setakit.com
setakit.com

نحوه مسدود کردن حملات DDos با استفاده از سیستم های هوشمند

حملات DDoS می توانند فاجعه بار باشند اما در اختیار داشتن دانش و تاکتیک های مناسب می تواند تا حد زیادی شانس شما در سرکوب حمله را افزایش دهد.

در این مقاله، پنج روش که به واسطه آن ها، یک سیستم هوشمند می تواند تا حد زیادی زمان پاسخ به حمله DDoS را کاهش دهد و در عین حال، ابزارهایی برای مسدود کردن چنین حملاتی را ارزیابی نماید؛ بررسی می کنیم.

زمان پاسخ برای هر شرکتی حیاتی است زیرا در جهان ما که همه چیز به هم متصل است، حملات DDoS باعث از کار افتادن سیستم ها می شوند و این از کارافتادگی به معنی از دست رفتن فرصت هاست.

هر چه سیستم های شما برای مدت بیشتری از کار افتاده باشند، سود شما کاهش بیشتری خواهد داشت.

اجازه دهید نگاه دقیق تری به همه راه هایی داشته باشیم که یک سیستم هوشمند می تواند زمان را در یک حمله DDoS به نفع شما تغییر دهد. ابتدا باید مشخص کنیم یک سیستم دفاعی هوشمند دقیقا چقدر زمان می تواند برای شما ذخیره نماید.

 

زمان پاسخ در سیستم های هوشمند در برابر سیستم های سنتی

قطعا دفاع هوشمند DDoS سریع تر از دفاع سنتی در برابر DDoS خواهد بود، اما تا چه اندازه سریع تر؟

موسس و مدیر کل NimbusDDoS، اندی شومیکر اخیرا مطالعه ای در این زمینه انجام داده است. نتایج، دربردارنده مطالب زیادی بودند: دفاع DDoS هوشمند، زمان واکنش به حمله را پنج برابر کاهش می دهد.

میانگین زمان پاسخ با استفاده از دفاع هوشمند تنها شش دقیقه بود، که قابل مقایسه با مدت ۳۵ دقیقه ای در صورت استفاده از فرایندهای سنتی، نیست. این اختلاف ۲۹ دقیقه ای بسیار قابل توجه است.

در برخی موارد، دفاع هوشمند حتی قادر بوده است زمان پاسخ را به طور کامل حذف نماید.

یک سیستم دفاعی هوشمند، به پنج طریق عمده زمان پاسخ را کاهش می دهد. این سیستم ها می توانند:
  1. به سرعت حملات وارده را شناسایی کنند: با استفاده از داده های جمع آوری شده در زمان عدم حمله، یک سیستم دفاع DDoS هوشمند می تواند به صورت آنی، ترافیک مشکوکی را شناسایی کند که به سادگی از چشم ناظر انسانی دور می ماند.
  2. مسیر ترافیک را بر اساس واکنش تغییر دهد: در الگوی استقرار نرم افزار، زمانی که حمله ای شناسایی شد، سیستم دفاع DDoS هوشمند می تواند با استفاده از سیستم مسیریابی متصل به پروتکل BGP، ترافیک بدخواه را به یک مرکز شناسایی مشترک هدایت کند.
  3. استراتژی های کاهش تنش را به کار گیرد: زمانی که حمله در حال آسیب وارد کردن به ترافیک است، یک سیستم دفاع DDoS هوشمند بر اساس سیاست های تعریف شده شما به شکلی که تنظیم شده، دست به اقدام می زند و در عین حال آسیب متقابل به ترافیک مشروع را نیز به حداقل می رساند.
  4. الگوها را در ترافیک حمله شناسایی کند: با بازرسی دقیق مقادیر گسترده ی ترافیک مخرب در دوره زمانی کوتاهی، سیستم دفاع DDoS هوشمند می تواند الگوها را به صورت لحظه ای استخراج کند تا حملات باتنت لحظه ای را مسدود نماید.
  5. اطلاعات تهدید DDoS جاری را به کار گیرد: یک سیستم دفاع DDoS هوشمند می تواند به لیست های انسداد IP مبتنی بر تحقیقات و پایگاه های داده تسلیحات DDoS دسترسی یابد و از آن اطلاعات در مورد کل ترافیک مورد حفاظت بهره گیرد.

یک سیستم دفاع DDoS هوشمند، بعد از حمله از کار باز نمی ایستد. زمانی که حمله با موفقیت سرکوب شد، گزارش های دقیقی تولید می کند که شما و ذینفعان می توانید برای تحلیل جزئیات و اطلاع رسانی به سایرین استفاده کنید.

با این که حمله کنندگان DDoS هرگز از نوآوری و تنظیم روش های خود باز نمی ایستند، ولی سیستم های هوشمند حفاظت در برابر DDoS هم به همین صورت هستند.

شرکت ها با استفاده از سیستم هوشمند جهت شناسایی سریع و سرکوب تهدیدات با کمک اطلاعات تهدید به روز، می توانند از خود در برابر حملات DDoS به سرعت دفاع نمایند.

 

سه استراتژی کلیدی برای مسدود کردن حملات DDoS

در حالی که بسیار حیاتی است که از سیستم هوشمندی برخوردار باشید که بتواند به سرعت به حملات پاسخ دهد، به همان اندازه نیز مهم است که استراتژی هایی به کار بگیرید که به دستیابی شما به هدف تضمین دسترسی سرویس برای کاربران مجاز نیز کمک کند.

هرچه باشد، حملات DDoS ماهیتا غیرهمگام هستند. شما نمی توانید مانع از آغاز حمله از سوی حمله کننده شوید، ولی با سه استراتژی حیاتی می توانید نسبت به حمله انعطاف داشته باشید و در عین حال از کاربران خود محافظت کنید.

هریک از سه روش لیست شده در زیر به عنوان یک استراتژی سرکوب DDoS مبتنی بر منبع، شناخته می شود.

استراتژی های مبتنی بر منبع (Source-Based)، از علت به عنوان مبنایی برای انتخاب ترافیکی که باید مسدود شود، استفاده می کنند. روش سرکوب مبتنی بر مقصد (Destination-Based)، برای جلوگیری از سقوط ترافیک، متکی به مدیریت ترافیک (Traffic Shaping) است.

در حالی که شکل دهی ترافیک مقصد، در حفظ سلامت سیستم در برابر اشباع شدن در زمان حمله موثر است ولی به همان اندازه آکنده از آسیب متقابل غیرگزینشگرانه برای کاربران مجاز است.

– پیگیری انحراف:

استراتژی پیگیری انحراف بدین صورت عمل می کند که ترافیک را به صورت پیوسته مورد نظارت قرار می دهد تا بیاموزد چه چیزی نرمال است و چه چیزی مبین تهدید می باشد.

به طور خاص، سیستم دفاعی می تواند نرخ داده ها یا نرخ درخواست ها را بر اساس چند ویژگی تحلیل کند (برای مثال، BPS، PPS، نسبت SYN-FIN Session Rate، و مانند آن) تا تعیین نماید چه ترافیکی مشروع و چه ترافیکی بدخواه است، یا ممکن است بات ها یا ترافیک جعلی را به واسطه ناتوانی آن ها در پاسخ به سوالات چالشی شناسایی نماید.

– تشخیص الگو:

استراتژی تشخیص الگو از یادگیری ماشین برای یافتن الگوی رفتار غیرمعمولی استفاده می کند که عموما به صورت لحظه ای از سوی DDoS botnets و حملات Reflected Amplification بروز می شود.

– Reputation:

برای استفاده از Reputation به عنوان یک استراتژی مسدودسازی مبتنی بر منبع (Source-Based)، سیستم دفاع DDoS از اطلاعات تهدید ارائه شده از سوی محققان آدرس های اینترنی باتنت DDoS، به علاوه ده ها میلیون سرور انتشار دهنده حملات Reflected Amplification استفاده می کند.

سپس، سیستم از آن اطلاعات برای مسدود کردن آدرس های اینترنتی دارای مطابقت در زمان حمله استفاده می کند.

هریک از این سه استراتژی سرکوب DDoS مبتنی بر منبع (Source-Based) مستلزم قابلیت های محاسباتی بیشتری، نسبت به حفاظت بی رویه در مقصد را دارد.

ولی از آن جهت دارای مزیت قابل توجه هستند که قادرند مانع مسدود شدن کاربران مجاز گردند و بدین صورت زمان قطعی را کاهش داده و مانع از بین رفتن بی جهت سود می شوند.

با دانستن این مطلب، می توانیم بگوییم هر سه این استراتژی های سرکوب حمله، ارزش سرمایه گذاری را دارند.

در این بین کمپانی فورتینت با استفاده از محصول FortiDDos اقدام به ارائه مجموعه گسترده ای از متدولوژی های DDos شناخته شده و ایجاد یک رویکرد چند لایه برای کاهش حملات، از مراکز داده سازمانی در برابر حملات DDos دفاع می کند. همچنین رفتار داده ها را برای شناسایی حملات جدید تجزیه و تحلیل می کند و به سیستم اجازه می دهد تا تهدیدات روز صفر را متوقف نماید. این فرآیند به ارتقاء کسب و کار شما کمک می نماید.

 

 

 

سایر مطالب مرتبط


حمله DDos چیست؟

حملات Reflection Amplification چیست و چگونه عمل می کند؟

بات نت (Botnet) چیست؟

حملات Active و Passive (حمله فعال و غیرفعال شبکه)

IP Spoophing یا آی پی جعلی چیست؟

عملکرد FortiGuard Web Filtering

عملکرد FortiGate IDS

عملکرد FortiGuard IP Reputation