حملات ddos چیست و چگونه با آن مقابله کنیم؟
حملات ddos امروزه مهمترین دغدغه امنیت اینترنت است. جزئیات و نحوه عملکرد حملات DDoS و روش توقف آنها را در این مطلب بررسی خواهیم کرد.
آنچه در این مقاله می خوانید:
حمله توزیع شده خدمات، distributed denial-of-service attack یا (DDoS)، فعالیتی مخرب برای ایجاد اختلال در تردد عادی یک سرور، سرویس یا شبکه هدف، با غلبه بر هدف یا زیرساخت های اطراف آن، به واسطه ایجاد یک سیل ترافیک اینترنتی است.
حملات ddos با استفاده از چندین سیستم کامپیوتری در معرض خطر به عنوان منابع ترافیکی حمله، عمل می کنند. سیستم های مورد بهره برداری می توانند شامل کامپیوترها و سایر منابع شبکه مانند دستگاه های اینترنت اشیا باشند. این موارد بسیار آسیب پذیر می شوند و بنابراین، پرداخت به این نوع حملات بسیار اهمیت دارد.
در سطح بالا، حملات ddos، مانند یک ترافیک غیر منتظره است که بزرگراه را مسدود کرده و مانع از رسیدن ترافیک منظم به مقصد می شود.
حملات ddos چگونه کار می کند؟
حملات ddos با شبکه ای از ماشین های متصل به اینترنت انجام می شود.
این شبکه ها شامل رایانه ها و سایر دستگاه ها (مانند دستگاه های اینترنت اشیا) هستند که به بدافزار آلوده شده اند و به آنها اجازه می دهند از راه دور توسط مهاجم، کنترل شوند. به این دستگاه های جداگانه “ربات” یا “بات” (یا زامبی) و گروهی از ربات ها بات- نت گفته می شود.
پس از ایجاد بات- نت یا botnet، مهاجم می تواند با ارسال دستورالعمل های راه دور به هر ربات، حملات ddos را هدایت کند.
هنگامی که سرور یا شبکه قربانی توسط بات- نت مورد هدف قرار می گیرد، هر ربات، درخواست هایی را به آدرس IP هدف ارسال می کند و به طور بالقوه باعث می شود سرور یا شبکه، تحت فشار قرار گیرد و در نتیجه ،خدمات از ترافیک عادی منع می شود. از آنجا که هر ربات، یک دستگاه اینترنتی مجاز است، تفکیک ترافیک حملات ddos از ترافیک معمولی، دشوار است.
نحوه تشخیص حملات ddos چگونه است؟
واضح ترین علامت حملات ddos این است که سایت یا سرویس، ناگهان کُند می شود یا از دسترس خارج می شود؛ اما از آنجا که تعدادی از دلایل – مانند افزایش قابل توجه ترافیک – می توانند مشکلات عملکردی مشابهی ایجاد کنند، معمولاً تحقیقات بیشتری برای شناسایی این نشانه ها مورد نیاز است.
ابزارهای تجزیه و تحلیل ترافیک می توانند به شما در تشخیص برخی از نشانه های بارز حملات ddos کمک کنند:
- حجم مشکوک ترافیک، حاصل از یک آدرس IP یا محدوده IP
- سیل ترافیکی از کاربرانی که یک نمایه رفتاری واحد دارند، مانند نوع دستگاه، موقعیت جغرافیایی یا نسخه مرورگر وب
- افزایش ناگهانی درخواست ها در یک صفحه یا نقطه نهایی
- الگوهای ترافیک عجیب، مانند افزایش پیک در ساعات روز یا الگوهایی که غیر طبیعی به نظر می رسند (به عنوان مثال افزایش ترافیک ۱۰ دقیقه ای)
علائم دیگر و مشخص تری از حملات ddos وجود دارد که بسته به نوع حمله می تواند متفاوت باشد.
انواع متداول حملات ddos کدامند؟
انواع مختلف حملات ddos، اجزای مختلف اتصال شبکه را هدف قرار می دهند. برای درک نحوه عملکرد حملات مختلف DDoS، باید نحوه اتصال شبکه را بدانید. اتصال شبکه در اینترنت از اجزای یا لایه های مختلف تشکیل شده است. مانند ساختن خانه از ابتدا، هر لایه در مدل هدف متفاوتی دارد.
مدل OSI، که در زیر نشان داده شده است، یک چارچوب مفهومی است که برای توصیف اتصال شبکه در ۷ لایه مجزا استفاده می شود.
در حالی که تقریباً تمام حملات ddos شامل اشباع شدن یک دستگاه یا شبکه هدف با ترافیک است؛ حملات را می توان به سه دسته تقسیم کرد. مهاجم ممکن است از یک یا چند بردار مختلف حمله کند؛ یا از بردارهای چرخه ای در پاسخ به اقدامات متقابل توسط هدف، برای حمله استفاده کند.
- حملات لایه کاربردی (Application layer) = لایه ۷
هدف حمله:
گاهی اوقات به عنوان یک حمله DDoS، لایه ۷ (در اشاره به لایه ۷ از مدل OSI) نامیده می شود؛ هدف از این حملات ddos ، تخلیه منابع هدف برای ایجاد یک سرویس منسوخ شده است.
حملات ddos، لایه ای را که صفحات وب روی سرورها عمل می کنند و در پاسخ به درخواست های HTTP تحویل داده می شوند، هدف قرار می دهند. اجرای یک درخواست HTTP از نظر محاسباتی، در سمت سرویس گیرنده، ارزان است، اما پاسخ دادن به سرور مورد نظر می تواند گران باشد، زیرا سرور، اغلب چندین فایل را بارگذاری می کند و درخواست های پایگاه داده را برای ایجاد یک صفحه وب به اجرا در می آورد.
دفاع از حملات لایه ۷ دشوار است، زیرا تشخیص ترافیک مخرب از ترافیک قانونی، بسیار سخت است.
مثال حمله لایه ۷:
- سیل HTTP
این حملات ddos شبیه ایجاد فشار مستمر و مداوم در مرورگر وب بر روی بسیاری از رایانه های مختلف است – تعداد زیادی درخواست HTTP به سرور سرازیر می شود و منجر به اختلال در سرویس می شود. این نوع حملات از ساده تا پیچیده، متغیر است.
پیاده سازی ساده تر برای یک سیستم ممکن است به یک آدرس اینترنتی با طیف وسیعی از آدرس های IP حمله کننده، ارجاع دهندگان و نمایندگان کاربر، قابلیت دسترسی بدهد. نسخه های پیچیده حملات ddos ممکن است از تعداد زیادی آدرس IP مهاجم استفاده کنند و آدرس های اینترنتی تصادفی را با استفاده از ارجاع دهندگان تصادفی و کاربران، هدف قرار دهند.
- حملات پروتکلی
هدف حمله:
حملات پروتکلی، که به عنوان حملات خستگی نیز شناخته می شوند، باعث اختلال در سرویس شوند؛ این حملات ddos، با مصرف بیش از حد منابع سرور ویا منابع تجهیزات شبکه مانند فایروال و بالانس کننده بار، این مشکلات را ایجاد می کنند. حملات پروتکلی با استفاده از ضعف در لایه ۳ و ۴، هدف را غیرقابل دسترسی می کنند.
مثال حمله پروتکلی:
- سیل SYN
سیل SYN، مشابه کارگری است که در یک انبار عرضه کالا، درخواست هایی را از مقابل فروشگاه دریافت می کند.
کارگر، درخواستی را دریافت می کند، می رود و بسته را دریافت می کند و منتظر تأیید آن قبل از آوردن بسته به جلوی فروشگاه است. سپس کارگر، تعداد زیادی درخواست بسته دیگر بدون تأیید دریافت می کند تا زمانی که آنها نتوانند بسته های بیشتری را حمل کنند، در این وضعیت نابسامان غرق می شود و درخواست ها بدون پاسخ، شروع می شوند.
این حملات ddos، از دست دادن TCP – دنباله ای از ارتباطات است که دو رایانه متصل شبکه را درگیر می کنند – حملات SYN با ارسال تعداد زیادی بسته TCP، یعنی “درخواست اتصال اولیه”، با آدرس IP منبع جعلی، از سیستم ها سوء استفاده می کند.
ماشین هدف به هر درخواست اتصال پاسخ می دهد و سپس منتظر آخرین مرحله در اتصال است، که هرگز اتفاق نمی افتد و منابع هدف را در این فرآیند خسته می کند.
- حملات حجمی
هدف حمله:
این دسته از حملات ddos سعی می کنند با مصرف تمام پهنای باند موجود بین هدف و اینترنت، تراکم ایجاد کنند. حجم زیادی از داده ها با استفاده از نوعی Amplification یا وسیله دیگری برای ایجاد ترافیک عظیم- مانند درخواست از یک بات- نت- به هدف ارسال می شوند.
مثال Amplification:
- DNS Amplification
DNS Amplification مانند این است که کسی با یک رستوران تماس بگیرد و بگوید “من یک سرویس از همه منوهای موجود شما را می خواهم، لطفاً با من تماس بگیرید و تمام سفارشات من را تکرار کنید”؛ این شرایط، شماره تماس در واقع متعلق به قربانی است. با تلاش بسیار اندک، پاسخ طولانی ایجاد می شود و برای قربانی سیستم حملات ارسال می شود.
با درخواست از یک سرور DNS باز، با آدرس IP جعلی (آدرس IP قربانی)، آدرس IP هدف از طرف سرور، پاسخی دریافت می کند.
روند کاهش حملات ddos چگونه است؟
نگرانی اصلی در کاهش حملات ddos، تمایز بین ترافیک ناشی از منبع حمله ddos و ترافیک معمولی است.
به عنوان مثال، اگر یک محصول در وب سایت یک شرکت، مشتریان زیادی داشته باشد، قطع ترافیک سایت، یک اشتباه بزرگ است. اگر ناگهان ترافیک آن شرکت از سوی مهاجمان شناخته شده افزایش یابد، احتمالاً تلاش برای کاهش حملات ddos ضروری است. مشکل اصلی، تشخیص مشتریان واقعی از ترافیک کاذب ناشی از حمله است.
در دنیای اینترنت مدرن، ترافیک DDoS اشکال مختلفی دارد. ترافیک می تواند طراحی متفاوت داشته باشد؛ از حملات تک منبعی بدون جعل گرفته تا حملات پیچیده و تطبیقی چند برداری.
یک حمله DDoS چند برداری، از چندین مسیر حمله برای غلبه بر یک هدف به روش های مختلف استفاده می کند.
حملات ddos که چندین لایه از سرویس پروتکل را همزمان هدف قرار می دهد، مانند تقویت DNS (لایه های هدف ۳/۴) همراه با سیل HTTP (لایه هدف ۷)، نمونه ای از DDoS چند برداری است. کاهش حملات ddos چند برداری به استراتژی های متنوعی برای مقابله با مسیرهای مختلف نیاز دارد.
به طور کلی، هرچه حمله پیچیده تر باشد، احتمال اینکه ترافیک حمله از ترافیک معمولی جدا شود، دشوارتر است – هدف مهاجم این است که تا آنجا که ممکن است سیگنال ها و ترافیک ها در هم آمیخته شوند و تلاش های مدیران برای مقابله را تا آنجا که ممکن است ناکارآمد کنند.
تلاش های رفع کننده مشکلات حملات ddos که شامل کاهش یا محدودیت بی رویه ترافیک می شود، ممکن است ترافیک خوب را از بین ببرد و حمله نیز ممکن است تعدیل شده و برای دور زدن اقدامات متقابل، تعدیل شود.
- مسیریابی سیاهچاله ای برای رفع حملات ddos
یک راه حل تقریباً در دسترس برای همه سرپرستان شبکه، ایجاد یک مسیر سیاهچاله ای و ترافیک قیفی به آن مسیر است. در ساده ترین شکل، هنگامی که فیلترینگ سیاهچاله، بدون معیارها و محدودیت خاصی اجرا می شود، ترافیک قانونی و مخرب شبکه به یک مسیر تهی یا سیاهچاله ای هدایت می شوند و از شبکه حذف می گردند.
اگر یک دارایی اینترنتی در معرض حملات ddos قرار دارد، ارائه دهنده خدمات اینترنت (ISP)، ممکن است تمام ترافیک سایت را به عنوان روش دفاعی، به سیاهچاله ارسال کند. این یک راه حل ایده آل نیست، زیرا به طور مؤثر، هدف مورد نظر مهاجم را مشخص می کند: این باعث می شود شبکه غیرقابل دسترسی باشد!!
- محدودیت سرعت برای کاهش حملات ddos
محدود کردن تعداد درخواست هایی که سرور در یک بازه زمانی خاص می پذیرد نیز راهی برای کاهش حملات ddos است.
در حالی که محدود کردن سرعت، در کند کردن صفحات وب، از سرقت محتوا و کاهش تلاش های ورود به سیستم، مفید است، به احتمال زیاد به تنهایی برای مدیریت موثر یک حمله پیچیده DDoS کافی نخواهد بود. با این وجود، محدود کردن سرعت، یک اقدام مفید در یک استراتژی کاهش اثرات حملات ddos است.
- برنامه فایروال بر مبنای وب
WAF یا(Web Application Firewall) ابزاری است که می تواند به کاهش حملات ddos لایه ۷ کمک کند. با قرار دادن WAF بین اینترنت و سرور مبدأ، WAF ممکن است به عنوان یک پروکسی معکوس عمل کرده و از سرور هدف در برابر انواع خاصی از ترافیک مخرب محافظت کند.
با فیلتر کردن درخواست ها بر اساس یک سری قوانین مورد استفاده برای شناسایی ابزارهای DDoS، حملات لایه ۷ می توانند لغو شوند. یکی از ارزش های کلیدی WAF، توانایی اجرای سریع قوانین در پاسخ به حملات ddos است.
- Anycast network diffusion
این روش کاهش حملات ddos، از یک شبکه Anycast برای پراکندن ترافیک حمله در سراسر شبکه سرورهای توزیع شده استفاده می کند؛ تا جایی که ترافیک، جذب شبکه شود.
این رویکرد مانند هدایت یک رودخانه طغیان کرده به کانال های جداگانه کوچک تر است و تأثیر ترافیک حملات توزیع شده را به حدی می رساند که قابل کنترل است و هرگونه عملکرد مخرب را منتشر می کند.
قابلیت اطمینان شبکه Anycast برای کاهش حمله DDoS بستگی به اندازه حمله و اندازه و کارایی شبکه دارد. بخش مهمی از کاهش حملات DDoS توسط Cloudflare، استفاده از شبکه توزیع شده Anycast است.
Cloudflare دارای یک شبکه ۱۰۰ Tbps است که بزرگ تر از حمله DDoS، ثبت شده است. اگر در حال حاضر تحت حملات ddos قرار دارید، راه حل هایی وجود دارد که می توانید برای رهایی از این فشار و بار انجام دهید. می توانید موارد فنی را با کارشناسان ما مطرح کنید.
دیدگاه شما درباره این مقاله چیست ؟