مخفف عبارت (Intrusion Detection Service ) و یک سیستم دفاعی است که در یک شبکه رفتارهای مخاطره آمیز را شناسایی می کند. عملكرد اين سيستم بدين گونه است كه فعالیتهایی که امنیت شبکه را بخطر می اندازند ویا فعالیتهایی که شروع یک حمله را نشان میدهد مثل اسکن پورت را شناسایی و از ادامه فعاليتشان جلوگیری می کند . یک مزیت کلیدی IDS توانایی آن در ایجاد یک Log از فعالیتهای غیر عادی و آگاه کردن مدیر سیستم توسط یک آلارم و یا در صورت لزوم متوقف کردن اتصال مشکوک میباشد. بگفته آموروسو ی لهستانی : IDS یک پروسه شناسایی و جوابگویی به اهداف فعالیتهای خرابکارانه در منابع شبکه و سیستم میباشد.
براي خواندن مطلب بر روي ادامه متن كليك نماييد
IDSهمچنین ابزارهای IDS توانایی تشخیص بین حملات درونی و بیرونی را نیز دارند.
ابزارهای زیر جزو زیر مجموعه IDS محسوب نمی شوند :
- سیستمهای ورود-خروج به شبکه (loging ) و سیستمهای مونیتورینگ ترافیک شبکه.
- ابزارهای رفع نقص که باگها و سرریز بافر را در سیستمهای عامل و برنامه های کاربردی چک می کنند. مثل Cyber Cop Scan .
- آنتی ویروس ها.
- فایروال ها.
- سیستمهای رمز نگاری مثل VPN و SSLو Kerberos و ... .
رده بندی حملات :
برای داشتن درک بهتر از رده بندی حملات ابتدا به چند تعریف زير توجه كنيد :
- ورود بی مجوز : یک سری از فعالیتهای پشت سر هم که منتج به تهدید امنیت منابع از طرف یک دسترسی غیر مجاز به یک کامپیوتر مشخص یا یک دومین معین می شوند.
- رویداد : تخلف از قوانین سیاست امنیت سیستم که بعنوان یک ورود غیر مجاز شناخته می شود.
- حمله : یک کوشش عقیم برای ورود غیر مجاز (که منتج به ورود غیر مجاز نشده است).
- مدلسازی ورودهای غیر مجاز : یک مدلسازی زمانبندی شده بر اساس فعالیتهایی که ورود را منتج میشوند.
هکر حمله اوليه خود را آغاز می کند و آن چيزي جز عملیات مقدماتی برای یک دسترسی موفقیت آمیز نيست. عملا هر کوششی حین حمله توسط هر شخصی می تواند بعنوان یک تهدید شناخته شود.
عموما حملات به دو دسته تقسیم می شوند :
- غیر فعال (بدست آوردن دسترسی برای نفوذ به سیستم)
- فعال (نتیجه یک تغییر حالت ناشناس در منابع)
بسته به رابطه هکر و قربانی حملات به دو زیر مجموعه تقسیم می شوند :
- داخلی (توسط کارمندان ناراضی یا شرکا)
- خارجی (از بیرون شبکه یا اینتر نت طرح ریزی میشود)
در این زمینه از نظر فنی تقسیم بندی های دیگری هم داریم :
- حملاتی که بر اساس دسترسی غیر مجاز ناشی می شود. اعمالی از قبیل :
- کراک پسورد
- اسبهای تروا
- استراق سمع
- اسکن پورت ها و سرویس ها
- شناسایی سیستم عامل از راه دور
- دزدیدن اطلاعات
- اتصال غیرمجاز به شبکه
- استفاده شخصی از منابع
- سود بردن از نقاط ضعف برای بدست آوردن دسترسی به منابع
- تغییرات غیر مجاز منابع (بعد از بدست آوردن دسترسی غیر مجاز)
- سعی در بدست آوردن مجوز كنترل مدیر شبکه (Root )
- حذف و تغییر اطلاعات
- انتقال و ایجاد غیر مجاز اطلاعات
- تغییر غیر مجاز پیکربندی سیستم ها
- نابودی پروسه ها با فرستادن اطلاعات بیهوده و زیاد و ایجاد ترافیک روی آنها (بمباران پروسه ها)
- استفاده از نقاط ضعف منابع سیستم مثل سرریز بافر و ...
- Shut Down سیستم از راه دور
شما در خطر هستید !!
برای شناسایی حملات محتمل سیستم ها را برای هر رفتار غیر عادی تست کنید. این برای تشخیص حملات واقعی خیلی مفید است. بیایید نگاهي به نشانه هایی که نشانگر حضور یک هکر روی شبکه است بیاندازیم. این نشانه ها بعنوان پیکر بندی پیش فرض IDS استفاده شود تا حملات را تشخیص داده و آنها را شناسایی کند.
شناسایی نقاط ضعف شناخته شده با نرم افزارهای هک قبل از هکر.
فعالیتهای غیر عادی شبکه : هکر به محض دسترسی به سیستم تعداد زیادی از ابزارها و کدهای اکسپلویت را روی منابع سیستم اعمال میکند تا نقاط ضعف شبکه را بیابد (تغییر پیکربندی – اکسپلویت ها – سرویس ها – ابزارها و ... ) راههای غیر فعالی (Passive ) هستند که تنها بوسیله ترازگیری و مقایسه فعالیت شبکه با فعالیتهای قبلی آن قابل تشخیص می باشد.
جواب ها یا فرمان های مبهم در جلسات خودکار (Automate Session )
سرویس ها و پروتکلهای شبکه با ابزارهای نرم افزاری مشخصی مستند سازی شده اند. هر رفتاری با گرامر شناخته شده ممکن است اطلاعات گرانبهایی برای هکر در شناسایی سرویسها باشد. بطور مثال نرم افزاری وجود دارد که به محض تماس با مودم متصل به سرور بر اساس پیام خوش آمدی که مودم و البته سرویس دهنده مودم به آن میدهد بلافاصله نوع سرویس دهنده و حتی در برخی موارد سیستم عامل را هم تشخیص می دهد. يا کوشش برای تغییر رفتار یک پروسه معمولی و روتین (بازپخش فرستادن ایمیل) یک کوشش برای دسترسی مشکوک بشمار می آید.
بی ثباتی وابسته در ترافیک شبکه
هر بی ثباتی وابسته در شبکه و Pocketها یا جلسات میتواند پتانسیل يك حمله را داشته باشد. اینکه ناگهان Pocketهای موجود در شبکه تعدادشان زیاد می شود و بصورت شناور روی شبکه حرکت می کنند بطور قطع نشانگر حمله ای در حال شكل گيري است.
علايمی مثل :
بسته هایی که از اینترنت بسوی شبکه سرازیر می شوند ولی آدرس فرستنده آنها همان آدرس شبکه خودمان است !!! این حالت نشانگر یک حمله IP Spoofing بیرونی است. این مشکل را روتر ها با چک کردن آدرس فرستنده بسته های IP با آدرس شبکه داخلی باید حل کنند. اما عملا روتر های کمی این مورد امنیتی را پشتیبانی می کنند.
عکس این قضیه هم وجود دارد. بسته هایی که از شبکه ما بسوی اینترنت بیرون می روند اما آدرس فرستنده این بسته ها همان شبکه بیرونی یا مقصد است و نه شبکه خودمان !!!
البته بسته هایی با آدرس پورت غیر قابل انتظار هم می توانند نشانگر مورد مشکوک نیز باشند.
