حمله DDoS چیست و چه فرقی با DoS دارد؟

حملات DDoS

اگر با وب‌سایت، شبکه و سرورها سر و کار دارید، حتما واژه DDoS به گوش‌تان خورده است. DDoS مخفف شده واژه « Distributed denial of service» به معنی «محروم‌سازی از سرویس» است. حمله DDoS زیرمجموعه‌ای از denial of service یا همان حمله DoS است. حالا که فهمیدیم این اصطلاح از کجا آمده، برویم سراغ این که حمله DDoS چیست؟

به طور کلی، این حمله با چندین دستگاه متصل به اینترنت و شبکه اتفاق می‌افتد که این دستگاه‌ها عموماً بات‌نت (BotNet) نامیده می‌شوند که وظیفه آن‌ها هدف قرار دادن یک وب‌سایت با ترافیک غیر واقعی است.

به اتفاقی که شرح داده شد، یک حمله دیداس گفته می‌شود. فرایند DDoS این گونه است که بات‌نت‌ها ترافیک جعلی روی وب‎سایت ایجاد می‌کنند که این کار باعث استفاده بیش از حد از منابع وبسایت می‌شود. در نتیجه، وبسایت مورد نظر، از دسترس کاربران واقعی خود خارج می‌شود.

DDoS چیست؟

نگاهی به آمار حملات DDoS در سال 2020

کارشناسان فناوری اطلاعات در نیمه نخست سال 2020 شاهد تغییر بی سابقه‌ای در آمار و ارقام برخورد با حملات DDoS بودند اما این تغییر بی سابقه فقط شامل تعداد حملات نبود، بلکه حملات از نظر سرعت، پیچیدگی و وارد کردن خسارات بیشتر به اهداف نیز تغییر روش داده بودند و کارشناسان پیش‌بینی تداوم این حملات را داشتند.

ریچارد هامل، رئیس امنیت اطلاعات کمپانی Netscout در این‌باره می‌گوید:

“مهاجمان، تمرکز حملات خود را روی سیستم عامل‌ها، دنیای آنلاین و دیجیتال از جمله تجارت‌های وابسته به اینترنت، مراکز آموزشی، خدمات مالی و سازمان‌های بهداشت که از اهمیت بالایی برخوردار هستند، به طور چشم گیری افزایش داده‌اند. هوشیاری و آمادگی متخصصان امنیت بدون توجه به اهداف حملات و تاکتیک‌های مورد استفاده مهاجمان، بسیار ضروری و لازم است تا در برابر این چالش‌ها بتوانند از زیرساخت‌های حیاتی که جامعه آنلاین و دیجیتال را به هم متصل و مرتبط ساخته است، محافظت کنند.”

در ماه می سال 2020 (اردیبهشت – خرداد)، بیش از 929.000 حمله DDoS ثبت گردید که بیشترین تعداد حملات ثبت شده در یک ماه را شامل می‌شد و در نیمه نخست سال 2020 حدود 4 میلیون و 830 هزار حمله دیداس صورت گرفت که باعث افزایش پانزده درصدی این حملات شد.

در نمودار زیر، پراکندگی حملات DDoS در یک چهارم نخست و یک چهارم دوم سال 2020 از نظر کشورهای قربانی، نمایش داده شده‌است. همان‌طور که مشاهده می‌کنید، کشور چین و ایالات متحده آمریکا رتبه اول و دوم دریافت این حملات را به خود اختصاص داده‌اند. 

نمودار میزان حملات DDoS به تفکیک کشور

موفقیت آمیز بودن یک حمله DDoS از این جهت مهم است که روی تمام کاربران بستر مورد هدف تاثیر می‌گذارد. این امر باعث  DDoS را تبدیل به یک سلاح محبوب برای مهاجمان کرده است. این حملات ممکن است هم به صورت حملات کوتاه و هم به صورت حملات مکرر انجام شود. در هر دو حالت، آسیب ناشی از این حملات بر روی یک وب‌سایت یا کسب و کار آنلاین، به دلیل صرف هزینه و زمان مورد نیاز برای بازگشت به حالت ایده‌آل خود می‌تواند از روزها تا حتی ماه‌ها باقی بماند. این موضوع موجب شده تا حملات دیداس برای هر سازمانی که به اینترنت وابسته است، بسیار مخرب و خطرناک باشد. جدا از این موارد، حملات DDoS می‌توانند منجر به کاهش یا از بین رفتن درآمد و اعتماد کاربران و همچنین به وجود آوردن هزینه‌های زیاد برای کسب و کارها برای جبران خسارات ناشی از حمله شوند.

چگونه از سازمان خود در برابر حمله DDoS محافظت کنیم؟

یکی از بهترین راهکارها برای مقابله با حملات دیداس، استفاده از محصول فورتی نت، یعنی فورتی دیداس است که به طور اختصاصی به این منظور طراحی شده است. برای اطلاعات بیشتر درباره این محصول، روی لینک زیر کلیک کنید:

حمله DDoS و DoS چه فرقی با هم دارند؟

همان‌طور که در ابتدا گفته شد حملات DDoS زیر مجموعه ای از (DoS (Denial Of Service هستند. اما تفاوت‌هایی بین DDoS و DoS وجود دارد، برای مثال، در حمله DoS مهاجم از یک اتصال به اینترنت استفاده می‌کند تا از آسیب پذیری نرم‌افزار سواستفاده کرده و هدف خود را در درخواست‌های جعلی غرق کند. این کار در نهایت باعث می‌شود از منابع سرور مثل، RAM و CPU بیش از حد کار کشیده شود.

از طرف دیگر، حملات Distributed Denial Of Service) DDoS) از طریق چندین دستگاه پراکنده متصل به اینترنت اجرا می‌شوند. خنثی کردن این‌گونه حملات چند نفره و چند دستگاهی، معمولا به دلیل حجم بالای دستگاه‌ها دشوارتر است. برخلاف حملات تک منبع DoS، حملات DDoS میل به هدف قرار دادن زیرساخت‌های شبکه و اشتباع کردن آن‌ها با حجم زیادی از ترافیک جعلی دارند.

حملات DDoS در نحوه اجرا نیز متفاوت هستند. به طور کلی، حملات DoS از اسکریپت‌های دست ساز و به اصطلاح خانگی یا ابزار های DoS مثل Orbit Lon Canon اجرا می‌شوند درصورتی که حملات DDoS از طریق بات‌نت‌ها و گستره‌ای بزرگ از دستگاه‌های متصل به اینترنت از جمله تلفن‌های همراه، رایانه‌های شخصی و مسیریاب‌ها (Routers) که به دلیل آلوده شدن به بدافزار قابلیت کنترل از راه دور توسط مهاجم را دارند، اجرا می‌شوند.

بات‌نت‌ها چگونه حملات گسترده را اجرا می‌کنند؟

بات‌نت‌ها مجموعه‌ای از دستگاه‌های متصل به اینترنت ربوده شده یا قابل کنترل از راه دور توسط یک اتاق فرمان هستند که برای حملات سایبری استفاده می‌شوند. آن‌ها معمولا می‌توانند شامل کامپیوترهای شخصی، تلفن‌های همراه، دستگاه های مرتبط با اینترنت (IoT) ناامن و حتی منابع سرویس‌های خدمات ابری عمومی باشند. مهاجمان برای به خطر انداختن دستگاه‌ها و تبدیل آن‌ها به یک دستگاه به اصطلاح “زامبی” در مجموعه بات‌نت‌های خود از تکنیک‌های مختلفی از جمله بدافزارها استفاده می‌کنند.

بات‌نت‌ها با استفاده از مزیت تعداد بالای ماشین‌ها، به قدرت زیاد و قابلیت پنهان کردن منبع ترافیک دست پیدا می‌کنند و در نتیجه آن، مهاجم قادر به انجام حملات DDoS می‌شود. از آن‌جایی که ترافیک پراکنده و توزیع شده است، تشخیص به موقع و سریع حملات DDoS برای ابزارها و تیم‌های امنیت سایبری دشوار می‌شود.

انواع حملات دیداس

حملات DDoS را می‌توان به دو گروه دسته بندی کرد: حمله در لایه اپلیکیشن (Application layer attacks) و حمله در لایه شبکه (Network layer attacks). هر یک از این انواع، تعریف خاصی از رفتارها و پارامترهای خود در زمان حمله و همچنین هدف خود را از تهاجم مشخص می‌کنند.

حملات لایه اپلیکیشن

حملات لایه اپلیکیشن که به نام حملات لایه 7 شناخته میشوند، می‌توانند تهدید خود را هم از طریق DoS و هم DDoS اعمال کنند. به این صورت که با ارسال تعداد زیادی درخواست به سمت سرور که ملزم به داشتن مدیریت و منابع متمرکز هستند، باعث استفاده بیش از حد از منابع سرور (Overload) می‌شوند.

DNS DDoS attack

نمودار یک وبسایت بازی‌های آنلاین که با دریافت بیش از 25 میلیون بسته در ثانیه غرق در حملات DNS شده‌است.

میزان حملات در لایه اپلیکیشن یا همان لایه 7 را معمولا به صورت تعداد درخواست در ثانیه (RPS) اندازه گیری می‌کنند، جالب است بدانید برای حمله به سایت‌ها معمولی حدود 50 تا 100 RPS کافیست.

حملات لایه شبکه

این حملات که به حملات لایه 3 و 4 معروف هستند، به‌طور معمول همیشه DDoS هستند و با هدف مسدود کردن Pipeline های اتصال شبکه اجرا می‌شوند. مقیاس‌های مورد استفاده در این دسته حملات شامل UDP flood, SYN flood, NTP amplification, DNS amplification و … هستند.

هر یک از موارد گفته شده می‌توانند برای جلوگیری از دسترسی به سرور، مورد استفاده قرار گیرند و باعث بروز خسارات زیادی از جمله تعلیق حساب‌ها و خسارت‌های مالی شوند. این نوع حملات به طور معمول رخدادی با ترافیک بالا هستند و به صورت گیگ بر ثانیه (Gbps) و یا بسته بر ثانیه (PPS) اندازه گیری می‌شوند. حملات بزرگ در لایه شبکه می‌توانند فراتر از چند صد گیگ بر ثانیه باشند، اما با این حال حملاتی با مقیاس 20 Gbps تا 40 Gbps برای از دسترس خارج کردن زیرساخت‌های شبکه به طور کامل، کفایت می‌کنند.

انگیزه‌های مهاجم

انجام این حملات توسط مهاجم یا مهاجمین را DDoSing می‌گویند، حمله Denial Of Service امکان اجرا توسط افراد، شرکت‎ها و مشاغل و حتی دولت‌ها را با انگیزه‌های مختلف دارد.

Hacktivism چیست و Hacktivist کیست؟

Hacktivist ها از حملات DoS به عنوان ابزاری برای بیان انتقاد خود از هر هدفی استفاده می کنند، از دولت‌ها و سیاستمداران تا کسب و کار‌های بزرگ و حتی رخدادهای روز دنیا همگی شامل این اهداف می‌شوند. این‌طور گفته می‌شود که اگر یک هکتیویست با شما موافق نباشد، وبسایت شما قرار است مورد حمله قرار بگیرد و این عمل به Tango Down معروف است.

این نوع مهاجمان نسبت به هکرهای دیگر از دانش فنی کمتری برخوردار هستند، هکتیویست‌ها به طور معمول برای انجام حملات خود از ابزارها و نرم افزارهای از پیش ساخته شده استفاده می‌کنند و ابزارهای معمول آن‌ها برای انجام حملاتشان، DoS و DDoS است. شاید بتوان گفت «Anonymous» یکی از بهترین گروه‌های هکتیویست هستند. آن‌ها مسئول حمله سایبری به ISIS (داعش) در فوریه سال 2015 در پاسخ حمله تروریستی آن‌ها به اهدافی در پاریس، حملات و تهدیدات دیگری به دولت برزیل و حامیان جام‌جهانی فوتبال در سال 2014 بودند.

Cyber Vandalism چیست؟

Cyber Vandalism به دلیل اتکا به اسکریپت‌ها و ابزارهای پیش ساخته برای ایجاد خرابکاری در فضای اینترنت با نام “Script Kiddies” نیز شناخته می‌شوند. این دسته معمولا شامل نوجوانانی که به دنبال فعالیت‌های هیجان انگیز، ابراز نارضایتی و مخالفت نسبت به موسساتی مثل موسسه‌های آموزشی و یا اشخاصی که فکر می‌کنند از طرف آن‌ها مورد ظلم واقع شده‌‍اند، می‌شود. البته بعضی از این نوع مهاجمان هم فقط به دنبال جلب توجه و کسب اعتبار نزد اطرافیانشان هستند.

در کنار ابزارهای پیش ساخته و اسکریپت‌ها، خرابکاران سایبری از سرویس‌های خدماتی استخدام DDoS مثل Booter ها و Stresser ها که با هزینه‌ای کمتر از 19 دلار می‌توان به‌صورت آنلاین خریداری کرد، استفاده می‌کنند.

Extortion یا باج‌گیر چیست؟

Extortion، از انگیزه‌های حملات DDoS، که به‌صورت فزاینده‌ای دارای محبوبیت در بین مهاجمان است، به معنی درخواست غیر قانونی و مجرمانه پول دربرابر عدم انجام یا توقف حمله DDoS توسط مهاجم می‌باشد. شرکت‌های ساخت نرم افزارهای آنلاین متعدد برجسته‌ای از جمله Vemeo، MeetUP، Bitly و Basecamp پیام‌های مبنی بر درخواست باج را دریافت کرده‌اند و حتی برخی از آن‌ها پس از امتناع از انجام خواسته باج گیرنده وبسایت‌شان Offline شد.

استفاده از DDoS توسط شرکت‌ها برای رقابت با شرکت‌های دیگر

این‌گونه حملات به‌طور روز افزون به عنوان ابزاری برای رقابت بیزینس‌ها مورد استفاده واقع شده‌است. برای مثال، برخی از این حملات برای جلوگیری از مشارکت یک رقیب در رویدادی مهم مانند Cyber Monday طراحی می‌شوند در مقابل برخی دیگر اجرا می‌شوند تا مشاغل را برای ماه‌ها تعطیل کنند. در هر حالت ایده و هدف، ایجاد اختلال می‎باشد تا در عین ایجاد خسارات مالی و اعتباری، مشتریان رقیب را نیز به سمت خود جذب کنند. حملات توزیع شده تکذیب سرویس، به طور میانگین برای سازمان‌ها می‌تواند تا حدود 40.000 دلار بر ساعت هزینه داشته باشد. این‌گونه حملات معمولا از نظر بودجه به خوبی تامین می‌شوند و به وسیله ابزارهای حرفه‌ای که به اصطلاح “Hired Guns” گفته می‌شوند انجام می‌پذیرند، بدین‌گونه که شناسایی‌های اولیه را انجام می‌دهند و سپس از ابزارها و منابع اختصاصی برای حفظ تداوم تهاجم DDoS استفاده می‌کنند.

کاربرد دیداس در Cyber Warfare

در جنگ سایبری با حمایت دولت‌ها از حملات DDoS برای خاموش کردن منتقدان و مخالفان داخلی و همچنین ایجاد اخلال در خدمات مهم مالی، بهداشتی و زیرساختی در کشورهای دشمن، به عنوان ابزاری قدرتمند استفاده می‌شود. اینکه این حملات توسط دولت‌های ملی پشتیبانی می‌شود، به این معنی است که آن‌ها کمپین‌هایی سازمان یافته با بودجه تامین شده ایجاد می‌کنند تا متخصصان برجسته فناوری، خواسته دولت را برآورده کنند.

استفاده از حملات DDoS برای مقاصد و رقابت شخصی

از حملات DoS می‌توان برای تسویه حساب‌های شخصی یا اخلال در مسابقات آنلاین استفاده کرد. این حملات اغلب در چارچوب بازی‌های آنلاین چند نفره رخ می‌دهد، جایی که بازیکنان برای به دست آوردن امتیاز یا جلوگیری از شکست قریب الوقوع، DDoS را علیه یکدیگر و حتی علیه سرورهای بازی راه‌اندازی می‌کنند. تهاجم به بازیکنان عموما به وسیله DoS انجام می‌گیرد که نرم افزارهای مورد نیاز آن به صورت گسترده‌ای در دسترس قرار دارند. در مقابل از DDoS برای حمله سرور بازی‌ها به‌وسیله Booter ها و Stresser ها، استفاده می‌شود.

حال که با مفاهیم Denial Of service و Distributed Denial Of Service آشنا شدید، به شما پیشنهاد می‌دهیم تا راه‌های دفاع، پیشگیری و محافظت در برابر این حملات را نیز بدانید.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *