setakit.com
setakit.com

حملات DDos

حملات DDoS یا distributed denial-of-service چیست؟

دیداس (DDoS) یکی از رایج ترین حملات سایبری و قدرتمندترین آن ها به شمار می رود. دیداس، سرورها و سرویس های آنلاین را مورد هدف قرار می دهد. در این نوع حملات، نفوذگر با ارسال درخواست های مکرر به یک سرور و افزایش ترافیک، باعث می شود از دسترس خارج گردد و ترافیک نرمال دچار اختلال شود. حملات DDoS، از سیستم های کامپیوتری پرخطر از جمله رایانه ها و منابع شبکه مانند دستگاه های IOT، به عنوان منابع ایجاد ترافیک استفاده می کنند. از منظری دیگر، حملات DDoS همانند ترافیک جاده ای می باشد، و از ورود منظم ترافیک، به مقصد مورد نظر جلوگیری به عمل می آورد.


در این مقاله می خوانید:

مشاهده فیلم آموزشی DDoS Attack

انواع حملات DDoS

عملکردهایی جهت کاهش حملات DDoS

تفاوت DoS و DDoS


حملات DDOS چیست

عملکرد حملات DDoS چگونه است؟

حملات دیداس، جهت دستیابی و کنترل شبکه های آنلاین و هدایت صحیح حمله، به یک مهاجم نیاز دارد. در این پروسه، کامپیوترها و سایر دیوایس ها مانند دیوایس های IOT توسط بدافزار (malware) آلوده می شوند و هر یک را به یک ربات (bot) تبدیل می کنند. سپس مهاجم قادر می گردد به ربات ها دسترسی پیدا کند و  آن ها را از راه دور کنترل کند، که این عملکرد به botnet مشهور است.

پس از ایجاد یک بات نت (botnet)، این امکان برای مهاجم وجود دارد که با ارسال دستورالعمل های به روز شده به هر ربات از طریق سیستم کنترل از راه دور، دیوایس ها را هدایت کند. زمانی که یک آدرس آی پی خاص، مورد هدف بات نت قرار می گیرد، هر ربات شروع به ارسال درخواست های مکرر به سرور یا شبکه هدف می نمایند. این امر منجر به افزایش بیش از حد ترافیک می گردد. خبر بد این است که چون در دنیای اینترنت، هر ربات به عنوان یک دستگاه قانونی شناخته می شود، پس جداسازی ترافیک ناشی از حمله از ترافیک نرمال، بسیار مشکل می باشد.

انواع حملات DDoS

بردارهای مختلف حملات DDoS، اجزا مختلف اتصال به شبکه را مورد هدف قرار می دهند. برای درک بهتر چگونگی عملکردهای متفاوت حملات DDoS، ابتدا باید بدانید چگونه یک اتصال شبکه ایجاد می گردد. هر اتصال شبکه بر روی بستر اینترنت، از چندین اجزا یا لایه های مختلف، تشکیل شده است. دقیقا مانند مراحل ساخت یک خانه از پی آن؛ هر مرحله، هدف دارای هدف متفاوتی می باشد. مدل OSI که در زیر نشان داده می شود، یک چارچوب مفهومی جهت توصیف و تفسیر اتصال شبکه در هفت لایه مجزا می باشد.

OSI چیست

با این که می توان گفت تقریبا تمامی حملات DDoS با غافلگیر کردن دستگاه های هدف با ایجاد ترافیک بیش از حد اتفاق می افتد، اما باز هم می توان حملات را به سه دسته تقسیم نمود.

۱- Application Layer Attacks

هدف حمله:

گاهی اوقات با توجه به حملات لایه ۷ (تصویر فوق) گفته می شود این حملات با هدف فرسایش منابع مورد نظر ایجاد شده اند. این حملات، لایه ای را مورد هدف قرار می دهند که صفحات وب در سرور بر روی آن ایجاد می گردد و درخواست های HTTP در آن جا پاسخ داده می شوند. یک درخواست HTTP، از سمت مشتری به آسانی اجرا می شود اما می تواند برای سرور هدف بسیار مشکل باشد، زیرا سرور باید چندین فایل را لود (load) کند و درخواست پایگاه داده ها را به منظور ایجاد یک صفحه وب اجرا کند. بنابراین دفاع از حملات لایه ۷، دشوار است.

مثالی از حملات Application Layer تحت عنوان TTP Flood

مثالی از حمله application layer

این حمله مشابه refresh کردن مکرر مرورگر وب در کامپیوترهای مختلف در یک زمان می باشد. به عبارتی تعداد زیادی درخواست HTTP به سمت سرور ارسال می شوند و در نتیجه سرور از دسترس خارج می گردد. این نوع حمله از ساده تا پیچیده متغیر است. پیاده سازی ساده ی آن ممکن است دستیابی به یک URL باشد. نوع پیچیده آن ممکن است از تعداد زیادی آدرس های آی پی جهت حمله استفاده کند و URL ها را به صورت تصادفی مورد هدف قرار دهد.

۲- Protocol Attacks

هدف حمله:

به این نوع حملات، حملات state-exhaustion نیز گفته می شود، که در آن، با مصرف تمامی ظرفیت سرورهای برنامه های وب یا منابعی مانند فایروال ها و load balancing ایجاد اختلال می کند. Protocol Attacks از نقاط ضعف موجود در لایه سه و چهار استفاده می کند و دسترسی به هدف را غیر ممکن می کند.

مثالی از حملات Protocol Attacks تحت عنوان SYN Flood

مثالی از protocol Attack

این حمله دقیقا مانند این است که یک کارگر در انباری، درخواست خود را از قسمت جلوی فروشگاه تحویل بگیرد. کارگر، درخواست را دریافت می کند، می رود و بسته مورد نظر را دریافت می کند و قبل از این که بسته را خارج کند، منتظر تاییدیه می ماند. حالا این کارگر درخواست های خیلی زیادی را بدون تاییدیه دریافت می کند، به طوری که دیگر قادر به حمل آن ها نمی باشد و از این پس نمی تواند به درخواست ها پاسخی بدهد.

این حمله با ارسال تعداد زیادی درخواست اتصال (Initial Connection Request)، از قربانی سوء استفاده می کند. دیوایس هدف به هر درخواست کانکشنی (connection request) پاسخ می دهد و منتظر آخرین مرحله در handshake می ماند که قرار نیست اتفاق بیافتد، بلکه باعث فرسایش منابع هدف می گردد.

Volumetric Attacks

هدف حمله:

این دسته از حملات سعی بر ایجاد تراکم بالا بین هدف و اینترنت بزرگ تر، با مصرف کلیه پهنای باند دارند. داده های بسیار زیادی با استفاده از ایجاد ترافیک گسترده مانند درخواست هایی از botnet، به هدف ارسال می گردند.

مثالی از Volumetric Attacks تحت عنوان DNS Amplification

مثالی از volumetric attack

DNS Amplification مانند این است که شخصی به رستوران زنگ بزند و تمامی آیتم های منوی رستوران را سفارش بدهد و سپس بگوید حالا به من تلفن کنید و سفارش من را یک به یک بخوانید. به عبارتی با یک تلاش بسیار کم، یک پاسخ بسیار طولانی ایجاد می شود.

توسط ایجاد یک درخواست با آدرس آی پی Spoofed (آدرس آی پی حقیقی هدف) و ارسال آن به open DNS server، آدرس آی پی هدف درخواستی از سرور دریافت می کند. در این حالت مهاجم درخواست ها را به گونه ای تنظیم می کند که DNS server با مقادیر بسیار زیادی داده به هدف پاسخ دهد. در نتیجه هدف با درخواست های فراوان ارسال شده از مهاجم روبرو می گردد.

عملکردهایی جهت کاهش حملات دیداس

نگرانی اصلی در مورد کاهش حملات DDoS، تمایز ترافیک معمولی از ترافیک ناشی از حمله می باشد. در اینترنت مدرن، ترافیک DDoS در شکل های مختلفی ظاهر می شود. کاهش حملات  چندبرداری (multi-vector) نیاز به استراتژی های مختلفی دارد تا بتواند با روش های مختلف مقابله کند. به طور کلی هر چه حمله پیچیده تر باشد، به همان اندازه تشخیص آن از ترافیک نرمال مشکل تر خواهد بود. هدف مهاجم پیچیده تر کردن این فرایند و در نتیجه مسدود کردن روش های کاهش حملات می باشد. تلاش هایی که جهت محدود کردن ترافیک صورت می گیرد ممکن است منجر به کاهش ترافیک نرمال گردد. به عبارت دیگر بهترین روش راه حل های layered می باشد.

Black Hole Routing

یکی از راه حل هایی که می توان گفت تقریبا در دسترس تمامی شبکه ها می تواند قرار بگیرد ایجاد یک blackhole route و هدایت ترافیک به مسیر مورد نظر می باشد. زمانی که عمل فیلترینگ بدون هیچ گونه معیار محدود کننده ای انجام می شود، کل ترافیک اعم از مخرب و نرمال به blackhole هدایت می گردند و از شبکه دور می شوند. در صورتی که یکی از ویژگی های اینترنت تجربه حملات DDoS باشد، ممکن است ISP کل ترافیک را برای دفاع به blackhole  بفرستد.

Rate Limiting

محدود کردن تعداد درخواست هایی که یک سرور در طی یک بازه زمانی خاص می پذیرد، نیز یکی از راه های کاهش حملات DDoS می باشد. قابل ذکر است با این که این روش در کاهش سرقت محتوا و کاهش brute force login موثر است، اما به تنهایی برای مقابله با حملات کافی نیست.

Web Application Firewall

ابزاری جهت کمک به کاهش حملات در لایه ۷ می باشد. با قرار دادن WAF  بین اینترنت و سرور مبدا، WAF همانند سرور پراکسی عمل می کند. به عبارتی از سرور هدف در مقابل انواع خاصی از ترافیک های مخرب، محافظت می کند. با فیلتر کردن درخواست ها بر اساس یک سری قوانینی که برای شناسایی ابزارهای DDoS استفاده شده، می توان از حملات لایه ۷ جلوگیری به عمل آورد.

Anycast Network Diffusion

این روش از شبکه Anycast استفاده می کند تا ترافیک ناشی از حمله را در شبکه توزیع شده در سرور کاهش دهد به طوری که ترافیک توسط شبکه جذب می گردد. درست مانند روش هدایت یک رودخانه به سمت کانال های کوچک و جداگانه. این روش تاثیر ترافیک ناشی از حمله را تا جایی که قابل کنترل باشد، پراکنده می کند. در ضمن قابلیت اطمینان این روش بستگی به ابعاد حمله و کارایی شبکه دارد.

تفاوت حملات DoS و DDoS

در حمله DOS یا denial of service یک کامپیوتر، حجم زیادی از ترافیک را به سمت کامپیوتر قربانی ارسال می نماید و سپس آن را خاموش می کند. حمله DoS یک حمله آنلاین است که به منظور خارج کردن یک وب سایت از دسترس کاربران، مورد استفاده قرار می گیرد. کاری که حمله DoS انجام می دهد این است که با ارسال حجم زیادی ترافیک به سمت سرور یک وب سایت،آن را از کار می اندازد. این در حالی است که حملات DDoS از سیستم های مختلفی که در محل های گوناگون قرار دارند، ترافیک ارسال می کند.

DDoSDoS
چند سیستم قربانی را مورد هدف قرار می دهدیک سیستم قربانی را مورد هدف قرار می دهد
کامپیوتر قربانی، ترافیک زیادی را از چندین محل و سیستم دریافت می کندکامپیوتر قربانی، ترافیک زیادی را از یک محل دریافت می کند
سریع تر از حمله داس استکند تر از حمله دیداس است
چون از چندین سیستم حمله می شود، مسدود کردن آن بسیار مشکل استچون از یک سیستم حمله می شود، به راحتی می توان آن را مسدود کرد
از بات های مختلف در محل های گوناگون برای این حمله استفاده می شوداز یک دستگاه برای این حمله استفاده می شود
ردیابی این حمله بسیار دشوار استردیابی این حمله ساده است
حجم ترافیک در مقایسه با حمله داس، بسیار بیشتر استحجم ترافیک در مقایسه با حمله دیداس، بسیار کمتر است

انواع مختلف حمله DoS:

  •  Buffer overflow attacks
  • Ping of Death or ICMP flood
  • ۳Teardrop Attack

انواع مختلف حمله DDoS:

  • Volumetric Attacks
  • Fragmentation Attacks
  • Application Layer Attacks

DDoS Attack

 

سایر مطالب مرتبط

حملات فیشینگ           تزریق پایگاه داده ستاک فناوری ویرا        حمله مرد میانی چیست        کلیک جکینگ

حملات Phishing                   راه های مقابله با  SQL injection              حمله مرد میانی                             کلیک جکینگ