ابرآمد

حمله DDoS چیست و چگونه می‌توان از آن جلوگیری کرد؟

حمله DDoS

تنوع حملات سایبری کم نیست و نحوه عملکرد آن‌ها نیز ممکن است بسیار پیچیده و گاهی اوقات غیرقابل‌تشخیص باشد. DDoS در دسته این نوع حملات قرار می‌گیرد و ازآنجایی‌که از طریق افزایش ترافیک ورودی سایت عمل می‌کند، معمولاً تشخیص دادن آن دشوار است. در این مقاله هرآنچه را که باید در مورد این حمله و نحوه مقابله با آن بدانید، توضیح داده‌ایم:

حمله DDoS چیست؟

کلمه DDoS، مخفف عبارت distributed denial-of-service است که در فارسی می‌توان آن را «محرومیت از سرویس توزیع‌شده» ترجمه کرد. DDoS نوعی تلاش مخرب برای مختل کردن ترافیک معمول سرور، سرویس یا شبکه خاصی است که به‌وسیله ازکارانداختن زیرساخت هدف یا پیرامون آن صورت می‌گیرد و در این راه، از یک سیل ترافیک اینترنتی ناخواسته استفاده می‌شود.

در حملات DDoS، هکرها از تعدادی سیستم کامپیوتری آلوده به بدافزار به‌عنوان منابع ترافیک حمله استفاده می‌کنند و از این طریق به اثربخشی موردنظر خود می‌رسند. دستگاه‌هایی که در این حملات از آن‌ها بهره‌برداری می‌شود ممکن است هم شامل کامپیوترها و هم سایر منابع موجود روی شبکه (مثل تجهیزات متصل به اینترنت اشیا) شوند.

اگر بخواهیم از بالا به موضوع نگاه کنیم، یک حمله DDoS مثل یک راه‌بندان پیش‌بینی‌نشده است که مسیر بزرگراه را بسته و از رسیدن خودروهای موجود در ترافیک عادی بزرگراه به مقصدشان جلوگیری می‌کند.

حمله DDoS چگونه انجام می‌شود؟

حملات DDoS به‌وسیله شبکه‌هایی از دستگاه‌های متصل به اینترنت انجام می‌شود.

این شبکه‌ها از کامپیوترها و سایر دستگاه‌ها (تجهیزات اینترنت اشیا) که به‌وسیله بدافزار آلوده شده‌اند، تشکیل شده و این بدافزار به مهاجم این امکان را می‌دهد که دستگاه‌های مذکور را از راه دور کنترل کند. هرکدام از این دستگاه‌ها را به‌صورت تکی بات یا زامبی می‌نامند و به یک گروه از بات‌ها، بات‌نت می‌گویند.

زمانی که یک بات‌نت ایجاد می‌شود، مهاجم می‌تواند از طریق ارسال دستورات به هر بات از راه دور، دستور یک حمله را بدهد.

وقتی‌که سرور یا شبکه قربانی هدف حمله بات‌نت قرار می‌گیرد، هر بات اقدام به فرستادن درخواستی به آدرس آی پی هدف می‌کند که این کار به‌صورت بالقوه، منجر به ازکارافتادن سرور یا شبکه می‌شود. نتیجه این اتفاق، محرومیت از سرویس‌دهی به ترافیک عادی سایت است.

ازآنجایی‌که هر بات یک دستگاه متصل به اینترنت متعارف است، امکان دارد تمییز ترافیک حمله از ترافیک عادی سخت باشد.

چگونه یک حمله DDoS را شناسایی کنید؟

چگونه یک حمله DDoS را شناسایی کنید؟

واضح‌ترین علامت حمله DDoS، سایت یا سرویسی است که به‌صورت ناگهانی کند شده یا از دسترس خارج می‌شود؛ اما ازآنجایی‌که دلایل مختلفی مثل افزایش ناگهانی ترافیک سایت می‌تواند مشکلات عملکردی مشابه را ایجاد کند، معمولاً برای اثبات حمله DDoS به تحقیق و بررسی بیشتر نیاز دارید. ابزارهای تجزیه‌وتحلیل ترافیک سایت می‌توانند به شما در تشخیص برخی از علائم آشکار حمله DDoS کمک کنند. این علائم عبارت‌اند از:

  • حجم ترافیک مشکوکی که منشأ آن می تواند یک یا تعداد زیادی IP  باشد.
  • ترافیک مشکوک واردشده از سمت کاربرانی که دارای مشخصات رفتاری مشابه مثل نوع دستگاه، موقعیت جغرافیایی یا نسخه مرورگر یکسان هستند.
  • یک موج بزرگی از درخواست‌ها برای یک صفحه یا اندپوینت (مثل کامپیوتر و گوشی)
  • الگوهای ترافیکی عجیب مثل افزایش ترافیک در ساعات غیرکاری (خلوت) روز یا الگوهای رفتاری ترافیکی که غیرطبیعی به نظر می‌رسند (مثل جهش ترافیک در هر 10 دقیقه).

نشانه‌های خاص دیگر و بیشتری برای حملات DDoS وجود دارد که می‌تواند باتوجه‌به نوع حمله متفاوت باشد.

چگونه می‌توانید اثرات حمله DDoS را کاهش دهید؟

نگرانی اصلی در فرایند کاهش اثرات حمله DDoS، متمایزکردن ترافیک عادی از ترافیک حمله و مشکوک است.

به‌عنوان‌مثال، اگر به دنبال عرضه یک محصول جدید در سایت شرکت توسط مشتریان درخواست بازدید بالا رود، قطع ترافیک ورودی می تواند اشتباه باشد؛ اما اگر یک شرکت به‌صورت ناگهانی با یک گستره ای از ترافیک از سمت مهاجمان شناخته‌شده مواجه شود، احتمالاً برای کاهش اثرات حمله این عمل می تواند تا حدودی موثر باشد.

سختی کار، تشخیص تفاوت میان ترافیک ناشی از مشتریان واقعی و ترافیک ناشی از حمله است.

در اینترنت امروزی، ترافیک DDoS اشکال مختلفی دارد. از نظر نوع طراحی، این نوع ترافیک می‌تواند شامل امکان حمله از طریق منابع مستقل غیرجعلی تا حملات ناشی از ساختارهای داده انطباقی چندگانه و پیچیده، متفاوت باشد.

حمله DDoS ناشی از ساختار داده چندگانه از چندین مسیر برای حمله استفاده می‌کند تا هدف را از طریق راه‌های مختلفی از کار بیندازد و به‌صورت بالقوه تمرکز اقدامات کاهنده اثرات حمله را به سمت مسیرهای دیگر منحرف کند.

از جمله مثال‌های حمله DDoS ناشی از ساختار چندگانه، می‌توان حمله‌ای را نام برد که چندین لایه از مجموعه پروتکل شبکه (protocol stack) را به‌صورت هم‌زمان هدف قرار می‌دهد. مثل DNS (DNS Amplification) که لایه‌های 3 یا 4 را هدف قرار می‌دهد و معمولاً به‌صورت ترکیبی با سیلی از درخواست های HTTP استفاده می کند.

کاهش دادن اثرات حمله DDoS ناشی از ساختار چندگانه به استراتژی‌های متنوعی نیاز دارد تا به‌وسیله آن‌ها بتوان به چند مسیر حمله پاسخ متقابل داد.

به‌صورت کلی، هرچقدر حمله پیچیده‌تر باشد، احتمال این‌که بتوانید آن را از ترافیک عادی سایت تشخیص دهید، کمتر می‌شود. هدف مهاجم این است که تا جای ممکن، حمله را مشابه ترافیک عادی جلوه دهد و تلاش‌ها را برای کاهش اثرات مخرب آن بی‌اثر کند.

آن دسته از تلاش‌های کاهنده اثرات حمله که شامل قطع یا محدودیت ترافیک به‌صورت کورکورانه می‌شود، ممکن است ترافیک خوب را به همراه ترافیک بد قطع کند و همچنین این احتمال وجود دارد که حمله ماهیت خود را تغییر داده و به‌صورت هوشمندانه دست به اقدامات متقابل بزند. به‌منظور غلبه بر یک حمله پیچیده و مخرب، یک راه‌حل چندلایه بیشترین کارایی را خواهد داشت.

کاهش دادن اثرات حمله DDoS

مسیریابی سیاه‌چاله(Blackhole Routing)

ایجاد یک مسیر سیاه‌چاله‌ای و هدایت کردن ترافیک مخرب به سمت آن مسیر، یکی از راه‌حل‌هایی است که تقریباً برای تمامی ادمین‌های شبکه در دسترس است. ساده‌ترین حالت این راه‌حل، زمانی است که فیلترینگ سیاه‌چاله‌ای بدون هیچ معیار محدودکننده خاصی اجرا می‌شود. در این حالت، هم ترافیک منطقی و هم ترافیک مخرب به سمت یک مسیر سیاه‌چاله هدایت شده و از شبکه کنار گذاشته می‌شوند.

زمانی که یک سرویس یا تجهیز در حال تجربه حمله DDoS است، این امکان وجود دارد که ارائه‌دهنده خدمات اینترنتی به این دارایی، به‌عنوان یک اقدام دفاعی تمامی ترافیک سایت را به یک سیاه‌چاله هدایت کند. این روش یک راه‌حل ایده ال نیست، چراکه مهاجم را به هدف موردنظرش که همان از دسترس خارج‌شدن شبکه است، می‌رساند.

محدودیت نرخ درخواست (Rate limiting)

محدودکردن تعداد درخواست‌هایی که یک سرور آن‌ها را در طول یک بازه زمانی قبول می‌کند، یکی دیگر از راه‌های کاهش اثرات مخرب حملات DDoS است.

با وجود این‌که محدودیت نرخ درخواست در زمینه کاهش سرعت دزدیدن محتوا توسط وب اسکراپرها و کاهش اثرات تلاش‌های بروت فورس برای ورود مفید است؛ اما به‌تنهایی نمی‌تواند در مدیریت یک حمله DDoS پیچیده مؤثر باشد.

بااین‌حال محدودیت نرخ درخواست یک بخش مفید در یک استراتژی کاهش اثرات DDoS است.

WAF یا فایروال اپلیکیشن تحت وب

 WAF ابزاری است که در کاهش اثرات حمله DDoS به لایه 7 شبکه، می‌تواند به کمک شما بیاید. قراردادن آن میان اینترنت و سرور اصلی، باعث می‌شود که WAF به‌عنوان یک پراکسی معکوس عمل کند و سرور هدف را در برابر انواع خاصی از ترافیک مخرب، محافظت خواهد کرد.

با فیلترکردن درخواست‌ها بر اساس یک سری از قوانین که از آن‌ها برای شناسایی ابزارهای DDoS استفاده می‌شود، می‌توان از حملات لایه 7 جلوگیری کرد. یکی از ارزش‌های کلیدی یک WAF مؤثر، توانایی پیاده‌سازی سریع قوانین دلخواه در پاسخ به یک حمله است.

پراکندگی شبکه Anycast

در این رویکرد کاهش اثرات، از یک شبکه Anycast برای پراکنده کردن ترافیک حمله در شبکه‌ای از سرورهای توزیع‌شده استفاده می‌شود و هدف از انجام آن، جذب ترافیک توسط شبکه مذکور است.

همانند تقسیم کردن جریان یک رود خروشان در چند کانال کوچک‌تر، این رویکرد نیز اثرات ترافیک حمله توزیع‌شده را دقیقه به جایی می‌برد که قابل مدیریت باشد و هر چیزی که قابلیت تخریب داشته باشد را از حالت متمرکز خارج می‌کند.

قابلیت اطمینان شبکه Anycast در خنثی‌کردن یک حمله DDoS به وسعت حمله و اندازه و راندمان شبکه نیز بستگی دارد.

جمع بندی

حمله DDoS نوعی تهاجم سایبری است که باهدف از دسترس خارج‌کردن سایت یا یک سرویس آنلاین انجام می‌شود. طی این حمله، از شبکه‌ای از کامپیوترها یا تجهیزات آلوده به بدافزار به‌عنوان وسیله‌ای برای بالابردن بیش‌ازحد ترافیک ورودی استفاده می‌کنند. این حمله انواع مختلفی دارد و با استفاده از روش‌هایی مثل WAF، محدودیت نرخ درخواست و به‌کارگیری شبکه Anycast می‌توانید از آن جلوگیری کنید.

منبع

https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/


به این مطلب امتیاز دهید

برای امتیاز به این نوشته کلیک کنید!
[کل: 0 میانگین: 0]