صبح امروز و پس از کار افتادن پیام رسان تلگرام برخی آن را به حمله DDoS نسبت دادند، هرچند بعدا دلیل این اختلال قطعی برق در آمستردام عنوان شد اما DDoS نیز سابقه ای طولانی در از کار انداختن زیرساخت های اینترنتی شرکت های بزرگ دارد.
چند سال قبل گروه «لیزارد اسکواد» با بهره گیری از همین روش توانست شبکه پلی استیشن و اکس باکس لایو را به طور کامل از کار بیندازد. همچنین در سال 2015 سرور تلگرام در اقیانوسیه مورد حمله DDoS قرار گرفته و سرویس دهی این اپلیکیشن در جنوب شرقی آسیا، استرالیا و بخش هایی از هند با مشکل مواجه شد.
دو سال قبل نیز هکرها با استفاده از ترفندی مشابه به سرورهای Dyn حمله کرده و سایت های معتبری همچون آمازون، سی ان ان، اسپاتیفای، اچ بی او، پی پَل، ردیت، توییتر و و غیره را از دسترس خارج کردند.
در ادامه مطلب به چگونگی شکل گیری این حملات، ابزارهای مورد استفاده و راهکارهایی برای در امان ماندن از آن پرداخته ایم.
حمله DDoS چیست؟
حمله DDoS یا «محروم سازی از سرویس توزیع یافته» تلاش برای خارج کردن منابع شبکه، اپلیکیشن یا سرویس از طریق سرازیر کردن درخواست های فراوان است. در سال های اخیر به لطف فراگیر شدن حملات سایبری با اهداف سیاسی یا «هکتیویسم» ابزارها و تکنیک های DDoS دچار تحول گسترده ای شده است.
امروزه تعریف این حملات پیچیده تر شده چرا که مجرمان سایبری با به کارگیری ترکیبی از حملات با حجم بالا و ابزارهای نفوذ هوشمندانه علاوه بر اپلیکیشن ها، زیرساخت های امنیتی شبکه از قبیل فایروال و IPS را نیز هدف قرار می دهند.
تشکیل ارتش بات نت ها
هکرها در گام اول بدافزارهای خود را از طریق ایمیل، وب و شبکه های اجتماعی منتشر کرده و دستگاه های مختلف متصل به اینترنت از گوشی گرفته تا وبکم را آلوده می سازند. سپس با راه اندازی بدافزار در این سیستم ها ارتشی یکپارچه از بات نت ها را برای حمله به هر هدفی در اختیار می گیرند. در یکی بزرگترین حملات محروم سازی صورت گرفته بیش از یک و نیم میلیون بات نت شرکت داشته اند.
شروع حمله
بات نت ها قابلیت ارسال ترافیک سنگین به اهداف مختلف را دارند. این ترافیک را می توان با ارسال درخواست های اتصال بیشتر از ظرفیت سرور یا ارسال مقادیر عظیمی از داده به قربانی برای مصرف پهنای باند پیاده سازی کرد. در حمله «کربز» بیش از 540 گیگابیت داده در ثانیه به سایت هدف ارسال شده است.
بازار سیاه بات نت
در وب تاریک بازارهای آنلاین تخصصی برای خرید و فروش بات نت یا حملات DDoS رواج دارد. هرکس می تواند با مراجعه به این بازارهای زیرزمینی و پرداخت مبلغی نه چندان زیاد وب سایت یا سازمان های دیگر را از دسترس خارج کند. سفارش یک حمله طولانی DDoS با قابلیت ایجاد اختلال در سایت های معمولی حدودا 15 دلار و ایجاد اختلال در سازمان های متوسط تقریبا 150دلار قیمت دارد.
اخیرا طی یک عملیات مشترک در دوازده کشور از جمله آمریکا، انگلیس و هلند بزرگترین مرکز سفارش های حملات محروم سازی از سرویس با عنوان WebStresser متلاشی شده است. یکی از افراد دستگیر شده در این عملیات جوانی 19 ساله به نام «یوان میرکویچ» است.
انواع مختلف حملات DDoS
حملات محروم سازی از سرویس توزیع یافته بسیار متنوع بوده و شامل هزاران روش می شود که اغلب در چند دسته اصلی قرار می گیرند.
حملات حجمی
در این نوع حمله مهاجم سعی در مصرف پهنای باند درون شبکه یا بین شبکه و اینترنت دارد که باعث ایجاد ترافیک شدید می شود. در برخی موارد میزان این ترافیک به صدها گیگابیت در ثانیه نیز می رسد.
حمله به وضعیت های TCP
تلاش هکر در این دست حملات بر مصرف جداول وضعیت اتصالی متمرکز است که در بسیاری از اجزای زیربنایی از قبیل توزیع کننده های بار بین سرورها، فایروال ها و سرورهای اپلیکیشن وجود دارد. حتی دستگاه های قادر به نگهداری وضعیت میلیون ها اتصال نیز در چنین حملاتی از پا درخواهند آمد.
حملات لایه کاربرد
هکرها در چنین سناریویی بخشی از اپلیکیشن یا سرویس را در بالاترین لایه پشته TCP/IP هدف قرار می دهند که نقش رابط بین کاربر و سیستم را ایفا می کند.
این حملات نسبت به مدل های قبلی مرگبارتر هستند چرا که تنها یک ماشین مهاجم با تولید نرخ پایینی از ترافیک برای از کار انداختن سیستم کافی خواهد بود و همین مساله شناسایی و پیشگیری از آن را دشوار می سازد.در سال های اخیر حمله HTTP Get Flood با فراوانی 21 درصد به عنوان شایع ترین حمله DDOS در لایه کاربرد شناخته شد است.امروزه هکرها با ترکیب حملات حجمی، جداول وضعیت ها و لایه کاربرد یک حمله همه جانبه را علیه زیرساخت ها صورت می دهند. دلیل محبوبیت این حملات DDoS کارایی بالا و در عین حال دشوار بودن دفاع در برابر آن است.
مشکلات به همین جا ختم نمی شود، اخیرا Frost & Sullivan، از شرکتهای مشاور در زمینه امنیت اعلام کرده هکرها از حملات DDoS به عنوان تاکتیک انحرافی برای حملات اصلی بهره می برند. آنها با منحرف کردن تیم های امنیت و پشتیبانی، تهدیدات اصلی را با تزریق بدافزار و تروجان به شبکه پیاده می کنند.
چرا حملات DDoS تا این حد خطرناک هستند؟
با افزایش وابستگی کسب و کارها و سازمان ها به اینترنت، خارج شدن از دسترس که همان ضربه اصلی DDoS است، به اندازه قطع شدن برق روی آنها تاثیر منفی دارد.
تاخت و تاز هکرها به سرویس های مالی و سازمان های کوچک محدود نمی شود بلکه اپلیکیشن های حیاتی کسب و کار نظیر ایمیل، CRM، اتوماسیون فروش و غیره را که سازمان ها برای مدیریت امور روزانه خود بر آنها متکی هستند، هدف قرار می دهند.
علاوه بر این بانک ها، صنایع مختلف و حوزه بهداشت و درمان نیز برای انجام فعالیت های روزمره و ارتباط با زنجیره تامین و بخش های دیگر بر وبی تکیه دارند که از حملات محروم سازی در امان نیست.
حمله موفق DDoS چه پیامدهایی دارد؟
از دسترس خارج شدن یک سایت یا اپلیکیشن محبوب به نارضایتی مشتریان، از دست رفتن سود و ضربه دیدن برند منجر می شود.
از سوی دیگر زمانی که اپلیکیشن های حیاتی کسب و کار از پا بیفتد عملیات های مختلف از ارتباط با زنجیره تامین گرفته تا تولید و توزیع با اختلال مواجه خواهد شد.
یک کمپین DDoS موفق به معنی ارسال دعوتنامه برای هکرهای دیگر است و تا زمانی که معیارهای امنیتی لازم پیاده سازی نشوند، تاخت و تاز هکرها نیز به قوت خود باقی خواهند ماند.
چه معیارهای دفاعی در برابر این حملات وجود دارند؟
اگر جزو کاربران عادی هستید برای جلوگیری از ملحق شدن دیوایس های متصل به ارتش بات نت ها باید نام کاربری و رمز ورود به دستگاه را تغییر دهید تا از دسته دیوایس های محافظت نشده (با رمز پیش فرض) خارج شده و امکان ملحق شدن به جمع زامبی های DDoS اینترنتی از بین برود.
این اقدام دستگاه های خانگی شما را در مقابل حملات پایه بات نت ها حفظ می کند، اما هکرها با رمزگشایی داده های ارسالی و دریافتی می توانند به تعیین و تشخیص کلمه عبور بپردازند. بنابراین به مودم یا روتر خود رجوع کرده و با شناسایی آدرس فیزیکی تمام دستگاه های حاضر در خانه، لیستی از آنها را تهیه نموده و به مودم معرفی نمایید.
اما برای اینکه هدف حملات محروم سازی قرار نگیرید باید اقدامات دیگری را در دستور کار قرار دهید. با توجه به طبیعت گسترده حملات DDoS و پیامدهای ویرانگر آنها، بسیاری از کمپانی امنیتی بسته های حفاظت در برابر DDoS را توسعه داده اند که از نظر کارایی با هم تفاوت دارند. با این حال اگر شما هدف مطلوبی برای هکرها باشید هزینه کردن در این راه مثل مچ اندازی با هکرها است و برای موفقیت در این ماراتن باید معیارهای زیر را در نظر داشته باشید:
- با پاکسازی شبکه از اسپمرها و دیگر ابزارهای مخرب خود را از دامنه نفوذ آنها خارج کنید.
- ترافیک طبیعی شبکه را مشخص کنید تا به محض دریافت ترافیک غیرعادی از حمله احتمالی DDoS مطلع شوید. ابزارهای بسیاری در این راستا وجود دارند که از این میان می توان به NetFlow, sFlow, Splunk, Nagios, Cacti, Smokeping, Munin و DSC اشاره کرد.
- در صورت امکان شبکه را با بهره گیری از عناصر کارآمد برای بازرسی عمیق بسته های دریافتی طراحی کنید. علاوه بر این برای اطمینان از بارگذاری بهینه و کارآمد بسته ها ظرفیت سرور را تا حد امکان افزایش داده و آن را تقویت کنید.
- تسلط بر استراتژی دفاعی به اندازه خرید و نصب آنها اهمیت دارد. اگر از نحوه کار با این تجهیزات اطلاع ندارید، چرا آنها را خریداری کرده اید؟ دفاع از زیرساخت اینترنت سازمان در برابر هکرها یک جنگ واقعی است، بنابراین با پیاده سازی مانورهای متعدد آمادگی خود را در سطح مطلوب حفظ کنید.