بدون IP امکان طرحریزی حمله DDoS وجود ندارد. علاوه بر این، استفاده از VPN امنیت دستگاه را بالا میبرد و دسترسی را برای هکرها سختتر میکند.
فرض کنید در یک بیمارستان نیاز مبرم به واریز هزینه یک عمل جراحی دارید، اما سامانه پرداخت کار نکند و یا از دسترس خارج باشد؛ یا در یک روزی کاری هنگام شروع ساعات معامله بورس قصد بررسی پورتفوی خود را دارید، اما هر چه میخواهید وارد سامانه معاملاتی کارگزاری خود شوید بیفایده است. چه خساراتی به شما وارد میشود؟ آیا برخی از این خسارات قابل جبران هستند؟
در این نوشتار قصد بررسی نوعی از حملات سایبری به زیرساختها، سرورها و تمامی دستگاههای تحت شبکه را داریم که دودش در درجه اول به چشم کاربران میرود. حملات بندآوری خدمات یا DoS.
بندآوری خدمات
حملات بندآوری خدمات DoS یا Denial of Service شاید یکی از معروفترین حملات سایبری باشد که ما آن را شنیدهایم. اما این حمله سایبری چیست؟!
برای بهتر توضیح دادن این حمله با مثال یک مودم اینترنت شروع میکنیم که در دسترس همه ما هست و امروزه کمتر کسی است که در خانه یا محل کارش با مودم اینترنتی خود سروکار نداشته باشد. برای همه ما شرایطی پیشآمده که وقتی تعداد استفادهکنندگان از مودم اینترنت یا WiFi زیاد است با مشکلاتی مواجه میشویم که سابقه ندارد؛ مشکلاتی نظیر کند شدن یا بعضاً وصل نشدن به مودم؛ اصطلاحاً عملیات احراز هویت یا authentication هنگام وصل شدن به مودم بهقدری طول میکشد که سعی میکنیم با دوباره خاموش و روشنکردن مودم، دوباره درخواست اتصال بدهیم. مشکل دیگری که همه ما هنگام شلوغی کاربران مودم با آن مواجه بودهایم قطع شدن اتصال اینترنتی ما و یا سرعت بسیار پائین است که خوشایند نیست.
حملات DoS دقیقاً مشابه همین فضایی است که برای شما ترسیم کردیم، منتهی با این تفاوت که در اینجا فرد مهاجم با ارسال بستههای اتصال تقلبی بسیار بالا به مودم اصطلاحاً آن را Overload کرده و ادامه خدماتدهی را مختل میکند. مشابه همین حمله میتواند به هر دستگاه و سرور ارائهدهنده هر خدمتی نیز انجام شود.
فرض کنید که سروری در حال اجرای یک سرویس است و به درخواستهای مختلف کاربران پاسخ میدهد. هر سرور، ظرفیت محدودی برای پاسخگویی به درخواستهای کاربران دارد و اگر به حد اشباع برسد، ممکن است نتواند درخواستها را بهموقع یا بهدرستی پاسخ دهد. یکی از راههای آسیبزدن به یک سرویس، استفاده از همین ظرفیت محدود هر سرور است. اگر یک کاربر، به شکل مداوم، به یک سرور درخواست بدهد، خواه ناخواه بخشی از ظرفیت سرور را به خود اختصاص داده است و باتوجهبه محدود بودن ظرفیت، سرویس از دسترس تعدادی از کاربران خارج میشود مانند اتفاقی که در زمان انتخاب واحد در سامانههای دانشگاهی یا ثبتنام پیشفروش خودرو در سایتهای شرکتهای خودروسازی رخ میدهد.
در روشی دیگر، نفوذگر با ارسال درخواستهای بسیار به یک سرور، باعث استفاده بیش از حد از منابع آن مانند پردازنده سرور، بانک اطلاعاتی، پهنای باند و … میشود بهصورتی که سرور مجازی یا اختصاصیِ میزبان سایت به دلیل حجم بالای پردازش دچار وقفه و اختلال و یا حتی قطعی کامل شده و از دسترس خارج میشود. به این نوع حملات، حملهٔ (DoS (Denial of Service یا منع سرویس یا بندآوری خدمات گفته میشود. حملهٔ DoS معمولاً از یک ماشین و با IP ثابت انجام میشود، بنابراین گاهی میتوان با بستن IP حملهکننده، جلوی حمله را گرفت.
حمله بندآوری خدمات توزیع شده؛ DDoS
درصورتیکه حملات DoS همزمان از چند سیستم انجام شود و بستههای اطلاعاتی از چند سیستم مختلف خارج شود به آن حمله DDoS یا حمله بندآوری خدمات توزیع شده میگوییم و طبیعتاً چند IP در این حمله دخیل خواهند بود. به این دلیل که حملات Dos از یک IP ثابت انجام میشود و بعضاً با بستن IP مهاجم میتوان جلوی حمله Dos را گرفت، لذا مهاجمان از چند IP استفاده میکنند؛ در واقع حمله DDos به این دلیل نسخه بروزتر و پیشرفتهتر Dos است.
حمله DDoS از ضعف ذاتی اینترنت برای صدمه زدن به قربانی استفاده میکند چرا که بستر اینترنت بهگونهای طراحی شده است که بستههای اطلاعاتی به بهترین و کوتاهترین مسیر ممکن به مقصد برسد. این مزیت مهمترین مزیت بستر اینترنت است و درعینحال ضعف امنیتی آن نیز محسوب میشود. DDoS از این مزیت برای صدمه زدن به قربانی استفاده میکند. همانطور که گفته شد در حمله DDoS جریانهای بسته و درخواستها از منابع مختلف و سیستمهای مختلف منتشر میشود و فرد مهاجم تمام این منابع و سیستمها را بهصورت یکپارچه به هدف از کار انداختن قربانی استفاده میکند. بستههای حمله DDoS که به سمت قربانی ارسال میشود بسیار یکپارچه و درهمتنیده بوده به طوری که تشخیص و امکان جداسازی بسته اطلاعاتی سالم از مخرب بسیار دشوار است. درصورتیکه مراقبت و تدابیر امنیتی اتخاذ نشود، سیستم قربانی ممکن است متحمل آسیبهای بسیار سنگین مانند خاموشی سیستم و خرابی فایلهای دریافتی یا حتی قطع تمام یا بخشی از سرویس گردد.
علائم و نشانههای حمله بندآوری خدمات توزیع یافته
مرکز واکنش فوریتهای رایانهای آمریکا (US-CERT) علائم حملات منع سرویس را اینگونه تعریف میکند:
• کارایی کند و غیرمعمول شبکه
• در دسترس نبودن یک وبسایت خاص
• ناتوانی در دسترسی به یک وبسایت
• افزایش چشمگیر در تعداد هرزنامههای دریافتی
• قطع اتصال به اینترنت بیسیم یا سیمی.
حملات حجمی
این نوع حمله متداولترین نوع حمله است که در آن هدف مصرف کردن و پرکردن پهنای باند است. در این حمله سرور به طور مداوم مجبور است با بررسی درخواستهای مخرب و تقلبی مقابله کند و عملاً دیگر جایی برای پذیرش ترافیک قانونی ندارد.
حملات پروتکل
در این روش هدف اتصالات شبکه و مصرف تمام منابع سرور یا منابع سیستمهای وابسته مثل دیوار آتش یا پرشدن یا overload بافر حافظه (Memory Buffer) است.
حملات لایهٔ کاربردی
در این حمله تمرکز بر مسدودسازی بالاترین سطوح خدمات سرور نظیر ترافیک مستقیم سرور و پروتکلهایی نظیر HTTP، HTTPS، DNS و SMTP که از اصلیترین و مهمترین پروتکلهای بستر اینترنت هستند.
راههای مقابله با حمله DDos
راههای مقابله با این نوع حملات به دلیل دشواری کنترل و بعضاً تشخیص آن شامل دو مرحله پیشگیری و اقدامات هنگام حمله میشود. اقدامات پیشگیرانه شامل بروز رسانی سیستم عاملها و سامانههایی، چون دیوار آتش (FireWall) است؛ همچنین داشتن برنامه و سناریو مشخص برای زمانی که حمله را تشخیص دهیم و قصد مقابله با آن را داشته باشیم. امروزه برای این منظور از تیمهای واکنش اضطراری کامپیوتری یا CERTها استفاده میکنند.
همچنین لازم است زیرساختهای شبکهای از تجهیزات و سامانههای دفاعی، چون فایروالهای ترکیبی و VPN (Virtual Private Network) برخوردار باشند. سرویس VPN با نصب یک نرمافزار روی سیستم، تمامی دادههای دستگاه را رمزگذاری کرده و سپس این دادهها را از طریق سرور خود در اینترنت مسیریابی میکند. طی این فرایند آدرس آیپی شما مخفی شده و بنابراین کسی نمیتواند آن را کشف کند.
بدون IP امکان طرحریزی حمله DDoS وجود ندارد. علاوه بر این، استفاده از VPN امنیت دستگاه را بالا میبرد و دسترسی را برای هکرها سختتر میکند.
یکی از راههایی که امروز استفاده از آن درحالرشد است برونسپاری پیشگیری از حملات DDoS به سرویسهای مبتنی بر خدمات ابری است، زیرا ابرها (Cloud) دارای پهنای باند بسیار بیشتری هستند و منابع آن بیش از یک شبکه خصوصی است. دوماً ماهیت Cloudها به معنی منبعی پراکنده است؛ برنامههای مبتنی بر ابر میتوانند ترافیک مضر یا مخرب را قبل از رسیدن به مقصد موردنظر جذب کنند؛ و سومین دلیل آن است که خدمات مبتنی بر ابر توسط مهندسین نرمافزاری اداره میشوند که وظیفه آنها نظارت بر وب همراه با آگاهی از آخرین تکنیکهای DDos است.
همچنین میتوان از Honeypotها برای جلوگیری از حملات DDoS استفاده کرد. Honeypotها سیستمهایی هستند که با حداقل سطح امنیت راهاندازی میشوند که میتوان از آنها برای فریب حملهکننده به آن استفاده کرد و دارای سیستم واقعی نیستند. Honeypotها معمولاً در سیستمهای حفاظتی دارای ارزش نیستند، ولی میتوان از آنها برای جمعآوری اطلاعات درباره حملهکننده با استفاده از ثبت فعالیتهای آنها و آموختن نوع حملات و ابزارهایی که حملهکننده به کار میبرد، استفاده کرد.
سخن پایانی
حمله بندآوری خدمات آن هم از نوع توزیع یافتهاش، میتواند تبدیل به کابوس مدیران کسبوکارهای اینترنتی چه در سطح خرد و چه در سطح کلان شود. بهعنوان مثال شرکت بزرگ گوگل مدعی شده که یکی از بزرگترین قربانیان حملات DDoS است، حملاتی با حجم ۲.۵ ترابایت بر ثانیه. آمارها نشان میدهد هر ۶۰ ثانیه ۱۶ حمله DDoS در دنیا رخ میدهد و نرخ این حملات به ۶۲۲ گیگابایت بر ثانیه رسیده است. اما زنگ هشدار حملات DDoS آنجایی به صدا در میآید که بدانیم طبق آمارها فعالیتها و حملات DDoS در سال ۲۰۲۰ از سالهای پیش رشد بیشتری داشته است.
همچنین به علت استفاده مهاجمان سایبری از تکنیکهای جدید، طول مدت خارج ساختن خدمات در اثر این نوع از حمله ۲۴ درصد افزایشیافته و از نظر تعداد حملات در ۴ ماهه اول سال ۲۰۲۰، ۷۷۶ درصد افزایش را شاهد بودهایم، و این رقم به ۲۳ هزار مورد حمله در روز رسیده است.
البته در اثر مواجه بیشتر مردم در سالهای اخیر با این حملات اطلاع و آگاهی مردم از این حمله نیز افزایشیافته است. بااینحال، همچنان مدیران کسبوکارهای کوچک باید آگاهی و دانش خود از این نوع تهدیدات سایبری را بیشتر کنند.
_______________________________
- منابع:
https://b۲n.ir/۶۱۸۲۷۴
https://b۲n.ir/۹۱۵۴۹۵
https://b۲n.ir/۶۷۹۱۲۹
https://us-cert.cisa.gov/ncas/tips/ST۰۴-۰۱۵
https://phoenixnap.com/blog/prevent-ddos-attacks
https://www.zoomit.ir/۲۰۱۸/۷/۶/۲۸۳۸۶۹/ddos-attak-protection
https://phoenixnap.com/blog/prevent-ddos-attacks
https://iranhost.com/blog/%D۸%AD%D۹%۸۵%D۹%۸۴%D۹%۸۷-%DB%۸C-ddos
https://www.infosecurity-magazine.com/news/google-reveals-it-was-hit-by
https://www.comparitech.com/blog/information-security/ddos-statistics-facts
https://www.zdnet.com/article/۱۶-ddos-attacks-take-place-every-۶۰-seconds-rates-reach-۶۲۲-gbps