بررسی حملات DOS و DDOS و راه های مقابله با آنها

DOS مخفف “Denial Of Service” و DDOS مخفف “Distributed Denial Of Service” می باشند. در این حملات مهاجم مانع از دسترسی کاربران معتبر به سرویس های وب می شود.

DOS و DDOS چه حملاتی هستند؟
DOS مخفف “Denial Of Service” و DDOS مخفف “Distributed Denial Of Service” می باشند. در این حملات مهاجم مانع از دسترسی کاربران معتبر به سرویس های وب می شود. در هر دو این حملات، مهاجمان تلاش می کنند تا با overload نمودن سرورهای ارائه دهنده سرویس های وب، ارائه این سرویس ها را متوقف نمایند.

حملات DOS و DDOS چگونه عمل می کنند؟
در DOS مهاجم به واسطه یک برنامه درخواست متعدد به سرور هدف ارسال می کند تا بدین وسیله دسترسی به شبکه را از سرور وب سلب کند. به این سبب دیگر کاربران معتبر قادر به دسترسی به وبسایت نیستند. در این هنکام اگر شما سعی در لود وبسایت داشته باشید با پیغام خطای network timeout مواجه خواهید شد.

تفاوت بین DOS و DDOS در چیست؟
در هر دو این حملات سرور هدف از ادامه فعالیت باز می ماند اما تفاوت این دو در منبع حمله می باشد. در حمله DOS مهاجم  برنامه را از یک کامپیوتر اجرا نموده در حالی که در حمله DDOS برنامه مهاجم از چندین سیستم یا سیستم هایی که در حیطه یک شبکه گسترش یافته اند اجرا می شود. در DDOS مهاجم از کامپیوترهای دیگر نیز جهت حمله استفاده می نماید. جهت درک روشن این مطلب به تصاویر زیر دقت نمایید:

حمله DOS

حمله DDOS

 روش های حمله:

یک حمله DOS به شیوه های مختلفی انجام می شود. ۵نوع پایه این حملات عبارتند از:

۱- مصرف منابع همچون پهنای باند، فضای ذخیره سازی یا زمان پردازنده.

۲- قطع اطلاعات پیکربندی، همچون اطلاعات routing.

۳- قطع جریان اطلاعات، همچون reset ناخواسته TCP Sessionها.

۴- قطع تجهیزات فیزیکی شبکه.

۵- انسداد رسانه ارتباطی بین کاربر و سرور قربانی .

SYN Flood
زمانی که یک host سیلی از packetهای TCP/SYN را با یک نشانی جعلی ارسال می کند SYN Flood رخ می دهد. هر کدام از این packetها همچون connection request در نظر گرفته می شوند که باعث ایجاد یک ارتباط نیمه باز در سرور شده و سرور با ارسال یک TCP/SYN-ACK packet و انتظار جهت دریافت یک packet پاسخ از فرستنده بماند.(در پاسخ به ACK Packet).

حملات DOS پایدار
یک حمله Permanent DOS(PDOS) که از آنها با عنوان phalshing نیز نام برده می شود به حملاتی گفته می شود که طی آن یک سیستم به صورت بسیار جدی آسیب می بیند به طوری که نیاز به جایگزینی یا نصب دوباره سخت افزار پیدا می کند.

 floodهای مرتبه Application
بهره برداری های متنوعی با عاملیت DOS همچون سرریز buffer می تواند موجب سردرگمی نرم افزار در حال اجرا و پرشدن فضای دیسک یا مصرف تمامی حافظه RAM در دسترس یا زمان CPU شود.

پیشگیری و مقابله
دفاع در برابر حملات DOS مستلزم درگیر شدن ترکیبی از ابزارهای کشف حمله، ابزارهای پاسخ و دسته بندی ترافیک که به منظور بلوک کردن ترافیک غیرقانونی و اجازه ترافیک قانونی، می باشد. فهرستی از ابزارهای پیشگیری و مقابله در ادامه آمده است:

Firewalls
Firewallها به گونه ای تنظیم می شوند تا بر طبق قوانین ساده ای، پروتکل ها را بپذیرند یا رد کنند. برای مثال در صورتی حملاتی از سمت چند IP عیرمعمول اتفاق می افتدف می توان با تعیین یک rule ساده نسبت به نادیده گرفتن بسته های ارسالی از سمت مهاجمان اقدام نمود.

Switches
بیشتر switchها دارای توانایی rate-limiting و ACL می باشند. بعضی از سوئیچ ها به صورت خودکار و یا system-wide، rate limiting، traffic shaping، delayed binding(TCP splicing)، deep packet inspection و Bogon filtering(فیلتر IPهای جعلی(،  را جهت کشف و اصلاح حملات DOS از طریق automatic rate filtering و WAN Link failure و balancing ارائه می نمایند.

Routers
همانند سوئیچ ها، مسیریاب ها نیز قابلیت rate-limiting و ACL را دارا هستند. همچنین آنها به صورت دستی تنظیم می شوند. بیشتر مسیریاب ها به آسانی  در برابر حملات DOS در هم میشکنند. اگر قوانینی را در مسیریاب به گونه ای تنظیم نمایید که در هنگام حملات DOS، statistics ارائه دهند، مسیریاب بیشتر کند شده و مسئله پیچیده و دشوارتر خواهد شد.Cisco IOS قابلیتهایی دارد که مانع از flooding می شوند.

Application front end hardware
Application front end hardware سخت افزار هوشمندی است که در شبکه قبل از رسیدن ترافیک به سرور قرار می گیرد. می توان از آن در ارتباط بین مسیریاب ها و سوئیچ ها استفاده نمود. این سخت افزار packetها را به محض ورود به سیستم آنالیز کرده و آنها را بر اساس اولویت، معمول بودن یا خطرناک بودن شناسایی می کند.

پیشگیری بر پایه IPS
سیستم های پیشگیری از نفوذ(Intrusion-prevention systems (IPS)) در حملاتی که signature associated هستند موثرند. اگرچه گرایش حملات به داشتن محتویات مشروع باشد اما قصد نادرستی را دنبال می کنند. IPSهایی که بر اساس تشخیص محتوا کار می کنند نمی توانند حملات behavior-based DOS را بلوک کنند..

دفاع بر اساس DDS
برخلاف مشکلی که IPS ها دارند، سیستم دفاع DOS(DDS) قادر است تا حملات DOS connection-based  و حملاتی که محتویاتی مشروع اما قصد بدی دارند را بلوک کنند. یک DDS هر دوی حملات protocol base(همچون Treadrop و Ping of death) و حملات rate-based(همچون ICMP floods و SYN floods) را اداره نماید.

Blackholing  و  sinkholing
با استفاده از bllackholding تمامی ترافیک DNS حمله شده یا نشانی IP به “black hole”(null interface، non-existent server، …( ارسال می شود. جهت موثرتر بودن و دوری از تحت تأثیر قرار گرفتن ارتباطات شبکه، این راه حل توسط ISP مورد استفاده قرار می گیرد.

Clean pipes
تمامی ترافیک از طریق “cleaning center” یا یک “scrubbing center” به واسطه روش هایی همچون پروکسی ها، تونل ها با حتی مدارات مستقیم که ترافیک “بد” (DDOS و همچنین دیگر حملات اینترنتی) را جدا می کنند و تنها ترافیک خوب را به سرور انتقال می دهند، عبور می کنند. اجراکننده می بایست ارتباط مرکزی به اینترنت داشته باشد تا این نوع سرویس را مدیریت نماید مگر اینکه آنها را بتوان به آسانی استفاده از “cleaning center” یا “scrubbing center” پیاده سازی نمود.

این متن برگرفته از صفحات زیر می باشد:

۱. https://www.jafaloo.com/2011/08/04/what-are-dos-and-ddos-attacks/

۲. https://en.wikipedia.org/wiki/Denial-of-service_attack