حملات Ddos
Dos به معنی denial of service attack است. حملهی Ddos نوع پیشرفتهتر حملهی Dos است. Ddos یعنی ارسال درخواستهای بیشمار به سرور های مجازی و یا اختصاصی، این حملات تا زمانی ادامه دارد تا منابع سرور از دسترس خارج شود. یکی از روش های مورد علاقهی هکران استفاده از حملات Ddos است.
درواقع حمله به گونهای است تقاضاهای زیاد به سمت سیستم هدف با قصد اینکه سرور مورد نظر توان پاسخگویی خود را از دست بدهد، حمله ddos نام دارد.
حملات دیداس (DDoS Attack)
حملات DDoS (Distributed Denial of Service) و یا حملات دیداس به معنای حملاتی هستند که هدف آنها قطع سرویس یا از دسترس خارج کردن یک سرویس یا وبسایت میباشد. در یک حمله DDoS، تعداد زیادی سیستم (معمولاً هزاران یا حتی میلیونها سیستم)، که به عنوان باتنت در اختیار حملهکننده قرار دارند، همزمان به سرور یا سرویس مورد هدف درخواستهای غیرمعمول و بسیار زیادی را ارسال میکنند. این درخواستها سرور را به حدی مشغول میکنند که نتواند درخواستهای معمولی را پاسخ دهد، و در نتیجه کاربران حقیقی نیز نمیتوانند به سرویس یا وبسایت دسترسی پیدا کنند.
حملات دیداس معمولاً با استفاده از باتنتها (Botnet) صورت میگیرند. باتنتها، گروهی از کامپیوترها یا دستگاهها هستند که توسط حملهکننده کنترل میشوند و به طور ناخواسته در ارسال درخواستها به سرور مورد هدف شرکت میکنند. حملهکننده معمولاً این باتنتها را با استفاده از نرمافزارهای مخرب، ابتدا در دستگاههای مورد نظر آلوده میکند و سپس با دستورات ارسالی، آنها را به صورت همزمان در حمله مشارکت میدهد.
هدف اصلی حملات دیداس، تخریب وقت و منابع سرور مورد نظر است و معمولاً برای کسب منافع خصوصی، ایجاد اختلال در سرویسهای آنلاین یا انتقامجویی انجام میشود. برخی از روشهای متداول استفاده شده در حملات DDoS شامل حملات SYN Flood، ICMP Flood، UDP Flood و HTTP Flood میباشند. برای مقابله با حملات DDoS، سازمانها و سرویسهای آنلاین از راهکارهای مختلفی برای امنیت وب سایت خود مانند استفاده از سیستمهای تشخیص و پیشگیری از حملات DDoS (DDoS Mitigation)، استفاده از تجهیزات شبکه پیشرفته، و توسعه زیرساختهای مقاوم در برابر حملات DDoS استفاده میکنند.
تفاوت حملات DDoS با DoS
حملات دیداس (توزیع شده از نوع حمله خدمات) و DoS هر دو از نوع حملات سایبری هستند که منجر به اختلال در عملکرد یک سرویس آنلاین میشوند. اما تفاوت اصلی بین دو حمله در روشی است که از آن استفاده میشود تا سرویس هدف را بیثبات کند.
DoS تلاش میکند که با استفاده از یک و یا چندین منبع، منابع سیستم هدف را به صورت مستقیم محدود کند و از دسترس خارج نماید. در این نوع حمله، حملهکننده در تلاش است تا با سازماندهی درخواستهای نامعتبر منابع سیستم را محدود کند تا سرویس به درستی عمل نکند یا کاملاً قطع شود. در این نوع حمله، منابع سرور یا شبکه هدف نمیتوانند بار زیادی را تحمل کنند و از دسترس خارج میشوند.
از سوی دیگر، در حملات دیداس (توزیع شده از نوع حمله خدمات) چندین منبع مختلف برای حمله به سرویس یا سرور هدف مورد استفاده قرار میگیرند. در این حملات، حملهکننده از یک شبکه از سیستمها یا دستگاهها کنترل شده استفاده میکند تا به صورت همزمان ترافیک زیادی را به سرویس هدف ارسال کند. این حجم بالای ترافیک میتواند باعث وارد شدن بار زیادی بر روی منابع سرور و شبکه هدف شود و همین امر منجر به کاهش یا قطع سرویس در دسترس میشود. با استفاده از این روش، حملهکننده میتواند از پهنای باند بیشتر و منابع زیادی برای حمله استفاده کند و تشخیص و جلوگیری از حملات سادهتر میشود.
حمله Ddos چگونه رخ می دهد؟
ساختار این حمله سایبری به این صورت است که از تعداد بالایی سیستم تقاضا به سمت سرور هدف ارسال میشود. از طرفی چون قدرت پاسخگویی سرور محدود است و به تعداد مشخصی میتواند پاسخ دهد با زیاد شدن تقاضاها سربار سرور زیاد شده و قدرت پاسخگویی خود را از دست میدهد.
باید از سیستمهای مختلفی درخواست به سمت سرور ارسال شود. فراهم کردن این سیستمها به صورت حقیقی امکانپذیر نیست از این رو حملهکننده به کمک آلوده کردن سیستمهای تحت یک شبکه، آنها را تحت کنترل خود درآورده و حمله ddos را انجام میدهد
از آنجایی هم که هر سیستم یک ip جدا در فضای اینترنت دارد، قانونی جلوه کرده و درخواست جدید به سمت سرور ارسال میکند؛ به همین دلیل تفکیک ترافیک عادی از ترافیک حمله سایبری کار سادهای نخواهد بود.
ساختار حملات دیداس
حملات DDoS (توزیع شده از نوع حمله خدمات) معمولاً به صورت زیر ساختاردهی میشوند:
-
منبع حمله (Botnet):
حملات دیداس معمولاً توسط شبکههای بزرگی از سیستمهای مختلف که به عنوان “زامبی” معروف هستند انجام میشوند. این سیستمها ممکن است متعلق به کامپیوترهای آلوده به نرم افزارهای مخرب، رباتهای کامپیوتری (bot) یا دستگاههای اینترنت اشیا (IoT) باشند که توسط حملهکننده کنترل میشوند. از طریق این زامبیها، حملهکننده میتواند دستورات و ترافیک بالا را به سرورها یا سرویسهای هدف ارسال کند.
-
مرحله مونیتورینگ:
در این مرحله، حملهکننده به طور مداوم فعالیت زامبیها را نظارت میکند و آنها را با دستورات خود مطابقت میدهد. این امر شامل ارسال دستورات حمله، تنظیمات زمانبندی حمله و جمعآوری اطلاعات مربوط به زامبیها است.
-
حمله از نوع آنی (Volumetric Attacks:
در این نوع حمله، حملهکننده سعی میکند با ارسال ترافیک بالا و غیرمعمول به سیستم هدف، پهنای باند و منابع سرور را به صورت بیش از حد بارگیری کند. این امر میتواند شامل حملات از نوع SYN flood، UDP flood، ICMP flood و HTTP flood شود.
-
حمله از نوع عملیاتی (Application Layer Attacks):
در این نوع حمله، حملهکننده تلاش میکند منابع سرور را به صورت بیش از حد مصرف کند تا سرویس هدف را قطع یا دچار اختلال کند. این امر میتواند شامل حملات از نوع HTTP GET/POST، Slowloris، DNS Amplification و SSL/TLS Exhaustion باشد.
-
پنهان کردن هویت (Spoofing):
برخی از حملهکنندگان تلاش میکنند هویت واقعی خود را از طریق تغییر آدرس آی پی سورس ترافیک مخرب پنهان کنند. این کار باعث میشود تا دفاعهای مبتنی بر IP blocking وجود نداشته باشد و حملهکننده بتواند حملات را از چندین منبع مختلف به سرویس هدف انجام دهد.
انواع حمله های ddos
- لایه کاربردی
- حجمی
- پرتوکل
- درخواست های زیاد
- syn -teardrop -Smurf attack
- اما 3 نوع معمول آن ها حجمی،پرتوکل و لایه کاربردی می باشد.
-
حملات حجمی (Volumetric Attacks):
در این نوع حمله، حملهکننده سعی میکند با اشباع پهنای باند یا منابع شبکه سرور هدف، سرویس را غیرقابل دسترس کند. نمونههایی از حملات حجمی عبارتند از:
حملات SYN Flood: حملات SYN Flood با اشباع کردن منابع سرور با درخواستهای SYN تلاش میکنند تا از اتمام منابع TCP/IP استفاده کنند و امکان برقراری اتصال به سرور را برای کاربران معمولی محدود کنند.
حملات UDP Flood: در این نوع حمله، بستههای UDP بدون نیاز به اتصال قبلی ارسال میشوند و منابع سرور را با پردازش این بستهها بیش از حد بارگیری میکنند.
حملات ICMP Flood: در این حملات، بستههای ICMP Echo Request به سرور ارسال میشوند و باعث بارگیری بیش از حد منابع شبکه میشوند.
حمله حجمی شایعترین نوع حمله DDoS است. در حمله حجمی پاسخهای زیادی از سمت سرور به سمت سیستم هدف ارسال میشود به عبارت دیگر سیل حملات حجمی در یک مجموعه یا پهنای باند یک شبکه، با درخواست دادههای نادرست در هر پورت، ایجاد میشود. این کار شبکه را تحت تاثیر قرار داده و در نتیجه دیگر نمیتواند ترافیک منظم خود را دریافت کند. درخواستهای یک باتنت را میتوان شبیه این نوع حمله دانست.
-
حملات لایه برنامه (Application Layer Attacks):
در این نوع حمله، حملهکننده سعی میکند با ارسال ترافیک زیاد و غیرمعمول به سطح برنامههای سرور، سرویس را قطع یا دچار اختلال کند. این نوع حمله معمولاً سطح منطقی برنامهها را مورد هدف قرار میدهد و دشواری تشخیص آن برای سیستمهای محافظتی بیشتر است. نمونههایی از حملات لایه برنامه عبارتند از:
حملات HTTP Flood: در این نوع حمله، درخواستهای HTTP زیادی به سرور ارسال میشود و منابع سرور را با پردازش این درخواستها بیش از حد بارگیری میکند.
حملات Slowloris: در این حمله، حملهکننده تعداد زیادی اتصال باز برقرار میکند و آنها را باز نگه میدارد تا منابع سرور به پایان برسد و سرویس را قطع کند.
حملات DNS Amplification: در این نوع حمله، حملهکننده از سرورهای DNS بازدید میکند و درخواستهای سنگین DNS را با استفاده از IP سورس جعلی ارسال میکند تا ترافیک بالایی رامتوقف کند و منابع سرور را به طور ناعادلانه بارگیری کند.
-
حملات توزیع شده از نوع حمله خدمات (Distributed Denial of Service, DDoS):
در این نوع حمله، حملهکننده از چندین دستگاه مختلف (به عنوان مثال، رایانههای متعدد کنترل شده توسط باتنتها) برای اجرای حمله استفاده میکند. این دستگاهها درخواستها یا ترافیک غیرمعمول را به سرور هدف ارسال میکنند و سبب اشباع منابع سرور و قطع سرویس میشوند.
-
حملات توزیع شده از نوع حمله برخیز (Distributed Reflection Denial of Service, DRDoS):
در این نوع حمله، حملهکننده از سرویسهای شبکهای مانند DNS یا NTP (Network Time Protocol) استفاده میکند تا درخواستها را با IP سورس جعلی به سرور هدف ارسال کند. این امر باعث میشود تا ترافیک بسیار بالا به سمت سرور هدف ارسال شود و سرویس را غیرقابل دسترس کند.
-
حملات پرتوکل:
در حملات پروتکل، پروتکلهای مورد استفاده در انتقال دادهها، برای سقوط یک سیستم مورد هدف قرار میگیرند. بطور ساده تر منابع سرور و واسطهایی مانند فایروال به شدت درگیر و توان پاسخگویی ندارند
یکی از شایعترین آنها سیل SYN است بسته هایی که در این مورد ارسال می گردند از نوع TCP/SYN هستند. به فرایند ساخت یک اتصال TCP/IP حمله میکند و از قربانی میخواهد به جای تایید یک اتصال، همگام سازی کند. ظاهر این بستهها بسیار توجیه شده است و همانند بسته هایی است که از یک کاربر معمولی فرستاده میشود. بعد از دریافت پاسخ بسته، هیچ پاسخی داده نمیشود تا اتصال نیمه باز بماند.
-
حملات لایه کاربردی:
در این نوع حمله که به حمله لایه هفت هم معروف است، ارسال درخواست از سمت کاربر در لایه کاربردی شبکه به شدت زیاد میشود. منظور از حمله لایه هفت، حمله به لایه هفتم در مدل OSI شبکه است.
قبل از اینکه بخواهیم مراحل جلوگیری از ddos را توضیح دهیم ابتدا راه حل فهمیدن حمله ddos را باید بدانیم
اولین نشانهای که به شما اخطار میدهد که امکان دارد قربانی حمله باشید، این است که سرعت سایت شما به طرز چشمگیری بدون هیچ دلیلی پایین می آید
دومین نشانه این است که سایت شما به صورت غیر عادی ترافیک بالایی جذب میکند. التبه این مورد برای سایت هایی که بازدید بالایی دارند شامل نمی شود
با استفاده از دستور زیر میتوانید در سیستم عامل سرور خود ip پورت های 80 و 443 را ببندید.
چگونه میتوانم سرور خود را در برابر حملات دیداس محافظت کنم؟
برای محافظت از سرور خود در برابر حملات DDoS، میتوانید اقدامات زیر را انجام دهید:
-
استفاده از سرویسهای محافظتی DDoS:
انتخاب یک سرویس محافظتی DDoS قوی و قابل اعتماد میتواند به شما کمک کند تا حملات دیداس را تشخیص دهید و از برخورد با آنها جلوگیری کنید. این سرویسها معمولاً قادر به تصفیه ترافیک مشکوک و ارائه پوشش در لایههای مختلف شبکه هستند.
-
مقاومت در برابر حملات SYN Flood:
با تنظیم پارامترهای TCP/IP در سرور خود، میتوانید مقاومت بیشتری در برابر حملات SYN Flood داشته باشید. به عنوان مثال، استفاده از تعداد حداکثر اتصالهای باز همزمان (maximum concurrent connections) و تنظیم timeout متناسب برای اتصالات میتواند مفید باشد.
-
تنظیمات فایروال و شبکه:
تنظیمات فایروال و شبکه سرور خود را بررسی کنید و قواعد امنیتی مناسب را تعریف کنید. این قواعد میتوانند شامل محدود کردن ترافیک ورودی، فیلتر کردن بستههای ناخواسته و تعامل با IPهای مشکوک باشند.
-
افزایش پهنای باند و منابع:
با افزایش پهنای باند شبکه و منابع سرور، میتوانید حجم بیشتری از ترافیک را تحمل کنید و از تبعات حملات دیداس کاسته شود. این امر شامل استفاده از سرویسهای CDN (شبکه توزیع محتوا) و ارتقاء سختافزار و نرمافزار سرور میشود.
-
مانیتورینگ و شناسایی حملات:
استفاده از ابزارهای مانیتورینگ شبکه و سیستم میتواند به شما کمک کند تا حملات دیداس را شناسایی و برخی از اقدامات دفاعی را اتخاذ کنید. مانیتورینگ لغو خدمات و ترافیک شبکه در سرور و نظارت بر رفتار مشکوک میتواند مفید باشد.
-
استفاده از راهکارهای مبتنی بر ابر:
استفاده از راهکارهای مبتنی بر ابر میتواند مقاومت و محافظت در برابر حملات DDoS را تقویت کند. ابرهای امنیتی و سرویسهای مبتنی بر ابر میتوانند ترافیک مشکوک را تصفیه کرده واز سرور اصلی شما جدا کنند تا حملات DDoS را مهار کنند.
-
طراحی مقاومت در برابر حملات:
در طراحی سیستم شبکه و برنامههای خود، مقاومت در برابر حملات DDoS را در نظر بگیرید. این امر شامل استفاده از معماری هماهنگ و مقاوم، مجزا کردن عملکردهای حساس سرور و جلوگیری از تکرار منابع است.
-
موازنه بار:
با استفاده از سیستمهای موازنه بار، میتوانید ترافیک را بین چندین سرور توزیع کنید و بر این اساس حملات DDoS را تسهیل نکنید.
-
بهروزرسانی نرمافزارها و سیستم عامل:
همواره اطمینان حاصل کنید که نرمافزارها و سیستم عامل سرور بهروزرسانی شده و آخرین بهروزرسانیها و پچهای امنیتی را دارند. این کار میتواند باگهای امنیتی را کاهش داده و از سرور در برابر حملات DDoS محافظت کند.
-
آموزش کارکنان:
کارکنان شبکه و سیستم باید آموزش دیده و آگاهی کافی در خصوص روشهای حمله DDoS و روشهای مقابله با آنها داشته باشند. آموزش و آگاهی کارکنان میتواند به شناسایی سریع حملات و اتخاذ اقدامات امنیتی مناسب کمک کند.
البته باید توجه داشت که هیچ راهکاری نمیتواند به طور کامل از حملات دیداس جلوگیری کند، اما با انجام این اقدامات میتوانید مقاومت و محافظت سرور خود را در برابر این نوع حملات تقویت کنید. همچنین، در صورت بروز یک حمله DDoS، باید عملکرد سرور خود را مانیتور کنید و در صورت لزوم با تیم امنیتی یا سرویسدهنده خود تماس بگیرید تا به شما در مقابله با حمله کمک کنند.
همانطور که در بالا توضیح داده شد با نرم افزار هایی می توانید ترافیک شبکه خود را زیر نظر گرفته تا در صورتی که ترافیک نامتقارن داشتید این مورد را بررسی کنید و زیر ساخت های خود را حتما در مقابل ddos مقاوم سازی کنید زیرا بیشتر ddos فایروال ها را هدف میگیرند و کاربران شما باید شیوههای امنیتی، از جمله تغییر رمزهای عبور، شیوه های احراز هویت امن، دانستن اطلاعات کافی برای جلوگیری از حملات فیشینگ و… قرار بگیریند.
وقتی شما فعالیتت های سرور خود را به صورت دقیق بدانید می توانید از این فعالیت های غیر معمول جلوگیری کرده تا آسیب جدی به منابع شما وارد نشود. برخی از شرکت ها DDoS-as-a-Service را ارائه می دهند. آنها متخصص در scale کردن منابع برای پاسخ به یک حمله، تقویت دفاع، و همچنین کاهش آسیب حمله هستند.
میتوانید به شرکت ارائه دهنده سرور خود اعلام کنید تا برای شما به دیتاسنتری که سرور شما در آن قرار دارد درخواست ایران اکسس کردن ip را بدهند.در حالت کلی بهتر است همیشه ترافیک سرور، فعالیت های غیر معمول و از بهترین فایروال ها و برنامه های جلوگیری از ddos استفاده بفرمایید تا برای شما از این جور حملات صورت نگیرد.
جمع بندی
در نتیجه حملات DDoS (Distributed Denial of Service) و یا حملات دیداس به معنای حملاتی هستند که هدف آنها قطع سرویس یا از دسترس خارج کردن یک سرویس یا وبسایت میباشد. در یک حمله DDoS، تعداد زیادی سیستم (معمولاً هزاران یا حتی میلیونها سیستم)، که به عنوان باتنت در اختیار حملهکننده قرار دارند، همزمان به سرور یا سرویس مورد هدف درخواستهای غیرمعمول و بسیار زیادی را ارسال میکنند. با این اطلاعات کاملی را در مورد حملات دیداس در اختیار شما قرار گرفته و امیدواریم این مقاله برای شما مفید باشد.