حمله دیداس چیست؟ محافظت از سایت در مقابل حملات دیداس

حمله دیداس چیست؟ محافظت از سایت در مقابل حملات دیداس

در این مطلب در خدمت شماییم با مقاله حمله دیداس چیست؟ محافظت از سایت در مقابل حملات دیداس از وب سایت آموزش برنامه نویسی سورس باران. حمله دیداس یا DDoS که مخفف (distributed denial of service) می باشد به زبان ساده یعنی سرازیر کردن تقاضاهای زیاد به یک سرور و استفاده بیش از حد از منابع (پردازنده، پایگاه داده، پهنای باند، حافظه و…) به طوری که سرویس دهی عادی آن به کاربرانش دچار اختلال شده یا از دسترس خارج شود. در این نوع حمله ها در یک لحظه یا در طی یک زمان به صورت مداوم از طریق کامپیوترهای مختلف که ممکن است خواسته یا حتی ناخواسته مورد استفاده قرار گرفته باشند، به یک سرور (با آی پی مشخص) درخواست دریافت اطلاعات ارسال می شود و موجب از دسترس خارج شدن سرور یا به اصطلاح Down شدن سرور می شود.

حمله دیداس (DDOS) چیست؟

حمله دیداس چیست؟ حملات اختصاصی DDoS جدید نیستند؛ اما با این حال این نوع حملات هنوز هم دارای ساختار پیچیده‌ و در عین حال ساده‌ برای اجرا هستند.اگرچه چندین سال است که حملات اختصاصی DDoS استفاده می‌شوند؛ اما با این حال هنوز هم دارای ساختار پیچیده‌ هستند و در عین حال ساده‌ترین نوع حمله محسوب می‌شوند. سیستم‌هایی که حمله DDoS روی آن‌ها اجرا می‌شود، عواقب مخربی را متحمل می‌شوند که در ادامه به بررسی این حمله و عواقب آن می‌پردازیم. DDoS مخفف Distributed Denial of Service است؛ در این شیوه مهاجمان با در اختیار داشتن زنجیره‌ای از رایانه‌ها، حجم گسترده‌ای از تقاضاها را به سمت سرورهای مقصد روانه می‌کنند که در نهایت با اشغال تمامی ترافیک مربوط به سرورهای مورد نظر، موجب از کار افتادن سرویس‌دهی آن می‌شوند.

DDoS جزو رایج‌ترین حملاتی است که تاکنون روی وب‌سایت‌های شناخته‌شده‌ی دنیای فناوری اجرا شده است. عواقب این حملات بر درآمد میلیونی شرکت و حتی نام تجاری آن تأثیر می‌گذارند. می‌توان گفت بیشتر نفوذگرها به دنبال سرقت اطلاعات شخصی و حساب کاربری نیستند، برخی از این هکرها صرفا به دنبال از دسترس خارج کردن وب‌سایت‌های مهم هستند که در این صورت نیز شرکت مورد نظر ضرر بسیاری را متحمل می‌شود. این حملات همانند مزاحمت‌های خیابانی هستند؛ اگرچه اموال مردم را به سرقت نمی‌برند اما مزاحم کار و تفریح می‌شوند! حمله DDoS نیز از این ایده استفاده می‌کند و طرز کار آن بر اساس همین مزاحمت‌های خیابانی است.

حمله دیداس چیست؟

حمله دیداس چیست؟

هدف حمله‌‌ی دیداس، ایجاد مزاحمت در عملکرد معمولی‌ یک وب‌سایت خاص است؛ عملکرد دیداس همانند ویروس‌ها تصادفی نیست، هدف ویروس‌ها نه‌فقط یک کاربر، بلکه تمامی کاربران را در بر می‌گیرد؛ اما دیداس برنامه‌ریزی‌ و صرفا برای یک هدف خاص تنظیم می‌شود. در حالت کلی هدف دیداس از دسترس خارج کردن یک وب‌سایت خاص برای کاربران و بازدیدکنندگان روزانه‌ی آن است.

مراحل اجرا حمله دیداس (DDOS)

  1. وب‌سایت در حالت عادی است
  2. ترافیک نرمال است و کاربران به‌ راحتی می‌توانند به وب‌ سایت دسترسی داشته باشند
  3. در حالی که وب‌ سایت به کار خود ادامه‌ می‌دهد، هکر کدهای مخرب خود را برای اجرای حمله آماده می‌کند
  4. هکر با استفاده‌ از سیستم‌های متعدد که تحت عنوان بات‌نت شناخته می‌شوند، به روند دیداس(DDOS) تسریع می‌بخشد.
  5. در این مرحله هکر حمله‌ دیداس را با تخریب و دست‌ کاری ترافیک سرورِ وب‌ سایت اجرا می‌کند.

رایج ترین نوع حمله دیداس

رایج‌ترین روش برای اجرای حمله‌ دیداس، ارسال درخواست اطلاعات به‌طور سیل‌آسا برای سرور است. هدف از این کار، ایجاد یک موج عظیمی از ترافیک ساختگی (بیش از میزان ترافیکی که وب‌سرور قادر به تحمل و پردازش است) به‌منظور جلوگیری کاربر معمولی از دسترسی به وب‌سایت است؛ در نتیجه سرویس‌دهی به مشتریان این وب‌سایت متوقف می‌شود.

جهت درک بهتر موضوع، فروشگاهی را در نظر بگیرید که مملو از مشتریانی است که باعث ایجاد شلوغی و ایجاد مزاحمت برای خرید کردن مشتریان واقعی می‌شوند؛ درخواست‌های غیرواقعیِ حمله‌ دیداس نیز همانند این مشتریان است.

شاید برای شما جالب باشه که در کریسمس سال ۲۰۱۴، حمله‌‌ی دیداس به سرورهای ایکس‌ باکس لایو و شبکه‌ پلی‌ استیشن خبرساز شد. هزاران گیمرهای آنلاین از بازی کردن منع شدند و نتوانستند به بازی‌ خود ادامه دهند. تیم Lizard Squad این حمله‌‌ی دیداس را به عهده گرفت و حتی اعلام کرد که شش ماه پیش از این حمله نیز حملاتی به سرورهای پلی‌استیشن و بازی‌های World of Warcraft و League of Legendss اجرا کرده‌اند.

حمله دیداس

حمله دیداس

بر اساس گفته‌های کارشناسان امنیتی، این روزها حملات DDOS به سلاحی منتخب برای برخی هکرها تبدیل شده‌اند که دلیل آن در دسترس بودن تکنولوژی‌های به‌روز است. امروزه هکرها به‌راحتی می‌توانند شبکه‌ای از کامپیوترهای آلوده اجاره کنند؛ این شبکه که بات‌نت نامیده می‌شود، به‌منظور اجرای حملات سایبری استفاده می‌شود. (کامپیوترهای این شبکه، زامبی نام دارند). هکرها حتی می‌توانند از کامپیوترهای معمولی کاربران به‌عنوان زامبی برای ارسال درخواست‌هایی غیرواقعی به وب‌سایت هدف استفاده کنند، بدون اینکه خود کاربر از این کار اطلاع داشته باشد. یکی از روش‌های نفوذ به کامپیوترهای کاربران معمولی، درخواست دانلود فایل آلوده است؛ البته برای جلوگیری از این امر، پیشنهاد می‌شود آنتی‌ویروس خود را بروز نگه دارید و از دانلود فایل‌های ناشناخته خودداری کنید.

انوع حملات دیداس (DDOS)

حملات ترافیکی دیداس: در این نوع حمله‌ی DDoS حجم عظیمی از درخواست‌های TCP، UDP و ICPM به سمت سیستم هدف ارسال می‌شود. در این بین، برخی درخواست‌ها گم می‌شوند و برخی دیگر توسط بدافزار با موفقیت به کار گرفته می‌شوند.

حملات پهنای باند :‌ در این نوع از حمله، سیستم‌های زامبی حجم زیادی از اطلاعات بدون استفاده را به‌منظور اشغال پهنای باند ماشین قربانی به آن ارسال می‌کند. در نتیجه، هدف کاملا از کار می‌افتد و دسترسی آن به تمامی منابع قطع می‌شود

ابزارهای حمله دیداس (DDOS)

TRINOO در حمله دیداس

Trinoo به عنوان اولین ابزاری است که در حمله DDoS استفاده شده است.Trinoo یک ابزار تخلیه پهنای باند است و از ان برای ارسال سیل عظیمی‌از ترافیک UDP برروی یک یا چند IP استفاده می‌شود. معمولاً عامل‌های ترینو در سیستمی‌نصب می‌شود که دارای باگ Buffer overfollow باشند. Handler‌ها از UDP یا TCP برای ارتباط با agentها استفاده می‌کند لذا سیستم‌های کشف نفوذ می‌توانند تنها با بوکشیدن ترافیک UDP آنها را پیدا کنند.

TFN در حمله دیداس

در سال ۱۹۹۹ نوشته شده است و مانند TRINOO یک ابزاری است که برای تخلیه سازی پهنای باند و منابع سرویس قربانی استفاده می‌شود . این ابزار از یک واسط خط فرمان برای ارتباط بین مهاجم و برنامه اصلی کنترل استفاده می‌کند اما هیچ رمزنگاری میان عامل‌ها(Agents) و گرداننده‌ها (Handlers) و یا میان گرداننده‌ها (Handlers) و مهاجم (Attacker) ارائه نمی‌دهد. علاوه بر سیل UDP ترینو، TFN اجازه سیل ICMP و نیز حملات Smurf را می‌دهد. ارتباط بین گرداننده (handlers)و شیاطین(agents) با بسته‌های ICMP ECHO REPLY انجام می‌شود، که کشف آنها از بسته‌های UDP سخت تر بوده و اغلب می‌توانند از سیستم‌های دیوار آتش عبور کنند. TFN حملات DDoS را راه اندازی می‌کند که مخصوصاً سخت تلافی می‌شود چرا که می‌تواند چندین نوع از حملات را تولید کرده و می‌تواند بسته‌هایی با آدرس‌های IP مبدأ جعلی تولید کند و همچنین پورت‌های مقصد را به طور تصادفی نشان دهد.

Stacheldraht در حمله دیداس

(یک واژه آلمانی به معنای «سیم خاردار») بر پایه نسخه‌های اولیه TFN می‌باشد و تلاش می‌کند بعضی از نقاط ضعف آن را از بین ببرد. Stacheldraht ویژگی‌های Trinoo (معماری گرداننده/عامل) را با ویژگی‌های TFN اصلی ادغام می‌کند. Stacheldraht همچنین دارای توانایی انجام بروزرسانی در عامل‌ها به طور خودکار می‌باشد. یعنی مهاجم می‌تواند روی هر سرور ناشناخته فایل نصب کند و هنگامی‌که یک عامل روشن شد (یا به اینترنت وصل شد) عامل می‌تواند به طور خودکار بروزرسانی‌ها را پیدا کرده و آنها را نصب کند. Stacheldraht همچنین یک اتصال telnet امن توسط رمزنگاری کلید متقارن میان مهاجم سیستم‌های گرداننده برقرار می‌کند.

ارتباط از طریق بسته‌های TCP و ICMP ایجاد می‌گردد. بعضی از حملاتی که توسط Stacheldraht می‌توانند راه اندازی شوند شامل سیل UDP ، سیل درخواست ICMP echo و پخش هدایت شده ICMP می‌شود. شیاطین حمله برای Stacheldraht حملات Smurfوسیل UDP و سیل ICMP را انجام می‌دهند. نسخه‌های جدید برنامه امکانات بیشتر و اثرات مختلفی دارند.

همچنین از ابزارهای دیگری که می‌توانیم برای چگونه حمله دیداس بزنیم نام ببریم mstream ، shaft است.

محافظت از سایت در مقابل حملات دیداس

آسیب‌پذیری در مقابل این نوع حملات، بیشتر به امنیت سرور برمی‌گردد تا به امنیت سایت؛ برای تأمین امنیت سرور، راه‌حل‌های مختلفی وجود دارد که این مسئله به کانفیگ سی‌پنل و دایرکت ادمین بستگی دارد، موارد زیر در تأمین امنیت سرور تأثیر بسیاری دارند:

  • تأمین امنیت Kernel سیستم عامل
  • تأمین امنیت سرویس PHP
  • تأمین امنیت وب سرور نصب‌شده nginx ،apache ،litespeed و lighthttpd
  • تأمین امنیت پورت‌های بازِ سرور
  • تأمین امنیت اسکریپت‌های تحت Perl که در صورت باز بودن دسترسی خطرساز هستند
  • تأمین امنیت اسکریپت‌های تحت PHP
  • تأمین امنیت اسکریپت‌های تحت Python
  • ایمن‌سازی سرور برای عدم اجرای شل‌های مخرب رایج
  • نصب و کانفیگ حرفه‌ای آنتی‌ویروس برای اسکن خودکار سرور
  • نصب و کانفیگ حرفه‌ای آنتی شل برای اسکن خودکار سرور جهت جلوگیری از فعالیت شل‌ها و فایل‌های مخرب روی سرور
  • ایمن‌سازی symlink جهت عدم دسترسی به هاست‌های دیگری روی سرور
  • بستن دسترسی فایل‌های خطرناک سیستم عامل جهت امنیت بیشتر
  • بستن پورت‌ها و حذف سرویس‌های غیرضروری سرور
  • استفاه از آروان کلود
  • استفاده از کلود فلر

نکته پایانی : به عنوان فردی که تجربه 7 ساله با میزبان نت افراز داشتم، این شرکت هاستینگ برخلاف خیلی از هاستینگ های دیگر که دفع این حملات رو به عهده خود مشتری میذارن و حتما الزام میکنن که از CDN هایی نظیر آروان کلود و کلود فلر استفاده بشه، تدابیرخوبی رو داشه و با فعال کردن سیستم DDOS protection اختصاصی خود نت افراز بر روی دامنه های تحت پوشش خودش این حملات رو به راحتی دفع میکنه.