حملههای DDoS، تلاشی برای ایجاد اختلال در ترافیک عادی یک سرور، سرویس یا شبکه هستند. این حملهها در گذشته بهوسیلهی یک کامپیوتر و این روزها با استفاده از چند رایانه یا دستگاههای IoT در شبکه ایجاد میشوند. به بیانی دیگر، میتوان گفت که حملهی DDoS مانند ترافیکی غیرمنتظره است که یک بزرگراه را مسدود کرده و از حرکت سایر خودروها جلوگیری میکند.
اگر کسبوکاری آنلاین دارید و به امنیت آن اهمیت میدهید، میتوانید با فعالسازی قابلیت DDoS Protection ابر آروان، در برابر انواع حملههای پیشرفته در امان بمانید و بدون دغدغه کسبوکار خود را توسعه دهید.
حملهی DoS چیست؟
حملهی DoS (Denial-of-Service) تهاجمی است که با هدف خاموش کردن یا از کار انداختن یک ماشین یا شبکه انجام میشود و آن را برای کاربران غبرقابلدسترس یا بسیار کند میکند.
هر ماشین یا شبکهای دارای حجم مشخصی از منابع پردازشی است. هر کاربر با ورود و ارسال درخواست به شبکه، بخشی از این منابع پردازشی را به خود مشغول میکند. وقتی که تعداد این درخواستها افزایش پیدا کند، منابع پردازشی بهشکل کامل مورد استفاده قرار میگیرند و شبکه از مسیر ارایه خدمات به کاربران خارج میشود. در حملهی DoS، مهاجم با یک ماشین و با یک IP ثابت بخش قابل توجهی از منابع شبکه را درگیر میکند. در این موارد با بستن IP مهاجم میتوان ترافیک ایجادشده در شبکه را از بین برد.
حمله DDoS چیست؟
در حملهی DDoS (Distributed Denial-of-Service) که گاهی به آن حملهی تکذیب سرویس نیز گفته میشود، تهاجم بهشکل توزیعشده پیش میرود. یعنی مهاجم بهجای استفاده از یک ماشین و یک IP ثابت، چندین ماشین و IP را بهکار میگیرد. در حملهی DoS، با مسدود کردن ماشین مهاجم میتوانستیم با آن مقابله کنیم، اما در حملات سایبری DDoS، از بین بردن خطر سختتر است برای اینکه حمله بهشکل توزیعشده انجام میشود و ترافیک دریافتی از هر ماشین یکتا قابل توجه نیست. در این نوع از حملهها، تشخیص مهاجم از کاربر واقعی سختتر است و امکان دارد در زمان مقابله با حمله، بهاشتباه مسیر ترافیک دریافتی از سوی کاربران واقعی مسدود شود.
انواع حملات DDoS
بهشکل کلی، حملههای DDoS را میتوان به ۳ دسته تقسیم کرد:
دستهی اول: با حمله به شبکه، سرویسها بهشدت کند و یا بهطور کامل قطع میشوند. مهاجمان در این حمله با ارسال ترافیک در حجم بسیار بالا به زیرساخت شبکه، بخش زیادی از پهنای باند را اشغال میکنند.
دسته دوم: حمله به شکلی رخ میدهد تا منابع پردازشی سرور مانند CPU، RAM و دیسک درگیر شوند. این اتفاق در نهایت سبب میشود تا سرور توانایی پاسخگویی به درخواست کاربران را نداشته باشد.
دسته سوم: فرد مهاجم با هوشمندی، یک نقطهی آسیبپذیر در برنامه را پیدا کرده و از طریق آن اجرای وبسرویس را مختل میکند.
انواع حملههای DDoS اجزای مختلف اتصال شبکه را هدف قرار میدهند. برای درک شیوهی عملکرد حملههای سایبری DDoS لازم است بدانیم که چگونه اتصال در شبکه ایجاد میشو؟ یک اتصال شبکه در اینترنت از اجزای مختلف یا لایههای متفاوت تشکیل شدهاند. مانند ساختن یک خانه از پایه، هر لایه از اتصال، هدف متفاوتی دارد. برای مثال مدل OSI که یک چارچوب مفهومی است، میتواند به درک بیشتر انواع حملهها کمک کند.
حمله SYN Flood
حملهی SYN Flood یا نیمهباز، یکی از انواع حملههای DDoS است که با هدف اشغال همهی منابع سرور و براساس عملکرد TCP اجرا میشود. وقتیکه کلاینت و سرور بخواهند دادههای خود را با یکدیگر تبادل کنند، عملیاتی بهنام Three-Way Handshake شکل میگیرد. در این فرآیند: کلاینت پیامی بهنام SYN، یا همان هماهنگسازی را، بهشکل یک درخواست به سرور ارسال میکند. بعد از آن، سرور با پیامی بهنام SYN-ACK به کلاینت اعلام میکند که درخواست پذیرفته شد. سپس، نوبت کلاینت است که با ارسال یک پیام ACK به SYN-ACK به سرور پاسخ دهد. وقتیکه پیام ACK کلاینت به سرور رسید، اتصال TCP برای برقراری داده باز خواهد شد.
در حملههای SYN Flood، سرور پس از فرستادن پیام SYN-ACK، در انتظار دریافت پیام ACK از سوی کلاینت، یک پورت را برای دریافت پیام باز میگذارد و این مساله منابع پردازشی سرور را در مسیر بیهوده استفاده میکند. حال، فرض کنید که کلاینت، هرگز ACK را برای سرور ارسال نکند و اینکار را به دفعات و با تعداد بسیاری از ماشینها انجام دهد. نتیجه این خواهد شد که بیشتر پورتها در حالت انتظار و مشغول باقی خواهند ماند. بعد از اشغال تمامی پورتها، سرور دیگر قادر به خدمترسانی نخواهد بود.
حمله Slowloris
حملهی Slowloris از پروتکل HTTP که برای ایجاد ارتباط و انتقال داده بین سرور و کلاینت استفاده میشود، بهره میگیرد. این حمله، درخواستهای HTTP بسیاری را میسازد و آنها را با سرعت بسیار کم به سرور ارسال میکند. وقتیکه این اتصالات با سرعت کمی انجام میشود، سرور دچار ازدحام شده و در نهایت توانایی خود را برای سرویسدهی از دست میدهد.
در این حمله، مهاجم اتصالی را بین خود و سرور برقرار میکند و پس از آن تمام تلاشش را خواهد کرد تا این اتصال را باز نگه دارد. برای اینکار، مهاجم درخواستهای خود را بهشکل ناقص و با سرعت کم ارسال کرده و سرور هیچگاه درخواست کاملی را از کلاینت دریافت نمیکند. در نتیجه، بخش قابل توجهی از منابع سرور هدر خواهد رفت.
حمله DNS Flood
حملهی DNS Flood یکی از انواع حملههای DDoS است که در آن مهاجم یک یا چند DNS متعلق به یک منطقهی خاص را هدف قرار میدهد و تلاش میکند تا عملکرد آنها را مختل کند. سرورهای DNS «نقشهی راه اینترنت» هستند و به درخواستکنندگان کمک میکنند تا سرورهای مورد نظر خود را بیایند. در یک حملهی DNS Flood، مهاجم سعی میکند تا یک یا چند سرور DNS خاص را با ترافیک بهظاهر معتبر، تحت فشار قرار دهد. این فشار تا حدی انباشته میشود که سرورهای DNS قادر به هدایت Requestهای واقعی نباشند.
در این حملات، مهاجم بستههای کوتاه را ارسال و پاسخهای دراز را دریافت میکند. این موضوع باعث میشود تا بخش قابل توجهی از منابع سرور DNS درگیر و در نهایت تلف شوند. مهاجم با استفاده از مکانیزم IP Spoofing درخواستهای بسیاری را برای سرور DNS ارسال کرده و اقدام به ایجاد اختلال در سرور میکند.
حمله ICMP flood
حملهی ICMP flood که به آن Ping Flood Attack هم گفته می شود، سرور را از طریق ارسال پیامهای مختلف (Ping تحت پروتکل ICMP) مورد حمله قرار میدهد. بهعبارت دیگر مهاجم سعی میکند با ارسال تعداد زیادی پکتهای با حجم بالا را به سرور قربانی ارسال کند و با پر کردن ظرفیت آن، در مسیر مسدودسازی و ایجاد اختلال گام بردارد.
معرفی پنج مورد از خطرناکترین حملات DDoS
در این بخش، قصد داریم برخی از برجستهترین حملههای DDoS در تاریخ را شرح دهیم. این ۵ حمله براساس مقیاس، تاثیر و پیامدهای آنها انتخاب شدهاند.
حملهی گوگل، ۲۰۱۷
در ۱۶ اکتبر ۲۰۲۰، گروه تجزیه و تحلیل تهدیدات گوگل (TAG) یک پست وبلاگی دربارهی تغییرات تاکتیکی تهدیدگرها در نزدیکی انتخابات ریاست جمهوری ۲۰۲۰ آمریکا منتشر کرد. این گروه در پایان این پست نوشت: «در سال ۲۰۱۷، تیم امنیتی ما یک رکورد در حملهی نوع UDP Amplification از سوی چندین ISP چینی را استخراج و اندازهگیری کرد. این اتفاق از بزرگترین حملههای سایبری DDoS است که ما از آن آگاه هستیم.»
حمله به هزاران آدرس IP گوگل که از چهار ISP چینی نصب شده بود، شش ماه طول کشید و با سرعت خیرهکننده ۲.۵۴ ترابیت بر ثانیه به اوج خود رسید! دامیان منشر، مهندس ایمنی در گوگل، نوشت: «مهاجم از چندین شبکه برای جعل میلیونها بسته در ثانیه به ۱۸۰هزار سرور DNS، CLDAP و SMTP استفاده و در ادامه پاسخهای حجیمی را برای ما ارسال کرد. این حجم چهار برابر بزرگتر از حملهی Mirai در یک سال قبل بود.»
حمله AWS، فوریه ۲۰۲۰
سرویس وب آمازون (AWS) در فوریه ۲۰۲۰ مورد حملهی DDoS شدیدی قرار گرفت. این یکی از بزرگترین حملههای سایبری DDoS بود که در آن، یک مشتری ناشناس، AWS را با استفاده از تکنیکی به نام Connectionless Lightweight Directory Access Protocol (CLDAP) هدف قرار داد. این تکنیک به سرورهای آسیبپذیر CLDAP شخص ثالث متکی است و مقدار داده ارسال شده به آدرس IP قربانی را بین ۵۶ تا ۷۰ برابر افزایش میدهد. این حمله به مدت سه روز به طول انجامید و با سرعت خیره کنندهی ۲.۳ ترابایت در ثانیه به اوج خود رسید.
با اینکه اختلال ایجادشده بهوسبلهی AWS DDoS Attack بسیار کمتر از آن چیزی بود که میتوانست باشد، این حمله آسیب گستردهای به مشتریان و برند AWS وارد کرد.
حملات Mirai Krebs و OVH DDoS، سپتامبر ۲۰۱۶
در ۲۰ سپتامبر ۲۰۱۶، وبلاگ یک کارشناس امنیت سایبری به نام برایان کربس، در یک تهاجم DDoS با قدرت ۶۲۰ گیگابیت بر ثانیه مورد حمله قرار گرفت. کربس با حملههای سایبری DDoS بیگانه نبود و از ژوئیه ۲۰۱۲، حدود ۲۶۹ حملهی سایبری DDoS را روی سایت خود تجربه کرده بود. هرچند این حمله، تقریبن سه برابر بیشتر ازحملههای گذشته بود.
منبع حملهی Mirai Botnet که در آگوست ۲۰۱۶ کشف شد و در اوج خود، یعنی اواخر همان سال، بیش از ۶۰۰ هزار دستگاه اینترنت اشیا مانند دوربینهای مداربسته، روترهای خانگی و سیستمهای ویدیویی را مورد تهاجم قرار داد. حمله به وبسایت کربس، اولین اقدام بزرگ آن بود.
حملهی بعدی Mirai Botnet در ۱۹ سپتامبر با هدف تخریب OVH که یکی از بزرگترین ارایهدهندگان سرویس میزبانی در اروپا است انجام شد. این سرویسدهنده، میزبانیِ ۱۸میلیون برنامه از حدود یک میلیون مشتری را انجام میداد. این حمله روی یک مشتری ناشناس OVH و به وسیلهی حدود ۱۴۵هزار ربات هدایت شد. بار ترافیکی ایجادشده به وسیلهی آن ۱.۱ ترابیت در ثانیه بود و حدود ۷ روز طول کشید. OVH آخرین قربانی Mirai Botnet در سال ۲۰۱۶ نبود.
Mirai Botnet گام بسیار مهم در افزایش قدرت انواع حملات DDoS بود. اندازه و پیچیدگی شبکه Mirai و مقیاس حملههای آنها بیسابقه به نظر میرسید و بههمیندلیل اهمیت بسیاری پیدا کرد.
حمله Mirai Dyn DDoS، اکتبر ۲۰۱۶
در ۲۱ اکتبر ۲۰۱۶، Dyn که یکی از ارایهدهندگان سرویس DNS است، با سیل ترافیک یک ترابیت در ثانیه مورد حمله قرار گرفت. این تهاجم باعث شد تا رکورد جدیدی برای انواع حملههای DDoS ثبت شود. شواهدی وجود دارد که نشان میدهد این حمله در واقع به نرخ ۱.۵ ترابیت در ثانیه دست یافته باشد. سونامی ترافیک، خدمات Dyn را با مشکل روبهرو کرد و منجر به قطعی آن شد. در این رویداد تعداد زیادی از سایتهای مطرح مانند GitHub، HBO، Twitter، Reddit، PayPal، Netflix و Airbnb از دسترس خارج شدند. کایل یورک، مدیر ارشد استراتژی Dyn گزارش کرد: ما ۱۰ میلیون آدرس IP مجزا و مرتبط با Mirai botnet را مشاهده کردیم که بخشی از حمله بودند.
حملهس Mirai botnet از پیچیدهترین حملههایی بود که دنیای اینترنت میتوان آن را مشاهده کرد. در اواخر سپتامبر ۲۰۱۶، کد منبع Mirai به شکل همگانی منتشر شد و برای هر کس با مهارتی بهنسبت متوسط در حوزهی فناوری اطلاعات، امکان انجام حملههای DDoS را فراهم کرد. به این ترتیب، روشهای مقابله با حملات DDoS بهسختی میتوانستند در برابر این تهاجمها مقاومت کنند.
حمله GitHub، فوریه ۲۰۱۸
در ۲۸ فوریه ۲۰۱۸، GitHub که یک پلتفرم برای توسعهدهندگان نرمافزار است، با یک حملهی DDoS با سرعت ۱.۳۵ ترابیت بر ثانیه و برای ۲۰ دقیقه مورد تهاجم قرار گرفت. طبق گفتهی GitHub، ترافیک به بیش از هزار سیستم مستقل مختلف (ASN) در دهها هزار نقطهی پایانی رسیده بود.
با توجه به این که GitHub بهخوبی برای انواع حملههای DDoS آماده شده بود، اما خدماتش تحتتاثیر قرار گرفت. GitHub در یکی از گزارشهای خود بیان کرد که در طول سالهای گذشته حجم منابع پردازشی خود را افزایش داده است تا بتواند روشهای مقابله با حملههای منع سرویس توزیعشده را عملی کند.
حملهی سایبری DDoS که روی GitHub انجام گرفت بهدلیل مقیاس آن و این واقعیت که تهاجم با استفاده از استاندارد Memcached که یک سیستم کش پایگاهداده برای سرعت بخشیدن به وبسایتهای صحنهسازی شده بود، قابل توجه است.
سخن پایانی
شکی نیست که انواع حملههای DDoS یکی از مهمترین تهدیدهای دنیای اینترنت و شرکتهای هاستینگ و ابری تبدیل شده است. در این مقاله سعی کردیم تا با مروری کلی حملههای سایبری در نوع DoS و DDoS، بزرگترین حملههای ایجادشده در این حیطه را شرح دهیم. اگر شما کسبوکار آنلاین و بزرگی دارید که همیشه در خطر حملات DDoS قرار دارد، میتوانید با فعال کردن CDN ابر آروان و استفاده از امکان DDoS Protection آن، بهآسانی با هر نوع حمله در هر لایهای مقابله کنید.