لا يجد المتسللون طريقة جديدة للوصول إلى خوادمك كل يوم. يعد القصف المضغوط أحد أبسط الطرق وأكثرها فعالية للقيام بذلك.
تواتر الهجمات السيبرانية يتزايد كل يوم. إن تطوير تدابير الأمن السيبراني يدفع الجهات الفاعلة في مجال التهديد إلى إيجاد طرق جديدة. وهذا أمر طبيعي في عالم اليوم حيث البيانات أكثر قيمة من الذهب لأن كل المعلومات موجودة الآن في البيئة الافتراضية ولا يوجد شيء يمكن قبعة القراصنة السوداء لن تفعل للحصول عليه.
ما هي القنبلة البريدية؟
لشرح القصف المضغوط يجب علينا أولاً أن نشرح ما هو الملف المضغوط. ملف ZIP هو أرشيف ملفات يقوم بتخزين عدة ملفات في ملف واحد. إنه تنسيق ضغط بدون فقدان البيانات، مما يعني أنه يتم ضغط البيانات دون فقدان أي جودة. غالبًا ما تُستخدم ملفات ZIP لتقليل حجم الملفات لتسهيل تخزينها أو نقلها.
ومن ناحية أخرى، فإن القنبلة المضغوطة هي ملف ZIP ضار مصمم لإغراق نظام الكمبيوتر بالبيانات. عادةً ما يتم إنشاء القنابل المضغوطة عن طريق تداخل ملفات ZIP بشكل متكرر داخل بعضها البعض. يعمل برنامج Zip Bombing من خلال استغلال الطريقة التي يتم بها ضغط الملفات المضغوطة. تستخدم الملفات المضغوطة خوارزمية ضغط تسمى Deflate، وهي فعالة جدًا في ضغط البيانات. ومع ذلك، فإن Deflate لديه أيضًا نقطة ضعف: حيث يمكن استخدامه لإنشاء ملفات أكبر بكثير عند فك ضغطها مما هي عليه عند ضغطها.
لإنشاء قنبلة مضغوطة، سيقوم المهاجم بإنشاء ملف ZIP يحتوي على عدد كبير من الملفات المتطابقة. يمكن أن تكون هذه الملفات أي شيء، مثل الملفات النصية أو الصور الفارغة. سيقوم المهاجم بعد ذلك بضغط الملف المضغوط عدة مرات، في كل مرة باستخدام مستوى ضغط مختلف.
يمكن لهذه العملية إنشاء ملف ZIP صغير جدًا عند ضغطه، ولكنه كبير جدًا عند فك ضغطه. على سبيل المثال، يمكن لملف قنبلة مضغوطة يبلغ حجمه بضعة كيلو بايت فقط أن يتوسع إلى مئات الجيجابايت أو حتى تيرابايت عند فك ضغطه.
العودية مقابل القنابل المضغوطة غير العودية
القنابل البريدية العودية العمل عن طريق تداخل الملفات المضغوطة داخل بعضها البعض. على سبيل المثال، قد تحتوي قنبلة مضغوطة متكررة على ملف مضغوط يحتوي على ملف مضغوط آخر، وما إلى ذلك. عندما يفتح الضحية القنبلة المضغوطة، سيحاول الكمبيوتر استخراج كافة الملفات المضغوطة المتداخلة. يمكن أن يؤدي ذلك إلى زيادة التحميل على موارد الكمبيوتر بسرعة والتسبب في تعطله.
القنابل البريدية غير العودية لا تستخدم ملفات مضغوطة متداخلة. وبدلاً من ذلك، يعتمدون على تقنية تسمى الملفات المتداخلة. الملفات المتداخلة هي ملفات تحتوي على نفس البيانات، ولكن في مواقع مختلفة في الملف المضغوط. عندما يحاول الكمبيوتر استخراج قنبلة مضغوطة غير متكررة، فإنه سيستخرج نفس البيانات عدة مرات. يمكن أن يؤدي هذا أيضًا إلى زيادة التحميل على موارد الكمبيوتر والتسبب في تعطله.
تعتبر القنابل المضغوطة غير العودية أكثر فعالية لأنها يمكن أن تكون أصغر بكثير من القنابل المضغوطة العودية. على سبيل المثال، يمكن للقنبلة المضغوطة غير العودية التي يمكن أن تتوسع إلى 1 تيرابايت أن يصل حجمها إلى 10 ميجابايت. وذلك لأن القنابل المضغوطة غير العودية لا تحتاج إلى احتواء نسخ متعددة من نفس البيانات.
كيف يتم استخدام القنابل المضغوطة في الهجمات السيبرانية؟
غالبًا ما تُستخدم القنابل المضغوطة في هجمات رفض الخدمة. هجوم رفض الخدمة هو نوع من الهجوم يهدف إلى جعل نظام الكمبيوتر غير متاح للمستخدمين المقصودين. في هجوم رفض الخدمة، يقوم المهاجم بإغراق نظام الكمبيوتر بحركة المرور أو البيانات، مما يؤدي إلى تعطله أو إرهاقه.
يمكن أيضًا استخدام القنابل المضغوطة لنشر البرامج الضارة أو لسرقة البيانات. على سبيل المثال، قد يرسل أحد المهاجمين قنبلة مضغوطة إلى إحدى الشركات في محاولة لتعطيل برنامج مكافحة الفيروسات الخاص بها. بمجرد تعطيل برنامج مكافحة الفيروسات، يمكن للمهاجم بعد ذلك إرسال برامج ضارة أخرى إلى أجهزة الكمبيوتر الخاصة بالشركة.
وبعد ذلك، عندما لا يكون هناك مساحة كافية لتخزين البيانات، يحدث ذلك خاصة في الشركة التي لا تفعل ذلك أرشفة البيانات، تصبح الأنظمة غير مستقرة وتتباطأ في البداية ثم تتعطل تمامًا. يمكن أن يستغرق قصف مضغوط كهذا وقتًا طويلاً جدًا لإصلاحه يدويًا إذا لم يتم أخذ النسخ الاحتياطية في فترات قصيرة.
إن النظام المستقر هو حلم المتسللين ومن الأسهل بكثير الحصول على البيانات الشخصية/بيانات الشركة بعد مثل هذا الهجوم.
كيف تحمي نفسك من القصف البريدي؟
هناك العديد من الخطوات التي يمكنك اتخاذها لحماية خادمك من أي هجوم بالقنابل المضغوطة:
- الحد من حجم الملفات التي تم تحميلها
- تحقق من الحجم غير المضغوط للملفات التي تم تحميلها قبل استخراجها
- استخراج الملفات المضغوطة إلى دليل مؤقت
- استخدام جدار حماية تطبيق الويب (WAF)
الحد من حجم الملفات التي تم تحميلها
تحتوي معظم خوادم الويب على حد مضمن لحجم الملفات التي تم تحميلها. يجب تعيين هذا الحد على قيمة كبيرة بما يكفي لاستيعاب عمليات تحميل الملفات المشروعة، ولكنها صغيرة بما يكفي لمنع تحميل القنابل المضغوطة.
للحد من حجم الملفات التي تم تحميلها في Apache، يمكنك استخدام التوجيه التالي:
حد الطلب 1048576
سيؤدي هذا إلى تحديد حجم الملفات التي تم تحميلها إلى 1 ميغابايت. يمكنك ضبط الحد لتلبية احتياجاتك.
تحقق من الحجم غير المضغوط للملفات التي تم تحميلها قبل استخراجها
يمكن ضغط القنبلة المضغوطة إلى حجم صغير جدًا، ولكنها ستتوسع إلى حجم أكبر بكثير عند استخراجها. يمكنك استخدام مكتبة مضغوطة للتحقق من الحجم غير المضغوط للملف المضغوط قبل استخراجه. إذا كان الحجم غير المضغوط أكبر من حد معين، فيجب رفض الملف.
على سبيل المثال، في بايثون، يمكنك استخدام الكود التالي:
استيراد ملف مضغوط
قم بإلغاء تحديد check_uncompressed_size(zip_file):
الحجم الإجمالي = 0
باستخدام zipfile.ZipFile(zip_file, 'r') كـ zip_ref:
للحصول على معلومات في zip_ref.infolist():
Total_size += info.file_size
إرجاع الحجم الإجماليإذا check_uncompressed_size('my_file.zip') > 10000000:
# الملف المضغوط كبير جدًا، قم برفضه
pass
آخر:
# الملف المضغوط آمن لاستخراجه
extract_zip_file('my_file.zip')
استخراج الملفات المضغوطة إلى دليل مؤقت
سيؤدي هذا إلى منع القنبلة المضغوطة من ملء القرص الصلب لخادمك. يمكنك استخدام الكود التالي في لغة بايثون لإنشاء دليل مؤقت واستخراج ملف مضغوط إليه:
استيراد ملف temp
تعريف extract_zip_file(zip_file):
temp_dir = tempfile.mkdtemp()
باستخدام zipfile.ZipFile(zip_file, 'r') كـ zip_ref:
zip_ref.extractall(temp_dir)# افعل شيئًا بالملفات المستخرجة
pass
استخدام جدار حماية تطبيق الويب (WAF)
يمكن تكوين WAF لاكتشاف هجمات القنابل المضغوطة ومنعها. لإعداد جدار حماية لتطبيقات الويب (WAF)، ستحتاج إلى ما يلي:
- اختر حل WAF. هناك العديد من حلول WAF المختلفة المتاحة، التجارية والمفتوحة المصدر. يجب عليك اختيار حل يلبي احتياجاتك المحددة، مثل أنواع الهجمات التي تريد الحماية منها، وحجم تطبيق الويب الخاص بك وتعقيده، وميزانيتك. حلول WAF الأكثر شيوعًا لعام 2023 هي كما يلي:
- نشر حل WAF. بمجرد اختيار حل WAF، ستحتاج إلى نشره أمام تطبيق الويب الخاص بك. قد يتضمن ذلك تكوين خادم الويب الخاص بك أو موازن التحميل لتوجيه حركة المرور عبر WAF
- تكوين قواعد WAF. تأتي معظم حلول WAF مع مجموعة من القواعد التي تم تكوينها مسبقًا والتي تحمي من هجمات تطبيقات الويب الشائعة. يمكنك أيضًا إنشاء القواعد المخصصة الخاصة بك للحماية من هجمات أو تهديدات محددة
- مراقبة سجلات WAF. من المهم مراقبة سجلات WAF لتحديد أي هجمات تم حظرها أو محاولة تنفيذها. سيساعدك هذا على التأكد من أن WAF يعمل بشكل صحيح وتحديد أي تهديدات جديدة قد تظهر
تذكر أن أي خطوة تتخذها لضمان الأمن السيبراني لك ولموظفيك ليست إضافية. البيانات تساوي وزنها ذهباً وأنت صائغ حديث.
رصيد الصورة المميز: Rawpixel.com/Freepik.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://dataconomy.com/2023/11/07/what-is-a-zip-bomb-how-does-it-work/
