برسی کامل و دقیق حملات DOS , DDOS و چگونگی انجام و انواع این حملات

نویسنده : رادین خدادادی

چکیده : همانطور که در مقدمه گفتیم ، با گسترس روز افزون فناوری اطلاعات و وابستگی سازمان ها ، کسب کار ها و کاربران به اینترنت ، امنیت شبکه تبدیل به یکی از مهم ترین چالش های عصر تکنولوژی تبدیل شده. امروزه حجم زیادی از اطلاعات حساس و یا ارزشمند از طریق شبکه ها منتقل میشود که این موضوع توجه هکر ها و افراد سو استفاده گر جلب میشود . حملات سایبری میتواند منجر به سرقت اطلاعات، از بین رفتن و یا از دست دادن اطلاعات ، اختلال در خدمات ، خسارات مالی گسترده و کاهش اعتماد کاربران شوند. در سال های اخیر ، افزایش تعداد و پیچیدگی این حملات نشان داده است که تهدیدات سایبری تنها یک مشکل فنی نیستند ، بلکه میتوانند ، پیامد های اقتصادی ، اجتماعی ، و حتی امنیتی در سطح ملی و بین المللی داشته باشند.

در میان انواع مختلف حملات، حملات DOS و حملات DDOS از جمله تهدیدات مهمی هستند که با هدف از کار انداختن سرویس ها و ایجاد اختلال در دسترسی کاربران برای اهداف مشخص مانند دسترسی به اطلاعات انجام میشوند. این حملات با ارسال حجم بالایی از درخواست های غیرواقعی به سرور ها یا شبکه ها، منابع سیستم را اشغال کرده و مانع ارائه خدمات به کاربران میشوند. در حملات DDOS این فرایند از طریق تعداد زیادی سیستم آلوده توزیع شده در نقاط مختلف جهان انجام میشود که شناسایی و مقابله با آن دشوارتر میکند.

این مقاله با هدف بررسی اهمیت امنیت شبکه، معرفی تهدیدات سایبری و تحلیل حملات DOS و DDOS تهیه شده است. همچنین ، با ارائه نمونه های واقعی از حملات سایبری، تلاش شده است تا ابعاد علمی این تهدیدات و پیامد های آن برای سازمان ها و کاربران به طور دقیق مورد بررسی قرار گیرد. نتایج این مطالعه نشان می‌دهد که افزایش آگاهی، استفاده از راهکار امنیتی مناسب و به کارگیری سیاست های حفاظتی موثر، نقش مهمی در کاهش خطرات ناشی از حملات سایبری دارند.

1­­---  مقدمه

با گسترش روزافزون فناوری اطلاعات و پیشرفت کردن علم بشریت همینطور وابستگی سازمان‌ها، کسب‌وکارها و حتی نیازمندی کاربران عادی به اینترنت، امنیت شبکه به یکی از مهم‌ترین و حیاتی‌ترین موضوعات در دنیای تکنلوژی تبدیل شده است. امروزه بسیاری از خدمات اساسی مانند بانکداری الکترونیکی، فروشگاه‌های آنلاین، سامانه‌های آموزشی، خدمات دولتی، فناوری های ارتباطی و ارتباطات سازمانی بر بستر شبکه و اینترنت ارائه می‌شوند. در چنین شرایطی، هرگونه اختلال، نفوذ یا سوءاستفاده از این زیرساخت‌ها می‌تواند خسارات گسترده مالی، اعتباری و حتی اجتماعی به همراه داشته باشد علاوه بر این میتواند باعث از دست رفتن دیتا های ما شود. به همین دلیل، حفظ امنیت شبکه نه‌تنها یک موضوع فنی ، بلکه یک ضرورت بسیار مهم برای تداوم فعالیت‌های دیجیتال ، محافظت و نگهداری از دیتا و اعتماد کاربران محسوب می‌شود .

در کنار اهمیت امنیت، تهدیدات سایبری نیز به همان میزان در حال رشد و پیچیده‌تر شدن هستند ، زیرا همانطور که به صورت روز افزون افراد دیتا های جدید وارد بستر های مختلف میکنند افرادی هم پیدا میشوند که میخواهند به این اطلاعات دسترسی پیدا بکنند و یا در بستر ها اختلال ایجاد بکنند تا به اهداف خود برسند. حملات سایبری می‌توانند اهداف مختلفی داشته باشند؛ از سرقت اطلاعات محرمانه و داده‌های کاربران گرفته تا ایجاد اختلال در عملکرد سیستم‌ها و از کار انداختن خدمات آنلاین. چنین حملاتی ممکن است باعث توقف فعالیت یک سازمان، از دست رفتن اطلاعات مهم، کاهش اعتماد مشتریان و تحمیل هزینه‌های سنگین برای بازیابی سیستم‌ها و یا اطلاعات شوند. در برخی موارد، حتی چند دقیقه از کار افتادن یک سرویس اینترنتی می‌تواند زیان مالی قابل توجهی به همراه داشته باشد. بنابراین، شناخت انواع تهدیدات سایبری و آگاهی از نحوه عملکرد آن‌ها و آماده بودن تحت هر شرایطی برای بدترین شرایط، نقش مهمی در پیشگیری و کاهش آسیب‌های احتمالی دارد.

یکی از رایج‌ترین و مهم‌ترین انواع حملات سایبری که در این مقاله به آن میپردازیم، حملات DoS (Denial of Service)  و DDoS (Distributed Denial of Service)  هستند. هدف اصلی این حملات، خارج کردن یک سرویس، سرور یا وب‌سایت از دسترس کاربران واقعی است. در حمله DoS، مهاجم با ارسال حجم زیادی از درخواست‌ها یا ترافیک غیرعادی به یک سیستم، منابع آن را مصرف کرده و باعث کندی شدید یا توقف کامل سرویس می‌شود. در نوع پیشرفته‌تر آن، یعنی DDoS، این حمله به‌صورت توزیع‌شده و از طریق تعداد زیادی سیستم آلوده که معمولاً به آن‌ها Botnet گفته می‌شود انجام می‌گیرد. به دلیل حجم بالای ترافیک و پراکندگی منابع حمله، شناسایی و مقابله با حملات DDoS دشوارتر و پیچیده‌تر است.

هدف این مقاله بررسی و آشنایی با مفهوم حملات DoS و DDoS، نحوه عملکرد آن‌ها، انواع روش‌های اجرای این حملات و تأثیرات آن‌ها بر سرویس‌ها و سازمان‌ها است. همچنین در این مقاله تلاش شده

است تا راهکارهای کلی برای پیشگیری و مقابله با این نوع تهدیدات مورد بررسی قرار گیرد. آشنایی با این مفاهیم می‌تواند به افزایش آگاهی در حوزه امنیت شبکه کمک کرده و اهمیت استفاده از تدابیر حفاظتی مناسب را برای حفظ پایداری و دسترس‌پذیری خدمات شبکه نشان دهد.

2­­--- DOS حملات

هدف اصلی یک حمله DOS پر کردن یا اشباع کردن ظرفیت یا سرور هدف است و به گونه ای که دیگر قادر به پاسخگویی به درخواست های جدید نباشد . اجرای این حمله را میتوان بر اساس عملکر آن دسته بندی کرد .

امروزه به طور کلی حملات DOS در دو دسته کلی قرار میگیرند :

1_ حملات Buffer Overflow

در این نوع حمله سرریز شدن حافظه باعث میشود که تمام فضای دیسک ، حافظه (RAM) یا توان پردازش (CPU) سیستم مصرف شود . این وضعیت معمولا منجر به کند شدن سیستم ها ، از کار افتادن یا به اصطلاح کرش (CRASH) یا بروز اختلالات جدی در عملکرد سرور میشود و در نهایت باعث عدم ارائه سرویس به کاربران خواهد شد.

به عنوان مثال حمله Code Red که یک کرم اینترنتی به حساب می آمد و در سال  2001 که برخی از سرور ها به دلیل اسیب پذیری های نرم افزاری در برابر حملات بافر آسیب پذیر بودند ، انجام میشد.

2_ حملات Flood Attacks

در این روش مهاجم با ارسال تعداد بسیار زیادی از بسته های داده (Packets) به سمت سرور هدف، ظرفیت آن را پر میکند و در نتیجه سرور دیگر قادر به پردازش درخواست های عادی نخواهد بود و سرویس دهی متوقف میشود. برای موفقیت در بسیاری از حملات سیلابی DOS  مهاجم باید پهنای باند بیشتری نسبت به سیستم هدف در اختیار داشته باشد.

به عنوان مثال حمله به GitHub در ساال 2018  که این حمله یکی از بزرگترین حمله ثبت شده  DOS تاریخ بود که با ابزار Memcached Amplification انجام شد ، در نتیجه این حمله حجم ترافیکی حمله به حدود 1.3 ترابایت بر ثانیه رسید . سایت GitHub برای چند دقیقه از دسترسی خارج شدند اما سیستم های محافظتی توانستند سریع حمله را کنترل بکنند. این نمونه نشان میدهد که Flood Attack میتواند در مدت کوتاهی حجم بسیار حجیمی از ترافیک ایجاد کند.

در گذشته حملات DOS  به این صورت ها انجام میشده :

1_ حمله  Smurf

در این نوع حمله مهاجم با ارسال بسته های جعلی (Spoofed)  به آدرس پخش (Broadcast) یک شبکه آسیب پذیر، باعث میشود حجم زیادی از پاسخ ها به سمت یک آدرس IP هدف ارسال شود و آن را با ترافیک پر کند.

به عنوان مثال در دهه 1990 حملات اسمورف بسیار رایج بودنند . در این روش مهاجم بسته های ICMP جعلی به آدرس Broadcast یک شبکه ارسال میکرد و همه دستگاه های آن شبکه به آن آیپی پاسخ میدادند و قربانی میشدند که در نتیجه باعث ایجاد ترافیک بسیار زیاد روی سیستم ها شد و یا حتی سرور یا شبکه را از کار انداخت.

البته که امروزه بیشتر شبکه ها برای جلوگیری از این نوع حمله تنظیم شده اند ، بنابرین این نوع حمله کمتر دیده میشود .

2_ حمله Ping Flood

این حمله ساده بر اساس ارسال تعداد بسیار زیادی از بسته های ICMP (پینگ) به سمت هدف انجام میشود. اگر تعداد درخواست ها بیشتر از توان پاسخگویی سیستم باشد ، سرویس از دسترس خارج خواهد شد . این روش در DDOS  هم میتواند مورد استفاده قرار بگیرد.

3_ حمله Ping of Death

این حمله شامل ارسال یک بسته داده معیوب یا غیر مجاز به سیستم هدف است که میتواند باعث رفتار های مخرب مانند از کار افتادن سیستم ها یا کرش شدن آن شود.

برای مثال در سال های قدیمی تر ( اواخر دهه 1990 ) برخی سیستم عامل ها مانند نسخه های اولیه  Windows و Linux  در برابر این حمله آسیب پذیر بودنند. با ارسال یک بسته ICMP بزرگتر از حد مجاز سیستم دچار خطا میشد و در برخی موارد حتی کرش میکرد.

امروزه این آسیب در اکثر سیستم ها برطرف شده و دیگر این حمله دیده نمیشود.

چگونه میتوان تشخیص داد که یک رایانه تحت حمله DOS قرار گرفته است ؟

اگرچه تشخیص تفاوت بین یک حمله DOS و سایر مشکلات مربوط به اتصال شبکه یا مصرف بالای منابع ممکن است دشوار باشد . اما برخی نشانه ها میتوانند بیانگر وقوع یک حمله باشند.

نشانه های حمله عبارتند از :

·         کاهش غیر عادی سرعت شبکه ، مثل طولنی شدن زمان بارگذاری فایل ها یا وب سایت ها.

·         عدم امکان دسترسی به یک وب سایت خاص ، مانند وب سایت یا سرویس مورد استفاده شما.

·         قطع ناگهانی اتصال اینترنت در چندین دستگاه که به یک شبکه متصل هستند.

2­­--- DDOS حملات

 Distributed Denial of Serviceیا DDoS یک اقدام مخرب یا به اصطلاح حمله سایبری است که با هدف مختل کردن ترافیک عادی یک سرور ، سرویس یا شبکه انجام میشود. این حمله با ارسال حجم عظیمی از ترافیک اینترنت به سمت هدف یا زیر ساخت های مرتبط با آن باعث اشباع منابع و از کار افتادن سرویس میشود.

حملات DDOS با استفاده از تعداد زیادی سیستم آلوده و تحت کنترل مهاجم موثر واقع میشوند . این سیستم ها میتوانند شامل رایانه ها یا سایر دستگاه های متصل به شبکه مانند تجهیزات اینترنت اشیا باشند.

به طور کلی ، میتوان حملات DDOS را به یک ترافیک سنگین و ناگهانی در یک بزرگراه تشبیه کرد که باعث مسدود شدن مسیر و جلوگیری از رسیدن خودرو های عادی به مقصد میشود.

حمله DDOS  چگونه عمل میکند ؟

حمله DDOS از طریق شبکه‌ای که از دستگاه های متصل به اینترنت است انجام میشوند.

این شبکه ها شامل رایانه ها و دستگاه های مختلفی هستند که بد افزار ها آلوده شده اند و به مهاجم اجازه میدهند که آنها را از راه دور کنترل بکند . به هر یک از این دستگاه Bot یا Zombie گفته میشود و مجموعه ای آنها یک Botnet تشکیل میدهند.

پس از ایجاد یک Botnet  مهاجم میتواند دستورات از راه دور ، همه دستگاه ها را برای انجام حمله هدایت کند.

زمانی که سرور یا شبکه هدف توسط Botnet مورد حمله قرار میگیرد هر یک از Bot ها درخواست هایی را به آدرس IP  هدف ارسال میکنند این حجم بالای درخواست باعث میشود سرور یا شبکه تحت فشار قرار گرفته و قادر به پاسخگویی به کاربران عادی نباشد ، که در نهایت منجر به عدم ارائه سرویس میشود.

از آنجا که هر Bot یک دستگاه واقعی و معتبر در اینترنت است، تشخصیص ترافیک مخرب از ترافیک عادی دشوار خواهد بود.

چگونه میتوان حمله DDOS را شناسایی کرد ؟

واضح ترین و آشکار ترین نشانه حمله DDOS این است که یک وب سایت یا سرویس به طور ناگهانی کند شود و یا از دسترس خارج شود. با این حال از آنجا که عوامل دیگری مانند افزایش مصرف هم میتواند همچین مشکلی ایجاد کند معمولا بررسی های دقیق تری لازم است.

ابزار های تحلیل ترافیک شبکه میتواندد برخی از موارد زیر را مشخص بکنند :

·         حجم غیرعادی از ترافیک که از یک آدرس IP خاص یا یک محدوده IP ارسال میشود

·         حجم بالای کاربران که رفتار مشابهی دارند ، مانند نوع دستگاه یا موقعیت جغرافیایی یا نسخه مرورگر یکسان

·         افزایش ناگهانی و غیر قابل توضیح درخواست ها به یم صفحه یا یک بخش از وبسایت

·         الگو های غیر عادی ترافیک مانند افزایش ناگهانی در ساعات غیرمعمول یا الگو های تکرار شونده غیر طبیعی ( مثلا بالا رفتن ترافیک زمانی که ساعت کاری نیست یا افزایش ترافیک در فواصل زمانی منظم)

علاوه بر این موارد نشانه های دیگری هم ممکن است وجود داشته باشد که بسته به نوع حمله  DDOS متفاوت است.

انواع حملات رایج DDOS

انواع مختلف حملات DDOS بخش های متفاوتی از یک ارتباط شبکه را هدف قرار میدهند. برای درک نحوه عملکرد این حملات، ابتدا باید بدانیم ارتباط شبکه چگونه برقرار می شود.

یک ارتباط شبکه در اینترنت از اجزای مختلفی تشکیل شده است که به آن ها لایه گفته میشود. همانند ساخت یک ساختمان از پایه، هر لایه در این مدل وظیفه خاصی دارد.

مدل OSI یک چارچوب مفهومی است که ارتباط شبکه را در 7 لایه توصیف می‌کند:

·         لایه کاربرد (Application)

·         لایه ارائه (Presentation)

·         لایه نشست (Session)

·         لایه انتقال (Transport)

·         لایه شبکه (Network)

·         لایه پیوند داده (Data Link)

·         لایه فیزیکی (Physical)

اگرچه تقریبا تمام حملات DDoS با ایجاد حجم زیادی از ترافیک باعث اختلال در عملکرد سیتستم یا شبکه هدف میشوند، اما این حملات به طور کلی در سه دسته اصلی تقسیم میشوند که جلوتر توضیح میدهیم. مهاجم ممکن است از یک یا چند روش مختلف به طور همزمان استفاده کند یا در واکنش به اقدامات دفاعی، روش حمله را تغییر دهد.

1_ حملات لایه کاربرد (Application Layer Attacks)

هدف حمله : این نوع حملات که به آن‌ها حملات لایه 7 نیز گفته می‌شود، با هدف مصرف منابع سیستم و ایجاد عدم ارائه سرویس انجام می‌شوند. در این حملات، لایه‌ای هدف قرار می‌گیرد که در آن صفحات وب روی سرور تولید شده و در پاسخ به درخواست‌های HTTP برای کاربران ارسال می‌شوند. اجرای یک درخواستHTTP  برای کاربر بسیار ساده و کم‌هزینه است، اما پاسخ دادن به آن برای سرور می‌تواند پرهزینه باشد، زیرا معمولاً سرور باید : چندین فایل را بارگذاری کند، درخواست‌هایی به پایگاه داده ارسال کند و صفحه نهایی را تولید کند و...

به همین دلیل حملات لایه 7 میتواند به سرعت منابع سرور را مصرف کند.

یکی از چالش های این نوع حملات این است که تشخیص ترافیک مخرب را از ترافیک واقعی کاربران دشوار است و همین مسئله این حمله را خطرناک میکند.

مثال : حمله HTTP Flood

در این نوع حمله تعداد زیادی درخواست HTTP توسط سیستم های مختلف (Bots) به سرور ارسال میشود

این وضعیت شبیه حالتی است که تعداد زیادی کاربر به طور همزمان و مکرر دکمه refresh مرورگر را فشار دهند. در نتیجه حجم بالایی از درخواست ها به سرور ارسال شده و سرویس از دسترس خارج میشود.

این حمله میتواند ساده باشد ارسال درخواست به URL مشخص از محدوده محدودی از IP ها . یا پیچیده باشد مثل استفاده از تعداد زیادی IP های مختلف آدرس های تصادفی و یوزر های متفاوت و...

2_ حملات پروتکلی (Protocol Attacks)

هدف حمله : این حملات که به آن حملات مصرف وضعیت (State Exhaustion) نیز گفته میشود، با مصرف بیش از حد منابع سرور یا تجهزیات شبکه مانند فایروال ها باعث اختلال در ارائه سرویس ها می‌شوند.

این نوع حملات از ضعف های موجود در لایه های 3 و 4 مدل OSI استفاده میکنند.

مثال : حمله SYN Flood

برای درک بهتر، این حمله را می‌توان به یک کارمند انبار تشبیه کرد که درخواست‌های زیادی دریافت می‌کند.

در این حمله مهاجم تعداد زیادی درخواست اتصال TCP با آدرس های IP جعلی ارسال میکند. سرور به هر درخواست پاسخ داده و منتظر مرحله نهایی برقراری ارتباط می‌ماند. اما این مرحله هرگز صورت نمیگیرد در نتیجه : منابع سرور اشغال میشود ، سرور تحت فشار قرار گرفته و در آخر دیگر قادر به پاسخگویی به کاربران واقعی نخواهد بود.

3_ حملات حجمی (Volumetric Attacks)

هدف حمله : در این دسته از حملات، مهاجم تلاش می‌کند با مصرف تمام پهنای باند موجود بین هدف و اینترنت، باعث ایجاد ازدحام و اختلال در ارتباط شود. این کار معمولا از طریق ارسال حجم بسیار زیادی از داده ، استفاده از Botnet و.... انجام میشود.

مثال : DNS Amplification

در این روش مهاجم درخواست کوچکی به یک سرور DNS باز ارسال میکند. اما آدرس قربانی را به صورت جعلی قرار میدهد ، در نتیجه سرور پاسخ بزرگی به آدرس قربانیان ارسال میکند.

این فرآیند شبیه حالتی است که فردی با یک تماس کوتاه از رستوران بخواهد «همه غذاها» را سفارش دهد و شماره تماس شخص دیگری را برای دریافت پاسخ اعلام کند. در نتیجه، بدون تلاش زیاد، حجم زیادی از داده به سمت قربانی ارسال می‌شود.

روش های مقابله با حملات DDoS

1_ Blackhole Routing

یکی از ساده ترین روش هایی که تقریبا برای همه مدیران در دسترس است ، ایجاد یک مسیر سیاه‌چاله  (Blackhole) و هدایت تمام ترافیک به آن مسیر است. در ساده‌ترین حالت، زمانی که این روش بدون فیلتر دقیق اجرا شود، هم ترافیک عادی و هم ترافیک مخرب به یک مسیر خنثی هدایت شده و از شبکه حذف می‌شوند.

2_ محدود سازی نرخ درخواست (Rate Limiting)

در این روش، تعداد درخواست‌هایی که یک سرور در یک بازه زمانی مشخص می‌پذیرد، محدود می‌شود.  این روش میتواند شدت حمله را کاهش دهد اما به تنهایی برای مقابله با DDoS کافی نیست.

3­­--- نتیجه‌گیری :

با توجه به رشد سریع فناوری های ارتباطی و گسترش استفاده اینترنت در تمام جنبه های زندگی، امنیت شبکه به یکی از ارکان اساسی در حفظ پایداری و اعتماد در فضای دیجیتال تبدیل شده است.

اطلاعات شخصی کاربران ، داده های سازمانی ، خدمات آنلاین و زیر ساخت‌های حیاتی همگانی به شبکه‌ها وابسته هستند و هرگونه اختلال یا نفوذ میتواند پیامد های گسترده و جبران ناپذیری به همراه داشته باشد. افزایش تعداد و پیچدگی و حملات سایبری در سال های اخیر نشان می‌دهد که تهدیدات امنیتی به طور مداون در حال تکامل هستند و نیازمند توجه و آمادگی مستمر می‌باشند .

در این میان، حملات  DOS و DDOS به عنوان یکی از مهم ترین تهدیدات علیه دسترس پذیری سرویس ها و یا حملات سایبری شناخته میشوند. این حملات میتواند با مصرف منابع سیستم و ایجاد ترافیک غیرعادی، عملکرد سرور ها و شبکه ها را مختل کرده و باعث از دسترس خارج شدن خدمات شوند. نمونه های واقعی از این حملات نشان داده اند که حتی سازمان و شرکت های بزرگ نیز در برابر چنین تهدیداتی آسیب پذیر هستند و خسارات ناشی از آن ها میتواند شامل زیان های مالی ، کاهش اعتبار و نارضایتی کاربران باشد.

بررسی سایر انواع حملات سایبری از جمله بدافزارها، فشینگ ، حملات تزریق کد و شنود اطلاعات نیز نشان می‌دهد که تهدیدات امنیتی تنها به یک بخش یا حوزه محدود نمی‌شوند، بلکه تمامی لایه‌های سیستم اطلاعاتی را در بر می‌گیرند. این موضوع اهمیت استفاده از یک رویکرد جامع در امنیت شبکه را برجسته میکند. رویکردی که شامل استفاده از ابزار های امنیتی، بروزرسانی مستمر سیسیتم ها، آموزش کاربران و اجرای سیاست های کنترلی مناسب باشد.

در نهایت می‌توان نتیجه گرفت که امنیت شبکه یک فرآیند مداوم و پویا است و نمی‌توان آن را به افدامات مقطی محدود کرد. افزایش آگاهی کاربران، سرمایه گذاری در زیرساخت های امنیتی، استفاده از فناوری‌های تشخیص و مقابله با حملات و تدوین برنامه های مدیریت شرایط وخیم از جمله اقدامات و عمل هایی هستند که میتواند نقش بسیار بسزایی در کاهش خطرات حملات سایبری ایجاد بکند. با توجه به روند رشد روزمره تهدیدات در فضای مجازی ، توجه جدی به امنیت شبکه نه تنها یک ضرورت فنی بلکه یک نیاز اساسی برای حفظ اطلاعات در دنیای دیجیتال محسوب میشود

4­­--- مراجع  

·         Cloudflare/dos attacks

·         Cloudflare/famous attacks

·         Cloudflare/attack tools

·         Cloudflare/DDoS attacks

·         Cloudflare/How to prevent DDoS attacks