زمان تخمینی مطالعه: 12 دقیقه 

حمله انکار سرویس توزیع شده (DDoS) به‌عنوان یکی از رایج‌ترین نوع حملات سایبری شناخته می‌شود. در این نوع حمله، چند سامانه توسط مهاجم به صورت همزمان و گسترده به یک سرویس‌دهنده یا یک شبکه متصل می‌شوند و تعداد بسیار زیادی درخواست را برای آن سرویس‌دهنده ارسال می‌کنند. هدف اصلی این حمله، ایجاد اختلال در عملکرد سرویس‌دهنده و مسدود کردن دسترسی کاربران به آن است. با توجه به این‌که حملات فوق از چند منبع صورت می‌گیرند، فرآیند شناسایی آن‌ها سخت است و در نتیجه مسدود کردن آن‌ها به زمان زیادی نیاز دارد. به علاوه، در صورتی که حمله به یک شبکه انجام شود، ممکن است کل شبکه را از دسترس خارج کند. به‌طور معمول، هکرها برای پیاده‌سازی این مدل از حملات، از بردار حمله خاصی که شبکه‌ای از بات‌ها (Bots) نام دارد استفاده می‌کنند. شبکه‌ها بات‌ها که گاهی به آن شبکه زامبی نیز گفته می‌شود، متشکل از انواع مختلفی از دستگاه‌ها، مثل تجهیزات اینترنت چیزها، کامپیوترهای شخصی، تبلت‌ها، گوشی‌های هوشمند و در مجموع هر دستگاه الکترونیکی هستند که قابلیت اتصال به اینترنت را دارد. هکرها تلاش می‌کند تا آسیب‌پذیری‌های هر یک از این تجهیزات را شناسایی کرده و در ادامه، بدافزاری روی آن‌ها نصب کنند. این بدافزار از طریق شبکه کنترل و فرمان‌دهی به سروری که زیر نظر هکر قرار دارد، متصل می‌شوند تا دستورات لازم را دریافت کنند. در ادامه، هکر در زمان مشخصی و به دور از دلیل کاربران، به تجهیزات فرمان می‌دهد تا به سرور مشخصی حمله کنند. همان‌گونه که مشاهده می‌کنید، حمله DDoS یکی از خطرناک‌ترین حملات دنیای سایبری است.

حمله‌ dos چیست؟

حمله انکار سرویس Dos سرنام (Denial of Service) نوع دیگری از حملات سایبری است که باعث قطع دسترسی کاربران به یک سرویس یا شبکه می‌شود. در این نوع حمله، مهاجم با ارسال تعداد بسیار زیادی درخواست به سرور یا شبکه، باعث اشباع شدن منابع آن‌ها می‌شود که در نهایت قطع دسترسی کاربران به آن سرویس را به همراه دارد.

به‌طور معمول، مهاجم از برنامه‌های خاصی برای تولید درخواست‌های بی‌شمار برای سرویس‌دهنده استفاده می‌کند. این برنامه‌ها می‌توانند به صورت دستی یا به صورت خودکار اجرا شوند و درخواست‌هایی را از طریق پروتکل‌های مختلف (مثل HTTP، FTP و…) برای سرور ارسال ‌کنند. در حمله DoS، هدف اصلی مهاجم ایجاد اختلال در سرویس خاصی و قطع دسترسی کاربران به آن است. برخی از روش‌های مختلفی که برای انجام حمله DoS استفاده می‌شود شامل حملات SYN flood، UDP flood و ICMP flood هستند.

حمله ddos چیست؟

حمله DDoS سرنام (Distributed Denial of Service) مشابه حمله DoS است، با این تفاوت که در این نوع حمله، مهاجم از طیف گسترده‌ای از سامانه‌های مختلف به صورت همزمان استفاده می‌کند تا بتواند دسترسی به یک سرویس مهم را مختل کند.

در حمله DDoS، مهاجم یا مهاجمان از برنامه‌های مخرب یا بدافزارهای خاصی برای بهره‌برداری از سامانه‌های آسیب‌پذیر استفاده می‌کنند و آن‌ها را به صورت ناخواسته در حمله‌ای که ترتیب داده‌اند، شریک می‌کنند. با استفاده از این سامانه‌های آسیب‌پذیر و آلوده به بدافزار، مهاجم می‌تواند تعداد بسیار زیادی درخواست را به سرور یا شبکه مورد حمله ارسال کند و منابع آن را به صورت کامل اشباع کند تا دسترسی کاربران به آن سرویس قطع شود. حمله DDoS به دلیل استفاده از طیف گسترده‌ای از سامانه‌ها بسیار سخت‌تر بوده و گاهی اوقات دسترسی به یک سرویس یا شبکه را به مدت چند روز غیر ممکن می‌کند. به طوری که خسارت‌های چند هزار یا حتی میلیون دلاری به شرکت‌ها وارد می‌کند.

انواع حملات ddos چیست؟

همان‌گونه که اشاره کردیم در حملات DDoS، مهاجم از سامانه‌های مختلفی برای حمله به یک سرویس با هدف از کار انداختن آن استفاده می‌کند، به طوری که منابع سرور یا سرورها را به‌طور کامل اشباع می‌کند و دسترسی کاربران به سرویس را قطع کند. با این‌حال، نکته مهمی که باید به آن دقت کنید این است که حملات DDoS انواع مختلفی دارند که برخی از آن‌‌ها به شرح زیر هستند:

حمله توزیع شده پروتکل SYN

در این نوع حمله، مهاجم با استفاده از تعداد زیادی درخواست SYN که توسط سامانه‌های مختلفی ساخته شده است، سعی می‌کند تا منابع سرور را به صورت کامل اشباع کند و دسترسی کاربران به آن را قطع کند. در پروتکل TCP، برای برقراری ارتباط بین دو سیستم، ابتدا یک اتصال سه مرحله‌ای برقرار می‌شود. در این اتصال، سامانه درخواست‌دهنده ابتدا یک درخواست SYN ارسال می‌کند، سپس سامانه دریافت‌کننده با ارسال درخواست SYN-ACK به درخواست‌دهنده پاسخ می‌دهد و در نهایت درخواست‌دهنده با ارسال یک پاسخ ACK، اتصال را برقرار می‌کند. در حمله توزیع شده پروتکل SYN، مهاجم با استفاده از تعداد زیادی درخواست SYN که توسط سامانه‌های مختلف ارسال می‌شوند به سرور حمله می‌کند. این نوع حمله به‌عنوان یک حمله اشباع‌کننده شناخته شده است، زیرا مهاجم با استفاده از تعداد زیادی درخواست SYN، تلاش می‌کند تا منابع سرور را به صورت کامل اشغال کند و از برقراری ارتباط بین سرویس‌دهنده و کاربران جلوگیری کند.

برای جلوگیری از بروز حملات توزیع شده پروتکل SYN، سرویس‌دهندگان می‌توانند از راهکارهای امنیتی مانند فایروال‌های مبتنی بر ترافیک، نرم‌افزارهای تشخیص حملات DDoS و همچنین سرویس‌های CDN استفاده کنند. همچنین، پیکربندی درست سرور‌ها و شبکه‌ها برای جلوگیری از بروز حملات توزیع شده پروتکل SYN بسیار مهم است.

حمله توزیع شده پروتکل UDP

در این نوع حمله، مهاجم از پروتکل UDP برای پیاده‌سازی حمله استفاده می‌کند. مزیت بزرگی که پروتکل فوق در اختیار هکرها قرار می‌دهد این است که برعکس پروتکل TCP منتظر دریافت پاسخ دریافت از میزبان نمی‌شود، همین مساله باعث می‌شود تا هکر بتواند با سرعت بیشتری تعداد زیادی درخواست برای منبع ارسال کند. پروتکل UDP، یک پروتکل انتقال داده است که برای انتقال داده‌هایی مورد استفاده قرار می‌گیرد که باید به سرعت ارسال شوند. در حمله توزیع شده پروتکل UDP، مهاجم تعداد بسیار زیادی درخواست را به صورت همزمان ارسال می‌کند. با ارسال تعداد زیادی درخواست به سرور، مهاجم سعی می‌کند تا منابع سرور را به‌صورت کامل اشباع کرده و دسترسی کاربران به آن را قطع کند. در بسیاری از موارد، حملات توزیع شده پروتکل UDP به صورت اسپوفینگ (spoofing) نیز صورت می‌گیرند. در این نوع حمله، مهاجم با تقلید آدرس IP سیستم‌های دیگر، درخواست‌های UDP را از سامانه‌های مختلفی ارسال می‌کند تا به نظر برسد که این درخواست‌ها از سامانه‌های دیگری فرستاده شده‌اند. این کار باعث می‌شود که شناسایی منبع حمله سخت شود و امکان مسدود کردن آن مشکل شود. به‌طور کلی، برای مقابله با این نوع حملات، سرویس‌دهندگان باید از راهکار‌های امنیتی از قبیل فایروال، نرم‌افزارهای تشخیص حملات DDoS و سرویس‌های CDN استفاده کنند.

حمله توزیع شده پروتکل HTTP

مهاجم با استفاده از تعداد زیادی درخواست HTTP که به شکل همزمان از چند سامانه ارسال می‌شود، سعی می‌کند تا منابع سرور را به صورت کامل اشباع کند و دسترسی کاربران به سرویس را قطع کند.

در این نوع حمله، مهاجم با استفاده از برنامه‌های مخرب نصب شده روی سامانه قربانیان، تعداد بسیار زیادی درخواست HTTP به سرور مورد حمله می‌فرستد. این درخواست‌ها می‌توانند از انواع مختلفی باشند، مانند درخواست‌های GET و POST. با ارسال تعداد زیادی درخواست به سرور، مهاجم سعی می‌کند تا منابع سرور را به صورت کامل اشباع کرده و دسترسی کاربران به آن را قطع کند.

حملات توزیع شده پروتکل HTTP بسیار خطرناک هستند، زیرا بسیاری از سرویس‌های آنلاین از پروتکل HTTP برای ارتباط با کاربران استفاده می‌کنند. با قطع دسترسی به این سرویس‌ها، کاربران نمی‌توانند به آن‌ها دسترسی پیدا کنند و ممکن است خسارات جدی به سرویس‌دهنده و کاربران وارد شود.

حمله توزیع شده پروتکل ICMP

پروتکل ICMP یک پروتکل مدیریت وضعیت ارتباط شبکه است که در شبکه‌های مبتنی بر IP برای ارسال پیغام‌هایی مربوط به وضعیت شبکه استفاده می‌شود. در حمله توزیع شده پروتکل ICMP، مهاجم با استفاده از تعداد زیادی درخواست ICMP به سرور حمله می‌کند و سعی دارد درخواست‌ها را به‌شکل همزمان از طریق سامانه‌های مختلفی برای سرور ارسال کند تا در نهایت سرور از پاسخ‌گویی به درخواست‌های مختلف ناتوان شود. در بسیاری از موارد، حملات توزیع شده پروتکل ICMP نیز به صورت spoofing انجام می‌شوند که همانند UDP مبتنی بر تقلید آدرس آی‌پی سامانه‌های دیگر است تا این‌گونه تصور شود که درخواست‌ها از سامانه‌های مختلفی ارسال شده است. در نتیجه، شناسایی منبع و دفع این حملات کار سختی خواهد بود.

حمله توزیع شده ترکیبی

حمله توزیع شده ترکیبی یکی دیگر از مدل‌های حملات DDoS است که در آن، مهاجم با استفاده از ترکیبی از حملات مختلف، سعی می‌کند تا منابع سرور را به صورت کامل اشباع کند و دسترسی کاربران به سرویس را قطع کند.

در حمله توزیع شده ترکیبی، مهاجم از ترکیبی از حملات مختلف مانند حمله توزیع شده پروتکل SYN، حمله توزیع شده پروتکل ICMP، حملات اشباع باند‌پایه (bandwidth saturation) و حملات اشباع لایه برنامه (application layer saturation) استفاده می‌کند تا به سرور حمله کند. با ترکیب این حملات مختلف، مهاجم سعی می‌کند تا منابع سرور را به صورت کامل اشباع کنده و دسترسی کاربران به سرویس را قطع کند.

حملات توزیع شده ترکیبی بسیار پیچیده هستند و برای شناسایی و جلوگیری از آن‌ها نیاز به راهکارهای امنیتی پیشرفته داریم. از جمله این راهکارهای امنیتی می‌توان به استفاده از سامانه‌های تشخیص حملات DDoS، استفاده از سرویس‌های CDN، استفاده از فایروال‌های مبتنی بر ترافیک و همچنین پیکربندی شبکه و سرور اشاره کرد. همچنین، نظارت مستمر بر ترافیک شبکه و شناسایی الگوهای حملات DDoS می‌تواند به شناسایی و جلوگیری از حملات توزیع شده ترکیبی کمک کند.

جلوگیری از حملات ddos

برای جلوگیری از حملات DDoS، می‌توانید از راهکارهای زیر استفاده کنید:

استفاده از فایروال: یکی از راه‌های اصلی جلوگیری از بروز حملات DDoS استفاده از فایروال است. با استفاده از فایروال، می‌توانید ترافیک شبکه را مانیتور کنید و در صورت شناسایی الگوهای حملات DDoS، ترافیک را مسدود کنید.

استفاده از شبکه‌های CDN: شبکه‌های تحویل محتوا (Content Delivery Network) از سرورهای قراردادی در سراسر جهان برای توزیع محتوا استفاده می‌کنند. با استفاده از CDN، ترافیک به سرور شما توزیع می‌شود و شما می‌توانید ترافیک را از سرور خود جدا کنید. این کار باعث می‌شود که حملات DDoS به سرور شما نتوانند دسترسی داشته باشند.

استفاده از سامانه‌های تشخیص حملات DDoS: استفاده از سامانه‌های تشخیص حملات DDoS به شما کمک می‌کند تا به‌سرعت به حملات DDoS پاسخ دهید و ترافیک مشکوک را مسدود کنید.

پیکربندی تنظیمات شبکه: پیکربندی درست تنظیمات شبکه از جمله تنظیمات سرویس DNS، تنظیمات پروتکل TCP/IP و تنظیمات برنامه‌های سرور می‌تواند به شما در جلوگیری از حملات DDoS کمک کند.

استفاده از سرویس‌های ابری: استفاده از سرویس‌های ابری نظیر Amazon Web Services, Google Cloud Platform, Microsoft Azure و غیره، به شما کمک می کند با استفاده از پهنای باند بالا و زیرساخت‌های امن به مقابله با حملات DDoS بپردازید.

به‌روزرسانی و رفع آسیب‌پذیری‌های نرم‌افزارها: به‌روزرسانی و رفع باگ‌های نرم‌افزارهایی که در سرویس‌دهی استفاده می‌شوند، بسیار مهم است. این کار باعث می‌شود که مهاجمان نتوانند از رخنه‌های امنیتی در نرم‌افزارها برای پیاده‌سازی حملات DDoS استفاده کنند.

با ترکیب این راهکارها، می‌توانید از زیرساخت‌ها به بهترین شکل در برابر حملات DDoS محافظت کنید.

راهکارهای ایجاد امنیت در مقابل اختلال سرویس

برای ایجاد امنیت در مقابل اختلال سرویس، می‌توانید از راهکارهای زیر استفاده کنید:

1. پشتیبانی از ابزارهای تحلیل‌گر رویداد و اطلاعات امنیتی (SIEM): این راهکار به شما کمک می‌کند تا از رویدادهای امنیتی در شبکه و سامانه‌های خود آگاه شوید و بتوانید به طور سریع به تهدیدات امنیتی پاسخ دهید.
2. استفاده از الگوریتم‌های رمزنگاری: استفاده از رمزنگاری برای برقراری ارتباط بین کاربران و سرورها می‌تواند از محتوای ارتباطی در مقابل حملات امنیتی و جاسوسی محافظت کند.
3. مانیتور کردن ترافیک شبکه: مانیتور کردن ترافیک شبکه و شناسایی الگوهای غیرمعمول می‌تواند به شما کمک کند تا به‌سرعت به تهدیدات امنیتی پاسخ دهید.
4. پشتیبانی از شناسایی دو عاملی: پشتیبانی از شناسایی دو عاملی به کاربران شما امکان می‌دهد با استفاده از دو عامل احراز هویت، مانند رمز عبور و کد ارسال شده به تلفن همراه، از احتمال سو استفاده از حساب کاربری خود جلوگیری کنند.
5. برنامه‌ریزی برای پشتیبانی و بازیابی: این برنامه قدرتمند می‌تواند در صورت بروز اختلال در سرویس‌ها، به سرعت بازیابی سرویس را امکان‌پذیر کند.
6. استفاده از سیستم‌های تشخیص و پیشگیری از نفوذ (IDS/IPS): سیستم‌های تشخیص و پیشگیری از نفوذ به شما کمک می‌کنند تا به سرعت به تهدیدات امنیتی پاسخ دهید و از نفوذ به سیستم‌های خود جلوگیری کنید.

با ترکیب این راهکارها، می‌توانید به مقابله با اختلال در سرویس‌ها بپردازید و آن‌ها را در وضعیت پایدار و امن قرار دهید.

بخوانید: راهنمای آشنایی با مرکز عملیات امنیت و دلیل اهمیت آن در سازمان