حمله DDos چیه و چطور باید جلوی حمله

حمله DDos یا حمله محروم سازی از سرویس توزیع شده Distributed Denial of Service ، تلاشی برای خراب کردن سرور وب یا سیستم آنلاین از طریق فشار آوردن به اون‌ها از طریق «داده» است. حمله DDos میتونه یه سو رفتار ساده، حرکت انتقام جویانه یا اقدامی مربوط به هک کردن باشه و تاثیرش از یه دلخوری جزئی تا یه خرابی خیلی عظیمی که منجر به از دست رفتن یه کسب کار میشه، باشه.

مثال

هکرها در فوریه سال ۲۰۱۸ با حمله DDos با سرعتی معادل ۱.۳۵ ترابایت داده در ثانیه به GitHub ضربه زدن.

برخلاف باج افزارها Ransomware یا گروه‌های حمله APT که انگیزه‌های مالی دارن، حملات محروم سازی از سرویس توزیع شده به مراتب مخرب‌تر و آزاردهنده‌تر هستند! مثلاً یه نمونه بارزش Classic WoW بود که بخاطر یه حمله DDos هزاران گیمر نتونستن وارد سیستم بشن، پس ببینین دلیل اون‌ها پول نیست، بلکه میخوان یه درد و آزاری برای بقیه به وجود بیارن.


حملات DDos با افزایش درخواست باعث کندی سرور و در نهایت از دسترس خارج شدن اون میشه!

خب حالا بریم سراغ این که این حملات چطوری کار میکنن و چه خرابی‌هایی می‌تونن به بار بیارن! به نظرتون راه فراری از دست این حملات مخرب داریم یا نه!!؟ بریم که ببینیم:


نحوه عملکرد حمله DDoS چطوریه؟

حملات DDoS اغلب توسط botnet (گروه بزرگی از رایانه‌های توزیع شده که با یکدیگر به صورت هماهنگ کار میکنن) انجام میشه و به طور همزمان وبسایت یا ارائه دهنده خدمات رو به وسیله درخواست‌های داده، اسپم میکنن!


حمله DDoS


مهاجمان برای ایجاد بات نت از نرم افزارهای مخرب یا آسیب پذیری‌های غیر طبیعی برای نصب نرم افزار Command and Control یا C2 روی سیستم کاربر استفاده میکنن. این حمله برای این که به نتایج مطلوبی منجر بشه به تعداد زیادی از کامپیوترهای موجود در بات نت متکی هست. راحت‌ترین و آسان‌ترین راه برای کنترل کردن اون همه ماشین یه حمله نفوذی است.


حمله DYNDNS

حمله DYNDNS از دوربین‌های WIFI با رمزهای پیش فرض برای ایجاد یه بات نت بزرگ سواستفاده کرد و بعد از آماده شدن بات نت مهاجمین دستور شروع رو به همه گروه‌های بات نت خودشون ارسال میکنن و سپس اون‌ها درخواست‌های برنامه ریزی شده رو به سرور هدف ارسال میکنن. اگه این حمله باعث بشه که سیستم هدف از خط دفاعی خارج بشه، به سرعت بر بیشتر سیستم‌ها غلبه میکنه و باعث قطع شدن سرویس و یا حتی در برخی موارد باعث قطع شدن سرور میشه.


نکته

نتیجه نهایی حمله دیداس در درجه اول قطع شدن سرویس و خارج شدن اون از دسترس کاربرانه.

در حالی که ممکنه این حمله بی‌خطر به نظر برسه باید بهتون بگم تو سال ۲۰۱۷ میانگین یه همچین حمله ای ۲.۵ میلیون دلار تخمین زده شده! Kaspresky گزارش داده که حمله محروم سازی از سرویس توزیع شده برای بیزنس‌های کوچیک حدود ۱۲۰,۰۰۰ دلار و شرکت های بزرگ حدود ۲,۰۰۰,۰۰۰ دلار خرج بر میداره!


هشدار

هکرها بیشتر از این حملات برای بیان عقاید سیاسی یا مخالفت‌ها، شوخی‌های بچگانه و یا انتقام سخت از یه کسب و کار استفاده می‌کنن!

طبق قانون کلاهبرداری و سوء استفاده، حمله دیداس غیرقانونی و انجام اون برای یه شبکه از ده سال زندانی تا ۵۰۰,۰۰۰ دلار جریمه داره!


چه تفاوتی بین حمله DDoS و DOS وجود داره؟

حمله DOS یا حمله محروم سازی از سرویس ، شامل انواع بسیار زیادی از حملات است که همه برای مختل کردن خدمات طراحی شده‌اند. علاوه برDDoS می‌تونین برنامه لایه DOS، DOS پیشرفته و DOS به عنوان سرویس رو داشته باشین! شرکت‌ها از DOS به عنوان یه سرویس برای تست استرس شبکه های خودشون استفاده میکنن!


به طور خلاصه DDoS یه نوع حمله DOS به حساب میاد ولی با این حال DOS هنوز هم می‌تونه به این معنی باشه که مهاجم به جای استفاده از بات نت از یه node تکی برای شروع حمله استفاده کرده.


همونطوری که گفتیم معمولاً در DDoS هکر با جعل IP کلی درخواست برای یه سرور ارسال میکنه. به دلیل مصرف بیش از اندازه منابعی مثل پردازنده و پهنای باند، سرور کند و دچار اختلال میشه و از کار میفته! این کار ممکنه توسط چندتا سیستم مختلف و در ابعاد گسترده‌ای انجام بشه که به اون حمله DOS گفته میشه! پس حمله DDoS بخشی از حمله DOS است!

حمله دیداس چه خطری برای امنیت داره؟

شما باید برای مدیریت حمله DDoS علیه سیستم‌های خودتون آماده باشین و برنامه ریزی های لازم رو انجام بدین. شما نیاز به نظارت، ایجاد هشدارها و تشخیص سریع حمله دیداس رو دارین، بعد از اون وظیفه متوقف کردن سریع حمله بدون این که کاربران شما متوجه شوند رو دارین.


می‌تونین آدرس های IP رو با استفاده از فایروال Next-Gen خود مسدود کنین، یا ترافیک ورودی به سیستم هدف رو ببندین. در کل برنامه‌های زیادی وجود داره که می‌تونین در شرایط بحرانی این چنینی ازشون استفاده کنین پس بهتره حتماً برین سراغشون!


انواع حمله DDoS

برای انجام حملات DDoS چندتا روش مختلف وجود داره که مهاجمان ممکنه یکی از اون‌ها رو انتخاب کنن، من برای شما چند مدل از این حملات رو در پایین لیست کردم:


حملات لایه نرم افزار

این مدل حملات برای از بین بردن منابع مورد نظر و مختل کردن دسترسی به وبسایت یا سرویس مورد است. مهاجمان ربات‌هایی رو با درخواست‌های پیچیده بارگذاری میکنند که سرور هدف رو در حالت تلاش برای پاسخگویی قرار میدن. این درخواست ممکنه به دسترسی به پایگاه داده یا بارگیری ‌های بزرگی نیاز داشته باشه، اگه اون سرویس هدف تو چند ثانیه با چندمیلیون درخواست روبرو بشه، ممکنه خیلی سریع تحت فشار قرار بگیره، به کندی خزیده بشه و یا کاملاً قفل بشه.


حمله نرم افزار لایه‌ای


به عنوان مثال، حمله HTTP Flood یک حمله لایه نرم افزار است که یه سرور وب رو مورد هدف قرار میده و از بسیاری از درخواست‌های HTTP سریع برای داون کردن سرور استفاده میکنه.


حملات پروتکل

حملات پروتکل DDoS لایه شبکه سیستم های هدف رو مورد هدف قرار میده و می‌خواد که روی قسمت‌های خدمات اصلی شبکه، فایروال یا تعادل بار فشار وارد کنه و درخواست رو به هدف منتقل کنه.


به طور کلی سرویس های شبکه به عنوان FIFO یا First-in , First-out کار میکنن یعنی اولین درخواست رو وارد میکنن سپس اون رو پردازش میکنن و بعد نوبت درخواست بعدی میشه و همین ترتیب ادامه داره. حالا تو این ترتیب یه تعداد محدودی از نود وجود داره و تو حمله DDoS این ترتیب تبدیل به یه صف بسیار عظیم میشه که هیچ منابع کامپیوتری برای پرداختن به این درخواست‌ها وجود نداره.


حمله پروتکل


نکته

در این روش هدف، مصرف تمام منابع سرور یا منابع سیستم های وابسته مثل فایر وال است!

حملات حجمی

هدف از یه حمله حجمی استفاده از بات نت برای ایجاد مقدار زیادی از ترافیک و مسدود کردن کارهای موجود در سیستم هدف است دقیقاً مثل یه حمله HTTP Flood منتها یه مولفه “پاسخ تشریحی” به حمله اضافه شده؛ یعنی چی؟


مثال

ببینین فرض کنین مثلاً شما و ۲۰ نفر از دوستاتون رفتین یه پیتزا فروشی و ۵۰ تا پای سفارش میدین!! خب معلومه که تو پیتزافروشی نمیشه به این نیاز شما پاسخ داد.

حملات حجمی


اصل حملات حجمی هم همچین چیزیه، اون‌ها چیزی رو درخواست میکنن که باعث افزایش اندازه پاسخ میشه و میزان ترافیک خیلی خیلی زیاد میشه و سرور مسدود میشه! تقویت DNS یه نوع حمله حجمی به حساب میاد، تو این حالت اون‌ها به طور مستقیم به سرور DNS حمله میکنن و مقدار زیادی از داده‌ها رو از سرور DNS پس میگیرن و همین کار باعث میشه سرور DNS برای هر کسی که در حال استفاده از اون سروره داون بشه.


نکته

در حملات حجمی هدف، مصرف کردن پهنای باند وب سایت است و در این روش حجم زیادی از داده ها برای ایجاد ترافیک بالا به سرور هدف ارسال میشه.

معروف‌ترین حملات DDoS دنیا

بزرگترین حمله DDoS در تاریخ مربوط به سایت GitHub در سال ۲۰۱۸ است در این حمله تعداد ۱۲۶ میلیون پکت در ثانیه به سمت این وبسایت ارسال میشد که البته خوشبختانه به دلیل این که این وبسایت از نرم افزارهای آنتی دیداس استفاده میکرد بعد از گذشت ۲۰ دقیقه این حمله متوقف شد و با شکست مواجه شد.

این وبسایت تو سال ۲۰۱۵ هم از سمت کشور چین مورد حمله قرار گرفت و باز هم یکی از حملات سایبری بزرگ دنیا به حساب میاد که با تزریق کدهای مخرب جاوا اسکریپت به مرورگر کاربرانی که از Biadu Analytics (موتور جستجوگر چینی) استفاده می‌کردن، صورت گرفت، این کدهای مخرب درخواست‌های http به وبسایت گیت هاب میفرستادن.

و یکی دیگه از معروف‌ترین حملات دیداس حمله Cloudflare در سال ۲۰۱۴ است که طی این حمله ۴۰۰ گیگ داده در هر ثانیه به این سرور ارسال میشد. این حمله هم سرورهای مشخصی رو در اروپا مد نظر داشت و از طریق آسیب پذیری‌های پروتکل شبکه ایجاد شده بود.

چگونه می‌توان از حملات DDoS جلوگیری کرد؟

به نظرتون GitHub چطوری از اون حمله گسترده جون سالم به در برد؟ البته که برای همچین روزی برنامه ریزی و امکانات لازم رو تهیه کرده بود. بعد از گذشت ۱۰ دقیقه قطعی، سرورهای GitHub ، سرویس کاهش DDoS رو فعال کرد. سرویس کاهش میزان ترافیک ورودی مجدداً ترافیک ورودی رو مسیردهی کردن و بسته‌های مخرب رو از بین بردن و بعذ از گذشت حدوداً ۱۰ دقیقه مهاجمین تسلیم شدن.


علاوه بر پرداختن هزینه‌های کاهش خدمات DDoS از شرکت‌هایی مانند Clouddlare و Akamai می‌تونین از اقدامات امنیتی خودتون رو هم استفاده کنین. سروها رو تعمیر کنین، سرورهای Memcached خودتون رو از اینترنت باز خارج کنین و به کاربران آموزش بدین تا حملات فیشینگ Phishing رو شناسایی کنن.


شما می‌تونین تعداد محدودی درخواست رو تعیین کنین تا تعداد درخواست‌هایی که سرور تحویل میگیره تنظیم بشه،. یه فایروالی که به درستی پیکربندی شده باشه هم می‌تونه از سرورهای شما محافظت کنه.


Varonis می‌تونه با نظارت روی DNS شما، VPN، پروکسی و داده برای کمک به شناسایی علائم یه حمله DDoS قریب الوقوع! (احتمالی) علیه شبکه شما مورد استفاده قرار بگیره. Varonis الگوهای رفتاری رو دنبال میکنه و وقتی رفتار فعلی با یه مدل تهدید تطبیق میکنه یا یه انحرافی تو رفتار استاندارد دیده میشه، هشدارهایی رو به وجود میاره.


محافظت از خود با استفاده از نرم افزارهای مفید

استفاده از سرویس Virtual Private Network یه روش مناسب برای کاربران و صاحبان وبسایت جهت جلوگیری از ورود به بات نت است. این سرویس با نصب یه نرم افزار روی سیستم، تمام داده های دستگاه رو رمزگذاری میکنه و سپس این داده‌ها رو از طریق سرور خودش تو اینترنت مسیریابی میکنه. طی این فرآیندآدرس IP شما مخفی میشه و بنابراین کسی نمی‌تونه اون رو کشف کنه. بدون IP امکان طرح ریزی حمله DDoS ممکن نیست. علاوه بر این استفاده از Virtual Private Network امنیت دستگاه رو بالا میبره و دسترسی رو برای هکرها سخت‌تر میکنه. همونطور که امکان هک شدن دستگاه از بین میره، پس امکان قرار گرفتن به عنوان بخشی از سیستم‌های بات نت هم از بین میره.


Virtual Private Network

برای این که از محافظت IP تون در برابر حمله منع سرویس توزیع شده یا حمله DDoS مطمئن بشین، باید بگم که بعضی از سرویس دهندگان Virtual Private Network دارای یه سری سرورهای مخصوص ضد حمله DDoS هستند. تکنیک‌های کاهش حملات DDoS بر اساس فیلتر کردن ترافیکی که به سمت آی پی سیستم میاد کار می‌کنن، اول از همه مثل همه سرویس‌ها IP رو مخفی نگه میدارن و بعد همه ترافیک ورودی از مسیر فیلترینگ نرم افزار عبور میکنه!


نرم افزار فیلترینگ برای این که از درستی داده های ورودی و منشاء اون‌ها مطمئن بشه، اون‌ها رو بررسی میکنه و بعد نرم افزار فیلترینگ بهشون اجازه عبور میده. اگه یه موقع ترافیک ورودی مشکوک به نظر برسه (یعنی یه حجم نسبتاً زیادی از ترافیک تو یه زمان مشخص از سراسر دنیا) این داده ها به عنوان یه حمله احتمالی DDoS تشخیص داده میشن پس از عبور ‌اون‌ها جلوگیری میشه.


پرسش

خب پس تکلیف ترافیک کاربران معمولی چی میشه؟ یعنی کلاً جلوی هر ترافیکی رو میگیرن؟

پاسخ

نه در واقع عملکرد این نرم افزار به این صورته که ترافیک ارسالی از طرف بات‌های مخرب که برای حمله منع سرویس توزیع شده طراحی میشن، فیلتر شده و جلوی عبورشون گرفته میشه اما ترافیک قانونی که به کاربران واقعی مربوطه، به صورت معمولی عبور میکنه و هیچ مشکلی براشون پیش نمیاد!

حملات دیداس در دنیای امروز

درست مثل هرچیز دیگه‌ای این نوع حملات هم درحال پیشرفته‌تر شدن و تکامل هستند و می‌تونن بیشتر باعث تخریب یه کسب و کار بشن. مثلاً از ۱۵۰ درخواست در هر ثانیه تو سال ۱۹۹۰ که باعث شد یه سرور داون بشه، به ۱.۲ ترابایت و ۱.۳۵ ترابایت درخواست تو هر ثانیه در سال‌های اخیر رسیدن! هدف تو هر دوتای این حملات تخریب یه منبع بهره وری در جهان بوده.


این نوع حملات از تکنیک های جدیدی برای دستیابی به یه پهنای باند بزرگ استفاده میکنن. مثلاً حمله DYN با یه سوء استفاده در IoT – Internet of Thing برای ایجاد یه بات نت به نام حمله Mirai Botnet استفاده کرد. Mirai از پورت‌های باز و رمز عبور پیش فرض استفاده میکنه تا دوربین‌های وایفای رو برای اجرای این حمله آماده کنه. درسته که این یه حمله بچگانه بود ولی تاثیر جدی داشت و نشون داد که این حملات می‌تونه با هر به روزرسانی تو نرم افزارها دوباره اتفاق بیفته. پس باید همیشه هوشیار بود.