با حملات محروم‌سازی از سرویس (DoS) و انواع آن آشنا شوید

نام حملات محروم‌سازی از سرویس را احتمالا هم شنیده‌اید و هم در وب‌سایت‌های مختلف، از جمله همین دیجیاتوی خودمان تجربه‌اش کرده‌اید. این دست از حملات زمانی اتفاق می‌افتند که یک یا چند مهاجم می‌خواهند دسترسی به یک سرویس را غیر ممکن کنند. این کار می‌تواند با ممانعت از دسترسی به هرچیزی اتفاق بیفتد: سرورها، دیوایس‌ها، سرویس‌ها، شبکه‌ها، اپلیکیشن‌ها و حتی تراکنش‌هایی خاص درون اپلیکیشن‌ها.

هنگامی که تنها یک سیستم دیتا یا درخواست‌های بدخواهانه می‌فرستد به آن حمله DoS گفته می‌شود و هنگامی که حمله با چند سیستم صورت می‌گیرد، به آن DDoS می‌گویند.

به صورت معمول، این حملات با فرستادن انبوهی از درخواست‌ها صورت می‌گیرند که سیستم هدف را در خود غرق می‌کنند. برای مثال می‌توان آنقدر درخواست نمایش یک صفحه را به وب سرور فرستاد تا زیر فشار تقاضا کرش کند یا دیتابیس، مورد هجوم حجم عظیمی از جستارها قرار بگیرد. نتیجه نهایی اینکه پهنای باند اینترنت، پردازنده و ظرفیت رم بیش از اندازه تحت فشار قرار می‌گیرد.

malltina

تاثیر چنین حملاتی می‌تواند بسیار گسترده باشد، از اختلال جزیی در عملکرد سرویس گرفته تا حملات عظیم‌تر که وب‌سایت‌ها، اپلیکیشن‌ها و حتی کسب‌وکارها را به صورت کامل آفلاین می‌کنند.

انواع حملات DDoS

به صورت کل سه نوع حمله DDoS داریم:

۱. حملات مبتنی بر حجم که از مقادیر عظیمی از ترافیک دروغین برای تحت فشار قرار دادن یک وب‌سایت یا سرور استفاده می‌کنند. این حملات می‌توانند شامل ICMP و UDP باشند. ابعاد حملات مبتنی بر حجم براساس بیت بر ثانیه (bps) اندازه‌گیری می‌شود.

۲. حملات DDoS لایه شبکه که انبوهی از پکت‌ها را به زیرساخت‌های شبکه یا ابزارهای مدیریت زیرساخت می‌فرستند. این حملات مبتنی بر پروتکل شامل SYN و Smurf DDoS شده و ابعادشان براساس پکت بر ثانیه (pps) سنجیده می‌شود.

۳. حملات لایه اپلیکیشن که با ارسال انبوهی از درخواست‌های مختلف به اپلیکیشن انجام می‌شوند. این حملات نیز براساس تعداد درخواست بر ثانیه (rps) ابعادسنجی می‌شوند.

در هر کدام از این حملات، هدف نهایی همواره یکسان است: کند کردن منابع یک سرویس یا از کار انداختن کامل آن‌ها.

علائم حملات DDoS

حملات DDoS ممکن است شبیه به تمام اتفاقات غیر بدخواهانه‌ای باشد که دسترسی به یک سرویس یا وب‌سایت را قطع می‌کنند: اتفاقاتی نظیر داون شدن سرور یا سیستم، ارسال درخواست‌های حقیقی بیش از حد یا حتی کابلی که بریده شده. به صورت معمول باید ترافیک سیستم تحلیل شود تا دقیقا مشخص گردد که چه اتفاقی دارد می‌افتد.

تایم‌لاین حملات محرو‌م‌سازی از سرویس

بیایید به صحبت درباره یک حمله محروم‌سازی از سرویس بپردازیم که نگاه عموم مردم نسبت به این حملات را برای همیشه تغییر داد. در اوایل سال ۲۰۰۰ میلادی، یک دانش‌آموز دبیرستانی کانادایی به نام مایکل کالک (با لقب MafiaBoy)، یک حمله محروم‌سازی از سرویس ترتیب داد که توانست یکی از غول‌های حوزه تکنولوژی آن زمان، یعنی یاهو را با دردسر جدی مواجه کند. بعد از این، کالک به سراغ سایت‌های مهم دیگری نظیر آمازون، سی‌ان‌ان و eBay رفت و در عملکرد آن‌ها نیز با موفقیت اختلال ایجاد کرد.

مشخصا این نخستین حمله DDoS در جهان نبود، اما زنجیره حملات کالک به قدری عمومی و موفقیت‌آمیز بودند که حملات محروم‌سازی از سرویس دیگر مثل سردردی کوچک در حوزه تکنولوژی به نظر نرسیده و همچون تهدیدی جدی برای کسب‌وکارهای بزرگ جلوه می‌کردند.

از آن زمان، حملات DDoS به شکلی مداوم اتفاق می‌افتند و دلایل پشت‌شان هم می‌تواند هرچیزی باشد. از انتقام‌جویی گرفته تا اکتیویسیم آنلاین و حتی آغاز نبردهای سایبری.

ابعاد این حملات نیز به مرور زمان بیشتر شده است. در اواسط دهه ۱۹۹۰ میلادی، یک حمله DDoS ممکن بود شامل ۱۵۰ درخواست بر ثانیه باشد و همین برای از پای درآوردن اکثر سیستم‌های رایج کفایت می‌کرد. امروز حجم این حملات می‌تواند به ۱۰۰۰ گیگابیت بر ثانیه برسد و اصلی‌ترین دلیل این وسعت، ابعاد خالص بات‌نت‌های مدرن است.

در ماه اکتبر سال ۲۰۱۶ میلادی، یک شرکت تامین‌کننده خدمت زیرساخت اینترنتی به نام Dyn DNS (که امروز تحت عنوان Oracle DYN شناخته می‌شود) مورد هجوم موجی از جستارهای DNS از سوی ده‌ها میلیون آی‌پی آدرس قرار گرفت. این حمله که از طریق بات‌نت Mirai انجام می‌شد،‌ بنابر گزارش‌ها بیش از ۱۰۰ هزار دیوایس اینترنت اشیا را آلوده کرد که دوربین‌های آی‌پی و پرینترها را هم شامل می‌شد. در دوران پیک‌اش، Mirai توانست به ۴۰۰ هزار بات مختلف دسترسی یابد. به این ترتیب سرویس‌هایی نظیر آمازون، نت‌فلیکس، ردیت، اسپاتیفای، تامبلر و توییتر همگی با اختلال در عملکرد روبه‌رو شدند.

اوایل سال ۲۰۱۸ میلادی بود که تکنیک جدیدی برای حملات DDoS ظهور کرد. در روز ۲۸ فوریه آن سال، سرویس گیت‌هاب با یک حمله محروم‌سازی از سرویس بسیار غول‌آسا مواجه شد که در هر ثانیه، ترافیکی معادل ۱.۳۵ ترابایت را روانه این سایت محبوب می‌کرد. اگرچه گیت‌هاب برای مدتی کوتاه آفلاین شد و توانست در کمتر از ۲۰ دقیقه به روال عادی برگردد، اما ابعاد کاری که انجام شده بود کاملا نگران‌کننده بود و حتی از حمله Dyn هم پیشی می‌گرفت که در بدترین حالتش به ۱.۲ ترابایت بر ثانیه رسیده بود.

یکی از تحلیلگران حوزه امنیت که حمله را از نزدیک رصد کرد گفت به چند طریق، این حمله از دیگر حملات آسان‌تر بوده است. درحالی که حمله Dyn محصول بات‌نت Mirai بود و نیازمند آلوده کردن صدها هزار دیوایس اینترنت اشیا، حمله گیت‌هاب با سوء استفاده از سرورهایی صورت گرفت از که سیستم کش کردن حافظه Memcached بهره می‌بردند. این سیستم می‌تواند حجم عظیمی از دیتا را در پاسخ به درخواست‌هایی ساده بازگرداند.

Memcached قرار است صرفا در سرورهای محافظت‌ ‌شده‌ای به کار گرفته شود که در شبکه‌های داخلی مشغول به کار هستند و عمدتا امکان محافظت از آن در برابر حملات بدخواهانه‌ای که آی‌پی آدرس‌ها را اسپوف کرده و حجم عظیمی از دیتا را روانه سیستم قربانیان می‌کنند وجود ندارد. متاسفانه در حال حاضر هزاران سرور Memcached در دنیای آزاد اینترنت مشغول به کار هستند و دقیقا به همین خاطر، میزان کاربردشان در حملات DDoS نیز به شکل چشمگیری افزایش یافته. حتی نمی‌توان گفت که این سرورها به «سرقت» می‌روند، چرا که بدون پرسیدن حتی یک سوال، پکت‌ها را به هرجایی که شخص متخاصم بخواهد می‌فرستند.

تنها چند روز بعد از حمله گیت‌هاب، یک حمله محرو‌م‌سازی از سرویس دیگر با استفاده از Memcached، یکی از سرویس‌دهندگان مخابراتی ایالات متحده را با نرخ ارسال دیتای ۱.۷ ترابایت بر ثانیه فلج کرد.

بات‌نت Mirai از آن جهت اهمیت داشت که برخلاف اکثر حملات DDoS رایج، به جای اتکا بر پی‌سی‌ها و سرور‌ها، از دیوایس‌های اینترنت اشیا بهره می‌گرفت و اوضاع زمانی ترسناک‌تر می‌شود که بدانیم بنابر پیش‌بینی‌ها، تا پایان سال ۲۰۲۰ میلادی بالغ بر ۳۴ میلیارد دستگاه متصل به اینترنت در جهان خواهیم داشت که اکثریت آن‌ها (یعنی ۲۴ میلیارد دستگاه) اینترنت اشیا خواهند بود.

و متاسفانه Mirai آخرین بات‌نت مبتنی بر اینترنت اشیا نخواهد بود. پژوهشی که از سوی چندین تیم امنیتی در شرکت‌های کلادفلیر، فلش‌پوینت، گوگل و چند کمپانی دیگر صورت گرفته نشان می‌دهد یک بات‌نت دیگر به نام WireX نیز داریم که ابعادی مشابه داشته و از ۱۰۰ هزار دیوایس اندرویدی در ۱۰۰ کشور جهان تشکیل شده.

در روز ۲۱ ژوئن ۲۰۲۰، شرکت Akamai خبر از شناسایی یک حمله DDoS به یک بانک بزرگ اروپایی داد که شامل ۸۰۹ میلیون پکت بر ثانیه می‌شد، این یعنی بیشترین حجم پکت در تاریخ. این حمله طراحی شده بود تا با ارسال میلیاردها پکت کوچک، تجهیزات و اپلیکیشن‌های شبکه را در دیتاسنتر مقصد تحت فشار قرار دهد.

محققین Akamai گفتند این حمله از آن جهت منحصر به فرد بود که انبوهی از آ‌ی‌پی آدرس‌ها را به کار می‌گرفت. آن‌ها گفتند که آی‌پی‌هایی که ترافیک ایجاد می‌کردند، به شکل تصاعدی افزایش می‌یافتند. به عبارت واضح‌تر، در هر دقیقه تعداد آی‌پی‌ها ۶۰۰ برابر می‌شد.

حملات DDoS امروزی

حملات DDoS

اگرچه تعداد حملات DDoS به مرور زمان کمتر شده، اما همچنان تهدیدی بزرگ به حساب می‌آید. کسپرسکای لبز در یکی از آخرین گزارش‌های خود گفت که میزان حملات محروم‌سازی از سرویس در سه‌ماهه دوم ۲۰۱۹، افزایشی ۳۲ درصدی نسبت به سه‌ماهه سوم سال ۲۰۱۸ داشته و دلیل اصلی این موضوع، افزایش چشمگیر حملات در ماه سپتامبر بوده است.

این شرکت اضافه می‌کردند که بات‌نت‌های Torii و DemonBot که اخیرا کشف شده‌اند نیز قادر به حملاتی در ابعاد وسیع بوده و حسابی نگران‌کننده ظاهر می‌شوند. ‌Torii به عنوان مثال می‌تواند گستره وسیعی از دیوایس‌های اینترنت اشیا را آلوده کند و حتی از Mirai هم خطرناک‌تر به حساب می‌آید.

یک ترند نگران‌کننده دیگر هم، میزان دسترسی‌پذیری پلتفرم‌های راه‌اندازی حملات DDoS نظیر 0x-booter است. این سرویس، به ۱۶ هزار دیوایس اینترنت اشیا دسترسی دارد که همگی به بدافزار Bushido، یکی از ورژن‌های Mirai، آلوده شده‌اند و در اختیار مشتریان مختلف قرار می‌گیرند.

گزارش موسسه Imperva نشان می‌دهد که اکثر حملات DDoS در سال ۲۰۱۹ ابعادی نسبتا کوچک داشته‌اند. برای مثال حملات لایه شبکه عمدتا از ۵۰ میلیون پکت بر ثانیه فراتر نرفتند. اما Imperva می‌گوید چند حمله بسیار بزرگ هم در سال گذشته میلادی داشته‌ایم، از جمله یک حمله لایه شبکه که به پیک ۵۸۰ میلیون پکت بر ثانیه رسید و یک حمله لایه اپلیکیشن دیگر که ۱۳ روز کامل دوام آورد و ۲۹۲ هزار درخواست بر ثانیه می‌فرستاد.

ابزارهای حمله DDoS

به صورت معمول، مهاجمینی که تکنیک DDoS را به کار می‌گیرند از بات‌نت‌ها استفاده می‌کنند - شبکه‌ای از سیستم‌های آلوده به بدافزار که به شکلی مرکزی کنترل می‌شوند. این سیستم‌های آلوده، معمولا کامپیوتر و سرور هستند،‌ اما با گذشت زمان امکان استفاده از دیوایس‌های موبایل و دیوایس‌های اینترنت اشیا نیز مهیا شده. مهاجم با شناسایی سیستم‌های آسیب‌پذیر که می‌توانند از طریق حملات فیشینگ آلوده شوند و دیگر تکنیک‌های مشابه، کنترل این دیوایس‌ها را به دست می‌گیرند. از سوی دیگر، مهاجمین می‌توانند بات‌نت‌ها را از دیگر افراد نیز اجاره کنند.

malltina

مطالب مرتبط

مدیرعامل استارتاپ ضدکلاهبرداری NS8 به اتهام کلاهبرداری دستگیر شد

مدیرعامل یک استارتاپ ضدکلاهبرداری به اتهام جعل اسناد و کلاهبرداری چند میلیون دلاری توسط پلیس فدرال آمریکا دستگیر شد.«Adam Rogas»، مدیرعامل استارتاپ NS8 حدوداً سه ماه قبل ۱۲۳ میلیون دلار از سرمایه گذاران دریافت کرد و از این قرارداد بیش از ۱۷ میلیون دلار عایدش شد. حال او با اتهام فریب سرمایه گذاران روبرو شده... ادامه مطلب

هشدار اضطراری وزارت امنیت ملی آمریکا درباره یک باگ بحرانی در ویندوز

واحد مشاوره وزارت امنیت ملی آمریکا پس از کشف یک آسیب‌پذیری امنیتی مهم در نسخه سرور ویندوز، یک هشدار اضطراری برای ادارات دولتی صادر کرد.آژانس امنیت سایبری و زیرساخت یا CISA اخیرا در یک هشدار اضطراری به تمام ادارات و آژانس‌های فدرال اعلام کرده که آسیب‌پذیری «Zerologon» موجود در سرورهای ویندوزی را تا روز دوشنبه برطرف... ادامه مطلب

حمله باج افزاری به بیمارستانی در آلمان جان یک بیمار را گرفت

یک بیمار زن در طی حمله باج افزاری به بیمارستان دانشگاه «دوسلدورف» آلمان جان خود را از دست داد که احتمالا به اولین قربانی چنین حملاتی به بیمارستان‌ها تبدیل می‌شود.در پی این حمله، بیمارستان نتواست بیماران با وضعیت اضطراری را پذیرش کند و این بیمار راهی بیمارستان دیگری با فاصله ۳۲ کیلومتر شد. طبق گزارش... ادامه مطلب

حمله هکری علیه زنجیره تامین آمریکا توسط یک شرکت آنتی ویروس چینی

وزارت دادگستری آمریکا این هفته اعلام کرد که ۷ تبعه چینی برای مدت بیش از یک دهه بالغ بر ۱۰۰ شرکت های-تک یا حوزه گیمینگ را هدف حملات هکری قرار داده اند. دولت آمریکا ادعا این کند این مردان با کمک ایمیل حملات فیشینگ یکپارچه ای را علیه اهداف خود از جمله «زنجیره تامین» انجام... ادامه مطلب

توییتر امنیت پروفایل سیاستمداران را در آستانه انتخابات آمریکا ارتقا می‌دهد

توییتر از ارتقا امنیت پروفایل نامزدهای انتخاباتی و دیگر اشخاص سیاسی «بلند پایه» در آستانه انتخابات ریاست جمهوری آمریکا خبر داد.توییتر از این پس از کاربرانی که پسورد ضعیفی برای پروفایلشان انتخاب کرده‌اند، می‌خواهد تا گذرواژه قوی‌تری انتخاب کرده و آنها را به فعال کردن احراز هویت دو مرحله‌ای تشویق می‌کند.توییتر همچنین گزینه Password Reset Protect... ادامه مطلب

سورس کد تروجان بانکی Cerberus به صورت رایگان منتشر شد

سورس کد تروجان بانکی «سربروس» (Cerberus) پس از به فروش نرفتن در حراجی به شکل رایگان در فروم‌های هک منتشر شد.«Dmitry Galov»، محقق امنیت سایبری از شرکت کسپرسکی در کنفرانس Kaspersky NEXT 2020 گفت سورس کد تروجان سربروس که تحت نام Cerberus v2 منتشر شده است، حالا به طور جدی موبایل‌ها و بانک‌ها را تهدید... ادامه مطلب

نظرات ۰

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟