دانشجویان کامپیوتر اصفهان

وب سایت سابق(( دانشجویان کامپیوتر جهاد دانشگاهی یزد - خرم آباد ))

(IDS سیستم های کشف مزاحمت )

این سیستم کشف مزاحمت که به اختصار IDS نامیده می شود، برنامه ایست که با تحلیل ترافیک جاری شبکه یا تحلیل تقاضا سعی در شناسای فعالیت های نفوذگر می نماید و در صورتی که تشخیص داد ترافیک ورودی به یک شبکه یا ماشین از طرف کاربران مجاز و عادی نیست بله از فعالیتهای یک نفوذگر ناشی می شود و به نحو مناسب مسئول شبکه را در جریان می گذارد، یا یک واکنش خاص نشان می دهد. در حقیقت IDS نقش آژیر دزدگیر شبکه را ایفا می نماید.


سیستم IDS  در دوسطح " لایه شبکه " و " لایه کاربر " عمل می کند و مکانیزم هر یک با یکدیگر متفاوت است.

عملکرد IDS مبتنی بر لایه شبکه

در این نوع سیستم کشف مزاحمت، IDS تمام بسته های IP وارده به شبکه محلی را دریافت ، جمع آوری و پردازش می کند و پس از تحلیل بسته ها، بسته های معمولی و بسته های مزاحم ( متعلق به نفوذگر را تشخیص می دهد. IDS باید انبوهی از بسته های IP ( و محتویات آنها شامل بسته های TCP و UDP )  را مرتب کرده و بروز واقعی یک حمله را تشخیص بدهد.

بطور معمول سیستم های IDS یک بانک اطلاعاتی از الگوی حملات مختلف  در اختیار دارند. ( به این بانک اطلاعاتی ، بانک ویژگی ها و امضای حمله Features & Attack Signatures ) گفته می شود) در حقیقت اکثر سیستم های خود راب رتطابق الگوی حمله با ترافیک موجود در شبکه متمرکز کرده اند و هرگاه الگوی ترافیک جاری در شبکه با ویژگی یکی از حملات منطبق باشد یک حمله گزارش خواهد شد. لذا نفوذگر برای فرار از IDS، سعی می کند به روش های مختلف مراحل حمله را بگونه ای سازندهی کند که IDS آنرا ترافیک معمولی و طبیعی بپندارد.

وقتی حمله ای کشف شود، سیستم IDS با ارسال E-MAIL ، سیستم پی جو ( Pager) یا به صدا درآوردن بوق آژیر آنرا به اطلاع مسئول شبکه و در عین حال به تعقیب حمله ادامه می دهد .

حال باید دید نفوذگر به چه نحوی تلاش می کند از IDS مبتنی بر لایه شبکه فرار کند؟ نفوذگر از مکانیزم های زیر برای فرار از IDS (  IDS Evasion ) بهره می گیرد:

·         ترافیک ارسالی به شبکه هدف بگونه ای تنظیم می شود که با الگوی هیچ حمله ای تطابق نداشته باشد . در چنین حالتی ممکن است نفوذگر از برنامه نویسی استفاده کند چرا که ابزار های موجود الگوی حمله شناخته شده ای دارند.

 

·         بسته های ارسالی به یک شبکه بگونه ای سازماندهی می شوند که عملکرد دقیق ان فقط در ماشین نهایی ( Host ) مشخص شود.

برای روشن شدن نکات ابهام در روش های فوق به چند مثال عملی خواهیم پرداخت:

بگونه ای که در TCP/IP تشریح شد یک بسته IP  بزرگ می تواند به یک سلسله از قطعات مختلف از طریق شبکه ارسال شده و نهایتا در ماشین مقصد باسازی خواهند شد. وقتی سیستم IDS با بسته های قطعه قطعه شده IP مواجه می شود باید همانند ماشین نهایی آنها را دریافت و باسازی نماید. نفوذگر می تواند بسته های IP را مواجه می شود باید همانند ماشین نهائی آنها را دریافت و باسازی نمائید. نفوذگر می تواند بسته های IP را در قطعات بسیار کوچک (مثلا 8 بیتی ) شکسته و آنها را ارسال کند. در ضمن برای فلج کردن IDS ، بسته های IP بسیار زیاد و قطعه قطعه شده بی هدفی را نیز لابلای بسته های حمله ارسال می کند. IDS باید بافر بسیار زیادی در اختیار داشته باشد تا بتواند ضمن باسازی قطعات شکسته شده ، درون آنها به جستجوی الگوی حمله بپردازد .

تا تابستان سال 2000 تقریبا هیچ سیستم IDS وجود نداشت که قادر به باسازی قطعات بسته های IP باشد لذا هر نفوذگری با قطعه قطعه کردن بسته های IP          ( محتوی بسته TCP یا UDP ) از سیستم IDS فرار می کرد. بعنوان مثال ابزار Snort ( که یک نرم افزار Open source و رایگان است ) بعنوان یک سیستم IDS بسیار معروف ، تا سال 2000 در مقابله با بسته های قطعه قطعه شده ناتوان بود!

در ضمن نفوذگر می تواند قطعه قطعه کردن بسته IP را به روش های نا متعارف انجام بدهد بگونه ای که سیستم IDS نتواند بدرستی آنرا باسازی کند.


نویسنده : م . رحمتی - ساعت ۱۱:۳۸ ‎ب.ظ روز سه‌شنبه ۱۳۸٧/٤/٢٥
نظرات ()    |   لینک ثابت    |   تگ کامپیوتر


Powered By Persianblog.ir - Designed By Payam salami pargoo