اگرچه چندین سال است که حملات اختصاصی DDoS استفاده میشوند؛ اما با این حال هنوز هم دارای ساختار پیچیده هستند و در عین حال سادهترین نوع حمله محسوب میشوند. سیستمهایی که حمله DDoS روی آنها اجرا میشود، عواقب مخربی را متحمل میشوند که در ادامه به بررسی این حمله و عواقب آن میپردازیم.
DDoS مخفف Distributed Denial of Service است؛ در این شیوه مهاجمان با در اختیار داشتن زنجیرهای از رایانهها، حجم گستردهای از تقاضاها را به سمت سرورهای مقصد روانه میکنند که در نهایت با اشغال تمامی ترافیک مربوط به سرورهای مورد نظر، موجب از کار افتادن سرویسدهی آن میشوند.
DDoS جزو رایجترین حملاتی است که تاکنون روی وبسایتهای شناختهشدهی دنیای فناوری اجرا شده است. عواقب این حملات بر درآمد میلیونی شرکت و حتی نام تجاری آن تأثیر میگذارند. میتوان گفت بیشتر نفوذگرها به دنبال سرقت اطلاعات شخصی و حساب کاربری نیستند، برخی از این هکرها صرفا به دنبال از دسترس خارج کردن وبسایتهای مهم هستند که در این صورت نیز شرکت مورد نظر ضرر بسیاری را متحمل میشود. این حملات همانند مزاحمتهای خیابانی هستند؛ اگرچه اموال مردم را به سرقت نمیبرند اما مزاحم کار و تفریح میشوند! حمله DDoS نیز از این ایده استفاده میکند و طرز کار آن بر اساس همین مزاحمتهای خیابانی است.
هدف حملهی دیداس، ایجاد مزاحمت در عملکرد معمولی یک وبسایت خاص است؛ عملکرد دیداس همانند ویروسها تصادفی نیست، هدف ویروسها نهفقط یک کاربر، بلکه تمامی کاربران را در بر میگیرد؛ اما دیداس برنامهریزی و صرفا برای یک هدف خاص تنظیم میشود. در حالت کلی هدف دیداس از دسترس خارج کردن یک وبسایت خاص برای کاربران و بازدیدکنندگان روزانهی آن است.
مراحل اجرای دیداس بهطور خلاصه به شرح زیر است:
۱. وبسایت در حالت عادی
۲. ترافیک نرمال است و کاربران بهراحتی میتوانند به وبسایت دسترسی داشته باشند
۳. در حالی که وبسایت به کار خود ادامه میدهد، هکر کدهای مخرب خود را برای اجرای حمله آماده میکند
۴. هکر با استفاده از سیستمهای متعدد که تحت عنوان باتنت شناخته میشوند، به روند دیداس تسریع میبخشد.
۵. در این مرحله هکر حملهی دیداس را با تخریب و دستکاری ترافیک سرورِ وبسایت اجرا میکند.
حملهی «توزیعشده» به چه معنا است؟
چیزی که حمله را توزیعشده میکند، تلاش تیمی سیستمهای توزیعشده با یک هدف مشخص بهمنظور از دسترس خارج کردن وبسایت است؛ در حقیقت حملهی دیداس بین صدها یا هزاران کامپیوتر برای اجرای حمله، توزیع شده است. زمانی که حمله اجرا شد، کاربرها قادر به بازدید وبسایت نیستند. حتی در بدترین حالت وبسایت از خدمترسانی به کاربران بازمیماند و همین امر درنتیجه موجب ضرر مالی و توقف سوددهی شرکت میشود؛ از عواقب دیگر این حمله میتوان به از دست دادن کاربرهای دائمی وبسایت اشاره کرد.
رایجترین نوع حمله
رایجترین روش برای اجرای حملهی دیداس، ارسال درخواست اطلاعات بهطور سیلآسا برای سرور است. هدف از این کار، ایجاد یک موج عظیمی از ترافیک ساختگی (بیش از میزان ترافیکی که وبسرور قادر به تحمل و پردازش است) بهمنظور جلوگیری کاربر معمولی از دسترسی به وبسایت است؛ در نتیجه سرویسدهی به مشتریان این وبسایت متوقف میشود.
برای درک بهتر موضوع، فروشگاهی را در نظر بگیرید که مملو از مشتریانی است که باعث ایجاد شلوغی و ایجاد مزاحمت برای خرید کردن مشتریان واقعی میشوند؛ درخواستهای غیرواقعیِ حملهی دیداس نیز همانند این مشتریان است.
در کریسمس سال ۲۰۱۴، حملهی دیداس به سرورهای ایکسباکس لایو و شبکهی پلیاستیشن خبرساز شد. هزاران گیمرهای آنلاین از بازی کردن منع شدند و نتوانستند به بازی خود ادامه دهند. تیم Lizard Squad این حملهی دیداس را به عهده گرفت و حتی اعلام کرد که شش ماه پیش از این حمله نیز حملاتی به سرورهای پلیاستیشن و بازیهای World of Warcraft و League of Legendss اجرا کردهاند.
همانطور که یکی از منابع خبری گزارش کرده بود، هکرها در حال حاضر از استراتژیهایی تستشده تا هنگامی که کل وبسایت از کار بیفتد، استفاده میکنند؛ استراتژیهایی که در بلندمدت امتحان خود را پسدادهاند! حملهی دیداس به سرورهای سونی نهتنها باعث سرقت اطلاعات شد، بلکه دردسرهای بزرگی برای شرکت سونی و هواداران آن ایجاد کرد. منابع خبری اعلام کردهاند این نوع حملات در حال گسترش است و روز به روز به آمار آن افزوده میشود. بر اساس یکی از این آمارها، حمله دیداس در طول سه ماه امسال نسبت به همین بازهی زمانی در سال گذشته، سه برابر بیشتر شده است.
بر اساس گفتههای کارشناسان امنیتی، این روزها حملات دیداس به سلاحی منتخب برای برخی هکرها تبدیل شدهاند که دلیل آن در دسترس بودن تکنولوژیهای بهروز است. امروزه هکرها بهراحتی میتوانند شبکهای از کامپیوترهای آلوده اجاره کنند؛ این شبکه که باتنت نامیده میشود، بهمنظور اجرای حملات سایبری استفاده میشود. (کامپیوترهای این شبکه، زامبی نام دارند). هکرها حتی میتوانند از کامپیوترهای معمولی کاربران بهعنوان زامبی برای ارسال درخواستهایی غیرواقعی به وبسایت هدف استفاده کنند، بدون اینکه خود کاربر از این کار اطلاع داشته باشد. یکی از روشهای نفوذ به کامپیوترهای کاربران معمولی، درخواست دانلود فایل آلوده است؛ البته برای جلوگیری از این امر، پیشنهاد میشود آنتیویروس خود را بروز نگه دارید و از دانلود فایلهای ناشناخته خودداری کنید.
مراجع قانونی حساسیت بسیاری را روی این نوع حملات نشان میدهند، تا آنجایی که بهطور جدی حملات دیداس را پیگیری میکنند و تا یافتن مهاجم، این فرآیند را ادامه میدهند. یکی از راههای پیدا کردن مهاجم و هکر، پیگیری کردن از طریق آیپی آدرس است که البته این کار، خود زمانبر و تا حدودی شانسی است؛ گرچه برخی اوقات هکرها سرنخهایی را از خود برجای میگذارند که باعث میشود پیدا کردن آنها تسریع یابد. بهعنوان مثال دانشجوی مهندسی کامپیوتر اهل فلوریدا، وبسایتی را با استفاده از آپلود کردن فایلهای متعدد روی آن، هک کرد و سپس توییتِ مربوط به این حمله را در توییتر منتشر کرد. اشتباهی که این هکر مرتکب شد این بود که از طریق سیستم شخصی خود توییت را منتشر کرد که این امر باعث شد سریعا از طریق آیپی شناسایی شود؛ افبیآی از همین روش توانست سریعا آدرس وی را پیدا و در خانهی شخصیاش دستگیر کند.
مورد مشابه برای یک گیمر اتفاق افتاد، وی حملهی دیداس را روی سایت بازیِ Call of Duty اجرا کرده بود. درنتیجه توانسته بود تمامی امتیازهای مربوط به بازی را کسب و سایر گیمرها را از بازی کردن منع کند. استراتژی تقلب وی در بازی با موفقیت اجرا شده بود؛ اما هک را از کامپیوتر شخصی خود انجام داده بود که از طریق آیپی آدرس پیگیری، شناسایی و در نهایت دستگیر شد.
تفاوت بین DoS و DDoS
حملهی DoS متفاوت از یک حملهی DDoS است و تفاوت آنها در زامبیها است؛ در DoS از یک کامپیوتر و یک اتصال اینترنت برای حمله استفاده میشود، در حالی که DDoS چندین کامپیوتر و منابع مختلف را به کار میگیرد. حملات DDoS عموما جهانی و دارای باتنتهای توزیعشدهی متعدد در نقاط مختلف هستند.
انواع مختلف حملات DDoS
این نوع حملات دارای انواع مختلفی هستند اما در کل دو دسته از حملهی DDoS رایج به شرح زیر وجود دارد:
حملات ترافیکی: در این نوع حملهی DDoS حجم عظیمی از درخواستهای TCP، UDP و ICPM به سمت سیستم هدف ارسال میشود. در این بین، برخی درخواستها گم میشوند و برخی دیگر توسط بدافزار با موفقیت به کار گرفته میشوند.
حملات پهنای باند: در این نوع از حمله، سیستمهای زامبی حجم زیادی از اطلاعات بدون استفاده را بهمنظور اشغال پهنای باند ماشین قربانی به آن ارسال میکند. در نتیجه، هدف کاملا از کار میافتد و دسترسی آن به تمامی منابع قطع میشود.
پیشگیری از حملات DDoS
آسیبپذیری در مقابل این نوع حملات، بیشتر به امنیت سرور برمیگردد تا به امنیت سایت؛ برای تأمین امنیت سرور، راهحلهای مختلفی وجود دارد که این مسئله به کانفیگ سیپنل و دایرکت ادمین بستگی دارد، موارد زیر در تأمین امنیت سرور تأثیر بسیاری دارند:
- تأمین امنیت Kernel سیستم عامل
- تأمین امنیت سرویس php
- تأمین امنیت وب سرور نصبشده nginx ،apache ،litespeed و lighthttpd
- تأمین امنیت پورتهای باز سرور
- تأمین امنیت اسکریپتهای تحت perl که در صورت باز بودن دسترسی خطرساز هستند
- تأمین امنیت اسکریپتهای تحت php
- تأمین امنیت اسکریپتهای تحت python
- ایمنسازی سرور برای عدم اجرای شلهای مخرب رایج
- نصب و کانفیگ حرفهای آنتیویروس برای اسکن خودکار سرور
- نصب و کانفیگ حرفهای آنتی شل برای اسکن خودکار سرور جهت جلوگیری از فعالیت شلها و فایلهای مخرب روی سرور
- ایمنسازی symlink جهت عدم دسترسی به هاستهای دیگری روی سرور
- بستن دسترسی فایلهای خطرناک سیستم عامل جهت امنیت بیشتر
- بستن پورتها و حذف سرویسهای غیرضروری سرور
به خاطر داشته باشید حتی شرکتهای بزرگ دنیای فناوری نیز روزانه چندین نوع حملات سایبری متحمل میشوند؛ از اینرو امنیت هیچگاه تضمینی و ۱۰۰٪ نیست. اما با رعایت موارد اشارهشده و مانیتورینگ روزانهی امنیت وبسایت و وبسرور، میتوان تا حدی از این نوع حملات پیشگیری کرد.