DDOS Attack چیست؟

حمله سایبری DDOS چیست؟

امروزه ، حملات D به یک نگرانی اصلی در عرصه امنیت  اینترنت بدل شده است.

جزئیات زیر را بررسی کنید تا به عملکرد آن پی برده و دریابید که چگونه می توان این حملات را متوقف نمود.

یک حمله سایبری   (Distributed Denial Of Service) , (DDOS) :

یک اقدام بدخواهانه است جهت ایجاد اختلال در ترافیک عادی یک سرور.سرویس یا ارتباطات شبکه ای است که در واقع با غوطه ور کردن مقصد همراه با تمام زیرساخت‌ های پیرامونش با سیل عظیمی از ترافیک اینترنتی صورت می گیرد.

حملات D با استفاده از چندین سیستم کامپیوتری در معرض خطر به عنوان منابع حمله ی ایجاد موج ترافیک ، کارش را شروع میکند.

ماشین های مورد سوء استفاده قرار گرفته شده می توانند شامل رایانه ها و سایر منابع شبکه شده مانند وسایل و دستگاه های تشکیل دهنده شبکه گسترده ای از اشیا و … باشند.(IOT DEVICE).

از بالا که نگاه کنیم یک حمله D شبیه به یک جریان از خودروها است که دارد وارد یک  بزرگراه می‌شود که عبور و مرور عادی به مقاصد را بند می آورد.

حمله سایبری DDOS چگونه عمل می کند؟

این حمله به مهاجم جهت بدست گرفتن کنترل شبکه ای از ماشین های تحت شبکه نیاز دارد.

رایانه ها و … .

رایانه ها و سایر ماشین ها (نظیر وسایل IOT) توسط بدافزار آلوده شده،و هر یک به bot یا زامبی تبدیل می شوند. سپس مهاجم،کنترل راهِ دور بر روی گروهی از bot ها که botnet نامیده می‌شوند را خواهد داشت.

(Robot+Network=botnet)

botnet از قبل ساخته شده است ، مهاجم قادر است با ارسال دستورالعمل های به روز شده به هر bot از طریق کنترل راهِ دور ، ماشین ها را در دست بگیرد . وقتی ip قربانی ، توسط botnet هدف گرفته می شود،هر bot با ارسال درخواست هایی به مقصد پاسخ خواهد گرفت. همه bot های botnet شروع به فرستادن درخواست به مقصد میکنند و این کار به طور بالقوه سبب لبریز شدن ظرفیت شبکه یاسرور مقصد شده و باعث تبدیل ترافیک عادی به وضعیت انکار خدمات (عدم سرویس دهی ) میشود.

از آنجایی که هر bot یک وسیله مشروع و قانونی استفاده کننده از اینترنت می باشد ، لذا جداسازی ترافیک عادی شبکه از ترافیک حمله ، می تواند کار سخت و پر مشقتی باشد.

 انواع متداول حملات DDOS کدامند ؟

جهت های متفاوت حملات D ، اجزای مختلفی از ارتباطات شبکه را هدف قرار می دهند. به منظور فهمیدن چگونگی عملکرد حملات مختلف D ابتدا باید بدانیم یک ارتباط شبکه ای چگونه ایجاد میشود.یک ارتباط شبکه ای در اینترنت، از اجزا یا لایه های بسیار متفاوتی  تشکیل شده است.مانند ساخت یک خانه از روی زمین مسطح.هر مرحله در مدل ، هدف متفاوتی دارد. مدل OSI  نمایش داده شده در زیر، چارچوبی مفهومی جهت توصیف ارتباطات  در ٧ لایه مختلف شبکه است.

در حالی که تقریبا تمامی حملات D ، یک شبکه یا دستگاه مقصد را غوطه ور در ترافیک می کنند؛  این گونه حملات به سه دسته تقسیم می شوند. یک مهاجم ممکن است از      روش های متفاوتی استفاده کرده، یا از روشهای حملات دایره ای که بر پایه اندازه گیری های شمارشی توسط مقصد گرفته می‌شوند، بهره گیرد.

حملات لایه Application:

هدف این گونه حملات :

بعضی اوقات به آن، حمله D لایه ی ٧ نیز می‌گویند.هدف این نوع حملات،خسته کردن و نهایتا از کار انداختن منابع سیستم مقصد (قربانی) است.قصد اینطور حملات،لایه ای را مورد  هجوم قرار می‌دهند که در آن صفحات اینترنتی در سرور ایجاد شده و در پاسخ به درخواست های HTTP تحویل داده میشوند. یک درخواست ساده HTTP، برای اجرا شدن  در سطح  client    بسیار ساده است.اما می‌تواند در عین حال برای سرور مقصدبسیار پیچیده باشد،  زیرا ممکن است لازم باشد که  سرور بارها چندین فایل را واکشی کرده و پرس و جوهای بسیاری را ازبانک اطلاعاتی اجرا کند تا بتواند صفحات وب را بسازد.دفاع در برابر حملات سایبری لایه ٧ سخت و دشوار است. زیرا اینطور ترافیک را به سختی می‌توان به عنوان یک بدخواه شناخت.

HTTP flood یا سیل درخواست HTTP:

این هجوم مانند آن است که درون یک مرورگر اینترنت، بارها دکمه refresh را فشرده و همزمان این کار را از روی رایانه های زیادی انجام دهید. تعداد بسیار زیادی از درخواست‌های  HTTP مانند یک سیل ، سرور را در برگرفته و به  *عدم سرویس دهی* منجر می شوند.

این سبک از هجوم، از ساده تا پیچیده طبقه‌بندی می‌شوند. پیاده سازی ساده آن به یک آدرس web یا (URL) با محدوده یکسانی از ip های مهاجم، اشاره گر ها و نماینده کاربران  دسترسی دارد.نگارش های پیچیده میتوانند از تعداد بسیار زیادی ip های مهاجم استفاده کرده و URL های تصادفی را با استفاده از اشاره گرها و نماینده کاربران اتفاقی ، هدف قراردهند.

حملات پروتوکلی :

هدف از این حمله :

حملات پروتوکلی که تحت عنوان ” حملات وضعیت خستگی ” نیز از آن یاد میشود از طریق مصرفِ تمامِ ظرفیتِ جدولِ حالتِ در دسترسِ سرور های میزبان وب یا منابع متوسط و میانی همانند دیواره های آتش و تقسیم کننده های وظایف شبکه (Load Balancers) باعث اختلال در خدمات رسانی میشوند.حملات پروتوکلی از ضعف های موجود در لایه های ۳ و ۴ پشته پروتوکل برای اینکه هدفش را غیر قابل استفاده کند ، بهره میبرد.

مثالی از حملات پروتوکلی:

تقویت DNS :

تقویت DNS  همانند آن است که اگر مثلا کسی به یک رستوران زنگ بزند و بگوید : ” من از هر چیزی یک عدد میخواهم ، لطفا بعدا به من زنگ زده و کل سفارشم را برایم بگویید. ” در حالیکه شماره تلفنی که آن شخص به رستوران اعلام کرده ، شماره سیستم  مقصد است. با کمی تلاش پاسخ طولانی تولید میشود.

با ایجاد یک درخواست به یک DNS سرور باز با ip تقلبی (ip آدرس واقعی سیستم مقصد).سپس ip سیستم مقصد ، یک پاسخ از جانب سرور دریافت میکند.چیدمان ساختار درخواست از سوی مهاجم به گونه ای است که DNS سرور با مقادیر بزرگی از داده ها یه سیستم مقصد پاسخ میدهد. بنابراین مقصد ، حالت تقویت شده ای از پرس و جوی آغازین مهاجم را دریافت میکند.

روند کاستن از یک حمله DDOS چیست؟

اهمیت کلیدی در کاستن از یک حمله D ، فرق گذاشتن میان ترافیک عادی و حمله است. مثلا اگر وب سایت یک شرکت ، تحت هجوم مشتریان مشتاقِ یک محصول آن قرار بگیرد، قطع کردن تمام آن ترافیک ، کار اشتباهی است. اما اگر همان شرکت ، ناگهان موجی از ترافیک از سوی بدخواهان شناخته شده داشته باشد ، تلاش ها برای کاهش آن حمله ، احتمالا ضروری است و دشواری کار آن جا است که باید مشتریان واقعی از ترافیک تهاجم تفکیک شوند. در اینترنت پیشرفته،ترافیک D به اشکال مختلف ظاهر می‌شود.این ترافیک شبکه می‌تواند متنوع بوده و از حملات (با ip) غير تقلبى از یک منشا مشخص تا حملات پیچیده چندجانبه ى تطبيق پذیر دسته بندیگردد.يك حمله D چند جانبه، از مسیرهای ارتباطی چندگانه هجومی به منظور غرق کردن سیستم مقصد به طرق مختلف استفاده می‌کند. یعنی به عبارتی تلاش‌های کاستن از حملات به طور بالقوه در هر یک از مسیرها ؛ حمله اى كه چندین لايه ی پشته پروتکل مقصد را به طور همزمان نشان می رود. مانند شیوه تقویت DNS ( كه لایه های ٣ و ٤ را هدف قرار می گیرد ) همراه با شیوه سيل HTTP ( كه لايه ٧ را هدف قرار می گیرد ) مثالى از حملات D چندين جهته است.