حمله دیداس DDoS و راه های مقابله با آن

حمله دیداس DDoS و راه های مقابله با آن

حمله دیداس DDoS یا حمله منع سرویس توزیع شده، از جمله حملاتی است که در دنیای مجازی و اینترنت به منظور متوقف ساختن خدمات مجازی یا فعالیت یک سایت، رخ می دهد. زمانی که یک سایت با حمله سایبری مواجه شده و از دسترس خارج می شود، در اکثر مواقع دچار حمله دیداس شده است. هکرها یا مهاجمان در این نوع حملات، با جذب منابع سرور یا با ارسال بیش از اندازه ترافیک، باعث می شوند که دسترسی کاربران حقیقی به وب سایت و خدمات آن از بین رود.

ما در این مقاله با استفاده از مطلبی که از سایت نورتون( Norton) برداشته شده است، در مورد حمله دیداس DDoS اطلاعاتی را در اختیار شما قرار خواهیم داد. سپس به بررسی عواقب آن پرداخته و در نهایت نیز راه های مقابله با این نوع مهاجمان را بیان خواهیم کرد. با ما همراه شوید.

منظور از حمله دیداس DDoS چیست؟

دیداس به عنوان نوعی حمله محروم سازی از تمام سرویس ها، ارائه دهندگان خدمات اینترنتی و سایت ها را مورد هدف قرار میدهد. این حمله به دنبال آن است که با ارسال ترافیک( بازدید) بیش از حد معمولی که یک سرور یا شبکه توانایی دارد به آن پاسخ دهد، منجر به توقف او شود. در واقع در حمله دیداس هیچ نوع اطلاعات و داده ای سرقت نمی شود.

حتی هکرها قادر نخواهند بود بعد از حمله دیداس، چیزی را در سایت جایگزین کرده و یا تغییر دهند. آنها تنها از ارائه خدمات توسط سایت جلوگیری نموده و فعالیت آن را متوقف می سازند. بیشتر افرادی که اقدام به انجام این نوع حمله می نمایند، انگیزه باج گیری یا انتقام با متوقف ساخت سایت شخصی دارند. ترافیک هایی که برای توقف سایت ارسال می شود نیز، شامل بسته های داده (packet) تقلبی، پیام های ورودی و یا درخواست برای اتصال هستند.

در برخی موارد نیز شاهد آن هستیم که سایت تهدید به حمله دیداس DDoS می شود، یا این که با یک حمله دیگری در سطح پایین مواجه می گردد. هدف از چنین اقداماتی برای ترساندن صاحبان کسب و کارهای اینترنتی، اخاذی است. در صورتی که انگیزه مهاجمان و هکرها انگیزه مالی باشد، به صاحبان کسب و کار پیغام ارسال کرده و مبلغ مشخصی را از آنها درخواست خواهند کرد. اصولا این مبالغ نیز یا ارزهای دیجیتالی همچون بیت کوین هستند، یا دیگر ارزها.

حتی در برخی مواقع نیز حملات دیداس تنها به منظور جلب توجه موسسه انجام می شود. به این صورت که مهاجم با ترتیب دادن یک حمله، توجه نهاد مربوطه را به خود جلب کرده و از غفلت آن برای بارگذاری نرم افزارهای مخرج و یا سرقت اطلاعات استفاده می کند.

نحوه حمله دیداس به چه صورت است؟

تئوری و هدف تمامی حملات اینترنتی ساده است. اما بسته به نوع هدف، فرایند حمله می تواند در سطح پیچیده ای انجام شود. حمله دیداس DDoS نوعی حمله سایبری به شمار می رود که به یک سایت، سرور یا سرویس آسیب رسانده و متوقف می سازد. در صورتی که این میزان حجم از ترافیک هدف را اشباع نماید، خدمات، سرورها، سایت و شبکه به طور کلی از دسترسی خارج می شوند.

اما در صورتی که مهاجم ضعیفی به یک سیستم قدرتمند حمله کند، هیچ اتفاقی برای سرور رخ نخواهد داد. گویی یک بازدید معمولی از سایت انجام شده است. از این رو هر چه زیرساخت سایت قدرتمندتر باشد و از لایه های امنیتی بیشتری برخوردار باشد، حمله به آن دشوارتر خواهد بود. حتی این مسئله می تواند هزینه مالی زیادی نیز در بر داشته باشد. به گونه ای که گاهی حمله دیداس DDoS موفق به یک سایت بزرگ، ممکن است هزینه ای معادل چند میلیون دلار برای هکر به همراه داشته باشد.

اتصالات شبکه در اینترنت، از سطوح مختلفی همچون مدل‌ اتصال متقابل سامانه‌های باز (OSI) برخوردارند. دیداس نیز بر روی لایه های مختلفی جهت حمله تمرکز می کند که چند مورد از این لایه ها را باید چنین بیان کنیم:

• لایه شبکه یا 3: حملاتی که به لایه شبکه رخ می دهد را باید فروپاشی اینترنت پروتکل/آی‌سی‌آم‌پی (IP/ICMP Fragmentation)، افزایش ظرفیت آی‌سی‌ام‌پی (ICMP Floods) و حملات اسمورف (Smurf Attacks) معرفی کنیم.
• لایه انتقال یا 4: حملاتی که به این لایه از شبکه رخ می دهد، شامل از بین بردن اتصال TCP یا TCP Connection Exhaustion، افزایش ظرفیت UDP یا UDP Floods و افزایش ظرفیت SYN یا SYN Floods باید بیان کنیم.
• لایه اپلیکیشن یا 7: حملات این بخش بیشتر شامل حملات HTTP می شود.

بات‌نت (Botnet)؛ ابزار اصلی مهاجمان

اصلی ترین ابزاری که مهاجمان برای حمله دیداس DDoS نیاز دارند، استفاده از بات ها یا رایانه هایی است که از راه دور قابلیت کنترل دارند. این رایانه ها به عنوان “رایانه های زامبی” نیز شناخته می شوند و می توان آنها را با عنوان شبکه ای از ربات ها یا بات‌نت نیز یاد کرد. مهاجمان با استفاده از رایانه خود میزان حجم ترافیک زیادی را در اختیار دارند که با استفاده از آنها وب سایت، سرور و شبکه را شلوغ می کنند.

حجم ارسال داده ها از سوی هکرها، باید بیش از حد توان کنترل وب سایت یا سرور باشد. در این حالت است که کارکرد سایت و سرور یا شبکه دچار اختلال می گردد. ممکن است بات‌نت ها بیش از حد توان سرور، درخواست اتصال ارسال نموده و پهنای باند آن سرورها پر شود.

معمولا در این نوع حملات همچون حمله دیداس DDoS، تعداد بات‌نت هایی که استفاده می شود بین هزاران تا میلیون ها بات است. این نکته را نیز در نظر داشته باشید که ممکن است حتی سیستم های شخصی هم دارای بات‌نت باشند و هکرها از این بات‌نت ها برای حمله استفاده کنند.

از زمانی که اینترنت اشیاء( IoT) در زندگی روزانه انسان ها نفوذ نموده است، شاهد این مسئله هستیم که مهاجمان بیشتر از دستگاه های خانگی که به اینترنت متصل هستند برای انجام حمله دیداس استفاده می کنند. زیرا این سیستم ها از سازوکار ایمنی نسبت به دیگر دستگاه ها برخوردار نبوده و منجر شده اند که به سلاحی برای حمله تبدیل شوند.

در سال 2016 که حمله داین( Dyne) صورت گرفت، از بدافزار میرای( Mirai) استفاده شده بود که نوعی بات‌نت دستگاه اینترنت اشیاء بود. در این حمله از چاپگرها، دوربین های نظارتی، مانیتورها و تلویزیون های هوشمند برای حمله استفاده شده بود. میرای بدافزار متن بازی است که نمونه های پیشرفته آن در حال حاضر در دست مجرمان سایبری قرار دارد. آنها نیز می توان از این بدافزار برای اجرای حملات سنگین و پیشرفته استفاده نمایند.

حجم سنگین ترافیک

بات‌نت ها برای ایجاد درخواست هایی همچون HTTPS و HTTP مورد استفاده قرار می گیرند. به این صورت که رایانه ها درخواست HTTPS یا HTTP به سرور ارسال کرده و آن را اشباع می نمایند. در واقع منظور از HTTP، همان «پروتکل انتقال ابرمتن» (Hypertext Transfer Protocol) بوده که نحوه انتقال پیام و قالب بندی را کنترل می نماید.

درخواست HTTP می تواند از نوع ارسال (POST) یا دریافت (GET) باشد. در درخواست های دریافت، هدف دریافت کردن اطلاعات از سرور است. در حالی که درخواست ارسال، به منظور ذخیره و آپلود اطلاعات ارسال می شود. معمولا این نوع درخواست ها منابع بیشتری از سرور را مورد هدف قرار داده و اشغال می نمایند. البته باید بیان کنیم که انجام حملات سایبری با درخواست دریافت، ساده تر از درخواست ارسال صورت می گیرد.

خرید حمله دیداس DDoS از بازار سیاه 

برای انجام یک حمله دیداس، فراهم نمودن بات‌نت ها کار دشوار و زمابری است. از این رو مجرمان سایبری برای خود بازار کار خاصی را ایجاد نموده اند. در این بازار مجرمان و هکرها بات‌نت های پیشرفته ای ساخته و آنها را در دارک وب یا وب تاریک (Dark web) اجاره می دهند یا به فروش می رسانند. برای این که بتوان به دارک وب متصل شد، نیاز به مرورگرهای تور( Tor) است.

همچنین هر کسی آدرس این سایت تاریک را ندارد و نمی تواند به راحتی به آن دسترسی یابد. در بازار تاریک مهاجمان برای حمله دیداس DDoS موثر به یک سایت کوچک، قیمتی معادل چند صد دلار پرداخت می کنند. در حالی که این میزان قیمت برای سایت های بزرگ معادل هزاران دلار است.

دسته بندی انواع حمله دیداس DDoS

می توان حمله دیداس DDoS را در چند نوع دسته بندی کرد که هریک با  دیگری متفاوت هستند. در این نوع حملات از الگوهای متعددی استفاده می شود که منجر به تفاوت در طبقه بندی می گردد. این طبقه بندی ها را باید چنین بیان کنیم:

• حملات پروتکل: آسیب پذیری های موجود در منابع یک سرور، در این حملات هدف قرار می گیرد.
• حملات مبتنی بر حجم: حجم بالای ترافیک برای پر کردن پهنای باند شبکه در این نوع حملات هدف قرار می گیرد.
• حملات اپلیکیشن: در این نوع حملات برنامه های تحت وب خاص هدف قرار گرفته و نیاز به مهارت بیشتری دارد.

در ادامه به برخی از انواع حملات دیداس با دقت بیشتری خواهیم پرداخت.

اشباع UDP

«قرارداد داده‌نگار کاربر» (User Datagram Protocol) با مخفف UDP، نوعی حمله دیداس است که در آن پورت های تصادفی شبکه یا رایانه هدف قرار می گیرند. به این صورت که میزبان بررسی نموده و به دنبال آن است که بداند برای پورت ها چه اتفاقی افتاده است، اما چیزی به دست نمی آورد.

اشباع SYN

«تبادل اطلاعات سه جانبه» (three-way handshake) با مخفف SYN، نوعی حمله است که در آن از ضعف های توالی کانکشن TCP استفاده می گردد. سرور قربانی پیام SYN را دریافت کرده و انتقال اطلاعات از آن آغاز می شود. این سرور نیز در پاسخ پیامی با عنوان ACK ارسال می نماید که منجر به قطعی کانکشن می گردد. در حالی که در این نوع حملات کانکشن بسته نشده و سرور موجب اختلال می شود و از کار می افتد.

پینگ مرگ (Ping of death)

این حمله با ارسال پینگ های خراب به شبکه، در پروتکل های آی پی سیستم تغییر ایجاد می کند. تا دو دهه پیش این حملات محبوب بودند اما امروزه دیگر استفاده نمی شوند.

اسلو لوریس (Slowloris)

حملات اسلو لوریس به هکرها اجاره می دهد که یک سرور را با کمترین منابع هدف قرار دهند. زمانی که اتصال با هدف هک برقرار شد، تا زمانی که HTTP پر شود، ارتباط برقرار است. برخی از ماهرانه ترین نمونه های حمله دیداس DDoS با این روش انجام می شوند زیرا مقابله با حملات اسلو لوریس دشوار است.

حملات فراگل (Fraggle Attack)

در این نوع حمله دیداس از ترافیک بالای UDP استفاده شده و شبکه مخابره روتر هدف قرار می گیرد. این نوع حملات به حملات اسمورف شبیه هستند و در آنها به جای ICMP‌ از UDP‌ استفاده می گردد.

حملات روز صفر (Zero-day)

حملاتی هستند که با استفاده از آسیب پذیری ها اصلاح نشده انجام می شوند.

حملات APDoS

در این نوع حملات، به هدف آسیب جدی وارد می شود. هکر میلیون ها درخواست اتصال در ثانیه به سرور ارسال کرده و منجر به فلج شدن آن می شود. معمولا این حملات تا 1 هفته ادامه داشته و مهاجمان در طول حمله تاکتیک های خود را تغییر می دهند. از این رو مقابله با آنها نیز دشوار است.

حمله دیداس چه عواقبی دارد؟ 

بدون تردید حمله دیداس DDoS عواقبی را نیز با خود به همراه دارد. مثلا سیستم هایی که دچار کاهش سرعت اینترنت می شوند، ممکن است به دلیل یک ویروس خطرناک یا باج افزار باشد. در اصل دیداس همچون نیش یک پشه بر روی دست، کوچک است اما می تواند کسب و کاری را نابود کند. از این رو عواقب حمله دیداس را باید در چند مورد خلاصه کنیم:

• توقف فرایند فروش از طریق سایت
• عدم دسترسی به وب سایت و شبکه
• دسترسی کند به تمام فایل ها چه به صورت داخلی و چه از راه دور

البته باید خاطر نشان نماییم که این نوع مشکلات در حالت عادی هم بروز می نمایند. اما در صورتی که مداوم شوند، احتمال آن وجود دارد که سایت کسب و کار مورد حمله قرار گرفته باشد. باید به این نکته نیز اشاره کنیم که امروزه دیگر کمتر شاهد بروز حمله دیداس هستیم. زیرا ابزارهای امنیتی بسیاری در دنیا ساخته شده و مورد استفاده قرار می گیرند.

همچنین حمله دیداس DDoS از نظر قانونی در در برخی از کشورها جرم بوده و مهاجم مجازات می شود. ایران نیز از جمله این کشورها است. مایکل کالس (Michael Calce) پسر 15 ساله ای که بازیکن بازی آنلاین مافیا بوی (Mafia Boy) بود، در سال 2000 موفق شد برای اولین بار حمله دیداس را اجرا کند. او ابتدا چندین شبکه رایه ای که به دانشگاه تعلق داشت را هک کرد و با استفاده از سرورهای آنها به سراغ سایت های بزرگتری همچون یاهو، ای‌ترید (E-Trade)، سی‌ان‌ان (CNN) و ای‌بی (eBay) رفت.

پس از انجام این حمله دیداس DDoS کالس در دادگاه ایالت مونترال متهم شده و در حال حاضر نیز به عنوان یکی از هکرهای کلاه سفید شناخته می شود. او به شناسایی اشکالات امنیتی در شرکت های بزرگ این ایالت می پردازد. یکی از ارائه دهندگان خدمات DNS به نام داین نیز در سال 2016 قربانی حملات دیداس گردید.

این حمله منجر شد تا فعالیت شرکت های بزرگی همچون نتفلیکس (Netflix)، ایربی‌ان‌بی (AirBnB)، آمازون، سی‌ان‌ان، اسپاتیفای (Spotify)، گیت‌هاب (GitHub)، ویزا،  پی‌پال (PayPal) و ردیت با اختلال مواجه شود. حتی صنعت بازی های رایانه ای هم بارها قربانی این نوع حملات قرار گرفته اند.

روش های مقابله با حمله دیداس DDoS

شرکت های بسیاری در دنیا وجود دارند که در زمینه مقابله با حملات دیداس، راهکارهایی ارائه نموده اند. شرکت های همچون کلودفلر (Cloudflare). با این حال برای مقابله با این حملات، لازم است برخی نکات مهم مد نظر قرار گیرد. از جمله:

سریع بودن

حمله دیداس DDoS را در مرحله ابتدایی می توان شناسایی کرد. همچنین می توان با استفاده از شرکت های ارائه دهنده خدمات ضد دیداس، ترافیک معقول و مشکوک را از هم تفکیک کرد. زمانی که کسب و کاری متوجه حمله قرار گرفتن شود، باید ابتدا موضوع را با ارائه دهنده خدمات اینترنتی خود در میان گذارد. غیر از آن نیز می توان اقدام به پراکنده سازی و توزیع ترافیک هایی نمود که در طول حمله به سمت هدف ارسال می گردند.

دیواره های آتش

دیواره های آتش یا فایروال ها، ابزارهای قدرتمندی هستند که می توان از آنها در برابر حمله دیداس DDoS استفاده کرد. البته فایروال ها باید همواره به روز باشند. زیرا این دیوارها اولین لایه های مقابله با حمله دیداس به شمار می روند.

 استفاده از کلودفلر (CloudFlare)

شرکت کلودفلر که در حوزه امنیت فعالیت دارد، سیستمم ضد دیداس معروفی دارد. می توان از سیستم این شرکت استفاده کرد و حمله دیداس را رفع نمود. البته با توجه به برخی نکات همچون: اطمینان از پروکسی شدن تمام DNS ها و قرار دادن مناطق مشکوک در محدوده فایروال کلودفلر. گزینه «حالت تحت حمله» (Under Attack Mode) در کلودفلر وجود دارد که در زمان حمله فعال می شود. می توان از این سیستم ضد دیداس حتی برای مسدود نمودن آی پی های متفرقه نیز استفاده کرد.

مراقبت از دستگاه های اینترنت اشیا

در صورت استفاده از این نوع دستگاه ها، باید مراقب بود. زیرا هکرها از این دستگاه ها برای حمله دیداس DDoS بیشتر استفاده می کنند. از این رو باید این دستگاه ها همیشه به روز نگه داشته شوند. همچنین می توان در آنها از رمزهای عبور قدرتمند استفاده کرد که در برابر هک سیستم را مقاوم نماید.

استفاده از هوش مصنوعی 

هوش مصنوعی نیز یک روش عالی مقابله با حمله دیداس DDoS است، که برای شناسایی ترافیک های غیرواقعی استفاده می شوند. می توان با استفاده از این روش ترافیک های مشکوک را در رایانه شناسایی کرده و مسدود نمود. با ظهور فناوری بیت کوین و بلاک چین، مقابله با حمله به سرویس ها آسان تر شده است. زیرا در این سیستم ها مشترکان از منابع مختلفی استفاده کرده و نیاز به پهنای باند بسیار بالایی دارند. از این رو حملات دیداس با دشواری زیادی مواجه شده و کمتر نتیجه بخش خواهد بود.

امیدواریم مطلب حمله دیداس DDoS و راه های مقابله با آن برای شما مفید واقع شده باشد.شما میتوانید سوالات خود را در بخش نظرات این صفحه از سایت فناورانه مطرح نمایید…