حمله‌های DDoS، تلاشی برای ایجاد اختلال در ترافیک عادی یک سرور، سرویس یا شبکه‌ هستند. این حمله‌ها در گذشته به‌وسیله‌ی یک کامپیوتر و این روزها با استفاده از چند رایانه یا دستگاه‌های IoT در شبکه ایجاد می‌شوند. به بیانی دیگر، می‌توان گفت که حمله‌‌ی DDoS مانند ترافیکی غیرمنتظره است که یک بزرگراه را مسدود کرده و از حرکت سایر خودروها جلوگیری می‌کند.

اگر کسب‌وکاری آنلاین دارید و به امنیت آن اهمیت می‌دهید، می‌توانید با فعال‌سازی قابلیت DDoS Protection ابر آروان، در برابر انواع حمله‌های پیشرفته در امان بمانید و بدون دغدغه کسب‌وکار خود را توسعه دهید.

 

حمله‌ی DoS چیست؟

حمله‌ی DoS (Denial-of-Service) تهاجمی است که با هدف خاموش کردن یا از کار انداختن یک ماشین یا شبکه انجام می‌شود و آن را برای کاربران غبرقابل‌دسترس یا بسیار کند می‌کند.

هر ماشین یا شبکه‌ای دارای حجم مشخصی از منابع پردازشی است. هر کاربر با ورود و ارسال درخواست به شبکه، بخشی از این منابع پردازشی را به خود مشغول می‌کند. وقتی که تعداد این درخواست‌ها افزایش پیدا کند، منابع پردازشی به‌شکل کامل مورد استفاده قرار می‌گیرند و شبکه از مسیر ارایه خدمات به کاربران خارج می‌شود. در حمله‌ی DoS، مهاجم با یک ماشین و با یک IP ثابت بخش قابل توجهی از منابع شبکه را درگیر می‌کند. در این موارد با بستن IP مهاجم می‌توان ترافیک ایجاد‌شده در شبکه را از بین برد.

حمله DDoS چیست؟

در حمله‌ی DDoS (Distributed Denial-of-Service) که گاهی به آن حمله‌ی تکذیب سرویس نیز گفته می‌شود، تهاجم به‌شکل توزیع‌شده پیش می‌رود. یعنی مهاجم به‌جای استفاده از یک ماشین و یک IP ثابت، چندین ماشین و IP را به‌کار می‌گیرد. در حمله­‌ی DoS، با مسدود کردن ماشین مهاجم می‌توانستیم با آن مقابله کنیم، اما در حملات سایبری DDoS، از بین بردن خطر سخت‌تر است برای این‌که حمله به‌شکل توزیع‌شده انجام می‌شود و ترافیک دریافتی از هر ماشین یکتا قابل توجه نیست. در این نوع از حمله‌ها، تشخیص مهاجم از کاربر واقعی سخت­‌تر است و امکان دارد در زمان مقابله با حمله، به‌اشتباه مسیر ترافیک دریافتی از سوی کاربران واقعی مسدود شود.

انواع حملات DDoS

به‌شکل کلی، حمله‌های DDoS را می‌توان به ۳ دسته تقسیم کرد:

دسته‌ی اول:  با حمله به شبکه، سرویس‌ها به‌شدت کند و یا به‌طور کامل قطع می‌شوند. مهاجمان در این حمله با ارسال ترافیک در حجم بسیار بالا به زیرساخت شبکه، بخش زیادی از پهنای باند را اشغال می‌کنند.

دسته دوم:  حمله به شکلی رخ می­‌دهد تا منابع پردازشی سرور مانند CPU، RAM و دیسک درگیر شوند. این اتفاق در نهایت سبب می‌شود تا سرور توانایی پاسخ‌گویی به درخواست کاربران را نداشته باشد.

دسته سوم: فرد مهاجم با هوشمندی، یک نقطه‌ی آسیب‌پذیر در برنامه را پیدا کرده و از طریق آن اجرای وب‌سرویس را مختل می‌کند.

انواع حمله‌های DDoS اجزای مختلف اتصال شبکه را هدف قرار می‌دهند. برای درک شیوه‌ی عملکرد حمله‌های سایبری DDoS لازم است بدانیم که چگونه اتصال در شبکه ایجاد می‌شو؟ یک اتصال شبکه در اینترنت از اجزای مختلف یا لایه‌های متفاوت تشکیل شده‌اند. مانند ساختن یک خانه از پایه، هر لایه از اتصال، هدف متفاوتی دارد. برای مثال مدل OSI که یک چارچوب مفهومی است، می‌تواند به درک بیش‌تر انواع حمله‌ها کمک کند.

حمله‌ SYN Flood

حمله‌ی SYN Flood یا نیمه‌باز، یکی از انواع حمله‌های DDoS است که با هدف اشغال همه‌ی منابع سرور و براساس عملکرد TCP اجرا می‌شود. وقتی‌که کلاینت و سرور بخواهند داده‌های خود را با یکدیگر تبادل کنند، عملیاتی به‌نام Three-Way Handshake شکل می‌گیرد. در این فرآیند: کلاینت پیامی به‌نام SYN، یا همان هماهنگ‌سازی را، به‌شکل یک درخواست به سرور ارسال می‌کند. بعد از آن، سرور با پیامی به‌نام SYN-ACK به کلاینت اعلام می‌کند که درخواست پذیرفته شد. سپس، نوبت کلاینت است که با ارسال یک پیام ACK به SYN-ACK به سرور پاسخ دهد. وقتی‌که پیام ACK کلاینت به سرور رسید، اتصال TCP برای برقراری داده باز خواهد شد.

در حمله‌های SYN Flood، سرور پس از فرستادن پیام SYN-ACK، در انتظار دریافت پیام ACK از سوی کلاینت، یک پورت را برای دریافت پیام باز می‌گذارد و این مساله منابع پردازشی سرور را در مسیر بیهوده استفاده می‌کند. حال، فرض کنید که کلاینت، هرگز ACK را برای سرور ارسال نکند و این‌کار را به دفعات و با تعداد بسیاری از ماشین‌ها انجام دهد. نتیجه این خواهد شد که بیش‌تر پورت‌ها در حالت انتظار و مشغول باقی خواهند ماند. بعد از اشغال تمامی پورت‌ها، سرور دیگر قادر به خدمت‌رسانی نخواهد بود.

 

حمله‌ Slowloris

حمله‌­ی Slowloris از پروتکل HTTP که برای ایجاد ارتباط و انتقال داده بین سرور و کلاینت استفاده می‌شود، بهره می‌گیرد. این حمله، درخواست­‌های HTTP بسیاری را می‌سازد و آن‌ها را با سرعت بسیار کم به سرور ارسال می‌کند. وقتی‌که این اتصالات با سرعت کمی انجام می‌شود، سرور دچار ازدحام شده و در نهایت توانایی خود را برای سرویس‌دهی از دست می‌دهد.

در این حمله، مهاجم اتصالی را بین خود و سرور برقرار می‌کند و پس از آن تمام تلاشش را خواهد کرد تا این اتصال را باز نگه دارد. برای این‌کار، مهاجم درخواست‌های خود را به‌شکل ناقص و با سرعت کم ارسال کرده و سرور هیچ‌گاه درخواست کاملی را از کلاینت دریافت نمی‌کند. در نتیجه، بخش قابل توجهی از منابع سرور هدر خواهد رفت.

 

حمله‌ DNS Flood

حمله‌ی DNS Flood یکی از انواع حمله‌های DDoS است که در آن مهاجم یک یا چند DNS متعلق به یک منطقه‌ی خاص را هدف قرار می‌دهد و تلاش می‌کند تا عملکرد آن­‌ها را مختل کند. سرورهای DNS «نقشه‌ی راه اینترنت» هستند و به درخواست‌کنندگان کمک می‌کنند تا سرورهای مورد نظر خود را بیایند. در یک حمله‌ی DNS Flood، مهاجم سعی می‌کند تا یک یا چند سرور DNS خاص را با ترافیک به­‌ظاهر معتبر، تحت فشار قرار دهد. این فشار تا حدی انباشته می‌شود که سرورهای DNS قادر به هدایت Requestهای واقعی نباشند.

در این حملات، مهاجم بسته‌های کوتاه را ارسال و پاسخ‌های دراز را دریافت می‌کند. این موضوع باعث می‌شود تا بخش قابل توجهی از منابع سرور DNS درگیر و در نهایت تلف شوند. مهاجم با استفاده از مکانیزم‌ IP Spoofing درخواست‌های بسیاری را برای سرور DNS ارسال کرده و اقدام به ایجاد اختلال در سرور می­‌کند.

 

حمله‌ ICMP flood

حمله‌ی ICMP flood که به آن Ping Flood Attack هم گفته می شود، سرور را از طریق ارسال پیام‌های مختلف (Ping تحت پروتکل ICMP) مورد حمله قرار می‌دهد. به‌عبارت دیگر مهاجم سعی می‌کند با ارسال تعداد زیادی پکت‌های با حجم بالا را به سرور قربانی ارسال کند و با پر کردن ظرفیت آن، در مسیر مسدودسازی و ایجاد اختلال گام بردارد.

 

معرفی پنج مورد از خطرناک‌ترین حملات DDoS

در این بخش، قصد داریم برخی از برجسته‌ترین حمله‌های DDoS در تاریخ را شرح دهیم. این ۵ حمله براساس مقیاس، تاثیر و پیامدهای آن‌ها انتخاب شده‌اند.

حمله‌ی گوگل، ۲۰۱۷

در ۱۶ اکتبر ۲۰۲۰، گروه تجزیه و تحلیل تهدیدات گوگل (TAG) یک پست وبلاگی درباره‌ی تغییرات تاکتیکی تهدیدگر­ها در نزدیکی انتخابات ریاست جمهوری ۲۰۲۰ آمریکا منتشر کرد. این گروه در پایان این پست نوشت: «در سال ۲۰۱۷، تیم امنیتی ما  یک رکورد در حمله‌ی نوع UDP Amplification از سوی چندین ISP چینی را استخراج و اندازه‌گیری کرد. این اتفاق از بزرگ‌ترین حمله‌های سایبری DDoS است که ما از آن آگاه هستیم.»

حمله به هزاران آدرس IP گوگل که از چهار ISP چینی نصب شده بود، شش ماه طول کشید و با سرعت خیره‌کننده ۲.۵۴ ترابیت بر ثانیه به اوج خود رسید! دامیان منشر، مهندس ایمنی در گوگل، نوشت: «مهاجم از چندین شبکه برای جعل میلیون‌ها بسته در ثانیه به ۱۸۰هزار سرور DNS، CLDAP و SMTP استفاده و در ادامه پاسخ‌های حجیمی را برای ما ارسال کرد. این حجم چهار برابر بزرگ‌تر از حمله‌ی Mirai در یک سال قبل بود.»

حمله AWS، فوریه ۲۰۲۰

سرویس وب آمازون (AWS) در فوریه ۲۰۲۰ مورد حمله‌ی DDoS شدیدی قرار گرفت. این یکی از بزرگ‌ترین حمله‌های سایبری DDoS بود که در آن، یک مشتری ناشناس، AWS را با استفاده از تکنیکی به نام Connectionless Lightweight Directory Access Protocol (CLDAP) هدف قرار داد. این تکنیک به سرورهای آسیب‌پذیر CLDAP شخص ثالث متکی است و مقدار داده ارسال شده به آدرس IP قربانی را بین ۵۶ تا ۷۰ برابر افزایش می‌دهد. این حمله به مدت سه روز به طول انجامید و با سرعت خیره کننده‌ی ۲.۳ ترابایت در ثانیه به اوج خود رسید.

با این­‌که اختلال ایجادشده به‌وسبله‌ی AWS DDoS Attack بسیار کم‌تر از آن چیزی بود که می‌توانست باشد، این حمله آسیب گسترده‌ای به مشتریان و برند AWS وارد کرد.

حملات Mirai Krebs و OVH DDoS، سپتامبر ۲۰۱۶

در ۲۰ سپتامبر ۲۰۱۶، وبلاگ یک کارشناس امنیت سایبری به نام برایان کربس، در یک تهاجم DDoS با قدرت ۶۲۰ گیگابیت بر ثانیه مورد حمله قرار گرفت. کربس با حمله‌های سایبری DDoS بیگانه نبود و از ژوئیه ۲۰۱۲، حدود ۲۶۹ حمله‌ی سایبری DDoS را روی سایت خود تجربه کرده بود. هرچند این حمله، تقریبن سه برابر بیش‌تر ازحمله‌های گذشته بود.

منبع حمله‌ی Mirai Botnet که در آگوست ۲۰۱۶ کشف شد و در اوج خود، یعنی اواخر همان سال، بیش از ۶۰۰ هزار دستگاه اینترنت اشیا مانند دوربین‌­های مداربسته، روترهای خانگی و سیستم‌های ویدیویی را مورد تهاجم قرار داد. حمله به وب‌سایت کربس، اولین اقدام بزرگ آن بود.

حمله‌ی بعدی Mirai Botnet در ۱۹ سپتامبر با هدف تخریب OVH که یکی از بزرگترین ارایه‌دهندگان سرویس میزبانی در اروپا است انجام شد. این سرویس‌دهنده، میزبانیِ ۱۸میلیون برنامه از حدود یک میلیون مشتری را انجام می‌داد. این حمله روی یک مشتری ناشناس OVH  و به وسیله‌ی حدود ۱۴۵هزار ربات هدایت شد. بار ترافیکی ایجادشده به وسیله‌ی آن ۱.۱ ترابیت در ثانیه بود و حدود ۷ روز طول کشید. OVH آخرین قربانی Mirai Botnet در سال ۲۰۱۶ نبود.

Mirai Botnet گام بسیار مهم در افزایش قدرت انواع حملات DDoS بود. اندازه و پیچیدگی شبکه Mirai و مقیاس حمله‌های آن‌ها بی‌سابقه به نظر می‌رسید و به‌همین‌دلیل اهمیت بسیاری پیدا کرد.

حمله Mirai Dyn DDoS، اکتبر ۲۰۱۶

در ۲۱ اکتبر ۲۰۱۶، Dyn که یکی از ارایه‌دهندگان سرویس DNS است، با سیل ترافیک یک ترابیت در ثانیه مورد حمله قرار گرفت. این تهاجم باعث شد تا رکورد جدیدی برای انواع حمله‌های DDoS ثبت شود. شواهدی وجود دارد که نشان می‌دهد این حمله در واقع به نرخ ۱.۵ ترابیت در ثانیه دست یافته باشد. سونامی ترافیک، خدمات Dyn را با مشکل روبه‌رو کرد و منجر به قطعی آن شد. در این رویداد تعداد زیادی از سایت‌های مطرح مانند GitHub، HBO، Twitter، Reddit، PayPal، Netflix و Airbnb از دسترس خارج شدند. کایل یورک، مدیر ارشد استراتژی Dyn گزارش کرد: ما ۱۰ میلیون آدرس IP مجزا و مرتبط با Mirai botnet را مشاهده کردیم که بخشی از حمله بودند.

حمله‌س Mirai botnet از پیچیده‌­ترین حمله‌هایی بود که دنیای اینترنت می‌توان آن را مشاهده کرد. در اواخر سپتامبر ۲۰۱۶، کد منبع Mirai به ­شکل همگانی منتشر شد و برای هر کس با مهارتی به­‌نسبت متوسط در حوزه‌ی فناوری اطلاعات، امکان انجام حمله‌های DDoS را فراهم کرد. به این ترتیب، روش‌های مقابله با حملات DDoS به‌سختی می‌توانستند در برابر این تهاجم‌ها مقاومت کنند.

حمله GitHub، فوریه ۲۰۱۸

در ۲۸ فوریه ۲۰۱۸، GitHub که یک پلتفرم برای توسعه‌دهندگان نرم‌افزار است، با یک حمله‌ی DDoS با سرعت ۱.۳۵ ترابیت بر ثانیه و برای ۲۰ دقیقه مورد تهاجم قرار گرفت. طبق گفته‌ی GitHub، ترافیک به بیش از هزار سیستم مستقل مختلف (ASN) در ده‌ها هزار نقطه‌ی پایانی رسیده بود.

با توجه به این که GitHub به‌خوبی برای انواع حمله‌های DDoS آماده شده بود، اما خدماتش تحت‌تاثیر قرار گرفت. GitHub در یکی از گزارش‌های خود بیان کرد که در طول سال‌های گذشته حجم منابع پردازشی خود را افزایش داده است تا بتواند روش‌های مقابله با حمله‌های منع سرویس توزیع‌شده را عملی کند.

حمله‌ی سایبری DDoS که روی GitHub انجام گرفت به‌دلیل مقیاس آن و این واقعیت که تهاجم با استفاده از استاندارد Memcached که یک سیستم کش پایگاه‌داده برای سرعت بخشیدن به وبسایت‌های صحنه‌سازی شده بود، قابل توجه است.

سخن پایانی

شکی نیست که انواع حمله‌های DDoS یکی از مهم‌ترین تهدید­های دنیای اینترنت و شرکت‌های هاستینگ و ابری تبدیل شده است. در این مقاله سعی کردیم تا با مروری کلی حمله‌های سایبری در نوع DoS و DDoS، بزرگ‌ترین حمله‌های ایجاد‌شده در این حیطه را شرح دهیم. اگر شما کسب‌وکار آنلاین و بزرگی دارید که همیشه در خطر حملات DDoS قرار دارد، می‌توانید با فعال کردن CDN ابر آروان و استفاده از امکان DDoS Protection آن، به‌آسانی با هر نوع حمله در هر لایه‌ای مقابله کنید.