عملکرد حملات DDoS
مقالات تخصصی IT و هاستینگ 21 اسفند 1404 ساعت 10:00

حملات DDoS: چطور باید در مقابل آنها از خود محافظت کرد؟

حملات DDoS یکی از جدی‌ترین تهدیدات سایبری امروز هستند و می‌توانند طی چند ثانیه سرویس‌های آنلاین را از دسترس خارج کرده، درآمد کسب‌وکار را مختل کنند و اعتبار برند را زیر سوال ببرند. DDoS که مخفف Distributed Denial-of-Service است، تلاشی هماهنگ برای از کار انداختن یک سرویس مانند وب‌سایت، سرور یا شبکه توسط ایجاد حجم غیرطبیعی ترافیک با منابع متعدد می‌باشد. در این نوع حمله، مهاجم توسط دستگاه‌های آلوده (botnet)، حملات تقویت شده، سوءاستفاده از ضعف پروتکل‌ها یا اشباع اتصال‌ها، منابع هدف را به‌قدری تحت فشار قرار می‌دهد که کاربران واقعی دیگر امکان دسترسی به سرویس را نخواهند داشت.

به دلیل پیچیدگی، مقیاس‌پذیری و تنوع این حملات، دفاع در برابر DDoS یک ضرورت استراتژیک برای هر سازمان آنلاین محسوب می‌شود. شناخت سازوکار این حملات و روش‌های مقابله با آنها، اولین گام برای حفظ تداوم خدمات و امنیت زیرساخت است.

نحوه عملکرد حملات DDoS

انواع مختلفی از حملات DDoS وجود دارند اما به‌طور کلی تمام آنها مراحل مشابهی دارند:

1. آماده‌سازی حمله: در این مرحله، مجرمان سایبری شبکه‌ای از بات‌نت‌ها (دستگاه‌های آلوده‌شده) ایجاد می‌کنند که در آینده برای حمله استفاده خواهند کرد. به‌عنوان مثال، هکرها می‌توانند امنیت دستگاه‌های IoT را دور بزنند یا ایمیل‌های فیشینگ به کاربران ارسال نمایند و زمانی که کاربران ایمیل‌ها را باز می‌کنند، دستگاه آنها به کد مخرب آلوده شود.

2. آغاز حمله: در این مرحله از بات‌نت استفاده می‌گردد و سپس انتخاب قربانی و ارسال ترافیک به سمت سرور هدف انجام می‌شود.

3. موفقیت حمله: اگر هدف نتواند به‌طور مؤثر در برابر حملات DDoS از خود دفاع کند، عملکرد آن مختل می‌شود. حتی قدرتمندترین سرورها نیز ظرفیت محدودی برای مدیریت تعداد اتصالات همزمان دارند. در چنین شرایطی، سرور از پاسخ‌دهی بازمی‌ماند و از دسترس خارج می‌شود. کاربران عادی تا زمانی که حجم ترافیک مخرب کاهش نیابد و سرور به حالت عادی باز نگردد، قادر به استفاده از آن نخواهند بود.

4. نتیجه نهایی: مهاجمان ممکن است به اهداف مختلفی دست یافته باشند و اکنون پاداش خود را دریافت کنند. این پاداش می‌تواند مالی یا صرفاً رضایت از موفقیت حمله باشد.

نحوه عملکرد حملات DDoS

تصویر(1)

نشانه‌های حمله DDoS

حملات DDoS بسیار مخرب هستند و می‌توانند موجب خسارات سنگین مالی و آسیب به اعتبار شوند. بنابراین آگاهی و توجه به نشانه‌های اولیه بسیار ضروری است. اگرچه هر نوع حمله DDoS ویژگی‌های خاص خود را دارد اما به‌طور کلی نشانه‌های زیر قابل انتظار هستند:

  • ترافیک غیرعادی که از یک آدرس IP یا مجموعه‌ای از IP های مشابه می‌آید.

  • ترافیک ناشی از دستگاه‌هایی با پروفایل مشابه (نوع دستگاه، سیستم‌عامل و غیره) و الگوهای یکسان.

  • جهش‌های غیرمعمول ترافیک، مانند افزایش شدید در نیمه‌شب بدون دلیل منطقی یا الگوهای تکراری طی بازه‌های زمانی خاص.

  • ترافیک محدود به یک صفحه مشخص بدون پیمایش یا مرور سایر بخش‌های وب‌سایت.

مقایسه DDoS و DoS

تصویر(2)

مقایسه DDoS و DoS

در حمله DoS، یک منبع به‌طور مخرب آلوده می‌شود تا حجم زیادی از ترافیک را به سمت قربانی ارسال کند. هدف این است که سیستم اشباع شده و با مصرف منابع فنی آن (CPU، RAM و غیره) یا سوءاستفاده از آسیب‌پذیری خاص و تزریق ورودی مخرب مناسب، دچار اختلال شود. در نتیجه، سرویس از دسترس کاربران خارج خواهد شد.

تفاوت‌های حملات DDoS و DoS:

  • منابع حمله: در حملات DoS، مهاجم تنها یک دستگاه متصل به اینترنت نیاز دارد تا قربانی را با درخواست‌های ساختگی بمباران کند یا از یک آسیب‌پذیری نرم‌افزاری سوء استفاده نماید. در مقابل، حملات DDoS از چندین منبع اجرا می‌شوند.

  • شیوه اجرای حمله: سلاح‌های DoS عموماً برنامه‌هایی مانند Low Orbit Ion Cannon یا کدهای دست‌ساز هستند اما مهاجمان DDoS از ارتش بات‌نت‌ها استفاده می‌کنند که گروه‌های عظیمی از دستگاه‌های آلوده‌شده مانند رایانه‌ها، روترها، موبایل‌ها و دستگاه‌های متصل به اینترنت اشیا (IoT) هستند. ترافیکی که حملات DDoS تولید می‌کنند بسیار سنگین‌تر از حملات DoS است.

  • میزان خسارت: هر دو حمله می‌توانند بسیار آسیب زا باشند. با این حال فناوری‌های مدرن، دفاع در برابر حملات DoS و حتی ردیابی منبع مخرب را ساده‌تر کرده‌اند که احتمال شناسایی و متوقف کردن آن را افزایش می‌دهد. در این حالت، نبرد یک به یک است اما در حمله DDoS، قربانی با چندین دستگاه که می توانند در کشورهای مختلف باشند، مقابله می‌کند. بنابراین لازم است تمام آنها به‌طور همزمان ردیابی و متوقف شوند. این حالت بیشتر شبیه یک جنگ است و دفاع و جلوگیری از حمله نیازمند زمان و منابع بسیار بیشتری خواهد بود. بنابراین، دامنه خسارت حمله DDoS به‌مراتب گسترده‌تر از DoS است.

محافظت در برابر حملات DDoS

تصویر(3)

محافظت در برابر حملات DDoS

راهکارهایی وجود دارند که می‌توانند اکثر حملات DDoS حتی حملات بسیار قدرتمند با ترافیک سنگین را متوقف کنند و به آن DDoS Protection (حفاظت در برابر DDoS) گفته می‌شود. 

برای خنثی‌سازی موفق یک حمله DDoS، وجود 3 عنصر زیر ضروری است:

۱. مانیتورینگ مداوم: وجود یک سیستم مانیتورینگ ضروری است که نشانه‌های حمله مانند افزایش ناگهانی ترافیک، ترافیک مشکوک از آدرس‌های IP مشخص و الگوهای غیرعادی درخواست‌ها را بررسی کند.

۲. سرویس واکنشی: شناسایی خطر تنها بخشی از فرایند است؛ بخش مهم‌تر، اقدام عملی در برابر آن می باشد. یک سرویس کارآمد برای محافظت در برابر حملات DDoS باید به سیستم‌های خودکار مجهز شود تا اقدامات لازم را اجرا کنند. این اقدامات می‌توانند شامل توزیع‌کننده بار (Load Balancing)، فیلتر ترافیک و فعالسازی سیستم هشدار باشند.

۳. توزیع بار ترافیک: در شرایط ترافیک سنگین، لازم است ترافیک به چند سرور هدایت شود. این کار فشار بر یک سرور را کاهش داده و آن را میان چند سرور پخش می‌کند. هرچه تعداد سرورهای DNS بیشتر باشد، احتمال مقاومت موفق در برابر حمله DDoS بیشتر خواهد بود.

انگیزه مهاجمان DDoS

مجرمان سایبری ممکن است دلایل مختلفی برای استفاده از حملات DDoS داشته باشند. رایج‌ترین آنها عبارتند از:

  • اخاذی: مهاجمان با ارسال ترافیک به سمت هدف، عملکرد سرویس را مختل کرده و مشکلات فنی و قطعی ایجاد می‌کنند، سپس برای توقف حمله درخواست پول می‌نمایند.

  • درخواست حمله به رقبا: در دارک‌وب، افراد می‌توانند هکرها را برای انجام حملات DDoS کرایه کنند. این روش معمولاً در دوره‌های فروش مهم مانند کریسمس، بلک‌فرایدی، سایبر‌ماندی یا تخفیفات عید استفاده می‌شود. هدف این است که سایت رقیب از دسترس خارج شده و مشتریان به سایت دیگری هدایت شوند.

  • جنگ سایبری: برخی دولت‌ها از حملات DDoS برای هدف قرار دادن رسانه‌های مخالف، ابزارهای ارتباطی یا خدمات کلیدی استفاده می‌کنند تا اخبار را کنترل کرده و از آزادی بیان جلوگیری نمایند. این حملات معمولاً بسیار قدرتمند هستند زیرا بودجه دولتی پشت آنها قرار دارد.

دلایل استفاده از حملات DDoS

تصویر(4)

  • درگیری میان گیمرها: صنعت بازی سالانه تقریباً ۲۰۰ میلیارد دلار درآمد دارد، بنابراین رقابت شدید است. برخی گیمرها برای آزار رقیبان، کاهش امتیاز آنها یا حتی توقف مسابقه‌ای که در آن شکست می‌خورند، از حملات DDoS استفاده می‌کنند.

  • هکتیویسم (Hacktivism): برخی هکرها از حملات DDoS برای اعتراض به دولت‌ها، سازمان‌ها یا رویدادها و انجام فعالیت مدنی آنلاین استفاده می‌کنند.

انواع حملات DDoS

مجرمان سایبری در طول زمان روش‌های فنی مختلفی برای از کار انداختن اهداف ایجاد کرده‌اند. هر روش در یکی از 3 دسته کلی حملات DDoS قرار می‌گیرد:

۱. حملات مبتنی بر حجم: این نوع، رایج‌ترین شکل حملات DDoS است. در این روش، مهاجم با تولید حجم عظیمی از ترافیک، ظرفیت منابع هدف را اشباع می‌کند. در نتیجه، سرورها زیر بار درخواست‌ها، شبکه‌ها زیر حجم ترافیک و پایگاه‌داده‌ها زیر فشار تراکنش‌ها از کار می‌افتند و پهنای باند نیز کاملاً پر می‌شود. در نهایت، کاربران واقعی دیگر نمی‌توانند به وب‌سایت هدف دسترسی پیدا کنند.

۲. حملات پروتکلی: این حملات با سوءاستفاده از پروتکل‌ها، منابع مشخصی را اشباع می‌کنند؛ معمولاً سرورها اما گاهی فایروال‌ها یا Load Balancer‌ ها نیز هدف قرار می‌گیرند. این حملات ظرفیت پردازش تجهیزات شبکه را مصرف می‌کنند و معمولاً در لایه‌های ۳ و ۴ پروتکل‌های شبکه انجام می‌شوند. معیار اندازه‌گیری آنها packets per second (بسته‌ها در ثانیه) است.

۳. حملات لایه اپلیکیشن: این حملات ضعف‌های موجود در برنامه‌ها را هدف قرار می‌دهند تا عملکرد آن را مختل نمایند. مهاجم با باز نگه‌داشتن اتصالات و تولید پردازش‌ها و درخواست‌های تراکنشی، منابع محدود مانند حافظه، فضای دیسک و گاهی پردازنده را مصرف می‌کند. تشخیص این حملات دشوار است زیرا در ظاهر شبیه ترافیک عادی‌ هستند.

رایج‌ترین حملات DDoS

برخی از رایج‌ترین حملات DDoS در ادامه ذکر شده اند:

  • Smurf Attack: این حمله از ابزار ping استفاده می‌کند. درخواست پینگ با یک آدرس IP جعلی ارسال شده و تمام پاسخ‌ها به قربانی هدایت می‌شوند تا ترافیک عظیمی ایجاد گردد.

رایج‌ترین حملات DDoS

تصویر(5)

  • Teardrop Attack: در این حمله، مهاجم بسته‌های دادهٔ بزرگ و دستکاری‌شده‌ای ارسال می‌کند که فرایند بازسازی بسته‌ها را مختل کرده و باعث خرابی سیستم می‌شوند. این حمله از ضعف در فرایند fragmentation و reassembly پروتکل TCP/IP سوءاستفاده می‌کند.

  • Ping of Death یا POD: در این حمله، بسته‌های پینگ بزرگ‌تر از اندازه مجاز (۶۵۵۳۵ بایت برای IPv4) ارسال می‌شود. سیستم هدف هنگام تلاش برای بازسازی بسته‌های تغییر یافته، منابع حافظه را مصرف کرده و دچار Crash می‌شود.

  • Slowloris: حمله ای بسیار خطرناک است و تنها با یک کامپیوتر می‌تواند سرور را از کار بیندازد. مهاجم درخواست‌های HTTP ناقص و پیوسته ارسال می‌کند تا اتصالات باز بمانند و ظرفیت اتصال سرور اشباع شود، در نتیجه کاربران واقعی نمی‌توانند متصل شوند.

  • Zero-day DDoS: این نوع حمله از آسیب‌پذیری‌هایی استفاده می‌کند که هنوز ناشناخته هستند و قبل از انتشار عمومی ضعف نرم‌افزاری، انجام می‌گیرد. هرچند این مفهوم در امنیت مثبت نیز کاربرد دارد (پاداش به کشف‌ آسیب‌پذیری) اما نشان می‌دهد که تهدیدات همواره وجود خواهند داشت.

پیامدهای حملات DDoS

تصویر(6)

پیامدهای حمله DDoS

تجربه چنین تهدید مخربی بسیار ناخوشایند است و می‌تواند اثرات بسیار سنگینی برجا بگذارد. برخی پیامدهای یک حمله موفق عبارتند از:

  • اختلال عملیاتی: یکی از پیامدهای فوری حمله DDoS، اختلال در عملیات عادی سیستم است. وب‌سایت‌ها کند یا کاملاً غیرقابل دسترس شده، کاربران ناراضی می‌شوند، بهره‌وری کاهش می‌یابد و خسارت مالی ایجاد می‌گردد. پلتفرم‌های تجارت الکترونیک، موسسات مالی و سرویس‌های آنلاین بیش از دیگران آسیب‌پذیر هستند زیرا قطعی آنها، مستقیما به از دست رفتن درآمد و کاهش اعتماد مشتری منجر می‌شود.

  • زیان مالی: حملات DDoS می‌توانند زیان مالی شدید ایجاد کنند. سازمان‌ها علاوه بر هزینه‌های مستقیم برای مقابله با حمله و بازیابی سرویس‌ها، با هزینه‌های غیرمستقیم ناشی از آسیب به اعتبار و کاهش اعتماد مشتریان مواجه می‌شوند. همچنین احتمال پیامدهای قانونی نیز وجود دارد، به‌خصوص اگر اطلاعات حساس مشتریان مورد تهدید قرار گیرد.

  • آسیب اعتباری: اعتماد در فضای دیجیتال بسیار شکننده است و یک حمله DDoS می‌تواند آن را فوراً نابود کند. هنگامی‌که مشتریان امکان دسترسی به خدمات را نداشته باشند یا با اختلال مواجه شوند، ممکن است اعتماد خود را نسبت به سازمان از دست بدهند. بازسازی اعتبار می‌تواند بسیار زمان‌بر و دشوار باشد.

حمله DDoS چقدر زمان می‌برد؟

مدت‌زمان یک حمله DDoS با توجه به منابع مهاجمان و ظرفیت دفاعی هدف بسیار متفاوت می باشد. این حملات ممکن است از چند دقیقه تا چند هفته ادامه یابند. با این‌ حال، به‌طور متوسط بیشتر حملات حدود ۲۴ ساعت زمانبر هستند؛ هرچند حملات شدید ممکن است روزها یا هفته‌ها ادامه داشته باشند.

حملات کوتاه‌مدت می‌توانند بخشی از یک استراتژی هماهنگ باشند که در آن مهاجمان با حملات کوتاه‌مدت، میزان آسیب‌پذیری هدف و آمادگی سیستم‌ها را آزمایش می‌کنند. این حملات کوتاه می‌توانند در مدت کوتاه اختلال جدی ایجاد نمایند، به‌ویژه اگر کسب‌وکار درگیر تراکنش‌های مالی یا رویدادهای حساس باشد.

حملات طولانی‌مدت معمولاً با هدف تخلیه منابع هدف یا اجبار آن به پرداخت باج برای توقف حمله انجام می‌شوند. این حملات می‌توانند فعالیت سازمان را به‌طور کامل متوقف کنند و خسارت عملیاتی و مالی شدید ایجاد نمایند.

حملات DDoS کوتاه‌مدت

تصویر(7)

کدام صنایع هدف قرار می‌گیرند و دلیل آن چیست؟

برخی صنایع به دلیل فعالیت آنلاین زیاد و رقابت شدید، بیش از سایرین هدف حملات DDoS قرار می‌گیرند:

  • خدمات مالی و بانکداری: به دلیل نقش حساس در مدیریت و امنیت وجوه و داده‌های مشتریان، هدف ارزشمندی برای مهاجمان هستند. مهاجمان ممکن است برای اخاذی، ایجاد بی‌ثباتی یا آسیب به اعتبار بانک‌ها، آنها را هدف قرار دهند.

  • تجارت الکترونیک و خرده‌فروشی آنلاین: در بازه‌های اوج خرید، مانند بلک‌فرایدی و تعطیلات، حتی یک قطعی کوتاه می‌تواند به از دست رفتن فروش و مشتریان منجر شود.

  • دولت و بخش عمومی: وب‌سایت‌های دولتی مخصوصاً در حوزه اطلاع‌رسانی عمومی و خدمات اضطراری هدف قرار می‌گیرند. هدف ممکن است ایجاد ناآرامی یا محدود کردن دسترسی عمومی به اطلاعات باشد.

  • صنعت بازی و سرگرمی آنلاین: انتظار پاسخ‌گویی لحظه‌ای توسط کاربران، این صنعت را بسیار حساس می‌کند. حملات اغلب با هدف ایجاد اختلال در جریان بازی‌ها و مسابقات انجام می‌شود.

  • رسانه‌ها و خبرگزاری‌ها: Hacktivist ها ممکن است برای جلوگیری از انتشار اخبار یا کنترل روایت های رسانه‌ای، سایت‌های خبری را هدف قرار دهند.

اشتباهات رایج که منجر به حملات DDoS می‌شوند

بسیاری از کسب‌وکارها به‌طور ناخواسته ضعف‌هایی در زیرساخت خود ایجاد می‌کنند. رایج‌ترین اشتباهات عبارتند از:

  • اتکا به تنها یک ارائه‌دهنده یا سرور DNS که یک Single Point of Failure (نقطه شکست واحد) ایجاد می‌کند.

  • نادیده گرفتن الگوهای ترافیکی غیرعادی یا درخواست‌های مشکوک از IP های ناشناخته.

  • استفاده از نرم‌افزارها و Firmware های قدیمی.

  • برنامه‌ریزی ضعیف و نداشتن ظرفیت کافی برای مدیریت ترافیک سنگین.

  • عدم وجود برنامه واکنش به حادثه که موجب طولانی‌تر شدن قطعی‌ها و آسیب بیشتر می‌شود.

جمع‌بندی

هرچه شبکه DNS گسترده‌تر باشد، مقاومت بالاتر خواهد بود و ترافیک حجیم مهاجمان میان سرورهای شما در نقاط مختلف توزیع شده و فشار کاهش می‌یابد. همچنین فراموش نکنید که حملات مدرن DDoS لایه‌های مختلف ارتباطی را هدف قرار می‌دهند؛ بنابراین باید از یک سیستم محافظت DDoS هوشمند و واکنش‌دهنده سریع استفاده کنید تا بتواند دقیق و به‌موقع پاسخ دهد.

برچسب‌ها:
اشتراک گذاری:

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *