تشخیص حملات DDoS

از همه حملاتی که می توانند در برابر یک هدف هماهنگ شوند، یکی از ساده ترین تلاش ها برای موفقیت، یک حمله انکار سرویس (DoS) است. این امر با ماهیت خشن نیروهای این حملات بسیار مواجه است. در ساده ترین سطح، حملات DoS نیاز به یک دستگاه با اتصال به شبکه برای ارسال مقدار زیادی از ترافیک به یک دستگاه متصل به شبکه دیگر. در پیچیده ترین این حملات، حملات (Distributed DoS (DDoS با دستگاه های متعدد حمله هماهنگ شده از طریق یک ساختار کنترل توزیع شده.

بسیاری از دستگاه های مختلف انواع مختلفی را برای مقابله با این نوع حملات به کار می برند که برخی از آنها عبارتند از فایروال ها (سنتی و نسل بعدی)، سیستم های پیشگیری از نفوذ (سنتی و نسل بعدی) و فایروال های وب برنامه (WAF). بعضی از این دستگاه ها حتی شامل اجزای اصلی DoS / DDoS نیز می شوند که بسته به فروشنده خاص است. در این مقاله، ما تمرکز خود را بر روی تابع هایی که به طور خاص برای کاهش حملات DoS و DDoS و لوازم خانگی طراحی شده اند برای این کاهش می یابیم.

شیوع حملات خدماتی

از آنجا که حمله ی DoS بسیار ساده است، می توان آن را هر کسی با مقدار ابتدایی دانش فنی انجام داد. این سادگی در حال حاضر به تشخیص حملات DDoS از طریق اجاره بوتت ها و خدمات وب سایت Booter گسترش یافته است. این باعث می شود تقریبا هر کسی که دارای یک اتصال اینترنتی عمومی هدف برای حملات بالقوه است. برای شرکت هایی که به طور عمده در اینترنت مشغول به کار هستند، این موضوع به ویژه مربوط است. طبق گزارش Noustar 2015 DDoS Attacks & Protection Report، ۴۰ درصد از شرکت ها می گویند که تشخیص حملات DDoS یک تهدید رو به رشد هستند که در شبکه های خود مشاهده می کنند. از نظر شرکت هایی که مورد حمله قرار می گیرند، ۸۵ درصد نیز گزارش می دهند که چندین بار مورد حمله قرار گرفته اند و ۳۰ درصد از آنها بیش از ۱۰ بار بیش از یک سال مورد حمله قرار گرفته اند.

در پاسخ به خطر بالقوه حملات DoS، ۵۱ درصد از این شرکت ها گزارش دادند که سرمایه گذاری خود را در راه حل های DDoS Neustar ، ۲۰۱۵ افزایش داده اند. از آنهایی که مورد بررسی قرار گرفتند، ۲۶ درصد از یک دستگاه نقطه DDoS استفاده می کنند که تمرکز این مقاله است، اما این تنها محصول کاهش موجود برای سازمان ها نیست. هنگام انتخاب یک راه حل DDoS، بهترین گزینه این است که ترکیب چندین راه حل (رویکرد ترکیبی) را برای پوشش همه نقاط حمله احتمالی در شبکه داشته باشید. همانطور که اشاره شد، محصولات متعددی وجود دارد که قطعه های مختلف کاهش DDoS را به عنوان بخشی از راه حل های آنها ارائه می دهند (NGFW، NFIPS، WAF). برای ارائه جامع ترین حفاظت DDoS طراحی این راه حل ها باید با تهدیدات DDoS در نظر گرفته شود.

انواع حملات DDoS

بر طبق گزارش تخریب توزیع سرویس (DDoS) آزمایشگاه NSS: گزارش متدولوژی تست، سه دسته اولیه تشخیص حملات DDoS وجود دارد:

• حجمی
• پروتکل
• اپلیکیشن

حمله حجمی ساده ترین نوع حمله DDoS است. هدف آن این است که یک هدف را با ترافیک زیادی که ممکن است برای جلوگیری از کارکرد آن به طور کامل سیل کنید. برای رسیدن به موفقیت، حمله DDoS حجمی فقط باید به اندازه کافی از ظرفیت اتصال اینترنت هدف برای تأثیرگذاری بر مشاغل مشروع عمل کند؛ یک حمله واقعا موفق میتواند بر روی بیشتر یا بیشتر مشتریان هدف تأثیر بگذارد. برخی از نمونه های معمولی از یک حمله حجمی، پروتکل کنترل پیام های کنترل اینترنت (ICMP) / سیل بسته های پروتکل دیتاگرام کاربر (UDP)، سرور مجازی برج میلاد سیل بسته های جعلی و سیل بسته های ناقص است.

یک حمله پروتکل کمی متفاوت است و بر اهمیت پروتکل منابع یک هدف متمرکز است. برخی از نمونه های تشخیص حملات DDoS عبارتند از: سیل TCP SYN / ACK / RST / اتصال، خستگی حالت TCP و حملات ویروس TCP. این نوع حمله نیازی نیست که مهاجم بیشتر یا بیشتر از پهنای باند موجود هدف مصرف کند، تنها این است که منابع اختصاصی سرور مجازی هدف را مصرف می کند.

حمله برنامه بیشتر زنجیره با یک منبع برنامه خاص متمرکز شده است. تشخیص حملات DDoS بیشتر در مورد آسیب پذیری های خاص متمرکز شده است، در حالی که دیگران به منابع کلی تر که در بسیاری از سرور مجازی ها وجود دارد، هدف قرار می گیرند. این به این معنی است که این سبک حمله نیاز به هماهنگی با دو دیگر ندارد. بعضی از نمونه های معمول شامل HTTP GET / POST Floods، تقویت DNS و حملات خستگی SSL است.

روش های حفاظت مقابل DDoS

در هنگام استفاده از سرویس حفاظت DDoS، تمام یا بیشتر ترافیک به شبکه مقصد منتهی می شود و از طریق تجهیزات شبکه خدمات حفاظت از طریق آن هدایت می شود. این سرویس “تکه تکه کردن” همه خطر بالقوه ترافیک DDoS و ارسال تمام ترافیک معتبر به شبکه هدف است. مشکل این است که وقتی یک هدف تمام ترافیک خود را از طریق یک نهاد جداگانه (مانند یک ارائه دهنده خدمات حفاظت) راه میاندازد، می تواند برخی از پیچیدگی ها را برای اجرای ویژگی های خاصی که بسیاری از شرکت ها استفاده می کند، اضافه کند.

استفاده از CDN محتویات هدف را توزیع می کند، به این دلیل که از طریق منابع متعدد، آن را واقعا کاهش می دهد. این نوع اجرای نیازمند آن است که محتوای موجود در CDN وجود داشته باشد و بنابراین نیاز به مراحل دیگری برای مدیریت محتوا از منبع اصلی و CDN دارد.

تجهیزات در حال حاضر در حال حاضر بیشتر راه حل DDoS، هر دو منحصرا و در ترکیب با راه حل های دیگر. این تجهیزات شامل هر دستگاهی است که هر بخش از حمله DDoS را کاهش می دهد (به عنوان مثال FW، IPS، DDoS). این شامل انواع زیادی از ترکیبات راه حل بالقوه مختلف است، اما ایده اصلی این است که به طور معمول سازمان خود مسئول نگهداری و مدیریت حمله است و اگر این اتفاق بیفتد.

خلاصه

با استفاده از این سبک های تشخیص حملات DDoS حملات همچنان ساده تر می شود و با افزایش میزان پهنای باند مسکونی که در حال رشد سریع است، بوت نت ها با بیشترین تعداد کمتری از ربات ها مورد سوء استفاده قرار می گیرند. هر شرکتی که تجارت را در اینترنت انجام می دهد یا از طریق اینترنت متصل است، باید این حملات را جدی بگیرد. این بدان معنی است که سازمان های بیشتری و بیشتر باید به خاطر داشته باشند که شبکه های خود و سیستم های امنیتی را توسعه می دهند.

The post تشخیص حملات DDoS appeared first on نگار نوین.

معرفی حمله DDOS

حملات DDOS که به فارسی آن را حمله منع سرویس می‌شناسند ، تلاش بر خارج کردن یک سرور از حالت سرویس‌دهی در شبکه و یا اینترنت را دارد. این حمله با ارسال پکت‌های بسیار زیاد به سرور مجازی با پروتکل و اشکال مختلف به سمت سرور ، پردازنده ، رم و سایر منابع سرور را اشغال کرده و به دلیل درگیر شدن پردازنده و رم برای پاسخ‌دهی به پکت‌های ارسالی هکر ، فشار پردازش را در سرور بالا برده و مانع پردازش اصلی سرور بر روی سرویس خود می‌شود.

حملات DDOS نوع توزیع شده حمله DOS است که به صورت کلی می‌توان به این شکل آن را تعریف کرد.

DOS : از یک سیستم با ابزارهای مختلف به سمت سرور پکت‌ها به صورت سریالی ارسال می‌گردد.

DDOS : پکت‌های ارسال شده توسط هکر از چندین سیستم و یا از یک سیستم با چندین کانکشن موازی به یک سرور ارسال می‌گردد. پس با این تعریف ساده می‌توان گفت حملات DDOS به نوعی خطرناک‌ تر و البته قدرتمند تر از حملات DOS است. امروزه حملات DOS به طور کلی استفاده نمی‌شود و عموماً هکرها از چندین سرور قدرتمند به سمت یک سرور حمله می‌کنند.

حال تا بدین جا با کلیت حملات DDOS آشنا شدید ، در ادامه به مواردی اشاره خواهیم کرد که شما می‌توانید متوجه شوید بر روی سرور شما حمله DDOS انجام می‌شود یا خیر؟

علائم و نشانه‌های حمله DDOS بر روی سیستم

• سرور به کندی و با مکث زیاد سرویس‌دهی می‌کند.
• سرور به کل از دسترس خارج می‌شود.
• سرور نمی‌توانند یکی از چند سرویس فعال را پردازش و سرویس‌دهی کند.
• قطع و وصل شدن سرور به طور مداوم و در بازه زمانی نامشخص
• افزایش چشمگیر عملکرد پردازنده و سایر منابع سرور
• افزایش اسپم‌های دریافتی بر روی ایمیل
• و …

در مجموع می‌توان گفت : اگر سرور به طور نامشخصی ، اطلاعات بسیار زیادی را دریافت کند که از حد معمول و نرمال آن سرویس بیشتر باشد و یا منابع سرور مجازی ایران به شکل غیرقابل توجیهی اشغال شوند ، می‌توان گفت حملات DDOS بر روی سرور در حال انجام است.

نکته

مواردی که در بالا ذکر شد منوط به سرویس‌دهی صحیح سرور می‌باشد و ممکن است یک سرویس به دلایل مختلف از سرویس‌دهی خارج شده باشد ، مانند استاپ شدن یک سرویس و یا …

انگیزه حملات DDOS

همچنان پس از گذشت سال‌های متمادی از اولین باری که از این نوع حمله استفاده شد ، انگیزه اصلی حمله DDOS مشخص نیست و گاهاً جنبه سرگرمی برای یک هکر دارد ؛ اما بیشتر شرکت‌های بزرگ در شرایطی خاص ، دست به حمله DDOS بر روی سایت‌های رقیب زده تا بتوانند برای دقایقی سرور رقیب خود را از سرویس‌دهی باز دارند و سرویس‌های خود را عرضه کنند. به هر شکل این حملات جز از دسترس خارج کردن یک سرویس ، کار دیگری را انجام نداده و تنها برای همین منظور نیز استفاده می‌گردد.

امیدواریم در پایان مطلب معرفی حمله DDOS برای شما مفید واقع شده باشد.

The post حملات DDOS appeared first on نگار نوین.