حملات DOS وDDOS مقابله با آن
حمله منع سرویس (به انگلیسی: Denial of Service attack) (یا به اختصار DoS) در علم رایانه حمله منع سرویس یا حمله منع سرویس توزیع شده، تلاش برای خارج کردن ماشین و منابع شبکه از دسترس کاربران مجازش میباشد؛ در واقع هر حملهای علیه دسترس پذیری به عنوان حمله منع سرویس تلقی میشود. اگرچه منظور از حمله DOS و انگیزه انجام آن ممکن است متفاوت باشد، اما بهطور کلی شامل تلاش برای قطع موقت یا دائمی یا تعلیق خدمات یک میزبان متصل به اینترنت است. اهداف حمله DOS معمولاً سایتها یا خدمات میزبانی وب سرور با ویژگیهای مناسب مانند بانک ها، کارتهای اعتباری و حتی سرورهای ریشه را هدف قرار می دهند. یکی از روشهای معمول حمله شامل اشباع ماشین هدف با درخواستهای ارتباط خارجی است بهطوریکه ماشین هدف، نمیتواند به ترافیک قانونی پاسخ دهد یا پاسخها با سرعت کم داده میشوند یا در دسترس نمیباشند. چنین حملاتی منجر به سربار زیاد سرور میشوند. حمله DOS کامپیوتر هدف را وادار به ریست شدن یا مصرف منابع اش میکند، بنابراین نمیتواند به سرویسهای مورد نظرش سرویس بدهد و همچنین سیاستهای مورد قبول فراهم کنندگان سرویسهای اینترنتی را نقض میکنند.
شايد تاکنون شنيده باشيد که يک وب سايت مورد تهاجمی از نوع DoS قرار گرفته است . اين نوع از حملات صرفا" متوجه وب سايت ها نبوده و ممکن است شما قربانی بعدی باشيد. تشخيص حملات DoS از طريق عمليات متداول شبکه امری مشکل است ولی با مشاهده برخی علائم در يک شبکه و يا کامپيوتر می توان از ميزان پيشرفت اين نوع از حملات آگاهی يافت .
حملات از نوع ( DoS ( denial-of-service
به حملاتی گفته می شود که نفوذگر با ارسال درخواست های بسیار به یک سرور یا کامپیوتر، بخش عمده منابع آن مانند CPU ،Database، پهنای باند و … را درگیر می کند؛ در این حالت، سرور به دلیل حجم بالای پردازش، دچار وقفه، اختلال و یا حتی Down شده و از دسترس خارج می شود.
حملات DOS ، طیف گسترده ای از منابع و سایت های مختلف از جمله سرورهای بانک ها، سایت های خبری و … را هدف قرار داده اند. این حملات ، باعث ایجاد یک چالش بزرگ برای مدیران و کاربران این سیستم ها شده است.
حملهی DoS یا Denial of Service (محرومسازی از سرویس) به نوعی از حملات اطلاق میشود که در آن تعداد زیادی درخواست به سرور قربانی ارسال شده و باعث مصرف زیاد از منابع سختافزار (حافظه، پردازنده، پهنای باند، پایگاه داده و…) میشود و در نهایت به دلیل حجم بالای پردازشها، عملیات سرور با Overload مواجه شده و سرویس از دسترس خارج (Down) میشود.
اگر این حملات با استفاده از چندین رایانه و به صورت هماهنگ انجام شود، در اصطلاح به آن DDoS یا Distributed Denial Of Service (محرومسازی از سرویس توزیع شده) میگویند، در این حالت به سرویسی که زیر بار حمله قرار دارد Primary Target و به سایر سیستمهایی که برای انجام حملات هماهنگ استفاده میشوند Secondary Target گفته میشود.
در يک تهاجم از نوع DoS ، يک مهاجم باعث ممانعت دستيابی کاربران تائيد شده به اطلاعات و يا سرويس های خاصی می نمايد . يک مهاجم با هدف قرار دادن کامپيوتر شما و اتصال شبکه ای آن و يا کامپيوترها و شبکه ای از سايت هائی که شما قصد استفاده از آنان را داريد ، باعث سلب دستيابی شما به سايت های Email ، وب سايت ها ، account های online و ساير سرويس های ارائه شده بر روی کامپيوترهای سرويس دهنده می گردد .
متداولترين و مشهودترين نوع حملات DoS ، زمانی محقق می گردد که يک مهاجم اقدام به ايجاد يک سيلاب اطلاعاتی در يک شبکه نمايد . زمانی که شما آدرس URL يک وب سايت خاص را از طريق مرورگر خود تايپ می نمائيد ، درخواست شما برای سرويس دهنده ارسال می گردد . سرويس دهنده در هر لحظه قادر به پاسخگوئی به حجم محدودی از درخواست ها می باشد، بنابراين اگر يک مهاجم با ارسال درخواست های متعدد و سيلاب گونه باعث افزايش حجم عمليات سرويس دهند گردد ، قطعا" امکان پردازش درخواست شما برای سرويس دهنده وجود نخواهد داشت. حملات فوق از نوع DoS می باشند، چراکه امکان دستيابی شما به سايـت مورد نظر سلب شده است .
يک مهاجم می تواند با ارسال پيام های الکترونيکی ناخواسته که از آنان با نام Spam ياد می شود ، حملات مشابهی را متوجه سرويس دهنده پست الکترونيکی نمايد . هر account پست الکترونيکی ( صرفنظر از منبعی که آن را در اختيار شما قرار می دهد ، نظير سازمان مربوطه و يا سرويس های رايگانی نظير ياهو و hotmail ) دارای ظرفيت محدودی می باشند. پس از تکميل ظرفيت فوق ، عملا" امکان ارسال Email ديگری به account فوق وجود نخواهد داشت . مهاجمان با ارسال نامه های الکترونيکی ناخواسته سعی می نمايند که ظرفيت account مورد نظر را تکميل و عملا" امکان دريافت email های معتبر را از account فوق سلب نمايند .
S یا denial-of-service و DDOS یا distributed denial-of-service به حملاتی گفته میشود که نفوذگر با ارسال درخواست های بسیار به یک سرور یا کامپیوتر، باعث استفاده بیش از حد از منابع آن مانند پردازنده سرور، بانک اطلاعاتی، پهنای باند و … میشود به صورتی که سرور مجازی یا اختصاصی میزبان سایت دچار کندی شده که به دلیل حجم بالای پردازش سیستم دچار وقفه و اختلال و یا حتی قطعی کامل و از دسترس خارج شود.
این حملات طیف گسترده ای از منابع و سایت های مختلف را هدف قرار داده اند از سرورهای بانک ها تا سایت های خبری و … این حملات باعث ایجاد یک چالش بزرگ برای مدیران و کاربران این سیستم ها شده است.
حملات از نوع ( DDoS (distributed denial-of-service
نوع دیگری از حملات DOS است . با این تفاوت که در حملات DOS، هکر از یک سیستم به صورت مستقیم، برنامه خود را اجرا و درخواست ها را ارسال می کند ؛ اما در حملات DDOS، هکر برای اجرای برنامه خود ، از چندین سیستم مختلف و یا کامپیوترهای موجود در شبکه استفاده می نماید. هدف از هر دو حمله، قطع دسترسی کاربران معتبر به سرویس هاستینگ و سرور مورد حمله می باشد.
روزانه انجام بیش از ۲۰۰۰ حمله DDOS در سرتاسر جهان توسط شبکه Arbor گزارش شده است. طبق گزارش های ارائه شده در سطح جهانی، حدود یک سوم حوادثی که باعث از کارافتادگی و Down شدن سرورها می شود، مربوط به حملات DDOS می باشد.
در يک تهاجم از نوع DDoS ، يک مهاجم ممکن است از کامپيوتر شما برای تهاجم بر عليه کامپيوتر ديگری استفاده نمايد . مهاجمان با استفاده از نقاط آسيب پذير و يا ضعف امنتيی موجود بر روی سيستم شما می توانند کنترل کامپيوتر شما را بدست گرفته و در ادامه از آن به منظور انجام عمليات مخرب خود استفاده نمايند. ارسال حجم بسيار بالائی داده از طريق کامپيوتر شما برای يک وب سايت و يا ارسال نامه های الکترونيکی ناخواسته برای آدرس های Email خاصی ، نمونه هائی از همکاری کامپيوتر شما در بروز يک تهاجم DDOS می باشد . حملات فوق ، "توزيع شده " می باشند ، چراکه مهاجم از چندين کامپيوتر به منظور اجرای يک تهاجم DoS استفاده می نمايد .
حمله DOS به آژانس جرایم ملی بریتانیا
آژانس جرایم ملی بریتانیا اعلام کرده که وب سایتش مورد حمله هکرهای رایانه ای قرار گرفته است. این نهاد که به جرایم سایبری سازمان یافته رسیدگی می کند، می گوید: هیچ اطلاعاتی از این طریق به سرقت نرفته است. هکرها قصد داشتند با خارج کردن سایت این آژانس از دسترس ، به سرور آن نفوذ نمایند، اما موفق نشدند. این اقدام چند روز پس از آن رخ داده که شش نوجوان 15 تا 18 ساله به جرم حملات سایبری با استفاده از ابزاری موسوم به Lizard Stresser ، دستگیر شدند؛ این ابزار توسط یک گروه هکری به نام Lizard Squad طراحی شده است. حساب توییتر هکرهای Lizard Squad، بعد از این حمله خبری مبنی بر آفلاین شدن سایت آژانس جرایم ملی بریتانیا منتشر کرد و همین مساله ، احتمال دخالت این گروه در حمله یاد شده را تقویت می کند. این گروه، پیش از این هم شبکه بازی آنلاین پلی استیشن سونی و خدمات بازی کنسول ایکس باکس را هک کرده بود.
حمله به سایت آژانس جرایم ملی بریتانیا از نوع (DOS-Denial of Service) بوده و تحقیقات در مورد منشا دقیق آن ادامه دارد.
نحوه پيشگيری از حملات
متاسفانه روش موثری به منظور پيشگيری در مقابل يک تهاجم DoS و يا DDoS وجود ندارد . عليرغم موضوع فوق ، می توان با رعايت برخی نکات و انجام عمليات پيشگيری ، احتمال بروز چنين حملاتی ( استفاده از کامپيوتر شما برای تهاجم بر عليه ساير کامپيوتر ها ) را کاهش داد .
نصب و نگهداری نرم افزار آنتی ويروس
نصب و پيکربندی يک فايروال
تبعيت از مجموعه سياست های خاصی در خصوص توزيع و ارائه آدرس Email
چگونه از وقوع حملات DoS و يا DDoS آگاه شويم ؟
خرابی و يا بروز اشکال در يک سرويس شبکه ، همواره بدليل بروز يک تهاجم DoS نمی باشد . در اين رابطه ممکن است دلايل متعددی فنی وجود داشته و يا مدير شبکه به منظور انجام عمليات نگهداری موقتا" برخی سرويس ها را غير فعال کرده باشد . وجود و يا مشاهده علائم زير می تواند نشاندهنده بروز يک تهاجم از نوع DoS و يا DDoS باشد :
1.کاهش سرعت و يا کارآئی شبکه بطرز غير معمول ( در زمان باز نمودن فايل ها و يا دستيابی به وب سايت ها ) .
2.عدم در دسترس بودن يک سايـت خاص (بدون وجود دلايل فنی )
3.عدم امکان دستيابی به هر سايتی (بدون وجود دلايل فنی )
4.افزايش محسوس حجم نامه های الکترونيکی ناخواسته دريافتی
هر چند نشانههای بالا همیشه به معنای حملات DDoS نبوده و میتواند ناشی از افزایش طبیعی ترافیک در شبکه باشد، اما بهتر است با مشاهدهی چنین علائمی لاگهای شبکه را مورد بررسی قرار دهید تا در صورت لزوم مانع گسترش این حملات شوید.
در صورت بروز يک تهاجم ، چه عملياتی را می بايست انجام داد ؟
حتی در صورتی که شما قادر به شناسائی حملات از نوع DoS و يا DDoS باشيد ، امکان شناسائی مقصد و يا منبع واقعی تهاجم ، وجود نخواهد داشت . در اين رابطه لازم است با کارشناسان فنی ماهر ، تماس گرفته تا آنان موضوع را بررسی و برای آن راهکار مناسب را ارائه نمايند .
در صورتی که برای شما مسلم شده است که نمی توانيد به برخی از فايل ها ی خود و يا هر وب سايتی خارج از شبکه خود دستيابی داشته باشيد ، بلافاصله با مديران شبکه تماس گرفته و موضوع را به اطلاع آنان برسانيد . وضعيت فوق می تواند نشاندهنده بروز يک تهاجم بر عليه کامپيوتر و يا سازمان شما باشد .
در صورتی که وضعيت مشابه آنچه اشاره گرديد را در خصوص کامپيوترهای موجود در منازل مشاهده می نمائيد با مرکز ارائه دهنده خدمات اينترنت ( ISP ) تماس گرفته و موضوع را به اطلاع آنان برسانيد . ISP مورد نظر می تواند توصيه های لازم به منظور انجام عمليات مناسب را در اختيار شما قرار دهد .
تفاوت DoS و DDoS در چیست؟
اگر این حملات توسط یک سیستم انجام شود DoS و اگر به صورت هماهنگ و از طریق چندین سیستم انجام گیرد DDoS نامیده میشود، به کارگیری حملات DDoS این امکان را به مهاجم میدهد تا بتواند حملهی خود را به مراتب مخربتر و در ابعاد بزرگتری انجام دهد چرا که وجود چندین سیستم باعث میشود تا شناسایی و ردیابی مهاجم اصلی بسیار مشکل و تا حدودی غیر ممکن شود.
اما در نقطهی مقابل، حملات DoS تا حدودی سادهتر میباشند، به صورتی که شما حتی با استفاده از کامپیوتر شخصی خودتان میتوانید این حملات را به صورت محدود بر روی وبسایت (سرور) مورد نظرتان انجام دهید!
حملهی داس تنها از طریق یک کامپیوتر و حملهی دیداس از طریق چندین رایانه کنترل میشود، به همین دلیل است که حملات داس معمولا تهدید چندانی برای سرور محسوب نمیشوند (در صورتی که مبدا حمله رایانهی قدرتمندی نباشد) اما حملات دیداس میتوانند به راحتی باعث از پا در آمدن سرور یک وبسایت شوند.
تکنیکهای حملات DoS چیست؟
1.حملات نظیر به نظیر
2.حمله بر مبنای پهنای باند
3.حملات سیلآسای درخواست سرویس
4.حملات بر مبنای جریانی از SYN
5.حملات بر مبنای جریانی از ICMP
6.حملات بر مبنای جریانی از اپلیکیشنها
7.حملات DoS دائمی و DDoS
روش جلوگیری از حملات DDOS :
– برای جلوگیری از چنین حملاتی ابتدا لازم است از سیستم عامل های آپدیت شده و به روز استفاده شود.
– استفاده از برنامه فایروال قوی در سیستم ها و سرورها میتواند برای جلوگیری از چنین حملاتی مفید باشد. با استفاده از فایروال آی پی هایی که تقاضای زیادی به سرور ارسال کرده اند بلاک میشوند.
– نصب ابزارهای امنیتی و بروزرسانی آنها باعث کاهش آسیب پذیری سرور میشوند.
– چنانچه مدیر سرور از مصرف معمول منابع سرور آگاه باشد سریعا میتواند پی به وجود چنین حملاتی ببرد و آنها را برطرف نماید، همچنین در وب رمز تمامی سرورها از سیستم مانیتورینگ بهره می برند، در چنین شرایطی قبل از کاربران مدیران سرور در وب رمز متوجه چنین حملاتی خواهند شد و به طبع آن اقدامات لازم در جهت رفع مشکل اتخاذ می گردد.
– چنانچه کاربران مشکوک به انجام چنین حملاتی یا حملات مشابه شدند بهترین کار این است که این مورد را به مدیر سرور خود اطلاع دهند..!
پاسخ دفاعی در برابر حملات منع سرویس شامل استفاده از ترکیبی از روشهای تشخیص حمله، طبقهبندی ترافیک و ابزارهای پاسخ است که هدف آنها بلوکه کردن ترافیکهای غیرمجاز و اجازه برقراری ترافیکهای مجاز میباشد.
بهطور کلی هیچ راه تضمینکنندهای برای جلوگیری از این حمله وجود ندارد و تنها راههایی برای جلوگیری از برخی روشهای متداول و کم کردن اثرات سایر روشها موجوداست، چرا که بسیاری از روشها به هیچعنوان قابل پیشگیری نیست، به عنوان مثال اگر شبکه botnet با صدهزار zombie صفحهای از سایت را باز کنند، این درخواست یک درخواست عادی بوده و نمیتوان تشخیص داد که درخواست دهنده سیستم معمولی است یا zombie و به همین جهت نمیتوان جلوی آنرا گرفت.
استفاده از سیستمهای تشخیص دهنده (IPS) سیستمهای تشخیص براساس سرعت بستهها (RBIPS) و اینگونه سیستمها نیز روش مناسبی برای جلوگیری از این حملات است.
بستههای نرمافزاری نیز موجودند که شامل تمام این سیستمها هستند، استفاده از این بستهها علاوه بر حملات DoS بسیاری دیگر از حملات را شناسایی میکنند، بسته نرمافزاری SSP (Sun Security Package) از جمله این بستهها است که کار شناسایی و جلوگیری را به صورت خودکار انجام میدهد.
دیوار آتش
دیوار آتش میتواند به این صورت راه اندازی شودکه شامل قوانین ساده برای اجازه یا رد کردن پروتکل ها، پورتها یا آی پی آدرسها باشد. در مورد حملات سادهای که از آدرسهای با آی پی غیرمعمول می آیند میتوان با قرار دادن قانون سادهای که ترافیکهای ورودی از چنین مهاجمانی را حذف کند. برخی حملات با چنین قوانین سادهای قابل بلوکه شدن نیستند، اگر یک حمله روی پورت 80(وب سرویس)در حال انجام باشد غیرممکن است که همه ترافیکهای ورودی روی چنین پورتی را حذف کرد، زیرا این کار، سرورها را از ارائه ترافیک قانونی منع میکند.
سوئیچها
برخی سوئیچها دارای عوامل محدودکننده نرخ و قابلیت لیستهای کنترل دسترسی هستند. برخی سوئیچها از فیلترینگ برای تشخیص و از بین بردن حملات DOS از طریق فیلتر کردن خودکار نرخ استفاده میکنند.
روترها
مشابه سوئیچ ها، روترها هم قابلیت ACL و کنترل نرخ را دارند.بیشتر روترها میتوانند در برابر حملات DOS قرار بگیرند. سیستم عاملهای سیسکو دارای ویژگی ای هستند که از حملات سیل آسا پیشگیری میکند.
سیستم پیشگیری از نفوذ
سیستم پیشگیری از نفوذ زمانی مؤثر است که حملات دارای امضا باشند.سیستم پیشگیری از نفوذ که روی شناخت محتوا کار میکند نمیتواند حملات DOSمبتنی بر رفتار را بلوکه کند.IPS مبتنی بر ASCI میتواند حملات منع سرویس را تشخیص و بلوکه کند، زیرا دارای توان پردازشی و تجزیه و تحلیل حملات است. IPS مبتنی بر نرخ(RBIPPS)باید الگوی ترافیک را به صورت تک تک و بطور پیوسته مانیتور کند . آنومالی ترافیک را در صورت وجود تعیین کند.
سیاه چاله و گودال
به مدیر اجازه میدهد که ترافیک حمله را به یک آدرس آی پی (اینترفیس خالی یا سرور غیرموجود)، هدایت کند تا آن را حذف نماید. وقتی حملهای تشخیص داده میشود، یک مسیر ثابت ایجاد میشود تا ترافیک حمله را به جای ماشین قربانی به سمت یک سیاه چاله، هدایت کنند. در حالت گودال ، ترافیک حمله به یک آدرس آی پی ارسال میشود تا برای بررسی بیشتر ثبت شود. مزیت آن این است که ترافیک حمله میتواند جمعآوری و آنالیز شود تا الگوی حمله مورد مطالعه و بررسی قرارگیرد.
Backscatter
در امنیت شبکههای کامپیوتری، برگشت پراکنده مشکل و عارضه جانبی حمله منع سرویس جعلی است. در این نوع حمله، مهاجم آدرس آی پی مبدأ بسته را جعل میکند و به قربانی ارسال میکند، در کل ماشین قربانی قادر به تشخیص بستههای جعلی و مجاز نیست، بنابراین قربانی به بستههای جعلی پاسخ میدهد،این بستههای پاسخ به عنوان برگشت پراکنده تلقی میشوند.اگر مهاجم آی پی آدرسهای مبدأ را به صورت تصادفی جعل کند، بستههای پاسخ برگشت پراکنده از قربانی به مقصدهای تصادفی ارسال میشوند.