حملات DDos چیست و روش‌های مقابله با حملات دی داس چگونه است (آپدیت 2023)

خانه » مقالات » حمله دیداس (DDoS) چیست؟ انواع دیداس، اهداف و روش های مقابله

ممکن است این سوال ذهن شما را نیز درگیر کند که دیداس یعنی چه و به چه صورت در شبکه و سرور کاربران رخ می‌دهند و چگونه می‌توان از این‌گونه حملات جلوگیری نمود. حملات DDoS یکی از چالش‌های بزرگ در دنیای امنیت اطلاعات است که به عنوان یکی از روش‌های پرکاربرد برای اختلال در عملکرد یک سایت و یا سرویس آنلاین، شناخته می‌شود. در این نوع حملات، مهاجمان از طریق ارسال تعداد بالایی از درخواست‌ها به سرور ابری، سرور مجازی یا سرویس مورد نظر، آن را از دسترسی عمومی قطع می‌کنند، به گونه‌ای که کاربران معمولی نمی‌توانند به آن دسترسی داشته باشند. حملات دیداس معمولاً با استفاده از شبکه‌های بزرگ متشکل از دستگاه‌های زامبی که تحت کنترل هکران قرار دارند، انجام می‌شوند.

دیداس چیست؟

حمله انکار سرویس توزیع شده یا Distributed Denial Of Service، نوعی حمله سایبری است که سعی می‌کند یک وب‌سایت یا منبع شبکه را با پر کردن ترافیک مخرب از دسترس خارج کند و عملکرد آن را مختل نماید. در حمله DDoS، مهاجم هدف خود را با ترافیک اینترنتی ناخواسته غرق می‌کند تا ترافیک عادی نتواند به مقصد مورد نظر خود برسد. بنابراین، زمانی که درخواست‌ها برای دستیابی به اطلاعات و داده‌های یک سرور و یا شبکه بیش از حد باشد، حمله ddos موجب آسیب پذیر شدن سرور خواهد شد. در این‌گونه حمله، هکر به واسطه یک برنامه درخواست‌های متعددی را از Packetهای TCP به سرور هدف ارسال می‌کند تا بدین وسیله دسترسی به شبکه را از وب سرور مختل نماید و باعث جلوگیری از دسترسی کاربران به وب‌سایت‌ها شود. حمله دی داس می‌توانند باعث خرابی وب سایت، برنامه وب، APIها، شبکه و زیرساخت مرکز داده یک شرکت شوند و از خرید محصولات، استفاده از یک سرویس، دریافت اطلاعات یا هر گونه دسترسی دیگر توسط کاربران قانونی جلوگیری کنند. حمله DDoS را می‌توان مانند یک ترافیک غیر منتظره در نظر گرفت که بزرگراه را مسدود می‌کند و از رسیدن ترافیک منظم به مقصد جلوگیری می‌کند. هدف دیداس، تخریب یا اختلال در ارائه خدمات یک وب‌سایت یا سرویس آنلاین است که می‌تواند برای کسب و کارها و سازمان‌ها، عواقب جدی و خطرناکی داشته باشد. از جمله این عواقب می‌توان به از دست دادن اعتماد کاربران، خسارت به سلامت عملکرد سازمانی و حتی از دست دادن اطلاعات حساس اشاره کرد.

این حملات می تواند انواع سرویس دهنده‌های موجود در شبکه را تهدید کند. به عنوان مثال:

سرورها
دستگاه‌‌ها
خدمات
شبکه‌ها
برنامه‌ها

انواع حمله دیداس

حملات DDoS یا distributed denial of service اجزای مختلف اتصال شبکه را هدف قرار می‌دهند. برای درک نحوه عملکرد حملات دیداس، باید بدانیم که یک اتصال شبکه چگونه بوجود می‌آید. اتصال شبکه در اینترنت از اجزا یا لایه‌های مختلفی تشکیل شده است که هر لایه اهداف متفاوتی دارند. مدل ارتباطات باز (OSI) یک چارچوب لایه‌ای برای استانداردهای مختلف شبکه‌ها است که شامل هفت لایه متفاوت می‌باشد. این مسئله را می‌توان مانند ساختن یک خانه از پایه در نظر گرفت که هر لایه از اجزای متفاوتی تشکیل شده‌اند و اهداف متفاوتی دارند. مدل OSI، نشان دهنده یک چارچوب مفهومی است که برای توصیف اتصال شبکه در ۷ لایه مجزا استفاده می‌شود. تقریباً تمام حملات DDoS بر پایه افزایش ترافیک به یک دستگاه یا شبکه هدف انجام می‌شوند. هدف همه حملات کاهش شدید یا جلوگیری از رسیدن ترافیک قانونی به مقصد مورد نظر است.این حملات انواع مختلفی دارند، در ادامه به بررسی انواع DDoS خواهیم پرداخت.

حمله Syn Flood

در این حمله دی داس تعداد زیادی درخواست HTTP به سرور ارسال می‌شود و سرور را تحت تاثیر قرار می‎‌دهد. این حمله را می‎‌توان به دو نوع ساده و پیچیده تقسیم‎‌بندی کرد. در حملات ساده سرور از طریق یک IP مورد حمله قرار می‌گیرد. در حالی که در حملات پیچیده URL‎های تصادفی مورد هدف قرار می‎‌گیرند و در نهایت باعث انکار سرویس (DoS) یا انکار سرویس توزیع‌شده (DDoS) می‌شوند.

برای جلوگیری از حمله دیداس از نوع syn flood، می‌توان از روش‌های مختلف استفاده کرد از جمله:

پیکربندی سرور به نحوی که با درخواست‌های غیرمعمول مانند تعداد بیش از حد از یک IP آدرس خاص مقابله کند
استفاده از فایروال‌ها و سیستم‌های تشخیص حملات (IDS/IPS) برای شناسایی و مسدود کردن ترافیک مشکوک
استفاده از سیستم‌های کنترل دسترسی (ACL) برای محدود کردن دسترسی به سرویس‌های حساس
استفاده از CDN (شبکه توزیع محتوا) برای توزیع ترافیک و تخفیف بار بر روی سرورها
به روزرسانی نرم‌افزار سرور و استفاده از تکنولوژی‌های امنیتی برای مقاوم ساختن سرور در برابر حملات

حمله Protocol

در این حملات محروم سازی از سرویس، پروتکل‌های مورد استفاده در انتقال داده‌ها، برای تخریب یک سیستم مورد هدف قرار می‌گیرند. مصرف بیش از حد منابع سرور و یا تجهیزات شبکه مانند فایروال‎‌ها منجر به ایجاد اختلال در سرویس‎‌ها می‌‎شوند. حملات پروتکل، از نقاط ضعف لایه ۳ و ۴ از پشته پروتکل استفاده می‌کنند تا هدف غیرقابل دسترس را به دست آوردند.این اختلال می‌تواند منجر به انکار سرویس (DoS) یا انکار سرویس توزیع‌شده (DDoS) شود، که هر دو منجر به عدم دسترسی کاربران به سرویس مورد نظر می‌شوند. یکی از شایع‌ترین حملات پروتکل‌ در دیداس، syn flood است که با ارسال حجم زیادی از بسته‌های SYN، به فرایند ساخت یک اتصال TCP/IP حمله می‌کند و منجر می‌شود کاربر منتظر اتصالی بماند که هرگز اتفاق نمی‌افتد.

برای جلوگیری از حمله دیداس از نوع Protocol، می‌توان از روش‌هایی مانند:
به‌روزرسانی نرم‌افزارها و سیستم‌عامل‌ها
استفاده از فایروال‌ها و IDS/IPS
استفاده از محدودیت‌های دسترسی
استفاده از راهکارهای مانیتورینگ و لاگ‌گیری
استفاده از راهکارهای حفاظتی مبتنی بر پروتکل

حمله Volumetric

در این نوع حمله، حجم بالایی از داده‌ها به سمت هدف ارسال می‌شود به گونه‌ای که پهنای باند موجود بین هدف و اینترنت به سرعت پر شده و سرویس مورد نظر قطع یا ضعیف می‌شود. هدف اصلی از حمله دیداس از نوع Volumetric، ایجاد اختلال در سرویس‌دهی است، به‌طوری‌که کاربران نتوانند به منابع یا سرویس‌های مورد نظر خود دسترسی پیدا کنند. این حملات معمولاً با استفاده از تکنیک‌های تقویت سیگنال یا سایر روش‌هایی که به ایجاد ترافیک بزرگ کمک می‌کنند، مانند استفاده از شبکه‌های باتن، صورت می‌گیرند.

جلوگیری از دیداس از نوع Volumetric، می‌توان از روش‌های زیر استفاده کرد:

استفاده از فایروال‌ها و سیستم‌های شناسایی نفوذ (IDS/IPS) برای شناسایی و مسدود کردن ترافیک مشکوک.
استفاده از خطوط ارتباطات با پهنای باند بیشتر و سیستم‌های مبتنی بر شبکه‌های CDN (شبکه توزیع محتوا) برای توزیع ترافیک و کاهش فشار روی سرورها
استفاده از سیستم‌های تشخیص حمله DDoS (حملات توزیع شده به ازدحام) و سیستم‌های مانیتورینگ ترافیک برای شناسایی حملات و اتخاذ اقدامات دفاعی
به‌روزرسانی نرم‌افزارها و سیستم‌عامل‌ها برای رفع ضعف‌ها و آسیب‌پذیری‌های امنیتی.

حمله Slowloris

یکی دیگر از انواع حملات ddos از نوع Slowloris است که این امکان را برای وب سرور بوجود می‌آورد تا بدون تحت تاثیر قرار دادن سایر سرویس‌ها و پورت‌ها عملکرد سرور را مختل نماید و از کار بی‌اندازد. در این روش اتصالات تقلبی بسیاری توسط ابزار Slowloris ایجاد می‌شود و در نتیجه توانایی پاسخگویی به درخواست‌های واقعی را از دست می‌‌دهد. هدف اصلی از حمله Slowloris، مصرف منابع سرور است تا سرور نتواند به درخواست‌های واقعی کاربران پاسخ دهد. این حمله دیداس می‌تواند به شیوه‌های مختلفی انجام شود، اما عمدتاً با ارسال درخواست‌های HTTP ناقص یا بسیار کوچک به سرور هدف صورت می‌گیرد. برای جلوگیری از دیداس Slowloris، می‌توان از روش‌های زیر استفاده کرد:

تنظیم صحیح سرور
استفاده از فایروال‌ها و IDS/IPS
استفاده از لایه‌های مانیتورینگ و لاگ‌گیری
به‌روزرسانی نرم‌افزارها و سیستم‌عامل‌ها
استفاده از سیستم‌های مانیتورینگ ترافیک و تنظیم محدودیت‌های دسترسی به سرور برای مدیریت منابع

حمله NTP Amplification

حمله NTP Amplification یک نوع حمله توزیع شده به خدمات DDoS است که از پروتکل NTP (Network Time Protocol) برای افزایش حجم ترافیک استفاده می‌کند. در این نوع حمله، مهاجمان با ارسال درخواست‌های جعلی به سرورهای NTP، سعی در ایجاد پاسخ‌های با حجم بسیار بزرگ به درخواست‌ها دارند. سپس این پاسخ‌های بزرگ به سمت هدف ارسال می‌شوند و سرور هدف با مصرف منابع زیادی مواجه می‌شود که ممکن است منجر به از دست رفتن دسترسی به سرویس یا قطعی اینترنتی شود. هدف اصلی از حمله NTP Amplification، ایجاد ازدحام و ایجاد انکار سرویس است، به طوری که سرویس مورد نظر قابل دسترسی نباشد و از کار افتد. مصرف بیش از حد پهنای باند شبکه و منابع سرور موجب تخلیه منابع و ایجاد ناپایداری در سرویس می‌شود. برای جلوگیری این نوع از حمله ddos، می‌توان از روش‌های زیر استفاده کرد:

تنظیمات امنیتی در سرورهای NTP
استفاده از فایروال‌ها و IDS/IPS
به‌روزرسانی نرم‌افزارها و سیستم‌عامل‌ها
استفاده از محدودیت‌های دسترسی به سرورها و شبکه

حمله ‎ Icmp Flood

حمله ICMP Flood یک نوع حمله انکار سرویس (DoS) است که با استفاده از پروتکل ICMP (Internet Control Message Protocol) انجام می‌شود. در این نوع حمله، مهاجمان با ارسال تعداد بسیار زیادی درخواست ICMP (معمولاً درخواست‌های ping) به سرور یا دستگاه هدف، سعی در اشباع باند پهنای باند شبکه یا مصرف منابع دستگاه هدف دارند. هدف اصلی از حمله ICMP Flood، ایجاد ازدحام و ایجاد انکار سرویس است. با ارسال تعداد زیادی درخواست ICMP، منابع سرور یا دستگاه هدف، از جمله پردازشگر و پهنای باند، مصرف می‌شوند و به دسترسی کاربران مورد نظر ممکن است اختلال وارد شود یا به صورت کلی از دسترس خارج شوند. برای جلوگیری از حملات دیداس ICMP Flood، می‌توان از روش‌های زیر استفاده کرد:

استفاده از فایروال‌ها و IDS/IPS
استفاده از محدودیت‌های دسترسی به سرورها و شبکه
به‌روزرسانی نرم‌افزارها و سیستم‌عامل‌ها
استفاده از لایه‌های مانیتورینگ و لاگ‌گیری
استفاده از راهکارهای مبتنی بر QoS (کیفیت خدمات) و مدیریت ترافیک

حمله UDP Flood

یکی دیگر از حملات منع سرویس دهی حمله udp flood می‌باشد که با استفاده از پروتکل UDP (User Datagram Protocol) انجام می‌شود. در این نوع حمله، مهاجمان با ارسال تعداد بسیار زیادی پکت‌های UDP به یک سرور یا دستگاه هدف، سعی در اشباع باند پهنای باند شبکه یا مصرف منابع دستگاه هدف دارند. هدف اصلی از حمله UDP Flood، ایجاد ازدحام در سرویس است.

برای جلوگیری از حملات UDP Flood، می‌توان از روش‌های زیر استفاده کرد:
استفاده از فایروال‌ها و IDS/IPS
استفاده از محدودیت‌های دسترسی به سرویس‌ها و شبکه:
به‌روزرسانی نرم‌افزارها و سیستم‌عامل‌ها
استفاده از لایه‌های مانیتورینگ و لاگ‌گیری
استفاده از راهکارهای مبتنی بر QoS (کیفیت خدمات) و مدیریت ترافیک

حمله Dns Flood

حمله DNS Flood یک نوع حمله انکار سرویس (DoS) است که با استفاده از پروتکل DNS (Domain Name System) صورت می‌گیرد. در این نوع حمله، مهاجمان با ارسال تعداد زیادی درخواست DNS به سرور DNS هدف، سعی در استفاده بیش از حد از قابلیت پهنای باند شبکه یا مصرف منابع سرور دی ان اس دارند. هدف اصلی از این نوع حمله داس DNS Flood، ایجاد ازدحام و انکار سرویس است. زیرا سرور دی ان اس مسئول تبدیل نام‌های دامنه به آدرس‌های IP است و ارسال تعداد زیادی درخواست DNS می‌تواند باعث پر شدن تکمیل ظرفیت پهنای باند شبکه و مصرف منابع سرور شود تا کاربران نتوانند به نشانی‌های وب مورد نظر خود دسترسی پیدا کنند.

برای جلوگیری از حملات DNS Flood، می‌توان از روش‌های زیر استفاده کرد:

استفاده از فایروال‌ها و IDS/IPS
استفاده از محدودیت‌های دسترسی به سرویس‌ها و شبکه
به‌روزرسانی نرم‌افزارها و سیستم‌عامل‌ها
استفاده از لایه‌های مانیتورینگ و لاگ‌گیری
استفاده از راهکارهای مبتنی بر QoS (کیفیت خدمات) و مدیریت ترافیک

حمله Thermox

حمله ترموکس یا Thermox با استفاده از تکنیک‌های تقلب در شبکه spoofing و تکمیل ظرفیت منابع resource exhaustion برای حمله به سیستم‌های مخابراتی و شبکه‌های ارتباطی استفاده می‌کند. این حمله به طور خاص بر روی سیستم‌های VoIP تأثیرگذار است. هدف اصلی از این نوع حمله دی داس، ایجاد اختلال در خدمات VoIP است، به طوری که کاربران نتوانند از طریق این سیستم‌ها تماس برقرار کنند یا صدای کیفیت مناسبی را دریافت کنند. این حمله می تواند باعث قطع مکالمات، افزایش تاخیر در ارتباطات و کاهش کیفیت صدا شود.

برای جلوگیری از حملات ترموکس، می‌توان از روش‌های زیر استفاده کرد:

استفاده از تجهیزات امنیتی
استفاده از محدودیت‌های دسترسی
استفاده از راهکارهای امنیتی برای VoIP
به‌روزرسانی نرم‌افزارها و سیستم‌عامل‌ها
مانیتورینگ فعالیت‌ها و لاگ‌گیری

حمله دیداس Rainbow

حمله دیداس رینبو یا DDoS Rainbow یک نوع حمله دیداس Distributed Denial of Service است که با استفاده از تنوع در تکنیک‌ها و منابع حمله انجام می‌شود. در این نوع حمله، مهاجمان از مجموعه‌ای از روش‌ها، منابع و تکنیک‌ها برای انجام حمله استفاده می‌کنند تا بر دفاع‌‍‌های سیستم‌های امنیتی ایجاد شده نیز نفوذ کنند. هدف اصلی از انجام حمله دی داس نوع Rainbow اشغال منابع سیستم و ایجاد اختلال در ارتباطات است. با فشرده سازی ترافیک از طریق مجموعه‌ای منابع و تکنیک‌‌ها این حمله می‌تواند باعث قطع سرویس‌ها، کاهش کارایی سیستم‌ها، افزایش تاخیر در ارتباطات و کاهش کیفیت خدمات شود.

برای جلوگیری از حملات دیداس رینبو، می‌توان از روش‌های زیر استفاده کرد:

استفاده از سیستم‌های تشخیص حملات (IDS) و جلوگیری از حملات (IPS) برای شناسایی الگوهای حمله و جلوگیری از ورود ترافیک مشکوک به شبکه
استفاده از فایروال‌ها و تجهیزات امنیتی پیشرفته برای فیلترینگ و مدیریت ترافیک ورودی به شبکه
به‌روزرسانی نرم‌افزارها و سیستم‌عامل‌ها به منظور رفع ضعف‌ها و آسیب‌پذیری‌ها که ممکن است توسط حملات دیداس رینبو بهره‌برده شود
استفاده از راهکارهای مبتنی بر ابر (Cloud-based) برای تحلیل و فیلترینگ ترافیک ورودی و مقاومت در برابر حملات دیداس
مانیتورینگ فعالیت‌ها و لاگ‌گیری برای زمان‌بندی، شناسایی و پاسخگویی سریع به حملات

نرم افزار حمله ddos

نرم‌افزارهای حمله DDoS ابزارهایی هستند که برای انجام حملات انکار سرویس DoS و انکار سرویس توزیع‌شده DDoS استفاده می‌شوند. نرم افزار حمله ddos توسط هکرها یا گروه‌های هکر ساخته شده‌اند و برای انجام حملات به سیستم‌ها یا شبکه‌های هدف استفاده می‌شوند. این نرم افزار دارای قابلیت‌های مختلفی مانند توانایی تولید ترافیک بالا، استفاده از تکنیک‌های مختلف برای پنهان کردن هویت مهاجم و ارسال حجم بالایی از درخواست‌های فیک به سرورها هستند. برخی از نرم افزارهای حمله ddos به صورت رایگان و برخی دیگر به صورت پولی با قابلیت تنظیم ویژگی‌های بیشتر را ارائه می‌دهند.

جلوگیری از حملات ddos

جلوگیری از حملات DDoS با استفاده از روش‌های مختلف سخت افزاری و نرم افزاری صورت می‌گیرد. در ادامه به برخی از راهکارهای موثر برای جلوگیری از تاثیر دیداس خواهیم پرداخت.

استفاده از سیستم‌های مقاومت در برابر حملات DDoS برای تشخیص ترافیک مخرب و جلوگیری از ورود آن به شبکه و سرویس‌ها
استفاده از فایروال‌های توزیع شده Distributed Firewalls برای مدیریت و کنترل بار ترافیک
استفاده از خدمات محافظت در برابر DDoS ارائه دهندگان خدمات ابری
بروزرسانی نرم‌افزارها و سیستم‌ها برای کاهش حملات منع سرویس دهی
اعمال تنظیمات امنیتی در سرورها و شبکه‌ها برای مقابله با حملات دیداس
استفاده از سرویس‌های CDN برای توزیع محتوا از نزدیکترین سرور به کاربران و موثر در جلوگیری از حمله ddos

شناسایی حملات DDoS چگونه است؟

یکی از بارزترین علائم حملات DDoS، می‌توان به کند شدن ناگهانی و یا از دسترس خارج شدن سرویس اشاره نمود. اما ممکن است افزایش ترافیک وب سایت نیز عملکرد مشابهی ایجاد نماید. ابزارهای تجزیه و تحلیل ترافیک می‌توانند به شما کمک کنند تا برخی از این نشانه‌های آشکار حمله DDoS را شناسایی کنید و به مقابله با آن‌ها بپردازید، در ادامه به بررسی برخی از این موارد خواهیم پرداخت.

ترافیک از سوی کاربرانی که یک نمایه رفتاری مشترک دارند، مانند نوع دستگاه، موقعیت جغرافیایی، یا نسخه مرورگر وب
الگوهای ترافیکی غیرطبیعی مانند افزایش ترافیک در ساعات یا روزهای فرد (مثلاً هر ۱۰ دقیقه یک بار ترافیک افزایش یابد)
ترافیک ناشی از یک آدرس IP یا محدوده IP
افزایش درخواست‌ها به یک صفحه

بروز حملات DDoS برای وبسایت سازمان‌های کوچک و بزرگ منجر به از دست دادن درآمد کسب و کارها خواهند شد، به‌همین‌دلیل همواره باید به محافظت از وبسایت‌ها، شبکه‌ها و … در برابر حملات بپردازند.

ویژگی‌های سرویس DDoS Mitigation چیست؟

راه‌حل‌های سنتی DDoS Mitigation شامل خرید تجهیزاتی بود که به صورت on site استفاده می‌شد و ترافیک‌های ورودی را فیلتر می‌کردند. این رویکرد شامل خرید و نگهداری تجهیزات گران قیمت است و متکی به داشتن شبکه‌ای است که قادر به جذب حمله باشد. زیرا اگر حمله DDoS گسترده باشد، می‌تواند زیرساخت شبکه بالادست را بدون توجه به تجهیزات به‌کار گرفته‌شده از بین ببرد و از موثر بودن هر راه حل در سایت جلوگیری کند. بنابراین، قبل از خرید یک سرویس مبتنی بر ابر، باید ویژگی‌های خاصی در نظر گرفته شود.

مقیاس پذیری

یک راه حل موثر DDoS Mitigation قابلیت انطباق با الزامات یک کسب و کار در حال رشد و همچنین پاسخگویی به اندازه رو به رشد حملات DDoS است. بروز حملاتی بالاتر از ۵۰ Mpps اتفاق غیر معمولی نیست و برخی از آن‌ها هم ممکن است به ۲۰۰ تا ۳۰۰ Mpps هم برسند. حمله‌ای که فراتر از قدرت پردازش باشد، می‌تواند کل سیستم دفاعی را از بین ببرد. به همین خاطر، لازم است قبل از تهیه‌ی سرویس DDoS Mitigation به این مورد دقت نمایید.

قابلیت اطمینان

حفاظت از DDoS فقط در مواقعی که شما به آن نیاز داشته باشید اعمال می‌شود و باید در زمان لازم کاربردی باشد. قابلیت اطمینان در راه حل کاهش DDoS برای اینکه یک استراتژی حفاظتی موفق باشد، ضروری است. این سرویس باید نرخ به‌روزرسانی بالایی داشته باشد و مهندسان سایت همیشه در پشتیبانی آن حضور داشته باشند تا اطمینان حاصل نمایند که شبکه آنلاین است و تهدیدهای جدید در کمترین زمان شناسایی می‌شوند.

انعطاف‌پذیری

توانایی ایجاد خط‌مشی‌ها و الگوهای موردی و تک کاره به یک ویژگی وب اجازه می‌دهد، تا با تهدیدهای دریافتی در زمان واقعی سازگار شود. توانایی اجرای قوانین صفحه و اطمینان از این تغییرات در کل شبکه می‌تواند در حفظ کارکرد سایت در طول حمله بسیار مهم و موثر واقع شود.

ظرفیت شبکه

ظرفیت شبکه، اساسا مقیاس پذیری یک حمله را منعکس می‌کند و راهی عالی برای آزمایش یک سرویس DDoS Mitigation است. بیشتر خدمات کاهش DDoS مبتنی بر ابر، ظرفیت شبکه چند ترابایتی را ارائه می‌کنند که فراتر از نیاز هر مشتری است. از سوی دیگر، سرویس‌های داخلی به‌طور پیش‌فرض با اندازه شبکه و ظرفیت سخت‌افزار داخلی سازمان محدود می‌شوند. شبکه‌های بزرگی که قابلیت‌های انتقال داده گسترده‌ای دارند، می‌توانند به یک ارائه‌دهنده Mitigation برای تحلیل و پاسخ موثر و سریع به حملات کمک کنند و اغلب از حملات پیش از وقوع آن‌ها جلوگیری می‌کنند.

داس چیست؟

DoS یا Denial of Service یک نوع حمله ترافیکی است که سعی می‌کند سرور، شبکه یا سرویس مورد نظر را به حدی درگیر کند که توانایی پاسخ به درخواست‌ کاربران را نداشته باشد و باعث از دسترس خارج شدن منبع شود. در این نوع حمله، مهاجم ممکن است از روش‌های مختلفی از جمله ارسال تعداد بسیار زیادی درخواست به سرویس مورد نظر یا بهره‌مندی از آسیب‌پذیری‌های امنیتی در سیستم‌ها برای اختلال در عملکرد آن‌ها استفاده کند. هدف اصلی حملات DoS اغلب تخریب عملکرد سیستم یا سرویس مورد نظر است، که می‌تواند منجر به از دست رفتن اطلاعات، اختلال در فرآیندهای کسب و کار، از دست رفتن اعتبار سازمان، و خسارات مالی شدید شود.

تفاوت داس و دیداس چیست؟

تفاوت DoS و DDoS در تعداد منابعی است که برای انجام حمله استفاده می‌شود. در حمله داس تنها یک منبع یا یک دستگاه مهاجم برای ارسال تعداد زیادی درخواست به هدف استفاده می‌شود.

عوامل	حمله DoS	حمله DDoS
نام کامل	Denial of Service	Distributed Denial Of Service
دستگاه	از یک دستگاه استفاده می‌شود	شامل تعدادی دستگاه است
سرعت	عموماً کند هستند	سریع‌تر از یک حمله DoS
شناسایی	می‌توان به راحتی شناسایی کرد چرا که ترافیک کمتر است	بسیار دشوار زیرا ترافیک از منابع مختلفی که به نظر معتبر می‌آیند، می‌آید
حجم	حجم ترافیک کمتر است	حجم ترافیک بسیار زیاد است
پیشگیری	می‌توان به راحتی جلوگیری کرد	بسیار دشوار به پیشگیری است
خسارت	حملات DoS می‌تواند منجر به از دست دادن درآمد و شهرت شود	ممکن است منجر به از دست دادن درآمد، شهرت و هزینه‌های افزایش یافته برای بازیابی و امنیت شود
پیشگیری	حملات DoS می‌توانند به راحتی با استفاده از اقدامات امنیتی بهینه جلوگیری شوند	حملات DDoS به راحتی قابل پیشگیری نیستند، زیرا شامل دستگاه‌های دستکاری شده هستند که زیر کنترل قربانین می‌باشند
نحو اجرا	اجرا شده از یک دستگاه با استفاده از اسکریپت یا نرم‌افزار	از یک سرور دستور و کنترل (C&C) استفاده می‌کند

چگونگی حمله دیداس و ساختار حمله

حمله دیداس عموماً به دو شکل اشباع باند پهنای باند و اشغال منابع صورت می‌گیرد. در حملاتی که پهنای باند مورد حمله قرار میگیرد، مهاجمان تعداد زیادی درخواست به یک هدف ارسال می‌کنند، به طوری که باند پهنای باند سیستم مقصد اشباع شده و دیگر ترافیک معمولی نمی‌تواند به آن سرور راه پیدا کند. معمولاً حمله DDoS پهنای باند بر روی لایه ۳ OSI انجام می‌شوند و مهاجمان می‌توانند از تکنیک‌های مختلفی مانند UDP Flood، ICMP Flood، و SYN Flood استفاده کنند. نوع دیگر حملات دیداس حملات اشغال منابع است. در این نوع حمله، هکران سعی می‌کنند منابع سیستم مقصد مانند پردازنده، حافظه، و اتصالات شبکه را اشغال کنند. این حملات دی داس معمولاً بر روی لایه ۷ OSI انجام می‌شوند و می‌توانند شامل حملات HTTP Flood،Slowloris، و DNS Amplification باشند.

ساختار حمله ddos در حملات به شرح زیر می‌باشد:

Botnets (شبکه‌های زامبی):

بات‌نت مجموعه‌ای از دستگاه‌های متصل به اینترنت هستند که شامل رایانه‌های شخصی (رایانه‌های شخصی)، سرورها، دستگاه‌های تلفن همراه و دستگاه‌های اینترنت اشیا (IoT) می‌باشند که توسط یک نوع رایج بدافزار آلوده و توسط هکر کنترل می‌شوند. Botnets بدون اطلاع یا موافقت کاربران، توسط نرم‌افزارهای مخربی که معمولاً به عنوان تروجان‌ها یا ویروس‌ها شناخته می‌شوند، مورد استفاده قرار می‌گیرند. با استفاده از بات نت‌ها هکران می‌توانند ترافیک‌های فیک و تقلبی برای سرورهای قربانی و مورد هدف ارسال کنند و باعث افزایش ترافیک بار سرور و در نتیجه از دسترس خارج شدن آن شوند

Command and Control:

C&C مربوط به سرورها یا سیستم‌هایی است که مهاجمان برای کنترل بات‌نت خود استفاده می‌کنند. این سیستم‌ها می‌توانند اقداماتی مانند ارسال دستورات به کامپیوترهای زامبی یا جمع‌آوری اطلاعات در مورد حملات را انجام دهند.

Reflector Servers:

این بخش شامل سرورهایی است که مخربین از آن‌ها برای تقویت حجم حملات استفاده می‌کنند. به عنوان مثال، از سرورهای Reflector برای تقویت اطلاعات و ارسال تعداد زیادی از کامپیوترهای زامبی برای افزایش قدرت حمله استفاده می‌شود.

Victim Server:

این بخش از سیستم مربوط به سرور یا سرویسی است که هدف اصلی حمله است. این سرور به دلیل حجم بالای ترافیک درخواستی که از سوی بات‌نت و سرورهای Reflector فرستاده می‌شود، ممکن است از دسترس خارج شود و بنابراین خدماتی که ارائه می‌دهد قطع شود.

اهداف حمله دیداس چیست؟

هدف حمله دیداس با توجه به اهداف هکران ممکن است متغیر باشد. اما در کل، اهداف اصلی حملات DDoS شامل موارد زیر می‌شود:

ایجاد اختلال در سرویس‌دهی
تخریب سیستم‌ها
سرقت اطلاعات
تأثیرگذاری بر عملکرد اقتصادی
بدنام کردن شرکت مورد هدف

مشکلات حملات دیداس

حملات DDoS می‌توانند به مشکلات جدی برای سازمان‌ها، کسب و کارها، و حتی افرادی که هدف حملات هستند، منجر شوند. برخی از این مشکلات عبارتند از:

قطعی سرویس
افزایش هزینه‌ها برای مقابله با حملات DDoS
افزایش تاخیر و کاهش عملکرد
آسیب به سازمان‌ها و افراد

بزرگترین حملات دیداس تاریخ

بزرگترین حملات DDoS در تاریخ شامل حملاتی هستند که به ابعاد بسیار بزرگی دست یافته‌اند و به صورت گسترده‌ای بر روی سرویس‌ها و شبکه‌ها تاثیر گذاشته‌اند. از جمله بزرگترین حملات DDoS در تاریخ عبارتند از:

حمله دی داس علیه شرکت Dyn

یکی از بزرگترین حملات DDoS، حمله به سرورهای شرکت Dyn بود که در اکتبر ۲۰۱۶ رخ داد و باعث قطعی سرویس های بزرگی مانند Twitter، Netflix، PayPal و Spotify شد و میلیون‌ها کاربر را تحت تاثیر قرار داد.

حمله دیداس Mirai

در سال ۲۰۱۶، یک بدافزار به نام Mirai توسط هکرها منتشر شد که از آن به عنوان ابزاری برای انجام حملات DDoS استفاده شد. این بدافزار قادر به آلوده کردن دستگاه‌های اینترنت اشیاء (IoT) بود و مهاجمان از این دستگاه‌های آلوده برای ارسال ترافیک بسیار بالا به هدف خود استفاده کردند.

حمله ddos علیه شرکت GitHub

در سال ۲۰۱۸، یک حمله DDoS با حجم بسیار بالا به سرویس GitHub صورت گرفت و باعث قطعی سرویس برای بسیاری از کاربران شد. این حمله به عنوان یکی از بزرگترین حملات DDoS در تاریخ شناخته شد.

آمار حملات دیداس

آمار حملات DDoS به صورت مداوم تغییر می‌کند و بسته به شرایط، فعالیت‌های مهاجمان و تکنولوژی‌های دفاعی، ممکن است متغیر باشد. آمار حمله DDoS در سال‌های اخیر نشان می‌دهد که حملات منع سرویس دهی بیش از ۳۰۰ درصد افزایش یافته است و همچنان نیز در حال افزایش است. از طریق انتشار نرم‌افزارهای مخرب و اشتراک آنها در شبکه‌های زامبی botnets، مهاجمان می‌توانند حجم بالایی از ترافیک را به سرویس‌های مورد حمله ارسال کرده و آنها را از دسترس خارج کنند.

روش‌های مقابله با DDoS

سازمان‌ها برای مقابله با حملات DDoS می‌توانند از روش‌های سخت‌افزاری و نرم‌افزاری استفاده کنند. در ادامه به برخی از روش های مقابله با حمله دیداس خواهیم پرداخت.

۱٫ روش‌های سخت‌افزاری

استفاده از تجهیزات توزیع شده ترافیک (Traffic Distribution Appliances): این تجهیزات ترافیک را بین چندین سرور یا منطقه شبکه توزیع می‌کنند تا از بارزنی بیش از حد به یک منبع خاص جلوگیری شود و اثرات حملات DDoS کاهش یابد.

استفاده از فایروال‌های توزیع شده: این فایروال‌ها در مقابله با حملات DDoS به صورت توزیع شده در شبکه‌های بزرگ عمل می‌کنند و قابلیت مدیریت و کنترل بار ترافیک را فراهم می‌کنند.

استفاده از تجهیزات مخصوص حفاظت در مقابل حملات DDoS: این تجهیزات، با تشخیص حملات DDoS و جلوگیری از ورود ترافیک مخرب، می‌توانند سیستم‌ها و شبکه‌ها را از اثرات این حملات محافظت کنند.

۲٫ روش‌های نرم‌افزاری

استفاده از سیستم‌های مقاومت در برابر حملات DDoS: این سیستم‌ها با استفاده از الگوریتم‌های پیشرفته و فناوری‌های تشخیصی، ترافیک مخرب را تشخیص می‌دهند و از ورود آن به شبکه و سرویس‌ها جلوگیری می‌کنند.

استفاده از سیستم‌های تشخیص حملات (Intrusion Detection Systems – IDS): سیستم‌های IDS می‌توانند ترافیک شبکه را بررسی کرده و الگوهای حملات DDoS را تشخیص داده و اعلام کنند تا اقدامات ایمنی از پیش تعریف شده انجام شود.

استفاده از خدمات محافظت در برابر DDoS ارائه دهندگان خدمات ابری: بسیاری از ارائه دهندگان خدمات ابری (مانند Amazon Web Services، Cloudflare، ابر آسیاتک، Akamai) با ارائه خدماتی در خصوص محافظت در برابر حملات DDoS، به صورت خودکار و بر اساس مدل ترافیک شبکه، حملات را شناسایی و از بین می‌برند.

آنتی دیداس: سرویس‌های Anti-DDoS برای شناسایی و کاهش حملات DDoS در زمان واقعی با تجزیه و تحلیل ترافیک شبکه و مسدود کردن ترافیک مخرب و تقلبی قبل از رسیدن به برنامه یا سرویس هدف طراحی شده‌اند. این سرویس با استفاده از تکنیک‌های مختلفی مانند فیلتر کردن ترافیک مخرب، انحراف ترافیک و یا پاکسازی ترافیک، ترافیک مخرب را شناسایی و مسدود می‌کند و در عین حال به ترافیک قانونی اجازه عبور می‌دهد.

همچنین ممکن است از ترکیب روش‌های مختلف سخت‌افزاری و نرم‌افزاری برای بهبود مقاومت سیستم‌ها در برابر حملات DDoS استفاده شود. این ترکیبات می‌توانند به صورت اتوماتیک عمل کرده و سیستم‌ها را در مقابل حملات DDoS محافظت کنند. در ادامه، شما را با روش‌های مقابله با آن آشنا خواهیم نمود.

تشخیص علائم

حملات DDoS ممکن است با نشانه‌هایی مانند دریافت اسپم، کند شدن شبکه و اختلال وبسایت بروز یابد که در این صورت لازم است، وب سایت و سرور خود را بررسی نمایید.

مقاوم سازی فایروال برنامه وب

کاربران با مقاوم سازی زیر ساخت و فایروال‌های خود می‌توانند تا حد امکان در برابر حملات DDoS مقاوم باشند زیرا برخی از حملات DDoS فایروال‌ها را مورد هدف قرار می‌دهد. همچنین می‎‌توانند از طریق قرار دادن WAF بین اینترنت و سرور مبدا، یک پروکسی معکوس ایجاد کنند و از سرور هدف در مقابل انواع مختلف ترافیک‌‎های مخرب محافظت نمایند. روش WAF، ابزاری موثر برای کاهش حملات DDoS لایه ۷ است.

مسیریابی سیاه‌‎چاله

این روش یکی از رایج ترین راه حل‌های مورد استفاده توسط مدیران شبکه می‎‌باشد. در این روش یک مسیر ایجاد شده و ترافیک‎‌ها به سمت این مسیر راهنمایی می‎‌شوند. در واقع می‌توان گفت سیاه‌چاله همانند یک فیلتر عمل می‎‌کند و ترافیک مخرب را از شبکه دور می‎‌سازد. در مسیریابی سیاه‌چاله ترافیک سایت به سیاه چاله فرستاده می‎‌شود و برای مدتی شبکه از دسترس خارج می‎‌شود.

محدودیت سرعت

محدود کردن تعداد درخواست‌هایی که سرور در یک بازه زمانی خاص می‌پذیرد، نیز راهی برای کاهش حملات انکار سرویس است. در حالی که محدود کردن سرعت برای کند کردن اسکرابرهای وب از سرقت محتوا و کاهش تلاش‌های brute force برای ورود موثر است، اما به تنهایی برای مدیریت یک حمله DDoS کافی نیست.

افزودن پهنای باند

در صورتی که حمله DDoS اقدام به ایجاد ترافیک در شبکه نماید، کاربران می‌توانند با افزودن پهنای باند، ترافیک شبکه را کاهش دهند و حجم بالایی از ترافیک های ورودی را جذب نمایند. این روش فقط برخی از حملات را DDoS متوقف می‌نماید.

انتشار شبکه

در این روش، از یک شبکه Anycast برای پراکنده کردن ترافیک‌‎های مخرب در شبکه استفاده می‎‌شود که قابلیت اطمینان آن به شدت حمله بستگی دارد.

botnet چیست؟

بات‌نت یا botnet شبکه‌ای از رایانه‌های آلوده به بدافزار است که تحت کنترل یک یا چند مهاجم (معمولاً به نام کنترل‌کننده یا botmaster) قرار دارند و به صورت هماهنگ با یکدیگر عمل می‌کنند. این دستگاه‌های کامپیوتری ممکن است از رایانه‌های شخصی، سرورها، دستگاه‌های اینترنت اشیاء (IoT)، و یا سایر دستگاه‌های متصل به اینترنت شامل کامپیوترهای شخصی، دستگاه‌های هوشمند، دوربین‌های مداربسته و غیره تشکیل شده باشند. بات‌نت‌ها معمولاً بدافزارهای خاصی را در خود جای داده‌اند که به طور مخفیانه و بدون اطلاع کاربران، دستگاه‌ها را کنترل می‌کند. هکر با استفاده از این بات‌نت‌ها برای انجام فعالیت‌های مخرب مانند حملات DDoS، ارسال ایمیل‌های ناخواسته (spam)، سرقت اطلاعات شخصی و مالی، تبلیغات و موارد دیگر استفاده می‌کنند. botnet معمولاً با استفاده از تکنیک‌هایی مانند ارسال بدافزارهای تروجان، بهره‌مندی از آسیب‌پذیری‌های امنیتی در سیستم‌ها، و یا بهره‌مندی از رمزنگاری شبکه (مثل تروجان‌های کنترل از راه دور – RATs) ایجاد می‌شوند.

یکی از رایج‌ترین نگرانی‌های کاربران برای جلوگیری از حملات DDoS، تفاوت بین ترافیک این حمله و ترافیک عادی است و هرچه حمله پیچیده‎تر باشد، جداسازی و تشخیص آن دشوارتر خواهد شود. در واقع، هدف مهاجمان ایجاد شرایطی پیچیده و غیرقابل‌حل برای سرور، شبکه و یا سایت است حمله DDoS به روش‌های مختلف رخ می‎‌دهد، پس لازم است برای جلوگیری از این حمله استراتژی‎‌های خاصی بکار برده شود. البته با بررسی‎‌های دقیق می‎‌توان از حملات پیچیده جلوگیری کرد.

سوالات متداول
آیا می‌توان از حملات ddos محافظت کرد؟
بله، با استفاده از برخی از راهکارهای حفاظتی شامل استفاده از فایروال، توزیع بار، وب اپلیکیشن فایروال و استفاده از خدمات CDN می‌توان از حملات ddos محافظت کرد.

آیا حملات دیداس قانونی است؟
خیر، حملات DDOS به صورت عمدی صورت می‌گیرد و بطور قانونی تحت پیگرد است.

چه پیامدهایی می‌تواند برای یک سازمان از حملات دیداس به وجود آید؟
پیامدهای حمله دیداس می‌تواند شامل از کارافتادگی سرویس، افت تجربه کاربری، افزایش هزینه‌های توسعه و نگهداری، و از دست دادن اعتماد مشتریان باشد.