ايتنا - حملات DDoS چیست و چرا متوقف کردن آن کار دشواریست؟

حتماً شنیده‌اید که گاهی یک سایت و یا سرویس در اثر حملات DDoS از کار افتاده است.

اما ماهیت DDoS چیست؟ حملات آن چگونه صورت می‌گیرد و چرا مقابله با آن کار دشواریست؟ در این مقاله به بررسی پاسخ این سؤالات خواهیم پرداخت.

کریسمس امسال در حالی که بسیاری نوجوانان به عنوان هدیه از والدین خود اکس‌باکس و یا پلی‌استیشن دریافت کرده بودند متوجه شدند که نمی‌توانند به شبکه‌های آنلاین متصل شوند.

این‌طور مشخص شد که گروه هکرهای Lizard Squad با حملات DDoS موفق به از کار انداختن سرورهای سونی و مایکروسافت شده‌اند.

پس از آن کیم دات‌کام مؤسس وب‌سایت مگاآپلود و مگا ادعا کرد که این گروه را راضی به توقف حملات کرده است و حتی پس از آن خبر هک شدن این گروه هکری نیز منتشر شد!

DDoS مخفف عبارت Distributed Denial of Service است و به هدف از کار انداختن موقت و یا دائمی یک وب‌سایت و یا سرور انجام می‌شود.

حملات DDoS از گذشته‌ای نسبتاً دور وجود داشته‌اند و معمولاً هم برای بیان اعتراض به کار برده می‌شدند.

شاید اولین حمله DDoS را بتوان مربوط به سال ۱۹۹۵ و شبکه Strano Network دانست که در اعتراض به سیاست‌های هسته‌ای دولت فرانسه انجام شد. اما چرا حملات DDoS روزبه‌روز قوی‌تر شده و مقابله با آن دشوارتر؟

چگونه می‌توان یک حمله DDoS ترتیب داد؟
حمله DDoS آن‌قدر ساده است که هر کسی می‌تواند آن را انجام دهد!

برای پاسخ این پرسش چند جواب وجود دارد. به‌طور مثال در حال حاضر نرم‌افزار رایگانی به نام High Orbit Ion Cannon یا به اختصار HOIC وجود دارد که به هر فردی اجازه می‌دهد به‌راحتی با ایجاد ترافیک ساختگی بر روی سرورهای یک وب‌سایت با استفاده از اسکریپت‌های سفارشی سرور را از کار بیندازد.

هر فردی با یک رایانه می‌تواند این نرم‌افزار را دانلود کرده، آدرس URL سایت دلخواهی را وارد کرده و منتظر بماند تا HOIC عملیات ایجاد کاربران جعلی را به امید ایجاد اضافه‌بار یا اصطلاحاً Overload روی سرور اجرا کند.

البته تصور نکنید که حالا می‌توانید این نرم‌افزار را دانلود کرده و فیس‌بوک را در چند ساعت از کار بیندازید! در واقع هرچه تعداد کاربرانی که از HOIC به‌صورت هم‌زمان یک‌سایت را هدف گرفته‌اند بیشتر شود احتمال overload شدن نیز بیشتر خواهد بود.

حمله DDoS پیشرفته‌تر چگونه انجام می‌شود؟
botnetالبته از کار انداختن سرور پلی‌استیشن نتورک کار دشوارتری است و دیوید لارسن مدیر ارشد فناوری شرکت امنیتی Corero اعتقاد دارد هکرها ترکیبی از حملات DDoS با botnetها را اجرا کرده‌اند.

botnet یک شبکه از سرورهای کامپیوتری است که برای اتصال و انجام یک عملیات واحد برنامه‌ریزی و طراحی شده‌اند.

هر فردی می‌تواند یک botnet کرایه کند و با بودجه کافی و ترکیب آن با حملات Ion Cannon بار فوق‌العاده زیادی روی سرور PSN وارد کند.

تصور کنید هزار کامپیوتر که همگی از ابزارهای DDoS مشابه برای ساخت اکانت‌های جعلی استفاده کرده و سعی کنند به شبکه PSN وارد شوند.

در مدت کوتاهی هزاران گیگابایت اطلاعات در هر ثانیه به سرور وارد شده و از کار انداختن چنین شبکه‌ای کار پیش پا افتاده‌ای جلوه خواهد کرد.

لارسن همچنین اعتقاد دارد احتمالاً مهاجمان به جای مورد حمله قرار دادن سرور اصلی PSN، سرورهای لاگین کردن را مورد هدف قرار داده‌اند و overload کردن این سرور هم کار نسبتاً آسان‌تری است.

کافیست سرورهای DNS خارجی دستاری شوند تا شبکه PSN با اطلاعات بیش از حد بمباران شود.

یک سرور DNS یا Domain Name System سروری است که وقتی کاربر نام یک وب‌سایت را تایپ کرده و کلید اینتر را فشار می‌دهد آن را به آدرس IP قابل فهم برای مرورگر تبدیل می‌کنند.

اینترنت پر از سرورهای DNS است و بسیاری از آن‌ها به‌راحتی می‌توانند هدف هکرها قرار بگیرند.

لارسون می‌گوید:
شما می‌توانید نرم‌افزارهای رایگانی از اینترنت دانلود کنید که حاوی دیتابیسی از سرورهای آسیب‌پذیر DNS بر روی اینترنت است.

من می‌توانم یک درخواست ارسال کنم، یک بسته درخواست بسیار کوچک به یک سرور آسیب‌پذیر DNS. من می‌توانم بگویم: “سلام سرور آسیب‌پذیر DNS! من سرور لاگین پلی‌استیشن هستم – لطفاً برای من اطلاعات ورود را ارسال کن.”

و این اطلاعات ورود می‌واند چندین کیلوبایت حجم داشته باشد. پس با یک بسته کوچک ۶۴ بایتی می‌توان طوری سرورهای DNS آسیب‌پذیر را فریب داد تا اطلاعات کیلوبایتی را به سرورهای سونی یا هر وب‌سایت دیگری روانه کند.

من می‌توانم ده‌ها هزار بایت درخواست به DNS ارسال کنم و این سرور هم با تصور این‌که من سونی هستم اطلاعات درخواستی را به سرورهای این شرکت سرازیر خواهد کرد.

حالا تصور کنید این اتفاق صدها یا هزاران و یا حتی میلیون‌ها بار در ثانیه ارسال شود.

به این ترتیب حتی قوی‌ترین سرورها هم نمی‌توانند با چنین حجمی از ترافیک مقابله کنند و از آن‌جایی که تشخیص اطلاعات جعلی و واقعی دشوار است (مخصوصاً وقتی مهاجمان از ترکیبی از botnet و IPهای ساختگی استفاده می‌کنند.) سرور به راحتی overload شده و از کار خواهد افتاد.

به این ترتیب برای فردی که می‌داند چگونه از این ابزار استفاده کند ایجاد ده‌ها گیگابایت ترافیک ساختگی کار دشواری نخواهد بود.

چرا سونی نتوانست جلوی overload شدن شبکه را بگیرد؟
اما سونی پیش از این هم تجربه حملات DDoS را داشته و شبکه‌هایی مانند PSN و Xbox Live معمولاً زیاد در معرض این حملات قرار می‌گیرند. پس چرا آن‌ها نتوانستند حمله Lizard Squad را خنثی کنند؟

هرچند بدون جزئیات دقیق پاسخ دادن به این پرسش ممکن نیست اما لارسن حدس می‌زند از آن‌جا که مهاجمان به سرور لاگین PSN حمله کرده‌اند و به پهنای باند زیادی نیاز نبوده و از کار انداختن آن با حملات DDoS کار مشکلی نبوده است.

ابزارها در حال حاضر بسیار پویاتر شده‌اند و انسان و پروسه‌های انسانی نتوانسته خود را با سرعت این تغییرات وفق دهد.

گفتنی است سال ۲۰۱۱ شبکه PSN مورد حمله بزرگی قرار گرفت که اطلاعات میلیون‌ها کاربر این شبکه را فاش کرد و انتظار داشتیم سونی برای حملات هکری آمادگی داشته باشد.

البته باید در نظر داشت که یک حمله DDoS تفاوت زیادی با نفوذ امنیتی دارد و بهتر است به جای هک کردن نام آن را سرریز کردن یا غرق کردن ترافیکی گذاشت.

همچنین در ماه‌های اخیر این نوع حملات پیشرفت‌های زیادی داشته‌اند تا حدی که روش‌های جلوگیری قدیمی مربوط به یکی دو سال پیش دیگر جوابگو نخواهد بود.

یکی از راه‌های رایج برای جلوگیری از حملات DDoS این است که وقتی مسئولان شبکه متوجه می‌شوند که حمله درحال صورت گرفتن و سرور در حال از کار افتادن است آن‌ها از تأمین کنندگان شبکه می‌خواهند تا کاری به نام “سیاه‌چاله” یا Blackholing انجام دهند.

به این ترتیب که تمامی ترافیک رسیده به شبکه را متوقف کرده و از overload شدن جلوگیری می‌کنند.

تا حدود یک و نیم سال پیش حملات DDoS بسیار ساده‌تر بودند. شما مشاهده می‌کردید که چنین حملاتی در حال انجام است و آن‌را سیاه‌چاله می‌کردید.

ابزارها در حال حاضر بسیار پویاتر شده‌اند و انسان و پروسه‌های انسانی نتوانسته خود را با سرعت این تغییرات وفق دهد.

حالا به یک سیستم ماشینی احتیاج دارید که همواره در حال جستجو و شناسایی چنین حملاتی باشد و بلافاصله به مقابله با آن‌ها بپردازد.

راه مقابله کنونی چیست؟

به توصیه لارسن شرکت‌ها و هر فردی که شبکه‌ها را اداره می‌کند باید چندین حفاظ برای جلوگیری از چنین حملاتی به‌کار گیرد تا الگوهای غیرعادی ترافیک را شناسایی و آسیب وارده را کاهش دهد.

او همچنین توصیه می‌کند کمپانی‌ها از سرویس‌های ابری استفاده کنند تا هنگام هجوم ترافیک سرورهای خودشان از خطر overload شدن محفوظ بماند.

به گفته یکی از شرکت‌های امنیتی DDoSها روزبه‌روز پیشرفته‌تر می‌شوند و در حال حاضر هر ساعت حدود ۲۸ حمله شبیه به حمله به PSN رخ می‌دهد.

شاید در نگاه اول DDoS آن‌چنان هم خطرناک به نظر نرسد چراکه در واقع اطلاعاتی دزدیده نشده و کنترل سایت نیز خارج نخواهد شد و حتی یک deface ساده نیز رخ نخواهد داد اما برای سرویس‌های حیاتی از کار افتادن شبکه می‌تواند صدمات جبران ناپذیری وارد کند.

منبع : فارنت