اخبار امنیت و شبکه

امنیت در برابر حمله های DDOS

06
تیر

نگاهی به تاریخچه حمله های DDOS

امنیت در برابر دیداس : حملات DDoS (distributed denial-of-service) امروزه از بزرگ‌ترین تهدیدهایی است که سایت‌ها و کسب‌وکارهای اینترنتی و در کل تجهیزات آنلاین با آن مواجه‌اند و تجارت‌شان را به خطر می‌اندازد. در ۳ سال گذشته میزان حملات DDoS بیش از ۲.۵ برابر شده و هر روزه تکنیک های هک و این حملات با پیشرفت علم مهندسی و امنیت ارتقا پیدا می کنند.

این حملات می توانند از چند ساعت تا چند روز صاحبان سایت‌ها و کارشناسان فنی شرکت‌ها را درگیر خود می‌کند.

بنابر نظر تحلیلی کارشناسان گفته می شود در حالی که مهاجمان با هزینه‌ی بسیار اندک در حد ۵ دلار می‌توانند به هر سایتی حمله کنند، هر یک ساعت حمله ضرری چند ۱۰ هزار دلاری را به شرکت‌های قربانی  می تواند وارد می‌کند، و از اعتماد مشتریانشان می‌کاهد. این در حالی است که حملات DDoS یکی از مرسوم‌ترین حملات سایبری است و هر کسب‌وکار آنلاینی حداقل یک‌بار با آن روبه‌رو شده است؛ اما در عمل بسیاری از شرکت‌ها در برابر آن آسیب‌پذیرند و راهکاری برای مقابله با این حملات ندارند.

 

 

برای مقابله با حملات DDoS چه باید کرد؟

بسیاری از سایت‌ها و کسب‌وکارهای اینترنتی، با این‌که از خطر حملات DDoS مطلع هستند، پیش از این‌که مورد حمله قرار بگیرند، راهکاری برای مقابله با این حملات ندارند؛ در حالی که به‌سادگی و بدون صرف هزینه برای خرید سخت‌افزار یا استخدام نیروهای متخصص، می‌توان در برابر حملات DDoS ایمن ماند.

 

 

مشکلات دفاع در برابر DDoS و طبقه بندی آنها

حملات DDoS حمله‌هایی است که دفاع در برابر ان بسیار دشوار است . اولین مشکل این است که هیچ ویژگی مشترکی در حملات DDoS وجود ندارد و این حملات با توجه به خلاقیت اتکر برنامه ریزی می‌شود و با توجه به اینکه این حملات از چند سیستم و عامل ناشی می‌شود بنابراین ردیابی انها بسیار دشوار خواهد بود .از طرف دیگر ابزار‌هایی که از طریق ان می‌توان در حمله DDoS شریک شد به راحتی در فضای اینترنت قابل یافت و دانلود می‌باشند . همچنین ممکن است حمله کننده با تکنینک IP Spoofing ( جعل IP) هویت واقعی خود را مخفی سازد که در این صورت فرایند ردیابی حمله کننده بسیار دشوارتر می‌گردد.

دفاع در برابر DDoS شامل دو مورد می‌شود :

۱.دفاع قبل از حمله ی DDoS که شامل استفاده از تجهیزات امنیتی مانند firewall و antiddos و… می‌باشد

۲.دفاع در زمان حمله که موضوع بسیار مهمتر از دفاع قبل از حمله می‌باشد و در زیر چند مکانیزم را ارایه کرده ایم.

۱.فیلترینگ ورودی (Ingress Filtering)

در این روش یک روتر راه اندازی می‌شود که اجازه ورود بسته‌هایی با منبع غیر مجاز را به شبکه نمی‌دهد. فیلترینگ ورودی (Ingress Filtering) یک مکانیزم محدود کننده به منظور جلوگیری از عبور ترافیک‌هایی است که آدرس IP فرستنده بسته با پیشوند دامین متصل به روتر همسان نباشد. این مکانیزم می‌تواند به صورت موثری حملات DDoS ی را که از طریق جعل IP انجام می‌شود کاهش دهد .

اما بعضی مواقع ممکن است یک ترافیک قانونی به وسیله این نوع از فیلترینگ (فیلترینگ ورودی) دور انداخته شود و این موضوع زمانی رخ می‌دهد که در یک شبکه خارجی از شبکه ما یک نود متحرک که از IP متحرک (موقت) استفاده می‌کند بخواهد به شبکه ما وصل شود.

۲.فیلترینگ IP بر اساس تاریخچه (Historybase Ip filtering)

یکی از مکانیزمهای فیلترینگ دیگری که برای جلوگیری از حملات DDoS ارائه شده است فیلترینگ بر اساس تاریخچه ip می‌باشد بر اساس این روش روتر لبه شبکه بسته‌های ورودی را که از قبل در پایگاه داده آدرسهای IP وجود دارد می‌پذیرد. این پایگاه داده آدرسهای IP بر اساس تاریخچه ارتباطات قبلی روتر لبه شبکه می‌باشد.

۳.تغییر آدرس IP

یکی از راهکارهای ساده دیگر در مقابل حملات DDoS تغییر آدرس IP است که با تغییر آدرس IP کامپیوترهای قربانی با آدرس جدید باعث می‌شود آدرس قبلی غیر معتبر شود. به این روش دفاع از هدف متحرک گوییم. پس از تغییر آدرس IP تمامی‌روترهای اینترنت از این امر مطلع شده و روتر لبه شبکه بسته‌های حمله را دور خواهد انداخت. اگرچه این عمل کامپیوتر را در معرض تهدید نگه خواهد داشت زیرا حمله کننده یک حمله جدید را به آدرس جدید صورت خواهد داد . این گزینه برای زمانیکه حمله دیداس به صورت محلی و بر اساس آدرس IP باشد کاربردی است. از طرف دیگر حمله کننده می‌تواند با استفاده از افزودن ویژگی ردیابی نام دامنه به ابزار حمله DDoS خود این مکانیزم دفاعی را بی اثر کند. ( با استفاده از ویژگی ردیابی دامنه به محض تغییر آدرس IP چون حمله با دامنه انجام می‌شود بنابر این حمله به سوی آدرس جدید ارسال خواهد شد.)

۴.Load balancing

Load balancing یکی از روشهای ساده است که سرویس دهنده را قادر می‌سازد تا پهنای باند را در ارتباطات حساس افزایش داده و در زمان وقوع حمله از قطع شدن سرویس جلوگیری نمایند. به علاوه کمک می‌کند تا با استفاده از قابلیت تکرار در سرورها (Replication) در صورتی که سروری به دلیل حمله DDoS دچار اشکال شود تخریب امن صورت گیرد. ( اگر سروری به دلیل حمله از دسترس خارج شد به دلیل تکرار شدن آن بر روی سایر سرورها سرویس دهی توسط سایر سرورها ادامه یابد )

۵.Honeypots

می‌توان از Honeypot‌ها برای جلوگیری از حملات DDoS استفاده کرد. Honeypot‌ها سیستمهایی هستند که با حداقل سطح امنیت راه اندازی می‌شوند که می‌توان از آنها برای فریب حمله کننده به آن استفاده کرد و دارای سیستم واقعی نیستند. Honeypot‌ها معمولا در سیستمهای حفاظتی دارای ارزش نیستند ولی می‌توان از آنها برای جمع آوری اطلاعات درباره حمله کننده با استفاده از ثبت فعالیتهای آنها وآموختن نوع حملات و ابزارهایی که حمله کننده به کار می‌برد ، استفاده کرد . در تحقیقات اخیر این بحث مطرح است که تقلید تمامی‌جنبه‌های مشروع یک شبکه در Honeypot ( مواردی مانند سرور وب ، سرور ایمیل ، کلاینت‌ها و غیره)به صورت بالقوه برای حمله کننده‌های DDoS جذاب می‌باشد. ایده آن است که حمله کننده را فریب دهیم تا فکر کند که در حال آسیب زدن به یک سیستم ( در اینجا سیستم Honeypot ) است و این سیستم در اختیار وی برای نصب کد عامل (agent) یا Handler می‌باشد. این روش از به خطر افتادن سیستمهای اصلی جلوگیری می‌کند و از طرفی رفتار عامل یا Handler نصب شده را می‌توان ردیابی کرده و به سیستم اجازه داد تا بهتر بتواند در برابر ویژگی‌های حمله انجام شده DDoS دفاع مناسب اتخاذ کند.

۶.تحلیل الگو‌های گرافیکی حمله dos 

یکی از روشهای پاسخ به حمله‌های DDoS است.در طول یک حمله اطلاعات مولفه ترافیک را می‌توان نگهداری و پس از حمله با آنالیز آنها برای یافتن مشخصات ویژه و خصوصیاتی که ممکن است نشان دهنده یک حمله باشد اقدام نمود.نتایجی که از تحلیل‌های این اطلاعات به دست می‌آید می‌تواند برای به روز رسانی تکنیک‌های توزیع بار (Load balancing) به کار رود و همچنین مکانیزمهای جدید فیلترینگ را توسعه دهد یا به طوری بتوان از حملات DDoS بعدی جلوگیری نمود .

برای جلوگیری از حملات DDoS چکار کنیم؟

جلوگیری از این حملات با روش های زیر ممکن است:

پیکربندی مجدد نرم افزارها و سخت افزارها

روترها را می‌توان طوری پیکربندی کرد که از حملات ساده Ping، با فیلترکردن پروتکل‌های غیرضروری جلوگیری کنند و می‌توانند آدرس‌های IP نامعتبر را نیز متوقف کنند.

روش‌های سیستم‌های کشف نفوذ (intrusion detection systems) توانایی‌هایی را ایجاد می‌کند که باعث تشخیص استفاده از پروتکل‌های معتبر بعنوان ابزار حمله می‌شود. این سیستم‌ها می‌توانند به همراه فایروال‌ها بکار روند تا بصورت خودکار در مواقع لزوم ترافیک را مسدود کنند.

پیکربندی مناسب application‌های سرویس دهنده در به حداقل رساندن اثرات حمله DDoS تأثیر بسیار مهمی ‌دارند. مدیر سرور می‌تواند تعیین کند که application از چه منابعی استفاده کند و چگونه به درخواست‌های کاربران پاسخ دهد.

از متخصصان امر استفاده کنید

بسیاری از شرکت‌ها متخصص مقابله با این نوع از حملات هستند، و می‌توانند قبل از حملات، در حین حملات و حتی بعد از آن نیز شما را یاری کنند. این شرکت‌ها بر اساس تجربه‌ای که دارند می‌توانند بسیار مفید باشند. نکته ای که در خصوص این سازمان‌ها وجود دارد این است که هزینه همکاری آنها قابل توجه است.

در مقابل، استفاده از سرویس‌های آنلاین به صرفه‌تر هستند. یکی از بهترین‌های این نوع خدمات، سرویس CloudFlare است. cloudflare برای مقابله با حملات، سرویس رایگان نیز ارائه می‌کند و تا حدودی می‌تواند به شما در مقابله با حملات کمک کند. سرویس‌های افزوده cloudflare محافظت بهتری را بر روی سایت شما اعمال می‌کنند. در این سرویس‌ها، اطلاعات سایت شما در چندین دیتاسنتر در نقاط جغرافیایی مختلف توزیع می‌شود، بدین ترتیب حمله به سایتی که همزمان در مکان‌های مختلفی توزیع شده است، بسیار مشکل است. از طرفی، تشخیص حملات و مقابله با آنها کاملا بصورت خودکار انجام می‌شود و نیازی نیست شما درگیر مقابله با حملات شوید.به شما پیشنهاد می شود برای کسب اطلاعات در حوزه cloudflare چیست مقاله ما را مطالعه نمایید.

برای وقوع حملات در آینده همیشه از قبل برنامه ریزی داشته باشید

اگر قبلا یک حمله DDOS را تجربه کرده باشید، مشاهده کردید که در حین حملات فرصت کافی برای برنامه‌ریزی جهت واکنش را ندارید. در این حالت، تنها کاری که اولویت دارد بازگردانی سرویس‌ها و مقابله با حملات است. برنامه‌ریزی برای انجام چنین اقداماتی باید قبل از وقوع حملات انجام شده باشد.

از جمله مواردی که می توانید قبل از حمله برنامه ریزی کنید به شرح زیر هستند :

  • برای شروع با سرویس دهنده اینترنت سرور سایت تماس بگیرید و پروتکل‌های قابل انجام در چنین شرایطی را مرور کنید.
  • لیستی از آی پی‌ها و پروتکل‌هایی که می‌توانید در زمان حملات، به آنها اجازه دسترسی را بدهید ایجاد کنید.
  • اگر در شرکت شما خطر حملات بسیار بالاست، تجهیزات نرم افزاری و سخت افزاری مورد نیاز برای مقابله با آنها را راه‌اندازی کنید.
  • مواردی که ممکن است مورد هدف حملات قرار بگیرند را تا حد امکان محدود کنید و نقاط ضعف امنیتی مرتبط را برطرف کنید.

حملات DDOS امروزه جزئی از اینترنت هستند. نقش مهمی ‌که شما باید داشته باشید این است که همیشه آماده باشید، تا در زمان وقوع حملات بتوانید بر اساس برنامه ریزی که از قبل کرده‌اید، در سریع ترین زمان ممکن با حملات مقابله کنید.امیدواریم با خواندن این مقاله با مفهوم حملات dos چیست آشنا شده باشید.

 

نتیجه ی نهایی حمله دی داس

بدون شک حملات DDoS در حال حاضر مشکل جدی در اینترنت می‌باشد .در این مقاله، ما تلاش کردیم تا به یک دید واضح و روشنی از مشکل این حمله و روشهای دفاعی متعدد وراه حل‌هایی که پیشنهاد شده اند برسیم. با داشتن دید واضح می‌توانیم راهکارهای موثرتری برای مشکل حمله دیداس پیدا کنیم.

یکی از مزایای بزرگ حملات DDoS و دسته بندی‌های دفاع , ارتباط موثر و مشارکت بین محققین است که می‌تواند منجر به شناسایی سایر نقاط ضعف فیلد DDoS شود.این طبقه بندی‌ها نیازمند به روز رسانی مداوم بوده و تهدیدات جدید و مکانیزمهای دفاعی در برابر آنها باید شناسایی شود. مرحله بعدی در این راه ایجاد مجموعه ای از اطلاعات و تجربیات آزمایش شده است به طوریکه بتوان تمامی‌روشها را مقایسه و ارزیابی نمود.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *