AseerX
23-11-2000, 03:24 AM
هناك أنواع مختلفة وكثيرة جدا من الهجوم على جهازك أثناء العمل على الشبكة
(أكثر بمراحل من أن اجمعها في موضوع واحد) ولكن سألخص بروتوكولات الأتصال هنا وطرق الهجوم عليها وسبل الحماية منه وانظمة التشغيل المتضررة بكل هجوم.
النوع الأول :
هجوم الـ(ICMP) او ما يسمى بـ (بروتوكول التحكم برسائل الأنترنت)
(InternetControlMessageProtocol). وهو يعتمد على أرسال رسائل خطأ مضمونة في حزمة واحدة على التي سي بي نفسه TCP/IP. على سبيل المثال أذا اردت الأتصال بهوست معين مثل سيرفر الايرسي (IRC Servers) وتجد صعوبة في الأتصال به وبرسالة مثل (Host Unreachable) أو (Connection Time Out) وهو من نوع (ICMP_Unreach Packets) أو حزم عدم الوصول.
والـICMP يمكن أستخدامه أيضا لمعرفة معلومات عن شبكة معينة.
والسؤال الآن هو كيف يمكن لهذا الهجوم ان يلحق الضرر بك؟ والأجابة هي انه عند ارسال ارسال حزم كبيرة و سريعة من البنق Ping الى TCP/IP الخاص بك (وهذا ما يسمى بالفلود Flood) ويتوجب على جهازك تحليل كل حزمة وتفصيلها والرد عليها وهذا بالتأكيد مالا يستطيعه لكبر حجمها وكثرتها مما يؤدي غالبا الى عمل ريست للأتصال (Reset Connection) سواء كان اتصال بهوست معين أو بموفو الخدمة الخاص بك ايضا (ISP)!!
والآن تخيل مثلاً خمسمائة جهاز يوجهون هجوما قويا ومتتاليا على سيرفر معين (مثلا سيرفر http://www.israel.gov)، هذا السيرفر لن يتمكن من الرد على كل اتصال موجه له بنفس الوقت بهذا الحجم والسرعة العاليين. مما يؤدي غالبا (بأستخدام توقيت وتخطيط مناسب) الى عزل هذا تقريبا عن بقية الشبكة ;) .
ونوع آخر شهير جدا ويكثر أستخدامه في سيرفرات الايرسي او الشات وهو ICMP_Protocol_Unprotocol وهذا النوع يمكن أستخدامه لفصل أتصالك بسيرفر
محادثة معين. مثلا سيرفر المايكروسوفت شات لو انك متصل به على سيرفره irc.msn.com عبر المنفذ 6667 (منفذ شبكة محادثة MSN) وحدث انه تم قطع اتصالك بالسيرفر عدة مرات متتالية دون سبب محدد، فأنك قد تعرضت للهجوم على TCP/IP الخاص بك من النوع المذكور سابقا والذي يعتمد على ارسال رسائل عديدة وسريعة الى المنفذ 6667 من جهاز العدو وعبر سيرفر المحادثة واخيرا الى جهازك مما يؤدي الى تضعيف المنفذ 6667 وبالتالي قطع اتصالك بالسيرفر المذكور.
والحماية من هذا النوع من الهجوم كالتالي:
برامج عديدة يمكنك استخدامها مثل الفايروول الذي يوفر درجة معقولة من الحماية ضد هذا الهجوم. وهناك ايضا برامج كتبت خصيصا لمنع مثل هذا الهجوم مثل
Nuke Napper
ICMP Watcher
ConSeal PC Firewall
والتي تقوم بحجب هذه الحزم عن جهازك (Blocking ICMP Packets)
(ملحوظة: جميع البرامج السابقة لا توفر الحماية مائة بالمائة وانما هي مضمونة بخاصة اذا كنت معرض لهجوم من مصادر محدودة او مصدر واحدبأتصال غير قوي جدا)
نوع اخر من الحماية هو الباتشات التي تطلقها الشركات مثل الباتش الذي اطلقته مايكروسوفت لمستخدمي ويندوز 95 لأغلاق منفذ 139 ضد هجوم معين منICMP و هو SPing والذي كان يؤدي الى عمل ريست للأتصال بالشبكة بالكامل. وبالطبع تمت معالجة هذا العيب في الأصدارات التالية من ويندوز. وبرغم انه نوع قديم من الهجوم واغلب الأنظمة الآن متوفرة لديها الحماية منه الا اني متأكد بانه مازال هنالك اشخاص معرضين لمثل هذا النوع من الهجوم.
الأنظمة المعرضة لهجوم الـICMP
ويندوز 95 وويندوز NT الأصدار القديم كانا معرضين لخطر الهجوم من قبل فلود الـICMP الذي كان يؤدي الى عمل كراش Crash لهما. وبغض النظر عن اي نظام تستخدم فأنه معرض لخطر الفلود من قبل ICMP.
----------------------------------------------------------------
UDP :
او ما يسمى بـ(UserDatagramProtocol) وهو مصمم لبرامج معينة لا تحتاج الى تقسيم رسائلها الى حزم اصغر وارسالها مثل TCP الذي سيتم شرحه لاحقا. وهو بالضبط كالتي سي بي من حيث تقسيمه الى منافذ متعددة لتتمكن عدة برامج من استخدامه في نفس الوقت. ويحتوي على رأس توجيهي مثل التي سي بي ايضا ولكنه اقصر منه. وعلى كل حال له ارقام للمصدر وارقام للوجهة. وهذا البروتوكول يستخدم غالبا في عملية البحث عن اسم موقع كما سيتم شرحه بالاسفل.
من السابق نستنتج ان الفلود هذا البروتوكول يكون ضعيف جدا مقارنة بغيره من البروتوكولات وذلك لصغر حجم بياناته. ولكنه هجوم لايمكن تجاهله وبخاصة اذا وصل الى مرحلة عالية وسرعة عالية فأنه يؤدي الى أبطاء اتصالك ونادرا ما يقطع اتصالك.
الحماية:
البرنامج الوحيد الذي رأيته ويقوم بالحماية من فلود اليو دي بي هو الفايروول (من نوع كونسيل ConSeal). ولكنني متأكد من وجود أدوات اخرى للحماية منه
أنظمة التشغيل المتضررة منه:
جميع اصدارات الويندوز وحتى اليونكس نفسه من الممكن ايقافه اذا وجهت له حزم ضخمة من اليو دي بس في الوقت المناسب
----------------------------------------------------
TCP:
وهو ما يسمى ببروتوكول التحكم في الأرسال (TransmissionControlProtocol). وهو بروتوكول مسؤول عن تقسيم الرسائل الواردة الى حزم صغيرة ومن ثم يعيد تجميعها بشكل وترتيب جديد ليتمكن جهازك من قراءتها. وفي اغلب البرامج تكون الرسائل صغيرة بحيث يمكن ضمها في حزمة واحدة فقط. مثلا عند كتابتك لموقع في متصفحك فان نظامك يتوجب عليه ان يقوم بعملية التحويل الشهيرة من اسم الى عنوان (شبيه برقم الآيبي) ومن ثم يرسل الأمر بالبحث عنه والذي عادة ما يكون في حزمة واحدة.
والتي سي بي اي بي بالطبع يقوم بأعمال اخرى اضافة لعملية التقسيم والتجميع فأنه يقوم بالتأكد من وصول المعلومة المطلوبة الى جهازك وأعادة ارسال حزمة الطلب اذا توجب الأمر.
والسؤال هنا: كيف يمكن الهجوم على بروتوكول كهذا يقوم بتقسيم الرسائل الكبيرة!?
الأجابة هي انه يمكن الهجوم عليه مثل الهجوم على النظامين السابقين بالضبط أي عن طريق الفلود. وهنا يكون عن طريق ارسال حزم طلب كثيرة اليه وبالطبع سيحاول الرد عليها كلها وهذا مالايستطيعه وبخاصة اذا كانت الحزم كثيرة جدا وفي وقت زمني قليل. وعند كمية معينة بسرعة عالية معينة تعتمد على قوة اتصالك يبدأ التأثير الكبير لهكذا هجوم.
الحماية منه :
بالطبع برامج الفايروول وبرامج اخرى عديدة تجدها بمواقع الهكر منتشرة وتقوم بحمايتك من الفلود الموجه للـTCP الخاص بك.
أنظمة التشغيل المتأثرة:
جميع اصدارات الويندوز تتأثر بهذا الهجوم وأيضا جميع طبقات اليونكس تتأثر بهجوم معين يؤدي الى ايقافها مؤقتا (لاق Lag) أو حتى فصل اتصالها وبالطبع يعتمد على درجة الحماية للسيرفر المتعرض للهجوم.
ملاحظة: أشهر واكثر برنامج منتشر يقوم بالهجوم على هذا البروتوكول لنظام ويندوز هو برنامج (Port Fuck) الذي يقوم بالأتصال عبر منافذ التي سي بسرعة علية ومن ثم الفصل واعادة العملية عدة مرات بسرعة. وبالنسبة للينوكس فهنالك انواع عديدة من نصوص (.C) التي تقوم بهجوم كهذا.
----------------------------------------------------
OOB
أو ما يسمى بـ(OutOfBand). وهو خطير جداً لأنه لا يحتاج لعمل شئ كثير لأنشاء تأثير كبير في جهاز الضحية.
وعن طريق أرسال معلومات OOB الى منفذ رقم 139 الخاص بويندوز NT (الأصدارات القديمة بالطبع) فأنه من الممكن بسهولة أحداث أثر كبير في جهاز الضحية منها تدمير TCP الخاص بجهاز الضحية (stop 0xA error in tcp.sys). وكل ما تحتاج اليه هو الأتصال بالمنفذ المفتوح فقط (Connect the Socket). أي بالطريقة التالية: (الأتصال بمنفذ رقم 139 في جهاز الضحية ومن ثم المعلومات المضرة به - send the MSG_OOB flag set).
وبالطبع فأن ويندوز 95 كذلك معرض لهذا النوع من الهجوم ولكن بضرر أقل حيث انه لا يتم تجميده بالكامل ولكن يفقد أتصاله او يضعفه.
وقد تجد صعوبة في تنفيذ الكلام السابق ولكن لاداعي لأجهاد نفسك فبرامج الهجوم عن طريق OOB تكاد تملأ مواقع الهكر في كل مكان وبأشكال والوان عديدة مثل برنامح (WinNuke) القديم، والتي لا تطلب منك سوى رقم الآيبي للضحية فقط ومن ثم الضغط على زر Nuke. ولكنه أيجاد ضحية يتضرر بهجوم كهذا قريب من المستحيل في الوقت الحالي.
وبالطبع وجود عيب كهذا في نظام شهير ومنتشر كالويندوز يؤدي الى وجود باتش مخصص لأغلاق المنفذ واصلاح النظام. (يعني ترقيع). أسم الباتش (OOB Fix) ويمكنك الحصول عليه من اي موقع هكر تقريبا.
الحماية من OOB:
كما ذكرت سابقا يمكنك استخدام (رقعة المايكروسوت) او هنالك عدة برامج تحمي من مثل هذا الهجوم عن طريق مراقبة المنفذ 139 وصد الهجوم القادم عبره. وتقريبا جميع انواع الفايروول تتعرف على هجوم قديم كهذا.
أنظمة التشغيل المتضررة بالـOOB:
ويندوز 95 وويندوز NT القديم -كما ذكرت سابقا- تتضرر بهكذا هجوم عليها.
---------------------------------------------
طرق عديدة للحماية او تجنب انواع الهجوم السابقة:
1/ هناك أنواع عديدة من الفايروول ولكن افضلها على الأطلاق هو نوع (Signal9 ConSeal PC Firewall) الذي يقوم بمسح ومراقبة جميع انواع الأتصال من والى جهازك والتعرف على الضار منها وحجبه. ويقوم ايضا بعزل جهازك نهائياً عن اي اتصال خارجي مشكوك فيه مثل البورت سكان والفنقر وغيرها. وأعتقد بحسب تجاربي ان هذا البرنامج هو افضل برنامج حماية لجميع انواع الهجوم السابقة وغيرها ايضا.
2/ سبوف آيبي (Spoofing)
وهنالك طرق عديدة للسبوف وبرامج عديدة أيضا لعمل سبوف (ترجمة سبوف على ما اعتقد هي تقمص حيث انك تتقمص رقم ايبي لسيرفر معين للتصفح او للشات او حتى للتهكير). ومن الأمثلة لسيرفرات السبوف هي: الوين قيت (WinGates) عبر المنفذ 23 والبروكسيات المستضيفة عبر المنفذ81 غالبا والسوكس فايروول (Firewall Socks) عبر المنفذ 1080. وجميعها متشابهة تقريبا في الفكرة وأن اختلفت انظمتها وطرقها وبرامجها. حيث تقوم انت بتقمص معلوماتها والدخول الى اي مكان (مثل الايرسي) بمعلومات مزيفة والتي هي معلومات السيرفر الذي تقمصته في أتصالك. وهنالك بالطبع برامج كثيرة لها وبعض انواع السبوف لاتحتاج الى برامج (مثل الاتصال بالايرسي عن طريق السوكس فايروول او الوين قيت). ويمكنك ايضا استخدام سيرفرات البروكسي المستضيفة اثناء تجولك في المواقع لأخفاء المعلومات التي قد تدلل اليك.
3/ الخبرة:
بالطبع هنالك خدع عديدة يمكنك القيام بها لمراقبة نظامك وحمايته وبالطبع تحتاج الى خبرات معينة لا املكها انا ولكن عليك بالحذر قبل الخوض في نظامك وتقليبه لأنك قد تلحق الضرر به وبالتالي اعادة تنصيبه.
4/ الباتشات:
بعض انواع الهجوم السابقة قد لا يصح تسميتها بالهجوم. وأنما هي أخطاء او عيوب في نظام معين يتم أستغلالها بطريقة معينة للتأثير على نظامك (مثل هجوم OOB وبعض انواع DoS). ووجود عيوب في نظام معين يؤدي الى برمجة وتطوير باتشات معينة (رقعه) تقوم بتصحيح هكذا خطأ في نظامك.(مثل باتش اغلاق المنفذ 139 للويندوز 95 ضد هجوم OOB).
وبالطبع هنالك عيوب في كل نظام تشغيلي مهما كانت قوته وتحصينه حتى في نظام اللينوكس وبالتالي باتشات مصححة لعيوب كهذه فقط عليك بالبحث عنها او برمجتها بنفسك اذا كنت تملك الخبرة والفكرة المتكاملة عن العيب. وبالطبع كل أصدار جديد يقوم بتصحيح عيوبه السابقة ولكنه يأتي بعيوب واخطاء جديدة يمكن استغلالها للتأثير عليه. على سبيل المثال ويندوز 95 الذي تم اكتشاف العيب في المنفذ 139 الخاص به وبالتالي عندما يسمع صاحب النظام عن عيب كهذا في نظامه (مثل بيل قيتس الجائع للمال) فأنه لا يسمح بخسارة الـ$$$ فيقوم بتوزيع الباتش ونشره بموقعه.
الفكرة السابقة يمكن تلخيصها في المتسلسلة التالية
نظام جديد – عيوب – اكتشاف للعيوب واستغلالها – ضهور الرقعه – أصدار جديد من النظام يتلافى عيوب السابق – اكتشاف عيوب جديدة للأصدار الجديد - ............ ألخ.
ومنذ خمس سنوات وويندوز مازال بعيوب الى الأن وسيستمر كذلك.
والحل الأسلم اذا كنت تريد الطريق الطويل هو العمل على نظام قوي وبعيوب قليلة جدا مثل اللينوكس ريد هات. واستخدام برامج الحماية اللازمة لمراقبة اتصالك. ايضا حاول استخدام الوين قيت او السوكس كلما تمكنت من ذلك.
Reference PNK Library (http://www.paragonhacking.net)
Origenal Text by |[xHostiLe]|, At http://paragon.revoluti0n.org/Text/ATTACKDEFEND.TXT
Translated By AseerX
(أكثر بمراحل من أن اجمعها في موضوع واحد) ولكن سألخص بروتوكولات الأتصال هنا وطرق الهجوم عليها وسبل الحماية منه وانظمة التشغيل المتضررة بكل هجوم.
النوع الأول :
هجوم الـ(ICMP) او ما يسمى بـ (بروتوكول التحكم برسائل الأنترنت)
(InternetControlMessageProtocol). وهو يعتمد على أرسال رسائل خطأ مضمونة في حزمة واحدة على التي سي بي نفسه TCP/IP. على سبيل المثال أذا اردت الأتصال بهوست معين مثل سيرفر الايرسي (IRC Servers) وتجد صعوبة في الأتصال به وبرسالة مثل (Host Unreachable) أو (Connection Time Out) وهو من نوع (ICMP_Unreach Packets) أو حزم عدم الوصول.
والـICMP يمكن أستخدامه أيضا لمعرفة معلومات عن شبكة معينة.
والسؤال الآن هو كيف يمكن لهذا الهجوم ان يلحق الضرر بك؟ والأجابة هي انه عند ارسال ارسال حزم كبيرة و سريعة من البنق Ping الى TCP/IP الخاص بك (وهذا ما يسمى بالفلود Flood) ويتوجب على جهازك تحليل كل حزمة وتفصيلها والرد عليها وهذا بالتأكيد مالا يستطيعه لكبر حجمها وكثرتها مما يؤدي غالبا الى عمل ريست للأتصال (Reset Connection) سواء كان اتصال بهوست معين أو بموفو الخدمة الخاص بك ايضا (ISP)!!
والآن تخيل مثلاً خمسمائة جهاز يوجهون هجوما قويا ومتتاليا على سيرفر معين (مثلا سيرفر http://www.israel.gov)، هذا السيرفر لن يتمكن من الرد على كل اتصال موجه له بنفس الوقت بهذا الحجم والسرعة العاليين. مما يؤدي غالبا (بأستخدام توقيت وتخطيط مناسب) الى عزل هذا تقريبا عن بقية الشبكة ;) .
ونوع آخر شهير جدا ويكثر أستخدامه في سيرفرات الايرسي او الشات وهو ICMP_Protocol_Unprotocol وهذا النوع يمكن أستخدامه لفصل أتصالك بسيرفر
محادثة معين. مثلا سيرفر المايكروسوفت شات لو انك متصل به على سيرفره irc.msn.com عبر المنفذ 6667 (منفذ شبكة محادثة MSN) وحدث انه تم قطع اتصالك بالسيرفر عدة مرات متتالية دون سبب محدد، فأنك قد تعرضت للهجوم على TCP/IP الخاص بك من النوع المذكور سابقا والذي يعتمد على ارسال رسائل عديدة وسريعة الى المنفذ 6667 من جهاز العدو وعبر سيرفر المحادثة واخيرا الى جهازك مما يؤدي الى تضعيف المنفذ 6667 وبالتالي قطع اتصالك بالسيرفر المذكور.
والحماية من هذا النوع من الهجوم كالتالي:
برامج عديدة يمكنك استخدامها مثل الفايروول الذي يوفر درجة معقولة من الحماية ضد هذا الهجوم. وهناك ايضا برامج كتبت خصيصا لمنع مثل هذا الهجوم مثل
Nuke Napper
ICMP Watcher
ConSeal PC Firewall
والتي تقوم بحجب هذه الحزم عن جهازك (Blocking ICMP Packets)
(ملحوظة: جميع البرامج السابقة لا توفر الحماية مائة بالمائة وانما هي مضمونة بخاصة اذا كنت معرض لهجوم من مصادر محدودة او مصدر واحدبأتصال غير قوي جدا)
نوع اخر من الحماية هو الباتشات التي تطلقها الشركات مثل الباتش الذي اطلقته مايكروسوفت لمستخدمي ويندوز 95 لأغلاق منفذ 139 ضد هجوم معين منICMP و هو SPing والذي كان يؤدي الى عمل ريست للأتصال بالشبكة بالكامل. وبالطبع تمت معالجة هذا العيب في الأصدارات التالية من ويندوز. وبرغم انه نوع قديم من الهجوم واغلب الأنظمة الآن متوفرة لديها الحماية منه الا اني متأكد بانه مازال هنالك اشخاص معرضين لمثل هذا النوع من الهجوم.
الأنظمة المعرضة لهجوم الـICMP
ويندوز 95 وويندوز NT الأصدار القديم كانا معرضين لخطر الهجوم من قبل فلود الـICMP الذي كان يؤدي الى عمل كراش Crash لهما. وبغض النظر عن اي نظام تستخدم فأنه معرض لخطر الفلود من قبل ICMP.
----------------------------------------------------------------
UDP :
او ما يسمى بـ(UserDatagramProtocol) وهو مصمم لبرامج معينة لا تحتاج الى تقسيم رسائلها الى حزم اصغر وارسالها مثل TCP الذي سيتم شرحه لاحقا. وهو بالضبط كالتي سي بي من حيث تقسيمه الى منافذ متعددة لتتمكن عدة برامج من استخدامه في نفس الوقت. ويحتوي على رأس توجيهي مثل التي سي بي ايضا ولكنه اقصر منه. وعلى كل حال له ارقام للمصدر وارقام للوجهة. وهذا البروتوكول يستخدم غالبا في عملية البحث عن اسم موقع كما سيتم شرحه بالاسفل.
من السابق نستنتج ان الفلود هذا البروتوكول يكون ضعيف جدا مقارنة بغيره من البروتوكولات وذلك لصغر حجم بياناته. ولكنه هجوم لايمكن تجاهله وبخاصة اذا وصل الى مرحلة عالية وسرعة عالية فأنه يؤدي الى أبطاء اتصالك ونادرا ما يقطع اتصالك.
الحماية:
البرنامج الوحيد الذي رأيته ويقوم بالحماية من فلود اليو دي بي هو الفايروول (من نوع كونسيل ConSeal). ولكنني متأكد من وجود أدوات اخرى للحماية منه
أنظمة التشغيل المتضررة منه:
جميع اصدارات الويندوز وحتى اليونكس نفسه من الممكن ايقافه اذا وجهت له حزم ضخمة من اليو دي بس في الوقت المناسب
----------------------------------------------------
TCP:
وهو ما يسمى ببروتوكول التحكم في الأرسال (TransmissionControlProtocol). وهو بروتوكول مسؤول عن تقسيم الرسائل الواردة الى حزم صغيرة ومن ثم يعيد تجميعها بشكل وترتيب جديد ليتمكن جهازك من قراءتها. وفي اغلب البرامج تكون الرسائل صغيرة بحيث يمكن ضمها في حزمة واحدة فقط. مثلا عند كتابتك لموقع في متصفحك فان نظامك يتوجب عليه ان يقوم بعملية التحويل الشهيرة من اسم الى عنوان (شبيه برقم الآيبي) ومن ثم يرسل الأمر بالبحث عنه والذي عادة ما يكون في حزمة واحدة.
والتي سي بي اي بي بالطبع يقوم بأعمال اخرى اضافة لعملية التقسيم والتجميع فأنه يقوم بالتأكد من وصول المعلومة المطلوبة الى جهازك وأعادة ارسال حزمة الطلب اذا توجب الأمر.
والسؤال هنا: كيف يمكن الهجوم على بروتوكول كهذا يقوم بتقسيم الرسائل الكبيرة!?
الأجابة هي انه يمكن الهجوم عليه مثل الهجوم على النظامين السابقين بالضبط أي عن طريق الفلود. وهنا يكون عن طريق ارسال حزم طلب كثيرة اليه وبالطبع سيحاول الرد عليها كلها وهذا مالايستطيعه وبخاصة اذا كانت الحزم كثيرة جدا وفي وقت زمني قليل. وعند كمية معينة بسرعة عالية معينة تعتمد على قوة اتصالك يبدأ التأثير الكبير لهكذا هجوم.
الحماية منه :
بالطبع برامج الفايروول وبرامج اخرى عديدة تجدها بمواقع الهكر منتشرة وتقوم بحمايتك من الفلود الموجه للـTCP الخاص بك.
أنظمة التشغيل المتأثرة:
جميع اصدارات الويندوز تتأثر بهذا الهجوم وأيضا جميع طبقات اليونكس تتأثر بهجوم معين يؤدي الى ايقافها مؤقتا (لاق Lag) أو حتى فصل اتصالها وبالطبع يعتمد على درجة الحماية للسيرفر المتعرض للهجوم.
ملاحظة: أشهر واكثر برنامج منتشر يقوم بالهجوم على هذا البروتوكول لنظام ويندوز هو برنامج (Port Fuck) الذي يقوم بالأتصال عبر منافذ التي سي بسرعة علية ومن ثم الفصل واعادة العملية عدة مرات بسرعة. وبالنسبة للينوكس فهنالك انواع عديدة من نصوص (.C) التي تقوم بهجوم كهذا.
----------------------------------------------------
OOB
أو ما يسمى بـ(OutOfBand). وهو خطير جداً لأنه لا يحتاج لعمل شئ كثير لأنشاء تأثير كبير في جهاز الضحية.
وعن طريق أرسال معلومات OOB الى منفذ رقم 139 الخاص بويندوز NT (الأصدارات القديمة بالطبع) فأنه من الممكن بسهولة أحداث أثر كبير في جهاز الضحية منها تدمير TCP الخاص بجهاز الضحية (stop 0xA error in tcp.sys). وكل ما تحتاج اليه هو الأتصال بالمنفذ المفتوح فقط (Connect the Socket). أي بالطريقة التالية: (الأتصال بمنفذ رقم 139 في جهاز الضحية ومن ثم المعلومات المضرة به - send the MSG_OOB flag set).
وبالطبع فأن ويندوز 95 كذلك معرض لهذا النوع من الهجوم ولكن بضرر أقل حيث انه لا يتم تجميده بالكامل ولكن يفقد أتصاله او يضعفه.
وقد تجد صعوبة في تنفيذ الكلام السابق ولكن لاداعي لأجهاد نفسك فبرامج الهجوم عن طريق OOB تكاد تملأ مواقع الهكر في كل مكان وبأشكال والوان عديدة مثل برنامح (WinNuke) القديم، والتي لا تطلب منك سوى رقم الآيبي للضحية فقط ومن ثم الضغط على زر Nuke. ولكنه أيجاد ضحية يتضرر بهجوم كهذا قريب من المستحيل في الوقت الحالي.
وبالطبع وجود عيب كهذا في نظام شهير ومنتشر كالويندوز يؤدي الى وجود باتش مخصص لأغلاق المنفذ واصلاح النظام. (يعني ترقيع). أسم الباتش (OOB Fix) ويمكنك الحصول عليه من اي موقع هكر تقريبا.
الحماية من OOB:
كما ذكرت سابقا يمكنك استخدام (رقعة المايكروسوت) او هنالك عدة برامج تحمي من مثل هذا الهجوم عن طريق مراقبة المنفذ 139 وصد الهجوم القادم عبره. وتقريبا جميع انواع الفايروول تتعرف على هجوم قديم كهذا.
أنظمة التشغيل المتضررة بالـOOB:
ويندوز 95 وويندوز NT القديم -كما ذكرت سابقا- تتضرر بهكذا هجوم عليها.
---------------------------------------------
طرق عديدة للحماية او تجنب انواع الهجوم السابقة:
1/ هناك أنواع عديدة من الفايروول ولكن افضلها على الأطلاق هو نوع (Signal9 ConSeal PC Firewall) الذي يقوم بمسح ومراقبة جميع انواع الأتصال من والى جهازك والتعرف على الضار منها وحجبه. ويقوم ايضا بعزل جهازك نهائياً عن اي اتصال خارجي مشكوك فيه مثل البورت سكان والفنقر وغيرها. وأعتقد بحسب تجاربي ان هذا البرنامج هو افضل برنامج حماية لجميع انواع الهجوم السابقة وغيرها ايضا.
2/ سبوف آيبي (Spoofing)
وهنالك طرق عديدة للسبوف وبرامج عديدة أيضا لعمل سبوف (ترجمة سبوف على ما اعتقد هي تقمص حيث انك تتقمص رقم ايبي لسيرفر معين للتصفح او للشات او حتى للتهكير). ومن الأمثلة لسيرفرات السبوف هي: الوين قيت (WinGates) عبر المنفذ 23 والبروكسيات المستضيفة عبر المنفذ81 غالبا والسوكس فايروول (Firewall Socks) عبر المنفذ 1080. وجميعها متشابهة تقريبا في الفكرة وأن اختلفت انظمتها وطرقها وبرامجها. حيث تقوم انت بتقمص معلوماتها والدخول الى اي مكان (مثل الايرسي) بمعلومات مزيفة والتي هي معلومات السيرفر الذي تقمصته في أتصالك. وهنالك بالطبع برامج كثيرة لها وبعض انواع السبوف لاتحتاج الى برامج (مثل الاتصال بالايرسي عن طريق السوكس فايروول او الوين قيت). ويمكنك ايضا استخدام سيرفرات البروكسي المستضيفة اثناء تجولك في المواقع لأخفاء المعلومات التي قد تدلل اليك.
3/ الخبرة:
بالطبع هنالك خدع عديدة يمكنك القيام بها لمراقبة نظامك وحمايته وبالطبع تحتاج الى خبرات معينة لا املكها انا ولكن عليك بالحذر قبل الخوض في نظامك وتقليبه لأنك قد تلحق الضرر به وبالتالي اعادة تنصيبه.
4/ الباتشات:
بعض انواع الهجوم السابقة قد لا يصح تسميتها بالهجوم. وأنما هي أخطاء او عيوب في نظام معين يتم أستغلالها بطريقة معينة للتأثير على نظامك (مثل هجوم OOB وبعض انواع DoS). ووجود عيوب في نظام معين يؤدي الى برمجة وتطوير باتشات معينة (رقعه) تقوم بتصحيح هكذا خطأ في نظامك.(مثل باتش اغلاق المنفذ 139 للويندوز 95 ضد هجوم OOB).
وبالطبع هنالك عيوب في كل نظام تشغيلي مهما كانت قوته وتحصينه حتى في نظام اللينوكس وبالتالي باتشات مصححة لعيوب كهذه فقط عليك بالبحث عنها او برمجتها بنفسك اذا كنت تملك الخبرة والفكرة المتكاملة عن العيب. وبالطبع كل أصدار جديد يقوم بتصحيح عيوبه السابقة ولكنه يأتي بعيوب واخطاء جديدة يمكن استغلالها للتأثير عليه. على سبيل المثال ويندوز 95 الذي تم اكتشاف العيب في المنفذ 139 الخاص به وبالتالي عندما يسمع صاحب النظام عن عيب كهذا في نظامه (مثل بيل قيتس الجائع للمال) فأنه لا يسمح بخسارة الـ$$$ فيقوم بتوزيع الباتش ونشره بموقعه.
الفكرة السابقة يمكن تلخيصها في المتسلسلة التالية
نظام جديد – عيوب – اكتشاف للعيوب واستغلالها – ضهور الرقعه – أصدار جديد من النظام يتلافى عيوب السابق – اكتشاف عيوب جديدة للأصدار الجديد - ............ ألخ.
ومنذ خمس سنوات وويندوز مازال بعيوب الى الأن وسيستمر كذلك.
والحل الأسلم اذا كنت تريد الطريق الطويل هو العمل على نظام قوي وبعيوب قليلة جدا مثل اللينوكس ريد هات. واستخدام برامج الحماية اللازمة لمراقبة اتصالك. ايضا حاول استخدام الوين قيت او السوكس كلما تمكنت من ذلك.
Reference PNK Library (http://www.paragonhacking.net)
Origenal Text by |[xHostiLe]|, At http://paragon.revoluti0n.org/Text/ATTACKDEFEND.TXT
Translated By AseerX