تحلیل و بررسی حملات Ddos

…حملات Ddos چیست و چگونه با آن ها مقابله کنیم ؟ در برخی از موارد حمله هایی به وب سایت ها و سرویس های میزبانی وب صورت میگیرد که وب سایت را برای برخی از کاربران و یا همه آن ها غیر قابل دسترس می کند. در ادامه به بررسی یکی از این حملات تحت عنوان حملات Ddos می پردازیم . با نوین هاست همراه باشید..

حملات Ddos

حملات DDos

بعضا شاهد هستیم که افراد مختلف با انگیزه های متفاوت اقدام به هک و ایجاد اختلال در سایت ها و سرورها و در نتیجه باعث از دسترس خارج شدن و یا در حالتی پیشرفته تر از کنترل خارج شدن آنها می شوند. این افراد برای رسیدن به مقاصدشان از شیوه های متفاوتی استفاده می کنند.  که البته بسته به میزان هوشمندی مدیران سرور و رعایت نکات امنیتی در سیستم های مدیریت محتوا، خیلی از این روش ها به راحتی قابل پیشگیری است. اما آنچه در این مطلب قصد داریم به آن بپردازیم. آشنا کردن شما با نوعی از ایجاد اختلال در وب موسوم به حمله های DDOS یا distributed denial of service attack است که بیشترین شیوع را دارد.

اتک DDOS چیست؟

حمله DDoS مخفف (distributed denial of service) به زبان ساده یعنی سرازیر کردن تقاضاهای زیاد به یک سرور و استفاده بیش از حد از منابع (پردازنده، پایگاه داده، پهنای باند، حافظه و…) به طوری که سرویس دهی عادی آن به کاربرانش دچار اختلال شده یا از دسترس خارج شود. (به دلیل حجم بالای پردازش یا به اصطلاح overload شدن عملیات های سرور). در این نوع حمله ها در یک لحظه یا در طی یک زمان به صورت مداوم از طریق کامپیوترهای مختلف که ممکن است خواسته یا حتی ناخواسته مورد استفاده قرار گرفته باشند. به یک سرور (با آی پی مشخص) درخواست دریافت اطلاعات ارسال  می شود و موجب از دسترس خارج شدن سرور مجازی یا به اصطلاح  Down شدن سرور می شود .

حملات DDoS با از کار انداختن وب سایت شما باعث کاهش بازدید کنندگان و در نهایت کاهش اعتبار وب سایت شما خواهد شد.

اگر هاست ایمن داشته باشید . با قرار گرفتن بر روی سرور های قدرتمند در شبکه های محافظت شده وب سایت شما را در مقابل حجم سنگینی از حملات DDoS مقاوم و ایمن می کند و امنیت وب سایت شما را تضمین می کند.

توجه !!!

متاسفانه خیلی از وب سایت ها با شعار محافظت در مقابل  DDoS  در حال فروش هاست می باشند و هنگامی که یک حمله DDoS قدرتمند بر روی سایت یک کاربر رخ می دهد سریعا برای محافظت از سرور اکانت مشتری را مسدود می نمایند! . که ممکن است حتی بعد از حمله نیز اکانت شما مسدود بماند یا مدیر سرور از شما بخواهد که سایت خود را به مکان دیگری منتقل کنید .

اکثر وب هاستینگ ها از فایروال نرم افزاری و یا سخت افزاری ارزان برای محافظت از سرور استفاده می کند. اما اگر حجم DDoS  زیاد باشد خود فایروال باعث Down شدن  سرور می شود!. هر چند سرور ها از فایروال های نرم افزاری استفاده می کنند.  اما  در خواست های ارسال شده DDoS قبل از رسیدن به سرور در شبکه ی داخلی دیتاسنتر بلاک می شوند.

نشانه حمله ddos چیست؟

خوشبختانه یکی از موارد مثبت این نوع حملات این است که به سرعت می توان به نحوه عملکرد سرویس مشکوک شد و جلوی اختلال بیشتر را گرفت. پس از اینکه سروری مورد حمله ddos قرار می گیرد. ممکن است با توجه به اهداف و شیوه به کار رفته یک قسمت از منابع یا همه ی قسمت های آن دچار اختلال شود. در زیر لیستی از این علائم را ذکر می کنیم.

– کندی در پاسخگویی به درخواست ها

سروری که مود حمله قرار گرفته باشد، معمولا خیلی کند و با وقفه به درخواست بارگذاری صفحات پاسخ می دهد، البته این نشانه همیشه دلیل حمله ddos نیست، چرا که این اتفاق به طور طبیعی نیز برای سرورها و سایتهای با بازدید بالا ممکن است رخ دهد یا کنترل این امر بستگی زیادی به قدرت سخت افزاری سرور و تنظیمات آن دارد.

– عدم اتصال به پایگاه داده

گاهی ممکن است صفحات استاتیک که نیازی به اتصال پایگاه داده ندارند به راحتی بارگذاری شوند، ولی اتصال به پایگاه داده برای صفحات داینامیک برقرار نشود، در چنین مواقعی معمولا پیام تکمیل ظرفیت اتصال به پایگاه داده یا too many connection  ظاهر خواهد شد. بهترین کار در چنین حالتی این است که با تنظیم یک دستور هِدر ۵۰۰ HTTP، به ربات های جستجوگر بگوییم که سایت ما فعلا دچار مشکلی است و بعدا مراجعه نمائید!. چرا که در غیر اینصورت با وجود down بودن دیتابیس سرور، ربات ها با دریافت وضعیت HTTP 200، صفحه خالی را ایندکس می کنند که این حالت اصلا مناسب نیست. در php این کار را با دستورات header می توان انجام داد.

header(‘HTTP/1.0 500 Internal Server Error’);

– مصرف بیش از حد منابع سرور

یکی دیگر از نشانه های حمله ddos می تواند مصرف بیش از حد و غیر طبیعی منابع سرور مثل حافظه و یا پهنای باند در یک بازه زمانی کوتاه باشد.

– افزایش انفجاری درخواست ها

یکی دیگر از نشانه های حمله ddos، وجود شمار زیادی درخواست http به سرور است که با مشاهده فایل log و قسمت آمار، می توان به این موضوع پی برد.

– اختلالات در سرویس های جانبی نظیر ایمیل

گاهی مواقع حملات ddos سرویس های جانبی یک سرور نظیر سرویس ایمیل را هدف می گیرند. در این مواقع ارسال و دریافت ایمیل ممکن است به کندی صورت گیرد یا دچار وقفه شود، البته همانطور که گفتیم، هر وقفه و اختلالی به معنی حمله ddos نیست، تنها به عنوان یک نشانه می توان آن را محسوب کرد.

 

در اتک ddos از چه روش هایی استفاده می شود؟

چند روش به عنوان شایع ترین ها در این نوع حملات استفاده می شود، که در زیر به آنها به طور مختصر و جهت آشنایی اشاره می کنیم:

 

– روش Ping Flood یا طوفان درخواست ها

در این شیوه مهاجم سعی می کند با ارسال درخواست ها (یا بسته های ping) به سمت کامپیوتر هدف (قربانی)، و با تکرار این عمل، کل منابع سرور را اشغال کند تا در نهایت آن را به طور کامل از کار بیندازد. در این شیوه معمولا از کامپیوترهای موجود در یک شبکه یا از سرورهایی به طور همزمان درخواست به سمت سرور قربانی ارسال می شود تا در نهایت موجب از کار افتادن آن شود.

 

– روش Smurf attack یا استفاده از نقص تنظیمات

یک Smurf attack نوع خاصی از طوفان درخواستها به یک سرور است که طی آن به دلیل وجود ضعف در تنظیمات سرویس. اجازه ارسال بسته هایی از اطلاعات به تمام کامپیوتر های موجود در یک شبکه در عوض ارسال آن به یک کامپیوتر خاص از طریق آدرس Broadcast آنها است. آدرس Broadcast می تواند به عنوان مثال آی پی اشتراکی سایت های موجود در یک سرور باشد. در این حالت اگر تنظیمات سرور به درستی انجام نشده باشد. ارسال یک درخواست به این آی پی، موجب تقسیم شدن آن بین تمام زیر شاخه ها و در نتیجه overload شدن سرور می شود.

 

– حملات موسوم به SYN یا SYN flood

روش اخیر نیز در عمل مشابه با موارد گفته شده است. با این تفاوت که در اینجا مهاجم با ارسال درخواستهایی از نوع بسته های TCP/SYN در پشت چهره ای عادی و تایید شده به عنوان یک کاربر معمولی. از سرور تقاضای اتصال می کند که پس از ارسال پاسخ درخواست. هیچ جوابی به پاسخ سرور داده نمی شود تا اتصال نیمه باز همچنان برقرار باشد (سرور در انتظار پاسخ مهاجم مدتی صبر می کند)، در این بین با افزایش این اتصالات نیمه باز. منابع سرور اشغال شده و نهایتا موجب بروز اختلال و از کار افتادن آن می شود.

 

– روش Teardrop یا Teardrop attacks

در این شیوه رشته ای از آی پی های ناقص به هم متصل شده و شبیه به هم را به سرور ارسال می کنند. که اگر تنظیمات قسمت TCP/IP fragmentation re-assembly سرور دچار نقص در تشخیص آنها باشد. موجب بروز مشکل اضافه بار یا overload در سرور خواهد شد.

 

مدت زمان  اتک ddos چقدر است؟

یکی از سوال های همیشگی در چنین موقعیت هایی این است که یک حمله ddos چقدر طول می کشد. و ظرف چه مدتی به پایان می رسد. پاسخ این سوال نیز می تواند یک جمله باشد: تا زمانی که به پایان رسد! این موضع بستگی به میزان سماجت مهاجم و ضعف مدافع دارد. یعنی اگر مهاجم بر ادامه حملات خود اصرار داشته باشد و در مقابل مدافع که همان مدیران سرور هستند نتوانند از عهده کنترل اوضاع بر آیند، ممکن است حمله ddos ساعت ها یا روزها به طول انجامد. در خوش بینانه ترین حالت ظرف چند دقیقه و در بدترین حالت چندین و چند روز و به دفعات ممکن است طول بکشد.

 

برای پیشگیری  از حمله ddos چه کارهایی را انجام دهیم؟

واقعیت این است که کنترل حمله های ddos پس از وقوع کمی دشوارتر از پیشگیری از آن است. امروزه در سایت ها و انجمن های زیادی به افراد آموزش شیوه های هک و ایجاد حمله های ddos داده می شود. که این امر با افزایش شمار کاربران اینترنت (که می توانند میانجی و قربانی بالقوه برای حمله به سرورها باشند) رو به گسترش است.

البته آسیب پذیری در این رابطه، بیشتر به امنیت سرور برمی گردد. تا به امنیت سایت شما، در مورد سرور می توان پس از اطمینان از حمله  ddos، آی پی هایی را که بیشترین تقاضا را به سرور داشته اند و ناشناس هستند. توسط فایروال ها بلاک و مسدود کرد. یا با نصب بسته های امنیتی خاص و به روزرسانی و ارتقا سخت افزاری و نرم افزاری، آسیب پذیری سرور را کاهش داد.

آگاهی از روند عادی سرور نیز می تواند کمک بزرگی در این خصوص محسوب شود. چرا که اگر مدیر سرور نسبت به عادی یا غیر عادی بودن ترافیک آن، آشنایی داشته باشد. به سرعت می تواند پی به وجود این نوع حمله ها ببرد و در جهت رفع آن برآید. به عنوان یک کاربر در سرویس های میزبانی وب، بهترین کار این است که به محض مشکوک بودن به چنین حمله هایی، موضوع را به هاست خود اطلاع دهید. تا در کوتاه ترین زمان جلوی آن گرفته شود.

نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *