فاکتورهای گزارش حملات به سایت

فاکتورهای گزارش حملات به سایت

1. لاگ‌های سرور:

بررسی لاگ‌های سرور، به خصوص لاگ‌های مربوط به ترافیک و درخواست‌های وب، می‌تواند اطلاعاتی ارائه دهد که کمک به شناسایی حملات ترافیکی کند. مانند آدرس‌های IP مشترک درخواست‌ها، نوع درخواست‌ها (GET، POST و غیره که در ادامه به آن اشاره می شود) و احتمالاً پارامترهای مشکوک.

علاوه بر POST و GET، در لاگ‌های سرور ممکن است روش‌های دیگری از HTTP نیز وجود داشته باشند که اطلاعات مفیدی را برای شناسایی حملات ترافیکی ارائه می‌دهند:

1. PUT: این روش برای به‌روزرسانی یا ایجاد منبع جدید در سرور استفاده می‌شود. درخواست‌های PUT ناگهانی یا ناخواسته می‌توانند نشان‌دهنده تلاش‌های بدانهایی باشند که قصد دارند به صورت مخرب داده‌های سرور را تغییر دهند.

2. DELETE: این روش برای حذف منبع در سرور استفاده می‌شود. درخواست‌های DELETE غیرمعمول ممکن است مشکوک باشند و نشان‌دهنده تلاش‌های برای حذف داده‌ها یا منابع بدون اجازه باشند.

3. HEAD: این روش مشابه GET است، اما فقط سرآیندهای منبع را بدون محتوای واقعی بازیابی می‌کند. درخواست‌های HEAD می‌توانند برای بررسی و جمع‌آوری اطلاعات درباره سرور و منابع آن توسط مهاجمان استفاده شوند.

4. OPTIONS: این روش برای دریافت گزینه‌های ارتباطی برای منبع مقصد استفاده می‌شود. تعداد غیرمعمولی از درخواست‌های OPTIONS ممکن است نشان‌دهنده تلاش‌های برای اسکن و آزمون آسیب‌پذیری‌های سرور باشد.

5. TRACE: این روش برای دریافت ردیابی تشخیصی مسیر ارتباطی منبع استفاده می‌شود. درخواست‌های TRACE ممکن است اطلاعات حساس را بیرون بریزند و به طور کلی باید غیرفعال باشند.

6. PATCH: این روش برای اعمال اصلاحات جزئی به منبع استفاده می‌شود. درخواست‌های PATCH غیرمعمول ممکن است نشان‌دهنده تلاش‌های برای بهره‌برداری از آسیب‌پذیری‌ها و ایجاد تغییرات نامناسب در منابع باشند.

7. CONNECT: این روش برای تبدیل اتصال درخواست به یک تونل TCP/IP شفاف استفاده می‌شود. درخواست‌های CONNECT ممکن است در حملات مبتنی بر پراکسی یا تلاش‌های برای دور زدن اقدامات امنیتی استفاده شوند.

تحلیل لاگ‌های سرور برای این روش‌ها به‌همراه سایر اطلاعات مرتبط مانند عوامل کاربری (User Agents)، ریفررها و کدهای پاسخ (Response Codes) می‌تواند به شناسایی الگوهای ترافیک مشکوک و حملات پتانسیلی به وبسایت شما کمک کند.

2. ابزارهای مانیتورینگ شبکه:

از ابزارهای مانیتورینگ شبکه مانند Nmap، Wireshark و Snort برای بررسی ترافیک و شناسایی الگوها و نشانگرهایی که بر روی حملات اشتباهات DDoS اشاره می‌کنند، استفاده کنید.

معرفی

ابزار مانیتورینگ شبکه

توضیح کارکرد

Nmap

اسکن پورت‌ها و شناسایی دستگاه‌ها و سرویس‌ها در شبکه.

Wireshark

آنالیز و نمایش ترافیک شبکه برای شناسایی پکت‌ها و پروتکل‌های استفاده‌شده.

Snort

شناسایی و اعلام تهدیدها و حملات با تحلیل بسته‌های داده در شبکه.

tcpdump

اسکن و ضبط ترافیک شبکه به صورت پکت‌ها و نمایش جزئیات ارتباطات.

Zabbix

مانیتورینگ عملکرد شبکه و سرویس‌ها، ایجاد اعلان‌ها و مدیریت وضعیت‌های مختلف.

Nagios

مانیتورینگ سرورها و تجهیزات شبکه و ارسال هشدارها در صورت خطاها و اشکالات.

Cacti

نمایش گراف‌ها و آمار مربوط به پهنای باند، ترافیک و عملکرد دستگاه‌ها.

PRTG Network Monitor

مانیتورینگ شبکه و دستگاه‌ها به صورت لحظه‌ای و ارسال اطلاعات و هشدارها.

SolarWinds Network Performance Monitor

مانیتورینگ و آنالیز عملکرد شبکه، تجهیزات و اجزای آن با گزارش‌دهی دقیق.

Nagios XI

نسخه پیشرفته‌تر Nagios برای مانیتورینگ و ایجاد اعلان‌ها با ویژگی‌های جدید.

Zabbix

مانیتورینگ عملکرد شبکه و سرویس‌ها، ایجاد اعلان‌ها و مدیریت وضعیت‌های مختلف.

Cacti

نمایش گراف‌ها و آمار مربوط به پهنای باند، ترافیک و عملکرد دستگاه‌ها.

Grafana

نمایش گرافیکی و داشبوردهای مختلف برای مانیتورینگ عملکرد شبکه و سرویس‌ها.

ManageEngine OpManager

مانیتورینگ عملکرد شبکه، اجزا و سرویس‌ها با ارسال هشدارها در صورت اشکال.

Zed Attack Proxy (ZAP)

ابزار امنیتی برای تست نفوذ و آزمون امنیت وب‌اپلیکیشن‌ها و وب‌سرویس‌ها.

ntopng

مانیتورینگ ترافیک شبکه و آمار راه‌اندازی شده بر اساس پروتکل‌ها و آدرس‌ها.

OpenNMS

مانیتورینگ عملکرد شبکه و سرویس‌ها با امکانات گسترده‌تر و انعطاف‌پذیرتر.

3. آمار ترافیک:

مشاهده آمار ترافیک سایت به صورت روزانه، هفتگی و ماهانه می‌تواند تغییرات ناگهانی و ناشی از حملات را نشان دهد.

آمار ترافیک سایت "تاریخچه" به صورت روزانه، هفتگی و ماهانه می‌تواند اطلاعات مفیدی درباره وضعیت ترافیک وب‌سایت فراهم کند. به عنوان مثال، فرض کنید که وب‌سایت شما که محتوای آن بازدیدکنندگان زیادی جلب می‌کند. اگر شما در ماه فروردین دیده شود که ترافیک سایت شما ناگهان کاهش یافته است و بازدیدکنندگان به طور چشمگیری کمتر شده‌اند، این می‌تواند یک نشانه‌ی احتمالی برای وقوع حمله یا مشکل فنی باشد.

همچنین، اگر در روز یا هفته‌ای خاص ترافیک سایت به طور ناگهانی و بی‌دلیل افزایش یابد و تعداد درخواست‌ها به طور غیرمعمول افزایش یابد، ممکن است این یک نشانه‌ی حمله ترافیکی DDoS باشد. حملات DDoS معمولاً باعث افزایش چشمگیر تعداد درخواست‌ها به سرور می‌شوند و باعث کاهش کارایی سایت و حتی از دست دادن دسترسی کاربران به سایت می‌شوند.

با نظارت دقیق بر آمار ترافیک وب‌سایت خود، می‌توانید تغییرات ناگهانی را تشخیص داده و در صورت نیاز اقدامات اصلاحی را انجام دهید. مثلاً در صورت شناسایی حمله DDoS، می‌توانید از فایروال‌ها یا سرویس‌های CDN استفاده کنید تا ترافیک غیرمعمول را به کارآمدترین منابع هدایت کنید و از سایت خود محافظت کنید.

4. مانیتورینگ سیستم‌ها:

بررسی عملکرد سیستم‌ها و سرورها می‌تواند نشان‌دهنده تغییرات غیرمعمولی باشد که ممکن است ناشی از حملات باشد.

در مورد مانیتورینگ سیستم‌ها و سرورها به عنوان یکی از راه‌های شناسایی حملات ممکن است بسیار مفید باشد. به طور معمول، یک سیستم یا سرور با یک الگوی عملکرد مشخص و پایدار عمل می‌کند. اگر تغییرات غیرمعمولی در عملکرد سیستم مشاهده شود، می‌تواند نشان‌دهنده وقوع حمله یا مشکل فنی باشد.

به عنوان مثال، فرض کنید که سیستم شما در طول مدت‌زمان طولانی و با نرخ ترافیک ثابت و پایدار کار می‌کند. اما به طور ناگهانی، شما مشاهده می‌کنید که مصرف منابع سیستم به طور چشمگیری افزایش می‌یابد و عملکرد آن کاهش می‌یابد. این تغییرات ناگهانی ممکن است نشان‌دهنده حمله DDoS به سیستم شما باشد که سعی دارد با ایجاد بار زیاد بر روی سرور، آن را به کار ناکارآمدی بیندازد.

همچنین، تغییرات غیرمعمولی در زمان پاسخ‌دهی سیستم نیز می‌تواند نشان‌دهنده وقوع حمله باشد. به عنوان مثال، اگر زمان پاسخ‌دهی سیستم به درخواست‌ها به طور ناگهانی افزایش یابد و اجرای فرآیندها و تراکنش‌ها تاخیر زیادی داشته باشد، ممکن است این نشان‌دهنده‌ی یک حمله متقلبه باشد که سعی دارد سیستم را آلوده کند و منابع آن را مصرف کند.

برخی از مهمترین حملات به سایت و راهکار هر کدام به اختصار

نوع حمله

توضیح کارکرد

راهکار

حملات Ransomware

حملاتی که با اشغال فایل‌ها و دسترسی به آن‌ها، از کاربران خواسته می‌شود برای بازگرداندن اطلاعات مقابل مبلغی پرداخت کنند.

ایجاد نسخه پشتیبان منظم از اطلاعات، استفاده از نرم‌افزارهای امنیتی و به‌روزرسانی سیستم به صورت منظم.

حملات DNS Hijacking

حملاتی که هدف آن تغییر تنظیمات DNS سرورها به منظور هدایت کاربران به سایت‌های تقلبی است.

استفاده از DNSSEC برای امن‌سازی سیستم DNS و استفاده از DNS پایدار و قابل اعتماد.

حملات Credential Stuffing

حملاتی که با استفاده از نام کاربری و رمز عبور‌های دزدیده‌شده اقدام به نفوذ به حساب‌های کاربری می‌کند.

استفاده از رمزهای عمیق و مختلف برای هر حساب، و استفاده از احراز هویت دو مرحله‌ای.

حملات XML External Entity (XXE)

حملاتی که از امکانات پردازش فایل‌های XML استفاده می‌کنند و به سرور آسیب می‌زنند.

استفاده از فیلترها و اعتبارسنجی مناسب برای ورودی‌های XML.

حملات Remote Code Execution (RCE)

حملاتی که به اجازه نفوذ مهاجم به سرور و اجرای کد خطرناک بر روی آن منجر می‌شود.

محدود کردن دسترسی‌ها، به‌روزرسانی نرم‌افزارها و اجرای اسکن‌های امنیتی منظم.

حملات Man-in-the-Browser (MITB)

حملاتی که به وسیلهٔ نفوذ به مرورگر کاربر، اطلاعات حساس را رصد و تغییر می‌دهند.

استفاده از مرورگرهای امن و افزونه‌های معتبر، و همچنین نظارت بر نقشهای دسترسی در سیستم.

حملات Session Hijacking

حملاتی که هدف آن به‌دست آوردن جلسه‌های فعال کاربران و دسترسی به حساب‌های آن‌هاست.

استفاده از HTTPS برای ارتباط امن و استفاده از توکن‌های محافظتی در هر درخواست.

حملات Zero-Day Exploits

حملاتی که از آسیب‌پذیری‌هایی استفاده می‌کنند که هنوز برای آن‌ها آپدیت امنیتی منتشر نشده‌است.

اعمال تنظیمات امنیتی دقیق، بازنگری منظم نقاط آسیب‌پذیری و استفاده از فایروال‌های قوی.

حملات Clickjacking

حملاتی که کاربران را به کلیک بر روی لینک‌ها یا دکمه‌های مخفی تشویق می‌کند.

استفاده از ابزارهای امنیتی مرورگر برای جلوگیری از حملات Clickjacking.

حملات DNS Spoofing

حملاتی که هدف آن تقلید از سایت‌های معروف است تا کاربران اطلاعات شخصی‌شان را وارد کنند.

استفاده از DNSSEC و فیلترهای DNS به منظور جلوگیری از حملات DNS Spoofing.