حملات DDoS یا Distributed Denial-Of-Service چیست
حملات DDoS یا Distributed-Denial-of-Service تلاشی است برای ایجاد اختلال در یک سرویس آنلاین با غرق کردن آن در ترافیک تقلبی. هدف از حملهی DDoS مختل کردن توانایی یک سازمان برای خدمت به کاربران خود است. عاملان مخرب برای اهداف زیر از حملات DDoS استفاده میکنند:
- خرابکاری برای رقیب
- انتقام عاملان داخلی
- فعالیتها در سطح ملی
- ایجاد آشوب
نحوهی کار حملات DDoS
صحبت کردن در مورد حملات DDoS بدون بحث در مورد باتنت دشوار است. Botnet شبکهای از رایانهها است که به بدافزاری آلوده شدهاند که به عاملان مخرب امکان کنترل رایانهها از راه دور را میدهد. این باتنتها توزیعی هستند زیرا ممکن است هر جایی قرار داشته باشند و به هر کسی متعلق باشند. صاحبان بیگناه رایانههای آلوده شاید هرگز متوجه نباشند که سیستمهایشان بخشی از یک باتنت است.
پس از ساختن یک باتنت بزرگ متشکل از میلیونها دستگاه دچار نقض امنیتی، یک مهاجم DDoS از راه دور هر بات را هدایت میکند که درخواستها را به آدرس IP هدف بفرستد. هدف این است که ظرفیت منابع وب قربانی افزایش پیدا کند و تعداد زیادی درخواست اتصال یا داده نهایتاً موجب قطعی سرویس شوند.
انواع حملات DDoS
حملات DDoS را میتوان به شیوههای مختلفی دستهبندی کرد، اما متداول است که آنها را در سه گروه قرار دهند:
۱. حملات Volumetric
Botnetها مقادیر زیادی از ترافیک تقلبی را به یک منبع ارسال میکنند. این نوع حمله ممکن است از Floodهای Ping، Floodهای Spoofed-Packet یا Floodهای UDP استفاده کند. حمله مبتنی بر Volume بهصورت بیت بر ثانیه (BPS) اندازهگیری میشود.
۲. حملات لایه شبکه
حملات لایه شبکه تعداد زیادی از Packetها را به یک هدف میفرستند. یک حملهی لایه شبکه نیازمند اتصال TCP بازنیست و پورت مشخصی را هدف نمیگیرد. حمله لایه شبکه بهصورت Packet بر ثانیه (PPS) اندازهگیری میشود.
مثالهایی از حملهی لایه شبکه عبارتاند از:
- حملهی Smurf
- SYN Flood
۳. حملات لایه برنامه کاربردی
حملات لایه برنامه کاربردی درخواستهای متداولی مثل HTTP GET و HTTP POST را Exploit میکنند. این حملات هم روی منابع سرور و هم شبکه تأثیر میگذارند، پس تأثیرات مخرب یکسان و انواع دیگر حملات DDoS را میتوان با پهنای باند کمتری اجرایی کرد. تمایز بین ترافیک قانونی و مخرب در این لایه دشوار است، زیرا ترافیک Spoof نشده است و ظاهری عادی دارد. یک حمله لایه برنامه بهصورت درخواست بر ثانیه (RPS) اندازهگیری میشود.
بااینکه اکثر حملات DDOS مبتنی بر Volume هستند، حملات DDoS اندک و آهسته نیز وجود دارند که با ارسال جریانی از درخواستهای کوچک و مداوم از شناسایی فرار میکنند؛ اگر این جریانها به مدتی طولانی مشاهده نشوند، میتوانند عملکرد را تنزل بدهند. حملات اندک و آهسته، سرورهای وب مبتنی بر رشته را هدف میگیرند و موجب میشوند که داده با سرعت بسیار کم به کاربران قانونی منتقل شود، ولی نه آنقدر کُند که موجب خطای Time-Out شود. برخی از ابزارها در حملات اندک و آهسته شامل Slowloris، R.U.D.Y. و Sockstress هستند.
تفاوت بین حمله DOS و DDoS چیست
حملات DDoS از چندین سیستم اجرا میشوند، درحالیکه حمله DOS یا همان Denial-of-Service فقط از یک سیستم اجرا میشوند. حملات DDoS سریعتر از حملات DoS هستند و مسدود کردن آنها دشوارتر است. مسدود کردن حملات DOS سادهتر است، زیرا فقط باید یک دستگاه مهاجم شناسایی شود.
چرا حملات DDoS در حال رشد هستند
تعداد حملات DDoS در حال افزایش شدیدی است. باوجوداینکه FBI در سال۲۰۱۸ بزرگترین سایتهای DDoS را در دارکوب بست و این حملات کاهش یافت، در نیمهی اول ۲۰۲۰ این حملات ۱۵۱% افزایش پیدا کردند. در برخی از کشورها، حملات DDoS میتوانند ۲۵% از کل ترافیک اینترنت را در زمان حمله تشکیل دهند.
استفاده از اینترنت اشیا یا IoT نیز به این افزایش کمک کرده است. اکثر دستگاههای IoT دارای کنترلهای امنیتی یا سفتافزار Built-In نیستند. ازآنجاییکه تعداد دستگاههای IoT زیاد است و معمولاً بدون اینکه در معرض تست و کنترل امنیتی قرار بگیرند، پیادهسازی میشوند، ممکن است در Botnetها مورد استفاده قرار گیرند.
یکی دیگر از نقاط ضعف در حال رشد، APIها یا همان رابطهای کاربری برنامهنویسی برنامه کاربردی هستند. APIها بخشهای کوچکی از کد هستند که به سیستمهای مختلف امکان اشتراک داده را میدهند. مثلاً یک وبسایت مسافرتی با استفاده از APIها برنامههای خطوط هوایی را منتشر میکند تا دادهها را از سایتهای خطوط هوایی به صفحات وبسایت مسافرتی برساند. APIهای عمومی که برای استفادهی هرکسی قابلدسترسی هستند، ممکن است بهخوبی محافظت نشوند. آسیبپذیریهای متداول شامل بررسی احراز هویت، امنیت Endpoint ناکارآمد، عدم رمزگذاری قوی و منطق کسبوکار ناقص است.
حملات DDoS چه نشانههایی دارد
قربانیان حملات DDoS معمولاً میبینند که شبکه، وبسایت یا دستگاه آنها به کُندی کار میکند یا سرویس ارائه نمیدهد. اما این نشانهها منحصر به حملات DDoS نیستند و ممکن است توسط عوامل مختلفی ایجاد گردند، مثلاً سروری ناکارآمد، افزایش ناگهانی ترافیک قانونی یا حتی یک کابل خراب. به همین دلیل است که نمیتوان فقط روی مشاهدات فردی حساب کرد و در عوض باید از ابزار تجزیهوتحلیل ترافیک استفاده کرد تا حملات Distributed Denial-of-Service شناسایی گردند.
چگونگی حفاظت در مقابل DDoS
رفع حملات DDoS و دفاع در مقابل آن نیازمند یک رویکرد چندوجهی است، یک ابزار واحد نمیتواند تضمین کند که حفاظت کاملی در مقابل تمام انواع حملات DDoS صورت گیرد. در ادامه چند ابزار برای اضافه کردن به سازمان مطرح میشود:
فایروال برنامه کاربردی تحت وب (WAF): یک WAF مثل ایست بازرسی برای برنامههای کاربردی وب است، زیرا برای مانیتور کردن درخواست ترافیک HTTP و فیلتر کردن ترافیک مخرب مورد استفاده قرار میگیرد. وقتیکه یک حمله DDoS در لایه برنامه کاربردی شناسایی میشود، پالیسیهای WAF را میتوان بهسرعت تغییر داد تا سرعت درخواستها محدودشده و با بروزرسانی فهرست کنترل دسترسی یا ACL، ترافیک مخرب مسدود گردد.
سامانه مدیریت وقایع و امنیت اطلاعات (SIEM): ابزاری است که دادهها را از هر گوشه و کنار محیط جمعآوری کرده و در یک رابط کاربری متمرکز کنار هم قرار میدهد، همچنین قابلیت دید را به فعالیت مخرب فراهم میکند که میتواند برای مشخص کردن کیفیت هشدارها، ایجاد گزارشات و پشتیبانی از پاسخ به حادثه مورد استفاده قرار بگیرد.
تعدیلکنندگان بار/CDN: میتوان با توزیع خودکار افزایش ترافیک روی چندین سرور، شبکههای ارائهی محتوا یا همان CDN و تعدیلکنندگان بار را مورد استفاده قرار داد تا ریسک بار اضافه برای سرور و مشکلات عملکرد و دسترسپذیری پس از آن کاهش پیدا کند.