حمله DOS و DDOS

یکی از مشکلاتی که همیشه در فضای مجازی وجود دارد، حملات سایبری است که به کاربر و همچنین صاحب سایت آسیب وارد می‌کند. از جمله‌ی این حملات می‌توان به حملات dos و ddos اشاره کرد. هر دو این حملات اساس و پایه یکسانی دارند و ترافیک بالایی به سایت هدف وارد می کنند، اما از نظر ساختار و منبع ایجاد ترافیک ورودی باهم متفاوت هستند.

بهزاد میرزازاده بهزاد میرزازاده

زمان مطالعه

3 دقیقه

بازدید

21

پرسش و پاسخ

0

حمله DDOS

عبارت DDOS مخفف Distributed Denial of Service است. در این حمله، ترافیک زیادی از چند منبع به صورت همزمان به یک سرویس آنلاین وارد می شود تا آن را از دسترس کاربر خارج کند. هر سایتی ظرفیت محدودی برای پاسخ به درخواست هایی که دریافت می کند دارد. حمله DDOS نیز از همین محدودیت سرویس دهی استفاده کرده و آن را مورد هدف قرار می دهد. در این حمله، درخواست هایی که بیشتر از ظرفیت پاسخ دهی سایت هستند ارسال می شوند و آن را از دسترس کاربر خارج می کنند. به طور معمول سایت های فروش اینترنتی و کسب و کارهایی که برای ارائه خدمات مبتنی بر اینترنت هستند مورد این حمله قرار می گیرند.

 

نحوه عملکرد حمله DDOS

هر منبع شبکه ای می تواند به طور همزمان به درخواست های محدودی پاسخ دهد. برای مثال یک سایت فروشگاهی را در نظر بگیرید. سرورهای این سایت می توانند صفحات مختلف سایت را به طور همزمان در دسترس تعداد محدودی از کاربران قرار دهند و در صورتیکه مراجعه بیش از ظرفیت به آن انجام شود، سرور امکان خدمات رسانی را ندارد و سایت به اصطلاح down می شود.

علاوه بر محدودیت ظرفیت سرور، کانالی که سرور را به اینترنت متصل می‌کند، پهنای باند و ظرفیت محدودی دارد. ارسال درخواست مازاد بر ظرفیت سایت به دو روش آسیب وارد می کند:

  • به درخواست های ارسالی با سرعت خیلی کمتری پاسخ داده می شود.
  • امکان نادیده گرفته شدن تمام و یا بخشی از درخواست ها بیشتر می شود.

به طور معمول هدف مهاجم انکار کامل خدمات است؛ به این معنی که عملکرد عادی منبع وب به صورت کامل مختل شود. گاهی مواقع مهاجم برای توقف حمله، درخواست پرداخت می کند. این حملات گاها با هدف بی اعتبار کردن و یا آسیب رساندن به رقبای تجاری یک کسب و کار انجام می شوند.

 

برنامه ریزی حمله DDOS با تشکیل "شبکه زامبی" بات نت

مهاجمان، اجتماعی از رایانه‌های آلوده به نام «بات‌نت» را که به صورت شبکه ای بهم متصل هستند را از طریق انتشار نرم‌افزارهای مخرب از طریق ایمیل‌ها، وب‌سایت‌ها و رسانه‌های اجتماعی می‌سازند. سپس سایت هدف را وارد این شبکه‌ها می کنند. بعد از ورود سایت هدف به این شبکه می‌توان بدون اطلاع صاحبان سایت آن را از راه دور کنترل کرد و برای حمله به هر هدفی استفاده کرد. برخی از بات‌نت‌ها از میلیون‌ها ماشین قوی تشکیل شدند. برای ارسال درخواست به منبع هدف، «شبکه زامبی» از رایانه‌ها ایجاد می شود. مهاجم به دلیل توانایی کنترلی که بر تمام فعالیت رایانه های موجود در شبکه زامبی دارد، می تواند حملات را در مقیاس های مختلف ایجاد کند.

 

تشخیص حمله DDOS

عدم دسترسی و یا کاهش سرعت پاسخ سایت مشخص ترین علامت حمله DDOS است. اما نمی توان تمام مواقعی که دسترسی به سایت از بین می رود را به دلیل حمله دانست. گاهی مواقع انتظار می رود که ترافیک بالایی به سایت روانه شود و احتمال down شدن وجود دارد. این عامل خصوصا برای سایت های فروشگاهی صادق است که کمپین های تبلیغاتی از طریق سوشال مدیا مارکتینگ ایجاد می کنند تا سرنخ های جدید کسب کنند و یا فروش بالاتری داشته باشند. در این شرایط کندی سایت امری کاملا طبیعی است. برای اینکه متوجه شوید ترافیک سایت ارگانیک است و یا در اثر حمله ایجاد شده، می توان از ابزارهای تجزیه و تحلیل ترافیک استفاده کرد. از نشانه های حملات DDOS می توان به این موارد اشاره کرد:

  • ترافیک مشکوک از یک آدرس IP یا محدوده IP
  • ترافیک بالا از کاربرانی که رفتار مشترک دارند، مانند نوع دستگاه، موقعیت جغرافیایی، یا نسخه مرورگر وب
  • افزایش غیر قابل توجیه تعداد درخواست به یک صفحه
  • الگوهای ترافیکی عجیب و غریب مانند افزایش در ساعات خاصی از روز یا الگوهایی که غیرطبیعی به نظر می‌رسند (مثلاً افزایش ترافیک هر 10 دقیقه یک بار)

 

انواع حملات DDOS

اتصال شبکه در اینترنت از لایه های مختلفی تشکیل شده است که هرکدام از حملات می توانند یکی از لایه ها را مورد هدف قرار دهند. این لایه ها عبارتند از:

  1. لایه فیزیکی Physical Layer
  2. لایه اتصال دیتا Datalink Layer
  3. لایه شبکه Network Layer
  4. لایه انتقال Transport Layer
  5. Session Layer
  6. لایه نمایشی Presentational Layer
  7. لایه اپلیکیشن Application Layer

اما به طور کلی حملات DDOS را می توان به سه دسته حملات لایه برنامه، حملات پروتکلی و حملات حجمی تقسیم کرد.

 

حملات لایه برنامه

به این نوع حمله DDoS لایه 7 (با اشاره به لایه هفتم مدل OSI) نیز گفته می‌شود، هدف این حمله تخلیه منابع هدف برای ایجاد یک انکار سرویس (denial of service) است.

صفحات وب روی سرور در لایه 7 ام تولید و در پاسخ به درخواست های HTTP تحویل داده می شوند. اجرای درخواست HTTP هزینه آنچنانی برای کلاینت ندارد، اما پاسخی که سرور ایجاد می کند هزینه بر است؛ زیرا سرور اغلب چندین فایل را بارگیری می‌کند و به درخواست‌های دیتابیس برای ایجاد صفحه وب پاسخ می‌دهد. در این نوع حمله، تشخیص ترافیک مخرب از ارگانیک سخت است، به همین دلیل نمی توان به خوبی در برابر آن دفاع کرد.

 

حملات پروتکلی

در این نوع حمله از منابع سرور و یا تجهیزات شبکه مانند فایروال ها بیش از حد و ظرفیت شان استفاده می شود، به همین دلیل حملات حالت فرسودگی (State Exhaustion) نامیده می شوند. نقاط ضعف لایه های 3 و 4 پروتکل برای ایجاد عدم دسترسی به سایت مورد استفاده مهاجم قرار می گیرد.

 

حملات حجمی

همانطور که اسمش مشخص می کند، این حمله با حجم زیاد درخواست ایجاد می شود. مهاجم تمام پهنای باند سایت هدف را مصرف کرده و ازدحام ایجاد می کند. از تقویت کننده و یا روش های دیگری مانند درخواست از سمت بات نت، تعداد درخواست های زیادی به هدف ارسال می کند تا توانایی پاسخ به این ترافیک را نداشته باشد.

 

حمله DOS

حمله انکار سرویس (DoS-Denial of Service) حمله سایبری است که در آن هدف مهاجم ایجاد اختلال در عملکرد عادی دستگاه، رایانه یا دستگاه دیگر در دسترس کاربران، است. در حملات DoS معمولاً سیلی از درخواست‌ها به سمت دستگاه هدف ارسال می شود تا زمانیکه آن دستگاه امکان پردازش درخواست‌های نرمال را نداشته باشد، در نتیجه باعث ناتوانی سایت در برابر پاسخ به کاربران دیگر می‌شود.

 

نحوه کارکرد حمله DOS

تمرکز حمله DOS در اشباع ظرفیت ماشین هدفمند است که از تمام منابع سخت افزاری هدف استفاده می کند و باعث انکار سرویس به درخواست های اضافی می شود. این نوع از حملات به انواع سرریز بافر و سیل آسا تقسیم می شوند.

 

حملات سرریز بافر (buffer overflow)

در این نوع حمله دستگاه تمام فضای هارد دیسک، حافظه و یا زمان CPU را مصرف می کند که منجر به کندی، خرابی سیستم و یا سایر رفتارهایی که نشان از تخریب سرور دارند می شود و در نهایت انکار سرویس ایجاد می کند.

 

حملات سیل آسا (flood attacks)

در حملات سیل آسا تعداد زیادی بسته به هدف ارسال می شود که ظرفیت سرور اشباع شود و توانایی پاسخ به سایر درخواست ها را نداشته باشد. انکار سرویس هنگامی ایجاد می شود که پهنای باند مهاجم، از هدف بیشتر باشد تا بتواند درخواست های بیشتر از ظرفیت آن، ایجاد کند و توانایی پاسخ سرور را از بین ببرد.

 

تشخیص حمله DOS

تشخیص حمله DOS با توجه به اینکه پایه ای تر است، سخت تر از حمله DDOS است. تمایز بین حمله و سایر خطاهایی که در اتصال شبکه، پهنای باند زیادی مصرف می کنند سخت است و دانش و دقت زیادی می طلبد. شاخصه هایی هستند که می توانند نشان دهنده حمله DOS باشند. از این جمله می توان به موارد زیر اشاره کرد:

  • کند شدن عملکرد عادی شبکه؛ به عنوان مثال بارگذاری اولیه سایت یا فایل هایی که داخل آن هستند با سرعت خیلی کمتری انجام می شود.
  • دسترسی به سایت به طور کامل از بین می رود و هیچ اطلاعاتی بارگذاری نمی شود.
  • قطع ناگهانی اتصال بین دستگاه‌های موجود در همان شبکه

 

 

تفاوت حمله DOS و DDOS

تفاوت این دو حمله را می توان به صورت زیر بیان کرد:

عنوان

DOS

DDOS

تشخیص منشا حمله

با توجه به اینکه این حمله از یک منبع خاص و یکسان انجام می شود، راحت تر می توان منشا آن را تشخیص داد

این حمله از چندین دستگاه با آدرس های IP متفاوت انجام می شود، در نتیجه تشخیص منشا آن و همچنین تمایز آن از ترافیک بومی سخت تر است

سرعت حمله

از یک منبع انجام می شود و سرعت کمتری دارد

از تعداد منابع بیشتری انجام می شود و با سرعت بیشتری پیش می رود

حجم ترافیک

از یک دستگاه استفاده می شود و حجم ترافیک کمتری وارد می کند

از چندین ماشین راه دور که زامبی یا ربات ها هستند استفاده می کند، در نتیجه میزان ترافیک بیشتری وارد سایت می کند

نحوه اجرا

از یک اسکریپت یا ابزار یک دستگاه برای ایجاد حمله استفاده می کند

میزبان‌های متعدد آلوده به بدافزار (ربات‌ها) را هماهنگ می‌کند و یک بات‌نت ایجاد می‌کند که توسط یک سرور فرمان و کنترل (C&C) مدیریت می‌شود

نوع حمله

حمله یک سیستم به سیستم دیگر است

حمله چندین سیستم به یک سیستم واحد است