مفاهيم هجوم Sockstress

مقدمة

يعتبر Sockstress من أخطر أنواع هجوم الـ (DoS)، حيث أن هذا الهجوم يعتمد على إكمال الـ (TCP 3-Way Handshaking) حتى يظهر بأنه عملية إتصال طبيعية، ويحتاج إلى إمكانيات قليلة مقارنة بالأنواع الأخرى من هجوم الـ (DoS)، ويعتمد بشكل أساسي على خاصية الـ (Window Size).
إن من التحسينات التي تمت على الـ (TCP) هو استخدام خاصية الـ (TCP Window Size)، فبعد القيام بعملية (3-Way Handshaking) يتبادل جهاز الـ (Server) مع جهاز الـ (Client) حجم المعلومات التي يستطيع استقبالها في كل (Packet) دون الحاجة إلى تأكيد (Ack) في هذه العملية الأخيرة.
هجوم (SockStress) يعتمد على إستخدام هذه الخاصية لاستنزاف موارد الـ (Server), حيث يقوم هذا الهجوم باستنزاف الذاكرة لدى الـ (Server) بسرعة فائقة من خلال تقليص حجم الـ (TCP Window Size), هذا الهجوم فعال على كل أنظمة التشغيل(Windows , LinuxM , BSD) و جميع أجهزة الشبكات (Routers, L3 Switches) و أي تطبيق يقبل الاتصال على بروتوكول الـ TCP.

مفهوم هجوم الـ Sockstress

1) يبدء المهاجم الإتصال مع الـ (Server) من خلال عملية (TCP 3-Way Handshaking) طبيعية.
2) يقوم المهاجم بإرسال (2 TCP Queries) على التوالي إلى الـ (Server)
2.a) طلب معلومات عادية من الـ (Server) تتطلب رداً إلى الـ (Client).
2.b) الـ (TCP Packet) تعلم الـ (Server) أن جهاز الـ (Client) لا يستطيع أن يستقبل أي معلومات حالياً (Window Size = Zero).

3) يبقي المهاجم الإتصال مفتوح، وبنفس الوقت يبقي (Window Size = 0) بمعنى أنه لا يستطيع أن يستقبل أية معلومات.

4) كنتيجة لهذا الاتصال, فإن الـ (Server) بداية يقوم بتحضير المعلومات التي طلبها الـ (Client)، لكنه يبقيها في الذاكرة لأن العميل قد أخبره مباشرة بعد طلبه هذه المعلومات أنه لا يستطيع إستقبالها، وكنتيجة لذلك فإن ذاكرة الـ (Server) تمتلئ بوقت قياسي عندما يقوم المهاجم بتكرار هذا الإتصال لفترة قليلة نسبياً، مما يؤدي إلى عدم تمكن الـ (Server) من التعامل مع أي إتصال جديد والوصول إلى حالة من الـ (Memory Overflow)، وهي النتيجة التي تحصل عادة من جميع أنواع هجوم الـ (DoS).

لتحميل أداة هذا الهجوم ورؤية طريقة إستخدامها على الرابط التالي:
https://defuse.ca/sockstress.htm

حيث أنني وجدت في هذا الموقع شرحاً مبسطاً لإستخدام هذه الأداة للقيام بهجوم (SockStress), لكن يرجى العلم بأن طريقة الحماية المشروحة في هذا الموقع غير عملية أبداً وغير مجدية.
وأقترح هنا استخدام (Proactive Intrusion Prevention)، مثل NETASQ الذي يقوم بعمل فحص كامل لـِ (TCP)، ويقوم بمتابعة حالة جميع الإتصالات المفتوحة، وبإستخدام التحليل الإحصائي والإعتماد على تحليل الـ (Heuristic) يستطيع التمييز باختلاف حجم الـ (Window Size)، وتحديد ما يصلح منها. وكنتيجة لذلك فإنه يسمح فقط للإتصالات الحقيقة بالوصول إلى الـ (Server)، وإيقاف جميع إتصالات الهجوم.