چگونه از حملات ddos (دیداس) در امان بمانیم؟

مختصر تعریفی از حملات ddos

حمله انکار سرویس توزیع شده یا همان حملات DDoS زمانی اتفاق می‌افتد که یک یا چندین مهاجم با حمله به یک سایت خدماتی، ارائه خدمات آن سایت را مختل کنند و موجب نابودی آن سایت شوند.

مهاجم با خنثی کردن دسترسی افراد به سایت و خاموش کردن سیستم‌های امنیتی سایت می‌تواند به هر چیزی که در سایت است دسترسی پیدا کند مانند: سرورها، دستگاه‌ها، سرویس‌ها، شبکه‌ها، برنامه‌ها و حتی معاملات خاص در داخل برنامه‌ها.در ادامه این مقاله شما را بیشتر با حملات DDoS آشنا می‌کنیم پس همراه ما باشید.

 

آشنایی با حملات DDoS

به طور کلی حملات DDoS زیر شاخه یا زیر کلاس حملات داس (DoS) هستند. حمله DDoS شامل چندین دستگاه آنلاین متصل است که در مجموع با نام botnet شناخته می‌شوند و برای غلبه بر وب سایت مورد نظر با ترافیک جعلی مورد استفاده قرار می‌گیرد.

برخلاف دیگر حملات سایبری، حملات DDoS سعی در نقض محیط امنیتی شما ندارند. در عوض، یک حمله DDoS باعث می‌شود وب سایت و سرورهای شما در دسترس کاربران قانونی نباشد. همچنین می‌توان از DDoS به عنوان صفحه دود (smokescreen) برای سایر فعالیت‌های مخرب و پایین آوردن سطح امنیت با نقض کردن محیط‌های امنیتی، استفاده کرد. 

یک حمله موفقیت‌آمیز انکار سرویس توزیع شده (حملات DDoS) یک رویداد بسیار قابل توجه است که بر کل پایگاه کاربران آنلاین تأثیر می‌گذارد. این امر DDoS را به سلاحی محبوب برای هکتیویست‌ها، خرابکارهای سایبری، زورگیرها و هر کسی که می‌خواهد شخصی یا سطح امنیت سایتی را مورد هدف قرار دهد، تبدیل می‌کند.

حملات DDoS می‌توانند به صورت کوتاه مدت یا به طور مکرر اتفاق بیفتند. اما این حمله ممکن است هفته‌ها، روزها و حتی سال‌ها تاثیر منفی خود را بر هدف مورد نظر بگذارد. حمله DDoS می‌تواند برای هر سازمان آنلاینی بسیار مخرب باشد. از جمله تاثیرات منفی که این حمله می‌تواند داشته باشد از دست رفتن اطلاعات داده وب سایت‌ها و کاهش درآمد توسعه‌دهندگان است.

 

آشنایی با متدهای پرمصرف

در بعضی مواقع به هیچ‌وجه نمی‌توان این حملات را جبران کرد به نوعی می‌توان گفت این حملات خساراتی جبران‌ناپذیر به همراه دارند. دو متدی که بسیار مورد استفاده قرار می‌گیرند را در اینجا ذکر می‌کنیم عبارتند از:

ICMP flood

سیل ICMP منابع مورد نظر را با بسته‌های (ICMP Echo Request (ping غرق می‌کند. ICMP به طور کلی بسته‌ها را در سریعترین زمان ممکن ارسال می‌کند بدون اینکه شما منتظر پاسخی بمانید. این نوع حمله می‌تواند پهنای باند خروجی و ورودی را مصرف کند، زیرا سرورهای قربانی اغلب سعی می‌کنند با بسته‌های ICMP Echo Reply پاسخ دهند در نتیجه یک افت شدید کل سیستم را فرا می‌گیرد.

 

 

SYN flood

حمله SYN DDoS از یک ضعف شناخته شده در توالی اتصال (TCP (three-way handshake آغاز می‌شود تا سایت و نرم افزار را تخریب کند. هکر با استفاده از درخواست SYN برای اینکه به TCP اتصال پیدا کند برای میزبان خود یک بسته با پسوند SYN-ACK می‌فرستد و بعد منتظر پاسخ میزبان می‌ماند. بعد از پاسخ میزبان، فرایند خرابکاری و حمله شروع می‌شود. 

تفاوت داس (DoS) با دیداس (DDoS) چیست

همانطور که پیش تر گفتیم حملات DDoS زیر شاخه‌ای از حملات DoS هستند. تفاوت میان این دو حمله به ماهیت آنان بستگی دارد خب این جمله یعنی چی!؟!

یعنی اینکه در حمله DoS خرابکار یا هکر از یک دستگاه آنلاین استفاده می‌کند تا از وب سایت و نرم افزار قانونی سوءاستفاده کند. از حملات داس (DoS) معمولا به منظور تخلیه‌ی داده و اطلاعات RAM و CPU استفاده می‌کنند. برخلاف حمله داس، در حملات DDoS هکرها از چندین دستگاه آنلاین استفاده می‌کنند.

برخلاف حملات DoS تک منبع، حملات DDoS تمایل دارند زیرساخت‌های شبکه را هدف قرار دهند تا با حجم زیادی از ترافیک اشباع شوند. معمولا انحراف حملات DDoS به علت چند منبعی بودن آن کمی سخت و دشوار است.

به این نکته نیز توجه کنید که نحوه‌ی اجرای حملات داس و دیداس نیز با یکدیگر متفاوت است. برای مثال حمله داس با استفاده از ابزارکی به نام (Low Orbit Ion Canon) آغاز می‌شود در حالی که در حملات دیداس از botnets (بات نت) استفاده می‌شود.

 

انگیزه اصلی حملات DDoS

به طور کلی حملات DDoS به سرعت در حال تبدیل شدن به شایعترین نوع تهدیدات سایبری است. طبق تحقیقات انجام شده مشخص شده که حملات دیداس از سالیان گذشته با پیشرفت و رشد بیشتری روبرو شده است. در این بخش چند نمونه از انگیزه مهاجمانی که دست به همچین حملاتی می‌زنند را ذکر می‌کنیم که شامل:

ایدئولوژی (Ideology)

به اصطلاح هکتیویست‌ها (hacktivists) از حملات DDoS به عنوان وسیله‌ای برای هدف قرار دادن وب سایت‌هایی استفاده می‌کنند که از نظر عقیدتی با آنها مخالف هستند.

 

اختلافات تجاری 

مشاغل می‌توانند از حملات دیداس برای از بین بردن استراتژیک وب سایت‌های رقیب استفاده کنند. به عنوان مثال  آنها می‌توانند با حمله خود شرکت مورد نظر را از یک رویداد تجاری خارج کنند یا اختلالاتی در سرویس آن شرکت ایجاد کنند.

نکته: روش حمله‌ای که رقبای تجاری استفاده می‌شود: DDoS 

Boredom

Vandals سایبری معروف به kiddies-script از اسکریپت‌های پیش‌نویس برای شروع حملات DDoS استفاده می‌کنند. معمولا این حملات از طرف هکرهایی انجام می‌شود که نیاز به آدرنالین زیادی دارند یا حوصلشان سر رفته است. 🙂

اخاذی کردن

مجرمان از حملات DDoS یا تهدید، به عنوان وسیله‌ای برای اخاذی پول استفاده می‌کنند.

جنگ سایبری

حملات مجاز DDoS توسط دولت می‌تواند هم وب سایت‌های مخالف را فلج کند و هم زیرساخت‌های یک کشور را نابود کند.

هکتیویسم (Hacktivism)

هکتیویست‌ها از حملات DoS به عنوان ابزاری برای ابراز انتقاد از همه چیز از دولت‌ها و سیاستمداران و … استفاده می‌کنند. اگر هکتیویستی با شما مخالف باشد سایت شما از بین خواهد برد. از نظر فنی نسبت به انواع دیگر مهاجمان، از هوش فنی بالایی برخوردارند.

انواع حملات DDoS

حملات DoS را می‌توان به دو دسته کلی تقسیم کرد: حملات لایه کاربردی و حملات لایه شبکه. 

هر یک از این نوع حملات DDoS از پارامترها و رفتارهای خاصی در هنگام حمله استفاده می‌کنند و همچنین هدف اصلی حمله را تعریف می‌کنند که در اینجا به بررسی آنان می‌پردازیم:

حملات مبتنی بر حجم (Volume-based)

حملات مبتنی بر حجم، از حجم گسترده‌ای از ترافیک‌های ساختگی برای غلبه بر منبعی مانند وب سایت یا سرور استفاده می‌کنند. آنها شامل حملات ICMP ،UDP و بسته‌های جعلی هستند. اندازه یك حمله مبتنی بر حجم بر حسب بیت در ثانیه اندازه‌گیری می‌شود (bps).

حملات پروتکل یا لایه (DDoS (Protocol or network-layer

حملات پروتکل یا لایه DDoS، تعداد زیادی بسته را به زیرساخت‌های شبکه به صورت هدفمند و ابزارهایی برای مدیریت زیرساخت‌ها می‌فرستد. این حملات پروتکل شامل SYN floods و Smurf DDoS و سایر موارد هستند و اندازه آنها در بسته‌های ثانیه اندازه‌گیری می‌شود (PPS).

 

حملات لایه کاربردی با طغیان برنامه‌ها (Application-layer)

اندازه حملات لایه کاربردی با درخواست در ثانیه، اندازه‌گیری می‌شود (RPS). در این نوع حمله هکر تعداد زیادی منابع از سایت درخواست می‌کند که این درخواست‌‎ها بیش از حد مجاز سرور است به همین خاطر سایت دچار مشکل یا به نوعی فلج می‌شود. به این حملات، حملات سیلاب جستجوگر DNS نیز می‌گویند.

نکته: برای هر نوع حمله، هدف همیشه یکسان است؛ منابع آنلاین را کساد یا کاملاً فلج و بی پاسخ کنید.

حملات DDoS تقریباً همیشه رویدادهای پر ترافیکی هستند که معمولاً در گیگابیت بر ثانیه (Gbps) یا بسته‌های ثانیه (PPS) اندازه‌گیری می‌شوند. بزرگترین حملات لایه شبکه می‌تواند از صدها گیگابیت بر ثانیه فراتر رود. با این وجود ۲۰ تا ۴۰ گیگابیت بر ثانیه برای خاموش شدن کامل بیشتر زیرساخت‌های شبکه کافی است.

چگونه حملات دیداس تکامل می‌یابند؟

همانطور که در مطالب بالا ذکر کردیم، انجام حملات دیداس با استفاده از بات نت‌های اجاره‌ای (rented botnets) صورت می‌گیرد. روند دیگری که دیداس برای حمله استفاده می‌کند، Advanced Persistent Denial-of-Service APDoS است. 

به عنوان مثال یک حمله APDoS ممکن است شامل چند لایه برنامه مانند حملات علیه پایگاه داده‌ها، برنامه‌ها و همچنین حمله‌ی مستقیم به سرور باشد. همانطور که چاک مکی (Chuck Mackey) مدیر عامل شرکت Binary Defense می‌گوید: حملات DDoS فراتر از طغیان کردن یک رودخانه است.

مطمئناً همانطور که جنایتکاران در حال تکمیل حملات DDoS خود هستند، فناوری و تاکتیک‌ها ساکت نخواهند ماند. مدیر تحقیقات امنیتی در JASK توضیح می‌دهدکه افزودن دستگاه‌های جدید اینترنت، افزایش یادگیری ماشین و هوش مصنوعی همگی در تغییر این حملات نقش دارند.

چگونه از حملات دیداس (DDoS) جلوگیری کنیم؟

بگذارید کاملا این موضوع را با شما روشن کنیم که به هیچ‌وجه کسی یا کسانی نمی‌توانند جلوی حملات دیداس را بگیرند زیرا این حملات با هدف مشخص و با قدرت حمله می‌کنند و موجب اختلال در سایت یا برنامه‌های مختلف می‌شوند. تنها کاری که می‌توانیم بکنیم این است که با انجام کارهایی از این حملات پیشگیری کنیم. 

اگر موافق باشید به سراغ چند مورد از این پیشگیری‌ها برویم:

• نظارت کردن بر روی جستجوی سایت‌های ناشناس.
• جلوگیری از مکالمات و تهدیدهایی که خبر از حمله می‌دهند.
• استفاده از برنامه‌هایی که DDoS را تست می‌کنند.
• تیمی برای پشتیبانی از نرم افزار و سایت خود آماده کنید.
• ار راه‌حل‌هایی استفاده کنید که شما را از حملات دیداس حفظ می‌کنند.
• مراقب مکالمات و رفتارهای خود در شبکه‌های اجتماعی باشید.

 

 

بهترین راه‌حلی که تا حدودی می‌تواند آسیب‌های DDoS را کاهش دهد، راه‌حل Imperva است. Imperva می‌تواند به صورت یکپارچه و جامع از وب سایت‌ها در برابر هر سه نوع حمله DDoS محافظت کند. 

نکته: Imperva از وب سایت‌ها و برنامه‌های وب، شبکه‌ها و زیر شبکه‌ها، سرورهای دامنه (DNS) و آدرس‌های IP جداگانه و … محافظت می‌کند.

محافظت Imperva DDoS

پشتیبانی از Anycast و Unicast

به شما امکان می‌دهد حملات و آسیب پذیری‌ها را به طور خودکار شناسایی کرده و به آنها پاسخ دهید.

ضمانت SLA 

حملات را در سه ثانیه یا کمتر شناسایی می‌کند و از قطع شدن کامل برنامه یا وب سایت جلوگیری می‌کند.

شبکه‌ای با ظرفیت بالا

که قادر به تجزیه و تحلیل بیش از ۶۵ میلیارد بسته در ثانیه است.

داشبورد زنده 

به شما امکان می‌دهد وضعیت فعلی را ببینید، حملات DDoS را شناسایی کنید و پارامترهای حمله را درک کنید.

جمع بندی

در آخر امیدواریم توانسته باشیم با این مقاله کمکی به شما در رابطه با فهم بهتر حملات DDoS کرده باشیم. امید است این مطالب برایتان مفید بوده باشد.