حمله DDoS امروزه به یکی از رایج ترین تهدیدها در فضای مجازی تبدیل شده است. این حمله زمانی رخ می دهد که ترافیک و پهنای باند غیر واقعی روی وب سایت ایجاد شود و امنیت وب سایت را از بین می برد. برای درک بهتر حمله DDoS ابتدا نیاز هست که تعریف و تفاوت با حمله DoS را بدانیم.
حمله DoS
حمله Dos (Denial of Service) زمانی رخ می دهد که هکر با ارسال درخواست های زیاد به سرور باعث کندی سرور می شود. به دلیل ایجاد حجم بالایی از پردازش باعث ایجاد اختلال در عملکرد سرور می شود و حتی ممکن است به قطع کامل سرویس منجر شود.
حمله DoS به دو روش اتفاق می افتد:
- ارسال اطلاعات به بخش های آسیب پذیر سیستم مثل لایه های آسیب پذیر در پروتکل هایی TCP/ IP
- استفاده از ترافیک های غیر واقعی برای گرفتن منابعی که برای ترافیک های معتبر تعریف شده است.
نکته: با برطرف کردن نقاط ضعف حالت اول می توان در برابر حمله مقاومت کرد ولی در مورد نوع دوم به سادگی امکان پذیر نمی باشد.
هنگامی که هکر از چندین منبع و سیستم مختلف در ایجاد ترافیک حمله استفاده کند، آن حمله به DDoS معروف می شود. تفاوت میان حمله DoS و DDoS در تعداد منبع و سیستم های ایجاد ترافیک حمله است. در حمله DDoS هکرها به اسم زامبی هم بیان می شوند. زامبی ها حملات گسترده ای برای تخلیه منابع قربانی انجام می دهند.
مکانیسم دفاعی در برابر حمله های DDoS
مکانیسم دفاعی در برابر حمله های DDoS به طور کلی به چهار دسته تقسیم می شوند:
- پیشگیری از حمله
- تشخیص حمله
- شناسایی منبع حمله
- واکنش به حمله
پیشگیری از حمله
هدف اصلی پیشگیری از حمله، متوقف کردن حملات قبل از آسیب رساندن می باشد. این فرایند با اعمال فیلتر های خاص بر روی روترها که اجازه عبور به ترافیک های معتبر را می دهند، آغاز می شود. مکانیسم پیشگری از حمله خود به چهار بخش تقسیم می شود:
- فیلتر ورود و خروج: اجازه ورود و خروج ترافیک در شبکه باداشتن رنج IPتعریف شده. فیلتر ورودی ترافیک وارد شده به سرور را کنترل می کند و فیلتر خروجی ترافیک خارج شده از سرور را تحت نظر می گیرد.
- فیلتر کردن ترافیک بر روی روتر: این فیلتر کدهای موجود بر روی ترافیک های ارسالی از طرف روتر ها را بررسی می کند. در صورت داشتن کدهای معتبر اجازه ورود به ترافیک ها را می هد.
- اعتبارسنجی آدرس منبع ترافیک: روترهای واسط به ترافیک های که آدرس منبع معتبر دارند اجازه عبور می دهند.
- فیلتر تعداد بسته های هاپ: در این روش روترها جدولی از کابران معتبر و تعداد هاپ آنها درست می کنند. اگر بسته ای در این رنج نباشد اجازه عبور ندارد.
تشخیص حمله
در تشخیص حمله، سیستم و ترافیک را زیر نظر می گیرند که به دو دسته تقسیم می شود: با ریسک بالا و با ریسک پایین. حمله با ریسک بالا باعث قطع سرویس و خدمات به کاربر می شود در حالیکه حمله با ریسک پایین باعث از دست دادن کاربران به صورت دوره ای یا مرحله می شود.
شناسایی منبع حمله
شناسایی منبع حمله با هدف ردیابی منبع حمله صورت می گیرد. پیگیری و بررسی IP های جعلی باعث شناسایی منبع حمله می شود. با توجه به مشخص بودن دامنه IP های روترها، امکان شناسایی منبع حمله میسر می گردد. هر روتر بعد از عبور ترافیک یا دیتا تغییرات خاصی بر روی آنها اعمال می کند که این کدها و تغییرات امکان پیگیری منبع ارسال کننده ترافیک جعلی را آسان می کند.
واکنش به حمله
واکنش به حمله به مجموعه فعالیت های که بعد از تشخیص حمله انجام می گیرد، گفته می شود. که این واکنش ها ممکن است به صورت فیلتر و یا به صورت مسدود کردن انجام گیرد. مکانیسم فیلتر کردن براساس مشخص کردن ترافیک مخرب انجام می شود. مکانیسم فیلتر کردن زمانی اجرا می شود که انکان شناسایی منبع دقیق حمله وجود ندارد. در حالیکه در مکانیسم مسدود کردن منبع حمله بطور دقیق شناسایی شده است.