نگاهی به تاریخچه حمله های DDOS
امنیت در برابر دیداس : حملات DDoS (distributed denial-of-service) امروزه از بزرگترین تهدیدهایی است که سایتها و کسبوکارهای اینترنتی و در کل تجهیزات آنلاین با آن مواجهاند و تجارتشان را به خطر میاندازد. در ۳ سال گذشته میزان حملات DDoS بیش از ۲.۵ برابر شده و هر روزه تکنیک های هک و این حملات با پیشرفت علم مهندسی و امنیت ارتقا پیدا می کنند.
این حملات می توانند از چند ساعت تا چند روز صاحبان سایتها و کارشناسان فنی شرکتها را درگیر خود میکند.
بنابر نظر تحلیلی کارشناسان گفته می شود در حالی که مهاجمان با هزینهی بسیار اندک در حد ۵ دلار میتوانند به هر سایتی حمله کنند، هر یک ساعت حمله ضرری چند ۱۰ هزار دلاری را به شرکتهای قربانی می تواند وارد میکند، و از اعتماد مشتریانشان میکاهد. این در حالی است که حملات DDoS یکی از مرسومترین حملات سایبری است و هر کسبوکار آنلاینی حداقل یکبار با آن روبهرو شده است؛ اما در عمل بسیاری از شرکتها در برابر آن آسیبپذیرند و راهکاری برای مقابله با این حملات ندارند.
برای مقابله با حملات DDoS چه باید کرد؟
بسیاری از سایتها و کسبوکارهای اینترنتی، با اینکه از خطر حملات DDoS مطلع هستند، پیش از اینکه مورد حمله قرار بگیرند، راهکاری برای مقابله با این حملات ندارند؛ در حالی که بهسادگی و بدون صرف هزینه برای خرید سختافزار یا استخدام نیروهای متخصص، میتوان در برابر حملات DDoS ایمن ماند.
مشکلات دفاع در برابر DDoS و طبقه بندی آنها
حملات DDoS حملههایی است که دفاع در برابر ان بسیار دشوار است . اولین مشکل این است که هیچ ویژگی مشترکی در حملات DDoS وجود ندارد و این حملات با توجه به خلاقیت اتکر برنامه ریزی میشود و با توجه به اینکه این حملات از چند سیستم و عامل ناشی میشود بنابراین ردیابی انها بسیار دشوار خواهد بود .از طرف دیگر ابزارهایی که از طریق ان میتوان در حمله DDoS شریک شد به راحتی در فضای اینترنت قابل یافت و دانلود میباشند . همچنین ممکن است حمله کننده با تکنینک IP Spoofing ( جعل IP) هویت واقعی خود را مخفی سازد که در این صورت فرایند ردیابی حمله کننده بسیار دشوارتر میگردد.
دفاع در برابر DDoS شامل دو مورد میشود :
۱.دفاع قبل از حمله ی DDoS که شامل استفاده از تجهیزات امنیتی مانند firewall و antiddos و… میباشد
۲.دفاع در زمان حمله که موضوع بسیار مهمتر از دفاع قبل از حمله میباشد و در زیر چند مکانیزم را ارایه کرده ایم.
۱.فیلترینگ ورودی (Ingress Filtering)
در این روش یک روتر راه اندازی میشود که اجازه ورود بستههایی با منبع غیر مجاز را به شبکه نمیدهد. فیلترینگ ورودی (Ingress Filtering) یک مکانیزم محدود کننده به منظور جلوگیری از عبور ترافیکهایی است که آدرس IP فرستنده بسته با پیشوند دامین متصل به روتر همسان نباشد. این مکانیزم میتواند به صورت موثری حملات DDoS ی را که از طریق جعل IP انجام میشود کاهش دهد .
اما بعضی مواقع ممکن است یک ترافیک قانونی به وسیله این نوع از فیلترینگ (فیلترینگ ورودی) دور انداخته شود و این موضوع زمانی رخ میدهد که در یک شبکه خارجی از شبکه ما یک نود متحرک که از IP متحرک (موقت) استفاده میکند بخواهد به شبکه ما وصل شود.
۲.فیلترینگ IP بر اساس تاریخچه (History–base Ip filtering)
یکی از مکانیزمهای فیلترینگ دیگری که برای جلوگیری از حملات DDoS ارائه شده است فیلترینگ بر اساس تاریخچه ip میباشد بر اساس این روش روتر لبه شبکه بستههای ورودی را که از قبل در پایگاه داده آدرسهای IP وجود دارد میپذیرد. این پایگاه داده آدرسهای IP بر اساس تاریخچه ارتباطات قبلی روتر لبه شبکه میباشد.
۳.تغییر آدرس IP
یکی از راهکارهای ساده دیگر در مقابل حملات DDoS تغییر آدرس IP است که با تغییر آدرس IP کامپیوترهای قربانی با آدرس جدید باعث میشود آدرس قبلی غیر معتبر شود. به این روش دفاع از هدف متحرک گوییم. پس از تغییر آدرس IP تمامیروترهای اینترنت از این امر مطلع شده و روتر لبه شبکه بستههای حمله را دور خواهد انداخت. اگرچه این عمل کامپیوتر را در معرض تهدید نگه خواهد داشت زیرا حمله کننده یک حمله جدید را به آدرس جدید صورت خواهد داد . این گزینه برای زمانیکه حمله دیداس به صورت محلی و بر اساس آدرس IP باشد کاربردی است. از طرف دیگر حمله کننده میتواند با استفاده از افزودن ویژگی ردیابی نام دامنه به ابزار حمله DDoS خود این مکانیزم دفاعی را بی اثر کند. ( با استفاده از ویژگی ردیابی دامنه به محض تغییر آدرس IP چون حمله با دامنه انجام میشود بنابر این حمله به سوی آدرس جدید ارسال خواهد شد.)
۴.Load balancing
Load balancing یکی از روشهای ساده است که سرویس دهنده را قادر میسازد تا پهنای باند را در ارتباطات حساس افزایش داده و در زمان وقوع حمله از قطع شدن سرویس جلوگیری نمایند. به علاوه کمک میکند تا با استفاده از قابلیت تکرار در سرورها (Replication) در صورتی که سروری به دلیل حمله DDoS دچار اشکال شود تخریب امن صورت گیرد. ( اگر سروری به دلیل حمله از دسترس خارج شد به دلیل تکرار شدن آن بر روی سایر سرورها سرویس دهی توسط سایر سرورها ادامه یابد )
۵.Honeypots
میتوان از Honeypotها برای جلوگیری از حملات DDoS استفاده کرد. Honeypotها سیستمهایی هستند که با حداقل سطح امنیت راه اندازی میشوند که میتوان از آنها برای فریب حمله کننده به آن استفاده کرد و دارای سیستم واقعی نیستند. Honeypotها معمولا در سیستمهای حفاظتی دارای ارزش نیستند ولی میتوان از آنها برای جمع آوری اطلاعات درباره حمله کننده با استفاده از ثبت فعالیتهای آنها وآموختن نوع حملات و ابزارهایی که حمله کننده به کار میبرد ، استفاده کرد . در تحقیقات اخیر این بحث مطرح است که تقلید تمامیجنبههای مشروع یک شبکه در Honeypot ( مواردی مانند سرور وب ، سرور ایمیل ، کلاینتها و غیره)به صورت بالقوه برای حمله کنندههای DDoS جذاب میباشد. ایده آن است که حمله کننده را فریب دهیم تا فکر کند که در حال آسیب زدن به یک سیستم ( در اینجا سیستم Honeypot ) است و این سیستم در اختیار وی برای نصب کد عامل (agent) یا Handler میباشد. این روش از به خطر افتادن سیستمهای اصلی جلوگیری میکند و از طرفی رفتار عامل یا Handler نصب شده را میتوان ردیابی کرده و به سیستم اجازه داد تا بهتر بتواند در برابر ویژگیهای حمله انجام شده DDoS دفاع مناسب اتخاذ کند.
۶.تحلیل الگوهای گرافیکی حمله dos
یکی از روشهای پاسخ به حملههای DDoS است.در طول یک حمله اطلاعات مولفه ترافیک را میتوان نگهداری و پس از حمله با آنالیز آنها برای یافتن مشخصات ویژه و خصوصیاتی که ممکن است نشان دهنده یک حمله باشد اقدام نمود.نتایجی که از تحلیلهای این اطلاعات به دست میآید میتواند برای به روز رسانی تکنیکهای توزیع بار (Load balancing) به کار رود و همچنین مکانیزمهای جدید فیلترینگ را توسعه دهد یا به طوری بتوان از حملات DDoS بعدی جلوگیری نمود .
برای جلوگیری از حملات DDoS چکار کنیم؟
جلوگیری از این حملات با روش های زیر ممکن است:
پیکربندی مجدد نرم افزارها و سخت افزارها
روترها را میتوان طوری پیکربندی کرد که از حملات ساده Ping، با فیلترکردن پروتکلهای غیرضروری جلوگیری کنند و میتوانند آدرسهای IP نامعتبر را نیز متوقف کنند.
روشهای سیستمهای کشف نفوذ (intrusion detection systems) تواناییهایی را ایجاد میکند که باعث تشخیص استفاده از پروتکلهای معتبر بعنوان ابزار حمله میشود. این سیستمها میتوانند به همراه فایروالها بکار روند تا بصورت خودکار در مواقع لزوم ترافیک را مسدود کنند.
پیکربندی مناسب applicationهای سرویس دهنده در به حداقل رساندن اثرات حمله DDoS تأثیر بسیار مهمی دارند. مدیر سرور میتواند تعیین کند که application از چه منابعی استفاده کند و چگونه به درخواستهای کاربران پاسخ دهد.
از متخصصان امر استفاده کنید
بسیاری از شرکتها متخصص مقابله با این نوع از حملات هستند، و میتوانند قبل از حملات، در حین حملات و حتی بعد از آن نیز شما را یاری کنند. این شرکتها بر اساس تجربهای که دارند میتوانند بسیار مفید باشند. نکته ای که در خصوص این سازمانها وجود دارد این است که هزینه همکاری آنها قابل توجه است.
در مقابل، استفاده از سرویسهای آنلاین به صرفهتر هستند. یکی از بهترینهای این نوع خدمات، سرویس CloudFlare است. cloudflare برای مقابله با حملات، سرویس رایگان نیز ارائه میکند و تا حدودی میتواند به شما در مقابله با حملات کمک کند. سرویسهای افزوده cloudflare محافظت بهتری را بر روی سایت شما اعمال میکنند. در این سرویسها، اطلاعات سایت شما در چندین دیتاسنتر در نقاط جغرافیایی مختلف توزیع میشود، بدین ترتیب حمله به سایتی که همزمان در مکانهای مختلفی توزیع شده است، بسیار مشکل است. از طرفی، تشخیص حملات و مقابله با آنها کاملا بصورت خودکار انجام میشود و نیازی نیست شما درگیر مقابله با حملات شوید.به شما پیشنهاد می شود برای کسب اطلاعات در حوزه cloudflare چیست مقاله ما را مطالعه نمایید.
برای وقوع حملات در آینده همیشه از قبل برنامه ریزی داشته باشید
اگر قبلا یک حمله DDOS را تجربه کرده باشید، مشاهده کردید که در حین حملات فرصت کافی برای برنامهریزی جهت واکنش را ندارید. در این حالت، تنها کاری که اولویت دارد بازگردانی سرویسها و مقابله با حملات است. برنامهریزی برای انجام چنین اقداماتی باید قبل از وقوع حملات انجام شده باشد.
از جمله مواردی که می توانید قبل از حمله برنامه ریزی کنید به شرح زیر هستند :
- برای شروع با سرویس دهنده اینترنت سرور سایت تماس بگیرید و پروتکلهای قابل انجام در چنین شرایطی را مرور کنید.
- لیستی از آی پیها و پروتکلهایی که میتوانید در زمان حملات، به آنها اجازه دسترسی را بدهید ایجاد کنید.
- اگر در شرکت شما خطر حملات بسیار بالاست، تجهیزات نرم افزاری و سخت افزاری مورد نیاز برای مقابله با آنها را راهاندازی کنید.
- مواردی که ممکن است مورد هدف حملات قرار بگیرند را تا حد امکان محدود کنید و نقاط ضعف امنیتی مرتبط را برطرف کنید.
حملات DDOS امروزه جزئی از اینترنت هستند. نقش مهمی که شما باید داشته باشید این است که همیشه آماده باشید، تا در زمان وقوع حملات بتوانید بر اساس برنامه ریزی که از قبل کردهاید، در سریع ترین زمان ممکن با حملات مقابله کنید.امیدواریم با خواندن این مقاله با مفهوم حملات dos چیست آشنا شده باشید.
نتیجه ی نهایی حمله دی داس
بدون شک حملات DDoS در حال حاضر مشکل جدی در اینترنت میباشد .در این مقاله، ما تلاش کردیم تا به یک دید واضح و روشنی از مشکل این حمله و روشهای دفاعی متعدد وراه حلهایی که پیشنهاد شده اند برسیم. با داشتن دید واضح میتوانیم راهکارهای موثرتری برای مشکل حمله دیداس پیدا کنیم.
یکی از مزایای بزرگ حملات DDoS و دسته بندیهای دفاع , ارتباط موثر و مشارکت بین محققین است که میتواند منجر به شناسایی سایر نقاط ضعف فیلد DDoS شود.این طبقه بندیها نیازمند به روز رسانی مداوم بوده و تهدیدات جدید و مکانیزمهای دفاعی در برابر آنها باید شناسایی شود. مرحله بعدی در این راه ایجاد مجموعه ای از اطلاعات و تجربیات آزمایش شده است به طوریکه بتوان تمامیروشها را مقایسه و ارزیابی نمود.