حملات DDoS چیست و راههای مقابله با آن کدامند؟

در سال گذشته (سال 2018 میلادی) دنیای وب شاهد بزرگترین حملات DDoS بوده است. متاسفانه پیشرفت دنیای وب و تکنولوژی ها به معنی پیشرفت حملات DDoS و بیشتر شدن آن ها است. این مسئله آنچنان بدیهی شده است که قسمتی از کار هر روزه ی شرکت های مختلف، مقابله با حملات DDoS است! بنابراین باید متوجه بود که محافظت در برابر حملات DDoS در سال های اخیر از اهمیتی چندانی برخوردار شده است. زمانی که کاربران سایت شما احساس کنند که سایت کند شده است و به درخواست ها پاسخ درست نمی دهد، اعتمادشان از بین می رود و به عنوان یکی از تبعات آن شاهد ضررهای مالی خواهید بود.

DDoS چیست؟

حملات DDoS (مخفف Denial of Service – به معنی «حمله محروم‌سازی از سرویس») از حملات رایج این روزهای دنیای وب است.

حملات DDoS سعی می کنند تا شبکه یا سرویس خاصی را برای کاربران غیرقابل دسترسی کنند که معمولا از طریق افزایش ناگهانی و بی سابقه ی درخواست ها انجام می شود. به زبان ساده طرز کار این حملات بدین شکل است که ترافیک غیرواقعی و سنگینی را به سمت سرور ارسال می کنند (به وسیله ی ربات ها)، تا وب سایت هنگ کند و دیگر نتواند به درستی به درخواست ها جواب بدهد.

البته در حملات DDoS منبع حمله یک سیستم نیست بلکه صدها هزار IP به شبکه یا سرور شما حمله می کنند. پس حملات DDoS با حملات DoS فرق دارند؛ حملات DoS معمولا از یک کامپیوتر یا شبکه اجرا می شوند اما حملات DDoS از چندین کامپیوتر یا شبکه ی هک شده انجام می شوند بنابراین کار شناخت هکر و همچنین مقابله با آن بسیار سخت می شود.

معمولا دو نوع حمله ی DDoS وجود دارد: در سطح برنامه (application layer) و در سطح شبکه (network layer). بر اساس گزارش گروه امنیتی Arbor Network تقریبا 93 درصد حملات DDoS در سال 2015 در سطح برنامه (application layer) بوده اند و معمولا DNS را هدف میگرفته اند. وب سایت هایی مانند Norse و Digital Attack Map وجود دارند که در واقع شبکه های اطلاعاتی تهدید هستند و به صورت لحظه ای و زنده انواع ترافیک های مشکوک را در سطح جهان گزارش می کنند.

حملات application layer (که به حملات لایه ی 7 نیز معروف اند) معمولا HTTP و FTP و SMTP و ... را هدف می گیرند. بنابراین این دست از حملات سعی می کنند RAM یا CPU سرور را با درخواست های متعدد شدیدا درگیر کنند. حملات Network layer (یا حملات لایه ی 3 و 4) زیر ساخت های شبکه ی قربانی را هدف می گیرند و هزینه های بسیار سنگینی روی دست او می گذارند. این نوع حملات معمولا از نوع DNS amplification و SYN Flood و NTP DDoS attacks هستند. هر کدام از این حملات نقاط ضعف پروتکل های ذکر شده را هدف می گیرند؛ به طور مثال در DNS amplification حمله کننده کوئری های جعلی متعددی را به DNS resolver می فرستد و DNS resolver نیز پاسخ را به سرور قربانی ارسال می کند که خود باعث درگیر شدن شدید سیستم کاربر می شود.

بر اساس گزارشات منتشر شده در سال 2015 میزان حملات DDoS رکورد خود را شکستند و به 500Gbps رسیدند! همچنین بر اساس گزارشات کمپانی امنیتی Kaspersky در سه ماهه نخست سال 2016 منابع مختلفی در 74 کشور جهان مورد حمله قرار گرفتند (این مقدار در سه ماهه آخر سال 2015 حدود 69 کشور بود) و 93.6 درصد از منابع مورد حمله در 10 کشور دنیا قرار داشته اند؛ چین در این میان بیشترین حملات DDoS را تحمل کرده است.

آماری از حملات DDoS - تفکیک شده بر اساس کشور های مختلف

حالا اگر با سال 2018 نگاه کنید حملات DDoS ای را می بینید که بسیار بزرگ تر هستند؛ در ماه مارس 2018 شاهد بزرگترین حملات DDoS ای بوده ایم که تا به حال گزارش شده است. به طور مثال GitHub به خاطر حمله ی عظیم 1.3Tbps ای (یعنی 1.3 ترابیت بر ثانیه!) حدود 10 دقیقه به طور کامل آفلاین شد. حدود 5 روز پس از این واقعه یک حمله ی عظیم DDoS دیگر به یکی از ISP های آمریکایی انجام شد که قدرتش به 1.7Tbps می رسید.

قدرت حملات در سال های اخیر — قدرت حملات DDoS در سال های اخیر

باید این نکته را به یاد داشته باشیم که همه ی حملات DDoS در چند ساعت از بین نمی روند بلکه ممکن است تا چندین روز طول بکشند. طولانی ترین حمله ی DDoS در سه ماهه ی نخست سال 2016 میلادی چیزی در حدود 197 ساعت (8.2 روز) طول کشیده است. به همین خاطر آماده کردن خود برای مقابله با حملات DDoS بسیار مهم است.

حملات DDoS در گذشته

همانطور که گفتیم زمانی که حمله ی DDoS به GitHub اتفاق افتاد، بزرگترین حمله ی شناخته شده تا آن زمان بود. در واقع GitHub در هر ثانیه حدود 126.9 میلیون بسته (packet) دریافت می کرد. این حمله بر اساس UDP و ترافیک memcached بود که به حمله کننده اجازه می داد بار ترافیک را چند برابر کند.

اگر عبارت "DDoS attacks" را در گوگل سرچ کنید میبینید که دریایی از مقالات و گزارش ها در این رابطه به شما ارائه می شود؛ این مسئله نشان می دهد که حملات DDoS چقدر جدی و رایج شده اند. به طور مثال در سال 2016 شبکه ی توسعه دهندگان Mozilla نیز دچار حمله ی DDoS شد. توییت زیر از حساب کاربری Mozilla است که به کاربران اطلاع می دهد سایت دچار حمله DDoS شده است:

MozBar for Firefox is shutting down temporarily due to DDOS attacks. We’ll tweet again as soon as it’s back up. Sorry for any inconvenience!

حتی کمپانی های بزرگی مانند Blizzard (فعال در حوزه ی بازی های کامپیوتری) نیز از این حملات جان سالم به در نبرده اند و در ماه آوریل دچار حملات DDoS شده اند و کاربران نمی توانستند وارد بازی شان بشوند. بنابراین هر چقدر هم سپر دفاعی محکمی داشته باشید باید به فکر احتمالات هم باشید و برای حمله ها آماده شوید.

شفافیت کاری

زمانی که یک کمپانی دچار حملات DDoS می شود، شفافیت کاری بسیار مهم خواهد بود. زمانی که کاربران شما نتوانند از سایت استفاده کنند برایشان سوال های متعددی ایجاد می شود بنابراین برای مشورت با دیگران و پرسیدن سوالات خود وارد شبکه های اجتماعی (مانند توئیتر و...) می شوند و از یکدیگر سوال می پرسند. این مسئله باعث می شود که خبر حمله به سایت شما دهان به دهان نقل شده و تبدیل به مشکل بسیار بزرگ تری شود. زمانی که شبکه ی توسعه دهندگان Mozilla دچار این حملات شد در صفحه ی اخبار خود کاربران را لحظه به لحظه در جریان وضعیت حمله می گذاشت.

اطلاع رسانی مکرر و لحظه ای Mozilla به کاربران از وضعیت حملات انجام شده

بنابراین داشتن شفافیت کاری و همچنین صفحه ی اخبار بسیار مهم است. البته این صفحه ی اخبار باید روی سرور دیگری میزبانی شود تا در هنگام حملات کاربران به آن دسترسی داشته باشند.

برخی از حقایق جالب در مورد DDoS

حملات DDoS بسیار شایع هستند و به دلیل همین حجم بالا تشخیص برخی از نکات برای ما سخت می شود. ما لیست کوتاهی از برخی از حقایق DDoS برای شما جمع آوری کرده ایم که می تواند درک بهتری به شما بدهد:

43% از حملات سایبری، کسب و کار های کوچک را هدف می گیرند._{منبع: Smallbiztrends}
هزینه ی تامین امنیت مجازی در دنیا به 114 میلیار دلار خواهد رسید._{منبع: Gartner}
حملات DDoS هر ساله چیزی در حدود 140% رشد می کنند. _{منبع: Rambus}
حملات DDoS در سال 2017 رشد 91% داشته اند. _{منبع: Techrepublic}
طولانی ترین حمله در سه ماهه ی دوم سال 2018 حدود 258 ساعت (11 روز) طول کشید. _{منبع: Securelist}

بر اساس گزارش Kaspersky حملات DDoS برپایه ی SYN حدود 80.2% و حملات بر پایه ی UDP حدود 10.6% از کل حملات را تشکیل می داده اند و دیگر حملات نیز در زمینه ی TCP و HTTP و ICMP بوده اند.

مقابله با DDoS

برای مقابله با DDoS باید چند کار را انجام دهید:

زیر نظر گرفتن ترافیک ورودی سایت و بررسی الگوهای غیرعادی؛ هر چه زودتر این الگوها را پیدا کنید، زودتر می توانید آن ها را بررسی کنید.
استفاده از rate limiting برای محدود کردن حملات و جلوگیری از درگیری شدید سرورها.
اضافه کردن فیلترها به router خود برای نادیده گرفتن بسته هایی (packet) که از منابع مشکوک ارسال می شوند.

قسمت بزرگ کار نیز بر عهده ی شرکت میزبانی وب سایت شما است. قبل از خرید سرور و همکاری با شرکت های میزبانی حتما از آن ها در مورد مقابله با حملات DDoS بپرسید؛ آیا آن ها راه و روشی برای مقابله با حملات DDoS ایجاد کرده اند؟ یکی دیگر از راه های حفظ امنیت خود نیز استفاده از web application firewall های (برنامه های دیوار آتشین برای وب) معتبر است؛ به طور مثال Sucuri firewall که یک cloud proxy است یک لایه ی محافظت ابری است که راه اندازی خاصی نمی خواهد و فعال سازی آن بسیار راحت می باشد. این firewall برنامه ی شما را از SQL Injection و حملات brute force و malware ها و حملات DDoS امن می کند.

به هر حال بهتر است توصیه های امنیتی را جدی بگیرید و امنیت را اولویت اول خود قرار دهید.