از طریق منوی جستجو مطلب مورد نظر خود در وبلاگ را به سرعت پیدا کنید
سرفصلهای مطلب
حمله Distributed Denial-of-Service (DDoS) تلاشی مخرب برای مختل کردن ترافیک عادی یک سرور ، سرویس یا شبکه هدفمند با غلبه بر هدف یا زیرساختهای اطراف آن با افزایش ترافیک اینترنت است. حملات DDoS با استفاده از چندین سیستم رایانه ای به خطر افتاده به عنوان منبع ترافیک حمله ، مورد استفاده قرار میگیرند. دستگاه های بهره برداری می توانند شامل رایانه ها و دیگر منابع شبکه ای مانند دستگاه های IoT باشند. از سطح بالایی ، حمله DDoS مانند برخورد ترافیک در جاده با بزرگراه است و از ورود منظم ترافیک به مقصد مورد نظر خود جلوگیری می کند.
یک حمله DDoS چگونه کار می کند؟
حمله DDoS به یک مهاجم نیاز دارد تا بتواند شبکه ای از ماشینهای آنلاین را کنترل کند تا بتواند یک حمله را انجام دهد. رایانه ها و سایر دستگاه ها (مانند دستگاه های IoT) به بدافزار آلوده شده و هرکدام را به یک ربات (یا زامبی) تبدیل می کنند. سپس مهاجم کنترل از راه دور بر روی گروه بات ها دارد که به آن botnet گفته می شود.
هنگامی که یک بات نت ایجاد شد ، مهاجم قادر است با ارسال دستورالعمل های به روز شده به هر ربات از طریق یک روش کنترل از راه دور ، ماشین ها را هدایت کند. هنگامی که آدرس IP یک قربانی توسط botnet هدف قرار گرفت ، هر ربات با ارسال درخواست به هدف پاسخ می دهد ، به طور بالقوه باعث می شود ظرفیت پاسخگویی سرور یا شبکه هدفمند سرریز شود، و در نتیجه منجر به انکار سرویس به ترافیک عادی شود. از آنجا که هر ربات یک وسیله اینترنتی قانونی است ، جدا کردن ترافیک حمله از ترافیک عادی می تواند مشکل باشد.
انواع متداول حملات DDoS چیست؟
بردارهای مختلف حمله DDoS مؤلفه های مختلف اتصال به شبکه را هدف قرار می دهند. برای درک چگونگی عملکرد حملات DDoS متفاوت ، لازم است بدانید که چگونه یک اتصال شبکه ایجاد می شود. اتصال به شبکه در اینترنت از اجزای مختلف یا “لایه” های مختلف تشکیل شده است. مانند ساخت خانه از زمین به بالا ، هر مرحله از مدل هدف متفاوتی دارد. مدل OSI ، در زیر نشان داده شده ، یک چارچوب مفهومی است که برای توصیف اتصال شبکه در 7 لایه مجزا استفاده می شود.
در حالی که تقریبا تمام حملات DDoS شامل قریب به اتفاق یک دستگاه هدف و یا شبکه با ترافیک، حملات را می توان به سه دسته تقسیم کرد. یک مهاجم ممکن است از یک یا چند بردار حمله متفاوت یا از بردارهای حمله چرخه استفاده کند که به طور بالقوه بر اساس اقدامات ضد انجام شده توسط هدف استفاده می کند.
حملات لایه Application
هدف حمله:
گاهی اوقات به عنوان حمله 7 DDoS (با اشاره به لایه 7 مدل OSI) گفته می شود ، هدف از این حملات ، فرسایش منابع مورد نظر است. این حملات لایه ای را که صفحات وب روی سرور ایجاد شده و در پاسخ به درخواست HTTP تحویل داده می شوند ، هدف قرار می دهند. یک درخواست HTTP برای اجرای در سمت کاربر یک درخواست سبک است و می تواند برای پاسخ دادن به سرور هدف سنگین باشد زیرا سرور برای ایجاد یک صفحه وب اغلب باید چندین فایل را بارگیری کرده و نمایش داده های پایگاه داده را اجرا کند. دفاع از حملات لایه 7 دشوار است زیرا شناسایی ترافیک به عنوان ترافیک مخرب ممکن است دشوار باشد.
نمونه هایی از حمله لایه Application:
HTTP Flood
این حمله مانند فشار دادن کلید Refresh در مرورگر وب بارها و بارها بر روی بسیاری از رایانه های مختلف به طور همزمان است – تعداد زیادی از درخواست های HTTP سرور را سیلاب می کنند و منجر به انکار سرویس می شوند.
این نوع حمله از ساده تا پیچیده متغیر است. پیاده سازی های ساده تر ممکن است به یک URL با همان محدوده آدرس های IP حمله کننده ، مراجعه کنندگان و نمایندگان کاربر حمله کنند. نسخه های پیچیده ممکن است از تعداد زیادی آدرس IP حمله کنند و آدرس های تصادفی را با استفاده از مراجعه کننده های تصادفی و نمایندگان کاربر مورد هدف قرار دهند.
Protocol Attacks
هدف حمله:
حملات پروتکل ، همچنین به عنوان حملات فرسودگی دولت شناخته می شود ، با مصرف تمام ظرفیت جدول موجود در سرورهای برنامه وب یا منابع واسطه ای مانند فایروال ها و توازن بار باعث ایجاد اختلال در سرویس می شوند. حملات پروتکل با استفاده از نقاط ضعف در لایه 3 و لایه 4 پشته پروتکل ، هدف را غیرقابل دسترسی می کند.
نمونه هایی از حمله Protocol Attacks
SYN Flood
یک حمله SYN Flood شبیه کارگر یک انبار است که درخواست های خود را از جلوی انبار دریافت می کند. کارگر درخواستی را دریافت می کند ، می رود و بسته را می گیرد و منتظر تأیید قبل از بیرون آوردن بسته از جلو است. سپس کارگر بدون تأیید درخواست های بیشتر بسته دریافت می کند تا زمانی که دیگر نتوانند به این درخواست ها رسیدگی کند ، دچار غرق شدن در درخواست های جعلی شود و درخواست ها اصلی بدون جواب بمانند.
این حمله با ارسال هدف تعداد زیادی از بسته های SYN TCP “Initial Connection Request” با آدرس های IP منبع خرابکار از دستی TCP بهره می برد. دستگاه هدف به هر درخواست اتصال پاسخ می دهد و سپس منتظر آخرین مرحله در دست گرفتن است که هرگز رخ نمی دهد و منابع هدف را در این فرایند خسته می کند.
این حمله با ارسال هدف تعداد زیادی از بسته های SYN TCP “Initial Connection Request” با آدرس های IP منبع خرابکار از دستی TCP بهره می برد. دستگاه هدف به هر درخواست اتصال پاسخ می دهد و سپس منتظر آخرین مرحله در دست گرفتن است که هرگز رخ نمی دهد و منابع هدف را در این فرایند خسته می کند.
حملات Volumetric
هدف حمله:
این دسته از حملات سعی در ایجاد تراکم با مصرف تمام پهنای باند موجود بین هدف و اینترنت بزرگتر دارد. مقدار زیادی از داده ها با استفاده از شکلی از تقویت یا وسیله دیگری برای ایجاد ترافیک گسترده ، مانند درخواست های یک بات نت ، به یک هدف ارسال می شوند.نمونه هایی از حمله Volumetric
DNS Amplification
DNS Amplification مانند این است که اگر کسی به رستوران زنگ بزند و بگوید “من یکی از همه موارد را خواهم داشت ، لطفا با من تماس بگیرید و تمام سفارش من را به من بگویید” ، جایی که شماره تلفن برگشتی که می دهند شماره هدف است. با تلاش بسیار اندک ، یک پاسخ طولانی ایجاد می شود.با ایجاد درخواست به یک سرور DNS باز با یک آدرس IP فاسد (آدرس IP واقعی هدف) ، آدرس IP هدف سپس پاسخی را از سرور دریافت می کند. مهاجم ، درخواست را طوری تنظیم می کند که سرور DNS با مقدار زیادی از داده ها به هدف پاسخ دهد. در نتیجه ، هدف از جستجوی اولیه حمله کننده دریافت می کند.
روند کاهش حمله DDoS چیست؟
نگرانی اصلی در کاهش حمله DDoS ، تمایز بین حمله و ترافیک عادی است. به عنوان مثال ، اگر مشتریان طرفدار وبسایت یک شرکت باشد ، قطع همه ترافیک اشتباه است. اگر ناگهان آن شرکت متوجه ترافیک مشکوک شود، تلاش برای کاهش حمله احتمالاً ضروری است. مشکل این است که جدا کردن مشتری واقعی و ترافیک حمله باعث جدا شدن مشتری نیز می شود.
در اینترنت مدرن ، ترافیک DDoS به اشکال مختلفی ارائه می شود. ترافیک می تواند از نظر طراحی از حملات منفرد غیر فاسد گرفته تا حملات چند بردار پیچیده و سازگار متفاوت باشد. حمله DDoS چند بردار از مسیرهای حمله چندگانه به منظور غلبه بر یک هدف به روشهای مختلف استفاده می کند ، و به طور بالقوه باعث کاهش تلاش های مخرب در هر مسیر می شود. حمله ای که همزمان چندین لایه از پشته پروتکل را هدف قرار می دهد ، مانند DNS Amplification (لایه های هدفمند 3/4) همراه با یک HTTP Flood (لایه هدف گذاری 7) نمونه ای از DDoS چند بردار است.
کاهش یک حمله DDoS چند بردار به منظور مقابله با مسیرهای مختلف به استراتژیهای مختلفی نیاز دارد. به طور کلی ، هرچه حمله پیچیده تر باشد ، جداسازی ترافیک از ترافیک عادی مشکل تر خواهد بود – هدف مهاجم مخلوط کردن هر چه بیشتر درخواست ها و کاهش هر چه بیشتر ناکارآمدن سرویس دهنده است. تلاش های کاهش یافته که شامل افت و محدود کردن ترافیک بطور غیرمستقیم است ، ممکن است ترافیک خوب را با شرایط بد سوق دهد و حمله نیز ممکن است با اقدامات متقابل دور ساز اصلاح و سازگار شود.
در اینترنت مدرن ، ترافیک DDoS به اشکال مختلفی ارائه می شود. ترافیک می تواند از نظر طراحی از حملات منفرد غیر فاسد گرفته تا حملات چند بردار پیچیده و سازگار متفاوت باشد. حمله DDoS چند بردار از مسیرهای حمله چندگانه به منظور غلبه بر یک هدف به روشهای مختلف استفاده می کند ، و به طور بالقوه باعث کاهش تلاش های مخرب در هر مسیر می شود. حمله ای که همزمان چندین لایه از پشته پروتکل را هدف قرار می دهد ، مانند DNS Amplification (لایه های هدفمند 3/4) همراه با یک HTTP Flood (لایه هدف گذاری 7) نمونه ای از DDoS چند بردار است.
کاهش یک حمله DDoS چند بردار به منظور مقابله با مسیرهای مختلف به استراتژیهای مختلفی نیاز دارد. به طور کلی ، هرچه حمله پیچیده تر باشد ، جداسازی ترافیک از ترافیک عادی مشکل تر خواهد بود – هدف مهاجم مخلوط کردن هر چه بیشتر درخواست ها و کاهش هر چه بیشتر ناکارآمدن سرویس دهنده است. تلاش های کاهش یافته که شامل افت و محدود کردن ترافیک بطور غیرمستقیم است ، ممکن است ترافیک خوب را با شرایط بد سوق دهد و حمله نیز ممکن است با اقدامات متقابل دور ساز اصلاح و سازگار شود.
مسیریابی سیاه چاله (Black Hole Routing)
یک راه حل در دسترس برای ادمین های شبکه ایجاد مسیر سیاهچاله و ترافیک قیف به آن مسیر است. در ساده ترین شکل آن ، هنگامی که فیلتر سیاهچاله بدون معیارهای محدودیت خاص اجرا می شود ، هر دو ترافیک مشروع و مخرب شبکه به یک مسیر تهی یا سیاهچاله هدایت می شوند و از شبکه حذف می شوند. اگر منابع موجود در شبکه در حال حمله DDoS باشد ، ارائه دهنده خدمات اینترنت (ISP) ممکن است تمام ترافیک سایت را به عنوان دفاع به داخل سیاهچاله بفرستد.
محدود کردن نرخ (Rate Limiting)
محدود کردن تعداد درخواست هایی که سرور در طی یک بازه زمانی خاص می پذیرد نیز راهی برای کاهش حملات انکار سرویس است. در حالی که محدود کردن نرخ در کاهش سرعت صفحه وب از دزدیدن محتوا و برای کاهش تلاش های ورود به سیستم ناخواسته مفید است ، اما به تنهایی برای اداره موثر حمله DDoS کافی نیست. با این وجود ، محدود کردن نرخ یک مؤلفه مفید در یک استراتژی کاهش موثر DDoS است.
فایروال تحت وب (Web Application Firewall)
فایروال تحت وب (WAF) ابزاری است که می تواند در کاهش حمله DDoS لایه 7 کمک کند. با قرار دادن WAF بین اینترنت و سرور مبدا ، WAF ممکن است بعنوان یک پروکسی معکوس عمل کند و از سرور هدفمند در برابر انواع خاصی از ترافیک مخرب محافظت کند. با فیلتر کردن درخواست ها بر اساس یک سری قوانین استفاده شده برای شناسایی ابزارهای DDoS ، می توان از حملات لایه 7 جلوگیری کرد. یک هدف اصلی از ایجاد WAF توانایی اجرای سریع فیلتر های درخواستی در پاسخ به حمله است.
Anycast Network Diffusion
این روش, استفاده از یک شبکه Anycast برای پراکنده کردن ترافیک حمله در شبکه ای از سرورهای توزیع شده تا جایی که جذب ترافیک توسط شبکه انجام می شود. مانند روش هدایت یک رودخانه در حال حرکت به سمت کانالهای کوچکتر جداگانه است، این روش تأثیر ترافیک حمله توزیع شده را تا جایی که قابل کنترل باشد گسترش می دهد و هرگونه توانایی مختل کننده را پراکنده می کند.
قابلیت اطمینان شبکه Anycast برای کاهش یک حمله DDoS به اندازه حمله و اندازه و کارایی شبکه بستگی دارد. بخش مهمی از کاهش DDoS که توسط Cloudflare انجام می شود ، استفاده از شبکه توزیع شده Anycast است. Cloudflare دارای شبکه 30 Tbps است!
قابلیت اطمینان شبکه Anycast برای کاهش یک حمله DDoS به اندازه حمله و اندازه و کارایی شبکه بستگی دارد. بخش مهمی از کاهش DDoS که توسط Cloudflare انجام می شود ، استفاده از شبکه توزیع شده Anycast است. Cloudflare دارای شبکه 30 Tbps است!
منبع: CloudFlare
