حملات DOS-DDOS

حمله DDOS چیست؟

حمله ddos یا dos مخفف (denial of service attack) به زبان ساده یعنی سرازیر کردن تقاضاهای زیاد به یک سرور (کامپیوتر قربانی یا هدف) و استفاده بیش از حد از منابع (پردازنده، پایگاه داده، پهنای باند، حافظه و…) به طوری که سرویس دهی عادی آن به کاربرانش دچار اختلال شده یا از دسترس خارج شود (به دلیل حجم بالای پردازش یا به اصطلاح overload شدن عملیات های سرور)، در این نوع حمله ها در یک لحظه یا در طی یک زمان به صورت مداوم از طریق کامپیوترهای مختلف که ممکن است خواسته یا حتی ناخواسته مورد استفاده قرار گرفته باشند، به یک سرور (با آی پی مشخص) درخواست دریافت اطلاعات می شود و به دلیل محدود بودن قدرت پردازش سرور به کاربران در وضعیت عادی (یعنی قدرت سرور را به تعداد کاربرانش در حالت عادی در نظر گرفته اند نه حالت غیر طبیعی)، مثل حالاتی که کامپیوترهای رومیزی دچار کندی یا توقف کامل می شوند، دچار وقفه در سرویس دهی یا حتی down شدن آن می شود.

چه کسانی حمله DDOS را انجام می دهند؟

اصولا حمله های ddos با انگیزه های متفاوت ممکن است توسط یک یا چند نفر و یا حتی گروهی از افراد صورت گیرد، اما آماری که تا به امروز به ثبت رسیده، حکایت از انگیزه های بیشتر فردی یا چند نفره داشته است، به طور مثال ممکن است افرادی برای از سر راه برداشتن ناجوانمردانه رقیبشان در وب، دست به این نوع اعمال بزنند تا مخاطبان آن سایت یا سرور دچار دلسردی شده و از آن فاصله بگیرند یا برعکس عده ای هکر، خیرخواهانه به سایتی ضد اجتماعی یا به فرض جنگ طلب حمله ddos کنند، لذا گستره افراد و انگیزه ها، بسته به نوع مورد، متفاوت خواهد بود.

از جمله علائم این حمله در شبکه عبارتند از:

– کندی در پاسخگویی به درخواست ها

– عدم اتصال به پایگاه داده

– مصرف بیش از حد منابع سرور

– افزایش انفجاری درخواست ها

– اختلالات در سرویس های جانبی نظیر ایمیل

روش های رایج حمله DDOS چیست؟

– روش Ping Flood یا طوفان درخواست ها

در این شیوه مهاجم سعی می کند با ارسال درخواست ها (یا بسته های ping) به سمت کامپیوتر هدف (قربانی)، و با تکرار این عمل، کل منابع سرور را اشغال کند تا در نهایت آن را به طور کامل از کار بیندازد، در این شیوه معمولا از کامپیوترهای موجود در یک شبکه یا از سرورهایی به طور همزمان درخواست به سمت سرور قربانی ارسال می شود تا در نهایت موجب از کار افتادن آن شود.

– روش Smurf attack یا استفاده از نقص تنظیمات

یک Smurf attack نوع خاصی از طوفان درخواستها به یک سرور است که طی آن به دلیل وجود ضعف در تنظیمات سرویس، اجازه ارسال بسته هایی از اطلاعات به تمام کامپیوتر های موجود در یک شبکه در عوض ارسال آن به یک کامپیوتر خاص از طریق آدرس Broadcast آنها است، آدرس Broadcast می تواند به عنوان مثال آی پی اشتراکی سایت های موجود در یک سرور باشد؛ در این حالت اگر تنظیمات سرور به درستی انجام نشده باشد، ارسال یک درخواست به این آی پی، موجب تقسیم شدن آن بین تمام زیر شاخه ها و در نتیجه overload شدن سرور می شود.

– حملات موسوم به SYN یا SYN flood

روش اخیر نیز در عمل مشابه با موارد گفته شده است، با این تفاوت که در اینجا مهاجم با ارسال درخواستهایی از نوع بسته های TCP/SYN در پشت چهره ای عادی و تایید شده به عنوان یک کاربر معمولی، از سرور تقاضای اتصال می کند که پس از ارسال پاسخ درخواست، هیچ جوابی به پاسخ سرور داده نمی شود تا اتصال نیمه باز همچنان برقرار باشد (سرور در انتظار پاسخ مهاجم مدتی صبر می کند)، در این بین با افزایش این اتصالات نیمه باز، منابع سرور اشغال شده و نهایتا موجب بروز اختلال و از کار افتادن آن می شود.

– روش Teardrop یا Teardrop attacks
در این شیوه رشته ای از آی پی های ناقص به هم متصل شده و شبیه به هم را به سرور ارسال می کنند که اگر تنظیمات قسمت TCP/IP fragmentation re-assembly سرور دچار نقص در تشخیص آنها باشد، موجب بروز مشکل اضافه بار یا overload در سرور خواهد شد.

روش های پیشگیری از این حمله چیست؟

واقعیت این است که از رفع مشکلات ناشی از این نوع حمله به مراتب از پیشگیری آنها سخت تر است. چون پس از انجام این حمله، خساراتی که مد نظر حمله کنندگان بوده است انجام شده و میتواند مشکلات زیادی را برای شبکه ایجاد نماید. از جمله مهم ترین راه کارهای پیشگیری قرار دادن دستگاه های امنیتی پیشرفته در شبکه است. از جمله این دستگاه ها میتوان به UTM ها و Firewalll ها اشاره کرد.

روش های پیشگیری بر اساس IPS/IDS

از جمله راه کارهای پیشگیری مناسب روش های IPS/IDS Base هستند. در بسیاری از انواع حملات DDOS، ظاهر ارتباطات معقول و موجه هستند، اما محتویات و قصد آنها نا موجه هستند. حملاتی که Signature های آنها شناسایی شده اند، توسط سامانه های IPS شناسایی و متوقف می شوند. پس می بایست در هنگام تهیه دستگاه های امنیتی نظیر UTM ها از اعتبار سامانه های IPS آنها اطمینان حاصل کنیم. تولید کنندگان این دستگاه میبایست دائما در حال بروز رسانی Signature ها بوده و جدید ترین بروز رسانی ها را برای دستگاه های خود محیا نمایند. در اینصورت میتوان اطمینان حاصل کرد که تا حد زیادی از این حملات میتوانند توسط این دستگاه ها کنترل و مهار گردند.