هر آنچه که باید درباره حملات DDoS و نحوه پیشرفت آنها بدانید

حملات DDoS یا محروم‌سازی یا ممانعت از سرویس توزیع ‌شده، از بیش از 20 سال پیش تاکنون همواره جزو ابزارهای مورد استفاده مجرمان بوده و همچنان نیز بر قدرت و میزان استفاده از آنها افزوده می‌شود.

حمله محروم‌سازی از سرویس توزیع شده (DDoS[1]) چیست؟

حملات DDoS یا محروم‌سازی یا ممانعت از سرویس توزیع ‌شده

محروم‌سازی از سرویس توزیع ‌شده (یا به اختصار DDoS) حمله‌ای است که در آن یک یا چند مهاجم سعی می‌کنند مانع از ارایه سرویس به کاربران شوند. این کار با ممانعت از دسترسی به هر چیزی از جمله سرورها، تجهیزات، سرویس‌ها، شبکه‌ها، برنامه‌های کاربردی و حتی یکسری تراکنش خاص در برنامه‌های کاربردی قابل انجام است.

در حمله محروم‌سازی از سرویس (DoS) معمولی تنها یک سیستم، داده‌ها یا درخواست‌های مخرب را ارسال می‌کند اما در مدل توزیع شده آن، حمله همزمان از طریق چندین سیستم مختلف اجرا می‌شود.

در مجموع، این حملات با ارسال انبوهی از درخواست داده به سمت یک سیستم اجرا می‌شوند. ممکن است این درخواست‌ها به سمت یک سرور وب ارسال شده و بر اثر حجم تقاضای بسیار زیاد، در عملکرد آن اختلال ایجاد شود یا ممکن است بر ضد یک پایگاه داده اجرا شوند. نتیجه اجرای چنین حمله‌ای ایجاد محدودیت در پهنای باند، ظرفیت رم و پردازنده سیستم مورد نظر است.

این حمله ممکن است پیامدهای جزیی مثل ایجاد اختلال در سرویس‌دهی یا از کار افتادن وب سایت‌ها، برنامه‌های کاربردی و حتی کل عملیات یک کسب‌وکار را به همراه داشته باشد.

انواع حملات DDoS

حملات DDoS به سه نوع کلی تقسیم می شوند که عبارتند از:

  1. حملات نوع اول، حملات حجمی هستند که در آنها از ترافیک انبوه برای مصرف منابعی همچون یک سرور یا وب سایت استفاده می‌شود. از جمله این حملات می‌توان به حملات “ICMP Flood Attack” اشاره کرد که در آنها مهاجم با هدف از کار انداختن سرور قربانی، پیام‌های فراوانی را برای آن ارسال می‌کند. پیام‌های ارسالی در این حملات، از نوع Ping هستند که یکی از معروف‌ترین انواع پیام‌های پروتکل ICMP می‌باشد. به همین دلیل به این حملات، “Ping ICMP Flood Attack” نیز گفته می‌شود. نوع دیگری از حملات محروم‌سازی نوع اول، حملات “UDP Flood” هستند. مهاجم در این نوع از حمله، با ارسال تعداد زیادی از بسته‌های UDP به پورت‌های سرور، آن را با پاسخ‌گویی به بسته‌های متعدد مشغول نگه می‌دارد. حجم این حملات بر اساس تعداد بیت در ثانیه[2] (bps) اندازه‌گیری می‌شود.
  2. حملات DDoS نوع دوم، حملات لایه شبکه یا پروتکل هستند که در آنها تعداد زیادی بسته به زیرساخت‌های یک شبکه و ابزارهای مدیریت زیرساخت آن ارسال می‌شود. از جمله این حملات می‌توان به “Smurf DDoS” و سیل‌های SYN اشاره کرد که اندازه آنها برحسب تعداد بسته در ثانیه (PPS[3]) ارزیابی می‌شود.
  3. سومین نوع حملات DDOS، حملات لایه کاربرد هستند که با ارسال درخواست‌های مخرب به سمت برنامه‌های کاربردی اجرا می‌شوند. اندازه این حملات برحسب تعداد درخواست در ثانیه (RPS[4]) مشخص می‌شود.

همه این حملات با هدف ایجاد اختلال در دسترسی به یکسری منبع یا سرویس اجرا می‌شوند.

نشانه های اجرای حمله DDoS

معمولاً نشانه های حملات DDoS به سایر مشکلاتی که باعث ایجاد اختلال در دسترسی به بعضی سرویس‌ها می‌شوند، شباهت دارد. مثلاً از کار افتادن یک سیستم یا سرور، افزایش حجم تقاضای کاربران یا حتی قطع سرویس از جمله این نشانه ها است که در خصوص وقوع یک حمله DDoS هشدار داده و بهتر است نادیده گرفته نشوند.

با این حال برای تشخیص دقیق مشکل و اینکه آیا واقعاً حمله‌ای رخ داده است یا خیر باید ترافیک دریافتی به سیستم مورد نظر را به صورت دقیق تحلیل و بررسی کرد.

تاریخچه حملات DDoS

در اوایل سال 2000 میلادی یک دانش آموز کانادایی با نام “MafiaBoy”، یک حمله محروم‌سازی از سرویس توزیع ‌شده را بر ضد سایت یاهو که در آن زمان یکی از قدرتمندترین وب سایت‌های جهان محسوب می‌شد، اجرا کرد. او در طول هفته بعد، فعالیت‌های خود را گسترش داده و توانست وب سایت‌های دیگری مثل آمازون، سی‌ان‌ان و ای‌بی را نیز هدف حملات خود قرار دهد.

قطعاً این مورد، اولین حمله DDoS تاریخ نبوده است اما این حملات عمومی و موفق باعث شدند حمله محروم‌سازی از سرویس از یک مزاحمت جزیی و جدید، به یک تهدید مختل‌کننده مهم تبدیل شود که برای همیشه ذهن مدیران ارشد فناوری اطلاعات و امنیت را به خود مشغول کند.

از آن زمان به بعد موارد بی‌شماری از حملات DDoS با اهدافی مانند انتقام‌گیری، اخاذی و حتی اعلام جنگ سایبری اجرا شده و همواره گسترش یافته و بزرگ‌تر نیز می شوند. در اواسط دهه 90 میلادی ممکن بود چنین حمله‌ای متشکل از 150 درخواست در ثانیه باشد که برای از کار انداختن بسیاری از سیستم‌ها کافی بود. امروزه حجم این حملات از هزار گیگابایت در ثانیه هم بیشتر شده که یکی از دلایل مهم آن تعداد بسیار زیاد بات‌نت‌های مدرن می‌باشد.

در سال 2016 میلادی شرکت Dyn DNS (یا Now Oracle DYN) که ارایه‌دهنده خدمات زیرساخت اینترنت است، توسط حملات DNS Flood و با هدف از بین بردن منابع سرور، از سمت ده‌ها میلیون آدرس ‌آی‌پی مورد حمله قرار گرفت. این حمله با استفاده از بات‌نت Mirai اجرا شد که بیش از 100 هزار مورد از تجهیزات اینترنت اشیا از جمله چاپگر و دوربین‌های متصل به اینترنت را آلوده کرده بود.

Mirai در نقطه اوج فعالیت خود 400 هزار سیستم آلوده داشت. سرویس‌هایی مثل آمازون، نت‌فلیکس، ردیت، اسپاتیفای، تامبلر و توئیتر در اثر حملات این بات نت دچار اختلال شدند. در اوایل سال 2018، یک فن جدید در نحوه انجام این حملات پدیدار شد. در آغاز آن سال وب سایت گیت‌هاب مورد هدف یک حمله محروم‌سازی از سرویس گسترده با حجم 1.35 ترابایت در ثانیه قرار گرفت. هر چند گیت‌هاب برای مدت زمان بسیار محدودی از دسترس خارج شد و ظرف کمتر از 20 ثانیه دوباره به حالت عادی بازگشت اما حجم انبوه و گستردگی این حمله نگران کننده بود چون از حمله Dyn که به اوج 1.2 ترابایت در ثانیه رسید، بزرگ‌تر بود.

اگرچه حمله Dyn توسط بات‌نت Mirai انجام شد که پیش از این هزاران وسیله در اینترنت اشیا را آلوده کرده بود ولی تحلیل فناوری‌های مورد استفاده برای اجرای حمله بر ضد گیت‌هاب نشان داد که این حمله نسبت به سایر حملات ساده‌تر بوده است. با این حال چون در آن از سرورهای گیت‌هاب که سیستم کشینگ Memcached در آنها فعال بوده، سوءاستفاده شده است بنابراین حجم گستردگی این حمله بسیار زیاد شناسایی شده است؛ زیرا Memcached که یک نرم‌افزار کد منبع باز برای انجام عملیات کش روی سرور وب‌سایت‌های پویا است می‌تواند به عنوان عاملی تقویت‌کننده در حملات DDoS مورد سوءاستفاده قرار گیرد.

Memcached فقط برای استفاده بر روی سرورهای حفاظت شده در شبکه‌های داخلی طراحی شده و در واقع جهت پیشگیری از جعل آی‌پی و ارسال انبوه داده در آن کار زیادی انجام نشده است. متأسفانه در اینترنت هزاران سرور Memcached وجود دارد که میزان استفاده از آنها در حملات DDoS همواره بیشتر شده و کنترل این سرورها در اختیار مهاجمان قرار می گیرد چون هر زمان به آنها فرمان داده شود بدون بررسی و پرسش، بسته‌های دلخواه مجرمان را ارسال می‌کنند. تنها چند روز بعد از حمله گیت‌هاب، یک حمله DDoS مشابه با استفاده از Memecached و با حجم 1.7 ترابایت بر ثانیه ضد یک شرکت آمریکایی دیگر اجرا شد.

بات‌نت Mirai از این جهت مهم و قابل توجه است که برخلاف بیشتر حملات DDoS، به جای سرور و رایانه از تجهیزات اینترنت اشیا استفاده می‌کند. همچنین بر اساس تحقیقات انجام شده، تا سال 2020 حدود 34 میلیارد وسیله متصل به اینترنت وجود خواهد داشت که بیشتر آنها (24 میلیارد) مربوط به اینترنت اشیا هستند.

متأسفانه Mirai آخرین بات‌نتی نیست که از اینترنت اشیا استفاده می‌کند. بررسی صورت گرفته توسط تیم‌های امنیت سایبری شرکت‌های متفاوت از جمله Google منجر به شناسایی بات‌نتی با ابعاد مشابه به نام “WireX” شده که متشکل از 100 هزار دستگاه اندرویدی آلوده در 100 کشور مختلف در سطح جهان است. این تحقیق پس از آن صورت گرفت که یکسری حمله DDoS وسیع، شبکه‌های تحویل محتوا و ارایه‌دهندگان محتوا را هدف قرار دادند.

در ژوئن 2020، شرکت اینترنتی آمریکایی Akamai که در زمینه شبکه تحویل محتوا فعالیت می‌کند گزارش داد که موفق به مقابله با یک حمله DDoS به بزرگی 809 میلیون بسته در ثانیه بر ضد یک بانک بزرگ اروپایی شده است. این حمله به‌ گونه‌ای طراحی شده بود که با ارسال میلیاردها بسته کوچک (با هدر IPv4 29 بایت) برنامه‌های کاربردی و تجهیزات شبکه مراکز داده بزرگ را هدف بگیرد.

محققان Akamai اعلام کرده اند این حمله به دلیل تعداد بسیار زیاد آی‌پی‌های مورد استفاده، منحصر به فرد بوده و به گفته آنها «تعداد آی‌پی‌های ارسال کننده ترافیک، حین اجرای این حمله به میزان چشمگیری افزایش یافت که این موضوع نشان دهنده توزیع شدگی بسیار زیاد این حمله است. تعداد آی‌پی‌های مورد استفاده در هر دقیقه نسبت به آنچه در شرایط معمولی برای این مقصد مشاهده می‌شود، 600 برابر بیشتر بوده است».

وضعیت کنونی حملات DDoS

اگرچه حملات DDoS به مرور زمان تغییر یافته اند اما هنوز هم یک تهدید جدی محسوب می‌شوند. بر اساس گزارش‌های منتشر شده، تعداد حملات DDoS در سه ماهه دوم سال 2019 میلادی نسبت به سه ماهه سوم سال 2018، حدود 32 درصد افزایش یافته است. همچنین در سال 2020، تعداد حملات DDoS در هر سه ماه افزایش داشته است (به جز سه ماهه چهارم).

به گفته Kaspersky بات‌نت‌هایی مثل “Torii” و “DemonBot” که به تازگی شناسایی شده‌ و قادر به انجام حملات DDoS هستند، بسیار نگران کننده می‌باشند. Torii می‌تواند کنترل انواع تجهیزات اینترنت اشیا را در اختیار گرفته و نسبت به Mirai، خطرناک‌تر و پایدارتر است. DemonBot نیز کلاسترهای نرم‌افزار کد منبع باز هدوپ را هدف قرار می دهد. در نتیجه می تواند به قدرت رایانشی بیشتری دسترسی داشته باشد.

یکی دیگر از موضوعات نگران کننده، پلتفرم‌های جدیدی مثل 0x-booter هستند که از آنها برای اجرای حملات DDoS استفاده می‌شود. این پلتفرم، کنترل بیش از 16 هزار دستگاه آلوده به بدافزار Bushido را در اختیار دارد.

بر مبنای گزارش‌ها بیشتر حملات DDoS انجام شده در سال 2019 نسبتاً کوچک بوده‌اند. برای مثال، حملات لایه شبکه صورت گرفته معمولاً از 50 میلیون PPS بیشتر نبوده اند. محققان امنیتی این موضوع را به سرویس‌های فروش خدمات DDoS نسبت می‌دهند که حملاتی نامحدود اما کوچک را اجرا می‌کنند. البته کارشناسان در سال 2019 شاهد اجرای حملات بسیار بزرگ نیز بوده‌اند.

این روند در سه ماهه چهارم سال 2020 تغییر کرد و کارشناسان امنیتی شرکت Cloudflare خبر از افزایش چشمگیر حملاتی به بزرگی بیش از 500 مگابیت بر ثانیه را دادند. این حملات بسیار پایدارتر شده‌اند و 9 درصد از حملات اجرا شده در بین ماه های اکتبر و دسامبر، بیش از 24 ساعت به طول کشیده اند.

همچنین آنها خبر از افزایش تعداد حملات RDDoS در سال 2020 دادند. مهاجمان در این حملات پس از اجرای حمله DDoS معمولی از سازمان‌ها برای توقف حمله باج می‌گیرند. معمولاً هکرها قربانیانی را هدف می‌گیرند که توانایی کمتری برای واکنش و بازیابی سیستم‌ها از چنین حملاتی را دارند.

ابزارهای حمله DDoS

عموماً مهاجمان برای اجرای حمله DDoS، متکی بر بات‌نت یعنی شبکه‌ای از سیستم‌های آلوده به بدافزار تحت کنترل خودشان هستند. این سیستم‌های آلوده معمولاً شامل سرورها و رایانه‌ها می‌باشند. با گذشت زمان، تعداد دستگاه‌های تلفن همراه و تجهیزات اینترنت اشیا هم در آنها بیشتر شده است. مهاجمان با شناسایی سیستم‌های آسیب‌پذیری که از طریق حمله فیشینگ، تبلیغات آلوده و فنون دیگر امکان آلوده نمودن آنها وجود دارد، از این سیستم‌ها سوءاستفاده می‌کنند. در حال حاضر بعضی از مهاجمان، این بات‌نت‌ها را از سایر مجرمانی که آنها را ساخته‌اند، اجاره می‌کنند.

رشد و تکامل حملات DDoS

همانطور که پیش از این هم اشاره شد، یکی از ویژگی‌های روزافزون این حملات اجرای آنها توسط بات‌نت‌ها است که انتظار می‌رود این روند در ماه های آتی باز هم گسترش پیدا کند.

یکی دیگر از گرایشات جدید، استفاده از چند مسیر حمله در یک حمله است که به آن محروم‌سازی از سرویس پیشرفته و مستمر (APDoS[5]) نیز گفته می‌شود. برای مثال ممکن است یک حمله APDoS، لایه کاربرد را هم درگیر کند؛ مثل حملاتی که بر ضد پایگاه‌های داده و برنامه‌های کاربردی و همچنین سرورها اجرا می‌شوند. به گفته مدیر شرکت Binary Defense: «این حملات، فراتر از حملات سیل آسای معمولی هستند».

او همچنین گفته که: «مهاجمان، معمولاً قربانیان خودشان را به صورت مستقیم هدف نمی‌گیرند بلکه سازمان‌هایی که به آنها وابسته هستند مثل ارایه‌دهندگان سرویس‌های ابری و ISPها (ارایه‌دهندگان خدمات اینترنتی) را هدف می‌گیرند. از طرفی دیگر این حملات بسیار گسترده و دارای پیامدهایی بزرگ بوده و بسیار خوب سازماندهی شده‌اند».

این موضوع موجب تغییر پیامدهای حملات DDoS برای سازمان‌ها هم شده است. یکی از کارشناسان امنیت سایبری در این‌ باره  می‌گوید: «در حال حاضر سازمان‌ها فقط نگران اجرای حملات DDoS بر ضد خودشان نیستند بلکه اجرای حمله علیه همکاران، فروشندگان و تأمین‌کنندگانی که از خدمات آنها استفاده می‌کنند هم موجب نگرانی آنها شده است. یکی از قدیمی‌ترین شعارهای حوزه امنیت این است که امنیت یک کسب‌وکار به اندازه امنیت ضعیف‌ترین حلقه آن است. در محیط امروزی ممکن است این ضعیف‌ترین حلقه، یکی از شرکت‌های همکار باشد».

البته همزمان با رشد و پیشرفت حملات DDoS، فناوری و راهکارها نیز توسعه پیدا می‌کنند. یکی از مدیران امنیت سایبری معتقد است اضافه شدن دستگاه‌های جدید به اینترنت اشیا منجر به تقویت هوش مصنوعی و یادگیری ماشینی می‌شود که می تواند نقش اساسی در این حملات داشته باشد. او می‌گوید: «مهاجمان در نهایت این فناوری‌ها را در حملات خودشان هم به کار خواهند بست و کار مدافعان برای مقابله با حملات DDoS به شدت سخت‌تر می‌شود. از طرفی دیگر فناوری دفاعی DDoS هم در همین مسیر پیشرفت خواهد کرد».

 

[1] Distributed Denial of Service

[2] Bits Per Second

[3] Packets Per Second

[4] Requests Per Second

[5] Advanced Persistent Denial-of-Service

 

منبع: csoonline

 

خروج از نسخه موبایل