تنوع حملات سایبری کم نیست و نحوه عملکرد آنها نیز ممکن است بسیار پیچیده و گاهی اوقات غیرقابلتشخیص باشد. DDoS در دسته این نوع حملات قرار میگیرد و ازآنجاییکه از طریق افزایش ترافیک ورودی سایت عمل میکند، معمولاً تشخیص دادن آن دشوار است. در این مقاله هرآنچه را که باید در مورد این حمله و نحوه مقابله با آن بدانید، توضیح دادهایم:
حمله DDoS چیست؟
کلمه DDoS، مخفف عبارت distributed denial-of-service است که در فارسی میتوان آن را «محرومیت از سرویس توزیعشده» ترجمه کرد. DDoS نوعی تلاش مخرب برای مختل کردن ترافیک معمول سرور، سرویس یا شبکه خاصی است که بهوسیله ازکارانداختن زیرساخت هدف یا پیرامون آن صورت میگیرد و در این راه، از یک سیل ترافیک اینترنتی ناخواسته استفاده میشود.
در حملات DDoS، هکرها از تعدادی سیستم کامپیوتری آلوده به بدافزار بهعنوان منابع ترافیک حمله استفاده میکنند و از این طریق به اثربخشی موردنظر خود میرسند. دستگاههایی که در این حملات از آنها بهرهبرداری میشود ممکن است هم شامل کامپیوترها و هم سایر منابع موجود روی شبکه (مثل تجهیزات متصل به اینترنت اشیا) شوند.
اگر بخواهیم از بالا به موضوع نگاه کنیم، یک حمله DDoS مثل یک راهبندان پیشبینینشده است که مسیر بزرگراه را بسته و از رسیدن خودروهای موجود در ترافیک عادی بزرگراه به مقصدشان جلوگیری میکند.
حمله DDoS چگونه انجام میشود؟
حملات DDoS بهوسیله شبکههایی از دستگاههای متصل به اینترنت انجام میشود.
این شبکهها از کامپیوترها و سایر دستگاهها (تجهیزات اینترنت اشیا) که بهوسیله بدافزار آلوده شدهاند، تشکیل شده و این بدافزار به مهاجم این امکان را میدهد که دستگاههای مذکور را از راه دور کنترل کند. هرکدام از این دستگاهها را بهصورت تکی بات یا زامبی مینامند و به یک گروه از باتها، باتنت میگویند.
زمانی که یک باتنت ایجاد میشود، مهاجم میتواند از طریق ارسال دستورات به هر بات از راه دور، دستور یک حمله را بدهد.
وقتیکه سرور یا شبکه قربانی هدف حمله باتنت قرار میگیرد، هر بات اقدام به فرستادن درخواستی به آدرس آی پی هدف میکند که این کار بهصورت بالقوه، منجر به ازکارافتادن سرور یا شبکه میشود. نتیجه این اتفاق، محرومیت از سرویسدهی به ترافیک عادی سایت است.
ازآنجاییکه هر بات یک دستگاه متصل به اینترنت متعارف است، امکان دارد تمییز ترافیک حمله از ترافیک عادی سخت باشد.
چگونه یک حمله DDoS را شناسایی کنید؟
واضحترین علامت حمله DDoS، سایت یا سرویسی است که بهصورت ناگهانی کند شده یا از دسترس خارج میشود؛ اما ازآنجاییکه دلایل مختلفی مثل افزایش ناگهانی ترافیک سایت میتواند مشکلات عملکردی مشابه را ایجاد کند، معمولاً برای اثبات حمله DDoS به تحقیق و بررسی بیشتر نیاز دارید. ابزارهای تجزیهوتحلیل ترافیک سایت میتوانند به شما در تشخیص برخی از علائم آشکار حمله DDoS کمک کنند. این علائم عبارتاند از:
- حجم ترافیک مشکوکی که منشأ آن می تواند یک یا تعداد زیادی IP باشد.
- ترافیک مشکوک واردشده از سمت کاربرانی که دارای مشخصات رفتاری مشابه مثل نوع دستگاه، موقعیت جغرافیایی یا نسخه مرورگر یکسان هستند.
- یک موج بزرگی از درخواستها برای یک صفحه یا اندپوینت (مثل کامپیوتر و گوشی)
- الگوهای ترافیکی عجیب مثل افزایش ترافیک در ساعات غیرکاری (خلوت) روز یا الگوهای رفتاری ترافیکی که غیرطبیعی به نظر میرسند (مثل جهش ترافیک در هر 10 دقیقه).
نشانههای خاص دیگر و بیشتری برای حملات DDoS وجود دارد که میتواند باتوجهبه نوع حمله متفاوت باشد.
چگونه میتوانید اثرات حمله DDoS را کاهش دهید؟
نگرانی اصلی در فرایند کاهش اثرات حمله DDoS، متمایزکردن ترافیک عادی از ترافیک حمله و مشکوک است.
بهعنوانمثال، اگر به دنبال عرضه یک محصول جدید در سایت شرکت توسط مشتریان درخواست بازدید بالا رود، قطع ترافیک ورودی می تواند اشتباه باشد؛ اما اگر یک شرکت بهصورت ناگهانی با یک گستره ای از ترافیک از سمت مهاجمان شناختهشده مواجه شود، احتمالاً برای کاهش اثرات حمله این عمل می تواند تا حدودی موثر باشد.
سختی کار، تشخیص تفاوت میان ترافیک ناشی از مشتریان واقعی و ترافیک ناشی از حمله است.
در اینترنت امروزی، ترافیک DDoS اشکال مختلفی دارد. از نظر نوع طراحی، این نوع ترافیک میتواند شامل امکان حمله از طریق منابع مستقل غیرجعلی تا حملات ناشی از ساختارهای داده انطباقی چندگانه و پیچیده، متفاوت باشد.
حمله DDoS ناشی از ساختار داده چندگانه از چندین مسیر برای حمله استفاده میکند تا هدف را از طریق راههای مختلفی از کار بیندازد و بهصورت بالقوه تمرکز اقدامات کاهنده اثرات حمله را به سمت مسیرهای دیگر منحرف کند.
از جمله مثالهای حمله DDoS ناشی از ساختار چندگانه، میتوان حملهای را نام برد که چندین لایه از مجموعه پروتکل شبکه (protocol stack) را بهصورت همزمان هدف قرار میدهد. مثل DNS (DNS Amplification) که لایههای 3 یا 4 را هدف قرار میدهد و معمولاً بهصورت ترکیبی با سیلی از درخواست های HTTP استفاده می کند.
کاهش دادن اثرات حمله DDoS ناشی از ساختار چندگانه به استراتژیهای متنوعی نیاز دارد تا بهوسیله آنها بتوان به چند مسیر حمله پاسخ متقابل داد.
بهصورت کلی، هرچقدر حمله پیچیدهتر باشد، احتمال اینکه بتوانید آن را از ترافیک عادی سایت تشخیص دهید، کمتر میشود. هدف مهاجم این است که تا جای ممکن، حمله را مشابه ترافیک عادی جلوه دهد و تلاشها را برای کاهش اثرات مخرب آن بیاثر کند.
آن دسته از تلاشهای کاهنده اثرات حمله که شامل قطع یا محدودیت ترافیک بهصورت کورکورانه میشود، ممکن است ترافیک خوب را به همراه ترافیک بد قطع کند و همچنین این احتمال وجود دارد که حمله ماهیت خود را تغییر داده و بهصورت هوشمندانه دست به اقدامات متقابل بزند. بهمنظور غلبه بر یک حمله پیچیده و مخرب، یک راهحل چندلایه بیشترین کارایی را خواهد داشت.
مسیریابی سیاهچاله(Blackhole Routing)
ایجاد یک مسیر سیاهچالهای و هدایت کردن ترافیک مخرب به سمت آن مسیر، یکی از راهحلهایی است که تقریباً برای تمامی ادمینهای شبکه در دسترس است. سادهترین حالت این راهحل، زمانی است که فیلترینگ سیاهچالهای بدون هیچ معیار محدودکننده خاصی اجرا میشود. در این حالت، هم ترافیک منطقی و هم ترافیک مخرب به سمت یک مسیر سیاهچاله هدایت شده و از شبکه کنار گذاشته میشوند.
زمانی که یک سرویس یا تجهیز در حال تجربه حمله DDoS است، این امکان وجود دارد که ارائهدهنده خدمات اینترنتی به این دارایی، بهعنوان یک اقدام دفاعی تمامی ترافیک سایت را به یک سیاهچاله هدایت کند. این روش یک راهحل ایده ال نیست، چراکه مهاجم را به هدف موردنظرش که همان از دسترس خارجشدن شبکه است، میرساند.
محدودیت نرخ درخواست (Rate limiting)
محدودکردن تعداد درخواستهایی که یک سرور آنها را در طول یک بازه زمانی قبول میکند، یکی دیگر از راههای کاهش اثرات مخرب حملات DDoS است.
با وجود اینکه محدودیت نرخ درخواست در زمینه کاهش سرعت دزدیدن محتوا توسط وب اسکراپرها و کاهش اثرات تلاشهای بروت فورس برای ورود مفید است؛ اما بهتنهایی نمیتواند در مدیریت یک حمله DDoS پیچیده مؤثر باشد.
بااینحال محدودیت نرخ درخواست یک بخش مفید در یک استراتژی کاهش اثرات DDoS است.
WAF یا فایروال اپلیکیشن تحت وب
WAF ابزاری است که در کاهش اثرات حمله DDoS به لایه 7 شبکه، میتواند به کمک شما بیاید. قراردادن آن میان اینترنت و سرور اصلی، باعث میشود که WAF بهعنوان یک پراکسی معکوس عمل کند و سرور هدف را در برابر انواع خاصی از ترافیک مخرب، محافظت خواهد کرد.
با فیلترکردن درخواستها بر اساس یک سری از قوانین که از آنها برای شناسایی ابزارهای DDoS استفاده میشود، میتوان از حملات لایه 7 جلوگیری کرد. یکی از ارزشهای کلیدی یک WAF مؤثر، توانایی پیادهسازی سریع قوانین دلخواه در پاسخ به یک حمله است.
پراکندگی شبکه Anycast
در این رویکرد کاهش اثرات، از یک شبکه Anycast برای پراکنده کردن ترافیک حمله در شبکهای از سرورهای توزیعشده استفاده میشود و هدف از انجام آن، جذب ترافیک توسط شبکه مذکور است.
همانند تقسیم کردن جریان یک رود خروشان در چند کانال کوچکتر، این رویکرد نیز اثرات ترافیک حمله توزیعشده را دقیقه به جایی میبرد که قابل مدیریت باشد و هر چیزی که قابلیت تخریب داشته باشد را از حالت متمرکز خارج میکند.
قابلیت اطمینان شبکه Anycast در خنثیکردن یک حمله DDoS به وسعت حمله و اندازه و راندمان شبکه نیز بستگی دارد.
جمع بندی
حمله DDoS نوعی تهاجم سایبری است که باهدف از دسترس خارجکردن سایت یا یک سرویس آنلاین انجام میشود. طی این حمله، از شبکهای از کامپیوترها یا تجهیزات آلوده به بدافزار بهعنوان وسیلهای برای بالابردن بیشازحد ترافیک ورودی استفاده میکنند. این حمله انواع مختلفی دارد و با استفاده از روشهایی مثل WAF، محدودیت نرخ درخواست و بهکارگیری شبکه Anycast میتوانید از آن جلوگیری کنید.
منبع
https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/
این مقاله را به اشتراک بگذارید