انواع حملات بر روی پروتکل ها و سیستم های روتینگ
شنبه, ۲۴ اسفند ۱۳۹۲، ۰۹:۲۵ ب.ظ
حملات رایج بر روی سیستم های روتینگ به 2 صورت انجام میگیرد . قطع ارتباط و دستگاری اطلاعات روتینگ
قطع ارتباط (Disrupting Peering )
این نوع حملات سعی دارند تا ارتباط کاربران در داخل یک شبکه را قطع کنند و کارکرد سیستم های روتینگ را مختل کنند. اما به محض اینکه حمله متوقف شود الگوریتم های روتینگ سریعا میتوانند جدول روتینگ خود را بازسازی کرده و ارتباطات را از سر بگیرند .به عنوان مثال اگر دو روتر همسایه که با پروتکل OSPF پیکربندی شده اند در صورت قطع ارتباط ، بلافاصله میتوانند جدول روتینگ یکدیگر را شناسایی کرده و عمل روتینگ را به حالت اولیه برگردانند. البته با استفاده از تکنیک هایی میتوان جلوی این حملات را گرفت .
دستکاری اطلاعات روتینگ (Falsifying Routing Information )
این حمله به منظور تغییر اطلاعات جدول روتینگ یک پروتکل استفاده می شود. در واقع هدف اصلی این است تا اطلاعات به مسیر دیگری یا مقصد دیگری منتقل شوند. این حملات به 3 دسته تقسیم می شوند.
1- هدایت اطلاعات به مسیری که منجر به ایجاد حلقه شود
1- هدایت اطلاعات به مسیری که منجر به ایجاد حلقه شود
به تصویر زیر دقت کنید . همان طور که مشاهده میکنید بهترین مسیر برای رسیدن از روتر A به روتر C ، گذر از روتر D است . ( همان طور که در شکل مشخص کرده است ) . حال اگر یک مهاجم جدول روتینگ روتر C را به نحوی تغییر دهد که در آن بهترین مسیر برای رسیدن به شبکه 10.1.1.0 را که مستقیما به روتر C متصل است را گذر از روتر A مشخص کند، آنگاه یک حلقه میان روترها به وجود می آید . فرض کنید کامپیوتر 10.2.2.2 درخواستی را به شبکه 10.1.1.0 ارسال کند . این درخواست ابتدا به روتر A ، سپس به روتر D و بعد از آن به روتر C منتقل میشود . حال زمانی که روتر C میخواهد این درخواست را به شبکه 10.1.1.0 ارسال کند مشاهده میکند که بهترین مسیر استفاده از روتر A خواهد بود و این درخواست را برای روتر A ارسال میکند . و روتر A مجددا این روال را تکرار میکند.
این حلقه تا زمانی که اطلاعات نادرستی که توسط مهاجم در داخل جدول روتینگ ثبت شده ، حذف نشود ادامه خواهد داشت .
2- هدایت اطلاعات به مسیری که بتوان عمل monitoring را انجام داد
اگر یک سازمان از پروتکل های رمزنگاری برای تبادل اطلاعات خود استفاده کند آنگاه شخص مهاجم برای بدست آوردن اطلاعات با مشکل مواجه خواهد شد. یک راه حل مشکل برای مهاجم شکستن پروتکل رمزنگاری است . اما راه حل ساده تری نیز وجود دارد. به تصویر زیر دقت کنید
همان طور که در شکل مشاهده میکنید بهترین مسیر برای رسیدن از روتر A به روتر D ، روترهای B و C تعیین شده اند که این روترها اطلاعات را بر روی یک شبکه عمومی مانند اینترنت ارسال میکنند. از آنجایی که شبکه عمومی امن نیست پس از یک تونلVPN استفاده میشود که اطلاعات رمزنگاری شوند. حال اگر مهاجم جدول روتینگ را به نحوی تغییر دهد که روتر A ، بهترین مسیر را از استفاده از روتر E شناسایی کند آنگاه اطلاعات به روتر E ارسال میگردد . سپس این روتر درخواست را به روتر G منتقل میکند . حال شخص مهاجم در این شبکه قرار گرفته است و میتواند به اطلاعات رمزگذاری نشده دسترسی پیدا کند و همچنین روال روتینگ نیز با موفقیت انجام شود. با استفاده از این روش مهاجم علاوه بر اینکه به اطلاعات رمزگذاری نشده دسترسی پیدا میکند ، به دلیل اینکه عملکرد شبکه را مختل نمیکند دیرتر شناسایی می شود.
3. هدایت اطلاعات به یک سیاه چاله
در این روش مهاجم سعی میکند تا جدول روتینگ را به نحوی تغییر دهد که اطلاعات به مکان نادرستی منتقل شوند و پروسه روتینگ با موفقیت انجام نشود. به شکل زیر دقت کنیداین حلقه تا زمانی که اطلاعات نادرستی که توسط مهاجم در داخل جدول روتینگ ثبت شده ، حذف نشود ادامه خواهد داشت .
2- هدایت اطلاعات به مسیری که بتوان عمل monitoring را انجام داد
اگر یک سازمان از پروتکل های رمزنگاری برای تبادل اطلاعات خود استفاده کند آنگاه شخص مهاجم برای بدست آوردن اطلاعات با مشکل مواجه خواهد شد. یک راه حل مشکل برای مهاجم شکستن پروتکل رمزنگاری است . اما راه حل ساده تری نیز وجود دارد. به تصویر زیر دقت کنید
همان طور که در شکل مشاهده میکنید بهترین مسیر برای رسیدن از روتر A به روتر D ، روترهای B و C تعیین شده اند که این روترها اطلاعات را بر روی یک شبکه عمومی مانند اینترنت ارسال میکنند. از آنجایی که شبکه عمومی امن نیست پس از یک تونلVPN استفاده میشود که اطلاعات رمزنگاری شوند. حال اگر مهاجم جدول روتینگ را به نحوی تغییر دهد که روتر A ، بهترین مسیر را از استفاده از روتر E شناسایی کند آنگاه اطلاعات به روتر E ارسال میگردد . سپس این روتر درخواست را به روتر G منتقل میکند . حال شخص مهاجم در این شبکه قرار گرفته است و میتواند به اطلاعات رمزگذاری نشده دسترسی پیدا کند و همچنین روال روتینگ نیز با موفقیت انجام شود. با استفاده از این روش مهاجم علاوه بر اینکه به اطلاعات رمزگذاری نشده دسترسی پیدا میکند ، به دلیل اینکه عملکرد شبکه را مختل نمیکند دیرتر شناسایی می شود.
3. هدایت اطلاعات به یک سیاه چاله
در این مثال ، بهترین مسیر برای رسیدن از شبکه 10.2.2.0 به شبکه 10.1.1.0 استفاده از روتر میانی B مشخص شده است . حال اگر مهاجم ، جدول روتینگ روتر A را به نحوی تغییر دهد که بهترین مسیر استفاده از روتر D شناسایی شود ، آنگاه روتر D اطلاعات را دریافت و آن را برای روتر E ارسال میکند . روتر E تمامی درخواست های دریافت شده را فیلتر میکند و نادیده میگیرد . به این ترتیب عمل روتینگ در شبکه مختل می شود.
در این بخش حملات مربوط به قطع ارتباط را بررسی میکنیم . این قطع ارتباطات منجر به این میشود که 2 روتر مجاور نتوانند با یکدیگر تبادل داشته باشند.
1. Port Flooding
حملات به سیستم های روتینگ
در این بخش حملات مربوط به قطع ارتباط را بررسی میکنیم . این قطع ارتباطات منجر به این میشود که 2 روتر مجاور نتوانند با یکدیگر تبادل داشته باشند.
1. Port Flooding
حملات رایج مربوط به این دسته شامل حملات DOS ، DDOS ، TCP SYN Flood می شوند. این حملات می تواند منجر به قطع ارتباط روترها با یکدیگر می شود چرا که باعث تمام شدن بعضی منابع منطقی روترها خواهند شد.
در این تصویر اگر مهاجم روتر A را تحت تهاجم سیل آسای TCP SYN قرار دهد آنگاه منابع TCP روتر تمام خواهد شد و منجر خواهد شد تا ارتباطات جدید BGP را نپذیرد و یا ارتباط موجود را قطع کند. همچنین اگر پورت پروتکل را مورد تهاجم سیل آسا قرار دهد نیز میتواند منجر به تمام شدن منابع شود . به عنوان مثال حتما طور که می دانید پروتکل BGP برای انتقال اطلاعات از پروتکل TCP با شماره پورت 179 استفاده میکند.حال اگر پورت 179 مورد حمله قرار گیرد منجر به تمام شدن منبع TCP می شود و ارتباط بین 2 روتر قطع خواهد شد.
2. حملات معنایی به پروتکل ها
این نوع حملات سعی دارند تا با اتمام session بین پروتکل روترها ، باعث قطع ارتباط آنها گردند و به طور موقت شبکه را از کار می اندازند. البته باید دقت داشت که این نوع حملات موقتی هستند و زمانی که حمله متوقف شود، شبکه به حالت عادی خود باز میگردد. به تصویر زیر دقت کنید.
2. حملات معنایی به پروتکل ها
این نوع حملات سعی دارند تا با اتمام session بین پروتکل روترها ، باعث قطع ارتباط آنها گردند و به طور موقت شبکه را از کار می اندازند. البته باید دقت داشت که این نوع حملات موقتی هستند و زمانی که حمله متوقف شود، شبکه به حالت عادی خود باز میگردد. به تصویر زیر دقت کنید.
مهاجم می تواند در هر جایی از شبکه قرار داشته باشد و بدون اینکه از وضعیت روترها با خبر باشد عملیات خود را انجام دهد . همان طور که در تصویر مشاهده میکنید ، مهاجم یک پکت reset به روتر A ارسال میکند.
اگر روتر A و B از پروتکل OSPF استفاده کنند ، آنگاه مهاجم میتواند پکت hello خالی به صورت multicast به روتر A ارسال کند که از مبدا روتر B ارسال شده است . همان طور که میدانید از پکت hello برای حفظ رابطه مجاورت بین دو عدد روتر استفاده می شود. به دلیل اینکه پروتکل OSPF از رابطه two-way استفاده میکند ، پس زمانی که روتر A ، پکت hello را دریافت میکند ، ابتدا کنترل میکند که آیا ID خودش در پکت وجود دارد یا خیر . چون پکت خالی از طرف مهاجم ارسال شده است پس روتر A ، ID خودش را در آن پیدا نمیکند .به دلیل اینکه این ID وجود ندارد ، فرض میکند که از لیست همسایگی روتر B خارج شده و ارتباط با روتر B قطع شده است . پس رابطه مجاورت را reset میکند.
اگر روتر A و B از پروتکل OSPF استفاده کنند ، آنگاه مهاجم میتواند پکت hello خالی به صورت multicast به روتر A ارسال کند که از مبدا روتر B ارسال شده است . همان طور که میدانید از پکت hello برای حفظ رابطه مجاورت بین دو عدد روتر استفاده می شود. به دلیل اینکه پروتکل OSPF از رابطه two-way استفاده میکند ، پس زمانی که روتر A ، پکت hello را دریافت میکند ، ابتدا کنترل میکند که آیا ID خودش در پکت وجود دارد یا خیر . چون پکت خالی از طرف مهاجم ارسال شده است پس روتر A ، ID خودش را در آن پیدا نمیکند .به دلیل اینکه این ID وجود ندارد ، فرض میکند که از لیست همسایگی روتر B خارج شده و ارتباط با روتر B قطع شده است . پس رابطه مجاورت را reset میکند.
کیوان رضازاده اقدم