حملات DOS وDDOS مقابله با آن

حملات DOS وDDOS مقابله با آن

حملات DOS وDDOS مقابله با آن

 حمله منع سرویس (به انگلیسی: Denial of Service attack) (یا به اختصار DoS) در علم رایانه حمله منع سرویس یا حمله منع سرویس توزیع شده، تلاش برای خارج کردن ماشین و منابع شبکه از دسترس کاربران مجازش می‌باشد؛ در واقع هر حمله‌ای علیه دسترس پذیری به عنوان حمله منع سرویس تلقی می‌شود. اگرچه منظور از حمله DOS و انگیزه انجام آن ممکن است متفاوت باشد، اما به‌طور کلی شامل تلاش برای قطع موقت یا دائمی یا تعلیق خدمات یک میزبان متصل به اینترنت است. اهداف حمله DOS معمولاً سایت‌ها یا خدمات میزبانی وب سرور با ویژگی‌های مناسب مانند بانک ها، کارت‌های اعتباری و حتی سرورهای ریشه را هدف قرار می دهند. یکی از روش‌های معمول حمله شامل اشباع ماشین هدف با درخواست‌های ارتباط خارجی است به‌طوری‌که ماشین هدف، نمی‌تواند به ترافیک قانونی پاسخ دهد یا پاسخ‌ها با سرعت کم داده می‌شوند یا در دسترس نمی‌باشند. چنین حملاتی منجر به سربار زیاد سرور می‌شوند. حمله DOS کامپیوتر هدف را وادار به ریست شدن یا مصرف منابع اش می‌کند، بنابراین نمی‌تواند به سرویس‌های مورد نظرش سرویس بدهد و همچنین سیاست‌های مورد قبول فراهم کنندگان سرویس‌های اینترنتی را نقض می‌کنند.

شايد تاکنون شنيده باشيد که يک وب سايت مورد تهاجمی از نوع DoS قرار گرفته است . اين نوع از حملات صرفا" متوجه وب سايت ها نبوده و ممکن است شما قربانی بعدی باشيد. تشخيص حملات DoS از طريق عمليات متداول شبکه امری مشکل است ولی با مشاهده برخی علائم در يک شبکه و يا کامپيوتر می توان از ميزان پيشرفت اين نوع از حملات آگاهی يافت .

حملات از نوع ( DoS ( denial-of-service 

به حملاتی گفته می شود که نفوذگر با ارسال درخواست های بسیار به یک سرور یا کامپیوتر، بخش عمده منابع آن مانند CPU ،Database، پهنای باند و … را درگیر می کند؛ در این حالت، سرور به دلیل حجم بالای پردازش، دچار وقفه، اختلال و یا حتی Down شده و از دسترس خارج می شود.

حملات DOS ، طیف گسترده ای از منابع و سایت های مختلف از جمله سرورهای بانک ها، سایت های خبری و … را هدف قرار داده اند. این حملات ، باعث ایجاد یک چالش بزرگ برای مدیران و کاربران این سیستم ها شده است.

حمله‌ی DoS یا Denial of Service (محروم‌سازی از سرویس) به نوعی از حملات اطلاق می‌شود که در آن تعداد زیادی درخواست به سرور قربانی ارسال شده و باعث مصرف زیاد از منابع سخت‌افزار (حافظه، پردازنده، پهنای باند، پایگاه داده و…) می‌شود و در نهایت به دلیل حجم بالای پردازش‌ها، عملیات سرور با Overload مواجه شده و سرویس از دسترس خارج (Down) می‌شود.

اگر این حملات با استفاده از چندین رایانه و به صورت هماهنگ انجام شود، در اصطلاح به آن DDoS یا Distributed Denial Of Service (محروم‌سازی از سرویس توزیع شده) می‌گویند، در این حالت به سرویسی که زیر بار حمله قرار دارد Primary Target و به سایر سیستم‌هایی که برای انجام حملات هماهنگ استفاده می‌شوند Secondary Target گفته می‌شود.

در يک تهاجم از نوع DoS ، يک مهاجم باعث ممانعت دستيابی کاربران تائيد شده به اطلاعات و يا سرويس های خاصی می نمايد . يک مهاجم با هدف قرار دادن کامپيوتر شما و اتصال شبکه ای آن و يا کامپيوترها و شبکه ای از سايت هائی که شما قصد استفاده از آنان را داريد ، باعث سلب دستيابی شما به سايت های Email ، وب سايت ها ، account های online  و ساير سرويس های ارائه شده بر روی کامپيوترهای سرويس دهنده می گردد . 

متداولترين و مشهودترين نوع حملات DoS ، زمانی محقق می گردد که يک مهاجم اقدام به ايجاد يک سيلاب اطلاعاتی در يک شبکه نمايد . زمانی که شما آدرس URL يک وب سايت خاص را از طريق مرورگر خود تايپ می نمائيد ، درخواست شما برای سرويس دهنده ارسال می گردد . سرويس دهنده در هر لحظه قادر به پاسخگوئی به حجم محدودی از درخواست ها می باشد، بنابراين اگر يک مهاجم با ارسال درخواست های متعدد و سيلاب گونه باعث افزايش حجم عمليات سرويس دهند گردد ، قطعا" امکان پردازش درخواست شما برای سرويس دهنده وجود نخواهد داشت. حملات فوق از نوع DoS می باشند، چراکه امکان دستيابی شما به سايـت مورد نظر سلب شده است . 

يک مهاجم می تواند با ارسال پيام های الکترونيکی ناخواسته که از آنان با نام Spam ياد می شود ، حملات مشابهی را متوجه سرويس دهنده پست الکترونيکی نمايد . هر account پست الکترونيکی ( صرفنظر از منبعی که آن را در اختيار شما قرار می دهد ، نظير سازمان مربوطه و يا سرويس های رايگانی نظير ياهو و hotmail ) دارای ظرفيت محدودی می باشند. پس از تکميل ظرفيت فوق ، عملا" امکان ارسال Email ديگری به account فوق وجود نخواهد داشت . مهاجمان با ارسال نامه های الکترونيکی ناخواسته سعی می نمايند که ظرفيت account مورد نظر را تکميل و عملا" امکان دريافت email های معتبر را از account فوق سلب نمايند .

S یا denial-of-service و DDOS یا distributed denial-of-service به حملاتی گفته میشود که نفوذگر با ارسال درخواست های بسیار به یک سرور یا کامپیوتر، باعث استفاده بیش از حد از منابع آن مانند پردازنده سرور، بانک اطلاعاتی، پهنای باند و … میشود به صورتی که سرور مجازی یا اختصاصی میزبان سایت دچار کندی شده که به دلیل حجم بالای پردازش سیستم دچار وقفه و اختلال و یا حتی قطعی کامل و از دسترس خارج شود.

این حملات طیف گسترده ای از منابع و سایت های مختلف را هدف قرار داده اند از سرورهای بانک ها تا سایت های خبری و … این حملات باعث ایجاد یک چالش بزرگ برای مدیران و کاربران این سیستم ها شده است.

حملات از نوع ( DDoS (distributed denial-of-service 

نوع دیگری از حملات DOS است .  با این تفاوت که در حملات DOS، هکر از یک سیستم به صورت مستقیم، برنامه خود را اجرا و درخواست ها را ارسال می کند ؛ اما در حملات DDOS، هکر برای اجرای برنامه خود ، از چندین سیستم مختلف و یا کامپیوترهای موجود در شبکه استفاده می نماید. هدف از هر دو حمله، قطع دسترسی کاربران معتبر به سرویس هاستینگ و سرور مورد حمله می باشد.

روزانه انجام بیش از ۲۰۰۰ حمله DDOS در سرتاسر جهان توسط شبکه Arbor گزارش شده است. طبق گزارش های ارائه شده در سطح جهانی، حدود یک سوم حوادثی که باعث از کارافتادگی و Down شدن سرورها می شود، مربوط به حملات DDOS می باشد.

در يک تهاجم از نوع DDoS ، يک مهاجم ممکن است از کامپيوتر شما برای تهاجم بر عليه کامپيوتر ديگری استفاده نمايد . مهاجمان با استفاده از نقاط آسيب پذير و يا ضعف امنتيی موجود بر روی سيستم شما می توانند کنترل کامپيوتر شما را بدست گرفته و در ادامه از آن به منظور انجام عمليات مخرب خود استفاده  نمايند. ارسال حجم بسيار بالائی داده از طريق کامپيوتر شما برای يک وب سايت و يا ارسال نامه های الکترونيکی ناخواسته برای آدرس های Email خاصی ، نمونه هائی از همکاری کامپيوتر شما در بروز يک تهاجم DDOS  می باشد . حملات فوق ، "توزيع شده " می باشند ، چراکه مهاجم از چندين کامپيوتر به منظور اجرای يک تهاجم DoS استفاده می نمايد .

حمله DOS به آژانس جرایم ملی بریتانیا

آژانس جرایم ملی بریتانیا اعلام کرده که وب سایتش مورد حمله هکرهای رایانه ای قرار گرفته است. این نهاد که به جرایم سایبری سازمان یافته رسیدگی می کند، می گوید: هیچ اطلاعاتی از این طریق به سرقت نرفته است. هکرها قصد داشتند با خارج کردن سایت این آژانس از دسترس ، به سرور آن نفوذ نمایند، اما موفق نشدند. این اقدام چند روز پس از آن رخ داده که شش نوجوان 15 تا 18 ساله به جرم حملات سایبری با استفاده از ابزاری موسوم به Lizard Stresser ، دستگیر شدند؛ این ابزار توسط یک گروه هکری به نام Lizard Squad طراحی شده است. حساب توییتر هکرهای Lizard Squad، بعد از این حمله خبری مبنی بر آفلاین شدن سایت آژانس جرایم ملی بریتانیا منتشر کرد و همین مساله ، احتمال دخالت این گروه در حمله یاد شده را تقویت می کند. این گروه، پیش از این هم شبکه بازی آنلاین پلی استیشن سونی و خدمات بازی کنسول ایکس باکس را هک کرده بود.

حمله به سایت آژانس جرایم ملی بریتانیا از نوع (DOS-Denial of Service) بوده و تحقیقات در مورد منشا دقیق آن ادامه دارد.

نحوه پيشگيری از حملات 

متاسفانه روش موثری به منظور پيشگيری در مقابل يک تهاجم DoS و يا DDoS  وجود ندارد . عليرغم موضوع فوق ، می توان با رعايت برخی نکات و انجام عمليات پيشگيری ، احتمال بروز چنين حملاتی ( استفاده از کامپيوتر شما برای تهاجم بر عليه ساير کامپيوتر ها )  را کاهش داد .

نصب و نگهداری نرم افزار آنتی ويروس 

نصب و پيکربندی يک فايروال  

تبعيت از مجموعه سياست های خاصی در خصوص توزيع و ارائه آدرس Email 

چگونه از وقوع حملات  DoS و يا DDoS  آگاه شويم ؟ 

خرابی و يا بروز اشکال در يک سرويس شبکه ، همواره بدليل بروز يک تهاجم DoS نمی باشد . در اين رابطه ممکن است دلايل متعددی فنی وجود داشته و يا مدير شبکه به منظور انجام عمليات نگهداری موقتا" برخی سرويس ها را غير فعال کرده باشد . وجود و يا مشاهده علائم  زير می تواند نشاندهنده بروز يک تهاجم از نوع DoS و يا DDoS باشد :

1.کاهش سرعت و يا کارآئی شبکه بطرز غير معمول ( در زمان باز نمودن فايل ها و يا دستيابی به وب سايت ها ) .

2.عدم در دسترس بودن يک سايـت خاص (بدون وجود دلايل فنی )

3.عدم امکان دستيابی به هر سايتی  (بدون وجود دلايل فنی )

4.افزايش محسوس حجم نامه های الکترونيکی ناخواسته  دريافتی

هر چند نشانه‌های بالا همیشه به معنای حملات DDoS نبوده و می‌تواند ناشی از افزایش طبیعی ترافیک در شبکه باشد، اما بهتر است با مشاهده‌ی چنین علائمی لاگ‌های شبکه را مورد بررسی قرار دهید تا در صورت لزوم مانع گسترش این حملات شوید.

در صورت بروز يک تهاجم ، چه عملياتی را می بايست انجام داد ؟

حتی در صورتی که شما قادر به شناسائی حملات از نوع DoS و يا DDoS باشيد ، امکان شناسائی مقصد و يا منبع واقعی تهاجم ، وجود نخواهد داشت . در اين رابطه لازم است با کارشناسان فنی ماهر ، تماس گرفته تا آنان موضوع را بررسی و برای آن راهکار مناسب را ارائه نمايند .

در صورتی که برای شما مسلم شده است که نمی توانيد به برخی از فايل ها ی خود و يا هر وب سايتی خارج از شبکه خود دستيابی داشته باشيد ، بلافاصله با مديران شبکه تماس گرفته و موضوع را به اطلاع آنان برسانيد . وضعيت فوق می تواند نشاندهنده بروز يک تهاجم بر عليه کامپيوتر و يا سازمان شما باشد .

در صورتی که وضعيت مشابه آنچه اشاره گرديد را در خصوص کامپيوترهای موجود در منازل مشاهده می نمائيد با مرکز ارائه دهنده خدمات اينترنت ( ISP ) تماس گرفته و موضوع را به اطلاع آنان برسانيد . ISP مورد نظر می تواند توصيه های لازم به منظور انجام عمليات مناسب را در اختيار شما قرار دهد .

تفاوت DoS و DDoS در چیست؟

 اگر این حملات توسط یک سیستم انجام شود DoS و اگر به صورت هماهنگ و از طریق چندین سیستم انجام گیرد DDoS نامیده می‌شود، به کارگیری حملات DDoS این امکان را به مهاجم می‌دهد تا بتواند حمله‌ی خود را به مراتب مخرب‌تر و در ابعاد بزرگتری انجام دهد چرا که وجود چندین سیستم باعث می‌شود تا شناسایی و ردیابی مهاجم اصلی بسیار مشکل و تا حدودی غیر ممکن شود.

اما در نقطه‌ی مقابل، حملات DoS تا حدودی ساده‌تر می‌باشند، به صورتی که شما حتی با استفاده از کامپیوتر شخصی خودتان می‌توانید این حملات را به صورت محدود بر روی وبسایت (سرور) مورد نظرتان انجام دهید!

حمله‌ی داس تنها از طریق یک کامپیوتر و حمله‌ی دی‌داس از طریق چندین رایانه کنترل می‌شود، به همین دلیل است که حملات داس معمولا تهدید چندانی برای سرور محسوب نمی‌شوند (در صورتی که مبدا حمله رایانه‌ی قدرتمندی نباشد) اما حملات دی‌داس می‌توانند به راحتی باعث از پا در آمدن سرور یک وبسایت شوند.

تکنیک‌های حملات DoS چیست؟

1.حملات نظیر به نظیر

2.حمله بر مبنای پهنای باند

3.حملات سیل‌آسای درخواست سرویس

4.حملات بر مبنای جریانی از SYN

5.حملات بر مبنای جریانی از ICMP

6.حملات بر مبنای جریانی از اپلیکیشن‎ها

7.حملات DoS دائمی و DDoS

روش جلوگیری از حملات DDOS :

– برای جلوگیری از چنین حملاتی ابتدا لازم است از سیستم عامل های آپدیت شده و به روز استفاده شود.

– استفاده از برنامه فایروال قوی در سیستم ها و سرورها میتواند برای جلوگیری از چنین حملاتی مفید باشد. با استفاده از فایروال آی پی هایی که تقاضای زیادی به سرور ارسال کرده اند بلاک میشوند.

– نصب ابزارهای امنیتی و بروزرسانی آنها باعث کاهش آسیب پذیری سرور میشوند.

– چنانچه مدیر سرور از مصرف معمول منابع سرور آگاه باشد سریعا میتواند پی به وجود چنین حملاتی ببرد و آنها را برطرف نماید، همچنین در وب رمز تمامی سرورها از سیستم مانیتورینگ بهره می برند، در چنین شرایطی قبل از کاربران مدیران سرور در وب رمز متوجه چنین حملاتی خواهند شد و به طبع آن اقدامات لازم در جهت رفع مشکل اتخاذ می گردد.

– چنانچه کاربران مشکوک به انجام چنین حملاتی یا حملات مشابه شدند بهترین کار این است که این مورد را به مدیر سرور خود اطلاع دهند..!

پاسخ دفاعی در برابر حملات منع سرویس شامل استفاده از ترکیبی از روش‌های تشخیص حمله،  طبقه‌بندی ترافیک و ابزارهای پاسخ است که هدف آن‌ها بلوکه کردن ترافیک‌های غیرمجاز و اجازه برقراری ترافیک‌های مجاز می‌باشد.

به‌طور کلی هیچ راه تضمین‌کننده‌ای برای جلوگیری از این حمله وجود ندارد و تنها راه‌هایی برای جلوگیری از برخی روش‌های متداول و کم کردن اثرات سایر روش‌ها موجوداست، چرا که بسیاری از روش‌ها به هیچ‌عنوان قابل پیشگیری نیست، به عنوان مثال اگر شبکه botnet با صدهزار zombie صفحه‌ای از سایت را باز کنند، این درخواست یک درخواست عادی بوده و نمی‌توان تشخیص داد که درخواست دهنده سیستم معمولی است یا zombie و به همین جهت نمی‌توان جلوی آن‌را گرفت.

استفاده از سیستم‌های تشخیص دهنده (IPS) سیستم‌های تشخیص براساس سرعت بسته‌ها (RBIPS) و این‌گونه سیستم‌ها نیز روش مناسبی برای جلوگیری از این حملات است.

بسته‌های نرم‌افزاری نیز موجودند که شامل تمام این سیستم‌ها هستند، استفاده از این بسته‌ها علاوه بر حملات DoS بسیاری دیگر از حملات را شناسایی می‌کنند، بسته نرم‌افزاری SSP (Sun Security Package) از جمله این بسته‌ها است که کار شناسایی و جلوگیری را به صورت خودکار انجام می‌دهد.


دیوار آتش

دیوار آتش می‌تواند به این صورت راه اندازی شودکه شامل قوانین ساده برای اجازه یا رد کردن پروتکل ها، پورت‌ها یا آی پی آدرس‌ها باشد. در مورد حملات ساده‌ای که از آدرس‌های با آی پی غیرمعمول می آیند می‌توان با قرار دادن قانون ساده‌ای که ترافیک‌های ورودی از چنین مهاجمانی را حذف کند. برخی حملات با چنین قوانین ساده‌ای قابل بلوکه شدن نیستند، اگر یک حمله روی پورت 80(وب سرویس)در حال انجام باشد غیرممکن است که همه ترافیک‌های ورودی روی چنین پورتی را حذف کرد، زیرا این کار، سرورها را از ارائه ترافیک قانونی منع می‌کند.

سوئیچ‌ها

برخی سوئیچ‌ها دارای عوامل محدودکننده نرخ و قابلیت لیستهای کنترل دسترسی هستند. برخی سوئیچ‌ها از فیلترینگ برای تشخیص و از بین بردن حملات DOS از طریق فیلتر کردن خودکار نرخ استفاده می‌کنند.

روترها

مشابه سوئیچ ها، روترها هم قابلیت ACL و کنترل نرخ را دارند.بیشتر روترها می‌توانند در برابر حملات DOS قرار بگیرند. سیستم عامل‌های سیسکو دارای ویژگی ای هستند که از حملات سیل آسا پیشگیری می‌کند.

سیستم پیشگیری از نفوذ

سیستم پیشگیری از نفوذ زمانی مؤثر است که حملات دارای امضا باشند.سیستم پیشگیری از نفوذ که روی شناخت محتوا کار می‌کند نمی‌تواند حملات DOSمبتنی بر رفتار را بلوکه کند.IPS مبتنی بر ASCI می‌تواند حملات منع سرویس را تشخیص و بلوکه کند، زیرا دارای توان پردازشی و تجزیه و تحلیل حملات است. IPS مبتنی بر نرخ(RBIPPS)باید الگوی ترافیک را به صورت تک تک و بطور پیوسته مانیتور کند . آنومالی ترافیک را در صورت وجود تعیین کند.

سیاه چاله و گودال

به مدیر اجازه می‌دهد که ترافیک حمله را به یک آدرس آی پی (اینترفیس خالی یا سرور غیرموجود)، هدایت کند تا آن را حذف نماید. وقتی حمله‌ای تشخیص داده می‌شود، یک مسیر ثابت ایجاد می‌شود تا ترافیک حمله را به جای ماشین قربانی به سمت یک سیاه چاله، هدایت کنند. در حالت گودال ، ترافیک حمله به یک آدرس آی پی ارسال می‌شود تا برای بررسی بیشتر ثبت شود. مزیت آن این است که ترافیک حمله می‌تواند جمع‌آوری و آنالیز شود تا الگوی حمله مورد مطالعه و بررسی قرارگیرد.

Backscatter

در امنیت شبکه‌های کامپیوتری، برگشت پراکنده مشکل و عارضه جانبی حمله منع سرویس جعلی است. در این نوع حمله، مهاجم آدرس آی پی مبدأ بسته را جعل می‌کند و به قربانی ارسال می‌کند، در کل ماشین قربانی قادر به تشخیص بسته‌های جعلی و مجاز نیست، بنابراین قربانی به بسته‌های جعلی پاسخ می‌دهد،این بسته‌های پاسخ به عنوان برگشت پراکنده تلقی می‌شوند.اگر مهاجم آی پی آدرس‌های مبدأ را به صورت تصادفی جعل کند، بسته‌های پاسخ برگشت پراکنده از قربانی به مقصدهای تصادفی ارسال می‌شوند.