اﻟﻣﻌﻠوﻣﺎت ﺣول اﻟﺗﮭدﯾدات اﻟﻣﻌروﻓﺔ ﻋﻠﻰ اﻹﻧﺗرﻧت ،ﻣﺳﻠﺳل اﻟﻣﮭﺎﺟﻣﯾن، اﻧﺗﺷﺎر اﻟﺑراﻣﺞ اﻟﺿﺎرة ،اﻟﺷﺑﻛﺎت اﻟﻣظﻠﻣﺔ ،و .botnet harvestersﺳﯾﺳﻛو IPSﺗﺟﻌل ﻣن اﺳﺗﺧدام ھذه اﻟﺷﺑﻛﺔ ﻟﺗﺻﻔﯾﺔ اﻟﻣﮭﺎﺟﻣﯾن ﻗﺑل اﻟﮭﺟوم ﻋﻠﻰ اﻷﺻول اﻟﮭﺎﻣﺔ .ﻣن أﺟل ﻛﺷف وﻣﻧﻊ اﻟﻧﺷﺎط اﻟﺿﺎر ﺣﺗﻰ ﻓﻲ وﻗت ﺳﺎﺑﻖ ،أﻧﮫ ﯾﺷﺗﻣل ﻋﻠﻰ ﺑﯾﺎﻧﺎت اﻟﺗﮭدﯾد اﻟﻌﺎﻟﻣﯾﺔ ﻓﻲ ﻧظﺎﻣﮭﺎ. 10.9اﺧﺘﺒﺎر اﻻﺧﺘﺮاق )(Dos/DDoS Penetration Testing اﻟﮭدف اﻟرﺋﯾﺳﻲ ﻟﻛل اﻟﻘراﺻﻧﺔ اﻷﺧﻼﻗﯾﯾن أو ﻣﺧﺗﺑر اﻻﺧﺗراق ھو إﺟراء اﺧﺗﺑﺎر اﻻﺧﺗراق ﻋﻠﻰ اﻟﺷﺑﻛﺔ اﻟﮭدف أو ﻣوارد اﻟﻧظﺎم ﺿد ﻛل ھﺟوم ﻣﺣﺗﻣل ﺳواء اﻷﻛﺑر واﻷﺻﻐر ﻣن أﺟل ﺗﻘﯾﯾم أﻣﻧﮭم .ﯾﻌﺗﺑر اﺧﺗﺑﺎر اﻻﺧﺗراق ﻣﻧﮭﺞ ﻟﺗﻘﯾﯾم اﻷﻣن .اﺧﺗﺑﺎر اﺧﺗراق دوس ھو ﻣرﺣﻠﺔ واﺣدة ﻓﻲ ﻣﻧﮭﺟﯾﺔ ﺗﻘﯾﯾم اﻷﻣن اﻟﺷﺎﻣﻠﺔ .ﯾﺻف ھذا اﻟﻘﺳم اﺧﺗﺑﺎر اﻻﺧﺗراق ﻟﮭﺟوم دوس واﻟﺧطوات اﻟﻣﺗﺑﻌﺔ ﻓﻲ اﺧﺗﺑﺎر اﺧﺗراق ھﺟوم دوس. Denial-of-Service (DOS) Attack Penetration Testing ﻓﻲ ﻣﺣﺎوﻟﺔ ﻟﺗﺄﻣﯾن اﻟﺷﺑﻛﺔ اﻟﺧﺎﺻﺔ ﺑك ،أوﻻ ﯾﺟب أن ﻧﺣﺎول اﻟﻌﺛور ﻋﻠﻰ ﻧﻘﺎط اﻟﺿﻌف اﻷﻣﻧﯾﺔ وﻣﺣﺎوﻟﺔ اﺻﻼﺣﮭﺎ ﻛﻣﺎ ﺗوﻓر ﻧﻘﺎط اﻟﺿﻌف ھذه ﻣﺳﺎر ﻟﻠﻣﮭﺎﺟﻣﯾن ﻻﻗﺗﺣﺎم اﻟﺷﺑﻛﺔ .واﻟﮭدف اﻟرﺋﯾﺳﻲ ﻣن ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ ھو ﺧﻔض أداء اﻟﻣوﻗﻊ اﻟﻣﺳﺗﮭدف أو ﺗﺣطﻣﮫ ﻟﯾﻘطﻊ اﺳﺗﻣرارﯾﺔ اﻷﻋﻣﺎل .ﯾﺗم ﺗﻧﻔﯾذ ھﺟوم ﺣﺟب اﻟﺧدﻣﺔ ﻋن طرﯾﻖ إرﺳﺎل طﻠﺑﺎت SYNأو pingﻏﯾر ﺷرﻋﻲ واﻟﺗﻲ ﺗطﻐﻰ ﻋﻠﻰ ﻗدرة اﻟﺷﺑﻛﺔ .طﻠﺑﺎت اﻻﺗﺻﺎل اﻟﻣﺷروﻋﺔ ﻻ ﯾﻣﻛن اﻟﺗﻌﺎﻣل ﻣﻌﮭﺎ ﻋﻧدﻣﺎ ﯾﺣدث ھذا .اﻟﺧدﻣﺎت اﻟﺗﻲ ﺗﻌﻣل ﻋﻠﻰ اﻷﺟﮭزة اﻟﺑﻌﯾدة اﻟﻣﺣطﻣﺔ ﺑﺳﺑب اﻟﺣزم اﻟﺗﻲ وﺿﻌت ﺧﺻﯾﺻﺎ ﻟﻐﻣرھﺎ ﻋﺑر اﻟﺷﺑﻛﺔ .ﻓﻲ ﻣﺛل ھذه اﻟﺣﺎﻻت ،اﻟﺷﺑﻛﺔ ﻻ ﺗﻔرق ﺑﯾن ﺣرﻛﺔ اﻟﺑﯾﺎﻧﺎت اﻟﺷرﻋﯾﺔ واﻟﻐﯾر ﺷرﻋﯾﮫ .ھﺟﻣﺎت اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ھﻲ طرق ﺳﮭﻠﺔ ﻹﺳﻘﺎط اﻟﺧﺎدم .اﻟﻣﮭﺎﺟم ﻻ ﯾﺣﺗﺎج أن ﯾﻛون ﻋﻠﻰ ﻗدر ﻛﺑﯾر ﻣن اﻟﻣﻌرﻓﺔ ﻟﻠﻘﯾﺎم ﺑﮭﺎ ،ﻣﻣﺎ ﯾﺟﻌﻠﮭﺎ ﺿرورﯾﺔ ﻻﺧﺗﺑﺎر ﻧﻘﺎط اﻟﺿﻌف .DoS vulnerabilitiesﺑﻣﺛﺎﺑﺔ إﻧك ﻣﺧﺗﺑر اﻻﺧﺗراق ،ﻓﺈﻧك ﺳوف ﺗﺣﺗﺎج إﻟﻰ ﻣﺣﺎﻛﺎة أﻓﻌﺎل اﻟﻣﮭﺎﺟم ﻟﻠﻌﺛور ﻋﻠﻰ اﻟﺛﻐرات اﻷﻣﻧﯾﺔ.
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1164 ﺗﺣﺗﺎج إﻟﻰ اﻟﺗﺣﻘﻖ ﻣﺎ إذا ﻛﺎن اﻟﻧظﺎم ﯾﻘﺎوم ھﺟﻣﺎت ﺣﺟب اﻟﺧدﻣﺔ أو ﯾﺣدث ﺗﺣطم ﻟﮫ .ﻟﻠﺗﺣﻘﻖ ﻣن ھذا ،ﺗﺣﺗﺎج إﻟﻰ ﻣﺗﺎﺑﻌﺔ ﺳﻠﺳﻠﺔ ﻣن اﻟﺧطوات اﻟﻣﺻﻣﻣﺔ ﻻﺧﺗﺑﺎر دوس. ﯾﺗم ﺳرد ووﺻف ﺳﻠﺳﻠﺔ ﻣن ﺧطوات اﺧﺗﺑﺎر اﻻﺧﺗراق دوس ﻋﻠﻰ اﻟﻧﺣو اﻟﺗﺎﻟﻲ: اﻟﺨﻄﻮة :1ﺗﺤﺪﯾﺪ اﻟﮭﺪف اﻟﺧطوة اﻷوﻟﻰ ﻓﻲ أي اﺧﺗﺑﺎر اﻻﺧﺗراق ھﻲ ﺗﺣدﯾد اﻟﮭدف ﻣن اﻻﺧﺗﺑﺎر .ھذا ﯾﺳﺎﻋدك ﻋﻠﻰ اﻟﺗﺧطﯾط وﺗﺣدﯾد اﻹﺟراءات اﻟﺗﻲ ﯾﺗﻌﯾن اﺗﺧﺎذھﺎ ﻣن أﺟل ﺗﺣﻘﯾﻖ اﻟﮭدف ﻣن اﻻﺧﺗﺑﺎر. اﻟﺨﻄﻮة :2اﺧﺘﺒﺎر اﻷﺣﻤﺎل اﻟﺜﻘﯿﻠﺔ ﻋﻠﻰ اﻟﺨﺎدم ﯾﺗم ﺗﻧﻔﯾذ اﺧﺗﺑﺎر اﻟﺣﻣل ﻋن طرﯾﻖ وﺿﻊ ﺣﻣل اﺻطﻧﺎﻋﻲ ﻓﻲ اﻟﺧﺎدم أو ﺗطﺑﯾﻖ ﻻﺧﺗﺑﺎر اﻻﺳﺗﻘرار واﻷداء .أﻧﮫ ﯾﻧطوي ﻋﻠﻰ ﻣﺣﺎﻛﺎة ﺳﯾﻧﺎرﯾو اﻟوﻗت اﻟﺣﻘﯾﻘﻲ .ﯾﻣﻛن اﺧﺗﺑﺎرھﺎ ﻋﻠﻰ ﺧﺎدم اﻟوﯾب ﺑﺎﺳﺗﺧدام اﻷدوات اﻟﺗﺎﻟﯾﺔ: :Webserver Stress Toolھو ﺑرﻧﺎﻣﺞ ﻻﺧﺗﺑﺎر اﻟﺗﺣﻣل واﻷداء ﻟﺧوادم اﻟوﯾب واﻟﺑﻧﻰ اﻟﺗﺣﺗﯾﺔ ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت .أﻧﮭﺎ ﺗﺳﺎﻋدك ﻓﻲ أداء اﺧﺗﺑﺎر اﻟﺣﻣل .اﻧﮭﺎ ﺗﺳﻣﺢ ﻟك ﻻﺧﺗﺑﺎر ﻣوﻗﻌك ﺑﺎﻟﻛﺎﻣل ﻓﻲ اﻟﺣﻣل اﻟﻌﺎدي )اﻟﻣﺗوﻗﻊ( .ﻻﺧﺗﺑﺎر اﻟﺣﻣل ﺑﺑﺳﺎطﺔ " "load testingﻋن طرﯾﻖ إدﺧﺎل ﻋﻧﺎوﯾن اﻟﻣواﻗﻊ ،وﻋدد ﻣن اﻟﻣﺳﺗﺧدﻣﯾن ،واﻟوﻗت ﺑﯾن ﻧﻘرات ﺣرﻛﺔ اﻟﻣرور ﻋﻠﻰ اﻻﻧﺗرﻧت اﻟﺧﺎص ﺑك .ھذا ھو اﺧﺗﺑﺎر "اﻟﻌﺎﻟم اﻟﺣﻘﯾﻘﻲ )." (real-world :Web Stress Testerھو أداة ﺗﺳﻣﺢ ﻟك ﻻﺧﺗﺑﺎر أداء واﺳﺗﻘرار أي ﺧﺎدم وﯾب وﺧﺎدم ﺑروﻛﺳﻲ ﻣﻊ ﺗﻣﻛﯾن .SSL/TLS JMeter اﻟﻣﺻدرhttp://jmeter.apache.org : JMeterھو ﺗطﺑﯾﻖ ﻣﻔﺗوح اﻟﻣﺻدر ﻋﻠﻰ ﺷﺑﻛﺔ اﻹﻧﺗرﻧت ﻻﺧﺗﺑﺎر أداء اﻟﻣوﻗﻊ واﻟﺗﻲ وﺿﻌﺗﮭﺎ أﺑﺎﺗﺷﻲ .ھذه اﻷداة ھو ﺗطﺑﯾﻖ ﺟﺎﻓﺎ ﻣﺻﻣﻣﺔ ﻻﺧﺗﺑﺎر ﺳﻠوك اﻟﺣﻣل وﻗﯾﺎس اﻷداء .ﺻﻣم أﺻﻼ ﻻﺧﺗﺑﺎر ﺗطﺑﯾﻘﺎت اﻟوﯾب وﻟﻛن ﻣﻧذ ذﻟك اﻟﺣﯾن وﺳﻌت إﻟﻰ وظﺎﺋف اﺧﺗﺑﺎرات أﺧرى. اﻟﺨﻄﻮة :3اﻟﺘﺤﻘﻖ ﻣﻦ وﺟﻮد اﻷﻧﻈﻤﺔ اﻟﺘﻲ ﺗﻜﻮن ﻋﺮﺿﺔ ﻟﮭﺠﻤﺎت دوس ﻣﺧﺗﺑر اﻻﺧﺗراق ﯾﺟب أن ﯾﺗﺣﻘﻖ ﻣن اﻟﻧظﺎم ﻟﻠﺣﺻول ﻋﻠﻰ ﻧﻘﺎط اﻟﺿﻌف ﻟﮭﺟوم ﺣﺟب اﻟﺧدﻣﺔ ﻋن طرﯾﻖ ﻓﺣص اﻟﺷﺑﻛﺔ .اﻷدوات اﻟﺗﺎﻟﯾﺔ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﻔﺣص ﻧﻘﺎط ﺿﻌف اﻟﺷﺑﻛﺎت: :Nmapھو أداة ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﻠﻌﺛور ﻋﻠﻰ ﺣﺎﻟﺔ اﻟﻣﻧﺎﻓذ ،واﻟﺧدﻣﺎت اﻟﺗﻲ ﺗﻌﻣل ﻋﻠﻰ ھذه اﻟﻣﻧﺎﻓذ .أﻧظﻣﺔ اﻟﺗﺷﻐﯾل ،واﻟﺟدران اﻟﻧﺎرﯾﺔ واﻟﻣرﺷﺣﺎت .ﯾﻣﻛن ﺗﺷﻐﯾل Nmapﻣن ﺳطر اﻷواﻣر أو ﻛﺗطﺑﯾﻖ واﺟﮭﺔ اﻟﻣﺳﺗﺧدم اﻟرﺳوﻣﯾﺔ. :GFI LANguardھو أداة ﺗدوﯾن اﻷﻣﺎن اﻟﺗﻲ ﺗﺣدد ﻧﻘﺎط اﻟﺿﻌف وﺗﻘﺗرح إﺻﻼﺣﺎت ﻟﺛﻐرات اﻟﺷﺑﻛﺔGFI LANguard . ﺗﻔﺣص اﻟﺷﺑﻛﺔ ،اﺳﺗﻧﺎدا إﻟﻰ ﻋﻧوان IPاو ﻣﺟﻣوﻋﺔ ﻣن ﻋﻧﺎوﯾن IPﻣﺣددة ،وﺗﻧﺑﯾﮫ اﻟﻣﺳﺗﺧدﻣﯾن ﺣول ﻧﻘﺎط اﻟﺿﻌف اﻟﺗﻲ ﺗواﺟﮭﮭﺎ ﻋﻠﻰ اﻟﻧظﺎم اﻟﮭدف. :Nessusھو ﻣﻧﺗﺞ ﻟﺗﻘﯾم ﻧﻘﺎط اﻟﺿﻌف واﻟﺗﻛوﯾن .وﯾﺗﻣﯾز ﺑ ،asset profiling ،configuration auditingاﻛﺗﺷﺎف اﻟﺑﯾﺎﻧﺎت اﻟﺣﺳﺎﺳﺔ ،إدارة اﻟﺗﺻﺣﯾﺣﺎت ،وﺗﺣﻠﯾل ﻧﻘﺎط اﻟﺿﻌف. اﻟﺨﻄﻮة :4ﺗﺸﻐﯿﻞ ھﺠﻮم SYNﻋﻠﻰ اﻟﺨﺎدم ﻣﺧﺗﺑر اﻻﺧﺗراق ﯾﺟب أن ﯾﺣﺎول ﺗﺷﻐﯾل ھﺟوم SYNﻋﻠﻰ اﻟﺧﺎدم اﻟرﺋﯾﺳﻲ .وﯾﺗم ذﻟك ﻋن طرﯾﻖ ﻗﺻف اﻟﮭدف ﻣﻊ ﺣزم طﻠب اﻻﺗﺻﺎل. اﻷدوات اﻟﺗﺎﻟﯾﺔ ﯾﻣﻛن اﺳﺗﺧداﻣﮭﺎ ﻟﺗﺷﻐﯾل ھﺟﻣﺎت .PHP DoS ،Sprut ،DoS HTTP :SYN اﻟﺨﻄﻮة :5ﺗﺸﻐﯿﻞ ھﺠﻤﺎت اﻟﻔﯿﻀﺎﻧﺎت ﻋﻠﻰ اﻟﻤﻨﻔﺬ " "port floodingﻋﻠﻰ اﻟﺨﺎدم ﻓﯾﺿﺎﻧﺎت اﻟﻣﻧﻔذ ﯾرﺳل ﻋدد ﻛﺑﯾر ﻣن ﺣزم TCPأو UDPإﻟﻰ ﻣﻧﻔذ ﻣﻌﯾن ،وﺧﻠﻖ اﻟﺣرﻣﺎن ﻣن اﻟﺧدﻣﺔ ﻋﻠﻰ ھذا اﻟﻣﻧﻔذ .واﻟﻐرض اﻟرﺋﯾﺳﻲ ﻣن ھذا اﻟﮭﺟوم ھو ﺟﻌل اﻟﻣﻧﺎﻓذ ﻏﯾر ﺻﺎﻟﺣﺔ ﻟﻼﺳﺗﻌﻣﺎل وزﯾﺎدة اﺳﺗﺧدام وﺣدة اﻟﻣﻌﺎﻟﺟﺔ اﻟﻣرﻛزﯾﺔ إﻟﻰ .٪100ﯾﻣﻛن أن ﯾﺗم ھذا اﻟﮭﺟوم ﻋﻠﻰ ﻣﻧﺎﻓذ TCPو .UDPوﯾﻣﻛن اﺳﺗﺧدام اﻷدوات اﻟﺗﺎﻟﯾﺔ ﻹﺟراء ھﺟوم ﻓﯾﺿﺎﻧﺎت اﻟﻣﻧﺎﻓذ: :Mutilateﯾﺳﺗﺧدم أﺳﺎﺳﺎ ﻟﺗﺣدﯾد اﻟﻣﻧﺎﻓذ اﻟﻣﻔﺗوﺣﺔ ﻋﻠﻰ اﻟﮭدف .ھذه اﻷداة ﺗﺳﺗﮭدف أﺳﺎﺳﺎ ﺷﺑﻛﺎت .TCP/IPﯾﺗم اﺳﺗﺧدام اﻷﻣر اﻟﺗﺎﻟﻲ ﻟﺗﺷﻐﯾل :Mutilate >mutilate
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
https://www.facebook.com/tibea2004
1165 اﻟﺨﻄﻮة :6ﺗﺸﻐﯿﻞ ﻗﺎذﻓﺔ اﻟﺒﺮﯾﺪ اﻻﻟﻜﺘﺮوﻧﻲ " "email bomberﻋﻠﻰ ﺧﺎدم اﻟﺒﺮﯾﺪ اﻻﻟﻜﺘﺮوﻧﻲ ﻓﻲ ھذه اﻟﺧطوة ،ﻣن اﺧﺗﺑﺎر اﻻﺧﺗراق ﯾﺗم ارﺳﺎل ﻋددا ﻛﺑﯾرا ﻣن رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ﻻﺧﺗﺑﺎر ﺧﺎدم اﻟﺑرﯾد اﻟﻣﺳﺗﮭدف .إذا ﻟم ﯾﺗم ﺣﻣﺎﯾﺔ اﻟﻣﻠﻘم ﺑﻣﺎ ﻓﯾﮫ اﻟﻛﻔﺎﯾﺔ ،ﻓﺈﻧﮫ ﯾﺗﻌطل .ﯾﺳﺗﺧدم اﻻﺧﺗﺑﺎر أدوات اﻟﻣﻠﻘم اﻟﻣﺧﺗﻠﻔﺔ اﻟﺗﻲ ﺗﺳﺎﻋد ﻋﻠﻰ إرﺳﺎل رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ھذه .وﺗﺳﺗﺧدم اﻷدوات اﻟﺗﺎﻟﯾﺔ ﻟﺗﻧﻔﯾذ ھذا اﻟﻧوع ﻣن اﻟﮭﺟوم: Mail Bomber اﻟﻣﺻدرhttp://www.getfreefile.com/bomber.html : Mail Bomberھﻲ أداة اﻟﺧﺎدم ﺗﺳﺗﺧدم ﻹرﺳﺎل رﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ اﻟﺳﺎﺋﺑﺔ ﺑﺎﺳﺗﺧدام اﻟﻘواﺋم اﻟﺑرﯾدﯾﺔ ﻋﻠﻰ أﺳﺎس اﻻﺷﺗراك " ."subscription-based mailing listsﻓﮭﻲ ﻗﺎدرة ﻋﻠﻰ ﻋﻘد ﻋدد ﻣن اﻟﻘواﺋم اﻟﺑرﯾدﯾﺔ ﻣﻧﻔﺻﻠﺔ ﻋﻠﻰ أﺳﺎس اﻻﺷﺗراﻛﺎت ،ورﺳﺎﺋل اﻟﺑرﯾد اﻹﻟﻛﺗروﻧﻲ ،وﺧوادم SMTPﻟﻣﺧﺗﻠف اﻟﻣﺗﻠﻘﯾن. Advanced Mail Bomber اﻟﻣﺻدرhttp://www.softheap.com : Advanced Mail Bomberﻗﺎدرا ﻋﻠﻰ إرﺳﺎل رﺳﺎﺋل ﺷﺧﺻﯾﺔ ﻟﻌدد ﻛﺑﯾر ﻣن اﻟﻣﺷﺗرﻛﯾن ﻋﻠﻰ ﻣوﻗﻊ ﻋﻠﻰ ﺷﺑﻛﺔ اﻻﻧﺗرﻧت ﻣن ﻗواﻟب ﻣﻌدة ﻣﺳﺑﻘﺎ .ﺗﺳﻠﯾم اﻟرﺳﺎﻟﺔ ﺳرﯾﻊ ﺟدا .ﻓﺈﻧﮫ ﯾﻣﻛن اﻟﺗﻌﺎﻣل ﻣﻊ ﻣﺎ ﯾﺻل إﻟﻰ 48ﻣن ﺧوادم SMTPﻓﻲ 48ﻣن اﻟﻣواﺿﯾﻊ اﻟﻣﺧﺗﻠﻔﺔ .ﺗﺣﺗوي اﻟﻘﺎﺋﻣﺔ اﻟﺑرﯾدﯾﺔ ﻋﻠﻰ اﻟﻣﺗﻠﻘﯾن ﻻ ﺣدود ﻟﮭﺎ ،ﺧوادم ،SMTPاﻟرﺳﺎﺋل ،اﻟﺦ .ھذه اﻷداة ﯾﻣﻛن أﯾﺿﺎ ﺗﺗﺑﻊ ﺗﻌﻠﯾﻘﺎت اﻟﻣﺳﺗﺧدﻣﯾن. اﻟﺨﻄﻮة :7اﻏﺮاق اﻟﻤﻮاﻗﻊ وﺳﺠﻞ اﻟﺰوار ﻣﻊ إدﺧﺎل وھﻤﻲ ""Flood the website forms and guestbook with bogus entries ﻓﻲ ھذه اﻟﺧطوة ،ﻣن اﺧﺗﺑﺎر اﻻﺧﺗراق ﯾﻣﻸ اﻟﻧﻣﺎذج ﻋﺑر اﻹﻧﺗرﻧت ﻣﻊ إدﺧﺎﻻت ﺗﻌﺳﻔﯾﺔ وطوﯾﻠﺔ .اﻟﻣﮭﺎﺟم ﯾرﺳل ﻋددا ﻛﺑﯾرا ﻣن ھذه اﻟﻣواد اﻟزاﺋﻔﺔ واﻟطوﯾﻠﺔ ،ﻗد ﻻ ﯾﻛون ﺧﺎدم اﻟﺑﯾﺎﻧﺎت ﻗﺎدرا ﻋﻠﻰ اﻟﺗﻌﺎﻣل ﻣﻌﮭﺎ واﺣﺗﻣﺎل ان ﯾﺗﻌطل. اﻟﺨﻄﻮة :8وﺛﯿﻘﺔ ﻟﺠﻤﯿﻊ اﻟﻨﺘﺎﺋﺞ ﻓﻲ ھذه اﻟﺧطوة ،ﻣن اﺧﺗﺑﺎر اﻻﺧﺗراق ﯾﺗم ﺗوﺛﯾﻖ ﺟﻣﯾﻊ ﻧﺗﺎﺋﺞ اﻻﺧﺗﺑﺎر ﻓﻲ ﺗﻘرﯾر اﺧﺗﺑﺎر اﻻﺧﺗراق.
اﻟﺣﻣد � ﺗﻌﺎﻟﻰ ،وﺑﺣول ﷲ ﺗﻌﺎﻟﻰ ﻧﻛون ﻗد اﻧﺗﮭﯾﻧﺎ ﻣن اﻟوﺣدة اﻟﻌﺎﺷرة واﻟﺗﻲ ﻟم اﺗﻘﯾد ﻓﻘط ﻓﯾﮭﺎ ﺑﻣﺎ ذﻛر ﻓﻲ ﻛﺗﺎب .CEHv8ﻟﻛﻧﻧﻲ ﻗد اﺳﺗﻌﻧت ﺑﺎﻟﻣراﺟﻊ اﻷﻛﺛر ﻗوه ﻓﻲ ھذا اﻟﻣﺟﺎل وﻓﯾﻣﺎ ﯾﻠﻲ ﻗﺎﺋﻣﺔ ﺑﺗﻠك اﻟﻣراﺟﻊ: Internet Denial of Service: Attack and Defense Mechanisms By Jelena Mirkovic DDoS SURVIVAL HANDBOOK )An Investigation into the Detection and Mitigation of Denial of Service (DoS Denial of Service attacks and mitigation techniques by SANS Internet Denial of Service Attacks and Defense Mechanisms By mehmud abliz Malware, Rootkits & Botnets A Beginner’s Guide Other information from other website
وﻧﻠﻘﺎﻛم ﻣﻊ اﻟوﺣدة اﻟﺗﺎﻟﯾﺔ:
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ
-
د .ﻣﺣﻣد ﺻﺑﺣﻲ طﯾﺑﮫ https://www.facebook.com/tibea2004