DDoS چیست؟ چگونه از شبکه خود در برابر آن محافظت کنیم؟

DDoS مخفف عبارت Distributed Denial of the Server و به معنی حملات محروم‌سازی از سرویس است.

این حملات به منظور کاهش خدمت‌رسانی انجام می‌شوند و از چندین سرور یا دستگاه فعال از مکان‌های مختلف برای حمله به یک سرور یا برنامه تحت وب استفاده می‌کنند. وب‌سایت مورد هدف با یک بار ترافیکی حجیم روبرو می شود تا خدمت‌رسانیش متوقف ‌شود. این حملات بیشتر با هدف باج گیری مهاجم از صاحب وب‌سایت انجام می شود؛ بنابراین صاحب وب سایت برای اجرای درست خدمات وبسایت خود باید هزینه آن را به مهاجم پرداخت کند. این حملات می‌توانند از چند ساعت تا چند روز ادامه داشته باشند. طولانی‌ترین حمله DDOS ثبت شده Q2 209 نام داشت که 509 ساعت یا به عبارتی بیش از 21 روز به طول انجامید.

انواع رایج حملات DDOS

حملات سیل‌آسای یو دی پی (UDP Flood)

در این نوع حمله، از پروتکل دیتاگرام کاربر (UDP) در حملات DDoS استفاده می‌شود که به کمک آن تعدادی بسته UDP در پورت‌های تصادفی به میزبان مورد هدف ارسال می‌شود. در پاسخ میزبان به بررسی موارد زیر مشغول شود:

پیدا کردن اپلیکیشنی که به پورت گوش می‌دهد.

پی بردن به اینکه هیچ اپلیکیشنی به پورت گوش نمی‌دهد

با یک بسته پاسخ می‌دهد که ‌هاست غیرقابل دسترس است

هنگامی‌که میزبانِ مورد هدف تعداد زیادی درخواست این چنینی دریافت می‌کند، به پاسخ دادن به تمام بسته‌ها مشغول می‌شود و دیگر برای سایر مشتریان در دسترس نخواهند بود.

حملات سیل‌آسای آی سی ام پی (ICMP Flood)

پروتکل کنترل پیام اینترنتی (ICMP)، که تحلیلگران شبکه معمولا آن را با عنوان پینگ می‌شناسند، در حملات DDoS استفاده می‌شود. این پروتکل به مهاجمان کمک می‌کند چندین درخواست از نوع پینگ را به میزبان‌های مورد هدف ارسال کرده و بسته‌های ارسالی را دریافت کنند. معمولا از درخواست‌های پینگ برای آزمایش اینکه آیا یک میزبان در شبکه کار می‌کند یا نه استفاده می‌شود، اما اگر چندین درخواست پینگ به یک سرور یا دستگاه ارسال شود، این سرور یا دستگاه از دسترس خارج خواهد شد. چندین دستور وجود دارد که می‌تواند به حمله DDoS کمک کند، مانند دستورهای ping -n، ping -t و ping -I.

حملات سیل‌آسای اس آی ان (SYN Flood)

در یک برقراری ارتباط پایدار، کلاینت در مرحلۀ اول یک بستۀ همگام‌سازی (SYN) را به سرور ارسال می‌کند و در مرحلۀ دوم، سرور با یک بستۀ تصدیق-همگام‌سازی (SYN-ACK) پاسخ می‌دهد. زمانیکه هاست این بسته را دریافت می کند، در مرحله سوم با یک بسته تصدیق (ACK) پاسخ می‌دهد. اما در زمان یک حمله DDoS، مرحله سوم که از طرف هاست است، با استفاده از یک آدرس IP جعلی یا با استفاده از الگوریتم‌هایی که به مهاجم کمک می‌کند تصدیق‌های ارسال شده توسط سرور مورد هدف را دریافت نکند، نادیده گرفته می‌شود.

حملات پینگ مرگ (Ping of Death)

در این نوع حمله، مهاجمان یک درخواست پینگ حاوی یک بسته حجیم را به میزبان مورد هدف ارسال می‌کنند تا سرور قربانی را از کار بیاندازد یا مسدود کند. یک بستۀ IPV4 که به درستی شکل گرفته است شامل یک هدر IP استاندارد است که اندازه آن از 65535 بایت بیشتر نمی‌شود. اگر این اندازه افزایش یابد، پروتکل اینترنت را نقض می‌کند. بنابراین مهاجم بایت‌های مورد نظر خود را در چندین بخش ارسال می‌کند. هنگامی‌که میزبان هدف بسته دریافتی را مونتاژ و سر هم می‌کند، این امر باعث سرریز حافظه می‌شود و ممکن است هاست مورد هدف را از کار بیاندازد. به همین دلیل به این پینگ، پینگ مرگ گفته می‌شود.

حملات SlowLoris

SlowLoris نوعی نرم‌‌افزار است که چندین درخواست HTTP به سرور (و نه دستگاه) ارسال می‌کند و با باز نگه داشتن ارتباط تا زمانی که ممکن است مهاجم به سرور درخواست ارسال می‌کند، به سرور میزبان حمله می‌کند. در این نوع حمله مهاجم تا زمانی که تمام ارتباط‌های سرور اشغال شوند، منتظر می‌ماند.

حملات تشدیدی ان تی پی (NTP amplification)

پروتکل زمان شبکه (NTP) قدیمی‌ترین پروتکل موجود در اینترنت است. این پروتکل برای همگام‌سازی سیستم‌های موجود در اینترنت مورد استفاده قرار می‌گیرد. هنگامی‌که یک حمله DDoS رخ می‌دهد، این پروتکل چندین درخواست را با استفاده از آدرس IP جعلی یا IP قربانی به سرور NTP ارسال می‌کند.

حملات سیل‌آسای اچ تی تی پی (HTTP Flood)

درخواست‌های HTTP متعدد در این حمله با استفاده از روش‌های GET و POST به میزبان مورد هدف ارسال می‌شود. درخواست از نوع GET برای استخراج و واکشی محتوای استاندارد و ثابت، مانند تصاویر، استفاده می‌شود؛ در حالی که درخواست‌های از نوع POST می‌توانند به منابع تولید شدۀ پویا دسترسی داشته باشند.

حملات Zero-Day DDoS

تمام حملات DDoS که ناشناخته یا جدید هستند در این دسته قرار می‌گیرند.

چگونه جلوی حملات DDoS را بگیریم؟

چندین اقدام پیشگیرانه برای این کار وجود دارد. این اقدام‌ها بررسی ترافیک شبکه و اجرای آزمایشی حملات DDoS را شامل می‌شود.

شما می‌توانید با استفاده از گوگل آنالیتیکس شبکۀ خود را بررسی کرده و هرگونه افزایش ترافیک را کنترل کنید تا بتوانید در صورت وقوع یک حمله DDoS در سایت خود، آمادگی لازم را باشید.

اجرای آزمایشی حملات DDoS برای پی بردن به اینکه آیا سیستم شما می‌تواند در برابر حملات DDoS مقاومت کند یا نه، صورت می‌گیرد. برای انجام این اجراهای آزمایشی می‌توانید از برنامه‌های رایگان و منبع باز زیر استفاده کنید:

• Low Orbit Ion Cannon
• UDP Unicorn

نصب فایروال

پیاده‌سازی و نصب فایروال نیز می‌تواند به کاهش احتمال وقوع حملات DDoS کمک کند. همچنین شما می‌توانید یک فایروال سخت‌افزاری یا یک فایروال نرم‌افزاری داشته باشید.

گزارش فعالیت‌ها

برای این کار شما باید با استفاده از دستور netstat تایید کنید که مورد حمله قرار گرفته‌اید. در ادامه می‌توانید یک تحلیلگر شبکه را دانلود کنید و ناهنجاری‌های ترافیک وب‌سایت خود را مشاهده کنید.

نصب یک اسکنر امنیتی برای شناسایی بدافزارها

نصب یک اسکنر امنیتی برای شناسایی بدافزارها نیز می‌تواند به اسکن تمام داده‌های ورودی، قبل از وارد کردن آن‌ها به سیستم، کمک کند. علاوه بر این، این اسکنر هنگامی‌که یک ابهام پیدا شود، به شما هشدار می‌دهد.

برون‌سپاری

شما همچنین می‌توانید محافظت از وب‌سایت خود در برابر حملات مخرب DDoS را برون‌سپاری کنید. برای این کار، می‌توانید با پشتیبانی هاست خود تماس بگیرید و اقداماتی مانند غیرفعال کردن موقتی وب‌سایت و توقف حملات DDoS را انجام دهید. زمانی که سایت شما دوباره آنلاین شد، باید برای دریافت این نوع خدمات از سازمان‌های امنیتی استفاده کنید. برخی از این سازمان‌ها Akamai، Cloudflare، Imperva Incapsula، DOSarrest و غیره هستند.

مکانیزم امنیتی UltaHost:

امنیت یک اولویت بسیار مهم در عرصه میزبانی است. شرکت UltaHost با استخدام شرکت BitNinja به عنوان شریک امنیتی خود، یک سیستم امنیتی غیر قابل نفوذ و پیشرفته را در سرورهای خود مستقر کرده است. این سیستم از حملات DDoS و سایر تهدیدات امنیتی جلوگیری می‌کند. و اکنون، تمام مشتریان نیز تحت حفاظت سیستم امنیتی پیشرفته و فوق‌العادۀ BitNinja قرار دارند. BitNinja در برابر تمامی‌ حملات همانند یک ارتش در خط مقدم عمل می‌کند. این سیستم امنیتی به دلیل الگوریتم‌های خودآموزی که دارد قادر است عملکرد خود را ارتقا دهد.

برای مطالعۀ بیشتر در مورد امنیت سیستم BitNinja، به وبلاگ ما سر بزنید. امنیت سرورهای UltaHost چگونه با استفاده از BitNinja تامین می‌شود؟