انواع حملات DDOS در سرور و شبکه
انواع حملات DDOS را در واقع برای ایجاد وقفه و اختلال در ترافیک یک سرور یا شبکه انجام می دهند و در نهایت منجر به از دسترس خارج شدن آن سرور و شبکه می شود.
امروزه یکی از نگرانی های مهم و اساسی مبحث امنیت اطلاعات در اینترنت است. برای جلوگیری از حملات DDOS و ایمن سازی سایت ها بهترین روش شناخت انواع حملات DDOS است تا با آگاهی کامل بتوانید از این حملات جلوگیری کنید.
حمله DDoS چیست؟
حملات DDOS (Distributed Denial of Service) تلاشی است برای اینکه یک سایت نتواند به درستی خدمات خود را ارايه دهد. به همین منظور هکرها با استفاده از چندین سرور یک ترافیک جعلی در سایت ایجاد می کنند و این ترافیک غیرمنتظره باعث مسدود شدن سایت و در نتیجه از دسترس خارج شدن آن می شود.
حملات DDOS توسط چندین دستگاه یا ربات متصل که به ربات( Bot )میگویند اتفاق می افتد و به این صورت عمل می کنند که هکرها (مهاجمان ) دستگاهها یا ربات هایی که Botnet نامیده می شوند را طراحی کرده و روی سرورهایی که هک شده اند قرار می دهند و با استفاده از این ربات های فعال در خواست های غیرواقعی به سرورهای سایت مقصد ارسال می کنند و به این صورت سرور یا شبکه را تحت فشار قرار داده و باعث ایجاد اختلال در سایت می شوند.
چگونه حمله DDoS را شناسایی کنیم؟
هنگامی که یک سایت مورد حملات DDOS قرار میگیرد مهم ترین نشانه کند شدن ناگهانی سرعت یک سایت است. اما تشخیص این که کند شدن به دلیل ترافیک های عادی در سایت است یا سایت مورد حمله قرار گرفته کمی دشوار است.
بعضی علايم حملات DDOS به شرح زیر است :
- اتصال به دیتابیس سرور امکانپذیر نیست.
- سرور به صورت مکرر از دسترس خارج می شود.
- ترافیک برای کاربرانی که از یک نوع دستگاه استفاده می کنند و یا موقعیت جغرافیایی یکسانی دارند افزایش می یابد.
- ترافیک عجیب برای دسترسی به یک صفحه خاص از سایت در ساعات غیر معمول.
- عدم امکان استفاده از سرویس های جانبی مانند ایمیل و FTP و …
انواع حملات DDoS
حملات DDOS در سه دسته قرار میگیرند :
- حملاتی که با ارسال ترافیک بسیار زیاد باعث می شوتد که سرعت سایت بسیار کند شده و یا قطع شود.
- در این حملات هکرها منابع پردازشی را با یکدیگر درگیر می کنند و بدین ترتیب سرور نمی تواند به درخواست های کاربران به خوبی پاسخ دهد.
- در این حملات هکرها به یکی از برنامه های نوشته شده در سایت آسیب زده و بدین ترتیب سرور دچار مشکل شده و اختلال در سرویس دهی ایجاد می شود.
SYN Flood
فرض کنید که یک کاربر و یک سرور در حال تبادل داده ها در یک پروتکل TCP هستند، در این ارتباط ابتدا کاربر یک عدد را با این پیام SYN (Synchronization) برای سرور ارسال می کند و از آن به بعد سرور از عدد ارسالی کاربر برای شماره گذاری بسته هایی که برای کاربر ارسال می کند استفاده می کند. وقتی سرور پیام SYN را دریافت می کند برای تایید دریافت یک پیام ACK (Acknowledge) برای کاربر ارسال می کند و در صورتی که کاربر جواب پبام ACK را برای سرور ارسال کند اتصال TCP برقرار می شود.
حمله SYN Flood به این صورت است که ابتدا کاربر پیام SYN را برای سرور ارسال می کند و جواب سرور را هم دریافت می کند اما جواب پیام ACK را برای سرور ارسال نمی کند تا ارتباط برقرار شود و اگر سرور به دفعات زیاد منتظر پاسخ مربوط به یک ارتباط باقی بماند قادر به برقراری ارتباط با دیگر کاربران نخواهد بود.
در واقع در این حمله تعداد زیادی بسته SYN به یک سرور ارسال می شود و با ارسال نکردن ACK برای سرور باعث اختلال در سرویس دهی می شوند.
البته شما با تغییر دادن IP مبدا به راحتی می توانید کاری کنید که هکرها هیچوقت پیام های (SYN | ACK) را دریافت نکنند.
Slowloris
این حمله معمولا روی برنامه های پردازشی (application) انجام می شود و به این صورت است که بعد از اینکه هکرها با سرور ارتباط برقرار کردند سعی می کنند حتی الامکان این ارتباط را باز نگه دارند برای همین یک سری درخواست ناقص را با سرعت پایین برای سرور ارسال می کنند و سرور یک سری از منابع پردازشی خود را صرف می کند تا ارتباط را باز نگه داشته و بتواند از کاربر جواب دریافت کند و بدین ترتیب اختلال در سرویس دهی بوجود می آید.
و اگر هکرها تعداد کاربران زیادی را به این صورت ایجاد کنند سرور تعداد زیادی از application های خود را صرف این کاربران جعلی خواهد کرد.
DNS Flood
این دسته از حملات DDOS به این صورت است که هکرها می توانند بسته هایی با طول بسیار کم برای سرور ارسال کنند اما سرور این بسته ها را با طول زیاد دریافت کند و برای پردازش و پاسخ دادن به این بسته ها منابع زیادی را صرف کند.
در DNS Flood هکرها با استفاده از مکانیزم IP Spoofing درخواست های DNS را برای سرور DNS از طریق source IP ارسال می کنند و این درخواست ها که طول بسیار بیشتری از درخواست فرستاده شده دارند باعث می شوند که منابع پردازشی سرور درگیر آن ها شده و دیگر نمی توانند درخواست های بقیه کاربران را انجام دهند.
Slow Read Attack
گاهی اوقات هکرها پس از اینکه درخواست را برای سرور یک سایت هدف ارسال کردند سایز پنجره TCP را مینیمم میکنند و این کار باعث می شود پیام با سرعت بسیار کمی دریافت و خوانده می شود و بدین ترتیب سرور را در یک ارتباط باز مشغول نگه میدارند. به این حمله Slow Read Attack می گویند.
روش های مقابله با حملات DDOS
دز بیشتر مواقع نمی توان یک راهکار مطمين برای مقابله با حملات DDOS مخصوصا اگر به میزان بالا باشد ارايه کرد. اما گاهی اوقات می توان از بعضی سرویس ها مانند سرویس هایی که (سرور مجازی لینوکس ایران) ارايه »ِدهد بعضی از آن ها را تشخیص داد.
بهترین روش برای جلوگیری از این حملات پیکربندی (confing) درست سرور می باشد. و همینطور می توانید از سیستم هایی مانند cloud flare و همینطور استفاده از پروکسی های تودرتو و وب سرور برای جلوگیری از این حملات استفاده کنید.