مفاهيم هجوم Sockstress

مقدمة

يعتبر Sockstress من أخطر أنواع هجوم الـ (DoS)، حيث أن هذا الهجوم يعتمد على إكمال الـ (TCP 3-Way Handshaking) حتى يظهر بأنه عملية إتصال طبيعية، ويحتاج إلى إمكانيات قليلة مقارنة بالأنواع الأخرى من هجوم الـ (DoS)، ويعتمد بشكل أساسي على خاصية الـ (Window Size).
إن من التحسينات التي تمت على الـ (TCP) هو استخدام خاصية الـ (TCP Window Size)، فبعد القيام بعملية (3-Way Handshaking) يتبادل جهاز الـ (Server) مع جهاز الـ (Client) حجم المعلومات التي يستطيع استقبالها في كل (Packet) دون الحاجة إلى تأكيد (Ack) في هذه العملية الأخيرة.
هجوم (SockStress) يعتمد على إستخدام هذه الخاصية لاستنزاف موارد الـ (Server), حيث يقوم هذا الهجوم باستنزاف الذاكرة لدى الـ (Server) بسرعة فائقة من خلال تقليص حجم الـ (TCP Window Size), هذا الهجوم فعال على كل أنظمة التشغيل(Windows , LinuxM , BSD) و جميع أجهزة الشبكات (Routers, L3 Switches) و أي تطبيق يقبل الاتصال على بروتوكول الـ TCP.

مفهوم هجوم الـ Sockstress

1) يبدء المهاجم الإتصال مع الـ (Server) من خلال عملية (TCP 3-Way Handshaking) طبيعية.
2) يقوم المهاجم بإرسال (2 TCP Queries) على التوالي إلى الـ (Server)
2.a) طلب معلومات عادية من الـ (Server) تتطلب رداً إلى الـ (Client).
2.b) الـ (TCP Packet) تعلم الـ (Server) أن جهاز الـ (Client) لا يستطيع أن يستقبل أي معلومات حالياً (Window Size = Zero).

3) يبقي المهاجم الإتصال مفتوح، وبنفس الوقت يبقي (Window Size = 0) بمعنى أنه لا يستطيع أن يستقبل أية معلومات.

4) كنتيجة لهذا الاتصال, فإن الـ (Server) بداية يقوم بتحضير المعلومات التي طلبها الـ (Client)، لكنه يبقيها في الذاكرة لأن العميل قد أخبره مباشرة بعد طلبه هذه المعلومات أنه لا يستطيع إستقبالها، وكنتيجة لذلك فإن ذاكرة الـ (Server) تمتلئ بوقت قياسي عندما يقوم المهاجم بتكرار هذا الإتصال لفترة قليلة نسبياً، مما يؤدي إلى عدم تمكن الـ (Server) من التعامل مع أي إتصال جديد والوصول إلى حالة من الـ (Memory Overflow)، وهي النتيجة التي تحصل عادة من جميع أنواع هجوم الـ (DoS).

لتحميل أداة هذا الهجوم ورؤية طريقة إستخدامها على الرابط التالي:
https://defuse.ca/sockstress.htm

حيث أنني وجدت في هذا الموقع شرحاً مبسطاً لإستخدام هذه الأداة للقيام بهجوم (SockStress), لكن يرجى العلم بأن طريقة الحماية المشروحة في هذا الموقع غير عملية أبداً وغير مجدية.
وأقترح هنا استخدام (Proactive Intrusion Prevention)، مثل NETASQ الذي يقوم بعمل فحص كامل لـِ (TCP)، ويقوم بمتابعة حالة جميع الإتصالات المفتوحة، وبإستخدام التحليل الإحصائي والإعتماد على تحليل الـ (Heuristic) يستطيع التمييز باختلاف حجم الـ (Window Size)، وتحديد ما يصلح منها. وكنتيجة لذلك فإنه يسمح فقط للإتصالات الحقيقة بالوصول إلى الـ (Server)، وإيقاف جميع إتصالات الهجوم.

نبذة عن الكاتب

يعمل كممثل تقني لشركة (NETASQ) الفرنسية في الشرق الأوسط، متخصص في الحماية وأمن المعلومات. يحمل عدة شهادات, منها: NETASQ: CNA - CNE - CNEP - CNAI - CNEI CISCO: CCNA - CCNP - CVOICE

التعليقات:

أضف تعليقاً | عدد التعليقات: (12)

  1. شكرا أخوي نبراس على الموضوع و سيتم تجربة الأداة بشكل مكثف

    أتمى أجد وقت أن أكتب تقرير عن الأداة بشكل تفصيلي.

    تحياتي و احترامي

  2. Bader Shaath قال:

    مقالة جميلة

    شكرا على جهودك

  3. عندما قرأت العنوان، تساءلت فوراً: من هذا الذي يعرف عن هجوم Sockstress أيضاً؟ 🙂

    سلامي للجميع في NETASQ! اشتقت اليكم

  4. نبراس القرشي قال:

    شكراً بدر.
    شكراً رامي واشتقنالك أيضاً 🙂

  5. GNOM قال:

    شكراً لك اخي نبراس
    بس كان لازم توضح اهم شي وهو ان المهاجم يحتاج لكثير من الاجهزة ليقوم بهذا النوع من الهجمات /more than 10 IP

  6. مايكل حدادين قال:

    شكرا لك على هذا الموضوع القيم 🙂

  7. نبراس القرشي قال:

    الأخ (GNOM)
    قد كنت أفترض ذلك لكنني لم أوضحها، فشكراً لك على التصويب

  8. عبدالقادر محمد قال:

    شكرا ع الموضوع الرائع

  9. خالد عوض قال:

    مقال مميز أخي وشكراً للمعلومات الجديدة

  10. علي الوشلي قال:

    مقال جيد
    اشكرك اخي
    اتمنى لك التوفيق

  11. حذف الملفات بطريقة آمنة ومنع استرجاع الملفات المحذوفة
    http://www.ameeralaomara.net/2014/04/eraser.html

أكتب تعليق