نام حملات محرومسازی از سرویس را احتمالا هم شنیدهاید و هم در وبسایتهای مختلف، از جمله همین دیجیتالی خودمان تجربهاش کردهاید. این دست از حملات زمانی اتفاق میافتند که یک یا چند مهاجم میخواهند دسترسی به یک سرویس را غیر ممکن کنند. این کار میتواند با ممانعت از دسترسی به هرچیزی اتفاق بیفتد: سرورها، دیوایسها، سرویسها، شبکهها، اپلیکیشنها و حتی تراکنشهایی خاص درون اپلیکیشنها.
هنگامی که تنها یک سیستم دیتا یا درخواستهای بدخواهانه میفرستد به آن حمله DoS گفته میشود و هنگامی که حمله با چند سیستم صورت میگیرد، به آن DDoS میگویند.
به صورت معمول، این حملات با فرستادن انبوهی از درخواستها صورت میگیرند که سیستم هدف را در خود غرق میکنند. برای مثال میتوان آنقدر درخواست نمایش یک صفحه را به وب سرور فرستاد تا زیر فشار تقاضا کرش کند یا دیتابیس، مورد هجوم حجم عظیمی از جستارها قرار بگیرد. نتیجه نهایی اینکه پهنای باند اینترنت، پردازنده و ظرفیت رم بیش از اندازه تحت فشار قرار میگیرد.
تاثیر چنین حملاتی میتواند بسیار گسترده باشد، از اختلال جزیی در عملکرد سرویس گرفته تا حملات عظیمتر که وبسایتها، اپلیکیشنها و حتی کسبوکارها را به صورت کامل آفلاین میکنند.
به صورت کل سه نوع حمله DDoS داریم:
۱. حملات مبتنی بر حجم که از مقادیر عظیمی از ترافیک دروغین برای تحت فشار قرار دادن یک وبسایت یا سرور استفاده میکنند. این حملات میتوانند شامل ICMP و UDP باشند. ابعاد حملات مبتنی بر حجم براساس بیت بر ثانیه (bps) اندازهگیری میشود.
۲. حملات DDoS لایه شبکه که انبوهی از پکتها را به زیرساختهای شبکه یا ابزارهای مدیریت زیرساخت میفرستند. این حملات مبتنی بر پروتکل شامل SYN و Smurf DDoS شده و ابعادشان براساس پکت بر ثانیه (pps) سنجیده میشود.
۳. حملات لایه اپلیکیشن که با ارسال انبوهی از درخواستهای مختلف به اپلیکیشن انجام میشوند. این حملات نیز براساس تعداد درخواست بر ثانیه (rps) ابعادسنجی میشوند.
در هر کدام از این حملات، هدف نهایی همواره یکسان است: کند کردن منابع یک سرویس یا از کار انداختن کامل آنها.
حملات DDoS ممکن است شبیه به تمام اتفاقات غیر بدخواهانهای باشد که دسترسی به یک سرویس یا وبسایت را قطع میکنند: اتفاقاتی نظیر داون شدن سرور یا سیستم، ارسال درخواستهای حقیقی بیش از حد یا حتی کابلی که بریده شده. به صورت معمول باید ترافیک سیستم تحلیل شود تا دقیقا مشخص گردد که چه اتفاقی دارد میافتد.
بیایید به صحبت درباره یک حمله محرومسازی از سرویس بپردازیم که نگاه عموم مردم نسبت به این حملات را برای همیشه تغییر داد. در اوایل سال ۲۰۰۰ میلادی، یک دانشآموز دبیرستانی کانادایی به نام مایکل کالک (با لقب MafiaBoy)، یک حمله محرومسازی از سرویس ترتیب داد که توانست یکی از غولهای حوزه تکنولوژی آن زمان، یعنی یاهو را با دردسر جدی مواجه کند. بعد از این، کالک به سراغ سایتهای مهم دیگری نظیر آمازون، سیانان و eBay رفت و در عملکرد آنها نیز با موفقیت اختلال ایجاد کرد.
مشخصا این نخستین حمله DDoS در جهان نبود، اما زنجیره حملات کالک به قدری عمومی و موفقیتآمیز بودند که حملات محرومسازی از سرویس دیگر مثل سردردی کوچک در حوزه تکنولوژی به نظر نرسیده و همچون تهدیدی جدی برای کسبوکارهای بزرگ جلوه میکردند.
از آن زمان، حملات DDoS به شکلی مداوم اتفاق میافتند و دلایل پشتشان هم میتواند هرچیزی باشد. از انتقامجویی گرفته تا اکتیویسیم آنلاین و حتی آغاز نبردهای سایبری.
ابعاد این حملات نیز به مرور زمان بیشتر شده است. در اواسط دهه ۱۹۹۰ میلادی، یک حمله DDoS ممکن بود شامل ۱۵۰ درخواست بر ثانیه باشد و همین برای از پای درآوردن اکثر سیستمهای رایج کفایت میکرد. امروز حجم این حملات میتواند به ۱۰۰۰ گیگابیت بر ثانیه برسد و اصلیترین دلیل این وسعت، ابعاد خالص باتنتهای مدرن است.
در ماه اکتبر سال ۲۰۱۶ میلادی، یک شرکت تامینکننده خدمت زیرساخت اینترنتی به نام Dyn DNS (که امروز تحت عنوان Oracle DYN شناخته میشود) مورد هجوم موجی از جستارهای DNS از سوی دهها میلیون آیپی آدرس قرار گرفت. این حمله که از طریق باتنت Mirai انجام میشد، بنابر گزارشها بیش از ۱۰۰ هزار دیوایس اینترنت اشیا را آلوده کرد که دوربینهای آیپی و پرینترها را هم شامل میشد. در دوران پیکاش، Mirai توانست به ۴۰۰ هزار بات مختلف دسترسی یابد. به این ترتیب سرویسهایی نظیر آمازون، نتفلیکس، ردیت، اسپاتیفای، تامبلر و توییتر همگی با اختلال در عملکرد روبهرو شدند.
اوایل سال ۲۰۱۸ میلادی بود که تکنیک جدیدی برای حملات DDoS ظهور کرد. در روز ۲۸ فوریه آن سال، سرویس گیتهاب با یک حمله محرومسازی از سرویس بسیار غولآسا مواجه شد که در هر ثانیه، ترافیکی معادل ۱.۳۵ ترابایت را روانه این سایت محبوب میکرد. اگرچه گیتهاب برای مدتی کوتاه آفلاین شد و توانست در کمتر از ۲۰ دقیقه به روال عادی برگردد، اما ابعاد کاری که انجام شده بود کاملا نگرانکننده بود و حتی از حمله Dyn هم پیشی میگرفت که در بدترین حالتش به ۱.۲ ترابایت بر ثانیه رسیده بود.
یکی از تحلیلگران حوزه امنیت که حمله را از نزدیک رصد کرد گفت به چند طریق، این حمله از دیگر حملات آسانتر بوده است. درحالی که حمله Dyn محصول باتنت Mirai بود و نیازمند آلوده کردن صدها هزار دیوایس اینترنت اشیا، حمله گیتهاب با سوء استفاده از سرورهایی صورت گرفت از که سیستم کش کردن حافظه Memcached بهره میبردند. این سیستم میتواند حجم عظیمی از دیتا را در پاسخ به درخواستهایی ساده بازگرداند.
Memcached قرار است صرفا در سرورهای محافظت شدهای به کار گرفته شود که در شبکههای داخلی مشغول به کار هستند و عمدتا امکان محافظت از آن در برابر حملات بدخواهانهای که آیپی آدرسها را اسپوف کرده و حجم عظیمی از دیتا را روانه سیستم قربانیان میکنند وجود ندارد. متاسفانه در حال حاضر هزاران سرور Memcached در دنیای آزاد اینترنت مشغول به کار هستند و دقیقا به همین خاطر، میزان کاربردشان در حملات DDoS نیز به شکل چشمگیری افزایش یافته. حتی نمیتوان گفت که این سرورها به «سرقت» میروند، چرا که بدون پرسیدن حتی یک سوال، پکتها را به هرجایی که شخص متخاصم بخواهد میفرستند.
تنها چند روز بعد از حمله گیتهاب، یک حمله محرومسازی از سرویس دیگر با استفاده از Memcached، یکی از سرویسدهندگان مخابراتی ایالات متحده را با نرخ ارسال دیتای ۱.۷ ترابایت بر ثانیه فلج کرد.
باتنت Mirai از آن جهت اهمیت داشت که برخلاف اکثر حملات DDoS رایج، به جای اتکا بر پیسیها و سرورها، از دیوایسهای اینترنت اشیا بهره میگرفت و اوضاع زمانی ترسناکتر میشود که بدانیم بنابر پیشبینیها، تا پایان سال ۲۰۲۰ میلادی بالغ بر ۳۴ میلیارد دستگاه متصل به اینترنت در جهان خواهیم داشت که اکثریت آنها (یعنی ۲۴ میلیارد دستگاه) اینترنت اشیا خواهند بود.
و متاسفانه Mirai آخرین باتنت مبتنی بر اینترنت اشیا نخواهد بود. پژوهشی که از سوی چندین تیم امنیتی در شرکتهای کلادفلیر، فلشپوینت، گوگل و چند کمپانی دیگر صورت گرفته نشان میدهد یک باتنت دیگر به نام WireX نیز داریم که ابعادی مشابه داشته و از ۱۰۰ هزار دیوایس اندرویدی در ۱۰۰ کشور جهان تشکیل شده.
در روز ۲۱ ژوئن ۲۰۲۰، شرکت Akamai خبر از شناسایی یک حمله DDoS به یک بانک بزرگ اروپایی داد که شامل ۸۰۹ میلیون پکت بر ثانیه میشد، این یعنی بیشترین حجم پکت در تاریخ. این حمله طراحی شده بود تا با ارسال میلیاردها پکت کوچک، تجهیزات و اپلیکیشنهای شبکه را در دیتاسنتر مقصد تحت فشار قرار دهد.
محققین Akamai گفتند این حمله از آن جهت منحصر به فرد بود که انبوهی از آیپی آدرسها را به کار میگرفت. آنها گفتند که آیپیهایی که ترافیک ایجاد میکردند، به شکل تصاعدی افزایش مییافتند. به عبارت واضحتر، در هر دقیقه تعداد آیپیها ۶۰۰ برابر میشد.
اگرچه تعداد حملات DDoS به مرور زمان کمتر شده، اما همچنان تهدیدی بزرگ به حساب میآید. کسپرسکای لبز در یکی از آخرین گزارشهای خود گفت که میزان حملات محرومسازی از سرویس در سهماهه دوم ۲۰۱۹، افزایشی ۳۲ درصدی نسبت به سهماهه سوم سال ۲۰۱۸ داشته و دلیل اصلی این موضوع، افزایش چشمگیر حملات در ماه سپتامبر بوده است.
این شرکت اضافه میکردند که باتنتهای Torii و DemonBot که اخیرا کشف شدهاند نیز قادر به حملاتی در ابعاد وسیع بوده و حسابی نگرانکننده ظاهر میشوند. Torii به عنوان مثال میتواند گستره وسیعی از دیوایسهای اینترنت اشیا را آلوده کند و حتی از Mirai هم خطرناکتر به حساب میآید.
یک ترند نگرانکننده دیگر هم، میزان دسترسیپذیری پلتفرمهای راهاندازی حملات DDoS نظیر 0x-booter است. این سرویس، به ۱۶ هزار دیوایس اینترنت اشیا دسترسی دارد که همگی به بدافزار Bushido، یکی از ورژنهای Mirai، آلوده شدهاند و در اختیار مشتریان مختلف قرار میگیرند.
گزارش موسسه Imperva نشان میدهد که اکثر حملات DDoS در سال ۲۰۱۹ ابعادی نسبتا کوچک داشتهاند. برای مثال حملات لایه شبکه عمدتا از ۵۰ میلیون پکت بر ثانیه فراتر نرفتند. اما Imperva میگوید چند حمله بسیار بزرگ هم در سال گذشته میلادی داشتهایم، از جمله یک حمله لایه شبکه که به پیک ۵۸۰ میلیون پکت بر ثانیه رسید و یک حمله لایه اپلیکیشن دیگر که ۱۳ روز کامل دوام آورد و ۲۹۲ هزار درخواست بر ثانیه میفرستاد.
به صورت معمول، مهاجمینی که تکنیک DDoS را به کار میگیرند از باتنتها استفاده میکنند - شبکهای از سیستمهای آلوده به بدافزار که به شکلی مرکزی کنترل میشوند. این سیستمهای آلوده، معمولا کامپیوتر و سرور هستند، اما با گذشت زمان امکان استفاده از دیوایسهای موبایل و دیوایسهای اینترنت اشیا نیز مهیا شده. مهاجم با شناسایی سیستمهای آسیبپذیر که میتوانند از طریق حملات فیشینگ آلوده شوند و دیگر تکنیکهای مشابه، کنترل این دیوایسها را به دست میگیرند. از سوی دیگر، مهاجمین میتوانند باتنتها را از دیگر افراد نیز اجاره کنند.
پاسخ ها