حمله DDoS یا دیداس چیست؟ تفاوت آن با حملات DoS و انواع آن

• حمله DDoS چیست؟
• حمله DDoS چگونه انجام می‌شود؟
• شناسایی حملات DDoS
• انواع حملات DDoS
  • حملات لایه کاربرد | Application Layer Attacks
  • حملات پروتکلی | Protocol Attacks
    • حمله SYN Flood
  • حملات حجمی | Volumetric Attacks
    • DNS Amplification
• جلوگیری از حملات DDoS
  • روش مسیریابی سیاهچاله‌ای | Blackhole routing
  • محدود کردن نرخ | Rate limiting
  • استفاده از فایروال برنامه تحت وب | Web Application Firewall – WAF

حمله DDoS چیست؟

حمله DDoS یا Distributed Denial of Service به حمله‌ای گفته می‌شود که هدف آن ایجاد اختلال در ترافیک یک سرور، سرویس یا شبکه مشخص است. اما چطور این اختلال بوجود می‌آید؟ بوسیله ارسال حجم زیادی ترافیک، به سمت هدف. اما توجه داشته باشید که در حملات DDoS این ارسال ترافیک بصورت توزیع شده است. یعنی مهاجم فقط از ۱ سیستم اقدام به ارسال ترافیک نمی‌کند، بلکه از چندین سیستم اقدام به این کار می‌کند. این سیستم‌ها عموما سیستم‌هایی هستند که متعلق به خود مهاجم نیستند. هر چه تعداد این دستگاه‌ها بیشتر باشد، احتمالا حمله مهلک‌تر می‌شود. این دستگاه‌ها می‌توانند سیستم‌های شخصی، سرور، VPS، دستگاه‌های اینترنت اشیا و … باشد. تفاوت عمده حملات DoS و DDoS نیز در همین است. در DoS از یک دستگاه برای حمله استفاده می‌شود. این در حالیست که در DDoS از چندین دستگاه برای انجام حمله انجام می‌شود.

پس به زبان ساده، در این حملات یک تارگت وجود دارد و مهاجم به صورت توزیع شده ترافیک زیادی به سمت آن ارسال می‌کند، با هدفِ اینکه سرویس‌دهی آن دچار اختلال شود. مثلا یک رستوران را در نظر بگیرید. فردی با هدف ایجاد اختلال، با رستوران تماس می‌گیرد. او تمام یا بخشی از میزهای آن را رزرو می‌کند. بدون آنکه قرار باشد به رستوران بیاید و از آن‌ها استفاده کند. در این صورت رستوران در سرویس‌دهی دچار مشکل می‌شود. چرا که بسیاری از منابع خود را صرف شخصی کرده است که هیچ‌گاه قصد استفاده از آن را ندارد.

حمله DDoS چگونه انجام می‌شود؟

بات نت

حملات DDoS بوسیله دستگاه‌هایی که به اینترنت متصل هستند انجام می‌شود. این دستگاه‌ها شامل کامپیوترها و تجهیزاتی هستند که قبلا مهاجم به آن‌ها دسترسی پیدا کرده است. این دسترسی به مهاجم اجازه می‌دهد که آن‌ها را بصورت از راه دور (Remote) کنترل کند. به هر کدام از این دستگاه‌ها زامبی (Zombie) یا بات (Bot) و به مجموعه آن‌ها بات نت (Botnet) گفته می‌شود.

پس از ایجاد یک بات نت، مهاجم می تواند با ارسال دستورالعمل‌های از راه دور به هر بات، حمله را مدیریت کند.

هنگامی که سرور یا شبکه یک قربانی توسط بات نت هدف قرار می گیرد، هر بات درخواست‌هایی را به آدرس IP تارگت ارسال می کند به امید اینکه باعث شود سرور یا شبکه بیش از حد تحت فشار قرار بگیرد. اگر شبکه تحت فشار قرار بگیرد، منابع سیستم بیهوده مشغول می‌شود. در نتیجه باعث عدم پذیرش سرویس به ترافیک عادی می شود.

توجه داشته باشید که هر بات یک دستگاه اینترنتی مجاز است. به همین علت، جدا کردن ترافیک حمله از ترافیک عادی ممکن است دشوار باشد.

شناسایی حملات DDoS

بارزترین نشانه حمله DDoS کند شدن ناگهانی سایت یا سرویس است. اما از آنجا که تعدادی افزایش ترافیک واقعی و ناگهانی به یک سرویس نیز باعث کند شدن آن می‌شود، معمولا بررسی بیشتری برای شناسایی حملات DDoS نیاز است. ابزارهای تجزیه و تحلیل ترافیک می‌‎توانند به شما کمک کنند برخی از علائم آشکار یک حمله DDoS را تشخیص دهید:

• مقدار شک برانگیزی از ترافیک ورودی از یک آدرس IP یا محدوده IP سرچشمه می‌گیرند
• سیل ترافیک از کاربرانی که یک نمایه رفتاری (مانند نوع دستگاه، موقعیت جغرافیایی یا نسخه مرورگر وب) شبیه به هم دارند
• افزایش غیرمنطقی و چشمگیر درخواست‌ها به یک صفحه یا سرویس
• الگوهای ترافیکی عجیب و غریب مانند پیک‌های ترافیکی در ساعات خاموشی روز یا الگوهایی که غیر طبیعی به نظر می رسند (به عنوان مثال پیک ترافیکی در هر ۱۰ دقیقه)

علائم دیگری از حمله DDoS وجود دارد که بسته به نوع حمله می تواند متفاوت باشد.

انواع حملات DDoS

در این بخش با چند مورد از معروف‌ترین انواع حملات DDoS آشنا می‌شویم. انواع مختلف حملات DDoS اجزای مختلف شبکه را هدف قرار می‌دهند. برای درک نحوه عملکرد انواع حملات DDoS لازم است بدانید که چگونه اتصال شبکه صورت می‌گیرد. اتصال شبکه در اینترنت از اجزای مختلف یا “لایه” تشکیل شده است. همان لایه‌هایی که در مدل TCP/IP یا مدل مفهومی OSI در مورد آن‌ها به طور مفصل صحبت کردیم.

با اینکه تقریباً همه حملات DDoS از طریق وارد کردن فشار زیاد به یک دستگاه یا شبکه هدف صورت می‌گیرد، اما این حملات را می‌توان به سه دسته تقسیم کرد. یک مهاجم ممکن است از یک یا چند بردار حمله (Attack Vector) مختلف، در پاسخ به اقدامات تدافعی شبکه هدف استفاده کند.

حملات لایه کاربرد | Application Layer Attacks

به این دسته از حملات، “حملات DDoS لایه هفت” نیز گفته می‌شود. منظور از لایه هفت، لایه هفتم مدل OSI می‌باشد. هدف این دسته از حملات هدر دادن منابع تارگت می‌باشد. به این امید که تارگت از دسترس خارج شود و به عبارت دیگر، منع سرویس رخ دهد.

اما منظور از لایه هفت بودن این حملات چیست؟ این حملات منابعی از سیستم را هدر می‌دهند که در لایه هفتم کار می‌کنند. مثل صفحات وب! همانطور که می‌دانیم، وقتی یک درخواست HTTP به سمت یک سرور ارسال می‌‎شود، در واقع از سرور خواسته‌ایم که یک صفحه وب را برای آماده و ارسال کند. در جواب این درخواست ما، سرور محتوای یک صفحه وب را برای ما ارسال می‌کند. این عملیاتی که سرور برای آماده‌سازی و ارسال انجام می‌دهد برای ۱ درخواست HTTP شامل آماده‌سازی یک سری فایل هست که برای سرور هزینه‌ای دارد. وقتی تعداد این درخواست‌ها بالا می‌رود، نیاز به پردازش بیشتری نیز وجود خواهد داشت. در حملات DDoS لایه هفت نیز با ارسال تعداد بسیار زیادی درخواست HTTP سعی می‌شود منابع سرور بیهوده مشغول شوند. یک نمونه از حملات این دسته، حملات HTTP Flood می‌باشد.

یک مثال برای درک بهتر این قضیه، مثال مطبِ دکتر و بیمار می‌باشد. فرض کنید یک نفر با مطب تماس می‌گیرد و منشی جواب او را می‌دهد. ۱ بار جواب دادن به تلفن، مقداری وقت و انرژی از منشی می‌گیرد. اگر قرار باشد این فرد در طول روز بارها و بارها به مطلب زنگ بزند بدون آنکه هدفی داشته باشد، وقت و انرژی منشی را هدر می‌دهد و منشی از خدمت‌رسانی به بقیه افراد غافل می‌ماند.

دفاع از حملات لایه ۷ دشوار است، زیرا تفکیک ترافیک مخرب از ترافیک مجاز حدودا دشوار است.

حملات پروتکلی | Protocol Attacks

حملات پروتکلی، که به عنوان حملات State-Exhaustion نیز شناخته می شوند، با مصرف بیش از حد منابع سرور و منابع تجهیزات شبکه مانند فایروال ها و تعدیل کننده‌های بار، باعث ایجاد اختلال در سرویس می‌شوند. حملات پروتکلی از لایه ۳ و لایه ۴ پشته پروتکلی استفاده می کند تا هدف را از دسترس خارج کنند.

حمله SYN Flood

حمله SYN Flood یک نمونه از این دسته‌بندی است. این نوع از حملات را در ویدیوی آموزش SYN Flooding بطور کامل بررسی کردیم. برای درک راحت‌تر این نوع از حملات یک مثال می‌زنیم. فرض کنید یک بستنی فروشی که در کنار یک خیابان قرار دارد. به محض اینکه یک مشتری درخواست بستنی قیفی می‌کند، به کنار دستگاه می‌رود و شروع به آماده کردن بستنی قیفی می‌کند. به ازای هر بستنی که آماده می‌‌‌‌کند، انتظار دارد یکی از مشتریان بستنی را از دست او بگیرد تا بتواند بستنی بعدی را تهیه کند. حال فرض کنید یک یا چند نفر از مشتریان او، سفارش بستنی بدهند ولی تا تحویل آن صبر نکنند. چه اتفاقی می‌افتد؟ بستنی فروش یک بستنی آماده می‌کند ولی کسی نیست که آن را از او تحویل بگیرد! اینگونه مشتریان باعث هدر رفتن منابع بستنی فروشی می‌شوند و روند خدمت‌رسانی به دیگر مشتریان نیز دچار اختلال می‌شود.

سازوکار حمله SYN Flood

در حملات SYN Flooding نیز، از TCP Handshake سواستفاده می‌‎شود که در مورد آن در پست “TCP چیست؟ ارتباط TCP چگونه انجام می‌شود؟” به طور کامل صحبت کردیم. بطور خلاصه، TCP 3-Way Handshake یک سری عملیات پشت سرهم می‌باشد که برای شروع یک ارتباط TCP لازم است. مثل دو انسان که وقتی می‌خواهند یک مکالمه را شروع کنند، ابتدا به یکدیگر سلام می‌کنند. فرض کنید A می‌خواهد یک ارتباط TCP با B برقرار کند. ابتدا A یک درخواست برای شروع ارتباط به B ارسال می‌کند. سپس B یک پیام تایید برای A ارسال می‌کند، به این معنی که “من هم برای شروع ارتباط آماده‌ام و می‌توانی ارتباط را شروع کنی!”. اما A ارتباط را شروع نمی‌کند!! همانند بستنی ای که B آماده کرده است، ولی A در آنجا حضور ندارد تا بستنی را تحویل بگیرد. البته A اینکار را بوسیله یک سری آدرس IP جعلی انجام می‌دهد. بدین ترتیب تشخیص حمله برای B سخت می‌شود و متوجه نمی‌شود که همه این درخواست‌ها از یک نفر می‌باشد. بدین ترتیب منابع سیستم، مشغول می‌شود.

حملات حجمی | Volumetric Attacks

این دسته از حملات سعی دارند با مصرف تمام پهنای باند موجود هدف، ازدحام ایجاد کنند. حجم زیادی داده به سمت تارگت ارسال می‌شود. این کار بوسیله Amplification و یا دیگر روش‌های تولید ترافیک حجیم، مثل ارسال درخواست از بات نت، انجام می‌شود.

DNS Amplification

تقویت DNS مانند این است که کسی بخواهد با یک رستوران تماس بگیرد و بگوید من یکی از همه غذاها را سفارش می‌دهم، لطفاً با من تماس بگیرید و کل سفارش من را تکرار کنید”. در حالی که این شخص با یک شماره جعلی تماس گرفته است! و این شماره متعلق به قربانی است. با یک تلاش بسیار کم از سمت مهاجم، پاسخی طولانی ایجاد می شود و برای قربانی ارسال می شود. با ارسال درخواست از سرور DNS با آدرس IP جعلی (جعل شده به آدرس IP قربانی)، آدرس IP هدف پاسخی از سرور دریافت می کند.

جلوگیری از حملات DDoS یا DDoS Mitigation

نگرانی اصلی در جلوگیری از حمله DDoS تشخیص ترافیک واقعی از ترافیک غیرواقعیست. به عنوان مثال، یک محصول دارای وب سایت شرکتی را فرض کنید که افراد زیادی منتظر منتشر شدن آن محصول هستند. طبیعی است که بعد از انتشار آن، افراد زیادی به وب سایت مراجعه می‌کنند و ترافیک ورودی افزایش می‌یابد. طبیعتا مسدود کردن این ترافیک، اشتباه است. اگر آن شرکت ناگهان دچار افزایش ترافیک از سوی مهاجمان شود، لازم است که فورا جلوی ترافیک غیرواقعی گرفته شود. چرا که در حالت عادی هم ترافیک ورودی حجم زیادی دارد و منابع به شدت مشغول هستند. در ادامه با چند روش برای جلوگیری از این حملات آشنا می‌شویم.

روش مسیریابی سیاهچاله‌ای | Blackhole routing

یک راه حل که عملاً برای همه سرپرستان شبکه در دسترس است، ایجاد یک مسیر (Route) سیاه چاله و ارسال ترافیک به آن است. در ساده ترین شکل خود ، هنگامی که فیلتر سیاهچاله بدون معیارهای محدودیت خاصی اجرا شود ، ترافیک قانونی و مخرب شبکه به یک مسیر تهی یا سیاهچاله هدایت می شود و از شبکه رها می شود.

اگر دستگاه متصل به اینترنت با حمله DDoS روبرو شده باشد، ارائه دهنده خدمات اینترنتی یا ISP ممکن است تمام ترافیک سایت را به عنوان دفاع به سیاه چاله ارسال کند. این یک راه حل ایده آل نیست، زیرا مهاجم را به هدفش می‌رساند! چراکه باعث می شود شبکه از دسترس خارج شود و هر کسی (حتی شخصی که واقعا قصد استفاده از خدمات دارد) نمی‌تواند از سرویس‌دهی استفاده کند.

محدود کردن نرخ | Rate limiting

محدود کردن تعداد درخواست‌هایی که سرور در یک بازه زمانی خاص می‌پذیرد نیز روشی برای کاهش حملات DoS و DDoS است. با اینکه این روش برای کند کردن عملیات Web Scrapperها و کسانی که اقدام به بروت فورس می‌کنند، موثر است، اما به تنهایی برای کنترل حمله DDoS کافی نیست. اما همیشه از این روش به عنوان یک روش کاربردی استفاده می‌شود.

استفاده از فایروال برنامه تحت وب | Web Application Firewall – WAF

در مقاله “WAF چیست؟” بطور کامل در مورد WAF صحبت کردیم. WAF ابزاری است که می تواند در جلوگیری از حمله DDoS لایه هفت، موثر باشد. با قرار دادن WAF بین اینترنت و سرور، WAF می‌تواند به عنوان یک پروکسی عمل کند و از سرور در برابر برخی ترافیک‌های مخرب محافظت کند.

با فیلتر کردن درخواست ها بر اساس یک سری دستورالعمل استفاده شده برای شناسایی ابزارهای DDoS، می توان از حملات لایه هفت جلوگیری کرد. یکی از مزیت‌های کلیدی WAF توانایی اجرای سریع دستورالعمل‌های مشخص شده، در پاسخ به حمله است.

ترجنس | thregence.ir
آکادمی ترجنس | edu.thregence.ir
اینستاگرام | instagram.com/thregence
تلگرام | t.me/thregence
یوتوب | https://bit.ly/30mGowo
آپارات | aparat.com/thregence