حمله ddos چیست؟

 حمله های ddos یک کابوس برای کسب‌ و کارها هستند و تهدیدی دائمی هستند که می‌توانند در هر لحظه عملیات را مختل کنند. تصور کنید موج عظیمی از ترافیک بر روی یک وب سایت یا سرور خاص سقوط می کند و مانند یک سونامی آن را تحت تأثیر قرار می دهد. این موج آنقدر قدرتمند است که می تواند ترافیک عادی را از بین ببرد و سرویس مورد نظر را غیرقابل اجرا کند.

این حملات که به حملات DDoS (Distributed Denial of Service) معروف هستند، با ظهور اینترنت توجه قابل توجهی را به خود جلب کرده اند. اتفاق این حوادث رو به افزایش بوده است و تقریباً 7.9 میلیون حمله DDoS تنها در سال 2023 ثبت شده است که نشان دهنده افزایش 31 درصدی نسبت به سال های گذشته است.

حملات DDoS یک تهدید جهانی برای مشاغل آنلاین است. چه یک فروشگاه تجارت الکترونیک کوچک دارید یا بخشی از یک غول فناوری هستید، هیچ کس از آسیب احتمالی ناشی از حملات DDoS مصون نیست. بنابراین، درک نحوه محافظت از وب سایت خود در برابر چنین تهدیداتی بسیار مهم است.

در این مقاله از آوین سئو ، قصد داریم به این سوال مهم بپردازیم: “دیداس چیست؟” و “چگونه می توانیم از حملات DDoS جلوگیری کنیم؟” ما همچنین تفاوت‌ های بین حملات DoS و DDoS را بررسی می‌کنیم و به شما کمک می‌کنیم با یکی از بزرگترین چالش‌های امنیتی در دنیای آنلاین آشنا شوید. پس تا پایان این مقاله با ما همراه باشید!

حمله ddos چیست؟

حمله ddos، مخفف Distributed Denial of Service، به یک حمله سایبری اشاره دارد که در آن هکر ها و بات‌ نت‌ ها قصد دارند ترافیک عادی یک سرور، شبکه یا وب‌ سایت را با پر کردن حجم عظیمی از ترافیک مختل کنند. در طول یک حمله DDoS، یک سرور، وب‌سایت یا شبکه با ترافیک اینترنتی غیرعادی از منابع متعدد بمباران می‌شود که منجر به وقفه در سرویس می‌شود. این حملات سایبری می توانند از نظر پیچیدگی و مقیاس متفاوت باشند و به طور قابل توجهی بر عملکرد و دسترسی وب سایت ها تأثیر بگذارند.

برای درک بهتر حملات DDoS، یک فروشگاه آنلاین بزرگ را در یک دوره شلوغ مانند شب سال نو تصور کنید. در این سناریو، هکرها از شبکه های آلوده به نام بات نت برای ارسال حجم عظیمی از ترافیک جعلی به وب سایت استفاده می کنند که منجر به خرید واقعی نمی شود. این ترافیک مصنوعی سرور را تحت الشعاع قرار می دهد و از دسترسی مشتریان واقعی به سایت جلوگیری می کند. تأثیر چنین حمله ای فقط فنی نیست. همچنین می تواند به شدت به اعتبار و عملکرد وب سایت آسیب برساند.

حملات DDoS چگونه رخ می‌دهند؟

حملات DDoS از طریق یک فرآیند پیچیده و هماهنگ انجام می شود که شامل استفاده از رایانه های آلوده به بدافزار است که معمولاً به آن بات نت می گویند. این رایانه ها برای ارسال حجم عظیمی از ترافیک به یک هدف خاص مانند یک وب سایت یا سرور استفاده می شوند. در اینجا توضیح گام به گام نحوه انجام حملات DDoS آمده است:

• ایجاد بات نت

مهاجم از انواع مختلفی از بدافزارها، مانند ویروس‌ های رایانه‌ ای، استفاده می‌ کند تا کنترل بسیاری از رایانه‌ ها یا دستگاه‌ های متصل به اینترنت را به دست آورد و آنها را برای تشکیل یک بات‌ نت آلوده کند.

• فرماندهی حمله

سپس مهاجم به بات نت دستور می دهد تا حجم زیادی از ترافیک را به سمت یک هدف تعیین شده، مانند وب سایت یا سرور هدایت کند. هنگامی که یک سرور یا وب سایت توسط یک بات نت هدف قرار می گیرد، هر ربات به صورت جداگانه درخواست هایی را به آدرس IP هدف ارسال می کند.

• سیل ترافیک

این دستگاه ها به طور همزمان شروع به ارسال درخواست ها و داده ها به هدف می کنند و یک بار ترافیک غیرقابل کنترل در سرور یا شبکه ایجاد می کنند.

• اختلال در خدمات

به دلیل افزایش ترافیک ورودی، سرویس یا سرور مورد نظر ممکن است در پاسخ به درخواست‌ های معمولی مشکل داشته باشد که منجر به اختلال یا قطعی میشود. در نهایت، دفاع در برابر حمله های دیداس به دلیل پیچیدگی آنها چالش برانگیز است. سازمان های مختلف باید به طور مداوم از اقدامات امنیتی اثبات شده برای مبارزه با این نوع حملات استفاده کنند.

نحوه شناسایی حملات DDoS

برای شناسایی حملات DDoS، جستجوی الگوهای غیرعادی در ترافیک شبکه ضروری است که در نهایت می تواند باعث اختلال در سرویس شود. در اینجا پنج شاخص کلیدی برای کمک به شناسایی حملات DDoS وجود دارد:

افزایش ناگهانی ترافیک

یکی از نشانه های اولیه حمله دیداس افزایش ناگهانی و قابل توجه ترافیک شبکه است. این امر به ویژه زمانی قابل توجه است که افزایش ترافیک در مناطق خاصی از شبکه یا خدمات خاص متمرکز باشد.

کاهش عملکرد شبکه

ممکن است متوجه کاهش قابل توجهی در عملکرد وب سایت خود شوید که دسترسی به منابع شبکه را تقریبا غیرممکن می کند. این می تواند زمانی اتفاق بیفتد که درخواست های مهاجم تمام پهنای باند موجود را مصرف کند و منجر به کاهش سرعت یا حتی قطع شود.

خطای 503

اگر سرور شما خطای “503 Service Unavailable” را در حین افزایش ترافیک نشان دهد یا پیام “سرویس در دسترس نیست” را نشان دهد، احتمالاً با یک حمله DDoS روبرو هستید. این یک نشانه رایج از درخواست های بیش از حد به آدرس IP شما است.

افزایش استفاده از CPU

افزایش مصرف CPU یا حافظه سرور می تواند نشان دهنده این باشد که سایت شما مورد حمله قرار گرفته است. این به این دلیل رخ می دهد که درخواست های مهاجم می تواند تمام منابع موجود روی سرور شما را تخلیه کند و در نتیجه عملکرد کند یا غیرقابل دسترس کردن سایت شما را در پی داشته باشد.

انواع مختلف حملات DDoS

حملات سایبری DDoS با استفاده از تکنیک های مختلفی انجام می شود که هر کدام اهداف خاصی را هدف قرار می دهند. از حملات ساده ای که صرفاً با هدف ایجاد اختلال در سرویس ها انجام می شود تا حملات سایبری پیچیده تر، همه می توانند بر جنبه های مختلف یک شبکه تأثیر بگذارند. درک انواع مختلف حملات DDoS می تواند به شما کمک کند تا بینش بهتری نسبت به آنها به دست آورید.

حملات لایه کاربرد (Application Layer Attacks)

Application Layer Attacks نوعی حمله ddos است. در این حملات سایبری، هکرها تعداد زیادی درخواست جعلی را به لایه برنامه سرور یا شبکه ارسال می کنند و عملکرد عادی آن را مختل می کنند.

تصور کنید صاحب یک فروشگاه کوچک با چند کارمند هستید. مشتریان می آیند، سوالات مختلفی می پرسند و خرید می کنند. به طور معمول، کارکنان شما می توانند مشتریان را مدیریت کرده و معاملات آنها را به آرامی پردازش کنند. اکنون گروه بزرگی از مردم را تصور کنید که قصد خرید چیزی ندارند و وارد فروشگاه شما می شوند و شروع به پرسیدن سوالات پیچیده و طولانی می کنند. این پرسش ها توجه همه کارمندان شما را به خود جلب می کند. مشتریان جعلی کارکنان شما را چنان مشغول می کنند که دیگر نمی توانند به مشتریان واقعی کمک کنند. در نتیجه فروشگاه شما آشفته می شود و مشتریان واقعی نمی توانند خدمات مورد نیاز خود را دریافت کنند.

در حملات سایبری، برنامه ای مانند “HTTP Flood” تعداد زیادی درخواست به ظاهر قانونی را به یک سرور وب ارسال می کند. سرور، درست مانند کارمندان یک فروشگاه، سعی می کند به هر درخواستی پاسخ دهد. با این حال، به دلیل حجم بالای درخواست ها، که برخی از آنها پیچیده یا زمان بر هستند، زمان پاسخگویی سرور کاهش می یابد و کاربران واقعی را ناامید می کند.

حملات لایه پروتکل (Protocol Layer Attacks)

حملات لایه پروتکل، پروتکل های مورد استفاده برای انتقال داده ها را هدف قرار می دهند تا سیستم را مختل کنند. در این حملات، هکرها از آسیب پذیری های لایه های 3 و 4 مدل OSI سوء استفاده می کنند و تمام منابع شبکه مانند فایروال ها و سرورهای وب را مصرف می کنند. این باعث می شود که کاربران نتوانند به خدمات مورد نیاز خود دسترسی پیدا کنند.

یکی از رایج ترین انواع این حملات، syn flood است که در آن مهاجم با استفاده از آدرس های IP جعلی، تعداد زیادی درخواست دست دادن TCP را به هدف ارسال می کند. سرور که قادر به شناسایی درخواست های تقلبی نیست، به همه آنها پاسخ می دهد و منتظر می ماند تا فرآیند تکمیل شود. با این حال، این فرآیند هرگز به پایان نمی رسد و باعث می شود سرور به طور قابل توجهی کاهش یابد و در نهایت به دلیل درخواست های بی پاسخ از کار بیفتد.

به عنوان مثال، تصور کنید صاحب رستورانی هستید که مشتریان برای سفارش غذا با آن تماس می گیرند. به طور معمول، یک مشتری با تماس (درخواست SYN) می گوید که می خواهد غذا سفارش دهد. شما پاسخ می دهید (پاسخ SYN-ACK) و نشان می دهد که آماده دریافت سفارش آنها هستید. سپس مشتری سفارش خود را ارسال می کند (پیام ACK) و شما آن را ضبط می کنید. این حمله حتی به سئو سایت در رستوران نیز صدمه وارد میکند.

حملات لایه حجمی (Volumetric Attacks)

حملات حجمی نوعی حمله سایبری است که در حملات ddos مشاهده می شود، جایی که مهاجم یک سرور را با تعداد زیادی درخواست پر می کند و تمام پهنای باند موجود را مصرف می کند. هدف این حملات غیرقابل دسترس کردن وب سایت ها یا خدمات آنلاین است. یک مثال خاص حملات DNS Amplification است که در آن مهاجم از سرورهای DNS آسیب‌پذیر برای ارسال پاسخ‌ های بزرگ به هدف، معمولاً یک وب‌سایت، سوء استفاده می‌کند. با جعل آدرس IP هدف در درخواست‌ های DNS، حجم قابل توجهی از ترافیک غیرمجاز به سمت سرور هدف هدایت میشود و به طور بالقوه باعث از کار افتادن یا کاهش سرعت آن میشود.

حملات چند بعدی (Multi-Vector Attacks)

حملات چند بعدی از ترکیبی از روش ها و تکنیک های مختلف برای ایجاد اختلال در سیستم ها استفاده می کنند. تصور کنید یک سارق سعی دارد نه تنها از درب ورودی وارد خانه شود، بلکه سعی می کند از پنجره وارد شود در حالی که سیستم امنیتی را غیرفعال می کند. به طور مشابه، در حملات چند بعدی، مهاجم از حمه ddos برای از بین بردن وب‌ سایت‌ ها، طرح‌ های فیشینگ برای سرقت اطلاعات و حتی استفاده از ویروس‌ ها و بدافزار ها استفاده میکند. دفاع در برابر این حملات بسیار چالش برانگیز است، زیرا تیم های امنیتی باید به طور همزمان چندین تهدید را برطرف کنند.

حملات لایه فیزیکی (Physical Layer Attacks)

حملات لایه فیزیکی در امنیت سایبری به حملاتی اطلاق می شود که مستقیماً زیرساخت فیزیکی و تجهیزات شبکه های رایانه ای را هدف قرار می دهند. این حملات می تواند شامل موارد زیر باشد:

• اختلال در ارتباطات شبکه
• نصب دستگاه های جاسوسی و شنود
• دسترسی فیزیکی غیرمجاز به مراکز داده
• تخریب تجهیزات شبکه مانند سرورها، سوئیچ ها، روترها و کابل های شبکه

متدهای مورد استفاده در حملات DOS و DDos

در زیر برخی از روش هایی که معمولاً در حملات DDoS و DOS استفاده می شوند، آورده شده است. درک این روش ها می تواند به شناسایی و پیشگیری از حملات مشابه کمک کند. در زیر لیستی از برخی از این تکنیک ها آورده شده است:

1. ICMP flood
2. SYN flood
3. Teardrop attacks
4. Low-rate Denial-of-Service attacks
5. Peer-to-peer attacks
6. Asymmetry of resource utilization in starvation attacks
7. Permanent denial-of-service attacks
8. Application-level floods
9. Nuke
10. R-U-Dead-Yet
11. Distributed attack
12. Reflected / Spoofed attack
13. Unintentional denial of service
14. Denial-of-Service Level II

سیل ICMP

این روش خدمات سرور را با ارسال رگبار درخواست های پینگ به هدف مختل می کند. هنگامی که تعداد زیادی درخواست ICMP به یک شبکه سرازیر می شود، همه میزبان های آن شبکه پاسخ می دهند. اگر هر میزبان پاسخ دهد، منجر به حجم عظیمی از پاسخ‌ ها به سمت نقطه دسترسی میشود که به طور بالقوه سوئیچ را تحت تأثیر قرار می‌ دهد و باعث می‌ شود که کل شبکه غیرقابل دسترس شود. برای کاهش این حمله، توصیه می‌شود پاسخ‌ های پینگ را از همه میزبان‌ های شبکه غیرفعال کنید و از پخش پیام‌ ها در شبکه جلوگیری کنید.

teardrop

Teardrop نوعی حمله است که با ارسال بسته‌ های IP مخدوش با بخش‌ های همپوشانی، بار زیادی را روی کارت شبکه سیستم هدف ایجاد میکند. این آسیب پذیری از اشکالات شبکه و لایه های TCP/IP ناشی می شود. سیستم عامل هایی مانند ویندوز 3.1، 95، NT و لینوکس نسخه های 2.0.32 و 2.1.63 در معرض این حمله هستند. در سپتامبر 2009، در ویندوز ویستا مشاهده شد، اگرچه حمله در لایه SMB2 بالای TCP رخ داد. به روز نگه داشتن سیستم عامل و اعمال وصله های امنیتی نقش مهمی در جلوگیری از چنین حملاتی دارد.

Nuke

Nuke یکی از قدیمی ترین روش های حملات داس است. با ارسال درخواست های پینگ اشتباه برای ایجاد اختلال در شبکه کار می کند. نرم افزار معروفی که این حمله را اجرا می کند WinNuke است که از یک آسیب پذیری در NetBIOS در ویندوز 95 سوء استفاده می کند. با ارسال یک رشته خاص از داده ها به پورت 139، صفحه آبی آن نسخه از سیستم عامل ویندوز را راه اندازی می کند.

R-U-Dead-Yet

این حمله جلساتی را هدف قرار می دهد که برنامه های کاربردی وب در حال انتظار برای درخواست ها هستند. Slowloris ابزاری است که اکثر جلسات وب سرور را برای ارتباط باز نگه می دارد. RUDY با ارسال درخواست هایی با هدر های بزرگ به این جلسات انتظار، سرور وب را مختل می کند. برای جلوگیری از چنین حملاتی، استفاده از سیستم عامل های به روز بسیار مهم است. آسیب پذیری های امنیتی مورد سوء استفاده در حملات قبلی تا حد زیادی در این سیستم ها برطرف شده است. علاوه بر این، استفاده از فایروال هایی مانند ISA Server، TMG، و SQUID و همچنین استفاده از ماژول های IIS برای مسدود کردن IP ها و دامنه هایی که منجر به این نوع حملات می شوند، توصیه می شود.

syn flood

حمله سیل SYN نوعی حمله سایبری است که فرآیند دست دادن TCP را هدف قرار می دهد. در این حمله، مهاجم فرآیند اتصال سه مرحله ای TCP را آغاز می کند اما آن را ناقص می گذارد. این باعث می شود که سرور برای مراحل باقی مانده منتظر بماند و زمانی که تعداد زیادی از این درخواست ها جمع می شوند، سرور غرق می شود و قادر به رسیدگی به درخواست های اتصال جدید نیست. در نتیجه سرور از دسترس خارج می شود.

استراتژی های جلوگیری از حملات DDoS

پیاده‌ سازی استراتژی‌ هایی برای جلوگیری از حمله ddos می‌تواند به شما در محافظت از وب‌ سایت‌ های خود، به‌ ویژه آن‌ هایی که بر روی وردپرس ساخته شده‌ اند، در برابر تهدیدات سایبری کمک کند. حملات DDoS می توانند از نظر شدت و مقیاس متفاوت باشند، و اقدامات مختلفی وجود دارد که می توانید برای محافظت از سایت خود انجام دهید. در حالی که راه حل یکسانی برای جلوگیری از حملات دیداس وجود ندارد، رعایت این نکات می تواند به کاهش خطر حمله سایبری کمک کند:

1. آشنایی با ترافیک شبکه خود

هر سازمانی الگوهای ترافیک اینترنتی منحصر به فرد خود را دارد. آشنایی با این الگوها برای شناسایی علائم حمله DDoS بسیار مهم است. هنگامی که جریان ترافیک معمولی سازمان خود را می دانید، یک معیار واضح برای مقایسه دارید. به این ترتیب، اگر فعالیت غیرعادی رخ دهد، به راحتی می توانید آن را تشخیص دهید.

به عنوان مثال، اگر یک شرکت آنلاین را اداره می کنید که معمولاً 1500 کاربر را در ساعات اوج مصرف تجربه می کند و این تعداد ناگهان به 10000 افزایش می یابد، ممکن است نشان دهنده یک حمله DDoS باشد. با آگاهی از الگوهای ترافیک وب سایت خود، می توانید به سرعت این تغییرات غیرعادی را شناسایی کرده و اقدامات مناسب را انجام دهید.

2. تعریف طرح پاسخ DDoS

آیا می دانید با وقوع یک حمله دیداس چه اتفاقی می افتد؟ سازمان شما قرار است چگونه پاسخ دهد؟ با تعریف یک برنامه بالقوه از قبل، می توانید بهتر به حملات سایبری DDoS واکنش نشان دهید.

پیچیدگی ایجاد یک طرح پاسخ برای حملات DDoS بسته به اندازه کسب و کار شما متفاوت است. برای اطمینان از موثر بودن طرح پاسخگویی، باید تمام اجزای لازم را در نظر بگیرید. این موارد عبارتند از:

• چک لیستی از سیستم ها
• یک تیم آموزش دیده پاسخ
• تعریف روش های اطلاع رسانی و فرآیندهای پاسخ به حمله
• لیستی از مخاطبین داخلی و خارجی که باید از حمله مطلع شوند
• یک برنامه ارتباطی برای ارتباط با فروشندگان و مشتریان

به عنوان مثال، اگر یک شرکت خرده‌ فروشی آنلاین را اداره میکنید، طرح پاسخ DDoS شما شامل چک لیستی از تمام سرورها و پایگاه‌ های داده است. در صورت وقوع حمله، کارشناسان امنیتی به سرعت ارزیابی می کنند که کدام مناطق تحت تأثیر قرار گرفته اند. در نهایت، یک اعلان سریع به تیم های فنی و مدیریتی ارسال می شود، در حالی که مشتریان از طریق وب سایت و رسانه های اجتماعی در مورد اختلالات احتمالی خدمات مطلع می شوند.

3. تقویت شبکه سازمان

زیرساخت سازمان شما باید تا حد امکان در برابر حملات سایبری DDoS مقاوم باشد. این بدان معناست که شما نباید تنها به فایروال ها تکیه کنید، زیرا آنها می توانند اهداف اصلی برای برخی از تهدیدات سایبری باشند. اطمینان حاصل کنید که مراکز داده شما همه در یک مکان فیزیکی قرار ندارند. سرورهای خود را در مراکز داده مختلف توزیع کنید و مطمئن شوید که هیچ گلوگاه ترافیکی در شبکه شما وجود ندارد.

به عنوان مثال، تصور کنید که در حال حاضر مسئول مدیریت شبکه یک شرکت بزرگ هستید. برای دفاع در برابر حملات DDoS، تصمیم می گیرید سرورهای خود را در سه مرکز داده واقع در شهرهای مختلف قرار دهید. این استراتژی تضمین می کند که اگر یک مرکز داده مورد حمله قرار گیرد، دو مرکز دیگر عملیاتی و در دسترس باقی می مانند.

4. امنیت سایت

کاربران شما باید در مورد بهترین شیوه های امنیتی، مانند تغییر منظم رمزهای عبور، استفاده از احراز هویت چند عاملی، و آگاهی کافی برای جلوگیری از حملات فیشینگ، آموزش ببینند. به عنوان مثال، در یک شرکت مرتبط با فناوری، همه کارمندان باید رمز عبور خود را هر سه ماه یکبار به روز کنند. توجه داشته باشید که تاثیر امنیت سایت بر رتبه بندی در موتور های جستجو و سئو ستودنی است.

5. افزایش پهنای باند

اگر با یک حمله ddos مواجه شده اید و وب سایت شما به یکباره ترافیک بالایی را تجربه کرده است، افزایش پهنای باند می تواند به شما در مدیریت وضعیت کمک کند. با افزودن پهنای باند بیشتر، می توانید حجم بیشتری از ترافیک را در خود جای دهید. با این حال، توجه به این نکته مهم است که افزایش پهنای باند تنها راه حل برای توقف همه حملات DDoS نیست. به عنوان مثال، در سال 2018، یک حمله دیداس به سرعت خیره کننده یک ترابیت در ثانیه رسید اما چند روز بعد با حمله 1.7 ترابیت در ثانیه از آن پیشی گرفت!

6. استفاده از نرم افزار Anti-DDoS

اخیرا حملات DDoS بسیار رایج شده اند. برای مبارزه یا کاهش این تهدیدات سایبری، محصولات و ابزارهای مختلفی توسعه یافته است که می توان از آنها استفاده کرد. فایروال های برنامه کاربردی وب، CDN ها، و خدمات پاکسازی ترافیک از جمله راه حل های موجود برای کمک به جلوگیری از حملات DDoS هستند.

7. استفاده از سرورهای ابری

تهدید حملات DDoS به طور مداوم بر سازمان های مختلف ظاهر می شود. این حملات عملکرد سرورها یا شبکه ها را با پر کردن حجم عظیمی از ترافیک جعلی در آنها مختل می کند. حملات دیداس می تواند منجر به آسیب مالی و اعتبار قابل توجهی برای سازمان ها شود. استفاده از سرورهای ابری می تواند کمک قابل توجهی در این زمینه داشته باشد.

8. شناخت علائم حمله

اگر شبکه شما ناگهان کند یا قطع شود، یا اگر مقدار غیر معمولی از هرزنامه دریافت کنید، ممکن است شاهد نشانه هایی از یک حمله سایبری DDoS باشید. سایر شاخص‌ های این نوع حمله شامل اتصالات ضعیف و تعداد بالای درخواست‌ هایی است که از یک آدرس IP منفرد می‌آیند.

9. نظارت مستمر بر فعالیت های غیرمعمول

هنگامی که الگوهای عادی شبکه خود و علائم حمله DDoS را شناسایی کردید، نظارت مداوم بر شبکه سازمان برای هرگونه فعالیت غیرعادی ضروری است. با زیر نظر گرفتن ترافیک اینترنت در زمان واقعی، می توانید به سرعت مناطقی را که ممکن است هدف حملات DDoS قرار گیرند شناسایی کنید.

10. درخواست های محدود کردن نرخ

محدود کردن نرخ یک روش فنی است که میزان ترافیک شبکه را در طول یک دوره خاص محدود می کند و به طور موثر از تحت فشار قرار گرفتن سرورهای وب توسط درخواست های آدرس های IP خاص جلوگیری می کند. پیاده‌ سازی محدودیت نرخ میتواند به دفاع در برابر حملات DDoS که از بات‌ نت‌ ها برای پر کردن سیستم با تعداد زیادی درخواست به طور همزمان استفاده می‌کنند، کمک کند.

11. فایروال برنامه های وب

برای محافظت در برابر حملات DDoS، استفاده از فایروال برنامه وب (WAF) بسیار مهم است. WAF ها ترافیک HTTP بین یک برنامه وب و اینترنت را فیلتر و نظارت می کنند و به خنثی کردن حملات DDoS کمک می کنند. آنها ترافیک و درخواست های مخرب را که معمولاً با حوادث DDoS مرتبط هستند، شناسایی و مسدود می کنند و از اضافه بار سرور جلوگیری می کنند. WAF ها یک لایه دفاعی در برابر حملات DDoS لایه برنامه ایجاد می کنند و در کنار سایر استراتژی ها مانند محدود کردن نرخ و استفاده از CDN برای افزایش انعطاف پذیری در برابر چنین تهدیدهایی کار می کنند.

12. استفاده از شبکه تحویل محتوا

شبکه تحویل محتوا (CDN) یک راه حل حیاتی برای افزایش عملکرد وب سایت و کاهش زمان بارگذاری است. با توزیع داده ها در سرورهای مختلف، یک CDN تضمین می کند که کاربران می توانند از نزدیک ترین منبع ممکن به محتوای وب سایت شما دسترسی داشته باشند. علاوه بر این، یک CDN می‌تواند با متعادل کردن بارهای ترافیکی و فیلتر کردن ترافیک مضر در کاهش حملات دیداس موثر باشد و در نتیجه فشار روی سرور اصلی شما را کاهش دهد. استفاده از CDN به ویژه برای وب سایت های پر بازدید مفید است.

روش مقابله حملات DDOS در لینوکس

مقابله با حملات DDoS در سیستم های لینوکس می تواند بسیار چالش برانگیز باشد. هنگامی که یک حمله DDoS بر روی سرور لینوکس رخ می دهد، می تواند سرور آپاچی را مختل کند، که منجر به کاهش بارگذاری قابل توجهی برای وب سایت ها می شود.

برای نظارت بر آدرس های IP متصل و تعداد اتصال آنها در سرور لینوکس خود، می توانید از دستور زیر استفاده کنید:

netstat -atun | awk ‘{print $5}’ | cut -d: -f1 | sed -e ‘/^$/d’ |sort | uniq -c | sort –n

در صورت امکان، به پیکربندی CSF خود دسترسی پیدا کنید و پورت 80 را از لیست های TCP_IN و TCP_OUT حذف کنید.

با انجام این کار به طور موثر پورت 80 سرور خود را مسدود می کنید و به شما این امکان را می دهد تا با خیالی آسوده به مراحل بعدی بروید. با این حال، اگر می خواهید وب سایت های خود را در دسترس نگه دارید، ممکن است این اقدام را انجام ندهید. پس از مسدود کردن پورت 80، حتماً وارد فایروال ConfigServer شده و تغییرات لازم را اعمال کنید.

تنظیمات فایل csf.conf

لطفا تنظیمات فایل csf.conf را به صورت زیر انجام دهید:

CT_LIMIT = “80”

CT_INTERVAL = “50”

CT_PERMANENT = “1”

CT_BLOCK_TIME = “1800”

CT_INTERVAL = “60”

CT_SKIP_TIME_WAIT = “1”

SYNFLOOD = “1”

سرور شما در حال حاضر در برابر حملات DOS و SYN محافظت می شود و هنگامی که یک IP مسدود شود، یک اعلان ایمیل دریافت خواهید کرد. علاوه بر این:

CONNLIMIT = “22;5،80;20”

یعنی حداکثر تعداد اتصالات همزمان مجاز برای پورت 22 5 و برای پورت 80 20 اتصال است.

PORTFLOOD = “80;tcp;20;300”

این تنظیم نشان می دهد که تمام درخواست های TCP به پورت 80 به 20 درخواست در ثانیه در مدت 300 ثانیه قبل از آزاد شدن اتصال محدود می شود.

تنظیمات حفاظت از هرزنامه

برای محافظت در برابر هرزنامه و ترافیک ناخواسته، می توانید سرور خود را با تنظیمات زیر پیکربندی کنید:

LF_DSHIELD = “86400”

LF_SPAMHAUS = “86400”

LF_BOGON = “86400”

این تنظیم اختیاری است و توصیه نمی‌شود، زیرا سرور شما قبلاً توسط فهرست جامعی از IP های بد شناخته شده محافظت میشود که همچنان در حال گسترش است. علاوه بر این، می توانید با استفاده از موارد زیر دسترسی از کشورهای خاص را محدود کنید:

CC_DENY = “GB، CN”

همچنین می توانید lfd را برای نظارت بر دایرکتوری های مشکوک تنظیم کنید:

LF_DIRWATCH = “300”

نکته مهم: هنگامی که دستور را اجرا می کنید:

netstat -atun | awk ‘{print $5}’ | cut -d: -f1 | sed -e ‘/^$/d’ |sort | uniq -c | sort -n

در سرور شما، لیستی از IP های متصل به همراه تعداد اتصالات را نمایش می دهد. IP های نمایش داده شده را در وب سایت زیر وارد کنید:

http://geoip.flagfox.net/?ip=

پس از بازیابی جزئیات، قسمت کد کشور را برای مخفف نام کشور (مثلا ایران = آی آر) بررسی کنید.

برای همه آدرس‌های IP به جز آدرس‌ های کشورهای بزرگ مانند آلمان، ایالات متحده و ایران، ابتدا کد کشور آنها را دریافت کنید. سپس، همانطور که قبلا توضیح داده شد، آنها را به لیست CC_DENY در فایروال ConfigServer اضافه کنید. تغییرات را ذخیره کنید، خدمات CSF و LFD را مجددا راه اندازی کنید و سرور خود را راه اندازی مجدد کنید. در نهایت اطمینان حاصل کنید که پورت 80 روی سرور شما باز است.

چالش های دفاع در برابر حمله DDoS

دفاع در برابر حملات دیداس دشوار است. یکی از چالش‌ های اصلی فقدان ویژگی‌ های مشترک در میان این حملات است. آنها اغلب با خلاقیت مهاجم طراحی می شوند. علاوه بر این، از آنجایی که این حملات از چندین سیستم منشا می گیرند، ردیابی آنها بسیار پیچیده می شود.

علاوه بر این، ابزارهای مورد استفاده برای اجرای حملات DDoS به آسانی برای دانلود در اینترنت در دسترس هستند و حمله‌ های خود را برای مهاجمان آسان‌ تر میکنند. مهاجمان همچنین ممکن است از تکنیک هایی مانند IP Spoofing برای پنهان کردن هویت واقعی خود استفاده کنند که روند ردیابی را پیچیده تر می کند.

دفاع در برابر حملات DDoS شامل دو استراتژی کلیدی است:

1. دفاع پیش از حمله، که شامل استفاده از تجهیزات امنیتی مانند فایروال ها و راه حل های ضد DDoS می شود.
2. دفاع در زمان واقعی در هنگام حمله، که حتی از اقدامات قبل از حمله نیز حیاتی تر است. در زیر چندین مکانیسم را برای این منظور بیان می کنیم.

فیلتر ورود

این روش شامل راه اندازی روتری است که بسته های دریافتی را از منابع غیرمجاز مسدود می کند و از ورود آنها به شبکه جلوگیری می کند. فیلتر ورود به عنوان یک مکانیسم محدود کننده برای توقف ترافیک در جایی که آدرس IP فرستنده با پیشوند دامنه مرتبط با روتر مطابقت ندارد، عمل می کند. این رویکرد می تواند به طور موثر حملات DDoS را که از جعل IP استفاده می کنند، کاهش دهد.

با این حال، مواردی وجود دارد که در ترافیک قانونی ممکن است با این نوع فیلتر کنار گذاشته شود. این می تواند زمانی اتفاق بیفتد که یک گره تلفن همراه با استفاده از یک IP موقت از یک شبکه خارجی سعی در اتصال به شبکه ما داشته باشد.

فیلترینگ IP بر اساس تاریخچه (History–base Ip filtering)

مکانیزم دیگری که برای مبارزه با حمله ddos طراحی شده است، فیلتر IP مبتنی بر تاریخ است. در این رویکرد، روتر لبه بسته های ورودی را می پذیرد که قبلاً در پایگاه داده آدرس IP خود فهرست شده اند. این پایگاه داده بر اساس سوابق ارتباطی تاریخی روتر لبه گردآوری شده است.

تغییر آدرس IP

یک استراتژی ساده برای مقابله با حملات DDoS تغییر آدرس IP است. با به روز رسانی آدرس IP رایانه های مورد نظر به یک آدرس جدید، آدرس قبلی نامعتبر می شود. این روش به دفاع پویا معروف است. پس از تغییر آدرس IP، همه روترهای اینترنت مطلع می شوند و روترهای لبه بسته های حمله را دور می اندازند. با این حال، این عمل رایانه را در معرض خطر نگه می دارد زیرا مهاجم می تواند یک حمله جدید به آدرس جدید انجام دهد. این گزینه به ویژه زمانی مفید است که حمله DDoS محلی و بر اساس آدرس IP باشد.
از سوی دیگر، مهاجم می تواند این مکانیسم دفاعی را با گنجاندن ویژگی های ردیابی دامنه در ابزار حمله DDoS خود خنثی کند. با ردیابی دامنه، به محض تغییر آدرس IP، حمله به آدرس جدید ادامه خواهد داد، زیرا این آدرس مبتنی بر دامنه است. برای اطلاعات بیشتر در مورد انواع آدرس های IP، می توانید مقاله آدرس IP چیست را مطالعه کنید.

Load balancing

تعادل بار روشی ساده است که سرور را قادر می‌سازد تا پهنای باند را در ارتباطات حیاتی افزایش دهد و از قطع شدن سرویس در طول حمله جلوگیری کند. علاوه بر این، با استفاده از تکرار سرور به تضمین تخریب ایمن کمک می کند. اگر یک سرور به دلیل حمله DDoS از کار بیفتد، سرویس می تواند از طریق سرورهای تکراری دیگر ادامه یابد. این بدان معناست که حتی اگر یک سرور از کار بیفتد، حجم کار می‌تواند به طور یکپارچه به سایرین منتقل شود و در دسترس بودن سرویس حفظ شود.

[irp posts=”۱۲۲۵۵″ name=”Network Load Balancing یا nlb چیست و هر آنچه در مورد آن بایستی بدانید”]

Honeypots

از Honeypot می توان برای جلوگیری از حملات DDoS استفاده کرد. اینها سیستم هایی هستند که با حداقل امنیت راه اندازی شده اند و برای فریب مهاجمان طراحی شده اند و هیچ داده واقعی ندارند.

در حالی که هانی پات ها ممکن است ارزش قابل توجهی در سیستم های حفاظتی نداشته باشند، می توانند با ثبت فعالیت های مهاجمان و یادگیری در مورد انواع حملات و ابزارهایی که استفاده می کنند، در جمع آوری اطلاعات در مورد مهاجمان موثر باشند. تحقیقات اخیر نشان می‌دهد که تقلید از تمام جنبه‌های قانونی یک شبکه در یک هانی‌پات – مانند سرورهای وب، سرورهای ایمیل، مشتریان و غیره – می‌تواند به طور بالقوه مهاجمان DDoS را جذب کند.

این مفهوم شامل فریب مهاجم به این باور است که یک سیستم (در این مورد، یک هانی پات) را که برای نصب یک عامل یا کنترل کننده در دسترس است، به خطر می اندازد. این استراتژی به محافظت از سیستم‌های اصلی در برابر تهدیدات بالقوه کمک می‌کند و در عین حال امکان نظارت بر رفتار عامل یا کنترل‌کننده نصب‌شده را فراهم می‌کند و در نتیجه توانایی سیستم برای دفاع در برابر ویژگی‌های حمله DDoS را افزایش می‌دهد.

تحلیل الگو‌های گرافیکی حمله dos 

تجزیه و تحلیل الگوهای گرافیکی حملات DDoS روشی موثر برای پاسخ به چنین تهدیداتی است. در طول یک حمله، داده‌های اجزای ترافیک را می‌توان جمع‌آوری کرد و بعداً برای شناسایی ویژگی‌های منحصربه‌فردی که ممکن است نشان‌دهنده یک حمله مداوم باشد، تجزیه و تحلیل کرد. بینش‌های به‌دست‌آمده از این تجزیه و تحلیل را می‌توان برای تقویت تکنیک‌های متعادل‌سازی بار و توسعه مکانیسم‌های فیلتر جدید مورد استفاده قرار داد، که در نهایت به جلوگیری از حملات DDoS در آینده کمک می‌کند.

تفاوت بین DoS و DDoS چیست؟

حملات DoS و DDoS، هر دو با هدف ایجاد اختلال در دسترسی به خدمات و منابع شبکه برای کاربران قانونی هستند. تمایز اولیه بین حملات DoS و DDoS در منبع حمله نهفته است.

در یک حمله DoS، مهاجم از یک کامپیوتر یا سرور برای ارسال ترافیک سنگین یا درخواست های مکرر به یک هدف استفاده می کند. هدف مشابه حمله DDoS است، تمرکز بر منابع عظیم سرور و قطع دسترسی به سرویس. این حملات به طور کلی ساده‌تر و آسان‌تر برای شناسایی و کاهش آن‌ها هستند زیرا از یک منبع منشا می‌گیرند.

از سوی دیگر، حملات DDoS از منابع مختلفی استفاده می‌کنند که می‌تواند منجر به مقیاس بسیار بزرگ‌تر و مخرب‌تر حمله شود. این نوع حملات اغلب سازمان‌های بزرگ، خدمات آنلاین حیاتی و زیرساخت‌های ضروری را هدف قرار می‌دهند. در مقابل، حملات DoS ممکن است سیستم های کوچکتر را هدف قرار دهند یا به عنوان وسیله ای برای اختلال در عملکرد یک سیستم بزرگتر عمل کنند.

تاثیر حملات DDoS روی سایت

تاثیر حمله ddos بر روی یک وب سایت می تواند شامل موارد زیر باشد:

• اختلال در دسترسی کاربران

حملات DDoS می تواند یک وب سایت را با ترافیک بیش از حد غرق کند و دسترسی به سایت را برای کاربران دشوار یا حتی غیرممکن کند.

• عملکرد وب سایت کندتر

حتی اگر وب سایت عملیاتی باقی بماند، حملات DDoS می تواند زمان بارگذاری صفحه را به میزان قابل توجهی کاهش دهد و بر تجربه کاربر تأثیر منفی بگذارد.

• فشار بر عملکرد سرور

این حملات می تواند فشار بیش از حد بر منابع سرور وارد کند که منجر به مصرف بالای CPU و حافظه می شود که می تواند عملکرد سرور را بیشتر کاهش دهد.

• هزینه های مالی

پاسخ به حملات DDoS و بازگرداندن سرویس عادی می تواند هزینه های قابل توجهی را برای یک سازمان در پی داشته باشد. این هزینه‌ها ممکن است شامل هزینه‌های فنی مانند نیروی کار، تجهیزات و زیرساخت‌ها و همچنین از دست رفتن درآمد ناشی از توقف خدمات باشد.

معروف‌ترین حملات DDoS

مهم ترین حملات DDoS به شرح زیر است:

1. Google Attack (2020): این حمله به دلیل مقیاس بی‌سابقه‌ای شناخته می‌شود که اوج آن 2.54 ترابیت در ثانیه است که از چندین ارائه دهنده خدمات اینترنتی چینی (ISP) سرچشمه گرفته و هزاران آدرس IP گوگل را به مدت شش ماه هدف قرار داده است. روش اولیه مورد استفاده تقویت UDP بود.

2. آمازون AWS DDoS Attack (2020): در فوریه 2020، خدمات وب آمازون (AWS) با بزرگترین حمله DDoS در تاریخ مواجه شد. این حمله به حجم ترافیک 2.3 ترابیت بر ثانیه رسید و رکورد قبلی 1.7 ترابیت بر ثانیه را شکست.

3. حملات بات‌نت Mirai (2016): بات‌نت Mirai، متشکل از دستگاه‌های آلوده اینترنت اشیا (IoT)، در چندین حمله DDoS بزرگ در سال 2016 مورد استفاده قرار گرفت. این حملات سطوح ترافیکی تا 620 گیگابیت در ثانیه و 1.1 ترابیت در ثانیه ایجاد کردند.

4. Mirai Attack on Dyn (2016): یکی دیگر از حملات مهم بات نت Mirai Dyn را هدف قرار داد که ارائه دهنده خدمات DNS کلیدی است. این حمله باعث اختلال گسترده در دسترسی به اینترنت شد و خدماتی مانند نتفلیکس، پی پال و آمازون را تحت تاثیر قرار داد.

سوالات متداول

1. چگونه می توان از حملات DDoS جلوگیری کرد؟
در حالی که هیچ روشی برای جلوگیری کامل از حملات DDoS وجود ندارد، داشتن یک استراتژی خوب تعریف شده می تواند به طور قابل توجهی به کاهش موثر تهدیدات احتمالی کمک کند.

2. آیا یک مهاجم می تواند از انواع مختلف حملات DDoS استفاده کند؟
در واقع، یک مهاجم می تواند از هر سه دسته از حملات DDoS (حجمی، پروتکل و برنامه) برای ایجاد اختلال در یک سرویس استفاده کند.

3. پایگاه داده پاسخ DDoS هر چند وقت یکبار باید به روز شود؟
دفعات به روز رسانی این پایگاه داده به سازمان شما و ماهیت وب سایت شما بستگی دارد. با این حال، حداقل، این طرح باید سالانه بازنگری شود تا اطمینان حاصل شود که اطلاعات جاری و موثر در برابر هرگونه حمله ddos باقی می‌مانند.