با حملات محروم‌سازی از سرویس (DoS) و انواع آن آشنا شوید

نام حملات محروم‌سازی از سرویس را احتمالا هم شنیده‌اید و هم در وب‌سایت‌های مختلف، از جمله همین دیجیاتوی خودمان تجربه‌اش کرده‌اید. این دست از حملات زمانی اتفاق می‌افتند که یک یا چند مهاجم می‌خواهند دسترسی به یک سرویس را غیر ممکن کنند. این کار می‌تواند با ممانعت از دسترسی به هرچیزی اتفاق بیفتد: سرورها، دیوایس‌ها، سرویس‌ها، شبکه‌ها، اپلیکیشن‌ها و حتی تراکنش‌هایی خاص درون اپلیکیشن‌ها.

هنگامی که تنها یک سیستم دیتا یا درخواست‌های بدخواهانه می‌فرستد به آن حمله DoS گفته می‌شود و هنگامی که حمله با چند سیستم صورت می‌گیرد، به آن DDoS می‌گویند.

به صورت معمول، این حملات با فرستادن انبوهی از درخواست‌ها صورت می‌گیرند که سیستم هدف را در خود غرق می‌کنند. برای مثال می‌توان آنقدر درخواست نمایش یک صفحه را به وب سرور فرستاد تا زیر فشار تقاضا کرش کند یا دیتابیس، مورد هجوم حجم عظیمی از جستارها قرار بگیرد. نتیجه نهایی اینکه پهنای باند اینترنت، پردازنده و ظرفیت رم بیش از اندازه تحت فشار قرار می‌گیرد.

تاثیر چنین حملاتی می‌تواند بسیار گسترده باشد، از اختلال جزیی در عملکرد سرویس گرفته تا حملات عظیم‌تر که وب‌سایت‌ها، اپلیکیشن‌ها و حتی کسب‌وکارها را به صورت کامل آفلاین می‌کنند.

انواع حملات DDoS

به صورت کل سه نوع حمله DDoS داریم:

۱. حملات مبتنی بر حجم که از مقادیر عظیمی از ترافیک دروغین برای تحت فشار قرار دادن یک وب‌سایت یا سرور استفاده می‌کنند. این حملات می‌توانند شامل ICMP و UDP باشند. ابعاد حملات مبتنی بر حجم براساس بیت بر ثانیه (bps) اندازه‌گیری می‌شود.

۲. حملات DDoS لایه شبکه که انبوهی از پکت‌ها را به زیرساخت‌های شبکه یا ابزارهای مدیریت زیرساخت می‌فرستند. این حملات مبتنی بر پروتکل شامل SYN و Smurf DDoS شده و ابعادشان براساس پکت بر ثانیه (pps) سنجیده می‌شود.

۳. حملات لایه اپلیکیشن که با ارسال انبوهی از درخواست‌های مختلف به اپلیکیشن انجام می‌شوند. این حملات نیز براساس تعداد درخواست بر ثانیه (rps) ابعادسنجی می‌شوند.

در هر کدام از این حملات، هدف نهایی همواره یکسان است: کند کردن منابع یک سرویس یا از کار انداختن کامل آن‌ها.

علائم حملات DDoS

حملات DDoS ممکن است شبیه به تمام اتفاقات غیر بدخواهانه‌ای باشد که دسترسی به یک سرویس یا وب‌سایت را قطع می‌کنند: اتفاقاتی نظیر داون شدن سرور یا سیستم، ارسال درخواست‌های حقیقی بیش از حد یا حتی کابلی که بریده شده. به صورت معمول باید ترافیک سیستم تحلیل شود تا دقیقا مشخص گردد که چه اتفاقی دارد می‌افتد.

تایم‌لاین حملات محرو‌م‌سازی از سرویس

بیایید به صحبت درباره یک حمله محروم‌سازی از سرویس بپردازیم که نگاه عموم مردم نسبت به این حملات را برای همیشه تغییر داد. در اوایل سال ۲۰۰۰ میلادی، یک دانش‌آموز دبیرستانی کانادایی به نام مایکل کالک (با لقب MafiaBoy)، یک حمله محروم‌سازی از سرویس ترتیب داد که توانست یکی از غول‌های حوزه تکنولوژی آن زمان، یعنی یاهو را با دردسر جدی مواجه کند. بعد از این، کالک به سراغ سایت‌های مهم دیگری نظیر آمازون، سی‌ان‌ان و eBay رفت و در عملکرد آن‌ها نیز با موفقیت اختلال ایجاد کرد.

مشخصا این نخستین حمله DDoS در جهان نبود، اما زنجیره حملات کالک به قدری عمومی و موفقیت‌آمیز بودند که حملات محروم‌سازی از سرویس دیگر مثل سردردی کوچک در حوزه تکنولوژی به نظر نرسیده و همچون تهدیدی جدی برای کسب‌وکارهای بزرگ جلوه می‌کردند.

از آن زمان، حملات DDoS به شکلی مداوم اتفاق می‌افتند و دلایل پشت‌شان هم می‌تواند هرچیزی باشد. از انتقام‌جویی گرفته تا اکتیویسیم آنلاین و حتی آغاز نبردهای سایبری.

ابعاد این حملات نیز به مرور زمان بیشتر شده است. در اواسط دهه ۱۹۹۰ میلادی، یک حمله DDoS ممکن بود شامل ۱۵۰ درخواست بر ثانیه باشد و همین برای از پای درآوردن اکثر سیستم‌های رایج کفایت می‌کرد. امروز حجم این حملات می‌تواند به ۱۰۰۰ گیگابیت بر ثانیه برسد و اصلی‌ترین دلیل این وسعت، ابعاد خالص بات‌نت‌های مدرن است.

در ماه اکتبر سال ۲۰۱۶ میلادی، یک شرکت تامین‌کننده خدمت زیرساخت اینترنتی به نام Dyn DNS (که امروز تحت عنوان Oracle DYN شناخته می‌شود) مورد هجوم موجی از جستارهای DNS از سوی ده‌ها میلیون آی‌پی آدرس قرار گرفت. این حمله که از طریق بات‌نت Mirai انجام می‌شد،‌ بنابر گزارش‌ها بیش از ۱۰۰ هزار دیوایس اینترنت اشیا را آلوده کرد که دوربین‌های آی‌پی و پرینترها را هم شامل می‌شد. در دوران پیک‌اش، Mirai توانست به ۴۰۰ هزار بات مختلف دسترسی یابد. به این ترتیب سرویس‌هایی نظیر آمازون، نت‌فلیکس، ردیت، اسپاتیفای، تامبلر و توییتر همگی با اختلال در عملکرد روبه‌رو شدند.

اوایل سال ۲۰۱۸ میلادی بود که تکنیک جدیدی برای حملات DDoS ظهور کرد. در روز ۲۸ فوریه آن سال، سرویس گیت‌هاب با یک حمله محروم‌سازی از سرویس بسیار غول‌آسا مواجه شد که در هر ثانیه، ترافیکی معادل ۱.۳۵ ترابایت را روانه این سایت محبوب می‌کرد. اگرچه گیت‌هاب برای مدتی کوتاه آفلاین شد و توانست در کمتر از ۲۰ دقیقه به روال عادی برگردد، اما ابعاد کاری که انجام شده بود کاملا نگران‌کننده بود و حتی از حمله Dyn هم پیشی می‌گرفت که در بدترین حالتش به ۱.۲ ترابایت بر ثانیه رسیده بود.

یکی از تحلیلگران حوزه امنیت که حمله را از نزدیک رصد کرد گفت به چند طریق، این حمله از دیگر حملات آسان‌تر بوده است. درحالی که حمله Dyn محصول بات‌نت Mirai بود و نیازمند آلوده کردن صدها هزار دیوایس اینترنت اشیا، حمله گیت‌هاب با سوء استفاده از سرورهایی صورت گرفت از که سیستم کش کردن حافظه Memcached بهره می‌بردند. این سیستم می‌تواند حجم عظیمی از دیتا را در پاسخ به درخواست‌هایی ساده بازگرداند.

Memcached قرار است صرفا در سرورهای محافظت‌ ‌شده‌ای به کار گرفته شود که در شبکه‌های داخلی مشغول به کار هستند و عمدتا امکان محافظت از آن در برابر حملات بدخواهانه‌ای که آی‌پی آدرس‌ها را اسپوف کرده و حجم عظیمی از دیتا را روانه سیستم قربانیان می‌کنند وجود ندارد. متاسفانه در حال حاضر هزاران سرور Memcached در دنیای آزاد اینترنت مشغول به کار هستند و دقیقا به همین خاطر، میزان کاربردشان در حملات DDoS نیز به شکل چشمگیری افزایش یافته. حتی نمی‌توان گفت که این سرورها به «سرقت» می‌روند، چرا که بدون پرسیدن حتی یک سوال، پکت‌ها را به هرجایی که شخص متخاصم بخواهد می‌فرستند.

تنها چند روز بعد از حمله گیت‌هاب، یک حمله محرو‌م‌سازی از سرویس دیگر با استفاده از Memcached، یکی از سرویس‌دهندگان مخابراتی ایالات متحده را با نرخ ارسال دیتای ۱.۷ ترابایت بر ثانیه فلج کرد.

بات‌نت Mirai از آن جهت اهمیت داشت که برخلاف اکثر حملات DDoS رایج، به جای اتکا بر پی‌سی‌ها و سرور‌ها، از دیوایس‌های اینترنت اشیا بهره می‌گرفت و اوضاع زمانی ترسناک‌تر می‌شود که بدانیم بنابر پیش‌بینی‌ها، تا پایان سال ۲۰۲۰ میلادی بالغ بر ۳۴ میلیارد دستگاه متصل به اینترنت در جهان خواهیم داشت که اکثریت آن‌ها (یعنی ۲۴ میلیارد دستگاه) اینترنت اشیا خواهند بود.

و متاسفانه Mirai آخرین بات‌نت مبتنی بر اینترنت اشیا نخواهد بود. پژوهشی که از سوی چندین تیم امنیتی در شرکت‌های کلادفلیر، فلش‌پوینت، گوگل و چند کمپانی دیگر صورت گرفته نشان می‌دهد یک بات‌نت دیگر به نام WireX نیز داریم که ابعادی مشابه داشته و از ۱۰۰ هزار دیوایس اندرویدی در ۱۰۰ کشور جهان تشکیل شده.

در روز ۲۱ ژوئن ۲۰۲۰، شرکت Akamai خبر از شناسایی یک حمله DDoS به یک بانک بزرگ اروپایی داد که شامل ۸۰۹ میلیون پکت بر ثانیه می‌شد، این یعنی بیشترین حجم پکت در تاریخ. این حمله طراحی شده بود تا با ارسال میلیاردها پکت کوچک، تجهیزات و اپلیکیشن‌های شبکه را در دیتاسنتر مقصد تحت فشار قرار دهد.

محققین Akamai گفتند این حمله از آن جهت منحصر به فرد بود که انبوهی از آ‌ی‌پی آدرس‌ها را به کار می‌گرفت. آن‌ها گفتند که آی‌پی‌هایی که ترافیک ایجاد می‌کردند، به شکل تصاعدی افزایش می‌یافتند. به عبارت واضح‌تر، در هر دقیقه تعداد آی‌پی‌ها ۶۰۰ برابر می‌شد.

حملات DDoS امروزی

اگرچه تعداد حملات DDoS به مرور زمان کمتر شده، اما همچنان تهدیدی بزرگ به حساب می‌آید. کسپرسکای لبز در یکی از آخرین گزارش‌های خود گفت که میزان حملات محروم‌سازی از سرویس در سه‌ماهه دوم ۲۰۱۹، افزایشی ۳۲ درصدی نسبت به سه‌ماهه سوم سال ۲۰۱۸ داشته و دلیل اصلی این موضوع، افزایش چشمگیر حملات در ماه سپتامبر بوده است.

این شرکت اضافه می‌کردند که بات‌نت‌های Torii و DemonBot که اخیرا کشف شده‌اند نیز قادر به حملاتی در ابعاد وسیع بوده و حسابی نگران‌کننده ظاهر می‌شوند. ‌Torii به عنوان مثال می‌تواند گستره وسیعی از دیوایس‌های اینترنت اشیا را آلوده کند و حتی از Mirai هم خطرناک‌تر به حساب می‌آید.

یک ترند نگران‌کننده دیگر هم، میزان دسترسی‌پذیری پلتفرم‌های راه‌اندازی حملات DDoS نظیر 0x-booter است. این سرویس، به ۱۶ هزار دیوایس اینترنت اشیا دسترسی دارد که همگی به بدافزار Bushido، یکی از ورژن‌های Mirai، آلوده شده‌اند و در اختیار مشتریان مختلف قرار می‌گیرند.

گزارش موسسه Imperva نشان می‌دهد که اکثر حملات DDoS در سال ۲۰۱۹ ابعادی نسبتا کوچک داشته‌اند. برای مثال حملات لایه شبکه عمدتا از ۵۰ میلیون پکت بر ثانیه فراتر نرفتند. اما Imperva می‌گوید چند حمله بسیار بزرگ هم در سال گذشته میلادی داشته‌ایم، از جمله یک حمله لایه شبکه که به پیک ۵۸۰ میلیون پکت بر ثانیه رسید و یک حمله لایه اپلیکیشن دیگر که ۱۳ روز کامل دوام آورد و ۲۹۲ هزار درخواست بر ثانیه می‌فرستاد.

ابزارهای حمله DDoS

به صورت معمول، مهاجمینی که تکنیک DDoS را به کار می‌گیرند از بات‌نت‌ها استفاده می‌کنند - شبکه‌ای از سیستم‌های آلوده به بدافزار که به شکلی مرکزی کنترل می‌شوند. این سیستم‌های آلوده، معمولا کامپیوتر و سرور هستند،‌ اما با گذشت زمان امکان استفاده از دیوایس‌های موبایل و دیوایس‌های اینترنت اشیا نیز مهیا شده. مهاجم با شناسایی سیستم‌های آسیب‌پذیر که می‌توانند از طریق حملات فیشینگ آلوده شوند و دیگر تکنیک‌های مشابه، کنترل این دیوایس‌ها را به دست می‌گیرند. از سوی دیگر، مهاجمین می‌توانند بات‌نت‌ها را از دیگر افراد نیز اجاره کنند.