حملات DoS و DDoS

تفاوت اصلی بین حملات DoS و DDoS در این است که در حمله DoS به وسیله یک سیستم به سیستم دیگر حمله انجام می شود.

 

حمله DDoS شامل چندین سیستم است که به یک سیستم واحد حمله می کند.

حمله Denial of Service (DoS) یا انکار سرویس؛ سیلی از ترافیک را به سوی سرور سرازیر می کند و یک وب سایت یا منبع را از دسترس خارج می کند. حمله Distributed Denial of Service (DDoS) یا انکار سرویس توزیع شده؛ یک حمله DoS است که از چندین کامپیوتر یا ماشین برای ارسال مقدار بسیار زیادی ترافیک به سوی یک منبع هدف استفاده می کند. هر دو نوع این حمله ها یک سرور یا برنامه وب را با انگیزه ی قطع نمودن سرویس آن ها هدف قرار می دهد.

از آنجایی که سرور بیش از حد توان پردازشی خود لبریز از بسته‌های پروتکل TCP و UDP می شود، ممکن است سرور از کار بیفتد و یا داده‌های آن آسیب ببینند. منابع ممکن است به اشتباه هدایت شوند و یا حتی تا حدی پیش رود که سیستم را فلج کند.

 

تفاوت بین حملات DoS و DDoS چیست؟

تفاوت اصلی بین DoS و DDoS در این است که در حمله DoS به وسیله یک سیستم به سیستم دیگر حمله انجام می شود. در حالی که حمله DDoS شامل چندین سیستم است که به یک سیستم واحد حمله می کنند. با این حال، تفاوت های دیگری نیز وجود دارد که شامل ماهیت یا تشخیص آنها می شود. از جمله:

-سهولت تشخیص و کاهش حمله: از آنجایی که حمله DoS از یک مکان منفرد می آید، تشخیص منشأ و قطع اتصال آن آسان تر است. در واقع یک فایروال خوب براحتی می تواند این کار را انجام دهد. از سوی دیگر، یک حمله DDoS از چندین مکان راه دور انجام می شود و این باعث می شود که منشا اصلی آن پنهان شود.

-سرعت حمله: از آنجایی که یک حمله DDoS از چندین مکان انجام می شود، می تواند بسیار سریعتر از یک حمله DoS که از یک مکان منشا می گیرد انجام شود. افزایش سرعت حمله تشخیص آن را دشوارتر می کند، به این معنی که باعث آسیب بیشتر می شود و یا حتی گاهی نتیجه ی آن فاجعه بار خواهد بود.

-حجم ترافیک: یک حمله DDoS از چندین سیستم راه دور(که اصطلاحا به آن ها زامبی یا ربات می گویند) استفاده می کند، به این معنی که می تواند مقادیر بسیار بیشتری از ترافیک را از مکان های مختلف به طور همزمان ارسال و باعث شود سرور در شناسایی تاخیر داشته باشد.

-نحوه اجرا: یک حمله DDoS میزبان های متعددی که آلوده به بدافزار(ربات ها) هستند را برای حمله هماهنگ می کند و یک بات نت ایجاد می کند که توسط یک سرور فرمان و کنترل (C&C) مدیریت می شود. در مقابل یک حمله DoS معمولاً از یک اسکریپت یا ابزاری برای انجام حمله از یک سیستم استفاده می‌کند.

-ردیابی منبع ها: استفاده از بات نت در یک حمله DDoS به این معنی است که ردیابی منشاء آن بسیار پیچیده تر از ردیابی منشا یک حمله DoS است.

 

 

*در مورد بات نت ها در پستی جداگانه در وب سایت بصورت مفصل توضیح داده ایم. که می توانید در لینک زیر آن را مطالعه کنید.

بات نت Botnet

 

انواع حملات DoS و DDoS

حملات DoS و DDoS می توانند اشکال مختلفی داشته باشند و برای ابزارهای مختلف مورد استفاده قرار گیرند. حملات DoS و DDoS می تواند باعث شود که یک شرکت خدمات دهی خود را از دست بدهد و یا بوسیله ی آن می توانند یک رقیب را فلج کنند. تمرکز را از حملات دیگر منحرف کنند و یا صرفاً باعث ایجاد اشکال و اختلال در خدمات دهی شوند.

 

در زیر برخی از اشکال رایج این گونه حملات آورده شده است:

Teardrop Attack یا حمله قطره اشک

حمله Teardrop یک حمله DoS است که قطعات بی شماری از داده های پروتکل اینترنت (IP) را به یک شبکه ارسال می کند. هنگامی که شبکه سعی می کند قطعات را مجدداً در بسته های اصلی آنها کامپایل کند می بیند که قادر به انجام آن نخواهد بود.

به عنوان مثال مهاجم ممکن است بسته های داده های بسیار بزرگی را بگیرد و آنها را به چند قطعه تقسیم کند تا سیستم مورد نظر دوباره جمع شود. مهاجم نحوه جداسازی بسته را تغییر می‌دهد تا سیستم هدف را گیج کند. به همین دلیل هم بعد از آن قادر به جمع‌آوری مجدد قطعات در بسته‌های اصلی نخواهد بود.

Flooding Attack یا حمله سیل آسا

حملهFlooding  یک حمله DoS است که چندین درخواست اتصال را به یک سرور ارسال می‌کند اما برای تکمیل فرآیند handshake کلاینت پاسخی نمی‌دهد.

به عنوان مثال، مهاجم ممکن است درخواست‌های مختلفی را به عنوان یک کلاینت برای اتصال ارسال کند اما زمانی که سرور سعی می‌کند برای تأیید اتصال مجدداً ارتباط برقرار کند مهاجم از پاسخ دادن خودداری می‌کند. پس از تکرار بی‌شمار این فرآیند، سرور چنان غرق در درخواست‌های معلق می‌شود که کلاینت‌های واقعی نمی‌توانند به آن متصل شوند و سرور «busy» یا مشغول می شود و حتی گاهی از کار می‌افتد.

IP Fragmentation Attack  یا حمله IP تکه تکه شده

حمله IP Fragmentation نوعی حمله DoS است که بسته های شبکه تغییر یافته ای را ارائه می دهد که شبکه دریافت کننده نمی تواند آنها را دوباره جمع کند. شبکه با بسته های حجیم مونتاژ نشده گرفتار می شود و تمام منابع خود را مصرف می کند.

Volumetric Attack یا حمله حجمی

حملهVolumetric  نوعی حمله DDoS است که برای هدف قرار دادن منابع پهنای باند استفاده می شود.

به عنوان مثال، مهاجم از یک بات نت برای ارسال حجم بالایی از بسته های درخواستی به یک شبکه استفاده می کند که پهنای باند آن را با درخواست های پروتکل کنترل پیام اینترنت (ICMP) فرا می گیرد. این باعث می شود که خدمات کاهش یابد یا حتی به طور کامل متوقف شود.

Protocol Attack یا حمله پروتکلی

حملهProtocol  نوعی حمله DDoS است که از نقاط ضعف لایه های 3 و 4 مدل OSI استفاده می کند.

به عنوان مثال، مهاجم ممکن است از توالی اتصال TCP سوءاستفاده کرده و درخواست‌هایی را ارسال کند اما مطابق انتظار پاسخ ندهد یا با استفاده از یک آدرس IP جعلی با درخواست دیگری پاسخ دهد. این درخواست های بی پاسخ از منابع شبکه استفاده می کنند و باعث می شوند که سرور از دسترس خارج شود.

Application-based Attack یا حمله مبتنی بر برنامه

حملهApplication-based  نوعی حمله DDoS است که لایه 7 مدل OSI را هدف قرار می دهد. به عنوان نمونه می توانیم حمله Slowloris را مثال بزنیم که در آن مهاجم بخشی از هدر HTTP را ارسال می کند اما آنها را تکمیل نمی کند. هدرهای HTTP به صورت دوره ای برای هر درخواست ارسال می شوند و در نتیجه منابع شبکه سر ریز می شوند.

مهاجم به حمله ادامه می دهد تا زمانی که هیچ اتصال جدیدی توسط سرور ایجاد نشود. شناسایی این نوع حمله بسیار دشوار است زیرا به جای ارسال بسته های خراب، بخشی از بسته را ارسال و از پهنای باند کمی استفاده می کند.

 

چگونه در برابر حملات DoS و DDoS از منابع و داده های خود حفاظت کنیم

در زیر برخی از بهترین روش ها و  شیوه های سطح بالا(high-level) برای حفاظت در برابر حملات DoS و DDoS آمده است:

1. مانیتورینگ مستمر شبکه خود: برای شناسایی الگوهای ترافیکی عادی مفید است و برای تشخیص زودهنگام و کاهش آن بسیار مهم است.
2. آزمایش‌هایی را برای شبیه‌سازی حملات DoS اجرا کنید: این موضوع به ارزیابی ریسک، افشای آسیب‌پذیری‌ها و آموزش کارکنان در زمینه امنیت سایبری کمک می‌کند.
3. ایجاد یک طرح حفاظتی: ابتدا چک لیست تهیه کنید سپس یک تیم پاسخ تشکیل دهید پس از آن پارامترهای پاسخ را تعریف کنید و حفاظت را مستقر کنید.
4. شناسایی سیستم های بحرانی و الگوهای ترافیکی عادی: اولی به حفاظت از برنامه ریزی و دومی به تشخیص زودهنگام تهدیدها کمک می کند.
5. ارائه پهنای باند اضافی: این امر ممکن است که حمله را متوقف نکند اما به شبکه کمک می‌کند تا با جهش‌های ناگهانی ترافیک بر اثر حمله مقابله کند و تأثیر هر حمله را نیز کاهش دهد.

حملات DDoS روز به روز در حال تکامل هستند. پیچیده‌تر و قدرتمندتر می‌شوند. بنابراین سازمان‌ها به راه‌حل‌های جامعی نیاز دارند. سازمان ها باید از ابزارهای گزارش‌دهی و تجزیه و تحلیل پیشرفته برای نظارت بر تهدیدهای شبکه استفاده کنند.

مقاله ای در مورد بزرگترین حمله HTTPS DDoS ثبت شده در دنیا در سایت قرار داده شده است که با کلیک بر روی لینک زیر می توانید آن را هم مطالعه فرمایید.

بزرگترین حمله HTTPS DDoS

منابع:

fortinet.com

cloudflare.com

exploitszone.com

researchgate.net

h-x.technology

pngall.com