افزایش حملات DDoS در لایه ی Application بر اساس گزارشات Imperva

با استفاده از Botnetها و سیستم‌های آسیب دیده‌ای که تحت کنترل آنها قرار می‌گیرند، می‌توان حملات سایبری طولانی‌تر، با درصد تخریب بیشتری را ترتیب داد.

شرکت Imperva، به تازگی از افزایش حملات DDoS در لایه  Applicationخبر داده و دلیل احتمالی افزایش این حملات را صرف هزینه کمتر جهت اجرای این نوع حملات و همچنین ناکارآمد بودن راهکار‌های امنیتیِ مقابله با حملات در این لایه، در مقایسه با حملات سایر لایه‌های شبکه عنوان می‌نماید.

طبق اظهارات این شرکت، در گزارشی که در رابطه با حملات DDoS در سال 2015-2016 منتشر نمود، این حملات در بیشترین حالت می‌توانند 8.7 گیگابیت در ثانیه ترافیک تولید نمایند، که این مساله در مورد حملات DDoS در لایه Application بی‌سابقه می‌باشد. هدف از ارائه این گزارش، تغییر مسیر در جهت مقابله و کاهش حملات DDoS در لایه Application عنوان شده است.

بر اساس نتایج به دست آمده از این گزارشات می‌توان حملات لایه‌ی Application را از طریق پاسخ‌های مورد نیاز از هر یک از برنامه‌های مورد هدف در هر ثانیه مورد ارزیابی قرار داد. لازم به ذکر است که این حملات نسبت به حملات لایه‌ی شبکه (Network) به حجم کمتری از ترافیک ارسالی برای موفقیت نیاز دارند، به عنوان مثال اگر Botnet، پلتفرم مورد نظر برای شروع حمله باشد، این نوع حملات، به منابع Botnetی کمتری نیاز خواهند داشت.

علاوه بر موارد فوق، Attackerها هزینه‌ی کمتری برای این قبیل حملات صرف می‌کنند و می‌توانند حملات طولانی‌تری را نیز برنامه‌ریزی نمایند. بیش از 44 درصد حملات لایه‌ی Application بیش از یک ساعت به طول می‌انجامد و این در حالی است که فقط 12.2 درصد از حملات لایه‌ی شبکه دارای چنین عملکردی می‌باشند.

حملات لایه‌های Network و Application به طور میانگین 445 بار در هفته رخ می‌دهند که این رقم در طول سال نیز افزایش خواهد یافت.

Imperva اظهار داشت که این آمار و ارقام مطلوب نمی‌باشد، زیرا تبدیل شدن به قسمتی از یک حمله‌یDDoS  می‌تواند به سادگی توسط Attacker‌ها با در اختیار گرفتن سرویس‌های مجاز سیستم، که صحت کارکرد و امنیت سیستم‌ها را تامین می‌نماید، صورت پذیرد. در طول تهیه این گزارش، درصد حملاتی که Attacker‌ها به وسیله‌ی استفاده از سیستم‌های آسیب‌دیده انجام داده‌اند، از 63.8 درصد به 93 درصد افزایش یافته است. همچنین طبق تحقیقات به عمل آمده، مشخص گردید که افراد غیرحرفه‌ای از DDos برای اخاذی یا تحریک حملات استفاده می‌نمایند.

این شرکت اظهار داشت که بخشی از این افزایشِ ناگهانی حملات DDoS، به دلیل افزایش تعداد مشتریان سرویس Incapsula می‌باشد. به علاوه، اکثر مشتریان جدید بدین دلیل وارد سیستم می‌شوند که با مشکلات DDoS به شکل حملات واقعی یا حملات تهدیدی و یا درخواست باج برای حمله نکردن توسط Attackerها درگیر می‌باشند.

یکی دیگر از تاکتیک‌های معمول حملات، ایجاد حملات کم حجم‌تری است که یکی پس از دیگری صورت می‌گیرد. حملات متوالی به نوبه خود خرابی خاصی ایجاد نمی‌کنند، اما باعث کاهش کارایی و سرویس‌دهی می‌گردند، بنابراین در فرآیند کاهش ارزش این سرویس‌ها نیز موفق می‌باشند. برخی گزارشات نشان می دهد که از این نوع حملات به عنوان تله و جهت منحرف نمودن توجه از دیگر حملاتی که به طور همزمان رخ می‌دهند، استفاده می‌شود.

بالاترین میزان حملات نسبت به بالاترین مقدار مشاهده شده توسط سازمان Imperva (حدودGbps  470)، نسبت به نیمه دوم سال گذشته نیز افزایش یافته است و وسعت این حملات، بستگی به اندازه Botnet‌هایی دارد که برای راه اندازی آنها به کار می‌روند؛ البته این نوع حملات خاص، معمولا در لایه‌ی شبکه رخ می‌دهد.

در گزارش اخیر Imperva عنوان شد که حجم قابل توجهی از حملات یعنی حدود 87.8 درصد از تمام حملات کمتر از سی دقیقه به طول انجامیده و طولانی‌ترین حمله نیز 54 روز طول کشیده است.

در ادامه این گزارش آمده است که: بیشتر حملات مشابه هم بوده و تنها از یک روش و استراتژی حمله استفاده نموده‌اند، اما درصد کمی از حملات از طریق روش‌های مختلف که نهایتا تا 5 روش متفاوت می‌باشد، صورت گرفته است. UDP Floodها رایج‌ترین نوع حملات بوده و پس از آن SYN Floods ،TCP Floods و Large SYN Floods در جایگاه‌های بعدی قرار دارند.

در طول تهیه این گزارش، چین به عنوان اولین منبع برای حملات DDoS مشخص شده و آمریکا نیز میزبان بیشترین میزان حملات DDoS بوده است.