حمله DDoS چیست؟
در واقع میتوان حملات DDoS (Distributed Denial of Service) را تلاشی مخرب برای ایجاد اختلال در ترافیک عادی یک سرور، سرویس یا شبکه به صورت هدفمند دانست.
این حملات با ایجاد اختلال در زیرساختهای سرورهای مختلف، در ترافیک اینترنت اخلال ایجاد میکنند و بدین صورت باعث ایجاد مشکلاتی همچون کندی عملکرد سایت میشوند. اگر بخواهیم به زبان ساده حمله DDoS را شرح دهیم، باید بگویم این حمله باعث ایجاد ترافیک غیرمنتظره و مسدود کردن عملکرد طبیعی وبسایتهای اینترنتی میشود.
امروزه، از حملات DDoS برای دستیابی به دادهها، به خطر انداختن کسبوکار رقبا، ایجاد اختلال در سیستمعاملها و غیره استفاده میشود. معمولا، حملات DDoS توسط یک یا چند IP معین صورت میگیرند و تشخیص آنها کار راحتی نیست. اما شما به راحتی میتوانید با افزایش دانش و آگاهی خود درباره این حملات از رخدادشان جلوگیری کنید.
حملات DDoS در دستگاهها و سایتهای متصل به یکدیگر رخ میدهند. از طریق این اتصالات و پخش بدافزارها در این چرخه متصل به هم، بر سرورها و دستگاهها (توسط مهاجم یا مهاجمان) از راه دور کنترل صورت میگیرد. این دستگاهها را ربات/Bot یا زامبی/Zombie میخوانند و مجموع آنها را رباتها Botnet مینامند.
پس از ایجاد Botnet ، مهاجم میتواند با ارسال دستورالعملهای مخرب از راه دور به رباتها حمله کند. پس از آن که سرور یا شبکه یک قربانی توسط Botnet مورد هدف قرار گرفت، هر ربات درخواستهایی را به آدرس IP هدف ارسال میکند. و اینگونه، سرور یا شبکه بیش از حد تحت فشار قرار میگیرد. و در نتیجه، اختلالاتی در سرور یا شبکه ایجاد میشود. اما، از آنجا که هر ربات یک دستگاه اینترنتی مجاز است، جدا کردن حملات ترافیکی از ترافیک عادی ممکن است برای برخی از مدیران سرورها کاری دشوار باشد.
چگونه حمله DDoS را شناسایی کنیم؟
از بارزترین نشانههای حمله DDoS میتوان به کند شدن ناگهانی سایت یا سرویسهای اینترنتی اشاره کرد. اما به دلیل اینکه اغلب حملات داس با اختلالات دیگر اینترنتی مشابه هستند، نیاز به بررسی بیشتر برای شناسایی آنها وجود دارد. شما برای این کار میتوانید از ابزارهای تجزیه و تحلیل ترافیک استفاده کنید. اگر بخواهیم به برخی از علائم آشکار حملات DDoS اشاره کنیم، میتوانیم موارد ذیل را نام ببریم:
- افزایش مقدار ترافیک یک آدرس یا محدوده IP
- افزایش ترافیک کاربرانی که پروفایل رفتاری واحد دارند. مانند استفاده از یک نوع دستگاه، موقعیت جغرافیایی واحد و ….
- افزایش ناگهانی درخواستها برای مراجعه به یک صفحه یا سایت خاص
- الگوهای ترافیکی عجیب و غریب مانند مراجعه به صفحه خاصی در ساعات غیرقابل پیشبینی
با در نظر گرفتن موارد فوق میتوان به جلوگیری از حملات سایبری پرداخت. البته، برای اینکه مشخص کنید آیا حمله DDoS رخ داده است یا نه، به بررسی دقیق و بیشتری نیاز دارید.
ابزارهای مورد استفاده در حمله دیداس چیست ؟
حال که با مفهوم دیداس چیست و نحوه ایجاد حمله دیداس آشنا شده اید باید بدانید که برای این عمل چندین ابزار و نرم افزار حمله DDoS شناخته شده وجود دارد که باید با آنها نیز آشنا باشیم. معماری این ابزارها بسیار مشابه است و در واقع بعضی ابزارها از طریق تغییرات کمی در سایر ابزارها ساخته شده اند. در این مطلب ما وظیفه مندی بعضی از این ابزارها را به طور خلاصه نشان میدهیم.
TRINOO در حمله ddos
Trinoo به عنوان اولین ابزاری است که در DDoS استفاده شده است.Trinoo یک ابزار تخلیه پهنای باند است و از ان برای ارسال سیل عظیمی از ترافیک UDP برروی یک یا چند IP استفاده میشود. معمولاً عاملهای ترینو در سیستمینصب میشود که دارای باگ Buffer overfollow باشند. Handlerها از UDP یا TCP برای ارتباط با agentها استفاده میکند لذا سیستمهای کشف نفوذ میتوانند تنها با بوکشیدن ترافیک UDP آنها را پیدا کنند.
TFN
در سال ۱۹۹۹ نوشته شده است و مانند TRINOO یک ابزاری است که برای تخلیه سازی پهنای باند و منابع سرویس قربانی استفاده میشود . این ابزار از یک واسط خط فرمان برای ارتباط بین مهاجم و برنامه اصلی کنترل استفاده میکند اما هیچ رمزنگاری میان عاملها(Agents) و گردانندهها (Handlers) و یا میان گردانندهها (Handlers) و مهاجم (Attacker) ارائه نمیدهد. علاوه بر سیل UDP ترینو، TFN اجازه سیل ICMP و نیز حملات Smurf را میدهد. ارتباط بین گرداننده (handlers)و شیاطین(agents) با بستههای ICMP ECHO REPLY انجام میشود، که کشف آنها از بستههای UDP سخت تر بوده و اغلب میتوانند از سیستمهای دیوار آتش عبور کنند. TFN حملات DDoS را راه اندازی میکند که مخصوصاً سخت تلافی میشود چرا که میتواند چندین نوع از حملات را تولید کرده و میتواند بستههایی با آدرسهای IP مبدأ جعلی تولید کند و همچنین پورتهای مقصد را به طور تصادفی نشان دهد.
Stacheldraht
(یک واژه آلمانی به معنای «سیم خاردار») بر پایه نسخههای اولیه TFN میباشد و تلاش میکند بعضی از نقاط ضعف آن را از بین ببرد. Stacheldraht ویژگیهای Trinoo (معماری گرداننده/عامل) را با ویژگیهای TFN اصلی ادغام میکند. Stacheldraht همچنین دارای توانایی انجام بروزرسانی در عاملها به طور خودکار میباشد. یعنی مهاجم میتواند روی هر سرور ناشناخته فایل نصب کند و هنگامیکه یک عامل روشن شد (یا به اینترنت وصل شد) عامل میتواند به طور خودکار بروزرسانیها را پیدا کرده و آنها را نصب کند. Stacheldraht همچنین یک اتصال telnet امن توسط رمزنگاری کلید متقارن میان مهاجم سیستمهای گرداننده برقرار میکند.
ارتباط از طریق بستههای TCP و ICMP ایجاد میگردد. بعضی از حملاتی که توسط Stacheldraht میتوانند راه اندازی شوند شامل سیل UDP ، سیل درخواستICMP echo و پخش هدایت شده ICMP میشود. شیاطین حمله برای Stacheldraht حملات Smurfوسیل UDP و سیل ICMP را انجام میدهند. نسخههای جدید برنامه امکانات بیشتر و اثرات مختلفی دارند.