حمله SNMP Flood چیست؟

حمله SNMP flood به‌عنوان یکی از حملات رایج DDoS، می‌تواند اثر مخربی روی شبکه و کامپیوترها بگذارد. این دسته از حملات، از رابط ساده پروتکل مدیریت شبکه یا SNMP سوء استفاده کرده و می‌تواند انواع دستگاه‌های مختلف متصل به شبکه ازجمله روترها، سوئیچ‌ها، فایروال‌ها، سرورها و… را تحت تأثیر قرار دهد. در ادامه این مطلب از بلاگ ابر زس بیشتر درباره حمله SNMP flood و نحوه اجرای آن توضیح می‌دهیم. همچنین می‌بینیم که چطور می‌توان با این دسته از حملات مقابله کرده و اثر آن را کاهش داد.

حمله SNMP flood چیست؟

یکی از انواع حملات رایج DDoS، حمله SNMP flood است که تا حدی مشابه نسل‌های قبلی حمله DNS flood عمل می‌کند. البته تفاوت این حملات آن است که به‌جای سرورهای نام دامنه (DNS)، با استفاده از پروتکل ساده مدیریت شبکه یا همان SNMP (مخفف Simple Network management Protocol) اجرا می‌شوند. پروتکل مدیریت شبکه SNMP برای پیکربندی و جمع‌آوری اطلاعات تنظیمات دستگاه‌های شبکه مانند سرورها، هاب‌ها، سوئیچ‌ها، روترها و پرینترها، بر اساس آدرس آی‌پی کاربرد دارد. در صورتی‌که می‌خواهید در مورد حملات flood‌ بیشتر بدانید پیشنهاد می‌کنیم مطلب «حمله flood چیست؟» را مطالعه نمایید.

نحوه اجرای حمله SNMP flood

در حمله SNMP flood به روش بازتابی (Reflection attacks)، هکر اقدام به جعل آدرس آی‌پی قربانی به عنوان آدرس منبع می‌کند و بسته‌هایی با این آدرس منبع را به آدرس برادکست شبکه‌ها ارسال می‌نماید. هر دستگاه‌ی که در شبکه‌های هدف، امکان دریافت بسته‌های پروتکل SNMP را داشته باشد، این بسته‌ها را دریافت می‌کند. به این ترتیب، هزاران روتر، سوییچ، سرور، پرینتر و … شروع به پاسخ‌ دادن به پیام بسته می‌کنند. اما از آنجایی که آدرس منبع ارسال کننده بسته، جعل شده است، تمامی این پاسخ‌ها به سمت دستگاهی می‌رود که هکر آن را هدف قرار داده است. در نتیجه شبکه دستگاه قربانی، اشباع می‌شود و از کار می‌افتد. تصویر تیتر مطلب، مثالی از حمله به روش بازتابی را نمایش می‌دهد.

گاهی ممکن است حمله SNMP flood تقویت شود که در این صورت، مقابله با آن‌ها دشوارتر هم خواهد. این نوع از حمله تقویت شده، تحت عنوان حمله SNMP Amplification شناخته می‌شود. در حملات تقویت شده، دستگاه قربانی مجبور است پاسخ‌هایی را ارسال کند که گاه صدها برابر پاسخ‌های ساده معمول SNMP حجم دارند. به این ترتیب در این حملات، اثر حمله به شدت تقویت می‌شود. این موضوع می‌تواند به یک تهدید بسیار جدی و خطرناک برای سیستم‌ها و شبکه‌ها تبدیل می‌شود.

روش‌های کاهش اثر و مقابله با حملات SNMP flood

حملات SNMP flood‌ نوعی از تهدیدهای حجمی حمله DDoS هستند که با هدف مسدود کردن مسیرهای شبکه موردنظر، اجرا می‌شوند. به‌این‌ترتیب می‌توان با راهکارهای زیر، با این نوع از حملات مقابله کرد:

• ازطریق افزایش ظرفیت شبکه و در نتیجه ارتقا قدرت مقاومت زیرساخت‌های تجهیزات
• مدیریت کردن درخواست‌های قانونی و واقعی SNMP و محدود کردن درخواست‌های SNMP تنها به آدرس‌های آی‌پی مجاز
• پیاده‌سازی راهکارهای امنیتی پیشرفته برای تشخیص نشانه‌های حملات بازتابی و سپس مقابله با آنها
• آپدیت کردن firmware تجهیزات موجود در شبکه به منظور بهبود مقاومت آنها در مقابل حملات تقویت شده
• نظارت مستمر بر شبکه برای شناسایی الگوهای حملات DDoS
• بهره بردن از سرویس CDN که به لطف معماری Anycast ترافیک آلوده را بین پاپ‌سایت‌های متعدد توزیع کرده و سرور هدف را از هرگونه حمله DDoS از جمله حمله SNMP flood در امان نگه می‌دارد

جمع‌بندی

نحوه اجرای حمله SNMP flood‌ را در این مطلب بررسی کردیم. در این دسته از حملات، مهاجم / هکر از پروتکل مدیریت شبکه سوء استفاده کرده و ترافیک جعلی را به سیستم وارد می‌کند. این حملات به دو صورت انعکاسی (reflection) و تقویت شده (amplification) انجام می‌شود که درباره آن‌ها توضیح دادیم. بهترین راه برای مقابله با این دسته از حملات، آن است که دسترسی به سرور SNMP فیلتر شود و تنها آدرس‌های IP محدودی را برای دسترسی به آن مجاز کنیم. راهکار دیگر استفاده از سرویس CDN است.

سرویس کلود گارد زَس با لایه‌های امنیتی متعدد و بهره‌مندی از پاپ‌سایت‌های متعدد CDN در سطح ایران و جهان از سرورهای شما در مقابل انواع حملات DDoS از جمله حمله SNMP flood محافظت می‌نماید.