حمله DDoS (دیداس یا اتک) رایجترین حملههای سایبری است که سرورها را مورد هدف قرار میدهد.
البته هر کاربر عادی هم ممکن است بهگونهای درگیر این نوع حملات شود.
حمله DDoS چیست؟
DDoS مخفف Distributed Denial of Service است که نوعی از حملات DoS (حمله به سرور) محسوب میشود.
حملهی داس زمانی رخ میدهد که حجم زیادی از تقاضای کاذب عمدا بهسمت سرور مورد هدف ارسال شود، تا آن سرور از کار بیفتد.
معمولا ترافیک حمله دیداس از سمت چند سیستم مختلف در یک زمان اتفاق انجام می شود.
ولی این حمله میتوانید از سمت یک سیستم نیز باشد در صورتی که شما در زمان این حمله در حال مشاهده ترافیک باشید میتوانید از این حمله جلوگیری کنید برای این کار باید ای پی سروری که به شما حمله DDoS میدهد را ببندید.
حمله DDoS چگونه عمل می کند؟
حمله DDoS به یک مهاجم نیاز دارد تا بتواند شبکه ماشینهای آنلاین را کنترل کند تا بتواند یک حمله را انجام دهد.
رایانه ها و سایر دستگاه ها (مانند دستگاه های IoT) به بدافزارها آلوده شده و هرکدام را به یک ربات تبدیل می کنند. مهاجم با استفاده از کنترل از راه دور بر روی گروه بات ها که به آن botnet گفته می شود به مقصد دسترسی پیدا میکند.
پس از ایجاد یک بات نت ، مهاجم قادر است با ارسال دستورالعمل های به روز شده به هر ربات از طریق یک روش کنترل از راه دور ، ماشین ها را هدایت کند.
هنگامی که آدرس IP یک قربانی توسط botnet هدف قرار گرفت ، هر ربات با ارسال درخواست به هدف پاسخ خواهد داد ، به طور بالقوه باعث می شود سرور یا شبکه هدفمند از ظرفیت پر شده و از دسترس خارج شود.
از آنجا که هر ربات یک وسیله اینترنتی قانونی است ، جدا کردن ترافیک حمله از ترافیک عادی می تواند مشکل باشد.
انواع متداول حملات DDoS چیست؟
حالتهای مختلف حمله DDoS مؤلفه های مختلف اتصال به شبکه را هدف قرار می دهند.
برای درک چگونگی عملکرد حملات DDoS متفاوت ، لازم است بدانید که چگونه یک اتصال شبکه ایجاد می شود.
اتصال شبکه در اینترنت از اجزای مختلف یا “لایه” های مختلف تشکیل شده است.
مانند ساخت خانه از زمین به بالا ، هر مرحله از مدل هدف متفاوتی دارد.
مدل OSI ، در زیر نشان داده شده ، یک چارچوب مفهومی است که برای توصیف اتصال شبکه در 7 لایه مجزا استفاده می شود.
در حالی که تقریباً تمام حملات DDoS شامل بیشتر از یک دستگاه یا شبکه هدف با ترافیک هستند ، حملات را می توان به سه دسته تقسیم کرد.
یک مهاجم ممکن است از یک یا چند روش حمله مختلف یا از روشهای حمله استفاده کند که به طور بالقوه بر اساس اقدامات ضد انجام شده توسط هدف استفاده می کند.
پارس وی دی اس ارائه دهنده ی سرور مجازی اختصاصی و سرور مجازی با فایروال رایگان.
سرور مجازی ایران با فایروال سرور اختصاصی ایران با فایروال
Application Layer Attacks
گاهی اوقات به عنوان حمله لایه ای 7 DDoS (با اشاره به لایه 7 مدل OSI) گفته می شود ، هدف از این حملات ، فرسایش منابع مورد نظر است.
این حملات لایه ای را ایجاد می کند که صفحات وب روی سرور ایجاد شده و در پاسخ به درخواست های HTTP تحویل داده می شوند.
یک درخواست HTTP برای اجرای در دستورات از سمت مشتری است و می تواند برای پاسخ دادن به سرور هدف باشد با دلیل اینکه سرور برای ایجاد یک صفحه وب اغلب باید چندین فایل را بارگیری کرده و محتویات پایگاه داده را اجرا کند.
دفاع از حملات لایه 7 دشوار است زیرا شناسایی ترافیک به عنوان حمله ممکن است دشوار باشد.
HTTP Flood
این حمله مانند فشار دادن به باز کردن مجدد(Refresh) به صورت همزکان با تعداد زیادی سرور و به صوت مداوم است که این کار باعث انکار وجود سرور و عدم توانایی در پاسخ توسط سیستم می شود.
این نوع حمله از ساده تا پیچیده متغیر است. پیاده سازی های ساده تر ممکن است به یک URL با همان محدوده آدرس های IP حمله کننده ، مراجعه کنندگان و نمایندگان کاربر حمله کنند. نسخه های پیچیده ممکن است از تعداد زیادی آدرس IP حمله کننده استفاده کنند و آدرس های تصادفی را با استفاده از مراجعه کننده های تصادفی و نمایندگان کاربر مورد هدف قرار دهند.
Protocol Attacks
حملات پروتکل ، همچنین به عنوان حملات فرسودگی زیرساختی نیز شناخته می شود ، با مصرف تمام ظرفیت موجود در سرورهای برنامه وب یا منابع واسطه ای مانند فایروال ها و load balancerها باعث ایجاد اختلال در سرویس می شوند. حملات پروتکل با استفاده از نقاط ضعف در لایه 3 و لایه 4 پشته پروتکل ، هدف را غیرقابل دسترسی می کند.
SYN Flood
SYN Floodمشابه یک کارگر است که درخواست ها را از یک مشتری میگیرد و به سیستم تحویل میدهد.
سیستم پاسخ درخواست را اماده کرده و به کارگر میدهد تا به دست مشتری برساند ولی مشتری این درخواست را پس نمی گیرد.
این درخواست پشت سر هم ارسال می شود و توسط مشتری پاسخ داده نمی شود تا کارگر سیستم از دسترس خارج می شود. این حمله از ارسال TCP با ارسال تعداد زیادی از بسته های SYN TCP “Initial Connection Request” با آدرس های IP منبع فاسد سوء استفاده می کند.
دستگاه هدف به هر درخواست اتصال پاسخ می دهد و سپس منتظر آخرین مرحله تایید از سوی کاربر می ماند ولی این این تایید هیچ وقت انجام نمی شود و با همین روش سیستم از کار می افتد.
Volumetric Attacks
این دسته از حملات با استفاده از تمام پهنای باند موجود هدف و اینترنت بزرگتر سعی در ایجاد اختلال دارد.
مقادیر زیادی از داده ها داخواست هایی را به سوی مقصد ارسال میکنند این مورد از راههای افزایش ارسال و یا راه های دیگری ، مانند درخواست های یک botnet ، به یک هدف ارسال می شوند.
DNS Amplification
تقویت DNS مانند این است که اگر کسی به رستوران زنگ بزند و بگوید “من یکی از همه غداهای شما را می خواهم ، لطفا با من تماس بگیرید تا من سافرش را ثبت کنم” ، جایی که شماره تلفن برگشتی که می دهد شماره هدف است. با هز تلاشی، یک پاسخ طولانی ایجاد می شود.
با ایجاد درخواست به یک سرور DNS باز با یک آدرس IP فاسد (آدرس IP واقعی هدف) ، آدرس IP هدف سپس پاسخی را از سرور دریافت می کند. مهاجم این درخواست را طوری تنظیم می کند که سرور DNS با حجم زیادی از داده ها به هدف پاسخ دهد. در نتیجه ، هدف از پرس و جو اولیه مهاجم تقویت می کند.
روند کاهش حمله DDoS چیست؟
نگرانی اصلی در کاهش حمله DDoS ، تمایز بین حمله و ترافیک عادی است. به عنوان مثال ، اگر نسخه محصول دارای وب سایت یک شرکت با مشتریان مشتاق است ، قطع همه ترافیک یک اشتباه است.
اگر آن شرکت ناگهان در حال افزایش در ترافیک به ص.رت ناگهانی باشد ، تلاش برای کاهش حمله احتمالاً ضروری است.
مشکل این است که جدا کردن مشتری واقعی و ترافیک حمله باعث جدا شدن مشتری می شود.
در اینترنت مدرن ، ترافیک DDoS به اشکال مختلفی ارائه می شود. ترافیک می تواند در طراحی از حملات منفرد غیرمحدود تا حملات چند بردار پیچیده و سازگار متفاوت باشد.
حمله DDoS چند بردار از مسیرهای حمله چندگانه به منظور غلبه بر یک هدف به روشهای مختلف استفاده می کند ، و به طور بالقوه باعث کاهش اقدامات کاهشی در هر مسیر می شود.
حمله ای که همزمان چندین لایه از پشته پروتکل را هدف قرار می دهد ، مانند تقویت DNS (هدف قرار دادن لایه ها 3/4) همراه با یک سیل HTTP (لایه هدف گذاری 7) نمونه ای از DDoS چند بردار است.
کاهش یک حمله DDoS چند بردار به منظور مقابله با مسیرهای مختلف به استراتژیهای مختلفی نیاز دارد.
به طور کلی ، هرچه حمله پیچیده تر باشد ، جداسازی ترافیک از ترافیک عادی مشکل تر خواهد بود.
هدف مهاجم مخلوط کردن هر چه بیشتر ممکن است و کاهش ;کارآمدی سیستم .
تلاش های کاهش یافته که شامل افت و محدود کردن ترافیک به صورت نامحسوس است ، ممکن است ترافیک خوب را با استفاده از بد سوق دهد و حمله نیز ممکن است با اقدامات متقابل دور ساز اصلاح و سازگار شود.
برای غلبه بر یک تلاش پیچیده برای ایجاد اختلال ، یک راه حل لایه های بیشتر حفاظت هست که بیشترین سود را خواهد داشت.
مسیریابی سیاه چاله
یک راه حل در دسترس برای تقریبا همه سرپرست شبکه ایجاد مسیر سیاهچاله و تردد دودکش مانند به آن مسیر است.
در ساده ترین شکل آن ، هنگامی که فیلتر سیاهچاله بدون معیار محدودیت خاص اجرا می شود ، هر دو ترافیک مشروع و مخرب شبکه به یک مسیر تهی یا سیاهچاله هدایت می شوند و از شبکه حذف می شوند.
اگر یک ویژگی اینترنت در حال حمله DDoS باشد ، ارائه دهنده خدمات اینترنت ملک (ISP) ممکن است تمام ترافیک سایت را به عنوان دفاع به داخل سیاهچاله بفرستد.
محدود کردن نرخ
محدود کردن تعداد درخواست هایی که سرور در طی یک پنجره زمانی خاص می پذیرد نیز راهی برای کاهش حملات انکار سرویس است.
در حالی که محدود کردن نرخ در کاهش سرعت صفحه وب از دزدی محتوا و برای کاهش تلاش های ورود به سیستم ناخواسته مفید است ، اما به تنهایی برای کنترل موثر DDoS حمله کافی نیست.
با این وجود ، محدود کردن نرخ یک مؤلفه مفید در یک استراتژی کاهش موثر DDoS است.
فایروال برنامه وب
فایروال برنامه وب (WAF) ابزاری است که می تواند در کاهش حمله به لایه 7 DDoS کمک کند.
با قرار دادن WAF بین اینترنت و سرور مبدا ، WAF به عنوان یک پروکسی معکوس عمل میکند و از سرور هدفمند در برابر انواع خاصی از ترافیک مخرب محافظت کند.
با فیلتر کردن درخواست ها بر اساس یک سری قوانین استفاده شده برای شناسایی ابزارهای DDoS ، می توان از حملات لایه 7 جلوگیری کرد.
یک مقدار اصلی یک WAF مؤثر توانایی اجرای سریع قوانین سفارشی در پاسخ به حمله است.
انتشار شبکه Anycast
این روش کاهش استفاده از یک شبکه Anycast برای پراکنده کردن ترافیک حمله در شبکه ای از سرورهای توزیع شده تا جایی که جذب ترافیک توسط شبکه انجام می شود.
مانند روش هدایت یک رودخانه در حال حرکت به سمت کانالهای کوچکتر جداگانه ، این روش تأثیر ترافیک حمله توزیع شده را تا جایی که قابل کنترل باشد گسترش می دهد و هرگونه توانایی مختل کننده را پراکنده می کند.
قابلیت اطمینان شبکه Anycast برای کاهش یک حمله DDoS به اندازه حمله و اندازه و کارایی شبکه بستگی دارد.
حتما بدانید
در این آموزش انوع روش های اتک و تهدیدات شبکه ای توضیح داده شد ، مهم تر از دانستن این روش ها ، مقابله با این روش های حمله میباشد در آموزش زیر روش مقابله با این تهدیدات را بدانید