اردبیل دیتا

مقدمه پس از آنکه سايت ماکروسافت و همچنين windowsupdate.com در ساعت 2:14 به وقت ايران، در حدود دو ساعت غير قابل دسترس شد . مسئولان امنيتي ماکروسافت اقدام هاي خود را جهت مقابله با اين حمله DoS آغاز نمودند . ) DoS يکي از روش هاي مورد علاقه هکران مي باشد به صورتي که با ايجاد ترافيک در شبکه موجب از کار افتادن و اختلال در سيستم قرباني مي شوند ) نکته : DoS مخفف کلمه Denial Of Service مي باشد . پس از صرف مدت زمان کوتاه مسئولان امنيتي سايت ماکروسافت، سايت windowsupdate.com را به خود باعث از بين رفتن اين تحديد شدند . در عين DNS تغيير دادن و سپس با تغييرات در سيستم windowsupdate.microsoft.com حال يکي از نسخه هاي لينوکس را که در برابر حملات DoS مقاوم مي باشد را براي اين وب سايت انتخاب نمودند . ( براي اولين بار ماکروسافت علنا و آشکارا از لينوکس به جاي سيستم عامل ضعيف خود استفاده نمود ) يک پروتکل مي باشد و در سيستم عامل ويندوز نيز مورد استفاده قرار مي گيرد . اين پروتکل يک RPC – Remote Procedure Call – مکانيزم InterProcess ايجاد مي کند . اين Process اين اجازه را مي دهد که يک برنامه از يک کامپيوتري به کد اجرايي بر روي يک سيستم ديگر منتقل شود . RPC خود نيز از – OSF – Open Software Foundation گرفته شده است، پس از آن ماکروسافت با افزودن چند محصول ديگر، براي سيستم عامل خود محصول جديدو پرکاربردي را اضافه نمود . اين مشکل امنيتي در قسمتي از RPC که در ارتباط با تغيير پيغام در TCP/IP مي باشد، پديد آمده است . به اين دليل که اين برنامه DCOM – Distribute Component Object Modet رسيدگي نادرست به پيغام ها به عمل مي آورد . اين آسيب پذيري به خصوص، در که بر روي RPC قرار دارد بيشتر به چشم مي خورد . با پيدايش اين مشکل هکر قادر است از راه دور دسترسي کامل بر روي سيستم قرباني داشته باشد و سپس با برنامه هايي نظير . از اطلاعات سيستم قرباني استفاده نمايد TFTP و Netcat : نت کت که به چاقوي همه کاره ارتش الکترونيکي سوئيس معروف است . به نفوذگر اين امکان را مي دهد که به پورت NetCat هاي مختلف در شبکه و ... متصل شود . براي مثال از راه دور فايل اجرا کند و ... . . مي باشد که وظيفه انتقال اطلاعات را داراست FTP : يکي از بستگان TFTP اين کرم ها با استفاده از آسيب پذيري ويندوز از پورت 135 وارد سيستم مي شوند و بسته به نوع کرم کارهاي متفاوتي را انجام مي دهند، از معمولترين کارها، اقدام به Denial Of Service بر روي windowsupdate.com مي باشد . نکته : ارسال يک SYN FLOOD بر روي پورت 80 براي windowsupdate.com که داراي 50 عدد Packets HTTP در هر دقيقه مي باشد و هر پکت داراي 40 بايت . IP اقدام به حملات داس بر روي رنج هاي باعث Crash کردن DCOM مي شود و در نتيجه کامپيوتر قرباني پس از 1 دقيقه راه اندازه مي شود . نکته : اين کرم ها از پورت هاي TCP 4444 و از پورت UDP 69 که براي نرم افزار TFTP مورد استفاده قرار مي گيرد نيز جهت منتشر شدن استفاده مي کنند . نکته : اين کرم ها خود را بر روي RUN رجيستري قرار مي دهند تا پس از هر بار راه اندازي سيستم به صورت خودکار بر روي سيستم اجرا شوند .