به گزارش پايگاه خبري پيرغار به نقل از ايسنا: تجربه نيز اينگونه ثابت کرده است که در موارد متعدد سايت‌هايي که اهميت و بازديد بيش‌تري دارند بيش از ساير سايت‌ها مورد علاقه هکرها قرار مي‌گيرند و در معرض حملات بيش‌تري قرار دارند. اما راه تشخيص اين حملات از چه قرار است؟

اگر جست‌وجويي کوتاه در اينترنت داشته باشيد علاوه بر مواجهه با ليستي بلند بالا از سايتهايي که هک شده‌اند و هر لحظه هم بر تعداد آن‌ها افزوده مي‌شود، در موارد متعدد حتي با سايتهايي روبه رو خواهيد شد که مدعي آموزش اينترنتي شيوه‌هاي هک کردن هستند.

به گزارش مرکز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه‌يي (ماهر)، هکرها به ابزارهاي حملات خودکار تزريق SQL و Remote File Inclusion علاقه ويژه‌اي دارند و با استفاده از نرم‌افزارهايي مانند sqlmap، Havij يا NetSparker، پيدا کردن و سوء استفاده از آسيب‌پذيري‌هاي وب‌سايت‌ها حتي براي مهاجمان تازه‌کار سريع و آسان است.

هکرها به سه دليل کليدي به ابزارهاي خودکار علاقه دارند. نخست اينکه اين ابزارها نياز به مهارت بسيار کمي براي استفاده دارند و اغلب به‌طور رايگان در دسترس هستند (از طريق فروم‌هاي هکرها يا سايت‌هاي توليد کنندگان آن‌ها که اين ابزارها را به عنوان ابزارهاي معتبر تست نفوذ طراحي کرده‌اند). دومين دليل اين است که اين ابزارها هکر را قادر مي‌سازند که در زماني کوتاه و با تلاشي کم به تعداد زيادي سايت حمله کند و بالاخره اينکه اين ابزارها استفاده بهينه را از سرورهاي آلوده که ممکن است تنها براي مدت محدودي در اختيار آنها باشند، به عمل مي‌آورند.

اما نکته مثبت اينجاست که درصورتي‌که شما بتوانيد راهي براي کشف و مسدود کردن حملات خودکار پيدا کنيد، خواهيد توانست حجم زيادي از حملات هکري را بر روي سايت خود متوقف کنيد. در اين گزارش نحوه شناسايي ترافيک خرابکارانه توليد شده توسط اين ابزارهاي خودکار شرح داده خواهد شد.

نشانه اول: نرخ بالاي درخواست ورودي

يکي از نشانه‌هاي کليدي يک حمله خودکار، نرخ رسيدن درخواست‌هاي ورودي است. احتمال اينکه يک انسان بتواند بيش از يک درخواست HTTP در هر 5 ثانيه توليد کند بسيار پايين است. اما ابزارهاي خودکار اغلب حدود 70 درخواست در دقيقه توليد مي‌کنند (يعني بيش از يک درخواست در ثانيه). يک انسان نمي‎تواند به‌طور عادي با اين سرعت کار کند.

اکنون مسأله ساده به نظر مي‌رسد. هر ترافيکي که با نرخي بيش از يک درخواست در 5 ثانيه برسد، بايد توسط اين ابزارها توليد شده باشد. اما متأسفانه قضيه به اين سادگي نيست.

نخست اينکه تمامي ترافيک‌هاي توليد شده توسط ابزارهاي خودکار، خرابکارانه نيستند. حجم قابل توجهي از ترافيک خودکار توسط کساني مانند گوگل توليد مي‌شود که تنها کاري که انجام مي‌دهند اين است که سايت شما را در فهرست خود قرار داده و اصطلاحا ايندکس مي‌کند تا ديگران بتوانند به سادگي شما را پيدا کنند.

از طرف ديگر تمام ترافيک‌هايي که با نرخ بالا وارد مي‌شوند، لزوما توسط ابزارهاي خودکار توليد نمي‌شوند. ممکن است به نظر برسد که سرويس‌هايي مانند شبکه‌هاي تحويل محتوا (content delivery) و پراکسي‌ها، منبع حجم زيادي از ترافيک هستند، اما ممکن است قضيه صرفا تراکم تعداد زيادي کاربر مختلف باشد.

اما نکته مهمتر اين است که بسياري از هکرها آنقدر پيچيده هستند که بدانند که توليد درخواست با نرخ بالا به سادگي قابل تشخيص است و در نتيجه تاکتيک‌هايي را براي جلوگيري از تشخيص اين ابزارها به کار مي‌برند. اين تاکتيک‌ها مي‌توانند به شرح زير باشند:

** کم کردن عمدي سرعت ابزار

کم کردن عمدي سرعت ابزار براي شبيه کردن الگوي ترافيک آن به ترافيک توليد شده توسط انسان يکي از راه هايي است که هکرها علاقه خاصي نسبت به آن نشان مي دهند.

**حمله به سايت‌هاي ديگر به‌طور موازي

اين کار عبارت است از استفاده از ابزارهاي حمله خودکار براي ارسال ترافيک به چند سايت به صورت گردشي. در نتيجه اگرچه ابزار درخواست‌ها را با نرخ بالايي توليد مي‌کند، اما هر سايت ترافيکي با نرخي مشابه ترافيک انساني دريافت مي‌کند.

**استفاده از چندين ميزبان براي اجراي حملات

اين روش پيچيده‌تر، هکرها را قادر مي‌سازد که به يک سايت طوري حمله کنند که تمامي ترافيک از يک آدرس آي‌پي واحد و قابل شناسايي ارسال نشود.

در نتيجه، نرخ بالاي ترافيک درخواست‌هاي ورودي فقط يک نشانه از حمله خودکار است. نشانه‌هاي ديگري نيز در اين مورد وجود دارند.

نشانه دوم: هدرهاي HTTP

هدرهاي HTTP مي‌توانند نشانه ارزشمند ديگري از طبيعت ترافيک ورودي باشند. براي مثال، ابزارهاي خودکار تزريق SQL مانند sqlmap، Havij و Netsparker همگي به درستي خود را در هدرهاي درخواست‌هاي HTTP توسط رشته‌هاي توصيفي عامل کاربر (User Agent) معرفي مي‌کنند. اين بدان علت است که اين ابزارها با اين هدف ساخته شده‌اند که براي تست نفوذ معتبر مورد استفاده قرار بگيرند. همينطور حملات نشأت گرفته از اسکريپت‌هاي Perl نيز ممکن است توسط يک عامل کاربر libwww-perl شناسايي شوند.

روشن است که هر ترافيکي که حاوي نام اين ابزارها در رشته عامل کاربر (User Agent) باشد بايد مسدود شود. قطعا اين رشته‌ها مي‌توانند تغيير کنند، ولي هکرهاي تازه‌کار اغلب از اين موضوع ناآگاه هستند.

حتي اگر ابزارها شامل رشته‌هاي معرفي کننده نباشند، تحقيقات Imperva نشان داده است که بسياري از اين ابزارها بخش‌هايي از اطلاعات هدرها را که اغلب مرورگرها در درخواست‌هاي وب انتظار آن را دارند، ارسال نمي‌کنند. اين بخش‌ها شامل هدرهايي مانند Accept-Language و Accept-Charset مي‌شود.

البته يک هکر زرنگ مي‌تواند سيستم خود را طوري پيکربندي کنند که اين هدرها را اضافه کند. ولي بسياري نيز اين کار را انجام نمي‌دهند. نبود اين هدرها بايد يک نشانه هشدار دهنده به شمار رود و در ترکيب با نرخ بالاي درخواست‌ها، نشانه‌اي بسيار قوي از ترافيک خرابکارانه محسوب مي‌شود.

*نشانه سوم: ردپاي ابزار حمله

ابزارهاي حمله گستره محدودي از فعاليت‌هاي مختلف را مي‌توانند انجام دهند. Imperva کشف کرده است که برخي اوقات با تحليل رکوردهاي ترافيکي که توسط حملات خودکار توليد مي‌شوند، مي‌توان به الگوهايي دست يافت (مانند رشته‌هاي خاص در دستورات SQL توليد شده در تزريق SQL) که به طور يکتا يک ابزار خاص را معرفي مي‌کنند. برخي اوقات اين رشته‌ها با بررسي کد منبع يک ابزار قابل کشف هستند.

اين ردپاها مي‌توانند اساس قوانين مسدود کردن در فايروال را تشکيل دهند، ولي توجه به اين نکته مهم است که ممکن است اين ردپاها در نسخه‌هاي بعدي ابزار تغيير کنند.

* نشانه چهارم: جغرافياي غير معمول

Imperva کشف کرده است که 30 درصد از حملات تزريق SQL با نرخ بالا از چين نشأت گرفته‌اند و ساير حملات از کشورهاي غير معمول نشأت مي‌گيرند. توصيه مي‌شود که در مورد ترافيک‌هاي توليد شده از کشورهايي که انتظار آن را نداريد، مشکوک باشيد.

يک افزايش ناگهاني در ترافيک توليد شده توسط مناطق جغرافيايي غير منتظره به تنهايي اثبات کننده هيچ چيز نيست، اما در ترکيب با ساير نشانه‌ها مانند هدرهاي HTTP يا نرخ بالاي درخواست ورودي، بايد مورد توجه قرار گرفته و يا حتي منجر به مسدود کردن کل ترافيک شود.

*نشانه پنجم: ليست‌هاي سياه آي‌پي

هر زمان که حمله‌اي توسط متدي تشخيص داده مي‌شود، آدرس آي‌پي منبع مي‌تواند ثبت شود. گروه تحقيقاتي Imperva کشف کرده است که حملات خودکار از يک آدرس آي‌پي يکتا معمولا تمايل دارند بين سه تا پنج روز از آن آدرس منتشر شوند.

اما برخي آدرس‌هاي آي‌پي براي هفته‌ها يا حتي ماه‌ها منبع ترافيک خودکار خرابکارانه باقي مي‌مانند. اين بدان معني است که آدرس‌هاي ليست سياه مي‌توانند در جلوگيري از حملات خودکار آتي از آن منبع بسيار سودمند باشند. ارائه دهندگان امنيت ابري مي‌توانند با قرار دادن هر سايتي که منبع حملات خودکار بر روي هريک از کلاينت‌ها است در ليست سياه، ساير کلاينت‌ها را نيز در برابر آن محافظت کنند.