حمله DDoS چیست؟
ادمین
حمله DDoS چیست؟
حملهDDoS کوتاه شده (Distribution Denial of Service)، حمله محروم سازی از سرویس است، که یک حمله مخرب به شبکه است و شامل هکرهایی می شود که تعداد زیادی دستگاه متصل به اینترنت را برای ارسال درخواست های ارتباطات شبکه به یک سرویس یا وب سایت خاص را با هدف غلبه بر آن از طریق ترافیک کاذب یا درخواست های دیگر، درگیر می کنند. این امر به معنای متصل کردن منابع موجود برای مقابله با این درخواست ها، و خراب کردن سرور وب می باشد تا که کاربران عادی نتوانند ارتباط بین سیستم های خود و سرور ایجاد کنند. حمله DDoS مانند برخورد ترافیک در جاده با بزرگراه است و از ورود منظم ترافیک به مقصد مورد نظر خود جلوگیری می کند. انگیزه های حمله به وب سایت یا سرویس متفاوت است. هکرها از حمله DDoS استفاده می کنند تا یک بیانیه سیاسی علیه یک سازمان یا دولت بیان کند. جنایتکارانی وجود دارند که این کار را برای گروگان نگه داشتن یک وب سایت تجاری تا زمانی که دریافت باج دریافت می کنند انجام می دهند. بعضی از رقبای تجاری حمله DDoS را برای بازی کثیف در برابر شرکت های رقیب انجام می دهند. گاهی اوقات، حمله DDoS همچنین یک استراتژی برای منحرف کردن سرورهای وب سایت است و به مهاجم اجازه می دهد تا بدافزارهای دیگری مانند نرم افزارهای تبلیغاتی مزاحم ، جاسوس افزارها ، باج افزارها و یا حتی ویروس ها را در سیستم مورد نظر قرار دهند. به طور کلی، حملات DDoS را می توان به سه نوع تقسیم کرد:
1. حملات مبتنی بر حجم
شامل UDP Flood، Flood ICMP و سایر حمله های مشابه آن است. هدف از این حمله اشباع پهنای باند سایت حمله شده است و اندازه آن در هر بیت بر ثانیه اندازه گیری می شود (Bps).
2. حملات پروتکل
شامل SYN floods, fragmented packet attacks, Ping of Death, Smurf DDoS و موارد دیگر می باشد. این نوع حمله منابع واقعی سرور یا تجهیزات ارتباطی متوسط مانند فایروال ها و توازن بار را مصرف می کند و در بسته ها در ثانیه اندازه می گیرد (PPS).
3. حملات لایه برنامه
شامل حملات low-and-slow attacks, GET/POST floods می باشد. هدف از این حملات خراب کردن سرور وب است و بزرگی آن در درخواست ها در ثانیه اندازه گرفته می شود. (Rps). در اینجا به بررسی شایع ترین انواع حمله DDoS خواهیم پرداخت؛
UPD Flood
پروتکل دیتاگرام کاربر (UDP) یک بسته غیرقابل اعتماد است. این بدان معنی است که فرستنده داده اهمیتی نمی دهد که گیرنده آن را دریافت کرده باشد. در Flood UDP، بسیاری از بسته های UDP در پورت های تصادفی برای قربانی ارسال می شوند. وقتی قربانی بسته ای را از پورت دریافت می کند، به دنبال برنامه ای است که از آن پورت استفاده کند. وقتی این کار را انجام نداد، با یک بسته کنترل پروتکل پیام کنترل اینترنت (ICMP) پاسخ می دهد. بسته های ICMP برای ارسال پیام های خطا استفاده می شوند. هنگامی که تعداد زیادی از بسته های UDP دریافت می شود، قربانی در پاسخ دادن به بسته های ICMP، منابع زیادی را مصرف می کند. این می تواند قربانی را از پاسخگویی به درخواست های مشروع جلوگیری کند.
Flood SYN
TCP یک اتصال قابل اعتماد است. این بدان معنی است که اطمینان می دهد که داده های ارسال شده توسط فرستنده به طور کامل توسط گیرنده دریافت می شود. TCP برای برقراری ارتباط بین فرستنده و گیرنده، از ارتباط سه جانبه استفاده می کند. فرستنده با ارسال یک بسته SYN شروع می شود و گیرنده با SYN-ACK پاسخ می دهد. فرستنده یک بسته ACK را به همراه داده ها ارسال می کند. در Flood SYN، فرستنده حمله کننده و گیرنده قربانی است. مهاجم یک بسته SYN ارسال می کند و سرور با SYN-ACK پاسخ می دهد. اما مهاجم با بسته ACK پاسخی نمی دهد. سرور یک بسته ACK را از حمله کننده انتظار دارد و مدتی منتظر است. مهاجم بسته های SYN زیادی را ارسال می کند و سرور منتظر دریافت ACK نهایی تا زمان اتمام است. از این رو، سرور منابع خود را در انتظار ACK خسته می کند. به این نوع حمله Flood SYN گفته می شود.
DNS Flood
شبیه به حمله Flood UDP است، این حمله عاملان را درگیر می کند که از مقادیر انبوه بسته های UDP برای بیرون کشیدن منابع جانبی سرور استفاده می کنند. در اینجا هدف، سرورهای DNS و مکانیسم های حافظه پنهان آنها است که هدف از این کار جلوگیری از تغییر مسیر درخواست های ورودی مشروع به منابع منطقه DNS است.
Amplification DNS
یک نوع انعکاس حمله می باشد، که در آن فرد مهاجم با نمایش داده های کوچک که از آدرس IP قربانی مورد نظر استفاده می کنند، شروع می شود. با استفاده از آسیب پذیری ها در سرورهای سیستم نام دامنه (DNS) قابل دسترس، پاسخ ها به بارهای بسته بسیار بزرگتر UDP هجوم می یابند و سرورهای هدفمند را تحت الشعاع قرار می دهند.
Ping of death
در حین انتقال داده از طریق اینترنت، داده ها به قطعات کوچکتر از بسته ها شکسته و تقسیم می شوند. و در انتها دریافت کننده، این بسته های شکسته را به هم متصل می کند تا کامل شوند. در یک حمله Ping of death، مهاجم بسته ای بزرگتر از 65536 بایت را ارسال می کند، (حداکثر اندازه یک بسته مجاز توسط پروتکل (IP. و بسته ها تقسیم شده و از طریق اینترنت ارسال می شوند. اما هنگامی که مجددا بسته ها در قسمت دریافت قرار گرفتند، سیستم عامل در مورد نحوه اداره این بسته های بزرگتر ناتوان است، بنابراین موجبات خرابی فراهم می شود.
Flood HTTP
در این حمله DDoS، مهاجم از درخواست های HTTP GET یا POST به ظاهر مشروع استفاده می کند تا به یک سرور یا برنامه وب حمله کند. Flood HTTP از بسته های نادرست، جعلی و انعکاس استفاده نمی کنند و به پهنای باند کمتری نسبت به دیگر حملات برای از بین بردن سایت یا سرور هدفمند نیاز دارند. این حمله زمانی مؤثر است که سرور یا برنامه را مجبور کند حداکثر منابع ممکن را در پاسخ به هر درخواست اختصاص دهد.
Slowloris
Slowloris یک حمله بسیار هدفمند است و به یک سرور وب امکان می دهد سرور دیگری را بدون آنکه تحت تأثیر سرویس ها یا پورت های دیگر در شبکه هدف قرار بگیرد، سرور دیگری را از بین ببرد. Slowloris این کار را با نگه داشتن بسیاری از اتصالات به سرور وب هدف برای مدت زمان ممکن باز می کند. این کار را با ایجاد اتصالات به سرور هدف انجام می دهد.
ICMP (Ping) Flood
در اصل شبیه به حمله Flood UDP است، یک Flood ICMP با بسته های درخواست ICMP Echo (ping) منبع هدف را تحت الشعاع قرار می دهد، و به طور کلی بسته ها را با بیشترین سرعت ممکن بدون انتظار برای پاسخ ارسال می کند. این نوع حمله می تواند پهنای باند ورودی و خروجی را مصرف کند، زیرا سرورهای قربانی اغلب سعی می کنند به بسته های ICMP Echo Reply پاسخ دهند، و این باعث کاهش کلی سیستم می شود.
چگونه یک حمله DDoS کار می کند؟
حمله DDoS نیاز به یک مهاجم برای بدست آوردن کنترل یک شبکه از ماشین های آنلاین به منظور انجام یک حمله دارد. رایانه ها و سایر دستگاه ها (مانند اینترنت اشیا IoT) به بدافزار آلوده شده و هر کدام را به یک ربات (یا زامبی) تبدیل می کنند. سپس مهاجم کنترل از راه دور بر روی گروه ربات ها دارد که به آن botnet گفته می شود. هنگامی که یک botnet ایجاد شد، مهاجم قادر است با ارسال دستورالعمل های به روز شده به هر ربات از طریق یک روش کنترل از راه دور ، ماشین ها را هدایت کند. هنگامی که آدرس IP یک قربانی توسط botnet هدف قرار گرفت، هر ربات با ارسال درخواست به هدف پاسخ خواهد داد، به طور بالقوه باعث می شود سرور یا شبکه هدفمند ظرفیت سرریز کند و در نتیجه انکار سرویس به ترافیک عادی منجر شود. از آنجا که هر ربات یک وسیله اینترنتی قانونی است، جدا کردن ترافیک حمله از ترافیک عادی می تواند مشکل باشد.
روند کاهش حمله DDoS چیست؟
نگرانی اصلی در کاهش حمله DDoS، تمایز بین حمله و ترافیک عادی است. به عنوان مثال، اگر یک محصول اینترنتی که دارای وب سایت یک شرکت می باشد و مورد توجه مشتریان قرار گرفته است، قطع همه ترافیک اشتباه است. اگر این شرکت ناگهان موجی از ترافیک را از طرف افراد شناخته شده داشته باشد، تلاش ها برای کاهش یک حمله احتمالا ضروری است. مشکل در این است که مشتری واقعی و ترافیک حمله را از هم جدا می کند. در اینترنت مدرن ، ترافیک DDoS به اشکال مختلفی ارائه می شود. ترافیک می تواند از نظر طراحی از حملات تک منبع به مجموعه حملات چند جهته پیچیده و انطباقی متفاوت باشد. حمله DDoS چند جهته از مسیرهای حمله چندگانه استفاده می کند تا بتواند هدف را به روش های مختلفی تحت الشعاع خود قرار دهد و به طور بالقوه باعث کاهش اقدامات کاهشی در هر مسیر شود. حمله ای که همزمان چندین لایه از پروتکل را هدف قرار می دهد ، مانند تقویت DNS (لایه های هدفمند 3/4) همراه با یک Flood HTTP (لایه هدف 7) نمونه ای از حمله DDoS چند جهته است. کاهش یک حمله DDoS چند جهته به منظور مقابله با مسیرهای مختلف به استراتژی های مختلفی نیاز دارد. به طور کلی، هرچه حمله پیچیده تر باشد، جداسازی ترافیک از ترافیک عادی مشکل تر خواهد بود - هدف مهاجم مخلوط کردن هر چه بیشتر و کاهش شانس جلوگیری از حمله است. تلاش های کاهش یافته که شامل افت و محدود کردن ترافیک بطور غیرمستقیم است، ممکن است ترافیک خوب را به سمت شرایط بد سوق دهد و حمله نیز ممکن است با اقدامات متقابل دور ساز اصلاح و سازگار شود. برای غلبه بر یک تلاش پیچیده برای ایجاد اختلال ، یک راه حل لایه ای بیشترین سود را خواهد داشت.
مسیریابی سیاه چاله
یک راه حل در دسترس تقریباً برای همه مدیران شبکه ایجاد مسیر سیاهچاله و ترافیک قیف به آن مسیر است. در ساده ترین شکل آن، هنگامی که فیلتر سیاهچاله بدون معیارهای محدودیت خاص اجرا می شود، هر دو ترافیک مشروع و مخرب شبکه به یک مسیر تهی یا سیاهچاله هدایت می شوند و از شبکه حذف می شوند. اگر یک اینترنت در حال حمله DDoS باشد، ارائه دهنده خدمات اینترنت (ISP) ممکن است تمام ترافیک سایت را به عنوان دفاع به داخل سیاهچاله بفرستد.
کنترل و محدود کردن نرخ
محدود کردن تعداد درخواست هایی که سرور در طی یک بازه زمانی خاص می پذیرد نیز راهی برای کاهش حملات محروم سازی از سرویس است. در حالی که محدود کردن نرخ در کاهش سرعت صفحه وب از دزدیدن محتوا و برای کاهش تلاش های ورود به سیستم ناخواسته مفید است، اما به تنهایی برای اداره موثر حمله DDoS کافی نیست. با این وجود، محدود کردن نرخ یک مؤلفه مفید در یک استراتژی کاهش موثر حمله DDoS است.
فایروال برنامه وب
فایروال برنامه وب (WAF) ابزاری است که می تواند در کاهش حمله 7 لایه DDoS کمک کند. با قرار دادن WAF بین اینترنت و سرور مبدا، فایروال برنامه وب ممکن است به عنوان یک پروکسی معکوس عمل کند و از سرور هدفمند در برابر انواع خاصی از ترافیک مخرب محافظت کند. با فیلتر کردن درخواست ها بر اساس یک سری قوانین استفاده شده برای شناسایی ابزارهای حمله DDoS، می توان از حملات لایه 7 جلوگیری کرد.
پخش شبکه انیکست (Anycast)
این روش کاهش استفاده از یک شبکه انیکست برای پراکنده کردن ترافیک حمله در شبکه ای از سرورهای توزیع شده تا جایی که جذب ترافیک توسط شبکه انجام می شود. مانند روش هدایت یک رودخانه در حال حرکت به سمت کانال های کوچکتر جداگانه، این روش تأثیر ترافیک حمله توزیع شده را تا جایی که قابل کنترل باشد گسترش می دهد و هرگونه توانایی مختل کننده را پراکنده می کند. قابلیت اطمینان شبکه انیکست برای کاهش یک حمله DDoS به اندازه حمله و اندازه و راندمان شبکه بستگی دارد. بخش مهمی از کاهش حمله DDoS که توسط کلود فلر انجام می شود.
حملات DDoS چگونه بر کسب و کارها تأثیر می گذارد؟
بدیهی است، یک شرکت یا وب سایت تجاری خرده فروشی باید تهدیدات DDoS را جدی بگیرد. بسته به نوع و اندازه شرکت، حمله DDoS می تواند از مشکلات کوچک به چیزی برسد که می تواند جریان درآمد شما را بشکند و به طور دائم به آن آسیب بزند. حمله DDoS می تواند برخی از کسب و کارهای آنلاین را برای مدت زمان طولانی فلج کند تا آن ها را به میزان قابل توجهی عقب بیاندازد، یا حتی آن ها را برای مدت زمان حمله و برخی دوره پس از آن بطور کامل از کار و رقابت خارج کند. بسته به نوع حمله ، اثرات جانبی یا غیر عمدی نیز وجود داشته باشد که می تواند به کسب و کار شما آسیب برساند عوارض جانبی حمله DDoS شامل موارد زیر است:
- ناامیدی مشتریان و از دست دادن آن ها
- از دست رفتن داده ها
- از دست دادن درآمد
- جبران خسارت
- از دست رفتن ساعت کاری مفید و بهره وری
- آسیب به اعتبار کسب و کار
