آشنایی با حملات DDOS و نحوه جلوگیری از آن

حملات DDoS یا Distributed Denial-Of-Service چیست

حملات DDoS یا Distributed-Denial-of-Service تلاشی است برای ایجاد اختلال در یک سرویس آنلاین با غرق کردن آن در ترافیک تقلبی. هدف از حمله‌ی DDoS مختل کردن توانایی یک سازمان برای خدمت به کاربران خود است. عاملان مخرب برای اهداف زیر از حملات DDoS استفاده می‌کنند:

• خرابکاری برای رقیب
• انتقام عاملان داخلی
• فعالیت‌ها در سطح ملی
• ایجاد آشوب

نحوه‌ی کار حملات DDoS

صحبت کردن در مورد حملات DDoS بدون بحث در مورد بات‌نت دشوار است. Botnet شبکه‌ای از رایانه‌ها است که به بدافزاری آلوده شده‌اند که به عاملان مخرب امکان کنترل رایانه‌ها از راه دور را می‌دهد. این بات‌نت‌ها توزیعی هستند زیرا ممکن است هر جایی قرار داشته باشند و به هر کسی متعلق باشند. صاحبان بی‌گناه رایانه‌های آلوده شاید هرگز متوجه نباشند که سیستم‌هایشان بخشی از یک بات‌نت است.

پس از ساختن یک بات‌نت بزرگ متشکل از میلیون‌ها دستگاه دچار نقض امنیتی، یک مهاجم DDoS از راه دور هر بات را هدایت می‌کند که درخواست‌ها را به آدرس IP هدف بفرستد. هدف این است که ظرفیت منابع وب قربانی افزایش پیدا کند و تعداد زیادی درخواست اتصال یا داده نهایتاً موجب قطعی سرویس شوند.

انواع حملات DDoS

حملات DDoS را می‌توان به شیوه‌های مختلفی دسته‌بندی کرد، اما متداول است که آن‌ها را در سه گروه قرار دهند:

۱. حملات Volumetric

Botnetها مقادیر زیادی از ترافیک تقلبی را به یک منبع ارسال می‌کنند. این نوع حمله ممکن است از Floodهای Ping، Floodهای Spoofed-Packet یا Floodهای UDP استفاده کند. حمله مبتنی بر Volume به‌صورت بیت بر ثانیه (BPS) اندازه‌گیری می‌شود.

۲. حملات لایه شبکه

حملات لایه شبکه تعداد زیادی از Packetها را به یک هدف می‌فرستند. یک حمله‌ی لایه شبکه نیازمند اتصال TCP بازنیست و پورت مشخصی را هدف نمی‌گیرد. حمله لایه شبکه به‌صورت Packet بر ثانیه (PPS) اندازه‌گیری می‌شود.

مثال‌هایی از حمله‌ی لایه شبکه عبارت‌اند از:

• حمله‌ی Smurf
• SYN Flood

۳. حملات لایه برنامه کاربردی

حملات لایه برنامه کاربردی درخواست‌های متداولی مثل HTTP GET و HTTP POST را Exploit می‌کنند. این حملات هم روی منابع سرور و هم شبکه تأثیر می‌گذارند، پس تأثیرات مخرب یکسان و انواع دیگر حملات DDoS را می‌توان با پهنای باند کمتری اجرایی کرد. تمایز بین ترافیک قانونی و مخرب در این لایه دشوار است، زیرا ترافیک Spoof نشده است و ظاهری عادی دارد. یک حمله لایه برنامه به‌صورت درخواست بر ثانیه (RPS) اندازه‌گیری می‌شود.

بااینکه اکثر حملات DDOS مبتنی بر Volume هستند، حملات DDoS اندک و آهسته نیز وجود دارند که با ارسال جریانی از درخواست‌های کوچک و مداوم از شناسایی فرار می‌کنند؛ اگر این جریان‌ها به مدتی طولانی مشاهده نشوند، می‌توانند عملکرد را تنزل بدهند. حملات اندک و آهسته، سرورهای وب مبتنی بر رشته را هدف می‌گیرند و موجب می‌شوند که داده با سرعت بسیار کم به کاربران قانونی منتقل شود، ولی نه آنقدر کُند که موجب خطای Time-Out شود. برخی از ابزارها در حملات اندک و آهسته شامل Slowloris، R.U.D.Y. و Sockstress هستند.

تفاوت بین حمله‌ DOS و DDoS چیست

حملات DDoS از چندین سیستم اجرا می‌شوند، درحالی‌که حمله DOS یا همان Denial-of-Service فقط از یک سیستم اجرا می‌شوند. حملات DDoS سریع‌تر از حملات DoS هستند و مسدود کردن آن‌ها دشوارتر است. مسدود کردن حملات DOS ساده‌تر است، زیرا فقط باید یک دستگاه مهاجم شناسایی شود.

چرا حملات DDoS در حال رشد هستند

تعداد حملات DDoS در حال افزایش شدیدی است. باوجوداینکه FBI در سال۲۰۱۸  بزرگ‌ترین سایت‌های DDoS را در دارک‌وب بست و این حملات کاهش یافت، در نیمه‌ی اول ۲۰۲۰ این حملات ۱۵۱% افزایش پیدا کردند. در برخی از کشورها، حملات DDoS می‌توانند ۲۵% از کل ترافیک اینترنت را در زمان حمله تشکیل دهند.

استفاده از اینترنت اشیا یا IoT نیز به این افزایش کمک کرده است.  اکثر دستگاه‌های IoT دارای کنترل‌های امنیتی یا سفت‌افزار Built-In نیستند. ازآنجایی‌که تعداد دستگاه‌های IoT زیاد است و معمولاً بدون اینکه در معرض تست و کنترل امنیتی قرار بگیرند، پیاده‌سازی می‌شوند، ممکن است در Botnetها مورد استفاده قرار گیرند.

یکی دیگر از نقاط ضعف در حال رشد، APIها یا همان رابط‌های کاربری برنامه‌نویسی برنامه کاربردی هستند. APIها بخش‌های کوچکی از کد هستند که به سیستم‌های مختلف امکان اشتراک داده را می‌دهند. مثلاً یک وب‌سایت مسافرتی با استفاده از APIها برنامه‌های خطوط هوایی را منتشر می‌کند تا داده‌ها را از سایت‌های خطوط هوایی به صفحات وب‌سایت مسافرتی برساند.  APIهای عمومی که برای استفاده‌ی هرکسی قابل‌دسترسی هستند، ممکن است به‌خوبی محافظت نشوند. آسیب‌پذیری‌های متداول شامل بررسی احراز هویت، امنیت Endpoint ناکارآمد، عدم رمزگذاری قوی و منطق کسب‌و‌کار ناقص است.

حملات DDoS چه نشانه‌هایی دارد

قربانیان حملات DDoS معمولاً می‌بینند که شبکه، وب‌سایت یا دستگاه آن‌ها به کُندی کار می‌کند یا سرویس ارائه نمی‌دهد. اما این نشانه‌ها منحصر به حملات DDoS نیستند و ممکن است توسط عوامل مختلفی ایجاد گردند، مثلاً سروری ناکارآمد، افزایش ناگهانی ترافیک قانونی یا حتی یک کابل خراب. به همین دلیل است که نمی‌توان فقط روی مشاهدات فردی حساب کرد و در عوض باید از ابزار تجزیه‌و‌تحلیل ترافیک استفاده کرد تا حملات Distributed Denial-of-Service شناسایی گردند.

چگونگی حفاظت در مقابل DDoS

رفع حملات DDoS و دفاع در مقابل آن نیازمند یک رویکرد چندوجهی است، یک ابزار واحد نمی‌تواند تضمین کند که حفاظت کاملی در مقابل تمام انواع حملات DDoS صورت گیرد. در ادامه چند ابزار برای اضافه کردن به سازمان مطرح می‌شود:

فایروال برنامه کاربردی تحت وب (WAF): یک WAF مثل ایست بازرسی برای برنامه‌های کاربردی وب است، زیرا برای مانیتور کردن درخواست ترافیک HTTP و فیلتر کردن ترافیک مخرب مورد استفاده قرار می‌گیرد. وقتی‌که یک حمله DDoS در لایه برنامه کاربردی شناسایی می‌شود، پالیسی‌های WAF را می‌توان به‌سرعت تغییر داد تا سرعت درخواست‌ها محدودشده و با بروزرسانی فهرست کنترل دسترسی یا ACL، ترافیک مخرب مسدود گردد.

سامانه مدیریت وقایع و امنیت اطلاعات (SIEM): ابزاری است که داده‌ها را از هر گوشه و کنار محیط جمع‌آوری کرده و در یک رابط کاربری متمرکز کنار هم قرار می‌دهد، همچنین قابلیت دید را به فعالیت مخرب فراهم می‌کند که می‌تواند برای مشخص کردن کیفیت هشدارها، ایجاد گزارشات و پشتیبانی از پاسخ به حادثه مورد استفاده قرار بگیرد.

تعدیل‌‌کنندگان بار/CDN: می‌توان با توزیع خودکار افزایش ترافیک روی چندین سرور، شبکه‌های ارائه‌ی محتوا یا همان CDN و تعدیل‌‌کنندگان بار را مورد استفاده قرار داد تا ریسک بار اضافه برای سرور و مشکلات عملکرد و دسترس‌پذیری پس از آن کاهش پیدا کند.