آمادگی جهت مقابله با حملات DDoS

حملات DDoS یکی از انواع منحصر به فرد تهدیدات سایبری است که از چند نظر نسبت به سایر حملات متمایز است. اول اینکه این نوع حملات محدودیت های ذاتی سیستم های فعلی را هدف قرار می دهند: حافظه، پهنای باند شبکه و پردازنده سیستم های هدف. این نوع حمله از لشکری از کامپیوترهایی که در اختیار مهاجم قرار گرفته و با نام بات نت شناخته می شوند شکل می گیرد و همین فاکتور اجرای حمله را ساده و دفاع در برابر آن را سخت می کند. با شروع ترافیک حمله از طرف مهاجم، خود او هم با مشکل مشابهی مواجه می شود: مصرف منابع. به همین دلیل هم هست که در این نوع حمله، از چندین میزبان استفاده می شود تا حمله را بزرگتر و شدت نیاز به منابع را کمتر کند. ابزارهای تولید حملات DDoS در بعضی سیستم عامل ها وجود دارد و در بقیه به راحتی قابل نصب و راه اندازی است. حتی ابزار Ping هم اگر به صورت درست استفاده شود می تواند صدمات قابل توجهی را به یک شبکه حفاظت نشده وارد کند. با این وجود راه های پیچیده تر و سازمان یافته تری برای اجرای این حملات وجود دارد و یک اقتصاد زیرزمینی حول این مسئله در حال رشد است. سرویس هایی مانند rent-a-botnet و botnet-as-a-service به صورت خاص طراحی شده اند تا به یک سازمان که تلاش می کند تا رقبا، دولت ها یا سایرین را هدف قرار دهد کمک کنند.

انواع حملات DDoS

به روش های متفاوتی می توان این حملات را دسته بندی کند. اما به صورت کلی می توان این حملات را مبتنی بر چیزی که هدف قرار می دهند و چگونگی هدف قرار دادن آن به دو دسته کلی طبقه بندی کرد:

ddos-attack-typesعموما حملات DDoS با تکیه گاه (Pivot) قرار دادن سیستم های نهایی در اختیار قرار گرفته شده انجام می گیرد. معمولا به این سیستم ها زامبی گفته می شود. یک مجموعه از زامبی ها به عنوان بات نت شناخته می شود و میزبانی که این بات نت را کنترل می کند به عنوان سرور دستور دهی و کنترل شناخته می شود. مواردی وجود داشته که سازمان های دولتی برای از بین بردن بات نت سرور دستوردهی و کنترل خود را جایگزین سرور کنترل و دسترسی مهاجم کرده اند. در بعضی موارد هم خود سرور کنترل و دستور دهی از بین رفته که در واقع تمامی بات نت ها را بدون صاحب و در نتیجه بدون استفاده کرده است.

حملات مصرف پهنای باند

این حمله پهنای باند شبکه موجود را هدف قرار می دهد و آن را تا حداکثر میزانش مصرف کرده مانع از ورود ترافیک قانونی به شبکه شده و دسترسی به سرویس را قطع می کند. این نوع حمله معمولا با ایجاد بسته های با حداکثر اندازه بخش داده (Payload) انجام می شود.

حملات مصرف حافظه

این حمله یکی از قدیمی ترین انواع حملات DDoS شناخته شده است و همچون سالها قبل که حمله SYN Flood شناسایی شد موثر است. اگر شبکه ای هدف این نوع از حمله قرار گیرد می توان به جای از کار انداختن یک میزبان، کل شبکه را از کار انداخت.

حملات مصرف CPU

بر خلاف حملات مصرف پهنای باند در این نوع از حملات از تعداد زیادی بسته با اندازه کوچک استفاده می شود. این کار سبب می شود تا سیکل های CPU زیادی روی سیستم هدف صرف شده و حمله تکمیل شود.

حملات مستقیم

در تمامی مواردی که در بالا ذکر شد اگر آنها مستقیما سیستم هدف را مورد حمله قرار دهند حمله از نوع حمله مستقیم است و چون خود سیستم ها باید برای ضربه شدیدتر به هدف سخت تر کار کنند منجر به نتایج متوسطی خواهد شد.

direct-ddos-attack

در این نوع حمله نیازی به جعل آدرس IP مبدا بسته نیست و زامبی ها سیستم هدف را با IP های واقعی خودشان مورد حمله قرار می دهند و به همین دلیل هم قابل شناسایی هستند.

حملات غیرمستقیم

نوع پیشرفته تری از حمله است که ترافیک حمله از زامبی ها به سوی میزبان های دیگری هدایت می شود تا ترافیک را تقویت کرده یا به سمت هدف هدایت کنند. معمولا دلیل انجام حمله غیرمستقیم تقویت ترافیک است. با این وجود این حمله می تواند سبب مخفی ماندن منبع حمله شود که مقابله با حمله را سخت تر می کند. حمله کننده ترافیک بدخواهانه را به سوی میزبان میانی ارسال می کند و طوری ترافیک را تغییر می دهد که به نظر می رسد از هدف سرچشمه گرفته است. به همین دلیل، زمانی که میزبان های منعکس کننده ترافیک را دریافت می کنند پاسخ خود را برای هدف ارسال می کنند.هدف در حمله انعکاسی پنهان کردن هویت حمله کننده واقعی است. این میزبان های میانی صرفا ماشین هایی متصل به اینترنت نیست. با این وجود با توجه به طبیعت سرویسی که ارائه می دهند مورد سوء استفاده حمله کننده قرار می گیرند و حمله را به سوی هدف هدایت می کنند.

indirect-ddos-attack

حمله کننده می تواند سرویس های موجه ای همچون DNS، NTP، SNMP و ICMP را به عنوان محور حمله جهت تقویت ترافیک حمله مورد استفاده قرار دهد.

indirect-ddos-attack-known-services

رشد حملات DDoS

با توجه به تاثیرپذیری بالا و آسان بودن اجرای حملات DDoS رشد این حملات بسیار بالا بوده است. به عنوان مثال در سال ۲۰۰۱ اندازه حمله DDoS شناخته شده ۴۰۰ مگابیت بوده در حالی که در سال ۲۰۱۴ اندازه آن به ۳۲۰ گیگابیت رسیده است.

ddos-attack-size

انگیزه های حملات DDoS

از همان آغاز حملات DDoS این حملات انگیزه های متعدد و متفاوتی داشته اند. در کل می توان انگیزه های این حملات را می توان به صورت زیر طبقه بندی کرد:

  • انتقام جویی
  • اخاذی
  • سیاسی
  • منافع رقابتی
  • فعالیت های هکری
  • منحرف کردن

آمادگی جهت مقابله با حملات DDoS

برنامه ریزی برای محافظت

اجرای برنامه ریزی برای محافظت نه تنها برای کسب و کارهای بزرگ حیاتی است بلکه هر سایتی که نیاز به حفاظت دارد باید این کار را انجام دهد. چنین رویکردی کمک می کند که سایت های این چنینی که استاندارد نیستند یا منابع کمتری در اختیار دارند فرایند را برای خودشان متناسب کنند. فازهای برنامه ریزی حفاظت به صورت نشان داده شده در شکل زیر است:

آمادگی جهت مقابله با حملات DDoS

جمع آوری اطلاعات

این فاز کمک می کند تا به تعدادی از سوالات مهم پاسخ داده شود و یک شالوده محکم برای اجرای برنامه ریزی حفاظت در برابر DDoS بنا شود. سوالاتی که باید پرسید عبارتند از:

  • از چه چیزی باید حفاظت کرد؟
  • چرا باید از آن حفاظت کرد؟
  • حداقل سطح حفاظت مورد نیاز چیست؟
  • انتخاب های حفاظتی موجود چیست؟
  • بهترین انتخاب کدام است؟
  • چه کسی این محافظت را فراهم می کند؟
  • این محافظت چگونه فراهم می شود؟

زمانی که اطلاعات قابل استفاده در قالب پاسخ به سوالات بالا به دست آمد فازهای بعدی کمک می کنند تا انتخاب های در دسترس ارزیابی شده و بهترین شان مشخص شوند.

برنامه ریزی برای کشف

هدف این فاز شناسایی حمله DDoS در مراحل ابتدایی و تولید اخطار است. این فاز به شناسایی گزینه های مختلف در دسترس برای کشف حمله DDoS و انتخاب بهترین آنها برای راه اندازی پایش و اخطار دهی DDoS کمک می کند. برای اینکه فرایند کشف موثری داشته باشیم، قرار دادن یک سیستم پایش و پیکربندی درست آن حیاتی است. این کار برای کم کردن مثبت های کاذب کمک می کند. هر سیستم پایشی در کنار فرایند پایش باید مکانیزمی هم برای تولید پیام های اخطار داشته باشد و به صورت کامل برنامه ریزی شده باشد. به عنوان مثال فرستاندن یک اخطار ایمیل در مورد یک حمله DDoS ای که علیه سیستم های ایمیل انجام شده ایده جالبی نیست.

برنامه ریزی برای دفاع

بعد از شناسایی موفقیت آمیز حمله DDoS گام مهم بعدی دفاع در برابر آن است. به صورت کلی دفاع می تواند در یکی از دو دسته کلی زیر قرار داشته باشد. اول توانایی حذف کامل حمله و صفر کردن اثر آن روی فعالیت های روزمره سازمانی. دوم توانایی سازمان برای ضعیف کردن اثر حمله روی شبکه و دنبال کردن فعالیت های نرمال حتی اگر شده با یک ظرفیت محدود. البته پرواضح است که هر سازمانی باید رسیدن به هدف اول را در نظر داشته باشد، اما راه حل دوم ممکن است عملی تر و شدنی تر (از نظر مالی) است.

فاز برنامه ریزی برای دفاع کمک می کند تا سازمان با فراهم کردن گزینه های مختلفی که می توان برای دفاع در مقابل حمله DDoS استفاده کرد به یکی یا هر دوی اهداف بالا برسد. با وجودی که این فرحله به دنبال راه حل هایی است تا بتوان از منابع موجود برای دفاع در برابر حمله DDoS استفاده کرد اما این کار همیشه شدنی نیست. عموما ابزارهای امنیتی در محدوده شبکه سازمان مستقرمی شوند و زمانی که سازمان هدف یک حمله DDoS برنامه ریزی شده قرار می گیرد ارتباط اینترنتی اشباع می شود. به همین دلیل ترافیک خیلی قبل تر از این که به این ابزارها برسد دور انداخته می شود. همین مسئله حمله DDoS را کامل می کند. برای غلبه بر این مسئله سازمان باید روی یک شبکه طرف سوم یا فراهم کنندگان سرویس های امنیتی حساب باز کند تا به نمایندگی از طرف شرکت به حمله DDoS رسیدگی کنند.

فرایند مدیریت رخداد

این فاز دانش بدست آمده از تمامی فازهای قبلی را با کمک مجموعه ای از فرایندها و روال ها حول افرادی مشخص با به بکارگیری تکنولوژی های خاص به هم پیوند می دهد. فرایند مدیریت رخداد DDoS باید به صورت کامل با فرایند مدیریت رخداد امنیتی سازمان یکپارچه شده باشد. این کار رسیدن به بهترین حفاظت ممکن برای حملات DDoS را ممکن می کنند و با توجه به ترکیب کامل آن با فرهنگ سازمانی اجرای آن را ساده و تطبیق پذیری با آن را آسان می کند.

فرایندها باید طوری طراحی شوند که حداقل واقعیت های زیر را عیان کنند:

  • حمله DDoS چگونه کشف خواهد شد؟
  • دفاع در برابر آن چگونه انجام خواهد شد؟
  • چه کسی عکس العمل در برابر حمله را برعهده دارد و چه کسی دفاع در برابر حمله را؟
  • چگونه با دانش آموخته شده از انواع دفاع های انجام شده در برابر حملات فرایندها در طول زمان بهبود خواهند یافت.smile icon
دیدگاه 1
  1. reza says

    مقاله خوبی بود – تشکر

دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.