کسب و کارهای کوچک نسبت به از بین رفتن داده ها و کلاه برداری ، در معرض خطر بیشتری هستند. در این پست چگونگی محافظت در مقابل تشخیص حملات DDoS و همه چیزهایی که باید بدانید تا از خودتان محافظت کنید توضیح داده شده است ، با ما همراه باشید!
تشخیص حملات DDoS
از همه حملاتی که می توانند در برابر یک هدف هماهنگ شوند، یکی از ساده ترین تلاش ها برای موفقیت، یک حمله انکار سرویس (DoS) است. این امر با ماهیت خشن نیروهای این حملات بسیار مواجه است. در ساده ترین سطح، حملات DoS نیاز به یک دستگاه با اتصال به شبکه برای ارسال مقدار زیادی از ترافیک به یک دستگاه متصل به شبکه دیگر. در پیچیده ترین این حملات، حملات (Distributed DoS (DDoS با دستگاه های متعدد حمله هماهنگ شده از طریق یک ساختار کنترل توزیع شده.
بسیاری از دستگاه های مختلف انواع مختلفی را برای مقابله با این نوع حملات به کار می برند که برخی از آنها عبارتند از فایروال ها (سنتی و نسل بعدی)، سیستم های پیشگیری از نفوذ (سنتی و نسل بعدی) و فایروال های وب برنامه (WAF). بعضی از این دستگاه ها حتی شامل اجزای اصلی DoS / DDoS نیز می شوند که بسته به فروشنده خاص است. در این مقاله، ما تمرکز خود را بر روی تابع هایی که به طور خاص برای کاهش حملات DoS و DDoS و لوازم خانگی طراحی شده اند برای این کاهش می یابیم.
شیوع حملات خدماتی
از آنجا که حمله ی DoS بسیار ساده است، می توان آن را هر کسی با مقدار ابتدایی دانش فنی انجام داد. این سادگی در حال حاضر به تشخیص حملات DDoS از طریق اجاره بوتت ها و خدمات وب سایت Booter گسترش یافته است. این باعث می شود تقریبا هر کسی که دارای یک اتصال اینترنتی عمومی هدف برای حملات بالقوه است. برای شرکت هایی که به طور عمده در اینترنت مشغول به کار هستند، این موضوع به ویژه مربوط است. طبق گزارش Noustar 2015 DDoS Attacks & Protection Report، ۴۰ درصد از شرکت ها می گویند که تشخیص حملات DDoS یک تهدید رو به رشد هستند که در شبکه های خود مشاهده می کنند. از نظر شرکت هایی که مورد حمله قرار می گیرند، ۸۵ درصد نیز گزارش می دهند که چندین بار مورد حمله قرار گرفته اند و ۳۰ درصد از آنها بیش از ۱۰ بار بیش از یک سال مورد حمله قرار گرفته اند.
در پاسخ به خطر بالقوه حملات DoS، ۵۱ درصد از این شرکت ها گزارش دادند که سرمایه گذاری خود را در راه حل های DDoS Neustar ، ۲۰۱۵ افزایش داده اند. از آنهایی که مورد بررسی قرار گرفتند، ۲۶ درصد از یک دستگاه نقطه DDoS استفاده می کنند که تمرکز این مقاله است، اما این تنها محصول کاهش موجود برای سازمان ها نیست. هنگام انتخاب یک راه حل DDoS، بهترین گزینه این است که ترکیب چندین راه حل (رویکرد ترکیبی) را برای پوشش همه نقاط حمله احتمالی در شبکه داشته باشید. همانطور که اشاره شد، محصولات متعددی وجود دارد که قطعه های مختلف کاهش DDoS را به عنوان بخشی از راه حل های آنها ارائه می دهند (NGFW، NFIPS، WAF). برای ارائه جامع ترین حفاظت DDoS طراحی این راه حل ها باید با تهدیدات DDoS در نظر گرفته شود.
انواع حملات DDoS
بر طبق گزارش تخریب توزیع سرویس (DDoS) آزمایشگاه NSS: گزارش متدولوژی تست، سه دسته اولیه تشخیص حملات DDoS وجود دارد:
- حجمی
- پروتکل
- اپلیکیشن
حمله حجمی ساده ترین نوع حمله DDoS است. هدف آن این است که یک هدف را با ترافیک زیادی که ممکن است برای جلوگیری از کارکرد آن به طور کامل سیل کنید. برای رسیدن به موفقیت، حمله DDoS حجمی فقط باید به اندازه کافی از ظرفیت اتصال اینترنت هدف برای تأثیرگذاری بر مشاغل مشروع عمل کند؛ یک حمله واقعا موفق میتواند بر روی بیشتر یا بیشتر مشتریان هدف تأثیر بگذارد. برخی از نمونه های معمولی از یک حمله حجمی، پروتکل کنترل پیام های کنترل اینترنت (ICMP) / سیل بسته های پروتکل دیتاگرام کاربر (UDP)، سرور مجازی برج میلاد سیل بسته های جعلی و سیل بسته های ناقص است.
یک حمله پروتکل کمی متفاوت است و بر اهمیت پروتکل منابع یک هدف متمرکز است. برخی از نمونه های تشخیص حملات DDoS عبارتند از: سیل TCP SYN / ACK / RST / اتصال، خستگی حالت TCP و حملات ویروس TCP. این نوع حمله نیازی نیست که مهاجم بیشتر یا بیشتر از پهنای باند موجود هدف مصرف کند، تنها این است که منابع اختصاصی سرور مجازی هدف را مصرف می کند.
حمله برنامه بیشتر زنجیره با یک منبع برنامه خاص متمرکز شده است. تشخیص حملات DDoS بیشتر در مورد آسیب پذیری های خاص متمرکز شده است، در حالی که دیگران به منابع کلی تر که در بسیاری از سرور مجازی ها وجود دارد، هدف قرار می گیرند. این به این معنی است که این سبک حمله نیاز به هماهنگی با دو دیگر ندارد. بعضی از نمونه های معمول شامل HTTP GET / POST Floods، تقویت DNS و حملات خستگی SSL است.
روش های حفاظت مقابل DDoS
در هنگام استفاده از سرویس حفاظت DDoS، تمام یا بیشتر ترافیک به شبکه مقصد منتهی می شود و از طریق تجهیزات شبکه خدمات حفاظت از طریق آن هدایت می شود. این سرویس “تکه تکه کردن” همه خطر بالقوه ترافیک DDoS و ارسال تمام ترافیک معتبر به شبکه هدف است. مشکل این است که وقتی یک هدف تمام ترافیک خود را از طریق یک نهاد جداگانه (مانند یک ارائه دهنده خدمات حفاظت) راه میاندازد، می تواند برخی از پیچیدگی ها را برای اجرای ویژگی های خاصی که بسیاری از شرکت ها استفاده می کند، اضافه کند.
استفاده از CDN محتویات هدف را توزیع می کند، به این دلیل که از طریق منابع متعدد، آن را واقعا کاهش می دهد. این نوع اجرای نیازمند آن است که محتوای موجود در CDN وجود داشته باشد و بنابراین نیاز به مراحل دیگری برای مدیریت محتوا از منبع اصلی و CDN دارد.
تجهیزات در حال حاضر در حال حاضر بیشتر راه حل DDoS، هر دو منحصرا و در ترکیب با راه حل های دیگر. این تجهیزات شامل هر دستگاهی است که هر بخش از حمله DDoS را کاهش می دهد (به عنوان مثال FW، IPS، DDoS). این شامل انواع زیادی از ترکیبات راه حل بالقوه مختلف است، اما ایده اصلی این است که به طور معمول سازمان خود مسئول نگهداری و مدیریت حمله است و اگر این اتفاق بیفتد.
خلاصه
با استفاده از این سبک های تشخیص حملات DDoS حملات همچنان ساده تر می شود و با افزایش میزان پهنای باند مسکونی که در حال رشد سریع است، بوت نت ها با بیشترین تعداد کمتری از ربات ها مورد سوء استفاده قرار می گیرند. هر شرکتی که تجارت را در اینترنت انجام می دهد یا از طریق اینترنت متصل است، باید این حملات را جدی بگیرد. این بدان معنی است که سازمان های بیشتری و بیشتر باید به خاطر داشته باشند که شبکه های خود و سیستم های امنیتی را توسعه می دهند.