عندما تحدثت عن تقنية الحفرة السوداء Black Hole سأل أحد زوار المدونة سؤال قد يكون بسيط جدا ولايحتاج إلى شرح كثير ويمكن الاجابة عليه بكلمة واحدة فقط وهو كيف نكتشف هجمات الـ DOS & DDOS على الشبكة وعلى الاجهزة الموجودة داخلها لكن عندما فكرت بالرد, خطر على بالي أن أكتب أكثر وأتعمق في هذه الهجمات وكيف نكتشفها ونكتشف مصدرها وهي تدوينتي لهذا اليوم
كيف نكتشف هجمات الـ DOS & DDOS ؟
بكلمة واحدة نستطيع الأجابة على هذا السؤال “من المعالج” من لاتعتبر كلمة بل حرف جر :D, أرتفاع أداء المعالج وأستهلاك طاقته هو مبدأ هجمات الـ DOS & DDOS فهي تعمل على فكرة أرسال الآف الطلبات التى تسأل الجهاز المستهدف سؤال وهمي لاحاجة لها بمعرفة جوابه ومطلبه الوحيد هو الرد على كل طلباته الوهمية وأرهاق المعالج وأشغاله بأشياء تعيق عمله ووظائفه الرئيسية, ومع كثرة الأسئلة المطلوبة يصاب المعالج بالشلل ويتوقف عن الرد وعن معالجة الأمور الأساسية وتنجح الهجمة في تحقيق أهدافها وهذا هو سبب تسمية هذا النوع من الهجمات بهجمات حجب الخدمة والأختلاف الجوهري بين الأثنان هو أمكانية التحكم وتوزيع الهجوم من خلال شخص واحد فقط وهو مايعرف بي الـ DDOS .
لنعد الآن إلى سؤالنا الأساسي, كيف نكتشف الهجوم لكن لنضف عليه جملة وكيف نحدد هوية المهاجمين ؟ للأجابة على هذا السؤال يتطلب الامر منا معرفة أنواع الهجمات التى يمكن تنفيذها من خلال هجمات حجب الخدمة وهي كثيرة ولكن أغلبها يركز على بروتوكول الـ ICMP والـ TCP!!!. لماذا ICMP ؟ لأن لو حللت هذا المصطلح إلى إسمه الحقيقي لوجدت أن هذا البروتوكول هو نواة الهجوم الحقيقية بل ثنائي رائع يصلح لأحد أفلام هوليوود لان إختصار ICMP يشير إلى Internet Control Message Protocol , هل لاحظت معي الكلمة الثالثة من الاختصار Message ؟ نعم, تعني رسائل والرسائل تعني معلومات وفي الآخر تجد أمامك أن وظيفة البروتوكول هي توصيل الطلبات ورسائل الأخطاء والمشاكل التى قد تواجه الباكيت أثناء رحلتها عبر الشبكات والانترنت وهي الثغرة الأكبر في شبكات العالم كلها ومنها تتشكل الهجمة ويتم إعداد الطلبات وأبسط طلب من المجموعة هو آداة PING فأغلب أنظمة العالم وسيرفراتها يعمل عليها هذا البروتوكول وإن كان محدودا بعض الشيئ من بعض خياراته لكن يبقى وجود أمر مثل البينغ مفعلا عليه شيئ أكيد, سوف أتوقف هنا عن الحديث عن الهجوم فتفاصيله كثيرة ونحن مازلنا في مقدمة بسيطة فقط ولم ندخل في بروتوكولات آخرى والحماية منها أصعب بكثير من بروتوكول الـ ICMP مثل الـ TCP وفكرة طرح المثال على الـ ICMP من اجل مراعاة جميع فئات القراء ولأن هدفي ليس الهجوم بل أكتشاف الهجوم.
كما ذكرنا في بداية التدوينة أن أرتفاع معدلات أداء المعالج هي أكبر دليل على حدوث هجوم حجب الخدمة لكن كيف نبدأ تحديد هوية المهاجم وما الآلية التى يتبعها في تنفيذ الهجوم؟ Netstat ببساطة هو أحد الأدواة التي تحل لنا هذه المعضلة وهو سبب كتابتي لهذه التدوينة, فأداة الـ Netstat مع إمكانياته وخيارته الكثيرة, وظيفته الرئيسي هي أظهار جميع الـ Connections التى تتصل مع السيرفر أو الروتر أو أي جهاز قد يكون مستهدفا وهي مدعومة في أغلب أنظمة التشغيل الموجودة وأغلبنا يعلم إستخداماته وسوف أكتفي بالإشارة إلى الاوامر المستخدمة لتحديد الهجوم والآلية التى يعتمد عليها ( أقصد بالآلية نوعية الهجوم وأي بروتوكول يستخدم)
في ويندوز قم بتنفيذ الأمر التالي من خلال الـ CMD :
CMDnetstat –noa
CMD
netstat –noa
n: Displays active TCP connections.
o: Displays active TCP connections and includes the process ID for each connection.
a: Displays all active TCP connections and the TCP and UDP ports on which the computer is listening.
خيار الـ O في غاية الأهمية ولن أبوح لكم بالسبب وسوف أتركه لأحد خبراء الأمن والحماية ليشرحه لنا في سطران لأن فائدته كبيرة جدا وأرغب بسماع رائي الخبراء في فائدته.
في لينوكس قم بتنفيذ الامر التالي :
Terminalnetstat -ntu
Terminal
netstat -ntu
في لينوكس وعائلته وأولاده المحترمين نجد الخيارات أكبر وأقوى فالعائلة الكريمة أصل قوتها ينبع من موجه الاوامر أو كما يحب أن يطلق عليها مناصري الأنظمة المفتوحة الطرفية فالأمر السابق يقدم لك معلومات بسيطة مثل الأمر الموجود في مايكروسوفت لكن لو أردت الأحترافية فأستخدام الأمر التالي (حصلت عليه من الأنترنت) الذي يقدم لك المهاجم على طبق من ذهب ويخبرك مباشرة بالأيبي الأكثر إتصالا على جهازك ويرتبهم ترتيبا تصاعديا مع تحديد عدد مرات الأتصال المفتوحة.
Terminalnetstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr
Terminal
netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr
في سيسكو لن نجد أمر الـ Netstat وسوف نجد مجموعة من الأوامر تحدثت عنها في تدوينة سابقة لي ومخفية عن عيون الكثير منكم وأجزم بأن أحدكم لم يعرها أنتباها كبيرا وهي بدائل أمر الـ Netstat على أجهزة سيسكو والتى ادعوكم اليوم لزيارتها والاحتفال معي بمرور سنة وشهران على كتابتها.
وقبل أن أنهي حديثي بقي لدينا سؤال صغير كيف أعرف وأحدد هوية المهاجم ؟ تحدثت كثيرا في هذه التدوينة ولم نصل حتى الآن إلى إجابة مقنعة فلقد عرضت أوامر وتفاصيل ولم أحدد أجوبة مباشرة كما تعودتم مني, والسبب ببساطة يعود إلى وجود الكثير من المواضيع والمقالات التى تتحدث عن هذا النوع من الهجمات وأعتقد أن أغلبكم مطلع عليها وهدفي هو تقديم الأوامر فقط, فأكتشاف الهجوم ومصدره يتضح معك من خلال مشاهدة نتائج الأوامر السابقة فعندما ترى أن هناك أيبي معين يملك عدد كبير من الـ Connections معك فإذا هو المخرب ولاتتردد في حجبه من خلال الجدار الناري وقد يكونوا أكثر من أيبي وردة الفعل نفسها أي الحجب, وآخيرا أتمنى أن لايكون الموضوع قد أدى إلى طرح عشرات التساؤلات لديك فلقد أختصرت كثيرا وفضلت أن لا أكتب كثيرا في أمور قد يكون لها مراجع عربية كثيرة وخصوصا أن هجمات الـ DOS يتعلمها العربي على الأنترنت قبل أن يتعلم إستخدام محرك البحث غوغل لأن تحرير فلسطين وتدمير أمريكا سوف يكون من خلال هجمات حجم الخدمة كما تعودنا أن نشاهد على صفحات الانترنت العربية ودمتم بود.
