حمله DDos چیست؟
در این مقاله حملات مخرب دیداس و طریقه تکامل آنها را بررسی میکنیم.
حملات داس (Dos) تقریبا 20 سال است که به عنوان جزئی از ابزارات جنایی شناخته شده اند که با گذشت زمان قوی تر شده و رواج بیشتری نیز پیدا کرده اند. با ارتقا حملات داس ، یک حمله پیشرفته دیگر شکل گرفت که این نام DDos شهرت یافته است.
حمله دیداس چگونه شکل گرفت؟
DDos مختصر عبارت distributed denial of service به معنی سرویس عدم پذیرش به صورت توزیع شده، است. حملات دیداس زمانی رخ می دهد که یک یا چند مهاجم(attacker) قصد داشته باشند از ارائه خدمات توسط یک سامانه جلوگیری کنند و این امر با قطع کردن دسترسی به چیزهای مجازی مثل : سرورها، دستگاه ها، سرویس یا خدمات، شبکه ها، برنامه ها و حتی معاملات خاص درون برنامه ها انجام میشود.
در یک حمله Dos فقط یک سیستم درخواست ها و داده های مخرب را ارسال میکند، ولی در حملات DDos (دیداس) این روند از طریق چندین سیستم صورت میگیرد.
به طور کلی این حملات به وسیله پر کردن سیستم با درخواست اطلاعات، صورت می گیرد. این امر می تواند برای خراب کردن یک صفحه یا سیستم، درخواست های زیادی را به یک وب سرور ارسال و یا میتواند یک پایگاه داده باشد که با حجم بالایی از جستجوگر ها مورد حمله قرار می گیرد. در نتیجه حجم پهنای باند اینترنت، ظرفیت پردازشگر و RAM پر میشود. این مسئله باعث از دسترس خارج شدن وب سایت مربوطه می شود.
حملات دیداس 3 نوع اصلی دارند:
۱- حملات مبتنی بر حجم یا ظرفیت ( Volume-based attacks) از حجم عظیمی از ترافیک ساختگی استفاده میکنند تا بتواند یک منبع مانند وب سایت یا سرور را غرق کند. آنها شامل حملات ICMP, UDP و بسته های جعلی (spoofed-packet) هستند. مقیاس یک حمله Volume-based بر حسب بیت در ثانیه (bps) اندازه گیری شده است.
۲- حملات دیداس پروتکل (Protocol) یا لایه شبکه(network-layer) تعدادی زیادی از بسته ها را برای زیرساخت های شبکه هدفمند و ابزار مدیریت زیرساخت ارسال میکند. این حملات پروتکل شامل SYN و Smurf DDoS میشود ، مقیاس آنها برحسب بسته بر ثانیه اندازه گیری میشود (PPS: Packets Per Second)
۳- حملات لایه برنامه ( Application-layer attacks) به وسیله غرق کردن برنامه ها با درخواست های نادرست، انجام میشود. اندازه این حملات با درخواست در هر ثانیه (RPS: requests per second) اندازه گیری میشود.
هر مدل از حملات ذکر شده، همیشه هدف مشترک زیر را دارند:
“منابع آنلاین را اشباع کرده و آنها را بصورت کامل از کار بیندازید .”
علائم حملات دیداس
حمله دیداس میتواند مثل بسیاری از موارد غیر مخرب به نظر برسد که، می توانند منجر به دسترسی به ایشوهایی (issues) مثل یک سرور یا سیستم از کارافتاده، درخواست های قانونی بیش از حد کاربران مجاز، یا حتی یک کابل قطع شده، شود. برای تعیین آنچه که دقیقا اتفاق می افتد، اغلب به تحلیل ترافیک نیاز است.
حمله دیداس در گذر زمان
حمله دیداس، حمله ای بود که تا ابد نظر ها را نسبت به حملات Dos تغییر داد. در اوایل سال 2000، یک دانش آموز 15 ساله کانادایی به نام michael calce، ملقب به پسر مافیا (a.k.a mafiaboy) ، یاهو مسنجر را زیر و رو کرد.
وی با حمله دیداس موفق به خاموش کردن یکی از برترین نیروگاه های وب آن زمان شد. یک هفته بعد از آن، کالس سایت های دیگری مثل Fifa-eBay-amazon-CNN را مورد هدف قرار داد و با موفقیت آنها را مختل کرد.
مطمئنا این موارد اولین حملات DDos نبود اما وی موفق شد این نوع حمله را مشهور و عمومی کند.
از آن زمان حملات دیداس به یک تهدید مکرر تبدیل شد که معمولا از آن به عنوان ابزاری برای فعالیت های آنلاین،انتقام گیری، اخاذی و حتی انجام جنگ های سایبری استفاده میشود.
با گذشت زمان و پیشرفت علم و تکنولوژی این حملات گسترده تر و تاثیر گذارتر شدند. در اواسط دهه 1990 هر حمله دیداس شامل 150 درخواست تکراری در هر ثانیه بود که این برای سقوط بسیاری از سیستم ها کافی بود. در حالی که امروزه می توانند از 1000 گیگابایت در هر ثانیه که تا حد زیادی توسط botnet های مدرن تامین میشود نیز فراتر بروند.
در اوایل سال 2018 یک تکنیک جدید شکل گرفت. در روز 28 فوریه، به کنترل سرویس گیت هاب یک حمله با ترافیک 1.35 ترابایت در ثانیه، شد. البته از آن جایی که گیت هاب به صورت آفلاین بود، توانست در کمتر از 20 دقیقه این حمله را خنثی و سرکوب کند.
تجزیه و تحلیل فناوری در مورد عامل حمله ها، نشان داد حمله DYN یکی از محصولات Mirai botnet است که برای آلوده کردن هزاران دستگاه loT به یک بدافزار نیاز دارد، از این رو حمله گیت هاب از سرور هایی که در حال کش کردن حافظه Memcached هستند، سو استفاده کرده که می تواند تکه های بسیار زیادی از داده ها را در جواب به درخواست های ساده برگرداند.
قرار است از سرور Memcached فقط در سرورهای محافظت شده ی شبکه های داخلی استفاده شود. بطور کلی این سرور امنیت کمی برای جلوگیری از تقلب در ip آدرس ها و ارسال مقدار زیادی داده به قربانیان توسط مهاجمان مخرب، دارد. متاسفانه هزاران سرور Memcached در اینترنت وجود دارد و استفاده از آنها در حملات دیداس غوغای زیادی برپا کرده است. برخی افراد می گویند که سرورها hijacked یا به اصطلاح ربوده شدند که بنظر منطقی می آید، زیرا آنها بدون اینکه سوالی بپرسند بسته ها را به هرجایی که گفته شود ارسال میکنند.
چند روز بعد از حمله به گیت هاب، به یک سرور Memecached مبتنی بر دیداس با داده ترابایت در ثانیه به یک ارائه دهنده سرویس با 1.7 BT یک حمله دیگر صورت گرفت.
Mirai botnet بر خلاف دیگر حملات دیداس، بیشتر به دستگاه های loT آسیب رسانده تا کامپیوترها و سرور ها. با توجه به هوش BI ، پیش بینی شد که در سال 2020 سی و چهار میلیارد دستگاه متصل به اینترنت وجود خواهد داشت که بیشترین دستگاه ها loT خواهند بود.
متاسفانه mirai آخرین botnet مجهز به loT نخواهد بود.با تحقیق کردن در مورد تیم های امنیتی در Akamai, Cloudflare, Flashpoint, Google, RiskIQ و Cymru یک تیم شبیه به botnet کشف کردند که لقب آن wireX است و شامل 100000 دستگاه اندروید در معرض خطر در 100 کشور است. wireX یک سلسله از حملات گسترده و بزرگ دیداس است که ارائه دهندگان محتوا و شبکه های تحویل محتوا را هدف قرار می دهند و درمورد آن تحقیق می کنند.
روز 21 جون در سال 2020، آکامای گزارش کرد که حمله دیداس به یک بانک بزرگ اروپایی به گسترده ترین مقدار ممکن یعنی حداکثر 809 میلیون بسته در هر ثانیه (Mpps) میرسد. این حمله برای غلبه بر چرخ دنده شبکه و برنامه های کاربردی در مرکز داده با هدف ارسال میلیاردها پکیج کوچک (29 بایتی که شامل هدر IPv4 است) طراحی شده بود. محققان آکامای میگویند که این حملات منحصر به فرد بودند چون از تعداد بسیار زیادی ip آدرس های منابع استفاده شده بود.
حملات دیداس امروزی
در حالی که با گذشت زمان تعداد حمله های دیداس کم شده اما هنوز یک تهدید قابل توجه محسوب میشوند.
Kaspersky lab در یکی از گزارشات خود میگوید:
تعداد حملات دیداس برای Q2 2019 ، نسبت به Q3 2018 سی و دو درصد افزایش داشته.
در سال 2020 cloudflare در یکی از گزارشات خود میگوید:
تعداد حملات دیداس هر سه ماه به جز سه ماه آخر افزایش می یابد. Botnet هایی مانند Torii و DemonBot که به تازگی کشف شده اند. Torii توانایی تصرف طیف گسترده ای از دستگاه های loT را دارد و نسبت به Mirai ماندگارتر و خطرناک تر به حساب می آید. DemonBot ، دسته هایی از haoop که به آن امکان دسترسی به قدرت محاسباتی بیشتر میدهد را hijacks میکند و یا به اصطلاح آن ها را می رباید.
مورد دیگری که نیاز به هشدار دارد، در دسترس بودن سیستم عامل های جدید راه اندازی دیداس، مثل 0x-booter است. این دیداس به عنوان یک سرویس نفوذ و یک نوع Mirai شناخته شده است.
imperva در یکی از گزارشات خود می گوید:
بیشتر حملات DDos در سال 2019 کوچک بوده اند. برای مثال، یک شبکه حملات لایه ای معمولا به 50 میلیون PPS تجاوز نمیکند.imperva نیز تاکید میکند که در تحقیقات خود بعضی از حملات بسیار بزرگ را در سال 2019 مشاهده کرده که شامل یک شبکه حمله لایه ایی که به 580 میلیون PPS و یک برنامه حمله لایه ای است که این با این دو برنامه می توان طی 13 روز به حداکثر 292000 RPS حمله کرد.
در حالی که در سال 2020 ، cloudflare در گزارش خود می گوید:
این روش حمله در Q4 به “massive uptick” تغییر کرد و تعداد حملات به بیش از 500Mbps و 50K pps رسید. حملات مداوم تر از قبل شدند و 9 درصد از حملات مشاهده شده در ماه اکتبر و دسامبر، بیشتر از 24 ساعت طول کشیده است.
معمولا قربانیانی که مهاجمان به آنها حملات دیداس میکنند، کسانی هستند که توانایی پاسخگویی و مقابله با این حملات را ندارند.
ابزارهای حمله دیداس
معمولا مهاجمانی که از حمله دیداس برای نفوذ به امنیت یک سیستم استفاده میکنند به botnets که مجموعه ای از شبکه های سیستمی آلوده و بدافزار که از سمت مرکز کنترل میشوند، اعتماد دارند.
این بدافزار ها معمولا بر روی یک سرور و کامپیوتر قرار دارند که امروزه به طور چشمگیری بر روی loT و موبایل ها هستند.
سودجویان و نفوذگران در ابتدا سیستم های آسیب پذیری را که از طریق حملات فیشینگ آلوده می شوند را به صورت تیمی و گروهی با استفاده از تکنیک های آلوده کننده شناسایی میکنند و به کمک اجاره Botnet ها قادر به انجام حمله های زیاد و پی در پی هستند.
حملات دیداس چگونه تکامل می یابند؟
همانطور که در قسمت قبل گفته شد، حملات دیداس معمولا توسط botnet های اجاره ای انجام می شوند به همین دلیل این روند ادامه خواهد داشت. روش دیگر استفاده از یک سری بردار با قابلیت حمله همزمان، در درون یک حمله است. بعنوان مثال روش APDos که مختصر شده عبارت Advanced persistent Denial of service به معنی انکار مداوم پیشرفته سرویس ها است . در روش APDos ممکن است به نواحی کاربردی مثل پایگاه داده، برنامه و یا مستقیما به سوی سرور حمله شود .
در ادامه شخصی بنام Mackey توضیح می دهد که سودجویان علاوه بر قربانیان، ارائه دهندگان و توسعه دهندگان سازمان هایی را که به آنها وابسته اند مانند ISP و cloud را هم هدف خود قرار میدهند.
یکی از قدیمی ترین سخنان در زمینه امنیت این است که:
“یک کسب و کار فقط به اندازه ضعیف ترین و سست ترین حلقه خود ایمن است.”
با توجه به گفته بالا ضعیف ترین حلقه در کسب و کار های امروزی معمولا یکی از عوامل یا بخش های تامین کننده سازمان است.
وقتی که سودجویان و مجرمان در حال کامل کردن و ارتقا دادن حملات DDos خود هستند، فناوری و تاکتیک ها هم در حال کامل شده و به روز شدن در مقابل آن ها هستند. پس نباید نگران حمله ی سودجویان به سیستم های خود باشیم فقط کافیست با توجه به فناوری های به روز سیستم خود را به روز کنیم.