شبکه فناوری

DDOS Attack چیست؟

حمیدرضا وطنی
نوشته شده توسط حمیدرضا وطنی

حمله سایبری DDOS چیست؟

امروزه ، حملات D به یک نگرانی اصلی در عرصه امنیت  اینترنت بدل شده است.

جزئیات زیر را بررسی کنید تا به عملکرد آن پی برده و دریابید که چگونه می توان این حملات را متوقف نمود.

یک حمله سایبری   (Distributed Denial Of Service) , (DDOS) :

یک اقدام بدخواهانه است جهت ایجاد اختلال در ترافیک عادی یک  سرور. سرویس یا ارتباطات شبکه ای است که در واقع با غوطه ور کردن مقصد همراه با تمام زیرساخت‌ های پیرامونش با سیل عظیمی از ترافیک اینترنتی صورت می گیرد.

 حملات D با استفاده از چندین سیستم کامپیوتری در معرض خطر به عنوان منابع حمله ی  ایجاد موج ترافیک ، کارش را شروع میکند.

ماشین های مورد سوء استفاده قرار گرفته شده می توانند شامل رایانه ها و سایر منابع شبکه شده مانند وسایل و دستگاه های تشکیل دهنده شبکه گسترده ای از اشیا و …  باشند.(IOT DEVICE).

از بالا که نگاه کنیم یک حمله D شبیه به یک جریان از خودروها است که دارد وارد یک  بزرگراه می‌شود که عبور و مرور عادی به مقاصد را بند می آورد.

حمله سایبری DDOS چگونه عمل می کند؟

این حمله به مهاجم جهت بدست گرفتن کنترل شبکه ای از ماشین های تحت شبکه نیاز دارد.

رایانه ها و … .

رایانه ها و سایر ماشین ها (نظیر وسایل IOT) توسط بدافزار آلوده شده،و هر یک به bot یا زامبی تبدیل می شوند. سپس مهاجم،کنترل راهِ دور بر روی گروهی از bot ها که botnet نامیده می‌شوند را خواهد داشت.

(Robot+Network=botnet)

botnet از قبل ساخته شده است ، مهاجم قادر است با ارسال دستورالعمل های به روز شده به هر bot از طریق کنترل راهِ دور ، ماشین ها را در دست بگیرد . وقتی ip قربانی ، توسط botnet هدف گرفته می شود،هر bot با ارسال درخواست هایی به مقصد پاسخ خواهد گرفت. همه bot های botnet شروع به فرستادن درخواست به مقصد میکنند و این کار به طور بالقوه سبب لبریز شدن ظرفیت شبکه یاسرور مقصد شده و باعث تبدیل ترافیک عادی به وضعیت انکار خدمات (عدم سرویس دهی ) میشود.

از آنجایی که هر bot یک وسیله مشروع و قانونی استفاده کننده از اینترنت می باشد ، لذا جداسازی ترافیک عادی شبکه از ترافیک حمله ، می تواند کار سخت و پر مشقتی باشد.

 

 انواع متداول حملات DDOS کدامند ؟

جهت های متفاوت حملات D ، اجزای مختلفی از ارتباطات شبکه را هدف قرار می دهند. به منظور فهمیدن چگونگی عملکرد حملات مختلف D ابتدا باید بدانیم یک ارتباط شبکه ای چگونه ایجاد میشود.یک ارتباط شبکه ای در اینترنت، از اجزا یا لایه های بسیار متفاوتی  تشکیل شده است.مانند ساخت یک خانه از روی زمین مسطح.هر مرحله در مدل ، هدف متفاوتی دارد. مدل OSI  نمایش داده شده در زیر، چارچوبی مفهومی جهت توصیف ارتباطات  در ٧ لایه مختلف شبکه است.

حملات DDOS

در حالی که تقریبا تمامی حملات D ، یک شبکه یا دستگاه مقصد را غوطه ور در ترافیک می کنند؛  این گونه حملات به سه دسته تقسیم می شوند. یک مهاجم ممکن است از      روش های متفاوتی استفاده کرده، یا از روشهای حملات دایره ای که بر پایه اندازه گیری های شمارشی توسط مقصد گرفته می‌شوند، بهره گیرد.

حملات لایه Application:

هدف این گونه حملات :

بعضی اوقات به آن، حمله D لایه ی ٧ نیز می‌گویند.هدف این نوع حملات،خسته کردن و نهایتا از کار انداختن منابع سیستم مقصد (قربانی) است.قصد اینطور حملات،لایه ای را مورد  هجوم قرار می‌دهند که در آن صفحات اینترنتی در سرور ایجاد شده و در پاسخ به درخواست های HTTP تحویل داده میشوند. یک درخواست ساده HTTP، برای اجرا شدن  در سطح  client    بسیار ساده است.اما می‌تواند در عین حال برای سرور مقصدبسیار پیچیده باشد،  زیرا ممکن است لازم باشد که  سرور بارها چندین فایل را واکشی کرده و پرس و جوهای بسیاری را ازبانک اطلاعاتی اجرا کند تا بتواند صفحات وب را بسازد.دفاع در برابر حملات سایبری لایه ٧ سخت و دشوار است. زیرا اینطور ترافیک را به سختی می‌توان به عنوان یک بدخواه شناخت.

حملات DDOS

HTTP flood یا سیل درخواست HTTP:

این هجوم مانند آن است که درون یک مرورگر اینترنت، بارها دکمه refresh را فشرده و همزمان این کار را از روی رایانه های زیادی انجام دهید. تعداد بسیار زیادی از درخواست‌های  HTTP مانند یک سیل ، سرور را در برگرفته و به  *عدم سرویس دهی* منجر می شوند.

این سبک از هجوم، از ساده تا پیچیده طبقه‌بندی می‌شوند. پیاده سازی ساده آن به یک آدرس web یا (URL) با محدوده یکسانی از ip های مهاجم، اشاره گر ها و نماینده کاربران  دسترسی دارد.نگارش های پیچیده میتوانند از تعداد بسیار زیادی ip های مهاجم استفاده کرده و URL های تصادفی را با استفاده از اشاره گرها و نماینده کاربران اتفاقی ، هدف قراردهند.

حملات پروتوکلی :

هدف از این حمله :

حملات پروتوکلی که تحت عنوان ” حملات وضعیت خستگی ” نیز از آن یاد میشود از طریق مصرفِ تمامِ ظرفیتِ جدولِ حالتِ در دسترسِ سرور های میزبان وب یا منابع متوسط و میانی همانند دیواره های آتش و تقسیم کننده های وظایف شبکه (Load Balancers) باعث اختلال در خدمات رسانی میشوند.حملات پروتوکلی از ضعف های موجود در لایه های 3 و 4 پشته پروتوکل برای اینکه هدفش را غیر قابل استفاده کند ، بهره میبرد.

مثالی از حملات پروتوکلی:

حملات DDOS

SYN Flood :

قابل تشبیه و مقایسه با کارگری است که مثلا در یک انبار کار کرده و درخواست هایی را که از جلوی فروشگاه دریافت میشود را میگیرد. او سپس رفته ، بسته را آورده و پیش از آنکه آن را تحویل دهد ، منتظر تایید می ماند. پس از آنکه کارگر مقدار بسیار بیشتری درخواست برای بسته اما بدون تایید دریافت میکند تا جایی که دیگر نمیتوانند بسته های دیگری را بیاورد و بنابراین غرق در هزاران درخواستی میشود که بدون پاسخ مانده است. این حمله از خاصیت ” دست دادن ” (hand shaking) پروتوکل TCP سوء استفاده میکند. یعنی با فرستادن مقدار بسیار زیادی بسته های sync درخواست اتصال اولیه پروتوکل TCP به سیستم مقصد ، با استفاده از ip آدرس های مبدا تقلبی.

ماشین مقصد ، به هر درخواست اتصال پاسخ داده و سپس برای پایان مرحله ی ” دست دادن ” که هرگز رخ نمیدهد ، منتظز میماند که سرانجام در این روند ، منابع سیستم مقصد ، به اصطلاح دچار خستگی میشوند.

حملات حجمی :

اهداف این نوع حملات :

این دسته از حملات ، انبوهی از ترافیک را ایجاد میکند که تمام شبکه ای گسترده مانند درخواست هایی از سوی botnet ، به سمت مقصد فرستاده میشود.

مثالی از حملات حجمی :

حملات DDOS

تقویت DNS :

تقویت DNS  همانند آن است که اگر مثلا کسی به یک رستوران زنگ بزند و بگوید : ” من از هر چیزی یک عدد میخواهم ، لطفا بعدا به من زنگ زده و کل سفارشم را برایم بگویید. ” در حالیکه شماره تلفنی که آن شخص به رستوران اعلام کرده ، شماره سیستم  مقصد است. با کمی تلاش پاسخ طولانی تولید میشود.

با ایجاد یک درخواست به یک DNS سرور باز با ip تقلبی (ip آدرس واقعی سیستم مقصد).سپس ip سیستم مقصد ، یک پاسخ از جانب سرور دریافت میکند.چیدمان ساختار درخواست از سوی مهاجم به گونه ای است که DNS سرور با مقادیر بزرگی از داده ها یه سیستم مقصد پاسخ میدهد. بنابراین مقصد ، حالت تقویت شده ای از پرس و جوی آغازین مهاجم را دریافت میکند.

روند کاستن از یک حمله DDOS چیست؟

اهمیت کلیدی در کاستن از یک حمله D ، فرق گذاشتن میان ترافیک عادی و حمله است. مثلا اگر وب سایت یک شرکت ، تحت هجوم مشتریان مشتاقِ یک محصول آن قرار بگیرد، قطع کردن تمام آن ترافیک ، کار اشتباهی است. اما اگر همان شرکت ، ناگهان موجی از ترافیک از سوی بدخواهان شناخته شده داشته باشد ، تلاش ها برای کاهش آن حمله ، احتمالا ضروری است و دشواری کار آن جا است که باید مشتریان واقعی از ترافیک تهاجم تفکیک شوند. در اینترنت پیشرفته،ترافیک D به اشکال مختلف ظاهر می‌شود.این ترافیک شبکه می‌تواند متنوع بوده و از حملات (با ip) غير تقلبى از یک منشا مشخص تا حملات پیچیده چندجانبه ى تطبيق پذیر دسته بندیگردد.يك حمله D چند جانبه، از مسیرهای ارتباطی چندگانه هجومی به منظور غرق کردن سیستم مقصد به طرق مختلف استفاده می‌کند. یعنی به عبارتی تلاش‌های کاستن از حملات به طور بالقوه در هر یک از مسیرها ؛ حمله اى كه چندین لايه ی پشته پروتکل مقصد را به طور همزمان نشان می رود. مانند شیوه تقویت DNS ( كه لایه های ٣ و ٤ را هدف قرار می گیرد ) همراه با شیوه سيل HTTP ( كه لايه ٧ را هدف قرار می گیرد ) مثالى از حملات D چندين جهته است.

کاهش دادن یک حمله D چند جهته ، گستره اى از سیاستهایى به منظور رویارویی با مسیرهای مختلف را طلب می‌کند.

معمولا هر چه حمله پیچیده‌تر ، احتمال عدم امکان تفکيك ترافیک عادی از ترافیک مربوط به حمله بیشتر – به هدف مهاجم ، هرچه بیشتر كور کردن است . یعنی عملیات کاستن از اثرا حمله را تا آنجا که می‌شود ،ناکارآمد کند. عملیات کاستن از اثرات حمله، شامل حذف کردن يا محدودیت گذاشتن برای ترافیک شبکه است ، بى آنکه مابين ترافیک خوب و بد فرقى  گذاشته شود و آن حمله می تواند خود را به گونه‌ای تغییر داده يا تطبيق كند تا بتواند یک اقدام متقابل را دور بزند.

به منظور غلبه بر یک اقدام جهت ایجاد اختلال پیچیده ، یک راه حل لایه گذاری شده ، بهترین سود را خواهد داشت.

 مسیریابی سوراخ سیاه :

يك راه حل در دسترس برای تمام سرپرستان شبکه به صورت مجازی است.مسیرِ سوراخِ سیاه بوده که ایجاد یک قيف جهت هدایت ترافیک شبکه به داخل آن است . در ساده‌ترین شکل آن ، وقتی که فیلتر سوراخ سیاه بدون ضوابط و معیارهای خاص پياده سازی و اجرا می‌شود ،هر جفت ترافیک های خوب و بد خواهانه ى شبكه، به سمت مسیری پوچ یا همان سوراخ سیاه هدایت شده و در نهایت از شبکه حذف می شوند. اگر یک دارایی يا مال در اینترنت ( مثلا يك سرور ارزشمند ) در حال حاضر مورد حمله D قرار گرفته، ISP یا همان شرکت عرضه خدمات اینترنتی آن سرور ، مى بايست به عنوان يك تاكتيك دفاعى ، تمام ترافیک آن سایت را به سمت سوراخ سیاه سوق دهد.

سنجش محدودیت ها :

محدود کردن تعداد درخواست هایى كه یک سرور (سرویس دهنده) در خلال برخى چارچوب هاى زمانی خواهد پذیرفت نیز راهی جهت کاستن از حملات نوع (انکار خدمات) است.در حالی که استفاده از همین تکنیک سنجش محدودیت‌ها ، در کاهش اثر “خراش دهنده های اینترنت” در سرقت محتويات و همچنین کاستن از حملات نوع “ورود زورکی بی رحمانه به سیستم ها” (brute force login ottempts) مفید است اما به تنهایی برای رویارویی با حملات پیچیده D ، ناکافی و غیر موثر است. با این حال این روش سنجش محدودیت‌ها ، اجزائى مفید در سیاست کاستن از اثرات D محسوب می شود.

دیواره آتش در برنامه های کاربردی تحت اینترنت :

(WAF)ابزاری جهت یاری رسانی در جهت کاستن از اثرات حمله ی D لایه ۷ است. با قرار دادن یک WAF مابين يك سرور اصلى و اينترنت ، WAF ممكن است به عنوان یک نماینده معكوس (reverse proxy) عمل کرده و از سرورِ مورد هدف قرار گرفته، در برابر برخی از ترافیک های بدخواهانه حفاظت کند.

با فیلتر کردن درخواست ها بر اساس دنباله ای از قوانین كه توسط ابزارهای شناسایی حملات D استفاده می‌شوند، جلوى حملات لایه ۷ می‌تواند گرفته شود.یک چیز بسیار ارزشمند يك WAF تاثیر گذار،توانایی راه اندازی سریع قوانین رایج و مرسوم در واکنش به یک حمله است.

قالب بندی توزیع شبکه(Anycast Network Diffusion) :

این فناوریِ کاستن از اثرات حمله، از یك قالب شبکه جهت پراکنده کردن ترافیک يك حمله در شبکه اى مشتمل بر چندین سرویس دهنده استفاده می کند و نهایتاً به نقطه‌ای می‌رسد که كل ترافیک ، ت وسط شبکه جذب می‌شود. مانند کانال کشی کردن یک رودخانه خروشان به چندین کانال جداگانه کوچکتر.این روش ، تاثير ترافیک هجومی انتشار یافته را به نقطه اى می رساند كه قابل مدیریت و مهار باشد.

قابلیت اعتماد به قالب بندی شبکه ، جهت کاستن از اثر حمله D وابسته به عواملی همچون بزرگى حمله و اندازه و تاثیرگذاری آن شبكه دارد. بخش مهمی از كاستن حمله D كه توسط cloud flore پياده سازی و اجراشده ، استفاده از قالب بندی توزیع شبکه است.cloud flore دارای یک شبکه با سرعت 15tbps بوده که چندین برابر بزرگتر از عظيم ترین حمله D ثبت شده است.

اگر در حال حاضر تحت یک حمله قرار گرفته اید ، مراحلی جهت خروج از این فشار وجود دارد که می توانید از آنها استفاده کنید. اگر از قبل در cloud flore هستید، می‌توانید این مراحل را برای کاستن از حمله درپیش بگیرید. نوعى از حفاظت در برابر تهاجم D كه ما آن را در cloud flore اجرا و عملیاتی کرده ایم ، خاصیت چند وجهی است كه برای کاستن از حملات چندجانبه ى احتمالى از آن استفاده می شود.

درباره نویسنده

حمیدرضا وطنی

حمیدرضا وطنی

درج دیدگاه