علاقهمند به بازاریابی محتوایی | البته تو ویرگول بیشتر دلی مینویسم. مرسی از ویرگول که این تریبون رو بهم اختصاص داد... همین دیگه :)
حملۀ منع خدمت از سرویس (DOS) چیست؟
بارها پیش آمده بود که جملۀ «فلان سایت مورد حملۀ DoS قرار گرفت» را شنیده بودم، اما هیچوقت به دنبال کشف معنای دقیق این جمله نرفته بودم؛ اینکه ببینم حملۀ DoS دقیقاً چیست و وقتی رخ میدهد چه اتفاقی میافتد. وقتی هکرها در ۷اسفند۱۳۹۷ به اسنپ تریپ حملۀDDos کردند، کنجکاوی من برای بهدستآوردن اطلاعات بیشتر دربارۀ حملههای DoS و DDoS بیشتر شد.
دربارۀ این حملهها خیلی جستجو کردم و محتواهای فنی و تخصصی زیادی را دیدم و خواندم. به همین دلیل تصمیم گرفتم که برای شروع، با مثال غیرفنی و بسیار سادهای توضیح بدهم DoS دقیقاً چیست.
احتمالاً برای شما هم پیش آمده است که خواستهاید تماسی تلفنی برقرار کنید، ولی به دلیل مشغولبودن مسیرهای ارتباطی موفق نشدهاید. این اتفاق در روزهایی که خطهای تلفن بهشدت شلوغ هستند (مثل عید نوروز که مردم سعی میکنند در لحظۀ سال تحویل به عزیزانشان زنگ بزنند و عید را به آنها تبریک بگویند یا لحظۀ وقوع حادثهای مثل سیل و زلزله و... که آدمها میخواهند از حال عزیزانشان باخبر بشوند) بیشتر رخ میدهد. بعضی وقتها هم زنگ میزنید و تلفن وصل میشود، ولی شخص دیگری جواب میدهد که اصطلاحاً میگوییم «خط رو خط شده». اما تا به حال از خودتان پرسیدهاید که چرا این اتفاق میافتد؟
سیستم تلفن طوری طراحی شده که میتواند تعداد محدودی تماس را در یک زمان مشخص برقرار کند. حالا فرض کنید که یک هکر میخواهد به سیستم تلفن حمله کرده و استفادۀ مشترکان را از آن غیرممکن کند. یکی از روشهای حمله آن است که با برقراری تماسهای مکرر و پشتسرهم، تمامی خطوط تلفن را اشغال میکند. این نوع از اخلال دقیقاً همان حملۀ منع خدمت از سرویس یا DoS است.
منع خدمت از سرویس (DoS)
به تلاش برای خارجکردن منابع شبکه از دسترس کاربران، منع خدمت از سرویس یا محرومسازی از سرویس (Denial of Service) یا بهاختصار Dos میگویند.
به بیان ساده، وقتی تعداد زیادی درخواست به سروری ارسال میشود، باعث مصرف بیش از حد منابع سختافزار (حافظه، پردازنده، پهنای باند، پایگاه داده و...) میگردد که درنهایت بهخاطر حجم بالای پردازشها، عملیات سرور با اضافهبار (Overload) روبهرو شده و سرویس از دسترس (Down) خارج میشود.
منع خدمت از سرویس حملهای است که در آن سرویس یا هاست متصل به یک سایت، شبکه، سرویس ایمیل یا... توانایی پاسخگویی به درخواستهای واقعی کاربران از هاستهای اینترنتی صحیح را به دلیل پرشدن منابع و حافظۀ آن توسط درخواستهای غیرواقعی ندارد. در طول حمله، حجم درخواستهای واقعی و غیرواقعی از توان سرور بیشتر است و سرور را از دسترسی بقیۀ کاربران و دستگاهها خارج میکند. به این ترتیب سرعت سرور یا خیلی کند میشود، یا دیگر کلاً کار نمیکند.
چیزی که حملۀ منع خدمت از سرویس را خطرناک میکند، آسیبی است که به سایت میزند و مدتزمانی است که طول میکشد تا این آسیب رفع شود. این حمله میتواند باعث قطعشدن دسترسی برخی کسب و کارها به اینترنت شود. قطع دسترسی نیز به بالانیامدن سایت منجر میشود و طبیعتاً کاربران نمیتوانند سایت را باز کنند. درنهایت هم باعث کاهش ترافیک سایت میشود که کاهش ترافیک سایت هم به کاهش درآمد کسب و کار منجر خواهد شد.
از طرف دیگر اینکه این حمله میتواند فعالیتها و سودآوری کسب و کارها را تعطیل کند. اگر کاربران نتوانند به سایت حملهشده وارد شوند، نهتنها به سایت رقیب میروند، بلکه احتمال دارد اعتماد و اطمینان خودشان را به سایت آسیبدیده و قدرت اجرایی کسب و کار پشت آن از دست بدهند. شاید چنین اتفاقی اثر منفی دائمی در سود، منابع، برند و کلاس کاری کسب و کار نداشته باشد، اما بدون شک در بلندمدت تأثیر منفی خواهد گذاشت.
وقتی این موضوع را فهمیدم، بهتر متوجه شدم که چرا حملۀ منع خدمت از سرویسی که به اسنپ تریپ شده، اینقدر اتفاق مهمی به حساب میآمده!
انگیزۀ هکرها از حملهکردن
انگیزۀ هکرها برای حملۀ منع خدمت از سرویس ممکن است متفاوت باشد؛ اما بهطورکلی شامل تلاش برای قطع موقت یا دائمی یا تعلیق خدمات میزبان متصل به اینترنت است. البته معمولاً حملۀ منع خدمت از سرویس برای ازکارانداختن شبکههای تکسیستمی (Single-frequency network) استفاده میشود تا بقیۀ کاربران نتوانند از آنها استفاده کنند.
جالب است بدانید بعضی از هکرها به دلایل سیاسی به سایتهای دولتی یا به سایت کاندیداهای انتخابات حمله میکنند و به دلیل اختلافنظر بر سر مسائل قانونی، سیاستگذاری و بعضی نظرها، سایت را از کار میاندازند. بعضی دیگر از هکرها نیز ممکن است به سایت رقیب یک کسب و کار حمله کنند. آنها تلاش میکنند با این حمله از ورود مشتریان بالقوه به سایت رقیب و دسترسی به محتواهایشان یا امکان خریدشان جلوگیری کنند؛ درنتیجه معمولاً مشتریان به سایتهای دیگر، یعنی سایت هککننده، وارد میشوند.
البته خیلی وقتها هم هکرها به سایتی حمله نمیکنند، ولی سایت از دسترس خارج میشود! نزدیکترین مثال برای این وضعیت، کمپینهای جمعۀ سیاه (Black Friday) است که کسب و کارهایی مثل دیجیکالا و... راهاندازی میکنند، اما به دلیل درخواستهای فراوان کاربران، سایت مدنظر عملاً مورد حملۀ غیرارادی قرار میگیرد و از دسترس خارج میشود.
تفاوت بین DoS و DDoS
در نتایج جستجوهایی که در گوگل دربارۀ DoS انجام دادم، دیدم که خیلی از سایتها بهاشتباه نوشتهاند DoS همان DDoS است، درصورتیکه اینها دو مفهوم متفاوت هستند؛ بنابراین تصمیم گرفتم توضیح کوتاهی هم دربارۀ DDoS و تفاوت آن با DoS بدهم.
به تلاش برای ارسال درخواستهای کاذب، با هدف خارجکردن منابع شبکه از دسترس کاربران، منع خدمت از سرویس توزیعشده یا محرومسازی از سرویس توزیعشده (Distributed Denial of Service) یا بهاختصار DDoS میگویند که درواقع نوعی حملۀ DoS به حساب میآید.
در حملۀ منع خدمت از سرویس (DoS)، از یک کامپیوتر و یک اتصال اینترنتی برای پرکردن سرور با بستههای دادهای (TCP/UDP) استفاده میشود. اما در حملۀ منع خدمت از سرویس توزیعشده (DdoS)، از چندین کامپیوتر یا اتصال اینترنتی استفاده میشود و نتایج متفاوتی هم به دست میآید. کامپیوترهایی که در این حمله استفاده میشوند معمولاً در سراسر دنیا پخش بوده و بخشی از یک باتنت (Botnet) یا تجمع کامپیوتری هستند.
تفاوت اصلی بین این دو نوع حمله در حجم حملههاست. در حملات منع خدمت از سرویس توزیعشده، سرور هدف بهجای پرشدن با یک حملهکننده و درخواست مخرب، با صدها یا حتی هزاران درخواست مخرب پر میشود. به همین دلیل، مقابله با حملۀ منع خدمت از سرویس توزیعشده (DDoS) در مقایسه با حملۀ منع خدمت از سرویس (DoS) برای سرورها بسیار دشوارتر است.
پیرو همین صحبتها به سراغ یاشار شاهینزاده رفتم. او بعد از خریدن کامپیوتر و آشنایی با دنیای اینترنت، مسیر حرفهای خود را شروع کرد. یاشار در سالهای ۲۰۱۱ و ۲۰۱۲ رتبههای ۲ و ۴ را درزمینۀ ارسال مقاله به CTFهای ملی کسب کرد و همان زمان به مدت ۳ سال داور مسابقات شد. اگر دوست داشتید میتوانید او را در لینکدین و اینستاگرام هم دنبال کنید.
یاشار جان خودت را معرفی میکنی؟
من یاشار شاهینزاده هستم، متولد ۱۳۶۷. در رشتۀ لیزر اپتیک درس خواندم و فعالیت حرفهای خودم را در حوزۀ امنیت، از سال ۱۳۸۸ شروع کردم. علاوه بر فعالیت و تولید محتوای انگلیسی، مدتی هست که در بعضی شرکتهای خارجی محتوای فارسی هم تولید میکنم که در سایت خودمان با عنوان مموری لیکس منتشر میکنیم و خوشحال میشوم نظرتان را دربارۀ آن بدانم.
تفاوت بینDOS وDDOS چیست؟
داس حملۀ عمومی ازکارانداختن سرویس است. این حمله معمولاً با ارسال حجم ترافیک زیاد به یک سرویس، در حدی که سرویس را خفه و قطع کند، صورت میگیرد. در حالات بهینه، بهوسیلۀ ارسال ترافیک به نقاط حساس و سنگینتر سرویس گلوگاه (Bottleneck) انجام میشود که فشار کمتری لازم دارد تا سرویس را قطع کند. علاوه بر این، داس در خیلی از مواقع مبتنی بر نوعی آسیبپذیری است. بهعنوان مثالی خیلی خوب از حملۀ DOS میتوانم به Slowloris اشاره کنم که با استفاده از یک ابزار، با کمترین پهنای باند، قابلیت از رده خارجکردن وبسرور را برای مهاجم فراهم میکند.دیداس (DDOS) نوع خاصی از داس محسوب میشود که توزیعشده است؛ یعنی ترافیک حمله از یک نقطه نمیآید، بلکه از صدها تا میلیونها نقطۀ مختلف وارد میشود. دیداس در حالت معمولی مثل داس است، فقط در آن تعداد نقاط ارسالی بیشتر است؛ ولی در حالت ایدئال ترافیکهای متنوع هم ارسال میکند که تمایزش از کاربر عادی ممکن نباشد. در این حالت تقریباً هیچ دفاعی در برابر دیداس وجود ندارد و سرویس حتماً قطع میشود. تنها دفاع موجود استفاده از سرویسدهندههای غولآسا مثل گوگل یا آمازون است که هرچقدر هم منابع رویشان بریزید باز هم خفه نمیشوند.
حملۀ DoS علائم و نشانۀ مشخصی دارد؟
بله این حمله معمولاً روی نقطهای خاص اعمال میشود. با کشف آن نقطه و الگوی ترافیک ارسالی، میتوان بهراحتی توسط یک فایروال آن را بلاک کرد. مثلاً بعد از شناسایی آی.پی آدرس حملهکننده، با بستن تمامی ترافیک ورودی از آی.پی مشخص، بار ترافیک غیرواقعی از روی سرور داخلی برداشته میشود.
حملۀ DoS روش خاصی دارد؟ معروفترین روش کدام است؟
همانطورکه توضیح دادم روشهای متعددی دارد. بستگی دارد از چه سطحی قصد خفهکردن سرویس را داشته باشند. از پایین (یعنی سطح شبکه و ترافیک خام) تا بالا (سطح برنامه و سرویسهای سنگین مثل پردازش تصویر یا محاسبات سنگین) قابل اعمال است؛ هرچه بالاتر باشد، اثر آن بیشتر، ولی طراحیاش دشوارتر است.
سادهترین روش، همان UDP Flood است. در این روش پکتهای شبکه (Network packet) به تعداد زیاد ارسال میشود تا کل پهنای باند شبکۀ سرویس را اشغال کند.
حملۀ DDoS چطور انجام میشود؟ انواع آن چیست؟
ببینید اولین کار تصاحب تعداد زیادی زامبی است. زامبی به کامپیوتر یا سرورهایی گفته میشود که هکر به آنها نفوذ میکند و کنترلشان را به دست میگیرد. معمولاً زامبیها به یک مقر فرماندهی که به آنها Command and Control میگویند متصل میشوند و منتظر فرمان میمانند.
خیلی از این اتاق فرمانها با قیمتهای بسیار زیاد فروخته میشوند و حتی کسی که دربارۀ قسمت فنی حملۀ DDoS دانش چندانی نداشته باشد، میتواند به یک جا حمله کند. این پنلها همانطورکه در شکلها مشخص است، تعداد حملههای بسیار زیادی (چه در لایۀ ۳ و ۴ چه در لایۀ ۷) را پشتیبانی میکنند.
آیا خطر حملۀ DoS کسانی مثل من را که بلاگ شخصی دارند نیز تهدید میکند؟
بله تهدید میکند. البته به اینکه سرویس بلاگ شما در وردپرس بالا آمده یا بهصورت شخصی بالا آمده نیز بستگی دارد. مثلاً بلاگ شما میتواند در WordPress باشد یا اینکه آن را شخصی و بدون هیچ محافظی بالا آورده باشید. اگر بلاگ شما روی سرویسدهندهای مثل گوگل یا وردپرس دات کام بلاگ باشد، ریسک پایینآمدنش بسیار کم است.
چطور باید در برابر حملههای DOS از سایت خود محافظت کنیم؟
در حال حاضر سادهترین کار استفاده از سرویس شبکه توزیع محتوا (CDN) کلادفلیر (Cloudflare) است. اگر به دنبال نمونۀ ایرانی آن هستید، ابر آروان را پیشنهاد میکنم. شبکه توزیع محتوا آدرس سرور شما را پشت یک پراکسیوب مخفی میکند؛ لذا حمله به شما نمیرسد و بهوسیلۀ خود او قطع میشود. البته امکان حمله باز هم در لایههای بالاتر وجود دارد، ولی حملات مبتدی تقریباً منتفی میشوند. بهعلاوه باید خیلی مراقب باشید که آی.پی اصلی شما به دلیل تنظیمات نادرست افشا نشود، در غیر این صورت مهاجم مستقیماً به شما حمله میکند و کلادفلیر دور میخورد.
مطلبی دیگر از این انتشارات
🎒 دیجیتال نومد (Digital Nomad) چیست؟
مطلبی دیگر از این انتشارات
💵 ترفندهایی برای تعیین حقوق بدون اینکه تو پاچۀ کارمند بره!
مطلبی دیگر از این انتشارات
مزایای فضای کار اشتراکی چیست؟