حمله (distributed denial-of-service (DDoS تلاشی مخرب برای ایجاد اختلال در ترافیک عادی یک سرور، سرویس یا شبکه هدفمند است. این کار با قرار دادن هدف یا زیرساختهای اطراف ﺁن با سیل ترافیک اینترنت انجام میشود.
حملات DDoS با استفاده از چندین سیستم رایانهای به خطر افتاده به عنوان منابع ترافیک حمله، به اثربخشی میرسند. ماشینهای مورد بهرهبرداری میتوانند شامل رایانه و سایر منابع شبکهای مانند دستگاههای اینترنت اشیا باشند.
از سطح بالا، حمله DDoS مانند یک ترافیک غیر منتظره است که بزرگراه را مسدود کرده و از رسیدن ترافیک منظم به مقصد جلوگیری میکند.
حملات DDoS با شبکه ماشینهای متصل به اینترنت انجام میشود.
این شبکهها از رایانه ها و سایر دستگاهها (مانند دستگاههای اینترنت اشیا) که به بدافزار آلوده شدهاند، امکان کنترل از راه دور توسط یک مهاجم را دارد. از این دستگاههای منفرد به عنوان ربات (یا زامبی) یاد میشود و به گروهی از رباتها botnet گفته میشود.
پس از ایجاد یک بات نت، مهاجم میتواند با ارسال دستورالعملهای از راه دور به هر ربات، حمله را هدایت کند.
هنگامی که سرور یا شبکه یک قربانی توسط botnet هدف قرار میگیرد، هر ربات درخواستهایی را به آدرس IP هدف ارسال میکند، به طور بالقوه باعث میشود سرور یا شبکه بیش از حد تحت فشار قرار بگیرد، و در نتیجه باعث عدم پذیرش سرویس به ترافیک عادی میشود.
از آنجا که هر ربات یک دستگاه اینترنتی مجاز است، جدا کردن ترافیک حمله از ترافیک عادی ممکن است دشوار باشد.
بیشتر بخوانید: Nmap برای مبتدیان
بارزترین علامت حمله DDoS کند شدن ناگهانی سایت یا سرویس است. اما از آنجا که تعدادی از دلایل – چنین افزایش مشکوک در ترافیک – میتواند مسائل عملکردی مشابهی را ایجاد کند، معمولاً بررسی بیشتر لازم است. ابزارهای تجزیه و تحلیل ترافیک میتوانند به شما کمک کنند برخی از این علائم آشکار یک حمله DDoS را تشخیص دهید:
علائم مشخص دیگری از حمله DDoS وجود دارد که بسته به نوع حمله میتواند متفاوت باشد.
انواع مختلف حملات DDoS اجزای مختلف اتصال شبکه را هدف قرار میدهند. برای درک نحوه عملکرد حملات DDoS مختل ، لازم است بدانید که چگونه اتصال شبکه ایجاد میشود.
اتصال شبکه در اینترنت از اجزای مختلف یا “لایه” تشکیل شده است. مانند ساختن خانهای از زمین، هر لایه در مدل دارای هدفی متفاوت است.
مدل OSI، که در زیر نشان داده شده است، یک چارچوب مفهومی است که برای توصیف اتصال شبکه در ۷ لایه مجزا استفاده میشود.
در حالی که تقریباً همه حملات DDoS شامل یک دستگاه یا شبکه هدف با ترافیک زیاد است، حملات را میتوان به سه دسته تقسیم کرد. یک مهاجم ممکن است از یک یا چند جهت حمله مختلف، یا جهتهای حمله چرخهای در پاسخ به اقدامات مقابلهای توسط هدف استفاده کند.
گاهی اوقات به عنوان یک حمله ۷ لایه DDoS شناخته میشود (با اشاره به لایه ۷ مدل OSI)، هدف از این حملات، خاتمه بخشیدن به منابع هدف برای از دسترس خارج شدن سرور است.
این حملات لایهای را هدف قرار میدهد که صفحات وب در سرور تولید و در پاسخ به درخواستهای HTTP تحویل داده میشوند. یک درخواست HTTP از نظر محاسباتی از نظر مشتری ارزان است، اما پاسخگویی به آن برای سرور هدف گران است، زیرا سرور برای ایجاد یک صفحه وب اغلب چندین پرونده را بارگیری میکند و درخواستهای پایگاه داده را اجرا میکند.
دفاع از حملات لایه ۷ دشوار است، زیرا تفکیک ترافیک مخرب از ترافیک مجاز ممکن است دشوار باشد.
این حمله مانند تازه سازی (رفرش کردن) در یک مرورگر وب است که بارها و بارها در رایانههای مختلف به یکباره انجام میشود – تعداد زیادی از درخواستهای HTTP سرور را تحت فشار قرار میدهد و در نتیجه سرور از دسترس خارج میشود.
این نوع حمله به صورت ساده تا پیچیده میتواند انجام شود.
پیاده سازیهای ساده ممکن است به یک URL با دامنه مشابه از آدرسهای IP حمله کننده، مراجعه کنندگان و نمایندگان کاربر دسترسی داشته باشند. نسخههای پیچیده ممکن است از تعداد زیادی آدرس IP حمله کننده استفاده کرده و url های تصادفی را با استفاده از مراجعه کنندگان تصادفی و عوامل کاربر هدف قرار دهند.
بیشتر بخوانید: هرآنچه باید درباره جنگ سایبری بدانید
Protocol attacks، که به عنوان حملات حالت خستگی نیز شناخته میشود، با مصرف بیش از حد منابع سرور و یا منابع تجهیزات شبکه مانند فایروالها ، باعث ایجاد اختلال در سرویس میشود.
حملات پروتکل از نقاط ضعف لایه ۳ و لایه ۴ پشته پروتکل استفاده میکند تا هدف را غیرقابل دسترس کند.
این حمله دقیقا مانند این است که یک کارگر در انباری، درخواست خود را از قسمت جلوی فروشگاه تحویل بگیرد.
کارگر درخواستی را دریافت میکند، میرود و بسته را تحویل میگیرد و قبل از بیرون آوردن بسته منتظر تأیید است. پس از آن کارگر درخواستهای بسته بیشتری را بدون تأیید دریافت میکند تا زمانی که نتواند بستههای بیشتری را حمل کند، دچار مشکل شود و درخواستها بی پاسخ بمانند.
این حمله با ارسال تعداد زیادی بسته از TCP “درخواست اتصال اولیه” ، بسته SYN با آدرسهای IP جعلی، از دست دادن TCP – توالی ارتباطی که دو کامپیوتر با آن ارتباط شبکه را آغاز میکنند – سو استفاده میکند.
دستگاه هدف به هر درخواست اتصال پاسخ میدهد و سپس منتظر مرحله آخر handshake میماند که هرگز اتفاق نمیافتد و منابع هدف را در این روند خسته میکند.
این دسته از حملات سعی دارند با مصرف تمام پهنای باند موجود بین هدف و اینترنت بزرگتر، ازدحام ایجاد کنند. مقادیر زیادی داده با استفاده از نوعی تقویت یا وسیله دیگری برای ایجاد ترافیک گسترده، مانند درخواست از بات نت، به هدف ارسال میشود.
تقویت DNS مانند این است که شخصی به رستوران زنگ بزند و تمامی آیتم های منوی رستوران را سفارش بدهد و سپس بگوید حالا به من تلفن کنید و سفارش من را یک به یک بخوانید. با تلاش بسیار کم، پاسخی طولانی ایجاد میشود و برای قربانی ارسال میشود.
توسط ایجاد یک درخواست با آدرس آی پی Spoofed (آدرس آی پی حقیقی هدف) و ارسال آن به open DNS server، آدرس آی پی هدف درخواستی از سرور دریافت میکند. در این حالت مهاجم درخواستها را به گونهای تنظیم میکند که DNS server با مقادیر بسیار زیادی داده به هدف پاسخ دهد. در نتیجه هدف با درخواستهای فراوان ارسال شده از مهاجم روبرو میگردد.
بیشتر بخوانید: هرآنچه باید راجع به باتنتها بدانید
نگرانی اصلی در کاهش حمله DDoS تفاوت بین ترافیک حمله و ترافیک عادی است.
به عنوان مثال، اگر یک شرکت دارای وب سایت باشد که مشتاقان زیادی دارد، قطع همه بازدیدها اشتباه است. اگر آن شرکت ناگهان دچار افزایش ترافیک از سوی مهاجمان شناخته شده شود، تلاش برای کاهش حمله احتمالاً لازم است.
مشکل در این است که مشتریان واقعی را باید از ترافیک حمله جدا کنید.
در اینترنت مدرن، ترافیک DDoS به اشکال مختلف وجود دارد. طراحی ترافیک میتواند از حملات منحصر به فرد تا حملات چند جهته پیچیده و تطبیقی متفاوت باشد.
یک حمله چند جهته DDoS از مسیرهای مختلف حمله برای غلبه بر هدف به روشهای مختلف استفاده میکند.
حمله ای که همزمان چندین لایه از پشته پروتکل را هدف قرار میدهد، مانند تDNS amplification (لایههای هدف ۳/۴) همراه با HTTP flood (لایه هدف ۷) نمونهای از DDoS چند جهته است. کاهش یک حمله DDoS چند جهته به استراتژیهای مختلفی نیاز دارد.
به طور کلی، هرچه حمله پیچیدهتر باشد، احتمال جدا شدن ترافیک حمله از ترافیک نرمال دشوارتر خواهد بود – هدف مهاجم پیچیده تر کردن این فرایند و در نتیجه مسدود کردن روشهای کاهش حملات میباشد. تلاشهای کاهش حملات که شامل افت و یا محدود کردن بیرویه ترافیک است، ممکن است ترافیک خوب را کاهش دهد. به منظور غلبه بر حملات پیچیده، یک راه حل لایهای بیشترین سود را خواهد داشت.
یک راه حل که تقریباً برای همه مدیران شبکه در دسترس است، ایجاد یک مسیر سیاهچاله و هدایت ترافیک به آن مسیر است. در سادهترین شکل خود، هنگامی که فیلتر سیاهچاله بدون معیارهای محدودیت خاصی اجرا شود، ترافیک قانونی و مخرب شبکه به یک مسیر سیاهچاله هدایت میشود و از شبکه رها میشود.
اگر یک دارایی اینترنتی با حمله DDoS روبرو شده باشد، ارائه دهنده خدمات اینترنتی (ISP) ممکن است تمام ترافیک سایت را به عنوان دفاع به یک سیاهچاله ارسال کند. این یک راه حل ایده آل نیست، زیرا به طور موثر هدف مورد نظر خود را به مهاجم میدهد: این باعث میشود شبکه از دسترس خارج شود.
محدود کردن تعداد درخواستهایی که سرور در یک بازه زمانی خاص میپذیرد نیز روشی برای کاهش حملات DDOS است.
در حالی که محدود کردن نرخ در کاهش سرعت اسکریپتهای وب از سرقت محتوا و کاهش تلاش برای ورود به سیستم، مفید است، اما به تنهایی برای کنترل موثر حمله پیچیده DDoS کافی نیست.
با این وجود، محدود کردن نرخ یک مولفه مفید در یک استراتژی موثر کاهش DDoS است.
(Firewall Web Application (WAF ابزاری است که میتواند در کاهش حمله ۷ لایهای DDoS کمک کند. با قرار دادن WAF بین اینترنت و سرور مبدا، WAF ممکن است به عنوان یک پروکسی معکوس عمل کند و از سرور هدف گرفته شده در برابر انواع خاصی از ترافیک مخرب محافظت کند.
با فیلتر کردن درخواستها بر اساس یک سری قوانین استفاده شده برای شناسایی ابزارهای DDoS، میتوان از حملات ۷ لایهای جلوگیری کرد. یکی از ارزشهای کلیدی WAF موثر، توانایی اجرای سریع قوانین سفارشی در پاسخ به حمله است.
این روش از شبکه Anycast استفاده میکند تا ترافیک ناشی از حمله را در شبکه توزیع شده در سرور کاهش دهد به طوری که ترافیک توسط شبکه جذب میگردد. درست مانند روش هدایت یک رودخانه به سمت کانالهای کوچک و جداگانه. این روش تاثیر ترافیک ناشی از حمله را تا جایی که قابل کنترل باشد، پراکنده میکند. در ضمن قابلیت اطمینان این روش بستگی به ابعاد حمله و کارایی شبکه دارد.
منبع: cloudflare