سامانه مراقبت از خانواده SPY24 نظارت بر فرزندان، برنامه ردیابی و کنترل نامحسوس هک گوشی موبایل و تبلت از راه
حمله DDos چیه و چطور باید جلوی حمله
حمله DDos یا حمله محروم سازی از سرویس توزیع شده Distributed Denial of Service ، تلاشی برای خراب کردن سرور وب یا سیستم آنلاین از طریق فشار آوردن به اونها از طریق «داده» است. حمله DDos میتونه یه سو رفتار ساده، حرکت انتقام جویانه یا اقدامی مربوط به هک کردن باشه و تاثیرش از یه دلخوری جزئی تا یه خرابی خیلی عظیمی که منجر به از دست رفتن یه کسب کار میشه، باشه.
مثال
هکرها در فوریه سال ۲۰۱۸ با حمله DDos با سرعتی معادل ۱.۳۵ ترابایت داده در ثانیه به GitHub ضربه زدن.
برخلاف باج افزارها Ransomware یا گروههای حمله APT که انگیزههای مالی دارن، حملات محروم سازی از سرویس توزیع شده به مراتب مخربتر و آزاردهندهتر هستند! مثلاً یه نمونه بارزش Classic WoW بود که بخاطر یه حمله DDos هزاران گیمر نتونستن وارد سیستم بشن، پس ببینین دلیل اونها پول نیست، بلکه میخوان یه درد و آزاری برای بقیه به وجود بیارن.
حملات DDos با افزایش درخواست باعث کندی سرور و در نهایت از دسترس خارج شدن اون میشه!
خب حالا بریم سراغ این که این حملات چطوری کار میکنن و چه خرابیهایی میتونن به بار بیارن! به نظرتون راه فراری از دست این حملات مخرب داریم یا نه!!؟ بریم که ببینیم:
نحوه عملکرد حمله DDoS چطوریه؟
حملات DDoS اغلب توسط botnet (گروه بزرگی از رایانههای توزیع شده که با یکدیگر به صورت هماهنگ کار میکنن) انجام میشه و به طور همزمان وبسایت یا ارائه دهنده خدمات رو به وسیله درخواستهای داده، اسپم میکنن!
حمله DDoS
مهاجمان برای ایجاد بات نت از نرم افزارهای مخرب یا آسیب پذیریهای غیر طبیعی برای نصب نرم افزار Command and Control یا C2 روی سیستم کاربر استفاده میکنن. این حمله برای این که به نتایج مطلوبی منجر بشه به تعداد زیادی از کامپیوترهای موجود در بات نت متکی هست. راحتترین و آسانترین راه برای کنترل کردن اون همه ماشین یه حمله نفوذی است.
حمله DYNDNS
حمله DYNDNS از دوربینهای WIFI با رمزهای پیش فرض برای ایجاد یه بات نت بزرگ سواستفاده کرد و بعد از آماده شدن بات نت مهاجمین دستور شروع رو به همه گروههای بات نت خودشون ارسال میکنن و سپس اونها درخواستهای برنامه ریزی شده رو به سرور هدف ارسال میکنن. اگه این حمله باعث بشه که سیستم هدف از خط دفاعی خارج بشه، به سرعت بر بیشتر سیستمها غلبه میکنه و باعث قطع شدن سرویس و یا حتی در برخی موارد باعث قطع شدن سرور میشه.
نکته
نتیجه نهایی حمله دیداس در درجه اول قطع شدن سرویس و خارج شدن اون از دسترس کاربرانه.
در حالی که ممکنه این حمله بیخطر به نظر برسه باید بهتون بگم تو سال ۲۰۱۷ میانگین یه همچین حمله ای ۲.۵ میلیون دلار تخمین زده شده! Kaspresky گزارش داده که حمله محروم سازی از سرویس توزیع شده برای بیزنسهای کوچیک حدود ۱۲۰,۰۰۰ دلار و شرکت های بزرگ حدود ۲,۰۰۰,۰۰۰ دلار خرج بر میداره!
هشدار
هکرها بیشتر از این حملات برای بیان عقاید سیاسی یا مخالفتها، شوخیهای بچگانه و یا انتقام سخت از یه کسب و کار استفاده میکنن!
طبق قانون کلاهبرداری و سوء استفاده، حمله دیداس غیرقانونی و انجام اون برای یه شبکه از ده سال زندانی تا ۵۰۰,۰۰۰ دلار جریمه داره!
چه تفاوتی بین حمله DDoS و DOS وجود داره؟
حمله DOS یا حمله محروم سازی از سرویس ، شامل انواع بسیار زیادی از حملات است که همه برای مختل کردن خدمات طراحی شدهاند. علاوه برDDoS میتونین برنامه لایه DOS، DOS پیشرفته و DOS به عنوان سرویس رو داشته باشین! شرکتها از DOS به عنوان یه سرویس برای تست استرس شبکه های خودشون استفاده میکنن!
به طور خلاصه DDoS یه نوع حمله DOS به حساب میاد ولی با این حال DOS هنوز هم میتونه به این معنی باشه که مهاجم به جای استفاده از بات نت از یه node تکی برای شروع حمله استفاده کرده.
همونطوری که گفتیم معمولاً در DDoS هکر با جعل IP کلی درخواست برای یه سرور ارسال میکنه. به دلیل مصرف بیش از اندازه منابعی مثل پردازنده و پهنای باند، سرور کند و دچار اختلال میشه و از کار میفته! این کار ممکنه توسط چندتا سیستم مختلف و در ابعاد گستردهای انجام بشه که به اون حمله DOS گفته میشه! پس حمله DDoS بخشی از حمله DOS است!
حمله دیداس چه خطری برای امنیت داره؟
شما باید برای مدیریت حمله DDoS علیه سیستمهای خودتون آماده باشین و برنامه ریزی های لازم رو انجام بدین. شما نیاز به نظارت، ایجاد هشدارها و تشخیص سریع حمله دیداس رو دارین، بعد از اون وظیفه متوقف کردن سریع حمله بدون این که کاربران شما متوجه شوند رو دارین.
میتونین آدرس های IP رو با استفاده از فایروال Next-Gen خود مسدود کنین، یا ترافیک ورودی به سیستم هدف رو ببندین. در کل برنامههای زیادی وجود داره که میتونین در شرایط بحرانی این چنینی ازشون استفاده کنین پس بهتره حتماً برین سراغشون!
انواع حمله DDoS
برای انجام حملات DDoS چندتا روش مختلف وجود داره که مهاجمان ممکنه یکی از اونها رو انتخاب کنن، من برای شما چند مدل از این حملات رو در پایین لیست کردم:
حملات لایه نرم افزار
این مدل حملات برای از بین بردن منابع مورد نظر و مختل کردن دسترسی به وبسایت یا سرویس مورد است. مهاجمان رباتهایی رو با درخواستهای پیچیده بارگذاری میکنند که سرور هدف رو در حالت تلاش برای پاسخگویی قرار میدن. این درخواست ممکنه به دسترسی به پایگاه داده یا بارگیری های بزرگی نیاز داشته باشه، اگه اون سرویس هدف تو چند ثانیه با چندمیلیون درخواست روبرو بشه، ممکنه خیلی سریع تحت فشار قرار بگیره، به کندی خزیده بشه و یا کاملاً قفل بشه.
حمله نرم افزار لایهای
به عنوان مثال، حمله HTTP Flood یک حمله لایه نرم افزار است که یه سرور وب رو مورد هدف قرار میده و از بسیاری از درخواستهای HTTP سریع برای داون کردن سرور استفاده میکنه.
حملات پروتکل
حملات پروتکل DDoS لایه شبکه سیستم های هدف رو مورد هدف قرار میده و میخواد که روی قسمتهای خدمات اصلی شبکه، فایروال یا تعادل بار فشار وارد کنه و درخواست رو به هدف منتقل کنه.
به طور کلی سرویس های شبکه به عنوان FIFO یا First-in , First-out کار میکنن یعنی اولین درخواست رو وارد میکنن سپس اون رو پردازش میکنن و بعد نوبت درخواست بعدی میشه و همین ترتیب ادامه داره. حالا تو این ترتیب یه تعداد محدودی از نود وجود داره و تو حمله DDoS این ترتیب تبدیل به یه صف بسیار عظیم میشه که هیچ منابع کامپیوتری برای پرداختن به این درخواستها وجود نداره.
حمله پروتکل
نکته
در این روش هدف، مصرف تمام منابع سرور یا منابع سیستم های وابسته مثل فایر وال است!
حملات حجمی
هدف از یه حمله حجمی استفاده از بات نت برای ایجاد مقدار زیادی از ترافیک و مسدود کردن کارهای موجود در سیستم هدف است دقیقاً مثل یه حمله HTTP Flood منتها یه مولفه “پاسخ تشریحی” به حمله اضافه شده؛ یعنی چی؟
مثال
ببینین فرض کنین مثلاً شما و ۲۰ نفر از دوستاتون رفتین یه پیتزا فروشی و ۵۰ تا پای سفارش میدین!! خب معلومه که تو پیتزافروشی نمیشه به این نیاز شما پاسخ داد.
حملات حجمی
اصل حملات حجمی هم همچین چیزیه، اونها چیزی رو درخواست میکنن که باعث افزایش اندازه پاسخ میشه و میزان ترافیک خیلی خیلی زیاد میشه و سرور مسدود میشه! تقویت DNS یه نوع حمله حجمی به حساب میاد، تو این حالت اونها به طور مستقیم به سرور DNS حمله میکنن و مقدار زیادی از دادهها رو از سرور DNS پس میگیرن و همین کار باعث میشه سرور DNS برای هر کسی که در حال استفاده از اون سروره داون بشه.
نکته
در حملات حجمی هدف، مصرف کردن پهنای باند وب سایت است و در این روش حجم زیادی از داده ها برای ایجاد ترافیک بالا به سرور هدف ارسال میشه.
معروفترین حملات DDoS دنیا
بزرگترین حمله DDoS در تاریخ مربوط به سایت GitHub در سال ۲۰۱۸ است در این حمله تعداد ۱۲۶ میلیون پکت در ثانیه به سمت این وبسایت ارسال میشد که البته خوشبختانه به دلیل این که این وبسایت از نرم افزارهای آنتی دیداس استفاده میکرد بعد از گذشت ۲۰ دقیقه این حمله متوقف شد و با شکست مواجه شد.
این وبسایت تو سال ۲۰۱۵ هم از سمت کشور چین مورد حمله قرار گرفت و باز هم یکی از حملات سایبری بزرگ دنیا به حساب میاد که با تزریق کدهای مخرب جاوا اسکریپت به مرورگر کاربرانی که از Biadu Analytics (موتور جستجوگر چینی) استفاده میکردن، صورت گرفت، این کدهای مخرب درخواستهای http به وبسایت گیت هاب میفرستادن.
و یکی دیگه از معروفترین حملات دیداس حمله Cloudflare در سال ۲۰۱۴ است که طی این حمله ۴۰۰ گیگ داده در هر ثانیه به این سرور ارسال میشد. این حمله هم سرورهای مشخصی رو در اروپا مد نظر داشت و از طریق آسیب پذیریهای پروتکل شبکه ایجاد شده بود.
چگونه میتوان از حملات DDoS جلوگیری کرد؟
به نظرتون GitHub چطوری از اون حمله گسترده جون سالم به در برد؟ البته که برای همچین روزی برنامه ریزی و امکانات لازم رو تهیه کرده بود. بعد از گذشت ۱۰ دقیقه قطعی، سرورهای GitHub ، سرویس کاهش DDoS رو فعال کرد. سرویس کاهش میزان ترافیک ورودی مجدداً ترافیک ورودی رو مسیردهی کردن و بستههای مخرب رو از بین بردن و بعذ از گذشت حدوداً ۱۰ دقیقه مهاجمین تسلیم شدن.
علاوه بر پرداختن هزینههای کاهش خدمات DDoS از شرکتهایی مانند Clouddlare و Akamai میتونین از اقدامات امنیتی خودتون رو هم استفاده کنین. سروها رو تعمیر کنین، سرورهای Memcached خودتون رو از اینترنت باز خارج کنین و به کاربران آموزش بدین تا حملات فیشینگ Phishing رو شناسایی کنن.
شما میتونین تعداد محدودی درخواست رو تعیین کنین تا تعداد درخواستهایی که سرور تحویل میگیره تنظیم بشه،. یه فایروالی که به درستی پیکربندی شده باشه هم میتونه از سرورهای شما محافظت کنه.
Varonis میتونه با نظارت روی DNS شما، VPN، پروکسی و داده برای کمک به شناسایی علائم یه حمله DDoS قریب الوقوع! (احتمالی) علیه شبکه شما مورد استفاده قرار بگیره. Varonis الگوهای رفتاری رو دنبال میکنه و وقتی رفتار فعلی با یه مدل تهدید تطبیق میکنه یا یه انحرافی تو رفتار استاندارد دیده میشه، هشدارهایی رو به وجود میاره.
محافظت از خود با استفاده از نرم افزارهای مفید
استفاده از سرویس Virtual Private Network یه روش مناسب برای کاربران و صاحبان وبسایت جهت جلوگیری از ورود به بات نت است. این سرویس با نصب یه نرم افزار روی سیستم، تمام داده های دستگاه رو رمزگذاری میکنه و سپس این دادهها رو از طریق سرور خودش تو اینترنت مسیریابی میکنه. طی این فرآیندآدرس IP شما مخفی میشه و بنابراین کسی نمیتونه اون رو کشف کنه. بدون IP امکان طرح ریزی حمله DDoS ممکن نیست. علاوه بر این استفاده از Virtual Private Network امنیت دستگاه رو بالا میبره و دسترسی رو برای هکرها سختتر میکنه. همونطور که امکان هک شدن دستگاه از بین میره، پس امکان قرار گرفتن به عنوان بخشی از سیستمهای بات نت هم از بین میره.
Virtual Private Network
برای این که از محافظت IP تون در برابر حمله منع سرویس توزیع شده یا حمله DDoS مطمئن بشین، باید بگم که بعضی از سرویس دهندگان Virtual Private Network دارای یه سری سرورهای مخصوص ضد حمله DDoS هستند. تکنیکهای کاهش حملات DDoS بر اساس فیلتر کردن ترافیکی که به سمت آی پی سیستم میاد کار میکنن، اول از همه مثل همه سرویسها IP رو مخفی نگه میدارن و بعد همه ترافیک ورودی از مسیر فیلترینگ نرم افزار عبور میکنه!
نرم افزار فیلترینگ برای این که از درستی داده های ورودی و منشاء اونها مطمئن بشه، اونها رو بررسی میکنه و بعد نرم افزار فیلترینگ بهشون اجازه عبور میده. اگه یه موقع ترافیک ورودی مشکوک به نظر برسه (یعنی یه حجم نسبتاً زیادی از ترافیک تو یه زمان مشخص از سراسر دنیا) این داده ها به عنوان یه حمله احتمالی DDoS تشخیص داده میشن پس از عبور اونها جلوگیری میشه.
پرسش
خب پس تکلیف ترافیک کاربران معمولی چی میشه؟ یعنی کلاً جلوی هر ترافیکی رو میگیرن؟
پاسخ
نه در واقع عملکرد این نرم افزار به این صورته که ترافیک ارسالی از طرف باتهای مخرب که برای حمله منع سرویس توزیع شده طراحی میشن، فیلتر شده و جلوی عبورشون گرفته میشه اما ترافیک قانونی که به کاربران واقعی مربوطه، به صورت معمولی عبور میکنه و هیچ مشکلی براشون پیش نمیاد!
حملات دیداس در دنیای امروز
درست مثل هرچیز دیگهای این نوع حملات هم درحال پیشرفتهتر شدن و تکامل هستند و میتونن بیشتر باعث تخریب یه کسب و کار بشن. مثلاً از ۱۵۰ درخواست در هر ثانیه تو سال ۱۹۹۰ که باعث شد یه سرور داون بشه، به ۱.۲ ترابایت و ۱.۳۵ ترابایت درخواست تو هر ثانیه در سالهای اخیر رسیدن! هدف تو هر دوتای این حملات تخریب یه منبع بهره وری در جهان بوده.
این نوع حملات از تکنیک های جدیدی برای دستیابی به یه پهنای باند بزرگ استفاده میکنن. مثلاً حمله DYN با یه سوء استفاده در IoT – Internet of Thing برای ایجاد یه بات نت به نام حمله Mirai Botnet استفاده کرد. Mirai از پورتهای باز و رمز عبور پیش فرض استفاده میکنه تا دوربینهای وایفای رو برای اجرای این حمله آماده کنه. درسته که این یه حمله بچگانه بود ولی تاثیر جدی داشت و نشون داد که این حملات میتونه با هر به روزرسانی تو نرم افزارها دوباره اتفاق بیفته. پس باید همیشه هوشیار بود.