جلوگیری از حملات DDoS در سیستم‌های سازمانی

هدف از حمله‌ی Distributed Denial-of-Service که به اختصار DDoS نامیده می‌شود، اتمام منابع یک شبکه، برنامه‌ی کاربردی یا یک سرویس است تا کاربران مجاز نتوانند به آن‌ها دسترسی پیدا کنند.

انواع مختلفی از حملات DDoS وجود دارد، اما به طور کلی یک حمله‌ی DDoS در آنِ واحد از چندین Host مختلف اجرا می‌شود و حتی می‌تواند در دسترس‌پذیری خدمات و منابع اینترنتی بزرگ‌ترین سازمان‌ها نیز اختلال ایجاد نماید.

این دسته از حملات برای بسیاری از شرکت‌ها یک رخداد روزانه است؛ براساس دهمین گزارش بین‌المللی زیرساخت‌های امنیتی، 42 درصد پاسخ‌دهندگان در ماه شاهد بیش از 21 مورد حمله‌ی DDoS بودند. در حالیکه در سال 2013 این مقدار 25% بوده است.

لازم به ذکر است که فقط تعداد این حملات نیست که افزایش داشته، بلکه مقیاس آن‌ها نیز درحال گسترش است. در سال 2013، تعداد حملاتِ بیش از 100 گیگابایت بر ثانیه کمتر از 40 مورد بوده ، ولی در سال 2014 تعداد حملات بیش از 100 گیگابایت بر ثانیه به 159 مورد رسیده و بزرگ‌ترین آن‌ها 400 گیگابایت بر ثانیه بوده است.

شبکه‌های سازمانی باید بهترین خدمات جلوگیری از حملات DDoS را انتخاب کنند تا اطمینان حاصل نمایند که از حملات DDoS جلوگیری می‌گردد و شبکه‌ی ایشان تحت محافظت است.

انواع حملات DDoS

گونه‌های مختلف این حملات تفاوت‌های زیادی دارند ولی عموماً در یکی از این سه گروه گسترده دسته‌بندی می‌شوند:

• حملات حجمی یا Volumetric: هدف این گونه حملات از کار انداختن زیرساخت شبکه با استفاده از پر کردن کل پهنای‌باند ترافیک و منابع است.
• حملات بر پایه TCP: مهاجمان با سوء استفاده از حالت Stateful طبیعی پروتکل TCP ، منابع سرورها، Load-Balancerها و فایروال‌ها را مختل می‌کنند.
• حملات لایه‌ی برنامه‌های کاربردی یا حملات Application layer: هدف این‌گونه حملات قسمتی از یک برنامه‌ی کاربردی یا سرویس‌های لایه‌ی هفتم است.

حملات حجمی همچنان شایع‌ترین گونه از انواع حملات DDoS می‌باشند ولی حملاتی که هر سه نوع را ترکیب نموده و به افزایش مدت‌زمان و مقیاس حمله ختم می‌شوند، در حال شیوع هستند.

محرک‌های اصلی حملات DDoS همچنان ثابت باقی مانده‌اند:

• امور مربوط به سیاست‌ و ایدئولوژی افراد
• خرابکاری و بازی‌های آنلاین

نکته جالب توجه اینجاست که گیمرها ممکن است تنها به منظور دستیابی به برتری رقابتی در بازی و برنده‌شدن در یک بازی آنلاین، زیرساخت آن بازی را مورد حمله‌ی DDoS قرار ‌دهند.

علی‌رغم اینکه DDoS سلاح موردعلاقه‌ی تروریست‌ها نیز می‌باشد، برای باج‌گیری یا ایجاد تداخل در عملیات‌های یک رقیب نیز از آن استفاده می‌شود.

استفاده از حملات DDoS به‌عنوان یک تاکتیک انحرافی نیز رو به افزایش است. برای مثال در حملات Advanced Persistent Threat یا به اختصار APT، درحالی که داده‌های دزدیده‌ شده برداشت می‌شوند، از DDoS به‌عنوان یک حمله‌ی انحرافی در برابر شبکه استفاده می‌گردد.

با توجه به این که جامعه‌ی هکرها ابزارهای پیچیده و پیشرفته‌ی حمله را، در پکیج‌های نرم‌افزارهای قابل‌دانلودی که استفاده از آن‌ها آسان است،  قرار می‌دهند؛ افرادی که از چگونگی این کار این برنامه ها نیز آگاهی کافی ندارند، می‌توانند با خرید این نرم‌افزار‌ها توانایی آغاز و کنترل حملات DDoS را به دست آورند.

شرایط نیز رفته‌رفته درحال بدترشدن است چرا که مهاجمان هر چیزی را (از کنسول‌های بازی گرفته تا روترها و مودم‌ها) به خدمت می‌گیرند تا حجم ترافیک حمله‌ای که می‌توانند ایجاد کنند را افزایش دهند.

این دستگاه‌ها دارای ویژگی‌های شبکه‌ای می‌باشند که به‌صورت پیش‌فرض فعال شده و از حساب‌های کاربری و رمزهای عبور پیش‌فرض استفاده می‌کنند، از همین‌رو برای حملات DDoS اهداف ساده‌ای هستند. اکثر آن‌ها بصورت (Universal Plug and Play (UPnP نیز هستند که از زیربنای پروتکل‌ها می‌توان سوء استفاده نمود.

شرکت Akami Technologies تعداد 4.1 میلیون دستگاه Internet-Facing UPnP پیدا نمود که به‌صورت بالقوه در خطر سوء استفاده قرارگرفتن در Reflection Typeهای حملات DDoS قرار دارند. تعداد فزاینده‌ی دستگاه‌های متصل به اینترنت، با امنیت پایین و یا دستکاری‌شده، توانایی مهاجمان را برای ایجاد حملاتی که بیش از پیش قدرتمند باشند، افزایش می‌دهد.

شرکت‌ها می‌توانند با چک کردن هزینه‌ی Downtime حملات DDoS خود، از وب‌سایت خود در برابر حملات آینده محافظت نمایند.

روش جلوگیری از حملات DDoS

محافظت از دستگاه‌ها و خدمات Internet-Facing، هم به کمک در حفظ امنیت اینترنت به‌عنوان شبکه‌ای مجزا مربوط است و هم به کاهش تعداد دستگاه‌هایی که می‌توان آن‌ها را در یک حمله‌ی DDoS به‌کار گرفت.

تست و آزمایش مداوم یکی از بهترین روش‌های جدی در خصوص یافتن انواع آسیب‌پذیری‌های برنامه‌های کاربردی تحت وب می‌باشد. پروتکل‌های اصلی که هکرها برای ایجاد ترافیک DDoS از آن‌ها سوء استفاده می‌نمایند NTP، DNS، SSDP، Chargen، SNMP و DVMRP می‌باشند؛ هر خدماتی که از این پروتکل‌ها استفاده می‌کند باید با دقت تنظیم شده و بر روی سرورهای امن‌شده‌ی اختصاصی اجرا گردد.

برای مثال سازمان‌هایی که از یک سرور DNS استفاده می‌کنند باید از راهنمای پیاده سازی DNS ایمن NIST’s Special Publication 800-81 استفاده نمایند، همچنین سایت Network Time Protocol درخصوص امنیت سرورهای NTP مشاوره می‌دهد.

تعداد زیادی از حملات به این دلیل به نتیجه می‌رسند که مهاجمان می‌توانند با  Spoofed Source IPها (IPهای گمراه کننده) ترافیک ایجاد کنند. سازمان‌ها باید همانطور که در اسناد BCP 38 و BCP 84 از IETF Best Common Practices آورده شده است، از فیلترهای Anti-Spoofing استفاده نمایند تا از اقدام هکرها برای ارسال Packetهایی که ادعا می‌کنند از شبکه‌ی دیگری نشأت گرفته‌اند، جلوگیری به‌عمل آورند.

نمی‌توان تمام گونه‌های مختلف حملات DDoS را پیش‌بینی و از وقوع آن‌ها پیشگیری نمود، حتی مهاجمی که منابع محدودی در اختیار داشته باشد نیز، می‌تواند حجم ترافیک موردنیاز را برای از پا در آوردن و یا به‌شدت تداخل ایجاد کردن در سایت‌های بزرگ و بهره‌مند از امنیت بالا، ایجاد نماید.

با اینکه عملاً محو نمودن و کاستن از خسارت‌های حملات DDoS غیرممکن است، کلید کاهش آن‌ها در بلندمدت اطمینان حاصل نمودن از تنظیمات صحیح دستگاه‌ها و خدمات است تا مهاجمان نتوانند خدماتی که در دسترس عموم هستند را به‌کار گرفته و از آن‌ها سوء استفاده کنند. با کمک به دیگر سازمان‌ها در اطمینان حاصل نمودن از این امر، هر سازمان به خود نیز کمک می‌نماید. بدین منظور یک سازمان همواره باید از وجود نهایت امنیت برای شبکه‌های سازمانی خود اطمینان حاصل نموده و تمرکز خود را برروی آن قرار دهد.