حمله DDoS یا چیست و چگونه کار می کند؟

حملات DDoS امروزه مهم ترین دغدغه امنیتی اینترنت است. در این مقاله ما جزئیات نحوه عملکرد حملات DDoS و نحوه توقف آنها را بررسی می کنیم.

صنعت فناوری اطلاعات اخیراً شاهد افزایش مداوم حملات DDoS بوده است. سالها پیش حملات DDoS به عنوان مزاحم جزئی توسط مهاجمان مبتدی که این کار را برای سرگرمی انجام می دادند تصور می شد و کاهش آنها نسبتاً آسان بود. متأسفانه آن وضعیت دیگر وجود ندارد و حملات DDoS در حال حاضر یک فعالیت پیچیده و در بسیاری از موارد تجارتی بزرگ است.

مجله InfoSecurity میزان 2.9 میلیون حمله DDoS در سه ماهه اول سال 2021 را گزارش کرده است که 31 درصد نسبت به مدت مشابه در سال 2020 افزایش یافته است.

در سال های اخیر ما شاهد افزایش تصاعدی حملات DDoS بوده ایم که مشاغل را برای مدت زمان قابل توجهی ناتوان کرده است.

روزانه صدها هزار حمله DDoS بدون نام، بدون سند و در عین حال موفق ادامه می یابد. در واقع این حملات هستند که موثرترین و پرهزینه ترین هستند. روند صعودی DDoS وعده تداوم می دهد و متخصصان فناوری اطلاعات با مهارتهای کاهش تقاضای زیادی دارد.

علیرغم رایج تر شدن این حملات DDoS آن ها می توانند بسیار پیشرفته و مبارزه با آنها دشوار باشد. اما حمله DDoS دقیقاً چیست و DDoS به چه معناست؟

DDoS مخفف short for distributed denial of service و به معنی عدم پذیرش سرویس توزیع شده می باشد. حمله DDoS زمانی اتفاق می افتد که یک بازیگر تهدید، از منابع چند مکان دور افتاده برای حمله به عملیات آنلاین یک سازمان استفاده می کند. معمولاً حملات DDoS بر ایجاد حملاتی تمرکز می کند که تجهیزات و سرویس های شبکه به عنوان مثال روترها، خدمات نامگذاری و یا خدمات ذخیره سازی را به طور پیش فرض و یا حتی عملکرد مناسب را دستکاری می کند. در واقع این مشکل اصلی است.

حملات پیچیده DDoS لزوماً نباید از تنظیمات پیش فرض یا باز کردن رله ها استفاده کنند. آنها از رفتارهای عادی سوء استفاده و از نحوه استفاده پروتکل هایی که در دستگاه های امروزی طراحی شده اند استفاده می کنند. همانطور که یک مهندس اجتماعی عملکرد پیش فرض ارتباطات انسانی را دستکاری می کند یک مهاجم DDoS عملکرد عادی سرویس های شبکه ای که همه ما به آن اعتماد داریم را دستکاری می کند.

هنگامی که حمله DDoS رخ می دهد سازمان مورد نظر در یک یا چند سرویس خود وقفه ای فلج کننده را تجربه می کند زیرا این حمله منابع آنها را با درخواست ها و ترافیک HTTP پر کرده و دسترسی کاربران قانونی را ممنوع کرده است. حملات DDoS در میان مهندسی اجتماعی، باج افزارها و حملات ساپلی چین به عنوان یکی از چهار تهدید اصلی امنیت سایبری زمان ما رتبه بندی شده است.

اشتباه گرفتن حملات DDoS با سایر تهدیدهای سایبری نسبتاً آسان است. در حقیقت دانش کافی در بین متخصصان فناوری اطلاعات و حتی متخصصان امنیت سایبری در مورد نحوه عملکرد حملات DDoS وجود دارد.

در حمله DDoS مجرمان سایبری از رفتار عادی که بین دستگاه ها و سرورهای شبکه رخ می دهد استفاده می کنند و اغلب دستگاه های شبکه ای که اتصال به اینترنت را ایجاد می کنند هدف قرار می دهند. بنابراین مهاجمان بیش از سرورهای جداگانه بر روی دستگاه های شبکه حاشیه به عنوان مثال روترها، سوئیچ ها تمرکز می کنند. حمله DDoS بر پهنای باند شبکه و یا دستگاه هایی که پهنای باند را ارائه می دهند غلبه می کند.

در اینجا یک قیاس مفید وجود دارد: تصور کنید چند نفر به طور همزمان با شما تماس می گیرند تا نتوانید تماس تلفنی برقرار کرده یا دریافت کنید یا از تلفن خود برای اهداف دیگر استفاده کنید. این مشکل ادامه می یابد تا زمانی که شما تماس ها را از طریق ارائه دهنده سرویس خود مسدود نکنید.

توجه داشته باشید که دستگاه موبایل واقعی خود را تعمیر، ارتقا یا اصلاح نمی کنید. در عوض با استفاده از مسدود کردن سرویس ارائه دهنده موبایل خود ارتباط بین مهاجمان و موبایل خود را برطرف می کنید.

اتفاق مشابهی در حین حمله DDoS رخ می دهد. به جای تغییر منبعی که مورد حمله قرار می گیرد از اصلاحاتی که در غیر این صورت به عنوان کاهش دهنده ها شناخته می شوند بین شبکه خود و عامل تهدید استفاده می کنید.

مهم است که از اشتباه گرفتن حمله DDoS (عدم توزیع ارائه خدمات) با حمله DoS (عدم پذیرش سرویس) جلوگیری شود. اگرچه فقط یک کلمه این دو را از هم جدا می کند اما این حملات ماهیت قابل توجهی دارند.

به طور دقیق یک حمله معمولی DDoS بسیاری از دستگاه های شبکه توزیع شده بین مهاجم و قربانی را دستکاری می کند تا حمله ای ناخواسته انجام دهد و از رفتار مشروع سوء استفاده کند.

یک حمله سنتی DoS از چندین دستگاه توزیع شده استفاده نمی کند و بر دستگاه های بین مهاجم و سازمان تمرکز نمی کند. این حملات همچنین تمایل به استفاده از چندین دستگاه اینترنت ندارند.

در حمله DDoS بازیگر تهدید کننده استراتژی مصرف منابع را اتخاذ می کند. این استراتژی شامل استفاده از درخواست های مشروع برای غلبه بر سیستم هایی است که در حقیقت مشروع نیستند و منجر به مشکلات سیستم می شود.

استراتژی حمله: انواع حملات DDoS

سه نوع کلی حملات DDoS وجود دارد.

1. لایه کاربردی

2. پروتکل

3. حجمی

در برخی موارد متخصصان فناوری اطلاعات و امنیت سایبری حملات DDoS مبتنی بر پروتکل و برنامه را یک دسته می دانند.

حملات DDoS به طور فزاینده ای مشکل ساز شده است و متخصصان فناوری اطلاعات باید آماده باشند.

به گفته CloudFlare حملات لایه 7 تا سال 2020 افزایش یافته و تا سال 2021 ادامه می یابد.

به گفته Comparitech تعداد حملات DDoS بیش از 100 گیگابایت بر ثانیه در حجم تقریباً ده برابر در سه ماهه اول سال 2020 افزایش یافته است.

اندازه وسیع حملات حجمی به ابعاد بزرگی افزایش یافته است. CloudFlare همچنین گزارش می دهد که حملات DDoS با سرعت 500 مگابایت بر ثانیه به عنوان یک هنجار برای حملات حجمی تبدیل شده است.

حملات DDoS در سال 2021 رایج تر می شوند. ZDNet گزارش داده است که حملات DDoS در دو سال گذشته حداقل 154 درصد رشد داشته است.

حملات پیچیده تر شده اند. مهاجمان DDoS را با انواع دیگر حملات از جمله باج افزار ترکیب کرده اند.

مهاجمان DDoS از هوش مصنوعی پیچیده (AI) و روش های یادگیری ماشینی برای کمک به حملات خود استفاده کرده اند. به عنوان مثال بات نت های DDoS از روش های یادگیری ماشینی برای انجام شناسایی پیچیده شبکه جهت یافتن آسیب پذیرترین سیستم ها استفاده می کنند. آنها همچنین از AI برای پیکربندی مجدد خود برای جلوگیری از تشخیص و تغییر استراتژی های حمله استفاده می کنند. حملات مدرن به احتمال زیاد زمانی ظاهر می شوند که مدافعان و مهاجمان سیستم های مجهز به هوش مصنوعی را در مقابل یکدیگر قرار می دهند.

مهاجمان DDoS استراتژی حمله ترکیبی را اتخاذ کرده اند. آنها روش های مختلف حمله را با مهندسی اجتماعی، سرقت اعتبار و حملات فیزیکی ترکیب کرده و حمله واقعی DDoS را تنها با یک عامل واحد در رویکرد چند وجهی انجام می دهد.

حملات DDoS حیله گر هستند بنابراین خنثی کردن آنها دشوار است. یکی از دلایلی که آنها بسیار لغزنده می باشند شامل مشکل در شناسایی منشا آن ها است. بازیگران تهدید کننده به طور کلی برای از بین بردن حمله DDoS در سه تاکتیک اصلی شرکت می کنند:

به طور پیش فرض IPv4 و IPv6 توانایی احراز هویت و ردیابی ترافیک را ندارند. به خصوص با شبکه های IPv4، جعل آدرس منبع و مقصد بسیار ساده است. مهاجمان DDoS با جعل بسته هایی که آدرس منبع جعلی دارند از این مسئله استفاده می کنند. در نتیجه ممکن است یک مهاجم با ارسال میلیون ها پاسخ به میزبان قربانی که در واقع در ابتدا درخواست نکرده است دستگاه های قانونی را فریب داده تا به این بسته ها پاسخ دهند.

مهاجمان معمولاً می خواهند هر گونه اثری از دخالت خود در حمله DDoS را پنهان کنند. برای انجام این کار آنها رفتار پیش فرض سرویس های اینترنتی را دستکاری می کنند تا سرویس ها به طور موثر مهاجم واقعی را پنهان کنند. سرویس هایی که اغلب در این نوع حملات استفاده می شوند شامل هزاران DNS (سیستمی که توسط آن نام ها و آدرس های دامنه اینترنتی پیگیری و تنظیم می شود)، پروتکل زمان شبکه (NTP) و مدیریت شبکه ساده (SNMP) می باشد. این یکی از دلایل اصلی جذب مهاجمان به استراتژی DDoS است. سرویس های اینترنتی نه تنها ترافیک را ارائه می دهند بلکه باعث می شوند که تشخیص مداخله منشاء حمله برای مدافعان دشوارتر شود زیرا اکثر سرورها گزارش دقیقی از سرویس هایی که از آنها استفاده کرده اند نگه نمی دارند.

تقویت یک تاکتیک است که به مهاجم DDoS اجازه می دهد حجم زیادی ترافیک با استفاده از یک منبع ضرب ایجاد کند که سپس می تواند به میزبان قربانی هدایت شود. حملات تقویت کننده از بات نت استفاده نمی کنند این فقط یک تاکتیک است که به مهاجم اجازه می دهد یک بسته جعلی ارسال کند که سپس یک سرویس مشروع را فریب داده تا صدها یا هزاران پاسخ را به شبکه یا سرور قربانی ارسال کند.

درک این نکته بسیار مهم است که حملات DDoS از عملیات معمولی اینترنت برای انجام شیطنت خود استفاده می کنند. این دستگاه ها لزوماً پیکربندی اشتباهی ندارند و آنها در واقع همانطور که باید رفتار کنند رفتار می کنند. مهاجمان به سادگی راهی برای سوء استفاده از این رفتار و دستکاری آن برای انجام حمله DDoS خود یافته اند.

علاوه بر این دستگاه ها و سرویس های شبکه اغلب به طور ناخواسته در حمله DDoS شریک می شوند. این سه تاکتیک از رفتار پیش فرض منابع شبکه در سراسر جهان استفاده می کند. این منابع عبارتند از:

حملات DDoS از نظر طول و پیچیدگی بسیار متفاوت است. حمله DDoS می تواند در مدت زمانی طولانی و یا بسیار مختصر رخ دهد:

حمله بلند مدت: حمله ای که در مدت زمان چند ساعت و یا چند روز انجام شود یک حمله طولانی مدت تلقی می شود. به عنوان مثال حمله DDoS به AWS باعث ایجاد اختلال در سه روز شد تا در نهایت کاهش یافت.

حملات Burst و یا انفجاری: این حملات DDoS در مدت زمان بسیار کوتاهی انجام می شوند و فقط یک دقیقه و یا حتی چند ثانیه طول می کشند.

فریب نخورید علیرغم سرعت بسیار زیاد، حملات انفجاری در واقع می تواند بسیار مضر باشد. با ظهور IoT و دستگاه های محاسباتی قدرتمند می توان ترافیک حجمی بیشتری نسبت به قبل ایجاد کرد. در نتیجه مهاجمان می توانند حجم بالاتری از ترافیک را در مدت زمان بسیار کوتاهی ایجاد کنند. حمله DDoS پشت سر هم اغلب برای مهاجم سودمند است زیرا ردیابی آن دشوارتر می باشد.