حمله DDoS یا distributed denial of service یک حمله سایبری است که در آن مهاجم یک سرور را با ترافیک اینترنتی پر میکند تا از دسترسی کاربران به خدمات و سایتهای مرتبط جلوگیری کند. در این مقاله قصد داریم به بررسی این مفهوم بپردازیم. با فکت کوینز همراه باشید.
انگیزههای انجام حمله DDoS بسیار متفاوت است. افراد و سازمانهایی که مشتاق انجام این نوع حملات سایبری هستند نیز میتوانند از تنوع گستردهای برخوردار باشند. برخی از حملات توسط افراد ناراضی و هکرهایی انجام میشود که میخواهند سرورهای یک شرکت را صرفاً برای اعلام یک بیانیه اعتراضی از بین ببرند. این کار با سوء استفاده از ضعفهای سایبری انجام میشود.
انگیزههای پشت یک حمله DDoS چه میتواند باشد؟
اکثر حملات دیداس (DDoS) انگیزههای مالی دارند. مثلا یک شرکت آنلاین کسب و کار، کسب و کار آنلاین دیگری را مختل یا تعطیل میکند تا در این مدت بتواند از اختلال به وجود آمده سود ببرد. برخی دیگر از این حملات شامل اخاذی میشوند که در آن عاملان DDoS به یک شرکت حمله میکنند و گروگانافزار یا باجافزار را روی سرورهای آنها نصب میکنند. سپس آنها را مجبور میکنند تا مبلغ زیادی را برای جبران خسارت پرداخت کنند.
حملات DDoS در حال افزایش است و حتی برخی از بزرگترین شرکتهای جهانی نیز از از این حملات مصون نیستند. بزرگترین حمله DDoS تاریخ، در فوریه 2020 به خدمات وب آمازون (AWS) اعمال شد. دو سال قبل از آن، حملهای به GitHub اتفاق افتاد که این دیداس جدید توانست از آن پیشی بگیرد. پیامدهای DDoS شامل کاهش ترافیک قانونی، از دست دادن کسب و کار و آسیب به شهرت یک مجموعه یا یک شرکت است.
همانطور که اینترنت اشیا (IoT) همچنان در حال گسترش است، تعداد کارمندان از راه دور که از خانه کار میکنند و تعداد دستگاههای متصل به شبکه نیز افزایش مییابد. شبکهای که یک دستگاه به آن متصل است ممکن است در برابر حمله آسیب پذیر باشد. امنیت هر دستگاه درگیر در اینترنت اشیا نیز ممکن است الزاما تایید نشود. به این ترتیب، اهمیت حفاظت از سیستمها و تلاش برای کاهش وقوع حمله دیداس بسیار مهم است.
حملات DDoS چگونه کار میکنند؟
هدف از حمله DDoS این است که دستگاهها، سرویسها و شبکه هدف مورد نظر خود را با ترافیک اینترنتی جعلی تحت الشعاع قرار دهد. با این کار مهاجم سرورها را برای کاربران قانونی غیرقابل دسترس و بیفایده میکند.
حمله DoS (داس) در مقابل حمله DDoS (دیداس)
حمله DDoS زیرمجموعهای از حملات DoS است. در یک حمله داس، مهاجم از یک اتصال اینترنتی استفاده میکند تا هدف را با درخواستهای جعلی به رگبار ببندد یا سعی کند از یک آسیبپذیری سایبری سوء استفاده کند. DDoS در مقیاس بزرگتری اتفاق میافتد. در این نوع حمله مهاجم از هزاران (حتی میلیونها) دستگاه متصل برای تحقق هدف خود استفاده میکند. حجم زیاد دستگاههای مورد استفاده، مبارزه با DDoS را بسیار سختتر میکند.
بات نتها (Botnets)
بات نتها (Botnets) راه اصلی انجام یک حمله دیداس هستند. مهاجم رایانهها یا دستگاههای دیگر را هک میکند و یک کد مخرب یا بدافزاری به نام ربات را روی آن نصب میکند. کامپیوترهای آلوده با هم شبکهای به نام بات نت را تشکیل میدهند. سپس مهاجم به بات نت دستور میدهد تا سرورها و دستگاههای قربانی را با درخواستهای اتصال بیشتر از توان آنها تحت کنترل خود درآورد.
علائم وقوع یک حمله DDOS و نحوه شناسایی آن
یکی از بزرگترین مشکلات شناسایی یک حمله دیداس این است که علائم آن غیرعادی نیستند. بسیاری از علائم مشابه چیزی است که کاربران حوزههای مختلف فناوری هر روز با آن مواجه میشوند. از جمله این علائم میتوان به سرعت پایین آپلود یا دانلود، در دسترس نبودن وبسایت برای مشاهده، قطع شدن اتصال به اینترنت، رسانه و محتوای غیرمعمول یا مقدار بیش از حد هرزنامه (spam) اشاره کرد.
علاوه بر این، یک حمله DDoS ممکن است از چند ساعت تا چند ماه طول بکشد و درجه حمله میتواند متفاوت باشد.
انواع حملات DDoS
حملات مختلف بخشهای مختلف یک شبکه را هدف قرار می دهند. این حملات بر اساس لایههای اتصال شبکهای که هدف قرار میدهند طبقه بندی میشوند. یک اتصال در اینترنت از هفت لایه مختلف تشکیل شده است. این مدل توسط Open Systems Interconnection (OSI) ایجاد شد که سازمان بین المللی استانداردسازی آن را تعریف کرده است. این مدل به سیستمهای مختلف کامپیوتری اجازه میدهد تا بتوانند با یکدیگر به تعامل بپردازند.
Volume-Based/ Volumetric Attack یا حمله حجمی
هدف این نوع حمله کنترل تمام پهنای باند موجود بین قربانی و اینترنت بزرگتر است. تقویت سیستم نام دامنه (DNS) نمونهای از حملات مبتنی بر حجم است. در این سناریو، مهاجم آدرس هدف را جعل میکند. سپس یک درخواست جستجوی نام DNS به سرور با آدرس جعلی ارسال میکند.
هنگامی که سرور DNS پاسخ درخواست DNS را ارسال میکند، به جای آن به هدف ارسال میشود و در نتیجه هدف درخواست تشدید شدهی مهاجم را دریافت میکند.
هنگامی که سرور DNS پاسخ درخواست DNS را ارسال میکند، به جای آن به هدف ارسال میشود و در نتیجه هدف درخواست تشدید شدهی مهاجم را دریافت میکند.
Protocol Attack یا حمله پروتکلی
حمله پروتکلی تمام ظرفیت موجود سرورهای وب یا منابع دیگر مانند فایروالها را درگیر میکند. این حملات نقاط ضعف لایههای 3 و 4 پشته (stack) پروتکل OSI را آشکار میکنند تا هدف را غیرقابل دسترس نشان دهند.
سیل SYN نمونهای از حمله پروتکلی است که در آن مهاجم تعداد زیادی درخواست پروتکل کنترل انتقال (TCP) را با آدرس های پروتکل اینترنت منبع (IP) جعلی به هدف ارسال میکند. سرورهای هدف تلاش میکنند به هر درخواست اتصال پاسخ دهند. اما این اتفاق هرگز اتفاق نمیافتد و هدف را در این فرآیند تحت تأثیر قرار میدهد.
Application-Layer Attack یا حمله لایههای کاربردی
این حملات همچنین با هدف از بین بردن یا نابود کردن منابع هدف انجام میشوند. اما به سختی میتوان آنها را به عنوان مخرب معرفی کرد. این حملات اغلب به عنوان یک حمله DDoS لایه 7 نامیده میشود (به لایه 7 مدل OSI اشاره دارد). یک حمله لایههای کاربردی لایهای را هدف قرار میدهد که در آن صفحات وب در پاسخ به درخواستهای پروتکل انتقال ابرمتن (HTTP) تولید میشوند.
یک سرور، کوئریهای (query) پایگاه داده را برای ایجاد یک صفحه وب اجرا میکند. در این شکل از حمله، مهاجم سرور قربانی را مجبور میکند تا بیش از حد معمول اطلاعات را مدیریت کند. سیل HTTP نوعی حمله لایه کاربردی است. این حمله شبیه به روز کردن مداوم یک مرورگر وب در رایانههای مختلف به طور همزمان است. به این ترتیب، تعداد بیش از حد درخواستهای HTTP سرور را تحت الشعاع قرار میدهد و منجر به DDoS میشود.
پیشگیری از حمله DDoS
حتی اگر میدانید حمله دیداس چیست، اجتناب از این حملات بسیار دشوار است. زیرا شناسایی آن یک چالش بزرگ است. این مسئله به این دلیل است که نشانههای حمله ممکن است با مسائل مربوط به خدمات معمولی، مانند صفحات وب با بارگذاری آهسته اطلاعات تفاوت چندانی نداشته باشد. همچنین سطح پیچیدگی تکنیکهای دیداس پیوسته در حال گسترش است.
علاوه بر این، بسیاری از شرکتها از افزایش ترافیک اینترنتی استقبال میکنند. بهویژه اگر شرکت اخیراً محصولات یا خدمات جدیدی را راهاندازی کرده باشد یا اخبار مربوط به بازار را اعلام کند. با این تفاسیر، پیشگیری همیشه امکان پذیر نیست. بنابراین بهتر است یک سازمان برای زمانی که این حملات رخ میدهد، واکنشی را برنامه ریزی کند.
کاهش اثر DDoS
هنگامی که یک حمله مشکوک در حال انجام است، یک سازمان چندین گزینه برای کاهش اثرات آن دارد.
ارزیابی ریسک (Risk Assessment)
سازمانها باید به طور مرتب ارزیابی و ممیزی ریسک را روی دستگاهها، سرورها و شبکههای خود انجام دهند. اجتناب کامل از دیداس غیرممکن است. با این حال آگاهی کامل از نقاط قوت و آسیبپذیری داراییهای سختافزاری و نرمافزاری سازمان بسیار به کنترل ریسک کمک میکند. شناخت آسیبپذیرترین بخشهای شبکه یک سازمان برای درک اینکه کدام استراتژی باید برای کاهش آسیب و اختلالی که یک حمله DDoS میتواند ایجاد کند، اجرا شود، کلیدی است.
تمایز ترافیک (Traffic Differentiation)
اگر سازمانی معتقد است که به تازگی توسط یک حمله DDoS قربانی شده است، یکی از اولین کارهایی که باید انجام دهد تعیین کیفیت یا منبع ترافیک غیرعادی است. البته، یک سازمان نمیتواند ترافیک را به طور کلی قطع کند. زیرا این امر باعث میشود که صورت مسئله پاک شود و همه چیز از بین برود.
به عنوان یک استراتژی کاهش دهنده ریسک، میتوانید از یک شبکه Anycast برای پراکندگی ترافیک حمله در یک شبکه از سرورهای توزیع شده استفاده کنید. این کار به گونه ای انجام میشود که ترافیک جذب شبکه و قابل مدیریتتر شود.
مسیریابی سیاهچاله (Black Hole Routing)
شکل دیگری از دفاع در برابر حمله دیداس، مسیریابی سیاه چاله است. در این روش مدیر شبکه یا ارائه دهنده خدمات اینترنتی یک سازمان، یک مسیر سیاه چاله ایجاد میکند و ترافیک را به داخل آن سیاه چاله سوق میدهد. با این استراتژی، تمام ترافیک، چه خوب و چه بد، به یک مسیر پوچ هدایت میشوند و اساساً از شبکه حذف میشوند. عواقب این مسئله این میتواند بسیار شدید باشد. زیرا ترافیک قانونی نیز متوقف میشود و میتواند منجر به از دست دادن کسب و کار شود.
محدود کردن نرخ (Rate Limiting)
راه دیگر برای کاهش حملات DDoS محدود کردن تعداد درخواستهایی است که سرور میتواند در یک بازه زمانی خاص بپذیرد. این مسئله به تنهایی و به طور کلی برای مبارزه با یک حمله پیچیدهتر کافی نیست. اما ممکن است به عنوان بخشی از یک رویکرد چند جانبه عمل کند.
فایروالها
برای کاهش تأثیر یک حمله لایهای کاربردی یا لایه 7، برخی از سازمانها، فایروال برنامه وب (WAF) را انتخاب میکنند. WAF که مخفف Web Application Firewall است، وسیلهای است که بین اینترنت و سرورهای یک شرکت قرار میگیرد و به عنوان یک پروکسی معکوس عمل میکند. مانند تمام فایروالها، یک سازمان میتواند مجموعهای از قوانین را ایجاد کند که درخواستها را فیلتر کند. آنها میتوانند با یک مجموعه از قوانین شروع کنند و سپس آنها را بر اساس آنچه که به عنوان الگوهای فعالیت مشکوک انجام شده توسط دیداس مشاهده میکنند، اصلاح کنند.
راه حل محافظت از شبکه در مقابل حمله DDoS
یک راه حل حفاظتی کاملاً قوی در مقابل دیداس شامل عناصری است که به سازمان هم در دفاع و هم در نظارت کمک میکند. همانطور که پیچیدگی حملات به صورت پیوسته در حال تکامل است، شرکتها نیز به راه حلی نیاز دارند که بتواند به آنها در حملات شناخته شده و حملات کمتر شناخته شده کمک کند. یک راه حل حفاظتی در مقابل حمله DDoS باید طیف وسیعی از ابزارها را به کار گیرد که بتواند در برابر هر نوع حمله دیداس دفاع کند. این راه حل باید صدها هزار پارامتر را به طور همزمان نظارت کند.
Fortinet چگونه میتواند به حفاظت در مقابل حمله دیداس کمک کند؟
با FortiDDoS، به لطف توانایی آن در بازرسی ترافیک و تجزیه و تحلیل رفتار آن برای جلوگیری از اجرای یک حمله موفقیت آمیز توسط مجرمان سایبری، از محافظت جامع در برابر حملات DDoS برخوردار میشوید. FortiDDoS دارای قابلیت یادگیری ماشین است که دادهها را برای تشخیص رفتار مشکوک بررسی میکند. همچنین FortiDDoS ترافیک DNS شما را بررسی میکند تا از شما در برابر انواع تهدیدها از جمله حمله حجمی و لایه کاربردی و همچنین ناهنجاریهای بالقوه مضر محافظت کند.
FortiDDoS همچنین میتواند به طور خودکار حملات را کاهش دهد و سطح آسیب پذیری شما را به طور مداوم تجزیه و تحلیل کند. علاوه بر این، با FortiDDoS، میتوانید ترافیک را در سه لایه مختلف بررسی کنید: 3، 4، و 7. به دلیل اینکه FortiDDoS با Fortinet Security Fabric ادغام میشود، مدیران این توانایی را دارند که سیستم مدیریت ریسک و عملکرد شبکه را در هر دو قسمت حفظ کنند.
سخن پایانی ؛ حمله DDoS
حمله DDoS یا دیداس، نوعی حمله سایبری است که امنیت یک شبکه را با ایجاد ترافیک غیرواقعی مختل میکند. این حملات میتوانند انگیزههای تجاری یا غیر تجاری داشته باشند. در این مقاله به بررسی انواع این حملات و کارکرد آنها پرداختیم. همچنین بررسی کردیم که چطور میتوان از این حملات جلوگیری کرد و ریسک درگیر شدن با آنها را کاهش داد.
نظر شما در مورد این انواع حملات چیست؟ به نظر شما چه راهکارهای دیگری برای مقابله با حملات دیداس وجود دارد؟ دیدگاهتان را با ما در میان بگذارید.
سوالات متداول
حمله دیداس یک نوع حمله سایبری است که در آن مهاجم یک سرور را با ترافیک اینترنت پر میکند تا از دسترسی کاربران به خدمات و سایتهای آنلاین متصل جلوگیری کند.
هدف حمله دیداس این است که دستگاهها، سرویسها و شبکه هدف مورد نظر خود را با ترافیک اینترنتی جعلی تحت الشعاع قرار دهد و آنها را برای کاربران قانونی غیرقابل دسترس یا بیفایده کند.
حملات مختلف بخش های مختلف یک شبکه را هدف قرار می دهند و بر اساس لایههای اتصال شبکهای که هدف قرار میدهند، طبقه بندی میشوند. این سه نوع حمله عبارتند از:
حمله حجمی
حملات پروتکل کاربردی
حمله لایههای کاربردی