حملات DDoS و ۶ راهکارِ مقابله با آن

آشنایی با حملات DDOS و انواع آن

حمله منع سرویس و یا DDOS تلاش برای از کار اندازی سرویس به وسیله ایجاد ترافیک و درخواست بیش از اندازه است اینکار از طریق درخواست دهنده ها Source های مختلف است. تفاوت حملات DoS و DDoS در تعداد منابع درخواست و یا ایجاد ترافیک است. زمانیکه هکرها با صدها یا حتی هزاران پیام به یک آدرس IP حمله کنند سرویس اجرا شده روی آن آدرس IP از کار می افتد. و کاربران آن سرویس قادر به استفاده از آن خدمات نخواهند بود. این نوع حملات طیف گسترده ای از منابع مهم را از خدمات آنلاین بانک ها گرفته تا وب سایت های خبری را هدف قرار می دهند و یک چالش بزرگ را برای خدمات دهندگان سرویس های آنلاین مطرح میکنند.

بر اساس تحقیق صورت گرفته توسط موسسه Esecure Planet در سال ۲۰۱۹ حملات منع سرویس یکی از تهدیدات مهم دنیای سایبر است که در جنگ های سایبری نیز به کار میرود. به تازگی استفاده از این نوع حملات خرابکارانه در ایران نیز شایع شده است.

تیم پت دافیلی، مدیر عامل ServerSpace، به eSecurance Planet گفت: حملات DDoS با وجود مقرون به صرفه بودن سودآور است و افراد بیشتری را به سمت استفاده از این نوع حمله سوق می دهد. عدم استفاده از حملات DDoS به دلایل مالی و مقرون به صرفه نبودن دیگر وجود ندارد این بدان معناست که هرکسی می تواند حمله کند: مجریان جرایم سازمان یافته، گروهی از باج خواهان یا فقط یک کارمند سابق ناراضی یا یک رقیب. و هر کس می تواند قربانی شود.

در حالی که حملات DDOS نسبت به سایر حملات سایبری پیچیدگی کمتری دارد اما این حملات روز به روز پیچیده تر و قوی تر میشوند.

سه نوع کلی حملات DDOS وجود دارد:

1. حملات مبتنی بر حجم، که از ترافیک زیاد برای خنثی کردن پهنای باند شبکه استفاده می کنند
2. حملات پروتکل، که به سوء استفاده از منابع سرور متمرکز می شوند
3. حملات برنامه ای، که روی برنامه های وب متمرکز شده و پیچیده ترین و جدی ترین نوع حملات محسوب می شوند

انواع مختلفی از حملات بر اساس میزان ترافیک و آسیب پذیری های مورد هدف قرار می گیرند.

حملات متداول DDoS

در اینجا لیستی از محبوب ترین انواع حملات DDoS آورده شده است:

SYN Flood

SYN Flood از نقطه ضعف پروتکل اتصال TCP، معروف به three-way handshake، بهره می برد. سرور میزبان یک پیام هماهنگ (SYN) را برای شروع “handshake” دریافت می کند. سرور با ارسال یک acknowledgement (ACK) به میزبان اولیه، این پیام را تأیید می کند، و سپس اتصال را می بندد. با این وجود در یک Flood SYN ،Spoofed Messages ارسال می شود و اتصال بسته نمی شود، تا زمانیکه سرویس از کار می افتد.

UDP Flood

پروتکل (UDP) یک پروتکل شبکه ای بدون جلسه sessionless است. Flood UDP پورت های تصادفی را روی کامپیوتر یا شبکه هدف با بسته های UDP ارسال میکند. میزبان برنامه را برای گوش دادن به آن درگاه ها بررسی می کند، اما هیچ برنامه ای یافت نمی شود.

HTTP Flood

به نظر می رسد که HTTP Flood درخواست GET یا POST قانونی دارد که توسط یک هکر مورد سوء استفاده قرار می گیرد. از پهنای باند کمتری نسبت به سایر انواع حملات استفاده می کند اما می تواند سرور را مجبور به استفاده از حداکثر منابع کند.

پینگ مرگ Ping of Death (PoD)

Ping of Death با ارسال پینگ های مخرب به یک سیستم، پروتکل های IP را دستکاری می کند. این یک نوع محبوب DDoS از دو دهه قبل بود، اما امروزه کمتر موثر است.

حمله Smurf

Smurf Attack از پروتکل اینترنت (IP) و پروتکل کنترل پیام اینترنت (ICMP) با استفاده از یک برنامه مخرب بنام smurf سوء استفاده می کند. این یک آدرس IP را جعل می کند و با استفاده از ICMP، آدرس های IP را در یک شبکه مشخص پینگ می کند.

Fraggle Attack

یک حمله Fraggle Attack از مقدار زیادی از ترافیک UDP را به شبکه روترها استفاده می کند. این نوع حمله شبیه به یک حمله Smurf است، با استفاده از UDP به جای استفاده از پروتکل ICMP.

Slowloris

Slowloris به هکرها اجازه می دهد از حداقل منابع در هنگام حمله و اهداف روی سرور وب استفاده کنند. Slowloris پس از اتصال با هدف مورد نظر خود، این ارتباط را تا زمانی که ممکن است با سیل HTTP باز نگه دارد. مقابله با  با این نوع حمله بسیار دشوار است.

حملات DDoS در لایه Application

حملات لایه Application Level برنامه از آسیب پذیری ها در برنامه ها سوء استفاده می کند. هدف از این نوع حمله این نیست که کل سرور از کار بیافتد بلکه هدف برنامه هایی با نقاط ضعف شناخته شده است.

NTP Amplification

حملات NTP از سرورهای زمان شبکه (NTP) ، استفاده می کند تا ترافیک UDP را تحت تاثیر قرار دهد. این یک حمله با پاسخ تقویت شده است. در هر حمله با پاسسخ تقویت شده، پاسخی از سرور به یك آدرس IP خرابكار وجود دارد. تقویت شده به این معنی است که پاسخ از سرور متناسب با درخواست اصلی نیست. به دلیل پهنای باند بالا که در هنگام DDoSed مورد استفاده قرار می گیرد، این نوع حمله می تواند ویران کننده و حجم بالایی داشته باشد.

Advanced Persistent DoS ) APDoS)

Advanced Persistent DoS) APDoS) نوعی حمله است که توسط هکرهایی که می خواهند خسارت جدی ایجاد کنند مورد استفاده قرار می گیرد. از انواع سبک های حمله ای که قبلاً ذکر شد استفاده می کند (سیل HTTP، سیل SYN، و غیره) و به طور مرتب نقاط لبه شبکه را هدف قرار می دهد و میلیون ها درخواست در هر ثانیه ارسال می کنند. این نوع حملات به دلیل توانایی تغییر نوع حمله ممکن تا چند هفته نیز طول بکشند .

حملات DDOS با استفاده از آسیب پذیری های Zero-day

حمله روز صفرم DDoS نامی است که به روشهای جدید حمله DDoS داده می شود که از آسیب پذیری هایی که هنوز وصله نشده اند سوءاستفاده می کند.

نحوه متوقف کردن حملات DDoS و همچنین ۶ نکته برای مبارزه با این حملات

دانستن چگونگی متوقف کردن حمله DDoS میتواند سرنوشت ارائه خدمات شما را در محیط آنلاین رقم بزند. با دانستن چگونگی مقبله با این حملات میتوانید به کسب و کار آنلاین خود بپردازید و یا با ندانستن این نکار از صفحات آنلاین به مرور ناپدید شوید. و مشتریان آنلاین خود را ازد دست بدهید.

اگر قربانی حملات DDoS شوید، باید بدونید که شما تنها نیستید. قربانیان برجسته حملات DDoS در سال ۲۰۱۸ شامل سازمان هایی متنوع مانند گوگل، آمازون، پلی استیشن، پینترست و GitHub بودند  که در با دریافت بالاترین میزان شدت حمله DDoS در صدر ایستاده اند . همچنین بسیاری از کسب و کارهای داخلی مانند دیجی کالا، دیوار، اسنپ، بانکها و … مشکل این حملات را تجربه کرده اند.

حملات DDoS شایع تر می شوند

براساس تحقیقات منتشرشده توسط Corero Network Security در پایان سال ۲۰۱۷، حملات DDoS به طور فزاینده ای متداول شده است. گزارش گزارش DDoS Trends and Analysis نشان داد که تعداد حملات بین Q2 2017 و Q3 2017 35 درصد افزایش یافته است.

یکی از دلایل افزایش شیوع آنها، افزایش تعداد دستگاه های ناامن اینترنت اشیاء (IoT) است که در معرض آلوده شدن و جذب آنها به بات نت هایی نظیر Reaper هستند.

حجم داده های ارسال شده در مورد قربانیان حمله DDoS نیز به میزان قابل توجهی افزایش یافته است ، این امر تا حد زیادی به لطف حملات تقویت مانند تکنیک حمله تقویت شده است. در اوایل سال جاری، مجرمان سایبری حدود ۱۵،۰۰۰ حمله مكرر از جمله حمله به GitHub را انجام دادند كه با حداكثر پهنای باند معادل ۱.۳۵ ترابیت در ثانیه رکورد جدید را ایجاد کردند.

جلوگیری از حمله DDoS هنگامی که هکرها می توانند بیش ازیک  Tbps ترافیک را به سمت سرورهای شما بفرستند کنند، تقریباً غیرممکن است، و این بدان معنی است که درک بیشتر از هر زمان دیگری در چگونگی متوقف کردن حمله DDoS بعد از شروع کار بر روی عملیات شما مهم است. در اینجا شش نکته برای متوقف کردن حمله DDoS آورده شده است:

۱. حمله DDoS را هرچه زودتر تشخیص دهید

اگرشما سرورهای اختصاصی خود را دارید ، پس امکان دارد مورد حمله قرار بگیرید. پس اینکه هرچه زودتر متوجه شوید که مشکلات وب سایت شما ناشی از حمله DDoS است ، زودتر می توانید حمله DDoS را متوقف کنید.

۲. پهنای باند بیشتر

به طور کلی منطقی است که پهنای باند بیشتری را در مقایسه با آنچه فکر می کنید به احتمال زیاد به آن نیاز دارید ، در اختیار سرویس های آنلاین خود قرار دهید به این ترتیب ، شما می توانید در مقابل استفاده بیشتر از پهنای باند در زمان آگهای های تبلیغاتی و یا فروشهای ویژه سرویس پایداری داشته باشید. ولی در نظر داشته باشید حتی اگر شما ۱۰۰ درصد پیش بینی کنید – یا ۵۰۰ درصد – احتمالاً نمی تواند جلوی حمله DDoS را بگیرد. اما ممکن است چند دقیقه فرصت به شما بدهد تا قبل از اینکه منابعتان به طور کامل برطرف شود، در جهت حفظ سرویس خود اقدام کنید.

۳. دفاع در محیط شبکه (برای سرورهای اختصاصی خود)

چند روش فنی وجود دارد که می تواند برای کاهش جزئی اثر حمله  بخصوص در دقایق اول انجام شود و برخی از این موارد کاملاً ساده است. به عنوان مثال می توانید:

• Rate Limit را در روتر و یا فایروال لبه شبکه خود محدود کنید تا از Down سرور وب خود جلوگیری کنید
• برای Drop کردن سورس آی پی هایی که بشترین پهنای باند مله را در اختیار دارند پالیسی بنویسید.
• اتصالات نیمه باز half-open connections را پایان دهید.
• بسته های خراب یا نادرست را Drop کنید
• آستانه حجم پکت های SYN ،ICMP و UDP را پایین تر تنظیم کنید

اما حقیقت این است که این مراحل در گذشته مؤثر بوده اند، اکنون حملات DDoS معمولاً پیچیده تر و گسترده ار از آن هستند تا با این اقدامات بتوانند حملات DDoS را به طور کامل متوقف کنند. باز هم، بیشترین چیزی که می توانید به آن امیدوار باشید اینست که با در نهایت حملات DDoS متوقف میشوند. ولی اگر در کمپین تبلیغاتی هستید و برای جمعه سیاه ۲۴ ساعت فروش ویژه گذاشتید قطع شدن حملات پس از پایان جمعه سیاه خیلی براتون مفید و کاربردی نیست .

۴. با ISP یا شرکت زیرساخت تماس بگیرید

مرحله بعدی تماس با ISP و یا شرکت زیرساخت است، به آنها بگویید که مورد حمله قرار گرفته اید و از آنها درخواست کمک می کنید. شماره تماس  را برای ISP یا ارائه دهنده میزبان خود به راحتی در دسترس نگه دارید تا بتوانید این کار را به سرعت انجام دهید. بسته به قدرت حمله، ممکن است ISP یا شرکت زیرساخت آن را قبلاً تشخیص داده باشند – یا ممکن است خودشان آی پی های شما را محدود به ایران کرده باشند زیرا بیشتر حملات DDoS از خارج از ایران اتفاق می افتد.

اگر سرورهای شما در یک مرکز میزبانی واقع شده است به جای اینکه که خودتان آن نگهداری کنید، احتمالا شانس بهتری برای تحمل حمله DDoS دارید. دلیل این امر آنست که مرکز داده های آنها احتمالاً پیوندهای پهنای باند و روترهایی با ظرفیت بالاتر از شرکت شما داشته و احتمالاً کارکنان آن تجربه بیشتری در برخورد با حملات دارند. مزیت داشتن سرور وب شما در یک سرویس دهنده باعث می شود که ترافیک DDoS با هدف سرور آنلاین خود از شبکه LAN شرکت شما خارج شود، بنابراین حداقل آن بخش از مشاغل شما – از جمله ایمیل و احتمالاً خدمات تلفنی IP  باید در طول حمله بطور عادی کار کند.

اگر حمله DDoS به اندازه کافی بزرگ باشد، اولین کاری که شرکت ISP و یا شرکت زیرساخت احتمالاً انجام می دهد، ” Null Route” کردن ترافیک شما است اینکار ترافیک با آی پی مقصد سرور شما را از بین میبرد. البته این کار باعث میشود سرویس شما در خارج از ایران از دسترس خارج شود. شرکت سرویس دهنده ISP ناگزیر است که Route Null را در سرویس دهنده بالادست خود به طور موقت انجام دهد چون در غیر اینصورت سرویس بقیه مشتریان نیز با اختلال مواجه میشود.

تیم پات دافیلیس، مدیر عامل ISP و شرکت میزبان ServerSpace، نیز این موضوع را تایید کرد. او می گوید: “اولین کاری که ما وقتی می بینیم مشتری مورد حمله قرار می گیرد لاگین به روترها و تنظیم آنها برای توقف ترافیک ارسالی به شبکه ما است.” “این کار حدود دو دقیقه طول می کشد تا با استفاده از پروتکل مسیریابی BGP در سطح جهان پخش شود و پس از آن ترافیک قطع شود.”

با انجام اینکار حمله DDOS موفقیت آمیز خواهد بود چون سرویس شما عملا از دسترس خارج شده است. ISP شما ممکن است ترافیک را به سمت شرکتهای جلوگیری از حملات DDoS هدایت کند، جایی که ترافیک مخرب قبل از ارسال به سرور شما حذف شود. این شرکتها با استفاده از ابزارهایی که در اختیار دارند ترافیک مخرب را تشخیص داده و آنرا فیلتر میکنند. شرکتهایی چون Cloudflare و یا در ایران ابر آروان از جمله این شرکتها هستند .

۵. با یک متخصص کاهش DDoS تماس بگیرید

برای حملات بسیار بزرگ، به احتمال زیاد بهترین فرصت برای ارائه خدمات آنلاین استفاده از یک شرکت متخصص DDoS است. این سازمان ها زیرساخت های گسترده ای دارند و از فناوری های متنوعی از جمله شستشوی داده ها برای حفظ آنلاین سرویس های شما استفاده می کنند. ممکن است شما نیاز داشته باشید که مستقیماً با یک شرکت کاهش دهنده DDoS تماس بگیرید، یا شرکت ISP شما با اراده دهنده خدمات کنترل DDoS قرارداد داشته باشد.

یک شرکت خدمات اینترنت در ایران در صورت نیاز مشتری به کاهش DDoS ترافیک آنها را به (شرکت کاهش DDoS) منحرف می کنند. آنها این کار را با استفاده از BGP انجام می دهند، بنابراین فقط چند دقیقه طول می کشد.

این شرکتهای خدمات کنترل DDoS می تواند سطح بسیار بالایی از ترافیک را کنترل کند و ترافیک تمیز شده را به مقصد مورد نظر خود بفرستد. البته اینکار باعث تاخیر بیشتر برای کاربران سرویس می شود، اما بهتر از این است که دسترسی به سرویس نداشته باشند.

خدمات کاهش DDoS رایگان نیست، بنابراین به شما بستگی دارد که آیا می خواهید با هزینه کردن آنلاین بمانید ویا منتظر بمانید که حمله DDoS تمام شود. عضویت در یک سرویس کاهش DDoS به طور مداوم ممکن است مقداری هزینه در ماه داشته باشد.

۶. یک دستورالعمل DDoS تهیه کنید

بهترین راه برای اطمینان از واکنش سریع سازمان شما به منظور جلوگیری از حمله DDoS، ایجاد یک مجموعه دستورالعمل هاست که در هر مرحله یک اقدام از پیش برنامه ریزی شده هنگام شناسایی یک حمله را نشان می دهد.

این موارد باید شامل مواردی باشد که در بالا ذکر شده است، با نام مخاطب و شماره تلفن های کلیه کسانی که ممکن است لازم باشد به عنوان بخشی از برنامه جلوگیری از حمله لازم شوند. شرکت های کاهش دهنده DDoS می توانند با اجرای یک حمله شبیه سازی شده DDoS، به شما کمک کنند، این کار شما را قادر می سازد یک روش سریع را برای واکنش به یک حمله واقعی ایجاد کنید.

بخش مهمی از پاسخ برنامه ریزی شده شما در مورد حمله DDoS که نباید از آن غافل شد، نحوه ارتباط شما با مشتریان خوداست. حملات DDoS می تواند تا ۲۴ ساعت به طول انجامد و ارتباطات خوب می تواند اطمینان حاصل کند که در حالی که تحت حمله قرار می گیرید، ضرر ناشی از حمله به حداقل برسد.

در پایان نظر خودتون رو در مورد حملات DDoS و راهکارهای مقابله با اون برامون بنویسید.