Gerdab.IR | گرداب

فرض کنید در یک بیمارستان نیاز مبرم به واریز هزینه یک عمل جراحی دارید، اما سامانه پرداخت کار نکند و یا از دسترس خارج باشد؛ یا در یک روزی کاری هنگام شروع ساعات معامله بورس قصد بررسی پورتفوی خود را دارید، اما هر چه می‌خواهید وارد سامانه معاملاتی کارگزاری خود شوید بی‌فایده است. چه خساراتی به شما وارد می‌شود؟ آیا برخی از این خسارات قابل جبران هستند؟

در این نوشتار قصد بررسی نوعی از حملات سایبری به زیرساخت‌ها، سرور‌ها و تمامی دستگاه‌های تحت شبکه را داریم که دودش در درجه اول به چشم کاربران می‌رود. حملات بندآوری خدمات یا DoS.

بندآوری خدمات
حملات بندآوری خدمات DoS یا Denial of Service شاید یکی از معروف‌ترین حملات سایبری باشد که ما آن را شنیده‌ایم. اما این حمله سایبری چیست؟!

برای بهتر توضیح دادن این حمله با مثال یک مودم اینترنت شروع می‌کنیم که در دسترس همه ما هست و امروزه کمتر کسی است که در خانه یا محل کارش با مودم اینترنتی خود سروکار نداشته باشد. برای همه ما شرایطی پیش‌آمده که وقتی تعداد استفاده‌کنندگان از مودم اینترنت یا WiFi زیاد است با مشکلاتی مواجه می‌شویم که سابقه ندارد؛ مشکلاتی نظیر کند شدن یا بعضاً وصل نشدن به مودم؛ اصطلاحاً عملیات احراز هویت یا authentication هنگام وصل شدن به مودم به‌قدری طول می‌کشد که سعی می‌کنیم با دوباره خاموش و روشن‌کردن مودم، دوباره درخواست اتصال بدهیم. مشکل دیگری که همه ما هنگام شلوغی کاربران مودم با آن مواجه بوده‌ایم قطع شدن اتصال اینترنتی ما و یا سرعت بسیار پائین است که خوشایند نیست.

حملات DoS دقیقاً مشابه همین فضایی است که برای شما ترسیم کردیم، منتهی با این تفاوت که در اینجا فرد مهاجم با ارسال بسته‌های اتصال تقلبی بسیار بالا به مودم اصطلاحاً آن را Overload کرده و ادامه خدمات‌دهی را مختل می‌کند. مشابه همین حمله می‌تواند به هر دستگاه و سرور ارائه‌دهنده هر خدمتی نیز انجام شود.

فرض کنید که سروری در حال اجرای یک سرویس است و به درخواست‌های مختلف کاربران پاسخ می‌دهد. هر سرور، ظرفیت محدودی برای پاسخ‌گویی به درخواست‌های کاربران دارد و اگر به حد اشباع برسد، ممکن است نتواند درخواست‌ها را به‌موقع یا به‌درستی پاسخ دهد. یکی از راه‌های آسیب‌زدن به یک سرویس، استفاده از همین ظرفیت محدود هر سرور است. اگر یک کاربر، به شکل مداوم، به یک سرور درخواست بدهد، خواه ناخواه بخشی از ظرفیت سرور را به خود اختصاص داده است و باتوجه‌به محدود بودن ظرفیت، سرویس از دسترس تعدادی از کاربران خارج می‌شود مانند اتفاقی که در زمان انتخاب واحد در سامانه‌های دانشگاهی یا ثبت‌نام پیش‌فروش خودرو در سایت‌های شرکت‌های خودروسازی رخ می‌دهد.

در روشی دیگر، نفوذگر با ارسال درخواست‌های بسیار به یک سرور، باعث استفاده بیش از حد از منابع آن مانند پردازنده سرور، بانک اطلاعاتی، پهنای باند و … می‌شود به‌صورتی که سرور مجازی یا اختصاصیِ میزبان سایت به دلیل حجم بالای پردازش دچار وقفه و اختلال و یا حتی قطعی کامل شده و از دسترس خارج می‌شود. به این نوع حملات، حملهٔ (DoS (Denial of Service یا منع سرویس یا بندآوری خدمات گفته می‌شود. حملهٔ DoS معمولاً از یک ماشین و با IP ثابت انجام می‌شود، بنابراین گاهی می‌توان با بستن IP حمله‌کننده، جلوی حمله را گرفت.

حمله بندآوری خدمات توزیع شده؛ DDoS
درصورتی‌که حملات DoS هم‌زمان از چند سیستم انجام شود و بسته‌های اطلاعاتی از چند سیستم مختلف خارج شود به آن حمله DDoS یا حمله بندآوری خدمات توزیع شده می‌گوییم و طبیعتاً چند IP در این حمله دخیل خواهند بود. به این دلیل که حملات Dos از یک IP ثابت انجام می‌شود و بعضاً با بستن IP مهاجم می‌توان جلوی حمله Dos را گرفت، لذا مهاجمان از چند IP استفاده می‌کنند؛ در واقع حمله DDos به این دلیل نسخه بروز‌تر و پیشرفته‌تر Dos است.

حمله DDoS از ضعف ذاتی اینترنت برای صدمه زدن به قربانی استفاده می‌کند چرا که بستر اینترنت به‌گونه‌ای طراحی شده است که بسته‌های اطلاعاتی به بهترین و کوتاه‌ترین مسیر ممکن به مقصد برسد. این مزیت مهم‌ترین مزیت بستر اینترنت است و درعین‌حال ضعف امنیتی آن نیز محسوب می‌شود. DDoS از این مزیت برای صدمه زدن به قربانی استفاده می‌کند. همان‌طور که گفته شد در حمله DDoS جریان‌های بسته و درخواست‌ها از منابع مختلف و سیستم‌های مختلف منتشر می‌شود و فرد مهاجم تمام این منابع و سیستم‌ها را به‌صورت یکپارچه به هدف از کار انداختن قربانی استفاده می‌کند. بسته‌های حمله DDoS که به سمت قربانی ارسال می‌شود بسیار یکپارچه و درهم‌تنیده بوده به طوری که تشخیص و امکان جداسازی بسته اطلاعاتی سالم از مخرب بسیار دشوار است. درصورتی‌که مراقبت و تدابیر امنیتی اتخاذ نشود، سیستم قربانی ممکن است متحمل آسیب‌های بسیار سنگین مانند خاموشی سیستم و خرابی فایل‌های دریافتی یا حتی قطع تمام یا بخشی از سرویس گردد.

علائم و نشانه‌های حمله بندآوری خدمات توزیع یافته
مرکز واکنش فوریت‌های رایانه‌ای آمریکا (US-CERT) علائم حملات منع سرویس را این‌گونه تعریف می‌کند:
• کارایی کند و غیرمعمول شبکه
• در دسترس نبودن یک وب‌سایت خاص
• ناتوانی در دسترسی به یک وب‌سایت
• افزایش چشمگیر در تعداد هرزنامه‌های دریافتی
• قطع اتصال به اینترنت بی‌سیم یا سیمی.

حملات حجمی
این نوع حمله متداول‌ترین نوع حمله است که در آن هدف مصرف کردن و پرکردن پهنای باند است. در این حمله سرور به طور مداوم مجبور است با بررسی درخواست‌های مخرب و تقلبی مقابله کند و عملاً دیگر جایی برای پذیرش ترافیک قانونی ندارد.

حملات پروتکل
در این روش هدف اتصالات شبکه و مصرف تمام منابع سرور یا منابع سیستم‌های وابسته مثل دیوار آتش یا پرشدن یا overload بافر حافظه (Memory Buffer) است.

حملات لایهٔ کاربردی
در این حمله تمرکز بر مسدودسازی بالاترین سطوح خدمات سرور نظیر ترافیک مستقیم سرور و پروتکل‌هایی نظیر HTTP، HTTPS، DNS و SMTP که از اصلی‌ترین و مهم‌ترین پروتکل‌های بستر اینترنت هستند.

راه‌های مقابله با حمله DDos
راه‌های مقابله با این نوع حملات به دلیل دشواری کنترل و بعضاً تشخیص آن شامل دو مرحله پیشگیری و اقدامات هنگام حمله می‌شود. اقدامات پیشگیرانه شامل بروز رسانی سیستم عامل‌ها و سامانه‌هایی، چون دیوار آتش (FireWall) است؛ همچنین داشتن برنامه و سناریو مشخص برای زمانی که حمله را تشخیص دهیم و قصد مقابله با آن را داشته باشیم. امروزه برای این منظور از تیم‌های واکنش اضطراری کامپیوتری یا CERT‌ها استفاده می‌کنند.

همچنین لازم است زیرساخت‌های شبکه‌ای از تجهیزات و سامانه‌های دفاعی، چون فایروال‌های ترکیبی و VPN (Virtual Private Network) برخوردار باشند. سرویس VPN با نصب یک نرم‌افزار روی سیستم، تمامی داده‌های دستگاه را رمزگذاری کرده و سپس این داده‌ها را از طریق سرور خود در اینترنت مسیریابی می‌کند. طی این فرایند آدرس آی‌پی شما مخفی شده و بنابراین کسی نمی‌تواند آن را کشف کند.

بدون IP امکان طرح‌ریزی حمله DDoS وجود ندارد. علاوه بر این، استفاده از VPN امنیت دستگاه را بالا می‌برد و دسترسی را برای هکر‌ها سخت‌تر می‌کند.

یکی از راه‌هایی که امروز استفاده از آن درحال‌رشد است برون‌سپاری پیشگیری از حملات DDoS به سرویس‌های مبتنی بر خدمات ابری است، زیرا ابر‌ها (Cloud) دارای پهنای باند بسیار بیشتری هستند و منابع آن بیش از یک شبکه خصوصی است. دوماً ماهیت Cloud‌ها به معنی منبعی پراکنده است؛ برنامه‌های مبتنی بر ابر می‌توانند ترافیک مضر یا مخرب را قبل از رسیدن به مقصد موردنظر جذب کنند؛ و سومین دلیل آن است که خدمات مبتنی بر ابر توسط مهندسین نرم‌افزاری اداره می‌شوند که وظیفه آن‌ها نظارت بر وب همراه با آگاهی از آخرین تکنیک‌های DDos است.

همچنین می‌توان از Honeypot‌ها برای جلوگیری از حملات DDoS استفاده کرد. Honeypot‌ها سیستم‌هایی هستند که با حداقل سطح امنیت راه‌اندازی می‌شوند که می‌توان از آن‌ها برای فریب حمله‌کننده به آن استفاده کرد و دارای سیستم واقعی نیستند. Honeypot‌ها معمولاً در سیستم‌های حفاظتی دارای ارزش نیستند، ولی می‌توان از آن‌ها برای جمع‌آوری اطلاعات درباره حمله‌کننده با استفاده از ثبت فعالیت‌های آن‌ها و آموختن نوع حملات و ابزار‌هایی که حمله‌کننده به کار می‌برد، استفاده کرد.

سخن پایانی
حمله بندآوری خدمات آن هم از نوع توزیع یافته‌اش، می‌تواند تبدیل به کابوس مدیران کسب‌وکار‌های اینترنتی چه در سطح خرد و چه در سطح کلان شود. به‌عنوان مثال شرکت بزرگ گوگل مدعی شده که یکی از بزرگ‌ترین قربانیان حملات DDoS است، حملاتی با حجم ۲.۵ ترابایت بر ثانیه. آمار‌ها نشان می‌دهد هر ۶۰ ثانیه ۱۶ حمله DDoS در دنیا رخ می‌دهد و نرخ این حملات به ۶۲۲ گیگابایت بر ثانیه رسیده است. اما زنگ هشدار حملات DDoS آنجایی به صدا در می‌آید که بدانیم طبق آمار‌ها فعالیت‌ها و حملات DDoS در سال ۲۰۲۰ از سال‌های پیش رشد بیشتری داشته است.


همچنین به علت استفاده مهاجمان سایبری از تکنیک‌های جدید، طول مدت خارج ساختن خدمات در اثر این نوع از حمله ۲۴ درصد افزایش‌یافته و از نظر تعداد حملات در ۴ ماهه اول سال ۲۰۲۰، ۷۷۶ درصد افزایش را شاهد بوده‌ایم، و این رقم به ۲۳ هزار مورد حمله در روز رسیده است.

البته در اثر مواجه بیشتر مردم در سال‌های اخیر با این حملات اطلاع و آگاهی مردم از این حمله نیز افزایش‌یافته است. بااین‌حال، همچنان مدیران کسب‌وکار‌های کوچک باید آگاهی و دانش خود از این نوع تهدیدات سایبری را بیشتر کنند.

_______________________________

- منابع: 

https://b۲n.ir/۶۱۸۲۷۴
https://b۲n.ir/۹۱۵۴۹۵
https://b۲n.ir/۶۷۹۱۲۹
https://us-cert.cisa.gov/ncas/tips/ST۰۴-۰۱۵
https://phoenixnap.com/blog/prevent-ddos-attacks
https://www.zoomit.ir/۲۰۱۸/۷/۶/۲۸۳۸۶۹/ddos-attak-protection
https://phoenixnap.com/blog/prevent-ddos-attacks
https://iranhost.com/blog/%D۸%AD%D۹%۸۵%D۹%۸۴%D۹%۸۷-%DB%۸C-ddos
https://www.infosecurity-magazine.com/news/google-reveals-it-was-hit-by
https://www.comparitech.com/blog/information-security/ddos-statistics-facts
https://www.zdnet.com/article/۱۶-ddos-attacks-take-place-every-۶۰-seconds-rates-reach-۶۲۲-gbps