آشنایی با حملات DDoS

شاید شنیده‌اید که گاهی یک سایت و یا سرویس در اثر حملات DDoS از کار افتاده است. اما ماهیت DDoS چیست؟ حملات آن چگونه صورت می‌گیرد و چرا مقابله با آن کار دشواریست؟ در این مقاله به بررسی پاسخ این سؤالات خواهیم پرداخت.

DDoS مخفف عبارت Distributed Denial of Service است و به هدف از کار انداختن موقت و یا دائمی یک وب‌ سایت و یا سرور انجام می‌شود. حملات DDoS از گذشته‌ای نسبتاً دور وجود داشته‌اند و معمولاً هم برای بیان اعتراض به کار برده می‌شدند. شاید اولین حمله DDoS را بتوان مربوط به سال ۱۹۹۵ و شبکه Strano Network دانست که در اعتراض به سیاست‌های هسته‌ای دولت فرانسه انجام شد. اما چرا حملات DDoS روزبه‌روز قوی‌تر شده و مقابله با آن دشوارتر؟

چگونه می‌ توان یک حمله DDoS ترتیب داد؟
برای پاسخ این پرسش چند جواب وجود دارد. به‌طور مثال در حال حاضر نرم‌افزار رایگانی به نام High Orbit Ion Cannon یا به اختصار HOIC وجود دارد که به هر فردی اجازه می‌دهد به‌راحتی با ایجاد ترافیک ساختگی بر روی سرورهای یک وب‌سایت با استفاده از اسکریپت‌های سفارشی سرور را از کار بیندازد.

هر فردی با یک رایانه می‌تواند این نرم‌افزار را دانلود کرده، آدرس URL سایت دلخواهی را وارد کرده و منتظر بماند تا HOIC عملیات ایجاد کاربران جعلی را به امید ایجاد اضافه‌بار یا اصطلاحاً Overload روی سرور اجرا کند. البته تصور نکنید که حالا می‌توانید این نرم‌افزار را دانلود کرده و فیس‌بوک را در چند ساعت از کار بیندازید! در واقع هرچه تعداد کاربرانی که از HOIC به‌صورت هم‌زمان یک‌سایت را هدف گرفته‌اند بیشتر شود احتمال overload شدن نیز بیشتر خواهد بود.

حمله DDoS پیشرفته‌تر چگونه انجام می‌شود؟

البته از کار انداختن سرور پلی‌استیشن نتورک کار دشوارتری است و دیوید لارسن مدیر ارشد فناوری شرکت امنیتی Corero اعتقاد دارد هکرها ترکیبی از حملات DDoS با botnetها را اجرا کرده‌اند. botnet یک شبکه از سرورهای کامپیوتری است که برای اتصال و انجام یک عملیات واحد برنامه‌ریزی و طراحی شده‌اند. هر فردی می‌تواند یک botnet کرایه کند و با بودجه کافی و ترکیب آن با حملات Ion Cannon بار فوق‌العاده زیادی روی سرور PSN وارد کند. تصور کنید هزار کامپیوتر که همگی از ابزارهای DDoS مشابه برای ساخت اکانت‌های جعلی استفاده کرده و سعی کنند به شبکه PSN وارد شوند. در مدت کوتاهی هزاران گیگابایت اطلاعات در هر ثانیه به سرور وارد شده و از کار انداختن چنین شبکه‌ای کار پیش پا افتاده‌ای جلوه خواهد کرد. لارسن همچنین اعتقاد دارد احتمالاً مهاجمان به جای مورد حمله قرار دادن سرور اصلی PSN، سرورهای لاگین کردن را مورد هدف قرار داده‌اند و overload کردن این سرور هم کار نسبتاً آسان‌تری است. کافیست سرورهای DNS خارجی دستاری شوند تا شبکه PSN با اطلاعات بیش از حد بمباران شود. یک سرور DNS یا Domain Name System سروری است که وقتی کاربر نام یک وب‌سایت را تایپ کرده و کلید اینتر را فشار می‌دهد آن را به آدرس IP قابل فهم برای مرورگر تبدیل می‌کنند. اینترنت پر از سرورهای DNS است و بسیاری از آن‌ها به‌راحتی می‌توانند هدف هکرها قرار بگیرند.

چرا سونی نتوانست جلوی overload شدن شبکه را بگیرد؟

اما سونی پیش از این هم تجربه حملات DDoS را داشته و شبکه‌هایی مانند PSN و Xbox Live معمولاً زیاد در معرض این حملات قرار می‌گیرند. پس چرا آن‌ها نتوانستند حمله Lizard Squad را خنثی کنند؟

هرچند بدون جزئیات دقیق پاسخ دادن به این پرسش ممکن نیست اما لارسن حدس می‌زند از آن‌جا که مهاجمان به سرور لاگین PSN حمله کرده‌اند و به پهنای باند زیادی نیاز نبوده و از کار انداختن آن با حملات DDoS کار مشکلی نبوده است.

ابزارها در حال حاضر بسیار پویاتر شده‌اند و انسان و پروسه‌های انسانی نتوانسته خود را با سرعت این تغییرات وفق دهد.

گفتنی است سال ۲۰۱۱ شبکه PSN مورد حمله بزرگی قرار گرفت که اطلاعات میلیون‌ها کاربر این شبکه را فاش کرد و انتظار داشتیم سونی برای حملات هکری آمادگی داشته باشد. البته باید در نظر داشت که یک حمله DDoS تفاوت زیادی با نفوذ امنیتی دارد و بهتر است به جای هک کردن نام آن را سرریز کردن یا غرق کردن ترافیکی گذاشت. همچنین در ماه‌های اخیر این نوع حملات پیشرفت‌های زیادی داشته‌اند تا حدی که روش‌های جلوگیری قدیمی مربوط به یکی دو سال پیش دیگر جوابگو نخواهد بود.

یکی از راه‌های رایج برای جلوگیری از حملات DDoS این است که وقتی مسئولان شبکه متوجه می‌شوند که حمله درحال صورت گرفتن و سرور در حال از کار افتادن است آن‌ها از تأمین کنندگان شبکه می‌خواهند تا کاری به نام “سیاه‌چاله” یا Blackholing انجام دهند. به این ترتیب که تمامی ترافیک رسیده به شبکه را متوقف کرده و از overload شدن جلوگیری می‌کنند.

تا حدود یک و نیم سال پیش حملات DDoS بسیار ساده‌تر بودند. شما مشاهده می‌کردید که چنین حملاتی در حال انجام است و آن‌را سیاه‌چاله می‌کردید. ابزارها در حال حاضر بسیار پویاتر شده‌اند و انسان و پروسه‌های انسانی نتوانسته خود را با سرعت این تغییرات وفق دهد. حالا به یک سیستم ماشینی احتیاج دارید که همواره در حال جستجو و شناسایی چنین حملاتی باشد و بلافاصله به مقابله با آن‌ها بپردازد.

راه مقابله کنونی چیست؟

شرکت‌ها و هر فردی که شبکه‌ها را اداره می‌کند باید چندین حفاظ برای جلوگیری از چنین حملاتی به‌کار گیرد تا الگوهای غیرعادی ترافیک را شناسایی و آسیب وارده را کاهش دهد. او همچنین توصیه می‌کند کمپانی‌ها از سرویس‌های ابری استفاده کنند تا هنگام هجوم ترافیک سرورهای خودشان از خطر overload شدن محفوظ بماند. به گفته یکی از شرکت‌های امنیتی DDoSها روزبه‌روز پیشرفته‌تر می‌شوند و در حال حاضر هر ساعت حدود ۲۸ حمله شبیه به حمله به PSN رخ می‌دهد.

شاید در نگاه اول DDoS آن‌چنان هم خطرناک به نظر نرسد چرا که در واقع اطلاعاتی دزدیده نشده و کنترل سایت نیز خارج نخواهد شد و حتی یک deface ساده نیز رخ نخواهد داد اما برای سرویس‌های حیاتی از کار افتادن شبکه می‌تواند صدمات جبران ناپذیری وارد کند.