فضای آنلاین در دوران اخیر کل زندگی ما را تحت الشعاع قرار دادهاست و تقریبا تمام امور روزمره ما از طریق بستر اینترنت انجام میشود. یکی از مزایایی که این تغییر دارد، افزایش سرعت انجام کارهای روزمره برای مردم است. دیگر نیازی نیست برای خرید مایحتاج خود مسافتهای طولانی را طی کنید و به فروشگاه مورد نظر خود بروید، با اتصال به اینترنت میتوانید هر آنچه نیاز دارید به صورت آنلاین خرید کنید. اما در کنار جنبه مثبتی که پیشرفت تکنولوژی دارد، مشکلات و مسائلی نیز همیشه همراه آن بودهاست. یکی از مشکلاتی که همیشه در فضای مجازی وجود دارد، حملات سایبری است که به کاربر و همچنین صاحب سایت آسیب وارد میکند. از جملهی این حملات میتوان به حملههای DoS و DDoS اشاره کرد. در ادامه به طور کامل در مورد این حملات توضیح داده میشود.
[tie_index]حمله DoS[/tie_index]
حمله DoS
حمله انکار سرویس (DoS-Denial of Service) نوعی حمله سایبری است که در آن هدف مهاجم ایجاد اختلال در عملکرد عادی دستگاه، رایانه یا دستگاه دیگر در دسترس کاربران، است. حملات DoS معمولاً سیلی از درخواستها را به سمت دستگاه هدف ارسال میکنند تا زمانیکه آن دستگاه امکان پردازش درخواستهای نرمال را نداشته باشد، در نتیجه باعث ناتوانی سایت در برابر پاسخ به کاربران دیگر میشود.
حمله DoS چگونه کار میکند
تمرکز اولیه یک حمله DoS، اشباع بیش از حد ظرفیت یک ماشین هدفمند است که منجر به انکار سرویس به درخواستهای اضافی میشود.
حملات DoS معمولاً به 2 دسته تقسیم میشوند:
-
حملات سرریز بافر(buffer overflow)
این نوع حمله کاری میکند که دستگاه تمام فضای موجود در هارد دیسک، حافظه یا زمان CPU را مصرف کند. این شکل از سوء استفاده اغلب منجر به رفتار کند، خرابی سیستم یا سایر رفتارهای مخرب سرور میشود که در نهایت باعث انکار سرویس میشود.
-
حملات سیلآسا (flood attacks)
در این نوع حمله، مهاجم تعداد زیادی بسته به سمت هدف خود ارسال میکند تا ظرفیت سرور را بیش از حد اشباع کند. در نتیجه این کار، انکار سرویس ایجاد میشود و سرور توانایی پاسخدهی ندارد. نکتهای که برای موفقیت این حملات بسیار اهمیت دارد این است که پهنای باند عامل مهاجم باید از هدف بیشتر باشد.
نحوه تشخیص حمله DoS
ایجاد تمایز بین حمله و سایر خطاهایی که در اتصال شبکه پهنای باند زیادی مصرف میکند سخت است و نیاز به دانش و دقت زیادی دارد. با این حال، برخی ویژگیها هستند که میتوانند نشانگر احتمال وقوع یک حمله DoS باشند. شاخصهای حمله DoS شامل این موارد هستند:
- عملکرد شبکه به طور معمول کند میشود. به طور مثال زمان زیادی برای بارگذاری سایت یا فایلها صرف میشود
- امکان بارگذاری وب سایت وجود ندارد و به طور کلی نمیتوان به آن دسترسی پیدا کرد
- قطع ناگهانی اتصال بین دستگاههای موجود در همان شبکه
[tie_index]حملات DDoS[/tie_index]
حملات DDoS
در حمله Distributed Denial of Service (DDoS) ترافیک متعددی است که از چند منبع به یک سرویس آنلاین وارد می شود تا آن را از دسترس سایر کاربران خارج کند. هدف این حمله طیف گسترده ای از سرویس های آنلاین مانند بانک ها و سایت های خبری هستند.
این نوع حمله از محدودیتهای ظرفیت خاصی استفاده میکند که برای هر منبع شبکه اعمال میشود؛ مانند زیرساختی که وبسایت یک شرکت را فعال میکند. حمله DDoS چندین درخواست را به منبع وب مورد حمله ارسال میکند. هدف از این حمله، فراتر رفتن از ظرفیت وب سایت برای رسیدگی به درخواستهای متعدد و جلوگیری از عملکرد صحیح وب سایت است. هر وبسایتی ظرفیت محدودی برای پاسخگویی به درخواستهایی که به آن ارسال میشود دارد، کسی که این حمله را ایجاد میکند با تکمیل کردن ظرفیت درخواست این سایتها، باعث کند شدن عملکرد آن میشود و کاربر امکان ادامه فعالیت خود را ندارد.
معمولا سایتهای فروش اینترنتی و یا کسبوکارهایی که به برای ارائه خدمت به اینترنت وابسته هستند مورد هدف حملات DDoS قرار می گیرند.
نحوه عملکرد یک حمله DDoS
ظرفیت منابع شبکه برای پاسخ به درخواست هایی دریافت می کند محدود است. هر منبع شبکه ای می تواند به طور همزمان به تعداد خاصی از درخواست پاسخ دهد. برای مثال یک سایت فروشگاهی را در نظر بگیرید. سرورهای این سایت می توانند صفحات مختلف سایت را به طور همزمان در دسترس تعداد محدودی از کاربران قرار دهند و در صورتیکه مراجعه بیش از ظرفیت به آن انجام شود، سرور امکان خدمات رسانی را ندارد و سایت به اصطلاح down می شود.
علاوه بر محدودیت ظرفیت سرور، کانالی که سرور را به اینترنت متصل میکند، دارای پهنای باند / ظرفیت محدود خواهد بود. هرگاه تعداد درخواستها از محدودیتهای ظرفیت هر یک از اجزای زیرساخت بیشتر شود، سطح خدمات احتمالاً به یکی از روشهای زیر آسیب میبیند:
- پاسخ به درخواستها بسیار کندتر از حالت عادی خواهد بود.
- برخی یا همه درخواستهای کاربران ممکن است به طور کامل نادیده گرفته شوند.
معمولاً، هدف نهایی مهاجم، جلوگیری کامل از عملکرد عادی منبع وب است که اصطلاحا به آن انکار کامل خدمات گفته میشود. مهاجم همچنین ممکن است برای توقف حمله، درخواست پرداخت کند. در برخی موارد، حمله DDoS حتی ممکن است با هدف بیاعتبار کردن یا آسیب رساندن به تجارت رقیب باشد.
استفاده از «شبکه زامبی» بات نت برای ارائه یک حمله DDoS
مهاجمان با انتشار نرمافزارهای مخرب از طریق ایمیلها، وبسایتها و رسانههای اجتماعی، شبکههایی از رایانههای آلوده به نام «باتنت» میسازند. پس از اینکه سایت هدف وارد این شبکهها شد، میتوان آن را بدون اطلاع صاحبانش از راه دور کنترل کرد و مانند یک ارتش برای حمله به هر هدفی استفاده کرد. برخی از باتنتها میلیونها ماشین قوی دارند. برای ارسال تعداد بسیار زیادی درخواست به منبع هدف، مجرم سایبری اغلب یک «شبکه زامبی» از رایانهها ایجاد میکند. از آنجایی که مهاجم میتواند تمامی اعمال و فعالیتهای هر رایانه آلوده در شبکه زامبی را کنترل دارد، مقیاس حمله میتواند برای منابع وب قربانی بسیار زیاد باشد.
نحوه شناسایی حمله DDoS
بارزترین علامت حمله DDoS این است که سایت یا سرویسی که مورد حلمه قرار گرفتهاست، به صورت ناگهانی کند، یا از دسترس خارج میشود. اما باید در نظر داشته باشیم که این کندی در سایت چه زمانی رخ میدهد. گاهی مواقع ترافیک سایت به صورت قانونی زیادی میشود. بعنوان مثال برای یک سایت فروشگاهی، بعد از انجام تبلیغات افزایش ترافیک و کندی سایت امری کاملا طبیعی است. همین مورد باعث میشود برای تشخیص اینکه افت سایت در اثر حمله بوده، تحقیقات بیشتری انجام شود. ابزارهای تجزیه و تحلیل ترافیک میتوانند به شما کمک کنند برخی از نشانههای آشکار حمله DDoS را شناسایی کنید:
- مقادیر مشکوک ترافیک ناشی از یک آدرس IP یا محدوده IP
- سیل ترافیک از سوی کاربرانی که یک نمایه رفتاری مشترک دارند، مانند نوع دستگاه، موقعیت جغرافیایی، یا نسخه مرورگر وب
- افزایش غیر قابل توضیح در درخواستها به یک صفحه
- الگوهای ترافیکی عجیب و غریب مانند افزایش در ساعات خاصی از روز یا الگوهایی که غیرطبیعی به نظر میرسند (مثلاً هر 10 دقیقه یک بار افزایش مییابد)
البته علائم خاص دیگری از حمله DDoS وجود دارد که بسته به نوع حمله میتواند متفاوت باشد.
انواع رایج حملات DDoS
انواع مختلف حملات DDoS اجزای مختلف اتصال شبکه را هدف قرار میدهند. اتصال شبکه در اینترنت از اجزای مختلف یا “لایهها” تشکیل شدهاست. مانند ساختن یک خانه از پایه، هر لایه در مدل هدف متفاوتی دارد. این لایهها شامل موارد زیر میشوند:
- لایه فیزیکی Physical Layer
- لایه اتصال دیتا Datalink Layer
- لایه شبکه Network Layer
- لایه انتقال Transport Layer
- Session Layer
- لایه نمایشی Presentational Layer
- لایه اپلیکیشن Application Layer
در حالی که تقریباً تمام حملات DDoS شامل غلبه بر یک دستگاه یا شبکه هدف با ترافیک است، حملات را میتوان به سه دسته تقسیم کرد.
-
حملات لایه اپلیکیشن
گاهی اوقات به آن حمله DDoS لایه 7 (با اشاره به لایه هفتم مدل OSI) نیز گفته میشود، هدف این حمله تخلیه منابع هدف برای ایجاد یک انکار سرویس (denial of service) است.
این حملات لایهای را هدف قرار میدهند که در آن صفحات وب روی سرور تولید میشوند و در پاسخ به درخواستهای HTTP تحویل داده میشوند. اجرای یک درخواست HTTP از نظر محاسباتی در سمت کلاینت ارزان است، اما پاسخگویی به آن برای سرور مورد نظر هزینهبر است، زیرا سرور اغلب چندین فایل را بارگیری میکند و به درخواستهای دیتابیس برای ایجاد صفحه وب پاسخ میدهد. دفاع در برابر حملات لایه 7 بسیار سخت است، زیرا تشخیص ترافیک مخرب از ترافیک قانونی و بومی دشوار است.
-
حملات پروتکلی
حملات پروتکل با نام حملات حالت فرسودگی (state exhaustion) شناخته میشوند. اختلالی که این نوع حملات در سرویس ایجاد میکنند در اثر مصرف بیش از حد منابع سرور و یا منابع تجهیزات شبکه مانند فایروالها و متعادل کنندههای بار شبکه است. این نوع حملات معمولا از نقاط ضعف لایههای 3 و 4 پروتکل برای از دسترس خارج کردن سرور هدف خود استفاده میکنند.
-
حملات حجمی
این دسته از حملات با مصرف تمام پهنای باند موجود بین سایت هدف و اینترنت، ازدحام ایجاد میکنند. حجم زیادی از دادهها به سمت هدف ارسال میشوند که از یک نوع تقویت کننده یا روشهای دیگری برای ایجاد ترافیک با حجم بالا، مانند درخواستهایی از سمت باتنت، استفاده میکنند.
[tie_index]تفاوت DoS و DDoS[/tie_index]
تفاوت DoS و DDoS
تفاوت اصلی بین DoS و DDoS در این است که اولی یک حمله سیستم روی سیستم است، در حالی که دومی شامل چندین سیستم است که به یک سیستم واحد حمله میکنند. با این حال، تفاوتهای دیگری نیز وجود دارد که شامل ماهیت یا تشخیص آنها میشود، از جمله:
-
تشخیص و کاهش آسان
از آنجایی که DoS از یک مکان منفرد میآید، تشخیص منشأ آن و قطع اتصال آسانتر است. در واقع یک فایروال قوی به راحتی میتواند این کار را انجام دهد. از سوی دیگر، حمله DDoS از چندین مکان و با فاصله زیاد انجام میشود و از همین طریق منشا خود را پنهان میکند.همین امر باعث میشود تشخیص آن از ترافیک بومی سایت بسیار دشوار باشد.
-
سرعت حمله
از آنجا که یک حمله DDoS از چندین مکان انجام میشود، می تواند بسیار سریعتر از یک حمله DoS که از یک مکان منشا میگیرد، انجام شود. افزایش سرعت حمله تشخیص آن را دشوارتر میکند و باعث میشود آسیب بیشتری وارد شود.
-
حجم ترافیک
یک حمله DDoS از چندین ماشین راه دور (زامبیها یا رباتها) استفاده میکند، و میتواند مقادیر بسیار بیشتری از ترافیک را از مکانهای مختلف به طور همزمان ارسال کند. با این کار ظرفیت سرور به سرعت تکمیل میشود تا شناسایی موقعیت و منشا ترافیک را مختل کند.
-
نحوه اجرا
یک حمله DDoS میزبانهای متعدد آلوده به بدافزار (رباتها) را هماهنگ میکند و یک باتنت ایجاد میکند که توسط یک سرور فرمان و کنترل (C&C) مدیریت میشود. در مقابل، یک حمله DoS معمولاً از یک اسکریپت یا ابزار یک دستگاه واحد برای ایجاد حمله استفاده میکند.
-
ردیابی منابع
حمله DDoS برای وارد کردن آسیب به سرور هدف خود از یک باتنت استفاده میکند که شبکهای از چند ربات است، به همین دلیل ردیابی منشا واقعی آن بسیار سختتر و پیچیدهتر از حمله DoS است.