خبرهای مهم:

تاریخ امروز برابر است با [ شنبه ۴ آذر ۱۳۹۶ ]

DDOS با MSSQL

۲۹ بهمن ۱۳۹۳

به تازگی روش جدیدی از انواع حملات DDOS بر روی سرویس SQL Server Browser Service کشف شده است که در این روش هکر ها با استفاده از Ip Spoofing و Reflection باعث حملات DDOS بر روی سیستم قربانی میشوند. در این روش با استفاده از پروتکل UDP بر روی پورت ۱۴۳۴ مربوط به یکی از سرویس های MS SQL بسته های پرس و جوی کم حجمی(۲۹ بایت) ارسال میگردد و سرور در پاسخ ۷۱۹ بایت داده بازمیگرداند.

البته پاسخ سرورها بسته به تنظیمات آنها ممکن است کمتر و یا بیشتر باشد. این پرس و جو در سرویس SSBS نیازی به تایید اعتبار ندارد. لذا هکر ها میتوانند با ایجاد لیستی از سرور های SQL که سرویس مربوط بر روی آنها فعال است و با استفاده از IP Spoofing پاسخ تمام سرور ها را به سمت هدف مورد نظر هدایت کنند.

سرور های SQL در صورتی که سرویس SSBS در تنظیمات آنها فعال باشد با استفاده از SQL Server Resolution Protocol بدون تایید اعتبار درخواست کننده اطلاعاتی را در رابطه با سرور SQL نمایش میدهند. پاسخ سرور تقریبا ۲۵ برابر حجم درخواست است. بنابراین یک هکر میتواند بدون اینکه شناسایی شود از طریق مجموعه ای از سرور های SQL به مقصد خاصی بسته های زیادی ارسال نماید و حمله DDOS را پیاده سازی نماید.

 

 

اسکریپتی که برای اینکار میتوان استفاده کرد چیزی شبیه به این خواهد بود :‌

 

برای تشخیص اینکه آیا امکان سوء استفاده از سرور SQL برای استفاده در حملات DDOS وجود دارد یا خیر از دستور زیر استفاده نمایید :

 

به جای ۱۲۷٫۰٫۰٫۱ آدرس سرور مورد نظر را قرار دهید. در صورتی که سرویس مربوطه بر روی سرور فعال باشد اطلاعاتی مشابه اطلاعات زیر نمایش داده خواهد شد :

 

در حال حاضر روش مناسبی برای جلوگیری از این نوع سوءاستفاده از سرور های SQL وجود ندارد اما ممکن است بتوانید از روش های زیر استفاده نمایید :

  • با استفاده از دیواره آتش میتوانید تمام درخواست ها به پورت شماره ۱۴۳۴ UDP را بلاک نمایید.
  • با استفاده از دیواره آتش تنها به کاربرانی که معتمد هستند اجازه درخواست ها به پورت مورد نظر را بدهید.
  • سرویس SQL Server Browser Service را غیر فعال نمایید.با غیر فعال شدن سرویس SSBS امکان اتصال به سرور SQL با Instance های مختلف وجود نخواهد داشت و تنها با استفاده از پورت پیش فرض SQL Server امکان اتصال وجود خواهد داشت. در سرور های Shared ممکن است عملا نتوانید هیچ کاری (درحال حاضر) برای جلوگیری از این نوع سوء استفاده انجام دهید.

:: نظرات

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد.

*