حمله Dos (denial-of-service) و DDos (distributed denial-of-service)، انواعی از حملات سایبری هستند که هکر، با فرستادن دستور های متعدد و حجم سنگینی از ترافیک اینترنتی به یک سرور یا سیستم، منابع پردازنده آن را بیش از حد توان سیستم استفاده کرده و باعث از کار افتادن سیستم و توقف عملکرد آن می شوند تا کاربران و بازدید کنندگان، در دسترسی به سرور دچار مشکل شوند.
Dos چیست؟
در حمله Dos، هکر یا اتکر (Attacker)، با استفاده از یک IP یا یک سیستم، حمله را انجام می دهد. به عبارت دیگر، فقط یک سیستم در حمله نقش دارد و توسط آن، درخواست های متعدد و متوالی به سرور ارسال می شود.
DDos چیست؟
در حمله DDos، هکر با استفاده از بات نت، که مجموعه ای عظیمی از سیستم های هک شده با IP های متفاوت است، این حمله را انجام می دهد و توسط آن سیستم ها درخواست های متعدد و متوالی را ارسال کرده و سرور و سیستم را دچار اختلال می کند.
حمله DDos چگونه صورت می گیرد؟
برای انجام حمله DDos، هکر به بات نت نیاز دارد که مجموعه ای عظیم از سیستم های هک شده با IP های متفاوت است و هر سیستم هک شده، یک بات است. هکر بات نت خود را، با بکارگیری تکنیک های مهندسی اجتماعی و ارسال بدافزار ها به تعداد زیادی از سیستم ها بدست می آورد.
هکر ها ممکن است انگیزه ها و هدف های مختلفی از یک حمله DDos داشته باشند که می تواند شامل آسیب زدن به کسب و کار رقیب هایشان، باج خواهی و…. باشد. آنها پس از انتخاب هدف، راجب آسیب پذیری ها و نقاط ضعف امنیتی هدف تحقیق می کنند و در رابطه با انجام حمله برنامه ریزی می کنند.
باید بدانید که هکر ها برای کنترل و مدیریت بات نت خود، نیاز به سرور های C2 یا همان Command and Control دارند که اقدام به راه اندازی آن می کنند. سپس با ارسال دستور عمل های لازم به بات نت خود و ارسال درخواست های متعدد و متوالی به سرور هدف توسط بات نت، حمله DDos صورت می گیرد.
تفاوت حمله Dos با DDos چیست؟
هدف از حمله در هر دو حملات Dos و DDos، مختل کردن سرور های هدف با ارسال درخواست های متعدد و متوالی با حجم بالایی از ترافیک اینترنتی است با این تفاوت که در حمله Dos، این عمل توسط یک سیستم یا یک بات صورت می گیرد ولی در حمله DDos، توسط شبکه ای عظیم از بات ها (botnet) که می توانند از لحاظ جغرافیایی از ناحیه های متفاوتی نیز باشند صورت می گیرد.
حملات DDos، نسبت به حمله Dos، ماهیت پیچیده تر و گسترده تر دارند و ردیابی و شناسایی آنها دشوار است. بنابراین، از قدرت بیشتری برخوردار هستند.
انواع حملات Dos و DDos
حملات Dos و DDos به روشهای مختلفی انجام میشوند و میتوانند لایههای مختلف مدل OSI را هدف قرار دهند. در ادامه، به بررسی انواع این حملات به زبان سادهتر میپردازیم:
1. حملات لایه اپلیکیشن (Application Layer)
این حملات، لایه ۷ مدل OSI را هدف قرار میدهند؛ جایی که درخواستهای کاربران برای نمایش صفحات وب پردازش میشوند. در این نوع حملات، مهاجم با ارسال تعداد زیادی درخواست جعلی، سرور را اشباع کرده و از پاسخگویی به کاربران واقعی جلوگیری میکند.
2. حملات لایه حجمی (Volumetric Attacks)
این حملات در لایههای ۳ و ۴ OSI انجام میشوند و با ارسال حجم زیادی از دادههای غیرمجاز به سرور، پهنای باند شبکه هدف را اشغال میکنند. این امر مانع از دریافت و پردازش دادههای قانونی برای کاربران واقعی میشود.
3. حملات لایه پروتکل (Protocol Attacks)
این نوع حملات نقاط ضعف لایههای ۳ و ۴ OSI را هدف قرار میدهند. مهاجم منابع شبکه را به طور کامل مصرف میکند تا سرور نتواند به درخواستهای کاربران واقعی پاسخ دهد.
4. حملات لایه فیزیکی (Physical Layer)
این حملات در لایه ۱ مدل OSI انجام میشوند و نیازمند دسترسی مستقیم مهاجم به تجهیزات شبکه است. برای مثال، مهاجم میتواند به مرکز داده (Data Center) دسترسی پیدا کرده و با ایجاد اختلال در تجهیزات فیزیکی مثل روترها، سوئیچها، یا ژنراتورها باعث قطعی شبکه شود.
5. حملات لایه لینک داده (Data Link Layer)
این حملات لایه ۲ مدل OSI را هدف قرار میدهند و از آسیبپذیریهای این لایه برای ایجاد اختلال در ارتباطات استفاده میکنند.
6. حملات لایه نشست (Session Layer)
در این حملات که مربوط به لایه ۵ مدل OSI هستند، مهاجم با ایجاد اختلال در مدیریت نشستها (Sessions)، مانع از ایجاد ارتباط پایدار میان کاربر و سرور میشود.
7. حملات Multi-Vector
این حملات پیچیدهتر هستند و چندین لایه را همزمان هدف قرار میدهند؛ بهویژه لایههای ۳، ۴ و ۷. مهاجم از روشهای مختلف برای حمله استفاده میکند تا دفاع از شبکه سختتر شود.
این تقسیمبندی به شما کمک میکند تا دید بهتری از انواع حملات Dos و DDos داشته باشید و برای مقابله با آنها برنامهریزی کنید.
هدف از حمله Dos و DDos
همانطور که گفته شد، ممکن است هکر ها اهداف و انگیزه های مختلفی از انجام حملات Dos و DDos داشته باشند و باج خواهی، آسیب زدن به شرکت های رقیب، جنگ های سایبری، سرگرمی، هکتیویسم و… از اهداف رایج این حملات هستند.
چالش های حملات DDos
در رابطه با چالش های حملات DDos، ابتدا باید به دشوار بودن شناسایی و مقابله با آن اشاره کرد زیرا همانطور که گفته شد، در این نوع حملات هکر از بات نت و IP های هک شده استفاده میکند که موضوع را بسیار پیچیده تر کرده شناسایی هکر را تقریبا غیر ممکن می کند.
علاوه بر این، انجام این حملات تقریبا برای هر فردی آسان است؛ زیرا هر کسی می تواند به راحتی با پرداخت هزینه ای به یک هکر، یک بات نت خریداری کرده و با دانش فنی کم نیز اقدام به انجام حمله دی داس کند.
همچنین حملات DDos، می توانند منجر به خسارت های مالی سنگینی شوند؛ نه تنها اینکه شرکت ها، مشتریان و اعتبار خود را از دست می دهند بلکه نیاز دارند هزینه های سنگینی را برای تجهیزات و سرویس های جلوگیری از این حملات بپردازند.
معروف ترین حملات DDos
در ادامه، با چند تا از حملات معروف DDos آشنا می شویم..
هدف حمله | توضیحات | سال وقوع | پینگ سرعت (ترابیت بر ثانیه) |
پلتفرم گیت هاب | با استفاده از تکنیک Amplification، سرورهای پلتفرم گیتهاب توسط هکر ها مورد حمله قرار گرفت، ولی خوشبختانه کارشناسان گیتهاب پس از گذشت چند دقیقه دوباره پلتفرم خود را به حالت آنلاین برگرداندند. | 2018 | 1.35Tbps |
سرویس های گوگل | هکر ها، حدود 180،000 سرور CLDAP، SMTP و DNS را هک کرده و به اختیار خود درآوردند؛ سپس با ارسال 167 میلیون درخواست جعلی و غیر قانونی، سرویس های گوگل را تحت تاثیر قرار دادند. | 2017 | 2.54Tbps |
AWS | یکی از مشتریان پلتفرم AWS، تحت یک حمله سنگین DDos قرار گرفت و سرویس های امنیت سایبری آمازون(AWS Shield)، پس از گذشت سه شبانه روز موفق به دفع خطر شدند. | 2020 | 2.3Tbps |
OVH | هکرها با استفاده از باتنت تشکیل شده از ۱۵۰،۰۰۰ دستگاه مبتنی برIoT، علیه شرکت ارائه دهنده خدمات میزبانی OVH حمله ی سنگینی انجام دادند و عملکرد آن را مختل کردند. | 2016 | 1Tbps |
نحوه شناسایی حملات DDos
توجه به علائم مشکوک در رابطه با حملات DDos، امری بسیار ضروری است و سازمان ها باید به طور منتظم سرور های خود را بررسی کنند. چند نمونه از علائم مشکوک از حملات DDos عبارتند از…
- مشاهده آدرس های IP مشکوک
- خطای 503
- مشاهده لاگ های غیر عادی در سرور
- افزایش لتنسی شبکه
- کاهش سرعت و کند شدن وب سایت
- افزایش ناگهانی ترافیک
- مشاهده الگو های ترافیکی غیر عادی
- از دسترس خارج شدن وب سایت
روش های پیشگیری و مقابله با DDos
روش ها و راهکار هایی در رابطه با پیشگیری و مقابله با حملات DDosوجود دارند؛ برای مثال می توان به موارد زیر اشاره کرد:
- مانیتورینگ شبکه و افزایش امنیت آن
- استخدام کارشناسان امنیت سایبری
- فناوری های EDR و NDR
- استفاده از فناور Anycast
- استفاده از سامانه SIEM
- تفکیک ترافیک های قانونی از جعلی
- استفاده از CDNها
- استفاده از پروکسی معکوس
- استفاده از WAF
- استفاده از IPS و IDS فایروال ها
- خودداری از استفاده فایروال های سنتی و قدیمی
- آشنایی با انواع حملات DDos
- مسیریابی سیاه چاله
- روش Rate Limiting
- ایجاد پنل مخصوص برای مقابله با حملات دیداس
متد های مورد استفاده در حملات Dos و DDos
متدهای رایج که توسط هکر ها بکار گرفته می شوند در لیست زیر آمده است:
- ICMP flood
- SYN flood
- Teardrop attacks
- Low-rate Denial-of-Service attacks
- Peer-to-peer attacks
- Asymmetry of resource utilization in starvation attacks
- Permanent denial-of-service attacks
- Application-level floods
- Nuke
- R-U-Dead-Yet
- Distributed attack
- Reflected / Spoofed attack
- Unintentional denial of service
- Denial-of-Service Level II
ویژگی های پروتکل ها در حملات Dos وDDos
هکر، از برخی ویژگی های پروتکل ها برای از دسترس خارج کردن سیستم قربانی سو استفاده می کند. در این نوع حمله، فرد حمله کننده یک نیم سرور دارد و Query های اشتباه را به سمت نیم سرور قربانی ارسال کرده و در پاسخ؛ نیم سرور قربانی اطلاعات غلط را Cache کرده و به نیم سرور هکر ارسال می کند.
ابزار های مورد استفاده در حملات Dos و DDos
حال که با مفهوم DDos و نحوه صورت گیری حملات DDos آشنا شده اید، باید بدانید که برای این عمل، چندین ابزار با معماری های مشابه بکار گرفته می شوند که از جمله آنها می توان به TRINOO، TFN، Stacheldraht و… اشاره کرد.
آیا روشی قطعی برای جلوگیری از حملات داس و دیداس وجود دارد؟
تجهیزات و سرویس های امنیتی شرکت های Fortinet، Sophos و Cisco بهترین خدمات را برای شناسایی، پیشگیری و مقابله با انواع حملات سایبری مانند Dos و DDos ارائه می دهند که شما می توانید از داریانت که وارد کننده معتبر محصولات این برند ها است، تجهیزات مورد نیاز شبکه های خود را با مناسب ترین قیمت و با ضمانت، خریداری کرده و از امنیت سایبری کسب و کار خود اطمینان حاصل کنید.
سخن پایانی
شرکت داریا، از ابتدا تا انتهای راه تامین، حفظ و تقویت امنیت سایبری کسب و کار شما، همراه شماست و شما می توانید با برقراری ارتباط با کارشناسان ما به شماره ، از امنیت سایبری سازمان خود اطمینان کامل حاصل فرمایید.
بسیار کامل و جامع توضیح دادین ممنون