حملات DDoS چیست و چرا متوقف کردن آن کار دشواری است؟
حتما شنیدهاید که گاهی یک سایت یا سرویس در اثر حملات DDoS از کار افتاده است، اما ماهیت DDoS چیست؟ حملات آن چگونه صورت میگیرد و چرا مقابله با آن کار دشواری است؟ اگر بهدنبال پاسخی برای این سوالات هستید میتوانید در ادامه با این مطلب همراه شوید. کریسمس امسال در حالی که بسیاری از نوجوانان بهعنوان هدیه از والدین خود ایکسباکس یا پلیاستیشن دریافت کرده بودند متوجه شدند که نمیتوانند به شبکههای آنلاین متصل شوند. اینطور مشخص شد که گروه هکرهای Lizard Squad با حملات DDoS موفق به از کار انداختن سرورهای سونی و مایکروسافت شدهاند.
حتما شنیدهاید که گاهی یک سایت یا سرویس در اثر حملات DDoS از کار افتاده است، اما ماهیت DDoS چیست؟ حملات آن چگونه صورت میگیرد و چرا مقابله با آن کار دشواری است؟ اگر بهدنبال پاسخی برای این سوالات هستید میتوانید در ادامه با این مطلب همراه شوید. کریسمس امسال در حالی که بسیاری از نوجوانان بهعنوان هدیه از والدین خود ایکسباکس یا پلیاستیشن دریافت کرده بودند متوجه شدند که نمیتوانند به شبکههای آنلاین متصل شوند. اینطور مشخص شد که گروه هکرهای Lizard Squad با حملات DDoS موفق به از کار انداختن سرورهای سونی و مایکروسافت شدهاند. حتی پس از ۱۲ ساعت از شروع این اختلالات صفحههای XBOX Live و PSN کماکان وضعیت این شبکهها را آفلاین نمایش میدادند. با وجود اینکه نه سونی و نه مایکروسافت در آن زمان دلیل و منشأ این مشکلات را اعلام نکردند، اما گزارشی از Polygon خبر از حمله هکرهای گروه Lizard Squad میداد که پیش از این اخطار چنین حملهای را داده بودند. گفته میشود حملات DDoS سنگین این گروه باعث از کار افتادن شبکههای بازی مذکور شده بود.
جالب اینجا است که کیم داتکام مؤسس سرویسهای مگاآپلود و مگا در این خصوص ادعا کرده بود که با ارسال کارتهای هدیه مگا به ارزشهای ۹۹ دلاری، گروه Lizard Squad را مجاب به قطع حملات کرده و به آنها وعده داده در صورت توقف کامل حملات، اکانتهای هدیه به اکانت مادامالعمر تبدیل خواهند شد. همچنین Lizard Squad هم به ظاهر این موضوع را قبول کرده و اعلام کرده بود که آفلاین بودن فعلی این سرویسها به علت مشکلات پس از حملههای اولیه است. همه این توضیحات را دادیم تا به این نکته برسیم که حملات DDoS که این روزها پای یک سر حملات اینترنتی هستند چه هستند و چه کاری انجام میدهند.
حملات اینترنتی و سایبری فقط شامل بهدست آوردن پسورد و تخریب سیستمها نیستند. در برخی از حملات ایجاد اختلال در سیستمها و عدم دسترسی کاربران به سیستمهای حمله شده هدف مهاجمان و هکرها است. این نوع حملات به حملات اختلال سیستم، عدم دسترسی DDOS یا Dos ( Denial of Service یا Distributed Denial of Service) معرف هستند. هدف اکثر مهاجمان در این نوع حملات وب سرورهای بانکها، درگاههای پرداخت الکترونیکی و Name Serverها است. حملات Dos فقط مختص شبکههای کامپیوتری نیست. برای مثال در برنامههای مدیریت منابع CPU نیز از این حملات استفاده میشود.
به عبارت دیگر DDoS مخفف عبارت Distributed Denial of Service است و به هدف از کار انداختن موقت یا دائمی یک وبسایت یا سرور انجام میشود. حملات DDoS از گذشتهای نسبتا دور وجود داشتهاند و معمولا هم برای بیان اعتراض به کار برده میشدند. شاید اولین حمله DDoS را بتوان مربوط به سال ۱۹۹۵ و شبکه Strano Network دانست که در اعتراض به سیاستهای هستهای دولت فرانسه انجام شد، اما چرا حملات DDoS روزبهروز قویتر شده و مقابله با آن دشوارتر میشود.
چگونه میتوان یک حمله DDoS ترتیب داد؟
حمله DDoS آنقدر ساده است که هر کسی میتواند آن را انجام دهد؟ برای پاسخ به این پرسش چند جواب وجود دارد. بهطور مثال در حال حاضر نرمافزار رایگانی به نام High Orbit Ion Cannon یا به اختصار HOIC وجود دارد که به هر فردی اجازه میدهد بهراحتی با ایجاد ترافیک ساختگی روی سرورهای یک وبسایت با استفاده از اسکریپتهای سفارشی سرور را از کار بیندازد.
هر فردی با یک رایانه میتواند این نرمافزار را دانلود کرده، آدرس URL سایت دلخواهی را وارد کرده و منتظر بماند تا HOIC عملیات ایجاد کاربران جعلی را به امید ایجاد اضافهبار یا اصطلاحا Overload روی سرور اجرا کند. البته تصور نکنید که حالا میتوانید این نرمافزار را دانلود کرده و فیسبوک را در چند ساعت از کار بیندازید! در واقع هرچه تعداد کاربرانی که از HOIC بهصورت همزمان یکسایت را هدف گرفتهاند بیشتر شود احتمال overload شدن نیز بیشتر خواهد بود.
حمله DDOS پیشرفتهتر چگونه انجام میشود؟
البته از کار انداختن سرور پلیاستیشن نتورک کار دشوارتری است و دیوید لارسن مدیر ارشد فناوری شرکت امنیتی Corero اعتقاد دارد هکرها ترکیبی از حملات DDoS با botnetها را اجرا کردهاند. botnet یک شبکه از سرورهای کامپیوتری است که برای اتصال و انجام یک عملیات واحد برنامهریزی و طراحی شدهاند. هر فردی میتواند یک botnet کرایه کند و با بودجه کافی و ترکیب آن با حملات Ion Cannon بار فوقالعاده زیادی روی سرور PSN وارد کند. تصور کنید هزار کامپیوتر که همگی از ابزارهای DDoS مشابه برای ساخت اکانتهای جعلی استفاده کرده و سعی کنند به شبکه PSN وارد شوند. در مدت کوتاهی هزاران گیگابایت اطلاعات در هر ثانیه به سرور وارد شده و از کار انداختن چنین شبکهای کار پیش پا افتادهای جلوه خواهد کرد. لارسن همچنین اعتقاد دارد احتمالا مهاجمان به جای مورد حمله قرار دادن سرور اصلی PSN، سرورهای لاگین کردن را مورد هدف قرار دادهاند و overload کردن این سرور هم کار نسبتا آسانتری است. کافیست سرورهای DNS خارجی دستاری شوند تا شبکه PSN با اطلاعات بیش از حد بمباران شود. یک سرور DNS یا Domain Name System سروری است که وقتی کاربر نام یک وبسایت را تایپ کرده و کلید اینتر را فشار میدهد آن را به آدرس IP قابل فهم برای مرورگر تبدیل میکنند. اینترنت پر از سرورهای DNS است و بسیاری از آنها بهراحتی میتوانند هدف هکرها قرار بگیرند.لارسون میگوید: شما میتوانید نرمافزارهای رایگانی از اینترنت دانلود کنید که حاوی دیتابیسی از سرورهای آسیبپذیر DNS روی اینترنت است. من میتوانم یک درخواست ارسال کنم، یک بسته درخواست بسیار کوچک به یک سرور آسیبپذیر DNS. من میتوانم بگویم: «سلام سرور آسیبپذیر DNS! من سرور لاگین پلیاستیشن هستم - لطفا برای من اطلاعات ورود را ارسال کن.» و این اطلاعات ورود میتواند چندین کیلوبایت حجم داشته باشد. پس با یک بسته کوچک ۶۴ بایتی میتوان طوری سرورهای DNS آسیبپذیر را فریب داد تا اطلاعات کیلوبایتی را به سرورهای سونی یا هر وبسایت دیگری روانه کند. من میتوانم دهها هزار بایت درخواست به DNS ارسال کنم و این سرور هم با تصور اینکه من سونی هستم اطلاعات درخواستی را به سرورهای این شرکت سرازیر خواهد کرد. حالا تصور کنید این اتفاق صدها یا هزاران یا حتی میلیونها بار در ثانیه ارسال شود. به این ترتیب حتی قویترین سرورها هم نمیتوانند با چنین حجمی از ترافیک مقابله کنند و از آنجا که تشخیص اطلاعات جعلی و واقعی دشوار است (مخصوصا وقتی مهاجمان از ترکیبی از botnet و IPهای ساختگی استفاده میکنند.) سرور به راحتی overload شده و از کار خواهد افتاد. به این ترتیب برای فردی که میداند چگونه از این ابزار استفاده کند ایجاد دهها گیگابایت ترافیک ساختگی کار دشواری نخواهد بود.
چرا سونی نتوانست جلوی overload شدن شبکه را بگیرد؟
اما سونی پیش از این هم تجربه حملات DDoS را داشته و شبکههایی مانند PSN و Xbox Live معمولا زیاد در معرض این حملات قرار میگیرند. پس چرا آنها نتوانستند حمله Lizard Squad را خنثی کنند؟
بدون جزئیات دقیق پاسخ دادن به این پرسش ممکن نیست، اما لارسن حدس میزند از آنجا که مهاجمان به سرور لاگین PSN حمله کردهاند، به پهنای باند زیادی نیاز نبوده و از کار انداختن آن با حملات DDoS کار مشکلی نبوده است.
ابزارها در حال حاضر بسیار پویاتر شدهاند و انسان و پروسههای انسانی نتوانسته خود را با سرعت این تغییرات وفق دهد.
گفتنی است سال ۲۰۱۱ شبکه PSN مورد حمله بزرگی قرار گرفت که اطلاعات میلیونها کاربر این شبکه را فاش کرد و انتظار داشتیم سونی برای حملات هکری آمادگی داشته باشد. البته باید در نظر داشت که یک حمله DDoS تفاوت زیادی با نفوذ امنیتی دارد و بهتر است به جای هک کردن نام آن را سرریز کردن یا غرق کردن ترافیکی گذاشت. همچنین در ماههای اخیر این نوع حملات پیشرفتهای زیادی داشتهاند تا حدی که روشهای جلوگیری قدیمی مربوط به یکی دو سال پیش دیگر جوابگو نخواهد بود.
یکی از راههای رایج برای جلوگیری از حملات DDoS این است که وقتی مسوولان شبکه متوجه میشوند که حمله درحال صورت گرفتن و سرور در حال از کار افتادن است، آنها از تامین کنندگان شبکه میخواهند تا کاری به نام «سیاهچاله» یا Blackholing انجام دهند. به این ترتیب که تمامی ترافیک رسیده به شبکه را متوقف کرده و از overload شدن جلوگیری میکنند.
تا حدود 5/1 سال پیش حملات DDoS بسیار سادهتر بودند. شما مشاهده میکردید که چنین حملاتی در حال انجام است و آن را سیاهچاله میکردید. ابزارها در حال حاضر بسیار پویاتر شدهاند و انسان و پروسههای انسانی نتوانسته خود را با سرعت این تغییرات وفق دهد. حالا به یک سیستم ماشینی احتیاج دارید که همواره در حال جستجو و شناسایی چنین حملاتی باشد و بلافاصله به مقابله با آنها بپردازد.
راه مقابله کنونی چیست؟
به توصیه لارسن شرکتها و هر فردی که شبکهها را اداره میکند، باید چندین حفاظ برای جلوگیری از چنین حملاتی بهکار گیرد تا الگوهای غیرعادی ترافیک را شناسایی و آسیب وارده را کاهش دهد. او همچنین توصیه میکند کمپانیها از سرویسهای ابری استفاده کنند تا هنگام هجوم ترافیک سرورهای خودشان از خطر overload شدن محفوظ بماند. به گفته یکی از شرکتهای امنیتی DDoSها روزبهروز پیشرفتهتر میشوند و در حال حاضر هر ساعت حدود ۲۸ حمله شبیه به حمله به PSN رخ میدهد.
شاید در نگاه اول DDoS آنچنان هم خطرناک بهنظر نرسد؛ چراکه در واقع اطلاعاتی دزدیده نشده و کنترل سایت نیز خارج نخواهد شد و حتی یک deface ساده نیز رخ نخواهد داد، اما برای سرویسهای حیاتی از کار افتادن شبکه میتواند صدمات جبران ناپذیری وارد کند.
جالب اینجا است که کیم داتکام مؤسس سرویسهای مگاآپلود و مگا در این خصوص ادعا کرده بود که با ارسال کارتهای هدیه مگا به ارزشهای ۹۹ دلاری، گروه Lizard Squad را مجاب به قطع حملات کرده و به آنها وعده داده در صورت توقف کامل حملات، اکانتهای هدیه به اکانت مادامالعمر تبدیل خواهند شد. همچنین Lizard Squad هم به ظاهر این موضوع را قبول کرده و اعلام کرده بود که آفلاین بودن فعلی این سرویسها به علت مشکلات پس از حملههای اولیه است. همه این توضیحات را دادیم تا به این نکته برسیم که حملات DDoS که این روزها پای یک سر حملات اینترنتی هستند چه هستند و چه کاری انجام میدهند.
حملات اینترنتی و سایبری فقط شامل بهدست آوردن پسورد و تخریب سیستمها نیستند. در برخی از حملات ایجاد اختلال در سیستمها و عدم دسترسی کاربران به سیستمهای حمله شده هدف مهاجمان و هکرها است. این نوع حملات به حملات اختلال سیستم، عدم دسترسی DDOS یا Dos ( Denial of Service یا Distributed Denial of Service) معرف هستند. هدف اکثر مهاجمان در این نوع حملات وب سرورهای بانکها، درگاههای پرداخت الکترونیکی و Name Serverها است. حملات Dos فقط مختص شبکههای کامپیوتری نیست. برای مثال در برنامههای مدیریت منابع CPU نیز از این حملات استفاده میشود.
به عبارت دیگر DDoS مخفف عبارت Distributed Denial of Service است و به هدف از کار انداختن موقت یا دائمی یک وبسایت یا سرور انجام میشود. حملات DDoS از گذشتهای نسبتا دور وجود داشتهاند و معمولا هم برای بیان اعتراض به کار برده میشدند. شاید اولین حمله DDoS را بتوان مربوط به سال ۱۹۹۵ و شبکه Strano Network دانست که در اعتراض به سیاستهای هستهای دولت فرانسه انجام شد، اما چرا حملات DDoS روزبهروز قویتر شده و مقابله با آن دشوارتر میشود.
چگونه میتوان یک حمله DDoS ترتیب داد؟
حمله DDoS آنقدر ساده است که هر کسی میتواند آن را انجام دهد؟ برای پاسخ به این پرسش چند جواب وجود دارد. بهطور مثال در حال حاضر نرمافزار رایگانی به نام High Orbit Ion Cannon یا به اختصار HOIC وجود دارد که به هر فردی اجازه میدهد بهراحتی با ایجاد ترافیک ساختگی روی سرورهای یک وبسایت با استفاده از اسکریپتهای سفارشی سرور را از کار بیندازد.
هر فردی با یک رایانه میتواند این نرمافزار را دانلود کرده، آدرس URL سایت دلخواهی را وارد کرده و منتظر بماند تا HOIC عملیات ایجاد کاربران جعلی را به امید ایجاد اضافهبار یا اصطلاحا Overload روی سرور اجرا کند. البته تصور نکنید که حالا میتوانید این نرمافزار را دانلود کرده و فیسبوک را در چند ساعت از کار بیندازید! در واقع هرچه تعداد کاربرانی که از HOIC بهصورت همزمان یکسایت را هدف گرفتهاند بیشتر شود احتمال overload شدن نیز بیشتر خواهد بود.
حمله DDOS پیشرفتهتر چگونه انجام میشود؟
البته از کار انداختن سرور پلیاستیشن نتورک کار دشوارتری است و دیوید لارسن مدیر ارشد فناوری شرکت امنیتی Corero اعتقاد دارد هکرها ترکیبی از حملات DDoS با botnetها را اجرا کردهاند. botnet یک شبکه از سرورهای کامپیوتری است که برای اتصال و انجام یک عملیات واحد برنامهریزی و طراحی شدهاند. هر فردی میتواند یک botnet کرایه کند و با بودجه کافی و ترکیب آن با حملات Ion Cannon بار فوقالعاده زیادی روی سرور PSN وارد کند. تصور کنید هزار کامپیوتر که همگی از ابزارهای DDoS مشابه برای ساخت اکانتهای جعلی استفاده کرده و سعی کنند به شبکه PSN وارد شوند. در مدت کوتاهی هزاران گیگابایت اطلاعات در هر ثانیه به سرور وارد شده و از کار انداختن چنین شبکهای کار پیش پا افتادهای جلوه خواهد کرد. لارسن همچنین اعتقاد دارد احتمالا مهاجمان به جای مورد حمله قرار دادن سرور اصلی PSN، سرورهای لاگین کردن را مورد هدف قرار دادهاند و overload کردن این سرور هم کار نسبتا آسانتری است. کافیست سرورهای DNS خارجی دستاری شوند تا شبکه PSN با اطلاعات بیش از حد بمباران شود. یک سرور DNS یا Domain Name System سروری است که وقتی کاربر نام یک وبسایت را تایپ کرده و کلید اینتر را فشار میدهد آن را به آدرس IP قابل فهم برای مرورگر تبدیل میکنند. اینترنت پر از سرورهای DNS است و بسیاری از آنها بهراحتی میتوانند هدف هکرها قرار بگیرند.لارسون میگوید: شما میتوانید نرمافزارهای رایگانی از اینترنت دانلود کنید که حاوی دیتابیسی از سرورهای آسیبپذیر DNS روی اینترنت است. من میتوانم یک درخواست ارسال کنم، یک بسته درخواست بسیار کوچک به یک سرور آسیبپذیر DNS. من میتوانم بگویم: «سلام سرور آسیبپذیر DNS! من سرور لاگین پلیاستیشن هستم - لطفا برای من اطلاعات ورود را ارسال کن.» و این اطلاعات ورود میتواند چندین کیلوبایت حجم داشته باشد. پس با یک بسته کوچک ۶۴ بایتی میتوان طوری سرورهای DNS آسیبپذیر را فریب داد تا اطلاعات کیلوبایتی را به سرورهای سونی یا هر وبسایت دیگری روانه کند. من میتوانم دهها هزار بایت درخواست به DNS ارسال کنم و این سرور هم با تصور اینکه من سونی هستم اطلاعات درخواستی را به سرورهای این شرکت سرازیر خواهد کرد. حالا تصور کنید این اتفاق صدها یا هزاران یا حتی میلیونها بار در ثانیه ارسال شود. به این ترتیب حتی قویترین سرورها هم نمیتوانند با چنین حجمی از ترافیک مقابله کنند و از آنجا که تشخیص اطلاعات جعلی و واقعی دشوار است (مخصوصا وقتی مهاجمان از ترکیبی از botnet و IPهای ساختگی استفاده میکنند.) سرور به راحتی overload شده و از کار خواهد افتاد. به این ترتیب برای فردی که میداند چگونه از این ابزار استفاده کند ایجاد دهها گیگابایت ترافیک ساختگی کار دشواری نخواهد بود.
چرا سونی نتوانست جلوی overload شدن شبکه را بگیرد؟
اما سونی پیش از این هم تجربه حملات DDoS را داشته و شبکههایی مانند PSN و Xbox Live معمولا زیاد در معرض این حملات قرار میگیرند. پس چرا آنها نتوانستند حمله Lizard Squad را خنثی کنند؟
بدون جزئیات دقیق پاسخ دادن به این پرسش ممکن نیست، اما لارسن حدس میزند از آنجا که مهاجمان به سرور لاگین PSN حمله کردهاند، به پهنای باند زیادی نیاز نبوده و از کار انداختن آن با حملات DDoS کار مشکلی نبوده است.
ابزارها در حال حاضر بسیار پویاتر شدهاند و انسان و پروسههای انسانی نتوانسته خود را با سرعت این تغییرات وفق دهد.
گفتنی است سال ۲۰۱۱ شبکه PSN مورد حمله بزرگی قرار گرفت که اطلاعات میلیونها کاربر این شبکه را فاش کرد و انتظار داشتیم سونی برای حملات هکری آمادگی داشته باشد. البته باید در نظر داشت که یک حمله DDoS تفاوت زیادی با نفوذ امنیتی دارد و بهتر است به جای هک کردن نام آن را سرریز کردن یا غرق کردن ترافیکی گذاشت. همچنین در ماههای اخیر این نوع حملات پیشرفتهای زیادی داشتهاند تا حدی که روشهای جلوگیری قدیمی مربوط به یکی دو سال پیش دیگر جوابگو نخواهد بود.
یکی از راههای رایج برای جلوگیری از حملات DDoS این است که وقتی مسوولان شبکه متوجه میشوند که حمله درحال صورت گرفتن و سرور در حال از کار افتادن است، آنها از تامین کنندگان شبکه میخواهند تا کاری به نام «سیاهچاله» یا Blackholing انجام دهند. به این ترتیب که تمامی ترافیک رسیده به شبکه را متوقف کرده و از overload شدن جلوگیری میکنند.
تا حدود 5/1 سال پیش حملات DDoS بسیار سادهتر بودند. شما مشاهده میکردید که چنین حملاتی در حال انجام است و آن را سیاهچاله میکردید. ابزارها در حال حاضر بسیار پویاتر شدهاند و انسان و پروسههای انسانی نتوانسته خود را با سرعت این تغییرات وفق دهد. حالا به یک سیستم ماشینی احتیاج دارید که همواره در حال جستجو و شناسایی چنین حملاتی باشد و بلافاصله به مقابله با آنها بپردازد.
راه مقابله کنونی چیست؟
به توصیه لارسن شرکتها و هر فردی که شبکهها را اداره میکند، باید چندین حفاظ برای جلوگیری از چنین حملاتی بهکار گیرد تا الگوهای غیرعادی ترافیک را شناسایی و آسیب وارده را کاهش دهد. او همچنین توصیه میکند کمپانیها از سرویسهای ابری استفاده کنند تا هنگام هجوم ترافیک سرورهای خودشان از خطر overload شدن محفوظ بماند. به گفته یکی از شرکتهای امنیتی DDoSها روزبهروز پیشرفتهتر میشوند و در حال حاضر هر ساعت حدود ۲۸ حمله شبیه به حمله به PSN رخ میدهد.
شاید در نگاه اول DDoS آنچنان هم خطرناک بهنظر نرسد؛ چراکه در واقع اطلاعاتی دزدیده نشده و کنترل سایت نیز خارج نخواهد شد و حتی یک deface ساده نیز رخ نخواهد داد، اما برای سرویسهای حیاتی از کار افتادن شبکه میتواند صدمات جبران ناپذیری وارد کند.
ارسال نظر