حملات ddos چیست و چگونه با آن مقابله کنیم؟
حملات ddos امروزه مهمترین دغدغه امنیت اینترنت است. جزئیات و نحوه عملکرد حملات DDoS و روش توقف آنها را در این مطلب بررسی خواهیم کرد.
آنچه در این مقاله می خوانید:
حملات ddos چیست و چگونه با آن مقابله کنیم؟حملات ddos چگونه کار می کند؟ نحوه تشخیص حملات ddos چگونه است؟انواع متداول حملات ddos کدامند؟
حمله توزیع شده خدمات، distributed denial-of-service attack یا (DDoS)، فعالیتی مخرب برای ایجاد اختلال در تردد عادی یک سرور، سرویس یا شبکه هدف، با غلبه بر هدف یا زیرساخت های اطراف آن، به واسطه ایجاد یک سیل ترافیک اینترنتی است.
حملات ddos با استفاده از چندین سیستم کامپیوتری در معرض خطر به عنوان منابع ترافیکی حمله، عمل می کنند. سیستم های مورد بهره برداری می توانند شامل کامپیوترها و سایر منابع شبکه مانند دستگاه های اینترنت اشیا باشند. این موارد بسیار آسیب پذیر می شوند و بنابراین، پرداخت به این نوع حملات بسیار اهمیت دارد.
در سطح بالا، حملات ddos، مانند یک ترافیک غیر منتظره است که بزرگراه را مسدود کرده و مانع از رسیدن ترافیک منظم به مقصد می شود.
حملات ddos چگونه کار می کند؟
حملات ddos با شبکه ای از ماشین های متصل به اینترنت انجام می شود.
این شبکه ها شامل رایانه ها و سایر دستگاه ها (مانند دستگاه های اینترنت اشیا) هستند که به بدافزار آلوده شده اند و به آنها اجازه می دهند از راه دور توسط مهاجم، کنترل شوند. به این دستگاه های جداگانه “ربات” یا “بات” (یا زامبی) و گروهی از ربات ها بات- نت گفته می شود.
پس از ایجاد بات- نت یا botnet، مهاجم می تواند با ارسال دستورالعمل های راه دور به هر ربات، حملات ddos را هدایت کند.
هنگامی که سرور یا شبکه قربانی توسط بات- نت مورد هدف قرار می گیرد، هر ربات، درخواست هایی را به آدرس IP هدف ارسال می کند و به طور بالقوه باعث می شود سرور یا شبکه، تحت فشار قرار گیرد و در نتیجه ،خدمات از ترافیک عادی منع می شود. از آنجا که هر ربات، یک دستگاه اینترنتی مجاز است، تفکیک ترافیک حملات ddos از ترافیک معمولی، دشوار است.
نحوه تشخیص حملات ddos چگونه است؟
واضح ترین علامت حملات ddos این است که سایت یا سرویس، ناگهان کُند می شود یا از دسترس خارج می شود؛ اما از آنجا که تعدادی از دلایل – مانند افزایش قابل توجه ترافیک – می توانند مشکلات عملکردی مشابهی ایجاد کنند، معمولاً تحقیقات بیشتری برای شناسایی این نشانه ها مورد نیاز است.
ابزارهای تجزیه و تحلیل ترافیک می توانند به شما در تشخیص برخی از نشانه های بارز حملات ddos کمک کنند:
حجم مشکوک ترافیک، حاصل از یک آدرس IP یا محدوده IP
سیل ترافیکی از کاربرانی که یک نمایه رفتاری واحد دارند، مانند نوع دستگاه، موقعیت جغرافیایی یا نسخه مرورگر وب
افزایش ناگهانی درخواست ها در یک صفحه یا نقطه نهایی
الگوهای ترافیک عجیب، مانند افزایش پیک در ساعات روز یا الگوهایی که غیر طبیعی به نظر می رسند (به عنوان مثال افزایش ترافیک ۱۰ دقیقه ای)
علائم دیگر و مشخص تری از حملات ddos وجود دارد که بسته به نوع حمله می تواند متفاوت باشد.
انواع متداول حملات ddos کدامند؟
انواع مختلف حملات ddos، اجزای مختلف اتصال شبکه را هدف قرار می دهند. برای درک نحوه عملکرد حملات مختلف DDoS، باید نحوه اتصال شبکه را بدانید. اتصال شبکه در اینترنت از اجزای یا لایه های مختلف تشکیل شده است. مانند ساختن خانه از ابتدا، هر لایه در مدل هدف متفاوتی دارد.
مدل OSI، که در زیر نشان داده شده است، یک چارچوب مفهومی است که برای توصیف اتصال شبکه در ۷ لایه مجزا استفاده می شود.
در حالی که تقریباً تمام حملات ddos شامل اشباع شدن یک دستگاه یا شبکه هدف با ترافیک است؛ حملات را می توان به سه دسته تقسیم کرد. مهاجم ممکن است از یک یا چند بردار مختلف حمله کند؛ یا از بردارهای چرخه ای در پاسخ به اقدامات متقابل توسط هدف، برای حمله استفاده کند.
حملات لایه کاربردی (Application layer) = لایه ۷
هدف حمله:
گاهی اوقات به عنوان یک حمله DDoS، لایه ۷ (در اشاره به لایه ۷ از مدل OSI) نامیده می شود؛ هدف از این حملات ddos ، تخلیه منابع هدف برای ایجاد یک سرویس منسوخ شده است.
حملات ddos، لایه ای را که صفحات وب روی سرورها عمل می کنند و در پاسخ به درخواست های HTTP تحویل داده می شوند، هدف قرار می دهند. اجرای یک درخواست HTTP از نظر محاسباتی، در سمت سرویس گیرنده، ارزان است، اما پاسخ دادن به سرور مورد نظر می تواند گران باشد، زیرا سرور، اغلب چندین فایل را بارگذاری می کند و درخواست های پایگاه داده را برای ایجاد یک صفحه وب به اجرا در می آورد.
دفاع از حملات لایه ۷ دشوار است، زیرا تشخیص ترافیک مخرب از ترافیک قانونی، بسیار سخت است.
مثال حمله لایه ۷:
سیل HTTP
این حملات ddos شبیه ایجاد فشار مستمر و مداوم در مرورگر وب بر روی بسیاری از رایانه های مختلف است – تعداد زیادی درخواست HTTP به سرور سرازیر می شود و منجر به اختلال در سرویس می شود. این نوع حملات از ساده تا پیچیده، متغیر است.
پیاده سازی ساده تر برای یک سیستم ممکن است به یک آدرس اینترنتی با طیف وسیعی از آدرس های IP حمله کننده، ارجاع دهندگان و نمایندگان کاربر، قابلیت دسترسی بدهد. نسخه های پیچیده حملات ddos ممکن است از تعداد زیادی آدرس IP مهاجم استفاده کنند و آدرس های اینترنتی تصادفی را با استفاده از ارجاع دهندگان تصادفی و کاربران، هدف قرار دهند.
حملات پروتکلی
هدف حمله:
حملات پروتکلی، که به عنوان حملات خستگی نیز شناخته می شوند، باعث اختلال در سرویس شوند؛ این حملات ddos، با مصرف بیش از حد منابع سرور ویا منابع تجهیزات شبکه مانند فایروال و بالانس کننده بار، این مشکلات را ایجاد می کنند. حملات پروتکلی با استفاده از ضعف در لایه ۳ و ۴، هدف را غیرقابل دسترسی می کنند.
مثال حمله پروتکلی:
سیل SYN
سیل SYN، مشابه کارگری است که در یک انبار عرضه کالا، درخواست هایی را از مقابل فروشگاه دریافت می کند.
کارگر، درخواستی را دریافت می کند، می رود و بسته را دریافت می کند و منتظر تأیید آن قبل از آوردن بسته به جلوی فروشگاه است. سپس کارگر، تعداد زیادی درخواست بسته دیگر بدون تأیید دریافت می کند تا زمانی که آنها نتوانند بسته های بیشتری را حمل کنند، در این وضعیت نابسامان غرق می شود و درخواست ها بدون پاسخ، شروع می شوند.
این حملات ddos، از دست دادن TCP – دنباله ای از ارتباطات است که دو رایانه متصل شبکه را درگیر می کنند – حملات SYN با ارسال تعداد زیادی بسته TCP، یعنی “درخواست اتصال اولیه”، با آدرس IP منبع جعلی، از سیستم ها سوء استفاده می کند.
ماشین هدف به هر درخواست اتصال پاسخ می دهد و سپس منتظر آخرین مرحله در اتصال است، که هرگز اتفاق نمی افتد و منابع هدف را در این فرآیند خسته می کند.
حملات حجمی
هدف حمله:
این دسته از حملات ddos سعی می کنند با مصرف تمام پهنای باند موجود بین هدف و اینترنت، تراکم ایجاد کنند. حجم زیادی از داده ها با استفاده از نوعی Amplification یا وسیله دیگری برای ایجاد ترافیک عظیم- مانند درخواست از یک بات- نت- به هدف ارسال می شوند.
مثال Amplification:DNS Amplification
DNS Amplification مانند این است که کسی با یک رستوران تماس بگیرد و بگوید “من یک سرویس از همه منوهای موجود شما را می خواهم، لطفاً با من تماس بگیرید و تمام سفارشات من را تکرار کنید”؛ این شرایط، شماره تماس در واقع متعلق به قربانی است. با تلاش بسیار اندک، پاسخ طولانی ایجاد می شود و برای قربانی سیستم حملات ارسال می شود.
با درخواست از یک سرور DNS باز، با آدرس IP جعلی (آدرس IP قربانی)، آدرس IP هدف از طرف سرور، پاسخی دریافت می کند.
روند کاهش حملات ddos چگونه است؟
نگرانی اصلی در کاهش حملات ddos، تمایز بین ترافیک ناشی از منبع حمله ddos و ترافیک معمولی است.
به عنوان مثال، اگر یک محصول در وب سایت یک شرکت، مشتریان زیادی داشته باشد، قطع ترافیک سایت، یک اشتباه بزرگ است. اگر ناگهان ترافیک آن شرکت از سوی مهاجمان شناخته شده افزایش یابد، احتمالاً تلاش برای کاهش حملات ddos ضروری است. مشکل اصلی، تشخیص مشتریان واقعی از ترافیک کاذب ناشی از حمله است.
در دنیای اینترنت مدرن، ترافیک DDoS اشکال مختلفی دارد. ترافیک می تواند طراحی متفاوت داشته باشد؛ از حملات تک منبعی بدون جعل گرفته تا حملات پیچیده و تطبیقی چند برداری.
یک حمله DDoS چند برداری، از چندین مسیر حمله برای غلبه بر یک هدف به روش های مختلف استفاده می کند.
حملات ddos که چندین لایه از سرویس پروتکل را همزمان هدف قرار می دهد، مانند تقویت DNS (لایه های هدف ۳/۴) همراه با سیل HTTP (لایه هدف ۷)، نمونه ای از DDoS چند برداری است. کاهش حملات ddos چند برداری به استراتژی های متنوعی برای مقابله با مسیرهای مختلف نیاز دارد.
به طور کلی، هرچه حمله پیچیده تر باشد، احتمال اینکه ترافیک حمله از ترافیک معمولی جدا شود، دشوارتر است – هدف مهاجم این است که تا آنجا که ممکن است سیگنال ها و ترافیک ها در هم آمیخته شوند و تلاش های مدیران برای مقابله را تا آنجا که ممکن است ناکارآمد کنند.
تلاش های رفع کننده مشکلات حملات ddos که شامل کاهش یا محدودیت بی رویه ترافیک می شود، ممکن است ترافیک خوب را از بین ببرد و حمله نیز ممکن است تعدیل شده و برای دور زدن اقدامات متقابل، تعدیل شود.
مسیریابی سیاهچاله ای برای رفع حملات ddos
یک راه حل تقریباً در دسترس برای همه سرپرستان شبکه، ایجاد یک مسیر سیاهچاله ای و ترافیک قیفی به آن مسیر است. در ساده ترین شکل، هنگامی که فیلترینگ سیاهچاله، بدون معیارها و محدودیت خاصی اجرا می شود، ترافیک قانونی و مخرب شبکه به یک مسیر تهی یا سیاهچاله ای هدایت می شوند و از شبکه حذف می گردند.
اگر یک دارایی اینترنتی در معرض حملات ddos قرار دارد، ارائه دهنده خدمات اینترنت (ISP)، ممکن است تمام ترافیک سایت را به عنوان روش دفاعی، به سیاهچاله ارسال کند. این یک راه حل ایده آل نیست، زیرا به طور مؤثر، هدف مورد نظر مهاجم را مشخص می کند: این باعث می شود شبکه غیرقابل دسترسی باشد!!
محدودیت سرعت برای کاهش حملات ddos
محدود کردن تعداد درخواست هایی که سرور در یک بازه زمانی خاص می پذیرد نیز راهی برای کاهش حملات ddos است.
در حالی که محدود کردن سرعت، در کند کردن صفحات وب، از سرقت محتوا و کاهش تلاش های ورود به سیستم، مفید است، به احتمال زیاد به تنهایی برای مدیریت موثر یک حمله پیچیده DDoS کافی نخواهد بود. با این وجود، محدود کردن سرعت، یک اقدام مفید در یک استراتژی کاهش اثرات حملات ddos است.
برنامه فایروال بر مبنای وب
WAF یا(Web Application Firewall) ابزاری است که می تواند به کاهش حملات ddos لایه ۷ کمک کند. با قرار دادن WAF بین اینترنت و سرور مبدأ، WAF ممکن است به عنوان یک پروکسی معکوس عمل کرده و از سرور هدف در برابر انواع خاصی از ترافیک مخرب محافظت کند.
با فیلتر کردن درخواست ها بر اساس یک سری قوانین مورد استفاده برای شناسایی ابزارهای DDoS، حملات لایه ۷ می توانند لغو شوند. یکی از ارزش های کلیدی WAF، توانایی اجرای سریع قوانین در پاسخ به حملات ddos است.
Anycast network diffusion
این روش کاهش حملات ddos، از یک شبکه Anycast برای پراکندن ترافیک حمله در سراسر شبکه سرورهای توزیع شده استفاده می کند؛ تا جایی که ترافیک، جذب شبکه شود.
این رویکرد مانند هدایت یک رودخانه طغیان کرده به کانال های جداگانه کوچک تر است و تأثیر ترافیک حملات توزیع شده را به حدی می رساند که قابل کنترل است و هرگونه عملکرد مخرب را منتشر می کند.
قابلیت اطمینان شبکه Anycast برای کاهش حمله DDoS بستگی به اندازه حمله و اندازه و کارایی شبکه دارد. بخش مهمی از کاهش حملات DDoS توسط Cloudflare، استفاده از شبکه توزیع شده Anycast است.
Cloudflare دارای یک شبکه ۱۰۰ Tbps است که بزرگ تر از حمله DDoS، ثبت شده است. اگر در حال حاضر تحت حملات ddos قرار دارید، راه حل هایی وجود دارد که می توانید برای رهایی از این فشار و بار انجام دهید. می توانید موارد فنی را با کارشناسان ما مطرح کنید.
برای کسب اطلاعات بیشتر در زمینه سانترال ، ویپ و شبکه با ما همراه باشید…
ttttttttttttttttttttttt
حملات ddos چیست؟
nnnnnnnnnnnnnnnnnnnnnnnn
فروشگاه ISG/بلاگ/حملات ddos چیست؟
حملات ddos چیست؟
امنیت آنلاین از اهمیت بسزایی در دنیای دیجیتال امروزی برخوردار است. یکی از تهدیدات مداومی که سازمانها و افراد با آن روبرو میشوند، حملات توزیع شده سرویس (DDoS) میباشد. در این مقاله، به جزئیات حملات DDoS، درک ماهیت آن، تأثیرات آن و اقدامات جلوگیری از آن خواهیم پرداخت.
درک حملات DDoS:
حملات توزیع شده سرویس یا DDoS یکی از راههای تخریبی و شرورانه در دنیای دیجیتال است. در این نوع حمله، مهاجمان با استفاده از چندین سیستم، اغلب کامپیوترهایی که به طور غیرمجاز دسترسی یافتهاند، تلاش میکنند عملکرد عادی یک شبکه، سرویس یا وبسایت را با یک سیلاب از ترافیک اینترنتی برهم بزنند. این سیستمها با هماهنگی دقیق، حمله را برنامهریزی کرده و اجرا میکنند، ایجاد اختلال در فعالیت معمولی هدف را به همراه دارند.
حملات DDoS هدف اصلی خود را در اشباع کردن بندهای ارتباطی هدف قرار میدهند. به این ترتیب، ترافیک غیرمنظم و بسیار زیادی به سمت هدف ارسال میشود، که باعث میشود منابع آن به سرعت به سطح اشباع برسند. این اشباع باعث افزایش زمان پاسخ سیستم و در نهایت ایجاد قطعی موقت یا دائمی در ارتباط با هدف میشود.
مهاجمان معمولاً از کامپیوترهایی که به صورت گروهی (باتنت) یا ارتباطی با هم (زامبیها) کنترل میشوند، برای افزایش تأثیر حمله استفاده میکنند. این حملات میتوانند به صورت موقتی یا دائمی به سیستمها آسیب برسانند و به همین دلیل، تدابیری برای حفاظت از ساختارهای دیجیتال از اهمیت چندانی برخوردارند.
انواع حملات DDoS:
حملات توزیع شده سرویس یا DDoS در تنوع زیادی از روشها برخوردارند، هرکدام با هدف و اثرگذاری خاص خود. در زیر به بررسی سه نوع اصلی این حملات پرداخته خواهد شد:
حملات حجمی (Volumetric Attacks):
در این نوع حمله، مهاجمان به هدف خود یک حجم بالایی از ترافیک اینترنتی ارسال میکنند، با هدف اشباع کردن بندهای ارتباطی و باعث قطع یا کاهش کارایی هدف میشوند.
روشها:
استفاده از باتنتها و زامبیها برای افزایش تعداد درخواستها.
ارسال پکتهای جعلی به هدف با سرعت بالا.
حملات پروتکلی (Protocol Attacks):
در این نوع حمله، مهاجمان به آسیبزدن به پروتکلهای شبکه میپردازند، باعث کاهش یا قطع ارتباطات هدف میشوند.
روشها:
حمله به آسیبپذیریهای پروتکلهای شبکه مانند SYN/ACK Flood.
اشغال منابع شبکه با ارسال درخواستهای ناقص یا جلوگیری از پاسخ به درخواستها.
حملات لایه برنامهنویسی (Application Layer Attacks):
در این نوع حمله، مهاجمان به اختصاصی کردن برنامهها یا سرویسهای خاص میپردازند، با هدف ایجاد نقاط ضعف در سیستمهای هدف.
روشها:
حمله به نقاط ضعف نرمافزارها یا برنامههای مشخص.
ایجاد ترافیک مضر به سمت برنامههای خاص با هدف افت کارایی آنها.
هر یک از این انواع حملات DDoS میتوانند به صورت جداگانه یا ترکیبی بر روی یک هدف اجرا شوند. درک نوع حمله، کمک میکند تا اقدامات دفاعی مؤثرتری برای حفاظت از سیستمها انجام شود.
اهداف متداول حملات DDoS:
حملات توزیع شده سرویس یا DDoS اهداف متنوعی دارند و مهاجمان با توجه به هدف نهایی خود، انتخاب میکنند که حمله را به کدام بخش از زیرساختهای دیجیتال بیشترین تأثیر را بگذارند. در زیر به برخی از اهداف متداول حملات DDoS پرداخته خواهد شد:
حملات به وبسایتها:
مهاجمان اغلب به اشباع سرورها و ارتباطات شبکهای وبسایتها هدف میگیرند. این باعث افت عملکرد وبسایت، زمان بارگذاری طولانیتر صفحات، یا حتی قطعی موقت یا دائمی میشود.
مؤثریت تأثیر: کاهش قابل توجه در تجربه کاربری و از دست رفتن مخاطبان.
حملات به خدمات آنلاین:
این حملات ممکن است به خدمات آنلاین مانند پلتفرمهای ابری یا سرویسهای ایمیل حمله کنند. این موجب قطع یا کاهش عملکرد خدمات و ایجاد نقص در ارتباطات میشود.
مؤثریت تأثیر: مخاطبان و کاربران از دست داده شده و مزاحمت در ارائه خدمات آنلاین.
حملات زیرساخت شبکه:
این حملات ممکن است به لایههای زیرساخت شبکه مانند سوئیچها و روترها حمله کنند، که باعث اختلال در ارتباطات شبکه میشود.
مؤثریت تأثیر: قطع شدن ارتباطات شبکه، افت کارایی سیستمها و سرویسها.
حملات با هدف زیان مالی:
مهاجمان ممکن است با هدف زیان مالی این حملات را انجام دهند، به طور مثال برای ایجاد افت در فروش آنلاین یا مخدوش کردن عملکرد سیستمهای مالی.
مؤثریت تأثیر: زیانهای مالی برای کسبوکارها و سازمانها.
حملات با هدف اختلال:
مهاجمان ممکن است برای ایجاد اختلال و سرگرم کردن خود یا جامعه، به صورت اختیاری حمله کنند.
مؤثریت تأثیر: اختلال در عملکرد طبیعی سیستمها و افزایش نااطمینانی.
حفاظت از این اهداف متنوع نیاز به استراتژیهای امنیتی گسترده و بازبینی مداوم امکانات امنیتی دارد.
تأثیرات حملات DDoS:
پیامدهای این حملات شدید و شنیع است، که منجر به قطع خدمات، زیانهای مالی و خسارتهای شهرتی برای افراد یا سازمانهای تحت حمله میشود. مقیاس و پیچیدگی این حملات به طور مداوم در حال تحول است و یک تهدید مهم برای اکوسیستم آنلاین فراهم میآورد.
روشهای پیشگیری از حملات DDoS:
پیشگیری از این حملات شامل اجرای استراتژیهایی مانند فیلترینگ ترافیک، توازن بار و استفاده از شبکههای توزیع محتوا (CDN) میشود. این تدابیر به توزیع کارآمد ترافیک و جلوگیری از اختلالهای وحشتناک کمک میکند.
اهمیت تدابیر امنیت سایبری:
اجرای تدابیر امنیتی پیشگیرانه برای هر دو سازمان و کاربران افرادی ضروری است. برقراری هوشیاری، بهروزرسانی پروتکلهای امنیتی و آموزش کاربران نهایی به تقویت دفاعهای در برابر این حملات کمک میکند.
عواقب حقوقی حملات DDoS:
دولتها و نهادهای نظارتی قوانین و مقرراتی را برای مبارزه با جرایم سایبری، از جمله این حملات ، تدوین کردهاند. مرتکبان ممکن است با مجازاتهای سنگین روبهرو شوند، که بر اهمیت حقوقی شرکت در چنین فعالیتهایی تأکید میکند.
نتیجهگیری:
در نتیجه، حملات DDoS یک چالش مهم در منظر دیجیتال هستند. درک ماهیت، تأثیرات و اعمال تدابیر امنیتی پیشگیرانه جهت حفاظت از داراییهای آنلاین ضروری است. با باقی بودن در جریان و اجرای استراتژیهای دفاعی موثر، افراد و سازمانها میتوانند به خوبی از خطرات این حملات جلوگیری کنند.
سوالات متداول:
1-چگونه میتوانم وبسایت خود را از حملات DDoS محافظت کنم؟
استفاده از دیواره آتش برنامه کاربردی وب (WAF)، استفاده از خدمات پیشگیری از DDoS و بازرسیهای امنیتی منظم میتواند به حفاظت از وبسایت شما کمک کند.
2-آیا کسبوکارهای کوچک هم در معرض این حملات هستند؟
بله، این حملات میتوانند به کسبوکارهای هر اندازهای سوق پیدا کنند. کسبوکارهای کوچک نیز باید اقدامات امنیتی را برای جلوگیری از اختلالات پتانسیلی انجام دهند.
3-آیا میتوان حملات DDoS را به مهاجمان بازگرداند؟
ردگیری این حملات به مهاجمان ممکن است دشوار باشد، اما با کمک کارشناسان امنیت سایبری و نهادهای قانونی، در برخی موارد امکانپذیر است.
4-چقدر اغلب حملات DDoS رخ میدهند؟
فراوانی حملات DDoS متغیر است، اما این حملات در منظر دیجیتال معمولی هستند. سازمانها همیشه باید برای چنین تهدیداتی آماده باشند.
5-نقش کاربران نهایی در جلوگیری از حملات DDoS چیست؟
کاربران نهایی با اجرای بهداشت سایبری خوب، استفاده از رمزهای عبور امن، و مراقبت از کلیک کردن روی لینکهای مشکوک، میتوانند به جلوگیری از این حملات کمک کنند.