حمله DDoS چیست؟

حمله DDoS چیست؟

حمله (distributed denial-of-service (DDoS تلاشی مخرب برای ایجاد اختلال در ترافیک عادی یک سرور، سرویس یا شبکه هدفمند است. این کار با قرار دادن هدف یا زیرساخت‌های اطراف ﺁن با سیل ترافیک اینترنت انجام می‌شود.

حملات DDoS با استفاده از چندین سیستم رایانه‌ای به خطر افتاده به عنوان منابع ترافیک حمله، به اثربخشی می‌رسند. ماشین‌های مورد بهره‌برداری می‌توانند شامل رایانه و سایر منابع شبکه‌ای مانند دستگاه‌های اینترنت اشیا باشند.

از سطح بالا، حمله DDoS مانند یک ترافیک غیر منتظره است که بزرگراه را مسدود کرده و از رسیدن ترافیک منظم به مقصد جلوگیری می‌کند.

حمله DDoS چیست؟

حمله DDoS چگونه کار می‌کند؟

حملات DDoS با شبکه ماشین‌های متصل به اینترنت انجام می‌شود.

این شبکه‌ها از رایانه ها و سایر دستگاه‌ها (مانند دستگاه‌های اینترنت اشیا) که به بدافزار آلوده شده‌اند، امکان کنترل از راه دور توسط یک مهاجم را دارد. از این دستگاه‌های منفرد به عنوان ربات (یا زامبی) یاد می‌شود و به گروهی از ربات‌ها botnet گفته می‌شود.

پس از ایجاد یک بات نت، مهاجم می‌تواند با ارسال دستورالعمل‌های از راه دور به هر ربات، حمله را هدایت کند.

هنگامی که سرور یا شبکه یک قربانی توسط botnet هدف قرار می‌گیرد، هر ربات درخواست‌هایی را به آدرس IP هدف ارسال می‌کند، به طور بالقوه باعث می‌شود سرور یا شبکه بیش از حد تحت فشار قرار بگیرد، و در نتیجه باعث عدم پذیرش سرویس به ترافیک عادی می‌شود.

از آنجا که هر ربات یک دستگاه اینترنتی مجاز است، جدا کردن ترافیک حمله از ترافیک عادی ممکن است دشوار باشد.

بیشتر بخوانید: Nmap برای مبتدیان

نحوه شناسایی حمله DDoS

بارزترین علامت حمله DDoS کند شدن ناگهانی سایت یا سرویس است. اما از آنجا که تعدادی از دلایل – چنین افزایش مشکوک در ترافیک – می‌تواند مسائل عملکردی مشابهی را ایجاد کند، معمولاً بررسی بیشتر لازم است. ابزارهای تجزیه و تحلیل ترافیک می‌توانند به شما کمک کنند برخی از این علائم آشکار یک حمله DDoS را تشخیص دهید:

  • مقدار مشکوکی از ترافیک ناشی از یک آدرس IP یا محدوده IP است.
  • سیل ترافیکی از کاربرانی که یک پروفایل رفتاری مشترک دارند، مانند نوع دستگاه، موقعیت جغرافیایی یا نسخه مرورگر وب
  • افزایش غیر قابل توضیح درخواست‌ها به یک صفحه یا نقطه پایان
  • الگوهای ترافیکی عجیب و غریب مانند افزایش در ساعات فرد روز یا الگوهایی که غیر طبیعی به نظر می‌رسند (به عنوان مثال افزایش در هر ۱۰ دقیقه)

علائم مشخص دیگری از حمله DDoS وجود دارد که بسته به نوع حمله می‌تواند متفاوت باشد.

انواع متداول حملات DDoS کدامند؟

انواع مختلف حملات DDoS اجزای مختلف اتصال شبکه را هدف قرار می‌دهند. برای درک نحوه عملکرد حملات DDoS مختل ، لازم است بدانید که چگونه اتصال شبکه ایجاد می‌شود.

اتصال شبکه در اینترنت از اجزای مختلف یا “لایه” تشکیل شده است. مانند ساختن خانه‌ای از زمین، هر لایه در مدل دارای هدفی متفاوت است.

مدل OSI، که در زیر نشان داده شده است، یک چارچوب مفهومی است که برای توصیف اتصال شبکه در ۷ لایه مجزا استفاده می‌شود.

حمله DDoS چیست؟

در حالی که تقریباً همه حملات DDoS شامل یک دستگاه یا شبکه هدف با ترافیک زیاد است، حملات را می‌توان به سه دسته تقسیم کرد. یک مهاجم ممکن است از یک یا چند جهت حمله مختلف، یا جهت‌های حمله چرخه‌ای در پاسخ به اقدامات مقابله‌ای توسط هدف استفاده کند.

Application layer attacks

هدف حمله:

گاهی اوقات به عنوان یک حمله ۷ لایه DDoS شناخته می‌شود (با اشاره به لایه ۷ مدل OSI)، هدف از این حملات، خاتمه بخشیدن به منابع هدف برای از دسترس خارج شدن سرور است.

این حملات لایه‌ای را هدف قرار می‌دهد که صفحات وب در سرور تولید و در پاسخ به درخواست‌های HTTP تحویل داده می‌شوند. یک درخواست HTTP از نظر محاسباتی از نظر مشتری ارزان است، اما پاسخگویی به آن برای سرور هدف گران است، زیرا سرور برای ایجاد یک صفحه وب اغلب چندین پرونده را بارگیری می‌کند و درخواست‌های پایگاه داده را اجرا می‌کند.

دفاع از حملات لایه ۷ دشوار است، زیرا تفکیک ترافیک مخرب از ترافیک مجاز ممکن است دشوار باشد.

مثال Application layer attacks :

حمله DDoS چیست؟

HTTP flood

این حمله مانند تازه سازی (رفرش کردن) در یک مرورگر وب است که بارها و بارها در رایانه‌های مختلف به یکباره انجام می‌شود – تعداد زیادی از درخواست‌های HTTP سرور را تحت فشار قرار می‌دهد و در نتیجه سرور از دسترس خارج می‌شود.

این نوع حمله به صورت ساده تا پیچیده می‌تواند انجام شود.

پیاده سازی‌های ساده‌ ممکن است به یک URL با دامنه مشابه از آدرس‌های IP حمله کننده، مراجعه کنندگان و نمایندگان کاربر دسترسی داشته باشند. نسخه‌های پیچیده ممکن است از تعداد زیادی آدرس IP حمله کننده استفاده کرده و url های تصادفی را با استفاده از مراجعه کنندگان تصادفی و عوامل کاربر هدف قرار دهند.

بیشتر بخوانید: هرآنچه باید درباره جنگ سایبری بدانید

Protocol attacks

هدف حمله:

Protocol attacks، که به عنوان حملات حالت خستگی نیز شناخته می‌شود، با مصرف بیش از حد منابع سرور و یا منابع تجهیزات شبکه مانند فایروال‌ها ، باعث ایجاد اختلال در سرویس می‌شود.

حملات پروتکل از نقاط ضعف لایه ۳ و لایه ۴ پشته پروتکل استفاده می‌کند تا هدف را غیرقابل دسترس کند.

مثال Protocol attack:

حمله DDoS چیست؟

SYN flood

این حمله دقیقا مانند این است که یک کارگر در انباری، درخواست خود را از قسمت جلوی فروشگاه تحویل بگیرد.

کارگر درخواستی را دریافت می‌کند، می‌رود و بسته را تحویل می‌گیرد و قبل از بیرون آوردن بسته منتظر تأیید است. پس از آن کارگر درخواست‌های بسته بیشتری را بدون تأیید دریافت می‌کند تا زمانی که نتواند بسته‌های بیشتری را حمل کند، دچار مشکل شود و درخواست‌ها بی پاسخ بمانند.

این حمله با ارسال تعداد زیادی بسته از TCP “درخواست اتصال اولیه” ، بسته SYN با آدرس‌های IP جعلی، از دست دادن TCP – توالی ارتباطی که دو کامپیوتر با آن ارتباط شبکه را آغاز می‌کنند – سو استفاده می‌کند.

دستگاه هدف به هر درخواست اتصال پاسخ می‌دهد و سپس منتظر مرحله آخر handshake می‌ماند که هرگز اتفاق نمی‌افتد و منابع هدف را در این روند خسته می‌کند.

Volumetric attacks

هدف حمله:

این دسته از حملات سعی دارند با مصرف تمام پهنای باند موجود بین هدف و اینترنت بزرگتر، ازدحام ایجاد کنند. مقادیر زیادی داده با استفاده از نوعی تقویت یا وسیله دیگری برای ایجاد ترافیک گسترده، مانند درخواست از بات نت، به هدف ارسال می‌شود.

مثال Volumetric attacks

حمله DDoS چیست؟

DNS Amplification

تقویت DNS مانند این است که شخصی به رستوران زنگ بزند و تمامی آیتم های منوی رستوران را سفارش بدهد و سپس بگوید حالا به من تلفن کنید و سفارش من را یک به یک بخوانید. با تلاش بسیار کم، پاسخی طولانی ایجاد می‌شود و برای قربانی ارسال می‌شود.

توسط ایجاد یک درخواست با آدرس آی پی Spoofed (آدرس آی پی حقیقی هدف) و ارسال آن به open DNS server، آدرس آی پی هدف درخواستی از سرور دریافت می‌کند. در این حالت مهاجم درخواست‌ها را به گونه‌ای تنظیم می‌کند که DNS server با مقادیر بسیار زیادی داده به هدف پاسخ دهد. در نتیجه هدف با درخواست‌های فراوان ارسال شده از مهاجم روبرو می‌گردد.

بیشتر بخوانید: هرآنچه باید راجع به بات‌نت‌ها بدانید

روند کاهش حمله DDoS چگونه است؟

نگرانی اصلی در کاهش حمله DDoS تفاوت بین ترافیک حمله و ترافیک عادی است.

به عنوان مثال، اگر یک شرکت دارای وب سایت باشد که مشتاقان زیادی دارد، قطع همه بازدیدها اشتباه است. اگر آن شرکت ناگهان دچار افزایش ترافیک از سوی مهاجمان شناخته شده شود، تلاش برای کاهش حمله احتمالاً لازم است.

مشکل در این است که مشتریان واقعی را باید از ترافیک حمله جدا کنید.

در اینترنت مدرن، ترافیک DDoS به اشکال مختلف وجود دارد. طراحی ترافیک می‌تواند از حملات منحصر به فرد تا حملات چند جهته پیچیده و تطبیقی متفاوت باشد.

یک حمله چند جهته DDoS از مسیرهای مختلف حمله برای غلبه بر هدف به روش‌های مختلف استفاده می‌کند.

حمله ای که همزمان چندین لایه از پشته پروتکل را هدف قرار می‌دهد، مانند تDNS amplification (لایه‌های هدف ۳/۴) همراه با  HTTP flood (لایه هدف  ۷) نمونه‌ای از DDoS چند جهته است. کاهش یک حمله DDoS چند جهته به استراتژی‌های مختلفی نیاز دارد.

به طور کلی، هرچه حمله پیچیده‌تر باشد، احتمال جدا شدن ترافیک حمله از ترافیک نرمال دشوارتر خواهد بود – هدف مهاجم پیچیده تر کردن این فرایند و در نتیجه مسدود کردن روش‌های کاهش حملات می‌باشد. تلاش‌های کاهش حملات که شامل افت و یا محدود کردن بی‌رویه ترافیک است، ممکن است ترافیک خوب را کاهش دهد. به منظور غلبه بر حملات پیچیده، یک راه حل لایه‌ای بیشترین سود را خواهد داشت.

Blackhole routing

یک راه حل که تقریباً برای همه مدیران شبکه در دسترس است، ایجاد یک مسیر سیاهچاله و هدایت ترافیک به آن مسیر است. در ساده‌ترین شکل خود، هنگامی که فیلتر سیاهچاله بدون معیارهای محدودیت خاصی اجرا شود، ترافیک قانونی و مخرب شبکه به یک مسیر سیاهچاله هدایت می‌شود و از شبکه رها می‌شود.

اگر یک دارایی اینترنتی با حمله DDoS روبرو شده باشد، ارائه دهنده خدمات اینترنتی (ISP) ممکن است تمام ترافیک سایت را به عنوان دفاع به یک سیاهچاله ارسال کند. این یک راه حل ایده آل نیست، زیرا به طور موثر هدف مورد نظر خود را به مهاجم می‌دهد: این باعث می‌شود شبکه از دسترس خارج شود.

Rate limiting

محدود کردن تعداد درخواست‌هایی که سرور در یک بازه زمانی خاص می‌پذیرد نیز روشی برای کاهش حملات DDOS است.

در حالی که محدود کردن نرخ در کاهش سرعت اسکریپت‌های وب از سرقت محتوا و کاهش تلاش برای ورود به سیستم، مفید است، اما به تنهایی برای کنترل موثر حمله پیچیده DDoS کافی نیست.

با این وجود، محدود کردن نرخ یک مولفه مفید در یک استراتژی موثر کاهش DDoS است.

Web application firewall

(Firewall Web Application (WAF ابزاری است که می‌تواند در کاهش حمله ۷ لایه‌ای DDoS  کمک کند. با قرار دادن WAF بین اینترنت و سرور مبدا، WAF ممکن است به عنوان یک پروکسی معکوس عمل کند و از سرور هدف گرفته شده در برابر انواع خاصی از ترافیک مخرب محافظت کند.

با فیلتر کردن درخواست‌ها بر اساس یک سری قوانین استفاده شده برای شناسایی ابزارهای DDoS، می‎توان از حملات ۷ لایه‌ای جلوگیری کرد. یکی از ارزش‌های کلیدی WAF موثر، توانایی اجرای سریع قوانین سفارشی در پاسخ به حمله است.

Anycast network diffusion

این روش از شبکه Anycast استفاده می‌کند تا ترافیک ناشی از حمله را در شبکه توزیع شده در سرور کاهش دهد به طوری که ترافیک توسط شبکه جذب می‌گردد. درست مانند روش هدایت یک رودخانه به سمت کانال‌های کوچک و جداگانه. این روش تاثیر ترافیک ناشی از حمله را تا جایی که قابل کنترل باشد، پراکنده می‌کند. در ضمن قابلیت اطمینان این روش بستگی به ابعاد حمله و کارایی شبکه دارد.

منبع: cloudflare

قبلی «
بعدی »

من در رشته مهندسی کامپیوتر تحصیل کردم.

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    مطالب اخیر