حمله DDoS یا حمله دیداس چیست + انواع و چگونگی مقابله با این حمله

امنیت در فضای اینترنت برای همه کسانی که از خدمات آنلاین استفاده می‌کنند، اهمیت زیادی دارد. مخصوصا برای کسب وکارهایی که بر بستر دیجیتال فعالیت می‌کنند، این موضوع جدی تر است. یکی از خطرهایی که در این زمینه دیده می‌شود، حملات DDoS هستند. در این نوع حمله، مهاجمان تعداد زیادی درخواست به یک سرور یا سایت می‌فرستند. این حجم بالا از درخواست‌ها باعث می‌شود که سیستم هدف از کار بیفتد و کاربران عادی نتوانند به خدمات دسترسی داشته باشند. هدف این روش، قطع دسترسی واقعی کاربران و ایجاد اختلال در عملکرد سرور است. بسیاری از سایت‌ها و سرویس‌های آنلاین تا حالا هدف چنین حمله‌هایی قرار گرفته اند. برای اینکه جلوی ضررهای مالی و فنی گرفته شود، باید این حملات را شناخت و راه‌ حل‌های مقابله با آن را یاد گرفت.

حمله DDoS چیست؟

حمله DDoS زمانی اتفاق می‌افتد که فرد یا گروهی، از دستگاه‌ها و منابع گوناگون، مقدار زیادی ترافیک به سمت یک سرور، سایت یا سرویس می‌فرستند. حجم بالای این درخواست‌ها باعث می‌شود سرور از کار بیفتد، چون توان پاسخگویی به این تعداد درخواست را ندارد. در نتیجه، کاربران دیگر نمی‌توانند از خدمات استفاده کنند. برخلاف حملات DoS که فقط از یک دستگاه انجام می‌شود، در DDoS چندین سیستم در نقاط مختلف درگیر می‌شوند. گاهی هم این دستگاه‌ها بخشی از یک شبکه آلوده مثل بات نت هستند.

برخی هکرها از این نوع حمله برای رقابت نادرست یا مختل کردن فعالیت یک سازمان استفاده می‌کنند. بعضی دیگر هدف مالی دارند یا دنبال گرفتن پول در برابر توقف حمله هستند. حتی گاهی این حمله‌ها به عنوان پوشش برای اقدامات جدی تری مثل دزدیدن اطلاعات انجام می‌شود. هر چه تعداد سیستم‌های شرکت کننده در حمله بیشتر باشد و این دستگاه‌ها در نقاط دور از هم قرار داشته باشند، قدرت حمله هم بالاتر می‌رود.

نکته مهم در مورد DDoS این است که چون حمله از چند نقطه صورت می‌گیرد، شناسایی منبع اصلی و جلوگیری از ادامه آن سخت تر می‌شود. به همین دلیل، دفاع در برابر چنین تهدیدی نیازمند ابزارهایی قدرتمند و زیرساخت‌هایی است که در چند نقطه پخش شده باشند تا بتوان جلوی اختلال را گرفت و کارایی سیستم را حفظ کرد.

برای کسب اطلاعات بیشتر در مورد قیمت و خرید سرور hp استوک، همچنین تجهیزات مربوطه به منظور تقویت کارایی آنها می توانید با کارشناسان شرکت ماهان شبکه ایرانیان از طریق  شماره ۰۲۱۹۱۰۰۸۴۱۳ در تماس باشید.

نحوه عملکرد DDoS

برای درک بهتر روش کار حمله DDoS ابتدا بهتر است سازوکار درخواست‌ها و پاسخ‌های شبکه‌ روشن شود. وقتی فردی می‌خواهد به یک سایت یا سرویس آنلاین دسترسی پیدا کند، داده‌هایی به سمت سرور فرستاده می‌شود. سرور این دیتا را دریافت می‌کند، بررسی می‌کند و سپس جواب می‌دهد. اگر تعداد این درخواست‌ها خیلی زیاد شود و از ظرفیت سرور یا اینترنت فراتر برود، دیگر نمی‌توان پاسخ درستی داد و سیستم از دسترس خارج می‌شود.

در حمله  DDoS، مهاجم از تعداد زیادی دستگاه آلوده استفاده می‌کند که به آن‌ها بات نت گفته می‌شود. این بات نت‌ها که می‌توانند شامل کامپیوترهای خانگی، مودم‌های آسیب پذیر یا حتی وسایل هوشمند باشند، هم زمان و در یک لحظه مشخص، درخواست‌های زیادی به سمت یک سرور یا سایت می‌فرستند. از آنجا که این دستگاه‌ها از مکان‌های مختلف دنیا هستند، پیدا کردن منبع اصلی حمله کار سختی خواهد بود.

در این نوع حمله دو حالت کلی وجود دارد:

1. درخواست‌های ظاهرا واقعی
   در این حالت، شکل درخواست‌ها عادی به نظر می‌رسد؛ مثل چیزی که کاربران معمولی می‌فرستند. اما تعداد آن‌ها بسیار بالاست. سرور سعی می‌کند به همه این درخواست‌ها پاسخ دهد و در این روند، تمام منابعش مصرف می‌شود.
2. ارسال بسته‌های خراب یا ناقص
   در حالت دوم، داده‌هایی که فرستاده می‌شود یا خراب هستند یا ساختار درستی ندارند. این نوع دیتا باعث می‌شود سرور درگیر تحلیل و مدیریت آن‌ها شود اما از پسش برنمی‌آید. در نهایت سیستم از کار می‌افتد.

اگر یک سازمان ابزارهای لازم برای تشخیص ترافیک غیرعادی را نداشته باشد یا نتواند سرعت عمل خوبی در واکنش به حمله نشان دهد، خیلی زود سرویس‌هایش قطع می‌شود. به همین دلیل، شناسایی زودهنگام، استفاده از روش‌های ایمن سازی و داشتن برنامه مشخص برای مقابله با چنین حملاتی بسیار ضروری است.

نقش بات نت (Botnet) در حمله های DDOS

برای اجرای یک حمله  DDoS، مهاجم نیاز به مجموعه ای از دستگاه‌های آلوده به بدافزار دارد که به آن‌ها بات نت گفته می‌شود. این مجموعه می‌تواند شامل کامپیوترهای شخصی، سرورهایی با امنیت پایین یا حتی مودم‌ها و دستگاه‌های هوشمند باشد. وقتی این دستگاه‌ها به بدافزار آلوده می‌شوند، مهاجم می‌تواند از راه دور آن‌ها را کنترل کند. کافی است فقط یک فرمان ارسال شود تا همه این سیستم‌ها هم زمان شروع به فرستادن درخواست به هدف کنند.

نکته جالب این است که بیشتر کسانی که از این دستگاه‌ها استفاده می‌کنند، خبر ندارند سیستمشان وارد یک حمله شده و در حال ارسال ترافیک مشکوک است. برخی از هکرها حتی این بات نت‌ها را به دیگران اجاره می‌دهند تا برای حملات گسترده یا اخاذی از آن استفاده شود.

ساختن یک بات نت می‌تواند از روش‌های مختلفی انجام شود؛ مثل فرستادن ایمیل آلوده، استفاده از مشکلات نرم افزاری یا نفوذ به دستگاه‌هایی که به اینترنت وصل هستند. برای همین، آپدیت نگه داشتن آنتی ویروس و کنترل دقیق دستگاه‌های شبکه شده اهمیت زیادی دارد.

تاثیر لایه های OSI در حملات دیداس

در مدل OSI، ارتباطات شبکه ای در هفت لایه تعریف شده اند. هر کدام از این لایه‌ها می‌تواند در معرض حمله دیداس قرار بگیرد و نوعی اختلال ایجاد کند.

لایه ۱ (فیزیکی): خراب شدن کابل‌ها یا آسیب به سخت افزارهایی مثل سوئیچ یا مودم، عملکرد شبکه را به هم می‌ریزد. این بخش از حمله‌ها معمولا سخت شناسایی و رفع می‌شود.

لایه ۲ (پیوند داده): مهاجم ممکن است حجم زیادی از آدرس‌های جعلی MAC به سوئیچ بفرستد. این کار ساختار جدول آدرس را مختل می‌کند و باعث می‌شود سوئیچ نتواند بسته‌ها را درست هدایت کند.

لایه ۳ (شبکه): فرستادن بسته‌های ICMP بسیار زیاد یا استفاده از آدرس‌های IP جعلی، به شبکه فشار وارد می‌کند و مصرف شدید پهنای باند باعث قطع خدمات می‌شود.

لایه ۴ (انتقال): در این بخش، روش‌هایی مثل SYN Flood یا UDP Flood ارتباط TCP و UDP را هدف می‌گیرند. این کار سرور را از حالت عادی خارج می‌کند.

لایه ۵ (نشست): برخی حملات تلاش می‌کنند نشست بین کاربر و سرور را نگه دارند و آن را در حالت انتظار بگذارند تا منابع سرور مصرف شود.

لایه ۶ (نمایش): این لایه بیشتر به تبدیل داده به صورت رمزگذاری یا فشرده شده مربوط می‌شود. اگر اختلالی ایجاد شود، ممکن است داده به درستی نمایش داده نشود.

لایه ۷ (کاربرد): اینجا جایی است که درخواست‌های کاربران مثل HTTP پردازش می‌شوند. حملاتی مثل HTTP Flood یا Slowloris درست همین قسمت را هدف می‌گیرند و کاری می‌کنند که سرور درگیر پاسخ گویی‌های بی پایان شود.

در بیشتر مواقع، حمله‌ها روی لایه‌های ۳، ۴ یا ۷ متمرکز هستند. با این حال، بعضی مهاجمان حرفه ای می‌توانند هم زمان چند نقطه را زیر فشار قرار دهند. هرچه سطح حمله به بخش‌های بالاتر نزدیک تر شود، ترافیک شبیه به ترافیک عادی تر می‌شود و تشخیص آن سخت تر خواهد بود.

انواع حمله های DDoS

به طور کلی، حملات دیداس بخش‌های گوناگون یک شبکه یا سرور را هدف قرار می‌دهند تا در نهایت عملکرد کل سیستم به هم بریزد. این نوع حمله‌ها براساس ساختار لایه ای مدل OSI یا روش‌های مختلف ارسال ترافیک دسته بندی می‌شوند.

حملات لایه کاربرد (Application Layer Attacks)

حمله‌هایی که در لایه کاربرد اتفاق می‌افتند، به مرحله پایانی تبادل اطلاعات در مدل OSI مربوط می‌شوند. در این بخش، درخواست‌های HTTP بررسی می‌شوند. زمانی که مهاجم تعداد زیادی درخواست HTTP به سمت سرور می‌فرستد و وانمود می‌کند کاربران واقعی قصد بازدید از صفحات مختلف را دارند، سرور نمی‌تواند همه درخواست‌ها را به درستی پردازش کند و دچار اختلال می‌شود.

نمونه‌های رایج در این دسته عبارتند از:

– HTTP Flood: در این مدل، تعداد زیادی درخواست از نوع GET یا POST به سرور فرستاده می‌شود. حجم بالا فشار زیادی به سرور وارد می‌کند و روند پاسخ دهی را مختل می‌کند.

– Slowloris : در این روش، مهاجم درخواست‌های ناقص می‌فرستد. هر کدام از این درخواست‌ها برای مدت طولانی ارتباط را باز نگه می‌دارند و سرور مجبور می‌شود منتظر بماند. این حالت ظرفیت سرور را کم کم پر می‌کند.

در این نوع حملات، اطلاعات مخرب شباهت زیادی به درخواست‌های واقعی دارند. همین موضوع تشخیص آن‌ها را دشوار می‌کند. بیشتر مهاجم‌ها از روش‌هایی استفاده می‌کنند که مسیرهای مختلف را تغییر دهند تا شناسایی نشوند. اگر حجم این حملات زیاد باشد، حتی ابزارهای نظارتی هم نمی‌توانند تفاوت بین داده‌های درست و مشکوک را به راحتی تشخیص دهند.

حملات لایه پروتکل (Protocol Layer Attacks)

در حمله‌هایی که به لایه پروتکل مربوط می‌شوند، هکر تلاش می‌کند منابع سرور، فایروال یا تجهیزات شبکه را سنگین کند. برای این کار، از ضعف‌هایی که در پروتکل‌های لایه ۳ و ۴ وجود دارد استفاده می‌شود. بیشتر این حمله‌ها از روش‌هایی مثل  TCP، UDP  و ICMP بهره می‌برند. هدف این است که توان پردازش و پهنای باند مصرف شود و سرویس از دسترس خارج گردد.

– CMP Flood (پینگ پشت سرهم): در این روش، مهاجم تعداد زیادی درخواست پینگ می‌فرستد. پاسخ دادن به این درخواست‌ها باعث می‌شود که پهنای باند تمام شود و سرور دیگر نتواند جواب کاربران واقعی را بدهد.

– SYN Flood: در این نوع حمله، فقط مرحله اول اتصال TCP انجام می‌شود. یعنی درخواست SYN فرستاده می‌شود اما پاسخ نهایی (ACK) داده نمی‌شود. سرور این اتصال‌های ناقص را باز نگه می‌دارد و به مرور منابعش را از دست می‌دهد.

– UDP Flood: در این روش، بسته‌های UDP به پورت‌های مختلف فرستاده می‌شوند. سرور مجبور است بررسی کند که آیا روی آن پورت، سرویسی فعال هست یا نه. اگر نباشد، پیام خطا می‌فرستد. این بررسی‌ها انرژی و زمان زیادی از سرور می‌گیرند.

برای مقابله با این نوع حمله‌ها، می‌شود از فایروال قوی و محدود کردن تعداد درخواست‌ها در هر ثانیه استفاده کرد. ولی وقتی حجم حمله خیلی زیاد باشد، حتی سیستم‌های امنیتی هم به سختی می‌توانند از پس آن برآیند.

حملات لایه حجمی (Volumetric Attacks)

در حملات لایه حجمی، هدف اصلی این است که مسیر ارتباطی شبکه آنقدر شلوغ شود که دیگر هیچ ترافیکی از آن عبور نکند. هکر تلاش می‌کند کل پهنای باند بین سرور و اینترنت را پر کند. وقتی این اتفاق بیفتد، کاربرهای عادی دیگر نمی‌توانند به سایت یا سرویس مورد نظر دست پیدا کنند.

در این نوع حمله‌ها اغلب از روش‌هایی استفاده می‌شود که حجم ترافیک را چند برابر می‌کنند. برای نمونه، در روش DNS Amplification، هکر درخواست‌های کوچکی به سرورهای باز DNS می‌فرستد اما آدرس آی پی گیرنده را جعلی وارد می‌کند. پاسخ این سرورها که بسیار بزرگتر از درخواست اولیه هستند، به‌جای برگشتن به فرستنده، به سمت سرور قربانی می‌روند. این ترافیک تقویت شده خیلی سریع منابع شبکه را درگیر می‌کند.

حمله‌های حجمی بیشتر از بقیه نوع‌ها رایج هستند، چون برای راه اندازی شان تنها کافی است حجم زیادی از ترافیک تولید شود. خیلی از سازمان‌ها مخصوصا در زمان‌هایی که بازدید کاربران بالا می‌رود، مثل هنگام تخفیف‌های فصلی یا برنامه‌های زنده، ناگهان هدف این نوع حمله قرار می‌گیرند. در چنین شرایطی شاید بتوان به طور موقت با روش‌هایی مثل تقسیم ترافیک بین چند مرکز داده یا افزایش پهنای باند، کمی زمان خرید اما اگر شدت حمله بالا باشد، قطع سرویس تقریبا حتمی است.

حملات چند بعدی (Multi-Vector Attacks)

در حملات چند بعدی، هکر از چند روش مختلف در یک زمان استفاده می‌کند تا فشار بیشتری روی شبکه بیاورد. به عنوان مثال، ممکن است هم زمان حمله SYN Flood انجام شود، در کنار آن درخواست‌های زیاد HTTP هم فرستاده شود و از طرف دیگر، روش Amplification DNS هم اجرا شود. وقتی چند نوع حمله در یک زمان انجام شود، تشخیص و کنترل ترافیک خرابکار سخت تر می‌شود.

معمولا شرکت‌های بزرگ و سایت‌های پر بازدید، هدف چنین حملاتی قرار می‌گیرند. در این شرایط، سیستم امنیتی باید همه لایه‌ها را بررسی کند و بتواند نوع‌های مختلف ترافیک را بررسی و تشخیص دهد. چون رفتار ترافیک خیلی سریع عوض می‌شود، تنظیمات فایروال و سیستم‌های تشخیص نفوذ هم پیچیده تر خواهد شد.

برای مقابله با این وضعیت، تیم امنیت اغلب از روشی چند مرحله‌ای استفاده می‌کند. در مرحله اول، تلاش می‌شود که ترافیک خیلی سنگین و حجمی متوقف شود. سپس بسته‌های مشکوک TCP یا UDP بررسی و مسدود می‌شوند. در نهایت، درخواست‌های HTTP ناسالم جدا می‌شوند. البته اگر حجم حمله خیلی بالا باشد، ممکن است بخشی از این ترافیک از فیلترها عبور کند و روی سرور فشار وارد شود.

حملات لایه فیزیکی (Physical Layer Attacks)

در این نوع حملات، هکرها به طور مستقیم به زیرساخت فیزیکی شبکه یا سرورها آسیب می‌زنند یا آن‌ها را مختل می‌کنند. مثالی از این حملات، قطع کابل‌های ارتباطی، دسترسی به مرکز داده یا خراب کردن سخت افزار ضروری است. این حملات بیشتر از هک نرم افزاری به نظر می‌رسند اما بعضی گروه‌ها که قصد دارند یک سرویس را از کار بیندازند، از حملات فیزیکی استفاده می‌کنند.

گاهی هکرها دستگاهی را در مسیر ارتباطات فیزیکی قرار می‌دهند تا داده‌ها را بشنوند. همچنین ممکن است با ایجاد اختلال یا خاموش کردن ناگهانی، سرویس‌ها را متوقف کنند. هرچند این نوع حملات پیچیده هستند و نیاز به دسترسی فیزیکی دارند اما برای برخی هکرها، گزینه جذابی به شمار می‌روند چون زیرساخت سخت افزاری نیز همانند ترافیک شبکه حساس است و می‌تواند دچار آسیب شود.

با وجود پیشرفت‌های امنیتی، برخی تجهیزات و کابل‌ها در مکان‌های کم دیده قرار دارند و ممکن است محافظت کمی از آن‌ها صورت بگیرد. بنابراین در برنامه‌های امنیتی باید تمام نکات مربوط به حفاظت مانند استفاده از قفل‌های ایمن، انبارهای امن، حسگرهای عبور و سیستم‌های نظارتی تصویری برای زیر نظر گرفتن محل سرورها، در نظر گرفته شوند.

تفاوت حمله DoS و DDoS چیست؟

حمله DoS یا “منع سرویس” نوعی حمله است که در آن تمام ترافیک مخرب از یک منبع واحد ارسال می‌شود. در مقابل، حمله DDoS یا “منع سرویس توزیع شده” از منابع مختلف، مانند بات نت‌ها یا چندین سیستم مختلف، درخواست‌ها ارسال می‌کند. تفاوت اصلی بین این دو حمله در مقیاس حمله و نحوه شناسایی عامل آن است. در حمله  DoS، چون تنها یک آدرس IP مبدا وجود دارد، شناسایی و مسدود کردن آن آسان تر است. اما در حمله  DDoS، به دلیل تعداد زیاد آدرس‌ها و گسترش دستگاه‌های آلوده، شناسایی و جلوگیری از آن زمان برتر و پیچیده تر می‌شود.

حملات DoS اغلب در مقیاس کوچک تری رخ می‌دهند و گاهی فقط با ارسال پینگ‌های متوالی انجام می‌شوند. اما حملات DDoS بسیار بزرگ تر هستند و می‌توانند از هزاران سیستم برای انجام حمله هماهنگ استفاده کنند. حملات DoS به طور معمول در سطح فردی یا اعتراض‌های شخصی هستند، در حالی که حملات DDoS بیشتر برای آسیب رساندن به سازمان‌ها، سرویس دهندگان بزرگ و شرکت‌های تجاری به کار می‌روند.

راه های شناسایی حملات DDoS

شناسایی به موقع حملات در مراحل اولیه، قدم اول برای جلوگیری از خسارت‌های سنگین است. در اینجا چهار علامت اصلی معرفی می‌شود که نشان می‌دهند درخواست‌های غیرمعمول وارد شبکه شده اند و ممکن است یک حمله DDoS در حال وقوع باشد.

۱) افزایش ناگهانی ترافیک

اگر در مدت زمان کوتاهی تعداد بازدیدها یا درخواست‌ها به طور غیرعادی زیاد شود، احتمال دارد حمله DDoS در حال اجرا باشد. برای نمونه، وقتی آمار گوگل آنالیتیکس یا لاگ‌های سرور یک افزایش ناگهانی و غیرمنتظره را ثبت کنند و این رشد با هیچ رویداد مشخصی هماهنگ نباشد، باید به منشا این درخواست‌ها دقت کرد. ممکن است آدرس‌های آی پی از کشورهایی غیر از محدوده معمول دیده شوند یا نوع درخواست‌ها حالت تکراری و عجیب داشته باشد. در برخی موارد، این درخواست‌ها صفحه‌هایی را هدف می‌گیرند که پردازش آن‌ها فشار زیادی به سرور وارد می‌کند.

۲) کاهش عملکرد سایت و شبکه

اگر سرعت سایت کم شود یا برنامه‌های آنلاین دیر واکنش نشان دهند، احتمال دارد حجم زیادی درخواست هم زمان از بیرون به سرور رسیده باشد. این وضعیت فشار زیادی به سیستم وارد می‌کند. حتی ممکن است کاربران داخلی هم نتوانند به راحتی وصل شوند یا باز شدن صفحات، بیشتر از حالت عادی زمان ببرد. وقتی چنین کندی ناگهانی دیده شود، باید بررسی کرد ترافیک از کجا می‌آید و کدام درگاه‌ها بیشتر شلوغ هستند. بالا رفتن پینگ یا قطع و وصل شدن پی در پی هم نشانه ای از شلوغی شدید در شبکه است.

۳) بروز خطای ۵۰۳

کد خطای ۵۰۳ بیانگر “Service Unavailable” است که یعنی سرویس در دسترس نیست. این خطا زمانی دیده می‌شود که سرور دیگر توان پاسخگویی ندارد. اگر در حالت معمول چنین پیامی دیده نمی‌شد و ناگهان تعداد زیادی از این خطاها ظاهر شود، احتمال دارد حمله DDoS در حال اجرا باشد. وقتی درخواست‌های زیادی پشت سر ‌هم به سرور برسند، ظرفیت پردازش سریع پر می‌شود و سرور نمی‌تواند خدمات را درست انجام دهد. خیلی از ابزارهای نظارتی هنگام بروز این وضعیت هشدار می‌دهند. اگر خطای ۵۰۳ مدتی طولانی ادامه داشت، باید ترافیک ورودی بررسی شود تا منبع فشار پیدا شود.

۴) بالا رفتن استفاده از پردازنده

اگر پردازنده سرور ناگهان خیلی درگیر شود و مصرف CPU به طور غیرعادی بالا برود، شاید یک حمله دیداس در حال انجام باشد. چون حتی درخواست‌های بی ارزش می‌توانند پردازش‌هایی را فعال کنند که فشار زیادی به سرور وارد می‌کند. بعضی حملات مثل درخواست‌های جعلی HTTP، در ظاهر ساده اند اما پردازنده را به شدت درگیر می‌کنند. اگر این اتفاق بی دلیل و ناگهانی رخ دهد، باید وضعیت بررسی شود و فهرست پردازش‌ها زیر نظر قرار گیرد. معمولا زمانی که مصرف پردازنده بالا می‌رود و هم زمان نشانه‌های دیگری هم دیده می‌شود، احتمال حمله بیشتر می‌شود.

روش های مقابله با حمله DDoS (دیداس)

چند روش مهم برای مقابله با این نوع حملات وجود دارند. این روش‌ها عبارتند از:

۱) آشنایی با ترافیک شبکه خود

شناخت رفتار معمول شبکه یکی از پایه‌های اصلی در جلوگیری از حمله‌های اینترنتی است. مدیر شبکه باید بداند در چه ساعت‌هایی و در چه روزهایی، ترافیک سایت یا سرور به چه اندازه است و چه نوع درخواست‌هایی بیشتر دریافت می‌شود. وقتی این الگو مشخص باشد، هر تغییر غیرمنتظره خیلی سریع دیده می‌شود. برای رسیدن به چنین دیدی، ابزارهایی مثل آنالیز لاگ سرورها، بررسی لاگ‌های سرور و نمودارهای لحظه‌ای کاربرد دارند. مثلا اگر در یک روز عادی، حدود ۲۰۰ هزار درخواست به سرور برسد ولی ناگهان این عدد به دو میلیون برسد، باید به احتمال حمله مشکوک شد.

۲) تعریف یک طرح پاسخ به DDoS

داشتن یک برنامه مشخص برای مقابله با حمله DDoS می‌تواند جلوی بسیاری از دردسرها را بگیرد. وقتی چنین طرحی از قبل آماده باشد، در صورت افزایش ناگهانی ترافیک، می‌شود سریعتر واکنش نشان داد. در این برنامه باید مشخص شود در لحظه بحران چه کارهایی انجام شود. مثلا لیستی از شماره تماس اعضای تیم فنی و امنیت باید در دسترس باشد. همچنین باید از قبل تصمیم گرفته شود که ترافیک مشکوک چطور از جریان اصلی جدا شود. گاهی لازم است کاربر به یک صفحه دیگر هدایت شود، یا برای مدت کوتاهی دسترسی برخی بخش‌ها محدود گردد. حتی می‌توان تنظیمات فایروال را برای حالت اضطراری از پیش مشخص کرد. از طرف دیگر، اگر کاربران هم در جریان قرار بگیرند، دچار سردرگمی نمی‌شوند و شرایط بهتر مدیریت می‌شود.

۳) مقاوم سازی شبکه سازمان

هر شبکه ای شاید نقطه ضعف‌هایی داشته باشد که اگر پیدا نشوند و باقی بمانند، زمینه برای حمله DDoS باز می‌شود. برای جلوگیری از این خطر، باید همه تجهیزات مثل روتر، سوییچ و سرورها همیشه آپدیت باشند و تنظیماتشان درست انجام شده باشد. آنتی ویروس قوی، بستن پورت‌های اضافی و قراردادن چند لایه امنیتی روی بخش‌های حساس، مقاومت شبکه را بالا می‌برد. پخش کردن سرورها در چند مکان مختلف و جدا کردن قسمت‌های مهم از هم، کمک می‌کند تا اگر حمله ای رخ داد، کل سیستم دچار اختلال نشود. همچنین اگر طراحی شبکه به شکل چندلایه باشد، در صورت درگیر شدن یک بخش، بقیه قسمت‌ها همچنان به کار ادامه می‌دهند.

۴) تمرین برای Cyber Hygiene خوب

برای داشتن امنیت بهتر در فضای دیجیتال، لازم است همه اعضای سازمان به یکسری عادت درست پایبند باشند. این کار شامل موارد ساده اما مهمی است؛ مثل آپدیت‌ به موقع سیستم عامل، انتخاب رمزهای عبور قوی و تغییر دوره ای آن‌ها، باز نکردن فایل‌های ناشناس و کلیک نکردن روی لینک‌هایی که منبع مشخصی ندارند. اگر کارکنان اطلاعات پایه درباره تهدیداتی مثل DDoS داشته باشند و در صورت دیدن رفتار مشکوک سریع اطلاع بدهند، واکنش سریع تری انجام می‌شود و خطرات کاهش پیدا می‌کند. همچنین باید هر از گاهی سناریوهای ساختگی از حمله تمرین شود تا تیم امنیتی در شرایط واقعی بداند دقیقاً چه اقداماتی لازم است.

۵) افزایش پهنای باند

اگر ظرفیت پهنای باند در سرورها و مسیرهای ارتباطی بیشتر باشد، در زمان حمله فشار کمتری به سیستم وارد می‌شود. چون ترافیک ناگهانی به سرویس اصلی کمتر آسیب می‌زند و همه چیز از کار نمی‌افتد. البته این راه حل به تنهایی کار را تمام نمی‌کند، چون مهاجم می‌تواند تعداد ربات‌ها را زیاد کند و حجم بیشتری از داده را روانه سرور کند. ولی داشتن پهنای باند بیشتر، فرصت مناسبی برای فعالسازی روش‌های دفاعی دیگر ایجاد می‌کند. شرکت‌هایی که زیرساخت ابری دارند، معمولا چنین قابلیتی را پیشنهاد می‌دهند تا در برابر فشار حمله، شبکه دچار اختلال کامل نشود.

۶) یاری جستن از نرم‌افزارهای ضد DDoS

نرم افزارهای ضد دیداس برای بررسی ترافیک ورودی طراحی شده اند و می‌توانند درخواست‌های مشکوک را تشخیص دهند. این برنامه‌ها بیشتر در بخش‌های اصلی شبکه، مثل نقطه اتصال به اینترنت، قرار داده می‌شوند. زمانی که حجم زیادی از دیتا یا درخواست‌های بی مورد وارد شوند، این ابزارها آن‌ها را شناسایی کرده و مسیرشان را می‌بندند. عملکرد این سامانه‌ها بر پایه تحلیل رفتار کاربران و بررسی آمار است. برنامه‌هایی مثل fail2ban و Snort یا سرویس‌های تخصصی شرکت‌های امنیتی در همین زمینه استفاده می‌شوند. البته این روش زمانی خوب عمل می‌کند که سیستم توان پردازش کافی داشته باشد و تنظیمات هم درست انجام شده باشد.

۷) استفاده از سرور ابری

سرورهای ابری توان این را دارند که حجم درخواست‌ها را میان چند نقطه تقسیم کنند. وقتی حجم ترافیک زیاد شود، این سرورها می‌توانند منابع بیشتری در اختیار سیستم قرار دهند تا فشار روی سرور اصلی کمتر شود. سرویس‌های ابری اغلب اوقات ابزارهایی برای فیلتر کردن ترافیک دارند که جلوی ورود درخواست‌های مشکوک را می‌گیرند. همچنین چون این سرورها در کشورهای مختلف قرار دارند، بخشی از درخواست‌ها به نزدیک ترین موقعیت جغرافیایی فرستاده می‌شود. به همین خاطر، دسترسی کاربران به سرویس قطع نمی‌شود. البته اگر حمله بسیار گسترده باشد، احتمال مشکل هنوز وجود دارد.

۸) شناخت علائم حمله

بعضی نشانه ها می‌توانند زنگ خطر آغاز حمله DDoS باشند. مثلا اگر تعداد زیادی تلاش ناموفق برای اتصال TCP در گزارش‌ها ثبت شود یا اگر صف درخواست‌های SYN طولانی شود، ممکن است یک حمله در جریان باشد. همچنین اگر از چندین IP ناشناس، درخواست‌های HTTP بسیار زیادی دریافت شود، باید به موضوع دقت کرد. چنین مواردی معمولا در لاگ‌های سیستم دیده می‌شوند و نباید نادیده گرفته شوند. اگر مسئول شبکه بتواند این نشانه‌ها را زود تشخیص دهد، می‌تواند سریع تصمیم بگیرد؛ مثلا برخی IPها را مسدود کند، تنظیمات فایروال را تغییر دهد یا به شکل موقت دسترسی را محدود کند تا سرویس از دسترس خارج نشود.

۹) نظارت مداوم بر فعالیت‌های غیر معمول

اگر شبکه به صورت شبانه روزی و ۲۴ ساعته زیر نظر باشد و لاگ‌ها به طور خودکار بررسی شوند، تشخیص حمله‌های ناگهانی ساده تر خواهد شد. ابزارهای مانیتورینگ وقتی داده‌ها را مرتب ثبت کنند و ترافیک غیرعادی را بررسی کنند، هر تغییر ناگهانی سریع دیده می‌شود. مثلا سامانه‌هایی مثل SIEM می‌توانند به محض دیدن مشکل، هشدار فوری بدهند. حتی اگر یک مجموعه ابزارهای پیشرفته نداشته باشد، همین که ورودی و خروجی‌ها دقیق ثبت شوند و برای حجم مشخصی از ترافیک هشدار تعریف شده باشد، به تشخیص زودهنگام کمک می‌کند. در چنین حالتی، اگر مشکلی درحال شکل گیری باشد تیم فنی می‌تواند پیش از آنکه سرور آسیب ببیند، تصمیم لازم را بگیرد.

۱۰) محدودیت نرخ درخواست

یکی از روش‌های کنترل ترافیک، تعیین سقف برای تعداد درخواست‌هایی است که از هر IP فرستاده می‌شود. در این روش مدیر مشخص می‌کند که مثلا در یک دقیقه، هر کاربر فقط تعداد محدودی درخواست بفرستد. اگر این مقدار بیشتر شود، درخواست‌های بعدی رد می‌شوند. ممکن است این کار گاهی به کاربران واقعی فشار بیاورد، اما در برابر حمله‌هایی که ساده طراحی شده اند، بازدارنده است. زمانی که حمله گسترده تر و از طرف هزاران دستگاه انجام شود، شاید لازم باشد قوانین سختگیرانه تری نوشته شود یا سیستم به‌صورت هوشمندانه، رفتار مشکوک را زودتر تشخیص دهد و براساس آن واکنش نشان دهد.

۱۱) فایروال برنامه‌های وب

فایروال برنامه‌های وب (WAF) ابزاری است که میان اینترنت و اپلیکیشن‌های مبتنی بر وب قرار می‌گیرد تا ترافیک HTTP/HTTPS  مدیریت شود. با بهره‌مندی از این فایروال، درخواست‌های غیرمجاز یا مشکوک فیلتر می‌شوند و به سرور اصلی راه پیدا نمی‌کنند. WAF قواعدی دارد که می‌تواند از الگوهای خطرناک یا حجم بالای درخواست‌های تکراری جلوگیری کند. این موضوع  در حملات لایه کاربرد مفید است، جایی که تشخیص درخواست‌های عادی از مخرب دشوار خواهد بود. تنظیم درست WAF نیازمند بررسی دقیق برنامه وب و شناسایی نقاط حساس آن است.

۱۲) استفاده از شبکه توزیع محتوا

شبکه توزیع محتوا (CDN) سازوکاری است که اطلاعات و فایل‌های ثابت وب سایت را میان چندین سرور در نقاط مختلف توزیع می‌کند. وقتی کاربر صفحه‌ای را درخواست می‌کند، CDN سعی می‌کند محتوا را از نزدیک ترین و خلوت ترین سرور تحویل دهد. در حالت حمله DDoS، توزیع درخواست‌ها میان سرورهای متعدد، فشار وارده بر سرور اصلی را کم می‌کند. بنابراین اگر بخشی از شبکه هم دچار اختلال شود، بخش‌های دیگر هنوز فعال می‌مانند. سرویس‌هایی چون Cloudflare یا Akamai با سامانه‌های شناسایی ترافیک مشکوک، در اغلب اوقات عمل دفاعی خوبی انجام می‌دهند و جلوی فروپاشی کامل سایت را می‌گیرند.

حمله DDoS تاثیرات آن بر وب سایت ها و کسب و کارها

حمله دیداس می‌تواند وبسایت‌ها و سامانه‌های آنلاین را از دسترس خارج کند و به کسب و کار آسیب وارد کند. مخصوصا برای فروشگاه‌های آنلاین و استارت آپ‌ها که خدمات اینترنتی دارند، این نوع حمله اگر برای مدت طولانی رخ دهد می‌تواند باعث از دست رفتن مشتریان شود. افت کیفیت سرویس یا قطع کامل آن، اعتماد کاربران را کاهش می‌دهد و ممکن است به دنبال گزینه‌های دیگری بگردند. برای سایت‌های مالی، قطع دسترسی می‌تواند خسارات مالی زیادی به همراه داشته باشد.

هزینه‌های مربوط به جبران خسارت هم قابل توجه است. برای مثال، سازمان ممکن است نیاز به ارتقای زیرساخت‌ها، افزایش پهنای باند و خرید تجهیزات امنیتی جدید داشته باشد. علاوه بر این، زمان و نیروی فنی باید صرف شناسایی حمله و بازیابی سیستم‌ها شود. همچنین، برخی هکرها ممکن است از این شرایط برای باج گیری یا انجام حملات دیگری مانند نفوذ بدافزار استفاده کنند. به همین دلیل، پیشگیری از حمله DDoS و طراحی راهکارهای دفاعی اهمیت زیادی دارد.

تفاوت بدافزارها و حملات DDOS

بدافزارها برنامه‌هایی هستند که برای خرابکاری در سیستم‌ها، سرقت اطلاعات یا جاسوسی ساخته شده‌اند. ویروس‌ها، تروجان‌ها و باج افزارها هم از انواع بدافزارها به شمار می‌روند. این برنامه‌ها معمولا به طور مخفیانه وارد سیستم هدف می‌شوند و کاربر را در موقعیت‌های سخت قرار می‌دهند. اما حمله DDoS تمرکز خود را بر روی منابع وبسایت یا سرور قرار می‌دهد و با ارسال درخواست‌های زیاد، آن را از کار می‌اندازد یا سرعتش را کاهش می‌دهد.

اگرچه در حملات دیداس ممکن است بدافزار هم دخالت کند، هدف اصلی این حملات مختل کردن پاسخ دهی سامانه است، نه آلوده کردن سیستم. آسیب‌های ناشی از بدافزار معمولا در خود سیستم قابل مشاهده است (مثل حذف داده‌ها)، ولی در حمله DDoS، مشکل به صورت بیرونی بروز می‌کند و کاربر عادی نمی‌تواند به سرویس دسترسی داشته باشد. برخی هکرها ابتدا دستگاه‌ها را آلوده کرده و یک بات نت ایجاد می‌کنند تا سپس از این شبکه برای انجام حملات دیداس استفاده کنند.

آینده حملات DDOS و روش های نوین مقابله با آن ها

حمله‌های DDoS روز به روز پیچیده تر و سخت تر شناسایی می‌شوند. برخی از هکرها از تکنیک‌های ترکیبی استفاده می‌کنند و درخواست‌های جعلی را طوری تنظیم می‌کنند که شبیه به درخواست‌های کاربران واقعی به نظر برسند. گسترش اینترنت اشیا موجب شده است که دستگاه‌های خانگی مانند دوربین‌ها و تلویزیون‌های هوشمند هم در معرض حملات قرار گیرند و هکرها یک شبکه بزرگ از دستگاه‌های آلوده به دست آورند. برای مقابله با این حملات، روش‌های نوینی در حال توسعه هستند. به طور مثال، هوش مصنوعی می‌تواند الگوهای داده‌ها را تحلیل کند و حتی تغییرات کوچک اما خطرناک را شناسایی کند.

همچنین، الگوریتم‌های یادگیری ماشینی می‌توانند رفتار کاربران واقعی را از ربات‌ها بهتر تفکیک کنند. ترکیب رایانش ابری و CDNهای توزیع شده نیز به جلوگیری از اشباع پهنای باند کمک می‌کند. در آینده، انتظار می‌رود حملات پیچیده تر و طولانی تر شوند. به همین دلیل، سازمان‌ها باید استراتژی‌های امنیتی چند لایه طراحی کنند و به نظارت مداوم توجه داشته باشند. همچنین، همکاری‌های بین المللی در زمینه امنیت سایبری در حال افزایش است و احتمالا قوانین جدی تری برای مقابله با مهاجمان ایجاد خواهد شد.

برای خرید سرور اچ پی استوک و کارکرده می توانید از طریق شماره ۰۲۱۹۱۰۰۸۴۱۳ با کارشناسان شرکت ماهان شبکه ایرانیان در تماس باشید. این شرکت در زمینه فروش سرور های استوک و کارکرده با کیفیت فعالیت می کند.

جمع بندی

حملات DDoS مانعی جدی برای دسترسی به خدمات آنلاین ایجاد می‌کنند. در این نوع حمله، رایانه‌های آلوده از نقاط مختلف دنیا همزمان به یک سرویس درخواست ارسال می‌کنند تا سرور نتواند پاسخ بدهد. برای اجرای این حملات، روش‌های مختلفی وجود دارد مانند ارسال تعداد زیادی درخواست از پروتکل‌های TCP و UDP یا پرسش‌های HTTP و… که می‌تواند منابع سرور را به شدت تحت فشار قرار دهد. برخلاف بدافزار که دیتا را از بین می‌برد، حملات DDoS به طور مستقیم به داده‌ها آسیب نمی‌زنند بلکه باعث اختلال در خدمات می‌شوند. برای پیشگیری از این حملات، باید اقداماتی مثل افزایش پهنای باند، محدود کردن تعداد درخواست‌ها، استفاده از فایروال‌های مخصوص وب و نظارت مستمر انجام شود. همچنین، آمادگی قبلی و طراحی برنامه‌های واکنش سریع می‌تواند به کاهش خسارات کمک کند.

سوالات متداول

۱) آیا داشتن فایروال ساده کافی است؟

معمولا خیر. فایروال می‌تواند بخشی از ترافیک بد را مسدود کند، اما حملات DDoS از منابع زیادی استفاده می‌کنند. به همین دلیل، باید اقدامات دیگری مثل توزیع محتوا و محدود کردن تعداد درخواست‌ها انجام شود.

۲) چرا حملات DDoS به شدت رواج پیدا کرده اند؟

اغلب هکرها با اجاره بات نت یا ساخت آن، می‌توانند بدون نیاز به نفوذ مستقیم، سرویس را از دسترس خارج کنند. این روش سریع جواب می‌دهد و شناسایی منبع اصل حمله دشوار است.

۳) راهکارهای ابری تا چه اندازه این خطر را کم می‌کنند؟

سامانه‌های ابری به دلیل توانایی توزیع بار و افزایش منابع در زمان فشار، وضعیت را بهتر می‌کنند. اما حملات خیلی بزرگ را نمی‌توان تنها با زیرساخت ابری متوقف کرد. نیاز به مجموعه‌ای از راهکارهای امنیتی مختلف است.