حمله DDos چیه و چطور باید جلوی حمله محروم سازی از سرویس توزیع شده رو گرفت؟

حمله DDos یا حمله محروم سازی از سرویس توزیع شده Distributed Denial of Service ، تلاشی برای خراب کردن سرور وب یا سیستم آنلاین از طریق فشار آوردن به اون‌ها از طریق «داده» است. حمله DDos میتونه یه سو رفتار ساده، حرکت انتقام جویانه یا اقدامی مربوط به هک کردن باشه و تاثیرش از یه دلخوری جزئی تا یه خرابی خیلی عظیمی که منجر به از دست رفتن یه کسب کار میشه، باشه.

برخلاف باج افزارها Ransomware یا گروه‌های حمله APT که انگیزه‌های مالی دارن، حملات محروم سازی از سرویس توزیع شده به مراتب مخرب‌تر و آزاردهنده‌تر هستند! مثلاً یه نمونه بارزش Classic WoW بود که بخاطر یه حمله DDos هزاران گیمر نتونستن وارد سیستم بشن، پس ببینین دلیل اون‌ها پول نیست، بلکه میخوان یه درد و آزاری برای بقیه به وجود بیارن.

خب حالا بریم سراغ این که این حملات چطوری کار میکنن و چه خرابی‌هایی می‌تونن به بار بیارن! به نظرتون راه فراری از دست این حملات مخرب داریم یا نه!!؟ بریم که ببینیم:

نحوه عملکرد حمله DDoS چطوریه؟

حملات DDoS اغلب توسط botnet (گروه بزرگی از رایانه‌های توزیع شده که با یکدیگر به صورت هماهنگ کار میکنن) انجام میشه و به طور همزمان وبسایت یا ارائه دهنده خدمات رو به وسیله درخواست‌های داده، اسپم میکنن!

مهاجمان برای ایجاد بات نت از نرم افزارهای مخرب یا آسیب پذیری‌های غیر طبیعی برای نصب نرم افزار Command and Control یا C2 روی سیستم کاربر استفاده میکنن. این حمله برای این که به نتایج مطلوبی منجر بشه به تعداد زیادی از کامپیوترهای موجود در بات نت متکی هست. راحت‌ترین و آسان‌ترین راه برای کنترل کردن اون همه ماشین یه حمله نفوذی است.

حمله DYNDNS

حمله DYNDNS از دوربین‌های WIFI با رمزهای پیش فرض برای ایجاد یه بات نت بزرگ سواستفاده کرد و بعد از آماده شدن بات نت مهاجمین دستور شروع رو به همه گروه‌های بات نت خودشون ارسال میکنن و سپس اون‌ها درخواست‌های برنامه ریزی شده رو به سرور هدف ارسال میکنن. اگه این حمله باعث بشه که سیستم هدف از خط دفاعی خارج بشه، به سرعت بر بیشتر سیستم‌ها غلبه میکنه و باعث قطع شدن سرویس و یا حتی در برخی موارد باعث قطع شدن سرور میشه.

در حالی که ممکنه این حمله بی‌خطر به نظر برسه باید بهتون بگم تو سال 2017 میانگین یه همچین حمله ای 2.5 میلیون دلار تخمین زده شده! Kaspresky گزارش داده که حمله محروم سازی از سرویس توزیع شده برای بیزنس‌های کوچیک حدود 120,000 دلار و شرکت های بزرگ حدود 2,000,000 دلار خرج بر میداره!

طبق قانون کلاهبرداری و سوء استفاده، حمله دیداس غیرقانونی و انجام اون برای یه شبکه از ده سال زندانی تا 500,000 دلار جریمه داره!

چه تفاوتی بین حمله DDoS و DOS وجود داره؟

حمله DOS یا حمله محروم سازی از سرویس ، شامل انواع بسیار زیادی از حملات است که همه برای مختل کردن خدمات طراحی شده‌اند. علاوه بر DDoS می‌تونین برنامه لایه DOS، DOS پیشرفته و DOS به عنوان سرویس رو داشته باشین! شرکت‌ها از DOS به عنوان یه سرویس برای تست استرس شبکه های خودشون استفاده میکنن!

به طور خلاصه DDoS یه نوع حمله DOS به حساب میاد ولی با این حال DOS هنوز هم می‌تونه به این معنی باشه که مهاجم به جای استفاده از بات نت از یه node تکی برای شروع حمله استفاده کرده.

حمله دیداس چه خطری برای امنیت داره؟

شما باید برای مدیریت حمله DDoS علیه سیستم‌های خودتون آماده باشین و برنامه ریزی های لازم رو انجام بدین. شما نیاز به نظارت، ایجاد هشدارها و تشخیص سریع حمله دیداس رو دارین، بعد از اون وظیفه متوقف کردن سریع حمله بدون این که کاربران شما متوجه شوند رو دارین.

می‌تونین آدرس های IP رو با استفاده از فایروال Next-Gen خود مسدود کنین، یا ترافیک ورودی به سیستم هدف رو ببندین. در کل برنامه‌های زیادی وجود داره که می‌تونین در شرایط بحرانی این چنینی ازشون استفاده کنین پس بهتره حتماً برین سراغشون!

انواع حمله DDoS

برای انجام حملات DDoS چندتا روش مختلف وجود داره که مهاجمان ممکنه یکی از اون‌ها رو انتخاب کنن، من برای شما چند مدل از این حملات رو در پایین لیست کردم:

حملات لایه نرم افزار

این مدل حملات برای از بین بردن منابع مورد نظر و مختل کردن دسترسی به وبسایت یا سرویس مورد است. مهاجمان ربات‌هایی رو با درخواست‌های پیچیده بارگذاری میکنند که سرور هدف رو در حالت تلاش برای پاسخگویی قرار میدن. این درخواست ممکنه به دسترسی به پایگاه داده یا بارگیری ‌های بزرگی نیاز داشته باشه، اگه اون سرویس هدف تو چند ثانیه با چندمیلیون درخواست روبرو بشه، ممکنه خیلی سریع تحت فشار قرار بگیره، به کندی خزیده بشه و یا کاملاً قفل بشه.

به عنوان مثال، حمله HTTP Flood یک حمله لایه نرم افزار است که یه سرور وب رو مورد هدف قرار میده و از بسیاری از درخواست‌های HTTP سریع برای داون کردن سرور استفاده میکنه.

حملات پروتکل

حملات پروتکل DDoS لایه شبکه سیستم های هدف رو مورد هدف قرار میده و می‌خواد که روی قسمت‌های خدمات اصلی شبکه، فایروال یا تعادل بار فشار وارد کنه و درخواست رو به هدف منتقل کنه.

به طور کلی سرویس های شبکه به عنوان FIFO یا First-in , First-out کار میکنن یعنی اولین درخواست رو وارد میکنن سپس اون رو پردازش میکنن و بعد نوبت درخواست بعدی میشه و همین ترتیب ادامه داره. حالا تو این ترتیب یه تعداد محدودی از نود وجود داره و تو حمله DDoS این ترتیب تبدیل به یه صف بسیار عظیم میشه که هیچ منابع کامپیوتری برای پرداختن به این درخواست‌ها وجود نداره.

حملات حجمی

هدف از یه حمله حجمی استفاده از بات نت برای ایجاد مقدار زیادی از ترافیک و مسدود کردن کارهای موجود در سیستم هدف است دقیقاً مثل یه حمله HTTP Flood منتها یه مولفه “پاسخ تشریحی” به حمله اضافه شده؛ یعنی چی؟

اصل حملات حجمی هم همچین چیزیه، اون‌ها چیزی رو درخواست میکنن که باعث افزایش اندازه پاسخ میشه و میزان ترافیک خیلی خیلی زیاد میشه و سرور مسدود میشه! تقویت DNS یه نوع حمله حجمی به حساب میاد، تو این حالت اون‌ها به طور مستقیم به سرور DNS حمله میکنن و مقدار زیادی از داده‌ها رو از سرور DNS پس میگیرن و همین کار باعث میشه سرور DNS برای هر کسی که در حال استفاده از اون سروره داون بشه.

معروف‌ترین حملات DDoS دنیا

• بزرگترین حمله DDoS در تاریخ مربوط به سایت GitHub در سال 2018 است در این حمله تعداد 126 میلیون پکت در ثانیه به سمت این وبسایت ارسال میشد که البته خوشبختانه به دلیل این که این وبسایت از نرم افزارهای آنتی دیداس استفاده میکرد بعد از گذشت 20 دقیقه این حمله متوقف شد و با شکست مواجه شد.
• این وبسایت تو سال 2015 هم از سمت کشور چین مورد حمله قرار گرفت و باز هم یکی از حملات سایبری بزرگ دنیا به حساب میاد که با تزریق کدهای مخرب جاوا اسکریپت به مرورگر کاربرانی که از Biadu Analytics (موتور جستجوگر چینی) استفاده می‌کردن، صورت گرفت، این کدهای مخرب درخواست‌های http به وبسایت گیت هاب میفرستادن.
• و یکی دیگه از معروف‌ترین حملات دیداس حمله Cloudflare در سال 2014 است که طی این حمله 400 گیگ داده در هر ثانیه به این سرور ارسال میشد. این حمله هم سرورهای مشخصی رو در اروپا مد نظر داشت و از طریق آسیب پذیری‌های پروتکل شبکه ایجاد شده بود.

چگونه می‌توان از حملات DDoS جلوگیری کرد؟

به نظرتون GitHub چطوری از اون حمله گسترده جون سالم به در برد؟ البته که برای همچین روزی برنامه ریزی و امکانات لازم رو تهیه کرده بود. بعد از گذشت 10 دقیقه قطعی، سرورهای GitHub ، سرویس کاهش DDoS رو فعال کرد. سرویس کاهش میزان ترافیک ورودی مجدداً ترافیک ورودی رو مسیردهی کردن و بسته‌های مخرب رو از بین بردن و بعذ از گذشت حدوداً 10 دقیقه مهاجمین تسلیم شدن.

علاوه بر پرداختن هزینه‌های کاهش خدمات DDoS از شرکت‌هایی مانند Clouddlare و Akamai می‌تونین از اقدامات امنیتی خودتون رو هم استفاده کنین. سروها رو تعمیر کنین، سرورهای Memcached خودتون رو از اینترنت باز خارج کنین و به کاربران آموزش بدین تا حملات فیشینگ Phishing رو شناسایی کنن.

شما می‌تونین تعداد محدودی درخواست رو تعیین کنین تا تعداد درخواست‌هایی که سرور تحویل میگیره تنظیم بشه،. یه فایروالی که به درستی پیکربندی شده باشه هم می‌تونه از سرورهای شما محافظت کنه.

Varonis می‌تونه با نظارت روی DNS شما، VPN، پروکسی و داده برای کمک به شناسایی علائم یه حمله DDoS قریب الوقوع! (احتمالی) علیه شبکه شما مورد استفاده قرار بگیره. Varonis الگوهای رفتاری رو دنبال میکنه و وقتی رفتار فعلی با یه مدل تهدید تطبیق میکنه یا یه انحرافی تو رفتار استاندارد دیده میشه، هشدارهایی رو به وجود میاره.

محافظت از خود با استفاده از نرم افزارهای مفید

استفاده از سرویس Virtual Private Network یه روش مناسب برای کاربران و صاحبان وبسایت جهت جلوگیری از ورود به بات نت است. این سرویس با نصب یه نرم افزار روی سیستم، تمام داده های دستگاه رو رمزگذاری میکنه و سپس این داده‌ها رو از طریق سرور خودش تو اینترنت مسیریابی میکنه. طی این فرآیند آدرس IP شما مخفی میشه و بنابراین کسی نمی‌تونه اون رو کشف کنه. بدون IP امکان طرح ریزی حمله DDoS ممکن نیست. علاوه بر این استفاده از Virtual Private Network امنیت دستگاه رو بالا میبره و دسترسی رو برای هکرها سخت‌تر میکنه. همونطور که امکان هک شدن دستگاه از بین میره، پس امکان قرار گرفتن به عنوان بخشی از سیستم‌های بات نت هم از بین میره.

Virtual Private Network

برای این که از محافظت IP تون در برابر حمله منع سرویس توزیع شده یا حمله DDoS مطمئن بشین، باید بگم که بعضی از سرویس دهندگان Virtual Private Network دارای یه سری سرورهای مخصوص ضد حمله DDoS هستند. تکنیک‌های کاهش حملات DDoS بر اساس فیلتر کردن ترافیکی که به سمت آی پی سیستم میاد کار می‌کنن، اول از همه مثل همه سرویس‌ها IP رو مخفی نگه میدارن و بعد همه ترافیک ورودی از مسیر فیلترینگ نرم افزار عبور میکنه!

نرم افزار فیلترینگ برای این که از درستی داده های ورودی و منشاء اون‌ها مطمئن بشه، اون‌ها رو بررسی میکنه و بعد نرم افزار فیلترینگ بهشون اجازه عبور میده. اگه یه موقع ترافیک ورودی مشکوک به نظر برسه (یعنی یه حجم نسبتاً زیادی از ترافیک تو یه زمان مشخص از سراسر دنیا) این داده ها به عنوان یه حمله احتمالی DDoS تشخیص داده میشن پس از عبور ‌اون‌ها جلوگیری میشه.

حملات دیداس در دنیای امروز

درست مثل هرچیز دیگه‌ای این نوع حملات هم درحال پیشرفته‌تر شدن و تکامل هستند و می‌تونن بیشتر باعث تخریب یه کسب و کار بشن. مثلاً از 150 درخواست در هر ثانیه تو سال 1990 که باعث شد یه سرور داون بشه، به 1.2 ترابایت و 1.35 ترابایت درخواست تو هر ثانیه در سال‌های اخیر رسیدن! هدف تو هر دوتای این حملات تخریب یه منبع بهره وری در جهان بوده.

این نوع حملات از تکنیک های جدیدی برای دستیابی به یه پهنای باند بزرگ استفاده میکنن. مثلاً حمله DYN با یه سوء استفاده در IoT – Internet of Thing برای ایجاد یه بات نت به نام حمله Mirai Botnet استفاده کرد. Mirai از پورت‌های باز و رمز عبور پیش فرض استفاده میکنه تا دوربین‌های وایفای رو برای اجرای این حمله آماده کنه. درسته که این یه حمله بچگانه بود ولی تاثیر جدی داشت و نشون داد که این حملات می‌تونه با هر به روزرسانی تو نرم افزارها دوباره اتفاق بیفته. پس باید همیشه هوشیار بود.