به حداقل رساندن خسارات ناشی از حملات دیداس (DDOS)

با رشد میزان نفوذ و وسعت حملات DDoS(دیداس)، Dan Raywood به تحقیق و کاوش در این موضوع پرداخته است که آیا روش‌های محافظت امروزی با تهدیدی که تاکنون هدف‌های بسیار بزرگی در سر تا سر دنیا را به دام انداخته است، همگام است یا خیر.

حمله منع سرویس توزیع شده (distributed denial of service) که به اختصار DDOS گفته می‌شود، یک قابلیت مهم برای ساکت کردن طرف مقابل است. اگر طرف مقابل دولت، یک کسب‌وکار، یک روزنامه‌نگار یا حتی رقیب باشد، قانون حکم می‌کند که حتی برای یک مدت کوتاه هم که شده باید موجودیت دیگر را از هستی ساقط کرد.

از ابتدای حضور دیداس، با حمله سال 1375 به یک شرکت دسترسی به شبکه عمومی Panix، تا حملات سال 1386 دیداس که منجر به تشکیل کمپین Estonia و Anonymous علیه کسانی که برای Julian Assange و WikiLeaks پشتیبانی مالی ارائه نمی‌دادند شد، دیداس تبدیل به سلاحی برای فعالانی شده که تصمیم دارند کسانی را که از عقیده مشابه آن‌ها پیروی نمی‌کنند ساکت کنند.

در یک دوره زمانی، حمله دیداس، مربوط به ترافیک‌های مگابایتی بود. نقطه‌ای از زمان که منجر به وارونه شدن این روند شد حمله به Spamhaus در سال 1392 بود، که بر اساس ارزیابی‌ها چیزی در حدود 300 گیگابایت در ثانیه گزارش شده است. این حمله توسط CloudFlare به عنوان “حمله‌ای که تقریباً باعث سقوط اینترنت شد” توصیف شد، که همین تعریف، چهره دیداس را از لحاظ اندازه و توانایی به چیزی که ما امروزه می‌شناسیم تغییر داد. اکنون، طبق گزارش سه ماهه چهارم سال 1395 که Akamai درباره وضعیت اینترنت ارائه داد، حملات بزرگ‌تر از 100 گیگابایت در ثانیه از سه ماهه چهارم سال 1394 تا سه ماهه چهارم سال 1395، 140 درصد افزایش داشته‌اند.

او همچنین گزارش کرده است که بزرگ‌ترین حمله دیداس در سه ماهه چهارم سال 1395 که تا مرز 517 گیگابایت در ثانیه نیز رسید، از Spike که یک بات نت (botnet) سنتی بود و حدود دو سال در بازار بود می‌آمد. به این مثال، حمله به ارائه‌دهنده سرویس DNS، یعنی Dyn در شهریور ماه 1395 را نیز اضافه کنید که 2/1 ترابایت در ثانیه اندازه‌گیری شده است و همین‌طور حمله‌ای که یک روز قبل از آن به وب‌سایت روزنامه‌نگاری فعال در حوزه امنیت Brian Krebs انجام شده بود و بزرگی آن در حدود 620 گیگابایت در ثانیه بود را نیز اضافه کنید.

با در نظر نگرفتن حمله Spamhaus، که در زمان خودش نوعی ناهنجاری محسوب می‌شد، افزایش ناگهانی در تعداد حملات دیداس، نوعی غافلگیری را با خود به همراه داشت. Krebs اعلام کرد که حمله‌ای که باعث از کار افتادن وب‌سایتش شده است ” طبق گفته Akamai تقریباً دو برابرِ بزرگ‌ترین حمله‌ای بود که آن‌ها تاکنون دیده بودند و تقریباً یکی از بزرگ‌ترین حملاتی بوده که اینترنت تاکنون به خود دیده است.”

در خصوص حمله Dyn، که یک حمله دیداس به سرور نام دامنه بوده است، حمله‌کنندگان بر روی سرورهای نام دامنه تمرکز کرده بودند تا از ترجمه آدرس وب‌ها جلوگیری کنند. طبق گفته Igal Zeifman که مبلغ امنیتی Imperva در خط تولید Incapsula است، این حمله با سیلی از حملات DNS بر روی سرورها یا با حمله به زیرساخت ارائه‌دهنده سرویس DNS انجام شده بود. او مدعی شد که “افزایش چشمگیری در اندازه حملات در طول 18 ماه اخیر” تا نیم ترابایت در ثانیه رخ داده است.

 آیا ما با آن همگام هستیم؟

اگر حملات به طور ناگهانی افزایش یابند، آیا توانایی و قابلیت سیستم‌های حفاظتی نیز همگام با آن افزایش خواهند یافت؟ Neustar’s Barrett Lyon کسی که سابق بر این، فروشنده سیستم محافظت از دیداس ” همواره در دسترس”  Prolexic بود، می‌گوید مشکل، تکنولوژی نیست، چرا که تکنولوژی در حالت کلی ثابت باقی می‌ماند بلکه مسئله این است که شما تا چه اندازه می‌توانید دیوار دفاعی‌تان را بالا ببرید.

Sean Newman ریاست بخش مدیریت محصولات امنیتی شبکه Corero در گفت‌وگویی با Infosecurity توضیح می‌دهد: زمانی که حمله‌کنندگان به این موضوع پی می‌برند که می‌توانند از پروتکل‌هایی که باعث عملکرد اینترنت می‌شوند سوءاستفاده کنند، دیداس را با استفاده از حملات تقویتی‌ انجام می‌دهند و یک ترافیک کوچک را به ترافیکی با حجم بالا تبدیل می‌کنند.

به گفته او “جدای از Mirai، تقریباً تمام حملات بزرگ توسط تکنیک‌های تقویتی و انعکاسی که از پروتکل‌هایی نظیرDNS  یا NTP  بهره برده و آن‌ها را مورد سوءاستفاده قرار می‌دهند، انجام می‌شوند.”

Newman می‌گوید که حملات دیداس از پروتکل زمانی شبکه (NTP) سوءاستفاده کرده و اگر حمله‌کننده بتواند سرور بازی با این قابلیت را پیدا کند، حملاتی ایجاد می‌کند که ترافیک به میزان هزار برابر به هدف ارسال می‌شود. “ما همچنان سوءاستفاده از DNS را مشاهده می‌کنیم و این پروتکل می‌تواند ترافیک 50 برابر ایجاد کند، اما هیچ‌چیز شبیه آنچه با NTP رخ می‌دهد نیست”.

از او سؤال شده بود که آیا افزایش ناگهانی‌ای در سایز حملات احساس می‌کند یا خیر و آیا این قابلیت همواره وجود داشته است، پاسخ او این است که هنوز متقاعد نشده است که افزایشی در ظرفیت وجود داشته است تنها “دیداس دوباره به میدان آمده است.”

او این بحث را مطرح می‌کند که”در طول زمان، پهنای باند، افزایش یافته است در نتیجه در وهله اول به توان بالاتری برای حمله نیاز خواهید داشت. بیست سال به عقب بروید، می‌بینید که کامپیوترها کم توان‌تر بوده‌اند، در نتیجه تولید قدرت کافی، سخت خواهد بود”

” حملات دیداس هر ساله متداول‌تر و آسیب‌رسان‌تر می‌شوند”

محافظت، یک راه کلیدی برای مقابله با این حملات است

Claudio Neiva، مدیر اجرائی تحقیقات امنیت و حریم خصوصی Gartner، چنین می‌گوید “حملات دیداس، هر ساله متداول‌تر و آسیب‌رسان‌تر می‌شوند.” و محافظت در برابر این حملات، بدون متحمل شدن ضرر و زیان، برای افزایش قابلیت اعتماد و کارایی وب‌سایت شما حیاتی است.

Neiva با اشاره به این که یک حمله متوسط می‌تواند محدوده چهار تا ده گیگابایت در ثانیه را در بر بگیرد و از 15 دقیقه تا یک روز ادامه داشته باشد، این نکته را اضافه کرد که اگر حمله‌کننده قصد داشته باشد یک نکته سیاسی را یادآور شود این حمله می‌تواند طولانی‌تر باشد. در حوزه محافظت، فکر کردن به چیزهای مهمی که در محیط شما وجود دارند و باید تحت محافظت قرار بگیرند، حائز اهمیت است. “هزینه‌ها می‌توانند در محدوده ماهی 2500 دلار تا 14000 دلار باشند اما میزان دقیق آن به سایز پهنای باند شما بستگی دارد”.

Neiva در خصوص حمله حجمی توضیح می‌دهد که حمله‌کننده قصد دارد لوله اینترنت شما را پر کند؛ این بدین معنی خواهد بود که شما دیگر نمی‌توانید از تکنولوژی پیشگیری از مداخله یا فایروال یا حتی یک ابزار ضد دیداس اختصاصی نیز استفاده کنید ” چرا که حمله از بیرون شبکه انجام شده است و راهی برای کنترل آن وجود ندارد”. یک مرکز پالایش داده می‌تواند پهنای باند بالایی به شما ارائه دهد در حالی که یک ابزار اختصاصی تنها به عنوان سرویس ارائه می‌شود.

دومین گزینه به عنوان تکنولوژی “همواره در دسترس” شناخته می‌شود، به این صورت که شما نیازی به تماس با ارائه‌دهنده به منظور تغییر مسیر ترافیک‌تان نخواهید داشت، چرا که این ترافیک همیشه از مرکز سرویس عبور می‌کند. عیب این روش این است که هزینه بیشتری ایجاد می‌کند.

Neiva گفت “بنا به درخواست (On demand) به این معنی است که شما نیاز به یک طرح ارتباطی خوب دارید تا متوجه شوید چه کسی مسئول تصمیم‌گیری در خصوص تغییر مسیر یا یک تماس است”.

این شیوه یا به‌وسیله تغییر مسیر از طریق پروتکل DNS و یا پروتکل مسیریابیBGP فعال شده است، اما لازم است که شما Slash24 را در وبسایت‌تان داشته باشید.

Neiva توضیح می‌دهد که BGP در مسیریابی اینترنت کمک می‌کند، اما مانند Slash24، این امکان را برای شما فراهم می‌کند که آدرسIP مستقل از ISP داشته باشید و امکان تغییر مسیر ترافیک شما به مکان دیگری را ایجاد کند.

Neiva اضافه کرد که با این حال، بزرگ‌ترین شکست، زمانی اتفاق می‌افتد که افراد در کشمکش تصمیم‌گیری برای تغییر مسیر ترافیک قرار می‌گیرند و اغلب آن‌قدر صبر می‌کنند که دیگر خیلی دیر می‌شود، در نتیجه داشتن طرح و نقشه در این حالت بسیار مهم بوده و بهترین روش است.

گزینه دیگر برای محافظت در برابر حملات دیداس، استفاده از سرویس “لوله خالی clean pipe”تان است، سرویس طلائی‌ای با خدمات پالایش ویژه مختص حملات دیداس. با این حال، قراردادها اغلب برای چند دقیقه و تعداد مشخصی از رفع اشکالات هستند و حملات نمی‌توانند بیشتر از 100 گیگابایت در ثانیه باشند. به گفته Neiva “من ایده مذاکره در خصوص اتصالی که به سایز حمله بستگی داشته باشد را دوست ندارم، چرا که شما فرصت مذاکره با حمله‌کننده را نخواهید داشت”.

بهترین گزینه

Neiva ترکیبی از نرم‌افزارهای سازمانی اختصاص داده شده به دیداس و سرویس مبتنی بر کلاود را توصیه می‌کند، چرا که حملات، همواره از نوع حجمی نخواهند بود و لوله را پر نخواهند کرد اما می‌توانند به اندازه‌ای پر همهمه باشند که IPS را از کار باز دارند.

Garry Sidaway، معاون ارشد استراتژی امنیت و پیوستگی در NTT Security، می‌گوید که بیشتر کسب‌وکارها در شناخت تأثیرات بالقوه حملات دیداس ناموفقند، و به همین دلیل برای پیاده‌سازی کنترل‌های صحیح و طرح‌های واکنشی و به‌طور کل متوقف ساختن آن‌ها بودجه‌ای اختصاص نمی‌دهند.

به گفته او “اتفاقات جنجالی‌ای نظیر حملاتی که به شرکت آمریکایی  Dyn و Brian Krebs انجام شد، به اعمال دستور کار امنیت سازمان‌ها کمک خواهد کرد. اما همچنان این رویدادها به شکل فزاینده‌ای با اخاذی و حملات باج‌خواهی مرسوم‌تر شده و شرکت‌ها آماده‌اند هزینه‌ای به مجرمان سایبری پرداخت کنند تا از خسارات مالی و از دست دادن مشتری در امان بمانند.”

طبق گفته‌های Maxine Holt، تحلیلگر ارشد در انجمن امنیت اطلاعات، آمادگی یکی از کلیدهای اصلی مقابله با تهدیدات است و لازم است زمانی که مشغول بررسی تهدیداتی هستید که احتمال دارد سازمان شما را به مخاطره بیندازند، حملات دیداس را نیز در نظر بگیرد و سطح محافظتی لازم را پیاده‌سازی کنید.” زیرساخت‌تان را به‌گونه‌ای سازماندهی کنید که سرویس‌های بحرانی، مجزا باشند. این بدین معنی است که حملات دیداس نباید بر روی سرویس‌های بحرانی شما تأثیر بگذارند”.

داشتن آمادگی و تکنولوژیِ مناسب کسب‌وکارتان یک مسئله است اما اطمینان از کارکرد آن مسئله دیگری است.

Eoin Keary، بنیان‌گذار و مدیرعاملMSSP مبتنی بر کلاود Edgescan، چنین بیان می‌کند که به تازگی دریافته است که سرویس‌های محافظت در برابر دیداس ناقص‌اند و به اندازه کافی و به صورت متناوب تحت تست و بررسی قرار نگرفته‌اند.

Keary اضافه کرد که به رغم پیک‌های ترافیکی در زمان‌های نامعمول، سازمان‌ها اغلب متوجه آن‌ها نمی‌شوند و به طور معمول تا زمانی که کسی شکایتی نداشته باشد از آن‌ها آگاه نمی‌شوند.” اغلب سرویس‌های محافظت در برابر حملات دیداس دیر وارد میدان می‌شوند، برای مثال زمانی که ترافیک به 300 مگابایت در ثانیه برسد در حالی که سرورها در 100 مگابایت در ثانیه از کار می‌افتند. ”

بر اساس توضیحات Keary نیاز به محافظت “می‌تواند بسته به اینکه از چه چیزی قرار است محافظت شود بیشتر یا کمتر شود” و با توجه به شرکت‌هایی که او با آن‌ها کار کرده است، از هر پنج مورد سه مورد از آن‌ها محافظت ‌دیداس دارند اما تنها یکی از آن سه تا، آن را بکار انداخته‌اند.

Keary بیان می‌کند که جایی که حفاظتی در برابر دیداس  وجود ندارد، بسیاری از سازمان‌ها به ISPشان تکیه می‌کنند، اما از آنجایی که منبع حمله، یک هدف متحرک است مسدود کردن آن سخت‌تر و سخت‌تر می‌شود.

پیشگیری از دیداس بخشی از صنعت است که خیلی به آن پرداخته نشده و همان‌طور که در این مقاله مشخص شد، گزینه‌های فراوانی وجود دارد که شما می‌توانید برای محافظت خودتان از آن‌ها استفاده کنید. با این حال، هر چه اندازه حمله در سطح بالایی قرار می‌گیرد و سرویس‌های محافظتی، گران‌قیمت و تست نشده باقی می‌مانند (یعنی کسب‌وکار متوجه نشود که چه زمانی انحراف صورت گرفته است) شاید صنعت امنیت اطلاعات نیاز به راه‌حل بهتری داشته باشد.

با یک تاریخچه 20 ساله و گذشت 17 سال از حملات Panix و Spamhaus که هر دو شامل فیلترینگ ایمیلی هدف‌ها بودند، دیداس  به سرعت در حال بالغ شدن بود و همان‌طور که حمله‌کنندگان Dyn  و Kerbs  نشان دادند، هر کسی می‌تواند قربانی این حمله باشد و اگر شما هدف منتخب آن باشید، در صورت عدم آمادگی بهترین روش‌های محافظتی هم نمی‌توانند شما را نجات دهند.