مقالات

تفاوت حمله DOS و DDOS

فضای آنلاین در دوران اخیر کل زندگی ما را تحت الشعاع قرار داده‌است و تقریبا تمام امور روزمره ما از طریق بستر اینترنت انجام می‌شود. یکی از مزایایی که این تغییر دارد، افزایش سرعت انجام کارهای روزمره برای مردم است. دیگر نیازی نیست برای خرید مایحتاج خود مسافت‌های طولانی را طی کنید و به فروشگاه مورد نظر خود بروید، با اتصال به اینترنت می‌توانید هر آنچه نیاز دارید به صورت آنلاین خرید کنید. اما در کنار جنبه مثبتی که پیشرفت تکنولوژی دارد، مشکلات و مسائلی نیز همیشه همراه آن بوده‌است. یکی از مشکلاتی که همیشه در فضای مجازی وجود دارد، حملات سایبری است که به کاربر و همچنین صاحب سایت آسیب وارد می‌کند. از جمله‌ی این حملات می‌توان به حمله‌های dos و ddos اشاره کرد. در ادامه به طور کامل در مورد این حملات توضیح داده می‌شود.

حمله DoS

حمله انکار سرویس (DoS-Denial of Service) نوعی حمله سایبری است که در آن هدف مهاجم ایجاد اختلال در عملکرد عادی دستگاه، رایانه یا دستگاه دیگر در دسترس کاربران، است. حملات DoS معمولاً سیلی از درخواست‌ها را به سمت دستگاه هدف ارسال می‌کنند تا زمانیکه آن دستگاه امکان پردازش درخواست‌های نرمال را نداشته باشد، در نتیجه باعث ناتوانی سایت در برابر پاسخ به کاربران دیگر می‌شود.

حمله DoS چگونه کار می‌کند

تمرکز اولیه یک حمله DoS، اشباع بیش از حد ظرفیت یک ماشین هدفمند است که منجر به انکار سرویس به درخواست‌های اضافی می‌شود.

حملات DoS معمولاً به 2 دسته تقسیم می‌شوند:

  • حملات سرریز بافر(buffer overflow)

این نوع حمله کاری می‌کند که دستگاه تمام فضای موجود در هارد دیسک، حافظه یا زمان CPU را مصرف کند. این شکل از سوء استفاده اغلب منجر به رفتار کند، خرابی سیستم یا سایر رفتارهای مخرب سرور می‌شود که در نهایت باعث انکار سرویس می‌شود.

  • حملات سیل‌آسا (flood attacks)

در این نوع حمله، مهاجم تعداد زیادی بسته به سمت هدف خود ارسال می‌کند تا ظرفیت سرور را بیش از حد اشباع کند. در نتیجه این کار، انکار سرویس ایجاد می‌شود و سرور توانایی پاسخ‌دهی ندارد. نکته‌ای که برای موفقیت این حملات بسیار اهمیت دارد این است که پهنای باند عامل مهاجم باید از هدف بیشتر باشد.

نحوه تشخیص حمله DoS

ایجاد تمایز بین حمله و سایر خطاهایی که در اتصال شبکه پهنای باند زیادی مصرف می‌کند سخت است و نیاز به دانش و دقت زیادی دارد. با این حال، برخی ویژگی‌ها هستند که می‌توانند نشانگر احتمال وقوع یک حمله DoS باشند. شاخص‌های حمله DoS شامل این موارد هستند:

  • عملکرد شبکه به طور معمول کند می‌شود. به طور مثال زمان زیادی برای بارگذاری سایت یا فایل‌ها صرف می‌شود
  • امکان بارگذاری وب سایت وجود ندارد و به طور کلی نمی‌توان به آن دسترسی پیدا کرد
  • قطع ناگهانی اتصال بین دستگاه‌های موجود در همان شبکه

حملات DDOS

 

حملات DDOS

 

در حمله Distributed Denial of Service (DDoS) ترافیک متعددی است که از چند منبع به یک سرویس آنلاین وارد می شود تا آن را از دسترس سایر کاربران خارج کند. هدف این حمله طیف گسترده ای از سرویس های آنلاین مانند بانک ها و سایت های خبری هستند.

این نوع حمله از محدودیت‌های ظرفیت خاصی استفاده می‌کند که برای هر منبع شبکه اعمال می‌شود – مانند زیرساختی که وب‌سایت یک شرکت را فعال می‌کند. حمله DDoS چندین درخواست را به منبع وب مورد حمله ارسال می‌کند. هدف از این حمله، فراتر رفتن از ظرفیت وب سایت برای رسیدگی به درخواست‌های متعدد و جلوگیری از عملکرد صحیح وب سایت است. هر وبسایتی ظرفیت محدودی برای پاسخگویی به درخواست‌هایی که به آن ارسال می‌شود دارد، کسی که این حمله را ایجاد می‌کند با تکمیل کردن ظرفیت درخواست این سایت‌ها، باعث کند شدن عملکرد آن می‌شود و کاربر امکان ادامه فعالیت خود را ندارد.

معمولا سایت‌های فروش اینترنتی و یا کسب‌وکارهایی که به برای ارائه خدمت به اینترنت وابسته هستند مورد هدف حملات DDoS قرار می گیرند.

نحوه عملکرد یک حمله DDoS

ظرفیت منابع شبکه برای پاسخ به درخواست هایی دریافت می کند محدود است. هر منبع شبکه ای می تواند به طور همزمان به تعداد خاصی از درخواست پاسخ دهد. برای مثال یک سایت فروشگاهی را در نظر بگیرید. سرورهای این سایت می توانند صفحات مختلف سایت را به طور همزمان در دسترس تعداد محدودی از کاربران قرار دهند و در صورتیکه مراجعه بیش از ظرفیت به آن انجام شود، سرور امکان خدمات رسانی را ندارد و سایت به اصطلاح down می شود.

علاوه بر محدودیت ظرفیت سرور، کانالی که سرور را به اینترنت متصل می‌کند، دارای پهنای باند / ظرفیت محدود خواهد بود. هرگاه تعداد درخواست‌ها از محدودیت‌های ظرفیت هر یک از اجزای زیرساخت بیشتر شود، سطح خدمات احتمالاً به یکی از روش‌های زیر آسیب می‌بیند:

  • پاسخ به درخواست‌ها بسیار کندتر از حالت عادی خواهد بود.
  • برخی یا همه درخواست‌های کاربران ممکن است به طور کامل نادیده گرفته شوند.

معمولاً، هدف نهایی مهاجم، جلوگیری کامل از عملکرد عادی منبع وب است که اصطلاحا به آن انکار کامل خدمات گفته می‌شود. مهاجم همچنین ممکن است برای توقف حمله، درخواست پرداخت کند. در برخی موارد، حمله DDoS حتی ممکن است با هدف بی‌اعتبار کردن یا آسیب رساندن به تجارت رقیب باشد.

استفاده از «شبکه زامبی» بات نت برای ارائه یک حمله DDoS

 

شبکه زامبی بات نت

 

مهاجمان با انتشار نرم‌افزارهای مخرب از طریق ایمیل‌ها، وب‌سایت‌ها و رسانه‌های اجتماعی، شبکه‌هایی از رایانه‌های آلوده به نام «بات‌نت» می‌سازند. پس از اینکه سایت هدف وارد این شبکه‌ها شد، می‌توان آن را بدون اطلاع صاحبانش از راه دور کنترل کرد و مانند یک ارتش برای حمله به هر هدفی استفاده کرد. برخی از بات‌نت‌ها میلیون‌ها ماشین قوی دارند. برای ارسال تعداد بسیار زیادی درخواست به منبع هدف، مجرم سایبری اغلب یک «شبکه زامبی» از رایانه‌ها ایجاد می‌کند. از آنجایی که مهاجم می‌تواند تمامی اعمال و فعالیت‌های هر رایانه آلوده در شبکه زامبی را کنترل دارد، مقیاس حمله می‌تواند برای منابع وب قربانی بسیار زیاد باشد.

نحوه شناسایی حمله DDoS

بارزترین علامت حمله DDoS این است که سایت یا سرویسی که مورد حلمه قرار گرفته‌است، به صورت ناگهانی کند، یا از دسترس خارج می‌شود. اما باید در نظر داشته باشیم که این کندی در سایت چه زمانی رخ می‌دهد. گاهی مواقع ترافیک سایت به صورت قانونی زیادی می‌شود. بعنوان مثال برای یک سایت فروشگاهی، بعد از انجام تبلیغات افزایش ترافیک و کندی سایت امری کاملا طبیعی است. همین مورد باعث می‌شود برای تشخیص اینکه افت سایت در اثر حمله بوده، تحقیقات بیشتری انجام شود. ابزارهای تجزیه و تحلیل ترافیک می‌توانند به شما کمک کنند برخی از نشانه‌های آشکار حمله DDoS را شناسایی کنید:

  • مقادیر مشکوک ترافیک ناشی از یک آدرس IP یا محدوده IP
  • سیل ترافیک از سوی کاربرانی که یک نمایه رفتاری مشترک دارند، مانند نوع دستگاه، موقعیت جغرافیایی، یا نسخه مرورگر وب
  • افزایش غیر قابل توضیح در درخواست‌ها به یک صفحه
  • الگوهای ترافیکی عجیب و غریب مانند افزایش در ساعات خاصی از روز یا الگوهایی که غیرطبیعی به نظر می‌رسند (مثلاً هر 10 دقیقه یک بار افزایش می‌یابد)

البته علائم خاص دیگری از حمله DDoS وجود دارد که بسته به نوع حمله می‌تواند متفاوت باشد.

انواع رایج حملات DDoS

انواع مختلف حملات DDoS اجزای مختلف اتصال شبکه را هدف قرار می‌دهند. اتصال شبکه در اینترنت از اجزای مختلف یا “لایه‌ها” تشکیل شده‌است. مانند ساختن یک خانه از پایه، هر لایه در مدل هدف متفاوتی دارد. این لایه‌ها شامل موارد زیر می‌شوند:

  • لایه فیزیکی Physical Layer
  • لایه اتصال دیتا Datalink Layer
  • لایه شبکه Network Layer
  • لایه انتقال Transport Layer
  • Session Layer
  • لایه نمایشی Presentational Layer
  • لایه اپلیکیشن Application Layer

در حالی که تقریباً تمام حملات DDoS شامل غلبه بر یک دستگاه یا شبکه هدف با ترافیک است، حملات را می‌توان به سه دسته تقسیم کرد.

  • حملات لایه برنامه

 

حمله لایه برنامه

 

گاهی اوقات به آن حمله DDoS لایه 7 (با اشاره به لایه هفتم مدل OSI) نیز گفته می‌شود، هدف این حمله تخلیه منابع هدف برای ایجاد یک انکار سرویس (denial of service) است.

این حملات لایه‌ای را هدف قرار می‌دهند که در آن صفحات وب روی سرور تولید می‌شوند و در پاسخ به درخواست‌های HTTP تحویل داده می‌شوند. اجرای یک درخواست HTTP از نظر محاسباتی در سمت کلاینت ارزان است، اما پاسخگویی به آن برای سرور مورد نظر هزینه‌بر است، زیرا سرور اغلب چندین فایل را بارگیری می‌کند و به درخواست‌های دیتابیس برای ایجاد صفحه وب پاسخ می‌دهد. دفاع در برابر حملات لایه 7 بسیار سخت است، زیرا تشخیص ترافیک مخرب از ترافیک قانونی و بومی دشوار است.

  • حملات پروتکلی

 

حملات پروتوکلی

 

حملات پروتکل با نام حملات حالت فرسودگی (state exhaustion) شناخته می‌شوند. اختلالی که این نوع حملات در سرویس ایجاد می‌کنند در اثر مصرف بیش از حد منابع سرور و یا منابع تجهیزات شبکه مانند فایروال‌ها و متعادل کننده‌های بار شبکه است. این نوع حملات معمولا از نقاط ضعف لایه‌های 3 و 4 پروتکل برای از دسترس خارج کردن سرور هدف خود استفاده می‌کنند.

  • حملات حجمی

 

حملات حجمی

 

این دسته از حملات با مصرف تمام پهنای باند موجود بین سایت هدف و اینترنت، ازدحام ایجاد می‌کنند. حجم زیادی از داده‌ها به سمت هدف ارسال می‌شوند که از یک نوع تقویت کننده یا روش‌های دیگری برای ایجاد ترافیک با حجم بالا، مانند درخواست‌هایی از سمت بات‌نت، استفاده می‌کنند.

تفاوت DoS و DDoS

 

تفاوت dos و ddos

 

تفاوت اصلی بین DoS و DDoS در این است که اولی یک حمله سیستم روی سیستم است، در حالی که دومی شامل چندین سیستم است که به یک سیستم واحد حمله می‌کنند. با این حال، تفاوت‌های دیگری نیز وجود دارد که شامل ماهیت یا تشخیص آنها می‌شود، از جمله:

  • تشخیص و کاهش آسان

از آنجایی که DoS از یک مکان منفرد می‌آید، تشخیص منشأ آن و قطع اتصال آسان‌تر است. در واقع یک فایروال قوی به راحتی می‌تواند این کار را انجام دهد. از سوی دیگر، حمله DDoS از چندین مکان و با فاصله زیاد انجام می‌شود و از همین طریق منشا خود را پنهان می‌کند.همین امر باعث می‌شود تشخیص آن از ترافیک بومی سایت بسیار دشوار باشد.

  • سرعت حمله

از آنجا که یک حمله DDoS از چندین مکان انجام می‌شود، می تواند بسیار سریعتر از یک حمله DoS که از یک مکان منشا می‌گیرد، انجام شود. افزایش سرعت حمله تشخیص آن را دشوارتر می‌کند و باعث می‌شود آسیب بیشتری وارد شود.

  • حجم ترافیک

یک حمله DDoS از چندین ماشین راه دور (زامبی‌ها یا ربات‌ها) استفاده می‌کند، و می‌تواند مقادیر بسیار بیشتری از ترافیک را از مکان‌های مختلف به طور همزمان ارسال کند. با این کار ظرفیت سرور به سرعت تکمیل می‌شود تا شناسایی موقعیت و منشا ترافیک را مختل کند.

  • نحوه اجرا

یک حمله DDoS میزبان‌های متعدد آلوده به بدافزار (ربات‌ها) را هماهنگ می‌کند و یک بات‌نت ایجاد می‌کند که توسط یک سرور فرمان و کنترل (C&C) مدیریت می‌شود. در مقابل، یک حمله DoS معمولاً از یک اسکریپت یا ابزار یک دستگاه واحد برای ایجاد حمله استفاده می‌کند.

  • ردیابی منابع

حمله DDoS برای وارد کردن آسیب به سرور هدف خود از یک بات‌نت استفاده می‌کند که شبکه‌ای از چند ربات است، به همین دلیل ردیابی منشا واقعی آن بسیار سخت‌تر و پیچیده‌تر از حمله DoS است.

نمایش بیشتر

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

دکمه بازگشت به بالا