حمله DDoS

حمله DDoS چیست؟ A Distributed Denial-of-Service (DDoS)  یک تلاش برای مختل کردن ترافیک عادی سرور،سرویس یا شبکه هدف و شبکه و سرور مورد نظر را وادار به ناتوانی در ارائه سرویس عادی با هدف قرار دادن پهنای باند شبکه یا اتصال پذیری می‌نماید. این حملات با ارسال بسته‌های داده به قربانی انجام می‌شود که شبکه یا ظرفیت پردازشی قربانی را غرق در بسته‌های اطلاعاتی می‌کند و مانع دستیابی کاربران و مشتریان به سرویس می‌شود

به صورت کلی زمانی یک حمله دیداس به سایت اتفاق می افتد که دسترسی به یک کامپیوتر یا منبع شبکه عمداً در نتیجه کار مخرب به کاربر دیگری مسدود یا کاهش داده شود. این حملات لزوماً داده‌ها را مستقیماً یا همیشگی تخریب نمی‌کنند، اما عمداً دسترس پذیری منابع را به خطر می‌اندازند.

از سطح بالا، یک حمله DDoS مانند یک ترافیک غیرمنتظره است که بزرگراه را مسدود می کند و از رسیدن ترافیک منظم به مقصد جلوگیری می کند.

 

حمله DDoS چگونه کار می کند؟

 

حملات DDoS با شبکه دستگاه های متصل به اینترنت انجام می شود.

این شبکه‌ها از رایانه‌ها و سایر دستگاه‌ها (مانند IoT) تشکیل شده‌اند که به بدافزار آلوده اند و به آنها اجازه می‌دهند از راه دور توسط یک مهاجم کنترل شوند. این دستگاه‌های منفرد به عنوان ربات (یا زامبی) شناخته می‌شوند و به گروهی از این ربات‌ها بات‌نت گفته می‌شود.

هنگامی که یک بات نت ایجاد شد، مهاجم می تواند با ارسال دستورالعمل از راه دور به هر یک از این ربات ها، حمله را هدایت کند.

هنگامی که سرور یا شبکه قربانی توسط بات نت مورد هدف قرار می گیرد، هر ربات درخواست هایی را به آدرس IP مورد نظر ارسال می کند که به طور بالقوه باعث می شود سرور یا شبکه تحت فشار قرار گیرد و در نتیجه دسترسی سرویس به ترافیک عادی منع شود.

از آنجایی که هر ربات یک ابزار اینترنتی قانونی است، جداسازی ترافیکی که مئرد حمله قرار گرفته از ترافیک عادی می تواند دشوار باشد.

 

حملات ddos

 

نحوه شناسایی حمله DDoS

 

یکی از بزرگترین مشکلات شناسایی یک حمله DDoS این است که علائم غیرعادی نیستند. بارزترین علامت حمله سیاری از علائم مشابه چیزی است که کاربران فناوری هر روز با آن مواجه می‌شوند، از جمله سرعت پایین آپلود یا دانلود، در دسترس نبودن وب‌سایت برای مشاهده، قطع شدن اتصال اینترنت، رسانه و محتوای غیرمعمول، یا مقدار بیش از حد هرزنامه.

علاوه بر این، یک حمله DDoS ممکن است از چند ساعت تا چند ماه طول بکشد و درجه حمله می‌تواند متفاوت باشد.

ابزارهای تجزیه و تحلیل ترافیک می توانند به شما کمک کنند برخی از این نشانه های آشکار حمله DDoS را شناسایی کنید:

  • مقادیر مشکوک ترافیک که از یک آدرس IP یا محدوده IP نشأت گرفته
  • سیل ترافیک از سوی کاربرانی که یک فُرم رفتاری مشترک دارند، مانند نوع دستگاه، موقعیت جغرافیایی، یا نسخه مرورگر وب
  • افزایش غیر قابل توضیح در درخواست ها به یک صفحه یا نقطه پایانی (endpoint)
  • الگوهای ترافیکی عجیب و غریب مانند افزایش در ساعات غیر عادی روز یا الگوهایی که غیرطبیعی به نظر می رسند (مثلاً هر 10 دقیقه یک بار ترافیک اینترنت افزایش می یابد)

 

انواع حملات DDoS :

حملات مختلف بخش های مختلف یک شبکه را هدف قرار می دهند و بر اساس لایه های اتصال شبکه ای که هدف قرار می دهند طبقه بندی می شوند. یک اتصال شبکه در اینترنت از اجزای مختلف یا “لایه ها” تشکیل شده است. مانند ساختن یک خانه از پایه، هر لایه در مدل هدف متفاوتی دارد.

 

حملات لایه کاربرد (application) :

هدف از حملات  DDoSبه لایه هفتم یا لایه کاربرد از بین بردن منابع هدف است اما به سختی می توان آنها را به حمله ای عنوان مخرب معرفی کرد. این حملات لایه ای را که در آن صفحات وب روی سرور تولید می شوند را هدف قرار می دهند و در پاسخ به درخواست های HTTP تحویل داده می شوند. اجرای یک درخواست HTTP از نظر محاسباتی در سمت کاربر ارزان است، اما پاسخگویی به آن برای سرور مورد نظر می تواند گران است، زیرا سرور اغلب چندین فایل را بارگیری می کند و SQLهای پایگاه داده را برای ایجاد یک صفحه وب اجرا می کند. این حمله بیشتر با هدف از دسترس خارج کردن یک سرویس استفاده می‌شود. در این روش، درخواست‌ها شباهت زیادی به درخواست‌های عادی دارند. این حمله به پهنای باند کمی نیاز دارد در نتیجه شناسایی و پیشگیری از بروز آن کار مشکلی است.

حمله http flood مثالی از این نوع حمله است. این حمله با هدف مصرف بیش از اندازه منابع سرور از طریق ارسال درخواست‌‌های مبتنی بر پروتکل http انجام می‌شود. این حمله شبیه بارها و بارها به‌روزرسانی  کردن یک مرورگر وب در بسیاری از رایانه‌های مختلف است – تعداد زیادی درخواست HTTP به سرور سرازیر می‌شود و منجر به عدم پذیرش سرویس می‌شود.

 

حملات پروتکلی (Protocol Attacks) :

حملات پروتکلی تمام ظرفیت موجود سرورهای وب یا منابع دیگر مانند فایروال ها را مصرف می کند.این حملات با مصرف بیش از حد منابع سرور و/یا منابع تجهیزات شبکه مانند فایروال ها و متعادل کننده بار باعث اختلال در سرویس می شود. آنها نقاط ضعف لایه های 3 و 4 پروتکل OSI را آشکار می کنند تا هدف را غیرقابل دسترسی نشان دهند.

FLOOD SYN نمونه ای از حمله پروتکلی است که در آن مهاجم تعداد زیادی درخواست پروتکل کنترل انتقال (TCP)  را با آدرس های منبع جعلی (IP) به هدف ارسال می کند.سرورهای هدف تلاش می‌کنند به هر درخواست اتصال پاسخ دهند، اما جوابدهی هرگز اتفاق نمی‌افتد و هدف را در فرآیند غرق می‌کند.

 

حملات حجمی Volumetric Attacks :

هدف این نوع حمله کنترل تمام پهنای باند موجود بین کاربر هدف و اینترنت بزرگتر است. تقویت سیستم نام برای دامین (Domain Name System) نمونه ای از حملات Volumetric است. این دسته از حملات با مصرف تمام پهنای باند,ازدحام ایجاد می کنند. حجم زیادی از داده ها با استفاده از یک فرم تقویت یا ابزار دیگری برای ایجاد ترافیک گسترده، مانند درخواست های یک بات نت، به یک هدف ارسال می شود.

تقویت DNS مانند این است که شخصی با یک رستوران تماس بگیرد و بگوید “من یکی از همه چیز را خواهم داشت، لطفاً با من تماس بگیرید و تمام سفارشم را تکرار کنید”، جایی که شماره تماس در واقع متعلق به قربانی است. با تلاش بسیار کم، یک پاسخ طولانی ایجاد می شود و برای قربانی ارسال می شود. با درخواست یک سرور DNS باز با آدرس IP جعلی (آدرس IP قربانی)، آدرس IP هدف پاسخی از سرور دریافت می کند.

ddos

جلوگیری از حملات DDoS

تشخیص حملات DDoS و مقابله با آنها کار مشکلی است، اما این امکان وجود دارد که بتوان ترافیک هکر را به شکل دقیق‌تری شناسایی کرد و به میزان قابل توجهی جلوی حمله را گرفت.

محافظت کامل شبکه در برابر حملات DDoS تقریبا غیر ممکن است، زیرا کاربر مهاجم با داشتن حداقل امکانات نیز می‌تواند تداخل شدیدی در شبکه ایجاد کرده و آن را از دسترس خارج کند، بهترین روش برای محافظت در برابر حملات DDoS تنظیم دقیق سرورهای شبکه و قراردادن پروتکل‌های مانند NTP و DNS و SSDP و SNMP و Chargen روی سرورهای اختصاصی با امنیت بالاست.

سرورهای شبکه باید به طور منظم و مداوم مورد و آزمایش قرار گیرند تا نقاط ضعف احتمالی شبکه شناسایی شود. استفاده از فیلترهای جعلی راه دیگری برای محافظت در برابر حملات IP منبع DDoS جعلی است. (حمله به ترافیک بالای شبکه با استفاده از آدرس های IP فریبنده) این نوع حمله را می توان با حداقل منابع انجام داد که می تواند امنیت بالایی را حتی برای صفحات بزرگ غیرقابل دسترس ایجاد کند. یک سازمان باید برای ارائه بالاترین سطح امنیت شبکه تلاش کند.

  • چک لیست نظارت و تحلیل ترافیک وب سایت: در این روش گزارش‌های مربوط به ترافیک وب سایت کنترل و هرگونه ترافیک غیرعادی بررسی می‌شود.
  • چک لیست بررسی تاخیر وب سایت: در صورتی که به دفعات متعدد بارگیری وب سایت با تاخیر انجام شود نشانه‌ای از حملات DDoS است.
  • چک لیست تاخیرهای طولانی مدت: ترافیک نامشخص، افزایش ناگهانی و غیرعادی بارکاری پردازنده تا حدود ۱۰۰% و هر عملیات مشکوک دیگری نشانه‌ای از حمله DDoS است.

تمرکز اصلی در کاهش حمله DDoS، تمایز بین ترافیک حمله و ترافیک عادی است. در اینترنت مدرن، ترافیک DDoS به اشکال مختلفی وجود دارد. ترافیک می تواند از نظر طراحی متفاوت باشد، از حملات تک منبع جعلی گرفته تا حملات چند جهتی پیچیده و تطبیقی.

به طور کلی، هرچه حمله پیچیده تر باشد، احتمال جدا شدن ترافیک از ترافیک عادی بیشتر است..

تلاش‌ برای پاکسازی که شامل حذف یا محدود کردن ترافیک سرکش می‌شود، می‌تواند منجر به حذف ترافیک خوب به همراه موارد شود، و همچنین می‌تواند برای دور زدن اقدامات متقابل, اصلاح و سازگار قرار گیرد. برای حل یک مشکل پیچیده، راه حل چند سطحی بسیار مفید است.

در مجموع ایجاد امنیت و دفاع در برابر حملات DDoS به دو بخش تقسیم می‌شود:

 

۱- دفاع قبل از حمله DDoS که از راه حل‌های زیر می‌توان استفاده کرد:

  • پیکربندی قوی فایروال
  • به کارگیری ارائه دهنده امنیت وب
  • زیرساخت‌های Honeypot
  • امنیت حرفه‌ای شبکه

۲- دفاع از سیستم در زمان حمله DDoS که از روش‌های زیر ممکن است:

  • فیلتر ترافیک ورودی شبکه
  • فیلترینگ IP براساس تاریخچه
  • تغییر آدرس IP
  • Load Balancing

راه‌حل‌های این چنینی به میزان زیادی مانع بروز حمله‌ها می‌شوند، اما به شکل قاطع نمی‌توانند از سرویس‌ها در برابر حمله‌ها محافظت کنند. به همین دلیل کارشناسان امنیتی پیشنهاد می‌کنند از راه‌‌حل‌هایی مثل proxy server و انتقال سرویس استفاده شود تا اگر هکری موفق شد از فیلتر‌ها عبور کند، خسارت کمتری به زیرساخت‌ها وارد شود و دسترسی به خدمات مختل نشود.

 


برچسب‌ها

نظرات



جستجو

جدیدترین پایگاه دانش

Search

News Blogs