هر آنچه که باید درباره حملات DDoS و نحوه پیشرفت آنها بدانید
حملات DDoS یا محرومسازی یا ممانعت از سرویس توزیع شده، از بیش از 20 سال پیش تاکنون همواره جزو ابزارهای مورد استفاده مجرمان بوده و همچنان نیز بر قدرت و میزان استفاده از آنها افزوده میشود.
حمله محرومسازی از سرویس توزیع شده (DDoS[1]) چیست؟
محرومسازی از سرویس توزیع شده (یا به اختصار DDoS) حملهای است که در آن یک یا چند مهاجم سعی میکنند مانع از ارایه سرویس به کاربران شوند. این کار با ممانعت از دسترسی به هر چیزی از جمله سرورها، تجهیزات، سرویسها، شبکهها، برنامههای کاربردی و حتی یکسری تراکنش خاص در برنامههای کاربردی قابل انجام است.
در حمله محرومسازی از سرویس (DoS) معمولی تنها یک سیستم، دادهها یا درخواستهای مخرب را ارسال میکند اما در مدل توزیع شده آن، حمله همزمان از طریق چندین سیستم مختلف اجرا میشود.
در مجموع، این حملات با ارسال انبوهی از درخواست داده به سمت یک سیستم اجرا میشوند. ممکن است این درخواستها به سمت یک سرور وب ارسال شده و بر اثر حجم تقاضای بسیار زیاد، در عملکرد آن اختلال ایجاد شود یا ممکن است بر ضد یک پایگاه داده اجرا شوند. نتیجه اجرای چنین حملهای ایجاد محدودیت در پهنای باند، ظرفیت رم و پردازنده سیستم مورد نظر است.
این حمله ممکن است پیامدهای جزیی مثل ایجاد اختلال در سرویسدهی یا از کار افتادن وب سایتها، برنامههای کاربردی و حتی کل عملیات یک کسبوکار را به همراه داشته باشد.
انواع حملات DDoS
حملات DDoS به سه نوع کلی تقسیم می شوند که عبارتند از:
- حملات نوع اول، حملات حجمی هستند که در آنها از ترافیک انبوه برای مصرف منابعی همچون یک سرور یا وب سایت استفاده میشود. از جمله این حملات میتوان به حملات “ICMP Flood Attack” اشاره کرد که در آنها مهاجم با هدف از کار انداختن سرور قربانی، پیامهای فراوانی را برای آن ارسال میکند. پیامهای ارسالی در این حملات، از نوع Ping هستند که یکی از معروفترین انواع پیامهای پروتکل ICMP میباشد. به همین دلیل به این حملات، “Ping ICMP Flood Attack” نیز گفته میشود. نوع دیگری از حملات محرومسازی نوع اول، حملات “UDP Flood” هستند. مهاجم در این نوع از حمله، با ارسال تعداد زیادی از بستههای UDP به پورتهای سرور، آن را با پاسخگویی به بستههای متعدد مشغول نگه میدارد. حجم این حملات بر اساس تعداد بیت در ثانیه[2] (bps) اندازهگیری میشود.
- حملات DDoS نوع دوم، حملات لایه شبکه یا پروتکل هستند که در آنها تعداد زیادی بسته به زیرساختهای یک شبکه و ابزارهای مدیریت زیرساخت آن ارسال میشود. از جمله این حملات میتوان به “Smurf DDoS” و سیلهای SYN اشاره کرد که اندازه آنها برحسب تعداد بسته در ثانیه (PPS[3]) ارزیابی میشود.
- سومین نوع حملات DDOS، حملات لایه کاربرد هستند که با ارسال درخواستهای مخرب به سمت برنامههای کاربردی اجرا میشوند. اندازه این حملات برحسب تعداد درخواست در ثانیه (RPS[4]) مشخص میشود.
همه این حملات با هدف ایجاد اختلال در دسترسی به یکسری منبع یا سرویس اجرا میشوند.
نشانه های اجرای حمله DDoS
معمولاً نشانه های حملات DDoS به سایر مشکلاتی که باعث ایجاد اختلال در دسترسی به بعضی سرویسها میشوند، شباهت دارد. مثلاً از کار افتادن یک سیستم یا سرور، افزایش حجم تقاضای کاربران یا حتی قطع سرویس از جمله این نشانه ها است که در خصوص وقوع یک حمله DDoS هشدار داده و بهتر است نادیده گرفته نشوند.
با این حال برای تشخیص دقیق مشکل و اینکه آیا واقعاً حملهای رخ داده است یا خیر باید ترافیک دریافتی به سیستم مورد نظر را به صورت دقیق تحلیل و بررسی کرد.
تاریخچه حملات DDoS
در اوایل سال 2000 میلادی یک دانش آموز کانادایی با نام “MafiaBoy”، یک حمله محرومسازی از سرویس توزیع شده را بر ضد سایت یاهو که در آن زمان یکی از قدرتمندترین وب سایتهای جهان محسوب میشد، اجرا کرد. او در طول هفته بعد، فعالیتهای خود را گسترش داده و توانست وب سایتهای دیگری مثل آمازون، سیانان و ایبی را نیز هدف حملات خود قرار دهد.
قطعاً این مورد، اولین حمله DDoS تاریخ نبوده است اما این حملات عمومی و موفق باعث شدند حمله محرومسازی از سرویس از یک مزاحمت جزیی و جدید، به یک تهدید مختلکننده مهم تبدیل شود که برای همیشه ذهن مدیران ارشد فناوری اطلاعات و امنیت را به خود مشغول کند.
از آن زمان به بعد موارد بیشماری از حملات DDoS با اهدافی مانند انتقامگیری، اخاذی و حتی اعلام جنگ سایبری اجرا شده و همواره گسترش یافته و بزرگتر نیز می شوند. در اواسط دهه 90 میلادی ممکن بود چنین حملهای متشکل از 150 درخواست در ثانیه باشد که برای از کار انداختن بسیاری از سیستمها کافی بود. امروزه حجم این حملات از هزار گیگابایت در ثانیه هم بیشتر شده که یکی از دلایل مهم آن تعداد بسیار زیاد باتنتهای مدرن میباشد.
در سال 2016 میلادی شرکت Dyn DNS (یا Now Oracle DYN) که ارایهدهنده خدمات زیرساخت اینترنت است، توسط حملات DNS Flood و با هدف از بین بردن منابع سرور، از سمت دهها میلیون آدرس آیپی مورد حمله قرار گرفت. این حمله با استفاده از باتنت Mirai اجرا شد که بیش از 100 هزار مورد از تجهیزات اینترنت اشیا از جمله چاپگر و دوربینهای متصل به اینترنت را آلوده کرده بود.
Mirai در نقطه اوج فعالیت خود 400 هزار سیستم آلوده داشت. سرویسهایی مثل آمازون، نتفلیکس، ردیت، اسپاتیفای، تامبلر و توئیتر در اثر حملات این بات نت دچار اختلال شدند. در اوایل سال 2018، یک فن جدید در نحوه انجام این حملات پدیدار شد. در آغاز آن سال وب سایت گیتهاب مورد هدف یک حمله محرومسازی از سرویس گسترده با حجم 1.35 ترابایت در ثانیه قرار گرفت. هر چند گیتهاب برای مدت زمان بسیار محدودی از دسترس خارج شد و ظرف کمتر از 20 ثانیه دوباره به حالت عادی بازگشت اما حجم انبوه و گستردگی این حمله نگران کننده بود چون از حمله Dyn که به اوج 1.2 ترابایت در ثانیه رسید، بزرگتر بود.
اگرچه حمله Dyn توسط باتنت Mirai انجام شد که پیش از این هزاران وسیله در اینترنت اشیا را آلوده کرده بود ولی تحلیل فناوریهای مورد استفاده برای اجرای حمله بر ضد گیتهاب نشان داد که این حمله نسبت به سایر حملات سادهتر بوده است. با این حال چون در آن از سرورهای گیتهاب که سیستم کشینگ Memcached در آنها فعال بوده، سوءاستفاده شده است بنابراین حجم گستردگی این حمله بسیار زیاد شناسایی شده است؛ زیرا Memcached که یک نرمافزار کد منبع باز برای انجام عملیات کش روی سرور وبسایتهای پویا است میتواند به عنوان عاملی تقویتکننده در حملات DDoS مورد سوءاستفاده قرار گیرد.
Memcached فقط برای استفاده بر روی سرورهای حفاظت شده در شبکههای داخلی طراحی شده و در واقع جهت پیشگیری از جعل آیپی و ارسال انبوه داده در آن کار زیادی انجام نشده است. متأسفانه در اینترنت هزاران سرور Memcached وجود دارد که میزان استفاده از آنها در حملات DDoS همواره بیشتر شده و کنترل این سرورها در اختیار مهاجمان قرار می گیرد چون هر زمان به آنها فرمان داده شود بدون بررسی و پرسش، بستههای دلخواه مجرمان را ارسال میکنند. تنها چند روز بعد از حمله گیتهاب، یک حمله DDoS مشابه با استفاده از Memecached و با حجم 1.7 ترابایت بر ثانیه ضد یک شرکت آمریکایی دیگر اجرا شد.
باتنت Mirai از این جهت مهم و قابل توجه است که برخلاف بیشتر حملات DDoS، به جای سرور و رایانه از تجهیزات اینترنت اشیا استفاده میکند. همچنین بر اساس تحقیقات انجام شده، تا سال 2020 حدود 34 میلیارد وسیله متصل به اینترنت وجود خواهد داشت که بیشتر آنها (24 میلیارد) مربوط به اینترنت اشیا هستند.
متأسفانه Mirai آخرین باتنتی نیست که از اینترنت اشیا استفاده میکند. بررسی صورت گرفته توسط تیمهای امنیت سایبری شرکتهای متفاوت از جمله Google منجر به شناسایی باتنتی با ابعاد مشابه به نام “WireX” شده که متشکل از 100 هزار دستگاه اندرویدی آلوده در 100 کشور مختلف در سطح جهان است. این تحقیق پس از آن صورت گرفت که یکسری حمله DDoS وسیع، شبکههای تحویل محتوا و ارایهدهندگان محتوا را هدف قرار دادند.
در ژوئن 2020، شرکت اینترنتی آمریکایی Akamai که در زمینه شبکه تحویل محتوا فعالیت میکند گزارش داد که موفق به مقابله با یک حمله DDoS به بزرگی 809 میلیون بسته در ثانیه بر ضد یک بانک بزرگ اروپایی شده است. این حمله به گونهای طراحی شده بود که با ارسال میلیاردها بسته کوچک (با هدر IPv4 29 بایت) برنامههای کاربردی و تجهیزات شبکه مراکز داده بزرگ را هدف بگیرد.
محققان Akamai اعلام کرده اند این حمله به دلیل تعداد بسیار زیاد آیپیهای مورد استفاده، منحصر به فرد بوده و به گفته آنها «تعداد آیپیهای ارسال کننده ترافیک، حین اجرای این حمله به میزان چشمگیری افزایش یافت که این موضوع نشان دهنده توزیع شدگی بسیار زیاد این حمله است. تعداد آیپیهای مورد استفاده در هر دقیقه نسبت به آنچه در شرایط معمولی برای این مقصد مشاهده میشود، 600 برابر بیشتر بوده است».
وضعیت کنونی حملات DDoS
اگرچه حملات DDoS به مرور زمان تغییر یافته اند اما هنوز هم یک تهدید جدی محسوب میشوند. بر اساس گزارشهای منتشر شده، تعداد حملات DDoS در سه ماهه دوم سال 2019 میلادی نسبت به سه ماهه سوم سال 2018، حدود 32 درصد افزایش یافته است. همچنین در سال 2020، تعداد حملات DDoS در هر سه ماه افزایش داشته است (به جز سه ماهه چهارم).
به گفته Kaspersky باتنتهایی مثل “Torii” و “DemonBot” که به تازگی شناسایی شده و قادر به انجام حملات DDoS هستند، بسیار نگران کننده میباشند. Torii میتواند کنترل انواع تجهیزات اینترنت اشیا را در اختیار گرفته و نسبت به Mirai، خطرناکتر و پایدارتر است. DemonBot نیز کلاسترهای نرمافزار کد منبع باز هدوپ را هدف قرار می دهد. در نتیجه می تواند به قدرت رایانشی بیشتری دسترسی داشته باشد.
یکی دیگر از موضوعات نگران کننده، پلتفرمهای جدیدی مثل 0x-booter هستند که از آنها برای اجرای حملات DDoS استفاده میشود. این پلتفرم، کنترل بیش از 16 هزار دستگاه آلوده به بدافزار Bushido را در اختیار دارد.
بر مبنای گزارشها بیشتر حملات DDoS انجام شده در سال 2019 نسبتاً کوچک بودهاند. برای مثال، حملات لایه شبکه صورت گرفته معمولاً از 50 میلیون PPS بیشتر نبوده اند. محققان امنیتی این موضوع را به سرویسهای فروش خدمات DDoS نسبت میدهند که حملاتی نامحدود اما کوچک را اجرا میکنند. البته کارشناسان در سال 2019 شاهد اجرای حملات بسیار بزرگ نیز بودهاند.
این روند در سه ماهه چهارم سال 2020 تغییر کرد و کارشناسان امنیتی شرکت Cloudflare خبر از افزایش چشمگیر حملاتی به بزرگی بیش از 500 مگابیت بر ثانیه را دادند. این حملات بسیار پایدارتر شدهاند و 9 درصد از حملات اجرا شده در بین ماه های اکتبر و دسامبر، بیش از 24 ساعت به طول کشیده اند.
همچنین آنها خبر از افزایش تعداد حملات RDDoS در سال 2020 دادند. مهاجمان در این حملات پس از اجرای حمله DDoS معمولی از سازمانها برای توقف حمله باج میگیرند. معمولاً هکرها قربانیانی را هدف میگیرند که توانایی کمتری برای واکنش و بازیابی سیستمها از چنین حملاتی را دارند.
ابزارهای حمله DDoS
عموماً مهاجمان برای اجرای حمله DDoS، متکی بر باتنت یعنی شبکهای از سیستمهای آلوده به بدافزار تحت کنترل خودشان هستند. این سیستمهای آلوده معمولاً شامل سرورها و رایانهها میباشند. با گذشت زمان، تعداد دستگاههای تلفن همراه و تجهیزات اینترنت اشیا هم در آنها بیشتر شده است. مهاجمان با شناسایی سیستمهای آسیبپذیری که از طریق حمله فیشینگ، تبلیغات آلوده و فنون دیگر امکان آلوده نمودن آنها وجود دارد، از این سیستمها سوءاستفاده میکنند. در حال حاضر بعضی از مهاجمان، این باتنتها را از سایر مجرمانی که آنها را ساختهاند، اجاره میکنند.
رشد و تکامل حملات DDoS
همانطور که پیش از این هم اشاره شد، یکی از ویژگیهای روزافزون این حملات اجرای آنها توسط باتنتها است که انتظار میرود این روند در ماه های آتی باز هم گسترش پیدا کند.
یکی دیگر از گرایشات جدید، استفاده از چند مسیر حمله در یک حمله است که به آن محرومسازی از سرویس پیشرفته و مستمر (APDoS[5]) نیز گفته میشود. برای مثال ممکن است یک حمله APDoS، لایه کاربرد را هم درگیر کند؛ مثل حملاتی که بر ضد پایگاههای داده و برنامههای کاربردی و همچنین سرورها اجرا میشوند. به گفته مدیر شرکت Binary Defense: «این حملات، فراتر از حملات سیل آسای معمولی هستند».
او همچنین گفته که: «مهاجمان، معمولاً قربانیان خودشان را به صورت مستقیم هدف نمیگیرند بلکه سازمانهایی که به آنها وابسته هستند مثل ارایهدهندگان سرویسهای ابری و ISPها (ارایهدهندگان خدمات اینترنتی) را هدف میگیرند. از طرفی دیگر این حملات بسیار گسترده و دارای پیامدهایی بزرگ بوده و بسیار خوب سازماندهی شدهاند».
این موضوع موجب تغییر پیامدهای حملات DDoS برای سازمانها هم شده است. یکی از کارشناسان امنیت سایبری در این باره میگوید: «در حال حاضر سازمانها فقط نگران اجرای حملات DDoS بر ضد خودشان نیستند بلکه اجرای حمله علیه همکاران، فروشندگان و تأمینکنندگانی که از خدمات آنها استفاده میکنند هم موجب نگرانی آنها شده است. یکی از قدیمیترین شعارهای حوزه امنیت این است که امنیت یک کسبوکار به اندازه امنیت ضعیفترین حلقه آن است. در محیط امروزی ممکن است این ضعیفترین حلقه، یکی از شرکتهای همکار باشد».
البته همزمان با رشد و پیشرفت حملات DDoS، فناوری و راهکارها نیز توسعه پیدا میکنند. یکی از مدیران امنیت سایبری معتقد است اضافه شدن دستگاههای جدید به اینترنت اشیا منجر به تقویت هوش مصنوعی و یادگیری ماشینی میشود که می تواند نقش اساسی در این حملات داشته باشد. او میگوید: «مهاجمان در نهایت این فناوریها را در حملات خودشان هم به کار خواهند بست و کار مدافعان برای مقابله با حملات DDoS به شدت سختتر میشود. از طرفی دیگر فناوری دفاعی DDoS هم در همین مسیر پیشرفت خواهد کرد».
[1] Distributed Denial of Service
[2] Bits Per Second
[3] Packets Per Second
[4] Requests Per Second
[5] Advanced Persistent Denial-of-Service
منبع: csoonline