حملات DDoS و نحوه محافظت از خود

نویسنده :

اکبر اصغری

- انتشار :

یک سال قبل

- آخرین ویرایش :

یک سال قبل

- تعداد بازدید :

حملات DDoS تهدیدهای گسترده ای در اینترنت هستند. با افزایش روزافزون تعداد دستگاه‌های متصل و روش‌های نوآورانه جدید برای هک کردن آنها، نمی‌توانیم فقط بمانیم و منتظر باشیم تا تحت تأثیر قرار بگیریم. ما باید زیرساخت‌های DNS خود را هوشمندانه پیاده‌سازی کنیم و یک ارائه‌دهنده DNS قابل اعتماد را انتخاب کنیم که محافظت از حمله DDoS را ارائه می‌دهد تا ایمن باشد و از خرابی سرویس‌های ما جلوگیری کند.
اما برای محافظت باید خطر را بدانیم!

حمله DDoS چیست ؟

حمله DDoS مخفف عبارت Distributed Denial-of-Service است و نشان دهنده یک حمله سایبری است که هدف آن مختل کردن ترافیک عادی و غیرقابل دسترس کردن هدف (وب سایت، سرور، شبکه) برای کاربران عادی است. چند نوع مختلف وجود دارد، اما به طور کلی، یک حمله DDoS تلاشی برای غلبه بر هدف (یک رایانه، تعداد کمی رایانه متصل یا یک شبکه DNS کامل) با ترافیک بالا از منابع متعدد است.

مجرمان سایبری می توانند این موج قوی از ترافیک را با موارد زیر ایجاد کنند:

  • استفاده از شبکه ای از دستگاه های از پیش آلوده شده (کامپیوتر، موبایل، دستگاه های اینترنت اشیاء و غیره) به نام بات نت.
  • تقویت حمله ای که از سرورهای دیگر برای ارسال مجدد ترافیک به هدف پس از افزایش قابل توجه اندازه بسته ها.
  • اتصال موجود را اشغال میکنند و اجازه نمیدهند که اتصالات جدید وجود داشته باشد.
  • از آسیب‌پذیری‌های یک پروتکل، مانند UDP یا پروتکل‌های دیگر سوء استفاده میکنند.

تهدیدات DDoS زیادی وجود دارد، به همین دلیل است که باید یک دفاع DDoS نیز داشته باشید. حفاظت از حمله DDoS می تواند کسب و کار شما را ایمن نگه دارد و شما را از مشکلات احتمالی حفظ کند.

نحوه عملکرد DDoS Attack چگونه است ؟

انواع مختلفی از حملات DDoS وجود دارد (حملات مبتنی بر حجم، حملات مبتنی بر پروتکل و حملات لایه برنامه(Application-Layer))، اما به طور کلی، همه آنها مراحل یکسانی دارند:

  • آماده سازی حمله ،مجرمان سایبری شبکه‌ای از بات‌نت‌ها (دستگاه‌های آلوده) ایجاد می‌کنند که بعداً از آنها برای حملات استفاده می‌کنند. به عنوان مثال، هکرها می توانند امنیت دستگاه های IoT را دور بزنند یا می توانند ایمیل های فیشینگ را برای کاربران ارسال کنند و زمانی که کاربران ایمیل ها را باز می کنند، ممکن است به کدهای مخرب آلوده شوند.
  • راه اندازی حمله. اکنون زمان استفاده از بات نت است. زمان انتخاب قربانی و ارسال ترافیک به سمت سرور مورد نظر. دلایل مختلفی برای حملات وجود دارد، اما هدف این است که هدف از ترافیک اشباع شود و آن را از سرویس خارج کنیم.
  • موفقیت حمله. پس از مدتی، اگر هدف محافظت از حمله DDoS نداشته باشد، یا به اندازه کافی قوی نباشد، در نهایت نمی تواند به درستی عمل کند. محدودیتی برای تعداد اتصالات فعال یک سرور وجود دارد، حتی اگر بسیار قوی باشد. شروع به توقف سرویس می کند و کار را متوقف می کند. کاربران عادی نمی توانند از سرور استفاده کنند تا زمانی که ترافیک دوباره کاهش پیدا کند و سرور بتواند به درخواست های عادی پاسخ دهد.
  • نتیجه نهایی. بازیگران بد می توانستند به اهداف متفاوتی برسند و حالا پاداش خود را می گیرند. این می تواند پول یا فقط رضایت از موفقیت حمله باشد.

علائم حملات DDoS

حملات DDoS بسیار مضر هستند و می توانند منجر به زیان های مالی و اعتباری بزرگ شوند. به همین دلیل بسیار مهم است که مراقب باشید و هر گونه نشانه اولیه حمله ظاهری را بررسی کنید. ویژگی های خاصی برای هر نوع حمله DDoS وجود دارد، اما به طور کلی، آنچه می توانید در طول یک حمله انتظار داشته باشید این است:

  • ترافیک عجیب و غریب، از یک آدرس IP یا آدرس های IP مختلف اما مشابه (همان محدوده آدرس ها).
  • ترافیک از دستگاه‌هایی با مشخصات مشابه (نوع دستگاه‌ها، سیستم‌عامل و غیره) و الگوهای مشابه.
  • ترافیک به مرور زمان بیشتر و بیشتر میشود.
  • ترافیک فقط به یک صفحه و بدون کاوش بیشتر در وب سایت شما.

تفاوت DDoS و DoS

اجازه دهید ابتدا به طور خلاصه یک حمله (DoS) را تعریف کنیم. در این نوع حمله آنلاین، یک منبع به طور مخرب آلوده می شود تا حجم زیادی از ترافیک را به یک هدف ارسال کند. هدف اشباع کردن سیستم، خراب کردن آن با اتمام منابع فنی آن (CPU، RAM و غیره) یا با استفاده از یک آسیب پذیری خاص و تزریق یک ورودی مناسب و مضر است. سپس سرویس برای کاربران از دسترس خارج خواهد شد.

حال، بیایید به تفاوت‌های بین حملات DDoS در مقابل حملات DoS بپردازیم:

منبع حمله در حملات DoS . تنها به یک دستگاه (منبع) متصل به اینترنت نیاز دارد تا قربانی خود را با درخواست های جعلی زیادی پر کند یا از یک آسیب پذیری خاص در نرم افزار هدف سوء استفاده کند. حملات DDoS از چندین منبع، هزاران و حتی میلیون‌ها دستگاه متصل به اینترنت اجرا می‌شوند.

نحوه اجرا. معمولاً، سلاح‌های DoS برنامه‌هایی مانند Low Orbit Ion Cannon یا کدهای خانگی هستند. عاملان DDoS از ارتش های بات نت، گروه های عظیمی از دستگاه های آلوده به بدافزار مانند رایانه های شخصی، روترها، تلفن های همراه، اینترنت اشیا (IoT) متصل به اینترنت استفاده می کنند. ترافیکی که یک حمله DDoS می تواند ایجاد کند سنگین است، بسیار بزرگتر از یک حمله DoS.

محدوده آسیب. هر دو حمله می توانند بسیار تهاجمی باشند. اما همچنان، فناوری مدرن دفاع و حتی ردیابی منبع مخرب حمله DoS را آسان‌تر می‌کند و شانس شناسایی و شکست آن را افزایش می‌دهد. تبدیل به یک مبارزه یک به یک (DoS) می شود. در طول یک حمله DDoS، شما در حال مبارزه با چندین دستگاه هستید که احتمالاً در کشورها یا قاره‌های مختلف قرار دارند. شما باید همه آنها را به طور همزمان پیگیری و متوقف کنید. این بیشتر شبیه یک جنگ است و قطعاً زمان و منابع بیشتری را برای قربانی برای دفاع و تلاش برای توقف حمله می طلبد. بنابراین، دامنه آسیب یک DDoS بیشتر از DoS است.

حفاظت از حملات DDoS

راه حلی وجود دارد که می تواند بسیاری از حملات DDoS را متوقف کند، حتی یک حمله قوی که شامل ترافیک سنگین است، به نام محافظت از DDoS. این یک سرویس اضافی برای یک برنامه DNS مدیریت شده معمولی است.

برای کاهش موفقیت آمیز یک حمله DDoS، باید 3 عنصر زیر را داشته باشید:

Active Monitoring شما به یک سیستم مانیتورینگ نیاز دارید که نشانه های حملات مانند افزایش ترافیک، ترافیک مشکوک از آدرس های IP خاص و الگوهای عجیب درخواست ها را بررسی کند.

Reactive service یک چیز دیدن خطر است. دیگری این است که اقدام کنید. سرویس حفاظتی خوب DDoS باید دارای محرک‌های خودکار باشد که اقدامات لازم را انجام دهند. این ممکن است شامل متعادل کردن بار، فیلتر ترافیک و سیستم هشدار باشد.

Traffic load balancing (تعادل بار ترافیک) وقتی در مورد ترافیک سنگین صحبت می کنیم، باید ترافیک را به سمت سرورهای بیشتری هدایت کنید. به این ترتیب، بار را روی سرور های بیشتری پراکنده خواهید کرد. هرچه برنامه شما شامل سرورهای DNS بیشتری باشد، امکان مقاومت بهتری در برابر حمله DDoS دارید.

شما باید یک سرویس حفاظت از حمله DDoS هوشمند داشته باشید که بتواند ترافیک سنگین را به دلیل بار زیاد طبیعی یا خطر واقعی شما تشخیص دهد. شما نمی خواهید کاربران واقعی خود را در هر لحظه مسدود کنید.

انگیزه مهاجمان DDoS چیست؟

مجرمان سایبری می توانند دلایل متعددی برای استفاده از یک حمله DDoS داشته باشند و رایج ترین آنها عبارتند از:

اخاذی . این حملات می تواند امواج ترافیک را به سمت هدف ارسال کند و عملکرد سرویس های آن را مختل کند و باعث ایجاد مشکلات فنی، خرابی و عدم فروش شود و برای متوقف کردن حمله DDoS پول بخواهد.

رقابت در حمله DDoS . در دارک وب، افراد می توانند هکرها را برای حملات DDoS استخدام کنند. برخی افراد هزینه چنین حمله ای را به سمت رقبای خود می پردازند. به ویژه در لحظات فروش مهمی مانند کریسمس، جمعه سیاه، دوشنبه سایبری یا تبلیغات سال نو محبوبیت زیادی دارد. اگر رقیب از کار بیفتد، بازدیدکنندگانی را در سایت خود دریافت نخواهد کرد و آنها به مکان دیگری خواهند رفت. کسی که هزینه این حمله را پرداخت کرده امیدوار است که بخشی از این بازدیدکنندگان به سایت خود هدایت شود.

جنگ سایبری . دولت‌های برخی کشورها از حملات DDoS برای هدف قرار دادن سایت‌های خبری مخالفان، ارتباطات آنها یا سایر سرویس‌های حیاتی استفاده می‌کنند. هدف این است که روایت را کنترل کنند و اجازه ندهند آزادی بیان در کشورشان وجود داشته باشد. این حملات می تواند به ویژه قوی باشد زیرا کشورها پول زیادی برای حمایت از آنها دارند.

درگیری های گیمرها . ممکن است تعجب کنید، اما صنعت بازی در حال حاضر تقریباً به 200 میلیارد دلار درآمد در سال رسیده است، بنابراین ریسک آن بالاست. گیمرهای رقیب از حملات DDoS استفاده می کنند تا رقبای خود را آزار دهند و سعی کنند امتیاز آنها را کاهش دهند. گاهی اوقات، آنها از DDoS برای توقف بازی رقابتی که در حال باخت هستند استفاده می کنند و خواستار مسابقه مجدد می شوند.

هکتیویسم (Hacktivism) . هکرها نیز نظر دارند. آنها ممکن است با دولت، با یک سازمان یا رویداد خاص مشکل داشته باشند. کنشگری مدرن راه های جدیدی برای اعتراض و بیان نکته ای دارد که شامل حملات سایبری نیز می شود.

انواع حملات DDoS

با گذشت زمان، مجرمان سایبری موفق به ایجاد چندین رویکرد فنی برای بیرون بردن قربانیان خود از طریق DDoS شدند. هر یک از تکنیک ها در یکی از سه نوع کلی حملات DDoS قرار می گیرند که به شرح زیر است:

حملات حجمی یا مبتنی بر حجم (Volume-Based or Volumetric Attacks)

اینها کلاسیک ترین نوع حملات DDoS هستند. آنها از روش‌های مختلفی برای ایجاد حجم عظیم ترافیک استفاده می‌کنند تا ظرفیت منابع قربانی را از بین ببرند. در نتیجه سرورها مملو از درخواست‌ها، شبکه‌ها مملو از ترافیک و پایگاه‌های اطلاعاتی مملو از تماس‌ها می‌شوند. علاوه بر این، آنها پهنای باند را اشباع می‌کنند و ترافیک زیادی تولید می‌کنند، که منجر به غیرممکن شدن ورود ترافیک کاربر قانونی به وب‌سایت مورد نظر می‌شود.

حملات پروتکلی (Protocol Attacks)

حملات پروتکل، همچنین به عنوان حملات حالت خستگی شناخته می شود، از پروتکل ها برای غلبه بر یک منبع خاص، معمولاً یک سرور، اما گاهی اوقات فایروال ها یا متعادل کننده های بار (Load Balancer) ، سوء استفاده می کنند. آنها به گونه ای طراحی شده اند که به آنها امکان می دهد ظرفیت پردازش منابع زیرساخت شبکه را مصرف کنند. هدف آنها معمولاً ارتباطات پروتکل لایه 3 و لایه 4 و به طور دقیق تر، نقاط ضعف آنها است. این حملات اغلب بر حسب بسته در ثانیه اندازه گیری می شوند.

حملات لایه های کاربردی (Application-Layer Attacks)

این حملات DDoS نقاط ضعف برنامه ها را هدف قرار می دهند تا خود برنامه را مجبور به شکست کنند. برخلاف سایر حملات که عمدتاً بر ایجاد اختلال در زیرساخت متمرکز می شوند، این حملات با باز کردن اتصالات و شروع فرآیندها و درخواست های تراکنش که منابع محدودی مانند فضای دیسک و حافظه موجود را مصرف می کنند، بر روی لایه 7 (لایه برنامه) آغاز می شوند. با این حال، حتی می تواند منجر به بارگیری بیش از حد CPU یا حافظه خالی شود که روی سرور و سایر برنامه ها تأثیر می گذارد. حملات لایه 7 معروف هستند که جلوگیری از آنها دشوار است زیرا تشخیص ترافیک مخرب از ترافیک معمولی می تواند چالش برانگیز باشد. حملات DDoS برنامه معمولاً بر حسب درخواست در ثانیه اندازه گیری می شوند.

در دنیای واقعی، مجرمان در واقع می توانند از ترکیبی از این نوع DDoS برای افزایش شدت حمله استفاده کنند.

محبوب ترین حملات DDoS که توسط هکرها استفاده می شود

بیایید کمی بیشتر در مورد محبوب ترین انواع حملات DDoS که توسط مجرمان سایبری استفاده میشود صحبت کنیم!

Smurf Attack

حمله اسمورف از طریق ابزار پینگ (ICMP echo request) انجام می شود. ابزار پینگ برای بررسی دسترس پذیری دستگاه های متصل استفاده می شود. هنگامی که درخواست پینگ را به آدرس مقصد ارسال می کنید، باید یک تاییدیه دریافت کنید. در این حمله DDoS، پینگ به یک دستگاه ارسال می‌شود اما از یک IP ماسک‌دار. تایید بازگشت به منبع اصلی نمی رود، اما به سمت هدف حمله هدایت می شود. همه دستگاه های آلوده همین کار را می کنند و ترافیک را برای قربانی ارسال می کنند.

Teardrop Attack

حمله Teardrop یک حمله انکار سرویس (DoS) است که شامل ارسال بسته های تکه تکه شده به یک ماشین مورد نظر است. از آنجایی که دستگاه دریافت کننده چنین بسته هایی نمی تواند آنها را به دلیل وجود اشکال در مونتاژ مجدد قطعه بندی TCP/IP دوباره سرهم کند، بسته ها با یکدیگر همپوشانی دارند و دستگاه شبکه مورد نظر را خراب می کند.

Ping Of Death

Ping Of Death (POD) با استفاده از یک ابزار رایج و معتبر با اهداف مخرب یعنی دستور Ping ، حمله می کند. بسته های داده تغییر یافته یا بزرگتر از طریق دستور ping به هدف ارسال می شوند.
در نظر بگیرید که یک بسته داده IPv4 صحیح  باید ۶۵۵۳۵ بایت باشد. این استانداردی است که توسط پروتکل اینترنت (IP) مجاز است. عاملان آن را نقض می‌کنند و در حالی که سعی می‌کنند بسته‌های تغییریافته را بارها و بارها جمع کنند، هدف را به چالش می‌کشند. منابع هدف مانند حافظه تمام می شود و مشکلات مختلفی را ایجاد می کند که شامل خرابی می شود.
POD محبوب شد زیرا مهاجمان به دانش عمیق در مورد قربانی خود نیاز ندارند، فقط به آدرس IP آن نیاز دارند.

Slowloris

یک حمله بسیار خطرناک یک کامپیوتر منفرد در مقابل یک سرور را اجرا میشود . یک تکنیک پیچیده که بدون ایجاد اختلال در سایر پورت‌ها و سرویس‌های شبکه، سرور را از کار می‌اندازد. Slowloris با ارسال بسیاری از درخواست های جزئی به سرور عمل می کند. به طور مداوم و بدون تکمیل آن درخواست‌ها، هدرهای HTTP بیشتری را ارسال می‌کند. این درخواست‌های جعلی بسیاری از اتصالات را برای مدت طولانی‌تر از حد معمول روی سرور باز نگه می‌دارند تا حداکثر استخر اتصال (connection pool) همزمان را از بین ببرند. در نتیجه، سرعت سیستم کاهش می یابد، اتصالات اضافی از کاربران قانونی رد می شود.

Zero-day DDoS attack

Zero-day که حمله Zero-minute نیز نامیده می شود، حمله ای است که از آسیب پذیری های جدید استفاده می کند. مردم هنوز از آنها آگاه نیستند. معمولاً این آسیب‌پذیری‌ها در به‌روزرسانی‌های جدید ظاهر می‌شوند، اما می‌توانند از زمان راه‌اندازی نرم‌افزار نیز وجود داشته باشند. نام این حمله به این واقعیت اشاره دارد که قبل از اینکه عاملان آسیب پذیری مورد استفاده به طور عمومی شناخته شوند اتفاق می افتد.

این حمله زمانی می تواند هدف مثبتی داشته باشد که شرکت های نرم افزاری در ازای گزارش آسیب پذیری محصولات جدید قبل از انتشار رسمی، به افراد پول می دهند. اما همچنین به این واقعیت اشاره می‌کند که حملات تا ناپدید شدن فاصله زیادی دارند.

آماده سازی یک حمله DDoS

برای راه اندازی یک حمله DDoS، ابتدا هکر ها باید به اندازه کافی دستگاه های متصل را «به خدمت گیرند» که بعداً ترافیک ایجاد کنند. برای انجام این کار، آن‌ها آن ماشین‌ها را با نرم‌افزارهای مخرب مختلف (از ایمیل‌ها، بازدید از سایت‌های محافظت‌نشده و موارد دیگر) آلوده می‌کنند و به اصطلاح بات‌نت‌ها را ایجاد می‌کنند - دستگاه‌های ربوده‌شده آماده برای استفاده در زمان حمله. حتی بازارهایی برای بات‌نت‌ها وجود دارد که می‌توانید در آن‌ها حمله‌ای را به وب‌سایت مورد نظر خود خریداری کنید.

نتیجه 

هرچه شبکه DNS شما گسترده تر باشد، بهتر است. ترافیک عظیم مهاجمان می تواند بین سرورهای شما در مکان های مختلف توزیع شود و بار را کاهش می دهد. فراموش نکنید که حملات DDoS مدرن لایه‌های ارتباطی مختلفی را هدف قرار می‌دهند، بنابراین برای پاسخ‌دهی سریع و دقیق به محافظت هوشمند DDoS نیاز دارید.

کلمات کلیدی

DDoS
حمله ddos
ddos attack
Security
محافظت در برابر DDoS
حمله سایبری

نظرات کاربران

اگر اطلاعات یا دیدگاهی در مورد مطالب این صفحه دارید، لطفا با ما و کاربران دیگر به اشتراک بگذارید.

An unhandled error has occurred. Reload 🗙