چگونه در برابر حملات DDoS از سامانه‌های کامپیوتری محافظت می‌کنند

حمله منع سرویس توزیع شده چیست؟

حمله منع سرویس توزیع شده (DDoS) سرنام Distributed Denial of Service با هدف از دسترس خارج کردن موقتی یا دائمی یک سایت یا سرور به مرحله اجرا در می‌آید. این حملات بر پایه شبکه‌ای از بات‌ها به مرحله اجرا در می‌آیند. بات‌ها در حقیقت کامپیوترها یا گجت‌هایی هستند که بدون اطلاع کاربر تحت کنترل هکرها قرار دارند. هکرها از طریق آسیب‌پذیری‌های موجود در میان‌افزار گجت‌های اینترنت اشیا، روترها، دوربین‌های تحت شبکه و سیستم‌عامل‌های دسکتاپ قادر هستند حملات چند گیگابیت بر ثانیه را به مدت نسبتا طولانی به مرحله اجرا در آورند. حمله‌ای که گاه‌وبی‌گاه زیرساخت شرکت‌های بزرگ را تهدید می‌کند و باعث می‌شود برای چند ساعت دسترسی به خدمات یک شرکت غیر ممکن شود. برای مقابله با این گونه تهدیدات راهکارهای مختلفی وجود دارد که سه مورد از آن‌ها به شرح زیر است.

حمله منع سرویس توزیع شونده چگونه پیاده‌سازی می‌شود؟

روش‌های مختلفی برای پیاده‌سازی این مدل حملات وجود دارد، روشی که برخی هکرها از آن استفاده می‌کنند به این صورت است که به‌طور مستقیم بار داده (payload)  مخرب را درون حافظه سیستم تزریق می‌کنند. در ادامه روت‌کیتی را دانلود و یک درب پشتی را روی سامانه قربانی نصب می‌کنند. پس از نصب درب پشتی در آخرین مرحله بدافزاری دانلود می‌شود و دستگاه قربانی به یک بات تبدیل می‌شود. در این بردار حمله مرحله هکرها قادر هستند از دستگاه قربانی به منظور پیاده‌سازی یک حمله انکار سرویس توزیع شده استفاده کنند. در نمونه‌های دیگر هکرها از بات‌ها به منظور سرقت رمزارزها استفاده می‌کنند. بات‌نت Adylkuzz چنین کاری انجام می‌دهد. بات‌نت فوق زمانی که روی سیستم کاربران قرار می‌گیرد قادر است رمزارزها را سرقت کند. همان‌گونه که مشاهده می‌کنید در برخی از موارد همه چیز ممکن است رنگ و نشانی از یک حمله منع سرویس توزیع شده داشته باشد، در حالی که سامانه‌هایی که تبدیل به بات می‌شوند برای کار دیگری آلوده می‌شوند.

1. ابتدا سازوکار سایت خود را مورد بررسی قرار دهید

اولین مرحله برای پیشگیری از به وقوع پیوستن این مدل حملات این است که سایت خود را به دقت مورد بررسی قرار دهید. به عبارت دقیق‌تر باید بررسی کنید سایت شما در برابر یک ترافیک غیر قابل پیش‌بینی وارد شونده چه عکس‌العملی از خود نشان می‌دهد. رویکرد سنتی که در این زمینه وجود دارد این است که از سیستم‌های متعادل کننده حجم کاری استفاده شود. این سیستم‌ها قادر هستند ترافیک وارد شونده را میان سرورهای مختلف توزیع کرده و تا حد قابل قبولی از تاثیر یک حمله کم کنند. مشکلی که این سامانه‌ها دارند این است که در مواجه با یک حمله انکار سرویس توزیع شده در ابعاد گسترده قادر به دفع آن نیستند. برای حل این مشکل و اطلاع از این موضوع که چه اندازه ترافیک وارد شونده به یک سایت مورد پذیرش باید قرار گیرند این است که سایت‌ها، برنامه‌های کاربردی یا مراکز داده را با مقدار مشخصی ترافیک داده‌ای مورد ارزیابی قرار دهید. برای این منظور ابزارهایی وجود دارند که قادر به شبیه‌سازی حملات DDoS هستند. این ابزارها به راحتی می‌توانند حملاتی در مقیاس گسترده و با حجم بالا را شبیه‌سازی کنند.

2. فیلتر کردن ترافیک وارد شونده به یک سایت

رویکرد دیگری که به شما در دفع حملات منع سرویس توزیع شده کمک می‌کند این است که از فیلترهای از پیش تعریف شده هوشمند ترافیکی استفاده کنید. این فیلترها به شکل قابل قبولی مانع از آن می‌شوند تا ترافیک غیر قابل پیش‌بینی و بزرگی روی یک سایت به وجود آید. این رویکرد نه تنها قادر است به شکل قابل قبولی اثر این‌گونه حملات را کم کند، بلکه این پتانسیل را دارد با دیگر مکانیزم‌های امنیتی همچون دیوارآتش و راه‌حل‌های امنیتی ادغام شده و به خوبی از زیرساخت شما دفاع کند. برای پیاده‌سازی چنین راهکاری می‌توان از ابزارهایی همچون گیت‌ها استفاده کرد. گیت‌ها به طور مستمر ترافیک شبکه را کنترل می‌کنند و آدرس‌های IP که در حملات DDoS مورد استفاده قرار گرفته‌اند را بلوکه می‌کنند. سازوکار گیت‌ها به صورت بلادرنگ بوده و هر زمان موفق شوند تهدیدها و آسیب‌پذیری‌های جدید را شناسایی کنند به مالک اجازه می‌دهند به‌روزرسانی‌هایی را برای ترمیم رخنه‌ها مورد استفاده قرار دهد. در این حالت هر زمان ترافیک مخربی به گیت برسد، ترافیک مخرب مسدود شده و اجازه نمی‌دهد به شبکه وارد شود. گیت‌ها این انعطاف‌پذیری را دارند که ترافیک وارد شونده از یک موقعیت جغرافیایی خاص را بلوکه کنند. آمارها نشان می‌دهند طیف گسترده‌ای از سرورهای کنترل و فرمان‌دهی که به منظور سازمان‌دهی و هدایت حملات DDos مورد استفاده قرار می‌گیرند در چند کشور مشخص میزبانی می‌شوند. در نتیجه یک سازمان به راحتی می‌تواند آدرس‌های متعلق به یک کشور یا حتا یک منطقه جغرافیایی را بلوکه کند. شاید مهم‌ترین مزیت گیت‌ها در ارتباط با شناسایی بات‌های آلوده‌ای است که در سطح یک شبکه شناسایی می‌شوند. در بعضی موارد سیستم‌های موجود درون یک سازمان‌ ناخواسته و بدون اطلاع به بات تبدیل شده‌اند. بات‌هایی که به راحتی قادر هستند داده‌ها و اطلاعات محرمانه را به خارج از سازمان منتقل کرده یا در حالت کلی‌تر در یک حمله انکار سرویس توزیع شده مشارکت داشته باشند. این اتفاقات در شرایطی رخ می‌دهد که مدیر شبکه از این موضوع کوچک‌ترین اطلاعی نخواهد داشت. اما زمانی که از گیت‌ها استفاده می‌کنید، به راحتی قادر خواهید بود اتصال مکرر یک سیستم به یک پورت و ارسال و دریافت داده‌ها را کشف کنید.  در نتیجه با کمترین زحمت ممکن فرمان‌هایی که از سوی سرورهای کنترل و فرمان‌دهی برای یک سامانه ارسال می‌شوند را کشف خواهید کرد. در مرحله بعد این توانایی را داریم تا سیستم آلوده را از شبکه حذف کنیم یا آن‌را برای تحلیل بیشتر در وضعیت قرنطینه قرار دهیم.

به‌روزرسانی را فراموش نکنید

در نهایت اصلی‌ترین و مهم‌ترین توصیه‌ای که همواره به کاربران گوشزد می‌کنیم را یکبار دیگر تکرار می‌کنیم. همواره به‌روزرسانی‌های ارائه شده برای سیستم‌عامل‌ها و میان‌افزارها را نصب کنید. آمارها نشان می‌دهند نیمی از حملات هکری و به ویژه DDoS بر مبنای آسیب‌پذیری‌های موجود در محصولات شکل گرفته‌اند. اگر یک دوربین CCTV یا یک گجت هوشمند در اختیار دارید میان‌افزار آن‌را همواره در حالت به‌روزشده نگه دارید.