امنیت شبکه و بررسی حملات
این جریان به اواخر سال 2002 یا 1381 برمیگردد…
بخاطر دارم صبح که سرکار آمدم روی گراف MRTG دریافت زیادی از پهنای باند مشهود بود بعد از بررسی Port Utilization روی سوییچ ها متوجه شدم این ترافیک مربوط به Download هیچ یک از کامپیوتر ها و سرورهای داخل شبکه نیست متوجه Alert های IDS شدم (آن موقع IDS ی از شرکت ISS داشتیم) که ترافیکی زیاد را به پورت SQL نشان میداد که مشابه Worm بود. در آن روزها بازار کرم های اینترنتی مشابه امروز داغ نبود. حمله برای Signature های IDS ناشناس بود و تنها از غیرمعمول بودن آن خبر میداد (Anomaly Detect) و در حال Scanning این پورت بود.
به SANS رجوع کردم و دیدم بله یک ورم جدید آمریکا و اروپا را فرا گرفته که از Vulnerability های Microsoft SQL استفاده کرده و توسط این Exploit خود را در اینترنت پخش میکند اما در گراف های Traffic Monitor بنظر میرسید این ترافیک هنوز ایران را فرا نگرفته و ما اولین شبکه ی بودیم که این ترافیک را روی Sensor های IDS و روی PIX525 ی که داشتیم detect کردیم. با موسسه فیزیک نظری تماس گرفتیم (که پهنای باند ما را تامین می کرد) و به آنها فرستنده را معرفی کردیم تا روی دستگاه های خود ببندد تا این ترافیک برای ما در ورودی شبکه محسوب نشده و پهنای باند ورودی بیشتری داشته باشیم.
از جریان بالا چند نتیجه میتوان گرفت، IDS و فایروال کار خود را بخوبی انجام دادند اما وقتی Log های آنها مورد توجه قرار گرفت که روی MRTG تغییر گراف را مشاهده کردیم پس جای یک Event Correlation و جریانی که Log ها را آنالیز و شسته رفته در اختیار ما قراردهد در آن روزگار کم بود.
حال اگر ترافیک مربوط به حمله در ابعاد کوچکتری بود و آن روز فرصت بررسی Log ها را نداشتیم یا این کار را از روی تنبل بودن ذات آدمی به فردا موکول میکردیم دو ابزار امن سازی فوق نیز کارآمدی خود را تا حدودی از دست میدهند. حمله فوق موج اول Slammer بود و فردای آن روز ویروس ایران و اخبار را فراگرفت…
حال با این مقدمه می توانیم به سوال یکی از دوستان در مورد CS-MARS بپردازیم…
توضیح در مورد Slammer
Slammer سومین حمله کرم های اینترنتی در آن سال ها پس از Code Red و NIMDA یا همان ADMIN چپه شده! بود آن زمان Code Red که حمله هکرهای چینی (موج ارتش سرخ) به آمریکا بخاطر اعتراض به سقوط هواپیمای مسافربری چین بود؛ اینترنت را با استفاده از حفره های امنیتی و Exploit های IIS فراگرفت که خوشبختانه بازار خوبی را برای ما بهمراه آورد! چندین سرویس دهنده ایرانی و موسسه دولتی دچار آن شدند در حالیکه IIS های ما بخاطر داشتن CSA يا Cisco Secure Agent که Host Intrusion Prevention يا HIPS سیسکو است به مشکلی برنخورد.
من که هیچی نفهمیدم ولی خیلی با حال بود!!!
واقعاً شناساییتون جالب بود و قشنگ اشکال یابی کردید !