کاربرد تجهیزات FortiDDoS برای جلوگیری از حملات DDoS – قسمت اول

حملات Distributed Denial of Service یا به اختصار DDoS دائما در حال تغییر بوده و همچنان به عنوان یکی از بزرگترین تهدیدها برای امنیت IT قلمداد می‌شوند و حتی در مواقعی، باعثِ از کار انداختن سرویس‌های آنلاین مهم و حیاتی می‌گردند. لازم به ذکر است مشکلی تا این حد پویا و گسترده، که در عین حال به چند تکنولوژی خاص مرتبط گردد، تا کنون وجود نداشته است. یک فهرست طولانی و تقریبا نامحدود از ابزارها وجود دارد که هکرها و مجرمان سایبری با کمک آن می‌توانند مانع دسترسی کاربران به شبکه ‌گردند. حملات پیچیده‌ی DDoS، سرویس‌های موجود در برنامه‌های کاربردی لایه 7 را هدف قرار می‌دهد که شناسایی آنها به دلیل اندازه بسیار کوچک آن از طریق روش‌های امنیتی قدیمی و مبتنی بر ISP، تقریبا غیرممکن است.

برای مبارزه با این تهدیدات باید راهکاری ارائه شود که به اندازه خود آن‌ها پویا و گسترده باشد. Applianceهای FortiDDoS  که به منظور کاهش حملات DDoS توسط Fortinet معرفی شده، با استفاده از روش‌های شناسایی حمله‌ی مبتنی بر رفتار‌ و پردازشگرهایی که به طور کامل مبتنی بر ASIC می‌باشند، به ارائه پیشرفته‌ترین و سریع‌ترین روش برای کاهش این نوع حملات در بازار امروز می‌پردازند.

رویکردی برتر و متفاوت جهت کاهش حملات DDoS

تنها Fortinet این قابلیت را داراست که از یک رویکرد ASIC صد در صدی برای محصولاتِ DDoS استفاده نماید، بدون اینکه سربار و ریسک‌های CPU و یا سیستم ترکیبی CPU/ASIC رخ دهد. پردازشگر تراکنش‌های FortiASIC-TP2 می‌تواند هر دو عملکرد شناسایی و کاهش حملاتِ DDoS را میسر سازد. این پردازشگر علاوه بر مدیریت انواع ترافیک در لایه‌های 3، 4 و 7، می‌تواند عملکرد شناسایی و کاهش تهدیدات را تسریع نموده و کمترین میزان تاخیر (Latency) را در صنعت ایجاد نماید.

FortiDDos، در مقایسه با سایر رقبا از یک روش صد در صد اکتشافی و مبتنی بر رفتار برای شناسایی تهدیدات استفاده می‌نماید که انجام آن عمدتا متکی بر فرآیند انطباق با Signature می‌باشد. این تکنولوژی به جای استفاده از یک Signature از پیش تعریف شده جهت شناسایی الگوی تهدیدات، مبنایی را برای عملکرد نرمال ایجاد نموده و سپس ترافیک مربوط به آن را مانیتور می‌نماید. با شروع حمله، FortiDDoS آن را به عنوان اختلال و ناهنجاری در نظر گرفته و بلافاصله برای کاهش تاثیر آن وارد عمل می‌شود. کاربران با استفاده از این تکنولوژی در مقابل حملات شناخته شده و شناخته نشده‌ی Zero-Day، بدون اینکه نیازی برای به روزرسانی فایل یک Signature وجود داشته باشد، محافظت می‌گردند.

همچنین این تکنولوژی به نحوی متفاوت از سایر راهکارها می‌تواند فرآیند کاهش حملات را مدیریت نماید. وقتی حمله شروع می‌شود، سایر Applianceهای موجود نیز برای کاهش حملات DDoS آغاز به کار نموده و فرآیند مسدودسازی شروع می‌شود و این حالت تا پایان تهدید باقی خواهد ماند. در صورت انطباق اشتباه یک رویداد با یک Signature وضعیت False Positive ایجاد شده که منجر به توقف تمامی ترافیک‌ها می‌شود که در نتیجه آن نیاز به مداخله پدید می‌آید. FortiDDoS از طریق مانیتور نمودن ترافیک نرمال و پس از آن یک سیستم امتیازبندی Reputation Penalty، از رویکرد دقیق‌تری برای برآورد IPهای مناسب و سایر موارد مشکل‌ساز استفاده می‌کند. این تکنولوژی، IPهای مشکل‌ساز را مسدود نموده و سپس در مدت زمان تعریف شده توسط کاربر که به صورت پیش فرض هر 15 ثانیه یکبار می‌باشد، این حملات را مجددا ارزیابی می‌نماید. در صورتی که IP مشکل‌ساز همچنان در هر یک از این دوره‌های ارزیابی مجدد به عنوان تهدید تلقی شود، امتیاز آن در سیستم Reputation Penalty افزایش یافته و در صورت وارد کردن آسیب به Threshold تعریف شده توسط کاربر، در نهایت وارد Black List می‌شود.

تنظیمات و مدیریت آسان FortiDDoS

FortiDDoS به صورت پیش فرض فعالیت خود را آغاز نموده و در همین شرایط ابزار یادگیری خودکار آن به ایجاد مبنایی برای الگوهای ترافیک برنامه می‌پردازد. صرف نظر از وضعیت Threshold که به صورت پیش‌فرض یا تعریف‌شده می‌باشد، این تکنولوژی به صورت خودکار از کاربر در برابر حملات DDoS دفاع می‌کند و در زمان مورد نیاز تیم‌های امنیتی برای پیکربندی، تنظیم پروفایل، آنالیز گزارشات یا انتظار برای به‌روزرسانی‌های Signature صرفه‌جویی می‌نماید.

داشبوردها و فرآیند‌های گزارش‌گیری‌ Real-Time مورد استفاده به ارائه ابزاری برای کاربران می‌پردازد که جهت بازنگری حملات و تهدیدات علیه سرویس‌‌های خود بدان نیاز دارند. همچنین کاربران می‌توانند گزارشات را مطابق با نیاز خود ارائه نمایند یا آنها را طوری برنامه‌ریزی کنند که بر اساس یک مبنای مشخص و منظم ارائه شود. داشبوردها این امکان را برای کاربران فراهم می‌نماید تا روند حملات را در یک ترکیب ساده و قابل کاربرد مشاهده و درک نمایند. در هر یک از شرایط گزارش‌گیری از وضعیت کلی یا آنالیز دقیق حملات به صورت Granular، این تکنولوژی به ارائه اطلاعات جامع در مورد حملات در سطح سرویس و پاسخ‌هایی برای کاهش رویدادهای خاص یا رویدادها در طول زمان می‌پردازد.

مکانیسم‌های دفاعی قابل انعطاف

FortiDDoS به محافظت از کاربر در برابر تمامی حملات DDoS شامل Bulk Volumetric ،Layer 7 Application و حملات SSL/HTTPS می‌پردازد. در واقع این تکنولوژی، محافظت در برابر کلیه حملات از ابتدایی‌ تا پیشرفته‌ترین حالت‌ها را در برمی‌گیرد.

حملات Bulk Volumetric

این نوع حملات، اولین نوع حمله محسوب شده و امروزه نیز به عنوان یک تهدید جدی قلمداد می‌شوند. در حالی که ISPها ممکن است از حملات ساده‌ای از این دست پیشگیری کنند اما این حملات به طور فزاینده‌ای برای پوشش روش‌های حمله پیچیده‌تر در سطح اپلیکیشن به کار می‌روند. ساده‌ترین روش برای مقابله با این نوع تهدیدات آن است که تا زمان متوقف شدن حملات، تمامی ترافیک‌ها مسدود شود. سیستم امتیازبندی FortiDDoS IP Reputation به ترافیک‌های بدون مشکل اجازه فعالیت می‌دهد در حالیکه IP‌های مشکل ساز را محدود می‌کند. این فرآیند نه تنها محافظت مورد نیاز را برای کاربران فراهم می‌نماید، بلکه تاثیر False Positive حاصل از توقف ترافیک‌های بدون مشکل Client را نیز به حداقل می‌رساند.

حملات مربوط به لایه Application

این نوع حملات به عنوان یک منبع رو به رشد از حملات DDoS به شمار رفته و تلاش می‌کنند تا آسیب‌پذیری‌های موجود در یک سرویس را Exploit نمایند تا منابعی که آن را غیرقابل دسترس می‌نمایند، متوقف سازد. معمولا این نوع حملات در بخش حملات Bulk Volumetric قرار می‌گیرند اما بهرحال ممکن است به صورت جداگانه نیز رخ دهند. از آنجاییکه این نوع حملات به پهنای باند بسیار کمتری برای ایجاد قطعی در سرویس نیاز دارند، شناسایی آنها دشوارتر بوده و معمولا مستقیما از ISP به شبکه وارد می‌شوند. تمام حملات کوچک و بزرگی که لایه 7 را هدف قرار می‌دهند، موجب بروز تغییراتی در سطح سرویس می‌شوند که از طریق موتور تحلیل رفتار FortiDDoS شناسایی شده و کاهش می‌یابد.

حملات مبتنی بر SSL

در این نوع حملات از روش‌های رمزگذاری مبتنی بر SSL استفاده می‌شود تا محتوای Packetهای حمله را پنهان نماید؛ به علاوه اینکه استفاده از روش‌های رمزگذاری به معنای کمتر بودن منابع در دسترس می‌باشد که نیاز به متوقف نمودن آنها وجود دارد. اغلب راهکارهای مبتنی بر Signature برای ایجاد انطباق با پروفایل حملات شناخته شده، مستلزم رمزگشایی ترافیک می‌باشند. با کمک یک سیستم رفتاری مانند FortiDDoS می‌توان این حملات را بدون نیاز به رمزگشایی شناسایی نمود زیرا این حملات باعث بروز تغییرات رفتاری می‌گردد. این تغییرات را می‌توان با رفتار نرمال سیستم مقایسه نمود و به درکی از منابع موجود دست یافت. وقتی منابع مربوطه در معرض تهدید قرار می‌گیرند، FortiDDoS با محدود نمودن درست و به موقع به حملات پاسخ می‌دهد.

حملات مبتنی بر DNS در واقع سرورهای معتبر (Authoritative) وRecursive DNS را هدف قرار می‌دهد. سازمان‌های دارنده سرورهای DNS در معرض خطر حملات DDoS می‌باشند؛ بدین ترتیب که با Exploit نمودن نقاط ضعف موجود در سرورهای DNS برای مدیریت درخواست‌ها و ترافیک، این منابع را هدف قرار می‌دهد. FortiDDoS تنها پلتفرم موجود برای کاهش حملات DDoS می‌باشد که تمامی ترافیک‌های مربوط به  DNSرا بررسی نموده و آنها را در مقابل تمام انواع حملات DDoS محافظت می‌نماید. این حملات با وارد شدن به سرورهای DNS از مجموعه پاسخ‌های DNS به درخواست‌ها، مجموعه NXdomain Queryها و اختلالات DNS Header استفاده می‌نمایند. Advanced DNS Protection در اکثر مدل‌های FortiDDoS در دسترس می‌باشد.

در قسمت دوم (پایانی) از این سری مقالات به بررسی سایر کاربردهای تجهیز FortiDDoS  می پردازیم.

ــــــــــــــــــــــــــــــــــ

کاربرد تجهیزات FortiDDoS برای جلوگیری از حملات DDoS – قسمت اول

کاربرد تجهیزات FortiDDoS برای جلوگیری از حملات DDoS – قسمت دوم (پایانی)