Protecting Against Protocols Attacking

[คђ๓є๔ ๓๏รtคŦค]

Protecting Against Protocols Attacking

الكاتب : B-r00t

هناك أنواع مختلفة وكثيرة جدا من الهجوم على جهازك أثناء العمل على الشبكة
(أكثر بمراحل من أن اجمعها في موضوع واحد) ولكن سألخص بروتوكولات الأتصال هنا وطرق الهجوم عليها وسبل الحماية منها وانظمة التشغيل المتضررة بكل هجوم.


النوع الأول :
هجوم (ICMP) (Internet Control Message Protocol). وهو يعتمد على أرسال رسائل خطأ مضمونة في حزمة واحدة على TCP/IP. على سبيل المثال أذا اردت الأتصال بهوست معين مثل IRC Servers وتجد صعوبة في الأتصال به وبرسالة مثل ( Host Unreachable ) أو ( Connection Time Out ) وهو من نوع ICMP_Unreach Packets
والـICMP يمكن أستخدامه أيضا لمعرفة معلومات عن شبكة معينة.
والسؤال الآن هو كيف يمكن لهذا الهجوم ان يلحق الضرر بك؟ والأجابة هي انه عند ارسال ارسال حزم كبيرة و سريعة من Ping الى TCP/IP الخاص بك (وهذا ما يسمى بالفلود Flood) ويتوجب على جهازك تحليل كل حزمة وتفصيلها والرد عليها وهذا بالتأكيد مالا يستطيعه لكبر حجمها وكثرتها مما يؤدي غالبا الى عمل Reset Connection سواء كان اتصال بهوست معين أو بموفر الخدمة الخاص بك ايضا ISP
والآن تخيل مثلاً خمسمائة جهاز يوجهون هجوما قويا ومتتاليا على سيرفر معين (مثلا سيرفر http://www.israel.gov)،/ هذا السيرفر لن يتمكن من الرد على كل اتصال موجه له بنفس الوقت بهذا الحجم والسرعة العاليين. مما يؤدي غالبا (بأستخدام توقيت وتخطيط مناسب) الى عزل هذا تقريبا عن بقية الشبكة .
ونوع آخر شهير جدا ويكثر أستخدامه في سيرفرات الايرسي او الشات وهو ICMP_Protocol_Unprotocol وهذا النوع يمكن أستخدامه لفصل أتصالك بسيرفر محادثة معين. مثلا سيرفر irc.msn.com لو انك متصل به على سيرفره عبر المنفذ 6667 ( منفذ شبكة محادثة MSN ) وحدث انه تم قطع اتصالك بالسيرفر عدة مرات متتالية دون سبب محدد، فأنك قد تعرضت للهجوم على TCP/IP الخاص بك من النوع المذكور سابقا والذي يعتمد على ارسال رسائل عديدة وسريعة الى المنفذ 6667 من جهاز العدو وعبر سيرفر المحادثة واخيرا الى جهازك مما يؤدي الى تضعيف المنفذ 6667 وبالتالي قطع اتصالك بالسيرفر المذكور.

والحماية من هذا النوع من الهجوم كالتالي:
برامج عديدة يمكنك استخدامها مثل الفايروول الذي يوفر درجة معقولة من الحماية ضد هذا الهجوم. وهناك ايضا برامج كتبت خصيصا لمنع مثل هذا الهجوم مثل
Nuke Napper
ICMP Watcher
ConSeal PC Firewall
والتي تقوم بحجب هذه الحزم عن جهازك ( Blocking ICMP Packets )
(ملحوظة: جميع البرامج السابقة لا توفر الحماية 100% وانما هي مضمونة اذا كنت معرض لهجوم من مصادر محدودة او مصدر واحدبأتصال غير قوي جدا)

نوع اخر من الحماية هو الباتشات التي تطلقها الشركات مثل الباتش الذي اطلقته مايكروسوفت لمستخدمي ويندوز 95 لأغلاق منفذ 139 ضد هجوم معين منICMP و هو SPing والذي كان يؤدي الى عمل Reset Connection بالشبكة بالكامل. وبالطبع تمت معالجة هذا العيب في الأصدارات التالية من ويندوز. وبرغم انه نوع قديم من الهجوم واغلب الأنظمة الآن متوفرة لديها الحماية منه الا اني متأكد بانه مازال هنالك اشخاص معرضين لمثل هذا النوع من الهجوم.

الأنظمة المعرضة لهجوم الـICMP
ويندوز 95 وويندوز NT الأصدار القديم كانا معرضين لخطر الهجوم من قبل فلود الـICMP الذي كان يؤدي الى عمل كراش Crash لهما. وبغض النظر عن اي نظام تستخدم فأنه معرض لخطر الفلود من قبل ICMP.

-------------------------------------------------------------------------------------------------------------------
UDP :
User Datagram Protocol وهو مصمم لبرامج معينة لا تحتاج الى تقسيم رسائلها الى حزم اصغر وارسالها مثل TCP الذي سيتم شرحه لاحقا. وهو بالضبط كالـ TCP\IP من حيث تقسيمه الى منافذ متعددة لتتمكن عدة برامج من استخدامه في نفس الوقت. ويحتوي على رأس توجيهي مثل التي سي بي ايضا ولكنه اقصر منه. وعلى كل حال له ارقام للمصدر وارقام للوجهة. وهذا البروتوكول يستخدم غالبا في عملية البحث عن اسم موقع كما سيتم شرحه بالاسفل.
من السابق نستنتج ان الفلود هذا البروتوكول يكون ضعيف جدا مقارنة بغيره من البروتوكولات وذلك لصغر حجم بياناته. ولكنه هجوم لايمكن تجاهله وبخاصة اذا وصل الى مرحلة عالية وسرعة عالية فأنه يؤدي الى أبطاء اتصالك ونادرا ما يقطع اتصالك.

الحماية:
البرنامج الوحيد الذي رأيته ويقوم بالحماية من فلود UDP هو ConSeal Firewall. ولكنني متأكد من وجود أدوات اخرى للحماية منه

أنظمة التشغيل المتضررة منه:
جميع اصدارات Windows وحتى UNIX نفسه من الممكن ايقافه اذا وجهت له حزم ضخمة من اليو دي بس في الوقت المناسب

-------------------------------------------------------------------------------------------------------------------
TCP :
Transmission Control Protocol. وهو بروتوكول مسؤول عن تقسيم الرسائل الواردة الى حزم صغيرة ومن ثم يعيد تجميعها بشكل وترتيب جديد ليتمكن جهازك من قراءتها. وفي اغلب البرامج تكون الرسائل صغيرة بحيث يمكن ضمها في حزمة واحدة فقط. مثلا عند كتابتك لموقع في متصفحك فان نظامك يتوجب عليه ان يقوم بعملية التحويل الشهيرة من اسم الى عنوان (شبيه برقم الآيبي) ومن ثم يرسل الأمر بالبحث عنه والذي عادة ما يكون في حزمة واحدة.
TCP بالطبع يقوم بأعمال اخرى اضافة لعملية التقسيم والتجميع فأنه يقوم بالتأكد من وصول المعلومة المطلوبة الى جهازك وأعادة ارسال حزمة الطلب اذا توجب الأمر.
والسؤال هنا: كيف يمكن الهجوم على بروتوكول كهذا يقوم بتقسيم الرسائل الكبيرة!?
الأجابة هي انه يمكن الهجوم عليه مثل الهجوم على النظامين السابقين بالضبط أي عن طريق الفلود. وهنا يكون عن طريق ارسال حزم طلب كثيرة اليه وبالطبع سيحاول الرد عليها كلها وهذا مالايستطيعه وبخاصة اذا كانت الحزم كثيرة جدا وفي وقت زمني قليل. وعند كمية معينة بسرعة عالية معينة تعتمد على قوة اتصالك يبدأ التأثير الكبير لهكذا هجوم.

الحماية منه :
بالطبع برامج الفايروول وبرامج اخرى عديدة تجدها بمواقع الهكر منتشرة وتقوم بحمايتك من الفلود الموجه للـTCP الخاص بك.

أنظمة التشغيل المتأثرة:
جميع اصدارات الويندوز تتأثر بهذا الهجوم وأيضا جميع طبقات اليونكس تتأثر بهجوم معين يؤدي الى ايقافها مؤقتا (لاق Lag) أو حتى فصل اتصالها وبالطبع يعتمد على درجة الحماية للسيرفر المتعرض للهجوم.

ملاحظة: أشهر واكثر برنامج منتشر يقوم بالهجوم على هذا البروتوكول لنظام ويندوز هو برنامج Port Fuck الذي يقوم بالأتصال عبر منافذ التي سي بسرعة علية ومن ثم الفصل واعادة العملية عدة مرات بسرعة. وبالنسبة للينوكس فهنالك انواع عديدة من نصوص (.C) التي تقوم بهجوم كهذا.

-------------------------------------------------------------------------------------------------------------------
OOB :
Out Of Band. وهو خطير جداً لأنه لا يحتاج لعمل شئ كثير لأنشاء تأثير كبير في جهاز الضحية.
وعن طريق أرسال معلومات OOB الى منفذ رقم 139 الخاص بويندوز NT (الأصدارات القديمة بالطبع) فأنه من الممكن بسهولة أحداث أثر كبير في جهاز الضحية منها تدمير TCP الخاص بجهاز الضحية (stop 0xA error in tcp.sys). وكل ما تحتاج اليه هو الأتصال بالمنفذ المفتوح فقط (Connect the Socket). أي بالطريقة التالية: (الأتصال بمنفذ رقم 139 في جهاز الضحية ومن ثم المعلومات المضرة به - send the MSG_OOB flag set).
وبالطبع فأن ويندوز 95 كذلك معرض لهذا النوع من الهجوم ولكن بضرر أقل حيث انه لا يتم تجميده بالكامل ولكن يفقد أتصاله او يضعفه.
وقد تجد صعوبة في تنفيذ الكلام السابق ولكن لاداعي لأجهاد نفسك فبرامج الهجوم عن طريق OOB تكاد تملأ مواقع الهكر في كل مكان وبأشكال والوان عديدة مثل برنامح Win Nuke القديم، والتي لا تطلب منك سوى رقم الآيبي للضحية فقط ومن ثم الضغط على زر Nuke. ولكنه أيجاد ضحية يتضرر بهجوم كهذا قريب من المستحيل في الوقت الحالي.
وبالطبع وجود عيب كهذا في نظام شهير ومنتشر كالويندوز يؤدي الى وجود Batch مخصص لأغلاق المنفذ واصلاح النظام. (يعني ترقيع). أسم الباتش (OOB Fix) ويمكنك الحصول عليه من اي موقع هكر تقريبا.

الحماية من OOB:
كما ذكرت سابقا يمكنك استخدام رقعة المايكروسوت او هنالك عدة برامج تحمي من مثل هذا الهجوم عن طريق مراقبة المنفذ 139 وصد الهجوم القادم عبره. وتقريبا جميع انواع الفايروول تتعرف على هجوم قديم كهذا.

أنظمة التشغيل المتضررة بالـOOB:
ويندوز 95 وويندوز NT القديم -كما ذكرت سابقا- تتضرر بهكذا هجوم عليها.

-------------------------------------------------------------------------------------------------------------------

طرق عديدة للحماية او تجنب انواع الهجوم السابقة:
1/ هناك أنواع عديدة من الفايروول ولكن افضلها على الأطلاق هو نوع ( Signal9 ConSeal PC Firewall ) الذي يقوم بمسح ومراقبة جميع انواع الأتصال من والى جهازك والتعرف على الضار منها وحجبه. ويقوم ايضا بعزل جهازك نهائياً عن اي اتصال خارجي مشكوك فيه مثل Port Scan و Finger وغيرها. وأعتقد بحسب تجاربي ان هذا البرنامج هو افضل برنامج حماية لجميع انواع الهجوم السابقة وغيرها ايضا.

2/ سبوف آيبي (Spoofing)
وهنالك طرق عديدة للسبوف وبرامج عديدة أيضا لعمل سبوف . ومن الأمثلة لسيرفرات السبوف هي: WinGates عبر المنفذ 23 و Proxy عبر المنفذ 81 غالبا و Firewall Socks عبر المنفذ 1080. وجميعها متشابهة تقريبا في الفكرة وأن اختلفت انظمتها وطرقها وبرامجها. حيث تقوم انت بتقمص معلوماتها والدخول الى اي مكان (مثل الايرسي) بمعلومات مزيفة والتي هي معلومات السيرفر الذي تقمصته في أتصالك. وهنالك بالطبع برامج كثيرة لها وبعض انواع السبوف لاتحتاج الى برامج (مثل الاتصال بالايرسي عن طريق السوكس فايروول او الوين قيت). ويمكنك ايضا استخدام سيرفرات البروكسي المستضيفة اثناء تجولك في المواقع لأخفاء المعلومات التي قد تدلل اليك.

3/ الخبرة:
بالطبع هنالك خدع عديدة يمكنك القيام بها لمراقبة نظامك وحمايته وبالطبع تحتاج الى خبرات معينة لا املكها انا ولكن عليك بالحذر قبل الخوض في نظامك وتقليبه لأنك قد تلحق الضرر به وبالتالي اعادة تنصيبه.

4/ الباتشات:
بعض انواع الهجوم السابقة قد لا يصح تسميتها بالهجوم. وأنما هي أخطاء او عيوب في نظام معين يتم أستغلالها بطريقة معينة للتأثير على نظامك (مثل هجوم OOB وبعض انواع DoS ). ووجود عيوب في نظام معين يؤدي الى برمجة وتطوير باتشات معينة تقوم بتصحيح الخطأ في نظامك.(مثل باتش اغلاق المنفذ 139 للويندوز 95 ضد هجوم OOB).
وبالطبع هنالك عيوب في كل نظام تشغيلي مهما كانت قوته وتحصينه حتى في نظام اللينوكس وبالتالي باتشات مصححة لعيوب كهذه فقط عليك بالبحث عنها او برمجتها بنفسك اذا كنت تملك الخبرة والفكرة المتكاملة عن العيب. وبالطبع كل أصدار جديد يقوم بتصحيح عيوبه السابقة ولكنه يأتي بعيوب واخطاء جديدة يمكن استغلالها للتأثير عليه. على سبيل المثال ويندوز 95 الذي تم اكتشاف العيب في المنفذ 139 الخاص به وبالتالي عندما يسمع صاحب النظام عن عيب كهذا في نظامه (مثل بيل قيتس الجائع للمال) فأنه لا يسمح بخسارة الـ$$$ فيقوم بتوزيع الباتش ونشره بموقعه.
الفكرة السابقة يمكن تلخيصها في المتسلسلة التالية
نظام جديد –> عيوب –> اكتشاف للعيوب واستغلالها –> ضهور الرقعه –> أصدار جديد من النظام يتلافى عيوب السابق –> اكتشاف عيوب جديدة للأصدار الجديد -> ............ ألخ.
ومنذ خمس سنوات وويندوز مازال بعيوب الى الأن وسيستمر كذلك.
والحل الأسلم اذا كنت تريد الطريق الطويل هو العمل على نظام قوي وبعيوب قليلة جدا مثل اللينوكس ريد هات. واستخدام برامج الحماية اللازمة لمراقبة اتصالك. ايضا حاول استخدام الوين قيت او السوكس كلما تمكنت من ذلك.