دلایل رخداد حملات DDOS

دلایل رخداد حملات DDOS

حمله دیداس چیست و چطور از آن جلوگیری کنیم؟

در واقع می‎‌توان دلایل رخداد حملات DDoS (Distributed Denial of Service) را تلاشی مخرب برای ایجاد اختلال در ترافیک عادی یک سرور، سرویس یا شبکه به صورت هدفمند دانست.

حملات DDOS نوعی از حملات سایبری است. در این نوع حملات هکرها با ایجاد ترافیک غیرعادی برای سایت، باعث کندی و پس از مدتی از دسترس خارج شدن سایت می‌شوند. هر سرور تعداد محدود و مشخصی درخواست ورودی را پاسخ می‌دهد و فرد حمله کننده از این موضوع استفاده می‌کند. سپس با ایجاد تعداد زیادی درخواست بازدید به سرور شما فشار وارد کرده و آن را از کار می‌اندازد.

امروزه، از حملات DDoS برای دستیابی به داده‎‌ها، به خطر انداختن کسب‌وکار رقبا، ایجاد اختلال در سیستم‌‎عامل‌‎ها و غیره استفاده می‎‌شود. معمولا، حملات DDoS توسط یک یا چند IP معین صورت می‎‌گیرند و تشخیص آن‌ها کار راحتی نیست. اما شما به راحتی می‌‎توانید با افزایش دانش و آگاهی خود درباره این حملات از رخدادشان جلوگیری کنید.

اگر بخواهیم به برخی از دلایل رخداد حملات DDOS اشاره کنیم، می‎‌توانیم موارد ذیل را نام ببریم:

• افزایش مقدار ترافیک یک آدرس یا محدوده IP
• افزایش ترافیک کاربرانی که پروفایل رفتاری واحد دارند. مانند استفاده از یک نوع دستگاه، موقعیت جغرافیایی واحد و ….
• افزایش ناگهانی درخواست‎‌ها برای مراجعه به یک صفحه یا سایت خاص
• الگوهای ترافیکی عجیب و غریب مانند مراجعه به صفحه خاصی در ساعات غیرقابل پیش‎‌بینی

دلایل رخداد حملات DDOS : انواع حملات DDoS

 یکی از دلایل رخداد حملات DDoS و هدف این حملات اجزای مختلف متصل شده به شبکه است. برای درک بیشتر انواع مختلف حملات DDoS نیازمند اطلاعاتی درباره نحوه اتصال به شبکه هستید. اتصال به شبکه از اجزای مختلف یا اصطلاحا چند لایه تشکیل شده است. و مانند ساخت خانه، هر لایه هدف متفاوتی دارد.

مدل OSI، که در زیر نشان داده شده است، یک چارچوب مفهومی است که برای توصیف اتصال شبکه در ۷ لایه مجزا استفاده می‌شود.

حملات DDoS را می‎‌توان به سه دسته کلی زیر تقسیم کرد:

حملات لایه‌ی کاربرد (application layer)

هدف حمله

این نوع حمله گاهی اوقات با نام حمله DDoS لایه ۷ نامیده می‌شود، هدف این حمله اتمام منابع هدف برای انکار سرویس است. این دسته از حملات، لایه‌ای را که در آن وبسایت‌ها بر روی سرور ایجاد شده و در پاسخ به درخواست‌های HTTP تحویل داده می‌شوند، هدف قرار می‌دهند. اجرای یک درخواست HTTP ساده‌، در سمت کلاینت ارزان است اما پاسخ به آن در سمت سرور هدف پرهزینه است، چون اغلب سرور بایستی چندین فایل را بارگذاری کرده و کوئری‌های پایگاه داده را برای ایجاد یک صفحه وب اجرا کند.

به دلیل اینکه تفکیک ترافیک مخرب از مجاز گاه دشوار است، دفاع از حملات DDoS لایه ۷ امری دشوار است

این حمله از طریق درخواست‎‌های HTTP فراوان سرور را تحت فشار قرار می‎‌دهد. این حمله را می‎‌توان به دو نوع ساده و پیچیده تقسیم‎‌بندی کرد. در حملات ساده از طریق یک IP به یک سرور یا شبکه حمله می‎‌شود. در حالی که در حملات پیچیده URL‎های تصادفی مورد حمله قرار می‎‌گیرند.

حملات پروتکل( Protocol)

هدف حمله

مصرف بیش از حد منابع سرور و یا تجهیزات شبکه مانند فایروال‎‌ها منجر به ایجاد اختلال در سرویس‎‌ها می‌‎شوند. حملات پروتکل، از نقاط ضعف لایه ۳ و ۴ از پشته پروتکل استفاده می‌کنند تا هدف غیرقابل دسترس را به دست آوردند.

این حمله با ارسال تعداد زیادی TCP (درخواست اتصال اولیه) از طریق IP جعلی باعث از دست دادن TCP و ایجاد مشکلاتی در سرور یا شبکه می‎‌شود.

این حمله مشابه یک کارگر در اتاق انبار است که درخواستی از قسمت جلوی فروشگاه (درخواست مشتری) دریافت می‌کند و پس از دریافت درخواست، بسته را بر می‌دارد و قبل از آوردن بسته به جلو فروشگاه منتظر تایید می‌ماند. سپس درخواست‌های متعددی را بدون تأیید دریافت می‌کند و این روند تا زمانی ادامه پیدا می‌کند که کارگر غرق در درخواست‌های بدون تایید می‌شود و عملا از کار می‌افتد و نمی‌تواند بسته‌های بیشتری را تحویل دهد و درخواست‌ها بی‌پاسخ می‌ماند.

حملات حجمی (Volumetric )

هدف حمله

این دسته از حملات تلاش می‌کنند با استفاده از تمام پهنای باند موجود بین هدف و اینترنت، باعث ایجاد تراکم شوند. حجم زیادی از داده‌ها با استفاده از یک فرم تقویت یا وسیله‌ای دیگر برای ایجاد ترافیک بزرگ به سمت یک هدف ارسال می‌شود، مثل درخواست‌های یک بات‌نت.

با فرستادن درخواست از سرور DNS باز و IP جعلی (IP قربانی) اختلالاتی در سرور و شبکه ایجاد می‎‌شود. درست مثل این که شخصی با یک رستوران تماس بگیرد و بگوید من از تمام غذاهایی که دارید یکی می‌خواهم، لطفا با من تماس بگیرید تا تک تک موارد سفارشم را بگویم، و شماره تلفنی که می‌دهد همان شماره تلفن هدف باشد. جالب است نه؟ با یک تلاش بسیار کوچک، نتیجه‌ای بزرگ ایجاد می‌شود.

راه‎‌های جلوگیری از حملات DDoS

نگرانی اصلی در جلوگیری از حملات DDoS، تفاوت بین ترافیک حمله و ترافیک عادی است. همانطور که بالاتر به این مسئله اشاره کردیم، حمله DDoS به اشکال مختلف (پیچیده، تطبیقی، ساده) رخ می‎‌دهد. به همین خاطر، روش‌‎ها و استراتژی‎‌های خاصی برای جلوگیری از حمله DDoS به کار برده می‎شود. در ضمن، باید گفت هر چه حمله پیچیده‎تر باشد، جداسازی ترافیک حمله از ترافیک نرمال دشوارتر خواهد بود.

در واقع، هدف مهاجم یا مهاجمان ایجاد شرایطی پیچیده و غیرقابل‌حل برای سرور، شبکه و یا سایت است. مهاجمان می‎‌خواهند بدین صورت ناکارآمدی سرور یا شبکه را نشان دهند. البته با بررسی‎‌های مداوم و دقیق می‎‌توان از حملات پیچیده جلوگیری کرد. به همین منظور، در ادامه شما را با روش‌‎‌های جلوگیری از حملات DDoS آشنا می‎‌کنیم:

روش اول، Blackhole Routing (مسیریابی سیاه‌‎چاله)

این راه معمولا توسط مدیران شبکه استفاده می‎‌شود. در این روش یک مسیر سیاه‌چاله ایجاد شده و ترافیک‎‌ها به سمت این مسیر راهنمایی می‎‌شوند. به زبان ساده باید گفت سیاه‌چاله همچون یک فیلتر عمل می‎‌کند و ترافیک مخرب را به درون خود کشیده و آن را از شبکه دور می‎‌سازد. در این روش ترافیک سایت به سیاه چاله فرستاده می‎‌شود و برای مدتی شبکه از دسترس خارج می‎‌شود. اگرچه این راه‌‎حل، روشی ایده‌‎آ‌ل نیست، اما شبکه را از شر ترافیک‎های مخرب رها می‎‌سازد.

روش دوم، Rate Limiting (محدودیت سرعت)

در این استراتژی تعداد درخواست‎‌هایی که سرور در یک بازه زمانی خاص می‎‌پذیرد، محدودند. این راهکار باعث کاهش سرعت دزیدن محتوا می‎‌شود، اما به تنهایی یک روش مناسب برای مقابله با حمله DDoS نیست.

راهکار سوم، Web Application Firewall (فایروال برنامه وب)

روش WAF، ابزاری موثر برای کاهش حملاتDDoS لایه ۷ است. شما می‎‌توانید از طریق قرار دادن WAF بین اینترنت و سرور مبدا، یک پروکسی معکوس ایجاد کنید. و بدین صورت از سرور هدف در مقابل انواع مختلف ترافیک‌‎های مخرب محافظت کنید.
استراتژی چهارم، Anycast Network Diffusion (انتشار شبکه)

در این روش، از یک شبکه Anycast برای پراکنده کردن ترافیک‌‎های مخرب در شبکه استفاده می‎‌شود. می‌‎توانیم این روش را به رودخانه‎‌ای خروشان که به کانا‎ل‎‌های جداگانه وارد می‎‌شود، تشبیه کنیم. در مثال رودخانه، کانال‎‌های کوچک نشانگر نحوه استفاده از این استراتژی برای کاهش حملات مخرب هستند.

اگر در معرض حملات سایبری DDoS قرار گرفته‎‌اید، از استراتژی‎‌های فوق برای جلوگیری از حملات DDoS در شبکه یا سرور خودتان استفاده کنید.

در این مقاله گفتیم که حملات DDoS چیست؟ حملات رایجی هستند که تشخیص و جلوگیری از آنها به صورت صد در صد امکان پذیر نیست. اما می توانید اقداماتی انجام دهید که ترافیک غیرعادی را تشخیص بدهید و تا حدی با روش های جلوگیری از حملات DDoS آنها را تشخیص دهیم و بتوانیم جلوی این حملات را بگیریم. گاهی اوقات ممکن است نتوانیم از این حملات پیشگیری کنیم و حمله اتفاق افتد بنابراین با اقدامات پس از حملات DDos که ذکر کردیم می توانید سیستم خود را بازیابی کنید.