حمله DDOS چیست؟
حمله DDoS (حمله انکار سرویس توزیع شده) تلاشی است برای از دسترس خارج کردن یک سرویس آنلاین، شبکه یا برنامه ، با استفاده از سرازیر کردن حجم زیادی از ترافیک از منابع متعدد و نا معتبر که توسط یک فرد یا افراد مختلف انجام می شود.
حمله DDOS نه تنها بر سرویس هدف تأثیر مخرب خواهد داشت، بلکه سبب می شود کاربران عادی این سرویس و تمام سرویس های وابسته به آن تحت تاثیر این حمله قرار گرفته و دسترسی های خود را از دست بدهند. در واقع ترافیک غیر عادی این حمله، جایگزین ترافیک عادی و همیشگی سرویس خواهند شد.
همه ما احتمالا در مورد این حملات، مطالبی را از طریق اخبار و شنیده ایم. گاهی این حملات به حدی گسترده می شود که سرور های عظیمی را از پای در می آورند. برای مثال در سال 2016 یک حمله باعث از کار افتادن بیشتر بخش های شرق ایالات متحده شد. اخیرا نیز حملات زیادی بر علیه GitHub صورت گرفت که در نوع خود یک رکورد از لحاظ میزان و شدت حملات محسوب می شد. در این جا قصد داریم تا به طور کلی در مورد حمله DDOS و راه های مقابله با آن توضیحاتی را ارائه دهیم.
حمله DDOS به زبان ساده
برای اینکه به ساده ترین شکل با نحوه کار حمله DDOS آشنا شوید بگذارید از یک مثال ساده استفاده کنیم. فرض کنید یک شهر بزرگ دچار یک حادثه عظیم نظیر زلزله یا طوفان شود. در چنین شرایطی معمولا تماس های زیادی برای کمک به مرکز پلیس، آتش نشانی و اورژانس خواهد شد. هر کدام از این مراکز دارای تلفن مخصوص و ده ها خط پاسخ گویی هستند. اما در این زمان تعداد افرادی که تماس می گیرند گاهی به هزاران نفر در یک لحظه خواهد رسید، در این صورت تمام خط ها پر خواهند شد و عملا درخواست ها بی جواب خواهند ماند. حملات DDOS نیز با استفاده از ترافیک غیر عادی برای مثال با ارسال 10000 درخواست در ثانیه پورت های پاسخ گویی سرور را پر می کنند. به این ترتیب عملا سایت یا سرویس مورد نظر دیگر نمی تواند پاسخ گوی درخواست های کاربران اصلی خود باشد.
هدف حمله DDOS چیست؟
هر سرویس آنلاین در هر شبکه ایی تحت تاثیر این حملات قرار خواهند گرفت. اما اغلب سایت های بازی، امور مالی و خبری مورد حمله های این چنین قرار می گیرند. به طور معمول، حمله کنندگان تلاش می کنند پیامی را به صورت سیاسی یا غیرمستقیم به وسیله مسدود کردن دسترسی به اطلاعات، ارسال کنند. مهاجمان از سرویس های DDoS برای خرابکاری های اینترنتی تا حمله به حلقه های سازمان یافته و سازمان های دولتی استفاده می کنند. گاهی از دسترس خارج شدن سایت به دلیل ترافیک بالای عادی است و به دلایل ضعف امنیتی و مشکلات سیستمی خود سرویس ها رخ می دهد. اما در کل اگر حملات را از پیش برنامه ریزی شده در نظر بگیریم با انگیزه هایی مانند اخاذی، رقابت، اعتراضات سیاسی و اجتماعی و تلافی است.
حمله DDOS چگونه صورت می گیرد؟
حمله کنندگان می توانند از دستگاه های مختلفی حتی یک تلفن همراه نیز برای شروع این حملات استفاده کنند. معمولا از ربات هایی برای شروع حملات استفاده می کنند. این ربات ها از طریق سرور یا سرور هایی تعداد زیادی در خواست به هدف ارسال می کنند.
همانطور که گفته شد باید سرور هایی از قبل آماده حمله شوند. گاهی اوقات کنترل این سرور ها را به وسیله هک یا بد افزار ها به دست می گیرند. گاهی نیز این سرور ها توسط حمله کنندگان از قبل تهیه شده است. بعد از کنترل این سرورها، در واقع مرکز کنترل و فرمان حملات را ایجاد کرده اند.
حالا نوبت ربات هایی است که توسط حمله کنندگان به این سرور ها دسترسی پیدا کرده اند و می توانند حجم بالایی از ترافیک را به سرور هدف مورد نظر روانه کنند. این ربات ها را که با نام زامبی ها نیز می شناسند، در واقع شبکه ایی از میزبان های آنلاین هستند و می توانند گوشی موبایل، لپ تاپ، روتر، سرور، اینترنت اشیا، دوربین های امنیتی یا سایر موارد مشابه باشند. این تنوع سبب می شود که فایر وال ها نتوانند این ترافیک ها را از ترافیک عادی تشخیص دهند. و سرویس ها مجبور به پاسخ دادن به درخواست هایی می شوند که در واقع از طریق همین ربات ها ایجاد شده و خیلی زود دچار مشکلاتی نظیر کند شدن سایت یا از دسترس خارج شدن آن می شوند.
انواع حمله DDoS
1 – حملات حجمی
حملات حجمی پهنای باند مورد استفاده سیستم های هدف را اشباع می کند. این تکنیک شایع ترین و ساده ترین راه برای مهاجمین است. اغلب مهاجمان از تکنیک های تقویتی برای تولید این ترافیک استفاده می کنند تا نیازی به در اختیار گرفتن تعداد زیادی منابع و سرور نداشته باشند.
2 – حملات پروتکل
این حملات به دلیل وجود ضعف در لایه 3 و 4 در مدل OSI انجام می شود. این بدان معناست که حمله کنندگان استفاده از مموری، هسته های پردازنده و سایر ابزار و منابع شبکه میان سرویس و کاربر را افزایش می دهند تا این ابزار ها کاربری خود را از دست بدهند.
3 – حملات نرم افزاری
این نوع حملات تاثیر گذارترین و سخت ترین نوع حملات از نوع شناسایی است. مهاجمان در این عملیات ها نیازی به استفاده از حجم زیادی از ترافیک ندارند، در حالی که در انواع دیگر حملات اینگونه نیست. این حملات عمدتاً باعث کندشدن نرم افزار یا سرویس می شوند. در این نوع حملات شناسایی ترافیک عادی از ترافیک مشکل ساز بسیار سخت است و معمولا سرویس دهنده نمی تواند آن را تشخیص دهد.
با گذر زمان و پیشرفت تکنولوژی انواع جدید از حمله DDoS بوجود آمده است. استفاده از روش های جدید مقابله با این حملات را سخت تر کرده است. از طرفی افزایش تعداد دستگاه های آنلاین این فرصت را ایجاد کرده تا حمله کننده از میزبان های زیادی برای شبکه ربات ها استفاده کنند. برای مثال با پیشرفت اینترنت اشیا ممکن است در آینده حتی از لامپ های خانه نیز برای حمله DDoS کمک بگیرند.
فراموش نکنید راه های زیادی برای امن کردن سرویس ها در مقابلات این حملات وجود دارد. سرویس دهنده ها در حال افزایش ایمنی تجهیزات خود هستند. اما بهترین راه کار بالابردن سطح تجهیزات خود و آنالیز و تهیه گزارش از درخواست های دریافتی به سرور ها به صورت روزانه است تا بتوان راهکار های مناسب برای مقابله با حملات را از قبل برنامه ریزی کنید.