حملات DDoS و روش های جلوگیری از آن

اگرچه چندین سال است که حملات اختصاصی DDoS استفاده می‌شوند؛ اما با این حال هنوز هم دارای ساختار پیچیده‌ هستند و در عین حال ساده‌ترین نوع حمله محسوب می‌شوند. سیستم‌هایی که حمله DDoS روی آن‌ها اجرا می‌شود، عواقب مخربی را متحمل می‌شوند که در ادامه به بررسی این حمله و عواقب آن می‌پردازیم.

DDoS مخفف Distributed Denial of Service است؛ در این شیوه مهاجمان با در اختیار داشتن زنجیره‌ای از رایانه‌ها، حجم گسترده‌ای از تقاضاها را به سمت سرورهای مقصد روانه می‌کنند که در نهایت با اشغال تمامی ترافیک مربوط به سرورهای مورد نظر، موجب از کار افتادن سرویس‌دهی آن می‌شوند.

DDoS جزو رایج‌ترین حملاتی است که تاکنون روی وب‌سایت‌های شناخته‌شده‌ی دنیای فناوری اجرا شده است. عواقب این حملات بر درآمد میلیونی شرکت و حتی نام تجاری آن تأثیر می‌گذارند. می‌توان گفت بیشتر نفوذگرها به دنبال سرقت اطلاعات شخصی و حساب کاربری نیستند، برخی از این هکرها صرفا به دنبال از دسترس خارج کردن وب‌سایت‌های مهم هستند که در این صورت نیز شرکت مورد نظر ضرر بسیاری را متحمل می‌شود. این حملات همانند مزاحمت‌های خیابانی هستند؛ اگرچه اموال مردم را به سرقت نمی‌برند اما مزاحم کار و تفریح می‌شوند! حمله DDoS نیز از این ایده استفاده می‌کند و طرز کار آن بر اساس همین مزاحمت‌های خیابانی است.

هدف حمله‌‌ی دی‌داس، ایجاد مزاحمت در عملکرد معمولی‌ یک وب‌سایت خاص است؛ عملکرد دی‌داس همانند ویروس‌ها تصادفی نیست، هدف ویروس‌ها نه‌فقط یک کاربر، بلکه تمامی کاربران را در بر می‌گیرد؛ اما دی‌داس برنامه‌ریزی‌ و صرفا برای یک هدف خاص تنظیم می‌شود. در حالت کلی هدف دی‌داس از دسترس خارج کردن یک وب‌سایت خاص برای کاربران و بازدیدکنندگان روزانه‌ی آن است.

مراحل اجرای دی‌داس به‌طور خلاصه به شرح زیر است: 

چیزی که حمله را توزیع‌شده می‌کند، تلاش تیمی سیستم‌های توزیع‌شده با یک هدف مشخص به‌منظور از دسترس خارج کردن وب‌سایت است؛ در حقیقت حمله‌ی دی‌داس بین صدها یا هزاران کامپیوتر برای اجرای حمله، توزیع شده است. زمانی که حمله اجرا شد، کاربرها قادر به بازدید وب‌سایت نیستند. حتی در بدترین حالت  وب‌سایت از خدمت‌رسانی به کاربران بازمی‌ماند و همین امر درنتیجه موجب ضرر مالی و توقف سوددهی شرکت می‌شود؛ از عواقب دیگر این حمله می‌توان به از دست دادن کاربرهای دائمی وب‌سایت اشاره کرد. 

رایج‌ترین روش برای اجرای حمله‌ی دی‌داس، ارسال درخواست اطلاعات به‌طور سیل‌آسا برای سرور است. هدف از این کار، ایجاد یک موج عظیمی از ترافیک ساختگی (بیش از میزان ترافیکی که وب‌سرور قادر به تحمل و پردازش است) به‌منظور جلوگیری کاربر معمولی از دسترسی به وب‌سایت است؛ در نتیجه سرویس‌دهی به مشتریان این وب‌سایت متوقف می‌شود.

برای درک بهتر موضوع، فروشگاهی را در نظر بگیرید که مملو از مشتریانی است که باعث ایجاد شلوغی و ایجاد مزاحمت برای خرید کردن مشتریان واقعی می‌شوند؛ درخواست‌های غیرواقعیِ حمله‌ی دی‌داس نیز همانند این مشتریان است. 

در کریسمس سال ۲۰۱۴، حمله‌‌ی دی‌داس به سرورهای ایکس‌باکس لایو و شبکه‌ی پلی‌استیشن خبرساز شد. هزاران گیمرهای آنلاین از بازی کردن منع شدند و نتوانستند به بازی‌ خود ادامه دهند. تیم  Lizard Squad این حمله‌‌ی دی‌داس را به عهده گرفت و حتی اعلام کرد که شش ماه پیش از این حمله نیز حملاتی به سرورهای پلی‌استیشن و بازی‌های World of Warcraft و League of Legendss اجرا کرده‌اند.

همان‌طور که یکی از منابع خبری گزارش کرده بود، هکرها در حال حاضر از استراتژی‌هایی تست‌شده تا هنگامی که کل وب‌سایت از کار بیفتد، استفاده می‌کنند؛ استراتژی‌هایی که در بلندمدت امتحان خود را پسداده‌اند! حمله‌ی دی‌داس به سرورهای سونی نه‌تنها باعث سرقت اطلاعات شد، بلکه دردسرهای بزرگی برای شرکت سونی و هواداران آن ایجاد کرد. منابع خبری اعلام کرده‌اند این نوع حملات در حال گسترش است و روز به روز به آمار آن افزوده می‌شود. بر اساس یکی از این آمارها، حمله دی‌داس در طول سه ماه امسال نسبت به همین بازه‌ی زمانی در سال گذشته، سه برابر بیشتر شده است.

بر اساس گفته‌های کارشناسان امنیتی، این روزها حملات دی‌داس به سلاحی منتخب برای برخی هکرها تبدیل شده‌اند که دلیل آن در دسترس بودن تکنولوژی‌های به‌روز است. امروزه هکرها به‌راحتی می‌توانند شبکه‌ای از کامپیوترهای آلوده اجاره کنند؛ این شبکه که بات‌نت نامیده می‌شود، به‌منظور اجرای حملات سایبری استفاده می‌شود. (کامپیوترهای این شبکه، زامبی نام دارند). هکرها حتی می‌توانند از کامپیوترهای معمولی کاربران به‌عنوان زامبی برای ارسال درخواست‌هایی غیرواقعی به وب‌سایت هدف استفاده کنند، بدون اینکه خود کاربر از این کار اطلاع داشته باشد. یکی از روش‌های نفوذ به کامپیوترهای کاربران معمولی، درخواست دانلود فایل آلوده است؛ البته برای جلوگیری از این امر، پیشنهاد می‌شود آنتی‌ویروس خود را بروز نگه دارید و از دانلود فایل‌های ناشناخته خودداری کنید. 

مراجع قانونی حساسیت بسیاری را روی این نوع حملات نشان می‌دهند، تا آنجایی که به‌طور جدی حملات دی‌داس را پیگیری می‌کنند و تا یافتن مهاجم، این فرآیند را ادامه می‌دهند. یکی از راه‌های پیدا کردن مهاجم و هکر، پیگیری کردن از طریق آی‌پی آدرس است که البته این کار، خود زمان‌بر و تا حدودی شانسی است؛ گرچه برخی اوقات هکرها سرنخ‌هایی را از خود برجای می‌گذارند که باعث می‌شود پیدا کردن آن‌ها تسریع یابد. به‌عنوان مثال دانشجوی مهندسی کامپیوتر اهل فلوریدا، وب‌سایتی را با استفاده از آپلود کردن فایل‌های متعدد روی آن، هک کرد و سپس توییتِ مربوط به این حمله را در توییتر منتشر کرد. اشتباهی که این هکر مرتکب شد این بود که از طریق سیستم شخصی خود توییت را منتشر کرد که این امر باعث شد سریعا از طریق آی‌پی شناسایی شود؛ اف‌بی‌آی از همین روش توانست سریعا آدرس وی را پیدا و در خانه‌ی شخصی‌اش دستگیر کند.

مورد مشابه برای یک گیمر اتفاق افتاد، وی حمله‌ی دی‌داس را روی سایت بازیِ Call of Duty اجرا کرده بود. درنتیجه توانسته بود تمامی امتیازهای مربوط به بازی را کسب و سایر گیمرها را از بازی کردن منع کند. استراتژی تقلب وی در بازی با موفقیت اجرا شده بود؛ اما هک را از کامپیوتر شخصی خود انجام داده بود که از طریق آی‌پی آدرس پیگیری، شناسایی و در نهایت دستگیر شد.

حمله‌ی DoS متفاوت‌ از یک حمله‌ی DDoS است و تفاوت آن‌ها در زامبی‌ها است؛ در DoS از یک کامپیوتر و یک اتصال اینترنت برای حمله‌ استفاده می‌شود، در حالی که DDoS چندین کامپیوتر و منابع مختلف را به کار می‌گیرد. حملات DDoS عموما جهانی و دارای بات‌نت‌های توزیع‌شده‌ی متعدد در نقاط مختلف هستند.

این نوع حملات دارای انواع مختلفی هستند اما در کل دو دسته از حمله‌ی DDoS رایج به شرح زیر وجود دارد:

حملات ترافیکی: در این نوع حمله‌ی DDoS حجم عظیمی از درخواست‌های TCP، UDP و ICPM به سمت سیستم هدف ارسال می‌شود. در این بین، برخی  درخواست‌ها گم می‌شوند و برخی دیگر توسط بدافزار با موفقیت به کار گرفته می‌شوند.

حملات پهنای باند:‌ در این نوع از حمله، سیستم‌های زامبی حجم زیادی از اطلاعات بدون استفاده را به‌منظور اشغال پهنای باند ماشین قربانی به آن ارسال می‌کند. در نتیجه، هدف کاملا از کار می‌افتد و دسترسی آن به تمامی منابع قطع می‌شود. 

آسیب‌پذیری در مقابل این نوع حملات، بیشتر به امنیت سرور برمی‌گردد تا به امنیت سایت؛ برای تأمین امنیت سرور، راه‌حل‌های مختلفی وجود دارد که این مسئله به کانفیگ سی‌پنل و دایرکت ادمین بستگی دارد، موارد زیر در تأمین امنیت سرور تأثیر بسیاری دارند:

• تأمین امنیت Kernel سیستم عامل
• تأمین امنیت سرویس php 
• تأمین امنیت وب سرور نصب‌شده nginx ،apache ،litespeed و lighthttpd
• تأمین امنیت پورت‌های باز سرور 
• تأمین امنیت اسکریپت‌های تحت perl که در صورت باز بودن دسترسی خطرساز هستند
• تأمین امنیت اسکریپت‌های تحت php
• تأمین امنیت اسکریپت‌های تحت python
• ایمن‌سازی سرور برای عدم اجرای شل‌های مخرب رایج
• نصب و کانفیگ حرفه‌ای آنتی‌ویروس برای اسکن خودکار سرور
• نصب و کانفیگ حرفه‌ای آنتی شل برای اسکن خودکار سرور جهت جلوگیری از فعالیت شل‌ها و فایل‌های مخرب روی سرور
• ایمن‌سازی symlink جهت عدم دسترسی به هاست‌های دیگری روی سرور
• بستن دسترسی فایل‌های خطرناک سیستم عامل جهت امنیت بیشتر
• بستن پورت‌ها و حذف سرویس‌های غیرضروری سرور

به خاطر داشته باشید حتی شرکت‌های بزرگ دنیای فناوری نیز روزانه چندین نوع حملات سایبری متحمل می‌شوند؛ از این‌رو امنیت هیچ‌گاه تضمینی و ۱۰۰٪ نیست. اما با رعایت موارد اشاره‌شده و مانیتورینگ روزانه‌ی امنیت وب‌سایت و وب‌سرور، می‌توان تا حدی از این نوع حملات پیشگیری کرد.